【正文】 ，客戶端 則是 通過 終端來訪問主機，數(shù)據(jù)的傳輸和處理都是通過主機來完成的， 所以 當(dāng)傳輸數(shù)據(jù)過多時，主機就會崩潰 [4]。 通過以下幾點就可以看出未來企業(yè)網(wǎng)絡(luò)的 發(fā)展趨勢 ： (1) 用戶對寬帶的需求越來越高， 這就 標(biāo)志著下一代以太網(wǎng)標(biāo)準(zhǔn)的迅速發(fā)展 2021 年， 10G 以太網(wǎng)（ IEEE ）標(biāo)準(zhǔn)化初始階段。 2021 年 6 月 40G/100G 的以太網(wǎng)（ ）標(biāo)準(zhǔn)確立，領(lǐng)跑下一代數(shù)據(jù)中心，標(biāo)志著 40G/100G 的以太網(wǎng)被企業(yè)所利用。 (2) IPV4 的下一代技術(shù) IPV6 的應(yīng)用日益增多 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，組建物聯(lián)網(wǎng)終端對其設(shè)備互聯(lián)地址，對可用互聯(lián)網(wǎng)地址的需求越來越大，然而 Inter Protocol Version4（ IPV4）的地址空間只有 (2321)個地址，導(dǎo)致 IP 資源不夠， IP 和上網(wǎng)用戶無法實現(xiàn)一一對應(yīng)的關(guān)系，無法滿足企業(yè)網(wǎng)的需求。早期 IPV6 的配置，物聯(lián)網(wǎng)終端與 Inter Protocol Version4 客戶端相匹配，需要采用網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT， Network Address Translation）技術(shù)來滿足企業(yè)網(wǎng)管理的需求。 (3) 無線網(wǎng)絡(luò)正在企業(yè)網(wǎng)普及 如今， 隨著網(wǎng)絡(luò)的逐漸普及， 人們對無線網(wǎng)絡(luò)的需求越來越多 ，而企業(yè)也正在朝這一方向發(fā)展。隨著黑客技術(shù)的多樣化，公司在組建網(wǎng)絡(luò)時，需要配置不同種的業(yè)務(wù)，這些業(yè)務(wù)的增加，導(dǎo)致網(wǎng)絡(luò)安全存在風(fēng)險，利用 WLAN技術(shù)對所有訪問企業(yè)網(wǎng)時起到阻礙作用，從而使無線用戶安全得到保障。 企業(yè)網(wǎng)相關(guān)技術(shù) VLAN 技術(shù) 如果將所有的交換機都放在一個廣播域，那么可能會出現(xiàn)鏈路帶寬和設(shè)備資源被大量占用，特別是對于業(yè)務(wù)隔離需求不能實現(xiàn)。這類 對連接到第 2層交換機端口的網(wǎng)絡(luò)使用者的邏輯分段技術(shù)實現(xiàn)十分 靈便 ，它可以不受使用者物理位置限制，根據(jù)使 用者需求進行 VLAN 劃分；可在一個交換機上 實現(xiàn)，也可跨交換機實現(xiàn)；可以根據(jù)網(wǎng)絡(luò)使用者的位置、作用、部門或按照 使用的應(yīng)用程序、上層協(xié)議或者以太網(wǎng)路連接硬件地址來進行劃分 [5]。而不同 VLAN 之間或 VLAN 與 LAN / WAN 的數(shù)據(jù)通訊必須通過第 3 層（網(wǎng)絡(luò)層）才能完成。 為了解決資訊安全 問 題， 1995年 IEEE 802 委員會發(fā) 表了 VLAN 技術(shù)的實作標(biāo)準(zhǔn)與訊框結(jié)構(gòu)，希望能透過設(shè)定邏輯位址（ TPID、 TCI），對實體局域網(wǎng)區(qū) 單獨設(shè)置 虛擬網(wǎng)段， 用來 規(guī)范封包廣播時的最大范圍。 邵陽學(xué)院畢業(yè)設(shè)計（論文） 6 圖 VLAN 示意圖 VLAN 的標(biāo)準(zhǔn)有兩種， Cisco 公司的 ISL,以及 IEEE ，由于后者是國際化標(biāo)準(zhǔn)，并 且其傳輸效率更高，所以更適合網(wǎng)絡(luò)需求。 此外， 相鄰 的端口 也 不 可能 收到其他 VLAN 產(chǎn)生的廣播。 