中小企业网络设计毕业设计.doc

《中小企业网络设计毕业设计.doc》由会员分享，可在线阅读，更多相关《中小企业网络设计毕业设计.doc（54页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、摘要互联网技术发展到现在已经相当成熟，当今互联网已经成为全世界最大最全的信息中心，越来越多的人利用互联网来解放他们的生活，他们利用互联网来完成几乎所有现实生活中的事物。本设计结合一家中小企业网络的实际需求，通过对网络架构组建方案的设计、基于安全的网络配置方案设计、服务器架设方案设计、企业网络高级服务设计等方面的仿真研究，详尽的探讨了对该网络进行规划设计时遇到的关键性问题，以及网络相关的服务。该设计主要包括需求分析、拓扑结构设计、IP 地址规划方案设计、服务器架设和网络安全设计等内容。论文针对中小企业网络拓扑进行设计和分析，通过Cisco Packet Tracer 软件进行网络仿真配置和安全设

2、计，给出了网络规划设计解决方案。关键之：Cisco Packet Tracer；企业网络；互联网AbstractThe development of Internet technology is quite mature now, today, the Internet has become the worlds largest information center for the world, more and more people use the Internet to the liberation of their lives, and they use the Internet to

3、 complete almost all of the things in real life.This design is base on the actual demand of a small-middle enterprise, through the design of the network infrastructure, the design of security-based network configuration solution, the design of the infrastructure of sever farm, the design of advance

4、services, to deeply investigate into the problem we met, and the service related to the network design. This design is mainly focus on the requirement analysis, topology excogitation, IP address design, server farm and network security design. This article is focus on the analysis of network topolog

5、y design and use the Cisco Packet tracer to build a simulated infrastructure to illustrate what I have done.Keywords：Cisco Packet Tracer；Internet；Enterprise Network目录第一章 绪论1第二章 需求分析22.1企业背景22.2应用需求22.2.1 带宽性能需求22.2.2稳定可靠需求22.2.3服务质量需求32.2.4网络安全需求32.2.5应用服务需求32.3网络安全系统设计原则3第三章 网络技术与拓扑结构53.1网络设计原则53.2

6、网络技术选择53.2.1快速以太网53.2.2 VLAN63.2.3 DHCP73.2.4 NAT83.2.5 ACL93.3拓扑结构图设计103.3.1网络拓扑结构的规划设计原则103.3.2主干网络（核心层）设计103.3.3分布层/接入层设计113.3.4远程接入访问的规划设计113.4拓扑结构设计图12第四章 IP地址规划网络设备配置144.1网络地址配置144.2设备接口配置164.3 网络设备的配置命令184.3.1核心交换机CORE1主要配置命令184.3.2路由器的配置204.3.3汇聚层交换机DSW1配置214.3.4接入层交换机MGR配置22第五章 测试各设备的连通性235

7、.1 VLAN间的连通性测试235.2设备的管理255.2.1对核心交换机，汇聚层交换机的telnet测试255.2.2路由器进行Telnet测试265.2.3测试外网的连通性285.3验证NAT295.4验证DHCP服务30第六章 服务器搭建316.1 DNS服务器配置316.2 Email服务器配置326.3 FTP服务器配置336.4 TFTP服务器配置356.5 HTTP服务器356.6 Syslog服务器36第七章 企业网络安全设计377.1建立企业网络安全377.1.1网络设备377.1.2数据库及应用软件377.1.3 E-mail系统377.1.4Web站点387.2建立安全体

8、系结构387.2.1物理安全387.2.2操作系统安全387.3使用ACL封堵常见病毒端口387.4封堵p2p端口39总结41致谢42参考文献43附录 部分配置命令44第一章 绪论网络改变了人们的生活，地球变成了地球村，全世界的人可以随时进行网络交流。信息资源的共享，带来社会生产力空前提高，互联网与人们生活越来越密切，如网上证券期货交易、远程电子视频会议、网上购物等应用使得人们的生活已经越来越离不开网络，由此，信息高速公路的建设变得十分重要。企业规模的不断壮大和业务量的不断增加，原有的工作方式已不能满足现代企业的需要，特别是对突发事件的处理能力与速度的需求。现代企业如果没有信息技术的支持，就不

