[优秀毕业设计精品] 企业分布式网络设计方案.docx

企业分布式网络设计方案毕 业 设 计 论 文题 目：公司分布式组网实施方案专 业：计算机科学与技术姓 名： 学 号： 指导老师： 二 年 月毕业设计(论文)任务书队 别 22队 年 级 2006级 专 业 计算机科学与技术 学生姓名 学生学号 9指导教师 同组姓名 一、题目公司分布式组网实施方案设计二、设计课题要求在论文中论述企业级组网技术的发展、主流技术和关键问题；针对下列特定问题论述解决办法并阐述设计原则；阐述组网实施方案及方案的成本核算。三、设计课题所需的主要设备和资料需要广泛的计算机网络资料和教材，及一台计算机收集互联网上的相关资料。四、设计说明（论文）应包括的内容1，对计算机网络知识进行了解，方便后期的设计。2，对企业网络涉及的硬件进行了解方便后期的设计。3，根据企业需求来设计企业的分布式网络。4，总结概括，按要求拟写论文。五、参考文献及资料 1 单光庆 综合布线 2009 2 (美)华莱士 cisco voip学习指南 2010 3 孙印杰 网络组建与应用教程(修订版) 2009 4 5 /cn/index.html 6 7 教 研 室 主 任（签名） 系 主 任（签名） 年 月 日 摘要企业网络系统也是现在最主要的关注点之一，好的网络布局对于一个企业来说是效率的提升。现今最常用的就是按分布式的网络设计。下面我们将在多个方面来论证分布式设计的网络布局的优越性。本论文通过前四章是对计算机网络的基础介绍,第五章详细规划了企业分布式网络内外网的构建与选择，第六章的施工与步线是基于前几章的设计的实施过程，第七章是根据最新报价进行的统计核算。希望对读者有所帮助。关键词企业网络，分布式网络，网络设计abstractenterprise network is now one of the most important concern, a good layout for a corporate network is improved efficiency. today is the most commonly used by a distributed network design. the following aspects will be demonstrated in a number of distributed design advantages of the network layout.through the first four chapters of this paper describes the basis of computer networks，chapter v detailed planning of the inside and outside the enterprise network distributed network construction and selection，chapter vi of the construction and step line is based on the design of the previous chapters the implementation process，chapter vii of the statistical calculation based on the latest offer.want to help the reader. keywordsenterprise networks, distributed networks, network design目 录第一章 引言5第二章 相关网络基础简介62.1 计算机网络 62.2 局域网简介 62.3 网络的体系结构 62.4 网络布局 72.5 小结 7第三章 相关网络协议简介83.1 tcp/ip协议 83.2 超文本传输协议(http) 83.3 文件传输协议(ftp) 93.4 远程登录协议（telnet） 93.5 小结 9第四章 相关硬件设备 104.1 网卡 104.2 交换机 104.3 路由器 114.4 传输介质 114.4.1 同轴电缆 114.4.2 双绞线 114.4.3 光纤 124.5 服务器 124.6 小结 12第五章 企业分布式网络设计135.1 企业广域网设计部分 135.1.1 企业分布式广域网设计需求分析 135.1.2 解决方式与其优势 135.1.3 vpn-virtual private network虚拟专用网络 145.1.4 ipsec 165.1.5 voip 205.1.6 企业分布式广域网设计部分小结 215.2 企业局域网设计部分 225.2.1 企业分内部局域网设计需求分析 225.2.2 解决方式与其优势 225.2.3 相关技术 235.2.4 网络设备选型 255.2.5 网络ip地址规划方案275.2.6 企业分内部局域网设计部分小结 27第六章 施工与布线296.1 设计标准及规范 296.2 设备间子系统 296.3 建筑群子系统 306.4 水平区子系统 306.5 弱电竖井（垂直子系统） 316.6 工程实施步骤 316.7 工程实施进度管理 326.8 小结 33第七章 结论34参考文献35致谢36第一章 引言当今世界，各种先进的科学技术飞速发展，给人们的生活带来了深远的影响，它极大的改善我们的生活方式。