【正文】 總部Vlan ip地址分配表Vlan 號IP地址范圍網(wǎng)關(guān)2345678910112055 ip地址分配表Vlan號Ip地址范圍網(wǎng)關(guān)2345622 綜合布線方案 需求分析高科通信技術(shù)有限公司總部園區(qū)內(nèi)包括辦公樓，宿舍樓和生產(chǎn)大樓各一棟，公司辦公大樓和宿舍樓的距離已經(jīng)超過了雙絞線布線的技術(shù)要求，因此采用光纖進(jìn)行布線。 設(shè)備選型設(shè)備位置設(shè)備名稱優(yōu)點(diǎn)設(shè)備數(shù)量核心層—核心交換機(jī)CiscoWSC6509E轉(zhuǎn)發(fā)速率快，設(shè)備穩(wěn)定可靠2匯聚層—匯聚層交換機(jī)CiscoWSC356024TSS具有12個(gè)千兆位以太網(wǎng)SFP端口，支持單模及多模光纖2核心層—防火墻Cisco PIX525基于標(biāo)準(zhǔn)的虛擬專網(wǎng)、自適應(yīng)安全算法、靜態(tài)故障切換/熱備用2接入層—接入層交換機(jī)CiscoWSC295024TCL可以實(shí)現(xiàn)堆疊，以保證端口數(shù)量足夠的多16邊界路由器Cisco 2811具有入侵保護(hù)防火墻功能2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)高科通信技術(shù)有限公司企業(yè)網(wǎng)由辦公子網(wǎng)、宿舍樓子網(wǎng)、服務(wù)器區(qū)、路由區(qū)以及分部子網(wǎng)構(gòu)成。所謂非法流量，防火墻拒絕通過的流量。不會成為根端口，只會監(jiān)聽bpdu，當(dāng)交換機(jī)拿開后這個(gè)端口又會正常收斂[14]。除了console口從其余接口登錄設(shè)備均采用AAA認(rèn)證，并對操作行為進(jìn)行審計(jì)。在接入層與核心層之間采用了環(huán)形拓?fù)湓O(shè)計(jì)，為了避免二層環(huán)路，在核心層與接入層之間部署STP。 主干網(wǎng)解決方案(1)鏈路選型 為了實(shí)現(xiàn)數(shù)據(jù)在企業(yè)網(wǎng)內(nèi)部能夠高速的轉(zhuǎn)發(fā)而實(shí)現(xiàn)數(shù)據(jù)的低延遲轉(zhuǎn)發(fā)，在接入層采用百兆鏈路到桌面，在這種要求下，對于一個(gè)24口交換機(jī)而言，上行最大流量為100*24*2=4800M，從網(wǎng)絡(luò)的可擴(kuò)展性考慮，企業(yè)網(wǎng)匯聚層與核心層之間應(yīng)該采用萬兆鏈路比較適宜。如果這條鏈路是半雙工操作，只需要簡單的機(jī)制便可保證兩個(gè)端用戶輪流工作。端用戶因?yàn)楣收隙C(jī)時(shí)也不會影響其他端用戶間的通信但這種結(jié)構(gòu)非常不利的一點(diǎn)是，中心系統(tǒng)必須具有極高的可靠性，因?yàn)橹行南到y(tǒng)一旦損壞，整個(gè)系統(tǒng)便趨于癱瘓。FDDI采用令牌傳遞的方式解決共享信道沖突問題，與共享式以太網(wǎng)CSMA/CD的效率相比在理論上要稍高一點(diǎn)，然而FDDI與以太網(wǎng)一樣，其本質(zhì)仍是介質(zhì)共享、連接的網(wǎng)絡(luò)，這就意味著仍然不能提供服務(wù)質(zhì)量，保證更高的帶寬利用率。是最早期的以太網(wǎng)標(biāo)準(zhǔn)，采用雙絞線或者同軸電纜為傳輸介質(zhì)。因此，市場對中小型企業(yè)網(wǎng)絡(luò)的需求是很大，其工程實(shí)施后能將投資成本回收并且盈利，并且維護(hù)起來也比較容易。企業(yè)申請了一個(gè)公網(wǎng)地址:。分部具有信息部、財(cái)務(wù)部、行政部、后勤部、業(yè)務(wù)部、人力資源部等部門。 (5)采用OA辦公，做到集數(shù)據(jù)、圖像、聲音三位一體，提高企業(yè)管理效率、降低企業(yè)信息傳遞成本。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣。Master周期性地發(fā)送Advertisement，Backup如果一定時(shí)間內(nèi)未收到Advertisement，認(rèn)為Master Down，進(jìn)行新一輪的Master選舉，同時(shí)，VRRP組路由器不需手動配置搶占[6]。(4)STP技術(shù) STP(spanningtree Protocol)即生成樹協(xié)議，當(dāng)交換機(jī)發(fā)現(xiàn)拓?fù)渲杏协h(huán)時(shí)，會邏輯的阻塞一個(gè)或者更多的交換機(jī)端口來消除二層環(huán)路的技術(shù)，當(dāng)網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)，運(yùn)行STP的交換機(jī)會自動重新配置他的端口以避免環(huán)路的產(chǎn)生或連接丟失[5]。而企業(yè)網(wǎng)是基于這個(gè)交換架構(gòu)的網(wǎng)絡(luò)，因此在交換式的網(wǎng)絡(luò)中有眾多技術(shù) VLAN、TRUNK、DHCP、STP、ETHERCHANNEL等。(2)路由技術(shù) 路由技術(shù)是指通過相互連接的網(wǎng)絡(luò)把信息從源地點(diǎn)移動到目標(biāo)地點(diǎn)的活動，一般來說，在路由過程中，信息至少會經(jīng)過一個(gè)或多個(gè)中間節(jié)點(diǎn)。針對以上問題的出現(xiàn)，傳統(tǒng)的單區(qū)域OSPF企業(yè)網(wǎng)的設(shè)計(jì)已經(jīng)不再滿足各個(gè)企業(yè)的需求了，為了解決這些問題，OSPF被設(shè)計(jì)為可將大區(qū)域分成仍然能夠交換路由選擇信息的多個(gè)較小的、更易于管理的區(qū)域，OSPF的這種將大型網(wǎng)絡(luò)分成多個(gè)區(qū)域的能力被稱為結(jié)構(gòu)化路由選擇，這樣的設(shè)計(jì)將許多內(nèi)部路由選擇的運(yùn)作，比如計(jì)算數(shù)據(jù)庫，限制在一個(gè)區(qū)域內(nèi)，這樣就解決了單區(qū)域OSPF網(wǎng)絡(luò)出現(xiàn)的問題，滿足客戶的實(shí)際需求。同時(shí)它也是市場經(jīng)濟(jì)發(fā)展與激烈市場競爭的產(chǎn)物，尤其是中小型企業(yè)網(wǎng)，顧客對產(chǎn)品的需求在不斷向多樣化、高質(zhì)量、高性能和價(jià)格合理的方向發(fā)展，更是隨著經(jīng)濟(jì)的發(fā)展層出不窮，為應(yīng)付瞬息萬變的市場需求，企業(yè)網(wǎng)絡(luò)的建設(shè)必然向信息化發(fā)展。 企業(yè)網(wǎng)的發(fā)展趨勢目前國內(nèi)有關(guān)中小型企業(yè)網(wǎng)的設(shè)計(jì)還是處于發(fā)展階段，常用的企業(yè)網(wǎng)設(shè)計(jì)基本上可以滿足一般用戶的要求，但是現(xiàn)有的企業(yè)網(wǎng)分散且不一致，甚至有些部門或分支機(jī)構(gòu)在單機(jī)上運(yùn)行一些獨(dú)立的應(yīng)用，由于這些應(yīng)用時(shí)分散決策和各自實(shí)施的結(jié)果，缺乏整體性的設(shè)計(jì)，更沒有統(tǒng)一的標(biāo)準(zhǔn)，因此在業(yè)務(wù)互相銜接的應(yīng)用系統(tǒng)之間缺乏一致性，造成應(yīng)用水平低的結(jié)果；而且現(xiàn)有的中小型企業(yè)網(wǎng)大多數(shù)是基于RIP，單區(qū)域的OSPF路由技術(shù)的網(wǎng)絡(luò)設(shè)計(jì)，雖然許多功能已經(jīng)基本實(shí)現(xiàn)，但是在性能和安全方面還有待提高[1]。