计算机网络专业毕业设计

编号

****学院

毕业论文

题 目

**科技网络设计与规划 学生姓名 学 号 院 系 专 业 班 级 指导教师 顾问教师

计算机与通信工程学院 计算机网络技术

*** 讲师

二〇一五年十月

摘 要

摘 要

信息化爆炸式发展的今天，以计算机网络迅猛发展而形成的网络化是推动信息化、数字化和全球化的综合信息系统，基于计算机网络的各种网络应用系统通过在网络中对数字信息的综合采集、存储、传输、处理和利用而在全球范围把人类社会更紧密地联系起来，并以不可抗拒之势影响和冲击着人类社会政治、经济、和日常工作、生活的各个方面。企业局域网建设的应用也越来越多，因此企业局域网也越来越被重视，成为企业核心竞争力的关键因素。利用网络技术，现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通，这直接关系到企业能否获得关键的竞争优势。近年来越来越多的企业都在加快构建自身的信息网络，而其中绝大多数都是中小企业，加上很多移动终端的使用，使得网络多元化，更智能。

本次论文，主要深入研究分析了企业局域网的构建及其相关安全管理技术措施，探索了局域网在企业网络中基本应用，运用多种网络常用技术使网络更加安全、可靠、实用。结合志诚科技有限公司企业网构建的实际需求，构建了一个实用、安全的企业局域网的解决方案。本方案针对中小企业的局域网建设，为企业信息平台的建设提供一个行之有效的方案。

关键词：企业网 端口聚合 访问控制 VLAN 网络安全

I

Abstract

Abstract

The explosive growth of information technology today, the network and the rapid development of computer network is to promote the formation of information technology, digitization and globalization of integrated information system, a variety of network-based applications through the computer network of integrated digital information network collection, storage, transmission, processing and utilization of the human society on a global scale more closely together, and with irresistible trend influence and impact on all aspects of human social, political, economic, and daily work life. Application of enterprise LAN-building more and more, so companies are increasingly being taken seriously LANs become the core competitiveness of key factors. Use of network technology, modern enterprises can optimize communication of information among suppliers, customers, partners, employees, which is directly related to the ability of the business to obtain a key competitive advantage. In recent years, more and more enterprises are accelerating build their own information network, while the vast majority are SMEs, with a lot of use of the mobile terminal, making the network diversification, more intelligent.

This paper mainly depth research and analysis of the Construction and related measures for security management technology enterprise LAN, explore the basic LAN application in enterprise networks, using a variety of common network technology makes the network more secure, reliable, and practical. Combined with the actual needs of the enterprise network to build Zhicheng Technology Co., Ltd. to construct a practical, secure enterprise LAN solutions. The program for the construction of small and medium local area networks, for building enterprise information platform to provide an effective solution.

Keywords: Enterprise Network Port Aggregation Access control VLAN Cyber Security

II

目 录

目 录

摘 要 ............................................................................................................................. I ABSTRACT .................................................................................................................. II 第一章 系统设计需求与分析 ....................................................................................... 1 1.1志诚科技网络建设背景 ....................................................................................... 1 1.2志诚科技网络基本需求 ....................................................................................... 1 1.3志诚科技网络安全需求 ....................................................................................... 2 第二章 企业网络总体设计方案 ................................................................................... 3 2.1网络设计原则 ....................................................................................................... 3 2.2网络建设目标 ....................................................................................................... 4 2.3志诚科技网络拓扑结构图 ................................................................................... 5 2.4志诚科技网络地址规划 ....................................................................................... 6 第三章 企业网络设备选型 ........................................................................................... 7 3.1出口设备选型 ....................................................................................................... 7 3.2核心设备选型 ....................................................................................................... 9 3.3汇聚设备选型 ..................................................................................................... 12 3.4接入设备选型 ..................................................................................................... 16 3.5无线接入点设备选型 ......................................................................................... 19 第四章 网络技术应用与配置 ..................................................................................... 23 4.1虚拟局域网技术 ................................................................................................. 23 4.2端口聚合技术 ..................................................................................................... 24 4.3生成树技术 ......................................................................................................... 24 4.4 OSPF路由协议 ................................................................................................... 24 4.5 VRRP+MSTP技术 ............................................................................................. 25 4.6访问控制技术 ..................................................................................................... 26 第五章 总结与展望 ..................................................................................................... 29 5.1论文总结 ............................................................................................................. 29 5.2展望未来 ............................................................................................................. 29 致 谢 ........................................................................................................................... 30 参考文献 ....................................................................................................................... 31

III

第二章 企业网络总体设计方案

（8）其它需求——整个网络系统分布相对较广泛；整个网络采用先进的网络结构，以满足传输、存储和处理数据、语音及图象信息的需要；满足网上的集成系统和业务系统的需求；完整统一的系统管理平台。

2.3志诚科技网络拓扑结构图

本设计主要目标是企业有线无线结合网络进行设计，本企业网网络主干采用锐捷RG-S8605E核心交换机，整个网络三层结构，保证了数据的快速交换，同时，网络主干全部使用光纤，桌面接入全部实现百兆接入，保证了企业网对多媒体数据流的需求。企业的网络拓扑如图2-1所示。

图2-1 志诚科技有限公司网络拓扑图

5

******学院毕业设计论文

2.4志诚科技网络地址规划

表2.1 网络地址规划表

VLAN 10 20 30 40

VLAN名称 1-ceng 2-ceng 3-ceng 4-ceng 网段 192.168.1.0/24 默认网关 192.168.1.254 说明 一层 二层 三层 四层 192.168.2.0/24 192.168.2.254 192.168.3.0/24 192.168.3.254 192.168.4.0/24 192.168.4.254 6