在以计算机技术为代表的信息科技的发展更是日新月异，从各个方面影响和改变着我们的生活，而其中的计算机网络技术的发展更为迅速，已经渗透到了我们生活的各个方面，人们已经离不开计算机网络，并且随着因特网的迅速普及，给我们的工作与生活条件带来更大的方便，我们与外部世界的联系将更加的紧密和快速。企业网络系统也是现在最主要的关注点之一，好的网络布局对于一个企业来说是效率的提升。现今最常用的就是按分布式的网络设计。下面我们将在多个方面来论证分布式设计的网络布局的优越性。第二章 相关网络基础简介2.1 计算机网络计算机网络是指通过传输媒休连接的多部计算机组成的系统，使登录其上的所有用户能够共享软硬件资源。计算机网络如按网络的组建规模和延伸范围来划分的话，可分为局域网(local area network,lan)、城域网(metropolitan area network,man)、广域网(wide area network,wan)。我们经常用到的因特网(internet)属于广域网，企业内部网属局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密方向发展。2.2 局域网简介局域网是同一建筑、方圆几公里远的地域内的专用网络。局域网通常用来连接公司办公室或企业内部的个人计算机和工作站，以共享软、硬件资源。美国电气和电子工程师协会（ieee）局域网标准委员会员会曾提出局域网的一些具体特征：局域网在通信距离有一定的限制，一般在12km的地域范围内。比如在一个办公楼内、一个厂区等。较高传输率的物理通信信道也是局域网的一个主要特征，在广域网中用电话线连接的计算机一般也只有2040kpbs的速率。因为连接线路都比较短，中间几乎不会爱任何干扰，所以局域网还具有始终一致的低误码率。局域网一般是一个单位或部门专用的，所以管理起很方便。另外局域网的拓扑结构比较简单，所支持连接的计算机数量也是有限的。组网时也就相对很容易连接。 2.3 网络的体系结构 网络通常按层或级的方式来组织，每一层都建立在它的下层之上。不同的网络，层的名字、数量、内容和功能都不尽相同。但是每一层的目的都是向它的上一层提供服务，这一点是相同的。层和协议的集合被称为网络体系结构。作为具体的网络体系结构，当前重要的和使用广泛的网络体结构有osi体系结构和tcp/ip体系结构。2.4 网络布局网络布局分为分布式和集中式两种。集中式网络：是呈星行或树行拓扑的网络，其中所有的信息都要经过中心节点交换机，各类链路都从中心节点交换机发源。分布式网络：其特点是任何一个节点都至少跟其他两个节点直接相连，具有更高的可靠性。2.5 小结企业采用分布式网络，它将没有所谓的中心，因而不会因为中心遭到破坏而造成整体的崩溃。在分布式网络上，节点之间互相连接，数据可以选择多条路径传输。注意点，在这里并不采用全网络上的分布式，只是在关键交换机或路由上采用分布式。可以看作n个小的集中式局域网采用分布式思想组成广域网。同时采用复用思想保证集中式网络得以安全连续的运行。第三章 相关网络协议简介网络协议是通信双方共同遵守的约定和规范，网络设备必须安装或设置各种网络协议之后才能完成数据的传输和发送，在企业局域网上用到的协议主要有，icp/ip协议、http等。我们建立企业网络中一般会涉及到一下几个协议。3.1 tcp/ip协议tcp/ip协议是目前在网络中应用得最广泛的协议，icp/ip实际上是一个关于internet的标准，并随着的internet广泛应用而风靡全球，它也成为局域网的首选协议。tcp/ip是一种分层协议，它共被分为个4层次，大约包含近期100个非专有协议，通过这些协议，可以高效和可靠地实现计算机系统之间的互连。tcp/ip协议中的核心协议有tcp（传输控制协议）、udp（用户数据报协议）和ip（因特网协议）tcp协议可以在网络用户启动的软件应用进程之间建立通信会话，并实现数据流量控制和错误检测，这样就可以在不可靠的网络上提供可靠的端到端数据传输。