網(wǎng)絡工程課程設計說明書

1、<p>　　網(wǎng)絡工程課程設計說明書</p><p>　　證券公司網(wǎng)絡規(guī)劃與設計</p><p><b>　　系 、 部： </b></p><p><b>　　學生姓名： </b></p><p>　　學生姓名： </p><p><b>　　

2、學生姓名： </b></p><p><b>　　指導教師： </b></p><p><b>　　專 業(yè)： </b></p><p><b>　　班 級： </b></p><p>　　完成時間： </

3、p><p><b>　　目 錄</b></p><p><b>　　1需求分析3</b></p><p>　　1.1總體網(wǎng)絡需求分析3</p><p>　　1.2.1網(wǎng)絡流量及寬帶4</p><p>　　1.2.2 Internet接入4</p><

4、;p>　　1.2.3 IP地址劃分4</p><p>　　1.2.4 網(wǎng)絡安全5</p><p>　　1.2.5應用服務需求7</p><p>　　2網(wǎng)絡規(guī)劃與設計7</p><p><b>　　2.1總體設計7</b></p><p><b>　　2.2網(wǎng)絡設計8&

5、lt;/b></p><p>　　2.3 網(wǎng)絡拓撲及其結構設計8</p><p>　　2.3.1組網(wǎng)設計9</p><p>　　2.3.2存儲網(wǎng)絡設計10</p><p>　　2.3.3網(wǎng)絡服務區(qū)設計10</p><p>　　2.3.4外聯(lián)區(qū)設計11</p><p>　　2.4系

6、統(tǒng)配置設計12</p><p>　　2.5 IP地址的詳細規(guī)劃12</p><p><b>　　3測試13</b></p><p>　　3.1 項目基本描述13</p><p>　　3.2 路由器配置情況14</p><p>　　3.2.1 LSW5的配置14</p>

7、<p>　　3.2.2 LSW2的配置15</p><p>　　3.2.3 LSW3的配置16</p><p>　　3.2.4 客戶端的配置19</p><p>　　3.2.5 特點的路由配置命令20</p><p><b>　　4項目總結23</b></p><p><

8、;b>　　參考文獻23</b></p><p><b>　　附錄24</b></p><p><b>　　致 謝24</b></p><p><b>　　需求分析</b></p><p><b>　　總體網(wǎng)絡需求分析</b><

9、;/p><p>　　所謂的需求分析從字面上的意思理解就是找出“需”與“求”的關系，從當前業(yè)務中找出最需要重視的方面，從已經(jīng)運行的網(wǎng)絡中找出最需要改進的地方，滿足客戶提出的各種要求，依據(jù)可與要求修改已經(jīng)成形的方案的重要環(huán)節(jié)。本證券公司為了不斷增長的業(yè)務，需要建立一個全新高效的計算機網(wǎng)絡系統(tǒng)，以為今后在證券交易時提供一個強大且穩(wěn)定的業(yè)務平臺，在此業(yè)務需求下，做出如下需求分析。</p><p>　　

10、企業(yè)網(wǎng)絡的總體需求即是一個統(tǒng)一、可靠和安全的自動化辦公硬件平臺系統(tǒng)。這個企業(yè)網(wǎng)絡系統(tǒng)必須滿足以下幾點：滿足現(xiàn)代企業(yè)管理的統(tǒng)一，網(wǎng)絡系統(tǒng)時增加對統(tǒng)一管理的要求；滿足現(xiàn)代化自動辦公對網(wǎng)絡寬帶的要求；滿足多部門實現(xiàn)資源共享；滿足現(xiàn)代企業(yè)對數(shù)據(jù)安全的高要求。因此，企業(yè)在高速發(fā)展的大環(huán)境下必須加強企業(yè)內部各種“軟硬件”的提升，網(wǎng)絡當然也就必不可少，網(wǎng)絡主干要求達到千兆位帶寬，網(wǎng)絡結構要求做到完全冗余，不存在單點故障，能不間斷動作，網(wǎng)絡系統(tǒng)對信息點

11、接入能力要達到1000個以上。企業(yè)要求在辦公時能夠內外網(wǎng)分開實現(xiàn)網(wǎng)絡“純凈”化，業(yè)務網(wǎng)和辦公網(wǎng)隔離，要求整個的企業(yè)網(wǎng)絡能夠“無死角”，保證企業(yè)內部數(shù)據(jù)的絕對安全,同時，還必須是高效、安全的，還應具備很有的擴展性。</p><p>　　本公司需要構建一個綜合的企業(yè)網(wǎng)絡，公司的主要營業(yè)范圍有：證券公司的證券交易代理活動；專門從事股票、債券、期貨及其他有價證券的投資活動；專門從事基金的投資活動；證券現(xiàn)券交易、證券回購等

12、活動；證券包銷、代銷、轉銷等活動；投資公司及其他機構從事的項目策劃、項目融資、財務顧問、企業(yè)購并、重組。公司有如下部門：一樓：業(yè)務部、后勤部；二樓：IT部、人事部；三樓：財務部，總經(jīng)理辦公室也位于三樓。網(wǎng)絡規(guī)劃的需求是：業(yè)務網(wǎng)和辦公網(wǎng)“隔離”；員工網(wǎng)和領導網(wǎng)“隔離”；核心網(wǎng)絡與數(shù)據(jù)中心在同步的情況下保持各自獨立；保證內部數(shù)據(jù)的絕對安全性。為了確定信息點，首先對各部門員工+領導進行人數(shù)統(tǒng)計（表1.1示），所有員工在處理業(yè)務時處于內網(wǎng)中，所

13、有辦公的系統(tǒng)掛在專門的服務器上，辦公時不能直接訪問互聯(lián)網(wǎng)，領導作為外網(wǎng)信息點，同時擁有兩臺主機，一臺處于內網(wǎng)，一臺處于外網(wǎng)，綜上所述：一樓共有56個信息點，二樓有25個信息點，三樓有14個信息點，整體辦公網(wǎng)信息點有11個。</p><p>　　表1.1樓層、部門與信息點對應</p><p><b>　　1.2基礎構架需求</b></p><p>

