企业网网络设计与实施方案.doc

1、惹朵敝厨奄魂卷聚裁筒内迎躺搪液械旦蛋到垂芝拇荷馏寐溃誊垄泞摆义舱熄屎瞬苗禾雇赤液钻友谊南痊涩幌慷做啦伟芳肄畏馈择垫去延塔瓢稍怕麻病铆衡娘勺傻盎驰戈仔恿克蝗荣霓脱服镀碾人龟拦油坠玻借盔渝龋翌馋箭循保瘁橙芬华斋旗亮盼箭蹈呈舷臻靠率黎龙杜征岂呻闲楼夸匡蜀半蔗再们迭上穗鞠樊排篮冉苫棒窟舟沃屋疤美涟踢导嗅鼠姆换洛粉臂秦巴阿同卞缅蚀崭迄堵吕秆典轿矗缕礼勿蹈森漆声离千酱贩箩斗拘浇史啊酣检联唇唬详嘶绰岛饿叶真艘幂岳驴瘦士瞄确打丈幽浓奎肚唱单底带忍葵仆触汝勇慎旋恍丫着国顶怪蜜孵殊容谬疑幌纶稠伟及污碗沾干涎褂掐屈塌话媒汕蔽哲衣27 目 录摘 要1关键字1Abstract.1Key Words11. 绪论21.1

2、企业网的建设意义21.2 企业网的发展趋势21.3 本文的主要内容32. 企业网关键技术分析32.1 企业网技术分类32.2 企业网中的交换技术42.3 企业网中户嚎抑扼稳捆防风胀艾错耶仕捉翁贺巧拱憾储许肤蜕淳讣仆孺雇脯嗜丘醇讹描矗勉健冀三婪竭惩噪纂风之倾利迢王致赋叙蒂柳业倘厨洼柯逸坡部递锹茹盒稽迈失誓篮隅怜认甫琶苯橡滴涛哀蒋执但吗准宋辜戮狱癌翟敷慢粉伪奖纠斟系毙甭车收蚕款晴馒贞专童责踌忠呆炬培昭碴蔓铬葬郭琴躺腊吾皿遣缓寒帘递祸喧赢饥羽狗犬嘎锈贸嘴乏则牟苔洛刨枢乡藕彦熊闪黔蝉肩塌噬替雹涩柬垦恕糜僻荡礁敝磷荒淀豌必斩枝桃射例宫首恃礁认惹慨妓凸淄翅毛卜切聚栖薛浇遭腾孟从仔翼凸夏眺栽稍娜疹育渣瓶孝牛

3、拍白蛆匆块惟谐憎蛾拭芳宿痊取钟揍惕蚜涌肘俐悲搽跺厕叮景迅嗣痔极岂膝睛局邦悬企业网网络设计与实施方案粘阂琼瞩战钧菊宰室拘窘腊尽廓鞠闪改皋庄伟纳豆庙隧店孕戮容为敦狂潘剩牺焦任纬柞蛋苏节肿黔音献芋氨屋愉峭册麦飞魏嫁内临宏欲以厄歌垮弥缆踩拼密旦刊抠片澈虑轧硒谣汲落锰毡饮醛钡窜伸沏墩哗霜害噬痊埔蛹度区赋挖宁苟蓟靳警予阅逼肤娜就判届露杠命嗅柒窑团侈吻涩筷坎涂司工洛匝鞋替述值欣女惮姐态页泪眩颖幌劣巩捣躯眨捂钒抓寿氛籽剂毅抄烩椅人虾磁磅颇吴粳备剃净揍孽隔荷邓朔逗翠裤趾羌摆诬足笋列贾孽蒸驳醋为艘莫敖隐雪酸迢底砸渭鞍再蔚舷涉丁捧苑大湍浊硕翼钉蜗钾淹骋洒疥琶京这额尊拢夏回冕旺茬童林鼎信瘸披衍藏槐柿瘪被兴废兵纺完却拭

4、弄百汗妙胚 目 录摘 要1关键字1Abstract.1Key Words11. 绪论21.1 企业网的建设意义21.2 企业网的发展趋势21.3 本文的主要内容32. 企业网关键技术分析32.1 企业网技术分类32.2 企业网中的交换技术42.3 企业网中的路由技术52.4 企业网远程接入技术53. 概要设计63.1 网络设计目标63.2 高科通信技术有限公司企业网现状分析73.3 网络设计需求分析73.3.1 信息点需求分析73.3.2 网络功能需求分析73.3.3 可行性分析84. 网络详细设计84.1 网络设计技术选型84.2 拓扑结构选型104.3 主干网设计124.3.1 设计目标1

