企業(yè)網絡規(guī)劃設計與實現(xiàn)畢業(yè)論文

長沙民政職業(yè)技術學院畢業(yè)實踐報告題目：企業(yè)網絡規(guī)劃設計與實現(xiàn)畢業(yè)論文畢業(yè)設計畢業(yè)專題√類型：指導老師：系別：班級：學號：姓名：2014年4月25日【摘要】21世紀是一個信息時代，互聯(lián)網把企業(yè)馳入了全球信息高速公路，讓企業(yè)信息通過互聯(lián)網通達世界各個角落。企業(yè)通過互聯(lián)網發(fā)布企業(yè)最新的商業(yè)信息，供全球檢索，以此來宣傳自己的企業(yè)，宣傳企業(yè)的產品，宣傳企業(yè)的服務，全面展示企業(yè)形象，并通過網絡與各行各業(yè)進行交流、推銷和合作，同時通過互聯(lián)網尋找貨源和新客戶。許多企業(yè)都在互聯(lián)網上找到了機會，創(chuàng)造了輝煌?！芭c其臨淵羨魚，不如退而結網”，科技隨著人類不斷的發(fā)展而日新月異，信息化、網絡化、高效化的腳步已經越來越近。對于一個公司來說，網絡的信息化已經成為公司發(fā)展、參與市場競爭的首要條件。企業(yè)網絡方案設計從長沙某公司的網絡結構特點與企業(yè)網的原則性出發(fā)，根據(jù)公司的建設必要性與需求、公司網絡的綜合布線以及公司信息點的采集等方面進行需求分析，通過網絡仿真軟件ENSP2.0建立網絡設備和網絡鏈路布線的設計模型，并模擬網絡的流量、劃分VLAN、創(chuàng)建訪問控制列表、構建冗余鏈路等。綜合性地運用當今企業(yè)網的優(yōu)點與現(xiàn)代化的管理手段，對網絡結構架構：如網絡拓撲結構詳細規(guī)劃、分層設計、IP地址的規(guī)劃設計等方面做了詳細剖析。從而實現(xiàn)一個辦公自動化、全方位、多功能、升級能力強的企業(yè)網的構建?！娟P鍵詞】企業(yè)網；網絡規(guī)劃；網絡設計；網絡拓撲目錄序言 -1-從企業(yè)對信息的需求來看 -1-從企業(yè)管理和業(yè)務發(fā)展的角度出發(fā) -1-1.中小企業(yè)網絡的建設目標 -3-1.1建設目標 -3-1.2設計原則 -3-2.企業(yè)網絡的總體設計 -5-2.1網絡拓樸設計 -5-2.2IP編址方案及VLAN劃分 -6-2.3核心層設計及設備選型 -7-園區(qū)主干交換機 -7-出口路由器 -7-服務器群組 -8-2.4接入層設計及設備選型 -8-2.5安全體系設計及設備選型 -8-2.6設計方案優(yōu)勢 -10-高帶寬、高性能 -10-網絡管理 -10-完善的安全機制 -11-易維護 -11-高可靠性 -12-低成本、可擴展性強 -12-3.企業(yè)網絡的整體方案部署 -13-3.1交換模塊設計 -13-接入層交換機服務的實現(xiàn)—配置接入層交換機 -13-核心層交換機服務的實現(xiàn)—配置核心層交換機 -15-3.2廣域網接入模塊設計 -18-配置路由器AR1的基本參數(shù) -19-配置路由器AR1的各接口參數(shù) -19-配置路由器AR1的路由功能 -19-配置接入路由器AR1上的NAT -20-配置接入路由器AR1上的ACL -20-結束語 -22-參考文獻 -23-序言隨著Internet在全球的發(fā)展與普及，企業(yè)網絡技術的發(fā)展以及企業(yè)生存和發(fā)展需要促成了企業(yè)網的形成。自20世紀90年代以來，企業(yè)網絡已經成為連接企業(yè)、事業(yè)單位各部門與外界交流信息的重要基礎設施?；诰钟蚓W和廣域網技術發(fā)展起來的企業(yè)網絡技術得到迅速的發(fā)展。為了適應網絡經濟的飛速發(fā)展，擴大企業(yè)經營的規(guī)模和范圍，方便企業(yè)內部和企業(yè)之間的交流，節(jié)省辦公開銷，提高企業(yè)的管理水平，企業(yè)發(fā)展Intranet（企業(yè)內部網）已經是刻不容緩。另外，截至2011年，中國中小企業(yè)的數(shù)量將達到4660萬，其中擁有企業(yè)網站的企業(yè)數(shù)量將達到363萬。在國民經濟中，60%的總產來自于中小企業(yè)，并為社會提供了60%以上的就業(yè)機會。然而，在中國國民經濟和社會發(fā)展中一直占據(jù)著至關重要的戰(zhàn)略地位的小中企業(yè)，其信息化程度卻比較落后。今后如何應對瞬息萬變、競爭激烈的國內外市場環(huán)境以及如何利用網絡技術迅速提升企業(yè)核心競爭力就是成為企業(yè)成敗的關鍵所在。