中小型企業(yè)網絡規(guī)劃設計和實施方案的課件

1、中小型企業(yè)網絡規(guī)劃設計和實施方案 第一章網絡系統(tǒng)設計概述1.1項目背景 1.2項目流程 1.3項目調查與分析 1.3.1總體目標 1.3.2具體調查與分析第一章 網絡系統(tǒng)設計概述項目背景：隨著網絡的逐步普及，中小型企業(yè)的建設是企業(yè)向信息化發(fā)展的必然選擇，企業(yè)網絡系統(tǒng)是一個非常龐大而復雜的系統(tǒng)，它不僅為企業(yè)現(xiàn)代化、綜合信息管理和辦公自動化等一系列應用提供基本操作平臺，而且能提供多種應用服務，使信息能及時、準確地傳送給各個系統(tǒng)。而中小型企業(yè)工程建設中主要應用了網絡技術中的重要分支局域網技術來建設與管理的，因此本畢業(yè)設計課題將主要以中小型局域網絡建設過程可能用到的各種技術及實施方案為設計方向，為中小

2、型企業(yè)的建設提供理論依據和實踐指導。 網絡項目施工一般可以分成三個階段：項目調查與分析、項目實施、項目驗收。對不同類型的網絡項目施工，這三個階段地具體內容可能會有所不同。制定項目計劃時，要針對網絡項目施工類型制定完整、準確的項目流程，為后續(xù)工作做好充分的準備。本項目包括IP地址、交換機和路由器配置，項目流程：本項目是針對企業(yè)局域網的項目，首先，要對工程項目進行總體目標分析，再根據項目實施原則，對項目進行具體的調查與分析，畫出網絡拓撲結構圖。然后，對設備命名與用途進行規(guī)范，并列出設備清單，可根據本項目的特點，進行IP地址的分配、交換機的配置、路由器的配置和系統(tǒng)擴展和優(yōu)化，最后，對設備正常與否方面

3、進行驗收，對網絡整體性能進行驗收。項目調查與分析總體目標因為本項目是企業(yè)局域網，目的要求，要求企業(yè)內部主機和部分局域網用戶能同時上INTERNET，并要求財務部和研發(fā)部只有總經理有權訪問，其它部門可以相互訪問，企劃部和人事部上班時間不能訪問外網，各部門均有流量限制，樓內有OA辦公系統(tǒng)、財務管理系統(tǒng)、FTP服務器、DNS服務器、WEB服務器，故要有路由，防火墻，核心交換，二層交換，服務器等。辦公室一樓辦公室二樓公司辦公大樓有兩層，為了方便用戶接入和擴展，路由、三層、匯聚層設備都安置在網絡中心，接入層設備安置在辦公室。為了使網絡通信時安全可以使用劃分VLAN并在三層交換上做訪問控制列表以使不同VL

4、AN之間不能互相訪問，為了做到上網時間的控制，在三層交換上會使用到訪問控制列表。 第二章：需求分析需求分析為實現(xiàn)上述目標，可以把整個系統(tǒng)建設分成兩個部分，即：網絡平臺建設和Internet/Intranet平臺建設。（1）網絡平臺是建立在結構化布線基礎上的最基本的平臺。可靠的網絡平臺是Internet/Intranet系統(tǒng)及應用系統(tǒng)正常運行的基礎。網絡平臺的設計應包括局域網的設計、廣域網的設計。（2）Internet/Intranet平臺包括Intranet、Internet和Extranet。三者的關系如圖：Internet/Intranet系統(tǒng)具有客戶端單一界面、易于使用的特點。在中中國港

5、灣建設總公司的平臺建設中，Extranet部分對應于與各合作伙伴信息交流的相關部分。網絡系統(tǒng)主要是以光纖作為傳輸媒介、以IP 和 Intranet技術為技術主體、以核心交換機為交換中心、下屬部門信息網絡系統(tǒng)為分節(jié)點的多層結構、提供與各種職能相關的、功能齊全、技術先進、資源統(tǒng)一的網上應用系統(tǒng)，進一步可擴展成為多功能網絡平臺?？傮w目標是建立該企業(yè)的辦公業(yè)務信息網絡交換平臺，集成下屬各部門信息網絡系統(tǒng)，功能齊全、技術先進、集成化的網絡系統(tǒng)。2.1設計網絡需求(1)信息的共享；(2)公司管理；(3)辦公自動化；(4)高速Internet 沖浪。2.2網絡功能1）建立公司自己的網站，可向外界發(fā)布信息，并

