基于Packet Tracer的企业网络设计及安全实现.doc

《基于Packet Tracer的企业网络设计及安全实现.doc》由会员分享，可在线阅读，更多相关《基于Packet Tracer的企业网络设计及安全实现.doc（46页珍藏版）》请在三一办公上搜索。

1、 毕 业 设 计题 目：基于Packet Tracer的企业网络设计及安全实现 学院： 计算机与通信学院 专业：信息系统信息管理 班级：1002 学号：201003110223 学生姓名： 崔洪洋 导师姓名： 余新宇 完成日期： 2014年6月5日 诚 信 声 明本人声明：1、本人所呈交的毕业设计（论文）是在老师指导下进行的研究工作及取得的研究成果；2、据查证，除了文中特别加以标注和致谢的地方外，毕业设计（论文）中不包含其他人已经公开发表过的研究成果，也不包含为获得其他教育机构的学位而使用过的材料；3、我承诺，本人提交的毕业设计（论文）中的所有内容均真实、可信。作者签名： 日期：2014年6月

2、10日毕业设计（论文）任务书 题目: 基于Packet Tracer的企业网络设计及安全实现 姓名 崔洪洋 学院 计算机与通信学院 专业 信息系统与信息管理 班级 信管1002 学号 201003110223 指导老师 余新宇 职称 副教授 教研室主任 唐志航 一、 基本任务及要求：1.根据企业的网络需求，设计网络拓扑图并在Packet Tracer 虚拟器上进行组网； 2.给企业中的所有计算机分配IP地址、子网掩码、划分VLAN，实现内部局域网的通信； 3.配置HTTP,MAIL等内部服务器，使企业内部用户访实现访问公司网站，接收邮件等功能； 4.详细配置STP实现网络的链路冗余与备份； 5

3、.配置路由器，实现内部客户端计算机对外部网站服务器的访问； 6.配置VPN实现子公司或公司在外人员对内部网络服务器的访问； 根据特定的网络管理任务需求，设计相应的访问规则，完成相应的管理任务； 最后，根据任务完成的情况撰写毕业设计报告 二、 进度安排及完成时间：第1 周：查找材料、和指导老师商讨初步确定论文题目。 第2-4周：查阅资料了解常见的网络技术及架构，以太网与其他局域网技术的比较。 第5-8周：根据需求完成网络的基本设计，设计的技术包括vlan、trunk、stp、vtp广网等。 第9-10周 ：对整个网络进行再次测试以及排除相关故障 第11-13周：完成初稿，审查论文格式，并提交指导

4、老师批阅。 第14-15周：完成最终电子稿，打印并装订。 第16周：完成相关论文简介，准备论文答辩等相关工作。 目 录摘要IABSTRACTII第一章 绪论11.1选题背景11.2选题的目的和意义11.3可行性分析11.4基本思路21.5仿真实验平台2第二章 企业建网涉及的主要网络技术介绍32.1园区网络技术32.1.1路由技术32.1.2交换技术32.1.2.1 VLAN32.1.2.2 VTP协议42.1.2.3 生成树协议52.1.3远程访问技术62.1.4热备份路由协议（HSRP）62.2本章小结7第三章 企业网络总体设计方案83.1总体需求分析83.2具体需求83.2.1息信流分析8

5、3.2.2业务需求83.2.3外部需求93.2.4网络需求分析93.3网络拓扑设计93.4IP编址方案及VLAN划分103.5核心层设计及设备选型123.5.1园区主干交换机123.5.2出口路由器123.5.3服务器群组123.6接入层设计及设备选型123.7安全体系设计及设备选型133.7.1 物理层安全143.7.2 系统安全143.7.3 网络层安全143.8本章小结14第四章 企业网组网设计与仿真实现154.1交换模块设计154.1.1接入层交换机服务的实现配置接入层交换机154.1.1.1配置接入层交换机SWITCH1的基本参数154.1.1.2配置接入层交换机SWITCH1的VL

