本科毕业论文---局域网组建与管理.doc

1、成都学院（成都大学）信息科学与技术学院本科毕业设计论文摘 要随着计算机的不断发展和普及，人们对信息的需求量不断的增大，单个计算机已经不能满足人们对信息的需求，正是这种需求促使网络技术得到了飞速的发展，成为人们发送信息、传输信息、利用信息的重要载体和平台，在人们的学习、生活和工作中起着不可或缺的作用，并成为企事业单位提高效率、效益的重要工具。局域网技术作为一种成熟的计算机网络技术被广泛的运用到各个大中小等各种规模的局域网络，有着极其重要的作用。IEEE(Institute ofElectrical and Electronics Engineers，电气电子工程师学会)制定了IEEE802.3的

2、标准给出了局域网的技术指标。局域网以最大程度上减少冲突、最大程度的提高网络速度和使用效率使用路由器交换机来进行网络的链接和组织等特性，在很大程度上取代了其他网络类型，成为最普遍的网络技术。本次论文首先对目前国内外的研究现状和发展做出了分析和说明，通过对企业信息网络的设计过程的分析，并以某企业的网络需求为例，对该公司的网络进行了分析研究，提出了网络的物理结构设计方案，利用可变长度IP编址技术合理的设计了网络的口地址，有效的节约了IP地址资源。并根据所设计的网络实际结构规划出了网络拓扑结构图，通过对路由器和交换机的实际配置组建了一个部署灵活、带宽高、扩展性强的实用以太局域网，并且利用访问控制列表技

3、术再路由层加强对网络网段访问权限的管理，使没有管理权限的网络的终端机不可能连接上路由器交换机等网络设备，避免了网络信息的泄露，提高了网络安全。同时在交换机上使用虚拟局域网技术使在不同Vlan内的终端机只能和授权的终端机相联系，把不同的部分放到不同的Vlan中，这样也就使重要部门的信息不会泄露，加强了网络安伞，完成的对网络的信息安全的管理。 最后通过在仿真软件上搭建网络拓扑，实现局域网的互通以及相关功能后，再根据实际情况搭建网络，以求验证局域网络。关键词：企业局域网，网络建设，故障检测，网络维护，网路安全目 录摘要1目录2第1章 绪论41.1 论文研究的目的和意义41.2 国内外的研究状况41.

4、3 研究内容以及章节安排6第2章 网络需求分析72.1 公司总体概况72.2 公司网络需求72.3 网络安全分析8 2.3.1 硬件方面的安全威胁8 2.3.2 软件方面的安全威胁9 2.3.3 安全管理方面的安全威胁92.4 其它重要功能需求分析9第3章 设计理念10 3.1 网络的标准化和开放性10 3.2 最优兼顾理念10 3.3 安全第一理念11第4章 企业网的建设方案以及具体规划124.1 设备选型124.2 局域网络总体建设方案12 4.2.1 局域网络拓扑图12 4.2.2 网络总体规划13 4.2.3 VLAN规划13 4.2.4 IP地址设计15 4.2.5 核心链路冗余及负

5、载均衡策略164.3 局域网安全设计16第5章 企业网络环境搭建175.1 模拟环境介绍175.2 搭建网络185.3 网络核心层设计19 5.3.1 交换技术应用19 5.3.2 路由技术应用25 5.4 网络接入层设计29 5.5 边缘路由设计31 5.6 分公司模块设计35 5.7 终端设备设置38第6章 网络测试39 6.1 测试网络正常下用户之间通信39 6.2 测试网络的负载均衡以及冗余备份42 6.3 测试接入层端口安全限制44第7章 总结和展望44 7.1 收获与不足44 7.1.1 收获45 7.1.2 不足45 7.2 展望47致 谢48参考文献49附录 校园网主要网络设备

6、配置文件50第 2 页 共 50 页 第1章 概述1.1 论文研究的目的和意义随着信息化的迅速发展，企业的信息化建设是国际信息化的基础和重要组成部分。是提高企业办事效率，提高企业综合素质，是企业不断迈上新的台阶，成为一流企业的有效措施。企业局域网的建设的目标是为全企业人员提供一个信息交流和合作的平台，在需要时连上Internet，以充分利用因特网上的资源，实现对外(企业与企业，企业与社会)的信息发布、交流与合作，对企业的发展具有积极的社会意义与经济效益。此次设计将利用计算机技术和网络通信技术，建设高质量高效率的统一的通信网络，实现系统的互通互联，最大限度地实现信息资源共享。由于现在国内外的信息

