【正文】 槽CISCO WSC296048TCL149500背綁帶寬： 包轉(zhuǎn)發(fā)率：：48合計(jì)：426400劃分VLAN 是把局域網(wǎng)內(nèi)設(shè)備通過(guò)邏輯方式而不是物理方式劃分成一個(gè)個(gè)網(wǎng)段的技術(shù)。在核心交換機(jī)連接服務(wù)器的端口做ACL，設(shè)置服務(wù)器訪問(wèn)權(quán)限。核心層用雙核心，做到核心冗余。圖73 ping DHCP開(kāi)啟后，位于VLAN 10中的計(jì)算機(jī)可以動(dòng)態(tài)獲得IP地址，如圖77。在出口路由器上做NAPT，將公網(wǎng)地址與私有地址進(jìn)行轉(zhuǎn)換。實(shí)驗(yàn)論證拓?fù)鋱D如圖 72。該子公司內(nèi)部采用DHCP服務(wù)對(duì)接入的計(jì)算機(jī)動(dòng)態(tài)分配IP 地址。VLAN技術(shù)可以阻隔廣播域，提高網(wǎng)絡(luò)性能。在保證匯聚業(yè)務(wù)的同時(shí)，還提供了靈活多樣的安全策略，保證了網(wǎng)絡(luò)的安全，且該設(shè)備管理比較方便。該設(shè)備提供了端口安全，硬件ACL控制等，滿足了企業(yè)網(wǎng)加強(qiáng)對(duì)訪問(wèn)者進(jìn)行控制、限制非授權(quán)用戶通信的需求。該設(shè)備提供SSH的加密登陸和管理功能，避免管理信息明文傳輸?shù)耐{。子公司浪潮電子信息的IP地址規(guī)劃如表72。采用SVI技術(shù)在三層交換機(jī)上實(shí)現(xiàn)跨VLAN 的通信。表71 子公司浪潮電子信息各部門功能及人員組成部門職能人數(shù)接入點(diǎn)數(shù)管理部對(duì)公司進(jìn)行管理，制定決策等10人10財(cái)務(wù)部制定及實(shí)施財(cái)務(wù)政策，對(duì)公司的財(cái)務(wù)狀況進(jìn)行管理，包括制定預(yù)算，計(jì)算職工工資等5人5人力資源部建立和完善集團(tuán)招聘、培訓(xùn)、調(diào)配、薪酬、績(jī)效等各項(xiàng)人力資源管理制度6人6產(chǎn)品研發(fā)部根據(jù)市場(chǎng)分析，確定研發(fā)方向并組織人員研發(fā)200人200生產(chǎn)部根據(jù)需求確定生產(chǎn)計(jì)劃及進(jìn)行生產(chǎn)90人10質(zhì)檢部建立集團(tuán)質(zhì)量管理體系，對(duì)產(chǎn)品進(jìn)行質(zhì)量檢查，提出質(zhì)量改進(jìn)計(jì)劃等10人10市場(chǎng)營(yíng)銷部制定市場(chǎng)營(yíng)銷戰(zhàn)略規(guī)劃，制訂年度市場(chǎng)營(yíng)銷工作計(jì)劃和銷售目標(biāo)，并貫徹落實(shí)等160人160客戶服務(wù)部制定客戶服務(wù)計(jì)劃，對(duì)產(chǎn)品進(jìn)行調(diào)試，安裝及售后等30人20保安部對(duì)公司進(jìn)行安保管理等，包括防火，防盜等12人1該子公司包括一個(gè)三層辦公樓、一個(gè)生產(chǎn)車間及倉(cāng)庫(kù)。圖63 PC0獲取IP地址圖64 PC1獲取IP地址在交換機(jī)中SHOW VLAN，可見(jiàn)已經(jīng)有兩個(gè)VLAN如圖65，且 F0/11在VLAN 10中，F(xiàn)0/12在VLAN 20中。NAPT服務(wù)在RA 上開(kāi)啟，并設(shè)定所需轉(zhuǎn)換的地址池。圖62 駐廣東辦事處論證拓?fù)鋱D 在該實(shí)驗(yàn)中，配置完成后，不同VLAN內(nèi)的主機(jī)可以相互通信，可以動(dòng)態(tài)的學(xué)到IP地址，并可以通過(guò)地址轉(zhuǎn)換與外網(wǎng)進(jìn)行連接。DHCP基于Client/Server工作模式，使用DHCP服務(wù)可以簡(jiǎn)化管理員對(duì)網(wǎng)絡(luò)內(nèi)部用戶的管理，用戶通過(guò)DHCP可以自動(dòng)獲取地址和各種主機(jī)配置參數(shù)。