某中型企业园区网网络规划

摘要本文简要地讨论了企业网络规划设计中涉及到的网络技术、规划设计方法、网络性能及应用分析等问题，为企业网络的规划、设计和升级改造等方面在技术及应用上提供参考，以使在建或规划中的校园网络具备较高的整体性能。通过对园区网络的分析，从性能和价值上满足园区网络的需求，然后对企业园区网络进行划分vlan、设置管理域等配置，不断地优化企业的网络，从而到达企业平安、快速访问网络资源的目的。关键字：交换机；路由器；防火墙；VLANAbstractTherearesomethingbeendiscussedbrieflyintheenterprisenetworkdesigning,relatingtothenetworktechnology,thewayofdesigningprocedures,thenetworkfunctionandapplyinganalysisandsoon,isthatthenetworkplanofenterprise,whichprovideareferenceonthetechnologyandapplication,tomakeithavehigherfunctioninbuildingorplanningcampusnetwork.Throughtoanalyzingtothenetwork,inordertosatisfytherequirementoftheareanetworkfromthevalueandperformance,thencarriryontoconfiguretheenterpriseareanetworkincludingdividingvlan,establishingmanagementterritoryandsoon,optimizingtheenterprisethenetworkunceasingly,thusmaketheenterpriseaccessnetworkresourcesspeedilyandsafely.Keywords:switch;router;firewall;vlan前言计算机网络特别是INTERNET的产生和开展在现代科技技术史上具有划时代的意义和影响，计算机网络的飞速开展日新月异，计算机网络彻底改变了人们的工作方式和生活方式，改变了企事业单位的运营和管理模式。在现今的网络建设中，中小型园区网的建设是非常重要和普遍的，如：校园网和企业网。园区网经历了从早期简单的数据共享到现在园区网内部全方位、高速度、多种类应用的共享及效劳的转变。下面就以某企业的实际情况，设计一个可以正常运行的园区网，并对建成的网络进行优化，采用多种手段对网络进行优化是网络组建成果的重要组成局部，缺少优化的网络就算硬件配置在高，还是不能把网络资源充分利用。平安和稳定的运行是企业网追求的终极目标。第一章概述某企业园区刚刚建成，是一大型企业的分支机构，为了实现企业的办公信息自动化，扩大企业的影响，方便和总部的信息交流，需要建立自己企业的Internet。企业现在有2幢9层的办公大楼，分别是生产部和销售部，另外还有一个家属区，家属区有3幢6层的大楼，两个相距300米。企业局域网需要考虑覆盖办公区和家属区。了解企业的具体需求，根据企业办公室PC机的多少来决定网络信息点数目，主干光纤的铺设也要考虑企业办公大楼和工厂车间的具体位置，要求在合理的位置放置硬件设备，并通过网络铺设将企业中的每一个信息点连接到局域网，然后通过路由器，防火墙，连接到外网，外网地址采用电信提供的网络地址，企业内部采用私有IP。图1-1：园区实体图需求分析2.1网络应用需求企业网与internet连接，使员工可以通过互联网获取资源和信息建设企业网站，实现企业的对外宣传以及发布各种内部信息在企业网内实现传输共享实现企业的行政、办公的无纸化企业生活的电子化〔食堂卡等〕2.2平安需求企业接入internet，使用防火墙等过滤功能防止黑客和其他非法入侵者入侵网络，并且对接入网络的成员进行控制防范企业网内部的平安性问题，如arp攻击按照相应标准进行局域网的建设，确保物理层平安。采用主机访问控制手段加强对主机的访问控制。划分平安子网，加强网络边界的访问控制，防止内外的攻击威胁，定期进行网络平安检测，建立网络防病毒系统。建立身份认证系统，对各应用系统本身进行加固。2.3技术需求为确保企业网的性能及平安需求，采用100/1000Mbps光纤以太网作为企业网的主干。主干网承当了整个企业网络包交换、子网划分、网络管理等重要任务，应采用具有三层路由功能、包交换性能高的交换机作为主干网的节点机，分布在网络中心、办公大楼、生产部、销售部、家属区。设立一个网络中心，配置相应的效劳器及路由交换等设备。网络中心可对整个企业网进行管理，并作为公司连接Internet的网络关口，承当防御过滤等平安功能。对公司内各网络节点进行监控，防止病毒的传播。校园的主要建筑有网络中心、办公大楼、生产部、销售部、家属区。必须在这些建筑物内安装足够信息点以及信息终端以满足用户的需求。布线系统采用星形分布式拓扑结构，分为工作区子系统、水平子系统、管理子系统、垂直干线子系统、建筑群子系统、设备间子系统。家属区：每公寓有6层，每层有12间宿舍，每间宿舍须设2个信息点，3幢楼共432个节点；销售部：100节点；生产部：400个节点。网络中心应相应的配置有E-Mail效劳器、FTP效劳器、WEB效劳器及防火墙等设备。整个园区为一个虚拟局域网，为管理不同性质用户应划分不同子网，进行IP地址分配以及相应的路由配置。2.4应用系统功能分析通过对用户需求的分析以及建设目标的要求，我们可以将应用功能划分为信息效劳网站以及内部网络业务系统两个局部图2-12.4.1内部业务系统内部业务系统主要是基于Notes平台上的电子协作办公系统，如大规模邮件系统、统一消息系统、网络流量管理、呼叫中心以及内部办公、人事、财务系统。主要处理本身的业务流程，是传统办公业务的信息化。2.4.2信息效劳网站信息效劳网站按照用户来划分，可以分为对内局部和对外局部。对内局部主要用作内部宣传、查询、培训等等，使内部各级员工能够及时知道内部发生的信息，能够详细了解总部及下属单位的各种措施、政策和规定，甚至能够借助这个内部信息平台可以更加完善自己的行业知识，提高自己的业务水平，从而更好地协调内部各单位各员工之间的关系，增强内部凝聚力，提高内部管理和生产水平。信息平台的对外局部，按用户来分可以分为注册用户〔比方房地局的各种客户、会员等等〕和普通群众两种，针对不同的用户群体提供不同等级不同程度的信息效劳。网络设计原那么3.1层次化层次化是根据功能作用和定位，园区网通常按照核心层，会聚层，接入层等多个层次进行划分，设计，要做到化繁为简，使网络结构简单，简化网络部署，具有良好的稳定性、可扩展性，同时也方便网络管理。3.2模块化从业务角度出发，分为园区出口、数据中心、DMZ、网络管理、分支、园区互联、出差员工和合作伙伴等功能分区或业务类别。3.3平安性全网平安可靠，具有完善的平安防护措施，防止恶意破坏，保护数据和网络平安，打造一个平安可信得网络，保障网路和业务平安。3.4可扩展性可扩展性是指该网络系统能够适应需求的变化。随着技术开展，信息量增多和业务的扩大，网络将在规模和性能两方面进行一定程度的扩展。3.5易管理全网多业务智能、主动和综合管理，实时分析网络健康状况，积极预防；故障发生时可以快速排除故障，减少损失，网络必须易于管理，支持网络网段与端口的监控、网络流量与出错的统计、网络故障的定位、诊断、修复。3.6业务体验保证带宽和性能设计，QoS设计等，保证业务质量以及业务体验，让客户满意。3.7可靠性园区网稳定可靠，关键部位采用冗余或备份架构；发生故障时可以快速恢复，保证业务不中断，保证业务体验。