企業(yè)網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)施方案

1、企業(yè)網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)施方案1.緒論1.1企業(yè)網(wǎng)的建設(shè)意義企業(yè)網(wǎng)行業(yè)是21世紀(jì)的朝陽行業(yè)，是目前乃至以后發(fā)展?jié)摿ψ畲蟮男袠I(yè)之一。企業(yè)網(wǎng)絡(luò)指的是具有一定規(guī)模的網(wǎng)絡(luò)系統(tǒng)，企業(yè)網(wǎng)構(gòu)造應(yīng)該為企業(yè)提供高效而經(jīng)濟(jì)的信息傳輸和事務(wù)處理能力，以滿足企業(yè)有序而高效的運(yùn)行。同時(shí)它也是市場經(jīng)濟(jì)發(fā)展與激烈市場競爭的產(chǎn)物，尤其是中小型企業(yè)網(wǎng)，顧客對產(chǎn)品的需求在不斷向多樣化、高質(zhì)雖、高性能和價(jià)格合理的方向發(fā)展，更是隨著經(jīng)濟(jì)的發(fā)展層出不窮，為應(yīng)付瞬息萬變的市場需求，企業(yè)網(wǎng)絡(luò)的建設(shè)必然向信息化發(fā)展。企業(yè)網(wǎng)網(wǎng)絡(luò)系統(tǒng)是一個(gè)非常龐大而復(fù)雜的系統(tǒng)，它不僅為現(xiàn)代化發(fā)展、綜合信息管理和辦公自動(dòng)化等一系列應(yīng)用提供基本操作平臺，而且能提供多種應(yīng)

2、用服務(wù)，使信息能及時(shí)、準(zhǔn)確地傳送給各個(gè)系統(tǒng)。這種基于信息技術(shù)的分布式網(wǎng)絡(luò)化企業(yè)，當(dāng)一個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)增加到一定數(shù)目時(shí)，而采用OSPF單區(qū)域規(guī)劃將會(huì)導(dǎo)致一些難處理的麻煩，因此如何科學(xué)的設(shè)計(jì)一個(gè)OSPF多區(qū)域規(guī)劃企業(yè)網(wǎng)絡(luò)系統(tǒng)是以后中小型企業(yè)的發(fā)展方向，OSPF的這種將一個(gè)大型網(wǎng)絡(luò)分成多個(gè)區(qū)域的的小網(wǎng)絡(luò)，在單個(gè)區(qū)域內(nèi)運(yùn)行SPF計(jì)算，有效的降低了計(jì)算頻率，整個(gè)鏈路狀態(tài)更新(LSU)負(fù)荷也相應(yīng)的得到降低，從而讓企業(yè)進(jìn)行更好的信息交互。1.2企業(yè)網(wǎng)的發(fā)展趨勢目前國內(nèi)有關(guān)中小型企業(yè)網(wǎng)的設(shè)計(jì)還是處于發(fā)展階段，常用的企業(yè)網(wǎng)設(shè)計(jì)基本上可以滿足一般用戶的要求，但是現(xiàn)有的企業(yè)網(wǎng)分散且不一致，甚至有些部門或分支機(jī)構(gòu)在單機(jī)

3、上運(yùn)行一些獨(dú)立的應(yīng)用，由于這些應(yīng)用時(shí)分散決策和各自實(shí)施的結(jié)果，缺乏整體性的設(shè)計(jì)，更沒有統(tǒng)一的標(biāo)準(zhǔn)，因此在業(yè)務(wù)互相銜接的應(yīng)用系統(tǒng)之間缺乏一致性，造成應(yīng)用水平低的結(jié)果；而且現(xiàn)有的中小型企業(yè)網(wǎng)大多數(shù)是基于RIP,單區(qū)域的OSPF路由技術(shù)的網(wǎng)絡(luò)設(shè)計(jì)，雖然許多功能已經(jīng)基本實(shí)現(xiàn)，但是在性能和安全方面還有待提高1。OSPF是一項(xiàng)鏈路狀態(tài)路由技術(shù)，OSPF協(xié)議完成路由選擇和路由交換的算法是最短路徑優(yōu)先算法，在網(wǎng)絡(luò)中，它雖然解決了RIP收斂時(shí)間長、頻繁發(fā)生路由表更新信息、沒有網(wǎng)絡(luò)延遲和鏈路成本等缺點(diǎn)，但是在一些大型的網(wǎng)絡(luò)中，尤其是那些企業(yè)內(nèi)單個(gè)區(qū)域爆炸性增大到400個(gè)網(wǎng)絡(luò)時(shí)將會(huì)發(fā)生一些難處理的麻煩最短路徑優(yōu)先(

4、SPF)算法的頻繁計(jì)算個(gè)企業(yè)內(nèi)有幾百個(gè)網(wǎng)絡(luò)分段組成的網(wǎng)絡(luò)發(fā)生變化是難免的，因此路由器將會(huì)接收到區(qū)域內(nèi)新產(chǎn)生的每個(gè)路由選擇的更新，從而使得每一個(gè)路由器必須要用非常多的CPU周期來更新計(jì)算路由表，這無疑占用了網(wǎng)絡(luò)資源、降低了路由器使用的效率。大型路由表的出現(xiàn)一一每臺路由器需要為每個(gè)網(wǎng)絡(luò)維持至少一個(gè)路由條目，比如說在一個(gè)擁有400個(gè)網(wǎng)絡(luò)的企業(yè)中，建設(shè)存在其他可選擇路徑的情況占這400個(gè)網(wǎng)絡(luò)的25%，路由表就至少會(huì)增加額外的100個(gè)條目2。大型鏈路狀態(tài)表的出現(xiàn)一一因?yàn)殒溌窢顟B(tài)表包含網(wǎng)絡(luò)的完整拓?fù)浣Y(jié)構(gòu)，所以，即使路由沒有被選入路由表，每臺路由器都需要為區(qū)域內(nèi)的每個(gè)網(wǎng)絡(luò)維護(hù)一個(gè)條目，從而將會(huì)產(chǎn)生非常大的鏈

5、路狀態(tài)表。針對以上問題的出現(xiàn)，傳統(tǒng)的單區(qū)域OSPF企業(yè)網(wǎng)的設(shè)計(jì)已經(jīng)不再滿足各個(gè)企業(yè)的需求了，為了解決這些問題，OSPF被設(shè)計(jì)為可將大區(qū)域分成仍然能夠交換路由選擇信息的多個(gè)較小的、更易于管理的區(qū)域，OSPF的這種將大型網(wǎng)絡(luò)分成多個(gè)區(qū)域的能力被稱為結(jié)構(gòu)化路由選擇，這樣的設(shè)計(jì)將許多內(nèi)部路由選擇的運(yùn)作，比如計(jì)算數(shù)據(jù)庫，限制在一個(gè)區(qū)域內(nèi)，這樣就解決了單區(qū)域OSPF網(wǎng)絡(luò)出現(xiàn)的問題，滿足客戶的實(shí)際需求。1.3本文的主要內(nèi)容本文圍繞高科通信技術(shù)有限公司企業(yè)網(wǎng)設(shè)計(jì)方案而展開，主要有以下內(nèi)容：(2) 緒論介紹企業(yè)網(wǎng)建設(shè)的意義以及企業(yè)網(wǎng)的發(fā)展趨勢。(3) 企業(yè)網(wǎng)關(guān)鍵技術(shù)分析介紹在本方案設(shè)計(jì)中所涉及的技術(shù)。(4) 概

6、要設(shè)計(jì)主要包括企業(yè)網(wǎng)建設(shè)目標(biāo)，現(xiàn)狀分析，以及需求分析。(5) 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)根據(jù)需求分析給出的高科通信技術(shù)有限公司設(shè)計(jì)方案。(6) 工程實(shí)施包括設(shè)備配置以及綜合布線方案。企業(yè)網(wǎng)關(guān)鍵技術(shù)分析2.1企業(yè)網(wǎng)技術(shù)分類企業(yè)網(wǎng)是園區(qū)網(wǎng)絡(luò)的一種，所用到的技術(shù)也是園區(qū)網(wǎng)中的技術(shù)，我們將這些實(shí)用的技術(shù)分為交換技術(shù)，路由技術(shù)，企業(yè)網(wǎng)絡(luò)遠(yuǎn)程接入技術(shù)。(1) 交換技術(shù)所謂交換技術(shù)是指用于二層幀轉(zhuǎn)發(fā)而不用于IP路由轉(zhuǎn)發(fā)的技術(shù)。路由技術(shù)路由技術(shù)是指通過相互連接的網(wǎng)絡(luò)把信息從源地點(diǎn)移動(dòng)到目標(biāo)地點(diǎn)的活動(dòng)，一般來說，在路由過程中，信息至少會(huì)經(jīng)過一個(gè)或多個(gè)中間節(jié)點(diǎn)。通常，人們會(huì)把路由和交換進(jìn)行對比，這主要是因?yàn)樵谄胀ㄓ脩艨磥韮烧咚?/p>

