1、論文題目： 姓名：學號：班級：年級：專業：學院：指導教師：本科生畢業設計大型企業網絡的設計與規劃賈龍飛2011202102301122102班2011 級網絡工程軟件學院王志波（講師）完成時間二O五年四月作者聲明本人以信譽鄭重聲明：所呈交的學位畢業設計（論文），是本人在指 導教師指導下由本人獨立撰寫完成的， 沒有剽竊、抄襲、造假等違反道德、 學術規范和其他侵權行為。文中引用他人的文獻、數據、圖件、資料均已 明確標注出，不包含他人成果及為獲得東華理工大學或其他教育機構的學 位或證書而使用過的材料。對本設計（論文）的研究做出重要貢獻的個人 和集體，均已在文中以明確方式標明。本畢業設計（論文）引起的

2、法律結 果完全由本人承擔。本畢業設計（論文）成果歸東華理工大學所有。特此聲明。畢業設計（論文）作者（簽字）：簽字日期：年月日本人聲明：該學位論文是本人指導學生完成的研究成果，已經審閱過 論文的全部內容，并能夠保證題目、關鍵詞、摘要部分中英文內容的一致 性和準確性。學位論文指導教師簽名：簽字日期： 年 月 日Large-scale enterprise network design andplanningJia LongfeiApril ,2015東華理工大學畢業設計(論文)摘要 I東華理工大學畢業設計(論文)摘要 #摘要隨著中國人民生活水平的不斷提高，互聯網已經逐漸深入到了各家各戶。人們對于

3、網絡購物的需求也越發的強烈。加之淘寶、天貓、京東、蘇寧等網絡購物網站的興起。 網購狂歡節的誕生，網購這片熱土吸引著眾多公司的加入。網購企業應運而生。他們對 于網絡的依賴性要強于傳統實體企業非常多。所以他們對網絡運行的性能、穩定性能和 安全性能提出了更高的要求。企業的溝通、應用、財務、會議、決策等等數據流在企業 網內部傳輸，所以構建一個穩定、安全、快速、高效、便于管理的大型企業網絡已經成 為了企業發展壯大，走向成功的重要基石。在本論文的設計中，采用了現在比較流行的SONA(service orien ted networkarchitecture) 面向服務的網絡架構體系，在采用了 SON側絡架

4、構體系的企業網中數據 流向更加智能，數據流按照最快速，最準確的路徑在網絡上傳輸，使得企業網絡運行更 加高效，速度也會有明顯的提升。受 SONA網絡架構體系思想的影響，網絡冗余大量減 少，確保現有網絡發揮出其最大效能。在數據中心方面采用了三層網絡架構，分別是核心層、匯聚層和接入層。使網絡層 次分明，便于排錯、維護、和擴展。在不同的層面采用相應的技術，優化層次之間的通 信。本文重點闡述了各層次的在網絡中發揮的作用和特點。網絡安全是企業網絡正常運行的根本，對于互聯網行業的企業來說，更是生存所必 須的，本文主要是通過網絡數據包的過濾、設計 VLAN AAA身份認證、端口設計來保證 企業網絡安全的。在設

5、計出企業網絡的拓撲圖以后，本論文還為企業的設備進行了選型，如核心層、 匯聚層、接入層設備的選型。防火墻、路由器、服務器的選型。為企業網絡的搭建提出 合理的設備選型方案，在滿足企業數據需求的前提下，盡量選擇合適的設備型號，為企 業節省不必要的開支。關鍵詞：SONA5向服務的網絡架構；三層組網；網絡安全； VLAN東華理工大學畢業設計（論文）ABSTRACT #東華理工大學畢業設計（論文）ABSTRACT IIABSTRACTWith the improveme nt of Chin ese peoples liv ing sta ndards, the Internet has graduall

6、y pen etrated into each household. People on li ne shopp ing dema nd for it more and more inten se. Coupled with Taobao, the rise. Net Lynx, Jin gdo ng, Suning and other on li ne shopp ing site to buy carni val birth, the net purchase this piece of land attracts many compa nies to join, on li ne sho

7、pping enterprises came into being. They rely on the network is stronger than traditional corporate en tities very much. So they on performa nee, stability and security performa nee of the n etwork running a higher requireme nts com muni catio n, applicati on, finan ce, meeti ngs, corporate decisi on

8、-mak ing, and so the data flow in side the corporate n etwork tran smissi on, to build a stable, secure, fast, efficie nt, easy to man age a large en terprise n etwork has become a bus in ess developme nt and growth, vital to success corn erst one.In my desig n, using the now more popular SONA (serv

9、ice orie nted n etwork architecture) n etwork architecture system face services, more in tellige nt, data stream using a system of enterprise network architecture SONA network data flow according to the most rapid and most accurate The path on the n etwork tran smissi on, mak ing the en terprise mor

