網(wǎng)絡(luò)設(shè)計畢業(yè)論文

1、<p><b>　　摘 要</b></p><p>　　本組網(wǎng)主要完成對**服裝設(shè)計有限公司的網(wǎng)絡(luò)設(shè)計、網(wǎng)絡(luò)解決方案及實施方案的統(tǒng)籌規(guī)劃與完整實施，直至項目結(jié)束。</p><p>　　論文主要介紹了**服裝設(shè)計有限公司的組網(wǎng)及所要完成組網(wǎng)的總過程。在本篇論文問中重點說明網(wǎng)絡(luò)的設(shè)計方案、難點技術(shù)、解決方案。</p><p>　　引言說

2、明**網(wǎng)絡(luò)建設(shè)原因、背景。</p><p>　　**網(wǎng)絡(luò)的設(shè)計需求，簡要介紹了**網(wǎng)絡(luò)的設(shè)計需求、節(jié)點數(shù)量及大概的組網(wǎng)思路。</p><p>　　網(wǎng)絡(luò)的解決方案：主要介紹網(wǎng)絡(luò)拓撲圖及網(wǎng)絡(luò)拓撲圖的優(yōu)點、性價比、能夠解決的問題、網(wǎng)絡(luò)的擴展性等。</p><p>　　網(wǎng)絡(luò)實施方案：主要介紹項目機構(gòu)、人員分工及方案實施前的準備工作。</p><p>

3、　　網(wǎng)絡(luò)配置：主要介紹網(wǎng)絡(luò)設(shè)備的基本配置及協(xié)議配置及其它配置。</p><p>　　網(wǎng)絡(luò)測試：主要介紹網(wǎng)絡(luò)的局部測試、整體測試情況。</p><p>　　關(guān)鍵詞：設(shè)計、解決、實施、組網(wǎng)</p><p><b>　　ABSTRACT</b></p><p>　　This network of bo gen clothing

4、 mainly complete design Co., LTD network design, network solutions and implement plan overall planning and implementation of the project ended, until complete.</p><p>　　Paper mainly introduced bo gen clothin

5、g design limited company to complete the network and the overall process of networking. In this paper the key that in network asked design scheme, difficulties technology, solutions.</p><p>　　1, preface that

6、 network construction bo gen causes, background.</p><p>　　2, bo gen network design requirements, briefly introduces bo gen network design requirements, the number of node, and probably networking ideas.</

7、p><p>　　Three, network solutions: mainly introduces the network topology and the network topology advantages, and cost-effective, able to solve problems and network expansibility, etc.</p><p>　　4,

8、network implementation plan: mainly introduces project organization, personnel division of labor and the preparing work before the implementation of the scheme.</p><p>　　5, network configuration: mainly intr

9、oduces basic configuration of network equipment and protocol and other configuration.</p><p>　　6, network test: mainly introduces the network of local test, the overall test conditions.</p><p>　

10、　Key words：Design, solve, implementation, networking</p><p><b>　　目 錄</b></p><p><b>　　目 錄1</b></p><p>　　思威網(wǎng)絡(luò)公司簡介4</p><p><b>　　引 言5<

11、;/b></p><p>　　第一章 項目需求分析6</p><p>　　1.1 項目背景6</p><p>　　1.2 需求分析6</p><p>　　第二章 網(wǎng)絡(luò)總體建設(shè)目標8</p><p>　　2.1 網(wǎng)絡(luò)建設(shè)目標8</p><p>　　2.2 網(wǎng)絡(luò)系統(tǒng)建設(shè)內(nèi)容及要求8

12、</p><p>　　2.3 網(wǎng)絡(luò)設(shè)計原則10</p><p>　　第三章 網(wǎng)絡(luò)總體設(shè)計11</p><p>　　3.1 網(wǎng)絡(luò)總體拓撲圖11</p><p>　　3.2 網(wǎng)絡(luò)層次化設(shè)計13</p><p>　　3.3 核心層設(shè)計14</p><p>　　3.4 接入層設(shè)計14<

13、/p><p>　　3.5 內(nèi)聯(lián)接入14</p><p>　　第四章 路由設(shè)計15</p><p>　　4.1 路由協(xié)議選擇15</p><p>　　4.2 路由規(guī)劃拓撲圖15</p><p>　　4.3 IP地址規(guī)劃16</p><p>　　第五章 網(wǎng)絡(luò)安全解決方案17</p>

14、;<p>　　5.1 網(wǎng)絡(luò)邊界安全威脅分析17</p><p>　　5.2 網(wǎng)絡(luò)內(nèi)部安全威脅分析18</p><p>　　5.3 管理中的安全威脅分析18</p><p>　　5.4 安全產(chǎn)品選型原則19</p><p>　　5.5 網(wǎng)絡(luò)常用技術(shù)介紹19</p><p>　　HSRP 協(xié)議19

15、</p><p><b>　　OSPF協(xié)議20</b></p><p>　　VLAN 技術(shù)21</p><p>　　Trunk 技術(shù)21</p><p>　　Spanning-Tree協(xié)議21</p><p><b>　　DHCP協(xié)議22</b></p>

16、<p><b>　　VPN技術(shù)23</b></p><p>　　第六章 產(chǎn)品簡介23</p><p>　　6.1 PIX 525防火墻23</p><p>　　6.2 Cisco 2800 系列集成多業(yè)務路由器24</p><p>　　6.3 Cisco Catalyst 3560 系列集成交換機

17、24</p><p>　　6.4 Cisco Catalyst 2960 系列集成交換機25</p><p>　　6.5 ISA防火墻26</p><p>　　6.6 操作系統(tǒng)26</p><p>　　6.7 網(wǎng)管軟件選擇27</p><p>　　第七章 設(shè)備清單及報價27</p><p&

18、gt;　　第八章 項目實施方案28</p><p>　　8.1 項目組織結(jié)構(gòu)28</p><p>　　8.2 項目人員分工28</p><p>　　8.3 項目實施前的準備工作30</p><p>　　8.4 安裝前的場地準備31</p><p>　　8.5 核心及各網(wǎng)點的安裝調(diào)試31</p>

19、<p>　　第九章 網(wǎng)絡(luò)測試32</p><p>　　9.1 網(wǎng)絡(luò)測試目的32</p><p>　　9.2 測試文檔33</p><p>　　9.2.1 網(wǎng)絡(luò)中間設(shè)備測試33</p><p>　　9.2.2 網(wǎng)絡(luò)終端設(shè)備測試34</p><p>　　第十章 網(wǎng)絡(luò)設(shè)備基本配置35</p>

20、;<p>　　10.1 網(wǎng)絡(luò)描述35</p><p>　　10.2 設(shè)備基本配置36</p><p>　　10.2.1 設(shè)備訪問36</p><p>　　10.2.2 基本配置格式37</p><p>　　第十一章 網(wǎng)絡(luò)設(shè)備的技術(shù)實施方案39</p><p>　　11.1 TRUNK配置39&

21、lt;/p><p>　　11.2 VTP配置39</p><p>　　11.3 VLAN配置41</p><p>　　11.4 STP配置42</p><p>　　11.5 HSRP配置43</p><p>　　11.6 OSPF配置44</p><p>　　11.7 默認路由重發(fā)布45

