【正文】 IP protocol and the pletion of the enterprise internal network. This technology allows interoperability of different puter platforms, and do not have to consider its position. That is what the user can visit any or from any puter access. From the start the whole enterprise class network needs analysis, based on the mainstream stage cisco network equipment pany selection, with the goal to build the most suitable network topology, designed with network technology. As part of this implementation to build the simulator GNS3 network topology, the use of cisco device operating systems for all equipment within the core topology IOS, routers and switches using SecureCRT for the configuration, and view the experimental results to verify that the network meets business needs.Keywords：Enterprise networks, Topology, Redundancy, Routing, Switching目錄第1章 緒論 1 1 2第2章 關(guān)鍵的網(wǎng)絡(luò)技術(shù)原理 3 大型企業(yè)網(wǎng)絡(luò)的定位 3 關(guān)鍵技術(shù)研究 3 3 4 遠程訪問技術(shù) 4 VLAN 4 DHCP 5 GRE 5 VPN 6 PVST 6 HSRP 7 AAA認證 7第3章 大型企業(yè)網(wǎng)絡(luò)需求分析 9 案例分析 9 大型企業(yè)網(wǎng)絡(luò)分析 11 寬帶性能需求 11 穩(wěn)定可靠需求 11 服務(wù)質(zhì)量需求 12 網(wǎng)絡(luò)安全需求 12 應(yīng)用服務(wù)需求 12 本課題系統(tǒng)需求分析 13第4章 網(wǎng)絡(luò)系統(tǒng)實現(xiàn) 14 大型企業(yè)網(wǎng)絡(luò)拓撲圖 14 VLAN及IP地址的規(guī)劃 14 關(guān)鍵網(wǎng)絡(luò)設(shè)備及數(shù)量 15 關(guān)鍵網(wǎng)絡(luò)設(shè)備介紹 16 18 基礎(chǔ)配置 18 使用VTP 19 劃分VLAN 21 交換鏈路封裝 22 PVST技術(shù) 23 PVST的三個FAST 23 DHCP 24 HSRP 26 根防護 27 路由協(xié)議 27 GREVPN 29 AAA服務(wù)器 31 PBR 20M專線 31 網(wǎng)管控制 32 33 施工管理 34 施工前準備 34 設(shè)備及材料 34 施工過程管理 34 施工完成后質(zhì)量的檢查和驗收 34 施工步驟 35第5章 網(wǎng)絡(luò)效果驗證 36 關(guān)鍵三層設(shè)備路由表 36 接入路由器R1路由表 36 核心層交換機HX1路由表 37 匯聚層交換機FB1路由表 38 39 本部接入層交換機SW1訪問服務(wù)器 39 外地分公司R4訪問服務(wù)器 39 外地分公司SW10訪問本部接入交換機 39 VPN效果驗證 40第6章 結(jié)束語 41致謝 42參考文獻 43附錄 44第1章 緒論今天，迅速發(fā)展的Internet正在對全世界的信息產(chǎn)業(yè)帶來巨大的變革和深遠的影響。國內(nèi)越來越多的企業(yè)也已經(jīng)或正在考慮使用Internet/Intranet技術(shù),以建設(shè)企業(yè)規(guī)劃化的信息處理系統(tǒng)。對于規(guī)模較大的企業(yè)來說，這一點尤為重要。所以對于這些大型企業(yè)的網(wǎng)絡(luò)設(shè)計必須考慮到流量等細節(jié)問題。