企业网网络设计与实施方案

1、企业网网络设计与实施方案1.绪论1.1企业网的建设意义企业网行业是21世纪的朝阳行业，是目前乃至以后发展潜力最大的行业之一。企业网络指的是具有一定规模的网络系统，企业网构造应该为企业提供高效而经济的信息传输和事务处理能力，以满足企业有序而高效的运行。同时它也是市场经济发展与激烈市场竞争的产物，尤其是中小型企业网，顾客对产品的需求在不断向多样化、高质虽、高性能和价格合理的方向发展，更是随着经济的发展层出不穷，为应付瞬息万变的市场需求，企业网络的建设必然向信息化发展。企业网网络系统是一个非常庞大而复杂的系统，它不仅为现代化发展、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应

2、用服务，使信息能及时、准确地传送给各个系统。这种基于信息技术的分布式网络化企业，当一个企业内部网络增加到一定数目时，而采用OSPF单区域规划将会导致一些难处理的麻烦，因此如何科学的设计一个OSPF多区域规划企业网络系统是以后中小型企业的发展方向，OSPF的这种将一个大型网络分成多个区域的的小网络，在单个区域内运行SPF计算，有效的降低了计算频率，整个链路状态更新(LSU)负荷也相应的得到降低，从而让企业进行更好的信息交互。1.2企业网的发展趋势目前国内有关中小型企业网的设计还是处于发展阶段，常用的企业网设计基本上可以满足一般用户的要求，但是现有的企业网分散且不一致，甚至有些部门或分支机构在单机

3、上运行一些独立的应用，由于这些应用时分散决策和各自实施的结果，缺乏整体性的设计，更没有统一的标准，因此在业务互相衔接的应用系统之间缺乏一致性，造成应用水平低的结果；而且现有的中小型企业网大多数是基于RIP,单区域的OSPF路由技术的网络设计，虽然许多功能已经基本实现，但是在性能和安全方面还有待提高1。OSPF是一项链路状态路由技术，OSPF协议完成路由选择和路由交换的算法是最短路径优先算法，在网络中，它虽然解决了RIP收敛时间长、频繁发生路由表更新信息、没有网络延迟和链路成本等缺点，但是在一些大型的网络中，尤其是那些企业内单个区域爆炸性增大到400个网络时将会发生一些难处理的麻烦最短路径优先(

4、SPF)算法的频繁计算个企业内有几百个网络分段组成的网络发生变化是难免的，因此路由器将会接收到区域内新产生的每个路由选择的更新，从而使得每一个路由器必须要用非常多的CPU周期来更新计算路由表，这无疑占用了网络资源、降低了路由器使用的效率。大型路由表的出现一一每台路由器需要为每个网络维持至少一个路由条目，比如说在一个拥有400个网络的企业中，建设存在其他可选择路径的情况占这400个网络的25%，路由表就至少会增加额外的100个条目2。大型链路状态表的出现一一因为链路状态表包含网络的完整拓扑结构，所以，即使路由没有被选入路由表，每台路由器都需要为区域内的每个网络维护一个条目，从而将会产生非常大的链

5、路状态表。针对以上问题的出现，传统的单区域OSPF企业网的设计已经不再满足各个企业的需求了，为了解决这些问题，OSPF被设计为可将大区域分成仍然能够交换路由选择信息的多个较小的、更易于管理的区域，OSPF的这种将大型网络分成多个区域的能力被称为结构化路由选择，这样的设计将许多内部路由选择的运作，比如计算数据库，限制在一个区域内，这样就解决了单区域OSPF网络出现的问题，满足客户的实际需求。1.3本文的主要内容本文围绕高科通信技术有限公司企业网设计方案而展开，主要有以下内容：(2) 绪论介绍企业网建设的意义以及企业网的发展趋势。(3) 企业网关键技术分析介绍在本方案设计中所涉及的技术。(4) 概

6、要设计主要包括企业网建设目标，现状分析，以及需求分析。(5) 网络详细设计根据需求分析给出的高科通信技术有限公司设计方案。(6) 工程实施包括设备配置以及综合布线方案。企业网关键技术分析2.1企业网技术分类企业网是园区网络的一种，所用到的技术也是园区网中的技术，我们将这些实用的技术分为交换技术，路由技术，企业网络远程接入技术。(1) 交换技术所谓交换技术是指用于二层帧转发而不用于IP路由转发的技术。路由技术路由技术是指通过相互连接的网络把信息从源地点移动到目标地点的活动，一般来说，在路由过程中，信息至少会经过一个或多个中间节点。通常，人们会把路由和交换进行对比，这主要是因为在普通用户看来两者所

7、实现的功能是完全一样的。其实，路由和交换之间的主要区别就是交换发生在OSI参考模型的第二层(数据链路层)，而路由发生在第三层，即网络层。这一区别决定了路由和交换在移动信息过程中使用不同的控制信息，所以两者实现各自的功能的方式是不同的。远程接入技术远程接入技术可以分为专线接入和VPN远程接入3。专线接入指利用DDN专线网络进行远端设备的连接，并且提供一系列安全措施，这种接入方式价格比较高，一般用于对稳定性要求比较高的园区网中。VPN接入利用的是ISP公网，通过VPN自身的安全性来保证数据传输的安全性，与专线接入相比价格相对较低廉。2.2企业网中的交换技术在企业网中使用的最多的技术就是交换技术，交