第三章 企业网络设备选型

第三章 企业网络设备选型

3.1出口设备选型

出口路由器，即对接ISP的设备，选择出口路由器最好选用当前商场主流设备，在这里我们选用锐捷的RG-RSR7704，如图：

图3-1 RG-RSR7704

该设备有如下特点： （1）先进的硬件处理技术

RG-RSR77系列可信多业务路由器基于CLOS分布式无阻塞交换架构，采用业界领先的多核处理器，通过锐捷网络特有的vCPU和多线程处理技术，实现数据转发平面和协议控制平面分离，并实现多个处理内核之间的负载均衡。另外，不同处理内核占用系统的资源可以根据实际需要来进行调节，在设备需要更多资源处理协议和控制报文时，可以给负责设备管理的内核配置更多的资源；在设备需要处理更多的报文转发时，可以给负责报文转发的内核分配更多的资源，实现资源的可管理，可支配。通过分布式实现高性能数据转发，支持万兆性能转发。

（2）成熟稳定的操作系统

? RG-RSR77系列万兆核心分布式路由器采用锐捷成熟稳定的RGOS操作系统，RGOS操作系统具有三大关键特性：完全模块化、开放性、安全性。

? 完全模块化：模块化操作系统的优势是各功能和进程各自独立，可以实现相互故障隔离，极大提升系统稳定性，这是模块化设计的最大优势；另外完全模块化设计，在开发的新功能不影响原有功能，提升了新功能开发与测试效率，可以更加快速地提供新功能和新技术。

? 开放性：RGOS拥有一个“硬件抽象层”，因此RGOS可以通过不同的设备驱动程序连接不同的硬件设备，目前锐捷网络交换产品和路由产品都统一到了

7

******学院毕业设计论文

RGOS操作系统平台，而未来还计划扩展到无线、存储、安全等产品线。在软件设计方面，RGOS还拥有POSIX可移植操作系统接口，该接口是国际标准接口，通过POSIX，操作系统的内核可以和各种符合POSIX接口的软件功能模块通信和调度。

? 安全性：锐捷RGOS从操作系统的层面上保证了网络的安全，通过RNOS流量管理技术，设备防攻击技术，状态防火墙技术等保证了设备在各种复杂环境下稳定可靠运行。

（3）强大的路由处理能力

RG-RSR77系列万兆核心分布式路由器支持IPv4/IPv6静态路由，各种动态路由协议，满足各种组网要求；另外支持策略路由功能，可对网络流量进行灵活的控制和调度，满足金融、政府、企业网等用户的路由特性要求。

依托高性能流表、快速转发技术，通过GR、FRR和BFD等功能，改善传统路由协议的收敛机制，实现大型网络的极速收敛。

（4）电信级可靠性设计

? 关键模块的冗余：路由引擎冗余、交换网板冗余、电源冗余、双启动映像文件、双配置文件。

? 关键部件热拔插：路由引擎热拨插、业务载板/模块热拨插、电源/风扇热拔插。

? 模块化软件设计：完全采用模块化的设计，各功能模块互不干扰，大大降底了各功能之间的藕合关联度，大幅度提升了软件的稳定性。

? 多种备份机制：支持VRRP，结合BFD/DLDP故障快速检测机制，实现快速的VRRP倒换能力；支持链路备份机制、支持路由备份。

? 所有RSR系列路由器使用同一个RGOS软件系统，给维护带来极大的方便。

具体特点见表3.1：RG-RSR7704参数表

表3.1：RG-RSR7704参数表

技术参数 产品型号 模块插槽 业务载板插槽 业务子卡插槽 交换容量 转发性能 路由引擎固化接口 参数描述 RG-RSR7704 4个 2个 4个 960 Gbps 120 Mbps 2个USB2.0接口 1个USB-Console口 1个MGMT管理口 8

第三章 企业网络设备选型 1个Console口 1个AUX口 1个SD卡插槽 OC-48c/STM-16c POS OC-12c/STM-4c POS OC-3/STM-1 POS OC-3/STM-1 CPOS通道化到E1/T1/64K OC-48/STM-16 CPOS通道化到E1/T1 OC-12/STM-4 CPOS通道化到E1/T1 可用模块 OC-192c/STM-64c POS OC-192/STM-64 CPOS通道化到155M OC-192c/STM-64c RPR接口模块 10GE/GE/FE E1/CE1 OC-3/STM-1 ATM 高速同步串口 国密局商密算法硬件加密模块 尺寸（D×W×H）mm 电源 440×480×221 100VAC~240VAC，50Hz~60Hz -36VDC~-72VDC 3.2核心设备选型

核心设备是整个网络的关键设备，要性能要强大，这里选择锐捷RG-S8605E，如图：

图3-2 RG-S8600E

该设备有如下特点：

（1）最高性能满足未来十年网络发展

9

******学院毕业设计论文

? RG-S8600E系列单槽位支持3Tbps带宽，可平滑扩展到12Tbps，支持高密度40GE、10GE以太网端口，满足云计算数据中心可持续发展的需求，满足未来十年网络发展过程中对核心交换机的要求。

? RG-S8600E系列支持业界最高性能的小包线速转发能力，包括最高密度板卡在内的所有板卡均可实现64字节小包线速转发，从容应对大型数据中心中业务对高速转发不丢包的苛刻需求。

? 面对高性能计算的应用场景，RG-S8600E系列支持超低时延技术，时延最低可达0.5μs，保证超算中心场景中高速传输的业务需求。

? 支持超大表项，ARP资源容量≥170K，确保更多用户的同时在线。 （2）虚拟交换设备VSD

RG-S8600E系列通过VSD（Virtual Switch Device，虚拟交换设备）技术可将一台设备虚拟化为多台虚拟设备，每台虚拟设备具有独立的配置管理界面、独立硬件资源分配(比如内存、TCAM、硬件转发表)，可以独立重启而不影响其它的虚拟交换机。最大程度上为您实现网络资源的按需分配，可让核心交换机资源同时共享给多个区域或用户使用。另外，通过同时开启VSU 3.0和VSD技术，可以实现网络资源的彻底池化。

