2024年4月4日发(作者:)
摘 要
本论文是根据我企业单位实际情况,在原有电脑设施的基础上,建立企业内部的局域网
并与 Internet网相连接,这一网络化建设,是实现企业信息化管理的发展方向。本毕业设
计将主要以我们单位企业局域网网络建设过程可能用到的各种技术及实施方案为设计方向,
为我们企业定做了一套信息化建设网络方案,为我们企业网络的建设提供理论依据和实践指
导。我单位是一家金融单位,对网络的安全性质较高,为了实现这一要求使用了冗余热备份,
使用负载均衡功能,VLAN和防火墙等相关的措施。在这里使用到了交换技术、路由技术、
防火墙技术等。这次局域网的建设主要解决了因单位的规模扩大,网络信息点不够用和网络
速度上的优化。
第一章 概述
随着计算机信息产业技术的普及和发展,各企业单位的计算机应用越来越广泛。通过
信息化提高企业的竞争力已成为大多数企业的共识,但尚有不少企业的管理者往往认为买了
电脑就万事大吉,却不知来建立企业内部的局域网并联接国际网联网信息化能够有效重复和
加强协作,从而提高效率。企业要实现信息化管理,首要的条件就是建立企业局域网,然后
在该系统的基础上开发应用各种基础和专业软件。网络化可以有效地实现企业内部的资源共
享、信息发布、技术交流、生产组织。此外,还可以通过这个网络连接到世界上其它计算机,
使得企业方便地实现与外部的交流。
我公司在2栋大楼的5层中,要将两栋大楼的房间组建成一个局域网,网络技术选择
了以太网技术,交换技术,冗余技术等。由于单位目前员工和业务量的增加需要对局域网进
行建设。要求局域网主干线路为千兆,到桌面为百兆。从而使公司有一个良好稳定的办公网
络。
第二章 需求分析
2.1 系统现状分析
企业内共计300台计算机,2台服务器;
分布在2栋5层楼中,每层楼高4米,两栋楼间距为30米,每座楼高20米,长60米,
宽18米,每层楼有12个工作间,1个会议室。
要将2栋大楼的所有房间成一个局域网,每个工作间要求有3个信息点,会议室要求
有4个信息点。
要求在一个楼中建立一个中心机房,另一座楼在适当的位置建立二级交换机房。
要求局域网主干线路为千兆,到桌面为百兆。
要求有内部Web服务、FTP服务、DHCP服务、DNS服务、邮件服务、防火墙、防病
毒系统、备份系统等。
本企业有培训部门、会计部门、个人理财部门、现金部门、后勤部门、人力资源部门、
行长室共七个单位,要求,每个单位要有自己独立的账号来访问本单位的FTP服务器。
要求每个部门之间,计算机不能直接互相访问,经理室可以与所有部门通信
2.2 网络系统规划
本方案中主干网包括两个中心交换机、一个核心路由器、1个防火墙和一系列的楼层交
换机。对全网数据交换的要求较高。因此要求:
高性能,具有高速交换的能力;
多功能,可同时连接并支持多种网络环境,如以太网/高速以太网/FDDI/ATM等;
高可靠性,具有冗余电源,模块可热插拨及一定的自动切换能力,不存在“单点故障”;
可扩展性,具有多槽机箱结构,可升级和扩展,可配制高端口密度和大吞吐量的扩卡;
很强的管理特性,支持通用的网管协议,如SNMP/RMON/RMON2等。
具有良好的技术升级特性,可以实现由现有网络向未来网络技术的平滑过度,保护原
有投资。
作为外网是指为了方便工作、查阅资料和对外发布信息而放在Internet网上工作的部
分服务器和工作站。
为保证信息系统安全、可靠、7×24小时不间断运行,网络为星型连接,企业内部办公
和各点连接链路的速度为百兆连接,网络交换连接主干需要达到千兆(含千兆)以上
另外由于采用交换式以太网技术,不仅可以实现用户对高带宽的需求,而且其价格适中,
还易于维护及管理,因而本方案具有较高的性能价格比。
2.3 技术要求
(1)网络技术要求
以太网技术相对成熟,而且多数应用基于以太网开发,所以决定了目前它在网络中占主
导地位,受多数用户的青睐。在此我们推荐使用千兆以太网技术,它在技术上由快速以太网
衍生出来、性能价格比高,现在相关技术已经稳定,并且非常适合企业网络使用。在此方案
中我们选择千兆以太网与三层交换作为技术定位的基本模式
(2)主机系统要求
主机系统应采用国际上较新的主流技术,并具有良好的向后扩展能力;
主机系统应具有高的可靠性,能长时间连续工作,并有容错措施;
支持通用大型数据库,如SQL、Oracle、lotus domino等;
具有广泛的软件支持,软件兼容性好,并支持多种传输协议;
能与Internet互联,可提供互联网的应用,如WWW浏览服务、FTP文件传输服务、电
子邮件服务;
支持SNMP网络管理协议,具有良好的可管理性和可维护性