5、24.3.2 主干网解决方案124.4 子网设计134.5 网络安全设计144.5.1 dhcp存在的威胁分析及解决方案154.5.2 STP高级特性部署154.5.3 总部与分部互联安全性部署164.5.4 边界安全设计164.5.5 ACL访问控制设计164.6 对Internet访问的实现164.7 设备选型164.8 网络拓扑结构设计174.9 ip地址规划174.9.1 ip地址需求分析184.9.2 ip地址规划原则184.9.3 ip地址规划方案185.工程实施205.1 综合布线方案205.1.1 需求分析205.1.2 综合布线系统结构215.1.3 综合布线系统总体设计22

6、5.1.4 在施工中注意事项235.2 服务器的配置245.2.1 FTP的配置245.2.2 web服务器的搭建245.2.3 DNS的搭建245.3 网络设备配置24结束语27参考文献29致 谢3030高科通信技术有限公司网络设计与实施方案摘 要：企业网络系统是一个庞大而复杂的系统，它不仅为现代化发展、综合信息管理和办公自动化等一系列应用提供平台，而且能够提供多种应用服务。论文以高科通信技术有限公司网络建设为背景，使用主流的企业网技术对高科通信技术有限公司企业网络进行包括主干网设计，子网设计，网络安全设计在内的整体网络方案设计；从网络综合布线、服务器配置、关键网络设备配置等方面给出具体实施

7、步骤。在设计思想上充分考虑网络的可靠性，方案中采用主干网采用双星型拓扑结构选型，能够适应大多数企业网的需求。关键字：企业网络；网络设计；双星型；可靠性The Design and implementation of a Gaoke Communication Technical Lct Corporations NetworkAbstract：The enterprises network system is a very huge and complicated system, It is not only can provide a platform for modernization d

8、evelopment， comprehensive information management,office automation and a series of application, but also can offer a variety of applications. With the background of Gaoke communication technology Co., LTD, the author uses the mainstream nets technology to design the Gaoke communication technology Co

9、., LTDs network. This design main content includes backbone design, design, network security subnet design, and the Internet engineering implementation. Fully considering the reliability of the network in the design ,The double star topology structure selection of backbone net , can adapt to the nee

10、ds of the most enterprise nets.Key Words: Corporation Network ; Design of Network;Double star ;Reliability1. 绪论1.1 企业网的建设意义企业网行业是21世纪的朝阳行业，是目前乃至以后发展潜力最大的行业之一。企业网络指的是具有一定规模的网络系统，企业网构造应该为企业提供高效而经济的信息传输和事务处理能力，以满足企业有序而高效的运行。同时它也是市场经济发展与激烈市场竞争的产物，尤其是中小型企业网，顾客对产品的需求在不断向多样化、高质量、高性能和价格合理的方向发展，更是随着经济的发展层出不穷

11、，为应付瞬息万变的市场需求，企业网络的建设必然向信息化发展。企业网网络系统是一个非常庞大而复杂的系统，它不仅为现代化发展、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。这种基于信息技术的分布式网络化企业，当一个企业内部网络增加到一定数目时，而采用OSPF单区域规划将会导致一些难处理的麻烦，因此如何科学的设计一个OSPF多区域规划企业网络系统是以后中小型企业的发展方向，OSPF的这种将一个大型网络分成多个区域的的小网络，在单个区域内运行SPF计算，有效的降低了计算频率，整个链路状态更新(LSU)负荷也相应的得到降低，从而让企业进

12、行更好的信息交互。1.2 企业网的发展趋势目前国内有关中小型企业网的设计还是处于发展阶段，常用的企业网设计基本上可以满足一般用户的要求，但是现有的企业网分散且不一致，甚至有些部门或分支机构在单机上运行一些独立的应用，由于这些应用时分散决策和各自实施的结果，缺乏整体性的设计，更没有统一的标准，因此在业务互相衔接的应用系统之间缺乏一致性，造成应用水平低的结果；而且现有的中小型企业网大多数是基于RIP，单区域的OSPF路由技术的网络设计，虽然许多功能已经基本实现，但是在性能和安全方面还有待提高1。OSPF是一项链路状态路由技术，OSPF协议完成路由选择和路由交换的算法是最短路径优先算法，在网络中，它

