公司局域網(wǎng)設(shè)計與規(guī)劃

1、公司局域網(wǎng)設(shè)計與規(guī)劃概括當(dāng)今時代知識經(jīng)濟(jì)的出現(xiàn)、信息技術(shù)的發(fā)展和互聯(lián)網(wǎng)的全球化，都決定了網(wǎng)絡(luò)將成為信息時代的主要工具。隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)已成為人們交流信息的重要平臺。在國民經(jīng)濟(jì)信息化進(jìn)程中，如何提高企業(yè)競爭力，如何利用互聯(lián)網(wǎng)技術(shù)帶來的機(jī)遇和挑戰(zhàn)，提高工作效率和科學(xué)管理水平，是亟待解決的問題。話題從公司局域網(wǎng)的建設(shè)說起。首先介紹了一些關(guān)于網(wǎng)絡(luò)的基礎(chǔ)知識，讓讀者對網(wǎng)絡(luò)技術(shù)的框架有一個初步的了解，然后結(jié)合背景實例分析用戶的需求。最后根據(jù)需求分析設(shè)計規(guī)劃的結(jié)果對公司局域網(wǎng)進(jìn)行說明。在網(wǎng)絡(luò)設(shè)計過程中，充分考慮公司網(wǎng)絡(luò)的負(fù)載均衡和性能穩(wěn)定，按照網(wǎng)絡(luò)分層的原則，采用自上而下的設(shè)計理念，從核心層到

2、匯聚層，再到匯聚層。接入層。完成網(wǎng)絡(luò)規(guī)劃設(shè)計。針對網(wǎng)絡(luò)中可能存在的安全威脅，根據(jù)不同需求，提出VLAN技術(shù)、WLAN技術(shù)、訪問控制列表、防火墻技術(shù)等解決方案，構(gòu)建安全、高效、可靠的公司網(wǎng)絡(luò)。關(guān)鍵詞：虛擬局域網(wǎng)；訪問控制列表；無線局域網(wǎng)；直通車；防火墻； VRRP；布線；網(wǎng)絡(luò)地址解讀目錄介紹. .1 HYPERLINK l _Toc264568677 第 1 章 網(wǎng)絡(luò)概述 2 HYPERLINK l _Toc264568678 1.1網(wǎng)絡(luò)2的定義 HYPERLINK l _Toc264568678 1.2網(wǎng)絡(luò)分類2 HYPERLINK l _Toc264568678 1.3 網(wǎng)絡(luò)拓?fù)? HYPE

3、RLINK l _Toc264568679 1.4網(wǎng)絡(luò)架構(gòu) 3 HYPERLINK l _Toc264568683 1.4.1 OSI參考模型. . _ . 4 HYPERLINK l _Toc264568683 1.4.2 TCP / IP 模型. . . 5 HYPERLINK l _Toc264568683 1.4.3 TCP/IP 和 OSI 模型的比較. 5 HYPERLINK l _Toc264568673 第 2 章 需求分析 6 HYPERLINK l _Toc264568674 2.1項目背景 6 HYPERLINK l _Toc264568675 2.2 設(shè)計原則6 HYP

4、ERLINK l _Toc264568676 2.3 用戶的現(xiàn)實需求6 HYPERLINK l _Toc264568676 2.4技術(shù)可行性7 HYPERLINK l _Toc264568695 2.4.1 VLAN技術(shù)7 _ _ HYPERLINK l _Toc264568696 2.4.2 ACL技術(shù)8 _ _ HYPERLINK l _Toc264568697 2.4.3 DHCP技術(shù). _ . 9 HYPERLINK l _Toc264568698 2.4.4 NAT技術(shù)1 1 _ HYPERLINK l _Toc264568696 2.4.5 WLAN技術(shù)1 2 _ _ _ HYPE

5、RLINK l _Toc264568677 第 3 章 網(wǎng)絡(luò)設(shè)計 14 HYPERLINK l _Toc264568678 3.1 網(wǎng)絡(luò)分層設(shè)計 14 HYPERLINK l _Toc264568679 3.2拓?fù)湓O(shè)計14 HYPERLINK l _Toc264568679 3.3設(shè)備選型 15 HYPERLINK l _Toc264568680 3.3.1 設(shè)備選型原則15 _ HYPERLINK l _Toc264568681 3.3.2開關(guān)選擇1 6 _ _ HYPERLINK l _Toc264568682 3.3.3 路由器選擇18 _ HYPERLINK l _Toc2645686

6、83 3.3.4 服務(wù)器選擇19 _ HYPERLINK l _Toc264568685 3.4路由協(xié)議選擇 19 HYPERLINK l _Toc264568685 3.5綜合布線設(shè)計 20 HYPERLINK l _Toc264568686 3.5.1綜合布線系統(tǒng)的組成. 20 3.5.2 公司綜合布線設(shè)計 . 21 HYPERLINK l _Toc264568677 第 4 章 網(wǎng)絡(luò)規(guī)劃 23 HYPERLINK l _Toc264568684 4.1 VLAN劃分及IP地址規(guī)劃23 HYPERLINK l _Toc264568678 4.2基本配置命令24 HYPERLINK l _T

7、oc264568679 4.3 開關(guān)配置26 HYPERLINK l _Toc264568679 4.4路由器的配置324.5 Web 服務(wù)器的配置. . 34 HYPERLINK l _Toc264568677 第 5 章 總結(jié) 39至 . 40參考. 。 .41介紹我們知道，21世紀(jì)的一些重要特征是數(shù)字化、網(wǎng)絡(luò)化和信息化。這是一個以網(wǎng)絡(luò)為核心的信息時代。實現(xiàn)信息化，必須依靠完善的網(wǎng)絡(luò)，因為網(wǎng)絡(luò)可以非常迅速地傳遞信息。因此，網(wǎng)絡(luò)現(xiàn)已成為信息社會的命脈和知識經(jīng)濟(jì)發(fā)展的重要基礎(chǔ)。國家“十二五”規(guī)劃明確指出全面提升信息化水平。在工信部實施“十二五”規(guī)劃綱要的指導(dǎo)意見中，特別提出促進(jìn)我國寬帶基礎(chǔ)設(shè)施

8、完善，促進(jìn)寬帶應(yīng)用的普及和推廣，給予更好發(fā)揮寬帶對國家信息化水平整體提升和經(jīng)濟(jì)發(fā)展的支撐作用。社會發(fā)展的關(guān)鍵作用，積極支持中小企業(yè)提高寬帶接入和應(yīng)用水平的任務(wù)，明確指出要支持和鼓勵中小企業(yè)積極完善企業(yè)網(wǎng)絡(luò)環(huán)境，提高企業(yè)應(yīng)用寬帶網(wǎng)絡(luò)和信息服務(wù)的能力。等級。我國中小企業(yè)計算機(jī)使用普及率基本穩(wěn)定在較高水平，但互聯(lián)網(wǎng)普及率與部分發(fā)達(dá)國家仍有較大差距。 91.3%的受訪企業(yè)在過去一年使用電腦辦公，78.5%的受訪企業(yè)在過去一年使用互聯(lián)網(wǎng)辦公。在發(fā)達(dá)國家員工50人以下的小微企業(yè)中，互聯(lián)網(wǎng)普及率基本達(dá)到95%，其中歐盟27家中國互聯(lián)網(wǎng)普及率平均為94%，2010年中國互聯(lián)網(wǎng)普及率高達(dá)98.2%。此外，在大多

9、數(shù)擁有 50 家以上企業(yè)的國家，互聯(lián)網(wǎng)普及率接近 100%。從企業(yè)上網(wǎng)方式來看，固定帶寬是企業(yè)上網(wǎng)的最主要方式。截至2012年12月末，在受訪中小企業(yè)中，固定寬帶普及率為71.0%。 2012年，我國寬帶建設(shè)進(jìn)入全面提升階段，包括加快發(fā)展光纖寬帶網(wǎng)絡(luò)、無線移動寬帶網(wǎng)絡(luò)等方面。根據(jù)近期中國中小企業(yè)互聯(lián)網(wǎng)應(yīng)用調(diào)查結(jié)果，中小企業(yè)建站率基本保持在40%-50%的水平。隨著越來越多的企業(yè)開展互聯(lián)網(wǎng)活動，企業(yè)網(wǎng)站的建立正逐漸成為重要的基礎(chǔ)。施工作業(yè)。目前，我國中小企業(yè)網(wǎng)站建設(shè)水平，無論是用戶體驗還是實用功能，都還有很大的提升空間。在被調(diào)查的中小企業(yè)中，有49.9%的中小企業(yè)擁有獨立或網(wǎng)上商店，滲透率最高的

