qq怎么修改密码-inputbox
2023年4月6日发(作者:4mp)
企业网网络设计与实施方案
1.绪论
1.1企业网的建设意义
企业网行业是21世纪的朝阳行业,是目前乃至以后发展潜力最大的行业之一。企
业网络指的是具有一定规模的网络系统,企业网构造应该为企业提供高效而经济的信息
传输和事务处理能力,以满足企业有序而高效的运行。同时它也是市场经济发展与激烈
市场竞争的产物,尤其是中小型企业网,顾客对产品的需求在不断向多样化、高质量、
高性能和价格合理的方向发展,更是随着经济的发展层出不穷,为应付瞬息万变的市场
需求,企业网络的建设必然向信息化发展。
企业网网络系统是一个非常庞大而复杂的系统,它不仅为现代化发展、综合信息管
理和办公自动化等一系列应用提供基本操作平台,而且能提供多种应用服务,使信息能
及时、准确地传送给各个系统。这种基于信息技术的分布式网络化企业,当一个企业内
部网络增加到一定数目时,而采用OSPF单区域规划将会导致一些难处理的麻烦,因此
如何科学的设计一个OSPF多区域规划企业网络系统是以后中小型企业的发展方向,
OSPF的这种将一个大型网络分成多个区域的的小网络,在单个区域内运行SPF计算,
有效的降低了计算频率,整个链路状态更新(LSU)负荷也相应的得到降低,从而让企业
进行更好的信息交互。
1.2企业网的发展趋势
目前国内有关中小型企业网的设计还是处于发展阶段,常用的企业网设计基本上可
以满足一般用户的要求,但是现有的企业网分散且不一致,甚至有些部门或分支机构在
单机上运行一些独立的应用,由于这些应用时分散决策和各自实施的结果,缺乏整体性
的设计,更没有统一的标准,因此在业务互相衔接的应用系统之间缺乏一致性,造成应
用水平低的结果;而且现有的中小型企业网大多数是基于RIP,单区域的OSPF路由技
术的网络设计,虽然许多功能已经基本实现,但是在性能和安全方面还有待提高[1]。
OSPF是一项链路状态路由技术,OSPF协议完成路由选择和路由交换的算法是最短
路径优先算法,在网络中,它虽然解决了RIP收敛时间长、频繁发生路由表更新信息、
没有网络延迟和链路成本等缺点,但是在一些大型的网络中,尤其是那些企业内单个区
域爆炸性增大到400个网络时将会发生一些难处理的麻烦。
(1)最短路径优先(SPF)算法的频繁计算——一个企业内有几百个网络分段组成的网
络发生变化是难免的,因此路由器将会接收到区域内新产生的每个路由选择的更新,从
而使得每一个路由器必须要用非常多的CPU周期来重新计算路由表,这无疑占用了网
络资源、降低了路由器使用的效率。
(2)大型路由表的出现——每台路由器需要为每个网络维持至少一个路由条目,比如
说在一个拥有400个网络的企业中,建设存在其他可选择路径的情况占这400个网络的
25%,路由表就至少会增加额外的100个条目[2]。
(3)大型链路状态表的出现——因为链路状态表包含网络的完整拓扑结构,所以,即
使路由没有被选入路由表,每台路由器都需要为区域内的每个网络维护一个条目,从而
将会产生非常大的链路状态表。
针对以上问题的出现,传统的单区域OSPF企业网的设计已经不再满足各个企业的
需求了,为了解决这些问题,OSPF被设计为可将大区域分成仍然能够交换路由选择信
息的多个较小的、更易于管理的区域,OSPF的这种将大型网络分成多个区域的能力被
称为结构化路由选择,这样的设计将许多内部路由选择的运作,比如计算数据库,限制
在一个区域内,这样就解决了单区域OSPF网络出现的问题,满足客户的实际需求。
1.3本文的主要内容
本文围绕高科通信技术有限公司企业网设计方案而展开,主要有以下内容:
(1)绪论介绍企业网建设的意义以及企业网的发展趋势。
(2)企业网关键技术分析介绍在本方案设计中所涉及的技术。
(3)概要设计主要包括企业网建设目标,现状分析,以及需求分析。
(4)网络详细设计根据需求分析给出的高科通信技术有限公司设计方案。
(5)工程实施包括设备配置以及综合布线方案。
2.企业网关键技术分析
2.1企业网技术分类
企业网是园区网络的一种,所用到的技术也是园区网中的技术,我们将这些实用
的技术分为交换技术,路由技术,企业网络远程接入技术。
(1)交换技术所谓交换技术是指用于二层帧转发而不用于IP路由转发的技术。
(2)路由技术路由技术是指通过相互连接的网络把信息从源地点移动到目标地点的
活动,一般来说,在路由过程中,信息至少会经过一个或多个中间节点。通常,人们会
把路由和交换进行对比,这主要是因为在普通用户看来两者所实现的功能是完全一样
的。其实,路由和交换之间的主要区别就是交换发生在OSI参考模型的第二层(数据链
路层),而路由发生在第三层,即网络层。这一区别决定了路由和交换在移动信息过程
中使用不同的控制信息,所以两者实现各自的功能的方式是不同的。
(3)远程接入技术远程接入技术可以分为专线接入和VPN远程接入[3]。专线接入指
利用DDN专线网络进行远端设备的连接,并且提供一系列安全措施,这种接入方式价
格比较高,一般用于对稳定性要求比较高的园区网中。VPN接入利用的是ISP公网,通
过VPN自身的安全性来保证数据传输的安全性,与专线接入相比价格相对较低廉。
2.2企业网中的交换技术
在企业网中使用的最多的技术就是交换技术,交换技术的成熟带动着企业网的发
展。而企业网是基于这个交换架构的网络,因此在交换式的网络中有众多技术VLAN、
TRUNK、DHCP、STP、ETHERCHANNEL等。下面分别讲述这些技术的应用。
(1)VLAN技术VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种逻辑广
播域,它能将处于不同物理网段的主机聚集到同一个广播域中,广播不会在VLAN之间
转发,而是被限制在各自的VLAN中。同时,VLAN可以分组设备,不同VLAN中的
设备相互不可见。从技术角度讲,VLAN的划分方法可以分为以下几种:
基于端口划分VLAN、基于MAC地址划分VLAN、基于网络层协议划分VLAN、基于
IP组播划分VLAN、根据子网划分VLAN、根据用户认证授权划分VLAN。
(2)TRUNK技术TRUNK技术是一种封装技术,它是一条点到点的链路,链路的
两端可以都是交换机,也可以是交换机和路由器,还可以是主机和交换机或路由器。
TRUNK主要功能就是仅通过一条链路就可以连接多个VLAN。
(3)DHCP技术DHCP(DynamicHostConfigurationProtocol)是RFC2131R定义的
TCP/IP标准协议,使用UDP协议进行数据报传递,使用67以及68号端口,客户端使
用68号端口向服务器发送信息,服务器使用67端口向客户端发送消息[4]。
(4)STP技术STP(spanning-treeProtocol)即生成树协议,当交换机发现拓扑中有环
