企业网络建设与规划毕业论文.doc

《企业网络建设与规划毕业论文.doc》由会员分享，可在线阅读，更多相关《企业网络建设与规划毕业论文.doc（76页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 毕业设计 企业网络建设与规划院 系软件职业技术学院 专 业网络技术 班 级 09专科网络技术一班学 号1601090117学 生 姓 名 联 系 方 式15038936102 指 导 教 师 职称：讲师2011年 5月 独 创 性 声 明本人郑重声明：所呈交的毕业论文（设计）是本人在指导老师指导下取得的研究成果。除了文中特别加以注释和致谢的地方外，论文（设计）中不包含其他人已经发表或撰写的研究成果。与本研究成果相关的所有人所做出的任何贡献均已在论文（设计）中作了明确的说明并表示了谢意。签名： 2011年5月日授权声明本人完全了解许昌学院有关保留、使用本科生毕业论文（设计）的规定，即：有权保留

2、并向国家有关部门或机构送交毕业论文（设计）的复印件和磁盘，允许毕业论文（设计）被查阅和借阅。本人授权许昌学院可以将毕业论文（设计）的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编论文（设计）。本人论文（设计）中有原创性数据需要保密的部分为：。 签名： 张博 2011年5月日指导教师签名： 年月日摘 要随着计算机及网络技术的飞速发展，网络组建、管理和维护技术已经广泛在我们身边获得了应用。为了让高校学生能够掌握相关网络知识以及提高实践动手能力，本设计编制了三章内容，通过对网络基础的介绍和网络设备的配置来引导学生掌握最基本的网络知识，以及对网络设备的实践应用。设计

3、中通过“拓扑图的设计、IP地址规划、检测网线、连接并配置网络设备、检测验证网络连通性”的设计步骤，以及介绍在具体操作过程中遇到的设备和配置问题，来阐述整个设计过程。其中所应用、配置的具体协议在实际使用中是很常见的，因此学生必须掌握并能够在实际生活中充分利用所学的网络知识。本设计通过对交换机、路由器、服务器等设备的配置，概括了高校所要学习的多数网络知识和操作应用，可以作为学习网络知识的参考资料，但为了有更多的提高，读者还应通过其它途径不断加强学习，以增强自己的网络知识水平。另外通过综合布线工程知识的应用，主要使学生了解数据通信中数据传输介质的相关知识，同时以综合布线系统的国际标准和国家标准为依据

4、，掌握综合布线工程的施工技术、施工工程管理技术、网络测试技术、工程验收和管理维护等内容。使得学生通过自己的亲身经历和实验实践，提高自己对综合布线系统的认识以及对整个综合布线系统的把控能力。.目 录摘 要3第1章 绪 论3第2章 项目需求分析42.1项目背景42.2需求分析62.3 网络总体建设目标72.3.1网络建设目标72.4网络及系统建设内容及要求92.4.1、采用结构化网络92.4.2、网络架构的综合分析：102.5网络设计原则10第3章 网络总体设计123.1 网络总体拓扑图123.2 网络层次化设计133.2.1 核心层133.2.2 汇聚层143.2.3 接入层143.3 核心层设

5、计153.4 接入层设计153.5 内联接入16第4章 路由设计164.1 路由协议选择164.2 路由规划拓扑图164.3 IP地址规划17第5章 网络安全解决方案185.1 网络边界安全威胁分析185.2 网络内部安全威胁分析195.3 安全产品选型原则195.4 网络常用技术介绍205.4.1 PPP协议205.4.2 VTP协议205.4.3 HSRP 协议215.4.4 VLAN 技术215.4.5 Trunk 技术215.4.6 Easy-vpn技术225.4.7 SPT协议225.4.8 OSPF协议235.4.9 Qos技术23第6章 产品简介246.1 路由、交换设备246.

