【正文】 ： 學 號： 年級專業(yè)及班級： 2021級 信息工程 （ 2）班 指導老師及職稱： 學 部： 理工學部 湖南對本文的研究做出重要貢獻的個人和集體在文中均作了明確的說明并表示了謝意。實現(xiàn)安全訪問廣域網(wǎng)、發(fā)布企業(yè)信息、科研交流、與外界通信、外地員工可利用 Inter（因特網(wǎng)）遠程訪問公司資源及企業(yè)內(nèi)部互訪等常用企業(yè)任務和需求。 關(guān)鍵詞 ： 交換技術(shù) ； 路由技術(shù) ； 廣域網(wǎng)技術(shù) ； 防火墻 Implementation of Small and Mediumsized Enterprise Network Abstract: This project is to Guangdong a information technology pany to design a highly reliable enterprise work. Enable secure access to wide area works, publish enterprise information, munication, munication with the outside world, the field of scientific research which they can use Inter remote access to corporate resources and the internal exchange visits and other mon business tasks and pany includes guangdong Corporation, shenzhen dialect Division and dongguang Division in three parts, guangdong Corporation Management Centre for the entire work. As the head office and branch office physically farther apart, in a wide area work use routing technology implemented on the basis of the entire local area work interoperability, in the use of the access layer switch technology for terminal access. In addition to these technologies, in the border deployment of firewall, deployed in the threelayer switch access control list (ACL) for internal access control, deployment of routing data distribution on the core router. Key words: Switching Technology。社會進步要求企業(yè)必須改變現(xiàn)有的落后管理體制、管理方法和手段，建立現(xiàn)代企業(yè)的新形象，建立本企業(yè)的自動化管理信息系統(tǒng)（即公司局域網(wǎng)），以提高管理水平，增加經(jīng)濟效應。 廣東某信息技術(shù)公司網(wǎng)絡分析 廣東 某 信息技術(shù)公司是一家一級系統(tǒng)集成商，總部在廣東。 3 工程集成方法 本工程實現(xiàn)的是一個解決子公司與母公司連為一體的中小型企業(yè)網(wǎng)絡項目，該項目從實際需求出發(fā)，擴展傳統(tǒng)的信息交換方式，借助計算機網(wǎng)絡技術(shù)來實現(xiàn)企業(yè)內(nèi)部大量信息的安全、高效的傳輸和共享。 為了總部和分部高速的互聯(lián)，分部在總部和分部部署了加速設備。 隨著信息技術(shù)的快速發(fā)展，極大地推動了網(wǎng)絡應用的普及，新型的組網(wǎng)技術(shù)也層出不窮。 (2) 總部和分部所有員工上網(wǎng)需要密碼認證，并且對每個人的上網(wǎng)行為進行審計。 (6) 對移動辦公人員不同的人員的接入訪問不同權(quán)限的資源。最后要保證所選的設備具有升級的空間，采用模塊化的設備，能夠根據(jù)企業(yè)發(fā)展的新需求，選購相應的模塊，以滿足用戶新功能的添加。 (4)DNS 服務需求，作為企業(yè)辦公業(yè)務終端訪問 Inter， 獲取域名解析的途徑。 (3)擴展性 本工程系統(tǒng)遵循工程設計規(guī)范，采用三層設計方法，具備很好的擴展能力。 (1)采用一臺 Cisco 2900 路由器去模擬深圳分部和廣東總部的 Inter 對接。 (5)采用模擬器自帶的虛擬 PC 進行網(wǎng)絡測試。 第二，我們采用主流 的 OSPF[3]協(xié)議作為三層設備學習路由的方式，該協(xié)議具有開放性，被廣大廠商支持，將總部核心設備劃分到骨干區(qū)域（區(qū)域 0），將長葛分部劃分到標準區(qū)域（區(qū)域 10）。 第五，采用 ACL[4]來實現(xiàn)業(yè)務之間的三層隔離，同時根據(jù)業(yè)務需求，做出相應的配置管理。 第九，采用深信服的 NGAF 下一代防火墻，對內(nèi)網(wǎng)的服務器從應用層進行保護，同時，對內(nèi)網(wǎng)的 PC 進行保護。 高可靠性和穩(wěn)定性：一個實用的系統(tǒng)同時必須是可靠的，本設計通過合理而先進的網(wǎng)絡系統(tǒng)設計及軟、硬件的優(yōu)化選型，以保證系統(tǒng)的可靠性與容錯性。 網(wǎng)絡拓撲分析 該企業(yè)網(wǎng)絡總部從結(jié)構(gòu)上分為三層 :核心層、匯聚層和接入層。匯聚層主要由三層交換機組成，提供對網(wǎng)絡流量模式控制、對用戶的訪問控制，對用戶的網(wǎng)絡管理以及路由協(xié)議網(wǎng)絡通告控制。作為所有網(wǎng)絡流量的傳輸中樞，核心層除了要求高性能交換設備和高帶寬傳輸鏈路外，還需考慮選用支持負載均衡或負載分擔特性的設備實現(xiàn)負荷均衡。企業(yè)網(wǎng)的設備選型原則如下： （ 1）代表目前網(wǎng)絡系統(tǒng)設備的先進水平； （ 2）具備較強的安全性； （ 3）具備優(yōu)良的 RAS 性能 :可靠性、可用性、可維護性； （ 4）具備優(yōu)良的可擴充性和升級能力； 本網(wǎng)絡設計采用的網(wǎng)絡產(chǎn)品來自世界最大的網(wǎng)絡設備生產(chǎn)廠商 Cisco 公司以及國內(nèi)非常有名的前沿網(wǎng)絡供應商深信服。 (4)可選以太網(wǎng)供電 (PoweroverEther) 功能，最大限度地降低所需的網(wǎng)絡設備電氣布線需求 ， 設備如圖 32 所示： Cisco Catalyst Express 500 圖 2 思科 500 Catalyst Express 500 Cisco Catalyst 3750 Catalyst 3750 系列的核心是思科 StackWise 技術(shù)，它是一種創(chuàng)新性的堆疊架構(gòu)，提供了一個 32Gbps 的堆疊互聯(lián)，連接多達 9 臺交換機，并將它們整合為一個統(tǒng)一的、邏輯的、針對融合而優(yōu)化的設備，從而讓客戶可以更加放心地部署語音、視頻和數(shù)據(jù)應用。此外，這些平臺還支持業(yè)界最廣泛的有線和無線連接選項，如 T1/E T3/E3。到目前為止，深信服的 SG 產(chǎn)品已擁有十余項發(fā)明專利，并以大量創(chuàng)新技術(shù)和應用始終引領(lǐng)著中國上網(wǎng)行為管理技術(shù)的發(fā)展方向。據(jù)國際權(quán)威調(diào)查機構(gòu) FROST amp。 圖 8 深信服廣域網(wǎng)加速 Sangfor WOC SANGFOR AD 深信服 AD(Application Delivery)系列應用交付設備，使您的業(yè)務發(fā)布更加快速、穩(wěn)定，大幅度提升應用的訪問體驗。 