(3)概要設(shè)計(jì) 主要包括企業(yè)網(wǎng)建設(shè)目標(biāo)，現(xiàn)狀分析，以及需求分析。這一區(qū)別決定了路由和交換在移動信息過程中使用不同的控制信息，所以兩者實(shí)現(xiàn)各自的功能的方式是不同的。同時(shí)，VLAN可以分組設(shè)備，不同VLAN中的設(shè)備相互不可見。通過這一技術(shù)可以大大的緩解核心層中設(shè)備使用過于集中而備份設(shè)備出現(xiàn)閑置的情況，在企業(yè)存在分部的情況下，分部與總部需要互相連通，那么動態(tài)路由協(xié)議OSPF則使用的比較廣泛。其最近版本，OSPF版本2，在RFC 2328中進(jìn)行了描述。高科通信技術(shù)有限公司企業(yè)網(wǎng)主要建設(shè)一個(gè)企業(yè)信息系統(tǒng)，它以管理信息為主體，連接生產(chǎn)、銷售、維護(hù)、運(yùn)營子系統(tǒng)，是一個(gè)面向公司的日常業(yè)務(wù)、立足生產(chǎn)、面向社會，輔助領(lǐng)導(dǎo)決策的計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)。應(yīng)具備未來良好的可擴(kuò)展性，可升級性，保護(hù)公司的投資；設(shè)備要在滿足該項(xiàng)目的功能和性能上還具有良好的性價(jià)比；設(shè)備在選型上要是擁有足夠?qū)嵙褪袌龇蓊~的主流產(chǎn)品，同時(shí)也要有好的售后服務(wù)。分部設(shè)備管理中心：對于一個(gè)分公司來講，一個(gè)地區(qū)的網(wǎng)絡(luò)管理和整個(gè)企業(yè)網(wǎng)絡(luò)的設(shè)備管理是一樣的，只是相對總部來講設(shè)備比較少，管理比較容易點(diǎn)而已。(4)ACL訪問控制要求：分部生產(chǎn)業(yè)務(wù)只能訪問總部生產(chǎn)業(yè)務(wù)及總部服務(wù)器網(wǎng)段；分部辦公業(yè)務(wù)只能訪問總部辦公業(yè)務(wù)、總部服務(wù)器網(wǎng)段和上Internet。解決前者主要是采用劃分Vlan、訪問控制列表(ACL)等方法來區(qū)分各業(yè)務(wù)流以及企業(yè)員工的訪問權(quán)限，而后者則主要是應(yīng)用防火墻技術(shù)來保證整個(gè)企業(yè)數(shù)據(jù)的安全性，防止非法的操作。在用戶已經(jīng)很熟悉傳統(tǒng)以太網(wǎng)的情況下，快速以太網(wǎng)相對其他高速網(wǎng)絡(luò)技術(shù)更容易被掌握和接受。ATM技術(shù)具有如下特點(diǎn)：實(shí)現(xiàn)網(wǎng)絡(luò)傳輸?shù)逆溄臃?wù)，實(shí)現(xiàn)服務(wù)質(zhì)量(QoS)；交換吞吐量大，帶寬利用率高，具有靈活的組網(wǎng)拓?fù)浣Y(jié)構(gòu)和負(fù)載均衡能力，伸縮性，可靠性極高：ATM是現(xiàn)今唯一一個(gè)可同時(shí)用于局域網(wǎng)、廣域網(wǎng)兩種網(wǎng)絡(luò)應(yīng)用領(lǐng)域的網(wǎng)絡(luò)技術(shù)，它將局域網(wǎng)與廣域網(wǎng)技術(shù)統(tǒng)一。這種結(jié)構(gòu)鮮而易見消除了端用戶通信時(shí)對中心系統(tǒng)的依賴性。