7、化发展，企业及单位的局域网建设与管理要求也越来越高，因此通过此次设计完善自己的大学所学知识，希望能在这方面达到市场上对人才的需求。企业局域网建设可以为外界了解企业文化提供了一个简便、迅速的快捷的窗口。在全公司全企业内提供一个良好的信息传递通道，企业内部的政策、资源和通知可以在全单位内迅速的传递。实现企业办公自动化，有效地降低了办公的成本。企业的各级领导得以最快、最有效的方式对企业内部的运行过程中的各种信息进行有效的了解并采取行动，同时得到全面的决策支持。企业内部人员可以方便安全地访问因特网。1.2 国内外的研究状况 以太网(Ethernet)起源于1975年美国Xerox公司建造的一个219M

8、bps的CSMACD(载波监听多路访问冲突检测)系统，它以无源电缆作为总线来传送数据，在1000m的电缆上连接了100多台计算机，并以曾经在历史上表示传播电磁波的以太(Ether)来命名，这就是如今以太网的鼻祖。 以太网是IEEE8023所支持的局域网标准，按照国际标准化组织开放系统互连参考模型(ISO/OSI)的7层结构，以太网标准只定义了数据链路层和物理层，作为一个完整的通信系统。它需要高层协议的支持。A2PARNET在制定了TCP/IP高层通信协议，并把以人网作为其数据链路和物理层的协议之后，以太网便和TCP/IP紧密地捆绑在一起了。以后，由于围际互连网采用了以太网和TCP/IP协议，人

9、们甚至把如超文本连接HTTP等TCP/IP协议组放在一起，俗称为以太网技术。 目前国内外，由于信息化的高速发展，局域网的建设也是飞速的发展，企业局域网的建设已经成为提升企业核心竞争力的关键因素。企业网使其可直接通过Intemet/Intranet(企业内部网)进行网络通信、数据交换，实现远程组态、参数修改等，可直接传送图像信息、多媒体信息。现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。这又将直接关系到企业能否获得关键的竞争优势。所以近年来越来越多的企业都在加快构建自身的信息网络，而其中绝大多数都是中小企业。目前我国企业尤其是中小企业网络建设正在如火如荼地开展着，用电子信息的

10、传递取代纸面文件、 材料的传送逐步实现“无纸办公”，改变传统的工作方式，进一步提高工作效率；利用各种业务信息的综合分析，为各级领导提供决策支持，更好地组织生产和经营，这将是以后所有企业的发展目标。局域网在以后的发展趋势大致也都将遵循以下原则。其一，在企业领导小组的统一领导下，建立统一的规章制度，进行统一的管理，采用统一的标准； 其二，在网络建设中，所有软硬件产品的选择都必须坚持标准化的原则，采用全路统一的硬、软件平台和基本应用软件，进行统一的软件版本升级理；其三，网络应具有良好的安全性与保密性。其四，做到资源共享与保护。充分合理地利用现有的资源，最大限度地与原有系统或在建系统通互联，在尽可能利

11、用已有投资的基础上，解决好经费的补充和配套金到位问题。企业局域网建设可以为外界了解企业文化提供了一个简便、迅速的快捷的窗口，能够提供丰富资源，具备良好带宽、安全、快速的工作交流平台。在全公司全企业内提供一个良好的信息传递通道，企业内部的政策、资源和通知可以在全单位内迅速的传递。实现企业办公自动化，有效地降低了办公的成本。企业的各级领导得以最快、最有效的方式对企业内部的运行过程中的各种信息进行有效的了解并采取行动，同时得到全面的决策支持。企业内部人员可以方便安全地访问因特网。实现对外(企业与企业，企业与社会)的信息发布、交流与合作。企业网络的建设是企业向信息化发展的必然选择，企业网系统是一个非常

