某大型企业双核心网络的规划与设计 - 图文

武汉工业学院

毕业设计（论文）

设计（论文）题目：某大型企业双核心网络的规划与设计 姓 名 XXX 学 号 XXX 院 （系） 数学与计算机学院 专 业 网络工程 指导老师 XXX

2012 年 X月 XX日

摘 要

迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。市场的全球化竞争已成为趋势。对于大型企业来说，在调整发展战略时，必须考虑到市场的全球竞争战略，而这一切也将以信息化平台为基础，借助计算机网络原理及网络规划技术，以网络通畅为保证。

企业内部网（Intranet）是国际互连网（Internet）技术在企业内部或封闭的用户群内的应用。Intranet是使用Internet技术,特别是TCP/IP协议而建成的企业内部网络。这种技术允许不同计算机平台进行互通,且不用考虑其位置。也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行访问。

本文从企业网络需求开始分析，根据现阶段cisco公司主流网络设备进行选材,规划最适用于目标网络的拓扑结构,建设合理的网络设计方案。本课题实施部分由GNS3模拟器来搭建网络拓扑结构，利用cisco设备操作系统unzip-c2691-advsecurityk9-mz.124-11.T2作为拓扑内所有设备核心IOS，然后用SecureCRT进行路由器交换机的相关配置，并测试其结果最终验证网络的规划与设计符合大型企业的需求。

关键词：企业网络，拓扑结构，冗余，路由，交换

Abstract

The rapid development of the Internet is all over the world information industry of enormous change and far-reaching consequences. Market competition has become the trend of globalization. For large enterprises, in adjusting the development strategy, must take into account the market's global competitiveness strategy, and all this information platform will also be based on the principle of the use of computer networks and network planning technology to the network in order to ensure patency.

Intranet is an international Internet technology in the enterprise or within a closed user group applications. Intranet is the use of Internet technologies, especially TCP / IP protocol and the completion of the enterprise internal network. This technology allows interoperability of different computer platforms, and do not have to consider its position. That is what the user can visit any or from any computer access.

From the start the whole enterprise class network needs analysis, based on the mainstream stage cisco network equipment company selection, with the goal to build the most suitable network topology, designed with network technology. As part of this implementation to build the simulator GNS3 network topology, the use of cisco device operating systems unzip-c2691-advsecurityk9-mz.124-11.T2 for all equipment within the core topology IOS, routers and switches using SecureCRT for the configuration, and view the experimental results to verify that the network meets business needs.

Keywords：Enterprise networks, Topology, Redundancy, Routing, Switching

目录

第一章 前言 ............................................................................................................................................. 1

1.1研究背景 .................................................................................................................................... 1 1.2目的和意义 ................................................................................................................................ 2 第二章 网络技术原理介绍 ...................................................................................................................... 3

2.1 大型企业网络的定位 ................................................................................................................. 3 2.2 网络技术的简介......................................................................................................................... 3

2.2.1路由技术......................................................................................................................... 3 2.2.2交换技术......................................................................................................................... 4 2.2.3 远程访问技术 ................................................................................................................ 4 2.2.4 VLAN ............................................................................................................................... 4 2.2.5 DHCP ............................................................................................................................... 5 2.2.6 GRE ................................................................................................................................. 5 2.2.7 VPN ................................................................................................................................. 6 2.2.8 PVST ............................................................................................................................... 6 2.2.9 HSRP ............................................................................................................................... 7 2.2.10 AAA认证 ....................................................................................................................... 7

第三章 大型企业网络需求分析 .............................................................................................................. 9

3.1 大型企业网络分析 ..................................................................................................................... 9

3.1.1 宽带性能需求 ................................................................................................................ 9 3.1.2 稳定可靠需求 ................................................................................................................ 9 3.1.3 服务质量需求 .............................................................................................................. 10 3.1.4 网络安全需求 .............................................................................................................. 10 3.1.5 应用服务需求 .............................................................................................................. 10 3.2本课题系统需求分析 ................................................................................................................ 11 第四章 网络的逻辑设计........................................................................................................................ 12

4.1网络结构冗余设计 .................................................................................................................... 12

4.1.1 基本思想 .................................................................................................................... 12 4.1.1.备用设备......................................................................................................................... 12 4.1.2.备用路径......................................................................................................................... 12 4.2 大型企业网络拓扑图 ............................................................................................................... 13 第五章 网络的物理设计........................................................................................................................ 15

5.1关键网络设备及数量 ................................................................................................................ 15 5.2关键网络设备介绍 .................................................................................................................... 15 5.3网络设备配置............................................................................................................................ 18

5.3.1 基础配置...................................................................................................................... 18 5.3.2 使用VTP....................................................................................................................... 19 5.3.3 划分VLAN ..................................................................................................................... 20 5.3.4 交换链路封装 .............................................................................................................. 21 5.3.5 PVST技术 ..................................................................................................................... 22 5.3.6 PVST的三个FAST ...................................................................................................... 23 5.3.7 DHCP ............................................................................................................................. 23

5.3.8 HSRP ............................................................................................................................. 25 5.3.9 根防护.......................................................................................................................... 26 5.3.10 路由协议 .................................................................................................................... 26 5.3.11 GRE-VPN...................................................................................................................... 28 5.3.12 AAA服务器 ................................................................................................................. 30 5.3.13 PBR 20M专线 ............................................................................................................. 31 5.3.14 网管控制 .................................................................................................................... 32 5.3.15其他配置 ..................................................................................................................... 32

第六章 网络安全设计............................................................................................................................ 34

6.1.1物理安全分析 ................................................................................................................. 34 6.1.2网络结构的安全分析 ..................................................................................................... 34 6.1.3系统的安全分析 ............................................................................................................. 35 6.1.4应用系统的安全分析 ..................................................................................................... 35 6.1.5网络安全措施 ................................................................................................................. 35

第七章 网络的综合布线设计 ................................................................................................................ 36

7.1综合布线系统的概述 ................................................................................................................ 36 7.2综合布线系统的特点 ................................................................................................................ 36 7.3综合布线系统的结构 ................................................................................................................ 37

7.3.1工作区子系统 ................................................................................................................. 37 7.3.2水平干线子系统 ............................................................................................................. 38 7.3.3垂直干线子系统 ............................................................................................................. 38 7.3.4设备间子系统 ................................................................................................................. 39 7.3.5管理子系统 ..................................................................................................................... 40 7.3.6建筑群子系统 ................................................................................................................. 40 7.4系统总体设计............................................................................................................................ 41 7.5系统结构设计描述 .................................................................................................................... 42 第八章 网络管理设计.......................................................................................................................... 43

