大中型企业网络规划与设计研究

大中型企业网络规划与设计【摘要】：园区网是现今阶段大中型企业最常用的组网形式，一个企业的园区网、医院园区网、校园网、图书馆网络、酒店网络等等都是园区网的具体实现。本文简约讨论大中型企业网络的发展、网络中使用的网络协议，子网的设计方案，IP地址划分，构建企业网络所需要的广域网技术和局域网技术和设计方案的原则，组网实施的方案及方案的成本核算，网络安全实施解决方案，组网实施方案图和逻辑拓扑图，最后通过仿真调试运行，旨在组建一个高速、稳定、可靠、可扩展性、易维护、层次化、可管理的企业网，为大中型企业提供组网一个参考解决方案。【关键词】：园区网、拓扑图、IP、协议

目录一、相关概述 5（一）网络规划 5（二）网络设计的基本原则 5（三）广域网技术和局域网技术 51.广域网技术 52.局域网技术 5二、网络规划的需求分析 6（一）业务需求 6（二）市场需求 6三、A公司网络规划设计方案 7（一）用户需求分析 71.覆盖区域 72.信息点估算 7（二）公司网络需求分析 71.宽带性能需求 72.稳定可靠需求 73.服务质量需求 8（三）设备选型 8（四）子网及VLAN的划分 8（五）IP地址规划 9四、A公司网络规划 10（一）设计原则 10（二）网络总体设计 10（三）网络管理的设计 10（四）设备配置 111.基础配置 112.使用VTP 123.创建VLAN 134.交换链路封装 145.NAT 146.DHCP/DNS 167.ACL 188.PVST 199.路由协议 2010.网管控制 2211.其他配置 23（五）网络安全的设计 24第六章总结 25参考文献 26【正文】：信息化高速发展的今天，企业网的组建已经成为提升企业核心竞争力的关键因素。近年来，企业纷纷建立自己的信息网络。目前，我国企业特别是大中型企业的网络建设正如火如荼地进行，但随着网络规模的不断扩大。网络的发展概述（一）计算机网络概念计算机网络是一个具有独立功能的分散式计算机系统。它将通信设备与线路连接起来，通过功能完善的软件实现资源共享。简单地说明计算机网络的几个应用方向对分散的信息进行集中、实时处理。比如航空订票系统、工业控制系统、军事系统等众多的系统，离开了计算机网络，将无法进行。当今社会，就连到商场购物、餐馆吃饭这样的日常事务都离不开计算机网络，利用计算机网络进行网上购物，更加方便、廉价。通信电子邮件、即时通信系统等众多的通信功能，极大地方便了人与人之间的信息交往，既快速又廉价。远程教育，利用网络可以提供远程教育平台，借助丰富的知识管理系统，学生可以更加方便地自学提高学习效率。娱乐，娱乐是人的天性，对于大多数人来说，工作之余都需要娱乐活动来丰富自己的生活，利用网络提供各种各样的娱乐内容，既满足了社会的需要，同时也具有巨大的经济效益。（二）计算机网络发展史随着1946年世界上第一台电子计算机问世后的十多年时间内，由于价格很昂贵。电脑数量极少，早期所谓的计算机网络主要是为了解决这一矛盾而产生的。它的形式是通过通信线路将一台计算机直接与多个终端相连。我们也可以认为这是最简单的局域网原型。最早的网络，是由美国国防部高级研究计划局（ARPA）建立的。现代计算机网络的许多概念和方法，如分组交换技术都来自ARPAnet。ARPAnet不仅进行了租用线互联的分组交换技术研究，而且做了无线、卫星网的分组交换技术研究-其结果导致了TCP/IP[2]问世。1977-1979年，ARPAnet推出了目前形式的TCP/IP体系结构和协议。1980年前后，ARPAnet上的所有计算机开始了TCP/IP协议的转换工作，并以ARPAnet为主干网建立了初期的Internet。1983年，ARPAnet的全部计算机完成了向TCP/IP的转换，并在UNIX（BSD4.1）上实现了TCP/IP。ARPAnet在技术上最大的贡献就是TCP/IP协议的开发和应用。2个著名的科学教育网CSNET和BITNET先后建立。1984年，美国国家科学基金会NSF规划建立了13个国家超级计算中心及国家教育科技网。随后替代了ARPANET的骨干地位。1988年Internet开始对外开放。1991年6月，商业用户首次超过学术用户，成为互联网发展史上的里程碑。此后，互联网以不可逆转的速度发展。（三）中国的网络发展史Internet的阶段性发展，我国的INTERNET的发展以1987年通过中国学术网CANET向世界发出第一封E-mail为标志。经过几十年的发展，形成了四大主流网络体系。即：中科院的科学技术网CSTNET；国家教育部的教育和科研网CERNET；原邮电部的CHINANET和原电子部的金桥网CHINAGBN。Internet在中国的发展历程可以大略地划分为三个阶段：第一阶段：为1987—1993年，也是研究试验阶段。在此期间，我国一些科研部门和高校开始研究互联网技术，开展科研项目和科技合作。然而，这个阶段的网络应用仅限于一小部分电子邮件服务。第二阶段：为1994年至1996年，同样是起步阶段。1994年4月，中关村地区教育与科研示范网络工程进入Internet，从此中国被国际上正式承认为有Internet的国家。之后，Chinanet、CERnet、CSTnet、Chinagbnet等多个Internet络项目在全国范围相继启动。Internet开始进入公众生活，并在中国得到了迅速的发展。至1996年底，中国Internet用户数已达20万，利用Internet开展的业务与应用逐步增多。第三阶段：从1997年至今，是Internet在我国发展最为快速的阶段。国内Internet用户数97年以后基本保持每半年翻一番的增长速度。增长到今天，上网用户已超过1000万。