基于Packet Tracer的企业网络设计及安全实现.doc

《基于Packet Tracer的企业网络设计及安全实现.doc》由会员分享，可在线阅读，更多相关《基于Packet Tracer的企业网络设计及安全实现.doc（48页珍藏版）》请在沃文网上搜索。

1、毕 业 论 文题 目：基于Packet Tracer的企业网络设计及安全实现 学院： 计算机与通信学院 专业：信息系统信息管理 班级：1002 学号：学生姓名： Twisted 导师姓名： New 与 完成日期： 2014年6月3日 诚 信 声 明本人声明：1、本人所呈交的毕业设计（论文）是在老师指导下进行的研究工作及取得的研究成果；2、据查证，除了文中特别加以标注和致谢的地方外，毕业设计（论文）中不包含其他人已经公开发表过的研究成果，也不包含为获得其他教育机构的学位而使用过的材料；3、我承诺，本人提交的毕业设计（论文）中的所有内容均真实、可信。作者签名： 日期： 年 月 日毕业设计（论文）任

2、务书 题目: 基于Packet Tracer的企业网络设计及安全实现 姓名学院 计算机与通信学院 专业 信息管理 班级 1002 学号 指导老师 职称 副教授 教研室主任 一、基本任务及要求：1.根据企业的网络需求，设计网络拓扑图并在Packet Tracer 虚拟器上进行组网； 2.给企业中的所有计算机分配IP地址、子网掩码、划分VLAN，实现内部局域网的通信； 3.配置HTTP,MAIL等内部服务器，使企业内部用户访实现访问公司网站，接收邮件等功能； 4.详细配置STP实现网络的链路冗余与备份； 5.配置路由器，实现内部客户端计算机对外部网站服务器的访问； 6.配置VPN实现子公司或公司在

3、外人员对内部网络服务器的访问；根据特定的网络管理任务需求，设计相应的访问规则，完成相应的管理任务；最后，根据任务完成的情况撰写毕业设计报告 二、进度安排及完成时间：（1）第1周至第3周任务：明确设计任务与要求；学习并掌握毕业设计的基本思路与方法；调研、搜索与收集各种参考资料；补充所需知识 。 （2）第4周至第5周任务：毕业实习，完成毕业实习报告。 （3）第6周任务：根据前几周积累的知识撰写指标。 （4）第7周任务：检查开题报告、检查毕业实习报告。 （5）第8周至第9周任务：对以前编译的指标进行测试，调整再测试。 （6）第10周任务：毕业设计中期检查。 （7）第11周至第14周任务：继续测试，着

4、手准备撰写毕业设计。 （8）第15周任务：完成毕业答辩资格审查，毕业答辩准备，制作答辩PPT。 （9）第16周任务：毕业答辩。 目 录摘要IAbrstractII 第一章 绪论11.1选题背景11.2选题的目的和意义11.3可行性分析11.4基本思路21.5仿真实验平台2第二章 企业建网涉及的主要网络技术介绍32.1园区网络技术32.1.1路由技术32.1.2交换技术32.1.3远程访问技术62.1.4热备份路由协议（HSRP）72.2本章小结8第三章 企业网络总体设计方案93.1总体需求分析93.2具体需求93.2.1信息流分析93.2.2业务需求93.2.3外部需求103.2.4网络需求分

5、析103.3网络拓扑设计103.4 IP编址方案及VLAN划分123.5核心层设计及设备选型123.5.1园区主干交换机123.5.2出口路由器133.5.3服务器群组133.6接入层设计及设备选型133.7安全体系设计及设备选型143.7.1 物理层安全143.7.2 系统安全153.7.3 网络层安全153.8本章小结15第四章 企业网组网设计与仿真实现164.1交换模块设计164.1.1接入层交换机服务的实现配置接入层交换机164.1.2核心层交换机服务的实现配置核心层交换机194.2广域网接入模块设计264.2.1配置路由器IRouter的基本参数264.2.2配置路由器IRouter