7、實(shí)現(xiàn)的功能是完全一樣的。其實(shí)，路由和交換之間的主要區(qū)別就是交換發(fā)生在OSI參考模型的第二層(數(shù)據(jù)鏈路層)，而路由發(fā)生在第三層，即網(wǎng)絡(luò)層。這一區(qū)別決定了路由和交換在移動(dòng)信息過程中使用不同的控制信息，所以兩者實(shí)現(xiàn)各自的功能的方式是不同的。遠(yuǎn)程接入技術(shù)遠(yuǎn)程接入技術(shù)可以分為專線接入和VPN遠(yuǎn)程接入3。專線接入指利用DDN專線網(wǎng)絡(luò)進(jìn)行遠(yuǎn)端設(shè)備的連接，并且提供一系列安全措施，這種接入方式價(jià)格比較高，一般用于對穩(wěn)定性要求比較高的園區(qū)網(wǎng)中。VPN接入利用的是ISP公網(wǎng)，通過VPN自身的安全性來保證數(shù)據(jù)傳輸?shù)陌踩裕c專線接入相比價(jià)格相對較低廉。2.2企業(yè)網(wǎng)中的交換技術(shù)在企業(yè)網(wǎng)中使用的最多的技術(shù)就是交換技術(shù)，交

8、換技術(shù)的成熟帶動(dòng)著企業(yè)網(wǎng)的發(fā)展。而企業(yè)網(wǎng)是基于這個(gè)交換架構(gòu)的網(wǎng)絡(luò)，因此在交換式的網(wǎng)絡(luò)中有眾多技術(shù)VLAN、TRUNK、DHCP、STP、ETHERCHANNEL等。下面分別講述這些技術(shù)的應(yīng)用。VLAN技術(shù)VLAN(VirtualLocalAreaNetwork)即虛擬局域網(wǎng)，是一種邏輯廣播域，它能將處于不同物理網(wǎng)段的主機(jī)聚集到同一個(gè)廣播域中，廣播不會(huì)在VLAN之間轉(zhuǎn)發(fā)，而是被限制在各白的VLAN中。同時(shí)，VLAN可以分組設(shè)備，不同VLAN中的設(shè)備相互不可見。從技術(shù)角度講，VLAN的劃分方法可以分為以下幾種：基于端口劃分VLAN、基于MAC地址劃分VLAN、基于網(wǎng)絡(luò)層協(xié)議劃分VLAN、基于IP組

9、播劃分VLAN、根據(jù)子網(wǎng)劃分VLAN、根據(jù)用戶認(rèn)證授權(quán)劃分VLAN。TRUNK技術(shù)TRUNK技術(shù)是一種封裝技術(shù)，它是一條點(diǎn)到點(diǎn)的鏈路，鏈路的兩端可以都是交換機(jī)，也可以是交換機(jī)和路由器，還可以是主機(jī)和交換機(jī)或路由器。TRUNK主要功能就是僅通過一條鏈路就可以連接多個(gè)VLAN。DHCP技術(shù)DHCP(DynamicHostConfigurationProtocol)是RFC2131R定義的TCP/IP標(biāo)準(zhǔn)協(xié)議，使用UDP協(xié)議進(jìn)行數(shù)據(jù)報(bào)傳遞，使用67以及68號端口，客戶端使用68號端口向服務(wù)器發(fā)送信息，服務(wù)器使用67端口向客戶端發(fā)送消息4。STP技術(shù)STP(spanning-treeProtocol即

10、生成樹協(xié)議，當(dāng)交換機(jī)發(fā)現(xiàn)拓?fù)渲杏协h(huán)時(shí)，會(huì)邏輯的阻塞一個(gè)或者更多的交換機(jī)端口來消除二層環(huán)路的技術(shù)，當(dāng)網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)，運(yùn)行STP的交換機(jī)會(huì)自動(dòng)里新配置他的端口以避免環(huán)路的產(chǎn)生或連接丟失5。EtherChannel即鏈路捆綁技術(shù)，通過對多個(gè)端口進(jìn)彳亍綁定，充分利用現(xiàn)有端口的優(yōu)勢來增加可用帶寬，可以聚合多條物理鏈路的邏輯鏈路，并且實(shí)現(xiàn)物理鏈路的負(fù)載均衡，當(dāng)鏈路中的某條物寬的同時(shí)也增強(qiáng)了鏈路的可靠性。理鏈路故障時(shí)，可以快速里新分配負(fù)載，不中斷業(yè)務(wù)，在增加帶2.3企業(yè)網(wǎng)中的路由技術(shù)路由技術(shù)主要應(yīng)用于核心層或者出口去其他的網(wǎng)絡(luò)，連接出自己的園區(qū)的網(wǎng)絡(luò)，在經(jīng)過接入路由器時(shí)根據(jù)IP包的目的地址，在路由器的路

11、由表中查詢，是否有前往目的地的路由，如果有則根據(jù)路由條目來轉(zhuǎn)發(fā)IP包，由于在企業(yè)網(wǎng)的核心層會(huì)使用2臺核心交換機(jī)做備份，則在此時(shí)可以通過路由技術(shù)一一HSRP(CISCO專有的協(xié)議)或者VRRP(國際通用的協(xié)議)來實(shí)現(xiàn)流雖負(fù)載。通過這一技術(shù)可以大大的緩解核心層中設(shè)備使用過于集中而備份設(shè)備出現(xiàn)閑置的情況，在企業(yè)存在分部的情況下，分部與總部需要互相連通，那么動(dòng)態(tài)路由協(xié)議OSPF則使用的比較廣泛。下面分別對這兩種技術(shù)做簡單介紹：VRRPVRRP(VirtualRouterRedundancyProtocol)虛擬路由冗余協(xié)議，是一種網(wǎng)關(guān)冗余的協(xié)議，它通過在冗余網(wǎng)關(guān)之間共享協(xié)議和MAC地址，提供不間斷的I

12、P路徑冗余。一組參與VRRP的路由器為同一VRRP組。在VRRP組內(nèi)，可以分別指定各路由器的選舉優(yōu)先級，當(dāng)VRRP進(jìn)行選舉時(shí)，首先比較選舉優(yōu)先級，優(yōu)先級高者獲勝成為VRRP組的Master,失敗者成為Backup。如果兩個(gè)HSRPRouter具有相同的優(yōu)先級，IP地址大者獲勝成為Master。Master周期性地發(fā)送Advertisement,Backup如果一定時(shí)間內(nèi)未收到Advertisement,認(rèn)為MasterDown，進(jìn)彳亍新一輪的Master選舉，同時(shí)，VRRP組路由器不需手動(dòng)配置搶占6。OSPFOSPF(OpenShortestPathFirst即最短路徑優(yōu)先協(xié)議，是一項(xiàng)鏈路狀態(tài)

13、路由技術(shù)，OSPF協(xié)議完成路由選擇協(xié)議算法的兩大功能：路徑選擇和路徑交換。Internet工程任務(wù)協(xié)會(huì)(IETF)在1988年開發(fā)了OSPF。其最近版本，OSPF版本2,在RFC2328中進(jìn)行了描述。OSPF是一種內(nèi)部網(wǎng)關(guān)協(xié)議(IGP),也就是說它在屬于同一自治系統(tǒng)的路由器間發(fā)布路由選擇信息。2企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)NAT技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)化(NetAddressTranslations)是基于當(dāng)前IPV4的狀態(tài)下而發(fā)展起來的一項(xiàng)技術(shù)，它可以使用一個(gè)公有地址或少雖公有地址來實(shí)現(xiàn)多用戶同時(shí)上網(wǎng)，也可以利用NAT技術(shù)做一些安全性的管理，例如實(shí)現(xiàn)IP地址隱藏等。VPN技術(shù)VPN的英文全稱是“VirtualP

