可擴(kuò)展企業(yè)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)與集成項(xiàng)目技術(shù)報(bào)告

南京工業(yè)職業(yè)技術(shù)學(xué)院項(xiàng)目技術(shù)報(bào)告PAGEPAGE30網(wǎng)絡(luò)設(shè)備調(diào)試綜合實(shí)訓(xùn)可擴(kuò)展企業(yè)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)與集成組員：班級(jí)：課程名稱：網(wǎng)絡(luò)設(shè)備調(diào)試綜合實(shí)訓(xùn)指導(dǎo)老師提交日期：

前言隨著互聯(lián)網(wǎng)的蓬勃發(fā)展，其巨大的潛力已經(jīng)逐漸體現(xiàn)出來，一些互聯(lián)網(wǎng)企業(yè)涉足傳統(tǒng)產(chǎn)業(yè)已經(jīng)取得了不菲的業(yè)績，如運(yùn)用網(wǎng)絡(luò)概念多次融資，并利用網(wǎng)絡(luò)優(yōu)勢(shì)通過并購的方式切入旅行服務(wù)行業(yè)的攜程；其次，就是互聯(lián)網(wǎng)在傳播和獲取信息上的優(yōu)勢(shì)；再者，就是企業(yè)想利用內(nèi)外部網(wǎng)絡(luò)進(jìn)行有效的管理，提高管理效率：上述三大因素可以看作企業(yè)建網(wǎng)的主要的原因。因此，可以這樣講，企業(yè)建網(wǎng)的最終目的和它的經(jīng)營策略是吻合的，就是通過網(wǎng)絡(luò)來降低企業(yè)的管理成本和交易成本以及通過開展電子商務(wù)活動(dòng)來獲得更多的利潤。公司計(jì)劃在近期內(nèi)建設(shè)企業(yè)網(wǎng)絡(luò)信息系統(tǒng)，在企業(yè)內(nèi)部實(shí)現(xiàn)資源高度共享，為生產(chǎn)、辦公、管理提供服務(wù)；實(shí)現(xiàn)辦公自動(dòng)化，提供總部與分部、分部與分部間通訊的出入口，提供電子函件、公告牌和辦公信息查詢等服務(wù)，提高工作效率和管理水平；及時(shí)、準(zhǔn)確、可靠地收集、處理、存儲(chǔ)、傳輸企業(yè)的辦公、管理信息，完成與因特網(wǎng)的通訊和資源共享，實(shí)現(xiàn)企業(yè)資源和社會(huì)資源的有機(jī)結(jié)合；實(shí)現(xiàn)音頻數(shù)字化資源共享、集中管理；建立企業(yè)網(wǎng)管理應(yīng)用系統(tǒng)。以順應(yīng)時(shí)代的發(fā)展趨勢(shì)，充分利用現(xiàn)代化技術(shù)來進(jìn)一步提高管理質(zhì)量和辦公效率。公司網(wǎng)絡(luò)支持的是一個(gè)不斷多元化的網(wǎng)絡(luò)應(yīng)用系統(tǒng)設(shè)備組合，系統(tǒng)設(shè)備、管理者及使用者之間的聯(lián)系必須是親密無間的，自覺而透明的，從而具備較強(qiáng)的擴(kuò)展性。目錄TOC\o"1-3"\h\u7786第1章網(wǎng)絡(luò)設(shè)計(jì)原則與需求分析 556641.1網(wǎng)絡(luò)設(shè)計(jì)原則 5181071.2網(wǎng)絡(luò)項(xiàng)目背景 579701.3網(wǎng)絡(luò)系統(tǒng)需求分析 6761第2章網(wǎng)絡(luò)設(shè)計(jì)解決方案 7197802.1企業(yè)的基本應(yīng)用 756662.2企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃 7268122.3網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì) 8153572.4網(wǎng)絡(luò)設(shè)備選型 8104872.5IP地址規(guī)劃 145638第3章網(wǎng)絡(luò)技術(shù)選型 15149343.1路由協(xié)議OSPF 15134663.2VRRP（虛擬路由冗余協(xié)議）原理 16212823.3RSTP、MSTP原理 16181123.4NAT的策略路由實(shí)現(xiàn) 17227133.5ACL訪問控制策略 1733293.6鏈路聚合 1824450第4章網(wǎng)絡(luò)實(shí)施方案 18205184.1項(xiàng)目實(shí)施管理 18253914.2項(xiàng)目實(shí)施 18253154.3測(cè)試與驗(yàn)收 1932299結(jié)論 206683致謝 2224721參考文獻(xiàn) 23摘要隨著全球化和信息化進(jìn)程的推進(jìn)，企業(yè)越來越多的需要和外界發(fā)生行業(yè)內(nèi)外的信息溝通?，F(xiàn)在，許多單位由于辦公和科研的需要，購買了不少計(jì)算機(jī)。并且一些單位開始意識(shí)到組建辦公局域網(wǎng)的現(xiàn)實(shí)性和必要性。組建企業(yè)局域網(wǎng)所涉及的方方面面很多，首先需要一個(gè)正確的設(shè)計(jì)規(guī)劃，然后需要處理布線、網(wǎng)絡(luò)設(shè)備選型與配置、服務(wù)器設(shè)備選型與配置、網(wǎng)絡(luò)軟件的安裝等方面，這都需要按部就班的逐一實(shí)現(xiàn)，最后還需要進(jìn)行正常的日常維護(hù)，本文就如何規(guī)劃和設(shè)計(jì)企業(yè)局域網(wǎng)進(jìn)行淺述。本文首先從總體上對(duì)企業(yè)網(wǎng)的建設(shè)、目標(biāo)、思路、國內(nèi)外現(xiàn)狀、技術(shù)和產(chǎn)品進(jìn)行了分析研究，然后對(duì)具體業(yè)內(nèi)部局域網(wǎng)的需求進(jìn)行分析，確定企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、綜合布線設(shè)計(jì)原則、中心機(jī)房規(guī)劃與設(shè)計(jì)、網(wǎng)絡(luò)設(shè)備選擇等。從各個(gè)方面對(duì)企業(yè)局域網(wǎng)建設(shè)提出了規(guī)劃的方案，以期對(duì)企業(yè)局域網(wǎng)的建設(shè)做出貢獻(xiàn)。

