典型企業(yè)網(wǎng)的設(shè)計與組建畢業(yè)設(shè)計.doc

畢 業(yè) 論 文典型企業(yè)網(wǎng)的設(shè)計與組建摘 要 本文以設(shè)計和組建一個典型的企業(yè)網(wǎng)為例, 闡述了企業(yè)網(wǎng)絡(luò)工程設(shè)計的基本方法和具體的實(shí)現(xiàn)過程.其主要內(nèi)容包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計, 設(shè)備的選用, IP地址的劃分, VLAN（虛擬局域網(wǎng)）的分配,等等。采用的關(guān)鍵技術(shù)包括：網(wǎng)絡(luò)三層結(jié)構(gòu)設(shè)計、VTP（虛擬局域網(wǎng)干道協(xié)議）、PAT（端口地址轉(zhuǎn)換）、冗余備份和負(fù)載均衡。本設(shè)計通過眾多網(wǎng)絡(luò)技術(shù)的應(yīng)用，組建成一個可擴(kuò)展的，高速的，冗余的網(wǎng)絡(luò)，同時實(shí)現(xiàn)語音，視頻，圖像等各種服務(wù)的應(yīng)用。關(guān)鍵詞 拓?fù)浣Y(jié)構(gòu) 虛擬局域網(wǎng) 三層結(jié)構(gòu) 冗余備份 負(fù)載均衡目 錄1 前言12 需求分析12.1 網(wǎng)絡(luò)項(xiàng)目背景12.1.1 企業(yè)網(wǎng)背景12.1.2 企業(yè)部門信息點(diǎn)規(guī)劃12.2 網(wǎng)絡(luò)系統(tǒng)需求分析22.2.1 網(wǎng)絡(luò)帶寬需求22.2.2 網(wǎng)絡(luò)擴(kuò)展需求22.2.3 網(wǎng)絡(luò)安全性需求23 系統(tǒng)設(shè)計原則23.1 實(shí)用性原則23.2 先進(jìn)性原則23.3 可靠性原則33.4 安全性原則33.5 可擴(kuò)展性原則33.6 可維護(hù)與易操作性44 設(shè)備采用44.1 核心層設(shè)備44.2 分布層設(shè)備54.3 接入層設(shè)備64.4 路由器設(shè)備85 系統(tǒng)總體設(shè)計方案概述95.1 系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu)95.2 VLAN及IP地址劃分106 交換模塊116.1 配置接入層交換機(jī)136.1.1 配置接入層交換機(jī)AccessSwitch1的基本參數(shù)136.1.2 配置接入層交換機(jī)AccessSwitch1的管理IP146.1.3 配置接入層交換機(jī)AccessSwitch1的VLAN及VTP156.1.4 配置接入層交換機(jī)AccessSwitch1端口基本參數(shù)156.1.5 配置接入層交換機(jī)AccessSwitch1的訪問端口166.1.6 配置接入層交換機(jī)AccessSwitch1的主干道端口166.1.7 配置接入層其他交換機(jī)176.2 配置分布層交換機(jī)176.2.1 配置分布層交換機(jī)DistributeSwitch1的基本參數(shù)176.2.2 配置分布層交換機(jī)DistributeSwitch1的管理IP186.2.3 配置分布層交換機(jī)DistributeSwitch1的VTP186.2.4 在分布層交換機(jī)DistributeSwitch1上定義VLAN196.2.5 配置分布層交換機(jī)DistributeSwitch1的端口基本參數(shù)206.2.6 配置分布層交換機(jī)DistributeSwitch1的3層交換功能216.2.7 配置分布層其他交換機(jī)216.3 配置核心層交換機(jī)216.3.1 配置核心層交換機(jī)CoreSwitch1的基本參數(shù)216.3.2 配置核心層交換機(jī)CoreSwitch1的管理IP226.3.3 配置核心層交換機(jī)CoreSwitch1的VLAN及VTP226.3.4 配置核心層交換機(jī)CoreSwitch1的端口參數(shù)236.3.5 配置核心層交換機(jī)CoreSwitch1的路由功能246.3.6 核心層交換機(jī)CoreSwitch2的配置246.3.7 配置HSRP和STP，實(shí)現(xiàn)冗余備份和負(fù)載均衡257 廣域網(wǎng)接入模塊277.1 配置接入路由器Router的基本參數(shù)287.2 配置接入路由器Router的各接口參數(shù)287.3 配置接入路由器Router的路由功能287.4 配置接入路由器InternetRouter上的PAT288 遠(yuǎn)程接入模塊簡介299 服務(wù)器模塊簡介3010 網(wǎng)絡(luò)檢驗(yàn)與測試3110.1 主要的測試、診斷命令3110.2 路由和路由協(xié)議測試、診斷命令3210.3 VLAN、VTP測試診斷命令3210.4 NAT測試、診斷命令3211 結(jié)束語33參考文獻(xiàn)34Abstract35致謝36仲愷農(nóng)業(yè)工程學(xué)院畢業(yè)論文(設(shè)計)成績評定表37III1 前言信息化高速發(fā)展的今天，企業(yè)局域網(wǎng)的建設(shè)已經(jīng)成為提升企業(yè)核心競爭力的關(guān)鍵因素。近年來企業(yè)都在建立自身的信息網(wǎng)絡(luò)，目前我國企業(yè)尤其是中小企業(yè)網(wǎng)絡(luò)建設(shè)正在如火如荼地開展著，但隨著網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，沖突不斷產(chǎn)生，管理難度日益加大。如何合理的規(guī)劃與配置使更有效地提高網(wǎng)絡(luò)管理的靈活性，提高網(wǎng)絡(luò)效率和網(wǎng)絡(luò)安全性。該設(shè)計將主要使公司實(shí)現(xiàn)安全訪問廣域網(wǎng)、發(fā)布企業(yè)信息、宣傳交流、與外界通信、外地員工可利用Internet（因特網(wǎng)）遠(yuǎn)程訪問公司資源等常用企業(yè)任務(wù)和需求, 為用戶到用戶、用戶到應(yīng)用提供速度合理、功能可靠的連接等功能，實(shí)現(xiàn)網(wǎng)絡(luò)化、信息化的先進(jìn)辦公系統(tǒng)1。