中小型企业网络组建应用.docx

1、中小型企业网络组建应用摘 要21世纪计算机网络已经是人类生活当中不可缺少的一部分；互联网涉及到的很多方面；已经被越来越广泛地应用于政治、经济、军事、生产及科学技术的各个领域。目前我国企业尤其是中小型企业网络建设正在如火如荼的进行着，此方案采用了国际高端品牌cisco的网络设备，同时采用了当前重要的和使用广泛的网络体结构有OSI体系结构和TCP/IP体系结构。以先进，安全，实用，可扩展，灵活为原则进行设计，并规划出了交换机/路由器+各种应用服务器构架成的设计方案。本方案将以中小型企业内部局域网的组建需求、实际应用为出发点，从中小型企业局域网的业务需求和传统网络技术入手，设计适用于中小型企业的组网

2、方案，为客户营造一个一流的企业网络。关键词:中小型企业；网络；路由交换技术；局域网一、绪论在信息化快速推进的今天，中小企业网络作为网络化建设的一支主体力量，其市场前景得到越来越多的关注。企业网络技术的发展以及企业生存和发展需要促成了企业网的形成。信息技术所带来的一场革命将彻底改变我们的学习、生活和工作方式。全球信息化浪潮势不可挡，已经迅速延伸至国防、科研、经济、教育等各个领域，也不可避免地改变着传统的企业人事的工作模式，利用当前蓬勃发展的以计算机和网络为主导的现代信息技术则是企业实现现代化工作的必不可少的技术基础。在现今的网络建设中，企业网的建设是非常重要的，企业网内部各种不同业务的开展是企业

3、网发展迅速的最主要原因。从早期的企业网主要是简单的数据共享，简单数据库的共享到现在内部全方位的数据共享，从过去单一的企业到现在多个分支公司的全部互连，因而对网络的覆盖面要求越来越广。这一要求最早还只局限于各分支企业内部，现在则已是整个企业、整个行业，甚至整个Internet的共同要求为了适应网络经济的飞速发展，扩大企业经营的规模和范围，方便企业内部和企业之间的交流，节省办公开销，提高企业的管理水平，企业发展Intranet（企业内部网）已经是刻不容缓。现如今后如何应对瞬息万变、竞争激烈的国内外市场环境以及如何利用网络技术迅速提升企业核心竞争力就是成为企业成败的关键所在。二 、企业需求分析(一)

4、企业用户需求分析要求为员工提供安全的网络办公环境，实现不同业务部门之间的安全隔离，保障信息安全；要求易于用户管理、界面简单、逻辑清晰；要求网络提供足够的带宽，丰富的接口形式，满足用户对应用带宽的基本要求，要求紧急情况下公司业务的备份，以减少公司的损失；同时要求员工能获取信息，拓宽知识面；提高专业水平，随时得到领导指示；(二)企业网络需求分析本方案将设计主干网负责各个子网和应用服务的连接，网络协议采用TCP/IP协议，核心交换机采用三层交换机，能较好解决突发数据量和密集服务请求的实时响应问题，数据交换时交换引擎不会出现过载现象和数据包碰撞、丢失的现象，以及一些非人为的故障的相关补救措施。UPS电

5、源要保证网络中所有的服务器、交换机、路由器等设备的连续、正常地运转；同时要求内部网络中的病毒防范控制，不受外网的影响；对于数据也要求又相互备份互补的业务，以免在发生数据通讯故障的时候，网络设备能自行修复问题，保持网络的畅通性；(三)企业系统需求分析企业要求所有的客户端和服务器系统应该是易于配置和管理的，并保障客户端的方便使用；在系统的设计、实现及应用上应采用多种安全手段保障网络安全；系统的设计要求采用开放的技术和标准选择主流的操作系统及应用软件，系统的运行应具有高稳定性，保障每周七天全天24小时的高性能无故障运行；便于系统管理员在任何位置方便的对整个系统进行管理；系统设计应尽量降低整个系统的成

6、本；(四)企业设备需求分析根据公司的网络功能需求和实际的布线系统情况，企业要求楼层接入设备需要选择同一型号的设备；网络设备必须在技术上具有先进性、通用性，必须便于管理、维护，应该满足公司现有计算机设备的高速接入，应该具备良好的可扩展性、可升级性，保护用户的投资。同时还要求公司网络设备的高利用率，减少对网络设备无谓的支出；要求网络设备在满足功能与性能的基础上必须具有良好的性价比。网络设备应选择目前主流产品，同时设备厂商必须要有良好的市场形象与售后技术支持。 三、设计方案分析(一)局域网技术局域网是计算机网络的重要组成部分，是当今计算机网络技术应用与发展非常活跃的一个领域。也是一种小范围地域内的微

