網絡工程設計方案A

依安縣象嶼公司網絡工程設計方案工程單位：依安縣象嶼公司工程名稱：公司綜合網絡一設計人員： 王成文完成時間：2018年6月14日TOC\o"1-5"\h\z一、網絡需求分析 5工程項目概況 5信息點分布 6需求分析 6二、方案設計原則 8三、網絡方案設計 10網絡拓撲結構介紹 10網絡拓撲圖 10骨干核心層網絡設計 11核心層網絡設計 12匯聚層網絡設計 13接入層網絡設計 13廣域網互聯(lián)設計 14\o"CurrentDocument"冗余/負載均衡設計 15\o"CurrentDocument"線路冗余 15網絡設備冗余/負載均衡設計 17服務器冗余設計 18IP地址規(guī)劃原則 19四、網絡安全及管理機制 23\o"CurrentDocument"完善的安全機制 23解決安全威脅 25VPN（虛擬專用網） 25\o"CurrentDocument"五、網絡設備選型 26六、方案的擴展性考慮 27在信息化高速發(fā)展的今天，信息成為社會經濟發(fā)展的核心因素，信息化已成為當今世界潮流。而現(xiàn)在，信息化程度已成為衡量一個國家現(xiàn)代化水平和綜合國力強弱的重要標志。隨著信息時代的到來，企業(yè)的生存和競爭環(huán)境發(fā)生了根本性的變化。對于大型企業(yè)而言，信息化無論是作為戰(zhàn)略手段還是戰(zhàn)術手段，在企業(yè)經營中發(fā)揮著舉足輕重的作用。信息技術作為新技術革命的核心.不僅具有高增值性、成為最具經濟活力的經濟增長點，而且具有高滲透性，以極強的親和力和擴散速度向經濟各部門滲透，使其結構和效益發(fā)生根本性改變。信息化已成為當代經濟發(fā)展與社會進步的巨大推力，尤其是作為國民經濟信息化基礎的企業(yè)信息化，當前更顯得尤為重要，信息化建設已成為企業(yè)發(fā)展的必由之路。信息化是企業(yè)加快實現(xiàn)現(xiàn)代化的必然選擇！隨著近年來企業(yè)信息化建設的深入，企業(yè)的運作越來越融入計算機網絡，企業(yè)的溝通、應用、財務、決策、會議等等數(shù)據流都在企業(yè)網絡上傳輸，構建一個“安全可靠、性能卓越、管理方便”的“高品質”大型企業(yè)網絡已經成為企業(yè)信息化建設成功的關鍵基石。一、網絡需求分析1.1工程項目概況依安縣象嶼公司為了加快信息化建設，將建設一個以辦公自動化、電子商務、業(yè)務綜合管理、多媒體視頻會議、遠程通訊、信息發(fā)布及查詢?yōu)楹诵?，以現(xiàn)代網絡技術為依托，技術先進、擴展性強，將公司的各種辦公室、多媒體會議室、PC終端設備、應用系統(tǒng)通過網絡連接起來，實現(xiàn)內、外溝通的現(xiàn)代化計算機網絡系統(tǒng)。該網絡系統(tǒng)是支持辦公自動化、供應鏈管理、ERP以及各應用系統(tǒng)運行的基礎設施，為了確保這些關鍵應用系統(tǒng)的正常運行、安全和發(fā)展，系統(tǒng)必須具備如下的特性：1、采用先進的網絡通信技術完成公司企業(yè)網的建設，實現(xiàn)各分公司的信息化；2、在整個企業(yè)公司內實現(xiàn)所有部門的辦公自動化，提高工作效率和管理服務水平；3、在整個企業(yè)公司內實現(xiàn)資源共享、產品信息共享、實時新聞發(fā)布；4、在整個企業(yè)公司內實現(xiàn)財務電算化；5、在整個企業(yè)公司內實現(xiàn)集中式的供應鏈管理系統(tǒng)和客戶服務關系管理系統(tǒng)；具體要求：?WWW服務?E-mail、FTP服務?網上多媒體教學，能提供視頻點播服務?公司內行政管理?上網服務信息點分布主要信息點集中在生產部、賬務部、網絡中心、職工宿舍等部門。詳細分布如表1所示。