华阳企业园区网络规划与设计

目录TOC\o"1-3"\h\u前言 前言企业网是针对企业的特殊需求而构造的高效而又经济的信息传输和失误处理系统，能满足企业高效运作的需求。企业网的建设目标是以信息技术为收短，把分布在不同地点的现有资源迅速结合成一种没有（或几乎没有）时间和空间约束，靠电子手段联系的统一指挥的经营实体，从而达到企业生存和发展的高效性、稳定性和长期性。这样可以支撑企业信息系统的运作，共享各种资源，提高企业办公和集团生产效率，降低企业的总体运行费用。随着科技的发展，计算机技术和互联网技术逐渐出现在我们的生活中，使得我们的生活丰富多彩。企业通过网络进行产品的设计、制作、交流，使得工作的效益越来越大，推动了社会的进步。因此计算机技术在很多领域都发挥了巨大的作用，人们的生活越来越离不开计算机技术。计算机技术的快速发展，逐渐被应用到企业的各个部分，网络通信技术随之而来，极大地提高了企业的工作效率。企业通过计算机技术，能够及时的得到很多有益于企业的信息，通过Internet技术与外部世界进行信息交换，从而对企业做出一些调整和决策，迎合市场的需求。为了适应业务的发展和国际化的需求，积极参与国家信息化进程，提高管理水平，发展全新的形象，公司准备建立一个现代化的机构内部网络，实现信息的共享、协作和通讯，并和属下各个部门互联，并在此基础上开发建设现代化的企业应用系统，实现智能型、信息化、快节奏、高效率的管理模式。本毕业设计首先了解XX企业园区的需求，然后根据设计原则，进行XX企业园区企业网的结构设计、网络规划，最后进行技术选择、设备选择，完成方案的测试。

1XX企业园区需求分析1.1XX企业园区背景XX是一家以开发中高端电子产品为主营业务的全国性电子产品企业。集电子产品研发、生产、销售于一体，随着企业业务的发展，企业深刻的认识到信息化的重要性，为了适应网络经济的飞速发展，扩大企业经营的规模和范围，方便企业内部和企业之间的交流，节省办公开销，提高企业的管理水平，非常有必要建设完善的网络体系。XX企业园区建筑分布如图1所示。其中办公大楼包含：企管部、行政部、人事部、财务部、综合办公区。其总部设在北京，分别处于不同的城市，地理位置上相隔较远。一厂房一厂房二厂房办公大楼科研楼食堂停车场地图1XX企业园区建筑分布平面图1.2XX企业园区现状企业目前共有2000多名员工；园区内有5栋建筑物，分别是企业的办公和生产经营等场所，经预算有1000个左右信息点；企业计划为大部分的员工配置办公用计算机；并配置多种计算机应用系统。其中信息点的具体分布如表1所示。表1XX企业园区信点布表楼栋部门信息点信息点合计办公大楼企管部30260行政部24人事部66财务部40综合办公区100食堂食堂楼120120科研大楼科研中心100100厂房一区厂房一区8080续表1厂房二区厂房二区9090其他其他120120合计7701.3XX企业园区需求要做好网络设计首先要为用户分析目前面临的主要问题，确定用户对网络的真正需求，然后用网络技术提供用户满意的高质服务。XX是集研发、生产、销售于一体的企业，与总部分布在不同的城市，就不能避免通过互联网来实现信息传输，这就需要安全的网络来保证数据安全、用户安全、应用安全、资源共享安全等。1.3.1业务需求随着信息化时代的到来，企业对信息化工具、技术的使用越来越多，这样有助于企业业务高速、稳定发展，如一方面需要保证资源高效共享，避免各部门的重复工作，提高工作强度；同时也能确保获得信息的一致性；另一方面企业内部及企业与客户之间需要建设高效、通畅的信息交流方式，满足业务部门对信息存储、检索、处理、共享需求，保持对市场的高度感知力，及时掌握市场动态；还有就是需要提高办公自动化水平，降低管理成本，提高企业在市场上的竞争力，充分利用已有设备，避免原有设备的浪费等等。综上所述，可确定为以下几个方面：（1）支撑企业信息系统的运行，共享各种资源，提高企业办公和企业生产效率，降低企业的总体运行成本，保证网络系统稳定运行。（2）企业网需要满足企业计算机应用系统信息量大、传输速度快、安全的要求。（3）企业网要具备良好的可管理性，减轻维护人员的工作量，提高网络系统的运行质量。（4）企业网要具有良好的可扩展性，能够满足企业未来发展的需要，保护企业的投资。1.3.2用户需求XX企业园区主要分为办公区、厂区、科研区、食堂等区域，用户群主要涉及商业用户、科研用户、办公用户等。办公区用户要能实现资源共享、文件传输、收发电子邮件、休闲、远程办公等等；科研区要能收发电子邮件、项目部内部资源共享、项目之间在没有通信要求的情况下保持隔离，确保信息的安全性，不能出现科研成果泄漏或项目信息泄露的情况；厂区用户只要实现监控管理就行；食堂是大家休息的场所之一，使用时间短，只需要来到此地时可以上网、游戏、视频点播等就好。