计算机网络 毕业设计(共39页)

1、 毕业设计（论文）报告纸PAGE 毕 业 设 计 说 明 书课题名称好享家公司企业网络规划与建设院 系计算机与软件学院专 业网络技术班 级学 号学生姓名指导教师：2014年 5 月 26日计算机与软件(run jin)学院毕业设计(b y sh j)（论文）诚信承诺 我谨在此承诺(chngnu)：本人所写的毕业论文中小型企业(qy)网络规划与建设，系本人独立完成，没有抄袭行为，凡涉及其他作者的观点和材料，均作了注释与说明，若有不实，后果由本人承担。承诺人（签名）： 年 月 日摘 要市场的全球化竞争已成为趋势。对于中小企业来说，在调整发展(fzhn)战略时，必须考虑到市场的全球竞争战略，而这一切

2、将以信息化平台为基础，以网络通畅为保证。通过建立各种虚拟专网（VPN）和企业外部网络（Extranet），建立企业全球信息网络是未来企业网络应对市场全球竞争的一种策略。 本论文(lnwn)以好享家公司(n s)的局域网规划和设计为背景，借助计算机网络原理及网络规划技术，从企业局域网的概念及相关计算机网络技术入手，比较详细地设计出了该企业网建设的实施方案及建设规划,以期达到先进、安全、实用、可靠的目标。论文对该企业的组网需求进行了分析，比较各种组网技术，从实用角度论述了局域网主干网选择，综合布线，各种设备选择，网络安全，网络管理等方面。文中参照了当前诸多企业局域网和校园网络方面的相关组网形式和成

3、熟的网络技术，该方案基本达到了预期的目标。关键词：交换机；路由器；系统规划；网络安全；拓扑结构AbstractThe market globalization competition has become the tendency. Regarding the small and medium-sized enterprise, when the adjustment developmental strategy, must consider the market the global competition strategy, but all these take the informati

4、onization platform as a foundation, take the network unobstructed as the guarantee. Through establishes each kind of hypothesized special net (VPN) and enterprise exterior network (Extranet), will establish the enterprise whole world information network is the future enterprise network should to the

5、 market global competition one kind of strategy. The present paper take HaoXiangJia enterprise newly built workshop local area network plan and the design as a background, with the aid of the computer network principle and the network planning technology, from the enterprise local area network conce

6、pt and correlation computer network technology obtaining, compared with in detail designed the implementation plan and the construction plan which this enterprise network constructed, Achieves advanced, safe, practical, the reliable goal by the time. The paper has carried on the analysis to this ent

7、erprises network demand, compared with each kind of network technology, elaborated the local area network backbone network choice from the practical angle, comprehensive wiring, each kind of equipment choice, network security, aspects and so on network management. In the article has referred to the

8、current many enterprise local area network and the campus network aspect related network form and the mature networking, this plan has achieved the anticipated goal basically.Key Words: Switchboard; Router; systems organization; Network security; Topology architecture目 录 TOC o 1-3 h z u HYPERLINK l

9、_Toc389123724 1 绪论(xln) PAGEREF _Toc389123724 h 1 HYPERLINK l _Toc389123725 2 企业(qy)网络网络规划 PAGEREF _Toc389123725 h 2 HYPERLINK l _Toc389123726 2.1 网络(wnglu)设计原则 PAGEREF _Toc389123726 h 2 HYPERLINK l _Toc389123727 2.2 网络项目背景 PAGEREF _Toc389123727 h 2 HYPERLINK l _Toc389123728 2.3 IP地址规划 PAGEREF _Toc3

10、89123728 h 3 HYPERLINK l _Toc389123729 3 企业网络组建准备工作 PAGEREF _Toc389123729 h 4 HYPERLINK l _Toc389123730 3.1 企业的基本应用 PAGEREF _Toc389123730 h 4 HYPERLINK l _Toc389123731 3.2 企业网络结构规划 PAGEREF _Toc389123731 h 5 HYPERLINK l _Toc389123732 3.3 网络拓扑设计 PAGEREF _Toc389123732 h 6 HYPERLINK l _Toc389123733 3.4

11、网络设备选型 PAGEREF _Toc389123733 h 6 HYPERLINK l _Toc389123734 3.5 综合布线设计 PAGEREF _Toc389123734 h 12 HYPERLINK l _Toc389123735 3.6 Internet接入技术方案 PAGEREF _Toc389123735 h 13 HYPERLINK l _Toc389123736 3.7服务器配置方案 PAGEREF _Toc389123736 h 13 HYPERLINK l _Toc389123737 3.7.1 POP3、WEB和FTP服务器 PAGEREF _Toc3891237

