中小型企業(yè)局域網(wǎng)的設(shè)計和規(guī)劃

1、江蘇農(nóng)林職業(yè)技術(shù)學院畢 業(yè) 設(shè) 計（論 文）中小型企業(yè)局域網(wǎng)的設(shè)計和規(guī)劃專 業(yè)：學生姓名：班 級：學 號：指導(dǎo)教師：完成日期：中小型企業(yè)局域網(wǎng)的設(shè)計和規(guī)劃摘要：在經(jīng)濟日益增長的時代，隨著中小型企業(yè)數(shù)量的不斷增長，已經(jīng)成為我國經(jīng)濟中不可或缺的重要組成部分。中小型企業(yè)要想在這樣的時代中繼續(xù)不斷地發(fā)展，必須有所改變。中小型企業(yè)在信息化的過程中，都面臨著基礎(chǔ)網(wǎng)絡(luò)規(guī)劃不合理、功能設(shè)計不健全、擴展能力不足等困惑，需要工程化的方案予以規(guī)劃和指導(dǎo)。本論文以滿足中小型企業(yè)局域網(wǎng)建設(shè)的基本要求為出發(fā)點，提出一般企業(yè)的典型需求，明確網(wǎng)絡(luò)在冗余、擴展與安全等方面的設(shè)計方案。關(guān)鍵詞：局域網(wǎng)；組網(wǎng)方案；綜合布線；網(wǎng)絡(luò)安全

2、Small and medium-sized enterprise local area network design and planningAbstract: In the period of growing, the growth in the number of small and medium-sized enterprises, has become the indispensable important component of our country's economy. Small and medium-sized enterprises want to in thi

3、s era of continuously development, must change. Small and medium-sized enterprises in the process of informatization, are facing unreasonable based network planning, functional design is not perfect, lacking the ability to extend such as confusion, need engineering scheme planning and guidance. In t

4、his paper to meet the basic requirements of small and medium-sized enterprise local area network construction as the starting point, puts forward general enterprise typical requirements, specific network in redundancy, extension and security aspects of design.Key word: Local area network; Network sc

5、hemes; Integrated wiring; Network security目 錄1、 局域網(wǎng) 11.1 局域網(wǎng)概述 11.2 局域網(wǎng)分類 12、 企業(yè)需求分析 22.1 典型的中小型企業(yè) 22.2 需求分析 23、 組建局域網(wǎng)的設(shè)計目標和原則 33.1 設(shè)計的目標 33.2 設(shè)計的原則 34、 局域網(wǎng)設(shè)計方案 44.1 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計 44.2 VLAN的設(shè)計 5 5 54.3 IP地址規(guī)劃與路由協(xié)議選擇 6 6 74.4 訪問控制列表（ACL） 84.5 第三層交換技術(shù) 95、 網(wǎng)絡(luò)安全規(guī)劃 95.1 外網(wǎng)安全 95.2 內(nèi)網(wǎng)安全 106、網(wǎng)絡(luò)設(shè)備的選型 106.1 傳輸介質(zhì)選型 1

6、06.2 交換機選型 106.3 路由器選型 117、 綜合布線 127.1 綜合布線概述 127.2 綜合布線的標準 137.3 綜合布線設(shè)計 138、 測試 148.1 整體連通性測試方案 148.2 ACL訪問測試方案 15結(jié)束語 16參考文獻 17致 謝 181、局域網(wǎng)一種覆蓋一座或幾座大樓、一個校園或者一個廠區(qū)等地理區(qū)域的小范圍的計算機網(wǎng)。1.1 局域網(wǎng)概述局域網(wǎng)的全稱為局部區(qū)域網(wǎng)絡(luò)（Local Area Networks, LAN）。我們把在較小地理范圍內(nèi)，利用通信線路把數(shù)據(jù)設(shè)備連接起來，實現(xiàn)彼此之間的數(shù)據(jù)傳輸和資源共享的系統(tǒng)稱為局域網(wǎng)。局域網(wǎng)設(shè)計目標是覆蓋一所大學、一幢辦公樓等“

7、有限地理范圍”，因此它的網(wǎng)絡(luò)拓撲、傳輸介質(zhì)與介質(zhì)訪問控制方法具有自身特點。局域網(wǎng)是目前應(yīng)用最廣泛的一類網(wǎng)絡(luò)，比較適合于連接公司、辦公室或工廠里的個人計算機和工作站，因此廣泛應(yīng)用于各種專用網(wǎng)、辦公自動化、工業(yè)控制及數(shù)據(jù)處理等領(lǐng)域。局域網(wǎng)的主要特點有：（1）覆蓋的地理范圍較小，只在一個相對獨立的局部范圍內(nèi)聯(lián)，如一座或集中的建筑群內(nèi)；（2）使用專門鋪設(shè)的傳輸介質(zhì)進行聯(lián)網(wǎng)，數(shù)據(jù)傳輸速率高（10Mb/s10Gb/s）；（3）通信延遲時間短，可靠性較高；（4）局域網(wǎng)可以支持多種傳輸介質(zhì)。局域網(wǎng)由網(wǎng)絡(luò)硬件（包括網(wǎng)絡(luò)服務(wù)器、網(wǎng)絡(luò)工作站、網(wǎng)絡(luò)打印機、網(wǎng)卡、網(wǎng)絡(luò)互聯(lián)設(shè)備等）和網(wǎng)絡(luò)傳輸介質(zhì)，以及網(wǎng)絡(luò)軟件所組成。1局

