企业的网络管理模式方案设计.doc

《企业的网络管理模式方案设计.doc》由会员分享，可在线阅读，更多相关《企业的网络管理模式方案设计.doc（30页珍藏版）》请在沃文网上搜索。

1、目 录前言3第一章、需求分析41.1 网络要求41.2 系统要求41.3 用户要求41.4 设备要求5第2章、设计方案分析52.1局域网技术52.2、网络的体系结构62.3、网络协议62.3.1 TCP/IP协议62.3.2超文本传输协议(HTTP)72.3.3文件传输协议(FTP)72.3.4远程登录协议（Telnet）72.4 设计原则82.4.1 先进性82.4.2 安全可靠性82.4.3 实用性82.4.4 可扩展性92.4.5 开放性92.4.6 灵活性92.5安全分析92.5.1企业互联网接入模块92.5.2 企业内部局域网模块102.6软硬件功能分析102.6.1 路由器102.

2、6.2交换机102.6.3防火墙112.6.4服务器112.6.5 公网IP地址数112.7 VLAN技术分析112.7.1、 VLAN技术概述112.7.2、使用VLAN技术的优点122.7.3、 VLAN的划分方法132.8、网络设备选型原则142.8.1设备选型原则142.8.2、常用网络设备142.9网络地址转化（NAT）技术分析17第三章、局域网规划设计方案173.1网络拓扑结构选择173.2 VLAN及IP地址规划193.3 网络安全设计21第四章、路由交换部分的设计224.1VLAN设计规范224.2 冗余电源224.6 等价路由（ECMP）244.8 VPN26总 结26主要参

3、考文献资料:26致 谢27课题内容:中小型企业网的设计与实现前言二十一世纪是知识经济时代。随着现代科学技术的飞速发展，全球信息化浪潮势不可挡，已经迅速延伸至国防、科研、经济、教育等各个领域，也不可避免地改变着传统的企业人事的工作模式，利用当前蓬勃发展的以计算机和网络为主导的现代信息技术则是企业实现现代化工作的必不可少的技术基础。在现今的网络建设中，企业网的建设是非常重要的，企业网内部各种不同业务的开展是企业网发展迅速的最主要原因。从早期的企业网主要是简单的数据共享，简单数据库的共享到现在内部全方位的数据共享，从过去单一的企业到现在多个分支公司的全部互连，因而对网络的覆盖面要求越来越广。这一要求

4、最早还只局限于各分支企业内部，现在则已是整个企业、整个行业，甚至整个Internet的共同要求。第一章、需求分析1.1 网络要求满足公司信息化的要求,为各类应用系统提供方便、快捷的信息通路；具有良好的性能，能够支持大容量和实时性的各类应用；能够可靠运行，具有较低的故障率和维护要求。提供网络安全机制，满足公司信息安全的要求，具有较高的性价比，未来升级扩展容易，保护用户投资；用户使用简单、维护容易，为用户提供良好的售后服务。主干网负责各个子网和应用服务的连接，网络协议采用TCP/IP协议，整个网络应考虑语音、视频、数据等的综合应用。交换机要求采用主流、成熟、信誉和售后服务均佳的产品，核心交换机采用

5、三层交换机，支持VLAN等功能，能较好解决突发数据量和密集服务请求的实时响应问题，在内部用户终端进行视频信号、数据交换时交换引擎不会出现过载现象和数据包碰撞、丢失的现象，还要考虑预防瓶颈出现和补救的相应措施。下属单位接入交换机可采用相对低一档的产品；本系统处理的信息包括数据、语音和图像等，因此要考虑实时性问题，特别要考虑包括视频会议在内的信息共享等方面的实时性要求。；UPS电源的配备，配置要保证网络中所有的服务器、交换机、路由器、集线器等设备的连续、正常地运转；网络带宽的分配：应根据所属单位网络的信息流量情况合理分配网段，以充分利用网络带宽，提高网络的运行效率。网络需要需要具有多主机跨平台主机

