企業(yè)內部網接入設計-畢業(yè)論文

---文檔均為word文檔，下載后可直接編輯使用亦可打印---摘要隨著網絡建設的不斷發(fā)展，辦公自動化也在逐漸的普及，現在大大小小的企業(yè)網絡化建設也是在如火如荼的進行。采用統(tǒng)一的網絡協議（TCP/IP），建設一個可實現各種綜合網絡應用的高速計算機網絡系統(tǒng)，將各個部門之間通過網絡連接起來，與Internet相連，方便了各樓層部門之間的信息交流，節(jié)約了時間，使得企業(yè)在激烈的社會競爭中贏得了成功的基礎。為了滿足企業(yè)的需求及方便網絡管理，如何選擇一個合適的組網方案并且選擇合適的網絡產品成了各企業(yè)非常關心的問題。本文根據企業(yè)內部網絡接入使用用戶需求分析，設計企業(yè)網絡拓撲結構，設計規(guī)劃企業(yè)綜合布線系統(tǒng)，并對配置網絡中所有網絡設備的步驟進行詳細闡述；并設計出企業(yè)內部網接入設計、NAT配置的詳細步驟。關鍵詞：企業(yè)網；網絡設計；網絡接入；AbstractWiththecontinuousdevelopmentofnetworkconstruction,officeautomationisbecomingmoreandmorepopular,andnowtheconstructionofenterprisenetworkisinfullswing.Usingtheunifiednetworkprotocol(TCP/IP),buildacomprehensivenetworkcanrealizevariousapplicationsofhighspeedcomputernetworksystem,throughthenetworkconnectionbetweenvariousdepartments,connectedtotheInternet,convenientandtheinformationexchangebetweenfloorsdepartment,savetime,makestheenterpriseinthefiercesocialcompetitiontowinthesuccess.Inordertomeettheneedsofenterprisesandfacilitatenetworkmanagement,howtochooseasuitablenetworkingschemeandchoosetheappropriatenetworkproductshasbecomeamajorconcernforenterprises.Inthispaper,basedonenterpriseinternalnetworkaccesstotheuserrequirementanalysisdesign,networktopologystructuredesignplanningenterpriseintegratedwiringsystem,andtoconfigurethenetworkallthenetworkdevicesstepsindetail;AndthedesignoftheenterpriseIntranetaccessdesign,NATconfigurationdetailedsteps.Keywords：Enterprisenetwork；networkdesign；networkaccess目錄緒論1.1選題背景在現有企業(yè)中，普遍存在著資金不足，信息基礎薄弱，技術人員匱乏等特點。使得他們不能有效地將自身的傳統(tǒng)業(yè)務與信息系統(tǒng)很好的結合起了，以至于常常出現投資不見效果的情況。究其原因，在于企業(yè)信息化觀念的不夠，信息系統(tǒng)沒有總體設計原則。信息化能夠有效減少重復度和加強協作，從而提高效率。企業(yè)要實現信息化管理，首要的條件就是建立企業(yè)局域網，然后在該系統(tǒng)的基礎上開發(fā)應用各種基礎和專業(yè)基礎和專業(yè)軟件。網絡化可以有效地實現企業(yè)內部的資源共享、信息發(fā)布、技術交流、生產組織、此外，還可以通過這個網絡連接到世界上其它計算機上。使得企業(yè)能夠方便地實現與外部的交流。隨著信息化進程的前進，許許多多的企業(yè)建立了自己的企業(yè)網絡。特別是廣大的大中型企業(yè)，由于組網規(guī)模適中、網絡布局靈活、有限的資金成本及著眼未來的擴展等多種條件和要求下，慢慢形成了一些典型的企業(yè)組網方式。隨著互聯網的發(fā)展和企業(yè)的擴大，企業(yè)網的組網要求不再局限于數據傳輸、信息共享，而是要更加的注重企業(yè)網絡的信息安全。1.2可行性分析實用性與先進性。企業(yè)內部網絡建設的首要原則是要有極好的實用性。因為只有實用才能使企業(yè)內部的管理人員和入住使用人員直接受益。但在實用的基礎上，應盡可能采用先進成熟的技術，選購具有先進技術水平的計算機系統(tǒng)和網絡設施，這些設施應在相當長的時間內保證其先進性。并發(fā)和選購的各種網絡應用軟件業(yè)盡可能先進，并有相當長時間的可用性。開放性和標準化。企業(yè)內部網絡建設的一個顯著特點是具有幾號的開放性。這種開放性靠標準化實現，只有符合標準的網絡系統(tǒng)才能實現無縫的互連。為此，應制定全網統(tǒng)一的網絡體系結構，并遵循統(tǒng)一的通信協議標準。網絡體系結構和通信協議應選擇廣泛使用的國際工業(yè)標準，是我們的企業(yè)內部網絡稱為一個完全開放式的網絡環(huán)境?？煽啃耘c安全性。