某公司企业网络规划与建设论文

某公司企业网络规划与建设毕业论文
1绪论 (2)
2企业网络网络规划 (3)
2.1网络设计原则 (3)
2.2网络项目背景 (3)
2.3 IP地址规划 (4)
3企业网络组建准备工作 (5)
3.1企业的基本应用 (5)
3. 2企业网络结构规划 (6)
3.3网络拓扑设计 (7)
3.4网络设备选型 (7)
3.5综合布线设计 (12)
3. 6 I NTERNET接入技术方案 (13)
3.7服务器配置方案 (13)
3.7. 1 POP3、WEB 和FTP 服务器 (13)
3.7.2 0A办公系统 (14)
3. 7.3存储服务器 (14)
4企业网络主要应用技术 (15)
4.1 路由协议——-OSPF (15)
4.2 RSTP MSTP 原理 (15)
4. 3 NAT的策略路由实现 (16)
4. 4 VLAN虚拟局域网的划分 (17)
4. 5 ACL访问控制策略 (17)
4.6链路聚合 (17)
4.7交换机端口安全 (18)
5企业网络安全设计 (19)
5.1企业网络的主要安全隐患 (19)
5.2网络安全防体系层次 (19)
5.3网络安全措施 (20)
5.4安全措施具体实施 (20)
6网络系统测试 (23)
6.1设备配置 (23)
7测试与验收 (34)
7.1设备安装、调测、开通 (34)
7.2移交测试 (34)
7.3试运行验收测试 (34)
结论 (36)
辞 ............................................................................................. 错误!未定义书签。

参考文献 (37)
1绪论
随着网络的不断发展，网络办公信息化和设备数字越来越普及，企业网络的管理也越来越重要。

人们对网络的依赖也越来越大。

企业网不仅要使分布在不同地理位置上的计算机和各种设备互连互通为一个统一的网络，还要提高资源管理水平以及提供多种服务，如办公自动化，WEB 服务，E-mail服务，FTP 服务，Media服务等，将企业的的各种信息资源组织起来，以满足企业的各方面的需求。

该企业分为总部和分部，分部设立在以及，总公司是设立在一个三层的办公楼，有技术部（进行开发、设计、技术维护），销售部，财务部，人事管理部门，各分公司有销售部，财务部，人事管理部门，各分公司之间以及与总部间距离比较远，所以为了将其进行互联，运用到了帧中继技术，它是一种局域网互联的WAN协议。

为了使网络具有一定的安全性，企业网的部网络使用VLAN分段，隔离广播，防止网络部窃听和非授权的跨网段访问，只允许部主机访问Internet, 而不允许外网用户访问部主机。

2企业网络网络规划
2.1网络设计原则
为适应某公司信息化的发展，满足公司未来几年的日益增长的业务需求，同时使得部系统安全性与有效性相并重，主要表现在如下几个方面：
（1）可增值
企业网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。

所以在建设时要充分考虑业务的扩展能力。

（2）安全性
能有效通过软硬件相互联动，有效保证企业网的安全；选择设备必须具有较高的安全特性，如蠕虫病毒防御、ARP欺骗防御、防代理、防攻击扫描、防私设DHCP等功能。

（3）开放性
技术选择必须符合相关国际标准及国标准，避免个别厂家的私有标准或部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；
2.2网络项目背景
某是一家中小型公司，员工人数大约300人，主要做智能家居这一块市场，属于经销商的性质。

公司建筑是楼层建筑，包括可拓展点。

随着公司业务的发展，人员壮大，办公信息化以及自动化的需求，为提高公司各个部门间办公信息化，需要建立一个完善和稳定的企业网络。

企业网要保证整个企业信息点的互联、高效、安全，可支持上百个用户同时并发使用。

而且要求企业网具有可拓展性，支持未来的发展，髙速的、冗余的、基于标准的网络。

公司现有四个部门，下表是关于各个部门所有主机的需求：
表2. 1 IP地址需求
2.3 IP地址规划
IP地址的合理是保证网络顺利运行和网络资源有效利用的关键。

企业网IP 地址的分配应该尽可能地利用申请到的地址空间，充分考虑到地址空间的合理使用，保证实现最佳的网络地址分配及业务流量的均匀分布。

具体IP网段地址规划如下：
表2. 2 IP地址规划
3企业网络组建准备工作
3.1企业的基本应用
(1)Intranet 应用
公司立企业部信息，为公司部所有网上用户提供公司策略、生产调度、产品营销、物资供应、商情信息、销售幅度、员工信息等信息服务。

