中小型企业局域网的规划与设计

摘要
随着我国经济的快速发展，中小型企业的数量不断增长，已成为中国经济最具活力，最多元化的组成部分。

中小企业如何利用不断发展的信息技术增强企业核心竞争力，如何通过对信息技术的持续投入，把IT部门的运营效率转换成为业务发展的驱动力，获取更多商业回报，是企业发展中的焦点问题。

中小企业信息化过程中，也普遍面临基础网络规划不合理、功能设计不健全、扩展能力不足等实际困惑，客观上需要工程化的方案给予规划和指导。

本论以满足中小型企业局域网建设的基本要求为出发点，提出了园区级网络的典型需求，明确网络在冗余、扩展与安全等方面设计的定位。

从企业网络的基础架构，中小企业的内部网和外联网（接入网）两方面入手，探讨网络编址方案、中继与vlan间路由、有类路由和CIDR技术，对比了静态路由和动态路由的各种协议特点，如RIP、EIGRP和OSPF, 本着经济、适用、安全的原则确定了设备的选型，应用分级（也称为分层）设计模型，以网络规划、综合布线与模拟器实验模拟三大版块，组织并形成了本篇实践性论文。

关键词：局域网，组网方案，综合布线，网络安全
1
目录
前言 (1)
第1章、局域网技术 (3)
1.1发展与趋势 (3)
1.2中小型企业局域网的特点及要求 (3)
第2章、需求分析 (6)
2.1典型的业务模型 (6)
2.2需求定位 (7)
第3章、网络方案的设计 (8)
3.1设计的目标 (8)
3.2设计的原则 (9)
3.3技术规划 (9)
3.3.1网络的体系结构 (9)
3.3.2网络层次的划分 (10)
3.3.3以太网交换技术（虚拟交换技术） (12)
3.3.4网络的规划与编址 (12)
3.3.5企业wan链路 (17)
3.3.6流量控制 (17)
第4章、物理设计及设备选型 (19)
4.1 物理设计的原则 (19)
4.2 传输介质的选型 (19)
4.3交换机的选型与配置 (19)
4.4路由协议、设备的选型与配置 (29)
第5章、安全策略 (32)
5.1企业网边缘处及vlan间的安全考虑 (32)
5.2流量控制与安全防护策略 (33)
第6章、综合布线 (34)
6.1综合布线概述 (34)
2
6.2综合布线的标准 (34)
6.3综合布线设计 (36)
第7章、实验与验证 (40)
7.1验证工具 (40)
7.2实验模拟 (41)
7.2.1各VLAN配置的连通性测试 (41)
7.2.2企业WAN链路连通性测试 (49)
7.2.3 ACL访问策略测试 (55)
结论与展望 (59)
致谢 (61)
参考文献 (62)
附录 (63)
3
前言
在信息时代网络技术快速发展的背景下，中小企业有业务与信息技术深度融合的迫切需求，提出中小企业局域网规划与设计方案，既是对我本人近两年所学知识的回顾和进一步总结，更是学以致用并付诸实践后的检验。

整个过程，通过发现并分析问题，最终将进一步提高我个人解决问题的能力。

在论文准备阶段，我主要阅读了人民邮电出版社出版，由Allan Reid，Jim Lorenz，Cheryl Schmidt（美国）合著的《CCNA Discovery:企业中的路由和交换简介》。

该书对网络技术发展做出了较为全面的总体说明，对技术细节说明条理清晰，知识点衔接紧凑。

同时，从CCNA网络程序员认证的角度，给出了大篇副的实验题目，使读者借助PacketTracer（思科开发）可以模拟并完成所有章节的实验。

文献的有关实验我都认真阅读，并结合论文在技术实现上做到了实际应用。

完成论文的过程中， PacketTracer使我有了验证规划与方案可行性的依据，并最终有理有据地完成了论文所有工作。

由电子工业出版社出版，徐锋老师著《网络工程师考试冲刺指南》，是我读到的另一本个人较为喜欢的网络规划与设计书目，该本在方案制定与技术实施方面给予网络工程师更为明了和直接有效的参考示例，知识点清楚覆盖全面。