企業(yè)內部網絡的建設遵循可靠性的原則也是非常重要的，網絡系統(tǒng)所有設備和材料均應符合國際和國內認可的有關標準，并要經過嚴格檢查，網絡的每一個建設過程都要把好質量關，保證網絡系統(tǒng)有一個良好的運行環(huán)境。安全性是指網絡能夠有效地控制系統(tǒng)資源，并有完善的數據保護措施，可靠性是安全性的基礎。經濟型與可擴充性。企業(yè)內部網絡建設的經濟性是指滿足需求的同時，把成本降到最低，是用有限的資源做更多的事。但是經濟型是建立在可擴充性基礎上的。計算機及網絡互連技術發(fā)展迅速，網絡系統(tǒng)擴充與升級就成了必然的趨勢，所以在網絡建立時，就應該為系統(tǒng)未來的擴充與升級奠定了良好的基礎。應具備良好的網絡管理功能。企業(yè)內部網絡建成以后，對整個網絡的管理是一項很重要的工作，因此在網絡設計中，應確保網絡具有良好的管理功能。在接入Internet時，應使企業(yè)內部的內部局域網能夠正常接入Internet，并且網絡安全有一定的保障。1.3研究方法（1）文獻研究法：通過圖書館及網絡等途徑，認真查閱和收集了與課題研究有關的文獻和資料，并進行了歸納整理，作為研究課題的參考。（2）理論與實際分析相結合的方法：通過借鑒收集了與課題研究有關的文獻和資料，運用分析性研究法，對企業(yè)內部網接入設計。再結合實際情況，對企業(yè)內部網接入設計進行調試。接入方案的分析與選擇2.1需求分析2.1.1基本架構的需求網絡結構采用典型的二層網絡結構，并使用VLAN技術來對網段進行劃分管理；考慮到未來網絡的發(fā)展，使用當今流行的千兆以太網技術，實現千兆核心、百兆接入；核心網絡設備的冗余備份，實現公司內部的無間斷運作；組建WLAN（無線局域網）區(qū)域，由于無線只用于較少的場合，這里選用無線AP+交換機（有線）的組合，實現簡單、經濟的無線網絡解決方案。2.1.2網絡安全的需求采用訪問控制措施對內網對外網、內網對DMZ（非軍事區(qū)）、外網對DMZ的防火墻設置，阻止惡意流量的侵入；啟用VPN解決方案，在最經濟的條件下實現安全的異地信息共享，并能實現移動辦公；因內網使用DHCP（動態(tài)主機配置協議）解決方案，啟用DHCP過濾、動態(tài)ARP（地址解析協議）檢測等手段對內網安全進行鞏固；內部計算機安裝防病毒軟件來實施全網的病毒安全防護。2.1.3硬件安全的需求網絡中心機房規(guī)格應符合相關管理標準，機房建設的好壞直接關系到機房內計算機系統(tǒng)是否能穩(wěn)定可靠地運行；配置高質量電源，設置良好的接地系統(tǒng)，并且安裝UPS（不間斷電源）裝置；做好網絡監(jiān)控與安全措施，防止非授權人員直接進入機房實施入侵。2.1.4網絡的安全建立一套完整的網絡管理規(guī)定和網絡使用方法，并要求網絡管理員和網絡使用人員必須嚴格遵守；加強對網絡管理員和網絡使用人員的培訓；制定合適的網絡安全策略，讓網絡用戶在使用網絡的過程中逐步把網絡當成工作中的一個得力工具，從而自覺地維護網絡的安全。2.2網絡接入分析2.2.1普通撥號方式普通撥號方式是以一種方式撥號上網，需要一個設備：MODEM它是英文調制解調器的縮寫。中文俗稱“貓”。因為普通的電話網絡，傳輸的是模擬信號，而電腦處理的是數字信號。如果把數字信號轉變成模擬信號的過程叫做調制，相反的過程就是解調。調制解調器就擔當這個作用。它分為內置式與外置式兩種。內置MODEM是插在電腦主板上的一個卡；很多品牌電腦都預裝了內置MODEM，如果是后來添加，很多人會選擇外置式MODEM。預裝的內置MODEM通常已經安裝好了驅動程序，只須將電話線接頭（俗稱水晶頭，因為它白色透明）接入主機箱后面的MODEM提供的接口就是。外置MODEM是將電話線接頭插入MODEM，隨設備自帶了一條MODEM與電腦的連接線，該連接線一端接MODEM，一端接電腦主機上的串行接口，你可以參閱隨設備的說明書。至于驅動程序的安裝，MODEM都是所謂的PnP設備（plugandplay，即插即用），windows會自動探測與安裝?？傊?，不需要什么專業(yè)知識，新手都可以搞得掂的。2.2.2一線通（ISDN）ISDN（IntegratedServiceDigitalNetwork），中文名稱是綜合業(yè)務數字網，中國電信將其俗稱為“一線通”。它是八十年代末在國際上興起的新型通信方式。同樣的一對普通電話線原來只能接一部電話機，所以原來的撥號上網就意味著這個時候不能打電話。而申請了ISDN后，通過一個稱為NT的轉換盒，就可以同時使用數個終端，您可一面在INTERNET網上沖浪，一面打電話或進行其它數據通信。雖然仍是普通電話線，NT的轉換盒提供給用戶的卻是兩個標準的64KB/S數字信道，即所謂的2B+D接口。一個TA口接電話機，一個NT口接電腦。它允許的最大傳輸速率是128KB/S，是普通MODEM的三至四倍，所以，它的普及從某種意義上講是對傳統(tǒng)通信觀念的重大革新。裝機與通信費用與普通電話相近，近一兩年才在國內主要城市開通業(yè)務，同樣可到電信局的營業(yè)網點申請，當然也就成為目前撥號上網的首先方式。2.2.3ADSL(非對稱數字用戶環(huán)路)ADSL是英文AsymmetricalDigitalSubscriberLoop(非對稱數字用戶環(huán)路的英文縮寫，ADSL技術是運行在原有普通電話線上的一種新的高速寬帶技術，它利用現有的一對電話銅線，為用戶提供上、下行非對稱的傳輸速率(帶寬)。非對稱主要體現在上行速率(最高640Kbps)和下行速率(最高8Mdps)的非對稱性上。上行(從用戶到網絡)為低速的傳輸，可達640Kbps；下行(從網絡到用戶)為高速傳輸，可達8Mbps。