集团部各部门可通过部实现企业部信息交流，主动地获取信息和提供信息。

Internet作为信息交流的基础设施，对信息技术的发展，信息市场的开拓, 以及信息社会的形起着十分重要的作用。

公司所构造的网络正是通过Internet 将企业部与外界连接起来。

这样公司可为广大客户提供他们所关心的有关信息；在网络上提供WWW, E-mai 1等服务。

这样可以大大的提升公司的知名度，让更广泛的客户能够更方便，更多的了解本公司，对于公司的品牌效应是不可估量的。

(2)MIS管理信息的应用
一个企业信息管理系统大致包括这样几个子系统：数据的收集、整理系统，输入系统，加工系统，传输系统，存储系统，检索系统，输出系统等。

利用MIS 管理信息系统能够最大限度地结合现代计算机及网络通信技术加强对企业的信息管。

MIS的操作流程也相对简单，系统开发出来，前期只需很少的培训，员工便能很轻易地与业务接轨，不过需要一个系统维护员，因为万一系统出现bug, 会直接影响公司业务水平，导致不必要的损失。

(3)0A办公自动化系统应用
随着Internet/Intranet和Web扌支术的日益普及和推广，使得Internet/Intranet正逐渐成为企业信息化建设的有力工具。

软件的进步大大改变着传统办公模式，也会大大提髙办公效率。

办公自动化应用软件一一Office Assistant变成一个新的发展方向。

该软件采用Browser/Server模式，完全基于Internet/Intranet平台，针对企事业单位部的管理流程，设计而成的一套方便、稳定、实用的办公自动化软件。

此系统有如下几大优势：
1.实现远程办公和移动办公，随时随处办理工作事务
2.通过工作流转的自动化，实现高效快捷的办公
3.明确工作岗位与工作职责，有效监管工作人员的工作情况，实现实时工作任务的监督与催办
4.方便领导同各级工作人员的有效沟通
3.2企业网络结构规划
将本公司的部网络设计为三级层级：
（1）接入层
（2）汇聚层
（3）核心层
这样规划一是能够有良好的层次感，利于实现较为复杂的网络功能要求；二是这样分层能够使每层的功能较容易实现也较清楚；三是采用这种分层方式可以支持较大的网络规模便于企业网的升级扩大。

（1）接入层
接入层为用户提供对本地网段的访问，所需功能不必有多强大，它的主要作用是将工作组计算机与汇聚层连接起来，主要完成逻辑网络分段，给予工作组或LAN隔离广播通信以及在多个CPU之间分布服务。

其特点有以下几点：
提供不同数量的100M端口到用户，提供1000M上行链路端口到汇聚层交换机。

成本低，所有端口支持全线速二层交换。

网络设备扩展性好，可平滑升级。

（2）汇聚层
汇聚层设备一般采用可管理的三层交换机或堆叠式交换机以达到带宽和传输性能的要求。

主要作用是为接入层提供服务，为核心层维护与传达服务。

其设备性能较好，但价格髙于接入层设备，而且对环境的要求也较髙，对电磁辐射、温度、湿度和空气洁净度等都有一定的要求。

汇聚层设备之间以及汇聚层设备与核心层设备之间多采用光纤互联，以提髙系统的传输性能和吞吐量。

（3）核心层
核心层的功能主要是实现骨干网络之间的优化传输，骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。