8、换技术的成熟带动着企业网的发展。而企业网是基于这个交换架构的网络，因此在交换式的网络中有众多技术VLAN、TRUNK、DHCP、STP、ETHERCHANNEL等。下面分别讲述这些技术的应用。VLAN技术VLAN(VirtualLocalAreaNetwork)即虚拟局域网，是一种逻辑广播域，它能将处于不同物理网段的主机聚集到同一个广播域中，广播不会在VLAN之间转发，而是被限制在各白的VLAN中。同时，VLAN可以分组设备，不同VLAN中的设备相互不可见。从技术角度讲，VLAN的划分方法可以分为以下几种：基于端口划分VLAN、基于MAC地址划分VLAN、基于网络层协议划分VLAN、基于IP组

9、播划分VLAN、根据子网划分VLAN、根据用户认证授权划分VLAN。TRUNK技术TRUNK技术是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。TRUNK主要功能就是仅通过一条链路就可以连接多个VLAN。DHCP技术DHCP(DynamicHostConfigurationProtocol)是RFC2131R定义的TCP/IP标准协议，使用UDP协议进行数据报传递，使用67以及68号端口，客户端使用68号端口向服务器发送信息，服务器使用67端口向客户端发送消息4。STP技术STP(spanning-treeProtocol即

10、生成树协议，当交换机发现拓扑中有环时，会逻辑的阻塞一个或者更多的交换机端口来消除二层环路的技术，当网络拓扑发生变化时，运行STP的交换机会自动里新配置他的端口以避免环路的产生或连接丢失5。EtherChannel即链路捆绑技术，通过对多个端口进彳亍绑定，充分利用现有端口的优势来增加可用带宽，可以聚合多条物理链路的逻辑链路，并且实现物理链路的负载均衡，当链路中的某条物宽的同时也增强了链路的可靠性。理链路故障时，可以快速里新分配负载，不中断业务，在增加带2.3企业网中的路由技术路由技术主要应用于核心层或者出口去其他的网络，连接出自己的园区的网络，在经过接入路由器时根据IP包的目的地址，在路由器的路

11、由表中查询，是否有前往目的地的路由，如果有则根据路由条目来转发IP包，由于在企业网的核心层会使用2台核心交换机做备份，则在此时可以通过路由技术一一HSRP(CISCO专有的协议)或者VRRP(国际通用的协议)来实现流虽负载。通过这一技术可以大大的缓解核心层中设备使用过于集中而备份设备出现闲置的情况，在企业存在分部的情况下，分部与总部需要互相连通，那么动态路由协议OSPF则使用的比较广泛。下面分别对这两种技术做简单介绍：VRRPVRRP(VirtualRouterRedundancyProtocol)虚拟路由冗余协议，是一种网关冗余的协议，它通过在冗余网关之间共享协议和MAC地址，提供不间断的I

12、P路径冗余。一组参与VRRP的路由器为同一VRRP组。在VRRP组内，可以分别指定各路由器的选举优先级，当VRRP进行选举时，首先比较选举优先级，优先级高者获胜成为VRRP组的Master,失败者成为Backup。如果两个HSRPRouter具有相同的优先级，IP地址大者获胜成为Master。Master周期性地发送Advertisement,Backup如果一定时间内未收到Advertisement,认为MasterDown，进彳亍新一轮的Master选举，同时，VRRP组路由器不需手动配置抢占6。OSPFOSPF(OpenShortestPathFirst即最短路径优先协议，是一项链路状态

13、路由技术，OSPF协议完成路由选择协议算法的两大功能：路径选择和路径交换。Internet工程任务协会(IETF)在1988年开发了OSPF。其最近版本，OSPF版本2,在RFC2328中进行了描述。OSPF是一种内部网关协议(IGP),也就是说它在属于同一自治系统的路由器间发布路由选择信息。2企业网远程接入技术NAT技术网络地址转化(NetAddressTranslations)是基于当前IPV4的状态下而发展起来的一项技术，它可以使用一个公有地址或少虽公有地址来实现多用户同时上网，也可以利用NAT技术做一些安全性的管理，例如实现IP地址隐藏等。VPN技术VPN的英文全称是“VirtualP

14、rivateNetwork”即虚拟专用网络。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样。总部与分部之间建立VPN的远程连接，实现在Internet的公网上对于二者之间的私有网络的连接，并且使用加密技术以保证数据在公网上传输的安全，不仅十分方便，而且也是相当的实用。概要设计3.1网络设计目标“功欲善其事，必先利其器”，高科通信技术有限公司深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支