8、域網(wǎng)可以實現(xiàn)文件管理、應(yīng)用軟件共享、打印機共享、掃描儀共享、工作組內(nèi)的日程安排、電子郵件和傳真通信服務(wù)等功能。1.2 局域網(wǎng)分類局域網(wǎng)的類型很多，若按網(wǎng)絡(luò)使用的傳輸介質(zhì)分類，可分為有線網(wǎng)和無線網(wǎng)；若按網(wǎng)絡(luò)拓撲結(jié)構(gòu)分類，可分為總線型、星型、環(huán)型、樹型、混合型等；若按服務(wù)對象分類，可分為企業(yè)網(wǎng)、校園網(wǎng)；若按傳輸介質(zhì)所使用的訪問控制方法分類，又可分為以太網(wǎng)、令牌環(huán)網(wǎng)、FDDI網(wǎng)和無線局域網(wǎng)等。其中，以太網(wǎng)是當前應(yīng)用最普遍的局域網(wǎng)技術(shù)。從介質(zhì)訪問控制方法角度來看，局域網(wǎng)分為共享介質(zhì)式局域網(wǎng)與交換式局域網(wǎng)兩類。交換式局域網(wǎng)通過局域網(wǎng)交換機支持連接到交換機端口的結(jié)點之間的多個并發(fā)連接，實現(xiàn)多結(jié)點之間的并發(fā)

9、傳輸，增加了網(wǎng)絡(luò)帶寬，改善了局域網(wǎng)的性能與服務(wù)質(zhì)量，成為應(yīng)用的主流。局域網(wǎng)典型技術(shù)與產(chǎn)品包括以太網(wǎng)、令牌總線、令牌環(huán)網(wǎng)三類，其中以以太網(wǎng)應(yīng)用最為廣泛。隨著快速及高速局域網(wǎng)技術(shù)的發(fā)展，100Mbps、1Gbp和10Gbps的以太網(wǎng)成為必然性的首選。同時，無線局域網(wǎng)快速發(fā)展成為應(yīng)用的新熱點。2、企業(yè)需求分析中小型企業(yè)發(fā)展過程中，客觀業(yè)務(wù)的發(fā)展，不斷推動網(wǎng)絡(luò)需求的變化，應(yīng)用的增長。2.1 典型的中小型企業(yè)典型的中小型企業(yè)類型有：(1 制造商；(2 大型零售商；(3 旅館服務(wù)業(yè)特許經(jīng)營商；(4 公共機構(gòu)和政府機構(gòu)；(5 醫(yī)院；(6 學校。根據(jù)企業(yè)的體系構(gòu)成和規(guī)模，可以將企業(yè)網(wǎng)分成工作組級、部門級、園區(qū)

10、級和企業(yè)級四種網(wǎng)絡(luò)類型。根據(jù)2011年7月4日，工信部等四部門聯(lián)合發(fā)布的中小企業(yè)劃型標準規(guī)定，各行業(yè)劃型標準主要依據(jù)營業(yè)收入和從業(yè)人數(shù)兩項，中小企業(yè)從業(yè)人員普遍小于1000人的標準，中小型企業(yè)網(wǎng)目前適用的網(wǎng)絡(luò)規(guī)模往往在園區(qū)級及其以下。這些企業(yè)網(wǎng)絡(luò)通常擁有眾多用戶、跨越多個位置，或部署多套系統(tǒng)，形成了“園區(qū)網(wǎng)”的典型網(wǎng)絡(luò)，如圖2.1所示。圖2.1 園區(qū)網(wǎng)結(jié)構(gòu)2.2 需求分析企業(yè)內(nèi)部網(wǎng)絡(luò)的建設(shè)已經(jīng)成為提升企業(yè)核心競爭力的關(guān)鍵因素。企業(yè)網(wǎng)已經(jīng)越來越多地被人們提到，利用網(wǎng)絡(luò)技術(shù)，現(xiàn)代企業(yè)可以在供應(yīng)商、客戶、合作伙伴、員工之間實現(xiàn)優(yōu)化的信息溝通。這直接關(guān)系到企業(yè)能否獲得關(guān)鍵的競爭優(yōu)勢。近年來越來越多的企

11、業(yè)都在加快構(gòu)建自身的信息網(wǎng)絡(luò)，而其中絕大多數(shù)都是中小企業(yè)。網(wǎng)絡(luò)應(yīng)該支持的交換流量類型包括數(shù)據(jù)文件、電子郵件、聲音和視頻等應(yīng)用，能夠有效地處理這些融合的網(wǎng)絡(luò)流量，設(shè)備能進行科學的管理和合理控制。本次設(shè)計，涉及部門20個（綜合辦公室、財務(wù)部、研發(fā)部、后勤部等），建筑有包括辦公樓、生產(chǎn)車間、生活樓及食堂，各建筑間距一般有10200米不等。其中A棟辦公樓個a層，每層信息點X個；生活樓B棟各b層，每層Y個信息點；食堂C處各c層，每層Z個信息點；車間D處各為一層，每處有M個信息點。3、組建局域網(wǎng)的設(shè)計目標和原則3.1 設(shè)計的目標中小型企業(yè)信息化，首先應(yīng)該站在企業(yè)戰(zhàn)略目標的高度，依據(jù)企業(yè)的經(jīng)營、營銷競爭戰(zhàn)略

