网络技术 网络工程毕业设计最终版本

1、 毕业设计课题名称 中小型企业网络的分析和设计 专 业 计算机网络专业 指导教师 学生姓名 完成时间 2009年12月 毕业设计任务书指导老师： 一、毕业设计课题名称 中小型企业网的建设与设计二、毕业设计任务 毕业设计任务要求学生根据中小型企业网络的需求进行分析，规划并设计一个网络，得出一个具体的拓扑结构图，并对网络设备、服务器、计算机进行选型和安装配置，实现各种网络功能，满足中小型企业的需求。具体要求如下： 1、要向外发布自己的企业网站内容，实现广域网的连接。 2、在企业内架设一个FTP服务满足职工公共资源共享。 3、为了数据安全和方便管理，企业各个部门分配置一个不同的VLAN. 4、为了更

2、有效的管理，员工用户实行域用户管理，所有员工的操作由域控制器同一安排。 5、为了方便用户与网络管理，在企业网中实现动态地址分配，并且要满足第三点的需求。 6、控制员工上班时间不准上网 7、除了老总以外，其他人员不准访问技术开发部、财务部和销售部的机器三、毕业设计要求 根据培养高级技术实用人才这一目标的要求，选题从实际情况、计算机网络应用基本范畴出发，选取适合于高职学生要达到的实际能力和水平，培养学生综合运用所学的知识与技能分析与解决问题的能力，并巩固和扩大学生的课堂知识专题作为毕业设计题目。同时应能使学生在规定的时间内，经过努力可以按时完成设计，取得相应的成果。对于有些可能超出所学知识范围的题

3、目，应该通过自学或在实践中学习进行弥补。通过毕业设计，提高学生的计算机专业技能，培养学生的文献检索能力、开发设计能力、创新思维能力、独立工作能力与协作工作能力、培养学生严谨务实的科学作风与奉献精神，使学生受到科学研究、专业设计和撰写技术报告的基本训练。四、 毕业设计过程及进度计划 1、企业网总体规划与设计阶段（一周）； 2、企业网中网络设备的安装和配置、各个服务的实现与优化（四周）； 3、局域网测试修改完备阶段（二周）； 4、撰写毕业设计论文阶段（二周）； 5、毕业答辩（一周）；五、毕业设计论文格式要求毕业设计论文或报告主要包括以下部分：（1）封面（2）毕业设计任务书（3）摘要与关键词（4）目

4、录（5）引言（6）正文（7）参考文献目录目录4第一部分 前言51.1论文背景51.2研究的目的和意义51.3本文采用的方法、工作、技术5第二部分 网络需求分析和设计目标72.1创新电子网络现状以及问题72.2企业网络需求分析8第三部分 总体结构设计113.1企业网络结构特点认识113.2企业网网络设计原则113.3拓扑设计123.4网络技术选型163.5综合布线方案203.6网络设备选型233.7服务器263.8IP编址27第四部分 服务器和网络设备配置304.1服务器配置304.2网络设备的配置38第五部分 网络系统安全设计425.1网络安全介绍425.2网络安全设计原则435.3网络系统安

5、全解决方案44第六部分 致谢47主要参考文献48第一部分 前言1.1论文背景目前，全球已掀起一股信息高速公路规划和建设的高潮，作为其雏形，国际互联网（Internet）上相连的计算机已近达数千万台，全球有数亿人在Internet上进行信息交换和各种业务处理。Internet上积累了大量信息资源，这些资源涉及人类从事的各个领域、行业及社会公用服务信息，成为信息时代全球可共享的最大信息基地。随着技术不断的更新，因特网上的电子商务目前已经被公认为现代商业的发展方向，这是一个发展潜力巨大的市场，具有诱人的发展前景。在这种情形下，企业网络开始积极介入，参与网络信息服务与电子商务的竞争。同时技术革命的来临

6、，新的技术不断的被发现，网络连接速度，网络安全技术不断发展提高。改革、更新网络适应时代潮流已经成为大小企业迫切需求。1.2研究的目的和意义信息化高速发展的今天，企业高性能的建设已经成为提升企业核心竞争力的关键因素。企业网已经越来越多地被人们提到，利用网络技术，现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。还有文件共享、办公自动化、WWW服务、电子邮件服务以及对外发布企业信息、企业网络内外的访问控制以及网络安全这些直接关系到企业能否获得关键的竞争优势。目前我国企业尤其是中小企业网络建设正在如火如荼地开展着。本方案为中小型企业网络设计方案，旨在在电子商务竞争中提升企业核心竞争力

7、，显示企业的科技实力和前景。1.3本文采用的方法、工作、技术本方案设计的主题包括企业背景分析、网络需求分析、网络建设目标、网络体系结构的设计以及网络安全等。本设计方案的目标是以尽量保留原有可用网络前提下，改进、扩充原有网络为原则，实现对企业局域网全面的改革更新。以能够完成新的时期的网络应用需求，具备后期的扩展功能 ，为企业以后的发展做好铺垫。主要是采用现在最流行的万兆网络结合市场非常成熟的千兆以太网络，利用cisco主流品牌的硬件实现网络互联、访问控制、防火墙技术等。同时结合先进的管理技术实现企业网络最大效益。 关键词：企业网 网.络设计 设计方案 分析与设计第二部分 网络需求分析和设计目标2