6、的各接口参数274.2.3配置路由器IRouter的路由功能274.2.4配置接入路由器IRouter上的NAT284.2.5配置接入路由器IRouter上的ACL284.3远程访问模块设计304.3.1Easy VPN服务器配置304.4本章小结31第五章系统测试325.1测试模块325.2模块测试验证325.2.1 企业网连通与访问限制325.2.2 远程接入测试355.3本章小结36总结37参考文献38致谢39湖南工程学院毕业设计（论文)基于Packet Tracer的企业网络设计及安全实现 摘 要：如今，安全高效的网络化办公是现代公司运营的标配。企业实施网络化能够很好地提高办公效率，促

7、使企业内部员工之间更好的沟通合作，同时能够满足移动办公的需求。但同时，面对纷繁复杂的互联网环境，对企业网络做好安全防护，保护公司机密信息是很有必要的。因此本毕业设计课题主要以企业网络规划建设过程中可能用到的各种技术及实施方案为设计方向，为企业网的建设提供理论依据和实践指导。本设计通过对网络组建方案的设计、基于安全的网络配置方案设计、服务器架设方案设计、企业网络安全设计等方面的研究，详尽的探讨了对该网络进行规划设计时遇到的关键性问题。主要包括需求分析、网络设备选型、逻辑网络设计、IP 地址规划方案设计、服务器架设和网络安全设计等内容。论文针对中小企业网络拓扑进行设计和分析，给出了网络规划设计解决

8、方案。本次设计主要以Cisco Packet Tracer仿真软件作为企业网络设计基础，着重于网络安全，使用VPN技术实现远程访问；并加入WLAN、生成树、HRSP等技术解决设备冗余备份问题。在安全与效率中寻找切实的设计方案，拓展出新的企业网络设计解决方案。关键词：Cisco Packet Tracer；网络拓扑规划；网络安全设计；交换 Enterprise network design and security of Packet implementation based on TracerAbstract :Nowadays, network office for safe and eff

9、icient is the Modern Corporation operating standard. Enterprise network is able to improve office efficiency, promote better communication and cooperation between employees within the enterprise, and can meet the needs of mobile. But at the same time, in the face of complex Internet environment, ens

10、ure security of enterprise network, the protection of confidential information is necessary.Various technical and implementation scheme of this graduation project mainly in the process of planning and construction of enterprise network may be used for the design direction, to provide the theory basi

11、s and the practice instruction for the enterprise network construction. Through the design of the network construction scheme design, based on the security of network configuration design, server scheme design, network security design and other aspects of the research, detailed discussion on the key

12、 problems of the planning and design oft he network. Includes demand analysis, selection of network equipment, the logical network design, IP address planning design, server and network security design etc. The design and analysis of the small and medium-sized enterprise network topology, network pl

13、anning and design solutions is given.This design mainly Cisco Packet Tracer software as the basis for enterprise network design, focuses on the network security, remote access using VPN technology; and adding WLAN, spanning tree, HRSP technology to solve the problem of equipment redundancy backup. L

14、ooking for the design is in the safety and efficiency of enterprise network design, develop new solutions.Keywords: Cisco Packet Tracer; network planning; network security design;exchangeII第一章 绪论1.1选题背景随着信息化进程的前进，许许多多的企业建立了自己的企业网络。特别是广大的大中型企业，由于组网规模适中、网络布局灵活、有限的资金成本及着眼未来的扩展等多种条件和要求下，慢慢形成了一些典型的企业组网方式

15、。随着互联网的发展和企业的扩大，企业网的组网要求不再局限于数据传输、信息共享，而是要更加的注重企业网络的信息安全。本文正是以构建一个更可靠、更高速、更方便以及更安全的网络和业务管理为出发点，探讨并模拟出可行的解决方案。1.2选题的目的和意义统一、可靠、安全的企业网络信息系统能在企业内实现资源的高度共享，提高工作效率和管理水平，提供数据传输、视频会议等多种信息通信业务，且拥有完善的企业网管理应用系统。建立完备的企业网络环境，是顺应时代发展的趋势，充分利用现代化技术来提高企业管理质量及实现办公的自动化，对企业在信息化时代的生存和发展具有不可或缺的意义。1.3可行性分析面对现代市场竞争，纯粹的手工管