6、2、打印系统266.3、文件服务器276.4、系统磁盘管理：28第7章 项目实施计划287.1 项目实施前的准备工作287.1.1、工程实施概述297.1.2、布线系统实施297.1.3、系统整体实施307.2 安装前的场地准备307.2.1、施工现场准备:307.3 核心及各网点的安装调试317.3.1工程硬件安装317.3.2工程软件调试327.3.3系统的安装327.3.4工程质量检查327.4 网络测试327.4.1 网络测试目的327.4.2 测试文档33第8章 网络项目基本配置348.1 网络描述348.2基本配置358.2.1 设备访问358.2.2 设备口令368.2.3设置特

7、权用户口令378.2.4 关闭DNS查找功能 (默认时打开)378.2.5启用logging synchronous阻止控制台信息覆盖命令行上的输入378.2.6 将exec-timeout设置为0 0 为控制台连接设置以秒或分钟的超时378.2.7配置console口访问不需要密码38第9章 服务器的基本配置389.1、Windows服务器的安装389.2安装DNS、DC、WEB、FTP等服务器409.2.1Dns的安装409.2.2、安装域控制器（DC）419.2.3 安装电子邮件服务439.2.4安装 WEB FTP44第10章 路由、交换及网络构建方面配置4610.1 TRUNK技术4

8、610.3 Vlan技术：4710.4 STP 技术4910.5 HSRP 技术5310.5.1双热备份配置：5410.6 RIP 技术:55第11章 远程广域部分配置5611.1 ACL 技术5711.1.1 ACL配置：5711.2NAT技术5711.2.1 NAT配置：5911.3 PPP技术5911.4 DHCP技术6011.4.1 DHCP配置6011.5 Pix技术6111.5.1 Pix的配置63第12章 项目测试6412.1 先查看物理连结6412.2 VLAN的测试6512.3VTP的测试6512.4HSRP的测试6612.5 路由的测试6712.6 DNS测试6812.7

9、DHCP测试6912.8 WEB测试7012.9 FTP测试7112.10 AD测试7112.11NAT&ACL测试72结 束 语72参 考 文 献73致 谢74第1章 绪 论随着网络和信息技术的高速发展和普及，信息化已经成为现代企业和组织生存发展的必备条件，计算机网络应用几乎遍及人类活动的各个领域，计算机网络技术已被誉为是“近代最深刻的技术革命”。社会的信息化、数据的分布式处理、各种计算机资源的共享等应用需求，推动着计算机网络的迅速发展。计算机网络是计算机技术与通信技术密切结合的学科，也是计算机应用中一个空前活跃的领域。该课程不仅是计算机科学与技术专业的主干课程，也是电子与通信专业学生及广大

10、从事计算机应用和信息管理的科技人员都必须学习的课程。同时，该课程不单是要加强理论知识的学习，同时也是一门实践性很强的课程。本设计是基于Cisco与华为网络设备以及网络布线工程知识的简单应用，提供给高校学生进行网络模拟实验，可以作为学生的实验指导书。此外，学生不仅要加强网络理论学习，同时也要增强实践能力，通过系统的实践训练，帮助学生深入了解并真正掌握计算机网络的基本概念、协议以及常用的组网方法和网络管理维护技术。本设计介绍了计算机网络实验的相关知识和应用组网技术，也介绍了网络布线工程一些知识。通过“总体设计、详细设计、系统测试以及故障排除”这三章，在基础理论上，以精炼、够用为原则，介绍与实验比较

11、紧密的理论知识；在实践上，通过模拟内外网设计方法来举例介绍网络组建的应用知识。通过综合布线工程知识的应用，以及自己的亲身经历和实验实践，使学生了解数据通信中数据传输介质的相关知识，提高学生动手能力。在编写本设计过程中，作者参阅了大量网络组网、网络技术、网络布线工程的书籍和网上资料，获得了老师和同学的大力帮助，并融合了许多自己的观点和见解，但由于作者水平和经验有限，不足之处在所难免，敬请读者批评指正。第2章 项目需求分析2.1项目背景海南经典集团成立于1990年，是一家实力雄厚的餐饮连锁。经典集团是一家以中式快餐为主营业务的全国性连锁餐饮公司。在全国二十多个省区都有连锁店，服务范围覆盖比较大，随

