中小型局域網(wǎng)的規(guī)劃和設(shè)計(jì)畢業(yè)設(shè)計(jì)

1、畢業(yè)設(shè)計(jì)（論文）SNL/QR7.5.4-3中小型局域網(wǎng)的規(guī)劃和設(shè)計(jì)專 業(yè)學(xué)生姓名班 級(jí)學(xué) 號(hào)指導(dǎo)教師完成日期 中小型企業(yè)局域網(wǎng)的設(shè)計(jì)和規(guī)劃摘要：在經(jīng)濟(jì)日益增長的時(shí)代，隨著中小型企業(yè)數(shù)量的不斷增長，已經(jīng)成 為我國經(jīng)濟(jì)中不可或缺的重要組成部分。中小型企業(yè)要想在這樣的時(shí)代中 繼續(xù)不斷地發(fā)展，必須有所改變。中小型企業(yè)在信息化的過程中，都面臨 著基礎(chǔ)網(wǎng)絡(luò)規(guī)劃不合理、功能設(shè)計(jì)不健全、擴(kuò)展能力不足等困惑，需要工 程化的方案予以規(guī)劃和指導(dǎo)。本論文以滿足中小型企業(yè)局域網(wǎng)建設(shè)的基本 要求為出發(fā)點(diǎn)，提出一般企業(yè)的典型需求，明確網(wǎng)絡(luò)在冗余、擴(kuò)展與安全 等方面的設(shè)計(jì)方案。關(guān)鍵詞：局域網(wǎng)；組網(wǎng)方案；綜合布線；網(wǎng)絡(luò)安全Sm

2、all and medium-sized enterprise local area network design and planningAbstract: In the period of growing, the growth in the number of small and medium-sized en terprises, has become the in dispe nsable importa nt comp onent of our countrys economy. Small and medium-sized enterprises want to in this

3、era of continuously development, must change. Small and medium-sized en terprises in the process of in formatizati on, are facing un reas on ablebased network planning, functional design is not perfect, lacking the ability to extend such as con fusi on, n eed engin eeri ng scheme pla nning and guida

4、 nee. In this paper to meet the basic requirements of small and medium-sized enterprise 中小型局域網(wǎng)的規(guī)劃和設(shè)計(jì) XX學(xué)院畢業(yè)論文 local area network construction as the starting point, puts forward general en terprise typical requireme nts, specific n etwork in redundan cy, exte nsion and security aspects of desig n.Ke

5、y word: Local area network; Network schemes; Integrated wiring; Network security目錄 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 第1章、局域網(wǎng)技術(shù) 11.1趨勢 1 HYPERLINK l bookmark6 o Current Document 1.2中小型企業(yè)局域網(wǎng)的特點(diǎn)及要求 1 HYPERLINK l bookmark8 o Current Document 第2章、需求分析 22.1典型的業(yè)務(wù)模型 常見的中小型企業(yè)環(huán)境有： 2 HYPER

6、LINK l bookmark12 o Current Document 2.2需求定位 3 HYPERLINK l bookmark14 o Current Document 第3章、網(wǎng)絡(luò)方案的設(shè)計(jì) 4 HYPERLINK l bookmark16 o Current Document 3.1設(shè)計(jì)的目標(biāo) 43.1.1安全性 43.1.2先進(jìn)性 43.1.3開放性 43.1.4擴(kuò)展性 43.1.5高性能 43.1.6 標(biāo)準(zhǔn)化 4 HYPERLINK l bookmark18 o Current Document 3.2設(shè)計(jì)的原則 43.2.1層次化原則 43.2.2標(biāo)準(zhǔn)化原則 5 HYPERL

7、INK l bookmark20 o Current Document 3.3技術(shù)規(guī)劃 53.3.1網(wǎng)絡(luò)的體系結(jié)構(gòu) 53.3.2網(wǎng)絡(luò)層次的劃分 63.3.3以太網(wǎng)交換技術(shù)（虛擬交換技術(shù)） 73.3.4網(wǎng)絡(luò)的規(guī)劃與編址 83.3.5企業(yè)wan鏈路 123.3.6流量控制 12 HYPERLINK l bookmark22 o Current Document 第4章、特理設(shè)計(jì)及設(shè)備選型 13 HYPERLINK l bookmark24 o Current Document 4.1物理設(shè)計(jì)的原則 13 HYPERLINK l bookmark26 o Current Document 4.2傳輸

8、介質(zhì)的選型 13 HYPERLINK l bookmark28 o Current Document 4.3交換機(jī)的選型與配置 13 HYPERLINK l bookmark30 o Current Document 4.4路由協(xié)議、設(shè)備選型與配置 15 HYPERLINK l bookmark32 o Current Document 第5章、安全策略 17 HYPERLINK l bookmark34 o Current Document 5.1企業(yè)網(wǎng)邊緣處及vlan的安全考慮 17 HYPERLINK l bookmark36 o Current Document 5.2流量控制與安全防

9、護(hù)策略 18 HYPERLINK l bookmark38 o Current Document 第6章、綜合布線 18 HYPERLINK l bookmark40 o Current Document 6.1綜合布線概述 18 HYPERLINK l bookmark42 o Current Document 6.2綜合布線標(biāo)準(zhǔn) 19 HYPERLINK l bookmark44 o Current Document 6.3綜合布線設(shè)計(jì) 20631 工作區(qū)子系統(tǒng) 21水平布線子系統(tǒng) 216.3.3干線子系統(tǒng) 226.3.4管理區(qū)子系統(tǒng) 226.3.5設(shè)備間子系統(tǒng) 236.3.6建筑群子系統(tǒng)

10、 23 HYPERLINK l bookmark46 o Current Document 第7章、實(shí)驗(yàn)與驗(yàn)證 23 HYPERLINK l bookmark48 o Current Document 7.1實(shí)驗(yàn)工具 23 HYPERLINK l bookmark50 o Current Document 7.2實(shí)驗(yàn)?zāi)M 247.2.1各VLAN配置的連通性測試。 247.2.2企業(yè) WAN鏈路連通性測試。 24ACL訪問策略測試。 25 HYPERLINK l bookmark52 o Current Document 結(jié)束語 26參考文獻(xiàn) 27致謝 28 XX學(xué)院畢業(yè)論文 第1章、局域網(wǎng)技

11、術(shù)“局域網(wǎng)”是指地理覆蓋范圍小的網(wǎng)絡(luò)，通常為擁有互聯(lián)設(shè)備的組織所有。局域網(wǎng)具 有數(shù)據(jù)傳輸速率高，低延遲和誤碼率（其誤碼率一般為 10-810-11）,建設(shè)成本低、周期 短，便于安裝、維護(hù)和擴(kuò)充的特點(diǎn)。局域網(wǎng)設(shè)計(jì)目標(biāo)是覆蓋一個(gè)公司、一所大學(xué)、一幢辦 公樓的“有限地理范圍”，因此它的網(wǎng)絡(luò)拓?fù)洹鬏斀橘|(zhì)與介質(zhì)訪問控制方法具有自身特 點(diǎn)。1.1趨勢局域網(wǎng)拓?fù)浣Y(jié)構(gòu)主要包括總線型、星狀、環(huán)狀。其他類型的拓?fù)浣Y(jié)構(gòu)，如總線型與星 型混合、總線型與環(huán)型混合連接的網(wǎng)絡(luò)。局域網(wǎng)中使用最多的是星型結(jié)構(gòu)。傳輸介質(zhì)主要采用雙絞線、同軸電纜與光纖等，網(wǎng)絡(luò)分為有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)兩種。 局域網(wǎng)通常采用單一的傳輸介質(zhì)，也可以同時(shí)