路由协议选择路由协议可分为距离矢量、链路状态和混合型路由协议。使用距离矢量路由协议时，所有路由器只能向它的邻居路由器发送自己的整张路由表。然后路由器使用接收到的路由条目确定是否需要更新自己的路由表。这个过程会周期性的重复进行。与此相反，当网络使用链路状态路由协议时，每个路由器可以向其它所有的路由器发送自己的接口〔链路〕状态信息，但是这仅仅发生在网络拓扑发生变化的时候，每个路由器使用收到的链路状态信息重新计算自己到每个目标网络的最正确途径，然后把这些路由信息保存到自己的路由表中。混合型路由协议，顾名思义，该协议借用了距离矢量和链路状态协议的思想。混合型协议能向邻居路由器〔类似距离矢量〕发送变动的信息〔类似链路状态〕。4.1路由协议的比拟4.1.1路由信息协议RIP〔RoutingInformationProtocol〕是一种简单的动态路由协议，RIP至今有两个版本，RIPv1和RIPv2，后者是前者的改良版本，RIP是一种有类的距离矢量路由协议，它最显著的特点是在路由更新报文中不携带子网信息，RIP默认的管理距离是120，它使用跳数做为度量值，最大跳数是15，如果超过15就认为目标网络不可达，所以RIP只能适用于小型的网络中。4.1.2内部网关路由协议IGRP〔InteriorGatewayRoutingProtocol〕是Cisco私有的协议，其目的是为了取代RIP，它也是一种距离矢量路由协议，IGRP克服了RIP的一些严重缺陷，如IGRP在计算路由度量值时没有使用跳数，而是采用链路特征，因此要优于RIP协议。但由于IGRP是Cisco私有的协议，非Cisco厂商的设备不能支持IGRP协议，它的改良版是EIGRP。4.1.3增强型内部网关路由协议EIGRP〔EnhancedInteriorGatewayRoutingProtocol〕是增强型的IGRP协议，它是一种典型的平衡混合路由选择协议，它融合了距离矢量和链路状态两种路由协议的优点，使用一种散射更新算法，实现了很高的路由性能，但由于EIGRP也是Cisco私有协议，不能在其它非Cisco设备上使用，它的应用也受到了限制。4.1.4开放最短路径优先OSPF〔OpenShortestPathFirst〕是一种典型的链路状态、无类别IP路由协议，OSPF能够适应大型IP网络的扩展，而基于距离矢量的IP路由协议如RIP和IGRP那么不能适应这种网络。OSPF基于链路状态，其路由是基于网络地址及链路状态度量的。作为一种自适应协议，OSPF可以根据网络状态故障情况自动调整，具有收敛时间短的优点，有利于路由表的快速稳定，这样使OSPF可以支持大型的网络。OSPF的设计可以防止通信数据形成环路，这对于网状网络或由多个路由器实现的不同局域网互联非常重要。OSPF还有其它一些特性：①使用了区域的概念，有效的减少了路由选择协议对路由器的CPU和内存的占用率，划分区域还可以降低路由协议的通信量，从而使构建层次化互联网成为可能。②完全无类别地处理地址问题，排除了有类路由协议存在的问题。③支持使用多条路由路径的、效率更高的负载均衡。④使用保存的组播地址来减少对不运行OSPF协议的设备的影响。⑤支持更平安的路由选择认证。⑥使用可以跟踪外部路由的路由标记。4.2路由协议的选择园区网内既可以采用静态路由，也可以采用动态路由，需要根据园区网三层网络规模及其使用情况来综合考虑。如前所述，网关设置在不同位置，园区网三层网络规模的大小就有所不同，相应地，需要运行路由协议的设备数量也就有所不同。当园区网中三层网络规模较小时〔推荐值：三层网络设备数量不超过10台〕且网络变动不大时，推荐采用静态路由方式，简化网络管理；否那么，推荐采用动态路由方式，以减少网络管理的难度和有利于网络扩展。鉴于园区网内部可能存在不规那么区域，且路由节点不是特别多，动态路由协议推荐采用OSPF路由协议网络拓扑图网络拓扑是建设网络的关键一点，以下是该网络的拓扑。网络的组网一般分为三层，分别为：核心层、会聚层和接入层。一般来说，根据需求和资金的不同，会把其中的几层进行合并。这次采用完整的三层架构。其中：核心层：作用：高速的数据交换稳定可靠的冗余性不用配置复杂的策略会聚层：作用：流量控制和复杂的控制策略要求必要的冗余设计接入层：作用：用户接入，为用户提供大量丰富的接口和接入控制较少的考虑冗余性图5-1：网络拓扑图构建企业网时，采用国际internet组织划分出的私有地址，这些范围内的IP地址不在公网上传输，是专门提供企业、校园等内部构建私有网络的。一共有ABC三类的私有网络：A类私有IP:——55。B类私有IP:——55。C类私有IP:——55。鉴于企业的大小范围，这里采用C类私有IP地址。Vlan即虚拟局域网，是逻辑上的局域网，它通过将局域网播送域逻辑划分为假设干个子网，即1个vlan=1个播送域=1个逻辑子网。可以有效控制播送域范围，增强局域网的平安性和灵活构建虚拟工作组，并且可以减少播送带来的Mac地址表振荡、多帧复制和播送风暴。通过vlan来相互隔离各个部门，然后通过三层设备连接各个vlan，通过三层设备设置的策略，可以使使某些vlan可以通信，某些vlan不可以通信，这样可以到达控制的目的。VLAN规划需要考虑如下因素：①用户VLAN与设备管理VLAN分开(IP地址)。②为网络扩容进行可汇总的预留设计。③IP地址与VLAN编号(其它相关因素)有一定的对照性。下表是IP地址规划的详细信息：物理位置Vlan范围IP地址网段默认网关获取方式销售部Vlan10DHCP生产部Vlan3054/24DHCP宿舍区Vlan50、vlan60DHCP效劳器群Vlan100静态指定表6-1IP地址接入层交换机是为所有的终端用户提供一个接入点。我们采用的是CISCOWS-C2950-24。该交换机拥有24个10/100M的自适应快速以太网交端口，这里我们有两个接入层交换机。分别命名为connect1和connect2，接下来我们将对接入层交换机进行配置。进入交换机的配置界面〔CLI〕[3]我们一般常用的有两种方法：利用反转线直接和交换机的控制端口相连和远程登陆。我们主要进行如下一些配置：设置交换机名称Switch(config)#hostnameconnect1Connect1(config)#设置交换机密码Connect1(config)#enablesecret123设置登陆虚拟终端Connect1(config)#linevty015Connect1(config-line)#loginConnect1(config-line)#password123设置虚拟终端超时时间Connect1(config)#linevty015Connect1(config-line)#exec-timeout530设置控制台终端超时时间Connect1(config)#linecon0Connect1(config-line)#exec-timeout530禁用IP地址解析特性当我们向交换机输入一条错误的命令的时候，交换机就会将该信息播送给网络上的DNS效劳器，并试图把它解析成IP地址。Connect1(config)#noipdomain-lookup启用消息同步特性为了防止我们向交换机输入的命令被交换机产生的信息打乱。我们启用消息同步特性。Connect1(config)#loggingsynchronous为了能够对交换机进行远程管理，必须给交换机设置一个管理用的IP地址。这种情况下，实际上是将交换机看成和PC机一样的主机。而每台交换机都有一个用来进行管理的默认VLAN即VLAN1，VLAN1也称为管理VLAN。