12、綜合考慮，必須從企業(yè)的實際出發(fā)，來制定實施信息化的總體規(guī)劃。這樣才能保證企業(yè)信息化是站在企業(yè)戰(zhàn)略目標和長遠發(fā)展的全局上的，是系統(tǒng)的、全面的、統(tǒng)籌兼顧的。因此，設(shè)計的總體目標要圍繞企業(yè)戰(zhàn)略，從長遠規(guī)劃而形成的業(yè)務(wù)、流程、組織、策略，提高網(wǎng)絡(luò)的安全性、先進性，增強其開放性、擴展性。2(1系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機制、數(shù)據(jù)存取的權(quán)限控制等，防范各種形式對網(wǎng)絡(luò)的非法入侵和內(nèi)部攻擊，防止內(nèi)部信息數(shù)據(jù)被非法竊取、篡改或泄漏，以保證網(wǎng)絡(luò)的實體安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和信息安全，有效地保障正常的業(yè)務(wù)活動。(2系統(tǒng)設(shè)計既要采用先進的概念、技術(shù)和方法，又要注意結(jié)構(gòu)

13、、設(shè)備、工具的相對先進成熟，整個系統(tǒng)的生命周期應(yīng)有比較長的時間，在系統(tǒng)建成后比較長的時間內(nèi)能滿足用戶需求增長的需要，從而最大限度保護用戶投資。(3采用的軟硬件平臺和管理系統(tǒng)，遵循國際標準化組織提出的開放系統(tǒng)互聯(lián)的標準，能集成任何第三方的應(yīng)用，具有良好的可移植性和互操作性，存在應(yīng)用軟件的必須獨立于軟硬件平臺。(4在系統(tǒng)結(jié)構(gòu)、系統(tǒng)容量與技術(shù)方案等方面必須具有升級換代的可能，核心設(shè)備必須采用模塊化的結(jié)構(gòu)，符合網(wǎng)絡(luò)的發(fā)展趨勢并具有充分的擴展性。系統(tǒng)建設(shè)必須盡量保護現(xiàn)有的軟、硬件資源，保證各部門現(xiàn)有的計算機系統(tǒng)的使用，逐步過渡，有效保護用戶投資。(5網(wǎng)絡(luò)鏈路和設(shè)備具備足夠高的數(shù)據(jù)轉(zhuǎn)發(fā)能力，保證各種信息的

14、高質(zhì)量無阻塞傳輸；交換系統(tǒng)具有很高的交換容量與多服務(wù)支持的能力，保證網(wǎng)絡(luò)服務(wù)的質(zhì)量。3.2 設(shè)計的原則為了實現(xiàn)一個可管理的、可靠的、高性能網(wǎng)絡(luò)，我們將采用層次化的方法。目前國內(nèi)外網(wǎng)絡(luò)建設(shè)中普遍采用的網(wǎng)絡(luò)拓撲結(jié)構(gòu)是將網(wǎng)絡(luò)劃分為核心層、分布層和接入層三個層次進行設(shè)計，在保證整個網(wǎng)絡(luò)的高可靠性、高性能、高安全和靈活的擴展性前提下，采用核心層與接入層的兩層拓撲結(jié)構(gòu)，其功能是：核心層：提供高速的三層交換骨干；核心層不進行終端系統(tǒng)的連接；核心層少用或不實施影響高速交換性能的ACL等功能；本功能區(qū)主要功能是保證VLAN 間的路由；IP地址或路由區(qū)域的匯聚。接入層：提供Layer2或Layer3的網(wǎng)絡(luò)接入，通

15、過VLAN定義實現(xiàn)接入的隔離。網(wǎng)絡(luò)接入層具有以下特點：接入層接入端口規(guī)劃容量根據(jù)實際使用情況具有一定的擴展性。同時，網(wǎng)絡(luò)的設(shè)計還應(yīng)遵循標準化原則，網(wǎng)絡(luò)的設(shè)計中所有的管理信令、接口規(guī)程、協(xié)議須符合國際標準，便于擴展和網(wǎng)絡(luò)的互聯(lián)互通，保證與其它網(wǎng)絡(luò)之間的平滑連接。4、局域網(wǎng)設(shè)計方案4.1 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計中小型企業(yè)局域網(wǎng)絡(luò)往往由多種完成不同功能的網(wǎng)絡(luò)設(shè)備組成，包括路由器、交換機、Internet接入設(shè)備、防火墻等以及各種服務(wù)器，如：網(wǎng)管服務(wù)器、主服務(wù)器（包括打卡服務(wù)器、售餐服務(wù)器等）。企業(yè)內(nèi)部網(wǎng)絡(luò)采用共享或交換式以太網(wǎng)，通過DDN、ASDL、ISDNPSTN等方式，選擇合適的網(wǎng)絡(luò)運營商接入到Inter

16、net。并采取相應(yīng)的措施，確保通訊數(shù)據(jù)的安全、保密。系統(tǒng)運行要安全、可靠、故障小，軟硬件要組織合理而且要便于理解與維護。根據(jù)要求，我們確定的中小型企業(yè)網(wǎng)絡(luò)拓撲結(jié)構(gòu)為樹狀分層結(jié)構(gòu)，如圖4.1所示。圖4.1 網(wǎng)絡(luò)拓撲結(jié)構(gòu)示意圖4.2 VLAN的設(shè)計劃分虛擬局域網(wǎng)是整個網(wǎng)絡(luò)系統(tǒng)的重要技術(shù)之一。企業(yè)網(wǎng)絡(luò)內(nèi)部的環(huán)境復(fù)雜、分布區(qū)域廣、網(wǎng)絡(luò)用戶多，以至于企業(yè)內(nèi)部網(wǎng)絡(luò)用戶的可靠性得不到完全的保證。通過劃分虛擬局域網(wǎng)，隔離不同部門，可以增強企業(yè)網(wǎng)絡(luò)的安全性。技術(shù)簡介VLAN（虛擬局域網(wǎng)）是對連接到的第二層交換機端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進行網(wǎng)絡(luò)分段。一個VLAN可以在一個

