中小型局域网的规划和设计毕业设计

1、毕业设计（论文）SNL/QR7.5.4-3中小型局域网的规划和设计专 业学生姓名班 级学 号指导教师完成日期 中小型企业局域网的设计和规划摘要：在经济日益增长的时代，随着中小型企业数量的不断增长，已经成 为我国经济中不可或缺的重要组成部分。中小型企业要想在这样的时代中 继续不断地发展，必须有所改变。中小型企业在信息化的过程中，都面临 着基础网络规划不合理、功能设计不健全、扩展能力不足等困惑，需要工 程化的方案予以规划和指导。本论文以满足中小型企业局域网建设的基本 要求为出发点，提出一般企业的典型需求，明确网络在冗余、扩展与安全 等方面的设计方案。关键词：局域网；组网方案；综合布线；网络安全Sm

2、all and medium-sized enterprise local area network design and planningAbstract: In the period of growing, the growth in the number of small and medium-sized en terprises, has become the in dispe nsable importa nt comp onent of our countrys economy. Small and medium-sized enterprises want to in this

3、era of continuously development, must change. Small and medium-sized en terprises in the process of in formatizati on, are facing un reas on ablebased network planning, functional design is not perfect, lacking the ability to extend such as con fusi on, n eed engin eeri ng scheme pla nning and guida

4、 nee. In this paper to meet the basic requirements of small and medium-sized enterprise 中小型局域网的规划和设计 XX学院毕业论文 local area network construction as the starting point, puts forward general en terprise typical requireme nts, specific n etwork in redundan cy, exte nsion and security aspects of desig n.Ke

5、y word: Local area network; Network schemes; Integrated wiring; Network security目录 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 第1章、局域网技术 11.1趋势 1 HYPERLINK l bookmark6 o Current Document 1.2中小型企业局域网的特点及要求 1 HYPERLINK l bookmark8 o Current Document 第2章、需求分析 22.1典型的业务模型 常见的中小型企业环境有： 2 HYPER

6、LINK l bookmark12 o Current Document 2.2需求定位 3 HYPERLINK l bookmark14 o Current Document 第3章、网络方案的设计 4 HYPERLINK l bookmark16 o Current Document 3.1设计的目标 43.1.1安全性 43.1.2先进性 43.1.3开放性 43.1.4扩展性 43.1.5高性能 43.1.6 标准化 4 HYPERLINK l bookmark18 o Current Document 3.2设计的原则 43.2.1层次化原则 43.2.2标准化原则 5 HYPERL

7、INK l bookmark20 o Current Document 3.3技术规划 53.3.1网络的体系结构 53.3.2网络层次的划分 63.3.3以太网交换技术（虚拟交换技术） 73.3.4网络的规划与编址 83.3.5企业wan链路 123.3.6流量控制 12 HYPERLINK l bookmark22 o Current Document 第4章、特理设计及设备选型 13 HYPERLINK l bookmark24 o Current Document 4.1物理设计的原则 13 HYPERLINK l bookmark26 o Current Document 4.2传输

8、介质的选型 13 HYPERLINK l bookmark28 o Current Document 4.3交换机的选型与配置 13 HYPERLINK l bookmark30 o Current Document 4.4路由协议、设备选型与配置 15 HYPERLINK l bookmark32 o Current Document 第5章、安全策略 17 HYPERLINK l bookmark34 o Current Document 5.1企业网边缘处及vlan的安全考虑 17 HYPERLINK l bookmark36 o Current Document 5.2流量控制与安全防

9、护策略 18 HYPERLINK l bookmark38 o Current Document 第6章、综合布线 18 HYPERLINK l bookmark40 o Current Document 6.1综合布线概述 18 HYPERLINK l bookmark42 o Current Document 6.2综合布线标准 19 HYPERLINK l bookmark44 o Current Document 6.3综合布线设计 20631 工作区子系统 21水平布线子系统 216.3.3干线子系统 226.3.4管理区子系统 226.3.5设备间子系统 236.3.6建筑群子系统

10、 23 HYPERLINK l bookmark46 o Current Document 第7章、实验与验证 23 HYPERLINK l bookmark48 o Current Document 7.1实验工具 23 HYPERLINK l bookmark50 o Current Document 7.2实验模拟 247.2.1各VLAN配置的连通性测试。 247.2.2企业 WAN链路连通性测试。 24ACL访问策略测试。 25 HYPERLINK l bookmark52 o Current Document 结束语 26参考文献 27致谢 28 XX学院毕业论文 第1章、局域网技

11、术“局域网”是指地理覆盖范围小的网络，通常为拥有互联设备的组织所有。局域网具 有数据传输速率高，低延迟和误码率（其误码率一般为 10-810-11）,建设成本低、周期 短，便于安装、维护和扩充的特点。局域网设计目标是覆盖一个公司、一所大学、一幢办 公楼的“有限地理范围”，因此它的网络拓扑、传输介质与介质访问控制方法具有自身特 点。1.1趋势局域网拓扑结构主要包括总线型、星状、环状。其他类型的拓扑结构，如总线型与星 型混合、总线型与环型混合连接的网络。局域网中使用最多的是星型结构。传输介质主要采用双绞线、同轴电缆与光纤等，网络分为有线网络和无线网络两种。 局域网通常采用单一的传输介质，也可以同时