在VLAN及IP编址方案表中我们的管理VLAN的IP为/24，这里为connect1的管理IP设置为/24，具体配置如下命令[4]：Connect1(config)#interfacevlan1Connect1(config-if)#noshutdown为了能让管理人员在不同的子网中管理此交换机，还应该设置默认网关，在这里为其设置成为54，命令如下：将connect1设置成为VTP〔vlantrunkingprotocol〕的客户机，(VTP即vlan中断协议，使得vlan客户机可以从vlan效劳机上获得vlan信息，这样就不必为每台交换机配置vlan，大大减轻了网络管理人员的工作负担，同时也减少了在不同交换机上输入命令时出错的机率，保证了网络的正常运行)命令如下：Connect1(config)#vtpmodeclientHYPERLINK对connect1的端口进行具体的配置1．端口双工配置：Connect1(config)#interfacerangefastethernet0/1-24Connect1(config-if-range)#duplexfull2．端口速度配置：Connect1(config)#interfacerangefastethernet0/1-24Connect1(config-if-range)#speed1003．端口模式和端口所属VLAN的配置[5]在上面的拓扑结构图中我们很容易得出2~6端口属于VLAN10，7~12端口属于VLAN30，13~18端口属于VLAN50，19~22端口属于VLAN，具体配置命令如下：Connect1(config)#vlan2namefinanceConnect1(config)#vlan3nameHuman_resourceConnect1(config)#vlan4nameAfter_sale_serverConnect1(config)#vlan5namePublic_relationsConnect1(config)#interfacevlan2Connect1(config-if)#noshutdownConnect1(config-if)#exitConnect1(config)#interfacevlan3Connect1(config-if)#noshutdownConnect1(config-if)#exitConnect1(config)#interfacevlan4Connect1(config-if)#noshutdownConnect1(config-if)#exitConnect1(config)#interfacevlan5Connect1(config-if)#noshutdownConnect1(config-if)#exitConnect1(config)#interfacerangefastethernet0/1-22Connect1(config-if-range)#switchportmodeaccessConnect1(config-if-range)#exitConnect1(config)#interfacerangefastethernet0/2-6Connect1(config-if-range)#switchportaccessvlan2Connect1(config-if-range)#exitConnect1(config)#interfacerangefastethernet0/7-12Connect1(config-if-range)#switchportaccessvlan3Connect1(config-if-range)#exitConnect1(config)#interfacerangefastethernet0/13-18Connect1(config-if-range)#switchportaccessvlan4Connect1(config-if-range)#exitConnect1(config)#interfacerangefastethernet0/19-22Connect1(config-if-range)#switchportaccessvlan5Connect1(config-if-range)#exit4．快速端口和主干端口进行配置Connect1(config)interfacerangefastethernet0/1-22Connect1(config-if-range)#spanning-treeportfastConnect1(config-if-range)#exit由于connect1是通过23和24号端口分别与会聚层的交换机1和交换机2相连，所以把connect1的23和24号端口设置成为主干端口。命令如下：Connect1(config)#interfacerangefastethernet0/23-24Connect1(config-if-range)#switchportmodetrunk到此，对connect1的配置已根本上完成，接下来我们将对接入层的第二个交换机connect2进行配置，其配置和connect1的配置大体上是一样的。Connect2通过23和24号端口分别与会聚层的collect1和collect2连接。Connect2的VLAN的划分如下：2~6端口属于VLAN6，7~12端口属于VLAN7，13~18端口属于VLAN8，19~22端口属于VLAN9。Connect2的整体配置如下：Switch(config)#hostnameconnect2Connect2(config)#enablesecret123Connect2(config)#noipdomain-lookupConnect2(config)#loggingsynchronousConnect2(config)#linevty015Connect2(config-line)#loginConnect2(config-line)#password123Connect2(config-line)#exec-timeout530Connect2(config-line)#exitConnect2(config)#linecon0Connect2(config-line)#exec-timeout530Connect2(config-line)#exitConnect2(config)#interfacevlan1Connect2(config-if)#noshutdownConnect2(config-if)#exitConnect2(config)#vtpmodeclientConnect2(config)#interfacerangefastethernet0/1-24Connect2(config-if-range)#speed100Connect2(config-if-range)#duplexfullConnect2(config-if-range)#exitConnect2(config)#vlan6nameTechnique_supportConnect2(config)#vlan7nameproduceConnect2(config)#vlan8nameequipmentConnect2(config)#vlan9namesaleConnect2(config)#interfacevlan6Connect2(config-if)#noshutdownConnect2(config-if)#exitConnect2(config)#interfacevlan7Connect2(config-if)#noshutdownConnect2(config-if)#exitConnect2(config)#interfacevlan8Connect2(config-if)#noshutdownConnect2(config-if)#exitConnect2(config)#interfacevlan9Connect2(config-if)#noshutdownConnect2(config-if)#exitConnect2(config)#interfacerangefastethernet0/1-22Connect2(config-if-range)#switchportmodeaccessConnect2(config-if-range)#exitConnect2(config)#interfacerangefastethernet0/2-6Connect2(config-if-range)#switchportaccessvlan6Connect2(config-if-range)#exitConnect2(config)#interfacerangefastethernet0/7-12Connect2(config-if-range)#switchportaccessvlan7Connect2(config-if-range)#exitConnect2(config)#interfacerangefastethernet0/13-18Connect2(config-if-range)#switchportaccessvlan8Connect2(config-if-range)#exitConnect2(config)#interfacerangefastethernet0/19-22Connect2(config-if-range)#switchportaccessvlan9Connect2(config-if-range)#exitConnect2(config)#interfacerangefastethernet0/1-22Connect2(config-if-range)#spanning-treeportfastConnect2(config-if-range)#exitConnect2(config)#interfacerangefastethernet0/23-24Connect2(config-if-range)#switchportmodetrunkConnect2(config-if-range)#exit到此为止，对接入层的配置已根本上完成了。接下来对会聚层的交换机进行配置。2.2HYPERLINK会聚层交换效劳的实现—配置会聚层交换机会聚层除了负责将接入层交换机进行聚集外,还为整个交换网络提供VALN间的路由选择功能。在这里我们采用的是CISCOWS-C2950T-24型的交换机，这种交换机拥有24个10/100M的自适应快速以太网端口和2个10/100/1000M的自适应用于光纤接入的端口即上连端口。HYPERLINK配置会聚层交换机collect1的根本参数对会聚层交换机collect1的根本参数的配置与对接入层交换机connect1的根本参数配置类似。具体的配置命令如下：Switch#configureterminal(或者configt)Enterconfigurationcommandsoneperline.EndwithCNTL/ZSwitch(config)#hostnamecollect1Collect1(config)#enablesecret123Collect1(config)#noipdomain-lookupCollect1(config)#loggingsynchronousCollect1(config)#linecon0Collect1(config-line)#exec-timeout530Collect1(config-line)#exitCollect1(config)#linevty015Collect1(config-line)#password123Collect1(config-line)#loginCollect1(config-line)#exec-timeout530Collect1(config-line)#exitHYPERLINK配置会聚层交换机collect1的管理IP，默认网关每一台交换机都有一个默认的管理vlan即vlan1，用来管理该交换机，所以我们只需要为vlan1设置IP地址即可。同时为了能让网络管理人员在不同的子网中管理该交换机我们为其配置默认网关。具体配置命令如下：Collect1(config)#interfacevlan1Collect1(config-if)#noshutdownCollect1(config-if)#exitHYPERLINK配置会聚层交换机collect1为VTP效劳器当网络中交换机数量很多时，需要分别在每台交换机上创立很多的VLAN，工作量很大，过程很繁琐，并且很容易出错。所以在实际工作中我们都采用VTP来解决这个问题。我们只需要在VTP效劳器上配置好LAN信息，VTP客户机就可以通过VTP来从VTP效劳器上学习到VLAN信息了。同时，有关VLAN的删除，参数的更改操作都可以传播到其他的交换机上，从面大大减轻了网络管理人员的工作负担。命令如下：Collect1(config)#vtpdomainciscoCollect1(config)#vtpmodeserverHYPERLINK配置会聚层交换机collect1的VTP剪裁功能一个交换网络中，某台交换机的所有端口都属于同一个VLAN，那么它没有必要接收其他VLAN的用户数据，为了防止接收其他VLAN的用户数据我们可以启用VTP剪裁功能。命令如下：Collect1(config)#vtppruningHYPERLINK为collect1配置vlan和端口设置在上面的拓扑结构图中我们可以看到我们的效劳器群直接连接到我们的会聚层交换机上。所以要在collect1上定义vlan，命令如下[6]：Collect1(config)#vlan10nameServer_groupCollect1(config)#interfacevlan10Collect1(config-if)#noshutdownCollect1(config-if)#exitCollect1(config)#interfacerangefastethernet0/1-24Collect1(config-if-range)#duplexfullCollect1(config-if-range)#speed100Collect1(config-if-range)#interfacerangefastethernet0/1-22Collect1(config-if-range)#switchportmodeaccessCollect1(config-if-range)#spanning-treeportfastCollect1(config-if-range)#interfacerangefastethernet0/1-15Collect1(config-if-range)#switchportaccessvlan10Collect1(config-if-range)#interfacerangefastethernet0/23-24Collect1(config-if-range)#switchportmodetrunkCollect1(config-if-range)#interfacerangegigabitethernet0/1-2Collect1(config-if-range)#switchportmodetrunkHYPERLINK为collect1启用路由功能Collect1(config)#iproutingCollect1(config)#iproute为了实现对无类别网络〔ClasslessNetwork〕以及全零子网〔Subnet-zero〕的支持，还需要进行相应的配置，如下所示：Collect1(config)#ipclasslessCollect1(config)#ipsubnet-zeroHYPERLINK配置会聚层交换机collect2会聚层交换机collect2的配置和collect1的配置根本上相同，只是不需要为其配置VLAN。