企业网络工程毕业设计.doc

装订线摘要随着Internet的逐步普及，企业网络的建设是企业向信息化发展的必然选择。随着计算机不断地发展，网络技术的不断提高，很多企业的网络性能已经跟不上现代信息的变化了，对于很多企业来说升级现有网络是必不可少的办法，企业对新建的网络的向后的兼容性的要求也越来越高。企业网网络系统是一个非常庞大而复杂的系统，它不仅为现代化发展、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。在企业网络方案设计的过程中，服务器和网络设备的选择一定要充分考虑企业的需求、扩展性以及向后的兼容性。在配置网络设备和服务器的时候一定要依据用户的要求和技术支持文档。企业网络工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本毕业设计结合一家中型企业网络的实际需求，通过对网络架构组建方案的设计、基于安全的网络配置方案设计、服务器架设方案设计、企业网络高级服务设计等方面的仿真研究，详尽的探讨了对该网络进行规划设计时遇到的关键性问题，以及网络相关的服务。本设计将主要以企业网络规划建设过程可能用到的各种技术及实施方案为设计方向，为企业网的建设提供理论依据和实践指导。关键字：网络规划、互联网、局域网、网络拓扑图Summary With the gradual popularization of the Internet, building an enterprise network is an inevitable choice to enterprise information development. With the computer constantly evolving, constantly improving network technology, many enterprises have been behind the network performance changes in modern information, and upgrade the existing network is essential for many companies approach corporate network for new backward compatibility requirements are also increasing. Enterprise network system is a very large and complex system, which not only provides the basic platform for the development of a modern, integrated information management and a range of applications such as office automation, and can provide a variety of application services, so that information can be timely and accurate transmission to each system. In the enterprise network design process, select the server and network equipment must fully consider the needs of enterprises, scalability and backward compatibility. Supporting documents must configure network devices and servers when the users requirements and technical basis.Enterprise network construction in the main application of network technology is an important branch of LAN technology to build and manage, so the actual needs of the graduate design a medium-sized network, set up the program through the network architecture design, network configuration based security solutions simulation study design, server set design, enterprise network design and other aspects of advanced services, a