中小型企業(yè)局域網(wǎng)的設(shè)計與實(shí)現(xiàn)畢業(yè)設(shè)計

1、中中小小型型企企業(yè)業(yè)局局域域網(wǎng)網(wǎng)的的設(shè)設(shè)計計與與實(shí)實(shí)現(xiàn)現(xiàn) i 畢業(yè)設(shè)計（論文）原創(chuàng)性聲明和使用授權(quán)說明畢業(yè)設(shè)計（論文）原創(chuàng)性聲明和使用授權(quán)說明 原創(chuàng)性聲明原創(chuàng)性聲明 本人鄭重承諾：所呈交的畢業(yè)設(shè)計（論文），是我個人在指導(dǎo)教師的指 導(dǎo)下進(jìn)行的研究工作及取得的成果。盡我所知，除文中特別加以標(biāo)注和致 謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過的研究成果，也不包 含我為獲得 及其它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過的材料。 對本研究提供過幫助和做出過貢獻(xiàn)的個人或集體，均已在文中作了明確 的說明并表示了謝意。 作 者 簽 名： 日 期： 指導(dǎo)教師簽名： 日期： 使用授權(quán)說明使用授權(quán)說明 本人完全了解 大學(xué)

2、關(guān)于收集、保存、使用畢業(yè)設(shè)計（論文）的 規(guī)定，即：按照學(xué)校要求提交畢業(yè)設(shè)計（論文）的印刷本和電子版本；學(xué)校 有權(quán)保存畢業(yè)設(shè)計（論文）的印刷本和電子版，并提供目錄檢索與閱覽服 務(wù)；學(xué)校可以采用影印、縮印、數(shù)字化或其它復(fù)制手段保存論文；在不以贏 利為目的前提下，學(xué)?？梢怨颊撐牡牟糠只蛉績?nèi)容。 作者簽名： 日 期： ii 學(xué)位學(xué)位論論文原文原創(chuàng)創(chuàng)性聲明性聲明 本人鄭重聲明：所呈交的論文是本人在導(dǎo)師的指導(dǎo)下獨(dú)立進(jìn)行研究所 取得的研究成果。除了文中特別加以標(biāo)注引用的內(nèi)容外，本論文不包含任 何其他個人或集體已經(jīng)發(fā)表或撰寫的成果作品。對本文的研究做出重要 貢獻(xiàn)的個人和集體，均已在文中以明確方式標(biāo)明。本人

3、完全意識到本聲明 的法律后果由本人承擔(dān)。 作者簽名： 日期： 年 月 日 學(xué)位學(xué)位論論文版文版權(quán)權(quán)使用授使用授權(quán)書權(quán)書 本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定，同意 學(xué)校保留并向國家有關(guān)部門或機(jī)構(gòu)送交論文的復(fù)印件和電子版，允許論 文被查閱和借閱。本人授權(quán) 大學(xué)可以將本學(xué)位論文的全部 或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制 手段保存和匯編本學(xué)位論文。 涉密論文按學(xué)校規(guī)定處理。 作者簽名：日期： 年 月 日 導(dǎo)師簽名： 日期： 年 月 日 iii 摘摘 要要 隨著網(wǎng)絡(luò)技術(shù)新系統(tǒng)、新領(lǐng)域的長足發(fā)展，傳統(tǒng)企業(yè)也正利用其行業(yè)的特點(diǎn)， 融合網(wǎng)絡(luò)技術(shù)的優(yōu)勢，發(fā)展自身

4、。在信息化生產(chǎn)逐步普及的今天，組建企業(yè)內(nèi)部網(wǎng) 絡(luò)已經(jīng)是企業(yè)必不可少的一部分，建立高速、穩(wěn)定、安全、智能的辦公網(wǎng)，是組建 中小型企業(yè)局域網(wǎng)的核心。 本論文所闡述的網(wǎng)絡(luò)是使用業(yè)界流行的核心層匯聚層分布層三層結(jié)構(gòu)設(shè)計 的中小型企業(yè)網(wǎng)，結(jié)合廣為使用的虛擬局域網(wǎng)（vlan） ，熱備份路由（hsrp） ，訪 問控制列表（acl） ，網(wǎng)絡(luò)地址轉(zhuǎn)換（nat）等技術(shù)，增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性和安全性。 設(shè)計中采用虛擬局域網(wǎng)來隔離不同部門，以達(dá)到增強(qiáng)企業(yè)網(wǎng)絡(luò)安全性的目的； 在規(guī)劃好的 vlan 的基礎(chǔ)上，采用訪問控制列表（acl） ，設(shè)置策略，來限制部門 之間以及服務(wù)器區(qū)的訪問，進(jìn)一步提高企業(yè)網(wǎng)絡(luò)內(nèi)部的安全性；并在核心層

5、交換機(jī) 上采用熱備份路由（hsrp）技術(shù)，增加網(wǎng)絡(luò)的冗余，提高企業(yè)網(wǎng)絡(luò)的整體穩(wěn)定性； 采用路由器硬件的動態(tài)主機(jī)分配協(xié)議（dhcp）功能，保證各部門 ip 地址的獲??； 在邊界路由器上設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換（nat） ，將企業(yè)內(nèi)部私有地址轉(zhuǎn)換為公網(wǎng)地址， 實(shí)現(xiàn)了多個用戶同時公用一個合法 ip 與外部 internet 進(jìn)行通信，解決 ip 地址短缺 的問題。 目目 錄錄 緒論.1 1. 網(wǎng)絡(luò)建設(shè)背景和必要性.3 2. 組建局域網(wǎng)的需求分析.5 2.1 總體需求分析 .5 2.2 網(wǎng)絡(luò)平臺需求 .5 2.3 網(wǎng)絡(luò)安全需求 .5 2.3.1 外網(wǎng)安全： .6 物理安全需求 .6 2.3.1

6、.2 數(shù)據(jù)鏈路層需求 .6 入侵檢測系統(tǒng)需求 .6 防病毒系統(tǒng)需求 .6 安全管理體制 .6 2.3.2 內(nèi)網(wǎng)安全： .7 vlan 設(shè)置需求.7 防病毒系統(tǒng)需求 .7 網(wǎng)絡(luò)管理需求 .7 網(wǎng)絡(luò)系統(tǒng)管理 .7 3. 組建局域網(wǎng)的設(shè)計目標(biāo)和原則.8 3.1 核心交換機(jī)的高數(shù)據(jù)處理性能 .8 3.2 核心交換機(jī)的高可靠性 .8 3.3 核心交換機(jī)的靈活擴(kuò)充性 .9 3.4 網(wǎng)絡(luò)的安全性 .9 3.5 網(wǎng)絡(luò)的可管理性 .9 4. 局域網(wǎng)設(shè)計方案.11 4.1 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計方案 .11 4.

7、2 虛擬局域網(wǎng)（vlan）設(shè)計方案 .12 4.2.1 vlan 技術(shù)簡介.12 4.2.2 vlan 方案設(shè)計.13 4.3 第三層交換技術(shù)設(shè)計方案 .14 4.4 ip multicast技術(shù)方案設(shè)計 .14 4.5 訪問控制列表（acl）設(shè)計方案 .17 4.6 ip 地址規(guī)劃與路由設(shè)計方案.18 4.6.1 ip 地址規(guī)劃方案.18 4.6.2 路由協(xié)議的選擇 .19 4.6.3 路由協(xié)議設(shè)計方案 .21 4.7 hsrp：熱備份路由器協(xié)議 .23 4.7.1 hsrp 協(xié)議概述.23 4.7.2 hsrp 的工作原理.23 4.7.3 本方案的特點(diǎn) .23 5. 設(shè)備清單.26 結(jié)論

8、.27 參考文獻(xiàn).27 1 緒論緒論 0.1 選題的背景 企業(yè)網(wǎng)最原始的網(wǎng)絡(luò)需求來自于對 lan 上共享資源、業(yè)務(wù)的開展需要，最小 規(guī)模的局域網(wǎng)可能就要算通過 1 臺共享式集線器來連接打印機(jī)、文件服務(wù)器的組建 模式了，但是，在信息科技日益發(fā)展的今天，基于共享式技術(shù)的網(wǎng)絡(luò)已經(jīng)不能符合 當(dāng)前企業(yè) it 發(fā)展的需求，更高速、更可靠、更安全以及更方便的網(wǎng)絡(luò)和業(yè)務(wù)管理 已經(jīng)成為新時期企業(yè)局域網(wǎng)的關(guān)注重點(diǎn)。如何最大程度的滿足企業(yè)的這些需求正是 本文最關(guān)心的問題。 0.2 選題的目的和意義 企業(yè)電子商務(wù)網(wǎng)絡(luò)系統(tǒng)應(yīng)是一個統(tǒng)一、可靠、安全的專用信息通信平臺，支持 話音、數(shù)據(jù)和圖像的交換與傳輸，實(shí)現(xiàn)計算機(jī)數(shù)據(jù)、話