2.4 方案要求
企业网络方案要求网络稳定,因此应采用成熟的技术,并尽可能采用先进的技术;
为了网络良好维护性,及网络安全性考虑,应采用国际统一标准,以拥有广泛的支持厂
商,最大限度的采用同一厂家的产品,同时尽可能选择国内产品;
企业办公中需要用到大量的数据交流,因此方案应合理分配带宽,使用户不受网上“塞
车”的影响;
根据企业办公业务的需要及安全性的考虑,需要方案的设计中,尤其是在办公的局域网
内能够实现虚拟网(VLAN)连接;
企业中现在已经有一定数量的网络设备,PC机设备,及其他相关设备,考虑对用户现
有网络的平滑过度,需要使现有陈旧设备尽量保持较好的利用价值
2.4 方案说明
1、网络中心设备
中心机房的网络设备选用模块化交换机,根据需要灵活地选择不同的扩展模块,实现各
种配置组合,在将来进行网络升级时,可通过扩展模块,便于保护现有的网络结构及投资。
现根据网络的需要,主干交换机配一个路由模块具有三层交换功能,8个千兆的UTP6类线
的模块,5个100M的RJ-45口模块,为了管理方便再配1个管理模块。路由器可选用模块
化路由器作为与Internet的网关和拨入服务器。配备1台用于网络管理的工作站装上网管软
件,即可进行网络的配置与管理。
2、 接入层交换设备
选用千兆堆叠交换机组,可由堆叠交换机与主机组成无阻塞星型拓扑堆叠结构,根据办
公楼层的需要,可提供足够的10/100M自适应RJ-45口。
3、 Vlan及IP地址规划
楼
层
一
层
二
层
三
层
四
层
公司部门
培训部
个人理财部
现金部
后勤部部
会计部
人力资源部
行长室
IP地址范围
1 92.168.2.1/26——
192.168.2.50/26
1 92.168.2.65/26——
192.168.2.114/26
1 92.168.2.129/26——
192.168.2.178/26
1 92.168.2.193/27——
192.168.2.212/27
1 92.168.2.225/27——
192.168.2.244/27
1 92.168.2.51/27——
192.168.2.60/27
1 92.168.2.179/27——
192.168.2.184/27
默认网关
192.168.2.62
192.168.2.126
192.168.2.190
192.168.2.222
192.168.2.254
192.168.2.61
192.168.2.185
VLAN号(名称)
10(培训部)
20(个人理财部)
30(现金部)
40(后勤部)
50(会计部)
五
层
60(人力资源部)
70(行长室)
第三章 总体设计
3.1 网络方案逻辑结构图
图为逻辑结构图
核心层是网络的高速交换主干,具有可靠性、高效性、冗余性、容错性、可管理性、适
应性、低延时性的性能。该方案中网络办公需要进行频繁的数据交换,尤其是在进行视频会
议时。
因此在核心层,采用高带宽的千兆交换机。同时核心层设备采用双机冗余热备份,使用
负载均衡功能。
汇聚层是接入层和核心层的“中介”,在工作站接入核心层前先做汇聚,以减轻核心层
设备的负荷。在汇聚层实施策略、安全、工作组接入、VLAN间的路由、进行源地址或目的
地址过滤。
接入层提供本地工作站接入。
3.2 网络方案物理结构图
图为物理结构图
3.3 网络设备选用
该网络为企业网络。网络设备的选型基于安全性的考虑尽可能实现国产化,统一化;因
此网络设备主要使用华为公司的产品。防火墙等相关产品也尽量实现国产化以支持民族产
业。
在设计网络时,主干选用千兆以太网技术,核心路由器为Quidway® NetEngine 80,核
心交换机选择华为3COM公司的Quidway® S6506,;楼层交换机为Quidway® S3526C,并
选用1端口1000Base-SX(550)模块进行交换机之间的连接。连接企业的路由选择Quidway®
R2631E。
3.3.1 主要网络设备性能说明
1、 核心路由器:
Quidway® NetEngine 80:
Quidway
®
NetEngine 80
核心路由器是华为公司推出的高端网络产品,主要应用在IP骨
干网、IP城域网骨干层以及各种大型IP网络的核心位置。基于分布式的网络处理器硬件转
发和无阻塞交换技术,其电信级可靠性、线速转发性能、完善的QoS机制、丰富的业务处理
能力、优异的扩展能力,满足不断增长的数据和互联网业务对网络骨干设备的需求。NE80
是IP骨干网和IP城域网向宽带化、安全化、业务化发展的重要原动力。