6、连接能力,数据集中存放、集中管理、数据有效共享、存储空间共享、统一安全备份，可实现无人值守、自动实施备份策略，备份LANFREE、SERVERLESS等功能，为全面集中管理和数据仓库的建设奠定坚实的基础1.2 系统要求配置简单方便：所有的客户端和服务器系统应该是易于配置和管理的，并保障客户端的方便使用;广泛的设备支持：所有操作系统及选择的服务应尽量广泛的支持各种硬件设备;稳定性及可靠性：系统的运行应具有高稳定性，保障7*24的高性能无故障运行。可管理性：系统中应提供尽量多的管理方式和管理工具，便于系统管理员在任何位置方便的对整个系统进行管理;更低的成本：系统设计应尽量降低整个系统的成本；安全性

7、：在系统的设计、实现及应用上应采用多种安全手段保障网络安全；提供良好的售后服务。网络还应具有开放性、可扩展性及兼容性，全部系统的设计要求采用开放的技术和标准选择主流的操作系统及应用软件，保障系统能够适应未来几年公司的业务发展需求，便于网络的扩展和公司的结构变更。1.3 用户要求要求计算机应用系统能处理大信息量的传输和计算；要求易于用户管理、界面简单、逻辑清晰；满足用户使用网络系统的运行质量，提高网络运行速度；要求采用千兆以太网作为主干的网络技术，提供标准化的高速度主干网连接，并在未来可以升级到IP，可以在同一个网络中支持多种服务质量，以支持目前和未来的应用和服务为标准。允许网络集成，使用三层交

8、换来代替路由，能实现与广域网的集成功能；网络中使用的设备、技术和协议完全符合国际通用的标准，兼容现有的网络环境，提供良好的互联性；要求网络提供足够的带宽，丰富的接口形式，满足用户对应用带宽的基本要求，并保留一定的余量供扩展使用，最大可能地降低网络传输延迟；要求网络有很高的可靠性、稳定性及冗余，网络能够提供良好的安全性策略，能避免内部操作失误造成的损害和来自外部的恶意攻击。1.4 设备要求根据公司的网络功能需求和实际的布线系统情况，楼层接入设备需要选择同一型号的设备;子公司主交换机可以根据需要通过堆叠方式进行灵活的升级扩容;网络设备必须在技术上具有先进性、通用性，必须便于管理、维护，应该满足公司

9、现有计算机设备的高速接入，应该具备良好的可扩展性、可升级性，保护用户的投资。网络设备在满足功能与性能的基础上必须具有良好的性价比。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品，同时设备厂商必须要有良好的市场形象与售后技术支持。第2章、设计方案分析 2.1局域网技术局域网是同一建筑、同一企业、方圆几公里远的地域内的专用网络。局域网通常用来连接公司办公室或企业内部的个人计算机和工作站，以共享软、硬件资源。美国电气和电子工程师协会（IEEE）局域网标准委员会员会曾提出局域网的一些具体特征：局域网在通信距离有一定的限制，一般在12Km的地域范围内。比如在一个办公楼内、一个学校等。较高传输率的

10、物理通信信道也是局域网的一个主要特征，在广域网中用电话线连接的计算机一般也只有2040Kpbs的速率。因为连接线路都比较短，中间几乎不会爱任何干扰，所以局域网还具有始终一致的低误码率。局域网一般是一个单位或部门专用的，所以管理起很方便。另外局域网的拓扑结构比较简单，所支持连接的计算机数量也是有限的。组网时也就相对很容易连接。2.2、网络的体系结构 网络通常按层或级的方式来组织，每一层都建立在它的下层之上。不同的网络，层的名字、数量、内容和功能都不尽相同。但是每一层的目的都是向它的上一层提供服务，这一点是相同的。层和协议的集合被称为网络体系结构。作为具体的网络体系结构，当前重要的和使用广泛的网络

11、体结构有OSI体系结构和TCP/IP体系结构。OSI是开放系统互连基本参考模型OSI/RM（Open System Interconnection Reference Model）缩写，它被分成7层，这7个层次分别定义了不同的功能。几乎所有的网络都是基于这种体系结构的模型进行改进并定义的，这些层次从上到下分别是应用层、表示层、会话层、传输层、网络层，数据链路层和物理层，其中物理层是位于体系结构的最低层，它定义了OSI网络中的物理特性和电气特性。TCP/IP（Transmission Control Protocol/Internet Protocol,传输控制协议和互连网协议）缩写，TCP/I

