工程路由交换方向.doc

专科生毕业设计网 络 工 程路由交换方向院 系软件学院 专 业网络技术 班 级09应专一班 学 号1601090101 学 生 姓 名江靖宇 联 系 方 式15038935617 指 导 教 师鲁杰 职称：CCIE 2011年5月独 创 性 声 明本人郑重声明：所呈交的毕业论文（设计）是本人在指导老师指导下取得的研究成果。除了文中特别加以注释和致谢的地方外，论文（设计）中不包含其他人已经发表或撰写的研究成果。与本研究成果相关的所有人所做出的任何贡献均已在论文（设计）中作了明确的说明并表示了谢意。签名： 江靖宇 2011年-5月-6日授权声明本人完全了解许昌学院有关保留、使用专科生毕业论文（设计）的规定，即：有权保留并向国家有关部门或机构送交毕业论文（设计）的复印件和磁盘，允许毕业论文（设计）被查阅和借阅。本人授权许昌学院可以将毕业论文（设计）的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编论文（设计）。本人论文（设计）中有原创性数据需要保密的部分为：无。 签名： 江靖宇 2011年-5月-6日指导教师签名： 年月日摘 要计算机网络技术实现了资源共享。人们可以在办公室、家里或其他任何地方，访问查询网上的任何资源，极大地提高了工作效率，促进了办公自动化、工厂自动化、家庭自动化的发展。 21世纪已进入计算机网络时代。计算机网络极大普及，计算机应用已进入更高层次，计算机网络成了计算机行业的一部分。新一代的计算机已将网络接口集成到主板上，网络功能已嵌入到操作系统之中，智能大楼的兴建已经和计算机网络布线同时、同地、同方案施工。随着通信和计算机技术紧密结合和同步发展，我国计算机网络技术飞跃发展，作为计算机技术和通信技术相结合的产物，计算机网络在这个时代发挥着它不可估量的作用，对人们的工作、学习、生活、娱乐都产生着重要的影响。随着科学技术的不断进步，计算机技术和网络技术都得到了长足的发展，越来越多的计算机连接到互联网网络中，使得计算机网络家族的结构和规模上都发生了巨大的变化，这给计算机网络的建设提出了新的挑战，对网络工程的实施也提出了新的要求。随着网络的逐步普及，大型企业的网络建设是企业向信息化发展的必然选择，企业网络系统是一个非常庞大而复杂的系统，它不仅为企业现代化、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。而大型企业工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本毕业设计课题将主要以大型局域网络建设过程可能用到的各种技术及实施方案为设计方向，为大型企业的建设提供理论依据和实践指导。本设计共分十九章，主要包括二大方面：Windows Server 2003配置和路由交换。Windows 主要内容包括Windows Server 2003的安装与基本配置、Windows Server 2003系统管理、DNS、Web、Mail、FTP、AD和DHCP服务器等。 关键词：局域网搭建；Windows 管理；路由与交换配置；热备份；生成树目 录第1章引 言13第2章项目需求分析142.1 项目背景142.2 需求分析14第3章网络总体建设目标153.1 网络建设目标163.2 网络及系统建设内容及要求173.3 网络设计原则18第4章网络总体设计194.1 网络总体拓扑图194.2 网络层次化设计214.3 总部与分部内联接入22第5章路由、交换设计235.1 路由协议选择235.2 交换技术245.3 子网及IP地址规划245.4 IPV626第6章服务器设计276.1 服务器27第7章网络安全解决方案277.1 网络边界安全威胁分析277.2 网络内部安全威胁分析287.3 解决方法28第8章关键技术介绍298.1 VLAN技术298.2 VTP协议298.3 Trunk 技术308.4 HSRP 协议308.5 Spanning-Tree协议318.6 Uplinkfast328.7 EtherChannel328.8 NAT技术328.9 ACL技术338.10 集群技术338.11 PPP技术348.12 DNS服务器348.13 FTP简介:358.14 File服务器368.15 Mail服务器368.16 Web Server与HTTP378.17 AD服务器378.18 DHCP388.19 Easy VPN398.20 VOIP398.21 QOS40第9章设备简介419.1 Cisco 2800系列集成多业务路由器419.2 Cisco Catalyst 3560 系列集成交换机429.3 Cisco Catalyst 2960 系列集成交换机439.4 语音设备模块：459.5 路由器扩展模块：459.6 CISCO UCS C210 M2(R210-BUN-4)服务器：469.7 长城嘉翔G(G315PR)PC479.8 不间断供电电源48第10章项目实施计划4810.1 项目组织结构4810.2 项目人员分工4910.3 项目实施前的准备工作49第11章网络测试5011.1 网络测试目的5011.2 测试文档50第12章基本配置5412.1 总部基本配置5412.1.1 