时,会逻辑的阻塞一个或者更多的交换机端口来消除二层环路的技术,当网络拓扑发生
变化时,运行STP的交换机会自动重新配置他的端口以避免环路的产生或连接丢失[5]。
(5)EtherChannel即链路捆绑技术,通过对多个端口进行绑定,充分利用现有端口的
优势来增加可用带宽,可以聚合多条物理链路的逻辑链路,并且实现物理链路的负载均
衡,当链路中的某条物理链路故障时,可以快速重新分配负载,不中断业务,在增加带
宽的同时也增强了链路的可靠性。
2.3企业网中的路由技术
路由技术主要应用于核心层或者出口去其他的网络,连接出自己的园区的网络,在
经过接入路由器时根据IP包的目的地址,在路由器的路由表中查询,是否有前往目的
地的路由,如果有则根据路由条目来转发IP包,由于在企业网的核心层会使用2台核
心交换机做备份,则在此时可以通过路由技术——HSRP(CISCO专有的协议)或者
VRRP(国际通用的协议)来实现流量负载。通过这一技术可以大大的缓解核心层中设备使
用过于集中而备份设备出现闲置的情况,在企业存在分部的情况下,分部与总部需要互
相连通,那么动态路由协议OSPF则使用的比较广泛。下面分别对这两种技术做简单介
绍:
(1)VRRPVRRP(VirtualRouterRedundancyProtocol)虚拟路由冗余协议,是一种网
关冗余的协议,它通过在冗余网关之间共享协议和MAC地址,提供不间断的IP路径冗
余。一组参与VRRP的路由器为同一VRRP组。在VRRP组内,可以分别指定各路由
器的选举优先级,当VRRP进行选举时,首先比较选举优先级,优先级高者获胜成为
VRRP组的Master,失败者成为Backup。如果两个HSRPRouter具有相同的优先级,IP
地址大者获胜成为Master。Master周期性地发送Advertisement,Backup如果一定时间
内未收到Advertisement,认为MasterDown,进行新一轮的Master选举,同时,VRRP
组路由器不需手动配置抢占[6]。
(2)OSPFOSPF(OpenShortestPathFirst)即最短路径优先协议,是一项链路状态路
由技术,OSPF协议完成路由选择协议算法的两大功能:路径选择和路径交换。Internet
工程任务协会(IETF)在1988年开发了OSPF。其最近版本,OSPF版本2,在RFC2328
中进行了描述。OSPF是一种内部网关协议(IGP),也就是说它在属于同一自治系统的路
由器间发布路由选择信息。
2.4企业网远程接入技术
(1)NAT技术网络地址转化(NetAddressTranslations)是基于当前IPV4的状态下而
发展起来的一项技术,它可以使用一个公有地址或少量公有地址来实现多用户同时上
网,也可以利用NAT技术做一些安全性的管理,例如实现IP地址隐藏等[7]。
(2)VPN技术VPN的英文全称是“VirtualPrivateNetwork”即虚拟专用网络。顾名思
义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的
加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立
一条专有的通讯线路,就好比是架设了一条专线一样。
总部与分部之间建立VPN的远程连接,实现在Internet的公网上对于二者之间的私
有网络的连接,并且使用加密技术以保证数据在公网上传输的安全,不仅十分方便,而
且也是相当的实用。
3.概要设计
3.1网络设计目标
“功欲善其事,必先利其器”,高科通信技术有限公司深刻认识到业务要发展、必须
提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统,已
迫在眉睫。高科通信技术有限公司企业网主要建设一个企业信息系统,它以管理信息为
主体,连接生产、销售、维护、运营子系统,是一个面向公司的日常业务、立足生产、
面向社会,辅助领导决策的计算机信息网络系统。
本期项目的目标是建立如下系统:
(1)构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机
企业网。
(2)选用技术先进、具有容错能力的网络产品,在投资和条件允许的情况下也可采用
结构容错的方法。
(3)完全符合开放性规范,将业界优秀的产品集成于该综合网络平台之中。
(4)具有较好的可扩展性,为今后的网络扩容作好准备。
(5)采用OA办公,做到集数据、图像、声音三位一体,提高企业管理效率、降低企
业信息传递成本。
(6)整个公司计划采用10M光纤接入到运营商提供的Internet,公司统一一个出口,
便于控制网络安全。
(7)设备选型上必须在技术上具有先进性,通用性,且必须便于管理,维护。应具备
未来良好的可扩展性,可升级性,保护公司的投资;设备要在满足该项目的功能和性能
上还具有良好的性价比;设备在选型上要是拥有足够实力和市场份额的主流产品,同时
也要有好的售后服务。
3.2高科通信技术有限公司企业网现状分析
高科通信技术有限公司是一家集生产销售为一体的中小型企业,公司总部位于广东
白云区工业园区内,公司现有办公大楼、生产大楼、员工宿舍楼各一栋,其中办公大楼
5层,员工宿舍楼6层,生产大楼一层。办公大楼与员工宿舍相距500米。另外,在武
汉有一家分公司,主要为销售业务。公司下辖微机室、财务部、行政部、生产部、研发
部、后勤部、业务部、人力资源部、总裁办等部门,总部中心机房位于办公楼3楼。分
部具有信息部、财务部、行政部、后勤部、业务部、人力资源部等部门。
3.3网络设计需求分析
3.3.1信息点需求分析
根据企业的联网要求,可将整个网络分成以下几个部分:
总部设备管理中心:位于企业总部的中心机房,是整个企业网络设备管理的核心,
也是整个企业是否能够正常运作的关键。核心交换机,服务器,远程接入路由器,以及
Internet接入均属于总部设备管理中心,便于统一管理。
分部设备管理中心:对于一个分公司来讲,一个地区的网络管理和整个企业网络的
设备管理是一样的,只是相对总部来讲设备比较少,管理比较容易点而已。位于每个分
公司的中心机房,主要是实现办公业务和生产业务功能的路由器。
办公点:企业办公。
本企业网信息点统计结果如表3.1:
表3.1高科通信技术有限公司信息点统计
部门
地点
微机室财务部行政部生产部研发部后勤部业务部
人力资源
部
总裁办
总部180105
分部22220-3---
3.3.2网络功能需求分析
企业网为了方便对企业内部办公的信息交互和业务办理的管理,充分利用企业内部
资源,增强网络的可靠性和安全性,该网络的主要功能需求如下:
