毕业设计（论文）-企业网的规划与设计.doc

南京工程学院毕业设计说明书(论文）作者：学号：系部：专业：计计算机科学与技算机科学与技术术题目：企企业业网的网的设计设计与与规规划划指导者：(姓名)(专业技术职务)评阅者：(姓名)(专业技术职务)2011年5月28日南京南京工程学院毕业设计说明书（论文）毕业设计说明书（论文）中文摘要摘要企业不断发展的同时其网络规模也在不断扩大，复杂的网络面临更多的安全问题。面对日益庞大的网络系统，如何做到高效长期稳定地进行通信是我们所追求的目标。对于工作或者私人客户端的不同网络需求，我们需要通过运用不同的相关技术去实现。随着时代的进步，安全也成为一个迫在眉睫的关键所在，于是便有了VLAN和冗余等技术的出现。通过最少的配置量来达到最好的效果，并进行相应的优化，仔细规划配置方案，确保做到首尾兼顾。然后还要考虑到成本的问题，“性价比”这个名词的出现代表着人们已经走出盲从消费的怪圈，因此我们需要仔细思考该项目的带来的收益值得我们投入多少，才能使得该项目的性价比最高，并确定方案是否可行，进行项目实施时我们需要步步为营，避免不必要的配置错误或者环路，一劳永逸。关键词规模安全成本稳定毕业设计说明书（论文）外文摘要南京工程学院毕业设计说明书（论文）TTiittlleeBasedontheationofenterprisenetworkdesignAbstractenterpriseconstantdevelopmentbutalsoitsnetworkscaleisexpandingcontinuallycomplicatednetworkfacemoresafetyproblems.Facingtheincreasinglyextensivenetworksystemhowtoaccomplishefficientlong-termstabilitytocommunicateisourgoal.Forworkorprivateclientdemandweneeddifferentnetworkbyusingdifferentrelatedtechnologiestoachieve.WiththeprogressofTheTimessafetyhasbecomealoomingkeysotheyhaveaVLANandredundancytechniqueappears.Throughtheleastamountofconfigurationtoachievethebesteffectandcarriesonthecorrespondingoptimizationcarefulplanningschemeensurethatbothend.Thentoconsidercostproblemthepricethisnounappearsrepresentspeoplewasalreadyoutofimplicitconsumptionoftheviciouscirclesoweneedtothinkcarefullyaboutthepurposeofthebenefitsofhowmuchcandeserveourinvestmentenablesthepurposehighestcost-effectiveanddeterminedtheschemeisfeasiblecarriesontheprojectimplementationwhenweneedenoughtodotoavoidunnecessaryconfigurationerrorsorlooponceandforall.KKeeyywwoorrddss:scale，securitycost，stability南京工程学院毕业设计说明书（论文）目目录录摘要.2前言.1第一章企业网组建设计与需求分析.21.1网络设计原则.21.2网络系统结构初步规划.31.3网络安全系统需求.31.4总体需求.4第二章网络系统设计方案.72.1企业网分层架构设计.72.2网络搭建设备.72.3网络管理、接入控制、日志审计系统.9第三章网络技术设计分析.113.1网络IP地址规划.113.2企业网络技术分类.123.3路由协议选择.15第四章网络拓扑具体配置.174.1网络的配置规划.174.2网路的ACL配置.18第五章网络故障应急方案.215.1故障预防.215.2系统应急.215.3其他突发事件应急.23结束语.24致谢.25参考文献.26附录A.27附录B.28南京工程学院毕业设计说明书（论文）附录：英文技术资料翻译.36南京工程学院毕业设计说明书（论文）1前言如今，应用将网络用作一种资源，这种方式促使以太网不断发展，数据中心网络不断演进。对于网络的要求已经改变，它不再仅仅用于传统的客户机-服务器交易。例如，服务器集群的部署不断增加，导致服务间流量随之不断增长。同时，网格计算也进一步增加了服务器间流量。