根据上述分析，基于多层次的用户需求，合理有效利用好网络带宽，实现各层次用户不同需求是本次方案的主要目标。具体需求如下：（1）远程登录XX企业园区其总部位于北京，在上海，广州，武汉，南京等地均设有分公司，XX企业生产园区则位于广东省深圳市，和总部分隔在不同的城市。一方面总部管理人员需要了解园区的情况，可以及时把握信息；另一方面员工出差或在家要能即时处理公司信息或完成临时办公任务，既要有可靠的带宽保障，又要保证安全性，否则容易造成信息泄露，或者成为入侵的一种途径。（2）文件传输服务日常工作办公时，办公楼各部门间需要进行文件传输，方便员工查阅资料。（3）资源共享网络内各个桌面用户可共享数据库、共享打印机，实现办公自动化系统中的各项功能，同时避免办公设备的重复建设，节约成本。在非必要情况下，尽量保持电子文件交换，实现无纸化办公。（4）控制非关键应用为了保证带宽有效应用，规定上班时间不能玩游戏、炒股、视频点播、P2P下载、音视频文件共享，避免这些非关键应用消耗大量带宽。（5）数据安全公司网络不是孤岛，需要连接Internet获取最新信息，及时与外界进行联系。但企业的科研情况、业务机密等不能因内部或者外网入侵等因素造成丢失或泄露，这就需要从认证机制、备份机制、防御机制等方面来实现数据安全。①认证机制通过认证确保用户身份的真实性、唯一性，保证有权限的用户访问权限内的资源，不出现越权访问现象，防止假冒合法用户的攻击。②备份与恢复一方面保证系统、数据库等关键内容提高容错性，在出现意外的情况下能快速恢复，不影响整个网络和企业的业务；另一方面在数据出现问题的时候能迅速还原，或者还有备份数据可供使用，不至于让公司受到损失。③防御机制首先考虑外网与内网之间的边界安全，通过防火墙的过滤机制确保合法的访问能实现，禁止任何非法的访问；构建多层防御体系，尽可能延缓或阻断攻击。1.3.3功能需求XX企业园区网是把分布在企业内不同地点的多台电脑连接，按照网络协议相互通信，以共享软件、硬件和数据资源为目标的网络系统。企业网络具有距离短、延时少、相对成本低和传输速率高等优点；它的低层协议较简单，控制选择等问题大大简化，因而又具有组网简单、易于实现的特点。企业网的功能主要体现在以下五个方面。（1）让客户到网站访问查阅企业信息，根据需要对产品在线下单订购，网站同时通过提供优质的客户服务，使客户可以通过网站的订单查询服务功能跟踪并了解客户订单的处理过程。（2）建立在线反馈与在线调查，加强企业与外界的联系，充分利用客户的资源为企业献策。（3）建立客户档案系统，把客户分配给销售部门与业务人员，根据系统建立稳定可靠的管理制度，让企业高层可以实时通过管理系统监控企业的客户与业务情况，保证客户不因业务人员的流动而流失。（4）建立销售管理系统，对销售部门与销售人员定义销售指标，结合客户的定单与销售预测对企业、部门、销售人员的销售业绩实时统计分析，并根据销售业绩与实施情况调整业务制度和决定销售人员的待遇与升迁。（5）建立采购管理系统，建立供应商及其产品原料资源库，对供应商及其产品报价格统一管理，利用系统实现与供应商的信息共享，结合邮件与系统数据库，实现采购业务自动化。1.3.4技术需求1.虚拟局域网本企业园区网中有科研机构、财务部门、销售部门等，科研机构需要确保科研成果、研发信息不出现外泄，即使是公司内部也尽量避免其他部门获知细节内容；财务部门涉及整个公司的运营状况，尽量避免财务状况被不相关人知道，诸如此类的情况说明即使是公司内部也应当注意各个部门的安全，需要采用VLAN（虚拟局域网）技术，通常情况下各部门的网络是隔离的，在需要的情况下才开启通信。（1）隔离广播域企业园区网络需要提升网络传输效率，通过Vlan技术可以将大型的广播域细分为较小的广播域，可以有效的改善网络性能。一个虚拟局域网（VLAN）组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中，提供一定范围内终端系统的互联。（2）提高安全性可以保证包含特殊数据服务的访问只局限于指定工作组，将广播数据包限制在VLAN范围内，不会传播到整个网上增加网络负担，优化了网络带宽，不会导致网络拥塞，并在一定程度上保证了安全性目标。（3）组网灵活VLAN建立在局域网交换机的基础之上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络，它允许数据的传送不受物理网络限制，用户在不改变硬件和通信线路的情况下快捷地构建新的网络，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。VLAN充分体现了现代网络技术高速、灵活、管理简便和扩展容易等重要特征。2.