（3）虚拟以太网端口聚合VEPA

RG-S8600E系列支持IEEE802.1qbg标准定义的VEPA（Virtual Ethernet Port Aggregator，虚拟以太网端口聚合），能将服务器虚拟机产生的数据流牵引到物理网络设备上进行“硬交换”，解决了虚拟机流量无法监管、访问控制策略无法统一部署等问题，又消除传统“软交换”对服务器资源的占用，使下一代数据中心网络解决方案更好适应虚拟化计算环境。

具体特点见表3.2：RG-S8600E参数表：

表3.2：RG-S8605E参数表

技术参数 产品型号 模块插槽 交换容量 包转发速率 参数描述 RG-S8605E 5个（2个用于管理引擎模块） 7.2Tbps/24Tbps 2,160Mpps/7,200Mpps 支持增强以太网特性（DCB）： 802.1Qbb: Priority-based Flow Control (PFC) ，基于优先级的流控。 数据中心融合网络特性 802.1Qaz: Enhanced Transmission Selection (ETS and DCBX)，增强传输选择 802.1Qau: Congestion Notification (CN/QCN)，拥塞通告 支持统一交换特性：FCoE（Fibre Channel over Ethernet） 支持VXLAN 10

第三章 企业网络设备选型

支持VSU3.0(Virtual Switch Unit,虚拟交换单元) 设备虚拟化 支持虚拟化带宽≥2.56Tbps 支持VSD(Virtual Switch Device,虚拟交换设备) 支持纵向虚拟化 网络虚拟化 边缘虚拟交换 SDN 支持TRILL 透明交换网络 支持L2GRE 支持VEPA（虚拟以太网端口聚合） 支持虚拟机策略自动迁移 支持OpenFlow 1.3 支持Jumbo Frame 支持802.1Q 支持STP、RSTP、MSTP L2 特性 支持Super VLAN 支持GVRP 支持QinQ、灵活QinQ、QinQ终结 支持LLDP 支持ERPS（G.8032） 支持静态路由、RIP、OSPF、IS-IS、BGP4 支持VRRP IPv4 特性 支持等价路由 支持策略路由 支持GRE隧道 支持静态路由OSPFv3、BGP4+、IS-ISv6、MLDv1/v2 支持VRRPv3 IPv6 特性 支持等价路由 支持策略路由 支持手工隧道、自动隧道、ISATAP隧道、支持GRE隧道等 支持IGMP v1,v2,v3 支持IGMP Snooping 支持IGMP Proxy 组播 支持PIM-DM、PIM-SM、PIM-SSM等组播路由协议 支持MLD 支持MLD Proxy 支持组播静态路由 支持MPLS转发 支持MPLS MIB(RFC1273,4265,4382) MPLS 支持跨域OPTION A/B/C三种模式 支持MPLS VPN/VPLS 支持VPWS ACL 支持标准、扩展、专家级ACL 11

******学院毕业设计论文 支持ACL 80 支持IPv6 ACL 支持802.1p 支持SP、WRR、DRR、SP+WRR、SP+DRR等队列调度机制 QOS 支持RED/WRED 支持基于出端口/入端口的限速 支持HQoS 独立的交换网板与独立的主控板设计，实现转发与控制平面完全分离 主控板支持1+1冗余备份 可靠性 交换网板支持N+1冗余备份 支持热补丁功能，可在线进行补丁升级 支持ISSU 支持GR for OSPF/IS-IS/BGP 支持BFD for VRRP/OSPF/BGP4/ISIS/ISISv6/MPLS/静态路由等 支持NFPP（基础安全保护策略） 支持CPP（CPU保护） 安全性 支持DAI，端口安全，IP Source Guard 支持802.1x/Portal/Mac等多种认证方式 支持登录认证、口令安全 支持支持未知组播不送CPU、支持未知单播抑制 3.3汇聚设备选型

为了充分融合了网络发展需要的高性能、高安全、多业务、易用性特点，为用户提供全新的技术特性和解决方案，这们选用锐捷RG-S5750-28GT-S，如图：

图3-3 RG-S5750-28GT-S

该设备特点如下：

（1）RG-S5750-28GT-S设备采用无风扇设计，大幅降低设备功耗，实现

设备运行无噪音，减少机械故障点，同时免除凝露腐蚀和尘土侵害。

12

第三章 企业网络设备选型

（2）全方位立体安全防范

? 通过丰富的安全功能，消除安全威胁、攻击、病毒、ARP欺骗等侵害，还网络一片绿色，让用户更安心、省心上网；

? 产品支持802.1X准入功能，在启用这些功能的前提下，交换机能够有效抵御各种针对交换机的攻击，能够防止各种ARP攻击和欺骗；

? 业界领先的硬件CPU保护机制：特有的CPU保护策略（CPP技术），对发往CPU的数据流，进行流区分和优先级队列分级处理，并根据需要实施带宽限速，充分保护CPU不被非法流量占用、恶意攻击和资源消耗，保障了CPU安全，充分保护了交换机的安全；

? 硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定，严格限定端口上的用户接入或交换机整机上的用户接入问题；

? 支持DHCP snooping，可只允许信任端口的DHCP响应，防止私设DHCP Server的欺骗；并在DHCP监听的基础上，通过动态监测ARP和检查用户的IP，直接丢弃不符合绑定表项的非法报文，有效防范ARP欺骗和用户源IP地址的欺骗问题；

? 基于源IP地址控制的Telnet设备访问控制，避免非法人员和黑客恶意攻击和控制设备，增强了设备网管的安全性；

? SSH（Secure Shell）和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备；

? 控制非法用户使用网络，保证合法用户合理化使用网络，如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。