2 需求分析2.1 網(wǎng)絡(luò)項(xiàng)目背景2.1.1 企業(yè)網(wǎng)背景該公司為一家大中型企業(yè)，公司里有員工總數(shù)超過200人。公司建筑為樓層建筑，整個企業(yè)網(wǎng)有約共400個信息點(diǎn)，包括可擴(kuò)展點(diǎn)。而隨著公司人員的壯大，公司規(guī)模的不斷擴(kuò)大，辦公信息化以及自動化的需求，為提高公司的各個部門之間的辦公信息化，提高效率，提高部門間的信息交流，實(shí)現(xiàn)現(xiàn)代化的辦公環(huán)境，則需要建立一個完善和穩(wěn)定的企業(yè)網(wǎng)絡(luò)。該企業(yè)局域網(wǎng)絡(luò)要保證整個企業(yè)信息點(diǎn)的互聯(lián)、統(tǒng)一、高效、實(shí)用、安全，可支持上百個用戶同時并發(fā)使用。而且要求該企業(yè)局域網(wǎng)的可擴(kuò)展性強(qiáng)，可支持更多的用戶，可擴(kuò)展的、高速的、充分冗余的、基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)，該網(wǎng)絡(luò)能夠支持融合了話音、視頻、圖像和數(shù)據(jù)的應(yīng)用程序2。2.1.2 企業(yè)部門信息點(diǎn)規(guī)劃公司的部門繁多，主要分為：財務(wù)部，行政部，銷售部，人事部，市場部，技術(shù)部，業(yè)務(wù)部，企劃部，后勤部。信息點(diǎn)分布情況如下3：財務(wù)部：25臺 行政部：30臺銷售部：35臺 人事部：40臺市場部：45臺 技術(shù)部：30臺業(yè)務(wù)部：40臺 企劃部：45臺后勤部：45臺2.2 網(wǎng)絡(luò)系統(tǒng)需求分析2.2.1 網(wǎng)絡(luò)帶寬需求公司為大中型企業(yè)，對公司的網(wǎng)絡(luò)帶寬要求較高，以保證網(wǎng)絡(luò)視頻、語音、圖像等信息的傳輸順暢，信息傳輸無阻塞。因此，以1000Mb/s光纖作為主干和垂直布線，以100Mb/s超五類雙絞線作為水平布線，以此來構(gòu)建該企業(yè)網(wǎng)絡(luò)。2.2.2 網(wǎng)絡(luò)擴(kuò)展需求一個完善的網(wǎng)絡(luò)設(shè)計方案，應(yīng)該充分考慮到網(wǎng)絡(luò)的可擴(kuò)展性。因?yàn)殡S著企業(yè)的發(fā)展，規(guī)模的增大，網(wǎng)絡(luò)上的用戶將不斷增加，從而保證網(wǎng)絡(luò)的可擴(kuò)展性則至關(guān)重要。在布線和設(shè)置信息點(diǎn)端口等時，應(yīng)該充分考慮到企業(yè)網(wǎng)的可擴(kuò)展性，從而在未來幾年內(nèi)網(wǎng)絡(luò)將可隨時擴(kuò)展。2.2.3 網(wǎng)絡(luò)安全性需求網(wǎng)絡(luò)的安全性對于任何網(wǎng)絡(luò)來說都是非常重要的，它包括網(wǎng)絡(luò)的防攻擊（服務(wù)攻擊和非服務(wù)攻擊），網(wǎng)絡(luò)安全漏洞的彌補(bǔ)，網(wǎng)絡(luò)信息傳輸?shù)陌踩ǚ乐剐畔⒈缓诳徒孬@、竊取、破譯，篡改和偽造），防止抵賴問題（防止信息源用戶對他發(fā)送的信息事后不承認(rèn)，或者是用戶接收到信息之后不認(rèn)賬），網(wǎng)絡(luò)內(nèi)部安全防范（指如何防止局域網(wǎng)內(nèi)部具有合法身份的用戶有意或無意地做出對網(wǎng)絡(luò)與信息安全有害的行為），網(wǎng)絡(luò)防病毒，抵制無用信息（俗稱垃圾）郵件與灰色軟件，以及網(wǎng)絡(luò)高度冗余能力、數(shù)據(jù)備份恢復(fù)與災(zāi)難恢復(fù)（因?yàn)殡m然可以從預(yù)防、檢查、反應(yīng)等方面著手去減少網(wǎng)絡(luò)信息系統(tǒng)的不安全因素，但是要完全保證系統(tǒng)不出現(xiàn)安全事件，這是任何人都不可能做到的）。3 系統(tǒng)設(shè)計原則3.1 實(shí)用性原則企業(yè)網(wǎng)絡(luò)的組建設(shè)計，首先應(yīng)立足于網(wǎng)絡(luò)的實(shí)用性，結(jié)合企業(yè)實(shí)際應(yīng)用需求來確定。整個網(wǎng)絡(luò)的功能應(yīng)完全立足于企業(yè)管理和運(yùn)營的需求，保證系統(tǒng)信息處理和傳遞的安全、可靠、及時、準(zhǔn)確。在技術(shù)與選材方面，應(yīng)充分考慮到實(shí)用性原則，應(yīng)當(dāng)優(yōu)先考慮采用在當(dāng)前及未來幾年內(nèi)處于主流位置的技術(shù)和設(shè)備。設(shè)備的選型應(yīng)有最優(yōu)的性能價格比，以最省的投資實(shí)現(xiàn)盡可能多的功能。同時，布線系統(tǒng)能夠在將來適應(yīng)技術(shù)發(fā)展的支撐。3.2 先進(jìn)性原則先進(jìn)性原則在企業(yè)網(wǎng)的組建設(shè)計當(dāng)中是至關(guān)重要一個設(shè)計原則，在設(shè)計的時候應(yīng)該采用可靠的成熟的先進(jìn)技術(shù)。采用先進(jìn)的技術(shù)、方法、設(shè)備，使系統(tǒng)既成熟可靠又能反映當(dāng)今應(yīng)用水平，并具發(fā)展?jié)摿Α＞C合布線系統(tǒng)適應(yīng)廣泛的數(shù)據(jù)通信和應(yīng)用，從而保護(hù)用戶在線纜及網(wǎng)絡(luò)系統(tǒng)上的投資。3.3 可靠性原則一個系統(tǒng)的可靠性, 是指一個系統(tǒng)在一定的條件下和一定的時間內(nèi)完成預(yù)定功能的能力。如果一個系統(tǒng)完成后不可靠，那么它將是個失敗的工程。提高網(wǎng)絡(luò)設(shè)備的高可靠性, 從技術(shù)途徑來說, 只有兩條一是避錯技術(shù)，二是容錯技術(shù)。避錯技術(shù)采取的方法就是提高網(wǎng)絡(luò)的可靠性, 也就是保證網(wǎng)絡(luò)的高質(zhì)量。要想進(jìn)一步提高和保證網(wǎng)絡(luò)的高可靠性, 就必須在給定的網(wǎng)絡(luò)結(jié)構(gòu)基礎(chǔ)上, 再構(gòu)成一個更高可靠性的系統(tǒng)。那就是采用容錯技術(shù)。容錯是通過系統(tǒng)資源的冗余和對資源的精心組織來實(shí)現(xiàn)的。