8.1施工管理 ................................................................................................................................... 43

8.1.1 施工前准备 ................................................................................................................... 43 8.1.2 设备及材料 ................................................................................................................... 43 8.1.3 施工过程管理 ............................................................................................................... 43 8.1.4 施工完成后质量的检查和验收 ................................................................................... 43 8.1.5 施工步骤....................................................................................................................... 44

第九章 网络效果验证............................................................................................................................ 45

9.1 关键三层设备路由表 ............................................................................................................... 45

9.1.1 接入路由器R1路由表 ................................................................................................ 45 9.1.2 核心层交换机HX1路由表 .......................................................................................... 46 9.1.3 汇聚层交换机FB1路由表 .......................................................................................... 47 9.2网络连通性验证........................................................................................................................ 48

9.2.1 本部接入层交换机SW1访问服务器 .......................................................................... 48 9.2.2 外地分公司R4访问服务器 ........................................................................................ 48 9.2.3 外地分公司SW10访问本部接入交换机 .................................................................... 48 9.3 VPN效果验证 ........................................................................................................................... 49

结束语 ..................................................................................................................................................... 50 致谢 ......................................................................................................................................................... 51 参考文献 ................................................................................................................................................. 52

第一章 前言

1.1研究背景

今天，迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。市场的全球化竞争已成为趋势。21世纪的中国正在向市场多元化、全球化的方向发展。对于大型企业来说，在调整发展战略时，必须考虑到市场的全球竞争战略，而这一切也将以信息化平台为基础，借助计算机网络原理及网络规划技术，以网络通畅为保证。国内越来越多的企业也已经或正在考虑使用Internet/Intranet技术,以建设企业规划化的信息处理系统。因为现代企业的信息大多都来自于互连网，通过网络，企业可以更快速的接收到来自全球的市场信息；通过Internet与外部世界交换信息，企业规划者可以更快地对企业作出正确的宏观调控与决策，以适应市场趋势。企业与全世界联系起来,极大地提高了信息收集的能力和效率。

随着Intranet技术的不断发展,计算机已经逐渐应用到企业中的各个关键部分,极大的提高了企业的工作效率。对于规模较大的企业来说，这一点尤为重要。

而有些大型企业根据其自身性质等对于网络有着更多的需求。比如中国电信、中国网通、中国银行，它们对网络有一点十分重要的需求，那就是网路通路，流量不可断。因为全中国大部分的金融和通信都经过这些企业，他们的网络的稳定性直接关系到国家的政治经济基础等各个方面。所以对于这些大型企业的网络设计必须考虑到流量等细节问题。

当今中国网络的另一个重大问题就是安全。由于中国的网络发展较晚，网络的安全没有作到非常完善。而且很多早期起用的网络无论从结构还是技术上都有很多设计不合理的问题，这也导致了网络的安全性差。在企业的某些关键部门（如财务科等），如果有不法分子利用网络中的漏洞修改或者窃取商业机密文件，也会对企业自身造成不可挽回的甚至是毁灭性的危害。

当然，企业也会对一些细节问题提出要求。比如市场部门可以上网查阅资料而技术部门不可；或者从周一上午九点到周五下午五点可以上网，而其他时间段网络无流量；再或者高层领导组可以监控财务部门的档案文件而其 他部门则没有这样的权限。这些都是网络设计者需要考虑的问题。

1

1.2目的和意义

企业内部网（Intranet）是国际互连网（Internet）技术在企业内部或封闭的用户群内的应用。简单地说,Intranet是使用Internet技术,特别是TCP/IP协议而建成的企业内部网络。这种技术允许不同计算机平台进行互通,且不用考虑其位置。也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行访问。

基于这种种的现实问题，企业必须从企业局域网的概念及相关计算机网络技术入手，详细地设计企业网建设的实施方案及建设规划,以达到先进、安全、实用、可靠的目标.对该企业的组网需求进行分析，比较各种组网技术，从实用角度论述局域网主干网选择，综合布线，各种设备选择，网络安全，网络管理等方面。

我们的网络要具有一定的灵活性。当企业发展到一定规模,企业在外地设有许多分支机构。这时,为加快企业内部的信息流通,企业需要将总部和各分支机构连接起来。远程企业对网络的需求是：通过internet接入, 在整个公司实现数据快速传输、办公自动化,最终实现企业无纸化办公；企业拥有自己的ip地址和域名,在公司主机上建立网站,向外界宣传企业形象、公司各项业务、活动及最新成果等；以ip电话方式节省企业大部分的长途话费,亦可通过ip网络来实现视频会议；整个公司需要一个运行可靠、费用合理的通信系统；实现telnet等网络服务；建立一个功能全面、使用方便的管理信息系统,使总公司与各地分支机构之间的业务审批电子化,各项工作能够协同完成。实现结构化布线、网络的设计与规划、资源共享、专线接入Internet、WWW服务器、软硬件配置、划分企业子网等技术实施。

2

第二章 网络技术原理介绍

2.1 大型企业网络的定位

企业网是指覆盖企业和企业与分公司之间的网络，为企业的多种通信协议提供综合传送平台的网络。企业网应以多业务光传输网络为基础，实现语音、数据、图像、多媒体等的接入。

企业网是企业内各部门的桥接区，主要完成接入网中的子公司和工作人员与企业骨干业务网络之间全方位的互通。因此电子商务公司企业网的定位应是为企业网应用提供多业务传送的综合解决方案。

2.2 网络技术的简介

本设计方案采用的是全部Cisco的网络设备，全网使用统一厂家得设备以实现各种不同网络设备功能的互相配合和补充。还有就是一些网络协议都是一些厂家私有的，如EIGRP、HDLC等。因为每个厂家都有属于自己的EIGRP、HDLC所以不同厂家的设备就不能使用这些网络协议。

2.2.1路由技术

路由协议工作在OSI参考模型的第3层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表，路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本工程案例设计中，内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。

路由器是外网进入企业网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表（Access Control List，ACL）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护。

3

2.2.2交换技术

传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了企业网数据交换服务质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网（Virtual LAN，VLAN）的概念。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（Vlan Trunking Protocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性，在企业网内部数据交换的部署是分层进行的。企业网数据交换设备可以划分为三个层次：接入层、分布层、核心层。接入层为所有的终端用户提供一个接入点；分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能；核心层将各分布层交换机互连起来进行穿越企业网骨干的高速数据交换。在本工程案例设计中，也将采用这三层进行分开设计、配置。