网络及服务描述5412.1.2 设备名称5512.1.3设备口令5512.1.4设置特权用户口令5612.1.5关闭DNS查找功能5612.1.6启用logging synchronous5612.1.7将exec-timeout设置为0 05612.1.8配置console口访问不需要密码5612.1.9 IP地址配置5612.2 交换机 Cisco Catalytic29606012.2.1 SW1-L26012.2.1.1 SW1-L26012.2.1.2设备口令6012.2.1.3设置特权用户口令6112.2.1.4关闭DNS查找功能6112.2.1.5启用logging synchronous6112.2.1.6将exec-timeout设置为0 06112.2.1.7配置console口访问不需要密码6112.2.2 SW2-L26112.2.2.1 设备名称6112.2.2.2设备口令6212.2.2.3设置特权用户口令6212.2.2.4关闭DNS查找功能 (默认时打开)6212.2.2.5启用logging synchronous6212.2.2.6将exec-timeout设置为0 06212.2.2.7配置console口访问不需要密码6212.2.3 SW3-L26312.2.3.1 设备名称6312.2.3.2设备口令6312.2.3.4关闭DNS查找功能 (默认时打开)6312.2.3.5启用logging synchronous6312.2.3.6将exec-timeout设置为0 06312.2.3.7配置console口访问不需要密码6312.2.4 SW4-L26412.2.4.1 设备名称6412.2.4.2设备口令6412.2.4.3设置特权用户口令6412.2.4.4关闭DNS查找功能 (默认时打开)6412.2.4.5启用logging synchronous6412.2.4.6将exec-timeout设置为0 06412.2.4.7配置console口访问不需要密码6512.2.5 SW5-L26512.2.5.1 设备名称6512.2.5.2设备口令6512.2.5.3设置特权用户口令6512.2.5.4关闭DNS查找功能 (默认时打开)6512.2.5.5启用logging synchronous6512.2.5.6将exec-timeout设置为0 06512.2.5.7配置console口访问不需要密码6612.2.6 SW6-L26612.2.6.1 设备名称6612.2.6.2设备口令6612.2.6.3设置特权用户口令6612.2.6.4关闭DNS查找功能 (默认时打开)6612.2.6.5启用logging synchronous6612.2.6.6将exec-timeout设置为0 06712.2.6.7配置console口访问不需要密码6712.2.7 SW7-L26712.2.7.1 设备名称6712.2.7.2设备口令6712.2.7.3设置特权用户口令6712.2.7.4关闭DNS查找功能 (默认时打开)6712.2.7.5启用logging synchronous6712.2.7.6将exec-timeout设置为0 06812.2.7.7配置console口访问不需要密码6812.2.8 SW8-L26812.2.8.1 设备名称6812.2.8.2设备口令6812.2.8.3设置特权用户口令6812.2.8.4关闭DNS查找功能 (默认时打开)6912.2.8.5启用logging synchronous6912.2.8.6将exec-timeout设置为0 06912.2.8.7配置console口访问不需要密码6912.2.9 SW9-L26912.2.9.1 设备名称6912.2.9.2设备口令6912.2.9.3设置特权用户口令7012.2.9.4关闭DNS查找功能 (默认时打开)7012.2.9.5启用logging synchronous7012.2.9.6将exec-timeout设置为0 07012.2.9.7配置console口访问不需要密码7012.2.10 SW10-L27012.2.10.1 设备名称7012.2.10.2设备口令7112.2.10.3设置特权用户口令7112.2.10.4关闭DNS查找功能 (默认时打开)7112.2.10.5启用logging synchronous7112.2.10.6将exec-timeout设置为0 07112.2.10.7配置console口访问不需要密码7112.2.11 SW11-L27212.2.11.1 设备名称7212.2.11.2设备口令7212.2.11.3设置特权用户口令7212.2.11.4关闭DNS查找功能 (默认时打开)7212.2.11.5启用logging synchronous7212.2.11.6将exec-timeout设置为0 07212.2.11.7配置console口访问不需要密码7212.2.12 SW12-L27312.2.12.1 设备名称7312.2.12.2设备口令7312.2.12.3设置特权用户口令7312.2.12.4关闭DNS查找功能 (默认时打开)7312.2.12.5启用logging