【導讀】道德、學術規(guī)范和其他侵權行為。文中引用他人的文獻、數(shù)據(jù)、圖件、育機構(gòu)的學位或證書而使用過的材料。對本設計（論文）的研究做出重。要貢獻的個人和集體，均已在文中以明確方式標明。本畢業(yè)設計（論文）。引起的法律結(jié)果完全由本人承擔。本畢業(yè)設計（論文）成果歸東華理工大學所有。一致性和準確性。決定了網(wǎng)絡將成為信息時代的主要工具。隨著計算機網(wǎng)絡技術的發(fā)展，網(wǎng)絡已成。在國民經(jīng)濟信息化進程中,企業(yè)如何提高自身競爭力,怎樣利用Inter. 技術帶來的機遇和挑戰(zhàn),來提高工作效率和管理科學水平,是亟待解決的問題。析，最后按照需求分析結(jié)果來闡述公司局域網(wǎng)絡的設計與規(guī)劃。對于網(wǎng)絡中可能存在的安全威脅，針對不同的需求，方案中提出了VLAN. 全、高效、可靠的公司網(wǎng)絡。

　　

【正文】 服務器選型 網(wǎng)絡服務器的選型是網(wǎng)絡系統(tǒng)建設的重要內(nèi)容之一，從應用的角度來看，網(wǎng)絡服務器的類型可以分為：文件服務器、數(shù)據(jù)庫服務器、 Inter 通用服務器與應用服務器等。我們選擇一臺機架式 IBM System x3650 M4(24500 元 )作為公司的服務器， IBM System x3650 M4 的外觀結(jié)構(gòu)如圖 36，該服務器 CUP 為 8 核16 線程， CPU 頻率 2GHz，內(nèi)存容量 8GB，內(nèi)存插槽數(shù) 24，最大內(nèi)存容量 768GB，硬盤接口類型 是 SATA/SAS， 最大硬盤容量 為 9TB。 系統(tǒng)支持 （ Windows Server， Red Hat Enterprise Linux， SUSE Linux Enterprise Server,VMware vSphere） ，電源功率為 750W。 圖 36 IBM System x3650 M4 路由協(xié)議選擇 路由器的基本工作原理是接口收到 IP 包后，分析 IP 包的目的地址然后根據(jù)路由表的指示，進行下一跳的轉(zhuǎn)發(fā)。根據(jù)路由的生成方式，路由被分為靜態(tài)路由和動態(tài)路由。靜態(tài)路由通過手工配置生成路由，是建立路由表最簡單的方法，對東華理工大學畢業(yè)設計（ 論文） 網(wǎng)絡設計 20 于小型網(wǎng)絡，一般只使用靜態(tài)路由。動態(tài)路由由運行在路由器上的動態(tài)路由協(xié)議自動生成的，適用與經(jīng)常發(fā)生變化的網(wǎng)絡，減小了網(wǎng)管人員的維護難度。 為達到路由快速收斂、尋址以及方便網(wǎng)絡管理員管理的目的，我們采用動 態(tài)路由協(xié)議，目前較好的動態(tài)路由協(xié)議是 OSPF 協(xié)議和 EIGRP 協(xié)議， OSPF 以協(xié)議標準化強，支持廠家多，受到廣泛應用，而 EIGRP 協(xié)議由 CISCO 公司發(fā)明，只有CISCO 公司自己的產(chǎn)品支持，屬于私有性質(zhì)。 OSPF 路由協(xié)議特點有： 鏈路狀態(tài)協(xié)議沒有環(huán)路；根據(jù)帶寬選擇路徑；路由會聚能力更強；快速收斂；支持 VLSM 和CIDR。 在網(wǎng)絡設計中，路由協(xié)議的選擇，主要是考慮各種協(xié)議的不同特點，而且有時會是幾種路由協(xié)議配合工作。