企业网网络设计与实施方案

1、I 目 录摘 要 .1关键字 .1Abstract. .1Key Words .11.1. 绪论绪论 .21.1 企业网的建设意义 .21.2 企业网的发展趋势 .21.3 本文的主要内容 .32.2. 企业网关键技术分析企业网关键技术分析 .32.1 企业网技术分类 .32.2 企业网中的交换技术 .42.3 企业网中的路由技术 .52.4 企业网远程接入技术 .53.3. 概要设计概要设计 .63.1 网络设计目标 .63.2 高科通信技术有限公司企业网现状分析 .73.3 网络设计需求分析 .73.3.1 信息点需求分析.73.3.2 网络功能需求分析.73.3.3 可行性分析.84.4

2、. 网络详细设计网络详细设计 .84.1 网络设计技术选型 .84.2 拓扑结构选型 .104.3 主干网设计 .12II4.3.1 设计目标.124.3.2 主干网解决方案.124.4 子网设计 .134.5 网络安全设计 .144.5.1 DHCP存在的威胁分析及解决方案 .154.5.2 STP 高级特性部署 .154.5.3 总部与分部互联安全性部署.164.5.4 边界安全设计.164.5.5 ACL 访问控制设计 .164.6 对 INTERNET访问的实现 .164.7 设备选型 .164.8 网络拓扑结构设计 .174.9 IP地址规划 .174.9.1 IP地址需求分析.18

3、4.9.2 IP地址规划原则.184.9.3 IP地址规划方案.185.5.工程实施工程实施 .205.1 综合布线方案 .205.1.1 需求分析.205.1.2 综合布线系统结构.215.1.3 综合布线系统总体设计.225.1.4 在施工中注意事项.235.2 服务器的配置 .245.2.1 FTP 的配置 .245.2.2 WEB服务器的搭建.245.2.3 DNS 的搭建 .245.3 网络设备配置 .24结束语 .27III参考文献 .29致 谢 .301高科通信技术有限公司网络设计与实施方案高科通信技术有限公司网络设计与实施方案摘 要：企业网络系统是一个庞大而复杂的系统，它不仅为

4、现代化发展、综合信息管理和办公自动化等一系列应用提供平台，而且能够提供多种应用服务。论文以高科通信技术有限公司网络建设为背景，使用主流的企业网技术对高科通信技术有限公司企业网络进行包括主干网设计，子网设计，网络安全设计在内的整体网络方案设计；从网络综合布线、服务器配置、关键网络设备配置等方面给出具体实施步骤。在设计思想上充分考虑网络的可靠性，方案中采用主干网采用双星型拓扑结构选型，能够适应大多数企业网的需求。关键字：企业网络；网络设计；双星型；可靠性The Design and implementation of a Gaoke Communication Technical Lct Corp

5、orations NetworkAbstract：The enterprises network system is a very huge and complicated system, It is not only can provide a platform for modernization development， comprehensive information management,office automation and a series of application, but also can offer a variety of applications. With t

6、he background of Gaoke communication technology Co., LTD, the author uses the mainstream nets technology to design the Gaoke communication technology Co., LTDs network. This design main content includes backbone design, design, network security subnet design, and the Internet engineering implementat

7、ion. Fully considering the reliability of the network in the design ,The double star topology structure selection of backbone net , can adapt to the needs of the most enterprise nets.Key Words: Corporation Network ; Design of Network;Double star ;Reliability21. 绪论1.1 企业网的建设意义企业网行业是 21 世纪的朝阳行业，是目前乃至以

8、后发展潜力最大的行业之一。企业网络指的是具有一定规模的网络系统，企业网构造应该为企业提供高效而经济的信息传输和事务处理能力，以满足企业有序而高效的运行。同时它也是市场经济发展与激烈市场竞争的产物，尤其是中小型企业网，顾客对产品的需求在不断向多样化、高质量、高性能和价格合理的方向发展，更是随着经济的发展层出不穷，为应付瞬息万变的市场需求，企业网络的建设必然向信息化发展。企业网网络系统是一个非常庞大而复杂的系统，它不仅为现代化发展、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。这种基于信息技术的分布式网络化企业，当一个企业内部网络

9、增加到一定数目时，而采用 OSPF 单区域规划将会导致一些难处理的麻烦，因此如何科学的设计一个 OSPF 多区域规划企业网络系统是以后中小型企业的发展方向，OSPF 的这种将一个大型网络分成多个区域的的小网络，在单个区域内运行SPF 计算，有效的降低了计算频率，整个链路状态更新(LSU)负荷也相应的得到降低，从而让企业进行更好的信息交互。1.2 企业网的发展趋势目前国内有关中小型企业网的设计还是处于发展阶段，常用的企业网设计基本上可以满足一般用户的要求，但是现有的企业网分散且不一致，甚至有些部门或分支机构在单机上运行一些独立的应用，由于这些应用时分散决策和各自实施的结果，缺乏整体性的设计，更没