12、37 h 13 HYPERLINK l _Toc389123738 3.7.2 OA办公系统 PAGEREF _Toc389123738 h 14 HYPERLINK l _Toc389123739 3.7.3 存储服务器 PAGEREF _Toc389123739 h 14 HYPERLINK l _Toc389123740 4 企业网络主要应用技术 PAGEREF _Toc389123740 h 15 HYPERLINK l _Toc389123741 4.1 路由协议OSPF PAGEREF _Toc389123741 h 15 HYPERLINK l _Toc389123742 4.2

13、 RSTP MSTP原理 PAGEREF _Toc389123742 h 15 HYPERLINK l _Toc389123743 4.3 NAT的策略路由实现 PAGEREF _Toc389123743 h 16 HYPERLINK l _Toc389123744 4.4 VLAN虚拟局域网的划分 PAGEREF _Toc389123744 h 17 HYPERLINK l _Toc389123745 4.5 ACL访问控制策略 PAGEREF _Toc389123745 h 17 HYPERLINK l _Toc389123746 4.6 链路聚合 PAGEREF _Toc38912374

14、6 h 17 HYPERLINK l _Toc389123747 4.7 交换机端口安全 PAGEREF _Toc389123747 h 18 HYPERLINK l _Toc389123748 5 企业网络安全设计 PAGEREF _Toc389123748 h 19 HYPERLINK l _Toc389123749 5.1 企业网络的主要安全隐患 PAGEREF _Toc389123749 h 19 HYPERLINK l _Toc389123750 5.2 网络安全防范体系层次 PAGEREF _Toc389123750 h 19 HYPERLINK l _Toc389123751 5

15、.3 网络安全措施 PAGEREF _Toc389123751 h 20 HYPERLINK l _Toc389123752 5.4 安全措施具体实施 PAGEREF _Toc389123752 h 20 HYPERLINK l _Toc389123753 6 网络系统测试(csh) PAGEREF _Toc389123753 h 24 HYPERLINK l _Toc389123754 6.1 设备(shbi)配置 PAGEREF _Toc389123754 h 24 HYPERLINK l _Toc389123755 7 测试(csh)与验收 PAGEREF _Toc389123755 h

16、 35 HYPERLINK l _Toc389123756 7.1 设备安装、调测、开通 PAGEREF _Toc389123756 h 35 HYPERLINK l _Toc389123757 7.2 移交测试 PAGEREF _Toc389123757 h 35 HYPERLINK l _Toc389123758 7.3 试运行验收测试 PAGEREF _Toc389123758 h 35 HYPERLINK l _Toc389123759 结 论 PAGEREF _Toc389123759 h 37 HYPERLINK l _Toc389123760 谢 辞 PAGEREF _Toc38

17、9123760 h 38 HYPERLINK l _Toc389123761 参考文献 PAGEREF _Toc389123761 h 39共 40 页 第 页共 45 页 第 PAGE 1 页1 绪论随着网络的不断发展，网络办公信息化和设备数字越来越普及，企业网络的管理也越来越重要(zhngyo)。人们对网络的依赖也越来越大。企业网不仅要使分布在不同地理位置上的计算机和各种设备互连互通为一个统一的网络，还要提高资源管理水平以及提供(tgng)多种服务，如办公自动化，WEB服务，E-mail服务，FTP服务，Media服务等，将企业的的各种信息资源组织起来，以满足企业的各方面的需求。该企业分为

18、总部和分部(fn b)，分部设立在上海以及深圳，总公司是设立在一个三层的办公楼，有技术部（进行开发、设计、技术维护），销售部，财务部，人事管理部门，各分公司有销售部，财务部，人事管理部门，各分公司之间以及与总部间距离比较远，所以为了将其进行互联，运用到了帧中继技术，它是一种局域网互联的WAN协议。为了使网络具有一定的安全性，企业网的内部网络使用VLAN分段，隔离广播，防止网络内部窃听和非授权的跨网段访问，只允许内部主机访问Internet，而不允许外网用户访问内部主机。2 企业网络网络规划2.1 网络设计(shj)原则为适应(shyng)好享家公司(n s)信息化的发展，满足公司未来几年的日益