12、庞大而复杂的系统，它不仅为现代化企业管理、企业综合信息处理和企业办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给备个系统。1.3 研究内容以及章节安排本次毕业设计主要目标在于设计、实现一个企业的局域网络。可以根据相应的权限共享数据、资料、信息、图片、软件，以及外围设备资源，提高企业办事效率以及企业综合素质，在需要时连上Internet，以充分利用因特网上的资源，实现对外(企业与企业，企业与社会)的信息发布、交流与合作，实现对企业的发展有着社会意义与经济效益。本文一共分为六个章节：第一章 为绪论部分。主要介绍了本文的研究目的及意义，同时描述了目前国内外的

13、研究状况以及发展趋势，并提出通过某企业的网络构建实例，来搭建实际的局域网的目的。 第二章为企业网络的需求分析。主要是明确该企业组建局域网的目的、达到的目标、对网络的要求、遭受网络状态以及组建局域网的总的要求等内容，并对其要求进行仔细分析。 第三章是企业局域网的设计理念。对本企业信息化仔细分析，了解企业局域网的设计理念，并明确自己本次设计自己的设计理念。 第四章是企业网的建设方案以及具体的规划。分析研究企业需求以及信息化过程中的需求分析、企业局域网的分层机构模型，提出了企业局域网设计的一般步骤，建立企业局域网设计的结构图。 第五章是企业网络环境搭建。基于以上章节的设计和规划，在模拟环境上对方案进

14、行模拟搭建，对网络各个部分进行配置。首先对骨干的核心层的路由器进行配置并且应用访问摔制列表加强网络安全件的管理起到防火墙的功能和作用。然后在对核心和接入层的交换机进行配置并且应用上生成树协议防止出现网路回路问题提高网络的使用效率，加强网络的稳定性以及应用虚拟局域网技术加强网络的安全性和提高网络的使用流量，减少网络冲突。 第六章 是网络测试，对搭建完成的网络进行测试，是否达到预定需求。第七章 是总结以及展望。对论文的总结以及对未来的展望。最后则是致谢和参考文献以及附录。第2章 企业局域网的需求分析2.1 公司总体概况经过初步了解，该公司是一家从事IT产品开发以及销售一体的科技公司。该公司是一中型

15、企业，目前有两百名员工，主要经营基于各行业应用的IT产品开发销售以及维护。且公司除了成都的总公司外，为了拓展业务目前在外地收购了一家小公司，主要是做销售以及客户业务服务。根据公司业务要求，需要员工能够通过互联网为客户提供业务服务以及公司内部信息传递。公司总部处于独立楼层，因此布线比较方便，而总部与外地分公司的通信要保证安全，在外地的分公司只有主管经理以及销售和技术服务员工少量。公司各部门员工人数分布概况如下：总公司有总经理1人，由各部门经理对其负责，公司有四名部门经理四名副经理以及一个技术研发中心主管和分公司主管经理；其中财务部员工10人，人事部员工10人，总公司技术研发部55人，研发中心作为

16、公司技术中心有技术骨干8人，而市场销售部包括了售前服务、销售以及售后技术服务有员工85，而分公司有30名员工。2.2 公司网络需求根据公司业务性质，公司具体要求如下;1) 为保障网络的高可用性，要求按照网络层次型网络结构进行网络设计和网络实施，同时由于目前公司处于发展阶段，因此网络要有拓展性。2) 公司内部有经理室、财务室、人事部、市场销售部、技术研发部以及研发中心等行政部门，根据部门的不同业务进行划分。3) 总行总公司和分公司之间要实现安全通信。4) 总公司与分公司的用户访问互联网5) 为了公司安全，财务部以及研发中心不能够访问Internet，经理室和研发中心的每个交换机接口只能连接一台主

17、机。6) 内部用户登录时，需要进行统一的身份验证。7) 建立公司内部的无线AP覆盖。8) 公司需要将业务服务内容以门户网站的方式发布到互联网上，实现公司的业务宣传，建立自己FTP服务器。9) 构建一个安全、畅通的企业网络。2.3 网络安全管理分析 随着互联网的快速发展，网络给人们带来巨大便利的同时，也带来了一些不容忽视的问题，网络信息安全问题就是其中重要之一。随着现代化企业经营活动由传统的大量手工操作进化到高度的自动化阶段，为了保障企业正常的运营，需要有一个安全、可靠的网络技术平台。这个平台自身要有很高的安全性，能够防止黑客对系统本身进行破坏；其次系统必须可靠地保证客户数据安全,将运营风险降到

