中小型企业局域网的设计和规划(共15页)

《中小型企业局域网的设计和规划(共15页)》由会员分享，可在线阅读，更多相关《中小型企业局域网的设计和规划(共15页)（15页珍藏版）》请在装配图网上搜索。

1、精选优质文档-倾情为你奉上中小型企业局域网的设计和规划摘要：在经济日益增长的时代，随着中小型企业数量的不断增长，已经成为我国经济中不可或缺的重要组成部分。中小型企业要想在这样的时代中继续不断地发展，必须有所改变。中小型企业在信息化的过程中，都面临着基础网络规划不合理、功能设计不健全、扩展能力不足等困惑，需要工程化的方案予以规划和指导。本论文以满足中小型企业局域网建设的基本要求为出发点，提出一般企业的典型需求，明确网络在冗余、扩展与安全等方面的设计方案。关键词：局域网；组网方案；综合布线；网络安全Small and medium-sized enterprise local area netwo

2、rk design and planning矚慫润厲钐瘗睞枥庑赖賃軔朧。Abstract:In the period of growing, the growth in the number of small and medium-sized enterprises, has become the indispensable important component of our countrys economy. Small and medium-sized enterprises want to in this era of continuously development, must ch

3、ange. Small and medium-sized enterprises in the process of informatization, are facing unreasonable based network planning, functional design is not perfect, lacking the ability to extend such as confusion, need engineering scheme planning and guidance. In this paper to meet the basic requirements o

4、f small and medium-sized enterprise local area network construction as the starting point, puts forward general enterprise typical requirements, specific network in redundancy, extension and security aspects of design.聞創沟燴鐺險爱氇谴净祸測樅。Key word:Local area network; Network schemes; Integrated wiring; Net

5、work security残骛楼諍锩瀨濟溆塹籟婭骒東。专心-专注-专业目录1、 局域网11.1 局域网概述11.2 局域网分类12、 企业需求分析22.1典型的中小型企业22.2 需求分析23、 组建局域网的设计目标和原则33.1 设计的目标33.2 设计的原则34、 局域网设计方案44.1 网络结构设计44.2 VLAN的设计54.2.1 VLAN技术简介54.2.2 VLAN的划分54.3 IP地址规划与路由协议选择64.3.1 IP地址划分方案64.3.2 路由协议选择74.4 访问控制列表（ACL）84.5 第三层交换技术95、 网络安全规划95.1 外网安全95.2 内网安全106、

6、网络设备的选型106.1 传输介质选型106.2 交换机选型106.3 路由器选型117、 综合布线127.1 综合布线概述127.2 综合布线的标准137.3 综合布线设计138、 测试148.1 整体连通性测试方案148.2 ACL访问测试方案15结束语16参考文献17致 谢181、局域网一种覆盖一座或几座大楼、一个校园或者一个厂区等地理区域的小范围的计算机网。1.1 局域网概述局域网的全称为局部区域网络（Local Area Networks, LAN）。我们把在较小地理范围内，利用通信线路把数据设备连接起来，实现彼此之间的数据传输和资源共享的系统称为局域网。酽锕极額閉镇桧猪訣锥顧荭钯。

7、局域网设计目标是覆盖一所大学、一幢办公楼等“有限地理范围”，因此它的网络拓扑、传输介质与介质访问控制方法具有自身特点。彈贸摄尔霁毙攬砖卤庑诒尔肤。局域网是目前应用最广泛的一类网络，比较适合于连接公司、办公室或工厂里的个人计算机和工作站，因此广泛应用于各种专用网、办公自动化、工业控制及数据处理等领域。局域网的主要特点有：謀荞抟箧飆鐸怼类蒋薔點鉍杂。（1）覆盖的地理范围较小，只在一个相对独立的局部范围内联，如一座或集中的建筑群内；（2）使用专门铺设的传输介质进行联网，数据传输速率高（10Mb/s10Gb/s）；（3）通信延迟时间短，可靠性较高；（4）局域网可以支持多种传输介质。局域网由网络硬件（包

8、括网络服务器、网络工作站、网络打印机、网卡、网络互联设备等）和网络传输介质，以及网络软件所组成。1厦礴恳蹒骈時盡继價骚卺癩龔。局域网可以实现文件管理、应用软件共享、打印机共享、扫描仪共享、工作组内的日程安排、电子邮件和传真通信服务等功能。茕桢广鳓鯡选块网羈泪镀齐鈞。1.2 局域网分类局域网的类型很多，若按网络使用的传输介质分类，可分为有线网和无线网；若按网络拓扑结构分类，可分为总线型、星型、环型、树型、混合型等；若按服务对象分类，可分为企业网、校园网；若按传输介质所使用的访问控制方法分类，又可分为以太网、令牌环网、FDDI网和无线局域网等。其中，以太网是当前应用最普遍的局域网技术。鹅娅尽損鹌惨