9、音、電視會議、圖片傳輸?shù)?多種信息通信業(yè)務(wù)，并具有完備的網(wǎng)絡(luò)管理系統(tǒng)。 在先進(jìn)成熟的計算機(jī)和通信技術(shù)基礎(chǔ)上，企業(yè)要建設(shè)成光纖網(wǎng)絡(luò)，使企業(yè)各部 門實(shí)現(xiàn)宏觀決策科學(xué)化，辦公自動化，信息交換網(wǎng)絡(luò)化，提高宏觀決策和調(diào)控能力， 促進(jìn)企業(yè)信息化，同時有助于加快信息經(jīng)濟(jì)建設(shè)。 0.3 可行性分析 根據(jù)企業(yè)的實(shí)際情況，總結(jié)出該計算機(jī)網(wǎng)絡(luò)有如下需求： 企業(yè)網(wǎng)絡(luò)系統(tǒng)本著實(shí)用、經(jīng)濟(jì)可靠的原則，采用交換式以太網(wǎng)方案。采用內(nèi)部 ip 地址。網(wǎng)絡(luò)采用兩極交換結(jié)構(gòu)，中心交換機(jī)采用三層交換機(jī)，構(gòu)成千兆主干，中 心交換機(jī)應(yīng)有足夠的插槽用于以后的擴(kuò)展，至少有 24 個 10/100m 自適應(yīng)端口用于 連接服務(wù)器，光纖端口依實(shí)際應(yīng)

10、用提供，電源應(yīng)有冗余；每個分配線間各放置若干 臺 24 口交換機(jī)作為二級交換機(jī)，用千兆光纖口用于上連，可以為用戶提供交換式 100mbps 帶寬，彼此間采用堆疊連接。是為入住企業(yè)的單位提供寬帶國際互聯(lián)網(wǎng)絡(luò) 接入服務(wù)、內(nèi)部網(wǎng)絡(luò)通訊平臺、計算機(jī)應(yīng)用服務(wù)的綜合性專用計算機(jī)數(shù)據(jù)通信網(wǎng)絡(luò)。 為了使本網(wǎng)絡(luò)設(shè)計向統(tǒng)一管理、高速寬帶、復(fù)雜應(yīng)用方向發(fā)展，本設(shè)計所建設(shè) 的網(wǎng)絡(luò)將為各入住單位系統(tǒng)內(nèi)部互聯(lián)網(wǎng)絡(luò)系統(tǒng)提供一個統(tǒng)一的數(shù)據(jù)通信網(wǎng)絡(luò)平臺， 各網(wǎng)絡(luò)系統(tǒng)的信息都可在此數(shù)據(jù)通信網(wǎng)上傳遞，并可通過統(tǒng)一的網(wǎng)管系統(tǒng)提供統(tǒng)一 的管理功能，將各專業(yè)內(nèi)部網(wǎng)絡(luò)網(wǎng)管的報警信息等一并顯示，同時為未來的網(wǎng)絡(luò)發(fā) 展奠定必要的基礎(chǔ)。 2 0

11、.4 研究的基本思路 根據(jù)對所選題目背景、目的、意義和可行性的分析，總結(jié)出設(shè)計思路如下：選 擇合適的網(wǎng)絡(luò)層次模型規(guī)劃企業(yè)網(wǎng)絡(luò)架構(gòu)，合理分配企業(yè)內(nèi)部的 ip 地址。采用穩(wěn)定 高效的路由協(xié)議連通企業(yè)內(nèi)部網(wǎng)，并在此基礎(chǔ)上設(shè)計安全策略，增強(qiáng)企業(yè)數(shù)據(jù)的保 密性，保證商業(yè)機(jī)密的安全。設(shè)置策略或設(shè)備的冗余，保證企業(yè)網(wǎng)絡(luò)在遭遇突發(fā)故 障時能順利切換線路，保障數(shù)據(jù)的完整性，避免重要信息的丟失，增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定 性。最后，選擇合適的網(wǎng)絡(luò)設(shè)備，在顧及網(wǎng)絡(luò)性能的前提下，優(yōu)化企業(yè)的資源配置 1.1. 網(wǎng)絡(luò)建設(shè)背景和必要性網(wǎng)絡(luò)建設(shè)背景和必要性 格羅莫夫（gregory gromov）曾經(jīng)說過：“網(wǎng)絡(luò)本身就是一種計算機(jī)科學(xué)概

12、念。 ”不過，現(xiàn)在有了更豐富的內(nèi)涵，注解之一就是，網(wǎng)絡(luò)本身更具有經(jīng)濟(jì)學(xué)內(nèi)涵。 在現(xiàn)代經(jīng)濟(jì)學(xué)中有“規(guī)模效益”理論，就是通過擴(kuò)大經(jīng)濟(jì)規(guī)模，來降低單位成 本。雖然“擴(kuò)大規(guī)模”仍然是降低成本的根本途徑，但是伴隨經(jīng)濟(jì)規(guī)模的擴(kuò)大也增 加了“協(xié)調(diào)成本” ，既與企業(yè)相關(guān)的信息交流的代價。在很多情況下，企業(yè)的生產(chǎn)經(jīng) 營并不是孤立進(jìn)行的，其需要在內(nèi)部生產(chǎn)部門之間與外部市場之間達(dá)到充分的信息 交流，才能維系正常的生產(chǎn)經(jīng)營，尤其是在規(guī)模不斷擴(kuò)大的情況下，如果仍然延續(xù) 傳統(tǒng)的信息交流手段，則信息交流代價急劇增長。由此造成單位生產(chǎn)成本不降反升， 從而制約著現(xiàn)代經(jīng)濟(jì)規(guī)模。隨著科技進(jìn)步，網(wǎng)絡(luò)技術(shù)成為信息溝通的重要手段，世 界

13、正因為有了互聯(lián)網(wǎng)而變得越來越小，世界級的企業(yè)也越來越依賴于網(wǎng)絡(luò)技術(shù)，擴(kuò) 大和鞏固其市場地位。從網(wǎng)絡(luò)在企業(yè)生產(chǎn)、流通、服務(wù)等關(guān)鍵環(huán)節(jié)起的重要作用來 看，其更多超出了技術(shù)領(lǐng)域，而深具經(jīng)濟(jì)學(xué)內(nèi)涵。 隨著網(wǎng)絡(luò)技術(shù)，新系統(tǒng)新領(lǐng)域的長足發(fā)展，網(wǎng)絡(luò)經(jīng)濟(jì)，知識經(jīng)濟(jì)再不是 it 等高 科技行業(yè)的專利，傳統(tǒng)企業(yè)正利用其行業(yè)特點(diǎn)，汲取網(wǎng)絡(luò)技術(shù)精華，努力創(chuàng)造著傳 統(tǒng)行業(yè)的又一個春天。未來是美好的，但現(xiàn)實(shí)不可回避。大多數(shù)企業(yè)對電子商務(wù)的 一般認(rèn)識是電子商務(wù)能幫助企業(yè)進(jìn)行網(wǎng)上購物、網(wǎng)上交易，僅是一種新興的企業(yè)運(yùn) 作模式，比較適用于商業(yè)貿(mào)易公司，殊不知電子商務(wù)已經(jīng)對傳統(tǒng)的企業(yè)造成的了巨 大的沖擊。 制造業(yè)傳統(tǒng)運(yùn)作模式效率低