應(yīng)該在系統(tǒng)結(jié)構(gòu)、設(shè)計方案、設(shè)備選擇、技術(shù)服務(wù)等方面綜合考慮，保證系統(tǒng)在完成后能夠無故障運(yùn)行。同時系統(tǒng)必須具有出錯處理能力、容錯能力、冗余備份功能等。3.4 安全性原則安全性歷來是受關(guān)注的話題，因?yàn)橐粋€沒有安全保證的網(wǎng)絡(luò)是不可想象的。通常，傳統(tǒng)意義的網(wǎng)絡(luò)安全主要是指網(wǎng)絡(luò)的可靠性和有效抵御事故或不可抗拒的災(zāi)害的能力。采用的措施包括系統(tǒng)、數(shù)據(jù)庫及傳輸?shù)膫浞荨⑷哂嗯渲?、容?zāi)系統(tǒng)建設(shè)等，同時還包括供電系統(tǒng)、機(jī)房設(shè)施的安全性保證。在網(wǎng)絡(luò)IP化、引入計算機(jī)技術(shù)以及數(shù)據(jù)業(yè)務(wù)迅速發(fā)展的今天，網(wǎng)絡(luò)安全性原則更側(cè)重于以下兩方面：一是有效地抵御黑客對網(wǎng)絡(luò)的攻擊和入侵，以及病毒與垃圾郵件等對網(wǎng)絡(luò)的威脅，避免系統(tǒng)資源被無效占用而造成的線路擁塞甚至系統(tǒng)癱瘓，為客戶提供高質(zhì)量的服務(wù)；二是避免有害信息在網(wǎng)絡(luò)中傳播。因此，網(wǎng)絡(luò)的安全性原則在系統(tǒng)設(shè)計中顯得非常重要。網(wǎng)絡(luò)系統(tǒng)必須具有高度的安全性和保密性，通過設(shè)置分級保護(hù)、控制數(shù)據(jù)存取的權(quán)限，防止對系統(tǒng)的非法侵入。3.5 可擴(kuò)展性原則系統(tǒng)應(yīng)易于升級和功能擴(kuò)充。在系統(tǒng)容量、能力、處理能力等方面具有可擴(kuò)展性，可以方便地進(jìn)行產(chǎn)品和設(shè)備的升級換代，不僅能夠保護(hù)企業(yè)的投資，而且具有較高的綜合性能價格比。企業(yè)中的用戶可增加硬件設(shè)備，無論各硬件設(shè)備技術(shù)如何發(fā)展，都能很方便的連接到系統(tǒng)中去。在滿足實(shí)用性的基礎(chǔ)上具備一定的超前。當(dāng)企業(yè)不斷的發(fā)展、新的技術(shù)不斷涌現(xiàn)的情況下。適當(dāng)?shù)脑黾有碌挠布O(shè)備時能方便地接入網(wǎng)絡(luò)、網(wǎng)絡(luò)擴(kuò)容容易實(shí)現(xiàn)；軟件上便于更新、維護(hù)、升級。網(wǎng)絡(luò)的可擴(kuò)展性保證主要是通過交換機(jī)端口、服務(wù)器處理器數(shù)、內(nèi)存容量、磁盤架數(shù)等方面來保證。通常要求核心，或者骨干層，甚至?xí)蹖咏粨Q機(jī)的高速端口(通常為千兆位端口) 要有兩個以上用于維護(hù)和擴(kuò)展，不要在設(shè)計之初就只想到當(dāng)前所需的這類端口數(shù)，把所有高速端口都占用完。3.6 可維護(hù)與易操作性提供有效的網(wǎng)絡(luò)管理和系統(tǒng)監(jiān)控、調(diào)試、診斷技術(shù)，保證系統(tǒng)維護(hù)管理簡明、方便、有效。采用標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和統(tǒng)一的通信處理方式，能實(shí)現(xiàn)作為完整系統(tǒng)的功能特性。同時，為方便企業(yè)管理人員的操作，企業(yè)網(wǎng)的組建應(yīng)該考慮到網(wǎng)絡(luò)的易操作性。必須提供友好的界面，操作簡便，容錯性強(qiáng)，易于管理和維護(hù)4。4 設(shè)備采用4.1 核心層設(shè)備考慮到整個網(wǎng)絡(luò)需要400個左右的信息點(diǎn)，核心層配置兩臺Cisco 6506交換機(jī)，以便做好冗余備份，提供高速的交換，Cisco 6506具有以下特性：基本參數(shù) 網(wǎng)絡(luò)類型：以太網(wǎng)、快速以太網(wǎng)、ISDN、FDDI、ATM、Token Ring、Gigabit以太網(wǎng) 網(wǎng)絡(luò)協(xié)議：802.3z，802.3u，ATM 端口總數(shù)：N/A 閃存：16 MB 功能參數(shù) 引擎交換：3,2 速率：VLAN最大數(shù)：1000；底版：可擴(kuò)充至256 Gbps；多層性能：可擴(kuò)充至150 Mpps； 模塊化插槽數(shù) 6；底版：可擴(kuò)充至256 Gbps； 可用模塊：WS-X6408-GBIC=Catalyst 6000，8端口千兆位以太網(wǎng)模塊(需要GBIC)；WS-X6302-MSM=Catalyst 6000，多層交換機(jī)模塊；WS-X6248-RJ-45=Catalyst 6000，48端口10/100bTX (RJ-45)模塊；WS-X6224-100FX-MT=Catalyst 6000，24端口100bFX (多模式，MT-RJ)；WS-X6248-TEL=Catalyst 6000，48端口Telco模塊；MEM-C6K-FLC16M=Catalyst 6000 Supervisor PCMCIA 16MB閃存卡；MEM-C6K-FLC24M=Catalyst 6000 Sup PCMCIA閃存卡，24MB備用； 是否支持VLAN：是 是否支持QoS/CoS：是 網(wǎng)管功能：CiscoWorks 2000、RMON、Enhanced Switched Port Ananlyzer (ESPAN)、SNMP、Telnet、BOOTP和小型文件傳輸協(xié)議(TFTP) 軟件功能：WS-C6X09-EMS-LIC=Catalyst 6x09 RMON代理許可；WS-C6X06-EMS-LIC=Catalyst 6x06 RMON代理許可；FRC-MSM-IPX=Catalyst 6000 IPX特性集許可；CON-SNT-PKG16：Catalyst 6000 SMARTnet維護(hù) 其他參數(shù) 電源：WS-X6K-SUP1-2GE+交流電源 尺寸：20.1x17.2x18.1 in. cm 價格：35000元圖1 Cisco 65064.2 分布層設(shè)備在分布層配置三臺CISCO 6509交換機(jī)，為企業(yè)提供高速交換，其基本參數(shù)如下：基本參數(shù) 