中小企业组网方案毕业设计

毕 业 论 文

中小型企业组网方案设计

中 文 摘 要

计算机网络自从20世纪60年代未诞生以来，仅在几十年间的时间里，即以异常迅猛的速度发展起来，被越来越广泛地应用于政治、经济、军事、生产及科学技术的各个领域。在当今社会及未来，谁更快获得信息资源，谁就能更有效的使用信息资源，谁就能在各种竞争上占据主导地位，随着计算机网络的发展和宽带接入的普及，各种网络应用将层出不穷，计算机在社会各个领域的应用和影响也早已渗透到了人们工作和生活的各个方面。目前在中国国民经济和社会发展中一直占据至关重要的战略地位的中小型企业，由于对网络技术的不了解，通常厂商一般都会采用价格最贵化、设备最好化、高度冗余化去做项目的设计，整体的方案将以追求利润为目的，设计的方案经常出现大量设备闲置，而企业出于需求与成本控制等各种因素的综合考虑，希望方案能满足需求的同时控制成本，同时尽量做到冗余且提供投资保护，方便后续的需求扩展，厂商提供的方案与企业的需求就此产生了矛盾，如何设计一个性价比更高、更适合于中小型企业的网络方案是势在必行的课题，此方案的设计使所有的中小型企业在当今及未来的网络建设有着得要的指导及参考意义，也是本次毕业设计方案的主要目的与价值。本文通过东莞某企业的具体案例来说明中小型企业资金能力及对企业网络的需求进行分析，设计适用于中小型企业的组网方案。组建一个基本能覆盖整个企业园区、广域网接入、远程访问、数据服务器群等范围的互联网络，将企业内各种计算机、服务器、终端设备连接起来，并通过一定接口连接到广域网。

关键字：网络 中小型企业 组网 路由 交换 局域网 广域网

第 I 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

Abstract

Since the 20th century, computer networks, not since the birth of 60 years, only a few years time, that is extraordinarily rapid pace up, were more widely used in political, economic, military, manufacturing and various fields of science and technology . In today's society and the future, who is faster access to information resources, who will be able to more effectively use information resources, who will be able to dominate all competition, with the development of computer networks and the popularity of broadband access, various the emerging network applications, computer applications in all areas of society and the impact has already penetrated into the people in all aspects of work and life. Current economic and social development in China has been crucial to the strategic position occupied small and medium enterprises, because of the lack of understanding of network technology, vendors are usually the most expensive of the generally used, the device is best, highly redundant technology to to do the project design, the overall profit will be for the purpose of the program, often a large number of programs designed equipment idle, and the corporate demand and cost control for a variety of factors into account, hope the plan to satisfy the demand while controlling costs, redundant as far as possible while providing investment protection and facilitate the expansion of the follow-up demand, vendors and business needs of this program had a conflict, how to design a cost-effective, more suitable for small and medium enterprises is inevitable network solution is the subject line, this program is designed to provide small and medium enterprises of all current and future network construction has got to the guidance and reference value, is also the graduate design program's main purpose and value. In this paper the specific case of a company in Dongguan to illustrate the financial capacity of small and medium enterprises and the needs of the enterprise network analysis, design for small and medium enterprise networking solutions. Essential to the formation of a campus-wide enterprise, wide area network access, remote access, data, server farms and other Internet-wide, enterprise of all kinds of computers, servers, terminal equipment and, through a certain interface to connect to WAN.

Keywords: Small and Medium Enterprises group of network LAN WAN network from the exch

第 II 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

绪论

随着Internet在全球的发展与普及，企业网络技术的发展以及企业生存和发展需要促成了企业网的形成。自20世纪90年代以来，企业网络已经成为连接企业、事业单位各部门与外界交流信息的重要基础设施。基于局域网和广域网技术发展起来的企业网络技术得到迅速的发展。

为了适应网络经济的飞速发展，扩大企业经营的规模和范围，方便企业内部和企业之间的交流，节省办公开销，提高企业的管理水平，企业发展Intranet（企业内部网）已经是刻不容缓。

另外，我国中小型数量已经超过2000万家以上，在国民经济中，60%的总产来自于中小企业，并为社会提供了60%以上的就业机会。然而，在中国国民经济和社会发展中一直占据着至关重要的战略地位的小中企业，其信息化程度却比较落后。今后如何应对瞬息万变、竞争激烈的国内外市场环境以及如何利用网络技术迅速提升企业核心竞争力就是成为企业成败的关键所在。

从企业对信息的需求来看

面对着激烈的市场竞争，公司对信息的收集、传输、加工、存储、查询、预测、决策及即时的交流、沟通等工作量越来越大，原来的电脑出于网络技术或是安全性等因素考虑，一直只是停留在单机工作的模式，各部门及科室间的数据不能实现共享，致使工作效率大大下降，纯粹手工管理方式和手段已经不能适应企业的需要，这将严重妨碍公司的生存和发展。社会进行要求企业必须改变现有的落后管理体制、管理方法和手段，建立现代企业的新形象，建立本企业的办公自动化管理信息系统（即公司局域网），以提高管理水平，增加经济和社会效益。

从企业管理和业务发展的角度出发

通过网络对网络资源的共用来改善企业内部和企业与客户之间的信息交流方式，满足业务部门对信息存储、检索、处理和共享需求，使企业能迅速掌握瞬息万变的市场行情，使企业信息更有效地发挥效力；提高办公自动化水平，提高工作效率，降低管理成本，提高企业在市场上的竞争力；通过对每项业务的跟踪，企业管理者可以了解业务进展情况，掌握第一手资料，及时掌握市场动态，为企业提供投资导向，为领导决策提供数据支持；通过企业内部网建立，企业各业务部门可以有更方便的交流沟通，管理者可随时了解每一位员工的情况，并加强以企业人力资源合理调度，切实做到系统的集成化设计，使原有的设备、投资得到有效利用。

因此，有必要建设好中小型企业建设信息网络，以达到最大限度地实现信息资源共享，

第 1 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

并使用电子信息的传递取代纸面文件、材料的传送，逐步实现无纸办公，改变传统的工作方式，进一步提高工作效率。同时，利用各种业务信息的综合分析，为各级领导提供决策支持，更好地组织生产和经营。

第 2 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

2 企业建网涉及的主要网络技术介绍

谈到网络技术，我们不能不想到全球行业的龙头老大—CISCO（思科），它是1984年由斯坦福大学的一对教授夫妇创办，自1986年生产第一台路由器开始，让不同类型的网络可以可靠地互相联接并实现通信，从此掀起了一场通信革命，思科公司每年投入40多亿美元进行技术研发，过去20多年，思科几乎成为了“互联网、网络应用、生产力”的同义词，思科公司在其进入的每一个领域都成为市场的领导者，同时，随着网络技术的发展与成熟，出现了更多的市场竞争者，比如：国外有Juniper、Netcore、阿尔法及LINKSYS等，国内有华为、中兴、TP-Link及D-Link等，本次方案的讨论与设计主要以CISCO（思科）产品为基础设施进行搭建。

CISCO企业网络概述

CISCO企业架构

CISCO开发了一个企业架构，以帮助公司保护、优化和扩展支持业务流程的基础设施，该架构可用于集成整个网络—园区、数据中心、分布机构、远程工作人员和广域网，让员工能够安全地访问所需的工具、流程和服务。

CISCO企业园区架构将智能交换和路由选择的核心基础设施与紧密集成的效率改善技术结合在一起，该架构通过采用富有弹性的多层设计、冗余的硬件和软件功能以及在出现故障时自动重新配置网络路径，向企业提供了高可用性。

CISCO企业数据中心架构是一种内聚的自适应网络结构，在满足整合、业务持续和安全需求的同时，它还支持新出现的面向服务的架构、虚拟化和按需计算，让职员、供应商和客户能够安全地访问应用程序和资源。这样能够简化管理工作并提高效率，同时极大地降低开销。冗余的数据中以同步和异步的方式复制数据和应用程序，以提供备份。

CISCO企业分支机构架构让企业能够扩展总部的应用程序和服务（如安全性、IP通信和高级应用）的覆盖范围，以覆盖数千个远程卖点和用户或少量的分支机构。CISCO在分支机构中的一系列集成服务路由器集成了安全性、交换、网络分析和缓存功能，以及融合的语音和视频服务，让企业无需购买新的路由器就能部署新的服务。这种架构让用户能够随时随地安全地访问语音、关键任务数据和视频应用。