對此研究了一種在總線共享型網(wǎng)絡(luò)使用的媒體訪問方法，帶有碰撞檢測的載波偵聽多路訪問，即CSMA/CD。在高科通信技術(shù)有限公司網(wǎng)絡(luò)設(shè)計(jì)方案中采用ospf作為主干網(wǎng)的路由協(xié)議。(3)分部辦公子網(wǎng)設(shè)計(jì)企業(yè)分部主要業(yè)務(wù)為實(shí)現(xiàn)辦公自動化，郵件，Internet訪問。(2)dhcp Server的拒絕服務(wù)攻擊攻擊者不斷發(fā) dhcp請求把 dhcp Server上合法的ip地址都申請完，讓其“下班”此時(shí)再由黑客冒充 dhcp Server為整個(gè)網(wǎng)絡(luò)分配錯誤的ip地址，使網(wǎng)絡(luò)不能與外界通信。 總部與分部互聯(lián)安全性部署在本方案中分部與總部互聯(lián)采用gre vpn來實(shí)現(xiàn)總部與分部的互聯(lián)，gre可以支持組播，這種情況下總部與分部可以通過ospf動態(tài)路由協(xié)議來實(shí)現(xiàn)總部與分部之間的路由。 ACL訪問控制設(shè)計(jì)在企業(yè)網(wǎng)內(nèi)部，財(cái)務(wù)部除了總裁辦和財(cái)務(wù)部成員可以訪問，其余部門不能對財(cái)務(wù)部進(jìn)行訪問，在總部和分部都可以通過acl訪問控制列表來實(shí)現(xiàn)。服務(wù)器區(qū)為公司的服務(wù)器群，提供FTP、DNS、WEB等服務(wù)。整個(gè)企業(yè)網(wǎng)共有信息點(diǎn)500個(gè)左右，公司總部公有信息點(diǎn)400左右，分公司有100個(gè)左右。(3)垂直干線子系統(tǒng)(Riser Backbone subsystem)垂直干線子系統(tǒng)也稱骨干(Riser Backbone)子系統(tǒng)，它是整個(gè)建筑物綜合布線系統(tǒng)的一部分。建筑群子系統(tǒng)提供大樓內(nèi)通信網(wǎng)絡(luò)信息交換的主干通道。因此，本方案建議采用AVAYA 超五類UTP 產(chǎn)品，其傳輸帶寬可達(dá)200MHZ 以上，可靠支持新的千兆以太網(wǎng)、 ATM及高達(dá)550MHZ的寬帶語音應(yīng)用，為今后新的高速網(wǎng)絡(luò)應(yīng)用留有充足的性能余量。在安裝中，應(yīng)盡量使用性能優(yōu)良、質(zhì)量可靠的管路和線纜，保證用戶日后不破壞建筑結(jié)構(gòu)。(4)依次填寫“網(wǎng)站描述”、“IP 地址”、“端口號”、“路徑”和“網(wǎng)站訪問權(quán)限”等。Router(config)interface Ethernet1/0ip nat inside interface Ethernet1/1ip nat inside interface E0/1ip nat outsideaccesslist 100 permit ip anyip nat inside source list 100 interface E0/1 overload默認(rèn)路由設(shè)置：為公司內(nèi)部訪問Internet提供路由，下一條設(shè)置為路由器的出接口E0/1，配置命令如下：Router(config)ip route E0/1vpn的配置：本方案中采用vpn與分部互聯(lián)， 。另外企業(yè)分部與總部采用vpn技術(shù)互聯(lián)，價(jià)格低廉，由于設(shè)備對數(shù)據(jù)包進(jìn)行加解密需要耗費(fèi)大量的資源，在數(shù)據(jù)包過多的情況下會影響網(wǎng)絡(luò)的可靠性。最后，感謝所有在我大學(xué)學(xué)習(xí)中幫助過我的領(lǐng)導(dǎo)、老師和同學(xué)們，祝他們工作順利，身體健康，萬事如意！30