小型企業(yè)網(wǎng)組網(wǎng)方案拓撲規(guī)劃及設備選型最終方案

長沙理工大學計算機與通信工程學院《計算機網(wǎng)絡》課程設計報告 劉洪俊院系計算機與通信工程專業(yè)通信工程班級通信10-02學號學生姓名劉洪俊指導教師吳佳英課程成績完畢日期2023年7月12日小型公司網(wǎng)組網(wǎng)方案—拓撲規(guī)劃及設備選型學生姓名：劉洪俊指導老師：吳佳英摘要本文要實現(xiàn)小型公司網(wǎng)組網(wǎng)的拓撲規(guī)劃及設備選型。為了考慮到小型公司網(wǎng)絡的負載均衡和穩(wěn)定性能，在拓撲結構中，本方案采用三層網(wǎng)絡結構。其中，核心層采用兩臺設備，保證網(wǎng)絡的可靠性。路由協(xié)議則選擇安全性高、收斂速度快的OSPF協(xié)議。其中用到的路由互換協(xié)議尚有支持VLAN間數(shù)據(jù)傳輸?shù)腣TP協(xié)議。我們采用Cisco互換機帶寬聚合技術將多條物理線路捆綁為一條邏輯鏈路，使其有更高帶寬。對于網(wǎng)絡中也許存在的安全威脅，針對不同的需求，方案中提出了VLAN技術、訪問控制列表、防火墻技術以及VPN等安全解決方案，并根據(jù)不同層的技術規(guī)定選定設備，以求構建一個安全、高效、可靠的公司網(wǎng)絡，并在GNS3中模擬實現(xiàn)。關鍵詞網(wǎng)絡拓撲結構，三層網(wǎng)絡結構，OSPF協(xié)議，VLAN技術，GNS3。1引言在現(xiàn)在的社會背景下，一個公司要提高競爭力，就必須實現(xiàn)公司信息化，甚至可以說，沒有公司的信息化就沒有競爭力。公司信息化指將信息網(wǎng)絡技術、計算機、Internet以及電子商務運用到公司的市場調研、產(chǎn)品研發(fā)、技術改造、質量控制、供應鏈、資金周轉、成品物流等全過程，從而實現(xiàn)信息化。搞不搞信息化，已經(jīng)不是公司的發(fā)展問題，而是生存問題。公司信息化的目的是為了提高公司運作效率、減少成本、進一步提高公司競爭力。這一切都是建立在公司網(wǎng)絡上面的，因而一個公司必須建立相應的網(wǎng)絡以實現(xiàn)信息傳輸。公司的業(yè)務已經(jīng)全面電子化，與Internet的聯(lián)系相稱緊密，所以他們需要良好的信息平臺去支撐業(yè)務的高速發(fā)展。沒有信息技術背景的公司也將會對網(wǎng)絡建設有積極訴求。任何決策的科學性和可靠性都是以信息為基礎的，信息和決策是同一管理過程中的兩個方面，因此行業(yè)信息化也就成了人們所討論并實踐著的重要課題。公司內部網(wǎng)絡的建設已經(jīng)成為提高公司核心競爭力的關鍵因素。公司網(wǎng)已經(jīng)越來越多地被人們提到，運用網(wǎng)絡技術，現(xiàn)代公司可以在客戶、合作伙伴、員工之間實現(xiàn)優(yōu)化的信息溝通，公司網(wǎng)絡的優(yōu)劣直接關系到公司能否獲得關鍵的競爭優(yōu)勢。眾多行業(yè)巨擘紛紛上馬各種應用方案且取得了巨大的成功，這使信息化建設更具吸引力。在這種時代背景下，公司也就要相應地做出信息化的戰(zhàn)略選擇。本文就以小型公司為例，重點分析一個小型公司所需要的網(wǎng)絡拓撲結構，以及相應所選取的設備等。1.1本文重要內容本文第二節(jié)重要介紹公司網(wǎng)絡的設計的原理；第三節(jié)模擬公司的身份提出網(wǎng)絡規(guī)劃的需求；第四節(jié)給出了具體的拓撲圖設計流程(論文中對網(wǎng)絡分三層設計),并得出最后調試成功的網(wǎng)絡拓撲圖；第五節(jié)按照第四節(jié)的拓撲結構規(guī)定，在每一個分層設計中選定了各層需要的設備。第六節(jié)對本次課程設計做出分析，重要涉及設計中的問題、解決方法以及完畢設計后得到的提高。論文的最后附有參考文獻，并在附錄里面列出了設備選型時的參考設備及相應的參數(shù)。1.2設計平臺GNS3是一款優(yōu)秀的具有圖形化界面可以運營在多平臺（涉及Windows,Linux,andMacOS等）的網(wǎng)絡虛擬軟件。Cisco網(wǎng)絡設備管理員或是想要通過CCNA,CCNP,CCIE等Cisco認證考試的相關人士可以通過它來完畢相關的實驗模擬操作。同時它也可以用于虛擬體驗Cisco網(wǎng)際操作系統(tǒng)IOS或者是檢查將要在真實的路由器上部署實行的相關配置。設計網(wǎng)絡拓撲圖使用GNS3軟件，軟件界面如圖2.1所示圖1.2GNS3軟件界面2設計原理2.1公司網(wǎng)絡設計原理（一）先進性公司網(wǎng)絡采用了百兆光纖接入，核心和接入層互換機都采用的是100mbps的接口，使得主干網(wǎng)絡擁有充足的帶寬，核心采用高性能的cisco三層互換機，可以使整個網(wǎng)絡可以高效的運營。