毕业设计：小型企业网络建设与规划的项目设计_图文

1、 专科生毕业设计 中小型企业网络建设与规划的项目设计 Small and medium-sized enterprise network construction and planning project design院 系计算机科学与技术学院 专 业 网络技术 班 级专科网络技术一班 学 号1601090114 学 生 姓 名 联 系 方 式 指 导 教 师 老师职称：讲师 2011 年 5 月独 创 性 声 明本人郑重声明：所呈交的毕业论文（设计）是本人在指导老师指导下取得的研究成果。除了文中特别加以注释和致谢的地方外，论文（设计）中不包含其他人已经发表或撰写的研究成果。与本研究成果相关的

2、所有人所做出的任何贡献均已在论文（设计）中作了明确的说明并表示了谢意。签名： 年月日授权声明本人完全了解许昌学院有关保留、使用本科生毕业论文（设计）的规定，即：有权保留并向国家有关部门或机构送交毕业论文（设计）的复印件和磁盘，允许毕业论文（设计）被查阅和借阅。本人授权许昌学院可以将毕业论文（设计）的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编论文（设计）。本人论文（设计）中有原创性数据需要保密的部分为：。签名： 年月日指导教师签名： 年月日摘 要随着计算机及网络技术的飞速发展，网络组建、管理和维护技术已经广泛在我们身边获得了应用。为了使高校学生能够掌握相关

3、网络知识以及提高实践动手能力，本设计编制了五章内容，通过对网络基础的介绍和网络设备的配置来引导学生掌握最基本的网络知识，以及对网络设备的实践应用。设计中通过“拓扑图的设计、IP地址规划、检测网线、连接并配置网络设备、检测验证网络连通性”的设计步骤，以及介绍在具体操作过程中遇到的设备和配置问题，来阐述整个设计过程。其中所应用、配置的具体协议在实际使用中是很常见的，因此学生必须掌握并能够在实际生活中充分利用所学的网络知识。本设计通过对交换机、路由器、服务器等设备的配置，概括了高校所要学习的多数网络知识和操作应用，可以作为学习网络知识的参考资料，但为了有更多的提高，读者还应通过其它途径不断加强学习，

4、以增强自己的网络知识水平。另外通过相关知识的应用，主要使学生了解数据通信中数据传输介质的相关知识，掌握了此次工程的施工技术、施工工程管理技术、网络测试技术、工程验收和管理维护等内容。使得学生通过自己的亲身经历和实验实践，提高自己对整个项目的认识以及对整个项目系统的把控能力。关键词：网络协议；拓扑结构；路由器；交换机；ABSTRACTThe set-up, mananement and maintenance of the net have found widespread use in many fields due to the development of computer science

5、 and net work technology. There are five chapters in this dissertation: introduction of network, configuration of the network device and application. Besides these, this dissertation also contains a practical design of a network, which includes the design of topology, configuration of IP address, ca

6、ble test, connection and configuration of network device and test of this network. In this practical case all the common problems are elucidared. This will rebound to the graduates to apply their knowledge in practical work.This dissertation focuses on the configuration of switch , router and server

7、, covering the theory and application of network. It can be a reference for a learner of network. Also through the application of knowledge, mainly to enable students to understand the data communications medium of data transmission of knowledge, mastered the works of construction technology, constr

8、uction engineering management technology, network testing technology, engineering, inspection and management and maintenance and so on. Makes the students through their own personal experiences and experimental practice, to improve their understanding of the entire project and the entire projects ab

9、ility to control the system. 朗显示对应的拉丁字符的拼音Key words：Network Protocol；Topology；Router；Switch；目 录第一章 项目需求分析 21.1 项目背景 21.2 需求析 3第二章 网络总体建设目标 42.1 网络建设目标 42.2 网络及系统建设内容及要求 52.2.1 骨干核心层网络设计 52.2.2 核心层网络设计 52.2.3 汇聚层网络设计 62.2.4 接入层网络设计 62.2.5 冗余/负载均衡设计 62.2.6 服务器冗余设计 62.3 网络设计原则 7第三章 网络总体设计 83.1 网络总体拓扑图

10、83.2 网络层次化设计 93.2.1 核心层设计 103.2.2 接入层设计 103.2.3 内联接入 10第四章 路由设计 114.1 路由协议选择 114.2 路由规划拓扑图 134.3 IP地址规划 13第五章 网络安全解决方案 155.1 网络边界安全威胁分析 155.2 网络内部安全威胁分析 165.3 安全产品选型原则 165.4 网络常用技术介绍 175.4.1 HSRP 协议 175.4.2 VLAN 技术 175.4.3 Trunk 技术 175.4.4 Spanning-Tree 协议 185.4.5 QOS技术 18第六章 产品简介 196.1 Cisco 2800 系