12、采用多种传输介质。从介质访问控制方法角度，局域网分为共享介质式局域网与交换式局域网两类。交换 式局域网通过局域网交换机支持连接到交换机端口的结点之间的多个并发连接，实现多结 点之间的并发传输，增加了网络带宽，改善了局域网的性能与服务质量，成为应用的主流。局域网典型技术与产品包括 Ethernet（以太网）、Token Bus （令牌总线）、Token Ring （令牌环网）三类，其中以 Ethernet应用最为广泛。Ethernet中以10Mbps Ethernet使 用最广，随着快速及高速局域网技术的发展，100Mbps 1Gbp和10Gbps的Ethernet成为必然性的首选。同时，无线局

13、域网快速发展成为应用的新热点。1.2中小型企业局域网的特点及要求根据企业的体系构成和规模，可以将企业网分成工作组级、部门级、园区级和企业级 四种网络类型。工作组级：通常位于办公室内部或几个办公室内的网络，是最基础的单元级网络，通 常采用10/100Base-Tx技术。部门级：位于同一楼宇内的局域网，相当于小型企业的“企业级”网络。园区级：由企业中各部门网络互联组成，通常跨越数个楼宇。企业级网络：由分布在各地的园区级或部门级网络互联在一起的大型网络。根据2011年7月4日，工信部等四部门联合发布的中小企业划型标准规定，各行 业划型标准主要依据营业收入和从业人数两项，中小企业从业人员普遍小于100

14、0人的标准，中小型企业网目前适用的网络规模往往在园区级及其以下。其结构示意图如图1-1.外网服务器（intranet宽帝爭媒体適信网图1-1中小企业网结构示意图悴窖p彥図艇- 中小企业局域网结构应该包括外网、内网和企业网互联三个方面：外网：位于防火墙外直接与In ternet 相连的区域。它为整个企业网提供一个“缓冲 地带”用来提供企业网对外交流的渠道，或提供对外的网络应用服务。内网：即企业内部网络，是整个企业网的核心。企业网互联：通常利用专线、远程（ISDN ADSL等）、VPN技术来建立连接。第2章、需求分析中小型企业发展过程中，客观业务的发展，不断推动网络需求的变化，应用的增长。2.1典

15、型的业务模型常见的中小型企业环境有：制造商大型零售商旅馆服务业特许经营商公共事业和政府机构（我国有关标准对此未做出明确规定）医院；学校系统。这些企业网络通常拥有众多用户、跨越多个位置，或部署多套系统，形成了有些教材 称为“园区网”的典型网络，如图 2-1所示。中小型企业网的典型特征是：拥有自己的物理线路，这些线路都部署在园区内部，采 用了 LAN/MAF技术，将建筑特群所有端点系统连接起来。企业依靠网络提供用于共享的资 源与信息，支持网络办公与多元化的业务。图2-1园区网结构2.2需求定位本次按照园区级的网络设计，预定使用网络的用户终端极限数量是700个，涉及部门20个（综合办公室、财务部、研

16、发部、后勤部等），综合布线的建筑4个（包括办公楼、 生产车间、生活楼及食堂），各建筑间距一般有百余米。总体投资经费 20万元左右，包括 办公网络的组建，交换机设备购置，综合布线施工等。网络必须支持的交换流量类型包括数据文件（如 OA办公系统）、电子邮件、声音和视 频应用，能有效地处理这些融合的网络流量，设备能进行科学的管理和合理控制。依靠网络基础架构提供关健型服务是企业正常运行，提高经济效益的关键和根本，网络设计的可靠性必须达到 90鸠上。网络设计中需要引入冗余功能，避免出现任何单点故 障，其它要素包括优化网络带宽的利用率、确保安全性和网络性能等。第3章、网络方案的设计3.1设计的目标中小型企

17、业信息化，首先应该站在企业战略目标的高度，依据企业的经营、营销竞争 战略综合考虑，必须从企业的实际出发，来制定实施信息化的总体规划。这样才能保证企 业信息化是站在企业战略目标和长远发展的全局上的，是系统的、全面的、统筹兼顾的。 因此，设计的总体目标要围绕企业战略，从长远规划而形成的业务、流程、组织、策略。3.1.1安全性系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全 机制、数据存取的权限控制等，防范各种形式对网络的非法入侵和内部攻击，防止内部信 息数据被非法窃取、篡改或泄漏，以保证网络的实体安全、网络安全、系统安全和信息安 全，有效地保障正常的业务活动。先进性系统设