方案采用NE80路由主要基于以下考虑:核心路由要求较高的转发速率及交换容量,NE80
转发性能高达400Mpps,交换容量最高达640Gbps完全可以满足办公业务数据转发的要求;
NE80上20个槽位其中16个业务槽位可以满足扩展接口的需要; NE80全面支持IPv4和IPv6
双协议栈;支持丰富的IPv4向IPv6的过渡技术,为以后网络升级提供了良好的扩展性。NE80
支持RIP、OSPF、IS-IS、BGP-4等路由协议;路由表容量支持170万。可满足该方案的要求。
NE80的产品特点:
① 分布式第五代路由器
NE80作为第五代路由器采用了业界高性能网络处理器技术,充分继承了第四代全分布
式硬件处理的架构,有机地结合了软件的灵活性和硬件的高性能,又具备快速良好的业务升
级和扩展能力,最大限度地保证用户投资。
NE80都可以仅通过软件升级方式提供硬件的IPv6转发性能,不需重新购买IPv6硬件
设备,为用户节省了大量费用,充分保护用户投资,体现出第五代路由器的优异的扩展能力。
② 业务丰富
NE80基于分布式硬件处理,具备高性能的网络业务能力,提供全面的MPLS VPN业务,
胜任高性能P/PE应用,提供高品质、安全和多层次的MPLS VPN解决方案;提供高性能组
播能力;提供千兆线速NAT等各种业务。
NE80具备快速良好的业务扩展能力,全面支持IPv6。
③ 强大的路由能力、线速的转发性能
NE80支持IP/MPLS分布式转发,路由能力强大,适合IP骨干网应用,支持大路由表,
支持丰富的路由协议包括RIP、OSPF、IS-IS、BGP4和多播路由协议,在复杂路由环境下稳
定自如。
④ 电信级可靠性
NE80各关键部件包括路由处理系统、交换网系统、时钟系统、电源、管理总线全部为
冗余热备份,实现基于状态的热切换和不间断的路由转发;所有组件支持热插拔;采用无源
背板设计;提供热补丁技术,实现软件完全平滑升级;提供IP/MPLS快速重路由、接口自
动保护切换(MSP)、虚拟路由冗余协议(VRRP)、RPR自愈环网(IPS)等保护机制,有效保
证了全网运行的高速可靠。
2、 核心交换机:
Quidway® S6506:
Quidway® S6500系列高端多业务交换机是华为3Com公司面向IP城域网、大型企业网
及园区网用户的系列大容量、高密度、模块化的二、三层线速以太网交换机产品。为域网、
园区网、数据中心提供超高速链路,构建端到端以太网络,打造低成本、高性能、具有丰富
业务支持能力的高性能网络。Quidway
®
S6500提供大容量、高密度、模块化的二、三层线
速转发性能,同时具有丰富的业务功能、强大的QoS保障、完善的安全管理机制和电信级
的高可靠设计,完全满足行业客户和运营商用户对多业务、高可靠、大容量、模块化的需求。
主要作为企业的核心交换机或城域网汇聚层交换机。该系列包括S6502(2槽),S6503(4
槽),S6506(7槽),S6506R(8槽)。
方案使用S6506核心交换机基于以下考虑:核心交换机上需要实现VRRP(虚拟路由冗
余协议)及负载均衡。S6506的Port Trunking支持最大支持8个GE或16个FE的捆绑可以
该方案中对核心交换的要求。另外选用Slience™ III 96G双路由交换引擎实现VTP Server
的备份。选用4端口千兆以太网电口+12端口千兆以太网SFP光口扩展模块满足设备节点
的需要。S6506支持生成树/快速生成树协议,符合IEEE 802.1D/802.1w/802.1S标准,支持
BPDU TUNNEL,避免了在局域网内交换机在建立必要冗余的同时产生的环路问题。
S6506的产品特点:
① 先进的体系结构
S6500采用全分布式体系结构设计,通过Crossbar技术进行高速报文交换,从而大大提
升了路由交换机的转发性能和扩充能力。Crossbar交换网芯片内置于主控板,不再单独占用
设备槽位,可提供高达768G的交换容量。
② 强大的QoS能力和精细化用户管理
每端口支持8个硬件队列,带宽控制粒度可达64Kbps;强大的用户管理、认证计费功
能支持;支持CAMS™(综合访问控制管理服务器)系统,提供专业用户管理、计费解决
方案;内置IEEE 802.1x认证服务器功能。内置DHCP SERVER功能。
③ 运营级可靠性设计
系统采用分布式结构; S6500系列所有单板支持热插拔;支持STP/RSTP/MSTP协议
和VRRP协议,能够满足苛刻的电信级网络可靠性要求;支持双路电源供电。
④ 完善的安全机制