(1)全网用户都能通过边界路由器访问Internet。其中DNS地址为:172.16.22.22;
202.103.96.112。企业申请了一个公网地址:202.202.202.0/29。
(2)总部交换网络STP和HSRP网关备份要求。
(3)总部服务器和DHCP要求,总部和分部都应设置DHCP服务器分配IP地址。
(4)ACL访问控制要求:分部生产业务只能访问总部生产业务及总部服务器网段;
分部办公业务只能访问总部办公业务、总部服务器网段和上Internet。
(5)公司总部跟分部通过VPN进行互联,并能够通过OSPF互联总部与分部。
(6)保护公司内网不受攻击。
3.3.3可行性分析
(1)技术可行性
本设计所涉及的技术都是本人在蓝狐学习时所接触到的内容,其中的每一项技术经
过老师的讲解、自身的消化、以及反复的上机实验不断的提出问题,解决问题而得以掌
握的,所以我认为在技术上是可行的。
(2)经济可行性
目前中小型企业层出不穷,企业对网络化管理的需求也随着时代的进步而提高。因
此,市场对中小型企业网络的需求是很大,其工程实施后能将投资成本回收并且盈利,
并且维护起来也比较容易。
(3)操作可行性
本设计将详细的写出有关的操作事项,仅仅需要接入PC机,设置IP地址就可以连
入到企业网络中进行正常的日常办公,即使是一个不懂电脑知识的人也可以用,因此具
有操作简单、方便的特点。
(4)安全可行性
企业网的安全问题分为两个方面:一是企业内部业务分割与企业职工对某一业务的
访问权;二是接入Internet后企业内部数据的安全。解决前者主要是采用划分Vlan、访
问控制列表(ACL)等方法来区分各业务流以及企业员工的访问权限,而后者则主要是应
用防火墙技术来保证整个企业数据的安全性,防止非法的操作。总之,整个企业的安全
可靠性是比较好的。
4.网络详细设计
4.1网络设计技术选型
现在的企业网络存在着多种技术,不过就目前来说最主要的是有三种技术:以太网
(Ethernet);光纤分布式数据接口(FDDI);异步传输网络(ATM)。下面我们来分析这三种
主流技术的优缺点,然后在选择一种我们认为比较合适的企业网技术。
(1)以太网
以太网(Ethernet)又分为标准以太网,快速以太网和千兆以太网技术,下面分别对这
三种以太网加以介绍:
①标准以太网
标准以太网是三种以太网中吞吐量最小的一种,为10Mbps。是最早期的以太网标
准,采用双绞线或者同轴电缆为传输介质。使用CSMA/CD访问控制方法来避免链路
冲突[8]。
②快速以太网
快速以太网实际上是10Mbps以太网的100Mbps版本,所以它的运行速度要比10M
白皮书以太网快10倍。在用户已经很熟悉传统以太网的情况下,快速以太网相对其他
高速网络技术更容易被掌握和接受。快速以太网与传统以太网技术相比还具备以下优
点:
快速以太网和普通以太网同样遵循CSMA/CD协议,现有的10baseT网络设备可
以相当简单地升级到快速以太网,保护用户原有的投资。
100BaseT集线器和网络接口卡,只要比10BaseT同样的设备多花少量费用就可提
供比普通以太网高10倍的性能,因此100BaseT具备更高的性价比
③千兆以太网
千兆以太网是相当成功的10Mbps以太网和100Mbps快速以太网连接标准的扩展,
支持CSMA/CD协议、全双工、流控制和由IEEE802.3标准定义的管理项目,千兆位以
太网将使用所有这些规范[9]。
总之,千兆以太网与以前我们了解的以太网相同,所不同的是仅仅比快速以太网快
十倍和它与当前的高带宽需求应用程序相协调的额外特性。
(2)光纤分布式数据接口
光纤分布式数据接口是一种是用光纤作为传输介质的,高速的,通用的环形网络,
它能以100Mbps的速率跨长达100Km的距离,连接多达500个设备,既可用于城域网
络,也可以用于小范围局域网。FDDI采用令牌传递的方式解决共享信道冲突问题,与
共享式以太网CSMA/CD的效率相比在理论上要稍高一点,然而FDDI与以太网一样,
其本质仍是介质共享、连接的网络,这就意味着仍然不能提供服务质量,保证更高的带
宽利用率。在少量站点通讯的网络环境中,它可达到比共享以太网稍高的通讯效率,但
随着站点的增多,效率会急剧下降,这是侯无论从性能和价格都无法与交换式以太网,
ATM网相比,交换式FDDI会提高介质共享效率,但同交换式以太网一样,这一提高也
是有限的,不能解决本质问题[10]。
(3)异步传输模式(ATM)
ATM是目前网络发展的新技术,它采用基于信元的异步传输模式和虚电路结构,
根本上解决了多媒体的实时性及带宽问题,实现面向虚链路的点到点传输,它通常提供
155Mbps的带宽,它既汲取了话务通讯中电路交换的“有连接”服务和服务质量保证,又
保持了以太网,FDDI等传统网络中带宽可变,适于突发性传输的灵活性,从而成为迄
今为止使用范围最广,技术最先进,传输效果最理想的网络互联手段[11]。
ATM技术具有如下特点:实现网络传输的链接服务,实现服务质量(QoS);交换吞
吐量大,带宽利用率高,具有灵活的组网拓扑结构和负载均衡能力,伸缩性,可靠性极
高:ATM是现今唯一一个可同时用于局域网、广域网两种网络应用领域的网络技术,
它将局域网与广域网技术统一。
由以上三种国园区网络各自特点的介绍,再结合大中型园区网络的具体情况,因此
选择采用以太网技术中的快速以太网结构,即千兆到主干,百兆接入桌面的交换式快速
以太网技术。
4.2拓扑结构选型
网络拓扑结构是指网络中的各节点之间互联的构型,不同拓扑结构的网络其信道的
访问技术,利用率以及信息的延迟,吞吐量,设备开销等各不相同,因此分别用于不同
规模,不同用途的场合,其中现在企业网中所用到的拓扑结构有以下三类,下面分别介
绍其各自的特点:
(1)星形拓扑结构
星形拓扑结构是最古老的一种连接方式,我们每天都是用的电话属于这种结构,如
图4.1所示。其中,电话网的星形结构,为目前使用最普通的以太网星形结构,处于中
心位置的网络设备称为集线器。
这种结构便于集中控制,因为端用户之间的通信必须经过中心站,由于这一特点,
也带来了易于维护和安全等优点。端用户因为故障而停机时也不会影响其他端用户间
图4.1星型拓扑
的通信但这种结构非常不利的一点是,中心系统必须具有极高的可靠性,因为中心系统
一旦损坏,整个系统便趋于瘫痪。对此中心系统通常采用双机热备份,以提高系统的可
靠性。
(2)环形拓扑结构
图4.2环形拓扑
环形拓扑结构在企业网中使用较多,这种结构的传输媒体从一个端用户到另一个端
用户,直到将所有端用户连成环形。如图4.2所示。这种结构鲜而易见消除了端用户通
信时对中心系统的依赖性。
环形结构的特点是,每个端用户都与两个相临的端用户相连,因而存在着点到点
链接路,但总是以单向方式操作。
(3)总线拓扑结构
