规划构建园区网案例

规划构建园区网案例

第一章 网络系统设计概述

1.1 项目背景

随着网络的逐步普及，中小型企业的建设是企业向信息化发展的必然选择，企业网络系统是一个非常庞大而复杂的系统，它不仅为企业现代化、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。而中小型企业工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本次设计课题将主要以中小型局域网络建设过程可能用到的各种技术及实施方案为设计方向，为中小型企业的建设提供理论依据和实践指导。

1.2 总体目标

能够提供基本的网络服务，如活动目录服务，DHCP 、DNS 、文件服务、打印服务、WEB 服务、FTP 、WSS 服务和网络防毒服务等。网络能够实现INTERNET 连接共享，或者与其他分支机构或总部通信，以便公司人员在外地能够访问公司网络内的各种数据；信息就是命脉，对局域网的安全性有一定的要求；构建的网络要拥有一定的扩展性，能够根据需要随时接入新的建筑物和客户端。

第二章 需求分析

2.1 用户需求调查

①计算机数量少于300台，近两年内的计算机数量不会超过450台

②构建的网络要拥有一定的扩展性，能够根据需要随时接入新的建筑物和客户 端。

③建筑物分布相对集中，从中心建筑物到周边任何一栋建筑物的距离不会超过 2000M

④ 无纸化办公、电子商务、信息共享与交换以及数据网络存储是网络的重点，网络中大量传输的是普通数据，而非音视频等多媒体数据。

⑤ 能够提供基本的网络服务，如活动目录服务，DHCP 、DNS 、文件服务、打印服务、WEB 服务、FTP 、WSS 服务和网络防毒服务等。

⑥ 网络能够实现INTERNET 连接共享，或者与其他分支机构或总部通信。 ⑦ 由于数据库、文件服务器和客户计算机中存储有较为敏感的销售、产品、客户和办公信息，对局域网的安全性有一定的要求。

⑧ 经常有员工在外地出差，需要访问网络内的各种数据。

2.2 需求分析

①建立公司自己的网站，可向外界发布信息，并进行网络上的业务。

②要求供销部可以连接Internet ，与各企业保持联络，接受订单及发布本公司 产品信息。其他部门都不能连接Internet ，但要求公司内部由网络连接。 ③ 公司内部网络实现资源共享，以提高工作效率。

④ 建立网络时应注意网络的扩展性，以方便日后的网络升级和增加计算机。 ⑤ 在公司内部建立公司的数据库，如员工档案，业务计划，会议日程等。

第三章 网络拓扑设计及原则

3.1 拓扑设计

局域网采用星型网络拓朴结构，星型拓朴结构为现在较为流行的一种网络结构，它是以一台中心处理机（通信设备）为主而构成的网络，其它入网机器仅与该中心处理机之间有直接的物理链路，中心处理机采用分时或轮询的方法为入网机器服务，所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经过中央节点来处理，因此，对中央节点的要求比较高。

优点是网络结构简单，易于维护，便于管理（集中式）；每台入网机均需物理线路与处理机互连，线路利用率低；处理机负载重（需处理所有的服务），因为任何两台入网机之间交换信息，都必须通过中心处理机；入网主机故障不影响整个网络的正常工作。对该网络支持的设备生产厂商有较好的技术支持。

局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。办公电脑建议采用品牌的商用机，商用机运行比较稳定，而且比较耐用，运算速度较快，较适于开发使用。

3.2 设计原则

企业网络系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上、系统能力上要保持五年左右的先进性。并且从公司的利益出发，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。

根据企业网的总体需求，结合对应用系统的考虑，本次网络建设的设计目标是：冗余性、高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络

平台。

我们遵循以下的原则进行网络设计：

3.2.1 实用性和经济性

网络建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设的万兆骨干网络平台，保护用户的投资。

3.2.2 先进性和成熟性

网络建设设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证贵公司网络建设的领先地位，采用万兆以太网技术来构建网络主干线路。