CISCO企业远程工作人员架构让企业能够通过标准的宽带接入服务，向远程小型或家庭办公室安全地提供语音和数据服务，从而为企业提供弹性的上班时间解决方案，为员工提供灵活的工作时间。通过集中管理，最大限度地降低了IT支持费用。集成的安全和基于身份的网络服务让企业能够将园区安全策略延伸到远程工作人员。员工通过始终可用的VPN安全地登录网络，并从单个平台访问得到授权的应用程序和服务。

第 3 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

CISCO企业WAN架构通过单个CISCO统一通信网提供语音、视频和数据服务，让企业能够以更蔓延的方式扩大其跨越的地理区域。QoS、细粒度的服务等级和广泛的加密方案有助于确保安全地将高质量的语音、视频和数据服务提供给公司的各个场点，让员工不管身处何地都能高效地工作。通过使用中央—分支或全互联拓扑，在第二层或第三层WAN上建立多服务VPN确保了数据流传输的安全性。

CISCO企业复合网络模型

CISCO制定了一套有关安全的最佳实践，向网络设计人员和员工支持网络应用和已有

的网络基础设施正确地部署安全解决方案提供了蓝图。该蓝图名为SAFE，其中包括企业复合网络模型，网络专业人员可以使用它来分析和描述任何现代企业网。

企业复合网络模型首先将网络划分成三个功能区域，如下：

企业园区：该功能区包含组建层次园区网所需的模块，接入、集散和核心原则也适用于这些模块。

企业边缘：该功能区域聚合了企业网边缘上各种网络元件的连接性，包括到远程卖点、Internet和远程用户的连接性。

服务提供商边缘：该区域并不是由组织实现的，它用于提供到服务提供商的连接性，如Internet服务提供商（ISP），WAN提供商和公共交换电话网（PSTN）。

这些功能区域包含各种网络模块，而这些模块可以包含层次模型中的核心层、汇聚层和接入层的功能。

园区网络技术

企业园区定义了企业复合网络模型的一个功能区域，它包括以下企业复合模块：园区基础设施、网络管理、边缘分布。其中园区基础设施模块包括建筑拉入、建筑物布和园区主干了模块。建立一个完整的园区网络需要涉及到路由、交换与远程访问技术。它们是现代计算机网络领域中三大支撑技术体系。

2.2.1 路由技术

路由协议工作在OSI参考模型的第三层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力，除了可以完成主要的路由任务，利用访问控制列表（Access Control List，ACL），路由器还可以用来完成路由器为中心的流量控制和过滤功能。在本组网方案中，内网用户不仅通过路由接入Internet、内网用户之间也通过三层交换机上的路由功能进行数据包交换。

第 4 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

2.2.2 交换技术

传统意义上的数据交换发生在OSI模型的第二层，现在交换技术还实现了第三层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了园区网数据交换服务质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网（Virtual Local Area Network，VLAN）的概念。

VLAN技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LAN---VLAN，在每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内，如下图2-1 VLAN划分原理所示：

一

图2-1 VLAN划分原理

下面是对VLAN各种特性的讨论： ? VLAN的主要特性有： 1、限制广播

广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。 2、增强局域网的安全性

不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。

3、灵活构建虚拟工作组

用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活，如下图2-2虚拟工作组所示：

第 5 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

图2-2 虚拟工作组

4、VLAN是在数据链路层的，划分子网是在网络层的，所以不同子网之间的VLAN即使是同名也不可以相互通信。 ? VLAN的划分依据

从技术角度讲，VLAN的划分可以依据不同原则，一般以下三种划分方法： 1、基于端口的VLAN划分

这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法，该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。 2、基于MAC地址的VLAN划分

MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是唯一且固化在网卡上的，MAC地址由12位16进制数表示，前6位为网卡的厂商标识（OUI），后6位为网卡的标识（NIC），网络管理员可以按MAC地址把一些站点划分为一个逻辑子网。

3、基于路由的VLAN划分

路由协议工作在网络层，相应的工作设备有路由器和路由交换机（却三层交换机），该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。

目前来说，对于VLAN的划分主要采取上述1、3种方式，第2种方式为辅助性的方案。

? 不同VLAN间的通信

在不同VLAN间不通过路由是无法通信的，在VLAN内的通信，必须在数据帧头中指定通信目标的MAC地址，而为了获取MAC地址，TCP/IP协议下使用的是ARP，ARP解析MAC地址的方法，则是通过广播，也就是说，如果广播报文无法到达，那

第 6 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

么就无从解析MAC地址，亦即无法直接通信。

计算机分属不同的VLAN，也主意味着分属不同的广播域，自然收不到彼此的广播报文，因此，属于不同VLAN的计算机之间无法直接互相通信，为了能够在VLAN间通信，需要利用OSI参照模型中更高一层---网络层的信息（IP地址）来进行路由。

因此，在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现，如下图图2-3 VLAN间路由所示：

图2-3 VLAN间路由

? VTP协议

当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（Vlan Trunking Protocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN，然后通过VTP协议将VLAN定义传播到本征管理域中的所有交换机上，这样，大大减轻了网络管理人员的工作负担和工作强度。

VTP（Vlan Trunking Protocol）：是VLAN中继协议，也被称为虚拟局域网干道协议。

它是一个OSI参考模型第二层的通信协议，主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名，在一台VTP Server上配置一个新的VLAN时，该VLAN的配置信息将自动传播到本域内的其他所有交换机，这些交换机会自动地接收这些配置信息，使其VLAN的配置与VTP Server保持一致，从而减少在钓鱼台设备上配置同一个VLAN信息的工作量，而且保持了VLAN配置的统一性。

VTP通过网络（ISL帧或cisco私有DTP帧）保持VLAN配置统一性，VTP在系统级管理增加、删除，调整的VLAN，自动地将信息向网络中其它的交换机广播，此外，VTP减小了那些可能导致安全问题的配置，使用BTP便于管理，只要在VTP Server做相应设备，VTP Client会自动学习VTP Server上的VLAN信息。

VTP有三种工作模式：VTP Server、VTP Client和VTP Transparent，如下图所示，一般，一个VTP域内的整个网络只设一个VTP Server，VTP Server维护该VTP域中所

第 7 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

有VLAN信息列表，VTP Server要吧建立、删除或修改VLAN，VTP Client虽然也维护所有VLAN信息列表，但其VLAN的配置信息是从VTP Server学到的，VTP Client不能建立、删除或修改VLAN，VTP Transparent相当于是----上独立的交换机，它不参与VTP工作，不从VTP Server学习VLAN的配置信息，而只拥有本设备上自己维护的VLAN信息。VTP Transparent可以建立、删除和修改本机上的VLAN信息，所下图2-4 VTP模式所示：

图2-4 VTP模式

? STP（Spanning Tree Protocol，生成树协议）

企业网络首要关心的就是高可用性，它在很大程度上依赖于处理业务的多层交换网络，确保高可用性的方法之一就是在整个网络中提供设备、模块和链路的冗余，但是，第二层的网络冗余可能传导致潜在的桥接环路，数据包将在设备之间无休止地循环，进而破坏网络的正常工作能力。

STP能够识别并防止这种第二层环路，STP使用根网桥、要端口和指定端口等概念建立网络的无环路径。

STP能够克服冗余网络中透明度桥接的问题，通过采用无环路径，STP能够避免和消除网络中的环路，STP可以通过判断网络中存在环路的地方并阻断冗余链路，从而达到上述目的，确保到每个目标都只有一条路径，所以永远不会产生环路，如果发生某条链路失效情况，那么网桥就会将接口从阻塞状态过渡到转发状态。

园区网内部部署方式

为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换的部署是分层进行的，园区网数据交换设备可以划分为三个层次：接入层、分布层、核心层。接入层为所有的终端用户提供一个接入点；分布层除了将接入层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能；核心层将各分布层交换机互连

第 8 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

起来进行穿越园区网骨干的高速数据交换。

2.2.3 远程访问技术

远程访问也是园区网络必须提供的服务之一，它可以为家庭办公用户和出差在外的员工提供移动接入服务，下面对各种远程接入方式进行比较：

? 各种远程接入方式的比较 1）远程拨号

采用远程拨号方式，必须申请电话线，用户多时，需申请中继电话线，而且需要Modem Pool将模拟信号转换成数字信号，拨号访问服务器将串行数据转换为网络上传输的IP数据包，同时多数企业较难接入设备提供理想的工作环境，不能确保信息传输的质量和安全。 2）、租用专用线路

在过去的数十年间，许多企业花费大量资金租用专用线路，将其主要分支机构连接起来组成该企业的私有通信网络，以达到信息在企业内部的快速沟通和共享，这样企业在获得高效率的同时，也为租用专用线路付出了较高的成本。 3）、VPN远程接入