udp协议是一种无连接的协议，它在传输数据之前不建立连接，也不提供良好的可靠性和差错检查，只仅仅依赖于校验来保证可靠性。udp不进行流量控制，没有序列或者确认，因此它处理和传输数据的速度快，还被用来传输关键的网络状态消息。ip协议的基本功能是提供数据传输、数据包编址、数据包路由，分段等。通过ip编址约定，可以成功地将数据通过路由传输到正确的网络或者子网。每个网络站点具有一个32位的ip地址，它和48位mac地址一起协作，完成网络通信，ip协议也是一种无连接的协议。3.2 超文本传输协议(http)http(hypertext transfer protocol ),超文本传输协议)是www浏览器和www服务器之间的应用层协议，是用于分布式协作超文本信息系统的、通用的、面向对象的协议，http协议还是基于tcp/ip协议之上的应用层协。3.3 文件传输协议(ftp)ftp(file transfer protocol ,文件传输协议)是由支持internet文件传输的各种规则所组成的集合。这些规则能使网络用户把文件从一个主机拷贝到另一个主机上，ftp是采客户/服务器方式服务的。3.4 远程登录协议（telnet） 远程登录协议的目的是提供一个全面的、双向的、面向8个比特字节的通信工具，其主要目标是提供终端设备与面向进程接口的标准方法，telnet是应用层的协议，采用客户/服务器模式工作的，telnet不仅允许用户登录到远端主机上，还允许用执行远端主机的命令，这样用户就能以极小的网络资源代价完成大型的网络应用。3.5 小结这里介绍的四种传输协议，是建立企业网络必须注意的重点部分。保证以上几个协议才可以使企业网内部链接通顺，并且可以访问internet。第四章 相关硬件设备网络设备主要是指硬件系统，各种网络设备之间是有着相互关联而不是相互独立的，每一部分在网络中有着不同的作用，缺一不可，只有把这些设备通过一定的形式连起来才能组成一个完整的网络系统，网络设备主要包括网卡、集线器、交换机、路由器、传输介质等。4.1 网卡 网卡（简称nic），也网络适配卡或网络接口卡，网卡作为计算机与网络连接的接口，是不可缺少的网络设备之一。无论是双绞线网络、同轴电缆网络还是光缆网络，都必须借助于相应类型的网卡才能实现与计算机的连接，是计算机与局域网相互连接的惟一接口。每块网卡上都有一个世界惟一的id号，也就是mac（media access control）地址，计算机在连入网络之后，就是依靠这个id号才能实现在不同计算机之间的通信和信息交换。网卡有很多种，不同类型的网络需要使用不同种类的网卡，不同速度的网络需求也要使用不同的网卡。如根据带宽来分的话，有10mbit/s网卡、10/100mit/s自适应网卡和1000mbit/s网卡；如按总线分，有isa总线、pci总线、pcmcia总线网卡等。从目前校园网建设的实际情况来看，工作站网卡选择pci总线的10m/100mbit/s自适应网卡最适合。4.2 交换机 交换机，也称交换式集线器，是专门设计的，使各计算机能够相互高速通信的独享带宽的网络设备。作为高性能的集线设备，随着价格的不断降低，交换机已逐步取代了集线器而成为集线设备的首选。由交换机构建的交换式网络系统不仅拥有高速的传输速率，而且交换延时很小，使得信息的传输效率大大提高，适合于大数据量并且使用非常频繁的网络通信，被广泛应用于各种类型的多媒体和数据传输网络。交换机具有很强的网络管理功能，它能自动根据网络通信的使用情况来动态管理网络，因为交换机采用了独享网络带宽的设计。4.3 路由器 路由器除了有连接不同的网络物理分支和不同的通信媒介、过滤和隔离网络数据流及建立路由表，还有控制和管理复杂的路径、控制流量、分组分段、防止网络风暴及在网络分支之间提供安全屏障层等到功能。根据路由设备的组成可以分为软路由和硬路由。根据路由表的设置方式可以将路由器分为静态的和动态的。路由器工作在网络层，因此它可以在网络层交换和路由数据帧，访问的是对方的网络地址。当数据帧到达路由器后，路由器查看数据帧的目标地址，并在路由表查看到达目标地址的路径，根据路径的代价，选择一条最佳的路径，然后把数据帧沿这条路径发送给目标地址。4.4 传输介质 网络要求把各个独立的计算机连接起来的，这样就必然要求有一种介质将计算机连接起来，这就是传输介质，局域网的传输介质可分为有线介质和无线介质两种，一般情况下都是用有线介质的，因为它的稳定性高，连接可靠，无线介质只是在特殊环境下才使用的传输方式。常用的有线介质主要有以下几类。 4.4.1 同轴电缆同轴电缆以硬铜线为芯，外包一层绝缘材料。这层绝缘材料用密织的网状导体环绕，网外又覆盖一层保护性材料。同轴电缆有许多种不同的规格，最常用是细同轴电缆和粗同轴电缆。