11、列集成多业务路由器 196.2 Cisco Catalyst 3560 系列集成交换机 206.3 Cisco Catalyst 2960 系列集成交换机 216.4 PIX 525防火墙 216.5 ISA防火墙 226.6 操作系统 226.7 网管软件选择 23第七章设备清单及报价 23第八章 项目实施计划 338.1 项目组织结构 338.2 项目人员分工 348.3 项目实施前的准备工作 358.3.1 技术准备工作 358.3.2 施工前的环境检查 368.3.3 施工前的器材检查 368.4 安装前的场地准备 368.5 核心及各网点的安装调试 38第九章 网络测试 389.1

12、网络测试目的 389.2 测试文档 39第十章 网络设备基本配置 4110.1 网络描述 4210.2 设备基本配置 4310.2.1 设备访问 4310.2.2 基本配置格式 44更改设备名 44 设备口令 44 设置特权用户口令 44 关闭DNS查找功能 (默认时打开 44 启用控制台信息同步 44 设置控制台永不超时 45 配置console口访问不需要密码 45关闭vtp同步 45 二层交换配置管理IP 450 配置路由器IP 4510.2.3 IP地址配置

13、4610.2.4 检查设备的连通性 47第十一章 网络设备的技术实施方案 4811.1 TRUNK配置 4811.2 VTP配置 4811.3 VLAN配置 5011.4 STP配置 5111.5 HSRP配置 5211.6 OSPF配置 53默认路由重发布 5411.8 NAT详细配置 5411.9 IPSEC VPN配置 5511.10 PPP配置 5711.11 DHCP配置 5811.12 端口安全配置 5911.13 轮训配置 6011.14 访问控制列表配置 6111.15 NAT-T配置 62第十二章 项目测试 6212.1 测试物理链路 6212.2 测试数据链路 6312.3

14、 VLAN测试 6412.4 trunk测试 6512.5 STP生成树测试 6512.6 HSRP的测试 6612.6.1 测试HSRP信息 6612.6.2 测试交换机的抢占机制 6612.7 DNS测试 67 67 6712.8.2 查看连通性 6812.9 DHCP测试 6812.10 MAIL服务器测试 6912.10.1 查看域名能否正常解析 6912.10.2 查看服务是否正常启动，重启，停止 6912.11 AD测试 6912.11.1 查看域名能否正常解析 6912.11.2 用PC机测试能否正常加入域 6912.11.3 客户机能否正常接受域的策略 7012.12 WEB服

15、务器测试 7012.13 FTP测试 7012.14 文件备份测试 7112.14.1 查看文件备份的时间 7112.14.2 测试文件是否能够正常的进行备份 7112.15 服务器测试 7112.15.1 文件服务器上RAID 5验证 7112.15.2 查看其它服务器能否正常映射文件服务器 7212.16 NAT&ACL测试 7212.17 PPP测试 7212.18 IPSEC VPN测试 7212.19 轮训测试 73 7412.21 tunnel分割测试 75结 束 语 76参 考 文 献 77附 录 78致 谢 80绪 论随着网络和信息技术的高速发展和普及，信息化已经成为现代企业和

16、组织生存发展的必备条件，计算机网络应用几乎遍及人类活动的各个领域，计算机网络技术已被誉为是“近代最深刻的技术革命”。社会的信息化、数据的分布式处理、各种计算机资源的共享等应用需求，推动着计算机网络的迅速发展。计算机网络是计算机技术与通信技术密切结合的学科，也是计算机应用中一个空前活跃的领域。该课程不仅是计算机科学与技术专业的主干课程，也是电子与通信专业学生及广大从事计算机应用和信息管理的科技人员都必须学习的课程。同时，该课程不单是要加强理论知识的学习，同时也是一门实践性很强的课程。本设计是基于Cisco思科网络设备以及网络布线工程知识的简单应用，提供给高校学生进行网络模拟实验，可以作为学生的实

17、验指导书。此外，学生不仅要加强网络理论学习，同时也要增强实践能力，通过系统的实践训练，帮助学生深入了解并真正掌握计算机网络的基本概念、协议以及常用的组网方法和网络管理维护技术。本设计介绍了计算机网络实验的相关知识和应用组网技术，也介绍了项目工程的一些知识。通过“总体设计、详细设计、系统测试以及故障排除”这三章，在基础理论上，以精炼、够用为原则，介绍与实验比较紧密的理论知识；在实践上，通过模拟内外网设计方法来举例介绍网络组建的应用知识。通过对项目工程知识的应用，以及自己的亲生经历和实验实践，使学生了解数据通信中数据传输介质的相关知识，提高学生动手能力。在编写本设计过程中，作者参阅了大量网络组网、