synchronous7312.2.12.6将exec-timeout设置为0 07312.2.12.7配置console口访问不需要密码7412.2.13 SW13-L27412.2.13.1 设备名称7412.2.13.2设备口令7412.2.13.3设置特权用户口令7412.2.13.4关闭DNS查找功能 (默认时打开)7412.2.13.5启用logging synchronous7412.2.13.6将exec-timeout设置为0 07412.2.13.7配置console口访问不需要密码7512.2.14 SW14-L27512.2.14.1 设备名称7512.2.14.2设备口令7512.2.14.3设置特权用户口令7512.2.14.4关闭DNS查找功能 (默认时打开)7512.2.14.5启用logging synchronous7512.2.14.6将exec-timeout设置为0 07612.2.14.7配置console口访问不需要密码7612.2.15 SW15-L27612.2.15.1 设备名称7612.2.15.2设备口令7612.2.15.3设置特权用户口令7612.2.15.4关闭DNS查找功能 (默认时打开)7612.2.15.5启用logging synchronous7612.2.15.6将exec-timeout设置为0 07712.2.15.7配置console口访问不需要密码7712.2.16 SW16-L27712.2.16.1 设备名称7712.2.16.2设备口令7712.2.16.3设置特权用户口令7712.2.16.4关闭DNS查找功能 (默认时打开)7712.2.16.5启用logging synchronous7812.2.16.6将exec-timeout设置为0 07812.2.16.7配置console口访问不需要密码7812.2.17 SW17-L27812.2.17.1 设备名称7812.2.17.2设备口令7812.2.17.3设置特权用户口令7812.2.17.4关闭DNS查找功能 (默认时打开)7912.2.17.5启用logging synchronous7912.2.17.6将exec-timeout设置为0 07912.2.17.7配置console口访问不需要密码7912.2.18 SW18-L27912.2.18.1 设备名称7912.2.18.2设备口令7912.2.18.3设置特权用户口令8012.2.18.4关闭DNS查找功能 (默认时打开)8012.2.18.5启用logging synchronous8012.2.18.6将exec-timeout设置为0 08012.2.18.7配置console口访问不需要密码8012.2.19 SW19-L28012.2.19.1 设备名称8012.2.19.2设备口令8112.2.19.3设置特权用户口令8112.2.19.4关闭DNS查找功能 (默认时打开)8112.2.19.5启用logging synchronous8112.2.19.6将exec-timeout设置为0 08112.2.19.7配置console口访问不需要密码8112.2.20 SW20-L28212.2.20.1 设备名称8212.2.20.2设备口令8212.2.20.3设置特权用户口令8212.2.20.4关闭DNS查找功能 (默认时打开)8212.2.20.5启用logging synchronous8212.2.20.6将exec-timeout设置为0 08212.2.21 SW21-L28312.2.21.1 设备名称8312.2.21.2设备口令8312.2.21.3设置特权用户口令8312.2.21.4关闭DNS查找功能 (默认时打开)8312.2.21.5启用logging synchronous8312.2.21.6将exec-timeout设置为0 08312.2.21.7配置console口访问不需要密码8412.3 Cisco 28118412.3.1 C2811-28412.3.1.1 设备名称8412.3.1.2设备口令8412.3.1.3设置特权用户口令8412.3.1.4关闭DNS查找功能 (默认时打开)8412.3.1.5启用logging synchronous8412.3.1.6将exec-timeout设置为0 08512.3.1.7配置console口访问不需要密码8512.3.1.8 IP地址配置8512.3.2 C2811-38512.3.2.1 设备名称8512.3.2.2设备口令8612.3.2.3设置特权用户口令8612.3.2.4关闭DNS查找功能 (默认时打开)8612.3.2.5启用logging synchronous8612.3.2.6将exec-timeout设置为0 08612.3.2.7配置console口访问不需要密码8612.3.2.8 IP地址配置8612.3.3 C2811-18712.3.3.1 设备名称8712.3.3.2设备口令8712.3.3.3设置特权用户口令8712.3.3.4关闭DNS查找功能 (默认时打开)8712.3.3.5启用logging synchronous8712.3.3.6将exec-timeout设置为0 