中小型企业局域网的设计与实现.doc

I 中中小小型型企企业业局局域域网网的的设设计计与与实实现现 课题名称中小型企业网络的设计与实现 学 院 中国农业大学东校区 专 业 计算机专业 班 级 14 级专升本班 姓 名 张涛 指导老师 刘德福 II 摘摘 要要 随着网络技术新系统、新领域的长足发展，传统企业也正利用其行业的特点， 融合网络技术的优势，发展自身。在信息化生产逐步普及的今天，组建企业内部网 络已经是企业必不可少的一部分，建立高速、稳定、安全、智能的办公网，是组建 中小型企业局域网的核心。 本论文所阐述的网络是使用业界流行的核心层汇聚层分布层三层结构设计 的中小型企业网，结合广为使用的虚拟局域网（VLAN） ，热备份路由（HSRP） ，访问 控制列表（ACL） ，网络地址转换（NAT）等技术，增强网络的稳定性和安全性。 设计中采用虚拟局域网来隔离不同部门，以达到增强企业网络安全性的目的； 在规划好的 VLAN 的基础上，采用访问控制列表（ACL） ，设置策略，来限制部门之间 以及服务器区的访问，进一步提高企业网络内部的安全性；并在核心层交换机上采 用热备份路由（HSRP）技术，增加网络的冗余，提高企业网络的整体稳定性；采用 路由器硬件的动态主机分配协议（DHCP）功能，保证各部门 IP 地址的获取；在边界 路由器上设置网络地址转换（NAT） ，将企业内部私有地址转换为公网地址，实现了 多个用户同时公用一个合法 IP 与外部 Internet 进行通信，解决 IP 地址短缺的问 题。 III 目目 录录 绪论1 1. 网络建设背景和必要性.3 2. 组建局域网的需求分析.5 2.1 总体需求分析 .5 2.2 网络平台需求 .5 2.3 网络安全需求 .6 2.3.1 外网安全： .6 物理安全需求 .6 数据链路层需求 .6 入侵检测系统需求 .6 防病毒系统需求 .6 安全管理体制 .7 2.3.2 内网安全： .7 VLAN 设置需求.7 防病毒系统需求 .7 网络管理需求 .7 网络系统管理 .7 3. 组建局域网的设计目标和原则.9 3.1 核心交换机的高数据处理性能 .9 3.2 核心交换机的高可靠性 .9 3.3 核心交换机的灵活扩充性 10 3.4 网络的安全性 10 3.5 网络的可管理性 10 4. 局域网设计方案12 4.1 网络结构设计方案 .12 4.2 虚拟局域网（VLAN）设计方案 13 4.2.1 VLAN 技术简介13 4.2.2 VLAN 方案设计14 4.3 第三层交换技术设计方案 15 4.4 IP MULTICAST技术方案设计 16 4.5 访问控制列表（ACL）设计方案 .18 4.6 IP 地址规划与路由设计方案19 4.6.1 IP 地址规划方案19 4.6.2 路由协议的选择 20 4.6.3 路由协议设计方案 22 4.7 HSRP：热备份路由器协议 23 4.7.1 HSRP 协议概述23 4.7.2 HSRP 的工作原理24 4.7.3 本方案的特点 24 5. 设备清单27 结论.28 参考文献.29 1 绪论绪论 0.1 选题的背景 企业网最原始的网络需求来自于对 LAN 上共享资源、业务的开展需要，最小规 模的局域网可能就要算通过 1 台共享式集线器来连接打印机、文件服务器的组建模 式了，但是，在信息科技日益发展的今天，基于共享式技术的网络已经不能符合当 前企业 IT 发展的需求，更高速、更可靠、更安全以及更方便的网络和业务管理已 经成为新时期企业局域网的关注重点。如何最大程度的满足企业的这些需求正是本 文最关心的问题。 0.2 选题的目的和意义 企业电子商务网络系统应是一个统一、可靠、安全的专用信息通信平台，支持 话音、数据和图像的交换与传输，实现计算机数据、话音、电视会议、图片传输等 多种信息通信业务，并具有完备的网络管理系统。 在先进成熟的计算机和通信技术基础上，企业要建设成光纤网络，使企业各部 门实现宏观决策科学化，办公自动化，信息交换网络化，提高宏观决策和调控能力， 促进企业信息化，同时有助于加快信息经济建设。 0.3 可行性分析 根据企业的实际情况，总结出该计算机网络有如下需求： 企业网络系统本着实用、经济可靠的原则，采用交换式以太网方案。采用内部 IP 地址。网络采用两极交换结构，中心交换机采用三层交换机，构成千兆主干，中 心交换机应有足够的插槽用于以后的扩展，至少有 24 个 10/100M 自适应端口用于连 接服务器，光纤端口依实际应用提供，电源应有冗余；每个分配线间各放置若干台 24 口交换机作为二级交换机，用千兆光纤口用于上连，可以为用户提供交换式 100Mbps 带宽，彼此间采用堆叠连接。是为入住企业的单位提供宽带国际互联网络 2 接入服务、内部网络通讯平台、计算机应用服务的综合性专用计算机数据通信网络。 为了使本网络设计向统一管理、高速宽带、复杂应用方向发展，本设计所建设 的网络将为各入住单位系统内部互联网络系统提供一个统一的数据通信网络平台， 各网络系统的信息都可在此数据通信网上传递，并可通过统一的网管系统提供统一 的管理功能，将各专业内部网络网管的报警信息等一并显示，同时为未来的网络发 展奠定必要的基础。 