17、交換機或者跨交換機實現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進行分組。3基于交換機的虛擬局域網(wǎng)能夠為局域網(wǎng)解決沖突域、廣播域、帶寬問題。傳統(tǒng)的共享介質(zhì)的以太網(wǎng)和交換式的以太網(wǎng)中，所有的用戶在同一個廣播域中，會引起網(wǎng)絡(luò)性能的下降，浪費可貴的帶寬；而且對廣播風暴的控制和網(wǎng)絡(luò)安全只能在第三層的路由器上實現(xiàn)。VLAN相當于OSI參考模型的第二層的廣播域，能夠?qū)V播風暴控制在一個VLAN內(nèi)部，劃分VLAN后，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。不同的VLAN之間的數(shù)據(jù)傳輸是通過第三層（網(wǎng)絡(luò)層）的路由來實現(xiàn)的，因

18、此使用VLAN技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備可搭建安全可靠的網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員通過控制交換機的每一個端口來控制網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)資源的訪問，同時VLAN和第三層第四層的交換結(jié)合使用能夠為網(wǎng)絡(luò)提供較好的安全措施。另外，VLAN具有靈活性和可擴張性等特點，方便于網(wǎng)絡(luò)維護和管理，這兩個特點正是現(xiàn)代局域網(wǎng)設(shè)計必須實現(xiàn)的兩個基本目標，在局域網(wǎng)中有效利用虛擬局域網(wǎng)技術(shù)能夠提高網(wǎng)絡(luò)運行效率。的劃分目前，VLAN技術(shù)可以使用以下方式組建：基于交換機端口的VLAN、基于MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN?？紤]到本系統(tǒng)的特點，節(jié)點在網(wǎng)絡(luò)中移動的可能性較小，基于維護、易管理方面的考慮，使用基于交換機端口

19、的VLAN進行配置。VLAN規(guī)劃參照圖4.2，各個VLAN間由ACL控制，限制互訪。其中VLAN1032為部門VLAN，禁止互訪；VLAN40VALN42為服務(wù)器區(qū)，VLAN40是文件服務(wù)器能被任何部門訪問，VLAN41為網(wǎng)管區(qū)，能單個訪問部門，VLAN42為其他服務(wù)器。圖4.2 VLAN規(guī)劃圖4.3 IP地址規(guī)劃與路由協(xié)議選擇 路由組織及其方案是IP網(wǎng)絡(luò)中的基本問題之一，涉及網(wǎng)絡(luò)的連通性、可達性、穩(wěn)定性、精確性和易管理性，其設(shè)計的好壞直接影響著網(wǎng)絡(luò)性能。路由組織應(yīng)根據(jù)網(wǎng)絡(luò)對路由信息的需求，設(shè)計網(wǎng)絡(luò)中路由信息分布。4因為IP地址的劃分和路由策略息息相關(guān)，所以在以IP地址劃分的基礎(chǔ)上，選擇企業(yè)網(wǎng)

20、絡(luò)平臺中最優(yōu)的路由設(shè)計方案。IP地址是整個網(wǎng)絡(luò)系統(tǒng)運行的基石，IP地址劃分不僅應(yīng)該滿足當前的需求，還應(yīng)該充分考慮將來的擴展性，以滿足將來的發(fā)展需要。因此需要對企業(yè)網(wǎng)絡(luò)系統(tǒng)的IP地址進行統(tǒng)一劃分，IP地址劃分方案如下：在整個網(wǎng)絡(luò) 環(huán)境中必須保持IP地址的唯一性；根據(jù)業(yè)務(wù)情況，為每個單位局域網(wǎng)分配一個或多個C類地址段，或者使用VLSM技術(shù)進一步進行細化，如分配64個（掩碼）或者32個（掩碼）地址，滿足當前需要，并留有一定的擴充余地（23）倍，便于將來增加節(jié)點。5地址分配具有層次性和連續(xù)性，便于管理，即在IP地址規(guī)劃時應(yīng)該充分考慮到路由匯總技術(shù)，減少路由波動，使得各局部的變動不影響整個網(wǎng)絡(luò)的其它部分

21、，增加網(wǎng)絡(luò)的穩(wěn)定性，同時由于路由匯總技術(shù)能夠縮減路由表項數(shù)，所以還能夠提高路由器的處理速率。使用VLSM技術(shù)，在劃分IP地址時應(yīng)該盡可能的減少IP地址浪費；在訪問Internet時，使用NAT或者PAT技術(shù)通過防火墻設(shè)備進行地址或者端口翻譯，把私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址，以獲得對Internet的訪問；各局域網(wǎng)內(nèi)，據(jù)業(yè)務(wù)情況，本著滿足需求和擴展性的要求，劃分并預(yù)留出網(wǎng)絡(luò)設(shè)備地址段、服務(wù)器地址段和辦公網(wǎng)段。在劃分這些網(wǎng)段時，需要注意所有單位應(yīng)該統(tǒng)一規(guī)劃，以使地址分段全網(wǎng)統(tǒng)一，便于維護，IP地址劃分如表4.1。表 4.1 IP地址劃分設(shè)備名IP地址備注PC 10192.168.10.1/24VLAN1

