年4月19日中小型企業局域網的設計與實現文檔僅供參考，不當之處，請聯系改正。中小型企業局域網的設計與實現課題名稱中小型企業網絡的設計與實現學院中國農業大學東校區專業計算機專業班級14級專升本班姓名張濤指導老師劉德福摘要隨著網絡技術新系統、新領域的長足發展，傳統企業也正利用其行業的特點，融合網絡技術的優勢，發展自身。在信息化生產逐步普及的今天，組建企業內部網絡已經是企業必不可少的一部分，建立高速、穩定、安全、智能的辦公網，是組建中小型企業局域網的核心。本論文所闡述的網絡是使用業界流行的核心層—匯聚層—分布層三層結構設計的中小型企業網，結合廣為使用的虛擬局域網（VLAN），熱備份路由（HSRP），訪問控制列表（ACL），網絡地址轉換（NAT）等技術，增強網絡的穩定性和安全性。設計中采用虛擬局域網來隔離不同部門，以達到增強企業網絡安全性的目的；在規劃好的VLAN的基礎上，采用訪問控制列表（ACL），設置策略，來限制部門之間以及服務器區的訪問，進一步提高企業網絡內部的安全性；并在核心層交換機上采用熱備份路由（HSRP）技術，增加網絡的冗余，提高企業網絡的整體穩定性；采用路由器硬件的動態主機分配協議（DHCP）功能，保證各部門IP地址的獲取；在邊界路由器上設置網絡地址轉換（NAT），將企業內部私有地址轉換為公網地址，實現了多個用戶同時公用一個合法IP與外部Internet進行通信，解決IP地址短缺的問題。

目錄緒論 11.網絡建設背景和必要性 32.組建局域網的需求分析 52.1總體需求分析 52.2網絡平臺需求 52.3網絡安全需求 62.3.1外網安全： 6物理安全需求 6數據鏈路層需求 6入侵檢測系統需求 6防病毒系統需求 6安全管理體制 72.3.2內網安全： 7VLAN設置需求 7防病毒系統需求 7網絡管理需求 7網絡系統管理 73.組建局域網的設計目標和原則 93.1核心交換機的高數據處理性能 93.2核心交換機的高可靠性 93.3核心交換機的靈活擴充性 103.4網絡的安全性 103.5網絡的可管理性 104.局域網設計方案 124.1網絡結構設計方案 124.2虛擬局域網（vlan）設計方案 134.2.1VLAN技術簡介 134.2.2VLAN方案設計 144.3第三層交換技術設計方案 154.4IPmulticast技術方案設計 164.5訪問控制列表（ACL）設計方案 184.6IP地址規劃與路由設計方案 194.6.1IP地址規劃方案 194.6.2路由協議的選擇 204.6.3路由協議設計方案 224.7HSRP：熱備份路由器協議 234.7.1HSRP協議概述 234.7.2HSRP的工作原理 244.7.3本方案的特點 245.設備清單 27結論 28參考文獻 29緒論0.1選題的背景企業網最原始的網絡需求來自于對LAN上共享資源、業務的開展需要，最小規模的局域網可能就要算經過1臺共享式集線器來連接打印機、文件服務器的組建模式了，可是，在信息科技日益發展的今天，基于共享式技術的網絡已經不能符合當前企業IT發展的需求，更高速、更可靠、更安全以及更方便的網絡和業務管理已經成為新時期企業局域網的關注重點。如何最大程度的滿足企業的這些需求正是本文最關心的問題。0.2選題的目的和意義企業電子商務網絡系統應是一個統一、可靠、安全的專用信息通信平臺，支持話音、數據和圖像的交換與傳輸，實現計算機數據、話音、電視會議、圖片傳輸等多種信息通信業務，并具有完備的網絡管理系統。在先進成熟的計算機和通信技術基礎上，企業要建設成光纖網絡，使企業各部門實現宏觀決策科學化，辦公自動化，信息交換網絡化，提高宏觀決策和調控能力，促進企業信息化，同時有助于加快信息經濟建設。0.3可行性分析根據企業的實際情況，總結出該計算機網絡有如下需求：企業網絡系統本著實用、經濟可靠的原則，采用交換式以太網方案。采用內部IP地址。網絡采用兩極交換結構，中心交換機采用三層交換機，構成千兆主干，中心交換機應有足夠的插槽用于以后的擴展，至少有24個10/100M自適應端口用于連接服務器，光纖端口依實際應用提供，電源應有冗余；每個分配線間各放置若干臺24口交換機作為二級交換機，用千兆光纖口用于上連，能夠為用戶提供交換式100Mbps帶寬，彼此間采用堆疊連接。是為入住企業的單位提供寬帶國際互聯網絡接入服務、內部網絡通訊平臺、計算機應用服務的綜合性專用計算機數據通信網絡。為了使本網絡設計向統一管理、高速寬帶、復雜應用方向發展，本設計所建設的網絡將為各入住單位系統內部互聯網絡系統提供一個統一的數據通信網絡平臺，各網絡系統的信息都可在此數據通信網上傳遞，并可經過統一的網管系統提供統一的管理功能，將各專業內部網絡網管的報警信息等一并顯示，同時為未來的網絡發展奠定必要的基礎。0.4研究的基本思路根據對所選題目背景、目的、意義和可行性的分析，總結出設計思路如下：選擇合適的網絡層次模型規劃企業網絡架構，合理分配企業內部的IP地址。采用穩定高效的路由協議連通企業內部網，并在此基礎上設計安全策略，增強企業數據的保密性，保證商業機密的安全。設置策略或設備的冗余，保證企業網絡在遭遇突發故障時能順利切換線路，保障數據的完整性，避免重要信息的丟失，增強網絡的穩定性。最后，選擇合適的網絡設備，在顧及網絡性能的前提下，優化企業的資源配置