18、网络技术、网络布线工程的书籍和网上资料，获得了老师和同学的大力帮助，并融合了许多自己的观点和见解，但由于作者水平和经验有限，不足之处在所难免，敬请读者批评指正。第一章 项目需求分析1.1 项目背景当今信息时代，科技迅猛发展，知识更新越来越快，随着技术的进步和经济的发展，人类社会总是在不断地发生着巨大的变化，网络已成为传递信息和进行交流的有效纽带和桥梁。Internet网络技术给人们提出了新的生活和工作方式，信息技术已引起了全面而深刻的社会变革，因此一个企业为了能跟上时代的步伐在竞争处立于不败之地，需要积极筹建或扩建各类信息网络系统，这对提高员工的工作效率改善工作环境，节约成本提高社会竞争实力有

19、着直接的影响和意义。河北承德露露股份有限公司坐落于承德市高新技术产业开发区，现为万向三农有限公司控股的上市公司。公司于1997年年底在深交所上市，成为国内饮料行业首批上市公司之一。其主导产品露露牌杏仁露是获国家专利产品，深受广大消费者喜爱，在国内杏仁露市场占有90%以上的市场份额。其中注册资金有二亿，董事会成员有王宝林、王秋敏、陈跃鹏、张淑玲、魏继平、杨兆林、马印访名同志，总公司有800人，分公司有200人。公司建立了符合ISO9001:2000标准的质量管理体系，“露露”商标被认定为中国驰名商标，露露杏仁露也获得中国名牌产品的荣誉称号。 公司发展稳健，成长性良好，连续多年名列深市排行榜前列。

20、公司坚持用优质的产品回报消费者，用良好的信誉、投资回报率答谢支持露露的广大投资者。 公司理念为：视品质为生命坚持质量第一，生产高品质产品是露露企业的信念。露露严格把控产品质量关，从不在质量上投机取巧，因为露露坚信只有真正为消费者提供高品质产品，才能使消费者享受到健康营养，企业也因此才能立于不败之地。公司主要包括以下几个部门：高层管理部20人，研发部15人，财务部18人，生产部25人，销售部30人，人力资源部20人。为了加快信息化建设，适应企业信息化的需求，将企业全部生产过程中有关人，技术，设备和经营管理四要素以及信息流，物流，价值流有机集成，加强管理，实现企业整体优化，提高企业市场快速反应能力

21、和竞争力，提高企业经济效益。建立一个设计规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性并且具备可管理、易维护的网络及系统平台，最终以高效率，高速度，低成本的方式来提高公司员工的工作效率与执行效率。1.2 需求析目前公司由北京总公司和上海分公司组成。随着业务的不断扩大，以前的网络及应用环境已经不能适应实际的需求，所以要求对其进行改造。公司总共由500台计算机组成，其公司对网络依赖性强，企业采用的是简单的网络系统，部分局域网只是通过因特网互联，不能满足企业发展的需求。需要建设企业的内联网，将北京和上海做成统一网络系统，使用北京总公司统一出口访问因特网。上海分公司网络规模下，不需要重建。

22、北京总公司需要重新规划重建，进行扩容升级。并且要求网络有可用性、安全性、可靠性、扩展性和网络系统不间断等特点。网络部分的总体要求：满足企业信息化的要求、性能良好、安全可靠、易于升级、使用简单、维护容易、良好的售后服务支持。系统部分的总体要求：易于配置、可管理、更广泛的设备支持、稳定性及安全可靠性、更低的成本。项目整体规划指导思想：开放性、实用性、先进性、安全可靠性、兼容与可扩充性、经济性、可管理性。在此次露露集团的企业网设计中，我们采用层次化模型来设计网络拓扑结构。所谓“层次化”模型，就是将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问

23、题。层次模型既能够应用于局域网的设计，也能够应用于广域网的设计。层次化模型的好处：在采用层次模型之后，各层次各司其职，不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用宽带，减少了对系统资源的浪费。层次化设计使得网络结构清晰明了，可以在不同的层次实施不同难度的管理，降低了管理成本。在网络设计中，模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中，而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计，任何一个节点的变动都对整个网络产生很大影响。层次化设计能够使网络拓扑结构分解为易于理解的子网，网络管理者能够轻易地确定网络故障的范围，从而简化了排错的过

24、程。为了确保这些关键应用系统的正常运行，系统必须具备以下的特性：采用先进的网络通信技术完成集团企业网的建设，实现各分公司的信息化；在整个企业集团内实现所有部门的办公自动化，提高工作效率和管理服务水平；在整个企业集团内实现资源共享、实时新闻发布；在整个企业集团内实现集中式的供应管理系统和客户服务关系管理系统。第二章 网络总体建设目标2.1 网络建设目标为了建立一个世纪规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台，更好的完善公司的网络。我们的网络建设目标为以下几点： 1.建立覆盖公司的各数据信息点的高速以太网；2.实现公司管理的网络化和现代化，提高