14、;　　針對中小型企業(yè)網(wǎng)的設計，網(wǎng)路結構采用典型的三層網(wǎng)絡架構，并使用VLAN技術來對網(wǎng)絡進行劃分管理；考慮到未來網(wǎng)絡的發(fā)展，使用當今流行的千兆以太網(wǎng)技術，實現(xiàn)千兆核心、百兆接入；核心網(wǎng)絡設備的冗余備份，實現(xiàn)公司內部的無間斷運作；組建WLAN（無線局域網(wǎng)）區(qū)域，由于無線只用于較少的場合，這里選用無線AP+交換機（有線）的組合，實現(xiàn)簡單、經(jīng)濟的無線網(wǎng)絡解決方案。</p><p>　　1.2.1網(wǎng)絡流量及寬帶</

15、p><p>　　現(xiàn)代企業(yè)網(wǎng)絡應具有更高的帶寬，更強大的性能，以滿足用戶日益增長的通信需求。隨著計算機技術的高速發(fā)展，基于網(wǎng)絡的各種應用日益增多，不僅要繼續(xù)承載企業(yè)的辦公自動化，Web瀏覽等簡單的數(shù)據(jù)業(yè)務，還要承載涉及企業(yè)生產(chǎn)運營的各種業(yè)務應用系統(tǒng)數(shù)據(jù)，以及帶寬和時延都要求很高的IP電話、視頻會議等多媒體業(yè)務。因此，數(shù)據(jù)流量將大大增加，尤其是對核心網(wǎng)絡的數(shù)據(jù)交換能力提出了前所未有的要求。所以，今天的企業(yè)網(wǎng)絡已經(jīng)不能再用

16、百兆位到千兆位骨干來作為建網(wǎng)的標準，核心層及骨干層必須具有萬兆位級帶寬和處理性能，才能構筑一個暢通無阻的"高品質"企業(yè)網(wǎng)，從而適應網(wǎng)絡規(guī)模擴大，業(yè)務量日益增長的需要。</p><p>　　1.2.2 Internet接入</p><p>　　租用電信固定IP，申請高速的寬帶網(wǎng)絡，能通過Internet向外公布和發(fā)布企業(yè)信息，并能實施VPN（虛擬專用網(wǎng)絡）方案；使用PAT

17、（端口地址轉換）和端口映射，在滿足內網(wǎng)連接Internet 的同時能夠讓外網(wǎng)正確訪問公共服務器。</p><p>　　1.2.3 IP地址劃分</p><p>　　出口路由為公司分配的172.16.107.2/24，進入出口網(wǎng)關172.16.107.1/24，網(wǎng)絡經(jīng)由172.16.105.2/29這個端口到核心交換機的172.16.105.2/29，核心交換機分配給業(yè)務網(wǎng)的為172.16.

18、11.0/24的11網(wǎng)段，其余端口為113段，而服務器所在的數(shù)據(jù)中心則為：172.16.114.114/24；172.16.114.70/24；172.16.114.32/24。</p><p>　　這個的劃分IP地址分為內網(wǎng)的劃分，外網(wǎng)的則類似，并且外網(wǎng)的網(wǎng)絡結構也和內網(wǎng)的差不多，只是在IP上習慣改為192.168.11.0/24。</p><p>　　1.2.4 網(wǎng)絡安全</p&

19、gt;<p>　　采用訪問控制措施對內網(wǎng)對外網(wǎng)、內網(wǎng)對DMZ（非軍事區(qū)）、外網(wǎng)對DMZ 的防火墻設置，阻止惡意流量的侵入；啟用VPN 解決方案，在最經(jīng)濟的條件下實現(xiàn)安全的異地信息共享，并能實現(xiàn)移動辦公；因內網(wǎng)使用DHCP（動態(tài)主機配置協(xié)議）解決方案，啟用DHCP 過濾、動態(tài)ARP（地址解析協(xié)議）檢測等手段對內網(wǎng)安全進行鞏固；對非員工區(qū)域以及無線網(wǎng)絡接入啟用802.1x驗證方案；公司內部計算機安裝防病毒軟件來實施全網(wǎng)的病毒安

20、全防護。</p><p><b>　?。?）電源的安全</b></p><p>　　電源不僅是一個計算機網(wǎng)絡能夠運行的最基本條件，同時電源的安全也是計算機網(wǎng)絡安全運行的最基本要素。這里電源的安全不僅要求為所有的工作站、服務器和網(wǎng)絡設備提供一個高質量的電源，同時還要設置良好的接地系統(tǒng)。對于服務器和網(wǎng)絡設備還要設置不間斷電源（UPS）裝置，這不但可以增加網(wǎng)絡的連續(xù)運行能力

21、，而且可以防止因為突然斷電對網(wǎng)絡硬件造成的損壞。特別是服務器，如果正在運行的服務器突然斷電，不但硬件設備可能出現(xiàn)問題，而且操作系統(tǒng)或應用因為沒有正常關閉可能導致數(shù)據(jù)不能提交或系統(tǒng)不能正常啟動，甚至造成服務器或應用的癱瘓。這是任何一個企業(yè)都不愿看到的。</p><p>　　在網(wǎng)絡建設和維護中，電源是最穩(wěn)定的一個部分，一般情況下，它不會隨著應用的發(fā)展頻繁地升級，因此，中小企業(yè)在構建自己的網(wǎng)絡系統(tǒng)時，進行相應的投資建立

22、一個安全的電源系統(tǒng)是非常值得的。</p><p><b>　　(2)．防病毒設置</b></p><p>　　計算機病毒一直是困擾著計算機和網(wǎng)絡系統(tǒng)的最大問題之一。隨著計算機技術的不斷進步，計算機病毒也不斷地向智能化和網(wǎng)絡化發(fā)展，具有更強大的攻擊力和破壞性，從以往的破壞軟件系統(tǒng)到現(xiàn)在的攻擊硬件系統(tǒng)和網(wǎng)絡系統(tǒng)，尤其是借助于發(fā)展迅速的Internet和Intranet，計

