中小企业局域网设计与建设方案详细

1、. . . . 本科生毕业论文（设计）题目：中小企业局域网的设计与实现题目：中小企业局域网的设计与实现系 名：电子通信与软件工程专 业：08 级计算机科学与技术学 号：081051207姓 名：钟大雄指导教师：林川二一二年四月装订线中山大学南方学院. . . . 1 / 40摘要摘要随着计算机技术的飞速发展，人们已经从电气时代迈入了互联网信息时代。在这个新的时代中，网络技术正扮演着越来越重要的角色，而作为其基础的网络建设更是在这个社会中逐步普与。现如今，使用网络进行信息传输已成为社会运行的一种基本方式。随着办公信息化、自动化的需求，各单位为提高办公效率，促进信息交流和适应现代化办公，需要组建企

2、业局域网。企业网络的优劣已经成为衡量企业竞争力的重要标准之一，对于一个集行政办公、教学培训和考试认证为一身的培训公司更是如此。组建企业局域网涉与很多方面，首先需要一个正确的需求分析和设计规划，然后需要处理布线、网络设备选型与配置、服务器设备选型与配置等步骤，最后还需要进该局域网进行优化与安全设置，这都需要按部就班的逐一实现。本文就如何规划和设计企业局域网进行浅述。本文首先从总体上对该局域网的建设、目标、思路、国外现状进行了分析研究，然后对局域网进行具体的需求分析，确定企业网络拓扑结构、综合布线设计原则、网络设备选择、具体网络配置等。从各个方面对该局域网建设提出了规划的方案，具体在其上应用 OS

3、PF、EIGRP、BGP 等路由协议、VLAN、ACL、NAT、STUB、NSSA 等网络优化技术以与 AAA 认证、TELNET 认证、HSRP 热备份、PASSTIVE 被动接口、VTP 模式等安全维护技术，力现一个完整的网络培训公司局域网。关键词：局域网，OSPF 路由协议，VLAN 区域，AAA 认证. . . . 0 / 40ABSTRACTABSTRACTWith the quick development of the computer technology, people have already come into an Internet era from electrica

4、l ages. Internet technology is playing more and more important role and the construction of hardware, as a basis of internet technology, is gradually.Nowadays, it is common to use Internet for transferring the information. As requirement of working automatically with information technology, company

5、needs to build up local area network as to increase working efficiency, expedite information exchange and accommodate modernization of working. Advantages and disadvantages of Enterprise LAN is one of the important standard to judge the competitiveness for enterprise. Especially for training company

6、 which has combination of administration, training and certification. To build up a company LAN is requested many aspects, which should be proceeded step by step .Firstly, it needs a suitable requirement analysis and design plans. Secondly, it needs to find solution of how to arrange wires, selectio

7、n and configuration of LAN equipment and server. Finally, it is a need to optimize LAN and set up configuration of security. It needs the steps to deal with .This thesis how to illustrate and design the Local Area Network for enterprises.This paper from the general on the local area network construc

8、tion, target, idea, paper analyses the present situation of research at home and abroad, and then the LAN specific needs analysis, integrated wiring design principles, network equipment selection, specific network configuration, etc. From all aspects of the local area network construction planning o

9、f the proposed plan, specific application in the OSPF, EIGFP, BGP routing protocols, such as VLAN, ACL, NAT, stub, NSSA and other network optimization technology and AAA authentication, the authentication, Telnet HSRP hot backup, passive PASSIVE interface, maintaining security technology mode of VTP

10、, and strive to achieve a complete network training company LAN. . . . . 1 / 40Keywords:Keywords: LAN, OSPF routing protocols, VLAN area, AAA authentication . . . . 1 / 40目目 录录第 1 章绪论 11.1 研究背景与研究意义 11.2 研究现状 21.2.1 国外研究现状 21.2.2 国研究现状 21.3 研究的主要容 31.4 本文的组织 3第 2 章相关技术和概念42.1 OSPF 协议（开放式最短路径优先协议）42.

11、2 VLAN 技 术（虚拟局域网）52.3 ACL 技术（访问控制列表）6第 3 章局域网需求分析83.1 局域网设计概述83.2 局域网设计要求83.3 网络设计拓扑图 93.4 局域网设计用例描述 93.4.1 用例列表 93.4.2 用例描述 10第 4 章局域网整体设计 134.1 局域网核心层设计 134.2 局域网汇聚层设计 134.3 局域网接入层设计 144.4 局域网 IP 地址划分与 VLAN 规划 154.4.1 VLAN 规划 154.4.2 IP 地址划分 154.5 局域网路由协议选择 16第 5 章局域网详细设计 185.1 局域网行政模块详细设计 185.1.1