25、公司职员的工作效率；3.实现居民生活的信息化，满足居民对信息的需求及相关服务；4.开展电视会议、远程办公等多种延伸性应用；5.接入互联网，可以在Internet上开拓眼界和接触更多的信息，真正做到天涯若比邻，使企业与国际、国内的最新动态保持同步，从而随时发现新的科研动态、业务信息、最新技术、最新资料以及潜在的其他信息；6.各公司用户能够进行资源共享，使得员工能够进行上网查资料，电子邮件，对外发布网站等等。建立WEB网站，加强公司对外宣传，在国际、国内树立良好的形象。因此，网络化系统公司的以太网建设对公司的长远发展，以及对整个管理方式和工作方式的改变影响都有着深远的意义和影响。我们要求计算机网络

26、系统满足系统集成的网络平台需求，并且考虑对设备投资保护，保证未来几年的系统扩展。最终组建一个高效、稳定、可靠、易管理、安全的企业网。2.2 网络及系统建设内容及要求2.2.1 骨干核心层网络设计企业生产办公网络的核心网主要完成整个企业集团内部不同地域企业之间的高速数据路由转发，以及维护全网路由的计算。鉴于集团企业的用户数量众多，业务复杂，数据转发时难免遇到拥塞、阻塞等情况，所以需要用到QOS技术。在骨干核心层中，我们采用核心路由交换机组成一个环形多机热备份的核心交换机系统解决方案。为提高核心网络的健壮性，防止单台设备失效造成的网络中断，实现链路的安全保障，本方案骨干核心层环网中可以采用HSRP

27、（热备份路由协议）技术。对于各个业务VLAN可指向这个虚拟的IP地址作为网关，因此应用HSRP技术为核心交换机提供了一个可靠的网关地址，以实现在核心层核心交换机之间进行设备的冗余，一主两备，共用一个虚拟的IP地址和MAC地址，通过内部的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网络高效处理集中数据提供了可靠的保障。另外，我们还采用CHANNEL（链路捆绑技术）技术，提高链路的高效利用,可以把两条物理链路捆绑成一条虚拟的链路,可以避免环路。链路捆绑技术是把多条链路捆绑起来，为了提高带宽，出入流量可以在多个成员接口之间分担，也可以加大链路的利用率。而且链路捆绑技术用来做冗余

28、，将两条物理链路捆绑成一条，可以使同时使用的带宽变为两倍，数据在两条链路上同时发送数据。当某个成员接口出现故障时，流量会自动切换到其他可用的成员接口上，并且进行无缝切换，不会影响到数据的传输，从而提高整个捆绑链路的连接可靠性。假如贵公司正在传输一份合同，却因为网络中断而失去了这一次机会，继而损失的不只是财富，名誉也会有所影响。所以这个技术会帮助贵公司进一步完善网络。2.2.2 核心层网络设计企业生产办公网络的核心层网络主要完成园区内各个汇集层设备之间的数据交换和与骨干核心层网络之间的路由转发。本层采用CISCO WS-C3560G-24TS-S 核心路由交换机作为企业生产办公网络的园区核心路由

29、交换设备，CISCO WS-C3560G-24TS-S 具有强大的业务和路由交换的处理能力，能提供 VPN 、Qos、策略路由、NAT、PPPOE/WEB/802.1X/L2TP 认证等丰富业务能力，并可通过内置防火墙模块实现各种强大的网络安全策略，可以充分满足企业不同园区网络的高速数据交换和支持多业务功能的要求，并能够提供完善的安全防御策略，保障企业园区网络的稳定运行。2.2.3 汇聚层网络设计汇聚层网络主要完成企业各园区内办公楼和相关单位的内接入交换机的汇聚及数据交换和VLAN终结，在本方案中采用CISCO WS-C3560G-24TS-S 交换机多层交换机作为汇聚层的交换机。CISCO

30、WS-C3560G-24TS-S 交换机在提供高密度千兆端口接入的同时还能够满足汇聚层智能高速处理的需要，并能够灵活的部署在网络边缘的各个位置。能够同时提供多个高速专用堆叠端口和百兆光口/电口。这些交换机都具备较强的多业务提供的能力。为用户提供丰富、高性能价比的组网选择。2.2.4 接入层网络设计以往传统企业网络接入层的建设中并不关注于安全控制和QOS提供的能力，而将网络的安全防御措施和QOS保障依赖于网络的汇聚层或骨干层设备，这给汇聚层和骨干层设备带来了巨大的压力，往往内网病毒泛滥成灾后导致骨干层设备瘫痪，使网络没有QOS服务质量的保障。Cisco WS-C2918-48TC-C(思科二层交