如今，数据流量要在多方之间进行转移，包括从客户机到服务器、服务器到服务器、服务器到存储设备、以及存储设备到存储设备等。这些趋势显著增加了总体流量，同时流量模式的变更也导致更加依赖于网络来提供支持服务器集群应用所需的吞吐率。现在，应用性能和网络性能均为企业测量的目标，这意味着带宽和延迟都非常重要。同时，所发送流量的类型也存在区别。客户机到服务器和服务器到服务器交涉及短暂的突发性传输。而大多数服务器到存储设备和纯存储应用要求长期、稳定的讯息流。这就要求网络架构非常灵活，并且具备出色网络智能，以支持、发现和响应网络情况的变化。应用处理丢包的能力也存在差异。丢包对不同协议的影响有所不同，应用会以不同的方式做出响应：一些应用可以容忍这一情况，通过重新发送所丢数据包得以恢复。以太网能够支持这些情况，但其它应用不能容忍任何丢包情况，要求保证端到端传输没有丢包。通过以太网传输的光纤通道流量就是要求无丢包服务的一个典型示例。为了使以太网能够满足应用的无丢包要求，企业需要制定一种方法来通过以太网提供无损服务。IEEE数据中心桥接的流量管理扩展提供了这一能力。网络还必须能够支持大型的平面设计。随着中心网络不断扩展，以及客户增添越来越多的服务器和交换机，原本已经非常庞大的现有扁平式第二层网络正在变得更加庞大，并且这一趋势已成为一种普遍现象。本文从公司对信息的需求对和该工程给公司带来的效益来叙述了本论文的开端，来构建一个企业局域网，从主流组网技术的分析与比较，来选择一个最适合一个中小型企业局域网的组网分析，来实现企业网带来的经济效益，在这个发展迅速的时代，网络的快速发展是必然的，所以企业局域网也是必然的发展才能展现出一个企业现代化的实力，才能更方便快捷的和时代接轨，利用最前沿的普遍的网络来来推进公司的发展。南京工程学院毕业设计说明书（论文）2第一章企业网组建设计与需求分析1.1网络设计原则新建网络必须满足公司未来35年内的研究、生产、办公需求，遵循“可靠性、实用性、安全保密性、先进性、经济性、开放性”的设计原则，以系统生命周期长、管理维护方便、系统集成度高和保护投资为主要技术特色，适应XX公司当前应用及后续不断发展。该企业网络是具有高密度用户群的网络，为了保障全网的高速转发，企业网网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要交换机具有高性能、高带宽的特性，整网的核心交换要求能够提供无瓶颈的数据交换。1）可管理:该企业网络是一个庞大而且复杂的网络，为了保障网络的正常使用以及设备的良好维护需要一个功能强大，具有分级、分权管理能力的网管系统，实现统一的网络业务调度和管理，降低网络运营成本。同时由于企业网络的使用者数量较多，跨网络开展的业务众多，因此需要能够提供用户的高效管理，以确企业网络的信息安全。2）可增值:企业网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能提供丰富的宽带增值业务（如VoIP，IPV6等），全网支持IPV6，使网络能适应未来需求，节约各类费用。确保新建网络在35年内的使用价值。3）安全保密性:充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。能有效通过软硬件相互联动，有效保证企业网的安全；选择设备必须具有较高的安全特性，如蠕虫病毒防御、ARP欺骗防御、防代理、防攻击扫描、防私设DHCP等功能，系统采用数字签名安全认证密码技术以及超级防火墙软件代理服务器和VPN(虚拟隧道网络技术)等来确保网内安全。对员工的上网行为进行实时记录，并保存到日志服务器。4）可扩展与成熟性:企业网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，要具有可扩展性和可升级性。随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。5）经济性:在满足高性能价格比(高性价比)的前提下选用物廉价美经济南京工程学院毕业设计说明书（论文）3实用的产品以减少开支。6）开放性：技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。1.2网络系统结构初步规划首先根据需求构建网络拓扑，考虑到数据传输的稳定及安全性，这里采用三层架构体系，划分为核心层、汇聚层、接入层。各部分需求如下：1）核心层：主干网络设备采用交换机进行组网，配置两台高性能核心三层交换机，完成各汇聚节点与核心节点以及各汇聚节点之间的数据高速路由转发以及各节点园区网的业务汇聚，并在整个骨干网上启用HSRP进行冗余，进行容灾处理。核心层为下两层提供优化的数据传输功能，它是一个高速的路由交换骨干，其作用是尽可能快地交换数据包，满足汇聚节点与核心节点之间高速通信的需要。核心交换机应具备尽可能强大的性能、业务支持和端口接入的扩展能力。