支持标准Radius协议,同时提供Radius+功能;支持TACAS+协议;HCBM™(华为可
控组播管理协议)功能支持;保证对用户的精确认证。支持SSH V1/2。基于最长匹配的路
由方式,保证了所有报文均获得相同的转发性能。对“红码病毒”和“冲击波病毒”的攻击
具有天生的防御能力。
⑤ 无与伦比的性能价格比
S6500提供系列化机箱和系列化超级引擎,可以根据不同组网需要进行灵活配置;S6500
提供多种高密度百兆、千兆、万兆接口板,有效简化网络结构、降低建网成本;S6502无需
专门的主控交换引擎,主控交换功能内置于接口板内部,进一步降低建网成本。
⑥ 强大的扩展性能
S6500具有强大的性能和业务扩展能力;背板带宽高达1.6Tbps;可以实现灵活的智能
化业务能力,如NAT/MPLS/IP v6等高级业务特性,从而有效保障用户的投资。
3、 楼层交换机:
Quidway® S3526C:
Quidway
®
S3500系列快速智能三层交换机是华为3Com公司为充分满足高QoS保证的
需求而推出的智能型以太网交换机,包括S3526C、S3526E-FS、S3526E-FM三款类型。
Quidway
®
S3500系列快速智能三层交换机支持L2-L7层的流分类,在流分类的基础上可以
进行ACL和QoS方面的多种操作,提供完善的路由协议、VLAN控制、流量交换、QoS保
证的机制,以及完备的业务控制和用户管理能力,可作为关注业务管理控制能力的局域网/
企业网、业务网和驻地网的汇聚三层交换机。
方案使用S3526C基于如下考虑:局域网内的普通PC机器为了安全考虑需要划分为5
个VLAN,S3526C支持最多256个VLAN,支持isolate-user-vlan,可以隔离用户,节省VLAN
资源,局域网内有近200点的PC机,另有视频终端6个,S3526C的基于带宽百分比的广
播风暴的抑制技术,可有效的抑制广播风暴。支持STP协议,支持日志QuidView网管系统
可以利用软件进行方便的设备配置及管理。两个前扩展模块插槽可插一个1端口
1000Base-SX模块(550m)满足线路要求。
S3526C产品特点:
① 完备的安全智能控制策略:
Quidway
®
S3500系列快速智能三层交换机支持802.1x认证,在用户接入网络时完成必
要的身份认证,还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定,有效的防止非
法用户访问网络。
支持多种ACL访问控制策略,能够对用户访问网络资源的权限进行设置,保证网络的
受控访问。
② 丰富的QoS策略:
Quidway
®
S3500系列快速智能三层交换机通过对ACL的引用来完成QoS流分类规则的
定义,支持基于二层、三层、四层和端口的信息作为匹配依据的复杂流分类;根据服务质量
要求的为不同数据流网络流量设置传输优先级标记,满足视频、语音等重要应用的需求。
支持带宽控制功能,确保进入交换机的特定业务流一个最小的带宽,即使在网络拥塞时,
也能满足一定的丢包、时延及时延抖动等QoS需求。
③ 多样的管理方式:
Quidway
®
S3500系列快速智能三层交换机支持SNMP,可支持Open View等通用网管
平台,以及Quidview®、iManager® 网管系统。支持Web网管,TELNET,HGMP集群管
理,使设备管理更方便。
4.3.2 外网部分
在设计外网时,路由器使用Quidway® R3640E,交换机使用Quidway® S3026F,出口
为国产知名品牌的防火墙天融信网络卫士4000-UF。
天融信网络卫士4000-UF:
① 严格的安全区域保护
NGFW4000-UF 采用多安全区域体系,NGFW4000-UF 防火墙的每个物理接口对应一
个独立的防火区域,每个区域的安全策略只对该区域有效。每个区域可以单独设置自己的默
认安全策略,所有对该区域的访问都将匹配与该区域对应的安全策略。也可以设定是否允许
从该区域PING 、TELNET 以及管理防火墙。可以定义某个接口连接的网络为安全服务器
网络(SSN——Security Server Network ),将提供信息访问服务的服务器安装于该网络区
域内,与内、外网络从物理上隔离开来,并提供专门的安全保护。
NGFW4000-UF一般情况下,SSN 主机不允许主动向内、外网发起连接请求,只允许向
内、外网回应其请求数据包;外网用户也只能访问SSN 上的主机,不能访问内部网主机。
即SSN 与外部网之间受防火墙保护,同时SSN 与内部网之间也受防火墙保护,即使SSN 受