总线结构是使用同一媒体或电缆连接所有端用户的一种方式,也就是说,连接端用
户的物理媒体所有设备共享。如图4.3所示。使用这种结构必须解决的一个问题是确保
端用户使用媒体发送数据时不能出现冲突。在点到点链路配置时,这是相当简单的。如
果这条链路是半双工操作,只需要简单的机制便可保证两个端用户轮流工作。在一点到
多点方式中,对线路的访问依靠控制端的探询来确定。然而,在园区网环境下,由于所
有数据站都是平等的,不能采取上述机制。对此研究了一种在总线共享型网络使用的媒
体访问方法,带有碰撞检测的载波侦听多路访问,即CSMA/CD。
图4.3总线型拓扑
分析以上三种常见网络拓扑各自特点,因此选择以星型拓扑结构为基础,吸取总线
型拓扑的部分优点,以增加冗余结构的网络拓扑。
4.3主干网设计
4.3.1设计目标
企业网的主干网主要用来实现数据的高速稳定的转发,是企业网中的核心。子网之
间的通信,企业总部与分部之间的通信都要靠主干网来实现路由转发。随着时代的发展,
古老的80/20数据模型已经远远跟不上企业的需求,取而代之的20/80的数据模型,即
20%的数据在本地,而80%的数据在远程,同时企业内部子网之间的通信数据流量也是
非常大的,因此对企业主干网的要求不仅是可靠性要高,还必须做到高带宽,实现数据
的高速传输与高速转发。
4.3.2主干网解决方案
(1)链路选型
为了实现数据在企业网内部能够高速的转发而实现数据的低延迟转发,在接入层采
用百兆链路到桌面,在这种要求下,对于一个24口交换机而言,上行最大流量为
100*24*2=4800M,从网络的可扩展性考虑,企业网汇聚层与核心层之间应该采用万兆
链路比较适宜。
(2)主干网路由解决方案
在企业网中对路由协议的选择一般可以选择RIP和OSPF这两种[12],RIP是一中距
离矢量路由协议,根据到目标地址的跳数多少来选择路由,每30s发送一次路由更新,
有最大15跳限制。OSPF是一种链路状态协议,根据链路的带宽来选择到达目标地址的
路由,只有在拓扑结构发生变化时才会发送链路状态更新消息,没有最大跳数限制,具
有区域的概念。在高科通信技术有限公司网络设计方案中采用OSPF作为主干网的路由
协议。总部核心层交换机防火墙和边界路由器组成主干区域Area0。
(3)总部与分部互联解决方案
在本方案中高科通信技术有限公司总部与分部通过VPN互联,并且采用能封装组
播数据包的GRE协议作为VPN的封装协议。
4.4子网设计
(1)办公子网设计
办公子网分布在和分部的办公大楼内,接入层交换机通过Trunk链路分别与两台核
心层交换机相连。属于同一部门的信息点划分到同一个VLAN内,在总部各部门之间的
通信使用SVI三层逻辑接口作为相应VLAN的网关,在核心层使用VRRP技术实现网关
的冗余,从而增加网络的可靠性。在接入层与核心层之间采用了环形拓扑设计,为了避
免二层环路,在核心层与接入层之间部署STP。两台核心层交换机分别为根网桥和备份
根网桥。
(2)宿舍楼子网设计
宿舍楼子网主要业务是对Internet的访问,由于距离中心机房较远,宿舍楼子网采
用三层结构,接入层交换机接入到汇聚层交换机上,汇聚层交换机通过光纤链路连接到
中心机房核心层交换机上,宿舍楼内每个宿舍属于同一个VLAN,通过汇聚层上SVI接
口实现VLAN之间的通信,汇聚层通过三层接口与核心层相连,在汇聚层上有默认路由
来实现接入层设备到核心层从而访问Internet的路由。
(3)分部办公子网设计
企业分部主要业务为实现办公自动化,邮件,Internet访问。企业分部相同的部门
划分到同一个VLAN中,VLAN之间的通信可以由单臂路由技术实现,边界路由器接入到
Internet中,同时配置一条默认路由指向外网,供分部访问Internet的路由。
(4)网管子网设计
当网络建设完成后,所有的网络设备应该是可以进行管理的。在本设计方案中为了
能对网络中所有的设备进行方便统一的管理,所有的设备均配置网络管理地址。对于不
能启用三层接口的二层设备网管接口采用SVI接口,三层设备配置Loopback接口作为网
管接口。除了Console口从其余接口登录设备均采用AAA认证,并对操作行为进行审
计。
(5)总部与分部VLAN的划分
在本方案中对VLAN的划分采用基于端口的划分方式,相同的部门划分到相同的
VLAN内,表4.1与表4.2分别列出了总部与分部VLAN的划分方案。
表4.1总部vlan划分方案
部门Vlan号/Vlan名称信息点数
微机室2/weijs10
财务部3/caiwb20
行政部4/xingzb20
生产部5/shengcb100
研发部6/yanfb30
后勤部7/houqb10
业务部8/yewb80
人力资源部9/renlzyb10
总裁办10/zongcb5
会议室11/huiys20
服务器20/fuwq10
网管55/wangg不占物理接口
Ospf互联vlan901/hul不占物理接口
表4.2分部vlan划分方案
部门Vlan号/vlan名称信息点数
微机室2/weijs2
财务部3/caiwb2
行政部4/xingzb2
销售部5/xiaosb20
后勤部6/houqb3
网管22/wangg不占用物理接口
4.5网络安全设计
4.5.1DHCP存在的威胁分析及解决方案
(1)DHCP服务器冒充
由于DHCP服务器和客户端之间没有认证机制,所以如果在网络上随意添加一台
DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数,该安全威胁引起的后
果轻则用户终端获取到不一致的IP信息,造成终端之间通信的问题,重则用户终端获取
不到不安全的IP信息,造成中间人攻击或者网络钓鱼[13]。
(2)DHCPServer的拒绝服务攻击
攻击者不断发DHCP请求把DHCPServer上合法的IP地址都申请完,让其“下班”此
时再由黑客冒充DHCPServer为整个网络分配错误的IP地址,使网络不能与外界通信。
(3)解决方案
面对以上威胁,可以部署DHCPSnooping技术来解决。DHCPSnooping是一种功能
非常强大的保证DHCP服务安全部署的机制,通过在开启DHCPSnooping功能的交换机
上定义Trust端口和Untrust端口来实现对DHCPServer冒充防范和攻击。同时,并非所
有来自Untrust端口的DHCP请求都被允许通过,交换机还可以比较封装DHCP客户机的
硬件地址(即CHADDR字段),只有这两者相同的请求报文才会被转发,否则将被丢弃,
这样就防止了DHCP地址耗尽攻击。
4.5.2STP高级特性部署
(1)根保护
根保护(RootGuard)是基于端口配置的,并且不允许该端口成为一个STP的根端口,
设置了根保护的端口如果收到一个更优的新BPDU,它将把本端口设置为
