kok电子竞技

---文档均为word文档，下载后可直接编辑使用亦可打印---摘要随着网络建设的不断发展，办公自动化也在逐渐的普及，现在大大小小的企业网络化建设也是在如火如荼的进行。采用统一的网络协议（TCP/IP），建设一个可实现各种综合网络应用的高速计算机网络系统，将各个部门之间通过网络连接起来，与Internet相连，方便了各楼层部门之间的信息交流，节约了时间，使得企业在激烈的社会竞争中赢得了成功的基础。为了满足企业的需求及方便网络管理，如何选择一个合适的组网方案并且选择合适的网络产品成了各企业非常关心的问题。本文根据企业内部网络接入使用用户需求分析，设计企业网络拓扑结构，设计规划企业综合布线系统，并对配置网络中所有网络设备的步骤进行详细阐述；并设计出企业内部网接入设计、NAT配置的详细步骤。关键词：企业网；网络设计；网络接入；AbstractWiththecontinuousdevelopmentofnetworkconstruction,officeautomationisbecomingmoreandmorepopular,andnowtheconstructionofenterprisenetworkisinfullswing.Usingtheunifiednetworkprotocol(TCP/IP),buildacomprehensivenetworkcanrealizevariousapplicationsofhighspeedcomputernetworksystem,throughthenetworkconnectionbetweenvariousdepartments,connectedtotheInternet,convenientandtheinformationexchangebetweenfloorsdepartment,savetime,makestheenterpriseinthefiercesocialcompetitiontowinthesuccess.Inordertomeettheneedsofenterprisesandfacilitatenetworkmanagement,howtochooseasuitablenetworkingschemeandchoosetheappropriatenetworkproductshasbecomeamajorconcernforenterprises.Inthispaper,basedonenterpriseinternalnetworkaccesstotheuserrequirementanalysisdesign,networktopologystructuredesignplanningenterpriseintegratedwiringsystem,andtoconfigurethenetworkallthenetworkdevicesstepsindetail;AndthedesignoftheenterpriseIntranetaccessdesign,NATconfigurationdetailedsteps.Keywords：Enterprisenetwork；networkdesign；networkaccess目录绪论1.1选题背景在现有企业中，普遍存在着资金不足，信息基础薄弱，技术人员匮乏等特点。使得他们不能有效地将自身的传统业务与信息系统很好的结合起了，以至于常常出现投资不见效果的情况。究其原因，在于企业信息化观念的不够，信息系统没有总体设计原则。信息化能够有效减少重复度和加强协作，从而提高效率。企业要实现信息化管理，首要的条件就是建立企业局域网，然后在该系统的基础上开发应用各种基础和专业基础和专业软件。网络化可以有效地实现企业内部的资源共享、信息发布、技术交流、生产组织、此外，还可以通过这个网络连接到世界上其它计算机上。使得企业能够方便地实现与外部的交流。随着信息化进程的前进，许许多多的企业建立了自己的企业网络。特别是广大的大中型企业，由于组网规模适中、网络布局灵活、有限的资金成本及着眼未来的扩展等多种条件和要求下，慢慢形成了一些典型的企业组网方式。随着互联网的发展和企业的扩大，企业网的组网要求不再局限于数据传输、信息共享，而是要更加的注重企业网络的信息安全。1.2可行性分析实用性与先进性。企业内部网络建设的首要原则是要有极好的实用性。因为只有实用才能使企业内部的管理人员和入住使用人员直接受益。但在实用的基础上，应尽可能采用先进成熟的技术，选购具有先进技术水平的计算机系统和网络设施，这些设施应在相当长的时间内保证其先进性。并发和选购的各种网络应用软件业尽可能先进，并有相当长时间的可用性。开放性和标准化。企业内部网络建设的一个显著特点是具有几号的开放性。这种开放性靠标准化实现，只有符合标准的网络系统才能实现无缝的互连。为此，应制定全网统一的网络体系结构，并遵循统一的通信协议标准。网络体系结构和通信协议应选择广泛使用的国际工业标准，是我们的企业内部网络称为一个完全开放式的网络环境。可靠性与安全性。企业内部网络的建设遵循可靠性的原则也是非常重要的，网络系统所有设备和材料均应符合国际和国内认可的有关标准，并要经过严格检查，网络的每一个建设过程都要把好质量关，保证网络系统有一个良好的运行环境。安全性是指网络能够有效地控制系统资源，并有完善的数据保护措施，可靠性是安全性的基础。经济型与可扩充性。企业内部网络建设的经济性是指满足需求的同时，把成本降到最低，是用有限的资源做更多的事。但是经济型是建立在可扩充性基础上的。计算机及网络互连技术发展迅速，网络系统扩充与升级就成了必然的趋势，所以在网络建立时，就应该为系统未来的扩充与升级奠定了良好的基础。应具备良好的网络管理功能。