基于思科设备的中小型企业网络规划设计.docx

1、基于思科设备的中小型企业网络规划设计目 录中文摘要、关键词（3）1、概述（3）1.1课题的来源和背景（3）1.2课题目的及意义（4）1.3工程概况（4）2、需求分析（5）2.1目标需求（5）2.2用户需求（5）2.3网络需求（5）2.3.1系统和设备需求（5）2.3.2网络性能需求（5）2.3.3安全性需求（6）2.3.4可扩展性需求（6）2.4总体需求（6）3、网络系统详细设计（7）3.1指导原则和总体目标（7）3.2网络拓扑结构（7）3.3 IP地址规划与VLAN划分（8）3.3.1 IP地址规划（8）3.3.2 VLAN划分（9）3.3.3 IP与VLAN规划方案（10）3.4网络设计（

2、10）3.4.1核心层网络设计（10）3.4.2分布层网络设计（10）3.4.3接入层网络设计（11）3.5设备选型与配置（11）3.5.1路由器（11）3.5.2三层交换机（12）3.5.3二层交换机（13）3.6无线局域网（WLAN）（13）3.7虚拟专用网络（VPN）（14）4、网络安全（15）4.1常见的安全威胁（15）4.2网络安全轮（16）4.3常规防范技术（16）参考文献（17）英文摘要、关键词（18）基于思科设备的中小型企业网络规划设计信息技术学院计算机科学与技术专业指导教师 XXX作 者 XXX摘要：随着信息时代的来临，计算机网络的发展和普及，人们之间的联系愈发紧密，计算机在

3、社会各个领域的应用和影响早已渗透到了人们工作和生活的各个方面。信息化建设，尤其是作为国民经济信息化基础的企业信息化建设已成为企业发展的必由之路，组建一个属于自己的企业网络，已是势在必行。本文所研究构建的企业网主要是针对中小型企业，基于思科设备来进行规划设计的。思科企业复合网络模型ECNM采用接入层、分布层、核心层三层分层设计的同时，将网络分为企业园区、企业边缘、服务层提供商边缘几个功能组件，有助于网络结构设计清晰合理，也保证网络安全性。本企业网规划设计主要使用变长子网掩码VLSM进行IP编址，使用虚拟局域网VLAN分离控制网络数据流，虚拟专用网络VPN支持远程员工办公，同时支持无线接入技术，可

4、靠安全易于管理和维护。关键词：企业网 网络规划设计 思科设备1、概述1.1 课题的来源和背景在传统办公模式下，资源浪费、信息滞后、办公效率低下、经费居高不下等问题已日益突出，逐渐成为阻碍企业发展的主要因素。特别是随着信息时代的到来，信息化水平的不断提高，计算机与信息网络在企业发展经营中发挥着举足轻重的作用，提高企业竞争力、建立一个方便快捷安全的企业网络已迫在迫在眉睫。当前，基于Internet的经济几乎要求提供全天候客户服务，网络必须足够安全智能，能够随着不断变化的数据流负载而自我调整，维持一致的应用程序响应时间，仅仅将多个独立组件连接起来的简单组网方式已经不再可行。而随着计算机技术、网络技术

5、的发展和日益成熟，企业网络已成为现实，并拥有其具体的规划建构步骤和独特的网络结构模式，不但安全性时效性的到保证，而且易于管理、维护和扩充。1.2 课题目的及意义随着科技的进步与经济的繁荣，近年来企业信息化建设不断深入，企业的运作与计算机网络的联系越来越密不可分。企业网是为企业的通信、办公自动化、信息发布、经营管理等提供服务的重要基础设施，不但方便员工办公，提高了企业工作效率，也方便与客户的联系，加大了市场宣传面，增加了业务量，塑造了自己的品牌，提高了社会影响力和企业综合竞争能力。企业网由内部网和外联网共同组成，不但能够支持企业办公，随时随地为本地用户和远程用户提供应用程序和资源支持等多元化业务

6、，而且能够集中控制设备和各种类型的网络流量，保证了网络的性能和安全性。中小型企业的网络规划建构通常有成本低廉、规模小、结构简单等特点，网络的实用性、安全性、拓展性和易于管理维护是中小型企业网络规划设计的主要要求，组建一个符合企业需求的网络对现代化企业的生存发展具有极其重要的意义。本文的网络规划设计主要基于思科设备，通过采用思科企业复合网络模型（ECNM），变长子网掩码（VLSM）IP编址，虚拟局域网（VLAN），冗余和备用链路等技术，既保证了企业网络性能优良实时有效，企业信息安全可靠，又易于管理和维护，适应了企业不断发展的需要。1.3 工程概况企业总部公司有多个部门，100多个信息点分部在三个