破坏,内部网络仍处于防火墙保护之下。同时NGFW4000-UF 提供的SSN 保护功能针对用
户最常提供的Web 访问服务进行专门保护,能定时检查SSN 区Web服务器,进行校验,一
旦发现服务器被入侵修改,能够根据备份的信息及时恢复服务器内容,将服务器被入侵修改
造成的影响减至最小。
② 强大的VPN功能
NGFW 4000-UF支持内建VPN功能模块。选择拥有VPN功能的NGFW4000-UF,就能够
与VPN 体系中的VPN网关、Windows 客户端,当然也包括另外的启用了VPN 功能的NGFW
4000-UF互通。它们之间可以建立加密隧道进行加密通信,形成虚拟专用网,借助互联网组
建安全可靠的私有网络。NGFW 4000-UF防火墙支持内嵌VPN模块支持,支持IPSEC、IKE
等国际标准,支持国家有关密码管理部门批准的密码算法;支持网关到网关、网关到远程客
户端的隧道。
NGFW 4000-UF无缝集成VPN功能,就相当于一台VPN网关与一台防火墙两套系统组合
起来,更好地管理维护,而且由于是内建的功能支持,功能间的结合更加平滑易用,并且可
以实现防火墙能对密文和解密后的明文进行多层次的安全控制,提供更高的安全性。
该方案中使用网络卫士4000-UF是基于网络安全的考虑,企业网络对安全要求较高,
保证高效办公的同时又要保证政务办公网的安全,因此政务办公网和Internet外网络必须进
行隔离,NGFW 4000-UF的SSN技术可以满足这一要求。对于Internet用户,考虑到有些领
导在出差时期需要进行移动办公,移动办公基于安全的考虑使用VPN拨号,因此要求防火
墙具有强大的VPN功能,在保证移动办公的同时,又保证了政务办公网的安全。
3.4 服务器设备
根据企业信息系统平台的应用系统对服务器的要求及对系统平台的规划,服务器主要放
置在办公大楼的中心机房的办公区和外网区,通过对应用系统地分析,系统平台需要以下服
务器系统。
在综合考虑了系统的先进性、实用性、成熟性、可用性、可靠性和可扩展性等方面的因
素,考虑此次办公管理系统对服务器平台的性能要求选择以下服务器:
数据库服务器:采用两台浪潮英信系列高端服务器英信NF380做双机集群系统,选用主
频为Intel XEON MP3.0MHz/4M的CPU两块,内存为2G,服务器硬盘采用36.4G二块做
RAID1来保护操作系统的安全。连接一台磁盘阵列柜,组成双机系统。磁盘阵列柜配置73G
热插拔硬盘10块,采用Raid0+1技术对硬盘进行容错保护。服务器操作系统以及数据库程
序文件安装在本机上,数据文件保存在磁盘阵列中。
操作系统采用Windows Server 2003企业版。通过Microsoft Cluster系统集群软件实现双
机热备,运行甲骨文公司的Oracle9i数据库软件组成业务的支撑平台,同时提供信息门户系
统的信息存储。
办公应用服务器:考虑到办公的数据量和办公服务器的重要性,采用两台浪潮英信系列
服务器为用户提供办公业务。主服务器采用高端服务器英信NF190,选用主频为Intel XEON
MP2.8MHz/2M的CPU两块,内存为2G,服务器硬盘采用73G五块做RAID5来保护操作
系统的安全。备用服务器采用服务器英信NF130 G2,选用主频为Intel XEON MP2.8MHz/1M
的CPU两块,内存为2G,服务器硬盘采用73G五块做RAID5来保护操作系统的安全。
操作系统采用Windows Server 2003标准版。应用软件采用IBM公司的Lotus Domino/Note
消息平台为该企业提供办公业务。
DNS服务器:采用浪潮英信系列服务器NF130 G2一台,选用主频为Intel XEON
2.8MHz/512K的CPU两块,内存为2G,服务器硬盘采用36.4G二块做RAID1来保护操作
系统的安全。操作系统采用Windows Server 2003标准版,运行DNS服务来进行域名解析服
务,并于邮件服务器相配合完成邮件的内、外网的收发工作。
防病毒服务器:采用浪潮英信系列服务器NF130 G2一台,选用主频为Intel XEON
2.8MHz/512K的CPU一块,内存为1G,服务器硬盘采用36.4G二块做RAID1来保护操作
系统的安全。操作系统采用Windows Server 2003标准版,安装诺顿网络防病毒软件,最为
整个网络的病毒防护和管理中心,对所有的客户端进行统一的病毒代码升级和管理工作。
WEB服务器:采用浪潮英信系列服务器NF130 G2一台,选用主频为Intel XEON
