【正文】 or from any puter access. From the start the whole enterprise class network needs analysis, based on the mainstream stage cisco network equipment pany selection, with the goal to build the most suitable network topology, designed with network technology. As part of this implementation to build the simulator GNS3 network topology, the use of cisco device operating systems for all equipment within the core topology IOS, routers and switches using SecureCRT for the configuration, and view the experimental results to verify that the network meets business needs.Keywords：Enterprise networks, Topology, Redundancy, Routing, Switching目錄第1章 緒論 1 1 2第2章 關(guān)鍵的網(wǎng)絡(luò)技術(shù)原理 3 大型企業(yè)網(wǎng)絡(luò)的定位 3 關(guān)鍵技術(shù)研究 3 3 4 遠(yuǎn)程訪問技術(shù) 4 VLAN 4 DHCP 5 GRE 5 VPN 6 PVST 6 HSRP 7 AAA認(rèn)證 7第3章 大型企業(yè)網(wǎng)絡(luò)需求分析 9 案例分析 9 大型企業(yè)網(wǎng)絡(luò)分析 11 寬帶性能需求 11 穩(wěn)定可靠需求 11 服務(wù)質(zhì)量需求 12 網(wǎng)絡(luò)安全需求 12 應(yīng)用服務(wù)需求 12 本課題系統(tǒng)需求分析 13第4章 網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn) 14 大型企業(yè)網(wǎng)絡(luò)拓?fù)鋱D 14 VLAN及IP地址的規(guī)劃 14 關(guān)鍵網(wǎng)絡(luò)設(shè)備及數(shù)量 15 關(guān)鍵網(wǎng)絡(luò)設(shè)備介紹 16 18 基礎(chǔ)配置 18 使用VTP 19 劃分VLAN 21 交換鏈路封裝 22 PVST技術(shù) 23 PVST的三個FAST 23 DHCP 24 HSRP 26 根防護(hù) 27 路由協(xié)議 27 GREVPN 29 AAA服務(wù)器 31 PBR 20M專線 31 網(wǎng)管控制 32 33 施工管理 34 施工前準(zhǔn)備 34 設(shè)備及材料 34 施工過程管理 34 施工完成后質(zhì)量的檢查和驗收 34 施工步驟 35第5章 網(wǎng)絡(luò)效果驗證 36 關(guān)鍵三層設(shè)備路由表 36 接入路由器R1路由表 36 核心層交換機(jī)HX1路由表 37 匯聚層交換機(jī)FB1路由表 38 39 本部接入層交換機(jī)SW1訪問服務(wù)器 39 外地分公司R4訪問服務(wù)器 39 外地分公司SW10訪問本部接入交換機(jī) 39 VPN效果驗證 40第6章 結(jié)束語 41致謝 42參考文獻(xiàn) 43附錄 44第1章 緒論今天，迅速發(fā)展的Internet正在對全世界的信息產(chǎn)業(yè)帶來巨大的變革和深遠(yuǎn)的影響。本課題實(shí)施部分由GNS3模擬器來搭建網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，然后用SecureCRT進(jìn)行路由器交換機(jī)的相關(guān)配置，并測試其結(jié)果最終驗證網(wǎng)絡(luò)的規(guī)劃與設(shè)計符合大型企業(yè)的需求。也就是所說的用戶可以對任何一臺進(jìn)行訪問或從任何一臺計算機(jī)進(jìn)行訪問。Intranet是使用Internet技術(shù),特別是TCP/IP協(xié)議而建成的企業(yè)內(nèi)部網(wǎng)絡(luò)。