商業(yè)智能分析功能（ BI）通過提供資源訪問者的訪問時間分布規(guī)律、地域分布 特 13 性以及對各類應用的訪問偏好，幫助在此基礎(chǔ)之上對網(wǎng)絡、物流、業(yè)務流程、產(chǎn)品設計、商業(yè)策略等方面進行調(diào)整和優(yōu)化 ， 通過網(wǎng)絡技術(shù)促進業(yè)務發(fā)展。 IP 地址規(guī)劃原則： (1)簡單性：地址的分配應該簡單，避免在主干上采用復雜的掩碼方式； (2)連續(xù)性：為同一個網(wǎng)絡區(qū)域分配連續(xù)的網(wǎng)絡地址，便于采用路由收斂(Summarization)及 CIDR[5](Classless InterDomain Routing)技術(shù)縮減路由表的表項，提高路由器的處理效率； (3)可擴充性：為一個網(wǎng)絡區(qū)域分配的網(wǎng)絡地址應該具有一定的容量，便于主機數(shù)量增加時仍然能夠 保持地址的連續(xù)性； (4)靈活性：地址分配不應該基于某個網(wǎng)絡路由策略的優(yōu)化方案，應該便于多數(shù)路由策略在該地址分配方案上實現(xiàn)優(yōu)化； (5)可管理性：地址的分配應該有層次，某個局部的變動不要影響上層、全局。 VLAN 是 一種將局域網(wǎng)設備從邏輯上劃分成一個個 網(wǎng)段 ，從而實現(xiàn)虛擬工作組的新興 數(shù)據(jù)交換技術(shù) 。對于 東莞 分公司，在核心設備上主要劃分 3 個虛擬局域網(wǎng)，其中編號為 52 的 Vlan 為分部研發(fā)部門所使用，編號為 53 的 Vlan 為分部辦公部門所使用，編號為 30 的 Vlan 為分部網(wǎng)管所使用。 劃分 VLAN 的基本策略：從技術(shù)角度講， VLAN 的劃分可依據(jù)不同原則，一般有以下三種劃分方法： VLAN 劃分： 這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。網(wǎng)絡管理員可按 MAC 地址把一些站點劃分為一個邏輯子網(wǎng)。這種協(xié)議最早由 Cisco 交換機提出，目前得到所有交換機廠商的支持，其國際標準為 [7]。 STP 實際上將接口置于轉(zhuǎn)發(fā)或禁止狀態(tài)，如果一個接口沒有適當?shù)睦碛商幱谵D(zhuǎn)發(fā)狀態(tài)， STP 就會將其置于堵塞狀態(tài)。 可能多個網(wǎng)橋連接到同一個以太網(wǎng)段，與路徑到此網(wǎng)段上的其他網(wǎng)橋相比，到達根網(wǎng)橋開銷最小的網(wǎng)橋的接口處于轉(zhuǎn)發(fā)狀態(tài)?；诙丝趨R聚（ Trunk）功能，允許交換機與交換機、交換機與路由器、主機與交換機或路由器之間通過兩個或多個端口并行連接同時傳輸以提供更高帶寬、更大吞吐量，大幅度提供整個網(wǎng)絡能力。 ACL 適用于所有的被路由協(xié)議，如 IP、 IPX、 AppleTalk等。 ACL 提供對通信流量的控制手段。 路由部分 路由協(xié)議工作在 OSI 參考模型的第 3 層，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。 動態(tài)路由協(xié)議 OSPF OSPF 路由協(xié)議是一種典型的鏈路狀態(tài)（ Linkstate）的路由協(xié)議，一般用于同一個路由域內(nèi)。運行距離矢量路由協(xié)議的路由器是將部分或全部的路由表傳遞給與其相鄰的路由器。靜態(tài)路由信息在缺省情況下是私有的，不會傳遞給其他的路由器 。 實現(xiàn)鏈路故障的冗余備份。主要的技術(shù)手段有： (1)通過改善傳統(tǒng)的協(xié)議，提高傳輸效率。網(wǎng)絡中有許多重復數(shù)據(jù)在來回傳輸，流緩存算法的根本目的就是用一個標簽代替已經(jīng)傳輸過的重復數(shù)據(jù)，減少網(wǎng)間數(shù)據(jù)傳輸產(chǎn)生的相應流量，從而提高網(wǎng)絡吞吐率。