企业内部网络建成以后，对整个网络的管理是一项很重要的工作，因此在网络设计中，应确保网络具有良好的管理功能。在接入Internet时，应使企业内部的内部局域网能够正常接入Internet，并且网络安全有一定的保障。1.3研究方法（1）文献研究法：通过图书馆及网络等途径，认真查阅和收集了与课题研究有关的文献和资料，并进行了归纳整理，作为研究课题的参考。（2）理论与实际分析相结合的方法：通过借鉴收集了与课题研究有关的文献和资料，运用分析性研究法，对企业内部网接入设计。再结合实际情况，对企业内部网接入设计进行调试。接入方案的分析与选择2.1需求分析2.1.1基本架构的需求网络结构采用典型的二层网络结构，并使用VLAN技术来对网段进行划分管理；考虑到未来网络的发展，使用当今流行的千兆以太网技术，实现千兆核心、百兆接入；核心网络设备的冗余备份，实现公司内部的无间断运作；组建WLAN（无线局域网）区域，由于无线只用于较少的场合，这里选用无线AP+交换机（有线）的组合，实现简单、经济的无线网络解决方案。2.1.2网络安全的需求采用访问控制措施对内网对外网、内网对DMZ（非军事区）、外网对DMZ的防火墙设置，阻止恶意流量的侵入；启用VPN解决方案，在最经济的条件下实现安全的异地信息共享，并能实现移动办公；因内网使用DHCP（动态主机配置协议）解决方案，启用DHCP过滤、动态ARP（地址解析协议）检测等手段对内网安全进行巩固；内部计算机安装防病毒软件来实施全网的病毒安全防护。2.1.3硬件安全的需求网络中心机房规格应符合相关管理标准，机房建设的好坏直接关系到机房内计算机系统是否能稳定可靠地运行；配置高质量电源，设置良好的接地系统，并且安装UPS（不间断电源）装置；做好网络监控与安全措施，防止非授权人员直接进入机房实施入侵。2.1.4网络的安全建立一套完整的网络管理规定和网络使用方法，并要求网络管理员和网络使用人员必须严格遵守；加强对网络管理员和网络使用人员的培训；制定合适的网络安全策略，让网络用户在使用网络的过程中逐步把网络当成工作中的一个得力工具，从而自觉地维护网络的安全。2.2网络接入分析2.2.1普通拨号方式普通拨号方式是以一种方式拨号上网，需要一个设备：MODEM它是英文调制解调器的缩写。中文俗称“猫”。因为普通的电话网络，传输的是模拟信号，而电脑处理的是数字信号。如果把数字信号转变成模拟信号的过程叫做调制，相反的过程就是解调。调制解调器就担当这个作用。它分为内置式与外置式两种。内置MODEM是插在电脑主板上的一个卡；很多品牌电脑都预装了内置MODEM，如果是后来添加，很多人会选择外置式MODEM。预装的内置MODEM通常已经安装好了驱动程序，只须将电话线接头（俗称水晶头，因为它白色透明）接入主机箱后面的MODEM提供的接口就是。外置MODEM是将电话线接头插入MODEM，随设备自带了一条MODEM与电脑的连接线，该连接线一端接MODEM，一端接电脑主机上的串行接口，你可以参阅随设备的说明书。至于驱动程序的安装，MODEM都是所谓的PnP设备（plugandplay，即插即用），windows会自动探测与安装。总之，不需要什么专业知识，新手都可以搞得掂的。2.2.2一线通（ISDN）ISDN（IntegratedServiceDigitalNetwork），中文名称是综合业务数字网，中国电信将其俗称为“一线通”。它是八十年代末在国际上兴起的新型通信方式。同样的一对普通电话线原来只能接一部电话机，所以原来的拨号上网就意味着这个时候不能打电话。而申请了ISDN后，通过一个称为NT的转换盒，就可以同时使用数个终端，您可一面在INTERNET网上冲浪，一面打电话或进行其它数据通信。虽然仍是普通电话线，NT的转换盒提供给用户的却是两个标准的64KB/S数字信道，即所谓的2B+D接口。一个TA口接电话机，一个NT口接电脑。它允许的最大传输速率是128KB/S，是普通MODEM的三至四倍，所以，它的普及从某种意义上讲是对传统通信观念的重大革新。装机与通信费用与普通电话相近，近一两年才在国内主要城市开通业务，同样可到电信局的营业网点申请，当然也就成为目前拨号上网的首先方式。2.2.3ADSL(非对称数字用户环路)ADSL是英文AsymmetricalDigitalSubscriberLoop(非对称数字用户环路的英文缩写，ADSL技术是运行在原有普通电话线上的一种新的高速宽带技术，它利用现有的一对电话铜线，为用户提供上、下行非对称的传输速率(带宽)。非对称主要体现在上行速率(最高640Kbps)和下行速率(最高8Mdps)的非对称性上。上行(从用户到网络)为低速的传输，可达640Kbps；下行(从网络到用户)为高速传输，可达8Mbps。它最初主要是针对视频点播业务开发的，随着技术的发展，逐步成为了一种较方便的宽带接入技术，为电信部门所重视。通过网络电视的机顶盒，可以实现许多以前在低速率下无法实现的网络应用。2.2.4光纤接入网光纤接入网(OAN)是采用光纤传输技术的接入网，即本地交换局和用户之间全部或部分采用光纤传输的通信系统。光纤具有宽带、远距离传输能力强、保密性好、抗干扰能力强等优点，是未来接入网的主要实现技术。FTTH方式指光纤直通用户家中，一般仅需要一至二条用户线，短期内经济性欠佳，但却是长远的发展方向和最终的接入网解决方案。2.2.5DDNDDN是利用数字信道传输数据信号的数据传输网。它的主要作用是向用户提供永久性和半永久性连接的数字数据传输信道，既可用于计算机之间的通信，也可用于传送数字化传真，数字话音，数字图像信号或其它数字化信号。永久性连接的数字数据传输信道是指用户间建立固定连接，传输速率不变的独占带宽电路。半永久性连接的数字数据传输信道对用户来说是非交换性的。但用户可提出申请，由网络管理人员对其提出的传输速率、传输数据的目的地和传输路由进行修改。