在企業(yè)的某些關(guān)鍵部門（如財務(wù)科等），如果有不法分子利用網(wǎng)絡(luò)中的漏洞修改或者竊取商業(yè)機密文件，也會對企業(yè)自身造成不可挽回的甚至是毀滅性的危害。企業(yè)內(nèi)部網(wǎng)（Intranet）是國際互連網(wǎng)（Internet）技術(shù)在企業(yè)內(nèi)部或封閉的用戶群內(nèi)的應(yīng)用?；谶@種種的現(xiàn)實問題，企業(yè)必須從企業(yè)局域網(wǎng)的概念及相關(guān)計算機網(wǎng)絡(luò)技術(shù)入手，詳細地設(shè)計企業(yè)網(wǎng)建設(shè)的實施方案及建設(shè)規(guī)劃,以達到先進、安全、實用、比較各種組網(wǎng)技術(shù)，從實用角度論述局域網(wǎng)主干網(wǎng)選擇，綜合布線，各種設(shè)備選擇，網(wǎng)絡(luò)安全，網(wǎng)絡(luò)管理等方面。遠程企業(yè)對網(wǎng)絡(luò)的需求是：通過internet接入, 在整個公司實現(xiàn)數(shù)據(jù)快速傳輸、辦公自動化,最終實現(xiàn)企業(yè)無紙化辦公；企業(yè)擁有自己的ip地址和域名,在公司主機上建立網(wǎng)站,向外界宣傳企業(yè)形象、公司各項業(yè)務(wù)、活動及最新成果等；以ip電話方式節(jié)省企業(yè)大部分的長途話費,亦可通過ip網(wǎng)絡(luò)來實現(xiàn)視頻會議；整個公司需要一個運行可靠、費用合理的通信系統(tǒng)；實現(xiàn)telnet等網(wǎng)絡(luò)服務(wù)；建立一個功能全面、使用方便的管理信息系統(tǒng),使總公司與各地分支機構(gòu)之間的業(yè)務(wù)審批電子化,各項工作能夠協(xié)同完成。企業(yè)網(wǎng)是企業(yè)內(nèi)各部門的橋接區(qū)，主要完成接入網(wǎng)中的子公司和工作人員與企業(yè)骨干業(yè)務(wù)網(wǎng)絡(luò)之間全方位的互通。因為每個廠家都有屬于自己的EIGRP、HDLC所以不同廠家的設(shè)備就不能使用這些網(wǎng)絡(luò)協(xié)議。在本工程案例設(shè)計中，內(nèi)網(wǎng)用戶不僅通過路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過3層交換機上的路由功能進行數(shù)據(jù)包交換。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進行通信時的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進行縝密的設(shè)計，來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實施保護[2]?，F(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN）的概念。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機上。接入層為所有的終端用戶提供一個接入點；分布層除了負責將訪問層交換機進行匯集外，還為整個交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能；核心層將各分布層交換機互連起來進行穿越企業(yè)網(wǎng)骨干的高速數(shù)據(jù)交換。遠程訪問有三種可選的服務(wù)類型：專線連接、電路交換和包交換?！?VLANVLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。 VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。它分為兩個部份：一個是服務(wù)器端，而另一個是客戶端。這主要用于大型網(wǎng)絡(luò)環(huán)境和配置比較困難的地方?？蛻粢部梢哉埱笫褂米约合矚g的網(wǎng)絡(luò)地址及相應(yīng)的配置參數(shù)[6]。此外發(fā)協(xié)議即為發(fā)送協(xié)議。在此情形下，必須丟棄該包。在那些這被看作是安全問題的環(huán)境下，可以在防火墻上終止隧道[4]。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費用，也不用購買路由器等硬件設(shè)備。