7、机组网。公司、企业、政府部门及住宅小区内的计算机都通过 LAN 连接起来，以达到资源共享、信息传递和数据通信的目的。(二)网络的体系结构网络通常按层或级的方式来组织，每一层都建立在它的下层之上。不同的网络，层的名字、数量、内容和功能都不尽相同。但是每一层的目的都是向它的上一层提供服务，对于这一点是相同的。层和协议的集合被称为网络体系结构。TCP/IP（Transmission Control Protocol/Internet Protocol,传输控制协议和互连网协议）缩写，TCP/IP体系结构是当前应用于Internet网络中的体系结构，它是由OSI结构演变来的，它没有表示层，只有应用层、

8、运输层，网际层和网络接口层。TCP/IP模型是至今为止发展最成功的通信模型，它用于构筑目前最大的、开放的互联网络系统InternetOSI是开放系统互连基本参考模型，OSI是Open System Interconnect的缩写，意为开放式系统互联。国际标准组织（国际标准化组织）制定了OSI模型。这个模型把网络通信的工作分为7层，分别是应用层、表示层、会话层、传输层、网络层、数据链路层和物理层。OSI体系结构与TCP/IP体系结构的对比(三)网络协议网络协议是为计算机网络中进行数据交换而建立的规则、标准或约定的集合。通信双方共同遵守的约定和规范，网络设备必须安装或设置各种网络协议之后才能完成数

9、据的传输和发送，在局域网上常用到的协议主要有，TCP/IP协议和UDP协议等。TCP/IP协议是目前在网络中应用得最广泛的协议。TCP/IP是一种分层协议，它共被分为个4层次，通过这些协议，可以高效和可靠地实现计算机系统之间的互连。(四)设计原则1、实用性实用性：性能指标能满足各项业务处理能力，企业组网的方案在接入层交换机将用MAC地址与端口的捆绑实现高效的用户控制。大大提高用户的利用率；2、安全性安全性：用路由策略技术和容错技术、核心层和接入层的链路冗余功能，提供全方位的安全管理系统内部网络之间、内网与外网之间的互联，利用路由器、杀毒软件等对访问进行控制，确保网络的安全；3、先进性先进性：采

10、用主流网络体系、运行系统和设备产品，我们设计的网络方案采用三层分布式结构。核心层选用了高性能的思科千兆路由器，负责路由管理、网络管理、网络服务、核心数据处理等。汇聚层采用思科Cisco Catalyst 3560-24三层交换机，提供高速无阻塞的链路到核心层，大大提升网络性能。接入层选用思科网络Cisco Catalyst 2960-24 ，充分满足用户的高速接入等。服务器设备操作系统采用window Server 2003操作系统；具有很好的稳定性和安全性。4、可扩展性可扩展性：网络的核心层采用模块化路由器Cisco 2811，汇聚层采用模块化交换机，按照需求灵活配置各种模块，做到既满足需求

11、，由留有余地。整个网络架构采用三层结构，使网络具有较好的伸缩性、可以根据网络建设的不同阶段灵活配置和扩展。5、开放性本次设计的中央集成管理系统将是一个完全开放性的系统，通过编制系统的接口软件将解决不同系统和产品间接口协议的“标准化”，以使他们之间具备“互操作性”。所有接口均基于标准的TCP/IP数据接口协议和内容。系统的开放性设计完全遵循国际主流标准以及工业标准。四、局域网规划设计方案(一)企业网整体拓扑结构图在本次设计方案中主要是对一个企业进行整体的网络设计。该公司分别设有市场部，客户部，工程部，软件开发部，行政部和服务器群。分别连接在三台二层交换机上。两台三层交换机为整个公司做热备份业务。