其性能要求相对较高，一般需要用路由器来完成诸多策略（不过目前很多单位都采用多级交换机，有其特别的优势）, 核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格，同时为了减轻负担，网络的控制功能最好尽量少在骨干层上实施。

在设计核心层结构时，还应该充分考虑到以下几点因素：
1.汇聚层交换机要有充足的带宽。

2.必须具有冗余和流量均衡的功能。

3.能够实现各种安全策略以保证网络的安全和数据包转发的合理。

3.3网络拓扑设计
企业部的网络拓扑设计，如下图:
图3. 1网络拓扑图
3.4网络设备选型
网络设备选型要遵循以下原则：
具备优良的性能价格比，根据现在的需求和可以预见的需求增长情况设计网络，避免追求髙档和最新技术花费的巨大代价。

具备优良的RAS（远程访问服务）性能一安全性、可靠性、可用性、可维护性。

具备优良的可扩充性和升级能力。

CISCO是网络业界第一品牌和最大的研发厂家，是项目可持续应用的投资保护和规避厂家风险的首选。

I0S采用的是经检验已成为业界标准的强健稳定的CISCO IOS,更具有广泛的协议支持，这是其他厂商所不能企及的；思科IOS软件系列在全世界一千多万个不同规模的系统上发挥着重要作用，其围从小型家庭办公网络到最庞大的电信运营商网络。

思科I0S取得广泛成功的关键在于，它的标准化设计中整合了创新网络技术、关键业务IP服务和首屈一指的平台支
持能力O
锐捷网络，作为中国网络解决方案领导品牌。

聚焦客户利益，致力于通过持续技术创新，坚持自主研发的网络产品，涵盖交换机、路由器、出口网关、安全、无线、软件等六大产品线，产品性价比相对高。

基于以上考虑，我们公司网络核心层采购思科设备，汇聚层与接入层使用锐捷设备。

(1)接入层交换机选型
公司接入层交换机均选用锐捷RG-S2928G-S (官方报价4000元)，24 口
10/100/1000M自适应端口，4个SFP光口，支持全面的安全控制策略，通过在的多种安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化使用网络，如端口静态和动态的安全绑定、端口隔离、多种类型的硬件ACL控制、基于数据流的带宽限速、用户安全接入控制的多元素绑定等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。

具体产品参数如下：
主要参数
1.应用层级三层
2.传输速率10/100/1000Mbps
3.交换方式存储-转发
4.背板带宽68Gbps
5.包转发率51Mpps
6.端口参数
7.端口结构非模块化
&端口数量28个
9.端口描述24个10/100/1000M自适应端口，4个SFP光口
10.功能特性
11.网络标准IEEE 802.3, IEEE 802. 3u, IEEE 802. 3z, IEEE 802. 3x, IEEE 802.3ad, IEEE 802.Ip,
IEEE 802.lx, IEEE 802.3ab, IEEE 802. IQ, IEEE 802.Id, IEEE 802. lw, IEEE 802.Is
12.VLAN支持4K个802. IQ VLAN (同时可用512个)
13.网络管理SNMPvl/v2C/v3 , CLI (Telnet/Console)
14.其它参数
15.电源电压AC 160-240V, 50Hz-60Hz 纠错
16.环境标准工作温度：0-45°C
17.工作湿度：10%-90%RH
18.存储温度：-40-70°C
19.存储湿度：5%-90%RH
20.其它参数1个USB2. 0接口
(2)汇聚层交换机选型
RG-S5750系列是锐捷网络推出的硬件支持IPv6的万兆多层交换机，产品以极高的性价比为大型网络汇聚、中型网络核心、数据中心服务器接入提供了髙性能、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足髙速、安全、智能的企业网需求。