7、楼层，楼内综合布线的垂直子系统采用多模光纤，每个楼层都具有一样的内部物理结构，配有一个设备间，且可以支持30到80个信息点。要求全部信息点可介入网络，且目前不用的信息点关闭，支持网络扩展以供企业未来可能的需求使用。本项目要求在企业内部建立稳定、高效的办公自动化网络，有自己的OA系统，支持来自Web服务、身份验证、电子邮件、语音邮件、视频会议、数据库交易处理、信息发布等各种应用程序的网络流量，保证所有员工都能通过网络接入Internet，提高员工的办公效率加快信息的传递。企业要有自己的专用服务器，方便员工访问公共文件资源，拥有自己的内部网和外联网，且不同的部门之间相互访问要有限制条件，以保证企业

8、信息资源的安全可靠。此外，企业网支持无线接入，通过采用VPN技术，支持员工远程办公。2、需求分析2.1 目标需求企业：优化管理制度，提高工作效率，实现资源的合理分配，节约不必要开支；提升企业知名度，塑造自己的品牌，加大市场宣传面，增加业务量，提高社会影响力和企业综合竞争能力。员工：应用方便快捷，提高工作效率，保证资源和信息的获取，及时的通信联络。2.2 用户需求用户的需求是企业网存在和发展的基础，通过与企业网用户的交流我们可以发现，用户需求主要包括可靠性、可用性、及时性、安全性和可扩展性等几个方面。基于Internet的经济通常要求提供全天候、及时有效的客户服务，又由于网络的开放性，方便快捷的

9、同时也要保证企业资源和信息的安全，此外，要考虑到企业三到五年内计划聘用人数、业务规模扩大、网络流量增长等企业发展的需要。从具体应用方面来讲，主要有以下几项业务：1) 文件共享，办公自动化，文件数据的统一存储，身份验证；2) Internet访问，www服务，电子邮件服务，企业信息发布；3) 视频会议，远程办公。2.3 网络需求2.3.1 系统和设备需求配置简单方便，运行稳定可靠，保证标准型和兼容性，易于管理和维护，方便发展扩充，技术上要有先进性，具有良好的性价比。2.3.2 网络性能需求根据企业具体应用分析，网络应设有流量管理机制，冗余、备用链路技术和多线路策略以保证网络性能。保证250台客户

10、机可同时上网，每台客户机达到10/100M速率，工作状态良好，网络运行正常，可快速浏览、上传和下载资源信息。同时考虑到实时性，根据易扩充性原则，采用“千兆到楼宇，百兆到部门”，主干采用光纤传输。企业网规划设计不仅要考虑到物理方面因素，还应做到逻辑上清晰明了，简单易懂，方便网络的管理和维护。2.3.3 安全性需求设置基于端口的访问控制，防止对重要信息点的访问，控制信息流向，增强网络安全。同时在公司内部，保证各部门之间访问限制权限，应支持VLAN划分，并能在VLAN之间进行第三层交换式进行安全控制；员工出差或者在家办公时，可运用VPN技术保证与企业的安全通信，保证连接和数据包传输安全。企业与客户通

11、信，通过广域网技术连接到Internet时应建立防火墙，并在防火墙内部放置自己的文件服务器，供公司内部人员访问，客户只可在DMZ（非军事区）访问WEB、FTP、E-mail数据服务器。2.3.4 可扩展性需求网络的可扩展性主要有以下几个方面：1设备端口易扩展，采用的设备具有标准化接口；2网络结构易扩展，新的结点可以方便快捷的加入已有网络；3网络协议易扩展。企业网的规划设计应做到，确保公司新部门能够简单接入到现有网络，并安全有效的运行；不会因为业务规模和网络流量的增长影响到企业网性能；企业网能够随着技术水平的发展不断升级。2.4 总体需求企业占据3个楼层，有100多个信息点，财务部、销售部、生产