detailed discussion of the key issues for the network planning and design experience, and network-related services. This design will be mainly enterprise network planning and construction process may be used to implement a variety of technologies and solutions for the design direction, provide a theoretical basis and practical guidance for building enterprise networks.Keywords: network planning, Internet, LAN, network topology目录摘要1Summary2目录3前言4第一章工程概况5第二章 系统需求分析62.1网络要求62.2系统要求62.3用户要求72.3.1网络设备配置72.3.2网管系统设计72.3.3内、外网隔离82.4设备要求8第三章 详细网络结构设计规划83.1网络设计指导原则83.1.1先进性83.1.2标准性93.1.3兼容性93.1.4可升级和可扩展性93.1.5安全性93.1.6可靠性103.1.7易操作性103.1.8可管理性113.2网络设计总体目标113.3网络通信联网协议123.4网络 IP 地址规划123.5网络技术方案设计123.6网络应用系统选择143.7网络安全系统设计153.8网络管理维护设计15第四章 总体结构设计154.1网络拓扑结构154.2 IP地址规划184.3 设备选型194.4网络安全设计214.5 网络管理系统设计24第五章 网络布线系统设计265.1 综合布线标准265.2设计范围及要求265.3布线的实施265.4测试及验收29第六章 项目费用306.1设备费用（高档方案）306.2 设备费用（低档方案）316.3项目费用33总结34致谢35参考文献36前言计算机网络是指通过传输媒体连接的多部计算机组成的系统，使登录其上的所有用户能够共享软硬件资源。计算机网络如网络的组建规模和延伸范围来划分的话，可分为局域网(Local Area Network ,LAN)、城域网(Metropolitan Area Network ,MAN)、广域网(Wide Area Network ,WAN)。我们经常用到的因特网(Internet)属于广域网，中小企业内部网和企业网属局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密方向发展。随着计算机信息产业技术的普及和发展，各企事业单位的计算机应用越来越广泛。通过信息化提高企业的竞争力已成为大多数中小企业的共识，但尚有不少企业的管理者往往认为买了电脑就万事大吉，却不知来建立企业内部的局域网并联接国际网联网信息化能够有效重复和加强协作，从而提高效率。企业要实现信息化管理，首要的条件就是建立企业局域网，然后在该系统的基础上开发应用各种基础和专业软件。网络化可以有效地实现企业内部的资源共享、信息发布、技术交流、生产组织。此外，还可以通过这个网络连接到世界上其它计算机，使得企业方便地实现与外部的交流。企业网的建设是一项非常复杂的系统工程，企业作为一个特殊的网络应用环境，它的建设与使用都有其自身的特点。在选择局域网的网络技术时要体现开放式、分布式、安全可靠，维护简单的原则。局域网技术是一项在20世纪70年代发展起来的计算机互联技术，经过多年的发展，技术已经成熟，并得到了广泛的应用，局域网技术成为网络技术的重要组成部分。作为企业的一个工业园区，对内构建企业局域网，对外应能联入外围工业区和外围厂，这两点在网络规划时都应考虑到，因而根据此特点和公司各单位的部门划分，园区内电脑可分为以下四种类型：一是生产用电脑，二是管理用电脑，三是财务用电脑，四是劳资系统电脑。根据中小企业的规模、网络系统的复杂程度、网络应用的程度，用户对于网络的需求也各不相同，对于中小企业内部网,主要实现资源共享功能,通信服务功能,多媒体功能,远程VPN拨入服务功能等等。第一章 工程概况总部公司有 500 台 PC；公司有共有两个办事处(2-3台PC)，公司有自己的内部网页与外部网站；公司有自己的 OA 系统；公司中的台机能上互联网；核心技术采用VPN；包括两家分公司，包括总公司在内共有2000多名员工；公司网内部覆盖7栋建筑物，分别是总公司和分公司的办公和生产经营场所，每栋建筑高7层，都具有一样的内部物理结构。一层设有本建筑的机房，少量的信息点，供未来可能的需求使用，目前并不使用(不包括公司总部所在的楼)。二层和三层，每层楼布有96个信息点。四层到七层，每层楼布有48个信息点，共3024个信息点。