18、计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对先进 成熟，整个系统的生命周期应有比较长的时间，在系统建成后比较长的时间内能满足用户 需求增长的需要，从而最大限度保护用户投资。开放性采用的软硬件平台和管理系统，遵循国际标准化组织提出的开放系统互联的标准，能 集成任何第三方的应用，具有良好的可移植性和互操作性，存在应用软件的必须独立于软 硬件平台。扩展性在系统结构、系统容量与技术方案等方面必须具有升级换代的可能，核心设备必须采 用模块化的结构，符合网络的发展趋势并具有充分的扩展性。系统建设必须尽量保护现有 的软、硬件资源，保证各部门现有的计算机系统的使用，逐步过渡，有效保护用户投

19、资。高性能网络链路和设备具备足够高的数据转发能力，保证各种信息的高质量无阻塞传输；交 换系统具有很高的交换容量与多服务支持的能力，保证网络服务的质量。标准化为充分共享资源，实现同层次网络互连，建筑物间互联，相关信息系统网际互联过程 中，设备的各种接口必须满足标准化原则。3.2设计的原则3.2.1层次化原则为了实现一个可管理的、可靠的、高性能网络，我们将采用层次化的方法。目前国内 XX学院毕业论文 外网络建设中普遍采用的网络拓扑结构是将网络分为核心层、分布层和接入层三个层次进 行设计。本次设计中，根据中小型业 700个终端、20万元投资的典型要求，在保证了整个 网络的高可靠性、高性能、高安全性和

20、灵活的扩展性前提下，采用核心层与接入层的两层 拓扑结构，每一层的网络设备功能描述如下：核心层：提供高速的三层交换骨干；核心层不进行终端系统的连接；核心层少用或不 实施影响高速交换性能的ACL等功能；本功能区主要功能是保证 VLAN间的路由；IP地址 或路由区域的汇聚。接入层：提供Layer2或Layer3的网络接入，通过 VLAN定义实现接入的隔离。网络 接入层具有以下特点：接入层接入端口规划容量根据实际使用情况具有一定的扩展性；上述两层中，主要在核心层采用了冗余的架构来保障骨干区域功能的稳定可靠。3.2.2标准化原则网络设计中所用的各种管理信令、接口规程、协议须符合国际标准，便于扩展和网络

21、的互连互通。保证与其它网络（如互联网等）之间的平滑连接3.3技术规划3.3.1网络的体系结构中小型企业局域网络往往由多种完成不同功能的网络设备组成，包括路由器、交换机、In ternet接入设备、防火墙等以及各种服务器，如：网管服务器、主服务器（包括打卡服 务器、售餐服务器等）。企业内部网络采用共享或交换式以太网，通过DDN ASDL ISDN/ PSTN等方式，选择合适的网络运营商接入到In ternet。并采取相应的措施，确保通讯数据的安全、保密。系统运行要安全、可靠、故障小，软硬件要组织合理而且要便于理解 与维护。根据要求，我们确定的中小型企业园区级网络拓扑结构为树状分层结构（如图3-1

22、 ）。车间* 车间空图3-1园区级网络树状分层结构3.3.2网络层次的划分正确的网络结构设计，是企业网络中流量传输控制的客观要求。只有控制流量在网络 中合适的位置，而不是任由流量随意流动，才能保障有价值的带宽资源，保证网络性能。 否则将面临片面增加网络成本来提高网络带宽的被动局面。此外，应该注意到，流量也是 有安全隐患的，它可能包含秘密的信息或网络结构自身的信息。采用分层设计模型有助于网络结构的设计。区别于企业网三层结构的拓扑结构，本次 设计中结合中小型企业园区级网络规模小、用户相对少和投资额度普遍低的特点，本着适 当的原则分层结构设计分为两级（如图 3-2）：hltcrnct防火熠 ASA5

23、519-K8千兆双绞线 千兆光軒 百兆双绞线路由器 C1SCO2911/K9图3-2规划的中小企业网拓扑示意图第一级是网络的千兆主干（骨干）网络，属核心层，并采用了冗余设计。主干千兆位 交换机的任务是将各个子网分布路由的信息简洁快速地交换到目的地址，起到信息快速通 道的作用。网络主干上连接着对带宽和可靠性有很高要求的设备，如服务器群、交换机、 路由器等，放置在办公楼1楼的网管中心。第二级是直接连接拥护的计算机，属接入层。放置在楼层弱电井内（管理子系统部分）， 它通过多模光纤上联到核心计算机，通过超5类双绞线与工作区子系统（信息插座）连接。 一般地，一个楼层组成一个单独的子网。这种“骨干千兆光纤

24、，百兆铜缆到桌面”的层次划分有以下特点：结构清晰，易于设 计和管理，大大提高了网络的扩充能力；网络结构和实际应用的组织结构相一致，便于安 全管理，减轻网络的数据流量；根据不同层次和实际经济承受能力，选择相应的网络设备 和硬件设备，使投资更合理。总之，采用层次化的网络设计，其优点是便于网络管理，优 化网络性能，增强网络的扩展性。3.3.3以太网交换技术（虚拟交换技术）采用交换机可以减少本地网络内发生的冲突，然而全部由交换机构成的网络往往会构 成一个广播域，在单个广播域或平面网络中，每台设备都会接收每个广播。随着交换网络 中主机数量的增长，所发送和接收的广播也不断增加，广播数据会占用大量带宽，导致