從企業(yè)對信息的需求來看面對著激烈的市場競爭，公司對信息的收集、傳輸、加工、存儲、查詢、預測、決策及即時的交流、溝通等工作量越來越大，原來的電腦出于網絡技術或是安全性等因素考慮，一直只是停留在單機工作的模式，各部門及科室間的數(shù)據(jù)不能實現(xiàn)共享，致使工作效率大大下降，純粹手工管理方式和手段已經不能適應企業(yè)的需要，這將嚴重妨礙公司的生存和發(fā)展。社會進行要求企業(yè)必須改變現(xiàn)有的落后管理體制、管理方法和手段，建立現(xiàn)代企業(yè)的新形象，建立本企業(yè)的辦公自動化管理信息系統(tǒng)（即公司局域網），以提高管理水平，增加經濟和社會效益。從企業(yè)管理和業(yè)務發(fā)展的角度出發(fā)通過網絡對網絡資源的共用來改善企業(yè)內部和企業(yè)與客戶之間的信息交流方式，滿足業(yè)務部門對信息存儲、檢索、處理和共享需求，使企業(yè)能迅速掌握瞬息萬變的市場行情，使企業(yè)信息更有效地發(fā)揮效力；提高辦公自動化水平，提高工作效率，降低管理成本，提高企業(yè)在市場上的競爭力；通過對每項業(yè)務的跟蹤，企業(yè)管理者可以了解業(yè)務進展情況，掌握第一手資料，及時掌握市場動態(tài)，為企業(yè)提供投資導向，為領導決策提供數(shù)據(jù)支持；通過企業(yè)內部網建立，企業(yè)各業(yè)務部門可以有更方便的交流溝通，管理者可隨時了解每一位員工的情況，并加強以企業(yè)人力資源合理調度，切實做到系統(tǒng)的集成化設計，使原有的設備、投資得到有效利用。因此，有必要建設好中小型企業(yè)建設信息網絡，以達到最大限度地實現(xiàn)信息資源共享，并使用電子信息的傳遞取代紙面文件、材料的傳送，逐步實現(xiàn)無紙辦公，改變傳統(tǒng)的工作方式，進一步提高工作效率。同時，利用各種業(yè)務信息的綜合分析，為各級領導提供決策支持，更好地組織生產和經營。1.中小企業(yè)網絡的建設目標建設目標企業(yè)建設一個以辦公HYPERLINK自動化、計算機輔助生產、控制及管理為核心，以現(xiàn)代網絡技術為依托，技術先進、擴展性強、能覆蓋企業(yè)各樓宇的企業(yè)主干網絡，將企業(yè)的各種PC機、工作站、終端設備和局域網連接起來，并與有關廣域網相連，在網上宣傳自己和獲取Internet網上的信息資源。形成結構合理、內外溝通的企業(yè)HYPERLINK計算機網絡系統(tǒng)，在此基礎上建立能滿足生產、研發(fā)和管理工作需要的軟硬件環(huán)境，開發(fā)各類信息庫和應用系統(tǒng)，為企業(yè)各類需求提供充分的網絡信息服務。即總體目標是利用先進的計算機技術和網絡通信技術，建設高質量、高效率的統(tǒng)一的通信網絡。其具體目標如下：通過建設一個高速、安全、可靠、可擴充的網絡系統(tǒng)，使各系統(tǒng)互聯(lián)互通，實現(xiàn)企業(yè)信息的高度共享、傳遞及管理信息化，各領導能及時、全面、準確地掌握企業(yè)的研發(fā)、生產、管理、財務、人事等各方面情況；建立出口信道，實現(xiàn)企業(yè)與Internet互聯(lián)，同時部署企業(yè)各種應用服務器（郵件、文件、網站及各系統(tǒng)服務器等），實現(xiàn)企業(yè)信息的發(fā)布，提供各領導和企業(yè)員工的移動撥號接入，進行移動辦公和資料查詢；企業(yè)的各通交流，用電子信息的傳遞取代紙面文件、資料的傳送，實現(xiàn)無紙辦公，改變傳統(tǒng)的工作方式，進一步提高工作效率；利用各種業(yè)務信息的綜合分析，為各級領導提供決策支持，更好地組織生產和經營。1.2設計原則企業(yè)園區(qū)網可能包含大量的信息點，并會涉及大量的業(yè)務應用，這就要求企業(yè)網必須是一個實用的、高可靠、高效率、高擴展性及高HYPERLINK安全性HYPERLINK系統(tǒng)。為使企業(yè)園網絡系統(tǒng)具有良好的擴展性和靈活的接入能力，并易于管理，易于維護，在網絡設計及構建中始終應遵循統(tǒng)一標準、統(tǒng)一平臺及網絡分層的原則，主要包括如下原則：在網絡規(guī)劃方面，統(tǒng)一采用IP技術，統(tǒng)一規(guī)劃HYPERLINKIP地址及各種應用，采用開放的技術及國際標準，如HYPERLINK路由協(xié)議、安全標準、接入標準和HYPERLINK網絡管理平臺等，才能保證實現(xiàn)網絡的統(tǒng)一，并確保網絡的可擴展性，同時為了減少網絡中各部分的相關性，便于網絡的實施及管理，在網絡的構建中，從整體上可以將網絡劃分為核心層、匯聚層和接入層等3個層次；在軟硬件選擇方面，所有選擇的軟、硬件產品都必須遵循標準化原則，采用統(tǒng)一的軟、硬件平臺和基本應用軟件，以便進行統(tǒng)一的軟件版本的升級及管理；在安全方面，所建設企業(yè)網應具有良好的安全性與保密性，根據(jù)企業(yè)的業(yè)務應用需求，部署合理的網絡訪問策略，同時實現(xiàn)企業(yè)內部敏感信息的保護，在受到攻擊時具有可追溯性；在投資保護方面，要做到資源共享與保護，充分合理地利用現(xiàn)有的資源，最大限度地與原有系統(tǒng)或在建系統(tǒng)互聯(lián)互通，在盡可能利用已有投資的基礎上，解決好經費的補充和配套資金到位問題。

