企业网络规划设计与实现毕业论文

XX 民政职业技术学院毕业实践报告题目：企业网络规划设计与实现毕业论文毕业设计毕业专题V指导老师： 系别： 班级： 学号： XX：2014 年 4月 25 日 【摘要】21 世纪是一个信息时代，互联网把企业驰入了全球信息高速公路，让企业信 息通过互联网通达世界各个角落企业通过互联网发布企业最新的商业信息，供全球检 索，以此来宣传自己的企业，宣传企业的产品，宣传企业的服务，全面展示企业形象， 并通过网络与各行各业进行交流、推销和合作，同时通过互联网寻找货源和新客户许 多企业都在互联网上找到了机会，创造了辉煌与其临渊羡鱼，不如退而结网”，科技随着人类不断的发展而日新月异，信息化、 网络化、高效化的脚步已经越来越近对于一个公司来说，网络的信息化已经成为公司 发展、参与市场竞争的首要条件企业网络方案设计从XX某公司的网络结构特点与企业 网的原则性出发，根据公司的建设必要性与需求、公司网络的综合布线以及公司信息点 的采集等方面进行需求分析，通过网络仿真软件 ENSP2.0 建立网络设备和网络链路布线 的设计模型，并模拟网络的流量、划分VLAN、创建访问控制列表、构建冗余链路等综 合性地运用当今企业网的优点与现代化的管理手段，对网络结构架构：如网络拓扑结构 详细规划、分层设计、IP地址的规划设计等方面做了详细剖析。

从而实现一个办公自动 化、全方位、多功能、升级能力强的企业网的构建关键词】企业网；网络规划；网络设计；网络拓扑目录序言- 1 -从企业对信息的需求来看- 1 - 从企业管理和业务发展的角度出发- 1 -1. 中小企业网络的建设目标- 3 - 1.1建设目标- 3 - 1.2设计原则- 3 -2. 企业网络的总体设计- 4 -2.1 网络拓朴设计- 4 -2.2 IP编址方案及VLAN划分-5 -2.3 核心层设计及设备选型- 6 -2.3.12.3.22.3.3园区主干交换机- 6 -出口路由器- 7 -服务器群组- 7 -2.4接入层设计及设备选型- 7 -2.5安全体系设计及设备选型- 8 -2.6设计方案优势- 8 -2.6.1高带宽、高性能- 8 -2.6.2网络管理- 9 -2.6.3完善的安全机制- 9 -2.6.4易维护- 10 -2.6.5高可靠性- 10 -2.6.6低成本、可扩展性强- 11 -3. 企业网络的整体方案部署- 11 -3.1 交换模块设计- 11 -3.1.1 接入层交换机服务的实现—配置接入层交换机- 11 -3.1.2 核心层交换机服务的实现—配置核心层交换机- 14 - 3. 2广域网接入模块设计- 17 -3.2.1配置路由器AR 1的基本参数-17 -3.2.2 配置路由器AR1的各接口参数-18 -3.2.3配置路由器AR1的路由功能-18 -3.2.4 配置接入路由器AR1上的NAT- 18 -3.2.5配置接入路由器AR1上的ACL- 19 - 结束语- 20 - 参考文献- 21 -- 4 - / 25序言随着 Internet 在全球的发展与普及，企业网络技术的发展以及企业生存和发展需要促 成了企业网的形成。

自 20 世纪 90 年代以来，企业网络已经成为连接企业、事业单位各部 门与外界交流信息的重要基础设施基于局域网和广域网技术发展起来的企业网络技术得 到迅速的发展为了适应网络经济的飞速发展，扩大企业经营的规模和 X 围，方便企业内部和企业之 间的交流，节省办公开销，提高企业的管理水平，企业发展Intranet （企业内部网）已经 是刻不容缓另外，截至 2011年，中国中小企业的数量将达到 4660万，其中拥有企业的企业数量 将达到 363万在国民经济中，60%的总产来自于中小企业，并为社会提供了60%以上的就 业机会然而，在中国国民经济和社会发展中一直占据着至关重要的战略地位的小中企业， 其信息化程度却比较落后今后如何应对瞬息万变、竞争激烈的国内外市场环境以及如何 利用网络技术迅速提升企业核心竞争力就是成为企业成败的关键所在从企业对信息的需求来看面对着激烈的市场竞争，公司对信息的收集、传输、加工、存储、查询、预测、决策 及即时的交流、沟通等工作量越来越大，原来的电脑出于网络技术或是安全性等因素考虑， 一直只是停留在单机工作的模式，各部门及科室间的数据不能实现共享，致使工作效率大 大下降，纯粹手工管理方式和手段已经不能适应企业的需要，这将严重妨碍公司的生存和 发展。

