中小型企業(yè)局域網(wǎng)的設(shè)計(jì)和規(guī)劃摘要隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和中小型企業(yè)規(guī)模的日益擴(kuò)大，中小型企業(yè)網(wǎng)絡(luò)規(guī)模越來越大，一般的中小型企業(yè)都達(dá)到了上萬信息點(diǎn)或者幾萬個(gè)信息點(diǎn)的規(guī)模。當(dāng)網(wǎng)絡(luò)規(guī)模增大到一定程度，在中小型企業(yè)局域網(wǎng)系統(tǒng)面臨許多問題。例如中小型企業(yè)網(wǎng)骨干結(jié)構(gòu)問題、設(shè)備的性能問題、網(wǎng)絡(luò)的可靠性、網(wǎng)絡(luò)的安全、可管理性問題。針對以上存在的問題，本文以中小型企業(yè)的局域網(wǎng)項(xiàng)目規(guī)劃設(shè)計(jì)作為背景，對當(dāng)前中小型企業(yè)的局域網(wǎng)體系結(jié)構(gòu)開展研究，深入研究了當(dāng)前中小型企業(yè)網(wǎng)絡(luò)建設(shè)的需求，探討和研究對局域網(wǎng)絡(luò)進(jìn)行改造的設(shè)計(jì)方案，提出了一個(gè)能適用于較大網(wǎng)絡(luò)規(guī)模的局域網(wǎng)絡(luò)體系結(jié)構(gòu)方案。在本文中采用路由技術(shù)，用于虛擬局域網(wǎng)的VLAN技術(shù)、用于地址隱藏的地址轉(zhuǎn)換技術(shù)、用于網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃的拓?fù)浼夹g(shù)、網(wǎng)絡(luò)安全技術(shù)。構(gòu)建一個(gè)高效穩(wěn)定的網(wǎng)絡(luò)平臺，并將本方案應(yīng)用于中小型企業(yè)的局域網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)中。研究局域網(wǎng)規(guī)劃和建設(shè)，方案可以為其他企業(yè)進(jìn)行局域網(wǎng)建設(shè)提供參考的依據(jù)。關(guān)鍵詞：局域網(wǎng)絡(luò)；網(wǎng)絡(luò)規(guī)劃；網(wǎng)絡(luò)安全AbstractWiththedevelopmentofnetworktechnologyandtheexpansionofthescaleofsmallandmediumenterprises,smallandmedium-sizedenterprisenetworkisbecominglargerandlarger,thegeneralsmallandmediumenterpriseshavereachedthescaleoftensofthousandsofinformationpointsortensofthousandsofinformationpoints.Whenthescaleofthenetworkincreasestoacertainextent,thesmallandmediumenterpriseLANsystemfacesmanyproblems.Forexample,thesmallandmedium-sizedenterprisenetworkbackbonestructure,equipmentperformance,networkreliability,networksecurity,manageabilityissues.Tosolvetheaboveproblems,thisarticlefocusesonLANprojectplanninganddesignofsmallandmediumenterprisestocarryoutresearchonLANarchitectureinthesmallandmediumenterprises,in-depthstudyofthecurrentsmallandmedium-sizedenterprisenetworkconstructionneeds,discussionandResearchonthedesignoflocalareanetworktotransform,proposedasuitableschemelocalareanetworkarchitectureoflargescaleofnetwork.Inthispaper,routingtechnologyisusedintheVLANtechnologyofthevirtuallocalareanetwork,theaddresstranslationtechnologyusedforaddresshiding,thetopologytechnologyusedinnetworkstructureplanning,andthenetworksecuritytechnology.Thispaperconstructsanefficientandstablenetworkplatform,andappliesittotheplanninganddesignofthelocalareanetworkofsmallandmediumsizedenterprises.ThestudyofLANplanningandconstruction,theprogramcanprovidereferenceforotherenterprisestobuildlan.Keywords:localareanetwork;networkplanning;networksecurity目錄摘要 IAbstract I前言 11、網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 11.1局域網(wǎng)主干規(guī)劃 11.2系統(tǒng)功能規(guī)劃 12、中小企業(yè)局域網(wǎng)絡(luò)建設(shè)規(guī)劃 12.1網(wǎng)絡(luò)拓?fù)?22.1.1網(wǎng)絡(luò)架構(gòu)選擇 22.1.2核心層設(shè)計(jì) 32.1.3匯聚層設(shè)計(jì) 32.1.4接入層設(shè)計(jì) 32.2網(wǎng)絡(luò)的規(guī)劃與編址 32.2.1宿舍區(qū)用戶IP/VLAN規(guī)劃 32.2.2辦公區(qū)用戶IP/VLAN規(guī)劃 42.2.3路由設(shè)備互聯(lián)IP地址規(guī)劃 42.3路由協(xié)議規(guī)劃 53、網(wǎng)絡(luò)設(shè)備選型 63.1交換機(jī) 63.2路由器 63.3接入交換機(jī) 63.4防火墻 64、網(wǎng)絡(luò)安全的設(shè)計(jì) 64.1網(wǎng)絡(luò)出入口安全 64.1中小企業(yè)用戶終端IP地址安全 7總結(jié) 7參考文獻(xiàn) 7前言本篇論文就中小企業(yè)局域網(wǎng)建設(shè)，討論了中小企業(yè)園區(qū)級網(wǎng)絡(luò)的類型，論述了中小型企業(yè)局域網(wǎng)的特點(diǎn)與要求，進(jìn)而提出了典型的業(yè)務(wù)模型與需求定位，按照網(wǎng)絡(luò)層次的劃分的原則，設(shè)計(jì)了中小型企業(yè)網(wǎng)核心到接入交換的兩級網(wǎng)絡(luò)模型，明確了網(wǎng)絡(luò)的編址方案，考慮了基本的網(wǎng)絡(luò)安全與流量控制因素。1、網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案1.1局域網(wǎng)主干規(guī)劃主干為千兆主干，設(shè)備為CISCO的2層交換機(jī)，型號為CISCO2960-24TT。因考慮到以后多媒體數(shù)據(jù)流在網(wǎng)上的應(yīng)用于及主干的冗余，因此在主干上采用千兆鏈路（100Mb/sTrunk），既可擴(kuò)大主干帶寬（200Mb/s或全雙工400Mb/s）,又可以起到主干冗余作用及均衡負(fù)載。主干采用超5類非屏蔽雙絞線（UTP）布線，能承載千兆帶寬，可以保證以后網(wǎng)絡(luò)的擴(kuò)容與提升。主干所有鏈路屏蔽層全部接到信號地（主機(jī)房地網(wǎng)），防止靜電和電磁干擾，地保證數(shù)據(jù)鏈路的可靠性。