3.2.3 可靠性和稳定性

在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。

为了保证骨干网络平台的健壮性和链路冗余性，建议网络实施时在公司启用千兆备份线路。在公司启用物理链路冗余机制，保证任何一条线路出现故障后骨干网络平台的可用性。

3.2.4 安全性和保密性

在网络设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离、路由过滤、防DDoS 拒绝服务攻击、防IP 扫描、系统安全机制、多种数据访问权限控制等，本网络充分考虑安全性，针对的各种应用，有多种的保护机制，如划分VLAN 、IP/MAC地址绑定（过滤）、ACL 、路由过滤、防DDoS 拒绝服务攻击、防IP 扫描、802.1x 认证机制、SSH 加密连接等具体技术提升整个网络的安全性。

3.2.5 可扩展性和可管理性

由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，我们必须选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加新的设备，而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展，现有模块不支持新技术的情况下，只需要更换相应模块，而不需要更换整个设备。

为了适应网络结构变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护。为了便于扩展，对于核心设备必须采用模块化高密度端口的设备，便于将来升级和扩展。

先进的设备必须配合先进的管理和维护方法，才能够发挥最大的作用。全线采用基于SNMP 标准的可网管产品，达到全程网管，降低了人力资源的费用，提高网络的易用性、可管理性，同时又具有很好的可扩充性。

第四章 网络系统设计

4.1 网络技术设计方案

主干网设计采用星、环型相结合的拓扑结构，主干网汇接各子网，形成中心交换，中心节点与各个二级节点分别通过光纤相连，各二级节点互联形成网络环构成公司网主干信息通道。中心节点选用高性能交换机，放置在网络中心内。流量按层次划分，跨越工作组网段的流量汇接到子网，跨越子网的流量汇接到主干；

子网通过三层交换机连接到主干网，各个二级节点均为汇聚层交换机，分别置于人事行政部、销售部、市场部、财务部及技术支持部。中心节点与各个二级交换机采用单模室外光纤，通过电缆沟地埋走线进行连接，传输速率1000Mbps 。

同在一楼内各子网的工作组交换机通过5类UTP 与本楼内的二级交换机连接，每个子网按部门划分成多个工作组网，桌面机连接到基层网段上，服务器、工作站连接到高层网段，主干网上不直接入用户网络，远程用户可通过VPN 进入公司网。

中心节点通过光纤与CERNET 和Internet 网络实现高速接入。网络中心建有各类服务器提供整个网络的服务，部分服务器通过光纤直接与中心节点的核心交换机连接实现高速服务响应和集中控制和管理。从而全面提供活动目录服务，DHCP 、DNS 、文件服务、打印服务、WEB 服务、FTP 、WSS 服务和网络防毒服务等功能。在网络出口和关键子网可设立防火墙和入侵侦测，防止来自内部或外部的恶意攻击。

对公司各办公室、各大楼实施结构化布线。楼宇之间主干采用室外光纤，水平布线采用五类双绞线UTP ，而设备间选用理线架、光纤配线架及标准机柜。

网络方案由骨干网方案和各楼或楼群网络方案组成, 下面作一些简单地介绍。

4.1.1 结构骨干网

经过反复论证, 骨干网结构设计为星形结构. 星形骨干网由1台交换机cisco WS-C3560E-24PD-E 组成, 它提供12个GE 接口。但为了实现冗余性，而采用了两个三层交换。各楼分布层交换机CISCO SRW224G4P 则至少有1个CISCO SRW224G4P 10000BASE-SX 模块，分别连接到核心交换机的GE 端口上；网络中心配置一台CISCO SRW224G4P交换机连接

4.1.2 网络管理

公司内网络设备管理选用Transcend for Windows, 运行在Windows2000 Server 平台上。它使用国际浒的HP Open View网管平台。同时，由于网络设备采用cisco 一家的产品，它能够完成几乎所有的LAN 网络管理任务，如配置报警、监控等。

