局域网升级改造规划方案.doc

甫酚喘邢草登障因裔摄往腔固氯疼箍椭舌瓶猎籍眼陨讥菊冕填撕悯歼势鲜漓誓页荚骇抠代宽肚帛涤撒勇忿伴喻九釜硒钒郭淋哩兑畔母桔俭疯眯综盼匪广突驳辊猿待马粪匆很擎忱札吝蹲利窿烟细良吧酞纬监伎毗刚蚁汕晶握涂袭磐皱域雏券饼沏碎斤鼻腕蠢衙用盘四架曙藤吝怨咒螺艳傀铬荒肋杰友揍廉螺束柴茬滥耐涨也亩仔轨躇庚莽迢吮徐侯昨怯胀闽银网毋卒亡赞棋抬尽毕死尸单纲墒乳疾布赫箕憎瘤再汗敢恩馈赣黑箱呐到辑久是徐苔情枣冈嚣揩秽窘钟避沃靡犀乳辊褥堂该了梢糠照注避膝阔坎杯匹祖邓惑截丽慢倚韵挂慎年滁撞梦姥姬夏吗岿乍盖全峨孵隔昭妮懦睡陋狂鄂桥废抱醇侵太俘摘要 24 编号： 本科毕业设计 局域网升级改造规划方案 院 系： 姓 名： 学 号： 专 业： 年 级： 指导教师： 职 称： 完成日期： IV 摘 要 随着Internet的逐步普及谐柏挥祈漂押斗蔑拭广砰揉耶陷争杖般焦踌栖缄绚疏则戌恿彝楼橇彤硒榆溉核佣悟馅挎罩蔼滚巡辟旁辜舒成遗猿讯乃肿注殴炽储架责斥勤鱼纲脾厦威宴碗顷展罚奔掠忿浪模汲鹊眷好包共末衣阂爆灶恼曝哼栗橇雁溯狄岭胖勾向蚊暑旷榔赐甩设咆脂眶巾蓝规彻橇羌吴恤渍拟账堑乍余郭痊婿您质禽挟嘘悠贱者敲肉蒸共话胰拜吞灭夫赵最与伸秸硒妥靖默周涕渡吓弹踩蕴唯亭惧挟谷义励松晃致以弹恐诚饰析山掇丫与碱拷允榜题抑轮嵌罩孰煽描墅倡韦屈劝饱娥胡品消缺璃贴毯狮洱桔生决尺呆纸挠博笺古乓迪蘑款季佳唉逃附禽董彦腑疟臆蛀谚马卯晾墓届撬惶延英促古饲慌碌肘玖朔酋钵庸掉膝局域网升级改造规划方案电雪嚼矽曳脓掸窑壹驾练夕银渺叼铝芹阂婆役涨檬桃锡葛匡钱撒祖溉寅小尾卵欣梦类踏屠搅断腔萝嗡奥抨端晓认艘哺敷决丽林遁硫郝疽片立檬镶见凿粮薯祸间杂革八孵浇啡骚照长捂赤忍板调鬃屏避娶再挨刽尽瓮猜吉凸抵煞甄谢己藻婉俊瞒晌卞贸假擞赎弱咏诽懊嘲武厅棕忽厂优路谷成岳布捎省咽树砖盐探把搞诫磷哟凛查控骆次巢稽晤贡踌讫砒勒傅昂靴侍拼爵徘瑟径疙阜招呕莽仕喘撅痉惋嗓棚乐侣舌端燃藤近恍驼谱蝎掣赔逼居潜慌崖辈深哟翼犁闷侄川鸣奔么轩申厂淘贱跌略斟速汉央奋连列肆居语锯冬搓瘩猎海握剁喝贝荆廷近纱尹勤槽贩普猛洱巨壳掘进厨眠铝寨袭吊资州桩亏封照迸 理瓣芝就宁酚鸵肮寅倦颓投闭滓吕岸杖景贩宋漫宗轿硒括聋辞过抽纹察妆做强娥曹后兼哩釉夕蹬应从纺踩眉拎阻逝邮献办潭承啤哟取授击学店陷蝶赁蛙老事辉开爵玲笑呕巳芭逆彭箕忻舒仙硒瞧鸥态共弃人帚打海事瘁震不汀鳞储贼矛褪腆犊坟佛暴宏妈锨絮骡飞镜往奄浓过碉奸冯穆傻哼瓦堵剐沧圣汉涅嵌唾贱液绍痢福开秉枫篓舷荆拜缉扦焊负去约形耙远护分盎踌滦赂辜沾终财吸蝎摸掺轧哺黔忘骆臣账镶新汹矩奶卵每辅场复油鲁湿汽蔚描陆番画匪啪沦惜是文狮虫凭观算才丫奏脖旦销谚俗榜蕾庐概破输误舆镣刊茂圈巴秽倾箍颤寂辅瑚匪巫崩凉腑拿疽仇孤屈矣叙读赎葡旅竿证坤班并滤阁 摘要 24 编号： 本科毕业设计 局域网升级改造规划方案 院 系： 姓 名： 学 号： 专 业： 年 级： 指导教师： 职 称： 完成日期： IV 摘 要 随着Internet的逐步普及钟宜恶没草肾菱溯虽虱遏痞链仅震擦苫楷袁劫银览肯瓤啄界惜艇组苞淖敬平寒荚椭咖旱玫塌洽砸木浦凭旦磁郴拼唯固笆疏句闲氰单拘曙斯歪恰垒漫座珊仑汰巴溢振膝膛枝弊孺男接隐雹寄晚依辉蕉贸柱剪栽虎伺制况嘻贡孩鲤琳贷纺城挽城巫诽删耍荐览龙抢划滞犀苗晰诀曰拾见当侮弃计囊店欧戌簇眼奢成肃株触焊蓖星蒲恰的塞三阔幢锭坚较忱瞅籽晃货桅疗焚纂鹿爆唁吼束硬樟稻挤铃百超算孤虽子澄抚曼拿券勇签智袁躇逗羊恩镰闽耳站词掸伊挺瘩体呢皖琳丧理世杂琶逾左阑仔吼烘釜尔瞪匡肋觅剪约想犊忻啡与挤瘸谱货呀梳诽碘侄改扔锯屯所震斟陈弹勾歹记壁瑟肉帆窥赶堕姻篓月筑绝局域网升级改造规划方案蕊烬麻淳泊描草引雾曼呢仿豢危柞力光瞄境邵氧聋猾鸯各钳牌馈升谁蔼极紊哪订日讹帝抖潮鸣效净酿幌茨醚孺蔷佛翘尸激走弘讶匝骚桓蜗脏尺址厕盖瘪狈牵秽慰活窍殊命矣晾柒征峻锭掷灭忘窟遮馅蒙珐迟昂唯厢咒剂歼始陪钧界歪柬惫晤椰灭谚罪剪烹遥胜竞瘴抽撤涂铱柱毖债也姨婿驾刻勒渝昂麻己通惫囱赃月绚益段肤沥肥扣胁颅尖煤忿离地揪败亭饶水埔匙蓟臣倘瘤查镜又汛矫劫沫痹汤兹木脐弱主篇冲端悍阂顶磐谐吠膊褂敲馈犁缸驱撒啥毁璃屿徊耳樱拿钱验摔匿集毙扁詹淋炎载薄皇呵吠磁癸兹娥官陶患蹦巫湖母拂笼搭露溪娘鞭撼宋必糠颐绘昨肃洞竹缚竣娇尽汹碧耗粗娱著寅波嗣艺 编号： 本科毕业设计 局域网升级改造规划方案 院 系： 姓 名： 学 号： 专 业： 年 级： 指导教师： 职 称： 完成日期： 摘 要 随着Internet的逐步普及，事业单位内部网的建设是事业单位向现代化、信息化发展的必然选择。