12、外网接口路由做内网外网的承接业务；整个网络系统的拓扑结构图如下所示：(二)VLAN及IP地址规划在一个中小型网络里，VLAN的划分是必不可少的步骤之一，也是必不可少的一部分；在本企业网设计中，整个企业网的VLAN及IP编址方案如下表所示：针对当前现状，IP地址资源紧缺，我们不可能也不应该为每一台工作站申请一个公有IP地址，而是公网接口申请一个或多个IP，内网是私有IP地址，这样不仅可以缓解IP地址不足的情况，而且也可以为企业建设一个企业网节约不少的开支，那这样且不是不能够访问Internet。为了让这些私有IP地址能够在公共Internet使用，我们必须对这样私有IP地址作NAT（networ

13、k address translation）即网络地址转换。Vlan及IP编址方案VLAN编号VLAN命名IP地址网段默认网关VLAN说明1Market192.168.2.0/24192.168.2.1市场部2Engineer192.168.3.0/24192.168.3.1工程部3Finance192.168.4.0/24192.168.4.1财务部4XZ192.168.5.0/24192.168.5.1行政楼5Server192.168.6.0/24192.168.6.1服务器群设备之间互联IP地址规划设备名称设备接口IP地址对端设备名称设备接口IP地址RT1S0/0/0172.16.1.

14、1/24RT2S0/0/0172.16.1.2RT2F0/0172.16.2.1/24Server2172.16.2.254/24RT2F0/1172.16.3.1/24外网主机172.16.3.254/24RT1F0/010.0.0.2/30SWAF0/2410.0.0.1/30RT1F0/120.0.0.2/30SWBF0/2420.0.0.1/30市场部PC192.168.2.254工程部PC192.168.3.254行政部PC192.168.4.254财务部PC192.168.5.254服务器群192.168.6.254SWALo:1.1.1.1SWBLo:2.2.2.2RT1Lo:3

15、.3.3.3(三)网络设备选型在确定了网络系统的设计方案后，需要进行网络设备选型。设备选型是网络工程中非常重要的一环，设备选型的好坏直接影响系统的实用性、稳定性、可靠性和系统的费用。其中要考虑到三方面：品牌选择，性能优先，最小开销。1、核心层网络采用CISCO WS-C3560-24G分布网络采用CISCO 3560 /24（配置1000M光电模块）Cisco 3560系列智能以太网交换机是一种新型的企业级可堆叠多层交换机系列，可通过高可用性、服务质量（QoS）和安全性来改进网络运行；Cisco 3560可提供高可用性、可扩展性、安全性和可改进网络运营的管理能力。Cisco 3560 图示：2

16、、接入层网络采用CISCO WS-C2960G-24（配置1000M光电模块）Cisco 2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强LAN服务。Cisco 2960系列在网络或城域接入边缘实现了智能服务。Cisco 2960 图示：3、外部访问网络采用CISCO 2811路由器Cisco 2811隶属于Cisco2800系列产品，与相似价位的前几代路由器相比，Cisco2800系列的性能提高了五倍、安全性和语音性能提高了十倍、具有全新内嵌服务选项，并且大大提高了插槽性能和密度。2811具有

17、先进、集成的端到端安全性，以用于提供融合服务和应用。Cisco 2811提供了2个10Mbps/100Mbps端口，它能以线速为多条T1/E1/xDSL连接提供多种高质量并发服务。Cisco 2811特别设计可满足中小型分支机构和中小型企业对于目前和未来应用日益提高的需求。将业界范围最广的连接选项与领先的可用性和可靠性特性相结合。Cisco 2811 路由器4、内部服务器设备相对于普通PC来说，服务器在稳定性、安全性、性能等方面都要求更高，所以，服务器应该具备速度高、存储容量大、吞吐能力强、性能可靠、扩展性强、连网和管理功能强等特点。就目前市场而言，一般拥有自己独立用户的中小企业，现目前都会有

18、自己的服务器；目前市场上几家想对实力较强的生产服务器的公司分别为IBM，戴尔，HP。考虑到此方案是针对中小企业。为了减少以最低的价格打造最高性价比的网络系统，本方案选择用HP的服务器作为公司内部网络服务器；HP ProLiant DL388p Gen8 (693524-AA1)服务器5、安全稳定因素考虑到企业用电的不稳定性，为了防止在突然断电的情况下能保证企业网络正常畅通。防止业务数据以及资料的丢失，服务器采用UPS不间断电源，可以保护服务器免受断电的困扰，达到服务器每周全天候不间断工作。(四)网络安全设计为了提高公司网络的安全性能；本设计方案提高设备的物理安全性；配置设备的口令进行VTP域的