19、增长的业务需求，同时使得内部系统安全性与有效性相并重，主要表现在如下几个方面：（1）可增值企业网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力。 （2）安全保密性能有效通过软硬件相互联动，有效保证企业网的安全；选择设备必须具有较高的安全特性，如蠕虫病毒防御、ARP欺骗防御、防代理、防攻击扫描、防私设DHCP等功能。 （3）开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要； 2.2 网络项目背景好享家是一家中小型公司，员工

20、人数大约300人，主要做智能家居这一块市场，属于经销商的性质。公司建筑是楼层建筑，包括可拓展点。随着公司业务的发展，人员壮大，办公信息化以及自动化的需求，为提高公司各个部门间办公信息化，需要建立一个完善和稳定的企业网络。企业网要保证整个企业信息点的互联、高效、安全，可支持上百个用户同时并发使用。而且要求企业网具有可拓展性，支持未来的发展，高速的、冗余的、基于标准的网络。公司现有四个部门，下表是关于各个部门所有主机的需求：表2.1 IP地址需求网段描述所需的IP地址数部门一100部门二100部门三100部门四100公网IP地址1 服务器（3个）32.3 IP地址规划(guhu)IP地址的合理是保

21、证网络顺利运行和网络资源有效(yuxio)利用的关键。企业网IP地址的分配应该尽可能地利用申请到的地址空间，充分考虑到地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。具体IP网段地址规划(guhu)如下：表2.2 IP地址规划类别IP地址VLAN编号默认网关部门一/2411/24部门二/242224部门三/2433/24部门四/2444/24服务器（4个）/24/24/24/24/24/24公网地址0/303 企业网络组建准备工作3.1 企业的基本(jbn)应用(1) Intranet应用(yngyng)公司(n s)立企业内部信息网站，为公司内部所有网上用户提供公司策略

22、、生产调度、产品营销、物资供应、商情信息、销售幅度、员工信息等信息服务。集团内部各部门可通过内部网站实现企业内部信息交流，主动地获取信息和提供信息。Internet作为信息交流的基础设施，对信息技术的发展，信息市场的开拓，以及信息社会的形成都起着十分重要的作用。公司所构造的网络正是通过Internet将企业内部与外界连接起来。这样公司可为广大客户提供他们所关心的有关信息；在网络上提供WWW，E-mail等服务。这样可以大大的提升公司的知名度，让更广泛的客户能够更方便，更多的了解本公司，对于公司的品牌效应是不可估量的。 (2) MIS管理信息的应用一个企业信息管理系统大致包括这样几个子系统：数据

23、的收集、整理系统，输入系统，加工系统，传输系统，存储系统，检索系统，输出系统等。利用MIS管理信息系统能够最大限度地结合现代计算机及网络通信技术加强对企业的信息管。MIS的操作流程也相对简单，系统开发出来，前期只需很少的培训，员工便能很轻易地与业务接轨，不过需要一个系统维护员，因为万一系统出现bug，会直接影响公司业务水平，导致不必要的损失。（3）OA办公自动化系统应用随着Internet/Intranet和Web技术的日益普及和推广，使得Internet/Intranet正逐渐成为企业信息化建设的有力工具。软件的进步大大改变着传统办公模式，也会大大提高办公效率。办公自动化应用软件 Offic

24、e Assistant 变成一个新的发展方向。该软件采用Browser/Server模式，完全基于Internet/Intranet平台，针对企事业单位内部的管理流程，设计而成的一套方便、稳定、实用的办公自动化软件。此系统有如下几大优势：1. 实现远程办公和移动办公，随时随处办理工作事务2. 通过工作流转的自动化，实现高效快捷的办公3. 明确工作岗位与工作职责，有效监管工作人员的工作情况，实现实时工作任务的监督与催办4. 方便领导同各级工作人员的有效沟通3.2 企业网络结构规划将本公司的内部网络设计为三级层级：（1） 接入层（2） 汇聚层（3） 核心层这样规划一是能够有良好的层次感，利于(ly

25、)实现较为复杂的网络功能要求；二是这样分层能够使每层的功能(gngnng)较容易实现也较清楚；三是采用这种分层方式可以支持较大的网络规模便于企业网的升级扩大。（1）接入层接入层为用户提供(tgng)对本地网段的访问，所需功能不必有多强大，它的主要作用是将工作组计算机与汇聚层连接起来，主要完成逻辑网络分段，给予工作组或LAN隔离广播通信以及在多个CPU之间分布服务。其特点有以下几点：提供不同数量的100M端口到用户，提供1000M上行链路端口到汇聚层交换机。成本低，所有端口支持全线速二层交换。网络设备扩展性好，可平滑升级。（2）汇聚层汇聚层设备一般采用可管理的 HYPERLINK /view/4