22、</p><p>　　11.8 NAT詳細配置45</p><p>　　11.9 透明防火墻配置46</p><p>　　11.10 IPSEC VPN配置48</p><p>　　11.11 EASY VPN配置50</p><p>　　11.12 NAT-T配置53</p><p>

23、;　　11.13 輪訓配置54</p><p>　　11.14 PPP配置54</p><p>　　11.15 DHCP配置55</p><p>　　11.16 訪問控制列表配置56</p><p>　　11.17 端口安全配置58</p><p>　　第十二章 項目測試59</p><

24、p>　　12.1查看物理連結(jié)、工作環(huán)境、網(wǎng)絡(luò)設(shè)備工作是否合格59</p><p>　　12.1.1 網(wǎng)絡(luò)中間設(shè)備測試59</p><p>　　12.1.2 網(wǎng)絡(luò)終端設(shè)備測試60</p><p>　　12.2 VLAN的測試61</p><p>　　12.3 trunk的測試61</p><p>　　12

25、.4 STP生成樹測試61</p><p>　　12.5 HSRP的測試62</p><p>　　12.5.1 show standby brief 看HSRP信息62</p><p>　　12.5.2 測試搶占主次交換機62</p><p>　　12.6 路由表驗證63</p><p>　　12.7 DNS

26、測試63</p><p>　　12.8 DHCP測試64</p><p>　　12.9 MAIL測試64</p><p>　　12.9.1查看域名能否正常解析64</p><p>　　12.9.2 查看服務是否能夠正常啟動，重啟，停止64</p><p>　　12.9.3 試收發(fā)一封郵件，看服務及配置是否正常

27、65</p><p>　　12.10 WEB測試65</p><p>　　12.11 FTP測試65</p><p>　　12.12 AD測試65</p><p>　　12.12.1 查看域名能否正常解析65</p><p>　　12.12.2 用PC機測試能否正常加入域66</p><

28、p>　　12.12.3 客戶機能否正常接受域的策略66</p><p>　　12.13 服務器測試66</p><p>　　12.13.1 文件服務器上RAID 5驗證66</p><p>　　12.13.2 看其它服務器能否正常映射文件服務器67</p><p>　　12.14 文件備份測試67</p><

29、;p>　　12.14.1 查看文件備份的時間67</p><p>　　12.14.2 測試文件是否能夠正常的進行備份67</p><p>　　12.15 NAT&ACL測試68</p><p>　　12.16 PPP測試68</p><p>　　12.17 透明防火墻測試68</p><p>　

30、　12.18 輪訓測試68</p><p>　　12.19 VPN測試69</p><p>　　12.19.1 IPSEC VPN測試69</p><p>　　12.19.2 EASY VPN測試69</p><p>　　12.20 tunnel分割測試70</p><p>　　12.21 端口安全測試71

31、</p><p><b>　　致 謝72</b></p><p><b>　　思威網(wǎng)絡(luò)公司簡介</b></p><p>　　思威網(wǎng)絡(luò)股份有限公司成立于2002年，是一家從事網(wǎng)絡(luò)規(guī)劃與設(shè)計，法人代表郭亞明。公司位于許昌南湖經(jīng)濟開發(fā)區(qū)，南鄰高速公路，交通便利，總投資5000萬，注冊資金1500萬。公司本著“立足高新、追求完

32、美、持續(xù)改進、滿足要求”的質(zhì)量方針面向社會。以“靠品質(zhì)生存，憑信心發(fā)展，以質(zhì)量競爭，那效果證明”為宗旨來接受客戶的考驗。本著“奉獻愛心，服務社會”為根本。</p><p>　　思威公司現(xiàn)有員工120余人，其中CCIE 2人、CCNP 18人、HCIE 2人，HCTE 1人，是目前河南省最大的網(wǎng)絡(luò)設(shè)計公司。2010年公司實現(xiàn)年純收入2000多萬元。我們公司曾與中國聯(lián)通河南分公司、中國移動河南分公司進行精誠合作。&l

33、t;/p><p>　　思威網(wǎng)絡(luò)公司不僅實力巨強，而且不斷的對社會共享力量。2008年，思威公司組織公司員工向汶川災區(qū)捐助價值300萬人民幣的救災物質(zhì)。我們計劃在2013年前實現(xiàn)向社會捐助600萬的捐款目標。今后我們思威公司仍將會以最能產(chǎn)生正面影響的方式來回饋社會。</p><p><b>　　2011.3</b></p><p>　　Think w

34、ei network company profile</p><p>　　Think wei network Co ltd., established in 2002, is engaged in the network planning and design, legal representative GuoYaMing. The company is located in south lake economi

35、c development zone, south xuchang adjacent highway, the traffic is convenient, with a total investment of 50 million, the registered capital of 15 million. The company in line with "based on high, the pursuit of per

36、fect, continuous improvement and meet the requirements of" quality policy faces the society. With "survival by qua</p><p>　　Think wei the company's existing employees more than 120 people, incl

37、uding the CCIE 2 people, CCNP 18 people, HCIE 2 people, HCTE 1 person, is currently the largest network design company in henan province. 2010 companies to achieve more than 2,000 million in net income. Our company has a

38、nd China unicom henan branch, China mobile henan branch for sincere cooperation.</p><p>　　Think not only power network company Wisconsin, strong and continuous Johnson to social sharing power. In 2008, the c

39、ompany organization company employees think willy to wenchuan 300 million RMB donate value of relief materials. We are planning to social donation by 2013 realize six million donation goals. In the future, we will still

40、think b&w with the most can produce positive ways to reward the society.</p><p><b>　　2011.3</b></p><p><b>　　引 言</b></p><p>　　21世紀是信息產(chǎn)業(yè)的時代，全球信息電子化的潮流勢不可擋

41、，是知識經(jīng)濟的時代，人們所要求的信息量也就會越來越大，計算機被廣泛應用于商業(yè)、企業(yè)、政府部門、學校、家庭，給經(jīng)濟和社會生活帶來深刻的變革。隨著信息技術(shù)和互聯(lián)網(wǎng)的發(fā)展，信息化已經(jīng)滲透到人類社會的方方面面，并逐步改變著人們的工作、學習和生活方式。</p><p>　　隨著計算機技術(shù)的迅猛發(fā)展，特別是隨著網(wǎng)絡(luò)技術(shù)的出現(xiàn)標志著信息時代已經(jīng)來臨。信息化浪潮、網(wǎng)絡(luò)革命不斷沖擊著社會的發(fā)展，人們逐漸意識到信息的重要意義，許多企

42、業(yè)和個人紛紛建立了自己的網(wǎng)站。在這種背景下，傳統(tǒng)的生活和工作模式正在受到重大的挑戰(zhàn)，人們已開始利用網(wǎng)絡(luò)和計算機學習和工作。做為一個始終站在時代前沿的服裝行業(yè)，只有作出新選擇、不斷學習、不斷適應才能讓公司發(fā)展的更快、更好。</p><p>　　作為服裝設(shè)計的領(lǐng)頭企業(yè)，**公司始終站在時代的最前沿。2011年，**公司決定構(gòu)建內(nèi)部網(wǎng)絡(luò)，以實現(xiàn)與其他代理商、顧客、本公司工作人員等眾多人員的良好溝通。</p>