2.2.3 远程访问技术

远程访问也是企业网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型：专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同，花费也不相同。企业用户可以根据所需带宽、本地服务可用性、花费等因素综合考虑，选择一种适合企业自身需要的广域网接入方案。在本工程案例设计中，分别采用专线连接的VPN和PBR两种方式实现远程访问需求。

2.2.4 VLAN

VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。

VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同

4

一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。

既然VLAN隔离了广播风暴，同时也隔离了各个不同的VLAN之间的通讯，所以不同的VLAN之间的通讯是需要有路由来完成的。

2.2.5 DHCP

DHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)缩写。它分为两个部份：一个是服务器端，而另一个是客户端。所有的 IP 网络设定数据都由 DHCP 服务器集中管理，并负责处理客户端的 DHCP 要求；而客户端则会使用从服务器分配下来的IP环境数据。比较起 BOOTP ，DHCP 透过 \租约\的概念，有效且动态的分配客户端的 TCP/IP 设定，而且，作为兼容考虑，DHCP 的分配形式 首先，必须至少有一台 DHCP 工作在网络上面，它会监听网络的 DHCP 请求，并与客户端磋商 TCP/IP 的设定环境。

DHCP是BOOTP的扩展，是基于C/S模式的，它提供了一种动态指定IP地址和配置参数的机制。这主要用于大型网络环境和配置比较困难的地方。DHCP服务器自动为客户机指定IP地址，指定的配置参数有些和IP协议并不相关，但这必没有关系，它的配置参数使得网络上的计算机通信变得方便而容易实现了。DHCP使IP地址的可以租用，对于许多拥有许多台计算机的大型网络来说，每台计算机拥有一个IP地址有时候可能是不必要的。租期从1分钟到100年不定，当租期到了的时候，服务器可以把这个IP地址分配给别的机器使用。客户也可以请求使用自己喜欢的网络地址及相应的配置参数。

2.2.6 GRE

通用路由封装（GRE: Generic Routing Encapsulation）定义了在任意一种网络层协议上封装任意一个其它网络层协议的协议。

在大多数常规情况下，系统拥有一个有效载荷（或负载）包，需要将它封装并发送至某个目的地。首先将有效载荷封装在一个 GRE 包中，然后将此 GRE 包封装在其它某协议中并进行转发。此外发协议即为发送协议。当 IPv4 被作为 GRE 有效载荷

5

传输时，协议类型字段必须被设置为 0x800。当一个隧道终点拆封此含有 IPv4 包作为有效载荷的 GRE 包时，IPv4 包头中的目的地址必须用来转发包，并且需要减少有效载荷包的 TTL。值得注意的是，在转发这样一个包时，如果有效载荷包的目的地址就是包的封装器（也就是隧道另一端），就会出现回路现象。在此情形下，必须丢弃该包。当 GRE 包被封装在 IPv4 中时，需要使用 IPv4 协议 47。

GRE 下的网络安全与常规的 IPv4 网络安全是较为相似的，GRE 下的路由采用 IPv4 原本使用的路由，但路由过滤保持不变 。包过滤要求防火墙检查 GRE 包，或者在 GRE 隧道终点完成过滤过程。在那些这被看作是安全问题的环境下，可以在防火墙上终止隧道。

2.2.7 VPN

VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或WINDOWS2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。

虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

2.2.8 PVST

PVST: Per-VLAN Spanning Tree（每VLAN生成树）

PVST是解决在虚拟局域网上处理生成树的CISCO特有解决方案．PVST为每个虚拟局域网运行单独的生成树实例．一般情况下PVST要求在交换机之间的中继链路上运行CISCO的ISL。

每VLAN生成树 (PVST)为每个在网络中配置的VLAN维护一个生成树实例。它使用ISL中继和允许一个VLAN中继当被其它VLANs的阻塞时将一些VLANs转发。尽管

6

PVST对待每个VLAN作为一个单独的网络，它有能力(在第2层)通过一些在主干和其它在另一个主干中的不引起生成树循环的Vlans中的一些VLANs来负载平衡通信。

2.2.9 HSRP

HSRP：热备份路由器协议（HSRP：Hot Standby Router Protocol）

热备份路由器协议（HSRP）的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说，当源主机不能动态知道第一跳路由器的 IP 地址时，HSRP 协议能够保护第一跳路由器不出故障。该协议中含有多种路由器，对应一个虚拟路由器。HSRP 协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。

负责转发数据包的路由器称之为主动路由器（Active Router）。一旦主动路由器出现故障，HSRP 将激活备份路由器（Standby Routers）取代主动路由器。HSRP 协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。如果主动路由器出现故障，备份路由器（Standby Routers）承接主动路由器的所有任务，并且不会导致主机连通中断现象。

HSRP 运行在 UDP 上，采用端口号1985。路由器转发协议数据包的源地址使用的是实际 IP 地址，而并非虚拟地址，正是基于这一点，HSRP 路由器间能相互识别。

2.2.10 AAA认证

AAA-----身份验证 (Authentication)、授权 (Authorization)和统计 (Accounting)Cisco开发的一个提供网络安全的系统。

AAA ，认证(Authentication)：验证用户的身份与可使用的网络服务;授权(Authorization)：依据认证结果开放网络服务给用户;计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。整个系统在网络管理与安全问题中十分有效。

首先，认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合，那么对用户认证通过。如果不符合，则拒绝提供网络连接。

接下来，用户还要通过授权来获得操作相应任务的权限。比如，登陆系统后，用户可能会执行一些命令来进行操作，这时，授权过程会检测用户是否拥有执行这些命令的权限。简单而言，授权过程是一系列强迫策略的组合，包括：确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户

7

通过了认证，他们也就被授予了相应的权限。 最后一步是帐户，这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息，还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。

验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。

8

第三章 大型企业网络需求分析

3.1 大型企业网络分析

为适应企业信息化的发展，满足日益增长的通信需求和网络的稳定运行，今天的企业网络建设比传统企业网络建设有更高的要求，本文将通过对如下几个方面的需求分析来规划出一套最适用于目标网络的拓扑结构。

3.1.1 宽带性能需求

现代大型企业网络应具有更高的带宽，更强大的性能，以满足用户日益增长的通信需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化，Web浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务。因此，数据流量将大大增加，尤其是对核心网络的数据交换能力提出了前所未有的要求。另外，随着千兆位端口成本的持续下降，千兆位到桌面的应用会在不久的将来成为企业网的主流。从2004年全球交换机市场分析可以看到，增长最迅速的就是10 Gbps级别机箱式交换机，可见，万兆位的大规模应用已经真正开始。所以，今天的企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网的标准，核心层及骨干层必须具有万兆位级带宽和处理性能，才能构筑一个畅通无阻的\高品质\大型企业网，从而适应网络规模扩大，业务量日益增长的需要。