开放最短路径优先本企业园区网中网络环境较为复杂，需要采用多个路由器，为便于路由器之间交换信息，往往选用IGP(内部网关协议);IGP协议包括RIP、OSPF、ISIS等，而在这几条协议之间，OSPF(开放最短路径优先)区域规划多且清晰，内部外部优先级的不同可以一定程度上防止双路由引发时出现环路，有效解决公司合并出现的骨干区域被分割的问题,快速选择路由之间的最短路径。在本方案中采用OSPF协议作为内部协议，其优势主要有以下几点：（1）无环路区域内部采用树形算法；区域间采用星型拓扑。（2）收敛快相比于其他路由协议能更快速的收敛网络。（3）扩展性好当网络规模扩大的时候，OPSF支持多区域可以将一些设备划分在一个区域。（4）支持认证增加了网络的安全性。3.虚拟专用网络VPN本企业园区网中部署着各种各样的系统，例如财务管理、业务、OA（办公自动化）、企业邮箱（仅内部员工）、FTP、企业网站等。我们希望全国各地的员工不论何时，何地都能共享企业的系统和数据。然而在互联网上的信息传输是明文进行传输的，黑客随时有可能截获数据来加以分析，从而获得企业内部重要信息，会对企业造成极大的伤害。为了保障数据传输的安全，企业通常采用VPN（虚拟专用网络）进行数据加密，防止企业信息的泄露。通过企业VPN接入服务，也可实现全国各地的互联互通。（1）传输数据安全可靠员工连接到Internet，则它将利用Internet提供商的服务。通过VPN采用加密及安全验证等安全技术，使用VPN的IP地址连接到Internet，从而提高了在线安全性，保证连接用户的可靠性及传输数据的安全和保密性。（2）远程工作每个员工从家里连接到公司网络并不安全，有时需要远程但安全地工作，通过VPN使多个员工之间能够共享文件和信息，这些员工之间可以相隔甚远，甚至在不同的城市。可以促进公司之间的充分配合，即使员工都在各自的家中，也可以协调一起工作。（3）完全控制VPN使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置，网络管理变化可由自己管理。1.3.5应用安全需求信息化网络建设，涉及与Internet的连接，涉及到与多个下属部分单位的连接。WWW应用、FTP应用等等需要针对不同的部门、不同的人员服务，对网络的安全提出了以下的需求：（1）采用安全控制措施，实现人员的集中管理和控制。（2）采用安全措施，加强对核心服务器系统的保护。（3）采用安全措施，实现与Internet的安全连接，同时对外提供服务。（4）实现集中统一的全网安全管理，减轻管理的负担。（5）除了连接Internet区域设置防火墙外，对进出员工办公室接入区域的数据流量进行过滤和检测，防止某些非法应用和病毒感染公司内部网络。（6）在连接Internet的路由器内集成入侵防火墙系统，随时监测进入公司办公网络的异常流量。

2XX企业园区网络规划与设计XX企业网涉及科研、销售、生产，为了提高效率，应当将业务网络与管理网络分开，尽量减少业务网与管理网络之间的通信，确保各个部门的安全。另外为了保证适应业务需求的变化，整个网络应该能实现灵活配置，根据不同时期不同项目进行不同配置，保证满足业务调整和变化。2.1设计原则新建XX企业园区网必须满足企业未来3~5年内的研究、生产、办公需求，遵循“可靠性、实用性、安全保密性、先进性、经济性、开放性”的设计原则，以系统生命周期长、管理维护方便、系统集成度高和保护投资为主要技术特色，适应XX企业园区企业当前应用及后续不断发展。该企业网络是具有高密度用户群的网络，为了保障全网的高速转发，要求方案设计的阶段就要充分考虑到企业网全网的组网设计无瓶颈，同时要交换机具有高性能、高带宽的特性，整网的核心交换要求能够提供无瓶颈的数据交换。因此，设计应当遵循以下原则：（1）可靠性该企业网络是一个庞大而且复杂的网络，为了保障网络的正常使用以及设备的良好维护需要一个功能强大，具有分级、分权管理能力的网管系统，实现统一的网络业务调度和管理，降低网络运营成本。同时由于企业网络的使用者数量较多，跨网络开展的业务众多，因此需要能够提供用户的高效管理，以确保企业网络的信息安全。（2）实用性企业网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能提供丰富的宽带增值业务(如VoIP，IPV6等)，全网支持IPV6，使网络能适应未来需求，节约各类费用。确保新建网络在3~5年内的使用价值。（3）安全保密性充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。能有效通过软硬件相互联动，有效保证企业网的安全；选择设备必须具有较高的安全特性，如蠕虫病毒防御、ARP欺骗防御、防代理、防攻击扫描、防私设DHCP（动态主机配置协议）等功能，系统采用数字签名，安全认证，密码技术以及超级防火墙软件，代理服务器和VPN(虚拟专用网)等来确保网内安全。