12、部、研发部、人事部5个部门，各部门之间相互访问受到权限限制，需要使用VLAN技术进行隔离规划。整个大楼主干采用光纤布线，各楼层内部物理结构相同，配有一个设备间。企业主要信息点分布如下：表2-1 主要信息点分布部门信息点位置备注财务部101层保证速度、流量和安全性销售部1251层保证速度和可靠性销售部2152层保证速度和可靠性生产部502层保证速度、流量和可靠性研发部203层保证速度、流量和安全性人事部103层保证速度、流量和安全性3、网络系统详细设计3.1 指导原则和总体目标大多数企业实际对网络的需求仅仅是能够全天候安全可靠的工作，且易于管理调整。我们在网络规划设计过程中应该遵循的主要原则有经

13、济性原则、可用性原则、开放性和标准化原则、安全原则、易于管理维护原则、可扩展性原则、QoS（服务质量）原则。总的来说，网络规划设计主要有四个基本目标：1.可用性，即保证能够提供全天候一致可靠的服务，使用方便简单；2.安全性，在最初网络设计开始就应该考虑，包括安全设备、过滤器和防火墙等的部署；3.易于管理，网络结构清晰明了，方便管理人员维护支持；4.可扩展性，能够支持新的工作组、新的应用程序和远程站点，且不影响为现有用户服务。3.2 网络拓扑结构在此次所研究的中小型企业网络规划设计中，主要采用三层分层模型来设计网络拓扑结构。这种层次化的模型将网络功能分为层次分明的三层：接入层、分布层、核心层，每

14、层的设计都适合发挥其独特的功能，既能够应用于局域网的设计，也能够应用于广域网的设计。相对于平面网络设计，层次型网络有很多优点：1) 易于理解和管理。层次化设计将平面网络分为易于管理的小型模块，使网络结构清晰明了，可以在不同层次实施不同难度的管理，降低了对专业技术人员的要求和管理维护代价、成本。2) 易于扩展和排错。层次化设计中，模块化所具有的特性使得网络足够灵活，在网络扩展时可以将网络的复杂性限制在具体层次模块，不会蔓延影响到网络中的其它地方，而在平面设计和网状设计中，任何一个节点的变动都将对网络产生很大的影响。又由于层次化设计使得网络拓扑结构清晰简单，易于理解，网络管理员能够轻易确定网络故障

15、范围，简化了排错过程。3) 安全可用性。层次化模型能够控制广播过滤不必要的数据流，本地数据将留在本地，只有前往其他网络的数据流才进入更高层，每层互不影响保证了安全可用性。且不同于平面网络，随着设备和应用程序的增多，响应时间将逐渐，最终导致网络不可用。4) 节省成本。采用层次化模型后，各层各司其职，网络中每一层都能够保证宽带的利用率，减少了对系统资源的浪费。网络拓扑结构图如图所示：图3-1 网络拓扑结构图3.3 IP地址规划与VLAN划分3.3.1 IP地址规划IP地址是网络的基础，合理的IP地址规划方案不仅可以减少网络负荷，还能为以后网络扩展打下良好的基础。在IP地址设计和分配时，主要遵循以下

16、几个原则：自治、有序、可持续性、可聚合、尽量节约IPv4地址、闲置IP地址回收利用。企业网规模一般较大，适合使用分层网络编址，有效的分层编址结构将核心层有类网络地址逻辑性地划分为分布层和接入层使用的更小子网。采用分层地址结构可以优化网络性能，保证网络安全，简化网络管理和故障排除工作，提升可扩展性和路由性能。要通过子网划分来创建分层设计，关键是对子网掩码的结构有着清晰地了解，在分层网络编址中，我们使用变长子网掩码（VLSM）制定子网划分方案。VLSM不仅能够更有效地利用IP地址空间，还可以让路由器能够在除分类网络边界外的其他地方汇总路由。在IP编址方案中使用变长子网掩码（VLSM）时，必须使用支

17、持无类域间路由选择（CIDR）的路由选择协议，主要有RIPv2、EIGRP、OSPF。这些协议在路由选择更新数据包中发送前缀长度和路由信息，让路由器无需使用默认掩码便可确定地址的网络部分。3.3.2 VLAN划分连接到第二层交换机的主机和服务器处于同一网段，每台设备都能够与该交换机上的所有其他设备相互转发和接收帧，交换机也会向所有端口泛洪广播，占用大量带宽，并且随着连接到交换机上的设备不断增多，生成广播流量也随之上升，浪费更多带宽。规划设计网络时，最好的办法是将广播流量限制在仅需要该广播的网络区域中，而在企业网中，处于业务和安全性考虑，有的主机需要相互访问，有的主机相互访问则需要权限不能这样配