14、，成本過高，已不適于新經(jīng)濟(jì)的需要。隨著企業(yè)間 競爭的日趨激烈，以及全球經(jīng)濟(jì)一體化，市場向企業(yè)提出了更高的要求，要求企業(yè) 能及時提供高品質(zhì)、低價格，具有個性化的產(chǎn)品。而企業(yè)在商業(yè)運(yùn)作過程中比較重 視控制生產(chǎn)成本，對于采購成本，銷售成本的控制無論從意識上、管理上還是從執(zhí) 行上都比較薄弱，如何減少采購和銷售過程中的環(huán)節(jié)，直接控制供應(yīng)商的價格、品 質(zhì)、交貨期以及批發(fā)商和經(jīng)營商的進(jìn)貨、出貨、倉儲情況是企業(yè)在電子商務(wù)時代所 3 面臨的第一個問題，這種情況在集團(tuán)公司的運(yùn)作中尤為明顯。通過實(shí)施電子商務(wù)， 可以實(shí)現(xiàn)企業(yè)對產(chǎn)品、原材料、非生產(chǎn)性產(chǎn)品、服務(wù)類等的電子化、網(wǎng)絡(luò)化采購， 總公司與下屬子公司幾個職能部門有

15、組織、有計劃的統(tǒng)一管理，減少流通環(huán)節(jié)，降 低成本，提高效率，使企業(yè)在管理上通過電子商務(wù)的實(shí)施達(dá)到更高水品。作為電子 商務(wù)基石的網(wǎng)絡(luò)系統(tǒng)已經(jīng)成為現(xiàn)代企業(yè)的“神經(jīng)” ，而“神經(jīng)”是否工作正常，是否 高速高效，直接關(guān)系到“生存死亡” 。 傳統(tǒng)企業(yè)對市場的反應(yīng)速度取決于自身的信息網(wǎng)絡(luò)水平。在電子商務(wù)時代，產(chǎn) 品的個性化情況非常普遍，比如服裝，時尚和潮流總是千變?nèi)f化，捉摸不定。生產(chǎn) 商要在短時間內(nèi)捕獲市場信息并作出適宜反饋，確實(shí)有難度。傳統(tǒng)企業(yè)在對市場的 反饋速度上明顯過慢。究其主要原因是企業(yè)沒有將供應(yīng)商和客戶那到企業(yè)自身的供 應(yīng)鏈中，沒能及時知道下游客戶的庫存情況、市場情況，沒有讓上有的供應(yīng)商及時 了

16、解企業(yè)原材料的庫存情況、成套情況。在供應(yīng)商、商家、客戶三者之間沒有形成 一個有效的環(huán)路，有次造成了商家隨市場的反應(yīng)遲緩，導(dǎo)致了商業(yè)損失。有了網(wǎng)絡(luò) 的協(xié)助，企業(yè)從原材料的采購、產(chǎn)品設(shè)計、到訂單處理和產(chǎn)品的發(fā)送，均可用小時 為單位來追蹤。同時利用互聯(lián)網(wǎng)技術(shù)不僅可以全面監(jiān)控下游客戶每日的進(jìn)銷存情況， 及時進(jìn)行補(bǔ)貨，而且可以讓上有的供應(yīng)商及時知道企業(yè)原料的庫存情況，及時補(bǔ)充， 將存貨量保持在最低水品。 企業(yè)受限于內(nèi)部龐雜的關(guān)系管理，拓展外部市場是如果還用一成不變的業(yè)務(wù)服 務(wù)方式，很可能在提取激烈的市場競爭中處于尷尬的境地。為了擺脫可能出現(xiàn)的窘 境必須依賴可靠、安全、高效、可擴(kuò)充、可管理的網(wǎng)絡(luò)產(chǎn)品和技術(shù)

17、，為企業(yè)提供流 暢的信息傳遞和資源共享，優(yōu)化資源配置，并開拓新市場，吸引更多客戶，擴(kuò)展市 場影響力，產(chǎn)生業(yè)務(wù)增值，降低生產(chǎn)成本成為可能。 綜上所述，傳統(tǒng)企業(yè)如果希望在市場的天空中飛的更高更遠(yuǎn)，那么必須插上網(wǎng) 絡(luò)化生產(chǎn)、經(jīng)營和服務(wù)的翅膀。 在選取“飛”的翅膀時，計算機(jī)網(wǎng)絡(luò)解決方案的選取是關(guān)鍵。只有綜合考慮了 網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理、可靠性、可管理性、可擴(kuò)展性和高性能的需要，精選出適合 企業(yè)網(wǎng)絡(luò)需要的網(wǎng)絡(luò)解決方案，才能對企業(yè)高效，科學(xué)的管理，控制企業(yè)的運(yùn)營成 本，為企業(yè)的騰飛助跑。 2. 組建局域網(wǎng)的需求分析組建局域網(wǎng)的需求分析 2.1 總體需求分析總體需求分析 總體需求是將企業(yè)網(wǎng)絡(luò)建成以辦公自動化為

18、主的硬件平臺系統(tǒng)。企業(yè)網(wǎng)絡(luò)系統(tǒng) 4 的需求包括以下幾點(diǎn)：適應(yīng)桌面計算機(jī)處理、i/o 能力大幅度提高的現(xiàn)狀，發(fā)揮桌面 機(jī)的網(wǎng)絡(luò)性能，提高桌面機(jī)的訪問帶寬；適應(yīng)連網(wǎng)規(guī)模大、總流量大的情況，合理 分布流量，實(shí)現(xiàn)流量隔離和控制；適應(yīng)部門多、層次復(fù)雜的特點(diǎn)，合理進(jìn)行網(wǎng)絡(luò)劃 分，實(shí)現(xiàn)有效的安全訪問控制和運(yùn)行管理；能夠向未來的高速網(wǎng)絡(luò)技術(shù)和不斷出現(xiàn) 的新應(yīng)用過渡；實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)，解決互聯(lián)網(wǎng)絡(luò)帶來的安全問題和管理問題；適應(yīng)數(shù) 據(jù)集中型應(yīng)用的發(fā)展趨勢，為客戶/服務(wù)器的應(yīng)用環(huán)境提供支撐；增加網(wǎng)絡(luò)系統(tǒng)的運(yùn) 行可靠性，降低故障隱患，提高系統(tǒng)的可管理性。本方案針對網(wǎng)絡(luò)系統(tǒng)應(yīng)用場合對 安全提出了很高的要求，因此網(wǎng)絡(luò)設(shè)計充分

19、考慮網(wǎng)絡(luò)上敏感數(shù)據(jù)傳輸?shù)陌踩?，?方面需要充分利用網(wǎng)絡(luò)設(shè)備提供的安全策略（vlan 劃分等） ，另一方面為了保障內(nèi) 部數(shù)據(jù)傳輸?shù)陌踩裕捎酶鞣N安全技術(shù)（防火墻、入侵檢測、防病毒體系等） ，并 且盡量不影響到整個網(wǎng)絡(luò)的運(yùn)行效率。為了更好的保證網(wǎng)絡(luò)的正常運(yùn)行，設(shè)計的網(wǎng) 絡(luò)系統(tǒng)還考慮到網(wǎng)絡(luò)管理，實(shí)現(xiàn)網(wǎng)絡(luò)的統(tǒng)一管理。 2.22.2 網(wǎng)絡(luò)平臺需求網(wǎng)絡(luò)平臺需求 利用目前最流行的千兆以太網(wǎng)技術(shù)實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)為千兆主干、百兆交換到桌面， 全方位支持企業(yè)的信息處理與交換的傳輸、操作和策略服務(wù)。 網(wǎng)絡(luò)總體結(jié)構(gòu)分為網(wǎng)絡(luò)互連、核心節(jié)點(diǎn)、樓層交換三個層面。一般采用交換， 必要時實(shí)現(xiàn)路由隔離。網(wǎng)絡(luò)根據(jù)業(yè)務(wù)用戶分布和數(shù)據(jù)

20、的流向，合理的進(jìn)行網(wǎng)段劃分。 允許采用虛擬網(wǎng)技術(shù)（vlan） 。 實(shí)現(xiàn)各計算機(jī)網(wǎng)絡(luò)系統(tǒng)的互聯(lián)，形成公共信息的交換環(huán)境，為企業(yè)用戶提供網(wǎng) 絡(luò)服務(wù)平臺。 實(shí)現(xiàn)信息資源和軟硬件資源共享，提供豐富的網(wǎng)絡(luò)信息服務(wù)，以推動辦公自動 化。 根據(jù)樓宇辦公場合不同，網(wǎng)絡(luò)平臺分別設(shè)計出內(nèi)網(wǎng)和外網(wǎng)平臺，兩網(wǎng)之間采用 物理隔離的技術(shù)手段實(shí)現(xiàn)涉密問題。 2.32.3 網(wǎng)絡(luò)安全需求網(wǎng)絡(luò)安全需求 隨著網(wǎng)絡(luò)的建成，基于網(wǎng)絡(luò)的應(yīng)用日漸增多，網(wǎng)絡(luò)用戶也會越來越多，網(wǎng)絡(luò)的 安全成為了系統(tǒng)建設(shè)的主要問題。在局域網(wǎng)中安全系統(tǒng)建設(shè)主要設(shè)計包括外網(wǎng)安全 和內(nèi)網(wǎng)安全。 .1 外網(wǎng)安全：外網(wǎng)安全： 由于外網(wǎng)主要運(yùn)行企業(yè)各部門非