（四）网络协议网络协议为\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"计算机网络中进行数据交换而建立的规则、标准或约定的集合。网络协议是网络上所有设备（网络服务器、计算机和交换机、路由器、防火墙等）之间的一组通信规则。它规定了信息在交流时必须采用的格式以及这些格式的含义。大多数网络采用分层结构，每一层都建立在其下层，为上层提供一定的服务，并将如何实现该服务的细节屏蔽到上层。一台设备上的第n层与另一台设备上的第n层进行通信的规则就是第n层协议。在网络的各层中存在着许多协议，接收方和发送方同层的协议必须一致，否则一方将无法识别另一方发出的信息。\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"网络协议使网络上各种设备能够相互交换信息。常见的协议有：\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"TCP/IP协议、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"IPX/SPX协议、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"NetBEUI协议等，目前我们普遍采用的互联网协议是\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"TCP/IP协议。为了使不同计算机制造商生产的计算机能够相互通信，以便在更大范围内建立计算机网络，国际标准化组织（iso）于1978年提出了开放系统互连参考模型。即著名的\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"OSI/RM模型（OpenSystemInterconnection/ReferenceModel）。它将\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"计算机网络体系结构的\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"通信协议划分为七层，自下而上依次为：\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"物理层（PhysicsLayer）、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"数据链路层（DataLinkLayer）、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"网络层（NetworkLayer）、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"传输层（TransportLayer）、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"会话层（SessionLayer）、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"表示层（PresentationLayer）、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"应用层（ApplicationLayer）。1、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"物理层（PhysicsLayer）：物理层是\t"/item/%E7%89%A9%E7%90%86%E5%B1%82/_blank"OSI的第一层，处于最底层，是整个开放系统的基础。物理层为设备之间的\t"/item/%E7%89%A9%E7%90%86%E5%B1%82/_blank"数据通信提供传输媒体及互连设备，为\t"/item/%E7%89%A9%E7%90%86%E5%B1%82/_blank"数据传输提供可靠的环境。提供具有机械的，电子的，功能的和规范的特性，物理层确保原始的\t"/item/%E7%89%A9%E7%90%86%E5%B1%82/_blank"数据可在各种物理媒体上传输。二层交换机、各种插头、插座。局域网中的各种同轴电缆、T形连接、接收机、发射机、中继器、网卡光纤、五类线（RJ-45连接器）、集线器、串行口、并行口等，都属于物理层的介质和连接器。协议的范围从ieee802.1aeee802.2到ieee802.11。2、数据链路层：数据链路层包括llc逻辑链路层和mac介质访问控制层，定义了如何在单个链路上传输数据。这些协议与所讨论的各种媒体有关，如ATM、FDDI等。通过帧同步、错误控制、流量控制和链路管理，数据链路层提供了在网络实体之间建立、维护和释放数据链路的功能和编程方法保证传输数据的正确性。数据链路层的最基本的功能是向该层用户提供透明的和可靠的数据传送基本服务。透明性是指该层上传输的数据的内容、格式及编码没有限制，也没有必要解释信息结构的意义；可靠的传输使用户免去对丢失信息、干扰信息及顺序不正确等的担心。在物理层中这些情况都可能发生，在数据链路层中必须用纠错码来检错与纠错。数据链路层（dll）增强了物理层传输原始比特流的能力。它将物理层提供的物理连接转换为逻辑上无错误的数据链路，使之成为到网络层的无错误线路。协议包括fddi以太网arpanetpdnslipppp。