網(wǎng)絡(luò)設(shè)計(jì)原則與需求分析1.1網(wǎng)絡(luò)設(shè)計(jì)原則為適應(yīng)企業(yè)信息化的發(fā)展，滿足日益增長的通訊需求和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，今天的企業(yè)網(wǎng)絡(luò)建設(shè)比傳統(tǒng)企業(yè)網(wǎng)絡(luò)建設(shè)提出更高的要求，主要表現(xiàn)在如下幾個(gè)方面：可管理該企業(yè)網(wǎng)絡(luò)是一個(gè)龐大而且復(fù)雜的網(wǎng)絡(luò)，為了保障網(wǎng)絡(luò)的正常使用以及設(shè)備的良好維護(hù)需要一個(gè)功能強(qiáng)大，具有分級(jí)、分權(quán)管理能力的網(wǎng)管系統(tǒng)，實(shí)現(xiàn)統(tǒng)一的網(wǎng)絡(luò)業(yè)務(wù)調(diào)度和管理，降低網(wǎng)絡(luò)運(yùn)營成本。同時(shí)由于企業(yè)網(wǎng)絡(luò)的使用者數(shù)量較多，跨網(wǎng)絡(luò)開展的業(yè)務(wù)眾多，因此需要能夠提供用戶的高效管理，以確企業(yè)網(wǎng)絡(luò)的信息安全。可增值企業(yè)網(wǎng)絡(luò)的建設(shè)、使用和維護(hù)需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。所以在建設(shè)時(shí)要充分考慮業(yè)務(wù)的擴(kuò)展能力，能提供豐富的寬帶增值業(yè)務(wù)（如VoIP，IPV6等），全網(wǎng)支持IPV6，使網(wǎng)絡(luò)能適應(yīng)未來需求，節(jié)約各類費(fèi)用。確保新建網(wǎng)絡(luò)在3～5年內(nèi)的使用價(jià)值。安全保密性充分考慮整個(gè)網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點(diǎn)的備份和線路保護(hù)，提供網(wǎng)絡(luò)安全防范措施。能有效通過軟硬件相互聯(lián)動(dòng)，有效保證企業(yè)網(wǎng)的安全；選擇設(shè)備必須具有較高的安全特性，如蠕蟲病毒防御、ARP欺騙防御、防代理、防攻擊掃描、防私設(shè)DHCP等功能，系統(tǒng)采用數(shù)字簽名,安全認(rèn)證,密碼技術(shù)以及超級(jí)防火墻軟件,代理服務(wù)器和VPN(虛擬隧道網(wǎng)絡(luò)技術(shù))等來確保網(wǎng)內(nèi)安全。對(duì)員工的上網(wǎng)行為進(jìn)行實(shí)時(shí)記錄，并保存到日志服務(wù)器。可擴(kuò)展與成熟性企業(yè)網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴(kuò)充的彈性網(wǎng)絡(luò)平臺(tái)，要具有可擴(kuò)展性和可升級(jí)性。隨著業(yè)務(wù)的增長和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長，需要網(wǎng)絡(luò)有很好的可擴(kuò)展性，并能隨著技術(shù)的發(fā)展不斷升級(jí)。經(jīng)濟(jì)性在滿足高性能價(jià)格比(高性價(jià)比)的前提下,選用物廉價(jià)美,經(jīng)濟(jì)實(shí)用的產(chǎn)品,以減少開支。開放性技術(shù)選擇必須符合相關(guān)國際標(biāo)準(zhǔn)及國內(nèi)標(biāo)準(zhǔn)，避免個(gè)別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開放性和互連互通，滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需要；開放的接口，支持良好的維護(hù)、測(cè)量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實(shí)時(shí)監(jiān)控的遙測(cè)、遙控的信息處理功能，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。1.2網(wǎng)絡(luò)項(xiàng)目背景公司是一家中型企業(yè)，員工人數(shù)大約500人。公司建筑是樓層建筑，共有1000多個(gè)信息點(diǎn)，包括可拓展點(diǎn)。隨著公司業(yè)務(wù)的發(fā)展，人員壯大，辦公信息化以及自動(dòng)化的需求，為提高公司各個(gè)部門間辦公信息化，需要建立一個(gè)完善和穩(wěn)定的企業(yè)網(wǎng)絡(luò)。企業(yè)網(wǎng)要保證整個(gè)企業(yè)信息點(diǎn)的互聯(lián)、高效、安全，可支持上百個(gè)用戶同時(shí)并發(fā)使用。而且要求企業(yè)網(wǎng)具有可拓展性，支持未來的發(fā)展，高速的、冗余的、基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)。公司現(xiàn)有五個(gè)部門，如下表：網(wǎng)段描述所需的IP地址數(shù)財(cái)務(wù)部100人事部100設(shè)計(jì)開發(fā)部200工程部200市場(chǎng)銷售部200公網(wǎng)IP地址4服務(wù)器41.3網(wǎng)絡(luò)系統(tǒng)需求分析一、公司為中型企業(yè)，對(duì)網(wǎng)絡(luò)帶寬的要求較高，為保證網(wǎng)絡(luò)視頻、語音、圖像等信息的傳輸順暢，因此以1000Mb/s光纖作為主干和垂直布線，以百兆超五類雙絞線作為水平布線，一次構(gòu)建該企業(yè)網(wǎng)絡(luò)。二、一個(gè)完善的網(wǎng)絡(luò)設(shè)計(jì)方案，應(yīng)該考慮網(wǎng)絡(luò)的拓展性。因?yàn)殡S著企業(yè)的發(fā)展，規(guī)模增大，網(wǎng)絡(luò)用戶不斷增加，從而保證網(wǎng)絡(luò)的可拓展性則尤為關(guān)鍵。