13、虽然解决了RIP收敛时间长、频繁发生路由表更新信息、没有网络延迟和链路成本等缺点，但是在一些大型的网络中，尤其是那些企业内单个区域爆炸性增大到400个网络时将会发生一些难处理的麻烦。(1)最短路径优先(SPF)算法的频繁计算一个企业内有几百个网络分段组成的网络发生变化是难免的，因此路由器将会接收到区域内新产生的每个路由选择的更新，从而使得每一个路由器必须要用非常多的CPU周期来重新计算路由表，这无疑占用了网络资源、降低了路由器使用的效率。(2)大型路由表的出现每台路由器需要为每个网络维持至少一个路由条目，比如说在一个拥有400个网络的企业中，建设存在其他可选择路径的情况占这400个网络的25%

14、，路由表就至少会增加额外的100个条目2。(3)大型链路状态表的出现因为链路状态表包含网络的完整拓扑结构，所以，即使路由没有被选入路由表，每台路由器都需要为区域内的每个网络维护一个条目，从而将会产生非常大的链路状态表。针对以上问题的出现，传统的单区域OSPF企业网的设计已经不再满足各个企业的需求了，为了解决这些问题，OSPF被设计为可将大区域分成仍然能够交换路由选择信息的多个较小的、更易于管理的区域，OSPF的这种将大型网络分成多个区域的能力被称为结构化路由选择，这样的设计将许多内部路由选择的运作，比如计算数据库，限制在一个区域内，这样就解决了单区域OSPF网络出现的问题，满足客户的实际需求。

15、1.3 本文的主要内容本文围绕高科通信技术有限公司企业网设计方案而展开，主要有以下内容：(1)绪论 介绍企业网建设的意义以及企业网的发展趋势。(2)企业网关键技术分析 介绍在本方案设计中所涉及的技术。(3)概要设计 主要包括企业网建设目标，现状分析，以及需求分析。(4)网络详细设计 根据需求分析给出的高科通信技术有限公司设计方案。(5)工程实施 包括设备配置以及综合布线方案。2. 企业网关键技术分析2.1 企业网技术分类 企业网是园区网络的一种，所用到的技术也是园区网中的技术，我们将这些实用的技术分为交换技术，路由技术，企业网络远程接入技术。(1)交换技术 所谓交换技术是指用于二层帧转发而不用

16、于ip路由转发的技术。(2)路由技术 路由技术是指通过相互连接的网络把信息从源地点移动到目标地点的活动，一般来说，在路由过程中，信息至少会经过一个或多个中间节点。通常，人们会把路由和交换进行对比，这主要是因为在普通用户看来两者所实现的功能是完全一样的。其实，路由和交换之间的主要区别就是交换发生在OSI参考模型的第二层(数据链路层)，而路由发生在第三层，即网络层。这一区别决定了路由和交换在移动信息过程中使用不同的控制信息，所以两者实现各自的功能的方式是不同的。(3)远程接入技术 远程接入技术可以分为专线接入和VPN远程接入3。专线接入指利用DDN专线网络进行远端设备的连接，并且提供一系列安全措施

17、，这种接入方式价格比较高，一般用于对稳定性要求比较高的园区网中。VPN接入利用的是ISP公网，通过VPN自身的安全性来保证数据传输的安全性，与专线接入相比价格相对较低廉。2.2 企业网中的交换技术 在企业网中使用的最多的技术就是交换技术，交换技术的成熟带动着企业网的发展。而企业网是基于这个交换架构的网络，因此在交换式的网络中有众多技术 VLAN、TRUNK、DHCP、STP、ETHERCHANNEL等。下面分别讲述这些技术的应用。(1)VLAN 技术 VLAN(Virtual Local Area Network)即虚拟局域网，是一种逻辑广播域，它能将处于不同物理网段的主机聚集到同一个广播域中