2.企業(yè)網絡的總體設計2.1網絡拓樸設計本次該企業(yè)網絡設計方案主要由以下部分構成：交換模塊、廣域網接入模塊、服務器群。整個網絡系統(tǒng)的拓樸結構圖如圖2-1網絡拓樸設計所示，如下：圖2-1網絡拓樸設計該設計符合中小型局域網模型架構。它的園區(qū)主干和建筑物分布子模塊沒有十分明確的三層設計區(qū)分，在功能配置基本上是緊縮到一層中去，因為缺乏明顯分開的園區(qū)主干和建筑物分布子模塊，并且園區(qū)主干子模塊中的密度是有限的，所以在每個建筑物分布子模塊中采用多臺二層交換機進行堆疊即可，在此方案中，出于可擴展性、一次性投資成本、網絡的傳輸性能及長遠規(guī)劃等方面因素考慮，前期先采用堆疊模式即可滿足所有用戶的接入問題，當用戶增加到一定的數(shù)量之后，出于交換機堆疊數(shù)量的限制，可以選擇增加多一臺建筑物分布子模塊來做匯聚的交換設備，這樣一樣可以做到后續(xù)有很強的擴展性，通過這種設計，可以使用該企業(yè)達到滿足現(xiàn)有需求的同時很好的降低了成本且不失后期的擴展性（如上拓樸圖示）。以這個設計方案而言，因為能提供交換機和鏈路冗余，所在園區(qū)主干子模塊不包含任何的單點故障。它采用了星形拓樸結構，它相對其他拓樸結構來說，星形拓樸將用戶接入網絡時具有更大的靈活性。當系統(tǒng)不斷發(fā)展或系統(tǒng)發(fā)生重大變化時，這種優(yōu)點將變得更加突出。在接入層，華為S2700系列交換機通過生成樹提供第二層冗余。華為S2700系列交換機僅有缺點就是最高只能32Gbit/s交換陣列，并且最多只能支持48個快速以太網端口，但是這對于資金有限的中小型企業(yè)網來說已經滿足需求了。在核心層采用三層交換機華為5700系列部署，可以增加網絡擴展性，提高性能及可用性，增強網絡安全性。在該設計中，利用快速以太網通道化/千兆以太網通道化技術擴展網絡帶寬，可以滿足內部網絡的大負荷網絡運行需求。2.2IP編址方案及VLAN劃分IP地址規(guī)劃根據(jù)所分配的公網IP地址和內部私有網IP地址分配，地址可分為二大塊，一塊是分配多個C類公網IP地址，作為和國際互聯(lián)網互連的地址，一部分企業(yè)相關的域名就解析在這片地址上，同時提供給企業(yè)用戶上網時的NAT轉換用，如果條件允許，可以申請多個運營商的線路，關鍵服務器及應用可以擁有兩條線路的公網IP，分別跨接在不同的運營商上進行相互備份。當前交換技術的迅速發(fā)展，也加快了虛擬子網技術(VLAN—VirtualLocalAreaNetwork)的應用速度，特別是在當前企業(yè)網上的應用更廣泛。通過將企業(yè)網絡劃分為虛擬子網（VLAN），可以強化網絡管理和網絡安全，控制不必要的數(shù)據(jù)廣播。數(shù)據(jù)廣播在網絡中起著非常重要的作用，隨著企業(yè)網內的計算機數(shù)量的增加，廣播包的數(shù)量也會急劇增加，當廣播包的數(shù)量占到總量的30%時，網絡的傳輸效率將會明顯下降。特別是當某網絡設備出現(xiàn)故障后，會不停地向網絡發(fā)送廣播，從而導致網絡風暴，使網絡通信陷于癱瘓。當企業(yè)網絡內計算機數(shù)超過200臺后，就必須采取措施將網絡分隔開來，將一個大的廣播域劃分成若干個小的廣播域。該方案IP編址及VLAN劃分如下：表5-1VLAN劃分表VLAN號VLAN名稱IP網段默認網關說明VLAN1-192．168．0．0/24192．168．0．254管理VLANVLAN10CWB192．168．1．0/24192．168．1．254財務部VLANVLAN20SCB192．168．2．0/24192．168．2．254市場部VLANVLAN30CHB192．168．3．0/24192．168．3．254策劃部VLANVLAN50KFZX192．168．5．0/24192．168．5．254客服中心VLANVLAN60CGB192．168．6．0/24192．168．6．254采購部VLANVLAN70RFB192．168．7．0/24192．168．7．254研發(fā)部VLANVLAN100SERVER192．