1.網絡建設背景和必要性格羅莫夫（GregoryGromov）曾經說過：“網絡本身就是一種計算機科學概念。”不過，現在有了更豐富的內涵，注解之一就是，網絡本身更具有經濟學內涵。在現代經濟學中有“規模效益”理論，就是經過擴大經濟規模，來降低單位成本。雖然“擴大規模”依然是降低成本的根本途徑，可是伴隨經濟規模的擴大也增加了“協調成本”，既與企業相關的信息交流的代價。在很多情況下，企業的生產經營并不是孤立進行的，其需要在內部生產部門之間與外部市場之間達到充分的信息交流，才能維系正常的生產經營，特別是在規模不斷擴大的情況下，如果依然延續傳統的信息交流手段，則信息交流代價急劇增長。由此造成單位生產成本不降反升，從而制約著現代經濟規模。隨著科技進步，網絡技術成為信息溝通的重要手段，世界正因為有了互聯網而變得越來越小，世界級的企業也越來越依賴于網絡技術，擴大和鞏固其市場地位。從網絡在企業生產、流通、服務等關鍵環節起的重要作用來看，其更多超出了技術領域，而深具經濟學內涵。隨著網絡技術，新系統新領域的長足發展，網絡經濟，知識經濟再不是IT等高科技行業的專利，傳統企業正利用其行業特點，汲取網絡技術精華，努力創造著傳統行業的又一個春天。未來是美好的，但現實不可回避。大多數企業對電子商務的一般認識是電子商務能幫助企業進行網上購物、網上交易，僅是一種新興的企業運作模式，比較適用于商業貿易公司，殊不知電子商務已經對傳統的企業造成的了巨大的沖擊。制造業傳統運作模式效率低，成本過高，已不適于新經濟的需要。隨著企業間競爭的日趨激烈，以及全球經濟一體化，市場向企業提出了更高的要求，要求企業能及時提供高品質、低價格，具有個性化的產品。而企業在商業運作過程中比較重視控制生產成本，對于采購成本，銷售成本的控制無論從意識上、管理上還是從執行上都比較薄弱，如何減少采購和銷售過程中的環節，直接控制供應商的價格、品質、交貨期以及批發商和經營商的進貨、出貨、倉儲情況是企業在電子商務時代所面臨的第一個問題，這種情況在集團公司的運作中尤為明顯。經過實施電子商務，能夠實現企業對產品、原材料、非生產性產品、服務類等的電子化、網絡化采購，總公司與下屬子公司幾個職能部門有組織、有計劃的統一管理，減少流通環節，降低成本，提高效率，使企業在管理上經過電子商務的實施達到更高水品。作為電子商務基石的網絡系統已經成為現代企業的“神經”，而“神經”是否工作正常，是否高速高效，直接關系到“生存死亡”。傳統企業對市場的反應速度取決于自身的信息網絡水平。在電子商務時代，產品的個性化情況非常普遍，比如服裝，時尚和潮流總是千變萬化，捉摸不定。生產商要在短時間內捕獲市場信息并作出適宜反饋，確實有難度。傳統企業在對市場的反饋速度上明顯過慢。究其主要原因是企業沒有將供應商和客戶那到企業自身的供應鏈中，沒能及時知道下游客戶的庫存情況、市場情況，沒有讓上有的供應商及時了解企業原材料的庫存情況、成套情況。在供應商、商家、客戶三者之間沒有形成一個有效的環路，有次造成了商家隨市場的反應遲緩，導致了商業損失。有了網絡的協助，企業從原材料的采購、產品設計、到訂單處理和產品的發送，均可用小時為單位來追蹤。同時利用互聯網技術不但能夠全面監控下游客戶每日的進銷存情況，及時進行補貨，而且能夠讓上有的供應商及時知道企業原料的庫存情況，及時補充，將存貨量保持在最低水品。企業受限于內部龐雜的關系管理，拓展外部市場是如果還用一成不變的業務服務方式，很可能在提取激烈的市場競爭中處于尷尬的境地。為了擺脫可能出現的窘境必須依賴可靠、安全、高效、可擴充、可管理的網絡產品和技術，為企業提供流暢的信息傳遞和資源共享，優化資源配置，并開拓新市場，吸引更多客戶，擴展市場影響力，產生業務增值，降低生產成本成為可能。綜上所述，傳統企業如果希望在市場的天空中飛的更高更遠，那么必須插上網絡化生產、經營和服務的翅膀。在選取“飛”的翅膀時，計算機網絡解決方案的選取是關鍵。只有綜合考慮了網絡安全、網絡管理、可靠性、可管理性、可擴展性和高性能的需要，精選出適合企業網絡需要的網絡解決方案，才能對企業高效，科學的管理，控制企業的運營成本，為企業的騰飛助跑。

2.組建局域網的需求分析2.1總體需求分析總體需求是將企業網絡建成以辦公自動化為主的硬件平臺系統。企業網絡系統的需求包括以下幾點：適應桌面計算機處理、I/O能力大幅度提高的現狀，發揮桌面機的網絡性能，提高桌面機的訪問帶寬；適應連網規模大、總流量大的情況，合理分布流量，實現流量隔離和控制；適應部門多、層次復雜的特點，合理進行網絡劃分，實現有效的安全訪問控制和運行管理；能夠向未來的高速網絡技術和不斷出現的新應用過渡；實現網絡互聯，解決互聯網絡帶來的安全問題和管理問題；適應數據集中型應用的發展趨勢，為客戶/服務器的應用環境提供支撐；增加網絡系統的運行可靠性，降低故障隱患，提高系統的可管理性。本方案針對網絡系統應用場合對安全提出了很高的要求，因此網絡設計充分考慮網絡上敏感數據傳輸的安全性，一方面需要充分利用網絡設備提供的安全策略（VLAN劃分等），另一方面為了保障內部數據傳輸的安全性，采用各種安全技術（防火墻、入侵檢測、防病毒體系等），而且盡量不影響到整個網絡的運行效率。為了更好的保證網絡的正常運行，設計的網絡系統還考慮到網絡管理，實現網絡的統一管理。2.2網絡平臺需求利用當前最流行的千兆以太網技術實現企業網絡為千兆主干、百兆交換到桌面，全方位支持企業的信息處理與交換的傳輸、操作和策略服務。網絡總體結構分為網絡互連、核心節點、樓層交換三個層面。一般采用交換，必要時實現路由隔離。網絡根據業務用戶分布和數據的流向，合理的進行網段劃分。允許采用虛擬網技術（VLAN）。實現各計算機網絡系統的互聯，形成公共信息的交換環境，為企業用戶提供網絡服務平臺。實現信息資源和軟硬件資源共享，提供豐富的網絡信息服務，以推動辦公自動化。根據樓宇辦公場合不同，網絡平臺分別設計出內網和外網平臺，兩網之間采用物理隔離的技術手段實現涉密問題。2.3網絡安全需求隨著網絡的建成，基于網絡的應用日漸增多，網絡用戶也會越來越多，網絡的安全成為了系統建設的主要問題。在局域網中安全系統建設主要設計包括外網安全和內網安全。