25、通 信延迟和超时。使用VLAN是一个很好的解决此类网络问题的方案之一，每个 VLAN都具有自己的广播域，避免了广播风暴，提高了网络的效能。3.3.4网络的规划与编址中小企业网络用户近千人，适合使用分层的地址方案，结合分层网络设计，简化了网 络管理，提升可扩展性和路由性能（如VLSM支持路由总结对提升网络性能具有明显效果） 中小企业网络内部一般使用保留地址，即不在公网上使用的IP地址，如表3-3。表3-3保留地址类别IP地址范围网络号网络数A-55101B-55172.16-172.3116C-55192.168.0-192.168.255255根据本次典型需求，即20个部门（综合办公室、财务部

26、、研发部、后勤部等），共700 个设计点位，四个建筑（包括办公楼、生产车间、生活楼及食堂）楼层共计10个的要求，大部分部门用户数应在30人左右，最大部门的用户也将不会超过 62人，选定设备类型及 数量如表3-4。表3-4设备清单名称型号数量防火墙ASA5510-K81路由器CISCO2911/K91核心交换机WS-C3750X-24S-S248 口接入交换机WS-C2960-48TC-L624 口接入交换机WS-C2960-24TC-L10SFP光口模块GLC-SX-MM72SFP电口模块GLC-T10无线APAIR-AP1242AG-C-K962.4GHZAP 天线AIR-ANT494112

27、5GHz天线AIR-ANT5135D-R12通过以上要求分析采用C类保留地址较为适当。对比“子网联网”和“可变字长子网 掩码（VLSM”两种技术，在对相关子网地址无法精确估计情况下，为做到对子网地址留 有余地，采用子网联网的技术，使每个子网地址数相等，保留主机数为6 2个。管理上按照管理VLAN（定义为各设备的默认 VLAN）设备连接VLAN（vlan2 ）和业务 VLAN三类构成，划分如下：表3-5主要设备及接口地址规划名称/标识主要端口VLAN/IP接入ISP互联网路由 /ISP RouterS0/0/0IP:30/29FirewallSerial,FastEtherne t此设备所有功能

28、在 c2900k9中模拟实现， 故此处未明确具体端口及IP。路由器/c2900k9S0/0/0IP:31/29视同（模拟）防火墙外端口F1/0VLAN1/53/192F1/1VLAN1/52/192核 心 交 换/C3750X-24S-S1VLAN1/192F0/1,3,5 ,VLAN10 /2, /192G0/1VLAN100/54/192核 心 交 换/C3750X-24S-S2VLAN1/192F0/2,4,6 ,VLAN10 /2, /192G0/1VLAN100/54/192接入交换Vla n2/表3-6接入交换设备连接 VLAN划分表核心及对应端口接入设备对应端口楼层接入设备楼层接

29、入管理IPC3750X-24S-S1GigabitEthernet1/1GigabitEthernet1/1Bg-C2960-1f-1C3750X-24S-S2GigabitEthernet1/1GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/2GigabitEthernet1/1Bg-C2960-2f-1C3750X-24S-S2GigabitEthernet1/2GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/3GigabitEthernet1/1Bg-C2960-3f-1C3750X-24S-

30、S2GigabitEthernet1/3GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/4GigabitEthernet1/1Bg-C2960-4f-1C3750X-24S-S2GigabitEthernet1/4GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/5GigabitEthernet1/1Bg-C2960-5f-1C3750X-24S-S2GigabitEthernet1/5GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/6GigabitEt

31、hernet1/1C3750X-24S-S2GigabitEthernet1/6GigabitEthernet1/2Bg-C2960-6f-1C3750X-24S-S1GigabitEthernet1/7GigabitEthernet1/1Sh-C2960-1f-1C3750X-24S-S2GigabitEthernet1/7GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/8GigabitEthernet1/1C3750X-24S-S2GigabitEthernet1/8GigabitEthernet1/2Sh-C2960-2f-1C3750X-

32、24S-S1GigabitEthernet1/9GigabitEthernet1/1C3750X-24S-S2GigabitEthernet1/9GigabitEthernet1/2Sc-C2960-1f-1C3750X-24S-S1GigabitEthernet1/10GigabitEthernet1/1St-C2960-1f-10C3750X-24S-S2GigabitEthernet1/10GigabitEthernet1/2说明：核心交换C3750X-24S-S1: C3750X代表设备型号，24代表端口数量，2f代表为相应建筑的第二个楼层设备，S1中S代表设备为交换机，S1中数字代表