21、涉密的內(nèi)部辦公業(yè)務(wù)以及運(yùn)行面向客戶的公開 信息，所以必須采取過硬的安全技術(shù)來實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)系統(tǒng)不受 internet 的“黑客” 、 5 病毒等攻擊。外網(wǎng)對安全的需求包括物理安全需求、數(shù)據(jù)鏈路層需求、入侵檢測系 統(tǒng)需求、防病毒系統(tǒng)需求和安全管理體制等。 物理安全需求物理安全需求 針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放機(jī)密信息的機(jī) 房進(jìn)行必要的設(shè)計，如構(gòu)建屏蔽室。采用輻射干擾機(jī)，防止電磁輻射泄漏機(jī)密信息。 對重要的設(shè)備進(jìn)行冗余配置；對重要系統(tǒng)進(jìn)行備份等安全保護(hù)。 數(shù)據(jù)鏈路層需求數(shù)據(jù)鏈路層需求 信息的泄漏很多都是在鏈路上

22、被搭線竊取，數(shù)據(jù)也可能因為在鏈路上被截獲、 被篡改后傳輸給對方，造成數(shù)據(jù)真實(shí)性、完整性得不到保證。如果利用加密設(shè)備對 傳輸數(shù)據(jù)進(jìn)行加密，使得在網(wǎng)上傳輸?shù)臄?shù)據(jù)以密文傳輸。因為數(shù)據(jù)是密文，所以， 即使在傳輸過程中被截獲，入侵者也讀不懂，而且加密機(jī)還能通過先進(jìn)行技術(shù)手段， 對數(shù)據(jù)傳輸過程中的完整性、真實(shí)性進(jìn)行鑒別?？梢员ＷC數(shù)據(jù)的保密性、完整性及 可靠性。因此，可能需要配備加密設(shè)備對數(shù)據(jù)進(jìn)行傳輸加密。 入侵檢測系統(tǒng)需求入侵檢測系統(tǒng)需求 網(wǎng)絡(luò)安全是整體的、動態(tài)的，不是單一產(chǎn)品能夠完全實(shí)現(xiàn)的，所以為了確保網(wǎng) 絡(luò)更加安全必須配備入侵檢測系統(tǒng)，對透過防火墻的攻擊進(jìn)行檢測并做相應(yīng)反

23、應(yīng) （記錄、報警、阻斷） 。 防病毒系統(tǒng)需求防病毒系統(tǒng)需求 針對防病毒危害性極大并且傳播極為迅速，必須配備從單機(jī)到服務(wù)器的整套防 病毒軟件，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)。 安全管理體制安全管理體制 安全系統(tǒng)只能提供技術(shù)手段和措施，但人為的因素不可忽略，只有確立健全的 安全管理體制，設(shè)立相應(yīng)的安全管理崗位，從制度上加以嚴(yán)格管理。 .2 內(nèi)網(wǎng)安全：內(nèi)網(wǎng)安全： 運(yùn)用多種技術(shù)，如 vlan、防病毒體系等，對各個部門、系所訪問進(jìn)行控制， 各單位之間在未授權(quán)的情況下不能互相訪問，保證系統(tǒng)內(nèi)部的安全。內(nèi)網(wǎng)對安全的 需求包括 vlan 設(shè)置

24、需求、防病毒系統(tǒng)需求、網(wǎng)絡(luò)管理需求和網(wǎng)絡(luò)系統(tǒng)管理等。 6 vlanvlan 設(shè)置需求設(shè)置需求 企業(yè)網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布區(qū)域廣，網(wǎng)絡(luò)用戶多，因此， 內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對于存放敏感數(shù)據(jù)的主機(jī)的 攻擊往往發(fā)自內(nèi)部用戶，如何對內(nèi)部用戶進(jìn)行訪問控制和安全防范就顯得特別重要。 為了保障內(nèi)部網(wǎng)絡(luò)運(yùn)行的可靠性和安全性，必須要對它進(jìn)行詳盡的設(shè)計，盡可能防 護(hù)到網(wǎng)絡(luò)的每一節(jié)點(diǎn)。 防病毒系統(tǒng)需求防病毒系統(tǒng)需求 針對防病毒危害性極大并且傳播極為迅速，必須配備從單機(jī)到服務(wù)器的整套防 病毒軟件，實(shí)現(xiàn)全網(wǎng)的病毒安全

25、防護(hù)。 網(wǎng)絡(luò)管理需求網(wǎng)絡(luò)管理需求 此次建設(shè)的企業(yè)網(wǎng)絡(luò)系統(tǒng)是一個相當(dāng)復(fù)雜的計算機(jī)網(wǎng)絡(luò)，包含多種設(shè)備和技術(shù)。 隨著系統(tǒng)復(fù)雜度的增加，會給系統(tǒng)管理帶來成指數(shù)增加的管理工作量。為此必須要 設(shè)計一套健全的管理系統(tǒng)。針對系統(tǒng)的功能采取相應(yīng)的管理措施。 網(wǎng)絡(luò)系統(tǒng)管理網(wǎng)絡(luò)系統(tǒng)管理 系統(tǒng)中包含大量的網(wǎng)絡(luò)設(shè)備，必須為其配置功能強(qiáng)大的管理系統(tǒng)，該系統(tǒng)應(yīng)具 有以下功能： (1)虛擬網(wǎng)管理、分配； (2)對所有網(wǎng)絡(luò)設(shè)備端口的監(jiān)視和管理； (3)對網(wǎng)絡(luò)流量的監(jiān)測和管理； (4)對所有網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理和控制，包括網(wǎng)絡(luò)端口設(shè)備的開放和關(guān)閉； (5)整個網(wǎng)絡(luò)的故障監(jiān)

26、測，故障自動報警功能； (6)整個網(wǎng)絡(luò)性能的統(tǒng)計和分析報告。 3.3. 組建局域網(wǎng)的設(shè)計目標(biāo)和原則組建局域網(wǎng)的設(shè)計目標(biāo)和原則 3.13.1 核心交換機(jī)的高數(shù)據(jù)處理性能核心交換機(jī)的高數(shù)據(jù)處理性能 核心交換機(jī)滿足網(wǎng)絡(luò)中心海量數(shù)據(jù)交換的要求，連接中心的通訊鏈路帶寬滿足 應(yīng)用的性能要求。 7 在 intranet 網(wǎng)絡(luò)應(yīng)用環(huán)境中心，www 服務(wù)器，ftp 服務(wù)器，e-mail 服務(wù)器， edi 服務(wù)器，lotus notes 群件應(yīng)用服務(wù)器，novell server 等服務(wù)器群支撐著整個企 業(yè)的應(yīng)用服務(wù)。各部門用戶客戶端軟件，透過網(wǎng)絡(luò)訪問中心服務(wù)器，請求應(yīng)用，查 詢數(shù)據(jù)庫。網(wǎng)絡(luò)的負(fù)載流量主要是從邊緣

27、設(shè)備到核心的數(shù)據(jù)交換，隨著業(yè)務(wù)的發(fā)展， 網(wǎng)絡(luò)規(guī)模的擴(kuò)展，以及應(yīng)用的信息交換量增加，使得網(wǎng)絡(luò)通常會在核心發(fā)生通訊瓶 頸現(xiàn)象，改善局域網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)交換性能，往往是首先擴(kuò)充核心交換機(jī)的交換性能， 增加邊緣設(shè)備到核心的數(shù)據(jù)通訊帶寬，以減輕整個網(wǎng)絡(luò)的瓶頸，使得應(yīng)用軟件的性 能和效率得到提高。因此在設(shè)計局域網(wǎng)的原則上，首先應(yīng)該考慮滿足網(wǎng)絡(luò)規(guī)模所要 求的核心設(shè)備數(shù)據(jù)交換處理能力，以及邊緣設(shè)備到核心的鏈路帶寬。 3.23.2 核心交換機(jī)的高可靠性核心交換機(jī)的高可靠性 核心交換機(jī)關(guān)鍵部件可以實(shí)現(xiàn)冗余工作，可以在線更換(熱插拔)，故障的恢復(fù) 時間在秒級間隔內(nèi)完。通過 cisco 專有的 hsrp 技術(shù)可以配置雙核