10、e efficie nt network operation, the speed will be significantly improved. Affected SONA network architecture system of thought, a sig nifica nt reducti on in n etwork redundancy to en sure that the existi ng n etwork to play the greatest efficie ncy.In the data center uses a three-tier network archi

11、tecture, which are the core layer, convergenee layer and access layer enables network structured, easy troubleshooting, maintenan ce, and expa nsion at differe nt levels using the appropriate tech no logy to optimize betwee n levels com muni cati ons. This paper focuses on the role and characteristi

12、cs of the various levels of play in the n etwork.Network security is a fun dame ntal corporate n etwork uptime for the Internet in dustry compa ni es, it is n ecessary for survival, the paper mai nly through a n etwork packet filteri ng, desig n VLAN, AAA authe nticatio n, port desig ned to en sure

13、en terprise n etwork securityIn the desig n of the en terprise n etwork topology later, I also con ducted a selecti on of bus in ess equipme nt, such as the select ion of the core layer, conv erge nee layer and access layer devices firewall, router, server select ion. For en terprise n etwork struct

14、ures a reas on able selecti on of equipme nt soluti ons, to meet the n eeds of the premise en terprise data, try to select the appropriate device model, en terprises save unn ecessary expe nses.Keywords : SONA ; Layer 3 networki ng ; network security ; VLAN.東華理工大學畢業設計（論文）目錄 #東華理工大學畢業設計（論文）目錄 東華理工大學畢

15、業設計（論文）目錄 目錄 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 摘要 I HYPERLINK l bookmark4 o Current Document ABSTRACT II HYPERLINK l bookmark8 o Current Document 緒論 1 HYPERLINK l bookmark10 o Current Document 1 引言 1 HYPERLINK l bookmark12 o Current Document 2本文研究的意義 1 HYPERLINK l bookmark14 o C

16、urrent Document 3 本文研究的主要內容 2 HYPERLINK l bookmark16 o Current Document 第一章企業級網絡的需求分析 3 HYPERLINK l bookmark18 o Current Document 1.1網購企業網項目的設計背景 3 HYPERLINK l bookmark20 o Current Document 1.2網購企業網項目的需求分析 3應用需求分析 3廣域網需求分析 4流量需求分析 41.2.4安全性需求分析 4 HYPERLINK l bookmark22 o Current Document 網購企業網絡的設計目標

17、 4 HYPERLINK l bookmark24 o Current Document 章節小結 5 HYPERLINK l bookmark26 o Current Document 第二章基于思科SONA網絡架構的設計方案分析 6 HYPERLINK l bookmark28 o Current Document SONA網絡架構介紹 6 HYPERLINK l bookmark30 o Current Document 2.2基于SONA架構企業級組網模式分析與設計 7經典三層結構模型介紹 7基于SONA架構核心層網絡分析與設計 82.2.3基于SONA架構匯聚層網絡分析與設計 9基于

18、SONA架構接入層網絡分析與設計 9廣域網互聯分析與設計 92.2.6鏈路冗余分析與設計 10 HYPERLINK l bookmark32 o Current Document 2.3 IP地址規劃 12 HYPERLINK l bookmark34 o Current Document 2.4網絡拓撲的總體規劃和設計 12 HYPERLINK l bookmark36 o Current Document 2.5章節小結 13 HYPERLINK l bookmark38 o Current Document 第三章 企業網絡安全分析與規劃 14 HYPERLINK l bookmark4

19、0 o Current Document 3.1當今網絡安全現狀分析 14 HYPERLINK l bookmark42 o Current Document 3.2網購企業面臨的網絡安全威脅 14 HYPERLINK l bookmark44 o Current Document 3.3企業網絡安全要求 15 HYPERLINK l bookmark46 o Current Document 3.4安全策略部署 163.4.1 VLAN設計與實現 163.4.2防火墻的設計與實現 163.4.3 VPN設計與實現 183.4.4身份認證設計與實現 18 HYPERLINK l bookmar

20、k48 o Current Document 3.5章節小結 20 HYPERLINK l bookmark50 o Current Document 第四章網絡設備選型 21 HYPERLINK l bookmark52 o Current Document 4.1設備選型原則 21 HYPERLINK l bookmark54 o Current Document 4.2交換機的選型 214.2.1核心網交換機選型 21422匯聚層交換機選型 22423接入層交換機選型 23 HYPERLINK l bookmark56 o Current Document 4.3路由器選型 23 HYP

21、ERLINK l bookmark58 o Current Document 4.4防火墻選型 24 HYPERLINK l bookmark60 o Current Document 4.5服務器選型 254.5.1服務器硬件選型 25 HYPERLINK l bookmark62 o Current Document 4.6設備清單 25 HYPERLINK l bookmark64 o Current Document 4.7章節小結 26 HYPERLINK l bookmark66 o Current Document 總結與展望 27 HYPERLINK l bookmark68