6、AN及VTP164.1.1.3配置接入层交换机SWITCH1的访问端口164.1.1.4配置接入层交换机SWITCH1的主干道端口174.1.1.5配置接入层交换机SWITCH2174.1.2核心层交换机服务的实现配置核心层交换机184.1.2.1对核心层交换机CoreSwitch1的基本参数的配置184.1.2.2配置核心层交换机CoreSwitch1的管理IP194.1.2.3配置核心层交换机CoreSwitch1的VTP194.1.2.4在核心层交换机CoreSwitch1上定义VLAN194.1.2.5配置核心层交换机CoreSwitch1的端口基本参数204.1.2.6配置核心层交换

7、机CoreSwitch1的三层交换功能214.1.2.7配置HSRP224.2广域网接入模块设计244.2.1配置路由器IRouter的基本参数254.2.2配置路由器IRouter的各接口参数254.2.3配置路由器IRouter的路由功能264.2.4配置接入路由器IRouter上的NAT264.2.5配置接入路由器IRouter上的ACL274.3远程访问模块设计294.3.1Easy VPN服务器配置294.4本章小结30第五章系统测试315.1测试模块315.2模块测试验证315.2.1 企业网连通与访问限制31图5.2显示为Units2部门PC配置取相关IP信息。315.2.2 远

8、程接入测试345.3本章小结35总结36参考文献37致谢38摘要随着Internet的逐步普及， Intranet（企业内部网）的建设是企业向现代化、信息化发展的必然选择。随着计算机技术的不断发展，网络技术的不断提高，很多企业的网络性能已经跟不上现代信息的变化了，对于很多企业来说升级现有网络是必不可少的办法，企业对新建网络的向后兼容性的要求也越来越高。企业网网络系统是一个非常庞大而复杂的系统，它不仅为现代化发展、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能够提供多种应用服务，使信息能及时、准确地传送给各个系统。在企业网络方案设计的过程中，服务器和网络设备的选择一定要充分考虑企业

9、的需求、扩展性以及向后的兼容性。在配置网络设备和服务器的时候一定要根据用户的要求和技术支持文档。因此本毕业设计课题主要以企业网络规划建设过程中可能用到的各种技术及实施方案为设计方向，为企业网的建设提供理论依据和实践指导。本设计结合一家中小企业网络的实际需求，通过对网络组建方案的设计、基于安全的网络配置方案设计、服务器架设方案设计、企业网络安全设计等方面的研究，详尽的探讨了对该网络进行规划设计时遇到的关键性问题。主要包括需求分析、网络设备选型、逻辑网络设计、IP 地址规划方案设计、服务器架设和网络安全设计等内容。论文针对中小企业网络拓扑进行设计和分析，给出了网络规划设计解决方案关键词：网络拓扑规

10、划；网络安全设计；路由、交换；Cisco Packet Tracer ABSTRACTAbstractAbstractAbstractAbstract With the popularization of the network, the construction of enterprises network is the inevitable choice that enterprises develop towards informationization, the network system of corporate network is a very huge and complic

11、ated system, it develop for modernization not merely, comprehensive information management with office automation a series of employ, offer basic operating platform, and can offer many kinds of application service, enable information to convey to each system in time, accurately. And has mainly emplo

12、yed the important branchs LAN technology in the network technology in the engineering construction of corporate network, so this graduation project subject will mainly regard various technology and implementing scheme that the land networking course of enterprise office may be used as the direction

13、of designing, offer theoretical foundation and practice for construction of the corporate network to guide. Combining the actual needs of SMEs in the network, through the research of the network construction design, the secure network configuration design, the server set up design, and other aspects

14、 of network security research, this graduation design gives a detailed explanation of the key issues encountered during the network Planning and design. This design analyzes the network topology for SMEs. Do the Configuration and Safety Design of the network，and also gives the network planning and d

15、esign solutions. keyword: The Network Technology; network security design; routing; switching. Cisco Packet Tracer第一章 绪论1.1选题背景随着信息化进程的前进，许许多多的企业建立了自己的企业网络。特别是广大的大中型企业，由于组网规模适中、网络布局灵活、有限的资金成本及着眼未来的扩展等多种条件和要求下，慢慢形成了一些典型的企业组网方式。随着互联网的发展和企业的扩大，企业网的组网要求不再局限于数据传输、信息共享，而是要更加的注重企业网络的信息安全。本文正是以构建一个更可靠、更高速、更