9、能称之为现代企业。随着网络技术的不断成熟、网络产品价格的不断下降，以及对数据传输和信息交换需求的不断增加，现在各企业均正在或已搭建了企业内部局域网，因为，企业网络的建设是企业向信息化发展的必然选择。企业网络为企业的现代化发展、综合信息管理和办公自动化等一系列应用提供了基础平台。本设计结合中小企业实际需求，举例分析、设计、配置、模拟组建了一个典型的中小企业网络。Cisco Packet Tracer 是由Cisco公司发布的一个网络仿真工具，使用该工具可以搭建网络的模拟环境，对网络进行设计、配置、故障排除等。用户可以在工具的图形用户界面上直接使用拖曳方法建立网络拓扑，并可提供数据包在网络中行进的

10、详细处理过程，观察网络实时运行情况。可以学习IOS的配置、锻炼故障排查能力等。目前最新的版本是Packet Tracer 5.3。第二章 需求分析本章结合企业背景，应用需求，安全设计原则对网络进行详细的需求分析2.1企业背景该企业是一家生产研发型企业，主楼是一座四层办公大楼，办公大楼后方是一栋较大的生产车间。整个办公楼有信息点大概100个，企业中心机房设在办公大楼三楼中间。2.2应用需求2.2.1 带宽性能需求现代大型企业网络应具有更高的带宽，更强大的性能，以满足用户日益增长的通信需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台。不仅要继

11、续承载企业的办公自动化，Web浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务。因此，数据流量将大大增加，尤其是对核心网络的数据交换能力提出了前所未有的要求。另外，随着千兆位端口成本的持续下降，千兆位到桌面的应用会在不久的将来成为企业网的主流。从2004年全球交换机市场分析可以看到，增长最迅速的就是10Gbps级别机箱式交换机，可见，万兆位的大规模应用已经真正开始。所以，今天的企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网的标准，核心层及骨干层必须具有万兆位级带宽和处理性能，才能构筑一个畅通无阻的高品质大型企业

12、网，从而适应网络规模扩大，业务量日益增长的需要。2.2.2稳定可靠需求现代大型企业的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通，保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来，网络通信的无中断运行已经成为保证企业正常生产运营的关键。现代大型企业网络在可靠性设计方面主要应从以下3个方面考虑。设备的可靠性设计：不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察。业务的可靠性设计：网络设备在故障倒换过程中，是否对业务的正常运行有影响。链路的可靠性设计：以太网的链路安全来自于多路径选择，所以在企业网络建设时，要考

13、虑网络设备是否能够提供有效的链路自愈手段，以及快速重路由协议的支持。2.2.3服务质量需求现代大型企业网络需要提供完善的端到端QoS保障，以满足企业网多业务承载的需求。大型企业网络承载的业务不断增多，单纯的提高带宽并不能够有效地保障数据交换的畅通无阻，所以今天的大型企业网络建设必须要考虑到网络应能够智能识别应用事件的紧急和重要程度，如视频、音频、数据流（MIS、ERP、OA、备份数据）。同时能够调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送，实现对业务的合理调度才是一个大型企业网络提供高品质服务的保障。2.2.4网络安全需求现代大型企业网络应提供更完善的网络安全解决方案

14、，以阻击病毒和黑客的攻击，减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件，以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，这样才能有效地保证企业网络的稳定运行。2.2.5应用服务需求现代大型企业网络应具备更智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需要。当前的网络已经发展成为以应用为中心的信息基础平台，网络管理能力的要求已经上

15、升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如，网络调试期间最消耗人力与物力的线缆故障定位工作，网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作，由于受网络设备功能本身的限制，都还属于费时、费力的任务。所以现代的大型企业网络迫切需要网络设备具备支撑以应用为中心的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。2.3网络安全系统设计原则虽然任何人都不可能设计出绝对安全和保密的网络信息系统，但是，如果在设计之初就遵从一些合理的原则，那么相应的网络系统的安全和保密就会更加有