0.4 研究的基本思路 根据对所选题目背景、目的、意义和可行性的分析，总结出设计思路如下：选 择合适的网络层次模型规划企业网络架构，合理分配企业内部的 IP 地址。采用稳定 高效的路由协议连通企业内部网，并在此基础上设计安全策略，增强企业数据的保 密性，保证商业机密的安全。设置策略或设备的冗余，保证企业网络在遭遇突发故 障时能顺利切换线路，保障数据的完整性，避免重要信息的丢失，增强网络的稳定 性。最后，选择合适的网络设备，在顾及网络性能的前提下，优化企业的资源配置 3 1.1. 网络建设背景和必要性网络建设背景和必要性 格罗莫夫（Gregory Gromov）曾经说过：“网络本身就是一种计算机科学概念。 ”不过，现在有了更丰富的内涵，注解之一就是，网络本身更具有经济学内涵。 在现代经济学中有“规模效益”理论，就是通过扩大经济规模，来降低单位成 本。虽然“扩大规模”仍然是降低成本的根本途径，但是伴随经济规模的扩大也增 加了“协调成本” ，既与企业相关的信息交流的代价。在很多情况下，企业的生产经 营并不是孤立进行的，其需要在内部生产部门之间与外部市场之间达到充分的信息 交流，才能维系正常的生产经营，尤其是在规模不断扩大的情况下，如果仍然延续 传统的信息交流手段，则信息交流代价急剧增长。由此造成单位生产成本不降反升， 从而制约着现代经济规模。随着科技进步，网络技术成为信息沟通的重要手段，世 界正因为有了互联网而变得越来越小，世界级的企业也越来越依赖于网络技术，扩 大和巩固其市场地位。从网络在企业生产、流通、服务等关键环节起的重要作用来 看，其更多超出了技术领域，而深具经济学内涵。 随着网络技术，新系统新领域的长足发展，网络经济，知识经济再不是 IT 等高 科技行业的专利，传统企业正利用其行业特点，汲取网络技术精华，努力创造着传 统行业的又一个春天。未来是美好的，但现实不可回避。大多数企业对电子商务的 一般认识是电子商务能帮助企业进行网上购物、网上交易，仅是一种新兴的企业运 作模式，比较适用于商业贸易公司，殊不知电子商务已经对传统的企业造成的了巨 大的冲击。 制造业传统运作模式效率低，成本过高，已不适于新经济的需要。随着企业间 竞争的日趋激烈，以及全球经济一体化，市场向企业提出了更高的要求，要求企业 能及时提供高品质、低价格，具有个性化的产品。而企业在商业运作过程中比较重 视控制生产成本，对于采购成本，销售成本的控制无论从意识上、管理上还是从执 行上都比较薄弱，如何减少采购和销售过程中的环节，直接控制供应商的价格、品 质、交货期以及批发商和经营商的进货、出货、仓储情况是企业在电子商务时代所 面临的第一个问题，这种情况在集团公司的运作中尤为明显。通过实施电子商务， 可以实现企业对产品、原材料、非生产性产品、服务类等的电子化、网络化采购， 总公司与下属子公司几个职能部门有组织、有计划的统一管理，减少流通环节，降 低成本，提高效率，使企业在管理上通过电子商务的实施达到更高水品。作为电子 商务基石的网络系统已经成为现代企业的“神经” ，而“神经”是否工作正常，是否 高速高效，直接关系到“生存死亡” 。 4 传统企业对市场的反应速度取决于自身的信息网络水平。在电子商务时代，产 品的个性化情况非常普遍，比如服装，时尚和潮流总是千变万化，捉摸不定。生产 商要在短时间内捕获市场信息并作出适宜反馈，确实有难度。传统企业在对市场的 反馈速度上明显过慢。究其主要原因是企业没有将供应商和客户那到企业自身的供 应链中，没能及时知道下游客户的库存情况、市场情况，没有让上有的供应商及时 了解企业原材料的库存情况、成套情况。在供应商、商家、客户三者之间没有形成 一个有效的环路，有次造成了商家随市场的反应迟缓，导致了商业损失。有了网络 的协助，企业从原材料的采购、产品设计、到订单处理和产品的发送，均可用小时 为单位来追踪。同时利用互联网技术不仅可以全面监控下游客户每日的进销存情况， 及时进行补货，而且可以让上有的供应商及时知道企业原料的库存情况，及时补充， 将存货量保持在最低水品。 企业受限于内部庞杂的关系管理，拓展外部市场是如果还用一成不变的业务服 务方式，很可能在提取激烈的市场竞争中处于尴尬的境地。为了摆脱可能出现的窘 境必须依赖可靠、安全、高效、可扩充、可管理的网络产品和技术，为企业提供流 畅的信息传递和资源共享，优化资源配置，并开拓新市场，吸引更多客户，扩展市 场影响力，产生业务增值，降低生产成本成为可能。 综上所述，传统企业如果希望在市场的天空中飞的更高更远，那么必须插上网 络化生产、经营和服务的翅膀。 在选取“飞”的翅膀时，计算机网络解决方案的选取是关键。只有综合考虑了 网络安全、网络管理、可靠性、可管理性、可扩展性和高性能的需要，精选出适合 企业网络需要的网络解决方案，才能对企业高效，科学的管理，控制企业的运营成 本，为企业的腾飞助跑。 5 2. 组建局域网的需求分析组建局域网的需求分析 2.1 总体需求分析总体需求分析 总体需求是将企业网络建成以办公自动化为主的硬件平台系统。