12、采用多種傳輸介質(zhì)。從介質(zhì)訪問控制方法角度，局域網(wǎng)分為共享介質(zhì)式局域網(wǎng)與交換式局域網(wǎng)兩類。交換 式局域網(wǎng)通過局域網(wǎng)交換機(jī)支持連接到交換機(jī)端口的結(jié)點(diǎn)之間的多個(gè)并發(fā)連接，實(shí)現(xiàn)多結(jié) 點(diǎn)之間的并發(fā)傳輸，增加了網(wǎng)絡(luò)帶寬，改善了局域網(wǎng)的性能與服務(wù)質(zhì)量，成為應(yīng)用的主流。局域網(wǎng)典型技術(shù)與產(chǎn)品包括 Ethernet（以太網(wǎng)）、Token Bus （令牌總線）、Token Ring （令牌環(huán)網(wǎng)）三類，其中以 Ethernet應(yīng)用最為廣泛。Ethernet中以10Mbps Ethernet使 用最廣，隨著快速及高速局域網(wǎng)技術(shù)的發(fā)展，100Mbps 1Gbp和10Gbps的Ethernet成為必然性的首選。同時(shí)，無線局

13、域網(wǎng)快速發(fā)展成為應(yīng)用的新熱點(diǎn)。1.2中小型企業(yè)局域網(wǎng)的特點(diǎn)及要求根據(jù)企業(yè)的體系構(gòu)成和規(guī)模，可以將企業(yè)網(wǎng)分成工作組級(jí)、部門級(jí)、園區(qū)級(jí)和企業(yè)級(jí) 四種網(wǎng)絡(luò)類型。工作組級(jí)：通常位于辦公室內(nèi)部或幾個(gè)辦公室內(nèi)的網(wǎng)絡(luò)，是最基礎(chǔ)的單元級(jí)網(wǎng)絡(luò)，通 常采用10/100Base-Tx技術(shù)。部門級(jí)：位于同一樓宇內(nèi)的局域網(wǎng)，相當(dāng)于小型企業(yè)的“企業(yè)級(jí)”網(wǎng)絡(luò)。園區(qū)級(jí)：由企業(yè)中各部門網(wǎng)絡(luò)互聯(lián)組成，通?？缭綌?shù)個(gè)樓宇。企業(yè)級(jí)網(wǎng)絡(luò)：由分布在各地的園區(qū)級(jí)或部門級(jí)網(wǎng)絡(luò)互聯(lián)在一起的大型網(wǎng)絡(luò)。根據(jù)2011年7月4日，工信部等四部門聯(lián)合發(fā)布的中小企業(yè)劃型標(biāo)準(zhǔn)規(guī)定，各行 業(yè)劃型標(biāo)準(zhǔn)主要依據(jù)營業(yè)收入和從業(yè)人數(shù)兩項(xiàng)，中小企業(yè)從業(yè)人員普遍小于100

14、0人的標(biāo)準(zhǔn)，中小型企業(yè)網(wǎng)目前適用的網(wǎng)絡(luò)規(guī)模往往在園區(qū)級(jí)及其以下。其結(jié)構(gòu)示意圖如圖1-1.外網(wǎng)服務(wù)器（intranet寬帝爭媒體適信網(wǎng)圖1-1中小企業(yè)網(wǎng)結(jié)構(gòu)示意圖悴窖p彥図艇- 中小企業(yè)局域網(wǎng)結(jié)構(gòu)應(yīng)該包括外網(wǎng)、內(nèi)網(wǎng)和企業(yè)網(wǎng)互聯(lián)三個(gè)方面：外網(wǎng)：位于防火墻外直接與In ternet 相連的區(qū)域。它為整個(gè)企業(yè)網(wǎng)提供一個(gè)“緩沖 地帶”用來提供企業(yè)網(wǎng)對(duì)外交流的渠道，或提供對(duì)外的網(wǎng)絡(luò)應(yīng)用服務(wù)。內(nèi)網(wǎng)：即企業(yè)內(nèi)部網(wǎng)絡(luò)，是整個(gè)企業(yè)網(wǎng)的核心。企業(yè)網(wǎng)互聯(lián)：通常利用專線、遠(yuǎn)程（ISDN ADSL等）、VPN技術(shù)來建立連接。第2章、需求分析中小型企業(yè)發(fā)展過程中，客觀業(yè)務(wù)的發(fā)展，不斷推動(dòng)網(wǎng)絡(luò)需求的變化，應(yīng)用的增長。2.1典

15、型的業(yè)務(wù)模型常見的中小型企業(yè)環(huán)境有：制造商大型零售商旅館服務(wù)業(yè)特許經(jīng)營商公共事業(yè)和政府機(jī)構(gòu)（我國有關(guān)標(biāo)準(zhǔn)對(duì)此未做出明確規(guī)定）醫(yī)院；學(xué)校系統(tǒng)。這些企業(yè)網(wǎng)絡(luò)通常擁有眾多用戶、跨越多個(gè)位置，或部署多套系統(tǒng)，形成了有些教材 稱為“園區(qū)網(wǎng)”的典型網(wǎng)絡(luò)，如圖 2-1所示。中小型企業(yè)網(wǎng)的典型特征是：擁有自己的物理線路，這些線路都部署在園區(qū)內(nèi)部，采 用了 LAN/MAF技術(shù)，將建筑特群所有端點(diǎn)系統(tǒng)連接起來。企業(yè)依靠網(wǎng)絡(luò)提供用于共享的資 源與信息，支持網(wǎng)絡(luò)辦公與多元化的業(yè)務(wù)。圖2-1園區(qū)網(wǎng)結(jié)構(gòu)2.2需求定位本次按照?qǐng)@區(qū)級(jí)的網(wǎng)絡(luò)設(shè)計(jì)，預(yù)定使用網(wǎng)絡(luò)的用戶終端極限數(shù)量是700個(gè)，涉及部門20個(gè)（綜合辦公室、財(cái)務(wù)部、研

16、發(fā)部、后勤部等），綜合布線的建筑4個(gè)（包括辦公樓、 生產(chǎn)車間、生活樓及食堂），各建筑間距一般有百余米?？傮w投資經(jīng)費(fèi) 20萬元左右，包括 辦公網(wǎng)絡(luò)的組建，交換機(jī)設(shè)備購置，綜合布線施工等。網(wǎng)絡(luò)必須支持的交換流量類型包括數(shù)據(jù)文件（如 OA辦公系統(tǒng)）、電子郵件、聲音和視 頻應(yīng)用，能有效地處理這些融合的網(wǎng)絡(luò)流量，設(shè)備能進(jìn)行科學(xué)的管理和合理控制。依靠網(wǎng)絡(luò)基礎(chǔ)架構(gòu)提供關(guān)健型服務(wù)是企業(yè)正常運(yùn)行，提高經(jīng)濟(jì)效益的關(guān)鍵和根本，網(wǎng)絡(luò)設(shè)計(jì)的可靠性必須達(dá)到 90鳩上。網(wǎng)絡(luò)設(shè)計(jì)中需要引入冗余功能，避免出現(xiàn)任何單點(diǎn)故 障，其它要素包括優(yōu)化網(wǎng)絡(luò)帶寬的利用率、確保安全性和網(wǎng)絡(luò)性能等。第3章、網(wǎng)絡(luò)方案的設(shè)計(jì)3.1設(shè)計(jì)的目標(biāo)中小型企

17、業(yè)信息化，首先應(yīng)該站在企業(yè)戰(zhàn)略目標(biāo)的高度，依據(jù)企業(yè)的經(jīng)營、營銷競爭 戰(zhàn)略綜合考慮，必須從企業(yè)的實(shí)際出發(fā)，來制定實(shí)施信息化的總體規(guī)劃。這樣才能保證企 業(yè)信息化是站在企業(yè)戰(zhàn)略目標(biāo)和長遠(yuǎn)發(fā)展的全局上的，是系統(tǒng)的、全面的、統(tǒng)籌兼顧的。 因此，設(shè)計(jì)的總體目標(biāo)要圍繞企業(yè)戰(zhàn)略，從長遠(yuǎn)規(guī)劃而形成的業(yè)務(wù)、流程、組織、策略。3.1.1安全性系統(tǒng)應(yīng)分別針對(duì)不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全 機(jī)制、數(shù)據(jù)存取的權(quán)限控制等，防范各種形式對(duì)網(wǎng)絡(luò)的非法入侵和內(nèi)部攻擊，防止內(nèi)部信 息數(shù)據(jù)被非法竊取、篡改或泄漏，以保證網(wǎng)絡(luò)的實(shí)體安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和信息安 全，有效地保障正常的業(yè)務(wù)活動(dòng)。先進(jìn)性系統(tǒng)設(shè)