8、.1创新电子网络现状以及问题2.1.1创新电子背景湖南创新科技电子（简称：创新电子）创办于2001年，现国内有1个分支机构和5个大的部门另加科研中心、营销大楼和三个厂区。整个集团员工4000多名。作为长沙市重点工业企业、湖南省著名电子企业和湖南省电子设备出口企业重点单位和湖南省百强企业，市场潜力巨大。2.1.2原有企业网络状况原有创新总部的主干网络采用二层设计,设备属于比较早期的产品，主要是通过Cisco1900以10M端口连接下级交换机及HUB。用户接入主要采用以太网交换机和集线器。总部与分支机构目前没有数据连接。整个创新电子的总部网络设备有一条128K专线通过Cisco2511与Inter

9、net相连接。WEB服务器、FTP服务器、数据库服务器主要集中于中心机房，各子网分别通过100M双绞线访问中心机房的服务器群，通过中心路由器与外界连接。旧网不足及需求分析如下：1中心交换机三台，出现故障就会影响网络的应用、带宽有限。不能实现各个分支机构、部门的隔离。2原有的厂区、营销中心大楼和科研中心已完成早期局域网建设并接入中心接点。有部分新建筑无法与内部网络连接。现需要将所有的接点与中心相连接。3随着业务扩大，员工数量巨增,联网工作站数量增加，网络规模需要扩大, 网络速度也已跟不上实际应用需要的速度，接入层采用集线器设备与中心交换机相连接，集线器是一个半双工的设备，产生许多广播，经常出现延

10、时过大、丢包率高的现象。再加上许多新应用的逐步引入，对网络的依赖和带宽的需求会越来越高。 4旧网络公司总部与新的分支没有数据连接。由于业务的扩展，分公司都希望企业总部能够与各分支机构互联互通。分支机构和办公区软件应用情况参差不齐，不具开放性和可扩充性，不能实现集中、实时管理和海量数据处理的需要。5新型应用需求增加，并发数据量增大，突发性操作频繁，对原有网络的安全性、实时性提出挑战。具体表现在各种企业应用需要升级，例如财务软件、数据仓库、ERP（企业资源计划）、防病毒软件、电子商务等。6今后根据实际应用，还将逐步增加相应的服务器，如DHCP、ERP等必须的服务器和办公自动化、销售、财务等应用级服

11、务器，随着电子商务全面开展，服务器将有可能大量的增加。安全要求越来越高 经过仔细的商讨，比较和预算核算决定放弃原有企业的网络构架 重新布置企业的网络以实现新的网路主干以适应新的电子商务形势下的机遇与挑战。2.2企业网络需求分析企业的接入网关像是连接企业各个部门的大动脉，脉搏的跳动需要原动力和一定的免役功能，也就是说企业网络建设必须保证网络的高效、稳定、可靠、安全、灵活和易管理等方面，企业网络的生命才能延续并富有激情。2.2.1需求原则在信息网络系统规划和设计之前，对其需求进行分析是十分必要的，这对于建设完善的、符合实际需要的信息网络起到积极作用。运用国内外的成熟、先进技术，把握发展的大趋势，结

12、合实际情况、特点、使用需求及未来发展，提出以下建设原则：1、经济使用性建设企业网络必须经济实用且具有很高的性价比，能够完成企业需求的前提下最大可能提供扩展功能。2、系统可靠性和稳定性企业网络承载着企业运转的基础数据，一旦网络通信中断，短时间内能够恢复。因此，要求负责宽带接入的路由器具有高稳定性和自我恢复能力，从而保证网络可靠稳定的运行。3、系统实用性和可管理性当今世界计算机技术的发展日新月异，网络设计既要适应新技术发展的潮流，保证系统的先进性，选择代表世界先进水平的技术和设备，不使设备在短时间内落伍。但也要兼顾技术的成熟性、标准性、实用性考虑，不采用还未成为标准的技术及设备接口，降低由于新技术

13、和新产品不成熟等因素给用户带来的风险。4、系统可扩展性和开放性首先要满足现有规模网络用户和应用的需求，同时考虑未来业务发展、规模的扩大，应该设计关键网络设备具备扩展能力以及网络实施新应用的能力。同时，设备应采用开放技术、支持标准，具有良好的联通性，能够支持同一厂家不同系列的产品以及不同厂家的产品之间的无缝连接与通信。5、安全性和保密性企业网络设施在提高企业效益的同时，也给企业增加了风险隐患。网络安全问题也一直困扰着中小企业，给中小企业所造成的损失不可估量。黑客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等外网攻击已成为影响最为广泛的安全威胁。同时，企业内部员工对网络的不正当使用，降低了