31、换机是满足高安全、多业务承载、高性能网络环境的换机，具备传统二层交换机大容量、高性能等优点，同时还具有领先的安全特性，进一步加强了企业网络对边缘接入层的安全控制能力。用户可以根据需要来订制自身的安全策略并部署在此交换机上。该产品具备的端口带宽限制、端口镜像、QOS、端口安全、广播风暴抵制等功能可以很好的协助用户实现网络的管理和维护。除此之外，此交换机还具备多个专用堆叠接口，可以满足楼层，楼宇内多个交换机高性能汇聚的需要。2.2.5 冗余/负载均衡设计冗余和负载均衡的设计是网络设计的重要部分，是保证网络整体可靠性能的重要手段。但是投资也将增加。部分企业网在早期的建设中由于成本的原因并未在设计中考

32、虑到冗余的问题，而在优化工作中则需从网络链路和网络设备两方面着手。冗余和负载均衡设计可以贯穿整个层次化结构。我们采用了PVST（每vlan生成树协议）技术，防止了环路，实现了负载均衡，数据的备份和冗余。万一网络中某条路径失效时，冗余链路可以提供另一条路径，使网络能够及时的正常运行。2.2.6 服务器冗余设计企业网中服务器、大型机，如网络存储服务器，SQL Server服务器，其存储的数据对于企业来说至关重要，一些核心数据被视为企业的生命。一方面它对企业的重要性毋庸置疑，另一方面，由于这些数据的性质决定了其较大的被访问量，这个对服务器提出了稳定和快速的要求。为此，我们采用的是轮询的方法，轮询是基

33、站为终端分配带宽的一种处理流程，这种分配可以是针对单个终端或是一组终端的。轮询是基于终端的，带宽的请求总是基于CID，而分配则是基于终端。为一组终端和连接分配带宽实际上是定义带宽请求竞争机制，这种分配不是使用一个单独的消息，而是上行链路映射消息中包含的一系列分配机制，这样使得每个服务器都能够更好、更快的工作，提高了工作效率，更充分的利用了每个服务器。本网络中应具备有多台服务器设备，包括DB SERVER 数据库服务器，WEB 等应用服务器，NEWS，MALL等通讯服务器以及多媒体服务器等。2.3 网络设计原则作为一家优秀的系统集成商，向用户提供的不仅仅是设备，而是整套的技术与服务。本方案的设计

34、将在追求性能优越、经济实用的前提下，本着严谨、慎重的态度，从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计，力图使该系统真正成为符合该集团的网络系统。在网络的设计和实现中，本方案严格遵守以下原则：系统的软硬件设计、还是集成，均以适用为第一宗旨，在系统充分适应企业信息化的需求的基础上进而再来考虑其他的性能。该系统所包含的内容很多，必须能将各种先进的软硬件设备有效地集成在一起，使系统的各个组成部分能充分发挥作用，协调一致的进行高效工作。只有支持标准性和开放性的系统，才能支持与其它开放型系统一起协同工作，在网络中采用的硬件设备及软件产品应该支持国际工作标准或事

35、实上的标准，以便能和不同厂家的开放性产品在同一网络中同时存在。通信中采用标准的通信协议使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。系统所有的组成要素均应充分地考虑其先进性。不能一味地追求实用而忽略先进，只有将当今最先进的技术和我们的实际应用要求紧密结合，才能获得最大的系统性能和效益。网络的安全事关重要，在某些情况下，宁可牺牲系统的部分功能也必须保证系统安全。作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。网络硬件体系结构在实际应用中能经过较长时间的考验，在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案，并通到较多的第三方开发商和用户

36、在全球的广泛支持和使用。同时，应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品，以适应系统未来的发展需要。可靠性也是衡量一个计算机应用系统的重要标准之一。在确保系统网络环境中单独设备稳定、可靠运行的前提下，还需要考虑网络整体的容错能力、安全性及稳定性，使系统出现问题和故障时能迅速地修复。因此需要采取一定的预防措施，如对关键应用的主干设备考虑有适当的冗余。应急处理信息系统能够全体候工作，达到每周7*24小时工作的要求。一个高可用性的系统才能使用户的投资真正得到回报。整个信息网络系统中的互连设备，应是使用方便、操作简单易学，并便于维护。对复杂和庞大的网络，要求有强有力的网络管理手段，以

37、便合理的管理网络资源，监视网络状态及控制网络的运行，因此，网络所选的网络设备应支持多种协议，管理员能方便进行网络管理、维护甚至修复。在设计和实现时，必须充分考虑整个系统的便于维护性，以使系统万一发生故障时能提供有效手段及时进行恢复，尽量减少损失。网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、物理接连、产品支持等方面具有扩充与升级换代的可能，采用的产品要遵循通用的工业标准，以便不同的设备能方便灵活地接连入网并满足系统规模扩充的要求。为了使所实现系统能够在应用发生变化的情况下保护原有的开发投资，在设计系统时，应将系统按功能做成模块化，可根据需要增加和删除功能模块。第三章