2）汇聚层：每个汇聚节点的汇聚交换机通过2个快速以太口与企业数据中心的2台核心交换机相联，构成双核心，双归属的骨干网络。汇聚层提供基于统一策略的互连性，它是核心层和接入层的分界点，定义了网络的边界，对数据包进行复杂的运算。在整个网络环境中，汇聚层主要提供如下功能：部门和工作组的接入和汇聚，VLAN的路由，HSRP的封装，实现冗余等。3）接入层：接入层节点采用百兆三层接入交换机，千兆光电接口上联汇聚交换机，支持802.1x接入，做到面向端点的安全控制能力。拓扑图如图1-1所示。1.3网络安全系统需求信息化网络建设，涉及与Internet的连接，涉及到与多个下属部分单位的连接。WWW应用、FTP应用等等需要针对不同的部门、不同的人员服务，对网络的安全提出了以下的需求：南京工程学院毕业设计说明书（论文）41)采用安全控制措施，实现人员的集中管理和控制。2)采用安全措施，加强对核心服务器系统的保护。3)采用安全措施，实现与Internet的安全连接，同时对外提供服务。4)实现集中统一的全网安全管理，减轻管理的负担。图1-1拓扑图1.4总体需求1)系统建设的总体需求有：(1)高带宽为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用比较先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。为此应选用高带宽的先进技术。(2)高可靠性网络系统应具有高可靠性、高安全性，具体到本项目中，要求采用可靠性较高的产品和网络架构，在物理层、数据链路层和网络层等多个层次都有相应的技术，以最大程度的保证网络的正常运转。南京工程学院毕业设计说明书（论文）5(3)QoS保证当今网络中多媒体的应用越来越多，这类应用对服务质量的要求较高，新的网络系统应能保证QoS，以支持这类应用。(4)多协议支持由于网络将要存在不同的业务和办公应用系统，并基于不同的网络协议，所以网络系统应能支持多种协议（IP、SNA、Netbios等），是一个开放型的网络，支持各种协议的互连。(5)易管理、易维护由于企业的网络系统规模庞大，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品，以便于管理和维护。(6)安全性网络系统应具有良好的安全性，要充分的保证网络的安全性，应该根据相应的管理制度和网络策略制定一套完善的安全政策，基于此安全政策，采用合适的技术手段，以达成目标，保证系统的安全性。(7)可扩展性和可升级性系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。11.44.11企企业业对对业业务务的的需需求求情情况况网络事支撑企业各种业务的基础设施。所以在规划设计网络之前，应该清楚它的使用。使他能够随着公司的发展而扩大，预计该企业在以后3-5年内计划聘用的人数、业务规模或网络数据流量的预计增长情况来估计公司的增长率确定公司在可靠性和有效性方面的需求，包括网络故障带来的严重后果，当然网络修复的费用，网络的安全性，web站点和Internet连接性，远程访问等的实现都对于网络的规划有至关重要的地位。经过我们对该企业的研究，预计企业在未来几年企业将进一步扩大，我们将预留一定的升级空间方便新用户的接入，其中包括网络设备支持升级其他应用设备的接入，全面实现计算机资源共享：对于局域网中的各种资源通过设置网络用户的共享权限让他成为网络共享资源。（如计算机硬盘、软驱、光驱、南京工程学院毕业设计说明书（论文）6刻录机各类软件和文本文件、打印机、扫描仪、调制解调器等IO设备）当然随着网络设计过程的接入，我们的设计也许会有一定的调整。11.44.22用用户户需需求求分分析析对于一个企业网络而言用户的需求是基础，经营想到应用、计算机平台甚至网络。用户需求主要包括可靠性、可用性、可升级性、安全性、及时性以及响应时间。企业的用户群包括管理层，普通用户群的也用代表，在与用户群的适当的交流包括问卷调查，集中访谈，个人采访中我们发现，“快”是多数用户对网络响应的要求了，其中包括下载速度、连接速度等，我们将为核心设备提供冗余，以尽量保障系统的99.95%的可靠性，同时我们将根据企业的需求，为用户停工远程登录，文件传输服务，在年底企业统计全年信息时候会出现企业通讯高峰时间，我们的服务器将以满足高峰期通讯为基础选型的。当然我们将提供防火墙等安全设备，保障用户信息，物理资源的机密性，网整性和确实性，提供一定的数据加密、自动备份、发生问题的恢复等。当然也包括网络应提供的服务资源共享、办公自动化、远程控制、电子邮件、www应用等。11.44.33企企业业对对网网络络的的需需求求对于一个企业网络而言用户的需求是基础，经营想到应用、计算机平台甚至网络。用户需求主要包括可靠性、可用性、可升级性、安全性、及时性以及响应时间。