26、4586.htm t _blank 三层交换机或 HYPERLINK /view/2076807.htm t _blank 堆叠式交换机以达到 HYPERLINK /view/10821.htm t _blank 带宽和传输性能的要求。主要作用是为接入层提供服务，为核心层维护与传达服务。其设备性能较好，但价格高于 HYPERLINK /view/1224550.htm t _blank 接入层设备，而且对环境的要求也较高，对电磁辐射、温度、湿度和空气洁净度等都有一定的要求。汇聚层设备之间以及汇聚层设备与 HYPERLINK /view/1224552.htm t _blank 核心层设备之间多

27、采用光纤互联，以提高系统的传输性能和 HYPERLINK /view/4316.htm t _blank 吞吐量。（3）核心层 核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。其性能要求相对较高，一般需要用路由器来完成诸多策略（不过目前很多单位都采用多级交换机，有其特别的优势），核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格，同时为了减轻负担，网络的控制功能最好尽量少在骨干层上实施。在设计核心层结构时，还应该充分考虑到以下几点因素：1. 汇聚层交换机要有充足的带宽。2. 必须具有冗余和流量均衡的

28、功能。3. 能够实现各种安全策略以保证网络的安全和数据包转发的合理。 3.3 网络拓扑设计企业内部的网络拓扑设计，如下图：图 3.1 网络拓扑图3.4 网络设备选型网络设备选型要遵循以下(yxi)原则：具备优良的性能价格比，根据现在的需求和可以预见的需求增长(zngzhng)情况设计网络，避免追求高档和最新技术花费的巨大代价。具备(jbi)优良的RAS(远程访问服务)性能安全性、可靠性、可用性、可维护性。具备优良的可扩充性和升级能力。CISCO是网络业界第一品牌和最大的研发厂家，是项目可持续应用的投资保护和规避厂家风险的首选。IOS采用的是经检验已成为业界标准的强健稳定的CISCO IOS，更

29、具有广泛的协议支持，这是其他厂商所不能企及的；思科IOS软件系列在全世界一千多万个不同规模的系统上发挥着重要作用，其范围从小型家庭办公网络到最庞大的电信运营商网络。思科IOS取得广泛成功的关键在于，它的标准化设计中整合了创新网络技术、关键业务IP服务和首屈一指的平台支持能力。 锐捷网络，作为中国网络解决方案领导品牌。聚焦客户利益，致力于通过持续技术创新，坚持自主研发的网络产品，涵盖交换机、路由器、出口网关、安全、无线、软件等六大产品线，产品性价比相对高。基于以上考虑，我们公司网络核心层采购思科设备，汇聚层与接入层使用锐捷设备。（1）接入层交换机选型公司接入层交换机均选用锐捷RG-S2928G-

30、S（官方报价4000元），24口10/100/1000M自适应端口，4个SFP光口，支持全面的安全控制策略，通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化使用网络，如端口静态和动态的安全绑定、端口隔离、多种类型的硬件ACL控制、基于数据流的带宽限速、用户安全接入控制的多元素绑定等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。具体(jt)产品参数如下：主要参数应用(yngyng)层级三层传输速率10/100/1000Mbps交换方式存储(cn ch)-转发背板带宽68Gbps包转发率51Mpps端口参数端口结构非模块化

31、端口数量28个端口描述24个10/100/1000M自适应端口，4个SFP光口 功能特性 网络标准IEEE 802.3，IEEE 802.3u，IEEE 802.3z，IEEE 802.3x，IEEE 802.3ad，IEEE 802.1p，IEEE 802.1x，IEEE 802.3ab，IEEE 802.1Q，IEEE 802.1d，IEEE 802.1w，IEEE 802.1s VLAN支持4K个802.1Q VLAN（同时可用512个） 网络管理SNMPv1/v2C/v3 ，CLI（Telnet/Console） 其它参数 电源电压AC 160-240V，50Hz-60Hz 纠错 环境

32、标准工作温度：0-45 工作湿度：10%-90%RH 存储(cn ch)温度：-40-70 存储(cn ch)湿度：5%-90%RH 其它(qt)参数1个USB2.0接口（2）汇聚层交换机选型RG-S5750系列是锐捷网络推出的硬件支持IPv6的万兆多层交换机，产品以极高的性价比为大型网络汇聚、中型网络核心、数据中心服务器接入提供了高性能、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足高速、安全、智能的企业网需求。具体参数如下：主要参数产品类型智能交换机应用层级三层传输速率10/100/1000Mbps交换方式存储-转发背板带宽240Gbps包转发率102Mpps端口参