18、最低；系统的稳定性必须出色,能够提供全天候不间断服务；另外还要具备良好的可扩展性,保证系统满足添加其它增值服务的条件；同时还必须拥有合理有效的管理机制对系统进行管理。 计算机网络存在两种状态,一种是安全状态,另一种是不安全状态,两种状态可以实现转化,即网络可以实现安全状态到不安全状态的转变,也可以实现不安全状态到安全状态的转变。这一方面告诉我们保障计算机网络安全必须高度警惕和谨慎,时刻关注安全状态可能向不安全转变,另一方面也告诉我们网络不安全也是计算机网络存在的一个状态,并不可怕,通过一定的技术手段和安全管理是可以实现安全转变的。 网络由安全到不安全的转变主要是因为存在众多的安全威胁和隐患,当

19、前来说计算机网络安全威胁主要包括以下方面: 2.3.1 硬件方面的安全威胁 硬件是计算机网络实现联网并正常运转的重要设备支撑,没有硬件的支撑就无法实现联网,更无法构成现实意义的计算机网络。硬件方面的安全威胁主要包括计算机硬件损坏,无法实现正常的联网、电磁泄漏、搭线窃听、非法终端介入、非法入侵、线路干扰、病毒入侵等等各种手段,从而威胁到计算机硬件设备的正常运转,达到不当的目的。 2.3.2 软件方面的安全威胁 软件是计算机网络构成的重要因素,对计算机网络安全有着突出的影响。软件方面的安全威胁主要包括:计算机网络软件不兼容或相互冲突,影响网络的正常安全运行,导致网络运行不正常,从而威胁到网络的安全

20、性；网络软件功能不完善或被侵入了木马病毒；对不同类型的软件没有进行安全标示和区分；对网络上储存的大量数据没有进行有效的标示和区分,同时对用户也没有进行有效的标注。 2.3.3 安全管理方面的安全威胁 网络应用和安全管理是网络安全的重要手段和途径,安全管理不当是导致网络不安全的主要因素之一。具体来说管理不当主要包括:1) 管理人员的因素。网络安全管理人员的保密观念不强,业务不熟练；管理人员的责任心缺乏,专业素质较差,工作态度不积极；管理人员没有严格执行网络安全规章管理制度,肆意行动；操作人员以不当的行为获得不应获取的信息等等。2) 规章制度的因素。主要包括没有制定健全合理完善的网络安全规章制度;

21、没有形成科学合理的规章制定与修订机构;有了健全的规章制度却没有得到严格的执行和遵守等等。 网络安全威胁是导致计算机网络不安全的主要因素,是保障计算机网络安全所应该首先克服和战胜的因素。 2.4 其他重要功能需求分析1、 VLAN需求 公司内部有多个部门，可以采用VLAN技术，将各个部门的用户划分到不同的VLAN中，既可以实现统一管理，又可以保障网络的安全性。2、 网络协议的需求 公司需要与外部网络实现连接，那么需要通过网络协议，实现路由之间的通路；本次大概拟采用的静态协议使用默认路由，动态协议采用OSPF(Open Shortest Path First开放式最短路径优先）、RIP（Routi

22、ng Information Protocol，路由信息协议），在边缘路由上使用路由重分发。3、 链路均衡负载以及冗余 在企业网中，为了网络安全而采用双核心的网络架构，并通过调整核心交换机上的生成树协议的配置，实现链路冗余以及链路负载均衡需求。第3章 设计理念3.1 网络的标准化和开放性设备采用通用的国家、国际标准或采用广为流行的、实用的工业标准，只有这样，内网可以快速、方便地访问外部网络的信息网络。同时还要内网的部分信息在授权后可以对外开放，以确保适度的网络系统开放。在有标准可循的情况下，一定要严格按照相应的标准进行设计、建设，尤其是在结构化布线和网络设备协议支持等方面。必须与国际行业标准符