16、保障。如果设计时考虑不全面，消极地将安全和保密措施寄托在事后“打补丁”的思路是非常危险的。从工程技术角度，应遵循的原则如图2.1所示。 图2.1 网络安全设计原则木桶原则：对信息均衡、全面地进行保护。 整体性原则：进行安全防护、监测和应急恢复。 实用性原则:不影响系统的正常运行和合法用户的操作。 等级性原则：区分安全层次和安全级别。 动态化原则：安全需要不断更新。 设计为本原则：安全设计与网络设计同步进行。 第三章 网络技术与拓扑结构本章结合企业的需求分析，对企业的网络架构进行搭建，并对该企业架构所用到的技术进行分析，以及对拓扑结构的设计进行分析。3.1网络设计原则实用性和经济性：系统建设应始

17、终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设企业的网络系统。先进性和成熟性：系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内企业网络仍占领先地位。可靠性和稳定性:在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。安全性和保密性:在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制

18、、数据存取的权限控制。可扩展性和易维护性：为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低了人力资源的费用，提高网络的易用性。3.2网络技术选择网路技术的选择对影响网络性能，网络的维护，网络的安全指数有着重大的联系，因此对网络技术的选择必须高度重视。3.2.1快速以太网以太网（Ethernet）是一种计算机局域网组网技术。IEEE制定的IEEE 802.3标准给出了以太网的技术标准。它规定了包括物理层的连线、电信号和介质访问层协议的内容。以太网是当前应用最普遍的局域网技术。它很大程度上取代了其他局域网标准，如令牌环网（token rin

19、g）、FDDI和ARCNET。以太网的标准拓扑结构为总线型拓扑，但目前的快速以太网（100BASE-T、1000BASE-T标准）为了最大程度的减少冲突，最大程度的提高网络速度和使用效率，使用交换机（Switch hub）来进行网络连接和组织，这样，以太网的拓扑结构就成了星型，但在逻辑上，以太网仍然使用总线型拓扑和CSMA/CD（Carrier Sense Multiple Access/Collision Detect 即带冲突检测的载波监听多路访问）的总线争用技术。快速以太网是世界上应用最广泛的组网技术，其强大的灵活性，简便性，传输介质的多样性，拓扑结构的灵活性，符合中小企业的设计要求以太

20、网基于网络上无线电系统多个节点发送信息的想法实现，每个节点必须取得电缆或者信道的才能传送信息，有时也叫做以太（Ether）。(这个名字来源于19世纪的物理学家假设的电磁辐射媒体-光以太。后来的研究证明光以太不存在。) 每一个节点有全球唯一的48位地址也就是制造商分配给网卡的MAC地址,以保证以太网上所有系统能互相鉴别。由于以太网十分普遍，许多制造商把以太网卡直接集成进计算机主板。3.2.2 VLAN为实现交换机以太网路的广播隔离，一种理想的解决方案就是采用虚拟局域网技术。这种对连接到第2层交换机端口的网络使用者的逻辑分段技术实现非常灵活，它可以不受使用者物理位置限制，根据使用者需求进行VLAN

21、划分；可在一个交换机上实现，也可跨交换机实现；可以根据网络使用者的位置、作用、部门或根据使用的应用程序、上层协议或者以太网路连接硬件地址来进行划分。一个VLAN相当于OSI模型第2层的广播域，它能将广播控制在一个VLAN内部。而不同 VLAN 之间或 VLAN 与 LAN / WAN 的数据通讯必须通过第3层（网络层）完成。否则，即便是同一交换机上的连接，假如它们不处于同一个VLAN，正常情况下也无法进行数据通讯 为了解决资讯安全议题，1995年IEEE 802委员会发表了 802.1Q VLAN 技术的实作标准与讯框结构，希望能透过设定逻辑位址（TPID、TCI），对实体局域网区隔成独立虚拟

22、网段，以规范封包广播时的最大范围。如下图，VLAN解决了物理位置的限制图3.1 VLAN示意图VLAN的标准有两种，Cisco公司的ISL,以及IEEE 802.1Q 由于后者是国际化标准，而且其传输效率更高，所以更适合网络需求。使用VLAN的好处有以下几点：广播风暴防范：限制网络上的广播，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广 播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。安全：不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层