38、 网络总体设计3.1 网络总体拓扑图考虑到总公司的实际需求，建议采用两台Cisco Catalyst3560 做双机热备，用Cisco 专有热备份路由协议技术（HSRP），根据需求配置成多组HSRP；同时双机还可以做负载均衡。这样设计不但保证网络的高可用性和稳定性，还能够充分利用现有设备的资源，以避免单台核心设备的负载太重而导致的网络性能问题。如上图所示，整体网络可以根据功能划分为总部核心网络、内联接入包括办公网络、数据中心、分公司接入等，各区域相对独立，通过核心网络进行数据的交互。各区域可以各自建立交换网络、路由接入、网络安全体系，可以有独立的安策略、数据流量控制等个体的特性，而需要和其他区

39、域的设备进行通讯的时候，则必须遵守核心网络区的策略。3.2 网络层次化设计随着网络技术的迅速发展和网上应用量的增长，分布式的网络服务和交换已经移至用户级，由此形成了一个新的、更适应现代的高速大型网络的分层设计模型。这种分级方法被称为“多层设计”。多层设计有以下一些好处：1.多层设计是模块化的，网络容量可随着日后网络节点的增加而不断增大。2.多层网络有很大的确定性，因此在运行和扩展过程中进行故障查找和排除非常简单。3.多层网络系统设计最有效地利用多种第3 层业务，包括分段负载分担和故障恢复等。在分层网络中运用智能第3 层业务可以大大减少因配置不当或故障设备引起的一般问题。4.多层模式使网络的移植

40、更为简单易行，因为它保留了基于路由器和交换机的网络原有的寻址方案，对以往的网络有很好的兼容性。另外分层结构也能够对网络的故障进行很好的隔离。针对实际情况我们可以采用三层结构模型。三层结构模型划分为三个层次，即核心层、分布层、接入层。每个层次完成不同的功能。一、核心层核心层作为整个网络系统的核心，其主要功能是高速、可靠的进行数据交换。二、分布层分布层主要进行接入层的数据流量汇聚，并对数据流量进行访问控制。包括访问控制列表、VLAN 路由等等。三、接入层接入层主要提供最终用户接入网络的途径。主要是进行VLAN的划分、与分布层的连接等等。3.2.1 核心层设计核心交换区的作用是尽快地提供所有的区域间

41、的数据交换。我们推荐使用两台CiscoCatalyst 3560交换机完成此项功能。两台3560交换机高性能、可靠性、可用性是我们主要考虑的因素。本区的安全性可以由边界防火墙提供，如有需要在3560 上面可以部署安全策略，使得核心交换区的安全性进一步地增强。Cisco Catalyst 3560 系列凭借众多智能服务将控制扩展到网络边缘，其中包括先进的服务质量 (QOS、可预测性能、高级安全性和全面的管理。它提供带成永续性的出色控制，将永续性集成到硬件和软件中，缩短了网络停运时间。CiscoCatalyst 3560 系列的模块化架构、介质灵活性和可扩展性减少了重复营开支，提高了投资回报（RO

42、I），从而在延长部署寿命的同时降低了拥有成本。3.2.2 接入层设计接入层交换机采用思科的WS-C2960 以千兆以太链路和汇聚交换机相连接，并为用户终端提供10/100M 自适应的接入，从而形成千兆为骨干，百兆到桌面的以太网三层结构。办公系统所需的各种服务器如办公自动化服务器、邮件服务器、DHCP 服务器等组成服务器群，数据中心的多种金融系统应用服务器, 连接到汇聚交换机的千兆模块上面,因此，内部的局域网是采用三层结构组建。3.2.3 内联接入内联接入的作用是用于连接上海期货机房和北京办公网络。我们推荐使用两台Cisco 2800系列路由器通过SDH/DDN线路完成此项功能。由于总部网络和分

43、部机房属于公司的内部网络的一部分，因此可信度很高；接入时主要作用是生产运营系统的数据交换，查询等等和管理以及监控。总结以上的原因，内联路由器与核心交换网络间不需要配置额外的防火墙。第四章 路由设计4.1 路由协议选择开放式最短路径优先（Open Shortest Path First，OSPF）协议是一种为IP网络开发的内部网关路由选择协议，由IETF开 发并推荐使用。OSPF定义了5种分组：Hello分组用于建立和维护连接；数据库描述分组初始化路由器的网络拓扑数据库；当发现数据库中的某部分信息已经过时后，路由器发送链路状态请求分组，请求邻站提供更新信息；路由器使用链路状态更新分组来主动扩散自