3、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"网络层（NetworkLayer）：网络层是\t"/item/%E7%BD%91%E7%BB%9C%E5%B1%82/_blank"OSI参考模型中的第三层，介于\t"/item/%E7%BD%91%E7%BB%9C%E5%B1%82/_blank"传输层和\t"/item/%E7%BD%91%E7%BB%9C%E5%B1%82/_blank"数据链路层之间，它通过在数据链路层提供的两个相邻端点之间传输数据帧来进一步管理网络中的数据通信，并尝试通过多个中间节点将数据从源节点传输到目标节点，从而为传输层提供最基本的IC端到端数据传输服务。4、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"传输层（TransportLayer）：传输层（TransportLayer）是ISOOSI协议的第四层协议，实现端到端的数据传输。这一层是两台计算机通过网络相互通信时的第一个端到端层。它具有数据分割和重组、端口号寻址、连接管理、差错控制和流量控制、纠错等功能。传输层应向会话层提供通信服务的可靠性，以避免消息错误、丢失和延迟。如无序、重复、无序等错误。当网络层的服务质量不能满足要求时，它会提高服务的缓冲作用，以满足高层次的要求；当网络层的服务质量较好时，它只使用很少的工作。传输层也可以通过在单个网络连接上创建多个逻辑连接来进行多路复用。协议有tcp-udp。5、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"会话层（SessionLayer）：会话层（Session）是建立在传输层之上，利用传输层提供的服务，使应用建立和维持会话，并能使会话获得同步。会话层使用校验点可使通信会话在通信失效时从校验点继续恢复通信。协议有：SMIP、DNS。6、表示层位于OSI分层结构的第六层，它的主要作用之一是为异种机通信提供一种公共语言，提供格式化的表示和转换数据服务。数据的压缩、解压、加密、解密，例如，IBM主机使用EBCDIC编码，而大部分PC机使用的是ASCII码。在这种情况下，便需要表示层来完成这种转换。协议有：TELNETRLOGINSNMPGOPHER。7、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"应用层（ApplicationLayer）：应用层位于物联网三层结构中的最顶层，其功能为“处理”，即通过云计算平台进行信息处理。应用层也称为\t"/item/%E5%BA%94%E7%94%A8%E5%B1%82/_blank"应用实体（AE），它由若干个特定应用服务元素（SASE）和一个或多个公用应用服务元素（CASE）组成。每个SASE提供特定的应用服务，例如文件运输访问和管理（FTAM）、电子文电处理（MHS）、\t"/item/%E5%BA%94%E7%94%A8%E5%B1%82/_blank"虚拟终端协议（VAP）等。CASE提供一组公用的应用服务，例如联系控制服务元素（ACSE）、可靠运输服务元素（RTSE）和远程操作服务元素（ROSE）等。协议有：TFTP、FTP、NFS、WAIS。tcp/ip模型只有四层。网络接口层（数据链路层/网络接口层）、网络层（互联网层）、传输层和应用层。tcp/ip与osi最大的区别在于osi是一种理论上的网络通信模型，而tcp/ip是一种实用的网络协议。一、相关概述（一）网络规划网络集成布线是一种模块化、高度灵活的建筑物内部或建筑物之间的信息传输通道。通过它，语音设备、数据设备、交换设备和各种控制设备可以与信息管理系统连接。同时，这些设备还可以与外部通信网络连接，进行网络规划。它还包括建筑物外部网络或网络线路的连接点与应用系统设备之间的所有电缆和相关组件。网络规划由不同系列和规格的元件组成，包括：传输介质、相关连接硬件（如配线架、连接器、插座、插头、适配器）和电气保护设备。这些组件可用于构建各种子系统。它们有自己的特殊用途。它们不仅易于实施，而且可以随着需求的变化而顺利升级。Internet的最早起源于美国国防部高级研究计划署DARPA（DefenceAdvancedResearchProjectsAgency）的前身ARPAnet，该网于1969年投入使用。由此，ARPAnet成为现代计算机网络诞生的标志。从六十年代起，由ARPA提供经费，联合计算机公司和大学共同研制而发展起来的ARPAnet网络。起初，arpanet主要用于军事研究。这主要是基于网络必须经受住失败的考验，保持正常工作的指导思想。一旦发生战争，当一些网络由于攻击而失去工作能力时，其他网络应该能够维持正常的通信工作者。ARPAnet在技术上的另一个重大贡献是TCP/IP协议簇的开发和利用。作为Internet的早期骨干网，ARPAnet的试验并奠定了Internet存在和发展的基础，较好地解决了异种机网络互联的一系列理论和技术问题。1983年，ARPAnet分裂为两部分，ARPAnet和纯军事用的MILNET。同时，局域网和广域网的产生和逢勃发展对Internet的进一步发展起了重要的作用。其中最引人注目的是美国国家科学基金会ASF（NationalScienceFoundation）建立的NSFnet。NSF在全美国建立了按地区划分的计算机广域网并将这些地区网络和超级计算机中心互联起来。（二）网络设计的基本原则1.实用性和集成性系统的软硬件集成应以应用为第一目的。在充分适应企业信息化需求的基础上，还应考虑其他性能。这个系统包含很多内容。系统设计者必须能够有效地集成各种先进的软硬件设备，使系统的各个组成部分能够充分发挥作用，协调高效地工作。2.标准性和开放性只有支持标准和开放系统才能支持与其他开放系统的协作。