企业网络系统 的需求包括以下几点：适应桌面计算机处理、I/O 能力大幅度提高的现状，发挥桌面 机的网络性能，提高桌面机的访问带宽；适应连网规模大、总流量大的情况，合理 分布流量，实现流量隔离和控制；适应部门多、层次复杂的特点，合理进行网络划 分，实现有效的安全访问控制和运行管理；能够向未来的高速网络技术和不断出现 的新应用过渡；实现网络互联，解决互联网络带来的安全问题和管理问题；适应数 据集中型应用的发展趋势，为客户/服务器的应用环境提供支撑；增加网络系统的运 行可靠性，降低故障隐患，提高系统的可管理性。本方案针对网络系统应用场合对 安全提出了很高的要求，因此网络设计充分考虑网络上敏感数据传输的安全性，一 方面需要充分利用网络设备提供的安全策略（VLAN 划分等） ，另一方面为了保障内 部数据传输的安全性，采用各种安全技术（防火墙、入侵检测、防病毒体系等） ，并 且尽量不影响到整个网络的运行效率。为了更好的保证网络的正常运行，设计的网 络系统还考虑到网络管理，实现网络的统一管理。 2.22.2 网络平台需求网络平台需求 利用目前最流行的千兆以太网技术实现企业网络为千兆主干、百兆交换到桌面， 全方位支持企业的信息处理与交换的传输、操作和策略服务。 网络总体结构分为网络互连、核心节点、楼层交换三个层面。一般采用交换， 必要时实现路由隔离。网络根据业务用户分布和数据的流向，合理的进行网段划分。 允许采用虚拟网技术（VLAN） 。 实现各计算机网络系统的互联，形成公共信息的交换环境，为企业用户提供网 络服务平台。 实现信息资源和软硬件资源共享，提供丰富的网络信息服务，以推动办公自动 化。 根据楼宇办公场合不同，网络平台分别设计出内网和外网平台，两网之间采用 物理隔离的技术手段实现涉密问题。 6 2.32.3 网络安全需求网络安全需求 随着网络的建成，基于网络的应用日渐增多，网络用户也会越来越多，网络的 安全成为了系统建设的主要问题。在局域网中安全系统建设主要设计包括外网安全 和内网安全。 .1 外网安全：外网安全： 由于外网主要运行企业各部门非涉密的内部办公业务以及运行面向客户的公开 信息，所以必须采取过硬的安全技术来实现企业的网络系统不受 Internet 的“黑客” 、 病毒等攻击。外网对安全的需求包括物理安全需求、数据链路层需求、入侵检测系 统需求、防病毒系统需求和安全管理体制等。 物理安全需求物理安全需求 针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放机密信息的机 房进行必要的设计，如构建屏蔽室。采用辐射干扰机，防止电磁辐射泄漏机密信息。 对重要的设备进行冗余配置；对重要系统进行备份等安全保护。 数据链路层需求数据链路层需求 信息的泄漏很多都是在链路上被搭线窃取，数据也可能因为在链路上被截获、 被篡改后传输给对方，造成数据真实性、完整性得不到保证。如果利用加密设备对 传输数据进行加密，使得在网上传输的数据以密文传输。因为数据是密文，所以， 即使在传输过程中被截获，入侵者也读不懂，而且加密机还能通过先进行技术手段， 对数据传输过程中的完整性、真实性进行鉴别。可以保证数据的保密性、完整性及 可靠性。因此，可能需要配备加密设备对数据进行传输加密。 入侵检测系统需求入侵检测系统需求 网络安全是整体的、动态的，不是单一产品能够完全实现的，所以为了确保网 络更加安全必须配备入侵检测系统，对透过防火墙的攻击进行检测并做相应反应 （记录、报警、阻断） 。 防病毒系统需求防病毒系统需求 针对防病毒危害性极大并且传播极为迅速，必须配备从单机到服务器的整套防 病毒软件，实现全网的病毒安全防护。 7 安全管理体制安全管理体制 安全系统只能提供技术手段和措施，但人为的因素不可忽略，只有确立健全的 安全管理体制，设立相应的安全管理岗位，从制度上加以严格管理。 .2 内网安全：内网安全： 运用多种技术，如 VLAN、防病毒体系等，对各个部门、系所访问进行控制， 各单位之间在未授权的情况下不能互相访问，保证系统内部的安全。内网对安全的 需求包括 VLAN 设置需求、防病毒系统需求、网络管理需求和网络系统管理等。 VLANVLAN 设置需求设置需求 企业网络内部的环境比较复杂，而且各子网的分布区域广，网络用户多，因此， 内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的 攻击往往发自内部用户，如何对内部用户进行访问控制和安全防范就显得特别重要。 为了保障内部网络运行的可靠性和安全性，必须要对它进行详尽的设计，尽可能防 护到网络的每一节点。 防病毒系统需求防病毒系统需求 针对防病毒危害性极大并且传播极为迅速，必须配备从单机到服务器的整套防 病毒软件，实现全网的病毒安全防护。 网络管理需求网络管理需求 此次建设的企业网络系统是一个相当复杂的计算机网络，包含多种设备和技术。 随着系统复杂度的增加，会给系统管理带来成指数增加的管理工作量。为此必须要 设计一套健全的管理系统。针对系统的功能采取相应的管理措施。 