【正文】 業(yè)務(wù)。由于在 XX 公司總部和分部的核心層均使用了雙機(jī)單模塊的設(shè)備冗余，存在二層環(huán)路，因此需要在接入層和核心層的交換機(jī)上使用 STP 技術(shù)，以便在提供路徑冗余的同時(shí)在邏輯上斷開環(huán)路。定義在 IEEE 中，是一種鏈路管理協(xié)議，它為網(wǎng)絡(luò)提供路徑冗余同時(shí)防止產(chǎn)生環(huán)路。第三層交換設(shè)備可以保證在不改變 IP 編址方式和網(wǎng)絡(luò)連接方式的前提下消除網(wǎng)絡(luò)中的路由瓶徑，并且實(shí)現(xiàn)第二層交換無法提供的第三層包轉(zhuǎn)發(fā)和過濾能力。3) TRUNK 技術(shù) 鏈路聚合（Trunk）是一種封裝技術(shù)，它是一條點(diǎn)到點(diǎn)的鏈路，鏈路的兩端可以都是交換機(jī)，也可以是交換機(jī)和路由器，還可以是主機(jī)和交換機(jī)或路由器。VTP Client雖然也維護(hù)所有 VLAN 信息列表，但其 VLAN 的配置信息是從 VTP Server 學(xué)到的，VTP Client 不能建立、刪除或修改 VLAN。這些交換機(jī)會(huì)自動(dòng)地接收這些配置信息，使其 VLAN 的配置與 VTP Server 保持一致，從而減少在多臺(tái)設(shè)備上配置同一個(gè) VLAN 信息的工作量，而且保持了VLAN 配置的統(tǒng)一性。在 XX 公司的交換網(wǎng)絡(luò)中使用基于端口的VLAN 技術(shù)，將設(shè)備的管理 VLAN 定義為 VLAN1，將辦公業(yè)務(wù)劃分為 VLAN2 和VLAN3，將總部服務(wù)器劃入 VLAN100，可以控制廣播風(fēng)暴的范圍，提高網(wǎng)絡(luò)整體安全性，并且使得網(wǎng)絡(luò)管理簡(jiǎn)單、直觀。MAC 地址由 12 位 16 進(jìn)制數(shù)表示，前 8 位為廠商標(biāo)識(shí)，后 4 位為網(wǎng)卡標(biāo)識(shí)。一個(gè) VLAN 組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。各核心節(jié)點(diǎn)內(nèi)部根據(jù)用戶群體地理位置劃分 VLAN，并將 VLAN 網(wǎng)關(guān) IP 設(shè)置在各核心節(jié)點(diǎn)交換機(jī)上。IP 地址空間的分配與合理使用與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)組織及路由政策有非常密切的關(guān)系，將對(duì)校園網(wǎng)的可用性、可靠性與有效性產(chǎn)生顯著影響，應(yīng)充分考慮本地網(wǎng)對(duì) IP 地址的需求，以滿足未來業(yè)務(wù)發(fā)展對(duì) IP 地址的需求。第 三 章 網(wǎng) 絡(luò) 技 術(shù) 設(shè) 計(jì) 分 析 網(wǎng) 絡(luò) IP 地 址 規(guī) 劃1）IP 地址合理規(guī)劃的意義在企業(yè)網(wǎng)網(wǎng)絡(luò)規(guī)劃中，IP 地址方案的設(shè)計(jì)至關(guān)重要，好的 IP 地址方案不僅可以減少網(wǎng)絡(luò)負(fù)荷，還能為以后的網(wǎng)絡(luò)擴(kuò)展打下良好的基礎(chǔ)。您可在這個(gè)全新架構(gòu)中部署新的策略控制工具(如每個(gè)用戶的配額、VLAN 分配和訪問控制列表 [ACL])，這是因?yàn)樗伎平粨Q機(jī)和無線接入點(diǎn)的擴(kuò)展功能可用于在 RADIUS 協(xié)議上查詢 Cisco Secure ACS。這個(gè)特性對(duì)于企業(yè)遵守 Sarbanes Oxley 法規(guī)尤其重要。它針對(duì)所有用戶執(zhí)行統(tǒng)一安全策略，不受用戶網(wǎng)絡(luò)訪問方式的影響。它是用于管理企業(yè)網(wǎng)絡(luò)用戶、管理員和網(wǎng)絡(luò)基礎(chǔ)設(shè)施資源的集成和控制層。 安全訪問控制服務(wù)器為思科智能信息網(wǎng)絡(luò)提供基于身份的全面的訪問控制解決方案。比如，我們介紹的 LMS是在局域網(wǎng)環(huán)境中使用的；在廣域網(wǎng)環(huán)境中使用的是 RWAN(CiscoWorks Routed WAN Management), 它主要適應(yīng)廣域網(wǎng)中對(duì)響應(yīng)時(shí)間和訪問控制的管理需要；在IP 語(yǔ)音環(huán)境中是 ITEM(IP Telephony Environment Monitor), 它主要適用于管理傳輸 IP 語(yǔ)音流量網(wǎng)絡(luò)；在 VPN 環(huán)境中是 VMS(VPN/Security Management Solution), 它用于管理和監(jiān)測(cè) VPN 及其安全措施。