23、交换机等三层设备。成本降低：成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。性能提高：将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。另外使用VLAN还可以提高IT员工效率，简化项目管理或应用管理，增加了网络连接的灵活性等优点。3.2.3 DHCP 某些的主机不需要静态的IP，因为其并非永久的使用该地址，当主机离开网络，就得释放这个 IP 地址，以给其它工作站使用，动态分配显然更加灵活。DHCP 是目前应用最为广泛的为网络主机分配IP地址的方式之一。DHCP允许DHCP客户端从DHCP服务器获取IP地址，子网掩码，默认网关IP地址

24、，DNS服务器IP地址以及其他IP地址类型信息。DHCP工作原理如图图3.2 DHCP的工作原理第一步：由于DHCP客户端初始启动时没有IP地址，默认网关或这类配置信息，因而DHCP客户端初始启动后通过发送目的地为255.255.255.255的广播消息（DHCP discovery）来试图发现DHCP服务器。第二步：DHCP服务器接收到DHCP discovery 消息后，响应以DHCP offer消息。由于DHCP discovery消息是以广播方式向外发送的，因而可能会有多个DHCP服务器响应发现请求，不过客户端通常会选择其接收到的第一个DHCP offer 消息的服务器作为DHCP服务

25、器。第三步：DHCP客户端通过发送DHCP request 消息与选定的服务器进行通信，让DHCP服务器提供IP配置参数。 第四步：最后，DHCP服务器以DHCPACK消息响应客户端，DHCPACK消息包含了响应的IP配置参数。3.2.4 NAT在计算机网络中，网络地址转换（Network Address Translation或简称NAT，也叫做网络掩蔽或者IP掩蔽）是一种在IP数据包通过路由器或防火墙时重写源IP地址或/和目的IP地址的技术。这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中。目前人们普遍认为NAT完美的解决了IP地址不足的问题，的确，他真的是一样

26、很有用的工具，可以说没有NAT，我们的网络不会得到如此迅速的发展。但NAT也让主机之间的通信变得复杂，导致通信效率的降低。NAT优点：节约合法注册地址，减少地址重叠出现，增加链接Internet的灵活性，网络变更时避免地址的重新分配。NAT缺点：地址转换产生交换延迟，无法进行端到端的IP跟踪，某些应用程序无法实现在NAT的网络中运行。NAT运行示例：在下图中主机10.1.1.1发送一个外出数据包到配置了NAT的边界路由器，边界路由器识别出此IP地址为内部IP地址，目标是外部网络，他要转换内部本地IP地址，并把转换结果记录到NAT表中，这个数据包使用转换后的新的源地址被发送到外部接口，外部主机返

27、回此包到目标主机，NAT路由使用NAT表转换内部全局IP地址为内部IP地址，整个过程基本就是这样。下图是基本的NAT工作原理示意图图3.3 NAT工作原理示意图3.2.5 ACL内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，控制访问的一种网络技术手段。ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段

28、的通信流量。ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。 例如：某部门要求只能使用 WWW 这个功能，就可以通过ACL实现； 又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。访问控制列表的工作示意图数据包进入接口允许通过是否设置了ACL与ACL对比是否匹配有没有更多的ACL?与下一条ACL对比丢弃图3.4 ACL工作示意图3.3拓扑结构图设计网络的拓扑结构对整个网络系统的运

29、行效率，技术性能发挥，可靠性与费用等方面都有着中重要的影响。确立为网络的拓扑结构是整个网络系统方案的规划设计的基础。拓扑结构的选择和地理环境的分布，传输介质，介质访问控制方法，甚至网络设备选型等因素紧密相关。3.3.1网络拓扑结构的规划设计原则构成局域网的拓扑结构有很多种，最常见到的有总线拓扑、星型拓扑、环型拓扑及各种混合性拓扑等。采用不同的网络控制策略（即网络数据的传输与通信的有关协议和控制方法），所有使用的网络连接设备也不一样。因此，无论在网络的规划或设计时都必须首先决定将采用那一种网络拓扑结构，选择合适的网络拓扑结构非常重要的。也就是说，选择网络拓扑结构是网络规划设计的第一步。中小企业在