22、o Current Document 致謝 28 HYPERLINK l bookmark70 o Current Document 參考文獻 29東華理工大學畢業設計(論文)緒論 #東華理工大學畢業設計(論文)緒論 東華理工大學畢業設計（論文）緒論 緒論1引言在當今的社會中，隨著信息技術的發展，互聯網已經不是一種工具，而是一種模式。 在互聯網快速普及的今天，智能手機，智能家居深深的影響著現代人的生活。在中國隨 著互聯網的高速發展，國內的網購企業迎來了他們的第一個春天。 他們以互聯網為媒介， 在網上開設虛擬店鋪，通過另一種方式經營著他們的商店。而他們的生存根本就是網絡， 所以一個穩定、高速、安

23、全的企業網絡對于他們來說是尤為的重要的。2本文研究的意義在國內，真正的信息時代已經到來，企業的持續快速發展已經離不開互聯網，對于 網絡的依賴也今非昔比。同時對于網絡的性能也提出了更高的要求。所以在系統的調查 分析以后，本文羅列了大部分大型企業對于網絡的要求：現代大型企業對網絡有著高帶寬，高性能的要求，以滿足不斷增多的員工對于網上辦公的需求。隨著互聯網技術在各種電子設備上的延伸，基于互聯網的應用不斷增多，人們對于 網絡的需求已經不單單是做在電腦前，他們需要隨時隨地通過不同的通信設備鏈接到網 絡，他們連入網絡的可能是電腦，可能是手機，也可能是其他無線或有線設備。而且企 業網內部還有企業數據的傳輸，

24、如員工 OA IP電話、視頻會議、web網頁瀏覽等多媒體 業務。企業數據流量的急劇增加，企業對于核心網絡的交換和路由能力提出了更高的要 求，組建一個高性能的企業網絡已經箭在弦上。現代大型企業網絡對于可靠性，穩定性也提出了很高的要求，而對于以網絡為基 礎的網購平臺來說更是頭等大事。從而保證企業網絡的正常持續的運行。為了高效，準 確的管理大型企業，企業的大部分業務需要通過計算機網絡進行統籌分析；工作人員的 辦公也已經離不開網絡，所以一個穩定、不中斷的網絡已經成為保證企業正常運行，創 造收益的關鍵。在網絡可靠性上有三個方面的設計：第一點：人們要保證設備的冗余備 份，使用穩定可靠的軟件系統；第二點：在

25、設備出現了故障的時候，是否有設備的及時 頂替，是否對業務的正常運行產生影響；第三點：在鏈路級上也要有冗余，使得數據包 在傳輸過程中有多條路徑的選擇，避免由于鏈路的問題影響網絡的正常運行。在網絡安全形式十分嚴峻的今天，作為一個大型企業網絡應該具有全面的網絡安 全解決方案，以防止病毒的入侵、黑客的攻擊。傳統的網絡攻擊大概有以下幾種：偵查、訪問、拒絕服務（DOS攻擊）、蠕蟲、病毒 和特洛伊木馬。所以企業要設計防火墻，設計訪問控制策略，安裝殺毒軟件。在其基礎 上企業還必須要有一套從用戶接入控制、病毒報文識別和主動抑制等一系列主動防御的 安全控制手段，只有這樣才能保證企業網絡安全穩定的運行。在大型企業網

26、絡中，多業務的承載是保證網絡快速穩定運行的關鍵，所以企業網 需要提供完善的端到端的QOS呆障。現今企業內網絡承載業務的不斷增多，簡單的提高 帶寬已經不能滿足企業的要求，所以在建設企業網時一定要考慮如何智能的識別應用數 據的緊急程度，如網絡會議、視頻通話、企業高層的IP電話，這些流量的優先級要高于普通員工上網的數據流量。保證重要流量能夠在企業網中快速，無阻塞的傳送。實現 網絡流量的合理分配，從而提供高效的網絡實用保障。3本文研究的主要內容互聯網在近期和不遠的將來一直都會是世界發展的核心內容，企業如果想在未來取得更好的發展，就必須適應世界經濟的發展潮流。只有讓互聯網思維熔鑄到企業的發展 思想中去，

27、企業才能在未來的商業競爭中長盛不衰。作為一個網購公司，人們更是要有 這種意識和覺悟。以下是本人的工作匯報：第一部分：要想設計出色的企業網，離不開深入的了解企業需要什么。只有真切的 了解了企業的需求，人們才能為企業量身定做獨一無二的，最適合他的的網絡架構和設 備選型的。本部分主要包括企業網項目的設計背景分析、企業網項目的需求分析、網購 企業網絡的設計目標、章節小結。第二部分：在充分了解了企業的需求之后，人們就要為企業網絡的設計做準備了， 首先在三層網絡架構的基礎上，本論文采用了時下比較流行的思科的面向服務的網絡架 構SONA(service oriented network architectu