12、 设计概述 185.1.2 配置命令 185.2 局域网教学模块详细设计 21. . . . 2 / 405.2.1 设计概述 215.2.2 配置命令 215.3 局域网考试中心详细设计 235.3.1 设计概述 235.3.2 配置命令 235.4 局域网 XX 总部详细设计 255.4.1 设计概述 255.4.2 配置命令 265.5 局域网安全设计 285.5.1 设计概述 285.5.2 配置命令 28第 6 章局域网测试与实现 306.1 局域网部分功能测试与实现 30第 7 章总结 327.1 总结 32. . . . 1 / 40第第 1 1 章章 绪论绪论1.1 研究背景与

13、研究意义在当今社会的许多企业，普遍存在着信息基础薄弱、信息化观念匮乏等特点，使得他们不能有效地将自身的业务与信息系统很好地结合起来，以至于常常会出现投资不见效的情况。究其原因，在于企业信息化观念不够，企业管理者往往认为在信息化社会中为企业配备了电脑就万事大吉，却不知为企业建立部局域网的重要性所在。在网络技术日益发展，信息化浪潮风起云涌的今天，公司部的网络建设已经成为了提升企业核心竞争力的关键因素之一。企业要实现信息化管理，首要的条件就是建立企业局域网，然后在该系统的基础上开发应用各种基础和专业软件。网络化可以有效地实现企业部的资源共享、信息发布、技术交流、行政办公等。此外，还可以通过企业局域网

14、连接广域网，使得企业方便地实现与外部的交流。一个企业的局域网是在一个局部的地理围，将各种计算机，外部设备和数据库等互相联接起来组成的计算机通信网。它可以通过数据通信网或专用数据电路，与远方的局域网、数据库或处理中心相连接，构成一个较大围的信息处理系统。一般来说，一个局域网严格意义上来说是封闭的，它可以由公司部成百上千台电脑组成。局域网可以实现文件管理、应用软件共享、打印机共享、工作组的日程安排、电子和 通信服务等功能。由于在本次课题中所模拟的公司结构是一家集行政办公、教学培训以与考试认证为一体的培训公司，因此为该公司局域网设计所选择的络拓扑结构是树形拓扑结构。树形结构网络是天然的分级结构，又被

15、称为分级的集中式网络。其特点是网络成本低，结构比较简单。并且，网络中节点扩充方便、灵活，寻查链路路径比较简单。本次课题中该局域网设计遵循的结构是社会上绝大多数网络建设所使用的三层网络结构，即：接入层、集散层和核心层三层设计。所使用的模拟软件为小凡网络模拟软件以与 CRT 模拟器，模拟的设备 ios 选定为思科 3640ios，制作网络拓扑图的工具为 Visio 2007。. . . . 2 / 401.2 研究现状1.2.1国外研究现状世界上第一个具有现代意义的计算机网络是美国国防部高级研究计划局于1969 年建成的用于军事研究的 ARPANET，当时仅连接了 4 台计算机。ARPANET为计

16、算机网络技术的产生和发展奠定了基础，它所运用的一系列理论和技术成为当代计算机网络建设的支柱。INTERNET 是一个世界围的计算机网络，它建于 1982 年，目前已延伸到世界上 150 多个国家。到 1994 年底，已有 2000 万以上的用户在使用这一网络系统。1993-1994 年间，INTERNET 的用户数量以每月%25 的速度递增，目前仅美国每天仍有 1000 多个新用户继续加入 INTERNET 网络。1990 年，美国大约拥有 100 万个互联计算机局域网，到 1994 年，这一数字已增加到 500 万左右。1993 年美国并入局域网的 PC 约占全部商用 PC 的70%。欧美的

17、发达国家的企业在局域网建设走的比较早，随着网络技术的不断进步以与通讯产品技术的不断完善，现在的欧美发达国家企业局域网完全达到办公自动化，而且带宽大，速度快，超过一半以上的企业都有自己的，成为对外联络的主要窗口，企业部网络安全等级很高。1.2.2国研究现状截至 2010 年 12 月，有 94.8%的中小企业配备了电脑，无电脑的中小企业仅占 5.2%。有 92.7%的中国中小企业 的接入了互联网，已经达到了一个相当高的水平。通过不同规模中小企业的互联网接入比例可以看出，规模较小企业中互联网接入比例相对较低，规模较大的企业中互联网的接入比例已经接近100%。中国中小企业互联网接入比例达到一个较高水

