廣東港隆文具有限公司局域網(wǎng)設(shè)計(jì)四川托普信息技術(shù)職業(yè)學(xué)院畢 業(yè) 設(shè) 計(jì) 論 文題目: 廣東港隆文具有限公司局域網(wǎng)設(shè)計(jì)學(xué)生姓名: 周海鵬 學(xué)生學(xué)號(hào): 專業(yè)方向: 計(jì)算機(jī)應(yīng)用技術(shù) 指導(dǎo)教師: 陳 齊 指導(dǎo)單位: 永州職業(yè)技術(shù)學(xué)院 20015年 4 月 15 日摘 要隨著網(wǎng)絡(luò)技術(shù)新系統(tǒng)、新領(lǐng)域的長(zhǎng)足發(fā)展，傳統(tǒng)企業(yè)也正利用其行業(yè)的特點(diǎn)，融合網(wǎng)絡(luò)技術(shù)的優(yōu)勢(shì)，發(fā)展自身。在信息化生產(chǎn)逐步普及的今天，組建企業(yè)內(nèi)部網(wǎng)絡(luò)已經(jīng)是企業(yè)必不可少的一部分，建立高速、穩(wěn)定、安全、智能的辦公網(wǎng)，是組建中小型企業(yè)局域網(wǎng)的核心。中小型企業(yè)局域網(wǎng)建設(shè),必須采取“結(jié)構(gòu)化、系統(tǒng)化”思想做指導(dǎo)。一個(gè)良好的、規(guī)范的網(wǎng)絡(luò)開發(fā)過程不僅不會(huì)成為干擾實(shí)際健忘工作的負(fù)擔(dān)，相反會(huì)使設(shè)計(jì)的工作更清晰、更加高效和更令人滿意，同時(shí)也可以大大減少網(wǎng)絡(luò)開發(fā)成本和提高網(wǎng)絡(luò)工程質(zhì)量。本畢業(yè)設(shè)計(jì)作品定位于公司局域網(wǎng)設(shè)計(jì)，因此配置了比較完備的硬件資源。在內(nèi)容選擇上，一方面以對(duì)中小型企業(yè)的網(wǎng)絡(luò)拓?fù)浜退柙O(shè)備進(jìn)行了設(shè)計(jì)；另一方面用很直觀的網(wǎng)絡(luò)拓?fù)鋱D概述了本次畢業(yè)設(shè)計(jì)相關(guān)的網(wǎng)絡(luò)安全、網(wǎng)絡(luò)所需設(shè)備以及所實(shí)現(xiàn)的網(wǎng)絡(luò)功能和應(yīng)用等。畢業(yè)設(shè)計(jì)論文包括課題概況：廣東港隆文具有限公司對(duì)網(wǎng)絡(luò)性能和網(wǎng)絡(luò)安全要求嚴(yán)格。使用業(yè)界流行的核心層匯聚層接入層三層結(jié)構(gòu)設(shè)計(jì)的公司局域網(wǎng)，結(jié)合廣為使用的通過劃分虛擬局域網(wǎng)（VLAN）隔離不同部門，訪問控制列表（ACL）控制端口進(jìn)出數(shù)據(jù)包，網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）節(jié)約公有地址、動(dòng)態(tài)分配IP（DHCP）、熱備份路由(HSRP)等技術(shù)，增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性和安全性。統(tǒng)需求分析：本課題對(duì)結(jié)合港隆文具局域網(wǎng)網(wǎng)絡(luò)特點(diǎn)進(jìn)行了詳細(xì)的需求描述和詳細(xì)的分析。系統(tǒng)設(shè)計(jì)：系統(tǒng)設(shè)計(jì)包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)選擇、網(wǎng)絡(luò)設(shè)備選型、VLAN、DHCP和子網(wǎng)的劃分，詳細(xì)描述了網(wǎng)絡(luò)組成結(jié)構(gòu)。港隆文具公司局域網(wǎng)網(wǎng)絡(luò)安全：從網(wǎng)絡(luò)流量控制、網(wǎng)絡(luò)設(shè)備安全、無線網(wǎng)絡(luò)安全詳細(xì)描述了安全實(shí)施。關(guān)鍵詞：局域網(wǎng) 網(wǎng)絡(luò)拓?fù)?VLAN 網(wǎng)絡(luò)安全 系統(tǒng)實(shí)施、ACL、NAT目 錄第一章 概述11.1課題背景11.2課題概況21.3 課題目的3第二章 局域網(wǎng)需求分析和設(shè)計(jì)原則32.1需求與分析32.1.1具體需求42.1.2需求分析42.2 設(shè)計(jì)目標(biāo)42.3 設(shè)計(jì)原則5第三章 局域網(wǎng)系統(tǒng)設(shè)計(jì)方案53.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)63.1.1拓?fù)溥x擇63.1.2拓?fù)浣Y(jié)構(gòu)圖63.1.3拓?fù)浣Y(jié)構(gòu)說明73.2三層詳細(xì)設(shè)計(jì)及設(shè)備選型83.2.1核心層設(shè)計(jì)83.2.2匯聚層設(shè)計(jì)113.2.3接入層設(shè)計(jì)133.3 虛擬局域網(wǎng)VLAN與IP子網(wǎng)設(shè)計(jì)163.3.1虛擬VLAN簡(jiǎn)介163.3.2 VLAN規(guī)劃173.3.3 IP子網(wǎng)設(shè)計(jì)183.3.4訪問控制列表（ACL）設(shè)計(jì)方案213.4路由協(xié)議的選擇22第四章 網(wǎng)絡(luò)安全管理234.1內(nèi)網(wǎng)安全234.1.1VLAN設(shè)置需求234.1.2防病毒系統(tǒng)需求234.1.3網(wǎng)絡(luò)管理需求234.2 外網(wǎng)安全244.2.1物理安全需求244.2.2數(shù)據(jù)鏈路層需求244.2.3入侵檢測(cè)系統(tǒng)需求244.2.4防病毒系統(tǒng)需求24第五章. 安全管理體制245.1網(wǎng)絡(luò)應(yīng)用安全255.1.1網(wǎng)絡(luò)嗅探255.1.2 ARP欺騙255.1.3 IP地址欺騙255.1.4 DOS攻擊26總結(jié)28參考文獻(xiàn)29致謝30第一章 概述1.1課題背景目前，我國(guó)中小企業(yè)數(shù)量已超過1 000萬家。在國(guó)民經(jīng)濟(jì)中，60%的總產(chǎn)值來自于中小企業(yè)，并為社會(huì)提供了70%以上的就業(yè)機(jī)會(huì)。然而，在中國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展中一直占據(jù)著至關(guān)重要的戰(zhàn)略地位的中小企業(yè)，其信息化程度卻十分落后。今后如何應(yīng)對(duì)瞬息萬變、競(jìng)爭(zhēng)激烈的國(guó)內(nèi)外市場(chǎng)環(huán)境以及如何利用網(wǎng)絡(luò)技術(shù)迅速提升企業(yè)核心競(jìng)爭(zhēng)力為企業(yè)成敗的關(guān)鍵。中小型企業(yè)的信息化建設(shè)工程通常有規(guī)模小、結(jié)構(gòu)簡(jiǎn)單的特點(diǎn)，綜合資金投入、專業(yè)人才以及未來發(fā)展等因素，網(wǎng)絡(luò)實(shí)用性、安全性與拓展性（升級(jí)改造能力）是中小型企業(yè)實(shí)現(xiàn)信息化建設(shè)的主要要求，局域網(wǎng)內(nèi)進(jìn)行信息交流包括發(fā)布通知, 安排日程表、工作計(jì)劃,提交工作總結(jié),進(jìn)行信息匯總等也是企業(yè)的要求。