【正文】 務器交易。 隨 著 時 代 的 進 步 ， 安 全 也 成 為 一 個 迫 在 眉 睫 的 關 鍵所 在 ， 于 是 便 有 了 VLAN 和 冗 余 等 技 術 的 出 現(xiàn) 。 畢業(yè)設計說明書(論文）作 者： 學 號： 系 部： 專 業(yè)： 計算機科學與技術 題 目： 企業(yè)網(wǎng)的設計與規(guī)劃 畢 業(yè) 設 計 說 明 書 （ 論 文 ） 中 文 摘 要 摘 要企 業(yè) 不 斷 發(fā) 展 的 同 時 其 網(wǎng) 絡 規(guī) 模 也 在 不 斷 擴 大 ， 復 雜 的 網(wǎng) 絡 面 臨 更 多 的安 全 問 題 。 通 過 最 少 的 配 置 量 來 達 到 最好 的 效 果 ， 并 進 行 相 應 的 優(yōu) 化 ， 仔 細 規(guī) 劃 配 置 方 案 ， 確 保 做 到 首 尾 兼 顧 。例如，服務器集群的部署不斷增加，導致服務間流量隨之不斷增長?，F(xiàn)在，應用性能和網(wǎng)絡性能均為企業(yè)測量的目標，這意味著帶寬和延遲都非常重要。這就要求網(wǎng)絡架構非常靈活，并且具備出色網(wǎng)絡智能，以支持、發(fā)現(xiàn)和響應網(wǎng)絡情況的變化。通過以太網(wǎng)傳輸?shù)墓饫w通道流量就是要求無丟包服務的一個典型示例。隨著中心網(wǎng)絡不斷擴展，以及客戶增添越來越多的服務器和交換機，原本已經(jīng)非常龐大的現(xiàn)有扁平式第二層網(wǎng)絡正在變得更加龐大，并且這一趨勢已成為一種普遍現(xiàn)象。 1）可管理:該企業(yè)網(wǎng)絡是一個龐大而且復雜的網(wǎng)絡，為了保障網(wǎng)絡的正常使用以及設備的良好維護需要一個功能強大，具有分級、分權管理能力的網(wǎng)管系統(tǒng)，實現(xiàn)統(tǒng)一的網(wǎng)絡業(yè)務調(diào)度和管理，降低網(wǎng)絡運營成本。確保新建網(wǎng)絡在 3～5 年內(nèi)的使用價值。4）可擴展與成熟性:企業(yè)網(wǎng)絡要建設成完整統(tǒng)一、組網(wǎng)靈活、易擴充的彈性網(wǎng)絡平臺，要具有可擴展性和可升級性。 網(wǎng) 絡 系 統(tǒng) 結 構 初 步 規(guī) 劃首先根據(jù)需求構建網(wǎng)絡拓撲，考慮到數(shù)據(jù)傳輸?shù)姆€(wěn)定及安全性，這里采用三層架構體系，劃分為核心層、匯聚層、接入層。2）匯聚層：每個匯聚節(jié)點的匯聚交換機通過 2 個快速以太口與企業(yè)數(shù)據(jù)中心的 2 臺核心交換機相聯(lián)，構成雙核心，雙歸屬的骨干網(wǎng)絡。拓撲圖如圖 11 所示。3) 采用安全措施，實現(xiàn)與 Inter 的安全連接，同時對外提供服務。為此應選用高帶寬的先進技術。(5) 易管理、易維護由于企業(yè)的網(wǎng)絡系統(tǒng)規(guī)模龐大，需要網(wǎng)絡系統(tǒng)具有良好的可管理性，網(wǎng)管系統(tǒng)具有監(jiān)測、故障診斷、故障隔離、過濾設置等功能，以便于系統(tǒng)的管理和維護。 企 業(yè) 對 業(yè) 務 的 需 求 情 況網(wǎng)絡事支撐企業(yè)各種業(yè)務的基礎設施。 （如計算機硬盤、軟驅(qū)、光驅(qū)、刻錄機,各類軟件和文本文件、打印機、 掃描儀、調(diào)制解調(diào)器等 I/O 設備）當然隨著網(wǎng)絡設計過程的接入，我們的設計也許會有一定的調(diào)整。當然我們將提供防火墻等安全設備，保障用戶信息，物理資源的機密性，網(wǎng)整性和確實性，提供一定的數(shù)據(jù)加密、自動備份、發(fā)生問題的恢復等。