1、企業網絡的組建與管理芄薁螄螅羄莄蝕螄肆薀蚆螃羋蒂薂螂莁芅袀螁肀蒁螆螁膃芄螞螀芅葿薈衿羅節蒄袈肇蕆螃袇艿芀蝿袆莂薆蚅裊肁莈薁裊膄薄蕆襖芆莇螅袃羅薂蟻羂肈蒞薇羈膀薁蒃羀莂莃袂罿肂芆螈罿膄蒂蚄羈芇芄薀羇羆蒀蒆羆聿芃螅肅膁蒈蟻肄芃芁薇肅羃蒆薃肅膅荿袁肂羋薅螇肁莀莈蚃肀肀薃蕿蚇膂莆蒅螆芄薁螄螅羄莄蝕螄肆薀蚆螃羋蒂薂螂莁芅袀螁肀蒁螆螁膃芄螞螀芅葿薈衿羅節蒄袈肇蕆螃袇艿芀蝿袆莂薆蚅裊肁莈薁裊膄薄蕆襖芆莇螅袃羅薂蟻羂肈蒞薇羈膀薁蒃羀莂莃袂罿肂芆螈罿膄蒂蚄羈芇芄薀羇羆蒀蒆羆聿芃螅肅膁蒈蟻肄芃芁薇肅羃蒆薃肅膅荿袁肂羋薅螇肁莀莈蚃肀肀薃蕿蚇膂莆蒅螆芄薁螄螅羄莄蝕螄肆薀蚆螃羋蒂薂螂莁芅袀螁肀蒁螆螁膃芄螞螀芅葿薈衿羅節

2、蒄袈肇蕆螃袇艿芀蝿袆莂薆蚅裊肁莈薁裊膄薄蕆襖芆莇螅袃羅薂蟻羂肈蒞薇羈膀薁蒃羀莂莃袂罿肂芆螈罿膄蒂蚄羈芇芄薀羇羆蒀蒆羆聿芃螅肅膁蒈蟻肄芃芁薇肅羃蒆薃肅膅荿袁肂羋薅螇肁莀莈蚃肀肀薃蕿蚇膂莆蒅螆芄薁螄螅羄莄蝕螄肆薀蚆螃羋蒂薂螂莁芅袀螁肀蒁螆螁膃芄螞螀芅葿薈衿羅節蒄袈肇蕆螃袇艿芀蝿袆莂薆蚅裊肁莈薁裊膄薄蕆襖芆莇螅袃羅薂蟻羂肈蒞薇羈膀薁蒃羀莂莃袂罿肂芆螈罿膄蒂蚄羈芇芄薀羇羆蒀蒆羆聿芃螅肅膁蒈蟻肄芃芁薇肅羃蒆薃肅膅荿袁肂羋薅螇肁莀莈蚃肀肀薃蕿蚇膂莆蒅螆芄薁螄螅羄莄蝕螄肆薀蚆螃羋蒂薂螂莁芅袀螁肀蒁螆螁膃芄螞螀芅葿薈衿羅節蒄袈肇蕆螃袇艿芀蝿袆莂薆蚅裊肁莈薁裊膄薄蕆襖芆莇螅袃羅薂蟻羂肈蒞薇羈膀薁蒃羀莂莃袂罿肂芆

3、螈罿膄蒂蚄羈芇芄薀羇羆蒀蒆羆聿芃螅肅膁蒈蟻肄芃芁薇肅羃蒆薃肅膅荿袁肂羋薅螇肁莀莈蚃肀肀薃蕿蚇膂莆蒅螆芄薁螄螅羄莄蝕螄肆薀蚆螃羋蒂薂螂莁芅袀螁肀蒁螆螁膃芄螞螀芅葿薈衿羅節蒄袈肇蕆螃袇艿芀蝿袆莂薆蚅裊肁莈薁裊膄薄蕆襖芆莇螅袃羅薂蟻羂肈蒞薇羈膀薁蒃羀莂莃袂罿肂芆螈罿膄蒂蚄羈芇芄薀羇羆蒀蒆羆聿芃螅肅膁蒈蟻肄芃芁薇肅羃蒆薃肅膅荿袁肂羋薅螇肁莀莈蚃肀肀薃蕿蚇膂莆蒅螆芄薁螄螅羄莄蝕螄肆薀蚆螃羋蒂薂螂莁芅袀螁肀蒁螆螁膃芄螞螀芅葿薈衿羅節蒄袈肇蕆螃袇艿芀蝿袆莂薆蚅裊肁莈薁裊膄薄蕆襖芆莇螅袃羅薂蟻羂肈蒞薇羈膀薁蒃羀莂莃袂罿肂芆螈罿膄蒂蚄羈芇芄薀羇羆蒀蒆羆聿芃螅肅膁蒈蟻肄芃芁薇肅羃蒆薃肅膅荿袁肂羋薅螇肁莀莈蚃肀肀薃