细同轴电缆主要用于建筑物内的网络连接，而粗同轴电缆则常用于建筑物间相连。它们的区别在于粗同轴电缆屏蔽更好，能传输更远的距离。同轴电缆是由中心导体、绝缘材料层、网状织物构成的屏蔽层以及外部隔离材料层组成。4.4.2双绞线双绞线是综合布线工程中最常用的一种传输介质。双绞线由两根具有绝缘保护层的铜导线组成。把两根绝缘的铜导线按一定密度互相绞在一起，可降低信号干扰的程度，每一根导线在传输中辐射的电波会被另一根线上发出的电波抵消，与其他传输介质相比，双绞线在传输距离、信道宽度和数据传输速度等方面均受到一定限制，但价格较为低廉。目前，双绞线可分为非屏蔽双绞线和屏蔽双绞线。 4.4.3光纤 光纤是一种直接为50100um的柔软的、能传导光波的介质，一般由玻璃制造。光纤分为：传输点模数类分单模光纤(single mode fiber)和多模光纤(multi mode fiber)。单模光纤的纤芯直径很小，在给定的工作波长上只能以单一模式传输，传输频带宽，传输容量大。多模光纤是在给定的工作波长上，能以多个模式同时传输的光纤，与单模光纤相比，多模光纤的传输性能较差。4.5 服务器 企业网中的服务器主有数据库服务器和代理服务器，数据服务器与代理服务器主要是面向校园网内部用户的服务，对来自internet的用户服务也很多，主要是对企业网内部用户进行internet代理服务。目前，绝大多数企业网都要求内部服务用户通过代理访问internet，这样内部用户就不能直接访问internet，同时代理服务器保存着内部用户访问internet的日志。由于用户数量非常大，也非常集口中，所以在选型代理服务器时，主要考虑的是要有较大的容量、较高的处理速度和较高的稳定性，一般来说都选用大型服务器作为代理服务器。4.6 小结硬件是整个网络系统的根本，我们之前的协议和后面的设计都是建立在这个基础之上。只有认识硬件器材及其作用，从能更好配合这些硬件发挥他们的最大功效。这里应为考虑实际情况把集线器省略，现在几乎都使用交换机。随着光纤技术的发展，渐渐的有取代同轴电缆趋势。第五章 企业分布式网络设计5.1 企业广域网设计部分5.1.1 企业分布式广域网需求分析满足企业办公室访问国内和国际互联，满足客户服务器可以被企业子公司和客户安全访问，保证数据在网络中传输的保密和安全性，满足总部和国内子公司开展远程voip电话、远程视频会议等。5.1.2 解决方案及其优势（一） 解决方案总公司与子公司利用ddn线路连接到服务商的ip vpn骨干。在adsl可使用的地区，公司办事处和家庭工作人员，部分客户可以利用在adsl上架vpn网关和总部连接。在adsl没有应用的地区办公室利用拨号使用vpn远程客户端软件和总部连接（二） 方案的优势将其核心网络和子网络被整合进服务商ip vpn骨干， 使得网络管理被简化。管理和投资的有效性增强。各点间建立灵活和可扩展的ip骨干。各点间数据传输使用ipsec加密。通过架设vpn网关使制造工厂和销售办事处间降低了网络成本，性能，稳定性和安全性得到改进。（三） 基于方案的广域网拓扑图（见图1）（图1）5.1.3 vpn-virtual private network虚拟专用网络虚拟专用网络并不是真的专用网络，但它却能够实现专用网络的功能。实际上，vpn是一种依靠isp（internet服务提供商）和其它nsp（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在vpn服务中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。用户不再需要拥有成本极高的长途数据线路，而是使用internet公众数据网络的长途数据线路，为自己制定一个最符合自己需求的网络，从而实现企业内部多个分支机构之间的数据通信、voip电话、视频会议等多种业务。（一） 安全性传统internet方式由于透过公众网络传输资料，在资料的安全性上无法得到安全保障，更无法达到erp、boss系统对安全性要求。vpn方式则会在公众网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，并利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。（二） 服务质量保障广域网流量的不确定性使透过公众网络传输数据时带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。 vpn方式通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。