2.3.1外網安全：由于外網主要運行企業各部門非涉密的內部辦公業務以及運行面向客戶的公開信息，因此必須采取過硬的安全技術來實現企業的網絡系統不受Internet的“黑客”、病毒等攻擊。外網對安全的需求包括物理安全需求、數據鏈路層需求、入侵檢測系統需求、防病毒系統需求和安全管理體制等。物理安全需求針對重要信息可能經過電磁輻射或線路干擾等泄漏。需要對存放機密信息的機房進行必要的設計，如構建屏蔽室。采用輻射干擾機，防止電磁輻射泄漏機密信息。對重要的設備進行冗余配置；對重要系統進行備份等安全保護。數據鏈路層需求信息的泄漏很多都是在鏈路上被搭線竊取，數據也可能因為在鏈路上被截獲、被篡改后傳輸給對方，造成數據真實性、完整性得不到保證。如果利用加密設備對傳輸數據進行加密，使得在網上傳輸的數據以密文傳輸。因為數據是密文，因此，即使在傳輸過程中被截獲，入侵者也讀不懂，而且加密機還能經過先進行技術手段，對數據傳輸過程中的完整性、真實性進行鑒別。能夠保證數據的保密性、完整性及可靠性。因此，可能需要配備加密設備對數據進行傳輸加密。入侵檢測系統需求網絡安全是整體的、動態的，不是單一產品能夠完全實現的，因此為了確保網絡更加安全必須配備入侵檢測系統，對透過防火墻的攻擊進行檢測并做相應反應（記錄、報警、阻斷）。防病毒系統需求針對防病毒危害性極大而且傳播極為迅速，必須配備從單機到服務器的整套防病毒軟件，實現全網的病毒安全防護。安全管理體制安全系統只能提供技術手段和措施，但人為的因素不可忽略，只有確立健全的安全管理體制，設立相應的安全管理崗位，從制度上加以嚴格管理。2.3.2內網安全：運用多種技術，如VLAN、防病毒體系等，對各個部門、系所訪問進行控制，各單位之間在未授權的情況下不能互相訪問，保證系統內部的安全。內網對安全的需求包括VLAN設置需求、防病毒系統需求、網絡管理需求和網絡系統管理等。VLAN設置需求企業網絡內部的環境比較復雜，而且各子網的分布區域廣，網絡用戶多，因此，內部網絡用戶的可靠性并不能得到完全的保證。特別是對于存放敏感數據的主機的攻擊往往發自內部用戶，如何對內部用戶進行訪問控制和安全防范就顯得特別重要。為了保障內部網絡運行的可靠性和安全性，必須要對它進行詳盡的設計，盡可能防護到網絡的每一節點。防病毒系統需求針對防病毒危害性極大而且傳播極為迅速，必須配備從單機到服務器的整套防病毒軟件，實現全網的病毒安全防護。網絡管理需求此次建設的企業網絡系統是一個相當復雜的計算機網絡，包含多種設備和技術。隨著系統復雜度的增加，會給系統管理帶來成指數增加的管理工作量。為此必須要設計一套健全的管理系統。針對系統的功能采取相應的管理措施。網絡系統管理系統中包含大量的網絡設備，必須為其配置功能強大的管理系統，該系統應具有以下功能：(1)虛擬網管理、分配；(2)對所有網絡設備端口的監視和管理；(3)對網絡流量的監測和管理；(4)對所有網絡設備的遠程管理和控制，包括網絡端口設備的開放和關閉；(5)整個網絡的故障監測，故障自動報警功能；(6)整個網絡性能的統計和分析報告。

3.組建局域網的設計目標和原則3.1核心交換機的高數據處理性能核心交換機滿足網絡中心海量數據交換的要求，連接中心的通訊鏈路帶寬滿足應用的性能要求。在Intranet網絡應用環境中心，WWW服務器，FTP服務器，E-Mail服務器，DHCP服務器，支撐著整個企業的應用服務。各部門用戶客戶端軟件，透過網絡訪問中心服務器，請求應用，查詢數據庫。網絡的負載流量主要是從邊緣設備到核心的數據交換，隨著業務的發展，網絡規模的擴展，以及應用的信息交換量增加，使得網絡一般會在核心發生通訊瓶頸現象，改進局域網的網絡數據交換性能，往往是首先擴充核心交換機的交換性能，增加邊緣設備到核心的數據通訊帶寬，以減輕整個網絡的瓶頸，使得應用軟件的性能和效率得到提高。因此在設計局域網的原則上，首先應該考慮滿足網絡規模所要求的核心設備數據交換處理能力，以及邊緣設備到核心的鏈路帶寬。3.2核心交換機的高可靠性核心交換機關鍵部件能夠實現冗余工作，能夠在線更換(熱插拔)，故障的恢復時間在秒級間隔內完。經過H3C專有的VRRP技術能夠配置雙核心交換，在發生故障時自動切換到備用交換機，確保數據不發生丟包。隨著信息化社會的飛速發展，普遍采用了Intranet應用模式，實現管理和生產自動化，提高管理效率，管理水平。支持單位應用的基礎設施是網絡。它直接影響到辦公應用環境，交易、生產、開發、設計等業務環境，財務管理，部品管理等環境，信息檢索、數據庫查詢、Internet瀏覽等支持正常運行的必要服務設施功能。網絡的可靠性要求是保障應用環境正常運行的首要條件，網絡要求可靠性的同時，要求網絡具有高可用性。網絡設備的選擇，特別是核心機箱式設備，應該能夠配置冗余部件，關鍵部件不存在單一故障點，也就是說，像交換機的電源、風扇、交換引擎、管理模塊這些部件能夠冗余備份，其中之一任何部件的損壞，不會影響設備的正常運行，不會影響網絡的連通。提供網絡設備的可靠性，容錯性的另一個要求是設備損壞部件更換時，不需要停機，更換部件后不需要重新啟動，也就是說部件的更換能夠進行在線操作，這樣能夠使停機的時間降低到最小。在設計局域網的原則上提高網絡的高可靠性、高可用性原則是至關重要的，不但要求設備的部件冗余，同時要求網絡的鏈路冗余，以保證網絡能夠在任何時間、任何地點提供信息訪問服務。3.3核心交換機的靈活擴充性核心交換機應該具備靈活的端口擴充能力，模塊擴充能力，滿足網絡規模的擴充。同時提高性能，滿足更高性能的要求。在設計局域網的方案上，首先是滿足現有規模的網絡用戶的需求，同時考慮到業務發展、規模的擴大，應該設計網絡具有用戶端口的擴充能力。核心設備是整個網絡的樞紐，用戶端口數的擴充，需要增加配線間邊緣工作組的設備，增加邊緣設備的同時，要求連接核心骨干設備的端口數相應增加，因此核心設備應該能夠經過增加模塊來靈活地增加端口數。