網(wǎng)絡(luò)類型：以太網(wǎng)、快速以太網(wǎng)、ISDN、FDDI、ATM、Token Ring、Gigabit以太網(wǎng) 網(wǎng)絡(luò)協(xié)議：802.3z，802.3u，ATM 端口總數(shù)：N/A 閃存：16 MB 功能參數(shù) 引擎交換：3,2 速率：VLAN最大數(shù)：1000；底版：可擴(kuò)充至256 Gbps；多層性能：可擴(kuò)充至150 Mpps； 模塊化插槽數(shù) 9 可用模塊：WS-X6408-GBIC=Catalyst 6000，8端口千兆位以太網(wǎng)模塊(需要GBIC)；WS-X6302-MSM=Catalyst 6000，多層交換機(jī)模塊；WS-X6248-RJ-45=Catalyst 6000，48端口10/100bTX (RJ-45)模塊；WS-X6224-100FX-MT=Catalyst 6000，24端口100bFX (多模式，MT-RJ)；WS-X6248-TEL=Catalyst 6000，48端口Telco模塊；MEM-C6K-FLC16M=Catalyst 6000 Supervisor PCMCIA 16MB閃存卡；MEM-C6K-FLC24M=Catalyst 6000 Sup PCMCIA閃存卡，24MB備用； 是否支持VLAN：是 是否支持QoS/CoS：是 網(wǎng)管功能：CiscoWorks 2000、RMON、Enhanced Switched Port Ananlyzer (ESPAN)、SNMP、Telnet、BOOTP和小型文件傳輸協(xié)議(TFTP) 軟件功能：WS-C6X09-EMS-LIC=Catalyst 6x09 RMON代理許可；WS-C6X06-EMS-LIC=Catalyst 6x06 RMON代理許可；FRC-MSM-IPX=Catalyst 6000 IPX特性集許可；CON-SNT-PKG16：Catalyst 6000 SMARTnet維護(hù) 其他參數(shù) 電源：交流電源+WS-X6K-SUP1-2GE 尺寸：25.2x17.2x18.1 in. cm價格：40000元4.3 接入層設(shè)備在分布層的每臺交換機(jī)上連接3臺48端口的交換機(jī)，即在接入層配置9臺48端口的交換機(jī)，以滿足400信息點(diǎn)的需求。在此采用CISCO WS-C2950G-48-EI交換機(jī)，其具體參數(shù)如下：基本參數(shù) 網(wǎng)絡(luò)類型：快速以太網(wǎng) 網(wǎng)絡(luò)協(xié)議：IEEE 802.1x,10BaseT、100BaseTX、1000BaseT端口上的IEEE 802.3x全雙工操作,IEEE 802.1D生成樹協(xié)議,IEEE 802.1p CoS,IEEE 802.1Q VLAN,IEEE 802.3ab 1000BaseTX規(guī)范 ,IEEE 802.3u 100BaseTx規(guī)范,IEEE 802.3 10BaseTx規(guī)范 端口總數(shù)：48 閃存：8 MB 功能參數(shù) 最大地址數(shù)：8000 背板帶寬：8.8 Gbps 速率：10/100Base-T，GBIC DRAM：16 MB 可用模塊：無 是否支持VLAN：是 是否支持QoS/CoS：是 網(wǎng)管功能：SNMP管理信息庫(MIB)II，SNMP MIB擴(kuò)展，橋接MIB(RFC 1493) 其他參數(shù) 電源：使用內(nèi)置電源或Cisco RPS300電源 尺寸：44.5*24.2*4.4 cm 重量：3 Kg價格：18000元圖2 CISCO WS-C2950G-48-EI4.4 路由器設(shè)備企業(yè)網(wǎng)的路由器選用的是Cisco 2821，其具體參數(shù)如下：路由器類型：模塊化路由器最大Flash內(nèi)存：256MB 最大DRAM內(nèi)存:1024MB 網(wǎng)絡(luò)認(rèn)證標(biāo)準(zhǔn):IEEE 802.3X 網(wǎng)絡(luò)端口 局域網(wǎng)接口:2個10/100/1000Mbps端口 其他控制端口:Console 擴(kuò)展插槽:11個 網(wǎng)絡(luò)功能 Qos功能 路由器包轉(zhuǎn)發(fā)率:0.04 Mpps 路由器網(wǎng)管功能:Cisco ClickStart,SNMP VPN功能:支持VPN 防火墻功能:內(nèi)置 其他功能 集成語音留言范圍廣泛的話音接口支持 SRST, 分支機(jī)構(gòu)可利用集中呼叫控制, 并通過SRST冗余性為IP電話經(jīng)濟(jì)有效地提供本地分支機(jī)構(gòu)備份 安全標(biāo)準(zhǔn):UL 60950:CAN/CSA C22.2 No. 60950,IEC 60950,EN 60950-1,AS/NZS 60950 其他參數(shù) 電源電壓:100-240 VAC 功耗：240W 外觀尺寸：416438.288.9 mm 機(jī)身重量：11.4kg圖3 Cisco 28215 系統(tǒng)總體設(shè)計方案概述5.1 系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu)一般來說，在一個局域網(wǎng)中，讓全網(wǎng)的所有設(shè)備都使用同一個廠家的設(shè)備，可以實(shí)現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。因此，在本設(shè)計方案中，我們將完全采用同一家廠商的網(wǎng)絡(luò)產(chǎn)品，即Cisco公司的網(wǎng)絡(luò)設(shè)備來構(gòu)建，以達(dá)到實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備統(tǒng)一的目的，也便于設(shè)備間的兼容。本企業(yè)網(wǎng)設(shè)計方案主要由以下幾個部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪問模塊、服務(wù)器群。整個網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)圖如下圖所示5。圖4 拓?fù)鋱D5.2 VLAN及IP地址劃分在局域網(wǎng)中劃分VLAN的作用：1. 限制廣播域。