由于劃分了VLAN，限制了不同VLAN的通信。出口路由器選擇由組長(zhǎng)楊貴四選取。在路由器上做DHCP服務(wù)，為內(nèi)部主機(jī)動(dòng)態(tài)分配IP地址。從各部門中選取營(yíng)銷中心（包括售前和售后）和網(wǎng)絡(luò)開(kāi)發(fā)部作為接入用戶進(jìn)行試驗(yàn)論證。應(yīng)用DHCP技術(shù)，辦公人員可自動(dòng)獲取IP地址。為實(shí)現(xiàn)對(duì)各部門的方便管理，對(duì)各部門劃分VLAN。表54 S3526相關(guān)參數(shù)應(yīng)用層級(jí)三層傳輸速率10Mbps/100Mbps/1000Mbps端口數(shù)量24背板帶寬包轉(zhuǎn)發(fā)率模塊化插槽數(shù)2總公司接入層負(fù)責(zé)連接公司各部門幫工人員的計(jì)算機(jī)，故選取二層交換機(jī)作為接入層設(shè)備，選取銳捷S2126S。表52 各部門VLAN劃分及網(wǎng)段VLAN序號(hào)網(wǎng)段說(shuō)明VLAN1管理VLANVLAN2客戶服務(wù)中心VLAN3質(zhì)檢部續(xù)表52 各部門VLAN劃分及網(wǎng)段Vlan號(hào)網(wǎng)段說(shuō)明VLAN4售前VLAN5售后VLAN6網(wǎng)絡(luò)研發(fā)部VLAN7軟件研發(fā)VLAN8軟件測(cè)試VLAN9行政部VLAN10財(cái)務(wù)部VLAN11人力資源部VLAN12產(chǎn)業(yè)園管理部圖51浪潮集團(tuán)總公司拓?fù)淇偣竞诵膶迂?fù)責(zé)連接總公司的一棟辦公樓和一個(gè)產(chǎn)業(yè)園，同時(shí)需要連接三個(gè)分公司以及若干辦事處，所以主干網(wǎng)需要承載很大的流量及數(shù)據(jù)包，故這里選取銳捷交換機(jī)S8610。辦公樓總共六層，公司的各部門辦公人員在次進(jìn)行辦公。論證實(shí)驗(yàn)中的設(shè)備（應(yīng)用技術(shù)）替換說(shuō)明如下：設(shè)備中的幀中繼交換機(jī)有供應(yīng)商提供，實(shí)驗(yàn)中用R17622代替；邊界路由RSR50RSR50E80 和RGMBR2500都用R1762代替；總公司內(nèi)部的核心交換機(jī)用S3550代替。為了實(shí)現(xiàn)浮動(dòng)路由的功能，我在主干網(wǎng)絡(luò)的出口處使用VRRP技術(shù)和靜態(tài)浮動(dòng)路由連用，最終論證成功。由于總公司的主干網(wǎng)絡(luò)和其余分支機(jī)構(gòu)要隨時(shí)保證通信，所以路由器不能停機(jī)，在主干上加一個(gè)路由器實(shí)現(xiàn)備份，實(shí)驗(yàn)中用靜態(tài)的浮動(dòng)路由技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)路由器的熱備份。辦事處實(shí)現(xiàn)的功能是與外網(wǎng)連接，支持VPN，具有一定的防御功能，所以選擇銳捷網(wǎng)絡(luò)設(shè)備RGMBR2500。主路由器在邊關(guān)不但要支持VPN，還要有一定的安全特性,能夠防止外部網(wǎng)絡(luò)的攻擊。 ，可分為四個(gè)地址塊，每個(gè)地址塊有4094個(gè)可用地址地址分配的方式說(shuō)明及NAT/NAPT的說(shuō)明如下表31表31 地址分配及NAT/NAPT說(shuō)明網(wǎng)絡(luò)私有地址注冊(cè)地址總公司網(wǎng)絡(luò)—.30/27子公司浪潮科技 ~62/27子公司超越數(shù)控~94/27子公司通軟 ~126/27 分工說(shuō)明表32各負(fù)責(zé)人的工作4廣域網(wǎng)連接項(xiàng)目的設(shè)計(jì)方案（）圖41廣域網(wǎng)連接拓?fù)鋱D廣域網(wǎng)的連接設(shè)計(jì)，主干網(wǎng)絡(luò)雙出口，一個(gè)電信ISP接入一個(gè)網(wǎng)通ISP接入，電信網(wǎng)絡(luò)為主要的通信網(wǎng)絡(luò)，用網(wǎng)通提供的ISDN作為廣域網(wǎng)備份。