6、進行網絡上的業(yè)務。2）要求供銷部可以連接Internet，與各企業(yè)保持聯(lián)絡，接受訂單及發(fā)布本公司產品信息。其他部門都不能連接Internet，但要求公司內部由網絡連接。3）公司內部網絡實現(xiàn)資源共享，以提高工作效率。4）建立網絡時應注意網絡的擴展性，以方便日后的網絡升級和增加計算機。5）在公司內部建立公司的數據庫，如員工檔案，業(yè)務計劃，會議日程等。2.3企業(yè)辦公網主干和信息點需求及分布擬建的企業(yè)網絡主要涉及到四幢建筑物：行政樓（含附近的門衛(wèi)）、生產車間（含附近的廠區(qū)辦）、運輸樓（含附近的工段辦）。這四幢建筑物之間擬通過光纜連接。網絡中心和機房設在行政樓內。信息點需求為：行政樓： 801個（含門衛(wèi)

7、1個）生產車間：364個（含廠區(qū)辦4個）運輸樓： 20個（全為工段辦）主干網接入全球互聯(lián)信息網外接（Internet），各子網再接入主干通信網。主干網接入Internet的方式可是有線綜合寬帶網，速率可在100Mbps左右。主干為千兆光纖線路，其它線路為超五類雙絞線。2.4投資預算要求投資在20萬元以內，包括局域網設計（可利用原有寬帶設備），交換機設備，綜合布線等。 第三章 網絡系統(tǒng)設計本系統(tǒng)設計主要進行節(jié)點網絡拓撲、路由組織、IP 地址、網絡安全設計、VLAN 劃分和設備的具體配置等設計，詳細描述所采用的設備及性能參數、網絡管理。3.1 網絡設計依據(1)遵循中國公眾多媒體通信網技術體制、中

8、國公眾多媒體通信網工程實施技術要求以及其它國家相關標準和技術體制。(2)采用層次化設計，網絡結構的不同部分有不同的功能，使網絡具有優(yōu)良的結構。(3)優(yōu)化網絡和系統(tǒng)結構，并在各個層面考慮冗余和備份，使系統(tǒng)具有較高的容錯能力和應變能力，以保證系統(tǒng)的可靠和有效運作。(4)選用的技術確保開放性、可移植性、兼容性和可擴展性。(5)采用通用的國際標準和協(xié)議，不采用有礙網絡互通的廠家特有性能。(6)提供有效的安全保密措施，確保整個網絡的安全。重要網絡設備應有適當的冗余備份。(7)盡量詳細準確，減低工程的復雜程度，使系統(tǒng)建設和改造的工作量減至最少，以保證工程的順利和有效完成。3.2設計要求（1）實用性：網絡建

9、設從應用實際需求出發(fā)，堅持為領導決策服務，為經營管理服務，為生產建設服務。另外，如果是對現(xiàn)有網絡升級改造，還應該充分考慮如何利用現(xiàn)有資源，盡量發(fā)揮設備效益。（2）適度先進性：規(guī)劃局域網，不但要滿足用戶當前的需要，還應該有一定技術前瞻性和用戶需求預見性，考慮到能夠滿足未來幾年內用戶對網絡功能和帶寬的需要。采用成熟的先進技術，兼顧未來的發(fā)展趨勢，即量力而行，又適當超前，留有發(fā)展余地。（3）經濟性：要求價格適中，設備及耗材要求采用質量過硬，物美價廉，投資預算不超過20萬。（4）安全可靠性：確保網絡可靠運行，在網絡的關鍵部分應具有容錯能力，提供公共網絡連接、通信鏈路、服務器等全方位的安全管理系統(tǒng)。（5