VPN（Virtual Private Network）即虚拟专用网是在公共网络上建立的专用网络，但其任意2个结点间的连接并没有传统专用网络所需的点到点的物理链路，而是架构在公共网络（Internet）服务商（ISP）所提供网络平台上的逻辑网络，用户数据通过ISP在公共网络中建立的逻辑隧道（Tunnel），即点到点的虚拟专线进行传输，通过加密技术和认证技术，确保企业内部网络数据在公共网络上安全传输，真正实现网络数据的专有性。VPN远程接入方式最适用于企业经常有人员出差需实现远程办公的情况，出差员工利用当地ISP提供的上网服务，即可与企业VPN网关建立私有隧道连接。 VPN远程接入方式有以下主要优势：

简化网络：只需要接入1台VPN网关设备，即可解决几十到几千人的远程接入问题。 节省费用：利用本地拨号接入取代远距离接入或800电话接入，显著降低长途通信费用，减少了用于购置调制解调器和终端服务设备的费用。 支持多种标准认证机制如LDAP、RADIUS等。

多接接入方式：无论用户采用那种方式访问互联网，均可建立VPN连接； 自由选择规模：无论企业大小，VPN都有相对应的产品，用户数可为5~5000个； 具有高可用性：对于接入用户较多的企业，VPN支持远程接入的高可用模式，保障用户服务的连贯性。 ? Easy VPN方式

Easy VPN是CISCO的一种特征,它允许使用CISCO VPN客户端软件一类实施IPSec远程访问设备。

第 9 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

由于可以使用CISCO路由器或者PIX来配置Easy VPN服务器，而不需要另外增加其他设备，对于已经拥有一台大容量的边缘路由，而且仅需要少量的远程访问用户的企业来说，这无疑在保证了远程访问的高安全性的前提下，可以在成本控制上有更大的优势。

这也是本设计方案所采用它作为远程访问方式的原因。

2.2.4 热备份路由协议（HSRP）

随着Internet的日益普及，人们对网络的依赖性也越来越强，这同时对网络的稳定性提出了更高的要求，人们自然想到了基于设备的备份结构，就像在服务器中为提高数据的安全性而采用双硬盘结构一样，路由器是整个网络的核心和心脏，如果路由器发生致命性的故障，将导致本地网络的瘫痪，如果是骨干路由器，影响的范围将更大，所造成的损失也是难以估计的，因此，对路由器采用热备份是提高网络可靠性的必然选择，在一个路由器完全不能工作的情况下，它的全部功能便被系统中的另一个备份路由器完全接管，直至出现问题的路由器恢复正常，这就是热备份路由协议（Hot Standby Router Protocal），HSRP RFC2281技术要解决的问题，如下图2-5 HSRP热备一所示：

图2-5 HSRP热备一

热备份路由器协议（HSRP）是思科私有的协议，它的设计目标是支持特定情况下IP流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性，负责转发数据包的路由器称之为主动路由器（Active Router）。一旦主动路由器出现故障，HSRP将激活备份路由器（Standby Routers）取代主动路由器，HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的IP地址作为网络系统的缺省网关地址。如果主动路由器出现故障，备份路由器（Standby Routers）承接主动路由器的所有任务，并且不会导致主机连通中断现象，如下图2-6 HSRP热备二所示：

第 10 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

图2-6 HSRP热备二

HSRP运行在UDP上，采用端口号1985，路由器转发协议数据包的源地址使用的是实际IP地址，而并非虚拟地址，正是基于这一点，HSRP路由器间能相互识别。

现思科公司的第三层交换机也支持该协议，HSRP根据对两互备份路由器或交换机的优先级设定，将其中一台设备置为活动状态，而另一台设备置为备用状态，当主设备发生故障时备用设备能立即启用，这就是所谓“热备”的含义，对网络中正常工作的用户而言，这一切都是透明不可见的，从而保证了网络的正常运行。

本章小结

本章介绍了Cisco对中小型企业的架构、对中小型企业复合网络模型建设；还介绍了当今组建中小型企业园区网络的主要技术，包括了路由技术、交换技术、VLAN技术、远程访问技术及冗余热备份技术等，这些都是在组建一个高可用性企业网络中必须涉及的相关技术。

第 11 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

3 中小企业网络的建设目标

3.1

建设目标

企业建设一个以办公自动化、计算机辅助生产、控制及管理为核心，以现代网络技术为依托，技术先进、扩展性强、能覆盖企业各楼宇的企业主干网络，将企业的各种PC机、工作站、终端设备和局域网连接起来，并与有关广域网相连，在网上宣传自己和获取Internet网上的信息资源。形成结构合理、内外沟通的企业计算机网络系统，在此基础上建立能满足生产、研发和管理工作需要的软硬件环境，开发各类信息库和应用系统，为企业各类需求提供充分的网络信息服务。即总体目标是利用先进的计算机技术和网络通信技术，建设高质量、高效率的统一的通信网络。其具体目标如下：

1). 通过建设一个高速、安全、可靠、可扩充的网络系统，使各系统互联互通，实现企

业信息的高度共享、传递及管理信息化，各领导能及时、全面、准确地掌握企业的研发、生产、管理、财务、人事等各方面情况；

2). 建立出口信道，实现企业与Internet互联，同时部署企业各种应用服务器（邮件、

文件、网站及各系统服务器等），实现企业信息的发布，提供各领导和企业员工的移动拨号接入，进行移动办公和资料查询；

3). 企业的各通交流，用电子信息的传递取代纸面文件、资料的传送，实现无纸办公，

改变传统的工作方式，进一步提高工作效率；

4). 利用各种业务信息的综合分析，为各级领导提供决策支持，更好地组织生产和经营。

3.2 设计原则

企业园区网可能包含大量的信息点，并会涉及大量的业务应用，这就要求企业网必须是一个实用的、高可靠、高效率、高扩展性及高安全性系统。为使企业园网络系统具有良好的扩展性和灵活的接入能力，并易于管理，易于维护，在网络设计及构建中始终应遵循统一标准、统一平台及网络分层的原则，主要包括如下原则：

1).

在网络规划方面，统一采用IP技术，统一规划IP地址及各种应用，采用开放的技术及国际标准，如路由协议、安全标准、接入标准和网络管理平台等，才能保证实现网络的统一，并确保网络的可扩展性，同时为了减少网络中各部分的相关性，便于网络的实施及管理，在网络的构建中，从整体上可以将网络划分为核心层、汇聚层和接入层等3个层次； 2). 3).

在软硬件选择方面，所有选择的软、硬件产品都必须遵循标准化原则，采用统一的软、硬件平台和基本应用软件，以便进行统一的软件版本的升级及管理； 在安全方面，所建设企业网应具有良好的安全性与保密性，根据企业的业务应

第 12 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

用需求，部署合理的网络访问策略，同时实现企业内部敏感信息的保护，在受到攻击时具有可追溯性； 4).

在投资保护方面，要做到资源共享与保护，充分合理地利用现有的资源，最大限度地与原有系统或在建系统互联互通，在尽可能利用已有投资的基础上，解决好经费的补充和配套资金到位问题。

3.3 本章小结

本章介绍了中小型企业组建网络的建设目标，包括安全性、可靠性、可扩充性等，建立互联网通讯目标，实现企业内部畅通交流及提供综合分析数据以供领导决策；提出设计原则，主要包括网络规划、软硬件的选择、安全性及投资保护等四方面进行讨论。

第 13 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

4 中小企业网络需求分析

为了便于理论结合实践，以下所有涉及的需求分析及解决方案是以东莞某企业的真实情况为设计依据，此方案的设计已经应用于真实环境且运行二年多以来用户表示效果良好。

4.1 目标需求

企业：优化管理体制，实现资源合理配置，节约不必要开支，投入办公自动化、研发及信息化设施；加速企业研发成果转化，积极开展对外合作、交流、沟通；进行技能培训、考核，提高竞争力；

领导：可以讯速获取各种信息；提高管理能力、业务水平及自身素质；拓展新项目及项目管理；进行各种对外交流；加强与员工的沟通；便利的企业生活服务等；

员工：获取信息，拓宽知识面；提高专业水平，随时得到领导指示；广泛的交流；学习与实践相结合；丰富多彩的企业生活及发挥才能的机会；便利的企业生活服务。

4.2 应用需求

4.2.1 息信流分析

1). 在该企业网中发生的信息流主要包括二个部分：管理过程信息流和Internet信息流； 2).管理过程信息流包括：各种生产控制管理信息流和行政办公信息流；

3).各种生产控制管理信息流通过在企业园区网上运行的综合信息管理及业务系统，包括企业的生产管理和日常的管理实现办公自动化，如企业ERP系统管理、OA流程管理和人事管理、财务管理、固定资产管理等，同时可在网上进行信息发布；

4). Internet信息流主要建立在宽带、结构简化、综合业务应用齐全的IP基础网上或企业园区DMZ区域网上，提供企业园区网或广域网资源信息的传递和共享。此类数据流为载有语音、数据和视频信息的IP流。

4.2.2 应用业务分析

根据国家的相关规定与标准，不同行业的中小型企业人数限定是不一样的，但是根据行业的性质及所规定的人数，一间中小型企业使用计算机的数量一般在几百台左右。因此，小型园区网络设计即可满足。小型园区网络设计适于最多只包含几百台联网设备的建筑物规模的网络。

该企业目前拥有500台办公计算机，并且企业还有如下的各项需求情况，在本方案中，

第 14 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

属于中型企业，详细如下：

1). 2). 3). 4). 5). 6). 7).