應(yīng)用訪問(wèn)控制列表禁止某些部門訪問(wèn)互聯(lián)網(wǎng)和限制內(nèi)部之間的互訪。圖 36 子公司浪潮電子信息網(wǎng)絡(luò)拓補(bǔ)圖該子公司采用單核心交換機(jī)設(shè)計(jì)。采用單臂路由的結(jié)構(gòu)實(shí)現(xiàn)跨VLAN 的通信。利用DHCP技術(shù)實(shí)現(xiàn)動(dòng)態(tài)IP地址分配。接入層交換機(jī)用14個(gè)二層交換機(jī)。與子公司的訪問(wèn)用Ipsec VPN隧道技術(shù)實(shí)現(xiàn)廣域網(wǎng)的連接。DHCP實(shí)現(xiàn)動(dòng)態(tài)分配IP地址。Vlan的換劃分技術(shù)實(shí)現(xiàn)廣播域的分割?？偣静捎萌龑訌V域網(wǎng)技術(shù)接入，網(wǎng)絡(luò)運(yùn)營(yíng)商提供ISDN網(wǎng)絡(luò)接入，總公司與格分支機(jī)構(gòu)采用租用線路進(jìn)行通信，VPN IPsec 技術(shù)構(gòu)建安全的企業(yè)內(nèi)部網(wǎng)絡(luò)。（4）高速、穩(wěn)定、簡(jiǎn)單的安全策略——要求安全策略部署不能影響到網(wǎng)絡(luò)的性能，不造成網(wǎng)絡(luò)單點(diǎn)故障，不能影響整個(gè)拓?fù)浣Y(jié)構(gòu)的規(guī)劃浪潮集團(tuán)企業(yè)是一個(gè)綜合性的大型企業(yè)集團(tuán)，集團(tuán)內(nèi)部總共有近四千多人，網(wǎng)絡(luò)建設(shè)是一個(gè)比較大的工程，要實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的管理，做好管理需要做好各方面的工作：首先要有一個(gè)比較好的，穩(wěn)定的網(wǎng)絡(luò)規(guī)劃，再者運(yùn)用比較好的網(wǎng)絡(luò)管理技術(shù)以及網(wǎng)絡(luò)安全技術(shù)，最后還得保證要有一批具有專業(yè)網(wǎng)絡(luò)技術(shù)的網(wǎng)絡(luò)管理骨干?！　∥覀償M定的網(wǎng)絡(luò)安全的部分主要設(shè)計(jì)目標(biāo)：（1）全局安全策略——網(wǎng)絡(luò)安全部署是一個(gè)全局的概念，要充分考慮全局統(tǒng)一的安全部署，將現(xiàn)有安全設(shè)備有機(jī)的聯(lián)動(dòng)起來(lái)，對(duì)網(wǎng)絡(luò)形成一個(gè)由內(nèi)至外的整體安全構(gòu)架。主要體現(xiàn)在一下幾個(gè)方面：（1）網(wǎng)絡(luò)病毒泛濫，網(wǎng)絡(luò)攻擊成上升趨勢(shì)。企業(yè)網(wǎng)絡(luò)需要組播功能實(shí)現(xiàn)視頻和語(yǔ)音會(huì)議，需要實(shí)現(xiàn)VOIP的電話業(yè)務(wù)，需要出差人員和在家辦公人員對(duì)企業(yè)內(nèi)部的訪問(wèn)，同時(shí)不能破壞企業(yè)內(nèi)部網(wǎng)絡(luò)。（4）安全要求原則：組成任何規(guī)模的網(wǎng)絡(luò)，必須考慮整網(wǎng)的安全，企業(yè)內(nèi)部有的信息不能讓企業(yè)外部的人訪問(wèn)，不然會(huì)造成企業(yè)秘密的泄露。浪潮集團(tuán)地理位置如圖21：圖21浪潮集團(tuán)的地理位置圖22浪潮集團(tuán)總公司結(jié)構(gòu)圖圖23子公司浪潮電子信息的組織機(jī)構(gòu)圖24駐廣東辦事處組織結(jié)構(gòu)圖25 通軟子公司組織結(jié)構(gòu) 浪潮企業(yè)集團(tuán)綜合辦公網(wǎng)絡(luò)設(shè)計(jì)原則網(wǎng)絡(luò)設(shè)計(jì)的基本原則（1）可靠原則設(shè)計(jì)：雙路由網(wǎng)絡(luò)拓?fù)?，環(huán)行網(wǎng)絡(luò)結(jié)構(gòu)。