企業(yè)局域網拓撲搭建畢業(yè)設計論文

1、摘要據統(tǒng)計，越來越多的企業(yè)都在加快構建自身的信息網絡，而其中絕大多數都是中小企業(yè)。該設計對我國現階段中小企業(yè)局域網現狀進行了研究，對局域網組建的目的、原則以及網絡結構設計等做了闡述。此方案的設計對于所有的中小企業(yè)在當今以及未來的網絡建設中有著重要的指導和參考意義，也是本次畢業(yè)設計方案的主要目的與價值所在。本文通過北京某一企業(yè)的具體案例來說明中小企業(yè)網絡組建所需要考慮的問題，對網絡組建方案的設計、基于安全的網絡配置方案設計、綜合布線方案設計以及企業(yè)網絡安全設計等方面進行了研究，詳細的探討了對該網絡進行規(guī)劃設計時遇到的關鍵性問題。意在組建一個基本能覆蓋整個企業(yè)、實現廣域網接入和資源共享的互聯網絡，

2、將企業(yè)內各種計算機、服務器、終端設備連接起來，并通過一定的接口連接到廣域網。關鍵詞：中小型企業(yè)、局域網、組網、網絡拓撲、路由、交換ABSTRACTAccordingtostatistics,moreandmoreenterprisestoacceleratetheconstructionofitsowninformationnetwork,whilethevastmajorityofthemareSMEs.ThegraduationprojectreseachonthestatusofcurrentSMELAN,describedthepurposeandprinciplesofLANesta

3、blishedandthedesignofnetworkarchitectureandsoon.Thisprogramisdesignedtoprovidesmallandmediumenterprisesofallcurrentandfuturenetworkconstructionhasgottotheguidanceandreferencevalue,isalsothegraduateprograsrmainpurposeandvalue.InthispaperthespecificcaseofacompanyinBeijingtoillustratesomethingneedtobec

4、onsideredduringtheSMEnetworkestablished.Throughthedesignofthenetworksetuptheprogram、basedonthesecurenetworkconfigurationdesignstructuredcablingdesignenterprisenetworksecuritydesignandotheraspectsofresearch,thenetworkthekeyissuesencounteredintheplanninganddesignarediscussedindetail.Thepurposeistosetu

5、pInternetwhichcancovertheentireenterprise,realizetheWANaccessandresourcesharing.Enterpriseofallkindsofcomputers,servers,terminalequipmentthroughacertaininterfacetoconnecttoWAN.KeywordsSmall&MediumEnterprise、LAN、Formationofnetworks、Networktopology、Routing、Swtiching前言11局域網技術與設備簡介21.1 網絡技術21.2 網絡協議與標準5

6、1.3 網絡設備72需求分析92.1 中小企業(yè)特點及組網原則92.2 背景分析102.3 需求分析112.4 系統(tǒng)目標123網絡規(guī)劃設計133.1 網絡拓撲規(guī)劃設計133.2 IP地址分配與VLAN劃分143.2網絡設備選型174綜合布線組成與設計205網絡組建與配置235.1 部門網絡組建235.2 核心網絡組建265.3 網絡Internet接入355.4 網絡服務管理375.5 網絡安全管理386方案成本預算39結論40致謝41參考文獻1青島濱海學院網絡工程專業(yè)畢業(yè)設計刖百二十一世紀是科學技術飛速發(fā)展的時代，全球信息化浪潮勢不可擋，已經迅速延伸至國防、科研、經濟、教育等各個領域，也不可避

7、免地改變著傳統(tǒng)的企業(yè)人事的工作模式，利用當前蓬勃發(fā)展的以計算機和網絡為主導的先進信息技術則是企業(yè)實現現代化的必不可少的的技術基礎。近年來，隨著信息化水平的不斷提高，企業(yè)對計算機網絡的依賴程度越來越來高，Internet成為人們生活、工作、學習中必不可少的一部分。Internet是一個資源的網絡，其中擁有的信息幾乎覆蓋所有的領域。Internet面向人類社會，世界上數以億計的人們利用它進行通信和信息共享，通過發(fā)送和接受電子郵件，或和其他人的計算機建立連接、參加各種討論組并免費使用各種信息資源實現信息共享。Internet也是一個服務的網絡，在Internet,許多單位、公司和組織提供了各種各樣的

8、服務，如WWW（WorldWideWeb,全球信息網）服務、信息查詢服務等，向網絡上的其他用戶展示自己各方面的情況，并幫助這些用戶找到需要的信息。目前，我國中小企業(yè)數量已經超過了1000萬家，在國民經濟中，60%多的總產值來自于中小企業(yè)，并為社會提供了70%以上的就業(yè)機會，然而，在經濟與社會發(fā)展中占據著至關重要的戰(zhàn)略地位的中小企業(yè)，具信息化程度卻相對比較落后，早期的企業(yè)只有一個簡單的辦公網絡，為企業(yè)的日常辦公服務。隨著企業(yè)的規(guī)模不斷擴大，計算機數量不斷增長以及企業(yè)需求不斷的提高，原有的網絡已經不能滿足現有企業(yè)規(guī)模的需求。所以，就需要對原有區(qū)域的辦公網進行擴充，建立整體企業(yè)網，使網絡覆蓋整個企業(yè)