社会进行要求企业必须改变现有的落后管理体制、管理方法和手段，建立现代企业 的新形象，建立本企业的办公自动化管理信息系统（即公司局域网），以提高管理水平，增 加经济和社会效益从企业管理和业务发展的角度出发通过网络对网络资源的共用来改善企业内部和企业与客户之间的信息交流方式，满足 业务部门对信息存储、检索、处理和共享需求，使企业能迅速掌握瞬息万变的市场行情， 使企业信息更有效地发挥效力；提高办公自动化水平，提高工作效率，降低管理成本，提 高企业在市场上的竞争力；通过对每项业务的跟踪，企业管理者可以了解业务进展情况， 掌握第一手资料，及时掌握市场动态，为企业提供投资导向，为领导决策提供数据支持； 通过企业内部网建立，企业各业务部门可以有更方便的交流沟通，管理者可随时了解每一 位员工的情况，并加强以企业人力资源合理调度，切实做到系统的集成化设计，使原有的 设备、投资得到有效利用因此，有必要建设好中小型企业建设信息网络，以达到最大限度地实现信息资源共享 并使用电子信息的传递取代纸面文件、材料的传送，逐步实现无纸办公，改变传统的工作 方式，进一步提高工作效率同时，利用各种业务信息的综合分析，为各级领导提供决策 支持，更好地组织生产和经营。

1. 中小企业网络的建设目标1.1 建设目标企业建设一个以办公自动化、计算机辅助生产、控制及管理为核心，以现代网络技 术为依托，技术先进、扩展性强、能覆盖企业各楼宇的企业主干网络，将企业的各种 PC 机、工作站、终端设备和局域网连接起来，并与有关广域网相连，在网上宣传自己和获 取 Internet 网上的信息资源形成结构合理、内外沟通的企业计算机网络系统，在此基 础上建立能满足生产、研发和管理工作需要的软硬件环境，开发各类信息库和应用系统， 为企业各类需求提供充分的网络信息服务即总体目标是利用先进的计算机技术和网络 通信技术，建设高质量、高效率的统一的通信网络其具体目标如下：1) . 通过建设一个高速、安全、可靠、可扩充的网络系统，使各系统互联互通，实现 企业信息的高度共享、传递及管理信息化，各领导能及时、全面、准确地掌握企 业的研发、生产、管理、财务、人事等各方面情况；2) . 建立出口信道，实现企业与 Internet 互联，同时部署企业各种应用服务器(、 文件、及各系统服务器等)，实现企业信息的发布，提供各领导和企业员工的移 动拨号接入，进行移动办公和资料查询；3) . 企业的各通交流，用电子信息的传递取代纸面文件、资料的传送，实现无纸办公， 改变传统的工作方式，进一步提高工作效率；4) . 利用各种业务信息的综合分析，为各级领导提供决策支持，更好地组织生产和经 营。

1.2 设计原则企业园区网可能包含大量的信息点，并会涉及大量的业务应用，这就要求企业网必 须是一个实用的、高可靠、高效率、高扩展性及高安全性系统为使企业园网络系统具 有良好的扩展性和灵活的接入能力，并易于管理，易于维护，在网络设计及构建中始终 应遵循统一标准、统一平台及网络分层的原则，主要包括如下原则：1) . 在网络规划方面，统一采用IP技术，统一规划IP地址及各种应用，采用开放的技术及国际标准，如路由协议、安全标准、接入标准和网络管理平台等， 才能保证实现网络的统一，并确保网络的可扩展性，同时为了减少网络中各 部分的相关性，便于网络的实施及管理，在网络的构建中，从整体上可以将 网络划分为核心层、汇聚层和接入层等 3 个层次；2) . 在软硬件选择方面，所有选择的软、硬件产品都必须遵循标准化原则，采用 统一的软、硬件平台和基本应用软件，以便进行统一的软件版本的升级及管 理；3) . 在安全方面，所建设企业网应具有良好的安全性与XX性，根据企业的业务应用需求，部署合理的网络访问策略，同时实现企业内部敏感信息的保护，在 受到攻击时具有可追溯性；4) . 在投资保护方面，要做到资源共享与保护，充分合理地利用现有的资源，最大限度地与原有系统或在建系统互联互通，在尽可能利用已有投资的基础上, 解决好经费的补充和配套资金到位问题。

2. 企业网络的总体设计2.1网络拓朴设计本次该企业网络设计方案主要由以下部分构成：交换模块、广域网接入模块、服务 器群整个网络系统的拓朴结构图如图2-1网络拓朴设计所示，如下:汇聚层、榛心接入层图2-1网络拓朴设计该设计符合中小型局域网模型架构它的园区主干和建筑物分布子模块没有十分明 确的三层设计区分，在功能配置基本上是紧缩到一层中去，因为缺乏明显分开的园区主 干和建筑物分布子模块，并且园区主干子模块中的密度是有限的，所以在每个建筑物分 布子模块中采用多台二层交换机进行堆叠即可，在此方案中，出于可扩展性、一次性投 资成本、网络的传输性能及长远规划等方面因素考虑，前期先采用堆叠模式即可满足所 有用户的接入问题，当用户增加到一定的数量之后，出于交换机堆叠数量的限制，可以 选择增加多一台建筑物分布子模块来做汇聚的交换设备，这样一样可以做到后续有很强 的扩展性，通过这种设计，可以使用该企业达到满足现有需求的同时很好的降低了成本 且不失后期的扩展性(如上拓朴图示)以这个设计方案而言，因为能提供交换机和链路冗余，所在园区主干子模块不包含 任何的单点故障它采用了星形拓朴结构，它相对其他拓朴结构来说，星形拓朴将用户接入网络时具 有更大的灵活性。