22、0PC 11192.168.11.1/24VLAN11PC 20192.168.20.1/24VLAN20PC 21192.168.21.1/24VLAN21PC 30192.168.30.1/24VLAN30PC 31192.168.31.1/24VLAN31PC 32192.168.32.1/24VLAN32文件服務(wù)器192.168.40.1/24VLAN40網(wǎng)管中心192.168.41.1/24VLAN41其他服務(wù)器192.168.42.1/24VLAN42Router0192.168.5.1/30Sw1192.168.5.2/30Sw2192.168.5.3/30VLAN40192.1

23、68.5.4/30VLAN41192.168.5.5/30VLAN42192.168.5.6/30Router到防火墻Cloud201.1.14.6/31Cloud到防火墻路由協(xié)議選擇路由器上指明去另一點要走的具體路徑。動態(tài)路由是網(wǎng)絡(luò)上的所有路由器互相通告自己所連的網(wǎng)段，各路由器根據(jù)某算法算出到每一點的最佳路徑。靜態(tài)路由方式適用于網(wǎng)絡(luò)拓撲結(jié)構(gòu)確定、結(jié)構(gòu)簡單、IP地址完善、網(wǎng)絡(luò)規(guī)模小的場合。靜態(tài)路由配置簡單，調(diào)試方便，但由于靜態(tài)路由在網(wǎng)絡(luò)上每增加一個點時，都需在網(wǎng)絡(luò)上增加路由，這樣使得靜態(tài)路由不適合網(wǎng)絡(luò)規(guī)模較大、網(wǎng)絡(luò)不斷發(fā)展的場合，而動態(tài)路由因為在網(wǎng)絡(luò)上的路由器間相互交換路由信息，增加節(jié)點時，網(wǎng)

24、絡(luò)上的其他路由器的配置可以不作任何修改，非常便于網(wǎng)絡(luò)擴展，據(jù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)規(guī)模、結(jié)構(gòu)和將來擴展能力 ，使用動態(tài)路由協(xié)議。6在動態(tài)路由中比較常用的協(xié)議有以下幾種：路由信息協(xié)議（RIP）、增強內(nèi)部網(wǎng)關(guān)路由協(xié)議(EIGRP和開放式最短路徑優(yōu)先（OSPF）。RIP和EIGRP屬于距離向量協(xié)議，OSPF屬于鏈路狀態(tài)協(xié)議；RIP配置簡單，適合較小規(guī)模的網(wǎng)絡(luò)，從而限制了網(wǎng)絡(luò)的擴展；7EIGRP路由協(xié)議只適用于所有設(shè)備都是Cisco產(chǎn)品的情況，使得限制了設(shè)備的選型，不適于網(wǎng)絡(luò)的擴展；OSPF配置復(fù)雜，適合于較大規(guī)模的網(wǎng)絡(luò)。因此，建議使用適合于大型網(wǎng)絡(luò)運行的內(nèi)部網(wǎng)關(guān)協(xié)議：OSPF，OSPF由于其快速的收斂速

25、度，較低的帶寬開銷和極大地應(yīng)用普遍性成為大型網(wǎng)絡(luò)的不二選擇，目前我國眾多媒體網(wǎng)骨干網(wǎng)部分所運行的協(xié)議都是OSPF。開放式最短路徑優(yōu)先路由選擇協(xié)議（OSPF）是于20世紀80年代后期發(fā)展起來，并且早在90年代初就由互聯(lián)網(wǎng)組織實現(xiàn)成為一個現(xiàn)代的與提供方無關(guān)的協(xié)議。在同一時期，RIP協(xié)議已成為最主要的協(xié)議，但隨著網(wǎng)絡(luò)規(guī)模的發(fā)展，逐漸暴露出一些問題。OSPF協(xié)議的發(fā)展接見了許多其他路由協(xié)議的思想：包括最初的ARPANET鏈路的狀態(tài)協(xié)議和OSI協(xié)議。大規(guī)模的運用OSPF協(xié)議的網(wǎng)絡(luò)必須使用分層網(wǎng)絡(luò)拓撲結(jié)構(gòu)。實現(xiàn)上更容易，但發(fā)生協(xié)議改動時，可能會改變拓撲結(jié)構(gòu)。OSPF協(xié)議屬于鏈路狀態(tài)路由協(xié)議，鏈路狀態(tài)路由協(xié)

26、議是通過給每個路由器提供足夠的信息，使其能構(gòu)建一張完整的網(wǎng)絡(luò)映射圖從而實現(xiàn)的。該網(wǎng)絡(luò)映射圖中的元素包含在路由器的“鏈路狀態(tài)數(shù)據(jù)庫”中，庫中包含一個詳盡的且易于了解的關(guān)于給定的鏈路狀態(tài)路由域所有鏈路列表。在OSPF中，鏈路狀態(tài)數(shù)據(jù)庫列出了鏈路狀態(tài)路由域中特定區(qū)域的所有鏈路。鏈路狀態(tài)路由域或區(qū)域中每一個路由器，其鏈路狀態(tài)數(shù)據(jù)庫的內(nèi)容都是一致的。每個路由器根據(jù)自己的拓撲數(shù)據(jù)庫來確定它在網(wǎng)絡(luò)中的位置，并以此來計算出自己的路由表。8總的來說，OSPF協(xié)議具有以下優(yōu)點：(1節(jié)省網(wǎng)絡(luò)帶寬；(2支持VLSM；(3支持層次化的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計；(4支持路由總結(jié)；(5沒有路由跳數(shù)限制；(6沒有路由環(huán)路問題等。4.4

