網(wǎng)絡(luò)設(shè)計(jì)畢業(yè)論文

1、<p><b>　　摘 要</b></p><p>　　本組網(wǎng)主要完成對(duì)**服裝設(shè)計(jì)有限公司的網(wǎng)絡(luò)設(shè)計(jì)、網(wǎng)絡(luò)解決方案及實(shí)施方案的統(tǒng)籌規(guī)劃與完整實(shí)施，直至項(xiàng)目結(jié)束。</p><p>　　論文主要介紹了**服裝設(shè)計(jì)有限公司的組網(wǎng)及所要完成組網(wǎng)的總過程。在本篇論文問中重點(diǎn)說明網(wǎng)絡(luò)的設(shè)計(jì)方案、難點(diǎn)技術(shù)、解決方案。</p><p>　　引言說

2、明**網(wǎng)絡(luò)建設(shè)原因、背景。</p><p>　　**網(wǎng)絡(luò)的設(shè)計(jì)需求，簡要介紹了**網(wǎng)絡(luò)的設(shè)計(jì)需求、節(jié)點(diǎn)數(shù)量及大概的組網(wǎng)思路。</p><p>　　網(wǎng)絡(luò)的解決方案：主要介紹網(wǎng)絡(luò)拓?fù)鋱D及網(wǎng)絡(luò)拓?fù)鋱D的優(yōu)點(diǎn)、性價(jià)比、能夠解決的問題、網(wǎng)絡(luò)的擴(kuò)展性等。</p><p>　　網(wǎng)絡(luò)實(shí)施方案：主要介紹項(xiàng)目機(jī)構(gòu)、人員分工及方案實(shí)施前的準(zhǔn)備工作。</p><p>

3、　　網(wǎng)絡(luò)配置：主要介紹網(wǎng)絡(luò)設(shè)備的基本配置及協(xié)議配置及其它配置。</p><p>　　網(wǎng)絡(luò)測(cè)試：主要介紹網(wǎng)絡(luò)的局部測(cè)試、整體測(cè)試情況。</p><p>　　關(guān)鍵詞：設(shè)計(jì)、解決、實(shí)施、組網(wǎng)</p><p><b>　　ABSTRACT</b></p><p>　　This network of bo gen clothing

4、 mainly complete design Co., LTD network design, network solutions and implement plan overall planning and implementation of the project ended, until complete.</p><p>　　Paper mainly introduced bo gen clothin

5、g design limited company to complete the network and the overall process of networking. In this paper the key that in network asked design scheme, difficulties technology, solutions.</p><p>　　1, preface that

6、 network construction bo gen causes, background.</p><p>　　2, bo gen network design requirements, briefly introduces bo gen network design requirements, the number of node, and probably networking ideas.</

7、p><p>　　Three, network solutions: mainly introduces the network topology and the network topology advantages, and cost-effective, able to solve problems and network expansibility, etc.</p><p>　　4,

8、network implementation plan: mainly introduces project organization, personnel division of labor and the preparing work before the implementation of the scheme.</p><p>　　5, network configuration: mainly intr

9、oduces basic configuration of network equipment and protocol and other configuration.</p><p>　　6, network test: mainly introduces the network of local test, the overall test conditions.</p><p>　

10、　Key words：Design, solve, implementation, networking</p><p><b>　　目 錄</b></p><p><b>　　目 錄1</b></p><p>　　思威網(wǎng)絡(luò)公司簡介4</p><p><b>　　引 言5<

11、;/b></p><p>　　第一章 項(xiàng)目需求分析6</p><p>　　1.1 項(xiàng)目背景6</p><p>　　1.2 需求分析6</p><p>　　第二章 網(wǎng)絡(luò)總體建設(shè)目標(biāo)8</p><p>　　2.1 網(wǎng)絡(luò)建設(shè)目標(biāo)8</p><p>　　2.2 網(wǎng)絡(luò)系統(tǒng)建設(shè)內(nèi)容及要求8

12、</p><p>　　2.3 網(wǎng)絡(luò)設(shè)計(jì)原則10</p><p>　　第三章 網(wǎng)絡(luò)總體設(shè)計(jì)11</p><p>　　3.1 網(wǎng)絡(luò)總體拓?fù)鋱D11</p><p>　　3.2 網(wǎng)絡(luò)層次化設(shè)計(jì)13</p><p>　　3.3 核心層設(shè)計(jì)14</p><p>　　3.4 接入層設(shè)計(jì)14<

13、/p><p>　　3.5 內(nèi)聯(lián)接入14</p><p>　　第四章 路由設(shè)計(jì)15</p><p>　　4.1 路由協(xié)議選擇15</p><p>　　4.2 路由規(guī)劃拓?fù)鋱D15</p><p>　　4.3 IP地址規(guī)劃16</p><p>　　第五章 網(wǎng)絡(luò)安全解決方案17</p>

14、;<p>　　5.1 網(wǎng)絡(luò)邊界安全威脅分析17</p><p>　　5.2 網(wǎng)絡(luò)內(nèi)部安全威脅分析18</p><p>　　5.3 管理中的安全威脅分析18</p><p>　　5.4 安全產(chǎn)品選型原則19</p><p>　　5.5 網(wǎng)絡(luò)常用技術(shù)介紹19</p><p>　　HSRP 協(xié)議19

15、</p><p><b>　　OSPF協(xié)議20</b></p><p>　　VLAN 技術(shù)21</p><p>　　Trunk 技術(shù)21</p><p>　　Spanning-Tree協(xié)議21</p><p><b>　　DHCP協(xié)議22</b></p>

16、<p><b>　　VPN技術(shù)23</b></p><p>　　第六章 產(chǎn)品簡介23</p><p>　　6.1 PIX 525防火墻23</p><p>　　6.2 Cisco 2800 系列集成多業(yè)務(wù)路由器24</p><p>　　6.3 Cisco Catalyst 3560 系列集成交換機(jī)

17、24</p><p>　　6.4 Cisco Catalyst 2960 系列集成交換機(jī)25</p><p>　　6.5 ISA防火墻26</p><p>　　6.6 操作系統(tǒng)26</p><p>　　6.7 網(wǎng)管軟件選擇27</p><p>　　第七章 設(shè)備清單及報(bào)價(jià)27</p><p&

18、gt;　　第八章 項(xiàng)目實(shí)施方案28</p><p>　　8.1 項(xiàng)目組織結(jié)構(gòu)28</p><p>　　8.2 項(xiàng)目人員分工28</p><p>　　8.3 項(xiàng)目實(shí)施前的準(zhǔn)備工作30</p><p>　　8.4 安裝前的場(chǎng)地準(zhǔn)備31</p><p>　　8.5 核心及各網(wǎng)點(diǎn)的安裝調(diào)試31</p>

19、<p>　　第九章 網(wǎng)絡(luò)測(cè)試32</p><p>　　9.1 網(wǎng)絡(luò)測(cè)試目的32</p><p>　　9.2 測(cè)試文檔33</p><p>　　9.2.1 網(wǎng)絡(luò)中間設(shè)備測(cè)試33</p><p>　　9.2.2 網(wǎng)絡(luò)終端設(shè)備測(cè)試34</p><p>　　第十章 網(wǎng)絡(luò)設(shè)備基本配置35</p>

20、;<p>　　10.1 網(wǎng)絡(luò)描述35</p><p>　　10.2 設(shè)備基本配置36</p><p>　　10.2.1 設(shè)備訪問36</p><p>　　10.2.2 基本配置格式37</p><p>　　第十一章 網(wǎng)絡(luò)設(shè)備的技術(shù)實(shí)施方案39</p><p>　　11.1 TRUNK配置39&

21、lt;/p><p>　　11.2 VTP配置39</p><p>　　11.3 VLAN配置41</p><p>　　11.4 STP配置42</p><p>　　11.5 HSRP配置43</p><p>　　11.6 OSPF配置44</p><p>　　11.7 默認(rèn)路由重發(fā)布45

22、</p><p>　　11.8 NAT詳細(xì)配置45</p><p>　　11.9 透明防火墻配置46</p><p>　　11.10 IPSEC VPN配置48</p><p>　　11.11 EASY VPN配置50</p><p>　　11.12 NAT-T配置53</p><p>