16、理方式和手段已经不能够适应现代企业发展的需求。社会的进步、科技的发展要求企业必须更新落后的管理体制、管理方法和管理手段，建立现代企业应有的形象，建立适合本企业的自动化管理信息系统，促使管理水平的提高，经济和社会效益的增加。实现企业现代化管理和办公自动化，能够为整个企业带来高效畅通的信息高速通道和企业公共服务环境，既能够为各部门提供先进的信息服务和生产环境，又能提高各部门的办公效率和综合管理水平，更能改变传统的管理思路和方式，提升管理人员和工作人员的素质，大大提高企业人员的工作效率。从企业管理和业务发展的角度看，通过网络资源的公用来改善企业之间、企业和客户间的信息交流方式，使企业能够迅速掌握瞬息

17、万变的市场信息；再者，随着办公自动化水平的提高，能够大大促进工作效率的同时减低企业管理成本的支出，提高企业的竞争力；最后，企业内部网络的建立，还能够方便各方面的沟通交流，集中管理，加强企业资源分配的最优化。因此，建立一个统一、可靠和安全的网络信息系统是非常必要的。1.4基本思路根据对选题的背景、目的、意义和可行性分析，总结有如下设计思路：选择适合的网络层次模型来规划企业网络框架；采用合理的策略，确保各业务的性能发挥，增强企业数据的保密性；设置网络设备的冗余备份，确保企业网络不间断运作，充分发挥企业网络的优势，确保企业的正常运作；最后是选用合适的网管方式，控制维护整个网络。1.5仿真实验平台本文

18、所涉及的网络构建、模拟、测试等软件平台如下：操作系统平台：Microsoft Windows 7网络仿真软件：Cisco Packet Tracer 第二章 企业建网涉及的主要网络技术介绍2.1园区网络技术企业园区定义了企业复合网络模型的一个功能区域，它包括以下企业复合模块：园区基础设施、网络管理、边缘分布。其中园区基础设施模块包括建筑拉入、建筑物布和园区主干了模块。建立一个完整的园区网络需要涉及到路由、交换与远程访问技术。它们是现代计算机网络领域中三大支撑技术体系。2.1.1路由技术路由协议工作在OSI参考模型的第三层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选

19、择最佳路径的能力，除了可以完成主要的路由任务，利用访问控制列表（Access Control List，ACL），路由器还可以用来完成路由器为中心的流量控制和过滤功能。在本组网方案中，内网用户不仅通过路由接入Internet、内网用户之间也通过三层交换机上的路由功能进行数据包交换。2.1.2交换技术传统意义上的数据交换发生在OSI模型的第二层，现在交换技术还实现了第三层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了园区网数据交换服务质量，满足了不同类型网络应用程序的需要。（1）VLAN现代交换网络还引入了虚拟局域网（Virtual Local Area Netw

20、ork，VLAN）的概念。VLAN技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LAN-VLAN，在每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内VLAN的主要特性有限制广播域，将广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。增强局域网的安全性，不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。VLAN是在数据链

21、路层的，划分子网是在网络层的，所以不同子网之间VLAN即使是同名也不可以相互通信。（2）VLAN划分VLAN的划分可以依据不同原则，一般以下三种划分方法：基于端口的VLAN划分，是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法，该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。基于MAC地址的VLAN划分，网络管理员可以按MAC地址把一些站点划分为一个逻辑子网。MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是唯一且固化在网卡上的，MAC地址由12位16进制数表示，前6位为网卡的厂商标识（OUI），后6位为网卡的标识（N