3.1.2 稳定可靠需求

现代大型企业的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通，保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来，网络通信的无中断运行已经成为保证企业正常生产运营的关键。现代大型企业网络在可靠性设计方面主要应从以下3个方面考虑。

设备的可靠性设计：不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察。

业务的可靠性设计：网络设备在故障倒换过程中，是否对业务的正常运行有影响。 链路的可靠性设计：以太网的链路安全来自于多路径选择，所以在企业网络建设时，要考虑网络设备是否能够提供有效的链路自愈手段，以及快速重路由协议的支持。

9

3.1.3 服务质量需求

现代大型企业网络需要提供完善的端到端QoS保障，以满足企业网多业务承载的需求。大型企业网络承载的业务不断增多，单纯的提高带宽并不能够有效地保障数据交换的畅通无阻，所以今天的大型企业网络建设必须要考虑到网络应能够智能识别应用事件的紧急和重要程度，如视频、音频、数据流（MIS、ERP、OA、备份数据）。同时能够调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送，实现对业务的合理调度才是一个大型企业网络提供\高品质\服务的保障。

3.1.4 网络安全需求

现代大型企业网络应提供更完善的网络安全解决方案，以阻击病毒和黑客的攻击，减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件，以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，这样才能有效地保证企业网络的稳定运行。

3.1.5 应用服务需求

现代大型企业网络应具备更智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需要。当前的网络已经发展成为\以应用为中心\的信息基础平台，网络管理能力的要求已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如，网络调试期间最消耗人力与物力的线缆故障定位工作，网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作，由于受网络设备功能本身的限制，都还属于费时、费力的任务。所以现代的大型企业网络迫切需要网络设备具备支撑\以应用为中心\的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。

10

3.2本课题系统需求分析

本课题设计一个大型的企业网络，网络联接的建筑物有四个：两个办公楼，一个行政楼和子公司。

管理部、财务部和网络部在行政楼中； 市场部在办公楼A；

销售部和人力资源部在办公楼B； 子公司C。

所以我们已建筑物的中心也就是行政楼的三层为网络的中心，用光纤连接办公楼A、B，构成电子商务公司网络光纤主干。

办公楼2个，行政楼1个 1．划分VLAN （见表1） 2．VTP 动态学习VLAN 3．PVST(选根，二层冗余) 4．SVI（VLAN间路由） 5．HSRP（三层冗余） 6．DHCP 7．根防护 8．3个FAST 9．静态路由

10．SITE-TO-SITE VPN（连接分公司，固定IP） 11．AAA

12．PBR（20M专线） 13．网管控制

11

第四章 网络的逻辑设计

4.1网络结构冗余设计 4.1.1 基本思想

冗余设计的基本思想就是通过重复设置网络链路和互连设备来满足网络的可用性需求。冗余是提高网络可靠性最重要的方法，可以减少网络上由于单点故障而导致整个网络故障的可用性。冗余的目的是重复设置任何一个必需的组件，使得它的故障不会导致网上用户的关键应用程序的停止运行。冗余的对象可能是一个核心路由器、一个电源、一个广域主干网或一个ISP网络等。由于冗余增加了网络拓扑结构和网络寻址与路由选择的复杂性，也增加了使用和维护的费用，因此要根据用户在可用性和可购买性方面的需求，选择冗余级别和冗余拓扑结构。

4.1.1.备用设备

由于路由器或交换机在企业网中的某些部分起着关键作用，因此有时需要对这些设备设置冗余。

4.1.2.备用路径

当网络的某条路径出现故障，为了保持互联性，冗余网络设计必须提供一条备用路径。备用路径由路由器、交换机以及路由器与交换机之间的独立备用链路构成，它是主路径上的设备和链路的重复设置。

设计备用路径所采用的容量通常比主路径小，而且备用路径所使用的链路与主路径使用是不同的技术。

对某些非常重要的应用而言，路径的中断是不可接受的，这时就应当考虑采用主路径与备用路径之间的自动切花技术。

备份链路除了用于冗余之外，还可以用于负载平衡。这样做的好处就是，能够提高网络的总体性能水平，同时也因为备份链路被定期使用和监控，一旦主路径出现故障，不会出现无法从后备装入正式工作的情况。

12

4.2 大型企业网络拓扑图

图 4-1 网络拓扑图

4.2 VLAN及IP地址的规划

表 1 VLAN划分 VLAN号 VLAN 1 VLAN 10 VLAN 20 VLAN 30 VLAN 40 VLAN 50 VLAN 60 VLAN名称 GL VLAN GLB SCB CWB XSB RLZY WLB IP网段 10.0.0.0/24 10.1.0.0/22 10.1.4.0/22 10.1.8.0/22 10.1.12.0/22 10.1.16.0/22 10.1.20.0/22 默认网关 10.0.0.254 10.1.3.254 10.1.7.254 10.1.11.254 10.1.15.254 10.1.19.254 10.1.23.254 说明 管理VLAN 管理部VLAN 市场部VLAN 财务部VLAN 销售部VLAN 人力资源部VLAN 网络部VLAN 路由器R1与电信连接的接口F0/0IP为202.100.1.10/24，与HX1连接的接口

13

F1/1IP为192.168.1.1/24，与HX2连接的接口F1/2IP为192.168.2.1/24,与R2连接的接口F1/3IP为192.168.3.1/24。

路由器R2与网通连接的接口F0/0IP为202.100.3.10/24，与HX1连接的接口F1/2IP为192.168.4.1/24，与HX2连接的接口F1/1IP为192.168.5.1/24,与R2连接的接口F1/3IP为192.168.3.2/24。

路由器R3与HX1连接的接口F1/1IP为192.168.6.1/24，与HX2连接的接口F1/2IP为192.168.7.1/24，与server连接的接口F1/0IP为192.168.8.1/24 。

路由器R4上与电信连接的接口F1/0IP为202.100.2.10/24，与网通连接的接口F1/1IP为202.100.4.10/24，与SW11连接的接口F1/2IP为10.1.24.1/22。

交换机HX1与R1相连的接口F1/0IP为192.168.1.2/24,与R2相连的接口F1/1IP为192.168.4.2/24,与R3相连的接口F1/2IP为192.168.6.2/24。

交换机HX2与R1相连的接口F1/0IP为192.168.2.2/24,与R2相连的接口F1/1IP为192.168.5.2/24,与R3相连的接口F1/2IP为192.168.7.2/24。

14

Pruning switched ON FB1(vlan)#apply 应用以上配置 APPLY completed. FB1(vlan)#exit

退出VLAN配置模式进入特权模式 APPLY completed. Exiting....