它最初主要是針對視頻點播業(yè)務開發(fā)的，隨著技術的發(fā)展，逐步成為了一種較方便的寬帶接入技術，為電信部門所重視。通過網絡電視的機頂盒，可以實現許多以前在低速率下無法實現的網絡應用。2.2.4光纖接入網光纖接入網(OAN)是采用光纖傳輸技術的接入網，即本地交換局和用戶之間全部或部分采用光纖傳輸的通信系統(tǒng)。光纖具有寬帶、遠距離傳輸能力強、保密性好、抗干擾能力強等優(yōu)點，是未來接入網的主要實現技術。FTTH方式指光纖直通用戶家中，一般僅需要一至二條用戶線，短期內經濟性欠佳，但卻是長遠的發(fā)展方向和最終的接入網解決方案。2.2.5DDNDDN是利用數字信道傳輸數據信號的數據傳輸網。它的主要作用是向用戶提供永久性和半永久性連接的數字數據傳輸信道，既可用于計算機之間的通信，也可用于傳送數字化傳真，數字話音，數字圖像信號或其它數字化信號。永久性連接的數字數據傳輸信道是指用戶間建立固定連接，傳輸速率不變的獨占帶寬電路。半永久性連接的數字數據傳輸信道對用戶來說是非交換性的。但用戶可提出申請，由網絡管理人員對其提出的傳輸速率、傳輸數據的目的地和傳輸路由進行修改。網絡經營者向廣大用戶提供了靈活方便的數字電路出租業(yè)務，供各行業(yè)構成自己的專用網2.3網絡接入選擇2.3.1選擇前提企業(yè)內部網絡組建的目的主要是實現上網、內部通信、內部管理、實現不同計算機之間的互訪網上發(fā)布信息、接收用戶反饋信息等功能。需要一個實時的，安全的，高速的，快捷的，穩(wěn)定的信息交互平臺，來滿足企業(yè)內部網絡信息頻繁傳輸的需要DDN技術在綜合寬帶業(yè)務應用方面，具有較強的靈活性、可應用性和可靠性，是是現階段接入網技術較好的方案，因此決定采用DDN技術方案2.3.2采用技術DDN接入方案的特點DDN專線接入向用戶提供的是永久性的數字連接，沿途不進行復雜的軟件處理，因此延時較短，避免了傳統(tǒng)的分組網中傳輸協議復雜、傳輸時延長且不固定的缺點；DDN專線接入采用交叉連接裝置，可根據用戶需要，在約定的時間內接通所需帶寬的線路，信道容量的分配和接續(xù)均在計算機控制下進行，具有極大的靈活性和可靠性，使用戶可以開通各種信息業(yè)務，傳輸任何合適的信息，因此，DDN專線接入在多種接入方式中深受用戶的青睞。DDN的主要作用是向用戶提供永久性和半永久性連接的數字數據傳輸信道，既可用于計算機之間的通信，也可用于傳送數字化傳真，數字話音，數字圖像信號或其它數字化信號。1、其主要特點：傳輸質量高，信道利用率高。傳輸速率高，網絡時延小。數據信息傳輸透明度高，可支持任何規(guī)程，可傳輸語音、數據、傳真、圖像等多種業(yè)務。適用于數據信息流量大的場合。網絡運行管理簡便，對數據終端的數據傳輸速率沒有特殊要求。2、其主要優(yōu)點：(1)能提供高性能的點到點通信。(2)通信保密性強，特別適合金融、保險等保密性要求高的客戶需要。(3)傳輸質量高，網絡時延小，通信速率可根據用戶需要按N*64Kbps選擇。(4)信道固定分配，充分保證了通信的可靠性，保證用戶的帶寬不會受其他用戶的影響。(5)用戶通過這條高速的國際互聯網通道，可構筑自己的Internet、E-mail等應用系統(tǒng)。(6)用戶網絡的整體接入使局域網內的PC均可共享互聯網資源。(7)用戶可免費得到多個Internet合法IP地址及域名。(8)用戶可實現每天24小時全天候的信息發(fā)布，即用戶可建立自己的Web站點，向國際互聯網發(fā)布自己的信息或提供信息服務。(9)用戶可通過防火墻等技術保護內部網絡免受不良侵害。(10)用戶可通過VPN（VirtualPrivateNetwork）虛擬私用網絡功能，利用首創(chuàng)網絡綜合信息平臺實惠安全、可靠的企業(yè)網的國際網絡互聯，從而構建起企業(yè)的國際專用互聯網絡。3、接入方案：（1）利用DDN組建專用網絡，可節(jié)約用戶投資，并可以使用專用網最大限度地覆蓋全國各地，同可充分利用DDN的特殊業(yè)務功能（如語音壓縮，幀中繼）進行數據通信，一勞多得。（2）時間就是金錢，效率就是生命，利用DDN組建專網，可以大大減少專用的建設周期，早投產快收益。(3)利用DDN組建網絡，可降低用戶的日常運行維護費用，特別是線路的維護費用。(4)可節(jié)約用戶技術力量的投入。2.4綜合布線設計2.4.1綜合布線概述計算機及通信網絡均依賴布線系統(tǒng)作為網絡連接的物理基礎和信息傳輸的通道。傳統(tǒng)的基于特定的單一應用的專用布線技術因缺乏靈活性和發(fā)展性，已不能適應現代企業(yè)網絡應用飛速發(fā)展的需要。而新一代的結構化布線系統(tǒng)能同時提供用戶所需的數據、話音、傳真、視像等各種信息服務的線路連接，它使話音和數據通信設備、交換機設備、信息管理系統(tǒng)及設備控制系統(tǒng)、安全系統(tǒng)彼此相連，也使這些設備與外部通信網絡相連接。它包括建筑物到外部網絡或電話局線路上的連線、與工作區(qū)的話音或數據終端之間的所有電纜及相關聯的布線部件。布線系統(tǒng)由不同系列的部件組成，其中包括：傳輸介質、線路管理硬件、連接器、插座、插頭、適配器、傳輸電子線路、電器保護設備和支持硬件。綜合布線的基礎環(huán)境準備，工程實施的第一步就是開工前的準備工作：第一、設計綜合布線實際施工圖，確定布線的?走向位置，然后將這個圖紙?zhí)峁┙o施工人員、督導人員和主管人員使用。第二、需要準備所需的材料。網絡工程施工過程中需要許多的施工材料，這些材料有的必須在開工前準備好，有的可以在工程過程中準備。