23、;　　11.13 輪訓(xùn)配置54</p><p>　　11.14 PPP配置54</p><p>　　11.15 DHCP配置55</p><p>　　11.16 訪問控制列表配置56</p><p>　　11.17 端口安全配置58</p><p>　　第十二章 項(xiàng)目測(cè)試59</p><

24、p>　　12.1查看物理連結(jié)、工作環(huán)境、網(wǎng)絡(luò)設(shè)備工作是否合格59</p><p>　　12.1.1 網(wǎng)絡(luò)中間設(shè)備測(cè)試59</p><p>　　12.1.2 網(wǎng)絡(luò)終端設(shè)備測(cè)試60</p><p>　　12.2 VLAN的測(cè)試61</p><p>　　12.3 trunk的測(cè)試61</p><p>　　12

25、.4 STP生成樹測(cè)試61</p><p>　　12.5 HSRP的測(cè)試62</p><p>　　12.5.1 show standby brief 看HSRP信息62</p><p>　　12.5.2 測(cè)試搶占主次交換機(jī)62</p><p>　　12.6 路由表驗(yàn)證63</p><p>　　12.7 DNS

26、測(cè)試63</p><p>　　12.8 DHCP測(cè)試64</p><p>　　12.9 MAIL測(cè)試64</p><p>　　12.9.1查看域名能否正常解析64</p><p>　　12.9.2 查看服務(wù)是否能夠正常啟動(dòng)，重啟，停止64</p><p>　　12.9.3 試收發(fā)一封郵件，看服務(wù)及配置是否正常

27、65</p><p>　　12.10 WEB測(cè)試65</p><p>　　12.11 FTP測(cè)試65</p><p>　　12.12 AD測(cè)試65</p><p>　　12.12.1 查看域名能否正常解析65</p><p>　　12.12.2 用PC機(jī)測(cè)試能否正常加入域66</p><

28、p>　　12.12.3 客戶機(jī)能否正常接受域的策略66</p><p>　　12.13 服務(wù)器測(cè)試66</p><p>　　12.13.1 文件服務(wù)器上RAID 5驗(yàn)證66</p><p>　　12.13.2 看其它服務(wù)器能否正常映射文件服務(wù)器67</p><p>　　12.14 文件備份測(cè)試67</p><

29、;p>　　12.14.1 查看文件備份的時(shí)間67</p><p>　　12.14.2 測(cè)試文件是否能夠正常的進(jìn)行備份67</p><p>　　12.15 NAT&ACL測(cè)試68</p><p>　　12.16 PPP測(cè)試68</p><p>　　12.17 透明防火墻測(cè)試68</p><p>　

30、　12.18 輪訓(xùn)測(cè)試68</p><p>　　12.19 VPN測(cè)試69</p><p>　　12.19.1 IPSEC VPN測(cè)試69</p><p>　　12.19.2 EASY VPN測(cè)試69</p><p>　　12.20 tunnel分割測(cè)試70</p><p>　　12.21 端口安全測(cè)試71

31、</p><p><b>　　致 謝72</b></p><p><b>　　思威網(wǎng)絡(luò)公司簡介</b></p><p>　　思威網(wǎng)絡(luò)股份有限公司成立于2002年，是一家從事網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)，法人代表郭亞明。公司位于許昌南湖經(jīng)濟(jì)開發(fā)區(qū)，南鄰高速公路，交通便利，總投資5000萬，注冊(cè)資金1500萬。公司本著“立足高新、追求完

32、美、持續(xù)改進(jìn)、滿足要求”的質(zhì)量方針面向社會(huì)。以“靠品質(zhì)生存，憑信心發(fā)展，以質(zhì)量競爭，那效果證明”為宗旨來接受客戶的考驗(yàn)。本著“奉獻(xiàn)愛心，服務(wù)社會(huì)”為根本。</p><p>　　思威公司現(xiàn)有員工120余人，其中CCIE 2人、CCNP 18人、HCIE 2人，HCTE 1人，是目前河南省最大的網(wǎng)絡(luò)設(shè)計(jì)公司。2010年公司實(shí)現(xiàn)年純收入2000多萬元。我們公司曾與中國聯(lián)通河南分公司、中國移動(dòng)河南分公司進(jìn)行精誠合作。&l

33、t;/p><p>　　思威網(wǎng)絡(luò)公司不僅實(shí)力巨強(qiáng)，而且不斷的對(duì)社會(huì)共享力量。2008年，思威公司組織公司員工向汶川災(zāi)區(qū)捐助價(jià)值300萬人民幣的救災(zāi)物質(zhì)。我們計(jì)劃在2013年前實(shí)現(xiàn)向社會(huì)捐助600萬的捐款目標(biāo)。今后我們思威公司仍將會(huì)以最能產(chǎn)生正面影響的方式來回饋社會(huì)。</p><p><b>　　2011.3</b></p><p>　　Think w

34、ei network company profile</p><p>　　Think wei network Co ltd., established in 2002, is engaged in the network planning and design, legal representative GuoYaMing. The company is located in south lake economi

35、c development zone, south xuchang adjacent highway, the traffic is convenient, with a total investment of 50 million, the registered capital of 15 million. The company in line with "based on high, the pursuit of per

36、fect, continuous improvement and meet the requirements of" quality policy faces the society. With "survival by qua</p><p>　　Think wei the company's existing employees more than 120 people, incl

37、uding the CCIE 2 people, CCNP 18 people, HCIE 2 people, HCTE 1 person, is currently the largest network design company in henan province. 2010 companies to achieve more than 2,000 million in net income. Our company has a

38、nd China unicom henan branch, China mobile henan branch for sincere cooperation.</p><p>　　Think not only power network company Wisconsin, strong and continuous Johnson to social sharing power. In 2008, the c

39、ompany organization company employees think willy to wenchuan 300 million RMB donate value of relief materials. We are planning to social donation by 2013 realize six million donation goals. In the future, we will still

40、think b&w with the most can produce positive ways to reward the society.</p><p><b>　　2011.3</b></p><p><b>　　引 言</b></p><p>　　21世紀(jì)是信息產(chǎn)業(yè)的時(shí)代，全球信息電子化的潮流勢(shì)不可擋

41、，是知識(shí)經(jīng)濟(jì)的時(shí)代，人們所要求的信息量也就會(huì)越來越大，計(jì)算機(jī)被廣泛應(yīng)用于商業(yè)、企業(yè)、政府部門、學(xué)校、家庭，給經(jīng)濟(jì)和社會(huì)生活帶來深刻的變革。隨著信息技術(shù)和互聯(lián)網(wǎng)的發(fā)展，信息化已經(jīng)滲透到人類社會(huì)的方方面面，并逐步改變著人們的工作、學(xué)習(xí)和生活方式。</p><p>　　隨著計(jì)算機(jī)技術(shù)的迅猛發(fā)展，特別是隨著網(wǎng)絡(luò)技術(shù)的出現(xiàn)標(biāo)志著信息時(shí)代已經(jīng)來臨。信息化浪潮、網(wǎng)絡(luò)革命不斷沖擊著社會(huì)的發(fā)展，人們逐漸意識(shí)到信息的重要意義，許多企

42、業(yè)和個(gè)人紛紛建立了自己的網(wǎng)站。在這種背景下，傳統(tǒng)的生活和工作模式正在受到重大的挑戰(zhàn)，人們已開始利用網(wǎng)絡(luò)和計(jì)算機(jī)學(xué)習(xí)和工作。做為一個(gè)始終站在時(shí)代前沿的服裝行業(yè)，只有作出新選擇、不斷學(xué)習(xí)、不斷適應(yīng)才能讓公司發(fā)展的更快、更好。</p><p>　　作為服裝設(shè)計(jì)的領(lǐng)頭企業(yè)，**公司始終站在時(shí)代的最前沿。2011年，**公司決定構(gòu)建內(nèi)部網(wǎng)絡(luò)，以實(shí)現(xiàn)與其他代理商、顧客、本公司工作人員等眾多人員的良好溝通。</p>