9、，把企業(yè)所有的辦公網絡以及新增加的計算機和部門網絡都相互連接起來，形成一個整體。本方案主要是通過對具體對象進行實地調查，對該企業(yè)將要組建的網絡進行深入的需求分析和預測，然后為網絡做出一個整體的、切實可行的規(guī)劃設計方案。青島濱海學院網絡工程專業(yè)畢業(yè)設計1局域網技術與設備簡介網絡有許多不同的類型，為我們提供各種服務。簡單來說，網絡就是通過物理鏈路將各個獨立的主機或工作站相互連接在一起，從而達到軟硬件資源的共享。計算機網絡按照網絡的組建規(guī)模和延伸范圍來劃分的話，可以分為局域網(LocalAreaNetwork,LAN)、城域網(MetropolitanAreaNetwork,MAN)、廣域網(Wid

10、eAreaNetwork,WAN)。局域網(localareanetwork,LAN)是指在一定的區(qū)域范圍內將各種計算機、外部設備和數據庫等相互聯接起來組成的計算機通信網，局域網的區(qū)域范圍一般是方圓幾千米以內，它可以實現文件管理、應用軟件共享、打印機共享、工作組內的日程安排、電子郵件和傳真通信服務等功能，它的組成可以是辦公室內的兩臺計算機也可以是一個公司內的上千臺計算機。美國電氣和電子工程師協會(IEEE)局域網標準委員會曾提出局域網的一些具體的特征：(1)通信距離有限制，一般在12Km的地域范圍內。(2)較高的傳輸率。(3)低誤碼率，因為連接線路都比較短，中間幾乎不會受到任何的干擾。(4)管

11、理方便，局域網一般是一個單位或部門專用。(5)組網連接容易，局域網的拓撲結構比較簡單，所支持連接的計算機數量也是有限的，所以組網是相對很容易連接。1.1 網絡技術網絡技術是從1990年中期發(fā)展起來的新技術，它把互聯網上分散的資源融為有機整體，實現資源的全面共享和有機協作，使得人們能夠透明地使用資源的整體能力并按需獲取信息。當前達到或超過百兆的高速網絡技術主要有：快速以太網、FDDI(光纖分布式數據接口)、千兆以太網、ATM交換網。以太網技術是種成熟的、優(yōu)質廉價的網絡技術，其標準已制定完備。經過多年發(fā)展，形成了10Mbps、100Mbps和千兆以太網技術，同時還由共享式的網絡發(fā)展成為交換式的以太

12、網，成為現今主流的網絡技術。當然它也有不足，即以太網仍是基于載波監(jiān)聽多路訪問和沖突檢測(CSMA/CD)技術，就是將多個工作站都連接在一條總線上，而所有的工作站都不斷地向總線發(fā)出監(jiān)聽信號，但在同一時刻，只能有一個工作站在總線上進行傳輸，而其它工作站必須等待傳輸結束后，再開始自己的傳輸。所以當網絡負載較重時，會造成效率的降低，不過這可以青島濱海學院網絡工程專業(yè)畢業(yè)設計使用交換技術來彌補。本方案是針對的中小企業(yè)組網設計的，而中小企業(yè)的特點是要求網絡系統(tǒng)速度快、穩(wěn)定性好，具有擴展性和開放性，同時對于組網技術的選擇，需要考慮技術產品的成熟穩(wěn)定性，并且，使用先進成熟的網絡技術，不僅可以保護投資，還可以降

13、低網絡建設的費用，因此，最終選擇以太網技術作為本次組網技術方案。同時，在本次系統(tǒng)設計方案中所涉及到的技術有：VLAN、TRUNK技術、鏈路聚合技術、HSRP技術、NAT技術、VPN技術等，下面對以上所使用的技術做出簡要介紹。1. VLAN技術VLAN(VirtualLocalAreaNetwork,虛擬局域網)是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的技術。IEEE于1999年頒布了用以標準化VLAN實現方案的IEEE802.1Q協議標準草案。交換式以太網利用VLAN技術，在以太網幀的基礎上增加了VLAN頭，可以將由交換機連接成的物理網絡劃分成多個邏輯子網

14、，即屬于同一VLAN(VLANID相同)中的站點所發(fā)送的廣播數據包將僅轉發(fā)至屬于同一VLAN的站點，通過此方式在同一交換機上的站點如果處于不同的VLAN中即使網絡地址處于同一網段也不能相互訪問，只能通過網絡層設備互聯才能實現不同VLAN間的互訪。構成VLAN的站點不局限與于所處的物理位置，既可以連接在同一個交換機上，也可以連接在不同的交換機上，VLAN技術的這一特點使得網絡的拓撲結構變得非常的靈活，位于不同部門的用戶或者不同樓層的用戶可以根據需要加入不同的VLAN。2. TRUNK技術TRUNK(干道)是一種封裝技術，它是一條點到點的鏈路，主要功能是僅通過一條鏈路就可以連接多個交換機從而擴展已

15、經配置了多個VLAN,還可以采用通過TRUNK技術和上級交換機級聯的方式來擴展端口的數量，可以達到近似堆疊的功能，節(jié)省了網絡硬件的成本，從而擴展整個網絡。使用TRUNK具有以下三大優(yōu)點：(1) 可以在不同的交換機之間連接多個VLAN,可以將VLAN擴展到整個網絡中。(2) TRUNK可以捆綁任何相關的端口，也可以隨時取消設置，這樣提供了很高的靈活性。(3) TRUNK可以提供負載均衡能力以及系統(tǒng)容錯。由于TRUNK實時平衡各個交換機端口和服務器接口的流量，一旦某個端口出現故障，它就會自動把故障端口從青島濱海學院網絡工程專業(yè)畢業(yè)設計TRUNK組中撤銷，進而重新分配各個TRUNK端口的流量，從而實

