1、四川托普信息技术职业学院毕 业 设 计 论 文题 目: 广东港隆文具有限公司局域网设计学生姓名: 周海鹏 学生学号: 专业方向: 计算机应用技术 指导教师: 陈 齐 指导单位: 永州职业技术学院 20015 年 4 月 15 日广东港隆文具有限公司局域网设计摘 要随着网络技术新系统、新领域的长足发展,传统企业也正利用其行业的特点,融合网络技术的优势,发展自身。在信息化生产逐步普及的今天,组建企业内部网络已经是企业必不可少的一部分,建立高速、稳定、安全、智能的办公网,是组建中小型企业局域网的核心。中小型企业局域网建设,必须采取“结构化、系统化 ”思想做指导。一个良好的、规范的网络开发过程不仅不会
2、成为干扰实际健忘工作的负担,相反会使设计的工作更清晰、更加高效和更令人满意,同时也可以大大减少网络开发成本和提高网络工程质量。本毕业设计作品定位于公司局域网设计,因此配置了比较完备的硬件资源。在内容选择上,一方面以对中小型企业的网络拓扑和所需设备进行了设计;另一方面用很直观的网络拓扑图概述了本次毕业设计相关的网络安全、网络所需设备以及所实现的网络功能和应用等。毕业设计论文包括课题概况:广东港隆文具有限公司对网络性能和网络安全要求严格。使用业界流行的核心层汇聚层接入层三层结构设计的公司局域网,结合广为使用的通过划分虚拟局域网(VLAN)隔离不同部门,访问控制列表(ACL)控制端口进出数据包,网络
3、地址转换(NAT)节约公有地址、动态分配 IP(DHCP ) 、热备份路由(HSRP) 等技术,增强网络的稳定性和安全性。统需求分析:本课题对结合港隆文具局域网网络特点进行了详细的需求描述和详细的分析。系统设计:系统设计包括网络拓扑结构选择、网络设备选型、VLAN、DHCP 和子网的划分,详细描述了网络组成结构。港隆文具公司局域网网络安全:从网络流量控制、网络设备安全、无线网络安全详细描述了安全实施。关键词 :局域网 网络拓扑 VLAN 网络安全 系统实施、 ACL、NAT广东港隆文具有限公司局域网设计目 录第一章 概述 11.1 课题背景 11.2 课题概况 21.3 课题目的 .3第二章
4、局域网需求分析和设计原则 .32.1 需求与分析 32.1.1 具体需求 .42.1.2 需求分析 .42.2 设计目标 .42.3 设计原则 .5第三章 局域网系统设计方案 .53.1 网络拓扑设计 63.1.1 拓扑选择 .63.1.2 拓扑结构图 63.1.3 拓扑结构说明 73.2 三层详细设计及设备选型 .83.2.1 核心层设计 83.2.2 汇聚层设计 113.2.3 接入层设计 133.3 虚拟局域网 VLAN 与 IP 子网设计 163.3.1 虚拟 VLAN 简介 .163.3.2 VLAN 规划 173.3.3 IP 子网设计 183.3.4 访问控制列表( ACL)设计
5、方案 213.4 路由协议的选择 22第四章 网络安全管理 234.1 内网安全 234.1.1VLAN 设置需求 .234.1.2 防病毒系统需求 234.1.3 网络管理需求 234.2 外网安全 .244.2.1 物理安全需求 244.2.2 数据链路层需求 244.2.3 入侵检测系统需求 244.2.4 防病毒系统需求 24第五章. 安全管理体制 .245.1 网络应用安全 255.1.1 网络嗅探 .255.1.2 ARP 欺骗 255.1.3 IP 地址欺骗 255.1.4 DOS 攻击 26总结 28广东港隆文具有限公司局域网设计参考文献 29致谢 30广东港隆文具有限公司局域
6、网设计1 / 30第一章 概述1.1 课题背景目前,我国中小企业数量已超过 1 000 万家。在国民经济中,60%的总产值来自于中小企业,并为社会提供了 70%以上的就业机会。然而,在中国国民经济和社会发展中一直占据着至关重要的战略地位的中小企业,其信息化程度却十分落后。今后如何应对瞬息万变、竞争激烈的国内外市场环境以及如何利用网络技术迅速提升企业核心竞争力为企业成败的关键。中小型企业的信息化建设工程通常有规模小、结构简单的特点,综合资金投入、专业人才以及未来发展等因素,网络实用性、安全性与拓展性(升级改造能力)是中小型企业实现信息化建设的主要要求,局域网内进行信息交流包括发布通知, 安排日程