18、平的原因，主要是两方面的原因：1、国家政策推动。国家和政府对于企业信息化的重视，以与大力推进工业化和信息化融合的举措，对于中国中小企业互联网接入水平大幅提升起到了积极的促进作用。一方面让中小企业认识到了互联网的价值，另一方面从政策上保障了中小企业能够很便捷地享受互联网服务。2、市场机会牵引。随着个人互联网普与率不断快速提升，以与商业互联网的快速发展，互联网对于中小企业的价值不断提升，互联网中市场机会不断增加。这些不断增加的市场机会，也牵引着中国中小企业纷纷加快对互联网的利用。. . . . 3 / 40在我国，企业局域网建设近些年来由了长足的发展，但和欧美发达国家的企业局域网相比还有着明显的不

19、足，主要体现在：(1)低水平重复建设且成本高昂：各部门拥有相对独立的信息系统，资源分散于各部门之中，容易形成信息孤岛。(2)安全漏洞和系统风险大：各部门拥有相对独立的信息系统，不但系统复杂度高，而且核心数据全部分布于本地，对系统的安全性提出了较高的要求。(3)管理信息和反馈信息不能迅速传递：随着企业的发展，数据信息流不断增大，对各部门管理提出了快速响应的要求。针对以上不足，我国企业局域网需要迎头赶上，奋起直追。1.3 研究的主要容本文主要研究的是运用所学知识，为网络培训公司设计公司局域网。该局域网主要分为三个模块，分别为行政模块、教学模块和考试中心。行政模块由三个部门组成，分别是行政部、人事部

20、和财务部。其中，行政部门负责公司的日常业务运作；人事部门负责的是与各个部门的沟通与交流，即教学模块、考试中心和总部只与人事部保持通信状态；财务部负责的是公司的财务状况，因其涉与公司，所以行政模块的财务部除了与总部进行通信以外，不和其他模块进行连接交流。教学模块由两个教室组成，分别是网络教室和 Linux 教室。它们负责公司的培训业务，与行政模块的人事部进行沟通联系。考试中心是认证部门在该公司设立的一个考试认证点，人们可以在此经过考试，如果通过将获得该认证部门颁发的官方认证证书。因为确保其性，考试中心只与行政模块的人事部进行联系，并且只赋予其查看的权限，不赋予其他权限。1.4 本文的组织本文介绍

21、了网络培训公司局域网的分析、设计与实现。全文分为七个章节。第一章主要介绍的是局域网的研究背景、意义和容；第二章主要介绍的是网络培训公司局域网的设计与实现所使用到的技术与其概念；第三章主要介绍的是该公司局域网的需求分析设计，包括其所需的功能、拓扑以与预算等等；第四章主要介绍的是该公司局域网的整体设计，包括其 IP 地址的划分以与 VLAN 的规划、路由协议的选择以与网络接入层、集散层和核心层的设计；第五章主要介绍的是该公司局域网的详细设计，包括其三个模块的设计、搭建以与实现，局域网的优化设计以与安全设计；第六章主要介绍的是该公司局域网的测试与. . . . 4 / 40实现记录；第七章是本文的总

22、结，主要介绍的是设计该公司局域网事所遇到的技术问题以与有待完善的功能。最后是设计该公司局域网时用到参考文献和个人的致词。第第 2 2 章章 相相关关技技术术和和概概念念2.1 OSPF 协议（开放式最短路径优先协议）OSPF(Open Shortest Path First)，又称开放式最短路径优先协议，是一个部网关协议，用于在单一自治系统决策路由。与 RIP 相比，OSPF 是链路状态路由协议，而 RIP 是距离矢量路由协议。OSPF 的协议管理距离（AD）是 110。OSPF 路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域。在这里，路由域是指一个自治系

23、统（Autonomous System） ，即 AS，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个 AS 中，所有的 OSPF 路由器都维护一个一样的描述这个 AS 结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF 路由器正是通过这个数据库计算出其 OSPF 路由表的。 作为一种链路状态的路由协议，OSPF 将链路状态广播数据 LSA（Link State Advertisement）传送给在某一区域的所有路由器，这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。OSPF 协议主要有 6 类网络类

24、型，分别为 1、2、3、4、5、7 类。其中，类型 1 是 Router LSA，即每个路由器都将产生 Router LSA，这种 LSA 只在本区域传播，描述了路由器所有的链路和接口，状态和开销；类型 2 是 Network LSA，即在每个多路访问网络中，DR 都会产生这种 Network LSA，它只在产生这条 Network LSA 的区域泛洪描述了所有和它相连的路由器（包括 DR 本身） ；类型 3 是 Network Summary LSA，即由 ABR 路由器始发，用于通告该区域外部的目的地址。当其他的路由器收到来自 ABR 的 Network Summary LSA 以后，它不