33、数端口结构非模块化端口数量52个端口描述48个10/100/1000M自适应电口，4个复用的SFP接口扩展模块2个扩展槽功能特性VLAN支持4K个802.1Q VLAN支持Super VLAN支持Protocol VLAN支持Private VLAN支持Voice VLAN支持基于MAC地址的VLAN支持QinQQOS支持端口流量(liling)识别支持802.1p/DSCP/TOS流量(liling)分类 支持(zhch)WRED，WRED+ECN拥塞控制 支持流量限速 支持层级QoS 支持输出QoS 安全管理支持IP、MAC、端口三元素绑定 支持IPv6、MAC、端口三元素绑定 支持安全通

34、道 支持防网关欺骗 限制端口学习MAC地址数量 过滤非法的MAC地址 支持防DHCP服务器私设 支持广播风暴抑制 管理员分级管理和口令保护 设备登陆管理的AAA安全认证 支持SSH 支持BPDU Guard 支持TACAS+ 支持Radius其它参数电源电压AC 176-264V，48-60Hz电源功率90W产品尺寸44042044mm环境标准工作温度：0-45工作湿度：10%-90%RH存储温度：-40-70存储湿度：5%-90%RH核心层(出口)路由器选型Cisco 3825 是一款集成多业务路由器平台，其上的思科IP通信特性包括实施松散连接在一起的半自动业务解决方案所需的高级特性和服务，

35、包括呼叫处理、呼叫控制协议、服务质量（QoS）、模拟和数字接口、排队、编程、语音留言和自动职守。企业分支机构、商业办公室和中小型办公室可以使用业界最广泛、最全面的语音和安全服务，并直接嵌入并集成到业界领先的路由平台上，以提高性能和永续性。基本参数路由器类型多业务路由器传输速率10/100/1000Mbps端口结构模块化局域网接口2个扩展模块6包转发率10Mbps:14800pps100Mbps:148800pps1000Mbps:1488000pps 功能(gngnng)参数防火墙内置防火墙Qos支持(zhch)支持VPN支持(zhch)支持网络管理Cisco ClickStart，SNMP其

36、他参数产品内存256MB电源电压AC 100-240VDC 24-60V产品尺寸373.38434.3488.9mm产品重量9.06kg环境标准工作温度：0-40湿度：5%-95%（非冷凝）存储温度：40-853.5 综合布线设计（1）布线系统的结构综合布线一般采用星型拓扑结构。该结构下的每个分支子系统都是相对独立的单元，对每个分支子系统的改动都不影响其它子系统，只要改变节点连接方式就可使综合布线在星型、总线形、环型、树型等结构之间进行转换。（2） 综合布线设计标准国际标准城市住宅区和办公楼电话通信设施设计标准建筑与建筑群结构化布线系统设计规范GB50311-2000建筑与建筑群结构化布线系统

37、工程施工及验收规范GB50312-2000相关厂家产品设计、选型、施工、验收手册说明的标准（3） 综合布线设计原则适用性灵活性可扩展性模块化结构开放性（4）水平子系统将工作区引至管理区子系统，它是整个布线系统的一部分，将干线子系统线路延伸到用户工作区，水平布线子系统总是处在一个楼层上，并端接在信息插座上。（5）垂直干线子系统垂直干线子系统由连接设备间与各层信息模块的干线构成。其任务是将各楼层模块的信息，传递到设备间并送至最终接口。垂直干线的设计必须满足用户当前的需求，同时又能适合用户今后的要求。为达此目的，本方案中我们采用超五类网线，支持数据信息的传输，采用5类4对非屏蔽双绞线缆，支持语音信息

38、的传输。（6） 设备(shbi)间子系统设备间子系统是整个布线系统的中心单元，设备间子系统(主配线间)由设备间中的电缆、主配线架和相关支撑硬件组成，它把公共系统设备的各种不同设备互连起来。该子系统连接公共系统设备(如PABX)，通过垂直干线分别向各楼信息模块(m kui)进行配线管理。3.6 Internet接入技术(jsh)方案目前连接Internet可以通过多种通信介质，Internet本身对通信和连接方式没有任何限制。在连接时，企业可以根据自己实际情况来规划自己的连接方案，决定使用何种通信介质。一般目前通常使用的网络传输介质有双绞线、同轴电缆、光纤等，都可供企业选择。本单位采用光纤 +