在設(shè)計(jì)時(shí)應(yīng)充分考慮未來的企業(yè)網(wǎng)拓展，保證設(shè)計(jì)的網(wǎng)絡(luò)在未來隨時(shí)拓展。三、網(wǎng)絡(luò)的安全性對(duì)于企業(yè)的發(fā)展至關(guān)重要，它包括網(wǎng)絡(luò)安全漏洞的彌補(bǔ)，防攻擊，信息傳輸安全，內(nèi)部安全防范，網(wǎng)絡(luò)防病毒，抵制無用信息，以及網(wǎng)絡(luò)冗余能力、數(shù)據(jù)備份域?yàn)?zāi)難恢復(fù)等等。這些因素在設(shè)計(jì)網(wǎng)絡(luò)之前都要考慮在內(nèi)。第2章網(wǎng)絡(luò)設(shè)計(jì)解決方案2.1企業(yè)的基本應(yīng)用Intranet應(yīng)用公司立企業(yè)內(nèi)部信息網(wǎng)站，為公司內(nèi)部所有網(wǎng)上用戶提供生產(chǎn)調(diào)度、產(chǎn)品營銷、物資供應(yīng)、商情信息、安全生產(chǎn)、科技動(dòng)態(tài)、生產(chǎn)技術(shù)、環(huán)境保護(hù)等信息服務(wù)。集團(tuán)內(nèi)部各部門可通過內(nèi)部網(wǎng)站實(shí)現(xiàn)企業(yè)內(nèi)部信息交流，主動(dòng)地獲取信息和提供信息。Internet應(yīng)用Internet作為信息交流的基礎(chǔ)設(shè)施，對(duì)信息技術(shù)的發(fā)展，信息市場(chǎng)的開拓，以及信息社會(huì)的形成都起著十分重要的作用。公司所構(gòu)造的網(wǎng)絡(luò)正是通過Internet將企業(yè)內(nèi)部與外界連接起來。這樣公司可為廣大客戶提供他們所關(guān)心的有關(guān)信息；在網(wǎng)絡(luò)上提供WWW，E-mail等服務(wù)。該網(wǎng)站可以包括：綜合信息、科技信息、企業(yè)動(dòng)態(tài)、市場(chǎng)信息等欄目，內(nèi)容可涉及公司生產(chǎn)經(jīng)營、科研生產(chǎn)、產(chǎn)品價(jià)格和市場(chǎng)營銷等方面。并為電子商務(wù)打下基礎(chǔ)。2.2企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃我們將公司總部和分部的內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)為兩級(jí)層級(jí)：接入層核心層這樣規(guī)劃一是能夠有良好的層次感，利于實(shí)現(xiàn)較為復(fù)雜的網(wǎng)絡(luò)功能要求；二是這樣分層能夠使每層的功能較容易實(shí)現(xiàn)也較清楚；三是采用這種分層方式可以支持較大的網(wǎng)絡(luò)規(guī)模便于企業(yè)網(wǎng)的升級(jí)擴(kuò)大。接入層接入層為用戶提供對(duì)本地網(wǎng)段的訪問，它的主要作用是將工作組計(jì)算機(jī)與匯聚層連接起來，主要完成邏輯網(wǎng)絡(luò)分段，給予工作組或LAN隔離廣播通信以及在多個(gè)CPU之間分布服務(wù)。其特點(diǎn)有以下幾點(diǎn)：提供不同數(shù)量的100M端口到用戶，提供1000M上行鏈路端口到匯聚層交換機(jī)。成本低，所有端口支持全線速二層交換。網(wǎng)絡(luò)設(shè)備擴(kuò)展性好，可平滑升級(jí)。核心層核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,骨干層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、可靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能最好盡量少在骨干層上實(shí)施。核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，所以對(duì)核心層的設(shè)計(jì)以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格。核心層設(shè)備將占投資的主要部分。在設(shè)計(jì)核心層結(jié)構(gòu)時(shí)，還應(yīng)該充分考慮到以下幾點(diǎn)因素：匯聚層交換機(jī)要有充足的帶寬。必須具有冗余和流量均衡的功能。能夠?qū)崿F(xiàn)各種安全策略以保證網(wǎng)絡(luò)的安全和數(shù)據(jù)包轉(zhuǎn)發(fā)的合理，置多層交換機(jī)最佳，以方便網(wǎng)絡(luò)的擴(kuò)展。2.3網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)通過我們的討論，公司總拓?fù)湓O(shè)計(jì)，如下圖：2.4網(wǎng)絡(luò)設(shè)備選型網(wǎng)絡(luò)設(shè)備選型要遵循以下原則：代表目前網(wǎng)絡(luò)系統(tǒng)設(shè)備的先進(jìn)水平。具備較強(qiáng)的安全性。具備優(yōu)良的RAS性能--可靠性、可用性、可維護(hù)性。具備優(yōu)良的可擴(kuò)充性和升級(jí)能力。具備優(yōu)良的性能價(jià)格比，根據(jù)現(xiàn)在的需求和可以預(yù)見的需求增長情況設(shè)計(jì)網(wǎng)絡(luò)，不追求空洞的技術(shù)先進(jìn)性，避免追求高檔和最新技術(shù)花費(fèi)的巨大代價(jià)。2.4.1路由器選擇:H3CSR8812,如圖：H3CSR8812詳細(xì)參數(shù)基本參數(shù)路由器類型多業(yè)務(wù)路由器端口結(jié)構(gòu)模塊化擴(kuò)展模塊2個(gè)主控板槽位數(shù)+12個(gè)業(yè)務(wù)板槽位數(shù)包轉(zhuǎn)發(fā)率864Mpps功能參數(shù)防火墻內(nèi)置防火墻Qos支持支持VPN支持支持其他參數(shù)電源電壓AC100-240V