16、方便以及更安全的网络和业务管理为出发点，探讨并模拟出可行的解决方案。1.2选题的目的和意义统一、可靠、安全的企业网络信息系统能在企业内实现资源的高度共享，提高工作效率和管理水平，提供数据传输、视频会议等多种信息通信业务，且拥有完善的企业网管理应用系统。建立完备的企业网络环境，是顺应时代发展的趋势，充分利用现代化技术来提高企业管理质量及实现办公的自动化，对企业在信息化时代的生存和发展具有不可或缺的意义。1.3可行性分析面对现代市场竞争，纯粹的手工管理方式和手段已经不能够适应现代企业发展的需求。社会的进步、科技的发展要求企业必须更新落后的管理体制、管理方法和管理手段，建立现代企业应有的形象，建立适

17、合本企业的自动化管理信息系统，促使管理水平的提高，经济和社会效益的增加。实现企业现代化管理和办公自动化，能够为整个企业带来高效畅通的信息高速通道和企业公共服务环境，既能够为各部门提供先进的信息服务和生产环境，又能提高各部门的办公效率和综合管理水平，更能改变传统的管理思路和方式，提升管理人员和工作人员的素质，大大提高企业人员的工作效率。从企业管理和业务发展的角度看，通过网络资源的公用来改善企业之间、企业和客户间的信息交流方式，使企业能够迅速掌握瞬息万变的市场信息；再者，随着办公自动化水平的提高，能够大大促进工作效率的同时减低企业管理成本的支出，提高企业的竞争力；最后，企业内部网络的建立，还能够方

18、便各方面的沟通交流，集中管理，加强企业资源分配的最优化。因此，建立一个统一、可靠和安全的网络信息系统是非常必要的。1.4基本思路根据对选题的背景、目的、意义和可行性分析，总结有如下设计思路：选择适合的网络层次模型来规划企业网络框架；采用合理的策略，确保各业务的性能发挥，增强企业数据的保密性；设置网络设备的冗余备份，确保企业网络不间断运作，充分发挥企业网络的优势，确保企业的正常运作；最后是选用合适的网管方式，控制维护整个网络。1.5仿真实验平台本文所涉及的网络构建、模拟、测试等软件平台如下：操作系统平台：Microsoft Windows 7网络仿真软件：Cisco Packet Tracer

19、第二章 企业建网涉及的主要网络技术介绍2.1园区网络技术企业园区定义了企业复合网络模型的一个功能区域，它包括以下企业复合模块：园区基础设施、网络管理、边缘分布。其中园区基础设施模块包括建筑拉入、建筑物布和园区主干了模块。建立一个完整的园区网络需要涉及到路由、交换与远程访问技术。它们是现代计算机网络领域中三大支撑技术体系。2.1.1路由技术路由协议工作在OSI参考模型的第三层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力，除了可以完成主要的路由任务，利用访问控制列表（Access Control List，ACL），路由器还可以用来完成路由器为中心的流

20、量控制和过滤功能。在本组网方案中，内网用户不仅通过路由接入Internet、内网用户之间也通过三层交换机上的路由功能进行数据包交换。2.1.2交换技术传统意义上的数据交换发生在OSI模型的第二层，现在交换技术还实现了第三层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了园区网数据交换服务质量，满足了不同类型网络应用程序的需要。2.1.2.1 VLAN 现代交换网络还引入了虚拟局域网（Virtual Local Area Network，VLAN）的概念。VLAN技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻

21、辑的LAN-VLAN，在每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内VLAN的主要特性有：1、 限制广播广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。2、 增强局域网的安全性不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。3、 VLAN是在数据链路层的，划分子网是在网络层的，所以不同子网之间的VLAN即使是同名也不可以相互通信。VLAN的划分依据从技术角度讲，VLAN的

22、划分可以依据不同原则，一般以下三种划分方法：1、 基于端口的VLAN划分这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法，该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。2、 基于MAC地址的VLAN划分MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是唯一且固化在网卡上的，MAC地址由12位16进制数表示，前6位为网卡的厂商标识（OUI），后6位为网卡的标识（NIC），网络管理员可以按MAC地址把一些站点划分为一个逻辑子网。3、 基于路由的VLAN划分路由协议工作在网络层，相应的工作设备有路由器和路由交换机（