在本论文中，我主要融合了文献关于园区级网络的部分论述。

在完成论文的过程中，其它文献的不同论点均有不同程度的参考，也有选择地在本论文中不同程度的汇总并做为论述的依据，所有文献内容都很精彩，非常感谢他们。

本篇论文就中小企业局域网建设，讨论了中小企业园区级网络的类型，根据投资人民币20余万的预算，主干千兆、接入到桌面百兆的要求，提出了规划与设计方案，解决了网络的定位、设备选型、协议选择、设备配置与综合布线实施等几方面问题。

论文首先根据局域网技术的发展与超势，论述了中小型企业局域网的特点与要求，进而提出了典型的业务模型与需求定位，按照网络层次的划分的原则，设计了中小型企业网核心到接入交换的两级网络模型，明确了网络的编址方案，考虑了基本的网络安全与流量控制因素，论文全篇给出核心、路由与防火墙的主要配置过程，并对方案应用模拟器进行模拟。

在论文最
1
后，通过实验（有关实验配置见附录）使用PacketTracer，对vlan连通性、WAN链路连通性及ACL防问策略做了重点验证，保证了方案的合理性、有效性与可行性。

我认为，中小企业局域网规划与设计方案，简单化就是在基于统一IP技术来构建的IT系统，即从IP网络、到基于IP的通信和统一的IT资源管理，提供一揽子解决方案从而实现IT技术的全面融合，最大化的降低中小型企业IT 系统的总体建设成本和提高其IT系统的总体使用效率。

这个过程，要遵循简单、有效、可靠与安全的原则，更要考虑建设成本，建成后还更要保护中小企业投资并使网络的效能发挥到更大化，使维护简单易行。

希望本论文在此方面，能提供一些参考。

2
第1章、局域网技术
“局域网”是指地理覆盖范围小的网络，通常为拥有互联设备的组织所有。

局域网具有数据传输速率高,低延迟和误码率（其误码率一般为 10-8～10-11），建设成本低、周期短，便于安装、维护和扩充的特点。

局域网设计目标是覆盖一个公司、一所大学、一幢办公楼的“有限地理范围”，因此它的网络拓扑、传输介质与介质访问控制方法具有自身特点。

１.1发展与趋势
局域网拓扑结构主要包括总线型、星状、环状。

其他类型的拓扑结构，如总线型与星型混合、总线型与环型混合连接的网络。

局域网中使用最多的是星型结构。

传输介质主要采用双绞线、同轴电缆与光纤等，网络分为有线网络和无线网络两种。

局域网通常采用单一的传输介质，也可以同时采用多种传输介质。

从介质访问控制方法角度，局域网分为共享介质式局域网与交换式局域网两类。

交换式局域网通过局域网交换机支持连接到交换机端口的结点之间的多个并发连接，实现多结点之间的并发传输，增加了网络带宽，改善了局域网的性能与服务质量，成为应用的主流。

局域网典型技术与产品包括Ethernet(以太网)、Token Bus（令牌总线）、Token Ring（令牌环网）三类，其中以Ethernet应用最为广泛。

Ethernet中以10Mbps Ethernet使用最广，随着快速及高速局域网技术的发展，100Mbps、1Gbp和10Gbps的Ethernet成为必然性的首选。

同时，无线局域网快速发展成为应用的新热点。

1.2中小型企业局域网的特点及要求
根据企业的体系构成和规模，可以将企业网分成工作组级、部门级、园区级和企业级四种网络类型。

3
4
工作组级：通常位于办公室内部或几个办公室内的网络，是最基础的单元级网络，通常采用10/100Base-Tx 技术。

部门级：位于同一楼宇内的局域网，相当于小型企业的“企业级”网络。

园区级：由企业中各部门网络互联组成，通常跨越数个楼宇。

企业级网络：由分布在各地的园区级或部门级网络互联在一起的大型网络。

根据2011年7月4日，工信部等四部门联合发布的《中小企业划型标准规定》，各行业划型标准主要依据营业收入和从业人数两项，中小企业从业人员普遍小于1000人的标准，中小型企业网目前适用的网络规模往往在园区级及其以下。