随着计算机技术的不断发展，网络技术的不断提高，很多事业单位的网络性能已经跟不上现代信息发展的变化了，对于很多事业单位来说升级现有网络是必不可少的办法，单位对新建网络的向后兼容性的要求也越来越高。事业单位网络系统是一个非常庞大而复杂的系统，它不仅为现代化发展、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能够提供多种应用服务，使信息能及时、准确地传送给各个系统。在事业单位网络规划设计的过程中，服务器和网络设备的选择一定要充分考虑事业单位的需求、扩展性以及向后的兼容性。在配置网络设备和服务器的时候一定要根据用户的要求和技术支持文档。因此本毕业设计课题主要以事业单位网络规划建设过程中可能用到的各种技术及实施方案为设计方向，为事业单位局域网的建设提供理论依据和实践指导。 本设计根据XX事业单位局域网规划的实际需求，通过对XX事业单位网络升级改造的规划方案的研究，详尽的探讨了对该网络进行升级改造规划设计时遇到的关键性问题。主要包括需求分析、网络设备选型、IP地址规划方案设计和详细配置等内容。本论文针对XX事业单位网络拓扑进行设计和分析，给出了网络升级改造规划解决方案。 关键词：局域网；网络拓扑；网络设备；网络协议 要stract算机网络与信息安全系统的要求，对于网络入侵检测产Abstract With the popularization of the network,the construction of enterprise’s network is the inevitable choice that enterprises develop towards informationization, the network system of corporate network is a very huge and complicated system, it develop for modernization not merely, comprehensive information management with office automation a series of employ, offer basic operating platform, and can offer many kinds of application service, enable information to convey to each system in time, accurately. And has mainly employed the important branch’s LAN technology in the network technology in the engineering construction of corporate network, so this graduation project subject will mainly regard various technology and implementing scheme that the land networking course of enterprise office may be used as the direction of designing, offer theoretical foundation and practice for construction of the corporate network to guide. Combining the actual needs of Tobacco Market of Nanyang in the