43、<p>　　籌劃**公司的內(nèi)部網(wǎng)絡(luò)需要要討論三個(gè)要素，無論是內(nèi)部網(wǎng)絡(luò)還是外聯(lián)接入，要較好地發(fā)揮公司內(nèi)部網(wǎng)絡(luò)的作用都要涉及三個(gè)要素：運(yùn)載基礎(chǔ)設(shè)施、運(yùn)載設(shè)施和運(yùn)載信息。</p><p>　　第一章 項(xiàng)目需求分析</p><p><b>　　1.1 項(xiàng)目背景</b></p><p>　　**服裝設(shè)計(jì)有限公司是一家注冊(cè)資金5000萬、集服

44、裝設(shè)計(jì)、服裝加工、服裝銷售與于一體的有限責(zé)任公司，公司法人代表李彥宏。隨著Internet的迅速發(fā)展，更多的人熱衷于通過網(wǎng)絡(luò)進(jìn)行網(wǎng)上購物。為適應(yīng)當(dāng)今的市場(chǎng)需求，**公司決定構(gòu)建內(nèi)部網(wǎng)絡(luò)，以實(shí)現(xiàn)與其他代理商、顧客、本公司工作人員等眾多人的良好溝通。為了保證構(gòu)建網(wǎng)絡(luò)的質(zhì)量、工期、成本，**公司網(wǎng)絡(luò)單列為項(xiàng)目，組織專業(yè)人員討論并編寫了招標(biāo)文件，從社會(huì)公開招標(biāo)，通過競爭來選擇有實(shí)力的系統(tǒng)集成公司對(duì)此次項(xiàng)目進(jìn)行實(shí)施</p><

45、p>　　本項(xiàng)目的目標(biāo)是：“建立一個(gè)設(shè)計(jì)規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴(kuò)展性與可用性并且具備可管理易維護(hù)的網(wǎng)絡(luò)及系統(tǒng)平臺(tái)，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率”。</p><p>　　本期工程項(xiàng)目完成后，網(wǎng)絡(luò)平臺(tái)總部內(nèi)有大型服務(wù)器提供服務(wù)，外接分支機(jī)構(gòu)網(wǎng)絡(luò)平臺(tái)的設(shè)計(jì)用戶節(jié)點(diǎn)數(shù)總部為1000或更多用戶分部地為10-50個(gè)用戶、少量的外出工作人員等人。要能夠?qū)崿F(xiàn)公司內(nèi)大型服

46、務(wù)器高效、穩(wěn)定的運(yùn)行，同時(shí)能夠?qū)崿F(xiàn)公司員工能夠方便、快捷的登錄公司內(nèi)部網(wǎng)站以及Internet。 </p><p><b>　　1.2 需求分析</b></p><p>　　滿足公司信息化的要求,為各類應(yīng)用系統(tǒng)提供方便、快捷的信息通路；具有良好的性能，能夠支持實(shí)時(shí)性的數(shù)據(jù)傳輸；能夠可靠運(yùn)行，具有較低的故障率和維護(hù)要求。提供網(wǎng)絡(luò)安全機(jī)制，滿足公司信息安全的要求，具有較高

47、的性價(jià)比，未來升級(jí)擴(kuò)展容易，保護(hù)用戶投資；同時(shí)要保證用戶使用簡單、維護(hù)容易，為用戶提供良好的售后服務(wù)。</p><p>　　本項(xiàng)目的網(wǎng)絡(luò)可以劃分總部和分部以及外出移動(dòng)的工作人員三部分構(gòu)成。</p><p>　　總部地點(diǎn)分為數(shù)據(jù)中心、核心交換區(qū)、服務(wù)器和普通員工接入等。數(shù)據(jù)中心作為工廠生產(chǎn)運(yùn)營系統(tǒng)（如ERP系統(tǒng)，人事考勤系統(tǒng)，財(cái)務(wù)計(jì)量系統(tǒng)等等）的核心數(shù)據(jù)的存放地，其性能、穩(wěn)定性、安全性、可靠

48、性的要求極高，在這里我們建議將其放在中心機(jī)房（中心機(jī)房室內(nèi)的溫度、空氣濕度、安全防護(hù)設(shè)施等各項(xiàng)性能指標(biāo)都要達(dá)到標(biāo)準(zhǔn)中心機(jī)房的性能指標(biāo)）、使用性能較好的思科交換機(jī)同時(shí)做二層和三層的冗余備份、傳輸介質(zhì)建議使用千兆以太網(wǎng)甚至光纖，同時(shí)使用與之相匹配的網(wǎng)絡(luò)防火墻；我們?cè)谶M(jìn)行網(wǎng)絡(luò)設(shè)計(jì)不僅要能夠保證其安全性的，同時(shí)還保證網(wǎng)絡(luò)的性能以及網(wǎng)絡(luò)運(yùn)行的可靠性，而核心交換區(qū)的功能是高速可靠地交換數(shù)據(jù)，因此該部分的設(shè)計(jì)應(yīng)考慮性能和可用性的平衡。作為外聯(lián)單位接入

49、區(qū)域，其安全性應(yīng)該是放在第一位，同時(shí)，生產(chǎn)運(yùn)營系統(tǒng)的運(yùn)行離不開網(wǎng)絡(luò)和數(shù)據(jù)中心的連接，適當(dāng)性的冗余是必須的技術(shù)。分部地點(diǎn)辦公網(wǎng)絡(luò)做為內(nèi)部互聯(lián)單位，可信度較高，因此其內(nèi)部網(wǎng)絡(luò)的可用性是首要考慮因素。為了能夠使外出的工作人員能夠安全的、廉價(jià)的訪問公司內(nèi)部服務(wù)器實(shí)現(xiàn)跨Internet辦公，顯然VPN使最佳選擇。對(duì)于外部的接入，我們建議通過easy VPN進(jìn)行撥號(hào)接入，以實(shí)現(xiàn)廉價(jià)、安全</p><p>　　以下是貴公司面臨

50、的問題：</p><p>　　1：**公司總部有銷售部、設(shè)計(jì)部、人事部、生產(chǎn)部、財(cái)務(wù)部以及其它工作人員，為提高網(wǎng)絡(luò)的安全性、防止網(wǎng)絡(luò)因單塊網(wǎng)卡故障引起的網(wǎng)絡(luò)問題，因此要進(jìn)行廣播域的范圍控制同時(shí)要防止網(wǎng)絡(luò)中環(huán)路的產(chǎn)生。</p><p>　　2：由于總公司與分公司之間有大量的數(shù)據(jù)進(jìn)行傳輸，總公司、分公司之間的數(shù)據(jù)傳輸?shù)陌踩?、可靠性、以及傳輸速率也是我們必須考慮的問題。</p>

51、<p>　　3、對(duì)于公司內(nèi)各部門對(duì)網(wǎng)絡(luò)的依存程度不同，我們要保證網(wǎng)絡(luò)中對(duì)網(wǎng)絡(luò)依靠程度較高部門的數(shù)據(jù)優(yōu)先、快速的進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)；</p><p>　　4：由于總公司承載這整個(gè)公司的運(yùn)行，因此總公司網(wǎng)絡(luò)的穩(wěn)定性、安全性是進(jìn)行網(wǎng)絡(luò)規(guī)劃面臨的重要問題。</p><p>　　5：考慮到公司網(wǎng)絡(luò)運(yùn)行的廉價(jià)性，要盡可能少的運(yùn)用公網(wǎng)IP地址的。</p><p>　　6：由于

52、總公司有自己的網(wǎng)絡(luò)服務(wù)器，服務(wù)器及操作系統(tǒng)的選擇也是該網(wǎng)絡(luò)面臨的重要問題（我們將根據(jù)貴公司建議及要求的進(jìn)行服務(wù)器選擇）。</p><p>　　7：由于公司有眾多的服務(wù)器，因此中心機(jī)房的室內(nèi)環(huán)境以及中心機(jī)房的網(wǎng)絡(luò)防護(hù)設(shè)施、電路的安全性都是必須考慮的問題。</p><p>　　8：由于總公司是公司的重要部門，總公司要具有一定的冗余、容錯(cuò)能力。</p><p>　　9：考