25、会运行 SPF 算法，它只简单的加上到达那个 ABR 的开销和 Network Summary LSA 中包含的开销；类型 4 是 ASBR Summary LSA，即由 ABR 发出，ASBR 汇总LSA 除了所通告的目的地是一个 ASBR 而不是一个网络外；类型 5 是 AS External LSA，即发自 ASBR 路由器，用来通告到达 OSPF 自主系统外部的目的地，或者 OSPF 自主系统那个外部的缺省路由的 LSA.这种 LSA 将在全 AS 的泛洪（4 个特殊区域除外） ；类型 7 是 NSSA External LSA，即来自非完全 Stub 区域（not-so-stubby

26、 area）ASBR 路由器始发的 LSA 通告它只在 NSSA 区域的泛洪，这是与类型 5 的区别。. . . . 5 / 40本文认为 OSPF 协议主要有七个优点，分别为：1、OSPF 是真正的 LOOP- FREE（无路由自环）路由协议。这是源自其算法本身的优点。 （链路状态与最短路径树算法） 2、OSPF 收敛速度快：能够在最短的时间将路由变化传递到整个自治系统。 3、提出区域（area）划分的概念，将自治系统划分为不同区域后，通过区域之间的对路由信息的摘要，大大减少了需传递的路由信息数量。也使得路由信息不会随着网络规模的扩大而急剧膨胀。 4、将协议自身的开销控制到最小。理由如下：

27、1）用于发现和维护邻居关系的是定期发送的是不含路由信息的 hello 报文，规模较小。包含路由信息的报文时是触发更新的机制。 （有路由变化时才会发送） 。但为了增强协议的健壮性，每 1800 秒全部重发一次。 2）在广播网络中，使用组播地址（而非广播）发送报文，减少对其它不运行 OSPF 的网络设备的干扰。 3）在各类可以多址访问的网络中，通过选举 DR，使同网段的路由器之间的路由交换次数较少。 4）提出 STUB 区域的概念，使得 STUB 区域不再传播引入的 ASE 路由。 5）在 ABR（区域边界路由器）上支持路由聚合，进一步减少区域间的路由信息传递。 6）在点到点接口类型中，通过配置，

28、使得 OSPF 不再定时发送 hello 报文与定期更新路由信息。只在网络拓扑真正变化时才发送更新信息。 5、通过严格划分路由的级别（共分四极） ，提供更可信的路由选择。 6、良好的安全性，OSPF 支持基于接口的明文与 md5 验证。 7、OSPF 适应各种规模的网络，最多可达数千台。2.2 VLAN 技术（虚拟局域网）VLAN（Virtual Local Area Network）的中文名为虚拟局域网，是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。VLAN 是为解决以太网的广播问题和安全

29、性而提出的一种协议，它在以太网帧的基础上增加了 VLAN 头，用 VLAN ID 把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播围，并能够形成虚拟工作组，动态管理网络。. . . . 6 / 40VLAN 有很多种划分的方法，本文主要研究的是根据端口来划分 VLAN 成员，被设定的端口都在同一个广播域中。例如：一个交换机的 1，2，3，4，5 端口被定义为虚拟网 AAA，同一交换机的 6，7，8 端口组成虚拟网 BBB。 以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分 VLAN 的方式仍然

30、是最常用的一种方式。本文认为 VLAN 技术主要有六个优点，分别为:1、广播风暴防：通过限制网络上的广播，将网络划分为多个 VLAN 可减少参与广播风暴的设备数量。使用 VLAN，可以将某个交换端口或用户赋于某一个特定的 VLAN 组，该 VLAN 组可以在一个交换网中或跨接多个交换机，在一个VLAN 中的广播不会送到 VLAN 之外。同样，相邻的端口不会收到其他 VLAN 产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。 2、安全性高：不同 VLAN 的报文在传输时是相互隔离的，即一个 VLAN 的用户不能和其它 VLAN 的用户直接通信，如果不同 VLAN 要进行通信

31、，则需要通过路由器或三层交换机等三层设备。如此变可增强局域网的安全性，从而降低泄露信息的可能性。3、成本降低：成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。 4、性能提高：将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。 5、提高网络工程师工作效率：VLAN 为网络管理带来了方便，因为有相似网络需求的用户将共享同一个 VLAN。 6、增加了网络连接的灵活性：借助 VLAN 技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地 LAN 一样方便、灵活、有效。VLAN 可以降低移动或变更工作站地理位

32、置的管理费用，特别是一些业务情况有经常性变动的公司使用了 VLAN 后，这部分管理费用大大降低。 2.3 ACL 技术（访问控制列表）ACL（ Access Control List） ,又称为访问控制列表，是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议。这表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对网络中的某一种访问进行控制。目前的 ACL 技术主要分为两种，即标准的ACL 和拓展的ACL。他们的区别主要有三点：1.标准的 ACL 使用 1 -99 以与 1300-. . . . 7 / 401999 之间的数字作为表号，扩展