Root-inconslisten状态,该状态下不会收发数据。不会成为根端口,只会监听BPDU,当
交换机拿开后这个端口又会正常收敛[14]。
在对设备配置时,所有的接入层端口全部配置STP根保护特性。
(2)Loopguard
在企业网的接入层和分布层的非指定端口(边缘端口除外)部署Loopguard保护特性,
配置了Loopguard特性的端口在BPDU丢失持续20秒后变为Loop-inconsistent状态,该
端口被Blocking来防止循环的形成,并保持在非指定端口角色。
4.5.3总部与分部互联安全性部署
在本方案中分部与总部互联采用GREVPN来实现总部与分部的互联,GRE可以支持
组播,这种情况下总部与分部可以通过OSPF动态路由协议来实现总部与分部之间的路
由。然而,GRE协议本身不安全,他不对数据进行加密,这样,攻击者就可以在Internet
上截获企业的数据信息。为了增强总部与分部互联的安全性,在GRE的基础上部署IPSEC
即GREoverIPSEC。
4.5.4边界安全设计
企业网边界是企业网内部通向Internet的必经之地,同时Internet上的数据也是从企
业网边界进入到企业网的内部,Internet上存在着太多的不安全因素,因此,边界的安
全系数决定着企业网的安全性。为了确保网络的安全性,通常的做法是部署防火墙,在
防火墙上配置策略拒绝所有的非法流量,只允许合法流量进入到企业网的内部。所谓非
法流量,防火墙拒绝通过的流量。下面分析本企业网中的合法流量。
(1)所有目标端口为80的流量即Internet上访问企业网站的流量;
(2)分部访问总部的流量分部对总部服务器和相关业务访问的流量;
(3)OSPF流量包括OSPF链路更新和Hello消息流量。
4.5.5ACL访问控制设计
在企业网内部,财务部除了总裁办和财务部成员可以访问,其余部门不能对财务部
进行访问,在总部和分部都可以通过ACL访问控制列表来实现。另外应该保证只有特定
的用户能对设备进行远程登录,在高科通信有限公司企业网中只有属于微机室子网用户
能够对设备进行Telnet操作。
4.6对Internet访问的实现
在高科通信技术有限公司企业网建设过程中有对Internet访问的需求,为了节约IP
地址,由于企业内部在同一时间内会有多人要对Internet进行访问,NAT技术不能很好
的满足这种需求,在本设计中采用PAT技术来实现企业网内部对Internet的访问。
4.7设备选型
设备选型原则:
(1)代表目前网络系统设备的先进水平;
(2)具备较强的安全性;
(3)具备优良的RAS性能—可靠性、安全性、可维护性;
(4)具备优良的可扩充性和升级能力;
(5)具备优良的性价比。
基于以上的设备选型原则,表4.3列出了设计的设备选型方案。
表4.3设备选型
设备位置设备名称优点设备数量
核心层—核心交换机
Cisco
WS-C6509-E
转发速率快,设备稳定
可靠
2
汇聚层—汇聚层交换机
Cisco
WS-C3560-24TS-S
具有12个千兆位以太
网SFP端口,支持单
模及多模光纤
2
核心层—防火墙CiscoPIX525
基于标准的虚拟专网、
自适应安全算法、静态
故障切换/热备用
2
接入层—接入层交换机Cisco可以实现堆叠,以保证16
WS-C2950-24TC-L端口数量足够的多
边界路由器Cisco2811
具有入侵保护防火墙
功能
2
4.8网络拓扑结构设计
高科通信技术有限公司企业网由办公子网、宿舍楼子网、服务器区、路由区以及分
部子网构成,拓扑结构如图4.4所示。办公子网主要承载公司日常办公业务,接入层交
换机直接接到公司的核心交换机上。宿舍楼子网通过两台汇聚层交换机连接到公司核心
层交换机上。服务器区为公司的服务器群,提供FTP、DNS、WEB等服务。路由区为
提供全网路由,由宿舍楼汇聚层,核心层,防火墙以及所有边界路由器组成。分部子网
主要承载分部办公业务,通过单臂路由技术来实现部门之间和对Internet的访问。
4.9IP地址规划
4.9.1IP地址需求分析
(1)所有可能接PC的信息点;
(2)所有服务器;
(3)网络中的所有三层链路;
(4)所有设备的网络管理地址;
(5)本网IP地址使用私有地址172.16.0.0/16地址块进行划分。
图4.4高科通信技术有限公司拓扑图
4.9.2IP地址规划原则
(1)唯一性应该保证全网不存在相同的IP地址
(2)按子网划分相同子网的设备的IP应该划分在同一个网段内
(3)可扩展性预留一定的IP地址空间供网络扩展用
(4)最大汇总原则全网IP可以汇总成一个或较少的几个IP网段
(5)实意性使IP地址具有实际的含义,看到IP地址就知道他的用途
4.9.3IP地址规划方案
本网采用先地区后业务划分方法进行IP地址分配。按照172.16.地区位(3位)业务
位(2位)子网位(3位).子网位(1位)主机位规则对IP地址进行划分,表4.4-表4.8列出了
具体的IP地址规划方案:
表4.4地区位代码表
地区位代码地区Ip地址段
0骨干172.16.0.0/19
1骨干(预留)172.16.32.0/19
2总部172.16.64.0/19
3总部(预留)172.16.96.0/19
4分公司1172.16.128.0/19
表4.5业务功能代码表
业务功能位代码业务
0
三层设备Loopback地址
1
链路地址
2
二层交换机网管地址
3
办公业务
表4.6链路及loopback接口IP地址分配表
设备接口Ip对端设备对端接口对端ip
S1Loopback0172.16.0.1/32---
S1Vlan900172.16.8.1/30S2Vlan900172.16.8.2/30
S1F0/1172.16.8.5/30S3F0/1172.16.8.6/30
S1F0/0172.16.8.9/30FW1E1172.16.8.10/30
S2Loopback0172.16.0.2/32---
S2F0/0172.16.8.13/30S4F0/0172.16.8.14/30
S2F0/1172.16.8.17/30FW2E0172.16.8.18/30
S3Loopback0172.16.0.3/32---
SW4Loopback0172.16.0.4/32---
FW1
管理地址
172.16.0.5/32---
FW1E2172.16.8.21/30R1E0/0172.16.8.22/30
FW2E2172.16.8.25/30R1E0/1172.16.8.26/30
R1Loopback0172.16.0.6/32---
R1Tunnel0172.16.8.29/30R2Tunnel0172.16.8.30/30
