对中小型企业网络的规划与设计进行分析与研究.doc

《对中小型企业网络的规划与设计进行分析与研究.doc》由会员分享，可在线阅读，更多相关《对中小型企业网络的规划与设计进行分析与研究.doc（30页珍藏版）》请在沃文网上搜索。

1、内容摘要内容摘要随着网络建设的不断发展,中小企业的网络化建设也是进行的如火如荼。为了提高企业的生产效率，节省时间和金钱大部分的中小企业的办公室都实现了网络化。并且对企业的管理也是有很的帮助，如何选择一个合适的组网方案并且选择适合的网络产品成了中小企业主非常关心的问题。由于小型企业自身的一些特点，如企业的财力有限，没有专门的IT技术人员企业的办公空间有限等等。所以在选择组网方案和网络产品时候一定要考虑到这些因素，做到够用就好。 本文就这方面对中小型企业网络的规划与设计进行分析与研究。关键字：Internet、路由、局域网、DHCP、子网划分装订线长 春 大 学 毕业设计（论文）纸目录1引言.12

2、网络构建概述.23需求分析.33.1企业背景.33.2应用需求.33.2.1带宽性能需求.33.2.2稳定可靠需求.33.2.3服务质量需求.43.2.4网络安全需求.43.2.5应用服务需求.44内部方案设计.54.1业务设计.54.2安全性设计.54.3网络规模设计.54.4接入internet设计.64.5网络管理设计.64.6子网的划分.65网络设备选型及连接.75.1设备选择及简要介绍.75.1.1路由器.75.1.2交换机.125.2设备连接说明及拓扑图.136设备配置及调试.156.1核心交换机的VLAN划分.156.2RouterOS路由器的配置.167企业网络安全设计.197

3、.1建立企业网络安全.19 7.1.1网络设备.19 7.1.2数据库及应用软件.19 7.1.3E-mail系统.19 7.1.4Web站点.207.2建立安全体系结构.207.2.1物理安全.20 7.2.2操作系统安全.207.3使用ACL封堵常见病毒端口.207.4封堵p2p端口.218完成设备配置和测试.239总结.25致谢.26参考文献.271引 言 随着计算机的不断普及，计算机网络化成为越来越紧迫的问题，大多数企事业单位的网络多为一百点左右的星型局域网，一般没有专业的网络管理人员，服务器软件的安装及权限设置的优劣直接关系到网络的安全与稳定。计算机技术的高速发展，基于网络的各种应用

4、日益增多，今天的企业网络已经发展成为一个多业务承载平台，它不仅要继续承载企业的办公自动化和WEB浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务，因此数据流量将大大增加，尤其是对核心网络的数据交换能力提出前所未有的要求。另外，随着千兆端口的成本持续下降，千兆到桌面的应用已成为企业网的主流。从2007年全球交换机市场分析可以看到，增长最迅速的就是10G级别机箱式交换机，由此可见，万兆的大规模应用已经真正开始。所以今天的企业网络已经不能再用百兆到桌面千兆骨干来作为建网的标准，它的核心层及骨干层必须具有万兆级带宽和处理性能

5、，才能构筑一个畅通无阻的“高品质”大型企业网，从而适应网络规模扩大，业务量日益增长的需要。为了提高企业的生产效率，节省时间和金钱大部分的中小企业的办公室都实现了网络化。如何选择一个合适的组网方案并且选择适合的网络产品成了中小企业主非常关心的问题。怎样将企业的自身的特点运用的更实际化，组建一个是个中小的企业网络，使我们当代网络大学生的任务和挑战。所以我们更好的掌握所学的网络知识，加强运用！用实践来说明自己的掌握水平！由于小型企业自身的一些特点，如企业的财力有限，没有专门的IT技术人员企业的办公空间有限等等。所以在选择组网方案和网络产品时候一定要考虑到这些因素，做到够用就好。那我们就举一个大概有8