因此，成本低廉、炒作簡(jiǎn)易、便于維護(hù)并能滿足業(yè)務(wù)運(yùn)用需要的網(wǎng)絡(luò)辦公環(huán)境是這一領(lǐng)域的真正需求。針對(duì)絕多數(shù)中小型企業(yè)集中辦公這一現(xiàn)實(shí)特點(diǎn)，組建一個(gè)適合中小企業(yè)需求的高性價(jià)比實(shí)用的網(wǎng)絡(luò)是十分有實(shí)際意義的。港隆文具有限公司創(chuàng)建于一九八九年，是一家專業(yè)從事辦公文具研發(fā)、生產(chǎn)、加工、銷售的規(guī)?；髽I(yè)。公司生產(chǎn)設(shè)施齊全，以美國(guó)、德國(guó)生產(chǎn)線及進(jìn)口原料為主產(chǎn)品種類齊全涵蓋面廣，主要產(chǎn)品有PP制品，注塑產(chǎn)品、PVC制品，紙制品等多個(gè)系列三百多個(gè)品種。公司投產(chǎn)二十多年來，本著務(wù)實(shí)創(chuàng)新的團(tuán)體創(chuàng)業(yè)精神，以品質(zhì)、誠(chéng)信享譽(yù)業(yè)界，以及眾多客戶不離不棄的鼎力支持公司規(guī)模日益壯大。制板、吹膜、注塑、紙板制作等每一個(gè)生產(chǎn)環(huán)節(jié)以及新產(chǎn)品開發(fā)，我們一直奉行質(zhì)量及創(chuàng)新是企業(yè)可持續(xù)性發(fā)展的根本 先后從美國(guó)、德國(guó)引進(jìn)數(shù)條先進(jìn)的文具生產(chǎn)設(shè)備、生產(chǎn)線。 每件產(chǎn)品從最初的設(shè)計(jì)到后期的批量生產(chǎn)都傾注了公司技術(shù)人員的智慧和生產(chǎn)人員的心血。多年來我們質(zhì)量上嚴(yán)格要求自己 組建了一支二十多人的品檢隊(duì)伍，把好產(chǎn)品質(zhì)量關(guān)。使用環(huán)保材料保持自然本色產(chǎn)品設(shè)計(jì)新穎時(shí)尚，款式高雅。使得我們的銷售服務(wù)網(wǎng)絡(luò)遍布全國(guó)各大城市及歐洲、美國(guó)、日本等國(guó)際市場(chǎng)，目前，公司在國(guó)內(nèi)擁有三家生產(chǎn)基地、多家分公司和辦事處，銷售機(jī)構(gòu)遍布全國(guó)。并與“麥德龍”、“沃爾瑪”等超市建立長(zhǎng)期合作伙伴關(guān)系。出口、銷售量逐年增加?！耙讈砝k公文具，文件管理出效益”經(jīng)營(yíng)理念，公司一貫奉行“質(zhì)量為品牌”的宗旨在此基礎(chǔ)上我們不斷升華品牌，不斷引進(jìn)國(guó)際先進(jìn)生產(chǎn)設(shè)備，依托完整的硬件配套和先進(jìn)的管理體系，為打造 “全球最專業(yè)的辦公文具文具制造商”奠定了扎實(shí)基礎(chǔ)！港隆文具最原始的網(wǎng)絡(luò)需求來自于對(duì)LAN 上共享資源、業(yè)務(wù)的開展需要，最小規(guī)模的局域網(wǎng)可能就要算通過1 臺(tái)共享式集線器來連接打印機(jī)、文件服務(wù)器的組建模式了，但是，在信息科技日益發(fā)展的今天，基于共享式技術(shù)的網(wǎng)絡(luò)已經(jīng)不能符合當(dāng)前業(yè)務(wù)的發(fā)展的需求，更高速、更可靠、更安全以及更方便的網(wǎng)絡(luò)和業(yè)務(wù)管理已經(jīng)成為新時(shí)期企港隆文具發(fā)展的重點(diǎn)。如何最大程度的港隆文具有限公司的這些需求，為此設(shè)計(jì)次方案。1.2課題概況港隆文具有限公司以前網(wǎng)絡(luò)設(shè)備落后，經(jīng)常掉網(wǎng)、斷網(wǎng)。網(wǎng)絡(luò)走線混亂。完成對(duì)港隆文具的新網(wǎng)絡(luò)的規(guī)劃，重新設(shè)計(jì)實(shí)施。以前的網(wǎng)絡(luò)不能適應(yīng)當(dāng)前的公司發(fā)展，需要更完善、快速、安全、穩(wěn)定的網(wǎng)絡(luò)提供。滿足公司客戶和內(nèi)部之間的相互通信。該公司有四個(gè)部門。銷售部、生產(chǎn)部、人力資源部、財(cái)務(wù)部。一共有兩棟大樓。一棟是生產(chǎn)車間。一棟是公司管理區(qū)。銷售部20人、生產(chǎn)部負(fù)責(zé)人15、財(cái)務(wù)部10人、人資部20人。港隆文具新設(shè)計(jì)搭建的網(wǎng)絡(luò)將根據(jù)當(dāng)前與今后一段時(shí)間的發(fā)展需求，規(guī)劃一個(gè)全新的公司局域網(wǎng)系統(tǒng)，該公司局域網(wǎng)系統(tǒng)必須具備中小型企業(yè)發(fā)展的快特點(diǎn)，滿足生產(chǎn)部、財(cái)務(wù)部、銷售部和人力資源部對(duì)公司的管理和公司客戶之間信息化需求，同時(shí)新的局域網(wǎng)系統(tǒng)必須滿足將來擴(kuò)展的需要進(jìn)行整體計(jì)劃，在滿足當(dāng)前需要的同時(shí)，還必須具備一定的前瞻性。在實(shí)際的建設(shè)過程當(dāng)中，應(yīng)當(dāng)充分考慮到港隆文具有限公司內(nèi)部網(wǎng)業(yè)務(wù)較少，銷售部占用網(wǎng)絡(luò)帶寬比較大以客戶訪問該公司等。對(duì)其他部門實(shí)行網(wǎng)絡(luò)流量控制和服務(wù)。滿足客戶和銷售部之間的通信。1.3 課題目的滿足港隆文具有限公司各部門之間安全穩(wěn)定的通信。設(shè)計(jì)搭建新的網(wǎng)絡(luò)滿足公司發(fā)展需求。對(duì)銷售部流量比較大要求大，分配更多的流量。該公司網(wǎng)絡(luò)技術(shù)人員較少，因而對(duì)網(wǎng)絡(luò)的依賴性很高，要求網(wǎng)絡(luò)盡可能簡(jiǎn)單、可靠、易用，降低網(wǎng)絡(luò)的使用和維護(hù)成本為該公司電子商務(wù)網(wǎng)絡(luò)系統(tǒng)提供一個(gè)統(tǒng)一、可靠、安全的專用信息通信平臺(tái)，支持話音、數(shù)據(jù)和圖像的交換與傳輸，實(shí)現(xiàn)計(jì)算機(jī)數(shù)據(jù)、話音、電視會(huì)議、圖片傳輸?shù)榷喾N信息通信業(yè)務(wù)，并具有完備的網(wǎng)絡(luò)管理系統(tǒng)。第二章 局域網(wǎng)需求分析和設(shè)計(jì)原則2.1需求與分析港隆文具有限公司是一家比較有潛力的公司，近幾年發(fā)展很快。該公司對(duì)網(wǎng)絡(luò)總體需求包括以下幾點(diǎn)：適應(yīng)桌面計(jì)算機(jī)處理、I/O能力大幅度提高的現(xiàn)狀，發(fā)揮桌面機(jī)的網(wǎng)絡(luò)性能，提高桌面機(jī)的訪問帶寬；適應(yīng)連網(wǎng)規(guī)模大、總流量大的情況，合理分布流量，實(shí)現(xiàn)流量隔離和控制；為生產(chǎn)部、銷售部、人力資源部、財(cái)務(wù)部，合理進(jìn)行網(wǎng)絡(luò)劃分，實(shí)現(xiàn)有效的安全訪問控制和運(yùn)行管理；為客戶/服務(wù)器的應(yīng)用環(huán)境提供支撐；增加網(wǎng)絡(luò)系統(tǒng)的運(yùn)行可靠性，降低故障隱患，提高系統(tǒng)的可管理性。