企业网的设计与规划毕业论文.doc

企业网的设计与规划毕业论文企业网的设计与规划毕业论文 目录 摘 要 2 前言 1 第一章 企业网组建设计与需求分析 2 1 1 网络设计原则 2 1 2 网络系统结构初步规划 3 1 3 网络安全系统需求 3 1 4 总体需求 4 第二章 网络系统设计方案 7 2 1 企业网分层架构设计 7 2 2 网络搭建设备 7 2 3 网络管理 接入控制 日志审计系统 9 第三章 网络技术设计分析 11 3 1 网络 IP 地址规划 11 3 2 企业网络技术分类 12 3 3 路由协议选择 15 第四章 网络拓扑具体配置 17 4 1 网络的配置规划 17 4 2 网路的 ACL 配置 18 第五章 网络故障应急方案 21 5 1 故障预防 21 5 2 系统应急 21 5 3 其他突发事件应急 23 结束语 24 致 谢 25 参考文献 26 附录 A 27 附录 B 28 附录 英文技术资料翻译 36 南京工程学院毕业设计说明书 论文 1 前言 如今 应用将网络用作一种资源 这种方式促使以太网不断发展 数据中 心网络不断演进 对于网络的要求已经改变 它不再仅仅用于传统的客户机 服 务器交易 例如 服务器集群的部署不断增加 导致服务间流量随之不断增长 同时 网格计算也进一步增加了服务器间流量 如今 数据流量要在多方之间 进行转移 包括从客户机到服务器 服务器到服务器 服务器到存储设备 以 及存储设备到存储设备等 这些趋势显著增加了总体流量 同时流量模式的变更也导致更加依赖于网 络来提供支持服务器集群应用所需的吞吐率 现在 应用性能和网络性能均为 企业测量的目标 这意味着带宽和延迟都非常重要 同时 所发送流量的类型 也存在区别 客户机到服务器和服务器到服务器交涉及短暂的突发性传输 而 大多数服务器到存储设备和纯存储应用要求长期 稳定的讯息流 这就要求网 络架构非常灵活 并且具备出色网络智能 以支持 发现和响应网络情况的变 化 应用处理丢包的能力也存在差异 丢包对不同协议的影响有所不同 应用 会以不同的方式做出响应 一些应用可以容忍这一情况 通过重新发送所丢数 据包得以恢复 以太网能够支持这些情况 但其它应用不能容忍任何丢包情况 要求保证端到端传输没有丢包 通过以太网传输的光纤通道流量就是要求无丢 包服务的一个典型示例 为了使以太网能够满足应用的无丢包要求 企业需要 制定一种方法来通过以太网提供无损服务 IEEE 数据中心桥接的流量管理扩展 提供了这一能力 网络还必须能够支持大型的平面设计 随着中心网络不断扩展 以及客户 增添越来越多的服务器和交换机 原本已经非常庞大的现有扁平式第二层网络 正在变得更加庞大 并且这一趋势已成为一种普遍现象 本文从公司对信息的需求对和该工程给公司带来的效益来叙述了本论文的 开端 来构建一个企业局域网 从主流组网技术的分析与比较 来选择一个最 适合一个中小型企业局域网的组网分析 来实现企业网带来的经济效益 在这 个发展迅速的时代 网络的快速发展是必然的 所以企业局域网也是必然的发 展才能展现出一个企业现代化的实力 才能更方便快捷的和时代接轨 利用最 前沿的普遍的网络来来推进公司的发展 南京工程学院毕业设计说明书 论文 2 第一章 企业网组建设计与需求分析 1 1 网络设计原则 新建网络必须满足公司未来 3 5 年内的研究 生产 办公需求 遵循 可 靠性 实用性 安全保密性 先进性 经济性 开放性 的设计原则 以系统 生命周期长 管理维护方便 系统集成度高和保护投资为主要技术特色 适应 XX 公司当前应用及后续不断发展 该企业网络是具有高密度用户群的网络 为了保障全网的高速转发 企业 网网全网的组网设计的无瓶颈性 要求方案设计的阶段就要充分考虑到 同时 要交换机具有高性能 高带宽的特性 整网的核心交换要求能够提供无瓶颈的 数据交换 1 可管理 该企业网络是一个庞大而且复杂的网络 为了保障网络的正常 使用以及设备的良好维护需要一个功能强大 具有分级 分权管理能力的网管 系统 实现统一的网络业务调度和管理 降低网络运营成本 同时由于企业网 络的使用者数量较多 跨网络开展的业务众多 因此需要能够提供用户的高效 管理 以确企业网络的信息安全 2 可增值 企业网络的建设 使用和维护需要投入大量的人力 物力 因 此网络的增值性是网络持续发展基础 所以在建设时要充分考虑业务的扩展能 力 能提供丰富的宽带增值业务 如 VoIP IPV6 等 全网支持 IPV6 使网络 能适应未来需求 节约各类费用 确保新建网络在 3 5 年内的使用价值 3 安全保密性 充分考虑整个网络的稳定性 支持网络节点的备份和线路 保护 提供网络安全防范措施 能有效通过软硬件相互联动 有效保证企业网 的安全 选择设备必须具有较高的安全特性 如蠕虫病毒防御 ARP 欺骗防御 防代理 防攻击扫描 防私设 DHCP 等功能 系统采用数字签名 安全认证 密码 技术以及超级防火墙软件 代理服务器和 VPN 虚拟隧道网络技术 等来确保网内 安全 对员工的上网行为进行实时记录 并保存到日志服务器 4 可扩展与成熟性 企业网络要建设成完整统一 组网灵活 易扩充的弹 性网络平台 要具有可扩展性和可升级性 随着业务的增长和应用水平的提高 网络中的数据和信息流将按指数增长 需要网络有很好的可扩展性 并能随着 技术的发展不断升级 5 经济性 