廣播域被限制在一個VLAN內(nèi)，節(jié)省了帶寬，提高了網(wǎng)絡(luò)處理能力。2. 增強(qiáng)局域網(wǎng)的安全性。不同VLAN內(nèi)的報文在傳輸時是相互隔離的，即一個VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備。3. 靈活構(gòu)建虛擬工作組。用VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡(luò)構(gòu)建和維護(hù)更方便靈活。在企業(yè)網(wǎng)中實(shí)行VLAN的劃分，能有助于各個部門的分工,方便管理,同時便于各種針對不同部門的策略的應(yīng)用:該公司共有9個部門，分別為：財務(wù)部，行政部，銷售部，人事部，市場部，技術(shù)部，業(yè)務(wù)部，企劃部，后勤部。另外，服務(wù)器群也劃分一個VLAN。因此根據(jù)實(shí)際情況，對企業(yè)的局域網(wǎng)進(jìn)行VLAN的劃分，具體如下表：表1 VLAN的劃分VLAN編號VLAN名稱IP網(wǎng)段子網(wǎng)掩碼說明VLAN1-17216002552552550管理VLANVLAN10CWB17216102552552550財務(wù)部VLAN20XZB17216202552552550行政部VLAN30XSB17216302552552550銷售部VLAN40RSB17216402552552550人事部VLAN50SCB17216502552552550市場部VLAN60JSB17216602552552550技術(shù)部VLAN70YWB17216702552552550業(yè)務(wù)部VLAN80QHB17216802552552550企劃部VLAN90HQB17216902552552550后勤部VLAN100FWQ172161002552552550服務(wù)器群6 交換模塊本企業(yè)網(wǎng)的設(shè)計方案是一個分層的設(shè)計方案，采用三層設(shè)計模型。因而，在本企業(yè)網(wǎng)的內(nèi)部數(shù)據(jù)交換模塊的部署配制上是分層進(jìn)行的，這樣設(shè)計可以簡化本企業(yè)網(wǎng)中的交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴(kuò)展性。企業(yè)網(wǎng)的數(shù)據(jù)交換設(shè)備我們將它劃分為三層，分別是：接入層、分布層、核心層。在現(xiàn)代交換網(wǎng)絡(luò)中，我們還引入了虛擬局域網(wǎng)（Virtual LAN,VLAN）的概念。VLAN技術(shù)的出現(xiàn)，主要為了解決交換機(jī)在進(jìn)行局域網(wǎng)互連時無法限制廣播的問題。這種技術(shù)可以把一個LAN劃分成多個邏輯的LANVLAN，每個VLAN是一個廣播域，VLAN內(nèi)的主機(jī)間通信就和在一個LAN內(nèi)一樣，而VLAN間則不能直接互通，這樣，廣播報文被限制在一個VLAN內(nèi)。VLAN的優(yōu)點(diǎn)：1. 限制廣播域。廣播域被限制在一個VLAN內(nèi)，節(jié)省了帶寬，提高了網(wǎng)絡(luò)處理能力。2. 增強(qiáng)局域網(wǎng)的安全性。不同VLAN內(nèi)的報文在傳輸時是相互隔離的，即一個VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備。3. 靈活構(gòu)建虛擬工作組。用VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡(luò)構(gòu)建和維護(hù)更方便靈活。VLAN將廣播域限制在單個VLAN內(nèi)部，減小了各VLAN間主機(jī)的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術(shù)來實(shí)現(xiàn)。 當(dāng)我們的局域網(wǎng)中需要管理的交換機(jī)數(shù)量非常多時，我們可以使用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）簡化管理。它是一個OSI參考模型第二層的通信協(xié)議，主要用于管理在同一個域的網(wǎng)絡(luò)范圍內(nèi)VLAN的建立、刪除和重命名。在一臺VTP Server（VTP服務(wù)器）上配置一個新的VLAN時，該VLAN的配置信息將自動傳播到本域內(nèi)的其他所有交換機(jī)。這些交換機(jī)會自動地接收這些配置信息，使其VLAN的配置與VTP Server保持一致，從而減少在多臺設(shè)備上配置同一個VLAN信息的工作量，而且保持了VLAN配置的統(tǒng)一性。 VTP通過網(wǎng)絡(luò)(ISL幀或Cisco私有DTP幀)保持VLAN配置統(tǒng)一性。VTP在系統(tǒng)級管理增加，刪除，調(diào)整的VLAN，自動地將信息向網(wǎng)絡(luò)中其它的交換機(jī)廣播。此外，VTP減小了那些可能導(dǎo)致安全問題的配置。便于管理,只要在VTP Server做相應(yīng)設(shè)置,VTP Client（VTP客戶機(jī)）會自動學(xué)習(xí)VTP Server上的VLAN信息。因此，在本設(shè)計中，我們只需在單獨(dú)一臺交換機(jī)上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。 當(dāng)局域網(wǎng)絡(luò)的交換機(jī)數(shù)量增多、交換機(jī)間鏈路增加時，交換網(wǎng)絡(luò)的復(fù)雜性可能會造成交換環(huán)路問題，這時候我們需要通過在各交換機(jī)上運(yùn)行生成樹協(xié)議（Spanning Tree Protocol，STP）來解決。STP可應(yīng)用于環(huán)路網(wǎng)絡(luò)，通過一定的算法實(shí)現(xiàn)路徑冗余，同時將環(huán)路網(wǎng)絡(luò)修剪成無環(huán)路的樹型網(wǎng)絡(luò)，從而避免報文在環(huán)路網(wǎng)絡(luò)中的增生和無限循環(huán)。STP的基本原理是，通過在交換機(jī)之間傳遞一種特殊的協(xié)議報文（在IEEE 802.1D中這種協(xié)議報文被稱為“配置消息”）來確定網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。