地點信息點備注網絡中心40需保證速度、流量和可靠生產部150需保證速度、流量和可靠賬務部120需保證速度、流量和安全職工宿舍1000需保證速度和流量銷售部100需要保證速度和可靠性綜合設計30需保證速度和流量表1主要信息點分布需求分析為適應信息化的發(fā)展，滿足日益增長的通訊需求和網絡的穩(wěn)定運行，今天的大型企業(yè)網絡建設比傳統(tǒng)企業(yè)網絡建設提出更高的要求，主要表現(xiàn)在如下幾個方面：1）現(xiàn)代大型企業(yè)網絡應具有更高的帶寬，支持10GE或將來平滑過渡到106￡，更強大的性能，以滿足用戶日益增長的通訊需求。隨著計算機技術的高速發(fā)展，基于網絡的各種應用日益增多，尤其是對核心網絡的數(shù)據交換能力提出前所未有的要求。另外，隨著千兆端口的成本持續(xù)下降，千兆到桌面的應用會在不久的將來成為企業(yè)網的主流。所以今天的企業(yè)網絡已經不能再用百兆到桌面千兆骨干來作為建網的標準，它的核心層及骨干層必須具有萬兆級帶寬和處理性能，才能構筑一個暢通無阻的“高品質”大型企業(yè)網，從而適應網絡規(guī)模擴大，業(yè)務量日益增長的需要。2）現(xiàn)代大型企業(yè)網絡應具有更全面的可靠性設計，以實現(xiàn)網絡通訊的實時暢通，保障企業(yè)生產運營的正常進行?，F(xiàn)代大型企業(yè)網絡在可靠性設計方面主要應從三方面考慮：第一是設備級可靠性設，這要求購買設備的時候不能一味的只追求價格因素而忽略可靠性；其次是業(yè)務的可靠性設計，這里要注意網絡設備在故障倒換過程中是否對業(yè)務的正常運行有影響；再次是鏈路的可靠性設計，以太網的鏈路安全來自于它的多路徑選擇，所以在企業(yè)網絡建設時要考慮網絡設備是否能夠提供有效的鏈路自愈手段和快速重路由協(xié)議的支持。3）現(xiàn)代大型企業(yè)網絡需要提供完善的端到端QOS保障，以滿足企業(yè)網多業(yè)務承載的需求。大型企業(yè)網絡承載業(yè)務的不斷增多，單純的提高帶寬并不能夠有效的保障數(shù)據交換的暢通無阻，而必須要考慮到網絡應能夠智能的識別應用事件的緊急和重要程度，如視頻、音頻、數(shù)據流（MIS、ERP、OA、備份數(shù)據），同時能夠調度網絡中的資源，保證重要和緊急業(yè)務的帶寬、時延、優(yōu)先級和無阻塞的傳送，實現(xiàn)對業(yè)務的合理調度才是一個大型企業(yè)網絡提供“高品質”服務的保障。4）現(xiàn)代大型企業(yè)網絡應提供更完善的網絡安全解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經濟損失。傳統(tǒng)企業(yè)網絡的安全措施主要是通過部署防火墻、IDS、殺毒軟件以及配合交換機或路由器的ACL來實現(xiàn)對于病毒和黑客攻擊的防御，但實踐證明這些被動的防御措施并不能有效的解決企業(yè)網絡的安全問題。5）現(xiàn)代大型企業(yè)網絡應具備更智能的網絡管理解決方案，以適應網絡規(guī)模日益擴大，維護工作更加復雜的需要。二、方案設計原則本方案的設計將在追求性能優(yōu)越、經濟實用的前提下，本著嚴謹、慎重的態(tài)度，從系統(tǒng)結構、技術措施、設備選擇、系統(tǒng)應用、技術服務和實施過程等方面綜合進行系統(tǒng)的總體設計，力圖使該系統(tǒng)真正成為符合該中學的網絡系統(tǒng)。從技術措施角度來講，在網絡的設計和實現(xiàn)中，本方案嚴格遵守了以下原則：1、實用性和集成性系統(tǒng)的軟硬件設計、還是集成，均以適用為第一宗旨，在系統(tǒng)充分適應企業(yè)信息化的需求的基礎上進而再來考慮其他的性能。2、標準性和開往性只有支持標準性和開放性的系統(tǒng)，才能支持與其它開放型系統(tǒng)一起協(xié)同工作，在網絡中采用的硬件設備及軟件產品應該支持國際工作標準或事實上的標準，以便能和不同廠家的開放性產品在同一網絡中同時共存。