16、現系統(tǒng)容錯。3. 鏈路聚合技術制定于1999年的IEEE802.3ad（LinkAggregationControlProtocol,LACP）鏈路聚合控制協議，定義了如何將兩個以上的以太網鏈路組合起來為高帶寬網絡連接實現負載共享、負載平衡以及提供更好的彈性。端口聚合將交換機上的多個端口在物理上連接起來，在邏輯上捆綁在一起，形成一個擁有較大寬帶的端口，形成了一條干路，可以實現均衡負載，并提供了冗余鏈路。AggregatePort（簡稱AP）,符合IEEE802.3ad標準。它可以把多個端口的帶寬疊加起來使用，提供了固有的、自動的冗余性，保證了網絡的可靠性。4. 單臂路由技術VLAN（虛擬局域網

17、）技術是路由交換中非常基礎的技術，在網絡管理實踐中，通過交換機上劃分適當的VLAN,不僅能有效隔離廣播風暴，還能提高網絡安全系數以及網絡帶寬效率，劃分VLAN后，VLAN和VLAN之間是不能通信的，只能通過路由或三層交換來實現，我們知道路由器功能通常是數據報從一個接口進來然后從另一個接口出來，現在路由器和交換機之間通過一條主干現實通信或數據轉發(fā)，也就是說路由器僅用一個接口實現數據的進與出，因此這種方式也形象地被稱為“單臂路由”。單臂路由是解決VLAN問通信的一種廉價而實用的解決方案。當然核心三層交換機同樣也具備單臂路由的功能。在本方案中，將單臂路由的技術應用到三層交換機上以實現VLAN問通信，

18、單臂路由技術在交換機上的配置的核心是采用interface的形式訪問VLAN，方法是在三層交換機上劃分VLAN,并為VLAN端口配置IP地址與子網掩碼，作為不同部門的網關5. HSRP路由技術隨著Internet的日益普及，人們對網絡的依賴性也越來越強。這同時對網絡的穩(wěn)定性提出了更高的要求，人們自然想到了基于設備的備份結構，就像在服務器中為提高數據的安全性而采用雙硬盤結構一樣。路由器是整個網絡的核心和心臟，如果路由器發(fā)生致命性的故障，將導致本地網絡的癱瘓，如果是骨干路由器，影響的范圍將更大，所造成的損失也是難以估計的。因此，對路由器采用熱備份是提高網絡可靠性的必然選擇。在一個路由器完全不能工作

19、的情況下，它的全部功能便被系統(tǒng)中的另一個備份路由器完全接管，直至出現問題的路由器恢復正常，這就是熱備份路由協議（HotStandbyRouterProtocoD,HSRP-RFC2281技術要解決的問題。青島濱海學院網絡工程專業(yè)畢業(yè)設計同樣的，此技術也能夠應用于具有路由功能的三層交換機，所以在本次方案中，將HSRP技術應用到總部的兩個三層交換機上，以實現互為備份（設備冗余）、負載均衡的功能，滿足總部網絡更高穩(wěn)定性的要求。6. NAT技術現行我們使用的是IPv4的IP地址，它是一個32位的二進制數，因此總地址容量也就只有數億個左右，而按照TCP/IP協議的規(guī)定，相互聯接的網絡中每個節(jié)點都必須有自

20、己獨一無二的地址來作為標識，那么很明顯，日益增長的用戶數與確定的IP的地址數形成了矛盾，現有的IP地址資源也已不堪重負。解決IP地址缺乏的辦法之一就是想辦法延緩資源耗盡的時間，目前廣泛使用的就是NAT（NetworkAddressTranslation,網絡地址翻譯）。NAT（NetworkAddressTranslation,網絡地址翻譯）是解決IP地址短缺的重要手段。同時，它還幫助網絡可以超越地址的限制，合理地安排網絡中的公有Internet地址和私有IP地址的使用。7. VPN技術VPN的全稱是VirtualPrivateNetwork,翻譯過來一般稱為虛擬專用網絡。其主要作用就是利用公

21、用網絡（主要是互聯網）將多個私有網絡或網絡節(jié)點連接起來。VPN技術是利用開放的廣域網建立私有的數據傳輸通道，將分布各地的分支機構、合作伙伴、公司內部人員等連接起來，提供安全的端到端數據通信的廣域網技術。VPN實現的兩個關鍵技術是隧道技術和加密技術。（1）隧道技術隧道技術簡單的說就是：原始報文在A地進行封裝，到達B地后把封裝去掉還原成原始報文，這樣就形成了一條由A到B的通信隧道。目前實現隧道技術的有一般路由封裝（GenericRoutingEncapsulationGRE）、L2TP和PPTP。（2）加密技術（IPSec）利用隧道方式來實現VPN時，除了要充分考慮隧道的建立及工作過程之外，另外一

22、個重要的問題是隧道安全。第二層隧道協議只能保證在隧道發(fā)生端和終止端進行認證及加密，而隧道在公網的傳輸過程中不能完全保證安全。IPSec加密技術則是隧道外面在封裝，保證了隧道在傳輸過程中的安全性。1.2網絡協議與標準青島濱海學院網絡工程專業(yè)畢業(yè)設計網絡通常按層或級的方式來組織，每一層的目的都是向它的上一層提供服務。層和協議的集合被稱為網絡體系結構，作為具體的網絡體系結構，當前最重要的和使用最廣泛的網絡體系結構有OSI體系結構和TCP/IP體系結構。網絡協議是通信雙方共同遵守的約定和規(guī)范，網絡設備必須安裝或設置各種網絡協議之后才能完成數據的傳輸和發(fā)送。(1) TCP/IP(Transmission