? 支持NFPP技术。NFPP (Network Foundation Protection Policy基础网络保护策略)是用来增强交换机安全的一种保护体系，通过对攻击源头采取隔离措施，可以使交换机的处理器和信道带宽资源得到保护，从而保证报文的正常转发以及协议状态的正常。

（3）多业务

支持组播功能，包含丰富的组播协议。比如IGMP Snooping、IGMP V1/V2、MLD、MLD Proxy等；

支持丰富的IPv4路由协议，包括静态路由、RIP、OSPF等，满足不同网络环境中用户选择合适的路由协议灵活组建网络；

（4）高可靠

支持生成树协议802.1D、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；

支持VRRP虚拟路由器冗余协议，有效保障网络稳定；

13

******学院毕业设计论文

支持RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的现象；

（5）易管理

灵活复用的多种千兆接口形式，可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接，方便用户灵活选择线缆；

网络时间协议保证交换机时间的准确性，并与网络中时间服务器时间统一化，方便日志信息和流量信息的分析、故障诊断等管理；

Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理；

固化USB 2.0高速接口，便于通过USB接口保存日志；

CLI界面和WEB界面，方便高级用户配置和使用的同时也为普通用户提供简单人性化的界面进行配置和使用。

具体特点见表3.3：RG-S5750-28GT-S参数表：

表3.3：RG-S5750-28GT-S参数

技术参数 产品型号 参数描述 RG-S5750-28GT-S 基本特性 固定端口 24端口10/100/1000Base-T自适应以太网电口，4个非复用的SFP接口，1个USB 2.0接口 Mini-GBIC-SX：单口1000BASE-SX mini GBIC转换模块（LC接口） Mini-GBIC-LX：单口1000BASE-LX mini GBIC转换模块（LC接口），10Km Mini-GBIC-LH40：单口1000BASE-LH mini GBIC转换模块（LC接口），40Km 可用模块 Mini-GBIC-ZX50：单口1000BASE-ZX mini GBIC转换模块（LC接口），50k Mini-GBIC-ZX80：单口1000BASE-ZX mini GBIC转换模块（LC接口），80k Mini-GBIC-ZX100：单口1000BASE-ZX mini GBIC转换模块（LC接口），100km SFP堆叠模块GE-SFP-STACK1.6M，1.6M 交换容量 包转发率 208G L2：线速（51Mpps） L3：线速（51Mpps） 产品特性 VLAN 支持4K个802.1Q VLAN 支持Super VLAN 14

第三章 企业网络设备选型

支持Guest VLAN 支持Share VLAN 支持Protocol VLAN 支持Private VLAN 支持Voice VLAN 支持QinQ 链路聚合 端口镜像 生成树 支持 支持多对一镜像 支持基于流的镜像 支持跨设备镜像 支持STP、RSTP、MSTP DHCP/BOOTP Client DHCP Server DHCP Relay DHCP Snooping DHCP Snooping Trust 支持静态路由 IP路由 支持RIP 支持OSPF v2 支持灵活多样的硬件ACL 标准IP ACL（基于IP地址的硬件ACL） 扩展IP ACL（基于IP地址、TCP/UDP端口号的硬件ACL） MAC扩展ACL（基于源MAC地址、目的MAC地址ACL 和可选的以太网类型的硬件ACL） 专家级ACL （可同时基于VLAN号、以太网类型、MACACL& QoS 地址、IP地址、TCP/UDP端口号、协议类型等灵活组合的硬件ACL） 基于VLAN的ACL 支持基于三层接口ACL 支持端口流量识别 支持802.1p/DSCP/IP Precedence流量分类 每端口8个优先级队列 QoS 支持SP、WRR、SP+WRR队列调度 支持尾丢弃拥塞控制 支持流量限速 支持入口方向基于流限速 支持IP、MAC、端口三元素绑定 安全特性 支持安全通道 支持防网关欺骗 限制端口学习MAC地址数量 DHCP 15

******学院毕业设计论文

过滤非法的MAC地址 支持各种(动态静态)地址分配策略下的ARP-Check 支持防DHCP服务器私设 管理员分级管理和口令保护 设备登陆管理的AAA安全认证（IPv4） 支持硬件CPP保护 支持802.1x(port based、mac based、guest vlan、Restrict VLAN、支持su自动下发) 管理特性 高可靠性 其它协议 SNMPv1/v2c/v3、Web管理、CLI(Telnet/Console)、RMON(1,2,4,9)、SSH、Syslog、NTP/SNTP VRRP，无风扇静音设计 FTP, TFTP，DNS Client、DNS static 3.4接入设备选型

接入设备使用数量最多，也是问题出现最多的设备，我们选用当前最主流的设备，这里使用锐捷的RG-S2600G-S，如图：

图3-4 RG-S2600G-S

该设备性能都是相当不错，具体特点如下： （1）灵活完备的安全控制策略

通过多种内在的安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化使用网络，如端口静态和动态的安全绑定、端口隔离、多种类型的硬件ACL控制、基于数据流的带宽限速、用户接入控制的多元素绑定等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。

支持客户端的认证模式（802.1x），在实现网络安全的同时，可通过客户端深入用户主机实现主机安全。

16

第三章 企业网络设备选型

ARP检测功能有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象，保障了用户的正常上网。无论在动态分配IP环境下，还是静态分配IP环境下，均可实现自动绑定工作，大大的节省了人力成本，降低了管理开销。而配合ARP速率监控控制端口ARP报文发送的速率，防止恶意利用扫描工具进行ARP泛洪占据网络带宽，导致网络拥塞的攻击行为。

支持DHCP Snooping，只允许信任端口的DHCP响应，防止未经管理员许可私自架设DHCP Server，扰乱IP地址的分配和管理，影响用户的正常上网的行为；并在DHCP监听的基础上，通过动态监测ARP和检查源IP，有效防范DHCP动态分配IP环境下的ARP主机欺骗和源IP地址的欺骗。