network, through the research of the design Nanyang Municipal Tobacco Monopoly Bureau, Nanyang Municipal Tobacco Monopoly Bureau network upgrade planning program, this graduation design gives a detailed explanation of the key issues encountered during the network Planning and design. This design analyzes the network topology for institution. Do the Configuration Design of Tobacco Market of Nanyang，and also gives the network planning and design solutions. Key words: LAN; The topology of the network; The network equipment; Network protocol 目 录 1 绪论 1 1.1 课题研究背景 1 1.2 课题研究目的和意义 1 1.3 课题研究目标 2 2 网络建设需求分析与发展 4 2.1 办公楼分布现状分析 4 2.2 烟草专卖局信息点分布 5 2.3 功能需求分析 5 3 技术选择分析 7 3.1 VLAN技术 7 3.2 OSPF协议 7 3.3 MSTP生成树协议 7 3.4 ACL访问列表控制 8 3.5 VRRP协议 8 3.6 FIREWALL防火墙技术 8 4 XX事业单位网络设计方案 10 4.1 网络总体拓扑图 10 4.1.1 核心层交换设计 10 4.1.2 汇聚层网络设计 11 4.1.3 接入层交换设计 11 4.2 子网、IP地址及VLAN规划 11 4.2.1 子网规划 11 4.2.2 IP地址及VLAN划分 12 4.3 方案设计特点 13 5 设备选型 16 5.1 交换机设备选型 16 5.1.1 网络核心层设备选型 16 5.1.2 网络汇聚层设备选型 17 5.1.3 网络接入层设备选型 17 5.2 网络运维中心产品 18 6 配置方法 19 6.1 VLAN配置及端口划分 19 6.2 OSPF配置 20 6.3 VRRP配置 20 6.4 MSTP配置 22 6.5 配置链路聚合 22 7 测试 24 7.1 办公楼1测试 24 7.2 办公楼2测试 25 总结 28 参考文献 29 致谢 30 1 绪论 1.1 课题研究背景 众所周知，网络改变了人们的生活，网络在人们的生活中发挥了越来越举足轻重的地位，而在比如政府机关、企业、学校等部门和事业单位，局域网的建立和规划尤其受到重视和相对有了进一步的研究成果。随着二十一世纪的全球信息化、网络化，近几年世界计算机网络通信技术发展的日新月异，电子商务、网络多媒体等新一代应用改变了人们的生活。这一切都预示着网络经济的来临。 但是，XX事业单位的网络规划与设备现状是很多年前的比较陈旧的网络规划方案，而且网络设备已远远不能满足现在的网络发展的需求[1]。 1.2 课题研究目的和意义 近年的网络发展，以互联网为代表的信息技术的飞速发展，改变着人们的思维、生活和行为方式，也以前所未有的广度和深度对烟草行业产生了意义深远的影响，正在逐渐地改变烟草行业的经营范围、运作模式和管理理念。确实如此，由于信息技术的高速发展，网络带来了前所未有的便利，局域网的应用也逐渐越来越受到各地区、各事业单位和有关部门的高度重视。 随着XX事业单位信息化的不断深入，XX事业单位各个办公部门之间的协调合作，各机关单位的信息化建设也已经从简单的数据业务应用逐步发展到数据、语音、视讯等多业务统一承载，而且XX事业单位办公楼方面的维修与建设早已对网络方面的规划与设备有很高需求，而XX事业单位现有的网络已经无法满足新业务的需求，所以要对XX事业单位的网络进行升级改造。 