53、慮到公司構(gòu)建網(wǎng)絡(luò)的廉價(jià)性，我們要做到用傳輸速率較低的傳輸介質(zhì)承載較高的帶寬。</p><p>　　10．由于web服務(wù)器訪問人員較多，服務(wù)器的負(fù)載均衡也是必須考慮的問題。</p><p>　　11、由于公司的不斷的發(fā)展，因此網(wǎng)絡(luò)要具有良好的擴(kuò)展性（體現(xiàn)方式），以滿足未來網(wǎng)絡(luò)的需求。</p><p>　　12、對(duì)于后期的網(wǎng)絡(luò)管理員培訓(xùn)我們盡量會(huì)使用圖形化配置（如SDM

54、、cisco works、CAN等），以減少貴公司的網(wǎng)絡(luò)管理員學(xué)習(xí)難度等。</p><p>　　當(dāng)前業(yè)界的網(wǎng)絡(luò)管理范疇較廣，包括設(shè)備管理、資源管理、故障管理、性能管理、安全管理等等。在網(wǎng)絡(luò)規(guī)模相對(duì)較大的時(shí)候，合適的網(wǎng)管系統(tǒng)可以幫助客戶方便管理網(wǎng)絡(luò)內(nèi)的設(shè)備及運(yùn)行情況，提高網(wǎng)絡(luò)的運(yùn)行效率。</p><p>　　在服務(wù)器vlan中有windows2003平臺(tái)以及l(fā)inux平臺(tái)，搭建有dns服務(wù)器

55、實(shí)現(xiàn)域名解析，有www服務(wù)器，實(shí)現(xiàn)局域網(wǎng)絡(luò)內(nèi)部的信息服務(wù)，要求使用集群技術(shù)和raid-5技術(shù)以及ftp服務(wù)器，實(shí)現(xiàn)文檔的上傳和下載，要求采用配額。</p><p>　　對(duì)于網(wǎng)絡(luò)設(shè)備的管理我們建議將重要設(shè)備放入中心機(jī)房，這樣便于網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理、給予合理的運(yùn)行環(huán)境。公司的資源是公司的重要財(cái)富，我們將通過防火墻配置嚴(yán)格限制外部人員對(duì)公司重要服務(wù)器的訪問、同時(shí)我們會(huì)讓計(jì)算機(jī)在網(wǎng)絡(luò)運(yùn)行過程中做好每天的數(shù)據(jù)備份工作。&l

56、t;/p><p>　　第二章 網(wǎng)絡(luò)總體建設(shè)目標(biāo)</p><p>　　2.1 網(wǎng)絡(luò)建設(shè)目標(biāo)</p><p>　　以先進(jìn)、成熟的網(wǎng)絡(luò)應(yīng)用技術(shù)，設(shè)計(jì)和規(guī)劃**公司網(wǎng)絡(luò)系統(tǒng)；采用先進(jìn)的計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備和軟件，以及先進(jìn)的系統(tǒng)集成技術(shù)，構(gòu)建一個(gè)高效的辦公網(wǎng)絡(luò)。從實(shí)際出發(fā)，正確地規(guī)劃和設(shè)計(jì)的計(jì)算機(jī)網(wǎng)絡(luò)。為企業(yè)實(shí)現(xiàn)數(shù)據(jù)共享、資源共享，提供穩(wěn)定的信息交換和網(wǎng)絡(luò)系統(tǒng)服務(wù)平臺(tái)。</p&

57、gt;<p>　　此項(xiàng)系統(tǒng)網(wǎng)絡(luò)項(xiàng)目工程的建設(shè)目標(biāo)主要包括以下方面：</p><p>　　1.為公司的業(yè)務(wù)數(shù)據(jù)提供便捷的查詢服務(wù)。</p><p>　　2.搭建公司核心網(wǎng)絡(luò)及服務(wù)器,以實(shí)現(xiàn)生產(chǎn)、銷售等系統(tǒng)的高效運(yùn)行。各公司用戶能夠進(jìn)行資源共享，并能夠進(jìn)行上網(wǎng)查資料，電子郵件，對(duì)外發(fā)布網(wǎng)站等等。</p><p>　　3.確保企業(yè)內(nèi)網(wǎng)的安全性，為服務(wù)器和客戶

58、機(jī)提供安全可靠的網(wǎng)絡(luò)環(huán)境，按要求實(shí)現(xiàn)網(wǎng)絡(luò)安全的需求。</p><p>　　4.WEB服務(wù)器：公司在CNNIC處申請(qǐng)了域名以及對(duì)應(yīng)的固定IP，搭建公司門戶站點(diǎn)。同時(shí)公司有自己的內(nèi)網(wǎng)域名，發(fā)布公司動(dòng)態(tài)等信息。</p><p>　　5．按照“高效能、低成本”的要求，采用核心交換層、接入層的兩層網(wǎng)絡(luò)結(jié)構(gòu)，這樣易于維護(hù)，且具有較高的性價(jià)比。</p><p>　　6．要求計(jì)算機(jī)

59、網(wǎng)絡(luò)系統(tǒng)滿足系統(tǒng)集成的網(wǎng)絡(luò)平臺(tái)需求，并考慮對(duì)設(shè)備投資保護(hù)，保證未來15---20年內(nèi)的系統(tǒng)擴(kuò)展。以后如果公司收購其它離總公司較近的公司我們可以直接在總公司路由器上添加模塊，通過專用線路進(jìn)行連接。如果距離較遠(yuǎn)，我們可以通過IPSEC的VPN進(jìn)行鏈接。</p><p>　　7. 要對(duì)員工用戶安全、帳戶管理、用戶權(quán)限管理、網(wǎng)絡(luò)訪問控制等，并提供完善的日志功能。</p><p>　　8通過多種網(wǎng)絡(luò)

60、技術(shù)組建一個(gè)高效、穩(wěn)定、可靠、易管理、安全的企業(yè)網(wǎng)。</p><p>　　9 良好的售后服務(wù)支持。</p><p>　　2.2 網(wǎng)絡(luò)系統(tǒng)建設(shè)內(nèi)容及要求</p><p>　　根據(jù)公司中心機(jī)房的網(wǎng)絡(luò)情況，我們把整個(gè)網(wǎng)絡(luò)分為內(nèi)部交換網(wǎng)絡(luò)設(shè)計(jì)、網(wǎng)絡(luò)出口設(shè)計(jì)，網(wǎng)絡(luò)安全設(shè)計(jì)三大部分。對(duì)于內(nèi)部交換網(wǎng)絡(luò)我們采用分層設(shè)計(jì)。內(nèi)部交換網(wǎng)絡(luò)分成核心層和接入層兩大部分。公司數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)承

61、載著公司所有的關(guān)鍵核心業(yè)務(wù)，設(shè)計(jì)時(shí)，保證中心機(jī)房網(wǎng)絡(luò)的高可用性和穩(wěn)定性至關(guān)重要，故設(shè)計(jì)時(shí)中心路由交換機(jī)建議采用雙機(jī)熱備（HSRP），各分支交換機(jī)兩條上聯(lián)千兆線路分別上連到兩臺(tái)中心路由交換機(jī)上，構(gòu)成全路由交換的網(wǎng)絡(luò)；借助于跨骨干的VLAN 技術(shù)，使得對(duì)于網(wǎng)絡(luò)內(nèi)有關(guān)Server 的訪問變得更加安全有效。</p><p>　　對(duì)于總公司與分公司（兩者之間的距離較近）之間的通信我們采用專用的線路（使用廣域網(wǎng)連接的PPP協(xié)

62、議）進(jìn)行數(shù)據(jù)通信。這樣，不僅能夠滿足分公司大量數(shù)據(jù)的快速傳輸，同時(shí)還能夠保證數(shù)據(jù)的安全性。</p><p>　　對(duì)于外部用戶的撥入，我們通過easy VPN進(jìn)行。easy VPN是通過Internet建立的一種臨時(shí)的、安全的網(wǎng)絡(luò)鏈接，是外出移動(dòng)工作人員遠(yuǎn)程撥入公司內(nèi)部的最佳選擇。</p><p>　　對(duì)于邊界網(wǎng)絡(luò)接入網(wǎng)絡(luò)（與合作伙伴、分支機(jī)構(gòu)以及Internet 接入通稱為邊界網(wǎng)絡(luò)），網(wǎng)絡(luò)