7、表、工作计划,提交工作总结,进行信息汇总等也是企业的要求。因此,成本低廉、炒作简易、便于维护并能满足业务运用需要的网络办公环境是这一领域的真正需求。针对绝多数中小型企业集中办公这一现实特点,组建一个适合中小企业需求的高性价比实用的网络是十分有实际意义的。港隆文具有限公司创建于一九八九年,是一家专业从事办公文具研发、生产、加工、销售的规模化企业。公司生产设施齐全,以美国、德国生产线及进口原料为主产品种类齐全涵盖面广,主要产品有PP制品,注塑产品、PVC制品,纸制品等多个系列三百多个品种。公司投产二十多年来,本着务实创新的团体创业精神,以品质、诚信享誉业界,以及众多客户不离不弃的鼎力支持公司规模日
8、益壮大。制板、吹膜、注塑、纸板制作等每一个生产环节以及新产品开发,我们一直奉行质量及创新是企业可持续性发展的根本 先后从美国、德国引进数条先进的文具生产设备、生产线。 每件产品从最初的设计到后期的批量生产都倾注了公司技术人员的智慧和生产人员的心血。多年来我们质量上严格要求自己 组建了一支二十多人的品检队伍,把好产品质量关。使用环保材料保持自然本色产品设计新颖时尚,款式高雅。使得我们的销售服务网络遍布全国各大广东港隆文具有限公司局域网设计2 / 30城市及欧洲、美国、日本等国际市场,目前,公司在国内拥有三家生产基地、多家分公司和办事处,销售机构遍布全国。并与“麦德龙” 、 “沃尔玛”等超市建立长
9、期合作伙伴关系。出口、销售量逐年增加。“易来利办公文具,文件管理出效益”经营理念,公司一贯奉行“质量为品牌”的宗旨在此基础上我们不断升华品牌,不断引进国际先进生产设备,依托完整的硬件配套和先进的管理体系,为打造 “全球最专业的办公文具文具制造商”奠定了扎实基础!港隆文具最原始的网络需求来自于对LAN 上共享资源、业务的开展需要,最小规模的局域网可能就要算通过1 台共享式集线器来连接打印机、文件服务器的组建模式了,但是,在信息科技日益发展的今天,基于共享式技术的网络已经不能符合当前业务的发展的需求,更高速、更可靠、更安全以及更方便的网络和业务管理已经成为新时期企港隆文具发展的重点。如何最大程度的
10、港隆文具有限公司的这些需求,为此设计次方案。1.2 课题概况港隆文具有限公司以前网络设备落后,经常掉网、断网。网络走线混乱。完成对港隆文具的新网络的规划,重新设计实施。以前的网络不能适应当前的公司发展,需要更完善、快速、安全、稳定的网络提供。满足公司客户和内部之间的相互通信。该公司有四个部门。销售部、生产部、人力资源部、财务部。一共有两栋大楼。一栋是生产车间。一栋是公司管理区。销售部20人、生产部负责人15、财务部10人、人资部20人。港隆文具新设计搭建的网络将根据当前与今后一段时间的发展需求,规划一个全新的公司局域网系统,该公司局域网系统必须具备中小型企业发展的快特点,满足生产部、财务部、销
11、售部和人力资源部对公司的管理和公司客户之间信息化需求,同时新的局域网系统必须满足将来扩展的需要进行整体计划,在满足当前需要的同时,还必须具备一定的前瞻性。在实际的建设过程当中,应当充分考虑到港隆文具有限公司内部网业务较广东港隆文具有限公司局域网设计3 / 30少,销售部占用网络带宽比较大以客户访问该公司等。对其他部门实行网络流量控制和服务。满足客户和销售部之间的通信。1.3 课题目的满足港隆文具有限公司各部门之间安全稳定的通信。设计搭建新的网络满足公司发展需求。对销售部流量比较大要求大,分配更多的流量。该公司网络技术人员较少,因而对网络的依赖性很高,要求网络尽可能简单、可靠、易用,降低网络的使
12、用和维护成本为该公司电子商务网络系统提供一个统一、可靠、安全的专用信息通信平台,支持话音、数据和图像的交换与传输,实现计算机数据、话音、电视会议、图片传输等多种信息通信业务,并具有完备的网络管理系统。第二章 局域网需求分析和设计原则2.1 需求与分析港隆文具有限公司是一家比较有潜力的公司,近几年发展很快。该公司对网络总体需求包括以下几点:适应桌面计算机处理、I/O 能力大幅度提高的现状,发挥桌面机的网络性能,提高桌面机的访问带宽;适应连网规模大、总流量大的情况,合理分布流量,实现流量隔离和控制;为生产部、销售部、人力资源部、财务部,合理进行网络划分,实现有效的安全访问控制和运行管理;为客户/服
13、务器的应用环境提供支撑;增加网络系统的运行可靠性,降低故障隐患,提高系统的可管理性。本方案针对港隆公司网络系统应用场合对安全提出了很高的要求,因此网络设计充分考虑网络上敏感数据传输的安全性,一方面需要充分利用网络设备提供的安全策略(VLAN 划分等) ,另一方面为了保障内部数据传输的安全性,采用各种安全技术(防火墙、入侵检测、防病毒体系等) ,并且尽量不影响到整个网络的运行效率。为了更好的保证网络的正常运行,设计的网络系统还考虑到网络管理,实现网络的统一管理。一般中小型企业网的主要需求有:1、管理的需求:包括对用户和设备的管理,可操作、易管理、具备灵活的广东港隆文具有限公司局域网设计4 / 3