（图2）（三） 灵活可扩充传统长途专线方式每增加一个点都需要在该点和其它所有要进行连接的点之间增加多条物理线路投入、终端设备的投入和对已有的每个点的设备进行升级，以满足端口增加的需求。vpn方式用户只要接入新的节点，并提供新点与其它点之间的的通信规则，用户无须考虑其它节点设备上的预留。（四） 可管理传统方式企业无法将网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。vpn方式运营商可协助用户对整个网络进行规划管理，降低了对用户自身it技术管理的要求。 vpn产品，更因为支持使用私有地址，对于那些已有局域网，已做私有地址规划的用户有巨大吸引力，客户不必改变原有ip地址规划方案，且可以有效保护用户在设备上的投资。（五） 节省成本传统长途专线方式成本巨大，且每新增一点，需要新增n-1条线路（n=该企业所有点数），所需费用将成几何级数增长。vpn方式增加新的节点时，用户只要接入新的节点，并提供新点与其它点之间的的通信规则，费用相对低廉很多。（六） 长途专线、vpn和internet三种连接方式的对比比较项目长途专线iplc vpn internet 线路速率64 kbpse1256ke164kbpse1数据安全性极高高差安装时效性2月24周14周数据加密机制一般不需mpls/ipsec无线路费用极其昂贵中 低数据传输品质最好好一般适用服务项目数据传输、语音、视频数据传输、语音、视频数据传输5.1.4 ipsec（一） ipsec简介internet协议安全性(ipsec)是一种开放标准的框架结构，通过使用加密的安全服务以确保在internet协议(ip)网络上进行保密而安全的通讯。windows xp和windows server 2003家族实施ipsec是基于“internet工程任务组(ietf)”ipsec工作组开发的标准。 ipsec 是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 internet的攻击。在通信中，只有发送方和接收方才是唯一必须了解ipsec保护的计算机。在windows xp和windowsserver 2003家族中，ipsec提供了一种能力，以保护工作组、局域网计算机、域客户端和服务器、分支机构（物理上为远程机构）、extranet以及漫游客户端之间的通信。ipsec有两个目标：保护ip数据包的内容和通过数据包筛选及受信任通讯的实施来防御网络攻击。 这两个目标都是通过使用基于加密的保护服务、安全协议与动态密钥管理来实现的。这个基础为专用网络计算机、域、站点、远程站点、extranet 和拨号用户之间的通信提供了既有力又灵活的保护。它甚至可以用来阻碍特定通讯类型的接收和发送。ipsec 基于端对端的安全模式，在源ip和目标ip地址之间建立信任和安全性。考虑认为 ip地址本身没有必要具有标识，但ip地址后面的系统必须有一个通过身份验证程序验证过的标识。只有发送和接收的计算机需要知道通讯是安全的。每台计算机都假定进行通讯的媒体不安全，因此在各自的终端上实施安全设置。除非两台计算机之间正在进行防火墙类型的数据包筛选或网络地址转换，否则仅从源向目标路由数据的计算机不要求支持 ipsec。该模式允许为下列企业方案成功部署 ipsec：局域网 (lan)：客户端/服务器和对等网络 广域网 (wan)：路由器到路由器和网关到网关 远程访问：拨号客户机和从专用网络访问internet 通常，两端都需要ipsec配置（称为ipsec策略）来设置选项与安全设置，以允许两个系统对如何保护它们之间的通讯达成协议。windows xp和windows server 2003家族实施ipsec是基于“internet工程任务组 (ietf)”ipsec工作组开发的业界标准。ipsec相关服务部分是由microsoft 与cisco systems,inc.共同开发的。ipsec 协议不是一个单独的协议，它给出了应用于ip层上网络数据安全的一整套体系结构，包括网络认证协议authentication header（ah）、封装安全载荷协议encapsulating security payload（esp）、密钥管理协议internet key exchange（ike）和用于网络认证及加密的一些算法等。ipsec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。（二） 安全特性ipsec的安全特性主要有： 不可否认性 不可否认性可以证实消息发送方是唯一可能的发送者，发送者不能否认发送过消息。