企业网网络设计与实施方案

1 企业网网络设计与实施方案 1. 绪论 业网的建设意义 企业网行业是 21 世纪的朝阳行业，是目前乃至以后发展潜力最大的行业之一。企业网络指的是具有一定规模的网络系统，企业网构造应该为企业提供高效而经济的信息传输和事务处理能力，以满足企业有序而高效的运行。同时它也是市场经济发展与激烈市场竞争的产物，尤其是中小型企业网，顾客对产品的需求在不断向多样化、高质量、高性能和价格合理的方向发展，更是随着经济的发展层出不穷，为应付瞬息万变的市场需求，企业网络的建设必然向信息化发展。 企业网网络系统是一个非常庞大而复 杂的系统，它不仅为现代化发展、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。这种基于信息技术的分布式网络化企业，当一个企业内部网络增加到一定数目时，而采用 区域规划将会导致一些难处理的麻烦，因此如何科学的设计一个 区域规划企业网络系统是以后中小型企业的发展方向，这种将一个大型网络分成多个区域的的小网络，在单个区域内运行 算，有效的降低了计算频率，整个链路状态更新 (荷也相应的得到降低，从而让企业进行更 好的信息交互 。 业网的发展趋势 目前国内有关中小型企业网的设计还是处于发展阶段，常用的企业网设计基本上可以满足一般用户的要求，但是现有的企业网分散且不一致，甚至有些部门或分支机构在单机上运行一些独立的应用，由于这些应用时分散决策和各自实施的结果，缺乏整体性的设计，更没有统一的标准，因此在业务互相衔接的应用系统之间缺乏一致性，造成应用水平低的结果；而且现有的中小型企业网大多数是基于 区域的 由技术的网络设计，虽然许多功能已经基本实现，但是在性能和安全方面还有待提高 1。 一项链路状态路由技术， 议完成路由选择和路由交换的算法是最短路径优先算法，在网络中，它虽然解决了 敛时间长、频繁发生路由表更新信息、没有网络延迟和链路成本等缺点，但是在一些大型的网络中，尤其是那些企业内单个区 2 域爆炸性增大到 400 个网络时将会发生一些难处理的麻烦。 (1)最短路径优先 (法的频繁计算 一个企业内有几百个网络分段组成的网络发生变化是难免的，因此路由器将会接收到区域内新产生的每个路由选择的更新，从而使得每一个路由器必须要用非常多的 期来重新计算路由表，这无疑占用了网络 资源、降低了路由器使用的效率。 (2)大型路由表的出现 每台路由器需要为每个网络维持至少一个路由条目，比如说在一个拥有 400 个网络的企业中，建设存在其他可选择路径的情况占这 400 个网络的25%，路由表就至少会增加额外的 100 个条目 2。 (3)大型链路状态表的出现 因为链路状态表包含网络的完整拓扑结构，所以，即使路由没有被选入路由表，每台路由器都需要为区域内的每个网络维护一个条目，从而将会产生非常大的链路状态表。 针对以上问题的出现，传统的单区域 业网的设计已经不再满足各个企业的需求了，为了解 决这些问题， 设计为可将大区域分成仍然能够交换路由选择信息的多个较小的、更易于管理的区域， 这种将大型网络分成多个区域的能力被称为结构化路由选择，这样的设计将许多内部路由选择的运作，比如计算数据库，限制在一个区域内，这样就解决了单区域 络出现的问题，满足客户的实际需求。 文的主要内容 本文围绕高科通信技术有限公司企业网设计方案而展开，主要有以下内容： (1)绪论 介绍企业网建设的意义以及企业网的发展趋势。 (2)企业网关键技术分析 介绍在本方案设计中所涉及的技术。 (3)概要设计 主要包括企业网建设目标，现状分析，以及需求分析。 (4)网络详细设计 根据需求分析给出的高科通信技术有限公司设计方案。 (5)工程实施 包括设备配置以及综合布线方案。 2. 企业网关键技术分析 业网技术分类 企业网是园区网络的一种，所用到的技术也是园区网中的技术，我们将这些实用的技术分为交换技术，路由技术，企业网络远程接入技术。 (1)交换技术 所谓交换技术是指用于二层帧转发而不用于 由转发的技术。 (2)路由技术 路由技术是指通过相互连接的网络把信息从源地点移动到目标地点的 3 活动， 一般来说，在路由过程中，信息至少会经过一个或多个中间节点。通常，人们会把路由和交换进行对比，这主要是因为在普通用户看来两者所实现的功能是完全一样的。其实，路由和交换之间的主要区别就是交换发生在 考模型的第二层 (数据链路层 )，而路由发生在第三层，即网络层。这一区别决定了路由和交换在移动信息过程中使用不同的控制信息，所以两者实现各自的功能的方式是不同的。 (3)远程接入技术 远程接入技术可以分为专线接入和 程接入 3。专线接入指利用 线网络进行远端设备的连接，并且提供一系列安全措施，这种接入 方式价格比较高，一般用于对稳定性要求比较高的园区网中。 入利用的是 网，通过 身的安全性来保证数据传输的安全性，与专线接入相比价格相对较低廉。 业网中的交换技术 在企业网中使用的最多的技术就是交换技术，交换技术的成熟带动着企业网的发展。而企业网是基于这个交换架构的网络，因此在交换式的网络中有众多技术 。下面分别讲述这些技术的应用。 (1)术 虚拟局域网，是一种逻辑广播域，它能将处于不同物理网段的主机聚集到同一个广播域中，广播不会在 间转发，而是被限制在各自的 。同时， 以分组设备，不同 的设备相互不可见。从技术角度讲， 划分方法可以分为以下几种： 基于端口划分 基于 址划分 于网络层协议划分 于播划分 据子网划分 据用户认证授权划分 (2)术 术是一种封装技术，它是一条点到点的链路，链路的两端可以都是 交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。要功能就是仅通过一条链路就可以连接多个 (3) 是 P 标准协议，使用 议进行数据报传递，使用 67 以及 68 号端口，客户端使用 68 号端口向服务器发送信息，服务器使用 67 端口向客户端发送消息 4。 (4)术 生成树协议，当交换机发 现拓扑中有环时，会逻辑的阻塞一个或者更多的交换机端口来消除二层环路的技术，当网络拓扑发生变化时，运行 交换机会自动重新配置他的端口以避免环路的产生或连接丢失 5。 (5)链路捆绑技术，通过对多个端口进行绑定，充分利用现有端口的 4 优势来增加可用带宽，可以聚合多条物理链路的逻辑链路，并且实现物理链路的负载均衡，当链路中的某条物理链路故障时，可以快速重新分配负载，不中断业务，在增加带宽的同时也增强了链路的可靠性。 业网中的路由技术 路由技术主要应用于核心层或者出口去其他 的网络，连接出自己的园区的网络，在经过接入路由器时根据 的目的地址，在路由器的路由表中查询，是否有前往目的地的路由，如果有则根据路由条目来转发 ，由于在企业网的核心层会使用 2 台核心交换机做备份，则在此时可以通过路由技术 有的协议 )或者际通用的协议 )来实现流量负载。通过这一技术可以大大的缓解核心层中设备使用过于集中而备份设备出现闲置的情况，在企业存在分部的情况下，分部与总部需要互相连通，那么动态路由协议 使用的比较广泛。下面分别对这两种技术做简单介绍 ： (1)拟路由冗余协议，是一种网关冗余的协议，它通过在冗余网关之间共享协议和 址，提供不间断的 径冗余。一组参与 路由器为同一 。在 内，可以分别指定各路由器的选举优先级，当 行选举时，首先比较选举优先级，优先级高者获胜成为的 败者成为 果两个 有相同的优先级， 期性地发送 果一定时间内未收到 为 行新一轮的 举，同时， 6。 (2)最短路径优先协议，是一项链路状态路由技术， 议完成路由选择协议算法的两大功能：路径选择和路径交换。 1988 年开发了 最近版本， 本 2，在 328中进行了描述。 一种内部网关协议 (也就是说它在属于同一自治系统的路由器间发布路由选择信息。 业网远程接入技术 (1)术 网络地址转化 (是基于当前 状态下而发展起来的一项技术，它可以使用一个公有地址或少量公有地址来实现多用户同时上 5 网，也可以利用 术做一些安全性的管理，例如实现 址隐藏等 7。 (2)术 英文全称是 “虚拟专用网络。顾名思义，虚拟专用网络我们 可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在 的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样。 总部与分部之间建立 远程连接，实现在 公网上对于二者之间的私有网络的连接，并且使用加密技术以保证数据在公网上传输的安全，不仅十分方便，而且也是相当的实用。 3. 概要设计 络设计目标 “功欲善其事，必先利其器 ”，高科通信技术有限公司深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立 一个方便快捷安全的通信网络综合信息支撑系统，已迫在眉睫。高科通信技术有限公司企业网主要建设一个企业信息系统，它以管理信息为主体，连接生产、销售、维护、运营子系统，是一个面向 公司 的日常业务、立足生产、面向社会，辅助领导决策的计算机信息网络系统。 本期项目的目标是建立如下系统： (1)构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网。 (2)选用技术先进、具有容错能力的网络产品，在投资和条件允许的情况下也可采用结构容错的方法。 (3)完全符合开放性规范，将业界优秀的产品集成于该综合网 络平台之中。 (4)具有较好的可扩展性，为今后的网络扩容作好准备。 (5)采用 公，做到集数据、图像、声音三位一体，提高企业管理效率、降低企业信息传递成本。 (6)整个公司计划采用 10M 光纤接入到运营商提供的 司统一一个出口，便于控制网络安全。 (7)设备选型上必须在技术上具有先进性，通用性，且必须便于管理，维护。应具备未来良好的可扩展性，可升级性，保护公司的投资；设备要在满足该项目的功能和性能 6 上还具有良好的性价比；设备在选型上要是拥有足够实力和市场份额的主流产品，同时也要有好的售后 服务。 科通信技术有限公司企业网现状分析 高科通信技术有限公司是一家集生产销售为一体的中小型企业，公司总部位于广东白云区工业园区内，公司现有办公大楼、生产大楼、员工宿舍楼各一栋，其中办公大楼5 层，员工宿舍楼 6 层，生产大楼一层。办公大楼与员工宿舍相距 500 米。另外，在武汉有一家分公司，主要为销售业务。公司下辖微机室、财务部、行政部、生产部、研发部、后勤部、业务部、人力资源部、总裁办等部门，总部中心机房位于办公楼 3 楼。分部具有信息部、财务部、行政部、后勤部、业务部、人力资源部等部门。 络设计 需求分析 息点需求分析 根据企业的联网要求，可将整个网络分成以下几个部分： 总部设备管理中心：位于企业总部的中心机房，是整个企业网络设备管理的核心，也是整个企业是否能够正常运作的关键。核心交换机，服务器，远程接入路由器，以及入均属于总部设备管理中心，便于统一管理。 分部设备管理中心：对于一个分公司来讲，一个地区的网络管理和整个企业网络的设备管理是一样的，只是相对总部来讲设备比较少，管理比较容易点而已。位于每个分公司的中心机房，主要是实现办公业务和生产业务功能的路由器。 办公点 ：企业办公。 本企业网信息点统计结果如表 表 科通信技术有限公司信息点统计 部门 地点 微机室 财务部 行政部 生产部 研发部 后勤部 业务部 人力资源部 总裁办 总部 10 20 20 100 30 10 80 10 5 分部 2 2 2 20 - 3 - - - 络功能需求分析 企业网为了方便对企业内部办公的信息交互和业务办理的管理，充分利用企业内部资源，增强网络的可靠性和安全性，该网络的主要功能需求如下： 7 (1)全网用户都 能通过边界路由器访问 中 址为： 172. 16. 22. 22；202 96 业申请了一个公网地址 :9。 (2)总部交换网络 关备份要求。 (3)总部服务器和 求，总部和分部都应设置 务器分配 址。 (4)问控制要求：分部生产业务只能访问总部生产业务及总部服务器网段；分部办公业务只能访问总部办公业务、总部服务器网段和上 (5)公司总部跟分部通过 行互联，并能够通过 联总部与分部。 (6)保护公司内网不受攻击。 行性分析 (1)技术可行性 本设计所涉及的技术都是本人在蓝狐学习时所接触到的内容，其中的每一项技术经过老师的讲解、自身的消化、以及反复的上机实验不断的提出问题，解决问题而得以掌握的，所以我认为在技术上是可行的。 (2)经济可行性 目前中小型企业层出不穷，企业对网络化管理的需求也随着时代的进步而提高。因此，市场对中小型企业网络的需求是很大，其工程实施后能将投资成本回收并且盈利，并且维护起来也比较容易。 (3)操作可行性 本设计将详细的写出有 关的操作事项，仅仅需要接入 ，设置 址就可以连入到企业网络中进行正常的日常办公，即使是一个不懂电脑知识的人也可以用，因此具有操作简单、方便的特点。 (4)安全可行性 企业网的安全问题分为两个方面：一是企业内部业务分割与企业职工对某一业务的访问权；二是接入 企业内部数据的安全。解决前者主要是采用划分 问控制列表 (方法来区分各业务流以及企业员工的访问权限，而后者则主要是应用防火墙技术来保证整个企业数据的安全性，防止非法的操作。总之，整个企业的安全可靠性是比较好的。 8 4. 网络详细设计 络设计技术选型 现在的企业网络存在着多种技术，不过就目前来说最主要的是有三种技术：以太网(光纤分布式数据接口 (异步传输网络 (下面我们来分析这三种主流技术的优缺点，然后在选择一种我们认为比较合适的企业网技术。 (1)以太网 以太网 (分为标准以太网，快速以太网和千兆以太网技术，下面分别对这三种以太网加以介绍： 标准以太网 标准以太网是三种以太网中吞吐量最小的一种，为 10最早期的以太网标准，采用双绞线或者同轴 电缆为传输介质。使用 D 访问控制方法来避免链路冲突 8。 快速以太网 快速以太网实际上是 10太网的 100本，所以它的运行速度要比 100 倍。在用户已经很熟悉传统以太网的情况下，快速以太网相对其他高速网络技术更容易被掌握和接受。快速以太网与传统以太网技术相比还具备以下优点： 快速以太网和普通以太网同样遵循 D 协议，现有的 10络设备可以相当简单地升级到快速以太网，保护用户原有的投资。 100线器和网络接口卡，只要比 10样的设备多花少量费用就可提供比普通以太网高 10 倍的性能，因此 100备更高的性价比 千兆以太网 千兆以太网是相当成功的 10太网和 100速以太网连接标准的扩展，支持 D 协议、全双工、流控制和由 准定义的管理项目，千兆位以太网将使用所有这些规范 9。 总之，千兆以太网与以前我们了解的以太网相同，所不同的是仅仅比快速以太网快十倍和它与当前的高带宽需求应用程序相协调的额外特性。 (2)光纤分布式数据接口 9 光纤分布式数据接口是一种是用光纤作为传输介质的， 高速的，通用的环形网络，它能以 100速率跨长达 100距离，连接多达 500 个设备，既可用于城域网络，也可以用于小范围局域网。 用令牌传递的方式解决共享信道冲突问题，与共享式以太网 D 的效率相比在理论上要稍高一点，然而 以太网一样，其本质仍是介质共享、连接的网络，这就意味着仍然不能提供服务质量，保证更高的带宽利用率。在少量站点通讯的网络环境中，它可达到比共享以太网稍高的通讯效率，但随着站点的增多，效率会急剧下降，这是侯无论从性能和价格都无法与交换式以太网，相比， 交换式 提高介质共享效率，但同交换式以太网一样，这一提高也是有限的，不能解决本质问题 10。 (3)异步传输模式 ( 目前网络发展的新技术，它采用基于信元的异步传输模式和虚电路结构，根本上解决了多媒体的实时性及带宽问题，实现面向虚链路的点到点传输，它通常提供155带宽，它既汲取了话务通讯中电路交换的 “有连接 ”服务和服务质量保证，又保持了以太网， 传统网络中带宽可变，适于突发性传输的灵活性，从而成为迄今为止使用范围最广，技术最先进，传输效果最理想的网络互联手段 11。 