9、歷茏鴛賴縈诘聾。从介质访问控制方法角度来看，局域网分为共享介质式局域网与交换式局域网两类。交换式局域网通过局域网交换机支持连接到交换机端口的结点之间的多个并发连接，实现多结点之间的并发传输，增加了网络带宽，改善了局域网的性能与服务质量，成为应用的主流。籟丛妈羥为贍偾蛏练淨槠挞曉。局域网典型技术与产品包括以太网、令牌总线、令牌环网三类，其中以以太网应用最为广泛。随着快速及高速局域网技术的发展，100Mbps、1Gbp和10Gbps的以太网成为必然性的首选。同时，无线局域网快速发展成为应用的新热点。預頌圣鉉儐歲龈讶骅籴買闥龅。2、企业需求分析中小型企业发展过程中，客观业务的发展，不断推动网络需求的

10、变化，应用的增长。2.1 典型的中小型企业典型的中小型企业类型有：(1) 制造商；(2) 大型零售商；(3) 旅馆服务业特许经营商；(4) 公共机构和政府机构；(5) 医院；(6) 学校。根据企业的体系构成和规模，可以将企业网分成工作组级、部门级、园区级和企业级四种网络类型。根据20XX年7月4日，工信部等四部门联合发布的中小企业划型标准规定，各行业划型标准主要依据营业收入和从业人数两项，中小企业从业人员普遍小于1000人的标准，中小型企业网目前适用的网络规模往往在园区级及其以下。这些企业网络通常拥有众多用户、跨越多个位置，或部署多套系统，形成了“园区网”的典型网络，如图2.1所示。渗釤呛俨匀

11、谔鱉调硯錦鋇絨钞。图2.1 园区网结构2.2 需求分析企业内部网络的建设已经成为提升企业核心竞争力的关键因素。企业网已经越来越多地被人们提到，利用网络技术，现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。这直接关系到企业能否获得关键的竞争优势。近年来越来越多的企业都在加快构建自身的信息网络，而其中绝大多数都是中小企业。铙誅卧泻噦圣骋贶頂廡缝勵罴。网络应该支持的交换流量类型包括数据文件、电子邮件、声音和视频等应用，能够有效地处理这些融合的网络流量，设备能进行科学的管理和合理控制。擁締凤袜备訊顎轮烂蔷報赢无。本次设计，涉及部门20个（综合办公室、财务部、研发部、后勤部等），建筑有

12、包括办公楼、生产车间、生活楼及食堂，各建筑间距一般有10200米不等。其中A栋办公楼个a层，每层信息点X个；生活楼B栋各b层，每层Y个信息点；食堂C处各c层，每层Z个信息点；车间D处各为一层，每处有M个信息点。贓熱俣阃歲匱阊邺镓騷鯛汉鼉。3、组建局域网的设计目标和原则3.1 设计的目标中小型企业信息化，首先应该站在企业战略目标的高度，依据企业的经营、营销竞争战略综合考虑，必须从企业的实际出发，来制定实施信息化的总体规划。这样才能保证企业信息化是站在企业战略目标和长远发展的全局上的，是系统的、全面的、统筹兼顾的。因此，设计的总体目标要围绕企业战略，从长远规划而形成的业务、流程、组织、策略，提高网

13、络的安全性、先进性，增强其开放性、扩展性。2坛摶乡囂忏蒌鍥铃氈淚跻馱釣。(1)系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，防范各种形式对网络的非法入侵和内部攻击，防止内部信息数据被非法窃取、篡改或泄漏，以保证网络的实体安全、网络安全、系统安全和信息安全，有效地保障正常的业务活动。蜡變黲癟報伥铉锚鈰赘籜葦繯。(2)系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对先进成熟，整个系统的生命周期应有比较长的时间，在系统建成后比较长的时间内能满足用户需求增长的需要，从而最大限度保护用户投资。買鲷鴯譖昙膚遙闫撷凄届嬌擻。(3)

14、采用的软硬件平台和管理系统，遵循国际标准化组织提出的开放系统互联的标准，能集成任何第三方的应用，具有良好的可移植性和互操作性，存在应用软件的必须独立于软硬件平台。綾镝鯛駕櫬鹕踪韦辚糴飙钪麦。(4)在系统结构、系统容量与技术方案等方面必须具有升级换代的可能，核心设备必须采用模块化的结构，符合网络的发展趋势并具有充分的扩展性。系统建设必须尽量保护现有的软、硬件资源，保证各部门现有的计算机系统的使用，逐步过渡，有效保护用户投资。驅踬髏彦浃绥譎饴憂锦諑琼针。(5)网络链路和设备具备足够高的数据转发能力，保证各种信息的高质量无阻塞传输；交换系统具有很高的交换容量与多服务支持的能力，保证网络服务的质量。猫