18、置，比如财务部的服务器就不能由其他部门主机访问。在交换网络中，可以通过创建虚拟局域网（VLAN）来按照需要将广播限制在特定区域并将主机分组。虚拟局域网（VLAN）是一种在二层设备上隔离和划分广播域的技术，通过这种技术，可以把物理位置上分离的网络设备在逻辑上划分为同一个广播域，或者把物理位置上相邻的设备划分到不同广播域。总的来说，VLAN是一种逻辑广播域，可以跨越多个物理LAN网段，可以突破共享网络中地理位置的限制，完全按照逻辑功能、项目组和应用程序来分组工作站，根据管理功能来划分网络。在同一个VLAN网段中，不论网络设备实际与哪个交换机相连，它们之间的通讯就好像处于独立的集线器上一样。通过将企

19、业网络划分为VLAN网段，不但可以使网络管理简单直观，还可以控制广播风暴，减少带宽浪费优化网络性能，提高网络整体的利用率和安全性。从技术上说，VLAN可以分为静态VLAN和动态VLAN。静态VLAN是基于交换机接口进行划分的，要求管理员手动将每个交换机端口指定给特定的VLAN，根据网络设备连接不同的交换机端口，则进入相应的VLAN。此类VLAN成员资格指派方法配置最为简单常用，但管理过程中成员的添加、移动或更改完全需要手动配置，较为繁琐。VLAN成员身份对用户而言完全透明。动态VLAN成员资格需要VLAN管理策略服务器（VMPS），VMPS中的数据库可以根据接入计算机的IP地址，MAC地址等，

20、做出相应处理，映射到相应VLAN。相对于静态VLAN，动态VLAN成员资格需要的配置和组织性工作更多，创建结构也更为灵活，管理过程中成员的添加、移动或更改都可自动实现，无需管理员干预。需要注意的是，并非所有Catalyst交换机都支持VMPS。3.3.3 IP与VLAN规划方案综上所述，该中小型企业网络IP地址和VLAN规划如下：表3-1 IP地址与VLAN规划方案部门VLAN IDVLAN名网关地址网段地址财务部2finance192.168.0.161192.168.0.160/28销售部3sales192.168.0.65192.168.0.64/26生产部4product192.168

21、.0.1192.168.0.0/26研发部5research192.168.0.129192.168.0.128/27人事部6personal192.168.0.177192.168.0.176/283.4网络设计3.4.1 核心层网络设计核心层是网络主干层，在彼此分散的终端设备之间充当高速桥梁的作用，设计的重点是冗余能力、可靠性和高速的传输。在企业网中，核心层可能连接整个园区，多栋大楼或多个站点，还可能连接服务器群。核心层通常提供一条或多条连接到企业边缘设备的链路，用以接入到Internet、外联网、WAN和虚拟专用网（VPN）。核心层一般使用高速聚合链路，融路由选择和交换功能于一身的路由器

22、或多层交换机，扩展性良好且聚合速度快的路由选择协议，如内部网关路由选择协议（EIGRP）和开放最短路径优先（OSPF）协议，同时提供冗余和备用链路。而在中小型企业网络规划设计中，有时出于经费和管理人员的考虑，可以忽略冗余链路的设计。核心层的设计使得网络能够在的不同部分之间高效、快速地传输数据，最大限度地提高吞吐量，且在发生故障时，网络设备能够找到替代路径来发送数据，保证网络安全可靠，负载均衡。3.4.2 分布层网络设计分布层是核心层与接入层之间的通信点，用于在各个本地网络之间转发流量，主要完成企业办公楼宇和相关部门内接入交换机的汇聚及数据交换和VLAN终结，它与路由选择、过滤相关联，必须满足其

23、他两层的需求。分布层的设计应支持QoS，且能提供足够大的带宽。分布层是由第三层设备组建的，其路由器或多层交换机提供了诸多功能：过滤和管理数据流、实施访问控制策略、向核心层通告路由前对路由进行汇总、防止接入层故障或中断影响核心层、在接入层VLAN之间进行路由选择。分布层的路由汇总（又叫路由聚合或超网化）可手工或自动完成，使用RIPv2、EIGRP、OSPF等无类路由选择协议支持在任何边界根据子网地址进行汇总，而RIPv1等分类路由选择协议则只支持在分类网络边界自动汇总路由。通过分布层的设计，为分隔的本地网络提供连接点，确保了在相同本地网络中主机间的流量留在本地，让到另一网络的流量通过，同时设置流