网络系统管理网络系统管理 系统中包含大量的网络设备，必须为其配置功能强大的管理系统，该系统应具 有以下功能： (1)虚拟网管理、分配； (2)对所有网络设备端口的监视和管理； (3)对网络流量的监测和管理； (4)对所有网络设备的远程管理和控制，包括网络端口设备的开放和关闭； 8 (5)整个网络的故障监测，故障自动报警功能； (6)整个网络性能的统计和分析报告。 9 3.3. 组建局域网的设计目标和原则组建局域网的设计目标和原则 3.13.1 核心交换机的高数据处理性能核心交换机的高数据处理性能 核心交换机满足网络中心海量数据交换的要求，连接中心的通讯链路带宽满足 应用的性能要求。 在 Intranet 网络应用环境中心，WWW 服务器，FTP 服务器，E-Mail 服务器， DHCP 服务器，支撑着整个企业的应用服务。各部门用户客户端软件，透过网络访 问中心服务器，请求应用，查询数据库。网络的负载流量主要是从边缘设备到核心 的数据交换，随着业务的发展，网络规模的扩展，以及应用的信息交换量增加，使 得网络通常会在核心发生通讯瓶颈现象，改善局域网的网络数据交换性能，往往是 首先扩充核心交换机的交换性能，增加边缘设备到核心的数据通讯带宽，以减轻整 个网络的瓶颈，使得应用软件的性能和效率得到提高。因此在设计局域网的原则上， 首先应该考虑满足网络规模所要求的核心设备数据交换处理能力，以及边缘设备到 核心的链路带宽。 3.23.2 核心交换机的高可靠性核心交换机的高可靠性 核心交换机关键部件可以实现冗余工作，可以在线更换(热插拔)，故障的恢复 时间在秒级间隔内完。通过 H3C 专有的 VRRP 技术可以配置双核心交换，在发生故 障时自动切换到备用交换机，确保数据不发生丢包。 随着信息化社会的飞速发展，普遍采用了 Intranet 应用模式，实现管理和生产 自动化，提高管理效率，管理水平。支持单位应用的基础设施是网络。它直接影响 到办公应用环境，交易、生产、开发、设计等业务环境，财务管理，部品管理等环 境，信息检索、数据库查询、Internet 浏览等支持正常运行的必要服务设施功能。网 络的可靠性要求是保障应用环境正常运行的首要条件，网络要求可靠性的同时，要 求网络具有高可用性。网络设备的选择，尤其是核心机箱式设备，应该可以配置冗 余部件，关键部件不存在单一故障点，也就是说，像交换机的电源、风扇、交换引 擎、管理模块这些部件可以冗余备份，其中之一任何部件的损坏，不会影响设备的 正常运行，不会影响网络的连通。提供网络设备的可靠性，容错性的另一个要求是 设备损坏部件更换时，不需要停机，更换部件后不需要重新启动，也就是说部件的 更换可以进行在线操作，这样可以使停机的时间降低到最小。在设计局域网的原则 10 上提高网络的高可靠性、高可用性原则是至关重要的，不仅要求设备的部件冗余， 同时要求网络的链路冗余，以保证网络可以在任何时间、任何地点提供信息访问服 务。 3.33.3 核心交换机的灵活扩充性核心交换机的灵活扩充性 核心交换机应该具备灵活的端口扩充能力，模块扩充能力，满足网络规模的扩 充。同时提高性能，满足更高性能的要求。 在设计局域网的方案上，首先是满足现有规模的网络用户的需求，同时考虑到 业务发展、规模的扩大，应该设计网络具有用户端口的扩充能力。核心设备是整个 网络的枢纽，用户端口数的扩充，需要增加配线间边缘工作组的设备，增加边缘设 备的同时，要求连接核心骨干设备的端口数相应增加，因此核心设备应该可以通过 增加模块来灵活地增加端口数。核心设备的机箱设计应该具备强大的背板带宽，足 够多的负载插槽容量。对于交换机来说，核心交换引擎应该可以满足最大配置下， 无阻塞的进行端口数据包交换，模块的扩充不影响交换性能。采用分布式交换结构 是实现这一原则的最佳方案，分布式交换机结构实现了交换机的并行数据交换处理， 优化了网络的性能，本地交换和全局交换相结合的分布式结构减少了交换引擎的压 力。因此在设计大规模网络的原则上普遍采用分布式交换机实现灵活的模块、端口 扩充能力。 3.43.4 网络的安全性网络的安全性 可以有效的控制网络的访问，灵活的实施网络的安全控制策略。 网络的安全性对局域网的设计是非常重要的，合理的网络安全控制，可以使应 用环境中的资源得到有效的保护。在网络中，关键应用服务器、核心网络设备，只 有系统管理人员才有操作、控制的权力。应用客户端只有应用访问的权限，网络应 该能够阻止黑客的任何非法操作。在网络设备上应该可以进行基于协议、基于 Mac 地址、基于 IP 地址的包过滤控制功能。在大规模网络的设计上，划分虚拟子网，一 方面可以有效的隔离子网内的大量广播，另一方面隔离网络子网间的通讯，控制了 资源的访问权限，提高了网络的安全性。在设计局域网的原则上必须强调网络安全 控制能力，使网络可以任意连接，又可以从第二层、第三层控制网络的访问。 3.53.5 网络的可管理性网络的可管理性 网络中的任何设备均可以通过网络管理平台进行控制，网络的设备状态，故障 报警等都可以通过网管平台进行监控，通过网络管理平台简化管理工作，提高网络 管理的效率。 11 在设计局域网时，选择先进的网络管理软件是必不可少的。