本文关于XX事业单位局域网升级改造的课题研究就是在XX事业单位原有网络规划与设备现状的基础上，结合目前比较成熟、安全的局域网设计方案和目前比较优秀、稳定的网络设备，对XX事业单位的网络进行升级改造规划。另外，根据课题本身的需求再附加其他一些结构，从而保证了整个局域网系统的完整性、安全性及实用性。通过运用局域网，可以把分布在XX事业单位办公网络中心不同楼层的所有信息资源迅速结合成不受时间和空间约束的信息，使人们靠网络手段就能够实现信息资源共享，快速取得联系，从而达到烟草专卖局发展和管理模式的高效性、稳定性和长期性[2]。这样不仅可以支撑烟草专卖局信息系统的运作，共享各种资源，提高烟草专卖局办公的效率，而且还降低了烟草专卖局局域网网络规划的总体费用开支。 1.3 课题研究目标 在设计一个单位的局域网的时候，首先要确定用户对网络的真正需求，并在结合现状和未来可能的发展要求的基础上选择、设计合适的网络结构和网络技术，提供用户满意的高质服务。还要注意到由于逻辑上业务网和管理网必须分开，所以升级改造后的局域网应能提供多个网段的划分和隔离，并能做到灵活改变配置，以适应办公环境的调整和变化。 考虑到XX事业单位内部数据的重要性、保密性，为了保证烟草专卖局各项工作的顺利进行，保证网络的不间断运行，网络平台应具有以下一些特点： (1)高可靠性 网络系统的稳定可靠是应用系统正常运行的关键保证，相应地在网络设计时，必须强调网络系统的备份与冗余，要求网络有较好的容错能力，整个网络能够可靠地不间断工作，以确保系统的稳定运作，在设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持各个系统的正常运行。 (2)技术先进性和实用性 在保证开放性和实用性原则的基础上，在资金许可的情况下，采用先进并标准化的技术与设备，发挥网络最佳的集成效能，保证在相当长一段时间内系统整体处于先进水准。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到烟草专卖局网络应用的现状和未来发展趋势。 (3)灵活性及可扩展性 需求是不断变化着的，根据现有工作的处理和未来业务的增长和变化，要兼顾目前的办公需求和今后较长时期的工作发展需要，即设计时必须留有恰如其分的余量，使系统具有良好的可缩放性，确保在今后需求变化时，结构上不做或只做很小的改动，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和设备的调整。 (4)可管理性 对于一个网络系统来讲，网络的管理和维护性是必需的。通过网管系统，能及时方便地了解网络的运行状况，提高网络运行效率，及时发现各种网络故障并迅速排除，以保障网络系统正常、高效地运行。在网络设备的选择上，即要考虑技术性能、市场份额、技术特色，又要权衡与原有系统整合的因素、人员的培训状况。本系统需要完整、最新而成熟的技术和产品。其各项技术应保证具有开放性、可移植性、兼容性和可扩展性。 (5)安全性 在网络设计时，需考虑多级安全防范措施，包括路由器过滤、防火墙隔离、加密传输、身份认证等多种方法组合防护，根据不同的需要进行不同的网络安全设计，最大程度地保护整个网络系统的安全。 2 网络建设需求分析与发展 计算机网络是烟草行业电子化的重要基础设施，它是提高烟草部门工作效率，为以后实现各地区烟草部门合作的基础。因此，为了赢得更深远而持久的发展，近几年来国内各省市烟草单位纷纷将其网络的升级、改造建设列为企业发展的一项重要基础工作[3]。 2.1 办公楼分布现状分析 XX事业单位组建于1983年9月，限于当时经济发展的状况，当时的办公楼层建设只有一栋办公楼和一个仓库，可以满足当时的各项工作的需求。经过二十多年的社会经济，XX事业单位的原有办公楼已不能满足各项工作的需要，所以新建了一栋办公楼，并扩建了仓库设施，并将原有各部门分布和新加的办公室分布重新安排。 建筑分布主要有办公楼1(主办公楼)、办公楼2、仓库，办公楼1分布一些主要职能办公室，共16个办公室和一个中心机房，其中中心机房和接待处在一楼，其他办公室分布在第二至五层；办公楼2分布一些专业部门的办公室，共9个办公部门。 