在满足高性能价格比 高性价比 的前提下 选用物廉价美 经济 南京工程学院毕业设计说明书 论文 3 实用的产品 以减少开支 6 开放性 技术选择必须符合相关国际标准及国内标准 避免个别厂家的 私有标准或内部协议 确保网络的开放性和互连互通 满足信息准确 安全 可靠 优良交换传送的需要 开放的接口 支持良好的维护 测量和管理手段 提供网络统一实时监控的遥测 遥控的信息处理功能 实现网络设备的统一管 理 1 2 网络系统结构初步规划 首先根据需求构建网络拓扑 考虑到数据传输的稳定及安全性 这里采用 三层架构体系 划分为核心层 汇聚层 接入层 各部分需求如下 1 核心层 主干网络设备采用交换机进行组网 配置两台高性能核心三层 交换机 完成各汇聚节点与核心节点以及各汇聚节点之间的数据高速路由转发 以及各节点园区网的业务汇聚 并在整个骨干网上启用 HSRP 进行冗余 进行容 灾处理 核心层为下两层提供优化的数据传输功能 它是一个高速的路由交换骨干 其作用是尽可能快地交换数据包 满足汇聚节点与核心节点之间高速通信的需 要 核心交换机应具备尽可能强大的性能 业务支持和端口接入的扩展能力 2 汇聚层 每个汇聚节点的汇聚交换机通过 2 个快速以太口与企业数据中 心的 2 台核心交换机相联 构成双核心 双归属的骨干网络 汇聚层提供基于统一策略的互连性 它是核心层和接入层的分界点 定义 了网络的边界 对数据包进行复杂的运算 在整个网络环境中 汇聚层主要提 供如下功能 部门和工作组的接入和汇聚 VLAN 的路由 HSRP 的封装 实现冗 余等 3 接入层 接入层节点采用百兆三层接入交换机 千兆光 电接口上联汇 聚交换机 支持 802 1x 接入 做到面向端点的安全控制能力 拓扑图如图 1 1 所示 1 3 网络安全系统需求 信息化网络建设 涉及与 Internet 的连接 涉及到与多个下属部分单位的 连接 WWW 应用 FTP 应用等等需要针对不同的部门 不同的人员服务 对网络 的安全提出了以下的需求 南京工程学院毕业设计说明书 论文 4 1 采用安全控制措施 实现人员的集中管理和控制 2 采用安全措施 加强对核心服务器系统的保护 3 采用安全措施 实现与 Internet 的安全连接 同时对外提供服务 4 实现集中统一的全网安全管理 减轻管理的负担 图 1 1 拓扑图 1 4 总体需求 1 系统建设的总体需求有 1 高带宽 为了支持数据 话音 视像多媒体的传输能力 在技术上要到达当前的国 际先进水平 要采用比较先进的网络技术 以适应大量数据和多媒体信息的传 输 既要满足目前的业务需求 又要充分考虑未来的发展 为此应选用高带宽 的先进技术 2 高可靠性 网络系统应具有高可靠性 高安全性 具体到本项目中 要求采用可靠性 较高的产品和网络架构 在物理层 数据链路层和网络层等多个层次都有相应 的技术 以最大程度的保证网络的正常运转 南京工程学院毕业设计说明书 论文 5 3 QoS 保证 当今网络中多媒体的应用越来越多 这类应用对服务质量的要求较高 新 的网络系统应能保证 QoS 以支持这类应用 4 多协议支持 由于网络将要存在不同的业务和办公应用系统 并基于不同的网络协议 所以网络系统应能支持多种协议 IP SNA Netbios 等 是一个开放型的网 络 支持各种协议的互连 5 易管理 易维护 由于企业的网络系统规模庞大 需要网络系统具有良好的可管理性 网管 系统具有监测 故障诊断 故障隔离 过滤设置等功能 以便于系统的管理和 维护 同时应尽可能选取集成度高 模块可通用的产品 以便于管理和维护 6 安全性 网络系统应具有良好的安全性 要充分的保证网络的安全性 应该根据相 应的管理制度和网络策略制定一套完善的安全政策 基于此安全政策 采用合 适的技术手段 以达成目标 保证系统的安全性 7 可扩展性和可升级性 系统要有可扩展性和可升级性 随着业务的增长和应用水平的提高 网络 中的数据和信息流将按指数增长 需要网络有很好的可扩展性 并能随着技术 的发展不断升级 1 1 4 4 1 1 企企业业对对业业务务的的需需求求情情况况 网络事支撑企业各种业务的基础设施 所以在规划设计网络之前 应该清 楚它的使用 使他能够随着公司的发展而扩大 预计该企业在以后 3 5 年内计 划聘用的人数 业务规模或网络数据流量的预计增长情况来估计公司的增长率 确定公司在可靠性和有效性方面的需求 包括网络故障带来的严重后果 当然 网络修复的费用 网络的安全性 web 站点和 Internet 连接性 远程访问等的 实现都对于网络的规划有至关重要的地位 经过我们对该企业的研究 预计企业在未来几年企业将进一步扩大 我们 将预留一定的升级空间方便新用户的接入 其中包括网络设备支持升级其他应 用设备的接入 全面实现计算机资源共享 对于局域网中的各种资源 通过设置 网络用户的共享权限 让他成为网络共享资源 如计算机硬盘 软驱 光驱 南京工程学院毕业设计说明书 论文 6 刻录机 各类软件和文本文件 打印机 扫描仪 调制解调器等 I O 设备 当 然随着网络设计过程的接入 我们的设计也许会有一定的调整 1 1 4 4 2 2 用用户户需需求求分分析析 对于一个企业网络而言用户的需求是基础 经营想到应用 计算机平台甚 至网络 用户需求主要包括可靠性 可用性 可升级性 安全性 及时性以及 响应时间 