14、rivateNetwork”即虛擬專用網(wǎng)絡(luò)。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣?？偛颗c分部之間建立VPN的遠(yuǎn)程連接，實(shí)現(xiàn)在Internet的公網(wǎng)上對于二者之間的私有網(wǎng)絡(luò)的連接，并且使用加密技術(shù)以保證數(shù)據(jù)在公網(wǎng)上傳輸?shù)陌踩?，不僅十分方便，而且也是相當(dāng)?shù)膶?shí)用。概要設(shè)計(jì)3.1網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)“功欲善其事，必先利其器”，高科通信技術(shù)有限公司深刻認(rèn)識到業(yè)務(wù)要發(fā)展、必須提高企業(yè)內(nèi)部核心競爭力、而建立一個(gè)方便快捷安全的通信網(wǎng)絡(luò)綜合信息支

15、撐系統(tǒng)，已迫在眉睫。高科通信技術(shù)有限公司企業(yè)網(wǎng)主要建設(shè)一個(gè)企業(yè)信息系統(tǒng)，它以管理信息為主體，連接生產(chǎn)、銷售、維護(hù)、運(yùn)營子系統(tǒng)，是一個(gè)面向公司的日常業(yè)務(wù)、立足生產(chǎn)、面向社會(huì)，輔助領(lǐng)導(dǎo)決策的計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)。本期項(xiàng)目的目標(biāo)是建立如下系統(tǒng)：(2) 構(gòu)造一個(gè)既能覆蓋本地又能與外界進(jìn)行網(wǎng)絡(luò)互通、共享信息、展示企業(yè)的計(jì)算機(jī)企業(yè)網(wǎng)。選用技術(shù)先進(jìn)、具有容錯(cuò)能力的網(wǎng)絡(luò)產(chǎn)品，在投資和條件允許的情況下也可采用結(jié)構(gòu)容錯(cuò)的方法。(3) 完全符合開放性規(guī)范，將業(yè)界優(yōu)秀的產(chǎn)品集成于該綜合網(wǎng)絡(luò)平臺之中。(4) 具有較好的可擴(kuò)展性，為今后的網(wǎng)絡(luò)擴(kuò)容作好準(zhǔn)備。采用OA辦公，做到集數(shù)據(jù)、圖像、聲音三位一體，提高企業(yè)管理效率、降低

16、企業(yè)信息傳遞成本。整個(gè)公司計(jì)劃采用10M光纖接入到運(yùn)營商提供的Internet，公司統(tǒng)個(gè)出口，便于控制網(wǎng)絡(luò)安全。(5) 設(shè)備選型上必須在技術(shù)上具有先進(jìn)性，通用性，且必須便于管理，維護(hù)。應(yīng)具備未來良好的可擴(kuò)展性，可升級性，保護(hù)公司的投資；設(shè)備要在滿足該項(xiàng)目的功能和性能上還具有良好的性價(jià)比；設(shè)備在選型上要是擁有足夠?qū)嵙褪袌龇蓊~的主流產(chǎn)品，同時(shí)也要有好的售后服務(wù)。3.2高科通信技術(shù)有限公司企業(yè)網(wǎng)現(xiàn)狀分析高科通信技術(shù)有限公司是一家集生產(chǎn)銷售為一體的中小型企業(yè)，公司總部位于廣東白云區(qū)工業(yè)園區(qū)內(nèi)，公司現(xiàn)有辦公大樓、生產(chǎn)大樓、員工宿舍樓各一棟，其中辦公大樓5層，員工宿舍樓6層，生產(chǎn)大樓一層。辦公大樓與員工

17、宿舍相距500米。另外，在武漢有一家分公司，主要為銷售業(yè)務(wù)。公司下轄微機(jī)室、財(cái)務(wù)部、彳亍政部、生產(chǎn)部、研發(fā)部、后勤部、業(yè)務(wù)部、人力資源部、總裁辦等部門，總部中心機(jī)房位于辦公樓3樓。分部具有信息部、財(cái)務(wù)部、彳亍政部、后勤部、業(yè)務(wù)部、人力資源部等部門。3.3網(wǎng)絡(luò)設(shè)計(jì)需求分析3.3.1信息點(diǎn)需求分析根據(jù)企業(yè)的聯(lián)網(wǎng)要求，可將整個(gè)網(wǎng)絡(luò)分成以下幾個(gè)部分：總部設(shè)備管理中心：位于企業(yè)總部的中心機(jī)房，是整個(gè)企業(yè)網(wǎng)絡(luò)設(shè)備管理的核心，也是整個(gè)企業(yè)是否能夠正常運(yùn)作的關(guān)鍵。核心交換機(jī)，服務(wù)器，遠(yuǎn)程接入路由器，以及Internet接入均屬于總部設(shè)備管理中心，便于統(tǒng)一管理。分部設(shè)備管理中心：對于一個(gè)分公司來講，一個(gè)地區(qū)的網(wǎng)

18、絡(luò)管理和整個(gè)企業(yè)網(wǎng)絡(luò)的設(shè)備管理是一樣的，只是相對總部來講設(shè)備比較少，管理比較容易點(diǎn)而已。位于每個(gè)分公司的中心機(jī)房，主要是實(shí)現(xiàn)辦公業(yè)務(wù)和生產(chǎn)業(yè)務(wù)功能的路由器。辦公點(diǎn)：企業(yè)辦公。本企業(yè)網(wǎng)信息點(diǎn)統(tǒng)計(jì)結(jié)果如表3.1:表3.1高科通信技術(shù)有限公司信息點(diǎn)統(tǒng)計(jì)部門財(cái)務(wù)部行政部生產(chǎn)部研發(fā)部后勤部人力資源地點(diǎn)微機(jī)室業(yè)務(wù)部部總裁辦總部102020100301080105分部22220-3-3.3.2網(wǎng)絡(luò)功能需求分析企業(yè)網(wǎng)為了方便對企業(yè)內(nèi)部辦公的信息交互和業(yè)務(wù)辦理的管理，充分利用企業(yè)內(nèi)部資源，增強(qiáng)網(wǎng)絡(luò)的可靠性和安全性，該網(wǎng)絡(luò)的主要功能需求如下：全網(wǎng)用戶都能通過邊界路由器訪問Internet。其中DNS地址為：172

19、.16.22.2212。企業(yè)申請了一個(gè)公網(wǎng)地址:/29。(1) 總部交換網(wǎng)絡(luò)STP和HSRP網(wǎng)關(guān)備份要求。(2) 總部服務(wù)器和DHCP要求，總部和分部都應(yīng)設(shè)置DHCP服務(wù)器分配IP地址。(3) ACL訪問控制要求：分部生產(chǎn)業(yè)務(wù)只能訪問總部生產(chǎn)業(yè)務(wù)及總部服務(wù)器網(wǎng)段；Internet分部辦公業(yè)務(wù)只能訪問總部辦公業(yè)務(wù)、總部服務(wù)器網(wǎng)段和上公司總部跟分部通過VPN進(jìn)行互聯(lián)，并能夠通過OSPF互聯(lián)總部與分部。(4) 保護(hù)公司內(nèi)網(wǎng)不受攻擊。3.3.3可行性分析技術(shù)可行性本設(shè)計(jì)所涉及的技術(shù)都是本人在藍(lán)狐學(xué)習(xí)時(shí)所接觸到的內(nèi)容，其中的每一項(xiàng)技術(shù)經(jīng)過老師的講解、自身

20、的消化、以及反復(fù)的上機(jī)實(shí)驗(yàn)不斷的提出問題，解決問題而得以掌握的，所以我認(rèn)為在技術(shù)上是可行的。(1) 經(jīng)濟(jì)可行性目前中小型企業(yè)層出不窮，企業(yè)對網(wǎng)絡(luò)化管理的需求也隨著時(shí)代的進(jìn)步而提高。因此，市場對中小型企業(yè)網(wǎng)絡(luò)的需求是很大，其工程實(shí)施后能將投資成本回收并且盈利，并且維護(hù)起來也比較容易。操作可行性本設(shè)計(jì)將詳細(xì)的寫出有關(guān)的操作事項(xiàng)，僅僅需要接入PC機(jī)，設(shè)置IP地址就可以連入到企業(yè)網(wǎng)絡(luò)中進(jìn)行正常的日常辦公，即使是一個(gè)不懂電腦知識的人也可以用，因此具有操作簡單、方便的特點(diǎn)。安全可行性企業(yè)網(wǎng)的安全問題分為兩個(gè)方面：一是企業(yè)內(nèi)部業(yè)務(wù)分割與企業(yè)職工對某一業(yè)務(wù)的訪問權(quán)；二是接入Internet后企業(yè)內(nèi)部數(shù)據(jù)的安全