R2Loopback0172.16.64.1/32---
表4.7总部VlanIP地址分配表
Vlan号IP地址范围网关
2172.16.56.128-172.16.56.255/25172.16.56.129/25
3172.16.57.128-172.16.57.255/25172.16.57.129/25
4172.16.57.1-172.16.57.127/25172.16.57.1/25
5172.16.56.1-172.16.56.127/25172.16.56.129/25
6172.16.58.1-172.16.58.127/25172.16.58.1/25
7172.16.58.128-172.16.56.255/25172.16.58.129/25
8172.16.59.1-172.16.59.127/25172.16.59.1/25
9172.16.59.128-172.16.59.255/25172.16.59.129/25
10172.16.60.1-172.16.60.127/25172.16.60.1/25
11172.16.60.128-172.16.60.255/25172.16.60.129/25
20172.16.61.1-172.16.61.128/25172.16.61.1/25
55172.16.48.0/21-
表4.8分部VlanIP地址分配表
Vlan号Ip地址范围网关
2172.16.152.0-172.16.152.127/25172.16.152.1/25
3172.16.152.128-172.16.152.255/25172.16.152.129/25
4172.16.153.0-172.16.153.127/25172.16.153.1/25
5172.16.153.128-172.16.153.255/25172.16.153.129/25
6172.16.154.0-172.16.154.127/25172.16.154.1/25
22172.16.144.0/21-
5.工程实施
5.1综合布线方案
5.1.1需求分析
高科通信技术有限公司总部园区内包括办公楼,宿舍楼和生产大楼各一栋,公司办
公大楼和宿舍楼的距离已经超过了双绞线布线的技术要求,因此采用光纤进行布线。
园区的综合布线系统是一个高标准的布线系统,水平系统和工作区采用超五类元
件,主干采用光纤,构成主干千兆以太网。不仅能满足现有数据、语音、图像等信息传
输的要求,也为今后的发展奠定基础。整个企业网共有信息点500个左右,公司总部公
有信息点400左右,分公司有100个左右。针对以上要求,对计算机内网综合布线系统
提出自己的解决方案。
建筑群间的光缆采用OT-T的多模光纤系统。大楼内布线采用AVAYA的超五类双
绞线结构化布线结构。
5.1.2综合布线系统结构
综合布线系统部分结构如图5.1所示:
图5.1综合布线系统结构图
根据综合布线国际标准ISO11801的定义,综合布线系统可由以下子系统组成:
(1)工作区子系统(WorkAreaSubsystem)
工作区子系统由信息插座延伸至用户终端设备的布线组成,包括信息插座和相应的
连接软线[15]。用户能方便地把计算机、电话、传真等不同的终端设备接入大楼的通信网
络系统。
(2)水平干线子系统(HorizontalSubsystem)
水平布线子系统由楼层配线间延伸至信息插座的布线组成,通常可采用超五类双绞
线,我们这里采用的是超五类双绞线,也可采用光缆以满足高传输带宽应用或长传输距
离的要求。水平布线提供大楼网络通信系统到用户终端设备的信息传输[16]。
(3)垂直干线子系统(RiserBackbonesubsystem)
垂直干线子系统也称骨干(RiserBackbone)子系统,它是整个建筑物综合布线系统的
一部分。它提供建筑物的干线电缆,负责连接管理间子系统到设备间子系统的子系统,
我们使用光缆来连接管理间子系统和设备间子系统。
(4)管理间子系统(Administrationsubsystem)
管理间子系统由交连、互连和I/O组成。管理间为连接其它子系统提供手段,它是
连接垂直干线子系统和水平干线子系统的设备,其主要设备是配线架、HUB和机柜、
电源。
(5)建筑群子系统(BuildingBackboneSubsystem)
建筑群子系统由大楼配线间延伸至各楼层配线间的布线组成。该子系统亦包括各配
线间的配线架,跳接线等。采用的线缆是超五类双绞线。大楼配线间和楼层配线间通常
也用于放置网络设备和其他有源设备。建筑群子系统提供大楼内通信网络信息交换的主
干通道。
(6)设备间子系统(EquipmentSubsystem)
设备间子系统也称设备子系统,设备间子系统由电缆、连接器和相关支撑硬件组成。
它把各种公共系统设备的多种不同设备互连起来,其中包括邮电部门的光缆、同轴电缆、
程控交换机等。
5.1.3综合布线系统总体设计
为了满足高科通信技术有限公司将来灵活组网的需要,在公司总部办公楼、分公司
等建筑物内各设有配线间。整个园区设备间机房安置在总部办公大楼的4楼,各分公司
的设备间机放安置在各分公司的一楼。
为充分满足公司内部及对外高速高容量信息通信的需要,系统采用高速高容量的多
模光纤作为园区的网络主干。
建筑物内采用先进的超五类非屏蔽布线系统。
根据技术规范,选用高性能UTP非屏蔽系统,传输参数可达到200MHz,通道传
输性能在200MHz时ACR>3dB,250MHz时ACR>0dB,通道传输性能不低于招标技
术要求所附性能参数表的要求。因此,本方案建议采用AVAYA超五类UTP产品,其
传输带宽可达200MHZ以上,可靠支持新的千兆以太网、2.4GbpsATM及高达550MHZ
的宽带语音应用,为今后新的高速网络应用留有充足的性能余量。
5.1.4在施工中注意事项
(1)仔细查阅其它专业的施工图纸
在施工前,必须仔细查阅其他专业的施工图纸,尤其是土建结构施工图、水、电、
通风施工图。因为水平路由的长短将会对设计的等级有一定的影响,而土建结构施工图、
水、电、通风施工图对水平布线子系统管线路由的走向影响最大。在审图时,建议用比
例尺在图纸上认真测量,为水平布线子系统找出最合理的路由走向,这样既节省水平线
缆的长度,又避免与其他专业管路发生冲突,由于电气专业管线不可避免的要与其他各
专业管路交叉重叠,发生矛盾的现象,给土建专业带来地面超高等问题。综合布线一般
由专业公司负责安装调试,施工方仅做管路预埋、线缆敷设,如果在施工中敷衍了事,
不遵循“管线路由最短”的原则,就会增加水平布线子系统管线的长度,不利于提高综合
布线系统的通信能力、不利于通信系统的稳定性、不利于通信传输速率的提高。
(2)建议在施工中应满足设计余量