39、以太网接入接入，主干光纤 100Mb带宽。3.7服务器配置方案3.7.1 POP3、WEB和FTP服务器采用linux操作系统，apache服务，mysql数据库，php网站程序，并配置FTP用于上传文件，邮件服务器用于沟通。具体完成任务：（1）系统技术工程师安装配置apche、mysql、php环境。（2）系统工程师安装配置邮件服务器Sendmail。（3）系统技术工程师安装配置ftp服务器。（4）架设公司web网站，上传数据库文件。3.7.2 OA办公系统在windows 2008下架设OA系统，采用sql 2008数据库。做好备份镜像办公系统服务器。3.7.3 存储服务器存储服务器主要存

40、储公司主要的软件，备份公司重要文件和重要数据库，以及各员工的重要项目、进度文件。主要采取FTP实现上传和下载的功能。单位的信息管理系统MIS依靠此服务器运作。员工之间设有相应的权限，保证数据安全与完整。4 企业网络主要应用技术4.1 路由协议(xiy)OSPFOSPF路由协议是一种典型的链路状态(zhungti)（Link-state）的路由协议，在这里，路由域是指一个自治系统（Autonomous System），即AS，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。作为一种(y zhn)链路状态的路由协议，OSPF将链路状态广播数据包LSA（Link State Adver

41、tisement）传送给在某一区域内的所有路由器，这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。在公司的汇聚层交换机及出口路由器上使用OSPF路由协议，以实现路由的动态更新，确保全网互通。4.2 RSTP MSTP原理RSTP 协议完全向下兼容 802.1D STP 协议，除了和传统的 STP 协议一样具有避免回路、提供冗余链路的功能 外，最主要的特点就是“快”。如果一个局域网内的网桥都支持 RSTP 协议且管理员配置得当，一旦网络拓朴改变而 要重新生成拓朴树只需要不超过 1 秒的时间（传统的 STP 需要大约 50 秒）。本交换机支持

42、 MSTP，MSTP 是在传统的 STP、RSTP 的基础上发展而来的新的生成树协议，本身就包含了 RSTP的快速 FORWARDING 机制。由于传统的生成树协议与 vlan 没有任何联系，因此在特定网络拓朴下就会产生以下问题： 如下图 所示，交换机 A、B 在 vlan1 内，交换机 C、D 在 vlan2 内，然后连成环路。图 4.1 MSTP范例(fnl)在某种情况的配置(pizh)下，会造成把交换机 A 和 B 间的链路给 DISCARDING.由于(yuy)交换机 C、D 不包含 vlan1，无法转发 vlan1 的数据包，这样交换机 A 的 vlan1 就无法与交换机 B 的 v

43、lan1 进行通讯。在网络末梢，连接到单个工作站的时候，是不可能形成桥接环路的。在接口 上启用了 portfast 特性，可以使交换机端口立即变为转发状态，提高了网络的 响应速度及收敛时间。 基于 RSTP 的交换机高级特性 Uplinkfast 在网络中的应用考虑到有冗余上行连接的网络，使用冗余连接到上层交换机，通常情况下一 个上行连接处于转发状态，另一个处于阻塞状态，如果主上行连接断开，在使用 冗余连接之前所经历的时间高达 50S在使用 Uplinkfast 之后，使的具有冗余上行连接的交换机具有根端口失效 时，另一个阻塞的上行连接能够立即使用，这个时间大大缩小到 1-5S 之间，在校园网

44、的特殊环境之下，能大大增强网络的稳定性，加快网络收敛。 4.3 NAT的策略路由实现NAT 是网络地址翻译技术，在路由器上起用 NAT 之后，可以在部私有地址和 外部公网地址之间做转换。比如我们可以把网络内部使用的 IP 翻译成外部公网的 IP。配置基于策略的路由选择时，可使用路由映射表来指定基于IP 地址，应用程序，协议或者分组长度的条件。基于策略的路由选择命令对中选的路由实现策 略。4.4 VLAN虚拟(xn)局域网的划分VLAN 虚拟局域网是一种在二层设备上隔离和划分广播(gungb)域的技术，通过这种 划分，可以(ky)隔离网段，可以有效地管理网络。在企业网方案中，通过使用VLAN 技