6、0个节点的网络来分析一下具体的网络设计过程。在组网之前我们要考虑的有以下几个问题，首先就是网络的基础构架问题，当然还有网络的安全问题，INTERNET的接入问题，和网络的扩充问题。2网络构建概述 计算机网络是计算机技术与通信技术结合的产物。自从20世纪60年代计算机网络发展至今，计算机网络对现代人的生产、经济、生活等各个方面都产生了巨大的影响。在过去的20多年里，计算机和计算机网络技术取得了惊人的发展。处理和传输信息的计算机网络已经成为了信息社会的命脉和发展知识经济的重要基础，不论是企事业单位、社会团体或个人，他们的生产效率和工作效率都由于使用计算机和计算机网络技术而有了实质性的提高。在当今的

7、信息社会中，人们不断地依靠计算机网络来处理个人和工作上的事务，而这种趋势也使得计算机和计算机网络发挥出更强大的功能。Internet网络的迅速发展让人们充分认识到了Internet技术的魅力，并将它引入到局域网，给局域网应用带来新的技术变革，这种变革就是创建了与Internet无缝集成的IntranetExtranet技术。它带来的深远影响就是局域网的基础结构改变了，安全结构的地位日益突出，服务方式也改变了，应用模式也更加简洁、高效。Intranet网络是目前主要的网络构建模式。本文通过实际的应用案例给出了构建Intranet网络的系统设计过程。在案例中省去了一些无关紧要的内容，突出了重要的技

8、术环节，有助于中小企业构建Intranet时作为参考的依据。企业Intranet是Intemet技术、WWW技术和企业内部局域V（LAN）和广域网（WAN）技术相结合的产物，它还在硬件结构上继承了局域网和广域网的特点。两个或多个具有业务伙伴关系的企业将各自的Intranet网络集成起来构成的公共信息平台则称为Extranet。目前业界公认的IntranetExtranet所包括的8项服务是：Web电子出版、目录服务、电子邮件、安全域管理、广域网络互联、文件、打印和网络管理。因此，组建Intranet网络成为企事业单位集成各类网络应用的标准模式。在Intranet中，Web服务器与Email服务

9、器都要与Internet连接，Web服务器一般通过防火墙或代理服务器与Internet连接；Email服务器可以通过防火墙与Internet连接，也可以直接与Internet连接。3需求分析本章结合企业背景，应用需求，安全设计原则对网络进行详细的需求分析3.1企业背景该企业是一家生产研发型企业，主楼是一座四层办公大楼，办公大楼后方是一栋较大的生产车间。整个办公楼有信息点大概100个，企业中心机房设在办公大楼三楼中间。3.2应用需求 3.2.1 带宽性能需求现代大型企业网络应具有更高的带宽，更强大的性能，以满足用户日益增长的通信需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企

10、业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化，Web浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务。因此，数据流量将大大增加，尤其是对核心网络的数据交换能力提出了前所未有的要求。另外，随着千兆位端口成本的持续下降，千兆位到桌面的应用会在不久的将来成为企业网的主流。从2004年全球交换机市场分析可以看到，增长最迅速的就是10Gbps级别机箱式交换机，可见，万兆位的大规模应用已经真正开始。所以，今天的企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网的标准，核心层及骨干层必须具有万兆位级带宽和

11、处理性能，才能构筑一个畅通无阻的高品质大型企业网，从而适应网络规模扩大，业务量日益增长的需要。 3.2.2稳定可靠需求 现代大型企业的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通，保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来，网络通信的无中断运行已经成为保证企业正常生产运营的关键。现代大型企业网络在可靠性设计方面主要应从以下3个方面考虑。设备的可靠性设计：不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察。业务的可靠性设计：网络设备在故障倒换过程中，是否对业务的正常运行有影响。链路的可靠性设计：以太网的链