在其他所有的交换机上都要做VTP配置，我们以FB2为例（见图3）

图3 分布层设备FB2

FB2#vlan da

FB2(vlan)#vtp domain cisco

Changing VTP domain name from NULL to cisco FB2(vlan)#vtp client

将FB2设置为客户端，客户端可以学习到服务端的所有VLAN信息。客户模式是没有创建、修改、删除VLAN得权利的，它只能接收和转发信息。而服务器模式拥有以上的所用功能。

Setting device to VTP CLIENT mode. FB2(vlan)#vtp v2 V2 mode enabled.

FB2(vlan)#vtp password 123456

Setting device VLAN database password to 123456. FB2(vlan)#exit

In CLIENT state, no apply attempted. Exiting.... 5.3.3 划分VLAN

现在我们根据需求在服务端FB1上配置VLAN信息，创建并命名（见表1）

20

FB1(vlan)#vlan 10 name GLB 创建一个VLAN 10 命名为GLB VLAN 10 modified: Name: GLB FB1(vlan)#vlan 20 name SCB VLAN 20 added: Name: SCB

FB1(vlan)#vlan 30 name CWB FB1(vlan)#vlan 40 name XSB VLAN 40 added: Name: XSB

FB1(vlan)#vlan 50 name RLZY VLAN 50 added: Name: RLZY

FB1(vlan)#vlan 60 name WLB VLAN 60 added: Name: WLB FB1(vlan)#exit APPLY completed. Exiting.... 5.3.4 交换链路封装

所有交换机之间相连的线都要起封装协议，我们以FB1和SW1之间的线为例（见图4）

图4 链路封装

FB1(config)#interface fastEthernet 0/4 进入要封装的接口

21

FB1(config-if)#switchport trunk encapsulation dot1q 进行封装

FB1(config-if)#switchport mode trunk 指定封装模式

FB1(config-if)#no shutdown 开启接口

SW1(config)#interface fastEthernet 0/0

SW1(config-if)#switchport trunk encapsulation dot1q SW1(config-if)#switchport mode trunk SW1(config-if)#no shutdown

封装交换机连接终端的接口，并把该接口划入VLAN，以SW1为例 SW1(config)#int f0/2

SW1(config-if)#switchport mode access 手工指定封装模式为ACCESS模式

SW1(config-if)#switchport access vlan 10 将F0/2口划入VLAN 10中 SW1(config-if)#no shutdown 5.3.5 PVST技术

由于网络拓扑比较大，两两相连加冗余会出现环路，所以需要配置二层防环的PVST

首先要选举根桥，我们这里手工指定HX1为VLAN10 20 30的主根，VLAN 40 50 60的备份根；HX2为VLAN40 50 60的主根，VLAN10 20 30的备份根。

HX1(config)#spanning-tree mode pvst 开启PVST生成树模式

HX1(config)#spanning-tree vlan 10，20，30 root primary 将HX1设置为VLAN 10 20 30的主根

HX1(config)#spanning-tree vlan 40，50，60 root secondary 将HX1设置为VLAN 40 50 60的备份根

HX2(config)#spanning-tree mode pvst

HX2(config)#spanning-tree vlan 40，50，60 root primary HX2(config)#spanning-tree vlan 10，20，30 root secondary

22

5.3.6 PVST的三个FAST

由于只启用PVST后根切换时生成树接口从阻塞状态到转发状态速度会很慢，采用PORTFAST,UPLINKFAST,BACKBONEFAST三个FAST会大大缩短状态转换的时间，提高效率。

Portfast 在接入层面向终端的接口上做，可减少30S的时间 SW1(config)#int f0/2

SW1(config-if)#spanning-tree portfast bpduguard 启用portfast

Uplinkfast在接入层交换机上做，可减少30S时间 SW1(config)#spanning-tree uplinkfast 启用uplinkfast

Backbonefast 在所有交换机上做，可减少20S时间 SW1(config)#spanning-tree backbonefast 启用backbonefast 5.3.7 DHCP

现在需要为路由器接口和所有的PC机接口配置IP地址。由于4000个结点的网络比较大，为每一台PC手工配置地址的工作量相当大，所以我们要使用DHCP技术。

HX1(config)#ip dhcp excluded-address 10.1.0.1 HX1(config)#ip dhcp excluded-address 10.1.0.2 HX1(config)#ip dhcp excluded-address 10.1.0.100 HX1(config)#ip dhcp excluded-address 10.1.3.254 先配置除去PC机不能使用的IP地址

HX1(config)#ip dhcp excluded-address 10.1.4.1 HX1(config)#ip dhcp excluded-address 10.1.4.2 HX1(config)#ip dhcp excluded-address 10.1.4.100 HX1(config)#ip dhcp excluded-address 10.1.7.254

HX1(config)#ip dhcp excluded-address 10.1.8.1 HX1(config)#ip dhcp excluded-address 10.1.8.2

23

HX1(config)#ip dhcp excluded-address 10.1.8.100 HX1(config)#ip dhcp excluded-address 10.1.11.254

HX1(config)#ip dhcp excluded-address 10.1.12.1 HX1(config)#ip dhcp excluded-address 10.1.12.2 HX1(config)#ip dhcp excluded-address 10.1.12.100 HX1(config)#ip dhcp excluded-address 10.1.15.254

HX1(config)#ip dhcp excluded-address 10.1.16.1 HX1(config)#ip dhcp excluded-address 10.1.16.2 HX1(config)#ip dhcp excluded-address 10.1.16.100 HX1(config)#ip dhcp excluded-address 10.1.19.254

HX1(config)#ip dhcp excluded-address 10.1.20.1 HX1(config)#ip dhcp excluded-address 10.1.20.2 HX1(config)#ip dhcp excluded-address 10.1.20.100 HX1(config)#ip dhcp excluded-address 10.1.23.254

HX1(config)#ip dhcp pool ccie1 创建地址池CCIE1，一个VLAN一个地址池 network 10.1.0.0 255.255.248.0 宣告网段

default-router 10.1.0.100 默认网关 lease infinite 地址租约时间设置为无限

HX1(config)#ip dhcp pool ccie2 network 10.1.4.0 255.255.248.0 default-router 10.1.4.100 lease infinite

HX1(config)#ip dhcp pool ccie3

24

network 10.1.8.0 255.255.248.0 default-router 10.1.8.100 lease infinite

HX1(config)#ip dhcp pool ccie4 network 10.1.12.0 255.255.248.0 default-router 10.1.12.100 lease infinite