重點(diǎn)配置對(duì)于黑客入侵、蠕蟲病毒、木馬程序的防范?？蓪⒊Ｒ?guī)應(yīng)用協(xié)議流量限制，BT 等帶寬濫用流量或其他非常規(guī)流量由 IPS 進(jìn)行限制。我們采用思科的 CISCO 1841 高性能路由器，部署在太重網(wǎng)絡(luò)的互聯(lián)網(wǎng)出口。 Inter 接 入 設(shè) 計(jì) 對(duì)外訪問區(qū)負(fù)責(zé)全網(wǎng)對(duì) INTERNET 的訪問，同時(shí)承載太重門戶網(wǎng)站的對(duì)外發(fā)布和 EMAIL 系統(tǒng)。 接 入 層 設(shè) 計(jì)在一個(gè)企業(yè)網(wǎng)絡(luò)里，接入交換機(jī)具有數(shù)量多，部署分散的特點(diǎn)，且直接負(fù)責(zé)終端的接入，應(yīng)具備可管理性強(qiáng)、端口控制能力強(qiáng)、性價(jià)比高的特點(diǎn)。EMI 可以提供一組更加豐富的企業(yè)級(jí)功能，包括先進(jìn)的、基于硬件的 IP 單播和組播路由。3750 系列最多可以將 9 個(gè)交換機(jī)堆疊在一起，構(gòu)成一個(gè)統(tǒng)一的邏輯單元，其中總共包含 468 個(gè)以太網(wǎng) 10/100 端口或者 252 個(gè)以太網(wǎng) 10/100/1000 端口。 核 心 層 設(shè) 計(jì)作為全網(wǎng)數(shù)據(jù)和業(yè)務(wù)的核心，網(wǎng)絡(luò)上所有業(yè)務(wù)的數(shù)據(jù)流都要經(jīng)過核心交換機(jī)進(jìn)行交換，因此它的安全性、可靠性和高性能對(duì)于全網(wǎng)數(shù)據(jù)和業(yè)務(wù)應(yīng)用的正常開展至關(guān)重要。當(dāng)然也包括網(wǎng)絡(luò)應(yīng)提供的服務(wù)資源共享、辦公自動(dòng)化、遠(yuǎn)程控制、電子郵件、 應(yīng)用等。 企 業(yè) 對(duì) 網(wǎng) 絡(luò) 的 需 求對(duì)于一個(gè)企業(yè)網(wǎng)絡(luò)而言用戶的需求是基礎(chǔ)，經(jīng)營(yíng)想到應(yīng)用、計(jì)算機(jī)平臺(tái)甚至網(wǎng)絡(luò)。用戶需求主要包括可靠性、可用性、可升級(jí)性、安全性、及時(shí)性以及響應(yīng)時(shí)間。使他能夠隨著公司的發(fā)展而擴(kuò)大，預(yù)計(jì)該企業(yè)在以后 35 年內(nèi)計(jì)劃聘用的人數(shù)、業(yè)務(wù)規(guī)?；蚓W(wǎng)絡(luò)數(shù)據(jù)流量的預(yù)計(jì)增長(zhǎng)情況來估計(jì)公司的增長(zhǎng)率確定公司在可靠性和有效性方面的需求，包括網(wǎng)絡(luò)故障帶來的嚴(yán)重后果，當(dāng)然網(wǎng)絡(luò)修復(fù)的費(fèi)用，網(wǎng)絡(luò)的安全性，web 站點(diǎn)和 Inter 連接性，遠(yuǎn)程訪問等的實(shí)現(xiàn)都對(duì)于網(wǎng)絡(luò)的規(guī)劃有至關(guān)重要的地位。(6) 安全性網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性，要充分的保證網(wǎng)絡(luò)的安全性，應(yīng)該根據(jù)相應(yīng)的管理制度和網(wǎng)絡(luò)策略制定一套完善的安全政策，基于此安全政策，采用合適的技術(shù)手段，以達(dá)成目標(biāo)，保證系統(tǒng)的安全性。(3) QoS 保證當(dāng)今網(wǎng)絡(luò)中多媒體的應(yīng)用越來越多，這類應(yīng)用對(duì)服務(wù)質(zhì)量的要求較高，新的網(wǎng)絡(luò)系統(tǒng)應(yīng)能保證 QoS，以支持這類應(yīng)用。圖 11 拓?fù)鋱D 總 體 需 求1)系統(tǒng)建設(shè)的總體需求有：(1) 高帶寬為了支持?jǐn)?shù)據(jù)、話音、視像多媒體的傳輸能力，在技術(shù)上要到達(dá)當(dāng)前的國(guó)際先進(jìn)水平。