中小型企业网络规划与实施计划方案

中小型企业网络规划及实施方案

第一章项目概述

1.1项目背景

“功欲善其事，必先利其器”，华夏企业深刻认识到业务要发展、必须提高企业部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统，已迫在眉睫，计划建设新的企业园区网络，希望通过这个新建的网络，提供一个安全、可靠、可扩展、高效的网络环境，将自己的分公司与总公司两个办公地点连接到一起，使公司部能够方便快捷地实现网络资源共享、全网接入Internet等目标，同时实现公司部的消息隔离，以及对于公网的安全访问。

1.2项目目标

1.2.1本期目标

为了确保关键应用的正常运行，安全实施，企业网络必须具备如下特性：

(1)采用先进通信技术完成公司网络建设，连接两个距离较远的公司网络办公地点。

(2)为了提高数据的传输速率，在整个公司部网络控制广播域的围。

(3)在整个公司网络实现资源共享，并保证骨干网络的高可靠性。

(4)公司部网络中实现高效的路由选择。

(5)构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网;

(6)选用技术先进、具有容错能力的网络产品，在投资和条件允许的情况下也可采用结构容错的方法；

(7)完全符合开放性规，将业界优秀的产品集成于该综合网络平台之中；

(8)具有较好的可扩展性，为今后的网络扩容作好准备；

(9)整个公司计划采用10M光纤接入到运营商提供的Internet。集团统一一个出口，便于控制网络安全；

(10)设备选型上必须在技术上具有先进性，通用性，且必须便于管理，维护。应具备未来良好的可扩展性，可升级性，保护公司的投资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品。

1.2.2 本期项目环境要求

（1）该公司具有两个公司网络，且相距较远。

（2）公司A为总公司，办公点具有的部门较多，如业务部，综合部等，为主要的办公场所，

因此这部分的交换网络对可用性和可靠性要求较高。

（3）B办公地点只有较少办公人员，但是Internet的接入点在这里。

（4）该公司网络已经申请到了若干公司IP地址，，供公司网接入使用。

（5）公司网使用私有地址。

（6）本公司移动办公人员较多

1.2.3 本期项目所需设备

第二章技术介绍

2.1 SVI

SVI是交换机虚拟接口。用于三层交换机跨vlan间路由。具体可以用interface vlan接口配置命令来创建svi,然后为其配置ip地址即可实现路由功能。

2.2端口安全

最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理，比如MAC 地址与具体的端口绑定，限制具体端口通过的MAC地址的数量，或者在具体的端口不允许某些MAC地址的帧流量通过。

2.3端口聚合

端口聚合主要用于交换机之间连接。由于两个交换机之间有多条冗余链路的时候，STP会将其中的几条链路关闭，只保留一条，这样可以避免二层的环路产生。但是，失去了路径冗余的优

点，因为STP的链路切换会很慢，在50s左右。使用以太通道的话，交换机会把一组物理端口联合起来，做为一个逻辑的通道，也就是channel－group，这样交换机会认为这个逻辑通道为一个端口。

2.4 快速生成树协议（RSTP）

RSTP：快速生成树协议（rapid spanning Tree Protocol ）：802.1w由802.1d发展而成，这种协议在网络结构发生变化时，能更快的收敛网络。它比802.1d多了两种端口类型：预备端口类型（alternate port）和备份端口类型。 STP（Spanning Tree Protocol ）是生成树协议的英文缩写。该协议可应用于环路网络，通过一定的算法实现路径冗余，同时将环路网络修剪成无环路的树型网络，从而避免报文在环路网络中的增生和无限循环。

2.5 VRRP

虚拟路由器冗余协议（VRRP）是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器，它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。VRRP 包封装在 IP 包中发送。

2.6 ACL

访问控制列表（Access Control List，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。

2.7 RIP

路由信息协议（RIP）是一种在网关与主机之间交换路由选择信息的标准。RIP 是一种部网关协议。在国家性网络中如当前的因特网，拥有很多用于整个网络的路由选择协议。作为形成网络的每一个自治系统，都有属于自己的路由选择技术，不同的 AS 系统，路由选择技术也不同。

2.8 NAT

网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避

免来自网络外部的攻击，隐藏并保护网络部的计算机。

2.9 CHAP

CHAP全称是PPP（点对点协议）询问握手认证协议（Challenge Handshake Authentication Protocol）。该协议可通过三次握手周期性的校验对端的身份，可在初始链路建立时完成时，在链路建立之后重复进行。通过递增改变的标识符和可变的询问值，可防止来自端点的重放攻击，限制暴露于单个攻击的时间。

2.10 VPN

虚拟专用网络（Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证的专用网络的扩展。VPN主要采用了彩隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

第三章解决方案

3.1 规划场景

规划场景如下图所示：