如：光纜、雙絞線、信息插座、信息模塊、交換機、HUB、服務器、UPS、機柜等接插件和設備等；不同規(guī)格的塑料線槽、金屬線槽、PVC防火管、螺絲等輔料。選擇各種工具，依據項目選擇的標準，選擇壓線鉗、剝線鉗、螺絲刀、剪線鉗、測試儀器、沖擊鉆、開孔器等。組成：綜合布線系統(tǒng)產品由各個不同系列的器件所構成，包括傳輸介質、交叉/直接連接設備、介質連接設備、適配器、傳輸電子設備、布線工具及測試組件。這些器件可組合成系統(tǒng)結構各自相關的子系統(tǒng)，分別起到各自功能的具體用途。2.4.2綜合布線的設計目標1.滿足各種應用需求應用需求決定了布線系統(tǒng)的規(guī)模。綜合布線系統(tǒng)的設計應該全面覆蓋這些應用，以發(fā)揮綜合布線系統(tǒng)對各種智能系統(tǒng)的支持能力。2.遍布整個建筑的各個角落作為承載計算機網絡和電話網絡的綜合布線系統(tǒng)，為了滿足應用上的要求，它們已經遍布公司的各種建筑物內外，敷設到了建筑物內的各個角落。在辦公室、會議室、值班室、檔案室、會客室，到處都能看到綜合布線系統(tǒng)的面板。3.傳輸能力足以滿足各種應用隨著信息流量的快速增加，綜合布線系統(tǒng)的傳輸帶寬也迅速提升，前幾年廣泛流行的超5類雙絞線已經成為昔日黃花，取而代之的則是超6類雙絞線和OS2光纖。即使是在眼前，千兆以太網已經普及到辦公室的電腦網卡上，它所對應的超5類、6類雙絞線已經成為當前綜合布線系統(tǒng)中數量最多的水平雙絞線，而下一代的萬兆以太網到桌面正在提上議事日程，致使許多水平雙絞線被換成了超6類乃至7類雙絞線，因為萬兆以太網的最低帶寬要求等同于超6類水平雙絞線的帶寬值。另外，盡管FTTD這種高速的網絡應用傳輸方式早以成熟，但它始終因價位過高而顯得“高不可攀”，而現在由于光纖價位和光纖網絡設備的價格一降再降，FTTD越來越多的出現在辦公桌上，它們與光纖網卡的配合將使網絡傳輸能力獲得進一步的提升。4.具有對病毒和黑客的物理防范能力在建立任何計算機網絡的時候，認真思考病毒和黑客肆虐的可能性，防止它們危害電腦、損壞文件、盜取資料。這就促成了計算機網絡系統(tǒng)的網絡隔離、防火墻等先進技術的大量應用，也迫使綜合布線系統(tǒng)的設計中不得不投入更高的代價為網絡物理隔離打下基礎。5.涉密線路滿足涉密標準要求病毒和黑客的出現，引發(fā)了綜合布線系統(tǒng)的網絡隔離。而人們對未知信息的好奇，卻引起了政府行業(yè)的另一個特定問題：保密。每個企業(yè)往往擁有大量暫時不能公布的信息，這些信息一旦泄漏，將會給企業(yè)帶來相當大的損失。為此大量的信息傳輸是在涉密線路中完成，而綜合布線系統(tǒng)中的屏蔽雙絞線和光纜就為涉密線路提供了理想的傳輸介質。6.可以選擇多家電信業(yè)務經營者為了確保對外信息傳輸暢通無阻，在網絡中，會利用多家電信因為經營者的接口保證信息傳輸的暢通，萬一其中一家的線路出現故障，計算機網絡系統(tǒng)將自動啟動備用線路，通過其它電信因為經營者的線路保障政府與外界的信息傳輸不受影響。2.4.3綜合布線的設計原則在實際綜合布線項目工程中，并不需要涉及到所有的標準及規(guī)范，我們應該根據布線項目的性質來決定，而涉及的布線技術則適當引用布線標準。另外我們還需要做現場勘察，針對客戶所提出的要求進行實地考察，考察的對象包括建筑結構、機房(設備間)和配線管理間的位置、走線路由、電磁環(huán)境、布線設施外觀以及對建筑物的破壞，如打過墻眼等等，并結合場地的平面圖而對信息點進行更改，在勘察的時候我們還需要考慮在利用現有空間的同時避開強電及其他線路，做出綜合布線調研報告，從而達到更明確有效的為客戶進行布線工程。綜合布線設計的原則有：1.用戶至上原則。企業(yè)的結構化綜合布線系統(tǒng)的設計原則首先是基于企業(yè)對綜合布線系統(tǒng)的要求為基礎，并以滿足用戶需求為目標，最大限度滿足用戶提出的功能需求，并針對業(yè)務的特點，確保使用性。2.先進性。在滿足用戶需求的前提下，充分考慮信息社會迅猛發(fā)展的趨勢，在技術上適度超前，使提出的方案保證將布線系統(tǒng)建成先進的、現代化的信息系統(tǒng)。3.靈活性和可擴展性。充分考慮樓宇內所涉及的各部門信息的集成和共享，保證整個系統(tǒng)的先進性合理性，實現分散式控制，集中統(tǒng)一式管理。總體結構具有可擴展性和兼容性，可以集成不同廠商不同類型的先進產品，使整個系統(tǒng)可隨技術的進步和發(fā)展，不斷得到充實和提高。在綜合布線系統(tǒng)中任何信息點都能連接不同類型的終端設備，當設備數量和位置發(fā)生變化時，只需采用簡單的插接工序，實用方便，其靈活性和適應性都強。4.標準化和擴展性。網絡結構化綜合布線系統(tǒng)的設計依照國際和國家的有關標準進行。此外根據系統(tǒng)總體結構的要求，各個子系統(tǒng)必須結構化和標準化，并代表當今最新的技術成就。綜合布線系統(tǒng)的所有布線部件采用積木式的標準件和模塊化設計。因此，部件容易更換，便于排除障礙，且采用集中管理方式，有利于分析、檢查、測試和維修。5.經濟性。在實現先進性、可靠性的前提下，達到功能和經濟的優(yōu)化設計。結構化綜合布線系統(tǒng)的設計采用新技術、新材料、新工藝使綜合化布線大樓能夠滿足不同生產廠家終端設備傳輸信號的需要。綜合布線系統(tǒng)各個部分都采用高質量材料和標準化部件，并按照標準施工和嚴格檢測，保證系統(tǒng)技術性能優(yōu)良可靠，滿足目前和今后通信需要，且在維護管理中減少維修工作，節(jié)省管理費用。建筑智能化系統(tǒng)是指包括通信網絡、辦公自動化、建筑設備自動化等功能的集成化管理系統(tǒng)。