企业的用户群包括管理层 普通用户群的也用代表 在与用户群的适当的 交流包括问卷调查 集中访谈 个人采访中我们发现 快 是多数用户对网络 响应的要求了 其中包括下载速度 连接速度等 我们将为核心设备提供冗余 以尽量保障系统的 99 95 的可靠性 同时我们将根据企业的需求 为用户停工 远程登录 文件传输服务 在年底企业统计全年信息时候会出现企业通讯高峰 时间 我们的服务器将以满足高峰期通讯为基础选型的 当然我们将提供防火 墙等安全设备 保障用户信息 物理资源的机密性 网整性和确实性 提供一 定的数据加密 自动备份 发生问题的恢复等 当然也包括网络应提供的服务 资源共享 办公自动化 远程控制 电子邮件 www 应用等 1 1 4 4 3 3 企企业业对对网网络络的的需需求求 对于一个企业网络而言用户的需求是基础 经营想到应用 计算机平台甚 至网络 用户需求主要包括可靠性 可用性 可升级性 安全性 及时性以及 响应时间 企业的用户群包括管理层 普通用户群的也用代表 在与用户群的适当的 交流包括问卷调查 集中访谈 个人采访中我们发现 快 是多数用户对网络 响应的要求了 其中包括下载速度 连接速度等 我们将为核心设备提供冗余 以尽量保障系统的 99 95 的可靠性 同时我们将根据企业的需求 为用户停工 远程登录 文件传输服务 在年底企业统计全年信息时候会出现企业通讯高峰 时间 我们的服务器将以满足高峰期通讯为基础选型的 当然我们将提供防火 墙等安全设备 保障用户信息 物理资源的机密性 网整性和确实性 提供一 定的数据加密 自动备份 发生问题的恢复等 当然也包括网络应提供的服务 资源共享 办公自动化 远程控制 电子邮件 www 应用等 南京工程学院毕业设计说明书 论文 7 第二章 网络系统设计 方案 2 1 企业网分层架构设计 依据企业网的分层架构 核心层 汇聚层 接入层 Internet 接入 网络管理 接入控制 日志审计系统 按照需求分层设计 2 2 网络搭建设备 选择 CISCO 及 Juniper 的设备及技术来组建企业网 2 2 2 2 1 1 核核心心层层设设计计 作为全网数据和业务的核心 网络上所有业务的数据流都要经过核心交换 机进行交换 因此它的安全性 可靠性和高性能对于全网数据和业务应用的正 常开展至关重要 我们采用的思科网络公司万兆核心路由交换机 C3750G 系列 基于新一代核心交换机的设计理念 在本项目中具备如下特色 3750 系列交换机是一个创新的产品系列 它结合业界领先的易用性和最高 的冗余性 里程碑地提升了堆叠式交换机在局域网中的工作效率 这个产品系 列采用了最新的思科 StackWise 智能堆叠技术 不但实现高达 32Gbps 的堆叠互 联 还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起 便于用户建 立一个统一 高度灵活的交换系统 就好像是一整台交换机一样 这代表了堆 叠式交换机新的工业技术水平和标准 3750 系列最多可以将 9 个交换机堆叠在一起 构成一个统一的逻辑单元 其中总共包含 468 个以太网 10 100 端口或者 252 个以太网 10 100 1000 端口 各 个 10 100 和 10 100 1000 单元可以根据网络的需要任意组合 3750 系列可以使用标准多层软件镜像 SMI 或者增强多层软件镜像 EMI SMI 功能集包括先进的服务质量 QoS 速率限制 访问控制列表 ACL 和基 本的静态和路由信息协议 RIP 路由功能 EMI 可以提供一组更加丰富的企业 级功能 包括先进的 基于硬件的 IP 单播和组播路由 具体见附录 B 2 2 2 2 2 2 汇汇聚聚层层设设计计 汇聚层在骨干网络中起到承上启下的作用 应具备可靠性 高性能和多业 南京工程学院毕业设计说明书 论文 8 务兼顾的特点 可以作为企业以后拓展用 不过我们依然采用的思科网络公司 万兆核心路由交换机 C3750G 系列 在本项目中具备如下特色 1 多协议支持 2 支持服务质量 QOS 3 支持访问控制列表 ACL 2 2 2 2 3 3 接接入入层层设设计计 在一个企业网络里 接入交换机具有数量多 部署分散的特点 且直接负 责终端的接入 应具备可管理性强 端口控制能力强 性价比高的特点 我们 选用的思科 C2960 24TC L 系列二层接入交换机 具备如下优势 1 支持创新的堆叠技术 IRF 使堆叠组完全可看作一个设备 使可管理性 大幅度提高 2 具有良好的端点控制能力 支持丰富的 MAC IP 端口的灵活绑定 3 VLAN 能力强 支持最高的 4096 个 VLAN 具体见附录 B 2 2 2 2 4 4 I In nt te er rn ne et t 接接入入设设计计 对外访问区负责全网对 INTERNET 的访问 同时承载太重门户网站的对外发 布和 EMAIL 系统 虽然现在网络上 80 的安全隐患都在内网 但互联网出口的安全问题仍然是 对企业网络最具威胁的区域 黑客入侵 企业机密数据外泄 新病毒的导入都 几乎全部发生在这里 所以互联网接入设计中 安全设计仍然放在首位 我们采用路由器 防火墙 入侵防御系统 IPS 的方式来构建对外访问区 1 路由器 路由器是连接内外网的纽带 路由器的性能直接影响对于宝贵 带宽的使用率 此外对于中小型企业网出口 