术具有如下特点：实现网络传输的链接服务，实现服务质量 (交换吞吐量大，带宽利用率高，具有灵活的组网拓扑结构和负载均衡能力，伸缩性，可靠性极高： 现今唯一一个可同时用于局域网、广域网两种网络应用领域的网络技术，它将局域网与广域网技术统一。 由以上三种国园区网络各自特点的介绍，再结合大中型园区网络的具体情况，因此选择采用以太网技术中的快速以太网结构，即千兆到主干，百兆接入桌面的交换式快速以太网技术。 扑结构选型 网络拓扑结构是指网络中的各节点之间互联的构型，不同拓扑结构的网 络其信道的访问技术，利用率以及信息的延迟，吞吐量，设备开销等各不相同，因此分别用于不同规模，不同用途的场合，其中现在企业网中所用到的拓扑结构有以下三类，下面分别介绍其各自的特点： (1)星形拓扑结构 星形拓扑结构是最古老的一种连接方式，我们每天都是用的电话属于这种结构，如 10 图 示。其中，电话网的星形结构，为目前使用最普通的以太网星形结构，处于中心位置的网络设备称为集线器。 这种结构便于集中控制，因为端用户之间的通信必须经过中心站，由于这一特点，也带来了易于维护和安全等优点。端用户因为故障而停机时也不会影 响其他端用户间 图 型拓扑 的通信但这种结构非常不利的一点是，中心系统必须具有极高的可靠性，因为中心系统一旦损坏，整个系统便趋于瘫痪。对此中心系统通常采用双机热备份，以提高系统的可靠性。 (2)环形拓扑结构 图 形拓扑 环形拓扑结构在企业网中使用较多，这种结构的传输媒体从一个端用户到另一个端用户，直到将所有端用户连成环形。如图 示。这种结构鲜而易见消除了端用户通信时对中心系统的依赖性。 环形结构的特点是，每个端用户都与两个相临的端用户相连，因而存在着点到点链接路，但总是以单向方 式操作。 (3)总线拓扑结构 总线结构是使用同一媒体或电缆连接所有端用户的一种方式，也就是说，连接端用户的物理媒体所有设备共享。如图 示。使用这种结构必须解决的一个问题是确保 11 端用户使用媒体发送数据时不能出现冲突。在点到点链路配置时，这是相当简单的。如果这条链路是半双工操作，只需要简单的机制便可保证两个端用户轮流工作。在一点到多点方式中，对线路的访问依靠控制端的探询来确定。然而，在园区网环境下，由于所有数据站都是平等的，不能采取上述机制。对此研究了一种在总线共享型网络使用的媒体访问方法，带有碰撞检测的载 波侦听多路访问，即 D。 图 线型拓扑 分析以上三种常见网络拓扑各自特点，因此选择以星型拓扑结构为基础，吸取总线型拓扑的部分优点，以增加冗余结构的网络拓扑。 干网设计 计目标 企业网的主干网主要用来实现数据的高速稳定的转发，是企业网中的核心。子网之间的通信，企业总部与分部之间的通信都要靠主干网来实现路由转发。随着时代的发展，古老的 80/20 数据模型已经远远跟不上企业的需求，取而代之的 20/80 的数据模型，即20%的数据在本地，而 80%的数据在远程，同时企业内部 子网之间的通信数据流量也是非常大的，因此对企业主干网的要求不仅是可靠性要高，还必须做到高带宽，实现数据的高速传输与高速转发。 干网解决方案 (1)链路选型 为了实现数据在企业网内部能够高速的转发而实现数据的低延迟转发，在接入层采用百兆链路到桌面，在这种要求下，对于一个 24 口交换机而言，上行最大流量为100*24*2=4800M，从网络的可扩展性考虑，企业网汇聚层与核心层之间应该采用万兆链路比较适宜。 (2)主干网路由解决方案 12 在企业网中对路由协议的选择一般可以选择 两种 12， 一中距离矢量路由协议，根据到目标地址的跳数多少来选择路由，每 30s 发送一次路由更新，有最大 15 跳限制。 一种链路状态协议，根据链路的带宽来选择到达目标地址的路由，只有在拓扑结构发生变化时才会发送链路状态更新消息，没有最大跳数限制，具有区域的概念。