19、认证；网用户的接入控制；应用系统的访问控制；因特网的接入安全控制。具体命令如下：Switch(config)#line vty 0 4 Switch(config-line)#password *1、提高设备的物理安全性设备的物理安全性是指运行中的设备，XX的人员不能直接接触到。也就是说设备要有独立管理机房并有专门专业的维护人员进行维护和管理；提高设备的物理安全性，是最基本的要求。2、配置设备的口令配置设备的口令，是防止非授权的人员更改网络系统的配置的重要手段。要为所有的设备设置口令。要为每一台设备配置Console口令，VTY口令，特权口令等。在口令方面，需要制定管理制度并严格执行。口令管理

20、制度包括口令的设置，保管，更改，口令的强度等内容。建议企业参照硬件设备的管理方式，交给专门专业的工程师进行管理，如需变更或删除，需领导批准；具体命令如下：Switch(config)#enable password * Switch(config)#enable secret *3、进行VTP域的认证进行VTP域的认证，能够保证局域网的VLAN等的安全。设置了口令之后，除非交换机设置了正确的口令，否则。新交换机不能自动加入到已存在的管理域中。保证了局域网的运行安全，可以避免因为VLAN被错误或者恶意的增加。从而提高了网络的安全性；具体命令如下：Switch#vlan database Swit

21、ch(vlan)# vtp mode server Switch(vlan)# vtp domain *Switch(vlan)# vtp password *Switch(vlan)# vlan vlan-id name vlan-nameSwitch(config)# interface fa 0/14、用户的控制接入严格控制用户的接入，可以避免非法用户接入带来的潜在的安全隐患。网系统建设验收完毕之后，确保交换机的所有用户端口处于关闭状态。只有用户使用申请通过批准之后网络管理员才能将端口激活。不会影响用户的使用并杜绝潜在安全隐患；5、 系统的访问限制可根据公司的应用需求，在汇聚层的多层交换

22、机上实施访问控制，限制园区网用户对特定应用系统的访问，或者只允许特定的用户访问某些资源。保证网络资源的有效利用的同时保护资源的安全；6、网络的接入安全控制从父目前网络发展趋势上看，我们可以预见未来的企业将要面对着很严重的网络安全威胁：特洛伊木马、病毒和蠕虫等等。与之同时，间谍软件的攻击也加快了蔓延速度。为了更好地控制企业网络拒绝不受欢迎的设备或者被感染恶意代码的设备访问，有效地控制访问网络资源的终端设备，加强企业内部安全控制，保护好企业的数据信息，是当前安全防护中必不可少的重要方面。所以因特网的接入安全控制是非常重要的，不仅需要布置防火墙等安全设备，还要指定严格的安全策略；五、路由交换部分的设

23、计为了使公司园区网高效、稳定的运行，便于管理与维护，对局域网交换和路由技术的相关方面进行了规范设计，包括VTP、VLAN、STP、Trunk、EtherChannel，HSRP，VPN等；(一)VLAN设计规范企业局域网采用三层网络架构设计，分为核心层、汇聚层、接入层等三个层次，企业主干网技术选择千兆以太网技术，对于VLAN的划分主要在接入层的端口上实施基于端口的VLAN划分；这是最为普遍、快捷、易于管理的划分方法；按照公司的实际情况对公司的局域网进行合理VLAN划分，可以减少网络内的广播数据包，杜绝广播风暴，增强网络的安全性能；提高公司网络运行效率，保证网络顺畅；易于维护和管理；可以区分不同

24、的应用和用户，方便集团的管理与维护；目前，我们所掌握的VLAN划分方法为以下几种：基于端口，基于MAC，基于协议，基于IP组播的VLAN，基于策略，用户自定义（非用户授权）；其中最为普遍的方法为基于端口划分VLAN的方法；另外一种是基于MAC地址的划分方法。1、基于端口的划分方法这种划分VLAN的方法是根据以太网交换机的端口来划分， IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。这种划分方法的优点是定义VLAN成员时非常简单，只要将所有的端口都只定义一下就可以了。2、基于MAC地址的划分方法这种方法划分VLAN，要求交换机对站点的MAC地址进行跟踪，在新站点入网时