企业拥有的500台办公计算机,要求都能访问到Internet资源；

外网通过Internet只能访问企业内DMZ区的各种共享服务器,如FTP、WWW等，不能访问其它内网信息；

会议室、会客厅、大厅这三个位置，要实现wi-fi无线上网，可以实现多人同时接入；

出差工作人员及在家办公人员能够远程访问公司内部的共享文件、使用内部业务系统以及进行数据传送；

网络要是可扩展的、高速的、冗余的、安全的，并可满足为现在或将来进行语音、视频、图像等各种服务的应用；

要保证企业内部服务器群可以集中管理以及企业内部信息安全；

为了简化起见，在本方案中设定公司一共有6个部门：财务部、市场部、开发部、策划部、客户中心、采购部。

4.3 业务需求

1). 数据处理及通讯能力强，响应速度快；

2). 网络运行安全、可靠性高，即使发生攻击行为，保证可追溯、可跟踪； 3). 系统易扩充，易管理，便于用户的增加；

4). 主干网支持多媒体、群体、图象接口应用，支持高性能数据库软件包的持续增长； 5). 系统开放性、互连性好；

6). 局域网既能方便远程用户的拨号接入，又能满足特殊用户高效地连入广域网，使用灵活；

7). 具有很强的分布式数据处理能力。

4.4 外部需求

1). 外部需求应包括以下几个：Internet访问、远程访问、电子邮件、以多媒体方式介绍企业、讨论和交流、WEB信息发布及FTP文件共享，各项均可通过相应的网络信息平台实现；

2). 企业的网络化建设必然会对企业的信息化建设起到巨大的推动作用，同时提供简单、有效、便捷的理想办公、管理及生产环境。

第 15 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

4.5 用户需求调查

表 4-1 用户需求调查

安网络需求 全性 可扩展性 楼层数 地址 建筑物 可靠性/可用性 信息点数 主要应用 办公1栋白天工作状态良好，网络运行正常 白天工作状态良好，网络运行正常 白天工作状态良好,网络正常运行 全日制不停机工作 白天工作状态良好,网络正常运行 楼一 4层/ 办公楼二 栋 1栋4层/栋 1栋3层/栋 1栋4层/栋 3栋6层/栋 下载>300KB/s上传>100KB/s 中 好 4 120 OA办公、产品设计、资源共享、Internet服务等 下载>300KB/s上传>100KB/s 中 好 4 100 OA办公、产品设计、资源共享、Internet服务等 系统测试、产品开发、员研发楼 下载>500kB/s上传>200KB/s 高 好 3 70 工培训、应用软件学习、Internet服务等 生产车间 职工公寓1~3

下载>400KB/s上传>100KB/s 中 良好 4 50 系统应用、资源共享、OA办公、Internet服务等 资源共享、员工学习及娱下载>200KB/s上传>50KB/s 低 良好 18 130 乐、应用软件学习、Internet服务等 4.6 网络需求分析

根据该企业应用需求进行分析，最终决定采用以下网络部署方案解决该企业的各项需求：

1). 申请一条15M的带宽，以满足500台计算机访问Internet；

2). 申请九个公网IP地址：196.2.125.1分配给internet接入路由器的串行接口，另外八个IP地址：202.126.222.2/29-202.126.222.7/29用作NAT；

3). 购买一台CISCO路由器CISCO 3640以实现企业内部网连接到internet，购买一台防火墙以实现内部与外部的安全过滤；

4). 企业目前有500台计算机连入网络，考虑到在未来五年内可能会有所增加，预计增加幅度为100台，总共有600台，出于前期一次性设备投资成本过高但又不失扩展性的

第 16 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

要求,所以采用了汇聚层与接入层暂时相合并的设计办法，因此在各栋楼之间按用户数量部署适当数据量的接入层交换机48口Catalyst 2960，设计方案共计13台设备，为了方便管理及后续的扩展性，接入层交换机按需采用堆叠式部署及配置；

5). 将各个部门划分在不同的VLAN，包括服务器群和管理VLAN一共需要7个VLAN； 6). 将WEB服务、邮件服务器、FTP服务器及业务应用系统服务器直接与核心交换机CISCO 4501连接，置于管理机房，方便管理，同时配置ACL控制各部门访问权限并阻止外网访问；

7). 在需要无线上网的会议厅、会客厅、大厅三个地方，采用三台54M 802.11b的无线AP接入，设定最多30人的数量，以保证每个人访问网速不至于过慢；

8). 在路由器上配置Easy VPN，用以实现出差工作人员及在家办公人员远程访问企业内部资源及数据交换；

9). 为实现网络的冗余设计，在核心层部署时，用两台三层交换机实现HSRP功能。

4.7 本章小结

本章以一个实际案例的需求为依据，分析中小型企业目标需求、应用需求、业务需求、外部需求、用户需求及网络需求等，详细分析了中小型企业需求的重点及面临的问题，从而引出了作为中小型企业一些共性的需求。

第 17 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

5 企业网络的总体设计

企业网络建设不只是涉及技术方面，而是包括了网络设施、应用平台、信息资源、专业应用、人员素质等众多成份的综合化系统。因此，在总体上如何筹划、组织网络建设和开发应用的设计思想是企业网建设中的最重要的问题。

总体设计是企业网建设的总体思路和工程蓝图，是搞好企业网建设的核心任务。进行企业网总体设计，首先，进行对象研究和需求调查，弄清企业的性质、任务和改革发展的特点，对企业的信息化环境进行准确的描述，明确系统建设的需求和条件；其次，在应用需求分析的基础上，确定企业Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三，确定网络拓朴结构和功能，根据应用需求、建设目标和企业主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划安排企业网建设的实施步骤。

5.1 网络拓朴设计

本次该企业网络设计方案主要由以下四大部分构成：交换模块、广域网接入模块、远程访问模块、服务器群。整个网络系统的拓朴结构图如图5-1网络拓朴设计所示，如下：

第 18 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

图5-1 网络拓朴设计

该设计符合CISCO中小型局域网模型架构。它的园区主干和建筑物分布子模块没有十分明确的三层设计区分，在功能配置基本上是紧缩到一层中去（即Core Switch所在层），因为缺乏明显分开的园区主干和建筑物分布子模块，并且园区主干子模块中的密度是有限的，所以在每个建筑物分布子模块中采用多台二层交换机（Catalyst 2960）进行堆叠即可，在此方案中，出于可扩展性、一次性投资成本、网络的传输性能及长远规划等方面因素考虑，前期先采用堆叠模式即可满足所有用户的接入问题，当用户增加到一定的数量之后，出于交换机堆叠数量的限制，可以选择增加多一台建筑物分布子模块来做汇聚的交换设备，这样一样可以做到后续有很强的扩展性，通过这种设计，可以使用该企业达到满足现有需求的同时很好的降低了成本且不失后期的扩展性（如上拓朴图示）。

以这个设计方案而言，因为能提供交换机和链路冗余，所在园区主干子模块不包含任何的单点故障。

它采用了星形拓朴结构，它相对其他拓朴结构来说，星形拓朴将用户接入网络时具有更大的灵活性。当系统不断发展或系统发生重大变化时，这种优点将变得更加突出。

在接入层，Catalyst 2960系列交换机通过生成树提供第二层冗余。Catalyst 2960系列交换机仅有缺点就是最高只能32Gbit/s交换阵列，并且最多只能支持48个快速以太网端口，但是这对于资金有限的中小型企业网来说已经满足需求了。