由于内部网络用户数量有一定的 数量 路由器应该具备高性能的 NAT 转发能力 我们采用思科的 CISCO 1841 高 性能路由器 部署在太重网络的互联网出口 该设备在本项目中的技术优势如 下 1 高性能 具备 4 5Mpps 的包转发性能 满足未来三条千兆线路 千兆 链路线速转发理论值 1 488Mpps 的全线速转发 2 强大的 NAT 能力 CISCO 1841 设备具备并发 NAT 连接的能力 且支持 南京工程学院毕业设计说明书 论文 9 丰富的 NAT 特性 提供 NAT 日志的输出 可配合日志审计系统 做到对于对外 访问的纪录和跟踪 3 深度业务感知 CISCO 1841 路由器具备思科专利特色的深度业务感知 功能 可以根据流量的协议类型对其加以识别 分类 限制或阻断 可将常规 应用协议流量限制 BT 等带宽滥用流量或其他非常规流量由 IPS 进行限制 2 防火墙 使用原有 Juniper 防火墙 划分 DMZ 非军事区域 区域 通 过原有华为 5000 千兆交换机 连接门户服务器及 EMAIL 服务器等 配置策略偏 重安全区划分 安全抵御由入侵防御系统着重完成 3 入侵防御系统 配置 TippingPoint X505 具备 100M 吞吐量 满足当前 接入带宽 重点配置对于黑客入侵 蠕虫病毒 木马程序的防范 2 3 网络管理 接入控制 日志审计系统 1 CiscoWorks LMS 网络管理软件 CiscoWorks 是思科公司推出的网络管理产品 LMS LAN Management Solution 是定位于局域网的网络管理产品 它可以对 LAN 环境中的设备进行维 护 监测 排错 也可以让网络管理员通过自己的网络浏览器有效的管理整个 网络及其设备 它采用了基于 Web 的客户端 服务器模式 也可以与其它厂商的 网络管理工具集成使用 思科公司的网管产品是按照不同的使用环境分类的 比如 我们介绍的 LMS 是在局域网环境中使用的 在广域网环境中使用的是 RWAN CiscoWorks Routed WAN Management 它主要适应广域网中对响应时间和访问控制的管理需要 在 IP 语音环境中是 ITEM IP Telephony Environment Monitor 它主要适用于管 理传输 IP 语音流量网络 在 VPN 环境中是 VMS VPN Security Management Solution 它用于管理和监测 VPN 及其安全措施 CiscoWorks LMS 包括一组应用程序和工具对局域网进行配置 监测和排错 这些工具包括错误管理 网络拓扑的察看 设备配置的管理 二层 三层路由分 析 语音路由追踪 流量监测 端站点的流量追踪 设备的排错等等 2 接入认证系统 思科 安全访问控制服务器为思科智能信息网络提供基于身份的全面的访 问控制解决方案 它是用于管理企业网络用户 管理员和网络基础设施资源的 集成和控制层 南京工程学院毕业设计说明书 论文 10 思科 安全访问控制服务器为思科智能信息网络提供基于身份的全面的访 问控制解决方案 它是用于管理企业网络用户 管理员和网络基础设施资源的 集成和控制层 SecureCisco ACS ACS 是具高可扩展性的高性能访问控制服务器 可作 为集中的 RADIUS 和 TACACS 服务器运行 Cisco Secure ACS 将验证 用户访 问和管理员访问与策略控制结合在一个集中的身份识别网络解决方案中 因此 提高了灵活性 移动性 安全性和用户生产率 从而进一步增强了访问安全性 它针对所有用户执行统一安全策略 不受用户网络访问方式的影响 它减轻了 与扩展用户和网络管理员访问权限相关的管理负担 通过对所有用户帐户使用 一个集中数据库 Cisco Secure ACS 可集中控制所有的用户权限并将他们分配 到网络中的几百甚至几千个接入点 对于记帐服务 Cisco Secure ACS 针对网 络用户的行为提供具体的报告和监控功能 并记录整个网络上每次的访问连接 和设备配置变化 这个特性对于企业遵守 Sarbanes Oxley 法规尤其重要 Cisco Secure ACS 支持广泛的访问连接 包括有线和无线局域网 宽带 内容 存储 IP 上的语音 VoIP 防火墙和 VPN 等 Cisco Secure ACS 是思科基于身份的网络服务 IBNS 架构的重要组件 Cisco IBNS 基于 802 1x 用于基于端口的网络访问控制的 IEEE 标准 和可扩展 验证协议 EAP 等端口安全标准 并将安全验证 授权和记帐 AAA 从网络外围 扩展到了 LAN 中的每个连接点 您可在这个全新架构中部署新的策略控制工具 如每个用户的配额 VLAN 分配和访问控制列表 ACL 这是因为思科交换机 和无线接入点的扩展功能可用于在 RADIUS 协议上查询 Cisco Secure ACS 3 CS MARS 日志审计系统 思科 安全监控分析和响应系统 MARS 是一个高性能 可扩展的威胁管理 监控和防御设备系列 将传统安全事件监控与网络智能 上下文关联 因素分 析 异常流量检测 热点识别和自动防御功能相结合 可帮助客户更为高效地使用 络和安全设备 通过结合这些功能 思科安全 MARS 可帮助公司准确识别和消除 网络攻击 且保持网络的安全策略符合性 南京工程学院毕业设计说明书 