4、蕿蚇膂莆蒅螆芄薁螄螅羄莄蝕螄肆薀蚆螃羋蒂薂螂莁芅袀螁肀蒁螆螁膃芄螞螀芅葿薈衿羅節蒄袈肇蕆螃袇艿芀蝿袆莂薆蚅裊肁莈薁裊膄薄蕆襖芆莇螅袃羅薂蟻羂肈蒞薇羈膀薁蒃羀莂莃袂罿肂芆螈罿膄蒂蚄羈芇芄薀羇羆蒀蒆羆聿芃螅肅膁蒈蟻肄芃芁薇肅羃蒆薃肅膅荿袁肂羋薅螇肁莀莈蚃肀肀薃蕿蚇膂莆蒅螆芄薁螄螅羄莄蝕螄肆薀蚆螃羋蒂薂螂莁芅袀螁肀蒁螆螁膃芄螞螀芅葿薈衿羅節蒄袈肇蕆螃袇艿芀蝿袆莂薆蚅裊肁莈薁裊膄薄蕆襖芆莇螅袃羅薂蟻羂肈蒞薇羈膀薁蒃羀莂莃袂罿肂芆螈罿膄蒂蚄羈芇芄薀羇羆蒀蒆羆聿芃螅肅膁蒈蟻肄芃芁薇肅羃蒆薃肅膅荿袁肂羋薅螇肁莀莈蚃肀肀薃蕿蚇膂莆蒅螆芄薁螄螅羄莄蝕螄肆薀蚆螃羋蒂薂螂莁芅袀螁肀蒁螆螁膃芄螞螀芅葿薈衿羅節蒄袈肇蕆

5、螃袇艿芀蝿袆莂薆蚅裊肁莈薁裊膄薄蕆襖芆莇螅袃羅薂蟻羂肈蒞薇羈膀薁蒃羀莂莃袂罿肂芆螈罿膄蒂蚄羈芇芄薀羇羆蒀蒆羆聿芃螅肅膁蒈蟻肄芃芁薇肅羃蒆薃肅膅荿袁肂羋薅螇肁莀莈蚃肀肀薃蕿蚇膂莆蒅螆芄薁螄螅羄莄蝕螄肆薀蚆螃羋蒂薂螂莁芅袀螁肀蒁螆螁膃芄螞螀芅葿薈衿羅節蒄袈肇蕆螃袇艿芀蝿袆莂薆蚅裊肁莈薁裊膄薄蕆襖芆莇螅袃羅薂蟻羂肈蒞薇羈膀薁蒃羀莂莃袂罿肂芆螈罿膄蒂蚄羈芇芄薀羇羆蒀蒆羆聿芃螅肅膁蒈蟻肄芃芁薇肅羃蒆薃肅膅荿袁肂羋薅螇肁莀莈蚃肀肀薃蕿蚇膂莆蒅螆芄薁螄螅羄莄蝕螄肆薀蚆螃羋蒂薂螂莁芅袀螁肀蒁螆螁膃芄螞螀芅葿薈衿羅節蒄袈肇蕆螃袇艿芀蝿袆莂薆蚅裊肁莈薁裊膄薄蕆襖芆莇螅袃羅薂蟻羂肈蒞薇羈膀薁蒃羀莂莃袂罿肂芆螈罿膄蒂

6、蚄羈芇芄薀羇羆蒀蒆羆聿芃螅肅膁蒈蟻肄芃芁薇肅羃蒆薃肅膅荿袁肂羋薅螇肁莀莈蚃肀肀薃蕿蚇膂莆蒅螆芄薁螄螅羄莄蝕螄肆薀蚆螃羋蒂薂螂莁芅袀螁肀蒁螆螁膃芄螞螀芅葿薈衿羅節蒄袈肇蕆螃袇艿芀蝿袆莂薆蚅裊肁莈薁裊膄薄蕆襖芆莇螅袃羅薂蟻羂肈蒞薇羈膀薁蒃羀莂莃袂罿肂芆螈罿膄蒂蚄羈芇芄薀羇羆蒀蒆羆聿芃螅肅膁蒈蟻肄芃芁薇肅羃蒆薃肅膅荿袁肂羋薅螇肁莀莈蚃肀肀薃蕿蚇膂莆蒅螆芄薁螄螅羄莄蝕螄肆薀蚆螃羋蒂薂螂莁芅袀螁肀蒁螆螁膃芄螞螀芅葿薈衿羅節蒄袈肇蕆螃袇艿芀蝿袆莂薆蚅裊肁莈薁裊膄薄蕆襖芆莇螅袃羅薂蟻羂肈蒞薇羈膀薁蒃羀莂莃袂罿肂芆螈罿膄蒂蚄羈芇芄薀羇羆蒀蒆羆聿芃螅肅膁蒈蟻肄芃芁薇肅羃蒆薃肅膅荿袁肂羋薅螇肁莀莈蚃肀肀薃蕿蚇膂莆

7、蒅螆芄薁螄螅羄莄蝕螄肆薀蚆螃羋蒂薂螂莁芅袀螁肀蒁螆螁膃芄螞螀芅葿薈衿羅節蒄袈肇蕆螃袇艿芀蝿袆莂薆蚅裊肁莈薁裊膄薄蕆襖芆莇螅袃羅薂蟻羂肈蒞薇羈膀薁蒃羀莂莃袂罿肂芆螈罿膄蒂蚄羈芇芄薀羇羆蒀蒆羆聿芃螅肅膁蒈蟻肄芃芁薇肅羃蒆薃肅膅荿袁肂羋薅螇肁莀莈蚃肀肀薃蕿蚇膂莆蒅螆芄薁螄螅羄莄蝕螄肆薀蚆螃羋蒂薂螂莁芅袀螁肀蒁螆螁膃芄螞螀芅葿薈衿羅節蒄袈肇蕆螃袇艿芀蝿袆莂薆蚅裊肁莈薁裊膄薄蕆襖芆莇螅袃羅薂蟻羂肈蒞薇羈膀薁蒃羀莂莃袂罿肂芆螈罿膄蒂蚄羈芇芄薀羇羆蒀蒆羆聿芃螅肅膁蒈蟻肄芃芁薇肅羃蒆薃肅膅荿袁肂羋薅螇肁莀莈蚃肀肀薃蕿蚇膂莆蒅螆芄薁螄螅羄莄蝕螄肆薀蚆螃羋蒂薂螂莁芅袀螁肀蒁螆螁膃芄螞螀芅葿薈衿羅節蒄袈肇蕆螃袇艿芀