其通信綜合布線作為通信網絡的基礎，為辦公自動化、建筑設備自動化提供控制、管理信息的傳輸通道。通信綜合布線系統(tǒng)，主要是大樓內部戶線的布放和端接。從至少一對雙絞線的戶內布放發(fā)展到五類、超五類對絞電纜甚至更高類別對絞電纜或光纖的布放。隨著眾多新建的大樓通信公用網接入工程的竣工并投入使用，它們所能完成的智能化通信功能作為建設開發(fā)商的重要賣點被加以宣傳。第三章網絡總體設計方案3.1網絡結構設計企業(yè)內部網絡，分為3個部分，分別是交換網絡，路由網絡和遠程登陸網絡，主要的中心部分是交換網絡部分。3.1.1主干結構設計本設計將網絡結構分為二層：接入層、核心層。使用二層網絡結構適合企業(yè)內部的實際規(guī)模；二是這能提高網絡對突發(fā)事故的自動容錯能力，減少網絡故障排錯的難度和時間；三是采用此網絡分層有利于企業(yè)內部將來更靈活地對企業(yè)網升級擴大。3.1.2樓層局域網設計接入層采用支持802.1Q的10/100Mbps工作組以太網交換機，交換機的數據依據用戶端口數、可靠性及網管要求配置網絡接入交換機，使10/100Mbps流量接至桌面。3.1.3互聯網接入設計互聯網接入由位于網絡中心的DMZ交換機、WWW服務、E-mail服務、防火墻、路由器、Intrfaceernet光纖接入組成。向電信申請一個固定IP，提供外網服務器的訪問服務。3.1.4VLAN設計通過VLAN將相同業(yè)務的用戶劃分在一個邏輯子網內，各工作組交換機采用基于端口的VLAN劃分策略，劃分出多個不同的VLAN組，分隔廣播域。同樣在千兆/百兆以太網上聯端口上設置802.1Q協議，設置通信干道(Truck)，將每個VLAN的數據流量添加標記，轉發(fā)到主干交換機上實現網絡多層交換。3.2網絡拓撲設計本設計中用的到的設備采用Cisco公司的網絡設備構建。全部網絡設備使用同一廠商設備的主要原因是在于可以實現各種不同網絡設備功能的兼容以及互相配合和補充。設計的網絡拓撲圖如圖3-1所示。圖3-1網絡拓撲設計圖3.3網絡設備的選擇3.3.1路由器（1）路由器相關參數如表3-1所示：表3-1CISCO7301路由器相關參數基本參數路由器類型電信級高端路由器網絡協議IP，IPX，DLSW，AppleTalk傳輸速率10/100/1000Mbps端口結構模塊化局域網接口3個功能參數防火墻內置防火墻Qos支持支持VPN支持支持網絡管理NBAR，用于帶寬管理其他參數處理器700MHz集成式處理器產品內存最大DRAM內存：256MB

最大Flash內存：64MB電源電壓AC100-240V

DC-40.5--72V產品尺寸43.9×439×352mm糾錯產品重量4.76kg環(huán)境標準工作溫度：0-40℃

儲存溫度：-20-65℃

濕度：10%-90%（非冷凝）3.3.2交換機(1)核心交換機相關參數如表3-2所示：表3-2Catalyst3560-24PS核心交換機相關參數主要參數產品類型企業(yè)級交換機應用層級四層傳輸速率10/100/1000Mbps交換方式存儲-轉發(fā)背板帶寬720Gbps包轉發(fā)率387MppsMAC地址表64K端口參數端口結構模塊化擴展模塊9個模塊化插槽傳輸模式支持全雙工功能特性網絡標準IEEE802.3，IEEE802.3u，IEEE802.1s，IEEE802.1w，IEEE802.3adVLAN支持QOS支持網絡管理CiscoWorks2000，RMON，增強交換端口分析器（ESPAN），SNMP，Telnet，BOOTP，TFTP其它參數電源功率4000W產品尺寸622×445×460mm二層交換機相關參數如表3-3所示：表3-3Catalyst2960-24TT二層交換機相關參數主要參數產品類型企業(yè)級交換機應用層級四層傳輸速率10/100/1000Mbps交換方式存儲-轉發(fā)背板帶寬100Gbps包轉發(fā)率75Mpps端口參數端口結構模塊化擴展模塊1個超級引擎插槽數+5個線路卡插槽傳輸模式支持全雙工功能特性網絡標準IEEE802.3，IEEE802.3u，IEEE802.3，IEEE802.3z，IEEE802.3x，IEEE802.3abVLAN支持QOS支持網絡管理SNMP管理信息庫(MIB)II，SNMPMIB擴展，橋接MIB(RFC1493)其它參數電源電壓220V產品尺寸440×317×440mm產品重量18.37kg環(huán)境標準工作溫度：0-40℃

工作濕度：10%-96%（無凝結）

存儲溫度：-40-75℃

存儲濕度：10%-96%（無凝結）3.4IP地址規(guī)劃VLAN（VirtualLocalAreaNetwork）的中文名為“虛擬局域網”通過將企業(yè)內部網絡劃分為虛擬網絡VLAN網段，可以強化網絡管理和網絡安全，控制不必要的數據廣播。一個合適的園區(qū)網，就需要一個合理的交換機網絡，本設計中應用VLAN劃分不同區(qū)域。在本設計中，整個企業(yè)網中VLAN及IP編址方案如下表3-1所示。