网络经营者向广大用户提供了灵活方便的数字电路出租业务，供各行业构成自己的专用网2.3网络接入选择2.3.1选择前提企业内部网络组建的目的主要是实现上网、内部通信、内部管理、实现不同计算机之间的互访网上发布信息、接收用户反馈信息等功能。需要一个实时的，安全的，高速的，快捷的，稳定的信息交互平台，来满足企业内部网络信息频繁传输的需要DDN技术在综合宽带业务应用方面，具有较强的灵活性、可应用性和可靠性，是是现阶段接入网技术较好的方案，因此决定采用DDN技术方案2.3.2采用技术DDN接入方案的特点DDN专线接入向用户提供的是永久性的数字连接，沿途不进行复杂的软件处理，因此延时较短，避免了传统的分组网中传输协议复杂、传输时延长且不固定的缺点；DDN专线接入采用交叉连接装置，可根据用户需要，在约定的时间内接通所需带宽的线路，信道容量的分配和接续均在计算机控制下进行，具有极大的灵活性和可靠性，使用户可以开通各种信息业务，传输任何合适的信息，因此，DDN专线接入在多种接入方式中深受用户的青睐。DDN的主要作用是向用户提供永久性和半永久性连接的数字数据传输信道，既可用于计算机之间的通信，也可用于传送数字化传真，数字话音，数字图像信号或其它数字化信号。1、其主要特点：传输质量高，信道利用率高。传输速率高，网络时延小。数据信息传输透明度高，可支持任何规程，可传输语音、数据、传真、图像等多种业务。适用于数据信息流量大的场合。网络运行管理简便，对数据终端的数据传输速率没有特殊要求。2、其主要优点：(1)能提供高性能的点到点通信。(2)通信保密性强，特别适合金融、保险等保密性要求高的客户需要。(3)传输质量高，网络时延。ㄐ潘俾士筛萦没枰碞*64Kbps选择。(4)信道固定分配，充分保证了通信的可靠性，保证用户的带宽不会受其他用户的影响。(5)用户通过这条高速的国际互联网通道，可构筑自己的Internet、E-mail等应用系统。(6)用户网络的整体接入使局域网内的PC均可共享互联网资源。(7)用户可免费得到多个Internet合法IP地址及域名。(8)用户可实现每天24小时全天候的信息发布，即用户可建立自己的Web站点，向国际互联网发布自己的信息或提供信息服务。(9)用户可通过防火墙等技术保护内部网络免受不良侵害。(10)用户可通过VPN（VirtualPrivateNetwork）虚拟私用网络功能，利用首创网络综合信息平台实惠安全、可靠的企业网的国际网络互联，从而构建起企业的国际专用互联网络。3、接入方案：（1）利用DDN组建专用网络，可节约用户投资，并可以使用专用网最大限度地覆盖全国各地，同可充分利用DDN的特殊业务功能（如语音压缩，帧中继）进行数据通信，一劳多得。（2）时间就是金钱，效率就是生命，利用DDN组建专网，可以大大减少专用的建设周期，早投产快收益。(3)利用DDN组建网络，可降低用户的日常运行维护费用，特别是线路的维护费用。(4)可节约用户技术力量的投入。2.4综合布线设计2.4.1综合布线概述计算机及通信网络均依赖布线系统作为网络连接的物理基础和信息传输的通道。传统的基于特定的单一应用的专用布线技术因缺乏灵活性和发展性，已不能适应现代企业网络应用飞速发展的需要。而新一代的结构化布线系统能同时提供用户所需的数据、话音、传真、视像等各种信息服务的线路连接，它使话音和数据通信设备、交换机设备、信息管理系统及设备控制系统、安全系统彼此相连，也使这些设备与外部通信网络相连接。它包括建筑物到外部网络或电话局线路上的连线、与工作区的话音或数据终端之间的所有电缆及相关联的布线部件。布线系统由不同系列的部件组成，其中包括：传输介质、线路管理硬件、连接器、插座、插头、适配器、传输电子线路、电器保护设备和支持硬件。综合布线的基础环境准备，工程实施的第一步就是开工前的准备工作：第一、设计综合布线实际施工图，确定布线的?走向位置，然后将这个图纸提供给施工人员、督导人员和主管人员使用。第二、需要准备所需的材料。网络工程施工过程中需要许多的施工材料，这些材料有的必须在开工前准备好，有的可以在工程过程中准备。如：光缆、双绞线、信息插座、信息模块、交换机、HUB、服务器、UPS、机柜等接插件和设备等；不同规格的塑料线槽、金属线槽、PVC防火管、螺丝等辅料。选择各种工具，依据项目选择的标准，选择压线钳、剥线钳、螺丝刀、剪线钳、测试仪器、冲击钻、开孔器等。组成：综合布线系统产品由各个不同系列的器件所构成，包括传输介质、交叉/直接连接设备、介质连接设备、适配器、传输电子设备、布线工具及测试组件。这些器件可组合成系统结构各自相关的子系统，分别起到各自功能的具体用途。2.4.2综合布线的设计目标1.满足各种应用需求应用需求决定了布线系统的规模。综合布线系统的设计应该全面覆盖这些应用，以发挥综合布线系统对各种智能系统的支持能力。2.遍布整个建筑的各个角落作为承载计算机网络和电话网络的综合布线系统，为了满足应用上的要求，它们已经遍布公司的各种建筑物内外，敷设到了建筑物内的各个角落。在办公室、会议室、值班室、档案室、会客室，到处都能看到综合布线系统的面板。3.传输能力足以满足各种应用随着信息流量的快速增加，综合布线系统的传输带宽也迅速提升，前几年广泛流行的超5类双绞线已经成为昔日黄花，取而代之的则是超6类双绞线和OS2光纤。即使是在眼前，千兆以太网已经普及到办公室的电脑网卡上，它所对应的超5类、6类双绞线已经成为当前综合布线系统中数量最多的水平双绞线，而下一代的万兆以太网到桌面正在提上议事日程，致使许多水平双绞线被换成了超6类乃至7类双绞线，因为万兆以太网的最低带宽要求等同于超6类水平双绞线的带宽值。另外，尽管FTTD这种高速的网络应用传输方式早以成熟，但它始终因价位过高而显得“高不可攀”，而现在由于光纤价位和光纤网络设备的价格一降再降，FTTD越来越多的出现在办公桌上，它们与光纤网卡的配合将使网络传输能力获得进一步的提升。