10、有统一的标准，因此在业务互相衔接的应用系统之间缺乏一致性，造成应用水平低的结果；而且现有的中小型企业网大多数是基于 RIP，单区域的 OSPF路由技术的网络设计，虽然许多功能已经基本实现，但是在性能和安全方面还有待提高1。OSPF 是一项链路状态路由技术，OSPF 协议完成路由选择和路由交换的算法是最短路径优先算法，在网络中，它虽然解决了 RIP 收敛时间长、频繁发生路由表更新信息、没有网络延迟和链路成本等缺点，但是在一些大型的网络中，尤其是那些企业内单个区域爆炸性增大到 400 个网络时将会发生一些难处理的麻烦。3(1)最短路径优先(SPF)算法的频繁计算一个企业内有几百个网络分段组成的网络

11、发生变化是难免的，因此路由器将会接收到区域内新产生的每个路由选择的更新，从而使得每一个路由器必须要用非常多的 CPU 周期来重新计算路由表，这无疑占用了网络资源、降低了路由器使用的效率。(2)大型路由表的出现每台路由器需要为每个网络维持至少一个路由条目，比如说在一个拥有 400 个网络的企业中，建设存在其他可选择路径的情况占这 400 个网络的 25%，路由表就至少会增加额外的 100 个条目2。(3)大型链路状态表的出现因为链路状态表包含网络的完整拓扑结构，所以，即使路由没有被选入路由表，每台路由器都需要为区域内的每个网络维护一个条目，从而将会产生非常大的链路状态表。针对以上问题的出现，传统

12、的单区域 OSPF 企业网的设计已经不再满足各个企业的需求了，为了解决这些问题，OSPF 被设计为可将大区域分成仍然能够交换路由选择信息的多个较小的、更易于管理的区域，OSPF 的这种将大型网络分成多个区域的能力被称为结构化路由选择，这样的设计将许多内部路由选择的运作，比如计算数据库，限制在一个区域内，这样就解决了单区域 OSPF 网络出现的问题，满足客户的实际需求。1.3 本文的主要内容本文围绕高科通信技术有限公司企业网设计方案而展开，主要有以下内容：(1)绪论 介绍企业网建设的意义以及企业网的发展趋势。(2)企业网关键技术分析 介绍在本方案设计中所涉及的技术。(3)概要设计 主要包括企业网

13、建设目标，现状分析，以及需求分析。(4)网络详细设计 根据需求分析给出的高科通信技术有限公司设计方案。(5)工程实施 包括设备配置以及综合布线方案。2. 企业网关键技术分析2.1 企业网技术分类 企业网是园区网络的一种，所用到的技术也是园区网中的技术，我们将这些实用的技术分为交换技术，路由技术，企业网络远程接入技术。(1)交换技术 所谓交换技术是指用于二层帧转发而不用于IP路由转发的技术。(2)路由技术 路由技术是指通过相互连接的网络把信息从源地点移动到目标地点的活动，一般来说，在路由过程中，信息至4少会经过一个或多个中间节点。通常，人们会把路由和交换进行对比，这主要是因为在普通用户看来两者所

14、实现的功能是完全一样的。其实，路由和交换之间的主要区别就是交换发生在 OSI 参考模型的第二层(数据链路层)，而路由发生在第三层，即网络层。这一区别决定了路由和交换在移动信息过程中使用不同的控制信息，所以两者实现各自的功能的方式是不同的。(3)远程接入技术 远程接入技术可以分为专线接入和 VPN 远程接入3。专线接入指利用 DDN 专线网络进行远端设备的连接，并且提供一系列安全措施，这种接入方式价格比较高，一般用于对稳定性要求比较高的园区网中。VPN 接入利用的是 ISP 公网，通过 VPN 自身的安全性来保证数据传输的安全性，与专线接入相比价格相对较低廉。2.2 企业网中的交换技术 在企业网

15、中使用的最多的技术就是交换技术，交换技术的成熟带动着企业网的发展。而企业网是基于这个交换架构的网络，因此在交换式的网络中有众多技术 VLAN、TRUNK、DHCP、STP、ETHERCHANNEL 等。下面分别讲述这些技术的应用。(1)VLAN 技术 VLAN(Virtual Local Area Network)即虚拟局域网，是一种逻辑广播域，它能将处于不同物理网段的主机聚集到同一个广播域中，广播不会在 VLAN 之间转发，而是被限制在各自的 VLAN 中。同时，VLAN 可以分组设备，不同 VLAN 中的设备相互不可见。从技术角度讲，VLAN 的划分方法可以分为以下几种：基于端口划分VLA

16、N、基于MAC地址划分VLAN、基于网络层协议划分VLAN、基于IP组播划分VLAN、根据子网划分VLAN、根据用户认证授权划分VLAN。(2)TRUNK 技术 TRUNK 技术是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。TRUNK 主要功能就是仅通过一条链路就可以连接多个 VLAN。(3)DHCP 技术 DHCP(Dynamic Host Configuration Protocol) 是 RFC2131R 定义的 TCP/IP 标准协议，使用 UDP 协议进行数据报传递，使用 67 以及 68 号端口，客户端使用 6