45、术进行划分达到以下目的：隔离，划分广播域，减小不必要的广播流量，从而提高整个网络的利用效率。4.5 ACL访问控制策略访问列表为我们提供了一种对网络访问进行有效管理的方法，通过访问列 表，我们可以设置允许或拒绝数据包通过路由器，或者允许或者拒绝具体的某些 端口进行访问和使用，如果满足条件则执行相应的操作，放行这个包或者放弃这 个包。在具体实现过程中从技术上来说我们需要了解到 ACL 分为两种类型,他们分 别是标准访问列表(Standard access lists)和扩展访问列表（Extends access lists） 前者在过滤网络的时候只使用 IP 数据报的源地址，那么在使用这种访问列

46、表的 情况下它做出允许或者拒绝这个决定完全是依赖于源 IP 地址，它无法区分具体的流量类型。4.6 链路聚合以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的伸缩性，比如可以把 2 个、3 个、4 个千兆的链路绑定在一起，使链路的带宽成倍增长。链路聚合技术可以实现不同端口的负载均衡，同时也能够互为备份，保证链路的冗余性。在这些千兆以太网交换机中，最多可以支持 4 组链路聚合，每 组中最大 4 个端口。链路聚合一般是不允许跨芯片设置的。生成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路，并用生成树协议让备份链路阻塞，在逻辑上不形成环路。而一旦出现故障

47、，启用备份链路。4.7 交换机端口安全交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两种类型：一是限制交换机端口的最大连接数，二是针对交换机端口进行MAC地址、IP地址的绑定。限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行恶意ARP欺骗。交换机端口的地址绑定，可以(ky)针对IP地址(dzh)、MAC地址(dzh)、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。5 企业网络安全设计5.1 企业(qy)网络的主要安全隐患现在网络安全系统所要防范的不再仅是病

48、毒感染，更多的是基于网络的非法入侵(rqn)、攻击和访问，这样对于公司的网络(wnglu)稳定与信息安全产生巨大威胁。很多情况下内部网络安全威胁要远远大于外部网络，因为内部中实施入侵和攻击更加容易。 加强内部网络的安全管理，配置好防火墙过滤策略和系统本身的各项安全措施，及时安装系统安全补丁，有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、IDS、IPS系统，甚至配置网络安全隔离系统，对内、外网络进行安全隔离；加强内部网络的安全管理，严格实行“最小权限”原则，为各个用户配置好恰当的用户权限； 5.2 网络安全防范体系层次 (1)物理环境的安全性（物理层安全） 该层次的安全包括通信线路的

49、安全，物理设备的安全，机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质），软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份。 (2)操作系统的安全性（系统层安全） 该层次的安全问题来自网络内使用的操作系统的安全，如Windows NT，Windows 2000等。主要表现在三方面，一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题。三是病毒对操作系统的威胁。 (3)网络的安全性（网络层安全） 该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与

50、完整性，远程接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段，网络设施防病毒等。 (4)应用的安全性（应用层安全） 该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生，包括Web服务、电子邮件系统、DNS等。此外，还包括病毒对系统的威胁。 (5)管理的安全性（管理层安全） 安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。5.3 网络安全措施(cush)(1) 构建良好的环境确保(qubo)企业物理设备

51、的安全(2) 划分VLAN控制(kngzh)内网安全(3) 安装防火墙体系(4) 建立VPN(虚拟专用网络)确保数据安全(5) 安装防病毒服务器(6) 加强企业对网络资源的管理5.4 安全措施具体实施物理方面：（1）保证机房环境安全信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从一下三个方面考虑：一、自然灾害，物理损坏和设备故障 二、电磁辐射，乘机而入、痕迹泄漏等 三、操作失误，意外疏漏等。（2）选用合适的传输介质屏蔽式双绞线的抗干扰能力更强，且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地（最好多处接地），对于干扰严重的区域应使用屏蔽式双绞线，并将其放

52、在金属管内以增强抗干扰能力。（3）保证供电安全可靠计算机和网络主干设备对交流电源的质量要求十分严格，对交流电的电压和频率，对电源波形的正弦性，对三相电源的对称性，对供电的连续性、可靠性稳定性和抗干扰性等各项指标，都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自身运转的要求，又要满足网络应用的要求，必须做到保证网络系统运行的可靠性，保证设备的设计寿命保证信息安全保证机房人员的工作环境。2、 VLAN的应用：VLAN是一种将局域网（LAN）设备从逻辑上划分（注意，不是从物理上划分）成一个个网段（或者说是更小的局域网LAN）。VLAN技术能有效隔离局域网，防止网内的攻击，所以公司网络中