核心設備的機箱設計應該具備強大的背板帶寬，足夠多的負載插槽容量。對于交換機來說，核心交換引擎應該能夠滿足最大配置下，無阻塞的進行端口數據包交換，模塊的擴充不影響交換性能。采用分布式交換結構是實現這一原則的最佳方案，分布式交換機結構實現了交換機的并行數據交換處理，優化了網絡的性能，本地交換和全局交換相結合的分布式結構減少了交換引擎的壓力。因此在設計大規模網絡的原則上普遍采用分布式交換機實現靈活的模塊、端口擴充能力。3.4網絡的安全性能夠有效的控制網絡的訪問，靈活的實施網絡的安全控制策略。網絡的安全性對局域網的設計是非常重要的，合理的網絡安全控制，能夠使應用環境中的資源得到有效的保護。在網絡中，關鍵應用服務器、核心網絡設備，只有系統管理人員才有操作、控制的權力。應用客戶端只有應用訪問的權限，網絡應該能夠阻止黑客的任何非法操作。在網絡設備上應該能夠進行基于協議、基于Mac地址、基于IP地址的包過濾控制功能。在大規模網絡的設計上，劃分虛擬子網，一方面能夠有效的隔離子網內的大量廣播，另一方面隔離網絡子網間的通訊，控制了資源的訪問權限，提高了網絡的安全性。在設計局域網的原則上必須強調網絡安全控制能力，使網絡能夠任意連接，又能夠從第二層、第三層控制網絡的訪問。3.5網絡的可管理性網絡中的任何設備均能夠經過網絡管理平臺進行控制，網絡的設備狀態，故障報警等都能夠經過網管平臺進行監控，經過網絡管理平臺簡化管理工作，提高網絡管理的效率。在設計局域網時，選擇先進的網絡管理軟件是必不可少的。網絡管理軟件應用于網絡的設備配置，網絡拓撲結構表示，網絡設備的狀態的顯示，網絡設備的故障事件報警，網絡流量統計分析以及計費等等。網管軟件的應用能夠提高網絡管理的效率，減輕網絡管理人員的負擔。網絡管理的目標是實現零管理，基于策略的管理方式，網絡管理是經過制定統一的策略，由管理策略服務器進行全局控制的。基于Web的網管界面，是網管軟件的發展趨勢，靈活的操作方式簡化了管理人員的工作。在設計局域網的設備選擇上，要求網絡設備支持標準的網絡管理協議SNMP，同時支持RMON/RMONII協議，核心設備要求支持RAP(遠程分析端口)協議，實施充分的網絡管理功能。在設計局域網的原則上應該要求設備的可管理性，同時先進的網管軟件能夠支持網絡維護、監控、配置等功能。網絡設備采用開放技術、支持標準協議：采用標準的協議保護用戶的投資，提高設備的互操作性。局域網的設備要求具有可互操作性，設備的技術采用開放技術，協議標準，支持跨平臺之間的相互連接與通訊。在設計網絡的原則上，發揮不同廠商產品的專用先進技術同時，必須強調考察設備的技術、協議的標準性。

4.局域網設計方案網絡結構設計方案對于網絡平臺的網絡結構，建議采用模塊化的設計思想，按照功能劃分為以下區塊：交換區塊和核心區塊。對于由交換區塊和核心區塊構成的局域網再按照當前流行的層次化的設計思想，劃分為接入層、匯聚層和核心層。1、交換區塊的主要功能是提供用戶的接入點，并防止廣播數據流和網絡問題到達核心區塊或者其它區塊，交換區塊由接入層交換機和匯聚層交換機構成：(1)接入層：接入層設備作為最終用戶的網絡接入點，使用100M雙絞線連接各層桌面終端，為每個用戶提供專用的帶寬，并可基于端口或MAC地址的VLAN成員資格和流量進行過濾，接入層主要的設計原則是能夠經過低成本、高端口密度的設備提供這些功能。(2)匯聚層：接入層交換機使用100M雙絞線匯聚到一臺或者多臺匯聚層設備，匯聚層設備在接入層交換機之間提供第二層連接，作為接入層交換機的集中連接點及接入層和核心層之間的分界點，匯聚層在提供接入層接入的同時，還能夠做到廣播域的隔離、不同網段之間的路由、介質轉換、安全控制。匯聚層需要提供第三層功能，即支持路由選擇和網絡層服務，以保護交換區塊不受網絡其它部分失效的影響，并防止本交換區塊故障對網絡其它部分的影響，如果交換區塊發生了廣播風暴，分布層設備能夠防止該廣播風暴擴散到核心和網絡的其它部分。2、核心區塊是園區網絡的主干，主要功能是在交換區塊之間用最小的時延傳輸數據，盡可能快的將交換數據提供到其它區塊（比如交換區塊）。核心區塊由核心層構成，包含一個或一組用來連接多個交換區塊的交換機。核心層：核心層交換機負責所有交換區塊設備和廣域網設備的接入，因此需要高速的數據轉發能力。核心層設備需要支持鏈路捆綁技術，來保證數據的轉發能力，防止出現線路瓶頸。作為企業網絡的心臟，核心層也是路由協議最優選路和運行穩定的保證，需要合理的配置路由協議，并添加冗余處理器或者應用冗余協議來保障網絡核心的穩定，使企業數據流正常運作。網絡結構的設計是整個網絡系統設計的基礎，一個優秀的網絡結構設計方案有利于提高網絡的性能、可靠性及將來網絡的擴展能力，并能夠有效的減少維護難度，本論文設計的網絡結構拓撲圖如圖1：圖1網絡結構拓撲圖4.2虛擬局域網（vlan）設計方案劃分虛擬局域網是整個網絡系統的重要技術之一。企業網絡內部的環境復雜、分布區域廣、網絡用戶多，以至于企業內部網絡用戶的可靠性得不到完全的保證。經過劃分虛擬局域網，隔離不同部門，能夠增強企業網絡安全性，以下詳細論述了虛擬局域網的技術及在網絡系統中的必要性和設計方案。4.2.1VLAN技術簡介以太網基本上是以廣播為基礎的，如最初包的尋址等，交換機雖然能夠經過建立地址映射表減少不必要的廣播，可是地址映射表的建立過程依然是基于廣播的，網絡節點（如PC機）在處理廣播時浪費了CPU處理時間，降低了處理性能，根據統計，當網絡上存在15000個廣播包時，將耗盡CPU資源；在傳統的網絡里，節點的吞吐量都會隨著節點的增多而下降，交換式以太網雖然能夠隔離沖突域及第二層廣播，可是無法隔離第三層網絡。