本方案針對(duì)港隆公司網(wǎng)絡(luò)系統(tǒng)應(yīng)用場(chǎng)合對(duì)安全提出了很高的要求，因此網(wǎng)絡(luò)設(shè)計(jì)充分考慮網(wǎng)絡(luò)上敏感數(shù)據(jù)傳輸?shù)陌踩?，一方面需要充分利用網(wǎng)絡(luò)設(shè)備提供的安全策略（VLAN劃分等），另一方面為了保障內(nèi)部數(shù)據(jù)傳輸?shù)陌踩?，采用各種安全技術(shù)（防火墻、入侵檢測(cè)、防病毒體系等），并且盡量不影響到整個(gè)網(wǎng)絡(luò)的運(yùn)行效率。為了更好的保證網(wǎng)絡(luò)的正常運(yùn)行，設(shè)計(jì)的網(wǎng)絡(luò)系統(tǒng)還考慮到網(wǎng)絡(luò)管理，實(shí)現(xiàn)網(wǎng)絡(luò)的統(tǒng)一管理。一般中小型企業(yè)網(wǎng)的主要需求有：1、管理的需求：包括對(duì)用戶和設(shè)備的管理，可操作、易管理、具備靈活的計(jì)費(fèi)策略、擴(kuò)展能力強(qiáng)。2、區(qū)分內(nèi)、外網(wǎng)需求：限制資源的訪問。3、安全需求：非法的DHCP Server、病毒、攻擊、上網(wǎng)日志等。4、NAT需求：公網(wǎng)地址不夠，5、多業(yè)務(wù)需求：強(qiáng)大的組播支持能力、多業(yè)務(wù)融合（語言、數(shù)據(jù)、）能力。6、可靠性需求：設(shè)備具備高性能、高可靠性、高穩(wěn)定性、高安全性。7、投資需求：高性價(jià)比、平滑升級(jí)、投資保護(hù)。8、Qos需求：具備完善的QOS能力。2.1.1具體需求港隆公司銷售部、生產(chǎn)部等部門不能相互進(jìn)行訪問，但對(duì)公司文件服務(wù)區(qū)可以訪問。采用交換，必要時(shí)實(shí)現(xiàn)路由隔離。根據(jù)業(yè)務(wù)用戶分布和數(shù)據(jù)的流向，合理的進(jìn)行網(wǎng)段劃分。允許采用虛擬網(wǎng)技術(shù)（VLAN）。實(shí)現(xiàn)各計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的互聯(lián)，形成公共信息的交換環(huán)境，為企業(yè)用戶提供網(wǎng)絡(luò)服務(wù)平臺(tái)。 實(shí)現(xiàn)信息資源和軟硬件資源共享，提供豐富的網(wǎng)絡(luò)信息服務(wù)，以推動(dòng)辦公自動(dòng)化。根據(jù)港隆文具有限公司兩棟樓宇之間不同，采用光線接入。2.1.2需求分析1、對(duì)公司提供安全快速的網(wǎng)絡(luò)。2、防止不明計(jì)算機(jī)接入，保證接入的安全性。3、核心到匯集全部采用單模光纖并做相應(yīng)的備份，提供高速可靠的傳輸。4、保障公司客戶正常訪問公司和銷售部與外網(wǎng)通信，防止不必要流量產(chǎn)生。 5、為以后員工提供寬帶服務(wù)。2.2 設(shè)計(jì)目標(biāo)針對(duì)本次港隆文具有限公司局域網(wǎng)建設(shè)課題，按照以下目標(biāo)來實(shí)施網(wǎng)絡(luò)建設(shè)：1、建設(shè)成為信息一體化、管理集中化、業(yè)務(wù)多樣化的公司局域安全網(wǎng)絡(luò)；2、新網(wǎng)絡(luò)結(jié)構(gòu)清晰，網(wǎng)絡(luò)層次合理數(shù)據(jù)網(wǎng)絡(luò)需要采用分布式布線： 3、網(wǎng)絡(luò)帶寬大幅提升滿足港隆文具有限公司的業(yè)務(wù)發(fā)展需求和冗余連接：4、多樣性訪問權(quán)限控制與管理；針對(duì)不同部門之間采取不同認(rèn)證：2.3 設(shè)計(jì)原則1、可管理性具有分級(jí)、分權(quán)管理能力的網(wǎng)管系統(tǒng)，實(shí)現(xiàn)統(tǒng)一的網(wǎng)絡(luò)業(yè)務(wù)調(diào)度和管理，降低網(wǎng)絡(luò)運(yùn)營(yíng)成本。同時(shí)由于高校網(wǎng)絡(luò)的使用者數(shù)量巨大，網(wǎng)上開展的業(yè)務(wù)眾多，因此需要能夠提供用戶的高效管理，以確保公司的利益不受損失。2、可增值性公司局域網(wǎng)絡(luò)的建設(shè)、使用和維護(hù)需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。所以在建設(shè)時(shí)要充分考慮業(yè)務(wù)的擴(kuò)展能力，能針對(duì)不同的用戶需求提供豐富的寬帶增值業(yè)務(wù)，使網(wǎng)絡(luò)具有自我造血機(jī)制，實(shí)現(xiàn)以網(wǎng)養(yǎng)網(wǎng)。3、可擴(kuò)充性考慮到公司的業(yè)務(wù)種類發(fā)展的不確定性，局域網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴(kuò)充的彈性網(wǎng)絡(luò)平臺(tái)，能夠隨著需求變化，充分留有擴(kuò)充余地。4、開放性技術(shù)選擇必須符合相關(guān)國(guó)際標(biāo)準(zhǔn)及國(guó)內(nèi)標(biāo)準(zhǔn)，避免個(gè)別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開放性和互連互通，滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需要；開放的接口，支持良好的維護(hù)、測(cè)量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實(shí)時(shí)監(jiān)控的遙測(cè)、遙控的信息處理功能，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。 5、安全可靠性設(shè)計(jì)應(yīng)充分考慮整個(gè)網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點(diǎn)的備份和線路保護(hù)，提供網(wǎng)絡(luò)安全防范措施。第三章 局域網(wǎng)系統(tǒng)設(shè)計(jì)方案根據(jù)港隆文具發(fā)展需求，并結(jié)合當(dāng)前企業(yè)局域網(wǎng)狀況和未來發(fā)展趨勢(shì)，整個(gè)網(wǎng)絡(luò)方案設(shè)計(jì)突出層次化、可管理、易維護(hù)、高可靠性的原則，確保網(wǎng)絡(luò)在具有高性能的同時(shí)具有良好的前瞻性和持續(xù)發(fā)展性。3.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)3.1.1拓?fù)溥x擇采用模塊化的設(shè)計(jì)思想，按照功能劃分為以下區(qū)塊：交換區(qū)塊和核心區(qū)塊。對(duì)于由交換區(qū)塊和核心區(qū)塊構(gòu)成的局域網(wǎng)再按照目前流行的層次化的設(shè)計(jì)思想，劃分為接入層、匯聚層和核心層。