其结构示意图如图
1-1.
图1-1中小企业网结构示意图
中小企业局域网结构应该包括外网、内网和企业网互联三个方面：
外网：位于防火墙外直接与Internet相连的区域。

它为整个企业网提供一个“缓冲地带”用来提供企业网对外交流的渠道，或提供对外的网络应用服务。

内网：即企业内部网络，是整个企业网的核心。

企业网互联：通常利用专线、远程（ISDN、ADSL等）、VPN技术来建立连接。

5
第2章、需求分析
中小型企业发展过程中，客观业务的发展，不断推动网络需求的变化，应用的增长。

2.1典型的业务模型
常见的中小型企业环境有：
■制造商
■大型零售商
■旅馆服务业特许经营商
■公共事业和政府机构（我国有关标准对此未做出明确规定）
■医院；
■学校系统。

这些企业网络通常拥有众多用户、跨越多个位置，或部署多套系统，形成了有些教材称为“园区网”的典型网络，如图2-1所示。

中小型企业网的典型特征是：拥有自己的物理线路，这些线路都部署在园区内部，采用了LAN/MAN技术，将建筑特群所有端点系统连接起来。

企业依靠网络提供用于共享的资源与信息，支持网络办公与多元化的业务。

6
图2-1园区网结构
2.2需求定位
本次按照园区级的网络设计，预定使用网络的用户终端极限数量是700个，涉及部门20个（综合办公室、财务部、研发部、后勤部等），综合布线的建筑4个（包括办公楼、生产车间、生活楼及食堂），各建筑间距一般有百余米。

总体投资经费20万元左右，包括办公网络的组建，交换机设备购置，综合布线施工等。

网络必须支持的交换流量类型包括数据文件（如OA办公系统）、电子邮件、声音和视频应用，能有效地处理这些融合的网络流量，设备能进行科学的管理和合理控制。

依靠网络基础架构提供关健型服务是企业正常运行，提高经济效益的关键和根本，网络设计的可靠性必须达到90%以上。

网络设计中需要引入冗余功能，避免出现任何单点故障，其它要素包括优化网络带宽的利用率、确保安全性和
网络性能等。

第3章、网络方案的设计
3.1设计的目标
中小型企业信息化，首先应该站在企业战略目标的高度，依据企业的经营、营销竞争战略综合考虑，必须从企业的实际出发，来制定实施信息化的总体规划。

这样才能保证企业信息化是站在企业战略目标和长远发展的全局上的，是系统的、全面的、统筹兼顾的。

因此，设计的总体目标要围绕企业战略，从长远规划而形成的业务、流程、组织、策略。

3.1.1安全性
系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，防范各种形式对网络的非法入侵和内部攻击，防止内部信息数据被非法窃取、篡改或泄漏，以保证网络的实体安全、网络安全、系统安全和信息安全，有效地保障正常的业务活动。

3.1.2 先进性
系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对先进成熟，整个系统的生命周期应有比较长的时间，在系统建成后比较长的时间内能满足用户需求增长的需要，从而最大限度保护用户投资。

3.1.3 开放性
采用的软硬件平台和管理系统，遵循国际标准化组织提出的开放系统互联的标准，能集成任何第三方的应用，具有良好的可移植性和互操作性，存在应用软件的必须独立于软硬件平台。