對于大型企業(yè)來說，在調(diào)整發(fā)展戰(zhàn)略時，必須考慮到市場的全球競爭戰(zhàn)略，而這一切也將以信息化平臺為基礎(chǔ)，借助計算機(jī)網(wǎng)絡(luò)原理及網(wǎng)絡(luò)規(guī)劃技術(shù)，以網(wǎng)絡(luò)通暢為保證。 大型企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計摘 要迅速發(fā)展的Internet正在對全世界的信息產(chǎn)業(yè)帶來巨大的變革和深遠(yuǎn)的影響。市場的全球化競爭已成為趨勢。企業(yè)內(nèi)部網(wǎng)（Intranet）是國際互連網(wǎng)（Internet）技術(shù)在企業(yè)內(nèi)部或封閉的用戶群內(nèi)的應(yīng)用。這種技術(shù)允許不同計算機(jī)平臺進(jìn)行互通,且不用考慮其位置。本文從企業(yè)網(wǎng)絡(luò)需求開始分析，根據(jù)現(xiàn)階段cisco公司主流網(wǎng)絡(luò)設(shè)備進(jìn)行選材,規(guī)劃最適用于目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),建設(shè)合理的網(wǎng)絡(luò)設(shè)計方案。關(guān)鍵詞：企業(yè)網(wǎng)絡(luò)，拓?fù)浣Y(jié)構(gòu)，冗余，路由，交換Large Enterprise Network Planning and DesignAbstractThe rapid development of the Internet is all over the world information industry of enormous change and farreaching consequences. Market petition has bee the trend of globalization. For large enterprises, in adjusting the development strategy, must take into account the market39。市場的全球化競爭已成為趨勢。對于大型企業(yè)來說，在調(diào)整發(fā)展戰(zhàn)略時，必須考慮到市場的全球競爭戰(zhàn)略，而這一切也將以信息化平臺為基礎(chǔ)，借助計算機(jī)網(wǎng)絡(luò)原理及網(wǎng)絡(luò)規(guī)劃技術(shù)，以網(wǎng)絡(luò)通暢為保證。因為現(xiàn)代企業(yè)的信息大多都來自于互連網(wǎng)，通過網(wǎng)絡(luò)，企業(yè)可以更快速的接收到來自全球的市場信息；通過Internet與外部世界交換信息，企業(yè)規(guī)劃者可以更快地對企業(yè)作出正確的宏觀調(diào)控與決策，以適應(yīng)市場趨勢。隨著Intranet技術(shù)的不斷發(fā)展,計算機(jī)已經(jīng)逐漸應(yīng)用到企業(yè)中的各個關(guān)鍵部分,極大的提高了企業(yè)的工作效率。而有些大型企業(yè)根據(jù)其自身性質(zhì)等對于網(wǎng)絡(luò)有著更多的需求。因為全中國大部分的金融和通信都經(jīng)過這些企業(yè)，他們的網(wǎng)絡(luò)的穩(wěn)定性直接關(guān)系到國家的政治經(jīng)濟(jì)基礎(chǔ)等各個方面。當(dāng)今中國網(wǎng)絡(luò)的另一個重大問題就是安全。而且很多早期起用的網(wǎng)絡(luò)無論從結(jié)構(gòu)還是技術(shù)上都有很多設(shè)計不合理的問題，這也導(dǎo)致了網(wǎng)絡(luò)的安全性差。當(dāng)然，企業(yè)也會對一些細(xì)節(jié)問題提出要求。這些都是網(wǎng)絡(luò)設(shè)計者需要考慮的問題。簡單地說,Intranet是使用Internet技術(shù),特別是TCP/IP協(xié)議而建成的企業(yè)內(nèi)部網(wǎng)絡(luò)。也就是所說的用戶可以對任何一臺進(jìn)行訪問或從任何一臺計算機(jī)進(jìn)行訪問[1]。我們的網(wǎng)絡(luò)要具有一定的靈活性。這時,為加快企業(yè)內(nèi)部的信息流通,企業(yè)需要將總部和各分支機(jī)構(gòu)連接起來。實(shí)現(xiàn)結(jié)構(gòu)化布線、網(wǎng)絡(luò)的設(shè)計與規(guī)劃、資源共享、專線接入Internet、WWW服務(wù)器、軟硬件配置、劃分企業(yè)子網(wǎng)等技術(shù)實(shí)施。