网络中使用的硬件和软件产品应支持国际行业标准或事实上的标准，以便与同一网络中不同制造商的开放产品共存。通信应采用标准通信协议，使不同的操作系统和非操作系统可以协同工作。同一个网络系统和不同的网络通信顺畅。3.先进性和安全性系统的所有要素都应充分考虑其先进性。我们不能盲目追求实用，忽视先进技术。只有将最先进的技术与我们的实际应用需求相结合，我们才能获得最佳的系统性能和效率。网络安全非常重要。在某些情况下，为了确保系统的安全，最好牺牲系统的某些功能。（三）广域网技术和局域网技术1.广域网技术广域网是一种跨地区的数据通讯网络，使用电信运营商提供的设备作为信息传输平台。对照OSI参考模型，广域网技术主要位于底层的3个层次，分别是物理层，数据链路层和网络层。广域网交换机是在运营商网络中使用的多端口网络互联设备。广域网交换机工作在OSI参考模型的数据链路层，可以对帧中继，X.25以及SMDS等数据流量进行操作。2.局域网技术传输介质是网络中信息传输的媒体，是网络通信的物质基础之一。传输介质的性能特点对传输速率、通信的距离、可连接的网络结点数目和数据传输的可靠性等均有很大的影响。因此，必须根据不同的通信要求，合理地选择传输介质。目前在局域网中常用的传输介质有双绞线、同轴电缆和光导纤维等。二、网络规划的需求分析（一）业务需求（1）数据业务：在为用户提供高带宽数据业务的同时，利用DBA技术动态分配整个系统的带宽，让用户享受更高的峰值带宽，提高系统的带宽利用率。（2）语音业务：目前应用最多的仍然是普通电话业务（POTS），其物理接口为RJ11，这是用户必需的一种基本业务。目前，软交换技术的引入和普及将改变电话服务的提供方式，但对用户来说，这种实现方式的改变将是透明的，接入网应灵活适应这一变化。从未来的发展趋势来看，各种智能终端将逐渐被市场所接受。这些智能终端将通过RJ45接口直接接入，这就要求相应的接入网络提供具有QoS保证的以太网接入能力。（3）视频业务：当前个人用户所使用的主流视频业务是由广电部门提供的CATV，但今后将迅速向DTV转移。受限于政策因素，上述业务和通信网络运营商关联不是很大，因而且前各通信网络运营商真正关注的是IPTV业务。对于IPTV业务来说，接入网主要负责提供业务所需的信息通道，因而带宽问题是开展IPTV业务的核心问题。另外，相应通道的QoS保证能力也是必须关注的一个重要方面。（4）TDM专线业务：TDM专线业务主要是指E1，V.35业务。从实际需求看，企业用户中存在对这种业务的需求，而个人用户则通常没有。（二）市场需求现代大型企业网络应具有更高的带宽和更强的性能，以满足用户日益增长的通信需求。随着计算机技术的飞速发展，基于网络的应用越来越多。今天的企业网络已经发展成为一个多业务承载平台。我们不仅要继续提供办公自动化、网页浏览等简单的数据服务，还要提供与企业生产经营有关的各种业务应用系统数据，以及IP电话、视频会议等多媒体服务，这些业务都需要高带宽和延迟。因此，数据流量将大大增加，特别是对核心网的数据交换能力提出了前所未有的要求。此外，随着千兆端口成本的不断下降，千兆到桌面应用将在不久的将来成为企业网络的主流。从2004年全球交换机市场的分析可以看出，增长最快的是10Gbps级箱式交换机。可见，万兆的大规模应用已经真正开始。因此，今天的企业网已经不能再以100兆到桌面千兆的骨干网为标准进行网络建设。核心层和骨干层必须具有10兆位的带宽和处理性能，才能构建一个平滑、畅通无阻的“高品质”大型企业网络，以适应不断扩大的网络规模和不断增长的业务需求。三、A公司网络规划设计方案（一）用户需求分析1.覆盖区域有线覆盖区域：管理部、财务部、网络部、市场部、销售部、人力资源部、研发部。无线覆盖区域：管理部、财务部、网络部、市场部、销售部、人力资源部、研发部2.信息点估算公司共有2栋楼，之间相距100米。1号楼：共3层，一层为人力资源部，除大厅外还有4个办公室，还具有1个厕所和1个设备间，每个办公室具有10台电脑，4个办公室共需要40台电脑，大厅有1个电脑。二层为财务部，有4个办公室，1个会议室，1个厕所，1个设备间，分散分布每个办公室10台电脑，会议室需要1台电脑，共需41台电脑。三层为网络部，分布了5个办公室，1个厕所，1间休息室，1个设备间，共60台电脑，平均每间办公室有12台电脑。2号楼：共2层，一层为销售部，4个办公室，1个会议室，1个厕所，1个设备间，每个办公室12台电脑，会议室需要1台电脑，共需要49台电脑，。二层为研发部，4个办公室，1个研发车间，1个厕所，1个设备间，分散分布每个办公室10台电脑，每个车间2台电脑，共需24台电脑。如表3-1所示。表3-1信息点需求表区域信息点需求信息点数信息点总数1号楼1层4个办公室共40个信息点，大厅有1个信息点412352层4个办公室共40个信息点，会议室有1个信息点413层5个办公室共60个信息点602号楼1层4个办公共24个信息点，会议室有1个信息点492层4个办公室共40台电脑，1个生产车间共4个信息点44（二）公司网络需求分析为适应A公司信息化的发展，满足日益增长的通信需求和网络的稳定运行，今天的企业网络建设比传统企业网络建设有更高的要求，本项目将通过对如下几个方面的需求分析来规划出一套最适用于目标网络的拓扑结构。1.宽带性能需求A公司应具有更高的带宽，更强大的性能，以满足用户日益增长的通信需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台。公司不仅将继续提供办公自动化、网页浏览等简单的数据服务，还将继续提供与公司生产经营相关的各种业务应用系统数据，以及IP电话、视频会议等多媒体服务，这些业务需要高带宽和延迟。因此，数据流量将大大增加，尤其是对核心网络的数据交换能力提出了前所未有的要求。