12、路安全来自于多路径选择，所以在企业网络建设时，要考虑网络设备是否能够提供有效的链路自愈手段，以及快速重路由协议的支持。 3.2.3服务质量需求现代大型企业网络需要提供完善的端到端QoS保障，以满足企业网多业务承载的需求。大型企业网络承载的业务不断增多，单纯的提高带宽并不能够有效地保障数据交换的畅通无阻，所以今天的大型企业网络建设必须要考虑到网络应能够智能识别应用事件的紧急和重要程度，如视频、音频、数据流（MIS、ERP、OA、备份数据）。同时能够调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送，实现对业务的合理调度才是一个大型企业网络提供高品质服务的保障。 3.2.4网络

13、安全需求现代大型企业网络应提供更完善的网络安全解决方案，以阻击病毒和黑客的攻击，减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件，以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，这样才能有效地保证企业网络的稳定运行。 3.2.5应用服务需求现代大型企业网络应具备更智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需要。当前的网络已经发展

14、成为以应用为中心的信息基础平台，网络管理能力的要求已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如，网络调试期间最消耗人力与物力的线缆故障定位工作，网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作，由于受网络设备功能本身的限制，都还属于费时、费力的任务。所以现代的大型企业网络迫切需要网络设备具备支撑以应用为中心的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。4内部方案设计4.1业务设计为了实现内部的资源共享和与向外发布企业信息，所以我们需要配置一些服务器（打印机

15、服务器、web服务器、ftp服务器）。在这里打印机服务和ftp服务主要用于内网企业职工的服务，而web服务主要用于企业向外发布产品信息和企业文化等。4.2安全性设计安全性是网络系统中应考虑的关键问题之一，整个系统应具有可靠的、集中式的安全管理系统，以保证系统的安全运行。网络安全主要分为外网与内网之间的安全，内网的安全。对于内网的安全主要就是控制不同部门之间的相互访问，我们可以是VLAN 的划分来解决这个问题。财务部、生产部、技术部、人事部、营销部这五个总站分属不同的VLAN的。这样便增加了控制部门之间互访的灵活性。对于外网和内网之间的安全我们可以通过在外网与内网之间要安装防火墙，配置防火墙中的

16、访问控制列表，来实现内网对外网的访问，外网对DMZ区的web服务器访问，阻止外网对内网的访问，以及实现NAT转换等等。4.3网络规模设本企业由于是一个中小型企业所以在组建网络考虑网络的成本以及网络的规模。本公司有五个部门：财务部（10台）、营销部（20台）、人事部（20台）、生产部（20台）、技术部（10台），共有80台计算机，我们可以选择5台24个端口10/100M普通交换机作为接入层；由于公司规模不是很大和计算机数量又不是很多，为了减少成本我们省去第二层（汇聚层），把接入层的交换机之间接入到核心层交换机上。核心层交换机我们选择性能比较优越的，交换机带宽需要达到1000M。对于DMZ区的设置

17、我们选择三台性能较好的计算机作为服务器，ftp、web服务器我们安装Windows 2003 server操作系统，web服务器我们选择Linux操作系统，并安装Apache。4.4接入Internet设计接入Internet我们需要申请一个公网ip地址202.168.25.4/30，采用通过光纤方式接入，并且为web服务器申请一个域名。内网使用私有地址192.168.X.0/24。主干网采用以铜缆为介质的1000M的以太网；考虑到外网对DMZ区web服务器的访问效率我们尽可能增大带宽。所以与核心层交换机的接入也使用1000M铜缆连接，各部门PC机与接入层交换机之间采用10/100M铜缆连接

18、。铜缆就是采用五类或超五类的网线，1000M用超五类线，10/100M用五类线。它跟光纤的区别是价格便宜，做线方便不需要专业设备，而且对作连接的网络设备的要求也降低了，大大节省了开支。4.5网络管理设计对于流量的分析跟踪我们可以用核心交换层的配置功能就可以，手段可以安装网管软件对核心交换机的SNMP进行读取，或者对路由器（防火墙）进行网管，也可以得出相关的数据。最后一个比较原始的方法是采用Sniffer进行流量捕获，并把产生流量最多的协议HTTP协议的网络流量过滤出来加以分析。4.6子网的划分由于我们内网采用私有地址（192.168.X.0/24），公司内部不同部门在不同的VLAN，所以我们必