10、互聯(lián)網(wǎng)應(yīng)用是致和接收電子產(chǎn)品、網(wǎng)上銀行和獲取商品或服務(wù)信息，分別占84.7%、71.1%和68.1% . .調(diào)查顯示，58.3%的受訪企業(yè)擁有互聯(lián)網(wǎng)相關(guān)專業(yè)崗位，包括網(wǎng)絡(luò)環(huán)境建設(shè)與維護(hù)人員、技術(shù)研發(fā)人員、電子商務(wù)相關(guān)人員等。網(wǎng)絡(luò)對社會生活的方方面面和社會經(jīng)濟(jì)的發(fā)展產(chǎn)生了不可估量的影響。企業(yè)網(wǎng)絡(luò)的優(yōu)劣已經(jīng)成為衡量企業(yè)競爭力的標(biāo)準(zhǔn)之一。設(shè)計一個好的公司局域網(wǎng)不僅可以給公司的日常辦公帶來方便，還能提高公司的整體經(jīng)濟(jì)收入，所以公司局域網(wǎng)的設(shè)計和規(guī)劃研究是很有必要的。第一章網(wǎng)絡(luò)概述1.1網(wǎng)絡(luò)定義網(wǎng)絡(luò)是出于某種目的而互連的系統(tǒng)。網(wǎng)絡(luò)的存在在日常生活中隨處可見，如道路交通網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、物聯(lián)網(wǎng)等。我們在本課

11、程中學(xué)習(xí)的領(lǐng)域是計算機(jī)網(wǎng)絡(luò)。計算機(jī)網(wǎng)絡(luò)是互連的、自主的計算機(jī)的集合。 “互聯(lián)互通”是指兩臺或多臺相連的計算機(jī)可以交換信息，以達(dá)到資源共享的目的； “自治”是指計算機(jī)在地理上分散并獨立工作。 Internet 是一個大型計算機(jī)網(wǎng)絡(luò)。這個計算機(jī)網(wǎng)絡(luò)的定義涉及兩個方面：1、互聯(lián)互通的目的是交換信息，共享資源。這些資源的集合稱為計算機(jī)網(wǎng)絡(luò)的資源子網(wǎng)。互聯(lián)網(wǎng)提供的常見網(wǎng)頁瀏覽、視頻下載和網(wǎng)絡(luò)游戲都屬于資源子網(wǎng)的范疇。2、計算機(jī)必須相互連接，雙方需要約定格式和遵循的規(guī)則，才能識別對方的計算機(jī)語言，實現(xiàn)資源共享。雙方在溝通中約定并共同遵守的格式和規(guī)則即為本協(xié)議。眾所周知的 TCP/IP 協(xié)議是 Intern

12、et 的事實上的標(biāo)準(zhǔn)協(xié)議。為兩方提供通信服務(wù)的設(shè)備和協(xié)議的集合稱為計算機(jī)網(wǎng)絡(luò)的通信子網(wǎng)?？傊嬎銠C(jī)網(wǎng)絡(luò)是使計算機(jī)能夠相互通信的計算機(jī)硬件、電纜、網(wǎng)絡(luò)設(shè)備和計算機(jī)軟件的集合。1.2 網(wǎng)絡(luò)分類計算機(jī)網(wǎng)絡(luò)有多種類型，可以根據(jù)連接介質(zhì)、通信協(xié)議或地理覆蓋范圍進(jìn)行劃分。計算機(jī)網(wǎng)絡(luò)按覆蓋的地理區(qū)域可分為局域網(wǎng)、城域網(wǎng)和廣域網(wǎng)。（局域網(wǎng)）局域網(wǎng)（ LAN ）是一種高速數(shù)據(jù)通信系統(tǒng)，它在一個小區(qū)域內(nèi)連接多個獨立的數(shù)據(jù)設(shè)備，允許用戶共享計算機(jī)資源。局域網(wǎng)的范圍一般只有幾公里，適合機(jī)關(guān)、校園、工廠等有限區(qū)域內(nèi)對計算機(jī)、終端和各種信息處理設(shè)備的需求。城域網(wǎng) ( MAN )城域網(wǎng)是廣域網(wǎng)和局域網(wǎng)之間的高速網(wǎng)絡(luò)。城域

13、網(wǎng)的設(shè)計目標(biāo)是滿足幾十公里范圍內(nèi)大量企事業(yè)單位和公司的多個局域網(wǎng)的互聯(lián)需求，從而實現(xiàn)數(shù)據(jù)、語音、圖形等各種信息的傳輸。和大量用戶中的視頻。廣域網(wǎng) ( WAN )廣域網(wǎng)又稱長途網(wǎng)，覆蓋的地理區(qū)域從幾十公里到幾千公里不等。一個廣域網(wǎng)可以覆蓋多個國家或地區(qū)，甚至跨越幾大洲，形成一個國際遠(yuǎn)程計算機(jī)網(wǎng)絡(luò)。連接廣域網(wǎng)各節(jié)點交換機(jī)的鏈路一般為通信容量大的高速鏈路。1.3 網(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)拓?fù)涫侵妇W(wǎng)絡(luò)線路和站點（計算機(jī)或設(shè)備）的互連幾何結(jié)構(gòu)。常見的計算機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)有：星形結(jié)構(gòu)、樹形結(jié)構(gòu)、分布式結(jié)構(gòu)、總線結(jié)構(gòu)、環(huán)形結(jié)構(gòu)和復(fù)合結(jié)構(gòu)。星網(wǎng)以中心節(jié)點為中心，多個外圍節(jié)點連接到中心節(jié)點，任意兩個外圍節(jié)點之間的通信都必須經(jīng)

14、過中心節(jié)點。星型結(jié)構(gòu)簡單，配置靈活，容易添加新節(jié)點，但中心節(jié)點故障會導(dǎo)致整個網(wǎng)絡(luò)癱瘓。樹狀網(wǎng)絡(luò)它是星型結(jié)構(gòu)的變形，每個站點致的信息都必須通過根節(jié)點廣播到全網(wǎng)。它是一種適用于分級控制系統(tǒng)的分級網(wǎng)絡(luò)。樹形網(wǎng)絡(luò)的同一條線路可以連接多個終端。與星型網(wǎng)絡(luò)相比，具有節(jié)省線路、成本更低、易于擴(kuò)展的特點。分布式網(wǎng)絡(luò)網(wǎng)絡(luò)結(jié)構(gòu)是由分布在不同位置、具有多個終端的節(jié)點機(jī)器互連而成。網(wǎng)絡(luò)中的任何節(jié)點都至少與兩條線路相連。當(dāng)任一線路發(fā)生故障時，可通過其他鏈路完成通信，可靠性高。同時，網(wǎng)絡(luò)易于擴(kuò)展。缺點是網(wǎng)絡(luò)控制機(jī)制復(fù)雜，線路的增加增加了成本。分布式網(wǎng)絡(luò)也稱為網(wǎng)型網(wǎng)絡(luò)，比較有代表性的網(wǎng)型網(wǎng)絡(luò)是全連接網(wǎng)絡(luò)?？梢杂嬎愠觯粋€有

15、 N 個節(jié)點的全連接網(wǎng)絡(luò)需要有N ( N-1 )/2 條鏈路。這樣，當(dāng)N取值大時，傳輸鏈路的數(shù)量就大，傳輸鏈路的利用率就大。因此，在實際應(yīng)用中，一般不會選擇全連接網(wǎng)絡(luò)，而是在保證可靠性的前提下，盡可能降低鏈路的冗余度和成本。公交網(wǎng)絡(luò)它通過總線將所有節(jié)點連接起來，形成一個通道?？偩€式網(wǎng)絡(luò)結(jié)構(gòu)比較簡單，擴(kuò)展非常方便。這種網(wǎng)絡(luò)結(jié)構(gòu)常用于計算機(jī)局域網(wǎng)。環(huán)網(wǎng)每個設(shè)備通過環(huán)節(jié)點機(jī)連接形成一個環(huán)。信息流一般為單向，線路公開，采用分布式控制方式。這種結(jié)構(gòu)常用于計算機(jī)局域網(wǎng)，有單環(huán)和雙環(huán)之分。雙環(huán)的可靠性明顯優(yōu)于單環(huán)。復(fù)雜網(wǎng)絡(luò)網(wǎng)絡(luò)結(jié)構(gòu)是現(xiàn)實中常見的組網(wǎng)方式，其典型特點是將分布式網(wǎng)絡(luò)與樹形網(wǎng)絡(luò)相結(jié)合。例如，在計算