14、0计费策略、扩展能力强。2、区分内、外网需求:限制资源的访问。3、安全需求:非法的 DHCP Server、病毒、攻击、上网日志等。4、NAT 需求:公网地址不够,5、多业务需求:强大的组播支持能力、多业务融合(语言、数据、 )能力。6、可靠性需求:设备具备高性能、高可靠性、高稳定性、高安全性。7、投资需求:高性价比、平滑升级、投资保护。8、Qos 需求:具备完善的 QOS 能力。2.1.1 具体需求港隆公司销售部、生产部等部门不能相互进行访问,但对公司文件服务区可以访问。采用交换,必要时实现路由隔离。根据业务用户分布和数据的流向,合理的进行网段划分。允许采用虚拟网技术(VLAN) 。实现各计
15、算机网络系统的互联,形成公共信息的交换环境,为企业用户提供网络服务平台。 实现信息资源和软硬件资源共享,提供丰富的网络信息服务,以推动办公自动化。根据港隆文具有限公司两栋楼宇之间不同,采用光线接入。2.1.2 需求分析1、对公司提供安全快速的网络。2、防止不明计算机接入,保证接入的安全性。3、核心到汇集全部采用单模光纤并做相应的备份,提供高速可靠的传输。4、保障公司客户正常访问公司和销售部与外网通信,防止不必要流量产生。5、为以后员工提供宽带服务。2.2 设计目标针对本次港隆文具有限公司局域网建设课题,按照以下目标来实施网络建设:1、建设成为信息一体化、管理集中化、业务多样化的公司局域安全网络
16、;2、新网络结构清晰,网络层次合理数据网络需要采用分布式布线: 广东港隆文具有限公司局域网设计5 / 303、网络带宽大幅提升满足港隆文具有限公司的业务发展需求和冗余连接:4、多样性访问权限控制与管理;针对不同部门之间采取不同认证:2.3 设计原则1、可管理性具有分级、分权管理能力的网管系统,实现统一的网络业务调度和管理,降低网络运营成本。同时由于高校网络的使用者数量巨大,网上开展的业务众多,因此需要能够提供用户的高效管理,以确保公司的利益不受损失。2、可增值性公司局域网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力,能针
17、对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,实现以网养网。3、可扩充性考虑到公司的业务种类发展的不确定性,局域网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。4、开放性技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。 5、安全可靠性设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。第三章
18、 局域网系统设计方案根据港隆文具发展需求,并结合当前企业局域网状况和未来发展趋势,整个网络方案设计突出层次化、可管理、易维护、高可靠性的原则,确保网络在具有高性能的同时具有良好的前瞻性和持续发展性。广东港隆文具有限公司局域网设计6 / 303.1 网络拓扑设计3.1.1 拓扑选择采用模块化的设计思想,按照功能划分为以下区块:交换区块和核心区块。对于由交换区块和核心区块构成的局域网再按照目前流行的层次化的设计思想,划分为接入层、汇聚层和核心层。1、交换区块的主要功能是提供用户的接入点,并防止广播数据流和网络问题到达核心区块或者其他区块,交换区块由接入层交换机和汇聚层交换机构成:(1)接入层:接入
19、层设备作为最终用户的网络接入点,使用 100M 双绞线连接各层桌面终端,为每个用户提供专用的带宽,并可基于端口或 MAC 地址的 VLAN 成员资格和流量进行过滤,接入层主要的设计原则是能够通过低成本、高端口密度的设备提供这些功能。(2)汇聚层:接入层交换机使用 100M 双绞线汇聚到一台或者多台汇聚层设备,汇聚层设备在接入层交换机之间提供第二层连接,作为接入层交换机的集中连接点及接入层和核心层之间的分界点,汇聚层在提供接入层接入的同时,还能够做到广播域的隔离、不同网段之间的路由、介质转换、安全控制。汇聚层需要提供第三层功能,即支持路由选择和网络层服务,以保护交换区块不受网络其他部分失效的影响