每层楼有一个设备间。楼内综合布线的垂直子系统采用多模光纤，每层楼到一层机房有两条12芯室内多模光纤。每栋建筑和公司总部之间通过两条12芯的室外单模光纤连接。要求将除一层以外的全部信息点接入网络，但目前不用的信息点关闭。第二章 系统需求分析2.1网络要求 满足公司信息化的要求,为各类应用系统提供方便、快捷的信息通路；具有良好的性能，能够支持大容量和实时性的各类应用；能够可靠运行，具有较低的故障率和维护要求。提供网络安全机制，满足公司信息安全的要求，具有较高的性价比，未来升级扩展容易，保护用户投资；用户使用简单、维护容易，为用户提供良好的售后服务。主干网负责各个子网和应用服务的连接，为信息交换提供有效的高速通道。系统主干采用万兆以太网10000M交换，下属子网采用千兆以太网，网络协议采用TCP/IP协议，整个网络应考虑语音、视频、数据等的综合应用。交换机要求采用主流、成熟、信誉和售后服务均佳的产品，核心交换机采用三层交换机，支持VLAN等功能，能较好解决突发数据量和密集服务请求的实时响应问题，在内部用户终端进行视频信号、数据交换时交换引擎不会出现过载现象和数据包碰撞、丢失的现象，还要考虑预防瓶颈出现和补救的相应措施。下属单位接入交换机可采用相对低一档的产品；本系统处理的信息包括数据、语音和图像等，因此要考虑实时性问题，特别要考虑包括视频会议在内的信息共享等方面的实时性要求。；UPS电源的配备，配置要保证网络中所有的服务器、交换机、路由器、集线器等设备的连续、正常地运转；网络带宽的分配：应根据所属单位网络的信息流量情况合理分配网段，以充分利用网络带宽，提高网络的运行效率。网络需要需要具有多主机跨平台主机连接能力,数据集中存放、集中管理、数据有效共享、存储空间共享、统一安全备份，可实现无人值守、自动实施备份策略，备份LANFREE、SERVERLESS等功能，为全面集中管理和数据仓库的建设奠定坚实的基础。2.2系统要求配置简单方便：所有的客户端和服务器系统应该是易于配置和管理的，并保障客户端的方便使用;广泛的设备支持：所有操作系统及选择的服务应尽量广泛的支持各种硬件设备;稳定性及可靠性：系统的运行应具有高稳定性，保障7*24的高性能无故障运行。可管理性：系统中应提供尽量多的管理方式和管理工具，便于系统管理员在任何位置方便的对整个系统进行管理;更低的成本：系统设计应尽量降低整个系统的成本；安全性：在系统的设计、实现及应用上应采用多种安全手段保障网络安全；提供良好的售后服务。网络还应具有开放性、可扩展性及兼容性，全部系统的设计要求采用开放的技术和标准选择主流的操作系统及应用软件，保障系统能够适应未来几年公司的业务发展需求，便于网络的扩展和公司的结构变更。2.3用户要求要求计算机应用系统能处理大信息量的传输和计算；要求易于用户管理、界面简单、逻辑清晰；满足用户使用网络系统的运行质量，提高网络运行速度；要求采用千兆以太网作为主干的网络技术，提供标准化的高速度主干网连接，并在未来可以升级到IP，可以在同一个网络中支持多种服务质量，以支持目前和未来的应用和服务为标准。允许网络集成，使用三层交换来代替路由，能实现与广域网的集成功能；网络中使用的设备、技术和协议完全符合国际通用的标准，兼容现有的网络环境，提供良好的互联性；要求网络提供足够的带宽，丰富的接口形式，满足用户对应用带宽的基本要求，并保留一定的余量供扩展使用，最大可能地降低网络传输延迟；要求网络有很高的可靠性、稳定性及冗余，网络能够提供良好的安全性策略，能避免内部操作失误造成的损害和来自外部的恶意攻击。2.3.1网络设备配置配备网络交换设备，实现楼宇间的千兆光纤连接，保证未来各应用系统的实施以及满足集团各种计算机应用系统的大信息量的传输。2.3.2网管系统设计提供可以对整个网络系统进行管理的中文图形界面工具，使系统维护人员可以集中控制网络的所有设备。2.3.3内、外网隔离硬盘隔离卡及双布线系统、双网络设备实现办公内网与外网隔离。2.4设备要求根据公司的网络功能需求和实际的布线系统情况，楼层接入设备需要选择同一型号的设备;子公司主交换机可以根据需要通过堆叠方式进行灵活的升级扩容;核心交换机需要具有升级到720Gbps可用背板带宽的能力。网络设备必须在技术上具有先进性、通用性，必须便于管理、维护，应该满足公司现有计算机设备的高速接入，应该具备良好的可扩展性、可升级性，保护用户的投资。网络设备在满足功能与性能的基础上必须具有良好的性价比。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品，同时设备厂商必须要有良好的市场形象与售后技术支持。第三章 详细网络结构设计规划3.1网络设计指导原则网络设计应该遵循开放性和标准化原则、实用性与先进性兼顾原则、可用性原则、高性能原则 、经济性原则 、可靠性原则、安全第一原则、适度的可扩展性原则、充分利用现有资源原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS保证。