16、機(jī)網(wǎng)絡(luò)的骨干網(wǎng)絡(luò)中可以采用一種網(wǎng)絡(luò)結(jié)構(gòu)，在基礎(chǔ)網(wǎng)絡(luò)中可以形成星型網(wǎng)絡(luò)，既提高了網(wǎng)絡(luò)的可靠性，又節(jié)省了鏈路成本。1.4 網(wǎng)絡(luò)架構(gòu)網(wǎng)絡(luò)架構(gòu)是指為網(wǎng)絡(luò)硬件、軟件、協(xié)議、訪問控制和拓?fù)涮峁?biāo)準(zhǔn)的通信系統(tǒng)的整體設(shè)計。典型的網(wǎng)絡(luò)架構(gòu)包括開放系統(tǒng)互連 (OSI) 參考模型和傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP) 參考模型。1.4.1 OSI 參考模型OSI 參考模型分為七層，如圖 1-1 所示。各層功能描述如下：應(yīng)用層：是OSI參考模型的最高層，也是用戶訪問網(wǎng)絡(luò)的接口層，直接面向用戶。在OSI環(huán)境中，應(yīng)用層為用戶提供各種服務(wù)，如：電子、文件傳輸和遠(yuǎn)程登錄。表示層：負(fù)責(zé)處理不同數(shù)據(jù)在表示上的差異進(jìn)行相互轉(zhuǎn)換

17、，如ASCII和UNICODE之間的轉(zhuǎn)換，不同格式文件的轉(zhuǎn)換，不兼容終端數(shù)據(jù)格式之間的轉(zhuǎn)換，以及數(shù)據(jù)加密、解密、 ETC。 。會話層：負(fù)責(zé)建立、管理和拆除進(jìn)程之間的通信連接。 “進(jìn)程”是指獨立運行的程序，例如電子和文件傳輸。傳輸層：提供端到端通信的網(wǎng)絡(luò)層，它從會話層接收數(shù)據(jù)并經(jīng)過適當(dāng)處理后傳輸。網(wǎng)絡(luò)另一端的傳輸層從網(wǎng)絡(luò)層接收數(shù)據(jù)，進(jìn)行逆向處理，提交給會話層。網(wǎng)絡(luò)層：負(fù)責(zé)提供連接和數(shù)據(jù)路由，包括處理輸出數(shù)據(jù)包的地址，解析輸入數(shù)據(jù)包的地址，維護(hù)路由信息，以便對通信鏈路的變化做出適當(dāng)?shù)捻憫?yīng)。數(shù)據(jù)鏈路層：提供網(wǎng)絡(luò)中相鄰節(jié)點之間的可靠通信。它以幀為單位傳輸數(shù)據(jù)包，為網(wǎng)絡(luò)層提供正確無誤的數(shù)據(jù)包收發(fā)服務(wù)。物

18、理層：原始二進(jìn)制比特流通過物理介質(zhì)傳輸和接收。圖 1-1 OSI 七層模型1.4.2 TCP/IP 模型TCP/IP參考模型有四個層次，比OSI參考模型簡單很多，所以在實際使用中比OSI模型更實用，所以得到了更好的發(fā)展。當(dāng)今大多數(shù)計算機(jī)網(wǎng)絡(luò)都基于TCP/IP 參考模型結(jié)構(gòu)。圖1-2 顯示了 OSI 參考模型和 TCP/IP參考模型的比較。 TCP/IP模型定義的四個層次的主要功能如下：應(yīng)用層：代表用戶的應(yīng)用數(shù)據(jù)。例如：在網(wǎng)絡(luò)瀏覽器應(yīng)用程序（如Internet 瀏覽器）中為用戶表示數(shù)據(jù)。傳輸層：支持設(shè)備之間的通信并進(jìn)行糾錯。互聯(lián)網(wǎng)層（Internet layer）：確定通過網(wǎng)絡(luò)的最佳路徑。網(wǎng)絡(luò)接

19、口層：控制網(wǎng)絡(luò)的硬件設(shè)備和媒體。1.4.3 TCP/IP與OSI模型比較通過圖1-2的對比不難發(fā)現(xiàn)：OSI的應(yīng)用層、表示層和會話層的功能被合并到TCP/IP模型的應(yīng)用層中；網(wǎng)絡(luò)的大部分功能都存在于傳輸層和網(wǎng)絡(luò)層，因此它們保持在單獨的層中； OSI模型的數(shù)據(jù)鏈路層和物理層合并到TCP/IP模型的網(wǎng)絡(luò)接口層。 OSI參考模型是一種過于理想化的架構(gòu)，在實踐中很難實現(xiàn)。但它為我們的系統(tǒng)分層提供了很好的參考，具有很好的指導(dǎo)作用。 TCP/IP參考模型是事實上的模型，因為更實用，所以得到更廣泛的支持和使用，使TCP /IP成為事實上的行業(yè)標(biāo)準(zhǔn)。圖 1-2 TCP/IP 與 OSI 模型對比第二章需求分析2

20、.1 項目背景我公司是一家以生產(chǎn)為主的大型企業(yè)，總公司設(shè)在其中，另有一個分公司。公司現(xiàn)有員工數(shù)千人，包括行政管理部、財務(wù)部、人力資源部、技術(shù)部、生產(chǎn)部、銷售部。 6個部門。公司主體建筑包括行政辦公樓、綜合樓、加工車間（倉庫） 、員工公寓（男女員工各兩棟） ，共有信息節(jié)點約720個，其中總部600個，分公司120個，中央計算機(jī)一臺房間。公司總部行政辦公樓10樓。網(wǎng)絡(luò)項目實施前，公司采用下行2M和上行512K寬帶，普通交換機(jī)作為主要網(wǎng)絡(luò)連接設(shè)備，帶寬低，速度慢，各部門無法互通，無無線網(wǎng)絡(luò)部署在園區(qū)部門，網(wǎng)絡(luò)安全防御能力低，經(jīng)常受到各種攻擊。隨著公司規(guī)模的不斷擴(kuò)大，對辦公信息化、自動化和信息安全的要

21、求越來越高，公司決定建立一個完善、可擴(kuò)展的局域網(wǎng)。2.2 設(shè)計原則網(wǎng)絡(luò)設(shè)計遵循技術(shù)和行業(yè)標(biāo)準(zhǔn)的指導(dǎo)原則，確保設(shè)計方案滿足網(wǎng)絡(luò)建設(shè)需求，符合IT建設(shè)標(biāo)準(zhǔn)，為未來網(wǎng)絡(luò)升級提供后向兼容。在總體方案設(shè)計中，必須遵循實用性、先進(jìn)性、可靠性和安全性的原則。（1）實用性：網(wǎng)絡(luò)建設(shè)從應(yīng)用實際需求出發(fā)，堅持服務(wù)于領(lǐng)導(dǎo)決策、運營管理、生產(chǎn)建設(shè)。此外，如果對現(xiàn)有網(wǎng)絡(luò)進(jìn)行升級改造，還應(yīng)充分考慮如何利用現(xiàn)有資源，最大限度地發(fā)揮設(shè)備效益。（2）超前性：局域網(wǎng)的規(guī)劃不僅要滿足用戶當(dāng)前的需求，還要對用戶的需求有一定的技術(shù)預(yù)見性和可預(yù)見性，考慮到能夠滿足用戶未來幾年對網(wǎng)絡(luò)功能和帶寬的需求.采用成熟的先進(jìn)技術(shù)，兼顧未來發(fā)展趨勢，

22、即力所能及，適當(dāng)推進(jìn)，留有發(fā)展空間。( 3 )安全可靠：為保證網(wǎng)絡(luò)的可靠運行，網(wǎng)絡(luò)的關(guān)鍵部分應(yīng)具備容錯能力，并提供公網(wǎng)連接、通信鏈路、服務(wù)器等完善的安全管理體系。( 4 )安全性：為了保證網(wǎng)上信息的安全和各種應(yīng)用系統(tǒng)的安全，在規(guī)劃時必須考慮局域網(wǎng)的綜合安全方案。2.3 用戶的現(xiàn)實需求（1）實現(xiàn)公司部門資源共享（文件共享、打印機(jī)共享）。（2）搭建公司網(wǎng)絡(luò)服務(wù)器，方便公司自主權(quán)的發(fā)布。(3) 部門網(wǎng)絡(luò)采用VLAN分段來隔離廣播，防止未經(jīng)授權(quán)的跨網(wǎng)段訪問部門網(wǎng)絡(luò)。例如，不允許公司的其他部門訪問財務(wù)部門。(4)核心網(wǎng)必須有冗余設(shè)計，包括鏈路冗余和設(shè)備冗余。(5) 對于移動辦公頻繁接入的場所，必須部署無