12、着公司的发展以及实际的需要公司需要整合总部网络结构以适应不断的发展.目前的网络结构已经不能满足当前发展的需求。主要表现再网络不稳定，网络抖动现象频发，但如果依旧采用原有线路连接，网络的构建存在成本高、周期长、而且不易管理和实施的难题。因此建立一个设计规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台，以高效率，高速度，低成本的方式提高公司员工的工作效率与执行效率是十分必要的。将贵公司内部形成高效、通畅、安全的网络体系，实现公文管理、资源共享、打印管理的电子化、网络化。对外连接到internet，是公司保持与分公司及外界先进事物和合作伙伴、公司客户的密

13、切联系。网络中的各类服务器设备、客户机设备、网络设备以及各种操作系统、应用软件将考虑技术上的先进性、国内外及各行业的通用性，并且要有良好的市场形象与售后技术支持，便于维护、升级。选购的同时，将考虑在满足功能与性能的基础上的最优性价比。为了实现基本的网络办公自动化，建设安全、健壮的办公局域网，网络结构将达到高效且具有良好的可扩展性，采用信息安全交换装置实现必要的信息传输。建成一个快速高效、通畅、安全的办公网络。新建网络系统可满足公司各项管理需要，同时考虑今后功能和信息增长的要求，选择的计算机以及网络设备具有先进性，适应越来越多的信息种类（声音、动画等多媒体数据）以及信息量的处理及传输要求。主机系

14、统采用主流的网络操作系统，达到快速响应、安全稳定的运行，利用严格的权限设置，完善对公文的管理。根据不同部门的需求实现不同的安全级别。通过网络系统实现全公司统一的打印管理服务。为防黑客入侵、病毒的影响，保证公司数据的安全，采用PIX防火墙技术。这样的工程项目需要加入新型设备进行改造，为公司提供安全的便捷的网络服务，还要为外接分支机构的网络进行改造，以便与分公司进行安全可靠的信息传输。这样才能在网络、信息通常的基础上为贵公司带来更大的利润。由此看来急需采用新型的网络设备，建立安全、高效的互联网络，是经典集团和新建分支机构的当前首要任务2.2需求分析根据贵公司的需求，我们规划了一个大致拓扑图：在外网

15、上对于总公司与分公司的实际情况，我们将用PPP技术让其之间的文件进行安全传输。PPP协议是目前广域网上应用最广泛的协议之一，它的优点在于简单、具备用户验证能力、可以解决IP分配等。 利用以太网（Ethernet）资源，在以太网上运行PPP来进行用户认证接入的方式称为PPPoE。PPPoE即保护了用户方的以太网资源，又完成了ADSL的接入要求，是目前ADSL接入方式中应用最广泛的技术标准。基于经典集团网络改造和扩建的实际情况，我们对该项目的网络进行了大致规划，分为总部和分部还有虚拟分部（可扩展），其中，总部地点为数据中心区、核心交换区。1.数据中心作为公司生产运营系统（如人事考勤系统，财务报价系

16、统等等）的核心数据的存放地，其性能、稳定性、安全性、可靠性的要求最高，因此我们在设计的时候，会着重考虑这些需要，并采用PIX防火墙技术提高网络性能的安全性、可靠性。2.核心交换区的功能是高速可靠地交换数据，该部分的设计需考虑性能和可用性的平衡，因此我们将采用多核的数据处理器提高数据的传输效率。3.分支机构接入区域，我们将安全性放在第一位，同时，生产运营系统的运行离不开网络和数据中心的连接，因此冗余性的考虑也是必须的。因此我们公司将采用HSRP、STP技术解决冗余问题。4.各分部地点办公网络做为内部互联单位，可信度较高，内部网络的可用性是我们首要考虑因素，因此我们将划分VLAN以提高各部门的网络