因为在实际施工中,不可能使水平线缆一直保持直线路由,所以实际安装中,需要
的线缆总会比图纸上统计的量大的多,这就需要电气工程师考虑一定的余量。余量的计
算方法是将一张平面图纸上离配线架最远的信息点的线缆图纸长度(图纸上用比例尺量
出的长度),和最近的信息点的线缆图纸长度相加,除以2,得出得数值为信息点的平均
图纸长度,取平均长度的30%作为余量,否则就会造成不必要的材料浪费或不足。
(3)采用质量可靠的管路和线缆
在大多数设计中,水平布线子系统是被设计在吊顶、墙体或底板内的,所以可以认
为水平子系统是不可更改、永久的系统。在安装中,应尽量使用性能优良、质量可靠的
管路和线缆,保证用户日后不破坏建筑结构。
(4)严格遵守综合布线系统规范
良好的安装质量,可以使水平布线子系统在其工作周期内,始终保证良好工作状态
和稳定的工作性能,尤其对于高性能的通信线缆和光纤,安装质量的好坏对系统的开通
影响尤其显著,因此在安装线缆中,要严格遵守EIA/TIA569规范标准。
(5)选材标准必须一致
综合布线系统所选用的线缆、信息插座、跳线、连接线等部件,必须与选择的类型
一致,如选用超5类标准,则线缆、信息插座、跳线、连接线等部件必须为超5类;如
系统采用屏蔽措施,则系统选用的所有部件均为屏蔽部件,只有这样才能保证系统屏蔽
效果,达到整个系统的设计性能指标。
5.2服务器的配置
5.2.1FTP的配置
(1)安装IIS
进入“控制面板”——双击“添加或删除程序”——单击“添加/删除Windows组
件”——在“组件”列表框中,双击“应用程序服务器”——双击“Internet信息服务
(IIS)”——从中选择“万维网服务”——双击“万维网服务”,从中选择“ActiveServer
Pages”及“万维网服务”等。
(2)配置FTP服务器
打开IIS服务器选择FTP站点,右击“网站”,在弹出菜单中选择“新建→网站”,打
开“网站创建向导”。依次输入站点描述,IP地址和端口设置,用户隔离,站点主目录,
站点访问权限最后完成[17]。
5.2.2WEB服务器的搭建
(1)安装IIS,万维网服务
(2.)在“开始”菜单中选择“管理工具→Internet信息服务(IIS)管理器”——在“Internet
信息服务(IIS)管理器”中双击“本地计算机”。
(3)右击“网站”,在弹出菜单中选择“新建→网站”,打开“网站创建向导”。
(4)依次填写“网站描述”、“IP地址”、“端口号”、“路径”和“网站访问权限”等。最后,
为了便于访问还应设置默认文档(、)。
5.2.3DNS的搭建
进入“控制面板”——双击“添加或删除程序”——单击“添加/删除Windows组
件”——在“组件”列表框中,双击“网络服务”-双击“域名系统DNS”按照提示配置DNS,
创建正向和反向区域。
5.3网络设备配置
(1)接入层交换机的配置
Vlan的配置:
Switch(config)#vlan10//创建vlan10
Switch(vlan)#namewangg//将vlan10命名为wangg
Access接口设置:
Switch(config)#interfacefa0/0
Switch(config-if)#switchportmodeaccess//将f0/0设置为access模式
Switch(config-if)#switchportaccessvlan10//将f0/0划入到vlan10中
Trunk口配置:接口f0/1与汇聚层交换机相连,应该设置为trunk口
Switch(config)#interfacefa0/1
Switch(config-if)#switchportmodetrunk//将接口设置为trunk
Switch(config-if)#switchporttrunkencapsulationdot1q//设置为trunk封装格式
(2)汇聚层交换机的配置
Svi接口的配置:在汇聚层使用svi接口进行vlan间的通信,下面给出简要配置:
Switch(config)#interfacevlan10//创建vlan10的svi接口
Switch(config-if)#ipaddress172.16.10.2255.255.255.0//设置ip地址
HSRP配置:为了实现网关冗余,在汇聚层以及核心层交换机上部署HSRP,其中奇
数vlan的主网关在同一台交换机上,偶数vlan的主网关在另外的交换机上。
Switch(config-if)#standy10ip172.16.10.1//创建HSRP组10并设置虚拟
ip
Switch(config-if)#standy10priority120//设置优先级为120
Switch(config-if)#standy10preempt//设置可以抢占
Switch(config-if)#standy10trackf0/1230//设置上行链路跟踪
STP的配置:配置汇聚层交换机为根网桥和备份根网桥
Switch(config)#spanning-treevlan10priority0
//设置该交换机为vlan10的根网桥
OSPF配置:为了解决公司主干网路由,在汇聚层交换机上以及核心层交换机上运
行ospf,动态学习路由,为了保证安全性以及节省带宽,所有不需要形成邻居的接口都
设置为被动接口。同时所有链路类型设置为点对点链路[18]。
Switch(config)#iprouting//在交换机上启用路由功能
Switch(config)#routerospf1//创建ospf进程1
Switch(router)#router-id172.16.0.1//设置router-id
Switch(router)#network172.16.0.10.0.0.0area0//通告172.16.0.1
Switch(router)#passive-interfacedefault//将所有接口设置为被动接口
Switch(router)#nopassive-interfacevlan901//将形成邻居的接口设置为非被动接口
Switch(config)#interfacevlan901
Switch(config-if)#ipospfnetworkpoint-to-point//设置接口类型为点对点
ACL配置:配置只有总裁办可以访问财务部
Switch(config)#access-list101permitip172.16.15.00.0.0.128172.16.18.00.0.0.255
//创建访问控制列表
Switch(config)#interfacevlan16
Switch(config-if)#access-group101in//将访问控制列表绑定到接口的in方向上
(3)边界边界路由器的配置