23、算機病毒可以通過各種渠道迅速地蔓延并實施破壞。如果沒有防范措施的話，一個企業(yè)的計算機網(wǎng)絡很容易因為計算機病毒的攻擊而陷入癱瘓。這對于一個企業(yè)而言，后果可能是致命的。</p><p><b>　　(3)．防火墻設置</b></p><p>　　企業(yè)構建了Intranet，實現(xiàn)了與Internet的接軌，雖然為企業(yè)業(yè)務的開展日常的工作、學習帶來了極大的方便，但是我們不得不

24、面對的一個問題就是實現(xiàn)了與Internet的接入，企業(yè)的內部網(wǎng)絡就完全地暴露在外界了，也就可能受到各種有意或無意的攻擊。因此建立企業(yè)的Intranet，必須建立網(wǎng)絡的防火墻系統(tǒng)來保證內部網(wǎng)絡的安全。由于在Internet接入部分已經(jīng)對防火墻的功能和工作方式進行了相關的介紹，這里就不再進行過多的描述了。</p><p>　　(4)．網(wǎng)絡的安全教育</p><p>　　保證網(wǎng)絡的安全不僅需要通

25、過相應的技術手段從硬件和軟件著手對網(wǎng)絡資源進行保護，對網(wǎng)絡用戶進行網(wǎng)絡的安全教育同樣重要。首先，要建立一套完整的網(wǎng)絡管理規(guī)定和網(wǎng)絡使用方法，并要求網(wǎng)絡管理員和網(wǎng)絡使用人員必須嚴格遵守，否則的話，再先進的網(wǎng)絡安全技術也不能阻止人為因素對網(wǎng)絡安全造成的威脅。其次，加強對網(wǎng)絡管理員和網(wǎng)絡使用人員的培訓，讓他們明白什么是可以做的，什么是嚴禁做的，可能產(chǎn)生的嚴重后果是什么。對網(wǎng)絡了解得越多，自我約束的能力也就越強。第三，制定合適的網(wǎng)絡安全策略，既

26、不能讓網(wǎng)絡用戶無限制地使用網(wǎng)絡，也不能對用戶限定得太死，引發(fā)用戶設法繞過網(wǎng)絡安全系統(tǒng)、鉆網(wǎng)絡安全策略空子的現(xiàn)象。制定一種讓網(wǎng)絡管理員和網(wǎng)絡用戶都樂于接受的安全策略，可以讓網(wǎng)絡用戶在使用網(wǎng)絡的過程中逐步把網(wǎng)絡當成工作中的一個得力工具，從而自覺地維護網(wǎng)絡的安全。</p><p>　　1.2.5. 數(shù)據(jù)存儲的安全</p><p>　　保存在服務器中的數(shù)據(jù)是網(wǎng)絡應用的核心，如果由于服務器磁盤故障造

27、成數(shù)據(jù)的損壞或丟失，可能會造成無法估量的損失。因此必須采取相應的容錯及災難恢復手段來加強服務器存儲系統(tǒng)的可靠性。目前，構建服務器存儲系統(tǒng)使用最廣泛的技術是RAID。RAID的實現(xiàn)策略主要是用多個磁盤驅動器替換單一的大容量的磁盤驅動器，并將數(shù)據(jù)在各個磁盤上進行分布存放并支持同時在多個磁盤進行并行讀寫，同時利用冗余的磁盤空間將數(shù)據(jù)從錯誤中恢復。由于服務器中構成RAID的磁盤通常為熱插拔磁盤，因此磁盤出現(xiàn)故障時，可以不停機地對故障進行修復，增

28、加了網(wǎng)絡系統(tǒng)的連續(xù)工作能力。RAID分為好幾個級別，每個級別在I/O性能和安全性方面各具特點，其中RAID1和RAID5使用最多。</p><p>　　RAID1—磁盤鏡像。它由磁盤對組成，每一個工作盤都有對應的鏡像盤，保存著和工作盤完全相同的數(shù)據(jù)拷貝。當對邏輯塊進行寫入操作時，工作盤和鏡像盤都進行實時更新。如果磁盤對中任一個磁盤失敗，所有的讀寫請求立刻會轉移到另一塊磁盤上。因此它具有最高的可靠性，但它的I/O性

29、能和空間利用率不高，只用50%，適用于訪問量不大但比較注重數(shù)據(jù)安全性的應用環(huán)境。從性能價格比看，中小企業(yè)網(wǎng)絡的應用服務器采用RAID1是非常合適的選擇。</p><p>　　RAID5—沒有獨立校驗盤的奇偶校驗碼磁盤陣列。RAID5采用了獨立存取技術，校驗信息分布在陣列內的所有磁盤上，如果陣列中有一個磁盤失敗，這個盤中的數(shù)據(jù)可以通過其他盤中的數(shù)據(jù)根據(jù)校驗碼進行異或運算獲得。RAID5至少需要3塊磁盤構成，每一塊磁

30、盤上都要占用1/N的空間存放校驗信息（N為構成RAID5的磁盤數(shù)量）。由于采用了獨立存取技術， RAID5對于大、小批量的數(shù)據(jù)讀寫性能都很好，適用于訪問量很大的系統(tǒng)。在中小企業(yè)構建網(wǎng)絡時，可以將Web服務器或數(shù)據(jù)庫服務器的存儲系統(tǒng)設置為RAID5。</p><p>　　可以根據(jù)RAID的應用級別來選擇相應的服務器，這樣配置起來更方便一些。</p><p>　　1.2.6應用服務需求<