隨著計算機應用的不斷普及和發(fā)展，計算機系統(tǒng)對網(wǎng)絡性能的規(guī)定已經(jīng)并將繼續(xù)不斷提高，高帶寬、低延遲是對互換網(wǎng)絡設備的基本規(guī)定。網(wǎng)絡互換設備應當提供從數(shù)據(jù)中心到樓層配線間直至桌面的高速網(wǎng)絡連接，互換機必須具有無阻塞互換能力。綜合考慮先進性和成熟性，結合實際應用需求，市教育城域網(wǎng)可采用千兆以太網(wǎng)、快速以太網(wǎng)作為主干技術連接數(shù)據(jù)中心和各學?；Q機，采用千兆以太網(wǎng)、快速以太網(wǎng)或以太網(wǎng)接口連接服務器和客戶機。（二）標準性對整個系統(tǒng)的布線嚴格按照國際通用和國家制定的標準實行。整個過程也有專人監(jiān)督，杜絕違反相關技術規(guī)定的事情出現(xiàn)。在當今流行的Internet/intranet計算方式下，應用系統(tǒng)將以大量客戶機同時訪問少量服務器為特性，規(guī)定網(wǎng)絡互換機必須具有有效的積極式擁塞管理功能，以避免通常出現(xiàn)在服務器網(wǎng)絡接口處的擁塞現(xiàn)象，杜絕數(shù)據(jù)包的丟失。以硬件互換為特性的多層互換技術已經(jīng)在越來越多的局域網(wǎng)網(wǎng)絡系統(tǒng)中取代傳統(tǒng)路由器成為網(wǎng)絡的主干技術，作為一種成熟的先進技術應在市教育城域網(wǎng)網(wǎng)絡中得到應用。（三）兼容性兼容性重要針對不同廠家的網(wǎng)絡設備進行兼容，以滿足不同的需求。不同廠商的網(wǎng)絡設備應能彼此兼容，以保證公司網(wǎng)絡的正常、高效地運營。為保證網(wǎng)絡系統(tǒng)的開放性，網(wǎng)絡中的主干互換設備應當可以支持基于國際標準或工業(yè)界事實標準的ATM、FDDI、快速以太網(wǎng)、千兆以太網(wǎng)等各種鏈路接口技術，可以在必要的時候與外部開放系統(tǒng)順利實現(xiàn)互聯(lián)。（四）可升級和可擴展性由于選用的互換設備在硬件方面性能都比較優(yōu)秀，都可以對其系統(tǒng)進行升級，以滿足相對的功能需求，通過增長互換機等設備可以擴展整個網(wǎng)絡的規(guī)模，也可以增長核心成互換機從而保證接入層的高穩(wěn)定性。為了將來能順利實現(xiàn)技術升級，選用的設備應有支持千兆以太網(wǎng)、ATMOC－12等前沿技術的能力，以便技術成熟時配備。由于計算機技術和應用范圍的不斷進步和發(fā)展，而網(wǎng)絡技術又是其中進步最快的一個分支，計算機網(wǎng)絡系統(tǒng)的建設不僅要考慮當前的網(wǎng)絡連接需求，還必須考慮到計算機系統(tǒng)不斷擴大而提出的網(wǎng)絡系統(tǒng)擴展和升級的需求和網(wǎng)絡通信技術自身的快速進步所提供的提高網(wǎng)絡系統(tǒng)容量和性能的也許性。為了使網(wǎng)絡系統(tǒng)可以在盡也許的保護現(xiàn)有投資的前提下不斷滾動發(fā)展以適應應用需求發(fā)展的需要，選用設備時應當盡也許預見到網(wǎng)絡系統(tǒng)近期、中期和遠期的擴展、升級的也許性并預留擴展、升級的能力。（五）安全性硬件上通過使用防火墻，嚴格控制進出內部網(wǎng)絡的數(shù)據(jù)內容，軟件上通過在路由器上設立一系列的訪問控制列表來實現(xiàn)內部網(wǎng)絡的安全，通過靜態(tài)nat把服務器的內部ip地址與公有IP地址進行轉換，從而保護服務器群，并通過pat將內部所有的地址在網(wǎng)絡出口映射為一個公有IP地址，使得外部網(wǎng)絡無法訪問內部主機。在局域網(wǎng)上的所有互換機應能靈活地、跨越全網(wǎng)地進行虛擬網(wǎng)劃分和管理，將物理上分散而邏輯上緊密相關的各站點劃入獨立的虛擬網(wǎng)，實現(xiàn)無關系統(tǒng)的邏輯隔離是網(wǎng)絡安全性的基本保障。在此基礎上，我們選用的網(wǎng)絡產(chǎn)品應當具有涉及MAC級、IP層、應用層等多個層次實現(xiàn)安全管理的能力，作為互換網(wǎng)絡核心的多層主干互換機應當具有防火墻功能，防止發(fā)生在同一虛擬網(wǎng)內或虛擬網(wǎng)之間互聯(lián)點上的非法侵犯。（六）可靠性通過百兆主干線路以及高性能的互換機保障內部網(wǎng)絡訪問Internet的速度；通過將服務器直接連接在核心互換機上以提供高帶寬的鏈路，從而保證外網(wǎng)訪問的質量。為保證網(wǎng)絡系統(tǒng)的不間斷連續(xù)運營，應當選用通過實踐檢查證明成熟可靠的產(chǎn)品。