1.2系統(tǒng)功能規(guī)劃在中小企業(yè)局域網(wǎng)中主要起保障網(wǎng)絡(luò)安全作用，校園中的防火墻不僅要防止外來黑客的攻擊，還要防止內(nèi)部學(xué)生的攻擊。根據(jù)學(xué)校的應(yīng)用類型，劃分了實(shí)訓(xùn)樓、綜合樓、服務(wù)器群等三個(gè)子網(wǎng)。分VLAN在一定程度上可以提高網(wǎng)絡(luò)的安全性，防止網(wǎng)段上無效的廣播包的傳播，還可以增加網(wǎng)絡(luò)彈性，并降低成本易于管理。在中心交換機(jī)上創(chuàng)建3個(gè)VLAN，分別為VLAN10、VLAN20和VLAN30。由于二層交換機(jī)，無路由功能，無法實(shí)現(xiàn)VLAN間通信，但可利用外部的路由器來實(shí)現(xiàn)VLAN間的通信。2、中小企業(yè)局域網(wǎng)絡(luò)建設(shè)規(guī)劃本章根據(jù)對中小企業(yè)的網(wǎng)絡(luò)規(guī)劃需求進(jìn)行分析，制定合理的網(wǎng)絡(luò)拓?fù)?，并在拓?fù)涞幕A(chǔ)上進(jìn)行IP和VLAN規(guī)劃、路由協(xié)議規(guī)劃、認(rèn)證協(xié)議規(guī)劃、WLAN規(guī)劃。根據(jù)實(shí)際需求制定合理的出口設(shè)計(jì)和接入層接入設(shè)計(jì)。2.1網(wǎng)絡(luò)拓?fù)涓鶕?jù)第二章內(nèi)容中對中小企業(yè)網(wǎng)絡(luò)建設(shè)的需求分析，初步設(shè)計(jì)出此局域網(wǎng)的網(wǎng)絡(luò)拓?fù)?。設(shè)備采用銳捷設(shè)備。設(shè)備清單如表3-1：表3-1局域網(wǎng)設(shè)備表核心層設(shè)備S86102臺分中心設(shè)備S86066臺次中心設(shè)備S76062臺匯聚層設(shè)備S5750若干接入層設(shè)備S26系列和S29系列若干根據(jù)網(wǎng)絡(luò)需求設(shè)計(jì)的網(wǎng)絡(luò)拓?fù)淙鐖D3-1：圖3-1局域網(wǎng)絡(luò)拓?fù)?.1.1網(wǎng)絡(luò)架構(gòu)選擇由于分層網(wǎng)絡(luò)結(jié)構(gòu)具有明顯的優(yōu)勢，在大型網(wǎng)絡(luò)中常用的分層網(wǎng)絡(luò)體系結(jié)構(gòu)的中小企業(yè)局域網(wǎng)，按照模塊化設(shè)計(jì)思想，功能。根據(jù)全網(wǎng)結(jié)構(gòu)層次化、模塊化、功能化的思路，局域網(wǎng)總體網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)為個(gè)模塊，分別為：核心層、匯聚層、接入層。整個(gè)網(wǎng)絡(luò)采用雙核心、匯聚(核心和匯聚層設(shè)備物理位置集中在核心機(jī)房)、接入三層構(gòu)架方式，在每個(gè)鏈接到企業(yè)宿舍區(qū)匯聚交換機(jī)樓、企業(yè)宿舍樓、辦公區(qū)，提供千兆供辦公區(qū)域快速訪問。對于鏈路層的安全可考慮采用不同鏈路的主備主干光纜方式實(shí)現(xiàn)。2.1.2核心層設(shè)計(jì)中小企業(yè)網(wǎng)核心層采用雙核心設(shè)計(jì)，兩臺核心設(shè)備之間通過高帶寬的千兆以上交換機(jī)互聯(lián)，實(shí)現(xiàn)鏈路的冗余備份，提高網(wǎng)絡(luò)的穩(wěn)定性。為了防止開啟虛擬交換功能對設(shè)備的影響,虛擬交換機(jī)技術(shù)建議采用獨(dú)立硬件板卡的方式實(shí)現(xiàn)。核心層選用的設(shè)備為華為S1700-24GR。2.1.3匯聚層設(shè)計(jì)區(qū)域匯聚層設(shè)計(jì)為連接本地的邏輯中心，匯聚交換機(jī)負(fù)責(zé)本區(qū)域內(nèi)的數(shù)據(jù)交換，眾多策略的實(shí)施，將不要的流量隔離在區(qū)域匯聚層以下，從而大大減輕核心層設(shè)備的數(shù)據(jù)交換負(fù)擔(dān)，因此仍需要較高的性能和比較強(qiáng)的策略實(shí)施能力。