对员工的上网行为进行实时记录，并保存到日志服务器。（4）先进性：企业网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，要具有可扩展性和可升级性。随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。（5）经济性：在满足高性能价格比(高性价比)的前提下，选用物廉价美，经济实用的产品，以减少开支。（6）开放性：技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。2.2结构设计首先根据需求构建网络拓扑，考虑到数据传输的稳定及安全性，XX企业园区企业网采用三层架构体系，划分为核心层、汇聚层、接入层。（1）核心层主干网络设备采用交换机进行组网，配置两台高性能核心三层交换机，完成各汇聚节点与核心节点之间、各汇聚节点之间数据高速转发以及各节点的业务汇聚。该交换机应具备尽可能强大的性能、业务支持和端口接入的扩展能力。该层为下两层提供优化的数据传输功能，尽可能快地交换数据包，满足汇聚节点与核心节点之间高速通信的需要。（2）汇聚层每个汇聚节点的汇聚交换机通过2个快速以太口与企业数据中心的2台核心交换机相联，构成双核心、双归属的骨干网络。汇聚层提供基于统一策略的互连性，它是核心层和接入层的分界点，定义了网络的边界，对数据包进行复杂的运算。主要提供如下功能：部门和工作组的接入和汇聚，VLAN（VirtualLocalAreaNetwork）间路由，HSRP（HotStandbyRouterProtocol）的封装，实现冗余等。（3）接入层接入层为用户提供了在本地网段访问应用系统的能力，主要解决相邻用户之间的互访需求，并且为这些访问提供足够的带宽。接入层还应当适当负责一些用户管理功能（如地址认证、用户认证、计费管理等），以及用户信息收集工作（如用户的IP地址、MAC地址、访问日志等）。接入层交换机则采用第二层交换机用作接入交换机，以提供更好的接入性能和更高的安全性；2.3网络规划2.3.1整体规划XX企业园区主干和建筑物分布子模块有十分明确的三层设计区分，所以在每个建筑物分布子模块中采用多台二层交换机进行堆叠即可。XX企业园区将按照以下要求进行拓扑结构设计。（1）采用自上而下的分层结构设计首先确定的是核心交换机的连接，然后是汇聚层交换机的连接，再次是接入层的交换机连接。（2）把关键设备冗余连接在两台核心交换机上要实现核心交换机负载均衡和冗余配置，最好对核心交换机之间、核心交换机与骨干层交换机之间，以及核心交换机与关键设备之间进行冗余连接和配置。（3）连接其他网络设备把关键用户的工作站连接在核心交换机，或者汇聚层交换机的普通端口上；把工作负荷相对较小的普通工作站用户连接在边缘交换机上。其具体网络拓扑设计如图2所示。图2网络拓扑图2.3.2IP地址规划IP地址空间的分配，要与网络层次结构相适应，既要有效的利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。根据以上IP地址的划分原则，因为C类地址分配给小型网络，如一般的局域网和企业网，它可连接的主机数量是最少的，采用把所属的用户分为若干的网段进行管理。C类网络可达209万余个，每个网络能容纳254个主机。基于此XX企业园区计划采用C类IP地址，具体的IP地址规划设计如表2所示。表2IP地址规划部门名称IP地址网关企管部-054行政部-454财务部-654人事部-454食堂楼-054综合办公区-054科研中心-054服务器群组-654厂房一区-0054厂房二区-0054主要网络设备接口所配置的IP地址规划如表3所示。表3主要网络设备端口IP规划表设备名称端口IP地址连接设备Router1（R1）Serial0/0外网Fa0/0Switch1Fa0/1Switch2Switch1(S1)Fa0/0Router1Fa0/1WWW服务器Fa0/2FTP服务器Fa0/3DHCP服务器Fa0/4Switch2Fa0/5Switch2Switch2(S2)Fa0/1Router1Fa0/2WWW服务器Fa0/3FTP服务器Fa0/4DHCP服务器Fa0/5Switch1Fa0/6Switch1企业局域网通过使用VLAN划分技术，在安全性和稳定性方面都有了很大的提升，为各种业务的开展提供了可靠的保证。XX企业园区设有10个部门，每个部门负责不同的事务，彼此之间又有联系，为方便整个企业的灵活管理。基于交换机端口对每个部门进行VLAN划分。VLAN的划分如表4示。