4.具有对病毒和黑客的物理防范能力在建立任何计算机网络的时候，认真思考病毒和黑客肆虐的可能性，防止它们：Φ缒、损坏文件、盗取资料。这就促成了计算机网络系统的网络隔离、防火墙等先进技术的大量应用，也迫使综合布线系统的设计中不得不投入更高的代价为网络物理隔离打下基础。5.涉密线路满足涉密标准要求病毒和黑客的出现，引发了综合布线系统的网络隔离。而人们对未知信息的好奇，却引起了政府行业的另一个特定问题：保密。每个企业往往拥有大量暂时不能公布的信息，这些信息一旦泄漏，将会给企业带来相当大的损失。为此大量的信息传输是在涉密线路中完成，而综合布线系统中的屏蔽双绞线和光缆就为涉密线路提供了理想的传输介质。6.可以选择多家电信业务经营者为了确保对外信息传输畅通无阻，在网络中，会利用多家电信因为经营者的接口保证信息传输的畅通，万一其中一家的线路出现故障，计算机网络系统将自动启动备用线路，通过其它电信因为经营者的线路保障政府与外界的信息传输不受影响。2.4.3综合布线的设计原则在实际综合布线项目工程中，并不需要涉及到所有的标准及规范，我们应该根据布线项目的性质来决定，而涉及的布线技术则适当引用布线标准。另外我们还需要做现场勘察，针对客户所提出的要求进行实地考察，考察的对象包括建筑结构、机房(设备间)和配线管理间的位置、走线路由、电磁环境、布线设施外观以及对建筑物的破坏，如打过墙眼等等，并结合场地的平面图而对信息点进行更改，在勘察的时候我们还需要考虑在利用现有空间的同时避开强电及其他线路，做出综合布线调研kok电子竞技，从而达到更明确有效的为客户进行布线工程。综合布线设计的原则有：1.用户至上原则。企业的结构化综合布线系统的设计原则首先是基于企业对综合布线系统的要求为基。⒁月阌没枨笪勘，最大限度满足用户提出的功能需求，并针对业务的特点，确保使用性。2.先进性。在满足用户需求的前提下，充分考虑信息社会迅猛发展的趋势，在技术上适度超前，使提出的方案保证将布线系统建成先进的、现代化的信息系统。3.灵活性和可扩展性。充分考虑楼宇内所涉及的各部门信息的集成和共享，保证整个系统的先进性合理性，实现分散式控制，集中统一式管理。总体结构具有可扩展性和兼容性，可以集成不同厂商不同类型的先进产品，使整个系统可随技术的进步和发展，不断得到充实和提高。在综合布线系统中任何信息点都能连接不同类型的终端设备，当设备数量和位置发生变化时，只需采用简单的插接工序，实用方便，其灵活性和适应性都强。4.标准化和扩展性。网络结构化综合布线系统的设计依照国际和国家的有关标准进行。此外根据系统总体结构的要求，各个子系统必须结构化和标准化，并代表当今最新的技术成就。综合布线系统的所有布线部件采用积木式的标准件和模块化设计。因此，部件容易更换，便于排除障碍，且采用集中管理方式，有利于分析、检查、测试和维修。5.经济性。在实现先进性、可靠性的前提下，达到功能和经济的优化设计。结构化综合布线系统的设计采用新技术、新材料、新工艺使综合化布线大楼能够满足不同生产厂家终端设备传输信号的需要。综合布线系统各个部分都采用高质量材料和标准化部件，并按照标准施工和严格检测，保证系统技术性能优良可靠，满足目前和今后通信需要，且在维护管理中减少维修工作，节省管理费用。建筑智能化系统是指包括通信网络、办公自动化、建筑设备自动化等功能的集成化管理系统。其通信综合布线作为通信网络的基。旃远、建筑设备自动化提供控制、管理信息的传输通道。通信综合布线系统，主要是大楼内部户线的布放和端接。从至少一对双绞线的户内布放发展到五类、超五类对绞电缆甚至更高类别对绞电缆或光纤的布放。随着众多新建的大楼通信公用网接入工程的竣工并投入使用，它们所能完成的智能化通信功能作为建设开发商的重要卖点被加以宣传。第三章网络总体设计方案3.1网络结构设计企业内部网络，分为3个部分，分别是交换网络，路由网络和远程登陆网络，主要的中心部分是交换网络部分。3.1.1主干结构设计本设计将网络结构分为二层：接入层、核心层。使用二层网络结构适合企业内部的实际规模；二是这能提高网络对突发事故的自动容错能力，减少网络故障排错的难度和时间；三是采用此网络分层有利于企业内部将来更灵活地对企业网升级扩大。3.1.2楼层局域网设计接入层采用支持802.1Q的10/100Mbps工作组以太网交换机，交换机的数据依据用户端口数、可靠性及网管要求配置网络接入交换机，使10/100Mbps流量接至桌面。3.1.3互联网接入设计互联网接入由位于网络中心的DMZ交换机、WWW服务、E-mail服务、防火墙、路由器、Intrfaceernet光纤接入组成。向电信申请一个固定IP，提供外网服务器的访问服务。3.1.4VLAN设计通过VLAN将相同业务的用户划分在一个逻辑子网内，各工作组交换机采用基于端口的VLAN划分策略，划分出多个不同的VLAN组，分隔广播域。同样在千兆/百兆以太网上联端口上设置802.1Q协议，设置通信干道(Truck)，将每个VLAN的数据流量添加标记，转发到主干交换机上实现网络多层交换。3.2网络拓扑设计本设计中用的到的设备采用Cisco公司的网络设备构建。全部网络设备使用同一厂商设备的主要原因是在于可以实现各种不同网络设备功能的兼容以及互相配合和补充。设计的网络拓扑图如图3-1所示。图3-1网络拓扑设计图3.3网络设备的选择3.3.1路由器（1）路由器相关参数如表3-1所示：表3-1CISCO7301路由器相关参数基本参数路由器类型电信级高端路由器网络协议IP，IPX，DLSW，AppleTalk传输速率10/100/1000Mbps端口结构模块化局域网接口3个功能参数防火墙内置防火墙Qos支持支持VPN支持支持网络管理NBAR，用于带宽管理其他参数处理器700MHz集成式处理器产品内存最大DRAM内存：256MB