14、生产率，消耗了企业网络资源，并引入病毒和间谍程序。或者使得不法员工可以通过网络泄漏企业机密。因此我们在网络设备的选择上一定要具备内外网防护能力。2.2.2需求分析1、带宽性能需求现代大型企业网络应具有更高的带宽，更强大的性能，以满足用户日益增长的通信需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化、Web浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据以及带宽和时延都要求很高的IP 、视频会议等多媒体业务。因此，数据流量将大大增加，尤其是对核心网络的数据交换能力提出了前所未有的要求。另外

15、，随着千兆位端口成本的持续下降，千兆位到桌面的应用会在不久的将来成为企业网的主流。所以，核心层及骨干层必须具有万兆位级带宽和处理性能，才能构筑一个畅通无阻的高品质的企业网，从而适应网络规模扩大，业务量日益增长的需要。2.稳定可靠性需求现代大型企业的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通，保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来，网络通信的无中断运行已经成为保证企业正常生产运营的关键。设备的可靠性需求不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察。业务的可靠性需求网络设备在故障倒换过程中，是否

16、对业务的正常运行有影响。在企业网络建设时，还要考虑网络设备是否能够提供有效的链路自愈手段，以及快速重路由协议的支持。所以我们这里采用了链路冗余技术，服务器冗余技术，热备粉技术还有UPS来保证企业网络的正常运行3、服务质量需求企业网络需要提供完善的端到端QoS保障，以满足企业网多业务承载的需求。企业网络承载的业务不断增多，单纯的提高带宽并不能够有效地保障数据交换的畅通无阻，所以今天的企业网络建设必须要考虑到网络应能够智能识别应用事件的紧急和重要程度，如视频、音频、数据流。同时能够调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送，实现对业务的合理调度才是一个企业网络提供高品质

17、服务的保障。4、网络安全需求企业网络应提供更完善的网络安全解决方案，以阻击病毒和黑客的攻击，减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、杀毒软件，以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，这样才能有效地保证企业网络的稳定运行。5、应用服务需求企业网络应具备更智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需要。当前的网络已经发展成为以应用为中心的信息基础平台，传统的网络设备的智能已经不能有效支持网络管理

18、需求的发展。新的应用服务需要网络运行期间对不同用户灵活的服务策略部署、访问控制权限、以及网络日志审计和病毒控制能力等方面的管理工作。 第三部分 总体结构设计3.1企业网络结构特点认识随着Internet技术的快速发展，越来越多的企业将自己的内部网络融合到整个互连网中，以提高自己的生产率与竞争力。分析不同的企业网，我们可以找出一些相似的基本特征：1、网络结构的复杂性： 一个大型的企业网络，往往由分布在广泛地域的分支机构所属的众多局域网组成，各个网络之间的连接可能包括专线、VPN、拔号以及宽带接入等多种互联方式。2、数据流的多样性： 如今的企业网业务数据流种类繁多，极高的数据吞吐量。不但包括企业内

19、部生产链的数据业务，还包括WWW、MAIL、FTP等业务数据流，与合作伙伴、供应商之间的供应链业务数据流。3、数据的敏感性: 随着商业竞争的不断加剧，如何保护自己的信息资源特别是客户信息、产品信息及技术资料的敏感性显得尤为重要。4、速度：提高企业的竞争力与生产效率，就必须使自己的信息系统在保证安全的情况下实现快速地信息流通。这就要求要有极低的延迟时间。3.2企业网网络设计原则企业网络建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行，避免重复投入、重复建设，充分考虑整体和局部的利益。此次企业网设计应遵循如下原则：1、先进性原则 世界上计算机技术的发展十分迅速，更新换代周期越来越短。

20、所以，选购设备要充分注意先进性，选择硬件要预测到未来发展方向，选择软件要考虑开放性，工具性和软件集成优势。网络设计要考虑通信发展要求。2、实用性原则系统的设计既要在相当长的时间内保证其先进性，还应本着实用的原则，在实用的基础上追求先进性。易于维护管理，具有广泛兼容性，同时要适应企业的内部需求，员工的工作特性等。 3、安全性原则企业计算机网络都与外部网络互通日益增加，直接或间接与国际互联网连接。企业的商业机密、员工资料、市场和销售信息等敏感信息关系到企业生存利害。因此，在系统方案设计需考虑到系统的可靠性、信息安全性和保密性的要求。4可扩充性系统规模及档次要易于扩展，可以方便地进行设备扩充和适应工

21、程的变化，以及灵活进行软件版本的更新和升级，保护用户的投资，为将来系统的升级和扩展打下良好的基础。5灵活性原则采用结构化、模块化的设计形式，满足系统及用户各种不同的应用要求，适应业务调整。6标准化和可行性原则本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定，使安全技术体系的建设达到标准化、规范化的要求，采用市场上先进的技术和相对成熟的产品，并向国际标准、国家标准、工程标准、相关业标准和暂行规定先靠拢，为拓展、升级和集中统一打好基础。 3.3拓扑设计3.3.1拓扑图分析企业拓扑能够最直观反映企业网络的结构。这里我们直接用创新电子的拓扑图来分析一下企业网络的设计。如图3