配置消息中包含了足夠的信息來保證交換機(jī)完成生成樹計算。6.1 配置接入層交換機(jī)接入層的功能為為企業(yè)局域網(wǎng)中的所有的終端用戶提供一個接入點(diǎn)。本設(shè)計中的接入層交換機(jī)采用的是CISCO WS-C2950G-48-EI交換機(jī)。該交換機(jī)擁有48個自適應(yīng)快速以太網(wǎng)端口，運(yùn)行的是Cisco的IOS操作系統(tǒng)。這里，我們以其中一個接入層交換機(jī)AccessSwitch1為例進(jìn)行介紹它的配置。圖5 接入層交換機(jī)AccessSwitch16.1.1 配置接入層交換機(jī)AccessSwitch1的基本參數(shù)1、設(shè)置交換機(jī)名稱設(shè)置交換機(jī)名稱，也就是出現(xiàn)在交換機(jī)CLI提示符中的名字。一般以地理位置或行政劃分來為交換機(jī)命名。當(dāng)需要Telnet登錄到若干臺交換機(jī)以維護(hù)一個大型網(wǎng)絡(luò)時，通過交換機(jī)名稱提示符提示自己當(dāng)前配置交換機(jī)的位置是很有必要的。設(shè)置了交換機(jī)的名稱，可以方便網(wǎng)絡(luò)管理員管理，方便管理員很快識別所管理的交換機(jī)是哪臺交換機(jī)，該交換機(jī)的功能等等。為接入層交換機(jī)AccessSwitch1命名：Swith(config)#hostname AccessSwitch1AccessSwitch1(config)# 2、設(shè)置交換機(jī)的加密使能口令當(dāng)用戶在普通用戶模式而想要進(jìn)入特權(quán)用戶模式時，需要提供此口令。此口令會以MD5的形式加密，因此，當(dāng)用戶查看配置文件時，無法看到明文形式的口令。從而也加強(qiáng)了網(wǎng)絡(luò)的安全性。將交換機(jī)的加密使能口令設(shè)置為password：AccessSwitch1(config)#enable secret password3、設(shè)置登錄虛擬終端線時的口令 對于一個已經(jīng)運(yùn)行著的交換網(wǎng)絡(luò)來說，交換機(jī)的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理人員提供了很多的方便。但是，在能夠遠(yuǎn)程管理交換機(jī)之前網(wǎng)絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機(jī)的口令，這樣是為了實(shí)現(xiàn)安全。設(shè)置登錄交換機(jī)時需要驗(yàn)證用戶身份，同時設(shè)置口令為guess：AccessSwitch1(config)#line vty 0 15AccessSwitch1(config-line)#loginAccessSwitch1(config-line)#password guess 4、設(shè)置終端線超時時間 我們可以設(shè)置終端線超時時間。在設(shè)置的時間內(nèi)，如果沒有檢測到鍵盤輸入，IOS將斷開用戶和交換機(jī)之間的連接，這樣也是為了保證網(wǎng)絡(luò)系統(tǒng)的安全。設(shè)置登錄交換機(jī)的控制臺終端線路及虛擬終端線的超時時間為5分10秒： AccessSwitch1(config)#line vty 0 15AccessSwitch1(config-line)#exec-timeout 5 10AccessSwitch1(config-line)#line con 0AccessSwitch1(config-line)#exec-timeout 5 105、設(shè)置禁用IP地址解析特性 在交換機(jī)默認(rèn)配置的情況下，當(dāng)輸入一條錯誤的交換機(jī)命令時，交換機(jī)會嘗試將其廣播給網(wǎng)絡(luò)上的DNS服務(wù)器并將其解析成對應(yīng)的IP地址。利用命令no ip domain-lookup?？梢越眠@個特性。設(shè)置禁用IP地址解析特性:AccessSwitch1(config)#no ip domain-lookup6.1.2 配置接入層交換機(jī)AccessSwitch1的管理IP 接入層交換機(jī)是OSI參考模型的第2層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備。因此，給接入層交換機(jī)的每個端口設(shè)置IP地址是沒意義的。但是，為了使網(wǎng)絡(luò)管理人員可以從遠(yuǎn)程登錄到訪問層交換機(jī)上進(jìn)行管理，必須給訪問層交換機(jī)設(shè)置一個管理用IP地址。這種情況下，實(shí)際上是將交換機(jī)看成和PC機(jī)一樣的主機(jī)。 給交換機(jī)設(shè)置管理用IP地址只能在VLAN1，即本征VLAN中進(jìn)行。管理VLAN所在的子網(wǎng)是：/24，這里將訪問層交換機(jī)AccessSwitch1的管理IP地址設(shè)為：/24。為訪問層交換機(jī)AccessSwitch1設(shè)置管理IP并激活本征VLAN:AccessSwitch1(config)#interface vlan 1AccessSwitch1(config-ip)#ip address AccessSwitch1(config-ip)#no shutdown6.1.3 配置接入層交換機(jī)AccessSwitch1的VLAN及VTP 在本企業(yè)網(wǎng)設(shè)計方案中，我們使用了VTP技術(shù)，從而大大提高了網(wǎng)絡(luò)工作效率。在本設(shè)計中，我們將分布層交換機(jī)DistributeSwitch1設(shè)置為本網(wǎng)絡(luò)中的VTP服務(wù)器，而其他的交換機(jī)則設(shè)置成為VTP客戶機(jī)。根據(jù)VTP的原理，接入層交換機(jī)AccessSwitch1將通過VTP獲得在分布層交換機(jī)DistributeSwitch1中定義的所有的VLAN的信息。設(shè)置接入層交換機(jī)AccessSwitch1成為VTP客戶機(jī)。