HX1(config)#ip dhcp pool ccie5 network 10.1.16.0 255.255.248.0 default-router 10.1.16.100 lease infinite

HX1(config)#ip dhcp pool ccie6 network 10.1.20.0 255.255.248.0 default-router 10.1.20.100 lease infinite

PC1(config)#ip default-gateway 10.1.0.100

在PC机上指定默认网关，所有的PC都要指和自己对应的网关 5.3.8 HSRP

核心层交换机的作用是快速转发，如果它发生故障，则会导致下层所有网络瘫痪。所以要给核心层交换机做备份做冗余。我们一般使用两台核心交换机。这就用到了三层冗余技术：热备份HSRP。

HX1(config)#interface Vlan 10 进入VLAN 10的接口下

HX1(config-if)#ip address 10.1.0.1 255.255.248.0 给VLAN 10配置虚拟IP地址

HX1(config-if)#standby 1 ip 10.1.0.100 同步网关

HX1(config-if)#standby 1 priority 105

25

设置优先级，设置为主核心ACTIVE ROUTER HX1(config-if)#standby 1 preempt 配置抢占

HX1(config-if)#standby 1 track FastEthernet0/0 配置端口跟踪，面向上行链路 以上配置VALN 10 20 30都要做

HX1(config)#interface Vlan 40

HX1(config-if)#ip address 172.16.2.1 255.255.255.0 HX1(config-if)#standby preempt

HX1(config-if)#standby 2 ip 172.16.2.100 不设置优先级，表示为STANDBY ROUTER 以上配置VALN 40 50 60都要做

同理在HX2上做相应配置，要把ACTIVE和STANDBY对调。 5.3.9 根防护

为了防止交换机上有接入一台优先级或MAC地址较小的交换机使得根被抢，要配置根防护

SW1(config-if)#spanning-tree portfast bpduguard default 所有接入层交换机面向PC的端口和连接设备的端口上都要做 5.3.10 路由协议

路由器和核心交换机之间工作在三层，所以要起路由协议，这里启用EIGRP路由协议，由于与分公司之间设备比较少，我们只需要使用静态路由即可。（见图5）

26

图 5 三层设备

HX1(config)#ip routing

启用路由功能，核心层交换机HX1和HX2需要为网络中的各个VLAN提供路由功能。这需要首先启用核心层交换机的路由功能。

R1(config)#router eigrp 100 启用EIGRP协议

R1(config-router)#no auto-summary 关闭自动汇总功能

R1(config-router)#network 202.100.1.0 把202.100.1.0网段宣告进协议中 R1(config-router)#network 192.168.1.0 R1(config-router)#network 192.168.2.0

HX1(config)#router eigrp 100 HX1(config-router)#no auto-summary HX1(config-router)#network 192.168.1.0 HX1(config-router)#network 192.168.3.0 HX1(config-router)#network 10.1.0.0 HX1(config-router)#network 10.1.4.0 HX1(config-router)#network 10.1.8.0 HX1(config-router)#network 10.1.12.0

27

HX1(config-router)#network 10.1.16.0 HX1(config-router)#network 10.1.20.0

HX2(config)#router eigrp 100 HX2(config-router)#no auto-summary HX2(config-router)#network 192.168.2.0 HX2(config-router)#network 192.168.4.0 HX2(config-router)#network 10.1.0.0 HX2(config-router)#network 10.1.4.0 HX2(config-router)#network 10.1.8.0 HX2(config-router)#network 10.1.12.0 HX2(config-router)#network 10.1.16.0 HX2(config-router)#network 10.1.20.0 5.3.11 GRE-VPN

由于连接分公司的线路需要经过公网，为了保证其流量的安全性，需要打一条虚拟的通道GRE-VPN（见图6）

图 6 GRE-VPN

首先要定义加密策略

R1(config)#crypto isakmp policy 1 加密第一阶段IKE1

R1(config-isakmp)#authentication pre-share

28

设备认证，域共享

R1(config-isakmp)#encryption 3des 数据加密方式

R1(config-isakmp)#group 2

Diffie hellma 分发密钥，产生公钥和私钥 R1(config-isakmp)#hash md5 检验数据包完整性 R1(config-isakmp)#exit

R1(config)#crypto isakmp key 0 cisco address 202.100.1.101 域共享的密钥为cisco

R1(config)#crypto ipsec transform-set cisco esp-3des esp-md5-hmac 加密第二阶段，给数据包加密，指定加密方式

R1(config)#access-list 101 permit ip 192.168.1.1 0.0.0.255 10.1.24.1 0.0.3.255

定义一个感兴趣流

R1(config)#crypto map cisco 1 ipsec-isakmp R1(config-crypto-map)#match address 101 R1(config-crypto-map)#set peer 202.100.1.101 R1(config-crypto-map)#set transform-set cisco R1(config-crypto-map)#exit

R1(config)#int tunnel 0 进入TUNNEL 0口

R1(config-if)#tunnel source 202.100.1.100 配置通道源地址

R1(config-if)#tunnel destination 202.100.1.101 配置通道目的地址

R1(config-if)#tunnel mode gre ip 指定通道模式

R1(config-if)#ip address 202.100.1.1 255.255.252.0 给通道接口配置虚拟IP地址 R1(config-if)# crypto map cisco

将VPN挂在通道接口下 R1(config)#ip route 10.1.24.1 255.255.252.0 202.100.1.1

29

指一条静态路由

R2(config)#crypto isakmp policy 1

R2(config-isakmp)#authentication pre-share R2(config-isakmp)#encryption 3des R2(config-isakmp)#group 2 R2(config-isakmp)#hash md5 R2(config-isakmp)#exit

R2(config)#crypto isakmp key 0 cisco address 202.100.1.100

R2(config)#crypto ipsec transform-set cisco esp-3des esp-md5-hmac R2(config)#access-list 101 permit ip 10.1.24.1 0.0.3.255 192.168.1.1 0.0.0.255

R2(config)#crypto map cisco 1 ipsec-isakmp R2(config-crypto-map)#match address 101 R2(config-crypto-map)#set peer 202.100.1.100 R2(config-crypto-map)#set transform-set cisco R2(config-crypto-map)#exit

R2(config)#int tunnel 0

R2(config-if)#tunnel source 202.100.1.101 R2(config-if)#tunnel destination 202.100.1.100 R2(config-if)#tunnel mode gre ip

R2(config-if)#ip address 202.100.1.2 255.255.252.0 R2(config-if)# crypto map cisco

R2(config-if)#exit R2(config)#ip route 192.168.1.1 255.255.252.0 202.100.1.2 5.3.12 AAA服务器