27、訪問控制列表（ACL）訪問控制列表是應(yīng)用在路由器接口的指令列表，這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地址、目的地址、端口號等的特定指示條件來決定。9訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。訪問控制列表不但可以起到控制網(wǎng)絡(luò)流量、流向的作用，而且在很大程度上起到保護網(wǎng)絡(luò)設(shè)備、服務(wù)器的關(guān)鍵作用。作為外網(wǎng)進入企業(yè)內(nèi)網(wǎng)的第一道關(guān)卡，路由器上的訪問控制列表成為

28、保護內(nèi)網(wǎng)安全的有效手段。根據(jù)企業(yè)情況,訪問控制設(shè)計如下：各個部門間，禁止互訪；文件服務(wù)器能被任何部門訪問；網(wǎng)管區(qū)能單個訪問部門，其他服務(wù)器禁止訪問。4.5 第三層交換技術(shù)第三層交換技術(shù)是將第二層的交換器與第三層的路由器合二為一，使路由器根據(jù)第二層的地址轉(zhuǎn)發(fā)數(shù)據(jù)包以達到快速通訊，形成第三層交換器。第三層交換出現(xiàn)因于ATM與交換器的技術(shù)背景，因為傳統(tǒng)的網(wǎng)絡(luò)是由路由器作為中心的。使用使用第二層交換器使網(wǎng)絡(luò)速度提升，可是在網(wǎng)絡(luò)中使用過多的交換器可能會形成廣播風暴，所以需要路由器來隔離可能會形成的廣播風暴，為了使路由器不會形成網(wǎng)絡(luò)的瓶頸，就產(chǎn)生了第三層交換。所有核心層交換機均為三層交換，手動打開ip r

29、outing。5、網(wǎng)絡(luò)安全規(guī)劃中小企業(yè)網(wǎng)絡(luò)病毒泛濫、安全事件頻發(fā)，是網(wǎng)絡(luò)管理面臨的重大挑戰(zhàn)。從網(wǎng)絡(luò)安全調(diào)查數(shù)據(jù)來看，網(wǎng)絡(luò)的安全威脅主要來自三個方面：一方面是網(wǎng)絡(luò)的惡意破壞者即黑客，造成正常網(wǎng)絡(luò)服務(wù)的不可用、系統(tǒng)數(shù)據(jù)的破壞；第二個方面是無辜的內(nèi)部人員造成的網(wǎng)絡(luò)數(shù)據(jù)的破壞、網(wǎng)絡(luò)病毒的蔓延擴散、木馬的傳播；第三個方面是有些用戶竊取他人身份進行越權(quán)數(shù)據(jù)訪問，其中以內(nèi)部人員而造成的網(wǎng)絡(luò)安全問題為主。10安全問題已經(jīng)成為企業(yè)信息化過程普遍問題，表現(xiàn)在部門間互訪的安全無法控制，重要數(shù)據(jù)被入侵者竄改，不能很好應(yīng)對外部攻擊以及移動辦公用戶上網(wǎng)控制，都急待解決。5.1 外網(wǎng)安全由于外網(wǎng)主要運行企業(yè)各部門非涉密的內(nèi)

30、部辦公業(yè)務(wù)以及運行面向客戶的公開信息，所以必須采取相對應(yīng)的安全措施來實現(xiàn)企業(yè)網(wǎng)絡(luò)的安全。外網(wǎng)對安全的要求主要包括物理安全、入侵檢測系統(tǒng)、防病毒系統(tǒng)等方面。物理安全：針對重要信息可能通過電磁輻射或線路干擾等泄露。需要對存放重要信息的機房進行規(guī)劃，如設(shè)置屏蔽室等。對重要的設(shè)備進行冗余配置；對系統(tǒng)進行備份等安全保護。入侵檢測系統(tǒng)網(wǎng)絡(luò)安全是整體的、動態(tài)的，不是單一產(chǎn)品能夠?qū)崿F(xiàn)的，所以為了確保網(wǎng)絡(luò)的安全必須配備入侵檢測系統(tǒng)，對透過防火墻的攻擊進行檢測并作出相應(yīng)的記錄、警告、阻斷等措施。防病毒系統(tǒng)針對病毒的危害性極大且傳播迅速等特性，應(yīng)當對所有設(shè)備進行防病毒軟件的配備，實現(xiàn)全網(wǎng)的病毒安全保護。5.2 內(nèi)網(wǎng)

31、安全運用多種技術(shù)，對各個部門的訪問進行控制，在沒有授權(quán)的情況下不能進行相互訪問，保證系統(tǒng)內(nèi)部的安全。內(nèi)網(wǎng)的安全主要包括VLAN的設(shè)置、防病毒系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)等方面。VLAN的設(shè)置：企業(yè)內(nèi)部網(wǎng)絡(luò)的環(huán)境比較復(fù)雜，且子網(wǎng)劃分區(qū)域廣，用戶多，使得網(wǎng)絡(luò)的安全性降低，且多數(shù)安全問題主要來至于內(nèi)部用戶，所以對內(nèi)部用戶進行訪問控制和安全防范顯得尤為重要。通過對VLAN的設(shè)置可以對用戶的訪問起到控制作用，所以應(yīng)對其進行詳盡的設(shè)計，使得防護做到網(wǎng)絡(luò)的每一點。防病毒系統(tǒng)：針對病毒的危害性極大且傳播迅速等特性，應(yīng)當對所有設(shè)備進行防病毒軟件的配備，實現(xiàn)全網(wǎng)的病毒安全保護。網(wǎng)絡(luò)管理系統(tǒng)：企業(yè)網(wǎng)絡(luò)是個相當復(fù)雜的計算機網(wǎng)絡(luò)