23、合，采用更成熟，多用途、可扩展性强的网络产品，以确保所投入的资金达到保值的效果，即在一定时间内或较长时期处于主流地位、不落后并有足够的空间可持续发展。采用开放式标准，能够尽可能地保障网络系统设计的连续性。这样将来即便原先的设计者、施工者不在现场，其他人也可以通过标准轻松方便地了解整个网络系统的设计，确保可以对网络进行维修、更新等。这是非常重要和必要的。3.2 最优兼顾理念 目前随着网络快速发展，在网络的架构设计中应该考虑到各方面的兼顾，达到一个范围内的最优架构。局域网络设计将在追求性能优越、经济实用的前提下，本着严谨、慎重的态度，从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方

24、面综合进行系统的总体设计，力图使该系统真正成为符合企业的网络系统。 从技术措施角度来讲，在网络的设计和实现中，本方案严格遵守了以下原则：1、 实用性 网络建设从应用实际需求出发，坚持为领导决策服务，为经营管理服务，为生产建设服务。另外，如果是对现有网络升级改造，还应该充分考虑如何利用现有资源，尽量发挥设备效益。2、 适度先进性 规划局域网，不但要满足用户当前的需要，还应该有一定技术前瞻性和用 户需求预见性，考虑到能够满足未来几年内用户对网络功能和带宽的需要。采用成熟的先进技术，兼顾未来的发展趋势，即量力而行，又适当超前，留有发展余地。3、经济性 要求价格适中，设备及耗材要求采用质量过硬，物美价

25、廉，投资预算合理。4、安全可靠性确保网络可靠运行，在网 络的关键部分应具有容错能力，提供公共网络连 接、通信链路和服务器等全方位的安全管理系统。5、可扩展性系统便于扩展，保证前期的 投资的有效性与后期投资的连续性。6、安全保密性 为了保证网上信息的安全 和各种应用系统的安全，在规划时就要为局域网 考虑一个周全的安全保密方案。 3.3安全第一理念 网络安全包括许多方面，最明显和最重要的就是外部入侵、攻击的检测与防护。现在的网络几乎无时无刻不受到外界的安全威胁，稍有不慎就会被病毒感染、黑客入侵，导致整个网络无法正常运行。在一个安全措施完备的网络中，不但部署了病毒防护系统、防火墙隔离系统，还可以根据

26、具体情况选择是否部署入侵检测、木马查杀系统、物理隔离系统等。通过对网络安全的分析，可以了解到网络的安全是事关重要的，安全的网络对于现代企业来说是日常办公和业务应用的支撑体系。在某些情况下，宁可牺牲系统的部分功能也必须保证系统的安全，所以网络安全作为网络设计的第一理念不可置疑。第4章 企业网的建设方案以及具体规划4.1 设备选型 本次设计所选设备都为网络设备厂家cisco设备，型号先进。核心层选用了思科网络高性能的万兆CiscoWS-C3560-24TS-S以太网交换机，可以实现对全网的数据进行高速无阻塞的交换，负责路由管理、网络管理、网络服务、核心数据处理等。接入层选用提供上联千兆，10/10

27、0M桌面接入，并在全部采用认证和流控等手段进行接入控制，充分满足用户的高速接入等，并可灵活扩展，增加端口密度。选用CiscoWS-C2960-24TT，该设备是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和10/100/1000千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强LAN服务。Catalyst2960系列具有集成安全特性，包括网络准入控制(NAC)、高级服务质(QoS)和永续性，可为网络边缘提供智能服务。 而网络中出口路由器选用了Cisco 2911/k9，Cisco 2911/k9现有 Cisco 2800 系列集成多业务路由器的一流产品为基础，提供嵌入式硬

28、件加密加速、支持语音和视频的数字信号处理器 (DSP) 插槽、可选防火墙、入侵预防、呼叫处理、语音信箱以及应用程序服务。此外，这些平台还支持业界最广泛的有线和无线连接选项，如 T1/E1、T3/E3、xDSL、铜缆和光纤 GE。第 2 代集成多业务路由器（ISR G2）提供优异的服务集成和灵活性。这些平台的模块化架构具有可扩展性，可满足您的业务需求并随业务需求而增长。4.2 局域网络总体建设方案4.2.1 局域网络拓扑图本次局域网骨干部分的拓扑图如下：4.2.2 网络总体规划根据公司需求以及理念分析，本次网络架构总公司采用的是双核心二层网络架构。双核心二层网络结构包含核心层以及接入层，接入层设