23、線AP。(6) 外網(wǎng)之間有防火墻設(shè)置，可以實現(xiàn)私有地址到公有地址的轉(zhuǎn)換。(7) 外網(wǎng)用戶可以與網(wǎng)絡(luò)用戶進(jìn)行通訊，但不能訪問公司的網(wǎng)絡(luò)服務(wù)器和財務(wù)部門。2.4 技術(shù)可行性對于公司網(wǎng)絡(luò)的設(shè)計和規(guī)劃，技術(shù)可行性分析是必不可少的一環(huán)。目前常用的網(wǎng)絡(luò)技術(shù)主要有VLAN技術(shù)、ACL技術(shù)、DHCP技術(shù)、NAT技術(shù)、WLAN技術(shù)等。以下五種技術(shù)將一一講解。 .2.4.1 VLAN技術(shù)虛擬網(wǎng)絡(luò)（ VLAN ）技術(shù)是在邏輯上將一個交換網(wǎng)絡(luò)劃分為若干個子網(wǎng)，每個子網(wǎng)都是一個廣播域。邏輯劃分子網(wǎng)的功能與傳統(tǒng)物理子網(wǎng)相同，可以根據(jù)交換機(jī)的端口、 MAC地址、 IP地址進(jìn)行劃分。虛擬局域網(wǎng)在功能和操作上與傳統(tǒng)局域網(wǎng)基本相

24、同。與傳統(tǒng)局域網(wǎng)相比， VLAN具有以下優(yōu)點：降低搬家和更換成本也就是所謂的動態(tài)管理網(wǎng)絡(luò)，即當(dāng)用戶從一個位置移動到另一個位置時，他的網(wǎng)絡(luò)屬性不需要重新配置，而是動態(tài)完成的。該動態(tài)管理網(wǎng)絡(luò)提供網(wǎng)絡(luò)管理員和用戶。兩者都帶來很大的好處。用戶無論走到哪里，都可以不加任何修改地訪問網(wǎng)絡(luò)。這個前景非常光明。虛擬工作組使用VLAN就是建立一個虛擬工作組模型。比如在企業(yè)網(wǎng)絡(luò)中，同一個部門就像在同一個局域網(wǎng)上，很容易互相訪問和交換信息，同時所有的廣播包也被限制在那個虛擬局域網(wǎng)內(nèi)，不影響其他人。 VLAN 。如果一個人從一個辦公地點換到另一個辦公地點，而他還在部門，那么用戶的配置不需要改變；同時，如果一個人改變了

25、部門，雖然辦公地點沒有改變，那么只有網(wǎng)絡(luò)管理員可以改變用戶的配置。該功能的目標(biāo)是建立一個動態(tài)的組織環(huán)境。當(dāng)然，這只是一個理想的目標(biāo)。為了實現(xiàn)它，需要一些其他的支持；用戶不受物理設(shè)備的限制， VLAN用戶可以在網(wǎng)絡(luò)中的任何位置。 ; VLAN不影響用戶的應(yīng)用， VLAN的應(yīng)用解決了大規(guī)模二層交換網(wǎng)絡(luò)帶來的諸多問題。限制廣播數(shù)據(jù)包以提高帶寬利用率有效解決廣播風(fēng)暴導(dǎo)致的性能下降問題。一個VLAN組成一個小的廣播域，同一個VLAN的成員都在由它們所屬的 VLAN 確定的廣播域中。然后，當(dāng)數(shù)據(jù)包沒有被路由時，交換機(jī)只會將數(shù)據(jù)包致到屬于該VLAN 的所有其他端口。代替交換機(jī)的所有端口，這種方式將數(shù)據(jù)包限制

26、在一個VLAN內(nèi)，可以在一定程度上節(jié)省帶寬。增強的通信安全性一個VLAN不會被致到另一個VLAN ，從而使其他VLAN的用戶在網(wǎng)絡(luò)上無法接收到該 VLAN 的任何數(shù)據(jù)包，從而保證了該VLAN 的信息不會被其他VLAN的人竊聽。從而實現(xiàn)信息。增強網(wǎng)絡(luò)的健壯性當(dāng)網(wǎng)絡(luò)規(guī)模增大時，一些網(wǎng)絡(luò)問題往往會影響到整個網(wǎng)絡(luò)。引入 VLAN后，一些網(wǎng)絡(luò)故障可以限制在一個VLAN內(nèi)。由于VLAN對網(wǎng)絡(luò)進(jìn)行了邏輯劃分，組網(wǎng)方案靈活，配置管理簡單，降低了管理和維護(hù)成本。2.4.2 ACL 技術(shù)ACL（Access Control List）是一種對通過路由器的數(shù)據(jù)流進(jìn)行判斷、分類和過濾的方法。它的主要作用是根據(jù)數(shù)據(jù)包和

27、數(shù)據(jù)段的特點進(jìn)行判斷，決定是否允許數(shù)據(jù)包通過路由器轉(zhuǎn)發(fā)。其主要目的是管理和控制數(shù)據(jù)流量。 ACL 可以包含一個或多個特定類型 IP 數(shù)據(jù)報的規(guī)則。 ACL 可以簡單到只有一條規(guī)則，也可以復(fù)雜到多條規(guī)則。與規(guī)則匹配的數(shù)據(jù)組由多個規(guī)則定義。有兩種類型的訪問控制列表：標(biāo)準(zhǔn) ACL僅將數(shù)據(jù)包的源地址信息作為過濾標(biāo)準(zhǔn)，不能基于協(xié)議或應(yīng)用進(jìn)行過濾。即只能根據(jù)數(shù)據(jù)包的來源進(jìn)行控制，不能根據(jù)數(shù)據(jù)包的協(xié)議類型和應(yīng)用進(jìn)行控制，其編號范圍為199。擴(kuò)展 ACL數(shù)據(jù)包的源地址、目的地址、協(xié)議類型和應(yīng)用類型（端口號）等信息可以作為過濾條件。也就是說，可以根據(jù)數(shù)據(jù)包從哪里來、去哪里、用什么協(xié)議、用什么應(yīng)用等特性進(jìn)行精確控

28、制，個數(shù)從100到199不等。接下來，我們將討論ACL部門的具體處理流程： 圖2-1圖 2-1 ACL 工作原理每個 ACL 可以由多個語句（規(guī)則）組成。當(dāng)數(shù)據(jù)包要通過 ACL 檢查時，首先檢查 ACL 中的第一條語句。如果符合其判斷條件，則按照本語句中配置的關(guān)鍵字對數(shù)據(jù)包進(jìn)行操作。如果關(guān)鍵字是permit，則轉(zhuǎn)發(fā)數(shù)據(jù)包，如果關(guān)鍵字是deny，則直接丟棄數(shù)據(jù)包。如果第一條語句的判斷條件不匹配，則匹配下一條語句，如果判斷條件匹配，則按照本語句中配置的關(guān)鍵字對數(shù)據(jù)包進(jìn)行操作。如果關(guān)鍵字是permit，則轉(zhuǎn)發(fā)數(shù)據(jù)包，如果關(guān)鍵字是deny，則直接丟棄數(shù)據(jù)包。這個過程一直在進(jìn)行。一旦數(shù)據(jù)包與某條語句的判

29、別語句相匹配，就根據(jù)該語句中配置的關(guān)鍵字進(jìn)行轉(zhuǎn)發(fā)或丟棄。如果一個數(shù)據(jù)包不匹配 ACL 中的任何語句，它將被丟棄，因為默認(rèn)情況下，每個 ACL 都有一個隱含的條目匹配所有數(shù)據(jù)包，其關(guān)鍵字是拒絕。一般來說，上面ACL部分的處理過程是從上到下依次執(zhí)行，直到找到匹配的規(guī)則，拒絕或允許。2.4.3 DHCP技術(shù)動態(tài) HYPERLINK %20%20%20%20:/baike.baidu%20%20%20%20/view/23880.htm t _blank 主機(jī)配置協(xié)議（DHCP）是一種使用UDP協(xié)議 HYPERLINK %20%20%20%20:/baike.baidu%20%20%20%20/vie