17、8 号端口向服务器发送信息，服务器使用 67 端口向客户端发送消息4。(4)STP 技术 STP(spanning-tree Protocol)即生成树协议，当交换机发现拓扑中有环时，会逻辑的阻塞一个或者更多的交换机端口来消除二层环路的技术，当网络拓扑发生变化时，运行 STP 的交换机会自动重新配置他的端口以避免环路的产生或连接丢5失5。(5)EtherChannel 即链路捆绑技术，通过对多个端口进行绑定，充分利用现有端口的优势来增加可用带宽，可以聚合多条物理链路的逻辑链路，并且实现物理链路的负载均衡，当链路中的某条物理链路故障时，可以快速重新分配负载，不中断业务，在增加带宽的同时也增强了链

18、路的可靠性。2.3 企业网中的路由技术路由技术主要应用于核心层或者出口去其他的网络，连接出自己的园区的网络，在经过接入路由器时根据 IP 包的目的地址，在路由器的路由表中查询，是否有前往目的地的路由，如果有则根据路由条目来转发 IP 包，由于在企业网的核心层会使用 2 台核心交换机做备份，则在此时可以通过路由技术HSRP(CISCO 专有的协议)或者VRRP(国际通用的协议)来实现流量负载。通过这一技术可以大大的缓解核心层中设备使用过于集中而备份设备出现闲置的情况，在企业存在分部的情况下，分部与总部需要互相连通，那么动态路由协议 OSPF 则使用的比较广泛。下面分别对这两种技术做简单介绍：(1

19、)VRRP VRRP(Virtual Router Redundancy Protocol)虚拟路由冗余协议，是一种网关冗余的协议，它通过在冗余网关之间共享协议和 MAC 地址，提供不间断的 IP 路径冗余。一组参与 VRRP 的路由器为同一 VRRP 组。在 VRRP 组内，可以分别指定各路由器的选举优先级，当 VRRP 进行选举时，首先比较选举优先级，优先级高者获胜成为 VRRP 组的 Master,失败者成为 Backup。如果两个 HSRP Router 具有相同的优先级，IP 地址大者获胜成为 Master。Master 周期性地发送 Advertisement，Backup 如果一

20、定时间内未收到 Advertisement，认为 Master Down，进行新一轮的 Master 选举，同时，VRRP 组路由器不需手动配置抢占6。 (2)OSPF OSPF(Open Shortest Path First)即最短路径优先协议，是一项链路状态路由技术，OSPF协议完成路由选择协议算法的两大功能：路径选择和路径交换。Internet工程任务协会(IETF)在 1988 年开发了 OSPF。其最近版本，OSPF 版本 2，在 RFC 2328中进行了描述。OSPF 是一种内部网关协议(IGP)，也就是说它在属于同一自治系统的路由器间发布路由选择信息。2.4 企业网远程接入技术

21、6(1)NAT 技术 网络地址转化(Net Address Translations) 是基于当前 IPV4 的状态下而发展起来的一项技术，它可以使用一个公有地址或少量公有地址来实现多用户同时上网，也可以利用 NAT 技术做一些安全性的管理，例如实现 IP 地址隐藏等7。(2)VPN 技术 VPN 的英文全称是“Virtual Private Network”即虚拟专用网络。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在 Internet 上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样。 总

22、部与分部之间建立 VPN 的远程连接，实现在 Internet 的公网上对于二者之间的私有网络的连接，并且使用加密技术以保证数据在公网上传输的安全，不仅十分方便，而且也是相当的实用。3. 概要设计3.1 网络设计目标“功欲善其事，必先利其器”，高科通信技术有限公司深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统，已迫在眉睫。高科通信技术有限公司企业网主要建设一个企业信息系统，它以管理信息为主体，连接生产、销售、维护、运营子系统，是一个面向公司的日常业务、立足生产、面向社会，辅助领导决策的计算机信息网络系统。本期项目的目标是建立如下系统：(1)构

23、造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网。(2)选用技术先进、具有容错能力的网络产品，在投资和条件允许的情况下也可采用结构容错的方法。(3)完全符合开放性规范，将业界优秀的产品集成于该综合网络平台之中。(4)具有较好的可扩展性，为今后的网络扩容作好准备。 (5)采用 OA 办公，做到集数据、图像、声音三位一体，提高企业管理效率、降低企业信息传递成本。(6)整个公司计划采用 10M 光纤接入到运营商提供的 Internet，公司统一一个出口，便于控制网络安全。7(7)设备选型上必须在技术上具有先进性，通用性，且必须便于管理，维护。应具备未来良好的可扩展性，可升级