數(shù)據(jù)中心互換機應采用模塊化分布式解決技術實現(xiàn)，避免采用一損俱損的中央互換模塊方式。各重要部件都應有冗余，所有部件應支持熱插拔，主干端口應支持熱備份，特別是作為整個計算機網(wǎng)絡系統(tǒng)核心的多層互換單元更要具有冗余備份的容錯能力。（七）易操作性整個網(wǎng)絡采用經(jīng)典的核心層-匯聚層-接入層的三層結構，由于網(wǎng)絡規(guī)模較小，內部信息點數(shù)量也比較少，使得網(wǎng)絡整體比較簡樸。有助于在網(wǎng)絡中心完畢公司網(wǎng)絡的全局管理并配置相應的軟件協(xié)助管理。（八）可管理性通過對IP地址的合理規(guī)劃和對不同部門劃分不同的vlan，可以有效的進行整個網(wǎng)絡系統(tǒng)的管理，針對特殊的服務，我們在服務器上安裝專門的網(wǎng)絡管理系統(tǒng)軟件，這樣可以對網(wǎng)絡實行較為有效的管理。計算機網(wǎng)絡系統(tǒng)作為市教育城域網(wǎng)智能系統(tǒng)的神經(jīng)中樞，其運營狀況應當?shù)玫饺娴谋O(jiān)控和管理。OSI對網(wǎng)絡管理提出了配置管理、性能管理、錯誤管理、安全管理、記帳管理等五大規(guī)定，以此為指導，該網(wǎng)絡管理系統(tǒng)應選用基于工業(yè)標準的SNMP（簡樸網(wǎng)絡管理協(xié)議）的開放式管理平臺，配合專用的網(wǎng)絡管理應用作為網(wǎng)管系統(tǒng)的設計框架。網(wǎng)管系統(tǒng)應支持網(wǎng)絡拓撲自動發(fā)現(xiàn)、設備的配置和監(jiān)視、網(wǎng)絡故障的監(jiān)測和報告等功能，并提供簡樸易用的圖形用戶接口。3需求分析3.1公司網(wǎng)絡性能建設目的新網(wǎng)絡應當具有足夠的先進性，不僅應當能承載普通的（文獻，打印等）網(wǎng)絡流量，并且應當支持多樣QOS特性（比如MPLS），保證有足夠的帶寬運營基于IP網(wǎng)絡的實時語音傳輸，以及未來也許會具有視頻會議流量。新網(wǎng)絡應當具有足夠的強壯性，應當具有足夠的劫難恢復措施，涉及電源冗余，設備冗余，主機冗余，數(shù)據(jù)庫冗余，線路冗余，撥號鏈路冗余。新網(wǎng)絡應當具有足夠的安全性，采用路由器，以及防火墻以及設立DMZ區(qū),防殺病毒、入侵檢測、和漏洞掃描與修補系統(tǒng)、網(wǎng)絡數(shù)據(jù)完整、網(wǎng)絡安全保護保證內網(wǎng)的絕對安全，將來數(shù)據(jù)在外網(wǎng)以及INTERNET上傳輸應當采用加密,并且數(shù)據(jù)傳輸線路應當采用全屏蔽雙絞線,防止信息的流失和泄露。3.2公司具體需求假設某小型IT公司需要構建一個綜合的公司網(wǎng)，使用電信、聯(lián)通雙出口。該公司有5個部門，分別是:財務部，研發(fā)部，工程部，人事部，市場部。公司共有三棟樓及一個駐外辦事處。1號樓：兩層，一層是財務部和研發(fā)部，二層是研發(fā)部。2號樓：兩層，都為市場部。3號樓：三層，其中一層是人事部和工程部，二、三層是工程部外地：駐外辦事處（同樣可作為異地備份的服務器或者主機）。從內網(wǎng)安全考慮，使用VLAN技術將各部門劃分到不同的VLAN中,為了保護內網(wǎng)的安全，需要路由器使用NAT轉化。公司使用電信、聯(lián)通雙網(wǎng)接入，在接入端口需要2個路由，路由實現(xiàn)NAT轉化，集成訪問控制；為保障工作效率和可靠性，核心層選擇2臺三層互換機；按照公司樓棟數(shù)，匯聚層選擇3臺2層互換機；按照部門個數(shù)及樓層總數(shù)，接入層使用7個互換機，并且根據(jù)部門劃分VLAN；駐外辦事處需要一臺接入公共網(wǎng)的路由，使用VPN技術連接(整體拓撲詳見圖4.2)。。4網(wǎng)絡拓撲規(guī)劃4.1網(wǎng)絡拓撲結構選擇根據(jù)公司具體規(guī)定選擇局域網(wǎng)拓撲結構——星型結構。計算機網(wǎng)絡的組成元素可以分為兩大類，即網(wǎng)絡節(jié)點（又可分為端節(jié)點和轉發(fā)節(jié)點）和通信鏈路，網(wǎng)絡中節(jié)點的互聯(lián)模式叫網(wǎng)絡的網(wǎng)絡的拓撲結構。網(wǎng)絡拓撲定義了網(wǎng)絡中資源的連接方式，局域網(wǎng)中常用的拓撲結構有：總線型結構、環(huán)形結構、星型結構。由于小型公司總部網(wǎng)絡站點不是特別的多，并且聯(lián)網(wǎng)的站點相對集中，因此我們采用星型的網(wǎng)絡拓撲。星型拓撲結構是由通過點到點鏈路接到中央節(jié)點的各站點組成的。星型網(wǎng)絡中有一個唯一的轉發(fā)節(jié)點（中央節(jié)點），每一臺計算機都通過單獨的通信線路連接到中央節(jié)點。