NAT的配置:为了实现企业内部对Internet的访问以及企业外部访问公司WEB
网站,特在公司边界路由器上部署静态NAT和PAT。静态NAT用来实现外部对公司
WEB服务的访问,PAT实现公司内部访问Internet[19]。
Router(config)
#interfaceEthernet1/0
ipnatinside
interfaceEthernet1/1
ipnatinside
interfaceE0/1
ipnatoutside
access-list100permitip172.16.4.00.0.63.255any
ipnatinsidesourcelist100interfaceE0/1overload
默认路由设置:为公司内部访问Internet提供路由,下一条设置为路由器的出接口
E0/1,配置命令如下:
Router(config)#iproute0.0.0.00.0.0.0E0/1
VPN的配置:本方案中采用VPN与分部互联,总部的公网地址为172.1.1.2分部的
公网地址为172.1.2.2。为了实现总部与分部之间的OSPF互通,总部路由器与分部路由
器能够形成邻居,总部与分部之间VPN技术选型为GRE,由于GRE不具有安全性,为
了增强安全性,在GRE的基础上部署IPSEC,即GREoverIPSEC。配置命令如下[20]。
Router(config)#
interfaceTunnel0//创建gre接口
ipaddress172.16.8.25255.255.255.252
tunnelmodegreip//设置接口模式
tunnelsource172.1.1.2
tunneldestination172.1.2.2
cryptoisakmpenable//部署ipsec
cryptoisakmppolicy10//配置ipsec阶段一策略集
encryption3des
hashsha
authenticationpre-share
group2
lifetime86400
exit
cryptoisakmpidentityaddress
cryptoisakmpkey0bluefoxaddress172.1.2.2//配置密钥
cryptoipsectransform-sett20esp-3desesp-sha-hmac//配置第二阶段策略集
modetransport
access-list102permitgrehost172.1.1.2host172.1.2.2//设置感兴趣流量
cryptomapp110ipsec-isakmp//创建加密图
setpeer172.1.2.2
settransform-sett10
matchaddress102
exit
结束语
经过数月的构思与设计,在老师和同学的帮助下,终于完成了对高科通信技术有限公司企业网
的设计。在本设计方案中,综合了常见的园区网中二级和三级网络结构,主干网采用双星型拓扑结
构进行设计,具有较高的可靠性。在方案设计中核心层还担当着汇聚层的角色,为了在核心层实现
网关冗余备份的同时又能通过运行OSPF交换路由信息,在两个核心层交换机之间各创建了一个互联
VLAN。这种方式在实现需求的同时也节省了设备的物理接口。
然而本设计方案也存在着很多不足的地方,在网络边界部署了两台防火墙,通过FAILOVER技术增
强网络可靠性的同时也增加了网络的造价。另外企业分部与总部采用VPN技术互联,价格低廉,由于
设备对数据包进行加解密需要耗费大量的资源,在数据包过多的情况下会影响网络的可靠性。
参考文献
[1]雷震甲.网络工程师教程[M].北京:清华大学出版社,2008:120-132.
[2]王磊.网络安全与管理[M].北京:清华大学出版社,2009:10-22.
[3]李海涛.IP网络动态路由协议分析[D].成都:四川大学.2004.
[4]谢希仁.计算机网络[M].大连:大连理工大学出版社,2004:208-329.
[5]gProtocolsandConcepts[M].HongKong:Posts&TelecomPublishing,2007:121-187.
[6]lf-Study[M].HongKong:Post&TelecomPublishing,2004:165.
[7](美)学习指南[M].北京:人民邮电出版社.2009:83-95.
[8]赵昭灵,杨宇燕,郭云飞,董雨果.主动网络路由器及其应用[J].计算机工程与应用,2003,15(33):15-32.
[9]刘克俭,余镇危,程忠庆.应用层主动网络服务位置与路由算法[J].计算机工程,2003,18(07):16-75.
[10]张伟.中小企业网络组织及其治理分析[D].南昌:江西财经大学.2007.
[11]祝晓明.中小型企业的网络规划与设计[J].大众科技,2009,2009(07):200-202.
[12]丁涛.企业网络的边界效应分析[D].西安:西北大学.2007.
[13]姜宏伟.中小规模学校校园网建设的规划与研究[D].吉林:吉林大学.2006.
[14]王达.实战企业VLAN网络的配置[J].电子世界,2003,21(10):18-19.
[15](美)网络设计解决方案[M].北京:人民邮电出版社,2004:10
[16](美)rst,SPF命令与配置手册[M].北京:人民邮电出版社
2003:15-56.
[17]姚维,李斌.路由器安全策略[M].北京:人民邮电出版社,2008:29-31.
[18]陈鸣.网络工程设计教程系统系统集成方法(第2版)[M].北京:机械工业出版社,2009:50-63.
[19]陈鸣,常强林,岳振军.计算机网络实验教程:从原理到实践[M].北京:机械工业出版社,2007:30-32
[20](美)FarazShamimZaheerAziz,路由协议疑难解析[M].北京:人民邮电
出版社,2008:10-15.
致谢
经过很长一段时间的构思和设计,我顺利的完成了此次毕业设计和论文撰写。在这次毕业论文
设计中,首先要感谢我的指导老师——***老师,无论是论文的写作还是网络设计,他总是耐心的不
厌其烦的给我指导和纠正,同时他严谨的思维和严格的要求更是让我在今后的学习和工作中受益匪
浅。
通过毕业设计我学到了很多新知识,个人能力有了很大的提高。在设计中经常遇到种种困难与
挫折,在这种情况下,指导老师不但给予我很多的鼓励,而且在设计上提出了很多正确的建议和善
意的批评。再一次衷心的感谢***老师给予我的帮助,感谢他在百忙之中为我的设计进行指导!在毕
业设计遇到其他困难的时候,很多同学都帮助过我,在此由衷的说声谢谢你们了。
最后,感谢所有在我大学学习中帮助过我的领导、老师和同学们,祝他们工作顺利,身体健康,
万事如意!
更多推荐
企业网络
发布评论