24、性，保护公司的投资；设备要在满足该项目的功能和性能上还具有良好的性价比；设备在选型上要是拥有足够实力和市场份额的主流产品，同时也要有好的售后服务。3.2 高科通信技术有限公司企业网现状分析高科通信技术有限公司是一家集生产销售为一体的中小型企业，公司总部位于广东白云区工业园区内，公司现有办公大楼、生产大楼、员工宿舍楼各一栋，其中办公大楼 5 层，员工宿舍楼 6 层，生产大楼一层。办公大楼与员工宿舍相距 500 米。另外，在武汉有一家分公司，主要为销售业务。公司下辖微机室、财务部、行政部、生产部、研发部、后勤部、业务部、人力资源部、总裁办等部门，总部中心机房位于办公楼 3楼。分部具有信息部、财务部

25、、行政部、后勤部、业务部、人力资源部等部门。3.3 网络设计需求分析3.3.1 信息点需求分析根据企业的联网要求，可将整个网络分成以下几个部分：总部设备管理中心：位于企业总部的中心机房，是整个企业网络设备管理的核心，也是整个企业是否能够正常运作的关键。核心交换机，服务器，远程接入路由器，以及 Internet 接入均属于总部设备管理中心，便于统一管理。分部设备管理中心：对于一个分公司来讲，一个地区的网络管理和整个企业网络的设备管理是一样的，只是相对总部来讲设备比较少，管理比较容易点而已。位于每个分公司的中心机房，主要是实现办公业务和生产业务功能的路由器。办公点：企业办公。本企业网信息点统计结果

26、如表 3.1：表 3.1 高科通信技术有限公司信息点统计部门地点微机室财务部行政部生产部研发部后勤部业务部人力资源部总裁办总部 10 20 20 100 30 10 80 105分部 2 2 2 20 - 3 - -83.3.2 网络功能需求分析企业网为了方便对企业内部办公的信息交互和业务办理的管理，充分利用企业内部资源，增强网络的可靠性和安全性，该网络的主要功能需求如下：(1)全网用户都能通过边界路由器访问 Internet。其中 DNS 地址为：172. 16. 22. 22；202 .103 .96 .112。企业申请了一个公网地址:/29。(2)总部交换网络

27、STP 和 HSRP 网关备份要求。(3)总部服务器和 DHCP 要求，总部和分部都应设置 DHCP 服务器分配 IP 地址。(4)ACL 访问控制要求：分部生产业务只能访问总部生产业务及总部服务器网段；分部办公业务只能访问总部办公业务、总部服务器网段和上 Internet。(5)公司总部跟分部通过VPN进行互联，并能够通过OSPF互联总部与分部。(6)保护公司内网不受攻击。3.3.3 可行性分析(1)技术可行性本设计所涉及的技术都是本人在蓝狐学习时所接触到的内容，其中的每一项技术经过老师的讲解、自身的消化、以及反复的上机实验不断的提出问题，解决问题而得以掌握的，所以我认为在技术上是可行的。(

28、2)经济可行性目前中小型企业层出不穷，企业对网络化管理的需求也随着时代的进步而提高。因此，市场对中小型企业网络的需求是很大，其工程实施后能将投资成本回收并且盈利，并且维护起来也比较容易。(3)操作可行性本设计将详细的写出有关的操作事项，仅仅需要接入 PC 机，设置 IP 地址就可以连入到企业网络中进行正常的日常办公，即使是一个不懂电脑知识的人也可以用，因此具有操作简单、方便的特点。(4)安全可行性企业网的安全问题分为两个方面：一是企业内部业务分割与企业职工对某一业务的访问权；二是接入 Internet 后企业内部数据的安全。解决前者主要是采用划分Vlan、访问控制列表(ACL)等方法来区分各业

29、务流以及企业员工的访问权限，而后者则主要是应用防火墙技术来保证整个企业数据的安全性，防止非法的操作。总之，整个9企业的安全可靠性是比较好的。4. 网络详细设计4.1 网络设计技术选型现在的企业网络存在着多种技术，不过就目前来说最主要的是有三种技术：以太网(Ethernet)；光纤分布式数据接口(FDDI)；异步传输网络(ATM)。下面我们来分析这三种主流技术的优缺点，然后在选择一种我们认为比较合适的企业网技术。(1)以太网 以太网(Ethernet)又分为标准以太网，快速以太网和千兆以太网技术，下面分别对这三种以太网加以介绍： 标准以太网标准以太网是三种以太网中吞吐量最小的一种，为 10Mbp

30、s。是最早期的以太网标准，采用双绞线或者同轴电缆为传输介质。使用 CSMA/CD 访问控制方法来避免链路冲突8。 快速以太网快速以太网实际上是 10Mbps 以太网的 100Mbps 版本，所以它的运行速度要比10M 白皮书以太网快 10 倍。在用户已经很熟悉传统以太网的情况下，快速以太网相对其他高速网络技术更容易被掌握和接受。快速以太网与传统以太网技术相比还具备以下优点： 快速以太网和普通以太网同样遵循 CSMA/CD 协议，现有的 10baseT 网络设备可以相当简单地升级到快速以太网，保护用户原有的投资。100BaseT 集线器和网络接口卡，只要比 10BaseT 同样的设备多花少量费用