网络管理软件应用 于网络的设备配置，网络拓扑结构表示，网络设备的状态的显示，网络设备的故障 事件报警，网络流量统计分析以及计费等等。网管软件的应用可以提高网络管理的 效率，减轻网络管理人员的负担。网络管理的目标是实现零管理，基于策略的管理 方式，网络管理是通过制定统一的策略，由管理策略服务器进行全局控制的。基于 Web 的网管界面，是网管软件的发展趋势，灵活的操作方式简化了管理人员的工作。 在设计局域网的设备选择上，要求网络设备支持标准的网络管理协议 SNMP，同时 支持 RMON/RMONII 协议，核心设备要求支持 RAP(远程分析端口)协议，实施充分 的网络管理功能。在设计局域网的原则上应该要求设备的可管理性，同时先进的网 管软件可以支持网络维护、监控、配置等功能。 网络设备采用开放技术、支持标准协议：采用标准的协议保护用户的投资，提 高设备的互操作性。 局域网的设备要求具有可互操作性，设备的技术采用开放技术，协议标准，支 持跨平台之间的相互连接与通讯。在设计网络的原则上，发挥不同厂商产品的专用 先进技术同时，必须强调考察设备的技术、协议的标准性。 12 4.4. 局域网设计方案局域网设计方案 4.14.1 网络结构设计方案网络结构设计方案 对于网络平台的网络结构，建议采用模块化的设计思想，按照功能划分为以下 区块：交换区块和核心区块。对于由交换区块和核心区块构成的局域网再按照目前 流行的层次化的设计思想，划分为接入层、汇聚层和核心层。 1、交换区块的主要功能是提供用户的接入点，并防止广播数据流和网络问题到 达核心区块或者其他区块，交换区块由接入层交换机和汇聚层交换机构成： (1)接入层： 接入层设备作为最终用户的网络接入点，使用 100M 双绞线连接各层桌面终端， 为每个用户提供专用的带宽，并可基于端口或 MAC 地址的 VLAN 成员资格和流量 进行过滤，接入层主要的设计原则是能够通过低成本、高端口密度的设备提供这些 功能。 (2)汇聚层： 接入层交换机使用 100M 双绞线汇聚到一台或者多台汇聚层设备，汇聚层设备 在接入层交换机之间提供第二层连接，作为接入层交换机的集中连接点及接入层和 核心层之间的分界点，汇聚层在提供接入层接入的同时，还能够做到广播域的隔离、 不同网段之间的路由、介质转换、安全控制。汇聚层需要提供第三层功能，即支持 路由选择和网络层服务，以保护交换区块不受网络其他部分失效的影响，并防止本 交换区块故障对网络其他部分的影响，如果交换区块发生了广播风暴，分布层设备 可以防止该广播风暴扩散到核心和网络的其他部分。 2、核心区块是园区网络的主干，主要功能是在交换区块之间用最小的时延传输 数据，尽可能快的将交换数据提供到其他区块（比如交换区块） 。核心区块由核心层 构成，包含一个或一组用来连接多个交换区块的交换机。 核心层： 核心层交换机负责所有交换区块设备和广域网设备的接入，因此需要高速的数 据转发能力。核心层设备需要支持链路捆绑技术，来保证数据的转发能力，防止出 现线路瓶颈。作为企业网络的心脏，核心层也是路由协议最优选路和运行稳定的保 证，需要合理的配置路由协议，并添加冗余处理器或者应用冗余协议来保障网络核 心的稳定，使企业数据流正常运作。 网络结构的设计是整个网络系统设计的基础，一个优秀的网络结构设计方案有 13 利于提高网络的性能、可靠性及将来网络的扩展能力，并能够有效的减少维护难度， 本论文设计的网络结构拓扑图如图 1： 图 1 网络结构拓扑图 4.24.2 虚拟局域网（虚拟局域网（vlanvlan）设计方案）设计方案 划分虚拟局域网是整个网络系统的重要技术之一。企业网络内部的环境复杂、 分布区域广、网络用户多，以至于企业内部网络用户的可靠性得不到完全的保证。 通过划分虚拟局域网，隔离不同部门，可以增强企业网络安全性，以下详细论述了 虚拟局域网的技术及在网络系统中的必要性和设计方案。 .1 VLANVLAN 技术简介技术简介 以太网基本上是以广播为基础的，如最初包的寻址等，交换机虽然能够通过建 立地址映射表减少不必要的广播，但是地址映射表的建立过程仍然是基于广播的， 网络节点（如 PC 机）在处理广播时浪费了 CPU 处理时间，降低了处理性能，根据 14 统计，当网络上存在 15000 个广播包时，将耗尽 CPU 资源；在传统的网络里，节点 的吞吐量都会随着节点的增多而下降，交换式以太网虽然能够隔离冲突域及第二层 广播，但是无法隔离第三层网络。 另一方面，接入网需要保障用户数据（单播地址的帧）的安全性，隔离携带有 用户信息的广播消息（如 ARP、DHCP 消息等） ，防止关键设备受到攻击。对每个 用户而言，当然不希望他的信息被别人利用，因此需要从物理上隔离用户数据（单 播地址的帧） ，保证用户单播地址的帧只有该用户可以接收到，不像在局域网中采用 共享总线方式，使单播地址的帧能被总线上的所有用户接收。如果不隔离这些广播 消息而让其他用户接收到，容易发生 MAC/IP 地址仿冒，影响设备的正常运行，中 断合法用户的通信过程。 为了隔离第三层广播，增强安全性、提高网络性能，可以运用 VLAN（虚拟局 域网）技术或者使用路由设备。 