31、/p><p>　　現(xiàn)代大型企業(yè)網(wǎng)絡應具備更智能的網(wǎng)絡管理解決方案，以適應網(wǎng)絡規(guī)模日益擴大，維護工作更加復雜的需要。當前的網(wǎng)絡已經(jīng)發(fā)展成為"以應用為中心"的信息基礎平臺，網(wǎng)絡管理能力的要求已經(jīng)上升到了業(yè)務層次，傳統(tǒng)的網(wǎng)絡設備的智能已經(jīng)不能有效支持網(wǎng)絡管理需求的發(fā)展。比如，網(wǎng)絡調試期間最消耗人力與物力的線纜故障定位工作，網(wǎng)絡運行期間對不同用戶靈活的服務策略部署、訪問權限控制、以及網(wǎng)絡日志審計和病毒控制

32、能力等方面的管理工作，由于受網(wǎng)絡設備功能本身的限制，都還屬于費時、費力的任務。所以現(xiàn)代的大型企業(yè)網(wǎng)絡迫切需要網(wǎng)絡設備具備支撐"以應用為中心"的智能網(wǎng)絡運營維護的能力，并能夠有一套智能化的管理軟件，將網(wǎng)絡管理人員從繁重的工作中解脫出來。</p><p>　　由于網(wǎng)絡產(chǎn)品的性能、質量和功能與其價錢成正比，因而在一些關鍵性服務器的選擇上，如數(shù)據(jù)庫服務器、Web/Mail服務器等負荷較重的業(yè)務上應該選

33、擇性能較強的產(chǎn)品，而一些工作負載較少的應用，如DHCP 服務器、DNS 服務器等，可選擇配置較好的普通PC 來承擔。</p><p><b>　　網(wǎng)絡規(guī)劃與設計</b></p><p><b>　　2.1總體設計</b></p><p>　　根據(jù)對公司業(yè)務管理信息系統(tǒng)計算機網(wǎng)絡需求的分析并結合目前高速主干網(wǎng)絡技術的特點，數(shù)

34、據(jù)中心核心網(wǎng)絡建議采用核心層和接入層的的二層扁平化網(wǎng)絡架構，二層扁平化的網(wǎng)絡架構可以實現(xiàn)：</p><p>　?。?）簡化網(wǎng)絡管理，降低投資成本，降低維護管理成本；</p><p>　　（2）簡化網(wǎng)絡拓撲，降低網(wǎng)絡復雜度，提高網(wǎng)絡的性能，支撐高性能的服務器流量；</p><p>　?。?）提高網(wǎng)絡利用率，支撐云計算技術的資源池動態(tài)調度；</p><

35、;p>　?。?）提高網(wǎng)絡可靠性。二層網(wǎng)絡結構，可以結合虛擬集群和堆疊技術，解決鏈路環(huán)路問題，減少網(wǎng)絡的故障收斂時間，從而提高網(wǎng)絡可靠性；</p><p>　?。?）綠色環(huán)保。 簡化二層網(wǎng)絡還能降低電力和冷卻需求，這對數(shù)據(jù)中心網(wǎng)絡尤為重要；</p><p>　　數(shù)據(jù)中心網(wǎng)絡架構設計采用“分區(qū)+分層+分平面”的設計思路。</p><p>　?。?）根據(jù)公司數(shù)據(jù)中心

36、不同業(yè)務功能區(qū)域之間的隔離需求，將數(shù)據(jù)中心的核心網(wǎng)絡按照功能的不同分成多個業(yè)務區(qū)域，各業(yè)務區(qū)域之間實現(xiàn)網(wǎng)絡的邏輯隔離；</p><p>　　（2）根據(jù)公司數(shù)據(jù)中心的網(wǎng)絡系統(tǒng)動態(tài)擴展和高效交換的需求，將數(shù)據(jù)中心的核心網(wǎng)絡分為核心層與接入層，實現(xiàn)扁平化的二層網(wǎng)絡架構；</p><p>　?。?）根據(jù)公司數(shù)據(jù)中心網(wǎng)絡高效交換的需求，將數(shù)據(jù)中心網(wǎng)絡分為管理平面、業(yè)務平面和存儲平面，不同平面間進行邏

37、輯隔離；單個平面故障不會影響其它網(wǎng)絡平面的正常工作。</p><p><b>　　2.2網(wǎng)絡設計</b></p><p>　　小型企業(yè)網(wǎng)絡，也可在本設計中也可以稱為園區(qū)網(wǎng)，園區(qū)網(wǎng)是非常典型的綜合型網(wǎng)絡實例，園區(qū)網(wǎng)通常是指大學的校園網(wǎng)及企業(yè)的內部網(wǎng)（intrfaceernet）。園區(qū)網(wǎng)分為3個部分，分別是交換網(wǎng)絡，路由網(wǎng)絡和遠程登陸網(wǎng)絡，主要的中心部分是交換網(wǎng)絡部分。&

38、lt;/p><p><b>　　1.主干結構設計</b></p><p>　　本設計將網(wǎng)絡結構分為三層：接入層、匯聚層和核心層。使用三層網(wǎng)絡結構適合的實際規(guī)模；二是這能提高網(wǎng)絡對突發(fā)事故的自動容錯能力，減少網(wǎng)絡故障排錯的難度和時間；三是采用此網(wǎng)絡分層有利于企業(yè)將來更靈活地對企業(yè)網(wǎng)升級擴大。</p><p><b>　　2.互聯(lián)網(wǎng)接入設計&

39、lt;/b></p><p>　　互聯(lián)網(wǎng)接入由位于網(wǎng)絡中心的DMZ 交換機、WWW 服務、E-mail 服務、防火墻、路由器、Intrfaceernet 光纖接入組成。向電信申請一個固定IP，提供外網(wǎng)服務器的訪問服務。</p><p><b>　　3.VLAN設計</b></p><p>　　通過VLAN 將相同業(yè)務的用戶劃分在一個邏輯子