3、先進性和安全性系統(tǒng)所有的組成要素均應充分地考慮其先進性。不能一味地追求實用而忽略先進，只有將當今最先進的技術和我們的實際應用要求緊密結合，才能獲得最大的系統(tǒng)性能和效益。4、成熟性和高可靠性網絡硬件體系結構在實際應用中能經過較長時間的考驗，在運行速度和性能上都應是穩(wěn)定可靠的、擁有完善的、實用的解決方案，并通到較多的第三方開發(fā)商和用戶在全球的廣泛支持和使用。同時，應從長遠的技術發(fā)展來選擇具有很好前景的、較為先進的技術和產品，以適應系統(tǒng)未來的發(fā)展需要。可靠性也是衡量一個計算機應用系統(tǒng)的重要標準之一。5、可維護性和可管理性整個信息網絡系統(tǒng)中的互連設備，應是使用方便、操作簡單易學，并便于維護。管理員能方便進行網絡管理、維護甚至修復。在設計和實現(xiàn)時，必須充分考慮整個系統(tǒng)的便于維護性，以使系統(tǒng)萬一發(fā)生故障時能提供有效手段及時進行恢復，盡量減少損失。6、可擴充性和兼容性網絡的拓撲結構應具有可擴展性即網絡聯(lián)結必須在系統(tǒng)結構、系統(tǒng)容量與處理能力、物理接連、產品支持等方面具有擴充與升級換代的可能，采用的產品要遵循通用的工業(yè)標準，以便不同的設備能方便靈活地接連入網并滿足系統(tǒng)規(guī)模擴充的要求。三、網絡方案設計網絡拓撲結構介紹在此次象嶼公司大型企業(yè)網的設計中，我采用層次化模型來設計網絡拓撲結構。所謂“層次化”模型，就是將復雜的網絡設計分成幾個層次，每個層次著重于某些特定的功能，這樣就能夠使一個復雜的大問題變成許多簡單的小問題。層次模型既能夠應用于局域網的設計，也能夠應用于廣域網的設計。網絡拓撲圖網絡拓撲圖如圖1所示。10圖1網絡拓撲圖網絡設計骨干核心層網絡設計大型企業(yè)生產辦公網絡的核心網主要完成整個企業(yè)公司內部不同地域企業(yè)之間的高速數(shù)據路由轉發(fā)，以及維護全網路由的計算。鑒于大型公司企業(yè)的用戶數(shù)量眾多，業(yè)務復雜，QOS要求較高的特點，在本方案中采用H3CS7506-AC高密度多業(yè)務核心路由交換機組建高性能的核心網絡平臺。H3CS7506-AC系列交換機是具有運營商級容錯能力的高性能大型網絡核心交換機，可為高校和運營商提供基于領先技術的卓越性能和可靠性。H3CS7506-AC系列交換機專為發(fā)揮萬兆、千兆以太網潛在的強大交換能力而設計，超大容量的交換背板使得包括萬兆端口在內的每個端口具備全11線速交換能力，確保在巨大的網絡通信負載下始終能夠輕松實現(xiàn)線速的第二層和第三層交換，是城域網、數(shù)據中心、智能大廈及企業(yè)網絡骨干級核心路由交換機的理想選擇。該系列交換機的所有管理模塊、交換模塊以及電源模塊都可互換使用，而且管理模塊、電源模塊、風扇等還可實現(xiàn)冗余備份，溫度傳感器可以隨時監(jiān)控各個部件的工作溫度，從而提供運營商級的可靠性。H3CS7506-AC交換機的一大特色是管理模塊均帶有業(yè)務接口，使得所有的插槽均為有效的業(yè)務插槽，從而大大提高了端口密度和插槽利用率。在骨干核心層中，我們采用三臺H3CS7506-AC核心路由交換機組成一個環(huán)形多機熱備份的核心交換機系統(tǒng)解決方案。為提高核心網絡的健壯性，實現(xiàn)鏈路的安全保障，本方案骨干核心層環(huán)網中可以采用VRRP（虛擬路由器冗余協(xié)議）。對于各個業(yè)務VLAN可以指向這個虛擬的IP地址作為網關，因此應用VRRP技術為核心交換機提供一個可靠的網關地址，以實現(xiàn)在核心層核心交換機之間進行設備的硬件冗余，一主兩備，共用一個虛擬的IP地址和MAC地址，通過內部的協(xié)議傳輸機制可以自動進行工作角色的切換。