具体配置命令如下：Switch#configureterminal(或者configt)Enterconfigurationcommandsoneperline.EndwithCNTL/ZSwitch(config)#hostnamecollect2Collect2(config)#enablesecret123Collect2(config)#noipdomain-lookupCollect2(config)#loggingsynchronousCollect2(config)#linecon0Collect2(config-line)#exec-timeout530Collect2(config-line)#exitCollect2(config)#linevty015Collect2(config-line)#password123Collect2(config-line)#loginCollect2(config-line)#exec-timeout530Collect2(config-line)#exitCollect2(config)#interfacevlan1Collect2(config-if)#noshutdownCollect2(config-if)#exitCollect2(config)#vtpdomainciscoCollect2(config)#vtpmodeserverCollect2(config)#vtppruningCollect2(config)#interfacerangefastethernet0/1-24Collect2(config-if-range)#duplexfullCollect2(config-if-range)#speed100Collect2(config-if-range)#interfacerangefastethernet0/1-22Collect2(config-if-range)#switchportmodeaccessCollect2(config-if-range)#spanning-treeportfastCollect2(config-if-range)#interfacerangefastethernet0/23-24Collect2(config-if-range)#switchportmodetrunkCollect2(config-if-range)#interfacerangegigabitethernet0/1-2Collect2(config-if-range)#switchportmodetrunkCollect2(config)#iproutingCollect2(config)#iprouteCollect2(config)#ipclasslessCollect2(config)#ipsubnet-zero到此我们对会聚层交换机的配置已根本上完成了。接下来我们将对核心层交换机进行配置。2.3HYPERLINK核心层交换效劳的实现—配置核心层交换机核心层交换机将各会聚层交换机互连起来进行穿越园区网骨干的高速数据交换，在本企业网的设计中我们核心层交换机所采用的是CISCOWS-C3750G-24TS-S交换机。对核心层交换机core的配置与对接入层交换机的配置类似。具体配置命令[7]如下：Switch#configureterminal(或者configt)Enterconfigurationcommandsoneperline.EndwithCNTL/ZSwitch(config)#hostnamecoreCore(config)#enablesecret123Core(config)#noipdomain-lookupCore(config)#loggingsynchronousCore(config)#linecon0Core(config-line)#exec-timeout530Core(config-line)#exitCore(config)#linevty015Core(config-line)#password123Core(config-line)#loginCore(config-line)#exec-timeout530Core(config-line)#exitHYPERLINK配置核心层交换的管理VLAN和默认网关Core(config)#interfacevlan1Core(config-if)#noshutdownCore(config-if)#exitHYPERLINK设置核心层交换机为VTP客户机Core(config)#vtpmodeclientHYPERLINK设置核心层交换机的端口Core(config)#interfacerangefastethernet0/1-24Core(config-if-range)#duplexfullCore(config-if-range)#speed100Core(config-if-range)#switchportmodeaccessCore(config-if-range)#spanning-treeportfastCore(config-if-range)#exitCore(config)#interfacerangegigabitethernet0/1-2Core(config-if-range)#switchportmodetrunkCore(config-if-range)#exitHYPERLINK启用核心层core交换机的路由功能Core(config)#iproutingCore(config)#iproute为了实现对无类网络〔Classless〕和全零子网〔Subnet-zero〕的支持，进行如下的配置：Core(config)#ipclasslessCore(config)#ipsubnet-zero到此对于核心层的配置已根本完成，接下来我们对路由器进行配置。3.配置路由器在本企业网中采用的是CISCO3745的路由器，它通过自己的串行接口serial0/0使用DDN技术接入Internet。其作用主要是在Internet和企业网之间路由数据包。除了完成主要的路由任务外，利用访问控制列表〔AccessControlList，ACL〕，路由器router还可用来完成以自身为中心的流量控制和过滤功能并实现一定的平安功能[8]。