安全：不同 VLAN 內(nèi)的報文在傳輸時是 分隔開 的，即一個 VLAN 內(nèi)的用戶不能和其它 VLAN 內(nèi)的用戶直接通信，不同 VLAN 如果 想 要進行通信， 就 需要通過路由器 、 三層交換機等三層設(shè)備 實現(xiàn) 。 提高 性能 ：將第二層平面網(wǎng)絡(luò)劃分為多個邏輯工作組（廣播域） 在 減少網(wǎng)絡(luò)上不必要的流量 的同時還可以 提高性能。 冗余備份協(xié)議 （ 1） 網(wǎng)關(guān)冗余備份協(xié)議 ① VRRP 虛擬路由器冗余 協(xié)議 （ VRRP： Virtual Router Redundancy Protocol）可以邵陽學(xué)院畢業(yè)設(shè)計（論文） 7 把一個虛擬路由器的責(zé)任動態(tài)的分配到局域網(wǎng)上的 VRRP 路由器中的一臺 ， 是一種選擇協(xié)議。 在 主路由器不可用 的情況下 ，這種選擇過程就 可以提 供了動態(tài)的故障轉(zhuǎn)移機制，讓 虛擬路由器的 IP 地址可以 充當(dāng) 終端主機默認 的 第一跳路由器。 VRRP 包封裝在 IP 包中發(fā)送。在路由器間 虛擬 IP 地址 是可以 共享， 只需 指定 其中一個為主路由器 ， 而其它的則為備份路由器。 負載均衡 同樣 可 以使 用 VRRP。該路由器對外表現(xiàn)為 精油的僅有 的虛擬 MAC地址，地址的格式為 00005E0001[VRID]。 無論 如何切換， 這樣 都可以 確保 給終端設(shè)備 的 IP 和 MAC 地址 一直是一樣的 ， 從而 減弱了 切換對終端設(shè)備的影響。它 的 封裝 是通過 IP多播數(shù)據(jù)包進行 的 ，組地址為 ，發(fā)布范圍 僅僅局限于 同一局域網(wǎng)內(nèi)。 通過 主控路由器周期性的發(fā)送VRRP 通告報文 是 減少網(wǎng)絡(luò)帶寬 損 耗 的唯一方法 。 在 VRRP 路由器組中 選舉主控路由器 是按照 優(yōu)先級 進行的 ， VRRP 協(xié)議中優(yōu)先級范圍是 0— 255。 而 IP 地址所有者 在 主動放棄主 控者角色時 往往 使用 優(yōu)先級 0。 通常把 鏈路的速度和成本、路由器性能以及其它管理策略 作為依據(jù) 設(shè)定 優(yōu)先級的配置。 按照 IP 地址大小順序 進行的 選舉 ，主要針對 優(yōu)先級 相同 的候選路由器 。 邵陽學(xué)院畢業(yè)設(shè)計（論文） 8 為了 確保 VRRP 協(xié)議的安全性， 明文認證和 IP 頭認證 兩種 認證措施 得到使 用 。 這樣 避免 了 在局域網(wǎng)內(nèi)的配置錯誤，但 卻無法 防止通過網(wǎng)絡(luò)監(jiān)聽 等 方式獲得密碼。 ② HSRP HSRP 指熱 備份 路由協(xié)議，其特點如下： 路由器 (三層設(shè)備）的熱備份：指在網(wǎng)絡(luò)中 存在其他 與正在工作的主路由器功能一樣的 路由器，在主路由器出現(xiàn)故障的情況下， 通過 某種方式切換 并 頂替主路由器工作，繼續(xù)為網(wǎng)絡(luò)提供服務(wù)。此外， 他們之間 還具有 切換速度較快， 網(wǎng)絡(luò) 容錯能力 強等優(yōu)點 。 在主線路和備份線路 的 廣域網(wǎng)線路 一樣 情況下，使用 HSRP 協(xié)議 。 負載平衡 則通過 HSRP 來 實現(xiàn)。 （ 2） 鏈路的冗余備份協(xié)議 為了保持并提高網(wǎng)絡(luò)的穩(wěn)定性穩(wěn)定性， 在 由 多臺 交換機 組成的網(wǎng)絡(luò)環(huán)境中， 需要 使用一些備份連接 。 主要通過以下方法 實現(xiàn)鏈路冗余備份 。 通過 端口 聚合 增大鏈路帶寬， 從而 解決交換網(wǎng)絡(luò)中 因為 帶寬引起的網(wǎng)絡(luò)瓶頸問題。 ② STP 定義： 交換網(wǎng)絡(luò)中 為了 防止出現(xiàn)二層循環(huán) ， 通過 STA 算法自動消除冗余環(huán)狀鏈路的 一個協(xié)議 叫 生成樹 。 最初 的 STP 是一個基于軟件實現(xiàn) 的 一個 較慢 的橋接規(guī)范 ()，現(xiàn)在已經(jīng) 發(fā)展成了 一個相當(dāng)成熟的 協(xié)議 ， 在 具有多 VLAN、大量交換機、多廠商的復(fù)雜環(huán)境中 都可以 很好的實施。 