63、的安全性將是一個(gè)需要考慮的非常重要的因素。所以確保在網(wǎng)絡(luò)的邊界處部署相應(yīng)的安全策略以防止黑客和各種惡意代碼的攻擊至關(guān)重要，同時(shí)邊界處的設(shè)備的冗余設(shè)計(jì)也是設(shè)計(jì)</p><p>　　考慮的一個(gè)重要因素，防止單點(diǎn)故障。對(duì)于服務(wù)器，采用RID5磁盤陣列，數(shù)據(jù)除第一次用完全備份后，以后每天做增量備份，備份的的服務(wù)器或設(shè)備單獨(dú)放置其他全安地點(diǎn)。</p><p>　　此次**公司的網(wǎng)絡(luò)建設(shè)將采用先進(jìn)的計(jì)

64、算機(jī)、網(wǎng)絡(luò)設(shè)備和軟件，以及先進(jìn)的系統(tǒng)集成技術(shù)和管理模式，實(shí)現(xiàn)一個(gè)高效的辦公網(wǎng)絡(luò)體系。我們保證：所以硬件必須是新產(chǎn)品，而且在質(zhì)量和性能上能提供可靠證明、集成商所提供的硬件設(shè)備應(yīng)符合國建有關(guān)標(biāo)準(zhǔn)及規(guī)定、系統(tǒng)采用TIA/EIA568A和568B以及其它相關(guān)布線標(biāo)準(zhǔn)實(shí)施、所有員工均能連到互聯(lián)網(wǎng)上、IP地址規(guī)劃要合理其次要滿足未來發(fā)展的需要、網(wǎng)絡(luò)技術(shù)采用高寬帶、高速度且簡單成熟的以太網(wǎng)交換技術(shù)、為了滿足設(shè)備的兼容性，路由交換應(yīng)該采用相同的設(shè)備。網(wǎng)

65、絡(luò)中的各類服務(wù)器設(shè)備和網(wǎng)絡(luò)設(shè)備以及各種操作系統(tǒng)和應(yīng)用軟件必須考慮技術(shù)上的先進(jìn)性，國內(nèi)外及各行業(yè)的通用性，并且要有良好的市場(chǎng)形象與售后技術(shù)支持，便于維護(hù)和升級(jí)。</p><p>　　系統(tǒng)測(cè)試及驗(yàn)收要求：1：在系統(tǒng)的整體安裝、調(diào)試完成和工程的施工結(jié)束后，必須按相應(yīng)的標(biāo)準(zhǔn)，提供測(cè)試方案對(duì)系統(tǒng)功能性、連通性等做綜合測(cè)試。2：建設(shè)方與施工方代表在場(chǎng)依據(jù)測(cè)試文檔和測(cè)試報(bào)告再綜合測(cè)試審核此工程建設(shè)情況，記錄結(jié)果后進(jìn)行工程初驗(yàn)總

66、結(jié)。3：要能夠保證公司的網(wǎng)絡(luò)管理員在自己的辦公司能夠登錄公司內(nèi)任意一臺(tái)網(wǎng)絡(luò)設(shè)備。4：要能夠通過我們提供的網(wǎng)管軟件測(cè)試公司的數(shù)據(jù)流量。5：為了設(shè)備的安全性，在進(jìn)行設(shè)備調(diào)試的時(shí)候，都需要給設(shè)備加上密碼，密碼由貴公司制定。6: 本項(xiàng)目所有網(wǎng)絡(luò)設(shè)備全部使用 CISCO的網(wǎng)絡(luò)設(shè)備。7：施工期間必須對(duì)用戶技術(shù)人員進(jìn)行必要的技術(shù)培訓(xùn)。</p><p>　　2.3 網(wǎng)絡(luò)設(shè)計(jì)原則</p><p>　　網(wǎng)絡(luò)設(shè)

67、計(jì)應(yīng)該遵循開放性和標(biāo)準(zhǔn)化原則、實(shí)用性與先進(jìn)性兼顧原則、可用性原則、高性能原則 、經(jīng)濟(jì)性原則 、可靠性原則、安全第一原則、適度的可擴(kuò)展性原則、充分利用現(xiàn)有資源原則、易管理性原則、易維護(hù)性原則、最佳的性能價(jià)格比原則、QoS保證等。</p><p>　　作為一家優(yōu)秀的系統(tǒng)集成商，向用戶提供的不僅僅是設(shè)備，而是整套的技術(shù)與服務(wù)。在方案設(shè)計(jì)時(shí)，我們將嚴(yán)格遵循以下設(shè)計(jì)原則：</p><p><

68、;b>　　1：可用性</b></p><p>　　構(gòu)建一個(gè)網(wǎng)絡(luò)，可用性是最基本的網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)。由于本網(wǎng)絡(luò)對(duì)數(shù)據(jù)的安全性要求較高，因此在網(wǎng)絡(luò)的總體設(shè)計(jì)時(shí)重點(diǎn)要考慮的是網(wǎng)絡(luò)本身的安全性﹑以及設(shè)備自身的安全性。</p><p><b>　　2：高可靠性</b></p><p>　　網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)

69、絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的備份策略和快速恢復(fù)策略，保證網(wǎng)絡(luò)和系統(tǒng)具有故障自愈的能力，最大限度地支持各個(gè)系統(tǒng)的正常運(yùn)行。</p><p><b>　　3：安全性</b></p><p>　　在當(dāng)今這樣社會(huì)是一個(gè)信息社會(huì)的時(shí)代，信息的安全性將這接影響到企業(yè)的綜合效益。因此網(wǎng)絡(luò)的建設(shè)中安全性顯的尤為重要。因此，整個(gè)網(wǎng)絡(luò)必須保證萬無一失的安全性

70、，并對(duì)各個(gè)部門的信息要有嚴(yán)格分離保護(hù)的辦法，防止網(wǎng)絡(luò)黑客非法入侵。網(wǎng)絡(luò)系統(tǒng)應(yīng)配備全面的病毒防治和安全保護(hù)功能。</p><p><b>　　4：易操作以管理性</b></p><p>　　在保證網(wǎng)絡(luò)各方面性能的同時(shí)，也要注意網(wǎng)絡(luò)管理的易操作﹑以管理性。網(wǎng)絡(luò)布線的設(shè)計(jì)要求便于管理和維護(hù)，當(dāng)某條鏈路出現(xiàn)故障時(shí)，必須保證可以在主設(shè)備間或配線間內(nèi)重新配置。對(duì)于常用網(wǎng)絡(luò)設(shè)備的管

71、理要盡量做到使用圖形界面進(jìn)行管理，這樣便于操作。</p><p><b>　　5：可擴(kuò)展性</b></p><p>　　對(duì)于企業(yè)來說，發(fā)展迅速具有不可預(yù)料的特點(diǎn)。因此，要保證網(wǎng)絡(luò)具有較好的可擴(kuò)張性。它包括IP地址的可擴(kuò)展性﹑物理鏈路的可擴(kuò)展性。</p><p><b>　　6：冗余性</b></p><

72、p>　　在網(wǎng)絡(luò)的規(guī)劃是要考慮具有適當(dāng)?shù)娜哂喽?。軟硬件設(shè)備都應(yīng)具有一定的冗余性，以提高網(wǎng)絡(luò)的運(yùn)行效率（主要是總公司）。</p><p><b>　　7：容錯(cuò)性</b></p><p>　　不能因某臺(tái)設(shè)備的故障而影響到整個(gè)主干網(wǎng)絡(luò)的正常運(yùn)行；盡量做到任意一條鏈路的中斷不能使得主干網(wǎng)絡(luò)的任何部分中斷工作。</p><p>　　8：技術(shù)先進(jìn)性和實(shí)

73、用性</p><p>　　保證滿足工廠運(yùn)作的同時(shí)，又要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來，充分考慮到公司網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來發(fā)展趨勢(shì)。</p><p><b>　　9：高性能</b></p><p>　　承載網(wǎng)絡(luò)性能是網(wǎng)絡(luò)通訊系統(tǒng)良好運(yùn)行的基礎(chǔ)，設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，才能使網(wǎng)絡(luò)不成為