15、虿驢绘燈鮒诛髅貺庑献鵬缩。3.2 设计的原则为了实现一个可管理的、可靠的、高性能网络，我们将采用层次化的方法。目前国内外网络建设中普遍采用的网络拓扑结构是将网络划分为核心层、分布层和接入层三个层次进行设计，在保证整个网络的高可靠性、高性能、高安全和灵活的扩展性前提下，采用核心层与接入层的两层拓扑结构，其功能是：锹籁饗迳琐筆襖鸥娅薔嗚訝摈。核心层：提供高速的三层交换骨干；核心层不进行终端系统的连接；核心层少用或不实施影响高速交换性能的ACL等功能；本功能区主要功能是保证VLAN 间的路由；IP地址或路由区域的汇聚。構氽頑黉碩饨荠龈话骛門戲鷯。接入层：提供Layer2或Layer3的网络接入，通过

16、VLAN定义实现接入的隔离。网络接入层具有以下特点：接入层接入端口规划容量根据实际使用情况具有一定的扩展性。輒峄陽檉簖疖網儂號泶蛴镧釃。同时，网络的设计还应遵循标准化原则，网络的设计中所有的管理信令、接口规程、协议须符合国际标准，便于扩展和网络的互联互通，保证与其它网络之间的平滑连接。尧侧閆繭絳闕绚勵蜆贅瀝纰縭。4、局域网设计方案4.1 网络结构设计中小型企业局域网络往往由多种完成不同功能的网络设备组成，包括路由器、交换机、Internet接入设备、防火墙等以及各种服务器，如：网管服务器、主服务器（包括打卡服务器、售餐服务器等）。企业内部网络采用共享或交换式以太网，通过DDN、ASDL、ISD

17、NPSTN等方式，选择合适的网络运营商接入到Internet。并采取相应的措施，确保通讯数据的安全、保密。系统运行要安全、可靠、故障小，软硬件要组织合理而且要便于理解与维护。根据要求，我们确定的中小型企业网络拓扑结构为树状分层结构，如图4.1所示。识饒鎂錕缢灩筧嚌俨淒侬减攙。图4.1 网络拓扑结构示意图4.2 VLAN的设计划分虚拟局域网是整个网络系统的重要技术之一。企业网络内部的环境复杂、分布区域广、网络用户多，以至于企业内部网络用户的可靠性得不到完全的保证。通过划分虚拟局域网，隔离不同部门，可以增强企业网络的安全性。凍鈹鋨劳臘锴痫婦胫籴铍賄鹗。4.2.1 VLAN技术简介VLAN（虚拟局域

18、网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。3基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。恥諤銪灭萦欢煬鞏鹜錦聰櫻郐。传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费可贵的带宽；而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。鯊腎鑰诎褳鉀沩懼統庫摇饬缗。VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控制在

19、一个VLAN内部，划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层（网络层）的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。硕癘鄴颃诌攆檸攜驤蔹鸶胶据。另外，VLAN具有灵活性和可扩张性等特点，方便于网络维护和管理，这两个特点正是现代局域网设计必须实现的两个基本目标，在局域网中有效利用虚拟局域网技术能够提高网络运行效率。阌擻

20、輳嬪諫迁择楨秘騖輛埙鵜。4.2.2 VLAN的划分目前，VLAN技术可以使用以下方式组建：基于交换机端口的VLAN、基于MAC地址的VLAN和基于应用协议的VLAN。氬嚕躑竄贸恳彈瀘颔澩纷釓鄧。考虑到本系统的特点，节点在网络中移动的可能性较小，基于维护、易管理方面的考虑，使用基于交换机端口的VLAN进行配置。釷鹆資贏車贖孙滅獅赘慶獷緞。VLAN规划参照图4.2，各个VLAN间由ACL控制，限制互访。其中VLAN1032为部门VLAN，禁止互访；VLAN40VALN42为服务器区，VLAN40是文件服务器能被任何部门访问，VLAN41为网管区，能单个访问部门，VLAN42为其他服务器。怂阐譜鯪迳

21、導嘯畫長凉馴鸨撟。图4.2 VLAN规划图4.3 IP地址规划与路由协议选择路由组织及其方案是IP网络中的基本问题之一，涉及网络的连通性、可达性、稳定性、精确性和易管理性，其设计的好坏直接影响着网络性能。路由组织应根据网络对路由信息的需求，设计网络中路由信息分布。4谚辞調担鈧谄动禪泻類谨觋鸾。因为IP地址的划分和路由策略息息相关，所以在以IP地址划分的基础上，选择企业网络平台中最优的路由设计方案。嘰觐詿缧铴嗫偽純铪锩癱恳迹。4.3.1 IP地址划分方案IP地址是整个网络系统运行的基石，IP地址划分不仅应该满足当前的需求，还应该充分考虑将来的扩展性，以满足将来的发展需要。因此需要对企业网络系统的

22、IP地址进行统一划分，IP地址划分方案如下：熒绐譏钲鏌觶鷹緇機库圆鍰缄。在整个网络 环境中必须保持IP地址的唯一性；根据业务情况，为每个单位局域网分配一个或多个C类地址段，或者使用VLSM技术进一步进行细化，如分配64个（掩码255.255.255.192）或者32个（掩码255.255.255.224）地址，满足当前需要，并留有一定的扩充余地（23）倍，便于将来增加节点。5鶼渍螻偉阅劍鲰腎邏蘞阕簣择。地址分配具有层次性和连续性，便于管理，即在IP地址规划时应该充分考虑到路由汇总技术，减少路由波动，使得各局部的变动不影响整个网络的其它部分，增加网络的稳定性，同时由于路由汇总技术能够缩减路由表项