其根本配置与接入层交换机的配置类似，配置命令如下：(需说明的是由普通用户进入特权模式输入命令enable，由特权模式进入全局配置模式输入命令configt(全写为configureterminal))Router#configureterminalRouter(config)#hostnamerouterRouter(config)#enablesecret123Router(config)#noipdomain-lookupRouter(config)#loggingsynchronousRouter(config)#linecon0Router(config-line)#exec-timeout530Router(config-line)#linevty04Router(config-line)#password123Router(config-line)#loginRouter(config-line)#exec-timeout530Router(config-line)#exit3.1HYPERLINK配置路由器router的各接口参数主要是对接口FastEthernet0/0以及接口serial0/0的IP地址、子网掩码的配置。配置命令如下：Router(config)#interfacefastethernet0/0Router(config-if)#noshutdownRouter(config-if)#interfaceserial0/0Router(config-if)#noshutdown3.2HYPERLINK配置路由器router的路由功能在router路由器上需要定义两个路由[9]：到企业内部的静态路由和到Internet上的缺省路由。Router(config)#iproute到企业网内部的路由经过路由汇总后形成两个路由条目如下所示：3.3HYPERLINK在路由上设置NAT由于目前IP地址资源非常稀缺，不可能给企业网内部的每台工作站都分配一个公有IP地址，为了解决所有工作站访问Internet的需要，必须使用NAT〔网络地址转换〕技术。为了接入Internet，本企业网向当地的ISP申请了10个IP地址。.-0,其中分配给了serial0/0，和分配给两个经现办公室。其它就进行NAT转换。定义NAT转换的内部、外部接口Router(config)#interfacefastethernet0/0Router(config-if)#ipnatinsideRouter(config-if)#interfaceserial0/0Router(config-if)#ipnatoutside定义允许进行NAT转换的工作站的IP地址范围Router(config)#ipaccess-list1permit.2553.4配置路由器上的ACL路由器是外网进入企业内网的第一道关卡，是网络防御的前沿阵地。路由器上的ACL是保护内网平安的有效手段。一个设计良好的ACL不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的ACL进行缜密的设计，来对企业内网包括对防火墙本身实施保护。3.4.1HYPERLINK对外屏蔽SNMP，TELNET协议屏蔽文件共享协议端口2049，远程执行〔rsh〕端口512，远程登录〔rlogin〕端口513，远程命令(rcmd)端口514，远程过程调用(sunrpc)端口111。命令如下：Router(config)#access-list101denyudpanyanyepsnmpRouter(config)#access-list101denyudpanyanyepsnmptrapRouter(config)#access-list101denytcpanyanyeptelnetRouter(config)#access-list101denytcpanyanyrange512514Router(config)#access-list101denytcpanyanyeq111Router(config)#access-list101denyudpanyanyeq111Router(config)#access-list101denytcpanyanyeq2049Router(config)#access-list101permitipanyanyRouter(config)#interfaceserial0/0Router(config-if)#ipaccess-group101in3.4.2HYPERLINK设置只允许来自效劳器的IP地址才能访问并配置路由器命令如下：Router(config)#linevty04Router(config-line)#access-class2in/建立访问控制列表2〔ACL2〕Router(config-line)#exitRouter(config)#access-list2permit.255为了支持无类别网络以及全零子网进行如下的配置：Router(config)#ipclasslessRouter(config)#ipsubnet-zero3.4.3HYPERLINK配置路由器的封装协议身份认证Router(config)#interfaceserial0/0Router(config-if)#encapsulationppp3.4.4配置路由器的身份认证Ppp提供了两种可选的身份验证方法[10]：口令验证协议PAP(PasswordAuthenticationprotocol,PAP)和质询握手验证协议CHAP(ChallengeHandshakeAuthenticationProtocol,CHAP)。CHAP比PAP更平安，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列。但CHAP对端系统要求很高，需要消耗较多的CPU资源，一般只用在对平安性要求很高的场合。而PAP虽然用户名和密码是以明文的形式发送的，但它对端系统要求不高，所以我们普遍采用这种身份验证机制。配置命令如下：首先要建立本地口令数据库Router(config)#usernameremoteuserpassword123Router(config)#interfaceserial0/0Router(config-if)#pppauthenticationpap到此路由器的配置就根本上完成了，接下来我们进行防火墙的配置。4防火墙的配置在本论文中我们采用的是CiscoPIX防火墙。防火墙提供4种管理访问模式：非特权模式(enable)特权模式(configureterminal)全局配置模式监视模式〔开机时按住Escape键或发送一个“break”字符〕4.1HYPERLINK防火墙的根本配置HYPERLINK配置防火墙接口的名字，并指定平安级别Pix525(config)#nameifEthernet0outsidesecurity0Pix525(config)#nameifEthernet1insidesecurity100Pix525(config)#Enablepassword123HYPERLINK配置以太网口参数及IP地址Pix525(config)#interfaceethernet1100full〔100full选项表示100Mbit/s以太网全双工通信〕Pix525(config)#interfaceethernet0auto(设置网卡的类型为自适应)HYPERLINK指定要进行NAT转换的IP地址范围在这里要注意“inside”指的是内网接口的名字，“1”公共地址池，后面指的是要进行转换的IP地址的范围。HYPERLINK指定转换后的IP地址范围在这里要注意“outside”指的是外网接口的名字，“1”公共地址池，后面指的是进行转换后的IP地址的范围。HYPERLINK设置指向内网和外网的静态路由Pix525(config)#routeoutside.01/指向外网的缺省路由，后面的IP指的是下一跳路由器的IP地址“1”指的是跳数[11]。