19、须要进行子网的划分如表4-1所示：公司部门VLAN划分IP网段财务部 (10台)VLAN 2192.168.2.0/24营销部（20台）VLAN 3192.168.3.0/24人事部（20台）VLAN 4192.168.4.0/24生产部（20台）VLAN 5192.168.5.0/24技术部（10台）VLAN6192.168.6.0/24表4-1子网划分5网络设备选型及连接5.1设备选择及简要介绍根据前面确定的网络模式，需要添置的网络设备主要为路由器和交换机。因为光纤适配器在安装宽带时服务商会免费提供，而网卡一般计算机都已自带，当然还需要支持五类与超五类标准的网线，来将所有的网络设备与计算机

20、相连。5.1.1路由器 路由器是组网方式中最重要的设备。为了获得良好的共享速度及稳定的性能，大家在选择此种设备时应多参考相关资料，由于是中小企业所用，加上上述的网络规划，本着节省与以后升级性的考虑以及网络配置灵活性的考虑，这里选择了软件路由器的产品：RouterOS。所以在硬件方面只需要购置一台双核的电脑及几块千兆网卡即可，硬件的配置不用很高，CPU为INTEL E2160已经达至足够的要求了；在软件方面，由于RouterOS是商业软件，正常情况下需要出一笔费用，但是我们所需要的只是基本的功能，使用特殊的低版本RouterOS软件就可以了，不需要使用最新的版本。RouterOS是由MikroT

21、ik开发的一种基于LINUX的路由操作系统，并通过该软件将标准的PC电脑变成专业路由器，在软件的开发和应用上不断的更新和发展，软件经历了多次更新和改进， 使其功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能，其极高的性价比，受到许多网络人士的青睐。 RouterOS在具备现有路由系统的大部分功能，能针对网吧、企业、小型ISP接入商、社区等网络设备的接入，基于标准的x86构架的PC。一台 586PC机就可以实现路由功能，提高硬件性能同样也能提高网络的访问速度和吞吐量。完全是一套低成本，高性能的路由器系统特色功能介绍：(1)桥接功能 RouterOS

22、能将多张网卡组建为一个桥模式，是路由器变成一个透明的桥设备，同样也实行三层交换的作用，MAC层的以太网桥、EoIP 、Prism、Atheros和RadioLAN 等都是支持的。所有802.11b和802.11a 客户端的无线网卡（如station模式的无线）受802.11 的限制无法支持桥模式，但可以通过EoIP协议的桥接方式实现。为防止环路出现在网络中，可以使用生成树协议(STP) ，这个协议同样使冗余线路成为可能。包括特征如下：生成树协议(STP) 多桥接接口功能 该协议能选择转发或者丢弃 能实时监控MAC地址 桥防火墙 (2)多线路支持：RouterOS基于策略的路由为网络管理者提供了

23、比传统路由协议对报文的转发和存储更强的控制能力，路由器用从路由协议派生出来的路由表，根据目的地址进行报文的转发。在负载均衡下也可以根据带宽的比例调整两条线路的流量。RouterOS提供了多种方式的路由功能，使其路由功能更强大，更灵活。RouterOS的路由功能主要为：基于源地址的路由 基于目标地址的路由 基于端口的路由 基于定义用户类的路由 基于负载均衡的路由 基于端口的负载均衡 隧道协议：RouterOS支持多种隧道协议如PPP、PPPoE、PPTP、EoIP、IPIP以及IPsec，这些隧道协议可以为远程资源访问和企业间的连接提供很好的解决方案，如通过PPTP或IPIP实现通网络资源互用