表4VLAN规划表部门名称VLAN号VLAN名称企管部VLAN10QGB行政部VLAN20XZB财务部VLAN30CWB人事部VLAN40RSB食堂楼VLAN50YXZX综合办公区VLAN60ZHBGQ科研中心VLAN70KYZX服务器群组VLAN80SERVER1厂房一区VLAN90CFYQ厂房二区VLAN100CFEQ2.3.3安全规划安全是网络建设的首要目标，在该网络建设中规划的安全如下。（1）访问控制实施企业网与外部、企业内部不同部门之间的隔离。其关键在于应支持目前Internet中的所有协议，包括传统的面向连接的协议、无连接协议、多媒体、视频、商业应用协议以及用户自定义协议等。（2）普通授权与认证提供多种认证和授权方法，控制不同的信息源。（3）内容安全对流入企业内部的网络信息流实施内部检查，包括URL过滤等等。（4）加密提供防火墙与防火墙之间、防火墙与移动用户之间信息的安全传输。（5）网络设备安全管理目前一个企业网络可能会有多个连通外界的出口，如连接ISP的专线、拨号线等，同时，在大的企业网内不同部门和分公司之间可能亦会有由多级网络设备隔离的小网络。根据信息源的分布情况，有必要对不同网络和资源实施不同的安全策略和多种级别的安全保护，如可以在防火墙上实施路由器、交换机、访问服务器的安全管理。（6）防毒中心建设病毒对公司网络的攻击对公司的整体运转造成威胁，因此公司各部门均需要建设完善的防毒中心，使用企业版的防病毒系统的分级管理功能，对网络进行管理单元划分。在网络中心建立以及防病毒服务器，负责所有二级防病毒服务器的统一管理。在不同的子系统建立二级防病毒服务器，负责本部的防病毒客户端管理。2.4设计总结本小节首先分析网络设计原则，然后根据整体结构设计，完成网络规划设计，其主要内容包括：整体规划、IP地址规划、安全规划等。

3XX企业园区方案实施3.1技术选择近年来，以互联网为代表的新技术革命正在深刻地改变传统的电信概念和体系结构，随着各国接入网市场的逐渐开放，电信管制政策的放松，竞争的日益加剧和扩大，新业务需求的迅速出现，接入网开始成为人们关注的焦点。1.接入技术选择在巨大的市场潜力驱动下，产生了各种各样的接入网技术。光纤通信具有通信容量大、质量高、性能稳定、防电磁干扰、保密性强等优点。在干线通信中，光纤扮演着重要角色，在接入网中，光纤接入也将成为发展的重点。为了保证企业网高速运行，本方案中拟选择光纤接入。与其他接入技术相比，光纤接入具有如下优点：（1）光纤接入网能满足用户对各种业务的需求。企业对通信业务的需求越来越高，除了普通信息交流外，还希望有高速计算机通信、网上采购、网上银行、远程教学、视频点播（VOD）以及高清晰度电视（HDTV）等。这些业务用铜线或双绞线是比较难实现的。（2）光纤可以克服铜线电缆无法克服的一些限制因素。光纤损耗低、频带宽，解除了铜线径小的限制。此外，光纤不受电磁干扰，保证了信号传输质量，用光缆代替铜缆，可以解决企业地下通信管道拥挤的问题。（3）光纤接入网的性能不断提高，价格不断下降，而铜缆价格在不断上涨。（4）光纤接入网提供数据业务，有完善的监控和管理系统，能适应将来宽带综合业务数字网的需要，打破“瓶颈”，使信息高速公路畅通无阻。2.安全技术选择（1）VLAN技术VLAN技术可以使局域网更加的安全，它能够让比较敏感的带有数据的用户和网络的其他部分进行一定的隔离，这样就能够保护网络的机密信息了，可以有效的防止机密信息的泄漏。可以减少网络的升级需求，可以节约昂贵的成本，可以减少移动的位置和工作地点的费用。并且网络宽带的利用率更高。（2）VPN技术VPN技术使用虚拟专用通道，实施软件技术防护；对各客户端进行严格病毒防护；禁止访问非法网站以及存在不安全因素的网站。对服务器的硬件安全防护，有效防止木马等病毒以及后台软件的运行。3.2设备选择3.2.1防火墙选型防火墙作为外部网络及内部网络中间的一道天然屏障，能有效阻止来自外部的网络攻击，并管理来自内部的数据访问，从而有效增加了企业网络的安全性。通过有效的防火墙部署策略，可以令企业业务正常开展，让企业内部网络高度安全。目前常用的防火墙产品主要为华为、思科等公司的产品。其中华为AR2240可扩展性强，加速了IP网络向宽带化、安全化、业务化、智能化方向发展。有着高品质QoS能力，具备丰富的业务能力，提供高品质、安全和全面的MPLSVPN解决方案，提供高效率组播转发能力；而CiscoASA5555-X防火墙属于CiscoSecurePIX防火墙系列，安全性、可靠性高，它所提供的完全防火墙保护以及IP安全（IPsec）虚拟专网（VPN）能力使特别适合于保护企业总部的边界。根据前面的比较，本方案中拟采用CiscoASA5555-X防火墙，其参数如表5所示。