多业务网络系统方案以实现以上功能为基本要求，在设计上力求做到既要采用国际上先进的技术，又要保证系统的安全可靠性和实用性。具体来讲，其设计遵循以下原则：3.1.1先进性系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术，符合国际标准和规范；3.1.2标准性所采用技术的标准化，可以保证网络发展的一致性，增强网络的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。 全面支持IEEE工业标准：802.1d，802.1p，802.1q，802.1x，802.3，802.3u，802.3z； 支持路由协议：IP 的RIP V1/2，OSPF，BGP-4；信令标准：H.323,RTP/CRTP.支持：IPsec、L2TP、GRE、MPLS-VPN规范。支持多址广播协议：IGMP，DVMRP，PIM-DM，PIM-SM；网络管理协议：SNMP，RMON，RMON2； 3.1.3兼容性跟踪世界科技发展动态，网络规划与现有光纤传输网及将要改造的分配网有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。3.1.4可升级和可扩展性随着技术不断发展，新的标准和功能不断增加，网络设备必须可以通过网络进行升级，以提供更先进、更多的功能。在网络建成后，随着应用和用户的增加，核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择，以方便未来更灵活的扩展。3.1.5安全性网络的安全性对网络设计是非常重要的，合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问，灵活的实施网络的安全控制策略。在企业园区网络中，关键应用服务器、核心网络设备，只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限，网络应该能够阻止任何的非法操作。在园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模园区网络的设计上，划分虚拟子网，一方面可以有效的隔离子网内的大量广播，另一方面隔离网络子网间的通讯，控制了资源的访问权限，提高了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力，使网络可以任意连接，又可以从第二层、第三层控制网络的访问。3.1.6可靠性本系统是7x24小时连续运行系统，从硬件和软件两方面来保证系统的高可靠性。硬件可靠性系统的主要部件采用冗余结构，如：传输方式的备份，提供备份组网结构；主要的计算机设备（如数据库服务器），采用CLUSTER技术,支持双机或多机高可用结构；配备不间断电源等。软件可靠性充分考虑异常情况的处理，具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示；并具有进程监控管理功能，保证各进程的可靠运行数据库系统应。网络结构稳定性当增加/扩充应用子系统时，不影响网络的整体结构以及整体性能，对关键的网络连接采用主备方式，已保证数据的传输的可靠性。本系统应具有较强的容灾容错能力，具有完善的系统恢复和安全机制；3.1.7易操作性提供中文方式的图形用户界面，简单易学，方便实用。优良的性能价格比。系统应着重考虑和满足以上的设计要求。3.1.8可管理性网络的可管理性要求：网络中的任何设备均可以通过网络管理平台进行控制，网络的设备状态，故障报警等都可以通过网管平台进行监控，通过网络管理平台简化管理工作，提高网络管理的效率。在进行网络设计时，选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置，网络拓扑结构表示，网络设备的状态显示，网络设备的故障事件报警，网络流量统计分析以及计费等。网管软件的应用可以提高网络管理的效率，减轻网络管理人员的负担。网络管理的目标是实现零管理，基于策略的管理方式，网络管理是通过制定统一的策略，由管理策略服务器进行全局控制的。基于Web的网管界面，是网管软件的发展趋势，灵活的操作方式简化了管理人员的工作。在设计园区网的设备选择上，要求网络设备支持标准的网络管理协议SNMP，同时支持RMON/RMONII协议，核心设备要求支持 RAP (远程分析端口) 协议，实施充分的网络管理功能。在设计园区网的原则上应该要求设备的可管理性，同时先进的网管软件可以支持网络维护、监控、配置等功能。3.2网络设计总体目标先进性：系统具有高速传输的能力。工作站子系统传输速率达到100Mb/S，水平系统传输速率达到1000Mb/s,满足现在和未来数据的信息传输的需求；主干系统传输速率达到1000Mb/s,同时具有较高的带宽，满足现在和未来的图像、影像传输的需求。灵活性：系统具有较高的适应变化的能力。