主要的協(xié)議代理技術(shù)有 TCP 代理， HTTP/HTTPS 代理， FTP 代理 ，網(wǎng)上鄰居代理， POP3/SMTP 代理， RDP 代理 Citrix 代理， Oracle 代理等等。大中型組織統(tǒng)一信息平臺建立和資源共享的需求越來越普遍，而需要實現(xiàn)全省乃至全國所有分支機構(gòu)的互聯(lián)所帶來的高昂專線費用則大大增加了企業(yè)的運營成本。深信服 IPSec VPN 可助您在大專網(wǎng)中劃分小專網(wǎng)，對重要信息系統(tǒng)進 行安全加固，保證部門核心數(shù)據(jù)的安全性。 IPSEC VPN 技術(shù) SSL VPN 是解決遠程用戶訪問敏感公司數(shù)據(jù)最簡單最安全的解決技術(shù)。 (2)內(nèi)網(wǎng)分區(qū)邏輯隔離保護。 22 網(wǎng)絡地址轉(zhuǎn)換 NAT(Network Address Translation)屬接入廣域網(wǎng) (WAN)技術(shù) ,是一種將私有 (保留 )地址轉(zhuǎn)化為合法 IP地址 的轉(zhuǎn)換技術(shù) ,它被廣泛應用于各種類 Inter 接入方式和各種類型的網(wǎng)絡中。深信服 AC系列 上網(wǎng)行為管理產(chǎn)品通過基于應用類型、網(wǎng)站類別、文件類型、用戶 /用戶組、時間段等的細致帶寬分配策略限制 P2P、在線視頻、大文件下載等不良應用所占用的帶寬，保障 OA、 ERP等辦公應用獲得足夠的帶寬支持，提升上網(wǎng)速度和網(wǎng)絡辦公應用的使用效率。深信服 AC 系列上網(wǎng)行為管理產(chǎn)品可以幫助組織詳盡記錄用戶的上網(wǎng)軌跡，做到網(wǎng)絡行為有據(jù)可查，滿足組織對網(wǎng)絡行為記錄的相關(guān)要求、規(guī)避可能的法規(guī)風險。 通過部署深信服 AC 系列上網(wǎng)行為管理產(chǎn)品，利用其內(nèi)置的危險插件和惡意腳本過濾等創(chuàng)新技術(shù)過濾掛馬網(wǎng)站的訪問、封堵不良網(wǎng)站等，從源頭上切斷病毒、木馬的潛入，再結(jié)合終端安全強度檢查與網(wǎng)絡準入、 DDOS 防御、 ARP 欺騙防護等多種安全手段， 一旦有病毒入侵，上網(wǎng)行為管理根據(jù)自己的規(guī)則匹配庫，對病毒進行防范， 實現(xiàn)立體式安全護航，確保組織安全上網(wǎng)。 深信服產(chǎn)品作為 專 業(yè)的應用交付設備，能夠為用戶的應用發(fā)布提供全方位的解決方案，包括鏈路優(yōu)化和服務器優(yōu)化，四到七層負載均衡，實現(xiàn)對各個服務器狀態(tài)的實時監(jiān)控，同時根據(jù)預設的規(guī)則將請求分配給相應服務器，以此最終實現(xiàn)數(shù)據(jù)流的合理 的 分配所有的服務器都得到充分的利用，擴展應用系統(tǒng)的整體處理能力， 提高應用系統(tǒng) 的 穩(wěn)定性，改善用戶的訪問體驗，降低組織 IT 投資成本。 (3)發(fā) 布 loopback 接口網(wǎng)段，上聯(lián)網(wǎng)段，業(yè)務網(wǎng)段和下聯(lián)網(wǎng)段。如圖 11 所示： 對于東莞分部和廣州總部的對接，我們采用廣域網(wǎng)的方式來實現(xiàn)。 (2)在本設備相應的串行口下，封裝 PPP 協(xié)議，將其劃分到 Multilink 接口下并激活該接口。固我們采用 STP（生成樹協(xié)議）來從邏輯上避免環(huán)路的產(chǎn)生，當網(wǎng)絡拓撲發(fā)生變更時，設備間通過交換 BPDU[15]，重新計算生成樹，實現(xiàn)動態(tài)收斂。 （ 4） 其他非根網(wǎng)橋和備份根網(wǎng)橋設備，默認開啟 STP，并且默認優(yōu)先級值為 32768。 （ 3） 將主網(wǎng)關(guān)的優(yōu)先級設置為 120，備份網(wǎng)關(guān)采用默認 100