43、<p>　　籌劃**公司的內(nèi)部網(wǎng)絡(luò)需要要討論三個要素，無論是內(nèi)部網(wǎng)絡(luò)還是外聯(lián)接入，要較好地發(fā)揮公司內(nèi)部網(wǎng)絡(luò)的作用都要涉及三個要素：運載基礎(chǔ)設(shè)施、運載設(shè)施和運載信息。</p><p>　　第一章 項目需求分析</p><p><b>　　1.1 項目背景</b></p><p>　　**服裝設(shè)計有限公司是一家注冊資金5000萬、集服

44、裝設(shè)計、服裝加工、服裝銷售與于一體的有限責任公司，公司法人代表李彥宏。隨著Internet的迅速發(fā)展，更多的人熱衷于通過網(wǎng)絡(luò)進行網(wǎng)上購物。為適應當今的市場需求，**公司決定構(gòu)建內(nèi)部網(wǎng)絡(luò)，以實現(xiàn)與其他代理商、顧客、本公司工作人員等眾多人的良好溝通。為了保證構(gòu)建網(wǎng)絡(luò)的質(zhì)量、工期、成本，**公司網(wǎng)絡(luò)單列為項目，組織專業(yè)人員討論并編寫了招標文件，從社會公開招標，通過競爭來選擇有實力的系統(tǒng)集成公司對此次項目進行實施</p><

45、p>　　本項目的目標是：“建立一個設(shè)計規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴展性與可用性并且具備可管理易維護的網(wǎng)絡(luò)及系統(tǒng)平臺，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率”。</p><p>　　本期工程項目完成后，網(wǎng)絡(luò)平臺總部內(nèi)有大型服務器提供服務，外接分支機構(gòu)網(wǎng)絡(luò)平臺的設(shè)計用戶節(jié)點數(shù)總部為1000或更多用戶分部地為10-50個用戶、少量的外出工作人員等人。要能夠?qū)崿F(xiàn)公司內(nèi)大型服

46、務器高效、穩(wěn)定的運行，同時能夠?qū)崿F(xiàn)公司員工能夠方便、快捷的登錄公司內(nèi)部網(wǎng)站以及Internet。 </p><p><b>　　1.2 需求分析</b></p><p>　　滿足公司信息化的要求,為各類應用系統(tǒng)提供方便、快捷的信息通路；具有良好的性能，能夠支持實時性的數(shù)據(jù)傳輸；能夠可靠運行，具有較低的故障率和維護要求。提供網(wǎng)絡(luò)安全機制，滿足公司信息安全的要求，具有較高

47、的性價比，未來升級擴展容易，保護用戶投資；同時要保證用戶使用簡單、維護容易，為用戶提供良好的售后服務。</p><p>　　本項目的網(wǎng)絡(luò)可以劃分總部和分部以及外出移動的工作人員三部分構(gòu)成。</p><p>　　總部地點分為數(shù)據(jù)中心、核心交換區(qū)、服務器和普通員工接入等。數(shù)據(jù)中心作為工廠生產(chǎn)運營系統(tǒng)（如ERP系統(tǒng)，人事考勤系統(tǒng)，財務計量系統(tǒng)等等）的核心數(shù)據(jù)的存放地，其性能、穩(wěn)定性、安全性、可靠

48、性的要求極高，在這里我們建議將其放在中心機房（中心機房室內(nèi)的溫度、空氣濕度、安全防護設(shè)施等各項性能指標都要達到標準中心機房的性能指標）、使用性能較好的思科交換機同時做二層和三層的冗余備份、傳輸介質(zhì)建議使用千兆以太網(wǎng)甚至光纖，同時使用與之相匹配的網(wǎng)絡(luò)防火墻；我們在進行網(wǎng)絡(luò)設(shè)計不僅要能夠保證其安全性的，同時還保證網(wǎng)絡(luò)的性能以及網(wǎng)絡(luò)運行的可靠性，而核心交換區(qū)的功能是高速可靠地交換數(shù)據(jù)，因此該部分的設(shè)計應考慮性能和可用性的平衡。作為外聯(lián)單位接入

49、區(qū)域，其安全性應該是放在第一位，同時，生產(chǎn)運營系統(tǒng)的運行離不開網(wǎng)絡(luò)和數(shù)據(jù)中心的連接，適當性的冗余是必須的技術(shù)。分部地點辦公網(wǎng)絡(luò)做為內(nèi)部互聯(lián)單位，可信度較高，因此其內(nèi)部網(wǎng)絡(luò)的可用性是首要考慮因素。為了能夠使外出的工作人員能夠安全的、廉價的訪問公司內(nèi)部服務器實現(xiàn)跨Internet辦公，顯然VPN使最佳選擇。對于外部的接入，我們建議通過easy VPN進行撥號接入，以實現(xiàn)廉價、安全</p><p>　　以下是貴公司面臨

50、的問題：</p><p>　　1：**公司總部有銷售部、設(shè)計部、人事部、生產(chǎn)部、財務部以及其它工作人員，為提高網(wǎng)絡(luò)的安全性、防止網(wǎng)絡(luò)因單塊網(wǎng)卡故障引起的網(wǎng)絡(luò)問題，因此要進行廣播域的范圍控制同時要防止網(wǎng)絡(luò)中環(huán)路的產(chǎn)生。</p><p>　　2：由于總公司與分公司之間有大量的數(shù)據(jù)進行傳輸，總公司、分公司之間的數(shù)據(jù)傳輸?shù)陌踩浴⒖煽啃?、以及傳輸速率也是我們必須考慮的問題。</p>

51、<p>　　3、對于公司內(nèi)各部門對網(wǎng)絡(luò)的依存程度不同，我們要保證網(wǎng)絡(luò)中對網(wǎng)絡(luò)依靠程度較高部門的數(shù)據(jù)優(yōu)先、快速的進行數(shù)據(jù)轉(zhuǎn)發(fā)；</p><p>　　4：由于總公司承載這整個公司的運行，因此總公司網(wǎng)絡(luò)的穩(wěn)定性、安全性是進行網(wǎng)絡(luò)規(guī)劃面臨的重要問題。</p><p>　　5：考慮到公司網(wǎng)絡(luò)運行的廉價性，要盡可能少的運用公網(wǎng)IP地址的。</p><p>　　6：由于

52、總公司有自己的網(wǎng)絡(luò)服務器，服務器及操作系統(tǒng)的選擇也是該網(wǎng)絡(luò)面臨的重要問題（我們將根據(jù)貴公司建議及要求的進行服務器選擇）。</p><p>　　7：由于公司有眾多的服務器，因此中心機房的室內(nèi)環(huán)境以及中心機房的網(wǎng)絡(luò)防護設(shè)施、電路的安全性都是必須考慮的問題。</p><p>　　8：由于總公司是公司的重要部門，總公司要具有一定的冗余、容錯能力。</p><p>　　9：考

53、慮到公司構(gòu)建網(wǎng)絡(luò)的廉價性，我們要做到用傳輸速率較低的傳輸介質(zhì)承載較高的帶寬。</p><p>　　10．由于web服務器訪問人員較多，服務器的負載均衡也是必須考慮的問題。</p><p>　　11、由于公司的不斷的發(fā)展，因此網(wǎng)絡(luò)要具有良好的擴展性（體現(xiàn)方式），以滿足未來網(wǎng)絡(luò)的需求。</p><p>　　12、對于后期的網(wǎng)絡(luò)管理員培訓我們盡量會使用圖形化配置（如SDM