考慮到公司網(wǎng)絡的擴展性、穩(wěn)定性、可靠性等原因，我們選擇 OSPF 作為主要的路由協(xié)議，與 ISP 的邊緣 部分則選用靜態(tài)路由的方式連接，另外我們還采用了 VRRP 虛擬路由冗余協(xié)議，它保證當主機的下一跳路由器失效時，可以及時地由另一臺路由器來代替，從而保持通訊的連續(xù)性和可靠性。 綜合布線設計 綜合布線是對傳統(tǒng)布線方式的徹底變革，經(jīng)過統(tǒng)一的規(guī)劃設計，它將所有話音、數(shù)據(jù)、視頻信號與控制設備的配線等綜合在一套標準的配線系統(tǒng)中。目前被廣泛遵循的綜合布線標準有： TIA/EIA 標準； ISO/IEC 標準。 公司 局域網(wǎng) 綜合 布線設計的依據(jù)是網(wǎng)絡的分布架構(gòu) ，網(wǎng)絡布線必須有較長遠的考慮 。 在局域網(wǎng)布線時，應該充分考慮到將來網(wǎng)絡擴展 可能需要的最大接入節(jié)點數(shù)量、接入位置的分布和用戶使用的方便性。 綜合布線系統(tǒng)構(gòu)成 綜合布線系統(tǒng)是開放式結(jié)構(gòu)，能支持電話及多種計算機數(shù)據(jù)系統(tǒng)，還能支持會議電視、監(jiān)視電視等系統(tǒng)的需要。根據(jù) ISO/IEC 標準，結(jié)構(gòu)化綜合布線系統(tǒng)可分為 6 個獨立的布線子系統(tǒng)。 工作區(qū)子系統(tǒng) 工作區(qū)子系統(tǒng)又稱服務區(qū)子系統(tǒng)，它是由 RJ45 插座和其他所連接的設備（終端或計算機）組成。 水平配線子系統(tǒng) 水平子系統(tǒng)也成為水平布線子系統(tǒng)。水平子系統(tǒng)是從 RJ45 插座開始到管理 子系統(tǒng)的配線柜，結(jié)構(gòu)一般為星型。與主干子系統(tǒng) 的區(qū)別是：水平布線子系 統(tǒng)總是在一個樓層上，并與插座連接。 垂直干線子系統(tǒng) 垂直干線子系統(tǒng)提供建筑物的垂直電纜，負責連接管理子系統(tǒng)到設備間子系 統(tǒng)。 東華理工大學畢業(yè)設計（ 論文） 網(wǎng)絡設計 21 設備間子系統(tǒng) 設備間子系統(tǒng)是布線系統(tǒng)最主要的管理區(qū)域，所有樓層的通信都由電纜或光纜傳送至此。通常，此系統(tǒng)安裝在計算機系統(tǒng)、網(wǎng)絡系統(tǒng)和程控機系統(tǒng)的主機房內(nèi)。 管理子系統(tǒng) 管理子系統(tǒng)安裝通信布線系統(tǒng)設備，包括水平、主干布線系統(tǒng)的機械和電氣終端。管理子系統(tǒng)設置在樓層配線設備的房間內(nèi)，應由交接間的配線設備、輸入/輸出設備等組成。 建筑群子系統(tǒng) 建筑群子系統(tǒng)提供外部建筑 物與大樓內(nèi)布線的連接點。 EIA/TIA569 標準規(guī)定了網(wǎng)絡接口的物理規(guī)格，實現(xiàn)建筑群之間的連接。建筑群子系統(tǒng)是綜合布線系統(tǒng)的骨干部分，它支持樓宇之間通信所需要的硬件，其他包括導線電纜、光纜及防止電纜上的脈沖電壓進入建筑物的電氣保護裝置。 如圖 37 所示為綜合布線系統(tǒng)構(gòu)成結(jié)構(gòu)圖： 圖 37 綜合布線系統(tǒng)構(gòu)成結(jié)構(gòu) 公司綜合布線設計 由于公司涉及的建筑物較多，規(guī)模較大，應此將其定位為智能化園區(qū)綜合布線系統(tǒng)。整個園區(qū)一共有 720 左右個信息點，即深圳總部有 600 左右，北京分公司有 120 左右個。針對以上要求 ,對計算機內(nèi)網(wǎng)綜合布線系統(tǒng)提出自己的解決方案：水平系統(tǒng)和工作區(qū)采用超五類元件，主干部分采用光纖。 