考慮到每個(gè)區(qū)域涉及的用戶量大，需要對區(qū)域配置匯聚設(shè)備。匯聚設(shè)備具備安全防御能力。2.1.4接入層設(shè)計(jì)辦公區(qū)域接入部署：該區(qū)域的所有接入點(diǎn)采用千兆到桌面的方式。在該區(qū)域部署全千兆接入交換機(jī)，通過6類雙絞線上聯(lián)到樓宇匯聚交換機(jī)。宿舍區(qū)接入部暑：該區(qū)域的接入點(diǎn)釆用百兆到桌面的方式。在該區(qū)域部署支持千兆上行的百兆交換機(jī)，所有接入交換機(jī)采用48口接入交換機(jī)。2.2網(wǎng)絡(luò)的規(guī)劃與編址2.2.1宿舍區(qū)用戶IP/VLAN規(guī)劃中小企業(yè)宿舍區(qū)均采用私有IP，本次設(shè)計(jì)規(guī)劃采用/16網(wǎng)段。具體規(guī)劃如表3-2：表3-2宿舍區(qū)IP劃分表區(qū)域IP地址段C類地址個(gè)數(shù)備注1#宿舍樓-558靜態(tài)地址2#宿舍樓-558靜態(tài)地址3#宿舍樓-558靜態(tài)地址4#宿舍樓-558靜態(tài)地址5#宿舍樓-558靜態(tài)地址每棟宿舍樓劃分8個(gè)C類IP地址。以一號宿舍樓IP與VLAN的對應(yīng)關(guān)系詳細(xì)說明劃分的依據(jù)，如表3-3：表3-3一號宿舍樓IP和VLAN對應(yīng)關(guān)系樓宇VLANIDVLAN用途IP網(wǎng)段用戶IP網(wǎng)關(guān)交換機(jī)管理網(wǎng)關(guān)交換機(jī)網(wǎng)關(guān)宿舍1管理/245454樓101層用戶/24545354一棟宿舍樓劃分8個(gè)C類IP地址，其中六個(gè)分別劃分給每層的用戶；一個(gè)用作管理IP地址，方便管理員的管理；一個(gè)用作保留地址，用于后期的擴(kuò)展。VLAN劃分了8個(gè)，其中VLAN10—VLAN60分別對應(yīng)每層宿舍樓；VLAN1用作管理VLAN。2.2.2辦公區(qū)用戶IP/VLAN規(guī)劃辦公區(qū)采用教育網(wǎng)地址-55。具體IP規(guī)劃如表3-4：表3-4辦公區(qū)IP規(guī)劃區(qū)域IP地址段C類地址個(gè)數(shù)備注服務(wù)器區(qū)-541動態(tài)IP辦公樓-544動態(tài)IP食堂樓-544動態(tài)IP圖書館-542動態(tài)IP辦公區(qū)VLAN規(guī)劃與宿舍VLAN規(guī)劃一致，根據(jù)樓層規(guī)劃VLAN。例如：辦公樓一樓劃分為VLAN10，二樓劃分為VLAN20。2.2.3路由設(shè)備互聯(lián)IP地址規(guī)劃核心層與匯聚層術(shù)語路由互聯(lián)設(shè)備，需要配置互連IP。一部分IP規(guī)劃如表3-5：表3-5路由互聯(lián)IP地址規(guī)劃舉例互連IP網(wǎng)段本地地址本地設(shè)備對端地址對端設(shè)備/30/30NPE/30ACE/30/30ACE/30S8610-/30/30ACE0/30S8610-2/303/30S8610-4/30S8610-6/307/30S8610-8/30S7606-0/301/30S8610-2/30S7606-4/305/30S8610-6/30S7606-1由于篇幅有限，僅列出一部分互聯(lián)IP的規(guī)劃。2.3路由協(xié)議規(guī)劃局域網(wǎng)內(nèi)部采用OSPF動態(tài)路由協(xié)議。OSPF布局在路由互聯(lián)的設(shè)備之間。OSPF支持區(qū)域的劃分。劃分區(qū)域有利于減少了需要傳遞的路由信息數(shù)量。OSPF區(qū)域劃分如表3-6：表3-6OSPF的區(qū)域劃分學(xué)校樓宇類型OSPF區(qū)域號宿舍樓辦公樓Area100食堂樓Area110會議樓Area130圖書館Area140根據(jù)表3-6OSPF區(qū)域的劃分，得到的OSPF區(qū)域劃分拓?fù)鋱D如圖3-2：圖3-2OSPF區(qū)域劃分拓?fù)鋱D通過OSPF區(qū)域劃分，將各個(gè)不同功能的樓宇劃分到不同區(qū)域，可以減少OSPF的LSA數(shù)據(jù)包的泛洪，從而減少網(wǎng)絡(luò)開銷。