22、-1：图31 企业网拓扑结构在这个中小型企业园区网的设计中，我们采用层次化模型来设计网络拓扑结构。层次化模型的好处：1、节省成本在采用层次模型之后，各层次各司其职，不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽，减少了对系统资源的浪费。2、易于理解层次化设计使得网络结构清晰明了，可以在不同的层次实施不同难度的管理，降低了管理成本。3、易于扩展 在网络设计中，模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中，而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计，任何一个节点的变动都将对整个网络产生很大影响。4、易于排错层次化设计能够使网络拓

23、扑结构分解为易于理解的子网，网络管理者能够轻易地确定网络故障的范围，从而简化了排错过程。3.3.2拓扑结构规划说明在网络结构设计上，创新电子采用流行的万兆骨干网结合主流的千兆以太网交换技术(第三层交换)作为核心层，在企业网汇聚层及接入层出于性价比的考虑，我们决定采用万兆核心，千兆汇聚；万兆拓展，百兆到桌面的链路选择。以TCP/IP协议为主，服务器机群网管中心与核心层交换机连接。在网络硬件上采用高性能、高可靠，高性价比的cisco设备，这些设备是在传输网中广泛使用并在实践中部署的，容错能力的高性能和具有强大扩展性能的大型网络核心交换机，可实现冗余备份，从而提高全网的可靠性。核心层网络设计在核心层

24、中，考虑到企业原先已经在使用了一台核心交换机。对网络具备了一定的处理能力。为此，从为企业网络建设的拓展性能需求出发，我们将充分利用此核心交换机作为办公区的汇聚层交换。此外我们采用一台cisco6506 核心路由交换机与企业中原来的cisco 3560交换机组成双机热备份的核心交换机解决方案。汇聚层网络设计汇聚层网络主要完成企业各园区内办公楼宇和相关单位的内接入交换机的汇聚及数据交换和VLAN中继，在本方案中采用CISCO3560这台原有的核心三层交换机作为汇聚层面的交换机。CISCO3560交换机在提供高密度端口接入的同时还能够满足汇聚层智能高速处理的需要,并能够加灵活的部署在网络边缘的各个位

25、置。能够同时提供多个高速专用堆叠端口和百兆、千兆光口/电口还有二个线速万兆以太网上行链路端口。这些交换机都具备较强的多业务提供能力，可支持包括智能的QOS、MPLS、组播在内的各种业务。为用户提供丰富、高性价比的组网选择。接入层网络设计以往传统企业网络接入层的建设中并不关注于安全控制和QOS提供能力，而将网络的安全防御措施和QOS保障依赖于网络的汇聚层或骨干层设备，这给汇聚层和骨干层设备带来了巨大的压力，往往内网病毒泛滥成灾后导致骨干层设备瘫机，使网络没有QOS服务质量保障。Cisco2950智能宽带接入交换机是能满足高安全、多业务承载、高性能的网络环境智能交换机，具备传统二层交换机大容量、高

26、性能等优点，同时还具有领先的安全特性，进一步加强了企业网络对边缘接入层面的安全控制能力。 用户可以根据需要来订制自身的安全策略并部署在此交换机上。该产品具备智能的服务质量（QoS）、限速、访问控制列表（ACL）和多播服务等功能可以很好的协助用户实现网络的管理和维护。除此之外，此交换机还具备多个专用堆叠接口，可以满足楼层，楼宇内多个交换机高性能汇聚的需要。3.3.3拓扑冗余/负载均衡设计 冗余设计是网络设计的重要部分，是保证网络整体可靠性能的重要手段。但是投资也将增加。部分企业园区网在早期的建设中由于成本的原因并未在设计中考虑冗余问题。冗余设计可以贯穿整个层次化结构，每个冗余设计都有针对性，可以

27、选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时，冗余链路可以提供另一条物理路径。可采用GEC链路聚合（IEEE802.3ad）实现端口级冗余，以克服某个端口或线路引起的故障。也可采用生成树协议（IEEE802.1d）提供设备级的冗余连接。核心冗余备份：示意如图3-2所示：图3-2 核心冗余图解：可使用二条10000M物理链路在连接二台交换机，在不增加投资的情况下，实现冗余互备份，使关键连接的传输效率更高，更可靠。成员互相动态备份。当某一链路中断时，其它成员能够迅速接替其工作。与生成树协议不同，HSRP启用备份的过程对聚合之外是不可见的，而且启用备份过程只在链路内，

28、与其它链路无关，切换可在数毫秒内完成。双核心拓扑结构提供了两条等代价路径和双倍的带宽。每个交换区块都有冗余的连接到核心交换机上，因此形成两条不同的，但是等代价的连接。如果一条核心设备发生故障，还是能够收敛，因为汇聚层设备的路由选择表中还有另一条到核心设备的路由。第3层路由选择协议在核心中起链路选择的作用。核心层不需要STP，因为在核心交换机间没有冗余的第2层连接。服务器冗余设计 企业网中服务器、大型机，如网络存储服务器，SQL Server服务器，其存储的数据对于企业来说致关重要，一些核心数据被视为企业的生命。一方面它对企业的重要性毋庸质疑，另一方面，由于这些数据的性质决定了其较大的被访问量，