另一方面，接入網需要保障用戶數據（單播地址的幀）的安全性，隔離攜帶有用戶信息的廣播消息（如ARP、DHCP消息等），防止關鍵設備受到攻擊。對每個用戶而言，當然不希望她的信息被別人利用，因此需要從物理上隔離用戶數據（單播地址的幀），保證用戶單播地址的幀只有該用戶能夠接收到，不像在局域網中采用共享總線方式，使單播地址的幀能被總線上的所有用戶接收。如果不隔離這些廣播消息而讓其它用戶接收到，容易發生MAC/IP地址仿冒，影響設備的正常運行，中斷合法用戶的通信過程。為了隔離第三層廣播，增強安全性、提高網絡性能，能夠運用VLAN（虛擬局域網）技術或者使用路由設備。使用路由器時能夠將網絡劃分多個物理網段，這些物理網段能夠連接到路由器的多個端口，多個物理網段間經過路由器進行通信，可是路由器的端口價格遠遠高出交換機的端口價格，因此這種方式將增加設備投資，在物理網段增多時就更為嚴重，而且只有使用高端設備才能滿足高端口密度的要求，因此不推薦這種方式。VLAN技術不需要特殊的設備，當前第二層交換機均支持VLAN技術。經過在一個物理網段上劃分出多個邏輯網段，由每一個邏輯網段構成一個VLAN，其內部采用交換機連接，所有的廣播信息只限制在本VLAN內，而之間的連接則采用路由實現，具體實施時能夠外加路由器，或者直接使用第三層交換設備。使用路由器時，將這些邏輯網段連接到路由器時能夠只使用一條物理鏈路、占用一個路由器接口，這樣就節省了設備的投資，而使用三層交換設備時，不需要額外增加設備，只要交換機支持三層路由功能即可，由于三層交換設備的工作效率高于路由器，因此在本論文中推薦采用三層交換設備實現VLAN之間的路由。4.2.2VLAN方案設計當前，VLAN技術能夠使用以下方式組建：基于交換機端口的VLAN、基于MAC地址的VLAN和基于應用協議的VLAN：基于端口的VLAN，即靜態VLAN，特點是技術簡單，容易配置且維護工作量小，缺點是終端設備移動時需要更改設備配置。基于MAC地址的VLAN，即動態VLAN，基于Vlan策略服務組建，特點是終端設備能夠在整個局域網中移動而不用改變配置，適合于移動辦公型的網絡環境，缺點是配置工作量大、繁瑣。由于交換機為二層設備，因此基于應用協議的VLAN對于交換機來說沒有任何意義，反而會造成交換機性能的下降。考慮到本系統的特點，節點在網絡中內移動的可能性較小，基于易維護、易管理方面的考慮，使用基于交換機端口的VLAN進行配置。VLAN規劃參照圖2，各個VLAN間由ACL控制，限制互訪。其中VLAN10~31為部門VLAN，禁止互訪，VLAN51為文件服務器區，能被任何部門訪問，VLAN52為網管區，能單向訪問各個部門。圖2Vlan及IP地址規劃圖4.3第三層交換技術設計方案顧名思義，第三層交換器就是將第二層的交換器與第三層的路由器合二為一，使路由器根據第二層的地址轉發數據包以達到快速通訊，這就形成了第三層交換器。第三層交換出現因于ATM與交換器的技術背景，因為傳統的網絡是由路由器作為中心的。使用第二層交換器使網絡速度提升，可是在網絡中使用過多的交換器，所有交換器所架構的網絡可能會形成廣播風暴，因此需要路由器來隔離可能會形成的廣播風暴，為了使路由器不會形成網絡的瓶頸，就形成了第三層交換。VLAN將廣播域進行分割，但透過VLAN進行通訊則必須經過路由器進行轉發。所有核心層交換機均為三層交換，手動打開iprouting。4.4IPmulticast技術方案設計為了使企業網絡系統成為能夠承載多種應用的多媒體網絡，使網絡點播和網絡會議成為辦公的有力工具，網絡對組播的支持是必不可少的。傳統的點對點單播通信，在發送方和每一接收方需要單獨的數據通道。在這種通信方式下，源IP主機向指定的目標IP主機發送信息包。IP信息包中的目標地址就是IP網絡中惟一的主機地址。從一臺主機送出的每個數據包只能傳送給一個目標主機，經過路由器或交換機將這些IP信息包從源主機發送到目標主機。在源主機和目標主機之間的路徑上的每一個路由器都維護由單播路由協議生成的單播路由信息庫，并根據數據包中的IP目標地址在單播路由信息庫中查找單播包轉發路徑。這種傳送方式稱為單播。在單播方式下，如果有另外的多個用戶希望同時獲得這個數據包的拷貝是不可能的。發送信息的主機必須向每個希望接收此數據包的用戶發送一份單獨的數據包拷貝。這種巨大的冗余會帶來很大的代價，首先，會給發送數據的源主機帶來沉重的負擔，因為它必須對每個要求都做出響應，這使得負擔過于沉重主機的響應會大大延長。其次對路由器和交換機的性能也提出了更高的要求，管理人員被迫購買原來不必要的硬件和帶寬來保證一定的服務質量。組播路由與IP單播路由有一個本質的區別就是，IP單播路由是根據網絡的拓撲結構而不是實際的會話來建立路徑，而IP組播路由則是根據網絡的會話來動態地建立投遞路徑；因此，IP組播路由比IP單播路由更具有動態性。當前可用的組播路由模型有兩種：稠密分布模型和稀疏分布模型。稠密分布模型假定組播成員在網絡中稠密分布，而且它們之間的網絡帶寬資源往往隨時可用；而稀疏分布模型假定組播成員在網絡中稀疏分布，而且它們之間帶寬資源往往比較緊張。組播和傳統的單播數據傳送方式如圖3所示：圖3組播示意圖從圖中能夠清楚的看出，單播傳送發送數據的多個拷貝，每個拷貝發送到一個接收者，主機輪流發送數據的拷貝，網絡分別將它們轉發至每個接收者，主機一次只能發送至一個接收者。而組播傳送則只把發送數據的一個拷貝發送到多個接收者，主機發送數據的一個拷貝，可同時發送到多個接收者。網絡在每個接收者的最后一個路由器或主機復制它，在一個給定的網絡上每一個包只傳送一次。關于組播路由設計，在企業網絡核心交換機和匯聚交換機上運行PIM-DM組播協議對業務及服務進行支持，并提供優秀的可擴展性；在邊緣交換機上運行IGMPSnooping組播管理協議對業務及服務進行支持。