20101203 ～ 20101204 個(gè)人設(shè)備選型，做子項(xiàng)目的預(yù)算，畫(huà)出實(shí)施的拓?fù)?，具體項(xiàng)目實(shí)現(xiàn)的具體不走20101205 ～ 20101206 具體項(xiàng)目論證，查看是否有遺漏的功能沒(méi)有實(shí)現(xiàn)，對(duì)完成的項(xiàng)目進(jìn)行可用性評(píng)估。定期升級(jí)相關(guān)軟件，掃描不安全的設(shè)備端口，提前打補(bǔ)丁。企業(yè)網(wǎng)絡(luò)設(shè)計(jì)目標(biāo) （1）易管理 網(wǎng)絡(luò)拓?fù)湟?guī)范、統(tǒng)一、簡(jiǎn)單。下屬三個(gè)子公司有位于北京的浪潮電子信息產(chǎn)業(yè)有限公司、位于濟(jì)南的浪潮超越數(shù)控電子有限公司和位于南京的浪潮通用軟件有限公司等重要公司，此外各辦事處遍及全國(guó)各大重要城市。綜合實(shí)力位居中國(guó)IT企業(yè)前兩位、中國(guó)自主品牌IT服務(wù)商第二名、中國(guó)自主品牌軟件廠商第一位、中國(guó)大企業(yè)集團(tuán)500強(qiáng)競(jìng)爭(zhēng)力第三位。 設(shè)計(jì)目標(biāo)建網(wǎng)的目的：將浪潮科技集團(tuán)網(wǎng)建成“高速、穩(wěn)定、安全、可控、可管”的網(wǎng)絡(luò)，實(shí)現(xiàn)企業(yè)辦公的自動(dòng)化和信息化。（3）網(wǎng)絡(luò)的管理要在最短時(shí)間內(nèi)回復(fù)故障保證全網(wǎng)的運(yùn)行正常。20101201 ～ 20101202 個(gè)人項(xiàng)目的具體調(diào)研和需求分析，運(yùn)用的技術(shù)和設(shè)備基本選型，功能的預(yù)期目標(biāo)定案。浪潮集團(tuán)辦事處位于全國(guó)各大城市，主要分布在東部各大城市。內(nèi)部網(wǎng)絡(luò)有專門網(wǎng)絡(luò)管理員負(fù)責(zé)管理，而廣域網(wǎng)絡(luò)的管理交由網(wǎng)絡(luò)服務(wù)運(yùn)營(yíng)商管理。特性網(wǎng)絡(luò)的說(shuō)明 企業(yè)網(wǎng)絡(luò)除了與其他網(wǎng)絡(luò)一樣需要實(shí)現(xiàn)網(wǎng)絡(luò)中用戶的互相通信之外，還要保證安全性。表22 子公司浪潮電子信息流量估計(jì)表部門節(jié)點(diǎn)數(shù)流量（bps）管理部102M*10=20M市場(chǎng)營(yíng)銷部1601M*160=160M客戶服務(wù)部201M*20=20M表23 駐廣東辦事處流量估計(jì)表部門節(jié)點(diǎn)數(shù)流量（bps）綜合業(yè)務(wù)部21M*2=2M客戶代表部201M*20=20M技術(shù)服務(wù)部101M*10=10M表24 浪潮通軟流量估計(jì)表部門節(jié)點(diǎn)數(shù)（個(gè)）流量(2M節(jié)點(diǎn)數(shù))財(cái)務(wù)部2754人力資源部2754研發(fā)管理部4080研發(fā)部347694營(yíng)銷部134268技術(shù)服務(wù)及培訓(xùn)中心54108管理部2040會(huì)議室2040表25 浪潮集團(tuán)總公司流量估計(jì)表部門節(jié)點(diǎn)數(shù)流量bps客戶服務(wù)中心501M*50=50M質(zhì)檢部7070M營(yíng)銷中心350350M網(wǎng)絡(luò)開(kāi)發(fā)部200200M軟件研發(fā)部350350M行政部3030M人力資源部5050M財(cái)務(wù)部5050M產(chǎn)業(yè)園管理部7070M 浪潮集團(tuán)綜合辦公網(wǎng)絡(luò)的安全和管理要求在信息化的社會(huì)里面，網(wǎng)絡(luò)越來(lái)越受到重視，成為了人們生活中的主要信息交流工具，作為一個(gè)大型企業(yè)網(wǎng)，現(xiàn)在面臨著更多的網(wǎng)絡(luò)安全的挑戰(zhàn)。