WWW 應(yīng)用、FTP 應(yīng)用等等需要針對(duì)不同的部門、不同的人員服務(wù)，對(duì)網(wǎng)絡(luò)的安全提出了以下的需求：1) 采用安全控制措施，實(shí)現(xiàn)人員的集中管理和控制。在整個(gè)網(wǎng)絡(luò)環(huán)境中，匯聚層主要提供如下功能：部門和工作組的接入和匯聚，VLAN 的路由，HSRP 的封裝，實(shí)現(xiàn)冗余等。核心層為下兩層提供優(yōu)化的數(shù)據(jù)傳輸功能，它是一個(gè)高速的路由交換骨干，其作用是盡可能快地交換數(shù)據(jù)包，滿足匯聚節(jié)點(diǎn)與核心節(jié)點(diǎn)之間高速通信的需要。5）經(jīng)濟(jì)性:在滿足高性能價(jià)格比(高性價(jià)比)的前提下,選用物廉價(jià)美,經(jīng)濟(jì)實(shí)用的產(chǎn)品,以減少開支。能有效通過軟硬件相互聯(lián)動(dòng)，有效保證企業(yè)網(wǎng)的安全；選擇設(shè)備必須具有較高的安全特性，如蠕蟲病毒防御、ARP 欺騙防御、防代理、防攻擊掃描、防私設(shè) DHCP 等功能，系統(tǒng)采用數(shù)字簽名,安全認(rèn)證,密碼技術(shù)以及超級(jí)防火墻軟件,代理服務(wù)器和 VPN(虛擬隧道網(wǎng)絡(luò)技術(shù))等來確保網(wǎng)內(nèi)安全。2）可增值:企業(yè)網(wǎng)絡(luò)的建設(shè)、使用和維護(hù)需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。 第 一 章 企 業(yè) 網(wǎng) 組 建 設(shè) 計(jì) 與 需 求 分 析 網(wǎng) 絡(luò) 設(shè) 計(jì) 原 則新建網(wǎng)絡(luò)必須滿足公司未來 3～5 年內(nèi)的研究、生產(chǎn)、辦公需求，遵循“可靠性、實(shí)用性、安全保密性、先進(jìn)性、經(jīng)濟(jì)性、開放性”的設(shè)計(jì)原則，以系統(tǒng)生命周期長(zhǎng)、管理維護(hù)方便、系統(tǒng)集成度高和保護(hù)投資為主要技術(shù)特色，適應(yīng)XX 公司當(dāng)前應(yīng)用及后續(xù)不斷發(fā)展。IEEE 數(shù)據(jù)中心橋接的流量管理擴(kuò)展提供了這一能力。丟包對(duì)不同協(xié)議的影響有所不同，應(yīng)用會(huì)以不同的方式做出響應(yīng)：一些應(yīng)用可以容忍這一情況，通過重新發(fā)送所丟數(shù)據(jù)包得以恢復(fù)?？蛻魴C(jī)到服務(wù)器和服務(wù)器到服務(wù)器交涉及短暫的突發(fā)性傳輸。如今，數(shù)據(jù)流量要在多方之間進(jìn)行轉(zhuǎn)移，包括從客戶機(jī)到服務(wù)器、服務(wù)器到服務(wù)器、服務(wù)器到存儲(chǔ)設(shè)備、以及存儲(chǔ)設(shè)備到存儲(chǔ)設(shè)備等。關(guān)鍵詞 規(guī) 模 安 全 成 本 穩(wěn) 定畢 業(yè) 設(shè) 計(jì) 說 明 書 （ 論 文 ） 外 文 摘 要Title Based on the formation of enterprise work designAbstract enterprise constant development, but also its work scale is expanding continually, plicated work face more safety problems.Facing the increasingly extensive work system, how to acplish efficient longterm stability to municate is our goal. For work or private client demand, we need different work by using different related technologies to achieve. With the progress of The Times, safety has bee a looming key, so they have a VLAN and redundancy technique appears. Through the least amount of configuration to achieve the best effect, and carries on the corresponding optimization, careful planning scheme, ensure