08712.3.3.7配置console口访问不需要密码8812.3.3.8 IP地址配置8812.4 服务器8812.4.1 服务器的安装：8812.4.2 服务器的配置9812.4.3 检查设备的连通性10512.5 分部网络描述：11112.5.1 SW3-L311212.5.1.1设备名称11212.5.1.2 设备口令11212.5.1.3设置特权用户口令11212.5.1.4关闭DNS查找功能 (默认时打开)11212.5.1.5启用logging synchronous11312.5.1.6将exec-timeout设置为0 011312.5.1.7配置console口访问不需要密码11312.5.1.8 IP地址配置11312.5.2 SW4-L311412.5.2.1 设备名称11412.5.2.2设备口令11412.5.2.3设置特权用户口令11412.5.2.4关闭DNS查找功能 (默认时打开)11412.5.2.5启用logging synchronous11512.5.2.6将exec-timeout设置为0 011512.5.2.7配置console口访问不需要密码11512.5.2.8 IP地址配置11512.5.3 C2811-511612.5.3.1设备名称11612.5.3.2设备口令11612.5.3.3设置特权用户口令11612.5.3.4关闭DNS查找功能 (默认时打开)11612.5.3.5启用logging synchronous11612.5.3.6将exec-timeout设置为0 011712.5.3.7配置console口访问不需要密码11712.5.3.8 IP地址配置11712.5.4 C2811-411712.5.4.1设备名称11712.5.4.2设备口令11712.5.4.3设置特权用户口令11812.5.4.4关闭DNS查找功能 (默认时打开)11812.5.4.5启用logging synchronous11812.5.4.6将exec-timeout设置为0 011812.5.4.7配置console口访问不需要密码11812.5.4.8 IP地址配置11812.5.5 C2811-611912.5.5.1设备名称11912.5.5.2设备口令11912.5.5.3设置特权用户口令11912.5.5.4关闭DNS查找功能 (默认时打开)11912.5.5.5启用logging synchronous11912.5.5.6将exec-timeout设置为0 011912.5.5.7配置console口访问不需要密码12012.5.5.8 IP地址配置12012.6 检查设备的连通性12012.6.1、show cdp neighbors命令的使用（江靖宇、张祯星）12012.6.2、ping 命令测试121结 束 语124参 考 文 献125致 谢126第1章 引 言网络使人们把世界看小了，地球一下子变成了地球村，人们可以进行网络交流。信息资源的共享，是社会的一大进步，互联网与人们生活越来越密切，网络的虚拟化世纪让人们可以实现在现实生活中所实现不了的，网络上可以达到“共产主义”免费软件，在现实生活中遇到不开心事情可以上网打游戏将对方猛扁一顿，发泄发泄等等。计算机的应用使得人们的生活已经越来越离不开网络，因此，信息高速公路应运而生了。现代企业发展的需求，原有的工作方式已不能满足现代企业的需要，特别是对突发事件及即时信息的处理能力与速度及效率的需求。现在企业如果没有信息技术的支持，就不能称之为现代企业。随着网络技术的不断成熟、网络产品价格的不断下降，以及对数据传输和信息交换需求的不断增加，现代企业搭建了企业内部局域网是必须的，因为，企业网络的建设是企业向信息化发展的必然选择。企业网络为企业的现代化发展、综合信息管理和办公自动化等一系列应用提供了基础平台。本设计结合大企业实际需求，分析、设计、配置、组建了一个典型的大企业网络。第2章 项目需求分析 2.1 项目背景达豫医药股份有限公司是一家即将成立的一家医药制造工厂。达豫医药股份有限公司总部位于首都北京，达豫公司将形成以全国乃至亚洲最大的药店-达豫医药店为龙头的一批名店，另外还有分公司。总共注册资金4千万元人民币，法人代表：张仲景（董事长），董事会成员：彭宇、王喆、张仲景。建议贵公司在信息管理有创新和突破，开发“第一医药信息管理系统”，我公司将为您“量身定制”，整个操作过程更贴近企业实际，通过这一平台，实现一体化管理，不仅使硬件资源得到共享，同时得到了信息共享，成为企业资源控制中心和自动化办公载体，为贵公司赢得了可持续发展的能力。贵公司网络分布根据各部门需要进行设计，总部有办公室26人、信息中心10人、企业管理部58人、生产部500人、销售部120人、财务部28人、人力资源部58人、服务部57人；另外分公司办公室12人、销售部240人、储运部25人、疫苗部20人、服务部10人。总共1164人。本项目的目标是：“建立一个设计规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台，以高效率，高速度，低成本的方式提高公司员工的工作效率与执行效率”。本期工程项目完成后，网络平台总部内有大型服务器提供服务，外接分支机构网络平台的设计用户节点数为307。