24、EoIP或PPTP的远程局域网解决方案 支持PPPoE服务器 Hotspot热点认证服务：热点服务认证系统是一种web的认证方式，在此种认证方式中，用户可以通过自设IP地址或DHCP获得一个地址，打开浏览器，无论输入一个什么地址，都会被强制到一个认证界面，要求用户进行认证，认证通过后，就可以访问其他站点了。主要特征：用户通过时间与流量认证计费 Cookie (存储用户的账号和密码) (3)带宽控制功能 定额控制（连接超时时间, 下载/上传传输限制） 实时用户状态信息显示 自定义认证HTML页(可以由你自己设计认证页) DHCP服务器分配IP地址 简单的RAIUS客户端配置 RouterOS 能

25、与PPTP隧道、IPsec以及其它的一些功能配合使用。 可以通过Access Point与以太网接入用户。 定时广播指定的URL链接 (4)脚本控制RouterOS提供了可以编写的脚本功能，脚本的加入使RouterOS在处理很多网络方案、自动检查故障和动态生成策略等，都可以通过脚本很好的解决。使得在处理很多网络问题上更加的灵活和智能化。(5)具体功能TCP/IP协议组： Firewall和NAT 包状态过滤；P2P协议过滤；源和目标NAT；对源MAC、IP地址、端口、IP协议、协议（ICMP、TCP、MSS等）、接口、对内部的数据包和连接 作标记、ToS 字节、内容过滤、顺序优先与数据频繁和时

26、间控制、包长度控制. 路由 静态路由；多线路平衡路由；基于策略的路由(在防火墙中分类); RIP v1 / v2, OSPF v2, BGP v4 数据流控制 能对每个IP、协议、子网、端口、防火墙标记做流量控制；支持PCQ, RED, SFQ, FIFO对列; Peer-to-Peer协议限制 HotSpot HotSpot认证网关支持RADIUS验证和记录；用户可用即插即用访问网络；流量控制功能；具备防火墙功能；实时信息状态显示；自定义HTML登录页；支持iPass；支持SSL安全验证；支持广告功能。 点对点隧道协议 支持PPTP, PPPoE和L2TP访问控制和客户端； 支持PAP, C

27、HAP, MSCHAPv1和MSCHAPv2 验证协议； 支持RADIUS验证和记录；MPPE加密；PPPoE压缩；数据流控制；具备防火墙功能；支持PPPoE按需拨号。 简单隧道 IPIP隧道、EoIP隧道 (Ethernet over IP) IPsec 支持IP安全加密AH和ESP协议； Proxy 支持FTP和HTTP缓存服务器；支持HTTPS代理；支持透明代理 ； 支持SOCKS协议； DNS static entries; 支持独立的缓存驱动器；访问控制列表；支持父系代理。 DHCP DHCP服务器；DHCP接力；DHCP客户端; 多DHCP网络；静态和动态DHCP租约；支持RADI

28、US。 VRRP 高效率的VRRP协议（虚拟路由冗余协议） UPnP 支持即插即用 NTP 网络对时协议服务器和客户端；同步GPS系统 Monitoring/Accounting IP传输日志记录；防火墙活动记录；静态HTTP图形资源管理。 SNMP 只读访问 M3P MikroTik分包协议，支持无线连接和以太网。 MNDP MikroTik邻近探测协议；同样支持思科的CDP。 Tools - ping; traceroute; bandwidth test; ping flood; telnet; SSH; packet sniffer; DDNS。 (6)二层链接 Wireless -

29、IEEE802.11a/b/g wireless client和访问节点（AP）；Nsetreme和 Nstreme2 协议；无线分布系统(WDS)；虚拟AP功能；40和104 bit WEP; WPA pre-shared key加密; 访问控制列表；RADIUS服务器验证；漫游功能(wireless客户端); 接入点桥接功能。 Bridge 支持生成树协议（STP）；多桥接口；桥防火墙；MAC NAT功能。 VLAN - IEEE802.1q Virtual LAN，支持以太网和无线连接；多VLAN支持；VLAN桥接。 Synchronous - V.35, V.24, E1/T1, X.