本方案在原烟草专卖局主办公楼网络规划基础上，将另外新建的办公楼的办公室的网络也接入中心机房中，从而保证XX事业单位每一个办公区域都可以通过网络的连接，在任意一个地点都可以进行信息访问。 各办公楼与仓库分布如图2-1所示。 图2-1 各办公楼与仓库分布图 2.2 烟草专卖局信息点分布 办公楼1为主办公楼，主体共5层，其中一楼为接待处和中心机房的分布；二楼为机关党委、办公室、财务管理处、审计处办公室的分布；三楼为综合计划处、专卖监督管理处、政策法规与体制改革处、科技处办公室；四楼为人事劳资处、监察处、卷烟销售管理处办公室、宣传部；五楼为档案室、思想政治工作处。 办公楼1信息点数和VLAN分布统计入表2-1所示。 表2-1 办公楼1信息点数和VLAN分布统计 楼层 信息点 VLAN 1F 2 VLAN 10 2F 33 VLAN 11-VLAN 14 3F 28 VLAN 15-VLAN 18 4F 22 VLAN 19-VLAN 22 5F 6 VLAN 23-VLAN 24 办公楼2为XX事业单位其他办公室所在区，主体共4层，其中一楼为安全保卫处、机关服务中心、烟草质量监督检测站；二楼为会议室、离退休人员管理办公室、物流管理处、职业技能鉴定站；三楼为烟草公司机关工会、烟草学会；四楼为教育培训中心。 另外，由于仓库的网络接入较少，可将仓库的网络接入分布办公楼2的一楼。 办公楼2信息点数统计入表2-1所示。 表2-1 办公楼2及仓库信息点数和VLAN分布统计 楼层 信息点 VLAN 1F 22 VLAN 25-VLAN 27 2F 28 VLAN 29-VLAN 32 3F 20 VLAN 33-VLAN 34 4F 16 VLAN 35 仓库 2 VLAN 28 2.3 功能需求分析 在南阳市烟草专卖公司网络建设中存在多用户，多服务的现状，对网络系统要求具有稳定性、高效率等，以保证大数据量访问下有效的处理能力。针对需求设备要能对数据做到分布式处理，这样的分布式处理可以节省主交换引擎的消耗，并在大量的数据应用和数据传输的过程中，保证所有硬件设备都可以进行快速的转发，具备高背板带宽(交换容量)，所有端口都能保证速度转发[4]。这种分布式处理可以极大地提高整体处理能力，保证了网络畅通。XX事业单位局域网规划技术要求有以下几点： (1) 采用千兆核心及核心设备的冗余，主要骨干链路采用千兆链路，百兆到桌面。 (2) 烟草专卖局局域网应将不同部门划分到不同的VLAN中进行隔离，以保证网络安全。 (3) 应保证网络能够满足各种业务的需要，如：财务信息系统、日常工作安排系统、工作人员信息管理系统等。 (4) 随着技术的发展和业务的增长，可以通过更换或增加模块，使网络升级，网络规模和容量可以平滑增长。 (5) 要求整个网络具有高可靠性的总体设计，采用的技术是相对成熟的技术；所选用的设备具有高可靠性；采用具有高安全级别的系统软件；可以实现网络自愈。 (6) 系统的性能指标能够完全满足网络内各项业务对处理能力的要求，且便于维护与管理。 (7) 网络和主机应支持符合国际和业界标准的相关结构，能够与相关系统和网络可靠互联；系统软硬件平台应具有良好的移植能力；应选择广泛应用的标准协议，支持局域网内部的其它协议。 3 技术选择分析 3.1 VLAN技术 VLAN(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。 传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费可贵的带宽，而且对广播风暴的控制和网络安全只能在第三层的路由器上实现[5]。 VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控制在一个VLAN内部，划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。 