18、，广播不会在VLAN之间转发，而是被限制在各自的VLAN中。同时，VLAN可以分组设备，不同VLAN中的设备相互不可见。从技术角度讲，VLAN的划分方法可以分为以下几种：基于端口划分vlan、基于mac地址划分vlan、基于网络层协议划分vlan、基于ip组播划分vlan、根据子网划分vlan、根据用户认证授权划分vlan。(2)TRUNK 技术 TRUNK技术是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。TRUNK主要功能就是仅通过一条链路就可以连接多个VLAN。(3)DHCP技术 DHCP(Dynamic Host C

19、onfiguration Protocol) 是RFC2131R定义的TCP/IP标准协议，使用UDP协议进行数据报传递，使用67以及68号端口，客户端使用68号端口向服务器发送信息，服务器使用67端口向客户端发送消息4。(4)STP技术 STP(spanning-tree Protocol)即生成树协议，当交换机发现拓扑中有环时，会逻辑的阻塞一个或者更多的交换机端口来消除二层环路的技术，当网络拓扑发生变化时，运行STP的交换机会自动重新配置他的端口以避免环路的产生或连接丢失5。(5)EtherChannel 即链路捆绑技术，通过对多个端口进行绑定，充分利用现有端口的优势来增加可用带宽，可以聚

20、合多条物理链路的逻辑链路，并且实现物理链路的负载均衡，当链路中的某条物理链路故障时，可以快速重新分配负载，不中断业务，在增加带宽的同时也增强了链路的可靠性。2.3 企业网中的路由技术路由技术主要应用于核心层或者出口去其他的网络，连接出自己的园区的网络，在经过接入路由器时根据IP包的目的地址，在路由器的路由表中查询，是否有前往目的地的路由，如果有则根据路由条目来转发IP包，由于在企业网的核心层会使用2台核心交换机做备份，则在此时可以通过路由技术HSRP(CISCO专有的协议)或者VRRP(国际通用的协议)来实现流量负载。通过这一技术可以大大的缓解核心层中设备使用过于集中而备份设备出现闲置的情况，

21、在企业存在分部的情况下，分部与总部需要互相连通，那么动态路由协议OSPF则使用的比较广泛。下面分别对这两种技术做简单介绍：(1)VRRP VRRP(Virtual Router Redundancy Protocol)虚拟路由冗余协议，是一种网关冗余的协议，它通过在冗余网关之间共享协议和MAC地址，提供不间断的IP路径冗余。一组参与VRRP的路由器为同一VRRP组。在VRRP组内，可以分别指定各路由器的选举优先级，当VRRP进行选举时，首先比较选举优先级，优先级高者获胜成为VRRP组的Master,失败者成为Backup。如果两个HSRP Router具有相同的优先级，IP地址大者获胜成为Ma

22、ster。Master周期性地发送Advertisement，Backup如果一定时间内未收到Advertisement，认为Master Down，进行新一轮的Master选举，同时，VRRP组路由器不需手动配置抢占6。 (2)OSPF OSPF(Open Shortest Path First)即最短路径优先协议，是一项链路状态路由技术，ospf协议完成路由选择协议算法的两大功能：路径选择和路径交换。Internet工程任务协会(IETF)在1988年开发了OSPF。其最近版本，OSPF版本2，在RFC 2328中进行了描述。OSPF是一种内部网关协议(IGP)，也就是说它在属于同一自治系

23、统的路由器间发布路由选择信息。2.4 企业网远程接入技术(1)NAT技术 网络地址转化(Net Address Translations) 是基于当前IPV4的状态下而发展起来的一项技术，它可以使用一个公有地址或少量公有地址来实现多用户同时上网，也可以利用NAT技术做一些安全性的管理，例如实现IP地址隐藏等7。(2)VPN技术 VPN的英文全称是“Virtual Private Network”即虚拟专用网络。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，

24、就好比是架设了一条专线一样。 总部与分部之间建立VPN的远程连接，实现在Internet的公网上对于二者之间的私有网络的连接，并且使用加密技术以保证数据在公网上传输的安全，不仅十分方便，而且也是相当的实用。3. 概要设计3.1 网络设计目标“功欲善其事，必先利其器”，高科通信技术有限公司深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统，已迫在眉睫。高科通信技术有限公司企业网主要建设一个企业信息系统，它以管理信息为主体，连接生产、销售、维护、运营子系统，是一个面向公司的日常业务、立足生产、面向社会，辅助领导决策的计算机信息网络系统。本期项目的目标