Pix525(config)#routeinside1Pix525(config)#routeinside1Pix525(config)#routeinside1Pix525(config)#routeinside1Pix525(config)#routeinside1Pix525(config)#routeinside1Pix525(config)#routeinside1Pix525(config)#routeinside1Pix525(config)#routeinside14.2HYPERLINK配置fixup协议fixup命令作用是启用，禁止，改变一个效劳或协议通过pix防火墙Pix525(config)#fixupprotocolftp21/启用ftp协议，并指定ftp的端口号为21Pix525(config)#fixupprotocol80Pix525(config)#fixupprotocol1080Pix525(config)#nofixupprotocolsnmpPix525(config)#fixupprotocolrsh512Pix525(config)#fixupprotocolSMTP25Pix525(config)#fixupprotocolsqlnet15214.3HYPERLINK设置最大传输单元〔MTU〕Pix525(config)#mtuoutside1500Pix525(config)#mtuinside15004.4HYPERLINK设置PIX入侵检测当数据包具有攻击或者报告型特征码时，pix将采取报警动作。Pix525(config)#ipauditattackactionalarmPix525(config)#ipauditinfoactionalarm到此也根本上完成了PIX防火墙的设置了。网络设备的选择园区网内部交换机和路由器之间采用多模光纤进行连接，采用光纤到楼宇，到层，各层采用双绞线进行连接。通过对目前市场上设备的性能分析，结合企业实际和对网络扩展性的考虑，以及基于高性能、全交换，可扩展性强，系统平安，保密性高，管理简单，保护投资的选择原那么，选择了以下4款设备：路由器和交换机采用如下设备：业务需求解决方案说明数据交换机核心：H3CS7500(E)系列会聚：H3CS5500-28C-SI接入：H3CS3100-26/52TP-SI或H3CS5100-16/24/48P-SI核心支持双引擎双电源，性价比最高会聚支持全千兆高速转发，消除网络瓶颈，同时支持万兆扩展。接入层根据不同业务需求提供百兆和千兆接入两种选择。路由器H3CMSR50-06路由器H3C新一代平安路由器平安防火墙H3CSecPathF1000-C支持用层报文过滤VPNH3CSecPathF1000-C支持DVPN表7-1：网络设备表链路设备：万兆光纤、千兆光纤、双绞线。网络布线8.1楼宇内和楼宇间的布线结构化布线系统是建筑物或建筑群内的传输网络，它既能使数据通信设备、交换设备和其他信息管理系统彼此连接，也能使这些设备与外部通信网络相互连接，包括建筑物到外部网络线路上的连线点，与工作区的数据终端之间的所有电缆，以及相关联的布线部件。一个良好的结构化布线系统对其效劳的设备有一定的独立性，并能互连许多不同的通信设备如数据终端、PC和主机以及公共系统装置。一般布线系统有六个子系统组成：建筑群间子系统，设备间子系统，管理区子系统，垂直〔主干〕子系统，水平子系统，工作区子系统。作为为园区网，楼群间子系统采用光缆连接，可提供千兆位的带宽，有充分的扩展余地。垂直子系统那么位于高层建筑物的竖井内，可采用多模光缆或大对数双绞线。把管理区子系统并入设备间子系统，集中管理。对于多幢楼宇，可采用多设备间的方法。分为中心设备间和楼栋设备间局部，中心设备间是整个局域网的控制中心，内设有对外〔Internet〕对内通信的各种网络设备〔交换机、路由器、视频效劳器等〕，中心交换机通过光缆与楼栋设备间的交换设备相连，以保证数据的高速传输。在此设备间放置布线的线架和网络设备，端接楼内来自在各层的主干线缆，并端接连接网络中心的光纤。楼内布线包括水平布线和主干布线。水平系统采用超五类双绞线，新的楼宇采用暗装墙内的方式，旧的楼宇采用PVC线槽明装的方式。8.2用户对信息点的分布和带宽的需求本次实施的园区网信息点共有1000个。其中生产部400个分别分布在9个楼层、销售部100个分布于9层楼层家属区432个节点分布在6层。各楼之间以多模光缆连接，构成企业园区局域网。为适应企业将来对各种网络应用的需求，另外随着技术和工艺的进步，考虑到目前各类布线材料在价格方面比拟接近，因此拟对所有信息点都按超五类UTP标准布线，每个信息点可实现不低于100Mb的带宽，这样不仅可支持一般的信息管理应用对网络传输带宽的要求，而且完全支持MPEG-2等格式的多媒体信息传输。8.3楼宇间互连的介质选择常用的传输介质有双绞线、光纤和同轴电缆。单根双绞线传输距离最多为100M，光纤传输速度快和传输距离远，适合长距离传输。可分为多模光纤和单模光纤。多模光纤适合近距离传输，单模光纤适合远距离传输。对于目前园区网的室外主干传输介质，光缆已成为唯一有效的选择。它不仅具有很好的带宽及其扩展性，而且在抗干扰性，可靠性、稳定性和使用寿命等多方面都十分优越。缺乏的只是施工难度稍大，本钱较高。对于前者，只要设计时考虑周全，施工时一次到位，考虑足够的前瞻性，有充分的扩展性，就能很好地解决这个问题。为此，拟打算从办公楼网络中心到其它3座建筑楼的室外主干链路全都采用多模6芯光缆〔家属区信息点较多，可考虑2条千兆上连链路，一旦任意一条链路发生故障，另一条链路会自动按一个千兆速率的链路正常运行。还有两芯作备用〕。这样可实现高速、冗余、可靠、稳定的优质主干链路。在光缆的连接方面，目前存在至少三方法：熔接，磨接和冷压接。磨接法在多模光缆中虽有一定的应用市场，但经验证明，一致性差，往往因人而异，普遍衰减较大。熔接容易保证性能，特别是在单模光缆更是如此。冷压接是一种新的工艺需要特殊的设备，性能也不如熔接好。我们一般采用熔接的光缆连接方法。

专线接入INTERNET方式当前，局域网接入Internet主要有以下几种方式：9.1专线接入9.1.1DDN提供的专用数字电路DDN〔数字业务网〕线路最大的优势在于线路稳定、速度快、普及面广，几乎在所有铺设了线路的地区都可提供DDN接入效劳。DDN线路最大缺点是价格高。另外，DDN线路速率较为固定，为以后提高线路的带宽会带来许多不便。9.1.2光纤宽带直接接入光纤宽带直接接入〔Chinanet的局端与客户端之间完全或者局部使用光纤传输〕：能够提供1000Mbps的访问带宽，可以根据用户的需要提供不同的带宽限速要求，同时根据申请的不同带宽交纳不同的租用费用。适合要求比拟稳定的网吧、学校和企业等。9.2ISDN/PSTN线路接入9.2.1.ISDN拨号ISDN〔IntegratedServiceDigitalNetwork，综合业务数字网〕接入技术，俗称“一线通”，它采用数字传输和数字交换技术，将、、数据、图像等多种业务综合在一个统一的数字网络中进行传输和处理。用户利用一条ISDN用户线路，可以在上网的同时拨打、收发，就像拥有两条线一样。ISDN根本速率接口有两条64kbps的数据信道和一条16kbps的控制信道，简称2B+D。当有拨入时，它会自动释放一个B信道来进行接听。就像普通拨号上网要使用Modem一样，用户使用ISDN也需要专用的终端设备，主要由网络终端NT1和ISDN适配器组成。网络终端NT1就像有线电视上的用户机顶盒一样必不可少，它为ISDN适配器提供接口和接入方式。ISDN适配器和Modem一样又分为内置和外置两类，内置的一般称为ISDN内置卡或ISDN适配卡；外置的ISDN适配器那么称之为TA。ISDN内置卡价格在50元左右，而TA那么在100元以下。ISDN接入技术示意如图8-2所示。