30、21, DS3 (T3)媒体类型； sync-PPP, Cisco HDLC, 帧中继协议; ANSI-617d (ANDI or annex D)和Q933a (CCITT or annex A) 帧中继LMI类型 Asynchronous 串型PPP dial-in / dial-out；PAP, CHAP, MSCHAPv1和MSCHAPv2 验证协议；RADIUS验证和记录；支持串口；modem池支持128个端口。 ISDN - ISDN dial-in / dial-out; PAP, CHAP, MSCHAPv1和MSCHAPv2 验证协议；RADIUS验证和记录；Cisco HD

31、LC, x75i, x75ui, x75bui 队列支持。 X86硬件要求 CPU和主板 核心频率在100MHz或更高的单核心X86处理器，以及与兼容的主板。 RAM 最小32 MiB, 最大1 GB; 推荐64 MB或更高。 ROM 标准ATA/IDE接口(SCSI和USB控制器不支持；RAID控制器驱动不支持; SATA不完全支持) 最小需要64 Mb空间； Flash和一些微型驱动器使用ATA接口能连接使用。 MIPS硬件要求 支持系统 - RouterBOARD 500 series (532, 512 and 511) RAM 最小 32 MB ROM 板载NAND驱动，最小64Mb

32、 配置 RouterOS提供了强大的命令配置接口。你同样可以通过简易的Windows远程图形软件WinBox管理路由器。Web 配置提供了多数常用的功能上。 主要特征：完全一至的用户接口 运行时配置和监控 支持多个连接访问 用户策略配置 活动历史记录，undo/redo操作 安全模式操作 Scripts能事先安排执行时间和执行内容，脚本支持所有的命令操作。 路由器可用通过下面的接口进行管理：本地teminal console - PS/2或USB键盘和VGA显示卡进行控制 Serial console 任何 (默认为COM1) RS232异步串口，串口默认设置为9600bit/s, 8 dat

33、a bits, 1 stop bit, no parity, hardware (RTS/CTS) flow control。 Telnet telnet服务默认运行在23TCP端口 SSH - SSH (安全shell) 服务默认运行在22 TCP端口 MAC Telnet - MikroTik MAC Telnet协议被默认启用在所以类以太网卡接口上。 Winbox Winbox是RouterOS的一个Windows远程图形管理软件，同样也可用通过MAC地址连接。如图5-1所示:图5-1Winbox管理软件界面5.1.2交换机 (1)核心交换机如图5-2所示： 图5-2TP-LINK 核心

34、交换机 TL-SG2109WEB全千兆Web管理交换机提供8个10/100/1000M自适应RJ45端口和1个千兆SFP（Mini GBIC）接口，提供极大的数据转发能力。用户可根据距离和设备选择千兆铜缆或千兆光纤骨干线路连接，组网灵活性强。TL-SG2109WEB提供全中文Web管理，提供线路检测功能，为线路故障排除提供方便。支持Port VLAN、Tag VLAN和MTU VLAN，有效限制广播域，避免病毒泛滥，同时方便划分工作组，提高信息安全。支持Trunk功能，可以消除服务器或级联交换机之间的带宽瓶颈。支持端口 镜像功能，可以助您轻松实现网络监控和网络故障排查。同时还支持优先级、动态M

35、AC地址管理、静态MAC地址表、MAC地址过滤等管理功能，可对用户进行 分类管理，加强网络控制。TL-SG2109WEB整体性能优越，使用简单，性价比高，为企业、校园及智能小区等组网场合提供理想的组网解决方案。(2)产品特性有： 符合IEEE 802.3，IEEE 802.3u，IEEE 802.3z，IEEE 802.3ab标准； 流控方式：全双工采用IEEE 802.3x标准，半双工采用Back-pressure标准； 8个10/100/1000M自适应RJ45端口，支持端口自动翻转（Auto MDI/MDIX）； 提供1个千兆SFP（Mini GBIC）接口； 支持MTU VLAN、Po