15、撑系统，已迫在眉睫。高科通信技术有限公司企业网主要建设一个企业信息系统，它以管理信息为主体，连接生产、销售、维护、运营子系统，是一个面向公司的日常业务、立足生产、面向社会，辅助领导决策的计算机信息网络系统。本期项目的目标是建立如下系统：(2) 构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网。选用技术先进、具有容错能力的网络产品，在投资和条件允许的情况下也可采用结构容错的方法。(3) 完全符合开放性规范，将业界优秀的产品集成于该综合网络平台之中。(4) 具有较好的可扩展性，为今后的网络扩容作好准备。采用OA办公，做到集数据、图像、声音三位一体，提高企业管理效率、降低

16、企业信息传递成本。整个公司计划采用10M光纤接入到运营商提供的Internet，公司统个出口，便于控制网络安全。(5) 设备选型上必须在技术上具有先进性，通用性，且必须便于管理，维护。应具备未来良好的可扩展性，可升级性，保护公司的投资；设备要在满足该项目的功能和性能上还具有良好的性价比；设备在选型上要是拥有足够实力和市场份额的主流产品，同时也要有好的售后服务。3.2高科通信技术有限公司企业网现状分析高科通信技术有限公司是一家集生产销售为一体的中小型企业，公司总部位于广东白云区工业园区内，公司现有办公大楼、生产大楼、员工宿舍楼各一栋，其中办公大楼5层，员工宿舍楼6层，生产大楼一层。办公大楼与员工

17、宿舍相距500米。另外，在武汉有一家分公司，主要为销售业务。公司下辖微机室、财务部、彳亍政部、生产部、研发部、后勤部、业务部、人力资源部、总裁办等部门，总部中心机房位于办公楼3楼。分部具有信息部、财务部、彳亍政部、后勤部、业务部、人力资源部等部门。3.3网络设计需求分析3.3.1信息点需求分析根据企业的联网要求，可将整个网络分成以下几个部分：总部设备管理中心：位于企业总部的中心机房，是整个企业网络设备管理的核心，也是整个企业是否能够正常运作的关键。核心交换机，服务器，远程接入路由器，以及Internet接入均属于总部设备管理中心，便于统一管理。分部设备管理中心：对于一个分公司来讲，一个地区的网

18、络管理和整个企业网络的设备管理是一样的，只是相对总部来讲设备比较少，管理比较容易点而已。位于每个分公司的中心机房，主要是实现办公业务和生产业务功能的路由器。办公点：企业办公。本企业网信息点统计结果如表3.1:表3.1高科通信技术有限公司信息点统计部门财务部行政部生产部研发部后勤部人力资源地点微机室业务部部总裁办总部102020100301080105分部22220-3-3.3.2网络功能需求分析企业网为了方便对企业内部办公的信息交互和业务办理的管理，充分利用企业内部资源，增强网络的可靠性和安全性，该网络的主要功能需求如下：全网用户都能通过边界路由器访问Internet。其中DNS地址为：172

19、.16.22.2212。企业申请了一个公网地址:/29。(1) 总部交换网络STP和HSRP网关备份要求。(2) 总部服务器和DHCP要求，总部和分部都应设置DHCP服务器分配IP地址。(3) ACL访问控制要求：分部生产业务只能访问总部生产业务及总部服务器网段；Internet分部办公业务只能访问总部办公业务、总部服务器网段和上公司总部跟分部通过VPN进行互联，并能够通过OSPF互联总部与分部。(4) 保护公司内网不受攻击。3.3.3可行性分析技术可行性本设计所涉及的技术都是本人在蓝狐学习时所接触到的内容，其中的每一项技术经过老师的讲解、自身

20、的消化、以及反复的上机实验不断的提出问题，解决问题而得以掌握的，所以我认为在技术上是可行的。(1) 经济可行性目前中小型企业层出不穷，企业对网络化管理的需求也随着时代的进步而提高。因此，市场对中小型企业网络的需求是很大，其工程实施后能将投资成本回收并且盈利，并且维护起来也比较容易。操作可行性本设计将详细的写出有关的操作事项，仅仅需要接入PC机，设置IP地址就可以连入到企业网络中进行正常的日常办公，即使是一个不懂电脑知识的人也可以用，因此具有操作简单、方便的特点。安全可行性企业网的安全问题分为两个方面：一是企业内部业务分割与企业职工对某一业务的访问权；二是接入Internet后企业内部数据的安全

21、。解决前者主要是采用划分Vian、访问控制列表(ACL)等方法来区分各业务流以及企业员工的访问权限，而后者则主要是应用防火墙技术来保证整个企业数据的安全性，防止非法的操作。总之，整个企业的安全可靠性是比较好的。4.9.2网络详细设计4.1网络设计技术选型现在的企业网络存在着多种技术，不过就目前来说最主要的是有三种技术：以太网(Ethernet);光纤分布式数据接口(FDDI);异步传输网络(ATM)。下面我们来分析这三种主流技术的优缺点，然后在选择一种我们认为比较合适的企业网技术。以太网以太网(Ethernet)又分为标准以太网，快速以太网和千兆以太网技术，下面分别对这三种以太网加以介绍：标准