2.2 需求分析达豫医药有限公司现有北京总部、郑州分部。总公司和分公司的部门和人员分布如下：表2-2-1 总部人员分布 办公室 信息中心 企业管理部 生产部 销售部 财务部 人力资源部 服务部 总计总部261058500120285857857表2-2-1 分部人员分布办公室销售部储运部疫苗部服务部总计分部12240252010307 其中，总部地点分为数据中心、核心交换区、服务器和接入等。数据中心作为工厂生产运营系统（如ERP系统，人事考勤系统，财务计粮系统等等）的核心数据的存放地，其性能、稳定性、安全性、可靠性的要求最高，因此我们在设计的时候，需要考虑这些需要。而核心交换区的功能是高速可靠地交换数据应用HSRP技术实现多组热备、冗余，因此该部分的设计应考虑性能和可用性的平衡。作为外联单位接入区域，其安全性应该是放在第一位应用ISA防火墙来保证网络的安全性，同时生产运营系统的运行离不开网络和数据中心的连接，因此冗余性的考虑也是必须的核心层用到双核心来实现冗余和备份作用。分部地点办公网络做为内部互联单位，可信度较高，因此其内部网络的可用性是首要考虑因素。当前业界的网络管理范畴较广，包括设备管理、资源管理、故障管理、性能管理、安全管理等等。在网络规模相对较大的时候，合适的网管系统可以帮助客户方便管理网络内的设备及运行情况，提高网络的运行效率。第3章 网络总体建设目标 3.1 网络建设目标图3-1-1 网络建设成员结构图3-1-1 总体抽象拓扑此项系统网络项目工程的建设目标是，搭建公司核心网络及服务器,以实现生产运营系统的运行, 各公司用户能够进行资源共享，并能够进行上网查资料，电子邮件，对外发布网站FILE服务器提供文件服务、web服务器为内外网那个提供WWW服务、DNS服务器域名解析，AD进行内网管理等等，按照“高效能、低成本”的要求,采用层次化网络结构： 随着网络技术的迅速发展和网上应用量的增长，分布式网络服务和交换已经移至用户级，由此形成一个新的、更适应现代高速大型网路分层的模型。这种分级方法被称为“多层设计”。多层设计有以下好处：多层设计是模块化的，网络容量可随着日后网络节点的增加而不断增大。多层网络有很大的确定性，因此在运行和扩招过程中进行故障检查和排错很方便。多层网络系统设计最有效地利用多种3层业务，包括分段、负载分担和故障恢复等。在分层网络中运用智能第三层业务可以大大减少因配置不当或故障设备引起的一般问题。3.2 网络及系统建设内容及要求根据公司中心机房的网络情况，我们把整个网络分为内部交换网络设计、网络出口设计，网络安全设计几大部分。多层模式使用网络的移植更为简单易行，因为他保留了基于路由器和交换机的网络原有寻址方案，对以往网络有很好的兼容性。另外分层结构也能对网络的故障进行很好的隔离。针对北京总部的情况我们可以采用三层结构模型。三层结构模型划分为三个层次，即核心层、分布层（又叫汇聚层）、接入层。每个层次完成不同的功能。核心层：作为整个网络系统的核心，其主要功能是高速、可靠的进行数据交换。保证内网用户可以方便高效上网。分布层： 分布层主要进行接入层的数据流量汇聚并对数据流进行访问控制。包括访问控制列表、VLAN路由等。接入层： 接入层主要提供用户接入网络的途径。主要进行接口的划分。与分布层双线连接等等。该网络分三层：以R2和R5为核心的，核心层以SW1-L3和SW2-L3为汇聚层，SW1- L2、SW2- L2、SW3- L2、SW4- L2、SW5- L2、SW6- L2、SW7-L2是接入层。对于内部交换网络我们采用分层设计。内部交换网络分成核心层和接入层两大部分。公司数据中心网络平台承载着公司所有的关键核心业务，设计时，保证中心机房网络的高可用性和稳定性至关重要，故设计时中心路由交换机建议采用双机热备，各分支交换机两条上联千兆线路分别上连到两台中心路由交换机上，构成全路由交换的网络；借助于跨骨干的VLAN 、静态 NAT技术，使得对于网络内有关Server 的访问变得更加安全有效。对于边界网络接入网络（与合作伙伴、分支机构以及Internet 接入通称为边界网络），网络的安全性将是一个需要考虑的非常重要的因素。所以确保在网络的边界处部署相应的安全策略以防止黑客和各种恶意代码的攻击至关重要，同时边界出的设备的冗余设计也是设计考虑的一个重要因素，防止单点故障。对于服务器，采用RD5磁盘阵列进行备份和容错当磁盘坏掉一块还可以恢复数据，数据除第一次用完全备份后，以后每天做增量备份，备份的的服务器或设备单独放置其他全安地点。对于设备，我们采用性价比较高的设备。对于网络带宽，由于带宽有限且租金昂贵，为了方便局域网内语音通信我们为您推荐VOIP，并建议用QOS技术进行拥塞管理、拥塞避免、流量整形等策略对网络上的流量进行管理。3.3 网络设计原则先进性：计算机网络技术、软件技术的发展迅速，网络的设计要立足于较高的起点，保证系统有较长的生命力。保证满足系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到公司网络应用的现状和未来的发展趋势。可靠性：网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性的网络产品，合理设计网络架构，制定可靠的网络备份策略，保证网络具有故障治愈的能力，最大限度的支持各个系统的正常运行。