21、。解決前者主要是采用劃分Vian、訪問控制列表(ACL)等方法來區(qū)分各業(yè)務(wù)流以及企業(yè)員工的訪問權(quán)限，而后者則主要是應(yīng)用防火墻技術(shù)來保證整個(gè)企業(yè)數(shù)據(jù)的安全性，防止非法的操作。總之，整個(gè)企業(yè)的安全可靠性是比較好的。4.9.2網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)4.1網(wǎng)絡(luò)設(shè)計(jì)技術(shù)選型現(xiàn)在的企業(yè)網(wǎng)絡(luò)存在著多種技術(shù)，不過就目前來說最主要的是有三種技術(shù)：以太網(wǎng)(Ethernet);光纖分布式數(shù)據(jù)接口(FDDI);異步傳輸網(wǎng)絡(luò)(ATM)。下面我們來分析這三種主流技術(shù)的優(yōu)缺點(diǎn)，然后在選擇一種我們認(rèn)為比較合適的企業(yè)網(wǎng)技術(shù)。以太網(wǎng)以太網(wǎng)(Ethernet)又分為標(biāo)準(zhǔn)以太網(wǎng)，快速以太網(wǎng)和千兆以太網(wǎng)技術(shù)，下面分別對這三種以太網(wǎng)加以介紹：標(biāo)準(zhǔn)

22、以太網(wǎng)標(biāo)準(zhǔn)以太網(wǎng)是三種以太網(wǎng)中吞吐雖最小的一種，為10Mbps。是最早期的以太網(wǎng)標(biāo)準(zhǔn)，采用雙(1) 絞線或者同軸電纜為傳輸介質(zhì)。使用CSMA/CD訪問控制方法來避免鏈路沖突8快速以太網(wǎng)快速以太網(wǎng)實(shí)際上是10Mbps以太網(wǎng)的100Mbps版本，所以它的運(yùn)行速度要比10M白皮書以太網(wǎng)快10倍。在用戶已經(jīng)很熟悉傳統(tǒng)以太網(wǎng)的情況下，快速以太網(wǎng)相對其他高速網(wǎng)絡(luò)技術(shù)更容易被掌握和接受。快速以太網(wǎng)與傳統(tǒng)以太網(wǎng)技術(shù)相比還具備以下優(yōu)點(diǎn)：八、?快速以太網(wǎng)和普通以太網(wǎng)同樣遵循CSMA/CD協(xié)議，現(xiàn)有的10baseT網(wǎng)絡(luò)設(shè)備可以相當(dāng)簡單地升級到快速以太網(wǎng)，保護(hù)用戶原有的投資。100BaseT集線器和網(wǎng)絡(luò)接口卡，只要比

23、10BaseT同樣的設(shè)備多花少雖費(fèi)用就可提供比普通以太網(wǎng)高10倍的性能，因此100BaseT具備更高的性價(jià)比千兆以太網(wǎng)千兆以太網(wǎng)是相當(dāng)成功的10Mbps以太網(wǎng)和100Mbps快速以太網(wǎng)連接標(biāo)準(zhǔn)的擴(kuò)展，支持CSMA/CD協(xié)議、全雙工、流控制和由IEEE802.3標(biāo)準(zhǔn)定義的管理項(xiàng)目，千兆位以太網(wǎng)將使用所有這些規(guī)范9。總之，千兆以太網(wǎng)與以前我們了解的以太網(wǎng)相同，所不同的是僅僅比快速以太網(wǎng)快十倍和它與當(dāng)前的高帶寬需求應(yīng)用程序相協(xié)調(diào)的額外特性。光纖分布式數(shù)據(jù)接口光纖分布式數(shù)據(jù)接口是一種是用光纖作為傳輸介質(zhì)的，高速的，通用的環(huán)形網(wǎng)絡(luò)，它能以100Mbps的速率跨長達(dá)100Km的距離，連接多達(dá)500個(gè)設(shè)備，

24、既可用于城域網(wǎng)絡(luò)，也可以用于小范圍局域網(wǎng)。FDDI采用令牌傳遞的方式解決共享信道沖突問題，與共享式以太網(wǎng)CSMA/CD的效率相比在理論上要稍高一點(diǎn)，然而FDDI與以太網(wǎng)一樣，其本質(zhì)仍是介質(zhì)共享、連接的網(wǎng)絡(luò)，這就意味著仍然不能提供服務(wù)質(zhì)雖，保證更高的帶寬利用率。在少雖站點(diǎn)通訊的網(wǎng)絡(luò)環(huán)境中，它可達(dá)到比共享以太網(wǎng)稍高的通訊效率，但隨著站點(diǎn)的增多，效率會(huì)急劇下降，這是侯無論從性能和價(jià)格都無法與交換式以太網(wǎng)，ATM網(wǎng)相比，交換式FDDI會(huì)提高介質(zhì)共享效率，但同交換式以太網(wǎng)一樣，這一提高也是有限的，不能解決本質(zhì)問題10。異步傳輸模式(ATM)ATM是目前網(wǎng)絡(luò)發(fā)展的新技術(shù)，它采用基于信元的異步傳輸模式和虛電

25、路結(jié)構(gòu)，根本上解決了多媒體的實(shí)時(shí)性及帶寬問題，實(shí)現(xiàn)面向虛鏈路的點(diǎn)到點(diǎn)傳輸，它通常提供155Mbps的帶寬，它既汲取了話務(wù)通訊中電路交換的有連接”服務(wù)和服務(wù)質(zhì)雖保證，又保持了以太網(wǎng)，F(xiàn)DDI等傳統(tǒng)網(wǎng)絡(luò)中帶寬可變，適于突發(fā)性傳輸?shù)撵`活性，從而成為迄今為止使用范圍最廣，技術(shù)最先進(jìn)，傳輸效果最理想的網(wǎng)絡(luò)互聯(lián)手段11。ATM技術(shù)具有如下特點(diǎn)：實(shí)現(xiàn)網(wǎng)絡(luò)傳輸?shù)逆溄臃?wù)，實(shí)現(xiàn)服務(wù)質(zhì)雖(QoS);交換吞吐雖大，帶寬利用率高，具有靈活的組網(wǎng)拓?fù)浣Y(jié)構(gòu)和負(fù)載均衡能力，伸縮性，可靠性極高：ATM是現(xiàn)今唯一一個(gè)可同時(shí)用于局域網(wǎng)、廣域網(wǎng)兩種網(wǎng)絡(luò)應(yīng)用領(lǐng)域的網(wǎng)絡(luò)技術(shù)，它將局域網(wǎng)與廣域網(wǎng)技術(shù)統(tǒng)一。由以上三種國園區(qū)網(wǎng)絡(luò)各自特點(diǎn)的介

26、紹，再結(jié)合大中型園區(qū)網(wǎng)絡(luò)的具體情況，因此選擇采用以太網(wǎng)技術(shù)中的快速以太網(wǎng)結(jié)構(gòu)，即千兆到主干，百兆接入桌面的交換式快速以太網(wǎng)技術(shù)。5.1.3拓?fù)浣Y(jié)構(gòu)選型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是指網(wǎng)絡(luò)中的各節(jié)點(diǎn)之間互聯(lián)的構(gòu)型，不同拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)其信道的訪問技術(shù)，利用率以及信息的延遲，吞吐設(shè)備開銷等各不相同，因此分別用于不同規(guī)模，不同用途的場合，其中現(xiàn)在企業(yè)網(wǎng)中所用到的拓?fù)浣Y(jié)構(gòu)有以下三類，下面分別介紹其各自的特點(diǎn)：(1)星形拓?fù)浣Y(jié)構(gòu)星形拓?fù)浣Y(jié)構(gòu)是最古老的一種連接方式，我們每天都是用的電話屬于這種結(jié)構(gòu)，如圖4.1所示。其中，電話網(wǎng)的星形結(jié)構(gòu)，為目前使用最普通的以太網(wǎng)星形結(jié)構(gòu)，處于中心位置的網(wǎng)絡(luò)設(shè)備稱為集線器。這種結(jié)構(gòu)便于集中控