技術(shù)原理 ： STP 基本 的 思路 就是生成“一棵樹”， 根橋的交換機 則為 樹的根，根據(jù) 不同 設(shè)置， 每個 交換機 都可能 會被選為根橋，但任意時刻 有且只 有一個根橋。只要任何一臺 交換機從兩個以上的端口接收到配置報文，就 說明從該交換機到根有 有多條 路徑， 由此 便構(gòu)成了循環(huán)回路 。 重新計算網(wǎng)絡(luò)拓撲 并 生成一棵 新的 樹 是在 當(dāng)某個端口長時間 無法 接收到配置報文的時，交換機認為端口的配置超 時，網(wǎng)絡(luò)拓撲可能已經(jīng)改變 的情況下發(fā)生的 。 OSPF （ 1） 定義： OSPF 路由協(xié)議 通常 用于同一個路由域內(nèi) ， 是一種典型的鏈路狀態(tài)（ Linkstate）的路由協(xié)議 。在這個 AS 中，所有的 OSPF 路由器都維護一個相同 AS 結(jié)構(gòu)的數(shù)據(jù)庫，路由域中相應(yīng)鏈路的狀態(tài)信息 都存放于 該數(shù)據(jù)庫中， 其 OSPF 路由表 就是由 OSPF路由器通過這個數(shù)據(jù)庫計算出 的 。 運行距離矢量路由協(xié)議的路由器 是指具備將部分或全部 路由表傳遞給 和它 相鄰路由器 的功能 的路由器 。 只要 低層協(xié)議 獲知有 端口處于工作狀態(tài)時， OSPF 就 會通過其 Hello 協(xié)議數(shù)據(jù)包與 另外的OSPF 路由器建立交互關(guān)系。在廣播性網(wǎng)絡(luò)或是在點對點的網(wǎng)絡(luò)環(huán)境中， OSPF 協(xié)議通過 Hello 數(shù)據(jù)包自動地發(fā)現(xiàn)其相鄰路由器，在這時， OSPF 路由器將 Hello 數(shù)據(jù)包發(fā)送至一特殊的多點廣播地址，該多點廣播地址為 ALLSPFRouters。例如 在以太網(wǎng)等 多接入的環(huán)境中 ， 該網(wǎng)絡(luò)中的指定路由器DR 還可以 通過 Hello 協(xié)議數(shù)據(jù)包 來進行 選擇 。在多接入的網(wǎng)絡(luò) 環(huán)境 中，非 DR的 OSPF 路由器只會與指定路由器 DR 建立 adjacency，并且作數(shù)據(jù)庫的同步。 鏈路狀態(tài)廣播 LSA（ Link State Advertisement） 是由 OSPF 路由器周期性地產(chǎn)生與其相聯(lián)的所有鏈路的狀態(tài)信息。 可以確保 在同一個 OSPF 區(qū)域內(nèi)的所有路由器 ， 都具有一個相同的 OSPF 數(shù)據(jù)庫 的可靠的計算過程，叫作 Flooding 算法。 DHCP 某些的主機 因為配置的復(fù)雜，以及個人的需求可能 不需要 配置 靜態(tài)的 IP，因 為它 并非永久的使用該地址，當(dāng)主機離開網(wǎng)絡(luò)，就得釋放這個 IP 地址， 這樣就可以節(jié)約 IP 地址， 以給其它工作站使用，動態(tài)分配顯然更加靈活。 DHCP允許 DHCP 客戶端從 DHCP 服務(wù)器獲取 IP 地址，子網(wǎng)掩碼，默認網(wǎng)關(guān) IP 地址，邵陽學(xué)院畢業(yè)設(shè)計（論文） 11 DNS 服務(wù)器 IP 地址以及其他 IP 地址類型信息。 第二步： DHCP 服務(wù)器接收到 DHCP discovery 消息后，響應(yīng)以 DHCP offer消息。 第三步： DHCP 客戶端通過發(fā)送 DHCP request 消息與選定的服務(wù)器進行通信，讓 DHCP 服務(wù)器提供 IP 配置 參數(shù)。 邵陽學(xué)院畢業(yè)設(shè)計（論文） 12 第三章 企業(yè)網(wǎng)的需求分析與設(shè)計 M 公司簡介 M公司是一家湖南領(lǐng)先的全方位 IT服務(wù)及行業(yè)解決方案提供商，其總部設(shè)在長沙 ，在衡陽和益陽兩地分別建立了分支機構(gòu) ， 隨著發(fā)展， M公司的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個多業(yè)務(wù)承載平臺， 業(yè)務(wù)涵蓋了辦公、生產(chǎn) 、 財務(wù) 等等。