課程設(shè)計(jì)姓名：學(xué)號(hào)：學(xué)院：計(jì)算機(jī)學(xué)院專業(yè)：題目：企業(yè)園區(qū)網(wǎng)融合網(wǎng)絡(luò)設(shè)計(jì)創(chuàng)新性（10）難/復(fù)雜度（20）完成情況（50）設(shè)計(jì)報(bào)告（20）總分評(píng)閱者：評(píng)閱時(shí)間：目錄1方案概述 41.1背景分析 41.1.1前言 41.1.2目前園區(qū)網(wǎng)現(xiàn)狀 41.2主要內(nèi)容 42需求分析 52.1網(wǎng)絡(luò)應(yīng)用需求 52.2網(wǎng)絡(luò)安全需求 52.3網(wǎng)絡(luò)環(huán)境需求分析 53網(wǎng)絡(luò)設(shè)計(jì) 63.1網(wǎng)絡(luò)設(shè)計(jì)原則 63.1.1層次化 63.1.2模塊化 63.1.3安全性 63.1.4可擴(kuò)展性 63.1.5可靠性 63.2網(wǎng)絡(luò)VLAN設(shè)計(jì)需求 74網(wǎng)絡(luò)設(shè)計(jì)方案 74.1總體網(wǎng)絡(luò)規(guī)劃 74.2網(wǎng)絡(luò)設(shè)備配置 84.2.1劃分子網(wǎng) 84.3設(shè)備詳細(xì)配置 94.3.1接入層交換機(jī)配置 94.3.2匯聚層交換機(jī)配置 104.3.3核心層路由器配置 124.4網(wǎng)絡(luò)可靠性分析 134.4.1網(wǎng)絡(luò)設(shè)備可靠性分析 134.4.2鏈路的可靠性分析 134.4.3協(xié)議的可靠性分析 134.4.4生成樹協(xié)議 134.4.5虛擬路由冗余協(xié)議 134.4.6網(wǎng)路安全和管理AAA認(rèn)證和SPAN監(jiān)控 144.4.7Qos協(xié)議 141方案概述1.1背景分析1.1.1前言隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，曾經(jīng)在園區(qū)網(wǎng)中被大量使用的10M/100M以太網(wǎng)技術(shù)、ATM技術(shù)已經(jīng)漸漸不能適應(yīng)現(xiàn)在的業(yè)務(wù)需求，作為園區(qū)主干網(wǎng)，10M/100M以太網(wǎng)作為主干網(wǎng)絡(luò)核心技術(shù)帶寬不足的弊病漸漸凸顯，已經(jīng)嚴(yán)重影響著園區(qū)網(wǎng)絡(luò)的運(yùn)行效率，目前仍有許多大型園區(qū)網(wǎng)絡(luò)在使用ATM技術(shù)，這樣的網(wǎng)絡(luò)面臨兩個(gè)問題：VLAN間路由的性能不能滿足網(wǎng)絡(luò)需求，并且ATM技術(shù)正在逐步被淘汰。

現(xiàn)在，千兆以至10G級(jí)別以太網(wǎng)技術(shù)正逐漸成為園區(qū)網(wǎng)絡(luò)主干的主流技術(shù)因此，許多大型園區(qū)網(wǎng)絡(luò)面臨技術(shù)改造或者重新設(shè)計(jì)1.1.2目前園區(qū)網(wǎng)現(xiàn)狀某企業(yè)園區(qū)剛剛建成，是一大型企業(yè)的分支機(jī)構(gòu)，為了實(shí)現(xiàn)企業(yè)的辦公信息自動(dòng)化，擴(kuò)大企業(yè)的影響，方便和總部的信息交流，需要建立自己企業(yè)的Intranet企業(yè)現(xiàn)在有2幢9層的辦公大樓，分別是生產(chǎn)部和銷售部，另外還有一個(gè)家屬區(qū)，家屬區(qū)有3幢6層的大樓，兩個(gè)相距300米企業(yè)局域網(wǎng)需要考慮覆蓋辦公區(qū)和家屬區(qū)局域網(wǎng)需要實(shí)現(xiàn)的目標(biāo)如下：1.實(shí)現(xiàn)有效的信息交換和共享企業(yè)通過兩條專線接入電信和網(wǎng)通2.企業(yè)需要實(shí)現(xiàn)辦公自動(dòng)化局域網(wǎng)提供企業(yè)內(nèi)部電子郵件收發(fā)、信息瀏覽、文件管理、會(huì)議管理、電子公告等多方面應(yīng)用3.為了擴(kuò)大企業(yè)的影響，企業(yè)對(duì)外提供自己的宣傳網(wǎng)站，并且能夠保證網(wǎng)站安全，不受外部或者內(nèi)部攻擊4.充分考慮今后各部門的接入擴(kuò)展性5.充分考慮企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性1.2主要內(nèi)容本文主要做了以下兩個(gè)方面的工作：第一，介紹了園區(qū)網(wǎng)絡(luò)的含義、特點(diǎn)，按網(wǎng)絡(luò)設(shè)計(jì)與組網(wǎng)課程的要求方法規(guī)劃設(shè)計(jì)一個(gè)完整的園區(qū)網(wǎng)絡(luò)第二，使用思科的網(wǎng)絡(luò)設(shè)備對(duì)網(wǎng)絡(luò)進(jìn)行了簡(jiǎn)單的模擬，以實(shí)現(xiàn)網(wǎng)絡(luò)的互通互聯(lián)，對(duì)各層設(shè)備進(jìn)行了配置。