1、交換區(qū)塊的主要功能是提供用戶的接入點(diǎn)，并防止廣播數(shù)據(jù)流和網(wǎng)絡(luò)問題到達(dá)核心區(qū)塊或者其他區(qū)塊，交換區(qū)塊由接入層交換機(jī)和匯聚層交換機(jī)構(gòu)成：(1)接入層：接入層設(shè)備作為最終用戶的網(wǎng)絡(luò)接入點(diǎn)，使用100M雙絞線連接各層桌面終端，為每個(gè)用戶提供專用的帶寬，并可基于端口或MAC地址的VLAN成員資格和流量進(jìn)行過濾，接入層主要的設(shè)計(jì)原則是能夠通過低成本、高端口密度的設(shè)備提供這些功能。(2)匯聚層：接入層交換機(jī)使用100M雙絞線匯聚到一臺(tái)或者多臺(tái)匯聚層設(shè)備，匯聚層設(shè)備在接入層交換機(jī)之間提供第二層連接，作為接入層交換機(jī)的集中連接點(diǎn)及接入層和核心層之間的分界點(diǎn)，匯聚層在提供接入層接入的同時(shí)，還能夠做到廣播域的隔離、不同網(wǎng)段之間的路由、介質(zhì)轉(zhuǎn)換、安全控制。匯聚層需要提供第三層功能，即支持路由選擇和網(wǎng)絡(luò)層服務(wù)，以保護(hù)交換區(qū)塊不受網(wǎng)絡(luò)其他部分失效的影響，并防止本交換區(qū)塊故障對(duì)網(wǎng)絡(luò)其他部分的影響，如果交換區(qū)塊發(fā)生了廣播風(fēng)暴，分布層設(shè)備可以防止該廣播風(fēng)暴擴(kuò)散到核心和網(wǎng)絡(luò)的其他部分。2、核心區(qū)塊是公司網(wǎng)絡(luò)的主干，主要功能是在交換區(qū)塊之間用最小的時(shí)延傳輸數(shù)據(jù)，盡可能快的將交換數(shù)據(jù)提供到其他區(qū)塊（比如交換區(qū)塊）。核心區(qū)塊由核心層構(gòu)成，包含一個(gè)或一組用來連接多個(gè)交換區(qū)塊的交換機(jī)。核心層：核心層交換機(jī)負(fù)責(zé)所有交換區(qū)塊設(shè)備和廣域網(wǎng)設(shè)備的接入，因此需要高速的數(shù)據(jù)轉(zhuǎn)發(fā)能力。核心層設(shè)備需要支持port-channel鏈路捆綁技術(shù)，來保證數(shù)據(jù)的轉(zhuǎn)發(fā)能力，防止出現(xiàn)線路瓶頸。作為企業(yè)網(wǎng)絡(luò)的心臟，核心層也是路由協(xié)議最優(yōu)選路和運(yùn)行穩(wěn)定的保證，需要合理的配置路由協(xié)議，并添加冗余處理器或者應(yīng)用冗余協(xié)議來保障網(wǎng)絡(luò)核心的穩(wěn)定，使企業(yè)數(shù)據(jù)流正常運(yùn)作。3.1.2拓?fù)浣Y(jié)構(gòu)圖總體設(shè)計(jì)以高性能、高可靠性、高安全性、良好的可擴(kuò)展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)及可靠組播為原則，以及考慮到技術(shù)的先進(jìn)性、成熟性，并采用模塊化的設(shè)計(jì)方法。新網(wǎng)絡(luò)拓?fù)鋱D如圖3-1所示。圖3-1 港隆文具公司網(wǎng)絡(luò)拓?fù)?.1.3拓?fù)浣Y(jié)構(gòu)說明 1、從核心層到匯聚層全部使用單模光纖。 2、采用使用四條100M雙絞線連接到匯聚層。 3、所有用戶接入采用有線結(jié)合。 4、采用層次結(jié)構(gòu)使網(wǎng)絡(luò)易于管理。 5、采用高性能的單核心交換。 6、做熱路由備份3.2三層詳細(xì)設(shè)計(jì)及設(shè)備選型 3.2.1核心層設(shè)計(jì)核心交換機(jī)是整個(gè)網(wǎng)絡(luò)的計(jì)算和內(nèi)部數(shù)據(jù)交換處理中心，在整個(gè)局域網(wǎng)內(nèi)是最為關(guān)鍵和重要的設(shè)備。核心交換機(jī)推薦采用華為S5700交換機(jī)二臺(tái)。如圖3-2所示圖3-2 華為 S5700交換機(jī)特點(diǎn)：免維護(hù)易部署S5700支持自動(dòng)配置、即插即用、USB開局、自動(dòng)批量遠(yuǎn)程升級(jí)等功能，便于部署升級(jí)和業(yè)務(wù)發(fā)放，簡(jiǎn)化后續(xù)的管理和維護(hù)性能。從而大大降低了維護(hù)成本。S5700支持SNMP V1/V2/V3、CLI命令行、Web網(wǎng)管、TELNET、HGMP集群管理等多樣化的管理和維護(hù)方式，設(shè)備管理更加靈活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主機(jī)、基于端口的流量統(tǒng)計(jì)，支持NQA網(wǎng)絡(luò)質(zhì)量分析，有利于進(jìn)一步作好網(wǎng)絡(luò)規(guī)劃和改造。強(qiáng)大的多業(yè)務(wù)支持能力S5700支持IGMP v1/v2/v3 Snooping/Filter/Fast Leave/Proxy等協(xié)議。S5700支持線速的跨VLAN組播復(fù)制功能，支持捆綁端口的組播負(fù)載分擔(dān)，支持可控組播，可以充分滿足IPTV和其他組播業(yè)務(wù)的需求。S5700支持MCE功能，實(shí)現(xiàn)了不同VPN用戶在同一臺(tái)設(shè)備的隔離，有效解決用戶數(shù)據(jù)安全問題，同時(shí)降低用戶投資成本。完備的高可靠保護(hù)機(jī)制S5700不僅支持傳統(tǒng)的STP/RSTP/MSTP生成樹協(xié)議，還支持SmartLink和RRPP等增強(qiáng)型以太網(wǎng)技術(shù)，可以實(shí)現(xiàn)毫秒級(jí)鏈路保護(hù)倒換，保證高可靠性的網(wǎng)絡(luò)質(zhì)量。此外，針對(duì)Smartlink和 RRPP均提供多實(shí)例功能，可實(shí)現(xiàn)鏈路負(fù)載分擔(dān)，進(jìn)一步提高了鏈路帶寬利用率。產(chǎn)品規(guī)格及參數(shù)：）華為Quidway S5700大容量交換機(jī)產(chǎn)品物理參數(shù):主要參數(shù)產(chǎn)品類型千兆以太網(wǎng)交換機(jī)應(yīng)用層級(jí)三層傳輸速率10/100/1000Mbps交換方式存儲(chǔ)-轉(zhuǎn)發(fā)背板帶寬256Gbps包轉(zhuǎn)發(fā)率96MppsMAC地址表32K端口參數(shù)端口結(jié)構(gòu)非模塊化端口數(shù)量24個(gè)端口描述24個(gè)10/100/1000Base-T端口擴(kuò)展模塊2個(gè)擴(kuò)展插槽傳輸模式全雙工/半雙工自適應(yīng)功能特性網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE 802.3，IEEE 802.3u，IEEE 802.3ab，IEEE 802.3z，IEEE 802.3x，IEEE 802.1Q，IEEE 802.1d，IEEE 802.1X堆疊功能可堆疊VLAN支持4K個(gè)VLAN支持Guest VLAN、Voice VLAN支持基于MAC/協(xié)議/IP子網(wǎng)/策略/端口的VLAN支持1:1和N:1 VLAN交換功能QOS支持對(duì)端口接收和發(fā)送報(bào)文的速率進(jìn)行限制支持報(bào)文重定向支持基于端口的流量監(jiān)管，支持雙速三色CAR功能每端口支持8個(gè)隊(duì)列支持WRR、DRR、SP、WRRSP、DRR+SP隊(duì)列調(diào)度算法支持報(bào)文的802.1p和DSCP優(yōu)先級(jí)重新標(biāo)記支持L2（Layer 2）-L4（Layer 