企業(yè)的用戶群包括管理層，普通用戶群的也用代表，在與用戶群的適當?shù)慕涣靼▎柧碚{(diào)查，集中訪談，個人采訪中我們發(fā)現(xiàn)， “快”是多數(shù)用戶對網(wǎng)絡響應的要求了，其中包括下載速度、連接速度等，我們將為核心設備提供冗余，以盡量保障系統(tǒng)的 %的可靠性，同時我們將根據(jù)企業(yè)的需求，為用戶停工遠程登錄，文件傳輸服務，在年底企業(yè)統(tǒng)計全年信息時候會出現(xiàn)企業(yè)通訊高峰時間，我們的服務器將以滿足高峰期通訊為基礎選型的。按照需求分層設計。這個產(chǎn)品系列采用了最新的思科 StackWise 智能堆疊技術，不但實現(xiàn)高達 32Gbps 的堆疊互聯(lián)，還從物理上到邏輯上使若干獨立交換機在堆疊時集成在一起，便于用戶建立一個統(tǒng)一、高度靈活的交換系統(tǒng) 就好像是一整臺交換機一樣。 3750 系列可以使用標準多層軟件鏡像（SMI）或者增強多層軟件鏡像（EMI） 。 匯 聚 層 設 計匯聚層在骨干網(wǎng)絡中起到承上啟下的作用，應具備可靠性、高性能和多業(yè)務兼顧的特點。具有良好的端點控制能力，支持豐富的 MAC、IP、端口的靈活綁定。我們采用路由器+防火墻+入侵防御系統(tǒng)（IPS）的方式來構建對外訪問區(qū)。(2) 強大的 NAT 能力：CISCO 1841 設備具備并發(fā) NAT 連接的能力，且支持豐富的 NAT 特性，提供 NAT 日志的輸出，可配合日志審計系統(tǒng)，做到對于對外訪問的紀錄和跟蹤。配置策略偏重安全區(qū)劃分，安全抵御由入侵防御系統(tǒng)著重完成。它采用了基于 Web 的客戶端/服務器模式，也可以與其它廠商的網(wǎng)絡管理工具集成使用。這些工具包括錯誤管理，網(wǎng)絡拓撲的察看，設備配置的管理，二層/三層路由分析，語音路由追蹤，流量監(jiān)測，端站點的流量追蹤，設備的排錯等等。 思科174。 ACS (ACS)是具高可擴展性的高性能訪問控制服務器，可作為集中的 RADIUS 和 TACACS+ 服務器運行。通過對所有用戶帳戶使用一個集中數(shù)據(jù)庫，Cisco Secure ACS 可集中控制所有的用戶權限并將他們分配到網(wǎng)絡中的幾百甚至幾千個接入點。 Cisco Secure ACS 是思科基于身份的網(wǎng)絡服務(IBNS)架構的重要組件。 安全監(jiān)控分析和響應系統(tǒng)(MARS) 是一個高性能、可擴展的威脅管理、監(jiān)控和防御設備系列，將傳統(tǒng)安全事件監(jiān)控與網(wǎng)絡智能、上下文關聯(lián)、因素分析異常流量檢測、熱點識別和自動防御功能相結合，可幫助客戶更為高效地使用絡和安全設備。企業(yè)網(wǎng) IP地址的分配應該盡可能地利用申請到的地址空間，充分考慮到地址空間的合理使用，保證實現(xiàn)最佳的網(wǎng)絡內(nèi)地址分配及業(yè)務流量的均勻分布。地區(qū)位（8 位）. 業(yè)務功能位（8 位）. 子網(wǎng)位 主機位資源中心公共服務器盡量采用合法 IP 地址；企業(yè)網(wǎng)所有網(wǎng)絡設備均配置內(nèi)部管理 IP 地址，防止非法用戶登錄。而企業(yè)網(wǎng)是基于這個交換架構的網(wǎng)絡，因此在交換式的網(wǎng)絡中有眾多技術 VLAN， VTP，TRUNK，三層交換，STP，HSRP/VRRP，ETHERCHANNEL 、DHCP，Multi PPP 等。該方法只需網(wǎng)絡管理員對網(wǎng)絡設備的交換端口進行重新分配即可，不用考慮該端口所連接的設備。 (3) 基于路由協(xié)議的 VLAN 劃分 路由協(xié)議工作在網(wǎng)絡層，相應的工作設備有路由器和路由交換機（即三層交換機） 。它是一個 OSI 參考模型第二層的通信協(xié)議，主要用于管理在同一個域的網(wǎng)絡范圍內(nèi) VLANs 的建立、刪除和重命名。 