22、IC）。基于路由的VLAN划分，该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。路由协议工作在网络层，相应的工作设备有路由和路由交换机（却三层交换机），（3）VTP当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（Vlan Trunking Protocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN，然后通过VTP协议将VLAN定义传播到本征管理域中的所有交换机上，这样，大大减轻了网络管理人员的工作负担和工作强度。VTP（Vlan Trunking Protocol）：是VLAN中继协议，也被称为虚拟局域网干道协议。它是一个OSI参考模型

23、第二层的通信协议，主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名，在一台VTP Server上配置一个新的VLAN时，该VLAN的配置信息将自动传播到本域内的其他所有交换机，这些交换机会自动地接收这些配置信息，使其VLAN的配置与VTP Server保持一致，从而减少在钓鱼台设备上配置同一个VLAN信息的工作量，而且保持了VLAN配置的统一性。VTP通过网络（ISL帧或cisco私有DTP帧）保持VLAN配置统一性，VTP在系统级管理增加、删除，调整的VLAN，自动地将信息向网络中其它的交换机广播，此外，VTP减小了那些可能导致安全问题的配置，使用BTP便于管理，只要在VTP

24、 Server做相应设备，VTP Client会自动学习VTP Server上的VLAN信息。VTP有三种工作模式：VTP Server、VTP Client和VTP Transparent，如下图所示，一般，一个VTP域内的整个网络只设一个VTP Server，VTP Server维护该VTP域中所有VLAN信息列表，VTP Server要吧建立、删除或修改VLAN，VTP Client虽然也维护所有VLAN信息列表，但其VLAN的配置信息是从VTP Server学到的，VTP Client不能建立、删除或修改VLAN，VTP Transparent相当于是-上独立的交换机，它不参与VTP工

25、作，不从VTP Server学习VLAN的配置信息，而只拥有本设备上自己维护的VLAN信息。VTP Transparent可以建立、删除和修改本机上的VLAN信息，所下图2.1所示：图2.1 VTP模式（4）生成树协议企业网络首要关心的就是高可用性，它在很大程度上依赖于处理业务的多层交换网络，确保高可用性的方法之一就是在整个网络中提供设备、模块和链路的冗余，但是，第二层的网络冗余可能传导致潜在的桥接环路，数据包将在设备之间无休止地循环，进而破坏网络的正常工作能力。STP能够识别并防止这种第二层环路，STP使用根网桥、要端口和指定端口等概念建立网络的无环路径。STP能够克服冗余网络中透明度桥接的

26、问题，通过采用无环路径，STP能够避免和消除网络中的环路，STP可以通过判断网络中存在环路的地方并阻断冗余链路，从而达到上述目的，确保到每个目标都只有一条路径，所以永远不会产生环路，如果发生某条链路失效情况，那么网桥就会将接口从阻塞状态过渡到转发状态。为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换的部署是分层进行的，园区网数据交换设备可以划分为三个层次：接入层、分布层、核心层。接入层为所有的终端用户提供一个接入点；分布层除了将接入层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能；核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。2.1.3远程访

27、问技术远程访问也是园区网络必须提供的服务之一，它可以为家庭办公用户和出差在外的员工提供移动接入服务。VPN（Virtual Private Network）即虚拟专用网是在公共网络上建立的专用网络，但其任意2个结点间的连接并没有传统专用网络所需的点到点的物理链路，而是架构在公共网络（Internet）服务商（ISP）所提供网络平台上的逻辑网络，用户数据通过ISP在公共网络中建立的逻辑隧道（Tunnel），即点到点的虚拟专线进行传输，通过加密技术和认证技术，确保企业内部网络数据在公共网络上安全传输，真正实现网络数据的专有性。VPN远程接入方式最适用于企业经常有人员出差需实现远程办公的情况，出差员

28、工利用当地ISP提供的上网服务，即可与企业VPN网关建立私有隧道连接。VPN远程接入方式有以下主要优势：简化网络：只需要接入1台VPN网关设备，即可解决几十到几千人的远程接入问题。节省费用：利用本地拨号接入取代远距离接入或800电话接入，显著降低长途通信费用，减少了用于购置调制解调器和终端服务设备的费用。支持多种标准认证机制如LDAP、RADIUS等。多接接入方式：无论用户采用那种方式访问互联网，均可建立VPN连接；自由选择规模：无论企业大小，VPN都有相对应的产品，用户数可为55000个；具有高可用性：对于接入用户较多的企业，VPN支持远程接入的高可用模式，保障用户服务的连贯性。Easy V