31、就可提供比普通以太网高 10 倍的性能，因此 100BaseT 具备更高的性价比 千兆以太网千兆以太网是相当成功的 10Mbps 以太网和 100Mbps 快速以太网连接标准的扩展，支持 CSMA/CD 协议、全双工、流控制和由 IEEE802.3 标准定义的管理项目，千兆位以太网将使用所有这些规范9。总之，千兆以太网与以前我们了解的以太网相同，所不同的是仅仅比快速以太网快十倍和它与当前的高带宽需求应用程序相协调的额外特性。10(2)光纤分布式数据接口 光纤分布式数据接口是一种是用光纤作为传输介质的，高速的，通用的环形网络，它能以 100Mbps 的速率跨长达 100Km 的距离，连接多达 5

32、00 个设备，既可用于城域网络，也可以用于小范围局域网。FDDI 采用令牌传递的方式解决共享信道冲突问题，与共享式以太网 CSMA/CD 的效率相比在理论上要稍高一点，然而 FDDI 与以太网一样，其本质仍是介质共享、连接的网络，这就意味着仍然不能提供服务质量，保证更高的带宽利用率。在少量站点通讯的网络环境中，它可达到比共享以太网稍高的通讯效率，但随着站点的增多，效率会急剧下降，这是侯无论从性能和价格都无法与交换式以太网，ATM 网相比，交换式 FDDI 会提高介质共享效率，但同交换式以太网一样，这一提高也是有限的，不能解决本质问题10。(3)异步传输模式(ATM) ATM 是目前网络发展的新

33、技术，它采用基于信元的异步传输模式和虚电路结构，根本上解决了多媒体的实时性及带宽问题，实现面向虚链路的点到点传输，它通常提供 155Mbps 的带宽，它既汲取了话务通讯中电路交换的“有连接”服务和服务质量保证，又保持了以太网，FDDI 等传统网络中带宽可变，适于突发性传输的灵活性，从而成为迄今为止使用范围最广，技术最先进，传输效果最理想的网络互联手段11。ATM 技术具有如下特点：实现网络传输的链接服务，实现服务质量(QoS)；交换吞吐量大，带宽利用率高，具有灵活的组网拓扑结构和负载均衡能力，伸缩性，可靠性极高：ATM 是现今唯一一个可同时用于局域网、广域网两种网络应用领域的网络技术，它将局域

34、网与广域网技术统一。由以上三种国园区网络各自特点的介绍，再结合大中型园区网络的具体情况，因此选择采用以太网技术中的快速以太网结构，即千兆到主干，百兆接入桌面的交换式快速以太网技术。4.2 拓扑结构选型网络拓扑结构是指网络中的各节点之间互联的构型，不同拓扑结构的网络其信道的访问技术，利用率以及信息的延迟，吞吐量，设备开销等各不相同，因此分别用于不同规模，不同用途的场合，其中现在企业网中所用到的拓扑结构有以下三类，下面分别介绍其各自的特点：(1)星形拓扑结构11星形拓扑结构是最古老的一种连接方式，我们每天都是用的电话属于这种结构，如图 4.1 所示。其中，电话网的星形结构，为目前使用最普通的以太网

35、星形结构，处于中心位置的网络设备称为集线器。这种结构便于集中控制，因为端用户之间的通信必须经过中心站，由于这一特点，也带来了易于维护和安全等优点。端用户因为故障而停机时也不会影响其他端用户间图 4.1 星型拓扑的通信但这种结构非常不利的一点是，中心系统必须具有极高的可靠性，因为中心系统一旦损坏，整个系统便趋于瘫痪。对此中心系统通常采用双机热备份，以提高系统的可靠性。(2)环形拓扑结构图 4.2 环形拓扑环形拓扑结构在企业网中使用较多，这种结构的传输媒体从一个端用户到另一个端用户，直到将所有端用户连成环形。如图 4.2 所示。这种结构鲜而易见消除了端用户通信时对中心系统的依赖性。 环形结构的特点

36、是，每个端用户都与两个相临的端用户相连，因而存在着点到点链接路，但总是以单向方式操作。(3)总线拓扑结构总线结构是使用同一媒体或电缆连接所有端用户的一种方式，也就是说，连接端12用户的物理媒体所有设备共享。如图 4.3 所示。使用这种结构必须解决的一个问题是确保端用户使用媒体发送数据时不能出现冲突。在点到点链路配置时，这是相当简单的。如果这条链路是半双工操作，只需要简单的机制便可保证两个端用户轮流工作。在一点到多点方式中，对线路的访问依靠控制端的探询来确定。然而，在园区网环境下，由于所有数据站都是平等的，不能采取上述机制。对此研究了一种在总线共享型网络使用的媒体访问方法，带有碰撞检测的载波侦听