3.1.4 扩展性
在系统结构、系统容量与技术方案等方面必须具有升级换代的可能，核心设备必须采用模块化的结构，符合网络的发展趋势并具有充分的扩展性。

系统建设必须尽量保护现有的软、硬件资源，保证各部门现有的计算机系统的使用，逐步过渡，有效保护用户投资。

3.1.5 高性能
网络链路和设备具备足够高的数据转发能力，保证各种信息的高质量无阻塞传输；交换系统具有很高的交换容量与多服务支持的能力，保证网络服务的质量。

3.1.6 标准化
为充分共享资源，实现同层次网络互连，建筑物间互联，相关信息系统网际互联过程中，设备的各种接口必须满足标准化原则。

3.2设计的原则
3.2.1层次化原则
为了实现一个可管理的、可靠的、高性能网络，我们将采用层次化的方法。

目前国内外网络建设中普遍采用的网络拓扑结构是将网络分为核心层、分布层和接入层三个层次进行设计。

本次设计中，根据中小型业700个终端、20万元投资的典型要求，在保证了整个网络的高可靠性、高性能、高安全性和灵活的扩展性前提下，采用核心层与接入层的两层拓扑结构，每一层的网络设备功能描述如下：
核心层：提供高速的三层交换骨干；核心层不进行终端系统的连接；核心层少用或不实施影响高速交换性能的ACL等功能；本功能区主要功能是保证VLAN 间的路由；IP地址或路由区域的汇聚。

接入层：提供Layer2或Layer3的网络接入，通过VLAN定义实现接入的隔离。

网络接入层具有以下特点：接入层接入端口规划容量根据实际使用情况具有一定的扩展性；
上述两层中，主要在核心层采用了冗余的架构来保障骨干区域功能的稳定可靠。

3.2.2 标准化原则
网络设计中所用的各种管理信令、接口规程、协议须符合国际标准，便于扩展和网络的互连互通。

保证与其它网络（如互联网等）之间的平滑连接
3.3技术规划
3.3.1网络的体系结构
中小型企业局域网络往往由多种完成不同功能的网络设备组成，包括路由器、交换机、Internet接入设备、防火墙等以及各种服务器，如：网管服务器、主服务器（包括打卡服务器、售餐服务器等）。

企业内部网络采用共享或交换式以太网，通过DDN、ASDL、ISDN／PSTN等方式，选择合适的网络运营商接入到Internet。

并采取相应的措施，确保通讯数据的安全、保密。

系统运行要安全、可靠、故障小，软硬件要组织合理而且要便于理解与维护。

根据要求，我们确定的中小型企业园区级网络拓扑结构为树状分层结构（如图3-1）。

图3-1园区级网络树状分层结构
3.3.2网络层次的划分
正确的网络结构设计，是企业网络中流量传输控制的客观要求。

只有控制流量在网络中合适的位置，而不是任由流量随意流动，才能保障有价值的带宽
资源，保证网络性能。

否则将面临片面增加网络成本来提高网络带宽的被动局面。

此外，应该注意到，流量也是有安全隐患的，它可能包含秘密的信息或网络结构自身的信息。

采用分层设计模型有助于网络结构的设计。

区别于企业网三层结构的拓扑结构，本次设计中结合中小型企业园区级网络规模小、用户相对少和投资额度普遍低的特点，本着适当的原则分层结构设计分为两级（如图3-2）：
图3-2规划的中小企业网拓扑示意图
第一级是网络的千兆主干（骨干）网络，属核心层，并采用了冗余设计。

主干千兆位交换机的任务是将各个子网分布路由的信息简洁快速地交换到目的地址，起到信息快速通道的作用。

网络主干上连接着对带宽和可靠性有很高要求的设备，如服务器群、交换机、路由器等，放置在办公楼1楼的网管中心。

第二级是直接连接拥护的计算机，属接入层。

放置在楼层弱电井内（管理子系统部分），它通过多模光纤上联到核心计算机，通过超5类双绞线与工作区子系统（信息插座）连接。

一般地，一个楼层组成一个单独的子网。

这种“骨干千兆光纤，百兆铜缆到桌面”的层次划分有以下特点：结构清晰，易于设计和管理，大大提高了网络的扩充能力；网络结构和实际应用的组织结构相一致，便于安全管理，减轻网络的数据流量；根据不同层次和实际经济承受能力，选择相应的网络设备和硬件设备，使投资更合理。