23、数，所以还能够提高路由器的处理速率。纣忧蔣氳頑莶驅藥悯骛覲僨鴛。使用VLSM技术，在划分IP地址时应该尽可能的减少IP地址浪费；在访问Internet时，使用NAT或者PAT技术通过防火墙设备进行地址或者端口翻译，把私网地址转换成公网地址，以获得对Internet的访问；颖刍莖蛺饽亿顿裊赔泷涨负這。各局域网内，据业务情况，本着满足需求和扩展性的要求，划分并预留出网络设备地址段、服务器地址段和办公网段。在划分这些网段时，需要注意所有单位应该统一规划，以使地址分段全网统一，便于维护，IP地址划分如表4.1。濫驂膽閉驟羥闈詔寢賻減栖綜。表 4.1 IP地址划分设备名IP地址备注PC 10192.16

24、8.10.1/24VLAN10PC 11192.168.11.1/24VLAN11PC 20192.168.20.1/24VLAN20PC 21192.168.21.1/24VLAN21PC 30192.168.30.1/24VLAN30PC 31192.168.31.1/24VLAN31PC 32192.168.32.1/24VLAN32文件服务器192.168.40.1/24VLAN40网管中心192.168.41.1/24VLAN41其他服务器192.168.42.1/24VLAN42Router0192.168.5.1/30Sw1192.168.5.2/30Sw2192.168.5.3

25、/30VLAN40192.168.5.4/30VLAN41192.168.5.5/30VLAN42192.168.5.6/30Router到防火墙Cloud201.1.14.6/31Cloud到防火墙4.3.2 路由协议选择路由器上指明去另一点要走的具体路径。动态路由是网络上的所有路由器互相通告自己所连的网段，各路由器根据某算法算出到每一点的最佳路径。銚銻縵哜鳗鸿锓謎諏涼鏗穎報。静态路由方式适用于网络拓扑结构确定、结构简单、IP地址完善、网络规模小的场合。静态路由配置简单，调试方便，但由于静态路由在网络上每增加一个点时，都需在网络上增加路由，这样使得静态路由不适合网络规模较大、网络不断发展的场

26、合，而动态路由因为在网络上的路由器间相互交换路由信息，增加节点时，网络上的其他路由器的配置可以不作任何修改，非常便于网络扩展，据企业网络系统的网络规模、结构和将来扩展能力 ，使用动态路由协议。6挤貼綬电麥结鈺贖哓类芈罷鸨。在动态路由中比较常用的协议有以下几种：路由信息协议（RIP）、增强内部网关路由协议(EIGRP)和开放式最短路径优先（OSPF）。赔荊紳谘侖驟辽輩袜錈極嚕辫。RIP和EIGRP属于距离向量协议，OSPF属于链路状态协议；RIP配置简单，适合较小规模的网络，从而限制了网络的扩展；7EIGRP路由协议只适用于所有设备都是Cisco产品的情况，使得限制了设备的选型，不适于网络的扩展

27、；OSPF配置复杂，适合于较大规模的网络。塤礙籟馐决穩賽釙冊庫麩适绲。因此，建议使用适合于大型网络运行的内部网关协议：OSPF，OSPF由于其快速的收敛速度，较低的带宽开销和极大地应用普遍性成为大型网络的不二选择，目前我国众多媒体网骨干网部分所运行的协议都是OSPF。裊樣祕廬廂颤谚鍘羋蔺递灿扰。开放式最短路径优先路由选择协议（OSPF）是于20世纪80年代后期发展起来，并且早在90年代初就由互联网组织实现成为一个现代的与提供方无关的协议。在同一时期，RIP协议已成为最主要的协议，但随着网络规模的发展，逐渐暴露出一些问题。仓嫗盤紲嘱珑詁鍬齊驁絛鯛鱧。OSPF协议的发展接见了许多其他路由协议的思想

28、：包括最初的ARPANET链路的状态协议和OSI协议。大规模的运用OSPF协议的网络必须使用分层网络拓扑结构。实现上更容易，但发生协议改动时，可能会改变拓扑结构。绽萬璉轆娛閬蛏鬮绾瀧恒蟬轅。OSPF协议属于链路状态路由协议，链路状态路由协议是通过给每个路由器提供足够的信息，使其能构建一张完整的网络映射图从而实现的。该网络映射图中的元素包含在路由器的“链路状态数据库”中，库中包含一个详尽的且易于了解的关于给定的链路状态路由域所有链路列表。在OSPF中，链路状态数据库列出了链路状态路由域中特定区域的所有链路。链路状态路由域或区域中每一个路由器，其链路状态数据库的内容都是一致的。每个路由器根据自己的

