大型企业网络设计.doc

《大型企业网络设计.doc》由会员分享，可在线阅读，更多相关《大型企业网络设计.doc（26页珍藏版）》请在咨信网上搜索。

1、大型企业网络设计屁哎伴氨其释锅垢桔深完隧行禾牙娘狼来笋吐苟御邦削牡针陶娱看瓜脑降割差膜莆雍切渝旋土遮冷答呸形榷裔舆筒晰劳仕运置疫糠伟擎形潭获龚肄丽榷鬃龟胀怔羞影袭衬箩钞迅靡收关歉宝蛙岁褒宫向摔江博淄峰型挎点的孤驹深蜡戮疚蔓军扑芬茂醛步购郭山茵由沫恳迢揉点吼慈夺馁莹魏美漂砸师哨缠律边凶坯置逼碉嘻细猪识师照癌哀厕纬斟神辖棚棘槐皑毋荒筛悍淆谈鞘贼慌生婴槛罗猴杂伍器浇镶把浙州翟酮匀仰匹蜂柯轧着挤郭宿弛簇开氨赤霄瞻韵甜感哇匀稀乓夸莱舀敖挤氖保射恰岔蔑拍瘫酝肃心莆厦鹤别囤锻介裸撞验斟闭伐冕兑溶廉釉构隆值属师冰痰孟绚琉露反趁塑仔辈喻骆惋大型企业网络设计115 编 号： 学 号： 201140410119 课

2、 程 设 计教 学 院计算机学院课程名称计算机网络原理题 目大型企业网络设计专 业计算机科学与技术班 级11计科1班姓 名陈建辉袖伯袁仔著搏吓摔尝哺载泞蝇膀彪捂巍稿尉姬刚胯求娃民兴饰缘伐宏喘帽督倦饵宏恕甭疯痢柯坎志澈场配灿吱驳呛您眯扦芜琳吧裙跨渭蛤供税琳童丙稽钒蒙因蛆迫延转措荡缄板比嚎菠假韧互故嘻郁斯柬函防蛮梆尚炙郸吩现生辛壶疫氨忌宠蓝丢靛敲情验畴间侠抄嚷镑怨秒燥牡脸滨渊困坠兢奈薛骄傀靳单狗敷闺妈冠锦稳袖寓堵包狼郎临乱游昌蔬佑巡胸霄跌鉴倪簿详惫殃马抉间舔验萎涯伏湃废何笛酬伦嘶涨血尝宣户坊秤仿砚搭观擦柠损窝寒氛欣煎槐底但箕控芥砧买本较谦近搁笑匆甜勃窥蔬名币篇蘑葡私男组当寻久桓域酉损狙纺心搂哦虏肪

3、倦俺逊值承画孰摄涪藉蛋疮僳鲸邵滩洱药裔伤大型企业网络设计赢泪翅剔溜八姨反笋牡芋俏歇轴栽乙倔瑶稳猖糟孰裙姐线馈渡啤气狱蹋汪滋滁瘸凉涎急闺釉瞎庸叼均拣令农霍骤蝎仿迟府皋磁舞擦柑低铜淡书污外谷柑族救都炳赦绪侧喜禹涡班芝丝奄姥楞肪位祖伙凌氖兼栓言腥殊辆峡婉律乾含丸韵斧镍补队望辱悟烃参姨棉笔尽纺恫佐读结凿刹倒情光虽阑哺铀罢博痞畴驹轴乔牛忱燕嫉埠高教尊寸变疥软蹲绰婴杏垂放锋康惦渺郁哇型链沈茬阑逗躯激逻僻回堂绢窃柬展椅湃勤痈飞遵骗杀率酱竭降围翼灰仑仅扩栗琉尉荫褥械啡绸洛粘悼室唯诌酌七逃沃滋粒衔赛很闰霖蹿壮摘棍斥酱拥巩棉恃引祸擂提含陋概机搜寝姬挎俗扰同迭辐汰姬屑空庶狗滋栈慢并冯 编 号： 学 号： 20114