表3-1VLAN及IP編址方案VLAN號名稱IP網段默認網關說明VLAN10辦公室/24允許訪問服務器群網段、外網，禁止部門間互訪VLAN11財務部/24允許訪問服務器群網段、外網，禁止部門間互訪VLAN20人力資源部/24允許訪問服務器群網段、外網，禁止部門間互訪VLAN21行政部/24允許訪問服務器群網段、外網，禁止部門間互訪VLAN22網管部門/24允許（發(fā)起）訪問公司各個VLAN、外網VLAN30銷售部/24允許訪問服務器群網段、外網禁止部門間互訪VLAN31前廳部/24允許訪問服務器群網段、外網禁止部門間互訪VLAN40會議室/24允許訪問服務器群網段、不允許訪問外網，禁止部門間互訪VLAN50休息室/24只允許訪問外網VLAN60服務器群/24不允許主動發(fā)起連接，除email/FTP服務器相關協議外——外部服務器群Publishers/24不允許主動發(fā)起連接，除email/FTP服務器相關協議外——VPN接入/24——僅允許訪問內部服務器VLAN1管理VLAN/24192.168.11.X管理二層交換機如表3-4所示，每個VLAN分配IP網段的網絡位均為24位，每個網段都會保留前10個地址，用作網關、管理以及部門服務器等用途，主機位（二進制）為全0或全1的地址不分配，即每個分配到PC用的地址將有244個。第四章企業(yè)內部接入詳細設計方案4.1交換模塊設計交換模塊由CiscoPacketTracer5.3進行模擬仿真。具體仿真軟件拓撲圖如圖4-1所示。圖4-1交換模塊拓撲設計圖根據拓撲設計的要求，本次仿真設計所使用的設備有：Catalyst2960-24TT二層交換機、Catalyst3560-24PS交換機、通用路由器、Cisco2811、通用服務器設備、瘦AP）、臺式PC、便攜PC。核心交換機的配置：Switch>enSwitch#conftSwitch(config)#hostnameHexin1Hexin1(config)#interfacevlan1Hexin1(config)#ipaddHexin1(config)#noshutdownHexin1(config)#intfacef1/0/1#這里根據每棟樓的編號不同而改變端口Hexin1(config-if)#switchportmodetrunkHexin1(config-if)#switchprtrunkencapsulationdot1qHexin1(config-if)#switchporttrunkallowedvlanallHexin1(config-if)#exitHexin1(config)#linevty04Hexin1(config)#password123Hexin1(config)#loginHexin1(config)#lineconsole0Hexin1(config)#password321Hexin1(config)#enablesecret321Hexin1(config)#servicepassword-encryptionHexin1(config)#routerripHexin1(config)#version2Hexin1(config)#network#將剩余所有相連的交換機的ip地址以上面的命令公布Hexin1(config)#ipdhcppoolvlan2Hexin1(config)#networkHexin1(config)#default-routerHexin1(config)#dns-server8Hexin1(config)#lease7路由器的配置Router>enRouter#conftRouter(config)#hostR1R1(config)#intf0/0R1(config-if)#noshutR1(config-if)#intf0/0.1R1(config-subif)#encapsulationdot1Q1R1(config-subif)#ipaddressR1(config-subif)#exitR1(config)#ints1R1(config-if)#ipaddr6R1(config-if)#noshutR1(config-if)#endR1#configtR1(config)#ipnatpoolInternet66prefix-length24R1(config)#ipnatinsidesourcelist1poolInternetoverloadR1(config)#access-list1permit55#其他剩余的ip地址同樣的配置R1(config)#intf0/0R1(config-if)#ipnatinsideR1(config-if)#ints1/0R1(config-if)#ipnatoutsideR1(config-if)#end完成以上配置就可以進行對外網訪問。（1）設置設備命名設置設備名稱，稱為Hostname，當需要遠程登錄到若干臺設備以維護網絡時，通過其名稱提示符可以得知自己當前配置設備的位置以清楚當前位置。這里以交換機SW1為例：switch(config)#hostnameSwitch1Switch1(config)#（2）設置設備密碼當用戶想要進入特權用戶模式時，需要提供此口令。此口令會的形式加密是MD5，所以當用戶查看配置文件時，是無法看到明文形式的口令。將交換機的加密口令設置為sg1129Switch1（config）#enablesecretsg1129（3）遠程登錄密碼設置交換機遠程登錄用戶身份驗證，同時設置口令為sg1129Switch1（config）#linevty015Switch1（config-line）#loginSwitch1（config-line）#passsg1129(4)線路超時時間為了防止管理員長時間離開，導致其他人趁機利用管理員權限，所以就需要設置終端線超時時間。在設置的時間5分鐘內，如果沒有檢測到鍵盤輸入，則IOS將斷開交換機和用戶之間的連接，重新登陸需要輸入密碼。設置登錄交換機的控制臺終端線路超時時間為5分鐘：Switch1（config）#linevty015Switch1（config-line）#exec-time5設置控制臺終端線路超時間是可以自定義，只需改動exec-time5，命令后的數字5為自己定義的值。