24、量管理，使用访问控制列表（ACL）来限制访问及禁止不希望的数据流进入核心网络，保证了企业网的性能和安全。3.4.3 接入层网络设计接入层是连接终端设备的网络边缘，为用户提供连接功能，用于控制用户对网络资源的访问，规划设计时必须让生成的数据流能够方便地前往其它网段或其它层。由于接入层设备是与用户直接相连的设备，所以本层的网络设备应具有即插即用、易于维护的特点。企业网基础设施的接入层使用第二层设备来提供网络接入，既可以接入永久性有限基础设施，又可以接入无线接入点，规划设计接入层时要注意考虑设备的物理位置。此外，接入层设计是网络规划的基础，要充分考虑到安全防御控制，以免给分布层和核心层设备带来巨大压

25、力。一般的接入层交换机，都拥有简单的QoS保证、安全机制、支持网管策略、支持链路聚合、生成树协议和VLAN等功能，要经过仔细分析对比，选择合适设备。3.5设备选型与配置3.5.1 路由器1) 选型：Cisco 2811Cisco 2811隶属于Cisco2800系列产品具有先进、集成的端到端安全性，以用于提供融合服务和应用，与其他价位相似的思科路由器相比，性能提高了5倍，安全性和话音性提高了10倍，且具有全新的内嵌服务选项，大大提高了插槽性和密度，并支持多种模块。Cisco 2811路由器采用模块化端口结构，传输速率为 10/100Mbps ，拥有2个固定局域网接口10/100Mbps，1个1

26、0/100Mbps固定广域网接口，支持多种接口卡插槽，同时配有256MB的Flash闪存和最大760MB的DRAM内存，极大的提高了该产品的安全性能。Cisco 2811支持IEEE 802.3X网络协议以及SNMP网管协议，同时还配备Cisco ClickStart网管软件，支持 VPN技术，以及QoS，协议方面支持比较完善。安全方面，内置了防火墙，并凭借Cisco IOS软件高级安全特性集，它在一个解决方案集中提供了如思科IOS Software Firewall、入侵保护、IPSec VPN和简单网络管理协议（SNMPv3）等一系列强大的通用安全特性，为企业用户提供更安全的网络服务。2)

27、 配置表3-2 路由器IP地址规划路由接口IP地址三层交换机路由接口172.16.1.1/30f 0/0172.16.1.2/30f 0/1192.168.1.1/24三层交换机配置：Switch(config)#ip routingSwitch(config)#int f0/4Switch(config-if)#no switchportSwitch(config-if)#ip address 172.16.1.1 255.255.255.252Switch(config-if)#no shut路由器IP配置：Router(config)#int f0/0Router(config-if)#

28、ip address 172.16.1.2 255.255.255.252Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.13.5.2 三层交换机1) 选型：Cisco Catalyst 3550在选择交换机时，首先要考虑性能方面要求，满足RFC2544建议的基本标准，即吞吐量、时延、丢包率外。然后随着网络的发展，用户业务的增加和应用的深入，还要考虑一些额外的指标，如MAC地址数、ACL数目、LSP容量、支持VPN数量等。最后，三层交换机还要考虑路由表容量。Cisco Catalyst 3550系列智能化以太网交换机是一个新型的、可堆叠的、多层

29、企业级交换机系列，可以提供高水平的可用性、可扩展性、安全性和控制能力，从而提高网络的运行效率。Catalyst 3550系列交换机具有多种快速以太网和千兆以太网配置的特点，它既可以作为一个功能强大的接入层交换机，用于中型企业的布线室；也可以作为一个骨干网交换机，用于中型网络。Cisco Catalyst 3500系列交换机使用户在整个网络中部署智能化的服务，主要有智能的服务质量（QoS），速度限制，Cisco安全访问控制列表，多播管理和高性能的IP路由同时保持了传统LAN交换的简便性。此外，Catalyst 3550系列中内嵌了Cisco集群管理套件（CMS）软件，该软件使用户可以利用一个标准的Web浏览器同时配置和诊断多个Catalyst桌面交换机并为其排除故障。Cisco CMS软件提供了新的配置向导，它可以大幅度简化整合式应用和网络级服务的部署。2) 配置Switch(config)#vlan 2 /创建VLANSwitch(config-vlan)#name financeSwitch(config)#int rang f0/1-3 /接口trunk配置Switch(config