33、该设备编号（如 S2则 代表第二个核心交换）。接入交换Bg-C2960-5f-1 : Bg代表办公楼（Sh代表生活楼、Sc代表生产车间大楼、St代表食堂），C2960代表接入交换的型号，5f对应大楼楼层，1代表弱电井中交换机的 序号。表3-7业务VLAN划分表VI an功能属性代码描述网关地址主机IP范围子网掩码10Shengch生产9an1小组12-1211Shengch生产59an2小组2265-2212Shengch生产299an3小组3909-8213Shengch生产939anv4小组4543-5214Xiaosh1销售91部2-1215Xiaosh2销售592部265-2216Zo

34、nghbg综合办299s公室909-8217Caiwsh财务办939公室543-5218Ya nfb研发部92-1255555Vian是在一个物理网段内，进行逻辑划分，划为为若干虚拟局域网。Vian具备一个物理网段的所有特性，相同 VLAN可直接通信，不同VLA N间访问必须经由路由器转发， 广播只可以本vian内进行。实现VLAN有两种方式，Port Vian和Tag Vian，Port Vian 利用交换机的端口进行 Vian划分，一个端口只能属于一个 Vian. Tag Vian 对不同Vian 的主机进行隔离，数据传输时需要在数据帧内添加4个字节的802.1Q标签信息，便于对接收到的数

35、据帧进行过滤。结合静态VLAN与动态VLAN基于交换机端口划分的动态 VLAN 较为适应中小型企业网运行环境，当然 Tag Vian的也必须使用。我们把一个或多个接入 交换机上的几个端口划分在一个逻辑组中，简单明了并且有效，即利用Port Vian戈扮方式。该方式不允许多个 VLAN共享一个物理网段或交换机端口，要求某个用户如果从一 个端口所在的虚拟网移动到另一个端口所在的虚拟网时，管理员必须对接入地址进行重 新分配。而且，在核心交换或中继接口上也必须使用truck，以支持设备的堆叠并降低网络的建设成本，即使用port via n 的方式。3.3.5企业wan链路ISP会采用几种不同的 WAr

36、技术来连接其用户。本地环路（即最后一英里）上使用的 连接类型可能与ISP网络内或不同ISP之间采用的WAF连接类型有所不同，一些常见的最 后一英里技术包括：模拟拨号；集成服务数字网络（ISDN）;租用线路；电缆；数字用户线路（DSL ;帧中继；无线。目前，随着中小企业各种应用需求的增加，带宽要求也越来越大，传输质量要求也越 来越高。常见的中小企业网络接入以租用100M光纤线路为主，在网络边界上往往通过路由设备或防火墙接入互联网。3.3.6流量控制一些情况下，流量保留在企业网络的 LAN部分，另一些情况下，流量会在 WA流量上 传输。LAN网络中应限制在本地传输的流量类型包括：文件共享、打印、内

37、部备份、镜像 和园区网内通信。在本地网络中常见并且常常通过WAF发送的流量类型包括：系统更新、公司邮件和交易处理。除了 WAN流量以外，外部流量还包含进出INTERNET勺流量（如身 份验证、视频会议等）。VPN和INTERNE流量被视为外部流量。流量控制除了体现在网络拓扑结构分层设计上，也需要在VLAN划分上尽可能把某一业务的流量限制在同一 VLAN内部。在语音、视频与数据在同一介质传输的融合网络下， 对不同类型网络流量特特的了解，也是合理控制流量的先决条件。数据流量大多数网络应用程序都要使用数据流量，或偶尔传输少量数据，或（如数据存储应用 程序）需要传输较高流量。对某些数据应用程序来说，时

38、间可靠性更重要，但大多数数据 应用程序都允许一定的延迟。因此数据流量常采用传输控制协议（TCP, TCP使用确认机 制来确定何时必须重新传输丢失的数据包，从而保证传输的质量。语音和视频流量语音与视频应用程序要求不间断地传输数据流以确保会话和图像质量。 TCP确认过程 会带来延迟，导致流量中断并降低应用程序的质量。因此，语音与视频应用程序使用数据 报协议UDP代替TCP此外，还需求考虑由于网络设备自身到目的地的路径上流量所带来的延迟和迟时。如 三层设备由于必须处理报头，延迟比二层设备更大。服务质量Qos是用于保证足够的带宽传输指定数据流的过程，应用Qos机制优先级对流量进行分类排序，例如语音流量

39、的优先级高于普通数据，使得高优先级的数据流量比低 优先级的数据先发送。第4章、特理设计及设备选型4.1物理设计的原则核心层应用千兆以太网技术、有冗余链路设计。接入层设备堆叠。4.2传输介质的选型根据全网主干千兆，百兆到用户桌面的设计，结合四个建筑物相距百余米的实际，核 心交换机到接入交换机选择千兆多模光纤，接入交换机到用户桌面，即综合布线的水平子 系统采用超五类双绞线。4.3交换机的选型与配置根据方案，我们选择两台思科 WS-C3750X-24S-安换机作为核心交换机，两台交换机 部署HSRP冗余网关协议，提高网络的高可用性的同时，对全网数据进行高速交换。WS-C3750X-24S-S全千兆三