37、多路访问，即 CSMA/CD。图 4.3 总线型拓扑分析以上三种常见网络拓扑各自特点，因此选择以星型拓扑结构为基础，吸取总线型拓扑的部分优点，以增加冗余结构的网络拓扑。4.3 主干网设计4.3.1 设计目标 企业网的主干网主要用来实现数据的高速稳定的转发，是企业网中的核心。子网之间的通信，企业总部与分部之间的通信都要靠主干网来实现路由转发。随着时代的发展，古老的 80/20 数据模型已经远远跟不上企业的需求，取而代之的 20/80 的数据模型，即 20%的数据在本地，而 80%的数据在远程，同时企业内部子网之间的通信数据流量也是非常大的，因此对企业主干网的要求不仅是可靠性要高，还必须做到高带宽

38、，实现数据的高速传输与高速转发。4.3.2 主干网解决方案(1)链路选型 为了实现数据在企业网内部能够高速的转发而实现数据的低延迟转发，在接入层采用百兆链路到桌面，在这种要求下，对于一个 24 口交换机而言，上行最大流量为100*24*2=4800M，从网络的可扩展性考虑，企业网汇聚层与核心层之间应该采用万兆链路比较适宜。13(2)主干网路由解决方案 在企业网中对路由协议的选择一般可以选择RIP和OSPF这两种12， RIP是一中距离矢量路由协议，根据到目标地址的跳数多少来选择路由，每 30s 发送一次路由更新，有最大 15 跳限制。OSPF是一种链路状态协议，根据链路的带宽来选择到达目标地址

39、的路由，只有在拓扑结构发生变化时才会发送链路状态更新消息，没有最大跳数限制，具有区域的概念。在高科通信技术有限公司网络设计方案中采用OSPF作为主干网的路由协议。总部核心层交换机防火墙和边界路由器组成主干区域Area 0。(3)总部与分部互联解决方案在本方案中高科通信技术有限公司总部与分部通过 VPN 互联，并且采用能封装组播数据包的GRE协议作为 VPN 的封装协议。4.4 子网设计(1)办公子网设计办公子网分布在和分部的办公大楼内，接入层交换机通过Trunk 链路分别与两台核心层交换机相连。属于同一部门的信息点划分到同一个VLAN内，在总部各部门之间的通信使用 SVI 三层逻辑接口作为相应

40、VLAN的网关，在核心层使用 VRRP 技术实现网关的冗余，从而增加网络的可靠性。在接入层与核心层之间采用了环形拓扑设计，为了避免二层环路，在核心层与接入层之间部署 STP。两台核心层交换机分别为根网桥和备份根网桥。(2)宿舍楼子网设计宿舍楼子网主要业务是对 Internet 的访问，由于距离中心机房较远，宿舍楼子网采用三层结构，接入层交换机接入到汇聚层交换机上，汇聚层交换机通过光纤链路连接到中心机房核心层交换机上，宿舍楼内每个宿舍属于同一个VLAN，通过汇聚层上 SVI接口实现VLAN之间的通信，汇聚层通过三层接口与核心层相连，在汇聚层上有默认路由来实现接入层设备到核心层从而访问 Inter

41、net 的路由。(3)分部办公子网设计企业分部主要业务为实现办公自动化，邮件，Internet 访问。企业分部相同的部门划分到同一个VLAN中，VLAN之间的通信可以由单臂路由技术实现，边界路由器接入到 Internet 中，同时配置一条默认路由指向外网，供分部访问 Internet 的路由。(4)网管子网设计14当网络建设完成后，所有的网络设备应该是可以进行管理的。在本设计方案中为了能对网络中所有的设备进行方便统一的管理，所有的设备均配置网络管理地址。对于不能启用三层接口的二层设备网管接口采用SVI接口，三层设备配置Loopback 接口作为网管接口。除了Console 口从其余接口登录设备

42、均采用 AAA 认证，并对操作行为进行审计。 (5)总部与分部VLAN的划分在本方案中对VLAN的划分采用基于端口的划分方式，相同的部门划分到相同的VLAN内，表 4.1 与表 4.2 分别列出了总部与分部VLAN的划分方案。表 4.1 总部 vlan 划分方案部门Vlan 号/Vlan 名称信息点数微机室2/weijs10财务部3/caiwb20行政部4/xingzb20生产部5/shengcb100研发部6/yanfb30后勤部7/houqb10业务部8/yewb80人力资源部9/renlzyb10总裁办10/zongcb5会议室11/huiys20服务器20/fuwq10网管55/wan

43、gg不占物理接口Ospf 互联 vlan901/hul不占物理接口表 4.2 分部 vlan 划分方案部门Vlan 号/vlan 名称信息点数微机室2/weijs2财务部3/caiwb2行政部4/xingzb2销售部5/xiaosb2015后勤部6/houqb3网管22/wangg 不占用物理接口4.5 网络安全设计4.5.1 DHCP存在的威胁分析及解决方案(1)DHCP服务器冒充由于 DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台 DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数，该安全威胁引起的后果轻则用户终端获取到不一致的IP信息，造成终端之间通信的问