40、網(wǎng)內，各工作組交換機采用基于端口的VLAN 劃分策略，劃分出多個不同的VLAN 組，分隔廣播域。同樣在千兆/百兆以太網(wǎng)上聯(lián)端口上設置802.1Q 協(xié)議，設置通信干道(Truck)，將每個VLAN 的數(shù)據(jù)流量添加標記，轉發(fā)到主干交換機上實現(xiàn)網(wǎng)絡多層交換。</p><p>　　2.3 網(wǎng)絡拓撲及其結構設計</p><p>　　現(xiàn)在根據(jù)本公司的情況先規(guī)劃處如下的網(wǎng)絡拓撲圖：</p>

41、<p>　　圖2.3 整體網(wǎng)絡規(guī)劃拓撲圖</p><p><b>　　2.3.1組網(wǎng)設計</b></p><p>　　數(shù)據(jù)中心的網(wǎng)絡核心層采用的是核心層、接入層的扁平化二層網(wǎng)絡架構；扁平化網(wǎng)絡設計降低了網(wǎng)絡復雜度，簡化了網(wǎng)絡拓撲，提高了轉發(fā)性能。</p><p>　　數(shù)據(jù)中心網(wǎng)絡核心層的規(guī)劃圖如下圖所示。</p>&l

42、t;p>　　圖2.3.1數(shù)據(jù)核心層</p><p>　　核心層：2臺核心交換機采用CSS虛擬集群技術，下行鏈路與接入交換機互聯(lián)，增加帶寬的同時也提高了網(wǎng)絡鏈路的可靠性。</p><p>　　接入層：上聯(lián)到2臺核心交換機，增加帶寬的同時也提高了網(wǎng)絡鏈路的可靠性。接入層設備可以根據(jù)業(yè)務需求，選擇機架式、刀片內置式等不同的接入交換機類型和不同規(guī)格的配置。</p><p&

43、gt;　　2.3.2存儲網(wǎng)絡設計</p><p>　　數(shù)據(jù)中心存儲網(wǎng)絡規(guī)劃示意圖如下圖所示。</p><p>　　圖2.3.2 存儲網(wǎng)絡規(guī)劃示意圖</p><p>　　服務器存儲網(wǎng)絡主要包括IP SAN存儲網(wǎng)和FC SAN存儲網(wǎng)。服務器存儲網(wǎng)絡與業(yè)務網(wǎng)絡是物理隔離的，服務器的業(yè)務網(wǎng)卡和存儲網(wǎng)卡是分別上聯(lián)到業(yè)務網(wǎng)絡和存儲網(wǎng)絡的對應TOR接入交換機上。由于虛擬化的需求，

44、極大的增進了服務器與存儲的數(shù)據(jù)交換。</p><p>　　當采用IP SAN存儲網(wǎng)絡時：業(yè)務服務區(qū)服務器和IP SAN存儲的存儲網(wǎng)卡一般采用1GE端口上聯(lián)到TOR接入以太網(wǎng)交換機，各TOR接入交換機通過1GE鏈路或10GE鏈路捆綁上聯(lián)到IP SAN存儲匯聚交換機。當采用FC SAN存儲網(wǎng)絡時：業(yè)務服務區(qū)服務器的HBA卡和FC SAN存儲的FC接口通過光纖鏈路上聯(lián)到FC交換機。</p><p&g

45、t;　　2.3.3網(wǎng)絡服務區(qū)設計</p><p><b>　　（1）應用場景</b></p><p>　　數(shù)據(jù)中心支撐著各種業(yè)務系統(tǒng)，各種業(yè)務系統(tǒng)對網(wǎng)絡架構的要求也各不相同：對于高安全性業(yè)務系統(tǒng)，需要在數(shù)據(jù)中心內網(wǎng)核心區(qū)提供安全防護的功能；有些業(yè)務系統(tǒng)，對性能、可靠性和可擴展性要求較高；一般的業(yè)務則沒有特殊的要求。</p><p>　　為了滿足

46、業(yè)務系統(tǒng)對網(wǎng)絡功能要求，數(shù)據(jù)中心專門部署了網(wǎng)絡服務區(qū)，針對性為各種業(yè)務系統(tǒng)提供相應的網(wǎng)絡服務。網(wǎng)絡服務區(qū)主要提供網(wǎng)絡安全服務，通過部署防火墻設備實現(xiàn)。</p><p><b>　　（2）網(wǎng)絡架構</b></p><p>　　數(shù)據(jù)中心的網(wǎng)絡服務區(qū)網(wǎng)絡架構如下圖所示。</p><p>　　圖2.3.3 網(wǎng)絡服務區(qū)網(wǎng)絡架構圖</p>&

47、lt;p>　　網(wǎng)絡服務區(qū)共部署了2臺安全網(wǎng)關，為數(shù)據(jù)中心的多個服務器業(yè)務分區(qū)提供安全控制服務。</p><p>　　2臺安全網(wǎng)關采用雙機熱備的冗余方式進行部署；每臺安全關采用核心交換機旁掛的方式，并通過2條鏈路與核心交換機進行互聯(lián)，分別用于承載入方向和出方向的流量。</p><p>　　安全網(wǎng)關設備用于對安全級別較高的業(yè)務服務器分區(qū)進行安全防護。安全網(wǎng)關通過虛擬化技術，從邏輯上劃分為

48、多臺防火墻，分別為需要安全防護的服務器分區(qū)提供獨立的安全保障。每臺虛擬防火墻都是VPN 實例、安全實例和配置實例的綜合體，為用戶提供私有的路由轉發(fā)服務、安全服務和配置管理服務。安全網(wǎng)關設備一般采用路由工作模式。</p><p><b>　　外聯(lián)區(qū)設計</b></p><p><b>　?。?）網(wǎng)絡架構</b></p><p&g

49、t;　　業(yè)務服務區(qū)及運行管理區(qū)的網(wǎng)絡架構基本相同：按照層次化、模塊化的設計理念，各個功能分區(qū)的業(yè)務主機通過相應的接入交換機進行匯接，雙鏈路上聯(lián)到網(wǎng)絡核心交換機上。</p><p>　　各個業(yè)務功能分區(qū)可以通過網(wǎng)絡服務區(qū)的防火墻進行安全控制；通過功能區(qū)的劃分，也可以提高系統(tǒng)的可擴展能力。</p><p><b>　　（2）分平面設計</b></p><