具体参数如下：
主要参数
1.产品类型智能交换机
2.应用层级三层
3.传输速率10/100/1000Mbps
4.交换方式存储-转发
5.背板带宽240Gbps
6.包转发率102Mpps
端口参数
1.端口结构非模块化
2.端口数量52个
3.端口描述48个10/100/1000M自适应电口，4个复用的SFP接口
4.扩展模块2个扩展槽
功能特性
1.VLAN 支持4K 个80
2. IQ VLAN
2.支持Super VLAN
3.支持Protocol VLAN
4.支持Private VLAN
5.支持Voice VLAN
6.支持基于MAC地址的VLAN
7.支持QinQ
8.QOS支持端口流量识别
9•支持802. lp/DSCP/TOS流量分类
10.支持WRED, WRED+ECN拥塞控制
11.支持流量限速
12.支持层级QoS
13.支持输出QoS
14.安全管理支持IP、MAC、端口三元素绑定
15.支持IPv6、MAC、端口三元素绑定
16.支持安全通道
17.支持防网关欺骗
18.限制端口学习MAC地址数量
19.过滤非法的MAC地址
20.支持防DHCP服务器私设
21.支持广播风暴抑制
22.管理员分级管理和口令保护
23.设备登陆管理的AAA安全认证
24.支持SSH
25.支持BPDU Guard
26.支持TACAS+
27.支持Radius
其它参数
1.电源电压AC 176-264V, 48-60Hz
2.电源功率90W
3.产品尺寸440X420X44mm
4.环境标准工作温度：0-45°C
5.工作湿度：10%-90%RH
6.存储温度：-40-709
7.存储湿度：5%-90%RH
8.核心层（出口）路由器选型
Cisco 3825是一款集成多业务路由器平台，其上的思科IP通信特性包括实施松散连接在一起的半自动业务解决方案所需的髙级特性和服务，包括呼叫处理、呼叫控制协议、服务质量（QoS）、模拟和数字接口、排队、编程、语音留言和自动职守。

企业分支机构、商业办公室和中小型办公室可以使用业界最广泛、最全面的语音和安全服务，并直接嵌入并集成到业界领先的路由平台上，以提髙性能和永续性。

基本参数
1.路由器类型多业务路由器
2.传输速率10/100/1000Mbps
3.端口结构模块化
4.局域网接口2个
5.扩展模块6
6.包转发率10Mbps： 14800pps
7.100Mbps：148800pps
8.1000Mbps：1488000pps
功能参数
1.防火墙置防火墙
2.Qos支持支持
3.VPN支持支持
4.网络管理Cisco ClickStart, SNMP
其他参数
1.产品存256MB
2.电源电压AC 100-240V
3.DC 24-60V
4.产品尺寸373.38X434. 34X88. 9mm
5.产品重量9. 06kg
6.环境标准工作温度：0-40°C
7.湿度：5%-95% （非冷凝）
8.存储温度：- 40-85£
3.5综合布线设计
（1）布线系统的结构
综合布线一般采用星型拓扑结构。

该结构下的每个分支子系统都是相对独立的单元，对每个分支子系统的改动都不影响其它子系统，只要改变节点连接方式就可使综合布线在星型、总线形、环型、树型等结构之间进行转换。

（2）综合布线设计标准
国际标准
城市住宅区和办公楼通信设施设计标准》
《建筑与建筑群结构化布线系统设计规》GB50311-2000
《建筑与建筑群结构化布线系统工程施工及验收规》GB50312-2000
相关厂家产品设计、选型、施工、验收手册说明的标准
（3）综合布线设计原则
1.适用性
2.灵活性
3.可扩展性
4.模块化结构
5.开放性
（4）水平子系统
将工作区引至管理区子系统，它是整个布线系统的一部分，将干线子系统线路延伸到用户工作区，水平布线子系统总是处在一个楼层上，并端接在信息插座上。

（5）垂直干线子系统
垂直干线子系统由连接设备间与各层信息模块的干线构成。

其任务是将各楼层模块的信息，传递到设备间并送至最终接口。

垂直干线的设计必须满足用户当前的需求，同时又能适合用户今后的要求。

为达此目的，本方案中我们采用超五类网线，支持数据信息的传输，采用5类4对非屏蔽双绞线缆，支持语音信息的传输。

（6）设备间子系统
设备间子系统是整个布线系统的中心单元，设备间子系统（主配线间）由设备间中的电缆、主配线架和相关支撑硬件组成，它把公共系统设备的各种不同设备互连起来。