27、制，因?yàn)槎擞脩糁g的通信必須經(jīng)過中心站，由于這一特點(diǎn)，也帶來了易于維護(hù)和安全等優(yōu)點(diǎn)。端用戶因?yàn)楣收隙C(jī)時(shí)也不會(huì)影響其他端用戶間圖4.1星型拓?fù)涞耐ㄐ诺@種結(jié)構(gòu)非常不利的一點(diǎn)是，中心系統(tǒng)必須具有極高的可靠性，因?yàn)橹行南到y(tǒng)一旦損壞，整個(gè)系統(tǒng)便趨于癱瘓。對此中心系統(tǒng)通常采用雙機(jī)熱備份，以提高系統(tǒng)的可靠性。(2)環(huán)形拓?fù)浣Y(jié)構(gòu)圖4.2環(huán)形拓?fù)洵h(huán)形拓?fù)浣Y(jié)構(gòu)在企業(yè)網(wǎng)中使用較多，這種結(jié)構(gòu)的傳輸媒體從一個(gè)端用戶到另一個(gè)端用戶，直到將所有端用戶連成環(huán)形。如圖4.2所示。這種結(jié)構(gòu)鮮而易見消除了端用戶通信時(shí)對中心系統(tǒng)的依賴性。環(huán)形結(jié)構(gòu)的特點(diǎn)是，每個(gè)端用戶都與兩個(gè)相臨的端用戶相連，因而存在著點(diǎn)到點(diǎn)鏈接路，但總是以單向

28、方式操作?？偩€拓?fù)浣Y(jié)構(gòu)總線結(jié)構(gòu)是使用同一媒體或電纜連接所有端用戶的一種方式，也就是說，連接端用戶的物理媒體所有設(shè)備共享。如圖4.3所示。使用這種結(jié)構(gòu)必須解決的一個(gè)問題是確保端用戶使用媒體發(fā)送數(shù)據(jù)時(shí)不能出現(xiàn)沖突。在點(diǎn)到點(diǎn)鏈路配置時(shí)，這是相當(dāng)簡單的。如果這條鏈路是半雙工操作，只需要簡單的機(jī)制便可保證兩個(gè)端用戶輪流工作。在一點(diǎn)到多點(diǎn)方式中，對線路的訪問依靠控制端的探詢來確定。然而，在園區(qū)網(wǎng)環(huán)境下，由于所有數(shù)據(jù)站都是平等的，不能采取上述機(jī)制。對此研究了一種在總線共享型網(wǎng)絡(luò)使用的媒體訪問方法，帶有碰撞檢測的載波偵聽多路訪問，即CSMA/CD圖4.3總線型拓?fù)浞治鲆陨先N常見網(wǎng)絡(luò)拓?fù)涓髯蕴攸c(diǎn)，因此選擇以星

29、型拓?fù)浣Y(jié)構(gòu)為基礎(chǔ)，吸取總線型拓?fù)涞牟糠謨?yōu)點(diǎn)，以增加冗余結(jié)構(gòu)的網(wǎng)絡(luò)拓?fù)洹?.3主干網(wǎng)設(shè)計(jì)4.3.1設(shè)計(jì)目標(biāo)企業(yè)網(wǎng)的主干網(wǎng)主要用來實(shí)現(xiàn)數(shù)據(jù)的高速穩(wěn)定的轉(zhuǎn)發(fā),是企業(yè)網(wǎng)中的核心。子網(wǎng)之間的通信，企業(yè)總部與分部之間的通信都要靠主干網(wǎng)來實(shí)現(xiàn)路由轉(zhuǎn)發(fā)隨著時(shí)代的發(fā)展,古老的80/20數(shù)據(jù)模型已經(jīng)遠(yuǎn)遠(yuǎn)跟不上企業(yè)的需求，取而代之的20/80的數(shù)據(jù)模型，即20%的數(shù)據(jù)在本地，而80%的數(shù)據(jù)在遠(yuǎn)程，同時(shí)企業(yè)內(nèi)部子網(wǎng)之間的通信數(shù)據(jù)流雖也是非常大的，因此對企業(yè)主干網(wǎng)的要求不僅是可靠性要高，還必須做到高帶寬，實(shí)現(xiàn)數(shù)據(jù)的高速傳輸與高速轉(zhuǎn)發(fā)。4.3.2主干網(wǎng)解決方案鏈路選型為了實(shí)現(xiàn)數(shù)據(jù)在企業(yè)網(wǎng)內(nèi)部能夠高速的轉(zhuǎn)發(fā)而實(shí)現(xiàn)數(shù)據(jù)的低延

30、遲轉(zhuǎn)發(fā),在接入層米用百兆鏈路到桌面，在這種要求下，對于一個(gè)24口交換機(jī)而言，上行最大流雖為100*24*2=4800M,從網(wǎng)絡(luò)的可擴(kuò)展性考慮，企業(yè)網(wǎng)匯聚層與核心層之間應(yīng)該采用萬兆鏈路比較適宜。主干網(wǎng)路由解決方案在企業(yè)網(wǎng)中對路由協(xié)議的選擇一般可以選擇RIP和OSPF這兩種12,RIP是一中距離矢雖路由協(xié)議，根據(jù)到目標(biāo)地址的跳數(shù)多少來選擇路由，每30S發(fā)送一次路由更新，有最大15跳限制。OSPF是一種鏈路狀態(tài)協(xié)議，根據(jù)鏈路的帶寬來選擇到達(dá)目標(biāo)地址的路由，只有在拓?fù)浣Y(jié)構(gòu)發(fā)生變化時(shí)才會(huì)發(fā)送鏈路狀態(tài)更新消息，沒有最大跳數(shù)限制，具有區(qū)域的概念。在高科通信技術(shù)有限公司網(wǎng)絡(luò)設(shè)計(jì)方案中采用OSPF作為主干網(wǎng)的路

31、由協(xié)議。總部核心層交換機(jī)防火墻和邊界路由器組成主干區(qū)域Area0?？偛颗c分部互聯(lián)解決方案在本方案中高科通信技術(shù)有限公司總部與分部通過VPN互聯(lián)，并且采用能封裝組播數(shù)據(jù)包的GRE協(xié)議作為VPN的封裝協(xié)議。子網(wǎng)設(shè)計(jì)辦公子網(wǎng)設(shè)計(jì)辦公子網(wǎng)分布在和分部的辦公大樓內(nèi)，接入層交換機(jī)通過Trunk鏈路分別與兩臺核心層交換機(jī)相連。屬于同一部門的信息點(diǎn)劃分到同一個(gè)VLAN內(nèi)，在總部各部門之間的通信使用SVI三層邏輯接口作為相應(yīng)VLAN的網(wǎng)關(guān)，在核心層使用VRRP技術(shù)實(shí)現(xiàn)網(wǎng)關(guān)的冗余，從而增加網(wǎng)絡(luò)的可靠性。在接入層與核心層之間采用了環(huán)形拓?fù)湓O(shè)計(jì)，為了避免二層環(huán)路，在核心層與接入層之間部署STP。兩臺核心層交換機(jī)分別為

32、根網(wǎng)橋和備份根網(wǎng)橋。1 宿舍樓子網(wǎng)設(shè)計(jì)宿舍樓子網(wǎng)主要業(yè)務(wù)是對Internet的訪問，由于距離中心機(jī)房較遠(yuǎn)，宿舍樓子網(wǎng)采用三層結(jié)構(gòu)，接入層交換機(jī)接入到匯聚層交換機(jī)上，匯聚層交換機(jī)通過光纖鏈路連接到中心機(jī)房核心層交換機(jī)上，宿舍樓內(nèi)每個(gè)宿舍屬于同一個(gè)VLAN，通過匯聚層上SVI接口實(shí)現(xiàn)VLAN之間的通信，匯聚層通過三層接口與核心層相連，在匯聚層上有默認(rèn)路由來實(shí)現(xiàn)接入層設(shè)備到核心層從而訪問Internet的路由。分部辦公子網(wǎng)設(shè)計(jì)企業(yè)分部主要業(yè)務(wù)為實(shí)現(xiàn)辦公自動(dòng)化，郵件，Internet訪問。企業(yè)分部相同的部門劃分到同一個(gè)VLAN中，VLAN之間的通信可以由單臂路由技術(shù)實(shí)現(xiàn)，邊界路由器接入到Interne