4）包過濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、協(xié)議、VLAN的非法幀過濾功能支持基于隊(duì)列限速和端口Shapping功能組播管理支持IGMP v1/v2/v3 Snooping和快速離開機(jī)制支持VLAN內(nèi)組播轉(zhuǎn)發(fā)和組播多VLAN復(fù)制支持捆綁端口的組播負(fù)載分擔(dān)支持可控組播基于端口的組播流量統(tǒng)計(jì)IGMP v1/v2/v3、PIM-SM、PIM-DM、PIM-SSM網(wǎng)絡(luò)管理支持堆疊支持MFF支持虛擬電纜檢測(cè)（Virtual Cable Test）支持端口鏡像和RSPAN（遠(yuǎn)程端口鏡像）支持Telnet遠(yuǎn)程配置、維護(hù)支持SNMPv1/v2/v3支持RMON支持網(wǎng)管系統(tǒng)、支持WEB網(wǎng)管特性支持集群管理HGMP支持系統(tǒng)日志、分級(jí)告警支持GVRP協(xié)議支持MUX VLAN功能安全管理用戶分級(jí)管理和口令保護(hù)支持防止DOS、ARP攻擊功能、ICMP防攻擊支持IP、MAC、端口、VLAN的組合綁定支持端口隔離、端口安全、Sticky MAC支持黑洞MAC地址支持MAC地址學(xué)習(xí)數(shù)目限制支持IEEE 802.1X認(rèn)證，支持單端口最大用戶數(shù)限制支持AAA認(rèn)證，支持Radius、TACACS+、NAC等多種方式支持SSH V2.0支持HTTPS支持CPU保護(hù)功能支持 黑名單和白名單3.2.2匯聚層設(shè)計(jì)為了保證數(shù)據(jù)傳輸和交換的效率，在樓內(nèi)設(shè)置二層樓內(nèi)匯聚層。樓內(nèi)匯聚層設(shè)備不但分擔(dān)了核心設(shè)備的部分壓力，同時(shí)提高了網(wǎng)絡(luò)的安全性采用H3C S3600-28P-SI匯聚交換機(jī)。如圖3-3圖3-3 H3C S3600-28P-SI交換機(jī)特點(diǎn)：1擴(kuò)展性IRF技術(shù)允許交換機(jī)利用互聯(lián)電纜實(shí)現(xiàn)多臺(tái)設(shè)備的擴(kuò)展，最大擴(kuò)展至384個(gè)10/100M端口;具有即插即用、單一IP管理，同時(shí)大大降低系統(tǒng)擴(kuò)展的成本。2可靠性通過專利的路由熱備份技術(shù)，在整個(gè)堆疊架構(gòu)內(nèi)實(shí)現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份和無間斷三層轉(zhuǎn)發(fā)，極大的增強(qiáng)了堆疊架構(gòu)的可靠性和性能，同時(shí)消除了單點(diǎn)故障，避免了業(yè)務(wù)中斷。3.分布性通過分布式鏈路聚合技術(shù)，實(shí)現(xiàn)多條上行鏈路的負(fù)載分擔(dān)和互為備份，從而提高整個(gè)網(wǎng)絡(luò)架構(gòu)的冗余性和鏈路資源的利用率。產(chǎn)品規(guī)格及參數(shù)： H3C S5500-SI產(chǎn)品規(guī)格及參數(shù):產(chǎn)品類型智能交換機(jī)應(yīng)用層級(jí)三層傳輸速率10/100/1000Mbps交換方式存儲(chǔ)-轉(zhuǎn)發(fā)背板帶寬32Gbps包轉(zhuǎn)發(fā)率9.6MppsMAC地址表16K端口結(jié)構(gòu)非模塊化端口數(shù)量28個(gè)端口描述24個(gè)10/100Base-TX以太網(wǎng)端口，4個(gè)1000Base-X SFP千兆以太網(wǎng)端口控制端口1個(gè)Console口傳輸模式全雙工/半雙工自適應(yīng)網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE 802.1Q，IEEE 802.1D，IEEE 802.1w，IEEE 802.1s，IEEE 802.3x，IEEE 802.1XVLAN支持基于端口的VLAN（4K個(gè)）支持基于協(xié)議的VLAN支持Voice VLAN支持GVRP支持VLAN VPN（QinQ），靈活QinQQOS支持對(duì)端口接收?qǐng)?bào)文的速率和發(fā)送報(bào)文的速率進(jìn)行限制支持報(bào)文的802.1p和DSCP優(yōu)先級(jí)重新標(biāo)記支持報(bào)文重定向支持CAR功能支持8個(gè)端口輸出隊(duì)列支持靈活的隊(duì)列調(diào)度算法組播管理IGMP SnoopingIGMP V1/V2、PIM-SM、PIM-DM、MSDP（EI系列支持）網(wǎng)絡(luò)管理支持XModem/FTP/TFTP加載升級(jí)支持命令行接口（CLI）、Telnet、Console口進(jìn)行配置支持SNMPV1/V2/V3、WEB網(wǎng)管支持RMON 1，2，3，9組MIB支持iMC智能管理中心支持HGMPv2集群管理支持系統(tǒng)日志、分級(jí)告警、調(diào)試信息輸出支持PING、Tracert支持上電POST、風(fēng)扇堵轉(zhuǎn)、PoE設(shè)備過熱等情況的檢測(cè)與告警支持VCT（Virtual Cable Test）電纜檢測(cè)功能支持DLDP（Device Link Detection Protocol，設(shè)備連接檢測(cè)協(xié)議）支持端口環(huán)回檢測(cè)支持IPv6 host功能族，實(shí)現(xiàn)IPv6管理S5700支持自動(dòng)配置、即插即用、USB開局、自動(dòng)批量遠(yuǎn)程升級(jí)等功能，便于部署升級(jí)和業(yè)務(wù)發(fā)放，簡(jiǎn)化后續(xù)的管理和維護(hù)性能。從而大大降低了維護(hù)成本。S5700支持SNMP V1/V2/V3、CLI命令行、Web網(wǎng)管、TELNET、HGMP集群管理等多樣化的管理和維護(hù)方式，設(shè)備管理更加靈活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主機(jī)、基于端口的流量統(tǒng)計(jì)，支持NQA網(wǎng)絡(luò)質(zhì)量分析，有利于進(jìn)一步作好網(wǎng)絡(luò)規(guī)劃和改造。3.2.3接入層設(shè)計(jì)接入層是直接連接多臺(tái)計(jì)算機(jī)相連的設(shè)備，公司網(wǎng)絡(luò)中接入層建設(shè)中，每個(gè)部門網(wǎng)絡(luò)接入最為典型，其主要特點(diǎn)是上網(wǎng)時(shí)間集中，突發(fā)流量大、安全控制要求高。鑒于上述特點(diǎn)，對(duì)于港隆公司網(wǎng)絡(luò)接入層配合PVLAN、單端口環(huán)回檢測(cè)、端口速率限制、集群管理等手段.因此接入層設(shè)備采用H3C S3100-52p 24口交換機(jī)如圖3-4圖3-4 H3C S3100交換機(jī)特點(diǎn)：高帶寬和高擴(kuò)展H3C S3100-52p交換機(jī)為所有的端口提供二層線速交換能力，同時(shí)支持4個(gè)GE的上行擴(kuò)展，滿足行業(yè)用戶多業(yè)務(wù)和高帶寬的應(yīng)用需求。