AccessSwitch1(config)#vtp mode client6.1.4 配置接入層交換機(jī)AccessSwitch1端口基本參數(shù)1、端口雙工配置可以設(shè)定某端口根據(jù)對端設(shè)備雙工類型自動調(diào)整本端口雙工模式，也可以強(qiáng)制將端口雙工模式設(shè)為半雙工或全雙工模式。在了解對端設(shè)備類型的情況下，我們采用手動設(shè)置端口雙工模式。設(shè)置訪問層交換機(jī)AccessSwitch1的所有端口均工作在全雙工模式：AccessSwitch1(config)#interface range fastethernet 0/1-48AccessSwitch1(config-if-range)#duplex full2、端口速度可以設(shè)定某端口根據(jù)對端設(shè)備速度自動調(diào)整本端口速度，也可以強(qiáng)制將端口速度設(shè)為10Mpbs或100Mbps。在了解對端設(shè)備速度的情況下，我們采用手動設(shè)置端口速度。 設(shè)置訪問層交換機(jī)AccessSwitch1的所有端口的速度均為100Mbps。AccessSwitch1(config)#interface range fastethernet 0/1-48AccessSwitch1(config-if-range)#speed 1006.1.5 配置接入層交換機(jī)AccessSwitch1的訪問端口接入層交換機(jī)AccessSwitch1為終端用戶提供接入服務(wù)。在本設(shè)計中，接入層交換機(jī)AccessSwitch1為VLAN10（即財務(wù)部，所需信息點(diǎn)為25個，因此需劃分給它25個端口）提供接入服務(wù)。 1、設(shè)置訪問層交換機(jī)AccessSwitch1的端口125設(shè)置接入層交換機(jī)AccessSwitch1的端口1端口25工作在訪問（接入）模式。同時，設(shè)置端口1端口25為VLAN 10的成員：AccessSwitch1(config)#interface range fastethernet 0/1-25AccessSwitch1(config-if-range)#switchport mode accessAccessSwitch1(config-if-range)#switchport access vlan 102、設(shè)置快速端口默認(rèn)情況下，交換機(jī)在剛加電啟動時，每個端口都要經(jīng)歷生成樹的四個階段：阻塞、偵聽、學(xué)習(xí)、轉(zhuǎn)發(fā)。在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前，某個端口可能最多要等50秒鐘的時間（20秒的阻塞時間15秒的偵聽延遲時間15秒的學(xué)習(xí)延遲時間）。 對于直接接入終端工作站的端口來說，用于阻塞和偵聽的時間是不必要的。為了加速交換機(jī)端口狀態(tài)轉(zhuǎn)化時間，可以設(shè)置將某端口設(shè)置成為快速端口（Portfast）。設(shè)置為快速端口的端口當(dāng)交換機(jī)啟動或端口有工作站接入時，將會直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，而不會經(jīng)歷阻塞、偵聽、學(xué)習(xí)狀態(tài)（假設(shè)橋接表已經(jīng)建立）。 設(shè)置接入層交換機(jī)AccessSwitch1的端口1端口25為快速端口：AccessSwitch1(config)#interface range fastethernet 0/1-25AccessSwitch1(config-if-range)#spanning-tree portfast6.1.6 配置接入層交換機(jī)AccessSwitch1的主干道端口如圖5-1所示，接入層交換機(jī)AccessSwitch1通過端口FastEthernet 0/48上連到分布層交換機(jī)DistributeSwitch1的端口FastEthernet 0/24。這條上連鏈路將成為主干道鏈路，在這條上連鏈路上將運(yùn)輸VLAN的數(shù)據(jù)。設(shè)置接入層交換機(jī)AccessSwitch1的端口FastEthernet 0/48為主干道端口：AccessSwitch1(config)#interface range fastethernet 0/48AccessSwitch1(config-if-range)#switchport mode trunk6.1.7 配置接入層其他交換機(jī)接入層其他交換機(jī)其他VLAN（VLAN20,VLAN30,VLAN40等）的用戶提供接入服務(wù)。同時，分別通過自己的FastEthernet 0/48上連到分布層交換機(jī)。對接入層其他交換機(jī)的配置步驟、命令和對接入層交換機(jī)AccessSwitch1的配置類似。這里，不再詳細(xì)分析。6.2 配置分布層交換機(jī)分布層除了負(fù)責(zé)將接入層交換機(jī)進(jìn)行匯集外，還為整個交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能。這里的分布層交換機(jī)采用的是CISCO 6509交換機(jī)。CISCO 6509交換機(jī)擁有24個10/100Mbps自適應(yīng)快速以太網(wǎng)端口，同時還有2個1000Mbps的GBIC端口供上連使用，運(yùn)行的是Cisco的Integrated IOS操作系統(tǒng)。我們以分布層交換機(jī)DistributeSwitch1為例進(jìn)行介紹分布層交換機(jī)的配置。圖6 分布層交換機(jī)DistributeSwitch16.2.1 配置分布層交換機(jī)DistributeSwitch1的基本參數(shù) 對分布層交換機(jī)DistributeSwitch1的基本參數(shù)的配置步驟與對接入層交換機(jī)AccessSwitch1的基本參數(shù)的配置類似。因此在這里，只給出實(shí)際的配置步驟。