22、以太网标准以太网是三种以太网中吞吐虽最小的一种，为10Mbps。是最早期的以太网标准，采用双(1) 绞线或者同轴电缆为传输介质。使用CSMA/CD访问控制方法来避免链路冲突8快速以太网快速以太网实际上是10Mbps以太网的100Mbps版本，所以它的运行速度要比10M白皮书以太网快10倍。在用户已经很熟悉传统以太网的情况下，快速以太网相对其他高速网络技术更容易被掌握和接受。快速以太网与传统以太网技术相比还具备以下优点：八、?快速以太网和普通以太网同样遵循CSMA/CD协议，现有的10baseT网络设备可以相当简单地升级到快速以太网，保护用户原有的投资。100BaseT集线器和网络接口卡，只要比

23、10BaseT同样的设备多花少虽费用就可提供比普通以太网高10倍的性能，因此100BaseT具备更高的性价比千兆以太网千兆以太网是相当成功的10Mbps以太网和100Mbps快速以太网连接标准的扩展，支持CSMA/CD协议、全双工、流控制和由IEEE802.3标准定义的管理项目，千兆位以太网将使用所有这些规范9。总之，千兆以太网与以前我们了解的以太网相同，所不同的是仅仅比快速以太网快十倍和它与当前的高带宽需求应用程序相协调的额外特性。光纤分布式数据接口光纤分布式数据接口是一种是用光纤作为传输介质的，高速的，通用的环形网络，它能以100Mbps的速率跨长达100Km的距离，连接多达500个设备，

24、既可用于城域网络，也可以用于小范围局域网。FDDI采用令牌传递的方式解决共享信道冲突问题，与共享式以太网CSMA/CD的效率相比在理论上要稍高一点，然而FDDI与以太网一样，其本质仍是介质共享、连接的网络，这就意味着仍然不能提供服务质虽，保证更高的带宽利用率。在少虽站点通讯的网络环境中，它可达到比共享以太网稍高的通讯效率，但随着站点的增多，效率会急剧下降，这是侯无论从性能和价格都无法与交换式以太网，ATM网相比，交换式FDDI会提高介质共享效率，但同交换式以太网一样，这一提高也是有限的，不能解决本质问题10。异步传输模式(ATM)ATM是目前网络发展的新技术，它采用基于信元的异步传输模式和虚电

25、路结构，根本上解决了多媒体的实时性及带宽问题，实现面向虚链路的点到点传输，它通常提供155Mbps的带宽，它既汲取了话务通讯中电路交换的有连接”服务和服务质虽保证，又保持了以太网，FDDI等传统网络中带宽可变，适于突发性传输的灵活性，从而成为迄今为止使用范围最广，技术最先进，传输效果最理想的网络互联手段11。ATM技术具有如下特点：实现网络传输的链接服务，实现服务质虽(QoS);交换吞吐虽大，带宽利用率高，具有灵活的组网拓扑结构和负载均衡能力，伸缩性，可靠性极高：ATM是现今唯一一个可同时用于局域网、广域网两种网络应用领域的网络技术，它将局域网与广域网技术统一。由以上三种国园区网络各自特点的介

26、绍，再结合大中型园区网络的具体情况，因此选择采用以太网技术中的快速以太网结构，即千兆到主干，百兆接入桌面的交换式快速以太网技术。5.1.3拓扑结构选型网络拓扑结构是指网络中的各节点之间互联的构型，不同拓扑结构的网络其信道的访问技术，利用率以及信息的延迟，吞吐设备开销等各不相同，因此分别用于不同规模，不同用途的场合，其中现在企业网中所用到的拓扑结构有以下三类，下面分别介绍其各自的特点：(1)星形拓扑结构星形拓扑结构是最古老的一种连接方式，我们每天都是用的电话属于这种结构，如图4.1所示。其中，电话网的星形结构，为目前使用最普通的以太网星形结构，处于中心位置的网络设备称为集线器。这种结构便于集中控

27、制，因为端用户之间的通信必须经过中心站，由于这一特点，也带来了易于维护和安全等优点。端用户因为故障而停机时也不会影响其他端用户间图4.1星型拓扑的通信但这种结构非常不利的一点是，中心系统必须具有极高的可靠性，因为中心系统一旦损坏，整个系统便趋于瘫痪。对此中心系统通常采用双机热备份，以提高系统的可靠性。(2)环形拓扑结构图4.2环形拓扑环形拓扑结构在企业网中使用较多，这种结构的传输媒体从一个端用户到另一个端用户，直到将所有端用户连成环形。如图4.2所示。这种结构鲜而易见消除了端用户通信时对中心系统的依赖性。环形结构的特点是，每个端用户都与两个相临的端用户相连，因而存在着点到点链接路，但总是以单向