29、这个对服务器提出了稳定和快速的要求。为此，我们采用的是双机热备技术 ，此技术能够有效的满足核心服务器高效，稳定的高要求。而且相对于其它成本技术来说，这是比较有经济成效的技术。如图3-3 图33服务器冗余具体技术实现：每个核心服务器均具有两个以太网接口（可以通过安装双网卡实现），在此基础上，以上图为例，数据服务器A与数据服务器B先分别利用自己的一个以太网接口实现两个服务器之间的直连，每个服务器另外的一个接口则与服务器区的网络实现互连，以达到双机热备的目的。因此增加服务器的稳定性与高效性。3.4网络技术选型3.4.1 HSRP热备份采用HSRP进行备份的一组设备共用一个虚拟的MAC地址及虚拟IP地

30、址，每个参与HSRP的局域端口有一个本端口的IP地址和MAC地址，每个路由器都有一个权值，权值最高的作为主路由器进行工作，其它的不工作，当主路由器瘫痪时，第二个权值最高的路由器将作为主路由器，依次类推。路由器之间定期交换权值信息以确定路由器的工作状态。如果主路由器在一段时间内不发送这种信息包，其它备份路由器将认为该路由器已坏，权值电高的备份路由器将接管虚拟MAC地址和IP地址，并负责传输数据。一旦主路由器恢复正常，将自动切换回去，重新接管传输数据的工作，之后备份路由器停止传输，处于备份状态。另外，HSRP允许路由器对某些端口的工作状态进行监测，一旦这个端口出现故障，也进行自动切换。 2.4.2

31、 VTP中继协VTP（VLAN Trunking Protocol）：是VLAN中继协议，也被称为虚拟局域网干道协议。它是一个OSI参考模型第二层的通信协议，主要用于管理在同一个域的网络范围内VLAN的建立、删除和重命名。在一台VTP Server 上配置一个新的VLAN时，该VLAN的配置信息将自动传播到本域内的其他所有交换机。这些交换机会自动地接收这些配置信息，使其VLAN的配置与VTP Server保持一致，从而减少在多台设备上配置同一个VLAN信息的工作量，而且保持了VLAN配置的统一性。 2.4.3 NAT 地址转换 在组建网络时，为了节约地址，我们在内部使用保留的私有地址段中的地址

32、，但是使用私有地址不能访问 Internet,所以必须申请多个公开地址配置在Internet 相连的局域网边缘设备上。应用 NAT 可以进行地址转换。节约公网地址。NAT用来将你的私有IP地址转换为全球的外部地址,在internet上使用，从而保护和隐藏内部网络中的IP地址。NAT的分类：静态NAT：实现内部地址与外部地址一对一的映射。现实中一般用于服务器动态NAT：动态地址转换也是将本地地址与内部合法地址一对一的转换，但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。动态地址转换基本配置步骤：PAT：使用不同的端口来映射多个内网IP地址到一个指定的外网IP

33、地址，多对一3.4.4 ACL控制列表访问列表为我们提供了一种对网络访问进行有效管理的方法，通过访问列表，我们可以设置允许或拒绝数据包通过路由器，或者允许或者拒绝具体的某些端口进行访问和使用，如果满足条件则执行相应的操作，放行这个包或者放弃这个包。我们通过这些设置来满足实际网络的灵活需求，从而达到设置网络安全策略，防止网络中的敏感设备受到非授权访问的情况。ACL 分为两种类型,他们分 别是标准访问列表(Standard access lists)和扩展访问列表（Extends access lists）前者在过滤网络的时候只使用 IP 数据报的源地址，那么在使用这种访问列表的情况下它做出允许或

34、者拒绝这个决定完全是依赖于源 IP 地址，它无法区分具体的流量类型。而扩展访问列表则可以提供更细的决定，它可以具体到端口，从而 精确到某一个服务，给我们网络的策略提供了更细的控制手段。我们利用这种访问列表进行协议级的控制以达到对网络一个有效的管理。标准访问控制列表一般放在靠近目标的路由器上,而扩展访问控制列表一般放于近源端的路由器上。3.4.5 VLAN虚拟局域网VLAN（Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个

35、网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。默认时，交换机分隔冲突域；路由器分隔广播域。第2层交换式网络的最大好处是，它为插入到交换机每个端口的每台设备创建了各自的冲突域。但每一个新的改进通常都会引起新的问题用户和设备的数量越大，每台交换机必须处理的广播和数据包就越多。从技术上说 VLAN 可以分为静态 VLAN 和动态 VLAN,那么静 态的 VLAN 是基于交换机端口进行划分，根据网络设备连接不同的交换机端口， 则进入相应的 VLAN。动态 VLAN 则更灵活，它可以根据接入计算机的 IP 地址， MAC地址，甚至是用户的登陆账号做出相应的处理，把计算机划分进相应的VLA