29、PN是CISCO的一种特征,它允许使用CISCO VPN客户端软件一类实施IPSec远程访问设备。由于可以使用CISCO路由器或者PIX来配置Easy VPN服务器，而不需要另外增加其他设备，对于已经拥有一台大容量的边缘路由，而且仅需要少量的远程访问用户的企业来说，这无疑在保证了远程访问的高安全性的前提下，可以在成本控制上有更大的优势。2.1.4热备份路由协议（HSRP）随着Internet的日益普及，人们对网络的依赖性也越来越强，这同时对网络的稳定性提出了更高的要求，人们自然想到了基于设备的备份结构，就像在服务器中为提高数据的安全性而采用双硬盘结构一样，路由器是整个网络的核心和心脏，如果路由

30、器发生致命性的故障，将导致本地网络的瘫痪，如果是骨干路由器，影响的范围将更大，所造成的损失也是难以估计的，因此，对路由器采用热备份是提高网络可靠性的必然选择，在一个路由器完全不能工作的情况下，它的全部功能便被系统中的另一个备份路由器完全接管，直至出现问题的路由器恢复正常，这就是热备份路由协议（Hot Standby Router Protocal），HSRP RFC2281技术要解决的问题，如下图2.2所示：图2.2 HSRP热备热备份路由器协议（HSRP）是思科私有的协议，它的设计目标是支持特定情况下IP流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情

31、形下仍能维护路由器间的连通性，负责转发数据包的路由器称之为主动路由器（Active Router）。一旦主动路由器出现故障，HSRP将激活备份路由器（Standby Routers）取代主动路由器，HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的IP地址作为网络系统的缺省网关地址。如果主动路由器出现故障，备份路由器（Standby Routers）承接主动路由器的所有任务，并且不会导致主机连通中断现象。2.2本章小结本章介绍了Cisco对中小型企业的架构、对中小型企业复合网络模型建设；还介绍了当今组建中小型企业园区网络的主要技术，包括了路由技术、交换技术、VLAN

32、技术、远程访问技术及冗余热备份技术等，这些都是在组建一个高可用性企业网络中必须涉及的相关技术第三章 企业网络总体设计方案3.1总体需求分析企业网络的总体需求即是一个统一、可靠和安全的自动化办公硬件平台系统。这个企业网络系统必须满足如下几点：满足现代企业管理的统一，设计网络系统时增加对统一管理的要求；满足现代企业自动化办公对网络带宽的苛刻需求，提供高性能的网络处理能力；满足现代企业部门多，资源分配有限的现状，合理规划网络层次，实现最优的资源共享；满足现代企业的发展及科技进步的需要，提供拓展能力强、升级灵活的网络环境；满足现代企业对信息资源的共享与安全，提供完善的网络安全解决方案；满足现代企业对办

33、公效率及成本控制的需求，增加一套高效的网络应用解决方案。3.2具体需求3.2.1信息流分析 在该企业网中发生的信息流主要包括二个部分：管理过程信息流和Internet信息流；管理过程信息流包括：各种生产控制管理信息流和行政办公信息流；各种生产控制管理信息流通过在企业园区网上运行的综合信息管理及业务系统，包括企业的生产管理和日常的管理实现办公自动化，如企业ERP系统管理、OA流程管理和人事管理、财务管理、固定资产管理等，同时可在网上进行信息发布； Internet信息流主要建立在宽带、结构简化、综合业务应用齐全的IP基础网上或企业园区DMZ区域网上，提供企业园区网或广域网资源信息的传递和共享。此