74、各項(xiàng)業(yè)務(wù)開展的瓶頸。</p><p><b>　　網(wǎng)絡(luò)總體設(shè)計(jì)</b></p><p>　　3.1 網(wǎng)絡(luò)總體拓?fù)鋱D</p><p>　　網(wǎng)絡(luò)拓?fù)涞暮喴榻B：</p><p>　　公司的網(wǎng)絡(luò)拓?fù)渲蠷1表示Internet，R2是一個(gè)具有防火墻功能的路由器（處于總公司），R3是分公司路由器。SW1,SW2是總公司的匯聚層交換

75、機(jī)，SW3,SW4是總公司的接入層交換機(jī)，SW5是分公司的接入層交換機(jī)。PC1是外出移動(dòng)的工作人員計(jì)算機(jī)，pc2是分公司工作人員的計(jì)算機(jī)，PC3、PC4、PC5、PC6、PC7分別是生產(chǎn)部、銷售部、市場(chǎng)部、人事部以及財(cái)務(wù)部的計(jì)算機(jī)。SR1是分公司的防火墻設(shè)施（使用的是Linux系統(tǒng)），SR2是總公司的文件存儲(chǔ)服務(wù)器，用于存儲(chǔ)公司內(nèi)的重要文件，SR3、SR4、R5、SR6、SR7、SR8分別是公司的電子郵件、FTP、公司內(nèi)的域名解析服務(wù)器

76、、WEB1、WEB2、AD、外網(wǎng)的域名解析服務(wù)器，SR9、SR10分別是Internet的DNS、WEB服務(wù)器。</p><p>　　考慮到總公司的實(shí)際需求（總公司辦公樓三座，員工住宿樓5座公司實(shí)際人數(shù)800人），因此在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)是不僅要考慮二成的冗余，同時(shí)還要進(jìn)行三層的冗余。在二層冗余建議使用思科的私有協(xié)議每VLAN生成樹協(xié)議，由于總共五個(gè)部門，不會(huì)因?yàn)閺V播BPDU幀而影響網(wǎng)絡(luò)的正常運(yùn)行，而且還可以充分利用現(xiàn)

77、有的網(wǎng)絡(luò)資源，防止單臺(tái)核心設(shè)備的負(fù)載太重而導(dǎo)致的網(wǎng)絡(luò)性能問題。在進(jìn)行三層冗余時(shí)，我們建議采用兩臺(tái)Cisco Catalyst 3560（或使用49系列） 做熱備，同時(shí)使用Cisco 私有熱備份路由協(xié)議技術(shù)（HSRP）。Cisco Catalyst 35系列交換機(jī)是一種價(jià)格低廉，有較高轉(zhuǎn)發(fā)速率的三層交換機(jī)，同時(shí)還是CISCO生產(chǎn)線中適合做HSRP的交換機(jī)之一。HSRP是思科的私有協(xié)議，它的優(yōu)點(diǎn)是網(wǎng)絡(luò)的收斂速度快，能夠更好的使用網(wǎng)絡(luò)變化，

78、它可以根據(jù)需求配置成多組HSRP，實(shí)現(xiàn)網(wǎng)絡(luò)的冗余容錯(cuò)等功能，這樣設(shè)計(jì)不但保證網(wǎng)絡(luò)的高可用性和穩(wěn)定性，還能夠充分利用現(xiàn)有設(shè)備的資源，以避免單臺(tái)核心設(shè)備的負(fù)載太重而導(dǎo)致的網(wǎng)絡(luò)性能問題。由于公司的MAIL、DNS服務(wù)器都很少進(jìn)行配置的更改，我們建議使用高端、穩(wěn)定、具有良好安全性的LI</p><p>　　由于分公司也連接internet，那么內(nèi)部網(wǎng)絡(luò)安全問題仍然不能忽視。分公司人員只有40-50人，那么訪問intern

79、et占用的流量不多我們建議使用ISA來做分公司的網(wǎng)絡(luò)防火墻。這樣雖說能夠承載的網(wǎng)絡(luò)流量不如硬件防火墻，但能夠滿足分公司的現(xiàn)在以及未來的網(wǎng)絡(luò)需求。</p><p>　　對(duì)于外出的工作人員，他需要了解公司的相關(guān)情況，我們建議通過使用廉價(jià)、方便、快捷的easy VPN實(shí)現(xiàn)外出用戶的遠(yuǎn)程撥入，同時(shí)這樣還能為公司工作人員實(shí)現(xiàn)家庭辦公提供有利的條件。</p><p>　　由于總公司與分公司相距較近，且

80、兩公司之間有大量的實(shí)時(shí)數(shù)據(jù)進(jìn)行傳遞，同時(shí)從安全的角度進(jìn)行考慮，總公司與分公司之間使用專線連接（協(xié)議選擇PPP協(xié)議）是最佳選擇。為保證網(wǎng)路的冗余性如果專線出現(xiàn)問題，我們建議分公司通過IPSEC VPN實(shí)現(xiàn)與總公司的網(wǎng)絡(luò)鏈接。</p><p>　　如上圖所示，整體網(wǎng)絡(luò)可以根據(jù)功能劃分為總部核心網(wǎng)絡(luò)、內(nèi)聯(lián)接入包括辦公網(wǎng)絡(luò)、數(shù)據(jù)中心、分公司接入等，各區(qū)域相對(duì)獨(dú)立，通過核心網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的交互。各區(qū)域可以各自建立交換網(wǎng)絡(luò)、路

81、由接入、網(wǎng)絡(luò)安全體系，可以有獨(dú)立的安全策略、數(shù)據(jù)流量控制等個(gè)體的特性，而需要和其他區(qū)域的設(shè)備進(jìn)行通訊的時(shí)候，則必須遵守核心網(wǎng)絡(luò)區(qū)的策略。</p><p>　　作為總公司，需要向分公司及總公司內(nèi)的員工進(jìn)行軟件的安全，策略的發(fā)布等。如果通過管理員手動(dòng)設(shè)置的方式進(jìn)行相關(guān)操作，很不現(xiàn)實(shí)，通過域模型可以很方便的解決這個(gè)問題。因此我們建議在總公司設(shè)立一臺(tái)域控制器，以便于對(duì)公司員工的計(jì)算機(jī)進(jìn)行統(tǒng)一的管理。</p>

82、<p>　　由于公司員工不僅要上公司內(nèi)部網(wǎng)絡(luò)，同時(shí)還要能夠進(jìn)Internet網(wǎng)絡(luò)，而公司內(nèi)部有自己的DNS服務(wù)器，顯然使用DNS轉(zhuǎn)發(fā)器是一種方便快捷的技術(shù)。</p><p>　　3.2 網(wǎng)絡(luò)層次化設(shè)計(jì)</p><p>　　隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長，分布式的網(wǎng)絡(luò)服務(wù)和交換已經(jīng)移至用戶級(jí)，由此形成了一個(gè)新的、更適應(yīng)現(xiàn)代的高速大型網(wǎng)絡(luò)的分層設(shè)計(jì)模型。這種分級(jí)方法被稱為

83、“多層設(shè)計(jì)”。多層設(shè)計(jì)有以下一些好處：</p><p>　　1：多層設(shè)計(jì)有很好的容錯(cuò)功能.</p><p>　　2：多層設(shè)計(jì)是模塊化的，網(wǎng)絡(luò)容量可隨著日后網(wǎng)絡(luò)節(jié)點(diǎn)的增加而不斷增大。</p><p>　　3：多層網(wǎng)絡(luò)有很大的確定性，因此在運(yùn)行和擴(kuò)展過程中進(jìn)行故障查找和排除非常簡單。</p><p>　　4：多層網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)最有效地利用多種第3

84、層業(yè)務(wù)，包括分段﹑負(fù)載分擔(dān)和故障恢復(fù)等。</p><p>　　5：多層網(wǎng)絡(luò)中運(yùn)用智能第3 層業(yè)務(wù)可以大大減少因配置不當(dāng)或故障設(shè)備引起的一般問題。</p><p>　　6：多層模式使網(wǎng)絡(luò)的移植更為簡單易行，因?yàn)樗Ａ袅嘶诼酚善骱徒粨Q機(jī)的網(wǎng)絡(luò)原有的尋址方案，對(duì)以往的網(wǎng)絡(luò)有很好的兼容性。</p><p>　　7：多層結(jié)構(gòu)也能夠?qū)W(wǎng)絡(luò)的故障進(jìn)行很好的隔離。通常pc及無法通