Switch#configure terminalSwitch(config)#hostname DistributeSwitch1DistributeSwitch1(config)#enable secret guessDistributeSwitch1(config)#line con 0DistributeSwitch1(config-line)#exec-timeout 5 10DistributeSwitch1(config-line)#line vty 0 15DistributeSwitch1(config-line)#password aaaDistributeSwitch1(config-line)#loginDistributeSwitch1(config-line)#exec-timeout 5 10DistributeSwitch1(config-line)#exitDistributeSwitch1(config)#no ip domain-lookup6.2.2 配置分布層交換機(jī)DistributeSwitch1的管理IP為分布層交換機(jī)DistributeSwitch1設(shè)置管理IP并激活本征VLAN:DistributeSwitch1(config)#interface vlan 1DistributeSwitch1(config-if)#ip address DistributeSwitch1(config-if)#no shutdownDistributeSwitch1(config-if)#exit6.2.3 配置分布層交換機(jī)DistributeSwitch1的VTP當(dāng)網(wǎng)絡(luò)中交換機(jī)數(shù)量很多時，需要分別在每臺交換機(jī)上創(chuàng)建很多重復(fù)的VLAN。這樣工作量很大、過程很繁瑣，并且容易出錯。因而，我們常采用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）來解決這個問題。VTP允許我們在一臺交換機(jī)上創(chuàng)建所有的VLAN。然后，利用交換機(jī)之間的互相學(xué)習(xí)功能，將創(chuàng)建好的VLAN定義傳播到整個網(wǎng)絡(luò)中需要此VLAN定義的所有交換機(jī)上。同時，有關(guān)VLAN的刪除、參數(shù)更改操作均可傳播到其他交換機(jī)。從而大大減輕了網(wǎng)絡(luò)管理人員配置交換機(jī)負(fù)擔(dān)。 在本企業(yè)網(wǎng)實(shí)現(xiàn)方案中我們使用了VTP技術(shù)。同時，將分布層交換機(jī)DistributeSwitch1設(shè)置成為VTP服務(wù)器，其他交換機(jī)則設(shè)置成為VTP客戶機(jī)。1、配置VTP的管理域共享相同VLAN定義數(shù)據(jù)庫的交換機(jī)構(gòu)成一個VTP管理域。每一個VTP管理域都有一個共同的VTP管理域域名。不同VTP管理域的交換機(jī)之間不交換VTP通告信息。DistributeSwitch1(config)#vtp domain manage將VTP管理域的域名定義為manage：2、設(shè)置VTP服務(wù)器工作在VTP服務(wù)器模式下的交換機(jī)可以創(chuàng)建、刪除VLAN、修改VLAN參數(shù)。同時，還有責(zé)任發(fā)送和轉(zhuǎn)發(fā)VLAN更新消息。設(shè)置分布層交換機(jī)DistributeSwitch1成為VTP服務(wù)器：DistributeSwitch1(config)#vtp mode server3、激活VTP的剪裁功能默認(rèn)情況下主干道傳輸所有VLAN的用戶數(shù)據(jù)。有時，交換網(wǎng)絡(luò)中某臺交換機(jī)的所有端口都屬于同一VLAN的成員，沒有必要接收其他VLAN的用戶數(shù)據(jù)。這時，可以激活主干道上的VTP剪裁功能。當(dāng)激活了VTP剪裁功能以后，交換機(jī)將自動剪裁本交換機(jī)沒有定義的VLAN數(shù)據(jù)。 在一個VTP域下，只需要在VTP服務(wù)器上激活VTP剪裁功能。同一VTP域下的所有其他交換機(jī)也將自動激活VTP剪裁功能。 設(shè)置激活VTP剪裁功能：DistributeSwitch1(config)#vtp pruning6.2.4 在分布層交換機(jī)DistributeSwitch1上定義VLAN在本企業(yè)網(wǎng)實(shí)現(xiàn)方案中，除了默認(rèn)的本征VLAN外，又定義了10個VLAN（前面已經(jīng)說明）。 由于使用了VTP技術(shù)，所以所有VLAN的定義只需要在VTP服務(wù)器，即在分布層交換機(jī)DistributeSwitch1上進(jìn)行。 定義10個VLAN，同時為每個VLAN命名:DistributeSwitch1(config)#vlan 10DistributeSwitch1(config-vlan)#name CWBDistributeSwitch1(config)#vlan 20DistributeSwitch1(config-vlan)#name XZBDistributeSwitch1(config)#vlan 30DistributeSwitch1(config-vlan)#name XSBDistributeSwitch1(config)#vlan 40DistributeSwitch1(config-vlan)#name RSBDistributeSwitch1(config)#vlan 50DistributeSwitch1(config-vlan)#name SCBDistributeSwitch1(config)#vlan 60DistributeSwitch1(config-vlan)#name JSBDistributeSwitch1(config)#vlan 70 DistributeSwitch1(config-vlan)#name YWBDistributeSwitch1(config)#vlan 80DistributeSwitch1(config-vlan)#name QHBDistributeSwitch1(config)#vlan 90DistributeSwitch1(config-vlan)#name HQBDistributeSwitch1(config)#vlan 100DistributeSwitch1(config-vlan)#name FWQ6.2.5 配置分布層交換機(jī)DistributeSwitch1的端口基本參數(shù)分布層交換機(jī)DistributeSwitch1的端口FastEthernet 0/1FastEthernet 0/10為服務(wù)器群提供接入服務(wù)，而端口FastEthernet 0/22、FastEthernet 0/23、FastEthernet 0/24分別下連到接入