本 論文 重點只介紹這兩個業(yè)務(wù)，其他的不再做具體介紹。 網(wǎng)絡(luò)實現(xiàn)需求 針對 M公司的近況和需求，對此 打算 為 M公司量身打造一個 流暢、可靠 、易于操作和 維護的企業(yè)內(nèi)部網(wǎng)絡(luò) 。 網(wǎng)絡(luò)設(shè)備選型 為了實現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本 論文 的方案完全采用統(tǒng)一廠家的網(wǎng)絡(luò)產(chǎn)品，這里統(tǒng)一使用 Cisco 公司的網(wǎng)絡(luò)設(shè)備，對于 Cisco 產(chǎn)品而言， VLAN 主要基于兩種標(biāo)準(zhǔn)協(xié)議： ISL 和 。 由于 M 公司在長沙總部核心層的路由器 RT4 要承載整個企業(yè)內(nèi)網(wǎng)的流量，還要連接外網(wǎng) 。而 M 公司匯聚層中 長沙總部的三層交換機 SW1 和 SW2 由于流量沒那么多，則可以選擇 Cisco 3600 系列，對于衡陽分部的路由設(shè)備 RT5 以及益陽分部的路由設(shè)備 RT6，也可選擇 Cisco 3600 系列。 網(wǎng)絡(luò)拓撲圖 在做網(wǎng)絡(luò)拓撲圖設(shè)計時 ，針 對網(wǎng)絡(luò)進行設(shè)計、配置、故障排除 是通過 GNS3這款網(wǎng)絡(luò)仿真工具來搭建網(wǎng)絡(luò)的模擬環(huán)境 實現(xiàn)的 ?？梢詫W(xué)習(xí) IOS 的配置 ，加強 故障排查能力等。 其界面如圖 所示 ： 邵陽學(xué)院畢業(yè)設(shè)計（論文） 14 圖 GNS3 界面圖 使用 GNS3 的優(yōu)點有： (1)解決了小型網(wǎng)絡(luò)拓撲生成后，無法再更改的 麻 煩 ， 易于教學(xué)， 更利于 設(shè)計優(yōu)秀的網(wǎng)絡(luò)拓撲結(jié)構(gòu) 。 (2)可隨時對設(shè)備進行模塊添加、刪減。 易于選取準(zhǔn)確的 idle值，減少對 cpu 的占用。避免了 packet tracer 部分命令不囊括的問題。 實現(xiàn)拓撲圖如 圖 所示 ： 邵陽學(xué)院畢業(yè)設(shè)計（論文） 15 圖 企業(yè) 拓撲圖 在拓撲圖 中，由于在長沙總部的流量使用較多，因此使用了兩臺 Cisco 3600 系列的三層交換機 SW1 和 SW2，主要是做網(wǎng)關(guān)冗余備份，如果有一臺設(shè)備出現(xiàn)故障的時候，就會自動進行主備切換， 可以 避免現(xiàn)網(wǎng)出問題。長沙總部由于需要很多的業(yè)務(wù)，因此，需要一個二 層交換機 SW3 來連接相應(yīng)的業(yè)務(wù)，本論文只重點介紹了辦公和生產(chǎn)兩個業(yè)務(wù)，同時，在二層交換機上要使用 VLAN 技術(shù)進行隔離，避免不同業(yè)務(wù)之間的信息泄密。設(shè)備命名應(yīng)根據(jù)其設(shè)備在現(xiàn)網(wǎng)中的功能以及作用來命名，這樣可以簡單直觀的反應(yīng)出每個設(shè)備的作用，對于后期的維護也比較方便直觀。通過把不同的流量映射到不同的 VLAN 中并分配相應(yīng)的優(yōu)先級，可以為用戶提供不同優(yōu)先級別的服務(wù)質(zhì)量保證。當(dāng)然路由器沒有這個限制，每個路由器端口即可支持 4096 個 ID。除 LAN to LAN 業(yè)務(wù)所使用的 VLAN ID 全城域網(wǎng)范圍需要保持全局唯一外，諸如 PPPOE、 IP 專線等在匯聚節(jié)點可以將 VLAN 信息終結(jié)的業(yè)務(wù)所使用的VLAN ID 可以在各匯聚節(jié)點重疊使用。 邵陽學(xué)院畢業(yè)設(shè)計（論文） 19 其 VLAN 地址劃分如 表 所示 ： 表 VLAN 地址規(guī)劃表 VLAN 號 VLAN 名稱 IP 網(wǎng)段 默認網(wǎng)關(guān) 說明 VLAN 5 4 VLAN VLAN 6 5 VLAN VLAN 20 20 VLAN VLAN 21 21 VLAN VLAN 36 36 VLAN VLAN 37 37 VLAN VLAN 300 300 網(wǎng)管 VLAN VLAN 901 901