不可否认性是采用公钥技术的一个特征，当使用公钥技术时，发送方用私钥产生一个数字签名随消息一起发送，接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥，也只有发送者才可能产生该数字签名，所以只要数字签名通过验证，发送者就不能否认曾发送过该消息。但不可否认性不是基于认证的共享密钥技术的特征，因为在基于认证的共享密钥技术中，发送方和接收方掌握相同的密钥。 反重播性 反重播确保每个ip包的唯一性，保证信息万一被截取复制后，不能再被重新利用、重新传输回目的地址。该特性可以防止攻击者截取破译信息后，再用相同的信息包冒取非法访问权（即使这种冒取行为发生在数月之后）。 数据完整性 防止传输过程中数据被篡改，确保发出数据和接收数据的一致性。ipsec利用hash函数为每个数据包产生一个加密检查和，接收方在打开包前先计算检查和，若包遭篡改导致检查和不相符，数据包即被丢弃。 数据可靠性（加密） 在传输前，对数据进行加密，可以保证在传输过程中，即使数据包遭截取，信息也无法被读。该特性在ipsec中为可选项，与ipsec策略的具体设置相关。 认证 数据源发送信任状，由接收方验证信任状的合法性，只有通过认证的系统才可以建立通信连接。（三） 基于电子证书的公钥认证一个架构良好的公钥体系，在信任状的传递中不造成任何信息外泄，能解决很多安全问题。ipsec与特定的公钥体系相结合，可以提供基于电子证书的认证。公钥证书认证在windows 2000中，适用于对非windows 2000主机、独立主机，非信任域成员的客户机、或者不运行kerberos v5认证协议的主机进行身份认证。（四） 预置共享密钥认证ipsec也可以使用预置共享密钥进行认证。预共享意味着通信双方必须在ipsec策略设置中就共享的密钥达成一致。之后在安全协商过程中，信息在传输前使用共享密钥加密，接收端使用同样的密钥解密，如果接收方能够解密，即被认为可以通过认证。但在windows 2000 ipsec策略中，这种认证方式被认为不够安全而一般不推荐使用。（五） 公钥加密ipsec的公钥加密用于身份认证和密钥交换。公钥加密，也被称为不对称加密法，即加解密过程需要两把不同的密钥，一把用来产生数字签名和加密数据，另一把用来验证数字签名和对数据进行解密。使用公钥加密法，每个用户拥有一个密钥对，其中私钥仅为其个人所知，公钥则可分发给任意需要与之进行加密通信的人。例如：a想要发送加密信息给b，则a需要用b的公钥加密信息，之后只有b才能用他的私钥对该加密信息进行解密。虽然密钥对中两把钥匙彼此相关，但要想从其中一把来推导出另一把，以目前计算机的运算能力来看，这种做法几乎完全不现实。因此，在这种加密法中，公钥可以广为分发，而私钥则需要仔细地妥善保管。（六） hash函数和数据完整性hash信息验证码hmac（hash message authentication codes）验证接收消息和发送消息的完全一致性（完整性）。这在数据交换中非常关键，尤其当传输媒介如公共网络中不提供安全保证时更显其重要性。有两种最常用的hash函数：hmac-md5 md5基于rfc1321。md5对md4做了改进，计算速度比md4稍慢，但安全性能得到了进一步改善。md5在计算中使用了64个32位常数，最终生成一个128位的完整性检查和。 hmac-sha 安全hash算法定义在nist fips 180-1，其算法以md5为原型。 sha在计算中使用了79个32位常数，最终产生一个160位完整性检查和。sha检查和长度比md5更长，因此安全性也更高。（七） 加密和数据可靠性ipsec使用的数据加密算法是des-data encryption standard（数据加密标准）。des密钥长度为56位，在形式上是一个64位数。des以64位（8字节）为分组对数据加密，每64位明文，经过16轮置换生成64位密文，其中每字节有1位用于奇偶校验，所以实际有效密钥长度是56位。 ipsec还支持3des算法，3des可提供更高的安全性，但相应地，计算速度更慢。（八） 密钥管理ipsec策略使用动态密钥更新法来决定在一次通信中，新密钥产生的频率。动态密钥指在通信过程中，数据流被划分成一个个数据块，每一个数据块都使用不同的密钥加密，这可以保证万一攻击者中途截取了部分通信数据流和相应的密钥后，也不会危及到所有其余的通信信息的安全。动态密钥更新服务由internet密钥交换ike（internet key exchange）提供。ipsec策略允许专家级用户自定义密钥生命周期。如果该值没有设置，则按缺省时间间隔自动生成新密钥。密钥长度每增加一位，可能的密钥数就会增加一倍，相应地，破解密钥的难度也会随之成指数级加大。ipsec策略提供多种加密算法，可生成多种长度不等的密钥，用户可根据不同的安全需求加以选择。