当系统不断发展或系统发生重大变化时，这种优点将变得更加突出在接入层，华为S2700系列交换机通过生成树提供第二层冗余华为S2700系列交 换机仅有缺点就是最高只能32Gbit/s交换阵列，并且最多只能支持48个快速以太网端 口，但是这对于资金有限的中小型企业网来说已经满足需求了在核心层采用三层交换机华为5700系列部署，可以增加网络扩展性，提高性能及可 用性，增强网络安全性在该设计中，利用快速以太网通道化/千兆以太网通道化技术扩展网络带宽，可以满 足内部网络的大负荷网络运行需求2.2 IP编址方案及VLAN划分ip地址规划根据所分配的公网ip地址和内部私有网ip地址分配，地址可分为二大 块，一块是分配多个c类公网ip地址，作为和国际互联网互连的地址，一部分企业相关 的域名就解析在这片地址上，同时提供给企业用户上网时的NAT转换用，如果条件允许, 可以申请多个运营商的线路，关键服务器及应用可以拥有两条线路的公网IP,分别跨接 在不同的运营商上进行相互备份当前交换技术的迅速发展，也加快了虚拟子网技术 (VLAN—Virtual Local Area Network)的应用速度，特别是在当前企业网上的应用更广泛。

通过将企业网络划分为虚 拟子网(VLAN)，可以强化网络管理和网络安全，控制不必要的数据广播数据广播在网 络中起着非常重要的作用，随着企业网内的计算机数量的增加，广播包的数量也会急剧 增加，当广播包的数量占到总量的30%时，网络的传输效率将会明显下降特别是当某网 络设备出现故障后，会不停地向网络发送广播，从而导致网络风暴，使网络通信陷于瘫 痪当企业网络内计算机数超过200台后，就必须采取措施将网络分隔开来，将一个大 的广播域划分成若干个小的广播域该方案IP编址及VLAN划分如下:表5-1 VLAN划分表VLAN 号VLAN名称IP网段默认网关说明VLAN 1—192. 168. 0. 0/24192. 168. 0. 254管理VLANVLAN 10CWB192. 168. 1. 0/24192. 168. 1. 254财务部VLANVLAN 20SCB192. 168. 2. 0/24192. 168. 2. 254市场部VLANVLAN 30CHB192. 168. 3. 0/24192. 168. 3. 254策划部VLANVLAN 50KFZX192. 168. 5. 0/24192. 168. 5. 254客服中心VLANVLAN 60CGB192. 168. 6. 0/24192. 168. 6. 254采购部VLANVLAN 70RFB192. 168. 7. 0/24192. 168. 7. 254研发部VLANVLAN 100SERVER192. 168. 100. 0/24192. 168. 100. 254服务器组VLAN2.3 核心层设计及设备选型企业网是各种应用的统一通信平台，平均无故障时间以及故障恢复时间要保持在一 个可容忍的许可X围之内。

在这种前提下，园区主干设备应有一定的冗余度，这种冗余 包括有设备及物理线路等方面，数据链路层、网络层以及应用层的容错能力园区主干 网以企业网络中心的主机房为中心节点向外辐射，通过各部门所在的建筑楼节点构成园 区主干网企业园物理结构分为三层:核心层、汇聚层、接入层园区主干网中心节点 配置核心路由交换机，该交换机上配置第三层交换模块和网络监控模块，以实现网络动 态管理和虚拟局域网企业网的各建筑物分布子模块，可采用三层交换机与企业网园区 中心的核心路由交换机连接，以实现主干通道信息传输的负载均衡办公司楼、研发楼 生产间、职工公寓等楼宇采用高性能汇聚层交换机，以保证建筑楼信息点对交换机端口 密度的要求和网络性能与可靠性的要求园区主干网核心层交换机和汇聚层交换机采用 1000Mbps连接，服务器采用100Mbps连接2.3.1 园区主干交换机园区主干交换机是指连接服务器及楼与楼之间、层与层之间的数据交换设备根据 企业网工程的不同阶段中网络信息点增加及其间伴随着的使用需求增长，对主干交换机 基本设备的选型及其阶段性的扩展需求进行总体的合理规划因此本次方案设计采用华为 S5700 交换机，它的最高性能可以达到 102Mpps 和 136Gbi t/s，在远程办公室环境中，这类交换机即可以作为单台交换机发挥作用，也可以 作为包含少量交换机的中小型网络的园区主干交换机。