用戶經過運行組播客戶端軟件的PC運行IGMP協議，用戶可經過IGMP協議加入某個組播組，建立成員關系。對于組播業務的具體實施及管理需根據不同的業務類型及廠家提供設備的特點具體進行分析。當前經常被采用的稀疏分布模型的域內組播路由協議是PIM-SM，因此，使用PIM-SM作為域內組播路由協議。PIM-SM采用樹形投遞結構，被設計成限制組播報文只發給那些希望接收它的路由器，PIM-SM圍繞一個稱為匯聚點(RP，RendezvousPoint)的路由器來設計組廣播投遞樹；RP在PIM-SM中充當廣播樹的樹根，所有報文首先被封裝后從發送者采用單播的方式送往RP，然后由RP解封后送往所有接收者。可是，在PIM-SM中，某個廣播組接受者能夠根據一定條件選擇從以RP為根的RPT樹切換到以發送者為根的所謂SPT樹；RPT樹和SPT樹各有其優點，RPT樹易于構造，而且能夠減少路由器中所要維護的組播狀態；如果廣播組會話由大量低帶寬多目的廣播流構成，RPT還能夠節省網絡資源，而SPT樹則能夠采用最優路徑，并消除封裝和解封裝過程，提供更好的性能。采用PIMVersion2作為組播路由協議。PIM（RFC2362）是IETF關于域內組播路由協議的標準，當前為大多數組播服務提供商采用。按照規劃，選擇核心節點作為整個企業網絡組播系統的RP點，來對整個企業網絡的組播進行控制。每個部門VLAN劃入一個多播地址：Vlan10：Vlan11：Vlan20：Vlan21：Vlan30：Vlan31：在核心交換機和PIX上啟用多播，命令如下：ipmulticast-routingintinterface#ippimsparse-dense-modeipigmpjoin-group224.1.1.X配置PIX為RP的命令如下：ippimsend-rp-announceLoopback0scope3group-list50ippimsend-rp-discoveryLoopback0scope3access-list50permitaccess-list50permitaccess-list50permitaccess-list50permitaccess-list50permitaccess-list50permitippimrp-address4.5訪問控制列表（ACL）設計方案訪問控制列表（AccessControlList，ACL）是路由器接口的指令列表，用來控制端口進出的數據包。ACL適用于所有的被路由協議，如IP、IPX、AppleTalk等。ACL的定義也是基于每一種協議的。如果路由器接口配置成為支持三種協議（IP、AppleTalk以及IPX）的情況，那么，用戶必須定義三種ACL來分別控制這三種協議的數據包。自反訪問表在路由器的一邊創立IP流量的動態開啟，該過程是基于來自路由器另一邊的會話進行的。在正常的操作模式下，自反訪問表被配置并用于從路由器的不可信方，例如連接到Internet的串行端口，創立開啟表項。這些開啟表項的創立是基于源于設備的可信方的會話進行的，例如以太網或令牌環網的用戶連接到一個網段或連接到路由器端口的環。在該過程中，訪問表執行的動作稱為自反向過濾（reflexivefiltering）。該名稱是根據此訪問表的類型得來的。在IOS版本11.3中引入了自反訪問表，而且它可用在所有的路由器平臺上。在核心層交換機上配置訪問列表如下（由于各個端口配置相似，故只列出核心交換機SW1上的e0/1.1）：ipaccess-listextendede0/0.1-inevaluateadmindenyip5555denyip5555denyip5555denyip5555denyip5555denyip5555permitipanyanyexitipaccess-listextendede-outpermitipanyanyreflectadmininte0/0.1ipaccess-groupe-outoutipaccess-groupe0/0.1-ininexit4.6IP地址規劃與路由設計方案路由組織及其方案是IP網絡中的基本問題之一，涉及網絡的連通性、可達性、穩定性、精確性和易管理性，其設計的好壞直接影響著網絡性能。路由組織應根據網絡對路由信息的需求，設計網絡中路由信息的分布。因為IP地址的規劃與路由策略息息相關，因此在以IP地址規劃的基礎上，選擇企業網絡平臺中最優的路由設計方案，以下詳細論述了IP地址規劃與路由設計方案。4.6.1IP地址規劃方案IP地址是整個網絡系統運行的基石，IP地址規劃不但應該滿足當前的需求，還應該充分的考慮系統將來的擴展性，以滿足將來發展的需要。因此需要對企業網絡系統的IP地址進行統一規劃，IP地址規劃方案如下：在整個網絡環境中必須保持IP地址的唯一性；根據業務情況，為每個單位局域網分配一個或多個C類地址段（指掩碼為的地址段），或者使用VLSM技術進一步進行細化，如分配64個（掩碼92）或者32個（掩碼24）地址，滿足當前要求，并留有一定的擴充余地（如2-3倍），便于將來增加節點。地址分配具有層次性和連續性，便于管理，即在IP地址規劃時應該充分的考慮利用路由匯總技術，減少路由波動，使得各局部的變動不影響整個網絡的其它部分，增加網絡的穩定性，同時由于路由匯總技術能夠縮減路由表項數，因此還能夠提高路由器的處理效率。使用VLSM技術，在劃分IP地址時應該盡可能的減少IP地址浪費：三層交換設備之間的互聯IP地址使用30位子網掩碼（52），以節約IP地址；網絡設備管理接口使用32位子網掩碼（55）；在訪問Internet時，使用NAT或者PAT技術經過防火墻設備進行地址或者端口翻譯，把私網地址轉換成公網地址，以獲得對Internet的訪問；各局域網內，根據業務情況，本著滿足需求和擴展性的要求，劃分并預留出以下地址段：網絡設備地址段、服務器地址段、辦公網段。