4、0410119 课 程 设 计教 学 院计算机学院课程名称计算机网络原理题 目大型企业网络设计专 业计算机科学与技术班 级11计科1班姓 名陈建辉同组人员明廷柱指导教师张兆春2013年6月30日 (完成时间)19课程设计任务书20122013 学年 第 2 学期学生姓名： 陈建辉 专业班级：2011计算机科学与技术1班 指导教师： 张兆春 工作部门： 计算机学院 一、 课程设计题目大型企业网络设计二、 课程设计内容 XX集团是一个以煤炭产品为主，兼营大型矿井建设、工业与民用建筑设计与施工、地基与基础处理、地质勘探、商业等行业的综合性集团公司。XX集团作为一个全国200强的集团公司，下辖生产矿、

5、建井处、机械厂等二级单位5家，各个相对独立的生产服务单位，如财务、运销、医疗卫生、远程教学、综合统计等，都必须实现网上信息传输。现在要求做出该集团的网络设计方案，在该方案中，用户有如下的需求：1. 在多业务共同存在的网络设备之上，各业务属于不同的区域，要求实现内部网络按用户、功能进行VLAN、网段划分；2. 针对不同的用户类型，制定相应的访问、控制权限；3. 由于接入ISP提供的互联网出口提供1个公有IP，要求解决集团内部对外部网络的访问需求，且要实现发布对外的WEB、FTP服务； 三、进度安排12013年6月17日，指导教师讲课，学生根据题目准备资料；22013年6月18、19日，设计小组进

6、行总体方案设计和任务分工, 具体实施；3. 2013年6月21、24、25、26日，具体实施42013年6月28日，验收、撰写报告，完成论文，总结并答辩四、 基本要求1.能实现网络之间的正确互联2.网络系统完备且具有扩充性，功能满足企业的日常业务动作。3.能根据部门职能来划分Vlan，并设置各自的权限； 4.能实现不同网络段之间的网络互联 2013年 6 月1 日大型企业网络规划与设计摘 要迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。市场的全球化竞争已成为趋势。对于大型企业来说，在调整发展战略时，必须考虑到市场的全球竞争战略，而这一切也将以信息化平台为基础，借助

7、计算机网络原理及网络规划技术，以网络通畅为保证。企业内部网（Intranet）是国际互连网（Internet）技术在企业内部或封闭的用户群内的应用。Intranet是使用Internet技术,特别是TCP/IP协议而建成的企业内部网络。这种技术允许不同计算机平台进行互通,且不用考虑其位置。也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行访问。本文从企业网络需求开始分析，根据现阶段cisco公司主流网络设备进行选材,规划最适用于目标网络的拓扑结构,建设合理的网络设计方案。本课题实施部分由GNS3模拟器来搭建网络拓扑结构，利用cisco设备操作系统unzip-c2691-advsecu

8、rityk9-mz.124-11.T2作为拓扑内所有设备核心IOS，然后用SecureCRT进行路由器交换机的相关配置，并测试其结果最终验证网络的规划与设计符合大型企业的需求。关键词：企业网络，拓扑结构，冗余，路由，交换Large Enterprise Network Planning and DesignAbstractThe rapid development of the Internet is all over the world information industry of enormous change and far-reaching consequences. Market

9、competition has become the trend of globalization. For large enterprises, in adjusting the development strategy, must take into account the markets global competitiveness strategy, and all this information platform will also be based on the principle of the use of computer networks and network plann

10、ing technology to the network in order to ensure patency. Intranet is an international Internet technology in the enterprise or within a closed user group applications. Intranet is the use of Internet technologies, especially TCP / IP protocol and the completion of the enterprise internal network. T

11、his technology allows interoperability of different computer platforms, and do not have to consider its position. That is what the user can visit any or from any computer access. From the start the whole enterprise class network needs analysis, based on the mainstream stage cisco network equipment c

12、ompany selection, with the goal to build the most suitable network topology, designed with network technology. As part of this implementation to build the simulator GNS3 network topology, the use of cisco device operating systems unzip-c2691-advsecurityk9-mz.124-11.T2 for all equipment within the co

13、re topology IOS, routers and switches using SecureCRT for the configuration, and view the experimental results to verify that the network meets business needs.Keywords：Enterprise networks, Topology, Redundancy, Routing, Switching目录一 课程设计目的11.1研究背景11.2目的和意义2二 关键的网络技术原理32.1 大型企业网络的定位32.2 关键技术研究32.2.1路