40、层以太网交换机产品， 配备24个10/100/1000Mbps自适应以 太网SFP接口，可支持堆叠。背板带宽 160Gbps通过Cisco StackPower、IEEE 802.3at 增强型以太网供电（PoE+）配置、可选网络模块、冗余电源和媒体访问控制安全（MACsec） 等创新功能，提供无间断连接性、可扩展性、安全性、能效性和易操作性。具有StackWise?Plus技术的Cisco Catalyst 3750-X系列为发展中的业务需求提供可扩展性、易管理性和投资保护（主要指标见表4-1 ）。表4-1核心交换机主要指标产品型号WS-C3750X-24T-S应用层级三层背板带宽160Gb

41、ps包转发率65.5 mpps传输方式存储转发方式硬件参数Flash 内存128MBDRAM内存256MB接口类型24个千兆SFP端口，4个基于SFP的千兆端口或2个万兆电口上行链 路接口数目24 口端口结构非模块化扩展插槽2个网络与软件QoS支持支持QoS网络标准IEEE 802.3、IEEE 802.3u、IEEE 802.3ab、IEEE 802.3z、ANSI/IEEE802.3 NWay、IEEE 802.3xVLAN支持支持VLAN功能网管功能支持网管功能，基于web的简易配置双工传输支持全双工MAC地址表6K其他性能IP Base接入交换机我采用 WS-C2960-48TC-L或

42、是WS-C2960-24TC-L交换机（表4-2接入交换 机主要指标），百兆到桌面，千兆上联到核心交换机。表4-2接入交换机主要指标指标项指标要求交换机类型智能交换机应用级别二层网络标准IEEE 802.3 IEEE802.3u IEEE802.1X IEEE802.1Q端口结构非模块化交换方式存储-转发端口数量24 10/100 + 2T/SFPIOS类型LAN Base Image转发带宽（Gbps）16每秒分组数（Mpps）6.5支持的MAC地址8000板载内存（DRAM64MB千兆以太网 GBIC/SFP密度210/100/1000 密度210/100密度24园区网络设备连接及IP分配

43、见图4-3IntiTnvt千兆取绞蟻千托光纤防火堆 SA5511I-K3百兆取绞线由器 CISCO2911/K96(/23:192468.0,250Go/24:192J68.0252核心交换机192J68.1CCJGo26 :vhnlOOVhnl: 192.168. L1 192*11.5192J68J.6GZ23; 192.168.0,249Go/24:5 J接入交换机WS-C7296O-24/48TC-1,无編WAIR-AP1242AG-C-K9 |核心交换机图4-3园区网络设备IP分配示意图4.4路由协议、设备选型与配置路由协议包括：静态路由、默认路由、距离矢量协议RIP/EIGRP及链

44、路状态协议OSPF 所有路由协议因使用环境的不同各有优缺点：静态路由和默认路由是由网络管理员采用手工方法在路由器中配置而成，适用于规模 较小，路由表相对简单的网络。优点是手工配置可以精确控制路由选择，改进网络性能； 不需要动态路由协议参与，减少路由开销，为重要的应用保证带宽。缺点是不适用于大规 模网络，不能自动适应网络拓扑结构变化，手工配置管理员压力较大。RIP采用距离向量算法。是早期的路由协议，优点是配置简单在小型网络中较常见， 缺点是路由范围有限，只能支持在直径为15个路由的网络内进行路由，不能适应复杂拓扑结构网络，采用DV算法会有路由环路问题存在。OSPF开放最短路径优先，是为大型网络设

45、计的一种路由协议。优点是根据收集到网络 上的链路状态，采用SPF算法，计算以它为中心的一棵最短路径树。OSPF用十分有效,采用链路状态算法，网络流量小，收敛速度快，没有路由环路存在。缺点是比较复杂，实 施前需要规划，且配置和维护都比较复杂。根据中小企业网络投资及规模较小，为达到精确控制网络路由采用静态路由及默认路 由。路由器选择思科CISCO2911/K9（表4-5路由器的主要参数），将两台台热备份核心交 换机上的数据高速路由至防火墙网关，同时亦可对出入互联网的2至4层数据包做管控。表4-5路由器的主要参数项目描述基于硬件的嵌入式密码加速（IPSec + SSL）有板载广域网10/100/10

46、00 端口总数3基于RJ-45的端口数3基于SFP的端口数（使用 SFP端口将禁用对应的RJ-45 端口）0服务模块插槽数1双宽度服务模块插槽数（使用双宽度插槽将占用2900中的所有单宽度服务模块插槽）0EHWIC插槽数4双宽度EHWIC插槽（使用双宽度 EHWIC插槽将占 用两个EHWIC插槽）2ISM插槽数1板载DSP （PVDM）插槽2内存DDR2 ECC DRAM- 默认512MB内存(DDR2 ECC DRAM)- 最大2GB闪存（外部）-默认插槽0: 256M插槽1 :无闪存（外部）-最大插槽0: 4GB插槽1:4GB外部USB 2.0闪存插槽（类型A）2USB控制台端口（类型 B