diffie-hellman算法要启动安全通讯，通信两端必须首先得到相同的共享密钥（主密钥），但共享密钥不能通过网络相互发送，因为这种做法极易泄密。diffie-hellman算法是用于密钥交换的最早最安全的算法之一。dh算法的基本工作原理是：通信双方公开或半公开交换一些准备用来生成密钥的材料数据，在彼此交换过密钥生成材料后，两端可以各自生成出完全一样的共享密钥。在任何时候，双方都绝不交换真正的密钥。5.1.5 voip当企业规模变得越来越大、分支机构越来越多的时候，巨额话费（尤其是长途或越洋电话）已经成为许多企业的沉重负担。因此，经济实惠的电话网络解决方案已经成为许多企业的迫切需求。voip（voice over ip）则是这一问题的最佳解决方案。与普通电话相比，ip电话的优势是非常明显的，因为ip电话将电话网络整合到数据网络中，省去了庞大的pstn（public switched telephone network，公共交换电话网）长途话费开支，可以显著降低企业网络的运营成本。企业需要建设的网络是一个典型的数据、话音、传真综合网络，在每一个分公司和总部内部都需要提供lan、voip、传真等多种服务，在分公司和总部及分公司之间，则需要利用租用线路实现广域连接。为了在企业内部彻底取消pstn电话，企业内部的ip电话不仅需要提供分公司以内和各个分公司之间的通信服务，而且还要能够呼叫pstn上的普通电话用户。为保护用户的投资，voip网络设备必须能够与标准电话和传真设备配套工作。同时为了方便用户的使用，voip网络对用户应该是透明的，也就是说，用户应该能够像使用普通电话一样使用ip电话。同时，voip网络必须实现与pstn网络的无缝连接。voip具有以下主要功能与特点。支持多业务集成，可保证话音/数据/传真等业务的高度集成。实现voip与pstn的无缝连接和自动路由，给用户提供一个完全透明的网络平台。提供访问列表、侵犯记录、授权、记账等多种网络安全功能，以及rsvp、加权公平排队、wred、ip优先权等先进的qos功能，可以提供强大的qos保证，使ip电话获得可以与pstn电话相媲美的效果。具有优秀的可配置性，可以根据实际需求灵活配置各种模块，从而大大降低网络建设成本。高度模块化的设计，也使得它们具有优异的可扩展性和升级能力，保证企业投资的长期有效性。使用简单易用的网络管理软件，可以大大提高网络管理的效率，可以对基于voip技术的ip电话和传真服务提供管理配置、实时监控、错误诊断、安全保证、记录报告等先进的管理功能。提供的端到端话音管理解决方案，可以有效地提高管理voip网络的工作效率、降低投资成本享有全部的ip电话功能及服务，最多可节省近70%的国际、国内长途话费。使用时操作简便，并可节省市话费用，可供多人同时使用。网络整体结构具有可扩展性、可升级性，便于项目的分期投资，并且在将来网络升级时保护已有的软、硬件设备的投资。5.1.6 企业分布式广域网设计部分小结本部分主要是根据需求设计广域网方面的内容，是总公司与子公司和客户间的信息通信网络。vpn线路的设计和ipsec加密满足了企业网络安全的保证，而且相对企业来说也比较经济实惠。voip将大大降低企业内部通信的费用，提高企业的效益。实际操作中可以通过电信或专业的运营商来完成这部分的设计，它们成熟的技术和专业的维护可以让大多企业得到最佳的性价比。5.2 企业内部局域网设计部分5.2.1 企业内部局域网需求分析满足内部网络与外部网络完美衔接。建立高速内部网络，并配合适应的办公系统和数据管理系统。考虑公司的发现，内部网络应具备高扩展性。更合理的信息点分布，及方便的维护。5.2.2 解决方案及其优势（一） 解决方案根据需求，网络建设目标及设计思想，建议采用交换式千兆以太网做为主干，网络拓扑结构为星型。采用星型结构可以提高网络系统的可靠性，便于管理和维护。（二） 方案的优势采用交换式快速以太网作为主干是因为：1）：速度方面，能够满足网络应用对主干网的带宽的要求。2）：基于标准的技术，快速以太网使用了在以太网mac层上定义的csma/cd的协议。3）：技术成熟。4）：性能价格比高。5）：具有很好的拓展性，方便以后用户的增加。6）：可靠性高，不会因为一个端口的故障而影响网络中其他的用户使用网络。7）： 采用星型交换技术，采用相应的软件，通过划分vlan，可以实现有效的流量控制和提供更好的安全性。（三） 基于方案的局域网拓扑图（见图3） （图3）5.2.3 相关技术（一）主干网采用交换式1000m以太网技术，采用单模光纤连接（光纤的长度应大与实地测量的距离，保留一定冗余）。（二）楼内局域网采用快速交换式以太网（10/100m自适应式）通过超五类双绞线按照星状拓扑结构进行连接，保证用户100m到桌面的需求。