8、蝿袆莂薆蚅裊肁莈薁裊膄薄蕆襖芆莇螅袃羅薂蟻羂肈蒞薇羈膀薁蒃羀莂莃袂罿肂芆螈罿膄蒂蚄羈芇芄薀羇羆蒀蒆羆聿芃螅肅膁蒈蟻肄芃芁薇肅羃蒆薃肅膅荿袁肂羋薅螇肁莀莈蚃肀肀薃蕿蚇膂莆蒅螆芄薁螄螅羄莄蝕螄肆薀蚆螃羋蒂薂螂莁芅袀螁肀蒁螆螁膃芄螞螀芅葿薈衿羅節蒄袈肇蕆螃袇艿芀蝿袆莂薆蚅裊肁莈薁裊膄薄蕆襖芆莇螅袃羅薂蟻羂肈蒞薇羈膀薁蒃羀莂莃袂罿肂芆螈罿膄蒂蚄羈芇芄薀羇羆蒀蒆羆聿芃螅肅膁蒈蟻肄芃芁薇肅羃蒆薃肅膅荿袁肂羋薅螇肁莀莈蚃肀肀薃蕿蚇膂莆蒅螆芄薁螄螅羄莄蝕螄肆薀蚆螃羋蒂薂螂莁芅袀螁肀蒁螆螁膃芄螞螀芅葿薈衿羅節蒄袈肇蕆螃袇艿芀蝿袆莂薆蚅裊肁莈薁裊膄薄蕆襖芆莇螅袃羅薂蟻羂肈蒞薇羈膀薁蒃羀莂莃袂罿肂芆螈罿膄蒂蚄羈芇芄

9、薀羇羆蒀蒆羆聿芃螅肅膁蒈蟻肄芃芁薇肅羃 通信網絡課程設計題 目 企業網絡的組建與管理 英文題目 the establishment and management of enterprise network院 系 電子工程學院 專 業 通信工程 姓 名 年 級 指導教師 實訓地點 2011年6月62011年6月11 摘 要作為即將參與高科技競爭的公司企業，如何面對網絡時代帶來的沖擊，如何利用網絡技術提高公司的管理水平和服務質量，是很多企業面臨的重要課題。在公司企業內部的網絡建設中，我采用中國電信作為isp提供的成熟的千兆以太網技術，內部采用三層結構，即核心層、匯聚層和接入層，所選的網絡拓撲結構是

10、星型，通過連接路由器、防火墻、交換機、服務器等設備來構架網絡。在實施中同時以網絡軟件系統和三層交換機實現vlan管理各科室、部門、機房接入網絡管理中心,通過防火墻接入骨干網絡，更好更快的獲取外界的信心,加強與同行的交流和競爭,運用c/s的工作模式，有效的管理了員工使用計算機的時間、訪問權限等，在設計中我們利用vpn技術，以滿足有關員工外出差時及時與公司總部取得聯系。這樣，可以組建具有寬帶通路和交互功能的專業性局域網應用于學術研究、管理和通訊三大功能。在核心層主要采用硬件與軟件技術相結合來實現其功能，而并不僅僅采用較貴的硬件來實現網絡功能，充分利用現有的資源，不浪費，不盲目追求設備的高端化，對現

11、有的計算機資源進行降級再使用。同時考慮到公司的應用環境，建設了豐富的應用服務器，以滿足信息共享的需求。同時考慮到公司今后的發展壯大，采用開放式的結構和技術，使網絡具有良好的擴充能力和開放性，以滿足今后網絡發展要求.關鍵詞：企業網絡；路由器；防火墻；交換機；vlan；布線系統abstractthe network has gradually taken into all walks of life, its important role is revealed. as soon participated in the competition of enterprise, high-tech co

12、mpany how to deal with the impact of the network times, how to use the network technology improve the companys management level and the quality of service, is a lot of enterprises are facing an important issue. in the company of the construction of enterprise internal network, i use the china teleco

13、m as isp of mature qianzhao provide ethernet technology, using the three layer structure internal, namely the core layer, exchange layer and access layer, the selected the network topology structure is, by connecting the routers, star of the firewall, switch, server, and workstations to formulate th

14、e network equipment. in the implementation of network at the same time to software system and layer 3 switches to realize the vlan management departments, and departments, the engine room access network management center, through the firewall access network, the backbone of the better and faster for

15、 the confidence of the outside world, strengthen the communication with our colleagues and competition, using c/s work mode, the effective management of the staff use the computer access time, such as in the design, we use vpn technology to meet the relevant employees on a business trip with the com

16、pany headquarters in contact. such, can form have broadband access and interactive function of professional lan used in academic research, management and communication 3 big functions. in the core mainly uses the hardware and software technologies combining to realize its function, not just the more

17、 expensive hardware to realize network function, make full use of the existing resources, waste not, not blind pursuit of high-end equipment, the existing computer resources for relegation to use. moreover, considering that the companys application environment, the construction of rich application s

18、ervers to meet the demand of information sharing. moreover, considering that the development of the future, the open structure and technology, and to make the network has good ability and the expansion of the open, to meet the requirements in the future development of network.keywords: enterprise ne