DC-48--60V產(chǎn)品尺寸436×753×450mm產(chǎn)品重量≤120kg環(huán)境標(biāo)準(zhǔn)工作溫度：0-45℃

工作濕度：10%-90%（無凝結(jié)）

存儲(chǔ)溫度：-40-70℃

存儲(chǔ)濕度：5%-95%（無凝結(jié)）保修信息保修政策全國聯(lián)保，享受三包服務(wù)質(zhì)保時(shí)間1年質(zhì)保備注1年免費(fèi)保修客服電話400-810-05042.4.2交換機(jī)選擇：華為QuidwayS2326TP-EI(AC)，如圖：華為QuidwayS2326TP-EI(AC)詳細(xì)參數(shù)主要參數(shù)產(chǎn)品類型運(yùn)營級(jí)接入交換機(jī)應(yīng)用層級(jí)二層傳輸速率10/100Mbps交換方式存儲(chǔ)-轉(zhuǎn)發(fā)背板帶寬32Gbps包轉(zhuǎn)發(fā)率6.6MppsMAC地址表8K端口參數(shù)端口結(jié)構(gòu)非模塊化端口數(shù)量26個(gè)端口描述24個(gè)10/100Base-TX端口，2個(gè)千兆Combo口傳輸模式全雙工/半雙工自適應(yīng)功能特性網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.3，IEEE802.3u，IEEE802.3ab，IEEE802.3z，IEEE802.3x，IEEE802.1Q堆疊功能可堆疊VLAN支持基于MAC地址的VLAN

基本QinQ

1:1VLAN交換

N:1VLAN交換QOS支持端口限速和流限速

支持每端口4個(gè)不同優(yōu)先級(jí)的隊(duì)列

支持根據(jù)報(bào)文802.1p映射到不同隊(duì)列

支持SP、WRR、SP+WRR算法

支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、四層端口、協(xié)議類型、VLAN、以太網(wǎng)幀協(xié)議、CoS等信息的流分類