靈活的用戶管理和完備的安全控制策略H3C S3100-52p千兆交換機(jī)支持集中式MAC地址認(rèn)證和802.1x認(rèn)證，在用戶接入網(wǎng)絡(luò)時(shí)完成必要的身份認(rèn)證，支持廣播風(fēng)暴抑制和端口鎖定功能，支持配合H3C公司的CAMS系統(tǒng)對(duì)在線用戶進(jìn)行實(shí)時(shí)的管理，及時(shí)的診斷和瓦解網(wǎng)絡(luò)非法行為，保證接入用戶的合法性。支持對(duì)Proxy進(jìn)行有效的管理。H3C S5024P千兆交換機(jī)支持通過建立和維護(hù)DHCP Snooping綁定表實(shí)現(xiàn)偵聽接入用戶的MAC地址、IP地址、租用期、VLAN-ID 接口等信息，解決 DHCP用戶的IP和端口跟蹤定位問題。豐富的QOS策略H3C S3100-52p交換機(jī)支持每個(gè)端口8個(gè)輸出隊(duì)列，支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR三種隊(duì)列調(diào)度算法。支持端口雙向限速，限速的控制粒度為64 Kbps。多樣的管理方式 H3C S3100-52p千兆交換機(jī)支持VCT（Virtual Cable Test）電纜檢測(cè)功能，便于快速定位網(wǎng)絡(luò)故障點(diǎn)。支持通過FTP、TFTP實(shí)現(xiàn)設(shè)備的遠(yuǎn)程升級(jí)，支持HGMP集群管理系統(tǒng)和故障診斷，實(shí)現(xiàn)了設(shè)備的集中管理和維護(hù)，支持SNMP，可支持Open View等通用網(wǎng)管平臺(tái)，以及Quidview網(wǎng)管系統(tǒng)。支持CLI命令行，Web網(wǎng)管，TELNET，HGMP集群管理，使設(shè)備管理更方便。 產(chǎn)品規(guī)格及參數(shù)：（見表所示）型號(hào)H3C S3100-52p固定端口24個(gè)10/100Base-TX以太網(wǎng)端口，2個(gè)10/100/1000Base-T以太網(wǎng)端口和2個(gè)復(fù)用的 1000Base-X SFP千兆以太網(wǎng)端口交換容量所有端口支持線速轉(zhuǎn)發(fā) 19.2Gbps包轉(zhuǎn)發(fā)率6.55Mpps交換模式存儲(chǔ)轉(zhuǎn)發(fā)模式（Store and Forward）支持QoS每個(gè)端口支持4個(gè)輸出隊(duì)列MAC地址支持8K MAC地址 支持黑洞MAC 支持設(shè)置端口最大MAC地址學(xué)習(xí)VLAN支持基于端口的VLAN(4K 個(gè)) 支持VLAN VPN（QinQ） 支持GVRP支持ACL支持L2（Layer 2）L4（Layer 4）包過濾功能，可以匹配報(bào)文前80個(gè)字節(jié)，提供基于源MAC地址、目的MAC、源IP地址、目的IP地址、IP協(xié)議類型、TCP/UDP端口、TCP/UDP端口范圍、VLAN等定義ACL 支持基于時(shí)間段（Time Range）的ACL 支持基于端口組、全局、VLAN批量下發(fā)ACL安全特性用戶分級(jí)管理和口令保護(hù) 支持Guest VLAN 支持IEEE 802.1X認(rèn)證 支持集中MAC地址認(rèn)證 支持SSH 2.0 支持IP源地址保護(hù) 支持ARP 入侵檢測(cè)功能 支持ARP報(bào)文限速功能 支持端口隔離 支持IP端口的綁定 支持IP+MAC的綁定 支持端口MAC的綁定 支持IP+MAC+端口的綁定管理與維護(hù)支持XModem/FTP/TFTP加載升級(jí) 支持命令行接口（CLI），Telnet，Console口進(jìn)行配置 支持SNMPv1/v2/v3，WEB網(wǎng)管 支持RMON（Remote Monitoring）1，2，3，9組MIB 支持H3C iMC智能管理中心 支持系統(tǒng)日志，分級(jí)告警，調(diào)試信息輸出 支持IPv6 host，包括IPv6單播地址配置，ICMPv6，IPv6鄰居發(fā)現(xiàn)協(xié)議（ND），IPv6靜態(tài)路由，IPv6-PING，IPv6-TCP，IPv6-TFTP，支持Telnet遠(yuǎn)程維護(hù) 支持上電POST 支持DLDP（Device Link Detection Protocol）單向鏈路檢測(cè)協(xié)議 支持Loopback-detection 端口環(huán)回檢測(cè)3.3 虛擬局域網(wǎng)VLAN與IP子網(wǎng)設(shè)計(jì)劃分虛擬局域網(wǎng)是整個(gè)網(wǎng)絡(luò)系統(tǒng)的重要技術(shù)之一。公司網(wǎng)絡(luò)內(nèi)部的環(huán)境復(fù)雜、分布區(qū)域廣、網(wǎng)絡(luò)用戶多，以至于企業(yè)內(nèi)部網(wǎng)絡(luò)用戶的可靠性得不到完全的保證。通過劃分虛擬局域網(wǎng)，隔離不同部門，可以增強(qiáng)企業(yè)網(wǎng)絡(luò)安全性，以下詳細(xì)論述了虛擬局域網(wǎng)的技術(shù)及在網(wǎng)絡(luò)系統(tǒng)中的必要性和設(shè)計(jì)方案。3.3.1虛擬VLAN簡(jiǎn)介以太網(wǎng)基本上是以廣播為基礎(chǔ)的，如最初包的尋址等，交換機(jī)雖然能夠通過建立地址映射表減少不必要的廣播，但是地址映射表的建立過程仍然是基于廣播的，網(wǎng)絡(luò)節(jié)點(diǎn)（如PC機(jī)）在處理廣播時(shí)浪費(fèi)了CPU處理時(shí)間，降低了處理性能，根據(jù)統(tǒng)計(jì)，當(dāng)網(wǎng)絡(luò)上存在15000個(gè)廣播包時(shí)，將耗盡CPU資源；在傳統(tǒng)的網(wǎng)絡(luò)里，節(jié)點(diǎn)的吞吐量都會(huì)隨著節(jié)點(diǎn)的增多而下降，交換式以太網(wǎng)雖然能夠隔離沖突域及第二層廣播，但是無法隔離第三層網(wǎng)絡(luò)。另一方面，接入網(wǎng)需要保障用戶數(shù)據(jù)（單播地址的幀）的安全性，隔離攜帶有用戶信息的廣播消息（如ARP、DHCP消息等），防止關(guān)鍵設(shè)備受到攻擊。對(duì)每個(gè)用戶而言，當(dāng)然不希望他的信息被別人利用，因此需要從物理上隔離用戶數(shù)據(jù)（單播地址的幀），保證用戶單播地址的幀只有該用戶可以接收到，不像在局域網(wǎng)中采用共享總線方式，使單播地址的幀能被總線上的所有用戶接收。如果不隔離這些廣播消息而讓其他用戶接收到，容易發(fā)生MAC/IP地址仿冒，影響設(shè)備的正常運(yùn)行，中斷合法用戶的通信過程。為了隔離第三層廣播，增強(qiáng)安全性、提高網(wǎng)絡(luò)性能，可以運(yùn)用VLAN（虛擬局域網(wǎng)）技術(shù)或者使用路由設(shè)備。使用路由器時(shí)可以將網(wǎng)絡(luò)劃分多個(gè)物理網(wǎng)段，這些物理網(wǎng)段可以連接到路由器的多個(gè)端口，多個(gè)物理網(wǎng)段間通過路由器進(jìn)行通信，但是路由器的端口價(jià)格遠(yuǎn)遠(yuǎn)高出交換機(jī)的端口價(jià)格，所以這種方式將增加設(shè)備投資，在物理網(wǎng)段增多時(shí)就更為嚴(yán)重，而且只有使用高端設(shè)備才能滿足高端口密度的要求，所以不推薦這種方式。VLAN技術(shù)不需要特殊的設(shè)備，目前第二層交換機(jī)均支持VLAN技術(shù)。