33、t中,同時(shí)配置一條默認(rèn)路由指向外網(wǎng)，供分部訪問Internet的路由。網(wǎng)管子網(wǎng)設(shè)計(jì)當(dāng)網(wǎng)絡(luò)建設(shè)完成后，所有的網(wǎng)絡(luò)設(shè)備應(yīng)該是可以進(jìn)行管理的。在本設(shè)計(jì)方案中為了能對網(wǎng)絡(luò)中所有的設(shè)備進(jìn)行方便統(tǒng)一的管理，所有的設(shè)備均配置網(wǎng)絡(luò)管理地址。對于不能啟用三層接口的二層設(shè)備網(wǎng)管接口采用SVI接口，三層設(shè)備配置Loopback接口作為網(wǎng)管接口。除了console口從其余接口登錄設(shè)備均采用AAA認(rèn)證，并對操作行為進(jìn)行審計(jì)。5總部與分部VLAN的劃分在本方案中對VLAN的劃分采用基于端口的劃分方式，相同的部門劃分到相同的VLAN內(nèi)，表4.1與表4.2分別列出了總部與分部VLAN的劃分方案。表4.1總部vlan劃分方案部

34、門Vlan號/Vian名稱信息點(diǎn)數(shù)微機(jī)室2/weijs10財(cái)務(wù)部3/caiwb20行政部4/xingzb20生產(chǎn)部5/shengcb100研發(fā)部6/yanfb30后勤部7/houqb10業(yè)務(wù)部8/yewb80人力資源部9/renlzyb10總裁辦10/zongcb5會(huì)議室11/huiys20服務(wù)器20/fuwq10網(wǎng)管55/wangg不占物理接口Ospf互聯(lián)vlan901/hul不占物理接口表4.2分部vlan劃分方案部門Vlan號/vlan名稱信息點(diǎn)數(shù)微機(jī)室2/weijs2財(cái)務(wù)部3/caiwb2行政部4/xingzb2銷售部5/xiaosb20后勤部6/houqb3網(wǎng)管22/wangg不占用

35、物理接口4.5網(wǎng)絡(luò)安全設(shè)計(jì)DHCP存在的威脅分析及解決方案DHCP服務(wù)器冒充由于DHCP服務(wù)器和客戶端之間沒有認(rèn)證機(jī)制，所以如果在網(wǎng)絡(luò)上隨意添加一臺DHCP服務(wù)器，它就可以為客戶端分配IP地址以及其他網(wǎng)絡(luò)參數(shù)，該安全威脅引起的后果輕則用戶終端獲取到不一致的IP信息，造成終端之間通信的問題，里則用戶終端獲取不到不安全的IP信息，造成中間人攻擊或者網(wǎng)絡(luò)釣魚13】。dhcpServer的拒絕服務(wù)攻擊攻擊者不斷發(fā)dhcp請求把dhcpServer上合法的ip地址都申請完，讓其下班”此時(shí)再由黑客冒充dhcpServer為整個(gè)網(wǎng)絡(luò)分配錯(cuò)誤的IP地址，使網(wǎng)絡(luò)不能與外界通信。(3)解決方案面對以上威脅，可以部

36、署DHCPSnooping技術(shù)來解決。dhcpSnooping是一種功能非常強(qiáng)大的保證DHCP服務(wù)安全部署的機(jī)制，通過在開啟DHCPSnooping功能的交換機(jī)上定義Trust端口和untrust端口來實(shí)現(xiàn)對dhcpServer冒充防范和攻擊。同時(shí)，并非所有來自untrust端口的DHCP請求都被允許通過，交換機(jī)還可以比較圭寸裝dhcp客戶機(jī)的硬件地址(即CHADDR字段)，只有這兩者相同的請求報(bào)文才會(huì)被轉(zhuǎn)發(fā)，否則將被丟棄，這樣就防止了dhcp地址耗盡攻擊。STP高級特性部署根保護(hù)根保護(hù)(RootGuard)是基于端口配置的，并且不允許該端口成為一個(gè)STP的根端口，設(shè)置了根保護(hù)的端口如果收到一

37、個(gè)更優(yōu)的新bpdu,它將把本端口設(shè)置為Root-inconslisten狀態(tài)，該狀態(tài)下不會(huì)收發(fā)數(shù)據(jù)。不會(huì)成為根端口，只會(huì)監(jiān)聽bpdu,當(dāng)交換機(jī)拿開后這個(gè)端口又會(huì)正常收斂14】。在對設(shè)備配置時(shí)，所有的接入層端口全部配置STP根保護(hù)特性。Loopguard在企業(yè)網(wǎng)的接入層和分布層的非指定端口(邊緣端口除外)部署Loopguard保護(hù)特性，配置了Loopguard特性的端口在bpdu丟失持續(xù)20秒后變?yōu)長oop-ineonsistent狀態(tài)，該端口被Blocking來防止循環(huán)的形成，并保持在非指定端口角色?？偛颗c分部互聯(lián)安全性部署在本方案中分部與總部互聯(lián)采用GREVpN來實(shí)現(xiàn)總部與分部的互聯(lián)，GRE

38、可以支持組播，這種情況下總部與分部可以通過OSpF動(dòng)態(tài)路由協(xié)議來實(shí)現(xiàn)總部與分部之間的路由。然而，GRE協(xié)議本身不安全，他不對數(shù)據(jù)進(jìn)彳亍加密，這樣，攻擊者就可以在Internet上截獲企業(yè)的數(shù)據(jù)信息。為了增強(qiáng)總部與分部互聯(lián)的安全性，在GRE的基礎(chǔ)上部署IpSEC即GREoverIpSEC。邊界安全設(shè)計(jì)企業(yè)網(wǎng)邊界是企業(yè)網(wǎng)內(nèi)部通向Internet的必經(jīng)之地，同時(shí)Internet上的數(shù)據(jù)也是從企業(yè)網(wǎng)邊界進(jìn)入到企業(yè)網(wǎng)的內(nèi)部，Internet上存在著太多的不安全因素，因此，邊界的安全系數(shù)決定著企業(yè)網(wǎng)的安全性。為了確保網(wǎng)絡(luò)的安全性，通常的做法是部署防火墻，在防火墻上配置策略拒絕所有的非法流雖，只允許合法流雖

39、進(jìn)入到企業(yè)網(wǎng)的內(nèi)部。所謂非法流雖，防火墻拒絕通過的流雖。下面分析本企業(yè)網(wǎng)中的合法流雖。所有目標(biāo)端口為80的流雖即Internet上訪問企業(yè)網(wǎng)站的流雖；分部訪問總部的流雖分部對總部服務(wù)器和相關(guān)業(yè)務(wù)訪問的流雖；OSpF流雖包括OSpF鏈路更新和Hello消息流雖。ACL訪問控制設(shè)計(jì)在企業(yè)網(wǎng)內(nèi)部，財(cái)務(wù)部除了總裁辦和財(cái)務(wù)部成員可以訪問，其余部門不能對財(cái)務(wù)部進(jìn)行訪問，在總部和分部都可以通過ACL訪問控制列表來實(shí)現(xiàn)。另外應(yīng)該保證只有特定的用戶能對設(shè)備進(jìn)行遠(yuǎn)程登錄，在高科通信有限公司企業(yè)網(wǎng)中只有屬于微機(jī)室子網(wǎng)用戶能夠?qū)υO(shè)備進(jìn)行Telnet操作。4.6對Internet訪問的實(shí)現(xiàn)在高科通信技術(shù)有限公司企業(yè)網(wǎng)建

40、設(shè)過程中有對Internet訪問的需求，為了節(jié)約IP地址，由于企業(yè)內(nèi)部在同一時(shí)間內(nèi)會(huì)有多人要對Internet進(jìn)行訪問，NAT技術(shù)不能很好的滿足這種需求，在本設(shè)計(jì)中采用pat技術(shù)來實(shí)現(xiàn)企業(yè)網(wǎng)內(nèi)部對Internet的訪問。4.7設(shè)備選型設(shè)備選型原則：代表目前網(wǎng)絡(luò)系統(tǒng)設(shè)備的先進(jìn)水平；具備較強(qiáng)的安全性；具備優(yōu)良的RAS性能一可靠性、安全性、可維護(hù)性;具備優(yōu)良的可擴(kuò)充性和升級能力;具備優(yōu)良的性價(jià)比。基于以上的設(shè)備選型原則，表4.3列出了設(shè)計(jì)的設(shè)備選型方案。表4.3設(shè)備選型設(shè)備位置設(shè)備名稱優(yōu)點(diǎn)設(shè)備數(shù)量Cisco轉(zhuǎn)發(fā)速率快，設(shè)備穩(wěn)定核心層核心交換機(jī)WS-C6509-E可靠2Cisco具有12個(gè)千兆位以太網(wǎng)