2需求分析2.1網(wǎng)絡(luò)應(yīng)用需求1.企業(yè)網(wǎng)與internet連接，使員工可以通過互聯(lián)網(wǎng)獲取資源和信息2.建設(shè)企業(yè)網(wǎng)站，實(shí)現(xiàn)企業(yè)的對(duì)外宣傳以及發(fā)布各種內(nèi)部信息3.在企業(yè)網(wǎng)內(nèi)實(shí)現(xiàn)傳輸共享4.實(shí)現(xiàn)企業(yè)的行政、辦公的無紙化5.企業(yè)生活的電子化（食堂卡等）2.2網(wǎng)絡(luò)安全需求1.企業(yè)接入internet，使用防火墻等過濾功能防止黑客和其他非法入侵者入侵網(wǎng)絡(luò)，并且對(duì)接入網(wǎng)絡(luò)的成員進(jìn)行控制2.防范企業(yè)網(wǎng)內(nèi)部的安全性問題，如ARP攻擊3.按照相應(yīng)標(biāo)準(zhǔn)進(jìn)行局域網(wǎng)的建設(shè)，確保物理層安全4.采用主機(jī)訪問控制手段加強(qiáng)對(duì)主機(jī)的訪問控制5.劃分安全子網(wǎng)，加強(qiáng)網(wǎng)絡(luò)邊界的訪問控制，防止內(nèi)外的攻擊威脅，定期進(jìn)行網(wǎng)絡(luò)安全檢測(cè)，建立網(wǎng)絡(luò)防病毒系統(tǒng)6.建立身份認(rèn)證系統(tǒng)，對(duì)各應(yīng)用系統(tǒng)本身進(jìn)行加固2.3網(wǎng)絡(luò)環(huán)境需求分析幾種典型應(yīng)用帶寬需求情況如下：ü 空閑：5K～20Kbps；ü Office（Word/Excel）辦公應(yīng)用：20K～120Kbps；ü Internet/WWW瀏覽（純文字）：50K～150Kbps；ü PPT/圖片應(yīng)用：200~300Kbps；ü 打?。?00~800Kbps；ü 標(biāo)清視頻（320P，原始窗口）：1~5Mbps；帶寬至少按4M算；ü 高清視頻（480P，720P原始窗口）：2~15Mbps；帶寬至少按10M算；單個(gè)用戶最大使用/預(yù)留帶寬：10Mbps，保證用戶可以流暢的使用網(wǎng)絡(luò)。