深圳總部和北京分公司它們之間的距離已超過雙絞線布線的技術要求，因此采用光纖進行布線。 公司建筑群間的光纜采用多模光纖系統(tǒng)，大樓內(nèi)的布線則采用的超五類雙絞東華理工大學畢業(yè)設計（ 論文） 網(wǎng)絡設計 22 線結(jié)構(gòu)化布線系統(tǒng)。根據(jù)技術規(guī)范，選用超五類非屏蔽系統(tǒng)，其傳輸速度可達到100Mbit/s，傳 輸頻率為 100MHz。超五類線是 ANSI/EIA/ 和 IOS 5 類/D 級標準中用于運行快速以太網(wǎng)的非屏蔽雙絞線電纜。與五類線纜相比，超五類在近端串擾、串擾總和、衰減和信噪比 4 個主要指標上都有較大的改進。 為了滿足公司將來靈活組網(wǎng)的需要，在公司綜合樓、行政辦公樓、等建筑物內(nèi)各設有配線間，部分樓層中均設有無線 AP 以適應移動辦公需求，中心機房安置在總部行政樓的 10 樓，所有核心層設備，以及 服務器，網(wǎng)管工作站均放在中心機房，方便統(tǒng)一管理。 第 4 章 網(wǎng)絡規(guī)劃 東華理工大學畢業(yè)設計（ 論文） 網(wǎng)絡規(guī)劃 23 VLAN 的劃分及 IP地址規(guī)劃 VLAN 的劃分一般有三種方法，一是基于端口、二是基于 MAC 地址、最后是基于路由的劃分。在這里我們采用基于端口的劃分，把一個或者多個交換機上的端口放到一個 VLAN 內(nèi)，這個方法是最簡單最有效的，網(wǎng)絡管理人員只需要對網(wǎng)絡設備的交換端口進行分配即可，不用考慮端口所連接的設備。 根據(jù)公司情況，每個部門劃分為一個 VLAN，各部門分別屬于不同的網(wǎng)段，各部門之間在邏輯上被隔離，但是各部門間的通訊。另外公司的男公寓樓與女公寓樓各劃分成一個 VLAN。 VLAN 及 IP 地址分配情況如下表 41 所 示： 表 41 ip地址分配表 部門 VLAN 網(wǎng)段 網(wǎng)關 子網(wǎng)掩碼 行政管理部 2 財務部 3 人力資源部 4 技術部 5 生產(chǎn)部 6 銷售部 7 男公寓樓 8 女公寓樓 9 主要網(wǎng)絡設備的本端接口 IP 地址與對端接口 IP 地址規(guī)劃如表 42 所示：其中 MS1， MS2 為兩臺核心路由交換， R1， R2， R3， R4 為四臺路由 器， Server 為一臺服務器。 表 42 設備接口 IP 本端設備 接口 IP地址 對端設備 接口 IP地址 MS1 Fa0/7 Fa0/8 Fa0/9 MS2 Fa0/7 Fa0/8 R1 S0/3/0 R3 S0/3/0 基本配置命令 東華理工大學畢業(yè)設計（ 論文） 網(wǎng)絡規(guī)劃 24 此僅以公司接入層交換機 AS1 為例，詳細介紹路由器與交換機的一些基本配置命令，以后其它相關設備的相關基本配置以后將不再累述。圖 41 是在 Cisco Packet Tracer 模擬軟件上的配置拓樸圖。 圖 41 實驗配置拓樸圖 （ 1）設置交換機名稱 如果網(wǎng)絡中的多個交換機（路由器）使用出場時的默認主機名 Switch （ Router），將會在網(wǎng)絡配置和維護時造成很大的混亂，如：當使用 Tel 或SSH 訪問遠程網(wǎng)絡設備以維護網(wǎng)絡時，必須確認已向正確的設備進行了連接，如果設備都使用其默認的而名稱，我們就無法確定連接的是不是正確的設備，故通過交換機名稱提示符提示自己當前配置交換機的位置是很有必要的。為公司接入層交換機 AS1 命名命令如下： Switch（ config） hostname AS1 （ 2）設置交換機的加密使能口令 當用戶想從用戶模式進入特權模式時，需要輸入此口令。此口令會以 MD5 的形式加密，因此，當用戶通過 show runningconfig 等命令查看配置文件時，口令將以密文的形式出現(xiàn)，不同于 password（口令不加密）。