28、方式操作。总线拓扑结构总线结构是使用同一媒体或电缆连接所有端用户的一种方式，也就是说，连接端用户的物理媒体所有设备共享。如图4.3所示。使用这种结构必须解决的一个问题是确保端用户使用媒体发送数据时不能出现冲突。在点到点链路配置时，这是相当简单的。如果这条链路是半双工操作，只需要简单的机制便可保证两个端用户轮流工作。在一点到多点方式中，对线路的访问依靠控制端的探询来确定。然而，在园区网环境下，由于所有数据站都是平等的，不能采取上述机制。对此研究了一种在总线共享型网络使用的媒体访问方法，带有碰撞检测的载波侦听多路访问，即CSMA/CD图4.3总线型拓扑分析以上三种常见网络拓扑各自特点，因此选择以星

29、型拓扑结构为基础，吸取总线型拓扑的部分优点，以增加冗余结构的网络拓扑。4.3主干网设计4.3.1设计目标企业网的主干网主要用来实现数据的高速稳定的转发,是企业网中的核心。子网之间的通信，企业总部与分部之间的通信都要靠主干网来实现路由转发随着时代的发展,古老的80/20数据模型已经远远跟不上企业的需求，取而代之的20/80的数据模型，即20%的数据在本地，而80%的数据在远程，同时企业内部子网之间的通信数据流虽也是非常大的，因此对企业主干网的要求不仅是可靠性要高，还必须做到高带宽，实现数据的高速传输与高速转发。4.3.2主干网解决方案链路选型为了实现数据在企业网内部能够高速的转发而实现数据的低延

30、迟转发,在接入层米用百兆链路到桌面，在这种要求下，对于一个24口交换机而言，上行最大流虽为100*24*2=4800M,从网络的可扩展性考虑，企业网汇聚层与核心层之间应该采用万兆链路比较适宜。主干网路由解决方案在企业网中对路由协议的选择一般可以选择RIP和OSPF这两种12,RIP是一中距离矢虽路由协议，根据到目标地址的跳数多少来选择路由，每30S发送一次路由更新，有最大15跳限制。OSPF是一种链路状态协议，根据链路的带宽来选择到达目标地址的路由，只有在拓扑结构发生变化时才会发送链路状态更新消息，没有最大跳数限制，具有区域的概念。在高科通信技术有限公司网络设计方案中采用OSPF作为主干网的路

31、由协议。总部核心层交换机防火墙和边界路由器组成主干区域Area0。总部与分部互联解决方案在本方案中高科通信技术有限公司总部与分部通过VPN互联，并且采用能封装组播数据包的GRE协议作为VPN的封装协议。子网设计办公子网设计办公子网分布在和分部的办公大楼内，接入层交换机通过Trunk链路分别与两台核心层交换机相连。属于同一部门的信息点划分到同一个VLAN内，在总部各部门之间的通信使用SVI三层逻辑接口作为相应VLAN的网关，在核心层使用VRRP技术实现网关的冗余，从而增加网络的可靠性。在接入层与核心层之间采用了环形拓扑设计，为了避免二层环路，在核心层与接入层之间部署STP。两台核心层交换机分别为

32、根网桥和备份根网桥。1 宿舍楼子网设计宿舍楼子网主要业务是对Internet的访问，由于距离中心机房较远，宿舍楼子网采用三层结构，接入层交换机接入到汇聚层交换机上，汇聚层交换机通过光纤链路连接到中心机房核心层交换机上，宿舍楼内每个宿舍属于同一个VLAN，通过汇聚层上SVI接口实现VLAN之间的通信，汇聚层通过三层接口与核心层相连，在汇聚层上有默认路由来实现接入层设备到核心层从而访问Internet的路由。分部办公子网设计企业分部主要业务为实现办公自动化，邮件，Internet访问。企业分部相同的部门划分到同一个VLAN中，VLAN之间的通信可以由单臂路由技术实现，边界路由器接入到Interne

33、t中,同时配置一条默认路由指向外网，供分部访问Internet的路由。网管子网设计当网络建设完成后，所有的网络设备应该是可以进行管理的。在本设计方案中为了能对网络中所有的设备进行方便统一的管理，所有的设备均配置网络管理地址。对于不能启用三层接口的二层设备网管接口采用SVI接口，三层设备配置Loopback接口作为网管接口。除了console口从其余接口登录设备均采用AAA认证，并对操作行为进行审计。5总部与分部VLAN的划分在本方案中对VLAN的划分采用基于端口的划分方式，相同的部门划分到相同的VLAN内，表4.1与表4.2分别列出了总部与分部VLAN的划分方案。表4.1总部vlan划分方案部

34、门Vlan号/Vian名称信息点数微机室2/weijs10财务部3/caiwb20行政部4/xingzb20生产部5/shengcb100研发部6/yanfb30后勤部7/houqb10业务部8/yewb80人力资源部9/renlzyb10总裁办10/zongcb5会议室11/huiys20服务器20/fuwq10网管55/wangg不占物理接口Ospf互联vlan901/hul不占物理接口表4.2分部vlan划分方案部门Vlan号/vlan名称信息点数微机室2/weijs2财务部3/caiwb2行政部4/xingzb2销售部5/xiaosb20后勤部6/houqb3网管22/wangg不占用