23、ControlProtocol/InternetProtoco1傳輸控制/Internet協議TCP/IP協議是互聯網上廣泛使用的一種協議，使用TCP/IP協議的因特網等網絡提供的主要服務有：文件傳輸、網絡文件系統(tǒng)、電子郵件、遠程登錄、電視會議系統(tǒng)和萬維網。它是Internet的基礎，它提供了廣域網內的路由功能，而且使Internet上的不同主機可以互聯(2) HTTP(HypertextTransferProtocol)超文本傳輸協議它是用來在Internet上傳送超文本的傳送協議。它是運行在TCP/IP協議簇之上的HTTP應用協議，它可以使瀏覽器更加高效，使網絡傳輸減少。任何服務器除了包括

24、HTML文件以外，還有一個HTTP駐留程序，用于響應用用戶請求。您的瀏覽器是HTTP客戶，向服務器發(fā)送請求，當瀏覽器中輸入了一個開始文件或點擊了一個超級鏈接時，瀏覽器就向服務器發(fā)送了HTTP請求，此請求被送往由IP地址指定的URL。駐留程序接收到請求，在進行必要的操作后回送所要求的文件。(3) HTTPS(SecureHypertextTransferProtocol安全超文本傳輸協議它是由Netscape開發(fā)并內置于其瀏覽器中，用于對數據進行壓縮和解壓操作，并返回網絡上傳送回的結果。HTTPS實際上應用了Netscape的完全套接字層(SSL)。SSL使用40位關鍵字作為RC4流加密算法，這

25、對于商業(yè)信息的加密是合適的。(4) DHCP(DynamicHostConfigurationProtocol)動態(tài)主機配置協議它是在TCP/IP網絡上使客戶機獲得配置信息的協議，它是基于BOOTP協議，并在BOOTP協議的基礎上添加了自動分配可用網絡地址等功能。(5) RIP(RoutingInfomationProtocol)路由信息協議RIP是最早的路由協議之一，而且現在仍然在廣泛使用。它從類別上應該屬于內部網關協議(IGP)類，它是距離向量路由式協議，這種協議在計算兩個地方的距離時只計算經過的路由器的數目。(6) STP協議(生成樹協議)青島濱海學院網絡工程專業(yè)畢業(yè)設計STP（Span

26、ningTreeProtocol是生成樹協議的英文縮寫。該協議可應用于環(huán)路網絡，通過一定的算法實現路徑冗余，同時將環(huán)路網絡修剪成無環(huán)路的樹型網絡，從而避免報文在環(huán)路網絡中的增生和無限循環(huán)。2.標準（1）網絡標準局域網（LAN）的結構主要有三種類型：以太網（Ethernet）、令牌環(huán)（TokenRing）、令牌總線（TokenBus）以及為這三種網的骨干網光纖分布數據接口（FDDI）。它們所遵循的都是IEEE（美國電子電氣工程師協會）制定的以802開頭的標準。IEEE802.1Q標準。IEEE802.1q協議也就是“VirtualBridgedLocalAreaNetworks（虛擬橋接局域網，

27、簡稱虛擬局域網”）協議，主要規(guī)定了VLAN的實現方法。IEEE802.1d標準。為了解決廣播風暴”這一在二層數據網絡中存在弊端，IEEE（電機和電子工程師學會）制定了IEEE802.1d的生成樹（SpanningTree協議。生成樹協議是一種鏈路管理協議，為網絡提供路徑冗余，同時防止產生環(huán)路。千兆以太網技術標準千兆以太網技術有兩個標準：IEEE802.3z和IEEE802.3aboIEEE802.3z制定了光纖和短程銅線連接方案的標準，目前已完成了標準制定工作。IEEE802.3ab制定了五類雙絞線上較長距離連接方案的標準。IEEE802.3ad標準。IEEE802.3ad是執(zhí)行鏈路聚合的標準

28、方法，它定義了如何將兩個以上的千兆以太網連接組合起來為高帶寬網絡連接實現負載共享、負載平衡以及提供更好的彈性。（2）工程設計標準為了保證局域網建設的可靠性、安全性、完備性，除了局域網建設所使用設備應按標準的組合與標準的測試外，綜合布線也盡可能低按照國際、國內有關標準進行規(guī)范設計。設計中應該遵循的標準與規(guī)范有：GB50311-2007GB50312-20071.3網絡設備網絡設備主要是指硬件系統(tǒng)，各種網絡設備之間是有著相互關聯而不是相互獨立青島濱海學院網絡工程專業(yè)畢業(yè)設計的，每一部分在網絡中有著不同的作用，缺一不可，只有把這些設備通過一定的形式連起來才能組成一個完整的網絡系統(tǒng)，網絡設備主要包括網