在劃分這些網段時，需要注意所有單位應該統一規劃，以使地址分段全網統一，便于維護，其IP地址詳細規劃如表1：表1IP地址規劃表設備名接口地址說明PC1F0/0/24Vlan10PC11F0/0/24Vlan11PC2F0/0/24Vlan20PC21F0/0/24Vlan21PC3F0/0/24Vlan30PC31F0/0/24Vlan31FileF0/0/24Vlan51AdminF0/0/24Vlan52CoreSW1e0/0.100/24Vlan10e0/0.200/24Vlan11e0/1.100/24Vlan20e0/1.200/24Vlan21e0/2.100/24Vlan30e0/2.200/24Vlan31f1/0/30CoreSW1toPIXCoreSW2e0/0.100/24Vlan10e0/0.200/24Vlan11e0/1.100/24Vlan20e0/1.200/24Vlan21e0/2.100/24Vlan30e0/2.200/24Vlan31f1/0/30CoreSW2toPIXPIXf0/0/30PIXtoCoreSW1f1/0/30PIXtoCoreSW2f3/0.1/24Vlan51f3/0.2/24Vlan52s2/0/30PIXtoRouter1Router1s2/00/30Router1toPIXs2/1/24Router1toFR0s2/2/31Router1toCloudRouter2s2/1/24Router2toFR0f0/000/24Router2toSW5Clouds1/0/31CloudtoRouter14.6.2路由協議的選擇路由器上指明去另一點需要走的具體路徑。動態路由是網絡上的所有路由器互相通告自己所連的網段，各路由器根據某種算法計算出到每一點的最佳路徑。靜態路由方式適用于網絡拓撲結構確定而且結構簡單，IP地址規劃完善，網絡規模較小的場合。靜態路由配置簡單，調試方便，但由于靜態路由在網絡上每增加一個點時，都需要在網絡上所有現有路由器中增加路由，這樣使得靜態路由不適合于網絡規模較大，網絡不斷發展的場合，而動態路由因為在網絡上的路由器之間相互交換路由信息，增加一個節點時，網絡上的其它路由器的配置能夠不作任何修改，非常便于網絡的擴展，根據企業網絡系統的網絡規模、結構和將來的擴展能力，使用動態路由協議。在動態路由中比較常見的協議有以下幾種：路由信息協議(RIP)、增強內部網關路由協議(EIGRP)和開放式最短路徑優先(OSPF)。RIP和EIGRP屬于距離向量協議，OSPF屬于鏈路狀態協議；RIP配置簡單，適合于較小規模的網絡，這就限制了網絡的發展；EIGRP路由協議只適用于所有設備都是H3C產品的情況，這就限制了網絡產品的選型，降低了網絡的靈活性，不適于網絡規模的擴展；OSPF雖然配置復雜，可是非常適合于較大規模的網絡。因此，在整個企業網絡中建議使用適合大型網絡運行的內部網關協議：OSPF，OSPF由于其快速的收斂速度，較低的帶寬開銷和極大的應用普遍性成為大型網絡IGP的不二選擇，當前中國公眾多媒體網骨干網部分所運行的協議就是OSPF，而且Chinanet（163）電信寬帶網也大都運行OSPF路由協議。開放式最短路徑優先路由選擇協議(OSPF)是于20世紀80年代后期發展起來,而且早在90年代初就由互聯網組織實現成為一個現代的與提供方無關的協議。在同一時期，RIP協議已成為最主要的協議，但它隨著網絡規模的增長，已逐漸暴露出一些問題。H3C的IGRP協議是可用的，并有更優秀的路徑選擇特性，但它屬于專門的公司且收斂時間太長。OSPF協議的發展借鑒了許多其它路由選擇協議的思想：包括最初的ARPANET鏈路的狀態協議和OSI協議。大規模地運用OSPF協議的網絡必須使用分層網絡拓撲結構。這在實現上更容易一些，但發生協議變動時，可能會改變拓撲結構。OSPF協議屬于鏈路狀態路由協議，鏈路狀態路由協議是經過給每個路由器提供足夠的信息，使其能構建一張完整的網絡映射圖從而實現的。該圖中的元素包含在路由器的“鏈路狀態數據庫”中，庫中包含一個詳盡的且易于了解的關于給定的鏈路狀態路由域所有鏈路的列表。在OSPF中，鏈路狀態數據庫列出了鏈路狀態路由域中特定區域的所有鏈路。鏈路狀態路由域或區域中的每一個路由器，其鏈路狀態數據庫的內容都是一致的。每個路由器都根據自己的拓撲數據庫來確定它在網絡中的位置，并以此計算自己的路由表。當前，雖然距離向量算法已經有了一定的改進，如EIGRP的DUAL算法。但依然不及OSPF的鏈路狀態算法成功。部分原因是鏈路狀態算法本身從根本上改進了路由性能，而且比起EIGRP來，OSPF提供了更多更靈活的路由控制策略，方便復雜網絡結構的用戶實施路由規劃。另一方面則在于OSPF的開放性，為用戶網絡今后的擴展提供了較大的空間和靈活性，從而獲得了廣泛的認可，使之成為內部路由協議的一種較佳選擇。總的來說OSPF路由協議具有以下優點：節省網絡帶寬：OSPF屬于鏈路狀態協議，只有當網絡連接狀態發生變化時才彼此更新變化了的拓撲信息，而并非整個網絡的LSDB，從而大大節省了網絡帶寬，這對于大型的廣域網來說很重要。支持VLSM：OSPFLSA(LinkStateAdvertisement)中包含子網掩碼。支持層次化的網絡結構設計：網絡設計人員能夠把一個大型OSPF網絡分成若干域(Area)，其中一個是主干域(BackboneArea,AreaID)，其它非主干域均與主干域相連，并經過主干域交換LSDB。同時OSPF還引入了外部路由(ExternalRoutes)及ASBR(AutonomousSystemBoundaryRouter)概念，非OSPF路由均視為外部路由，由ASBR注入到OSPF域。