12、P体系结构是当前应用于Internet网络中的体系结构，它是由OSI结构演变来的，它没有表示层，只有应用层、运输层，网际层和网络接口层。2.3、网络协议 网络协议是通信双方共同遵守的约定和规范，网络设备必须安装或设置各种网络协议之后才能完成数据的传输和发送，在校园局域网上用到的协议主要有，ICP/IP协议、IPX/SPX协议等。2.3.1 TCP/IP协议TCP/IP协议是目前在网络中应用得最广泛的协议，ICP/IP实际上是一个关于Internet的标准，并随着的Internet广泛应用而风靡全球，它也成为局域网的首选协议。TCP/IP是一种分层协议，它共被分为个4层次，大约包含近期100个非

13、专有协议，通过这些协议，可以高效和可靠地实现计算机系统之间的互连。TCP/IP协议中的核心协议有TCP（传输控制协议）、UDP（用户数据报协议）和IP（因特网协议）TCP协议可以在网络用户启动的软件应用进程之间建立通信会话，并实现数据流量控制和错误检测，这样就可以在不可靠的网络上提供可靠的端到端数据传输。UDP协议是一种无连接的协议，它在传输数据之前不建立连接，也不提供良好的可靠性和差错检查，只仅仅依赖于校验来保证可靠性。UDP不进行流量控制，没有序列或者确认，因此它处理和传输数据的速度快，还被用来传输关键的网络状态消息。IP协议的基本功能是提供数据传输、数据包编址、数据包路由，分段等。通过I

14、P编址约定，可以成功地将数据通过路由传输到正确的网络或者子网。每个网络站点具有一个32位的IP地址，它和48位MAC地址一起协作，完成网络通信，IP协议也是一种无连接的协议。2.3.2超文本传输协议(HTTP)HTTP(HyperText Transfer Protocol ),超文本传输协议)是WWW浏览器和WWW服务器之间的应用层协议，是用于分布式协作超文本信息系统的、通用的、面向对象的协议，HTTP协议还是基于TCP/IP协议之上的应用层协。2.3.3文件传输协议(FTP)FTP(File Transfer Protocol ,文件传输协议)是由支持Internet文件传输的各种规则所组

15、成的集合。这些规则能使网络用户把文件从一个主机拷贝到另一个主机上，FTP是采客户/服务器方式服务的。2.3.4远程登录协议（Telnet） 远程登录协议的目的是提供一个全面的、双向的、面向8个比特字节的通信工具，其主要目标是提供终端设备与面向进程接口的标准方法，Telnet是应用层的协议，采用客户/服务器模式工作的，Telnet不仅允许用户登录到远端主机上，还允许用执行远端主机的命令，这样用户就能以极小的网络资源代价完成大型的网络应用。2.4 设计原则2.4.1 先进性：采用主流网络体系、运行系统和设备产品我们设计的网络方案采用三层分布式结构。核心层选用了高性能的思科千兆路由器,可以实现将全网

16、的数据进行高速无阻塞的路由到Internet；负责路由管理、网络管理、网络服务、核心数据处理等。汇聚层采用思科网络Cisco Catalyst 3560E-24PD三层交换机，全千兆路由交换机组成,负责接入层汇聚,提供高速无阻塞的链路到核心层,抑制广播风暴和分流核心数据处理压力等,可实施VLAN间高速路由,大大提升网络性能。接入层选用思科网络Cisco Catalyst 2960-24TT ,充分满足用户的高速接入等,并可灵活扩展,增加端口密度。服务器设备采用曙光服务器，网络操作系统采用WINDOWS SERVER 2003操作系统；具有很好的安全性。2.4.2 安全可靠性：采用先进可靠的容错

17、技术和防火墙技术以及核心层和接入层的链路冗余功能安全性：提供全方位的安全管理系统内部网络之间、内部网络与外部公共网之间的互联，利用防火墙、杀毒软件等对访问进行控制，确保网络的安全。可靠性：采用先进可靠的容错技术对工作站、服务器、交换机及其他主要相关设备在厂家、品牌、服务等方面进行充分调研、论证、选择,确保硬件设备的基本品质。采用WINDOWS 2003作为网络操作系统,并以“数据库”的方式建立各种生产、装配中心和管理应用系统,保证网络系统和应用系统的安全稳定。容错技术采用：双工磁盘技术在网络系统上建立起两套同样的且同步工作的文件服务器,如果其中一个出现故障,另一个将立即自动投入系统,接替发生故