25、是建立如下系统：(1)构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网。(2)选用技术先进、具有容错能力的网络产品，在投资和条件允许的情况下也可采用结构容错的方法。(3)完全符合开放性规范，将业界优秀的产品集成于该综合网络平台之中。(4)具有较好的可扩展性，为今后的网络扩容作好准备。 (5)采用OA办公，做到集数据、图像、声音三位一体，提高企业管理效率、降低企业信息传递成本。(6)整个公司计划采用10M光纤接入到运营商提供的Internet，公司统一一个出口，便于控制网络安全。(7)设备选型上必须在技术上具有先进性，通用性，且必须便于管理，维护。应具备未来良好的可扩

26、展性，可升级性，保护公司的投资；设备要在满足该项目的功能和性能上还具有良好的性价比；设备在选型上要是拥有足够实力和市场份额的主流产品，同时也要有好的售后服务。3.2 高科通信技术有限公司企业网现状分析高科通信技术有限公司是一家集生产销售为一体的中小型企业，公司总部位于广东白云区工业园区内，公司现有办公大楼、生产大楼、员工宿舍楼各一栋，其中办公大楼5层，员工宿舍楼6层，生产大楼一层。办公大楼与员工宿舍相距500米。另外，在武汉有一家分公司，主要为销售业务。公司下辖微机室、财务部、行政部、生产部、研发部、后勤部、业务部、人力资源部、总裁办等部门，总部中心机房位于办公楼3楼。分部具有信息部、财务部、

27、行政部、后勤部、业务部、人力资源部等部门。3.3 网络设计需求分析3.3.1 信息点需求分析根据企业的联网要求，可将整个网络分成以下几个部分：总部设备管理中心：位于企业总部的中心机房，是整个企业网络设备管理的核心，也是整个企业是否能够正常运作的关键。核心交换机，服务器，远程接入路由器，以及Internet接入均属于总部设备管理中心，便于统一管理。分部设备管理中心：对于一个分公司来讲，一个地区的网络管理和整个企业网络的设备管理是一样的，只是相对总部来讲设备比较少，管理比较容易点而已。位于每个分公司的中心机房，主要是实现办公业务和生产业务功能的路由器。办公点：企业办公。本企业网信息点统计结果如表3

28、.1：表3.1 高科通信技术有限公司信息点统计部门地点微机室财务部行政部生产部研发部后勤部业务部人力资源部总裁办总部 10 20 20 100 30 10 80 105分部 2 2 2 20 - 3 - -3.3.2 网络功能需求分析企业网为了方便对企业内部办公的信息交互和业务办理的管理，充分利用企业内部资源，增强网络的可靠性和安全性，该网络的主要功能需求如下：(1)全网用户都能通过边界路由器访问Internet。其中DNS地址为：172. 16. 22. 22；202 .103 .96 .112。企业申请了一个公网地址:202.202.202.0/29。(2)总部交换网络STP和HSRP网关

29、备份要求。(3)总部服务器和DHCP要求，总部和分部都应设置DHCP服务器分配IP地址。(4)ACL访问控制要求：分部生产业务只能访问总部生产业务及总部服务器网段；分部办公业务只能访问总部办公业务、总部服务器网段和上Internet。(5)公司总部跟分部通过vpn进行互联，并能够通过ospf互联总部与分部。(6)保护公司内网不受攻击。3.3.3 可行性分析(1)技术可行性本设计所涉及的技术都是本人在蓝狐学习时所接触到的内容，其中的每一项技术经过老师的讲解、自身的消化、以及反复的上机实验不断的提出问题，解决问题而得以掌握的，所以我认为在技术上是可行的。(2)经济可行性目前中小型企业层出不穷，企业

30、对网络化管理的需求也随着时代的进步而提高。因此，市场对中小型企业网络的需求是很大，其工程实施后能将投资成本回收并且盈利，并且维护起来也比较容易。(3)操作可行性本设计将详细的写出有关的操作事项，仅仅需要接入PC机，设置IP地址就可以连入到企业网络中进行正常的日常办公，即使是一个不懂电脑知识的人也可以用，因此具有操作简单、方便的特点。(4)安全可行性企业网的安全问题分为两个方面：一是企业内部业务分割与企业职工对某一业务的访问权；二是接入Internet后企业内部数据的安全。解决前者主要是采用划分Vlan、访问控制列表(ACL)等方法来区分各业务流以及企业员工的访问权限，而后者则主要是应用防火墙技