3網(wǎng)絡(luò)設(shè)計(jì)3.1網(wǎng)絡(luò)設(shè)計(jì)原則3.1.1層次化層次化是根據(jù)功能作用和定位，園區(qū)網(wǎng)通常按照核心層，匯聚層，接入層等多個(gè)層次進(jìn)行劃分，設(shè)計(jì)，要做到化繁為簡(jiǎn)，使網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單，簡(jiǎn)化網(wǎng)絡(luò)部署，具有良好的穩(wěn)定性、可擴(kuò)展性，同時(shí)也方便網(wǎng)絡(luò)管理3.1.2模塊化從業(yè)務(wù)角度出發(fā)，分為園區(qū)出口、數(shù)據(jù)中心、DMZ、網(wǎng)絡(luò)管理、分支、園區(qū)互聯(lián)、出差員工和合作伙伴等功能分區(qū)或業(yè)務(wù)類別3.1.3安全性全網(wǎng)安全可靠，具有完善的安全防護(hù)措施，防止惡意破壞，保護(hù)數(shù)據(jù)和網(wǎng)絡(luò)安全，打造一個(gè)安全可信得網(wǎng)絡(luò)，保障網(wǎng)路和業(yè)務(wù)安全3.1.4可擴(kuò)展性可擴(kuò)展性是指該網(wǎng)絡(luò)系統(tǒng)能夠適應(yīng)需求的變化隨著技術(shù)發(fā)展，信息量增多和業(yè)務(wù)的擴(kuò)大，網(wǎng)絡(luò)將在規(guī)模和性能兩方面進(jìn)行一定程度的擴(kuò)展3.1.5可靠性帶寬和性能設(shè)計(jì)，QoS設(shè)計(jì)等，保證業(yè)務(wù)質(zhì)量以及業(yè)務(wù)體驗(yàn)，讓客戶滿意園區(qū)網(wǎng)穩(wěn)定可靠，關(guān)鍵部位采用冗余或備份架構(gòu)；發(fā)生故障時(shí)可以快速恢復(fù)，保證業(yè)務(wù)不中斷，保證業(yè)務(wù)體驗(yàn)全網(wǎng)多業(yè)務(wù)智能、主動(dòng)和綜合管理，實(shí)時(shí)分析網(wǎng)絡(luò)健康狀況，積極預(yù)防；故障發(fā)生時(shí)可以快速排除故障，減少損失，網(wǎng)絡(luò)必須易于管理，支持網(wǎng)絡(luò)網(wǎng)段與端口的監(jiān)控、網(wǎng)絡(luò)流量與出錯(cuò)的統(tǒng)計(jì)、網(wǎng)絡(luò)故障的定位、診斷、修復(fù)3.2網(wǎng)絡(luò)VLAN設(shè)計(jì)需求VLAN使用場(chǎng)景VLAN數(shù)量VLAN號(hào)VLAN名稱財(cái)務(wù)部VLAN128VLAN1finance人力資源部VLAN128VLAN2Human_resource技術(shù)支持部VLAN128VLAN3Technique_support售后服務(wù)部VLAN128VLAN4After_sale_server產(chǎn)品部VLAN128VLAN5produce客服部VLAN128VLAN6Customerservice設(shè)備部VLAN128VLAN7equipment市場(chǎng)部VLAN128VLAN8MarketingDepartment管理VLAN64VLAN9manage服務(wù)器群VLAN64VLAN10Server_groupVLAN總數(shù)11524網(wǎng)絡(luò)設(shè)計(jì)方案4.1總體網(wǎng)絡(luò)規(guī)劃根據(jù)2.1的需求可知，此次的方案中共劃分了10個(gè)部門（8個(gè)工作部門，1個(gè)管理VLAN，1個(gè)服務(wù)器群VLAN）。

這10個(gè)部門通過網(wǎng)線接入到接入層交換機(jī)，其中，總經(jīng)理辦公室、副經(jīng)理辦公室可以直接管理網(wǎng)絡(luò)具體的網(wǎng)絡(luò)布線圖如下圖所示：根據(jù)上述的帶寬需求，結(jié)合章節(jié)“2.3”部分，可規(guī)劃出每種應(yīng)用環(huán)境所實(shí)際需求的帶寬通常建議如下:ü 服務(wù)器端必須采用萬兆部署ü 接入交換機(jī)上聯(lián)必須保證千兆帶寬ü 匯聚交換機(jī)上聯(lián)必須保證萬兆帶寬具體的IP地址劃分如下：部門或設(shè)備IP地址財(cái)務(wù)部VLAN192.168.2.0/24(VLAN2)人力資源部VLAN192.168.3.0/24(VLAN3)技術(shù)支持部VLAN192.168.4.0/24(VLAN4)售后服務(wù)部VLAN192.168.5.0/24(VLAN5)產(chǎn)品部VLAN192.168.6.0/24(VLAN6)客服部VLAN192.168.7.0/24(VLAN7)設(shè)備部VLAN192.168.8.0/24(VLAN8)市場(chǎng)部VLAN192.168.9.0/24(VLAN9)管理VLAN192.168.10.0/24(VLAN10)服務(wù)器群VLAN192.168.11.0/24(VLAN11)Route0172.16.1.0/30172.16.1.4/30Route1172.16.1.0/30Route2172.16.1.4/30接入層與匯聚層交換機(jī)都是二層交換機(jī)，因而針對(duì)每個(gè)IP地址都應(yīng)讓它們分別屬于各自的網(wǎng)段，即應(yīng)劃分VLAN，各個(gè)IP地址的VLAN劃分如表三所示。