通過在一個(gè)物理網(wǎng)段上劃分出多個(gè)邏輯網(wǎng)段，由每一個(gè)邏輯網(wǎng)段構(gòu)成一個(gè)VLAN，其內(nèi)部采用交換機(jī)連接，所有的廣播信息只限制在本VLAN內(nèi)，而之間的連接則采用路由實(shí)現(xiàn)，具體實(shí)施時(shí)可以外加路由器，或者直接使用第三層交換設(shè)備。使用路由器時(shí)，將這些邏輯網(wǎng)段連接到路由器時(shí)可以只使用一條物理鏈路、占用一個(gè)路由器接口，這樣就節(jié)省了設(shè)備的投資，而使用三層交換設(shè)備時(shí)，不需要額外增加設(shè)備，只要交換機(jī)支持三層路由功能即可，由于三層交換設(shè)備的工作效率高于路由器，所以在本論文中推薦采用三層交換設(shè)備實(shí)現(xiàn)VLAN之間的路由。3.3.2 VLAN規(guī)劃目前，VLAN技術(shù)可以使用以下方式組建：基于交換機(jī)端口的VLAN、基于MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN：基于端口的VLAN，即靜態(tài)VLAN，特點(diǎn)是技術(shù)簡(jiǎn)單，容易配置且維護(hù)工作量小，缺點(diǎn)是終端設(shè)備移動(dòng)時(shí)需要更改設(shè)備配置?；贛AC地址的VLAN，即動(dòng)態(tài)VLAN，基于Vlan策略服務(wù)組建，特點(diǎn)是終端設(shè)備可以在整個(gè)局域網(wǎng)中移動(dòng)而不用改變配置，適合于移動(dòng)辦公型的網(wǎng)絡(luò)環(huán)境，缺點(diǎn)是配置工作量大、繁瑣。由于交換機(jī)為二層設(shè)備，所以基于應(yīng)用協(xié)議的VLAN對(duì)于交換機(jī)來說沒有任何意義，反而會(huì)造成交換機(jī)性能的下降。考慮到本系統(tǒng)的特點(diǎn)，節(jié)點(diǎn)在網(wǎng)絡(luò)中內(nèi)移動(dòng)的可能性較小，基于易維護(hù)、易管理方面的考慮，使用基于交換機(jī)端口的VLAN進(jìn)行配置。采用虛擬局域網(wǎng)VLAN主要出于三個(gè)目的：用戶隔離、提高網(wǎng)絡(luò)效率；提供靈活的管理；提高系統(tǒng)安全性。因此，規(guī)劃VLAN時(shí)也應(yīng)該綜合考慮這三方面的因素。接入層設(shè)備為二層交換機(jī)。為了進(jìn)行不同用戶間的有效隔離和互聯(lián)，需要利用交換機(jī)對(duì)用戶進(jìn)行相應(yīng)的VLAN劃分。具體做法可以是將交換機(jī)的每一端口劃分一個(gè)VLAN以實(shí)現(xiàn)所有用戶間的二層隔離，此時(shí)如果需要互聯(lián)，可通過上連設(shè)備的ACL功能來控制；也可以根據(jù)需要將多個(gè)交換機(jī)的不同端口劃為同一個(gè)VLAN，直接實(shí)現(xiàn)有限制的用戶互聯(lián)。VLAN規(guī)劃參照表和圖3-5，各個(gè)VLAN間由ACL控制，限制互訪。其中VLAN10VLAN40為各部門VLAN，禁止互訪，VLAN 50為公司文件服務(wù)器區(qū)，能被任何部門訪問，VLAN 60為網(wǎng)管區(qū)，能單向訪問各個(gè)部門。VLAN號(hào)網(wǎng)段描述VLAN 10/24人力資源部VLAN 20/24財(cái)務(wù)部VLAN 30/24銷售部VLAN 40/24生產(chǎn)部VLAN 50/24公司文件服務(wù)區(qū)VLAN 100/24網(wǎng)絡(luò)管理中心 表 圖3-53.3.3 IP子網(wǎng)設(shè)計(jì)IP地址分配要遵循以下原則：1、簡(jiǎn)單性：地址的分配應(yīng)該簡(jiǎn)單，避免在主干上采用復(fù)雜的掩碼方式。2、連續(xù)性：為同一個(gè)網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于采用SUMMARIZATION及CIDR(CLASSLESS INTER-DOMA IN ROUTING)技術(shù)縮減路由表的表項(xiàng)，提高路由器的處理效率。3、可擴(kuò)充性：為一個(gè)網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機(jī)數(shù)量增加時(shí)仍然能夠保持地址的連續(xù)性。4、靈活性：地址分配不應(yīng)該基于某個(gè)網(wǎng)絡(luò)路由策略的優(yōu)化方案，應(yīng)該便于多數(shù)路由策略在該地址分配方案上實(shí)現(xiàn)優(yōu)化。5、可管理性：地址的分配應(yīng)該有層次，某個(gè)局部的變動(dòng)不要影響上層、全局。6、安全性：網(wǎng)絡(luò)內(nèi)應(yīng)按工作內(nèi)容劃分成不同網(wǎng)段即子網(wǎng)以便進(jìn)行管理。根據(jù)以上設(shè)計(jì)和校園網(wǎng)的需求，公司的IP子網(wǎng)劃分見表和圖3-6所示：表3-6IP子網(wǎng)劃分： SW5Fa0/3/24Fa0/1/24Fa0/2/24SW6Fa0/3/24Fa0/1/24Fa0/2/24SW7Fa0/1/30Fa0/2/24Fa0/3/24Fa0/4/24 CoreSW1Fa0/1/24Fa0/2/24Fa0/3/24Fa0/4/24CoreSW2Fa0/1/24Fa0/2/24Fa0/3/24Fa0/4/24聚合R1Fa0/0/30Fa0/1/24Fa0/2/24PC1 PC2 PC3 PC4 PC5 PC6 PC7 PC8 3.3.4訪問控制列表（ACL）設(shè)計(jì)方案訪問控制列表（Access Control List，ACL） 是路由器接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。 ACL的定義也是基于每一種協(xié)議的。如果路由器接口配置成為支持三種協(xié)議（IP、AppleTalk以及IPX）的情況，那么，用戶必須定義三種ACL來分別控制這三種協(xié)議的數(shù)據(jù)包。自反訪問表在路由器的一邊創(chuàng)建I P流量的動(dòng)態(tài)開啟，該過程是基于來自路由器另一邊的會(huì)話進(jìn)行的。在正常的操作模式下，自反訪問表被配置并用于從路由器的不可信方，例如連接到I n t e r n e t的串行端口，創(chuàng)建開啟表項(xiàng)。這些開啟表項(xiàng)的創(chuàng)建是基于源于設(shè)備的可信方的會(huì)話進(jìn)行的，例如以太網(wǎng)或令牌環(huán)網(wǎng)的用戶連接到一個(gè)網(wǎng)段或連接到路由器端口的環(huán)。在該過程中，訪問表執(zhí)行的動(dòng)作稱為自反向過濾（ reflexive filtering）。該名稱是根據(jù)此訪問表的類型得來的。在I O S版本11 . 3中引入了自反訪問表，并且它可用在所有的路由器平臺(tái)上。在核心層交換機(jī)上配置SW5（由于各個(gè)端口配置相似，故只列出核心交換機(jī)SW5的e0/1.1）：ip access-list extended e0/0.1-inevaluate admin deny ip 55 55 deny ip 55 55 deny ip 55 55 deny ip 55 55permit ip any anyexitip access-list extended e-outpermit ip any any reflect adminint e0/0.1ip access-group e-out outip access-group e0/0.1-in inexit3.4路由協(xié)議的選擇OSPF提供了更多更靈活的路由控制策略，方便復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)的用戶實(shí)施路由規(guī)劃。