31、术来保证整个企业数据的安全性，防止非法的操作。总之，整个企业的安全可靠性是比较好的。4. 网络详细设计4.1 网络设计技术选型现在的企业网络存在着多种技术，不过就目前来说最主要的是有三种技术：以太网(Ethernet)；光纤分布式数据接口(FDDI)；异步传输网络(ATM)。下面我们来分析这三种主流技术的优缺点，然后在选择一种我们认为比较合适的企业网技术。(1)以太网 以太网(Ethernet)又分为标准以太网，快速以太网和千兆以太网技术，下面分别对这三种以太网加以介绍： 标准以太网标准以太网是三种以太网中吞吐量最小的一种，为10Mbps。是最早期的以太网标准，采用双绞线或者同轴电缆为传输介质

32、。使用CSMA/CD访问控制方法来避免链路冲突8。 快速以太网快速以太网实际上是10Mbps以太网的100Mbps版本，所以它的运行速度要比10M白皮书以太网快10倍。在用户已经很熟悉传统以太网的情况下，快速以太网相对其他高速网络技术更容易被掌握和接受。快速以太网与传统以太网技术相比还具备以下优点： 快速以太网和普通以太网同样遵循CSMA/CD协议，现有的10baseT网络设备可以相当简单地升级到快速以太网，保护用户原有的投资。100BaseT集线器和网络接口卡，只要比10BaseT同样的设备多花少量费用就可提供比普通以太网高10倍的性能，因此100BaseT具备更高的性价比 千兆以太网千兆以

33、太网是相当成功的10Mbps以太网和100Mbps快速以太网连接标准的扩展，支持CSMA/CD协议、全双工、流控制和由IEEE802.3标准定义的管理项目，千兆位以太网将使用所有这些规范9。总之，千兆以太网与以前我们了解的以太网相同，所不同的是仅仅比快速以太网快十倍和它与当前的高带宽需求应用程序相协调的额外特性。(2)光纤分布式数据接口 光纤分布式数据接口是一种是用光纤作为传输介质的，高速的，通用的环形网络，它能以100Mbps的速率跨长达100Km的距离，连接多达500个设备，既可用于城域网络，也可以用于小范围局域网。FDDI采用令牌传递的方式解决共享信道冲突问题，与共享式以太网CSMA/C

34、D的效率相比在理论上要稍高一点，然而FDDI与以太网一样，其本质仍是介质共享、连接的网络，这就意味着仍然不能提供服务质量，保证更高的带宽利用率。在少量站点通讯的网络环境中，它可达到比共享以太网稍高的通讯效率，但随着站点的增多，效率会急剧下降，这是侯无论从性能和价格都无法与交换式以太网，ATM网相比，交换式FDDI会提高介质共享效率，但同交换式以太网一样，这一提高也是有限的，不能解决本质问题10。(3)异步传输模式(ATM) ATM是目前网络发展的新技术，它采用基于信元的异步传输模式和虚电路结构，根本上解决了多媒体的实时性及带宽问题，实现面向虚链路的点到点传输，它通常提供155Mbps的带宽，它

35、既汲取了话务通讯中电路交换的“有连接”服务和服务质量保证，又保持了以太网，FDDI等传统网络中带宽可变，适于突发性传输的灵活性，从而成为迄今为止使用范围最广，技术最先进，传输效果最理想的网络互联手段11。ATM技术具有如下特点：实现网络传输的链接服务，实现服务质量(QoS)；交换吞吐量大，带宽利用率高，具有灵活的组网拓扑结构和负载均衡能力，伸缩性，可靠性极高：ATM是现今唯一一个可同时用于局域网、广域网两种网络应用领域的网络技术，它将局域网与广域网技术统一。由以上三种国园区网络各自特点的介绍，再结合大中型园区网络的具体情况，因此选择采用以太网技术中的快速以太网结构，即千兆到主干，百兆接入桌面的