29、卡、交換機、路由器、傳輸介質等。1 .網卡網卡（簡稱NIC）,也網絡適配卡或網絡接口卡，網卡作為計算機與網絡連接的接口，是不可缺少的網絡設備之一。無論是雙絞線網絡、同軸電纜網絡還是光纜網絡，都必須借助于相應類型的網卡才能實現與計算機的連接，是計算機與局域網相互連接的惟一接口。從目前中小企業(yè)局域網建設的實際情況來看，工作站網卡選擇PCI總線的10M/100Mbit/s自適應網卡最適合。2 .交換機由交換機構建的交換式網絡系統(tǒng)不僅擁有高速的傳輸速率，而且交換延時很小，使得信息的傳輸效率大大提高，適合于大數據量并且使用非常頻繁的網絡通信，被廣泛應用于各種類型的多媒體和數據傳輸網絡。交換機具有很強的網

30、絡管理功能，它能自動根據網絡通信的使用情況來動態(tài)管理網絡，因為交換機采用了獨享網絡帶寬的設計。3 .路由器路由器除了有連接不同的網絡物理分支和不同的通信媒介、過濾和隔離網絡數據流及建立路由表，還有控制和管理復雜的路徑、控制流量、分組分段、防止網絡風暴及在網絡分支之間提供安全屏障層等到功能。根據路由設備的組成可以分為軟路由和硬路由。根據路由表的設置方式可以將路由器分為靜態(tài)的和動態(tài)的。路由器工作在網絡層，因此它可以在網絡層交換和路由數據幀，訪問的是對方的網絡地址。當數據幀到達路由器后，路由器查看數據幀的目標地址，并在路由表查看到達目標地址的路徑，根據路徑的代價，選擇一條最佳的路徑，然后把數據幀沿這

31、條路徑發(fā)送給目標地址。4 .傳輸介質網絡要求把各個獨立的計算機連接起來的，這樣就必然要求有一種介質將計算機連接起來，這就是傳輸介質，局域網的傳輸介質可分為有線介質和無線介質兩種，一般情況下都是用有線介質的，因為它的穩(wěn)定性高，連接可靠，無線介質只是在特殊環(huán)境下才使用的傳輸方式。常用的有線介質主要有以下幾類。5 .雙絞線雙絞線是綜合布線工程中最常用的一種傳輸介質。雙絞線由兩根具有絕緣保護層的銅導線組成。把兩根絕緣的銅導線按一定密度互相絞在一起，可降低信號干擾的程度，青島濱海學院網絡工程專業(yè)畢業(yè)設計每一根導線在傳輸中輻射的電波會被另一根線上發(fā)出的電波抵消，與其他傳輸介質相比，雙絞線在傳輸距離、信道寬

32、度和數據傳輸速度等方面均受到一定限制，但價格較為低廉。目前，雙絞線可分為非屏蔽雙絞線和屏蔽雙絞線。6 .光纖光纖是一種直接為50100um的柔軟的、能傳導光波的介質，一般由玻璃制造。光纖分為：傳輸點模數類分單模光纖(SingleModeFiber)和多模光纖(MultiModeFiber)。單模光纖的纖芯直徑很小，在給定的工作波長上只能以單一模式傳輸，傳輸頻帶寬，傳輸容量大。多模光纖是在給定的工作波長上，能以多個模式同時傳輸的光纖，與單模光纖相比，多模光纖的傳輸性能較差。2需求分析對企業(yè)網絡的設計，首先需要進行對象研究和需求調查，弄清企業(yè)發(fā)展的特點，明確系統(tǒng)建設的需求和條件；其次在應用需求分析

33、的基礎上，確定企業(yè)網絡的服務類型，進而確定系統(tǒng)建設的具體目標，包括網絡設施、站點設置和管理等方面的目標；第三，確定網絡拓撲結構和功能，根據應用需求、建設目標和企業(yè)主要建筑分布特點，進行系統(tǒng)分析和設計；第四，確定技術設計的原則要求，如在軟硬件選型、布線設計、網絡設備選擇等方面的標準和要求；第五，規(guī)劃安排企業(yè)網絡布線的實施步驟。2.1 中小企業(yè)特點及組網原則1、中小企業(yè)網絡特點(1)高性能，全交換一般的中小企業(yè)在核心層肯定要支持目前主流的千兆位以太網接入，在匯聚層，為了滿足一些特殊應用的高帶寬需求，可以采用GEC鏈路聚合技術。在核心層和匯聚層基本上都必須采用第三層交換機，使得路由器專注于處理廣域網

34、流量。(2)網絡結構更復雜在企業(yè)網絡中，核心層和匯聚層通常采取冗余連接，這樣可進一步提高網絡的可用性。(3)靈活、高效、可靠的廣域網連接在企業(yè)網絡中，廣域網應用更加多樣化，一般要求邊界路由器設備支持多種廣域網接入方式，如：ISDN、DDN、FR和ATM等。并且支持幾十個、上百個移動用戶的遠9青島濱海學院網絡工程專業(yè)畢業(yè)設計程撥號訪問，也就是要有遠程訪問服務器功能。（4）可擴展性強可擴展性方面主要是通過級聯、堆棧、集群和功能模塊來實現。（5）系統(tǒng)安全，保密性高因為這種規(guī)模的企業(yè)網絡用戶通常是需要與分支機構、合作伙伴等的廣域網進行連接（如VPN連接），所以在安全性方面要求高。2、網絡組建基本原則（