17、互联性及可用性。5.由于当前业界的网络管理范畴较广，包括设备管理、资源管理、故障管理、性能管理、安全管理等等。我们公司在面对网络规模相对较大的时候，将采取合适的网管系统以帮助客户方便管理网络内的设备及运行情况，提高网络的运行效率2.3 网络总体建设目标2.3.1网络建设目标1）网络互联能够实现远程用户从不安全的互联网安全可靠的接入本市内分部公司内网，访问网内资源和使用相应的应用系统；2）独立性能够根据用户的需要有选择地对需要的业务数据进行加密（采用DES、3DES、MD5），不需要加密的数据和Internet接入业务可以不受到影响；3）网络安全性（iptables，asa，isa，pix，ac

18、l）采用防火墙技术以提高网络的安全性。防火墙既可以用硬件实现,也可以用软件实现。硬件实现处理速度快、可靠性高、费用较贵,而软件实现则相对价格较低,同时便于版本升级和维护。Iptables防火墙防火墙是实现网络安全的基础设施,它根据企业的安全策略监控网络信息的存取和传递操作,起到保护内部网安全的目的。ACL是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。通过灵活地增加访问控制列表，acl可以当作一种网络控制的有力工具，用来过滤流入和流出路由器接口的数据包。

19、建立访问控制列表后，可以限制网络流量，提高网络性能，对通信流量起到控制的手段，这也是对网络访问的基本安全手段。在路由器的接口上配置访问控制列表后，可以对入站接口、出站接口及通过路由器中继的数据包进行安全检测。ASA 执行通过防火墙的有状态（STATEFUL）的连接控制。如未明确的为每一内部系统和应用进行配置，则只允许单方向的连接（从内部到外部）。而CISCO的PIX（Private Internet exchange）防火墙可以用于防止从一个网络到另一个网络未经验证的非法连接访问。受防火墙保护的网络称为内部的网络，而另一边则称为外部的网络。PIX可以支持连接多个外部的网络。可以使用PIX防火墙

20、来保护与管理内部的网络，它可以用于网络的边界（ perimeter），也可以用于连接网络边界与外部网络的非军事化区（DMZ Demilitarized Zone）。PIX防火墙提供了完整的防火墙的防护功能，并相对于外部的网络完全的将内部网络的拓朴结构隐藏起来。PIX允许从已有的专用网络到INTERNET的安全访问，具有扩展和重新配置TCP/IP网络而无需考虑IP地址缺乏的能力。4）系统扩展性（兼并子公司，自建分部，第二分部暂时与总部失去联系）和变更的灵活性接入能力扩展 接入能力是指交换机接入用户数的能力。这种扩展要求通常出现在网络边缘，由于用户数目的增加，现有交换机端口数目不够，需要进行端口数

21、目的扩展 处理能力扩展 处理能力是指交换机的数据转发能力，一般是指三层转发能力。这种要求通常出现在网络的汇聚层或核心层。随着用户业务的发展，业务数据流较大时，或对业务数据流有较多的QOS或安全策略时，交换机的转发能力不足就会影响业务。 带宽扩展 带宽扩展通常出现在不同的网络层次间，如接入层和汇聚层，汇聚层和核心层。由于桌面接入的主流都已经是100MB，而100MB交换机的上联端口通常为1000MB，在满负荷情况下，也才能满足10个端口的线速上联，而现在交换机动辄24口，48口，因此在某些情况下，需要进行上联带宽的扩展。此外要求网络的扩展具有平滑不中断的特性。同时，在网络扩展中，能够保护原有设备

22、的投资，不造成投资浪费。即使是要进行网络的扩展升级，也不会对用户现存的网络有影响。5）网络通信效率此次网络建设所选用的设备具有很高的速率，不仅能满足当前用户数量下的需求，也为将来的扩展留有充分空间。 1、 高性能的网络系统：速度快、无阻塞、延迟低，具有先进灵活的QoS特性，能适应多种业务需求。 2、 标准化、层次化、模块化和易扩展的网络系统：包括网络的结构、技术及产品。信息接入点分布合理、灵活、充足并有扩展空间。 3、 稳定、可靠的网络系统：网络中单点故障不会使局部网络失去与整个网络的连接，多点故障不会造成整个网络被分成几个互不相连的部分。网络主干的传输介质采用容错冗余设计。 4、 注重经济实