AAA 为了加强企业网的安全性，我们启用AAA服务器。该配置在连接AAA服务器的HX2上做。

HX2(config)#aaa new-mode 1

HX2(config)#aaa authentication dot1x default group radius HX2(config)#dot1x system-auth-control

30

HX2(config)#interface f0/1

HX2(config-if)#swichport mode access HX2(config-if)#dot1x port-control auto HX2(config-if)#dot1x guest-vlan 1 HX2(config-if)#dot1x auth-fail vlan 1

HX2(config)#aaa authentication login telnet group tacacs+ HX2(config)#aaa authorization exec telnet group tacacs+

HX2(config)#aaa accounting exec telnet start-stop group tacacs+ HX2(config)#tacacs-sever host 192.168.100.100 HX2(config)#tacacs-sever key cisco 5.3.13 PBR 20M专线

网管和管理部需要有特权去高速稳定地访问外网，我们需要在R1上配置20M专线去达到这一需求。

R1(config)#access-list 112 permit ip any 10.1.0.0 0.0.3.255 创建访问控制列表来抓住管理部VLAN的流量

R1(config)#access-list 112 permit ip any 10.1.20.0 0.0.3.255 R1(config)#access-list 112 deny ip any any 其他流量不允许通过

R1(config)#route-map zhuanxian permit 10 创建路由映射表

R1(config-route-map)#match ip address 112 匹配所抓住的流量

R1(config-route-map)#set ip next-hop 202.100.2.100 指定下一跳地址或端口

R1(config)#interface E0/1 R1(config-if)#ip nat inside 挂NAT入方向

R1(config)#interface E0/2 1(config-if)#ip nat inside R1(config)#interface E0/3 R1(config-if)#ip nat outside

31

挂NAT出方向

R1(config)#ip nat pool wangtong 202.100.1.103 202.100.254.254 netmask 255.255.0.0

设置对外访问地址,创建地址池

R1(config)#access –list 100 permit ip 10.0.0.0 0.0.3.255 any 指定NAT范围，匹配IP

R1(config)#ip nat inside source list 100 pool wangtong overload 设置过载，抓流量 5.3.14 网管控制

为了方便管理员对企业网安全方便的管理控制，我们需要对坐配置使得管理员能都使用PC直接连接或远程登陆到到交换机进行控制。

HX2(config)#line vty 0 4 进入VTY线程下

HX2(config-line)#password ccna1 配置远程访问交换机的密码 HX2(config-line)#login 登陆验证

HX2(Config-line)#exec-timeout 1 11

配置登录交换机虚拟终端线的超时时间为1分11秒钟 HX2(config-line)#line con 0 HX2(config-line)#password ccna2 HX2(config-line)#login

HX2(config-line)#exec-timeout 1 11 5.3.15其他配置

R1(config)#interface range E0/0-3 R1(config-if-range)#duplex full

可以设定某端口根据对端设备双工类型自动调整本端口双工模式，也可以强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的情况下，建议手动设置端口双工模式。因为路由器和交换机接口的双工模式必须匹配才可通信。这里全部工作在全双工模式。

SW1(config)#interface range fastethernet0/1-24

32

SW1(config-if-range)#speed 100

可以设定某端口根据对端设备速度自动调整本端口速度，也可以强制将端口速度设为10Mpbs或100Mbps。在了解对端设备速度的情况下，建议手动设置端口速度。这里全部工作在100Mbps.

图7 分布层交换机

FB1(config)#ip classless FB1(config)#ip subnet-zero

以实现对无类网络和全零子网的支持（见图7）

33

第六章 网络安全设计

随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网 （Intranet）、企业外部网 （Extranet）、全球互连网（Internet）的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。 6.1.1物理安全分析

网络的物理安全是整个网络系统安全的前提。在企业网工程建设中，由于网络系统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工中，必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害；考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离；考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；必须建设防雷系统，防雷系统不仅考虑建筑物防雷，还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；报警系统、安全意识等，因此要尽量避免网络的物理安全风险。 6.1.2网络结构的安全分析

网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时，内部网络的机器安全就会受到威胁，同时也影响在同一网络上的许多其他系统。透过网络传播，还会影响到连上Internet/Intranet的其他的网络；影响所及，还可能涉及法律、金融等安全敏感领域。因此，我们在设计时有必要将公开服务器（WEB、DNS、Email等）和外网及内部其它业务网络进行必要的隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝。

34

6.1.3系统的安全分析

所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前恐怕没有绝对安全的操作系统可以选择，无论是Microsoft 的Windows 2000或者其它任何商用Linux操作系统，其开发厂商必然有其Back-door。因此，我们可以得出如下结论：没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析，选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台，并对操作系统进行安全配置。而且，必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。 6.1.4应用系统的安全分析

应用系统的安全跟具体的应用有关，它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性，它包括很多方面。 6.1.5网络安全措施

网络安全的措施主要有：物理措施、访问控制、数据加密、防止计算机网络病毒、安装网络防病毒系统、其他措施。

35

第七章 网络的综合布线设计

7.1综合布线系统的概述

现代科技的进步使计算机及网络技术飞速发展，提供越来越强大的计算机处理能力和网络通信能力。计算机及网络通信技术的应用大大提高了现代企业的生产管理效率，降低运作成本，并使得现代企业能更快速有效地获取市场信息，及时决策反应，提供更快捷更满意的客户服务，在竞争中保持领先。计算机及网络通信技术的应用已经成为企业成功的一个关键因素。

综合布线系统就是为了顺应发展需求而特别设计的一套布线系统。对于现代化的大楼来说，就如人体内的神经，它采用了一系列高质量的标准材料，以模块化的组合方式，把语音、数据、图像和部分控制信号系统用统一的传输媒介进行综合，经过统一的规划设计，综合在一套标准的布线系统中，将现代建筑的三大子系统有机地连接起来，为现代建筑的系统集成提供了物理介质。可以说结构化布线系统的成功与否直接关系到现代化的大楼的成败，选择一套高品质的综合布线系统是至关重要的。

计算机及通信网络均依赖布线系统作为网络连接的物理基础和信息传输的通道。传统的基于特定的单一应用的专用布线技术因缺乏灵活性和发展性，已不能适应现代企业网络应用飞速发展的需要。而新一代的结构化布线系统能同时提供用户所需的数据、话音、传真、视像等各种信息服务的线路连接，它使话音和数据通信设备、交换机设备、信息管理系统及设备控制系统、安全系统彼此相连，也使这些设备与外部通信网络相连接。它包括建筑物到外部网络或电话局线路上的连线、与工作区的话音或数据终端之间的所有电缆及相关联的布线部件。布线系统由不同系列的部件组成，其中包括：传输介质、线路管理硬件、连接器、插座、插头、适配器、传输电子线路、电器保护设备和支持硬件等。