36、N中，这样就为我们实际的网络管理带来了比较大的方便性和灵活性。VLAN可以减少了广播数据对带宽的浪费,避免了广播风暴危害.各个系在地理位置上进行逻辑分隔开,并在汇聚层做访问控制，减小不必要的广播流量，限制对关键部门(如财务,销售)，等等，从而提高网络的利用效率，提高安全性和网络性能。3.4.6 DHCP技术动态主机设置协议（Dynamic Host Configuration Protocol, DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户，内部网络管理员作为对所有计算机作中央管理手段。DHCP中继原理： DHCP客户使

37、用IP广播来寻找同一网段上的DHCP服务器。当服务器和客户段处在不同网段，即被路由器分割开来时，路由器是不会转发这样广播包的。DHCP中继的使用使得一个DHCP服务器同时为多个网段服务成为可能。为了让路由器可以帮助转发广播请求数据包，使用ip help-address命令。通过使用该命令，路由器可以配置为接受广播请求，然后将其以单播方式转发个指定IP地址。3.4.7 pix技术PIX是Cisco的硬件防火墙，硬件防火墙有工作速度快，使用方便等特点。PIX有很多型号，并发连接数是PIX防火墙的重要参数。PIX25是典型的设备。没有连接的状态(没有握手或握手不成功或非法的数据包)，任何数据包无法穿

38、过防火墙。(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)inside可以访问任何outside和dmz区域。dmz可以访问outside区域。inside访问dmz需要配合static(静态地址转换)。outside访问dmz需要配合ACL(访问控制列表)。设置接口名称，并指定安全级别，安全级别取值范围为1100，数字越小安全级别越高PIXfirewall(config)#nameif ethernet0 outside security0配置以太口工作状态，常见状态有：auto、100full、shutdownPIXfirewall (config)#interface

39、ethernet0 auto|100full|shutdown3.4.8 WLAN 无线局域网无线局域网要求以无线方式相联的计算机之间资源共享，具有现有网络操作系统所支持的各种服务功能。计算机无线联网常见的形式是把远程计算机以无线方式联入一个计算机网络中，作为网络中的一个节点，使之具有网上工作站所具有的同样功能，获得网络上的所有服务；或把数个有线或无线局域网联成一个区域网；当然，也可用全无线方式构成一个局域网或在一个局域网中混合使用有线与无线方式。此时，以无线方式入网的计算机将具有可移动性，在一定的区域移动而同时又随时与网络保持联系。3.5综合布线方案综合布线系统将所有的语音、数据、视频信号等

40、所需的线路和各自的设备进行连接，经过统一的规划设计，综合在一套标准的布线系统中，将企业建筑的三大子系统有机地连接起来，为建企业网络系统集成提供了物理介质。另外，综合布线系统有自已独特的要求。综合布线系统要能满足企业网现在以及未来网络高速多媒体传输的要求，要能满足系统对性能、可靠性的高要求，还要能满足企业网对扩展性、升级性的要求。结构化布线系统正是被广泛接受的一种布线技术，它能够以一次性的布线投资，解决今后相当一段时间内的所有布线问题。近年来，信息处理系统发展迅速，对信息传输的快速、便捷、安全性和稳定可靠性要求高。在办公大楼中，所建网络要求对内适应不同的网络设备、主机、终端、PC及外部设备，可构

41、成灵活的拓扑结构，有足够的系统扩展能力，对外通过与国家公共信息网与外部信息源相连，组成全方位多通道的信息访问系统。总之，既要适应当前信息处理的需要，又充分考虑到信息系统未来的发展趋势。3.5.1 布线设计设计依据 设计标准：EIA/TIA569 TSB 36/40 工业标准国际商务建筑布线标准ISO/IEC IS 11801ISO/IECJTC1/SC25/WG3此方案是以开放式结构的综合布线系统为基础，依据国家标准CECS 72:97 （建筑与建筑群综合布线系统工程设计规范）作设计及市内 线工程施工及实验收技术规范。3.5.2 布线设计要求设计要求1、 综合布线系统设计要求：(1) 布线系统

42、设计要为数据通信提供实用的、可重新组合、可扩展的模块化通道，网络布线要内、外网实行物理隔离，配置防火墙。(2) 要求对每一楼层信息点分布情况详细列出，内、外网便于切换。(3) 数据点线材依据水平、垂直采用不同的类型。水平子系统采用超五类非屏蔽系统可靠地提供100MHZ传输带宽，垂直子系统、楼群子系统的数据可采用不同类非屏蔽双绞线、光纤等符合传输速率，满足语音、数据、图象的通信要求。(4) 要从企业广域网的接入方式出发，对内部与之对应的综合布线整体考虑。(5) 依据设计惯例，网络容量要有一定的冗余。2、 网络系统性能要求：(1) 能满足灵活应用的要求；(2) 除了固定于建筑物内线缆外，所有的接插