20、,并防止本交换区块故障对网络其他部分的影响,如果交换区块发生了广播风暴,分布层设备可以防止该广播风暴扩散到核心和网络的其他部分。2、核心区块是公司网络的主干,主要功能是在交换区块之间用最小的时延传输数据,尽可能快的将交换数据提供到其他区块(比如交换区块) 。核心区块由核心层构成,包含一个或一组用来连接多个交换区块的交换机。核心层:核心层交换机负责所有交换区块设备和广域网设备的接入,因此需要高速的数据转发能力。核心层设备需要支持 port-channel 链路捆绑技术,来保证数据的转发能力,防止出现线路瓶颈。作为企业网络的心脏,核心层也是路由协议最优选路和运行稳定的保证,需要合理的配置路由协议,
21、并添加冗余处理器或者应用冗余协议来保障网络核心的稳定,使企业数据流正常运作。广东港隆文具有限公司局域网设计7 / 303.1.2 拓扑结构图总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。新网络拓扑图如图 3-1 所示。图 3-1 港隆文具公司网络拓扑3.1.3 拓扑结构说明1、从核心层到汇聚层全部使用单模光纤。2、采用使用四条 100M 双绞线连接到汇聚层。3、所有用户接入采用有线结合。4、采用层次结构使网络易于管理。5、采用高性能的单核心交换。广东港隆文具有限公司局域网设计8 / 306
22、、做热路由备份3.2 三层详细设计及设备选型 3.2.1 核心层设计核心交换机是整个网络的计算和内部数据交换处理中心,在整个局域网内是最为关键和重要的设备。核心交换机推荐采用华为 S5700 交换机二台。如图 3-2所示图 3-2 华为 S5700交换机特点:免维护易部署S5700 支持自动配置、即插即用、USB 开局、自动批量远程升级等功能,便于部署升级和业务发放,简化后续的管理和维护性能。从而大大降低了维护成本。S5700 支持 SNMP V1/V2/V3、CLI 命令行、Web 网管、TELNET、HGMP 集群管理等多样化的管理和维护方式,设备管理更加灵活。支持NTP、SSHv2.0、
23、TACACS+、RMON、多日志主机、基于端口的流量统计,支持 NQA网络质量分析,有利于进一步作好网络规划和改造。强大的多业务支持能力S5700 支持 IGMP v1/v2/v3 Snooping/Filter/Fast Leave/Proxy 等协议。S5700 支持线速的跨 VLAN 组播复制功能,支持捆绑端口的组播负载分担,支持可控组播,可以充分满足 IPTV 和其他组播业务的需求。S5700 支持 MCE 功能,实现了不同 VPN 用户在同一台设备的隔离,有效解决用户数据安全问题,同时降低用户投资成本。完备的高可靠保护机制S5700 不仅支持传统的 STP/RSTP/MSTP 生成树
24、协议,还支持 SmartLink 和RRPP 等增强型以太网技术,可以实现毫秒级链路保护倒换,保证高可靠性的网络质量。此外,针对 Smartlink 和 RRPP 均提供多实例功能,可实现链路负载分担,进一步提高了链路带宽利用率。产品规格及参数:)华为 Quidway S5700 大容量交换机产品物理参数:主要参数广东港隆文具有限公司局域网设计9 / 30产品类型 千兆以太网交换机应用层级 三层传输速率 10/100/1000Mbps交换方式 存储-转发背板带宽 256Gbps包转发率 96MppsMAC 地址表 32K端口参数端口结构 非模块化端口数量 24 个端口描述 24 个 10/10
25、0/1000Base-T 端口扩展模块 2 个扩展插槽传输模式 全双工/半双工自适应功能特性网络标准 IEEE 802.3,IEEE 802.3u,IEEE 802.3ab,IEEE 802.3z,IEEE 802.3x,IEEE 802.1Q,IEEE 802.1d,IEEE 802.1X堆叠功能 可堆叠VLAN 支持 4K 个 VLAN支持 Guest VLAN、Voice VLAN支持基于 MAC/协议/IP 子网/策略/端口的 VLAN支持 1:1 和 N:1 VLAN 交换功能QOS 支持对端口接收和发送报文的速率进行限制支持报文重定向支持基于端口的流量监管,支持双速三色 CAR 功
