企业局域网方案

目 录

第1章 绪论........................................ 错误！未定义书签。

1.1

1.2 研究背景及研究意义......................... 错误！未定义书签。 研究现状.................................................... 1

1.2.1 国外研究现状.............................................. 1

1.2.2 国内研究现状.............................................. 1

1.3

1.4 研究的主要内容.............................................. 2 本文的组织.................................................. 2

第2章 相关技术和概念 .......................................... 3

2.1 OSPF协议（开放式最短路径优先协议） ................... 3

2.2 VLAN技术（虚拟局域网） .................................. 4

2.3 ACL技术（访问控制列表） ................................ 5

第3章 局域网需求分析 .......................................... 7

3.1 局域网设计概述 ............................................ 7

3.2 局域网设计要求 ............................................ 7

3.3 网络设计拓扑图 ................................................ 8

3.4 局域网设计用例描述 ............................................ 8

3.4.1 用例列表.................................................. 8

3.4.2 用例描述.................................................. 9

第4章 局域网整体设计.............................................. 12

4.1 局域网核心层设计 ............................................. 12

4.2 局域网汇聚层设计 ............................................. 12

4.3 局域网接入层设计 ............................................. 13

4.4 局域网IP地址划分及VLAN规划 ................................. 14

4.4.1 VLAN规划 ................................................ 14

4.4.2 IP地址划分 .............................................. 14

4.5 局域网路由协议选择 ........................................... 15

第5章 局域网详细设计.............................................. 17

5.1 局域网行政模块详细设计 ....................................... 17

5.1.1 设计概述................................................. 17

5.1.2 配置命令................................................. 17

5.2 局域网教学模块详细设计 ....................................... 20

5.2.1 设计概述................................................. 20

5.2.2 配置命令................................................. 20

5.3 局域网考试中心详细设计 ....................................... 22

5.3.1 设计概述................................................. 22

5.3.2 配置命令................................................. 23

5.4 局域网XX总部详细设计 ........................................ 25

5.4.1 设计概述................................................. 25

5.4.2 配置命令................................................. 25

5.5 局域网安全设计 ............................................... 27

5.5.1 设计概述................................................. 27

5.5.2 配置命令................................................. 27

第6章 局域网测试与实现............................................ 29

6.1 局域网部分功能测试及实现 ..................................... 29

第7章 总结........................................................ 31

7.1 总结 ......................................................... 31

本次课题中该局域网设计遵循的结构是社会上绝大多数网络建设所使用的三层网络结构，即：接入层、集散层和核心层三层设计。所使用的模拟软件为小凡网络模拟软件以及CRT模拟器，模拟的设备ios选定为思科3640ios，制作网络拓扑图的工具为Visio 2007。

1.1 研究现状

1.1.1 国外研究现状

世界上第一个具有现代意义的计算机网络是美国国防部高级研究计划局于1969年建成的用于军事研究的ARPANET，当时仅连接了4台计算机。ARPANET为计算机网络技术的产生和发展奠定了基础，它所运用的一系列理论和技术成为当代计算机网络建设的支柱。

INTERNET是一个世界范围的计算机网络，它建于1982年，目前已延伸到世界上150多个国家。到1994年底，已有2000万以上的用户在使用这一网络系统。1993-1994年间，INTERNET的用户数量以每月%25的速度递增，目前仅美国每天仍有1000多个新用户继续加入INTERNET网络。

1990年，美国大约拥有100万个互联计算机局域网，到1994年，这一数字已增加到500万左右。1993年美国并入局域网的PC约占全部商用PC的70%。

欧美的发达国家的企业在局域网建设走的比较早，随着网络技术的不断进步以及通讯产品技术的不断完善，现在的欧美发达国家企业局域网完全达到办公自动化，而且带宽大，速度快，超过一半以上的企业都有自己的网站，成为对外联络的主要窗口，企业内部网络安全等级很高。

1.1.2 国内研究现状

截至2010年12月，有94.8%的中小企业配备了电脑，无电脑的中小企业仅占5.2%。有92.7%的中国中小企业 的接入了互联网，已经达到了一个相当高的水平。通过不同规模中小企业的互联网接入比例可以看出，规模较小企业中互联网接入比例相对较低，规模较大的企业中互联网的接入比例已经接近100%。

中国中小企业互联网接入比例达到一个较高水平的原因，主要是两方面的原因：

1、国家政策推动。国家和政府对于企业信息化的重视，以及大力推进工业化和信息化融合的举措，对于中国中小企业互联网接入水平大幅提升起到了积极的促进作用。一方面让中小企业认识到了互联网的价值，另一方面从政策上保障了中小企业能够很便捷地享受互联网服务。

2、市场机会牵引。随着个人互联网普及率不断快速提升，以及商业互联网

的快速发展，互联网对于中小企业的价值不断提升，互联网中市场机会不断增加。这些不断增加的市场机会，也牵引着中国中小企业纷纷加快对互联网的利用。

在我国，企业局域网建设近些年来由了长足的发展，但和欧美发达国家的企业局域网相比还有着明显的不足，主要体现在：

(1)低水平重复建设且成本高昂：各部门拥有相对独立的信息系统，资源分散于各部门之中，容易形成信息孤岛。

(2)安全漏洞和系统风险大：各部门拥有相对独立的信息系统，不但系统复杂度高，而且核心数据全部分布于本地，对系统的安全性提出了较高的要求。

(3)管理信息和反馈信息不能迅速传递：随着企业的发展，数据信息流不断增大，对各部门管理提出了快速响应的要求。

针对以上不足，我国企业局域网需要迎头赶上，奋起直追。

1.2 研究的主要内容

本文主要研究的是运用所学知识，为网络培训公司设计公司局域网。该局域网主要分为三个模块，分别为行政模块、教学模块和考试中心。

行政模块由三个部门组成，分别是行政部、人事部和财务部。其中，行政部门负责公司的日常业务运作；人事部门负责的是与各个部门的沟通与交流，即教学模块、考试中心和北京总部只与人事部保持通信状态；财务部负责的是公司的财务状况，因其涉及公司机密，所以行政模块的财务部除了与北京总部进行通信以外，不和其他模块进行连接交流。