33、的ACL 使用 100 - 199 以与2000-2699 之间的数字作为表号。 2.标准 ACL 可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如 IP）的所有通信流量。 3.扩展 ACL 比标准ACL 提供了更广泛的控制围。例如，网络管理员如果希望做到“允许外来的Web 通信流量通过，拒绝外来的FTP 和 Telnet 等通信流量 ”，那么，他可以使用扩展ACL 来达到目的，标准ACL 不能控制这么精确。本文认为ACL 技术主要有三个优点，分别为:1、 ACL 可以限制网络流量、提高网络性能。例如，ACL 可以根据数据包的协议，指定数据包

34、的优先级。 2、 ACL 提供对通信流量的控制手段。例如，ACL 可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 3、 ACL 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail 通信流量被路由，拒绝所有的Telnet 通信流量。. . . . 8 / 40第第 3 3 章章 局局域域网网需需求求分分析析3.1 局域网设计概述该公司局域网是为了实现公司部一系列需求所设计建立的。除了维护公司日常运作需求之外，争取在资金允许围提高网络运行效率，同时加强其安全策略，尽可能的出现安全漏洞。为了进行更好的沟通与交流，人事部门可与远在的公司总部

35、进行通信联系，同时人事部门也可以与各个教室和考试中心中的考试机子进行通信联系。同时，为了维护其性，人事部门只有对教室和考试中心进行查看的权限，并没有其他诸如修改、删除等权限。为了维护公司财务的性，公司的财务部门将不与任何模块进行沟通联系。不过，为了防止公司财务部部人员违规操作，赋予总部对财务部门查看的权限，没有添加、修改、删除等权限。3.2 局域网设计要求该公司局域网设计要求如下：1、实用性：网络建设从应用实际需求出发，如果对现有网络升级改造，还应该充分考虑如何利用现有资源，尽量发挥设备效益。2、适度先进性：规划局域网，不但要满足用户当前的需要，还应该有一定技术前瞻性和用户需求预见性，考虑到能

36、够满足未来几年用户对网络功能和带宽的需要。采用成熟的先进技术，兼顾未来的发展趋势，即量力而行，又适当超前，留有发展余地。3、经济性：要求价格适中，设备与耗材要求采用质量过硬，物美价廉，投资预算不超过20 万。4、安全可靠性：确保网络可靠运行，在网络的关键部分应具有容错能力，提供公共网络连接、通信链路、服务器等全方位的安全管理系统。5、开放性：采用国际标准通信协议、标准操作系统、标准网管软件、采用符合标准的设备，保证整个系统具有开放特点。6、可扩展性：系统便于扩展，保证前期的投资的有效性与后期投资的连续性7、安全性：为了保证网上信息的安全和各种应用系统的安全，在规划时就要为局域网考虑一个周全的安

37、全方案。. . . . 9 / 403.3 网络设计拓扑图图 3.3.1 公司局域网网络设计拓扑图3.4 局域网设计用例描述3.4.1 用例列表表 3.4.1 用例列表用例编号用例编号用例名称用例名称描述描述UC001UC001行政部负责公司日常工作业务UC002UC002人事部负责公司沟通与联系业务UC003UC003财务部负责公司财务UC004UC004网络教室负责公司网络技能学习培训UC005UC005Linux 教室负责公司 Linux 技能学习培训UC006UC006考试中心 PC 机负责技能认证考试UC007UC007XX 总部负责与总部进行联系，并允许其浏览公司账目3.4.2 用

38、例描述行政部门行政部门表 3.4.2.行政部门用例描述表. . . . 10 / 40用例编号用例编号UC001UC001用例名称用例名称行政部行政部角色角色公司部工作人员用例描述用例描述行政部门人员负责公司日常工作业务参与者参与者网络管理员前置条件前置条件用户已是网络用户，即有有效的用户名、密码，并输入正确后置条件后置条件身份验证正确，进入交换机行政部的操作界面基本路径基本路径1.用户在用户模式下输入用户名和密码；2.网络进行登录身份验证，验证通过后进入交换机行政部门的特权模式人事部门人事部门表 3.4.3 人事部门用例描述表用例编号用例编号UC002UC002用例名称用例名称人事部人事部角

39、色角色公司部工作人员用例描述用例描述人事部门人员负责公司沟通与交流业务参与者参与者网络管理员前置条件前置条件用户已是网络用户，即有有效的用户名、密码，并输入正确后置条件后置条件身份验证正确，进入交换机人事部的操作界面基本路径基本路径1.用户在用户模式下输入用户名和密码；2.网络进行登录身份验证，验证通过后进入交换机人事部门的特权模式财务部门财务部门表 3.4.4 财务部门用例描述表用例编号用例编号UC003UC003用例名称用例名称财务部财务部角色角色公司部财务部人员用例描述用例描述财务部门人员负责公司财务业务参与者参与者网络管理员前置条件前置条件用户已是网络用户，即有有效的用户名、密码，并输