2.8MHz/512K的CPU两块,内存为2G,服务器硬盘采用36.4G二块做RAID1来保护操作
系统的安全。操作系统采用Windows Server 2003标准版,运行IIS Server 6.0 来进行网站的
发布,通过此网站来实现对用户Internet平台的统一界面。能够为客户提供通过Internet进
行办公信息、的发布和查询等功能。
认证服务器:采用华为的CAMS 综合访问管理服务器,该服务器采用Linux 9系统平台,
Oracle9.0数据库。CAMS作为网络中的用户管理核心,在基本的AAA(Authorization、
Authentication and Accounting)功能之上, 提供了强大的管理、维护和安全控制平台,实现
网络的可管理、可运营和高安全。
第四章 详细设计
4.1 交换模块设计
1、接入层交换机的配置
接入层为所有的终端用户提供一个接入点。这里的接入层交换机采用的是化为S3500
交换机。该交换机拥有24个10/100Mbps自适应快速以太网端口,运行的是化为的IOS操
作系统。这里以培训部接入层为例进行配置介绍。
switch > enable 进入特权模式
switch # configure terminal 进入全局配置模式
switch(config)# hostname peixunbu 按照部门名称来对交换机重新命名
peixunbu(config)#enable secret ciscopassword 为交换机设置加密使能口令
peixunbu(config)# line vty 0 15 设置登录虚拟终端线口令,为网
络管
peixunbu(config-line)# login 理人员提供远程管理服务(telnet)
peixunbu(config-line)# password yuancheng
peixunbu(config-line)# exec-timeout 5 30 设置终端线超时时间为5分30
秒
peixunbu(config-line)# line console 0 设置控制台的超时时间
peixunbu(config-line)# exec-timeout 5 30
peixunbu(config-line)# exit
peixunbu(config)#no ip domain-lookup 设置禁用IP地址解析特性
peixunbu(config)#interface vlan 1 在接入层交换机设置管理用的ip
peixunbu(config-if)#ip address 192.168.2.61 255.255.255. 192
peixunbu(config-if)#no shutdown
peixunbu(config-if)# exit
peixunbu(config)#ip default-gateway 192.168.2.62 网关地址为三层交换机上vlan1的
地址
peixunbu(config)#vtp mode client 设置接入层交换机的vtp模式为客户端
peixunbu(config)#interface range fasteherent0/3-24
peixunbu(config-if-range) #duplex full 批量指定端口传输模式为全双工
peixunbu(config-if-range)#speed 100
peixunbu(config-if-range)#switchport mode access 配置端口模式为接入模式
peixunbu(config-if-range)#switchport mode access vlan 10 按端口划分vlan
peixunbu(config-if-range)#spanning-tree portfast 设置快速端口,不用阻塞和侦听
peixunbu(config)#interface range fastethernet0/1-2
peixunbu(config-if-range)#switchport mode trunk 与核心交换机相连的端口设为干道
端口
peixunbu(config)#spanning-tree uplinkfast 启用uplinkfast特性,即备用线路快速启动
2、 核心层交换机的配置
核心层将各接入层交换机互连起来作为公司骨干网络的高速数据交换。
核心层交换机的基本参数、管理IP、默认网关可参考接入层交换机的命令与IP规划来进
行配置,下面主要对核心交换的链路聚合,创建vlan(创建培训部为例),配置vlan(创建培