34、类数据流为载有语音、数据和视频信息的IP流。3.2.2业务需求数据处理及通讯能力强，响应速度快，网络运行安全、可靠性高，即使发生攻击行为，保证可追溯、可跟踪，系统易扩充，易管理，便于用户的增加，主干网支持多媒体、群体、图象接口应用，支持高性能数据库软件包的持续增长；系统开放性、互连性好；局域网既能方便远程用户的拨号接入，又能满足特殊用户高效地连入广域网，使用灵活；具有很强的分布式数据处理能力。3.2.3外部需求外部需求应包括以下几个：Internet访问、远程访问、电子邮件、以多媒体方式介绍企业、讨论和交流、WEB信息发布及FTP文件共享，各项均可通过相应的网络信息平台实现。企业的网络化建设必

35、然会对企业的信息化建设起到巨大的推动作用，同时提供简单、有效、便捷的理想办公、管理及生产环境。3.2.4网络需求分析根据该企业应用需求进行分析，最终决定采用以下网络部署方案解决该企业的各项需求：将各个部门划分在不同的VLAN，包括服务器群和管理VLAN一共需要7个VLAN； 将WEB服务、邮件服务器、FTP服务器及业务应用系统服务器直接与核心交换机CISCO 4501连接，置于管理机房，方便管理，同时配置ACL控制各部门访问权限并阻止外网访问；在路由器上配置Easy VPN，用以实现出差工作人员及在家办公人员远程访问企业内部资源及数据交换；为实现网络的冗余设计，在核心层部署时，用两台三层交换机

36、实现HSRP功能。3.3网络拓扑设计本设计中用的到的设备采用Cisco公司的网络设备构建。全部网络设备使用同一厂商设备的主要原因是在于可以实现各种不同网络设备功能的兼容以及互相配合和补充。设计的网络拓扑设计图如图3.1所示。图3.1 网络拓扑设计图在图3.1的拓扑中其园区主干没有十分明确的三层设计区分，在功能配置基本上是紧缩到一层中去（即Core Switch所在层）出于可扩展性、一次性投资成本、网络的传输性能及长远规划等方面因素考虑，前期先采用堆叠模式即可满足所有用户的接入问题，当用户增加到一定的数量之后，出于交换机堆叠数量的限制，可以选择增加多一台建筑物分布子模块来做汇聚的交换设备，这样一

37、样可以做到后续有很强的扩展性。以这个设计方案而言，因为能提供交换机和链路冗余，所在园区主干子模块不包含任何的单点故障。它采用了星形拓朴结构，它相对其他拓朴结构来说，星形拓朴将用户接入网络时具有更大的灵活性。当系统不断发展或系统发生重大变化时，这种优点将变得更加突出。在接入层，交换机通过生成树提供第二层冗余。此交换机仅有缺点就是最高只能32Gbit/s交换阵列，并且最多只能支持48个快速以太网端口，但是这对于资金有限的中小型企业网来说已经满足需求了。在核心层采用三层交换机部署，可以增加网络扩展性，提高性能及可用性，增强网络安全性。在该设计中，利用快速以太网通道化/千兆以太网通道化技术扩展网络带宽

38、，可以满足内部网络的大负荷网络运行需求。3.4 IP编址方案及VLAN划分VLAN（Virtual Local Area Network）的中文名为“虚拟局域网” 通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。一个合适的园区网，就需要一个合理的交换机网络，本设计中应用VLAN划分不同区域。在本设计中，整个企业网中VLAN及IP编址方案如下表3.1所示。表3.1 VLAN及IP编址方案VLAN号名称IP网段默认网关说明VLAN10部门单位1Units1192.168.10.0/24192.168.10.1允许访问服务器群网段、外网禁止部门间互访VLA

39、N20部门单位2Units2192.168.20.0/24192.168.20.1允许访问服务器群网段、外网禁止部门间互访VLAN30部门单位3Units3192.168.30.0/24192.168.30.1允许访问服务器群网段、外网禁止部门间互访VLAN22网管部门NetMag192.168.22.0/24192.168.22.1允许（发起）访问公司个VLAN、外网VLAN40部门单位4Units4192.168.40.0/24192.168.40.1允许访问服务器群网段、外网禁止部门间互访VLAN60服务器群Servers192.168.60.0/24192.168.60.1不允许主动发