10、）開放性：采用國際標準通信協(xié)議、標準操作系統(tǒng)、標準網管軟件、采用符合標準的設備，保證整個系統(tǒng)具有開放特點，增強與異機種、異構網的互聯(lián)能力。（6）可擴展性：系統(tǒng)便于擴展，保證前期的投資的有效性與后期投資的連續(xù)性（7）安全保密性：為了保證網上信息的安全和各種應用系統(tǒng)的安全，在規(guī)劃時就要為局域網考慮一個周全的安全保密方案。3.3設計目標該企業(yè)網絡系統(tǒng)應是一個以寬帶IP網為目標，建立數據、語音、視頻三網合一的一體化內部辦公網絡和外部寬帶。網絡系統(tǒng)應實現(xiàn)虛擬局域網（VLAN）的功能，以保證全網的良好性能及網絡安全性。主干網交換機應具有很高的包交換速度，整個網絡應具有高速的三層交換功能。主干網絡應該采用成

11、熟的、可靠的千兆以太網技術作為網絡系統(tǒng)主干。同時該網應選用先進的網管軟件，建立完善的網絡管理體系；在設備方面，應選擇有成功案例的網絡廠商的設備，同時為Intranet、撥號用戶和移動用戶提供接口，網絡還應具有良好的擴展性。3.4設備分析根據對網絡需求的考察，根據合理性、實用性和節(jié)約費用等原則進行設備選擇：1）基于路由器和交換機的局部網間的互聯(lián)是最好的解決方案。網絡協(xié)議方面，以網際協(xié)議（IP）作為校園網網絡系統(tǒng)的公用網絡協(xié)議實行標準化，使用IP作為標準傳輸協(xié)議，在以后對網絡進行擴充以與其它的網絡互連時，可以跨越多個平臺自然而然地提供互操作能力和無縫連接功能。2）在主干網建設時，選擇3Com和Ci

12、sco系統(tǒng)產品，它能夠以極具競爭力的價格提供所有技術，為我們提供一個集成化、高性能、靈活、可伸縮、安全和高性能價格比的解決方案的標準。3）在局部網建設方面，選擇使用CISCO設備和TP-LINK產品作為骨干網基礎設施的基礎。 CISCO設備和TP-LINK方案提供了可伸縮的結構和高性能的設備，能夠高速傳輸數據，同時通過它們Secure技術保證了安全地接入Internet和一體化的網絡解決方案。4）計算機終端設備的選型既考慮性能、價格比、設備的運行維護費用，也考慮設備的可擴充性，確保系統(tǒng)主要設備的投入在整個系統(tǒng)的生命周期內能得到充分利用并具有強健靈活的體系結構。同時，也考慮局部子網對硬件和信息流

13、量的要求，必須能夠提供專用的高速帶寬，以處理日常數據信息和峰值操作，并能夠支持各種新技術和新增用戶。5）安全性是另一個關鍵要求，要保證能夠安全地接入Internet。3.5網絡拓撲結構設計在用戶的網絡結構設計中，我們建議采用層次化的結構設計。 對于用戶即將建設的網絡系統(tǒng)來說，想要建設成為一個覆蓋范圍廣、網絡性能優(yōu)良、具有很強擴展能力和升級能力的網絡，在起初的設計中就必須采用層次化的網絡設計原則。采用這樣的結構所建設的網絡具有良好的擴充性、管理性，因為新的子網模塊和新的網絡技術能被更容易集成到整個系統(tǒng)中，而不破壞已存在的骨干網。 大多數的網絡都可以被層次性劃分為三個邏輯服務單元：核心骨干網(Ba

14、ckbone)、匯聚網(Distribute)和接入網(Localaccess)，模塊化網絡設計方法的目標在于把一個大型的網絡元素劃分成一個個互連的網絡層次。層次性結構如下圖所示。根據項目的具體需求及現(xiàn)有的光纖結構，結合網絡建設的基本理論和原則，各入網部門的實際情況，應用需求，資金條件和遠，近目標等各方面的要求，設計出該網絡為拓撲結構為分層的集中式結構或稱星型分級拓撲。內部網絡拓撲圖：網絡邏輯拓撲結構如圖所示。它是在基于高端路由交換機的基礎之上而設計的新的網絡拓撲結構。簡要說明如下：整個網絡由核心層、匯聚層和接入層兩大部分組成。核心層是由CISCO WS-C3560-48TS-S企業(yè)級核心路由