26、能每端口支持 8 个队列支持 WRR、DRR、SP、WRRSP、DRR+SP 队列调度算法支持报文的 802.1p 和 DSCP 优先级重新标记支持 L2(Layer 2)-L4(Layer 4)包过滤功能,提供基于源 MAC广东港隆文具有限公司局域网设计10 / 30地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、端口、协议、VLAN的非法帧过滤功能支持基于队列限速和端口 Shapping 功能组播管理 支持 IGMP v1/v2/v3 Snooping和快速离开机制支持 VLAN 内组播转发和组播多 VLAN 复制支持捆绑端口的组播负载分担支持可控组播基于端口的组播流量统计IG
27、MP v1/v2/v3、PIM-SM、PIM-DM、PIM-SSM网络管理 支持堆叠支持 MFF支持虚拟电缆检测(Virtual Cable Test)支持端口镜像和 RSPAN(远程端口镜像)支持 Telnet 远程配置、维护支持 SNMPv1/v2/v3支持 RMON支持网管系统、支持 WEB 网管特性支持集群管理 HGMP支持系统日志、分级告警支持 GVRP 协议支持 MUX VLAN 功能安全管理 用户分级管理和口令保护支持防止 DOS、ARP 攻击功能、ICMP 防攻击支持 IP、MAC、端口、VLAN 的组合绑定支持端口隔离、端口安全、Sticky MAC支持黑洞 MAC 地址支持
28、 MAC 地址学习数目限制广东港隆文具有限公司局域网设计11 / 30支持 IEEE 802.1X 认证,支持单端口最大用户数限制支持 AAA 认证,支持 Radius、TACACS+、NAC 等多种方式支持 SSH V2.0支持 HTTPS支持 CPU 保护功能支持 黑名单和白名单3.2.2 汇聚层设计为了保证数据传输和交换的效率,在楼内设置二层楼内汇聚层。楼内汇聚层设备不但分担了核心设备的部分压力,同时提高了网络的安全性采用 H3C S3600-28P-SI 汇聚交换机。如图 3-3图 3-3 H3C S3600-28P-SI交换机特点:1 扩展性IRF 技术允许交换机利用互联电缆实现多台
29、设备的扩展,最大扩展至 384 个10/100M 端口;具有即插即用、单一 IP 管理,同时大大降低系统扩展的成本。2 可靠性通过专利的路由热备份技术,在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断三层转发,极大的增强了堆叠架构的可靠性和性能,同时消除了单点故障,避免了业务中断。3.分布性通过分布式链路聚合技术,实现多条上行链路的负载分担和互为备份,从而提高整个网络架构的冗余性和链路资源的利用率。广东港隆文具有限公司局域网设计12 / 30产品规格及参数: H3C S5500-SI 产品规格及参数:产品类型 智能交换机应用层级 三层传输速率 10/100/1000Mbps交换
30、方式 存储-转发背板带宽 32Gbps包转发率 9.6MppsMAC 地址表 16K端口结构 非模块化端口数量 28 个端口描述 24 个 10/100Base-TX 以太网端口,4 个 1000Base-X SFP 千兆以太网端口控制端口 1 个 Console 口传输模式 全双工/半双工自适应网络标准IEEE 802.1Q,IEEE 802.1D,IEEE 802.1w,IEEE 802.1s,IEEE 802.3x,IEEE 802.1XVLAN支持基于端口的 VLAN(4K 个)支持基于协议的 VLAN支持 Voice VLAN支持 GVRP支持 VLAN VPN(QinQ) ,灵活
31、QinQQOS支持对端口接收报文的速率和发送报文的速率进行限制支持报文的 802.1p 和 DSCP 优先级重新标记支持报文重定向支持 CAR 功能支持 8 个端口输出队列支持灵活的队列调度算法组播管理 IGMP Snooping广东港隆文具有限公司局域网设计13 / 30IGMP V1/V2、PIM-SM、PIM-DM、MSDP(EI 系列支持)网络管理支持 XModem/FTP/TFTP 加载升级支持命令行接口(CLI) 、Telnet、Console 口进行配置支持 SNMPV1/V2/V3、WEB 网管支持 RMON 1,2,3,9 组 MIB支持 iMC 智能管理中心支持 HGMPv