36、rt VLAN和IEEE 802.1Q Tag VLAN； 支持端口汇聚（Trunk）功能； 支持动态MAC地址管理功能； 支持静态MAC地址表及过滤MAC地址表的管理； 提供线路检测功能，方便线路故障排除； 支持IEEE 802.1p优先级协议模式、二级静态端口优先级模式； 提供端口安全控制功能； 支持广播风暴控制功能，最小粒度64kbps； 支持端口镜像功能，方便实现网络监控； 支持Ping功能，便于网络故障排查； 支持MAC地址老化时间设置； 提供固定IP地址设置、DHCP自动获取交换机IP地址等参数的功能； 提供全中文Web管理； 支持基于TFTP的交换机系统软件升级和配置文件上传/下

37、载； 内置通用电源，1U钢壳，工业级设计。(3)普通交换机如图5-3所示： 图5-3TP-LINK 交换机TL-SL1226千兆以太网交换机提供了24个10/100M自适应RJ45端口，2个10/100/1000M自适应RJ45端口。所有双绞线端口均 支持自动翻转功能（Auto MDI/MDIX），既可用作普通口，也可用作Uplink口。TL-SL1226千兆以太网交换机提供了一个简单、经济、高性能、无缝隙、标准的迁移到 1000M网络的解决方法，在提高工作组的性能，扩展网络带宽，增加网络节点方面，提供了很大的灵活性，具有使用简单、安装方便、性能优越、性价比高等特点。5.2设备连接说明及拓扑图

38、连接肯定需要五类线，而在五类线的选择这里没有过多提及。在选择时尽量考虑口碑好、质量确实过得去的产品即可；另外摆放交换机柜，将交换机及路由器分层放置，留出必要的空间以供散热。并且根据布线原理交换机应处于尽量在阴凉处，因此交换机的选址应在公司的隐蔽处。具体连接上，将光纤适配器上的网口与RouterOS路由器上作WAN口的网卡相连，而作LAN口的网卡，与核心交换机相连，其它作LAN的网卡也可直接连接WEB、FTP等服务器。网络拓扑图如图5-4所示：图5-4网络拓扑图 通过以上硬件的选择与连接，一个小型的办公网络便组建完成。接下来是简单的软件设置。首先是RouterOS路由器，需要依据手册配置好路由功

39、能，这样局域网用户才能共享上网；同时最好启用RouterOS路由器的DHCP功能，这样所有局域网计算机即可自动获取IP地址。这些设置过程也是非常简单的。 确定网络连接拓扑，主要考虑所有计算机所处位置。因为办公场合的移动性并不是很强，所以这里弃无线而选择有线局域网方式，这样就会涉及到布线的问题；另外，考虑到网络管理的方便，也尽量将局域网控制中心单独放置，不要拿出来公用。6设备配置及调试6.1核心交换机的VLAN划分 通过WEB方式，把TL-SG2109WEB交换机的各个端口分别按以下划分如表6-1所示：所在端口号要划分的VLAN号1TRUNK（打上TAG标记，允许以下VLAN通过）22334455667（用于WEB等）78不划分，默认为1（备用）表6-1端口划分设置VLAN功能一般需要分为三个步骤： 1、选择VLAN的类型。 2、设置VLAN组的划分。 3、端口PVID值的设置。 步骤1：在VLAN管理下选择VLAN配置模式为802.1Q Tag VLAN如图6-1所示图6-1VLAN配置步骤2:设置VLAN组的划分如图6-2所示：在“VLAN管理”“Tag VLAN配置”页面，在VLAN号下拉菜单中选择所想设置