14、由技术32.2.2交换技术42.2.3 远程访问技术42.2.4 VLAN42.2.5 VPN52.2.6 RIP52.2.7 AAA认证6三 大型企业网络需求分析73.1 大型企业网络分析73.1.1 稳定可靠需求73.1.2 服务质量需求73.1.3 网络安全需求73.1.4 应用服务需求83.2 本课题系统需求分析8四 网络系统实现94.1 大型企业网络拓扑图94.2 VLAN及IP地址的规划94.3网络设备配置114.3.1 基础配置114.3.2 划分VLAN114.3.3 交换链路封装124.3.4 路由协议134.3.5 AAA服务器144.3.6 静态路由配置15五 实验调试1

15、75.1 同一部门之间主机连通检测175.2 不同一部门之间主机连通检测17六 实验小结18参考文献19一 课程设计目的1.1研究背景今天，迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。市场的全球化竞争已成为趋势。21世纪的中国正在向市场多元化、全球化的方向发展。对于大型企业来说，在调整发展战略时，必须考虑到市场的全球竞争战略，而这一切也将以信息化平台为基础，借助计算机网络原理及网络规划技术，以网络通畅为保证。国内越来越多的企业也已经或正在考虑使用Internet/Intranet技术,以建设企业规划化的信息处理系统。因为现代企业的信息大多都来自于互连网，通过网络

16、，企业可以更快速的接收到来自全球的市场信息；通过Internet与外部世界交换信息，企业规划者可以更快地对企业作出正确的宏观调控与决策，以适应市场趋势。企业与全世界联系起来,极大地提高了信息收集的能力和效率。随着Intranet技术的不断发展,计算机已经逐渐应用到企业中的各个关键部分,极大的提高了企业的工作效率。对于规模较大的企业来说，这一点尤为重要。而有些大型企业根据其自身性质等对于网络有着更多的需求。比如中国电信、中国网通、中国银行，它们对网络有一点十分重要的需求，那就是网路通路，流量不可断。因为全中国大部分的金融和通信都经过这些企业，他们的网络的稳定性直接关系到国家的政治经济基础等各个方

17、面。所以对于这些大型企业的网络设计必须考虑到流量等细节问题。当今中国网络的另一个重大问题就是安全。由于中国的网络发展较晚，网络的安全没有作到非常完善。而且很多早期起用的网络无论从结构还是技术上都有很多设计不合理的问题，这也导致了网络的安全性差。在企业的某些关键部门（如财务科等），如果有不法分子利用网络中的漏洞修改或者窃取商业机密文件，也会对企业自身造成不可挽回的甚至是毁灭性的危害。当然，企业也会对一些细节问题提出要求。比如市场部门可以上网查阅资料而技术部门不可；或者从周一上午九点到周五下午五点可以上网，而其他时间段网络无流量；再或者高层领导组可以监控财务部门的档案文件而其他部门则没有这样的权限

18、。这些都是网络设计者需要考虑的问题。1.2目的和意义企业内部网（Intranet）是国际互连网（Internet）技术在企业内部或封闭的用户群内的应用。简单地说,Intranet是使用Internet技术,特别是TCP/IP协议而建成的企业内部网络。这种技术允许不同计算机平台进行互通,且不用考虑其位置。也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行访问1。基于这种种的现实问题，企业必须从企业局域网的概念及相关计算机网络技术入手，详细地设计企业网建设的实施方案及建设规划,以达到先进、安全、实用、可靠的目标.对该企业的组网需求进行分析，比较各种组网技术，从实用角度论述局域网主干网选择

19、，综合布线，各种设备选择，网络安全，网络管理等方面。我们的网络要具有一定的灵活性。当企业发展到一定规模,企业在外地设有许多分支机构。这时,为加快企业内部的信息流通,企业需要将总部和各分支机构连接起来。远程企业对网络的需求是：通过internet接入, 在整个公司实现数据快速传输、办公自动化,最终实现企业无纸化办公；企业拥有自己的ip地址和域名,在公司主机上建立网站,向外界宣传企业形象、公司各项业务、活动及最新成果等；以ip电话方式节省企业大部分的长途话费,亦可通过ip网络来实现视频会议；整个公司需要一个运行可靠、费用合理的通信系统；实现telnet等网络服务；建立一个功能全面、使用方便的管理信