教学模块由两个教室组成，分别是网络教室和Linux教室。它们负责公司的培训业务，与行政模块的人事部进行沟通联系。

考试中心是认证部门在该公司设立的一个考试认证点，人们可以在此经过考试，如果通过将获得该认证部门颁发的官方认证证书。因为确保其保密性，考试中心只与行政模块的人事部进行联系，并且只赋予其查看的权限，不赋予其他权限。

1.3 本文的组织

本文介绍了网络培训公司局域网的分析、设计与实现。全文分为七个章节。

第一章主要介绍的是局域网的研究背景、意义和内容；第二章主要介绍的是网络培训公司局域网的设计与实现所使用到的技术及其概念；第三章主要介绍的是该公司局域网的需求分析设计，包括其所需的功能、拓扑以及预算等等；第四章主要介绍的是该公司局域网的整体设计，包括其IP地址的划分以及VLAN的规划、路由协议的选择以及网络接入层、集散层和核心层的设计；第五章主要介绍的是

该公司局域网的详细设计，包括其三个模块的设计、搭建以及实现，局域网的优化设计以及安全设计；第六章主要介绍的是该公司局域网的测试及实现记录；第七章是本文的总结，主要介绍的是设计该公司局域网事所遇到的技术问题以及有待完善的功能。最后是设计该公司局域网时用到参考文献和个人的致谢词。

第2章 相关技术和概念

2.1 OSPF协议（开放式最短路径优先协议）

OSPF(Open Shortest Path First)，又称开放式最短路径优先协议，是一个内部网关协议，用于在单一自治系统内决策路由。与RIP相比，OSPF是链路状态路由协议，而RIP是距离矢量路由协议。OSPF的协议管理距离（AD）是110。

OSPF路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域内。在这里，路由域是指一个自治系统（Autonomous System），即AS，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中，所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。

作为一种链路状态的路由协议，OSPF将链路状态广播数据LSA（Link State Advertisement）传送给在某一区域内的所有路由器，这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。

OSPF协议主要有6类网络类型，分别为1、2、3、4、5、7类。其中，类型1是Router LSA，即每个路由器都将产生Router LSA，这种LSA只在本区域内传播，描述了路由器所有的链路和接口，状态和开销；类型2是Network LSA，即在每个多路访问网络中，DR都会产生这种Network LSA，它只在产生这条Network LSA的区域泛洪描述了所有和它相连的路由器（包括DR本身）；类型3是Network Summary LSA，即由ABR路由器始发，用于通告该区域外部的目的地址。当其他的路由器收到来自ABR的Network Summary LSA以后，它不会运行SPF算法，它只简单的加上到达那个ABR的开销和Network Summary LSA中包含的开销；类型4是ASBR Summary LSA，即由ABR发出，ASBR汇总LSA除了所通告的目的地是一个ASBR而不是一个网络外；类型5是AS External LSA，即发自ASBR路由器，用来通告到达OSPF自主系统外部的目的地，或者OSPF自主系统那个外部的缺省路由的LSA.这种LSA将在全AS内的泛洪（4个特殊区域除外）；类型7是NSSA External LSA，即来自非完全Stub区域（not-so-stubby area）内ASBR路由器始发的LSA通告它只在NSSA区域内的泛洪，这是与类型5的区别。

本文认为OSPF协议主要有七个优点，分别为：

1、OSPF是真正的LOOP- FREE（无路由自环）路由协议。这是源自其算法本身的优点。（链路状态及最短路径树算法）

2、OSPF收敛速度快：能够在最短的时间内将路由变化传递到整个自治系统。

3、提出区域（area）划分的概念，将自治系统划分为不同区域后，通过区域之间的对路由信息的摘要，大大减少了需传递的路由信息数量。也使得路由信息不会随着网络规模的扩大而急剧膨胀。

4、将协议自身的开销控制到最小。理由如下：

1）用于发现和维护邻居关系的是定期发送的是不含路由信息的hello报文，规模较小。包含路由信息的报文时是触发更新的机制。（有路由变化时才会发送）。但为了增强协议的健壮性，每1800秒全部重发一次。

2）在广播网络中，使用组播地址（而非广播）发送报文，减少对其它不运行OSPF 的网络设备的干扰。

3）在各类可以多址访问的网络中，通过选举DR，使同网段的路由器之间的路由交换次数较少。

4）提出STUB区域的概念，使得STUB区域内不再传播引入的ASE路由。

5）在ABR（区域边界路由器）上支持路由聚合，进一步减少区域间的路由信息传递。

6）在点到点接口类型中，通过配置，使得OSPF不再定时发送hello报文及定期更新路由信息。只在网络拓扑真正变化时才发送更新信息。

5、通过严格划分路由的级别（共分四极），提供更可信的路由选择。

6、良好的安全性，OSPF支持基于接口的明文及md5 验证。

7、OSPF适应各种规模的网络，最多可达数千台。

2.2 VLAN技术（虚拟局域网）

VLAN（Virtual Local Area Network）的中文名为虚拟局域网，是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。

VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。

VLAN有很多种划分的方法，本文主要研究的是根据端口来划分VLAN成员，被设定的端口都在同一个广播域中。例如：一个交换机的1，2，3，4，5端口被

定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。 以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一种方式。

本文认为VLAN技术主要有六个优点，分别为:

1、广播风暴防范：通过限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。

2、安全性高：不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。如此变可增强局域网的安全性，从而降低泄露机密信息的可能性。

3、成本降低：成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。

4、性能提高：将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。

5、提高网络工程师工作效率：VLAN为网络管理带来了方便，因为有相似网络需求的用户将共享同一个VLAN。

6、增加了网络连接的灵活性：借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。

2.3 ACL技术（访问控制列表）

ACL（Access Control List）,又称为访问控制列表，是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对网络中的某一种访问进行控制。

目前的ACL技术主要分为两种，即标准的ACL和拓展的ACL。他们的区别主要有三点：1.标准的ACL使用 1 -99 以及1300-1999之间的数字作为表号，扩展的ACL使用 100 - 199以及2000-2699之间的数字作为表号。2.标准ACL可以阻止来自某一网络的所有通

信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。3.扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。

本文认为ACL技术主要有三个优点，分别为:

1、ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。

2、ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

3、ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

第3章 局域网需求分析

3.1 局域网设计概述

该公司局域网是为了实现公司内部一系列需求所设计建立的。除了维护公司日常运作需求之外，争取在资金允许范围内提高网络运行效率，同时加强其安全策略，尽可能的出现安全漏洞。