在核心层采用三层交换机Catalyst 4506系列部署，可以增加网络扩展性，提高性能及

第 19 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

可用性，增强网络安全性。

在该设计中，利用快速以太网通道化/千兆以太网通道化技术扩展网络带宽，可以满足内部网络的大负荷网络运行需求。

5.2 IP编址方案及VLAN划分

IP地址规划根据所分配的公网IP地址和内部私有网IP地址分配，地址可分为二大块，一块是分配多个C类公网IP地址，作为和国际互联网互连的地址，一部分企业相关的域名就解析在这片地址上，同时提供给企业用户上网时的NAT转换用，如果条件允许，可以申请多个运营商的线路，关键服务器及应用可以拥有两条线路的公网IP，分别跨接在不同的运营商上进行相互备份。

当前交换技术的迅速发展，也加快了虚拟子网技术(VLAN—Virtual Local Area Network)的应用速度，特别是在当前企业网上的应用更广泛。通过将企业网络划分为虚拟子网（VLAN），可以强化网络管理和网络安全，控制不必要的数据广播。数据广播在网络中起着非常重要的作用，随着企业网内的计算机数量的增加，广播包的数量也会急剧增加，当广播包的数量占到总量的30%时，网络的传输效率将会明显下降。特别是当某网络设备出现故障后，会不停地向网络发送广播，从而导致网络风暴，使网络通信陷于瘫痪。当企业网络内计算机数超过200台后，就必须采取措施将网络分隔开来，将一个大的广播域划分成若干个小的广播域。

该方案IP编址及VLAN划分如下：

表5-1 VLAN划分表 VLAN号 VLAN 1 VLAN 10 VLAN 20 VLAN 30 VLAN 50 VLAN 60 VLAN 70 VLAN 100 VLAN名称 - CWB SCB CHB KFZX CGB RFB SERVER IP网段 192．168．0．0/24 192．168．1．0/24 192．168．2．0/24 192．168．3．0/24 192．168．5．0/24 192．168．6．0/24 192．168．7．0/24 192．168．100．0/24 默认网关 192．168．0．254 192．168．1．254 192．168．2．254 192．168．3．254 说明 管理VLAN 财务部VLAN 市场部VLAN 策划部VLAN 192．168．5．254 客服中心VLAN 192．168．6．254 192．168．7．254 采购部VLAN 研发部VLAN 192．168．100．254 服务器组VLAN

第 20 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

5.3 核心层设计及设备选型

企业网是各种应用的统一通信平台，平均无故障时间以及故障恢复时间要保持在一个可容忍的许可范围之内。在这种前提下，园区主干设备应有一定的冗余度，这种冗余包括有设备级及物理线路等方面，数据链路层、网络层以及应用层的容错能力。园区主干网以企业网络中心的主机房为中心节点向外辐射，通过各部门所在的建筑楼节点构成园区主干网。企业园物理结构分为三层：核心层、汇聚层、接入层。园区主干网中心节点配置核心路由交换机，该交换机上配置第三层交换模块和网络监控模块，以实现网络动态管理和虚拟局域网。企业网的各建筑物分布子模块，可采用三层交换机与企业网园区中心的核心路由交换机连接，以实现主干通道信息传输的负载均衡。办公司楼、研发楼、生产间、职工公寓等楼宇采用高性能汇聚层交换机，以保证建筑楼信息点对交换机端口密度的要求和网络性能与可靠性的要求。园区主干网核心层交换机和汇聚层交换机采用1000Mbps（单模1000BASE-LX、多模1000BASE-SX）连接，服务器采用1000Mbps(1000BASE-TX)连接。

5.3.1 园区主干交换机

园区主干交换机是指连接服务器及楼与楼之间、层与层之间的数据交换设备。根据企业网工程的不同阶段中网络信息点增加及其间伴随着的使用需求增长，对主干交换机基本设备的选型及其阶段性的扩展需求进行总体的合理规划。

因此本次方案设计采用Catalyst 4506交换机，它采用了Supervisor Engine V-10GE的领先引擎，它的最高性能可以达到102Mpps和136Gbit/s，在远程办公室环境中，这类交换机即可以作为单台交换机发挥作用，也可以作为包含少量交换机的中小型网络的园区主干交换机。在ISP网络环境中，因为这个平台具有CISCO长距离以太网的功能，所以这些交换机能够用于汇聚业务服务和用户的接入。

在性能方面，通过使用Supervisor III或Supervisor II+ 只支持第二层，但是能够支持64Gbit/s，同时具有很强的扩展性及多业务特性，可以满足未来企业丰富的业务需求及提供投资保护。

采用交换机而不使用共享式集线器到桌面是由于企业实际使用情况是要求集中突发性、工作效率、生产效率性以及当前网络技术的主流及后续的扩展性及兼容性等的考虑，即职工工作时间段相对集中的情况比较多且工作效率要求很高，如果使用共享到桌面，网络就会产生拥阻而影响速度，因此在企业网中应使用百兆交换到桌面。在十兆与百兆交换机中应选择百兆交换，因为10兆虽然在有些职工的网络使用中刚刚能达到要求，但是已经不适应功能越来越强的计算机与新的应用软件的发展，更不适应更快的计算机通讯产品的要求，将成为它们之间最大的瓶颈。

第 21 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

5.3.2 出口路由器

在此方案中，考虑该企业Internet出口路由器的配置，采用一台CISCO 3640路由器，因为CISCO 3600系列是模块化设备，提供了更多的槽和更高的处理能力，它的用途是支持大型分支机构中的复杂应用，或作为中心路由器为多个远程站点提供连接，它的网络模块最高可支持OC-3的速度，且对大多数企业具有丰富的可提高扩展能力。

CISCO 3640也是CISCO多服务行列中的一员，它支持连接语音线路、电话和专用分组交换机（PBX），提供LAN介质、串行接口、ISDN连接、语音连接及数字MODEM等接口，所以选择CISCO 3600系列还是更高系列，取决于所需支持的不同类型的接口的数目，这些新系列的路由器一般有更强的处理能力、支持更多的可配置接口，然而情况并不总是这样，一些CISCO早期推向市场的拨号访问服务器就不能处理由多个接口同时提供出的多个连接。

5.3.3 服务器群组

服务器是网络服务器用量最大的地方。服务器的选择标准很大程度上取决于中心客户的类型和应用种类。就大部分中小型企业应用而言，Web、ERP应用和数据库应用仍然占整个数据中心的各类应用的主要部分。因此对服务器的网络响应能力在很大程度上体现了服务器的硬件体系结构设计的合理性、CPU或CPU组（SMP）对操作系统的进程或线程的分配能力以及磁盘I/O的性能。以及可行性与稳定性，同时散热、功耗和易安装性也是重点考察和评价的对象。基于以上考虑，所选的服务器必须具有高可靠性，I/O吞吐能力强，数据处理快，可扩展性和可管理性良好的特点。

5.4 接入层设计及设备选型

接入层选用Catalyst 2960可堆叠交换机作为用户的接入，这些交换机通常作为建筑物接入交换机而部署，能够提供固定的端口密度，并且具有与高端交换机相类似的特性，但其成本更低，但它们却支持非常多的高级交换特性，其中包括集成安全、NAC、高级Qos和弹性等；同时这些交换机具有固定的端口配置，具有24个或48个10/100BASE-T或10/100/1000BASE-T端口，以及双目标特以太网上行链路，既可以使用铜或光纤上行链路，也可以使用一个10/100/1000以太网端口和一个SFP吉比特以太网端口的组合。

使用Catalyst 2960作为本方案设计的接入交换机，它支持全线速的二层交换，同时具备如下特性：

完备的安全智能控制策略：支持802.1x认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。

第 22 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

支持多种ACL访问控制策略：能够对用户访问网络资源的权限进行设置，保证网络的受控访问。

高可靠性：支持STP/RSTP生成树协议。

丰富的QOS策略：支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口，支持带宽控制功能。

好的扩展性：提供良好的堆叠功能，同时支持不同设备的混合堆叠，从而保证了网络的平滑升级和降低了扩建成本。

5.5 安全体系设计及设备选型

企业网信息系统是企业网的数字神经中枢，合理的使用不仅能提高企业现代化信息化改革、提高工作效率、改善工作模式及流程，同时通过各企业之间的信息共享及沟通的方便及顺畅，将会极大的提高整体行业的工作效率及工作业绩。

企业网总体上分为企业内网和企业外网。企业内网主要包括研发楼局域网、生产车间局域网、办公自动化局域网等。企业外网主要指企业提供对外服务的服务器群、与电信的接入以及远程移动办公用户的接入等，认真分析可以总结出企业网面临着如下的安全威胁：