44、己的链路状态数据库或对链路状态请求分组进行响应；由于OSPF直接运行在IP层，协议本身要提供确认机制，链路状态应答分组是对链路状态更新分组进行确认。OSPF协议由三个子协议组成：Hello协议、交换协议和扩散协议。其中Hello协议负责检查链路是否可用，并完成指定路由器及备份指定路由器；交换协议完成“主”、“从”路由器的指定并交换各自的路由数据库信息；扩散协议完成各路由器中路由数据库的同步维护。SPF算法：最短路径优先（SPF）路由算法，又称Dijkstra算法，是OSPF路由协议的基础。所有的OSPF路由器并执行SPF算法，根据路由器的拓扑数据库构造出来以他自己为根结点的最短路径树。这个最短

45、路径树就生成了路由表。OSPF协议主要优点：1.为了克服距离矢量路由选择协议的缺点，开发了链路状态选择协议。2.链路状态路由选择协议仅在网络拓扑发生变化时才生成路由选择更新。3.链路状态路由选择协议具体如下特征：（1）快速响应网络变化；（2）在网络变化时发送触发更新；（3）以较低的频率发送定期更新，被称为链路状态刷新（LSU）。OSPF规定有层次的网路结构，OSPF将网络分为若干区域：1.传输区域（骨干区域）：主要的功能为快速高效的传输IP分组的OSPF区域，中转区域将其他类型的OSPF区域连接起来。2.常规区域（非骨干区域）：主要功能是为了连接用户和资源的OSPF区域3.骨干区域的区域号必须

46、为0。所以的常规区域必须与骨干区域相连。层次化区域的优点：便于管理；最小化路由表；将拓扑变更影响限制在区域内；将LSA变更泛洪限制在范围内。OSPF路由器在完全邻接之前,所经过的几个状态：Down:此状态还没有与其他路由器交换信息。首先从其ospf接口向外发送hello分组，还并不知道DR(若为广播网络和任何其他路由器。发送hello分组使用组播地址。Attempt: 只适于NBMA网络，在NBMA网络中邻居是手动指定的，在该状态下路由器将使用HelloInterval取代PollInterval来发送Hello包。Init: 表明在DeadInterval里收到了Hello

47、包，但是2-Way通信仍然没有建立起来。two-way: 双向会话建立，而RID彼此出现在对方的邻居列表中。(若为广播网络：例如：以太网，在这个时候应该选举DR、BDR。ExStart: 信息交换初始状态，在这个状态下，本地路由器和邻居将建立Master/Slave关系，并确定DD Sequence Number，路由器ID大的的成为Master。Exchange: 信息交换状态，本地路由器和邻居交换一个或多个DBD分组（也叫DDP。DBD包含有关LSDB中LSA条目的摘要信息。Loading: 信息加载状态，收到DBD后，将收到的信息同LSDB中的信息进行比较。如果DBD中有更新的链路状态条

48、目，则向对方发送一个LSR，用于请求新的LSA 。Full: 完全邻接状态，邻接间的链路状态数据库同步完成，通过邻居链路状态请求列表为空且邻居状态为Loading判断。另外OSPF还有自己的自制系统即AS 自治系统（autonomous system）：一组相互管理下的网络，它们共享同一个路由选择方法，自治系统由地区再划分并必须由IANA分配一个单独的16位数字。地区通常连接到其他地区，使用路由器创建一个自治系统。为了保持骨干区域与普通区域的连通性，需要虚链路。虚链路(Virtual Link以下两种情况需要使用到虚链路:1.通过一个非骨干区域连接到一个骨干区域。2.通过一个非骨干区域连接一个

49、分段的骨干区域两边的部分区域。虚链接是一个逻辑的隧道（Tunnel）,配置虚链接的一些规则:1.虚链接必须配置在2个ABR之间。2. 虚链接所经过的区域叫Transit Area,它必须拥有完整的路由信息。3.Transit Area不能是Stub Area。,它增加了网络的复杂程度和加大了排错的难度。4.2 路由规划拓扑图4.3 IP地址规划标识网络中的一个节点。IP 地址空间的分配，要与网络层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。我们根据以下几个原则来分配IP 地址：唯一性：一个IP 网

50、络中不能有两个主机采用相同的IP 地址。简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项。连续性：连续地址在层次结构网络中易于进行路由总结(RouteSummarization，大大缩减路由表，提高路由算法的效率。可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性。灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术(VLSM Variable-Length Subnet Mask，以满足多种路由策略的优化，充分利用地址空间。部门网段子网掩码网关地址广播地址VLAN总部市场部2财务部3营销部4人事部5科研部6行政部7部门网段子网掩码子