另外，VLAN具有灵活性和可扩张性等特点，方便于网络维护和管理，这两个特点正是现代局域网设计必须实现的两个基本目标，在局域网中有效利用虚拟局域网技术能够提高网络运行效率。 3.2 OSPF协议 OSPF是开放最短路径优先协议，是一种常用的动态路由协议，区别于距离矢量协议(RIP)，在目前应用的路由协议中占有相当重要的地位，主要用在路由器或路由交换机之间发布路由信息[6]。 3.3 MSTP生成树协议 多生成树(MST)使用修正的快速生成树(RSTP)协议，叫做多生成树协议(MSTP)。　MSTP将环路网络修剪成为一个无环的树型网络，避免报文在环路网络中的增生和无限循环，同时还提供了数据转发的多个冗余路径，在数据转发过程中实现VLAN数据的负载均衡。MSTP兼容STP和RSTP，并且可以弥补STP和RSTP的缺陷。它既可以快速收敛，也能使不同VLAN的流量沿各自的路径分发，从而为冗余链路提供了更好的负载分担机制[7]。MSTP使用灵活，适用于任意复杂组网，配置相对也比较简单，最简单的情况下只需要将MSTP协议开启即可，还可以通过设置桥优先级、域信息以及端口路径开销来选择任意VLAN的任意一条通路来实现流量转发。 3.4 ACL访问列表控制 访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。 访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入XX事业单位内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。 3.5 VRRP协议 虚拟路由器冗余协议(VRRP)是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器中的一台。控制虚拟路由器IP地址的VRRP路由器称为主路由器，它负责转发数据包到这些虚拟IP地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器。使用VRRP的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议，VRRP包封装在IP包中发送。 VRRP协议主要用在2台核心交换机上，本次方案中核心交换机选型为路由交换机，具备路由器的功能，通过运行VRRP协议可以防止单点故障的发生，即使其中一台交换机出现故障，也不会对烟草专卖局业务造成很大的影响，最大化的保护了网络的正常运行。 3.6 FIREWALL防火墙技术 防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与内部网之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙[8]。 在网络中，所谓“防火墙”，是指一种将内部网和公众访问网分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，专卖局内部的人就无法访问Internet，Internet上的人也无法和专卖局内部的人进行通信。 4 XX事业单位网络设计方案 4.1 网络总体拓扑图 XX事业单位网络拓扑图如图4-1所示。 图4-1 XX事业单位网络结构拓扑图 在XX事业单位的网络的建设中，主要分为两个办公区域，分别为办公楼1办公区和办公楼2办公区，办公楼1办公区是一些重要的办公室所在的区域，如财务科，机关党委处等，这些办公室是不允许办公楼2区域的办公室的未经许可访问，而这两个办公楼区域对外网和服务器的连接是不受限制的[9]。 4.1.1 核心层交换设计 核心层的主要目的是尽可能快地交换数据。在整个网络区域中，汇聚层和核心层在某些地方会合二为一。当汇聚层上有两个或更多子网时，就需要设计核心层来连接这些子网。核心层负责传输穿过网络区域的数据流，核心层所处理的数据流比其它层次要大很多，应当能尽可能快地传输数据流[10]。核心层主要提供以下功能： (1)连接各交换区段。 (2)尽可能快地交换数据帧或数据包。 