在高科通信技术有限公司网络设计方案中采用 为主干网的路由协议。总部核心层交换机防火墙和边界路由器组成主干区域 。 (3)总部与分部互联解决方案 在本方案中高科通信技术有限公司总部与分部通过 联，并且采用能封 装组播数据包的 议作为 封装协议。 网设计 (1)办公子网设计 办公子网分布在和分部的办公大楼内，接入层交换机通过 路分别与两台核心层交换机相连。属于同一部门的信息点划分到同一个 ，在总部各部门之间的通信使用 层逻辑接口作为相应 网关，在核心层使用 术实现网关的冗余，从而增加网络的可靠性。在接入层与核心层之间采用了环形拓扑设计，为了避免二层环路，在核心层与接入层之间部署 台核心层交换机分别为根网桥和备份根网桥。 (2)宿舍楼子网设计 宿舍 楼子网主要业务是对 访问，由于距离中心机房较远，宿舍楼子网采用三层结构，接入层交换机接入到汇聚层交换机上，汇聚层交换机通过光纤链路连接到中心机房核心层交换机上，宿舍楼内每个宿舍属于同一个 过汇聚层上 口实现 间的通信，汇聚层通过三层接口与核心层相连，在汇聚层上有默认路由来实现接入层设备到核心层从而访问 路由。 (3)分部办公子网设计 企业分部主要业务为实现办公自动化，邮件， 问。企业分部相同的部门划分到同一个 ， 间的通 信可以由单臂路由技术实现，边界路由器接入到，同时配置一条默认路由指向外网，供分部访问 路由。 (4)网管子网设计 当网络建设完成后，所有的网络设备应该是可以进行管理的。在本设计方案中为了 13 能对网络中所有的设备进行方便统一的管理，所有的设备均配置网络管理地址。对于不能启用三层接口的二层设备网管接口采用 口，三层设备配置 口作为网管接口。除了 从其余接口登录设备均采用 证，并对操作行为进行审计。 (5)总部与分部 划分 在 本方案中对 划分采用基于端口的划分方式，相同的部门划分到相同的，表 表 别列出了总部与分部 划分方案。 表 部 分方案 部门 /称 信息点数 微机室 2/0 财务部 3/0 行政部 4/0 生产部 5/00 研发部 6/0 后勤部 7/0 业务部 8/0 人力资源部 9/0 总裁办 10/ 会议室 11/0 服务器 20/0 网管 55/占物理接口 联 01/占物理接口 表 部 分方案 部门 /称 信息点数 微机室 2/ 财务部 3/ 行政部 4/ 销售部 5/0 后勤部 6/ 14 网管 22/ 不占用物理接口 络安全设计 在的威胁分析及解 决方案 (1)务器冒充 由于 务器和客户端之间没有认证机制，所以如果在网络上随意添加一台 务器，它就可以为客户端分配 址以及其他网络参数，该安全威胁引起的后果轻则用户终端获取到不一致的 息，造成终端之间通信的问题，重则用户终端获取不到不安全的 息，造成中间人攻击或者网络钓鱼 13。 (2)拒绝服务攻击 攻击者不断发 求把 合法的 址都申请完，让其 “下班 ”此时再由黑客冒充 整个网络 分配错误的 址，使网络不能与外界通信。 (3)解决方案 面对以上威胁，可以部署 术来解决。 一种功能非常强大的保证 务安全部署的机制，通过在开启 能的交换机上定义 口和 口来实现对 充防范和攻击。同时，并非所有来自 口的 求都被允许通过，交换机还可以比较封装 户机的硬件地址 (即 段 )，只有这两者相同的请求报文才会被转发 ，否则将被丢弃，这样就防止了 址耗尽攻击。 级特性部署 (1)根保护 根保护 (基于端口配置的，并且不允许该端口成为一个 根端口，设 置 了 根 保 护 的 端 口 如 果 收 到 一 个 更 优 的 新 它 将 把 本 端 口 设 置 为 态，该状态下不会收发数据。不会成为根端口，只会监听 交换机拿开后这个端口又会正常收敛 14。 在对设备配置时，所有的接入层端口全部配置 保护特性。 (2)企业网的接入层和分布层的非 指定端口 (边缘端口除外 )部署 护特性， 15 配置了 性的端口在 失持续 20 秒后变为 态，该端口被 防止循环的形成，并保持在非指定端口角色。 