4.2 网络拓扑图

4.3 网络设备配备方案

4.4 IP规划表

网络地址：172.18.100.0/23

4.5网络拓展

首先是网络设备扩展方面：每个核心、汇集设备都应该考虑端口的可扩展性，本方案对每个设备都有预留端口，以适应将来网络可能发生的变化；

其次是网路接入的可扩展性：路由器支持VPN 并且考虑到校区会更大地扩展，选择支持VPN 的路由器。

IP地址的预留：方案在每个工作部门都有剩余的IP 地址，以供应将来增多的主机的需求，还有公有的IP 地址段。

4.6网络安全分析

构建全程全网的访问控制体系是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。

4.6.1接入安全

RG-S2924G 是锐捷网络推出的全千兆安全智能接入交换机，在提供高性能、高带宽的同时，提供智能的流分类、完善的服务质量（QOS ）和组播应用管理特性，并可以根据网络的实际使用环境，实施灵活多样的安全控制策略，有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理化使用网络资源，充分保障了网络高效安全、网络合理化使用和运营。

4.6.2访问安全

锐捷RG-S6800E 多业务万兆核心路由交换机支持802.1Q VLAN ，可使用VLAN 划分隔离用户访问。同时还支持VLAN 隧道技术，可实现跨区域的VLAN 功能。并且锐捷RG-S6800E 多业务万兆核心路由交换机支持完善的ACL ，可以基于MAC 、IP 、TCP/UDP端口号进行流量控制，以有效的防范和控制网络蠕虫病毒（如冲击波）的传播和危害。

ACL 的全称为访问控制列表(Access Control Lists)，可以对数据流进行过滤可以限制网络中的通讯数据类型及限制网络的使用者或使用设备。在数据流通过交换机时对其进行分类过滤，并对从指定接口输入的数据流进行检查，根据匹配条件(conditions)决定是允许其通过(permit)还是丢弃(deny)。

锐捷RG-S6800E 多业务万兆核心路由交换机支持以下几种类型的ACL ：

● IP ACL用于过滤IP 报文，包括TCP 和UDP 。

1. Standard IP access lists (标准IP 接入控制列表) 使用源IP 地址

作为匹配的条件。

2. Extended IP access lists(扩展IP 接入控制列表) 使用源IP 地址、目的IP 地址及可选的协议类型信息作为匹配的条件。

● Ethernet ACL用于过滤二层数据流：

MAC Extended access lists(MAC扩展控制列表) 使用源MAC 地

址、目的MAC 地址及可选的以太网类型作为匹配的条件。

● Expert ACL用于过滤二层、三层和四层数据流：

Expert Extended access lists(专家扩展控制列表) 使用源MAC 地址、目的MAC 地址、以太网类型、源IP 、目的IP 、及可选的协议类型信息作为匹配的条件。

对于不同访问权限的区域采用ACL 访问控制来对不同访问资源进行权限控制。

应用ACL 可以有效的防范“冲击波”等蠕虫病毒；

支持802.1X 技术，满足6元素绑定接入限制；

支持IGMP 源端口检查及源IP 检查，可有效控制非法组播源，提高网络安全；IGMP V3支持通告主机希望接收的多播源的地址，避免非法的组播数据流占用网络带宽；

通过PVLAN （保护端口）隔离用户之间信息互通，不必占用VLAN 资源；

提供SSH 的加密登陆和管理功能，避免管理信息明文传输引发的潜在威胁； Telnet/Web登录的源IP 限制功能，避免非法人员对网络设备的管理； SNMPV3提供加密和鉴别功能：确保数据从合法的数据源发出（引擎ID ）；