表5CiscoASA5555-X参数表主要参数详细描述网络端口8个GE接口网络吞吐量升级管理、设备管理、Web网管、GTL、SNMP、RMON、RMON2、NTP、CWMP、Auto-Config、U盘开局、NetConfVPN支持支持3.2.2路由器选型路由器是连接两个或多个网络的硬件设备，在网络间起网关的作用，是读取每一个数据包中的地址然后决定如何传送的专用智能性的网络设备；具有过滤和隔离网络数据流量及建立路由表，还有控制和管理复杂的路径、控制流量、分组分段、防止网络风暴及在网络分支之间提供安全屏障层等功能。目前常用的路由器有锐捷、思科等产品。其中锐捷RG-RSR20-X-52路由器,拥有高性能多核处理器+无阻塞交换架构，满足业务高速转发。各槽位均可扩展到万兆接口，支持未来业务高速发展，业界领先的DATA-OS流路由操作系统，支持业务创新多样性需求。而Cisco3945/k9路由器具有更灵活的配置方式和更高的处理能力，支持更多的功能特性，具备MPLSVPN功能、可平滑升级支持IPv6等等，符合未来IP技术的发展潮流，既适合于在中型企业网中担当核心路由器，也可在一些大的分支机构担当接入路由器。根据前面的比较，本方案中拟采用Cisco3945/k9防火墙，其参数如表6所示。表6Cisco3945/k9路由器参数表主要参数详细描述传输速率10/100Mbps网络协议DHCP、VLAN、IPX、DLSw、RIP-1、OSPF、BGP端口结构模块化局域网接口2个其他端口1个备份口（AUX），1个Console端口1个同/异步接口包转发率90-100Kpps防火墙内置防火墙VPN支持支持扩展模块33.2.3交换机选型交换机是最重要的网络设备之一。在互联网络设计中，交换机所实现的功能不仅仅是二层转发数据，它还能实现多层交换、网络优化、网络管理等多种功能。多样功能也意味着多种型号的交换机，目前市场上常用的交换机有思科，中兴，华为，hc3等产品。所以需要选择以下不同型号的交换机。（1）核心层交换机选型核心层顾名思义是整个网络布局的核心主干部分，承受、汇聚着所有传输流量，起管理作用，是网络性能的主要保障，因核心层交换机承受、汇聚着所有的流量，所以总是对核心交换机有着高可靠性、高效性、高容错性、可管理性、低延时性等要求。H3CS5560-EI系列交换机可集成无线控制功能，实现接入层无线/有线本地转发，消除无线控制带宽瓶颈，扩大无线部署规模，节省用户投资成本。Ciscows-c3850-24T-S不仅支持STP/RSTP/MSTP生成树协议，还提供SmartLink技术，能实现主备链路毫秒级倒换，解决了电信级业务接入可靠性问题。Ciscows-c3850-24T-S采用IRF技术组网后，能够在整个堆叠组内实现控制平面和数据平面所有信息的冗余备份，极大地增强了设备和网络的可靠性，消除了单点故障，避免了业务中断。Ciscows-c3850-24T-S支持虚拟路由冗余协议(VirtualRouterRedundancyProtocol，简称VRRP)，一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器。能与其他三层交换机构建VRRP备份组。Ciscows-c3850-24T-S能配置多条等价路由，当主上行路由发生故障时自动切换到下一条备份路由，实现上行路由的多级备份。根据前面比较，选用Ciscows-c3850-24T-S作为核心层交换机，其具体参数如表7所示。表7Ciscows-c3850-24T-S交换机参数表主要参数详细描述应用层级三层传输速率10/100/1000Mbps包转发率9.6Mpps端口结构固定端口MAC地址表16kVLAN功能支持接口数量26个接口类型24个百兆SFP口、2个千兆SFP口和2个10/100/1000M电口模块化插槽数2个（2）汇聚层交换机选型汇聚层主要用来减轻核心层设备的负荷，起着上传下达的作用，具有实施策略、安全、工作组接入、虚拟局域网（VLAN）之间的路由、源地址或目的地址过滤等多种功能汇聚层交换机是多台接入交换机的汇聚点，它需要具备处理接入层信息并将其提交到核心层上行链的能力，同时还要具备网络隔离、分段的作用，因此汇聚交换机多采用支持三层交换技术和VLAN的交换机。RG-S5750-H系列交换机是锐捷推出的高性能、强安全、集成多业务的新一代以太网交换机，该系列交换机采用高效硬件架构设计，搭载锐捷网络的RGOS11.X模块化操作系统，提供更大的表项规格、更快的硬件处理性能、更便捷的操作使用体验。提供灵活的千兆接入及高密度的万兆端口扩展能力，全系列交换机均固化4端口万兆光，采用双扩展槽设计，支持高密、高性能端口上行能力。充分满足用户高密度接入和高性能汇聚的需求。Ciscows-c2960x-24ps-l智能交换机作为汇聚层二层交换机。Ciscows-c2960x-24ps-l交换机是最新推出的新一代以太网交换机产品。非常适合作为关注扩展性、可靠性、安全性和易管理性的办公网、业务网和驻地网的汇聚层交换机。