30、w/788.htm t _blank 工作的局域網(wǎng) HYPERLINK %20%20%20%20:/baike.baidu%20%20%20%20/view/16603.htm t _blank 網(wǎng)絡(luò)協(xié)議，主要有兩個目的：自動分配 HYPERLINK %20%20%20%20:/baike.baidu%20%20%20%20/view/1279152.htm t _blank IP地址給部門網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)提供商 HYPERLINK %20%20%20%20:/baike.baidu%20%20%20%20/view/3930.htm t _blank ，給用戶或部門 HYPERLINK %20

31、%20%20%20:/baike.baidu%20%20%20%20/view/31921.htm t _blank 網(wǎng)絡(luò)管理員作為一種手段所有計算機(jī)的集中管理 HYPERLINK %20%20%20%20:/baike.baidu%20%20%20%20/view/3314.htm t _blank 。它分為兩部分：一是服務(wù)器端，二是客戶端。所有IP網(wǎng)絡(luò)配置數(shù)據(jù)都由DHCP服務(wù)器集中管理，負(fù)責(zé)處理來自客戶端的DHCP請求；客戶端使用從服務(wù)器分配的 IP 信息。 DHCP協(xié)議的主要特點是：整個IP分配過程是自動實現(xiàn)的。在客戶端，除了勾選 DHCP 選項外，無需進(jìn)行任何 IP 環(huán)境設(shè)置；所有IP

32、網(wǎng)絡(luò)設(shè)置均由DHCP服務(wù)器管理，還可以幫助客戶端指定網(wǎng)絡(luò)掩碼、DNS服務(wù)器、默認(rèn)網(wǎng)關(guān)等參數(shù)；通過IP地址租用管理（到期時可以延長“租用”或重新分配地址），實現(xiàn)IP地址的時分復(fù)用；DHCP 使用廣播模式交換數(shù)據(jù)包。默認(rèn)情況下，路由器不會將收到的廣播數(shù)據(jù)包從一個子網(wǎng)致到另一個子網(wǎng)。因此，當(dāng) DHCP 服務(wù)器和客戶端主機(jī)不在同一個子網(wǎng)時，必須使用 DHCP 中繼。 （即DHCP中繼）；DHCP協(xié)議的安全性較差，服務(wù)器容易受到攻擊。DHCP 的工作原理：DHCP采用客戶端/服務(wù)器模型，其工作原理遵循客戶端/服務(wù)器模型。當(dāng) PC 連接到 DHCP 服務(wù)器時，服務(wù)器會為其分配或租用 IP 地址。 PC 將

33、使用租用的 IP 地址連接到網(wǎng)絡(luò)，直到租用到期。主機(jī)必須定期聯(lián)系 DHCP 服務(wù)器來更新租約，而這種租約機(jī)制保證了主機(jī)在移動或關(guān)閉后不會繼續(xù)占用不再需要的地址。 DHCP 服務(wù)器將這些地址返回到地址池，并在必要時重新分配它們。圖 2-2 和以下步驟說明了 DHCP 服務(wù)器如何為 DHCP 客戶端分配 IP 地址配置。圖 2-2 DHCP 工作原理步驟 1 DHCP 發(fā)現(xiàn)。當(dāng)客戶端開始加入網(wǎng)絡(luò)時，它會完成 4 個步驟來獲得地址租約。在步驟 1 中，客戶端廣播 DHCPDISCOVER 消息以便在網(wǎng)絡(luò)中找到 DHCP 服務(wù)器。由于主機(jī)在啟動時沒有有效的IP信息，所以它使用二層和三層廣播地址與服務(wù)器

34、通信。步驟 2 DHCP 提議。 DHCP 服務(wù)器收到 DHCPDISCOVER 消息后，它會找到一個可租用的 IP 地址，然后創(chuàng)建一個包含請求主機(jī)的 MAC 地址和要租用的 IP 地址的 ARP 條目，最后，它使用 DHCPOFFER 消息致提議。 DHCPOFFER 消息以單播方式致，使用服務(wù)器的第 2 層 MAC 地址作為源地址，客戶端的第 2 層地址作為目標(biāo)地址。步驟 3 DHCP 請求?？蛻舳耸盏椒?wù)器的 DHCPOFFER 后，會致 DHCPREQUEST 消息。此消息有兩個目的：請求續(xù)訂和驗證的租約。當(dāng)用于請求租用時，客戶端的 DHCPREQUEST 消息需要在分配后驗證 IP

35、地址的有效性。此消息提供錯誤檢查以確保地址分配仍然有效。 DHCPEQUEST 還用于向所選服務(wù)器致綁定接受通知，并隱式拒絕來自其他服務(wù)器的綁定提議。步驟 4 DHCP 確認(rèn)。服務(wù)器收到DHCPEQUEST消息后，驗證租約信息，為客戶端租約創(chuàng)建新的ARP表項，并以單播DHCPACK消息進(jìn)行回復(fù)。除了消息類型字段之外，DHCPACK 消息與 DHCPOFFER 消息相同?？蛻舳耸盏紻HCPACK報文后，記錄配置信息，并根據(jù)分配的地址進(jìn)行ARP查找。如果沒有收到回復(fù)，則確定該IP地址仍然可用，因此將其作為自己的。2.4.4 NAT技術(shù) HYPERLINK %20%20%20%20:/baike.b

36、aidu%20%20%20%20/view/875777.htm t _blank 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT，Network Address Translation）是一種接入廣域網(wǎng)（WAN）技術(shù)，是一種將私有（保留）地址轉(zhuǎn)換為合法IP地址的轉(zhuǎn)換技術(shù)。廣泛應(yīng)用于各類互聯(lián)網(wǎng)接入方式和各類網(wǎng)絡(luò)中。原因很簡單，NAT不僅完美解決了IP地址不足的問題，還可以有效避免來自網(wǎng)絡(luò)外的攻擊，隱藏和保護(hù)網(wǎng)絡(luò)部門的計算機(jī)。 NAT帶來優(yōu)勢的同時，也帶來了很多劣勢：使用NAT必然會引入額外的延遲；失去端到端 IP 跟蹤能力；地址轉(zhuǎn)換因為主機(jī)地址是隱藏的，有時網(wǎng)絡(luò)調(diào)試變得困難。復(fù)雜的。NAT工作：如圖2-3圖2-3 NA

37、T工作原理首先我們要明確局域網(wǎng)部門的私有地址不能訪問外網(wǎng)。必須將其轉(zhuǎn)換為公共地址才能訪問 Internet。上圖為兩家公司的跨網(wǎng)通信。讓我們來談?wù)勊Ｋ行В?網(wǎng)絡(luò)的 PC1 想要訪問 網(wǎng)絡(luò)的 User1PC1向RA（網(wǎng)關(guān)）致請求，告訴自己自己的私有IP地址和MAC地址，并要求自己到達(dá)網(wǎng)絡(luò)的User1主機(jī)； 2 、 RA收到請求后，將PC1的源IP地址轉(zhuǎn)換為部門的全局地址，即公網(wǎng)地址，并制定一個隨機(jī)生成的端口號（用于標(biāo)識某臺主機(jī)） PC1并致到Inter網(wǎng)絡(luò)； 3 、 Inter網(wǎng)絡(luò)接收到部門全局IP地址的請求，由RB選擇并接收Interest Routing。 RB直接將RA致的全球IP地址

38、、端口號等信息致給網(wǎng)絡(luò)的網(wǎng)關(guān)； 4 、網(wǎng)關(guān)路由器RB根據(jù)對方致的目標(biāo)接收信息。主機(jī)信息，將數(shù)據(jù)傳輸?shù)骄W(wǎng)絡(luò)的User1主機(jī)； 5、根據(jù)ICMP協(xié)議，user1主機(jī)需要響應(yīng)，對數(shù)據(jù)進(jìn)行相應(yīng)的處理，并將數(shù)據(jù)封裝后致給網(wǎng)關(guān)； 6 、網(wǎng)關(guān)將user1的私網(wǎng)IP地址轉(zhuǎn)換為外部本地IP地址，即公網(wǎng)地址，通過這個公網(wǎng)地址轉(zhuǎn)發(fā)給路由器RA ； 7. RA收到數(shù)據(jù)包，檢查自己緩存中對應(yīng)的主機(jī)和端口，響應(yīng)網(wǎng)絡(luò)。 PC1 轉(zhuǎn)發(fā)。2.4.5 無線局域網(wǎng)技術(shù)無線局域網(wǎng)是指用無線電波、激光、紅外線等無線介質(zhì)代替有線局域網(wǎng)中的部分或全部傳輸介質(zhì)而形成的網(wǎng)絡(luò)。它不僅可以作為有線數(shù)據(jù)通信的補充和延伸，也可以作為有線網(wǎng)絡(luò)環(huán)境的備份