23、用性的网络系统：根据目前的需求和可预见的需求增长情况设计网络，不追求空洞的技术先进，避免追求高档和最新技术花费巨大代价。 5、 易管理和易维护的网络系统：全网可进行统一或分布管理，网络维护简单有效。 6、 高安全性的网络系统：系统的各环节均必须具有良好的抗电磁干扰特性，整个系统与外界的防火墙功能包括防火墙技术、PPP技术及地址转换、硬件加密、备份中心、Callback等技术。 7、 综合布线系统设计与实施一次到位；网络系统一次规划、分步实施，网络设备先按开通率30配置，并具有方便扩展功能。2.4网络及系统建设内容及要求建设内容：1公司网络的现在只适应于小型公司的发展，拓扑需要重新的规划。2在外

24、出差的员工通过公网访问内部资源，安全性不高3. 公司内部一台三层交换掌控着所有的部门，如果一旦down则不能给全公司创造服务影响公司的正常运行4总公司已经建立了邮件系统、web系统、erp系统等应用系统，邮件系统、web系统等对互联网提供相应的服务，面临着来自互联网的各种威胁。要求：2.4.1、采用结构化网络根据企业的需求，把网络设计成有层次和有结构的同一体，即结构化网络。(1)、网络的层次和结构依据企业的结构性应用将网络分为三个层次（以至企业级网络，而且每个层次上网络结构化也是明确的，表现在每级的构成的界限是明确的，是通过上一层次的网络来完成的。这样的网络结构性强，层次清晰，整个系统的运行和

25、应用既有各自的相对独立性，又具有合理的数据流向、有层次和有结构的统一体。按照客户/服务器的体系建立各层次的网络应用。(2)、网络的可伸缩性和虚拟化网络的虚拟化对于解决网络中用户应隶属于哪个小组级网络、用户应经常访问哪些资源等问题提供了灵活的方法，使得用户所在的物理位置和逻辑位置可以相互独立。在网络的规模方面采用结构化原则来实现网络的可伸缩性，采用虚拟化原则来实现网络的业务变化要求。2.4.2、网络架构的综合分析：(1)、考虑整个方案的安全性和稳定性，可管理型和维护性以及能够满足未来网络发展的需求。(2)、建立一个投资成本低、高宽带，高可靠性，高安全性以及灵活可扩展性的PPP链路，消除地区差异，

26、实现移动员工的网络互联及基于internet 上内部移动用户的安全接入。(3)、实现公司电信、网通的双出口的网络提供线路负责均衡，同时为服务器开启负载均衡功能，提高服务器的处理性能。(4)、建立PPP链路，采用认证方式（pap、chap、ppoe、ppoa、）。这种链路提供全双工操作，并按照顺序传递数据包。设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据，使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。2.5网络设计原则作为一家优秀的系统集成商，向用户提供的不仅仅是设备，而是整套的技术与服务。我们将严格遵循以下设计原则：1.安全性对一个网络要进行实际的研究(包括任务、

27、性能、结构、可靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定系统的安全策略。并且安全措施能随着网络性能及安全需求的变化而变化，要容易适应、容易修改和升级。建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。2.易操作性安全措施需要公司人员去完成，如果措施过于复杂，对员工的要求过高，本身就降低了安全性措施的采用不影响系统的正常运行。安全措施能随着网络性能及安全需求的变化而变化，要容易适应、容易修改和升级。3.实用性我们将充分考虑到公司网络应用的现状和未来发展趋势，我们将建立一个可拓展的网络，既满足公