确保数据在传输过程中不被篡改（采用MD5和SHA 认证协议）；

加密报文，确保数据的机密性（采用DES56加密协议）。

4.6.3病毒防御

锐捷网络设备，能够提供病毒防御功能，使得某些特定病毒不能任意传播。主要提供以下几个功能：

1）预防PC 感染类似“冲击波、震荡波”的病毒；

2）如果某台机器感染病毒，能够实现中毒机器隔离，限制同一网段中病毒

的传播。

3）支持防止DDoS 攻击，防止IP 段恶意扫描等抗攻击特性。

第五章 构建网络的评价与总结

5.1构建网络的评价

该方案完全满足用户现有的需求和对未来的拓展，对于整个网络的安全性，我们采用的是入侵检测系统与防火墙的联动。不需要过多的硬件防火墙资源，节省客户的开支！带宽完全满足员工的要求，采用光纤到部门各楼层，百兆到桌面。实现员工学习与办公的全面要求。比较高的性能价格比构建系统，使客户投入资金的产出达到最大值，能以较低的成本、较少的人员投入来维持系统运转，提供高效率、高能力。提供技术升级、设备更新的灵活性，尤其是网络平台能够适应公司各部门应用环境变化的要求。全系统的可靠性主要体现在网络设备的可靠性和对每个信息点的链路进行冗余，提高整个系统的冗余性，避免单点故障，以达到提高网络可靠性的目的。

使存储重要信息的服务器单独处于一个vlan 之中，使具有权限的（ip ）用户才可以使用，保证了网络的安全性。整个网络在实现后具有安全、可靠、快速的高性价比特点。

5.2构建网络的总结

进一步的明白了网络设计的基本结构和理念，我也在不断的研究当中对网络有了更一步的了解，我知道了每一个网络的构建都不是那么容易的事情，为此，我通过上网以及到图书馆借阅相关书籍，最终我找出了自己认为的小型企业应该需要些什么，为了降低难度我个人把路由器设定为一台，虽然网上好多企业拓扑图路由器都不只这些，而且还有好多我看不懂的东西，我把原本很复杂的企业以最简单的形式表示出来，企业只是大概的划分了几个部门，每个部门都配置了一个交换机，在我不断的设计的过程中，我越来越多的明白该如何规划设计一个企业。

本次的设计是困难重重，因为我对所谓的企业网络规划根本就是什么都不懂，根本就是不知道从何处下手，好在通过大家的共同努力，我学会了如何画拓扑图，凭着原来对计算机设备的一些了解，好不容易研究出了一个企业最基本应该有些什么，虽然对于某些人来说这些东西可能是非常的简单，可是对于我这些

门外汉而言，难度不是一般的大，因为我根本就不知道一个企业应该都需要什么设备，每个设备应该需要多少。

规划构建园区网案例

第一章 网络系统设计概述

1.1 项目背景

随着网络的逐步普及，中小型企业的建设是企业向信息化发展的必然选择，企业网络系统是一个非常庞大而复杂的系统，它不仅为企业现代化、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。而中小型企业工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本次设计课题将主要以中小型局域网络建设过程可能用到的各种技术及实施方案为设计方向，为中小型企业的建设提供理论依据和实践指导。

1.2 总体目标

能够提供基本的网络服务，如活动目录服务，DHCP 、DNS 、文件服务、打印服务、WEB 服务、FTP 、WSS 服务和网络防毒服务等。网络能够实现INTERNET 连接共享，或者与其他分支机构或总部通信，以便公司人员在外地能够访问公司网络内的各种数据；信息就是命脉，对局域网的安全性有一定的要求；构建的网络要拥有一定的扩展性，能够根据需要随时接入新的建筑物和客户端。

第二章 需求分析

2.1 用户需求调查

①计算机数量少于300台，近两年内的计算机数量不会超过450台

②构建的网络要拥有一定的扩展性，能够根据需要随时接入新的建筑物和客户 端。

③建筑物分布相对集中，从中心建筑物到周边任何一栋建筑物的距离不会超过 2000M

④ 无纸化办公、电子商务、信息共享与交换以及数据网络存储是网络的重点，网络中大量传输的是普通数据，而非音视频等多媒体数据。

⑤ 能够提供基本的网络服务，如活动目录服务，DHCP 、DNS 、文件服务、打印服务、WEB 服务、FTP 、WSS 服务和网络防毒服务等。

⑥ 网络能够实现INTERNET 连接共享，或者与其他分支机构或总部通信。 ⑦ 由于数据库、文件服务器和客户计算机中存储有较为敏感的销售、产品、客户和办公信息，对局域网的安全性有一定的要求。