其次，劃分不同區(qū)域，可以減少網(wǎng)絡(luò)故障的影響，一個(gè)區(qū)域出現(xiàn)故障，不會影響其他區(qū)域的網(wǎng)絡(luò)狀態(tài)。3、網(wǎng)絡(luò)設(shè)備選型3.1交換機(jī)本文選用了D-LinkDES-3024中心路由交換機(jī)擔(dān)當(dāng)網(wǎng)絡(luò)主干交換機(jī)。在本方案設(shè)計(jì)接入需要2臺D-LinkDES-3024中心交換機(jī)，樓道內(nèi)采用綜合布線方式，利用五類線接入到用戶，實(shí)現(xiàn)了即插即用。中小企業(yè)的中心交換機(jī)我們選擇用堆疊連接技術(shù)，方法是將隨機(jī)所附堆疊電纜的一端插入第一臺的中心交換機(jī)堆疊模塊的“DOWN”端口，另一端插入第二臺的中心交換機(jī)堆疊模塊的“UP”端口。這兩臺交換機(jī)堆疊在一起之后就像一個(gè)模塊化交換機(jī)一樣，當(dāng)作一個(gè)單元設(shè)備來進(jìn)行管理，這樣就可以非常方便地實(shí)現(xiàn)對網(wǎng)絡(luò)的擴(kuò)充。3.2路由器HillstoneSR-560路由器是具有高性能安全的，針對多用戶數(shù)、多接入點(diǎn)、多種應(yīng)用等市場需求而設(shè)計(jì)的產(chǎn)品。根據(jù)預(yù)約時(shí)間自動斷線和啟用備用鏈路，每個(gè)WAN口支持多達(dá)8條ADSL鏈路；獨(dú)創(chuàng)分區(qū)管理技術(shù)，為設(shè)備每個(gè)LAN端口可劃分到6-24個(gè)獨(dú)立分區(qū)中，內(nèi)建DHCP服務(wù)器，為每個(gè)LAN分區(qū)獲取不同的IP地址段，內(nèi)建一個(gè)千兆DMZ接口，支持對外開放服務(wù)器功能和端口映射功能。3.3接入交換機(jī)接入交換機(jī)在網(wǎng)絡(luò)中的作用僅次于中心交換機(jī),接入交換機(jī)就是圖2.1中的樓道交換機(jī)。本中小企業(yè)方案設(shè)計(jì)中采用的接入交換機(jī)是D-LinkDGS1224T交換機(jī)，除了考慮D-LinkDGS1224T交換機(jī)功能外，性能在同類交換機(jī)中比較突出，當(dāng)然選擇它不只是價(jià)格和性能方面的原因，同時(shí)還結(jié)合了中小企業(yè)網(wǎng)絡(luò)綜合因素。3.4防火墻Cisco公司的PIX防火墻允許已經(jīng)存在的私人或企業(yè)網(wǎng)絡(luò)安全的訪問Internet，因?yàn)樗捎昧艘环N稱為NAT的技術(shù)，方便大型的企業(yè)網(wǎng)絡(luò)接入Internet，并且可于五分鐘內(nèi)完成配置。透明的支持通用的TCP／IPInternet服務(wù)，如：WorldWideWeb，F(xiàn)TP，TelnetArchie，Gopher和Rlogin等等。所以防火墻選擇思科PIX-515E-FO-BUN。4、網(wǎng)絡(luò)安全的設(shè)計(jì)4.1網(wǎng)絡(luò)出入口安全中小企業(yè)的寬帶網(wǎng)接入中我們安裝了防火墻、DefensePro3020。在上述網(wǎng)絡(luò)規(guī)劃中我們選用的防火墻可以實(shí)時(shí)探測與阻止病毒、間諜軟件、蠕蟲及應(yīng)用程序漏洞對來自網(wǎng)絡(luò)中的威脅起到一個(gè)實(shí)時(shí)防范作用，同時(shí)也能控制網(wǎng)絡(luò)活動。DefensePro3020部署在中小企業(yè)網(wǎng)絡(luò)的核心交換機(jī)上，具有最大化的吞吐率和先進(jìn)的安全智能，能夠從中小企業(yè)寬帶接入網(wǎng)處實(shí)時(shí)隔離、攔截和防止攻擊。4.1中小企業(yè)用戶終端IP地址安全為了防止中小企業(yè)用戶使用DHCP服務(wù)器造成網(wǎng)絡(luò)管理的混亂，我們可以在接入交換機(jī)中選用支持DHCPSnooping功能的交換機(jī)，這樣中小企業(yè)用戶的IP地址只能由我們選定的中心交換機(jī)和服務(wù)器設(shè)備來自動分配，也可以防止廣播域