28、re)，他可以幫助企業融合當前的網絡平臺，簡化網絡復雜度，使數據在企業網內智能的流動，易9除網絡冗余，使企業網發揮 其最大效能。本部分主要包括 SONA網絡架構的技術特點、基于SONA構企業級組網模 式分析與設計、IP地址規劃、網絡拓撲的總體規劃和設計、章節小結。第三部分：一個高效運行的企業網離不開網絡的安全，在充分分析了當前網絡安全 的現狀以后，在網絡安全方面本論文為企業網設計了VALN防火墻、身份認證、VPN等技術。在不影響企業網正常運行的前提下，充分保證網絡的安全，可靠。本部分主要包 括當今網絡安全現狀、網購企業面臨的網絡安全威脅、企業網絡安全要求、安全策略部 署、章節小結。第四部分：在

29、了解企業網的需求，分析了當前的網絡現狀以后，設計出適合在企業 中部署的網絡以后，人們還要在以上面的分析與設計為基礎，為企業選擇適合他們的網 絡設備，只有這樣才能在不浪費經費的前提下為企業提供最優質的網絡體驗。本部分主 要包括設備選型原則、交換機的選型、路由器選型、防火墻選型、服務器選型、設備清 單、章節小結。第五部分：在設計完成之后，要進行論文和設計的成果展示，對自己的工作做一個 簡短的總結，對企業網絡的發展做一個展望，也希望為以后網絡設計提供一定的借鑒和東華理工大學畢業設計(論文)企業級網絡的需求分析 東華理工大學畢業設計(論文)企業級網絡的需求分析 第一章企業級網絡的需求分析1.1網購企業

30、網項目的設計背景在信息技術高速發展的今天，網絡已經成為了人們的生活必需品。隨著網絡延伸出 來的經濟形勢也是層出不窮，但是網絡購物絕對是一個代表。他們在打破商家和顧客間 信任度的前提下，可以讓商家和客戶在不面對面的情況下達成交易。這種購物方式徹底 改變了人們的消費觀念。在互聯網這片熱土上，網購公司如雨后春筍般層出不窮。XX網購公司是以互聯網為依托，在一個虛擬的購物平臺上去運營的，所以信息安 全尤為重要，在公司內部各個部門都有相應的權限，以防止不法分子對公司內部網絡信 息的竊取和監控。所以在公司各個部門之間設立不同的訪問權限，在公司服務器中心邊 緣設計防火墻、設計適合的 ACL策略、VPN驗證接入

31、保證公司信息資源的絕對安全。網購公司最主要的就是銷售部，因為他們使用電腦和顧客交流商品的各種性能，解 答顧客提出的各種問題。所以此部門需要增加配置更多的主機，以滿足公司現有和未來 發展的需求。1.2網購企業網項目的需求分析1.2.1應用需求分析對于企業來說，公司網站是向客戶展現公司面貌的第一步，同時公司也可以利 用Web網站來發布公司的最新公告，使員工可以第一時間接收到公司的最新動態。所以設計一個Web服務器系統勢在必行，然而員工之間的文件交流不能暴露在外網，所以FTP 文件服務器和Email服務器都不能缺少。現代企業的管理離不開辦公自動化系統 OA(ofice automation)，0A系

32、統可以幫助企業高效的協同管理員工的工作，集中整合信息并呈現在管理者和員工面前，提供 靈活的業務流程整合功能。從而實現內外資源整合，提升公司的管理水平，對于企業的 發展有著舉足輕重的作用。由于xx網購公司有分公司，為了把總公司和分公司連接起來，虛擬專用網VPN(Virtual Private Network )是最好的選擇，因為 VPN有以下幾個優點：可以降低成本：通過ISP網絡提供商建立VPN連接，企業就不需要花費大量經費和 時間來建設物理的廣域網鏈路。給企業節省了相當一大筆經費開支。數據傳輸安全可靠：VPN網絡是由ISP負責維護的、通過數據加密和身份認證等安 全技術，保證用戶的數據在公網的安

33、全可靠的傳輸。連接方便靈活：外出人員可以在有公網的任何地點和任何時間通過 VPN登錄企業網 站，查找資料。同時公司和合作伙伴之間也可以建立 VPN連接，只需要配置相關的安全 信息即可！1.2.2廣域網需求分析由于公司開設了分公司，所以虛擬專用網 VPN(Virtual Private Network)必不可 少，這樣公司與公司之間，遠程工作人員與公司之間就擁有了一條安全、可靠、靈活和 經濟的網絡聯通隧道。為了保證每個員工能夠快速流暢的訪問In ternet ，加之未來公司 的發展，所以采用光纖作為網絡內部傳輸的媒介。總公司可以采用20W光纖接入互聯網， 而分公司由于數據業務量比較小，可以采用1

34、0w光纖接入互聯網。1.2.3流量需求分析通過企業網絡的分析，人們可以更好的設計各部門帶寬的分布情況，做到物盡其用。網購企業主要以網絡為媒介，商家和買家在網上使用聊天工具來進行商品交流與服務， 所以可以發現銷售部是這個公司網絡中使用流量最多的部門，所以設計銷售部門的主機都是接入100M這樣可以保證網絡的絕對通暢。 而在行政部們，他們需要了解整個公司 的運行情況，他們可以訪問所有部門，加之總公司和分公司之間視頻會議、網絡電話和 傳真郵件等業務，他們也是需要流暢的網絡環境的。所以可以設計一些訪問控制來控制 流量的濫用，如：總公司和分公司的行政部可以訪問整個企業的所有部門，但是分公司 的銷售部只能訪