在星型拓撲中運用中央結點可方便地提供服務和重新配置網(wǎng)絡；單個連接點故障只會影響故障點連接的一個設備，不會影響全網(wǎng)，容易檢測隔離故障、便于維護；任何一個連接只涉及到中央結點和一個站點，控制介質訪問的方法簡樸、訪問協(xié)議簡樸。4.2三層結構的拓撲設計 按照3.2小節(jié)的具體規(guī)定，公司的網(wǎng)絡使用層次化設計模型，并且根據(jù)規(guī)模使用三層結構。在下文中，我們將分為核心層，匯聚層，接入層分環(huán)節(jié)設計。網(wǎng)絡的設計模型重要涉及層次化設計模型和非層次化設計模型兩種。隨著網(wǎng)絡技術的迅速發(fā)展和網(wǎng)上應用量的增長，非層次化的網(wǎng)絡設計已經(jīng)不適合當今公司的網(wǎng)絡應用，由于非層次化網(wǎng)絡沒有適當?shù)囊?guī)劃，網(wǎng)絡最終會發(fā)展成為非結構的形式，這樣當網(wǎng)絡設備之間互相通信時，設備上的CPU必然會承受相稱大的負載，不利于網(wǎng)絡的運營和發(fā)展，當大量的數(shù)據(jù)在網(wǎng)絡中傳輸時，容易引起線路擁堵甚至網(wǎng)絡的癱瘓。所以我們選擇層次化的網(wǎng)絡設計。多層設計師模塊化的，網(wǎng)絡容量可隨著日后網(wǎng)絡節(jié)點的增長而不斷增大。多層次網(wǎng)絡有很大的擬定性，因此在運營和擴展過程中進行故障查找和排出非常簡樸。多層模式使網(wǎng)絡的移植更為簡樸易行，由于它保存看基于路由器和互換機的網(wǎng)絡原有的尋址方案，對以往的網(wǎng)絡有很好的兼容性。此外分層結構也可以對網(wǎng)絡的故障進行很好的隔離。針對實際情況我們采用三層結構模型，即核心層、匯聚層、接入層。每個層次有不同的功能。核心層作為整個網(wǎng)絡系統(tǒng)的核心，起重要功能是高速、可靠的進行數(shù)據(jù)互換。匯聚層重要進行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進行訪問控制。接入層重要提供最終用戶接入網(wǎng)絡的途徑。重要進行VLAN的換分、與分布層的連接等。（一）核心層設計核心層作為整個網(wǎng)絡系統(tǒng)的核心，其重要功能是高速、可靠的進行數(shù)據(jù)互換。核心互換區(qū)的作用是盡快地提供所有的區(qū)域間的數(shù)據(jù)互換。互換機高性能、高可靠性、高可用性是我們重要考慮的因素。本區(qū)的安全性可以由邊界防火墻提供，假如有需要，還可以在互換機上面部署安全策略，使得核心互換區(qū)的安全性進一步地增強。（二）匯聚層設計入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進行訪問控制。涉及訪問控制列表、VLAN路由等等。這樣設計部但不僅保證網(wǎng)絡的高可用性和穩(wěn)定性，還能避免單臺核心設備的負載太重導致網(wǎng)絡性能問題。（三）接入層設計接入層重要提供最終用戶接入網(wǎng)絡的途徑。重要是進行VLAN的劃分、與分布層的連接等等。接入層互換機以千兆以太鏈路和匯聚互換機相連接，并為用戶終端提供10/100M自適應的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結構。辦公系統(tǒng)所需的各種服務器如FTP服務器、郵件服務器、DHCP服務器等組成服務器群，連接到匯聚互換機的千兆模塊上面,因此，內部的局域網(wǎng)采用三層結構組建。（四）路由協(xié)議選擇為達成路由快速收斂、尋址以及方便網(wǎng)絡管理員管理的目的，我們采用動態(tài)路由協(xié)議，目前較好的動態(tài)路由協(xié)議是OSPF協(xié)議和EIGRP協(xié)議，OSPF以協(xié)議標準化強，支持廠家多，受到廣泛應用，而EIGRP協(xié)議由Cisco公司發(fā)明，只有Cisco公司自己的產(chǎn)品支持，屬于私有性質，其他廠商設備是不支持的。考慮網(wǎng)絡的擴展性、數(shù)據(jù)資源的保護等因素，我們選擇OSPF路由協(xié)議。OSPF協(xié)議采用鏈路狀態(tài)協(xié)議算法，每個路由器維護一個相同的鏈路狀態(tài)數(shù)據(jù)庫，保存整個AS的拓撲結構（AS不劃分情況下）。一旦每個路由器有了完整的鏈路狀態(tài)數(shù)據(jù)庫，該路由器就可以自己為根，構造最短途徑樹，然后再根據(jù)最短途徑構造路由表。對于大型的網(wǎng)絡，為了進一步減少路由協(xié)議通信流量，利于管理和計算。