39、。無線局域網(wǎng)技術(shù)可能是應(yīng)用最廣泛、最具商業(yè)價值和發(fā)展最好的無線網(wǎng)絡(luò)技術(shù)。在無線局域網(wǎng)中，每個客戶端都使用無線適配器通過無線 AP 訪問網(wǎng)絡(luò)。無線AP（AP，Access Point，無線接入節(jié)點，會話點，或接入網(wǎng)橋）是一個廣義的名稱，它不僅包括簡單的無線接入點（無線AP），也是無線等設(shè)備的總稱。路由器（包括無線網(wǎng)關(guān)和無線網(wǎng)橋） 。常見的 WLAN 拓?fù)溆校?1)對等模式(Peer-to-Peer)/對等模式：無中心拓?fù)洌蔁o線工作站組成，用于一個無線工作站與另一個或多個其他無線工作站之間的直接通信，網(wǎng)絡(luò)無法接入有線網(wǎng)絡(luò)，只能獨立使用。無需AP，安全由每個客戶端維護(hù)。點對點模式下的節(jié)點必須能夠同

40、時“看到”網(wǎng)絡(luò)中的其他節(jié)點，否則認(rèn)為網(wǎng)絡(luò)中斷，所以點對點網(wǎng)絡(luò)只能在組網(wǎng)環(huán)境中使用有幾個用戶。(2)基礎(chǔ)設(shè)施模式：由無線接入點AP、無線工作站STA和分布式系統(tǒng)DSS組成，覆蓋區(qū)域稱為基本服務(wù)區(qū)BSS。無線接入點AP用于接收無線STA與有線網(wǎng)絡(luò)之間的緩存轉(zhuǎn)發(fā)數(shù)據(jù)，通過AP完成無線通信，具有中心拓?fù)浣Y(jié)構(gòu)。 AP通?？梢愿采w數(shù)十到數(shù)百個用戶，覆蓋半徑可達(dá)數(shù)百米。 AP可以接入有線網(wǎng)絡(luò)，實現(xiàn)無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的互聯(lián)互通。(3)多AP模式：指由多個AP和連接它們的分布式系統(tǒng)DSS組成的基礎(chǔ)設(shè)施模式網(wǎng)絡(luò)，也稱為擴(kuò)展服務(wù)區(qū)ESS。擴(kuò)展服務(wù)區(qū)內(nèi)的每個AP都是一個獨立的無線網(wǎng)絡(luò)基礎(chǔ)服務(wù)區(qū)BSS，所有AP共享同一

41、個擴(kuò)展服務(wù)區(qū)標(biāo)識ESSID。分布式系統(tǒng)DSS在802.11標(biāo)準(zhǔn)中沒有定義，但目前大部分是指以太網(wǎng)。具有相同ESSID的無線網(wǎng)絡(luò)之間可以進(jìn)行漫游，具有不同ESSID的無線網(wǎng)絡(luò)形成邏輯子網(wǎng)。多AP模式有時被稱為多小區(qū)結(jié)構(gòu)，建議小區(qū)之間有15%的重疊，以實現(xiàn)小區(qū)之間無線站的無縫漫游。所謂漫游，是指用戶從一個位置移動到另一個位置，應(yīng)視為離開一個接入點，進(jìn)入另一個接入點。在無法達(dá)到有線連接的情況下，可以采用多蜂窩無線中繼結(jié)構(gòu)，中繼小區(qū)之間需要50%左右的信號重疊，中繼小區(qū)的客戶端使用效率會下降50%。802.11 無線 LAN 是一組 IEEE 標(biāo)準(zhǔn)，它定義了如何在未經(jīng)許可的工業(yè)、科學(xué)和醫(yī)療 (ISM)

42、 頻段中使用射頻 (RF) 作為無線鏈路的物理層和 MAC 子層。IEEE 802.11a高速WLAN標(biāo)準(zhǔn)，支持速率54Mbps，工作在5GHz頻段，采用OFDM調(diào)制，優(yōu)勢距離可達(dá)35米，速度更快，不易受干擾。缺點：成本高，體積小。IEEE 802.11b原Wi-Fi標(biāo)準(zhǔn)提供11Mbps速率，工作在2.4GHz頻段，使用DSSS和CCK，具有距離可達(dá)35米、成本低、覆蓋廣等優(yōu)點。缺點是速度慢，容易被打擾。IEEE 802.11g數(shù)據(jù)速率提高到54Mbps，工作在2.4GHz頻段。它采用OFDM調(diào)制技術(shù)，可以與同一網(wǎng)絡(luò)中的IEEE 802.11b設(shè)備一起工作。優(yōu)點是距離可達(dá)35米，速度快，周邊范

43、圍廣，不易被阻擋。缺點是容易受到工作在 2.4GHz 頻段的設(shè)備的干擾。IEEE 802.11n采用MIMO無線通信技術(shù)，更寬的射頻通道和改進(jìn)的協(xié)議棧，提供更高的數(shù)據(jù)速率，從150Mbps、350-600Mbps，向后兼容IEEE 802.11a/b和IEEE 802g，優(yōu)勢距離可達(dá)70米，數(shù)據(jù)傳輸率高速度快，覆蓋面廣。第三章網(wǎng)絡(luò)設(shè)計3.1 網(wǎng)絡(luò)分層設(shè)計大中型網(wǎng)絡(luò)系統(tǒng)必須采用分層設(shè)計的思想，這是解決網(wǎng)絡(luò)系統(tǒng)規(guī)模、結(jié)構(gòu)和技術(shù)復(fù)雜性的最有效途徑。這已在許多工程實踐中得到證明。是否需要按3層搭建的經(jīng)驗數(shù)據(jù)是：如果節(jié)點數(shù)為250-5000，一般需要按3層結(jié)構(gòu)設(shè)計；如果節(jié)點數(shù)量為100-500，則無需設(shè)

44、計接入層網(wǎng)絡(luò)，可以通過匯聚層的路由器或交換機(jī)直接連接節(jié)點；如果節(jié)點數(shù)為5-250，則可能不設(shè)計接入層網(wǎng)絡(luò)和匯聚層網(wǎng)絡(luò)?？紤]到公司有720個節(jié)點，網(wǎng)絡(luò)設(shè)計為3層結(jié)構(gòu)。其中，核心層網(wǎng)絡(luò)用于連接服務(wù)器集群和各樓的子網(wǎng)交換路由器，與城域網(wǎng)的出口連接；匯聚層網(wǎng)絡(luò)用于將分布在不同位置的子網(wǎng)連接到核心層網(wǎng)絡(luò)，實現(xiàn)路由匯聚功能；接入層網(wǎng)絡(luò)用于將最終用戶計算機(jī)連接到網(wǎng)絡(luò)。1.核心層核心層的作用主要是實現(xiàn)骨干網(wǎng)之間的優(yōu)化傳輸和復(fù)雜全網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)交換。網(wǎng)絡(luò)的功能控制最好盡可能在骨干層實現(xiàn)，核心層設(shè)計任務(wù)側(cè)重于冗余、可靠性和高速傳輸。核心層一直被認(rèn)為是流量的最終承載和匯聚，因此要求核心交換機(jī)具有高可靠性和高性能。2.