公司网络不能再使用千兆骨干网的100兆位到桌面作为网络建设的标准。核心层和骨干层必须具备千兆带宽和处理性能，才能构建一个顺畅、畅通无阻的“高品质”大型企业网络，以满足公司网络规模不断扩大和业务量不断增长的需要。2.稳定可靠需求A公司的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通，保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来，网络通信的无中断运行已经成为保证企业正常生产运营的关键。A公司网络在可靠性设计方面主要应从以下3个方面考虑。设备可靠性设计：不仅要检查网络设备是否实现了关键部件的冗余备份，还要从网络设备的总体设计框架、处理引擎的类型等方面进行检查。业务的可靠性设计：网络设备在故障倒换过程中，是否对业务的正常运行有影响。链路可靠性设计：以太网的链路安全源于多径选择，因此在企业网络建设中，要考虑网络设备是否能提供有效的链路自愈手段和快速重路由协议的支持。3.服务质量需求A公司网络需要提供完善的端到端QOS保障，以满足企业网多业务承载的需求。大型企业网络承载着越来越多的业务。单纯增加带宽并不能有效保证数据交换的畅通。因此，今天的大型企业网络建设必须考虑到网络应该能够智能地识别应用事件的紧迫性和重要性，如视频、音频、数据流（mis、erp、oa等）。备份数据）。同时，它可以调度网络中的资源，保证重要和紧急业务的带宽、延迟、优先级和无阻塞传输，实现业务的合理调度是为大型企业网络提供“高质量”服务的保证。（三）设备选型本工程作为某运营商首个EPON试点工程，初期不准备大规模地投入资金，因此，本次的OLT设备采用中兴ZXA10C200H，ZXA10C200H为小容量高密度盒式无源光接入局端设备，设备高度3U，标准19英寸宽度。单机框可支持8个PON口，支持1：64分光，最大可以连接512个（采用1：64分光）光网络终端（ONT），支持主控板和电源板的主备，支持IEEE802.3ahEPON标准，同时在设备体系结构上符合ITUG.984GPON线卡的支持能力，支持EPON和GPON线卡混插。最大限度地保护了运营商的投资并保证业务发展的连续性。结合运营商的市场策略，在初期建设仅考虑高速上网业务，根据用户需求的不同选用不同的ONU设备。当用户对带宽需求较高时，采用FTTH接入方式时选用中兴的ZXA10F401，该设备提供1个PON口（SC/PC，单模），数据传输速率为1.25Gb/s对称（上下行），传输链路距离为0~20km，提供1个10/100/1000Base-T自适应接口，支持WEB，支持本地和远程管理，该ONU支持802.1p优先级：1～8个优先级，每端口4个COS队列，SP、WRR、SP＋WRR优先级调度算法，支持端口速率强制和自适应，支持802.1QTagVLAN，支持广播风暴控制，支持端口速率限制，支持端口流量控制，支持端口隔离，支持IGMP监听，支持可控组播，支持MAC地址老化时间设置，支持端口MAC地址数限制，支持端口MAC地址绑定和过滤。（四）子网及VLAN的划分子网划分定义：Internet组织机构定义了五种IP地址，有A、B、C三类地址。A类网络有126个，每个A类网络可能有16777214台主机，它们处于同一广播域。而在同一广播域中有这么多节点是不可能的，网络会因为广播通信而饱和，结果造成16777214个地址大部分没有分配出去。基于每一类的ip网络可以进一步划分为更小的网络。每个子网由路由器定义并分配一个新的子网地址，该子网地址是根据每个网络地址类别借用主机部分创建的。划分子网后，通过使用掩码，把子网隐藏起来，使得从外部看网络没有变化，这就是子网掩码。（1）子网的划分从表4.1我们可以看出，该公司内东西区各有156个户，总住户数为312户，根据信息化公司IP地址规划原则，对于pppoe用户，可以划分为公司的vlan，在城域网通过dhcp服务器获取私有ip地址，通过城域网宽带接入服务器获取公共ip地址和安全id号。对于宽带专线用户，个划分单独一个VLAN并分配一个共有地址段。对于网络设备，划为一个VLAN方便网管，并分配一个IP地址段。PPPoE用户分配地址段是—27，宽带专线用户分配地址段是28—55（2）VLAN的划分基于端口的VLAN分区：这种VLAN分区方法基于以太网交换机的端口。这些属于同一vlan的端口可以是不连续的或不同的以太网交换机，也就是说，同一vlan可以跨越多个以太网交换机。端口划分是目前定义vlan最常用的方法。这种分区方法的优点是，只要指定了所有端口，就很容易定义VLAN成员。它的缺点是，如果VLANA的用户离开原始端口，转到新交换机的端口，则必须重新定义它。基于MAC地址划分VLAN：这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。这种方法的最大优点是，当用户的物理位置移动时，即当从一个交换机切换到另一个交换机时，不需要重新配置VLAN。因此，可以认为这种根据mac地址进行分区的方法是基于用户的vlan的。这种方法的缺点是初始化时，所有用户都必须。如果有成百上千的用户，配置会很累。此外，这种划分方法还导致交换机执行效率降低，因为每个交换机端口上可能有许多vlan组成员，这使得无法限制广播数据包。此外，对于使用笔记本电脑的用户，他们的网卡可能会频繁更换，因此必须不断配置VLAN。基于网络层划分VLAN：这种划分vlan的方法是基于每个主机的网络层地址或协议类型。虽然这种划分vlan的方法是基于网络地址，如ip地址，但它不是一种路由，与网络层的路由无关。虽然它查看每个包的IP地址，但它没有路由协议，如RIP、OSPF等。