而接入層與匯聚層之間也需要配置VLAN，為了方便通信，讓它們之間每一個(gè)鏈路都與其所接的部門屬于同一VLAN，即接入層交換機(jī)所接到同一個(gè)部門的端口屬于同一個(gè)VLAN4.2網(wǎng)絡(luò)設(shè)備配置4.2.1劃分子網(wǎng)在一個(gè)大、中型網(wǎng)絡(luò)里，VLAN的劃分是必不可少的步驟之一一個(gè)單位在一個(gè)網(wǎng)絡(luò)號(hào)下有大量的計(jì)算機(jī)時(shí)，并不便于管理，可以根據(jù)單位所屬的部門或其地理分布位置等來劃分子網(wǎng)，在本設(shè)計(jì)方案中是根據(jù)部門來劃分子網(wǎng)的，劃分子網(wǎng)也就分割了廣播域劃分子網(wǎng)的目的:ü 減少網(wǎng)絡(luò)流量ü 2.提高網(wǎng)絡(luò)性能ü 3.簡(jiǎn)化管理ü 4.易于擴(kuò)大地理范圍在下面我們需要注意的是：192.168.0.0-192.168.255.254這樣的IP地址是私有IP地址，它不能在公共網(wǎng)絡(luò)中使用，但是為什么我們要這樣做呢？因?yàn)獒槍?duì)當(dāng)前現(xiàn)狀，IP地址緊缺，我們不可能也不應(yīng)該為每一臺(tái)工作站申請(qǐng)一個(gè)公有IP地址，這樣不僅可以緩解IP地址不足的情況，而且也可以為企業(yè)建設(shè)一個(gè)企業(yè)網(wǎng)節(jié)約不少的開支，那這樣且不是不能夠訪問INTERNET為了讓這些私有IP地址能夠在公共INTERNET使用，讓使用這樣IP地址的工作站能夠訪問INTERNET上的資源，我們必須對(duì)這樣私有IP地址作NAT（networkaddresstranslation）即網(wǎng)絡(luò)地址轉(zhuǎn)換。

NAT的配置我將后面的論述中進(jìn)行配置而對(duì)于經(jīng)理辦公室，由于我們有特定的要求，我將為其分配staticIP地址4.3設(shè)備詳細(xì)配置4.3.1接入層交換機(jī)配置4.3.2匯聚層交換機(jī)配置4.3.3核心層路由器配置4.4網(wǎng)絡(luò)可靠性分析4.4.1網(wǎng)絡(luò)設(shè)備可靠性分析如今華為網(wǎng)絡(luò)設(shè)備越來越受國(guó)人喜愛，在國(guó)內(nèi)華為設(shè)備正在逐步取代思科設(shè)備，華為設(shè)備安全、經(jīng)濟(jì)、實(shí)惠、功能好，因此我們選用了國(guó)內(nèi)主流公司華為的設(shè)備4.4.2鏈路的可靠性分析提高鏈路的可靠性往往通過鏈路的冗余設(shè)計(jì)來實(shí)現(xiàn)，在即采用一條主鏈路和一條備鏈路在Switch0、Switch1連接多條物理鏈路，這種冗余設(shè)計(jì)構(gòu)思簡(jiǎn)單而且便宜鏈路冗余還有一個(gè)好處是可以做到均衡負(fù)載4.4.3協(xié)議的可靠性分析協(xié)議的可靠性技術(shù)就是采用相關(guān)的軟、硬件切換技術(shù)(如STP和VRRP)來保證核心應(yīng)用系統(tǒng)的快速切換，防止局部故障導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓，避免網(wǎng)絡(luò)出現(xiàn)單點(diǎn)失效，從而保證用戶端在網(wǎng)絡(luò)失效時(shí)能快速透明地切換4.4.4生成樹協(xié)議在Switch0、Switch1、Switch2上配置了STP，在網(wǎng)絡(luò)中配置2個(gè)VLAN，不同VLAN的STP具有不同的根橋，實(shí)現(xiàn)負(fù)載平衡4.4.5虛擬路由冗余協(xié)議在路由器Router1和Router2創(chuàng)建了兩個(gè)VRRP組，第一個(gè)組的IP為192.168.13.254，活動(dòng)路由器為Router1，一部分計(jì)算機(jī)的網(wǎng)關(guān)指向192.168.13.254。

第二個(gè)組的IP為192.168.13.253，活動(dòng)路由器為Router2，另一部分計(jì)算機(jī)的網(wǎng)關(guān)指向192.168。