44、题，重则用户终端获取不到不安全的IP信息，造成中间人攻击或者网络钓鱼13。(2)DHCP Server 的拒绝服务攻击攻击者不断发 DHCP请求把 DHCP Server 上合法的IP地址都申请完，让其“下班”此时再由黑客冒充 DHCP Server 为整个网络分配错误的IP地址，使网络不能与外界通信。(3)解决方案面对以上威胁，可以部署 DHCP Snooping 技术来解决。 DHCP Snooping 是一种功能非常强大的保证 DHCP服务安全部署的机制，通过在开启 DHCP Snooping 功能的交换机上定义Trust 端口和Untrust 端口来实现对 DHCP Server 冒充

45、防范和攻击。同时，并非所有来自Untrust 端口的 DHCP请求都被允许通过，交换机还可以比较封装 DHCP客户机的硬件地址(即 CHADDR 字段)，只有这两者相同的请求报文才会被转发，否则将被丢弃，这样就防止了 DHCP地址耗尽攻击。4.5.2 STP 高级特性部署(1)根保护根保护(Root Guard)是基于端口配置的，并且不允许该端口成为一个STP的根端口，设置了根保护的端口如果收到一个更优的新BPDU，它将把本端口设置为 Root-inconslisten 状态，该状态下不会收发数据。不会成为根端口，只会监听BPDU，当交换机拿开后这个端口又会正常收敛14。在对设备配置时，所有的

46、接入层端口全部配置STP根保护特性。16(2)Loopguard在企业网的接入层和分布层的非指定端口(边缘端口除外)部署Loopguard 保护特性，配置了 Loopguard 特性的端口在BPDU丢失持续 20 秒后变为 Loop-inconsistent 状态，该端口被Blocking 来防止循环的形成，并保持在非指定端口角色。4.5.3 总部与分部互联安全性部署在本方案中分部与总部互联采用GRE VPN来实现总部与分部的互联，GRE可以支持组播，这种情况下总部与分部可以通过OSPF动态路由协议来实现总部与分部之间的路由。然而，GRE协议本身不安全，他不对数据进行加密，这样，攻击者就可以在

47、Internet 上截获企业的数据信息。为了增强总部与分部互联的安全性，在GRE的基础上部署IPSEC 即GRE over IPSEC。4.5.4 边界安全设计企业网边界是企业网内部通向 Internet 的必经之地，同时 Internet 上的数据也是从企业网边界进入到企业网的内部，Internet 上存在着太多的不安全因素，因此，边界的安全系数决定着企业网的安全性。为了确保网络的安全性，通常的做法是部署防火墙，在防火墙上配置策略拒绝所有的非法流量，只允许合法流量进入到企业网的内部。所谓非法流量，防火墙拒绝通过的流量。下面分析本企业网中的合法流量。(1)所有目标端口为 80 的流量 即 In

48、ternet 上访问企业网站的流量；(2)分部访问总部的流量 分部对总部服务器和相关业务访问的流量；(3)OSPF流量 包括OSPF链路更新和 Hello 消息流量。4.5.5 ACL 访问控制设计在企业网内部，财务部除了总裁办和财务部成员可以访问，其余部门不能对财务部进行访问，在总部和分部都可以通过ACL访问控制列表来实现。另外应该保证只有特定的用户能对设备进行远程登录，在高科通信有限公司企业网中只有属于微机室子网用户能够对设备进行Telnet 操作。4.6 对Internet访问的实现在高科通信技术有限公司企业网建设过程中有对 Internet 访问的需求，为了节约IP地址，由于企业内部在

49、同一时间内会有多人要对 Internet 进行访问，NAT技术不能很好的满足这种需求，在本设计中采用PAT技术来实现企业网内部对 Internet 的访问。174.7 设备选型设备选型原则：(1)代表目前网络系统设备的先进水平；(2)具备较强的安全性；(3)具备优良的 RAS 性能可靠性、安全性、可维护性；(4)具备优良的可扩充性和升级能力；(5)具备优良的性价比。基于以上的设备选型原则，表 4.3 列出了设计的设备选型方案。表 4.3 设备选型设备位置设备名称优点设备数量核心层核心交换机CiscoWS-C6509-E转发速率快，设备稳定可靠2汇聚层汇聚层交换机CiscoWS-C3560-24

50、TS-S具有 12 个千兆位以太网 SFP 端口，支持单模及多模光纤2核心层防火墙Cisco PIX525基于标准的虚拟专网、自适应安全算法、静态故障切换/热备用2接入层接入层交换机CiscoWS-C2950-24TC-L可以实现堆叠，以保证端口数量足够的多16边界路由器Cisco 2811具有入侵保护防火墙功能24.8 网络拓扑结构设计高科通信技术有限公司企业网由办公子网、宿舍楼子网、服务器区、路由区以及分部子网构成，拓扑结构如图 4.4 所示。办公子网主要承载公司日常办公业务，接入层交换机直接接到公司的核心交换机上。宿舍楼子网通过两台汇聚层交换机连接到公司核心层交换机上。服务器区为公司的服