当用户的物理位置发生变化时可以在非常简便的调整下重新连接；布线系统适应各种计算机网络结构，如以太网、高速以太网、令牌环网、ATM网等。布线系统且具有一定的扩展能力。实用性：系统具有低成本、使用方便、简单、易扩展的特点。布线系统应在满足各种需求的情况下尽可能降低材料成本；布线系统具有操作简单、使用方便、易于扩展的特点。3.3网络通信联网协议TCP/IP ：每种网络协议都有自己的优点，但是只有TCP/IP允许与Internet完全的连接。Telnet：远程登录访问协议，使其他跨省区域的子公司通过远程访问总部的内外，在远程访问时，会设置相应的ACL认证和相对的权限设置。SNMP网络管理协议：SNMP 用于在 IP 网络管理网络节点（服务器、工作站、路由器、交换机及 HUBS 等）的一种标准协议，它是一种应用层协议。SNMP 使网络管理员能够管理网络效能，发现并解决网络问题以及规划网络增长。通过 SNMP 接收随机消息（及事件报告）网络管理系统获知网络出现问题。路由协议：RIP、IGRP、EIGRP、IS-IS和OSPF。3.4网络 IP 地址规划公司园区网计划使用私有的A类IP地址。公司园区网的IP地址分配原则如下：公司使用IPv4地址方案。公司使用私有IP地址空间：/8。公司使用VLSM(变长子网掩码)技术分配IP地址空间。公司IP地址分配满足公司的利用。 公司IP地址分配满足便于路由汇聚。公司IP地址分配满足分类控制等。公司IP地址分配满足未来公司网络扩容的需要。 3.5网络技术方案设计总体网络采用基于树型的双星型结构，使之具有链路冗余特性；整体网络规划为核心及服务器群区域，内部骨干区域（汇聚链路），接入层上联区域，客户端接入区域；核心交换机位于公司总部机房，并为双核心，使用双主干网络设计，保证主交换机网络的容错。在一台交换机出现故障的时候保障网络的正常运行，也不用手工切换和维护，保证网络的可靠性。采用全交换硬件体系结构，可实现全线速的IP交换；网络主干采用先进的千兆位以太交换技术，可最大限度地提高主干的数据传输速率。使用千兆网络保证网络交易速度与实时性，使用了FEC/GEC 技术实现网络带宽的扩展，适应网络不断扩展的要求。根据需求概括，我们选择的是D-Link企业级的DES-8503万兆核心交换机为本次网路建设总部机房的核心交换；DES-8503万兆核心路由交换机作为新一代大容量、高密度、高性能、模块化核心路由交换机产品，其背板带宽高达3.2Tbps，包转发速率最大为952Mpps，具备二到四层线速交换能力。DES-8503万兆路由交换机基于先进的模块化理念进行设计，并采用了基于多处理器分布式处理机制和Crossbar空分交换结构的体系结构，关键模块均采用1:1冗余备份。可提供10GE、GE、FE等各种丰富的接口模块，并全面支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能。整个系统所具备的高可靠性、高扩展性、强大的业务能力等特点可以满足各种网络核心层的建设需求。DES-8503（3个插槽）作为D-Link行业产品线核心交换机之一，可广泛的应用在各行业的IP网核心、企业数据中心、IP城域网核心和汇聚、企业网核心等场所，为用户提供多种业务接入、路由交换一体化的安全融合网络解决方案。接入层为楼层的工作组及交换机。核心层与接入层以千兆以太网技术相连，传输速率达1Gbps，采用全双工通信可达2Gbps。其物理连接采用多模光缆相互连接，以提供物理层、链路层及IP层的冗余连接能力。核心交换：三层千兆交换机为整个网络的核心，它对整个网络的性能，可靠性起决定性作用，它连接各个物理子网，治理网络内信息交换(包括多媒体信息)，控制VLAN间访问，保证信息安全。因此，我们选用的中心交换机除了提供高速的网络连接之外，还具有多种信息的治理和控制能力。全部的网络设备均支持高效的Intranet多媒体和多点广播技术、治理协议(CGMP)等，为多媒体和多点广播应用如IPTV等提供端到端的带宽保证。网络采用分层结构，不仅逻辑结构清楚，治理方便；更重要的是大多数的数据流量(主要是同一部门或工作组内)的交换在次级节点分布交换机上直接处理，不经中心设备，节省主干带宽，提高利用率。有一定的前瞻性，不仅满足当前网上应用，也为将来更高性能的升级作好了预备：网络具有良好的伸缩性，升级和扩展主要只集中在网络中心，添加新的接口模块，即可实现用户和信息点的扩充；增加光纤连接即可大量提高主干带宽；中心增配另一台多层交换机，网络结构就能连接成可靠性的、真正的中心交换机互备份和上联线路冗余。配合热备份路由协议和热备份双服务器主机系统，在整个系统内消除单点故障，提供高可用性的应用服务系统。汇聚交换及接入交换：二级交换机可以每个独立构成一个VLAN，也可以多个二层交换机构成一个VLAN。VLAN之间的路由由中心交换机负责。不同的部门/单位可以通过配置不同的VLAN等方式来隔离广播和信息流，不但可以提高网络效率，而且可以增强网络安全。