最大Flash内存：64MB电源电压AC100-240V

DC-40.5--72V产品尺寸43.9×439×352mm纠错产品重量4.76kg环境标准工作温度：0-40℃

储存温度：-20-65℃

湿度：10%-90%（非冷凝）3.3.2交换机(1)核心交换机相关参数如表3-2所示：表3-2Catalyst3560-24PS核心交换机相关参数主要参数产品类型企业级交换机应用层级四层传输速率10/100/1000Mbps交换方式存储-转发背板带宽720Gbps包转发率387MppsMAC地址表64K端口参数端口结构模块化扩展模块9个模块化插槽传输模式支持全双工功能特性网络标准IEEE802.3，IEEE802.3u，IEEE802.1s，IEEE802.1w，IEEE802.3adVLAN支持QOS支持网络管理CiscoWorks2000，RMON，增强交换端口分析器（ESPAN），SNMP，Telnet，BOOTP，TFTP其它参数电源功率4000W产品尺寸622×445×460mm二层交换机相关参数如表3-3所示：表3-3Catalyst2960-24TT二层交换机相关参数主要参数产品类型企业级交换机应用层级四层传输速率10/100/1000Mbps交换方式存储-转发背板带宽100Gbps包转发率75Mpps端口参数端口结构模块化扩展模块1个超级引擎插槽数+5个线路卡插槽传输模式支持全双工功能特性网络标准IEEE802.3，IEEE802.3u，IEEE802.3，IEEE802.3z，IEEE802.3x，IEEE802.3abVLAN支持QOS支持网络管理SNMP管理信息库(MIB)II，SNMPMIB扩展，桥接MIB(RFC1493)其它参数电源电压220V产品尺寸440×317×440mm产品重量18.37kg环境标准工作温度：0-40℃