15、交換機組成。匯聚層由CISCO WS-C3560-24TS-S路由交換機組成。接入層是由接入層樓層交換機CISCO WS-C2918-24TC-C組成。 主要網絡設備列表：拓撲結構設備型號數量（臺）換機核心層路由交CISCO WS-C3560-48TS-S2匯聚層路由CISCO WS-C3560-24TS-S3交換機接入層樓層交換機CISCO WS-C2918-24TC-C26以行政樓中心機房為中心，下屬部門為接入點的星型連接方式?，F(xiàn)階段出于用戶的應用和先進性考慮，通過千兆光纖連接。 各樓層的辦公網是以星型的方式千兆直接連接到各匯聚機房的匯聚交換機上后，由匯聚交換機通過千兆接到核心交換機。我們

16、可采用千兆路由交換機與各 LAN 網段的交換機（Switch）連接而組成星型網絡，實現(xiàn)千兆核心網絡到各樓層，百兆到桌面，滿足各種應用的需要。 核心層交換機與服務器群的相連是以千兆以太網的方式。以上拓撲結構設計有以下特點： 它充分利用網絡資源，把交換路由模塊分開成第二層交換和第三層路由，這樣做對網絡的性能大有改善。 網絡拓撲結構層次清楚，易于擴充和升級（后面有升級的拓撲方案），同時體現(xiàn)了開放式的體系結構。 由于核心交換機所承載的流量相應減少，從另一個角度來說，也即提高了網絡整體的可靠性，對用戶的QoS 從網絡結構的優(yōu)化上得到了保證。 大大減少網絡瓶頸和由于鏈路、路由而導致的故障。 通過在網內劃分

17、 VLAN 的技術來確保網絡內部的安全性。3.6內部網絡設計3.6.1核心層交換機的設計核心層主要功能是給下層各業(yè)務匯聚節(jié)點提供 IP 業(yè)務平面高速承載和交換通道，負責進行數據的高速轉發(fā)，同時核心層是局域網的骨干，是局域網互連的關鍵。對核心骨干網絡設備的部署應為能夠提供高帶寬、大容量的核心路由交換設備，同時應具備極高的可靠性，能夠保證24小時全天候不間斷運行，也就必須考慮設備及鏈路的冗余性、安全性，而且核心骨干設備同時還應擁有非常好的擴展能力，以便隨著網絡的發(fā)展而發(fā)展。 基于對核心層的功能及作用，根據用戶的實際需求，本方案中對網絡系統(tǒng)中核心層由CISCO系列的企業(yè)級核心交換機WS-C3560-

18、48TS-S組成。其主要任務是提供高性能、高安全性的核心數據交換、QoS 和為接入層提供高密度的上聯(lián)端口。為整個大樓寬帶辦公網提供交換和路由的核心，完成各個部分數據流的中央匯集和分流。同時為數據中心的服務器提供千兆高速連接。 根據該企業(yè)的建筑分布及網絡規(guī)模，以行政樓的中心機房作為整個網絡系統(tǒng)的核心節(jié)點。核心節(jié)點由2臺同檔次的網絡核心設備構成，它們互為備份且流量負載均衡。2臺網絡核心交換機作為整個網絡的核心層設備，為各個匯聚層和接入層交換機提供上聯(lián)。同時提供了各個服務器的可靠接入。 由于WS-C3560-48TS-S是路由交換機，也即同時具有第二層和第三層的交換能力，為了充分利用資源，將WWW服

19、務器、 Email服務器、數據庫服務器、文件VOD服務器、認證的服務器（Radius server）以及網管設備等通過千兆直接連人核心交換機，以解決帶寬瓶頸，充分利用核心交換機的交換能力。 核心交換機作為信息網絡的核心設備，性能的優(yōu)劣直接影響到整個網絡運行。在設備的選型上必須考慮到有足夠的背板帶寬，包交換能力，是否支持設備的冗余，安全性，擴展性等各種性能。企業(yè)級核心交換機WS-C3560-48TS-S完全滿足上述的各項要求。企業(yè)級核心路由交換機WS-C3560-48TS-S的性能特性及技術指標如下：交換機類：企業(yè)級交換機應用層級：三層接口介質：10/100 BASE-T/ 100FX傳輸速率：