168．100．0/24192．168．100．254服務器組VLAN2.3核心層設計及設備選型企業(yè)網是各種應用的統(tǒng)一通信平臺，平均無故障時間以及故障恢復時間要保持在一個可容忍的許可范圍之內。在這種前提下，園區(qū)主干設備應有一定的冗余度，這種冗余包括有設備及物理線路等方面，數(shù)據(jù)鏈路層、網絡層以及應用層的容錯能力。園區(qū)主干網以企業(yè)網絡中心的主機房為中心節(jié)點向外輻射，通過各部門所在的建筑樓節(jié)點構成園區(qū)主干網。企業(yè)園物理結構分為三層：核心層、匯聚層、接入層。園區(qū)主干網中心節(jié)點配置核心路由交換機，該交換機上配置第三層交換模塊和網絡監(jiān)控模塊，以實現(xiàn)網絡動態(tài)管理和虛擬局域網。企業(yè)網的各建筑物分布子模塊，可采用三層交換機與企業(yè)網園區(qū)中心的核心路由交換機連接，以實現(xiàn)主干通道信息傳輸?shù)呢撦d均衡。辦公司樓、研發(fā)樓、生產間、職工公寓等樓宇采用高性能匯聚層交換機，以保證建筑樓信息點對交換機端口密度的要求和網絡性能與可靠性的要求。園區(qū)主干網核心層交換機和匯聚層交換機采用1000Mbps連接，服務器采用100Mbps連接。園區(qū)主干交換機園區(qū)主干交換機是指連接服務器及樓與樓之間、層與層之間的數(shù)據(jù)交換設備。根據(jù)企業(yè)網工程的不同階段中網絡信息點增加及其間伴隨著的使用需求增長，對主干交換機基本設備的選型及其階段性的擴展需求進行總體的合理規(guī)劃。因此本次方案設計采用華為S5700交換機，它的最高性能可以達到102Mpps和136Gbit/s，在遠程辦公室環(huán)境中，這類交換機即可以作為單臺交換機發(fā)揮作用，也可以作為包含少量交換機的中小型網絡的園區(qū)主干交換機。在性能方面，具有很強的擴展性及多業(yè)務特性，可以滿足未來企業(yè)豐富的業(yè)務需求及提供投資保護。2.3.2出口路由器在此方案中，考慮該企業(yè)Internet出口路由器的配置，采用一臺華為AR3260路由器，因為華為AR3260系列是模塊化設備，提供了更多的槽和更高的處理能力，它的用途是支持大型分支機構中的復雜應用，或作為中心路由器為多個遠程站點提供連接，它的網絡模塊最高可支持OC-3的速度，且對大多數(shù)企業(yè)具有豐富的可提高擴展能力。2.3.3服務器群組服務器是網絡服務器用量最大的地方。服務器的選擇標準很大程度上取決于中心客戶的類型和應用種類。就大部分中小型企業(yè)應用而言，Web、ERP應用和數(shù)據(jù)庫應用仍然占整個數(shù)據(jù)中心的各類應用的主要部分。因此對服務器的網絡響應能力在很大程度上體現(xiàn)了服務器的硬件體系結構設計的合理性、CPU或CPU組（SMP）對操作系統(tǒng)的進程或線程的分配能力以及磁盤I/O的性能。以及可行性與穩(wěn)定性，同時散熱、功耗和易安裝性也是重點考察和評價的對象?；谝陨峡紤]，所選的服務器必須具有高可靠性，I/O吞吐能力強，數(shù)據(jù)處理快，可擴展性和可管理性良好的特點。2.4接入層設計及設備選型接入層選用華為S2700可堆疊交換機作為用戶的接入，這些交換機通常作為建筑物接入交換機而部署，能夠提供固定的端口密度，并且具有與高端交換機相類似的特性，但其成本更低，但它們卻支持非常多的高級交換特性，其中包括集成安全、NAC、高級Qos和彈性等；同時這些交換機具有固定的端口配置，具有24個或48個10/100BASE-T或10/100/1000BASE-T端口，以及雙目標特以太網上行鏈路。使用華為S2700作為本方案設計的接入交換機，它支持全線速的二層交換，同時具備如下特性：完備的安全智能控制策略：支持802.1x認證，還可以通過靈活的MAC、IP、VLAN、PORT任意組合綁定，有效的防止非法用戶訪問網絡。支持多種ACL訪問控制策略：能夠對用戶訪問網絡資源的權限進行設置，保證網絡的受控訪問。高可靠性：支持STP/RSTP生成樹協(xié)議。豐富的QOS策略：支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口，支持帶寬控制功能。2.5安全體系設計及設備選型企業(yè)網信息系統(tǒng)是企業(yè)網的數(shù)字神經中樞，合理的使用不僅能提高企業(yè)現(xiàn)代化信息化改革、提高工作效率、改善工作模式及流程，同時通過各企業(yè)之間的信息共享及溝通的方便及順暢，將會極大的提高整體行業(yè)的工作效率及工作業(yè)績。企業(yè)網總體上分為企業(yè)內網和企業(yè)外網。