18、計(jì)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對(duì)先進(jìn) 成熟，整個(gè)系統(tǒng)的生命周期應(yīng)有比較長的時(shí)間，在系統(tǒng)建成后比較長的時(shí)間內(nèi)能滿足用戶 需求增長的需要，從而最大限度保護(hù)用戶投資。開放性采用的軟硬件平臺(tái)和管理系統(tǒng)，遵循國際標(biāo)準(zhǔn)化組織提出的開放系統(tǒng)互聯(lián)的標(biāo)準(zhǔn)，能 集成任何第三方的應(yīng)用，具有良好的可移植性和互操作性，存在應(yīng)用軟件的必須獨(dú)立于軟 硬件平臺(tái)。擴(kuò)展性在系統(tǒng)結(jié)構(gòu)、系統(tǒng)容量與技術(shù)方案等方面必須具有升級(jí)換代的可能，核心設(shè)備必須采 用模塊化的結(jié)構(gòu)，符合網(wǎng)絡(luò)的發(fā)展趨勢并具有充分的擴(kuò)展性。系統(tǒng)建設(shè)必須盡量保護(hù)現(xiàn)有 的軟、硬件資源，保證各部門現(xiàn)有的計(jì)算機(jī)系統(tǒng)的使用，逐步過渡，有效保護(hù)用戶投

19、資。高性能網(wǎng)絡(luò)鏈路和設(shè)備具備足夠高的數(shù)據(jù)轉(zhuǎn)發(fā)能力，保證各種信息的高質(zhì)量無阻塞傳輸；交 換系統(tǒng)具有很高的交換容量與多服務(wù)支持的能力，保證網(wǎng)絡(luò)服務(wù)的質(zhì)量。標(biāo)準(zhǔn)化為充分共享資源，實(shí)現(xiàn)同層次網(wǎng)絡(luò)互連，建筑物間互聯(lián)，相關(guān)信息系統(tǒng)網(wǎng)際互聯(lián)過程 中，設(shè)備的各種接口必須滿足標(biāo)準(zhǔn)化原則。3.2設(shè)計(jì)的原則3.2.1層次化原則為了實(shí)現(xiàn)一個(gè)可管理的、可靠的、高性能網(wǎng)絡(luò)，我們將采用層次化的方法。目前國內(nèi) XX學(xué)院畢業(yè)論文 外網(wǎng)絡(luò)建設(shè)中普遍采用的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是將網(wǎng)絡(luò)分為核心層、分布層和接入層三個(gè)層次進(jìn) 行設(shè)計(jì)。本次設(shè)計(jì)中，根據(jù)中小型業(yè) 700個(gè)終端、20萬元投資的典型要求，在保證了整個(gè) 網(wǎng)絡(luò)的高可靠性、高性能、高安全性和

20、靈活的擴(kuò)展性前提下，采用核心層與接入層的兩層 拓?fù)浣Y(jié)構(gòu)，每一層的網(wǎng)絡(luò)設(shè)備功能描述如下：核心層：提供高速的三層交換骨干；核心層不進(jìn)行終端系統(tǒng)的連接；核心層少用或不 實(shí)施影響高速交換性能的ACL等功能；本功能區(qū)主要功能是保證 VLAN間的路由；IP地址 或路由區(qū)域的匯聚。接入層：提供Layer2或Layer3的網(wǎng)絡(luò)接入，通過 VLAN定義實(shí)現(xiàn)接入的隔離。網(wǎng)絡(luò) 接入層具有以下特點(diǎn)：接入層接入端口規(guī)劃容量根據(jù)實(shí)際使用情況具有一定的擴(kuò)展性；上述兩層中，主要在核心層采用了冗余的架構(gòu)來保障骨干區(qū)域功能的穩(wěn)定可靠。3.2.2標(biāo)準(zhǔn)化原則網(wǎng)絡(luò)設(shè)計(jì)中所用的各種管理信令、接口規(guī)程、協(xié)議須符合國際標(biāo)準(zhǔn)，便于擴(kuò)展和網(wǎng)絡(luò)

21、的互連互通。保證與其它網(wǎng)絡(luò)（如互聯(lián)網(wǎng)等）之間的平滑連接3.3技術(shù)規(guī)劃3.3.1網(wǎng)絡(luò)的體系結(jié)構(gòu)中小型企業(yè)局域網(wǎng)絡(luò)往往由多種完成不同功能的網(wǎng)絡(luò)設(shè)備組成，包括路由器、交換機(jī)、In ternet接入設(shè)備、防火墻等以及各種服務(wù)器，如：網(wǎng)管服務(wù)器、主服務(wù)器（包括打卡服 務(wù)器、售餐服務(wù)器等）。企業(yè)內(nèi)部網(wǎng)絡(luò)采用共享或交換式以太網(wǎng)，通過DDN ASDL ISDN/ PSTN等方式，選擇合適的網(wǎng)絡(luò)運(yùn)營商接入到In ternet。并采取相應(yīng)的措施，確保通訊數(shù)據(jù)的安全、保密。系統(tǒng)運(yùn)行要安全、可靠、故障小，軟硬件要組織合理而且要便于理解 與維護(hù)。根據(jù)要求，我們確定的中小型企業(yè)園區(qū)級(jí)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為樹狀分層結(jié)構(gòu)（如圖3-1

22、 ）。車間* 車間空?qǐng)D3-1園區(qū)級(jí)網(wǎng)絡(luò)樹狀分層結(jié)構(gòu)3.3.2網(wǎng)絡(luò)層次的劃分正確的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)，是企業(yè)網(wǎng)絡(luò)中流量傳輸控制的客觀要求。只有控制流量在網(wǎng)絡(luò) 中合適的位置，而不是任由流量隨意流動(dòng)，才能保障有價(jià)值的帶寬資源，保證網(wǎng)絡(luò)性能。 否則將面臨片面增加網(wǎng)絡(luò)成本來提高網(wǎng)絡(luò)帶寬的被動(dòng)局面。此外，應(yīng)該注意到，流量也是 有安全隱患的，它可能包含秘密的信息或網(wǎng)絡(luò)結(jié)構(gòu)自身的信息。采用分層設(shè)計(jì)模型有助于網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)。區(qū)別于企業(yè)網(wǎng)三層結(jié)構(gòu)的拓?fù)浣Y(jié)構(gòu)，本次 設(shè)計(jì)中結(jié)合中小型企業(yè)園區(qū)級(jí)網(wǎng)絡(luò)規(guī)模小、用戶相對(duì)少和投資額度普遍低的特點(diǎn)，本著適 當(dāng)?shù)脑瓌t分層結(jié)構(gòu)設(shè)計(jì)分為兩級(jí)（如圖 3-2）：hltcrnct防火熠 ASA5