安全性：在网络设计中，应采用硬件技术与软件技术相结合的方式，全面系统的保护网络的安全运行。系统应提供一套完整的安全防范措施，防止由于操作人员的误操作以及系统中的某些故障而造成数据被破坏或系统的误操作。兼容：网络结构有良好的兼容性，能够实现与不同类型的协议或设备的无缝连接。灵活性和拓展性：根据未来的发展需求，网络能够具有较好的扩展性，实现网络的平滑升级，尽可能的减少对网络架构和设备的调整。可管理性：网络中的任何设备均可以通过网络管理平台进行控制，网络的设备状态、故障报警等都可以通过网管平台进行监控，通过网络管理平台简化管理工作，提高网络管理的效率。可靠性和冗余性：为使网络可靠地运行，我们方案中要选用高品质的产品，把故障率降到最小在设计时应考虑为网络留有适当的冗余度，硬件设备应具备一定的冗余模块和软件备份冗余，以提高网络容错能力。所选用设备必须具有全容错结构，一台设备中单个电源、单个风扇的故障不影响设备工作，单个模块的故障不影响其它模块的正常工作；设备应具有热修复能力，即当设备的某些部件发生故障时，可以带电更换而不影响设备其它部件工作，新更换部件可直接投入工作而不必重新引导整个设备。网络结构容错：不会因某台设备的故障而影响到整个主干网络的正常运行；任意一条链路的中断不会使主干网络的任何部分中断工作。实用性：在网络设计时，在考虑好未来发展的同时尽可能的减少额外功能支出，把现有的技术与现在的成熟技术结合起来，以满足北京公司现有的应用现况以及未来的发展趋势。性能价格比：在满足功能与性能的基础上实现性能/价格比最优。第4章 网络总体设计 4.1 网络总体拓扑图考虑到总公司的实际需求，建议采用两台Cisco Catalyst3560做HSRP、PVST、TRUNK、VTP、EtherChannel（链路捆绑）、VLAN、上行速链路等，并启用OSPF协议，二层交换机连接PC的端口设为速端口并开启端口安全，使其自动学习最先接入的MAC地址，用Cisco 专有热备份路由协议技术（HSRP），根据需求配置成多组HSRP；同时双机还可以做负载均衡。这样设计不但保证网络的高可用性和稳定性，还能够充分利用现有设备的资源，以避免单台核心设备的负载太重而导致的网络性能问题。根据分布的需要也要做同样的配置，在总部设有VPN接入，为出差的员工提供安全的、方便的通道，达到信息安全快捷传输。生产部设有考勤系统方便员工上班考勤记录。另外本网络选用的设备支持VOIP，可以廉价方便地在企业内部打电话，此电话本公司建议用软电话来进行通信，软电话不用硬件的投资只需在现有的PC上安装软电话客户端；除此之外还支持IPv6,因为IPv4资源枯竭，未来的发展趋势IPv6整个网络市场，IPv6将占领网络，本网络的设备适应时代的发展。如上图所示，整体网络可以根据功能划分为总部核心网络、汇聚层、接入层，接入层包括总部的办公室26人、信息中心10人、企业管理部58人、生产部500人、销售部120人、财务部28人、人力资源部58人、服务部57人；另外分公司办公室12人、销售部240人、储运部25人、疫苗部20人、服务部10人。总共1164人。总部设有DNS Server、File Server、DHCP Server、Mail Server、AD和Web Server，Web Server应用集群为内部和外部用户提供Web服务。网络各区域相对独立，通过核心网络进行数据的交互。分公司可以各自建立交换网络、路由接入、网络安全体系，可以有独立的安全策略、数据流量控制等个体的特性，而需要和其他区域的设备进行通讯的时候，则可以通过核心交换机Vlan间路由来实现。4.2 网络层次化设计随着网络技术的迅速发展和网上应用量的增长，分布式的网络服务和交换已经移至用户级，由此形成了一个新的、更适应现代的高速大型网络的分层设计模型。这种分级方法被称为“多层设计”。多层设计有以下一些好处：1、多层设计的模块化，网络容量可随着日后网络节点的增加而不断增大，若有新建分公司或合并小公司多可以方便的接入。2、多层网络有很大的确定性，因此在运行和扩展过程中进行故障查找和排除非常简单。3、多层网络系统设计最有效地利用多种第3 层业务，包括分段、负载分担、多组热备和故障恢复等。4、在分层网络中运用智能第3 层业务可以大大减少因配置不当或故障设备引起的一般问题。5、多层模式使网络的移植更为简单易行，因为它保留了基于路由器和交换机的网络原有的寻址方案，对以往的网络有很好的兼容性。6、分层结构也能够对网络的故障进行很好的隔离。针对实际情况我们可以采用三层结构模型。 三层结构模型划分为三个层次，即核心层、分布层、接入层。每个层次完成不同的功能。核心层核心层作为整个网络系统的核心，其主要功能是高速、可靠的进行数据交换。保证内网用户可以方便高效上网。我采用3SW-1和3SW-2作为北京公司综合项目的汇聚层的交换机，3SW-3和3SW-4作为郑州分部的汇聚层的交换机，对于大型企业来说，WS-C3560G-48TS-S 系列通过配置灵活性、支持融合网络模式及自动进行智能网络配置，简化了融合应用的部署，并可对不断变化的业务需求进行调整。核心交换区的作用是尽快地提供所有的区域间的数据交换。我们推荐使用四台Cisco Catalyst 3560交换机完成此项功能。