20、10Mbps/100Mbps端口數量：48背板帶寬：32GbpsVLAN支持：支持 網管功能：網管功能 SNMP, CLI,包轉發(fā)率：13.1MppsMAC地址：12k網絡標準：IEEE 802.3, 802.3u,端口結構：非模塊化3.6.2匯聚層交換機的設計匯聚層主要完成的任務是對各業(yè)務接入節(jié)點的業(yè)務匯聚、管理和分發(fā)處理，是完成網絡流量的安全控制機制，以使核心網和接入訪問層環(huán)境隔離開來；同時匯聚層起著承上啟下的作用，對上連接至核心層，對下將各種寬帶數據業(yè)務分配到各個接入層的業(yè)務節(jié)點，匯聚層位于中心機房或下聯(lián)單位的分配線間，主要用于匯聚接入路由器以及接入交換機。 因此對匯聚層的交換機部署時必

21、須考慮交換機必須具有足夠的可靠性和冗余度，防止網絡中部分接入層變成孤島；還必須具有高處理能力，以便完成網絡數據會聚、轉發(fā)處理；具有靈活、優(yōu)化的網絡路由處理能力，實現(xiàn)網絡匯聚的優(yōu)化。而且規(guī)劃匯聚層時建議匯聚層節(jié)點的數量和位置應根據業(yè)務和光纖資源情況來選擇；匯聚層節(jié)點可采用星形連接，每個匯聚層節(jié)點保證與兩個不同的核心層節(jié)點連接。 根據匯聚層在整個網絡中的作用以及用戶的實際需求，本方案中匯聚層共設計了3個節(jié)點，即：行政樓、生產車間和運輸樓（工段辦）。 匯聚層網絡設備全部采用了CISCO WS-C3560-24TS-S交換機。該交換機支持各種高級路由協(xié)議，如 BGP4、RIPV1、RIPv2、VRRP

22、、OSPF、IP 組播、IPX 路由。 匯聚路由交換機CISCO WS-C3560-24TS-S的性能特性及技術指標如下：交換機類：企業(yè)級交換機應用層級：三層接口介質：10/100 BASE-T/ 100FX傳輸速率：10Mbps/100Mbps端口數量：24背板帶寬：32GbpsVLAN支持：支持網管功能：SNMP, CLI, Web, 管理3.6.3接入層交換機的設計接入層主要用來支撐客戶端機器對服務器的訪問，主要是指接入路由器、交換機、終端訪問用戶。它利用多種接入技術，迅速覆蓋至用戶節(jié)點，將不同地理分布的用戶快速有效地接入到信息網的匯聚。對上連接至匯聚層和核心層，對下進行帶寬和業(yè)務分配，

23、實現(xiàn)用戶的接入。 根據我們所借鑒的項目設計經驗，匯聚層節(jié)點與接入層節(jié)點可考慮采用星形連接，每個接入層節(jié)點與兩個匯聚層節(jié)點連接。當接入層采用其它結構（如環(huán)行）連接到匯聚層時，建議提供兩條不同路由通道。 根據接入層處在網絡系統(tǒng)中所起的作用以及用戶的實際需求，本方案中接入層部分由CISCO公司的WS-C2918-24TC-C交換機構成。其主要功能是為該區(qū)域下屬各部門的網絡用戶提供大量性價比極高的10/100 兆網絡接口，并與信息中心的核心交換機通過 1000 兆光纖鏈路互聯(lián)為接入的用戶提供高速上聯(lián)。接入層樓層交換機CISCO WS-C2918-24TC-C的性能特性及技術指標情況如下：交換機類：快速

24、以太網交換機應用層級：二層傳輸速率：10Mbps/100Mbps/1000M端口數量：24背板帶寬：16GbpsVLAN支持：支持網管功能：Cisco IOS CLI,Web瀏包轉發(fā)率：6.5MppsMAC地址：8K 網絡標準：IEEE 802.1D,IEEE 802端口結構：非模塊化交換方式：存儲-轉發(fā)產品內存：64MB傳輸模式：支持全雙工網管支持：支持模塊化插：23.6.4路由協(xié)議的設計如果網絡中只有一個路由器或路由交換機，不需要使用路由協(xié)議；只有當網絡中具有多個路由器時，才有必要讓它們去共享信息。但如果僅有小型網絡，完全可以通過靜態(tài)路由手動地更新路由表?，F(xiàn)使用較多的路由協(xié)議，主要以下幾種