19、twork ;router ;firewall ;switches ;vlan ;wiring system 目 錄摘 要iiabstractiii第一章 緒論11.1 企業網絡設計的背景11.2企業網絡的特性1第二章 網絡的設計原則及需求分析22.1 設計原則22.2 網絡項目背景22.3 網絡系統需求分析3第三章 網絡的組建規劃設計43.1網絡拓撲結構介紹43.2網絡拓撲圖53.3 ip地址規劃63.4 網絡設計73.5 出口路由器選型12第四章 網絡技術選型144.1 路由協議-ospf144.2 vrrp（虛擬路由冗余協議）原理144.3 rstp、mstp原理144.4 nat的策略

20、路由實現154.5 vlan虛擬局域網的劃分164.6 acl訪問控制策略164.7 鏈路聚合16第五章 結構化綜合布線185.1 結構化綜合布線概述185.2 設計依據195.3 傳輸線纜選型195.4 系統設計20第六章 網絡的后期安全維護管理236.1 網絡安全236.2 網絡管理24第七章 總結26參考文獻26致 謝27- 27 -通信網絡課程設計第一章 緒論1.1 企業網絡設計的背景目前隨著信息化技術的迅速普及和廣泛應用，大量各行各業工作人員開始利用網絡這種媒體獲得所需的資料和對外界的聯系，需要與外界保持最高小的通訊與部門內的資料共享，信息化能夠有效承擔重復勞動并能加強協作，從而提高

21、工作效率。1.2企業網絡的特性在知識經濟時代，各集團為了加快集團信息化建設，需要以現代網絡技術為平臺，建設一個以集團業務綜合管理、辦公自動化、電子商務、多媒體視頻會議、遠程通訊、web信息發布為核心的企業網絡。將集團的各種辦公室、多媒體會議室、pc終端設備、應用系統通過網絡連接起來，實現內、外互聯的現代化計算機網絡系統。該網絡系統是支持辦公自動化、供應鏈管理以及各應用系統運行的基礎設施，為了確保這些關鍵應用系統的正常運行、安全和發展，系統具備如下的特性： 1、 完成集團企業網的構建，加快企業信息化建設； 2、 在整個企業集團內實現所有部門的辦公自動化，實現無紙化辦公，提高工作效率、辦公質量和管

22、理服務水平； 3、 在集團企業網內實現資源共享、web產品信息共享、實時新聞發布； 4、 在整個企業集團內實現集中式的供應鏈管理系統和客戶服務關系管理系統的第二章 網絡的設計原則及需求分析2.1 設計原則 在本系統設計中采用以下原則：（1）實用性 從保護各系統的設備投資和能夠完全滿足現實需求的角度出發，充分集成現有的各種計算機和網絡設備，使建設的系統適用、安全、可靠且易管理、維護和擴展，具有最高的性價比。（2）開放性 構造一個開放的網絡系統，是當前世界計算機技術發展的潮流，因此我們在整個系統的設計中采用的規范、設備與廠商無關，具有較強的兼容性，便于與外界異種機平滑互聯。（3）先進性 當今的計算

23、機網絡技術發展日新月異，把握不準的方向則可能導致在很短的時間內技術落伍，從而面臨被淘汰的危險。因此在堅持實用性的前提下盡量采用國際先進成熟的網絡技術和設備，適合未來的發展，做到一次規劃長期受益。（4）可擴充性 選擇的聯網方案及設備要能適應網絡規劃的不斷擴大的要求，以便于將來設備的擴充；要能適應信息技術不斷發展的要求，平穩地向未來新技術過渡。（5）可靠性 系統設計除采用信譽好，質量高的設備外，還采用一系列容錯、冗余技術、提高整個系統的可靠性（6）安全性 安全性包括兩個方面：一、網絡用戶級的安全性；二、數據傳輸級的安全性。網絡用戶級的安全性應在網絡的操作系統中予考慮，而數據傳輸的安全性則必須在網絡

24、傳輸時解決。2.2 網絡項目背景公司是一家中型企業，員工人數超過500人。公司建筑是樓層建筑，共有500多個信息點，包括可拓展點。隨著公司業務的發展，人員壯大，辦公信息化以及自動化的需求，為提高公司各個部門間辦公信息化，需要建立一個完善和穩定的企業網絡。企業網要保證整個企業信息點的互聯、高效、安全，可支持上百個用戶同時并發使用。而且要求企業網具有可拓展性，支持未來的發展，高速的、冗余的、基于標準的網絡。公司部門繁多，主要有網絡中心、后勤中心、銷售部、會議中心、財務中心、行政樓、職工宿舍信息點分布如表2.1： 表2.1 用戶數量分布表網段描述所需的ip地址數網絡中心10后勤中心100銷售中心60

25、財務中心50行政樓50職工宿舍150網絡管理系統10服務器群10（公網ip）2.3 網絡系統需求分析一、公司為中型企業，對網絡帶寬的要求較高，為保證網絡視頻、語音、圖像等信息的傳輸順暢，因此以1000mb/s光纖作為主干和垂直布線，以百兆超五類雙絞線作為水平布線，一次構建該企業網絡。二、一個完善的網絡設計方案，應該考慮網絡的拓展性。因為隨著企業的發展，規模增大，網絡用戶不斷增加，從而保證網絡的可拓展性則尤為關鍵。在設計時應充分考慮未來的企業網拓展，保證設計的網絡在未來隨時拓展。三、網絡的安全性對于企業的發展至關重要，它包括網絡安全漏洞的彌補，防攻擊，信息傳輸安全，內部安全防范，網絡防病毒，抵制