54、、cisco works、CAN等），以減少貴公司的網(wǎng)絡(luò)管理員學習難度等。</p><p>　　當前業(yè)界的網(wǎng)絡(luò)管理范疇較廣，包括設(shè)備管理、資源管理、故障管理、性能管理、安全管理等等。在網(wǎng)絡(luò)規(guī)模相對較大的時候，合適的網(wǎng)管系統(tǒng)可以幫助客戶方便管理網(wǎng)絡(luò)內(nèi)的設(shè)備及運行情況，提高網(wǎng)絡(luò)的運行效率。</p><p>　　在服務器vlan中有windows2003平臺以及l(fā)inux平臺，搭建有dns服務器

55、實現(xiàn)域名解析，有www服務器，實現(xiàn)局域網(wǎng)絡(luò)內(nèi)部的信息服務，要求使用集群技術(shù)和raid-5技術(shù)以及ftp服務器，實現(xiàn)文檔的上傳和下載，要求采用配額。</p><p>　　對于網(wǎng)絡(luò)設(shè)備的管理我們建議將重要設(shè)備放入中心機房，這樣便于網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理、給予合理的運行環(huán)境。公司的資源是公司的重要財富，我們將通過防火墻配置嚴格限制外部人員對公司重要服務器的訪問、同時我們會讓計算機在網(wǎng)絡(luò)運行過程中做好每天的數(shù)據(jù)備份工作。&l

56、t;/p><p>　　第二章 網(wǎng)絡(luò)總體建設(shè)目標</p><p>　　2.1 網(wǎng)絡(luò)建設(shè)目標</p><p>　　以先進、成熟的網(wǎng)絡(luò)應用技術(shù)，設(shè)計和規(guī)劃**公司網(wǎng)絡(luò)系統(tǒng)；采用先進的計算機、網(wǎng)絡(luò)設(shè)備和軟件，以及先進的系統(tǒng)集成技術(shù)，構(gòu)建一個高效的辦公網(wǎng)絡(luò)。從實際出發(fā)，正確地規(guī)劃和設(shè)計的計算機網(wǎng)絡(luò)。為企業(yè)實現(xiàn)數(shù)據(jù)共享、資源共享，提供穩(wěn)定的信息交換和網(wǎng)絡(luò)系統(tǒng)服務平臺。</p&

57、gt;<p>　　此項系統(tǒng)網(wǎng)絡(luò)項目工程的建設(shè)目標主要包括以下方面：</p><p>　　1.為公司的業(yè)務數(shù)據(jù)提供便捷的查詢服務。</p><p>　　2.搭建公司核心網(wǎng)絡(luò)及服務器,以實現(xiàn)生產(chǎn)、銷售等系統(tǒng)的高效運行。各公司用戶能夠進行資源共享，并能夠進行上網(wǎng)查資料，電子郵件，對外發(fā)布網(wǎng)站等等。</p><p>　　3.確保企業(yè)內(nèi)網(wǎng)的安全性，為服務器和客戶

58、機提供安全可靠的網(wǎng)絡(luò)環(huán)境，按要求實現(xiàn)網(wǎng)絡(luò)安全的需求。</p><p>　　4.WEB服務器：公司在CNNIC處申請了域名以及對應的固定IP，搭建公司門戶站點。同時公司有自己的內(nèi)網(wǎng)域名，發(fā)布公司動態(tài)等信息。</p><p>　　5．按照“高效能、低成本”的要求，采用核心交換層、接入層的兩層網(wǎng)絡(luò)結(jié)構(gòu)，這樣易于維護，且具有較高的性價比。</p><p>　　6．要求計算機

59、網(wǎng)絡(luò)系統(tǒng)滿足系統(tǒng)集成的網(wǎng)絡(luò)平臺需求，并考慮對設(shè)備投資保護，保證未來15---20年內(nèi)的系統(tǒng)擴展。以后如果公司收購其它離總公司較近的公司我們可以直接在總公司路由器上添加模塊，通過專用線路進行連接。如果距離較遠，我們可以通過IPSEC的VPN進行鏈接。</p><p>　　7. 要對員工用戶安全、帳戶管理、用戶權(quán)限管理、網(wǎng)絡(luò)訪問控制等，并提供完善的日志功能。</p><p>　　8通過多種網(wǎng)絡(luò)

60、技術(shù)組建一個高效、穩(wěn)定、可靠、易管理、安全的企業(yè)網(wǎng)。</p><p>　　9 良好的售后服務支持。</p><p>　　2.2 網(wǎng)絡(luò)系統(tǒng)建設(shè)內(nèi)容及要求</p><p>　　根據(jù)公司中心機房的網(wǎng)絡(luò)情況，我們把整個網(wǎng)絡(luò)分為內(nèi)部交換網(wǎng)絡(luò)設(shè)計、網(wǎng)絡(luò)出口設(shè)計，網(wǎng)絡(luò)安全設(shè)計三大部分。對于內(nèi)部交換網(wǎng)絡(luò)我們采用分層設(shè)計。內(nèi)部交換網(wǎng)絡(luò)分成核心層和接入層兩大部分。公司數(shù)據(jù)中心網(wǎng)絡(luò)平臺承

61、載著公司所有的關(guān)鍵核心業(yè)務，設(shè)計時，保證中心機房網(wǎng)絡(luò)的高可用性和穩(wěn)定性至關(guān)重要，故設(shè)計時中心路由交換機建議采用雙機熱備（HSRP），各分支交換機兩條上聯(lián)千兆線路分別上連到兩臺中心路由交換機上，構(gòu)成全路由交換的網(wǎng)絡(luò)；借助于跨骨干的VLAN 技術(shù)，使得對于網(wǎng)絡(luò)內(nèi)有關(guān)Server 的訪問變得更加安全有效。</p><p>　　對于總公司與分公司（兩者之間的距離較近）之間的通信我們采用專用的線路（使用廣域網(wǎng)連接的PPP協(xié)

62、議）進行數(shù)據(jù)通信。這樣，不僅能夠滿足分公司大量數(shù)據(jù)的快速傳輸，同時還能夠保證數(shù)據(jù)的安全性。</p><p>　　對于外部用戶的撥入，我們通過easy VPN進行。easy VPN是通過Internet建立的一種臨時的、安全的網(wǎng)絡(luò)鏈接，是外出移動工作人員遠程撥入公司內(nèi)部的最佳選擇。</p><p>　　對于邊界網(wǎng)絡(luò)接入網(wǎng)絡(luò)（與合作伙伴、分支機構(gòu)以及Internet 接入通稱為邊界網(wǎng)絡(luò)），網(wǎng)絡(luò)

63、的安全性將是一個需要考慮的非常重要的因素。所以確保在網(wǎng)絡(luò)的邊界處部署相應的安全策略以防止黑客和各種惡意代碼的攻擊至關(guān)重要，同時邊界處的設(shè)備的冗余設(shè)計也是設(shè)計</p><p>　　考慮的一個重要因素，防止單點故障。對于服務器，采用RID5磁盤陣列，數(shù)據(jù)除第一次用完全備份后，以后每天做增量備份，備份的的服務器或設(shè)備單獨放置其他全安地點。</p><p>　　此次**公司的網(wǎng)絡(luò)建設(shè)將采用先進的計