在性能方面，具有很强的扩展性及多业务特性，可以满足未来企业丰富的业务需求 及提供投资保护2.3.2 出口路由器在此方案中，考虑该企业 Internet 出口路由器的配置，采用一台华为 AR3260 路由 器，因为华为AR3260系列是模块化设备，提供了更多的槽和更高的处理能力，它的用途 是支持大型分支机构中的复杂应用，或作为中心路由器为多个远程站点提供连接，它的 网络模块最高可支持0C-3的速度，且对大多数企业具有丰富的可提高扩展能力2.3.3 服务器群组服务器是网络服务器用量最大的地方服务器的选择标准很大程度上取决于中心客 户的类型和应用种类就大部分中小型企业应用而言，Web、ERP应用和数据库应用仍然 占整个数据中心的各类应用的主要部分因此对服务器的网络响应能力在很大程度上体 现了服务器的硬件体系结构设计的合理性、CPU或CPU组（SMP）对操作系统的进程或线 程的分配能力以及磁盘 I/O 的性能以及可行性与稳定性，同时散热、功耗和易安装性 也是重点考察和评价的对象基于以上考虑，所选的服务器必须具有高可靠性，I/O吞吐 能力强，数据处理快，可扩展性和可管理性良好的特点2.4 接入层设计及设备选型接入层选用华为 S2700 可堆叠交换机作为用户的接入，这些交换机通常作为建筑物 接入交换机而部署，能够提供固定的端口密度，并且具有与高端交换机相类似的特性， 但其成本更低，但它们却支持非常多的高级交换特性，其中包括集成安全、NAC、高级Qos 和弹性等；同时这些交换机具有固定的端口配置，具有 24 个或 48 个 10/100BASE-T 或 10/100/1000BASE-T端口，以及双目标特以太网上行链路。

使用华为 S2700 作为本方案设计的接入交换机，它支持全线速的二层交换，同时具 备如下特性：完备的安全智能控制策略：支持 802.1x 认证，还可以通过灵活的 MAC、IP、VLAN、 PORT任意组合绑定，有效的防止非法用户访问网络支持多种 ACL 访问控制策略：能够对用户访问网络资源的权限进行设置，保证网络 的受控访问高可靠性：支持STP/RSTP生成树协议丰富的QOS策略：支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、 端口，支持带宽控制功能2.5 安全体系设计及设备选型企业网信息系统是企业网的数字神经中枢，合理的使用不仅能提高企业现代化信息 化改革、提高工作效率、改善工作模式及流程，同时通过各企业之间的信息共享及沟通 的方便及顺畅，将会极大的提高整体行业的工作效率及工作业绩企业网总体上分为企业内网和企业外网企业内网主要包括研发楼局域网、生产车 间局域网、办公自动化局域网等企业外网主要指企业提供对外服务的服务器群、与电 信的接入以及远程移动办公用户的接入等，认真分析可以总结出企业网面临着如下的安 全威胁：(1) 各种操作系统以及应用系统自身的漏洞带来的安全威胁；(2) Internet 网络用户对企业网存在非法访问或恶意入侵的威胁；(3) 来自企业网内外的各种病毒的威胁，外部用户可能通过以及文件传输等将病毒带 入企业内网，内部职工可能由于使用盗版介质将病毒带入企业内；(4) 内部用户对 Internet 的非法访问威胁，如浏览黄色、暴力、反动等，以及由于下 载文件可能将木马、蠕虫、病毒等程序带入企业内网；⑸内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击，导致 网络及服务不可用；(6) 企业网内的职工即时通信工具(比如：QQ)，目前针对该类工具的黑客程序随处可 见；(7) 可能会因为企业网内管理人员以及全体职工的安全意识不强、管理制度不健全， 带来企业网的威胁。

基于上面的问题，我们将从物理、系统、网络、应用及管理五个层次分析和设计适 合于企业网的安全建议方案2.6 设计方案优势2.6.1 高带宽、高性能相比于传统组网设计方案，该企业网络设计方案是基于标准的二、三层以太网交换 技术，技术成熟度非常高企业网络中心放置路由交换机上行通过GE接至互联网，GE可 以是单模或者多模，到时可以按使用的情况进行扩展，使出口不会成为企业网瓶颈在 企业网络中心通过下行使千兆链路连接接入层交换机，百兆交换到桌面，100M的带宽可 充分满足用户高速上网、内容下载及多媒体等多种宽带业务核心交换机拥有 1000M 出 口联接企业网，各层设备全部支持线速交换，给用户提供了真正的高带宽网络，对未来 高带宽的宽带业务提供了强大的支撑能力2.6.2 网络管理企业网在为员工提供便捷、高效的学习、工作环境的同时，也在宽带管理、权限控 制等方面存在许多问题：■对帶宽资源的大量占用导致重要应用无法进行对于企业来说，它的带宽资源都是有限的由于没有带宽限制和优先级设置，一些 重要用户和重要应用得不到必要的带宽保证而影响了工作■ 访问权限难以控制随着使用互联网资源、各部门之间不同员工间的XX资源可以随意获取，将导致企业 秘密资料或是自主知识产权被竞争对手抄袭，引起经济损失。