50、;p>　　數(shù)據(jù)中心的業(yè)務核心區(qū)采用的是網(wǎng)絡分平面設計的網(wǎng)絡架構，按照業(yè)務的類型將網(wǎng)絡分成三個平面：業(yè)務平面、存儲平面和管理平面，各個平面之間實現(xiàn)業(yè)務安全隔離。</p><p>　　各個平面之間通過網(wǎng)絡設備和網(wǎng)卡進行物理安全隔離或VLAN邏輯安全隔離，保證各種網(wǎng)絡平面數(shù)據(jù)的安全性和可靠性，單個平面的故障不影響其余平面繼續(xù)工作。</p><p>　　每臺主機通過不同的網(wǎng)絡接口與業(yè)務平面、

51、管理平面和存儲平面進行互聯(lián)，并在交換機上通過VLAN進行隔離，其中存儲平面采用單獨的交換機進行接入。</p><p><b>　　2.4系統(tǒng)配置設計</b></p><p>　　公司網(wǎng)絡管理中心網(wǎng)絡將采用層次化、模塊化的設計。層次化模塊化設計可使層次清晰，便于分層管理和故障隔離，既保留傳統(tǒng)層次化架構的分層管理和 故障隔離的優(yōu)點，同時又能適應業(yè)務化網(wǎng)絡的要求，有效優(yōu)化帶

52、寬收斂比，降低延遲。</p><p>　　數(shù)據(jù)中心的網(wǎng)絡功能分區(qū)架構如下。</p><p><b>　?。?）外聯(lián)區(qū) </b></p><p><b>　　1、業(yè)務遠程接入?yún)^(qū)</b></p><p>　　提供給相關業(yè)務單位訪問的數(shù)據(jù)中心區(qū)域。</p><p>　　2、Inte

53、rnet接入?yún)^(qū) </p><p>　　提供給互聯(lián)網(wǎng)用戶訪問的數(shù)據(jù)中心區(qū)域。部署外部服務器群（如：外部DNS/FTP/Web服務器），用于互聯(lián)網(wǎng)用戶訪問；為了提高互聯(lián)網(wǎng)出口的可靠性，出口路由器一般接入到2個不同的運營商。</p><p><b>　　（2）核心區(qū) </b></p><p>　　核心區(qū)對外部網(wǎng)絡不可見，主要提供公司系統(tǒng)服務。該區(qū)域包

54、括：網(wǎng)絡服務區(qū)、輔助業(yè)務區(qū)、核心業(yè)務區(qū)、中心辦公區(qū)及運行管理區(qū)。</p><p><b>　　（3）災備中心</b></p><p>　　對公司數(shù)據(jù)進行異地保護。</p><p><b>　　（4）中心大廳</b></p><p>　　實現(xiàn)公司本部相關業(yè)務辦理。</p><p&g

55、t;<b>　?。?）測試和網(wǎng)管區(qū)</b></p><p>　　實現(xiàn)對網(wǎng)絡設備及系統(tǒng)應用軟件進行統(tǒng)一管理和測試。</p><p><b>　?。?）交換區(qū)</b></p><p>　　實現(xiàn)對外數(shù)據(jù)交換管理</p><p>　　2.5 IP地址的詳細規(guī)劃</p><p>　　以

56、職能共劃分為3個區(qū)域：對外公共服務器群組、內部服務器群組和內網(wǎng)客戶端區(qū)域。其中內網(wǎng)客戶端區(qū)域部署私有IP地址，然后根據(jù)其數(shù)量和組織規(guī)模等因素來選擇網(wǎng)段，并決定是否使用DHCP動態(tài)IP分配。</p><p>　　其中，需要訪問Internet的客戶端可以通過NAT技術實現(xiàn)，一般在防火墻后面另配置一個NAT設備（可能是代理服務器或路由器等），在其上配置一個NAT池放置適當?shù)墓W(wǎng)IP以供內網(wǎng)機訪問Internet的需要

57、。還可在其上或其連接的下層3層交換機、路由器等設備上做ACL（訪問控制列表），以限制內網(wǎng)機訪問Internet的權限。內網(wǎng)服務器區(qū)域由于只對內網(wǎng)用戶提供服務，所以不需要公網(wǎng)IP也不需要過NAT，而且因其職能應該部署固定的私有IP。其中如果考慮到整體網(wǎng)絡規(guī)模較大，內網(wǎng)服務器區(qū)與客戶端區(qū)之間隔著路由器，那當使用DHCP服務器時，還要注意DHCP的過程使用了廣播包，而路由器隔絕廣播，這時需要在路由器上配置DHCP中繼代理。這樣對于客戶端來說，

58、得到IP地址的過程和訪問本地DHCP沒有什么區(qū)別，也就是說DHCP中繼代理對客戶端而言是透明的。最后的DMZ區(qū)域放置著對外提供服務的服務器群組，這部分自然是部署固定的公網(wǎng)IP。當然，可能由于使用服務器集群等冗余和負載均衡措施，會使IP地址的分配策略稍有不同。</p><p>　　由于現(xiàn)在使用的仿真軟件的限制性，故將現(xiàn)有的網(wǎng)絡規(guī)劃簡單化，因此現(xiàn)有的IP劃分是專用于此次的設計中，出口路由為公司分配的172.16.10

59、7.2/24進入到出口網(wǎng)關為172.16.107.1/24，網(wǎng)絡經(jīng)由172.16.105.2/29這個端口到核心交換機的172.16.105.2/29，核心交換機分配給業(yè)務網(wǎng)的為172.16.11.0/24的11網(wǎng)段，其余端口為113段，而服務器所在的數(shù)據(jù)中心則分別為172.16.114.114/24；172.16.114.70/24；172.16.114.32/24。這個的IP劃IP地址分為內網(wǎng)的劃分，外網(wǎng)的則類似，并且外網(wǎng)的網(wǎng)絡結構