使用路由器时可以将网络划分多个物理网段，这些物理网段可以连接到路由器 的多个端口，多个物理网段间通过路由器进行通信，但是路由器的端口价格远远高 出交换机的端口价格，所以这种方式将增加设备投资，在物理网段增多时就更为严 重，而且只有使用高端设备才能满足高端口密度的要求，所以不推荐这种方式。 VLAN 技术不需要特殊的设备，目前第二层交换机均支持 VLAN 技术。通过在 一个物理网段上划分出多个逻辑网段，由每一个逻辑网段构成一个 VLAN，其内部 采用交换机连接，所有的广播信息只限制在本 VLAN 内，而之间的连接则采用路由 实现，具体实施时可以外加路由器，或者直接使用第三层交换设备。使用路由器时， 将这些逻辑网段连接到路由器时可以只使用一条物理链路、占用一个路由器接口， 这样就节省了设备的投资，而使用三层交换设备时，不需要额外增加设备，只要交 换机支持三层路由功能即可，由于三层交换设备的工作效率高于路由器，所以在本 论文中推荐采用三层交换设备实现 VLAN 之间的路由。 .2 VLANVLAN 方案设计方案设计 目前，VLAN 技术可以使用以下方式组建：基于交换机端口的 VLAN、基于 MAC 地址的 VLAN 和基于应用协议的 VLAN： 基于端口的 VLAN，即静态 VLAN，特点是技术简单，容易配置且维护工作量 小，缺点是终端设备移动时需要更改设备配置。 基于 MAC 地址的 VLAN，即动态 VLAN，基于 Vlan 策略服务组建，特点是终 端设备可以在整个局域网中移动而不用改变配置，适合于移动办公型的网络环境， 缺点是配置工作量大、繁琐。 由于交换机为二层设备，所以基于应用协议的 VLAN 对于交换机来说没有任何 意义，反而会造成交换机性能的下降。 15 考虑到本系统的特点，节点在网络中内移动的可能性较小，基于易维护、易管 理方面的考虑，使用基于交换机端口的 VLAN 进行配置。 VLAN 规划参照图 2，各个 VLAN 间由 ACL 控制，限制互访。其中 VLAN1031 为部门 VLAN，禁止互访，VLAN 51 为文件服务器区，能被任何部门 访问，VLAN 52 为网管区，能单向访问各个部门。 图 2 Vlan 及 IP 地址规划图 4.34.3 第三层交换技术设计方案第三层交换技术设计方案 顾名思义，第三层交换器就是将第二层的交换器与第三层的路由器合二为一， 使路由器根据第二层的地址转发数据包以达到快速通讯，这就形成了第三层交换器。 第三层交换出现因于 ATM 与交换器的技术背景，因为传统的网络是由路由器 作为中心的。使用第二层交换器使网络速度提升，可是在网络中使用过多的交换器， 所有交换器所架构的网络可能会形成广播风暴，所以需要路由器来隔离可能会形成 的广播风暴，为了使路由器不会形成网络的瓶颈，就形成了第三层交换。VLAN 将 广播域进行分割，但透过 VLAN 进行通讯则必须通过路由器进行转发。 所有核心层交换机均为三层交换，手动打开 ip routing。 C Co or re e S Sw w 1 1 s sw w1 1 C Co or re e S Sw w 2 2 s sw w2 2 s sw w3 3 INTERNET P PI IX X防防火火墙墙 v vl la an n1 10 0 v vl la an n2 20 0 v vl la an n3 30 0 2 20 01 1. .1 1. .1 14 4. .4 4/ /3 30 0 1 19 92 2. .1 16 68 8. .1 10 0. .0 0/ /2 24 4 1 19 92 2. .1 16 68 8. .2 20 0. .0 0/ /2 24 4 1 19 92 2. .1 16 68 8. .3 30 0. .0 0/ /2 24 4 1 19 92 2. .1 16 68 8. .4 40 0. .0 0/ /2 24 4 1 19 92 2. .1 16 68 8. .5 5. .0 0/ /3 30 0 1 19 92 2. .1 16 68 8. .5 5. .4 4/ /3 30 0 1 19 92 2. .1 16 68 8. .5 5. .8 8/ /3 30 0 R Ro ou ut te er r 1 1 1 19 92 2. .1 16 68 8. .5 51 1. .0 0/ /2 24 4 O OS SP PF F B Ba ac ck kb bo on ne e 0 0 R Ro ou ut te er r 2 2 F Fi il le e S Se er rv ve er r网网管管中中心心 S Sw w4 4 1 19 92 2. .1 16 68 8. .4 45 5. .4 4/ /2 24 4 1 19 92 2. .1 16 68 8. .4 45 5. .5 5/ /2 24 4 v vl la an n1 11 1 1 19 92 2. .1 16 68 8. .1 11 1. .0 0/ /2 24 4 v vl la an n2 21 1 1 19 92 2. .1 16 68 8. .2 21 1. .0 0/ /2 24 4 v vl la an n3 31 1 1 19 92 2. .1 16 68 8. .3 31 1. .0 0/ /2 24 4 V Vl la an n 5 52 2 1 19 92 2. .1 16 68 8. .5 52 2. .0 0/ /2 24 4 V Vl la an n 5 51 1 16 4.44.4 IPIP multicastmulticast 技术方案设计技术方案设计 为了使企业网络系统成为能够承载多种应用的多媒体网络，使网络点播和网络 会议成为办公的有力工具，网络对组播的支持是必不可少的。 