训部为例)等方面进行解析。
Coreswitch(config)#vtp mode server 将核心交换机配置成vtp的服务端
Coreswitch(config)#vtp domain gongsi 配置vtp管理域,用来管理vlan的数据库
Coreswitch(config)#vtp pruning 在服务端激活裁剪功能,节约带宽,不乱发vlan广播
Coreswitch(config)#vlan 10
Coreswitch(config-vlan)# name peixunbu
Coreswitch(config)#interface vlan 10 vlan10配置IP,即为vlan10计算机的网关
Coreswitch(config-if)#ip address 192.168.2.62 255.255.255.192
Coreswitch(config)#no shutdown
Coreswich(config)#ip routing 启动路由功能
Coreswitch(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254 指向路由的内网ip
Coreswitch(config)#interface port-channel 1
Coreswitch(config-if)#switchport 进行链路聚合配置,增大带宽,冗余和负载均衡
Coreswitch(config-if)#interface gigabitethernet2/1-2
Coreswitch(config-if)#channel-group 1 mode desirable non-silent
Coreswitch(config-if)# no shutdown
Coreswitch(config)#ip classless 实现对无类别路由
Coreswitch(config)#ip subnet-zero 支持全零子网
4.2 系统及数据的安全设计
(1)物理安全:我公司办公网络是对安全性要求较高的网络,需要实现同外网隔离,同时
要保证可以实现移动办公,因此需使用硬件防火墙对内外网络进行隔离,并使用VPN的128
的加密技术,VPN数据包在Internet中传输时,Internet上的用户只能看到公用的IP地址,
看不到数据包内包含的专有网络地址保证通信安全。
(2)业务安全:办公楼内有多个不同的办公部门,不同职能的办公部门之间,特别是对安
全要求比较高的部门,例如财务部,该办公室需要划分在一个独立的VLAN内。将不同的
工作部门划分在不同的VLAN内,使工作部门实现相互的隔离,保证了业务之间的安全。
各部门如果有必要进行通信则通过路由进行通信。并在接入层交换机上做访问控制。
(3)网络设备安全:所有服务器均通过两条链路连接到两台核心交换机上,核心交换机采
用双机设备。核心交换机使用双引擎备份,一台VTPSever,一台备份VTPSever并启用VRRP
4.3 数据安全性
通过对服务器系统数据的定期备份,可以形成冗余性的数据安全。当数据库方面出现
严重问题,不能够正常运行,需要进行恢复时,就能利用最近一次的备份文件,将数据库恢
复备份时刻的状态,减少或避免出现数据大量丢失的严重故障,增强系统和数据的安全性,
减少整个系统恢复到正常运行状态的时间,缩短系统停机时间,降低系统管理员的维护工作
量,提高整个系统的安全性、可靠性、可维护性。同时数据可服务器采用双机设备,保证了
信息系统能够不间断的运行。
4.4 病毒防护
因为在网络中中存在大量客户端及各种应用的服务器,由于个人使用不规范或其他原
因,随时会出现客户端机器或服务器感染计算机病毒的可能,如果没有一个有效的病毒防护
措施及解决方案,就会对整个网络中的各个应用造成很大的影响。所以病毒防护系统是不可
缺少的一部分。这次主要考虑应用所有微软操作系统中的网路中。
鉴于Symantec在对各种系统平台的全面支持上,防护病毒的先进上,良好的可管理性
上的优势,本方案中采用Symantec的网络防护病毒产品,将防病毒系统分为工作站防病毒,
服务器防病毒,防病毒管理三个方面。
(1)工作站防病毒
对于工作站的操作系统,因为其大部分操作系统Windows系列的操作系统,根据工作
站的系统类型,分别安装Norton AntiVirus for windows3X/95/98/2000/xp,实现对系统,磁盘,
可移动磁盘,光盘以及调制解调器连接所收发文件的病毒防护