35、物理接口4.5网络安全设计DHCP存在的威胁分析及解决方案DHCP服务器冒充由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数，该安全威胁引起的后果轻则用户终端获取到不一致的IP信息，造成终端之间通信的问题，里则用户终端获取不到不安全的IP信息，造成中间人攻击或者网络钓鱼13】。dhcpServer的拒绝服务攻击攻击者不断发dhcp请求把dhcpServer上合法的ip地址都申请完，让其下班”此时再由黑客冒充dhcpServer为整个网络分配错误的IP地址，使网络不能与外界通信。(3)解决方案面对以上威胁，可以部

36、署DHCPSnooping技术来解决。dhcpSnooping是一种功能非常强大的保证DHCP服务安全部署的机制，通过在开启DHCPSnooping功能的交换机上定义Trust端口和untrust端口来实现对dhcpServer冒充防范和攻击。同时，并非所有来自untrust端口的DHCP请求都被允许通过，交换机还可以比较圭寸装dhcp客户机的硬件地址(即CHADDR字段)，只有这两者相同的请求报文才会被转发，否则将被丢弃，这样就防止了dhcp地址耗尽攻击。STP高级特性部署根保护根保护(RootGuard)是基于端口配置的，并且不允许该端口成为一个STP的根端口，设置了根保护的端口如果收到一

37、个更优的新bpdu,它将把本端口设置为Root-inconslisten状态，该状态下不会收发数据。不会成为根端口，只会监听bpdu,当交换机拿开后这个端口又会正常收敛14】。在对设备配置时，所有的接入层端口全部配置STP根保护特性。Loopguard在企业网的接入层和分布层的非指定端口(边缘端口除外)部署Loopguard保护特性，配置了Loopguard特性的端口在bpdu丢失持续20秒后变为Loop-ineonsistent状态，该端口被Blocking来防止循环的形成，并保持在非指定端口角色。总部与分部互联安全性部署在本方案中分部与总部互联采用GREVpN来实现总部与分部的互联，GRE

38、可以支持组播，这种情况下总部与分部可以通过OSpF动态路由协议来实现总部与分部之间的路由。然而，GRE协议本身不安全，他不对数据进彳亍加密，这样，攻击者就可以在Internet上截获企业的数据信息。为了增强总部与分部互联的安全性，在GRE的基础上部署IpSEC即GREoverIpSEC。边界安全设计企业网边界是企业网内部通向Internet的必经之地，同时Internet上的数据也是从企业网边界进入到企业网的内部，Internet上存在着太多的不安全因素，因此，边界的安全系数决定着企业网的安全性。为了确保网络的安全性，通常的做法是部署防火墙，在防火墙上配置策略拒绝所有的非法流虽，只允许合法流虽

39、进入到企业网的内部。所谓非法流虽，防火墙拒绝通过的流虽。下面分析本企业网中的合法流虽。所有目标端口为80的流虽即Internet上访问企业网站的流虽；分部访问总部的流虽分部对总部服务器和相关业务访问的流虽；OSpF流虽包括OSpF链路更新和Hello消息流虽。ACL访问控制设计在企业网内部，财务部除了总裁办和财务部成员可以访问，其余部门不能对财务部进行访问，在总部和分部都可以通过ACL访问控制列表来实现。另外应该保证只有特定的用户能对设备进行远程登录，在高科通信有限公司企业网中只有属于微机室子网用户能够对设备进行Telnet操作。4.6对Internet访问的实现在高科通信技术有限公司企业网建

40、设过程中有对Internet访问的需求，为了节约IP地址，由于企业内部在同一时间内会有多人要对Internet进行访问，NAT技术不能很好的满足这种需求，在本设计中采用pat技术来实现企业网内部对Internet的访问。4.7设备选型设备选型原则：代表目前网络系统设备的先进水平；具备较强的安全性；具备优良的RAS性能一可靠性、安全性、可维护性;具备优良的可扩充性和升级能力;具备优良的性价比。基于以上的设备选型原则，表4.3列出了设计的设备选型方案。表4.3设备选型设备位置设备名称优点设备数量Cisco转发速率快，设备稳定核心层核心交换机WS-C6509-E可靠2Cisco具有12个千兆位以太网

41、SFP汇聚层一汇聚层交换机WS-C3560-24TS-S端口，支持单模及多模光纤2基于标准的虚拟专网、核心层一防火墙CiscoPIX525白适应安全算法、静态2故障切换/热备用Cisco可以实现堆叠，以保证接入层一接入层交换机WS-C2950-24TC-L端口数量足够的多16具有入侵保护防火墙边界路由器Cisco2811功能24.8网络拓扑结构设计高科通信技术有限公司企业网由办公子网、宿舍楼子网、服务器区、路由区以及分部子网构成,拓扑结构如图4.4所示。办公子网主要承载公司日常办公业务，接入层交换机直接接到公司的核心交换机上。宿舍楼子网通过两台汇聚层交换机连接到公司核心层交换机上。服务器区为公