支持基于流的標(biāo)記優(yōu)先級(jí)、報(bào)文重定向組播管理支持IGMPv1/v2/v3Snooping

支持捆綁端口的組播負(fù)載分擔(dān)

支持基于端口的組播流速率限制和流量統(tǒng)計(jì)網(wǎng)絡(luò)管理支持堆疊

支持自動(dòng)配置功能

支持CLI配置

支持Telnet遠(yuǎn)程配置

支持SNMPV1/V2/V3

支持RMON

支持集群管理HGMPV2

支持SSHV2

支持WEB管理特性

支持GVRP協(xié)議安全管理支持802.1x，支持單端口最大用戶數(shù)限制

支持動(dòng)態(tài)ARP檢測(cè)

支持IPSourceGuard功能

支持AAA認(rèn)證，支持Radius、HWTACACS+、NAC等多種方式

支持IP、MAC、端口、VLAN的組合綁定

支持端口限速

支持端口隔離、端口安全、StickyMAC

支持包過濾

支持MAC地址過濾

支持多播、廣播及未知單播報(bào)文抑制

支持MAC地址學(xué)習(xí)數(shù)目限制

支持CPU保護(hù)功能其它參數(shù)電源電壓AC100-240V產(chǎn)品尺寸442×220×43.6mm產(chǎn)品重量<2.4kg環(huán)境標(biāo)準(zhǔn)工作溫度：0-50℃

工作濕度：10%-90%

存儲(chǔ)溫度：-5-55℃

存儲(chǔ)濕度：10%-90%2.4.3核心交換機(jī)選擇：華為QuidwayS9306，如圖：華為QuidwayS9306詳細(xì)參數(shù)主要參數(shù)產(chǎn)品類型路由交換機(jī)應(yīng)用層級(jí)三層交換方式存儲(chǔ)-轉(zhuǎn)發(fā)背板帶寬6Tbps包轉(zhuǎn)發(fā)率1152Mpps端口參數(shù)端口結(jié)構(gòu)模塊化擴(kuò)展模塊6個(gè)業(yè)務(wù)槽位功能特性VLAN支持Access、Trunk、Hybrid方式

支持defaultVLAN

支持VLAN交換

支持QinQ、增強(qiáng)型靈活QinQ

支持基于MAC的動(dòng)態(tài)VLAN分配QOS支持基于Layer2協(xié)議頭、Layer3協(xié)議、Layer4協(xié)議、802.1p優(yōu)先級(jí)等的組合流分類

支持ACL、CAR、Remark、Schedule等動(dòng)作

支持PQ、WRR、DRR、PQ+WRR、PQ+DRR等隊(duì)列調(diào)度方式

支持WRED、尾丟棄等擁塞避免機(jī)制

支持H-QOS

支持流量整形組播管理支持IGMPv1/v2/v3、IGMPv1/v2/v3Snooping

支持PIMDM、PIMSM、PIMSSM

支持MSDP、MBGP

支持用戶快速離開機(jī)制

支持組播流量控制

支持組播查詢器

支持組播協(xié)議報(bào)文抑制功能

支持組播CAC

支持組播ACL網(wǎng)絡(luò)管理支持Console、Telnet、SSH等終端服務(wù)

支持SNMPv1/v2/v3等網(wǎng)絡(luò)管理協(xié)議

支持通過FTP、TFTP方式上載、下載文件

支持BootROM升級(jí)和遠(yuǎn)程在線升級(jí)

支持熱補(bǔ)丁

支持用戶操作日志安全管理802.1x認(rèn)證，Portal認(rèn)證

支持NAC

支持RADIUS和HWTACACS用戶登錄認(rèn)證

命令行分級(jí)保護(hù)，未授權(quán)用戶無法侵入

支持防范DoS攻擊、TCP的SYNFlood攻擊、UDPFlood攻擊、廣播風(fēng)暴攻擊、大流量攻擊

支持1KCPU通道隊(duì)列保護(hù)