它根据生成树算法桥接交换。这种方法的优点是改变了用户的物理位置，不需要重新配置vlan，可以根据协议类型划分vlan。这对网络管理者来说非常重要。此外，该方法不需要额外的帧标签来识别vlan，从而减少了网络流量。这种方法的缺点是效率低，因为检查每个包的网络层地址需要处理时间（与前两种方法相比）。通用交换芯片可以自动检测网络包的以太网头，但要使芯片能够检测IP帧头，还需要更高的技术。这也比较费时。当然，这与各个厂商的实现方法有关。多播分区vlan：多播也是vlan的定义，即多播组是vlan。这种划分方法将vlan扩展到广域网，因此具有更大的灵活性，并且易于被路由器扩展。当然，这种方法不适合局域网、主机。如果效率不高。运营商级VLAN规划涉及业务开发类型和设备性能支持的影响。vlan规划要求维护部门根据实际情况制定统一的实施规则，在汇聚交换机上部署qinq功能，接入设备只贴上内部标签。汇聚交换机支持选择性的svlan功能，可以通过外部标签识别不同的服务。内部VLAN用于识别用户信息和服务信息，外部VLAN用于识别用户服务信息和访问设备位置信息。根据运营商VLAN规划要求，根据业务类型，VLAN1（通用互联网接入）、VLAN3（VPN）、VLAN5（IPTV）、VLAN7（NGN预留）。（五）IP地址规划对于运营商级的VLAN规划涉及到业务开展类型以及设备性能支持等方面因素的影响，VLAN规划需要维护部门根据实际情况统一制定实施细则，统一在汇聚交换机上部署QinQ功能，接入设备只打内层标签。汇聚交换机支持选择性SVLAN功能，且能通过外层标签识别不同业务。内层VLAN用于标识用户信息和业务信息，外层VLAN用于标识用户业务信息和接入设备位置信息。根据运营商对VLAN规划的要求，按业务类型可划分为VLAN1（普通上网）、VLAN3（VPN）、VLAN5（IPTV）、VLAN7（NGN预留）。VLAN是以分段方式规划的。同一接口层设备下的接入层节点将分配一段VLANID供使用。对于ip上行的dslam节点，考虑到网络的安全性，宜采用分段近距离接入的原则。如表3-2所示：表3-2VLAN及IP地址规划表VLAN号VLAN名称IP网段默认网关说明VLAN10RLZYB-25554人力资源部VLANVLAN20CWB-25554财务部VLANVLAN30WLB-25554网络部VLANVLAN40XSB-25554销售部VLANVLAN50YFB-25554研发部VLANVLAN100FWQ-25554服务器群四、A公司网络规划（一）设计原则（1）组网指导思想现代网络结构应适应当前快速增长的多种业务需求，承载多种应用系统，提供网络容量，优化网络结构，强化网络管理功能，完善支撑系统和业务平台，同时提供基本的c在应用程序级保证业务发展。保证网络的可靠性和可管理性。（2）组网基本原则宽带光纤接入网规划应结合现有光缆网络结构，以近、中期相结合为原则。现阶段，由于不同地区、城市发展不平衡，业务需求不同，用户分散，不确定因素较多，考虑到占领市场和投资的经济性，形成的原则是逐步实行统一规划。（二）网络总体设计根据A公司的整体网络需求，本论文设计办公网络系统为一套采用局域网设备得物理网络。整个办公局域网络系统设计由汇聚层、核心层，接入层这3层网络结构组成。全网使用的拓扑结构为星型结构。A公司主干网络设计如图4-1所示：图4-1主干网络设计图采用上设计图优点如下：（1）结构整齐，层次清晰，便于管理；（2）采用动态路由协议，维护简单，扩展性好。（三）网络管理的设计面向公司用户的宽带接入系统，由于大量用户的接入需要管理和计费，因此支持认证、授权、计费（AAA）功能也是EPON系统必须考虑的。AAA的功能不仅可以有效地增强网络的安全，防止非法用户进入网络，而且是使网络具备“可运营、可管理和可增值”能力的重要手段。EPON系统是一个分布式的以太网接入设备，其基本功能主要包括二层的以太网交换。而802.1x的认证体系正是基于端口认证的二层协议，与EPON结合可以充分发挥其简单高效的优势。这是因为802.1x将接入端口上的业务流和认证流分离，避免了认证器处理能力的压力，使实现更简单，并消除了可能的性能瓶颈。802.1x利用epon的聚合能力，将多个认证点的信息聚合后传输到认证服务器。在减少身份验证服务器的并发连接数的同时，还增加了服务器同时管理的用户数。epon采用802.1x认证架构，可以实现与传统ppp认证架构的兼容。同时，由于eap（扩展认证协议）的认证模式，其可扩展性得到了充分的考虑。AAA系统工作原理如下：（1）认证（authentication）：验证用户的身份与可使用的网络服务。EAP可以允许认证者和申请者之间采用灵活的方案进行认证，并且对将来出现的更先进、合理的认证技术具有很好的兼容性。EAP的这些特性主要通过扩展EAP中厂家定义的“EAP类型”域实现，“EAP类型”域中定义的认证类型可以满足不同层次的安全需要。（2）授权（authorization）：依据认证结果向用户开放网络服务。认证成功以后，认证服务器会将该用户的信息传递给认证者系统。除了关闭控制端口和允许用户数据进入网络等标准功能外，epon的认证系统还有一些更重要的事情要做。首先，根据用户应用的带宽大小，将初始状态的默认带宽改为用户可以获得的实际带宽值。由于EPON的动态带宽（DBA）机制，用户可以获得的带宽是一个保证带宽加上网络相对空闲时的部分剩余带宽。其次，根据用户申请的业务种类，为用户配置业务端口，同时根据协议类型在ONU处划分VLAN，以便不同业务数据的统计和汇聚。再次，根据用户的QoS级别，在OLT侧为用户分配不同的优先级队列。最后，如果运营商需要保证端到端的服务质量，也可以在用户数据离开epon系统时，按照运营商的指定标注vlan。