(2)服务器防病毒
对于内部网络的计算机,建议使用一台运行2003操作系统的机器作为防病毒的服务
器,一般为了管理方便,应该吧Symantec System Center(SSC)和防病毒服务器安装在同一台
服务器上进行管理。
(3)防病毒管理
计算机病毒的防护主要从技术和管理两方面着手,重在管理。系统设计时,配备有针
对性的防病毒软件,积极预防和防止各种计算机病毒,同时,指定必要的计算机应用方面的
规章制度。
4.4 布线系统设计
综合布线要符合楼宇管理自动化,办公自动化,通信自动化和计算机网络化等多功能需
要的布线系统。系统应能支持话音、图像、图形、数据多媒体、安全监控、传感等各种信息
传输,支持光纤、非屏蔽双绞线(UTP)、屏蔽双绞线(STP)、同轴电缆等各种传输载体,
支持多用户多类型产品的应用,支持高速网络的应用。综合布线系统通常包括六个子系统:
工作区子系统、水平布线子系统、干线子系统、设备间子系统、管理子系统和建筑群子系统。
综合布线系统设计要根据建筑结构和用户需求来确定,这一过程主要包括以下几个要
点:
1. 尽量满足用户的通信要求
2. 要了解建筑物内部的通信环境
3. 确定合适的通信网络拓扑结构
4. 选取将要使用的传输介质
5. 以开放式为基础,尽量与大多数厂家的产品和设备兼容,按照通用的标准进行设计
6. 系统初步设计成本估算
7. 将系统初步设计和建设费用预算告知用户
8. 最后在征得用户意见并签订合同后,在制定详细的设计方案
综合布线可采用UTP,STP或者光缆,在欧洲综合布线所采用的线缆占主流的是屏蔽系
统,而在北美广泛使用的是非屏蔽系统,在高容量主干及严重干扰的情况下就使用光缆作为
屏蔽系统。但STP屏蔽式系统若使用不当,非但达不到整体的屏蔽的完整性,其性能会比
UTP系统更差。UTP是目前较为成熟、可靠的商用建筑综合布线系统所采用的线缆,通常
情况下也可以满足在干扰环境下的使用需求。所以建议使用UTP或光缆。
在建筑物内部布线通常有三种方式:走墙壁、走屋顶、走地板,走线有两种选择:明
线和暗线。当布线房间或走道比较狭窄且层高较低时,宜选择明线,用PVC线槽走墙壁。
采用明线费用较低,采用暗线不仅昂贵,而且需要架顶,架地面或打夹层,不过比较美观。
若房间的高度允许,可以选择架顶或架地板,架地板更贵一些不过便于维护,若房间的宽度
允许可以通过墙壁走暗线,给墙壁打夹层可以给墙壁装饰得很漂亮,也易于维护。在楼层过
道三种方式都可以,但站点较集中的房间建议采用架地板的方式,会使安装和维护都更方便
建议把主机设在2号楼的三楼,建筑群间采用地下管道敷设方式,管道内敷设室外12
芯多模光缆。安装时至少要预留1~2个备用管孔,以供扩充之用。在1号,3号楼放置光缆
收发器,以确保信号正常传输。室内连接为节约资金采用双绞线,同一楼层上的水平系统多
采用四对双绞线,电缆长度宜为90m以内,垂直干线子系统总是位于垂直的弱点间,并采
用大对数双绞线。
考虑到企业网络目前和未来的使用需要,所以该大楼的布线系统采用星型拓扑结构,水
平数据点采用超五类8芯非屏蔽线缆,全部数据点采用非屏蔽系统。
水平布线子系统采用超五类非屏蔽双绞线,由配线间接至各个工作区。
1、工作区
用户工作区由终端设备连接到信息插座的连线和信息插座所组成。在本方案的设计中,
工作区信息点全部采用RJ45模块。
2、水平子系统
水平子系统的作用是将干线子系统的线路延伸到用户工作区。考虑到办公大楼目前使用
需求以及未来要有较大的扩展能力,在本方案设计中每一个信息出口,数据全部独占使用超
五类 8芯非屏蔽双绞线。
3、垂直干线子系统
垂直干线子系统部分提供了建筑物中主配线架与分配线架连接的路由。办公大楼采用6
芯多膜光纤连接主配电与分配线架。
4.5 设计依据
依据标准:
802 标准
/TIA 568工业标准及国际商务建筑布线标准
/TIA 569 国际商务建筑布线管理标准
安装与设计规范:
a.建筑与建筑群综合布线系统工程设计规范(CECS 72:97)
b.工业企业通信设计规范(GB J42-81)
c.中国建筑电器设计规范(GB J/T16-92)
d.工业企业通信接口设计规范(GBJ79-85)
局域网系统内,利用现有的布线系统所提供的管理点,即可构成用户所需的计算机网络;
然后在计算机里插上网卡,用两端均为RJ45头的一段双绞线连接线将网卡连到 RJ45 插座
上。在扩容时,在水平配线间里进行跳线,改变信息出口的功用,或同时改变信息出口处的
插入模块及水平配线架上相应于该信息出口的插入模块即可。
第五章 总结
致谢
参考资料
发布评论