60、也和內網(wǎng)的差不多，只是在IP上習慣改為192.168.11.0/24,具體的IP劃分就要看網(wǎng)絡管理人員自己怎么管理劃分。</p><p><b>　　測試</b></p><p>　　3.1 項目基本描述</p><p>　　此次的項目根據(jù)本公司的實際需要，構建一個綜合的信息化企業(yè)辦公網(wǎng)絡，公司如下部門：業(yè)務部、人事部、財務部、IT部、后勤部，

61、一共三層樓辦公，網(wǎng)絡規(guī)劃的需求是：業(yè)務網(wǎng)和辦公網(wǎng)“隔離”；員工網(wǎng)和領導網(wǎng)“隔離”；核心網(wǎng)絡與數(shù)據(jù)中心在同步的情況下保持各自獨立；以此保證內部數(shù)據(jù)的絕對安全性。</p><p>　　劃分ip:出口路由為公司分配的172.16.107.2/24進入到出口網(wǎng)關為172.16.107.1/24，網(wǎng)絡經(jīng)由172.16.105.2/29這個端口到核心交換機的172.16.105.2/29，核心交換機分配給業(yè)務網(wǎng)的為172.1

62、6.11.0/24的11網(wǎng)段，其余</p><p>　　端口為113段，而服務器所在的數(shù)據(jù)中心則分別為172.16.114.114/24；172.16.114.70/24；172.16.114.32/24。</p><p>　　考慮到仿真軟件eNSP的各種限制，因此現(xiàn)只將一部分的網(wǎng)絡拓撲仿真化</p><p>　　圖3.1 仿真拓撲圖</p><

63、p>　　3.2 路由器配置情況</p><p>　　3.2.1 LSW5的配置</p><p>　　圖3.2.1 配置圖1</p><p>　　圖3.2.1 配置圖2</p><p>　　3.2.2 LSW2的配置</p><p>　　圖3.2.2 配置圖1</p><p>　　圖3.2.

64、2 配置圖2</p><p>　　圖3.2.2 配置圖3</p><p>　　3.2.3 LSW3的配置</p><p>　　圖3.2.3配置圖1</p><p>　　圖3.2.3 配置圖2</p><p>　　圖3.2.3 配置圖3</p><p>　　圖3.2.3配置圖4</p>

65、<p>　　圖3.2.3配置圖5</p><p>　　圖3.2.3配置圖6</p><p>　　圖3.2.3 配置圖7</p><p>　　Ps: LSW4的配置與LSW3的配置類似</p><p>　　3.2.4 客戶端的配置</p><p>　　圖3.2.4 配置IP</p><p

66、>　　圖3.2.4 測試連通性</p><p>　　3.2.5 特點的路由配置命令</p><p><b>　　LSW3的配置：</b></p><p>　　<Huawei>sys</p><p>　　<Huawei>system-view </p><p>　　[

67、Huawei]vlan 105</p><p>　　[Huawei-vlan105]int vlan 105</p><p>　　[Huawei-Vlanif105]ip add 172.16.1</p><p>　　[Huawei-Vlanif105]ip add 172.16.105.1 29</p><p>　　[Huawei-Vlan

68、if105]</p><p>　　[Huawei-Vlanif105]int g0/0/2</p><p>　　[Huawei-GigabitEthernet0/0/2]po</p><p>　　[Huawei-GigabitEthernet0/0/2]port de</p><p>　　[Huawei-GigabitEthernet0/

69、0/2]port li</p><p>　　[Huawei-GigabitEthernet0/0/2]port link-t</p><p>　　[Huawei-GigabitEthernet0/0/2]port link-type a</p><p>　　[Huawei-GigabitEthernet0/0/2]port link-type access &

70、lt;/p><p>　　[Huawei-GigabitEthernet0/0/2]po</p><p>　　[Huawei-GigabitEthernet0/0/2]port de</p><p>　　[Huawei-GigabitEthernet0/0/2]port default vlan 105</p><p>　　[Huawei-Gi

71、gabitEthernet0/0/2]</p><p>　　[Huawei-GigabitEthernet0/0/2]ping 172.16.105</p><p>　　PING 172.16.105.2: 56 data bytes, press CTRL_C to break</p><p>　　Reply from 172.16.105.2: bytes=5

72、6 Sequence=1 ttl=255 time=80 ms</p><p>　　Reply from 172.16.105.2: bytes=56 Sequence=2 ttl=255 time=30 ms</p><p>　　Reply from 172.16.105.2: bytes=56 Sequence=3 ttl=255 time=60 ms</p><p

73、>　　Reply from 172.16.105.2: bytes=56 Sequence=4 ttl=255 time=60 ms</p><p>　　Reply from 172.16.105.2: bytes=56 Sequence=5 ttl=255 time=60 ms</p><p>　　[Huawei-GigabitEthernet0/0/2]q</p>

74、<p>　　[Huawei]vlan 114</p><p>　　[Huawei-vlan114]int vlan 114</p><p>　　[Huawei-Vlanif114]ip ad</p><p>　　[Huawei-Vlanif114]ip address 172</p><p>　　[Huawei-Vlanif114

75、]ip address 172.16.114.252 24</p><p>　　[Huawei-Vlanif114]int </p><p>　　[Huawei-Vlanif114]interface-parameter-type </p><p>　　[Huawei-Vlanif114]q</p><p>　　[Huawei]int g0

76、/0/5</p><p>　　[Huawei-GigabitEthernet0/0/5]po</p><p>　　[Huawei-GigabitEthernet0/0/5]port li</p><p>　　[Huawei-GigabitEthernet0/0/5]port link-t</p><p>　　[Huawei-Gigabi

77、tEthernet0/0/5]port link-type a</p><p>　　[Huawei-GigabitEthernet0/0/5]port link-type access </p><p>　　[Huawei-GigabitEthernet0/0/5]po</p><p>　　[Huawei-GigabitEthernet0/0/5]port de