支持ICMP實(shí)現(xiàn)ping和traceroute功能

支持RMON其它參數(shù)電源電壓AC90-290V

DC-38.4--72V電源功率整機(jī)供電能力：1600W，整機(jī)最大POE功率：8800W產(chǎn)品尺寸442×476×442mm產(chǎn)品重量<30kg2.5IP地址規(guī)劃IP地址的合理是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。企業(yè)網(wǎng)IP地址的分配應(yīng)該盡可能地利用申請(qǐng)到的地址空間，充分考慮到地址空間的合理使用，保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布。具體地來說IP地址的合理規(guī)劃有如下的意義：減少對(duì)各種資源（內(nèi)存、CPU的處理能力以及網(wǎng)絡(luò)帶寬等）的需求——IP地址的合理規(guī)劃有利于網(wǎng)絡(luò)中路由的匯聚，因而可以使得核心交換機(jī)中的路由表數(shù)目以及鏈路狀態(tài)數(shù)據(jù)庫等占用的內(nèi)存減少，同時(shí)更新所占用的網(wǎng)絡(luò)帶寬也降低了；有利于IP地址空間的合理使用；優(yōu)化業(yè)務(wù)流量的分布；有利于故障診斷。根據(jù)國際互聯(lián)網(wǎng)絡(luò)技術(shù)發(fā)展的趨勢(shì)，結(jié)合企業(yè)和分部的現(xiàn)實(shí)情況，我們建議IP地址規(guī)劃遵循如下原則來設(shè)計(jì)：網(wǎng)絡(luò)出口、對(duì)外服務(wù)器群采用公網(wǎng)IP地址；企業(yè)網(wǎng)所有網(wǎng)絡(luò)設(shè)備均配置內(nèi)部管理IP地址，防止非法用戶登錄。各接入點(diǎn)根據(jù)現(xiàn)有信息點(diǎn)數(shù)，并預(yù)留30-40％的擴(kuò)容率，分配連續(xù)IP地址段；各核心節(jié)點(diǎn)下聯(lián)各接入點(diǎn)分配連續(xù)IP地址段，統(tǒng)一在核心節(jié)點(diǎn)提供IP路由，并做路由聚合。各核心節(jié)點(diǎn)內(nèi)部根據(jù)用戶群體地理位置劃分VLAN，并將VLAN網(wǎng)關(guān)IP設(shè)置在各核心節(jié)點(diǎn)交換機(jī)上。經(jīng)過我們的計(jì)算，將各部門ip地址分配如下表：部門IP地址網(wǎng)段人數(shù)默認(rèn)網(wǎng)關(guān)財(cái)務(wù)部/2040人事部/2060設(shè)計(jì)開發(fā)部/20130工程部/20150市場(chǎng)銷售部/20120用戶地址與VLAN劃分：Web服務(wù)器IP地址：/20FTP服務(wù)器IP地址：/20網(wǎng)關(guān):郵件服務(wù)器IP地址：/20以上部門的網(wǎng)關(guān)地址均為核心層連接端口地址，因?yàn)樗捎玫膇p地址不在同一網(wǎng)段，所以vlan的配置可以省略，需要配置的有：職工宿舍交換機(jī)、會(huì)議中心交換機(jī)、銷售部交換機(jī)。由于只有一臺(tái)連接外網(wǎng)的線路，因此在此我們可以設(shè)置靜態(tài)路由，但這種配置會(huì)冒極大的風(fēng)險(xiǎn)，一旦該線路出現(xiàn)故障，整個(gè)內(nèi)網(wǎng)與外界的通訊將陷入癱瘓，所以在此我們需要設(shè)置備用網(wǎng)關(guān)，即與外網(wǎng)設(shè)置兩條或多條線路，在多條線路間做負(fù)載均衡，詳細(xì)在下面介紹。第3章網(wǎng)絡(luò)技術(shù)選型3.1路由協(xié)議OSPFOSPF路由協(xié)議是一種典型的鏈路狀態(tài)（Link-state）的路由協(xié)議，一般用于同一個(gè)路由域內(nèi)。在這里，路由域是指一個(gè)自治系統(tǒng)（AutonomousSystem），即AS，它是指一組通過統(tǒng)一的路由政策或路由協(xié)議互相交換路由信息的網(wǎng)絡(luò)。在這個(gè)AS中，所有的OSPF路由器都維護(hù)一個(gè)相同的描述這個(gè)AS結(jié)構(gòu)的數(shù)據(jù)庫，該數(shù)據(jù)庫中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息，OSPF路由器正是通過這個(gè)數(shù)據(jù)庫計(jì)算出其OSPF路由表的。作為一種鏈路狀態(tài)的路由協(xié)議，OSPF將鏈路狀態(tài)廣播數(shù)據(jù)包LSA（LinkStateAdvertisement）傳送給在某一區(qū)域內(nèi)的所有路由器，這一點(diǎn)與距離矢量路由協(xié)議不同。運(yùn)行距離矢量路由協(xié)議的路由器是將部分或全部的路由表傳遞給與其相鄰的路由器。我們?cè)诠究偛亢头植康暮诵膶咏粨Q機(jī)及出口路由器上使用OSPF路由協(xié)議，以實(shí)現(xiàn)路由的動(dòng)態(tài)更新，確保全網(wǎng)互通。