为了进行更好的沟通与交流，人事部门可与远在北京的公司总部进行通信联系，同时人事部门也可以与各个教室和考试中心中的考试机子进行通信联系。同时，为了维护其机密性，人事部门只有对教室和考试中心进行查看的权限，并没有其他诸如修改、删除等权限。

为了维护公司财务的机密性，公司的财务部门将不与任何模块进行沟通联系。不过，为了防止公司财务部内部人员违规操作，赋予北京总部对财务部门查看的权限，没有添加、修改、删除等权限。

3.2 局域网设计要求

该公司局域网设计要求如下：

1、实用性：网络建设从应用实际需求出发，如果对现有网络升级改造，还应该充分考虑如何利用现有资源，尽量发挥设备效益。

2、适度先进性：规划局域网，不但要满足用户当前的需要，还应该有一定技术前瞻性和用户需求预见性，考虑到能够满足未来几年内用户对网络功能和带宽的需要。采用成熟的先进技术，兼顾未来的发展趋势，即量力而行，又适当超前，留有发展余地。

3、经济性：要求价格适中，设备及耗材要求采用质量过硬，物美价廉，投资预算不超过20万。

4、安全可靠性：确保网络可靠运行，在网络的关键部分应具有容错能力，提供公共网络连接、通信链路、服务器等全方位的安全管理系统。

5、开放性：采用国际标准通信协议、标准操作系统、标准网管软件、采用符合标准的设备，保证整个系统具有开放特点。

6、可扩展性：系统便于扩展，保证前期的投资的有效性与后期投资的连续性

7、安全保密性：为了保证网上信息的安全和各种应用系统的安全，在规划时就要为局域网考虑一个周全的安全保密方案。

3.3 网络设计拓扑图

图3.3.1公司局域网网络设计拓扑图

3.4 局域网设计用例描述

3.4.1 用例列表

表3.4.1用例列表

3.4.2 用例描述

行政部门

表3.4.2.行政部门用例描述表

人事部门

表3.4.3人事部门用例描述表

财务部门

表3.4.4财务部门用例描述表

网络教室

表3.4.5网络教室用例描述表

Linux教室

表3.4.6 Linux教室用例描述表

考试中心PC机

表3.4.7 考试中心PC机用例描述表

XX总部

表3.4.8 XX总部用例描述表

第4章 局域网整体设计

4.1 局域网核心层设计

核心层作为整个网络系统的核心，其主要功能是高速、可靠的进行数据交换。 核心交换区的作用是尽快地提供所有的区域间的数据交换。核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。

因受到模拟器的局限，本文将使用1台思科3640路由器完成此设计。它提供带集成永续性的出色控制，将永续性集成到硬件和软件中，缩短了网络停运时间。

4.2 局域网汇聚层设计

汇聚层是楼群或小区的信息汇聚点,是连接接入层和核心层的网络设备,为接入层提供数据的汇聚、传输、管理、分发处理。汇聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由服务,认证管理等。通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层。同时汇聚层也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定。

汇聚层的功能主要是连接接入层节点和核心层中心。汇聚层设计为连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。

因受到模拟器的局限，本文将使用4台思科3750交换机以及3台思科3640路由器来完成此设计。

思科3750 系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。这个新的产品系列采用了最新的技术，不但实现高达32Gbps 的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统--就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。

对于中型企业网络来说， 思科 3750 系列通过提供配置灵活性、支持融合网络模式及自动进行智能网络服务配置，简化了融合应用的部署，并可针对不断变化的业务需求进行调整。此外，思科 3750 系列针对高密度千兆位以太网部署

进行了优化，包括多种交换机，以满足接入、汇聚或小型网络骨干连接需求。

4.3 局域网接入层设计

接入层通常指网络中直接面向用户连接或访问的部分。接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。接入交换机是最常见的交换机，它直接与外网联系，使用最广泛，尤其是在一般办公室、小型机房和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心等部门。在传输速度上，现代接入交换机大都提供多个具有10M/100M/1000M自适应能力的端口。

在核心层和汇聚层的设计中主要考虑的是网络性能和功能性要高，那么我们在接入层设计上主张使用性能价格比高的设备。接入层是最终用户(教师、学生) 与网络的接口，它应该提供即插即用的特性，同时应该非常易于使用和维护。当然我们也应该考虑端口密度的问题。

因受到模拟器的局限，本文将试用4台思科2960交换机完成此设计。思科 2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强LAN 服务。Catalyst 2960 系列具有集成安全特性，包括网络准入控制(NAC)、高级服务质量(QOS)和永续性，可为网络边缘提供智能服务。凭借思科 2960系列提供的广泛安全特性，企业可保护重要信息，防止未授权人员接入网络，确保私密性及维持不间断运行。

图4.3.1 公司局域网拓扑图

4.4 局域网IP地址划分及VLAN规划

4.4.1 VLAN规划

在本文第二章中已经详细的阐述了VLAN的定义、作用以及它的有点，在此就不准备重复了。

在本文研究的公司局域网中，将划分成7个VLAN区域， VLAN的规划分布表如下所示：

表4.4.1 VLAN规划分布表

4.4.2 IP地址划分

在本文研究的公司局域网中将分成三个模块7个部门，另外还有北京总部的人事部，即总共为8哥部门。因此，本文将根据IP地址划分的原则，对此8个部门进行IP地址的划分，其IP地址划分表如下所示：

表4.4.2 IP地址划分表

4.5 局域网路由协议选择

为达到路由快速收敛、寻址以及方便网络管理员管理的目的，本文研究的公司局域网将采用动态路由协议，目前较好的动态路由协议是OSPF 协议和EIGRP 协议。OSPF 以协议标准化强，支持厂家多，受到广泛应用，而EIGRP 协议由Cisco 公司发明，只有Cisco 公司自己的产品支持，属于私有性质，其他厂商设备是不支持的。考虑到网络的扩展性、数据资源的保护等原因，本文将选择OSPF 路由协议规划公司内部局域网，而与北京总部的通信将试用EIGRP和BGP协议。