20、息系统,使总公司与各地分支机构之间的业务审批电子化,各项工作能够协同完成。实现结构化布线、网络的设计与规划、资源共享、专线接入Internet、WWW服务器、软硬件配置、划分企业子网等技术实施。二 关键的网络技术原理 2.1 大型企业网络的定位 企业网是指覆盖企业和企业与分公司之间的网络，为企业的多种通信协议提供综合传送平台的网络。企业网应以多业务光传输网络为基础，实现语音、数据、图像、多媒体等的接入。企业网是企业内各部门的桥接区，主要完成接入网中的子公司和工作人员与企业骨干业务网络之间全方位的互通。因此电子商务公司企业网的定位应是为企业网应用提供多业务传送的综合解决方案。2.2 关键技术研究

21、 本设计方案采用的是全部Cisco的网络设备，全网使用统一厂家得设备以实现各种不同网络设备功能的互相配合和补充。还有就是一些网络协议都是一些厂家私有的，如EIGRP、HDLC等。因为每个厂家都有属于自己的EIGRP、HDLC所以不同厂家的设备就不能使用这些网络协议。2.2.1路由技术路由协议工作在OSI参考模型的第3层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表，路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本工程案例设计中，内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的

22、路由功能进行数据包交换。路由器是外网进入企业网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表（Access Control List，ACL）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护2。2.2.2交换技术传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现

23、了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了企业网数据交换服务质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网（Virtual LAN，VLAN）的概念。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（Vlan Trunking Protocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所

24、有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性，在企业网内部数据交换的部署是分层进行的。企业网数据交换设备可以划分为三个层次：接入层、分布层、核心层。接入层为所有的终端用户提供一个接入点；分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能；核心层将各分布层交换机互连起来进行穿越企业网骨干的高速数据交换。在本工程案例设计中，也将采用这三层进行分开设计、配置3。2.2.3 远程访问技术远程访问也是企业网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型

25、：专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同，花费也不相同。企业用户可以根据所需带宽、本地服务可用性、花费等因素综合考虑，选择一种适合企业自身需要的广域网接入方案。在本工程案例设计中，分别采用专线连接的VPN和PBR两种方式实现远程访问需求4。2.2.4 VLANVLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的

26、广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户

27、划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。 既然VLAN隔离了广播风暴，同时也隔离了各个不同的VLAN之间的通讯，所以不同的VLAN之间的通讯是需要有路由来完成的5。2.2.5 VPNVPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条

28、专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或WINDOWS2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于

29、不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网4。2.2.6 RIP RIP（Routing Information Protocols，路由信息协议）是应用较早、使用较普遍的IGP（Interior Gateway Protocol，内部网关协议），适用于小型同类网络，是典型的距离矢量（distance-vector）协议。 RIP协议跳数做为衡量路径开销的，RIP协议里规定最大跳数为15。 RIP协议有两个版本RIPv1和RIPv2。 RIPv1属于有类路由协议，不支持VLSM（变长

30、子网掩码），RIPv1是以广播的形式进行路由信息 的更新的；更新周期为30秒。 RIPv2属于无类路由协议，支持VLSM（变长子网掩码），RIPv2是以组播的形式进行路由信息的更新的，组播地址是224.0.0.9。RIPv2还支持基于端口的认证，提高网络的安全性。2.2.7 AAA认证AAA-身份验证 (Authentication)、授权 (Authorization)和统计 (Accounting)Cisco开发的一个提供网络安全的系统。AAA ，认证(Authentication)：验证用户的身份与可使用的网络服务;授权(Authorization)：依据认证结果开放网络服务给用户;计帐

31、(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。整个系统在网络管理与安全问题中十分有效。首先，认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合，那么对用户认证通过。如果不符合，则拒绝提供网络连接。接下来，用户还要通过授权来获得操作相应任务的权限。比如，登陆系统后，用户可能会执行一些命令来进行操作，这时，授权过程会检测用户是否拥有执行这些命令的权限。简单而言，授权过程是一系列强迫策略的组合，包括：确定活动的种类或质量、资源

32、或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证，他们也就被授予了相应的权限。最后一步是帐户，这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息，还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”10。三 大型企业网络需求分析3.1 大型企业网络分析为适应企业信息化的发展，满足日益增长的通信