OSPF將整個AS劃分為若干個區(qū)域，區(qū)域內的路由器維護一個相同的鏈路狀態(tài)數(shù)據(jù)庫，保存該區(qū)域的拓撲結構。OSPF路由器互相間互換信息，但互換的信息不是路由，而是鏈路狀態(tài)。OSPF定義了5種分組：Hello分組用于建立和維護連接；數(shù)據(jù)庫描述分組初始化路由器的網(wǎng)絡拓撲數(shù)據(jù)庫；當發(fā)現(xiàn)數(shù)據(jù)庫中的某部分信息已通過時后，路由器發(fā)送鏈路狀態(tài)請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來積極擴散自己的鏈路狀態(tài)數(shù)據(jù)庫或對鏈路狀態(tài)請求分組進行響應；由于OSPF直接運營在IP層，協(xié)議自身要提供確認機制，鏈路狀態(tài)應答分組是對鏈路狀態(tài)更新分組進行確認。相對于其它協(xié)議，OSPF有許多優(yōu)點。OSPF支持各種不同鑒別機制（如簡樸口令驗證，MD5加密驗證等），并且允許各個系統(tǒng)或區(qū)域采用互不相同的鑒別機制；提供負載均衡功能，假如計算出到某個目的站有若干條費用相同的路由，OSPF路由器會把通信流量均勻地分派給這幾條路由，沿這幾條路由把該分組發(fā)送出去；在一個自治系統(tǒng)內可劃分出若干個區(qū)域，每個區(qū)域根據(jù)自己的拓撲結構計算最短途徑，這減少了OSPF路由實現(xiàn)的工作量；OSPF屬動態(tài)的自適應協(xié)議，對于網(wǎng)絡的拓撲結構變化可以迅速地做出反映，進行相應調整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比，OSPF在對網(wǎng)絡拓撲變化的解決過程中僅需要最少的通信流量；OSPF提供點到多點接口，支持CIDR（無類型域間路由）地址。由于是小型公司,考慮后續(xù)的發(fā)展,公司現(xiàn)有網(wǎng)絡規(guī)劃為area0，內部網(wǎng)絡設備都規(guī)劃為area0。后期若有分支機構各區(qū)域接入路由器根據(jù)區(qū)域不同使用動態(tài)協(xié)議，或者使用靜態(tài)路由與動態(tài)路由結合的方式。（五）防火墻防火墻只目前應用最廣、最具代表性的網(wǎng)絡安全技術，它分為硬件防火墻和軟件防火墻。硬件防火墻是把軟件嵌入到硬件中，由硬件執(zhí)行這些功能，這樣就減少了CPU的承擔，使路由更穩(wěn)定。軟件防火墻一般只據(jù)有過濾包的作用，而硬件防火墻的功能則要強大的多，它還涉及CF（內容過濾）、IDS（入侵偵測）、IPS（入侵防護）以及VPN等功能。硬件防火墻一般使用通過內核編譯后的Linux，憑借Linux自身的高可靠性和穩(wěn)定性保證了防火墻整體的穩(wěn)定性。防火墻重要由服務訪問政策、驗證工具、包過濾和應用網(wǎng)關四部分組成。我們在核心層路由器與Internet之間配置一臺硬件防火墻，這樣，所有進出網(wǎng)絡的數(shù)據(jù)都要通過防火墻，而該防火墻應具有以下的功能：（1）包過濾：控制流出和流入的網(wǎng)絡數(shù)據(jù)，可基于源地址、源端口、目的地址、目的端口、協(xié)議和時間，根據(jù)地址簿進行設立規(guī)則。（2）地址轉換：將內部網(wǎng)絡或外部網(wǎng)絡的IP地址轉換，可分為源地址轉換SourceNAT(SNAT)和目的地址轉換DestinationNAT(DNAT)。SNAT用于對內部網(wǎng)絡地址進行轉換，對外部網(wǎng)絡隱藏起內部網(wǎng)絡的結構，避免受到來自外部其他網(wǎng)絡的非授權訪問或惡意襲擊。并將有限的IP地址動態(tài)或靜態(tài)的與內部IP地址相應起來，用來緩解地址空間的短缺問題，節(jié)省資源，減少成本。DNAT重要用于外網(wǎng)主機訪問內網(wǎng)主機。（3）認證和應用代理：認證指防火墻對訪問網(wǎng)絡者合法身分的擬定。代理指防火墻內置用戶認證數(shù)據(jù)庫;提供HTTP、FTP和SMTP代理功能，并可對這三種協(xié)議進行訪問控制。同時支持URL過濾功能，防止員工在上班時間訪問某些網(wǎng)站，影響工作效率。（4）透明和路由：將網(wǎng)關隱藏在公共系統(tǒng)之后使其免遭直接襲擊。隱蔽智能網(wǎng)關提供了對互聯(lián)網(wǎng)服務進行幾乎透明的訪問，同時阻止了外部未授權訪問者對專用網(wǎng)絡的非法訪問;防火墻還支持路由方式，提供靜態(tài)路由功能，支持內部多個子網(wǎng)之間的安全訪問。