25、： （1）RIP RIP（Route information protocol，即路由信息協(xié)議）是基于 D-V算法（距離向量算法）的內部動態(tài)路由協(xié)議。RIP 協(xié)議的標準主要有 RFC1058（版本 1）和 RFC1723（版本2）。 （2）OSPF OSPF（Open Shortest Path First，即最短路徑優(yōu)先協(xié)議）是一種基于鏈路狀態(tài)的內部動態(tài)路由協(xié)議。目前 OSPF 的主要標準是 RFC2328（版本 2）。完整的OSPF 功能包括支持廣播、NBMA、點到多點、點到點四種接口類型，以及MD5 驗證、區(qū)域劃分、區(qū)域間路由聚合、虛連接、STUB 區(qū)域等特性。 3.7 IP地址的設計（

26、1）根據目前網絡結構和以后擴展，遵循以下原則進行IP 地址分配。 唯一性：IP 地址必須唯一，一個 IP 地址對應一臺數據通訊設備； 連續(xù)性：為同一網絡區(qū)域分配連續(xù)的網絡地址，便于規(guī)劃，同時提高路由器尋徑效率； 可管理性：地址的分配應該有層次性，某個局部的變動不影響網絡的其它部分； 高效性：采用可變長子網掩碼技術，要求采用支持可變長子網掩碼技術的 TCP/IP 協(xié)議族； 可匯聚性：方便路由匯總，縮減路由表條目，提高路由器處理效率。 可擴展性：既要考慮到 IP 地址的使用現(xiàn)狀，又要考慮到未來信息網絡的發(fā)展，為各單位分配合理的地址空間，在網絡上盡可能少地做 NAT，減少網絡設備 CPU 處理負擔和

27、加快網絡訪問速度。 （2）業(yè)務地址的劃分可以按照兩個原則來分配： 按照部門規(guī)劃，每個部門一個獨立的網段；這種方案適合業(yè)務種類單一的情況，管理方便。 按照業(yè)務規(guī)劃，每種業(yè)務一個網段，所有的地市同一業(yè)務使用同一網段，這種方案適合業(yè)務之間互訪的控制。 3.7.2 網絡地址分配 3.7.2 網絡地址分配 IP 地址規(guī)劃和分配包括以下內容： （1）設備及互連鏈路地址規(guī)劃與分配 （2）業(yè)務地址規(guī)劃與分配 （3）服務器地址規(guī)劃與分配 根據以上 IP 地址的劃分原則，本方案建議 IP 的設計如下：A段（行政樓、門衛(wèi)）： 55/22B段（生產車間、產區(qū)辦）：55/23C段（運輸樓、工段辦）： 1/273.8 V

28、LAN的設計3.8.1 VLAN的劃分的作用及原則VLAN（Virtual Local Area Network）是虛擬局域網的英文縮寫，它最簡明的描述就是可以實現(xiàn)將連接在同一個物理網絡上面的主機分組，使它們看起來就象連接在不同的網絡上一樣。我們可以通過 VLAN 為網絡分段，各個網段可以共用同一套網絡設備，節(jié)約了網絡硬件的開銷，同時在遷移中所需的工作量也大幅度降低了，從而降低了連網成本。在用戶的企業(yè)局域網系統(tǒng)中，我們建議基于IEEE 802.1Q 標準實現(xiàn) VLAN，在 VLAN 設計中，我們使用 VLAN 達到兩個目的： 第一，不同業(yè)務部門之間的隔離和通信控制； 第二，廣播范圍抑制。3.8

29、.2 VLAN 劃分我們建議根據各個辦公室的地理位置來劃分VLAN， 如果同一棟樓內包含很多部門，而這些部門的職能和工作內容又有很大的區(qū)別，我們就可以在樓內按照部門來劃分VLAN。 另外，如果某個部門需要跨越很多建筑物，分布范圍比較廣，例如部門A 分布的很散，在很多交換機上都預留了部門 A 的信息點，我們則可以按照交換機的位置來設置 VLAN，這樣，部門A就可能對應多個VLAN，如果部門A所對應的VLAN之間需要通信的話，我們可以通過VLAN間的路由來實現(xiàn)。這樣做的好處是：可以減少廣播數據包對網絡主干的影響。因為如果將部門A 全部劃分到一個 VLAN 中，而這些 VLAN 又跨越了網絡主干，分