（5）某些安全設(shè)備采取網(wǎng)絡(luò)內(nèi)串行部署的方式，容易造成性能瓶頸和單點(diǎn)故障；（6）無(wú)法對(duì)用戶的網(wǎng)絡(luò)行為進(jìn)行記錄，事后審計(jì)困難。（3）融合安全策略——網(wǎng)絡(luò)安全要和網(wǎng)絡(luò)設(shè)備充分融合，做到網(wǎng)絡(luò)安全融入網(wǎng)絡(luò)基本構(gòu)架、融入網(wǎng)絡(luò)設(shè)備。 浪潮集團(tuán)的WAN接入技術(shù)總校局域網(wǎng)采用三層以太網(wǎng)結(jié)構(gòu)連接；總校與分校之間采用租用線路，幀中繼連接，網(wǎng)通線路接入，2m帶寬，1000元/月。 浪潮集團(tuán)綜合辦公網(wǎng)絡(luò)設(shè)計(jì)的技術(shù)指標(biāo)訪問(wèn)控制列表實(shí)現(xiàn)安全和管理。NAT/NAPT實(shí)現(xiàn)內(nèi)網(wǎng)地址到外網(wǎng)地址的轉(zhuǎn)換。在出口路由器上做NAPT，將內(nèi)部地址轉(zhuǎn)換為注冊(cè)外部地址，實(shí)現(xiàn)內(nèi)部所有主機(jī)對(duì)外網(wǎng)的訪問(wèn)。匯聚層用兩個(gè)三層交換機(jī)，與核心層冗余連接，并且分別接7個(gè)接入層交換機(jī)。為公司每個(gè)部門劃分VLAN，分配私有IP地址段，方便管理。圖35 駐廣東辦事處拓?fù)鋱D該辦事處采用一個(gè)二層交換機(jī)和一個(gè)VPN路由的結(jié)構(gòu)。子公司浪潮電子信息網(wǎng)絡(luò)拓?fù)淙鐖D 36。在出口路由器上做NAPT，將內(nèi)部地址轉(zhuǎn)換為注冊(cè)外部地址，實(shí)現(xiàn)內(nèi)部主機(jī)對(duì)外網(wǎng)的訪問(wèn)?？偣荆骸庸纠顺彪娮有畔ⅲ骸庸境綌?shù)控：——子公司通軟：——私有地址的總體規(guī)劃，足夠整個(gè)企業(yè)的分配，同時(shí)還為將來(lái)發(fā)展留足了空間。而且當(dāng)公司發(fā)展到一定規(guī)?？梢院苋菀桌镁W(wǎng)絡(luò)與合作伙伴實(shí)現(xiàn)通信。子公司的邊界路由器至少要支持VPN，組播，邊界路由功能，選擇銳捷的RSR50E80，他也支持Nat，有利于子公司的地址分配?？偣九c其他分支機(jī)構(gòu)的邊界路由器上都要做一個(gè)NAPT/NAT實(shí)現(xiàn)內(nèi)部地址與外部地址之間的轉(zhuǎn)換，這樣可以在網(wǎng)絡(luò)內(nèi)部使用私有地址，公網(wǎng)上使用注冊(cè)地址通信，可以節(jié)約公網(wǎng)地址的使用的成本。而為了論證NAPT。總公司的雙出口用兩臺(tái)路由器，實(shí)驗(yàn)室的設(shè)備有限，只用一臺(tái)設(shè)備。模擬幀中繼交換機(jī)的路由器R17622上配置幀中繼，正如你中繼交換機(jī)提供DLCI，DLCI的framerelay route規(guī)劃如表42表42 framerelay 路徑本地接口INDLCI本地轉(zhuǎn)發(fā)接口OUTDLCISerial 1/2102Serial 1/3201103Serial 2/0301Serial 1/3201Serial 1/2102Serial 2/0301Serial 1/2103（1）幀中繼實(shí)驗(yàn)的論證結(jié)果：幀中繼交換機(jī)在其他路由器沒(méi)有配置幀中繼的時(shí)候show framerelay如圖43圖43 幀中繼交換機(jī)最開(kāi)始的端口狀態(tài)當(dāng)配置其余的端口并實(shí)現(xiàn)互通（如圖44），查看幀中繼交換機(jī)的show framerelay如圖45圖44幀中繼配置完成實(shí)現(xiàn)互通 圖45幀中繼交換機(jī)在全網(wǎng)互通后的端口狀態(tài)在路由器R2上show framerelay map顯示如圖46圖46路由器R2的幀中