35、1）先進性原則（2）實用性原則（3）可靠性原則（4）經濟性原則（5）開放性原則（6）可擴充性原則（7）可管理性原則（8）安全性原則（9）易用性原則2.2 背景分析榮新IT培訓中心一一中國領先IT培訓機構，它在北京總共有三處高端IT技術實訓基地，分部位于北京教育考試院D座辦公樓（總部）、西城區(qū)百萬莊東口華云寫字樓（分部1）、石景山區(qū)圖書館三層（分部2）?？傆嫿虒W面積1200平米，同時在校人數400人左右?？偛堪ㄎ鍌€部門：財務部（8人）、教務部（8人）、教學部（15人）、咨詢部（18人）、市場部（20人）。分部距離總部位置較遠，兩個分部布局相同，都包括三個部門：財務部（4人）、教務部（4人）、教

36、學部（18人）。各部門作用：財務部是準確、及時、有效的核算培訓中心經營情況，合理籌劃資金的使用等；教學部負責老師招聘、培訓管理，保證教育質量；教務部負責學生、老師排課，保證教學順利進行；咨詢部負責學員接待、咨詢，促成成交，也會主動電話營銷約訪學員上門；市場部負責市場推廣，提高培訓機構的知名度，保證學員訪量。預計各部門信息接入點分布情況如表2-1信息接入點分布表表2-1信息接入點分布表10青島濱海學院網絡工程專業(yè)畢業(yè)設計部門信息點數(個)預留節(jié)點總計總部教學區(qū)24024350財務部82教務部82教學部155咨詢部184市場部202分部1教學區(qū)808122財務部42教務部42教學部184分部2教學

37、區(qū)808122財務部42教務部42教學部184總計594培訓中心的總部和分部的各個部門均位于同大廈的不同辦公室內，并且總部與分部相距較遠，為了達到總部與分部的通信，并考慮到成本問題，初步考慮采用VPN隧道技術來實現總部與分部的通信。2.3 需求分析1 .網絡需求該培訓中心網絡建設中的網絡需求與大部分的企業(yè)網絡需求是相同的，大體上有以下幾點：(1)滿足企業(yè)信息化的要求，為各類應用系統(tǒng)提供方便、快捷的信息通路。(2)良好的性能，能夠支持大容量和實時性的各類應用。(3)能夠可靠地運行，較低的故障率和維護要求。(4)提供安全機制，滿足保護企業(yè)信息安全的要求。(5)具有較高的性價比。(6)用戶使用簡單、

38、維護容易(7)網絡安全需求：中小企業(yè)的網絡安全指的主要是對各服務器進行授權訪問，對所有服務器進行并對防護，數據備份，對企業(yè)內部計算機進行統(tǒng)一式集中式的管理，11青島濱海學院網絡工程專業(yè)畢業(yè)設計以及遠程及移動用戶對公司內部網絡的安全訪問等。2 .系統(tǒng)需求系統(tǒng)的設計要求采用開放的技術和標準，選擇主流的操作系統(tǒng)及應用軟件，保障系統(tǒng)能夠適應未來幾年公司的業(yè)務發(fā)展需求，便于網絡的擴展和企業(yè)的結構變更。(1)易于配置：所有的客戶端和服務器系統(tǒng)應該是易于配置和管理的，并保障客戶端的方便使用。(2)更廣泛的設備支持：所有操作系統(tǒng)及選擇的服務應金陵廣泛地支持各種硬件設備。(3)可管理性：系統(tǒng)中應提供盡量多的管理

39、方式和管理工具，便于系統(tǒng)管理員在任何位置方便地對整個系統(tǒng)進行管理。(4)安全性：在系統(tǒng)的設計、實現及應用上采用多種安全手段保障網絡安全。3 .應用需求WWW服務器：WWW服務器主要功能是提供網上信息瀏覽服務，是Internet目前發(fā)展最快和目前用的最廣泛的服務。FTP服務器：為了企業(yè)內部能夠輕松進行文件數據交換，權限分配，FTP服務器是十分必要。DNS服務器：計算機網絡間的通信首先必須由DNS將域名解析為IP地址，為了公司內部網絡之間能夠通信，DNS為員工訪問內部網絡提供域名解析，同時也提高了網絡訪問速度和準確度。郵件服務器：為了通信的安全、便捷，需要為企業(yè)架設一臺郵件服務器。DHCP服務器：

40、DHCP指的是由服務器控制一段IP地址范圍，客戶機登錄服務器時就可以自動獲得服務器分配的IP地址和子網掩碼。數據庫服務器：企業(yè)內會有很多數據需要統(tǒng)一的管理，所以我們需要架設一臺數據庫服務器，用來統(tǒng)一管理培訓中的的數據。2.4系統(tǒng)目標首先，全面實現計算機資源共享：對于局域網中的各種資源，通過設置網絡用戶的共享權限，可以方便地使其無條件或有條件地成為網絡共享資源(如計算機、光驅、各類軟件和文本文件、打印機等設備)，其中對打印機實現網絡共享式實現計算機資源共享的重要內容。對于網絡中已經提供共享服務的打印機，網絡中的所有用戶可以像使用12青島濱海學院網絡工程專業(yè)畢業(yè)設計自己的打印機一樣方便地實施打印操