32、，包含多種設(shè)備和技術(shù)。隨著科技的發(fā)展，對系統(tǒng)管理的工作量的增加帶來了巨大的沖擊，所以必須設(shè)計完整的管理體系和相對應(yīng)的管理措施。6、網(wǎng)絡(luò)設(shè)備的選型6.1 傳輸介質(zhì)選型據(jù)主干千兆，百兆到桌面的設(shè)計，核心交換機到接入交換機選擇千兆多模光纖，接入交換機到桌面采用超五類雙絞線。6.2 交換機選型據(jù)本方案設(shè)計，我采用兩臺核心交換機型號為CISCO WS-C4506，具體參數(shù)如下表6.1所示：表 6.1 CISCO WS-C4506主要參數(shù)產(chǎn)品類型企業(yè)級交換機應(yīng)用層級四層傳輸速率10/100/1000Mbps背板帶寬100GbpsVLAN支持網(wǎng)絡(luò)管理SNMP管理信息庫(MIBII，SNMP MIB擴展，橋接

33、MIB(RFC 1493MIB包轉(zhuǎn)發(fā)率75Mpps網(wǎng)絡(luò)標準IEEE 802.3，IEEE 802.3u，IEEE 802.3，IEEE 802.3z，IEEE 802.3x，IEEE 802.3ab端口結(jié)構(gòu)模塊化交換方式存儲-轉(zhuǎn)發(fā)擴展模塊1個超級引擎插槽數(shù)+5個線路卡插槽傳輸模式支持全雙工QOS支持電源電壓220V據(jù)百兆到桌面，接入交換機我采用CISCO WS-C2960-48TC-L，數(shù)量據(jù)實際情況而定，具體參數(shù)如下表6.2所示：表 6.2 CISCO WS-C2960-48TC-L主要參數(shù)產(chǎn)品類型智能交換機應(yīng)用層級二層傳輸速率10/100Mbps端口數(shù)量50個（48個以太網(wǎng)10/100Mb

34、ps端口，2個兩用上行端口）背板帶寬6.8GbpsVLAN支持網(wǎng)絡(luò)管理Web瀏覽器，SNMP，CLI包轉(zhuǎn)發(fā)率10.1MppsMAC地址表8K網(wǎng)絡(luò)標準IEEE 802.3，IEEE 802.3u，IEEE 802.1x，IEEE 802.1Q，IEEE 802.1p，IEEE 802.1D，IEEE 802.1s，IEEE 802.1w，IEEE 802.3ad，IEEE 802.3z端口結(jié)構(gòu)非模塊化交換方式存儲-轉(zhuǎn)發(fā)6.3 路由器選型據(jù)本方案的設(shè)計及中小型企業(yè)的規(guī)模路由器采用CISCO 2911/K9，數(shù)量據(jù)實際情況而定，具體參數(shù)如表6.3所示：表6.3 CISCO 2911/K9主要參數(shù)端口

35、結(jié)構(gòu)模塊化廣域網(wǎng)接口3個傳輸速率10/100/1000Mbps防火墻內(nèi)置防火墻網(wǎng)絡(luò)協(xié)議IPV4，IPV6，靜態(tài)路由，IGMPV3QOS支持VPN支持端口數(shù)量2個外部USB閃存插槽，1個USB控制臺端口，1個串行控制臺端口，1個串行輔助端口擴展模塊1個服務(wù)模塊插槽數(shù)+4個EHWIC插槽+2個雙寬度EHWIC插槽（使用雙寬度EHWIC插槽將占用兩個EHWIC插槽）+1個ISM插槽+2個板載DSP（PVDM）插槽DRAM512目標，最大2GBFLASH256MB電源電壓AC 100-240V，47-63Hz其它性能基于硬件的嵌入式密碼加速（IPSec + SSL）7、綜合布線7.1 綜合布線概述所謂

36、綜合布線系統(tǒng)是指按標準的、統(tǒng)一的和簡單的結(jié)構(gòu)化方式編制和布置各種建筑物(或建筑群內(nèi)各種系統(tǒng)的通信線路，包括網(wǎng)絡(luò)系統(tǒng)、電話系統(tǒng)、監(jiān)控系統(tǒng)、電源系統(tǒng)和照明系統(tǒng)等。因此，綜合布線系統(tǒng)是一種標準通用的信息傳輸系統(tǒng)。11綜合布線系統(tǒng)是智能化辦公室建設(shè)數(shù)字化信息系統(tǒng)基礎(chǔ)設(shè)施,是將所有語音、數(shù)據(jù)等系統(tǒng)進行統(tǒng)一的規(guī)劃設(shè)計的結(jié)構(gòu)化布線系統(tǒng)，為辦公提供信息化、智能化的物質(zhì)介質(zhì)，支持將來語音、數(shù)據(jù)、圖文、多媒體等綜合應(yīng)用。綜合布線同傳統(tǒng)的布線相比較,有著許多優(yōu)越性，是傳統(tǒng)布線所無法相比的。其特點主要表現(xiàn)在它具有兼容性、開放性、靈活性、可靠性、先進性和經(jīng)濟性。而且在設(shè)計、施工和維護方面也給人們帶來了許多方便。綜合布線