78、</p><p>　　[Huawei-GigabitEthernet0/0/5]port default vlan </p><p>　　[Huawei-GigabitEthernet0/0/5]port default vlan 114</p><p>　　[Huawei-GigabitEthernet0/0/5]</p><p>　　[

79、Huawei-GigabitEthernet0/0/5]int g0/0/6</p><p>　　[Huawei-GigabitEthernet0/0/6]port link-type access</p><p>　　[Huawei-GigabitEthernet0/0/6]</p><p>　　[Huawei-GigabitEthernet0/0/6]port

80、default vlan 114</p><p>　　[Huawei-GigabitEthernet0/0/6]int g0/0/7</p><p>　　[Huawei-GigabitEthernet0/0/7]port link-type access</p><p>　　[Huawei-GigabitEthernet0/0/7]port default vlan

81、 114</p><p>　　[Huawei-GigabitEthernet0/0/7]</p><p>　　[Huawei-GigabitEthernet0/0/7]q</p><p>　　[Huawei]vlan 11</p><p>　　[Huawei-vlan11]int vlan11</p><p>　　[H

82、uawei-Vlanif11]ip add 17</p><p>　　[Huawei-Vlanif11]ip add 172.16.11.252 24</p><p>　　[Huawei-Vlanif11]</p><p>　　[Huawei-Vlanif11]q</p><p>　　[Huawei]int g0/0/4</p>

83、<p>　　[Huawei-GigabitEthernet0/0/4]po</p><p>　　[Huawei-GigabitEthernet0/0/4]port de</p><p>　　[Huawei-GigabitEthernet0/0/4]port li</p><p>　　[Huawei-GigabitEthernet0/0/4]port

84、 link-t</p><p>　　[Huawei-GigabitEthernet0/0/4]port link-type a</p><p>　　[Huawei-GigabitEthernet0/0/4]port link-type access </p><p>　　[Huawei-GigabitEthernet0/0/4]po</p>&l

85、t;p>　　[Huawei-GigabitEthernet0/0/4]port de</p><p>　　[Huawei-GigabitEthernet0/0/4]port default vlan 11</p><p>　　[Huawei-GigabitEthernet0/0/4]</p><p>　　[Huawei-GigabitEthernet0/0/

86、4]ping 172.16.114.252</p><p>　　PING 172.16.114.252: 56 data bytes, press CTRL_C to break</p><p>　　Reply from 172.16.114.252: bytes=56 Sequence=1 ttl=255 time=20 ms</p><p>　　Reply f

87、rom 172.16.114.252: bytes=56 Sequence=2 ttl=255 time=1 ms</p><p>　　Reply from 172.16.114.252: bytes=56 Sequence=3 ttl=255 time=20 ms</p><p>　　Reply from 172.16.114.252: bytes=56 Sequence=4 ttl=2

88、55 time=1 ms</p><p>　　Reply from 172.16.114.252: bytes=56 Sequence=5 ttl=255 time=1 ms</p><p>　　[Huawei-GigabitEthernet0/0/4]ping 172.16.11.252</p><p>　　PING 172.16.11.252: 56 data

89、 bytes, press CTRL_C to break</p><p>　　Reply from 172.16.11.252: bytes=56 Sequence=1 ttl=255 time=1 ms</p><p>　　Reply from 172.16.11.252: bytes=56 Sequence=2 ttl=255 time=20 ms</p><p&

90、gt;　　Reply from 172.16.11.252: bytes=56 Sequence=3 ttl=255 time=1 ms</p><p>　　Reply from 172.16.11.252: bytes=56 Sequence=4 ttl=255 time=10 ms</p><p>　　Reply from 172.16.11.252: bytes=56 Sequenc

91、e=5 ttl=255 time=1 ms</p><p>　　[Huawei-GigabitEthernet0/0/4]q</p><p>　　[Huawei]ip rou</p><p>　　[Huawei]ip route</p><p>　　[Huawei]ip route-static 172.16.107.0 255.255.

92、255.0 172.16.105.2</p><p><b>　　[Huawei]</b></p><p><b>　　項目總結</b></p><p>　　本企業(yè)的整個網(wǎng)絡規(guī)劃與設計，結合以前的經(jīng)驗</p><p>　　兩個多禮拜的課程設計設計終于可以畫上一個句號了，但是現(xiàn)在回想起來做課程設計的整

93、個過程，其中有“苦”也有“甜”，在剛開始接受任務時覺得應該還好，可是實踐操作起來才深刻感受到什么叫“紙上談兵終覺淺”。課程設計不僅是對本門課程知識的一種檢驗，而且也是對自己能力的一種提高，課程設計是每一個大學生在大學生涯中都不可或缺的，它使我們在實踐中了 鞏固了所學的知識、在實踐中鍛煉自己的動手能力。下面我對整個課程設計的過程做一下簡單的總結。</p><p>　　第一，選題。選題是課程設計的開端，選擇恰當?shù)摹⒏?/p>

94、興趣的題目，這對于整個 設計是否能夠順利進行關系極大。好比走路，這開始的第一步是具有決定 意義的，第一步邁向何方，需要慎重考慮。 </p><p>　　第二，找資料了。查資料是做課程設計的前期準備工作，好的開端就相當于成功 了一半。</p><p>　　第三，動手實踐。一步步踏踏實實的做，會發(fā)現(xiàn)要做出其實并不是太難。</p><p>&

95、lt;b>　　參考文獻</b></p><p>　　[1] 石炎生，郭觀七 主編. 計算機網(wǎng)絡工程實用教程（第2版）.電子工業(yè)出版社. 2011.03</p><p>　　[2] 吳學毅.編 計算機網(wǎng)絡規(guī)劃與設計. 機械工業(yè)出版社 2009.04</p><p>　　[3]張寶通，《某（中小型）網(wǎng)絡設計方案實例》，ChinaITLab網(wǎng)校教研中心，