OSPF 协议采用链路状态协议算法，每个路由器维护一个相同的链路状态数据库，保存整个AS 的拓扑结构（AS 不划分情况下）。一旦每个路由器有了完整的链路状态数据库，该路由器就可以自己为根，构造最短路径树，然后再根据最短路径构造路由表。OSPF将整个AS 划分为若干个区域，区域内的路由器维护一个相同的链路状态数据库，保存该区域的拓扑结构。OSPF 路由器相互间交换信息，但交换的信息不是路由，而是链路状态。

EIGRP协议，即增强型网关内部路由线路协议。也翻译为加强型内部网关路由协议。EIGRP是Cisco公司的私有协议。Cisco公司是该协议的发明者和唯一具备该协议解释和修改权的厂商。 EIGRP结合了链路状态和距离矢量型路由选择协议的Cisco专用协议，采用弥散修正算法（DUAL）来实现快速收敛，可以不发送定期的路由更新信息以减少带宽的占用，支持IP、Novell和NetWare等多种网络层协议。

BGP协议是一种在自治系统之间动态交换路由信息的路由协议。一个自治系统的经典定义是在一个管理机构控制之下的一组路由器，它使用IGP和普通度量值向其他自治系统转发报文。

在BGP中使用自治系统这个术语是为了强调这样一个事实：一个自治系统的管理对于其他自治系统而言是提供一个统一的内部选路计划，它为那些通过它可以到达的网络提供了一个一致的描述。

在本文研究的公司局域网中，路由协议的选择及配置如下表所示：

表4.5 路由协议规划表

第5章 局域网详细设计

5.1 局域网行政模块详细设计

5.1.1 设计概述

局域网行政模块为本文研究的公司局域网三大模块之一，主要负责公司日常的工作业务。该行政模块下属三个部门，分别为行政部、人事部以及财务部。其中，作为负责沟通与交流的人事部，它将可以和另外两个模块进行ICMP通信，同时也可以和在北京的公司总部进行ICMP通信。不过，人事部门只拥有浏览的权限，并没有添加、修改和删除等权限。另外，作为负责公司财务业务的财务部，任何模块中的任何部门都没有权限对其进行浏览、添加、修改、删除等操作。而为了防止公司财务部内部人员违规操作，将单独允许北京的公司总部与财务部进行ICMP通信。最后，行政模块选择OSPF路由协议，它们是该OSPF协议上的区域1。

5.1.2 配置命令

行政模块各部门的IP地址划分及VLAN规划的配置命令如下图所示：

图5.1.1 行政模块各部门IP地址划分

图5.1.2 行政模块各部门VLAN规划

行政模块与核心层链接的配置命令如下图所示：

图5.1.3 行政模块路由器IP地址划分

图5.1.4 核心层路由器IP地址划分

行政模块进行OSPF路由协议的配置命令如下图所示：

图5.1.5 行政模块路由器上OSPF路由协议配置

图5.1.6 核心层路由器上OSPF路由协议配置

人事部门与教学模块进行ICMP通信的配置命令如下图所示：

图5.1.7 人事部门与网络教室进行通信配置

图5.1.8 人事部门与Linux教室进行通信配置

人事部门与考试中心进行ICMP通信的配置命令如下图所示：

图5.1.9 人事部门与考试中心PC 1进行通信配置

图5.1.10 人事部门与考试中心PC 2进行通信配置

人事部门与XX总部进行ICMP通信的配置命令如下图所示：

图5.1.11 人事部门与北京总部进行通信配置

财务部门只允许与北京总部进行ICMP通信的配置命令如下图所示：

图5.1.12 财务部门与北京总部进行通信配置

5.2 局域网教学模块详细设计 5.2.1 设计概述

局域网教学模块为本文研究的公司局域网三大模块之一，主要负责公司的技能认证培训。该教学模块下属两间教室，分别为网络教室、Linux教室。两间教室面对广大学员，分别对其进行网络技能和Linux技能的培训。两间教室作为独立的教室，并不能互相的进行通信、远程等等，均和行政模块中的人事部门建立ICMP通信。最后，教学模块选择OSPF路由协议，它们是该OSPF协议上的区域2。

5.2.2 配置命令

教学模块各教室的IP地址划分及VLAN规划的配置命令如下图所示：

图5.2.1 教学模块各教室IP地址划分

图5.2.2 教学模块各教室VLAN规划

教学模块与核心层链接的配置命令如下图所示：

图5.2.3 教学模块路由器IP地址划分

图5.2.4 核心路由器IP地址划分

教学模块进行OSPF路由协议的配置命令如下图所示：

图5.2.5 教学模块路由器上OSPF路由协议配置

图5.2.6 核心层路由器上OSPF路由协议配置

网络教室与人事部门进行ICMP通信的配置命令如下图所示：

图5.2.7网络教室与人事部门进行通信配置

Linux教室与人事部门进行ICMP通信的配置命令如下图所示：

图5.2.8 Linux教室与人事部门进行通信配置

5.3 局域网考试中心详细设计

5.3.1 设计概述

局域网考试中心为本文研究的公司局域网三大模块之一，主要负责公司的技能认证考试。该考试中心下分别有两台考试机器，面对广大考生。由于技能认证考试的保密性和安全性，两台机器并不能互相的进行通信、远程等等，也不能和任何模块进行联系并且不能连接广域网。均从行政模块中的人事部门进行ICMP通信，接收考试信息转发。最后，考试中心选择OSPF路由协议，它们是该OSPF协议上的区域3。

5.3.2 配置命令

考试中心各考试机的IP地址划分及VLAN规划的配置命令如下图所示：

图5.3.1 考试中心各考试机IP地址划分

图5.3.2 考试中心各考试机VLAN规划

考试中心与核心层链接的配置命令如下图所示：

图5.3.3 考试中心路由器IP地址划分

图5.3.4 核心路由器IP地址划分

考试中心进行OSPF路由协议的配置命令如下图所示：

图5.3.5 考试中心路由器上OSPF路由协议配置

图5.3.6 核心层路由器上OSPF路由协议配置

考试中心PC1与人事部门进行ICMP通信的配置命令如下图所示：

图5.3.7考试中心PC 1与人事部门进行通信配置

考试中心PC2与人事部门进行ICMP通信的配置命令如下图所示：

图5.3.8 人事部门与考试中心PC 2进行通信配置

5.4 局域网XX总部详细设计

5.4.1 设计概述

局域网XX总部为本文研究的公司局域网的一个部分，它是该培训公司的总部所在。因其地域的特殊性，故能和行政模块中的人事部门进行ICMP通信，并且允许和行政模块中的财务部门进行ICMP通信。最后，XX总部选择EIGRP路由协议，它们是该EIGRP协议上的AS 1。同时，因为相隔距离较远，故将试用边界路由协议，即BGP路由协议。