35、問總公司的銷售部其他部門不能訪問等。這樣在限制了部門之間流量的同時也減小了疑問不通部門間訪問而造成的安全隱患。1.2.4安全性需求分析對于安全問題，本論文為企業網絡配置了以下幾個方面的安全策略：在網絡內部各 部門之間劃分VLAN這樣可以隔離廣播域，減小產生廣播風暴的隱患。而且通過單臂路 由可以控制VLAN間的訪問權限，這樣就可以實現對部門間訪問的控制，以防部門人員 對于網絡的破壞。在總公司和分公司與遠程工作人員設置VPN所以總公司和分公司之間可以說是使用邏輯的局域網連接，再經過數據加密和安全認證，防止使數據暴露在ISP 網絡中，增加了公司之間數據流通的安全級別。遠程人員可以通過VPF#問公司服

36、務器， 在保證安全的同時提高了工作效率。網購公司擁有顧客的個人隱私信息，所以合適的安 全訪問策略可以保證顧客隱私和公司重要數據的安全。在公司內部各部門之間設計訪問策略可以防止內部人員對公司部門數據的修改和竊取，同時也優化了部門間的業務流量。1.3網購企業網絡的設計目標企業網絡是一個整體高效的信息交換平臺， 擁有一個穩定流暢安全的企業網絡是企 業的基本要求，以下是網購公司企業網的設計目標：可擴展性強：企業永遠是在發展的，一個公司的擴大勢必會造成辦公網絡的延伸， 同時還要保證各部門對于網絡帶寬的需求。所以在組建企業網絡，滿足當前企業對于網 東華理工大學畢業設計（論文）企業級網絡的需求分析 東華理工

37、大學畢業設計（論文）企業級網絡的需求分析 #絡的需求外，還需要提供較好的設備可擴展性能和升級性能。網絡架構合理：在SONA（面型服務的網絡架構）架構思想的指導下，設計符合企 業發展的網絡架構，一個好的網絡架構才能使網絡設備的效能發揮到最大。使用方便，操作靈活：企業網絡的長久穩定運行離不開長期的維護，但是人們要盡量在滿足網絡需求的前提下選用易于維護的設備、操作系統（Windows或Linux）和管理軟件等。安全性好：能夠防御大部分的網絡攻擊、阻擋網絡病毒的入侵、杜絕網絡竊聽、 保證企業網絡的安全性等。流量控制：在部門之間設計合適的訪問策略，合理分配流量資源，防止網絡擁塞。1.4章節小結本章重點分

38、析了企業網絡的設計背景，還有企業對于網絡的需求分析，如：應用需 求、安全需求和流量需求等，并對企業網絡的設計目標進行了分析。東華理工大學畢業設計（論文）基于思科SONA網絡架構的設計方案分析 東華理工大學畢業設計（論文）基于思科SONA網絡架構的設計方案分析 東華理工大學畢業設計(論文)基于思科SONA網絡架構的設計方案分析 第二章基于思科SONA網絡架構的設計方案分析2.1 SONA網絡架構介紹SONA(service oriented network architecture) 是一種以服務為導向的網絡架構， 它可以幫助企業優化應用流程和資源，來獲得更大的商業利益。通過出色的網絡功能和 智

39、能，企業可以提高跟網絡有關的各種活動的效能，同時將更多的資金用于新型的戰略 投資和創新上。CISCO SON分為三個層次：1.網絡基礎設施層：在此所有的IT資源在融合的網絡平臺上互聯，從而提供全面 的集成的端到端系統設計指南。顧名思義網絡基礎設施層是SONA網絡的最低層，他是SONA網絡的基礎。他包含三種拓撲模型，如下圖2-1所示：圖2-1 SONA網絡架構其中第二種雙通道拓撲模型是最常用到的一種，因為他較第一種模型提高了鏈路的冗余度和排除了單點故障隱患等。相較后一種它提高了設備的利用率和減少了不必要的 設備購買資金等。當然第三種模型是最復雜的而且也是最穩定的，如果公司經費充足同 時又對網絡穩

40、定性要求很高的話可以采用第三種網絡架構模型。交互服務型：為利用網絡基礎設施的應用與業務流程有效分配資源，以優化商業和協作應用的分發，從而提供可預測性更強和更可靠的性能，同時降低運營成本應用層：包含商業應用和協作應用，充分利用交互服務的效率。協作應用應用兩絡服勞自適應菅理服 勢網絡基礎設施虛擬化網絡基礎設施 層園分支擔區枸數據巾 心WAN/MAN遠程工作人 員月牆器存愴書戶端智能信克函絡圖2-2 SONA架構三層網絡模型SONA網絡架構不僅僅是提高公司運行效率和降低不必要的成本，更重要的是公司可 以通過網絡的力量實現增加收入和機會、改進客戶關系、提高業務永續性和靈活性、提 高生產率和效率并降低成