18、障的文件服务器的全部工作。2.4.3 实用性：性能指标能满足各项业务处理能力企业组网的方案在接入层交换机将用MAC地址与端口的捆绑实现高效的用户控制。2.4.4 可扩展性：随业务不断发展而扩展可扩展性：网络的核心层采用模块化路由器Cisco 2811，汇聚层采用模块化交换机,按照需求灵活配置各种模块,做到既满足需求,由留有余地。整个网络架构采用三层结构,使网络具有较好的伸缩性、可以根据网络建设的不同阶段灵活配置和扩展,具有能不断吸收新技术、新方法的功能。2.4.5 开放性 本次设计的中央集成管理系统将是一个完全开放性的系统,通过编制系统的接口软件将解决不同系统和产品间接口协议的“标准化”,以使

19、他们之间具备“互操作性”。所有接口均基于标准的TCP/IP数据接口协议和内容。系统的开放性设计完全遵循国际主流标准以及工业标准。2.4.6 灵活性：支持先进的虚拟网络技术,通过软件快速转换。2.5安全分析2.5.1企业互联网接入模块拥有公共地址的服务器是最容易被攻击的。以下是企业互联网模块潜在的威胁：未授权访问、应用层攻击、病毒与特洛伊马攻击、密码攻击、拒绝服务、IP电子欺骗、分组窃听、网络侦察、信任关系利用、端口重定向等。从ISP的客户边缘路由器开始，ISP出口将限制那些超出预定阈值的次要信息流，以便减少DDoS攻击。同时在ISP路由器的入口处，防火墙的过滤功能将防止针对本地网络及专用地址的

20、源地址电子欺骗。防火墙为通过防火墙发起的会话提供了连接状态执行操作以及详细的过滤。拥有公共地址的服务器通过在防火墙上使用半开放连接限制能够防止TCP SYN洪水。从过滤的角度讲，除了将公共服务区域的信息流限定到相关地址和端口外，在相反的方向上也在进行过滤。如果某个攻击涉及到一个公共服务器（通过规避防火墙和基于主机的IDS），那么这个服务器应该不会再进一步攻击网络。为了缓解这种攻击，具体的过滤将防止公共服务器向其他任何地点发出任何未授权请求。例如，应该对Web服务器进行过滤，以便使其不能自身产生请求，而只能回答来自客户机的请求。这种设置有助于防止黑客在实施最初的攻击后将更多的应用下载到被破坏的机

21、器。同时还有助于防止黑客在主攻击过程中触发不受欢迎的会话。2.5.2 企业内部局域网模块交换机的主要功能是交换生产与管理信息流并为公司和管理服务器以及用户提供连接。在交换机内部可以实施VLAN，以减少设备间的信任关系利用攻击。例如，公司用户可能需要与公司服务器通信但彼此之间可能没有必要通信。2.6软硬件功能分析2.6.1 路由器就企业局域网网络而言，由于大量的数据都发生在局域网内部，对路由器的性能要求不高，因此，可以选用中低端路由器。低端路由器主要适用中小办公网络的应用，考虑的一个主要因素是端口数量，另外还要看包交换能力和NAT转换能力。中端路由器适用大中型办公网络，选用的原则也是考虑端口支持

22、能力、包交换能力和NAT转换能力。在这里值得进一步说明的是，如果让内部计算机直接通过路由器访问外部网络，必须做NAT转换，当并发连接较大时，做NAT转换非常占资源，最好考虑有带NAT模块的路由器或专门的NAT设备。2.6.2交换机工作组交换机采用可网管交换机，实现对每台接入计算机的控制，实现VLAN（虚拟网）的划分，确保最大限度的网络访问安全。接入层交换机采用拥有千兆端口的可网管交换机实现与核心路由器的高速连接，避免可能产生的网络瓶颈。汇聚层交换机采用三层交换机，实现接入层的告诉汇聚功能以及VLAN间路由实现。2.6.3防火墙防火墙有软件防火墙和硬件防火墙两种。软件防火墙是安装在计算机平台的软

23、件产品，它通过在操作系统底层工作来实现网络管理和防御功能的优化。硬件防火墙的硬件和软件都单独进行设计，有专用网络芯片处理数据包。同时，采用专门的操作系统平台，从而避免通用操作系统的安全性漏洞。并且对软硬件的特殊要求使硬件防火墙的实际带宽与理论值基本一致，有着高吞吐量、安全与速度兼顾的优点。2.6.4服务器服务器应该具备速度高、存储容量大、吞吐能力强、性能可靠、扩展性强、连网和管理功能强等特点。WWW服务器：是网络运行的核心服务器，通常兼作域名服务器、FTP服务器。访问量大，根据企业规模大小，采用适合自己规模的服务器。一般对于200个信息点以下的企业，通常可采用支持多CPU的顶级PC服务器和低端