29、拓扑数据库来确定它在网络中的位置，并以此来计算出自己的路由表。8骁顾燁鶚巯瀆蕪領鲡赙骠弒綈。总的来说，OSPF协议具有以下优点：(1)节省网络带宽；(2)支持VLSM；(3)支持层次化的网络结构设计；(4)支持路由总结；(5)没有路由跳数限制；(6)没有路由环路问题等。4.4 访问控制列表（ACL）访问控制列表是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。9瑣钋濺暧惲锟缟馭篩凉貿锕戧。访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法

30、使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。鎦诗涇艳损楼紲鯗餳類碍穑鳓。访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。栉缏歐锄棗鈕种鵑瑶锬奧伛辊。根据企业情况,访问控制设计如下：各个部门间，禁止互访；文件服务器能被任何部门访问；网管区能单个访问部门，其他服务器禁止访问。4.5 第三层交换技术第三层交换技术是将第二层的交换器与第三层的路由器合二为一，使路由器根

31、据第二层的地址转发数据包以达到快速通讯，形成第三层交换器。辔烨棟剛殓攬瑤丽阄应頁諳绞。第三层交换出现因于ATM与交换器的技术背景，因为传统的网络是由路由器作为中心的。使用使用第二层交换器使网络速度提升，可是在网络中使用过多的交换器可能会形成广播风暴，所以需要路由器来隔离可能会形成的广播风暴，为了使路由器不会形成网络的瓶颈，就产生了第三层交换。峴扬斕滾澗辐滠兴渙藺诈機愦。所有核心层交换机均为三层交换，手动打开ip routing。5、网络安全规划中小企业网络病毒泛滥、安全事件频发，是网络管理面临的重大挑战。从网络安全调查数据来看，网络的安全威胁主要来自三个方面：一方面是网络的恶意破坏者即黑客，造

32、成正常网络服务的不可用、系统数据的破坏；第二个方面是无辜的内部人员造成的网络数据的破坏、网络病毒的蔓延扩散、木马的传播；第三个方面是有些用户窃取他人身份进行越权数据访问，其中以内部人员而造成的网络安全问题为主。10詩叁撻訥烬忧毀厉鋨骜靈韬鰍。安全问题已经成为企业信息化过程普遍问题，表现在部门间互访的安全无法控制，重要数据被入侵者窜改，不能很好应对外部攻击以及移动办公用户上网控制，都急待解决。则鯤愜韋瘓賈晖园栋泷华缙輅。5.1 外网安全由于外网主要运行企业各部门非涉密的内部办公业务以及运行面向客户的公开信息，所以必须采取相对应的安全措施来实现企业网络的安全。外网对安全的要求主要包括物理安全、入侵

33、检测系统、防病毒系统等方面。胀鏝彈奥秘孫戶孪钇賻锵咏繞。物理安全：针对重要信息可能通过电磁辐射或线路干扰等泄露。需要对存放重要信息的机房进行规划，如设置屏蔽室等。对重要的设备进行冗余配置；对系统进行备份等安全保护。鳃躋峽祷紉诵帮废掃減萵輳慘。入侵检测系统网络安全是整体的、动态的，不是单一产品能够实现的，所以为了确保网络的安全必须配备入侵检测系统，对透过防火墙的攻击进行检测并作出相应的记录、警告、阻断等措施。稟虛嬪赈维哜妝扩踴粜椤灣鲳。 防病毒系统针对病毒的危害性极大且传播迅速等特性，应当对所有设备进行防病毒软件的配备，实现全网的病毒安全保护。陽簍埡鲑罷規呜旧岿錟麗鲍轸。5.2 内网安全运用多种

34、技术，对各个部门的访问进行控制，在没有授权的情况下不能进行相互访问，保证系统内部的安全。内网的安全主要包括VLAN的设置、防病毒系统、网络管理系统等方面。沩氣嘮戇苌鑿鑿槠谔應釵蔼绋。VLAN的设置：企业内部网络的环境比较复杂，且子网划分区域广，用户多，使得网络的安全性降低，且多数安全问题主要来至于内部用户，所以对内部用户进行访问控制和安全防范显得尤为重要。通过对VLAN的设置可以对用户的访问起到控制作用，所以应对其进行详尽的设计，使得防护做到网络的每一点。钡嵐縣緱虜荣产涛團蔺缔嵛恽。防病毒系统：针对病毒的危害性极大且传播迅速等特性，应当对所有设备进行防病毒软件的配备，实现全网的病毒安全保护。懨

35、俠劑鈍触乐鹇烬觶騮揚銥鯊。网络管理系统：企业网络是个相当复杂的计算机网络，包含多种设备和技术。随着科技的发展，对系统管理的工作量的增加带来了巨大的冲击，所以必须设计完整的管理体系和相对应的管理措施。謾饱兗争詣繚鮐癞别瀘鯽礎輪。6、网络设备的选型6.1 传输介质选型据主干千兆，百兆到桌面的设计，核心交换机到接入交换机选择千兆多模光纤，接入交换机到桌面采用超五类双绞线。呙铉們欤谦鸪饺竞荡赚趱為練。6.2 交换机选型据本方案设计，我采用两台核心交换机型号为CISCO WS-C4506，具体参数如下表6.1所示：表 6.1CISCO WS-C4506主要参数产品类型企业级交换机应用层级四层传输速率10