⑧ 经常有员工在外地出差，需要访问网络内的各种数据。

2.2 需求分析

①建立公司自己的网站，可向外界发布信息，并进行网络上的业务。

②要求供销部可以连接Internet ，与各企业保持联络，接受订单及发布本公司 产品信息。其他部门都不能连接Internet ，但要求公司内部由网络连接。 ③ 公司内部网络实现资源共享，以提高工作效率。

④ 建立网络时应注意网络的扩展性，以方便日后的网络升级和增加计算机。 ⑤ 在公司内部建立公司的数据库，如员工档案，业务计划，会议日程等。

第三章 网络拓扑设计及原则

3.1 拓扑设计

局域网采用星型网络拓朴结构，星型拓朴结构为现在较为流行的一种网络结构，它是以一台中心处理机（通信设备）为主而构成的网络，其它入网机器仅与该中心处理机之间有直接的物理链路，中心处理机采用分时或轮询的方法为入网机器服务，所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经过中央节点来处理，因此，对中央节点的要求比较高。

优点是网络结构简单，易于维护，便于管理（集中式）；每台入网机均需物理线路与处理机互连，线路利用率低；处理机负载重（需处理所有的服务），因为任何两台入网机之间交换信息，都必须通过中心处理机；入网主机故障不影响整个网络的正常工作。对该网络支持的设备生产厂商有较好的技术支持。

局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。办公电脑建议采用品牌的商用机，商用机运行比较稳定，而且比较耐用，运算速度较快，较适于开发使用。

3.2 设计原则

企业网络系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上、系统能力上要保持五年左右的先进性。并且从公司的利益出发，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。

根据企业网的总体需求，结合对应用系统的考虑，本次网络建设的设计目标是：冗余性、高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络

平台。

我们遵循以下的原则进行网络设计：

3.2.1 实用性和经济性

网络建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设的万兆骨干网络平台，保护用户的投资。

3.2.2 先进性和成熟性

网络建设设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证贵公司网络建设的领先地位，采用万兆以太网技术来构建网络主干线路。

3.2.3 可靠性和稳定性

在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。

为了保证骨干网络平台的健壮性和链路冗余性，建议网络实施时在公司启用千兆备份线路。在公司启用物理链路冗余机制，保证任何一条线路出现故障后骨干网络平台的可用性。

3.2.4 安全性和保密性

在网络设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离、路由过滤、防DDoS 拒绝服务攻击、防IP 扫描、系统安全机制、多种数据访问权限控制等，本网络充分考虑安全性，针对的各种应用，有多种的保护机制，如划分VLAN 、IP/MAC地址绑定（过滤）、ACL 、路由过滤、防DDoS 拒绝服务攻击、防IP 扫描、802.1x 认证机制、SSH 加密连接等具体技术提升整个网络的安全性。

3.2.5 可扩展性和可管理性

由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，我们必须选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加新的设备，而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展，现有模块不支持新技术的情况下，只需要更换相应模块，而不需要更换整个设备。

为了适应网络结构变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护。为了便于扩展，对于核心设备必须采用模块化高密度端口的设备，便于将来升级和扩展。

先进的设备必须配合先进的管理和维护方法，才能够发挥最大的作用。全线采用基于SNMP 标准的可网管产品，达到全程网管，降低了人力资源的费用，提高网络的易用性、可管理性，同时又具有很好的可扩充性。

第四章 网络系统设计

4.1 网络技术设计方案

主干网设计采用星、环型相结合的拓扑结构，主干网汇接各子网，形成中心交换，中心节点与各个二级节点分别通过光纤相连，各二级节点互联形成网络环构成公司网主干信息通道。中心节点选用高性能交换机，放置在网络中心内。流量按层次划分，跨越工作组网段的流量汇接到子网，跨越子网的流量汇接到主干；

子网通过三层交换机连接到主干网，各个二级节点均为汇聚层交换机，分别置于人事行政部、销售部、市场部、财务部及技术支持部。中心节点与各个二级交换机采用单模室外光纤，通过电缆沟地埋走线进行连接，传输速率1000Mbps 。