企業(yè)內網主要包括研發(fā)樓局域網、生產車間局域網、辦公自動化局域網等。企業(yè)外網主要指企業(yè)提供對外服務的服務器群、與電信的接入以及遠程移動辦公用戶的接入等，認真分析可以總結出企業(yè)網面臨著如下的安全威脅：各種操作系統(tǒng)以及應用系統(tǒng)自身的漏洞帶來的安全威脅；Internet網絡用戶對企業(yè)網存在非法訪問或惡意入侵的威脅；來自企業(yè)網內外的各種病毒的威脅，外部用戶可能通過郵件以及文件傳輸?shù)葘⒉《編肫髽I(yè)內網，內部職工可能由于使用盜版介質將病毒帶入企業(yè)內；內部用戶對Internet的非法訪問威脅，如瀏覽黃色、暴力、反動等網站，以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入企業(yè)內網；內外網惡意用戶可能利用利用一些工具對網絡及服務器發(fā)起DOS/DDOS攻擊，導致網絡及服務不可用；企業(yè)網內的職工即時通信工具（比如：QQ），目前針對該類工具的黑客程序隨處可見；可能會因為企業(yè)網內管理人員以及全體職工的安全意識不強、管理制度不健全，帶來企業(yè)網的威脅?；谏厦娴膯栴}，我們將從物理、系統(tǒng)、網絡、應用及管理五個層次分析和設計適合于企業(yè)網的安全建議方案。

2.6設計方案優(yōu)勢高帶寬、高性能相比于傳統(tǒng)組網設計方案，該企業(yè)網絡設計方案是基于標準的二、三層以太網交換技術，技術成熟度非常高。企業(yè)網絡中心放置路由交換機上行通過GE接至互聯(lián)網，GE可以是單?；蛘叨嗄?，到時可以按使用的情況進行擴展，使出口不會成為企業(yè)網瓶頸。在企業(yè)網絡中心通過下行使千兆鏈路連接接入層交換機，百兆交換到桌面，100M的帶寬可充分滿足用戶高速上網、內容下載及多媒體等多種寬帶業(yè)務。核心交換機擁有1000M出口聯(lián)接企業(yè)網，各層設備全部支持線速交換，給用戶提供了真正的高帶寬網絡，對未來高帶寬的寬帶業(yè)務提供了強大的支撐能力。網絡管理企業(yè)網在為員工提供便捷、高效的學習、工作環(huán)境的同時，也在寬帶管理、權限控制等方面存在許多問題：對帶寬資源的大量占用導致重要應用無法進行對于企業(yè)來說，它的帶寬資源都是有限的。由于沒有帶寬限制和優(yōu)先級設置，一些重要用戶和重要應用得不到必要的帶寬保證而影響了工作。訪問權限難以控制隨著使用互聯(lián)網資源、各部門之間不同員工間的保密資源可以隨意獲取，將導致企業(yè)秘密資料或是自主知識產權被競爭對手抄襲，引起經濟損失。異常網絡事件的審計和追查當異常網絡事件發(fā)生后，如何盡快的追根溯源，找出幕后“黑手”，避免事件的再次發(fā)生，成了網絡維護人員不得不面對的棘手問題。帶寬的限定和業(yè)務優(yōu)先級的設定系統(tǒng)能對每個客戶上下行的帶寬上限加以限定，防止個別客戶占用過多網絡資源。還能對不同的用戶數(shù)據(jù)設定業(yè)務優(yōu)先級以保證重要數(shù)據(jù)能得到更好的服務?？旖輰崿F(xiàn)全網管理全網拓撲發(fā)現(xiàn)功能可以對全網設備、網絡節(jié)點以及事件、性能、日志進行實時監(jiān)控，統(tǒng)一管理。強大的事件追查功能系統(tǒng)中豐富的日志信息和便捷的追查工具能使網絡管理員在面對異常事件時，能及時作出反應，迅速找出幕后“黑手”。完善的安全機制該企業(yè)各樓宇交換機通過內在的多種安全機制可有效防止和控制病毒傳播和網絡流量攻擊，控制非法用戶使用網絡，保證合法用戶合理化使用網絡，如端口安全、端口隔離、專家級ACL、時間ACL、端口ARP報文合法性檢查、基于數(shù)據(jù)流的帶寬限速等等，滿足企業(yè)網加強對訪問者進行控制、限制非授權用戶通信的需求；在匯聚、核心交換設備設置由硬件實現(xiàn)ACL，對病毒進行過濾。硬件實現(xiàn)端口與MAC地址和用戶IP地址的綁定，嚴格限定端口上用戶接入；通過將端口設為保護端口即可簡單方便地隔離用戶之間信息互通，不必占用VLAN資源；通過PrivateVLAN可以在交換機的同一VLAN中提供端口之間的通訊或安全隔離，確保數(shù)據(jù)流進入有效端口，而不會被發(fā)送到其它端口，即解決了因傳統(tǒng)802.1QVLAN造成全網VID資源不夠的問題，同時又無需利用安全規(guī)則資源即能達到隔離不同用戶以及不同組用戶之間通訊的功能，充分保護用戶隱私；提供極為有效的PortBlocking功能，避免端口受到其它端口發(fā)送的廣播包、多播包等報文的干擾，有效減輕端口負載負擔，提高端口帶寬，保護用戶PC更高效安全地運行；基于源IP地址控制的Telnet和Web設備訪問控制，增強了設備網管的安全性，避免黑客惡意攻擊和控制設備；提供加密傳輸?shù)腟ecureShell（SSH），保證管理設備信息的安全性，防止黑客攻擊和控制設備；病毒、蠕蟲等多元化發(fā)展控制網絡病毒。