传统的点对点单播通信，在发送方和每一接收方需要单独的数据通道。在这种 通信方式下，源 IP 主机向指定的目标 IP 主机发送信息包。IP 信息包中的目标地址 就是 IP 网络中惟一的主机地址。从一台主机送出的每个数据包只能传送给一个目标 主机，通过路由器或交换机将这些 IP 信息包从源主机发送到目标主机。在源主机和 目标主机之间的路径上的每一个路由器都维护由单播路由协议生成的单播路由信息 库，并根据数据包中的 IP 目标地址在单播路由信息库中查找单播包转发路径。这种 传送方式称为单播。 在单播方式下，如果有另外的多个用户希望同时获得这个数据包的拷贝是不可 能的。发送信息的主机必须向每个希望接收此数据包的用户发送一份单独的数据包 拷贝。这种巨大的冗余会带来很大的代价，首先，会给发送数据的源主机带来沉重 的负担，因为它必须对每个要求都做出响应，这使得负担过于沉重主机的响应会大 大延长。其次对路由器和交换机的性能也提出了更高的要求，管理人员被迫购买本 来不必要的硬件和带宽来保证一定的服务质量。 组播路由与 IP 单播路由有一个本质的区别就是，IP 单播路由是根据网络的拓扑 结构而不是实际的会话来建立路径，而 IP 组播路由则是根据网络的会话来动态地建 立投递路径；因此，IP 组播路由比 IP 单播路由更具有动态性。 目前可用的组播路由模型有两种：稠密分布模型和稀疏分布模型。稠密分布模 型假定组播成员在网络中稠密分布，并且它们之间的网络带宽资源往往随时可用； 而稀疏分布模型假定组播成员在网络中稀疏分布，而且它们之间带宽资源往往比较 紧张。 组播和传统的单播数据传送方式如图 3 所示： 图3 组播示意图 从图中可以清楚的看出，单播传送发送数据的多个拷贝，每个拷贝发送到一个 接收者，主机轮流发送数据的拷贝，网络分别将它们转发至每个接收者，主机一次 17 只能发送至一个接收者。而组播传送则只把发送数据的一个拷贝发送到多个接收者， 主机发送数据的一个拷贝，可同时发送到多个接收者。网络在每个接收者的最后一 个路由器或主机复制它，在一个给定的网络上每一个包只传送一次。 关于组播路由设计，在企业网络核心交换机和汇聚交换机上运行 PIM-DM 组播 协议对业务及服务进行支持，并提供优秀的可扩展性；在边缘交换机上运行 IGMP Snooping 组播管理协议对业务及服务进行支持。 用户通过运行组播客户端软件的 PC 运行 IGMP 协议，用户可通过 IGMP 协议 加入某个组播组，建立成员关系。对于组播业务的具体实施及管理需根据不同的业 务类型及厂家提供设备的特点具体进行分析。 目前经常被采用的稀疏分布模型的域内组播路由协议是 PIM-SM，因此，使用 PIM-SM 作为域内组播路由协议。 PIM-SM 采用树形投递结构，被设计成限制组播报文只发给那些希望接收它的 路由器，PIM-SM 围绕一个称为汇聚点(RP，Rendezvous Point)的路由器来设计组广 播投递树；RP 在 PIM-SM 中充当广播树的树根，所有报文首先被封装后从发送者采 用单播的方式送往 RP，然后由 RP 解封后送往所有接收者。但是，在 PIM-SM 中， 某个广播组接受者可以根据一定条件选择从以 RP 为根的 RPT 树切换到以发送者为 根的所谓 SPT 树；RPT 树和 SPT 树各有其优点，RPT 树易于构造，并且可以减少 路由器中所要维护的组播状态；如果广播组会话由大量低带宽多目的广播流构成， RPT 还可以节省网络资源，而 SPT 树则可以采用最优路径，并消除封装和解封装过 程，提供更好的性能。 采用 PIM Version2 作为组播路由协议。PIM（RFC 2362）是 IETF 关于域内组 播路由协议的标准，目前为大多数组播服务提供商采用。按照规划，选择核心节点 作为整个企业网络组播系统的 RP 点，来对整个企业网络的组播进行控制。 