32、2 集群管理支持系统日志、分级告警、调试信息输出支持 PING、Tracert支持上电 POST、风扇堵转、PoE 设备过热等情况的检测与告警支持 VCT(Virtual Cable Test)电缆检测功能支持 DLDP(Device Link Detection Protocol,设备连接检测协议)支持端口环回检测支持 IPv6 host 功能族,实现 IPv6 管理S5700 支持自动配置、即插即用、USB 开局、自动批量远程升级等功能,便于部署升级和业务发放,简化后续的管理和维护性能。从而大大降低了维护成本。S5700 支持 SNMP V1/V2/V3、CLI 命令行、Web 网管、TE
33、LNET、HGMP 集群管理等多样化的管理和维护方式,设备管理更加灵活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主机、基于端口的流量统计,支持 NQA网络质量分析,有利于进一步作好网络规划和改造。3.2.3 接入层设计接入层是直接连接多台计算机相连的设备,公司网络中接入层建设中,每个部门网络接入最为典型,其主要特点是上网时间集中,突发流量大、安全控制要求高。鉴于上述特点,对于港隆公司网络接入层配合 PVLAN、单端口环回检测、端口速率限制、集群管理等手段.因此接入层设备采用 H3C S3100-52p 24 口交换机如图 3-4广东港隆文具有限公司局域网设计14 / 30图
34、 3-4 H3C S3100交换机特点:高带宽和高扩展H3C S3100-52p 交换机为所有的端口提供二层线速交换能力,同时支持 4个 GE 的上行扩展,满足行业用户多业务和高带宽的应用需求。灵活的用户管理和完备的安全控制策略H3C S3100-52p 千兆交换机支持集中式 MAC 地址认证和 802.1x 认证,在用户接入网络时完成必要的身份认证,支持广播风暴抑制和端口锁定功能,支持配合 H3C 公司的 CAMS 系统对在线用户进行实时的管理,及时的诊断和瓦解网络非法行为,保证接入用户的合法性。支持对 Proxy 进行有效的管理。H3C S5024P 千兆交换机支持通过建立和维护 DHCP
35、 Snooping 绑定表实现侦听接入用户的 MAC 地址、IP 地址、租用期、VLAN-ID 接口等信息,解决 DHCP 用户的 IP和端口跟踪定位问题。丰富的 QOS 策略H3C S3100-52p 交换机支持每个端口 8 个输出队列,支持 SP(Strict Priority) 、WRR(Weighted Round Robin) 、SP+WRR 三种队列调度算法。支持端口双向限速,限速的控制粒度为 64 Kbps。多样的管理方式H3C S3100-52p 千兆交换机支持 VCT(Virtual Cable Test)电缆检测功能,便于快速定位网络故障点。支持通过 FTP、TFTP 实现
36、设备的远程升级,支持 HGMP 集群管理系统和故障诊断,实现了设备的集中管理和维护,支持SNMP,可支持 Open View 等通用网管平台,以及 Quidview 网管系统。支持 CLI命令行,Web 网管,TELNET,HGMP 集群管理,使设备管理更方便。 产品规格及参数:(见表所示)型号 H3C S3100-52p固定端口 24 个 10/100Base-TX 以太网端口,2 个 10/100/1000Base-T 以太网端广东港隆文具有限公司局域网设计15 / 30口和 2 个复用的 1000Base-X SFP千兆以太网端口交换容量 所有端口支持线速转发 19.2Gbps包转发率
37、6.55Mpps交换模式 存储转发模式(Store and Forward)支持 QoS 每个端口支持 4 个输出队列MAC 地址 支持 8K MAC 地址 支持黑洞 MAC 支持设置端口最大 MAC 地址学习VLAN 支持基于端口的 VLAN(4K 个) 支持 VLAN VPN(QinQ) 支持 GVRP支持 ACL 支持 L2(Layer 2)L4(Layer 4)包过滤功能,可以匹配报文前 80个字节,提供基于源 MAC 地址、目的 MAC、源 IP 地址、目的 IP 地址、IP 协议类型、TCP/UDP 端口、TCP/UDP 端口范围、VLAN 等定义 ACL 支持基于时间段(Time