40、入正确后置条件后置条件身份验证正确，进入交换机财务部的操作界面. . . . 11 / 40基本路径基本路径1.用户在用户模式下输入用户名和密码；2.网络进行登录身份验证，验证通过后进入交换机财务部门的特权模式网络教室网络教室表 3.4.5 网络教室用例描述表用例编号用例编号UC004UC004用例名称用例名称网络教室网络教室角色角色参与网络培训的学员用例描述用例描述负责公司网络技能的学习和培训参与者参与者网络管理员前置条件前置条件用户已是网络用户，即有有效的用户名、密码，并输入正确后置条件后置条件身份验证正确，进入交换机网络教室的操作界面基本路径基本路径1.用户在用户模式下输入用户名和密码；

41、2.网络进行登录身份验证，验证通过后进入交换机网络教室的特权模式LinuxLinux 教室教室表 3.4.6 Linux 教室用例描述表用例编号用例编号UC005UC005用例名称用例名称LinuxLinux 教室教室角色角色参与 LinuxLinux 培训的学员用例描述用例描述负责公司 LinuxLinux 技能的学习和培训参与者参与者网络管理员前置条件前置条件用户已是网络用户，即有有效的用户名、密码，并输入正确后置条件后置条件身份验证正确，进入交换机 LinuxLinux 教室的操作界面基本路径基本路径1.用户在用户模式下输入用户名和密码；2.网络进行登录身份验证，验证通过后进入交换机 L

42、inuxLinux 教室的特权模式考试中心考试中心 PCPC 机机表 3.4.7 考试中心 PC 机用例描述表. . . . 12 / 40用例编号用例编号UC006UC006用例名称用例名称考试中心考试中心 PCPC 机机角色角色参加技能认证考试的学院用例描述用例描述负责技能认证考试参与者参与者网络管理员前置条件前置条件用户已是网络用户，即有有效的用户名、密码，并输入正确后置条件后置条件身份验证正确，进入交换机部考试中心 PC 机的操作界面基本路径基本路径1.用户在用户模式下输入用户名和密码；2.网络进行登录身份验证，验证通过后进入交换机部考试中心 PC机的特权模式XXXX 总部总部表 3.

43、4.8 XX 总部用例描述表用例编号用例编号UC007UC007用例名称用例名称XXXX 总部总部角色角色公司部人事部、财务部工作人员用例描述用例描述负责与总部进行沟通联系，并且允许其查看公司账务参与者参与者网络管理员前置条件前置条件用户已是网络用户，即有有效的用户名、密码，并输入正确后置条件后置条件身份验证正确，进入交换机部总部的操作界面基本路径基本路径1.用户在用户模式下输入用户名和密码；2.网络进行登录身份验证，验证通过后进入交换机部总部的特权模式. . . . 13 / 40第第 4 4 章章 局域网整体设计局域网整体设计4.1 局域网核心层设计核心层作为整个网络系统的核心，其主要功能

44、是高速、可靠的进行数据交换。核心交换区的作用是尽快地提供所有的区域间的数据交换。核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以与网络设备的要求十分严格。核心层设备将占投资的主要部分。因受到模拟器的局限，本文将使用 1 台思科 3640 路由器完成此设计。它提供带集成永续性的出色控制，将永续性集成到硬件和软件中，缩短了网络停运时间。4.2 局域网汇聚层设计汇聚层是楼群或小区的信息汇聚点,是连接接入层和核心层的网络设备,为接入层提供数据

45、的汇聚、传输、管理、分发处理。汇聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由服务,认证管理等。通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层。同时汇聚层也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定。汇聚层的功能主要是连接接入层节点和核心层中心。汇聚层设计为连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。因受到模拟器的局限，本文将使用 4 台思科 3750 交换机以与 3 台思科3640 路由器来完成此设计。思科 3750 系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提

46、升了堆叠式交换机在局域网中的工作效率。这个新的产品系列采用了最新的技术，不但实现高达 32Gbps 的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统-就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。对于中型企业网络来说，思科 3750 系列通过提供配置灵活性、支持融合网络模式与自动进行智能网络服务配置，简化了融合应用的部署，并可针对不. . . . 14 / 40断变化的业务需求进行调整。此外，思科 3750 系列针对高密度千兆位以太网部署进行了优化，包括多种交换机，以满足接入、汇聚或小型网络骨干连接需求。4.3