85、過連接多臺(tái)交換機(jī)實(shí)現(xiàn)冗余，但接入層交換機(jī)出現(xiàn)故障，連接此臺(tái)交換機(jī)的pc不能正常運(yùn)行，其它交換機(jī)上的設(shè)備仍能正常工作。</p><p>　　8：多層設(shè)計(jì)有很好的冗余性。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)的可用性變的越來越重要。 由于分層設(shè)計(jì)的網(wǎng)絡(luò)每臺(tái)接入層交換機(jī)連接兩臺(tái)匯聚層交換機(jī)，每臺(tái)匯聚層交換及連接兩臺(tái)核心層交換機(jī)，借以確保路徑的冗余性。</p><p>　　針對(duì)實(shí)際情

86、況我們可以采用二層結(jié)構(gòu)模型。 二層結(jié)構(gòu)模型劃分核心層、接入層。每個(gè)層次完成不同的功能。</p><p><b>　　核心層</b></p><p>　　核心層作為整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心。它的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，所以對(duì)核心層的設(shè)計(jì)以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格。核心層設(shè)備將占投資的主要部分，其主要功能是高速、可靠

87、的進(jìn)行數(shù)據(jù)交換。</p><p><b>　　業(yè)務(wù)匯聚層</b></p><p>　　業(yè)務(wù)匯聚層重點(diǎn)任務(wù)通常是冗余能力、可靠性、為接入層交換機(jī)提供接口和高速的傳輸，同時(shí)進(jìn)行接入層的數(shù)據(jù)流量匯聚，并對(duì)數(shù)據(jù)流量進(jìn)行訪問控制（包括訪問控制列表、VLAN 路由等等）。匯聚層是多臺(tái)接入層交換機(jī)的匯聚點(diǎn)，它必須能夠處理來自接入層設(shè)備的所有通信量，并提供到核心層的上行鏈路，因此匯聚

88、層交換機(jī)與接入層交換機(jī)比較，需要更高的性能，更少的接口和更高的交換速率。</p><p><b>　　接入層</b></p><p>　　接入層主要任務(wù)是為終端用戶提供足量的接口。因此接入層交換機(jī)具有低成本和高端口密度特性。同時(shí)，接入層是最終用戶與網(wǎng)絡(luò)的接口，它應(yīng)該提供即插即用的接口，同時(shí)應(yīng)該非常易于使用和維護(hù)。主要是進(jìn)行VLAN的劃分、與分布層的連接等等。</

89、p><p><b>　　3.3 核心層設(shè)計(jì)</b></p><p>　　核心交換機(jī)的作用是盡快地提供所有的區(qū)域間的數(shù)據(jù)交換。我們推薦使用兩臺(tái)Cisco Catalyst 3560交換機(jī)完成此項(xiàng)功能。兩臺(tái)3560交換機(jī)高性能、可靠性、可用性是我們主要考慮的因素。本區(qū)的安全性可以由邊界防火墻提供，如有需要在3560 上面可以部署安全策略，使得核心交換區(qū)的安全性進(jìn)一步地增強(qiáng)。C

90、isco Catalyst 3560 系列憑借眾多智能服務(wù)將控制擴(kuò)展到網(wǎng)絡(luò)邊緣，其中包括先進(jìn)的服務(wù)質(zhì)量 (QoS)、可預(yù)測(cè)性能、高級(jí)安全性和全面的管理，同時(shí)它還支持圖形化配置。它提供帶集成永續(xù)性的出色控制，將永續(xù)性集成到硬件和軟件中，縮短了網(wǎng)絡(luò)停運(yùn)時(shí)間。Cisco Catalyst 3560 系列的模塊化架構(gòu)、介質(zhì)靈活性和可擴(kuò)展性減少了重復(fù)運(yùn)營開支，提高了投資回報(bào)（ROI），從而在延長部署壽命的同時(shí)降低了擁有成本。</p>

91、<p><b>　　3.4 接入層設(shè)計(jì)</b></p><p>　　對(duì)于公司連接員工的接入層交換機(jī)采用思科的WS-C2960 以千兆以太鏈路和匯聚交換機(jī)相連接，并為用戶終端提供10/100M 自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。辦公系統(tǒng)所需的各種服務(wù)器如WEB服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、域控制器等組成服務(wù)器群，數(shù)據(jù)中心的多種金融系統(tǒng)應(yīng)用服務(wù)器, 連

92、接到匯聚交換機(jī)的千兆模塊上面,因此，內(nèi)部的局域網(wǎng)是采用雙層結(jié)構(gòu)組建。對(duì)于連接服務(wù)器的接入層交換機(jī)，建議使用有較高吞吐量的交換機(jī)二層交換機(jī)來做接入層接入，以滿足當(dāng)前以及未來的網(wǎng)絡(luò)需求，在這里我們建議使用SR2042系列交換機(jī)</p><p><b>　　3.5 內(nèi)聯(lián)接入</b></p><p>　　內(nèi)聯(lián)接入的作用是用于連接總公司和分公司之間的網(wǎng)絡(luò)。我們推薦總公司是用CI

93、SCO 2821路由器、分公司是用2811路由器。CISCO 2821自帶2個(gè)10/100/1000兆自適應(yīng)端口，可以作為連接兩臺(tái)3560系列交換機(jī)是用，是用WIC模塊連接廣域網(wǎng)接口。與相似價(jià)位的前幾代思科路由器相比，Cisco 2800系列的性能提高了五倍、安全性和話音性能提高了十倍、具有全新內(nèi)嵌服務(wù)選項(xiàng)，且大大提高了插槽性能和密度，同時(shí)保持了對(duì)目前Cisco 1700系列和Cisco 2600系列中現(xiàn)有90多種模塊中大多數(shù)模塊的支持

94、，從而提供了極大的性能優(yōu)勢(shì)，它是當(dāng)前CISCO公司唯一種價(jià)格低廉，功能完備的路由器，是做內(nèi)聯(lián)接入的首選路由器。</p><p>　　由于總部網(wǎng)絡(luò)和分部機(jī)房屬于公司的內(nèi)部網(wǎng)絡(luò)的一部分，因此可信度很高；接入時(shí)主要作用是生產(chǎn)運(yùn)營系統(tǒng)的數(shù)據(jù)交換，查詢等等和管理以及監(jiān)控加上CISCO 2811，2821都有自帶的防火墻設(shè)備?？偨Y(jié)以上的原因，內(nèi)聯(lián)路由器與核心交換網(wǎng)絡(luò)間不需要配置額外的防火墻。</p><p

95、><b>　　路由設(shè)計(jì)</b></p><p>　　4.1 路由協(xié)議選擇</p><p>　　為達(dá)到路由快速收斂、尋址以及方便網(wǎng)絡(luò)管理員管理的目的，我們建議采用動(dòng)態(tài)路由協(xié)議。目前較好的動(dòng)態(tài)路由協(xié)議是OSPF 協(xié)議和EIGRP 協(xié)議。OSPF 以協(xié)議標(biāo)準(zhǔn)化強(qiáng)，支持廠家多，受到廣泛應(yīng)用，而EIGRP 協(xié)議由Cisco 公司發(fā)明，不便于未來網(wǎng)絡(luò)擴(kuò)展，考慮到網(wǎng)絡(luò)的快速收

96、斂和擴(kuò)展性、公開性、投資的保護(hù)等原因，我們?cè)O(shè)計(jì)采用OSPF路由協(xié)議和靜態(tài)路由相結(jié)合的路由方式。OSPF(Open Shortest Path First開放式最短路徑優(yōu)先)是一個(gè)內(nèi)部關(guān)協(xié)議(Interior Gateway Protocol,簡稱IGP)，用于在單一自治系統(tǒng)(autonomous system,AS)內(nèi)決策路由。OSPF的協(xié)議管理距離（AD）是110。</p><p><b>　　優(yōu)點(diǎn)：

97、 </b></p><p>　　1、OSPF收斂速度快：能夠在最短的時(shí)間內(nèi)將路由變化傳遞到整個(gè)治系統(tǒng)。 </p><p>　　2、提出區(qū)域（area）劃分的概念，將自治系統(tǒng)劃分為不同區(qū)域后，通過區(qū)域之間的對(duì)路由信息的摘要，大大減少了需傳遞的路由信息數(shù)量。也使得路由信息不會(huì)隨網(wǎng)絡(luò)規(guī)模的擴(kuò)大而急劇膨脹。 </p><p>　　3、將協(xié)議自身的開銷控制到最小。