47、 ）（高达115.2 kbps ）1串行控制台端口1串行辅助端口1电源选项AC PoE 和 DC*RPS支持（外部）Cisco RPS 2300第5章、安全策略中小企业网络病毒泛滥、安全事件频发，是网络管理面临的重大挑战。从网络安全调 查数据来看，网络的安全威胁主要来自三个方面：一方面是网络的恶意破坏者即黑客，造 成正常网络服务的不可用、系统数据的破坏；第二个方面是无辜的内部人员造成的网络数 据的破坏、网络病毒的蔓延扩散、木马的传播；第三个方面是有些用户窃取他人身份进行 越权数据访问，其中以内部人员而造成的网络安全问题占到了 70%安全问题已经成为企业信息化过程普遍问题，表现在部门间互访的安全

48、无法控制，重 要数据被入侵者窜改，不能很好应对外部攻击以及移动办公用户上网控制，都急待解决。5.1企业网边缘处及vlan的安全考虑防火墙设备的使用是解决网络安全的最基本的保证。防火墙适用于用户网络系统的边 界，属于用户网络边界的安全保护设备。 网络边界即采用不同安全策略的两个网络连接处， 比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部 门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒 绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。防火墙设备由一个由软件和硬件设备组合而成，包括服务访问规则、验证工具、包

49、过 滤和应用网关4个主要部分。ACLs的全称为接入控制列表（Access Control Lists），也称访问控制列表（AccessLists ），在有的文档中还称包过滤。ACLs通过定义一些规则对网络设备接口上的数据包文 进行控制；允许通过或丢弃，从而提高网络可管理型和安全性；IP ACL分为两种：标准IP访问列表和扩展IP访问列表，编号范围为199、13001999、100199、20002699; 标准IP访问控制列表可以根据数据包的源IP地址定义规则，进行数据包的过滤；扩展IP 访问列表可以根据数据包的原 IP、目的IP、源端口、目的端口、协议来定义规则，进行 数据包的过滤；IP A

50、CL基于接口进行规则的应用，分为：入栈应用和出栈应用。访问列表中定义的典型规则主要有以下：源地址、目标地址、上层协议、时间区域；扩展IP访问列表(编号100-199、2000、2699)使用以上四种组合来进行转发或阻断 分组；可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数 据包的过滤。扩展IP访问列表的配置包括以下两部：定义扩展IP访问列表将扩展IP访问列表应用于特定接口上。中小企业网络除利用防火墙 DDOS攻击等方面的优势外，通过在防火墙上使用扩展IP访问控制列表，来控制网络流量，达到保证网络效能与安全的目标。5.2流量控制与安全防护策略策略包括通过在防火墙限制可

51、以访问ISP网络的服务类型(如仅允许访问外网任何主 机TCP协议的WW服务)，提高网络边界互联网出口的安全性。在核心交换上限制对某些 vian (例如vian17财务部)网络资源的防问流量，提高对这些业务部门信息的安全保护。防火墙策略配置举例：firewall(c on fig)# access-list 100 permit tcp any any eq www!授权内部网络所有主机仅访问 38的WW服务时使用access-list 100 permit tcp any host 38 eq wwwfirewall(co nfig)#i nt s0/0/0firewall(c on fig-

52、if)#ip access-group 100 outfirewall(co nfig-if)#exitfirewall(co nfig)#ip route f3/0firewall(co nfig)#exitfirewall#write核心交换策略配置举例：C3750 x-24s-s1(co nfig)#access-list101 permit tcp any 9292 eq 80C3750 x-24s-s1(co nfig)#i nt vlan 17C3750 x-24s-s1(co nfig-if)#ip access-group 101 inC3750 x-24s-s1(co nfi

53、g-if)#exit第6章、综合布线6.1综合布线概述综合布线是将独立的语音、数据、图像等线路统一进行设计、安装，以达到实用灵活、 经济、可模块化和可扩充的效果，实现数据通信设备和其它信息管理系统的相互连接。结 构化综合布线系统具有高度的灵活性，各种设备位置的改变，局域网的变化，不需重新布线，只要在配线间作适当布线调整即可满足需求。结构化布线和先决条件：要进行详细的用户通信需求分析；通过现场考察和查阅图纸熟悉建筑特的结构；掌握设计的标准、要点、原则和步骤；根据网络拓扑结构确定综合布线的系统结构；熟悉布线产品市场，为工程挑选适当（性价比高）的布线产品；掌据AUTOCA和Microsoft Off