而每台交换机上的10/100自适应端口又可以与下层100M到10M交换式集线器相连接。心交换机与二层交换机以1000M全双工的方式相连接。这样的连接结构可保证网络带宽的最大限度的合理应用。公司由总部机房采取一处连接Internet中，设置防火墙等安全软件，并对外网的远程登录设置权限及相应的安全认证！3.6网络应用系统选择根据公司用户对操作系统的要求：操作系统要求选择最新版本，所选操作系统需要提供方便的更新与升级方法，服务器操作系统需要能够提供目录服务功能，服务器及客户机操作系统都需要支持TCP/IP协议，所选操作系统应能够方便的实现用户和权限的管理，秘选操作系统应能够运行大多数应用软件，例如办公软件、图像处理软件、CAD财等，我们选择Linux，它具有极高的稳定性、先天的安全性、软件安装的便利性、多任务、多使用者、免费或少许费用、有强大的网络功能、在相关软件的支持下，可实现WWW、FTP、DNS、DHCP、E-mail等服务。建立WWW服务器，实现Internet上浏览和查询；建立FTP服务器，结合学校实际和需要逐步建立远程FTP服务；建立服务器把图文信息组织成分布式的超文本，并用信息指针指向存有相关信息的服务器，使用户可以方便地访问这些信息。当网上用户增多时，网络访问很频繁，通信量很大，随机性强。作为全校的通讯枢纽，需要配备高性能的服务器设备，主要的需求是高性能的、体系结构、高速通道和网络通道。建立域名服务器，各地名字服务器管理下属主机和子域，并由高一级名字服务器监管，但每个域至少需要配备一台以上的名字服务器。数据量不大，但访问频繁。建立数据库服务器能有高效的处理速度、较大的内存和磁盘空间、快速的系统和网络界面，较高的可靠性，完善的系统备份功能和较好的可扩充性能。3.7网络安全系统设计内网安全设计：访问控制，通过密码、口令（不定期修改、定期保存密码与口令）等禁止非授权用户对服务器的访问，以及对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。外网安全设计：安装软件、硬件、防火墙，网络防病毒软件，客户端防病毒软件；利用代理服务器提供Internet与Intranet之间的防火墙功能；通过网管实时记录网络的运行状态。设置远程访问身份认证，防止垃圾邮件等。3.8网络管理维护设计根据公司和服务器应用模式及全网范围资源集中管理的原则，在公司总部机房建立中心管理机房，统一网络中的交换设备的管理配置，虚网设计和配置，各种服务建立等。网管工作站对全网所有交换设备和路由设备进行统一管理、配置和维护；进行故障隔离、分析、统计、报警、设置；网管软件采用图形化界面，支持广泛的网管平台。第四章 总体结构设计4.1网络拓扑结构根据地理位置及信息点的数量和未来覆盖面扩充等多方面原因，将企业网划分若干个区域。划分区域主要考虑以下几个方面：可以减轻中央核心交换机的负担、管理上方便、便于未来的连接扩充。集团网络规划拓扑图如图4-1所示：图4-1 集团网络规划拓扑图整个企业网划分为三个层次：核心层、分布层和接入层。相应的交换机就是核心交换机、分布层交换机和接入层交换机。核心层网络选择千兆以太网。网络中心将放置两台高端三层千兆交换机和一台边界路由器。交换机间的连接要求是高带宽连接。分布层交换机要求至少两路上行链路连至两台核心层交换机上，采用快速收敛的路由协议实现故障切换和负载均衡，当某一链路出现意外，也可以从另外一路上连。总公司网络规划拓扑图如图4-2所示：图4-2 总公司网络规划拓扑图企业内各部门的汇聚交换机构成，各分布层交换机放置在各部门的网络中心，要求至少两路上行链路连至两台核心层交换机上。分布层交换的下连交换机都为接入层网络。分公司网络规划拓扑图如图4-3所示：图4-3 分公司网络规划拓扑图4.2 IP地址规划本方案采用的地址分配方法利用VLSM技术,不仅有大量预留空间,而且本公司网使用OSPF路由协议,有层次的IP地址,易于管理,在边界路由器上可做汇聚(汇聚成/17网段),减少路由更新大小,提高网络性能。如表2.1所示:表4.1 企业网IP地址分配表建筑物设备IP地址子网掩码总公司中心机房VPN防火墙边界路由器核心交换机核心交换机WEB/FTP服务器认证服务器DNS/DHCP服务器用户研发部分布层交换机接入层交换机AP用户人事部分布层交换机接入层交换机AP0用户市场部分布层交换机1接入层交换机2AP3用户项目部分布层交换机4接入层交换机5AP6用户业务部分布层交换机7接入层交换机8AP9用户4.3 设备选型本方案中企业网络核心层设备采用CISCO Catalyst 6509（Supervisor Engine 720*2/电源*2/FWSM*1/IPSec VPN 模块*1/IDSM*1/NAM*1/16 口千兆以太网光口板*1/若干5486/48 口千兆电口*1，符合IEEE802.3af&PoE） 数量：2 台。