51、网网段网关地址广播地址保留地址VLAN分部市场部6个2财务部1个3营销部10个4人事部4个5科研部4个6行政部1个7第五章 网络安全解决方案5.1 网络边界安全威胁分析与非安全网络的互联面临的安全问题与网络内部的安全是不同的，主要的原因是攻击人是不可控的，攻击是不可溯源的，也没有办法去“封杀”。一般来说网络边界上的安全问题主要有下面几个方面：1.信息泄密：网络上的资源是可以共享的，但没有授权的人得到了他不该得到的资源，信息就泄露了。一般信息泄密有两种方式：攻击者(非授权人员进入了网络，获取了信息，这是从网络内部的泄密；合法使用者在进行正常业务往来时，信息被外人获得，这是从网络外部的泄密。2.入

52、侵者的攻击：互联网是世界级的大众网络，网络上有各种势力与团体。入侵就是有人通过互联网进入你的网络(或其他渠道，篡改数据，或实施破坏行为，造成你网络业务的瘫痪，这种攻击是主动的、有目的、甚至是有组织的行为。3.网络病毒：与非安全网络的业务互联，难免在通讯中带来病毒，一旦在你的网络中发作，业务将受到巨大冲击，病毒的传播与发作一般有不确定的随机特性。这是“无对手”、“无意识”的攻击行为。4.木马入侵：木马的发展是一种新型的攻击行为，他在传播时象病毒一样自由扩散，没有主动的迹象，但进入你的网络后，便主动与他的“主子”联络，从而让主子来控制你的机器，既可以盗用你的网络信息，也可以利用你的系统资源为他工作

53、，比较典型的就是“僵尸网络”。来自网络外部的安全问题，重点是防护与监控。来自网络内部的安全，人员是可控的，可以通过认证、授权、审计的方式追踪用户的行为轨迹，也就是我们说的行为审计与合轨性审计。由于有这些安全隐患的存在，在网络边界上，最容易受到的攻击方式有下面几种：1.黑客入侵：入侵的过程是隐秘的，造成的后果是窃取数据与系统破坏。木马的入侵也属于黑客的一种，只是入侵的方式采用的病毒传播，达到的效果与黑客一样。2.病毒入侵：病毒就是网络的蛀虫与垃圾，大量的自我繁殖，侵占系统与网络资源，导致系统性能下降。病毒对网关没有影响，就象“走私”团伙，一旦进入网络内部，便成为可怕的“瘟疫”，病毒的入侵方式就象

54、“水”的渗透一样，看似漫无目的，实则无孔不入。3.网络攻击：网络攻击是针对网络边界设备或系统服务器的，主要的目的是中断网络与外界的连接，比如DOS攻击，虽然不破坏网络内部的数据，但阻塞了应用的带宽，可以说是一种公开的攻击，攻击的目的一般是造成你服务的中断。5.2 网络内部安全威胁分析公司内部网络的风险分析主要针对整个内网的安全风险，主要表现为以下几个方面：1.内部用户的非授权访问；内部的资源也不是对任何的员工都开放的，也需要有相应的访问权限。内部用户的非授权的访问，更容易造成资源和重要信息的泄漏。2.内部用户的误操作；由于内部用户的计算机造作的水平参差不齐，对于应用软件的理解也各不相同，如果一

55、部分软件没有相应的对误操作的防范措施，极容易给服务系统和其他主机造成危害。内部用户的恶意攻击；就网络安全来说，据统计约有70左右的攻击来自内部用户，相比外部攻击来说，内部用户具有更得天独厚的优势，因此，对内部用户攻击的防范也很重要。设备的自身安全性也会直接关系到各种系统和各种网络应用的正常运转。例如，路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。3.重要服务器或操作系统自身存在安全的漏洞，如果管理员没有及时的发现并且进行修复，将会为网络的安全带来很多不安定的因素。重要服务器的当机或者重要数据的意外丢失，都将会造成内部的业务无法正常运行。4.安全管理的困难，对于众多的网络设备和网络安全

56、设备，安全策略的配置和安全事件管理的难度很大。5.3 安全产品选型原则公司网络属于一个行业的专用网络，因此在安全产品的选型上，必须慎重，选型的原则包括：1.安全保密产品的接入应不明显影响网络系统运行效率，并且满足工作的要求，不影响正常的业务；2.安全保密产品必须满足上面提出的安全需求，保证整个公司企业网络的安全性；3.安全保密产品必须通过国家主管部门指定的测评机构的检测；4.安全保密产品必须具备自我保护能力；5.安全保密产品必须符合国家和国际上的相关标准；6.安全产品必须操作简单易用，便于简单部署和集中管理。5.4 网络常用技术介绍5.4.1 HSRP 协议我们使用HSRP来实现对故障路由器的接管,HSRP中文解释是热备份路由协议，其含义