另一方面則在于OSPF的開放性，為用戶網(wǎng)絡(luò)今后的擴(kuò)展提供了較大的空間和靈活性，從而獲得了廣泛的認(rèn)可，使之成為內(nèi)部路由協(xié)議的一種較佳選擇?？偟膩碚fOSPF路由協(xié)議具有以下優(yōu)點(diǎn)：適合中小型企業(yè)網(wǎng)絡(luò)搭建節(jié)省網(wǎng)絡(luò)帶寬：OSPF屬于鏈路狀態(tài)協(xié)議，只有當(dāng)網(wǎng)絡(luò)連接狀態(tài)發(fā)生變化時(shí)才彼此更新變化了的拓?fù)湫畔ⅲ⒎钦麄€(gè)網(wǎng)絡(luò)的LSDB，從而大大節(jié)省了網(wǎng)絡(luò)帶寬，這對(duì)于大型的廣域網(wǎng)來說很重要。支持VLSM：OSPF LSA(Link State Advertisement)中包含子網(wǎng)掩碼。支持層次化的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)：網(wǎng)絡(luò)設(shè)計(jì)人員可以把一個(gè)大型OSPF網(wǎng)絡(luò)分成若干域(Area)，其中一個(gè)是主干域(Backbone Area, Area ID )，其它非主干域均與主干域相連，并通過主干域交換LSDB。同時(shí)OSPF還引入了外部路由(External Routes)及ASBR (Autonomous System Boundary Router)概念，非OSPF路由均視為外部路由，由ASBR注入到OSPF域。支持路由總結(jié)(Route Summary)：OSPF ABR（連接多個(gè)區(qū)域的設(shè)備）具有路由總結(jié)的功能，如果連續(xù)地分配IP地址空間，則ABR僅向主干域廣播總結(jié)后的路由信息，抑制那些具體的路由信息的廣播，從而大大減小了其它域中路由器LSDB及路由表的大小。沒有路由跳數(shù)限制：OSFF路由表是基于LSDB運(yùn)行Dijkstra算法計(jì)算出來的，沒有跳數(shù)限制。沒有路由環(huán)路問題：OSPF屬于Link-State路由協(xié)議，沒有環(huán)路問題。OSPF其它特性：OSPF定義了Stub Area及 Not-So-Stubby-Area(NSSA)，為設(shè)計(jì)包含多種路由協(xié)議的混合網(wǎng)絡(luò)，以及控制LSDB及路由表的大小提供了手段。SW5核心交換配置OSPF協(xié)議(其他配置一樣的，在這里不詳細(xì)敘述) router ospf 1 network 25area1 network 55 area1 network area1 network 55 area1第四章 網(wǎng)絡(luò)安全管理4.1內(nèi)網(wǎng)安全運(yùn)用多種技術(shù)，如VLAN、防病毒體系等，對(duì)各個(gè)部門、系所訪問進(jìn)行控制，各單位之間在未授權(quán)的情況下不能互相訪問，保證系統(tǒng)內(nèi)部的安全。內(nèi)網(wǎng)對(duì)安全的需求包括VLAN設(shè)置需求、防病毒系統(tǒng)需求、網(wǎng)絡(luò)管理需求和網(wǎng)絡(luò)系統(tǒng)管理等。4.1.1VLAN設(shè)置需求企業(yè)網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布區(qū)域廣，網(wǎng)絡(luò)用戶多，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對(duì)于存放敏感數(shù)據(jù)的主機(jī)的攻擊往往發(fā)自內(nèi)部用戶，如何對(duì)內(nèi)部用戶進(jìn)行訪問控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運(yùn)行的可靠性和安全性，必須要對(duì)它進(jìn)行詳盡的設(shè)計(jì)，盡可能防護(hù)到網(wǎng)絡(luò)的每一節(jié)點(diǎn)。4.1.2防病毒系統(tǒng)需求針對(duì)防病毒危害性極大并且傳播極為迅速，必須配備從單機(jī)到服務(wù)器的整套防病毒軟件，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)。4.1.3網(wǎng)絡(luò)管理需求此次建設(shè)的企業(yè)網(wǎng)絡(luò)系統(tǒng)是一個(gè)相當(dāng)復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)，包含多種設(shè)備和技術(shù)。隨著系統(tǒng)復(fù)雜度的增加，會(huì)給系統(tǒng)管理帶來成指數(shù)增加的管理工作量。為此必須要設(shè)計(jì)一套健全的管理系統(tǒng)。針對(duì)系統(tǒng)的功能采取相應(yīng)的管理措施。4.2 外網(wǎng)安全由于外網(wǎng)主要運(yùn)行企業(yè)各部門非涉密的內(nèi)部辦公業(yè)務(wù)以及運(yùn)行面向客戶的公開信息，所以必須采取過硬的安全技術(shù)來實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)系統(tǒng)不受Internet的“黑客”、病毒等攻擊。外網(wǎng)對(duì)安全的需求包括物理安全需求、數(shù)據(jù)鏈路層需求、入侵檢測(cè)系統(tǒng)需求、防病毒系統(tǒng)需求和安全管理體制等。4.2.1物理安全需求針對(duì)重要信息可能通過電磁輻射或線路干擾等泄漏。需要對(duì)存放機(jī)密信息的機(jī)房進(jìn)行必要的設(shè)計(jì)，如構(gòu)建屏蔽室。采用輻射干擾機(jī)，防止電磁輻射泄漏機(jī)密信息。對(duì)重要的設(shè)備進(jìn)行冗余配置；對(duì)重要系統(tǒng)進(jìn)行備份等安全保護(hù)。4.2.2數(shù)據(jù)鏈路層需求信息的泄漏很多都是在鏈路上被搭線竊取，數(shù)據(jù)也可能因?yàn)樵阪溌飞媳唤孬@、被篡改后傳輸給對(duì)方，造成數(shù)據(jù)真實(shí)性、完整性得不到保證。如果利用加密設(shè)備對(duì)傳輸數(shù)據(jù)進(jìn)行加密，使得在網(wǎng)上傳輸?shù)臄?shù)據(jù)以密文傳輸。因?yàn)閿?shù)據(jù)是密文，所以，即使在傳輸過程中被截獲，入侵者也讀不懂，而且加密機(jī)還能通過先進(jìn)行技術(shù)手段，對(duì)數(shù)據(jù)傳輸過程中的完整性、真實(shí)性進(jìn)行鑒別?？梢员ＷC數(shù)據(jù)的保密性、完整性及可靠性。因此，可能需要配備加密設(shè)備對(duì)數(shù)據(jù)進(jìn)行傳輸加密。4.2.3入侵檢測(cè)系統(tǒng)需求網(wǎng)絡(luò)安全是整體的、動(dòng)態(tài)的，不是單一產(chǎn)品能夠完全實(shí)現(xiàn)的，所以為了確保網(wǎng)絡(luò)更加安全必須配備入侵檢測(cè)系統(tǒng)，對(duì)透