Cisco Catalyst 6509 的优点：l 最长的网络正常运行时间-利用平台、电源、控制引擎、交换矩阵和集成网络服务冗余性提供13 秒的状态故障切换，提供应用和服务连续性统一在一起的融合网络环境，减少关键业务数据和服务的中断。l 全面的网络安全性-将切实可行的数千兆位级思科安全解决方案集成到现有网络中，包括入侵检测、防火墙、VPN 和SSL。l 可扩展性能-利用分布式转发体系结构提供高达400Mpps 的转发性能。l 能够适应未来发展并保护投资的体系结构-在同一种机箱中支持三代可互换、可热插拔的模块，以提高IT 基础设施利用率，增大投资回报，并降低总体拥有成本。l 卓越的服务集成和灵活性-将安全和内容等高级服务与融合网络集成在一起，提供从10/100 和10/100/1000 以太网到万兆以太网，从DS0 到OC-48 的各种接口和密度，并能够在任何部署项目中端到端执行。企业网络分布层设备采用CISCO Catalyst 4507R（Supervisor Engine V-10GE*2/电源*2/若干千兆以太网光口板及GBIC/48 口千兆电口板*1，符合IEEE802.3af&PoE）数量：7 台。Cisco Catalyst 4506（With Supervisor V-10GE）的优点是：l 136Gbps 交换矩阵；l 102mpps 第二层到第四层吞吐率；l 双线速万兆以太网上行链路；l 利用千兆以太网SFP 上行链路顺利移植到万兆以太网；l 在交换管理引擎上提供集成式NetFlow，通过基于用户的速率限制实施精确流量控制；l 超快速800MHz CPU 可实现更快的控制平面；l 最多能够在Catalyst 4510R 交换机中支持384 个10/100/1000 端口；l 提供所有Cisco Catalyst 集成式安全特性；l 为提供更加灵活的策略，能够为每个端口和VLAN 实施不同的QoS；l 思科快速转发能够防止可变IP 信息攻击。l 端口安全、DHCP 侦听、ARP 检测和IP 源防护能够防止黑客从第二层及以上发动拒绝服务（DoS）攻击或破坏网络。l 速率限制以出口和入口限速器的方式出现，可以控制每个VLAN 的流量，防止DoS攻击。Supervisor Engine V-10GE 支持基于用户的速率限制。l 802.1X 及其扩展性能防止非法用户和设备接入网络，例如恶意接入点。l 硬件Netflow 可用于主动发现网络流量异常，并采取相应措施。它使用的访问控制列表可在交换端口和路由端口上提供，以便进行二到七层流量控制。企业网络接入层设备采用CISCO Catalyst 3560(EMI)交换机，该系列交换机是一个固定配置、企业级、IEEE 802.3af 和思科预标准以太网供电(PoE) 交换机系列，工作在快速以太网和千兆位以太网配置下。CISCO Catalyst 3560 是一款理想的接入层交换机，适用于小型企业布线室或分支机构环境，结合了10/100/1000 和PoE 配置，实现最高生产率和投资保护，并可部署新应用，如IP 电话、无线接入、视频监视、建筑物管理系统和远程视频访问等。客户可在整个网络范围中部署智能服务，如高级QoS 、速率限制、访问控制列表、组播管理和高性能IP 路由等，且同时保持传统LAN 交换的简洁性。4.4网络安全设计企业网络安全性方案设计原则是：整个企业网络必须是一个严密的安全保密体系。采取的安全措施不能影响整个网络运行效率。保密设备要做到管理方便，完善可靠。加密系统具有良好的网络兼容性和可扩展性，实现防窃取、防篡改、防破坏三大功能。按照国家主管部门对政府办公网络安全保密性的相应法规和规定，要保障系统内部信息的安全，我们主要应该做到处理秘密级、机密级信息的系统与不涉及保密信息的系统实行物理隔离，秘密级、机密级信息在网络上采取加密传输。防火墙是设置在内部网络与Internet 之间的一个或一组系统，用以实施两个网络间的访问控制和安全策略。狭义上防火墙指安装了防火墙软件的主机或和路由系统；广义上还包括整个网络的安全策略和安全行为。防火墙技术属于被动防卫型，它通过在网络边界上建立一个网络通信监控系统来保护内部网络安全的目的，其功能是按照设定的条件对通过的信息进行检查和过滤。防火墙是实施组织的网络安全策略、保护内部信息的第一道屏障，其作用主要有：保护功能拒绝非授权访问、保护网络系统和私人及敏感信息不受侵害。连接功能作为内部网络与Internet 之间的单一连接点。管理功能实施统一的安全策略，检查网络使用情况，进行流量控制等。防火墙有三个属性：所有进出内部网的数据包必须经过它；仅被本地安全策略所授权的数据包才能通过它；防火墙本身对攻击必须具有免疫能力。在XX学院和外网的连接中，我们推荐使用硬件防火墙。比如CISCO ASA5510-BUN-K9系列，选择该型号是因为价格适中,且功能齐全,较适合本企业网建设。在内部网络和外网之间之间通过防火墙，建立起一个DMZ 区。与外网关联业务的服务器都可以放在DMZ 区，Internet 上的用户只能到达DMZ区相应的服务器。