论文 11 第三章 网络技术设计分析 3 1 网络 IP 地址规划 1 IP 地址合理规划的意义 在企业网网络规划中 IP 地址方案的设计至关重要 好的 IP 地址方案不仅 可以减少网络负荷 还能为以后的网络扩展打下良好的基础 IP 地址的合理是保证网络顺利运行和网络资源有效利用的关键 企业网 IP 地址的分配应该尽可能地利用申请到的地址空间 充分考虑到地址空间的合理 使用 保证实现最佳的网络内地址分配及业务流量的均匀分布 具体地来说 IP 地址的合理规划有如下的意义 减少对各种资源 内存 CPU 的处理能力以及网络带宽等 的需求 IP 地址的合理规划有利于网络中路由的汇聚 因而可以使得核心交换机中的路由 表数目以及链路状态数据库等占用的内存减少 同时更新所占用的网络带宽也 降低了 有利于 IP 地址空间的合理使用 优化业务流量的分布 有利于故障诊断 IP 地址空间的分配与合理使用与网络拓扑结构 网络组织及路由政策有非 常密切的关系 将对校园网的可用性 可靠性与有效性产生显著影响 应充分 考虑本地网对 IP 地址的需求 以满足未来业务发展对 IP 地址的需求 2 IP 地址规划 根据国际互联网络技术发展的趋势 结合当今企业的现实情况 我们建议 IP 地址规划遵循如下原则来设计 网络出口 对外服务器群采用电信 cernet 公网 IP 地址 企业网采用先地区后业务划分方法进行 IP 地址分配 地区位 8 位 业务功能位 8 位 子网位 主机位 资源中心公共服务器尽量采用合法 IP 地址 企业网所有网络设备均配置内部管理 IP 地址 防止非法用户登录 各接入点根据现有信息点数 并预留 30 40 的扩容率 分配连续 IP 地址 南京工程学院毕业设计说明书 论文 12 段 各核心节点下联各接入点分配连续 IP 地址段 统一在核心节点提供 IP 路 由 并做路由聚合 各核心节点内部根据用户群体地理位置划分 VLAN 并将 VLAN 网关 IP 设置 在各核心节点交换机上 3 2 企业网络技术分类 在企业园区中使用的最多也是最广泛的技术就是交换技术 交换技术的成 熟带动着这个网络的发展 而企业网是基于这个交换架构的网络 因此在交换 式的网络中有众多技术 VLAN VTP TRUNK 三层交换 STP HSRP VRRP ETHERCHANNEL DHCP Multi PPP 等 下面将分别介绍这些 技术的应用 1 VLAN 技术 Virtual Local Area Network 又称虚拟局域网 是指在交换局域网的 基础上 采用网络管理软件构建的可跨越不同网段 不同网络的端到端的逻辑 网络 一个 VLAN 组成一个逻辑子网 即一个逻辑广播域 它可以覆盖多个网络 设备 允许处于不同地理位置的网络用户加入到一个逻辑子网中 从技术角度讲 VLAN 的划分可依据不同原则 一般有以下三种划分方法 1 基于端口的 VLAN 划分 这种划分是把一个或多个交换机上的几个端口 划分一个逻辑组 这是最简单 最有效的划分方法 该方法只需网络管理员对 网络设备的交换端口进行重新分配即可 不用考虑该端口所连接的设备 2 基于 MAC 地址的 VLAN 划分 MAC 地址其实就是指网卡的标识符 每一块 网卡的 MAC 地址都是惟一且固化在网卡上的 MAC 地址由 12 位 16 进制数表示 前 8 位为厂商标识 后 4 位为网卡标识 网络管理员可按 MAC 地址把一些站点 划分为一个逻辑子网 3 基于路由协议的 VLAN 划分 路由协议工作在网络层 相应的工作设备 有路由器和路由交换机 即三层交换机 该方式允许一个 VLAN 跨越多个交换 机 或一个端口位于多个 VLAN 中 在 XX 公司的交换网络中使用基于端口的 VLAN 技术 将设备的管理 VLAN 定义为 VLAN1 将办公业务划分为 VLAN2 和 VLAN3 将总部服务器划入 VLAN100 可以控制广播风暴的范围 提高网络整体 安全性 并且使得网络管理简单 直观 南京工程学院毕业设计说明书 论文 13 2 VTP 技术 VTP VLAN Trunking Protocol 是 VLAN 中继协议 也被称为虚拟局域网 干道协议 它是一个 OSI 参考模型第二层的通信协议 主要用于管理在同一个 域的网络范围内 VLANs 的建立 删除和重命名 在一台 VTP Server 上配置一 个新的 VLAN 时 该 VLAN 的配置信息将自动传播到本域内的其他所有交换机 这些交换机会自动地接收这些配置信息 使其 VLAN 的配置与 VTP Server 保持 一致 从而减少在多台设备上配置同一个 VLAN 信息的工作量 而且保持了 VLAN 配置的统一性 VTP 有三种工作模式 VTP Server VTP Client 和 VTP Transparent 一 般 一个 VTP 域内的整个网络只设一个 VTP Server VTP Server 维护该 VTP 域 中所有 VLAN 信息列表 VTP Server 可以建立 删除或修改 VLAN VTP Client 虽然也维护所有 VLAN 信息列表 但其 VLAN 的配置信息是从 VTP Server 学到的 VTP Client 不能建立 删除或修改 VLAN VTP Transparent 相当于是一上独立 的交换机 它不参与 VTP 工作 不从 VTP