7.2综合布线系统的特点

相对于以往的布线，综合布线系统的特点可以概况为：

实用性：实施后，布线系统将能够适应现代和未来通信技术的发展，并且实现话音、数据通信等信号的统一传输。

36

灵活性：布线系统能满足各种应用的要求，即任一信息点能够连接不同类型的终端设备，如电话、计算机、打印机、电脑终端、传真机、各种传感器件以及图像监控设备等。

模块化：综合布线系统中除去固定于建筑物内的水平缆线外，其余所有的接插件都是基本式的标准件，可互连所有话音、数据、图像、网络和楼宇自动化设备，以方便使用、搬迁、更改、扩容和管理。

扩展性：综合布线系统是可扩充的，以便将来有更大的用途时，很容易将新设备扩充进去。

经济性：采用综合布线系统后可以使管理人员减少，同时，因为模块化的结构，工作难度大大降低了日后因更改或搬迁系统时的费用。

通用性：对符合国际通信标准的各种计算机和网络拓扑结构均能适应，对不同传递速度的通信要求均能适应，可以支持和容纳多种计算机网络的运行。

7.3综合布线系统的结构

根据国际标准ISO11801的定义，结构化布线系统可由以下系统组成：工作区子系统、水平干线子系统、垂直干线子系统、设备间子系统、管理子系统、建筑群子系统。

整个建筑的综合布线系统是将各种不同组成部分构成一个有机的整体，而不是像传统的布线那样自成体系，互不相干，也很难互通。 7.3.1工作区子系统

工作区子系统（Work Area Subsystem），它是由RJ-45跳线与信息插座所连接的设备（终端或工作站）组成的。其中，信息插座有墙上型、地面型、桌上型等多种。

在进行终端设备和I/O连接时，可能需要某种传输电子装置，但这种装置并不是工作区子系统的一部分。例如，调制解调器，它能为终端与其他设备之间的兼容性传输距离的延长提供所需的转换信号，但不能说是工作区子系统的一部分。

工作区子系统中所使用的连接器必须具备有国际ISDN标准的8位接口，这种接口能接收楼宇自动化系统所有低压信号以及高速数据网络信息和数码声频信号。工作区子系统设计时要注意如下要点：

37

（1）从RJ-45插座到设备间的连线用双绞线，一般不要超过5m；

（2）RJ-45插座必须安装在墙壁上或不易碰到的地方，插座距离地面30cm以上； （3）配线架上的信息模块与信息插座和插头的线缆的制作要采用同一标准，如TIA/EIA 568A或568B，不可接错。 7.3.2水平干线子系统

水平干线子系统（Horizontal Subsystem）也称为水平子系统。水平干线子系统是整个布线系统的一部分，它是从工作区的信息插座开始到管理间子系统的配线架。结构一般为星状结构，它与垂直干线子系统的区别在于：水平干线子系统总是在一个楼层上，仅与信息插座、管理间连接。在综合布线系统中，水平干线子系统由4对UTP（非屏蔽双绞线）组成，能支持大多数现代化通信设备，如果有磁场干扰或信息保密时可用屏蔽双绞线。在高宽带应用时，可以采用光缆。

从用户工作区的信息插座开始，水平布线子系统在交叉处连接，或在小型通信系统中的以下任何一处进行互联：远程（卫星）通信接线间、干线接线间或设备间。在设备间中，当终端设备位于同一楼层时，水平干线子系统将在干线接线间或远程通信（卫星）接线间的交叉连接处连接。

在水平干线子系统的设计中，综合布线的设计必须具有全面介质设施方面的知识，能够向用户或用户的决策者提供完善而又经济的设计。考虑用户的需求，设计时要注意如下要点：

（1）水平干线子系统用线一般为双绞线； （2）长度一般不超过90m；

（3）用线必须走线槽或在天花板吊顶内布线，尽量不走地面线槽；

（4）用五类双绞线可传输速率为100Mbit/s，用超五类双绞线可传输速率为1Gbit/s；

（5）确定介质布线方法和线缆的走向； （6）确定距服务接线间距离最近的I/O位置； （7）确定距服务接线间距离最远的I/O位置； （8）计算水平区所需线缆长度。 7.3.3垂直干线子系统

38

垂直干线子系统也称骨干子系统（Riser Backbone Subsystem），它是整个建筑物综合布线系统的一部分。它提供建筑物的干线电缆，负责连接管理间子系统到设备间子系统的子系统，一般使用光缆或选用大对数的非屏蔽双绞线。它也提供了建筑物垂直干线电缆的路由。该子系统通常是在两个单元之间，特别是在位于中央结点的公共系统设备处提供多个线路设施。该子系统由所有的布线电缆组成，或由导线和光缆以及将此光缆连到其他地方的相关支撑硬件组合而成。传输介质可能包括一幢多层建筑物的楼层之间垂直布线的内部电缆或从主要单元如计算机房或设备间和其他干线接线间来的电缆。

为了与建筑群的其他建筑物进行通信，干线子系统将中继线交叉连接点和网络接口（由电话局提供的网络设施的一部分）连接起来。网络接口通常放在设备相邻的房间。

垂直干线子系统还包括如下几项：

（1）垂直干线或远程通信（卫星）接线间、设备间之间的竖向或横向的电缆走向用的通道；

（2）设备间和网络接口之间的连接电缆或设备与建筑群子系统各设施间的电缆； （3）垂直干线接线间与各远程通信（卫星）接线间之间的连接电缆； （4）主设备间和计算机主机房之间的干线电缆。 设计与安装时要注意如下要点：

（1）垂直干线子系统一般选用超五类UTP电缆或多模光纤，以提高传输速率； （2）光缆可选用多模的（室外远距离的），也可以是单模的（室内）；

（3）垂直干线电缆的拐弯处不要直角拐弯，应有相当的弧度，以防光缆受损； （4）垂直电缆要求安装在PVC管内或槽内，架空电缆要防止雷击； （5）确定每层楼的干线要求和防雷电的设施； （6）满足整幢大楼干线要求和防雷击的设施。 7.3.4设备间子系统

设备间子系统也称设备子系统（Equipment Room Subsystem）。设备间子系统由电缆、连接器和相关支撑硬件组成。它把各种公共系统设备的多种不同设备互联起来，其中包括邮电部门的光缆、同轴电缆、程控交换机等。设计时注意要点如下：

39

本文来源：https://www.bwwdw.com/article/bklv.html