that both end. Then to consider cost problem, the price this noun appears represents people was already out of implicit consumption of the vicious circle, so we need to think carefully about the purpose of the benefits of how much, can deserve our investment enables the purpose highest costeffective, and determined the scheme is feasible, carries on the project implementation when we need enough to do to avoid unnecessary configuration errors or loop, once and for all.Keywords: scale， security, cost， stability目 錄摘 要 .............................................................2前言 ..............................................................1第一章 企業(yè)網(wǎng)組建設(shè)計(jì)與需求分析 ....................................2 網(wǎng)絡(luò)設(shè)計(jì)原則 .................................................2 網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)初步規(guī)劃 ..........................................3 網(wǎng)絡(luò)安全系統(tǒng)需求 ..............................................3 總體需求 .....................................................4第二章 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 ............................................7 企業(yè)網(wǎng)分層架構(gòu)設(shè)計(jì) ...........................................7 網(wǎng)絡(luò)搭建設(shè)備 .................................................7 網(wǎng)絡(luò)管理、接入控制、日志審計(jì)系統(tǒng) ...............................9第三章 網(wǎng)絡(luò)技術(shù)設(shè)計(jì)分析 ...........................................11 網(wǎng)絡(luò) IP 地址規(guī)劃 ..............................................11 企業(yè)網(wǎng)絡(luò)技術(shù)分類 .............................................12 路由協(xié)議選擇 ................................................15第四章 網(wǎng)絡(luò)拓?fù)渚唧w配置 ...........................................17 網(wǎng)絡(luò)的配置規(guī)劃 ...............................................17 網(wǎng)路的 ACL 配置 ..............................................18第五章 網(wǎng)絡(luò)故障應(yīng)急方案 ...........................................21 故障預(yù)防 ....................................................21 系統(tǒng)應(yīng)急 ....................................................21 其他突發(fā)事件應(yīng)急 ..