41、本等。2.2基于SONA構企業級組網模式分析與設計2.2.1經典三層結構模型介紹三層網絡架構采用層次化的設計思路，將不同的功能按照等級劃分到各個層級上， 每個層級著重于特定的功能，這樣就可以把復雜的網絡功能拆分開來，使問題變得簡單。 同時在處理故障的時候也更容易定位故障點，為后期的維護打下了基礎。三層網絡架構分為：核心層、接入層和匯聚層。網絡結構如圖2-3所示。他們各自承擔著網絡中不同的功能，有著不同的技術特點。下面就由本論文為大家介紹以下他們 的功能。核心層：核心層是網絡高速交換的主干網絡，對于整個網絡的正常運行起著至關重 要的作用。它主要有以下特點：高可靠性、高速性、冗余性、低延遲性和容錯

42、性等。在 此層應當使用支持高帶寬的三層交換機。因為它是網絡的樞紐，所以他的容錯能力一定 要高，因此應使用雙核心交換機互為熱備。同時鏈路的冗余也非常重要，這樣可以最大 限度的保證核心層的穩定高效運行。匯聚層：匯聚層是介于核心層和接入層的中間網絡，他負責把接入層上傳上來的 流量進行匯聚，減少核心層交換機的負荷。匯聚層具有實施策略、安全、工作組接入、 虛擬局域網（VLAN戈扮、VLAN之間的路由、源地址或目的地址過濾等多種功能。在匯 聚層中，應該選用支持三層交換技術和 VLAN的交換機，以達到網絡隔離和分段的目的。接入層：員工通過接入層連接到網絡，在此層交換機的性能要求不高，但是每個交 換機接入接口

43、要求較多，這樣能保證企業在不妥協帶寬的前提下盡可能多的接入用戶， 為企業的發展提供較好的可擴展性。圖2-3三層網絡結構2.2.2基于SONA架構核心層網絡分析與設計以SONA架構為前提，采用第二種基礎設施層網絡架構。核心層承載著整個企業網 絡的數據交換，如果核心層出現了故障，就意味著整個企業網絡的癱瘓。所以擁有一個 穩定、高效、具有較高容錯能力的核心層至關重要。核心層是網絡的樞紐中心，重要性 可見一斑。在設計中為企業網絡加入了雙核心層交換機，這樣可以子在保證在網絡運行 過程中，就算其中一個核心層交換機出現了問題，另一個也可以頂替上來，保證整體網 絡的正常運行。在鏈路上也應該有適當的冗余備份，降

44、低鏈路故障對網絡的影響。核心 層設計圖2-4。3ps*?enable /進入 switch0Switch0# con figure termi nalSwitch0(co nfig)# VLAN 2Switch0(co nfig)# VLAN 3Switch0(config)# spanning-tree VLAN 1 priority 4096 /將 switch0 配置為 VLAN 1 的根橋Switch0(config)# spanning-tree VLAN 2 priority 4096 / 將 switch0 配置為 VLAN 1 的 根橋東華理工大學畢業設計（論文）基于思科SON

45、A網絡架構的設計方案分析 東華理工大學畢業設計（論文）基于思科SONA網絡架構的設計方案分析 #東華理工大學畢業設計(論文)基于思科SONA網絡架構的設計方案分析 SwitchO(config)# spanning-tree VLAN 3 priority 8192 / 將 switch。配置為 VLAN 3 的 備份根橋Switch0(co nfig)#i nterface range fastEthernet 0/6 - fastEthernet 0/7Switch(config-if-range)#channel-group 1 mode on /配置 fO/6 和 0/7 為綁定鏈路S

46、witch(c on fig-if-ra nge)#i nterface range fastEthernet 0/1 - fastEthernet 0/7Switch(config-if-range)#switchport mode trunkSwitch(config-if-range)#switchport trunk encapsulation dotlq 將 f0/1 f0/7配置為trunk鏈路在另一個核心交換機上執行類似的操作，實現 switch0是VLAN1和VLAN2的根橋， VLAN3的備份根橋；switchl是VLAN1和VLAN2的備份根橋，VLAN3的根橋。2.3 I

47、P地址規劃對于IP地址的分配，應該有一個系統的劃分方法，這樣才能有一個直觀和明了的 IP規劃。好的IP規劃會對前期的配置和后期的維護提供方便，使網絡工程師不易弄混 或者記錯；以下是對于網絡的IP劃分，詳見表2-1和表2-2 :表2-1 分公司IP地址規劃網段描述IP地址網段VLAN編號默認網關銷售部1054售后部2054行政部3054表2-2 總公司IP地址規劃網段描述IP地址網段VLAN編號默認網關銷售部5054售后部6054行政部4054商務部8054員工宿舍7054FTP服務器地址：192.16842 郵件服務器地址：WEB艮務器地址：AAA服務器地址：2.4網絡拓撲的總體規劃和設計在現