24、专业服务器。 FTP服务器：通常中小企业可由WEB服等务器兼用。2.6.5 公网IP地址数由于对外服务器要求有固定的公网IP地址，路由器也要求有固定的公网IP地址，以及NAT地址池也需要有固定的公网IP地址，因此，必须向ISP提供商申请一定数量的公网IP地址，对于中、小型网络来讲，8个勉强可以，对于大型局域网来说，要求16个以上才能够用。2.7 VLAN技术分析2.7.1、 VLAN技术概述VLAN(Virtual Local Area Network)也就是虚拟局域网，是一种建立在交换技术基础之上的，通过将局域网内的机器设备逻辑地而不是物理地划分成一个个不同的网段，以软件方式实现逻辑工作组的

25、划分与管理的技术。IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案。VLAN的作用是使得同一VLAN中的成员间能够互相通信，而不同VLAN之间则是相互隔离的，不同的VLAN间的如果要通信就要通过必要的路由设备。2.7.2、使用VLAN技术的优点1、可以控制网络广播在没有应用VLAN技术的局域网内的整个网络都是广播域，这样就使得网内的一台设备发出网络广播时，在局域网内的任何一台设备的借口都能接收到广播，因此当网络内的设备越来越多时，网络上的广播也就越来越多，占用的时间和资源也就越来越多，当广播多到一定的数量时，就会影响到正常的信息的传送。这样就能使得信息延

26、迟，严重的可以造成网络的瘫痪、堵塞，严重的影响了正常的网络应用，这就是所谓的网络风暴。在应用了VLAN技术的局域网中，缩小了广播的广播域，在一个VLAN中的广播风暴也不会影响到其他的VLAN，从而有效地减小了广播风暴对局域网网络的影响。2、增强了网络的安全性 在局域网中应用VLAN技术可以把互相通信比较频繁的用户划分到同一个VLAN中，这样在同一个工作组中的信息传输只在同一个组内广播，从而也减轻了因广播包被截获而引起的信息泄露，增强了网络的安全性。还有就是在公司的局域网中各个部门要求的安全等级是不一样的，例如公司财务处和公司其他部门之间的网络就有着不一样的访问者和用户，因此我们可以应用VLAN

27、技术把财务处和公司的其他网络分到不同的工作组中。如果不使用VLAN技术就需要两个交换机来实现同样的功能，但是应用VLAN技术节省了公司的财力。3、简化网络管理员的管理工作 在应用VLAN技术后网络管理员就可以轻松的管理网络，例如公司部门在物理上并不处在同一个位置，在不同的装配大楼和办公楼，但是应用了VLAN技术网络管理员就可以在应用了几条指令的同时完成设备在不同物理位置上的相同工作组的配置。2.7.3、 VLAN的划分方法VLAN技术对工作组的划分方法有两种一种是基于端口的划分方法另外一种是基于MAC地址的划分方法。1、基于端口的划分方法这种划分VLAN的方法是根据以太网交换机的端口来划分，比

28、如Cisco 48口交换机的1-14端口为VLAN1，15-27为VLAN1，28-48为VLAN1，当然，这些属于同一VLAN的端口可以不连续，如何配置，如果有多个交换机，例如，可以指定交换机l的l-8端口和交换机2的1-7端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机，根据端口划分是目前定义VLAN的最广泛应用的方法，IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。这种划分方法的优点是定义VLAN成员时非常简单，只要将所有的端口都只定义一下就可以了。不足之处是不够灵活，当一台机器设备需要从一个端口移动到另一个新的端口，但是新端口与旧端口不在同一个VL

29、AN之中时，要修改端口的VLAN设置，或在用户计算机上重新配置网络地址，这样才能使这台设备加入到新的VLAN中。否则，这台设备就无法进行网络通信。2、基于MAC地址的划分方法 这种方法划分VLAN，要求交换机对站点的MAC地址进行跟踪，在新站点入网时需要把它添加到相应的VLAN中。以后无论这个站点怎么移动。只要MAC地址不变就无需对它进行重新配置。 不足之处在于不够便捷，由于在初始化时，需要所有的在局域网内的所有设备都进行配置，因此如果要是有几百个用户时，配置工作就显得相当的繁琐，并且由于需要跟踪站点内的MAC地址进行跟踪，使得交换机的执行效率不高。3、基于网络协议的划分 VLAN按网络层协议