企業(yè)網(wǎng)應(yīng)以多業(yè)務(wù)光傳輸網(wǎng)絡(luò)為基礎(chǔ)，實(shí)現(xiàn)語音、數(shù)據(jù)、圖像、多媒體等的接入。因此電子商務(wù)公司企業(yè)網(wǎng)的定位應(yīng)是為企業(yè)網(wǎng)應(yīng)用提供多業(yè)務(wù)傳送的綜合解決方案。還有就是一些網(wǎng)絡(luò)協(xié)議都是一些廠家私有的，如EIGRP、HDLC等。路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。除了可以完成主要的路由任務(wù)，利用訪問控制列表，路由器還可以用來完成以路由器為中心的流量控制和過濾功能。路由器是外網(wǎng)進(jìn)入企業(yè)網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。一個設(shè)計良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了企業(yè)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。VLAN將廣播域限制在單個VLAN內(nèi)部，減小了各VLAN間主機(jī)的廣播通信對其他VLAN的影響。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時，可以使用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）簡化管理，它只需在單獨(dú)一臺交換機(jī)上定義所有VLAN。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。企業(yè)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次：接入層、分布層、核心層。在本工程案例設(shè)計中，也將采用這三層進(jìn)行分開設(shè)計、配置[3]。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務(wù)。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同，花費(fèi)也不相同。在本工程案例設(shè)計中，分別采用專線連接的VPN和PBR兩種方式實(shí)現(xiàn)遠(yuǎn)程訪問需求[4]。 VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計算機(jī)工作站，與物理上形成的LAN有著相同的屬性。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，即使是兩臺計算機(jī)有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò)。 DHCPDHCP 是 Dynamic Host Configuration Protocol(動態(tài)主機(jī)分配協(xié)議)縮寫。所有的 IP 網(wǎng)絡(luò)設(shè)定數(shù)據(jù)都由 DHCP 服務(wù)器集中管理，并負(fù)責(zé)處理客戶端的 DHCP 要求；而客戶端則會使用從服務(wù)器分配下來的IP環(huán)境數(shù)據(jù)。DHCP是BOOTP的擴(kuò)展，是基于C/S模式的，它提供了一種動態(tài)指定IP地址和配置參數(shù)的機(jī)制。DHCP服務(wù)器自動為客戶機(jī)指定IP地址，指定的配置參數(shù)有些和IP協(xié)議并不相關(guān)，但這必沒有關(guān)系，它的配置參數(shù)使得網(wǎng)絡(luò)上的計算機(jī)通信變得方便而容易實(shí)現(xiàn)了。租期從1分鐘到100年不定，當(dāng)租期到了的時候，服務(wù)器可以把這個IP地址分配給別的機(jī)器使用。 GRE 　　通用路由封裝（GRE: Generic Routing Encapsulation）定義了在任意一種網(wǎng)絡(luò)層協(xié)議上封裝任意一個其它網(wǎng)絡(luò)層協(xié)議的協(xié)議。首先將有效載荷封裝在一個 GRE 包中，然后將此 GRE 包封裝在其它某協(xié)議中并進(jìn)行轉(zhuǎn)發(fā)。當(dāng) IPv4 被作為 GRE 有效載荷傳輸時，協(xié)議類型字段必須被設(shè)置為 0x800。