28、司目前的使用，又能为未来公司的发展提供支持。4. 灵活性安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改和升级5. 可评价性如何预先评价一个安全设计并验证其网络的安全性，这需要通过国家有关网络信息安全测评认证机构的评估来实现。针对安全体系的特性，我们可以采用统一规划、分步实施的原则。具体而言，我们可以先对网络做一个比较全面的安全体系规划，然后，根据我们网络的实际应用状况，建立一个基础的安全防护体系，保证基本的、应有的安全性是十分必要的。网络安全防范体系包含：物理层安全、系统层安全、网络层安全、应用层安全和安全管理。1物理环境的安全性（物理层安全） 该层次的安全包括通信线路

29、的安全，物理设备的安全，机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质），软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份，防灾害能力、防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障，等等。 2操作系统的安全性（系统层安全） 该层次的安全问题来自网络内使用的操作系统的安全，如Windows NT，Windows 2000等。主要表现在三方面，一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题。三是病毒对操作系统的威胁。3网络的安全性（网络层安全） 该层次的安全问题主要体现在

30、网络方面的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性，远程接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段，网络设施防病毒等。4应用的安全性（应用层安全） 该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生，包括Web服务、电子邮件系统、DNS等。此外，还包括病毒对系统的威胁。5管理的安全性（管理层安全） 安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。网络安全是整体的、动

31、态的。网络安全的整体性是指一个安全系统的建立，即包括采用相应的安全设备，又包括相应的管理手段。安全设备不是指单一的某种安全设备，而是指几种安全设备的综合。网络安全的动态性是指网络安全是随着环境、时间的变化而变化的，在一定环境下是安全的系统，环境发生变化了（如更换了某个机器），原来安全的系统就变的不安全了；在一段时间里安全的系统，时间发生变化了（如今天是安全的系统，可能因为黑客发现了某种系统的漏洞，明天就会变的不安全了），原来的系统就会变的不安全。所以，建立网络安全系统不是一劳永逸的事情。对于企业行业网络安全体系的建立，我们建议采取以上的原则，先对整个网络进行整体的安全规划，然后，根据实际状况建

32、立一个从防护-检测-响应的基础的安全防护体系，提高整个网络基础的安全性，保证应用系统的安全性。第3章 网络总体设计3.1 网络总体拓扑图由于考虑到总公司的实际需求，我们给贵公司设计的方案是采用两台路由双线接入负载均衡，都在路由端口上做nat转换节约ip地址。四台CISCO WS-C3750G-24TS-S 做双机热备（两台总部两台分部，可扩展），根据当前贵公司的人数需求，我们用四台WS-C2960-48TT-L二层交换机（可扩展）做vlan划分。用Cisco 专有热备份路由协议技术，根据需求配置成多组HSRP；同时双机还可以做负载均衡。这样设计不但保证网络的高可用性和稳定性，还能够充分利用现有

33、设备的资源，以避免单台核心设备的负载太重而导致的网络性能问题。如上图所示，这是总部内网的架构，整体网络可以根据功能划分为总部核心网络、内联接入包括办公网络，各部门相对独立，通过核心网络进行数据的交互。各部门可以各自建立相互通讯，各部门的网络安全体系，可以有独立的安全策略、数据流量控制等个体的特性，而需要和其他区域的设备进行通讯的时候，则必须遵守核心网络区的策略。在这里，我们对总公司的实际情况考虑，在总公司和分公司之间建立PPP专线连接，让分公司和总司可以进行安全的数据交换，对于虚拟分部（可扩展），我们根据距离和施工的情况建立PPP专线或者VPN，来进行对数据的保护和有效传输，对于在外出差员工我

34、们用easy-VPN的方式来让外部员工进行内部连接3.2 网络层次化设计随着网络技术的迅速发展和网络需求量的不断增长，分布式的网络服务和交换已经移至用户级，由此形成了一个新的、更适应现代的高速大型网络的分层设计模型。我们将采用层次化网络设计，构建高效、可靠、安全的网络。多层网络系统设计能最有效地利用多种业务，包括负载分担和故障恢复等。在多层网络中运用智能多业务可以大大减少因配置不当或故障设备引起的一般问题。多层模式使网络的移植更为简单易行，因为它保留了基于路由器和交换机的网络原有的寻址方案，对以往的网络有很好的兼容性。另外分层结构也能够对网络的故障进行很好的隔离。3.2.1 核心层为网络提供骨