23、519-K8千兆雙絞線 千兆光軒 百兆雙絞線路由器 C1SCO2911/K9圖3-2規(guī)劃的中小企業(yè)網(wǎng)拓?fù)涫疽鈭D第一級(jí)是網(wǎng)絡(luò)的千兆主干（骨干）網(wǎng)絡(luò)，屬核心層，并采用了冗余設(shè)計(jì)。主干千兆位 交換機(jī)的任務(wù)是將各個(gè)子網(wǎng)分布路由的信息簡潔快速地交換到目的地址，起到信息快速通 道的作用。網(wǎng)絡(luò)主干上連接著對(duì)帶寬和可靠性有很高要求的設(shè)備，如服務(wù)器群、交換機(jī)、 路由器等，放置在辦公樓1樓的網(wǎng)管中心。第二級(jí)是直接連接擁護(hù)的計(jì)算機(jī)，屬接入層。放置在樓層弱電井內(nèi)（管理子系統(tǒng)部分）， 它通過多模光纖上聯(lián)到核心計(jì)算機(jī)，通過超5類雙絞線與工作區(qū)子系統(tǒng)（信息插座）連接。 一般地，一個(gè)樓層組成一個(gè)單獨(dú)的子網(wǎng)。這種“骨干千兆光纖

24、，百兆銅纜到桌面”的層次劃分有以下特點(diǎn)：結(jié)構(gòu)清晰，易于設(shè) 計(jì)和管理，大大提高了網(wǎng)絡(luò)的擴(kuò)充能力；網(wǎng)絡(luò)結(jié)構(gòu)和實(shí)際應(yīng)用的組織結(jié)構(gòu)相一致，便于安 全管理，減輕網(wǎng)絡(luò)的數(shù)據(jù)流量；根據(jù)不同層次和實(shí)際經(jīng)濟(jì)承受能力，選擇相應(yīng)的網(wǎng)絡(luò)設(shè)備 和硬件設(shè)備，使投資更合理?？傊?，采用層次化的網(wǎng)絡(luò)設(shè)計(jì)，其優(yōu)點(diǎn)是便于網(wǎng)絡(luò)管理，優(yōu) 化網(wǎng)絡(luò)性能，增強(qiáng)網(wǎng)絡(luò)的擴(kuò)展性。3.3.3以太網(wǎng)交換技術(shù)（虛擬交換技術(shù)）采用交換機(jī)可以減少本地網(wǎng)絡(luò)內(nèi)發(fā)生的沖突，然而全部由交換機(jī)構(gòu)成的網(wǎng)絡(luò)往往會(huì)構(gòu) 成一個(gè)廣播域，在單個(gè)廣播域或平面網(wǎng)絡(luò)中，每臺(tái)設(shè)備都會(huì)接收每個(gè)廣播。隨著交換網(wǎng)絡(luò) 中主機(jī)數(shù)量的增長，所發(fā)送和接收的廣播也不斷增加，廣播數(shù)據(jù)會(huì)占用大量帶寬，導(dǎo)致

25、通 信延遲和超時(shí)。使用VLAN是一個(gè)很好的解決此類網(wǎng)絡(luò)問題的方案之一，每個(gè) VLAN都具有自己的廣播域，避免了廣播風(fēng)暴，提高了網(wǎng)絡(luò)的效能。3.3.4網(wǎng)絡(luò)的規(guī)劃與編址中小企業(yè)網(wǎng)絡(luò)用戶近千人，適合使用分層的地址方案，結(jié)合分層網(wǎng)絡(luò)設(shè)計(jì)，簡化了網(wǎng) 絡(luò)管理，提升可擴(kuò)展性和路由性能（如VLSM支持路由總結(jié)對(duì)提升網(wǎng)絡(luò)性能具有明顯效果） 中小企業(yè)網(wǎng)絡(luò)內(nèi)部一般使用保留地址，即不在公網(wǎng)上使用的IP地址，如表3-3。表3-3保留地址類別IP地址范圍網(wǎng)絡(luò)號(hào)網(wǎng)絡(luò)數(shù)A-55101B-55172.16-172.3116C-55192.168.0-192.168.255255根據(jù)本次典型需求，即20個(gè)部門（綜合辦公室、財(cái)務(wù)部

26、、研發(fā)部、后勤部等），共700 個(gè)設(shè)計(jì)點(diǎn)位，四個(gè)建筑（包括辦公樓、生產(chǎn)車間、生活樓及食堂）樓層共計(jì)10個(gè)的要求，大部分部門用戶數(shù)應(yīng)在30人左右，最大部門的用戶也將不會(huì)超過 62人，選定設(shè)備類型及 數(shù)量如表3-4。表3-4設(shè)備清單名稱型號(hào)數(shù)量防火墻ASA5510-K81路由器CISCO2911/K91核心交換機(jī)WS-C3750X-24S-S248 口接入交換機(jī)WS-C2960-48TC-L624 口接入交換機(jī)WS-C2960-24TC-L10SFP光口模塊GLC-SX-MM72SFP電口模塊GLC-T10無線APAIR-AP1242AG-C-K962.4GHZAP 天線AIR-ANT494112

27、5GHz天線AIR-ANT5135D-R12通過以上要求分析采用C類保留地址較為適當(dāng)。對(duì)比“子網(wǎng)聯(lián)網(wǎng)”和“可變字長子網(wǎng) 掩碼（VLSM”兩種技術(shù)，在對(duì)相關(guān)子網(wǎng)地址無法精確估計(jì)情況下，為做到對(duì)子網(wǎng)地址留 有余地，采用子網(wǎng)聯(lián)網(wǎng)的技術(shù)，使每個(gè)子網(wǎng)地址數(shù)相等，保留主機(jī)數(shù)為6 2個(gè)。管理上按照管理VLAN（定義為各設(shè)備的默認(rèn) VLAN）設(shè)備連接VLAN（vlan2 ）和業(yè)務(wù) VLAN三類構(gòu)成，劃分如下：表3-5主要設(shè)備及接口地址規(guī)劃名稱/標(biāo)識(shí)主要端口VLAN/IP接入ISP互聯(lián)網(wǎng)路由 /ISP RouterS0/0/0IP:30/29FirewallSerial,FastEtherne t此設(shè)備所有功能

28、在 c2900k9中模擬實(shí)現(xiàn)， 故此處未明確具體端口及IP。路由器/c2900k9S0/0/0IP:31/29視同（模擬）防火墻外端口F1/0VLAN1/53/192F1/1VLAN1/52/192核 心 交 換/C3750X-24S-S1VLAN1/192F0/1,3,5 ,VLAN10 /2, /192G0/1VLAN100/54/192核 心 交 換/C3750X-24S-S2VLAN1/192F0/2,4,6 ,VLAN10 /2, /192G0/1VLAN100/54/192接入交換Vla n2/表3-6接入交換設(shè)備連接 VLAN劃分表核心及對(duì)應(yīng)端口接入設(shè)備對(duì)應(yīng)端口樓層接入設(shè)備樓層接

29、入管理IPC3750X-24S-S1GigabitEthernet1/1GigabitEthernet1/1Bg-C2960-1f-1C3750X-24S-S2GigabitEthernet1/1GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/2GigabitEthernet1/1Bg-C2960-2f-1C3750X-24S-S2GigabitEthernet1/2GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/3GigabitEthernet1/1Bg-C2960-3f-1C3750X-24S-

30、S2GigabitEthernet1/3GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/4GigabitEthernet1/1Bg-C2960-4f-1C3750X-24S-S2GigabitEthernet1/4GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/5GigabitEthernet1/1Bg-C2960-5f-1C3750X-24S-S2GigabitEthernet1/5GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/6GigabitEt

31、hernet1/1C3750X-24S-S2GigabitEthernet1/6GigabitEthernet1/2Bg-C2960-6f-1C3750X-24S-S1GigabitEthernet1/7GigabitEthernet1/1Sh-C2960-1f-1C3750X-24S-S2GigabitEthernet1/7GigabitEthernet1/2C3750X-24S-S1GigabitEthernet1/8GigabitEthernet1/1C3750X-24S-S2GigabitEthernet1/8GigabitEthernet1/2Sh-C2960-2f-1C3750X-