根据前面的比较，本方案中拟采用Ciscows-c2960x-24ps-l交换机，其具体参数如表8所表8Ciscows-c2960x-24ps-l交换机参数表产品类型千兆以太网交换机应用层级二层传输速率10/100/1000Mbps交换方式存储-转发背板带宽256Gbps包转发率42Mpps续表8MAC地址表16K端口结构非模块化（3）接入层交换机选型接入层交换机主要是解决相邻用户之间的访问需求，接入层的交换机还具有用户管理和用户信息收集的功能，接入层交换机的需求量是最大的，在终端连接的交换机需要满足多端口低成本的特性，因此主要考虑性价比因素，在功能上要求不是很高。思科接入层交换机系列有多个版本，CiscoCatalyst2960-CX系列采用的IOS是LANBase，除了拥有满足接入层交换机所需的所有LANLite功能，还有FlexLink、链路状态跟踪和LLDP-MED功能。此外最大的VLAN数量为255。足以满足中小型企业所需。Ciscosg200-26系列交换机作为接入层交换机，该交换机满足以太网多业务承载以及各种以太接入场景。Ciscosg200-26交换机可为用户提供丰富灵活的业务特性，有效地提高产品可运营、可管理和业务扩展能力，具备优异的防雷能力和安全特性，支持强大的ACL功能，支持QINQ，支持1:1和N:1VLAN交换功能，满足VLAN灵活部署的需求。根据前面的比较，本方案中拟采用Ciscosg200-26交换机。其参数如表9所示。表9Ciscosg200-26交换机参数表主要参数详细描述应用层级二层传输速率10/100Mbps交换方式存储-转发背板带宽32Gbps包转发率6.6MppsMAK地址表8k端口结构非模块化端口数量26个传输模式全双工/半双工自适应3.3布线根据XX企业园区建筑物的结构以及综合布线的设计方案，规划出线缆走向，每栋建筑综合布线的各个系统以及线缆的大致走向示意图如图4所示。图4综合布线示意图每栋楼之间采用光缆连接，连接简图如图5所示。图5建筑群子系统连接示意图3.4设备配置3.4.1服务器的配置常用的操作系统有Win2003Sever、Win2008Sever、Linux、Unix以及IBMAIX等。这里采用Win2008Sever作为操作系统，该系统是微软历史上最稳定的平台，对所有的应用均能提供非常好的支持，而且其可管理性非常高，使得用户只需花费很少的精力就可以做好系统及应用的管理。Win2008Sever提供了减小内核攻击面的安全创新，因而使服务器环境更安全、更稳定。通过保护关键服务器服务使之免受文件系统、注册表或网络中异常活动的影响。（1）DHCP服务器的配置DHCP是一种简化的IP地址配置与管理TCP/IP标准，全称动态主机分配协议。DHCP服务器根据其定义的作用域定义的参数将IP地址租给客户端，而且能够在作用域上配置其他TCP/IP设置，如DNS服务IP地址，默认网关等。使用DHCP服务器能大大减少配置花费的开销和重新配置网络上计算机的时间，为了节约成本和时间，安装DHCP服务器，来实现动态地址分配功能。这里采用Win2008Sever默认的DHCP服务组件进行安装，如图6所示。图6DHCP服务器安装安装成功后，DHCP服务器进行配置，以网段为例进行地址池配置，如图7所示。图7DHCP服务器配置（2）WWW服务器的配置WWW客户机/服务器体系结构的主要组成部分是客户机（浏览器）和WWW服务器，提供的内容包括信息处理工具、电子支付系统。WWW体系结构使PC机用户能够联网，访问分布式数据库和其他资源，从而大大增强了PC机的能力。通过www服务器建立XX企业网站，用户可以通过Internet服务可以进行访问，获取需要的信息，地址为。对WWW服务器进行安装，如图8所示。图8WWW服务器安装WWW服务器安装完成后如图9所示。图9WWW服务器安装完成（3）FTP服务器的配置FTP服务器用于在远端服务器和本地主机之间传输文件，是IP网络上传输文件的通用协议，在文件上传上有着广泛的应用。为实现XX企业园区的资源共享，需要搭建FTP服务器。FTP服务器搭建系统为Windowsserver2008，地址为，对FTP服务器进行安装如图10所示。图10FTP的安装FTP服务器安装完成后如图11所示。图11FTP安装完成安装完成后，对建立的FTP站点进行配置，站点名为huayang如图12所示。图12FTP的配置对访问的FTP账户进行限制，不允许匿名登陆，如图13所示。图13禁用匿名登陆设置站点目录和读写权限，如图14所示。图14设置站点目录和读写权限3.4.2交换机的配置OSPF是一种动态路由协议，配置简单，支持多区域，目前企业使用较多便于维护人员维护。在三层交换机上开启OSPF协议，OSPF区域规划多且清晰，