（5）入侵檢測:可以提供內部網(wǎng)到內部網(wǎng)和遠程接入到內部網(wǎng)兩種安全保護，可以防御互聯(lián)網(wǎng)中的病毒、間諜軟件的襲擊，并可阻止垃圾郵件和非法連接（由于軟件限制,本論文中未在拓撲圖中使用防火墻,但考慮公司網(wǎng)絡安全性,我們在拓撲中使用了訪問控制技術)。擬定整個網(wǎng)絡拓撲的結構及各層的功能后，按照以上規(guī)定，在GNS3設計出的網(wǎng)絡總體拓撲如圖4.2所示：圖4.2網(wǎng)絡總體拓撲圖5設備選型按照第4節(jié)的拓撲設計及規(guī)劃，本節(jié)給出了網(wǎng)絡各部分的重要設備選擇，在附錄中介紹了參與選擇設備的具體參數(shù)。5.1核心層設備選擇推薦使用兩臺CiscoCatalyst4506E互換機完畢此項功能。Cisco4506互換機高性能、高可靠性、高可用性是我們重要考慮的因素。本區(qū)的安全性可以由邊界防火墻提供，假如有需要，還可以在4506上面部署安全策略，使得核心互換區(qū)的安全性進一步地增強。CiscoCatalyst4500系列憑借眾多智能服務將控制擴展到網(wǎng)絡邊沿，其中涉及先進的服務質量(QoS)、可預測性能、高級安全性和全面的管理。它提供帶集成永續(xù)性的杰出控制，將永續(xù)性集成到硬件和軟件中，縮短了網(wǎng)絡停運時間。CiscoCatalyst4500系列的模塊化架構、介質靈活性和可擴展性減少了反復運營開支，提高了投資回報（ROI），從而在延長部署壽命的同時減少了擁有成本。方案中Catalyst4506互換機配置了一塊WS-X4515引擎(SupervisorIV),Catalyst4500SupervisorIV引擎用于CiscoCatalyst4506互換機機箱，是一款64Gbps、4800萬分組/秒(48mpps)的第二到四層互換引擎，直接在管理引擎面板上配備了2個線速GBIC端口。當部署了Catalyst4500系列SupervisorIV時，這些附加端口可將Catalyst4506的最大密度擴展到240個端口。添加了這款新管理引擎后，Catalyst4506可為中型公司提供價格合理、易于使用的可擴展性、創(chuàng)新安全性、集成可靠性和靈活性。5.2匯聚層設備選擇推薦采用兩臺CiscoWS-C3750G-12S-E作為匯聚互換機。兩臺CiscoWS-C3750G-12S-E做雙機熱備，采用Cisco專有熱備份協(xié)議技術（HSRP），根據(jù)需求配置成多組HSRP。CiscoCatalyst3750系列互換機是一個創(chuàng)新的產(chǎn)品系列，它結合業(yè)界領先的易用性和最高的冗余性，里程碑地提高了堆疊式互換機在局域網(wǎng)中的工作效率。這個新的產(chǎn)品系列采用了最新的思StackWise技術，不僅實現(xiàn)高達32Gbps的堆疊互聯(lián)，還從物理上到邏輯上使若干獨立互換機在堆疊時集成在一起，便于用戶建立一個統(tǒng)一、高度靈活的互換系統(tǒng)--就仿佛是一整臺互換機同樣。這代表了堆疊式互換機新的工業(yè)技術水平和標準。對于中小型公司網(wǎng)絡來說，CiscoCatalyst3750系列通過提供配置靈活性、支持融合網(wǎng)絡模式及自動進行智能網(wǎng)絡服務配置，簡化了融合應用的部署，并可針對不斷變化的業(yè)務需求進行調整。此外，CiscoCatalyst3750系列針對高密度千兆位以太網(wǎng)部署進行了優(yōu)化，涉及多種互換機，以滿足接入、匯聚或小型網(wǎng)絡骨干連接需求。CiscoCatalyst3750G-12S提供12個千兆位以太網(wǎng)SFP端口用于連接數(shù)據(jù)中心和辦公樓的接入層互換機和中心核心機房的Catalyst4506互換機。GEC或FEC（GigabitEthernetChannel/FastEthernetChannel）稱為Cisco互換機帶寬聚合技術，它用于千兆或百兆以太網(wǎng)端口。在兩臺Cisco互換機互連時，運用GEC/FEC技術，可以將2條或多條物理鏈路捆綁成為一條更高帶寬的邏輯鏈路，在本方案中，CiscoWS-C3750G-12S-E之間用兩條千兆光纖相連，運用GEC技術，我們可以得到一條全雙工4G帶寬的鏈路。這樣不僅可以提高互換機之間的互連帶寬，更重要的是可以在多條物理鏈路間提供容錯，使得任意一條線路斷掉不影響互換機之間的暢通。5.3接入層設備選擇推薦使用CiscoCatalyst2960系列智能以太網(wǎng)互換機。CiscoCatalyst2960系列智能以太網(wǎng)互換機是一個全新的、固定配置的獨立設備系列，提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，可為入門級公司、中型市場和分支機構網(wǎng)絡提供增強LAN服務。Catalyst2960系列具有集成安全特性，涉及網(wǎng)絡準入控制(NAC)、高級服務質量(QoS)和永續(xù)性，可為網(wǎng)絡邊沿提供智能服務。憑借CiscoCatalyst2960系列提供的廣泛安全特性，公司可保護重要信息，防止未授權人員接入網(wǎng)絡，保證私密性及維持不間斷運營。5.4防火墻設備選擇推薦使用思科的ASA5505-SEC-BUN-K9防火墻，它是為中小型公司設計的一款產(chǎn)品，它集高安全性和高可擴展性于一身，可以對病毒、垃圾郵件、非授權訪問等進行實時監(jiān)控，并提供VPN服務，為用戶提供全面的保護。它構建于Cisco