■ 异常网络事件的审计和追查 当异常网络事件发生后，如何尽快的追根溯源，找出幕后“黑手”，避免事件的再次发生，成了网络维护人员不得不面对的棘手问题■ 带宽的限定和业务优先级的设定 系统能对每个客户上下行的带宽上限加以限定，防止个别客户占用过多网络资源还能对不同的用户数据设定业务优先级以保证重要数据能得到更好的服务■ 快捷实现全网管理 全网拓扑发现功能可以对全网设备、网络节点以及事件、性能、日志进行实时监控，统一管理■ 强大的事件追查功能 系统中丰富的日志信息和便捷的追查工具能使网络管理员在面对异常事件时，能及时作出反应，迅速找出幕后“黑手”2.6.3 完善的安全机制该企业各楼宇交换机通过内在的多种安全机制可有效防止和控制病毒传播和网络流 量攻击，控制非法用户使用网络，保证合法用户合理化使用网络，如端口安全、端口隔 离、专家级ACL、时间ACL、端口 ARP报文合法性检查、基于数据流的带宽限速等等，满 足企业网加强对访问者进行控制、限制非授权用户通信的需求；在汇聚、核心交换设备 设置由硬件实现ACL,对病毒进行过滤■ 硬件实现端口与MAC地址和用户IP地址的绑定，严格限定端口上用户接入；■ 通过将端口设为保护端口即可简单方便地隔离用户之间信息互通，不必占用 VLAN资源；■ 通过Private VLAN可以在交换机的同一 VLAN中提供端口之间的通讯或安全隔 离，确保数据流进入有效端口，而不会被发送到其它端口，即解决了因传统 802.1QVLAN造成全网VID资源不够的问题，同时又无需利用安全规则资源即能 达到隔离不同用户以及不同组用户之间通讯的功能，充分保护用户隐私；■ 提供极为有效的Port Blocking功能，避免端口受到其它端口发送的广播包、 多播包等报文的干扰，有效减轻端口负载负担，提高端口带宽，保护用户 PC 更高效安全地运行；■ 基于源IP地址控制的Telnet和Web设备访问控制，增强了设备网管的安全性， 避免黑客恶意攻击和控制设备；■ 提供加密传输的Secure Shell(SSH),保证管理设备信息的安全性，防止黑客 攻击和控制设备；■ 病毒、蠕虫等多元化发展■ 控制网络病毒。

统一对接入层交换机做动态下发安全策略，轻松有效的控制网 络病毒，使网络保持畅通2.6.4 易维护华为网络交换机都经过独特设计具备防尘、防潮、防静电等多种适于在楼道安装和 使用的特点而且具有强大的运行维护能力，能有效降低运营商的运维成本支持RS-232 本地管理口及Telnet、WEB、SNMP代理，远程监控(RMON 1~3，9组)可根据运营商的 不同要求，使用不同的管理方案，支持SNMP协议的全网集中网管提供了故障告警和日 志功能，可通过机箱面板上指示灯直观地了解设备的运行状态2.6.5 高可靠性华为网络产品均使用国际上主流的先进ASIC芯片进行设计，并率先采用ISO9002生 产标准进行生产，确保了设备的稳定性2・6・6低成本、可扩展性强以太网交换技术历经长期发展，得到众多厂商的支持，以技术实现简单而获得极大 的性能价格比华为网络公司的以太网交换机全部基于标准的以太网交换技术，使用专 用芯片技术，具有极高的性价比，保证了整个网络核心部分的稳定、可靠和高性能华 为中心交换机采用模块式设计，用户只需简单地添加端口模块即可实现网络的扩容，完 整保护用户投资华为交换机支持弹性堆叠功能，可根据需要扩展堆叠从机；这样，当 网络需扩容时，只需简单添加堆叠从机，不必再添加设备管理ip；同时，网络速度不会 受到影响。

3企业网络的整体方案部署以下是该企业应用以上方案设计之后，方案中所有的网络、服务器等设备的具体参 数配置3.1交换模块设计为了简化交换网络设计、提高交换网络的可扩展，在园区网内部数据交换的部署是 分层进行的园区网数据交换设备可以划分为三个层次：接入层、分布层、核心层在 本设计方案中，需要进行三层配置以下所有配置均属于真实在运营参数，并且使用SecureCRT 6.1作为终端进行网络 设备的配置验证3.1.1接入层交换机服务的实现一配置接入层交换机接入层为所有的终端用户提供一个接入点这里的接入层交换机采用的是 S2700-52P-EI交换机交换机拥有48个10/100Mbps自适应快速以太网端口我们以方 案拓朴图示中的接入层交换机LSW5为例进行介绍如下图3-1接入层所示：MMEEtherfel BTyPCS图3-1接入层3・1・1.1配置接入层交换机LSW5的基本参数1） 设置交换机名称设置交换机名称，也就是出现在交换机CLI提示符中的名字一般我们会以地 理位置或行政划分来为交换机命名当我们需要Telnet登录到若干台交换机以维护 一个大型网络时，通过交换机名称提示自己当前配置交换机的位置是很有必要的。

使用Secure CRT登录LSW5进入界面后，输入以下命令为接入层交换机命名 〈Huawei〉sys te m-view //进入用户模式[Huawei]sysname LSW5S //修 改交换机名称[LSW5] //修改成功后的显示效果2） 设置登录虚拟终端线时的口令对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管理人员 提供了很多的方便，但是，处于安全考虑，在能够远程管理交换机之前网络管理人 员必须设置远程登录交换机的口令[LSW5]user-in terface vty 0 4 //进入虚拟终端线路[LSW5-ui-vty0-4]set authentication password cipher mzxy // 设置登录 密码为mzxy[LSW5-u i-vty0-4]a ut hen ticati on-mode password //设置认证模式为密码认 证3） 设置终端线超时时间为了安全考虑，可以设置终端线超时时间在设置障碍的时间内，如果没有检 测到键盘输入，交换机将断开用户和交换机之间的连接[LSW5-ui-v ty0-4]idle-ti meou t 5 //设置登陆交换机的控制终端线路的超时 时间为5分0秒钟。