47、局域网接入层设计接入层通常指网络中直接面向用户连接或访问的部分。接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。接入交换机是最常见的交换机，它直接与外网联系，使用最广泛，尤其是在一般办公室、小型机房和业务受理较为集中的业务部门、多媒体制作中心、管理中心等部门。在传输速度上，现代接入交换机大都提供多个具有 10M/100M/1000M 自适应能力的端口。 在核心层和汇聚层的设计中主要考虑的是网络性能和功能性要高，那么我们在接入层设计上主使用性能价格比高的设备。接入层是最终用户(教师、学生) 与网络的接口，它应该提供即插即用的特性，同时应该非常易于使用和维护。当然我

48、们也应该考虑端口密度的问题。因受到模拟器的局限，本文将试用 4 台思科 2960 交换机完成此设计。思科 2960 系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强 LAN 服务。Catalyst 2960 系列具有集成安全特性，包括网络准入控制(NAC)、高级服务质量(QOS)和永续性，可为网络边缘提供智能服务。凭借思科 2960 系列提供的广泛安全特性，企业可保护重要信息，防止未授权人员接入网络，确保私密性与维持不间断运行。图 4.3.1 公司局域网拓扑图. . . . 15 / 404.4 局域网

49、 IP 地址划分与 VLAN 规划4.4.1 VLAN 规划在本文第二章中已经详细的阐述了 VLAN 的定义、作用以与它的有点，在此就不准备重复了。在本文研究的公司局域网中，将划分成 7 个 VLAN 区域， VLAN 的规划分布表如下所示：表 4.4.1 VLAN 规划分布表VLANVLAN所处部门所处部门VLAN 1行政部VLAN 2人事部VLAN 3财务部VLAN 4网络教室VLAN 5Linux 教室VLAN 6考试中心 PC1VLAN 7考试中心 PC2VLAN 1总部4.4.2 IP 地址划分在本文研究的公司局域网中将分成三个模块 7 个部门，另外还有总部的人事部，即总共为 8 哥

50、部门。因此，本文将根据 IP 地址划分的原则，对此 8 个部门进行 IP 地址的划分，其 IP 地址划分表如下所示：表 4.4.2 IP 地址划分表部门VLAN网段网关子网掩码行政部/24人事部/24财务部3/24网络教室4/24Linux 教室5/24考试中心 PC16/2410.3.1

51、.1考试中心 PC27/24. . . . 16 / 40总部1/244.5 局域网路由协议选择为达到路由快速收敛、寻址以与方便网络管理员管理的目的，本文研究的公司局域网将采用动态路由协议，目前较好的动态路由协议是 OSPF 协议和EIGRP 协议。OSPF 以协议标准化强，支持厂家多，受到广泛应用，而 EIGRP 协议由 Cisco 公司发明，只有 Cisco 公司自己的产品支持，属于私有性质，其他厂商设备是不支持的。考虑到网络的扩展性、数

52、据资源的保护等原因，本文将选择 OSPF 路由协议规划公司部局域网，而与总部的通信将试用 EIGRP 和 BGP协议。OSPF 协议采用链路状态协议算法，每个路由器维护一个一样的链路状态数据库，保存整个 AS 的拓扑结构（AS 不划分情况下） 。一旦每个路由器有了完整的链路状态数据库，该路由器就可以自己为根，构造最短路径树，然后再根据最短路径构造路由表。OSPF 将整个 AS 划分为若干个区域，区域的路由器维护一个一样的链路状态数据库，保存该区域的拓扑结构。OSPF 路由器相互间交换信息，但交换的信息不是路由，而是链路状态。EIGRP 协议，即增强型网关部路由线路协议。也翻译为加强型部网关路由

53、协议。EIGRP 是 Cisco 公司的私有协议。Cisco 公司是该协议的发明者和唯一具备该协议解释和修改权的厂商。 EIGRP 结合了链路状态和距离矢量型路由选择协议的 Cisco 专用协议，采用弥散修正算法（DUAL）来实现快速收敛，可以不发送定期的路由更新信息以减少带宽的占用，支持 IP、Novell 和 NetWare 等多种网络层协议。BGP 协议是一种在自治系统之间动态交换路由信息的路由协议。一个自治系统的经典定义是在一个管理机构控制之下的一组路由器，它使用 IGP 和普通度量值向其他自治系统转发报文。 在 BGP 中使用自治系统这个术语是为了强调这样一个事实：一个自治系统的管理

54、对于其他自治系统而言是提供一个统一的部选路计划，它为那些通过它可以到达的网络提供了一个一致的描述。 在本文研究的公司局域网中，路由协议的选择与配置如下表所示：表 4.5 路由协议规划表部门VLAN网段协议类型所处协议区域行政部/24OSPFAREA 1人事部/24OSPFAREA 1. . . . 17 / 40财务部3/24OSPFAREA 1网络教室4/24OSPFAREA 2Linux 教室5/24OSPFAREA 2考试中心 PC16/24OSPFAREA 3考试中心 PC2710.3.