30、选择网络拓扑结构的时候，应从经济性、灵活性和扩展性好、可靠性、易于管理和维护几个方面着重入手。在现在企业中经济效益都是首要考虑的，在建设网络投资的同时就考虑到经济效益的回报。拓扑结构的选择直接决定了网络安装和维护的费用。因为，拓扑结构的选择与传输介质的选择、传输距离的长短及所需网络的连接设备密切相关。灵活性和扩展性也是选择网络拓扑结构时应充分重视的问题。任何一个网络都不能一劳永逸的，随着用户的增加，应用的深入和扩大，网络新技术的不断涌现，特别是应用方式和要求的改变，网络经常需要加以调整。然而，网络的可调性与灵活性，以及可扩展性与建立网络时拓扑结构直接相关。网络的可靠性是任何一个网络的生命。当网

31、络总的某个节点或站点发生问题的时候时，网络不能正常工作。网络拓扑结构的选择还直接决定网络故障检测和故障隔离的方便性。总之，中小企业网拓扑结构的选择，需要考虑的因素很多，这些因素同时影响网络的运行速度和网络软硬件接口的复杂程度等等。3.3.2主干网络（核心层）设计主干网络技术的选择，需根据需求分析中地理距离、信息流量个数据负载的轻重而定。一般而言，主干网一般用来连接建筑群和服务器群，可能会容纳网络上的40%-60%的信息流，是网络的大动脉。连接建筑群的主干网一般以光纤作为传输介质，典型的主干网技术主要有千兆以太网、ATM和FDDI等。根据中小企业的需求和中小企业网络拓扑结构的规划设计原则等角度来

32、考虑，采用千兆以太网是中小企业比较理想的做法。FDDI基本已属于昨天的技术，支持它的厂商越来越少。ATM是面向连接的网络，能保证一些突出负载在网上传输，但由于ATM在企业局域网的所有应用需要ELAN仿真来实现，不仅技术难度大，且带宽效率低，已证明不适合做企业网络，但如果单建网单位对实时传输要求极高，也可以考虑选用。根据中小企业的建网规模，对经费比较紧张的企业，可以采用100 BASE-FX，即用光传输介质上快速以太网。端口价格低，对光缆要求不高。是一种非常经济的选择。主干网的焦点是核心交换机（或路由器）。如果考虑提供较高的可用性，而且经费允许，主干网可采用双星（树）结构，即采用两台同样的交换机

33、，与接入层/分布层交换机分别连接。双星结构解决了单点故障失效问题，不仅抗毁性强，而且通过采用较新的链路聚合技术，例如快速以太网的FEC、千兆以太网的GEC等技术，则可以通过允许每条冗余连接链路实现负载分担。千兆以太网一般采用光缆作为传世介质。多种波长的单模和多模光纤分别用于不同的场合和距离。由于企业建筑群布线路径复杂的特殊性，一般直线距离超过300M的建筑群之间的千兆以太网线路就必须要用单模光纤。单模光纤本身不贵，昂贵的是光端口及组件。在企业中，经常会根据需要对骨干网及核心交换机改善设计或对旧网经行升级改造的技术，如：FEC/GEC（快速以太网/千兆以太网链路聚合技术）、CGMP（分组管理协议

34、）、GBIC(千兆位集成电路)、HSRP（热等待路由协议）。3.3.3分布层/接入层设计中小企业网络中分布层的存在与否，取决于外围网采用的扩充互联方法。当建筑物内信息点较多（如，220个）超出一台交换机所容纳的端口密度，而不得不增加交换机扩充端口密度时，如果采用级联方式，即将一组固定端口交换机上联到一台背板宽带和性能较好的二级交换机上，再由二级交换机上联到主干；如果采用多个并行交换机堆叠方式扩充端口密度，其中一台交换机上联，则网络中就有接入层，没有分布层。要不要分布层，采用级连还是堆叠，要看网络信息流的特点，堆叠体内能够有充足的宽带保证，适合本地（楼宇内）信息流密集、全局信息负载相对较轻的情况