38、 Range)的 ACL 支持基于端口组、全局、VLAN 批量下发 ACL安全特性 用户分级管理和口令保护 支持 Guest VLAN 支持 IEEE 802.1X 认证 支持集中 MAC 地址认证 支持 SSH 2.0 支持 IP 源地址保护 支持 ARP 入侵检测功能 支持 ARP 报文限速功能 支持端口隔离 支持 IP端口的绑定 支持 IP+MAC 的绑定 支持端口MAC 的绑定 支持 IP+MAC+端口的绑定管理与维护 支持 XModem/FTP/TFTP 加载升级 支持命令行接口(CLI) ,Telnet,Console 口进行配置 支持 SNMPv1/v2/v3,WEB 网管 支持
39、 RMON(Remote Monitoring)1,2,3,9 组 MIB 支持 H3C iMC 智能管理中心 支持系统日志,分级告警,调试信息输出 支持 IPv6 host,包括 IPv6 单播地址配置,ICMPv6,IPv6 邻居发现协议(ND) ,IPv6 静态路由,IPv6-PING,IPv6-TCP,IPv6-TFTP,支持 Telnet 远程维护 支持上电 POST 广东港隆文具有限公司局域网设计16 / 30支持 DLDP(Device Link Detection Protocol)单向链路检测协议 支持 Loopback-detection 端口环回检测3.3 虚拟局域网 V
40、LAN 与 IP 子网设计划分虚拟局域网是整个网络系统的重要技术之一。公司网络内部的环境复杂、分布区域广、网络用户多,以至于企业内部网络用户的可靠性得不到完全的保证。通过划分虚拟局域网,隔离不同部门,可以增强企业网络安全性,以下详细论述了虚拟局域网的技术及在网络系统中的必要性和设计方案。3.3.1 虚拟 VLAN 简介以太网基本上是以广播为基础的,如最初包的寻址等,交换机虽然能够通过建立地址映射表减少不必要的广播,但是地址映射表的建立过程仍然是基于广播的,网络节点(如 PC 机)在处理广播时浪费了 CPU 处理时间,降低了处理性能,根据统计,当网络上存在 15000 个广播包时,将耗尽 CPU
41、 资源;在传统的网络里,节点的吞吐量都会随着节点的增多而下降,交换式以太网虽然能够隔离冲突域及第二层广播,但是无法隔离第三层网络。另一方面,接入网需要保障用户数据(单播地址的帧)的安全性,隔离携带有用户信息的广播消息(如 ARP、DHCP 消息等) ,防止关键设备受到攻击。对每个用户而言,当然不希望他的信息被别人利用,因此需要从物理上隔离用户数据(单播地址的帧) ,保证用户单播地址的帧只有该用户可以接收到,不像在局域网中采用共享总线方式,使单播地址的帧能被总线上的所有用户接收。如果不隔离这些广播消息而让其他用户接收到,容易发生 MAC/IP 地址仿冒,影响设备的正常运行,中断合法用户的通信过程
42、。为了隔离第三层广播,增强安全性、提高网络性能,可以运用 VLAN(虚拟局域网)技术或者使用路由设备。使用路由器时可以将网络划分多个物理网段,这些物理网段可以连接到路由器的多个端口,多个物理网段间通过路由器进行通信,但是路由器的端口价格远远高出交换机的端口价格,所以这种方式将增加设备投资,在物理网段增多时就更为严重,而且只有使用高端设备才能满足高端口密度的要求,所以不推荐这种方式。广东港隆文具有限公司局域网设计17 / 30VLAN 技术不需要特殊的设备,目前第二层交换机均支持 VLAN 技术。通过在一个物理网段上划分出多个逻辑网段,由每一个逻辑网段构成一个 VLAN,其内部采用交换机连接,所
43、有的广播信息只限制在本 VLAN 内,而之间的连接则采用路由实现,具体实施时可以外加路由器,或者直接使用第三层交换设备。使用路由器时,将这些逻辑网段连接到路由器时可以只使用一条物理链路、占用一个路由器接口,这样就节省了设备的投资,而使用三层交换设备时,不需要额外增加设备,只要交换机支持三层路由功能即可,由于三层交换设备的工作效率高于路由器,所以在本论文中推荐采用三层交换设备实现 VLAN 之间的路由。3.3.2 VLAN 规划目前,VLAN 技术可以使用以下方式组建:基于交换机端口的 VLAN、基于MAC 地址的 VLAN 和基于应用协议的 VLAN:基于端口的 VLAN,即静态 VLAN,特
44、点是技术简单,容易配置且维护工作量小,缺点是终端设备移动时需要更改设备配置。基于 MAC 地址的 VLAN,即动态 VLAN,基于 Vlan 策略服务组建,特点是终端设备可以在整个局域网中移动而不用改变配置,适合于移动办公型的网络环境,缺点是配置工作量大、繁琐。由于交换机为二层设备,所以基于应用协议的 VLAN 对于交换机来说没有任何意义,反而会造成交换机性能的下降。考虑到本系统的特点,节点在网络中内移动的可能性较小,基于易维护、易管理方面的考虑,使用基于交换机端口的 VLAN 进行配置。采用虚拟局域网 VLAN 主要出于三个目的:用户隔离、提高网络效率;提供灵活的管理;提高系统安全性。因此,