26、無用信息，以及網絡冗余能力、數據備份域災難恢復等等。第三章 網絡的組建規劃設計3.1網絡拓撲結構介紹 我們將公司總部和分部的內部網絡設計為兩級層級：(1) 核心層(2) 匯聚層(3) 接入層 這樣規劃一是能夠有良好的層次感，利于實現較為復雜的網絡功能要求；二是這樣分層能夠使每層的功能較容易實現也較清楚；三是采用這種分層方式可以支持較大的網絡規模便于企業網的升級擴大。層次化模型的好處：1、節省成本在采用層次模型之后，各層次各司其職，不再在同一個平臺上考慮所有的事情。層次模型模塊化的特性使網絡中的每一層都能夠很好地利用帶寬，減少了對系統資源的浪費。2、易于理解層次化設計使得網絡結構清晰明了，可以在

27、不同的層次實施不同難度的管理，降低了管理成本。3、易于擴展 在網絡設計中，模塊化具有的特性使得網絡增長時網絡的復雜性能夠限制在子網中，而不會蔓延到網絡的其他地方。而如果采用扁平化和網狀設計，任何一個節點的變動都將對整個網絡產生很大影響。4、易于排錯層次化設計能夠使網絡拓撲結構分解為易于理解的子網，網絡管理者能夠輕易地確定網絡故障的范圍，從而簡化了排錯過程。3.2網絡拓撲圖 圖3.1 邏輯拓撲圖 圖3.2 網絡拓撲圖3.3 ip地址規劃ip地址的合理是保證網絡順利運行和網絡資源有效利用的關鍵。企業網ip地址的分配應該盡可能地利用申請到的地址空間，充分考慮到地址空間的合理使用，保證實現最佳的網絡內

28、地址分配及業務流量的均勻分布。具體地來說ip地址的合理規劃有如下的意義：（1）減少對各種資源（內存、cpu的處理能力以及網絡帶寬等）的需求ip地址的合理規劃有利于網絡中路由的匯聚，因而可以使得核心交換機中的路由表數目以及鏈路狀態數據庫等占用的內存減少，同時更新所占用的網絡帶寬也降低了；（2）有利于ip地址空間的合理使用；（3）優化業務流量的分布；（4）有利于故障診斷。根據國際互聯網絡技術發展的趨勢，結合企業和分部的現實情況，我們建議ip地址規劃遵循如下原則來設計：（1）網絡出口、對外服務器群采用公網ip地址；（2）企業網所有網絡設備均配置內部管理ip地址，防止非法用戶登錄。（3）各接入點根據現

29、有信息點數，并預留30-40的擴容率，分配連續ip地址段；（4）各核心節點下聯各接入點分配連續ip地址段，統一在核心節點提供ip路由，并做路由聚合。（5）各核心節點內部根據用戶群體地理位置劃分vlan，并將vlan網關ip設置在各核心節點交換機上。 經過我們的計算，將各部門ip地址分配如下表3.1：表3.1 ip地址規劃表部門ip地址網段默認網關后勤中心/2454/24銷售中心/2454/24財務中心/2454/24行政樓/2454/2

30、4職工宿舍/2454/24網絡管理系統/2454/24web服務器ip地址： 0/30ftp服務器ip地址： /24路由器出口ip地址： /24以上部門的網關地址均為核心層連接端口地址，因為所采用的ip地址不在同一網段，所以vlan 的配置可以省略，需要配置的有：職工宿舍交換機、會議中心交換機、銷售部交換機。由于只有一臺連接外網的線路，因此在此我們可以設置靜態路由，但這種配置會冒極大的風險，一旦該線路出現故障，整個內網與外界的通訊將陷入癱瘓，所

31、以在此我們需要設置備用網關，即與外網設置兩條或多條線路，在多條線路間做負載均衡，詳細在下面介紹。3.4 網絡設計 3.4.1核心層網絡設計核心層的功能主要是實現骨干網絡之間的優化傳輸,骨干層設計任務的重點通常是冗余能力、可靠性和高速的傳輸。網絡的控制功能最好盡量少在骨干層上實施。核心層一直被認為是所有流量的最終承受者和匯聚者，所以對核心層的設計以及網絡設備的要求十分嚴格。核心層設備將占投資的主要部分。在設計核心層結構時，還應該充分考慮到以下幾點因素：（1）匯聚層交換機要有充足的帶寬。（2）必須具有冗余和流量均衡的功能。（3）能夠實現各種安全策略以保證網絡的安全和數據包轉發的合理，置多層交換機最

32、佳，以方便網絡的擴展。核心層交換機選用ws-c3750-24t-s,它結合業界領先的易用性和最高的冗余性，提升了堆疊式交換機在局域網中的工作效率。這個產品系列采用了最新的思科stackwise智能堆疊技術，不但實現高達32gbps的堆疊互聯，還從物理上到邏輯上使若干獨立交換機在堆疊時集成在一起，便于用戶建立一個統一、高度靈活的交換系統 - 就好像是一整臺交換機一樣。這代表了堆疊式交換機新的工業技術水平和標準。3750系列最多可以將9個交換機堆疊在一起，構成一個統一的邏輯單元，其中總共包含468個以太網或以太網供電10/100端口或者252個以太網10/100/1000端口、或9個10gb以太網

33、端口。各個10/100、10/100/1000和10gb以太網單元可以根據網絡的需要任意組合。3750系列可以使用標準多層軟件鏡像（smi）或者增強多層軟件鏡像（emi）。smi功能集包括先進的服務質量（qos）、速率限制、訪問控制列表（acl）和基本的靜態和路由信息協議（rip）路由功能。emi可以提供一組更加豐富的企業級功能，包括先進的、基于硬件的ip單播和組播路由。 表3.2 核心交換機參數表主要參數應用類型企業級交換機應用層級三層交換方式存儲-轉發背板帶寬(gbps)100gbpsvlan支持支持網絡標準ieee 802.3、10base-t,ieee 802.3u、100base-t