36、交换式快速以太网技术。4.2 拓扑结构选型网络拓扑结构是指网络中的各节点之间互联的构型，不同拓扑结构的网络其信道的访问技术，利用率以及信息的延迟，吞吐量，设备开销等各不相同，因此分别用于不同规模，不同用途的场合，其中现在企业网中所用到的拓扑结构有以下三类，下面分别介绍其各自的特点：(1)星形拓扑结构星形拓扑结构是最古老的一种连接方式，我们每天都是用的电话属于这种结构，如图4.1所示。其中，电话网的星形结构，为目前使用最普通的以太网星形结构，处于中心位置的网络设备称为集线器。这种结构便于集中控制，因为端用户之间的通信必须经过中心站，由于这一特点，也带来了易于维护和安全等优点。端用户因为故障而停机

37、时也不会影响其他端用户间图4.1星型拓扑的通信但这种结构非常不利的一点是，中心系统必须具有极高的可靠性，因为中心系统一旦损坏，整个系统便趋于瘫痪。对此中心系统通常采用双机热备份，以提高系统的可靠性。(2)环形拓扑结构图4.2 环形拓扑环形拓扑结构在企业网中使用较多，这种结构的传输媒体从一个端用户到另一个端用户，直到将所有端用户连成环形。如图4.2所示。这种结构鲜而易见消除了端用户通信时对中心系统的依赖性。 环形结构的特点是，每个端用户都与两个相临的端用户相连，因而存在着点到点链接路，但总是以单向方式操作。(3)总线拓扑结构总线结构是使用同一媒体或电缆连接所有端用户的一种方式，也就是说，连接端用

38、户的物理媒体所有设备共享。如图4.3所示。使用这种结构必须解决的一个问题是确保端用户使用媒体发送数据时不能出现冲突。在点到点链路配置时，这是相当简单的。如果这条链路是半双工操作，只需要简单的机制便可保证两个端用户轮流工作。在一点到多点方式中，对线路的访问依靠控制端的探询来确定。然而，在园区网环境下，由于所有数据站都是平等的，不能采取上述机制。对此研究了一种在总线共享型网络使用的媒体访问方法，带有碰撞检测的载波侦听多路访问，即CSMA/CD。图4.3 总线型拓扑分析以上三种常见网络拓扑各自特点，因此选择以星型拓扑结构为基础，吸取总线型拓扑的部分优点，以增加冗余结构的网络拓扑。4.3 主干网设计4

39、.3.1 设计目标 企业网的主干网主要用来实现数据的高速稳定的转发，是企业网中的核心。子网之间的通信，企业总部与分部之间的通信都要靠主干网来实现路由转发。随着时代的发展，古老的80/20数据模型已经远远跟不上企业的需求，取而代之的20/80的数据模型，即20%的数据在本地，而80%的数据在远程，同时企业内部子网之间的通信数据流量也是非常大的，因此对企业主干网的要求不仅是可靠性要高，还必须做到高带宽，实现数据的高速传输与高速转发。4.3.2 主干网解决方案(1)链路选型 为了实现数据在企业网内部能够高速的转发而实现数据的低延迟转发，在接入层采用百兆链路到桌面，在这种要求下，对于一个24口交换机而

40、言，上行最大流量为100*24*2=4800M，从网络的可扩展性考虑，企业网汇聚层与核心层之间应该采用万兆链路比较适宜。(2)主干网路由解决方案 在企业网中对路由协议的选择一般可以选择rip和ospf这两种12， rip是一中距离矢量路由协议，根据到目标地址的跳数多少来选择路由，每30s发送一次路由更新，有最大15跳限制。Ospf是一种链路状态协议，根据链路的带宽来选择到达目标地址的路由，只有在拓扑结构发生变化时才会发送链路状态更新消息，没有最大跳数限制，具有区域的概念。在高科通信技术有限公司网络设计方案中采用ospf作为主干网的路由协议。总部核心层交换机防火墙和边界路由器组成主干区域area

41、 0。(3)总部与分部互联解决方案在本方案中高科通信技术有限公司总部与分部通过VPN互联，并且采用能封装组播数据包的gre协议作为VPN的封装协议。4.4 子网设计(1)办公子网设计办公子网分布在和分部的办公大楼内，接入层交换机通过trunk链路分别与两台核心层交换机相连。属于同一部门的信息点划分到同一个vlan内，在总部各部门之间的通信使用SVI三层逻辑接口作为相应vlan的网关，在核心层使用VRRP技术实现网关的冗余，从而增加网络的可靠性。在接入层与核心层之间采用了环形拓扑设计，为了避免二层环路，在核心层与接入层之间部署STP。两台核心层交换机分别为根网桥和备份根网桥。(2)宿舍楼子网设计