3.2VRRP（虛擬路由冗余協(xié)議）原理VRRP給路由器組提供了一個(gè)冗余網(wǎng)關(guān)地址，它是一種容錯(cuò)協(xié)議，通過定義不同的組，不同優(yōu)先級(jí)的路由器，它保證網(wǎng)絡(luò)的主路由器失效時(shí)，可以及時(shí)的由備分來實(shí)現(xiàn)路由器來替代，從而保持通訊的連續(xù)性和可靠性。并可以在該協(xié)議上實(shí)現(xiàn)負(fù)載均衡等高級(jí)交換特性。VRRP技術(shù)的實(shí)現(xiàn)：匯聚到核心冗余連接及VRRP的實(shí)現(xiàn)通過VRRP技術(shù)將多個(gè)設(shè)備虛擬成為一臺(tái)邏輯設(shè)備，實(shí)現(xiàn)匯聚/接入鏈路冗余。3.3RSTP、MSTP原理RSTP協(xié)議完全向下兼容802.1DSTP協(xié)議，除了和傳統(tǒng)的STP協(xié)議一樣具有避免回路、提供冗余鏈路的功能外，最主要的特點(diǎn)就是“快”。如果一個(gè)局域網(wǎng)內(nèi)的網(wǎng)橋都支持RSTP協(xié)議且管理員配置得當(dāng)，一旦網(wǎng)絡(luò)拓樸改變而要重新生成拓樸樹只需要不超過1秒的時(shí)間（傳統(tǒng)的STP需要大約50秒）。本交換機(jī)支持MSTP，MSTP是在傳統(tǒng)的STP、RSTP的基礎(chǔ)上發(fā)展而來的新的生成樹協(xié)議，本身就包含了RSTP的快速FORWARDING機(jī)制。由于傳統(tǒng)的生成樹協(xié)議與vlan沒有任何聯(lián)系，因此在特定網(wǎng)絡(luò)拓樸下就會(huì)產(chǎn)生以下問題：如下圖所示，交換機(jī)A、B在vlan1內(nèi)，交換機(jī)C、D在vlan2內(nèi)，然后連成環(huán)路。在某種情況的配置下，會(huì)造成把交換機(jī)A和B間的鏈路給DISCARDING.由于交換機(jī)C、D不包含vlan1，無法轉(zhuǎn)發(fā)vlan1的數(shù)據(jù)包，這樣交換機(jī)A的vlan1就無法與交換機(jī)B的vlan1進(jìn)行通訊。在網(wǎng)絡(luò)末梢，連接到單個(gè)工作站的時(shí)候，是不可能形成橋接環(huán)路的。在接口上啟用了portfast特性，可以使交換機(jī)端口立即變?yōu)檗D(zhuǎn)發(fā)狀態(tài)，提高了網(wǎng)絡(luò)的響應(yīng)速度及收斂時(shí)間?；赗STP的交換機(jī)高級(jí)特性Uplinkfast在網(wǎng)絡(luò)中的應(yīng)用考慮到有冗余上行連接的網(wǎng)絡(luò)，使用冗余連接到上層交換機(jī)，通常情況下一個(gè)上行連接處于轉(zhuǎn)發(fā)狀態(tài)，另一個(gè)處于阻塞狀態(tài)，如果主上行連接斷開，在使用冗余連接之前所經(jīng)歷的時(shí)間高達(dá)50S在使用Uplinkfast之后，使的具有冗余上行連接的交換機(jī)具有根端口失效時(shí)，另一個(gè)阻塞的上行連接能夠立即使用，這個(gè)時(shí)間大大縮小到1-5S之間，在校園網(wǎng)的特殊環(huán)境之下，能大大增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性，加快網(wǎng)絡(luò)收斂。3.4NAT的策略路由實(shí)現(xiàn)在組建網(wǎng)絡(luò)時(shí)，為了節(jié)約地址，我們?cè)趦?nèi)部使用保留的私有地址段中的地址，但是使用私有地址不能訪問Internet,所以必須申請(qǐng)多個(gè)公開地址配置在和Internet相連的局域網(wǎng)邊緣設(shè)備上。應(yīng)用NAT進(jìn)行地址轉(zhuǎn)換。NAT是網(wǎng)絡(luò)地址翻譯技術(shù)，在路由器上起用NAT之后，可以在部私有地址和外部公網(wǎng)地址之間做轉(zhuǎn)換。比如我們可以把網(wǎng)絡(luò)內(nèi)部使用的IP翻譯成外部公網(wǎng)的IP。配置基于策略的路由選擇時(shí)，可使用路由映射表來指定基于IP地址，應(yīng)用程序，協(xié)議或者分組長度的條件?；诓呗缘穆酚蛇x擇命令對(duì)中選的路由實(shí)現(xiàn)策略?；诓呗缘穆酚珊挽o態(tài)路由有很多共同之處。然而，靜態(tài)路由根據(jù)目標(biāo)網(wǎng)絡(luò)地址來轉(zhuǎn)換分組，而策略路由根據(jù)源地址來轉(zhuǎn)發(fā)分組。在路由選擇表中使用訪問列表時(shí)，可根據(jù)諸如目標(biāo)地址，分組長度，IP協(xié)議字段，優(yōu)先級(jí)或端口號(hào)來轉(zhuǎn)發(fā)數(shù)據(jù)流。這樣可以指定范圍更廣泛，更細(xì)致的條件，并根據(jù)這些條件來決定下一跳路由器。