48、代企業發展中，一個流暢、穩定、可靠、高速的企業網絡已經成為了企業快速 發展的必需品。“互聯網+”的概念告訴人們：將互聯網的創新成果融合到企業的經濟發 展中，才能提升實體經濟的生產效率和創新能力。以下是本文為網購企業設計的網絡總 體規劃拓撲圖，如圖2-8所示：實現的功能有遠程人員可以使用 VPN登錄企業內部網絡、公司內部和公司之間實現 各個部門間的進行流量控制、外部不能訪問內部服務器、設計防火墻策略、總公司和分 公司之間使用VPN連接、總公司交換中心使用三層網絡模型、交換中心實現熱備（HSRP 和鏈路冗余和網絡地址轉換（NAT保證內部網絡不暴露在外網等。圖2-8總體設計拓撲圖2.5章節小結本章在

49、系統的介紹了 SONA（ service orien ted network architecture）面向服務的網絡架構的前提下，系統的設計了核心交換網絡的三層網絡架構，并且充分說明了每 一層的作用和設計思路。在廣域網方面，結合實際規劃了邊界路由器的功能和使用到的 路由協議，保證內部網絡的安全。在冗余方面系統的介紹了三層網絡冗余和鏈路冗余策 略，使企業網絡更加安全、可靠、穩定的運行。最后呈現出總體的網絡設計方案和使用 到的協議和策略。東華理工大學畢業設計（論文）企業網絡安全分析與規劃 東華理工大學畢業設計(論文)企業網絡安全分析與規劃 第三章企業網絡安全分析與規劃3.1當今網絡安全現狀分析在

50、信息技術高速發展的今天，信息網絡的安全關系著整個社會的穩定發展。這些網 絡信息有的存儲在網絡的某個節點上，有的正在網絡上傳播。這些信息有的是公開的， 如：廣告、公共信息、共享資源、門戶網站等；有的是需要保密處理的，如：國家或軍 事機密、個人敏感信息、文教類研究信息等；當今網絡安全主要面臨著以下幾個方面的 威脅：拒絕服務攻擊(Dos攻擊)拒絕服務攻擊(Dos攻擊)是一種通過向服務器發送偽造的超出目標服務器處理能 力的請求數據，使服務器響應產生擁塞或者實際上的服務中斷來達到服務器攻擊的目的。 這是一種最直接的和暴力的攻擊方法，可能會對企業網絡訪問產生影響，使正常的用戶 無法訪問服務器中的資源，但是

51、不會造成機密數據的丟失或泄露。拒絕服務攻擊一般分 為兩種：第一種是以消耗服務器資源為目的，使目標服務器忙于處理非法的，無用的請 求，造成正常請求得不到響應，使服務中斷；第二種是以占用服務器鏈路帶寬為目的， 攻擊者向服務器發送大量有用或無用的數據來消耗鏈路帶寬資源，使正常的請求無法到達服務器或者服務器的響應無法發送出去，以此來達到使網絡中斷的目的。網絡監聽(Network Monitoring )網絡監聽一般發生在以太網內部.因為以太網是以廣播技術為基礎，在 MAC層使用 CSMA/CD(carrier sense multiple access / collision detect)載波監聽多

52、路訪問 /沖突檢測技術。攻擊者可以接入以太網，然后在電腦上打開監聽功能，將以太網上的廣播 報文截獲下來，對其進行數據分析，獲得用戶的賬號密碼或者重要的信息數據，來達到 信息竊取的目的。這種攻擊方式雖然有一定的局限性，但是監聽者會獲得以太網內大部 分人的用戶敏感數據，將會對網絡安全造成嚴重的影響。Web欺騙攻擊(Web spoofing attack )欺騙攻擊是通過在被攻擊者和其他 Web服務器之間建立起自己的 Web服務器，通過 Web網站拷貝，提供和正常 Web網站相同的頁面和鏈接。被攻擊者在瀏覽器和Web!務器之間傳送的數據都會被截獲和控制，從而盜取用戶賬號密碼或敏感數據，實現信息攻 擊

53、的目的。除以上幾點外還有木馬病毒攻擊、 網頁惡意代碼、漏洞攻擊、緩沖區溢出攻擊、 網絡嗅探攻擊、口令入侵攻擊等。網絡攻擊無處不在，只有在企業網絡中使用必要的硬 件和軟件才能確保企業被攻擊的概率降到最低。3.2網購企業面臨的網絡安全威脅網購企業是一個以互聯網為基礎，企業網絡為根本的互聯網公司。他們對于網絡的依賴性要遠遠大于普通的以實業為主的公司。 與此同時他們對于企業網絡安全的要求也 超過普通公司數倍。在信息網絡安全威脅與日俱增的今天，安全攻擊逐漸向有組織、有 目的、規模花、集團化、利益化的方向發展；網絡病毒、系統漏洞和駭客攻擊等行為泛 濫；建設一個安全、穩定。具有一定的抗病毒能力和擁有一套符合