統(tǒng)一對接入層交換機做動態(tài)下發(fā)安全策略，輕松有效的控制網絡病毒，使網絡保持暢通。易維護華為網絡交換機都經過獨特設計具備防塵、防潮、防靜電等多種適于在樓道安裝和使用的特點。而且具有強大的運行維護能力，能有效降低運營商的運維成本。支持RS-232本地管理口及Telnet、WEB、SNMP代理，遠程監(jiān)控（RMON1~3，9組）可根據(jù)運營商的不同要求，使用不同的管理方案，支持SNMP協(xié)議的全網集中網管。提供了故障告警和日志功能，可通過機箱面板上指示燈直觀地了解設備的運行狀態(tài)。高可靠性華為網絡產品均使用國際上主流的先進ASIC芯片進行設計，并率先采用ISO9002生產標準進行生產，確保了設備的穩(wěn)定性。低成本、可擴展性強以太網交換技術歷經長期發(fā)展，得到眾多廠商的支持，以技術實現(xiàn)簡單而獲得極大的性能價格比。華為網絡公司的以太網交換機全部基于標準的以太網交換技術，使用專用芯片技術，具有極高的性價比，保證了整個網絡核心部分的穩(wěn)定、可靠和高性能。華為中心交換機采用模塊式設計，用戶只需簡單地添加端口模塊即可實現(xiàn)網絡的擴容，完整保護用戶投資。華為交換機支持彈性堆疊功能，可根據(jù)需要擴展堆疊從機；這樣，當網絡需擴容時，只需簡單添加堆疊從機，不必再添加設備管理IP；同時，網絡速度不會受到影響。

3企業(yè)網絡的整體方案部署以下是該企業(yè)應用以上方案設計之后，方案中所有的網絡、服務器等設備的具體參數(shù)配置。3.1交換模塊設計為了簡化交換網絡設計、提高交換網絡的可擴展，在園區(qū)網內部數(shù)據(jù)交換的部署是分層進行的。園區(qū)網數(shù)據(jù)交換設備可以劃分為三個層次：接入層、分布層、核心層。在本設計方案中，需要進行三層配置。以下所有配置均屬于真實在運營參數(shù)，并且使用SecureCRT6.1作為終端進行網絡設備的配置驗證。3.1.1接入層交換機服務的實現(xiàn)—配置接入層交換機接入層為所有的終端用戶提供一個接入點。這里的接入層交換機采用的是S2700-52P-EI交換機。交換機擁有48個10/100Mbps自適應快速以太網端口。我們以方案拓樸圖示中的接入層交換機LSW5為例進行介紹。如下圖3-1接入層所示：圖3-1接入層配置接入層交換機LSW5的基本參數(shù)設置交換機名稱設置交換機名稱，也就是出現(xiàn)在交換機CLI提示符中的名字。一般我們會以地理位置或行政劃分來為交換機命名。當我們需要Telnet登錄到若干臺交換機以維護一個大型網絡時，通過交換機名稱提示自己當前配置交換機的位置是很有必要的。使用SecureCRT登錄LSW5進入界面后，輸入以下命令為接入層交換機命名<Huawei>system-view//進入用戶模式[Huawei]sysnameLSW5S//修改交換機名稱[LSW5]//修改成功后的顯示效果設置登錄虛擬終端線時的口令對于一個已經運行著的交換網絡來說，交換機的帶內遠程管理為網絡管理人員提供了很多的方便，但是，處于安全考慮，在能夠遠程管理交換機之前網絡管理人員必須設置遠程登錄交換機的口令。[LSW5]user-interfacevty04//進入虛擬終端線路[LSW5-ui-vty0-4]setauthenticationpasswordciphermzxy//設置登錄密碼為mzxy[LSW5-ui-vty0-4]authentication-modepassword//設置認證模式為密碼認證設置終端線超時時間為了安全考慮，可以設置終端線超時時間。在設置障礙的時間內，如果沒有檢測到鍵盤輸入，交換機將斷開用戶和交換機之間的連接。[LSW5-ui-vty0-4]idle-timeout5//設置登陸交換機的控制終端線路的超時時間為5分0秒鐘。配置接入層交換機LSW5的管理IP、默認網關接入層交換機是OSI參考模型的第二層設備，即數(shù)據(jù)鏈路層的設備，因此，給接入層交換機的每個端口設置IP地址是沒有意義的，但是，為了使網絡管理人員可以從遠程登錄到接入層交換機上進行管理，必要給接入層交換機設置一個管理用的IP地址，這種情況下，實際上是將交換機看成和PC機一樣的主機，給交換機設置管理用的IP地址只能在VLAN1，即本征VLAN中進行。