34、x,ieee 802.3、10base-fx,ieee802.3z、ieee 802.3x、ieee 802.3ab,10base-x傳輸速率(mbps)10/100/1000mbps端口類型10/100/1000base-t,1000base-fx端口結構非模塊化模塊化插槽數2是否支持全雙工全雙工網管支持網管型網管功能snmp, cli, web, 管理軟件堆疊支持（創新的堆疊技術）mac地址表12k尺寸（mm）參數糾錯445*301*44額定電壓(v)220v3.4.2 匯聚層網絡設計匯聚層主要承擔的基本功能有： 1 匯接接入層的用戶流量，進行數據分組傳輸的匯聚、轉發和交換； 2 根據接入

35、層的用戶流量，進行本地路由、過濾、流量均衡、qos優先級管理，以及安全機制，ip地址轉換、流量整形、組播管理等處理； 3 根據處理結果將用戶流量轉發到核心交換層或在本地進行路由處理； 4 完成各種協議的轉換（如路由的匯總和重新發布等），以保證核心層連接運行不同的協議的區域。cisco catalyst 4500系列能夠為無阻礙的第2/3/4層交換提供集成式彈性，因而能進一步加強對融合網絡的控制。可用性高的融合語音/視頻/數據網絡能夠為正在部署基于互聯網企業應用的企業和城域以太網客戶提供業務彈性。4500系列中提供的集成式彈性增強包括11超級引擎冗余（只對cisco catalyst 4507r

36、）、集成式ip電話電源、基于軟件的容錯以及1+1電源冗余。硬件和軟件中的集成式冗余性能夠縮短停機時間，從而提高生產率、利潤率和客戶成功率。 表3.3 匯聚交換機參數表主要參數交換機類型企業級交換機 應用層級三層內存64-mb dram, 32-mb flash memory傳輸速率10mbps/100mbps/1000mbps 網絡標準ieee 802.3、ieee 802.3u、ieee 802.3z、ieee 802.3x、ieee 802.3ab、ieee 802.1q、ieee 802.1d、ieee 802.1w、ieee 802.1s、ieee 802.1x、ieee 802.3a

37、f 端口結構模塊化端口數量240接口介質10/100base-t,10/100base-tx/sfp傳輸模式全雙工/半雙工自適應交換方式存儲-轉發背板帶寬100gbpsvlan支持支持qos支持支持網管支持支持網管功能snmp ，mibmac地址表32k模塊化插槽數7重量(kg)20.073.4.3接入層網絡設計 接入層為用戶提供對本地網段的訪問，它的主要作用是將工作組計算機與匯聚層連接起來，主要完成邏輯網絡分段，給予工作組或lan隔離廣播通信以及在多個cpu之間分布服務。其特點有以下幾點：（1）提供不同數量的100m端口到用戶，提供1000m上行鏈路端口到匯聚層交換機。（2）成本低，所有端口

38、支持全線速二層交換。（3）網絡設備擴展性好，可平滑升級。總部和分部接入層交換機均選用cisco ws-c2960-24-s，該款交換機具有24個10/100mbps以太網上行鏈路端口，lan基本鏡像。可提供集成安全性，包括網絡準入控制 (nac)、高級服務質量 (qos) 和為網絡邊緣提供智能服務的永續性。表3.4 接入交換機參數表主要參數交換機類型智能交換機應用層級二層內存64-mb dram, 32-mb flash memory傳輸速率10mbps/100mbps網絡標準ieee 802.1d, ieee 802.1p, ieee 802.1q, ieee 802.1s, ieee 80

39、2.1w, ieee 802.1x, ieee 802.1ab (lldp), ieee 802.3ad, ieee 802.3ah, ieee 802.3x, ieee 802.3, ieee 802.3u, ieee 802.3ab端口結構非模塊化端口數量24接口介質10/100base-t,10/100base-tx/sfp傳輸模式全雙工/半雙工自適應交換方式存儲-轉發背板帶寬16gbps包轉發率3.6mppsvlan支持支持qos支持支持網管支持支持網管功能snmpv1, snmpv2c, and snmpv3mac地址表8k模塊化插槽數2指示面板每端口狀態:連接完整性、禁用、活動、速

40、度、全雙工,系統狀態:系統、rps、鏈路狀態、鏈路雙工、鏈路速度電源100240 vac環境標準工作溫度:0-45、工作濕度:10%-85%(非冷凝)、存儲溫度:-25-70、存儲濕度:10%-85%(非冷凝)尺寸(mm)參數糾錯44445236重量(kg)3.63.5 出口路由器選型出口路由器選用cisco 2821模塊化路由器。這款路由與相似價位的前幾代思科路由器相比，cisco 2800系列的性能提高了五倍、安全性和話音性能提高了十倍、具有全新內嵌服務選項，且大大提高了插槽性能和密度，同時保持了對目前cisco 1700系列和cisco 2600系列中現有90多種模塊中大多數模塊的支持，

41、從而提供了極大的性能優勢。cisco 2800系列能以線速為多條t1/e1/xdsl連接提供多種高質量并發服務。這些路由器提供了內嵌加密加速和主板話音數字信號處理器（dsp）插槽；入侵保護和防火墻功能；集成化呼叫處理和語音留言；用于多種連接需求的高密度接口；以及充足的性能和插槽密度，以用于未來網絡擴展和高級應用。表3.5 出口路由器參數表主要參數產品類型多業務路由器包轉發率0.04mpps外形尺寸416.6*438.2*88.9mm重量11.4kgdram內存1024mbflash內存256mb固定廣域網接口可選廣域接口wic卡固定局域網接口2 個千兆位以太網 控制端口rs-232網絡管理支持