64、算機、網(wǎng)絡(luò)設(shè)備和軟件，以及先進的系統(tǒng)集成技術(shù)和管理模式，實現(xiàn)一個高效的辦公網(wǎng)絡(luò)體系。我們保證：所以硬件必須是新產(chǎn)品，而且在質(zhì)量和性能上能提供可靠證明、集成商所提供的硬件設(shè)備應符合國建有關(guān)標準及規(guī)定、系統(tǒng)采用TIA/EIA568A和568B以及其它相關(guān)布線標準實施、所有員工均能連到互聯(lián)網(wǎng)上、IP地址規(guī)劃要合理其次要滿足未來發(fā)展的需要、網(wǎng)絡(luò)技術(shù)采用高寬帶、高速度且簡單成熟的以太網(wǎng)交換技術(shù)、為了滿足設(shè)備的兼容性，路由交換應該采用相同的設(shè)備。網(wǎng)

65、絡(luò)中的各類服務器設(shè)備和網(wǎng)絡(luò)設(shè)備以及各種操作系統(tǒng)和應用軟件必須考慮技術(shù)上的先進性，國內(nèi)外及各行業(yè)的通用性，并且要有良好的市場形象與售后技術(shù)支持，便于維護和升級。</p><p>　　系統(tǒng)測試及驗收要求：1：在系統(tǒng)的整體安裝、調(diào)試完成和工程的施工結(jié)束后，必須按相應的標準，提供測試方案對系統(tǒng)功能性、連通性等做綜合測試。2：建設(shè)方與施工方代表在場依據(jù)測試文檔和測試報告再綜合測試審核此工程建設(shè)情況，記錄結(jié)果后進行工程初驗總

66、結(jié)。3：要能夠保證公司的網(wǎng)絡(luò)管理員在自己的辦公司能夠登錄公司內(nèi)任意一臺網(wǎng)絡(luò)設(shè)備。4：要能夠通過我們提供的網(wǎng)管軟件測試公司的數(shù)據(jù)流量。5：為了設(shè)備的安全性，在進行設(shè)備調(diào)試的時候，都需要給設(shè)備加上密碼，密碼由貴公司制定。6: 本項目所有網(wǎng)絡(luò)設(shè)備全部使用 CISCO的網(wǎng)絡(luò)設(shè)備。7：施工期間必須對用戶技術(shù)人員進行必要的技術(shù)培訓。</p><p>　　2.3 網(wǎng)絡(luò)設(shè)計原則</p><p>　　網(wǎng)絡(luò)設(shè)

67、計應該遵循開放性和標準化原則、實用性與先進性兼顧原則、可用性原則、高性能原則 、經(jīng)濟性原則 、可靠性原則、安全第一原則、適度的可擴展性原則、充分利用現(xiàn)有資源原則、易管理性原則、易維護性原則、最佳的性能價格比原則、QoS保證等。</p><p>　　作為一家優(yōu)秀的系統(tǒng)集成商，向用戶提供的不僅僅是設(shè)備，而是整套的技術(shù)與服務。在方案設(shè)計時，我們將嚴格遵循以下設(shè)計原則：</p><p><

68、;b>　　1：可用性</b></p><p>　　構(gòu)建一個網(wǎng)絡(luò)，可用性是最基本的網(wǎng)絡(luò)設(shè)計目標。由于本網(wǎng)絡(luò)對數(shù)據(jù)的安全性要求較高，因此在網(wǎng)絡(luò)的總體設(shè)計時重點要考慮的是網(wǎng)絡(luò)本身的安全性﹑以及設(shè)備自身的安全性。</p><p><b>　　2：高可靠性</b></p><p>　　網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應用系統(tǒng)正常運行的關(guān)鍵保證，在網(wǎng)

69、絡(luò)設(shè)計中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計網(wǎng)絡(luò)架構(gòu)，制訂可靠的備份策略和快速恢復策略，保證網(wǎng)絡(luò)和系統(tǒng)具有故障自愈的能力，最大限度地支持各個系統(tǒng)的正常運行。</p><p><b>　　3：安全性</b></p><p>　　在當今這樣社會是一個信息社會的時代，信息的安全性將這接影響到企業(yè)的綜合效益。因此網(wǎng)絡(luò)的建設(shè)中安全性顯的尤為重要。因此，整個網(wǎng)絡(luò)必須保證萬無一失的安全性

70、，并對各個部門的信息要有嚴格分離保護的辦法，防止網(wǎng)絡(luò)黑客非法入侵。網(wǎng)絡(luò)系統(tǒng)應配備全面的病毒防治和安全保護功能。</p><p><b>　　4：易操作以管理性</b></p><p>　　在保證網(wǎng)絡(luò)各方面性能的同時，也要注意網(wǎng)絡(luò)管理的易操作﹑以管理性。網(wǎng)絡(luò)布線的設(shè)計要求便于管理和維護，當某條鏈路出現(xiàn)故障時，必須保證可以在主設(shè)備間或配線間內(nèi)重新配置。對于常用網(wǎng)絡(luò)設(shè)備的管

71、理要盡量做到使用圖形界面進行管理，這樣便于操作。</p><p><b>　　5：可擴展性</b></p><p>　　對于企業(yè)來說，發(fā)展迅速具有不可預料的特點。因此，要保證網(wǎng)絡(luò)具有較好的可擴張性。它包括IP地址的可擴展性﹑物理鏈路的可擴展性。</p><p><b>　　6：冗余性</b></p><

72、p>　　在網(wǎng)絡(luò)的規(guī)劃是要考慮具有適當?shù)娜哂喽?。軟硬件設(shè)備都應具有一定的冗余性，以提高網(wǎng)絡(luò)的運行效率（主要是總公司）。</p><p><b>　　7：容錯性</b></p><p>　　不能因某臺設(shè)備的故障而影響到整個主干網(wǎng)絡(luò)的正常運行；盡量做到任意一條鏈路的中斷不能使得主干網(wǎng)絡(luò)的任何部分中斷工作。</p><p>　　8：技術(shù)先進性和實

73、用性</p><p>　　保證滿足工廠運作的同時，又要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進性。在網(wǎng)絡(luò)設(shè)計中要把先進的技術(shù)與現(xiàn)有的成熟技術(shù)和標準結(jié)合起來，充分考慮到公司網(wǎng)絡(luò)應用的現(xiàn)狀和未來發(fā)展趨勢。</p><p><b>　　9：高性能</b></p><p>　　承載網(wǎng)絡(luò)性能是網(wǎng)絡(luò)通訊系統(tǒng)良好運行的基礎(chǔ)，設(shè)計中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，才能使網(wǎng)絡(luò)不成為

74、各項業(yè)務開展的瓶頸。</p><p><b>　　網(wǎng)絡(luò)總體設(shè)計</b></p><p>　　3.1 網(wǎng)絡(luò)總體拓撲圖</p><p>　　網(wǎng)絡(luò)拓撲的簡要介紹：</p><p>　　公司的網(wǎng)絡(luò)拓撲中R1表示Internet，R2是一個具有防火墻功能的路由器（處于總公司），R3是分公司路由器。SW1,SW2是總公司的匯聚層交換