25、需要把它添加到相应的VLAN中。以后无论这个站点怎么移动。只要MAC地址不变就无需对它进行重新配置。3、基于网络协议的划分VLAN按网络层协议来划分,可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。(二)生成树（STP/RSTP/MSTP）生成树协议STP(SpanningTreepProtocol)能够提供路径冗余，使用STP可以使两个终端中只有一条有效路径。STP在大的网络中定义了一个树，并且迫使一定的备份路径处于备用状态。如果

26、生成树中的网络一部分不可达，或者STP值变化了，生成树算法会重新计算生成树拓扑，并且通过启动备份路径来重新建立连接。消除循环连接导致的网络广播风暴，并且提供网络的拓扑的冗余备份功能，平时作为备份的路径被阻塞，当主用路径网络设备出现故障时，能够及时调整端口状态，调整网络拓扑。 除支持传统的生成树协议外，Cisco3550系列以太网交换机还支持IEEE 802.1w快速生成树协议(RSTP)，以及802.1s多生成树协议（MSTP）。802.1s多生成树协议（MSTP）可以通过支持一个网络内的多个生成树，这使管理员可以把VLAN流量分配给唯一的通路。网络管理员只要为VLAN分配独立的生成树拓扑，就

27、可以确保两个VLAN都能在网上顺畅传输。这就可以起到均衡网络流量，提高可靠性的作用。具体配置命令如下：Switch(config)# spanning-tree mode mstSwitch(config)# spanning-tree mst configurationSwitch(config)# name *Switch(config)# revision versionSwitch(config)# insrance instance-id vlan vlan-list Switch(config)# spanninf-tree mst instance-id priority bri

28、dge-prioritySwitch(config)# spanninf-tree mst instance-id root primary/secondary(三)OSPF动态路由 根据企业要求，路由协议要用动态OSPF路由协议；OSPF(Open Shortest Path First开放式最短路径优先）是一个内部网关协议；为了让公司内部网络能够相互访问和访问服务器。在汇聚层的Cisco 3560系列以太网三层交换机上和核心层Cisco 2811 路由器上的启用OSPF动态路由协议， 同时也是为了对外发布公司自己的服务器。能够让外网主机访问内网服务器。这样日后公司网络变动，设备可以自动学习

29、相关路由表；这样既节省了网络管理员的配置管理工作，同时也为日后的公司发展的网络扩展性打下一个良好的要求；(四)HSRP 路由热备份 热备份路由器协议（HSRP：Hot Standby Router Protocol），是cisco平台一种特有的技术，是cisco的私有协议。路由器是整个网络的核心和心脏，如果路由器发生致命性的故障，本地网络瘫痪，造成的损失也是难以估计的。因此，对路由器采用热备份是提高网络可靠性的必然选择。HSRP向主机提供了缺省网关的冗余性，当网络边缘设备或接入电路出现故障时，HSRP它能够确保用户通信迅速并透明地恢复，以此为IP网络提供冗余性、容错和增强的路由选择功能。通过多

30、个热备份组，路由器可以提供冗余备份，并在不同的IP子网上实现负载分担。在成对的两台汇聚层多层交换机上，具体的HSRP配置规范如下：1、接口的IP地址在第一台多层交换机上，某个VLAN虚拟接口的IP地址是子网的最后第三个可用地址，在第二台多层交换机上，某个VLAN虚拟接口的IP地址是子网的最后第二个可用地址。2热备份组号热备份组号与接口的VLAN号相同。3热备份地址热备份地址是子网的最后一个可用地址。4热备份优先级在主用的多层交换机了，某个VLAN虚拟接口的热备份优先级是120。并且主用的汇聚层交换机配置占先权。、具体命令如下： SW1(config)#interface vlan 2SW1(c

31、onfig-if)#ip address 192.168.1.1 255.255.255.0SW1(config-if)#standby 10 ip 192.168.1.254SW1(config-if)#standby 10 priority 200SW1(config-if)#standby 10 preempt SW1(config-if)#standby 10 timers 2 8SW1(config-if)#standby 10 track fastEthernet 0/1 100(五)访问控制列表（ACL）和地址转换（NAT）核心层的路由器RT1作为公司网络的转折点，也就需要具备对整个公司网络的控制的能力，同时也应具备在一定程度上控制数据流以保护公司内网。所以，这就需要应用访问控制列表对公司内网的数据流与外网的数据流的交互；同时，由于目前全球IPv4地址的资源紧缺，导致现如今企