42、snmp管理,cisco clickstartvpn支持 qos支持 內置防火墻有內置防火墻網絡管理參數糾錯網管協議 cisco clickstart，snmp電源電壓100to 240 vac,47-63 hz適用環境工作溫度:0-40、工作濕度:5%95% 無凝結、存儲溫度:20-65其他性能安全標準 ul 60950:can/csa c22.2 no. 60950,iec 60950,en 60950-1,as/nzs 60950第四章 網絡技術選型4.1 路由協議-ospfospf路由協議是一種典型的鏈路狀態（link-state）的路由協議，一般用于同一個路由域內。在這里，路由域是指

43、一個自治系統（autonomous system），即as，它是指一組通過統一的路由政策或路由協議互相交換路由信息的網絡。在這個as中，所有的ospf路由器都維護一個相同的描述這個as結構的數據庫，該數據庫中存放的是路由域中相應鏈路的狀態信息，ospf路由器正是通過這個數據庫計算出其ospf路由表的。 作為一種鏈路狀態的路由協議，ospf將鏈路狀態廣播數據包lsa（link state advertisement）傳送給在某一區域內的所有路由器，這一點與距離矢量路由協議不同。運行距離矢量路由協議的路由器是將部分或全部的路由表傳遞給與其相鄰的路由器。我們在公司總部和分部的核心層交換機及出口路由器

44、上使用ospf路由協議，以實現路由的動態更新，確保全網互通。4.2 vrrp（虛擬路由冗余協議）原理vrrp給路由器組提供了一個冗余網關地址，它是一種容錯協議，通過定義 不同的組，不同優先級的路由器，它保證網絡的主路由器失效時，可以及時的由 備分來實現路由器來替代，從而保持通訊的連續性和可靠性。并可以在該協議上 實現負載均衡等高級交換特性。vrrp 技術的實現： 匯聚到核心冗余連接及 vrrp 的實現通過 vrrp 技術將多個設備虛擬成為一臺邏輯設備，實現匯聚/接入鏈路冗余。4.3 rstp、mstp原理rstp 協議完全向下兼容 802.1d stp 協議，除了和傳統的 stp 協議一樣具有

45、避免回路、提供冗余鏈路的功能 外，最主要的特點就是“快”。如果一個局域網內的網橋都支持 rstp 協議且管理員配置得當，一旦網絡拓樸改變而 要重新生成拓樸樹只需要不超過 1 秒的時間（傳統的 stp 需要大約 50 秒）。本交換機支持 mstp，mstp 是在傳統的 stp、rstp 的基礎上發展而來的新的生成樹協議，本身就包含了 rstp的快速 forwarding 機制。由于傳統的生成樹協議與 vlan 沒有任何聯系，因此在特定網絡拓樸下就會產生以下問題： 如圖4.1 所示，交換機 a、b 在 vlan1 內，交換機 c、d 在 vlan2 內，然后連成環路。 圖4.1在某種情況的配置下，

46、會造成把交換機 a 和 b 間的鏈路給 discarding.由于交換機 c、d 不包含 vlan1，無法轉發 vlan1 的數據包，這樣交換機 a 的 vlan1 就無法與交換機 b 的 vlan1 進行通訊。在網絡末梢，連接到單個工作站的時候，是不可能形成橋接環路的。在接口 上啟用了 portfast 特性，可以使交換機端口立即變為轉發狀態，提高了網絡的 響應速度及收斂時間。 基于 rstp 的交換機高級特性 uplinkfast 在網絡中的應用考慮到有冗余上行連接的網絡，使用冗余連接到上層交換機，通常情況下一 個上行連接處于轉發狀態，另一個處于阻塞狀態，如果主上行連接斷開，在使用 冗余連

47、接之前所經歷的時間高達 50s在使用 uplinkfast 之后，使的具有冗余上行連接的交換機具有根端口失效 時，另一個阻塞的上行連接能夠立即使用，這個時間大大縮小到 1-5s 之間，在校園網的特殊環境之下，能大大增強網絡的穩定性，加快網絡收斂 。4.4 nat的策略路由實現在組建網絡時，為了節約地址，我們在內部使用保留的私有地址段中的地 址，但是使用私有地址不能訪問 internet,所以必須申請多個公開地址配置在和 internet 相連的局域網邊緣設備上。應用 nat 進行地址轉換。nat 是網絡地址翻譯技術，在路由器上起用 nat 之后，可以在部私有地址和 外部公網地址之間做轉換。比如

48、我們可以把網絡內部使用的 ip 翻 譯成外部公網的 ip。配置基于策略的路由選擇時，可使用路由映射表來指定基于 ip 地址，應用 程序，協議或者分組長度的條件。基于策略的路由選擇命令對中選的路由實現策 略。基于策略的路由和靜態路由有很多共同之處。然而，靜態路由根據目標網絡 地址來轉換分組，而策略路由根據源地址來轉發分組。在路由選擇表中使用訪問 列表時，可根據諸如目標地址，分組長度，ip 協議字段，優先級或端口號來轉發數據流。這樣可以指定范圍更廣泛，更細致的條件，并根據這些條件來決定下 一跳路由器。4.5 vlan虛擬局域網的劃分vlan 虛擬局域網是一種在二層設備上隔離和劃分廣播域的技術，通過