45、规划 VLAN 时也应该综合考虑这三方面的因素。接入层设备为二层交换机。为了进行不同用户间的有效隔离和互联,需要利用交换机对用户进行相应的 VLAN 划分。具体做法可以是将交换机的每一端口划分一个 VLAN 以实现所有用户间的二层隔离,此时如果需要互联,可通过上连设备的 ACL 功能来控制;也可以根据需要将多个交换机的不同端口划为同一个VLAN,直接实现有限制的用户互联。VLAN 规划参照表和图 3-5,各个 VLAN 间由 ACL 控制,限制互访。其中VLAN10VLAN40 为各部门 VLAN,禁止互访,VLAN 50 为公司文件服务器区,能被任何部门访问,VLAN 60 为网管区,能单向
46、访问各个部门。VLAN 号 网段 描述广东港隆文具有限公司局域网设计18 / 30VLAN 10 192.168.1.0/24 人力资源部VLAN 20 192.168.2.0/24 财务部VLAN 30 192.168.3.0/24 销售部VLAN 40 192.168.4.0/24 生产部VLAN 50 192.168.5.0/24 公司文件服务区VLAN 100 192.168.100.0/24 网络管理中心表图 3-53.3.3 IP 子网设计IP 地址分配要遵循以下原则:1、简单性:地址的分配应该简单,避免在主干上采用复杂的掩码方式。2、连续性:为同一个网络区域分配连续的网络地址,便
47、于采用广东港隆文具有限公司局域网设计19 / 30SUMMARIZATION 及 CIDR(CLASSLESS INTER-DOMA IN ROUTING)技术缩减路由表的表项,提高路由器的处理效率。3、可扩充性:为一个网络区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍然能够保持地址的连续性。4、灵活性:地址分配不应该基于某个网络路由策略的优化方案,应该便于多数路由策略在该地址分配方案上实现优化。5、可管理性:地址的分配应该有层次,某个局部的变动不要影响上层、全局。6、安全性:网络内应按工作内容划分成不同网段即子网以便进行管理。根据以上设计和校园网的需求,公司的 IP 子网划分见表
48、和图 3-6 所示:表 3-6IP 子网划分:广东港隆文具有限公司局域网设计20 / 30Fa0/3 192.168.10.2/24Fa0/1 192.168.1.2/24SW5Fa0/2 192.168.2.2/24Fa0/3 192.168.20.2/24Fa0/1 192.168.3.2/24SW6Fa0/2 192.168.4.2/24Fa0/1 192.168.100.1/30Fa0/2 192.168.7.2/24Fa0/3 192.168.11.2/24SW7Fa0/4 192.168.12.2/24Fa0/1 192.168.11.1/24Fa0/2 192.168.5.1/2
49、4Fa0/3 192.168.102.1/24CoreSW1Fa0/4 192.168.10.1/24Fa0/1 192.168.12.1/24Fa0/2 192.168.5.2/24Fa0/3 192.168.101.1/24CoreSW2Fa0/4 192.168.20.1/24广东港隆文具有限公司局域网设计21 / 30Fa0/0 192.168.103.1/30Fa0/1 192.168.11.2/24聚合 R1Fa0/2 192.168.12.2/24PC1192.168.1.3 255.255.255.0PC2192.168.1.4 255.255.255.0PC3192.168.2.3 255.255.255.0PC4192.168.2.4 255.255.255.0PC5192.168.3.3 255.255.255.0PC6192.168.3.4 255.255.255.0PC7192.168.4.3 255.255.255.0PC8192.168.4.4 255.255.255.03.3.4 访问控制列表(ACL)设计方案访问控制列表(Access Control List,ACL) 是路由器接口的指令列表,用来控制端口进出的数据包。ACL 适用于所有的被路由协议,如IP、IP