LSA也能够随着区域的划分而减少，降低了对路由器CPU的消耗

能够减少LSDB的大小从而降低了对路由器内存的消耗，大量的LSA泛洪扩散被限制在单个区域。内部外部优先级的不同可以一定程度上防止双向路由引入时出现环路，可以有效解决公司合并出现的骨干区域被分割问题，在本方案中采用OSPF路由协议。开启三层交换机Switch1的路由功能，并为其配置OSPF路由协议，使VLAN之间和外网都能够通信，配置命令如下。Switch1(config)#iproutingSwitch1(config)#RouterOSPF100Switch1(config-Router)#network.55area0配置结果如图15所示。图15交换机配置图3.4.3路由器的配置在路由器的特定接口上配置与分布层交换机同样的OSPF认证，且密码要一致。否则，在三层交换机和核心路由器间将无法进行通告发送和接收。（1）路由器上OSPF的配置路由器Router1的路由协议ospf配置命令如下所示。Router1(config)#RouterOSPF1Router1(config-Router)#network55area2配置结果如图16所示。图16路由器配置图（2）路由器安全配置路由器是外网进入企业网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护。为了企业网的安全，将对路由器进行以下配置。因为思科（Cisco）路由器是\t"/item/%E6%80%9D%E7%A7%91%28Cisco%29%E8%B7%AF%E7%94%B1%E5%99%A8/_blank"智能信息网络的基础，为当今要求最严格的网络服务，包括IP通信、视频、客户关系管理、\t"/item/%E6%80%9D%E7%A7%91%28Cisco%29%E8%B7%AF%E7%94%B1%E5%99%A8/_blank"金融交易和其他实时应用提供了高可用性、全面的安全性、易管理性和先进的服务质量。所以XX企业园区企业网针对Cisco路由器的安全配置如下：①禁止CDPRouter1(Config)#nocdprunRouter1(Config-if)#nocdpenable②禁止其他的TCP、UDPSmall服务Router1(Config)#noservicetcp-small-serversRouter1(Config)#noserviceudp-samll-servers③禁止Finger服务Router1(Config)#noipfingerRouter1(Config)#noservicefinger④给HTTP服务设置用户名和密码;采用访问列表进行控制。Router1(Config)#usernameBluShinprivilege10G00dPa55w0rdRouter1(Config)#iphttpauthlocalRouter1(Config)#noaccess-list10Router1(Config)#access-list10permitRouter1(Config)#access-list10denyanyRouter1(Config)#iphttpaccess-class10Router1(Config)#iphttpserverRouter1(Config)#exit⑤禁止BOOTp服务Router1(Config)#noipbootpserver⑥禁止从网络启动和自动从网络下载初始配置文件。Router1(Config)#nobootnetworkRouter1(Config)#noservicconfig⑦禁止IPSourceRouting。Router1(Config)#noipsource-route⑧建议如果不需要ARP-Proxy服务则禁止它，路由器默认识开启的。Router1(Config)#noipproxy-arpRouter1(Config-if)#noipproxy-arp⑨明确的禁止IPDirectedBroadcast。Router1(Config)#noipdirected-broadcast3.4.4防火墙配置防火墙是一种用以加强局域网之间的访问管理控制，能够有效的防止外部的局域网用户通过非法的手段，从而进入到内部的局域网并且窥视内部局域网的相关资源。为保证防企业网的安全，需要设置保密措施、登录认证等安全设置。详细配置如下：（1）设置防火墙的域名和登录密码domain-nameenablepasswordyuanmeiencryptedASDM（2）做访问控制列表访问控制列表(ACL)是一种基于包过滤的HYPERLINK"/item/%E8%AE%BF%E9%97%AE%E6%8E%A7%E5%88%B6