总之，采用层次化的网络设计，其优点是便于网络管理，优化网络性能，增强网络的扩展性。

3.3.3以太网交换技术（虚拟交换技术）
采用交换机可以减少本地网络内发生的冲突，然而全部由交换机构成的网络往往会构成一个广播域，在单个广播域或平面网络中，每台设备都会接收每个广播。

随着交换网络中主机数量的增长，所发送和接收的广播也不断增加，广播数据会占用大量带宽，导致通信延迟和超时。

使用VLAN是一个很好的解决此类网络问题的方案之一，每个VLAN都具有自己的广播域，避免了广播风暴，提高了网络的效能。

3.3.4网络的规划与编址
中小企业网络用户近千人，适合使用分层的地址方案，结合分层网络设计，简化了网络管理，提升可扩展性和路由性能（如VLSM支持路由总结对提升网络性能具有明显效果）。

中小企业网络内部一般使用保留地址，即不在公网上使用的IP地址，如表3-3。

表3-3保留地址
根据本次典型需求，即20个部门（综合办公室、财务部、研发部、后勤部等），共700个设计点位，四个建筑（包括办公楼、生产车间、生活楼及食堂）
楼层共计10个的要求，大部分部门用户数应在30人左右，最大部门的用户也将不会超过62人，选定设备类型及数量如表3-4。

表3-4设备清单
通过以上要求分析采用C类保留地址较为适当。

对比“子网联网”和“可变字长子网掩码（VLSM）”两种技术，在对相关子网地址无法精确估计情况下，为做到对子网地址留有余地，采用子网联网的技术，使每个子网地址数相等，保留主机数为６２个。

管理上按照管理VLAN（定义为各设备的默认VLAN1）、设备连接VLAN（vlan2）和业务VLAN三类构成，划分如下：
表3.5主要设备及接口地址规划
表3-6接入交换设备连接VLAN划分表
说明：
核心交换C3750X-24S-S1：C3750X代表设备型号，24代表端口数量，2f 代表为相应建筑的第二个楼层设备，S1中S代表设备为交换机，S1中数字代表该设备编号（如S2则代表第二个核心交换）。

接入交换Bg-C2960-5f-1：Bg代表办公楼（Sh代表生活楼、Sc代表生产车间大楼、St代表食堂），C2960代表接入交换的型号，5f对应大楼楼层，1代
表弱电井中交换机的序号。

表3-7业务VLAN划分表
Vlan是在一个物理网段内，进行逻辑划分，划为为若干虚拟局域网。

Vlan 具备一个物理网段的所有特性，相同VLAN可直接通信，不同VLAN间访问必须经由路由器转发，广播只可以本vlan内进行。

实现VLAN有两种方式，Port Vlan 和Tag Vlan，Port Vlan利用交换机的端口进行Vlan划分，一个端口只能属于一个Vlan, Tag Vlan对不同Vlan的主机进行隔离，数据传输时需要在数据
帧内添加4个字节的802.1Q标签信息，便于对接收到的数据帧进行过滤。

结合静态VLAN与动态VLAN，基于交换机端口划分的动态VLAN较为适应中小型企业网运行环境，当然Tag Vlan的也必须使用。

我们把一个或多个接入交换机上的几个端口划分在一个逻辑组中，简单明了并且有效，即利用Port Vlan 划分方式。

该方式不允许多个VLAN共享一个物理网段或交换机端口，要求某个用户如果从一个端口所在的虚拟网移动到另一个端口所在的虚拟网时，管理员必须对接入地址进行重新分配。

而且，在核心交换或中继接口上也必须使用truck，以支持设备的堆叠并降低网络的建设成本，即使用port vlan的方式。

3.3.5企业wan链路
ISP会采用几种不同的WAN技术来连接其用户。

本地环路（即最后一英里）上使用的连接类型可能与ISP网络内或不同ISP之间采用的WAN连接类型有所不同，一些常见的最后一英里技术包括：
模拟拨号；
集成服务数字网络（ISDN）；
租用线路；
电缆；
数字用户线路（DSL）；
帧中继；
无线。