按照表2，管理VLAN所在的子網是：，這里將接入層交換機LSW5的管理IP地址設為：192.168.0.10/24，如下：[LSW5]interfacevlan1//設置管理IP為了使網絡管理人員可以在不同的子網管理此交換機，還應設置默認網關地址。配置接入層交換機LSW5的VLAN[LSW5]vlanbatch1020//在交換機上創(chuàng)建VLAN10、VLAN20配置接入層交換機LSW5的訪問端口接入層交換機LSW5為終端用戶提供接入服務，根據(jù)各部門的不同分布，接入層交換機LSW5為VLAN10及VLAN20提供接入服務。設置接入層交換機SWITCH1的端口1~20為VLAN10，端口21~46為VLAN20，如下：[LSW5]vlan10[LSW5-vlan10]portEthernet0/0/1to0/0/20//設置端口1~20為VLAN10的成員[LSW5]vlan20[LSW5-vlan20]portEthernet0/0/21to0/0/46//設置端口21~46為VLAN20的成員配置其他接入層交換機對接其他入層交換機的配置步驟、命令和對接入層交換機LSW5的配置類似按照LSW5的配置，在其他接入層交換機做相類似的配置，并將各自的端口劃入相應的VLAN即可。3.1.2核心層交換機服務的實現(xiàn)—配置核心層交換機在本設計方案中，核心層各設備主要是做數(shù)據(jù)的高速轉發(fā)工作，但同時也可以兼顧一些分布層的工作，以方便配置的實施。下面討論核心層交換機的配置，如下圖3-2核心層所示：圖3-2核心層對核心層交換機LSW1的基本參數(shù)的配置配置步驟與接入層交換機LSW5的基本參數(shù)的配置類似，其配置如下：<Huawei>system-view[Huawei]sysnameLSW1[LSW1]user-interfacevty04[LSW1-ui-vty0-4]authentication-modepassword[LSW1-ui-vty0-4]setauthenticationpasswordciphermzxy[LSW1-ui-vty0-4]idle-timeout5配置核心層交換機LSW1的管理IP、默認網關下面的命令為核心層交換機CoreSwitch1設置管理IP并激活管理VLAN，還設置了默認網關的地址，配置如下：[LSW1]interfacevlan1[LSW1-Vlanif在核心層交換機LSW1上定義VLAN在本設計方案中，除了默認的管理VLAN外，又定義了6個VLAN：[LSW1]vlan10[LSW1-vlan10]descriptionCWB[LSW1]vlan20[LSW1-vlan20]descriptionSCB[LSW1]vlan30[LSW1-vlan30]descriptionCHB[LSW1]vlan40[LSW1-vlan40]descriptionKFZX[LSW1]vlan50[LSW1-vlan50]descriptionCGB[LSW1]vlan60[LSW1-vlan60]descriptionSERVER[LSW1]vlan100[LSW1-vlan100]descriptionTo-LSW2配置核心層交換機LSW1的端口基本參數(shù)如樸拓樸圖所示，核心層交換機LSW1的端口G0/0/4為服務器群提供接入服務，而端口G0/0/1分別上連到路由器，其他接口則分配給接入層交換機使用。此外，為了實現(xiàn)冗余設計以及提供主干道的吞吐量，核心層交換機LSW1將千兆端口G0/0/2、G0/0/3捆綁在一起實現(xiàn)2000Mbps的千兆以太網信道，然后再連接到另一臺核心層交換機LSW2，下面是調協(xié)核心層交換機LSW2的千兆以太網信道的步驟：[LSW1]interfaceEth-Trunk1//創(chuàng)建組[LSW1-Eth-Trunk1]portlink-typeaccess//設置模式為TRUNK[LSW1-Eth-Trunk1]trunkportGigabitEthernet0/0/2to0/0/3//加入組1配置核心層交換機LSW1的三層交換功能核心層交換機CoreSwitch需要為網絡中的各個VLAN提供路由功能，需要為每個VLAN定義自已的默認網關地址：[LSW1]interfaceVlanif10[LSW1-Vlanif10].0[LSW1]interfaceVlanif20[LSW1-Vlanif20][LSW1]interfaceVlanif30[LSW1-Vlanif30][LSW1]interfaceVlanif40[LSW1-Vlanif40][LSW1]interfaceVlanif50[LSW1-Vlanif50][LSW1]interfaceVlanif100[LSW1-Vlanif100]252此外，還需要定義通往Internet的路由，這里使用了一條缺省路由命令，使用的下一跳地址是Internet接入路由器與核心交換機相連接的快速以太網接口G0/0/1的IP地址。