32、24S-S1GigabitEthernet1/9GigabitEthernet1/1C3750X-24S-S2GigabitEthernet1/9GigabitEthernet1/2Sc-C2960-1f-1C3750X-24S-S1GigabitEthernet1/10GigabitEthernet1/1St-C2960-1f-10C3750X-24S-S2GigabitEthernet1/10GigabitEthernet1/2說明：核心交換C3750X-24S-S1: C3750X代表設(shè)備型號(hào)，24代表端口數(shù)量，2f代表為相應(yīng)建筑的第二個(gè)樓層設(shè)備，S1中S代表設(shè)備為交換機(jī)，S1中數(shù)字代表

33、該設(shè)備編號(hào)（如 S2則 代表第二個(gè)核心交換）。接入交換Bg-C2960-5f-1 : Bg代表辦公樓（Sh代表生活樓、Sc代表生產(chǎn)車間大樓、St代表食堂），C2960代表接入交換的型號(hào)，5f對(duì)應(yīng)大樓樓層，1代表弱電井中交換機(jī)的 序號(hào)。表3-7業(yè)務(wù)VLAN劃分表VI an功能屬性代碼描述網(wǎng)關(guān)地址主機(jī)IP范圍子網(wǎng)掩碼10Shengch生產(chǎn)9an1小組12-1211Shengch生產(chǎn)59an2小組2265-2212Shengch生產(chǎn)299an3小組3909-8213Shengch生產(chǎn)939anv4小組4543-5214Xiaosh1銷售91部2-1215Xiaosh2銷售592部265-2216Zo

34、nghbg綜合辦299s公室909-8217Caiwsh財(cái)務(wù)辦939公室543-5218Ya nfb研發(fā)部92-1255555Vian是在一個(gè)物理網(wǎng)段內(nèi)，進(jìn)行邏輯劃分，劃為為若干虛擬局域網(wǎng)。Vian具備一個(gè)物理網(wǎng)段的所有特性，相同 VLAN可直接通信，不同VLA N間訪問必須經(jīng)由路由器轉(zhuǎn)發(fā)， 廣播只可以本vian內(nèi)進(jìn)行。實(shí)現(xiàn)VLAN有兩種方式，Port Vian和Tag Vian，Port Vian 利用交換機(jī)的端口進(jìn)行 Vian劃分，一個(gè)端口只能屬于一個(gè) Vian. Tag Vian 對(duì)不同Vian 的主機(jī)進(jìn)行隔離，數(shù)據(jù)傳輸時(shí)需要在數(shù)據(jù)幀內(nèi)添加4個(gè)字節(jié)的802.1Q標(biāo)簽信息，便于對(duì)接收到的數(shù)

35、據(jù)幀進(jìn)行過濾。結(jié)合靜態(tài)VLAN與動(dòng)態(tài)VLAN基于交換機(jī)端口劃分的動(dòng)態(tài) VLAN 較為適應(yīng)中小型企業(yè)網(wǎng)運(yùn)行環(huán)境，當(dāng)然 Tag Vian的也必須使用。我們把一個(gè)或多個(gè)接入 交換機(jī)上的幾個(gè)端口劃分在一個(gè)邏輯組中，簡單明了并且有效，即利用Port Vian戈扮方式。該方式不允許多個(gè) VLAN共享一個(gè)物理網(wǎng)段或交換機(jī)端口，要求某個(gè)用戶如果從一 個(gè)端口所在的虛擬網(wǎng)移動(dòng)到另一個(gè)端口所在的虛擬網(wǎng)時(shí)，管理員必須對(duì)接入地址進(jìn)行重 新分配。而且，在核心交換或中繼接口上也必須使用truck，以支持設(shè)備的堆疊并降低網(wǎng)絡(luò)的建設(shè)成本，即使用port via n 的方式。3.3.5企業(yè)wan鏈路ISP會(huì)采用幾種不同的 WAr

36、技術(shù)來連接其用戶。本地環(huán)路（即最后一英里）上使用的 連接類型可能與ISP網(wǎng)絡(luò)內(nèi)或不同ISP之間采用的WAF連接類型有所不同，一些常見的最 后一英里技術(shù)包括：模擬撥號(hào)；集成服務(wù)數(shù)字網(wǎng)絡(luò)（ISDN）;租用線路；電纜；數(shù)字用戶線路（DSL ;幀中繼；無線。目前，隨著中小企業(yè)各種應(yīng)用需求的增加，帶寬要求也越來越大，傳輸質(zhì)量要求也越 來越高。常見的中小企業(yè)網(wǎng)絡(luò)接入以租用100M光纖線路為主，在網(wǎng)絡(luò)邊界上往往通過路由設(shè)備或防火墻接入互聯(lián)網(wǎng)。3.3.6流量控制一些情況下，流量保留在企業(yè)網(wǎng)絡(luò)的 LAN部分，另一些情況下，流量會(huì)在 WA流量上 傳輸。LAN網(wǎng)絡(luò)中應(yīng)限制在本地傳輸?shù)牧髁款愋桶ǎ何募蚕怼⒋蛴?、?nèi)

37、部備份、鏡像 和園區(qū)網(wǎng)內(nèi)通信。在本地網(wǎng)絡(luò)中常見并且常常通過WAF發(fā)送的流量類型包括：系統(tǒng)更新、公司郵件和交易處理。除了 WAN流量以外，外部流量還包含進(jìn)出INTERNET勺流量（如身 份驗(yàn)證、視頻會(huì)議等）。VPN和INTERNE流量被視為外部流量。流量控制除了體現(xiàn)在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分層設(shè)計(jì)上，也需要在VLAN劃分上盡可能把某一業(yè)務(wù)的流量限制在同一 VLAN內(nèi)部。在語音、視頻與數(shù)據(jù)在同一介質(zhì)傳輸?shù)娜诤暇W(wǎng)絡(luò)下， 對(duì)不同類型網(wǎng)絡(luò)流量特特的了解，也是合理控制流量的先決條件。數(shù)據(jù)流量大多數(shù)網(wǎng)絡(luò)應(yīng)用程序都要使用數(shù)據(jù)流量，或偶爾傳輸少量數(shù)據(jù)，或（如數(shù)據(jù)存儲(chǔ)應(yīng)用 程序）需要傳輸較高流量。對(duì)某些數(shù)據(jù)應(yīng)用程序來說，時(shí)

38、間可靠性更重要，但大多數(shù)數(shù)據(jù) 應(yīng)用程序都允許一定的延遲。因此數(shù)據(jù)流量常采用傳輸控制協(xié)議（TCP, TCP使用確認(rèn)機(jī) 制來確定何時(shí)必須重新傳輸丟失的數(shù)據(jù)包，從而保證傳輸?shù)馁|(zhì)量。語音和視頻流量語音與視頻應(yīng)用程序要求不間斷地傳輸數(shù)據(jù)流以確保會(huì)話和圖像質(zhì)量。 TCP確認(rèn)過程 會(huì)帶來延遲，導(dǎo)致流量中斷并降低應(yīng)用程序的質(zhì)量。因此，語音與視頻應(yīng)用程序使用數(shù)據(jù) 報(bào)協(xié)議UDP代替TCP此外，還需求考慮由于網(wǎng)絡(luò)設(shè)備自身到目的地的路徑上流量所帶來的延遲和遲時(shí)。如 三層設(shè)備由于必須處理報(bào)頭，延遲比二層設(shè)備更大。服務(wù)質(zhì)量Qos是用于保證足夠的帶寬傳輸指定數(shù)據(jù)流的過程，應(yīng)用Qos機(jī)制優(yōu)先級(jí)對(duì)流量進(jìn)行分類排序，例如語音流量