用户采用ISDN拨号方式接入需要申请开户，初装费根据地区不同而会不同，一般开销在几百至1000元不等。ISDN的极限带宽为128kbps，各种测试数据说明，双线上网速度并不能翻番，从开展趋势来看，窄带ISDN也不能满足高质量的VOD等宽带应用，终将被彻底淘汰。9.2.2PSTN拨号PSTN〔PublishedSwitchedTelephoneNetwork，公用交换网〕技术是利用PSTN通过调制解调器〔Modem〕拨号实现用户接入的方式。这种接入方式是使用最广泛的一种接入方式，目前最高的速率为56kbps，已经到达香农定理〔Shannon〕确定的信道容量极限，拨号上网的网速一般为9.6~56Kbps，这种速率远远不能够满足宽带多媒体信息的传输需求。但是，由于网络非常普及，用户终端设备Modem很廉价，大约在100元以下，而且不用申请就可开户，只要家里有电脑，把线接入Modem就可以直接上网了。PSTN拨号接入方式比拟经济，至今仍是网络接入的主要手段。随着宽带的开展和普及，这种接入方式将被淘汰。9.3ADSLADSL〔AsymmetricalDigitalSubscriberLine，非对称数字用户环路〕是一种能够通过普通线提供宽带数据业务的技术，也是目前极具开展前景的一种接入技术。ADSL素有“网络快车”之美誉，因其下行速率高、频带宽、性能优、安装方便、不需交纳费等特点而深受广阔用户喜爱，成为继Modem、ISDN之后的又一种全新的高效接入方式。ADSL接入技术的最大特点是不需要改造信号传输线路，完全可以利用普通铜质线作为传输介质，配上专用的Modem即可实现数据高速传输。DSL是一种上行和下行传输速率不对称的技术。ADSL支持上行速率640kbps～1Mbps，下行速率1Mbps～8Mbps，其有效的传输距离在3～5公里范围以内。在ADSL接入方案中，每个用户都有单独的一条线路与ADSL局端相连，它的结构可以看作是星形结构，数据传输带宽是由每一个用户独享的。ADSL技术特性使得它成为了网上冲浪〔NetSurfing〕、视频点播〔VOD〕和远程局域网〔RemoteLAN〕接入Internet的理想方式，对于大局部Internet和Intranet应用来说，ADSL可以满足用户宽带上网的要求，主要适用于用户远程通信、中央办公室等连接。操作系统、效劳软件10.1操作系统开发数据中心常用的操作系统有Windows2003Server、Linux、Unix以及IBMAIX平台。性能良好的操作系统通常支持群集技术。群集技术指通过在操作系统的根底上安装操作系统厂商的群集软件或第三方的群集软件，来做到应用的互为备份或负载平衡。在互为备份方式下，其中一台效劳器处于活动状态，另一台处于监管状态，当主效劳器系统死机或应用不能正常效劳时，备份效劳器会自动接管原主效劳器的任务，保证应用能够继续效劳。在负载平衡方式下，可以有多台效劳器，每个效劳器承当一定的应用。它们之间可以互为备份，也可以有专门的一台备份效劳器。备份效劳器在群集正常时承当监管任务，但是当群集中的某一台效劳器发生故障时会自动激活，接管故障效劳器的任务。这里选用windows2003Sever。10.2效劳软件10.2.1Web效劳Web效劳器通常提供Web和FTP效劳，查找功能，站点内容管理和分析功能，并且具有支持负载均衡的可扩展性。负载均衡技术很大程度上提高了Web效劳器的整体处理能力，并提高可靠性、可用性，和可维护性，最终用一组效劳器提供极大处理能力的大规模的Web效劳。Web效劳器选用windows2003自带的IIS。10.2.2FTP效劳FTP效劳器用于在远端效劳器和本地主机之间传输文件，是IP网络上传输文件的通用协议，在万维网出现以前，用户使用命令行方式传输文件，最通用的应用协议就是FTP，虽然目前大多数用户在通常情况下选择使用E-mail和Web文件传输，但是FTP仍然有着广泛的应用，尤其是在文件上传方面。在本网络中选用Sever-U作为FTP的效劳软件。10.2.3DNS效劳DNS设计的目的就是为了让人们使用容易记住的名字，让计算机使用数字化的IP地址。为了能够正常工作，当人们在应用软件中输入一个名字的时候，计算机用DNS解析请求找到与之对应的IP地址。DND分为正向解析和反向解析，即由域名解析IP地址和IP地址解析域名。其中正向解析分为递归和循环两种查询方式。这里采用windows2003默认的DNS组件。10.2.4DHCP效劳DHCP是一种简化的IP地址配置与管理TCP/IP标准，全称动态主机分配协议，它以UNIX的引导协议BOOTP为根底进行功能扩展。BOOTP只是简单地将地址列表中的ＩＰ地址指定给发出请求的客户端，用于在旧系统上启用无盘工作站的引导配置。DHCP效劳器根据其定义的作用域定义的参数将IP地址租给客户端，而且能够在作用域上配置其他TCP/IP设置，如DNS效劳IP地址，默认网关等等。这里采用windows2003默认的DHCP效劳组件。10.2.5E-mail效劳电子邮件〔E-mail，又称电子函件〕是指通过互联网进行书写、发送和接收的信件。电子邮件是互联网上最受欢送且最常用到的功能之一。有时会被简称为电邮或邮件。早期的电子邮件大多是文本格式，其他文件只能以附件的方式发送。随着技术的开展，电子邮件中已经可以包含各种照片，视频等多媒体文件。邮件的发送可以是个人之间的通讯，也可以是个人到计算机或计算机到个人，甚至电脑程序之间也可以通讯。收发电子邮件需要使用电脑程序，或者也可以在提供网页邮件的效劳商处通过网页发送，同时还需要知道对方的电子邮件地址。这里采用windows2003默认的DHCP效劳组件。10.2.6流媒体效劳流媒体具有传输速率高、数据同步和稳定性高等特性。是实现网络音频和视频传输的最正确方式，可以广泛用于电子商务、新闻发布、在线直播、视频点播、远程教学和视频会议等领域。流媒体的传输方式有顺序流传输和实时流传输。播放方式有点播和直播。这里采用windowsmediaserver。10.2.7BBS效劳电子布告栏系统〔英语：BulletinBoardSystem，缩写BBS〕是一种软件，是目前流行网络论譠的前身，它允许用户使用终端程序通过调制解调器拨接或者因特网来进行连接，拥有公告、讨论区、阅读新闻、下载软件、上传数据、与其它用户联机对话等功能。主要用于公司员工的交流。这里采用免费得动网论坛作为模板来组件。网络平安设计园区网的平安是一个综合问题，它包含网络设备和人为因素两个方面以及与外网〔Internet〕接口上的平安问题。网络的有效性和可靠性即它的可连续运行的平安性是网络建设必须考虑的首要原那么，从用户的角度考虑，当网络所需的效劳不可用时，不管是何种原因，网络就失去了实际价值。从另一角度看，当某种网络效劳的响应时间变得变幻莫测时，网络系统也不可靠了。为此我们在网络设计上就考虑了以下的技术来提高平安性。11.1VLAN技术VLAN技术是通过路由和交换设备，在网络的物理拓扑根底上建立的一个逻辑的网络。VLAN可以看作是一个播送域，它们不受地理位置的限制而像处于同一LAN上那样相互交换信息。VLAN是在交换网络中实现的。每个交换设备均可根据网络管理人员所定义的VLAN划分方法对报文进行过滤和转发，并能将这种划分信息传递到网络中其它交换设备和路由器中去。可以限制VLAN中的用户数量，禁止那些没有得到许可的用户参加到某个VLAN中。这样，可以控制用户对网络资源的访问，控制播送组的大小和组成，并借助网管软件在发生非法入侵时通知管理员。交换机上划分VLAN方法如下图。图11-1交换机划分VLAN方法11.2AAA技术AAA认证体系结构包括鉴别〔Authentication〕、授权〔Authorizatio