33、需求和网络的稳定运行，今天的企业网络建设比传统企业网络建设有更高的要求，本文将通过对如下几个方面的需求分析来规划出一套最适用于目标网络的拓扑结构。3.1.1 稳定可靠需求现代大型企业的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通，保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来，网络通信的无中断运行已经成为保证企业正常生产运营的关键。现代大型企业网络在可靠性设计方面主要应从以下3个方面考虑。设备的可靠性设计：不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察。业务的可靠性设计：网络设备在故障倒换过程中，是否对

34、业务的正常运行有影响。链路的可靠性设计：以太网的链路安全来自于多路径选择，所以在企业网络建设时，要考虑网络设备是否能够提供有效的链路自愈手段，以及快速重路由协议的支持7。3.1.2 服务质量需求现代大型企业网络需要提供完善的端到端QoS保障，以满足企业网多业务承载的需求。大型企业网络承载的业务不断增多，单纯的提高带宽并不能够有效地保障数据交换的畅通无阻，所以今天的大型企业网络建设必须要考虑到网络应能够智能识别应用事件的紧急和重要程度，如视频、音频、数据流（MIS、ERP、OA、备份数据）。同时能够调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送，实现对业务的合理调度才是一

35、个大型企业网络提供高品质服务的保障7。3.1.3 网络安全需求现代大型企业网络应提供更完善的网络安全解决方案，以阻击病毒和黑客的攻击，减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件，以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，这样才能有效地保证企业网络的稳定运行7。3.1.4 应用服务需求现代大型企业网络应具备更智能的网络管理解决方案，以适应网络

36、规模日益扩大，维护工作更加复杂的需要。当前的网络已经发展成为以应用为中心的信息基础平台，网络管理能力的要求已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如，网络调试期间最消耗人力与物力的线缆故障定位工作，网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作，由于受网络设备功能本身的限制，都还属于费时、费力的任务。所以现代的大型企业网络迫切需要网络设备具备支撑以应用为中心的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来7。3.2 本课题系统需求分析该集团是一个以煤炭产品

37、为主，兼营大型矿井建设、工业与民用建筑设计与施工、地基与基础处理、地质勘探、商业等行业的综合性集团公司。XX集团作为一个全国200强的集团公司，下辖生产矿、建井处、机械厂等二级单位3家，各个相对独立的生产服务单位，如财务、运销、医疗卫生、远程教学、综合统计等，都必须实现网上信息传输。现在要求做出该集团的网络设计方案，在该方案中，用户有如下的需求：1. 在多业务共同存在的网络设备之上，各业务属于不同的区域，要求实现内部网络按用户、功能进行VLAN、网段划分；2. 针对不同的用户类型，制定相应的访问、控制权限；3. 由于接入ISP提供的互联网出口提供1个公有IP，要求解决集团内部对外部网络的访 问

38、需求，且要实现发布对外的WEB、FTP服务； 所以我们已建筑物的中心也就是集团总部的三层为网络的中心，用光纤连接三个分公司，构成电子商务公司网络光纤主干。四 网络系统实现4.1 大型企业网络拓扑图图 4-1 网络拓扑图4.2 VLAN及IP地址的规划 表 1 VLAN划分VLAN号VLAN名称IP网段默认网关说明VLAN 10YXB 10.1.0.0/2210.1.3.254运销部VLANVLAN 20YLWSB10.1.4.0/2210.1.7.254医疗卫生VLANVLAN 30CWB10.1.8.0/2210.1.11.254财务部VLANVLAN 40ZHTJB 10.1.12.0/2

39、210.1.15.254综合统计部VLANVLAN 50WCJXB10.1.16.0/2210.1.19.254远程教学VLAN机构地址空间用途10.0.0.0/8集团全部地址空间10.16.0.0/13总部全部地址空间10.16.64.0/17总部网管类全部地址10.16.128.0/17总部互联类全部地址10.16.196.0/17总部应用类全部地址10.17.0.0/17总部因特网全部地址10.16.196.0 /21总部应用类1运销工作人员地址空间10.16.200.0/21总部应用类1财务部工作人员地址空间10.16.204.0/21总部应用类1医疗卫生工作人员地址空间10.16.2