41、作。其次，通信服務：用戶可以收發(fā)郵件、實現Web應用、接入互聯網、進行安全的廣域網訪問。再次：對培訓中心的網絡進行統(tǒng)一管理。最后：實現企業(yè)全部信息化、無紙化辦公，改變傳統(tǒng)工作方式，提高工作效率。3網絡規(guī)劃設計3.1 網絡拓撲規(guī)劃設計網絡拓撲結構對整個網絡系統(tǒng)的運行效率、技術性能的發(fā)揮、可靠性與費用等方面都有著重要的影響。確定網絡拓撲結構是整個網絡系統(tǒng)方案規(guī)劃設計的基礎。拓撲結構的選擇和地理環(huán)境的分部、傳輸介質、介質訪問控制方法，甚至網絡設備選型等因素緊密相關。計算機網絡拓撲結構有很多種，主要有總線型拓撲、環(huán)形拓撲和星型拓撲。當前各種網絡系統(tǒng)的建設中使用最多的是星型拓撲，星型拓撲是當網絡中某個節(jié)

42、點出現故障時不會影響整個網絡的運行。在本方案中，培訓中心的總部和分部的各個部門主要集中在大廈內部，分為：財務部、教學部、教務部、咨詢部、市場部等幾個獨立的部門。因為各個部門分部比較集中，在這種情況下，將網絡拓撲結構確定為星型拓撲結構是比較合理的，整個企業(yè)網的架構采用三層交換結構，分為核心層、匯聚層和接入層。(1)使用路由器接入Internet網絡。(2)采用具有三層交換功能的高性能交換機作為核心交換機。中心交換機配置為千兆，部分端口與幾臺中心服務器(IIS服務器、DNS服務器、DHCP服務器)相連接,另外部分端口用于連接匯聚層的交換機，端口一般配置雙絞線端口。(3)各部門子網按照部門來劃分，V

43、LAN的劃分在匯聚層交換機上實現，共分為財務部、教學部、教務部、咨詢部、市場部和教學區(qū)幾個子網，考慮到企業(yè)實際情況，接入層采用普通交換機來連接各個部門的計算機。整體的網絡拓撲結構如下圖3-1整體網絡拓撲圖所示：13青島濱海學院網絡工程專業(yè)畢業(yè)設計數學區(qū)Intomei總都展入路摟入值VUNLO卵勢梏群沌棧心層交攢機分部1授片第1口無工乘”核心屋交映機忙廢足交換機報&層交換機分期2接入明用石景山區(qū)軟學區(qū)VINJG圖3-1整體網絡拓撲圖數據昨服務器3.2 IP地址分配與VLAN劃分通過之前的網絡需求分析，我們可以了解到，為了保證企業(yè)網絡信息的安全，部門內需要保密的信息不能被網絡中其它部門直接訪問，希

44、望通過技術手段，實現各個部門之間的隔離，但同時又需要保證分布在不同部的同一部門之間的網絡能夠相互連通，共享網絡信息資源，這就需要用到對IP地址合理的規(guī)劃和VLAN劃分。1. IP地址規(guī)劃企業(yè)辦公網計劃使用私有的C類IP地址。IP地址分配原則如下：(1)企業(yè)使用IPv4地址方案。(2)企業(yè)使用子網劃分技術分配IP地址空間。(3)企業(yè)IP地址分配滿足合理利用的要求。(4)企業(yè)IP地址分配滿足為了公司網絡擴容的需要使用規(guī)定：(1)子網劃分后，所有的第一個子網(0子網)都不分配給用戶使用。(2)網關的地址統(tǒng)一使用子網的最后一個可用地址。根據以上知識，在3-1圖所示的網絡拓撲圖中，對內部網絡進行規(guī)劃，方

45、法是：企業(yè)的每個獨立的部門劃分為獨立的子網，子網劃分詳情如表3-1子網劃分所示：14青島濱海學院網絡工程專業(yè)畢業(yè)設計表3-1子網劃分部門子網地址子網掩碼網關教學區(qū)192.168.10.x54財務部192.168.20.x54教務部192.168.30.x54教學部192.168.40.x54咨詢部192.168.50.x54市場部192.168.6

46、0.x54服務器群192.168.70.x54核心層交換機同路由器接口連接的接口IP地址設置為：/300總部接入路由器的串口IP地址設置為：/24分部1接入路由器的串口IP地址設置為：/24分部2接入路由器的串口IP地址設置為：/24全網絡各設備連接接口連接情況（如下表3-2各設備接口連接情況表）和設備IP地址規(guī)劃（如下表3-3設備IP地址規(guī)劃表）：表3-2各設備接口連接情況表設備接口連接設備及接口R1

47、S0/0外網F0/1SW1(F0/5)F0/2SW2(F0/5)R2S0/0外網F0/1SW3(F0/1)R3S0/0外網F0/1SW4(F0/1)SW1F0/1SW2(F0/1)F0/2SW2(F0/2)F0/3SW5(F0/1)F0/4SW6(F0/1)SW2F0/3SW5(F0/2)F0/4SW6(F0/2)SW3F0/2SW7(F0/1)F0/3SW8(F0/1)SW4F0/2SW9(F0/1)F0/3SW10(F0/1)15青島濱海學院網絡工程專業(yè)畢業(yè)設計表3-3設備IP地址規(guī)劃表路由器IP地址規(guī)劃設備接口IP地址描述R1S0/0/24總部外網地址F0/119

48、/30連接匯聚層交換機F0/2/30連接匯聚層交換機R2S0/0/24分部外網地址F0/1/30連接匯聚層交換機R3S0/0/24分部外網地址F0/1/30連接匯聚層交換機核心層交換機IP地址規(guī)劃設備接口IP地址描述SW1F0/5/30連接路由器VLAN1052/24VLAN的IP地址VLAN2052/24VLAN3052/24VLAN40192.168.40.