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。它使用ISL中繼和允許一個VLAN中繼當被其它VLANs的阻塞時將一些VLANs轉(zhuǎn)發(fā)。該協(xié)議中含有多種路由器，對應(yīng)一個虛擬路由器。一旦主動路由器出現(xiàn)故障，HSRP 將激活備份路由器（Standby Routers）取代主動路由器。路由器轉(zhuǎn)發(fā)協(xié)議數(shù)據(jù)包的源地址使用的是實際 IP 地址，而并非虛擬地址，正是基于這一點，HSRP 路由器間能相互識別[10]。計帳(Accounting)：記錄用戶對各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計費系統(tǒng)。認證的原理是每個用戶都有一個唯一的權(quán)限獲得標準。接下來，用戶還要通過授權(quán)來獲得操作相應(yīng)任務(wù)的權(quán)限。一旦用戶通過了認證，他們也就被授予了相應(yīng)的權(quán)限。驗證授權(quán)和帳戶由AAA服務(wù)器來提供。河南省教育科研寬帶IP網(wǎng)絡(luò)全面采用Cisco公司的AVVID網(wǎng)絡(luò)體系結(jié)構(gòu)，一期工程總共采用了10臺Cisco GSR 12016和GSR12012，近20臺Cisco OSR 6509，其他各類交換機和路由器數(shù)百臺。在各個核心節(jié)點分別配置Cisco公司在國際上多次獲獎的千兆位路由交換機 GSR 12000系列中的 12016和12012作為核心傳輸設(shè)備，節(jié)點間使用裸光纖配合POS ，以提供物理層、鏈路層及IP層的冗余連接能力。CiscoIOS系統(tǒng)支持今天的絕大多數(shù)網(wǎng)絡(luò)應(yīng)用系統(tǒng)，同時Cisco IOS系統(tǒng)可提供從數(shù)據(jù)鏈路層到應(yīng)用層的多種網(wǎng)絡(luò)服務(wù)，如：L2/L3VPN(虛擬專網(wǎng))，VPDN(虛擬撥號專網(wǎng))，以及對MPLS技術(shù)的支持允許提供各種網(wǎng)絡(luò)增值服務(wù)。 2) 網(wǎng)絡(luò)服務(wù)安全控制：包含標準訪問控制列表(ACL)，擴展的訪問控制列表(Extend ACL)，動態(tài)訪問控制列表(Refliex ACL)，按數(shù)據(jù)流的訪問統(tǒng)計和監(jiān)控(Netflow)，網(wǎng)絡(luò)資源訪問用戶認證/授權(quán)和記帳(lock amp。 5) 網(wǎng)絡(luò)系統(tǒng)告警(Syslog)：網(wǎng)絡(luò)中采用的設(shè)備可對監(jiān)控到的網(wǎng)絡(luò)攻擊和各種非正常訪問發(fā)出告警，提醒網(wǎng)絡(luò)管理人員及時發(fā)現(xiàn)問題并采取相應(yīng)安全策略。 2) 網(wǎng)絡(luò)管理系統(tǒng)的安全控制：由于本網(wǎng)絡(luò)中網(wǎng)絡(luò)管理系統(tǒng)采用標準的SNMP網(wǎng)絡(luò)管理技術(shù)，因此網(wǎng)絡(luò)設(shè)備的網(wǎng)管可能出現(xiàn)漏洞。網(wǎng)絡(luò)管理人員只需在規(guī)劃好的網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)提供各個接入網(wǎng)絡(luò)的接入控制即能實行各種網(wǎng)絡(luò)服務(wù)。 寬帶性能需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強大的性能，以滿足用戶日益增長的通信需求。另外，隨著千兆位端口成本的持續(xù)下降，千兆位到桌面的應(yīng)用會在不久的將來成為企業(yè)網(wǎng)的主流。隨著企業(yè)各種業(yè)務(wù)應(yīng)用逐漸轉(zhuǎn)移到計算機網(wǎng)絡(luò)上來，網(wǎng)絡(luò)通信的無中斷運行已經(jīng)成為保證企業(yè)正常生產(chǎn)運營的關(guān)鍵。鏈路的可靠性設(shè)計：以太網(wǎng)的鏈路安全來自于多路徑選擇，所以在企業(yè)網(wǎng)絡(luò)建設(shè)時，要考慮網(wǎng)絡(luò)設(shè)備是否能夠提供有效的鏈路自愈手段，以及快速重路由協(xié)議的支持[7]。 