SSH（Secure Shell）和SNMPv3技术通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备。基于源IP地址控制的Telnet访问控制，更加精细的提供了设备管理控制，保证只有管理员配置的IP地址才能登陆交换机，增强了设备网管的安全性。

（2）高可靠性

基础网络保护（NFPP）通过将报文分类限速（管理类，转发类，协议类），并对报文进行攻击监测，双重保障保护CPU和信道带宽资源免受攻击烦扰，保证报文的正常转发以及协议状态的正常，维护网络的稳定。

支持生成树协议802.1d、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；PortFast大大缩减了标准的30-50秒的生成树协议收敛时间，而BPDU Guard功能则避免了生成树协议环路的出现。

支持RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的现象。

（3）多业务支持

当网络上服务的业务越来越多时，带宽保障就显得尤为必要。为了避免非紧急业务抢占紧急业务的带宽，RG-S2600G-S通过完善的服务质量保证，来支持多业务的开展。

支持802.1P、DSCP、IP TOS、二到七层流过滤等QoS策略，具备MAC流、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量，提供服务。

每端口支持8个优先级输出队列，使网络管理员可更精细的为各种应用分配带宽，从而更好的保证业务正常开展。交换机支持SP，WRR等机制确定报文处理顺序，比如SP可确保某个队列中的业务总是优先传输，而WRR则可保证所有队列中的业务都有机会。

17

******学院毕业设计论文

极灵活的带宽控制能力，基于交换机端口、MAC地址、IP地址、VLAN ID、协议、应用组合进行灵活的带宽限速，限速粒度达到64Kbps，可根据网络安全需求，设定不同业务应用的带宽流量，满足网络带宽按需所用。

（4）方便易用易管理

采用灵活的千兆电口+光口（非复用）的形式，可最灵活满足双千兆电/光口上联或多个千兆服务器的连接，方便用户根据网络架构灵活选择连接形式。

支持设备间的混合堆叠，通过堆叠不仅能统一管理和使用设备，降低管理成本，同时可灵活地组合和扩展端口，平滑扩容，保障了网络的高度灵活和可扩展，网络管理更加简单。

多端口同步监控，通过一个端口即可同时监控多个端口的数据流，还可只监控输入帧或只监控输出帧或双向帧，大大提高维护效率。

网络时间管理协议/简单网络时间管理协议（NTP/SNTP）保证交换机时间的准确性，并与网络中时间服务器的时间统一化，方便日志信息和流量信息的分析、故障诊断。

Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员进行网络维护和管理。

支持使用WEB浏览器配置交换机，无需了解复杂的命令行和终端模拟程序，允许简单、快速的配置交换机，从而降低部署成本。

具体特点见RG-S2600G-S的性能参数表，如下：

表3.4 RG-S2600G-S的性能参数

技术参数 产品型号 参数描述 RG-S2600G-S 产品特性 产品描述 4个10/100M自适应电口，固化2个10/100/1000M电口和2个1000M SFP光口（非复用） 单口1000BASE-SX mini GBIC转换模块（LC接口） 单口1000BASE-LX mini GBIC转换模块（LC接口） 可用模块 单口1000BASE-LH mini GBIC转换模块（LC接口），40km 单口1000BASE-ZX mini GBIC转换模块（LC接口），50km 单口1000BASE-ZX mini GBIC转换模块（LC接口），80km 单口1000BASE-ZX mini GBIC转换模块（LC接口），100km 交换容量 包转发率 32G 14.0Mpps 二层特性 支持4K个802.1Q VLAN VLAN 支持Private VLAN 支持Protocol Based VLAN 18

第三章 企业网络设备选型

支持GVRP 支持Voice VLAN 支持SPAN 端口镜像 链路聚合 端口镜像 生成树 支持RSPAN 支持流镜像 支持，最大支持8个AP，每个AP最多包含8个成员口 支持多对一镜像 支持基于流的镜像 支持跨设备镜像 支持STP、RSTP、MSTP DHCP/BOOTP Client DHCP Server DHCP Relay DHCP Snooping DHCP Snooping Trust 支持IGMP Snooping v1/v2/v3 支持多种硬件ACL： 标准IP ACL（基于IP地址的硬件ACL） ACL ACL&QoS QoS 扩展IP ACL（基于IP地址、传输层端口号的硬件ACL） MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL） 支持端口流量识别 支持802.1p/DSCP/TOS流量分类 每端口8个优先级队列 支持SP、WRR、SP+WRR队列调度 支持IP、MAC、端口三元素绑定 限制端口学习MAC地址数量 过滤非法的MAC地址 安全特性 支持802.1x 支持ARP-Check 支持ARP报文限速 支持广播风暴抑制 管理特性 其它协议 SNMPv1/v2c/v3、CLI(Telnet/Console)、RMON(1,2,3,9)、SSH、Syslog、NTP/SNTP DNS Client、DNS static DHCP 组播 3.5无线接入点设备选型

无线AP（Access Point）即无线接入点，它是用于无线网络的无线交换机，也是无线网络的核心。无线AP是移动计算机用户进入有线网络的接入点，主要用于宽带家庭、大楼内部以及园区内部，典型距离覆盖几十米至上百米，采用双

19

******学院毕业设计论文

路双频设计，可支持同时工作在802.11a/n和802.11b/g/n模式，且每路射频均可单独设置工作模式，在此我们选用锐捷的RG-AP3220-P，如图：

图3-5 RG-AP3220-P

该设备有如下特点 （1）灵活双射频

传统的双频AP的工作模式为：2G+5G。由于AP的工作模式已经固定，在实际应用上，因为终端类型不一，经常出现某张射频卡超负荷工作，另一张射频卡空闲的问题。极端的情况下，在单一模式的客户端类型密集接入环境下，工作在另外一个模式的射频卡完全闲置。