3.1.1.2配置接入层交换机LSW5的管理IP、默认网关接入层交换机是OSI参考模型的第二层设备，即数据链路层的设备，因此，给接入 层交换机的每个端口设置IP地址是没有意义的，但是，为了使网络管理人员可以从远程 登录到接入层交换机上进行管理，必要给接入层交换机设置一个管理用的IP地址，这种 情况下，实际上是将交换机看成和PC机一样的主机，给交换机设置管理用的IP地址只 能在VLAN1，即本征VLAN中进行按照表2,管理VLAN所在的子网是：192.168.0.0/24, 这里将接入层交换机LSW5的管理IP地址设为：192.168.0.10/24，如下：[LSW5]interface vlan 1[LSW5-Vlanif1]ip add 192.168.0.10 24 //设置管理 IP 为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关地址 192.168.0.254 [LSW5]ip route-static 0.0.0.0 0.0.0.0 192.168.0.2543.1.1.3配置接入层交换机LSW5的VLAN[LSW5]vlan batch 10 20 //在交换机上创建 VLAN10、VLAN201.1.1.1 配置接入层交换机LSW5的访问端口接入层交换机LSW5为终端用户提供接入服务，根据各部门的不同分布，接入层交换 机LSW5为VLAN 10及VLAN 20提供接入服务。

设置接入层交换机SWITCH1的端口 1~20为VLAN 10，端口 21~46为VLAN 20，如下： [LSW5]vlan 10[LSW5-vlan10]port Ethernet 0/0/1 to 0/0/20 //设置端口 1~20 为 VLAN 10的成员[LSW5]vlan 20[LSW5-vlan20]port Ethernet 0/0/21 to 0/0/46 //设置端口 21~46 为 VLAN 20的成员3.1.1.4 配置其他接入层交换机对接其他入层交换机的配置步骤、命令和对接入层交换机LSW5的配置类似按照LSW5的配置，在其他接入层交换机做相类似的配置，并将各自的端口划入相应 的VLAN即可3.1.2核心层交换机服务的实现一配置核心层交换机在本设计方案中，核心层各设备主要是做数据的高速转发工作，但同时也可以兼顾 一些分布层的工作，以方便配置的实施下面讨论核心层交换机的配置，如下图3-2核 心层所示：3.1.2.1对核心层交换机LSW1的基本参数的配置配置步骤与接入层交换机LSW5的基本参数的配置类似，其配置如下: 〈Huawei>sys tem-view [Huawei]sysname LSW1[LSW1]user-interface vty 0 4[LSW1-ui-vty0-4]authentication-mode password[LSW1-ui-vty0-4]set authentication password cipher mzxy[LSW1-ui-vty0-4]idle-timeout 53.1.2.2配置核心层交换机LSW1的管理IP、默认网关下面的命令为核心层交换机CoreSwitch1设置管理IP并激活管理VLAN，还设置了默 认网关的地址，配置如下：[LSW1]interface vlan 1[LSW1-Vlanif1]ip add 192.168.0.100 24[LSW1]ip route-static 0.0.0.0 0.0.0.0 192.168.0.2543.1.2.3 在核心层交换机LSW1上定义VLAN在本设计方案中，除了默认的管理VLAN外，又定义了 6个VLAN：[LSW1]vlan 10[LSW1-vlan10]description CWB[LSW1]vlan 20[LSW1-vlan20]description SCB[LSW1]vlan 30[LSW1-vlan30]description CHB[LSW1]vlan 40[LSW1-vlan40]description KFZX[LSW1]vlan 50[LSW1-vlan50]description CGB[LSW1]vlan 60[LSW1-vlan60]description SERVER[LSW1]vlan 100[LSW1-vlan100]description To-LSW23.1.2.4配置核心层交换机LSW1的端口基本参数如朴拓朴图所示，核心层交换机LSW1的端口 G0/0/4为服务器群提供接入服务，而 端口 G0/0/1分别上连到路由器，其他接口则分配给接入层交换机使用。

此外，为了实现冗余设计以及提供主干道的吞吐量，核心层交换机LSW1将千兆端口 G0/0/2、G0/0/3捆绑在一起实现2000Mbps的千兆以太网信道，然后再连接到另一台核心 层交换机LSW2，下面是调协核心层交换机LSW2的千兆以太网信道的步骤：[LSW1]interface Eth-Trunk 1 //创建组[LSW1-Eth-Trunk1]port link-type access //设置模式为 TRUNK [LSW1-Eth-Trunk1]trunkport GigabitEthernet 0/0/2 to 0/0/3 //加入组13.1.2.5配置核心层交换机LSW1的三层交换功能核心层交换机CoreSwitch需要为网络中的各个VLAN提供路由功能，需要为每个VLAN 定义自已的默认网关地址：[LSW1]interface Vlanif 10[LSW1-Vlanif10] ip add 192.168.1.1 255.255.255.0[LSW1]interface Vlanif 20[LSW1-Vlanif20]ip add 192.168.2.1 255.255.255.0 [LSW1]interface Vlanif 30[LSW1-Vlanif30]ip add 192.168.3.1 255.255.255.0 [LSW1]interface Vlanif 40[LSW1-Vlanif40]ip add 192.168.4.1 255.255.255.0 [LSW1]interface Vlanif 50[LSW1-Vlanif50]ip add 192.168.5.1 255.255.255.0 [LSW1]interface Vlanif 100[LSW1-Vlanif100]ip add 192.168.100.1 255.255.255.252此外，还需要定义通往Internet的路由，这里使用了一条缺省路由命令，使用的下 一跳地址是Internet接入路由器与核心交换机相连接的快速以太网接口 G0/0/1的IP地 址。