工作湿度：10%-96%（无凝结）

存储温度：-40-75℃

存储湿度：10%-96%（无凝结）3.4IP地址规划VLAN（VirtualLocalAreaNetwork）的中文名为“虚拟局域网”通过将企业内部网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。一个合适的园区网，就需要一个合理的交换机网络，本设计中应用VLAN划分不同区域。在本设计中，整个企业网中VLAN及IP编址方案如下表3-1所示。表3-1VLAN及IP编址方案VLAN号名称IP网段默认网关说明VLAN10办公室/24允许访问服务器群网段、外网，禁止部门间互访VLAN11财务部/24允许访问服务器群网段、外网，禁止部门间互访VLAN20人力资源部/24允许访问服务器群网段、外网，禁止部门间互访VLAN21行政部/24允许访问服务器群网段、外网，禁止部门间互访VLAN22网管部门/24允许（发起）访问公司各个VLAN、外网VLAN30销售部/24允许访问服务器群网段、外网禁止部门间互访VLAN31前厅部/24允许访问服务器群网段、外网禁止部门间互访VLAN40会议室/24允许访问服务器群网段、不允许访问外网，禁止部门间互访VLAN50休息室/24只允许访问外网VLAN60服务器群/24不允许主动发起连接，除email/FTP服务器相关协议外——外部服务器群Publishers/24不允许主动发起连接，除email/FTP服务器相关协议外——VPN接入/24——仅允许访问内部服务器VLAN1管理VLAN/24192.168.11.X管理二层交换机如表3-4所示，每个VLAN分配IP网段的网络位均为24位，每个网段都会保留前10个地址，用作网关、管理以及部门服务器等用途，主机位（二进制）为全0或全1的地址不分配，即每个分配到PC用的地址将有244个。第四章企业内部接入详细设计方案4.1交换模块设计交换模块由CiscoPacketTracer5.3进行模拟仿真。具体仿真软件拓扑图如图4-1所示。图4-1交换模块拓扑设计图根据拓扑设计的要求，本次仿真设计所使用的设备有：Catalyst2960-24TT二层交换机、Catalyst3560-24PS交换机、通用路由器、Cisco2811、通用服务器设备、瘦AP）、台式PC、便携PC。核心交换机的配置：Switch>enSwitch#conftSwitch(config)#hostnameHexin1Hexin1(config)#interfacevlan1Hexin1(config)#ipaddHexin1(config)#noshutdownHexin1(config)#intfacef1/0/1#这里根据每栋楼的编号不同而改变端口Hexin1(config-if)#switchportmodetrunkHexin1(config-if)#switchprtrunkencapsulationdot1qHexin1(config-if)#switchporttrunkallowedvlanallHexin1(config-if)#exitHexin1(config)#linevty04Hexin1(config)#password123Hexin1(config)#loginHexin1(config)#lineconsole0Hexin1(config)#password321Hexin1(config)#enablesecret321Hexin1(config)#servicepassword-encryptionHexin1(config)#routerripHexin1(config)#version2Hexin1(config)#network#将剩余所有相连的交换机的ip地址以上面的命令公布Hexin1(config)#ipdhcppoolvlan2Hexin1(config)#networkHexin1(config)#default-routerHexin1(config)#dns-server8Hexin1(config)#lease7路由器的配置Router>enRouter#conftRouter(config)#hostR1R1(config)#intf0/0R1(config-if)#noshutR1(config-if)#intf0/0.1R1(config-subif)#encapsulationdot1Q1R1(config-subif)#ipaddressR1(config-subif)#exitR1(config)#ints1R1(config-if)#ipaddr6R1(config-if)#noshutR1(config-if)#endR1#configtR1(config)#ipnatpoolInternet66prefix-length24R1(config)#ipnatinsidesourcelist1poolInternetoverloadR1(config)#access-list1permit55#其他剩余的ip地址同样的配置R1(config)#intf0/0R1(config-if)#ipnatinsideR1(config-if)#ints1/0R1(config-if)#ipnatoutsideR1(config-if)#end完成以上配置就可以进行对外网访问。（1）设置设备命名设置设备名称，称为Hostname，当需要远程登录到若干台设备以维护网络时，通过其名称提示符可以得知自己当前配置设备的位置以清楚当前位置。这里以交换机SW1为例：switch(config)#hostnameSwitch1Switch1(config)#（2）设置设备密码当用户想要进入特权用户模式时，需要提供此口令。此口令会的形式加密是MD5，所以当用户查看配置文件时，是无法看到明文形式的口令。将交换机的加密口令设置为sg1129Switch1（config）#enablesecretsg1129（3）远程登录密码设置交换机远程登录用户身份验证，同时设置口令为sg1129Switch1（config）#linevty015Switch1（config-line）#loginSwitch1（config-line）#passsg1129(4)线路超时时间为了防止管理员长时间离开，导致其他人趁机利用管理员权限，所以就需要设置终端线超时时间。在设置的时间5分钟内，如果没有检测到键盘输入，则IOS将断开交换机和用户之间的连接，重新登陆需要输入密码。设置登录交换机的控制台终端线路超时时间为5分钟：Switch1（config）#linevty015Switch1（config-line）#exec-time5设置控制台终端线路超时间是可以自定义，只需改动exec-time5，命令后的数字5为自己定义的值。(5)设置启用消息同步特性在输入命令的时候会被交换机产生的消息打乱，导致管理员看不清输入的命令。设置启用消息同步特性:Switch1(config)#lineconsole0Switch1(config-line)#logggingsynchronous4.2内网连通4.2.1VTP和VLAN划分在一个庞大的企业内部网内中使用VTP技术有利于vlan配置，将网管部所在的接入层交换机Switch0设置成为VTP服务器，其他交换机设置成为VTP客户机。交换机群将通过VTP学习获得在交换机Server1中定义的所有VLAN的信息并且自己不可以创建，修改VLAN。以Switch0为例子设置交换机成为VTP客户机：Switch0（config）#vtpmodeclientSwitch0#vtppruning设置交换机Switch1为VTP服务器，并进行VLAN的划分配置：Switch1（config）#vtpmodeserverSwitch1（config）#vlan10Switch1(config-vlan)#nameUnits1Switch1#vtppruning4.2.2接入层的管理VLAN给交换机在VLAN1设置管理IP地址。按照表1，管理VLAN所在的子网是：/24，将/24设为接入层交换机Switch0的管理IP地址。在全局模式下为接入层交换机Switch0设置管理IP并激活主VLAN。Switch0（config）#intrfacerfacevlan1Switch0（config-if）#ipaddressSwitch0（config-if）#noshutdown4.2.3接入层接口速率接入层交换机接口速度只有3种情况，第一种是10Mbps，第二种是100Mbps，第三种是AUTO，即自适应速度。默认情况下是AUTO，在知道对端设备速度的情况下，建议手动设置接口，一般设置为100Mbps。设置在接口模式下。设置访问层交换机Switch0的所有接口的速度均为100Mbps：Switch0（config）#intrfacerangeFastEthernet0/1-24Switch0（config-if-range）#speed1004.2.4接入层VLAN接口划分接入层交换机Switch0为终端用户提供接入服务。在此以Switch0为例，配置接入层交换机的VLAN接口划分。如图4-2中，接入层交换机Switch0为VLAN40和VLAN50（会议室和访客厅接入）提供接入服务。图4-2交换机SW11接口VLAN在接口配置模式下，将交换机Switch0的接口Fastethernet0/2划入VLAN40，将接口Fastethernet0/3划入VLAN50内。交换机Switch0的接口Fastethernet0/2划入VLAN40：Switch(config)#vlan40Switch(config-vlan)#exitSwitch(config)#interfacerangefastEthernet0/2Switch(config-if-range)#switchportmodeaccessSwitch(config-if-range)#switchportaccessvlan40交换机Switch0的接口Fastethernet0/3划入VLAN50：Switch(config)#vlan50Switch(config-vlan)#exitSwitch(config)#interfacerangefastEthernet0/3Switch(config-if-range)#switchportmodeaccessSwitch(config-if-range)#switchportaccessvlan50其他接入层交换机根据具体需要，类似上述配置进行操作。