41、SFP匯聚層一匯聚層交換機(jī)WS-C3560-24TS-S端口，支持單模及多模光纖2基于標(biāo)準(zhǔn)的虛擬專網(wǎng)、核心層一防火墻CiscoPIX525白適應(yīng)安全算法、靜態(tài)2故障切換/熱備用Cisco可以實(shí)現(xiàn)堆疊，以保證接入層一接入層交換機(jī)WS-C2950-24TC-L端口數(shù)量足夠的多16具有入侵保護(hù)防火墻邊界路由器Cisco2811功能24.8網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)高科通信技術(shù)有限公司企業(yè)網(wǎng)由辦公子網(wǎng)、宿舍樓子網(wǎng)、服務(wù)器區(qū)、路由區(qū)以及分部子網(wǎng)構(gòu)成,拓?fù)浣Y(jié)構(gòu)如圖4.4所示。辦公子網(wǎng)主要承載公司日常辦公業(yè)務(wù)，接入層交換機(jī)直接接到公司的核心交換機(jī)上。宿舍樓子網(wǎng)通過兩臺匯聚層交換機(jī)連接到公司核心層交換機(jī)上。服務(wù)器區(qū)為公

42、司的服務(wù)器群，提供FTP、DNS、WEB等服務(wù)。路由區(qū)為提供全網(wǎng)路由，由宿舍樓匯聚層，核心層，防火墻以及所有邊界路由器組成。分部子網(wǎng)主要承載分部辦公業(yè)務(wù)，通過單臂路由技術(shù)來實(shí)現(xiàn)部門之間和對Internet的訪問。4.9IP地址規(guī)劃4.9.1IP地址需求分析有可能接PC的信息點(diǎn)；有服務(wù)器；網(wǎng)絡(luò)中的所有三層鏈路；所有設(shè)備的網(wǎng)絡(luò)管理地址；本網(wǎng)IP地址使用私有地址/16地址塊進(jìn)行劃分高科通信技術(shù)有限公司網(wǎng)絡(luò)拓?fù)鋱D圖4.4高科通信技術(shù)有限公司拓?fù)鋱D一少IP地址規(guī)劃原則子網(wǎng)唯一性應(yīng)該保證全網(wǎng)不存在相同的IP地址按子網(wǎng)劃分相同子網(wǎng)的設(shè)備的IP應(yīng)該劃分在同一個(gè)網(wǎng)段內(nèi)可擴(kuò)展性預(yù)留一定的IP地

43、址空間供網(wǎng)絡(luò)擴(kuò)展用最大匯總原則全網(wǎng)IP可以匯總成一個(gè)或較少的幾個(gè)IP網(wǎng)段實(shí)意性使IP地址具有實(shí)際的含義，看到IP®fft知道他的用途宿舍摟子網(wǎng)分部子網(wǎng)IP地址規(guī)劃方案本網(wǎng)采用先地區(qū)后業(yè)務(wù)劃分方法進(jìn)行IP地址分配。按照172.16地區(qū)位（3位）業(yè)務(wù)位（2位）子網(wǎng)位（3位）.子網(wǎng)位（1位）主機(jī)位規(guī)則對IP地址進(jìn)行劃分，表4.4-表4.8列出了具體的IP地址規(guī)劃方案：表4.4地區(qū)位代碼表地區(qū)位代碼地區(qū)Ip地址段0骨干172.16.O.O/191骨干（預(yù)留）172.16.32.O/192總部172.16.64.O/193總部（預(yù)留）172.16.96.O/194分公司1172.16.128.

44、O/19表4.5業(yè)務(wù)功能代碼表業(yè)務(wù)功能位代碼業(yè)務(wù)0三層設(shè)備Loopback地址1鏈路地址2二層交換機(jī)網(wǎng)管地址3辦公業(yè)務(wù)表4.6鏈路及l(fā)oopback接口IP地址分配表設(shè)備接口Ip對端設(shè)備對端接口對端ipS1LoopbackO172.16.O.1/32-S1Vian900/3OS2Vian9OO/3OS1FO/1/3OS3FO/1/3OS1F0/0/3OFW1E1O/3OS2LoopbackO172.16.O.2/32-S2F0/03/3OS4FO/O172

45、.16.8.14/3OS2FO/17/3OFW2EO8/3OS3LoopbackO172.16.O.3/32-SW4LoopbackO172.16.O.4/32-FW1管理地址172.16.O.5/32-FW1E21/3OR1EO/O2/3OFW2E25/3OR1EO/16/3OR1TunnelO9/30R2Tunnel。0/30R2LoopbackO/32-表4.7總部Vianip地址分配表Vlan號IP地址范圍

46、網(wǎng)關(guān)2 28-55/2529/253 28-55/2529/254 -27/25/255 -27/2529/256 -27/25/257 28-55/2529/258 -172.16

47、.59.127/25/259 28-55/2529/2510 -27/25/2511 28-55/2529/2520-28/25/2555/21-表4.8分部Vianip地址分配表Vian號Ip地址范圍網(wǎng)關(guān)2 -27/25172.16.152.

48、1/253 28-55/2529/254 -27/25/255 28-55/2529/256 -27/25/2522/21-4.9.3工程實(shí)施5.1綜合布線方案5.1.1需求分析公大樓和宿高科通信技術(shù)有限公司總部園區(qū)內(nèi)包括辦公樓，宿舍樓和生產(chǎn)大樓各一棟，公司辦舍樓的距離已經(jīng)超過了雙絞線布

49、線的技術(shù)要求，因此采用光纖進(jìn)行布線。園區(qū)的綜合布線系統(tǒng)是一個(gè)高標(biāo)準(zhǔn)的布線系統(tǒng)，水平系統(tǒng)和工作區(qū)采用超五類元件，主干采用光纖，構(gòu)成主干千兆以太網(wǎng)。不僅能滿足現(xiàn)有數(shù)據(jù)、語音、圖像等信息傳輸?shù)囊?，也為今后的發(fā)展奠定基礎(chǔ)。整個(gè)企業(yè)網(wǎng)共有信息點(diǎn)500個(gè)左右，公司總部公有信息點(diǎn)400左右，分公司有100個(gè)左右。針對以上要求，對計(jì)算機(jī)內(nèi)網(wǎng)綜合布線系統(tǒng)提出自己的解決方案。建筑群間的光纜采用OT-T的多模光纖系統(tǒng)。大樓內(nèi)布線采用AVAYA的超五類雙絞線結(jié)構(gòu)化布線結(jié)構(gòu)。5.1.2綜合布線系統(tǒng)結(jié)構(gòu)綜合布線系統(tǒng)部分結(jié)構(gòu)如圖5.1所示：信息插座圖5.1綜合布線系統(tǒng)結(jié)構(gòu)圖根據(jù)綜合布線國際標(biāo)準(zhǔn)ISO11801的定義，綜合

50、布線系統(tǒng)可由以下子系統(tǒng)組成：工作區(qū)子系統(tǒng)(WorkAreaSubsystem)工作區(qū)子系統(tǒng)由信息插座延伸至用戶終端設(shè)備的布線組成，包括信息插座和相應(yīng)的連接軟線口5】。用戶能方便地把計(jì)算機(jī)、電話、傳真等不同的終端設(shè)備接入大樓的通信網(wǎng)絡(luò)系統(tǒng)。水平干線子系統(tǒng)(HorizontalSubsystem)水平布線子系統(tǒng)由樓層配線間延伸至信息插座的布線組成，通常可采用超五類雙絞線，我們這里采用的是超五類雙絞線，也可采用光纜以滿足高傳輸帶寬應(yīng)用或長傳輸距離的要求。水平布線提供大樓網(wǎng)絡(luò)通信系統(tǒng)到用戶終端設(shè)備的信息傳輸1切。垂直干線子系統(tǒng)(RiserBackbonesubsystem)垂直干線子系統(tǒng)也稱骨干(Ri