该子系统连接公共系统设备（如PABX）,通过垂直干线分别向各楼信息模块进行配线管理。

3. 6 Internet接入技术方案
目前连接Internet可以通过多种通信介质‘Internet本身对通信和连接方式没有任何限制。

在连接时，企业可以根据自己实际情况来规划自己的连接方案，决定使用何种通信介质。

一般目前通常使用的网络传输介质有双绞线、同轴电缆、光纤等，都可供企业选择。

本单位采用光纤+以太网接入接入，主干光纤100Mb带宽。

3. 7服务器配置方案
3.7.1 POP3、WEB 和FTP 服务器
采用linux操作系统，apache服务，mysql数据库，php程序，并配置FTP 用于上传文件，服务器用于沟通。

具体完成任务：
（1）系统技术工程师安装配置apche、mysql、php环境。

（2）系统工程师安装配置服务器Sendmailo
（3）系统技术工程师安装配置ftp服务器。

（4）架设公司web,上传数据库文件。

3.7.2 0A办公系统
在windows 2008下架设0A系统，采用sql 2008数据库。

做好备份镜像办公系统服务黠。

3.7.3存储服务器
存储服务器主要存储公司主要的软件，备份公司重要文件和重要数据库，以及各员工的重要项目、进度文件。

主要采取FTP实现上传和下载的功能。

单位的信息管理系统MIS依靠此服务器运作。

员工之间设有相应的权限，保证数据安全与完整°
4企业网络主要应用技术
4.1路由协议-一OSPF
OSPF路由协议是一种典型的链路状态(Link-state)的路由协议，在这里，路由域是指一个自治系统(Autonomous System),即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。

作为一种链路状态的路由协议,OSPF将链路状态广播数据包LSA(Link State Advertisement)传送给在某一区域的所有路由器，这一点与距离矢量路由协议不同。

运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。

在公司的汇聚层交换机及出口路由器上使用OSPF路由协议，以实现路由的动态更新，确保全网互通。

4.2 RSTP MSTP 原理
RSTP协议完全向下兼容802. 1DSTP协议，除了和传统的STP协议一样具有避免回路、提供冗余链路的功能外，最主要的特点就是“快”。

如果一个局域网的网桥都支持RSTP协议且管理员配置得当，一旦网络拓朴改变而要重新生成拓朴树只需要不超过1秒的时间(传统的STP需要大约50秒)。

本交换机支持MSTP, MSTP是在传统的STP、RSTP的基础上发展而来的新的生成树协议，本身就包含了RSTP的快速FORWARDING机制。

由于传统的生成树协议与vlan没有任何联系，因此在特定网络拓朴下就会产生以下问题：如下图所示，交换机A、B在vlanl ,交换机C、D在vlan2 , 然后连成环路。

图 4. 1 MSTP 例
在某种情况的配置下，会造成把交换机A 和B 间的链路给DISCARDING. 由于交换机C 、D 不包含vlanl,无法转发vlanl 的数据包，这样交换机A 的 vlanl 就无法与交换机B 的vlanl 进行通讯。

在网络末梢，连接到单个工作站的时候，是不可能形成桥接环路的。

在接口 上启用了 portfast 特性，可以使交换机端口立即变为转发状态，提高了网络的 响应速度及收敛时间。

基于RSTP 的交换机高级特性Uplinkfast 在网络中的 应用
考虑到有冗余上行连接的网络，使用冗余连接到上层交换机，通常情况下一 个上行连接处于转发状态，另一个处于阻塞状态，如果主上行连接断开，在使用 冗余连接之前所经历的时间高达50S
在使用Uplinkfast 之后，使的具有冗余上行连接的交换机具有根端口失效 时，另一个阻塞的上行连接能够立即使用，这个时间大大缩小到1-5S 之间，在 校园网的特殊环境之下，能大大增强网络的稳定性，加快网络收敛。