進而雙引擎、雙電源的設計為網絡高效處理大集中數(shù)據提供了可靠的保障。核心層網絡設12大型企業(yè)生產辦公網絡的核心層網絡主要完成園區(qū)內各匯聚層設備之間的數(shù)據交換和與骨干核心層網絡之間的路由轉發(fā)。傳統(tǒng)解決方案一般采用骨干路由器+核心交換機來組建，但這種方式受限于交換機的性能，在提供MPLSVPN的業(yè)務能力方面較弱，不適合大型企業(yè)網絡的建設需求，同時現(xiàn)在的大型企業(yè)辦公網絡具有城域網的特點，網絡發(fā)展具有網絡扁平化的發(fā)展方向，因此本方案骨干層網絡設備采用H3CS7506-AC核心路由交換機作為大型企業(yè)生產辦公網絡的園區(qū)核心路由交換設備，H3CS7506-AC具有強大的業(yè)務和路由處交換理能力，能提供如MPLSVPN、QOS、策略路由、NAT、PPPoE/Web/802.1x/L2TP認證等豐富業(yè)務能力，并可通過內置防火墻模塊實現(xiàn)各種強大的網絡安全策略，可以充分滿足大型企業(yè)不同園區(qū)網絡的高速數(shù)據交換和支持多業(yè)務功能的要求，并能夠提供完善的安全防御策略，保障企業(yè)園區(qū)網絡的穩(wěn)定運行。匯聚層網絡設計匯聚層網絡主要完成企業(yè)各園區(qū)內辦公樓宇和相關單位的內接入交換機的匯聚及數(shù)據交換和VLAN終結，在本方案中采用H3CS7502E交換機多層交換機作為匯聚層面的交換機。H3CS7502E交換機在提供高密度千兆端口接入的同時還能夠滿足匯聚層智能高速處理的需要,并能夠加靈活13的部署在網絡邊緣的各個位置。能夠同時提供多個高速專用堆疊端口和百兆、千兆光口/電口。這些交換機都具備較強的多業(yè)務提供能力，可支持包括智能的CCL、MPLS、等業(yè)務。接入層網絡設計以往傳統(tǒng)企業(yè)網絡接入層的建設中并不關注于安全控制和QOS提供能力，而將網絡的安全防御措施和QOS保障依賴于網絡的匯聚層或骨干層設備，這給匯聚層和骨干層設備帶來了巨大的壓力，往往內網病毒泛濫成災后導致骨干層設備癱機，使網絡沒有QOS服務質量保障。H3CS1024智能寬帶接入交換機是能滿足高安全、多業(yè)務承載、高性能的網絡環(huán)境智能交換機，具備傳統(tǒng)二層交換機大容量、高性能等優(yōu)點，同時還具有領先的安全特性，進一步加強了企業(yè)網絡對邊緣接入層面的安全控制能力。用戶可以根據需要來訂制自身的安全策略并部署在此交換機上。該產品具備的端口帶寬限制、端口鏡像、QOS、端口安全、廣播風暴抑制等功能可以很好的協(xié)助用戶實現(xiàn)網絡的管理和維護。除此之外，此交換機還具備多個專用堆疊接口，可以滿足樓層，樓宇內多個交換機高性能匯聚的需要。廣域網互聯(lián)設計針對于大型企業(yè)需要良好的出口網關設備，我們建議用戶選用H3CSecPathU200-CS-AC。H3CSecPath14U200-CS-AC防火墻專為千兆位流量的網絡服務運營商，大型數(shù)據中心等骨干網絡而設計，采用2U專用千兆安全平臺，完全模塊化可擴展結構，具有熱插拔特性的冗余部件為您提供最大的不間斷運行時間。H3CSecPathU200-CS-AC防火墻內置1個10/100/1000M自適應以太網電口，具備6個SFP擴展插槽，接口模塊類型支持單模、多模光纖，千兆電口，充分滿足您的定制需最多可擴展至8個千兆接口。冗余/負載均衡設計冗余設計是網絡設計的重要部分，是保證網絡整體可靠性能的重要手段。但是投資也將增加。部分企業(yè)園區(qū)網在早期的建設中由于成本的原因并未在設計中考慮冗余問題，而在優(yōu)化工作中則需從網絡鏈路和網絡設備兩方面著手。