51、serBackbone子系統(tǒng)，它是整個(gè)建筑物綜合布線系統(tǒng)的一部分。它提供建筑物的干線電纜，負(fù)責(zé)連接管理間子系統(tǒng)到設(shè)備間子系統(tǒng)的子系統(tǒng)，我們使用光纜來連接管理間子系統(tǒng)和設(shè)備間子系統(tǒng)。管理間子系統(tǒng)(Administrationsubsystem)管理間子系統(tǒng)由交連、互連和I/O組成。管理間為連接其它子系統(tǒng)提供手段，它是連接垂直干線子系統(tǒng)和水平干線子系統(tǒng)的設(shè)備，其主要設(shè)備是配線架、HUB和機(jī)柜、電源。建筑群子系統(tǒng)(BuildingBackboneSubsystem)建筑群子系統(tǒng)由大樓配線間延伸至各樓層配線間的布線組成。該子系統(tǒng)亦包括各配線間的配線架，跳接線等。采用的線纜是超五類雙絞線。大樓配線間和樓

52、層配線間通常也用于放置網(wǎng)絡(luò)設(shè)備和其他有源設(shè)備。建筑群子系統(tǒng)提供大樓內(nèi)通信網(wǎng)絡(luò)信息交換的主干通道。設(shè)備間子系統(tǒng)(EquipmentSubsystem)設(shè)備間子系統(tǒng)也稱設(shè)備子系統(tǒng)，設(shè)備間子系統(tǒng)由電纜、連接器和相關(guān)支撐硬件組成。它把各種公共系統(tǒng)設(shè)備的多種不同設(shè)備互連起來，其中包括郵電部門的光纜、同軸電纜、程控交換機(jī)等。綜合布線系統(tǒng)總體設(shè)計(jì)為了滿足高科通信技術(shù)有限公司將來靈活組網(wǎng)的需要，在公司總部辦公樓、分公司等建筑物內(nèi)各設(shè)有配線間。整個(gè)園區(qū)設(shè)備間機(jī)房安置在總部辦公大樓的4樓，各分公司的設(shè)備間機(jī)放安置在各分公司的一樓。為充分滿足公司內(nèi)部及對外高速高容雖信息通信的需要，系統(tǒng)采用高速高容雖的多模光纖作為園

53、區(qū)的網(wǎng)絡(luò)主干。建筑物內(nèi)采用先進(jìn)的超五類非屏蔽布線系統(tǒng)。根據(jù)技術(shù)規(guī)范，選用高性能UTP非屏蔽系統(tǒng)，傳輸參數(shù)可達(dá)到200MHz，通道傳輸性能在200MHz時(shí)ACR>3dB,250MHz時(shí)ACR>0dB，通道傳輸性能不低于招標(biāo)技術(shù)要求所附性能參數(shù)表的要求。因此，本方案建議采用AVAYA超五類UTP產(chǎn)品，其傳輸帶寬可達(dá)200MHZ以上，可靠支持新的千兆以太網(wǎng)、2.4GbpsATM及高達(dá)550MHZ的寬帶語音應(yīng)用，為今后新的高速網(wǎng)絡(luò)應(yīng)用留有充足的性能余雖。在施工中注意事項(xiàng)仔細(xì)查閱其它專業(yè)的施工圖紙?jiān)谑┕で?，必須仔?xì)查閱其他專業(yè)的施工圖紙，尤其是土建結(jié)構(gòu)施工圖、水、電、通風(fēng)施工圖。因?yàn)樗铰酚?/p>

54、的長短將會(huì)對設(shè)計(jì)的等級有一定的影響，而土建結(jié)構(gòu)施工圖、水、電、通風(fēng)施工圖對水平布線子系統(tǒng)管線路由的走向影響最大。在審圖時(shí)，建議用比例尺在圖紙上認(rèn)真測雖，為水平布線子系統(tǒng)找出最合理的路由走向，這樣既節(jié)省水平線纜的長度，又避免與其他專業(yè)管路發(fā)生沖突，由于電氣專業(yè)管線不可避免的要與其他各專業(yè)管路交又更疊，發(fā)生矛盾的現(xiàn)象，給土建專業(yè)帶來地面超高等問題。綜合布線一般由專業(yè)公司負(fù)責(zé)安裝調(diào)試，施工方僅做管路預(yù)埋、線纜敷設(shè)，如果在施工中敷衍了事，不遵循“管線路由最短”的原則，就會(huì)增加水平布線子系統(tǒng)管線的長度，不利于提高綜合布線系統(tǒng)的通信能力、不利于通信系統(tǒng)的穩(wěn)定性、不利于通信傳輸速率的提高。建議在施工中應(yīng)滿足

55、設(shè)計(jì)余雖因?yàn)樵趯?shí)際施工中，不可能使水平線纜一直保持直線路由，所以實(shí)際安裝中，需要的線纜總會(huì)比圖紙上統(tǒng)計(jì)的雖大的多，這就需要電氣工程師考慮一定的余雖。余員的計(jì)算方法是將一張平面圖紙上離配線架最遠(yuǎn)的信息點(diǎn)的線纜圖紙長度（圖紙上用比例尺雖出的長度），和最近的信息點(diǎn)的線纜圖紙長度相加，除以2,得出得數(shù)值為信息點(diǎn)的平均圖紙長度，取平均長度的30%作為余雖，否則就會(huì)造成不必要的材料浪費(fèi)或不足。采用質(zhì)雖可靠的管路和線纜在大多數(shù)設(shè)計(jì)中，水平布線子系統(tǒng)是被設(shè)計(jì)在吊頂、墻體或底板內(nèi)的，所以可以認(rèn)為水平子系統(tǒng)是不可更改、永久的系統(tǒng)。在安裝中，應(yīng)盡雖使用性能優(yōu)良、質(zhì)雖可靠的管路和線纜，保證用戶日后不破壞建筑結(jié)構(gòu)。嚴(yán)格

56、遵守綜合布線系統(tǒng)規(guī)范良好的安裝質(zhì)雖，可以使水平布線子系統(tǒng)在其工作周期內(nèi)，始終保證良好工作狀態(tài)和穩(wěn)定的工作性能，尤其對于高性能的通信線纜和光纖，安裝質(zhì)雖的好壞對系統(tǒng)的開通影響尤其顯著，因此在安裝線纜中，要嚴(yán)格遵守EIA/TIA569規(guī)范標(biāo)準(zhǔn)。選材標(biāo)準(zhǔn)必須一致綜合布線系統(tǒng)所選用的線纜、信息插座、跳線、連接線等部件，必須與選擇的類型一致，如選用超5類標(biāo)準(zhǔn)，則線纜、信息插座、跳線、連接線等部件必須為超5類；如系統(tǒng)采用屏蔽措施，則系統(tǒng)選用的所有部件均為屏蔽部件，只有這樣才能保證系統(tǒng)屏蔽效果，達(dá)到整個(gè)系統(tǒng)的設(shè)計(jì)性能指標(biāo)。服務(wù)器的配置FTP的配置(1)安裝IIS進(jìn)入“控制面板”一一雙擊“添加或刪除程序”一一

57、單擊“添加/刪除Windows組件”一一在組件”列表框中，雙擊應(yīng)用程序服務(wù)器”一一擊“Internet信息服務(wù)(IIS)”一從中選擇萬維網(wǎng)服務(wù)”雙擊萬維網(wǎng)服務(wù)”，從中選擇“ActiveServerPages”及萬維網(wǎng)服務(wù)”等。配置FTP服務(wù)器打開IIS服務(wù)器選擇FTP站點(diǎn)，右擊網(wǎng)站”，在彈出菜單中選擇新建一網(wǎng)站”，打開網(wǎng)站創(chuàng)建向?qū)А?。依次輸入站點(diǎn)描述，IP地址和端口設(shè)置，用戶隔離，站點(diǎn)主目錄，站點(diǎn)訪問權(quán)限最后完成17。WEB服務(wù)器的搭建(1)安裝IIS,萬維網(wǎng)服務(wù)(2.)在開始”菜單中選擇管理工具Tnternet信息服務(wù)(IIS)管理器”一在Internet信息服務(wù)(IIS)管理器”中雙擊本地計(jì)算機(jī)”。右擊網(wǎng)站”，在彈出菜單中選擇新建一網(wǎng)站”，打開網(wǎng)站創(chuàng)建向?qū)А薄?/p>