Server 学习 VLAN 的配置信息 而只 拥有本设备上自己维护的 VLAN 信息 VTP Transparent 可以建立 删除和修改 本机上的 VLAN 信息 XX 公司的 VLAN 中包含设备管理 VLAN 业务 VLAN 服务器 VLAN 总部和分 部中的交换设备较多 因此选择 VTP 技术来简化 VLAN 的配置 是一种较好的方 案 3 TRUNK 技术 链路聚合 Trunk 是一种封装技术 它是一条点到点的链路 链路的两端 可以都是交换机 也可以是交换机和路由器 还可以是主机和交换机或路由器 Trunk 的主要功能就是仅通过一条链路就可以连接多个 VLAN 4 三层交换 第三层交换的实质是路由 类似于 IP 子网间的数据交换机制 当网络内数 据流量的分布偏离 80 20 规则 而且流量必须大量跨越子网边界时 传统的路 由器就成了交通中的瓶颈 第三层交换技术的提出就是试图消除这个瓶颈 第 三层交换设备可以保证在不改变 IP 编址方式和网络连接方式的前提下消除网络 中的路由瓶径 并且实现第二层交换无法提供的第三层包转发和过滤能力 系统划分VLAN一方面隔离了广播 从而有效利用系统带宽 另一方面也提 高了系统的安全性 但划分了VLAN之后各个子网之间需要路由 用传统的路由 南京工程学院毕业设计说明书 论文 14 器可以解决这一问题 但即使性能再高的路由器也会成为系统性能的瓶颈 而 只有三层交换才能最好的解决这一问题 它以二层交换的性能实现三层交换的 功能 本次方案中选择的Catalyst3560交换机支持VLAN技术 可以提供Layer3 网 络层 的线速路由 三层交换 使系统性能与安全性获得最佳平衡 5 STP 技术 即 Spanning tree protocol STP 协议是一个二层的链路管理协议 它在 提供链路冗余的同时防止网络产生环路 定义在 IEEE 802 1D 中 是一种链路 管理协议 它为网络提供路径冗余同时防止产生环路 一旦二层存在环路 会 产生广播风暴 MAC 表不稳定和使终端收到同个帧的多个副本等问题 为使以 太网更好地工作 两个工作站之间只能有一条活动路径 网络环路的发生有多 种原因 最常见的一种是有意生成的冗余 万一一个链路或交换机失败 会有 另一个链路或交换机替代 由于在 XX 公司总部和分部的核心层均使用了双机单模块的设备冗余 存在 二层环路 因此需要在接入层和核心层的交换机上使用 STP 技术 以便在提供 路径冗余的同时在逻辑上断开环路 6 帧中继 FR 技术 帧中继是在 X 25 分组交换技术的基础上发展起来的一种快速分组交换技术 是改进了的 X 25 协议 它是在用户与网络接口之间提供用户信息流的双向传送 并保持顺序不变 的一种承载业务 帧中继是以帧为单位 在网络上传输 并将流量控制 纠错 等功能 全部交由智能终端设备处理的一种新型高速网络接口技术帧中继是当 前数据通信中的一种广为应用的广域网技术 作为高速数据接口 帧中继可以 实现局域网的 LAN 互联等应用 帧中继业务是在用户与网路接口 UNI 之间 提供用户信息流的双向传送 并保持原顺序不变的一种承载业务 用户与网路 接口之间以虚电路进行连接 对用户信息流进行统计复用 帧中继网路提供基 本业务和用户选用业务 7 HSRP 热备份路由器协议 HSRP 的设计目标是支持特定情况下 IP 流量失败转 移不会引起混乱 并允许主机使用单路由器 以及即使在实际第一跳路由器使 用失败的情形下仍能维护路由器间的连通性 换句话说 当源主机不能动态知 南京工程学院毕业设计说明书 论文 15 道第一跳路由器的 IP 地址时 HSRP 协议能够保护第一跳路由器不出故障 该 协议中含有多种路由器 对应一个虚拟路由器 HSRP 协议只支持一个路由器代 表虚拟路由器实现数据包转发过程 终端主机将它们各自的数据包转发到该虚 拟路由器上 负责转发数据包的路由器称之为主动路由器 Active Router 一旦主动 路由器出现故障 HSRP 将激活备份路由器 Standby Routers 取代主动路由 器 HSRP 协议提供了一种决定使用主动路由器还是备份路由器的机制 并指定 一个虚拟的 IP 地址作为网络系统的缺省网关地址 如果主动路由器出现故障 备份路由器 Standby Routers 承接主动路由器的所有任务 并且不会导致主 机连通中断现象 由于在 2 2 节所示的企业网络中的核心层使用了 2 台核心交换机做备份 则在此时就可以通过 HSRP 来实现流量负载 通过这一技术可以大大的缓解核心 层中设备使用过于集中而备份设备出现闲置的状况 8 DHCP 动态主机配置协议 DHCP 是一种使网络管理员能够集中管理和自动分配 IP 网络地址的通信协议 在 IP 网络中 每个连接 Internet 的设备都需要分 配唯一的 IP 地址 DHCP 使网络管理员能从中心结点监控和分配 IP 地址 当 某台计算机移到网络中的其它位置时 能自动收到新的 IP 地址 DHCP 使用了租约的概念 或称为计算机 IP 地址的有效期 租用时间是不 定的 主要取决于用户在某地联接 Internet 需要多久 这对于教育行业和其 它用户频繁改变的环境是很实用的 通过较短的租期 DHCP 能够在一个计算 机比可用 IP 地址多的环境中动态地重新配置网络 为了给终端动态分配 IP 