39、的優(yōu)先級(jí)高于普通數(shù)據(jù)，使得高優(yōu)先級(jí)的數(shù)據(jù)流量比低 優(yōu)先級(jí)的數(shù)據(jù)先發(fā)送。第4章、特理設(shè)計(jì)及設(shè)備選型4.1物理設(shè)計(jì)的原則核心層應(yīng)用千兆以太網(wǎng)技術(shù)、有冗余鏈路設(shè)計(jì)。接入層設(shè)備堆疊。4.2傳輸介質(zhì)的選型根據(jù)全網(wǎng)主干千兆，百兆到用戶桌面的設(shè)計(jì)，結(jié)合四個(gè)建筑物相距百余米的實(shí)際，核 心交換機(jī)到接入交換機(jī)選擇千兆多模光纖，接入交換機(jī)到用戶桌面，即綜合布線的水平子 系統(tǒng)采用超五類雙絞線。4.3交換機(jī)的選型與配置根據(jù)方案，我們選擇兩臺(tái)思科 WS-C3750X-24S-安換機(jī)作為核心交換機(jī)，兩臺(tái)交換機(jī) 部署HSRP冗余網(wǎng)關(guān)協(xié)議，提高網(wǎng)絡(luò)的高可用性的同時(shí)，對(duì)全網(wǎng)數(shù)據(jù)進(jìn)行高速交換。WS-C3750X-24S-S全千兆三

40、層以太網(wǎng)交換機(jī)產(chǎn)品， 配備24個(gè)10/100/1000Mbps自適應(yīng)以 太網(wǎng)SFP接口，可支持堆疊。背板帶寬 160Gbps通過Cisco StackPower、IEEE 802.3at 增強(qiáng)型以太網(wǎng)供電（PoE+）配置、可選網(wǎng)絡(luò)模塊、冗余電源和媒體訪問控制安全（MACsec） 等創(chuàng)新功能，提供無間斷連接性、可擴(kuò)展性、安全性、能效性和易操作性。具有StackWise?Plus技術(shù)的Cisco Catalyst 3750-X系列為發(fā)展中的業(yè)務(wù)需求提供可擴(kuò)展性、易管理性和投資保護(hù)（主要指標(biāo)見表4-1 ）。表4-1核心交換機(jī)主要指標(biāo)產(chǎn)品型號(hào)WS-C3750X-24T-S應(yīng)用層級(jí)三層背板帶寬160Gb

41、ps包轉(zhuǎn)發(fā)率65.5 mpps傳輸方式存儲(chǔ)轉(zhuǎn)發(fā)方式硬件參數(shù)Flash 內(nèi)存128MBDRAM內(nèi)存256MB接口類型24個(gè)千兆SFP端口，4個(gè)基于SFP的千兆端口或2個(gè)萬兆電口上行鏈 路接口數(shù)目24 口端口結(jié)構(gòu)非模塊化擴(kuò)展插槽2個(gè)網(wǎng)絡(luò)與軟件QoS支持支持QoS網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE 802.3、IEEE 802.3u、IEEE 802.3ab、IEEE 802.3z、ANSI/IEEE802.3 NWay、IEEE 802.3xVLAN支持支持VLAN功能網(wǎng)管功能支持網(wǎng)管功能，基于web的簡易配置雙工傳輸支持全雙工MAC地址表6K其他性能IP Base接入交換機(jī)我采用 WS-C2960-48TC-L或

42、是WS-C2960-24TC-L交換機(jī)（表4-2接入交換 機(jī)主要指標(biāo)），百兆到桌面，千兆上聯(lián)到核心交換機(jī)。表4-2接入交換機(jī)主要指標(biāo)指標(biāo)項(xiàng)指標(biāo)要求交換機(jī)類型智能交換機(jī)應(yīng)用級(jí)別二層網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE 802.3 IEEE802.3u IEEE802.1X IEEE802.1Q端口結(jié)構(gòu)非模塊化交換方式存儲(chǔ)-轉(zhuǎn)發(fā)端口數(shù)量24 10/100 + 2T/SFPIOS類型LAN Base Image轉(zhuǎn)發(fā)帶寬（Gbps）16每秒分組數(shù)（Mpps）6.5支持的MAC地址8000板載內(nèi)存（DRAM64MB千兆以太網(wǎng) GBIC/SFP密度210/100/1000 密度210/100密度24園區(qū)網(wǎng)絡(luò)設(shè)備連接及IP分配

43、見圖4-3IntiTnvt千兆取絞蟻千托光纖防火堆 SA5511I-K3百兆取絞線由器 CISCO2911/K96(/23:192468.0,250Go/24:192J68.0252核心交換機(jī)192J68.1CCJGo26 :vhnlOOVhnl: 192.168. L1 192*11.5192J68J.6GZ23; 192.168.0,249Go/24:5 J接入交換機(jī)WS-C7296O-24/48TC-1,無編WAIR-AP1242AG-C-K9 |核心交換機(jī)圖4-3園區(qū)網(wǎng)絡(luò)設(shè)備IP分配示意圖4.4路由協(xié)議、設(shè)備選型與配置路由協(xié)議包括：靜態(tài)路由、默認(rèn)路由、距離矢量協(xié)議RIP/EIGRP及鏈

44、路狀態(tài)協(xié)議OSPF 所有路由協(xié)議因使用環(huán)境的不同各有優(yōu)缺點(diǎn)：靜態(tài)路由和默認(rèn)路由是由網(wǎng)絡(luò)管理員采用手工方法在路由器中配置而成，適用于規(guī)模 較小，路由表相對(duì)簡單的網(wǎng)絡(luò)。優(yōu)點(diǎn)是手工配置可以精確控制路由選擇，改進(jìn)網(wǎng)絡(luò)性能； 不需要?jiǎng)討B(tài)路由協(xié)議參與，減少路由開銷，為重要的應(yīng)用保證帶寬。缺點(diǎn)是不適用于大規(guī) 模網(wǎng)絡(luò)，不能自動(dòng)適應(yīng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)變化，手工配置管理員壓力較大。RIP采用距離向量算法。是早期的路由協(xié)議，優(yōu)點(diǎn)是配置簡單在小型網(wǎng)絡(luò)中較常見， 缺點(diǎn)是路由范圍有限，只能支持在直徑為15個(gè)路由的網(wǎng)絡(luò)內(nèi)進(jìn)行路由，不能適應(yīng)復(fù)雜拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)，采用DV算法會(huì)有路由環(huán)路問題存在。OSPF開放最短路徑優(yōu)先，是為大型網(wǎng)絡(luò)設(shè)

45、計(jì)的一種路由協(xié)議。優(yōu)點(diǎn)是根據(jù)收集到網(wǎng)絡(luò) 上的鏈路狀態(tài)，采用SPF算法，計(jì)算以它為中心的一棵最短路徑樹。OSPF用十分有效,采用鏈路狀態(tài)算法，網(wǎng)絡(luò)流量小，收斂速度快，沒有路由環(huán)路存在。缺點(diǎn)是比較復(fù)雜，實(shí) 施前需要規(guī)劃，且配置和維護(hù)都比較復(fù)雜。根據(jù)中小企業(yè)網(wǎng)絡(luò)投資及規(guī)模較小，為達(dá)到精確控制網(wǎng)絡(luò)路由采用靜態(tài)路由及默認(rèn)路 由。路由器選擇思科CISCO2911/K9（表4-5路由器的主要參數(shù)），將兩臺(tái)臺(tái)熱備份核心交 換機(jī)上的數(shù)據(jù)高速路由至防火墻網(wǎng)關(guān)，同時(shí)亦可對(duì)出入互聯(lián)網(wǎng)的2至4層數(shù)據(jù)包做管控。表4-5路由器的主要參數(shù)項(xiàng)目描述基于硬件的嵌入式密碼加速（IPSec + SSL）有板載廣域網(wǎng)10/100/10

46、00 端口總數(shù)3基于RJ-45的端口數(shù)3基于SFP的端口數(shù)（使用 SFP端口將禁用對(duì)應(yīng)的RJ-45 端口）0服務(wù)模塊插槽數(shù)1雙寬度服務(wù)模塊插槽數(shù)（使用雙寬度插槽將占用2900中的所有單寬度服務(wù)模塊插槽）0EHWIC插槽數(shù)4雙寬度EHWIC插槽（使用雙寬度 EHWIC插槽將占 用兩個(gè)EHWIC插槽）2ISM插槽數(shù)1板載DSP （PVDM）插槽2內(nèi)存DDR2 ECC DRAM- 默認(rèn)512MB內(nèi)存(DDR2 ECC DRAM)- 最大2GB閃存（外部）-默認(rèn)插槽0: 256M插槽1 :無閃存（外部）-最大插槽0: 4GB插槽1:4GB外部USB 2.0閃存插槽（類型A）2USB控制臺(tái)端口（類型 B