49、這種 劃分，我們可以把物理位置上分離的網絡設備在邏輯上劃為同一個廣播域，或者 把物理位置上鄰近的網絡設備劃為不同的廣播域，從而更方便我們管理和做一個 邏輯層次的劃分。從技術上說 vlan 可以分為靜態 vlan 和動態 vlan,那么靜 態的 vlan 是基于交換機端口進行劃分，根據網絡設備連接不同的交換機端口， 則進入相應的 vlan。動態 vlan 則更靈活，它可以根據接入計算機的 ip 地址， mac 地址，甚至是用戶的登陸賬號做出相應的處理，把計算機劃分進相應的 vlan 中，這樣就為我們實際的網絡管理帶來了比較大的方便性和靈活性。 那么在我們的企業網方案中，我們希望通過使用vlan

50、技術進行劃分達到以下 目的：隔離，劃分廣播域，減小不必要的廣播流量，從而提高整個網絡的利用效率。4.6 acl訪問控制策略訪問列表為我們提供了一種對網絡訪問進行有效管理的方法，通過訪問列 表，我們可以設置允許或拒絕數據包通過路由器，或者允許或者拒絕具體的某些 端口進行訪問和使用，如果滿足條件則執行相應的操作，放行這個包或者放棄這 個包。我們通過這些設置來滿足實際網絡的靈活需求，從而達到設置網絡安全策 略，防止網絡中的敏感設備受到非授權訪問的情況。在具體實現過程中從技術上來說我們需要了解到 acl 分為兩種類型,他們分 別是標準訪問列表(standard access lists)和擴展訪問列表

51、（extends access lists） 前者在過濾網絡的時候只使用 ip 數據報的源地址，那么在使用這種訪問列表的 情況下它做出允許或者拒絕這個決定完全是依賴于源 ip 地址，它無法區分具體 的流量類型。而擴展訪問列表則可以提供更細的決定，它可以具體到端口，從而 精確到某一個服務，比如對 web,ftp 的訪問等，給我們網絡的策略提供了更細 的控制手段。我們利用這種訪問列表進行協議級的控制以達到對網絡一個有效的 管理。標準訪問控制列表一般放在靠近目標的路由器上,而擴展訪問控制列表一 般放于近源端的路由器上。4.7 鏈路聚合以太網信道鏈路聚合可以讓交換機之間和交換機與服務器之間的鏈路帶寬有

52、非常好的 伸縮性，比如可以把 2 個、3 個、4 個千兆的鏈路綁定在一起，使鏈路的帶寬成 倍增長。鏈路聚合技術可以實現不同端口的負載均衡，同時也能夠互為備份，保 證鏈路的冗余性。在這些千兆以太網交換機中，最多可以支持 4 組鏈路聚合，每 組中最大 4 個端口。鏈路聚合一般是不允許跨芯片設置的。生成樹協議和鏈路聚合都可以保證一個網絡的冗余性。在一個網絡中設置冗余鏈路，并用生成樹協議讓備份鏈路阻塞，在邏輯上不形成環路。而一旦出現故障，啟用備份鏈路。第五章 結構化綜合布線 5.1 結構化綜合布線概述 建筑物結構化綜合布線系統(scs)又稱開放式布線系統，是一種在建筑物和建筑群中綜合數據傳輸的網絡系統

53、。它是把建筑物內部的話音交換、智能數據處理設備及其它廣義的數據通信設施相互連接起來，并采用必要的設備同建筑物外部數據網絡或電話局線路相連接。結構化布線系統是根據各節點的地理分布情況、網絡配置情況和通信要求，安裝適當的布線介質和連接設備，使整個網絡的連接、維護和管理變得簡單易行。（一）先進性原則 作為一個系統，先進性是系統賴以生存發展的條件。為保證網絡工程在一定時期內不落后，及系統互連的方便性，我們在該系統的設計時，盡可能采用先進開放的技術和產品。從國內外的一些系統建設的實際經驗和教訓來看，先進性如不能保證，則會在系統的使用階段出現后期投資追加過大，系統維護費用加大等問題。（二）兼容性 scs是

54、一套全開放式的布線系統，具有一套全系列的的適配器，可以將不同廠商的設備的不同傳輸介質全部轉換成相同的utp，通過utp可傳輸語音、數據、圖象、視頻信號、樓宇自控信號等，采用光纖可傳輸遠程高速傳輸數據，高清晰度圖象信號，可支持目前所有數據及語音設備廠商的系統。（三）可管理性和可維護性原則 作為一個系統，其網絡管理和維護十分重要，直接關系到整個網絡是否能穩定而可靠地運行。在二龍路醫院網絡工程中，除了在網絡設計時采用了統一等建網模式，利用了結構清晰的網絡拓撲，還將提供一整套網絡測試或維護方案。采用物理星型布線方式，所有設備的開通及更改均不需改變系統布線，只需增減相應的網絡設備及做必要的跳線管理即可。

55、（四）開放性與標準化 開放性與標準化原則是一個系統賴以生存發展的基礎。開放的系統，才能發展，才能體現良好的低投入高產出的投資收益。只有堅持標準化的系統，才能保護用戶的投資，才能發展，才能體現良好的可擴展和互操作能力，對于計算機綜合管理網絡這樣一個系統，開放性與標準化原則是十分必要的。從國內外的一些系統建設的實際經驗和教訓來看，開放性與標準化原則如不能保證，則會在系統的使用階段出現后期使用和維護的困難，系統維護費用加大，系統發展較困難甚至必須重復投資等問題。所有的設備選型、材料選型、施工工藝、施工流程、工程管理、系統測試、工程文檔總結全部嚴格按照國際、國家相關標準實施。（五）可靠性原則 網絡工程其可靠性和穩定性直接關系到應用得好壞。網絡系統的故障可能直接給應用