4.2.5干道（Trunk)链路所谓的TRUNK是用来在不同的交换机之间进行连接，以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯。其中交换机之间互联用的接口就称为TRUNK接口。如果是不同台的交换机上相同id的vlan要相互通信，那么可以通过共享的trunk端口就可以实现。如图4-3所示，接入层交换机Switch1通过接口FastEthernet0/24上连到核心层交换机SW1的接口FastEthernet0/3。同时，核心层交换机SW1通过接口FastEthernet0/24上连到外网路由器Router2的接口FastEthernet0/1。图4-3部分干道链路示例设置接入层交换机Switch1的接口FastEthernet0/24为干道接口:Switch1（config）#intrfaceFastEthernet0/24Switch1（config-if）#switchportmodetrunk设置接入层交换机SW1的接口FastEthernet0/23和0/24主干道接口:Switch0（config）#intrfacerangeFastEthernet0/23-24Switch0（config-if-range）#switchporttrunkendoSwitch0（config-if-range）#switchportmodetrunk设置接入层交换机Core1和Core2的接口FastEthernet0/1为干道接口:Switch2（config）#intrfaceFastEthernet0/1Switch2（config-if）#switchporttrunkendoSwitch2（config-if）#switchportmodetrunkSwitch3（config）#intrfaceFastEthernet0/1Switch3（config-if）#switchporttrunkendoSwitch3（config-if）#switchportmodetrunk在此以Switch1、Switch0、Switch2、Switch3之间的三条干道链路为例。这三条上连链路为干道链路，在这三条上连链路上将运输多个VLAN的数据，Trunk干道使用标准协议dot1q。图4-4所示为交换模块需要配置成干道链路的部分（加粗部分）。图4-4交换模块干道链路4.2.6VLAN网关在核心层交换机上为每个VLAN配置VLAN虚接口地址，作为每个VLAN的网关。有网关地址，用户接入网络才能正常访问各种资源。由于本次设计有核心冗余，多VLAN使用同一组HSRP，因此两个核心交换机的VLAN虚接口地址不能相同。详细地址分配将在下文进行介绍，这里只选择VLAN10和VLAN11的虚接口地址进行配置介绍。VLAN10和VLAN11的虚接口地址如下：在Switch1交换机VLAN虚接口物理IP地址：VLAN10：/24VLAN11：/24在Switch2交换机VLAN虚接口物理IP地址：VLAN10：/24VLAN11：/24Switch1配置过程如下：Switch1(config)#intrfaceerfacevlan10Switch1(config-if)#ipaddressSwitch1(config)#intrfaceerfacevlan11Switch1(config-if)#ipaddressSwitch2配置过程如下：Switch2(config)#intrfaceerfacevlan10Switch2(config-if)#ipaddressSwitch2(config)#intrfaceerfacevlan11Switch2(config-if)#ipaddress其他VLAN虚接口配置过程相类似，不再赘述。4.2.7IP分配动态主机设置协议（DynamicHostConfigurationProtocol，DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户；给内部网络管理员作为对所有计算机作中央管理的手段。为了安全需要（具体原因在安全加固模块详细说明）和方便，员工的主机IP都是通过DHCP进行自动分配。但由于DHCP服务器与各主机并不在同一个网段内，DHCP客户端（主机PC）并不能发现其他网段的DHCP服务器，因此需用使用DHCP中继代理（DHCPRelay）来为不同网段的主机分配IP信息。在Switch1的每个VLAN虚接口上配置DHCP中继代理，这里以VLAN10为例：Switch1(config)#interfacevlan10Switch1(config-if)#iphelper-address11为DHCP服务器的地址，在VLAN60网段。在各VLAN虚接口配置好后，各个VLAN内的主机就能正常向DHCP服务器发送请求信息，并获取到IP信息。4.3无线访问无线局域网（WLAN，WirelessLocalAreaNetwork）可定义为，使用射频（RF，RadioFrequency）微波（Microwave）或红外线（Infrared），在一个有限地域范围内互连设备的通信系统。一个无线局域网可作为有线局域网的扩展来使用，也可以独立作为有线局域网的替代设施。因此，无线局域网提供了很强的组网灵活性。要连接上WLAN网络，必须要在主机PC上设置好与WLAN网络相同的SSID，才能连接上无线信号。SSID（ServiceSetIdentifier）也可以写为ESSID，用来区分不同的网络，最多可以有32个字符，无线网卡设置了不同的SSID就可以进入不同网络，SSID通常由AP广播出来，通过操作系统自带的扫描功能可以查看当前区域内的SSID。简单说，SSID就是一个局域网的名称，只有设置为名称相同SSID的值的电脑才能互相通信。在本设计中，将把WLAN用作有线局域网的补充来实施，在大中型企业网中按需而设地进行无线区域的规划。如图4-6所示，本设计对会议室和访客厅进行无线区域的规划。因为在本设计中WLAN方案只作为有线局域网的补充，加上实际规划是以地理位置做除了区域区分，因此，在本设计中将采用单SSID方案，即一个AP会话一个SSID。但出于安全考虑将不广播SSID，此时用户就要手工设置SSID才能进入相应的网络。图4-5AP接入点规划将会议室的AP设备的SSID设置为Meeting-Room，不设置密码，如图4-6（a）所示；休息室的AP设备的SSID设置为Guest，设置密码为gdin_alex，如图4-6（b）所示；把他们的传输双工设置为全双工，如图4-6（c）所示。上述步骤均可在AP的GUI界面进行。((a)会议室无线AP设置(b)休息室无线AP设置(c)速率与双工设置图4-6无线AP设置由于模拟环境的不支持，本设计中设置的AP只是简单的无线接入设备，只要设置要SSID和密码即刻使用。因此在本设计中将不对AP配置进行详细介绍。第五章系统的接入测试5.1数据模型对于毕业设计来说，这次系统测试则是对设计的成功与否的检验。由于本设计是分模块进行的，而且由于单个仿真软件的技术局限，所以每个大模块也分了好几个小模块进行设计，而且是利用多个仿真软件进行实验的。在本章，将对本设计中能够在仿真软件中仿真测试的部分进行总结，分解开每一个实验进行测试。根据本设计的思路以及设计模块，结合实模拟软件的实际，本章主要挑选以下几项分解实验进行测试：（1）企业内部网全网连通，以及访问控制；（2）核心层的冗余备份与负载均衡；（3）VPN接入实验，路由器之间的VPN连接；（4）RemoteVPN接入，实现移动办公安全接入；5.2模块测试验证企业内部网连通与访问限制5.2.1准备与说明此分解模块使用CiscoPacketTracer仿真模拟软件进行仿真测试，将对整个企业内部网络的连通性进行测试。需要说明的是，由于软件的问题，有些部分不能完全模拟成功，将会在下文进行说明。需要说明的是，由于软件的不支持已经对实验的精简，这里忽略了核心层的冗余备份，因而此拓扑只保留了一个核心交换机Switch1；防火墙FW由路由器代替，在这里仅仅作为路由设备。由于软件的不支持，这里将不实现网管部门对其他部门的单向访问支持。5.2.2测试与验证图5-1显示为办公室部门PC自动从内部DHCP服务器获取相关IP信息。图5-1办公室部门PC自动获取IP信息图5-2显示为前厅部门PC对本部门的其他PC进行ping测试，并且能够ping通；而图10显示为前厅部门PC对其他部门（财务部）的PC进行ping测试，但并不能ping通，返回目标主机不可达信息。图5-2前厅部门的PC能够ping通本部门其他PC图5-3前厅部门的PC不能能够ping通其他部门的PC图5-4（a）显示内部PC能够通过DNS服务器解析域名之后正常访问外部WEB服务器；图5-4（b）显示外部PC直接在浏览器打上WEB服务器地址和端口后能够正常访问WEB页面。（（a）内部PC能正常访问WEB服务器（b）外部PC能正常访问WEB服务器图5-4PC访问WEB服务器图5-5显示部门PC能够通过email服务器对部门其他PC进行发送email邮件，并能够正常接收回复邮件。图5-5正常使用邮件服务器结论企业内部网接入设计是一项设计面广、技术复杂、周期比较长的系统工程，主要分为需求分析、系统规划、方案设计、方案实施、等四个环节。在中小型企业网的规划设计与实施的过程，结合所学之知识和专业技能，其中我深刻的认识到，想要独立的合格完成网络的设计规划只掌握现在的专业知识是远远不够的，我们应该具有更全面的知识，不断的去学习新的知识。通过此次毕业设计，我对自己在路由交换网络方面的学习有了更深刻的理解，更系统地分析并掌握了所学的知识，尤其是对各类路由协议的特性与用法和配置有了更深的体会，专业技能有了很大的提高。所以在今后的学习中，我会更加注重理论与实践的结合，在理论学习的过程中，融会更多的真实案例，为将来真正的项目奠定基础。参考文献[1]王晋晋.河南林业职业学院无线网络规划设计[D].河南科技大学，2017.[2]陈雯雯，周杰.高性能网络接入服务器框架的设计[J].软件，2017，38(04):117-120.[3]郑化浦.高校无线校园网方案设计与实现[D].郑州大学，2016.[4]陈金明，曾炜.基于802.1x的信息网络接入控制安全认证系统设计[J].微型电脑应用，2016，32(02):61-62.[5]王金超.大型企业网络安全规划方案设计及实施[D].齐鲁工业大学，2015.[6]刘慧琳，王志华.基于异构网络接入控制系统的设计方案[J].成都师范学院学报，2014，30(11):118-121.[7]吴鹏，肖桐.基于DHCP的校园网络接入自助服务系统的设计与实现[J].信息系统工程，2014，(04):45.[8]李长英.企业内部网络的规划设计与实现[D].吉林大学，2013.[9]邱敏.