4.3 NAT 的策略路由实现
NAT 是网络地址翻译技术，在路由器上起用NAT 之后，可以在部私有地址 和外部公网地址之间做转换。

比如我们可以把网络部使用的IP 翻译成外部公 网的IP 。

配置基于策略的路由选择时，可使用路由映射表来指定基于IP 地址，应用
程序，协议或者分组长度的条件。

基于策略的路由选择命令对中选的路由实现策 略。

v 1 an 1 11
vJan2
vlan2
V lit 111 I
4.4VLAN虚拟局域网的划分
VLAN虚拟局域网是一种在二层设备上隔离和划分广播域的技术，通过这种划分，可以隔离网段，可以有效地管理网络。

在企业网方案中，通过使用VLAN技术进行划分达到以下目的：隔离，划分广播域，减小不必要的广播流量，从而提髙整个网络的利用效率。

4.5ACL访问控制策略
访问列表为我们提供了一种对网络访问进行有效管理的方法，通过访问列表，我们可以设置允许或拒绝数据包通过路由器，或者允许或者拒绝具体的某些端口进行访问和使用，如果满足条件则执行相应的操作，放行这个包或者放弃这个包。

在具体实现过程中从技术上来说我们需要了解到ACL分为两种类型，他们分
别是标准访问列表(Standard access lists)和扩展访问列表(Extends access lists)前者在
过滤网络的时候只使用IP数据报的源地址，那么在使用这种访问列表的情况下它做出允许或者拒绝这个决定完全是依赖于源IP地址，它无法区分具体的流量类型。

4.6链路聚合
以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的伸缩性，比如可以把2个、3个、4个千兆的链路绑定在一起，使链路的带宽成倍增长。

链路聚合技术可以实现不同端口的负载均衡，同时也能够互为备份，保证链路的冗余性。

在这些千兆以太网交换机中，最多可以支持4组链路聚合，每组中最大4个端口。

链路聚合一般是不允许跨芯片设置的。

生成树协议和链路聚合都可以保证一个网络的冗余性。

在一个网络中设置冗余链路，并用生成树协议让备份链路阻塞，在逻辑上不形成环路。

而一旦出现故障，启用备份链路。

4.7交换机端口安全
交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。

交换机端口安全主要有两种类型：一是限制交换机端口的最接数，二是针对交换机端口进行MAC地址、IP地址的绑定。

限制交换机端口的最接数可以控制交换机端口下连的主机数，并防止用户进行恶意ARP欺骗。

交换机端口的地址绑定，可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。

可以实现对用户进行严格的控制。

保证用户的安全接入和防止常见的网的网络攻击。

5企业网络安全设计
5.1企业网络的主要安全隐患
现在网络安全系统所要防的不再仅是病毒感染，更多的是基于网络的非法入侵、攻击和访问，这样对于公司的网络稳定与信息安全产生巨大威胁。

很多情况下部网络安全威胁要远远大于外部网络，因为部中实施入侵和攻击更加容易。

加强部网络的安全管理，配置好防火墙过滤策略和系统本身的各项安全措施，及时安装系统安全补丁，有条件的还可以在、外网之间安装网络扫描检测、网络嗅探器、IDS、IPS系统，甚至配置网络安全隔离系统，对、外网络进行安全隔离；加强部网络的安全管理，严格实行''最小权限”原则，为各个用户配置好恰当的用户权限；
5.2网络安全防体系层次
（1）物理环境的安全性（物理层安全）
该层次的安全包括通信线路的安全，物理设备的安全，机房的安全等。

物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质），软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份。

（2）操作系统的安全性（系统层安全）
该层次的安全问题来自网络使用的操作系统的安全，如Windows NT, Windows 2000等。

主要表现在三方面，一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等。

二是对操作系统的安全配置问题。

三是病毒对操作系统的威胁。

（3）网络的安全性（网络层安全）
该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的与完整性，远程接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段，网络设施防病毒等。

（4）应用的安全性（应用层安全）
该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生，包。