43、件都应是模块化的标准件，以方便系统管理和使用；(3) 系统要有可扩充性，以便将来系统增加时，很容易将设备扩展进去；(4) 能实现数据通信，话音通信和图像传递；(5) 为计算机网络与高速电信网络之间提供接口，以方便企业计算机系统扩展时对城域网的高速通信需求。3、 布线系统管线要求：(1) 信息插座在墙面上安装；(2) 垂直、水平面线缆的铺设方法；(3) 整个布线系统中的金属线管、桥架、底盒的安装方法；(4) 布线系统管线与其它系统管线的配合：(5) 其它有关的管线铺设按说明书安装。3.5.3 布线的设备选择要求综合布线系统的选择应满足以下要求：(1）开放性：具有可传输语音、数据、图像、视频信号、

44、控制信号等功能；系统能够支持目前及今后所有的数据、话音及控制设备厂商的应用系统。(2）灵活性：由于所有信息系统采用相同的传输介质，因此所有信息通道应是通用的。信息通道应该可以支持 、 、多用户终端、以太网、令牌环网、ATM等等。所有设备的开通均应该不需要改变系统布线，只需作必要的跳线管理即可使用；系统组网也应灵活多样，各部门既可独立组网，又可方便地互联，这样为合理组织信息流提供了必要条件。系统不仅应该满足当前信息传输的需求，而且还应该适应将来的网络结构的更改或设备的扩充，做到以不变应万变。(3）可靠性：应采用高品质的标准材料，以组合压接的方式构成一套高标准的信息通道。每条信息通道都应采用专用仪

45、器测试，以保证其电气性能。系统布线应全部采用物理星型拓扑结构。使点到点端接、任何一条线路故障均不影响其他线路的运行；应为线路的运行维护及故障检修提供较大的方便，保障系统的可靠运行。系统的配线架及各种插座都应该可以反复插接数百次，以满足网络结构更改、线路重新连接和应用环境不断的变化。(4）模块化：应采用模块化结构，能通过轻易更改网络的结构和线路的连接方式，来满足科学技术的发展和应用环境的变化。系统能适应不同规模的综合布线环境，可随用户的需要而增减(跳线、跳线面板等)。(5）免工具安装：系统应采用组合压接的方式，使安装人员仅需配备剪刀就可以安装跳线面板和插座面板，减轻安装人员和维护人员身上的负担，

46、提高压接时的可靠性。3.6网络设备选型3.6.1网络设备选择原则根据已制定的网络设计原则，我们所选择的网络设备必须具有以下一些特定： 1、高性能:所有网络设备都应足够的吞吐量2、高可靠性和高可用性:应考虑多种容错技术3、维护所有网络设备均可用适当的网管软件进行监控、管理和设置4、易于扩展性能够保证在网络规模逐渐扩大的时候，不需要增加的设备，而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展，现有模块不支持新技术的情况下，只需要更换相应模块，而不需要更换整个设备。5、采用国际统一的标准6、高性价比:尽最大可能提高设备的性价比。3.6.2网络设备选型核心层设备图3-4 cisco65

47、06产品选择理由：6500系列通过大幅度提高用户生产效率，增强运营控制，并提供史无前例的投资保护，为企业园区和服务供应商网络设置了全新的IP通信和应用支持标准。作为思科最出色的智能多层模块化交换机，Catalyst 6506提供了从布线室到核心、数据中心，乃至WAN边缘的安全、融合、端到端服务。作为企业网的核心，要求设备能够大容量、稳定可靠的高速路由转发，能够接入大量的汇聚节点并满足今后扩充的需要。同时，应完备的 QOS 保证机制，完备的业务控制、用户管理机制。因此，在本方案的核心层，部署了思科网络的模块化骨干路由交换机两台，该交换机具有背板带宽32Gbps共享总线 256Gbps交换矩阵，同

48、时还可以配置冗余电源，管理引擎模块，WAN接口模块，光服务模块，第四到七层服务模块，内容服务模块，网络分析模块和防火墙服务模块等等可以实现对全网的数据进行高速无阻塞的交换，负责路由管理、网络管理、网络服务、核心数据处理等。其硬件策略路由功能为企业的出口规则提供灵活的设置。Cisco Catalyst 6506有一个8端口万兆以太网模块和一个4端口万兆以太网模块。这些模块支持可插拔光模块，能在单模光纤上支持长达80km的传输距离、在多模光纤上支持300m的传输距离，在铜线上支持15m的传输距离。8端口万兆以太网模块在单一Catalyst 6500机箱中提供了64个万兆以太网端口，适于部署在局域网

49、园区和数据中心的汇聚层。这些万兆以太网模块以屡获大奖的Catalyst 6500系列为基础，能向下兼容所有现有Catalyst 6500线卡和服务模块，帮助大型企业提供全新的第二到七层服务和网络功能，以增加收入和提高用户生产率，且不必全面升级设备。Cisco Catalyst 6500系列万兆以太网模块适宜部署于园区和数据中心的分布层和核心，用于流量汇聚，或提供建筑物间、接入点、广域网边缘和城域网连接。此外，它们还支持基于硬件的服务质量(QoS)、访问控制列表(ACL)和巨型帧，从而能为需要占用大量带宽的应用提供安全、可预测的性能。汇聚层设备图3-5 cisco3560产品选择理由：Cisco