35、；级连适宜于全网信息流较平均的场合，且分布层交换机大都具有组播和初级QoS（服务质量）管理能力，适合处理一些突发的重负载（如VOD视频点播），但增加分布层的同时也会使成本提高。分布层/接入层一般采用100BASE-T（X）快速（交换式）以太网，采用10/100Mbit/s自动适宜传输速率到桌面计算机。传输介质则基本上是双绞线。接入层交换机可选择的产品很多，但是一定要注意接入层交换机必须支持12个光端口模块，必须支持堆叠，如果主干网为千兆以太网，接入层交换机还必须支持GBE模块。3.3.4远程接入访问的规划设计在企业中，由于布线系统费用与实现上的限制，对于零散的远程用户接入，利用PSTM市话网络

36、进行远程拨号访问几乎是唯一的经济、简便的选择。远程拨号访问需要规划远程访问服务器和Modem设备，并申请一组中继线（企业内部有PABX电话交换机则最好）。由于整个网络中惟一的窄宽设备，这一部分在未来的网络中可能会逐步减少使用。远程访问服务器（RAS）和Modem组的端口数目一一对应，一般按一个端口支持20个用户计算来配置。3.4拓扑结构设计图在网络拓扑结构的方案设定后，进一步具体化的时候就需要考虑网络结点的规模设计，理论上采用排对论等数学工具进行设计，但是实际中往往采用类比法。中小企业网络拓扑规划设计中根据主干网拓扑结构，确定分组交换结点位置、设备、结点间传输介质，包括网络协议，确定结点间实现

37、的协议、结点数目、数据流量和传输速率。在设计中要充分考虑到网络管理的需要，在结点中加载符合国际标准的网管模块，以实现对全网的监视和动态检测。本设计由模拟器所实现，由于模拟器能实现的设备只有少数，但其都具有较好的代表性，这里交换机统一选择2960-24TT，三层交换机先用 3650-24PS，出口路由选择2811，ISP路由选择1841.这里，设备型号并不是本设计所关心的。本设计使用3层拓扑结构设计，其中包括接入层，汇聚层，核心层。核心层与汇聚层拓扑结构如下图3.5 核心层与汇聚层拓扑结构示意图如上图所示，核心交换机之间使用了两条链路的连接，比采用tunnel技术，其目的是为了应付核心与核心之间

38、的高速通信，汇聚层的交换机与核心层的两个交换机都有链路连接，目的是为了保障企业网络具有更高的可靠性。每个核心交换机与出口路由器连接，并可以对ISP进行访问。双核心交换机的设计使得企业网络的可靠性更高，容错性更强。汇聚层与接入层之间的连接如下图所示图3.6 汇聚层与接入层的拓扑结构示意图为了实现高可靠性，高容错性，每台二层交换机都以两条链路与汇聚层的三层交换机连接，这样做的目的是即使其中一条链路，或其中一个交换机出现故障了，也不会影响用户的正常通信。第四章 IP地址规划网络设备配置IPv4正在面临地址枯竭的危机，这个问题是无法避免的，我们需要交流，而现有的系统已经难以为继，就像马车快递比不上航空

39、快件一样，人们已经在保留IP地址方面付出了很多时间和努力，但一个明显的事实是连接到网络中的人员和设备数量每天都在增加，IPv4地址大约有43亿个，理论上说，我们并没有用完这些地址，实际上只有2亿5千万个地址可以分配给设备使用，当然NAT，CIDR的使用很大程度上缓解了地址枯竭的问题，但我们终有一天会把这些地址耗尽，这种情况可能就在几年之后，中国人才刚刚开始上网，据计算，我国只有10%的人连接到Internet。而按照这个数据统计，我们不可能每个人都拥有一台计算机。但事实上，我们不仅只有一台笔记本电脑，而且还有手机，台式机，打印机等。现今的企业一般只能分配到一个公用的IP地址，通过使用NAT地址