54、ice Visio等软件，并绘制综合布线系统图、施工图等。6.2综合布线标准综合布线的第一套标准是 ANSI/EIA/TIA 568（即商业大楼电信布线标准是美国国 家标准化协会、电子工业协会、电信工业协会共同采纳的标准 ），现在使用的是它的新版 本：TIA 568A。此外，还有ISO出台的ISO/IEC/ISO11801标准，这套协议中规定了电信 布线的最低要求，建议的拓扑结构和距离、决定性能的介质参数、连接器和引脚功能分配 等。本论设计参考了国际建筑通用布线标准， 即ISO11801,整个布线系统由工作区子系统、 水平子系统、干线子系统、设备间子系统、管理子系统和建筑群主干子系统 6个部分

55、组成,如图6-1工作区子系统：是连接用户终端设备的子系统。主要包括信息插座、信息插座和设备 之间的适配器。通俗讲是指电脑和网线接口之间的部分。水平子系统：是连接工作区与主干的了系统。 主要包括配线架、配线电线和信息插座 通俗讲是指从楼层弱电井里的配线架到每个房间的网卡接口之间的部分，通常布线是在天 花板上，与楼层平行。管理子系统：是对布线线缆进行端接及配置管理的子系统。通俗讲是指配线间的设备 部分，位于弱电井干线子系统：是用来连接管理间，设备间的子系统。通俗讲是指将接入层交换机连接 到分布层（或核心层）交换机的网络线路。干线推荐使用光纤、超5类或6类非屏蔽双绞线。设备间子系统：是安装在设备间的

56、子系统，指集中安装大型设备的场所。一般来说， 大型建筑物会有一个或多个设备间，通常核心交换机的位置就是设备间，设备间子系统对 物理环境的要求较高。建筑物主干子系统：它用来实现楼群之间的连接，包括各种通信传输介质和支持设备, 又称户外子系统。通常包括地下管道、直埋沟内和架空三种方式。各子系统的逻辑结构见 图 6-2.工作区子勇统|水平子垂藐；管理子離统图6-2各子系统逻辑结构6.3综合布线设计本设计方案参照ISO/IEC ISO 11801，以确保整个系统的规范和质量。本系统支持语 言和数据（图象、多媒体）传输，可满足快速以太网应用的场合。方案为一个较典型的星型拓扑结构系统，现将设计方案概述如下

57、：根据用户要求，企业的主设备间设于办公楼一层综合布线机房，从主设备间引线缆经 桥架和竖井直接引至工作区。水平布线电缆均采用超5类4对UTP电缆，信息插座选用5类系列插座。本方案分为五大子系统，分别为工作区子系统、水平子系统、干线子系统、设备间子 系统、管理子系统和建筑群主干子，为二级星型拓扑结构，施工中主要采用普天系列产品， 具体分述如下：图6-3布线效果示意图6.3.1 工作区子系统工作区子系统是指信息端口以外的空间，但通常习惯将信息插座列入工作区子系统。本系统设置700个信息点，分布于10个楼层，其中办公楼楼层层6个（每层信息点60）， 生活楼楼层两个（每层信息点60），生产车间1层（信息

58、点160个）、及食堂1层（信息点 60个）。理想状况下材料配置如表 6-4 :表6-4工作区材料配置表序号型号名称数量1PT/FA3-08 忸 BRI45单插座面板7002PT/5.566.019RJ45插座模块7006.3.2水平布线子系统水平布线子系统为配线间水平配线架至各个办公室内插座面板的连接线缆，本项目数据点采用超五类四对UTP水平线缆的长度计算：a根据每层楼核算。B每根线缆平均长度按（最长+最短）/2 X 1.1+2 X楼层高计算，即（80+10） /2 X 1.1+2X 4M,平均长度57.5M.c、每标准箱为1000英尺（305）米。d、每箱线可布入的信息点：305m/57.5

59、=5个。e、 办公楼、生活楼、食堂每层需要 60/5=12箱，生产车间每层需要160/5=32箱f、总线缆=12X 9+32=140箱表6-5工作区材料配置表序号型号名称数量1UTP.S5.004超5类4对UTP电缆140箱（此项为约数。具体数量视现场情况而定。） 6.3.3干线子系统根据网络核心层千兆带宽设计，干线采用多模光纤传输。6.3.4管理区子系统由于各个楼层的信息点数比较的多，故在每层楼都要设有管理区子系统，管理区子系统是由配线架、跳线以及相关的有源设备（HUB交换机等）。具体的配料表如下：表6-6工作区材料配置表序号型号名称数量1PT/XG.30U.6019”配线柜（30U）10个

60、2JPX211C125回线背装架6个3PT/8.037.070125回线背装架6个4PT/FA3-08VI24 口 Patch-Pannel34个5PT/4.431.000管理线盘20个6PT/FB.SN.0044芯室内多模光纤380米7PT/TX.ST1.02ST-ST光纤单芯多模跳线40个8PT/TX.STC1.02ST-SC光纤单芯多模跳线40个9PT/GP11A12 口光纤分线盒10个10PT/FL.ST.01ST法兰盘适配器40个6.3.5设备间子系统设备间子系统是由总配线架、跳线及相关有源设备（HUB服务器及交换机等）等组成。 设备间子系统是一空间概念，总配线架收集来自各水平子系统