75、機，SW3,SW4是總公司的接入層交換機，SW5是分公司的接入層交換機。PC1是外出移動的工作人員計算機，pc2是分公司工作人員的計算機，PC3、PC4、PC5、PC6、PC7分別是生產(chǎn)部、銷售部、市場部、人事部以及財務部的計算機。SR1是分公司的防火墻設(shè)施（使用的是Linux系統(tǒng)），SR2是總公司的文件存儲服務器，用于存儲公司內(nèi)的重要文件，SR3、SR4、R5、SR6、SR7、SR8分別是公司的電子郵件、FTP、公司內(nèi)的域名解析服務器

76、、WEB1、WEB2、AD、外網(wǎng)的域名解析服務器，SR9、SR10分別是Internet的DNS、WEB服務器。</p><p>　　考慮到總公司的實際需求（總公司辦公樓三座，員工住宿樓5座公司實際人數(shù)800人），因此在進行網(wǎng)絡(luò)設(shè)計是不僅要考慮二成的冗余，同時還要進行三層的冗余。在二層冗余建議使用思科的私有協(xié)議每VLAN生成樹協(xié)議，由于總共五個部門，不會因為廣播BPDU幀而影響網(wǎng)絡(luò)的正常運行，而且還可以充分利用現(xiàn)

77、有的網(wǎng)絡(luò)資源，防止單臺核心設(shè)備的負載太重而導致的網(wǎng)絡(luò)性能問題。在進行三層冗余時，我們建議采用兩臺Cisco Catalyst 3560（或使用49系列） 做熱備，同時使用Cisco 私有熱備份路由協(xié)議技術(shù)（HSRP）。Cisco Catalyst 35系列交換機是一種價格低廉，有較高轉(zhuǎn)發(fā)速率的三層交換機，同時還是CISCO生產(chǎn)線中適合做HSRP的交換機之一。HSRP是思科的私有協(xié)議，它的優(yōu)點是網(wǎng)絡(luò)的收斂速度快，能夠更好的使用網(wǎng)絡(luò)變化，

78、它可以根據(jù)需求配置成多組HSRP，實現(xiàn)網(wǎng)絡(luò)的冗余容錯等功能，這樣設(shè)計不但保證網(wǎng)絡(luò)的高可用性和穩(wěn)定性，還能夠充分利用現(xiàn)有設(shè)備的資源，以避免單臺核心設(shè)備的負載太重而導致的網(wǎng)絡(luò)性能問題。由于公司的MAIL、DNS服務器都很少進行配置的更改，我們建議使用高端、穩(wěn)定、具有良好安全性的LI</p><p>　　由于分公司也連接internet，那么內(nèi)部網(wǎng)絡(luò)安全問題仍然不能忽視。分公司人員只有40-50人，那么訪問intern

79、et占用的流量不多我們建議使用ISA來做分公司的網(wǎng)絡(luò)防火墻。這樣雖說能夠承載的網(wǎng)絡(luò)流量不如硬件防火墻，但能夠滿足分公司的現(xiàn)在以及未來的網(wǎng)絡(luò)需求。</p><p>　　對于外出的工作人員，他需要了解公司的相關(guān)情況，我們建議通過使用廉價、方便、快捷的easy VPN實現(xiàn)外出用戶的遠程撥入，同時這樣還能為公司工作人員實現(xiàn)家庭辦公提供有利的條件。</p><p>　　由于總公司與分公司相距較近，且

80、兩公司之間有大量的實時數(shù)據(jù)進行傳遞，同時從安全的角度進行考慮，總公司與分公司之間使用專線連接（協(xié)議選擇PPP協(xié)議）是最佳選擇。為保證網(wǎng)路的冗余性如果專線出現(xiàn)問題，我們建議分公司通過IPSEC VPN實現(xiàn)與總公司的網(wǎng)絡(luò)鏈接。</p><p>　　如上圖所示，整體網(wǎng)絡(luò)可以根據(jù)功能劃分為總部核心網(wǎng)絡(luò)、內(nèi)聯(lián)接入包括辦公網(wǎng)絡(luò)、數(shù)據(jù)中心、分公司接入等，各區(qū)域相對獨立，通過核心網(wǎng)絡(luò)進行數(shù)據(jù)的交互。各區(qū)域可以各自建立交換網(wǎng)絡(luò)、路

81、由接入、網(wǎng)絡(luò)安全體系，可以有獨立的安全策略、數(shù)據(jù)流量控制等個體的特性，而需要和其他區(qū)域的設(shè)備進行通訊的時候，則必須遵守核心網(wǎng)絡(luò)區(qū)的策略。</p><p>　　作為總公司，需要向分公司及總公司內(nèi)的員工進行軟件的安全，策略的發(fā)布等。如果通過管理員手動設(shè)置的方式進行相關(guān)操作，很不現(xiàn)實，通過域模型可以很方便的解決這個問題。因此我們建議在總公司設(shè)立一臺域控制器，以便于對公司員工的計算機進行統(tǒng)一的管理。</p>

82、<p>　　由于公司員工不僅要上公司內(nèi)部網(wǎng)絡(luò)，同時還要能夠進Internet網(wǎng)絡(luò)，而公司內(nèi)部有自己的DNS服務器，顯然使用DNS轉(zhuǎn)發(fā)器是一種方便快捷的技術(shù)。</p><p>　　3.2 網(wǎng)絡(luò)層次化設(shè)計</p><p>　　隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)上應用量的增長，分布式的網(wǎng)絡(luò)服務和交換已經(jīng)移至用戶級，由此形成了一個新的、更適應現(xiàn)代的高速大型網(wǎng)絡(luò)的分層設(shè)計模型。這種分級方法被稱為

83、“多層設(shè)計”。多層設(shè)計有以下一些好處：</p><p>　　1：多層設(shè)計有很好的容錯功能.</p><p>　　2：多層設(shè)計是模塊化的，網(wǎng)絡(luò)容量可隨著日后網(wǎng)絡(luò)節(jié)點的增加而不斷增大。</p><p>　　3：多層網(wǎng)絡(luò)有很大的確定性，因此在運行和擴展過程中進行故障查找和排除非常簡單。</p><p>　　4：多層網(wǎng)絡(luò)系統(tǒng)設(shè)計最有效地利用多種第3

84、層業(yè)務，包括分段﹑負載分擔和故障恢復等。</p><p>　　5：多層網(wǎng)絡(luò)中運用智能第3 層業(yè)務可以大大減少因配置不當或故障設(shè)備引起的一般問題。</p><p>　　6：多層模式使網(wǎng)絡(luò)的移植更為簡單易行，因為它保留了基于路由器和交換機的網(wǎng)絡(luò)原有的尋址方案，對以往的網(wǎng)絡(luò)有很好的兼容性。</p><p>　　7：多層結(jié)構(gòu)也能夠?qū)W(wǎng)絡(luò)的故障進行很好的隔離。通常pc及無法通

85、過連接多臺交換機實現(xiàn)冗余，但接入層交換機出現(xiàn)故障，連接此臺交換機的pc不能正常運行，其它交換機上的設(shè)備仍能正常工作。</p><p>　　8：多層設(shè)計有很好的冗余性。隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，網(wǎng)絡(luò)的可用性變的越來越重要。 由于分層設(shè)計的網(wǎng)絡(luò)每臺接入層交換機連接兩臺匯聚層交換機，每臺匯聚層交換及連接兩臺核心層交換機，借以確保路徑的冗余性。</p><p>　　針對實際情