[LSW1]vlan200[LSW1-vlan200]descriptionTo-AR1[LSW1-vlan200]portGigabitEthernet0/0/1[LSW1]intvlan200//在交換機LSW1啟用OSPF路由功能[LSW1]ospf1[LSW1-ospf-1]area00.255配置核心層交換機LSW2對核心層交換機LSW2的配置步驟、命令和對核心層交換機LSW1的配置類似。3.2廣域網接入模塊設計在本設計方案中，廣域網接入模塊的功能是由廣域網接入路由器AR1來完成的，采用的是華為的3260路由器，它通過自己的串行接口Serial4/0/0接入Internet，它的作用主要是在Internet和企業(yè)網間路由數(shù)據(jù)包，除了完成主要的路由任務外，利用訪問控制列表（AccessControlList，ACL），廣域網接入路由器AR1還可以用來完成以自身為中心的流量控制和過濾功能并實現(xiàn)一定的安全功能,所下圖3-3廣域網接入所示。圖3-3廣域網接入配置路由器AR1的基本參數(shù)路由器的基本參數(shù)配置和前面交換機的配置類似，配置如下：<Huawei>system-view[Huawei]sysnameAR1[AR1]user-interfacevty04[AR1-ui-vty0-4]setauthenticationpasswordciphermzxy[AR1-ui-vty0-4]authentication-modepassword[AR1-ui-vty0-4]idle-timeout5配置路由器AR1的各接口參數(shù)對于路由器IRouter的各接口參數(shù)的配置主要是對接口G0/0/0、G0/0/1以及接口S4/0/0的IP地址、子網掩碼的配置，如下：[AR1]interfaceg0/0/0[AR1-GigabitEthernet0/0/0][AR1]interfaceg0/0/1[AR1-GigabitEthernet0/0/1][AR1]interfaceSerial4/0/0[AR1-Serial4/0/0]//配置路由器IRouter的各接口的IP地址、子網掩碼配置路由器AR1的路由功能在接入路由器AR1上需要定義兩個方向上的路由：到企業(yè)網內部的靜態(tài)路由以及到Internet上的缺省路由，到Internet上的路由需要定義一條缺省路由，下一跳指定從本路由器的接口S4/0/0送出，如下：//定義到Internet的缺省路由由于企業(yè)內部配置了負載均衡，所以到企業(yè)網內部的路由有兩條路徑，一條經由LSW1進入企業(yè)網內部，另一條是經由LSW2進入企業(yè)網內部，第一條路徑的路由條目可以經過路由匯總后形成兩條路由條目。如下：[AR1]ospf1[AR1-ospf-1]area0[AR1-ospf-1-area-03//定義經過LSW1及LSW2到企業(yè)網內部及外部的路由配置接入路由器AR1上的NAT由于目前IP地址資源非常稀缺，不可能給企業(yè)網內部的所有工作站都分配一個公有IP（Internet可路由的）地址，為了解決所有工作站訪問Internet的需要，必須使用NAT（網絡地址轉換）技術。根據(jù)前文對企業(yè)網的需求分析，企業(yè)當?shù)豂SP申請了9個IP地址，其中一個IP地址：被分配給了Internet接入路由器串行接口，另外8個IP地址：用作NAT。這里使用的是接口NAT地址轉換，下面配置NAT地址轉換：[AR1]acl2000//配置基本ACL，匹配NAT流量[AR1]nataddress-創(chuàng)建地址池1[AR1]intSerial4/0/0//在接口下啟用NAT[AR1-Serial4/0/0]natoutbound2000address-group1配置接入路由器AR1上的ACL雖然此方案設計中，防火墻是網絡安全保障的第一道關卡，是網絡防御的前沿陣地，但路由器的訪問控制列表也是網絡安全的重要保障之一，訪問控制列表提供了一種機制，它可以控制和過濾通過路由器的不同接口去往不同方向的信息流，這種機制允許用戶全長訪問表來管理信息流，以制定公司內部網絡的相關策略，這些策略可以描述安全功能，并且反映流量的優(yōu)先級別。路由器上的訪問控制列表ACL是保護內網安全的有效手段，一個設計良好的訪問控制列表不僅可以超到控制網絡流量、流向的作用，還可以在不增加網絡系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產品的功能