30、布在眾多不同的交換機上，這樣如果有廣播包時，這些廣播包必然會在網絡的主干上傳輸，然后到達相應的交換機上，也就占用了網絡主干的帶寬，容易造成其他業(yè)務的時延。 為了減少傳輸沖突，提高系統(tǒng)整體性能和網絡處理能力，另外，還考慮到網絡良好的管理性，易于維護和安全策略的實施，針對用戶網絡系統(tǒng)的實際情況，可以把功能（應用）相近的設備群組劃分到同一VLAN，不同部門的設備劃分到不同VLAN 中去，這樣就能夠通過訪問控制列表技術實施安全策略。限制未授權的用戶訪問重要的服務器和數據庫。VLAN劃分舉例：VLAN用途命名規(guī)范表VLAN 10財務部FINANCIALVLAN 11市場銷售部MARKETVLAN 12管

31、理部MANAGING3.8.3 VLAN 之間安全控制在用戶網絡系統(tǒng)中，由于在中心使用了三層核心交換機，因此所有的VLAN 之間的訪問都需要通過三層核心交換機進行，因此可以通過ACL（訪問控制列表）控制VLAN之間的流量，這樣就可以允許高優(yōu)先級的VLAN段訪問低優(yōu)先級的VLAN段，而低優(yōu)先級的VLAN 段不能訪問或有限的訪問高優(yōu)先級 VLAN段。3.10外部網絡設計該企業(yè)網絡用戶為對Internet進行訪問，而且為了保證其安全性，要求能夠訪問Internet的用戶與不能訪問Internet的用戶進行完全的物理隔離，則需要另建立一套網絡系統(tǒng)(簡稱為外網)。網絡用戶(即外網用戶) 通過外網布線系統(tǒng)

32、接至各樓層的交換機，匯總到外網的主交換機后，接入到防火墻上，防火墻通過 IP 地址轉換功能（NAT），將網絡用戶(即外網用戶)的私有 IP 地址轉換成Internet公網 IP 地址，通過光電轉換器與電信相連的方式訪問Internet，以使該企業(yè)網絡內外網互相獨立，達到完全的物理隔離的目的。與外部網絡互連的設備是帶防火墻的路由器，根據需要選擇企業(yè)級路由器D-Link DI-7500的性能特性及技術指標情況如下：端口結構：非模塊化廣域網接：2個局域網接：4個傳輸速率：10/100/1000Mbps網絡管理：GUI/WEB管理用戶數量：800臺防火墻：內置防火墻Qos支持：支持VPN支持：支持處理

33、器：64位全千兆網絡芯片網絡安全：支持網站過濾 上網限制狀態(tài)指示：Link/Act，速度，電源，電源功率：最大25W環(huán)境標準：工作溫度：0-40 工作其它性能：ADSL、光纖、以太網、CA3.11 綜合布線企業(yè)綜合布線系統(tǒng)由工作區(qū)子系統(tǒng)、水平布線子系統(tǒng)、垂直干線子系統(tǒng)、管理子系統(tǒng)和建筑群子系統(tǒng)組成。它的設計原則如下：（1）開放性嚴格按照IEEE802、EIA/TIA 568等工業(yè)及建筑布線標準和中國建筑電氣設計/工業(yè)企業(yè)通信設計規(guī)范。（2）實用性適應企業(yè)現(xiàn)在和將來發(fā)展的需要，具備數據通信、語音通信和圖像通信的功能。（3）靈活性布線系統(tǒng)中任一信息點能夠很方便地與多種類型設備（如電話、計算機、檢測

34、器件以及傳真等）進行連接。3.9 網管系統(tǒng)的設計網絡管理系統(tǒng)時對整個網絡進行監(jiān)視、控制和維護管理，以提高網絡的有效性、利用率、安全性和可靠性。網絡管理系統(tǒng)由網管中心、網管單元、管理信息庫和網絡管理協(xié)議四部分組成。 網管中心是網管人員和管理信息系統(tǒng)間的接口，它將網管人員的命令轉換為對實際網元的監(jiān)視和控制。網管單元在每個節(jié)點執(zhí)行各項網絡管理任務，采集網絡資源信息，存儲本地相關數據并響應網管人員命令。管理信息庫(MIB)存放各種網絡管理信息的特征參數和邏輯結構。網絡管理協(xié)議按規(guī)約執(zhí)行網管人員與網管單元和管理信息庫之間的通信。 該企業(yè)網絡系統(tǒng)設一個網管中心，該中心設在行政樓機房，負責對全網進行管理。（