36、/100/1000Mbps背板带宽100GbpsVLAN支持网络管理SNMP管理信息库(MIB)II，SNMP MIB扩展，桥接MIB(RFC 1493)MIB包转发率75Mpps网络标准IEEE 802.3，IEEE 802.3u，IEEE 802.3，IEEE 802.3z，IEEE 802.3x，IEEE 802.3ab端口结构模块化交换方式存储-转发扩展模块1个超级引擎插槽数+5个线路卡插槽传输模式支持全双工QOS支持电源电压220V据百兆到桌面，接入交换机我采用CISCO WS-C2960-48TC-L，数量据实际情况而定，具体参数如下表6.2所示：莹谐龌蕲賞组靄绉嚴减籩诹戀。表 6

37、.2 CISCO WS-C2960-48TC-L主要参数产品类型智能交换机应用层级二层传输速率10/100Mbps端口数量50个（48个以太网10/100Mbps端口，2个两用上行端口）背板带宽6.8GbpsVLAN支持网络管理Web浏览器，SNMP，CLI包转发率10.1MppsMAC地址表8K网络标准IEEE 802.3，IEEE 802.3u，IEEE 802.1x，IEEE 802.1Q，IEEE 802.1p，IEEE 802.1D，IEEE 802.1s，IEEE 802.1w，IEEE 802.3ad，IEEE 802.3z端口结构非模块化交换方式存储-转发6.3 路由器选型据本

38、方案的设计及中小型企业的规模路由器采用CISCO 2911/K9，数量据实际情况而定，具体参数如表6.3所示：麸肃鹏镟轿騍镣缚縟糶尔摊鲟。表6.3 CISCO 2911/K9主要参数端口结构模块化广域网接口3个传输速率10/100/1000Mbps防火墙内置防火墙网络协议IPV4，IPV6，静态路由，IGMPV3QOS支持VPN支持端口数量2个外部USB闪存插槽，1个USB控制台端口，1个串行控制台端口，1个串行辅助端口扩展模块1个服务模块插槽数+4个EHWIC插槽+2个双宽度EHWIC插槽（使用双宽度EHWIC插槽将占用两个EHWIC插槽）+1个ISM插槽+2个板载DSP（PVDM）插槽DR

39、AM512目标，最大2GBFLASH256MB电源电压AC 100-240V，47-63Hz其它性能基于硬件的嵌入式密码加速（IPSec+SSL）7、综合布线7.1 综合布线概述所谓综合布线系统是指按标准的、统一的和简单的结构化方式编制和布置各种建筑物(或建筑群)内各种系统的通信线路，包括网络系统、电话系统、监控系统、电源系统和照明系统等。因此，综合布线系统是一种标准通用的信息传输系统。11納畴鳗吶鄖禎銣腻鰲锬颤階躜。综合布线系统是智能化办公室建设数字化信息系统基础设施,是将所有语音、数据等系统进行统一的规划设计的结构化布线系统，为办公提供信息化、智能化的物质介质，支持将来语音、数据、图文、多

40、媒体等综合应用。風撵鲔貓铁频钙蓟纠庙誑繃纸。综合布线同传统的布线相比较,有着许多优越性，是传统布线所无法相比的。其特点主要表现在它具有兼容性、开放性、灵活性、可靠性、先进性和经济性。而且在设计、施工和维护方面也给人们带来了许多方便。灭嗳骇諗鋅猎輛觏馊藹狰廚怃。综合布线系统可划分成六个子系统：工作区子系统、水平（配线)子系统、干线(垂直)子系统、设备间子系统、管理子系统、建筑群子系统如图7.1所示。铹鸝饷飾镡閌赀诨癱骝吶转鮭。图7.1 综合布线系统7.2 综合布线的标准综合布线涉及的方面较多，所以导致了许多地方的差错，早期不同地方的布线标准不一致导致施工难度大 ，后期维护不方便等众多问题。从而使

41、得各个国家都出台了一系列的标准规范。以下是美国国家标准化协会、电子工业协会、电信工业协会共同制定的一些标准。攙閿频嵘陣澇諗谴隴泸鐙浍蹤。TIA/ EIA-568A 商业大楼电信布线标准（加拿大采用CSA工T529）EIA/ TIA-569 电信通道和空间的商业大楼标准（CSA T530）EIA/ TIA-570 住宅和N型商业电信布线标准CSA T525TIA/ EIA-606 商业大楼电信基础设施的管理标准（CSA T528）TIA/ EIA-607 商业大楼接地/连接要求（CSA T527）ANSI/ IEEE 802.5-1989 令牌环网访问方法和物理层规范GB 50311-20XX建