40、起连接，除email/FTP服3.5核心层设计及设备选型3.5.1园区主干交换机企业网是各种应用的统一通信平台，园区主干设备应有一定的冗余度，这种冗余包括有设备级及物理线路等方面，数据链路层、网络层以及应用层的容错能力。企业园物理结构分为三层：核心层、汇聚层、接入层。园区主干网中心节点配置核心路由交换机，该交换机上配置第三层交换模块和网络监控模块，因此本次方案设计采用Catalyst 3560交换机以保证建筑楼信息点对交换机端口密度的要求和网络性能与可靠性的要求。园区主干网核心层交换机和汇聚层交换机采用1000Mbps连接。3.5.2出口路由器在此方案中，考虑该企业Internet出口路由器的

41、配置，采用一台CISCO2811路由器，因为CISCO 2811系列是模块化设备，提供了更多的槽和更高的处理能力，它的用途是支持大型分支机构中的复杂应用，或作为中心路由器为多个远程站点提供连接，它的网络模块最高可支持OC-3的速度，且对大多数企业具有丰富的可提高扩展能力。3.5.3服务器群组服务器是网络服务器用量最大的地方。服务器的选择标准很大程度上取决于中心客户的类型和应用种类。就大部分中小型企业应用而言，Web、ERP应用和数据库应用仍然占整个数据中心的各类应用的主要部分。因此对服务器的网络响应能力在很大程度上体现了服务器的硬件体系结构设计的合理性、CPU或CPU组（SMP）对操作系统的进

42、程或线程的分配能力以及磁盘I/O的性能。以及可行性与稳定性，同时散热、功耗和易安装性也是重点考察和评价的对象。基于以上考虑，所选的服务器必须具有高可靠性，I/O吞吐能力强，数据处理快，可扩展性和可管理性良好的特点。3.6接入层设计及设备选型接入层选用Catalyst 2960可堆叠交换机作为用户的接入，这些交换机通常作为建筑物接入交换机而部署，能够提供固定的端口密度，并且具有与高端交换机相类似的特性，但其成本更低，但它们却支持非常多的高级交换特性，其中包括集成安全、NAC、高级Qos和弹性等；同时这些交换机具有固定的端口配置，具有24个或48个10/100BASE-T或10/100/1000B

43、ASE-T端口，以及双目标特以太网上行链路，既可以使用铜或光纤上行链路，也可以使用一个10/100/1000以太网端口和一个SFP吉比特以太网端口的组合。使用Catalyst 2960作为本方案设计的接入交换机，它支持全线速的二层交换，同时具备如下特性：（1）完备的安全智能控制策略：支持802.1x认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。（2）支持多种ACL访问控制策略：能够对用户访问网络资源的权限进行设置，保证网络的受控访问。（3）高可靠性：支持STP/RSTP生成树协议。（4）丰富的QOS策略：支持基于源MAC地址、目的MAC地址、源

44、IP地址、目的IP地址、端口，支持带宽控制功能。（5）好的扩展性：提供良好的堆叠功能，同时支持不同设备的混合堆叠，从而保证了网络的平滑升级和降低了扩建成本。3.7安全体系设计及设备选型企业网总体上分为企业内网和企业外网。企业内网主要包括研发楼局域网、生产车间局域网、办公自动化局域网等。企业外网主要指企业提供对外服务的服务器群、与电信的接入以及远程移动办公用户的接入等，认真分析可以总结出企业网面临着如下的安全威胁：各种操作系统以及应用系统自身的漏洞带来的安全威胁；Internet网络用户对企业网存在非法访问或恶意入侵的威胁；来自企业网内外的各种病毒的威胁，外部用户可能通过邮件以及文件传输等将病毒带入企业内网，内部职工可能由于使用盗版介质将病毒带入企业内；内部用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