35、干组件或高速交换组件，高效速度传输是核心层的目标。核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。核心层具有如下几个特性：高可靠性、提供冗余、提供容错、能够迅速适应网络变化、低延时、可管理性良好、网络直径限定和网络直径一致。当网络中使用路由器时，从网络中的一个终端到另一个终端经过的路由器的数目称为网络的“直径”。在一个层次化网络中，应该具有一致的网络直径。也就是说，通过网络主干从任意一个终端到另一个终端经过的路由器的数目是一样的，从网络上任一终端到主干上的服务器的距离也应该是一样的。限定网络的直径，能够提供可预见的性能，排除故障也容易一些。

36、分布层路由器和相连接的局域网可以在不增加网络直径的前提下加入网络，因为它们不影响原有的站点的通信。在核心层中，网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以我们对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。我们将采用高带宽的千兆级交换机，充当核心层设备。因为核心层是网络的枢纽部分，网络流量最大，因此需要提供高带宽。3.2.2 汇聚层是核心层和终端用户接入层的分界面，访问层的汇接点，用于分隔访问层的不同网络拓扑，并实现网络的聚合与流量的收敛。汇聚层完成网络访问的策略控制、广播域的定义、VLAN间的路由、数据包处理、过滤寻址及

37、其他数据处理的任务。一般采用中端设备。 汇聚层是连接接入层和核心层的网络设备,为接入层提供数据的汇聚传输管理分发处理.汇聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由服务,认证管理等.通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层.汇聚层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定。汇聚层设计为连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。 汇聚层设备一般采用可管理的三层交换机或堆叠式交换机以达到带宽和传输性能的要求。其设备性能较好，但价格高于接入层设备，而且对环境的要求也较高，对电磁辐射、温度、

38、湿度和空气洁净度等都有一定的要求。汇聚层设备之间以及汇聚层设备与核心层设备之间多采用光纤互联，以提高系统的传输性能和吞吐量。一般来说，用户访问控制会安排在接入层，但这并非绝对，也可以安排在汇聚层进行。在汇聚层实现安全控制和身份认证时，采用的是集中式的管理模式。 当网络规模较大时，可以设计综合安全管理策略，例如在接入层实现身份认证和MAC地址绑定，在汇聚层实现流量控制和访问权限约束。3.2.3 接入层向本地网段提供用户接入、主要提供网络分段、广播能力、多播能力、介质访问的安全性、MAC地址的过滤和路由发现等任务。接入层通常指网络中直接面向用户连接或访问的部分。接入层目的是允许终端用户连接到网络，

39、因此在接入层我们将采用具有低成本和高端口密度特性的交换机。接入交换机是最常见的交换机，它直接与外网联系，使用最广泛，尤其是在一般办公室、小型机房和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心等部门。在传输速度上，现代接入交换机大都提供多个具有10M/100M/1000M自适应能力的端口。 在接入层是最终用户(员工) 与网络的接口，它应该提供即插即用的特性，同时应该非常易于使用和维护。当然我们也应该考虑端口密度的问题接入层由无线网卡、AP和L2Switch组成，按照宽带网络的定义，接入层的主要功能是完成用户流量的接入和隔离。对于无线局域网WLAN用户，用户终端通过无线网卡和无线接入点

40、AP完成用户接入。接入层交换机一般用于直接连接电脑，具有低成本和高端口密度特性。接入层交换机端口的input 指服务器向交换机端口发送的数据，即是服务器发送出去的数据。接入层交换机端口的output 指交换机端口向服务器传输的数据，即是服务器收到的数据。3.3 核心层设计核心交换区的作用是高效速度传输数据，是所有流量的最终承受者和汇聚者，推荐使用高端设备。我们推荐使用Cisco Catalyst 3750三台三层交换机为网络提供可靠、高速、安全的服务。3750系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。这个产品系列采用了