30、来划分,可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法

31、)。综上所分析本设计采用划分VLAN的方式是基于端口的方法。2.7.4、 在企业网中VLAN的划分企业局域网采用三层网络架构设计，分为核心层、汇聚层、接入层等三个层次，企业主干网技术选择千兆以太网技术，主要在接入层的端口上实施基于端口的VLAN划分2.8、网络设备选型原则2.8.1设备选型原则在确定了网络系统的设计方案后，需要进行网络设备选型。设备选型是网络工程中非常重要的一环，设备选型的好坏直接影响系统的实用性、稳定性、可靠性和系统的费用。设备选型依据主要是根据选型原则，对不同厂家的产品的不同型号进行综合全面的比较，选择满足系统需求的、先进、性能价格比高的设备。（1）品牌选择：所有网络设备尽

32、可能选取同一厂家的产品，以便使用用户从网络通信设备的整体性能上得到更多的便利和保证。而产品线齐全、技术认证队伍力量雄厚、产品市场占有率高的厂商是网络设备品牌的首选（如本设计方案的网络设备就是全部选用国际知名品牌Cisco的产品）。（2）扩展性考虑：在网络的层次结构中，主干设备选择应预留一定的能力，以便对系统进行扩充和改进。（3）性价比高：网络系统设备的选择具有较高的性能价格比的网络设备以达到系统整体性能的最优。2.8.2、常用网络设备 网络设备主要是指硬件系统，各种网络设备之间是有着相互关联而不是相互独立的，每一部分在网络中有着不同的作用，缺一不可，只有把这些设备通过一定的形式连起来才能组成一

33、个完整的网络系统，网络设备主要包括网卡、集线器、交换机、路由器、传输介质等。1、网卡 网卡（简称NIC），也网络适配卡或网络接口卡，网卡作为计算机与网络连接的接口，是不可缺少的网络设备之一。无论是双绞线网络、同轴电缆网络还是光缆网络，都必须借助于相应类型的网卡才能实现与计算机的连接，是计算机与局域网相互连接的惟一接口。每块网卡上都有一个世界惟一的ID号，也就是MAC（Media Access Control）地址，计算机在连入网络之后，就是依靠这个ID号才能实现在不同计算机之间的通信和信息交换。网卡有很多种，不同类型的网络需要使用不同种类的网卡，不同速度的网络需求也要使用不同的网卡。如根据带宽

34、来分的话，有10Mbit/s网卡、10/100Mit/s自适应网卡和1000Mbit/s网卡；如按总线分，有ISA总线、PCI总线、PCMCIA总线网卡等。从目前校园网建设的实际情况来看，工作站网卡选择PCI总线的10M/100Mbit/s自适应网卡最适合。2、交换机 交换机，也称交换式集线器，是专门设计的，使各计算机能够相互高速通信的独享带宽的网络设备。作为高性能的集线设备，随着价格的不断降低，交换机已逐步取代了集线器而成为集线设备的首选。由交换机构建的交换式网络系统不仅拥有高速的传输速率，而且交换延时很小，使得信息的传输效率大大提高，适合于大数据量并且使用非常频繁的网络通信，被广泛应用于各

35、种类型的多媒体和数据传输网络。交换机具有很强的网络管理功能，它能自动根据网络通信的使用情况来动态管理网络，因为交换机采用了独享网络带宽的设计。3、 路由器 路由器除了有连接不同的网络物理分支和不同的通信媒介、过滤和隔离网络数据流及建立路由表，还有控制和管理复杂的路径、控制流量、分组分段、防止网络风暴及在网络分支之间提供安全屏障层等到功能。根据路由设备的组成可以分为软路由和硬路由。根据路由表的设置方式可以将路由器分为静态的和动态的。路由器工作在网络层，因此它可以在网络层交换和路由数据帧，访问的是对方的网络地址。当数据帧到达路由器后，路由器查看数据帧的目标地址，并在路由表查看到达目标地址的路径，根