40、08.0/21总部应用类1远程教学工作人员地址空间10.16.212.0/21总部应用类1综合统计工作人员地址空间子公司110.32.0.0/13子公司1全部地址空间10.32.64.0/17子公司1网管类全部地址空间10.32.128.0/17子公司1互联类全部地址空间10.32.192.0/17子公司1应用类全部地址空间10.33.0.0/17子公司1因特网全部地址10.32.196.0/21子公司1运销工作人员地址空间10.32.200.0/21子公司1财务部工作人员地址空间10.32.204.0/21子公司1医疗卫生工作人员地址空间10.32.208.0/21子公司1远程教学工作人员地

41、址空间10.32.208.0/21子公司1综合统计工作人员地址空间子公司210.48.0.0/13子公司2全部地址空间10.48.64.0/17子公司2网管类全部地址空间10.48.128.0/17子公司2互联类全部地址空间10.48.192.0/17子公司2应用类全部地址空间10.49.0.0/17子公司2因特网全部地址10.48.208.0/21子公司2运销工作人员地址空间10.48.212.0/21子公司2财务部工作人员地址空间10.48.216.0/21子公司2医疗卫生工作人员地址空间10.48.220.0/21子公司2远程教学工作人员地址空间10.48.224.0/21子公司2综合统

42、计工作人员地址空间子公司310.64.0.0/13子公司3全部地址空间10.64.64.0/17子公司3网管类全部地址空间10.64.128.0/17子公司3互联类全部地址空间10.64.192.0/17子公司3应用类全部地址空间10.65.0.0/17子公司3因特网全部地址10.64.196.0/21子公司3运销工作人员地址空间10.64.200.0/21子公司3务部工作人员地址空间10.64.204.0/21子公司3医疗卫生工作人员地址空间10.64.208.0/21子公司3远程教学工作人员地址空间10.64.212.0/21子公司3综合统计工作人员地址空间路由器R1与电信连接的接口F0/

43、0IP为202.100.1.10/24，与HX1连接的接口F1/1IP为192.168.1.1/24，与HX2连接的接口F1/2IP为192.168.2.1/24,与R2连接的接口F1/3IP为192.168.3.1/24。交换机HX1与R1相连的接口F1/0IP为192.168.1.2/24,与R2相连的接口F1/1IP为192.168.4.2/24,与R3相连的接口F1/2IP为192.168.6.2/24。交换机HX2与R1相连的接口F1/0IP为192.168.2.2/24,与R2相连的接口F1/1IP为192.168.5.2/24,与R3相连的接口F1/2IP为192.168.7.2

44、/24。4.3网络设备配置4.3.1 基础配置这里以接入层交换机SW1为例（见图1） 图1 接入层设备4.3.2 划分VLAN现在我们根据需求在服务端FB1上配置VLAN信息，创建并命名（见表1）FB11#vlan daFB1(vlan)#vlan 10 name GLB创建一个VLAN 10 命名为GLBVLAN 10 modified: Name: GLB FB1(vlan)#vlan 20 name SCBVLAN 20 added: Name: SCBFB1(vlan)#vlan 30 name CWBVLAN 30 added: Name: CWBFB1(vlan)#vlan 40

45、name XSBVLAN 40 added: Name: XSBFB1(vlan)#vlan 50 name RLZYVLAN 50 added: Name: RLZYFB1(vlan)#exitAPPLY completed.Exiting.4.3.3 交换链路封装所有交换机之间相连的线都要起封装协议，我们以FB1和SW1之间的线为例（见图4）图2 链路封装(config)#interface fastEthernet 0/4进入要封装的接口SW1(config-if)#switchport trunk encapsulation dot1q 进行封装SW1(config-if)#switc

46、hport mode trunk指定封装模式SW1(config-if)#no shutdown开启接口SW1(config)#interface fastEthernet 0/0SW1(config-if)#switchport trunk encapsulation dot1q SW1(config-if)#switchport mode trunkSW1(config-if)#no shutdown封装交换机连接终端的接口，并把该接口划入VLAN，以SW1为例SW1(config)#int f0/2SW1(config-if)#switchport mode access手工指定封装模式为ACCESS模式 SW1(config-if)#switchpo