四台3560交换机高性能、可靠性、可用性是我们主要考虑的因素。本区的安全性可以由边界防火墙提供，如有需要在3560 上面可以部署安全策略，使得核心交换区的安全性进一步地增强。Cisco Catalyst 3560系列凭借众多智能服务将控制扩展到网络边缘，其中包括先进的服务质量 (QoS)、可预测性能、高级安全性和全面的管理。它提供带集成永续性的出色控制，将永续性集成到硬件和软件中，缩短了网络停运时间。Cisco Catalyst 3560 系列的模块化架构、介质灵活性和可扩展性减少了重复运营开支保护投资，提高了投资回报（ROI），从而在延长部署寿命的同时降低了拥有成本。分布层分布层主要进行接入层的数据流量汇聚，并对数据流量进行访问控制。包括访问控制列表、Vlan路由、HSRP、生成树协议等等。我采用SW1-3L和SW2-3L作为安博公司综合项目的汇聚层的交换机，对于大型企业来说，WS-C3560G-48TS-S 系列通过配置灵活性、支持融合网络模式及自动进行智能网络配置，简化了融合应用的部署，并可对不断变化的业务需求进行调整。接入层接入层主要提供最终用户接入网络的途径。接入层采用CISCO WS-C2960G-24TC-L以千兆链路和汇聚交换机连接，并为客户提供10/100M自适应接入，从而形成以千兆为骨干，百兆到桌面的以太网三层结构。办公系统所需的各种服务如办公自动化服务器、邮件服务器、DHCP服务器。Web服务器。FTP服务器等组成服务群，数据中心的多种系统连接到汇聚交换机的千兆模块上，因此，内部的局域网是采用三层结构组建。主要是进行VLAN的划分、与分布层的连接等等。接入层交换机采用思科的CISCO WS-C2960G-24TC-L 以千兆以太链路和汇聚交换机相连接，并为用户终端提供10/100M 自适应的接入，从而形成千兆为骨干，百兆到桌面的以太网三层结构。办公系统所需的各种服务器如办公自动化服务器、邮件服务器、DHCP 服务器、Web服务器、AD、File服务器等组成服务器群，数据中心的多种金融系统应用服务器, 连接到汇聚交换机的千兆模块上面,因此，内部的局域网是采用三层结构组建。 该网络分三层：以R1和R3为核心的，核心层以3SW-1和3SW-2为汇聚层，SW1-2L、SW2-2L、SW3-2L、SW4-2L、SW5-2L、SW6-2L、SW7-2L是接入层。4.3 总部与分部内联接入内联接入的作用是用于连接北京总部机房和郑州分部办公网络。我们推荐使用两台Cisco 2811路由器通过SDH/DDN线路完成此项功能。由于总部网络和分部机房属于公司的内部网络的一部分，因此可信度很高；接入时主要作用是生产运营系统的数据交换，查询等等和管理以及监控。总结以上的原因，内联路由器与核心交换网络间不需要配置额外的防火墙。第5章 路由、交换设计5.1 路由协议选择为达到路由快速收敛、寻址以及方便网络管理员管理的目的，我们建议采用动态路由协议，目前较好的动态路由协议是OSPF 协议和EIGRP 协议，OSPF 以协议标准化强，支持厂家多，受到广泛应用，而EIGRP 协议由Cisco 公司发明，考虑网络的快速收敛和扩展性、公开性、投资的保护等原因，我们设计采用OSPF 路由协议和静态路由相结合的路由方式。OSPF协议采用链路状态算法，每个路由器维护一个相同的链路状态数据库，保存整个AS的拓扑结构（AS不划分情况下）。一旦每个路由器有了完整的链路状态数据库，该路由器就可以自己为根，构造最短路径树，然后再根据最短路径构造路由表。对于大型的网络，为了进一步减少路由协议通信流量，利于管理和计算。OSPF将整个AS划分为若干个区域，区域内的路由器维护一个相同的链路转台数据库，保存该区域的拓扑结构。OSPF路由器相互间交换信息，但交换的信息不是路由，而是链路状态。OSPF定义了5种分组：Hello分组用于建立和维护连接；数据库描述分组初始化路由的网络拓扑数据库；当发现数据库中的某部分信息已过时后，路由器发送链路状态请求分组，请求邻居提供更新信息；路由器使用链路状态更新分组来主动扩散自己的链路状态数据库或对链路状态请求分组进行向应；由于OSPF直接运行在IP层，协议本身要提供确认机制，链路状态应答分组是对链路状态更新分组进行确认。相对其他协议，OSPF有很多优点。OSPF支持各种不同鉴别机制（如简单口令验证。MD5 加密认证），并且允许各个系统或区域采用互不相同的鉴别机制；提供负载均衡功能，如果计算机出到某个项目的站点若干条费用相同的路由，OSPPF路由器会把通信流量均匀地分配给之几条路由，沿之几条路由把该分组发出去；在一个自治系统内可划分出若干个区域，每个区域根据自己的拓扑机构计算最短路径，这减少了OSPF路由实现的工作量；OSPF属动态的自适应协议，对于网络的拓扑机构变化可以迅速的做出反应，进行相应调整，提供短的收敛期，使路由表尽快的稳定下来，并且与其它路由协议相比，OSPF在对网络的拓扑变化的处理过程中仅需要最少的通信流量；OSPF提供的到点接口，支持CIDR（无类型域间路由）地址。安博总部规划为area 0，内部网络都规划为area 0。各区域接入路由器跟区域不同使用动态协议，或者使用静态路由与动态路由结合的方式。公司总部和分部都用AS 1各区域接入路由器根据区域不同使用动态协议，或者使用静态路由与动态路由结合的方式。