29、备通过双链路上连到两台核心层交换机，接入层设备与核心层设备之间运行生成树协议，并且通过调整生成树协议的配置，实现链路的冗余和负载均衡等。在接入层采用VLAN技术，将不同的部门根据实际情况划分到相应的VLAN里，这样可以实现统一管理，又可以保障网络的安全性。并在接入层上挂上AP以及无线路由器，实现公司内部的无线覆盖。两台核心设备分别与出口路由相连，而出口路由与分公司的路由采用链路连接，并为了保证安全，在两台路由之间做ppp认证；分公司路由下接二层交换机，之间做单臂路由，保证通信。而在出口路由器与运营商的提供的路由之间根据实际情况上连防火墙，加强网络安全策略，这块在目前环境下无法实现，是一个缺陷。

30、4.2.3 VLAN规划1、VLAN技术的概述及其优点 VLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费可贵的带宽；而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。2、Vlan的实现方式 VLAN的实现方式有两种：

31、静态和动态。 静态实现是网络管理员将交换机端口分配给某一个VLAN，这是一种最经常使用的配置方式，容易实现和监视，而且比较安全。动态实现方式中，管理员必须先建立一个较复杂的数据库，例如输入要连接的网络设备的MAC地址及相应的VLAN号，这样当网络设备接到交换机端口时交换机自动把这个网络设备所连接的端口分配给相应的VLAN。动态VLAN的配置可以基于网络设备的MAC地址、IP地址、应用或者所使用的协议。实现动态VLAN时候一般情况下使用管理软件来进行管理。在CISCO交换机上可以使用VLAN管理策略服务器（VMPS）实现基于MAC地址的动态VLAN配置。VMPS是MAC地址与VLAN的映射表。这

32、种配置的优点是网络管理员维护管理相应的数据库，而不用关心用户使用哪一个端口，但是每次新用户加入时需要做较复杂的手工配置。3、vlan设计 在企业局域网的vlan规划中，我们更倾向于静态vlan的方式，本次也是选用了静态VLAN的方式。其具体vlan规划。VLAN名称VLAN内容对应子网VLAN 1default管理VLANVLAN 11jls经理室（总公司）192.168.11.0/24VLAN 12cwb 财务部（总公司）192.168.12.0/24VLAN 13scbu 市场销售部（总公司）192.168.13.0/24VLAN 14rsbu人事部（总公司）192.168.14.0/24

33、VLAN 15jsb技术研发部（总公司）192.168.15.0/24VLAN 16ydzx 研发中心（总公司）192.168.16.0/24VLAN 50wfq服务群（总公司）192.168.50.0/24VLAN 101VLAN0101主管经理室（分公司）192.168.101.0/24VLAN 102VLAN0102财务/销售（分公司）192.168.102.0/24VLAN 103VLAN0103 无线（分公司）192.168.103.0/244.2.4 IP地址设计IP地址构成了整个Internet的基础，IP地址资源是整个Internet的基本核心资源，IP地址资源的合理分配和有效

34、利用是整个Internet发展过程中持续有效的一个极具分量的研究课题。由于IP地址紧缺，在企业网中的IP地址采用BFC1918定义的私有地址，而公司属于中小型企业，所以采取了192.168.0.0/16这个地址范围。并根据网络IP地址的设计应遵循可扩展性、易管理性和易维护性等特性，对各个设备的IP地址进行了划分，其具体划分情况如下： IP地址规划IP地址段部门或用途161.62.63.0/30公网地址，用于出口路由与运营商连接192.168.0.0/16企业局域网192.168.1.0/30边缘路由与核心交换机连接192.168.1.4/30边缘路由与另一核心交换机连接192.168.1.8/

35、30边缘路由与分公司路由的接入192.168.11.0/24总公司经理室192.168.12.0/24总部财务室192.168.13.0/24总部市场销售部192.168.14.0/24总部人事部192.168.15.0/24总部技术研发部192.168.16.0/24研发中心192.168.50.0/24服务器群192.168.101.0/24分部主管经理室192.168.102.0/24分部销售/财务192.168.103.0/24无线路由4.2.5 核心链路冗余及负载均衡策略在核心链路中，根据本次环境的实际情况选择了在两台核心交换机之间实现链路聚合技术，以太网信道链路聚合可以让交换机之间