冗余設計可以貫穿整個層次化結構，每個冗余設計都有針對性，可以選擇其中一部分或幾部分應用到網絡中以針對重要的應用。萬一網絡中某條路徑失效時，冗余鏈路可以提供另一條物理路徑。可采用GEC鏈路聚合(IEEE802.3ad)實現(xiàn)端口級冗余，以克服某個端口或線路引起的故障。也可采用生成樹協(xié)議(IEEE802.1d)提供設備級的冗余連接。此外，我們在設計中提供不同物理方向的雙歸屬、雙路由保護。線路冗余在企業(yè)網骨干核心層，企業(yè)網絡邊界拓撲結構由于采用了環(huán)形多機熱備份的核心交換機系統(tǒng)解決方案，所以在線路15冗余方面的要求較高，對于線路的冗余要求，我們采用10GE線路對三臺企業(yè)網骨干核心層設備進行環(huán)行雙向備份，并使用業(yè)界領先的VRRP（虛擬路由器冗余協(xié)議）來對其作為冗余線路的協(xié)議保障。以GEC作為N*1000M主干鏈路，通過這個鏈路連接骨干網交換機，具備萬兆擴展能力；接入交換機采用10/100M自適應端口連接桌面系統(tǒng)，多千兆鏈路連接到匯聚層。GEC路具有鏈路聚合和冗余保證兩大特性，下面我們將對它們依次進行介紹。鏈路聚合：可使用一條物理鏈路在不同品牌交換機之間、交換機和服務器間提供聚合的高速通道，在不增加投資的情況下，擴大交換帶寬，使關鍵連接的傳輸效率更高冗余保證：鏈路聚合中，成員互相動態(tài)備份。當某一鏈路中斷時，其它成員能夠迅速接替其工作。與生成樹協(xié)議不同，鏈路聚合啟用備份的過程對聚合之外是不可見的，而且啟用備份過程只在聚合鏈路內，與其它鏈路無關，切換可在數(shù)毫秒內完成。綜合分析以上各主流方案的優(yōu)缺點，從性能與成本及拓展性等方面的綜合考慮出發(fā)，我們決定采用GEC骨干核心網絡10GE拓展的方式作為其鏈路選擇及備份選擇。16在企業(yè)網匯聚層及接入層出于成本及性價比的考慮，我們決定采用千兆匯聚，萬兆拓展；百兆到桌面的鏈路選擇。網絡設備冗余/負載均衡設計負載均衡建立在現(xiàn)有網絡結構之上，它提供了一種廉價有效的方法擴展服務器帶寬和增加吞吐量，加強網絡數(shù)據處理能力，提高網絡的靈活性和可用性。它主要完成以下任務:解決網絡擁塞問題，服務就近提供，實現(xiàn)地理位置無關性；為用戶提供更好的訪問質量;提高服務器響應速度;提高服務器及其他資源的利用效率；避免了網絡關鍵部位出現(xiàn)單點失效。在此方案中，在網絡的每個關鍵結點，我們在設計時都做到了對其有效的冗余備份和負載均衡。在網絡的骨干核心層上。我們采用了三臺銳捷網絡的RG-S8610高密度多業(yè)務IPV6核心路由交換機組建高性能的核心網絡平臺，在對骨干核心層提供足夠的網絡接點和接入需求的同時最大限度的為網絡提供了有效的冗余保障和負載均衡。在核心層的每個區(qū)塊，我們都采用了兩臺銳捷網絡的RG-S8606度多業(yè)務IPV6核心路由交換機做到冗余與負載均衡。在匯聚層的每個區(qū)塊，我采用了兩臺銳捷網絡的RG-S5750交換機多層交換機做到冗余與負載均衡。在本方案的設計中，出現(xiàn)了兩個以上的交換區(qū)塊和需要提供冗余連接的時候，我們采用了雙核心配置。如下圖，我17們給出了從接入層到匯聚層再到核心層的雙核心配置。莫族可治1莫族可治1立探區(qū)做2雙核心拓撲結構提供了兩條等代價路徑和雙倍的帶寬。每個核心交換機連接著數(shù)目相同的子網到第三層匯聚設備上。每個交換區(qū)塊都有冗余的連接到核心交換機上，因此形成兩條不同的，但是等代價的連接。如果一條核心設備發(fā)生故障，還是能夠收斂，因為匯聚層設備的路由選擇表中還有另一條到核心設備的路由。第3層路由選擇協(xié)議在核心中起鏈路選擇的作用，VRRP提供快速錯誤恢復。核心層不需要STP，因為在核心交換機間沒有冗余的第2層連接。服務器冗余設計企業(yè)網中服務器、大型機，如網絡存儲服務器，SQLServer服務器，其存儲的數(shù)據對于企業(yè)來說致關重要，一些核心數(shù)據被視為企業(yè)的生命。一方面它對企業(yè)的企業(yè)的重要性毋庸質疑，另一方面，由于這些數(shù)據的性質決定了其較大的被訪問量，這個對服務器提出了穩(wěn)定和快速的要求。如果宕機，后果是技術是保障計算機系統(tǒng)的可靠性是重中之重。為18