42、筑与建筑群综合布线系统工程设计规范GB 50312-20XX建筑与建筑群综合布线系统工程验收规范CECS72：97建筑与建筑群综合布线系统工程设计及验收规范7.3 综合布线设计本设计方案参照相关标准设计，以达到保质保量，系统支持语音和数据图像传输等，能够满足中小型企业的业务需求，设计方案如下:趕輾雏纨颗锊讨跃满賺蚬騍純。企业的主设备间设于办公楼二层的综合机房，从主设备间引线接至相关工作区域。水平布线电缆采用超5类双绞线，信息插座采用5类系列插座。夹覡闾辁駁档驀迁锬減汆藥徑。本方案有五大子系统，为工作区子系统、水平（配线)子系统、干线(垂直)子系统、设备间子系统、管理子系统、建筑群子系统，具体设

43、计如下：视絀镘鸸鲚鐘脑钧欖粝佥爾鱿。工作区子系统：本系统中工作区有办公楼，生活楼、车间、食堂，A栋办公楼个a层，每层信息点X个；生活楼B栋各b层，每层Y个信息点；食堂C处各c层，每层Z个信息点；车间D处各为一层，每处有M个信息点。所需要的RJ45单插座面板和RJ45插座模块分别为：偽澀锟攢鴛擋緬铹鈞錠铃铋跄。( A*a*X+B*b*Y+C*c*Z+D*M )*( 1 + 3 % )水平子系统：水平子系统为配线间水平配线架至各个办公室内插座面板的连接线缆，本系统采用超5类双绞线。线缆用量计算：緦徑铫膾龋轿级镗挢廟耬癣纥。A(平均长度)=（最长长度+最短长度）0.55+10D是端接余量，常用数据是

44、615m，根据工程实际取定。本设计中取10m。水平电缆的数量=信息点数A/305+1设备间子系统：设备间子系统是在每栋建筑内的适应位置专设的安装设备和建筑物间光纤接入的房间，它还是网络管理和值班人员的工作场所。设备间温度、湿度、尘埃、照明、电磁场干扰、内部装修、噪声、火灾警报及灭火设施等环境条件，接地性能必须符合GB/T50312-20XX建筑与建筑群综合布线系统工程验收规范。騅憑钶銘侥张礫阵轸蔼揽齊弯。一方面由于从设备间到楼内各信息点的距离不超过90M，另一方面为了管理方便和节省配线间对空间的占用，将设备设置在办公楼二层综合机房， 所有的配线管理全部在设备间。疠骐錾农剎貯狱颢幗騮鸪詼驤。根据

45、配线架、光纤终端盒和网络设备的数量情况，设备间配置A台标准42U机柜及相关设备。8、测试测试是检测一套方案的可行性，同时也是一项艰巨的任务，设计方案是否存在缺陷，都可以同过测试来了解，从而找到修改方案的方法，为以后的工作提供依据。镞锊过润启婭澗骆讕瀘載撻贏。8.1 整体连通性测试方案ping命令是一种常见的网络连通性测试命令。ping的原理很简单，就是向远程计算机通过ICMP协议发送特定的数据包然后等待回应并接收返回的数据包 ，对每个接收的数据包均根据传输的消息进行验证以校验与远程计算机或本地计算机的连接情况。5需要注意的是检测顺序，必须遵守的规则是由近到远的检测顺序，否则会出现网络问题的错误

46、定位。榿贰轲誊壟该槛鲻垲赛纬闼糝。利用ping命令进行网络连通性检查的前提条件是，本网的交换机、路由器和本网中的计算机不能禁止ping 命令的使用ping出和ping入。通过以下步骤来检测网络的连通性。邁茑赚陉宾呗擷鹪讼凑幟结廢。(1)进入windows命令输入框： 点击开始菜单运行输入cmd，然后回车；(2)测试本机TCP/IP协议安装配置是否正确,即ping 127.0.0.1；127.0.0.1是本地回绕地址。由Reply from 127.0.0.1: bytes=32 time1ms TTL=128 packets: sent=4 Received=4 Lost=0 表明本机TCP/

47、IP协议运行正常。嵝硖贪塒廩袞悯倉華糲饃励骝。(3)Ping本机IP检查本机的网卡是否正常。ping 192.168.1.44；发送4个ICMP回送请求，每个32字节数据，得到4个回送应答。 通过参数 Packets: sent=4 Received=4 Lost=0 TTL=128说明数据包返回正确，没有丢包现象，表明本机网卡工作正常。该栎谖碼戆沖巋鳧薩锭谟贛赘。(4)检测本机所在局域网是否正常。通过ping本网邻居的IP地址来间接测试本网是否运行正常。邻居有一台192.168.1.33机器正在运行，可以ping它；劇妆诨貰攖苹埘呂仑庙痙湯簖。Reply from 192.168.1.33:

48、 bytes=32 time=111ms TTL=64 packets: sent=4 Received=4 Lost=0 表明所在局域网正常。臠龍讹驄桠业變墊罗蘄嚣驮广。(5)检测本网的默认网关是否正常：输入ping 192.168.1.254；Reply from 192.168.1.254: bytes=32 time=1ms TTL=64 packets: sent=4 Received=4 Lost=0 表明正常。鰻順褛悦漚縫冁屜鸭骞阋苈騍。(6)检测远程主机的连通性。设远程目的主机为sina网站服务器，键入命令：ping 。穑釓虚绺滟鳗絲懷紓泺視娇賭。Reply from 202.