28、心交換，在發(fā)生故 障時自動切換到備用交換機(jī)，確保數(shù)據(jù)不發(fā)生丟包。 隨著信息化社會的飛速發(fā)展，普遍采用了 intranet 應(yīng)用模式，實(shí)現(xiàn)管理和生產(chǎn) 自動化，提高管理效率，管理水平。支持單位應(yīng)用的基礎(chǔ)設(shè)施是網(wǎng)絡(luò)。它直接影響 到辦公應(yīng)用環(huán)境，交易、生產(chǎn)、開發(fā)、設(shè)計等業(yè)務(wù)環(huán)境，財務(wù)管理，部品管理等環(huán) 境，信息檢索、數(shù)據(jù)庫查詢、internet 瀏覽等支持正常運(yùn)行的必要服務(wù)設(shè)施功能。網(wǎng) 絡(luò)的可靠性要求是保障應(yīng)用環(huán)境正常運(yùn)行的首要條件，網(wǎng)絡(luò)要求可靠性的同時，要 求網(wǎng)絡(luò)具有高可用性。網(wǎng)絡(luò)設(shè)備的選擇，尤其是核心機(jī)箱式設(shè)備，應(yīng)該可以配置冗 余部件，關(guān)鍵部件不存在單一故障點(diǎn)，也就是說，像交換機(jī)的電源、風(fēng)扇、交換

29、引 擎、管理模塊這些部件可以冗余備份，其中之一任何部件的損壞，不會影響設(shè)備的 正常運(yùn)行，不會影響網(wǎng)絡(luò)的連通。提供網(wǎng)絡(luò)設(shè)備的可靠性，容錯性的另一個要求是 設(shè)備損壞部件更換時，不需要停機(jī)，更換部件后不需要重新啟動，也就是說部件的 更換可以進(jìn)行在線操作，這樣可以使停機(jī)的時間降低到最小。在設(shè)計局域網(wǎng)的原則 上提高網(wǎng)絡(luò)的高可靠性、高可用性原則是至關(guān)重要的，不僅要求設(shè)備的部件冗余， 同時要求網(wǎng)絡(luò)的鏈路冗余，以保證網(wǎng)絡(luò)可以在任何時間、任何地點(diǎn)提供信息訪問服 務(wù)。 3.33.3 核心交換機(jī)的靈活擴(kuò)充性核心交換機(jī)的靈活擴(kuò)充性 核心交換機(jī)應(yīng)該具備靈活的端口擴(kuò)充能力，模塊擴(kuò)充能力，滿足網(wǎng)絡(luò)規(guī)模的擴(kuò) 充。同時提高性能

30、，滿足更高性能的要求。 在設(shè)計局域網(wǎng)的方案上，首先是滿足現(xiàn)有規(guī)模的網(wǎng)絡(luò)用戶的需求，同時考慮到 業(yè)務(wù)發(fā)展、規(guī)模的擴(kuò)大，應(yīng)該設(shè)計網(wǎng)絡(luò)具有用戶端口的擴(kuò)充能力。核心設(shè)備是整個 8 網(wǎng)絡(luò)的樞紐，用戶端口數(shù)的擴(kuò)充，需要增加配線間邊緣工作組的設(shè)備，增加邊緣設(shè) 備的同時，要求連接核心骨干設(shè)備的端口數(shù)相應(yīng)增加，因此核心設(shè)備應(yīng)該可以通過 增加模塊來靈活地增加端口數(shù)。核心設(shè)備的機(jī)箱設(shè)計應(yīng)該具備強(qiáng)大的背板帶寬，足 夠多的負(fù)載插槽容量。對于交換機(jī)來說，核心交換引擎應(yīng)該可以滿足最大配置下， 無阻塞的進(jìn)行端口數(shù)據(jù)包交換，模塊的擴(kuò)充不影響交換性能。采用分布式交換結(jié)構(gòu) 是實(shí)現(xiàn)這一原則的最佳方案，分布式交換機(jī)結(jié)構(gòu)實(shí)現(xiàn)了交換機(jī)的并

31、行數(shù)據(jù)交換處理， 優(yōu)化了網(wǎng)絡(luò)的性能，本地交換和全局交換相結(jié)合的分布式結(jié)構(gòu)減少了交換引擎的壓 力。因此在設(shè)計大規(guī)模網(wǎng)絡(luò)的原則上普遍采用分布式交換機(jī)實(shí)現(xiàn)靈活的模塊、端口 擴(kuò)充能力。 3.43.4 網(wǎng)絡(luò)的安全性網(wǎng)絡(luò)的安全性 可以有效的控制網(wǎng)絡(luò)的訪問，靈活的實(shí)施網(wǎng)絡(luò)的安全控制策略。 網(wǎng)絡(luò)的安全性對局域網(wǎng)的設(shè)計是非常重要的，合理的網(wǎng)絡(luò)安全控制，可以使應(yīng) 用環(huán)境中的資源得到有效的保護(hù)。在網(wǎng)絡(luò)中，關(guān)鍵應(yīng)用服務(wù)器、核心網(wǎng)絡(luò)設(shè)備，只 有系統(tǒng)管理人員才有操作、控制的權(quán)力。應(yīng)用客戶端只有應(yīng)用訪問的權(quán)限，網(wǎng)絡(luò)應(yīng) 該能夠阻止黑客的任何非法操作。在網(wǎng)絡(luò)設(shè)備上應(yīng)該可以進(jìn)行基于協(xié)議、基于 mac 地址、基于 ip 地址的包過

32、濾控制功能。在大規(guī)模網(wǎng)絡(luò)的設(shè)計上，劃分虛擬子網(wǎng)，一 方面可以有效的隔離子網(wǎng)內(nèi)的大量廣播，另一方面隔離網(wǎng)絡(luò)子網(wǎng)間的通訊，控制了 資源的訪問權(quán)限，提高了網(wǎng)絡(luò)的安全性。在設(shè)計局域網(wǎng)的原則上必須強(qiáng)調(diào)網(wǎng)絡(luò)安全 控制能力，使網(wǎng)絡(luò)可以任意連接，又可以從第二層、第三層控制網(wǎng)絡(luò)的訪問。 3.53.5 網(wǎng)絡(luò)的可管理性網(wǎng)絡(luò)的可管理性 網(wǎng)絡(luò)中的任何設(shè)備均可以通過網(wǎng)絡(luò)管理平臺進(jìn)行控制，網(wǎng)絡(luò)的設(shè)備狀態(tài)，故障 報警等都可以通過網(wǎng)管平臺進(jìn)行監(jiān)控，通過網(wǎng)絡(luò)管理平臺簡化管理工作，提高網(wǎng)絡(luò) 管理的效率。 在設(shè)計局域網(wǎng)時，選擇先進(jìn)的網(wǎng)絡(luò)管理軟件是必不可少的。網(wǎng)絡(luò)管理軟件應(yīng)用 于網(wǎng)絡(luò)的設(shè)備配置，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)表示，網(wǎng)絡(luò)設(shè)備的狀態(tài)的顯示，

33、網(wǎng)絡(luò)設(shè)備的故障 事件報警，網(wǎng)絡(luò)流量統(tǒng)計分析以及計費(fèi)等等。網(wǎng)管軟件的應(yīng)用可以提高網(wǎng)絡(luò)管理的 效率，減輕網(wǎng)絡(luò)管理人員的負(fù)擔(dān)。網(wǎng)絡(luò)管理的目標(biāo)是實(shí)現(xiàn)零管理，基于策略的管理 方式，網(wǎng)絡(luò)管理是通過制定統(tǒng)一的策略，由管理策略服務(wù)器進(jìn)行全局控制的?；?web 的網(wǎng)管界面，是網(wǎng)管軟件的發(fā)展趨勢，靈活的操作方式簡化了管理人員的工作。 在設(shè)計局域網(wǎng)的設(shè)備選擇上，要求網(wǎng)絡(luò)設(shè)備支持標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理協(xié)議 snmp，同時 支持 rmon/rmonii 協(xié)議，核心設(shè)備要求支持 rap(遠(yuǎn)程分析端口)協(xié)議，實(shí)施充分 的網(wǎng)絡(luò)管理功能。在設(shè)計局域網(wǎng)的原則上應(yīng)該要求設(shè)備的可管理性，同時先進(jìn)的網(wǎng) 9 管軟件可以支持網(wǎng)絡(luò)維護(hù)、監(jiān)控、配置