23、却三层交换机），该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。目前来说，对于VLAN的划分主要采取上述1、3种方式，第2种方式为辅助性的方案。2.1.2.2 VTP协议当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（Vlan Trunking Protocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN，然后通过VTP协议将VLAN定义传播到本征管理域中的所有交换机上，这样，大大减轻了网络管理人员的工作负担和工作强度。VTP（Vlan Trunking Protocol）：是VLAN中继协议，也被称为虚拟局域网干道协议。它是一个OSI参

24、考模型第二层的通信协议，主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名，在一台VTP Server上配置一个新的VLAN时，该VLAN的配置信息将自动传播到本域内的其他所有交换机，这些交换机会自动地接收这些配置信息，使其VLAN的配置与VTP Server保持一致，从而减少在钓鱼台设备上配置同一个VLAN信息的工作量，而且保持了VLAN配置的统一性。VTP通过网络（ISL帧或cisco私有DTP帧）保持VLAN配置统一性，VTP在系统级管理增加、删除，调整的VLAN，自动地将信息向网络中其它的交换机广播，此外，VTP减小了那些可能导致安全问题的配置，使用BTP便于管理，只要在

25、VTP Server做相应设备，VTP Client会自动学习VTP Server上的VLAN信息。VTP有三种工作模式：VTP Server、VTP Client和VTP Transparent，如下图所示，一般，一个VTP域内的整个网络只设一个VTP Server，VTP Server维护该VTP域中所有VLAN信息列表，VTP Server要吧建立、删除或修改VLAN，VTP Client虽然也维护所有VLAN信息列表，但其VLAN的配置信息是从VTP Server学到的，VTP Client不能建立、删除或修改VLAN，VTP Transparent相当于是-上独立的交换机，它不参与V

26、TP工作，不从VTP Server学习VLAN的配置信息，而只拥有本设备上自己维护的VLAN信息。VTP Transparent可以建立、删除和修改本机上的VLAN信息，所下图2-1 VTP模式所示：图2-1 VTP模式2.1.2.3 生成树协议企业网络首要关心的就是高可用性，它在很大程度上依赖于处理业务的多层交换网络，确保高可用性的方法之一就是在整个网络中提供设备、模块和链路的冗余，但是，第二层的网络冗余可能传导致潜在的桥接环路，数据包将在设备之间无休止地循环，进而破坏网络的正常工作能力。STP能够识别并防止这种第二层环路，STP使用根网桥、要端口和指定端口等概念建立网络的无环路径。STP能

27、够克服冗余网络中透明度桥接的问题，通过采用无环路径，STP能够避免和消除网络中的环路，STP可以通过判断网络中存在环路的地方并阻断冗余链路，从而达到上述目的，确保到每个目标都只有一条路径，所以永远不会产生环路，如果发生某条链路失效情况，那么网桥就会将接口从阻塞状态过渡到转发状态。园区网内部部署方式为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换的部署是分层进行的，园区网数据交换设备可以划分为三个层次：接入层、分布层、核心层。接入层为所有的终端用户提供一个接入点；分布层除了将接入层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能；核心层将各分布层交换机互连起来进行

28、穿越园区网骨干的高速数据交换。2.1.3远程访问技术远程访问也是园区网络必须提供的服务之一，它可以为家庭办公用户和出差在外的员工提供移动接入服务。VPN（Virtual Private Network）即虚拟专用网是在公共网络上建立的专用网络，但其任意2个结点间的连接并没有传统专用网络所需的点到点的物理链路，而是架构在公共网络（Internet）服务商（ISP）所提供网络平台上的逻辑网络，用户数据通过ISP在公共网络中建立的逻辑隧道（Tunnel），即点到点的虚拟专线进行传输，通过加密技术和认证技术，确保企业内部网络数据在公共网络上安全传输，真正实现网络数据的专有性。VPN远程接入方式最适用于