37、系統(tǒng)可劃分成六個子系統(tǒng)：工作區(qū)子系統(tǒng)、水平（配線子系統(tǒng)、干線(垂直子系統(tǒng)、設(shè)備間子系統(tǒng)、管理子系統(tǒng)、建筑群子系統(tǒng)如圖7.1所示。圖7.1 綜合布線系統(tǒng)7.2 綜合布線的標準綜合布線涉及的方面較多，所以導(dǎo)致了許多地方的差錯，早期不同地方的布線標準不一致導(dǎo)致施工難度大 ，后期維護不方便等眾多問題。從而使得各個國家都出臺了一系列的標準規(guī)范。以下是美國國家標準化協(xié)會、電子工業(yè)協(xié)會、電信工業(yè)協(xié)會共同制定的一些標準。TIA/ EIA-568A 商業(yè)大樓電信布線標準（加拿大采用CSA工T529）EIA/ TIA-569 電信通道和空間的商業(yè)大樓標準（CSA T530）EIA/ TIA-570 住宅和N型商業(yè)

38、電信布線標準CSA T525TIA/ EIA-606 商業(yè)大樓電信基礎(chǔ)設(shè)施的管理標準（CSA T528）TIA/ EIA-607 商業(yè)大樓接地/連接要求（CSA T527）ANSI/ IEEE 802.5-1989 令牌環(huán)網(wǎng)訪問方法和物理層規(guī)范GB 50311-2007建筑與建筑群綜合布線系統(tǒng)工程設(shè)計規(guī)范GB 50312-2007建筑與建筑群綜合布線系統(tǒng)工程驗收規(guī)范CECS72：97建筑與建筑群綜合布線系統(tǒng)工程設(shè)計及驗收規(guī)范7.3 綜合布線設(shè)計本設(shè)計方案參照相關(guān)標準設(shè)計，以達到保質(zhì)保量，系統(tǒng)支持語音和數(shù)據(jù)圖像傳輸?shù)?，能夠滿足中小型企業(yè)的業(yè)務(wù)需求，設(shè)計方案如下:企業(yè)的主設(shè)備間設(shè)于辦公樓二層的綜合

39、機房，從主設(shè)備間引線接至相關(guān)工作區(qū)域。水平布線電纜采用超5類雙絞線，信息插座采用5類系列插座。本方案有五大子系統(tǒng)，為工作區(qū)子系統(tǒng)、水平（配線子系統(tǒng)、干線(垂直子系統(tǒng)、設(shè)備間子系統(tǒng)、管理子系統(tǒng)、建筑群子系統(tǒng)，具體設(shè)計如下：工作區(qū)子系統(tǒng)：本系統(tǒng)中工作區(qū)有辦公樓，生活樓、車間、食堂，A棟辦公樓個a層，每層信息點X個；生活樓B棟各b層，每層Y個信息點；食堂C處各c層，每層Z個信息點；車間D處各為一層，每處有M個信息點。所需要的RJ45單插座面板和RJ45插座模塊分別為：( A*a*X+B*b*Y+C*c*Z+D*M *( 1 + 3 % 水平子系統(tǒng)：水平子系統(tǒng)為配線間水平配線架至各個辦公室內(nèi)插座面板的

40、連接線纜，本系統(tǒng)采用超5類雙絞線。線纜用量計算：A(平均長度=（最長長度+最短長度）×0.55+10D是端接余量，常用數(shù)據(jù)是615m，根據(jù)工程實際取定。本設(shè)計中取10m。水平電纜的數(shù)量=信息點數(shù)×A/305+1設(shè)備間子系統(tǒng)：設(shè)備間子系統(tǒng)是在每棟建筑內(nèi)的適應(yīng)位置專設(shè)的安裝設(shè)備和建筑物間光纖接入的房間，它還是網(wǎng)絡(luò)管理和值班人員的工作場所。設(shè)備間溫度、濕度、塵埃、照明、電磁場干擾、內(nèi)部裝修、噪聲、火災(zāi)警報及滅火設(shè)施等環(huán)境條件，接地性能必須符合GB/T50312-2000建筑與建筑群綜合布線系統(tǒng)工程驗收規(guī)范。一方面由于從設(shè)備間到樓內(nèi)各信息點的距離不超過90M，另一方面為了管理方便和

41、節(jié)省配線間對空間的占用，將設(shè)備設(shè)置在辦公樓二層綜合機房， 所有的配線管理全部在設(shè)備間。根據(jù)配線架、光纖終端盒和網(wǎng)絡(luò)設(shè)備的數(shù)量情況，設(shè)備間配置A臺標準42U機柜及相關(guān)設(shè)備。8、測試測試是檢測一套方案的可行性，同時也是一項艱巨的任務(wù)，設(shè)計方案是否存在缺陷，都可以同過測試來了解，從而找到修改方案的方法，為以后的工作提供依據(jù)。8.1 整體連通性測試方案ping命令是一種常見的網(wǎng)絡(luò)連通性測試命令。ping的原理很簡單，就是向遠程計算機通過ICMP協(xié)議發(fā)送特定的數(shù)據(jù)包然后等待回應(yīng)并接收返回的數(shù)據(jù)包 ，對每個接收的數(shù)據(jù)包均根據(jù)傳輸?shù)南⑦M行驗證以校驗與遠程計算機或本地計算機的連接情況。5需要注意的是檢測順序，必須遵守的規(guī)則是由近到遠的檢測順序，否則會出現(xiàn)網(wǎng)絡(luò)問題的錯誤定位。利用ping命令進行網(wǎng)絡(luò)連通性檢查的前提條件是，本網(wǎng)的交換機、路由器和本網(wǎng)中的計算機不能禁止ping 命令的使用ping出和ping入。 通過以下步驟來檢測網(wǎng)絡(luò)的連通性。(1進入windows命令輸入框： 點擊開始菜單運行輸入cmd，然后回車； 發(fā)送4個ICMP回送請求，每個32字