（三）vlan（virtual local areanetwork）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。ieee于1999年颁布了用以标准化vlan实现方案的802.1q协议标准草案。 vlan是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了vlan头，用vlan id把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。vlan具有以下优点：控制网络的广播风暴采用vlan技术，可将某个交换端口划到某个vlan中，而一个vlan的广播风暴不会影响其它vlan的性能。确保网络安全共享式局域网之所以很难保证网络的安全性，是因为只要用户插入一个活动端口，就能访问网络。而vlan能限制个别用户的访问，控制广播组的大小和位置，甚至能锁定某台设备的mac地址，因此vlan能确保网络的安全性。简化网络管理网络管理员能借助于vlan技术轻松管理整个网络。例如需要为完成某个项目建立一个工作组网络，其成员可能遍及全国或全世界，此时，网络管理员只需设置几条命令，就能在几分钟内建立该项目的vlan网络，其成员使用vlan网络，就像在本地使用局域网一样。vlan的分类主要有以下几种：基于端口的vlan基于端口的vlan是划分虚拟局域网最简单也是最有效的方法，这实际上是某些交换端口的集合，网络管理员只需要管理和配置交换端口，而不管交换端口连接什么设备。基于mac地址的vlan由于只有网卡才分配有mac地址，因此按mac地址来划分vlan实际上是将某些工作站和服务器划属于某个vlan。事实上，该vlan是一些mac地址的集合。当设备移动时，vlan能够自动识别。网络管理需要管理和配置设备的mac地址，显然当网络规模很大，设备很多时，会给管理带来难度。基于第3层的vlan基于第3层的vlan是采用在路由器中常用的方法：ip子网和ipx网络号等。其中，局域网交换机允许一个子网扩展到多个局域网交换端口，甚至允许一个端口对应于多个子网。基于策略的vlan基于策略的vlan是一种比较灵活有效的vlan划分方法。该方法的核心是采用什么样的策略？目前，常用的策略有（与厂商设备的支持有关）：按mac地址、按ip地址、按以太网协议类型、按网络的应用等。5.2.4 网络设备选型（一）骨干网络采用cisco ws-c3750g-243750系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。这个产品系列采用了最新的思科stackwise智能堆叠技术，不但实现高达32gbps的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统 - 就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。3750系列最多可以将9个交换机堆叠在一起，构成一个统一的逻辑单元，其中总共包含468个以太网10/100端口或者252个以太网10/100/1000端口。各个10/100和10/100/1000单元可以根据网络的需要任意组合。 3750系列可以使用标准多层软件镜像（smi）或者增强多层软件镜像（emi）。smi功能集包括先进的服务质量（qos）、速率限制、访问控制列表（acl）和基本的静态和路由信息协议（rip）路由功能。emi可以提供一组更加丰富的企业级功能，包括先进的、基于硬件的ip单播和组播路由。接入层网络采用cisco ws-c2960g-48tc-l配置1000m光电模块）cisco catalyst 2960系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列，提供了线速快速以太网和千兆位以太网连接。这是一款最廉价的cisco交换产品系列，为中型网络和城域接入应用提供了智能服务。作为思科最为廉价的交换产品系列，cisco catalyst 2960系列在网络或城域接入边缘实现了智能服务。（二）外部访问网络采用cisco 3825路由器和cisco asa5510-bun-k9专用防火墙路由器采用cisco 3825路由器，cisco3600路由器包含两个同步serial口与一个以太网接口，支持e1，ddn，x.25，pstn等多种远程通信协议，同时还包括一个控制口和一个辅助端口，用于远程和本地管理、软件的安装等。另外cisco3600路由器还包含16个async serial口，可以提供远程用户拨号访问。cisco专用防火墙（三）服务器采用apc