47、 ）（高達(dá)115.2 kbps ）1串行控制臺(tái)端口1串行輔助端口1電源選項(xiàng)AC PoE 和 DC*RPS支持（外部）Cisco RPS 2300第5章、安全策略中小企業(yè)網(wǎng)絡(luò)病毒泛濫、安全事件頻發(fā)，是網(wǎng)絡(luò)管理面臨的重大挑戰(zhàn)。從網(wǎng)絡(luò)安全調(diào) 查數(shù)據(jù)來看，網(wǎng)絡(luò)的安全威脅主要來自三個(gè)方面：一方面是網(wǎng)絡(luò)的惡意破壞者即黑客，造 成正常網(wǎng)絡(luò)服務(wù)的不可用、系統(tǒng)數(shù)據(jù)的破壞；第二個(gè)方面是無辜的內(nèi)部人員造成的網(wǎng)絡(luò)數(shù) 據(jù)的破壞、網(wǎng)絡(luò)病毒的蔓延擴(kuò)散、木馬的傳播；第三個(gè)方面是有些用戶竊取他人身份進(jìn)行 越權(quán)數(shù)據(jù)訪問，其中以內(nèi)部人員而造成的網(wǎng)絡(luò)安全問題占到了 70%安全問題已經(jīng)成為企業(yè)信息化過程普遍問題，表現(xiàn)在部門間互訪的安全

48、無法控制，重 要數(shù)據(jù)被入侵者竄改，不能很好應(yīng)對(duì)外部攻擊以及移動(dòng)辦公用戶上網(wǎng)控制，都急待解決。5.1企業(yè)網(wǎng)邊緣處及vlan的安全考慮防火墻設(shè)備的使用是解決網(wǎng)絡(luò)安全的最基本的保證。防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊 界，屬于用戶網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。 網(wǎng)絡(luò)邊界即采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處， 比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部 門之間的連接等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)，通過允許、拒 絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計(jì)和控制。防火墻設(shè)備由一個(gè)由軟件和硬件設(shè)備組合而成，包括服務(wù)訪問規(guī)則、驗(yàn)證工具、包

49、過 濾和應(yīng)用網(wǎng)關(guān)4個(gè)主要部分。ACLs的全稱為接入控制列表（Access Control Lists），也稱訪問控制列表（AccessLists ），在有的文檔中還稱包過濾。ACLs通過定義一些規(guī)則對(duì)網(wǎng)絡(luò)設(shè)備接口上的數(shù)據(jù)包文 進(jìn)行控制；允許通過或丟棄，從而提高網(wǎng)絡(luò)可管理型和安全性；IP ACL分為兩種：標(biāo)準(zhǔn)IP訪問列表和擴(kuò)展IP訪問列表，編號(hào)范圍為199、13001999、100199、20002699; 標(biāo)準(zhǔn)IP訪問控制列表可以根據(jù)數(shù)據(jù)包的源IP地址定義規(guī)則，進(jìn)行數(shù)據(jù)包的過濾；擴(kuò)展IP 訪問列表可以根據(jù)數(shù)據(jù)包的原 IP、目的IP、源端口、目的端口、協(xié)議來定義規(guī)則，進(jìn)行 數(shù)據(jù)包的過濾；IP A

50、CL基于接口進(jìn)行規(guī)則的應(yīng)用，分為：入棧應(yīng)用和出棧應(yīng)用。訪問列表中定義的典型規(guī)則主要有以下：源地址、目標(biāo)地址、上層協(xié)議、時(shí)間區(qū)域；擴(kuò)展IP訪問列表(編號(hào)100-199、2000、2699)使用以上四種組合來進(jìn)行轉(zhuǎn)發(fā)或阻斷 分組；可以根據(jù)數(shù)據(jù)包的源IP、目的IP、源端口、目的端口、協(xié)議來定義規(guī)則，進(jìn)行數(shù) 據(jù)包的過濾。擴(kuò)展IP訪問列表的配置包括以下兩部：定義擴(kuò)展IP訪問列表將擴(kuò)展IP訪問列表應(yīng)用于特定接口上。中小企業(yè)網(wǎng)絡(luò)除利用防火墻 DDOS攻擊等方面的優(yōu)勢外，通過在防火墻上使用擴(kuò)展IP訪問控制列表，來控制網(wǎng)絡(luò)流量，達(dá)到保證網(wǎng)絡(luò)效能與安全的目標(biāo)。5.2流量控制與安全防護(hù)策略策略包括通過在防火墻限制可

51、以訪問ISP網(wǎng)絡(luò)的服務(wù)類型(如僅允許訪問外網(wǎng)任何主 機(jī)TCP協(xié)議的WW服務(wù))，提高網(wǎng)絡(luò)邊界互聯(lián)網(wǎng)出口的安全性。在核心交換上限制對(duì)某些 vian (例如vian17財(cái)務(wù)部)網(wǎng)絡(luò)資源的防問流量，提高對(duì)這些業(yè)務(wù)部門信息的安全保護(hù)。防火墻策略配置舉例：firewall(c on fig)# access-list 100 permit tcp any any eq www!授權(quán)內(nèi)部網(wǎng)絡(luò)所有主機(jī)僅訪問 38的WW服務(wù)時(shí)使用access-list 100 permit tcp any host 38 eq wwwfirewall(co nfig)#i nt s0/0/0firewall(c on fig-

52、if)#ip access-group 100 outfirewall(co nfig-if)#exitfirewall(co nfig)#ip route f3/0firewall(co nfig)#exitfirewall#write核心交換策略配置舉例：C3750 x-24s-s1(co nfig)#access-list101 permit tcp any 9292 eq 80C3750 x-24s-s1(co nfig)#i nt vlan 17C3750 x-24s-s1(co nfig-if)#ip access-group 101 inC3750 x-24s-s1(co nfi

53、g-if)#exit第6章、綜合布線6.1綜合布線概述綜合布線是將獨(dú)立的語音、數(shù)據(jù)、圖像等線路統(tǒng)一進(jìn)行設(shè)計(jì)、安裝，以達(dá)到實(shí)用靈活、 經(jīng)濟(jì)、可模塊化和可擴(kuò)充的效果，實(shí)現(xiàn)數(shù)據(jù)通信設(shè)備和其它信息管理系統(tǒng)的相互連接。結(jié) 構(gòu)化綜合布線系統(tǒng)具有高度的靈活性，各種設(shè)備位置的改變，局域網(wǎng)的變化，不需重新布線，只要在配線間作適當(dāng)布線調(diào)整即可滿足需求。結(jié)構(gòu)化布線和先決條件：要進(jìn)行詳細(xì)的用戶通信需求分析；通過現(xiàn)場考察和查閱圖紙熟悉建筑特的結(jié)構(gòu)；掌握設(shè)計(jì)的標(biāo)準(zhǔn)、要點(diǎn)、原則和步驟；根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)確定綜合布線的系統(tǒng)結(jié)構(gòu)；熟悉布線產(chǎn)品市場，為工程挑選適當(dāng)（性價(jià)比高）的布線產(chǎn)品；掌據(jù)AUTOCA和Microsoft Off