同在一楼内各子网的工作组交换机通过5类UTP 与本楼内的二级交换机连接，每个子网按部门划分成多个工作组网，桌面机连接到基层网段上，服务器、工作站连接到高层网段，主干网上不直接入用户网络，远程用户可通过VPN 进入公司网。

中心节点通过光纤与CERNET 和Internet 网络实现高速接入。网络中心建有各类服务器提供整个网络的服务，部分服务器通过光纤直接与中心节点的核心交换机连接实现高速服务响应和集中控制和管理。从而全面提供活动目录服务，DHCP 、DNS 、文件服务、打印服务、WEB 服务、FTP 、WSS 服务和网络防毒服务等功能。在网络出口和关键子网可设立防火墙和入侵侦测，防止来自内部或外部的恶意攻击。

对公司各办公室、各大楼实施结构化布线。楼宇之间主干采用室外光纤，水平布线采用五类双绞线UTP ，而设备间选用理线架、光纤配线架及标准机柜。

网络方案由骨干网方案和各楼或楼群网络方案组成, 下面作一些简单地介绍。

4.1.1 结构骨干网

经过反复论证, 骨干网结构设计为星形结构. 星形骨干网由1台交换机cisco WS-C3560E-24PD-E 组成, 它提供12个GE 接口。但为了实现冗余性，而采用了两个三层交换。各楼分布层交换机CISCO SRW224G4P 则至少有1个CISCO SRW224G4P 10000BASE-SX 模块，分别连接到核心交换机的GE 端口上；网络中心配置一台CISCO SRW224G4P交换机连接

4.1.2 网络管理

公司内网络设备管理选用Transcend for Windows, 运行在Windows2000 Server 平台上。它使用国际浒的HP Open View网管平台。同时，由于网络设备采用cisco 一家的产品，它能够完成几乎所有的LAN 网络管理任务，如配置报警、监控等。

4.2 网络拓扑图

4.3 网络设备配备方案

4.4 IP规划表

网络地址：172.18.100.0/23

4.5网络拓展

首先是网络设备扩展方面：每个核心、汇集设备都应该考虑端口的可扩展性，本方案对每个设备都有预留端口，以适应将来网络可能发生的变化；

其次是网路接入的可扩展性：路由器支持VPN 并且考虑到校区会更大地扩展，选择支持VPN 的路由器。

IP地址的预留：方案在每个工作部门都有剩余的IP 地址，以供应将来增多的主机的需求，还有公有的IP 地址段。

4.6网络安全分析

构建全程全网的访问控制体系是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。

4.6.1接入安全

RG-S2924G 是锐捷网络推出的全千兆安全智能接入交换机，在提供高性能、高带宽的同时，提供智能的流分类、完善的服务质量（QOS ）和组播应用管理特性，并可以根据网络的实际使用环境，实施灵活多样的安全控制策略，有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理化使用网络资源，充分保障了网络高效安全、网络合理化使用和运营。

4.6.2访问安全

锐捷RG-S6800E 多业务万兆核心路由交换机支持802.1Q VLAN ，可使用VLAN 划分隔离用户访问。同时还支持VLAN 隧道技术，可实现跨区域的VLAN 功能。并且锐捷RG-S6800E 多业务万兆核心路由交换机支持完善的ACL ，可以基于MAC 、IP 、TCP/UDP端口号进行流量控制，以有效的防范和控制网络蠕虫病毒（如冲击波）的传播和危害。

ACL 的全称为访问控制列表(Access Control Lists)，可以对数据流进行过滤可以限制网络中的通讯数据类型及限制网络的使用者或使用设备。在数据流通过交换机时对其进行分类过滤，并对从指定接口输入的数据流进行检查，根据匹配条件(conditions)决定是允许其通过(permit)还是丢弃(deny)。