34、等功能。 網(wǎng)絡(luò)設(shè)備采用開放技術(shù)、支持標(biāo)準(zhǔn)協(xié)議：采用標(biāo)準(zhǔn)的協(xié)議保護(hù)用戶的投資，提 高設(shè)備的互操作性。 局域網(wǎng)的設(shè)備要求具有可互操作性，設(shè)備的技術(shù)采用開放技術(shù)，協(xié)議標(biāo)準(zhǔn)，支 持跨平臺之間的相互連接與通訊。在設(shè)計網(wǎng)絡(luò)的原則上，發(fā)揮不同廠商產(chǎn)品的專用 先進(jìn)技術(shù)同時，必須強(qiáng)調(diào)考察設(shè)備的技術(shù)、協(xié)議的標(biāo)準(zhǔn)性。 4.4. 局域網(wǎng)設(shè)計方案局域網(wǎng)設(shè)計方案 4.14.1 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計方案網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計方案 對于網(wǎng)絡(luò)平臺的網(wǎng)絡(luò)結(jié)構(gòu)，建議采用模塊化的設(shè)計思想，按照功能劃分為以下 區(qū)塊：交換區(qū)塊和核心區(qū)塊。對于由交換區(qū)塊和核心區(qū)塊構(gòu)成的局域網(wǎng)再按照目前 流行的層次化的設(shè)計思想，劃分為接入層、匯聚層和核心層。 1、交換區(qū)塊的

35、主要功能是提供用戶的接入點(diǎn)，并防止廣播數(shù)據(jù)流和網(wǎng)絡(luò)問題到 達(dá)核心區(qū)塊或者其他區(qū)塊，交換區(qū)塊由接入層交換機(jī)和匯聚層交換機(jī)構(gòu)成： (1)接入層： 接入層設(shè)備作為最終用戶的網(wǎng)絡(luò)接入點(diǎn)，使用 100m 雙絞線連接各層桌面終端， 為每個用戶提供專用的帶寬，并可基于端口或 mac 地址的 vlan 成員資格和流量 進(jìn)行過濾，接入層主要的設(shè)計原則是能夠通過低成本、高端口密度的設(shè)備提供這些 功能。 (2)匯聚層： 接入層交換機(jī)使用 100m 雙絞線匯聚到一臺或者多臺匯聚層設(shè)備，匯聚層設(shè)備 在接入層交換機(jī)之間提供第二層連接，作為接入層交換機(jī)的集中連接點(diǎn)及接入層和 核心層之間的分界點(diǎn)，匯聚層在提供接入層接入的同時

36、，還能夠做到廣播域的隔離、 不同網(wǎng)段之間的路由、介質(zhì)轉(zhuǎn)換、安全控制。匯聚層需要提供第三層功能，即支持 路由選擇和網(wǎng)絡(luò)層服務(wù)，以保護(hù)交換區(qū)塊不受網(wǎng)絡(luò)其他部分失效的影響，并防止本 交換區(qū)塊故障對網(wǎng)絡(luò)其他部分的影響，如果交換區(qū)塊發(fā)生了廣播風(fēng)暴，分布層設(shè)備 可以防止該廣播風(fēng)暴擴(kuò)散到核心和網(wǎng)絡(luò)的其他部分。 2、核心區(qū)塊是園區(qū)網(wǎng)絡(luò)的主干，主要功能是在交換區(qū)塊之間用最小的時延傳輸 數(shù)據(jù)，盡可能快的將交換數(shù)據(jù)提供到其他區(qū)塊（比如交換區(qū)塊） 。核心區(qū)塊由核心層 構(gòu)成，包含一個或一組用來連接多個交換區(qū)塊的交換機(jī)。 核心層： 核心層交換機(jī)負(fù)責(zé)所有交換區(qū)塊設(shè)備和廣域網(wǎng)設(shè)備的接入，因此需要高速的數(shù) 10 據(jù)轉(zhuǎn)發(fā)能力。核

37、心層設(shè)備需要支持 port-channel 鏈路捆綁技術(shù)，來保證數(shù)據(jù)的轉(zhuǎn)發(fā)能 力，防止出現(xiàn)線路瓶頸。作為企業(yè)網(wǎng)絡(luò)的心臟，核心層也是路由協(xié)議最優(yōu)選路和運(yùn) 行穩(wěn)定的保證，需要合理的配置路由協(xié)議，并添加冗余處理器或者應(yīng)用冗余協(xié)議來 保障網(wǎng)絡(luò)核心的穩(wěn)定，使企業(yè)數(shù)據(jù)流正常運(yùn)作。 網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計是整個網(wǎng)絡(luò)系統(tǒng)設(shè)計的基礎(chǔ)，一個優(yōu)秀的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計方案有 利于提高網(wǎng)絡(luò)的性能、可靠性及將來網(wǎng)絡(luò)的擴(kuò)展能力，并能夠有效的減少維護(hù)難度， 本論文設(shè)計的網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D如圖 1： 核核心心層層 匯匯聚聚層層 接接入入層層 遠(yuǎn)遠(yuǎn)端端分分支支機(jī)機(jī)構(gòu)構(gòu) 服服務(wù)務(wù)器器區(qū)區(qū)域域 p pi ix x防防火火墻墻 c ci is sc c

38、o o c ca at ta al ly ys st t 3 36 64 40 0 c ci is sc co o c ca at ta al ly ys st t 3 35 55 50 0 c ci is sc co o c ca at ta al ly ys st t 2 29 95 50 0 c ci is sc co o c ca at ta al ly ys st t 2 29 95 50 0 c ci is sc co o c ca at ta al ly ys st t 3 36 64 40 0 c ci is sc co o c ca at ta al ly ys st t 2

39、 29 95 50 0 e et th hc ch ha an nn ne el l i in nt te er rn ne et t 圖 1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖 4.24.2 虛擬局域網(wǎng)（虛擬局域網(wǎng)（vlanvlan）設(shè)計方案）設(shè)計方案 劃分虛擬局域網(wǎng)是整個網(wǎng)絡(luò)系統(tǒng)的重要技術(shù)之一。企業(yè)網(wǎng)絡(luò)內(nèi)部的環(huán)境復(fù)雜、 分布區(qū)域廣、網(wǎng)絡(luò)用戶多，以至于企業(yè)內(nèi)部網(wǎng)絡(luò)用戶的可靠性得不到完全的保證。 通過劃分虛擬局域網(wǎng)，隔離不同部門，可以增強(qiáng)企業(yè)網(wǎng)絡(luò)安全性，以下詳細(xì)論述了 虛擬局域網(wǎng)的技術(shù)及在網(wǎng)絡(luò)系統(tǒng)中的必要性和設(shè)計方案。 11 .1 vlanvlan 技術(shù)簡介技術(shù)簡介 以太網(wǎng)基本上是以廣播為基礎(chǔ)

40、的，如最初包的尋址等，交換機(jī)雖然能夠通過建 立地址映射表減少不必要的廣播，但是地址映射表的建立過程仍然是基于廣播的， 網(wǎng)絡(luò)節(jié)點(diǎn)（如 pc 機(jī)）在處理廣播時浪費(fèi)了 cpu 處理時間，降低了處理性能，根據(jù) 統(tǒng)計，當(dāng)網(wǎng)絡(luò)上存在 15000 個廣播包時，將耗盡 cpu 資源；在傳統(tǒng)的網(wǎng)絡(luò)里，節(jié)點(diǎn) 的吞吐量都會隨著節(jié)點(diǎn)的增多而下降，交換式以太網(wǎng)雖然能夠隔離沖突域及第二層 廣播，但是無法隔離第三層網(wǎng)絡(luò)。 另一方面，接入網(wǎng)需要保障用戶數(shù)據(jù)（單播地址的幀）的安全性，隔離攜帶有 用戶信息的廣播消息（如 arp、dhcp 消息等） ，防止關(guān)鍵設(shè)備受到攻擊。對每個 用戶而言，當(dāng)然不希望他的信息被別人利用，因此需要從