5.4.2 配置命令

XX总部IP地址划分的配置命令如下图所示：

图5.4.1 XX总部IP地址划分

XX总部与核心层链接的配置命令如下图所示：

图5.4.2 XX总部路由器IP地址划分

图5.4.3 核心路由器IP地址划分

XX总部进行EIGRP路由协议的配置命令如下图所示：

图5.4.4 XX总部路由器上EIGRP路由协议配置

图5.4.5 核心层路由器上EIGRP路由协议配置

XX总部进行BGP边界路由协议的配置命令如下图所示：

图5.4.6 XX总部路由器上BGP边界路由协议配置

图5.4.7 核心路由器上BGP边界路由协议配置

XX总部与人事部门进行ICMP通信的配置命令如下图所示：

图5.4.8 XX总部与人事部门进行通信配置

XX总部与财务部门进行ICMP通信的配置命令如下图所示：

图5.4.9 XX总部与财务部门进行通信配置

5.5 局域网安全设计

5.5.1 设计概述

本文研究认为公司网络的安全风险有以下3点：

1、公司网络与公网连接，可能遭到来自各地的越权访问，还可能遭到网络黑客的恶意攻击和计算机病毒的入侵。

2、内部的各个子网通过骨干交换相互连接，这样的话，某些重要的部门可能会遭到来自其它部门的越权访问。这些越权访问可能包括恶意攻击、误操作 等，据统计约有70％左右的攻击来自内部用户，相比外部攻击来说，内部用户具有更得天独厚的优势，但是无论怎样，结果都将导致重要信息的泄露或者网络的瘫痪。

3、设备的自身安全性也会直接关系到网络系统和各种网络应用的正常运转。例如，路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。重要服务器或操作系统自身存在安全的漏洞，如果管理员没有及时的发现并且进行修复，将会为网络的安全带来很多不安定的因素。重要服务器的当机或者重要数据的意外丢失，都将会造成公司日常办公无法进行。

5.5.2 配置命令

AAA认证登陆密码配置命令如下图所示

图5.5.2.1 AAA认证登陆

Telnet登陆以及特权模式密码配置命令如下图所示

图5.5.2.2 Telnet登陆以及特权模式密码设置

第6章 局域网测试与实现

6.1 局域网部分功能测试及实现

在该局域网设计并搭建完成后，对该局域网的每个功能都进行了全面的测试，并在测试过程中，对测出的问题进行了改正。由于本局域网那个功能较多，在此不一一列举测试过程，以下仅对一些主要的功能进行了测试过程的记录。

表6-1人事部门ICMP通信功能测试表

表6-2财务部门ICMP通信功能测试表

第7章 总结

7.1 总结

首先，本文是以现今流行的技能培训班式服务业业为背景，根据其中一个特定的中小型培训公司为蓝本所做的一个企业网络解决方案。网络整体采用的是Cisco三层架构，这个结构的优点是稳定性好、设备负载均衡、易扩展，并且网络故障排查也比较容易。无论各行各业在网络中的要求最重要的只有两个方面，分别是网络运行速度流畅和网络安全可靠性高。其中，网络最重要的是在网络安全方面，所以在本方案中我们采用VLAN技术和ACL技术作为内部网络的安全策略，主要是防止公司内部的非授权访问。而在内部网络与Internet之间我们则采用NAT技术，公司内部网络中的IP地址均没有权限登录Internet，只能通过地址池转换地址方可登录，该策略可以有效地控制数据进出。与此同时，每台设备上将会进行多种密文认证方式，如Telnet认证、密码认证等等。而在公司交换机中还将进行AAA认证方式，汇聚层中也将进行HSRP热备份，防止其数据的丢失。在此局域网中，各种网络安全技术相结合，使得网络更安全可靠。

组建一个高速、宽带、稳定、可靠，且能融合安全与保密等全新需求的企业局域网，是当前企业网络发展的趋势。受到当先社会的全球化影响，网络传输信息量日益剧增，高层交换机的研发和应用将会成为主流。这不仅可以极大地提高网络系统的数据分发、传输和交换能力与速率，还能够降低设备成本、简化网络管理、优化组网过程，使企业网络更加的高速、稳定，成为企业发展进步的一个助力。

由于对于很多新的技术和方法还不是很了解，本方案中还存在很多不足。首先，因为机器的价格问题，负担不起高额的机器费用，因此在本方案中是使用模拟器来实现其局域网的，这就缺少了一定的真实性，存在着一定的不确定性，毕竟根本不是真机，有的时候在模拟器上可行的方案在真机中却显示配置错误，这种情况并不少见。其次，该方案在实践起来有一定的不可行性。在本方案的网络拓朴图中可以发现，本公司的局域网用了6台路由器，这在真实的社会中是很少见的，多数的情况下在汇聚层上都会用三层的交换机起到代替路由器的功能，而在接入层中会采用较为低端的二层交换机设备，只有在核心层中才有可能会启用到核心路由器。在本方案中，因为受到模拟器的限制，只能运用一种ISO版本，因此无论在接入层和汇聚层中均采用了同样的网络设备，如果这在现实中是不太可能实现的，这会导致经费的大量增加，是不可取的。同时本方案为了着重体现该局域网三层和二层的应用与区别，因此导致了与现实不符的大量路由器出现。

参考文献

[1] 谢希仁.计算机网络（第五版）. 电子工业出版社, 2007.

[2] 拉莫尔著，程代伟译.CCNA学习指南640 -802（中文第六版）. 电子工业出版社,

2008.

[3] Richard Froom著, 田果，刘丹宁译.CCNP SWITCH 642-813（中文版）,人民邮电出

版社.2011.

[4] Diane Teare著，袁国忠译.CCNP ROUTE 642-902(中文版). 人民邮电出版社. 2011. [5] Amir Ranjbar著, 夏俊杰译.CCNP TSHOOT 642-832（中文版）. 人民邮电出版社,

2011.