PIX安全設備系列的基礎之上，可以提供內部網(wǎng)到內部網(wǎng)和遠程接入到內部網(wǎng)兩種安全保護，可以防御互聯(lián)網(wǎng)中的病毒、間諜軟件的襲擊，并可阻止垃圾郵件和非法連接，在提供安全網(wǎng)絡環(huán)境的同時，也提高了員工的工作效率，為公司發(fā)明更高的經(jīng)濟效益。6結束語通過多次網(wǎng)絡拓撲的設計與配置，我們小組將網(wǎng)絡拓撲接入互聯(lián)網(wǎng)，結果證明拓撲可以完美運營。鑒于論文討論的對象是小型公司，又考慮到為了公司發(fā)展方便其網(wǎng)絡擴展，在設備選型中重要選擇了適應中小型公司的設備。但無論公司規(guī)模，組建一個高速、寬帶、穩(wěn)定、可靠，且能融合安全與保密等全新需求的內外聯(lián)網(wǎng)絡系統(tǒng)，是當前公司網(wǎng)絡發(fā)展的趨勢。隨著金融業(yè)的全球化，網(wǎng)上交易、電子商務等網(wǎng)上交易手段的日益普及，網(wǎng)絡傳輸信息量日益劇增，高層互換機的研發(fā)和應用將會成為主流。在未來的高層互換機上，將會集中體現(xiàn)ISO的七層標準，將傳統(tǒng)的網(wǎng)絡分立設備統(tǒng)一起來，這不僅可以極大地提高網(wǎng)絡系統(tǒng)的數(shù)據(jù)分發(fā)、傳輸和互換能力與速率，還可以減少設備成本、簡化網(wǎng)絡管理、優(yōu)化組網(wǎng)過程，使公司網(wǎng)絡更加的高速、穩(wěn)定，促使公司更加發(fā)展。在前幾個學期學習的計算機網(wǎng)絡課本中，我已經(jīng)學習了網(wǎng)絡拓撲的相關知識，但是始終對許多細節(jié)的實現(xiàn)不清楚，通過了本次的課程設計，在自己親自動手實現(xiàn)整個過程后，對于網(wǎng)絡拓撲有了更清楚的結識，以及更深刻的印象。課程設計不僅僅加深了我對課本理論知識的結識，更重要的是在拓撲圖的設計過程中，不斷的犯錯和不斷的改錯中增強了我對于網(wǎng)絡拓撲的分析能力。幾次之后，出現(xiàn)類似的問題可以自己推斷錯誤是如何導致的，應當在哪個地方改正。也有一些問題自己沒能獨立解決，無論是請教老師同學，還是書上查閱，網(wǎng)上搜尋，這都豐富了自己的知識，也增進了和老師同學的學術交流。課程設計中重要使用的是GNS3軟件。使用過程中，每一個環(huán)節(jié)調試成功都會帶來成就感，類似課程設計的實踐操作實實在在的激發(fā)了我的愛好。在整個過程中，測試網(wǎng)絡拓撲花費的時間最多，但也是收貨最大的環(huán)節(jié)。在設計拓撲圖中碰到了比較大的困難，由于本來沒有接觸過GNS3軟件，加上英語水平的限制，在找很多模塊的時候會比較慢，很多時候一邊查單詞一邊找模塊。當然和同學交流的時候就能明白很多模塊的用處，因此交流也是解決問題的一個辦法。對于模塊的設立，比如路由器和互換機，只要明白該模塊在相應位置的相應作用，便能很輕松的理解它的設立。總之，類似課程設計這樣的實踐操作，既能理論聯(lián)系實際，又能培養(yǎng)自己思考和動手的能力，這是一次很不錯的體驗和提高。致謝本次的課程設計既檢查了我們的理論知識，又在事實上得到升華。但是在設計中也碰到了很多難以解決的問題，這也告訴我需要更加熟知計算機網(wǎng)絡知識，也要更加細心耐心。盡管碰到那么多困難，最后還是可以一一解決，這需要感謝老師的教導和同學的指導。沒有老師的教導，自己很難在不到兩周的時間內完畢課程設計，每次到機房都會有各種各樣的問題問老師或者同學，最后也一一得到了解答。在機房調試完畢我通常會保存文獻，回到宿舍自己再調試和截圖，將其整理到文檔中來，因此在課外的時間里，多虧了同學們的指點，才干在一些細節(jié)中做的更好。同時也要感謝本次課程設計，它除了檢查了我的理論知識，我覺得更重要的是它給了我成就感，有成就感就更有動力。此外它告訴了我學基本原理做什么用，以后怎么用。不至于陷入迷茫之中，讓自己對這一塊的知識理清了思緒。最后再一次感謝老師和同學的幫助，在以后的學習生活中我仍然會向大家求教的。