(1) 各种操作系统以及应用系统自身的漏洞带来的安全威胁； (2) Internet网络用户对企业网存在非法访问或恶意入侵的威胁；

(3) 来自企业网内外的各种病毒的威胁，外部用户可能通过邮件以及文件传输等将病毒

带入企业内网，内部职工可能由于使用盗版介质将病毒带入企业内；

(4) 内部用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于

下载文件可能将木马、蠕虫、病毒等程序带入企业内网；

(5) 内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击，导

致网络及服务不可用；

(6) 企业网内的职工即时通信工具（比如：OICQ），目前针对该类工具的黑客程序随处

可见；

(7) 可能会因为企业网内管理人员以及全体职工的安全意识不强、管理制度不健全，带

来企业网的威胁。

基于上面的问题，我们将从物理、系统、网络、应用及管理五个层次分析和设计适合于企业网的安全建议方案。

5.5.1 物理层安全

物理层的安全主要包括环境、设备及线路的安全。系统中心或机房的建设应遵照：GB50173-93《电子计算机机房设计规范》、GB2887-89《计算机站场地安全要求》及GB2887-89《计算机站场地技术条件》的要求。在设备集中的管理间安装干扰器防止由于

第 23 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

设备辐射造成的信息泄漏。同时，要注意保护线路的安全，防止用户的搭线窃听行为。

5.5.2 系统安全

系统层主要解决的是由于各种操作系统、数据库、及相关产品的安全漏洞和病毒造成的威胁。解决的技术手段主要有以下几种：

(1) 加固手段对主机加固，如升级、打补丁、关闭不需要的端口等； (2) 访问控制手段加强对主机的访问控制。

5.5.3 网络层安全

企业网中局域网数目较多，根据需要多个网络可能要互相联接。正是这种多网的互联，使我们对网络层的安全要极度重视。定义一个网络或各网络内不同安全等级的部分为不同的安全域。安全域之间的连接处叫网络边界。下面主要讨论以下几方面的网络层安全防护：

(1) 划分安全子网。如果同一局域网内有不同等级的安全域，可以通过划分子网及VLAN的方法加以访问控制；

(2) 加强网络边界的访问控制。安全等级差别较大的边界需要采用防火墙来控制，如企业内网、企业外网和Internet之间，利用防火墙进行访问控制和内容过滤，可有效地解决需求中提到的多种威胁；

(3) 防止内外的攻击威胁。在每个安全域内或多个安全域之间安装入侵检测系统（IDS），可有效地防止来自网络内外的攻击。

5.5.4 应用层安全

(1) 应用层的安全措施主要有以下几点： (2) 各应用系统自身的加固； (3) 建立身份认证系统； (4) 建立安全审计系统； (5) 建立备份系统。

5.5.5 管理层安全

实现管理层的安全主要注意以下几点：

(1) 建立安全管理平台。主要是指将各种安全系统或设备集中控管、综合分析。 (2) 建立、健全安全管理体制。企业网用户较多，一定要建立一套合理可行的安全管理制度，只有制度和设备的完美结合才能真正提高企业网的安全水平。

第 24 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

5.6 设计方案优势

5.6.1 高带宽、高性能

相比于传统组网设计方案，该企业网络设计方案是基于标准的二、三层以太网交换技术，技术成熟度非常高。企业网络中心放置路由交换机上行通过GE接至互联网，GE可以是单模或者多模，到时可以按使用的情况进行扩展，使出口不会成为企业网瓶颈。在企业网络中心通过下行使千兆链路连接接入层交换机，百兆交换到桌面，100M的带宽可充分满足用户高速上网、内容下载及多媒体等多种宽带业务。核心交换机拥有1000M出口联接企业网，各层设备全部支持线速交换，给用户提供了真正的高带宽网络，对未来高带宽的宽带业务提供了强大的支撑能力。

5.6.2 网络管理

企业网在为员工提供便捷、高效的学习、工作环境的同时，也在宽带管理、权限控制等方面存在许多问题：

? 对带宽资源的大量占用导致重要应用无法进行

对于企业来说，它的带宽资源都是有限的。由于没有带宽限制和优先级设置，一些重要用户和重要应用得不到必要的带宽保证而影响了工作。

? 访问权限难以控制

随着使用互联网资源、各部门之间不同员工间的保密资源可以随意获取，将导致企业秘密级资料或是自主知识产权被竞争对手抄袭，引起经济损失。

? 异常网络事件的审计和追查

当异常网络事件发生后，如何尽快的追根溯源，找出幕后“黑手”，防止事件的再 次发生，成了网络维护人员不得不面对的棘手问题。

? 带宽的限定和业务优先级的设定

系统能对每个客户上下行的带宽上限加以限定，防止个别客户占用过多网络资源。还能对不同的用户数据设定业务优先级以保证重要数据能得到更好的服务。

? 快捷实现全网管理

全网拓扑发现功能可以对全网设备、网络节点以及事件、性能、日志进行实时监控，统一管理。

? 强大的事件追查功能

系统中丰富的日志信息和便捷的追查工具能使网络管理员在面对异常事件时，能及时作出反应，迅速找出幕后“黑手”。

第 25 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

5.6.3 完善的安全机制

该企业各楼宇交换机通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击， 控制非法用户使用网络，保证合法用户合理化使用网络，如端口安全、端口隔离、专家级ACL、时间ACL、端口ARP 报文合法性检查、基于数据流的带宽限速等等， 满足企业网加强对访问者进行控制、限制非授权用户通信的需求；在汇聚、核心交 换设备设置由硬件实现 ACL，对病毒进行过滤。

? ? ?

硬件实现端口与 MAC 地址和用户 IP 地址的绑定，严格限定端口上用户接入； 通过将端口设为保护端口即可简单方便地隔离用户之间信息互通，不必占用VLAN资源；

通过Private VLAN 可以在交换机的同一 VLAN 中提供端口之间的通讯或安全隔离， 确保数据流进入有效端口，而不会被发送到其它端口，即解决了因传统802.1QVLAN造成全网VID资源不够的问题，同时又无需利用安全规则资源即能达到隔离不同用户以及不同组用户之间通讯的功能，充分保护用户隐私； ?

提供极为有效的 Port Blocking 功能，避免端口受到其它端口发送的广播包、多播包等报文的干扰，有效减轻端口负载负担，提高端口带宽，保护用户PC更高效安全地运行； ? ? ? ?

基于源 IP 地址控制的 Telnet 和 Web 设备访问控制，增强了设备网管的安全性，避免黑客恶意攻击和控制设备；

提供加密传输的 Secure Shell（SSH），保证管理设备信息的安全性，防止黑客攻击和控制设备； 病毒、蠕虫等多元化发展

控制网络病毒。 统一对接入层交换机做动态下发安全策略，轻松有效的控制网络病毒，使网络保持畅通。

5.6.4 易维护

CISCO网络交换机都经过独特设计具备防尘、防潮、防静电等多种适于在楼道安装和使用的特点。 而且具有强大的运行维护能力，能有效降低运营商的运维成本。支持 RS-232 本地管理口及 Telnet、WEB、SNMP 代理，远程监控（RMON 1~3，9 组）可根据运营商的不同要求，使用不同的管理方案，支持 SNMP 协议的全网集中网管。提供了故障告警和日志功能，可通过机箱面板上指示灯直观地了解设备的运行状态。

第 26 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

5.6.5 高可靠性

CISCO网络产品均使用国际上主流的先进ASIC芯片进行设计，并率先采用 ISO9002生产标准进行生产，确保了设备的稳定性。

5.6.6 低成本、可扩展性强

以太网交换技术历经长期发展，得到众多厂商的支持，以技术实现简单而获得极大的性 能价格比。CISCO网络公司的以太网交换机全部基于标准的以太网交换技术，使用专用芯片技术，具有极高的性价比，保证了整个网络核心部分的稳定、可靠和高性能。CISCO中心交换机采用模块式设计，用户只需简单地添加端口模块即可实现网络的扩容， 完整保护用户投资。CISCO交换机支持弹性堆叠功能，可根据需要扩展堆叠从机；这样，当网络需扩容时，只需简单添加堆叠从机，不必再添加设备管理 IP；同时，网络速度不会受到影响。

5.7 本章小结

本章根据中小型企业的需求分析，制定了总体的设计方案，包括网络拓朴的设计、IP编址方案及VLAN划分办法，核心层、接入层、出口路由器、服务器群组及安全等设备的选型，充分体现此方案的设计优势，包括可用性、可靠性、安全性、易用性、易管理、可扩展性及投资保护等优点。

第 27 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

6 企业网络的整体方案部署

以下是该企业应用以上方案设计之后，方案中所有的网络、服务器等设备的具体参数配置。

6.1 交换模块设计

为了简化交换网络设计、提高交换网络的可扩展，在园区网内部数据交换的部署是分层进行的。园区网数据交换设备可以划分为三个层次：接入层、分布层、核心层。在本设计方案中，需要进行三层配置。