并且内部网络到Internet 的连接，是通过NAT 地址翻译的方式进行，可以充分隐藏和保护内部网络和DMZ区设备。防火墙在内外网络连接中起两个作用：l 利用访问控制列表（Access Control List ，ACL）实安全防护防火墙操作系统IOS 通过访问控制列表（ACL）技术支持包过滤防火墙技术，根据事先确定的安全策略建立相应的访问列表，可以对数据包、路由信息包进行拦截与控制，可以根据源/目的地址、协议类型、TCP 端口号进行控制。这样，我们就可以在Extranet 上建立第一道安全防护墙，屏蔽对内部网Intranet 的非法访问。l 利用地址转换（Network Address Translation，NAT）实现安全保护防火墙另外一个强大功能就是内外地址转换。进行IP 地址转换由两个好处：其一是隐藏内部网络真正的IP 地址，这可以使黑客（hacker）无法直接攻击内部网络，因为它不知道内部网络的IP 地址及网络拓扑结构；另一个好处是可以让内部网络使用自己定义的网络地址方案，而不必考虑与外界地址冲突的情况。地址转换（NAT）技术运用在内部主机与外部主机之间的互相访问的时候，当内部访问者想通过路由器外出时，路由器首先对其进行身份认证-通过访问列表（ACL）核对其权限，如果通过，则对其进行地址转换，使其以一个对外公开的地址访问外部网络；当外部访问者想进入内部网时，路由器同样首先核对其访问权限，然后根据其目的地址（外部公开的地址），将其数据包送到经过地址转换的相应的内部主机。在企业网络工程和今后各种应用系统的建设过程中，在局域网上我们可以根据不同部门、不同业务类别划分VLAN（虚网），通过把不同系统划分在不同VLAN 的方式，将各系统完全隔离，实现对跨系统访问的控制，既保证了安全性，也提高了可管理性。l VLAN（虚网）技术和VLAN 路由技术VLAN 技术用以实现对整个局域网的集中管理和安全控制。CISCO 局域网交换机的一大优势是具备跨交换机的VLAN（虚网）划分和VLAN 路由功能。虚网是将一个物理上连接的网络在逻辑上完全分开，这种隔离不仅是数据访问的隔离，也是广播域的隔离，就如同是物理上完全分离的网络一样，是一种安全的防护。通过VLAN 路由实现对跨部门访问的控制，既保证了安全性，也提高了可管理性。l Inter-VLAN Routing 原理每一个VLAN 都具有一个标识，不同的VLAN 标识亦不相同，交换机在数据链路层上可以识别不同的VLAN 标识，但不能修改该VLAN 标识，只有VLAN标识相同的端口才能形成桥接，数据链路层的连接才能建立，因而不同VLAN的设备在数据链路层上是无法连通的。Inter-VLAN Routing 技术是在网络层将VLAN标识进行转换，使得不同的VLAN 间可以沟通，而此时基于网络层、传输层甚至应用层的安全控制手段都可运用，诸如Access-list （访问列表限制）、FireWall(防火墙)、TACACS+等，Inter-VLAN Routing 技术使我们获得了对不同VLAN 间数据流动的强有力控制。l MAC 地址过滤策略在内部网中还可以利用Cisco 交换机的MAC 地址过滤功能对局域网的访问提供链路层的安全控制。MAC 地址过滤能进一步实现对局域网的安全控制。CISCO局域网交换机具有MAC 地址过滤功能，通过在交换机上对每个端口进行配置，可以禁止或允许特定MAC 地址的源站点或目的站点，从而实现各站点之间的访问控制。由于每块网卡有唯一的MAC 地址，是固定不变的，只允许特定MAC 地址的工作站通过特定的端口进行访问，所以对MAC 地址的访问控制实际上就是对指定工作站这一物理设备的访问控制，由于MAC 地址的不可改变，与对IP 地址的过滤相比，具有更高的安全性。l 访问安全控制从确保网络访问的安全出发，路由器对所有远程拨号访问连接都由Radius设置AAA(Authentication Authorization Account，即认证、授权、记帐)级安全控制，防止非法用户的访问。同时，在计费服务器上，也提供Radius 认证方式，两者可以配合使用。（也可以只采用计费服务器上的Radius认证）。4.5 网络管理系统设计网络管理性能是衡量一个网络系统性能高低的重要因素之一。网络管理系统完成设置网络设备、监控网络运行、保障网络安全，查找并隔离网络故障，记录网络中的各种事件以及划分虚拟网络等功能。总之，对所有网络上的信息进行统一管理。网管通常结合硬件和软件的手段来实施，对不同的拓扑结构及不同的物理和逻辑部分进行监控和分析。OSI 定义网管系统支持传统五大网管功能：故障管理、配置管理、计费管理、安全管理以及性能管理。这些管理功能由网管系统和网络设备共同完成。结合企业网的实际情况，我们认为，安全管理与计费管理可以由网络管理模块配合专用的软（硬）件管理产品来共同实现，网络管理的主要任务应落实在故障管理、配置管理和性能管理这三个方面。1、配置管理l 网