一般，一個 VTP 域內(nèi)的整個網(wǎng)絡只設一個 VTP Server。VTP Transparent 可以建立、刪除和修改本機上的 VLAN 信息。 4) 三層交換 第三層交換的實質(zhì)是路由，類似于 IP 子網(wǎng)間的數(shù)據(jù)交換機制。本次方案中選擇的Catalyst3560交換機支持VLAN技術，可以提供Layer3(網(wǎng)絡層)的線速路由（三層交換） ，使系統(tǒng)性能與安全性獲得最佳平衡。為使以太網(wǎng)更好地工作，兩個工作站之間只能有一條活動路徑。它是在用戶與網(wǎng)絡接口之間提供用戶信息流的雙向傳送，并保持順序不變的一種承載業(yè)務。幀中繼網(wǎng)路提供基本業(yè)務和用戶選用業(yè)務。HSRP 協(xié)議只支持一個路由器代表虛擬路由器實現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過程。HSRP 協(xié)議提供了一種決定使用主動路由器還是備份路由器的機制，并指定一個虛擬的 IP 地址作為網(wǎng)絡系統(tǒng)的缺省網(wǎng)關地址。8) DHCP 動態(tài)主機配置協(xié)議（DHCP）是一種使網(wǎng)絡管理員能夠集中管理和自動分配 IP 網(wǎng)絡地址的通信協(xié)議。DHCP 使用了租約的概念，或稱為計算機 IP 地址的有效期。 路 由 協(xié) 議 選 擇在設計大中型網(wǎng)絡時，由于靜態(tài)路由協(xié)議設置麻煩、對網(wǎng)絡的變化適應性差，一般不予采用，而今作為路由設計的補充。路由收斂較慢，此算法將經(jīng)歷 Holddown(180S)的周期。一般網(wǎng)絡的路由器數(shù)目少于 20 個。路由收斂較快，在路徑的選擇中，metric 主要考慮鏈路的延遲，支持相同cost 的多條鏈路路由，較好地實現(xiàn)負載均衡。 IGRPIGRP 是 Distance Vector 路由協(xié)議，由 CISCO 開發(fā)，用于大型 IP 及 OSI 網(wǎng)絡，有以下特點：不支持 VLSM（Variable Length Sub Mask)，不可能有效地利用 IP 地址。 EIGRPEIGRP 是 intradomain，先進的 Distance Vector 路由協(xié)議，由 CISCO 開發(fā)和支持：結合了距離向量(DV)協(xié)議和連接狀態(tài)(LS)協(xié)議的優(yōu)點，采用了 DUAL 算法達到網(wǎng)絡的快速收斂。它采用模塊化軟件支持 IP、IPX 和 AT 協(xié)議。但 EIGRP 屬于 Cisco 公司專有的路由協(xié)議，兼容性較差。同時配合國家數(shù)據(jù)及主控中心、各省及控制中心啟動 OSPF 動態(tài)路由協(xié)議，并做好相應的路由協(xié)議參數(shù)配置，從而實現(xiàn)全網(wǎng)統(tǒng)一的大的 OSPF 動態(tài)路由網(wǎng)絡。如果不同的路徑有相同 cost，那么 OSPF 可以在這些不同的路徑上實現(xiàn)負載均衡。在最大程度上保證了用戶業(yè)務正常運行。（3） 防火墻路由器 IP 地址為：,。一個 ACL 就是一組指令，規(guī)定數(shù)據(jù)報如何進入路由器的某個端口、如何在路由器內(nèi)轉(zhuǎn)送、如何離開路由器的某個端口?！?) 擴展 ACL——擴展 ACL 通過比較 IP 數(shù)據(jù)包中源地址、目的地址與 ACL 中配置地址的差別來控制流量。5) 注釋 IP ACL 目錄——注釋使得 ACL 更加容易理解并且可以方便地應用于標準或擴展的 ACL 中。當檢測到某個指令條件滿足的時候，就不會再檢測后面的指令條件。