[LSW1]vlan 200[LSW1-vlan200]description To-AR1[LSW1-vlan200]port GigabitEthernet 0/0/1[LSW1]int vlan 200[LSW1-Vlanif200]ip add 192.168.200.1 24CoreSwitch1(config-if)#ip address 192.168.200.1 255.255.255.0//在交换机LSW1启用OSPF路由功能[LSW1]ospf 1[LSW1-ospf-1]area 0[LSW1-ospf-1-area-0.0.0.0]network 192.168.0.0 0.0.0.255[LSW1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255[LSW1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255[LSW1-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255[LSW1-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255[LSW1-ospf-1-area-0.0.0.0]network 192.168.5.0 0.0.0.255[LSWl-ospfT-area-0.0.0.0]ne twork 192.168.100.0 0.0.0.255[LSWl-ospfT-area-0.0.0.0]ne twork 192.168.200.0 0.0.0.255[LSW1-ospfT-area-0.0.0.0]ne twork 192.168.300.0 0.0.0.2553・1・2.6配置核心层交换机LSW2对核心层交换机LSW2的配置步骤、命令和对核心层交换机LSW1的配置类似。

3.2广域网接入模块设计在本设计方案中，广域网接入模块的功能是由广域网接入路由器AR1来完成的，采 用的是华为的3260路由器，它通过自己的串行接口 Serial4/0/0接入In terne t,它的作 用主要是在Internet和企业网间路由数据包，除了完成主要的路由任务外，利用访问控 制列表(Access Control List, ACL)，广域网接入路由器AR1还可以用来完成以自身为 中心的流量控制和过滤功能并实现一定的安全功能，所下图3-3广域网接入所示lute (netFSin al D/lVl liiferial图3-3广域网接入3.2.1配置路由器AR1的基本参数路由器的基本参数配置和前面交换机的配置类似，配置如下：〈Huawei>sys tem-view[Huawei]sysname AR1[AR1]user-interface vty 0 4[AR1-ui-vty0-4]set authentication password cipher mzxy[AR1-ui-vty0-4]authentication-mode password[AR1-ui-vty0-4]idle-timeout 53・2・2配置路由器AR1的各接口参数对于路由器IRouter的各接口参数的配置主要是对接口 G0/0/0、G0/0/1以及接口 S4/0/0的IP地址、子网掩码的配置，如下：[AR1]interface g0/0/0[AR1-GigabitEthernet0/0/0]ip add 192・168・200・1 255・255・255・0 [AR1]interface g0/0/1[AR1-GigabitEthernet0/0/1]ip add 192・168・300・1 255・255・255・0 [AR1]interface Serial 4/0/0[AR1-Serial4/0/0]ip add 196・2・125・1 255・255・255・252//配置路由器IRouter的各接口的IP地址、子网掩码3.2.3配置路由器AR1的路由功能在接入路由器AR1上需要定义两个方向上的路由：到企业网内部的静态路由以及到Internet上的缺省路由，到Internet上的路由需 要定义一条缺省路由，下一跳指定从本路由器的接口 S4/0/0送出，如下：[AR1]ip route-static 0.0.0.0 0.0.0.0 Serial 4/0/0 //定义到 Internet 的缺省路由由于企业内部配置了负载均衡，所以到企业网内部的路由有两条路径，一条经由LSW1 进入企业网内部，另一条是经由LSW2进入企业网内部，第一条路径的路由条目可以经过 路由汇总后形成两条路由条目。

如下：[AR1]ospf 1[AR1-ospf-1]area 0[AR1-ospf-1-area-0.0.0.0]network 192.168.200.0 0.0.0.255 [AR1-ospf-1-area-0.0.0.0]network 192.168.300.0 0.0.0.255//定义经过LSW1及LSW2到企业网内部及外部的路由3.2.4配置接入路由器AR1上的NAT由于目前ip地址资源非常稀缺，不可能给企业网内部的所有工作站都分配一个公有 IP （Internet可路由的）地址，为了解决所有工作站访问Internet的需要，必须使用 NAT （网络地址转换）技术根据前文对企业网的需求分析，企业当地ISP申请了 9个IP地址，其中一个IP地 址：196.2.125.1 被分配给了 Internet 接入路由器串行接口，另外 8 个 IP 地址：202.126.222.2/29~202.126.222.7/29 用作 NAT这里使用的是接口 NAT地址转换，下面配置NAT地址转换：[ARl]acl 2000 //配置基本ACL，匹配NAT流量[AR1-acl-basic-2000]rule 10 permit source 192.168.0.0 0.0.0.255[AR1]nat address-group 1 202.126.222.2 202.126.222.7 //创建地址池1[AR1]int Serial 4/0/0 //在接口下启用 NAT[AR1-Serial4/0/0]nat outbound 2000 address-group 13・2・5配置接入路由器AR1上的ACL虽然此方案设计中，防火墙是网络安全保障的第一道关卡，是网络防御的前沿阵地， 但路由器的访问控制列表也是网络安全的重要保障之一，访问控制列表提供了一种机制， 它可以控制和过滤通过路由器的不同接口去往不同方向的信息流，这种机制允许用户全 长访问表来管理信息流，以制定公司内部网络的相关策略，这些策略可以描述安全功能， 并且反映流量的优先级别。