（3）计费（accounting）：记录用户对各种网络服务的用量，并提供给计费系统。由于OLT集中维护了每个用户详细的在线信息，并可以统一上报给RADIUS服务器，所以基于时长的计费粒度可以精确到秒级。而且ONU可以实时统计用户的业务流量，甚至是区分业务类型的业务流量，基于流量的计费也易于实现。在此基础上，运营商可以为用户提供灵活的计费方案。（四）设备配置1.基础配置以接入层交换机为例：图4-2接入层交换机Switch>en进入特权模式Switch#conft进入全局模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch（config）#hostnameCW_AL_SW_1修改路由器或者交换机的名字，方便管理CW_AL_SW_1（config）#noipdomainlookup关闭域名查询启用与禁止DNS服务器，默认配置交换机时，当我们输入错误的switch命令时，交换机会尝试将其广播到网络上的dns服务器，并将其解析为相应的ip地址。利用命令noipdomainlookup，可以禁用DNS服务器，可以减少输入错误命令的等待时间CW_AL_SW_1（config）#lineconsole0进入CONCOLE0口线程下，通过CONSOLE线串口直接控制交换机或路由器接口设置登录口令，如下图：图4-3交换机密码设置2.使用VTP从提高效率的角度出发，在企业网实现实例中使用了VTP技术。将汇聚层WS_SW设置成为VTP服务器，其他交换机设置成为VTP客户机。这里接入层交换机SW1将通过VTP获得在分布层交换机FB1中定义的所有VLAN的信息。下面是配置截图：图4-4行政楼汇聚层交换机VTP配置截图WS_SW#vlandatabase特权模式下进入VLAN设置模式WS_SW（vlan）#vtpdomaincisco定义VTP域名ChangingVTPdomainnamefromNULLtociscoWS_SW（vlan）#vtpserver将该交换机设置为VTP的服务端DevicemodealreadyVTPSERVER.WS_SW（vlan）#vtpv2-mode启用的VTP版本号为2V2modeenabsled.WS_SW（vlan）#vtppassword123456设置VTP的密码为123456，交换机的VTP必须密码一致才能同步SettingdeviceVLANdatabasepasswordto123456.WS_SW（vlan）#vtppruning启用VTP修剪，激活VTP剪裁功能，默认情况下主干道传输所有VLAN的用户数据。有时，交换网络中某台交换机的所有端口都属于同一VLAN的成员，没有必要接收其他VLAN的用户数据。这时，可以激活主干道上的VTP剪裁功能。当激活了VTP剪裁功能以后，交换机将自动剪裁本交换机没有定义的VLAN数据。在vtp域中，只需要在vtp服务器上激活vtp裁剪功能。同一VTP域中的所有其他交换机也将自动激活VTP裁剪。退出VLAN配置模式进入特权模式APPLYcompleted.Exiting其他设备配置（配置成用户端）下面以CW_AL_SW_1为例：图4-5交换机VTP客户模式配置CW_AL_SW_1#vlandaCW_AL_SW_1（vlan）#vtpdomainciscoChangingVTPdomainnamefromNULLtociscoCW_AL_SW_1（vlan）#vtpclient将FB2设置为客户端，客户端可以学习到服务端的所有VLAN信息。客户模式是没有创建、修改、删除VLAN得权利的，它只能接收和转发信息。而服务器模式拥有以上的所用功能。SettingdevicetoVTPCLIENTmode.CW_AL_SW_1（vlan）#vtpv2 V2modeenabled.CW_AL_SW_1（vlan）#vtppassword123456SettingdeviceVLANdatabasepasswordto123456.CW_AL_SW_1（vlan）#exitAPPLYcompleted.Exiting3.创建VLAN在WS_SW配置VLAN数据库。配置截图如下：图4-6VLAN配置4.交换链路封装图4-7交换链路封装XZ_DL_SW_2（config）#intfa0/4进入要封装的接口XZ_DL_SW_2（config-if）#switchporttrunkencapsulationdot1q进行封装XZ_DL_SW_2（config-if）#switchportmodetrunk指定封装模式XZ_DL_SW_2（config-if）#noshutdown开启接口XZ_DL_SW_2（config）#interfacefastEthernet0/0XZ_DL_SW_2（config-if）#switchporttrunkencapsulationdot1qXZ_DL_SW_2（config-if）#switchportmodetrunkXZ_DL_SW_2（config-if）#noshutdown5.NAT图4-8静态nat配置图4-9动态nat配置XZ_WL_RT>enPassword:XZ_WL_RT#configConfiguringfromterminal,memory,ornetwork[terminal]?tEnterconfigurationcommands,oneperline.EndwithCNTL/Z. XZ_WL_RT（config）#ipnatpoolnat53netmask配置动态NAT转换的地址池XZ_WL_RT（config）#ipnatpoolnat54netmaskXZ_WL_RT（config）#ipnatinsidesourcelist1poolnat配置动态NAT转换的内部地址范围XZ_WL_RT（config）#access-list1permit55XZ_WL_RT（config）#intse2/0XZ_WL_RT（config-if）#ipnatoutsideXZ_WL_RT（config-if）#exXZ_WL_RT（config）#intfa0/0XZ_WL_RT（config-if）#ipnatinsideXZ_WL_RT（config-if）#exXZ_WL_RT（config）#图4-10查看NAT转换的统计信息6.DHCP/DNS图4-11配置DHCPXZ_DL_SW（config）#ipdhcpexcluded-addressXZ_DL_SW（config）#ipdhcpexcluded-addressXZ_DL_SW（config）#ipdhcpexcluded-addressXZ_DL_SW（config）#ipdhcpexcluded-addressXZ_DL_SW（config）#ipdhcpexcluded-addressXZ_DL_SW（config）#ipdhcpexcluded-address先配置除去PC机不能使用的IP地址图4-12配置DHCP,DNS,默认网关现在需要为路由器接口和所有的PC机接口配置IP地址。由于几千个结点的网络比较大，为每一台PC手工配置地址的工作量相当大，所以我们要使用DHCP技术。XZ_DL_SW（config）#ipdhcppoolVLAN10创建地址池，VLAN10地址池network宣告网段default-router默认网关DNS-SERVERDNS地址ipdhcppoolVLAN20networkdefault-routerDNS-SERVERipdhcppoolVLAN30networkdefault-routerDNS-SERVERipdhcppoolVLAN40networkdefault-routerDNS-SERVERipdhcppoolVLAN50networkdefault-routerDNS-SERVERipdhcppoolVLAN60networkdefault-routerDNS-SERVERipdhcppoolVLAN70networkdefault-routerDNS-SERVER图4-13DHCP服务请求成功7.ACL图4-14配置ACLWS_WL_RT（config）#access-list1permit55WS_WL_RT（config）#linevty04WS_WL_RT（config-line）#access-class1in在vty下应用aclWS_WL_RT（config-line）#passwordciscoWS_WL_RT（config-line）#loginWS_WL_RT（config-line）#图4-15配置ACLWS_SW（config）#access-list6deny55WS_SW（config）#access-list6deny55WS_SW（config）#access-list6deny55WS_SW（config）#access-list6deny55WS_SW（config）#access-list6deny55WS_SW（config）#access-list6deny55WS_SW（config）#access-list6permitanyWS_SW（config）#intvlan20WS_SW（config-if）#ipacc6outWS_SW（config-if）#WS_SW（config-if）#WS_SW（config）#图4-16配置扩展ACL8.PVST图4-17配置PVST由于网络拓扑比较大，两两相连加冗余会出现环路，所以需要配置二层防环的PVST首先要选举根桥，我们这里手工指定XZ_AL_SW为VLAN10的主根，VLAN203060的备份根。Switch>enSwitch#configConfiguringfromterminal,memory,ornetwork[terminal]?tEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch（config）#spanning-treemodepvst开启PVST生成树模式Switch（config）#spanning-treevlan20rootprimary设置为VLAN20的主根Switch（config）#spanning-treevlan10，30rootsecondary设置为VLAN1030的备份根Switch（config）#9.路由协议外联路由器配置EIGRP，总部外联路由配置如下图：图4-18总部外联路由协议配置XZ_WL_RT（config）#routereigrp100启用EIGRP协议XZ_WL_RT（config-router）#network5把/28网段宣告进协议中XZ_WL_RT（config-router）#network55XZ_WL_RT（config-router）#network55XZ_WL_RT（config-router）#network55图4-19外省外联路由协议配置WS_WL_RT（config）#routereigrp100启用EIGRP协议WS_WL_RT（config-router）#network把/30网段宣告进协议中WS_WL_RT（config-router）#networkEIGRP还有自动汇总的功能，当不需要时：WS_WL_RT（config-router）#noauto-summary关闭自动汇总功能10.网管控制