54、公司網絡的安全管理 機制的網絡已經刻不容緩！以下是企業中經常面臨的幾種網絡威脅：操作系統的不安全性大多數信息網絡出現網絡安全問題基本都是操作系統本身漏洞的問題。因為沒有一個操作系統是絕對的安全，漏洞問題依舊是困擾著安全操作系統的開發者。加之由于PC機硬件結構的簡單、系統不分層執行、內存無越界保護等導致了系統資源可以被篡改、 惡意代碼被植入執行、利用緩沖區溢出攻擊和特權用戶被非法接管等安全事故。應用程序的脆弱性在企業發展中免不了會用到各種各樣的軟件，比如員工0A系統、業務交流工具、網絡管理軟件和財務軟件等。這些軟件的 BUG合攻擊者留下了大量的后門，使攻擊者可 以輕而易舉的通過程序的漏洞竊取企業

55、的資料、修改數據、破壞程序的正常運行等。這 些行為都會對企業造成不可估量的損失。設備硬件缺陷帶來的安全隱患無論是哪一種網絡設備都不會是十全十美的， 這些設備或多或少的都會有設計缺陷， 黑客有可能會利用這些設備缺陷對公司網絡進行入侵或者攻擊， 所以在設備選型的時候 一定要選擇公認的安全性比較好的設備廠家，爭取在網絡硬件上不出現大的漏洞。3.3企業網絡安全要求對于企業網絡安全問題涉及到許多方面，本文主要在以下幾個方面進行闡述：企業網絡的物理安全企業網絡的主機房是否防雷和防水；整個企業網絡的設備和存儲的數據是否有遠程 備份站；是否具有抵抗自然災害的能力如：水災、火災、地震等；對于人員的誤操作造 成的

56、系統或設備故障是否有挽回措施等。網絡本身設計的安全性再好的設備也會有漏洞，但是一個好的網絡設計方案可以使網絡漏洞的被發現幾率 降低！在邊界路由器上配置安全策略、加裝防火墻和設計堡壘主機等。雖然不能保證企 業網絡的絕對安全，但是增加了網絡黑客成功攻破企業網絡的成本，給了網絡管理人員 發現攻擊的寶貴時間，為發現黑客提供了可能。這樣變相的增加了企業網絡的安全級別， 保護了企業網絡的信息安全。企業網絡中的信息安全對于企業網絡信息的安全涉及多個方面如：網絡安全策略配置是否有漏洞、企業網 絡數據在傳輸過程中是否安全、還有就是在信息存儲方面是否做了安全策略和容災機制和是否對用戶有身份鑒別和授權3.4安全策略

57、部署3.4.1 VLAN設計與實現VLAN( virtual LAN )虛擬局域網，顧名思義就是在一個局域網內部劃分出多個邏 輯上的小型局域網。這樣可以解決交換機不能隔離廣播域的難題，將廣播域限制在單個 的小型虛擬局域網VLA N中，在發生廣播風暴的時候不會波及到整個企業網絡，提高了 企業網絡的穩定性。在本論文中把企業網絡劃分成了 8個虛擬局域網，分別是分公司的三個部門和總公 司的四個部門還有一個員工宿舍。在 VLAN間通過單臂路由實現了 VLAN間的通信，同時 還做了 VLAN間通信的安全策略設計ACL允許部分部門之間的訪問，在協議層面上控制 了廣播域的范圍。3.4.2防火墻的設計與實現在企

58、業級的網絡中，防火墻是一個必不可少的設備，因為他保護著內部網絡和服務 器的安全；在本論文中把防火墻設計在了邊界路由器和內網之間，還有內網和服務器中 心之間。如圖3-1與圖3-2。圖3-1服務器中心防火墻圖3-2 邊界路由器防火墻部分配置命令：in terface VLAN1 / 定義 VLAN接 口 IP，安全等級n ameif in sidesecurity-level 100ip address 192.16841 in terface VLAN2 / 定義 VLAN接 口 IP，安全等級 n ameif outside security-level 0ip address route o

59、utside 1/ 定義默認路由 access-list acl_outside extended permit icmp any any定義 ACL安全策略 access-listacl_outside exte nded permit tcp any an yeq www access-listacl_outside exte nded permit tcp any an yeq 8080 access-listacl_outside exte nded permit tcp any an yeq 443 access-listacl_outside exte nded permit tc

60、p any an yeq 8443 access-listacl_outside exte nded permit tcp any an yeq ftp access-listacl_outside exte nded permit tcp any an yeq pop3 access-listacl_outside exte nded permit tcp any an yeq telnet access-listacl_outside exte nded permit tcp any an yeq doma in access-listacl_outside exte nded permi