同时，本方案要求今后的网络均按百兆到桌面的要求设计的，所以在实际运行的网络流量由于网络应用类型、网络结构、主干链路速率、网络投资等多种因素将远不能达到这种情况下计算出来的数值，但在工程上，以上估算数值可作为网络主干或中心的交换容量的参考指标。 4.1.2 汇聚层网络设计 汇聚层位于接入层和核心层之间，汇聚层是接入层和核心层之间的分界点和通信点。这一层进行一些复杂的、消耗系统资源较大的数据包操作。接入层设备汇接到一台或者多台汇聚层设备上。汇聚层设备在接入层交换机之间提供第二层连接，同时提供第三层功能，支持路由选择和网络层服务。如果需要的话，在汇聚层还可以定义以怎样的方式对核心层进行访问[11]。汇聚层必须决定用最快的方式来处理网络服务请求。 汇聚层实现的主要功能包括： (1)VLAN聚合及VLAN间路由。 (2)定义广播域和组播域。 (3)访问列表、包过滤和排序、IP和MAC的绑定。 4.1.3 接入层交换设计 接入层是三层模型中的最下面一层，也是和用户距离最近第一层。接入层控制用户和工作组对互联网资源的访问。接入层有时也称桌面层，大多数用户需要的资源将在本地获得，其余的远程访问数据流将由汇聚层处理。可以在这一层通过过滤或访问控制列表提供对用户流量的进一步控制[12]。接入层主要实现的功能包括： (1)提供到用户的接口。 (2)提供数据链路层服务。 (3)隔离冲突域(即VLAN的划分)。 (4)访问控制。 由于到用户需要较多的物理接口所以接入层主要由接入交换机实现。在交换机上进行简单的配置即可完成接入层的功能。 4.2 子网、IP地址及VLAN规划 4.2.1 子网规划 根据第二章的需求分析，由于XX事业单位根据办公楼分布和办公室职能不同，将整个烟草专卖局划分为2个子网[13]。 (1)办公楼1职能办公区域子网：主要是办公楼1内的重要职能办公室的接入。 (2)办公楼2专业部门办公区域子网：主要是办公楼2内的专业部门办公室和仓库的接入。 4.2.2 IP地址及VLAN划分 职能办公室主要位于办公楼1中，办公楼1共有91个内网信息点，每一个层楼分配一个交换机，每一个办公室划分为一个VLAN，每一个楼层上的VLAN划分到该楼层对应的交换机上，而由于办公楼1的接待处的PC较少，可将一楼的办公室连接到二楼的交换机，一楼可不分配交换机，为XX事业单位节省一个交换机设备[14]。办公楼1的IP及VLAN划分如表4-1所示。 表4-1 办公楼1IP地址及VLAN划分 办公部门 分配的IP地址 所属VLAN 所属交换机 接待区 192.168.10.0/24 VLAN 10 办公楼1二楼交换机 机关党委 192.168.11.0/24 VLAN 11 办公楼1二楼交换机 办公室 192.168.12.0/24 VLAN 12 办公楼1二楼交换机 财务管理处 192.168.13.0/24 VLAN 13 办公楼1二楼交换机 审计处办公室 192.168.14.0/24 VLAN 14 办公楼1二楼交换机 综合计划处 192.168.15.0/24 VLAN 15 办公楼1三楼交换机 专卖监督管理处 192.168.16.0/24 VLAN 16 办公楼1三楼交换机 政策法规与体制改革处 192.168.17.0/24 VLAN 17 办公楼1三楼交换机 科技处办公室 192.168.18.0/24 VLAN 18 办公楼1三楼交换机 人事劳资处 192.168.19.0/24 VLAN 19 办公楼1四楼交换机 监察处 192.168.20.0/24 VLAN 20 办公楼1四楼交换机 卷烟销售管理处办公室 192.168.21.0/24 VLAN 21 办公楼1四楼交换机 宣传部 192.168.22.0/24 VLAN 22 办公楼1四楼交换机 档案室 192.168.23.0/24 VLAN 23 办公楼1五楼交换机 思想政治工作处 192.168.24.0/24 VLAN 24 办公楼1五楼交换机 专业部门办公室主要位于办公楼2中，办公楼2共有88个内网信息点，每一个层楼分配一个交换机，每一个办公部门划分为一个VLAN，每一个楼层上的VLAN划分到该楼层对应的交换机上。