54、ice Visio等軟件，并繪制綜合布線系統(tǒng)圖、施工圖等。6.2綜合布線標(biāo)準(zhǔn)綜合布線的第一套標(biāo)準(zhǔn)是 ANSI/EIA/TIA 568（即商業(yè)大樓電信布線標(biāo)準(zhǔn)是美國國 家標(biāo)準(zhǔn)化協(xié)會(huì)、電子工業(yè)協(xié)會(huì)、電信工業(yè)協(xié)會(huì)共同采納的標(biāo)準(zhǔn) ），現(xiàn)在使用的是它的新版 本：TIA 568A。此外，還有ISO出臺(tái)的ISO/IEC/ISO11801標(biāo)準(zhǔn)，這套協(xié)議中規(guī)定了電信 布線的最低要求，建議的拓?fù)浣Y(jié)構(gòu)和距離、決定性能的介質(zhì)參數(shù)、連接器和引腳功能分配 等。本論設(shè)計(jì)參考了國際建筑通用布線標(biāo)準(zhǔn)， 即ISO11801,整個(gè)布線系統(tǒng)由工作區(qū)子系統(tǒng)、 水平子系統(tǒng)、干線子系統(tǒng)、設(shè)備間子系統(tǒng)、管理子系統(tǒng)和建筑群主干子系統(tǒng) 6個(gè)部分

55、組成,如圖6-1工作區(qū)子系統(tǒng)：是連接用戶終端設(shè)備的子系統(tǒng)。主要包括信息插座、信息插座和設(shè)備 之間的適配器。通俗講是指電腦和網(wǎng)線接口之間的部分。水平子系統(tǒng)：是連接工作區(qū)與主干的了系統(tǒng)。 主要包括配線架、配線電線和信息插座 通俗講是指從樓層弱電井里的配線架到每個(gè)房間的網(wǎng)卡接口之間的部分，通常布線是在天 花板上，與樓層平行。管理子系統(tǒng)：是對(duì)布線線纜進(jìn)行端接及配置管理的子系統(tǒng)。通俗講是指配線間的設(shè)備 部分，位于弱電井干線子系統(tǒng)：是用來連接管理間，設(shè)備間的子系統(tǒng)。通俗講是指將接入層交換機(jī)連接 到分布層（或核心層）交換機(jī)的網(wǎng)絡(luò)線路。干線推薦使用光纖、超5類或6類非屏蔽雙絞線。設(shè)備間子系統(tǒng)：是安裝在設(shè)備間的

56、子系統(tǒng)，指集中安裝大型設(shè)備的場所。一般來說， 大型建筑物會(huì)有一個(gè)或多個(gè)設(shè)備間，通常核心交換機(jī)的位置就是設(shè)備間，設(shè)備間子系統(tǒng)對(duì) 物理環(huán)境的要求較高。建筑物主干子系統(tǒng)：它用來實(shí)現(xiàn)樓群之間的連接，包括各種通信傳輸介質(zhì)和支持設(shè)備, 又稱戶外子系統(tǒng)。通常包括地下管道、直埋溝內(nèi)和架空三種方式。各子系統(tǒng)的邏輯結(jié)構(gòu)見 圖 6-2.工作區(qū)子勇統(tǒng)|水平子垂藐；管理子離統(tǒng)圖6-2各子系統(tǒng)邏輯結(jié)構(gòu)6.3綜合布線設(shè)計(jì)本設(shè)計(jì)方案參照ISO/IEC ISO 11801，以確保整個(gè)系統(tǒng)的規(guī)范和質(zhì)量。本系統(tǒng)支持語 言和數(shù)據(jù)（圖象、多媒體）傳輸，可滿足快速以太網(wǎng)應(yīng)用的場合。方案為一個(gè)較典型的星型拓?fù)浣Y(jié)構(gòu)系統(tǒng)，現(xiàn)將設(shè)計(jì)方案概述如下

57、：根據(jù)用戶要求，企業(yè)的主設(shè)備間設(shè)于辦公樓一層綜合布線機(jī)房，從主設(shè)備間引線纜經(jīng) 橋架和豎井直接引至工作區(qū)。水平布線電纜均采用超5類4對(duì)UTP電纜，信息插座選用5類系列插座。本方案分為五大子系統(tǒng)，分別為工作區(qū)子系統(tǒng)、水平子系統(tǒng)、干線子系統(tǒng)、設(shè)備間子 系統(tǒng)、管理子系統(tǒng)和建筑群主干子，為二級(jí)星型拓?fù)浣Y(jié)構(gòu)，施工中主要采用普天系列產(chǎn)品， 具體分述如下：圖6-3布線效果示意圖6.3.1 工作區(qū)子系統(tǒng)工作區(qū)子系統(tǒng)是指信息端口以外的空間，但通常習(xí)慣將信息插座列入工作區(qū)子系統(tǒng)。本系統(tǒng)設(shè)置700個(gè)信息點(diǎn)，分布于10個(gè)樓層，其中辦公樓樓層層6個(gè)（每層信息點(diǎn)60）， 生活樓樓層兩個(gè)（每層信息點(diǎn)60），生產(chǎn)車間1層（信息

58、點(diǎn)160個(gè)）、及食堂1層（信息點(diǎn) 60個(gè)）。理想狀況下材料配置如表 6-4 :表6-4工作區(qū)材料配置表序號(hào)型號(hào)名稱數(shù)量1PT/FA3-08 忸 BRI45單插座面板7002PT/5.566.019RJ45插座模塊7006.3.2水平布線子系統(tǒng)水平布線子系統(tǒng)為配線間水平配線架至各個(gè)辦公室內(nèi)插座面板的連接線纜，本項(xiàng)目數(shù)據(jù)點(diǎn)采用超五類四對(duì)UTP水平線纜的長度計(jì)算：a根據(jù)每層樓核算。B每根線纜平均長度按（最長+最短）/2 X 1.1+2 X樓層高計(jì)算，即（80+10） /2 X 1.1+2X 4M,平均長度57.5M.c、每標(biāo)準(zhǔn)箱為1000英尺（305）米。d、每箱線可布入的信息點(diǎn)：305m/57.5

59、=5個(gè)。e、 辦公樓、生活樓、食堂每層需要 60/5=12箱，生產(chǎn)車間每層需要160/5=32箱f、總線纜=12X 9+32=140箱表6-5工作區(qū)材料配置表序號(hào)型號(hào)名稱數(shù)量1UTP.S5.004超5類4對(duì)UTP電纜140箱（此項(xiàng)為約數(shù)。具體數(shù)量視現(xiàn)場情況而定。） 6.3.3干線子系統(tǒng)根據(jù)網(wǎng)絡(luò)核心層千兆帶寬設(shè)計(jì)，干線采用多模光纖傳輸。6.3.4管理區(qū)子系統(tǒng)由于各個(gè)樓層的信息點(diǎn)數(shù)比較的多，故在每層樓都要設(shè)有管理區(qū)子系統(tǒng)，管理區(qū)子系統(tǒng)是由配線架、跳線以及相關(guān)的有源設(shè)備（HUB交換機(jī)等）。具體的配料表如下：表6-6工作區(qū)材料配置表序號(hào)型號(hào)名稱數(shù)量1PT/XG.30U.6019”配線柜（30U）10個(gè)

60、2JPX211C125回線背裝架6個(gè)3PT/8.037.070125回線背裝架6個(gè)4PT/FA3-08VI24 口 Patch-Pannel34個(gè)5PT/4.431.000管理線盤20個(gè)6PT/FB.SN.0044芯室內(nèi)多模光纖380米7PT/TX.ST1.02ST-ST光纖單芯多模跳線40個(gè)8PT/TX.STC1.02ST-SC光纖單芯多模跳線40個(gè)9PT/GP11A12 口光纖分線盒10個(gè)10PT/FL.ST.01ST法蘭盤適配器40個(gè)6.3.5設(shè)備間子系統(tǒng)設(shè)備間子系統(tǒng)是由總配線架、跳線及相關(guān)有源設(shè)備（HUB服務(wù)器及交換機(jī)等）等組成。 設(shè)備間子系統(tǒng)是一空間概念，總配線架收集來自各水平子系統(tǒng)