51、务器群，提供 FTP、DNS、WEB 等服务。路由区为提供全网路由，由宿舍楼汇聚层，核心层，防火墙以及所有边界路由器组成。分18部子网主要承载分部办公业务，通过单臂路由技术来实现部门之间和对 Internet 的访问。4.9 IP地址规划4.9.1 IP地址需求分析(1)所有可能接PC的信息点；(2)所有服务器；(3)网络中的所有三层链路；(4)所有设备的网络管理地址；(5)本网IP地址使用私有地址 /16 地址块进行划分。图 4.4 高科通信技术有限公司拓扑图4.9.2 IP地址规划原则(1)唯一性 应该保证全网不存在相同的IP地址(2)按子网划分 相同子网的设备的IP应

52、该划分在同一个网段内(3)可扩展性 预留一定的IP地址空间供网络扩展用(4)最大汇总原则 全网IP可以汇总成一个或较少的几个IP网段(5)实意性 使IP地址具有实际的含义，看到IP地址就知道他的用途194.9.3 IP地址规划方案本网采用先地区后业务划分方法进行IP地址分配。按照 172.16.地区位(3 位) 业务位(2 位)子网位(3 位).子网位(1 位) 主机位 规则对IP地址进行划分,表 4.4-表 4.8 列出了具体的IP地址规划方案：表 4.4 地区位代码表地区位代码地区Ip 地址段0骨干/191骨干(预留)/192总部172.16.64

53、.0/193总部(预留)/194分公司 1/19表 4.5 业务功能代码表业务功能位代码业务0三层设备 Loopback 地址1链路地址2二层交换机网管地址3办公业务表 4.6 链路及 loopback 接口 IP地址分配表设备接口Ip对端设备对端接口对端 ipS1Loopback0/32- - -S1Vlan900/30S2Vlan 900/30S1F0/1/30S3F0/1/30S1F0/0/30FW1E1

54、0/30S2Loopback0/32- - -S2F0/03/30S4F0/04/30S2F0/17/30FW2E08/30S3Loopback0/32- - -SW4Loopback0/32 - - -FW1管理地址/32- - -20FW1E21/30R1E0/02/30FW2E25/30R1E0/16/30R1Loopback0/3

55、2- - -R1Tunnel09/30R2Tunnel00/30R2Loopback0/32- - -表 4.7 总部 Vlan IP地址分配表Vlan 号IP 地址范围网关228-55/2529/25328-55/2529/254-27/25/255-27/2529/25

56、6-27/25/25728-55/2529/258-27/25/25928-55/2529/2510-27/25/251128-55/2529/2520-28/

57、25/2555/21 -表 4.8 分部Vlan IP地址分配表Vlan 号Ip 地址范围网关2-27/25/25328-55/2529/254-27/25/25528-55/2529/256-27/25172.16.1

58、54.1/2522/21 -5.工程实施5.1 综合布线方案215.1.1 需求分析高科通信技术有限公司总部园区内包括办公楼，宿舍楼和生产大楼各一栋，公司办公大楼和宿舍楼的距离已经超过了双绞线布线的技术要求，因此采用光纤进行布线。园区的综合布线系统是一个高标准的布线系统，水平系统和工作区采用超五类元件，主干采用光纤，构成主干千兆以太网。不仅能满足现有数据、语音、图像等信息传输的要求，也为今后的发展奠定基础。整个企业网共有信息点 500 个左右，公司总部公有信息点 400 左右，分公司有 100 个左右。针对以上要求，对计算机内网综合布线系统提出自己的解决方案。建筑群间的

59、光缆采用 OT-T 的多模光纤系统。大楼内布线采用 AVAYA 的超五类双绞线结构化布线结构。5.1.2 综合布线系统结构综合布线系统部分结构如图 5.1 所示：图 5.1 综合布线系统结构图根据综合布线国际标准 ISO 11801 的定义，综合布线系统可由以下子系统组成：(1)工作区子系统(Work Area Subsystem)工作区子系统由信息插座延伸至用户终端设备的布线组成，包括信息插座和相应的连接软线15。用户能方便地把计算机、电话、传真等不同的终端设备接入大楼的通信网络系统。(2)水平干线子系统(Horizontal Subsystem)水平布线子系统由楼层配线间延伸至信息插座的布

60、线组成，通常可采用超五类双22绞线，我们这里采用的是超五类双绞线，也可采用光缆以满足高传输带宽应用或长传输距离的要求。水平布线提供大楼网络通信系统到用户终端设备的信息传输16。(3)垂直干线子系统(Riser Backbone subsystem)垂直干线子系统也称骨干(Riser Backbone)子系统，它是整个建筑物综合布线系统的一部分。它提供建筑物的干线电缆，负责连接管理间子系统到设备间子系统的子系统，我们使用光缆来连接管理间子系统和设备间子系统。(4)管理间子系统(Administration subsystem)管理间子系统由交连、互连和 I/O 组成。管理间为连接其它子系统提供手