每个部门 VLAN 划入一个多播地址： Vlan10： Vlan11： Vlan20： Vlan21： Vlan30： Vlan31： 在核心交换机和 PIX 上启用多播，命令如下： ip multicast-routing int interface # ip pim sparse-dense-mode ip igmp join-group 224.1.1.X 配置 PIX 为 RP 的命令如下： ip pim send-rp-announce Loopback0 scope 3 group-list 50 ip pim send-rp-discovery Loopback0 scope 3 18 access-list 50 permit access-list 50 permit access-list 50 permit access-list 50 permit access-list 50 permit access-list 50 permit ip pim rp-address 4.54.5 访问控制列表（访问控制列表（ACLACL）设计方案）设计方案 访问控制列表（Access Control List，ACL） 是路由器接口的指令列表，用来控 制端口进出的数据包。ACL 适用于所有的被路由协议，如 IP、IPX、AppleTalk 等。 ACL 的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议 （IP、AppleTalk 以及 IPX）的情况，那么，用户必须定义三种 ACL 来分别控制这 三种协议的数据包。 自反访问表在路由器的一边创建 I P 流量的动态开启，该过程是基于来自路由 器另一边的会话进行的。在正常的操作模式下，自反访问表被配置并用于从路由器 的不可信方，例如连接到 I n t e r n e t 的串行端口，创建开启表项。这些开启表项的 创建是基于源于设备的可信方的会话进行的，例如以太网或令牌环网的用户连接到 一个网段或连接到路由器端口的环。在该过程中，访问表执行的动作称为自反向过 滤（ reflexive filtering） 。该名称是根据此访问表的类型得来的。在 I O S 版本 11 . 3 中引入了自反访问表，并且它可用在所有的路由器平台上。 在核心层交换机上配置访问列表如下（由于各个端口配置相似，故只列出核心 交换机 SW1 上的 e0/1.1）： ip access-list extended e0/0.1-in evaluate admin deny ip 55 55 deny ip 55 55 deny ip 55 55 deny ip 55 55 deny ip 55 55 deny ip 55 55 permit ip any any exit ip access-list extended e-out permit ip any any reflect admin 19 int e0/0.1 ip access-group e-out out ip access-group e0/0.1-in in exit 4.64.6 IPIP 地址规划与路由设计方案地址规划与路由设计方案 路由组织及其方案是 IP 网络中的基本问题之一，涉及网络的连通性、可达性、 稳定性、精确性和易管理性，其设计的好坏直接影响着网络性能。路由组织应根据 网络对路由信息的需求，设计网络中路由信息的分布。 因为 IP 地址的规划与路由策略息息相关，所以在以 IP 地址规划的基础上，选 择企业网络平台中最优的路由设计方案，以下详细论述了 IP 地址规划与路由设计方 案。 .1 IPIP 地址规划方案地址规划方案 IP 地址是整个网络系统运行的基石，IP 地址规划不仅应该满足当前的需求，还 应该充分的考虑系统将来的扩展性，以满足将来发展的需要。因此需要对企业网络 系统的 IP 地址进行统一规划， IP 地址规划方案如下： 在整个网络环境中必须保持 IP 地址的唯一性； 根据业务情况，为每个单位局域网分配一个或多个 C 类地址段（指掩码为 的地址段） ，或者使用 VLSM 技术进一步进行细化，如分配 64 个（掩 码 92）或者 32 个（掩码 24）地址，满足当前要求，并留 有一定的扩充余地（如 2-3 倍） ，便于将来增加节点。 地址分配具有层次性和连续性，便于管理，即在 IP 地址规划时应该充分的考虑 利用路由汇总技术，减少路由波动，使得各局部的变动不影响整个网络的其它部分， 增加网络的稳定性，同时由于路由汇总技术能够缩减路由表项数，所以还能够提高 路由器的处理效率。 使用 VLSM 技术，在划分 IP 地址时应该尽可能的减少 IP 地址浪费： 三层交换设备之间的互联 IP 地址使用 30 位子网掩码（52） ，以节 约 IP 地址； 网络设备管理接口使用 32 位子网掩码（55） ； 在访问 Internet 时，使用 NAT 或者 PAT 技术通过防火墙设备进行地址或者端口 翻译，把私网地址转换成公网地址，以获得对 Internet 的访问； 各局域网内，根据业务情况，本着满足需求和扩展性的要求，划分并预留出以 下地址段：网络设备地址段、服务器地址段、办公网段。在划分这些网段时，需要 20 注意所有单位应该统一规划，以使地址分段全网统一，便于维护，其 IP 地址详细规 划如表 1： 表 1 IP 地址规划表 设备名设备名接口接口地址地址说明说明 PC1F0/0/24Vlan 10 PC11F0/0/24Vlan 11 PC2F0/0/24Vlan 20 PC21F0/0/24Vlan 21 PC3F0/0/24Vlan 30 PC31F0/0192.168.