3.5ACL訪問控制策略訪問列表為我們提供了一種對(duì)網(wǎng)絡(luò)訪問進(jìn)行有效管理的方法，通過訪問列表，我們可以設(shè)置允許或拒絕數(shù)據(jù)包通過路由器，或者允許或者拒絕具體的某些端口進(jìn)行訪問和使用，如果滿足條件則執(zhí)行相應(yīng)的操作，放行這個(gè)包或者放棄這個(gè)包。我們通過這些設(shè)置來滿足實(shí)際網(wǎng)絡(luò)的靈活需求，從而達(dá)到設(shè)置網(wǎng)絡(luò)安全策略，防止網(wǎng)絡(luò)中的敏感設(shè)備受到非授權(quán)訪問的情況。在具體實(shí)現(xiàn)過程中從技術(shù)上來說我們需要了解到ACL分為兩種類型,他們分別是標(biāo)準(zhǔn)訪問列表(Standardaccesslists)和擴(kuò)展訪問列表（Extendsaccesslists）前者在過濾網(wǎng)絡(luò)的時(shí)候只使用IP數(shù)據(jù)報(bào)的源地址，那么在使用這種訪問列表的情況下它做出允許或者拒絕這個(gè)決定完全是依賴于源IP地址，它無法區(qū)分具體的流量類型。而擴(kuò)展訪問列表則可以提供更細(xì)的決定，它可以具體到端口，從而精確到某一個(gè)服務(wù)，比如對(duì)WEB,FTP的訪問等，給我們網(wǎng)絡(luò)的策略提供了更細(xì)的控制手段。我們利用這種訪問列表進(jìn)行協(xié)議級(jí)的控制以達(dá)到對(duì)網(wǎng)絡(luò)一個(gè)有效的管理。標(biāo)準(zhǔn)訪問控制列表一般放在靠近目標(biāo)的路由器上,而擴(kuò)展訪問控制列表一般放于近源端的路由器上。3.6鏈路聚合以太網(wǎng)信道鏈路聚合可以讓交換機(jī)之間和交換機(jī)與服務(wù)器之間的鏈路帶寬有非常好的伸縮性，比如可以把2個(gè)、3個(gè)、4個(gè)千兆的鏈路綁定在一起，使鏈路的帶寬成倍增長。鏈路聚合技術(shù)可以實(shí)現(xiàn)不同端口的負(fù)載均衡，同時(shí)也能夠互為備份，保證鏈路的冗余性。在這些千兆以太網(wǎng)交換機(jī)中，最多可以支持4組鏈路聚合，每組中最大4個(gè)端口。鏈路聚合一般是不允許跨芯片設(shè)置的。生成樹協(xié)議和鏈路聚合都可以保證一個(gè)網(wǎng)絡(luò)的冗余性。在一個(gè)網(wǎng)絡(luò)中設(shè)置冗余鏈路，并用生成樹協(xié)議讓備份鏈路阻塞，在邏輯上不形成環(huán)路。而一旦出現(xiàn)故障，啟用備份鏈路。第4章網(wǎng)絡(luò)實(shí)施方案4.1項(xiàng)目實(shí)施管理為了確保網(wǎng)絡(luò)設(shè)備采購及服務(wù)項(xiàng)目的建設(shè)工作能夠按期保質(zhì)的竣工，并完成整個(gè)網(wǎng)絡(luò)系統(tǒng)的安裝、調(diào)試及應(yīng)用培訓(xùn)。對(duì)此，我公司深感責(zé)任重大。鑒于此，我公司將以強(qiáng)大的施工隊(duì)伍，成立包括系統(tǒng)集成小組、項(xiàng)目管理小組、施工管理小組、售后服務(wù)及培訓(xùn)小組等在貴單位的密切配合，共同完成這一網(wǎng)絡(luò)系統(tǒng)工程。屆時(shí)，華為公司也將派高級(jí)工程師參與項(xiàng)目實(shí)施與監(jiān)督4.2項(xiàng)目實(shí)施4.2.1設(shè)備配置第一臺(tái)三層交換機(jī)第二臺(tái)三層交換機(jī)interfaceFastEthernet0/0noswitchport第二臺(tái)三層交換機(jī)interfaceFastEthernet0/0noswitchportipaddressinterfaceFastEthernet0/1noswitchportipaddressvrrp1ipvrrp1preemptvrrp2ipvrrp2priority150vrrp2preemptrouterospf1network55area0network55area0IproutenoswitchportipaddressinterfaceFastEthernet0/1noswitchportipaddressvrrp1ipvrrp1priority150vrrp1preemptvrrp2ipvrrp2preemptrouterospf1network55area0network55area0Iproute接入路由ipnatinsideipnatoutsideaccess-list1permit55ipnatinsidesourcelist1interfacee0/0overloadrouterospf1network55area0network55area0interfaceEthernet0/0ipaddressnoshinterfaceEthernet0/1ipaddressnosh4.3測(cè)試與驗(yàn)收4.3.1設(shè)備安裝、調(diào)測(cè)、開通由我方提供的設(shè)備，其安裝、調(diào)試（包括硬件及軟件）及開通，全部由我方負(fù)責(zé)，企業(yè)予以協(xié)助配合。設(shè)備安