值得注意的是，在轉(zhuǎn)發(fā)這樣一個包時，如果有效載荷包的目的地址就是包的封裝器（也就是隧道另一端），就會出現(xiàn)回路現(xiàn)象。當(dāng) GRE 包被封裝在 IPv4 中時，需要使用 IPv4 協(xié)議 47。包過濾要求防火墻檢查 GRE 包，或者在 GRE 隧道終點(diǎn)完成過濾過程。 VPNVPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。VPN技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機(jī)，防火墻設(shè)備或WINDOWS2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)[4]。 每VLAN生成樹 (PVST)為每個在網(wǎng)絡(luò)中配置的VLAN維護(hù)一個生成樹實(shí)例。盡管PVST對待每個VLAN作為一個單獨(dú)的網(wǎng)絡(luò)，它有能力(在第2層)通過一些在主干和其它在另一個主干中的不引起生成樹循環(huán)的Vlans中的一些VLANs來負(fù)載平衡通信[7]。換句話說，當(dāng)源主機(jī)不能動態(tài)知道第一跳路由器的 IP 地址時，HSRP 協(xié)議能夠保護(hù)第一跳路由器不出故障。HSRP 協(xié)議只支持一個路由器代表虛擬路由器實(shí)現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過程。負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動路由器（Active Router）。HSRP 協(xié)議提供了一種決定使用主動路由器還是備份路由器的機(jī)制，并指定一個虛擬的 IP 地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。HSRP 運(yùn)行在 UDP 上，采用端口號1985。 AAA認(rèn)證AAA身份驗證 (Authentication)、授權(quán) (Authorization)和統(tǒng)計 (Accounting)Cisco開發(fā)的一個提供網(wǎng)絡(luò)安全的系統(tǒng)。授權(quán)(Authorization)：依據(jù)認(rèn)證結(jié)果開放網(wǎng)絡(luò)服務(wù)給用戶。整個系統(tǒng)在網(wǎng)絡(luò)管理與安全問題中十分有效。整個認(rèn)證通常是采用用戶輸入用戶名與密碼來進(jìn)行權(quán)限審核。由AAA服務(wù)器將用戶的標(biāo)準(zhǔn)同數(shù)據(jù)庫中每個用戶的標(biāo)準(zhǔn)一一核對。如果不符合，則拒絕提供網(wǎng)絡(luò)連接。比如，登陸系統(tǒng)后，用戶可能會執(zhí)行一些命令來進(jìn)行操作，這時，授權(quán)過程會檢測用戶是否擁有執(zhí)行這些命令的權(quán)限。授權(quán)過程發(fā)生在認(rèn)證上下文中?！∽詈笠徊绞菐簦@一過程將會計算用戶在連接過程中消耗的資源數(shù)目?？梢愿鶕?jù)連接過程的統(tǒng)計日志以及用戶信息，還有授權(quán)控制、賬單、趨勢分析、資源利用以及容量計劃活動來執(zhí)行帳戶過程。AAA服務(wù)器是一個能夠提供這三項服務(wù)的程序。第3章 大型企業(yè)網(wǎng)絡(luò)需求分析 案例分析Cisco公司已經(jīng)成功地在中國實(shí)踐了前述的教育網(wǎng)絡(luò)設(shè)計思想，特別是河南省教育科研寬帶IP骨干網(wǎng)絡(luò)全部采用了先進(jìn)的高速寬帶 光傳輸網(wǎng)絡(luò)技術(shù)，已經(jīng)成為這類新型教育網(wǎng)絡(luò)的典范。該網(wǎng)絡(luò)集成了遠(yuǎn)程教學(xué)等多種多媒體應(yīng)用，特別是采用了550部Cisco的新型7940 IP電話和4套CallManager組建了我國第一個省級IP Telephony網(wǎng)絡(luò)，并結(jié)合Cisco視頻產(chǎn)品IPTV系列建立了許多新的教育模式。骨干網(wǎng)絡(luò)由分布在17個地市的核心節(jié)點(diǎn)組成，與河南省廣電合作利用其光纖資源，全省形成環(huán)網(wǎng)狀冗余拓?fù)浣Y(jié)構(gòu)。根據(jù)各地市的具體情況，可以建設(shè)城域教育網(wǎng)絡(luò)也可以在核心節(jié)點(diǎn)配