企业的用户群包括管理层，普通用户群的也用代表，在与用户群的适当的交流包括问卷调查，集中访谈，个人采访中我们发现，“快”是多数用户对网络响应的要求了，其中包括下载速度、连接速度等，我们将为核心设备提供冗余，以尽量保障系统的99.95%的可靠性，同时我们将根据企业的需求，为用户停工远程登录，文件传输服务，在年底企业统计全年信息时候会出现企业通讯高峰时间，我们的服务器将以满足高峰期通讯为基础选型的。当然我们将提供防火墙等安全设备，保障用户信息，物理资源的机密性，网整性和确实性，提供一定的数据加密、自动备份、发生问题的恢复等。当然也包括网络应提供的服务资源共享、办公自动化、远程控制、电子邮件、www应用等。南京工程学院毕业设计说明书（论文）7第二章网络系统设计方案2.1企业网分层架构设计依据企业网的分层架构：核心层、汇聚层、接入层Internet接入、网络管理、接入控制、日志审计系统。按照需求分层设计。2.2网络搭建设备选择CISCO及Juniper的设备及技术来组建企业网。22.22.11核核心心层层设设计计作为全网数据和业务的核心，网络上所有业务的数据流都要经过核心交换机进行交换，因此它的安全性、可靠性和高性能对于全网数据和业务应用的正常开展至关重要。我们采用的思科网络公司万兆核心路由交换机C3750G系列，基于新一代核心交换机的设计理念，在本项目中具备如下特色：3750系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。这个产品系列采用了最新的思科StackWise智能堆叠技术，不但实现高达32Gbps的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统-就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。3750系列最多可以将9个交换机堆叠在一起，构成一个统一的逻辑单元，其中总共包含468个以太网10100端口或者252个以太网101001000端口。各个10100和101001000单元可以根据网络的需要任意组合。3750系列可以使用标准多层软件镜像（SMI）或者增强多层软件镜像（EMI）。SMI功能集包括先进的服务质量（QoS）、速率限制、访问控制列表（ACL）和基本的静态和路由信息协议（RIP）路由功能。EMI可以提供一组更加丰富的企业级功能，包括先进的、基于硬件的IP单播和组播路由。具体见附录B。22.22.22汇汇聚聚层层设设计计汇聚层在骨干网络中起到承上启下的作用，应具备可靠性、高性能和多业南京工程学院毕业设计说明书（论文）8务兼顾的特点。可以作为企业以后拓展用，不过我们依然采用的思科网络公司万兆核心路由交换机C3750G系列，在本项目中具备如下特色：（1）多协议支持（2）支持服务质量（QOS）（3）支持访问控制列表（ACL）。22.22.33接接入入层层设设计计在一个企业网络里，接入交换机具有数量多，部署分散的特点，且直接负责终端的接入，应具备可管理性强、端口控制能力强、性价比高的特点。我们选用的思科C2960-24TC-L系列二层接入交换机，具备如下优势：1、支持创新的堆叠技术-IRF，使堆叠组完全可看作一个设备，使可管理性大幅度提高。2、具有良好的端点控制能力，支持丰富的MAC、IP、端口的灵活绑定。3、VLAN能力强，支持最高的4096个VLAN；具体见附录B。22.22.44IInntteerrnneett接接入入设设计计对外访问区负责全网对INTERNET的访问，同时承载太重门户网站的对外发布和EMAIL系统。虽然现在网络上80%的安全隐患都在内网，但互联网出口的安全问题仍然是对企业网络最具威胁的区域，黑客入侵、企业机密数据外泄、新病毒的导入都几乎全部发生在这里，所以互联网接入设计中，安全设计仍然放在首位。我们采用路由器+防火墙+入侵防御系统（IPS）的方式来构建对外访问区。1)路由器：路由器是连接内外网的纽带，路由器的性能直接影响对于宝贵带宽的使用率，此外对于中小型企业网出口，由于内部网络用户数量有一定的数量，路由器应该具备高性能的NAT转发能力。我们采用思科的CISCO1841高性能路由器，部署在太重网络的互联网出口。该设备在本项目中的技术优势如下：(1)高性能：具备4.5Mpps的包转发性能，满足未来三条千兆线路（千兆链路线速转发理论值1.488Mpps）的全线速转发。(2)强大的NAT能力：CISCO1841设备具备并发NAT连接的能力，且支持南京工程学院毕业设计说明书（论文）9丰富的NAT特性，提供NAT日志的输出，可配合日志审计系统，做到对于对外访问的纪录和跟踪。(3)深度业务感知：CISCO1841路由器具备思科专利特色的深度业务感知功能，可以根据流量的协议类型对其加以识别、分类、限制或阻断。可将常规应用协议流量限制，BT等带宽滥用流量或其他非常规流量由IPS进行限制。