網(wǎng)絡(luò)安全需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)安全解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟損失。當前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為以應(yīng)用為中心的信息基礎(chǔ)平臺，網(wǎng)絡(luò)管理能力的要求已經(jīng)上升到了業(yè)務(wù)層次，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的智能已經(jīng)不能有效支持網(wǎng)絡(luò)管理需求的發(fā)展。管理部、財務(wù)部和網(wǎng)絡(luò)部在行政樓中；市場部在辦公樓A；銷售部和人力資源部在辦公樓B。路由器R3與HX1連接的接口F1/，與HX2連接的接口F1/，與server連接的接口F1/。 關(guān)鍵網(wǎng)絡(luò)設(shè)備及數(shù)量核心層交換機：Cisco Catalyst 6509 交換機 2臺匯聚層交換機：Cisco Catalyst 4509 交換機 4臺接入層交換機：Cisco Catalyst 2950 24口 交換機 100臺接入路由器： Cisco 3500 路由器 4臺 關(guān)鍵網(wǎng)絡(luò)設(shè)備介紹圖 8 Cisco 6509交換機Catalyst 6509是帶有9個插槽的交換機機箱，它可以加兩個電源，可按需求配置不同功能類型的模塊（如防火墻模塊、入侵檢模塊、VPN 模塊、SSL 加速模塊、網(wǎng)絡(luò)流量分析模塊等），更靈活應(yīng)用在不同需求的網(wǎng)絡(luò)設(shè)計平臺上，提高穩(wěn)定性及安全性。增強型QOS機制、基于硬件的GRE隧道和NAT，以及由硬件加速的基于MPLS的高性能服務(wù)；支持基于用戶的Microflow監(jiān)管，對每個用戶實施服務(wù)等級協(xié)議；采用分布式轉(zhuǎn)發(fā)模式，提供高達200Mpps的硬件IPv6能力，可以順利過渡到Internet 2和其他支持3G和PDA的通信網(wǎng)絡(luò)；配備光纖通道接口模塊滿足光纖接入需求。6500系列交換機為園區(qū)網(wǎng)提供了高性能、多層交換的解決方案，專門為需要千兆擴展、可用性高、多層交換的應(yīng)用環(huán)境設(shè)計，主要面向園區(qū)骨干連接等場合。Cisco Catalyst 4500系列中提供的集成式彈性增強包括1＋1超級引擎冗余（只對Cisco Catalyst 4507R）、集成式IP電話電源、基于軟件的容錯以及1+1電源冗余。由于這種方式能減少重復(fù)運作開支，降低擁有成本，因而能提高投資回報（ROI）。這是一款最廉價的Cisco交換產(chǎn)品系列，為中型網(wǎng)絡(luò)和城域接入應(yīng)用提供了智能服務(wù)。以上配置為路由器和交換機的基本配置，有方便管理防止出錯的作用，所以每臺設(shè)備上都要配置。（見圖2） 圖2 分布層設(shè)備FB1FB1vlan database 特權(quán)模式下進入VLAN設(shè)置模式(小凡模擬器特有)FB1(vlan)vtp domain cisco定義VTP域名Changing VTP domain name from NULL to ciscoFB1(vlan)vtp server 將該交換機設(shè)置為VTP的服務(wù)端Device mode already VTP SERVER.FB1(vlan)vtp v2mode 啟用的VTP版本號為2V2 mode enabled.FB1(vlan)vtp password 123456設(shè)置VTP的密碼為123456，交換機的VTP必須密碼一致才能同步Setting device VLAN database password to 123456.FB1(vlan)vtp pruning 啟用VTP修剪，激活VTP剪裁功能，默認情況下主干道傳輸所有VLAN的用戶數(shù)據(jù)?！　≡谝粋€VTP域下，只需要在VTP服務(wù)器上激活VTP剪裁功能。而服務(wù)器模式擁有以上的所用功能。由于4000個結(jié)點的網(wǎng)絡(luò)比較大，為每一臺PC手工配置地址的工作量相當大，所以我們要使用DHCP技術(shù)。這就用到了三層冗余技術(shù)