36、据路径的代价，选择一条最佳的路径，然后把数据帧沿这条路径发送给目标地址。4、传输介质 网络要求把各个独立的计算机连接起来的，这样就必然要求有一种介质将计算机连接起来，这就是传输介质，局域网的传输介质可分为有线介质和无线介质两种，一般情况下都是用有线介质的，因为它的稳定性高，连接可靠，无线介质只是在特殊环境下才使用的传输方式。常用的有线介质主要有以下几类。同轴电缆同轴电缆以硬铜线为芯，外包一层绝缘材料。这层绝缘材料用密织的网状导体环绕，网外又覆盖一层保护性材料。同轴电缆有许多种不同的规格，最常用是细同轴电缆和粗同轴电缆。细同轴电缆主要用于建筑物内的网络连接，而粗同轴电缆则常用于建筑物间相连。它们

37、的区别在于粗同轴电缆屏蔽更好，能传输更远的距离。同轴电缆是由中心导体、绝缘材料层、网状织物构成的屏蔽层以及外部隔离材料层组成。双绞线双绞线是综合布线工程中最常用的一种传输介质。双绞线由两根具有绝缘保护层的铜导线组成。把两根绝缘的铜导线按一定密度互相绞在一起，可降低信号干扰的程度，每一根导线在传输中辐射的电波会被另一根线上发出的电波抵消，与其他传输介质相比，双绞线在传输距离、信道宽度和数据传输速度等方面均受到一定限制，但价格较为低廉。目前，双绞线可分为非屏蔽双绞线和屏蔽双绞线。光纤 光纤是一种直接为50100um的柔软的、能传导光波的介质，一般由玻璃制造。光纤分为：传输点模数类分单模光纤(Sin

38、gle Mode Fiber)和多模光纤(Multi Mode Fiber)。单模光纤的纤芯直径很小，在给定的工作波长上只能以单一模式传输，传输频带宽，传输容量大。多模光纤是在给定的工作波长上，能以多个模式同时传输的光纤，与单模光纤相比，多模光纤的传输性能较差。5、服务器 企业网中的服务器主有数据库WEB服务器和服务器，数据服务器与WEB服务器除了面向企业网内部用户的服务，也对来自Internet的用户服务也很多，主要是对企业网内部用户进行信息共享以及文件共享服务；一般中小型的企业网络都把FTP服务器以及E-mail服务器与WEB服务器或者数据服务器并作使用，以达到为企业减少建设网络的开支，也

39、利于管理人员的管理。故而本方案把WEB服务器和E-mail服务器、数据库服务器和FTP服务器兼做使用。2.9网络地址转化（NAT）技术分析 网络地址转换是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器取得注册的IP地址. 在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过

40、一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可. 第三章、局域网规划设计方案3.1网络拓扑结构选择现在应用最广泛的拓扑结构有总线型、环型和星型拓扑三种。一个单位需要按照工作目的选择网络类型,而拓扑结构必须与所选的网络类型相匹配。总线型结构：网络上的所有微机包括服务器都连在一条主通信线

41、路上。总线上传送的信息,通常以基带形式串行传送,它的传送方向从发送信息的节点开始向两端扩散,如同广播电台发射的信息向四周扩散一样,因此这种网络也被为广播式计算机网络。它的优点是连接简单,易布线,不用中断设备,成本较低,是最常用的局域网拓补结构之一。但是,同轴电缆线的两端都要安装终端电阻,稳定性较差,如果总线出现故障,那么整个网络都会瘫痪,并且由于总线网络受到信号损耗的影响,总线长度受限制,设备分布的范围不可能很大,故只适用于小型网络。采用总线拓补结构的网络有10Base2以太网,10Base5以太网,以及ARCnet网。星型结构：星型结构中有一个中央节点（集线器或交换机）和计算机连接成网。交换

42、机是网络的中央布线中心,各计算机通过交换机和其它计算机通信,星形网络也称为集中式网络。这种结构基本上是Ethernet（以太网）双绞线网络专用的。而其它的客户机都用单独的线路与这个节点连接,向四周展开,形成一个心状结构。采用这种拓扑结构的网络稳定性较高,单个节点的故障只会影响与这个节点相连的支路,不会影响整个网络,并且很容易完成对网络设备的添加、移动和改变,当网上有一条信息时,网络上甩的终端或工作站都能接收到这个信息,但是星型结构一般使用双绞线进行连接,需要大量的电缆,成本较其他高,同时如果交换机出现故障,刚整个网络瘫痪。采用星型结构的网络有10BaseT以太网,100BaseT以太网,令牌环