86、況我們可以采用二層結(jié)構(gòu)模型。 二層結(jié)構(gòu)模型劃分核心層、接入層。每個層次完成不同的功能。</p><p><b>　　核心層</b></p><p>　　核心層作為整個網(wǎng)絡(luò)系統(tǒng)的核心。它的功能主要是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,核心層一直被認為是所有流量的最終承受者和匯聚者，所以對核心層的設(shè)計以及網(wǎng)絡(luò)設(shè)備的要求十分嚴格。核心層設(shè)備將占投資的主要部分，其主要功能是高速、可靠

87、的進行數(shù)據(jù)交換。</p><p><b>　　業(yè)務匯聚層</b></p><p>　　業(yè)務匯聚層重點任務通常是冗余能力、可靠性、為接入層交換機提供接口和高速的傳輸，同時進行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進行訪問控制（包括訪問控制列表、VLAN 路由等等）。匯聚層是多臺接入層交換機的匯聚點，它必須能夠處理來自接入層設(shè)備的所有通信量，并提供到核心層的上行鏈路，因此匯聚

88、層交換機與接入層交換機比較，需要更高的性能，更少的接口和更高的交換速率。</p><p><b>　　接入層</b></p><p>　　接入層主要任務是為終端用戶提供足量的接口。因此接入層交換機具有低成本和高端口密度特性。同時，接入層是最終用戶與網(wǎng)絡(luò)的接口，它應該提供即插即用的接口，同時應該非常易于使用和維護。主要是進行VLAN的劃分、與分布層的連接等等。</

89、p><p><b>　　3.3 核心層設(shè)計</b></p><p>　　核心交換機的作用是盡快地提供所有的區(qū)域間的數(shù)據(jù)交換。我們推薦使用兩臺Cisco Catalyst 3560交換機完成此項功能。兩臺3560交換機高性能、可靠性、可用性是我們主要考慮的因素。本區(qū)的安全性可以由邊界防火墻提供，如有需要在3560 上面可以部署安全策略，使得核心交換區(qū)的安全性進一步地增強。C

90、isco Catalyst 3560 系列憑借眾多智能服務將控制擴展到網(wǎng)絡(luò)邊緣，其中包括先進的服務質(zhì)量 (QoS)、可預測性能、高級安全性和全面的管理，同時它還支持圖形化配置。它提供帶集成永續(xù)性的出色控制，將永續(xù)性集成到硬件和軟件中，縮短了網(wǎng)絡(luò)停運時間。Cisco Catalyst 3560 系列的模塊化架構(gòu)、介質(zhì)靈活性和可擴展性減少了重復運營開支，提高了投資回報（ROI），從而在延長部署壽命的同時降低了擁有成本。</p>

91、<p><b>　　3.4 接入層設(shè)計</b></p><p>　　對于公司連接員工的接入層交換機采用思科的WS-C2960 以千兆以太鏈路和匯聚交換機相連接，并為用戶終端提供10/100M 自適應的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。辦公系統(tǒng)所需的各種服務器如WEB服務器、郵件服務器、FTP服務器、域控制器等組成服務器群，數(shù)據(jù)中心的多種金融系統(tǒng)應用服務器, 連

92、接到匯聚交換機的千兆模塊上面,因此，內(nèi)部的局域網(wǎng)是采用雙層結(jié)構(gòu)組建。對于連接服務器的接入層交換機，建議使用有較高吞吐量的交換機二層交換機來做接入層接入，以滿足當前以及未來的網(wǎng)絡(luò)需求，在這里我們建議使用SR2042系列交換機</p><p><b>　　3.5 內(nèi)聯(lián)接入</b></p><p>　　內(nèi)聯(lián)接入的作用是用于連接總公司和分公司之間的網(wǎng)絡(luò)。我們推薦總公司是用CI

93、SCO 2821路由器、分公司是用2811路由器。CISCO 2821自帶2個10/100/1000兆自適應端口，可以作為連接兩臺3560系列交換機是用，是用WIC模塊連接廣域網(wǎng)接口。與相似價位的前幾代思科路由器相比，Cisco 2800系列的性能提高了五倍、安全性和話音性能提高了十倍、具有全新內(nèi)嵌服務選項，且大大提高了插槽性能和密度，同時保持了對目前Cisco 1700系列和Cisco 2600系列中現(xiàn)有90多種模塊中大多數(shù)模塊的支持

94、，從而提供了極大的性能優(yōu)勢，它是當前CISCO公司唯一種價格低廉，功能完備的路由器，是做內(nèi)聯(lián)接入的首選路由器。</p><p>　　由于總部網(wǎng)絡(luò)和分部機房屬于公司的內(nèi)部網(wǎng)絡(luò)的一部分，因此可信度很高；接入時主要作用是生產(chǎn)運營系統(tǒng)的數(shù)據(jù)交換，查詢等等和管理以及監(jiān)控加上CISCO 2811，2821都有自帶的防火墻設(shè)備。總結(jié)以上的原因，內(nèi)聯(lián)路由器與核心交換網(wǎng)絡(luò)間不需要配置額外的防火墻。</p><p

95、><b>　　路由設(shè)計</b></p><p>　　4.1 路由協(xié)議選擇</p><p>　　為達到路由快速收斂、尋址以及方便網(wǎng)絡(luò)管理員管理的目的，我們建議采用動態(tài)路由協(xié)議。目前較好的動態(tài)路由協(xié)議是OSPF 協(xié)議和EIGRP 協(xié)議。OSPF 以協(xié)議標準化強，支持廠家多，受到廣泛應用，而EIGRP 協(xié)議由Cisco 公司發(fā)明，不便于未來網(wǎng)絡(luò)擴展，考慮到網(wǎng)絡(luò)的快速收

96、斂和擴展性、公開性、投資的保護等原因，我們設(shè)計采用OSPF路由協(xié)議和靜態(tài)路由相結(jié)合的路由方式。OSPF(Open Shortest Path First開放式最短路徑優(yōu)先)是一個內(nèi)部關(guān)協(xié)議(Interior Gateway Protocol,簡稱IGP)，用于在單一自治系統(tǒng)(autonomous system,AS)內(nèi)決策路由。OSPF的協(xié)議管理距離（AD）是110。</p><p><b>　　優(yōu)點：

97、 </b></p><p>　　1、OSPF收斂速度快：能夠在最短的時間內(nèi)將路由變化傳遞到整個治系統(tǒng)。 </p><p>　　2、提出區(qū)域（area）劃分的概念，將自治系統(tǒng)劃分為不同區(qū)域后，通過區(qū)域之間的對路由信息的摘要，大大減少了需傳遞的路由信息數(shù)量。也使得路由信息不會隨網(wǎng)絡(luò)規(guī)模的擴大而急劇膨脹。 </p><p>　　3、將協(xié)議自身的開銷控制到最小。

98、</p><p>　　4、良好的安全性，ospf支持基于接口的明文及md5 驗證。 </p><p>　　5、OSPF適應各種規(guī)模的網(wǎng)絡(luò)，最多可達數(shù)千臺。</p><p>　　6、OSPF 支持明文以及MD5加密驗證，并且提供等價的負載均衡功能，如果計算出到某個目的站有若干條費用相同的路由，OSPF 路由器會把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送