40、转换，将内部地址转换为公有地址，比对外网进行访问。4.1网络地址配置企业公网地址为 66.66.66.66 /29内部局域网地址为 192.168.0.0 /20VLAN 规划如下表表4.1 VLAN详细划分及地址分配部门VLAN地址范围（/24）默认网关IT技术与管理1192.168.1.0192.168.1.1工作组12192.168.2.0192.168.2.1工作组23192.168.3.0192.168.3.1工作组34192.168.4.0192.168.4.1工作组45192.168.5.0192.168.5.1工作组56192.168.6.0192.168.6.1工作组6719

41、2.168.7.0192.168.7.1工作组78192.168.8.0192.168.8.1工作组89192.168.9.0192.168.9.1客户10192.168.10.0192.168.10.1服务器是网络中不可少的一个部分。服务器的合理的搭建是影响网络性能的关键，下面给出网络内服务器的地址信息。表4.2 服务器IP地址规划服务器名称IP地址VLAN网关备注DNS192.168.8.108192.168.8.1域名解析EMAIL192.168.8.208192.168.8.1邮件TFTP192.168.8.308192.168.8.1简单文件HTTP192.168.8.408192.

42、168.8.1WWWFTP192.168.8.508192.168.8.1文件传输AAA192.168.8.608192.168.8.1AAA认证通过使用对每个设备分配一个SVI的VLAN1地址，目的是用于设备的远程管理。SVI配置如下表表4.3 各网络设备的管理地址设备名称管理地址（VLAN1地址）所含VLANMGR192.168.1.111,2ASW1192.168.1.121,3ASW2192.168.1.131.4ASW3192.168.1.141.5ASW4192.168.1.151,6ASW5192.168.1.161,7DSW1192.168.1.101-7DSW2192.168

43、.1.201-7DSW3192.168.1.301,9-10DSW4192.168.1.401,9-10DSW5192.168.1.501,8DSW6192.168.1.601,8CORE1192.168.1.1ALLCORE2192.168.1.2ALLG2 ASW1192.168.1.311,9G2 ASW2192.168.1.321,9G2 ASW3192.168.1.331,10G2 ASW4192.168.1.341,10 为方便统一管理网络设备的enable密码都设置为 enable secret jeasky，相比enable password命令，secret 以加密方式保存，

44、而password则以明文保存，前者安全性较高。由于网络设备地理位置差异，对设备进行远程管理是网络设计不可少的一个部分，为了方便管理，所有网络设备telnet密码都设为 jeasky。4.2设备接口配置核心交换机与路由器的接口配置为路由接口，并配置了IP地址，与路由器相连，具体配置信息如下表。表4.4 核心交换机和路由器端口IP配置接口名称IP/mask备注CORE1 f0/24172.16.1.2/24连接路由器f0/0CORE2 F0/24172.16.1.3/24连接路由器f0/1路由器f0/0172.16.1.1/24连接CORE1 f0/24路由器f0/1172.16.1.4/24连

45、接CORE2 f0/24路由器s0/0/066.66.66.66/29连接ISP核心交换机的各个端口的端口号，用途，以及接口类型如下表表4.5 核心交换机端口用途与类型端 口 号用 途接 口 类 型FastEthernet0/1连接DSW1TrunkFastEthernet0/2连接DSW2TrunkFastEthernet0/3连接DSW3TrunkFastEthernet0/4连接DSW4TrunkFastEthernet0/5连接DSW5TrunkFastEthernet0/6连接DSW6TrunkFastEthernet0/24连接路由器Routed PortGigabitEthern

46、et0/1与CORE2组成ether channel Ether ChannelGigabitEthernet0/2与CORE2组成ether channelEther Channel汇聚层交换机的各个设备名称，以及该设备的端口号，端口用途，端口类型的相机信息如下表4.6 汇聚层交换机端口用途与类型设备名称端口号用途类型DSW1FastEthernet 0/1连接COER1TrunkDSW1FastEthernet 0/2连接COER2TrunkDSW1FastEthernet 0/3连接ASW1TrunkDSW1FastEthernet 0/4连接ASW2TrunkDSW1FastEthernet 0/5连接ASW3TrunkDSW1FastEthernet 0/6连接ASW4TrunkDSW1FastEthernet 0/7连接ASW5TrunkDSW1FastEthernet 0/8连接ASW6TrunkDSW2FastEthernet 0/1连接