Server1此，我們采用的是雙機熱備技術，此技術能夠有效的滿足核心服務器高效，穩(wěn)定的高要求。而且相對于其它成本技術來說，這是比較有經濟價成效的技術。Server1Server2服務器雙機熱備技術具體技術實現(xiàn)：每個核心服務器均具有兩個以太網接口（可以通過安裝雙網卡實現(xiàn)），在此基礎上，以上圖為例，DB服務器A與DB服務器B先分別利用自己的一個以太網接口實現(xiàn)兩個服務器之間的直連，每個服務器另外的一個接口則與服務器區(qū)的網絡實現(xiàn)互連，以達到雙機熱備的目的。因此增加服務器的穩(wěn)定性與高效性。本網絡中應具有多臺服務器設備，包括DBSERVER數(shù)據庫服務器，WEB,CATALOG等應用服務器，NEWS,MAIL等通訊服務器及多媒體服務器等。3.310IP地址規(guī)劃原則IP地址構成了整個Internet的基礎，IP地址資源是整個Internet的基本核心資源，IP地址資源的合理分配和有效利19用是整個Internet發(fā)展過程中持續(xù)有效的一個極具分量的研究課題。我們在對企業(yè)園區(qū)網IP地址編址設計和分配利用時，遵循了以下幾個原則：1）、自治：整個園區(qū)網絡網絡被劃分成幾個大的自治區(qū)域，每個大自治區(qū)域中又被劃分成幾個小的自治區(qū)域。2）、有序：我們按照自治原則將網絡進行邏輯劃分后，就根據地域、設備分布及區(qū)域內用戶數(shù)量來進行子網規(guī)劃。同時，我們將IP地址規(guī)劃和網絡層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結合起來考慮。在進行地址分配時，為了提高地址分配效率和地址利用率，我們在編址設計時按照了一定的順序進行。選擇的順序是自上而下的順序，即采用了業(yè)界領先的自頂向下網絡設計（Top-DownNetworkDesign）方法。3）、可持續(xù)性：考慮到園區(qū)內網絡用戶數(shù)將持續(xù)高速增長，網絡所要承載的業(yè)務量和業(yè)務種類越來越多，這使得網絡需要頻頻進行技術升級、改造和擴容。4）、可聚合：在路由表急劇膨脹情況下，可聚合原則是網絡地址分配時所必須遵守的最高原則，可聚合原則要求在進行地址規(guī)劃時，應提供足夠的路由冗余功能。5）、盡量節(jié)約IPv4地址：由于IPv4地址越來越少，所以對于IPv4地址的使用需要格外節(jié)約。IPv4地址的節(jié)約可以通過動態(tài)編址技術和NAT技術等來實現(xiàn)。206）、閑置IP地址回收利用：對于已分配出去的靜態(tài)IP地址進行定期追蹤管理，對長時間閑置的IP地址可經過確認后回收重復利用。此次方案的設計，我們決定采用一個內部私有A類地址（）對企業(yè)園區(qū)的網絡設備編址。由于從方案本身的網絡拓撲圖采用了典型的層次化設計，所以對IP地址的編址設計也應采取層次化的設計來完成，并采用VLSM來拓展有限的IP地址。網段描述所需的IP地址數(shù)骨干核心層鏈路5（2個用于拓展備份）公司總部1000生產部500客戶部500機械廠1000大型機/服務器群500企業(yè)VOIP語音系統(tǒng)2000VLSM是可變長子網掩碼的英文縮寫，它提供了一個主類（A類、B類、C類）網絡內包含多個子網掩碼的能力，可以對一個子網再進行子網劃分。