參考文獻[1]謝希仁．計算機網(wǎng)絡(第5版)．北京:電子工業(yè)出版社，2023[2]陳鳴．網(wǎng)絡工程設計教程系統(tǒng)集成方法（第二版）．機械工業(yè)出版社，2023[3]石碩．計算機組網(wǎng)技術．北京：機械工業(yè)出版社，2023[4]王竹林．網(wǎng)絡組建與管理．北京：清華大學出版社，2023[5]陳阿林．網(wǎng)絡系統(tǒng)集成、方案規(guī)劃設計概要．重慶師范學院學報(自然科學版)．1999[6]趙玉雙．計算機局域網(wǎng)組建基地的設計與實現(xiàn)．實驗室科學．2023

附錄：參考設備相關參數(shù)。Catalyst4506E插槽6冗余控制引擎選項沒有SFP/GBIC密度24410GbEX2端口密度3210/100/1000密度24010/100密度240100BASE-FX、LX-10、BX-D密度240背板容量280GbpsPOE（以太網(wǎng)供電）支持每端口POE最高20W1+1電源保護有熱拔插電源有電源模式支持交流和直流Catalyst3750概況簡介Catalyst3750系列的核心是思科StackWise技術，它是一種創(chuàng)新性的堆疊架構，提供了一個32Gbps的堆疊互聯(lián)，連接多達9臺互換機，并將它們整合為一個統(tǒng)一的、邏輯的、針對融合而優(yōu)化的設備，從而讓客戶可以更加放心地部署語音、視頻和數(shù)據(jù)應用功能描述它是一種創(chuàng)新性的堆疊架構，提供了一個32Gbps的堆疊互聯(lián)，連接多達9臺互換機，并將它們整合為一個統(tǒng)一的、邏輯的、針對融合而優(yōu)化的設備，從而讓客戶可以更加放心地部署語音、視頻和數(shù)據(jù)應用特性與優(yōu)勢通過在城域接入邊沿提供更高智能的SLA，實現(xiàn)了更多個性化服務

|第2和3層服務（通過增強服務端口提供）

使用增強802.1Q隧道的第2層VPN

,使用VLAN映射的第2層VPN,使用EoMPLS的第2層VPN,用多VRFCE的第3層VPN,使用MPLSVPN的第3層VPN,使用流量整形和層次化QoS的最有力SLA支持（通過增強服務端口）,遍布服務系列的安全性，對接入環(huán)境予以精確控制,強大的服務管理選項.背板帶寬32Gbps互換方式存儲互換端口類型10Base-T/100Base-TX端口數(shù)目24個支持速率10Mbps/100Mbps是否可堆疊支持模塊化插槽數(shù)4/2個網(wǎng)絡標準或規(guī)范?IEEE802.310BASE-T以太網(wǎng)

?IEEE802.3u100BASE-TX快速以太網(wǎng)

?IEEE802.3ab1000BASE-T千兆以太網(wǎng)

?IEEE802.3z千兆以太網(wǎng)（光纖）

?ANSI/IEEE802.3NWay自動協(xié)商

?IEEE802.3x流量控制是否可網(wǎng)管支持網(wǎng)管功能或協(xié)議簡樸網(wǎng)絡管理協(xié)議（SNMP）提供了杰出的服務管理功能是否支持全雙工支持是否支持VLAN支持MAC地址表12k電源電壓220V工作溫度0-45℃工作濕度10-90%思科Catalyst3750特性標簽應用級別公司級工作協(xié)議層二層網(wǎng)絡覆蓋范圍局域網(wǎng)互換機傳輸速度百兆Catalyst2960WS-C2960-48TC-L產(chǎn)品特性參數(shù)轉發(fā)帶寬（Gbps）WS-C2960-48TC-L：32每秒分組數(shù)（Mpps）WS-C2960-48TC-L：10.1支持的MAC地址數(shù)WS-C2960-48TC-L：8000板載內存(MB)WS-C2960-48TC-L：64SFP/GBIC密度WS-C2960-48TC-L：210/100/1000密度WS-C2960-48TC-L：210/100密度WS-C2960-48TC-L：48MaxVLANs255VLANIDs4000流量控制能以小至1Mbps的步幅保證帶寬廣播控制克制廣播風暴，達成臨界點停止發(fā)送高級QOSHeadOfLine防止擁塞機制，每端口4個發(fā)送隊列映射802.1p的8個優(yōu)先級，WRED，WFQ，SP和FIFO隊列調度算法，盡力而為服務，區(qū)分式服務，嚴格優(yōu)先級輪轉算法，加權優(yōu)先級輪轉算法，先到先服務算法。生成樹IEEE802.1DSTP，IEEE802.1wRSTP，PVST/PVST+網(wǎng)絡管理SNMPv1/v2，Telnet方式，CLI界面，支持BroadDrictor通用網(wǎng)管軟件。WS-X45-SUP6L-E增強第三層特性有總帶寬（Gbps）280每秒分組數(shù)（Mpps）225CPUMhz800板載內存（MB）512板載閃存（MB）64,128小型閃存支持支持互換容量