29、企业经常有人员出差需实现远程办公的情况，出差员工利用当地ISP提供的上网服务，即可与企业VPN网关建立私有隧道连接。VPN远程接入方式有以下主要优势：简化网络：只需要接入1台VPN网关设备，即可解决几十到几千人的远程接入问题。节省费用：利用本地拨号接入取代远距离接入或800电话接入，显著降低长途通信费用，减少了用于购置调制解调器和终端服务设备的费用。支持多种标准认证机制如LDAP、RADIUS等。多接接入方式：无论用户采用那种方式访问互联网，均可建立VPN连接；自由选择规模：无论企业大小，VPN都有相对应的产品，用户数可为55000个；具有高可用性：对于接入用户较多的企业，VPN支持远程接入的

30、高可用模式，保障用户服务的连贯性。Easy VPN是CISCO的一种特征,它允许使用CISCO VPN客户端软件一类实施IPSec远程访问设备。由于可以使用CISCO路由器或者PIX来配置Easy VPN服务器，而不需要另外增加其他设备，对于已经拥有一台大容量的边缘路由，而且仅需要少量的远程访问用户的企业来说，这无疑在保证了远程访问的高安全性的前提下，可以在成本控制上有更大的优势。这也是本设计方案所采用它作为远程访问方式的原因。2.1.4热备份路由协议（HSRP）随着Internet的日益普及，人们对网络的依赖性也越来越强，这同时对网络的稳定性提出了更高的要求，人们自然想到了基于设备的备份结构

31、，就像在服务器中为提高数据的安全性而采用双硬盘结构一样，路由器是整个网络的核心和心脏，如果路由器发生致命性的故障，将导致本地网络的瘫痪，如果是骨干路由器，影响的范围将更大，所造成的损失也是难以估计的，因此，对路由器采用热备份是提高网络可靠性的必然选择，在一个路由器完全不能工作的情况下，它的全部功能便被系统中的另一个备份路由器完全接管，直至出现问题的路由器恢复正常，这就是热备份路由协议（Hot Standby Router Protocal），HSRP RFC2281技术要解决的问题，如下图2-2 HSRP热备一所示：图2-2 HSRP热备一热备份路由器协议（HSRP）是思科私有的协议，它的设计

32、目标是支持特定情况下IP流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性，负责转发数据包的路由器称之为主动路由器（Active Router）。一旦主动路由器出现故障，HSRP将激活备份路由器（Standby Routers）取代主动路由器，HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的IP地址作为网络系统的缺省网关地址。如果主动路由器出现故障，备份路由器（Standby Routers）承接主动路由器的所有任务，并且不会导致主机连通中断现象。2.2本章小结本章介绍了Cisco对中小型企业的架构

33、、对中小型企业复合网络模型建设；还介绍了当今组建中小型企业园区网络的主要技术，包括了路由技术、交换技术、VLAN技术、远程访问技术及冗余热备份技术等，这些都是在组建一个高可用性企业网络中必须涉及的相关技术第三章 企业网络总体设计方案3.1总体需求分析企业网络的总体需求即是一个统一、可靠和安全的自动化办公硬件平台系统。这个企业网络系统必须满足如下几点：满足现代企业管理的统一，设计网络系统时增加对统一管理的要求；满足现代企业自动化办公对网络带宽的苛刻需求，提供高性能的网络处理能力；满足现代企业部门多，资源分配有限的现状，合理规划网络层次，实现最优的资源共享；满足现代企业的发展及科技进步的需要，提供

34、拓展能力强、升级灵活的网络环境；满足现代企业对信息资源的共享与安全，提供完善的网络安全解决方案；满足现代企业对办公效率及成本控制的需求，增加一套高效的网络应用解决方案。3.2具体需求3.2.1息信流分析1). 在该企业网中发生的信息流主要包括二个部分：管理过程信息流和Internet信息流；2).管理过程信息流包括：各种生产控制管理信息流和行政办公信息流；3).各种生产控制管理信息流通过在企业园区网上运行的综合信息管理及业务系统，包括企业的生产管理和日常的管理实现办公自动化，如企业ERP系统管理、OA流程管理和人事管理、财务管理、固定资产管理等，同时可在网上进行信息发布；4). Interne