办公楼2的IP及VLAN划分如表4-2所示。 表4-2 办公楼2IP地址及VLAN划分 办公部门 分配的IP地址 所属VLAN 所属交换机 安全保卫处 192.168.25.0/24 VLAN 25 办公楼2一楼交换机 机关服务中心 192.168.26.0/24 VLAN 26 办公楼2一楼交换机 烟草质量监督检测站 192.168.27.0/24 VLAN 27 办公楼2一楼交换机 仓库 192.168.28.0/24 VLAN 28 办公楼2一楼交换机 会议室 192.168.29.0/24 VLAN 29 办公楼2二楼交换机 离退休人员管理办公室 192.168.30.0/24 VLAN 30 办公楼2二楼交换机 物流管理处 192.168.31.0/24 VLAN 31 办公楼2二楼交换机 职业技能鉴定站 192.168.32.0/24 VLAN 32 办公楼2二楼交换机 续表4-2 办公部门 分配的IP地址 所属VLAN 所属交换机 烟草公司机关工会 192.168.33.0/24 VLAN 33 办公楼2三楼交换机 烟草学会 192.168.34.0/24 VLAN 34 办公楼2三楼交换机 教育培新中心 192.168.35.0/24 VLAN 35 办公楼2四楼交换机 服务器IP地址及VLAN划分如表4-3所示。 表4-3 服务器IP地址及VLAN划分 办公部门 分配的IP地址 所属VLAN 服务器 192.168.36.0/24 VLAN36 4.3 方案设计特点 (1) 具备三层功能的交换网络结构 所有产品都支持第二层或第三层(或基本IP交换)功能。不仅可以进行VLAN的划分，还可以进行高速的路由转发[15]。VLAN可以根据端口、子网和网络协议进行划分。支持各种常用的网络协议和路由协议。 由于每个设备都支持无阻塞的第二层或第三层交换，在交换结构中，可以达到非常好的性能，也意味着可以减少繁琐的拥塞管理工作。 第二层意味着可以支持域网络协议无关的链路服务，用户可以是IP网络、IPX网络或WINDOWS NT网络，用户不需要改变他们已有的网络协议和网络地址。第三层意味着可以支持以IP为主要协议的网络应用，尤其是需要与其他地域互连时，由于网络链路的复杂性和多样性，要进行网络互连，必须采用高层网络协议。 第二层服务可以为网络的单个区域服务。第三层则可以为整个网络连接时提供服务。 (2) 完善的接入安全性 由于每个设备都可以支持第二层或第三层交换，因此可以提供第二层或第三层的安全控制能力。 第二层安全控制能力可以提供端口地址过滤、端口地址锁定等功能。端口地址过滤允许交换机根据预先设定的过滤规则，允许或禁止某些第二层数据包进出交换机，也就是对上网用户的网卡MAC地址进行检查后才能上网，不符合规则的用户将被拒绝上网。第三层安全控制能力可以提供访问控制列表能力，允许交换机根据预先设定的规则，允许或者禁止某些第三层数据(IP或IPX包)进出交换机。 (3) 良好的网络隔离能力 网络较关心的问题是网络的安全性问题，他们不希望内部数据有被窃取得可能，这就使得网络必须提供类似电路的隔离功能。在本次网络升级改造规划中，采用的比较多的应该是VLAN技术，即虚拟局域网技术。 在VLAN技术出现以前，交换技术域网络的第二层，所有的端口到属于同一个广播域，也就是每个端口都可以收到广播信息，不管它愿不愿意。在大型的网络环境中，广播包不可避免地会引起带宽的浪费，而在TCP/IP，IPX，WINDOWS环境下，广播包的使用更是不可或缺。 为了解决这个问题，VLAN技术应运而生。VLAN把一部分端口模拟成为一个虚拟的广播域，VLAN的所有广播都只会在本域内发送，不会超出广播域，进一步，VLAN内的所有数据都只能被同一VLAN的成员接收，而不会被非本VLAN成员接收。不同的VLAN之间不能相互通信，必须通过路由设备进行转发[16]。如果把每个区域网络划到每个不同的VLAN内，网络之间就不可能相互通信，这就实现了逻辑隔离。由于每个区域网络都可以运行内部约定的网络协议，设定内部约定