以下所有配置均属于真实在运营参数，并且使用SecureCRT 6.1作为终端进行网络设备的配置验证。

6.1.1 接入层交换机服务的实现—配置接入层交换机

接入层为所有的终端用户提供一个接入点。这里的接入层交换机采用的是CISCO Catalyst 2950 48口交换机（WS-C2960-48）。交换机拥有48个10/100Mbps自适应快速以太网端口，运行的是CISCO的IOS操作系统。我们以方案拓朴图示中的接入层交换机SWITCH1为例进行介绍。如下图6-1接入层所示：

图6-1 接入层

配置接入层交换机SWITCH1的基本参数 1） 设置交换机名称

设置交换机名称，也就是出现在交换机CLI提示符中的名字。一般我们会以地理位置或行政划分来为交换机命名。当我们需要Telnet登录到若干台交换机以维护一个大型网络时，通过交换机名称提示自己当前配置交换机的位置是很有必要的。

使用Secure CRT登录SWITCH1进入界面后，输入以下命令为接入层交换机命名

第 28 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

Switch>en

Switch#config t //进入特权模式

Switch(config)#hostname SWITCH1 //修改Switch名称 SWITCH1(config)# //修改成功后的显示效果

2） 设置交换机的加密口令

当用户在普通用户模式而想要进入特权用户模式时，需要提供此口令。此口令会以MD5的形式加密，因此，当用户查看地配置文件时，无法看到明文形式的口令。

SWITCH1(config)#enable secret company //设置进入特权用户密码为company

3） 设置登录虚拟终端线时的口令

对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管理人员提供了很多的方便，但是，处于安全考虑，在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。

SWITCH1(config)#line vty 0 15 //设置登录交换机时需要验证用户身份 SWITCH1(config-line)#login

SWITCH1(config-line)#password company //设置登录密码为company

4） 设置终端线超时时间

为了安全考虑，可以设置终端线超时时间。在设置障碍的时间内，如果没有检测到键盘输入，IOS将断开用户和交换机之间的连接。

SWITCH1(config)#line vty 0 15

SWITCH1(config-line)#exec-timeout 6 0 //设置登陆交换机的控制终端线路的超时时间为6分0秒钟。

5） 设置禁用IP地址解析特性

在交换机默认配置的情况下，当我们输入一条错误的交换机命令时，交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址，利用命令 no ip domain-lookup，可以禁用这个特性，如下：

SWITCH1（config）#no ip domain-lookup //设置禁用IP地址解析特性

6） 设置启用消息同步特性，有时，用户输入的交换机配置命令会被交换机产生的消

息打乱，可以使用命令 logging synchronous设置交换机在下一行CLI提示符后复制用户的输入，如下：

SWITCH1（config）#logging synchronous /设置启用消息同步特性

第 29 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

配置接入层交换机SWITCH1的管理IP、默认网关

接入层交换机是OSI参考模型的第二层设备，即数据链路层的设备，因此，给接入层

交换机的每个端口设置IP地址是没有意义的，但是，为了使网络管理人员可以从远程登录到接入层交换机上进行管理，必要给接入层交换机设置一个管理用的IP地址，这种情况下，实际上是将交换机看成和PC机一样的主机，给交换机设置管理用的IP地址只能在VLAN1，即本征VLAN 中进行。按照表2，管理VLAN所在的子网是：192.168.0.0/24，这里将接入层交换机SWITCH1的管理IP地址设为：192.168.0.10/24，如下：

SWITCH1（config）#interface vlan1

SWITCH1（config-if）#ip address 192.168.0.10 255.255.255.0 //设置管理IP SWITCH1（config-if）no shutdown

为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关地址192.168.0.254 。

SWITCH1（config）#ip default-gateway 192.168.0.254

配置接入层交换机SWITCH1的VLAN及VTP

从提高效率的角度出发，在企业网中使用了VTP技术，同时，将核心层交换机CoreSwitch1设置成为VTP服务器，其他交换机设置成为VTP客户机。这里接入层交换机SWITCH1将通过VTP获得在核心层交机层CoreSwitch1中定义的所有VLAN的信息。

SWITCH1（config）#vtp mode client //设置为VTP客户机

配置接入层交换机SWITCH1端口基本参数

可以设定某端口根据对端设备双工类型自动调整本端口双工模式，也可以强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的情况下，建议手动设置端口双工模式，如下：

SWITCH1（config）#interface range f0/1 – 48

SWITCH1（config-if-range）#duplex full //设置所有端口均工作在全双工模式 2）端口速度

可以设定某端口根据对端设备速度调整本端口速度，也可以强制将端口速度设为10Mbps或100Mbps。在了解对端设备速度的情况下，建议手动设置端速度，如下：

SWITCH1（config）#interface f0/1 – 48

SWITCH1（config-if-range）#speed 100 //设置所有端口一速度均为100Mbps

配置接入层交换机SWITCH1的访问端口

第 30 页

1）端口双工配置

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

接入层交换机SWITCH1为终端用户提供接入服务，根据各部门的不同分布，接入层交换机SWITCH1为VLAN 10及VLAN 20提供接入服务。

设置接入层交换机SWITCH1的端口1~20为VLAN 10，端口21~46为VLAN 20，如下：

SWITCH1（config）#interface range f0/1 – 40

SWITCH1（config-if-range）#switchport mode access //设置端口1~40工作在接入模式。 SWITCH1（config）#interface range f0/1 – 20

SWITCH1（config-if-range）#switchport access vlan 10 //设置端口1~20为VLAN 10的成员

SWITCH1（config）#interface range f0/21 – 46

SWITCH1（config-if-range）#switchport access vlan 20 //设置端口21~46为VLAN 20的成员

默认情况下，交换机在刚加电启动时，每个端口都要经历生成树的四个阶段：阻塞、侦听、学习、转发，在能够转发用户的数据包之前，某个端口可能最多要等50秒钟的时间（20秒的阻塞时间+15秒的侦听延迟时间+15秒的学习延迟时间）。对于直接接入终端工作站的端口来说，用于阻塞和侦听的时间是不必要的。为了加速交换机端口的端口当交换机启动或端口有工作站接入时，将会直接进入转发状态，而不会经历阻塞、侦听、学习状态（假设桥接表已经建立）。

SWITCH1（config）#interface range f0/1 -46

SWITCH1（config-if-range）#spanning-tree portfast //设置端口1~46为快速端口

配置接入层交换机SWITCH1的主干道端口

如图所示，接入交换机SWITCH1通过端口F0/48及F0/47上连到核心层交换机Core Switch1及Core Switch2，这两条上连到核心层的链路将成为接入交换机SWITCH1重要链路，在这两条上连链路上将运输多个VLAN的数据，因此这两个端口需要工作在Trunk模式下，如下：

SWITCH1（config）# interface range f0/47 – 48

SWITCH1（config-if）#switchport mode trunk //设置端口F0/48及47干道端口

配置接入层交换机SWITCH2

接入层交换机SWITCH2为VLAN 10、VLAN 30的用户提供接入服务，同时，通过自己的F0/48上连到分布层交换机Switch2的端口F0/2。

对接入层交换机SWITCH2的配置步骤、命令和对接入层交换机SWITCH1的配置类似，其详细配置内容如下：

Switch>en

第 31 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

Switch#config t

Switch(config)#hostname SWITCH2 SWITCH2(config)#enable secret company SWITCH2(config)#line vty 0 15 SWITCH2(config-line)#login

SWITCH2(config-line)#exec-timeout 6 0 SWITCH2(config-line)#line con 0 SWITCH2(config-line)#exec-timeout 6 0 SWITCH2(config)#no ip domain-lookup SWITCH2(config)#logging synchronous SWITCH2(config)#interface vlan 1

SWITCH2(config-if)#ip address 192.168.0.20 255.255.255.0 SWITCH2(config-if)#no shutdown

SWITCH2(config)#ip default-gateway 192.168.0.254 SWITCH2(config)#interface range f0/1 – 48 SWITCH2(config-if-range)#duplex full SWITCH2(config-if-range)#speed 100 SWITCH2(config)#interface range f0/1 – 20 SWITCH2(config-if-range)#switchport mode access SWITCH2(config-if-range)#switchport access vlan 10 SWITCH2(config-if-range)#spanning-tree portfast SWITCH2(config)#interface range f0/21 – 46 SWITCH2(config-if-range)#switchport mode access SWITCH2(config-if-range)#switchport access vlan 30 SWITCH2(config-if-range)#spanning-tree portfast SWITCH2（config）# interface range f0/47 – 48 SWITCH2（config-if）#switchport mode trunk