2)防火墙：使用原有Juniper防火墙，划分DMZ（非军事区域）区域，通过原有华为5000千兆交换机，连接门户服务器及EMAIL服务器等。配置策略偏重安全区划分，安全抵御由入侵防御系统着重完成。3)入侵防御系统：配置TippingPointX505，具备100M吞吐量，满足当前接入带宽。重点配置对于黑客入侵、蠕虫病毒、木马程序的防范。2.3网络管理、接入控制、日志审计系统1)CiscoWorksLMS网络管理软件CiscoWorks是思科公司推出的网络管理产品，LMS(LANManagementSolution)是定位于局域网的网络管理产品，它可以对LAN环境中的设备进行维护、监测、排错，也可以让网络管理员通过自己的网络浏览器有效的管理整个网络及其设备。它采用了基于Web的客户端服务器模式，也可以与其它厂商的网络管理工具集成使用。思科公司的网管产品是按照不同的使用环境分类的。比如，我们介绍的LMS是在局域网环境中使用的；在广域网环境中使用的是RWAN(CiscoWorksRoutedWANManagement)它主要适应广域网中对响应时间和访问控制的管理需要；在IP语音环境中是ITEM(IPTelephonyEnvironmentMonitor)它主要适用于管理传输IP语音流量网络；在VPN环境中是VMS(VPNSecurityManagementSolution)它用于管理和监测VPN及其安全措施。CiscoWorksLMS包括一组应用程序和工具对局域网进行配置、监测和排错。这些工具包括错误管理，网络拓扑的察看，设备配置的管理，二层三层路由分析，语音路由追踪，流量监测，端站点的流量追踪，设备的排错等等。2)接入认证系统思科安全访问控制服务器为思科智能信息网络提供基于身份的全面的访问控制解决方案。它是用于管理企业网络用户、管理员和网络基础设施资源的集成和控制层。南京工程学院毕业设计说明书（论文）10思科安全访问控制服务器为思科智能信息网络提供基于身份的全面的访问控制解决方案。它是用于管理企业网络用户、管理员和网络基础设施资源的集成和控制层。SecureCiscoACS(ACS)是具高可扩展性的高性能访问控制服务器，可作为集中的RADIUS和TACACS+服务器运行。CiscoSecureACS将验证、用户访问和管理员访问与策略控制结合在一个集中的身份识别网络解决方案中，因此提高了灵活性、移动性、安全性和用户生产率，从而进一步增强了访问安全性。它针对所有用户执行统一安全策略，不受用户网络访问方式的影响。它减轻了与扩展用户和网络管理员访问权限相关的管理负担。通过对所有用户帐户使用一个集中数据库，CiscoSecureACS可集中控制所有的用户权限并将他们分配到网络中的几百甚至几千个接入点。对于记帐服务，CiscoSecureACS针对网络用户的行为提供具体的报告和监控功能，并记录整个网络上每次的访问连接和设备配置变化。这个特性对于企业遵守SarbanesOxley法规尤其重要。CiscoSecureACS支持广泛的访问连接，包括有线和无线局域网、宽带、内容、存储、IP上的语音(VoIP)、防火墙和VPN等。CiscoSecureACS是思科基于身份的网络服务(IBNS)架构的重要组件。CiscoIBNS基于802.1x(用于基于端口的网络访问控制的IEEE标准)和可扩展验证协议(EAP)等端口安全标准，并将安全验证、授权和记帐(AAA)从网络外围扩展到了LAN中的每个连接点。您可在这个全新架构中部署新的策略控制工具(如每个用户的配额、VLAN分配和访问控制列表ACL)，这是因为思科交换机和无线接入点的扩展功能可用于在RADIUS协议上查询CiscoSecureACS。3)CS-MARS日志审计系统思科安全监控分析和响应系统(MARS)是一个高性能、可扩展的威胁管理、监控和防御设备系列，将传统安全事件监控与网络智能、上下文关联、因素分析异常流量检测、热点识别和自动防御功能相结合，可帮助客户更为高效地使用络和安全设备。通过结合这些功能，思科安全MARS可帮助公司准确识别和消除网络攻击，且保持网络的安全策略符合性。南京工程学院毕业设计说明书（论文）11第三章网络技术设计分析3.1网络IP地址规划1）IP地址合理规划的意义在企业网网络规划中，IP地址方案的设计至关重要，好的IP地址方案不仅可以减少网络负荷，还能为以后的网络扩展打下良好的基础。IP地址的合理是保证网络顺利运行和网络资源有效利用的关键。企业网IP地址的分配应该尽可能地利用申请到的地址空间，充分考虑到地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。具体地来说IP地址的合理规划有如下的意义：减少对各种资源（内存、CPU的处理能力以及网络带宽等）的需求IP地址的合理规划有利于网络中路由的汇聚，因而可以使得核心交换机中的路由表数目以及链路状态数据库等占用的内存减少，同时更新所占用的网络带宽也降低了；有利于IP地址空间的合理使用；优化业务流量的分布；有利于故障诊断。IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系，将对校园网的可用性、可靠性与有效性产生显著影响，应充分考虑本地网对IP地址的需求，以满足未来业务发展对IP地址的需求。2）IP地址规划根据国际互联网络技术发展的趋势，结合当今企业的现实情况，我们建议IP地址规划遵循如下原则来设计：网络出口、对外服务器群采用电信cernet公网IP地址；企业网采用先地区后业务划分方法进行IP地址分配。地区位（8位）.业务功能位（8位）.子网位主机位资源中心公共服务器尽量采用合法IP地址；企业网所有网络设备均配置内部管理IP地址，防止非法用户登录。各接入点根据现有信息点数，并预留30-40的扩容率，分配连续IP地址南京工程学院毕业设计说明书（论文）12段；各核心节点下联各接入点分配连续IP地址段，统一在核心节点提供IP路由，并做路由聚合。各核心节点内部根据用户群体地理位置划分VLAN，并将VLAN网关IP设置在各核心节点交换机上。3.2企业网络技术分类在企业园区中使用的最多也是最广泛的技术就是交换技术，交换技术的成熟带动着这个网络的发展。而企业网是基于这个交换架构的网络，因此在交换式的网络中有众多技术VLAN，VTP，TRUNK，三层交换，STP，HSRPVRRP，ETHERCHANNEL、DHCP，MultiPPP等。下面将分别介绍这些技术的应用：1)VLAN技术（VirtualLocalAreaNetwork）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。从技术角度讲，VLAN的划分可依据不同原则，一般有以下三种划分方法：(1)基于端口的VLAN划分这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。(2)基于MAC地址的VLAN划分MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示，前8位为厂商标识，后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。(3)基于路由协议的VLAN划分路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。在XX公司的交换网络中使用基于端口的VLAN技术，将设备的管理VLAN定义为VLAN1，将办公业务划分为VLAN2和VLAN3，将总部服务器划入VLAN100，可以控制广播风暴的范围，提高网络整体安全性，并且使得网络管理简单、直观。南京工程学院毕业设计说明书（论文）132)VTP技术VTP（VLANTrunkingProtocol）：是VLAN中继协议，也被称为虚拟局域网干道协议。它是一个OSI参考模型第二层的通信协议，主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名。在一台VTPServer上配置一个新的VLAN时，该VLAN的配置信息将自动传播到本域内的其他所有交换机。这些交换机会自动地接收这些配置信息，使其VLAN的配置与VTPServer保持一致，从而减少在多台设备上配置同一个VLAN信息的工作量，而且保持了VLAN配置的统一性。VTP有三种工作模式：VTPServer、VTPClient和VTPTransparent。一般，一个VTP域内的整个网络只设一个VTPServer。VTPServer维护该VTP域中所有VLAN信息列表，VTPServer可以建立、删除或修改VLAN。VTPClient虽然也维护所有VLAN信息列表，但其VLAN的配置信息是从VTPServer学到的，VTPClient不能建立、删除或修改VLAN。VTPTransparent相当于是一上独立的交换机，它不参与VTP工作，不从VTPServer学习VLAN的配置信息，而只拥有本设备上自己维护的VLAN信息。VTPTransparent可以建立、删除和修改本机上的VLAN信息。XX公司的VLAN中包含设备管理VLAN，业务VLAN，服务器VLAN，总部和分部中的交换设备较多，因此选择VTP技术来简化VLAN的配置，是一种较好的方案。3)TRUNK技术链路聚合（Trunk）是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。Trunk的主要功能就是仅通过一条链路就可以连接多个VLAN。4)三层交换第三层交换的实质是路由，类似于IP子网间的数据交换机制。当网络内数据流量的分布偏离8020规则，而且流量必须大量跨越子网边界时，传统的路由器就成了交通中的瓶颈，第三层交换技术的提出就是试图消除这个瓶颈。第三层交换设备可以保证在不改变IP编址方式和网络连接方式的前提下消除网络中的路由瓶径，并且实现第二层交换无法提供的第三层包转发和过滤能力。