VLSM的優(yōu)點1、對IP地址更為有效的使用2、應用路由歸納的能力更強21所以我們采取VLSM對網絡進行編址，以達到節(jié)約IP地址，能夠使用路由匯總的目的。首先采用一個A類網址對園區(qū)網主體結構進行編址，至上而下的設計思路有利于設計的最后成型和網絡的健壯性。其次，在語音電話系統(tǒng)中，每一個IP電話需要一個IP地址以及諸如子網掩碼、默認網關等的相關信息。事實上，這意味著一個組織需要指派兩倍于IP電話的IP地址給當前所有的pc用戶，這個由DHCP提供。我們使用私有遍址的IP電話作為語音電話遍址方案。私有遍址IP電話： IP電話使用網絡□□□□OO□□□□OO□□□□□□□□L口口□口/!□□□□L-□口Z.□□IP電話+PC在同一交換機端口上最后經過我的計算，將各部門IP地址分配如下表:22IP地址網段VLAN編號默認網關財務部/241054/24生產部/242054/24銷售部/243054/24行政部/244054/24用戶地址與VLAN劃分Web服務器IP地址： /24FTP服務器IP地址： /24路由器出口IP地址：/24四、網絡安全及管理機制完善的安全機制企業(yè)樓宇交換機通過內在的多種安全機制可有效防止和控制病毒傳播和網絡流量攻擊， 控制非法用戶使用網絡，保證合法用戶合理化使用網絡，如端口安全、端口隔離、ACL、端口ARP報文合法性檢查、基于數(shù)據流的帶寬限速、六元素綁定等等，滿足企業(yè)網加強對訪問者進行控制、限制非授權用戶通信的需求；在匯聚、核心交換設備設置由硬件實現(xiàn)ACL，對病毒進行過濾，我們選用的匯聚、核心交換設備都支持SPOH，所以在使用ACL時將不會影響整個交換機的性能。.硬件實現(xiàn)端口與MAC地址和用戶IP地址的綁定，23嚴格限定端口上用戶接入。.通過PrivateVLAN可以在交換機的同一VLAN中提供端口之間的通訊或安全隔離，確保數(shù)據流進入有效端口，而不會被發(fā)送到其它端口，即解決了因傳統(tǒng)802.1QVLAN造成全網VID資源不夠的問題，同時又無需利用安全規(guī)則資源即能達到隔離不同用戶以及不同組用戶之間通訊的功能，充分保護用戶隱私。.可實現(xiàn)用戶賬號、MAC地址、IP地址、交換機IP、交換機端口等六大元素之間的靈活任意綁定，有效確認用戶合法性和唯一性。.支持業(yè)界特有的IGMP源端口檢查，有效杜絕非法組播源播放和大量占用大量網絡帶寬，提高網絡安全性。.提供極為有效的PortBlocking功能，避免端口受到其它端口發(fā)送的廣播包、多播包等報文的干擾，有效減輕端口負載負擔，提高端口帶寬，保護用戶PC更高效安全地運行。.基于源IP地址控制的Telnet和Web設備訪問控制，增強了設備網管的安全性，避免黑客惡意攻擊和控制設備。.提供加密傳輸SecureShell(SSH),保證管理設備信息的安全性，防止黑客攻擊和控制設備。.可靈活控制2-7層數(shù)據報文，使得任何一個用戶PC24上的任何一種應用報文通過網絡都能得到有效控制，充分保障了網絡的安全和合理化使用。解決安全威脅在企業(yè)網絡已經成為公司生產運營的重要組成部分的今天，現(xiàn)代企業(yè)網絡必須要有一整套從用戶接入控制，病毒報文識別到主動抑制的一系列安全控制手段，才能有效的保證企業(yè)網絡的穩(wěn)定運行。.防沖擊波病毒隨著蠕蟲病毒等的攻擊手段呈多元化發(fā)展，單一的防護措施已經無能為力保衛(wèi)校園網絡安全。IDS只能根據預先定義的策略進行檢測，對新的攻擊方式無能為力，或者當IDS偵測到某終端用戶感染病毒后，只能將相關信息形成報告通知網管人員，等待處理。然而，此時受感染的用戶可能已經通過網絡散播到了校園網絡的