实际上，为了解决这些密集部署的问题，通常需要部署更多的AP来满足需求，另外一方面，AP的资源上（另外一个模式的射频卡）又存在着极大的浪费（空闲）。

RG-AP3220-P灵活的多模支持，则完美解决这些问题。通过硬件软件上技术上的突破与创新，RG-AP3220-P能够支持双2G、双5G工作模式，配合传统的2G+5G模式。RG-AP3220-P是业界首款能够支持多种工作模式的AP。RG-AP3220-P能够灵活的选择 2G+2G、2G+5G、5G+5G工作模式，根据实际应用上的需求（客户端类型、数量），灵活的配置工作模式，提升了AP整体的接入容量和性能。在极端情况下，即纯2G或者纯5G应用下，将RG-AP3220-P配置工作在对应的双2G或者双5G模式下，单个RG-AP3220-P的接入容量和性能将达到普通AP的1.8~2.0倍。

（2）X-speed极速无线体验

RG-AP3220-P在多AP干扰的情况下，有效的缩短了下联用户发送无线数据包的竞争等待时间，让使用锐捷无线网络的用户在复杂环境中仍能体验极速无线。

20

第三章 企业网络设备选型

RG-AP3220-P同时解决了因终端无线网卡老旧或终端离AP较远而导致用户无线上网延时大、速度慢、AP整机性能低下的问题，为所有类型的终端分配相同的无线链路使用时间，不仅提升了AP的整机吞吐性能，并保证了每个终端都能公平高速的访问无线网络。

具体RG-AP3220-P参数如下表：

表3.5 RG-AP3220-P参数

硬件规格 产品型号 射频设计 传输协议 工作频段 天线类型 空间流数 传输速率 RG-AP3220-P 双射频卡设计，每路射频卡可独立设置成任意工作模式 ：2G+2G/2G+5G/5G+5G 支持802.11b/g/n和802.11a/n同时工作 2.4GHz和5GHz 2X2 MIMO，内置天线 2条流 单射频卡最大提供300Mbps接入速率，整机最大提供600Mbps接入速率 11b：19dBm 11g：16dBm（54Mbps），17dBm（54Mbps），18dBm（54Mbps），19dBm（other） 11a：15dBm（54Mbps），16dBm（54Mbps），17dBm（54Mbps），发射功率 18dBm（other） 11ng：19dBm@MCS0，11dBm@MCS7，19dBm@MCS8，11dBm@MCS15 11na：18dBm@MCS0，12dBm@MCS7，18dBm@MCS8，12dBm@MCS15 重量 业务端口 管理端口 供电方式 支持PoE以太网供电（802.3af标准） 整机功率 环境 存储温度：-40°C～70°C ＜10.5W 工作温度：-10°C～55°C 0.7kg 1个10/100/1000Base-T以太网上联端口（支持PoE受电），一个级联LAN口 1个console口，1个扩展的microUSB接口 提供直流电源适配器接口，支持本地供电（DC 48V） 21

******学院毕业设计论文

工作湿度：5％～95％（无凝结） 存储湿度：5％～95％（无凝结） 安装方式 防护等级 安全法规 EMC法规 射频法规 WiFi联盟证书 桌面放置、壁挂、吸顶 IP41 GB4943-2001 GB9254-2008，GB17625.1-2003 无线发射设备型号核准 支持 软件功能 支持SNMP v1/v2C/v3； 网络管理 管理维护 故障检测及报警 信息统计及日志 Fat/Fit模式切换 支持通过Telnet、SSH、TFTP、FTP管理； 支持WEB管理 支持 支持 由上表可以看出，该设备可以胜任客户所有要求。

22

第四章 网络技术应用与配置

第四章 网络技术应用与配置

4.1虚拟局域网技术

Vlan划分的模式有：基于MAC的VLAN；基于IP地址的VLAN；基于组播的VLAN。VLAN的好处主要有三个：

(1)广播控制通过将一个网络划分成多个VLAN（即多个广播域）。可以实现广播范围的控制，并能够有效减少广播风暴、广播碰撞问题和网络带宽资源的浪费等问题。

(2)灵活性在公司里，由于公司人员的变更比较频繁，当把一台计算机从一个子网转移到另一个子网时，假若采用传统局域网技术的用户需要对站点的IP地址、缺省网关进行修改后才能上网；这种迁移所耗费的精力和时间相当可观的。而采用基于MAC地址VLAN技术的用户则可不作任何修改，在网上的任意位置都可上网，因为VLAN成员不是捆绑在某固定工作站上的；反过来，用户的实际位置不发生改变却变更了部门，网络管理员也可以通过改变VLAN成员的方式让用户与VLAN的逻辑关系发生改变。这意味着迁移的工作只是在交换机上重新定义VLAN即可，尤其是采用网卡的MAC地址来划分VLAN时，交换机能够自动跟踪该终端的MAC地址，并自动将其纳如定义的VLAN中，对于网络管理而言，可以轻松完成变更。

(3)安全性，采用传统局域网技术的网络，只要利用一台PC装上协议分析软件，连到集线器上就可拦截该网段上的所有数据，采用基于MAC地址的VLAN技术时就不可能拦截该VLAN的数据；VLAN与VLAN间逻辑上是分开的，VLAN成员的数据包只能在同一VLAN内部传送，即使处于同一网络中，不同VLAN间也不能进行直接通信，有效的避免了广播风暴的传播；公司局域网中如财务管理、人事档案管理及一些不对外公开的科研数据资料库等应用系统，网络管理员可采用VLAN技术对广播域进行逻辑划分，达到限制用户非法访问的目的，从而确保重要部门的数据安全。因此，通过划分VLAN可以提高网络的安全性。