支持路由總結(RouteSummary)：OSPFABR（連接多個區域的設備）具有路由總結的功能，如果連續地分配IP地址空間，則ABR僅向主干域廣播總結后的路由信息，抑制那些具體的路由信息的廣播，從而大大減小了其它域中路由器LSDB及路由表的大小。沒有路由跳數限制：OSFF路由表是基于LSDB運行Dijkstra算法計算出來的，沒有跳數限制。沒有路由環路問題：OSPF屬于Link-State路由協議，沒有環路問題。OSPF其它特性：OSPF定義了StubArea及Not-So-Stubby-Area(NSSA)，為設計包含多種路由協議的混合網絡，以及控制LSDB及路由表的大小提供了手段。4.6.3路由協議設計方案整個企業網絡的路由結構十分清晰：核心層高性能交換機和路由器為Area0，作為整個OSPF路由系統域的路由主干，并作為自治系統邊界路由器（ASBR）連接各接入層交換機。在核心層設備上進行配置，對相應的非0區域的路由表進行匯聚。在網絡需擴展時，沿用現在的路由機制，保證系統的擴展性，即以核心交換機作為ABR和ASBR，連接區域0和非0區域，并進行路由匯總。訪問Internet的路由在核心交換設備上配置指向Internet接入設備的默認路由，使得內網能夠獲得Internet訪問。對于接入層的用戶分兩種情況來考慮：VLAN直接接入的用戶經過二層轉發來實現；需要路由轉發的用戶經過靜態路由來實現。在PIX上配置OSPF協議如下：routerospf1log-adjacency-changesnetworkarea0networkarea0networkarea0network55area0network55area0在核心交換上配置OSPF協議如下：routerospf1log-adjacency-changesnetworkarea0network55area0network55area0network55area0network55area0在邊緣交換機Router1上配置OSPF協議如下（NBMA類型，手工指定鄰居，分支機構路由器Router2配置類似于Router1）：interfaceSerial2/1ipaddressipnatinsideipvirtual-reassemblyencapsulationframe-relayserialrestart-delay0clockrate64000frame-relaymapip101noframe-relayinverse-arprouterospf1log-adjacency-changesnetworkarea0network55area0neighbor4.7HSRP：熱備份路由器協議4.7.1HSRP協議概述實現HSRP（HotStandbyRouterProtocol）的條件是系統中有多臺路由器，它們組成一個“熱備份組”，這個組形成一個虛擬路由器。在任一時刻，一個組內只有一個路由器是活動的，并由它來轉發數據包，如果活動路由器發生了故障，將選擇一個備份路由器來替代活動路由器，可是在本網絡內的主機看來，虛擬路由器沒有改變。因此主機依然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器切換的問題。為了減少網絡的數據流量，在設置完活動路由器和備份路由器之后，只有活動路由器和備份路由器定時發送HSRP報文。如果活動路由器失效，備份路由器將接管成為活動路由器。如果備份路由器失效或者變成了活動路由器，將有另外的路由器被選為備份路由器。在實際的一個特定的局域網中，可能有多個熱備份組并存或重疊。每個熱備份組模仿一個虛擬路由器工作，它有一個Well－known－MAC地址和一個IP地址。該IP地址、組內路由器的接口地址、主機在同一個子網內，可是不能一樣。當在一個局域網上有多個熱備份組存在時，把主機分布到不同的熱備份組，能夠使負載得到分擔。4.7.2HSRP的工作原理HSRP協議利用一個優先級方案來決定哪個配置了HSRP協議的路由器成為默認的主動路由器。如果一個路由器的優先級設置的比所有其它路由器的優先級高，則該路由器成為主動路由器。路由器的缺省優先級是100，因此如果只設置一個路由器的優先級高于100，則該路由器將成為主動路由器。經過在設置了HSRP協議的路由器之間廣播HSRP優先級，HSRP協議選出當前的主動路由器。當在預先設定的一段時間內主動路由器不能發送hello消息時，優先級最高的備用路由器變為主動路由器。路由器之間的包傳輸對網絡上的所有主機來說都是透明的。4.7.3本方案的特點1．高度的可靠性，兩臺路由器之間采用HSRP（熱備份冗余協議）協議，來保證兩臺路由器中的任意一臺down掉，或路由器的廣域網口down，都會迅速切換到另外一臺。2．有效的實現了負載均衡，在核心交換機上劃分出各自的VLAN，VLAN11~Vlan21在CoreSW1上的HSRP的優先級較高，VLAN30~VLAN31在CoreSW2上的HSRP的優先級較高。充分利用了帶寬資源，而且實現了負載均衡。3．充分利用了多以太口路由器在劃分多業務網段上的功能，也只有多以太口路由器在HSRP應用中才能實現兩個路由器間的負載分擔，這是具有四個以太口路由器的極大的優點。4．經過在交換機上設置VLAN，有效的控制了兩個子網間的安全。5．不存在單點故障問題。HSRP設計如圖4所示：圖4HSRP設計示意圖完成核心層交換機的HSRP命令配置后，CoreSW1和CoreSW2的輸出如表2和表3所示：表2CoreSW1上的HSRP狀態表Pindicatesconfiguredtopreempt.Interfac