將交換機的加密使能口令配置為 cisco2960 的命令如下： AS1（ config） enable seceret cisco2960 （ 3）設置控制臺線路口令 東華理工大學畢業(yè)設計（ 論文） 網(wǎng)絡規(guī)劃 25 Cisco IOS 設備的控制臺端口具有特別 的權限，做為最低限度的安全措施，必須為所有的網(wǎng)絡設備的控制臺端口配置強口令，這可以降低未經(jīng)授權的人員將電纜插入設備來訪問設備的風險，設置登陸登錄控制臺線路時的口令為 cisco 命令如下 : AS1（ config） line console 0 AS1（ configline） password cisco AS1（ configline） login （ 4）設置登錄標語 盡管要求用戶輸入口令是防止未經(jīng)授權的人員進入網(wǎng)絡的有效方法，但有時必須要向試圖訪問設備的人員聲明僅授權人員才可以訪問設備，出于此目的 ，可以設置登錄標語，它是用戶登錄到交換機時可以看到的消息，警示未經(jīng)授權的人員不要登錄交換機，配置登錄標語的命令如下： AS1（ config） banner motd Activity may be monitored （ 5）設置虛擬終端線路（ VTY）口令 VTY 線路使用戶能通過 tel 或 SSH 訪問遠程網(wǎng)絡設備，對于一個交換網(wǎng)絡來說，它為管理人員管理遠程網(wǎng)絡提供了很多方便，但出于安全考慮，用戶在通過 Tel 或 SSH 訪問設備時必須進行身份驗證，設置登陸虛擬終端線路時的口令為 class 命令如下： AS1（ config） line vty 0 15 AS1（ configline） password class AS1（ configline） login （ 6）激活 IOS 消息命令的同步機制 Cisco IOS 常常會發(fā)送一些未經(jīng)請求的消息，有時候，當管理員正在鍵入命令時，這些消息會突然出現(xiàn)，盡管此類 IOS 消息不會對命令造成影響，但會使管理員找不到之前的鍵入位置，為了不讓這些未經(jīng)請求的輸出對管理員造成影響，可以使用 logging synchronous 設置交換機（路由器）在下一行 CLI 提示符后復制用戶的輸 入，激活 IOS 消息命令的同步機制的命令如下： AS1（ config） line console 0 AS1（ configline） logging synchronous （ 7）配置加密口令 在 Cisco IOS CLI 中配置的口令時，默認情況下，除了使能口令外，其它所有的口令都以明文方式存在的配置文件中，為安全起見，應該將口令加密，不應該以明文格式存儲。配置口令加密的命令如下： AS1（ config） service passwordencryption （ 8）設置終端線路超時時間 東華理工大學畢業(yè)設計（ 論文） 網(wǎng)絡規(guī)劃 26 在設置的時間 內(nèi)，如果沒有檢測到鍵盤的輸入， IOS 將斷開用戶與交換機之間的連接，設置登錄交換機控制臺線路和虛擬終端線路的超時時間為 10 分 30 秒命令如下： AS1（ config） line vty 0 15 AS1（ configline） exectimeout 10 30 AS1（ configline） exit AS1（ config） line console 0 AS1（ configline） exectimeout 10 30 （ 9）禁用 IP 地址解析特性 在交換機的默認配置中，當輸入一條錯誤的交換機命令時 ，交換機會嘗試將其廣播給網(wǎng)絡上的 DNS