35、t信息流主要建立在宽带、结构简化、综合业务应用齐全的IP基础网上或企业园区DMZ区域网上，提供企业园区网或广域网资源信息的传递和共享。此类数据流为载有语音、数据和视频信息的IP流。1). 场部、开发部、策划部、客户中心、采购部。3.2.2业务需求1). 数据处理及通讯能力强，响应速度快；2). 网络运行安全、可靠性高，即使发生攻击行为，保证可追溯、可跟踪；3). 系统易扩充，易管理，便于用户的增加；4). 主干网支持多媒体、群体、图象接口应用，支持高性能数据库软件包的持续增长；5). 系统开放性、互连性好；6). 局域网既能方便远程用户的拨号接入，又能满足特殊用户高效地连入广域网，使用灵活；7

36、). 具有很强的分布式数据处理能力。3.2.3外部需求1). 外部需求应包括以下几个：Internet访问、远程访问、电子邮件、以多媒体方式介绍企业、讨论和交流、WEB信息发布及FTP文件共享，各项均可通过相应的网络信息平台实现；2). 企业的网络化建设必然会对企业的信息化建设起到巨大的推动作用，同时提供简单、有效、便捷的理想办公、管理及生产环境。3.2.4网络需求分析根据该企业应用需求进行分析，最终决定采用以下网络部署方案解决该企业的各项需求：1). 将各个部门划分在不同的VLAN，包括服务器群和管理VLAN一共需要7个VLAN；2). 将WEB服务、邮件服务器、FTP服务器及业务应用系统服

37、务器直接与核心交换机CISCO 4501连接，置于管理机房，方便管理，同时配置ACL控制各部门访问权限并阻止外网访问；3). 在路由器上配置Easy VPN，用以实现出差工作人员及在家办公人员远程访问企业内部资源及数据交换；4). 为实现网络的冗余设计，在核心层部署时，用两台三层交换机实现HSRP功能。3.3网络拓扑设计本设计中用的到的设备采用Cisco公司的网络设备构建。全部网络设备使用同一厂商设备的主要原因是在于可以实现各种不同网络设备功能的兼容以及互相配合和补充。设计的网络拓扑设计图如图3-1所示。图3-1 网络拓扑设计图在图3.1的拓扑中其园区主干没有十分明确的三层设计区分，在功能配置

38、基本上是紧缩到一层中去（即Core Switch所在层）出于可扩展性、一次性投资成本、网络的传输性能及长远规划等方面因素考虑，前期先采用堆叠模式即可满足所有用户的接入问题，当用户增加到一定的数量之后，出于交换机堆叠数量的限制，可以选择增加多一台建筑物分布子模块来做汇聚的交换设备，这样一样可以做到后续有很强的扩展性。以这个设计方案而言，因为能提供交换机和链路冗余，所在园区主干子模块不包含任何的单点故障。它采用了星形拓朴结构，它相对其他拓朴结构来说，星形拓朴将用户接入网络时具有更大的灵活性。当系统不断发展或系统发生重大变化时，这种优点将变得更加突出。在接入层，交换机通过生成树提供第二层冗余。此交换

39、机仅有缺点就是最高只能32Gbit/s交换阵列，并且最多只能支持48个快速以太网端口，但是这对于资金有限的中小型企业网来说已经满足需求了。在核心层采用三层交换机部署，可以增加网络扩展性，提高性能及可用性，增强网络安全性。在该设计中，利用快速以太网通道化/千兆以太网通道化技术扩展网络带宽，可以满足内部网络的大负荷网络运行需求。3.4IP编址方案及VLAN划分IP地址规划根据所分配的公网IP地址和内部私有网IP地址分配，地址可分为二大块，一块是分配多个C类公网IP地址，作为和国际互联网互连的地址，一部分企业相关的域名就解析在这片地址上，同时提供给企业用户上网时的NAT转换用，如果条件允许，可以申请