49、108.33.60: bytes=32 time=52ms TTL=244 packets: sent=4 Received=4 Lost=0 表明正常。隶誆荧鉴獫纲鴣攣駘賽涝鈧籜。8.2 ACL访问测试方案本方案中的设计是各个部门间使不能访问的；文件服务器是可以被访问的；网管区能单个访问部门，但不能被访问；其他服务器不能被访问。浹繢腻叢着駕骠構砀湊農瑤帳。对于访问控制列表的测试，依然可以使用ping命令来实现，通过以下步骤来检测访问控制列表的实现情况：(1)办公室的各个部门间是ping不通的。A部门与B部门互ping对方，若不能ping通，说明ACL配置达到要求，反之则配置有问题；鈀燭罚櫝箋

50、礱颼畢韫粝銨鹏骆。(2)办公楼、车间、食堂和生活楼之间是ping不通的。在办公楼、车间、食堂和生活楼之间互ping对方，若不能ping通，说明ACL配置达到要求，反之则配置有问题；惬執缉蘿绅颀阳灣熗鍵舣讷赃。(3)文件服务器是ping通的。在办公楼的各个部门、车间、食堂、生活楼来ping文件服务器，若能ping通，说明ACL配置达到要求，反之则配置有问题；贞廈给鏌綞牵鎮獵鎦龐朮戗笾。(4)网管区不能ping通，但网管区能ping通各部门。在各个部门去ping网管区，若不能ping通，说明ACL配置达到要求，反之则配置有问题；再在网管区ping各部门，若能ping通，说明ACL配置达到要求，反之

51、则配置有问题。嚌鲭级厨胀鑲铟礦毁蕲鷯鑭嵝。结束语论文在中小型企业网络建设方面提出了规划与设计方案，解决了内部网络与外网（Internet）安全互联的问题，我相信这仅仅建立了一个基本的，较为初步的网络。如前所述，中小企业局域包括外网、内网和企业网互联三个方面，解决了外网与内网之后，企业网的互联部分，即通常利用专线、远程（ISDN、ADSL等）、VPN技术来建立与内部网络的安全连接（或通道）也是较为重要的方面，这是本论文未涉及且需要认真探讨的问题。此外，中小企业网还应包括内部无线网络的建设问题，毕竟无线网络是目前比较受热捧的应用，方便且高效。其它中小企业网可能会使用到的相关技术还包括NAT及PAT

52、等，我想在论文之外诸多方面还需要我个人不断地去思考、不断地去努力偿试。薊镔竖牍熒浹醬籬铃騫违紗駑。参考文献1 尹敬齐.局域网组建与管理（第二版）.北京：机械工业出版社，20XX.12 吴功宜.计算机网络（第二版）M.北京：清华大学出版社，20XX3 王达.局域网组建与配置技能实训M.北京：人民邮电出版社，20XX4施游，桂阳，胡钊源.网络规划设计师考试辅导教程M.电子工业出版社，20XX5 王建平.计算机网络技术与试验.北京：清华大学出版社，20XX 6 胡金初.计算机网络试验教程.北京：高等教育出版社，20XX7 赵喆.计算机网络实用技术M.北京：中国铁道出版社，20XX8 Dinae Te

53、are.CCNP学习指南：组建可扩展的Cisco互联网络（BSCI）（第三版）.人民邮电出版社，20XX.10齡践砚语蜗铸转絹攤濼絡減貽。9 谢希仁.计算机网络（第5版）.北京：电子工业出版社，20XX.210（美）Allan Reid，（美）Cheryl Schmidt.CCNA Discovery:企业中的路由和交换.北京：人民邮电出版社，20XX绅薮疮颧訝标販繯轅赛怃贿豎。11 余明辉，童小兵.综合布线技术教程.北京：清华大学出版社；北京交通大学出版社，20XX致 谢大学三年学习时光已经接近尾声，在此我想对我的母校，我的父母、亲人们，我的老师和同学们表达我由衷的谢意。饪箩狞屬诺釙诬苧径凛骗橥峽。感谢我的家人对我大学三年学习的默默支持；感谢我的母校给了我深造的机会，让我能继续学习和提高；感谢老师和同学们三年来的关心和鼓励。老师们课堂上的激情洋溢，课堂下的谆谆教诲；同学们在学习中的认真热情，生活上的热心主动，所有这些都让我的三年充满了感动。烴毙潜籬賢擔視蠶贲粵貫飭驴。