99、出去； </p><p>　　7、OSPF對于網(wǎng)絡(luò)的拓撲結(jié)構(gòu)變化可以迅速地做出反應，進行相應調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比，OSPF能夠劃分多區(qū)域，在對網(wǎng)絡(luò)拓撲變化的處理過程中僅需要很少的通信流量；</p><p>　　8、OSPF支持CIDR（無類型域間路由）地址和VLSM(可變長子網(wǎng))。</p><p>　　4.2 路由規(guī)劃拓撲

100、圖</p><p><b>　　簡要介紹：</b></p><p>　　首先在sw1、sw2上開啟路由功能，配置OSPF。由于總公司網(wǎng)絡(luò)中路由器數(shù)量較少，網(wǎng)絡(luò)拓撲相對簡單我們建議使用單區(qū)域的OSPF協(xié)議，同時在R2上配置靜態(tài)路由而后進行路由發(fā)布。由于分公司只有一臺路由器，不要做過復雜的配置，我這里我們建議使用靜態(tài)路由，避免網(wǎng)絡(luò)帶寬不必要占用。對于總公司與分公司的連接，

101、由于采用的是專線連接，而廣域網(wǎng)的協(xié)議只有PPP和HDLC兩種封裝協(xié)議，而HDLC是思科的私有封裝協(xié)議，不便于未來網(wǎng)絡(luò)的擴展，因此我們建議使用PPP協(xié)議進行網(wǎng)絡(luò)鏈接。</p><p>　　4.3 IP地址規(guī)劃</p><p>　　IP地址是用來標識網(wǎng)絡(luò)中的一個節(jié)點。IP 地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應，既要有效地利用地址空間，又要便于管理員手動配置以及ip地址的擴展性和靈活性，同時能

102、滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。</p><p>　　我們根據(jù)以下幾個原則來分配IP 地址：</p><p>　　唯一性：一個IP 網(wǎng)絡(luò)中不能有兩個主機采用相同的IP 地址。</p><p>　　簡單性：地址分配應簡單易于管理，降低網(wǎng)絡(luò)擴展的復雜性，簡化路由表的款項。</p><p>　　連續(xù)性：連續(xù)地址在層次

103、結(jié)構(gòu)網(wǎng)絡(luò)中易于進行路由總結(jié)(Route Summarization)，大大縮減路由表，提高路由算法的效率</p><p>　　可擴展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴展時能保證地址總結(jié)所需的連續(xù)性。</p><p>　　以管理、以維護性：由于網(wǎng)絡(luò)中需要啟用NAT技術(shù)，在進行網(wǎng)絡(luò)規(guī)劃是我們認為不必要考慮 ip地址浪費問題。我們著重考慮的應該是網(wǎng)絡(luò)的ip地址配置、子網(wǎng)掩碼配置的

104、方便、簡單、易操作等問題（我們盡可能的使用主網(wǎng)地址）。 </p><p><b>　　網(wǎng)絡(luò)安全解決方案</b></p><p>　　5.1 網(wǎng)絡(luò)邊界安全威脅分析</p><p>　　網(wǎng)絡(luò)的邊界隔離著不同功能或地域的多個網(wǎng)絡(luò)區(qū)域，由于職責和功能的不同，相連網(wǎng)絡(luò)的密級也不同，這樣的網(wǎng)絡(luò)直接相連，必然存在著安全風險，下面

105、我們將對公司網(wǎng)絡(luò)就網(wǎng)絡(luò)邊界問題做脆弱性和風險的分析。</p><p>　　公司網(wǎng)絡(luò)主要存在的邊界安全風險包括：</p><p>　　1:公司總網(wǎng)絡(luò)與各級單位的連接，可能遭到來自各地的越權(quán)訪問、</p><p>　　2:惡意攻擊和計算機病毒的入侵；</p><p>　　3：惡意軟件或從Internet 下載的黑客程序惡意攻擊內(nèi)部站點，致使網(wǎng)絡(luò)局

106、部或整體癱瘓；</p><p>　　4：網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。假如在外部和內(nèi)部網(wǎng)絡(luò)進行通信時，內(nèi)部網(wǎng)絡(luò)的機器安全就會受到威脅，同時也影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。</p><p>　　5:內(nèi)部的各個功能網(wǎng)絡(luò)通過骨干交換相互連接，這樣的話，重要的部門或者專網(wǎng)將遭到來自其他部門的越權(quán)訪問。這些越權(quán)訪問可能包括惡意的攻擊、誤操作等等，但是它們的后果都將導致重要信息的泄漏

107、或者是網(wǎng)絡(luò)的癱瘓。</p><p>　　5.2 網(wǎng)絡(luò)內(nèi)部安全威脅分析</p><p>　　公司內(nèi)部網(wǎng)絡(luò)的風險分析主要針對整個內(nèi)網(wǎng)的安全風險，主要表現(xiàn)為以下幾個方面：</p><p>　　1、內(nèi)部用戶的非授權(quán)訪問；內(nèi)部的資源也不是對任何的員工都開放的，也需要有相應的訪問權(quán)限。內(nèi)部用戶的非授權(quán)的訪問，更容易造成資源和重要信息的泄漏。</p><p&g

108、t;　　2、內(nèi)部用戶的誤操作；由于內(nèi)部用戶的計算機造作的水平參差不齊，對于應用軟件的理解也各不相同，如果一部分軟件沒有相應的對誤操作的防范措施，極容易給服務系統(tǒng)和其他主機造成危害。</p><p>　　3、內(nèi)部用戶的惡意攻擊；就網(wǎng)絡(luò)安全來說，據(jù)統(tǒng)計約有70％左右的攻擊來自內(nèi)部用戶，相比外部攻擊來說，內(nèi)部用戶具有更得天獨厚的優(yōu)勢，因此，對內(nèi)部用戶攻擊的防范也很重要。</p><p>　　4:

109、設(shè)備自身安全性也會直接關(guān)系到各種系統(tǒng)和各種網(wǎng)絡(luò)應用的正常運轉(zhuǎn)。例如，路由設(shè)備存在路由信息泄漏、交換機和路由器設(shè)備配置風險等。</p><p>　　5、重要服務器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒有及時的發(fā)現(xiàn)并且進行修復，將會為網(wǎng)絡(luò)的安全帶來很多不安定的因素。</p><p>　　6、重要服務器的當機或者重要數(shù)據(jù)的意外丟失，都將會造成內(nèi)部的業(yè)務無法正常運行。如斷電、硬盤損壞等問題。&

110、lt;/p><p>　　7、安全管理的困難，對于眾多的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備，安全策略的配置和安全事件管理的難度很大。</p><p>　　8：所謂系統(tǒng)的安全是指整個網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。目前恐怕沒有絕對安全的操作系統(tǒng)可以選擇。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺，并對操作系統(tǒng)進行安全配置。而且，必須加強登錄過程的認證（特別是在到達服務器主機之前的認證），確保用

111、戶的合法性；其次應該嚴格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。</p><p>　　5.3 管理中的安全威脅分析</p><p>　　管理是網(wǎng)絡(luò)中安全最最重要的部分。責權(quán)不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預警。</p>&