按照上面的配置，在其他接入层交换机做相类似的配置，并将各自的端口划入相应的VLAN即可。

核心层交换机服务的实现—配置核心层交换机

在本设计方案中，核心层各设备主要是做数据的高速转发工作，但同时也可以兼顾一

些分布层的工作，以方便配置的实施。下面讨论核心层交换机的配置，如下图6-2核心层所示：

第 32 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

图6-2 核心层

对核心层交换机CoreSwitch1的基本参数的配置

配置步骤与接入层交换机SWITCH1的基本参数的配置类似，其配置如下： Switch>en Switch#config t

Switch(config)#hostname CoreSwitch1 S CoreSwitch1 (config)#enable secret company CoreSwitch1 (config)#line vty 0 15 CoreSwitch1 (config-line)#login

CoreSwitch1 (config-line)#exec-timeout 6 0 CoreSwitch1 (config-line)#line con 0 CoreSwitch1 (config-line)#exec-timeout 6 0 CoreSwitch1 (config)#no ip domain-lookup CoreSwitch1 (config)#logging synchronous

配置核心层交换机CoreSwitch1的管理IP、默认网关

下面的命令为核心层交换机CoreSwitch1设置管理IP并激活本征VLAN，还设置了默

认网关的地址，配置如下：

CoreSwich1(config)#interface vlan1

CoreSwich1(config-if)#ip address 192.168.0.100 255.255.255.0 CoreSwich1(config-if)#no shutdown

CoreSwich1(config)#ip default-gateway 192.168.0.254

配置核心层交换机CoreSwitch1的VTP

当网络中交换机数量很多时，需要分别在每台交换机上创建很多重复的VLAN，工作量很大、过程很繁琐，并且容易出错，采用VLAN中继协议（Vlan Trunking Protocol VTP）可以解决这个问题。

VTP允许我们在一台交换机上创建所有的VLAN，然后，利用交换机之间的互相学习功能，将创建好的VLAN定义传播到整个网络中需要引VLAN定义的所有交换台机上，同

第 33 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

时，有关VLAN的删除、参数更改操作均可传播到其他交换机，从而大大减轻了网络管理人员配置交换机负担。

本设计方案使用了VTP技术，并将核心层交换机CoreSwitch1设置成为VTP服务器，其他交换机设置成为VTP客户机。

配置VTP管理域

共享相同VLAN定义数据库的交换机构成一个VTP管理域，每一个VTP管理域都有一个共同的VTP管理域域名，不同VTP管理域的交换机之间不交换VTP通告信息。

CoreSwitch1(config)#vtp domain Oalan //将VTP管理域的域名定义为“Oalan”。

设置VTP服务器

从前文的网络技术概述中可以得知，工作在VTP服务器模式下的交换机可以创建、删除VLAN、修改VLAN参数。同时，还能发送和转发VLAN更新消息。

CoreSwitch1(config)#vtp mode server //设置CoreSwitch1成为VTP服务器。

激活VTP剪裁功能

默认情况下主干道传输所有VLAN的用户数据，有时，交换网络中某台交换机的所有端口都属于同一VLAN的成员，没有必要接收其他VLAN的用户数据，这时，可以激活主干道上的VTP剪裁功能，当激活了VTP剪裁功能以后，交换机将自动剪裁交换机没有定义的VLAN数据。

在一个VTP域下，只需要在VTP服务器上激活VTP剪裁功能，这时，同一VTP域下的所有其他交换机也将自动激活VTP剪裁功能。

CoreSwitch1(config)vtp pruning //设置激活VTP剪裁功能

在核心层交换机CoreSwitch1上定义VLAN

在本设计方案中，除了默认的本征VLAN外，又定义了6个VLAN，由于使用了VTP

技术，所以所有VLAN的定义只需要在VTP服务器，即核心层交换机CoreSwitch1上进行，如下所示，这些命令定义了6个VLAN，同时为每个VLAN命名：

CoreSwitch1(config)#vlan 10 CoreSwitch1(config-vlan)#name CWB CoreSwitch1(config)#vlan 20 CoreSwitch1(config-if)#name SCB CoreSwitch1(config)#vlan 30 CoreSwitch1(config-vlan)#name CHB CoreSwitch1(config)#vlan 40

CoreSwitch1(config-vlan)#name KFZX

第 34 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

CoreSwitch1(config)#vlan 50 CoreSwitch1(config-vlan)#name CGB CoreSwitch1(config)#vlan 60

CoreSwitch1(config-vlan)#name SERVER

配置核心层交换机CoreSwitch1的端口基本参数

如朴拓朴图所示，核心层交换机CoreSwitch1的端口F0/1-F0/10为服务器群提供接入服务，而端口F0/11-F0/17分别下连到分布层交换机SWITCH1到分布层交换机SW24的端口F0/0-F0/1，同时还需要划入服务组群VLAN100中。

下面是配置CoreSwitch1的端口基本参数： CoreSwitch1(config)#interface range f0/1 – 24 CoreSwitch1(config-if-range)#duplex full CoreSwitch1(config-if-range)#speed 100 CoreSwitch1(config)#interface range f0/1 – 10 CoreSwitch1(config-if-range)#switchport mode access CoreSwitch1(config-if-range)#switchport access vlan 100 CoreSwitch1(config-if-range)#spanning-tree portfast CoreSwitch1(config)#interface range f0/0 – 1 CoreSwitch1(config-if-range)#switchport mode trunk CoreSwitch1(config)#interface channel 1 CoreSwitch1(config)#switchport

CoreSwitch1(config)#interface mode trunk CoreSwitch1(config)#interface range G0/1 – 2 CoreSwitch1(config-if)#interface mode trunk

此外，为了实现冗余设计以及提供主干道的吞吐量，核心层交换机CoreSwitch1将核心层交换机CoreSwitch1的千兆端口G0/1、G0/2捆绑在一起实现2000Mbps的千兆以太网信道，然后再连接到另一台核心层交换机CoreSwitch2，下面是调协核心层交换机CoreSwitch1的千兆以太网信道的步骤：

CoreSwitch1(config)#interface port-channel 1 //创建组

CoreSwitch1(config-if)#switchport mode trunk //设置模式为TRUNK CoreSwitch1(config-if)#exit

CoreSwitch1(config)#interface range G0/1 – 2

CoreSwitch1(config-if-range)#channel-group 1 mode on //加入组1并设置模式为on CoreSwitch1(config-if-range)#no shutdown

第 35 页

华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计

配置核心层交换机CoreSwitch1的三层交换功能

核心层交换机CoreSwitch需要为网络中的各个VLAN提供路由功能，这需要首先启用

分布交换机的路由功能，如下：

CoreSwitch1(config)#ip routing //启用路由功能 接下来，需要为每个VLAN定义自已的默认网关地址： CoreSwitch1(config)#interface vlan 10

CoreSwitch1(config)#ip add 192.168.1.1 255.255.255.0 CoreSwitch1(config)#no shutdown CoreSwitch1(config)#interface vlan 20

CoreSwitch1(config)#ip add 192.168.2.1 255.255.255.0 CoreSwitch1(config)#no shutdown CoreSwitch1(config)#interface vlan 30

CoreSwitch1(config)#ip add 192.168.3.1 255.255.255.0 CoreSwitch1(config)#no shutdown CoreSwitch1(config)#interface vlan 40

CoreSwitch1(config)#ip add 192.168.4.1 255.255.255.0 CoreSwitch1(config)#no shutdown CoreSwitch1(config)#interface vlan 50

CoreSwitch1(config)#ip add 192.168.5.1 255.255.255.0 CoreSwitch1(config)#no shutdown CoreSwitch1(config)#interface vlan 100

CoreSwitch1(config)#ip add 192.168.100.1 255.255.255.0 CoreSwitch1(config)#no shutdown

此外，还需要定义通往Internet的路由，这里使用了一条缺省路由命令，使用的下一跳地址是Internet接入路由器与核心交换机相连接的快速以太网接口FastEthernet 0/0的IP地址。

CoreSwitch1(config)#interface F0/24 CoreSwitch1(config-if)#no switchport

CoreSwitch1(config-if)#ip address 192.168.200.1 255.255.255.0 //启用交换机CoreSwitch2路由功能并配置各VLAN的默认网关 CoreSwitch1(config)#router ospf 1

CoreSwitch1(config-router)#network 192.168.0.0 0.0.0.255 are0 CoreSwitch1(config-router)#network 192.168.1.0 0.0.0.255 are0 CoreSwitch1(config-router)#network 192.168.2.0 0.0.0.255 are0 CoreSwitch1(config-router)#network 192.168.3.0 0.0.0.255 are0

第 36 页

本文来源：https://www.bwwdw.com/article/ov2.html