41、物理上隔離用戶數(shù)據(jù)（單 播地址的幀） ，保證用戶單播地址的幀只有該用戶可以接收到，不像在局域網(wǎng)中采用 共享總線方式，使單播地址的幀能被總線上的所有用戶接收。如果不隔離這些廣播 消息而讓其他用戶接收到，容易發(fā)生 mac/ip 地址仿冒，影響設(shè)備的正常運(yùn)行，中 斷合法用戶的通信過程。 為了隔離第三層廣播，增強(qiáng)安全性、提高網(wǎng)絡(luò)性能，可以運(yùn)用 vlan（虛擬局 域網(wǎng)）技術(shù)或者使用路由設(shè)備。 使用路由器時可以將網(wǎng)絡(luò)劃分多個物理網(wǎng)段，這些物理網(wǎng)段可以連接到路由器 的多個端口，多個物理網(wǎng)段間通過路由器進(jìn)行通信，但是路由器的端口價格遠(yuǎn)遠(yuǎn)高 出交換機(jī)的端口價格，所以這種方式將增加設(shè)備投資，在物理網(wǎng)段增多時就更為

42、嚴(yán) 重，而且只有使用高端設(shè)備才能滿足高端口密度的要求，所以不推薦這種方式。 vlan 技術(shù)不需要特殊的設(shè)備，目前第二層交換機(jī)均支持 vlan 技術(shù)。通過在 一個物理網(wǎng)段上劃分出多個邏輯網(wǎng)段，由每一個邏輯網(wǎng)段構(gòu)成一個 vlan，其內(nèi)部 采用交換機(jī)連接，所有的廣播信息只限制在本 vlan 內(nèi)，而之間的連接則采用路由 實(shí)現(xiàn)，具體實(shí)施時可以外加路由器，或者直接使用第三層交換設(shè)備。使用路由器時， 將這些邏輯網(wǎng)段連接到路由器時可以只使用一條物理鏈路、占用一個路由器接口， 這樣就節(jié)省了設(shè)備的投資，而使用三層交換設(shè)備時，不需要額外增加設(shè)備，只要交 換機(jī)支持三層路由功能即可，由于三層交換設(shè)備的工作效率高于路由器

43、，所以在本 論文中推薦采用三層交換設(shè)備實(shí)現(xiàn) vlan 之間的路由。 .2 vlanvlan 方案設(shè)計方案設(shè)計 目前，vlan 技術(shù)可以使用以下方式組建：基于交換機(jī)端口的 vlan、基于 mac 地址的 vlan 和基于應(yīng)用協(xié)議的 vlan： 基于端口的 vlan，即靜態(tài) vlan，特點(diǎn)是技術(shù)簡單，容易配置且維護(hù)工作量 小，缺點(diǎn)是終端設(shè)備移動時需要更改設(shè)備配置。 12 基于 mac 地址的 vlan，即動態(tài) vlan，基于 vlan 策略服務(wù)組建，特點(diǎn)是終 端設(shè)備可以在整個局域網(wǎng)中移動而不用改變配置，適合于移動辦公型的網(wǎng)絡(luò)環(huán)境， 缺點(diǎn)是配置工作量大、繁瑣。 由于交換機(jī)為二層設(shè)備，

44、所以基于應(yīng)用協(xié)議的 vlan 對于交換機(jī)來說沒有任何 意義，反而會造成交換機(jī)性能的下降。 考慮到本系統(tǒng)的特點(diǎn)，節(jié)點(diǎn)在網(wǎng)絡(luò)中內(nèi)移動的可能性較小，基于易維護(hù)、易管 理方面的考慮，使用基于交換機(jī)端口的 vlan 進(jìn)行配置。 vlan 規(guī)劃參照圖 2，各個 vlan 間由 acl 控制，限制互訪。其中 vlan1031 為部門 vlan，禁止互訪，vlan 51 為文件服務(wù)器區(qū)，能被任何部門 訪問，vlan 52 為網(wǎng)管區(qū)，能單向訪問各個部門。 c co or re e s sw w 1 1 s sw w1 1 c co or re e s sw w 2 2 s sw w2 2 s sw w3 3 i

45、nternet p pi ix x防防火火墻墻 v vl la an n1 10 0 v vl la an n2 20 0 v vl la an n3 30 0 2 20 01 1. .1 1. .1 14 4. .4 4/ /3 30 0 1 19 92 2. .1 16 68 8. .1 10 0. .0 0/ /2 24 4 1 19 92 2. .1 16 68 8. .2 20 0. .0 0/ /2 24 4 1 19 92 2. .1 16 68 8. .3 30 0. .0 0/ /2 24 4 1 19 92 2. .1 16 68 8. .4 40 0. .0 0/ /2

46、24 4 1 19 92 2. .1 16 68 8. .5 5. .0 0/ /3 30 0 1 19 92 2. .1 16 68 8. .5 5. .4 4/ /3 30 0 1 19 92 2. .1 16 68 8. .5 5. .8 8/ /3 30 0 r ro ou ut te er r 1 1 1 19 92 2. .1 16 68 8. .5 51 1. .0 0/ /2 24 4 o os sp pf f b ba ac ck kb bo on ne e 0 0 r ro ou ut te er r 2 2 f fi il le e s se er rv ve er r網(wǎng)

47、網(wǎng)管管中中心心 s sw w4 4 1 19 92 2. .1 16 68 8. .4 45 5. .4 4/ /2 24 4 1 19 92 2. .1 16 68 8. .4 45 5. .5 5/ /2 24 4 v vl la an n1 11 1 1 19 92 2. .1 16 68 8. .1 11 1. .0 0/ /2 24 4 v vl la an n2 21 1 1 19 92 2. .1 16 68 8. .2 21 1. .0 0/ /2 24 4 v vl la an n3 31 1 1 19 92 2. .1 16 68 8. .3 31 1. .0 0/ /2

48、24 4 v vl la an n 5 52 2 1 19 92 2. .1 16 68 8. .5 52 2. .0 0/ /2 24 4 v vl la an n 5 51 1 圖 2 vlan 及 ip 地址規(guī)劃圖 4.34.3 第三層交換技術(shù)設(shè)計方案第三層交換技術(shù)設(shè)計方案 顧名思義，第三層交換器就是將第二層的交換器與第三層的路由器合二為一， 使路由器根據(jù)第二層的地址轉(zhuǎn)發(fā)數(shù)據(jù)包以達(dá)到快速通訊，這就形成了第三層交換器。 第三層交換出現(xiàn)因于 atm 與交換器的技術(shù)背景，因為傳統(tǒng)的網(wǎng)絡(luò)是由路由器 13 作為中心的。使用第二層交換器使網(wǎng)絡(luò)速度提升，可是在網(wǎng)絡(luò)中使用過多的交換器， 所有交換器所架構(gòu)

49、的網(wǎng)絡(luò)可能會形成廣播風(fēng)暴，所以需要路由器來隔離可能會形成 的廣播風(fēng)暴，為了使路由器不會形成網(wǎng)絡(luò)的瓶頸，就形成了第三層交換。vlan 將 廣播域進(jìn)行分割，但透過 vlan 進(jìn)行通訊則必須通過路由器進(jìn)行轉(zhuǎn)發(fā)。 所有核心層交換機(jī)均為三層交換，手動打開 ip routing。 4.44.4 ipip multicastmulticast 技術(shù)方案設(shè)計技術(shù)方案設(shè)計 為了使企業(yè)網(wǎng)絡(luò)系統(tǒng)成為能夠承載多種應(yīng)用的多媒體網(wǎng)絡(luò)，使網(wǎng)絡(luò)點(diǎn)播和網(wǎng)絡(luò) 會議成為辦公的有力工具，網(wǎng)絡(luò)對組播的支持是必不可少的。 傳統(tǒng)的點(diǎn)對點(diǎn)單播通信，在發(fā)送方和每一接收方需要單獨(dú)的數(shù)據(jù)通道。在這種 通信方式下，源 ip 主機(jī)向指定的目標(biāo) ip