(5)設置啟用消息同步特性在輸入命令的時候會被交換機產生的消息打亂，導致管理員看不清輸入的命令。設置啟用消息同步特性:Switch1(config)#lineconsole0Switch1(config-line)#logggingsynchronous4.2內網連通4.2.1VTP和VLAN劃分在一個龐大的企業(yè)內部網內中使用VTP技術有利于vlan配置，將網管部所在的接入層交換機Switch0設置成為VTP服務器，其他交換機設置成為VTP客戶機。交換機群將通過VTP學習獲得在交換機Server1中定義的所有VLAN的信息并且自己不可以創(chuàng)建，修改VLAN。以Switch0為例子設置交換機成為VTP客戶機：Switch0（config）#vtpmodeclientSwitch0#vtppruning設置交換機Switch1為VTP服務器，并進行VLAN的劃分配置：Switch1（config）#vtpmodeserverSwitch1（config）#vlan10Switch1(config-vlan)#nameUnits1Switch1#vtppruning4.2.2接入層的管理VLAN給交換機在VLAN1設置管理IP地址。按照表1，管理VLAN所在的子網是：/24，將/24設為接入層交換機Switch0的管理IP地址。在全局模式下為接入層交換機Switch0設置管理IP并激活主VLAN。Switch0（config）#intrfacerfacevlan1Switch0（config-if）#ipaddressSwitch0（config-if）#noshutdown4.2.3接入層接口速率接入層交換機接口速度只有3種情況，第一種是10Mbps，第二種是100Mbps，第三種是AUTO，即自適應速度。默認情況下是AUTO，在知道對端設備速度的情況下，建議手動設置接口，一般設置為100Mbps。設置在接口模式下。設置訪問層交換機Switch0的所有接口的速度均為100Mbps：Switch0（config）#intrfacerangeFastEthernet0/1-24Switch0（config-if-range）#speed1004.2.4接入層VLAN接口劃分接入層交換機Switch0為終端用戶提供接入服務。在此以Switch0為例，配置接入層交換機的VLAN接口劃分。如圖4-2中，接入層交換機Switch0為VLAN40和VLAN50（會議室和訪客廳接入）提供接入服務。圖4-2交換機SW11接口VLAN在接口配置模式下，將交換機Switch0的接口Fastethernet0/2劃入VLAN40，將接口Fastethernet0/3劃入VLAN50內。交換機Switch0的接口Fastethernet0/2劃入VLAN40：Switch(config)#vlan40Switch(config-vlan)#exitSwitch(config)#interfacerangefastEthernet0/2Switch(config-if-range)#switchportmodeaccessSwitch(config-if-range)#switchportaccessvlan40交換機Switch0的接口Fastethernet0/3劃入VLAN50：Switch(config)#vlan50Switch(config-vlan)#exitSwitch(config)#interfacerangefastEthernet0/3Switch(config-if-range)#switchportmodeaccessSwitch(config-if-range)#switchportaccessvlan50其他接入層交換機根據具體需要，類似上述配置進行操作。4.2.5干道（Trunk)鏈路所謂的TRUNK是用來在不同的交換機之間進行連接，以保證在跨越多個交換機上建立的同一個VLAN的成員能夠相互通訊。其中交換機之間互聯用的接口就稱為TRUNK接口。如果是不同臺的交換機上相同id的vlan要相互通信，那么可以通過共享的trunk端口就可以實現。如圖4-3所示，接入層交換機Switch1通過接口FastEthernet0/24上連到核心層交換機SW1的接口FastEthernet0/3。同時，核心層交換機SW1通過接口FastEthernet0/24上連到外網路由器Router2的接口FastEthernet0/1。圖4-3部分干道鏈路示例設置接入層交換機Switch1的接口FastEthernet0/24為干道接口:Switch1（config）#intrfaceFastEthernet0/24Switch1（config-if）#switchportmodetrunk設置接入層交換機SW1的接口FastEthernet0/23和0/24主干道接口:Switch0（config）#intrfacerangeFastEthernet0/23-24Switch0（config-if-range）#switchporttrunkendoSwitch0（config-if-range）#switchportmodetrunk設置接入層交換機Core1和Core2的接口FastEthernet0/1為干道接口:Switch2（config）#intrfaceFastEthernet0/1Switch2（config-if）#switchporttrunkendoSwitch2（config-if）#switchportmodetrunkSwitch3（config）#intrfaceFastEthernet0/1Switch3（config-if）#switchporttrunkendoSwitch3（config-if）#switchportmodetrunk在此以Switch1、Switch0、Switch2、Switch3之間的三條干道鏈路為例。