49、252/24VLAN5052/24VLAN6052/24SW2F0/5/30連接路由器VLAN1053/24VLAN的IP地址VLAN2053/24VLAN3053/24VLNA4053/24VLAN5053/24VLAN6053/24SW3F0/1/30連接路由器VLAN1054/24教學區(qū)網關VLAN205

50、4/24財務部網關VLAN3054/24教務部網關VLAN4054/24教學部網關SW4F0/1/30連接路由器VLAN1054/24教學區(qū)網關VLAN2054/24財務部網關16青島濱海學院網絡工程專業(yè)畢業(yè)設計VLAN3054/24教務部網關VLAN4054/24教學部網關2,VLAN戈U分劃分VLAN主要有四種方式，分別為基于端口劃分的VLAN、基于MAC地址劃分VLAN、基于網絡層劃分VLAN、根據IP組播劃分的VLAN。

51、本方案將以基于端口劃分的方式實施。根據實際情況一個部門劃分一個VLAN設計規(guī)劃如下表3-2VLAN劃分表所示：表3-2VLAN劃分表部門子網地址子網掩碼網關VLANID教學區(qū)192.168.10.x54VLAN10財務部192.168.20.x54VLAN20教務部192.168.30.x54VLAN30教學部192.168.40.x54VLAN40咨詢部192.168.50.x255.255.2

52、55.054VLAN50市場部192.168.60.x54VLAN60服務器群192.168.70.x54VLAN703.2網絡設備選型在確定網絡的拓撲結構后，接下來就是選擇網絡硬件設備。這是網絡設計的又一個關鍵環(huán)節(jié)，因為網絡硬件設備的性能決定了網絡系統(tǒng)的穩(wěn)定性、可靠性等。在選擇網絡硬件設備時還要考慮用戶的承受力，在選擇設備時一定要以實用性為原則，千萬不要盲目追求檔次。網絡硬件設備主要包括網絡的傳輸介質、接入設備和服務器。1 .傳輸介質傳輸介質，也就是網絡的通信線路。對于

53、固定的工作站點，一般考慮有線通信線路,對于遠程的、頻繁移動或臨時使用的站點，可以考慮無線通信。有線網絡通信線路的選擇必須考慮網絡的性能、價格、使用規(guī)則、安裝的容易性、可擴展性及其他一些因素，目前在有線通信線路上使用的傳輸介質有雙絞線、光纖（這三種傳輸介質在第一章中也有介紹）。在本次網絡系統(tǒng)設計中，是屬于一個中小企業(yè)的局域網組建，并且總部和分部中的各個部門均比較集中分部，所以在局域網內部選用超五類雙絞線，在接入路由器與核心17青島濱海學院網絡工程專業(yè)畢業(yè)設計交換機連接使用室內單模光纖，達到主干網千兆傳輸的目的。2 .接入設備網絡接入設備連接計算機與計算機或連接工作站與服務器，包括傳輸介質連接設備

54、(如連接雙絞線的RJ-45頭和RJ-45接口)、網絡適配器(俗稱網卡)、路由器、交換機等。選擇網絡接入設備時要充分考慮用戶數據流量、工作站點與服務器的距離等。如中心交換機應有一定的剩余端口，留作以后擴充時使用或者網絡出現局部故障時應急使用。交換機本身應當有一定的空余槽位，以便于以后擴展。根據需求，路由器和中心交換機相連接，中心交換機和各樓層的普通交換機構建1000Mbps主干交換，各樓層的普通交換機到各部門辦公室構建10/100Mbps桌面交換。(1)交換機本著實用性原則，在總部需要1000Mbps的核心交換機2個，100Mbps可網管交換機2個，在分部需要1000Mbps的核心交換機1個，1

55、00Mbps可網管交換機2個。這樣就可以實現了企業(yè)網所有工作站點100Mbps全交換和中心主干的1000Mbps交換。核心層交換機負擔著網絡內部的大量通信以及各個部門之間的連接，還要為中心服務器群提供高性能的連接。此外，還提供與Internet之間的通信。因此，其帶寬和性能的要求非常高。所以，核心層交換機選用思科3750系列的交換機。對于中型組織和企業(yè)分支機構而言，思科3750系列可以通過提供配置靈活性，支持融合網絡模式，已經自動配置智能化網絡服務，降低融合應用的部署難度，適應不斷變化的業(yè)務需求。匯聚層交換機可以考慮選用全球網絡設備知名品牌思科的產品且在總小企業(yè)使用較多具有較高性價比的2960

56、可網管交換機。WS-C2960-24TT-L是思科推出的一款24口智能以太網交換機，適用于入門級企業(yè)、中型市場和分支機構網絡。WS-C2960-24TT-L提供24個10/100以太網端口，2個10/100/1000固定以太網上行鏈路端口和1機架單元(RU)。CiscoCatalyst2960系列交換機的雙介質上行鏈路端口提供了千兆以太網上行鏈路靈活性，可以使用銅纜或光纖上行鏈路端口。接入層交換機可以考慮使用思科WS-C2918-24TC-C2918系列交換機，它是是面向中國市場中小規(guī)模網絡部署的入門級固定配置交換機。性能參數有：端口數量26個，包轉發(fā)率是6.5Mpps,傳輸速率是10/100Mbps,背板帶寬是16Gbps,支持VLAN.Catalyst2918采用簡體中文的設備面板和圖形化界面，以特優(yōu)的性價比，為入門級配線間和小型分支機構提供桌面快速以太網和千兆上行網絡連接。CiscoCatalyst2918系列