[6] 齐治昌, 谭庆平, 宁洪. 软件工程[M]. 高等教育出版社, 2004

致 谢

都说时间犹如过眼云烟，转瞬即逝，仿佛昨日我们还在高考的压力下通宵达旦，可眨眼的时间，我的大学生涯已即将结束，快得甚至让人来不及细细品尝其中的酸甜苦辣。再过不久，我也将告别人生中最后一段的读书生涯，迈入崭新的一个阶段：在社会上去拼搏，去实现自己的价值。不可否认，2008年至2012年这四年时间是我人生的一个重要的里程碑，在中山大学南方学院的学习生涯是我心中一段美好的回忆。从初上大学时的青涩、茫然不知所措到如今的渐渐成熟，这四年的大学学习生活让我不断成长，精神层次提高了不止一个层次。在中山大学南方学院这四年生活中，我找到了属于自己的兴趣，也遇到了可以结交一生的朋友；在这里，有感受到成功的喜悦，也品尝过失败的苦涩；在这里，我明确了我自己未来的奋斗目标，并且一直在为这个目标而努力奋斗，在为我未来迈入社会进行工作的时候打下来坚实的基础。

在这里，我要特别感谢我的毕业指导老师----林川老师。在平常的学习生活中，您给我的非常多的关怀与指导，同时，对我本次的毕业设计要求严格，细心指导。您教会了我做人做事的态度及严谨性，您给予我的帮助我将铭记在心。同时，在生活中同样热爱乒乓球的您也和我们学生打成一片，真正起到了一个好的教师的带头作用。

感谢大学期间给我诸多教诲和帮助的南方学院的各位老师们，你们辛苦了！ 感谢我的所有同学朋友们，是你们让我的大学生活充满了快乐，谢谢你们四年来给予我的帮助！

感谢我的家人及亲戚们。感谢您们对我学业的支持及帮助，是你们辛勤的付出，才有今天的我！

最后，我会在今后的学习工作生活中，继续努力奋斗，不辜负你们对我的期望！

目 录

第1章 绪论........................................ 错误！未定义书签。

1.1

1.2 研究背景及研究意义......................... 错误！未定义书签。 研究现状.................................................... 1

1.2.1 国外研究现状.............................................. 1

1.2.2 国内研究现状.............................................. 1

1.3

1.4 研究的主要内容.............................................. 2 本文的组织.................................................. 2

第2章 相关技术和概念 .......................................... 3

2.1 OSPF协议（开放式最短路径优先协议） ................... 3

2.2 VLAN技术（虚拟局域网） .................................. 4

2.3 ACL技术（访问控制列表） ................................ 5

第3章 局域网需求分析 .......................................... 7

3.1 局域网设计概述 ............................................ 7

3.2 局域网设计要求 ............................................ 7

3.3 网络设计拓扑图 ................................................ 8

3.4 局域网设计用例描述 ............................................ 8

3.4.1 用例列表.................................................. 8

3.4.2 用例描述.................................................. 9

第4章 局域网整体设计.............................................. 12

4.1 局域网核心层设计 ............................................. 12

4.2 局域网汇聚层设计 ............................................. 12

4.3 局域网接入层设计 ............................................. 13

4.4 局域网IP地址划分及VLAN规划 ................................. 14

4.4.1 VLAN规划 ................................................ 14

4.4.2 IP地址划分 .............................................. 14

4.5 局域网路由协议选择 ........................................... 15

第5章 局域网详细设计.............................................. 17

5.1 局域网行政模块详细设计 ....................................... 17

5.1.1 设计概述................................................. 17

5.1.2 配置命令................................................. 17

5.2 局域网教学模块详细设计 ....................................... 20

5.2.1 设计概述................................................. 20

5.2.2 配置命令................................................. 20

5.3 局域网考试中心详细设计 ....................................... 22

5.3.1 设计概述................................................. 22

5.3.2 配置命令................................................. 23

5.4 局域网XX总部详细设计 ........................................ 25

5.4.1 设计概述................................................. 25

5.4.2 配置命令................................................. 25

5.5 局域网安全设计 ............................................... 27

5.5.1 设计概述................................................. 27

5.5.2 配置命令................................................. 27

第6章 局域网测试与实现............................................ 29

6.1 局域网部分功能测试及实现 ..................................... 29

第7章 总结........................................................ 31

7.1 总结 ......................................................... 31

本次课题中该局域网设计遵循的结构是社会上绝大多数网络建设所使用的三层网络结构，即：接入层、集散层和核心层三层设计。所使用的模拟软件为小凡网络模拟软件以及CRT模拟器，模拟的设备ios选定为思科3640ios，制作网络拓扑图的工具为Visio 2007。

1.1 研究现状

1.1.1 国外研究现状

世界上第一个具有现代意义的计算机网络是美国国防部高级研究计划局于1969年建成的用于军事研究的ARPANET，当时仅连接了4台计算机。ARPANET为计算机网络技术的产生和发展奠定了基础，它所运用的一系列理论和技术成为当代计算机网络建设的支柱。

INTERNET是一个世界范围的计算机网络，它建于1982年，目前已延伸到世界上150多个国家。到1994年底，已有2000万以上的用户在使用这一网络系统。1993-1994年间，INTERNET的用户数量以每月%25的速度递增，目前仅美国每天仍有1000多个新用户继续加入INTERNET网络。

1990年，美国大约拥有100万个互联计算机局域网，到1994年，这一数字已增加到500万左右。1993年美国并入局域网的PC约占全部商用PC的70%。

欧美的发达国家的企业在局域网建设走的比较早，随着网络技术的不断进步以及通讯产品技术的不断完善，现在的欧美发达国家企业局域网完全达到办公自动化，而且带宽大，速度快，超过一半以上的企业都有自己的网站，成为对外联络的主要窗口，企业内部网络安全等级很高。

1.1.2 国内研究现状

截至2010年12月，有94.8%的中小企业配备了电脑，无电脑的中小企业仅占5.2%。有92.7%的中国中小企业 的接入了互联网，已经达到了一个相当高的水平。通过不同规模中小企业的互联网接入比例可以看出，规模较小企业中互联网接入比例相对较低，规模较大的企业中互联网的接入比例已经接近100%。

中国中小企业互联网接入比例达到一个较高水平的原因，主要是两方面的原因：

1、国家政策推动。国家和政府对于企业信息化的重视，以及大力推进工业化和信息化融合的举措，对于中国中小企业互联网接入水平大幅提升起到了积极的促进作用。一方面让中小企业认识到了互联网的价值，另一方面从政策上保障了中小企业能够很便捷地享受互联网服务。