53、按部门进行了VLAN划分，每个部门都有相应的VLAN,这样有利于网络安全。3、企业网络防火墙的应用企业网络中使用的是神州数码的DCFW-1800S UTM，里面包含了防火墙和VPN等功能。防火墙主要功能如下：(1)网络安全的屏障防火墙可通过过滤不安全的服务而减低风险，极大地提高内部网络的安全性。由于只有经过选择并授权允许的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙可以禁止诸如不安全的NFS协议进出受保护的网络，使攻击者不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向路径。防火墙能够拒绝所有以上类型攻击的报文，

54、并将情况及时通知防火墙管理员。(2)强化(qinghu)网络安全策略通过以防火墙为中心的安全方案配置。能将所有安全软件(如口令、加密、身份认证等)配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如(lr)，在网络访问时，一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上而集中在防火墙。(3)实施监控(jin kn)审计功能对网络存取和访问进行监控审计由于所有的访问都必须经过防火墙，所以防火墙就不仅能够制作完整的日志记录，而且还能够提供网络使用的情况的统计数据，利用此监控功能，当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击

55、的详细信息。4、企业网络管理实施 百络网警是企业级的局域网管理软件，其把一款专业性很强的网管软件设计成为一个浅显易懂的提高企业生产力的软件，该软件以“事前防控、事中监控、事后跟踪”的模式来协助企业来进行员工上网行为管理。主要功能： （1）一机监控整个网络（不同于一般软件，不需安装客户端）。 只装在一台电脑上，不用安装客户端，即可针对网卡地址（或机器名或IP地址或自定义用户名）对整个网络进行跨VLAN、跨平台控制管理。 （2）监控QQ聊天内容、MSN聊天内容、飞信聊天内容。可实时记录MSN、Yahoo、ICQ、QQ聊天室等即时通讯工具的聊天内容，并对QQ号码以及其聊天过程进行全程记录。 （3）监

56、控邮件内容。可对通过SMTP协议发邮件和通过POP3收邮件的收发邮箱进行任意控制，如只能收发到指定的邮箱或指定的邮箱才能收发，并能查看收发内容（包含附件内容）。 （4）实时流量管理及统计。不仅可对每台电脑上网流量进行统计查询，而且还可以根据工作需要对它们进行流量带宽控制，控制BT下载并报警，防止网络带宽被大量无效占用，使互联网资源真正得到有效合理分配。（5）过滤上网信息。可禁止网页粘贴、论坛留言、WEB邮件等所有通过HTTP协议的网络外发行为，使单位领导不再担心员工利用单位电脑在网上发布不恰当的网络言论，不再担心企业商业秘密或重要文档通过互联网外泄。 （7）个性化管理局域网中电脑。可在任意时间

57、段对任何组和单机建立各种管理规则进行控制管理，操作灵活方便，使管理者能对互联网实现最大限度的个性化管理。（8）局域网内电脑(dinno)分组管理。可以(ky)将机器按IP或者VLAN分成不同的组进行系统管理，可以增添和删除组。通过对不同级别、不同用户分配不同的管理权限，可实现多级别、多用户对系统进行远程操作控制，使整个互联网管理有条有序，层次分明。6 网络系统测试(csh)6.1 设备(shbi)配置(pizh)设计完网络后，需要对企业网进行实施，我们使用Cisco Packet Tracer软件模拟设备，再进行设备的相应配置。PT绘制拓扑图如下：图 6.1 测试拓扑图配置过程：R1:host

58、name R1interface FastEthernet0/0 ip address ip nat inside duplex auto speed auto!interface FastEthernet0/1 ip address ip nat inside duplex auto speed auto!interface Serial0/0/0 ip address 0 52 ip nat outside clock rate 9600!interface Serial0/0/1 no ip address shutdown!interface Ethernet0/2/0 ip addr

59、ess duplex auto speed auto!interface FastEthernet1/0 ip address ip nat inside duplex auto speed auto!interface Vlan1 no ip address shutdown!router ospf 1 log-adjacency-changes network 55 area 0 network 55 area 0 network 55 area 0 network 55 area 0 default-information originate!ip nat inside source l

60、ist 1 interface Serial0/0/0 overloadip nat inside source static tcp 80 0 80 ip classlessip route access-list 1 permit 55line con 0line vty 0 4 login!EndR2:hostname R2no ip domain-lookupinterface FastEthernet0/0 ip address 52 duplex auto speed auto!interface FastEthernet0/1 no ip address duplex auto