系统划分VLAN一方面隔离了广播，从而有效利用系统带宽，另一方面也提高了系统的安全性，但划分了VLAN之后各个子网之间需要路由，用传统的路由南京工程学院毕业设计说明书（论文）14器可以解决这一问题，但即使性能再高的路由器也会成为系统性能的瓶颈，而只有三层交换才能最好的解决这一问题，它以二层交换的性能实现三层交换的功能。本次方案中选择的Catalyst3560交换机支持VLAN技术，可以提供Layer3(网络层)的线速路由（三层交换），使系统性能与安全性获得最佳平衡。5)STP技术即Spanning-treeprotocol，STP协议是一个二层的链路管理协议，它在提供链路冗余的同时防止网络产生环路。定义在IEEE802.1D中，是一种链路管理协议，它为网络提供路径冗余同时防止产生环路。一旦二层存在环路，会产生广播风暴、MAC表不稳定和使终端收到同个帧的多个副本等问题。为使以太网更好地工作，两个工作站之间只能有一条活动路径。网络环路的发生有多种原因，最常见的一种是有意生成的冗余，万一一个链路或交换机失败，会有另一个链路或交换机替代。由于在XX公司总部和分部的核心层均使用了双机单模块的设备冗余，存在二层环路，因此需要在接入层和核心层的交换机上使用STP技术，以便在提供路径冗余的同时在逻辑上断开环路。6)帧中继（FR）技术帧中继是在X.25分组交换技术的基础上发展起来的一种快速分组交换技术，是改进了的X.25协议。它是在用户与网络接口之间提供用户信息流的双向传送，并保持顺序不变的一种承载业务。帧中继是以帧为单位，在网络上传输，并将流量控制、纠错等功能，全部交由智能终端设备处理的一种新型高速网络接口技术帧中继是当前数据通信中的一种广为应用的广域网技术，作为高速数据接口，帧中继可以实现局域网的（LAN）互联等应用。帧中继业务是在用户与网路接口(UNI)之间提供用户信息流的双向传送，并保持原顺序不变的一种承载业务。用户与网路接口之间以虚电路进行连接，对用户信息流进行统计复用。帧中继网路提供基本业务和用户选用业务。7)HSRP热备份路由器协议（HSRP）的设计目标是支持特定情况下IP流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说，当源主机不能动态知南京工程学院毕业设计说明书（论文）15道第一跳路由器的IP地址时，HSRP协议能够保护第一跳路由器不出故障。该协议中含有多种路由器，对应一个虚拟路由器。HSRP协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。负责转发数据包的路由器称之为主动路由器（ActiveRouter）。一旦主动路由器出现故障，HSRP将激活备份路由器（StandbyRouters）取代主动路由器。HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的IP地址作为网络系统的缺省网关地址。如果主动路由器出现故障，备份路由器（StandbyRouters）承接主动路由器的所有任务，并且不会导致主机连通中断现象。由于在2.2节所示的企业网络中的核心层使用了2台核心交换机做备份，则在此时就可以通过HSRP来实现流量负载。通过这一技术可以大大的缓解核心层中设备使用过于集中而备份设备出现闲置的状况。8)DHCP动态主机配置协议（DHCP）是一种使网络管理员能够集中管理和自动分配IP网络地址的通信协议。在IP网络中，每个连接Internet的设备都需要分配唯一的IP地址。DHCP使网络管理员能从中心结点监控和分配IP地址。当某台计算机移到网络中的其它位置时，能自动收到新的IP地址。DHCP使用了租约的概念，或称为计算机IP地址的有效期。租用时间是不定的，主要取决于用户在某地联接Internet需要多久，这对于教育行业和其它用户频繁改变的环境是很实用的。通过较短的租期，DHCP能够在一个计算机比可用IP地址多的环境中动态地重新配置网络。为了给终端动态分配IP地址，我们在XX公司总部的二个核心交换机和分部的路由器R7上均配置DHCP服务，以实现IP地址按要求动态分配和DHCP服务的备份。3.3路由协议选择在设计大中型网络时，由于静态路由协议设置麻烦、对网络的变化适应性差，一般不予采用，而今作为路由设计的补充。现在，常用的动态路由协议有以下四种：33.33.11RRIIPP南京工程学院毕业设计说明书（论文）16RIP是一种DistanceVector路由协议，有以下特点：简单，广泛使用，技术成熟，信息源与目的地间限制在15个hops（或路由器）之内，超过15hops将认为不可及。RIPv1不支持VLSM（VariableLengthSubnetMask），不可能有效地利用IP地址。每30秒传送路由信息将耗费大量的带宽，在大型网络及低速链路中更明显。