45、聚合層匯聚層主要負(fù)責(zé)連接接入層節(jié)點和核心層，匯聚分散的接入點，擴(kuò)展核心設(shè)備的端口密度和種類，匯聚各個區(qū)域的數(shù)據(jù)流量，實現(xiàn)骨干網(wǎng)之間的最優(yōu)傳輸。匯聚層交換機(jī)也負(fù)責(zé)該區(qū)域的數(shù)據(jù)交換。匯聚層交換機(jī)一般和中心交換機(jī)是同一類型的，仍然需要更高的性能和更豐富的功能。3.接入層接入層交換機(jī)作為二層交換網(wǎng)絡(luò)設(shè)備，為功能工作站等設(shè)備提供網(wǎng)絡(luò)接入。接入層接入交換機(jī)的數(shù)據(jù)是全網(wǎng)最多的，具有即插即用的特點。對于這樣的開關(guān)，首先是合理的價格；二是可管理性，易于使用和維護(hù)；三是穩(wěn)定性較好。采用層次模型的設(shè)計方法有以下優(yōu)點： 1、結(jié)構(gòu)清晰，網(wǎng)絡(luò)易于理解和維護(hù)； 2、具有良好的擴(kuò)展性； 3、功能進(jìn)行了不同層次的分解，有利于網(wǎng)

46、絡(luò)的穩(wěn)定性； 4、有利于定位網(wǎng)絡(luò)故障點。3.2 拓?fù)湓O(shè)計根據(jù)網(wǎng)絡(luò)的三層設(shè)計思想和公司樓宇的地理分布特點，公司網(wǎng)絡(luò)拓?fù)湓O(shè)計如下：核心部分主要由兩臺CISCO 6905路由交換機(jī)組成，通過兩臺路由器連接10個千兆光纖，并使用千兆光纖。下行4臺匯聚交換機(jī)CISCO 3750。其中一臺路由器用于連接ISP，實現(xiàn)公司部門與外網(wǎng)的互聯(lián)互通，另一臺路由器連接廣域網(wǎng)的幀中繼，實現(xiàn)機(jī)頭之間的通信辦事處和分公司。兩臺核心路由交換機(jī)相互連接，服務(wù)器也與兩臺核心路由交換機(jī)相連，實現(xiàn)高速數(shù)據(jù)訪問。匯聚層交換機(jī)通過千兆雙絞線與接入層設(shè)備CISCO 2960互聯(lián)，接入層設(shè)備與終端用戶實現(xiàn)100M到桌面。如圖 3-1 所示：

47、圖3-1 公司網(wǎng)絡(luò)拓?fù)?.3 設(shè)備選型目前網(wǎng)絡(luò)設(shè)備制造商眾多，如思科、華為、H3C、銳捷、IBM等。思科系統(tǒng)公司（Cisco Systems）是全球領(lǐng)先的互聯(lián)網(wǎng)設(shè)備提供商。其網(wǎng)絡(luò)設(shè)備和應(yīng)用解決方案將世界各地的人和計算設(shè)備與網(wǎng)絡(luò)連接起來，使人們能夠隨時隨地使用各種設(shè)備傳輸信息。思科為客戶提供端到端的網(wǎng)絡(luò)解決方案，使客戶能夠構(gòu)建自己的統(tǒng)一信息基礎(chǔ)設(shè)施或連接到其他網(wǎng)絡(luò)。根據(jù)公司預(yù)算要求，本項目的路由器和交換機(jī)選用CISCO的設(shè)備，服務(wù)器選用IBM的設(shè)備。3.3.1 設(shè)備選型原則1.廠商的選擇所有網(wǎng)絡(luò)設(shè)備盡量選擇同一廠家的產(chǎn)品，在設(shè)備互聯(lián)、協(xié)議互通、技術(shù)支持、價格等方面更有優(yōu)勢。由此看來，產(chǎn)品線齊全、

48、技術(shù)認(rèn)證團(tuán)隊強大、產(chǎn)品市場占有率高的廠商是網(wǎng)絡(luò)設(shè)備品牌的首選。其產(chǎn)品經(jīng)過更多用戶的測試，產(chǎn)品成熟度高。而且這些廠家出貨頻繁，生產(chǎn)量大，質(zhì)量保證體系較為完善。作為系統(tǒng)集成商或網(wǎng)絡(luò)建設(shè)單位，您不應(yīng)該依賴任何一種產(chǎn)品，可以公平地評估各種產(chǎn)品，根據(jù)需求和成本選擇最好的。在制定網(wǎng)絡(luò)規(guī)劃之前，應(yīng)根據(jù)網(wǎng)絡(luò)建設(shè)單位的承受能力確定網(wǎng)絡(luò)設(shè)備的品牌。國內(nèi)廠商的網(wǎng)絡(luò)產(chǎn)品價格不錯，但產(chǎn)品線短。2 、擴(kuò)容注意事項在網(wǎng)絡(luò)的層次結(jié)構(gòu)中，骨干設(shè)備要為以后的擴(kuò)展預(yù)留一定的容量，低端設(shè)備要充足。因為低端設(shè)備更新更快，易于擴(kuò)展。3 、根據(jù)實際需要選擇方案主要在參考整體網(wǎng)絡(luò)設(shè)計要求的基礎(chǔ)上，根據(jù)實際網(wǎng)絡(luò)帶寬性能要求、端口類型和端口密度

49、進(jìn)行選擇。如果是舊網(wǎng)改造項目，應(yīng)盡可能保留和延長用戶對原有網(wǎng)絡(luò)設(shè)備的投資，以減少資金投入的浪費。4 、選擇性價比高、品質(zhì)優(yōu)良的產(chǎn)品為了使資金的投入和產(chǎn)出最大化，可以以較低的成本和較少的人員投入來維護(hù)系統(tǒng)；網(wǎng)絡(luò)開通后，會運行很多關(guān)鍵業(yè)務(wù)，因此要求系統(tǒng)具有較高的可靠性。整個系統(tǒng)的可靠性主要體現(xiàn)在網(wǎng)絡(luò)設(shè)備的可靠性，尤其是GBE骨干交換機(jī)的可靠性和線路的可靠性上。3.3.2 開關(guān)選擇核心交換機(jī)的選擇核心層是網(wǎng)絡(luò)的中心，其功能是實現(xiàn)高性能的交換和傳輸。因此，核心層設(shè)備應(yīng)該是高性能的交換機(jī)，可以實現(xiàn)高速交換傳輸連接服務(wù)器等核心設(shè)備，實現(xiàn)不間斷工作非常可靠。 Catalyst 6500 系列旨在滿足對千兆密

50、度、數(shù)據(jù)和語音集成、LAN/WAN/MAN 集中度、可擴(kuò)展性、高可用性以及具有骨干/分布、服務(wù)器整合和服務(wù)提供商環(huán)境的智能多層交換的需求。它是針對公司不斷增長的需求而設(shè)計的，所以我們選擇了兩臺CISCO WS-C6509-E （3 65 00元）交換機(jī)作為公司的骨干網(wǎng)。 CISCO WS-C6509-E的外觀結(jié)構(gòu)如圖3-2所示。 9個模塊化插槽，背板帶寬720Gbps，包轉(zhuǎn)發(fā)率387Mpps，支持網(wǎng)絡(luò)標(biāo)準(zhǔn)（ IEEE 802.3、IEEE 802.3u、IEEE 802.1s、IEEE 802.1w、IEEE 802.3ad ）、網(wǎng)絡(luò)管理（ CiscoWorks2000、 RMON, ESPA

51、N, SNMP, Telnet, BOOTP, TFTP ), VLAN, QoS, 電源4000W。圖 3-2 HYPERLINK %20%20%20%20:/detail.zol%20%20%20% o CISCO WS-C6509-E 性能參數(shù) 思科 WS-C6509-E匯聚交換機(jī)的選擇匯聚層主要負(fù)責(zé)連接接入層節(jié)點和核心層，將分布在不同位置的子網(wǎng)連接到核心層網(wǎng)絡(luò)，實現(xiàn)數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進(jìn)行訪問控制。包括訪問控制列表、 VLAN路由等。 Cisco Catalyst 3750系列交換機(jī)是一個創(chuàng)新的產(chǎn)品系列，通過提供配置靈活性、對融合網(wǎng)絡(luò)模型的支持和自動智能網(wǎng)絡(luò)服務(wù)調(diào)配來簡化融合應(yīng)用

52、的部署 我們使用四臺CISCO WS-C3750G-24TS-S1U （17,500 元）作為公司的匯聚交換機(jī)。 CISCO WS-C3750G-24TS-S1U外觀結(jié)構(gòu)如圖3-3所示。它有 28 個端口、 24 個以太網(wǎng) 10/100/1000 端口和 4 個基于 SFP 的千兆以太網(wǎng)端口。背板帶寬32Gbps，包轉(zhuǎn)發(fā)率38.7Mpps，支持網(wǎng)絡(luò)標(biāo)準(zhǔn)（ IEEE 802.3、IEEE 802.3u、IEEE 802.3ab、IEEE 802.3z、IEEE 802.1s、IEEE 802.1w、IEEE 802.1x、IEEE 802.3ad , IEEE 802.3x, IEEE 802.