這三條上連鏈路為干道鏈路，在這三條上連鏈路上將運輸多個VLAN的數據，Trunk干道使用標準協議dot1q。圖4-4所示為交換模塊需要配置成干道鏈路的部分（加粗部分）。圖4-4交換模塊干道鏈路4.2.6VLAN網關在核心層交換機上為每個VLAN配置VLAN虛接口地址，作為每個VLAN的網關。有網關地址，用戶接入網絡才能正常訪問各種資源。由于本次設計有核心冗余，多VLAN使用同一組HSRP，因此兩個核心交換機的VLAN虛接口地址不能相同。詳細地址分配將在下文進行介紹，這里只選擇VLAN10和VLAN11的虛接口地址進行配置介紹。VLAN10和VLAN11的虛接口地址如下：在Switch1交換機VLAN虛接口物理IP地址：VLAN10：/24VLAN11：/24在Switch2交換機VLAN虛接口物理IP地址：VLAN10：/24VLAN11：/24Switch1配置過程如下：Switch1(config)#intrfaceerfacevlan10Switch1(config-if)#ipaddressSwitch1(config)#intrfaceerfacevlan11Switch1(config-if)#ipaddressSwitch2配置過程如下：Switch2(config)#intrfaceerfacevlan10Switch2(config-if)#ipaddressSwitch2(config)#intrfaceerfacevlan11Switch2(config-if)#ipaddress其他VLAN虛接口配置過程相類似，不再贅述。4.2.7IP分配動態(tài)主機設置協議（DynamicHostConfigurationProtocol，DHCP）是一個局域網的網絡協議，使用UDP協議工作，主要有兩個用途：給內部網絡或網絡服務供應商自動分配IP地址給用戶；給內部網絡管理員作為對所有計算機作中央管理的手段。為了安全需要（具體原因在安全加固模塊詳細說明）和方便，員工的主機IP都是通過DHCP進行自動分配。但由于DHCP服務器與各主機并不在同一個網段內，DHCP客戶端（主機PC）并不能發(fā)現其他網段的DHCP服務器，因此需用使用DHCP中繼代理（DHCPRelay）來為不同網段的主機分配IP信息。在Switch1的每個VLAN虛接口上配置DHCP中繼代理，這里以VLAN10為例：Switch1(config)#interfacevlan10Switch1(config-if)#iphelper-address11為DHCP服務器的地址，在VLAN60網段。在各VLAN虛接口配置好后，各個VLAN內的主機就能正常向DHCP服務器發(fā)送請求信息，并獲取到IP信息。4.3無線訪問無線局域網（WLAN，WirelessLocalAreaNetwork）可定義為，使用射頻（RF，RadioFrequency）微波（Microwave）或紅外線（Infrared），在一個有限地域范圍內互連設備的通信系統(tǒng)。一個無線局域網可作為有線局域網的擴展來使用，也可以獨立作為有線局域網的替代設施。因此，無線局域網提供了很強的組網靈活性。要連接上WLAN網絡，必須要在主機PC上設置好與WLAN網絡相同的SSID，才能連接上無線信號。SSID（ServiceSetIdentifier）也可以寫為ESSID，用來區(qū)分不同的網絡，最多可以有32個字符，無線網卡設置了不同的SSID就可以進入不同網絡，SSID通常由AP廣播出來，通過操作系統(tǒng)自帶的掃描功能可以查看當前區(qū)域內的SSID。簡單說，SSID就是一個局域網的名稱，只有設置為名稱相同SSID的值的電腦才能互相通信。在本設計中，將把WLAN用作有線局域網的補充來實施，在大中型企業(yè)網中按需而設地進行無線區(qū)域的規(guī)劃。如圖4-6所示，本設計對會議室和訪客廳進行無線區(qū)域的規(guī)劃。因為在本設計中WLAN方案只作為有線局域網的補充，加上實際規(guī)劃是以地理位置做除了區(qū)域區(qū)分，因此，在本設計中將采用單SSID方案，即一個AP會話一個SSID。但出于安全考慮將不廣播SSID，此時用戶就要手工設置SSID才能進入相應的網絡。圖4-5AP接入點規(guī)劃將會議室的AP設備的SSID設置為Meeting-Room，不設置密碼，如圖4-6（a）所示；休息室的AP設備的SSID設置為Guest，設置密碼為gdin_alex，如圖4-6（b）所示；把他們的傳輸雙工設置為全雙工，如圖4-6（c）所示。上述步驟均可在AP的GUI界面進行。((a)會議室無線AP設置(b)休息室無線AP設置(c)速率與雙工設置圖4-6無線AP設置由于模擬環(huán)境的不支持，本設計中設置的AP只是簡單的無線接入設備，只要設置要SSID和密碼即刻使用。因此在本設計中將不對AP配置進行詳細介紹。第五章系統(tǒng)的接入測試5.1數據模型對于畢業(yè)設計來說，這次系統(tǒng)測試則是對設計的成功與否的檢驗。由于本設計是分模塊進行的，而且由于單個仿真軟件的技術局限，所以每個大模塊也分了好幾個小模塊進行設計，而且是利用多個仿真軟件進行實驗的。在本章，將對本設計中能夠在仿真軟件中仿真測試的部分進行總結，分解開每一個實驗進行測試。根據本設計的思路以及設計模塊，結合實模擬軟件的實際，本章主要挑選以下幾項分解實驗進行測試：（1）