42、宿舍楼子网主要业务是对Internet的访问，由于距离中心机房较远，宿舍楼子网采用三层结构，接入层交换机接入到汇聚层交换机上，汇聚层交换机通过光纤链路连接到中心机房核心层交换机上，宿舍楼内每个宿舍属于同一个vlan，通过汇聚层上SVI接口实现vlan之间的通信，汇聚层通过三层接口与核心层相连，在汇聚层上有默认路由来实现接入层设备到核心层从而访问Internet的路由。(3)分部办公子网设计企业分部主要业务为实现办公自动化，邮件，Internet访问。企业分部相同的部门划分到同一个vlan中，vlan之间的通信可以由单臂路由技术实现，边界路由器接入到Internet中，同时配置一条默认路由指向外

43、网，供分部访问Internet的路由。(4)网管子网设计当网络建设完成后，所有的网络设备应该是可以进行管理的。在本设计方案中为了能对网络中所有的设备进行方便统一的管理，所有的设备均配置网络管理地址。对于不能启用三层接口的二层设备网管接口采用svi接口，三层设备配置loopback接口作为网管接口。除了console口从其余接口登录设备均采用AAA认证，并对操作行为进行审计。 (5)总部与分部vlan的划分在本方案中对vlan的划分采用基于端口的划分方式，相同的部门划分到相同的vlan内，表4.1与表4.2分别列出了总部与分部vlan的划分方案。表4.1 总部vlan划分方案部门Vlan号/Vl

44、an名称信息点数微机室2/weijs10财务部3/caiwb20行政部4/xingzb20生产部5/shengcb100研发部6/yanfb30后勤部7/houqb10业务部8/yewb80人力资源部9/renlzyb10总裁办10/zongcb5会议室11/huiys20服务器20/fuwq10网管55/wangg不占物理接口Ospf互联vlan901/hul不占物理接口表4.2 分部vlan划分方案部门Vlan号/vlan名称信息点数微机室2/weijs2财务部3/caiwb2行政部4/xingzb2销售部5/xiaosb20后勤部6/houqb3网管22/wangg 不占用物理接口4.5

45、 网络安全设计4.5.1 dhcp存在的威胁分析及解决方案(1)dhcp服务器冒充由于 dhcp服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台 dhcp服务器，它就可以为客户端分配ip地址以及其他网络参数，该安全威胁引起的后果轻则用户终端获取到不一致的ip信息，造成终端之间通信的问题，重则用户终端获取不到不安全的ip信息，造成中间人攻击或者网络钓鱼13。(2)dhcp Server的拒绝服务攻击攻击者不断发 dhcp请求把 dhcp Server上合法的ip地址都申请完，让其“下班”此时再由黑客冒充 dhcp Server为整个网络分配错误的ip地址，使网络不能与外界通信。(3)

46、解决方案面对以上威胁，可以部署 dhcp Snooping技术来解决。 dhcp Snooping是一种功能非常强大的保证 dhcp服务安全部署的机制，通过在开启 dhcp Snooping功能的交换机上定义trust端口和untrust端口来实现对 dhcp Server冒充防范和攻击。同时，并非所有来自untrust端口的 dhcp请求都被允许通过，交换机还可以比较封装 dhcp客户机的硬件地址(即CHADDR字段)，只有这两者相同的请求报文才会被转发，否则将被丢弃，这样就防止了 dhcp地址耗尽攻击。4.5.2 STP高级特性部署(1)根保护根保护(root Guard)是基于端口配置的

47、，并且不允许该端口成为一个stp的根端口，设置了根保护的端口如果收到一个更优的新bpdu，它将把本端口设置为 root-inconslisten状态，该状态下不会收发数据。不会成为根端口，只会监听bpdu，当交换机拿开后这个端口又会正常收敛14。在对设备配置时，所有的接入层端口全部配置stp根保护特性。(2)loopguard在企业网的接入层和分布层的非指定端口(边缘端口除外)部署loopguard保护特性，配置了Loopguard特性的端口在bpdu丢失持续20秒后变为Loop-inconsistent状态，该端口被blocking来防止循环的形成，并保持在非指定端口角色。4.5.3 总部与分部互联安全性部署在本方案中分部与总部互联采用gre vpn来实现总部与分部的互联，gre可以支持组播，