部与分部互联安全性部署 在本方案中分部与总部互联采用 实现总部与分部的互联， 以支持组播，这种情况下总部与分部可以通过 态路由协议来实现总部与分部之间的路由。然而， 议本身不安全，他不对数据进行加密，这样，攻击者就可以在 了增强总部与分部互联的安全性，在 基础上部署 界安全设计 企业网边界是企业网内部通向 必经之地，同时 的数据也是从企业网边界进入到企业网的内部， 存在着太多的不安全因素，因此，边界的安全系数决定着企业网的安全性。为了确保网络的安全性，通常的做法是部署防火墙，在防火墙上配置策略拒绝所有的非法流量，只允许合法流量进入到企业网的内部。所谓非法流量，防火墙拒绝通过的流量。下面分析本 企业网中的合法流量。 (1)所有目标端口为 80 的流量 即 访问企业网站的流量； (2)分部访问总部的流量 分部对总部服务器和相关业务访问的流量； (3)量 包括 路更新和 息流量。 问控制设计 在企业网内部，财务部除了总裁办和财务部成员可以访问，其余部门不能对财务部进行访问，在总部和分部都可以通过 问控制列表来实现。另外应该保证只有特定的用户能对设备进行远程登录，在高科通信有限公司企业网中只有属于微机室子网用户能够对设备进行 作。 在高科通信技术有限公司企业网建设过程中有对 问的需求，为了节约 于企业内部在同一时间内会有多人要对 行访问， 术不能很好的满足这种需求，在本设计中采用 术来实现企业网内部对 访问。 备选型 16 设备选型原则： (1)代表目前网络系统设备的先进水平； (2)具备较强的安全性； (3)具备优良的 能 可靠性、安全性、可维护性； (4)具备优良的可扩充性和升级能力； (5)具备优良的性价比 。 基于以上的设备选型原则，表 出了设计的设备选型方案。 表 备选型 设备位置 设备名称 优点 设备数量 核心层 核心交换机 发速率快，设备稳定可靠 2 汇聚层 汇聚层交换机 有 12 个千兆位以太网 口，支持单模及多模光纤 2 核心层 防火墙 于标准的虚拟专网、自适应安全算法、静态故障切换 /热备用 2 接入层 接入层交换机 以 实现堆叠，以保证端口数量足够的多 16 边界路由器 811 具有入侵保护防火墙功能 2 络拓扑结构设计 高科通信技术有限公司企业网由办公子网、宿舍楼子网、服务器区、路由区以及分部子网构成，拓扑结构如图 示。办公子网主要承载公司日常办公业务，接入层交换机直接接到公司的核心交换机上。宿舍楼子网通过两台汇聚层交换机连接到公司核心层交换机上。服务器区为公司的服务器群，提供 服务。路由区为提供全网路由，由宿舍楼汇聚层，核心层，防火墙以及所有边界路由器组成。分部子 网主要承载分部办公业务，通过单臂路由技术来实现部门之间和对 访问。 17 P 地址需求分析 (1)所有可能接 信息点； (2)所有服务器； (3)网络中的所有三层链路； (4)所有设备的网络管理地址； (5)本网 址使用私有地址 6 地址块进行划分。 图 科通信技术有限公司拓扑图 P 地址规划原则 (1)唯一性 应该保证全网不存在相同的 址 (2)按子网划分 相同子网的设备的 该划分在同一个网段内 (3)可扩展性 预留一定的 址空间供网络扩展用 (4)最大汇总原则 全网 以汇总成一个或较少的几个 段 (5)实意性 使 址具有实际的含义，看到 址就知道他的用途 P 地址规划方案 本网采用先地区后业务划分方法进行 址分配。