路由器上的访问控制列表ACL是保护内网安全的有效手段，一个设计良好的访问控 制列表不仅可以超到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投 资的情况下完成一般软、硬件防火墙产品的功能由于路由器介于企业内网与外网之间， 是外网与内网进行通信时的重要屏障，所以即使在网络系统安全了防火墙产品后，仍然 有必要对路由器的访问控制列表进行周密的设计，来对企业内网包括防火墙本身实施保 护在这里将针对服务器以及内网工作站的安全进出广域网接入路由器AR1上ACL的配 置方案,在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患，在绝大 多数网络环境的实现中它们都是应该对外加以屏蔽的1） 、对外屏蔽简单网管协议，即SNMP利用这个协议，远程主机可以监视、控制网络上的其它网络设备，它有两种服务类型：SNMP和SNMPTRAP，在路由器上配置ACL可以对外屏蔽简单网管协议SNMP，如下：[AR1]acl 3000[AR1-acl-adv-3000]rule deny udp destination-port eq snmpt[AR1-acl-adv-3000]rule deny udp destination-port eq snmptrap[AR1-acl-adv-3000]rule 200 permit ip source any2） 、对外屏蔽远程登录协议telnet首先，telnet是一种不安全的协议类型，用户在使用telnet登录网络设备或服务器 时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设 备截获，其次，telnet可以登陆到大多数网络设备和UNIX服务器，并可以使用相关命令 完全操纵它们，这是极其危险的，因此必须加以屏蔽，配置方法如下：[AR1-acl-adv-3000]rule deny tcp destination-port eq telnet[AR1-acl-adv-3000]rule 200 permit ip source any//对外屏蔽远程登陆协议telnet结束语在目前高度信息化的时代，中小型企业逐步信息化已经成为一个不可避免的趋势， 然而由于企业经营者的意识或者各种因素的限制，目前国内建设有自己的企业网络的中 小型企业仍在少数，面对急需发展的企业信息化，中小型企业该如何建设一个低成本， 高性能，满足企业发展需求的企业网络是一个值得的探讨的课题。

针对这个问题，本方案对某企业网络架构进行研究分析，然后根据中小型企业的资 金能力和对网络的需求进行详细的分析，再对组建企业网所涉及的多方面技术进行对比， 最终得到符合中小型企业目前形势的企业网络设计方案在本企业网络设计方案中，包 括几大模块：企业园网、广域网接入、企业数据中心、远程访问等，在这几大模块设计 时，充分考虑了设计的创新性及成本控制等因素，如下：对于企业园网模块，其核心内容是多层交换网络的实现，在设计此模块时，本方案 深入了解多层网络的特性，在华为企业网模型基础上，减少非必要的设备，在满足目前 中小型企业网络需求以及未来五年对企业网络的扩展需求的前提下，在提高扩展及灵活 性的同时节约设备开销在安全性方面，采用路由器自身功能的配置，已经可以很好的满意中小型企业在业 务应用上的安全需求，从而无需单独采购昂贵的安全设备以上都是本设计方案从成本上控制企业网络开销的表现，符合当前中小型企业组建 网络的情况在实现设计方案的配置中，虽然涉及到的内容很多，但是也仅仅只是做了一些必要 的配置，多层交换网络具有非常多的特性，可以实现不同的企业的不同需求，比如在核 心三层交换机上配置ACL,可以控制各部门之间的访问，允许或禁止某个部门访问另外一 个部门，而这些需要根据企业需求来实现，在广域网接入路由器上还可以做QoS服务， 达到优化网络的目的，可以实现控制内网用户使用各种软件（比如QQ、BT下载等等）的 情况，而更多的特性和功能的实现则需要进行更深入的、多方面的研究。

参考文献[1] Diane Teare, Catherine Paquet著.陈宇，袁国忠译.CP学习指南：组建可扩展 的CISCO互连网络(BSCI)(第三版)[M].人民邮电.2007年10月；[2] 远望图书部，局域网搭建完全DIY手册[M],人民交通，2008年；[3] 扈新波，局域网组建与管理技术详解[M],电子工业，2008年08月；[4] 文洋，网管员使用大 局域网组建、管理、升级与维护[M],电子工业，2008年06月；[5] 倪伟，局域网组建、管理及维护基础与实例教程[M],电子工业，2007年09月。