53、1D, IEEE 802.1p, IEEE 802.1Q ), VLAN, QoS。圖 3-3思科 WS-C3750G-24TS-S1U接入交換機(jī)的選擇接入層主要為終端用戶提供接入網(wǎng)絡(luò)的途徑。主要用于VLAN劃分、與分布層的連接等。 CISCO Catalyst 2960 系列交換機(jī)是以太網(wǎng)供電或非 PoE 配置的交換機(jī)系列，可提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，以及為入門級企業(yè)、中端市場、和分支機(jī)構(gòu)網(wǎng)絡(luò)配置獨立的智能以太網(wǎng)設(shè)備。因此，我們選用二十四臺CISCO WS-C2960-24TC-L （4700元）作為公司的接入層交換機(jī)。 CISCO WS-C2960-24TC-L的外觀結(jié)構(gòu)如圖3-

54、4所示。它有 26 個端口、 24 個以太網(wǎng) 10/100Mbps 端口和 2 個兩用上行端口。背板帶寬4.4Gbps，包轉(zhuǎn)發(fā)率6.5Mpps，支持網(wǎng)絡(luò)標(biāo)準(zhǔn)（ IEEE 802.3、IEEE 802.3u、IEEE 802.1s、IEEE 802.1w、IEEE 802.3ad ）、網(wǎng)絡(luò)管理（ Web瀏覽器、SNMP、CLI） )、VLAN、QoS、電源為30W。圖 3-4 CISCO WS-C2960-24TC-L3.3.3 路由器選擇路由器是連接互聯(lián)網(wǎng)中各種局域網(wǎng)和廣域網(wǎng)的設(shè)備。它會根據(jù)信道條件自動選擇和設(shè)置路由，并按最佳路徑和順序致信號。目前，路由器已廣泛應(yīng)用于各行各業(yè)，各種不同檔次的產(chǎn)

55、品已成為實現(xiàn)各種骨干網(wǎng)連接、骨干網(wǎng)間互聯(lián)、骨干網(wǎng)與互聯(lián)網(wǎng)互聯(lián)互通的主力軍。我們選擇3臺CISCO 2911/K9（8400元）作為公司的邊緣路由器。 CISCO 2911/K9的外觀和結(jié)構(gòu)如圖3-5所示。擁有3個WAN接口，內(nèi)置防火墻功能，支持網(wǎng)絡(luò)協(xié)議（IPv4、IPv6、靜態(tài)路由、 IGMPv3、PIM SM、DVMRP、IPSec ）、VPN、QoS。圖 3-5 思科 2911/K93.3.4 服務(wù)器選擇網(wǎng)絡(luò)服務(wù)器的選型是網(wǎng)絡(luò)系統(tǒng)建設(shè)的重要內(nèi)容之一。從應(yīng)用的角度來看，網(wǎng)絡(luò)服務(wù)器的類型可以分為：文件服務(wù)器、數(shù)據(jù)庫服務(wù)器、互聯(lián)網(wǎng)通用服務(wù)器和應(yīng)用服務(wù)器。我們選擇了機(jī)架式IBM System x3

56、650 M4（ 24500元）作為公司的服務(wù)器。 IBM System x3650 M4的外觀結(jié)構(gòu)如圖3-6所示。服務(wù)器的CUP為8核16線程，CPU頻率為2GHz，存儲容量為8GB。存儲槽位24個，最大存儲容量768GB，硬盤接口類型為SATA/SAS，最大硬盤容量9TB。 HYPERLINK %20%20%20%20:/detail.zol%20%20%20% 系統(tǒng)支持（ Windows Server 、 Red Hat Enterprise Linux 、 SUSE Linux Enterprise Server 、 VMware vSphere） ，電源為750W。圖 3-6 IBM

57、System x3650 M43.4 路由協(xié)議選擇路由器的基本工作原理是接口接收到IP報文后，解析IP報文的目的地址，根據(jù)路由表中的指示轉(zhuǎn)發(fā)到下一跳。路由根據(jù)生成方式分為靜態(tài)路由和動態(tài)路由。靜態(tài)路由通過手動配置生成路由，這是構(gòu)建路由表最簡單的方法。對于小型網(wǎng)絡(luò)，一般只使用靜態(tài)路由。動態(tài)路由由路由器上運行的動態(tài)路由協(xié)議自動生成，適用于頻繁變化的網(wǎng)絡(luò)，降低了網(wǎng)絡(luò)管理員的維護(hù)難度。為了實現(xiàn)網(wǎng)絡(luò)管理員的快速路由收斂、尋址和方便管理，我們使用動態(tài)路由協(xié)議。目前比較好的動態(tài)路由協(xié)議是OSPF和EIGRP。 OSPF協(xié)議標(biāo)準(zhǔn)化能力強，支持多家廠商，應(yīng)用廣泛。應(yīng)用，EIGRP協(xié)議是CISCO發(fā)明的，只有CIS

58、CO自己的產(chǎn)品支持，屬于私有財產(chǎn)。 OSPF路由協(xié)議的特點是：鏈路狀態(tài)協(xié)議沒有環(huán)路；根據(jù)帶寬選擇路徑；更強的路由收斂能力；快速收斂；支持 VLSM 和 CIDR。在網(wǎng)絡(luò)設(shè)計中，路由協(xié)議的選擇主要考慮各種協(xié)議的不同特性，有時也有幾種路由協(xié)議協(xié)同工作的情況。考慮到公司網(wǎng)絡(luò)的可擴(kuò)展性、穩(wěn)定性、可靠性等原因，我們選擇OSPF作為主要路由協(xié)議，并使用靜態(tài)路由連接ISP的邊緣部分。此外，我們還使用 VRRP 虛擬路由冗余協(xié)議。它保證了當(dāng)主機(jī)的下一跳路由器發(fā)生故障時，能夠及時、就地更換另一臺路由器，從而保持通信的連續(xù)性和可靠性。3.5 綜合布線設(shè)計綜合布線是對傳統(tǒng)布線方式的徹底改變。經(jīng)過統(tǒng)一規(guī)劃設(shè)計，將所有

59、語音、數(shù)據(jù)、視頻信號和控制設(shè)備布線集成到一個標(biāo)準(zhǔn)的布線系統(tǒng)中。目前廣泛采用的綜合布線標(biāo)準(zhǔn)有：TIA/EIA標(biāo)準(zhǔn)； ISO/IEC 標(biāo)準(zhǔn)。公司的局域網(wǎng)布線設(shè)計是基于網(wǎng)絡(luò)的分布結(jié)構(gòu)，網(wǎng)絡(luò)布線必須有長遠(yuǎn)的考慮。在進(jìn)行局域網(wǎng)布線時，應(yīng)充分考慮未來網(wǎng)絡(luò)擴(kuò)展可能需要的最大接入節(jié)點數(shù)、接入位置的分布和用戶的便利性。3.5.1 綜合布線系統(tǒng)的組成綜合布線系統(tǒng)為開放式結(jié)構(gòu)，可支持多種計算機(jī)數(shù)據(jù)系統(tǒng)，以及會議電視、監(jiān)控電視等系統(tǒng)的需求。根據(jù) ISO/IEC 標(biāo)準(zhǔn)，結(jié)構(gòu)化布線系統(tǒng)可分為 6 個獨立的布線子系統(tǒng)。工作區(qū)子系統(tǒng)工作區(qū)子系統(tǒng)，也稱為服務(wù)區(qū)子系統(tǒng)，由RJ-45插座和其他連接的設(shè)備（終端或計算機(jī)）組成。水平布

60、線子系統(tǒng)水平子系統(tǒng)也成為水平路由子系統(tǒng)。水平子系統(tǒng)從 RJ-45 插座到管理子系統(tǒng)的接線柜一般為星形。與主干子系統(tǒng)的區(qū)別在于：水平布線子系統(tǒng)該系統(tǒng)始終位于一層并連接到插座。垂直主干子系統(tǒng)垂直干線子系統(tǒng)為樓宇提供垂直電纜，負(fù)責(zé)連接管理子系統(tǒng)和機(jī)房子系統(tǒng)。設(shè)備間子系統(tǒng)設(shè)備間子系統(tǒng)是布線系統(tǒng)最重要的管理區(qū)域，所有樓層的通信都在這里通過電纜或光纜傳輸。該系統(tǒng)通常安裝在計算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和程控計算機(jī)系統(tǒng)的主機(jī)房中。管理子系統(tǒng)管理子系統(tǒng)安裝通信布線系統(tǒng)設(shè)備，包括用于水平主干布線系統(tǒng)的機(jī)械和電氣終端。管理子系統(tǒng)設(shè)置在樓層布線設(shè)備的房間內(nèi)，應(yīng)由交接間的布線設(shè)備、輸入/輸出設(shè)備等組成。構(gòu)建復(fù)雜的子系統(tǒng)Buil