地址 我们在 XX 公司总部的二个核心交换机和分 部的路由器 R7 上均配置 DHCP 服务 以实现 IP 地址按要求动态分配和 DHCP 服 务的备份 3 3 路由协议选择 在设计大中型网络时 由于静态路由协议设置麻烦 对网络的变化适应性 差 一般不予采用 而今作为路由设计的补充 现在 常用的动态路由协议有 以下四种 3 3 3 3 1 1 R RI IP P 南京工程学院毕业设计说明书 论文 16 RIP 是一种 Distance Vector 路由协议 有以下特点 简单 广泛使用 技术成熟 信息源与目的地间限制在 15 个 hops 或路由 器 之内 超过 15hops 将认为不可及 RIPv1 不支持 VLSM Variable Length Subnet Mask 不可能有效地利用 IP 地址 每 30 秒传送路由信息将耗费大量的带宽 在大型网络及低速链路中 更明显 路由收敛较慢 此算法将经历 Hold down 180S 的周期 RIP 在计算路 径时 只考虑 hop count 不考虑网络链路的延迟和 cost RIP 网络适用于平 面结构的网络 RIP 适用于中 小型网络 一般网络的路由器数目少于 20 个 3 3 3 3 2 2 O OS SP PF F OSPF 是 Link State 层次化拓扑的路由协议 有以下特点 仅用于 IP 网络 无 hop count 的限制 适于大型网络 支持 VLSM 用 hello 通知其他路由器本路由器工作正常 通过 IP multicast 发送链路更新的 信息 并且仅在路由发生变化是进行更新 由此优化路由器的资源和带宽 路由收敛较快 在路径的选择中 metric 主要考虑链路的延迟 支持相同 cost 的多条链路路由 较好地实现负载均衡 cost 100 000 000 bandwidth in bps 通过划分区域更好的规划网络 减少路由更新信息 在网络设计中推 荐每个 AS 区域中路由器少于 50 个 3 3 3 3 3 3 I IG GR RP P IGRP 是 Distance Vector 路由协议 由 CISCO 开发 用于大型 IP 及 OSI 网 络 有以下特点 不支持 VLSM Variable Length Subnet Mask 不可能有效地利用 IP 地址 每 90 秒传送路由信息将耗费部分的带宽 在路径的选择上采用组合的 metrics 包括 延迟 带宽 可靠性 MTU 和负载 支持多条路径路由 3 3 3 3 4 4 E EI IG GR RP P EIGRP 是 intra domain 先进的 Distance Vector 路由协议 由 CISCO 开 发和支持 结合了距离向量 DV 协议和连接状态 LS 协议的优点 采用了 DUAL 算法达 到网络的快速收敛 支持层次化和平面网络结构 支持 VLSM 网络地址分配 可 在任意位边界对直接相连的网络进行路径叠合 只有在网络变化时 EIGRP 才发 送路由表更新信息 而且只发给相关路由器 因此广域网带宽浪费很少 DUAL 南京工程学院毕业设计说明书 论文 17 算法使其具有最好的收敛性 采用五维参数来决定最佳路径 带宽 时延 可靠性 线路负载和最大数 据包尺寸 EIGRP 路由算法自动根据这五项参数值动态计算最优路径 随时更 新 它采用模块化软件支持 IP IPX 和 AT 协议 RIP 由于性能和扩展性差而逐渐推出了历史的舞台 EIGRP 本身的设计定位 是取代 IGRP 的 所以 IGRP 也逐渐淡出 3 3 3 3 5 5 综综合合的的选选择择 根据以上的比较 EIGRP 和 OSPF 都比较适合大型网络 并且两者均有很多 成功案例 但 EIGRP 属于 Cisco 公司专有的路由协议 兼容性较差 而 OSPF 的 开放性和对备份线路的特别支持特性 适合作为中大规模网络 故建议采用 OSPF 协议作为设计广域网的路由协议 路由设计 在核心交换机上启用三层路由功能 实现各 VLAN 间的通信 同 时在核心路由器上启用动态路由协议 OSPF 支持变长子网掩码 在接入的工作 站和服务器上配置缺省网关 同时配合国家数据及主控中心 各省及控制中心 启动 OSPF 动态路由协议 并做好相应的路由协议参数配置 从而实现全网统一 的大的 OSPF 动态路由网络 将区域数据中心的路由器划入 OSPF 的 area0 内 与之相连的下级节点的设 备再分别划分为不同的 OSPF area 可以各级节点为单位 不同的级别节点划 分不同的区域 这将最大限度的利用 OSPF 的分区管理优势 OSPF 在路径的选择中 metric 主要考虑链路的延迟 如果不同的路径有相 同 cost 那么 OSPF 可以在这些不同的路径上实现负载均衡 如果不同的路径 的也 cost 不同 那么 OSPF 会有先启动 cost 值小 cost 值越小 则链路的延 迟越小 的那条路径 如果该路径失效 则 OSPF 会启动 cost 大的其他路径 OSPF 的这点功能可以被用来在主备线路或多条链路上实现负载均衡功能或主备 线路之间自动切换功能 为了保证网络上的工作站和服务器的最大可用性 在核心交换机上对不同 的 VLAN 分别使用 HSRP 热备份路由协议 虚拟出一个缺省网关 在一台核心交 换机失效时 仍可以保证工作站和服务器的正常运行 