路由收敛较慢，此算法将经历Hold-down(180S)的周期。RIP在计算路径时，只考虑hopcount，不考虑网络链路的延迟和cost。RIP网络适用于平面结构的网络。RIP适用于中、小型网络。一般网络的路由器数目少于20个。33.33.22OOSSPPFFOSPF是LinkState，层次化拓扑的路由协议。有以下特点：仅用于IP网络，无hopcount的限制，适于大型网络，支持VLSM，用hello通知其他路由器本路由器工作正常。通过IPmulticast发送链路更新的信息，并且仅在路由发生变化是进行更新，由此优化路由器的资源和带宽。路由收敛较快，在路径的选择中，metric主要考虑链路的延迟，支持相同cost的多条链路路由，较好地实现负载均衡。cost=100000000bandwidthinbps。通过划分区域更好的规划网络，减少路由更新信息。在网络设计中推荐每个AS区域中路由器少于50个。33.33.33IIGGRRPPIGRP是DistanceVector路由协议，由CISCO开发，用于大型IP及OSI网络，有以下特点：不支持VLSM（VariableLengthSubnetMask)，不可能有效地利用IP地址。每90秒传送路由信息将耗费部分的带宽。在路径的选择上采用组合的metrics包括：延迟、带宽、可靠性、MTU和负载。支持多条路径路由。33.33.44EEIIGGRRPPEIGRP是intra-domain，先进的DistanceVector路由协议，由CISCO开发和支持：结合了距离向量(DV)协议和连接状态(LS)协议的优点，采用了DUAL算法达到网络的快速收敛。支持层次化和平面网络结构，支持VLSM网络地址分配，可在任意位边界对直接相连的网络进行路径叠合，只有在网络变化时EIGRP才发送路由表更新信息，而且只发给相关路由器，因此广域网带宽浪费很少，DUAL南京工程学院毕业设计说明书（论文）17算法使其具有最好的收敛性。采用五维参数来决定最佳路径：带宽、时延、可靠性、线路负载和最大数据包尺寸。EIGRP路由算法自动根据这五项参数值动态计算最优路径，随时更新。它采用模块化软件支持IP、IPX和AT协议。RIP由于性能和扩展性差而逐渐推出了历史的舞台。EIGRP本身的设计定位是取代IGRP的，所以IGRP也逐渐淡出。33.33.55综综合合的的选选择择根据以上的比较，EIGRP和OSPF都比较适合大型网络，并且两者均有很多成功案例。但EIGRP属于Cisco公司专有的路由协议，兼容性较差。而OSPF的开放性和对备份线路的特别支持特性，适合作为中大规模网络。故建议采用OSPF协议作为设计广域网的路由协议。路由设计，在核心交换机上启用三层路由功能，实现各VLAN间的通信，同时在核心路由器上启用动态路由协议OSPF，支持变长子网掩码，在接入的工作站和服务器上配置缺省网关。同时配合国家数据及主控中心、各省及控制中心启动OSPF动态路由协议，并做好相应的路由协议参数配置，从而实现全网统一的大的OSPF动态路由网络。将区域数据中心的路由器划入OSPF的area0内，与之相连的下级节点的设备再分别划分为不同的OSPFarea，可以各级节点为单位，不同的级别节点划分不同的区域。这将最大限度的利用OSPF的分区管理优势。OSPF在路径的选择中，metric主要考虑链路的延迟。如果不同的路径有相同cost，那么OSPF可以在这些不同的路径上实现负载均衡。如果不同的路径的也cost不同，那么OSPF会有先启动cost值小（cost值越小，则链路的延迟越小）的那条路径，如果该路径失效，则OSPF会启动cost大的其他路径。OSPF的这点功能可以被用来在主备线路或多条链路上实现负载均衡功能或主备线路之间自动切换功能。为了保证网络上的工作站和服务器的最大可用性，在核心交换机上对不同的VLAN分别使用HSRP热备份路由协议，虚拟出一个缺省网关，在一台核心交换机失效时，仍可以保证工作站和服务器的正常运行。在最大程度上保证了用户业务正常运行。南京工程学院毕业设计说明书（论文）18第四章网络拓扑具体配置4.1网络的配置规划1)企业网划分为行政中心，财务部，市场销售部，人力资源部。行政中心IP地址从DHCP服务器中获取该网段为24，财务部IP地址段为24，市场销售部IP地址段为24，人力资源部IP地址段为24（1）数据及DHCP服务器IP地址段为24。（2）对外路由器IP地址为：。（3）防火墙路由器IP地址为：。（4）行政中心能、市场销售、人力资源能对外访问，财务部不能。（5）最后在核心交换机上创建VLAN10，VLAN20VLAN30VLAN40行政中心和服务器划入VLAN10财务部划入VLAN20市场销售部划入VLAN30人力资源部划入VLAN40。2)网络的路由协议配置，采用OSPF协议，路由器的配置命令格式：Router(config)#routerospf1Router(config-rout