42、司的服务器群，提供FTP、DNS、WEB等服务。路由区为提供全网路由，由宿舍楼汇聚层，核心层，防火墙以及所有边界路由器组成。分部子网主要承载分部办公业务，通过单臂路由技术来实现部门之间和对Internet的访问。4.9IP地址规划4.9.1IP地址需求分析有可能接PC的信息点；有服务器；网络中的所有三层链路；所有设备的网络管理地址；本网IP地址使用私有地址/16地址块进行划分高科通信技术有限公司网络拓扑图图4.4高科通信技术有限公司拓扑图一少IP地址规划原则子网唯一性应该保证全网不存在相同的IP地址按子网划分相同子网的设备的IP应该划分在同一个网段内可扩展性预留一定的IP地

43、址空间供网络扩展用最大汇总原则全网IP可以汇总成一个或较少的几个IP网段实意性使IP地址具有实际的含义，看到IP®fft知道他的用途宿舍搂子网分部子网IP地址规划方案本网采用先地区后业务划分方法进行IP地址分配。按照172.16地区位（3位）业务位（2位）子网位（3位）.子网位（1位）主机位规则对IP地址进行划分，表4.4-表4.8列出了具体的IP地址规划方案：表4.4地区位代码表地区位代码地区Ip地址段0骨干172.16.O.O/191骨干（预留）172.16.32.O/192总部172.16.64.O/193总部（预留）172.16.96.O/194分公司1172.16.128.

44、O/19表4.5业务功能代码表业务功能位代码业务0三层设备Loopback地址1链路地址2二层交换机网管地址3办公业务表4.6链路及loopback接口IP地址分配表设备接口Ip对端设备对端接口对端ipS1LoopbackO172.16.O.1/32-S1Vian900/3OS2Vian9OO/3OS1FO/1/3OS3FO/1/3OS1F0/0/3OFW1E1O/3OS2LoopbackO172.16.O.2/32-S2F0/03/3OS4FO/O172

45、.16.8.14/3OS2FO/17/3OFW2EO8/3OS3LoopbackO172.16.O.3/32-SW4LoopbackO172.16.O.4/32-FW1管理地址172.16.O.5/32-FW1E21/3OR1EO/O2/3OFW2E25/3OR1EO/16/3OR1TunnelO9/30R2Tunnel。0/30R2LoopbackO/32-表4.7总部Vianip地址分配表Vlan号IP地址范围

46、网关2 28-55/2529/253 28-55/2529/254 -27/25/255 -27/2529/256 -27/25/257 28-55/2529/258 -172.16

47、.59.127/25/259 28-55/2529/2510 -27/25/2511 28-55/2529/2520-28/25/2555/21-表4.8分部Vianip地址分配表Vian号Ip地址范围网关2 -27/25172.16.152.

48、1/253 28-55/2529/254 -27/25/255 28-55/2529/256 -27/25/2522/21-4.9.3工程实施5.1综合布线方案5.1.1需求分析公大楼和宿高科通信技术有限公司总部园区内包括办公楼，宿舍楼和生产大楼各一栋，公司办舍楼的距离已经超过了双绞线布

49、线的技术要求，因此采用光纤进行布线。园区的综合布线系统是一个高标准的布线系统，水平系统和工作区采用超五类元件，主干采用光纤，构成主干千兆以太网。不仅能满足现有数据、语音、图像等信息传输的要求，也为今后的发展奠定基础。整个企业网共有信息点500个左右，公司总部公有信息点400左右，分公司有100个左右。针对以上要求，对计算机内网综合布线系统提出自己的解决方案。建筑群间的光缆采用OT-T的多模光纤系统。大楼内布线采用AVAYA的超五类双绞线结构化布线结构。5.1.2综合布线系统结构综合布线系统部分结构如图5.1所示：信息插座图5.1综合布线系统结构图根据综合布线国际标准ISO11801的定义，综合

50、布线系统可由以下子系统组成：工作区子系统(WorkAreaSubsystem)工作区子系统由信息插座延伸至用户终端设备的布线组成，包括信息插座和相应的连接软线口5】。用户能方便地把计算机、电话、传真等不同的终端设备接入大楼的通信网络系统。水平干线子系统(HorizontalSubsystem)水平布线子系统由楼层配线间延伸至信息插座的布线组成，通常可采用超五类双绞线，我们这里采用的是超五类双绞线，也可采用光缆以满足高传输带宽应用或长传输距离的要求。水平布线提供大楼网络通信系统到用户终端设备的信息传输1切。垂直干线子系统(RiserBackbonesubsystem)垂直干线子系统也称骨干(Ri

51、serBackbone子系统，它是整个建筑物综合布线系统的一部分。它提供建筑物的干线电缆，负责连接管理间子系统到设备间子系统的子系统，我们使用光缆来连接管理间子系统和设备间子系统。管理间子系统(Administrationsubsystem)管理间子系统由交连、互连和I/O组成。管理间为连接其它子系统提供手段，它是连接垂直干线子系统和水平干线子系统的设备，其主要设备是配线架、HUB和机柜、电源。建筑群子系统(BuildingBackboneSubsystem)建筑群子系统由大楼配线间延伸至各楼层配线间的布线组成。该子系统亦包括各配线间的配线架，跳接线等。采用的线缆是超五类双绞线。大楼配线间和楼