36、和交换机的链路带宽有非常好的 伸缩性，比如可以把多个千兆的链路绑定在一起，使链路的带宽成倍增长。链路聚合技术可以实现不同端口的负载均衡，同时也能够互为备份，保证链路的冗余性。生成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路，并用生成树协议让备份链路阻塞，在逻辑上不形成环路。而一旦出现故障，启用备份链路。在核心与接入层之间使用pvst（Per-VLAN Spanning Tree，每个VLAN生成树）。pvst是解决在虚拟局域网上处理生成树的CISCO特有解决方案，PVST为每个虚拟局域网运行单独的生成树实例。同时pvst解决的二层负载均衡，达到链路的流量均衡。4.3 局

37、域网安全设计 本文局域网的安全设计主要由VLAN的设置方案、交换机端口保护、ACL（访问控制列表 Access Control List）、以及ppp认证和防火墙等安全策略。通过对接入层的VLAN配置，实现部门之间的安全策略；同样对接入层设备定义端口保护功能，定义每个端口允许的最大MAC地址访问数，或者静态的定义特定的MAC地址。遇到不合法的MAC地址交换机采取的策略；通过访问控制列表的设置，控制公司内部的通信，实现合理的访问控制；而在总公司与分公司之间的链路采用ppp协议，并使用pap认证，总公司路由为验证方；防火墙则主要是出口路由与运营商之间的连接，其将内部网和公众访问网（如Interne

38、t）分开，并对内部局域网络进行保护，实现局域网内部的安全。第5章 企业网络环境搭建5.1 模拟环境介绍本论文中局域网网络的搭建使用的是Packet Tracer。Packet Tracer 是由Cisco公司发布的一个辅助学习工具，为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑，并可提供数据包在网络中行进的详细处理过程，观察网络实时运行情况。可以学习IOS的配置、锻炼故障排查能力。由于现实的限制，此次网络设计在该模拟器上网络搭建完成以及相关功能是否实现的测试。目前最新的版本是 Packet Tracer 6.1

39、，本次使用的是6.0版本。 当然模拟环境下与现实情况会有一定的差异和不同，在模拟器上搭建是不能完全模拟出实际企业局域网的每一个设备和功能，但是该模拟器搭建的网络能够实现大部分的功能以及基本的配置，不能实现的主要有一些复制功能以及一些具体的网络管理和防护设备。所以本次网络搭建，主要配置是在路由器、核心层和接入层交换机、终端设备上，而防火墙的一些功能和流量控制以及认证服务等高级网络应用在该环境中无法实现，因此在网络搭建中省略这些部分。5.2 搭建网络1、 网络逻辑拓扑图 搭建出此次设计的整体网络架构，并根据线框把不同的模块分开，使网络结构层次清晰，其网络架构图如下： 模拟软件局域网逻辑拓扑图2、

40、网络结构介绍该网络结构中主要分为核心层、接入层、终端接入、分公司模块以及边缘路由出口模块等几大块。核心层核心层是整个网络的中心节点，它们负责了局域网的不同区域接受/转发数据，本次核心层使用双核心交换可以确保当其中一个出现故障时，仍然可以保证校园网的正常运行，为用户提供不间断的网络服务；并且还在两核心之间做负载均衡，就是在网络正常运行的情况下，其中有一半的终端数据是通过其中一台核心交换机进行接受/转发数据，另一半的终端数据通过另一台核心交换进行转发数据。同时核心交换机分别上连出口路由器，它们与出口路由之间启用OSPF协议，实现通路。接入层交换机设备是局域网用户接入到局域网中，连接到的网络设备，接