40、多个运营商的线路，关键服务器及应用可以拥有两条线路的公网IP，分别跨接在不同的运营商上进行相互备份。当前交换技术的迅速发展，也加快了虚拟子网技术(VLANVirtual Local Area Network)的应用速度，特别是在当前企业网上的应用更广泛。通过将企业网络划分为虚拟子网（VLAN），可以强化网络管理和网络安全，控制不必要的数据广播。数据广播在网络中起着非常重要的作用，随着企业网内的计算机数量的增加，广播包的数量也会急剧增加，当广播包的数量占到总量的30%时，网络的传输效率将会明显下降。特别是当某网络设备出现故障后，会不停地向网络发送广播，从而导致网络风暴，使网络通信陷于瘫痪。当企业

41、网络内计算机数超过200台后，就必须采取措施将网络分隔开来，将一个大的广播域划分成若干个小的广播域。表3.1 VLAN及IP编址方案VLAN号名称IP网段默认网关说明VLAN10部门单位1Units1192.168.10.0/24192.168.10.1允许访问服务器群网段、外网禁止部门间互访VLAN20部门单位2Units2192.168.20.0/24192.168.20.1允许访问服务器群网段、外网禁止部门间互访VLAN30部门单位3Units3192.168.30.0/24192.168.30.1允许访问服务器群网段、外网禁止部门间互访VLAN22网管部门NetMag192.168.2

42、2.0/24192.168.22.1允许（发起）访问公司各个VLAN、外网VLAN40部门单位4Units4192.168.40.0/24192.168.40.1允许访问服务器群网段、外网禁止部门间互访VLAN60服务器群Servers192.168.60.0/24192.168.60.1不允许主动发起连接，除email/FTP服务器相关协议外外部服务器群PublicSer192.168.70.0/24192.168.70.1不允许主动发起连接，除email/FTP服务器相关协议外3.5核心层设计及设备选型3.5.1园区主干交换机企业网是各种应用的统一通信平台，园区主干设备应有一定的冗余度，这

43、种冗余包括有设备级及物理线路等方面，数据链路层、网络层以及应用层的容错能力。企业园物理结构分为三层：核心层、汇聚层、接入层。园区主干网中心节点配置核心路由交换机，该交换机上配置第三层交换模块和网络监控模块，因此本次方案设计采用Catalyst 3560交换机以保证建筑楼信息点对交换机端口密度的要求和网络性能与可靠性的要求。园区主干网核心层交换机和汇聚层交换机采用1000Mbps连接。3.5.2出口路由器在此方案中，考虑该企业Internet出口路由器的配置，采用一台CISCO2811路由器，因为CISCO 2811系列是模块化设备，提供了更多的槽和更高的处理能力，它的用途是支持大型分支机构中的

44、复杂应用，或作为中心路由器为多个远程站点提供连接，它的网络模块最高可支持OC-3的速度，且对大多数企业具有丰富的可提高扩展能力。3.5.3服务器群组服务器是网络服务器用量最大的地方。服务器的选择标准很大程度上取决于中心客户的类型和应用种类。就大部分中小型企业应用而言，Web、ERP应用和数据库应用仍然占整个数据中心的各类应用的主要部分。因此对服务器的网络响应能力在很大程度上体现了服务器的硬件体系结构设计的合理性、CPU或CPU组（SMP）对操作系统的进程或线程的分配能力以及磁盘I/O的性能。以及可行性与稳定性，同时散热、功耗和易安装性也是重点考察和评价的对象。基于以上考虑，所选的服务器必须具有

45、高可靠性，I/O吞吐能力强，数据处理快，可扩展性和可管理性良好的特点。3.6接入层设计及设备选型接入层选用Catalyst 2960可堆叠交换机作为用户的接入，这些交换机通常作为建筑物接入交换机而部署，能够提供固定的端口密度，并且具有与高端交换机相类似的特性，但其成本更低，但它们却支持非常多的高级交换特性，其中包括集成安全、NAC、高级Qos和弹性等；同时这些交换机具有固定的端口配置，具有24个或48个10/100BASE-T或10/100/1000BASE-T端口，以及双目标特以太网上行链路，既可以使用铜或光纤上行链路，也可以使用一个10/100/1000以太网端口和一个SFP吉比特以太网端口的组合。使用Catalyst 2960作为本方案设计的接入交换机，它支持全线速的二层交换，同时具备如下特性：完备的安全智能