43、网,FDDI网络CDDI网络,ATM网。环型结构：环型结构中的每一个工作连接成封闭的环路。是单向的链路,只能在一个方向传输数据,而且所有链路都是按同一个方向舆。这样,数据就在这个环的一个方向上进行循环。这种结构的特点是：连接费用较低,比较适合家庭等小型网络的连接；每台微机都相同于一个中断器；要新增用户比较困难；网络的可靠性差,不易管理采用环状拓补结构的网络的有。令牌环网,FDDI网络CDDI网络。在本设计方案中主要是对一个企业进行整体的网络设计。该企业占有一幢大厦，共有八个部门，每个部门不会超过255台工作站，分别是财务部、人事部、行政部、企管部、营销中心、科研楼、厂房一、厂房二， 为了实现网

44、络设备的统一，在本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。本企业网设计方案主要由以下几部分组成：交换模块、广域网接入模块、服务器模块，整个网络系统的拓扑结构图如下所示：企业网整体拓扑结构图3.2 VLAN及IP地址规划在一个大、中型网络里，VLAN的划分是必不可少的步骤之一。在本企业网设计中，整个企业网的VLAN及IP编址方案如下表所示：在下面我们需要注意的是：192.168.0.0-192.168.255.254这样的IP地址是私有IP地址，它不能在公共网络中使用，但是为什么我们要这样做呢？因为针对当前现状，IP地址紧缺，我们不可能也不应该为每一台工作站申请一个

45、公有IP地址，这样不仅可以缓解IP地址不足的情况，而且也可以为企业建设一个企业网节约不少的开支，那这样且不是不能够访问INTERNET。为了让这些私有IP地址能够在公共INTERNET使用，让使用这样IP地址的工作站能够访问INTERNET上的资源，我们必须对这样私有IP地址作NAT（network address translation）即网络地址转换。网络设备选型a、核心层网络采用CISCO WS-C6509-E分布网络采用CISCO WS-C3550-24G（配置1000M光电模块）Cisco Catalyst 3550系列智能以太网交换机是一个可堆叠多层交换机系列，可通过高可用性、服务

46、质量（QoS）和安全性来改进网络运行。凭借一系列快速以太网和千兆位以太网配置，Cisco Catalyst 3550系列堪称一款适用于企业接入应用的强大选择。b、接入层网络采用CISCO WS-C2950G-48-EI（配置1000M光电模块）Cisco Catalyst 2950系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列，提供了线速快速以太网和千兆位以太网连接。这是一款最廉价的Cisco交换产品系列，为中型网络和城域接入应用提供了智能服务。作为思科最为廉价的交换产品系列，Cisco Catalyst 2950系列在网络或城域接入边缘实现了智能服务。c、外部访问网络采用CISCO

47、2811路由器和CISCO专用防火墙（配置1000M光电模块） 路由器采用Cisco 2811路由器，Cisco 2811路由器包含两个同步Serial口与2个以太网接口，支持传输速率是10/100Mbps，同时还包括一个控制口和一个辅助端口，用于远程和本地管理、软件的安装等,支持Qos 接口Console 具有内置防火墙功能；采用CISCO专用防火墙。d、服务器采用UPS不间断电源可以保护服务器免受断电的困扰，达到服务器不间断工作。3.3 网络安全设计 公司园区网有3000用户，网络规模比较大，并且和因特网存在连接。为了保障网络系统的运行安全，保护公司的信息安全，必须进行网络安全方面的规划和实施。 一个网络的安全，首先要有严格和有效执行的管理制度。建议公司制定严格的网络安全管理策略，并有效的执行。其次，必须具有一定的技术手段来保障网络的安全。技术和管理手段相结合实施，才能够产生良好的效果。 通过以下几个技术方面的实施，可以在一定程度上保障网络的安全： 提高设备的物理安全性 配置设备的口令 进行VTP域的认证 园区网用户的接入控制 应用系统的访问控制 因特网的接入安全控制 提高设备的物理安全性 设备的物理安全性是指运行中的设备，未经授权的人员不能直接接触到。提高设备的物理安全性，是最基本的要求。通过将设备安置在独立的设备间中，并增加门禁系