基本配置如下：

Switch>

Switch>enable Switch#

Switch#configure terminal

Switch(config)# hostname SW-ZC2-1 SW-ZC2-1 (config)#vlan 10 SW-ZC2-1 (config-if)#exit SW-ZC2-1 (config)#vlan 20 SW-ZC2-1 (config-if)#exit

SW-ZC2-1 (config)#interface fastEthernet 0/1

23

******学院毕业设计论文

SW-ZC2-1 (config-if)#switchport mode access SW-ZC2-1 (config-if)#switchport access vlan 10 SW-ZC2-1 (config-if)#exit

4.2端口聚合技术

端口聚合它可将多物理连接当作一个单一的逻辑连接来处理，它允许两个交换器之间通过多个端口并行连接同时传输数据以提供更高的带宽、更大的吞吐量和可恢复性的技术。这一技术的优点是以较低的成本通过捆绑多端口提高带宽，而其增加的开销只是连接用的普通五类网线和多占用的端口，它可以有效地提高子网的上行速度，从而消除网络访问中的瓶颈。另外Trunk还具有自动带宽平衡，即容错功能：即使Trunk只有一个连接存在时，仍然会工作，这无形中增加了系统的可靠性。

基本配置如下：

Ruijie(config)#int range g0/25-26

Ruijie(config-if-range)#port-group 1 Ruijie(config)#int aggregateport 1

Ruijie(config-AggregatePort 1)#switchport mode trunk

4.3生成树技术

生成树协议最主要的应用是为了避免局域网中的网络环回，解决成环以太网网络的“广播风暴”问题，从某种意义上说是一种网络保护技术，可以消除由于失误或者意外带来的循环连接。STP也提供了为网络提供备份连接的可能，可与SDH保护配合构成以太环网的双重保护。

基本配置如下：

Ruijie(config)#spanning-tree

Ruijie(config)#spanning-tree mode rstp Ruijie(config)#spanning-tree priority ?

<0-61440> Bridge priority in increments of 4096 Ruijie(config-if-range)#spanning-tree portfast

4.4 OSPF路由协议

OSPF 是典型的链路状态型路由协议。它使用COST（开销）作为度量，根据拓扑表通过SPF算法获得以自己为根的到达目标的最优路径。它使用三张表：邻居表，拓扑表，路由表，通过这3张表，每个路由器都能独立的获得前往每个目标的路径，而不象距离矢量协议那样依靠邻居来发现路由。确保了路由的真实可靠。本方案中路由器与Internet 网之间用OSPF路由协议，来实现它们之间的通信。OSPF路由协议的主要特点有：

24

第四章 网络技术应用与配置

(1) 路由器拥有整个网络的拓扑结构信息，路由收敛快速。

(2)用增量方式更新路由表，即只更新变化的路由表项，节约带宽资源。 (3)支持可变长子网掩码。

(4) 支持CIDR以及路由聚合（Routing Summary）。 (5)支持路由信息验证。 基本配置如下：

SW-ZC3-1 (config)#router ospf 1

SW-ZC3-1 (config-router)#network 192.168.1.0 0.0.0.255 area 0, SW-ZC3-1 (config-router)#network 192.168.2.0 0.0.0.255 area 0, SW-ZC3-1 (config-router)#network 192.168.10.0 0.0.0.255 area 0, SW-ZC3-1 (config-router)#exit

4.5 VRRP+MSTP技术

MSTP（Multi-Service Transfer Platform）（基于SDH 的多业务传送平台）是指基于SDH 平台同时实现TDM、ATM、以太网等业务的接入、处理和传送，提供统一网管的多业务节点。

多生成树（MST）使用修正的快速生成树（RSTP）协议，叫做多生成树协议（MSTP）多生成树（MST）使用修正的快速生成树（RSTP）协议，叫做多生成树协议（MSTP）

多生成树提出了域的概念，在域的内部可以生成多个生成树实例，并将VLAN关联到相应的实例中，每个VLAN只能关联到一个实例中。这样在域内部每个生成树实例就形成一个逻辑上的树拓扑结构，在域与域之间由CIST实例将各个域连成一个大的生成树。各个VLAN内的数据在不同的生成树实例内进行转发，这样就提供了负载均衡功能。

虚拟路由冗余协议(Virtual Router Redundancy Protocol，简称VRRP)是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议，1998年已推出正式的RFC2338协议标准。VRRP广泛应用在边缘网络中，它的设计目标是支持特定情况下IP数据流量失败转移不会引起混乱，允许主机使用单路由器，以及及时在实际第一跳路由器使用失败的情形下仍能够维护路由器间的连通性。

基本配置如下：

spanning-tree

spanning-tree mst configuration instance 0 vlan 5-4094 instance 1 vlan 1, 3 instance 2 vlan 2, 4

spanning-tree mst 0 priority 4096 spanning-tree mst 1 priority 4096

25

******学院毕业设计论文

spanning-tree mst 2 priority 8192 interface GigabitEthernet 0/1 Switch mode trunk

interface GigabitEthernet 0/47 port-group 1

interface GigabitEthernet 0/48 port-group 1

interface AggregatePort 1 switchport mode trunk interface VLAN 1

ip address 192.168.1.253 255.255.255.0 vrrp 1 priority 105

vrrp 1 ip 192.168.1.254

Vrrp 1 track gigabitEthernet 0/46 interface VLAN 2

ip address 192.168.2.253 255.255.255.0 vrrp 2 ip 192.168.2.254

4.6访问控制技术

访问控制列表是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

基本配置如下：

SW-ZC3-6 (config)#ip access-list extended 1-ceng

SW-ZC3-6(config-ext-nacl)#permit ip host 192.168.1.10 192.168.3.0 0.0.0.255 SW-ZC3-6(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255 SW-ZC3-6(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255 SW-ZC3-6SW-ZC3-6(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 host 10.0.5.5 eq 80