55、2.0/24OSPFAREA 3总部1/24EIGRPAS 1. . . . 18 / 40第第 5 5 章章 局域网详细设计局域网详细设计5.1 局域网行政模块详细设计5.1.1 设计概述局域网行政模块为本文研究的公司局域网三大模块之一，主要负责公司日常的工作业务。该行政模块下属三个部门，分别为行政部、人事部以与财务部。其中，作为负责沟通与交流的人事部，它将可以和另外两个模块进行 ICMP 通信，同时也可以和在的公司总部进行 ICMP 通信。不过，人事部门只拥有浏览的权限，并没有添加、修改和删除等权限。另外，作为负责公司财务业务的财务部，任何模块中的任何部门都没有权限对

56、其进行浏览、添加、修改、删除等操作。而为了防止公司财务部部人员违规操作，将单独允许的公司总部与财务部进行ICMP 通信。最后，行政模块选择 OSPF 路由协议，它们是该 OSPF 协议上的区域1。5.1.2 配置命令行政模块各部门的 IP 地址划分与 VLAN 规划的配置命令如下图所示：图 5.1.1 行政模块各部门 IP 地址划分. . . . 19 / 40图 5.1.2 行政模块各部门 VLAN 规划行政模块与核心层的配置命令如下图所示：图 5.1.3 行政模块路由器 IP 地址划分图 5.1.4 核心层路由器 IP 地址划分行政模块进行 OSPF 路由协议的配置命令如下图所示：图 5.

57、1.5 行政模块路由器上 OSPF 路由协议配置图 5.1.6 核心层路由器上 OSPF 路由协议配置. . . . 20 / 40人事部门与教学模块进行 ICMP 通信的配置命令如下图所示：图 5.1.7 人事部门与网络教室进行通信配置图 5.1.8 人事部门与 Linux 教室进行通信配置人事部门与考试中心进行 ICMP 通信的配置命令如下图所示：图 5.1.9 人事部门与考试中心 PC 1 进行通信配置图 5.1.10 人事部门与考试中心 PC 2 进行通信配置人事部门与 XX 总部进行 ICMP 通信的配置命令如下图所示：图 5.1.11 人事部门与总部进行通信配置. . . . 21

58、 / 40财务部门只允许与总部进行 ICMP 通信的配置命令如下图所示：图 5.1.12 财务部门与总部进行通信配置5.2 局域网教学模块详细设计5.2.1 设计概述局域网教学模块为本文研究的公司局域网三大模块之一，主要负责公司的技能认证培训。该教学模块下属两间教室，分别为网络教室、Linux 教室。两间教室面对广大学员，分别对其进行网络技能和 Linux 技能的培训。两间教室作为独立的教室，并不能互相的进行通信、远程等等，均和行政模块中的人事部门建立 ICMP 通信。最后，教学模块选择 OSPF 路由协议，它们是该 OSPF 协议上的区域 2。5.2.2 配置命令教学模块各教室的 IP 地址

59、划分与 VLAN 规划的配置命令如下图所示：图 5.2.1 教学模块各教室 IP 地址划分. . . . 22 / 40图 5.2.2 教学模块各教室 VLAN 规划教学模块与核心层的配置命令如下图所示： 图 5.2.3 教学模块路由器 IP 地址划分图 5.2.4 核心路由器 IP 地址划分教学模块进行 OSPF 路由协议的配置命令如下图所示：图 5.2.5 教学模块路由器上 OSPF 路由协议配置. . . . 23 / 40图 5.2.6 核心层路由器上 OSPF 路由协议配置网络教室与人事部门进行 ICMP 通信的配置命令如下图所示：图 5.2.7 网络教室与人事部门进行通信配置Lin

60、ux 教室与人事部门进行 ICMP 通信的配置命令如下图所示：图 5.2.8 Linux 教室与人事部门进行通信配置5.35.3 局域网考试中心详细设计局域网考试中心详细设计5.3.1 设计概述局域网考试中心为本文研究的公司局域网三大模块之一，主要负责公司的技能认证考试。该考试中心下分别有两台考试机器，面对广大考生。由于技能认证考试的性和安全性，两台机器并不能互相的进行通信、远程等等，也不能和任何模块进行联系并且不能连接广域网。均从行政模块中的人事部门进行ICMP 通信，接收考试信息转发。最后，考试中心选择 OSPF 路由协议，它们是该 OSPF 协议上的区域 3。. . . . 24 / 4