52、层配线间通常也用于放置网络设备和其他有源设备。建筑群子系统提供大楼内通信网络信息交换的主干通道。设备间子系统(EquipmentSubsystem)设备间子系统也称设备子系统，设备间子系统由电缆、连接器和相关支撑硬件组成。它把各种公共系统设备的多种不同设备互连起来，其中包括邮电部门的光缆、同轴电缆、程控交换机等。综合布线系统总体设计为了满足高科通信技术有限公司将来灵活组网的需要，在公司总部办公楼、分公司等建筑物内各设有配线间。整个园区设备间机房安置在总部办公大楼的4楼，各分公司的设备间机放安置在各分公司的一楼。为充分满足公司内部及对外高速高容虽信息通信的需要，系统采用高速高容虽的多模光纤作为园

53、区的网络主干。建筑物内采用先进的超五类非屏蔽布线系统。根据技术规范，选用高性能UTP非屏蔽系统，传输参数可达到200MHz，通道传输性能在200MHz时ACR>3dB,250MHz时ACR>0dB，通道传输性能不低于招标技术要求所附性能参数表的要求。因此，本方案建议采用AVAYA超五类UTP产品，其传输带宽可达200MHZ以上，可靠支持新的千兆以太网、2.4GbpsATM及高达550MHZ的宽带语音应用，为今后新的高速网络应用留有充足的性能余虽。在施工中注意事项仔细查阅其它专业的施工图纸在施工前，必须仔细查阅其他专业的施工图纸，尤其是土建结构施工图、水、电、通风施工图。因为水平路由

54、的长短将会对设计的等级有一定的影响，而土建结构施工图、水、电、通风施工图对水平布线子系统管线路由的走向影响最大。在审图时，建议用比例尺在图纸上认真测虽，为水平布线子系统找出最合理的路由走向，这样既节省水平线缆的长度，又避免与其他专业管路发生冲突，由于电气专业管线不可避免的要与其他各专业管路交又更叠，发生矛盾的现象，给土建专业带来地面超高等问题。综合布线一般由专业公司负责安装调试，施工方仅做管路预埋、线缆敷设，如果在施工中敷衍了事，不遵循“管线路由最短”的原则，就会增加水平布线子系统管线的长度，不利于提高综合布线系统的通信能力、不利于通信系统的稳定性、不利于通信传输速率的提高。建议在施工中应满足

55、设计余虽因为在实际施工中，不可能使水平线缆一直保持直线路由，所以实际安装中，需要的线缆总会比图纸上统计的虽大的多，这就需要电气工程师考虑一定的余虽。余员的计算方法是将一张平面图纸上离配线架最远的信息点的线缆图纸长度（图纸上用比例尺虽出的长度），和最近的信息点的线缆图纸长度相加，除以2,得出得数值为信息点的平均图纸长度，取平均长度的30%作为余虽，否则就会造成不必要的材料浪费或不足。采用质虽可靠的管路和线缆在大多数设计中，水平布线子系统是被设计在吊顶、墙体或底板内的，所以可以认为水平子系统是不可更改、永久的系统。在安装中，应尽虽使用性能优良、质虽可靠的管路和线缆，保证用户日后不破坏建筑结构。严格

56、遵守综合布线系统规范良好的安装质虽，可以使水平布线子系统在其工作周期内，始终保证良好工作状态和稳定的工作性能，尤其对于高性能的通信线缆和光纤，安装质虽的好坏对系统的开通影响尤其显著，因此在安装线缆中，要严格遵守EIA/TIA569规范标准。选材标准必须一致综合布线系统所选用的线缆、信息插座、跳线、连接线等部件，必须与选择的类型一致，如选用超5类标准，则线缆、信息插座、跳线、连接线等部件必须为超5类；如系统采用屏蔽措施，则系统选用的所有部件均为屏蔽部件，只有这样才能保证系统屏蔽效果，达到整个系统的设计性能指标。服务器的配置FTP的配置(1)安装IIS进入“控制面板”一一双击“添加或删除程序”一一

57、单击“添加/删除Windows组件”一一在组件”列表框中，双击应用程序服务器”一一击“Internet信息服务(IIS)”一从中选择万维网服务”双击万维网服务”，从中选择“ActiveServerPages”及万维网服务”等。配置FTP服务器打开IIS服务器选择FTP站点，右击网站”，在弹出菜单中选择新建一网站”，打开网站创建向导”。依次输入站点描述，IP地址和端口设置，用户隔离，站点主目录，站点访问权限最后完成17。WEB服务器的搭建(1)安装IIS,万维网服务(2.)在开始”菜单中选择管理工具Tnternet信息服务(IIS)管理器”一在Internet信息服务(IIS)管理器”中双击本地计算机”。右击网站”，在弹出菜单中选择新建一网站”，打开网站创建向导”。