SW-ZC3-6(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 host 10.0.5.5 SW-ZC3-6 (config-ext-nacl)#per ip any any SW-ZC3-6 (config)#int f0/1

SW-ZC3-6 (config-FastEthernet 0/1)#ip access-group 1-ceng in SW-ZC3-6 (config)#int vlan 10

SW-ZC3-6 ((config-VLAN 10)#ip access-group 1-ceng out

26

第四章 网络技术应用与配置

4.6访问控制技术

AP(Access Point)，即无线接入点，是WLAN网络中的重要组成部分，其工作机制类似有线网络中的集线器（HUB），无线终端可以通过AP进行终端之间的数据传输，也可以通过AP的“WAN”口与有线网络互通。通常业界将AP分为胖AP和瘦AP。胖AP普遍应用于SOHO家庭网络或小型无线局域网，有线网络入户后，可以部署胖AP进行室内覆盖，室内无线终端可以通过胖AP访问INTERNET。

业界所谓的“胖”AP，其学名应该称之为无线路由器。无线路由器与纯AP不同，除无线接入功能外，一般具备WAN、LAN两个接口，多支持DHCP服务器、DNS和MAC地址克隆，以及VPN接入、防火墙等安全功能。

胖AP具有以下特点：

1． 需要每台AP单独进行配置，无法进行集中配置，管理和维护比较复杂； 2． 支持二层漫游；

3． 不支持信道自动调整和发射功率自动调整；

4． 集安全、认证、等功能于一体，支持能力较弱，扩展能力不强； 5. 对于漫游切换的时候存在很大的时延。

胖AP的应用场合仅限于SOHO或小型无线网络，小规模无线部署时胖AP是不错的选择，但是对于大规模无线部署，如大型企业网无线应用、行业无线应用以及运营级无线网络，胖AP则无法支撑如此大规模部署。

要组合和分配AP的功能有很多不同的方法;无论你打算如何部署它，瘦和胖仅仅是一个复杂的渐变过程的两个极端的标签。要仔细了解你要考虑购买的产品的实际功能，而不要总是被瘦或者是胖的标签所困惑。例如，你想要购买同一个生产商的AP吗?而是希望使用来自不同生产商的AP 呢?你的商业活动真的需要在WLAN中拥有VLAN标识或者是SNMP管理或者是VPN移动性等功能吗?

基本配置如下：

ZCWX>(config)#vlan 10

ZCWX>(config-vlan)#exit

ZCWX>(config)#interface gigabitEthernet 0/1

ZCWX>e(config-if-GigabitEthernet 0/1)#encapsulation dot1Q 10 ZCWX>(config)#dot11 wlan 1

ZCWX>(dot11-wlan-config)#ssid ruijie ZCWX>(dot11-wlan-config)#vlan 10

ZCWX>ZCWX>(config)#interface dot11radio 1/0.10 ZCWX>(config-subif)#encapsulation dot1Q 10 ZCWX>(config-subif)#mac-mode fat

ZCWX>(config)#interface dot11radio 2/0.10 ZCWX>(config-subif)#encapsulation dot1Q 10

27

******学院毕业设计论文

ZCWX>(config-subif)#mac-mode fat

28

第五章 总结与展望

第五章 总结与展望

5.1论文总结

毕业论文是在学校里理论与实践结合最好的一次总结，平时都是做实验后，写一次实验报告，每次只是针对于单个实验来说，这次是从大一到大三以来，内容最全面，技术最丰富，实践性最强的一次。通过这次完整的给中小企业设计网络规划，摆脱了单纯的理论知识学习，和实际设计结合使我更好的把所学的专业知识运用到实际上面，也提高了对实际工程的运用，同时也提高了我对文档的编辑能力，而且通过整体的掌握，对局部的取舍，以及对细节的处理，都是一个很大的提升，同时学校给的压力也不同程度的提高了我们的抗压能力，从而使我们感觉写毕业设计很有必要。

5.2展望未来

通过本次毕业设计，我感到自己应用基础知识及专业知识解决问题的能力有了很大的提高，因此，是在我即将工作之前，它是一次重要演练。我想，通过这次毕业设计，到了工作单位后，我将能够更快的适应工作岗位和工作要求。我对自己充满信心。

提高是有限的但提高也是全面的，正是这次的设计让我积累了无数实际经验，使得我头脑更好的被知识装了起来，也必然会让我在未来的工作学习中表现出更高的应变能力，更强的沟通力和理解力。从不知道毕业论文怎么写，到顺利如期的完成本次设计，这给我很大的信心，让我了解专业知识的同时也对本专业的发展前景充满信心。

29

致 谢

致 谢

30

参考文献

参考文献

[1] 吴学毅. 计算机网络规划与设计. 机械工业出版社,2009.4

[2] 吴献文,李卓玲.计算机网络安全基础与技能训练.西安科技大学出版社 [3] (美)Balaji Sivasubramanian，(美)Richard Froom，田果，刘丹宁．CCNP SWITCH(642-813)学习指南．人民邮电出版社,2007.5

[4] 吴献文,陈承欢. 局域网组建技术. 北京.人民邮电出版社,2008.4 [5] (美)Kenneth D.Reed. TCP/IP基础. 北京.电子工业出版社,2008.5 [6] 张蒲生．局域网组网技术与实训．北京.清华大学出版社．2006 [7] 苏英如．局域网技术与组网工程．北京.中国水利水电出版社．2004 [8] 吴彦文，刘方，周光明. 固定宽带无线接入技术. 北京邮电大学出版社， [9] 张金文. 宽带无线城域网技术. 电子工业出版社，2006. [10] 杨闯 网络规划与实现 高等教育出版社2005.12 [11] 胡衍庆 计算机组网技术实训教程高等教育出版社 2005.4 [12] 龚娟．计算机网络基础，人民邮电出版社,2007.5

31

本文来源：https://www.bwwdw.com/article/u3g3.html