目前，随着中小企业各种应用需求的增加，带宽要求也越来越大，传输质量要求也越来越高。

常见的中小企业网络接入以租用100M光纤线路为主，在网络边界上往往通过路由设备或防火墙接入互联网。

3.3.6流量控制
一些情况下，流量保留在企业网络的LAN部分，另一些情况下，流量会在WAN流量上传输。

LAN网络中应限制在本地传输的流量类型包括：文件共享、打印、内部备份、镜像和园区网内通信。

在本地网络中常见并且常常通过WAN发送的流量类型包括：系统更新、公司邮件和交易处理。

除了WAN流量以外，外
部流量还包含进出INTERNET的流量（如身份验证、视频会议等）。

VPN和INTERNET 流量被视为外部流量。

流量控制除了体现在网络拓扑结构分层设计上，也需要在VLAN划分上尽可能把某一业务的流量限制在同一VLAN内部。

在语音、视频与数据在同一介质传输的融合网络下，对不同类型网络流量特特的了解，也是合理控制流量的先决条件。

数据流量
大多数网络应用程序都要使用数据流量，或偶尔传输少量数据，或（如数据存储应用程序）需要传输较高流量。

对某些数据应用程序来说，时间可靠性更重要，但大多数数据应用程序都允许一定的延迟。

因此数据流量常采用传输控制协议（TCP），TCP使用确认机制来确定何时必须重新传输丢失的数据包，从而保证传输的质量。

语音和视频流量
语音与视频应用程序要求不间断地传输数据流以确保会话和图像质量。

TCP 确认过程会带来延迟，导致流量中断并降低应用程序的质量。

因此，语音与视频应用程序使用数据报协议UDP代替TCP。

此外，还需求考虑由于网络设备自身到目的地的路径上流量所带来的延迟和迟时。

如三层设备由于必须处理报头，延迟比二层设备更大。

服务质量Qos是用于保证足够的带宽传输指定数据流的过程，应用Qos机制优先级对流量进行分类排序，例如语音流量的优先级高于普通数据，使得高优先级的数据流量比低优先级的数据先发送。

第4章、特理设计及设备选型
4.1物理设计的原则
核心层应用千兆以太网技术、有冗余链路设计。

接入层设备堆叠。

4.2传输介质的选型
根据全网主干千兆，百兆到用户桌面的设计，结合四个建筑物相距百余米的实际，核心交换机到接入交换机选择千兆多模光纤，接入交换机到用户桌面，即综合布线的水平子系统采用超五类双绞线。

4.3交换机的选型与配置
根据方案，我们选择两台思科WS-C3750X-24S-S交换机作为核心交换机，两台交换机部署HSRP冗余网关协议，提高网络的高可用性的同时，对全网数据进行高速交换。

WS-C3750X-24S-S为全千兆三层以太网交换机产品，配备24个10/100/1000Mbps自适应以太网SFP接口，可支持堆叠。

背板带宽160Gbps。

通过 Cisco StackPower、IEEE 802.3at 增强型以太网供电 (PoE+) 配置、可选网络模块、冗余电源和媒体访问控制安全 (MACsec) 等创新功能，提供无间断连接性、可扩展性、安全性、能效性和易操作性。

具有StackWise® Plus 技术的 Cisco Catalyst 3750-X 系列为发展中的业务需求提供可扩展性、易管理性和投资保护（主要指标见表4-1）。

表4-1核心交换机主要指标。