按照 3 位 ) 业务 18 位 (2 位 )子网位 (3 位 )1 位 ) 主机位 规则对 址进行划分 ,表 出了具体的 址规划方案： 表 区位代码表 地区位代码 地区 址段 0 骨干 9 1 骨干 (预留 ) 9 2 总部 9 3 总部 (预留 ) 9 4 分公司 1 9 表 务功能代码表 业务功能位代码 业务 0 三层设备 址 1 链路地址 2 二层交换机网管地址 3 办公业务 表 路及 口 设备 接口 端设备 对端接口 对端 1 2 - - - 0 00 0 0/1 0 0/1 0 0/0 0 1 0 2 - - - 0/0 0 0/0 0 0/1 0 0 0 2 - - - 2 - - - 理地址 2 - - - 2 0 0/0 0 2 0 0/1 0 19 2 - - - 0 0 2 - - - 表 部 P 地址分 配表 址范围 网关 2 5 5 3 5 5 4 5 5 5 5 5 6 5 5 7 5 5 8 5 5 9 5 5 10 5 5 11 5 5 20 5 5 55 1 - 表 部 P 地址分配表 址范围 网关 2 5 5 3 5 5 4 5 5 5 5 5 6 5 5 22 1 - 合布线方案 20 求分析 高科通信技术有限公司总部园区内包括办公楼，宿舍楼和生产大楼各一栋，公司办公大楼和宿舍楼的距离已经超过了双绞线布线的技术要求，因此采用光纤进行布线。 园区的综合布线系统是一个高标准 的布线系统，水平系统和工作区采用超五类元件，主干采用光纤，构成主干千兆以太网。不仅能满足现有数据、语音、图像等信息传输的要求，也为今后的发展奠定基础。整个企业网共有信息点 500 个左右，公司总部公有信息点 400 左右，分公司有 100 个左右。针对以上要求，对计算机内网综合布线系统提出自己的解决方案。 建筑群间的光缆采用 多模光纤系统。大楼内布线采用 超五类双绞线结构化布线结构。 合布线系统结构 综合布线系统部分结构如图 示： 图 合布线系统结构图 根据综合布线国际 标准 1801 的定义，综合布线系统可由以下子系统组成： (1)工作区子系统 (工作区子系统由信息插座延伸至用户终端设备的布线组成，包括信息插座和相应的连接软线 15。用户能方便地把计算机、电话、传真等不同的终端设备接入大楼的通信网络系统。 (2)水平干线子系统 (水平布线子系统由楼层配线间延伸至信息插座的布线组成，通常可采用超五类双绞线，我们这里采用的是超五类双绞线，也可采用光缆以满足高传输带宽应用或长传输距 21 离的要求 。水平布线提供大楼网络通信系统到用户终端设备的信息传输 16。 (3)垂直干线子系统 (垂直干线子系统也称骨干 (系统，它是整个建筑物综合布线系统的一部分。它提供建筑物的干线电缆，负责连接管理间子系统到设备间子系统的子系统，我们使用光缆来连接管理间子系统和设备间子系统。 (4)管理间子系统 (管理间子系统由交连、互连和 I/O 组成。管理间为连接其它子系统提供手段，它是连接垂直干线 子系统和水平干线子系统的设备，其主要设备是配线架、 机柜、电源。 (5)建筑群子系统 (建筑群子系统由大楼配线间延伸至各楼层配线间的布线组成。该子系统亦包括各配线间的配线架，跳接线等。采用的线缆是超五类双绞线。大楼配线间和楼层配线间通常也用于放置网络设备和其他有源设备。建筑群子系统提供大楼内通信网络信息交换的主干通道。 (6)设备间子系统 (设备间子系统也称设备子系统，设备间子系统由电缆、连接器和相关支撑硬 件组成。它把各种公共系统设备的多种不同设备互连起来，其中包括邮电部门的光缆、同轴电缆、程控交换机等。 合布线 系统总体设计 为了满足高科通信技术有限公司将来灵活组网的需要，在公司总部办公楼、分公司等建筑物内各设有配线间。整个园区设备间机房安置在总部办公大楼的 4 楼，各分公司的设备间机放安置在各分公司的一楼。 为充分满足公司内部及对外高速高容量信息通信的需要，系统采用高速高容量的多模光纤作为园区的网络主干。 建筑物内采用先进的超五类非屏蔽布线系统。 根据技术规范，选用高性能 屏蔽系统， 传输参数可达到 200道传输性能在 200 250 0 道传输性能不低于招标技术要求所附性能参数表的要求。因此，本方案建议采用 五类 品，其传输带宽可达 200上，可靠支持新的千兆以太网、 高达 5502 的宽带语音应用，为今后新的高速网络应用留有充足的性能余量。 施工中注意事项 (1)仔细查阅其它专业的