使用標準版本的 accesslist 全局配置命令來定義一個帶有數(shù)字的標準ACL，命令如下： Router(config) accesslist accesslistnumber {deny | permit} source [sourcewildcard ] 圖 41 ACL的種類使用這個命令的 no 形式，可以刪除一個標準 ACL，如圖 42 所示。若通配掩碼某位是 0，表示檢查相應 bit 位的值；反之，若通配掩碼某位是 1，表示忽略相應位的值。 any 命 令假如想讓任何目標地址都被允許，為了檢查任何地址，需要輸入 。 故 障 預 防維護一個系統(tǒng)的關鍵在于系統(tǒng)的維護和故障預防，而不是在故障發(fā)生后去挽救。 系 統(tǒng) 應 急即使有完善的預防措施，仍然有隨時發(fā)生意外的可能性，這就要求有系統(tǒng)應急策略，盡量減少系統(tǒng)停機時間，盡快恢復系統(tǒng)運轉(zhuǎn)。2) 時間安排對于突發(fā)事件的響應不受工作日與非工作日的限制。在工程結束進入維護期后，將向用戶定向提交應急工程師的工作檔案和聯(lián)系方式，并經(jīng)常更新工程師信息，以保持聯(lián)系人員的可用性。通過各級備品/備件庫、產(chǎn)品中心、各廠商支援中心，以最快的速度幫助用戶恢復系統(tǒng)運轉(zhuǎn)。此外，新的企業(yè)網(wǎng)還必須能經(jīng)濟有效地進行擴充，靈活的適應新的需求，并能運用虛擬化等新技術，而無需整個進行重新設計。做到了把理論知識運用到了實際。通過這次設計培養(yǎng)了我各方面的能力，特別是如何獨立的分析、解決問題的能力，最后還要感謝我系的領導、老師們的熱心關懷與幫助，謝謝你們?yōu)槲姨峁┝艘粋€良好的硬件、軟件環(huán)境，使我的設計能按時按量的完成！參考文獻[01] 《 計 算 機 網(wǎng) 絡 》 大 連 理 工 大 學 出 版 社 謝 希 人 2022[02] 《 局 域 網(wǎng) 組 網(wǎng) 技 術 》 人 民 郵 電 出 版 社 侯 中 俊 2022[03] 《 網(wǎng) 絡 連 接 設 備 的 原 理 和 實 用 技 術 》 電 子 工 業(yè) 出 版 社 魯 士 文 2022[04] 《 計 算 機 網(wǎng) 絡 工 程 實 用 教 程 》 電 子 工 業(yè) 出 版 社 石 炎 生 2022[05] CCNP 學 習 指 南 《 組 建 可 擴 展 的 CISCO 互 連 網(wǎng) 絡 》 （ 美 ） DIane Teare 著 [06] CCNP 學 習 指 南 《 組 建 CISCO 多 層 交 換 網(wǎng) 絡 》 （ 美 ） Richard Froom 著[07] 《 網(wǎng) 絡 技 術 基 礎 》 （ 第 六 版 ） ， 北 京 人 民 郵 電 出 版 社 ， 作 者 毛 漢 書 2022[08] 《 計 算 機 網(wǎng) 絡 技 術 與 應 用 》 （ 第 4 版 ） ， 上 海 交 通 大 學 出 版 社 ， 作 者 凌 船 繁 2022[09] 《 局 域 網(wǎng) 組 網(wǎng) 案 例 精 編 》 北 京 ： 中 國 水 利 水 電 出 版 社 作 者 金 鋼善 2022[10] 《 TCP/IP 路 由 技 術 》 第 一 卷 (美 ） 多 伊 爾 （ .)著 北 京 人民 郵 電 出 版 社[11] 《 TCP/IP 路 由 技 術 》 第 二 卷 (美 )多 伊 爾 （ .)著 北 京 人民 郵 電 出 版 社附錄 A實際拓撲圖附錄 B工程軟硬件清單及設備性價比對比核心層設備CISCO WSC3750G12SS 思科核心層交換機主要參數(shù)交換機類型 企業(yè)級交換機應用層級 三層傳輸速率 10Mbps/100Mbps/1000Mbps端口結構 非模塊化端口數(shù)量 12個傳輸模式 支持全雙工配置形式 可堆疊交換方式 存儲轉(zhuǎn)發(fā)背板帶寬 32Gbps包轉(zhuǎn)發(fā)率 VLAN 支持 支持QoS 支持 支持網(wǎng)管支持 支持