50、主機(jī)發(fā)送信息包。ip 信息包中的目標(biāo)地址 就是 ip 網(wǎng)絡(luò)中惟一的主機(jī)地址。從一臺主機(jī)送出的每個數(shù)據(jù)包只能傳送給一個目標(biāo) 主機(jī)，通過路由器或交換機(jī)將這些 ip 信息包從源主機(jī)發(fā)送到目標(biāo)主機(jī)。在源主機(jī)和 目標(biāo)主機(jī)之間的路徑上的每一個路由器都維護(hù)由單播路由協(xié)議生成的單播路由信息 庫，并根據(jù)數(shù)據(jù)包中的 ip 目標(biāo)地址在單播路由信息庫中查找單播包轉(zhuǎn)發(fā)路徑。這種 傳送方式稱為單播。 在單播方式下，如果有另外的多個用戶希望同時獲得這個數(shù)據(jù)包的拷貝是不可 能的。發(fā)送信息的主機(jī)必須向每個希望接收此數(shù)據(jù)包的用戶發(fā)送一份單獨(dú)的數(shù)據(jù)包 拷貝。這種巨大的冗余會帶來很大的代價，首先，會給發(fā)送數(shù)據(jù)的源主機(jī)帶來沉重 的負(fù)擔(dān)

51、，因為它必須對每個要求都做出響應(yīng)，這使得負(fù)擔(dān)過于沉重主機(jī)的響應(yīng)會大 大延長。其次對路由器和交換機(jī)的性能也提出了更高的要求，管理人員被迫購買本 來不必要的硬件和帶寬來保證一定的服務(wù)質(zhì)量。 組播路由與 ip 單播路由有一個本質(zhì)的區(qū)別就是，ip 單播路由是根據(jù)網(wǎng)絡(luò)的拓?fù)?結(jié)構(gòu)而不是實(shí)際的會話來建立路徑，而 ip 組播路由則是根據(jù)網(wǎng)絡(luò)的會話來動態(tài)地建 立投遞路徑；因此，ip 組播路由比 ip 單播路由更具有動態(tài)性。 目前可用的組播路由模型有兩種：稠密分布模型和稀疏分布模型。稠密分布模 型假定組播成員在網(wǎng)絡(luò)中稠密分布，并且它們之間的網(wǎng)絡(luò)帶寬資源往往隨時可用； 而稀疏分布模型假定組播成員在網(wǎng)絡(luò)中稀疏分布，

52、而且它們之間帶寬資源往往比較 緊張。 組播和傳統(tǒng)的單播數(shù)據(jù)傳送方式如圖 3 所示： 14 圖3 組播示意圖 從圖中可以清楚的看出，單播傳送發(fā)送數(shù)據(jù)的多個拷貝，每個拷貝發(fā)送到一個 接收者，主機(jī)輪流發(fā)送數(shù)據(jù)的拷貝，網(wǎng)絡(luò)分別將它們轉(zhuǎn)發(fā)至每個接收者，主機(jī)一次 只能發(fā)送至一個接收者。而組播傳送則只把發(fā)送數(shù)據(jù)的一個拷貝發(fā)送到多個接收者， 主機(jī)發(fā)送數(shù)據(jù)的一個拷貝，可同時發(fā)送到多個接收者。網(wǎng)絡(luò)在每個接收者的最后一 個路由器或主機(jī)復(fù)制它，在一個給定的網(wǎng)絡(luò)上每一個包只傳送一次。 關(guān)于組播路由設(shè)計，在企業(yè)網(wǎng)絡(luò)核心交換機(jī)和匯聚交換機(jī)上運(yùn)行 pim-dm 組播 協(xié)議對業(yè)務(wù)及服務(wù)進(jìn)行支持，并提供優(yōu)秀的可擴(kuò)展性；在邊緣交換

53、機(jī)上運(yùn)行 igmp snooping 組播管理協(xié)議對業(yè)務(wù)及服務(wù)進(jìn)行支持。 用戶通過運(yùn)行組播客戶端軟件的 pc 運(yùn)行 igmp 協(xié)議，用戶可通過 igmp 協(xié)議 加入某個組播組，建立成員關(guān)系。對于組播業(yè)務(wù)的具體實(shí)施及管理需根據(jù)不同的業(yè) 務(wù)類型及廠家提供設(shè)備的特點(diǎn)具體進(jìn)行分析。 目前經(jīng)常被采用的稀疏分布模型的域內(nèi)組播路由協(xié)議是 pim-sm，因此，使用 pim-sm 作為域內(nèi)組播路由協(xié)議。 pim-sm 采用樹形投遞結(jié)構(gòu)，被設(shè)計成限制組播報文只發(fā)給那些希望接收它的 路由器，pim-sm 圍繞一個稱為匯聚點(diǎn)(rp，rendezvous point)的路由器來設(shè)計組廣 播投遞樹；rp 在 pim-sm

54、 中充當(dāng)廣播樹的樹根，所有報文首先被封裝后從發(fā)送者采 用單播的方式送往 rp，然后由 rp 解封后送往所有接收者。但是，在 pim-sm 中， 某個廣播組接受者可以根據(jù)一定條件選擇從以 rp 為根的 rpt 樹切換到以發(fā)送者為 根的所謂 spt 樹；rpt 樹和 spt 樹各有其優(yōu)點(diǎn)，rpt 樹易于構(gòu)造，并且可以減少 路由器中所要維護(hù)的組播狀態(tài)；如果廣播組會話由大量低帶寬多目的廣播流構(gòu)成， rpt 還可以節(jié)省網(wǎng)絡(luò)資源，而 spt 樹則可以采用最優(yōu)路徑，并消除封裝和解封裝過 程，提供更好的性能。 采用 pim version2 作為組播路由協(xié)議。pim（rfc 2362）是 ietf 關(guān)于域內(nèi)組

55、 播路由協(xié)議的標(biāo)準(zhǔn)，目前為大多數(shù)組播服務(wù)提供商采用。按照規(guī)劃，選擇核心節(jié)點(diǎn) 作為整個企業(yè)網(wǎng)絡(luò)組播系統(tǒng)的 rp 點(diǎn)，來對整個企業(yè)網(wǎng)絡(luò)的組播進(jìn)行控制。 每個部門 vlan 劃入一個多播地址： vlan10： vlan11： 15 vlan20： vlan21： vlan30： vlan31： 在核心交換機(jī)和 pix 上啟用多播，命令如下： ip multicast-routing int interface # ip pim sparse-dense-mode ip igmp join-gr

56、oup 224.1.1.x 配置 pix 為 rp 的命令如下： ip pim send-rp-announce loopback0 scope 3 group-list 50 ip pim send-rp-discovery loopback0 scope 3 access-list 50 permit access-list 50 permit access-list 50 permit access-list 50 permit access-list 50 permit access-l

57、ist 50 permit ip pim rp-address 4.54.5 訪問控制列表（訪問控制列表（aclacl）設(shè)計方案）設(shè)計方案 訪問控制列表（access control list，acl） 是路由器接口的指令列表，用來控 制端口進(jìn)出的數(shù)據(jù)包。acl 適用于所有的被路由協(xié)議，如 ip、ipx、appletalk 等。 acl 的定義也是基于每一種協(xié)議的。如果路由器接口配置成為支持三種協(xié)議 （ip、appletalk 以及 ipx）的情況，那么，用戶必須定義三種 acl 來分別控制這 三種協(xié)議的數(shù)據(jù)包。 自反訪問表在路由器的一邊創(chuàng)建 i p 流量的

58、動態(tài)開啟，該過程是基于來自路由 器另一邊的會話進(jìn)行的。在正常的操作模式下，自反訪問表被配置并用于從路由器 的不可信方，例如連接到 i n t e r n e t 的串行端口，創(chuàng)建開啟表項。這些開啟表項的 創(chuàng)建是基于源于設(shè)備的可信方的會話進(jìn)行的，例如以太網(wǎng)或令牌環(huán)網(wǎng)的用戶連接到 一個網(wǎng)段或連接到路由器端口的環(huán)。在該過程中，訪問表執(zhí)行的動作稱為自反向過 濾（ reflexive filtering） 。該名稱是根據(jù)此訪問表的類型得來的。在 i o s 版本 11 . 3 中引入了自反訪問表，并且它可用在所有的路由器平臺上。 在核心層交換機(jī)上配置訪問列表如下（由于各個端口配置相似，故只列出核心 交換

59、機(jī) sw1 上的 e0/1.1）： ip access-list extended e0/0.1-in evaluate admin 16 deny ip 55 55 deny ip 55 55 deny ip 55 55 deny ip 55 55 deny ip 192.16

60、8.10.0 55 55 deny ip 55 55 permit ip any any exit ip access-list extended e-out permit ip any any reflect admin int e0/0.1 ip access-group e-out out ip access-group e0/0.1-in in exit 4.64.6 ipip 地址規(guī)劃與路由設(shè)計方案地址規(guī)劃與路由設(shè)計方案 路由組織及其方案是 ip 網(wǎng)絡(luò)