41、最新的思科StackWise智能堆叠技术，不但实现高达32Gbps的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统 - 就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。3750系列最多可以将9个交换机堆叠在一起，构成一个统一的逻辑单元，其中总共包含468个以太网或以太网供电10/100端口或者252个以太网10/100/1000端口、或9个10GB以太网端口。各个10/100、10/100/1000和10Gb以太网单元可以根据网络的需要任意组合。3750系列可以使用标准多层软件镜像（SMI）或者增强多层软件镜像（E

42、MI）。SMI功能集包括先进的服务质量（QoS）、速率限制、访问控制列表（ACL）和基本的静态和路由信息协议（RIP）路由功能。EMI可以提供一组更加丰富的企业级功能，包括先进的、基于硬件的IP单播和组播路由。3.4 接入层设计接入层交换机采用思科的WS-C2960 系列的二层交换机以千兆以太链路和汇聚交换机相连接，并为员工终端提供10/100M 自适应的接入，从而形成千兆为骨干，百兆到桌面的以太网三层结构。接入层交换机一般用于直接连接办公系统，具有低成本和高端口密度特性。接入层交换机端口的input 指服务器向交换机端口发送的数据，即是服务器发送出去的数据。接入层交换机端口的output 指

43、交换机端口向服务器传输的数据，即是服务器收到的数据。我们在核心层和汇聚层的设计中主要考虑的是网络性能和功能性要高，那么我们在接入层设计上主张使用性能价格比高的设备。接入层是最终用户(员工) 与网络的接口，它应该提供即插即用的特性，同时应该非常易于使用和维护。当然我们也考虑端口密度的问题。3.5 内联接入内联接入的作用是用于连接北京总部和北京分部。我们推荐使用两台Cisco 2821系列路由器完成此项功能。由于总部网络和分部机房属于公司的内部网络的一部分，因此我们将着重重视数据的安全性、可靠性。Cisco 2821系列具有以下功能： 集成语音留言 范围广泛的话音接口 支持 SRST, 分支机构可

44、利用集中呼叫控制, 并通过SRST冗余性为IP电话经济有效地提供本地 分支机构备份Cisco 2821还支持QOS，包含网络扩展性，具有内置防火墙功能，提高内部网络的安全性、可靠性。第4章 路由设计4.1 路由协议选择OSPF全称为开放式最短路径优先协议（Open Shortest-Path First），OSPF采用链路状态协议算法，每个路由器维护一个相同的链路状态数据库，保存整个AS的拓扑结构。一旦每个路由器有了完整的链路状态数据库。对于大型的网络，为了进一步减少路由协议通信流量，利于管理和计算，OSPF将整个AS划分为若干个区域，区域内的路由器维护一个相同的链路状态数据库，保存该区域的拓

45、扑结构。 OSPF支持各种不同鉴别机制，并且允许各个系统或区域采用互不相同的鉴别机制；提供负载均衡功能；OSPF属动态的自适应协议，对于网络的拓扑结构变化可以迅速地做出反应，进行相应调整，提供短的收敛期，使路由表尽快稳定化，并且与其它路由协议相比，OSPF在对网络拓扑变化的处理过程中仅需要最少的通信流量；OSPF提供点到多点接口，支持无类型域间路由地址。4.2 路由规划拓扑图4.3 IP地址规划标识网络中的一个节点。IP 地址空间的分配，要与网络层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。我们根

46、据以下几个原则来分配IP 地址：唯一性：一个IP 网络中不能有两个主机采用相同的IP 地址简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项连续性：连续地址在层次结构网络中易于进行路由总结(RouterSummarization)，大大缩减路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术(VLSM Variable-Length Subnet Mask)，以满足多种路由策略的优化，充分利用地址空间。Vlan的划分：总部Vlan虚拟ip销售部Vlan10192.168.10.254财务部Vlan20192.168.20.254人事部Vlan30192.168.30