在最大程度上保证了用 户业务正常运行 南京工程学院毕业设计说明书 论文 18 第四章 网络拓扑具体配置 4 1 网络的配置规划 1 企业网划分为行政中心 财务部 市场销售部 人力资源部 行政中心 IP 地址从 DHCP 服务器中获取该网段为 192 168 10 0 24 财务部 IP 地址段为 192 168 20 1 24 市场销售部 IP 地址段为 192 168 30 1 24 人力资源部 IP 地址段为 192 168 40 1 24 1 数据及 DHCP 服务器 IP 地址段为 192 168 10 0 24 2 对外路由器 IP 地址为 201 1 123 1 3 防火墙路由器 IP 地址为 192 168 12 2 192 168 23 2 4 行政中心能 市场销售 人力资源能对外访问 财务部不能 5 最后在核心交换机上创建 VLAN 10 VLAN 20 VLAN 30 VLAN 40 行政 中心和服务器划入 VLAN 10 财务部划入 VLAN 20 市场销售部划入 VLAN 30 人 力资源部划入 VLAN 40 2 网络的路由协议配置 采用 OSPF 协议 路由器的配置命令格式 Router config router ospf 1 Router config router network A B C D wild mask area 0 配置如下 Router config router ospf 110 启用 OSFP 协议 Router config router router id 1 1 1 1 路由器标示 Router config router log adjacency changes 打开同步信息 Router config router network 192 168 23 2 0 0 0 0 area 0 把该 网段宣告进该区域 Router config router network 192 168 12 2 0 0 0 0 area 0 同 上 4 2 网路的 ACL 配置 ACL 是一系列运用到网络地址或者上层协议上的允许或拒绝指令的集合 一 个 ACL 就是一组指令 规定数据报如何进入路由器的某个端口 如何在路由器 内转送 如何离开路由器的某个端口 ACL 允许控制哪些客户端可以访问的网 络 在 ACL 中的条件可以是筛选某些主机允许或者禁止访问的部分网络 也可 南京工程学院毕业设计说明书 论文 19 以是允许或者禁止用户访问某一类协议 如 FTP HTTP 等 ACL 有如下几种 1 标准 ACL 是最早的 ACL 类型 标准 ACL 通过对 IP 数据包中源地址和 ACL 中配置的地址进行比较来控制流量 2 扩展 ACL 扩展 ACL 通过比较 IP 数据包中源地址 目的地址与 ACL 中 配置地址的差别来控制流量 3 IP ACL 在 CISCO 软件中 取代编号 允许对标准 ACL 和扩展 ACL 进行命名 4 反身 ACL 反身 ACL 允许通过上层会话信息对 IP 数据包进行过滤 主 要用来允许出站流量和限制入站流量 从而响应在路由器内部创建的会话 5 注释 IP ACL 目录 注释使得 ACL 更加容易理解并且可以方便地应用 于标准或扩展的 ACL 中 6 基于上下文的访问控制 CBAC 检查防火墙和管理传输协议 TCP 和用 户报文 UDP 会话状态信息的流量 将这些状态信息用于访问控制列表中 从而 实现网络安全 ACL 指令的放置顺序是很重要的 当路由器在决定是否转发或者阻止数据报 的时候 软件会按照 ACL 中指令的顺序依次检查数据报是否满足某一个指令条 件 当检测到某个指令条件满足的时候 就不会再检测后面的指令条件 在每一个路由器的端口 可以为每一个支持的 Routed Protocols 创建 ACL 对于某些协议 可以创建多个 ACL 一个用于过滤进入端口的数据流 inbound 一个用于过滤流出端口的数据流 outbound 4 4 2 2 1 1 标标准准 A AC CL L 的的配配置置 标准 ACL 基于源地址和通配掩码 对源地址进行检查 可以允许或者拒绝 整套协议栈 可以提供数据流过滤控制 它的 access list number 是 1 到 99 如图 4 1 所示 使用标准版本的 access list 全局配置命令来定义一个带有数字的标准 ACL 命令如下 Router config access list access list number deny permit source source wildcard 南京工程学院毕业设计说明书 论文 20 图 4 1 ACL的种类 使用这个命令的 no 形式 可以删除一个标准 ACL 如图 4 2 所示 语法是 Router config no access list access list number 图 4 2 删除一个标准ACL 4 4 2 2 2 2 通通配配掩掩码码 w wi il ld dc ca ar rd d m ma as sk k 通配掩码是分成 4 字节的 32bit 数 其与子网掩码不同 在子网掩码中 0 1 决定了相应主机 IP 地址是网络位 子网位还是主机位 通配掩码与 IP 地 址位位配对 相应位为 0 1 用于表示如何对待 IP 地址中的相应位