50、 Catalyst 3560系列交换机是一个固定配置、企业级和思科预标准以太网供电交换机系列，工作在快速以太网和千兆位以太网配置下。Catalyst 3560是一款理想的汇聚层交换机，实现最高生产率和投资保护，并可部署新应用，如IP 、无线接入、视频监视、建筑物管理系统和远程视频访问亭。客户可在整个网络范围中部署智能服务，如出色的高级QoS、速率限制、访问控制列表、组播管理和高性能IP路由等，且同时保持传统LAN交换的简洁性。思科网络助理(network assistant)在Catalyst 3560系列中免费提供，是一个集中管理应用，可简化思科交换机、路由器和无线接入点的管理任务。思科网络

51、助理提供了配置向导，大大简化了融合网络和智能网络服务的实施。接入层设备图3-6 cisco2950产品选择理由：接入层应该能够实现对用户的访问控制，并具有较强的安全和 QOS 控制功能，支持802.1x 的认证计费，支持千兆上联，支持 SMNP 的网管。同时，为满足企业的高端口密度接入的需求，接入层应考虑二层智能型可堆叠交换机。因此，在接入层部署了cisco2950智能型可堆叠交换机。cisco2950提供完善的LAN边缘QoS，在业内此类产品中无以匹敌。增强的安全性、管理和集成的Cisco IOS特性Cisco Catalyst 2950系列交换机有几个不寻常的特点来提高网络性能、可管理性和

52、安全性。网络管理员可以为每个交换机配置最多64个虚拟LAN（VLAN）来获得更高水平的数据安全性和增强的LAN性能。这就保证了数据包只传送到特定VLAN内的工作站，这样相当于在网络上的各组端口之间建立了一个虚拟防火墙，从而减少了广播传输。VLAN主干可以利用标准的802.1Q VLAN主干结构从任何端口创建。使用Catalyst 2950交换机，网络管理员可以实现高水平的端口和控制台安全性能。介质访问控制基于地址的端口级安全性可以防止未授权的工作站访问交换机。另外，还可以创建静态和动态地址的访问权限，为管理员提供对网络访问的强大控制能力。交换机控制台的多层访问安全性可防止未授权的用户访问或更改

53、交换机配置优异的性能各个端口包括千兆位端口的线速、无阻塞性能。24个10BaseT/100BaseTX自适应端口，每个可为单个用户、服务器、工作组提供最大200Mbps的带宽，完全可以支持对带宽需求苛刻的应用。 3.7服务器3.7.1企业主机系统的主要要求1、主机系统应采用目前成熟的主流技术，并具有良好的向后扩展能力2、主机系统应具有高的可靠性，能长时间连续工作，并有容错措施3、支持通用大型数据库，如SQL、Oracle等4、具有广泛的软件支持，软件兼容性好，并支持多种传输协议5、能与Internet互联，可提供互联网的应用，如WWW浏览服务、FTP文件传输服务、E-mail电子邮件服务等服务

54、6、支持SNMP网络管理协议，具有良好的可管理性和可维护性3.7.2主机产品选型信息服务与应用是建立计算机网络的最终目标，对信息数据的处理，保存，维护就显得十分重要，而服务器正是网络共享信息资源的中心，服务器作为计算机网络系统的重要组成部分，承担着所有应用系统信息数据的处理和保存任务。所以，必须根据系统的业务与应用的具体要求，建立一套科学的，有效的服务器体系，以保证网络信息资源的安全、可靠和各项业务系统的正常运转。 服务器处于数据处理的关键地位，它的作用是通过网络按需要为客户机提供各种服务，包括共享文件系统、共享数据库系统、共享硬设备、应用程序分布、通讯服务等应用服务，并可对整个网络环境进行集

55、中式管理，服务器的选择应遵循以下原则：功能强大，可用性强，联网性能好，开放性，伸缩性，可靠性。现行的服务器大致可以分为三类：一是PC服务器，主要采用INTEL PENTIUM处理器；二是RISC/UNIX/NT服务器，即由工作站配置成基于RISC处理器芯片，同时具有先进结构的服务器；三是原先集中式应用处理模式中处于主机地位的小型机和中、大型机作服务器应用我们这里采用的是机架式服务器System x3650 M2，如图3-7图3-7 机架式服务器System x3650 M2最新一代x86服务器搭载5500处理器引起业界不小反响，IBM作为领先IT厂商适时推出这款采用Nehalem架构的至强5500处理器的System x3650 M2，除性能上的提升外，2U机架结构提供更大的存储和I/O灵活性。IBM System X3650 M2服务器标配1颗性能强劲的Xeon 5570 2.93GHz四核处理器，作为45纳米的新架构处理器在性能上提升整体速率，核