41、入层交换机主要是根据VLAN的划分，并把端口划分到vlan，实现终端的连接。一般接入交换机根据用户不同位置和部门纺织。终端接入设备主要根据核心设备分配的IP地址或者手动设置的地址进行接入，并根据上层相关配置实现通信。边缘出口路由是局域网的重要组成，它将局域网接入到Internet，是连接公有IP地址网络和私有IP地址网络的的出口设备设备，提供公网地址与私网地址转换的功能。分公司模块是通过边缘路由的连接，并做认证服务实现链路保密性，同时做到分公司与总公司的业务通信。5.3 网络核心层设计 本次局域网设计使用双核心，其核心层结构如下图：局域网核心层拓扑结构图5.3.1 交换技术的应用 做为核心交换

42、机，这一模块在整个局域网中至关重要，顾名思义也知道其是网络的核心，那么首先介绍下两台三层交换机在交换技术上使用设计以及配置。1、 vtp技术VTP（VLAN Trunking Protocol）是VLAN中继协议，也被称为虚拟局域网干道协议。它是思科私有协议。它是一个OSI参考模型第二层的通信协议，主要用于管理在同一个域的网络范围内VLAN的建立、删除和重命名。在一台VTPServer上配置一个新的VLAN时，该VLAN的配置信息将自动传播到本域内的其他所有交换机。这些交换机会自动地接收这些配置信息，使其VLAN的配置与VTPServer保持一致，从而减少在多台设备上配置同一个VLAN信息的工

43、作量，而且保持了VLAN配置的统一性。其实最之前并不了解这一技术，因为之前没有注意过，并且之前做的网络一般比较简单，所以没有发觉VLAN的设置有多么的麻烦。即使这次在做设计的最初也没有想到使用这一技术，开始的时候我还是通过给每一台交换机配置VLAN，但是在配置快要完成的时候，网络出了点问题，需要重新做，这是才发觉一下子要配置那么VLAN是一件很麻烦的事情，所以在了解到VTP技术后，使用了这一技术。各接入层交换机配置命令基本相同，为实现单个控制点配置和管理整个网络中VLAN，决定采用VTP技术。把核心交换机设置为Server模式，通过他们对接入层交换机传递最新的VLAN信息。其配置如下：SW1#

44、vlan database /全局模式下直接配置SW1(vlan)#vtp domain liy /建立VTP域SW1(vlan)#vtp server /设置该交换机为server模式SW1(vlan)#vtp password 123456 /设置密码SW1#show vtp status /查看VTP运行状态通过以上配置，然后在此交换机上设置VLAN信息，接入层交换机通过相关配置就可以学习到VLAN实时信息，而SW2的配置和SW1的类似。2、 VLAN配置在核心交换机上配置VLAN并命名，使在接入层配置成次client模式时能够学习到VLAN信息。配置如下：SW1(config)#vla

45、n 11 SW1(config-vlan)#name jls其他VLAN的配置类似。3、 STP技术 STP（SpanningTreeProtocol）是生成树协议的英文缩写。该协议可应用于环路网络，通过一定的算法实现路径冗余，同时将环路网络修剪成无环路的树型网络，从而消除网络中的环路，避免由于环路的存在而造成广播风暴问题。生成树协议适合所有厂商的网络设备，在配置上和体现功能强度上有所差别，但是在原理和应用效果是一致的。该协议的原理是按照树的结构来构造网络拓扑，该协议使用BPDU报文传递生成树信息。在这个技术的使用上也是经过多番考虑以及环境限制而应用的，因为最初的网络构思使用MSTP（Mult

46、iple Spanning Tree Protocol，多生成树协议）来防止广播风暴，同时应用vrrp（Virtual Router Redundancy Protocol 虚拟路由器冗余协议）措施来在实习冗余备份的。但是在后来的实际网络搭建中，发现模拟环境不能使用MSTP，因为模拟器在对生成树的启用中有一定不足，所以后来决定使用pvst （Per-VLAN Spanning Tree 每个VLAN生成树），虽然这种技术又一定的缺陷，但是在中小网络中还是很实用的，并且它不但能够解决广播风暴，还可以在核心交换机之间做到冗余备份以及负载均衡。STP具体设计如下：1） Cisco交换机支持每个vlan的生成树（pvst）,在本方案中我门将采取这种方式，为每个vlan启用一个stp。2）交换机SW1为vlan11-13的根网桥。3)交换机SW2为vlan14-16以及VLAN50的根网桥。主要配置如下：SW1(config)#spanning-tree vlan 11 rootprimarySW1(config)#sp