98、</p><p>　　4、良好的安全性，ospf支持基于接口的明文及md5 驗(yàn)證。 </p><p>　　5、OSPF適應(yīng)各種規(guī)模的網(wǎng)絡(luò)，最多可達(dá)數(shù)千臺(tái)。</p><p>　　6、OSPF 支持明文以及MD5加密驗(yàn)證，并且提供等價(jià)的負(fù)載均衡功能，如果計(jì)算出到某個(gè)目的站有若干條費(fèi)用相同的路由，OSPF 路由器會(huì)把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送

99、出去； </p><p>　　7、OSPF對(duì)于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變化可以迅速地做出反應(yīng)，進(jìn)行相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比，OSPF能夠劃分多區(qū)域，在對(duì)網(wǎng)絡(luò)拓?fù)渥兓奶幚磉^程中僅需要很少的通信流量；</p><p>　　8、OSPF支持CIDR（無類型域間路由）地址和VLSM(可變長子網(wǎng))。</p><p>　　4.2 路由規(guī)劃拓?fù)?/p>

100、圖</p><p><b>　　簡要介紹：</b></p><p>　　首先在sw1、sw2上開啟路由功能，配置OSPF。由于總公司網(wǎng)絡(luò)中路由器數(shù)量較少，網(wǎng)絡(luò)拓?fù)湎鄬?duì)簡單我們建議使用單區(qū)域的OSPF協(xié)議，同時(shí)在R2上配置靜態(tài)路由而后進(jìn)行路由發(fā)布。由于分公司只有一臺(tái)路由器，不要做過復(fù)雜的配置，我這里我們建議使用靜態(tài)路由，避免網(wǎng)絡(luò)帶寬不必要占用。對(duì)于總公司與分公司的連接，

101、由于采用的是專線連接，而廣域網(wǎng)的協(xié)議只有PPP和HDLC兩種封裝協(xié)議，而HDLC是思科的私有封裝協(xié)議，不便于未來網(wǎng)絡(luò)的擴(kuò)展，因此我們建議使用PPP協(xié)議進(jìn)行網(wǎng)絡(luò)鏈接。</p><p>　　4.3 IP地址規(guī)劃</p><p>　　IP地址是用來標(biāo)識(shí)網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)。IP 地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要便于管理員手動(dòng)配置以及ip地址的擴(kuò)展性和靈活性，同時(shí)能

102、滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。</p><p>　　我們根據(jù)以下幾個(gè)原則來分配IP 地址：</p><p>　　唯一性：一個(gè)IP 網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP 地址。</p><p>　　簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表的款項(xiàng)。</p><p>　　連續(xù)性：連續(xù)地址在層次

103、結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路由總結(jié)(Route Summarization)，大大縮減路由表，提高路由算法的效率</p><p>　　可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址總結(jié)所需的連續(xù)性。</p><p>　　以管理、以維護(hù)性：由于網(wǎng)絡(luò)中需要啟用NAT技術(shù)，在進(jìn)行網(wǎng)絡(luò)規(guī)劃是我們認(rèn)為不必要考慮 ip地址浪費(fèi)問題。我們著重考慮的應(yīng)該是網(wǎng)絡(luò)的ip地址配置、子網(wǎng)掩碼配置的

104、方便、簡單、易操作等問題（我們盡可能的使用主網(wǎng)地址）。 </p><p><b>　　網(wǎng)絡(luò)安全解決方案</b></p><p>　　5.1 網(wǎng)絡(luò)邊界安全威脅分析</p><p>　　網(wǎng)絡(luò)的邊界隔離著不同功能或地域的多個(gè)網(wǎng)絡(luò)區(qū)域，由于職責(zé)和功能的不同，相連網(wǎng)絡(luò)的密級(jí)也不同，這樣的網(wǎng)絡(luò)直接相連，必然存在著安全風(fēng)險(xiǎn)，下面

105、我們將對(duì)公司網(wǎng)絡(luò)就網(wǎng)絡(luò)邊界問題做脆弱性和風(fēng)險(xiǎn)的分析。</p><p>　　公司網(wǎng)絡(luò)主要存在的邊界安全風(fēng)險(xiǎn)包括：</p><p>　　1:公司總網(wǎng)絡(luò)與各級(jí)單位的連接，可能遭到來自各地的越權(quán)訪問、</p><p>　　2:惡意攻擊和計(jì)算機(jī)病毒的入侵；</p><p>　　3：惡意軟件或從Internet 下載的黑客程序惡意攻擊內(nèi)部站點(diǎn)，致使網(wǎng)絡(luò)局

106、部或整體癱瘓；</p><p>　　4：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。假如在外部和內(nèi)部網(wǎng)絡(luò)進(jìn)行通信時(shí)，內(nèi)部網(wǎng)絡(luò)的機(jī)器安全就會(huì)受到威脅，同時(shí)也影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。</p><p>　　5:內(nèi)部的各個(gè)功能網(wǎng)絡(luò)通過骨干交換相互連接，這樣的話，重要的部門或者專網(wǎng)將遭到來自其他部門的越權(quán)訪問。這些越權(quán)訪問可能包括惡意的攻擊、誤操作等等，但是它們的后果都將導(dǎo)致重要信息的泄漏

107、或者是網(wǎng)絡(luò)的癱瘓。</p><p>　　5.2 網(wǎng)絡(luò)內(nèi)部安全威脅分析</p><p>　　公司內(nèi)部網(wǎng)絡(luò)的風(fēng)險(xiǎn)分析主要針對(duì)整個(gè)內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)，主要表現(xiàn)為以下幾個(gè)方面：</p><p>　　1、內(nèi)部用戶的非授權(quán)訪問；內(nèi)部的資源也不是對(duì)任何的員工都開放的，也需要有相應(yīng)的訪問權(quán)限。內(nèi)部用戶的非授權(quán)的訪問，更容易造成資源和重要信息的泄漏。</p><p&g

108、t;　　2、內(nèi)部用戶的誤操作；由于內(nèi)部用戶的計(jì)算機(jī)造作的水平參差不齊，對(duì)于應(yīng)用軟件的理解也各不相同，如果一部分軟件沒有相應(yīng)的對(duì)誤操作的防范措施，極容易給服務(wù)系統(tǒng)和其他主機(jī)造成危害。</p><p>　　3、內(nèi)部用戶的惡意攻擊；就網(wǎng)絡(luò)安全來說，據(jù)統(tǒng)計(jì)約有70％左右的攻擊來自內(nèi)部用戶，相比外部攻擊來說，內(nèi)部用戶具有更得天獨(dú)厚的優(yōu)勢(shì)，因此，對(duì)內(nèi)部用戶攻擊的防范也很重要。</p><p>　　4:

109、設(shè)備自身安全性也會(huì)直接關(guān)系到各種系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。例如，路由設(shè)備存在路由信息泄漏、交換機(jī)和路由器設(shè)備配置風(fēng)險(xiǎn)等。</p><p>　　5、重要服務(wù)器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒有及時(shí)的發(fā)現(xiàn)并且進(jìn)行修復(fù)，將會(huì)為網(wǎng)絡(luò)的安全帶來很多不安定的因素。</p><p>　　6、重要服務(wù)器的當(dāng)機(jī)或者重要數(shù)據(jù)的意外丟失，都將會(huì)造成內(nèi)部的業(yè)務(wù)無法正常運(yùn)行。如斷電、硬盤損壞等問題。&

110、lt;/p><p>　　7、安全管理的困難，對(duì)于眾多的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備，安全策略的配置和安全事件管理的難度很大。</p><p>　　8：所謂系統(tǒng)的安全是指整個(gè)網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得信任。目前恐怕沒有絕對(duì)安全的操作系統(tǒng)可以選擇。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺(tái)，并對(duì)操作系統(tǒng)進(jìn)行安全配置。而且，必須加強(qiáng)登錄過程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用

111、戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。</p><p>　　5.3 管理中的安全威脅分析</p><p>　　管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。</p>&