5.2 交换技术对于本次项目的核心层思科路由器CiscoISCO 2811进行于外网的互联，汇聚层我们将采用Cisco三层交换机SW-3560建立在生成树基础上的多链路冗余连接。这样不仅可以避免了由于网络环路造成的广播风暴等，在北京总部和分部在汇聚层的交换机上我们采用热备份协议，运用两台交换机，当其中的一台出现故障致使网络不能正常通信时，备用的那台马上起到作用，避免了网络的“短路”问题。HSRP 实现容错备份功能，可以有效解决网络不畅问题，保证了网络的可靠性，做HSRP还可以保证核心交换机之间存在备份连接和负载均衡，链路捆绑可以完成高带宽、大容量网络层路由交换功能。这样当交换机之间的线路出现故障时，传输的数据会快速自动切换到另外一条线路上进行传输，不影响网络系统的正常工作。汇聚层交换机Cisco 3560和接入层交换机Cisco 2960，我们将采用Trunk技术，并把三层交换机上配置成VTP Server, 二层交换机配置成VTP Client,使其在同一个VTP域中，利用VTPServer同步VLAN间信息。这样不仅可以少在多台设备上配置同一个VLAN信息的工作量，而且还保持了VLAN配置的统一性。利用VLAN 技术可以限制广播范围的特性，能够形成虚拟工作组，方便网络管理。不仅提高了网络的安全性，而且成本低，提高了性能，节省了人力，具有很强的灵活性。HSRP 是热备份路由协议。5.3 子网及IP地址规划IP地址的规划在网络设计中举足轻重。直接影响网络运行的效率。IP地址设计的总原则是简单、易管理、易扩展。我们配IP地址按以下原则：唯一性：一个IP网络中不可能有两个主机采用相同的IP地址。简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项。连续性：连续地址在此结构网络中易于进行路由总结（Route Summarization）,大大缩减路由表，提高路由算法效率。可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性。灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术，以满足多种路由策略的优化，充分利用地址空间。表：5-3 IP地址规划表北京总部内部网络地址规划单位/部门人数ip地址网段/掩码本网段用到的IP地址可用地址个数网关地址办公室26172.16.0.0 /27172.16.0.0-31/2730172.16.0.1/27信息中心10172.16.0.32/28172.16.0.32-47/2814172.16.0.33/28企业管理部58172.16.0.64/26172.16.0.64-127/2662172.16.0.65/26生产部500172.16.2.0/23 172.16.2.0-255/23 510172.16.2.1/23 172.16.3.0/23172.16.3.0-255/23销售部120172.16.0.128/25172.16.0.128-255/25126172.16.0.129/25财务部28172.16.1.0/27172.16.1.0-31/2730172.16.1.1/27人力资源部58172.16.1.64/26172.16.1.64-127/2662172.16.1.65/26服务部57172.16.1.128/26172.16.1.128-191/2662172.16.1.129/26Vlan 2172.16.0.0 /27172.16.0.1-3/273172.16.0.1/27Vlan 3172.16.0.32/28172.16.0.33-35/283172.16.0.33/28Vlan 4172.16.0.64/26172.16.0.65-67/263172.16.0.65/26Vlan 5172.16.2.0/23 172.16.2.1-3/23 3172.16.2.1/23 Vlan 6172.16.0.128/25172.16.0.129-131/253172.16.0.129/25Vlan 7172.16.1.0/27172.16.1.1-3/273172.16.1.1/27Vlan 8172.16.1.64/26172.16.1.65-67/263172.16.1.65/26Vlan 9172.16.1.128/26172.16.1.129-131/263172.16.1.129/26路由器R2-R5172.16.4.0/30172.16.4.0-3/302路由器R2-R1172.16.4.12/30172.16.4.12-15/302路由器R5-R4172.16.4.16/30172.16.4.16-19/302R2-SW1-L3172.16.4.4/30172.16.4.4-7/302R2-SW2-L3172.16.4.8/30172.16.4.8-11/302R3-SW2-L3172.16.4.20/30172.16.4.20-23/302R3-SW21172.16.4.24/30172.16.4.24-27/302Web Server172.16.4.32/29172.16.4.32-39/296172.16.4.33/29DNS Server172.16.