中小型局域网的组网与管理[J].

现代计算机(专业kok电子竞技).

2017(09)：254-258.[10]成德峰，马刈非.

多用户检测中并行干扰加权消除的研究[J].

南方冶金学院学报.

2013(01)：30-33.[11]肖捷.

大学学生机房网络环境的规划[J].

韶关大学学报(自然科学kok电子竞技).

2015(03)：54-55.[12]王林平.

高速局域网规划理论初探[J].

计算机工程与应用.

2014(05)：69-70.[13]史志君.

煤炭企业计算机局域网络规划与设计[J].

徐煤科技.2014(03)：451-452.[14]舒仲.

大型局域网络建设的规划设计与应用开发的探讨[J].

江西铜业工程.

2015(02)：23-24.[15]谭珂，全惠民编著.局域网组建与管理实用手册[M].中国青年出kok电子竞技社，2003.[16]刘晓辉主编.网络硬件完全手册[M].重庆大学出kok电子竞技社，2002.致谢本论文从立题到论文撰写整个过程都是在我的指导老师悉心指导下完成的。特别是指导教师在学习上，思想上都给予我极大的关怀和帮助，在传授我知识的同时，更注重培养我解决问题的思路和方法及创新能力，为我今后学习和工作打下了坚实的基础并开阔了我的视野。指导教师敏捷的思维和孜孜不倦的探索精神是我永远学习的榜样，我所取得的每一点进步无不凝聚着指导教师的心血，我将最诚挚的谢意奉献给我的指导老师。