35、4）可擴展性布線系統(tǒng)具有較強的可擴展性，在將來需要時可以很容易地將所擴充的設備連接到系統(tǒng)中來，實現(xiàn)各種網絡服務與應用。（5）經濟性綜合布線系統(tǒng)是一種既具有良好的初期投資特性，即在今后若干年中不增加新的投資情況下仍能保持建筑物的先進性，又是具有極高的性能價格比的高科技產品。通常情況下，綜合布線系統(tǒng)的使用壽命為15年。（6）可靠性綜合布線系統(tǒng)采用高品質的材料和組合壓接的方式構成一套高標準的信息通道。每條通道都采用專用儀器校核線路衰減、串音、信噪比，以保證其電氣性能不會造成交叉干擾。所以，北方公司應采用綜合布線系統(tǒng)，才能更好的發(fā)揮千兆局域網的威力。第四章 方案實施4.1 實施原則系統(tǒng)要有可擴展性和可

36、升級性，隨著業(yè)務的增長和應用水平的提高，網絡中的數據和信息流將按指數增長，需要網絡有很好的可擴展性，并能隨著技術的發(fā)展不斷升級。易擴展不僅僅指設備端口的擴展，還指網絡結構的易擴展性：即只有在網絡結構設計合理的情況下，新的網絡節(jié)點才能方便地加入已有網絡；網絡協(xié)議的易擴展：無論是選擇第三層網絡路由協(xié)議，還是規(guī)劃第二層虛擬網的劃分，都應注意其擴展能力。（1）C類私有地址的容量可以滿足今后的擴容需求，可以滿足整個教學樓IP配置需要。（2）交換機留有空余接口，可供未來擴充之用。4.2 網絡拓撲圖為了使網絡管理更加方便，劃分VLAN，設置訪問控制列表，將一個部門分為一個VLAN，總經理分為一個VLAN。如

37、圖所示:4.3 項目實施4.3.1設備用途與命名規(guī)則設備安裝位置代碼安裝地點地點名稱備注營銷部 101辦公室營銷部 102辦公室營銷部 103辦公室人事部 104 辦公室人事部 105 辦公室技術部 106 辦公室技術部 107 辦公室網絡中心108 辦公室會議室 201 辦公室會議室 202 辦公室總經理辦公室203 辦公室秘書部 204 辦公室財務部 205辦公室科研部 206辦公室科研部 207辦公室企劃部 208辦公室 設備名稱及用途設備類型設備名稱用途路由R01與外網相連S5510-24PS-H-3-1核心交換機S3100-8T-SISH2-01樓層一匯聚層交換S3100-8T-SI

38、SH2-02樓層二匯聚層交換S2126-SISJ2-01樓層1接入層交換S2126-SISJ2-02樓層1接入層交換S2126-SISJ2-03樓層1接入層交換S2126-SISJ2-04樓層2接入層交換S2126-SISJ2-05樓層2接入層交換S2126-SISJ2-06樓層2接入層交換S2126-SISJ2-07樓層2接入層交換TL-WA501G+APJ2-01總經理無線接入APDELL服務器SER-01DNS，WEB服務器DELL服務器SER-02OA，F(xiàn)TP服務器4.3.2設備清單序號設備分項名稱型號規(guī)格生產商數量（臺）1路由AR28-30H3C12三層核心交換S5510-24PH3

39、C1324口接入層交換機S3100-26T-SIH3C5416口接入層交換機S3100-16T-SIH3C258口匯聚層交換機S3100-8T-SIH3C26無線接入APTL-WA501G+TP-LINK17DNS，WEB服務器DELL DELL18OA，F(xiàn)TP服務器DELL DELL19DELL筆記本DELLDELL110打印機HP2400HP711職員用機方正方正954.3.3設備端口配置設備類型設備名稱用途路由R01與外網相連S5510-24PS-H-3-1核心交換機S3100-8T-SISH2-01樓層一匯聚層交換S3100-8T-SISH2-02樓層二匯聚層交換S2126-SISJ2-01樓層1