锐捷RG-S6800E 多业务万兆核心路由交换机支持以下几种类型的ACL ：

● IP ACL用于过滤IP 报文，包括TCP 和UDP 。

1. Standard IP access lists (标准IP 接入控制列表) 使用源IP 地址

作为匹配的条件。

2. Extended IP access lists(扩展IP 接入控制列表) 使用源IP 地址、目的IP 地址及可选的协议类型信息作为匹配的条件。

● Ethernet ACL用于过滤二层数据流：

MAC Extended access lists(MAC扩展控制列表) 使用源MAC 地

址、目的MAC 地址及可选的以太网类型作为匹配的条件。

● Expert ACL用于过滤二层、三层和四层数据流：

Expert Extended access lists(专家扩展控制列表) 使用源MAC 地址、目的MAC 地址、以太网类型、源IP 、目的IP 、及可选的协议类型信息作为匹配的条件。

对于不同访问权限的区域采用ACL 访问控制来对不同访问资源进行权限控制。

应用ACL 可以有效的防范“冲击波”等蠕虫病毒；

支持802.1X 技术，满足6元素绑定接入限制；

支持IGMP 源端口检查及源IP 检查，可有效控制非法组播源，提高网络安全；IGMP V3支持通告主机希望接收的多播源的地址，避免非法的组播数据流占用网络带宽；

通过PVLAN （保护端口）隔离用户之间信息互通，不必占用VLAN 资源；

提供SSH 的加密登陆和管理功能，避免管理信息明文传输引发的潜在威胁； Telnet/Web登录的源IP 限制功能，避免非法人员对网络设备的管理； SNMPV3提供加密和鉴别功能：确保数据从合法的数据源发出（引擎ID ）；

确保数据在传输过程中不被篡改（采用MD5和SHA 认证协议）；

加密报文，确保数据的机密性（采用DES56加密协议）。

4.6.3病毒防御

锐捷网络设备，能够提供病毒防御功能，使得某些特定病毒不能任意传播。主要提供以下几个功能：

1）预防PC 感染类似“冲击波、震荡波”的病毒；

2）如果某台机器感染病毒，能够实现中毒机器隔离，限制同一网段中病毒

的传播。

3）支持防止DDoS 攻击，防止IP 段恶意扫描等抗攻击特性。

第五章 构建网络的评价与总结

5.1构建网络的评价

该方案完全满足用户现有的需求和对未来的拓展，对于整个网络的安全性，我们采用的是入侵检测系统与防火墙的联动。不需要过多的硬件防火墙资源，节省客户的开支！带宽完全满足员工的要求，采用光纤到部门各楼层，百兆到桌面。实现员工学习与办公的全面要求。比较高的性能价格比构建系统，使客户投入资金的产出达到最大值，能以较低的成本、较少的人员投入来维持系统运转，提供高效率、高能力。提供技术升级、设备更新的灵活性，尤其是网络平台能够适应公司各部门应用环境变化的要求。全系统的可靠性主要体现在网络设备的可靠性和对每个信息点的链路进行冗余，提高整个系统的冗余性，避免单点故障，以达到提高网络可靠性的目的。

使存储重要信息的服务器单独处于一个vlan 之中，使具有权限的（ip ）用户才可以使用，保证了网络的安全性。整个网络在实现后具有安全、可靠、快速的高性价比特点。

5.2构建网络的总结

进一步的明白了网络设计的基本结构和理念，我也在不断的研究当中对网络有了更一步的了解，我知道了每一个网络的构建都不是那么容易的事情，为此，我通过上网以及到图书馆借阅相关书籍，最终我找出了自己认为的小型企业应该需要些什么，为了降低难度我个人把路由器设定为一台，虽然网上好多企业拓扑图路由器都不只这些，而且还有好多我看不懂的东西，我把原本很复杂的企业以最简单的形式表示出来，企业只是大概的划分了几个部门，每个部门都配置了一个交换机，在我不断的设计的过程中，我越来越多的明白该如何规划设计一个企业。

本次的设计是困难重重，因为我对所谓的企业网络规划根本就是什么都不懂，根本就是不知道从何处下手，好在通过大家的共同努力，我学会了如何画拓扑图，凭着原来对计算机设备的一些了解，好不容易研究出了一个企业最基本应该有些什么，虽然对于某些人来说这些东西可能是非常的简单，可是对于我这些

门外汉而言，难度不是一般的大，因为我根本就不知道一个企业应该都需要什么设备，每个设备应该需要多少。