2、市场机会牵引。随着个人互联网普及率不断快速提升，以及商业互联网

的快速发展，互联网对于中小企业的价值不断提升，互联网中市场机会不断增加。这些不断增加的市场机会，也牵引着中国中小企业纷纷加快对互联网的利用。

在我国，企业局域网建设近些年来由了长足的发展，但和欧美发达国家的企业局域网相比还有着明显的不足，主要体现在：

(1)低水平重复建设且成本高昂：各部门拥有相对独立的信息系统，资源分散于各部门之中，容易形成信息孤岛。

(2)安全漏洞和系统风险大：各部门拥有相对独立的信息系统，不但系统复杂度高，而且核心数据全部分布于本地，对系统的安全性提出了较高的要求。

(3)管理信息和反馈信息不能迅速传递：随着企业的发展，数据信息流不断增大，对各部门管理提出了快速响应的要求。

针对以上不足，我国企业局域网需要迎头赶上，奋起直追。

1.2 研究的主要内容

本文主要研究的是运用所学知识，为网络培训公司设计公司局域网。该局域网主要分为三个模块，分别为行政模块、教学模块和考试中心。

行政模块由三个部门组成，分别是行政部、人事部和财务部。其中，行政部门负责公司的日常业务运作；人事部门负责的是与各个部门的沟通与交流，即教学模块、考试中心和北京总部只与人事部保持通信状态；财务部负责的是公司的财务状况，因其涉及公司机密，所以行政模块的财务部除了与北京总部进行通信以外，不和其他模块进行连接交流。

教学模块由两个教室组成，分别是网络教室和Linux教室。它们负责公司的培训业务，与行政模块的人事部进行沟通联系。

考试中心是认证部门在该公司设立的一个考试认证点，人们可以在此经过考试，如果通过将获得该认证部门颁发的官方认证证书。因为确保其保密性，考试中心只与行政模块的人事部进行联系，并且只赋予其查看的权限，不赋予其他权限。

1.3 本文的组织

本文介绍了网络培训公司局域网的分析、设计与实现。全文分为七个章节。

第一章主要介绍的是局域网的研究背景、意义和内容；第二章主要介绍的是网络培训公司局域网的设计与实现所使用到的技术及其概念；第三章主要介绍的是该公司局域网的需求分析设计，包括其所需的功能、拓扑以及预算等等；第四章主要介绍的是该公司局域网的整体设计，包括其IP地址的划分以及VLAN的规划、路由协议的选择以及网络接入层、集散层和核心层的设计；第五章主要介绍的是

该公司局域网的详细设计，包括其三个模块的设计、搭建以及实现，局域网的优化设计以及安全设计；第六章主要介绍的是该公司局域网的测试及实现记录；第七章是本文的总结，主要介绍的是设计该公司局域网事所遇到的技术问题以及有待完善的功能。最后是设计该公司局域网时用到参考文献和个人的致谢词。

第2章 相关技术和概念

2.1 OSPF协议（开放式最短路径优先协议）

OSPF(Open Shortest Path First)，又称开放式最短路径优先协议，是一个内部网关协议，用于在单一自治系统内决策路由。与RIP相比，OSPF是链路状态路由协议，而RIP是距离矢量路由协议。OSPF的协议管理距离（AD）是110。

OSPF路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域内。在这里，路由域是指一个自治系统（Autonomous System），即AS，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中，所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。

作为一种链路状态的路由协议，OSPF将链路状态广播数据LSA（Link State Advertisement）传送给在某一区域内的所有路由器，这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。

OSPF协议主要有6类网络类型，分别为1、2、3、4、5、7类。其中，类型1是Router LSA，即每个路由器都将产生Router LSA，这种LSA只在本区域内传播，描述了路由器所有的链路和接口，状态和开销；类型2是Network LSA，即在每个多路访问网络中，DR都会产生这种Network LSA，它只在产生这条Network LSA的区域泛洪描述了所有和它相连的路由器（包括DR本身）；类型3是Network Summary LSA，即由ABR路由器始发，用于通告该区域外部的目的地址。当其他的路由器收到来自ABR的Network Summary LSA以后，它不会运行SPF算法，它只简单的加上到达那个ABR的开销和Network Summary LSA中包含的开销；类型4是ASBR Summary LSA，即由ABR发出，ASBR汇总LSA除了所通告的目的地是一个ASBR而不是一个网络外；类型5是AS External LSA，即发自ASBR路由器，用来通告到达OSPF自主系统外部的目的地，或者OSPF自主系统那个外部的缺省路由的LSA.这种LSA将在全AS内的泛洪（4个特殊区域除外）；类型7是NSSA External LSA，即来自非完全Stub区域（not-so-stubby area）内ASBR路由器始发的LSA通告它只在NSSA区域内的泛洪，这是与类型5的区别。

本文认为OSPF协议主要有七个优点，分别为：

1、OSPF是真正的LOOP- FREE（无路由自环）路由协议。这是源自其算法本身的优点。（链路状态及最短路径树算法）

2、OSPF收敛速度快：能够在最短的时间内将路由变化传递到整个自治系统。

3、提出区域（area）划分的概念，将自治系统划分为不同区域后，通过区域之间的对路由信息的摘要，大大减少了需传递的路由信息数量。也使得路由信息不会随着网络规模的扩大而急剧膨胀。

4、将协议自身的开销控制到最小。理由如下：

1）用于发现和维护邻居关系的是定期发送的是不含路由信息的hello报文，规模较小。包含路由信息的报文时是触发更新的机制。（有路由变化时才会发送）。但为了增强协议的健壮性，每1800秒全部重发一次。

2）在广播网络中，使用组播地址（而非广播）发送报文，减少对其它不运行OSPF 的网络设备的干扰。

3）在各类可以多址访问的网络中，通过选举DR，使同网段的路由器之间的路由交换次数较少。

4）提出STUB区域的概念，使得STUB区域内不再传播引入的ASE路由。

5）在ABR（区域边界路由器）上支持路由聚合，进一步减少区域间的路由信息传递。

6）在点到点接口类型中，通过配置，使得OSPF不再定时发送hello报文及定期更新路由信息。只在网络拓扑真正变化时才发送更新信息。

5、通过严格划分路由的级别（共分四极），提供更可信的路由选择。

6、良好的安全性，OSPF支持基于接口的明文及md5 验证。

7、OSPF适应各种规模的网络，最多可达数千台。

2.2 VLAN技术（虚拟局域网）

VLAN（Virtual Local Area Network）的中文名为虚拟局域网，是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。

VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。

VLAN有很多种划分的方法，本文主要研究的是根据端口来划分VLAN成员，被设定的端口都在同一个广播域中。例如：一个交换机的1，2，3，4，5端口被

定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。 以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一种方式。

本文认为VLAN技术主要有六个优点，分别为:

1、广播风暴防范：通过限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。

2、安全性高：不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。如此变可增强局域网的安全性，从而降低泄露机密信息的可能性。

3、成本降低：成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。

4、性能提高：将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。

5、提高网络工程师工作效率：VLAN为网络管理带来了方便，因为有相似网络需求的用户将共享同一个VLAN。

6、增加了网络连接的灵活性：借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。

2.3 ACL技术（访问控制列表）

ACL（Access Control List）,又称为访问控制列表，是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对网络中的某一种访问进行控制。

目前的ACL技术主要分为两种，即标准的ACL和拓展的ACL。他们的区别主要有三点：1.标准的ACL使用 1 -99 以及1300-1999之间的数字作为表号，扩展的ACL使用 100 - 199以及2000-2699之间的数字作为表号。2.标准ACL可以阻止来自某一网络的所有通

信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。3.扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。

本文认为ACL技术主要有三个优点，分别为:

1、ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。

2、ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

3、ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

第3章 局域网需求分析

3.1 局域网设计概述

该公司局域网是为了实现公司内部一系列需求所设计建立的。除了维护公司日常运作需求之外，争取在资金允许范围内提高网络运行效率，同时加强其安全策略，尽可能的出现安全漏洞。

为了进行更好的沟通与交流，人事部门可与远在北京的公司总部进行通信联系，同时人事部门也可以与各个教室和考试中心中的考试机子进行通信联系。同时，为了维护其机密性，人事部门只有对教室和考试中心进行查看的权限，并没有其他诸如修改、删除等权限。

为了维护公司财务的机密性，公司的财务部门将不与任何模块进行沟通联系。不过，为了防止公司财务部内部人员违规操作，赋予北京总部对财务部门查看的权限，没有添加、修改、删除等权限。

3.2 局域网设计要求

该公司局域网设计要求如下：

1、实用性：网络建设从应用实际需求出发，如果对现有网络升级改造，还应该充分考虑如何利用现有资源，尽量发挥设备效益。

2、适度先进性：规划局域网，不但要满足用户当前的需要，还应该有一定技术前瞻性和用户需求预见性，考虑到能够满足未来几年内用户对网络功能和带宽的需要。采用成熟的先进技术，兼顾未来的发展趋势，即量力而行，又适当超前，留有发展余地。

3、经济性：要求价格适中，设备及耗材要求采用质量过硬，物美价廉，投资预算不超过20万。

4、安全可靠性：确保网络可靠运行，在网络的关键部分应具有容错能力，提供公共网络连接、通信链路、服务器等全方位的安全管理系统。

5、开放性：采用国际标准通信协议、标准操作系统、标准网管软件、采用符合标准的设备，保证整个系统具有开放特点。

6、可扩展性：系统便于扩展，保证前期的投资的有效性与后期投资的连续性

7、安全保密性：为了保证网上信息的安全和各种应用系统的安全，在规划时就要为局域网考虑一个周全的安全保密方案。

3.3 网络设计拓扑图

图3.3.1公司局域网网络设计拓扑图

3.4 局域网设计用例描述

3.4.1 用例列表

表3.4.1用例列表

3.4.2 用例描述

行政部门

表3.4.2.行政部门用例描述表

人事部门

表3.4.3人事部门用例描述表

财务部门

表3.4.4财务部门用例描述表

网络教室

表3.4.5网络教室用例描述表

Linux教室

表3.4.6 Linux教室用例描述表

考试中心PC机

表3.4.7 考试中心PC机用例描述表

XX总部

表3.4.8 XX总部用例描述表

第4章 局域网整体设计

4.1 局域网核心层设计

核心层作为整个网络系统的核心，其主要功能是高速、可靠的进行数据交换。 核心交换区的作用是尽快地提供所有的区域间的数据交换。核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。

因受到模拟器的局限，本文将使用1台思科3640路由器完成此设计。它提供带集成永续性的出色控制，将永续性集成到硬件和软件中，缩短了网络停运时间。

4.2 局域网汇聚层设计

汇聚层是楼群或小区的信息汇聚点,是连接接入层和核心层的网络设备,为接入层提供数据的汇聚、传输、管理、分发处理。汇聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由服务,认证管理等。通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层。同时汇聚层也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定。

汇聚层的功能主要是连接接入层节点和核心层中心。汇聚层设计为连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。

因受到模拟器的局限，本文将使用4台思科3750交换机以及3台思科3640路由器来完成此设计。

思科3750 系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。这个新的产品系列采用了最新的技术，不但实现高达32Gbps 的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统--就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。

对于中型企业网络来说， 思科 3750 系列通过提供配置灵活性、支持融合网络模式及自动进行智能网络服务配置，简化了融合应用的部署，并可针对不断变化的业务需求进行调整。此外，思科 3750 系列针对高密度千兆位以太网部署

进行了优化，包括多种交换机，以满足接入、汇聚或小型网络骨干连接需求。

4.3 局域网接入层设计

接入层通常指网络中直接面向用户连接或访问的部分。接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。接入交换机是最常见的交换机，它直接与外网联系，使用最广泛，尤其是在一般办公室、小型机房和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心等部门。在传输速度上，现代接入交换机大都提供多个具有10M/100M/1000M自适应能力的端口。

在核心层和汇聚层的设计中主要考虑的是网络性能和功能性要高，那么我们在接入层设计上主张使用性能价格比高的设备。接入层是最终用户(教师、学生) 与网络的接口，它应该提供即插即用的特性，同时应该非常易于使用和维护。当然我们也应该考虑端口密度的问题。

因受到模拟器的局限，本文将试用4台思科2960交换机完成此设计。思科 2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强LAN 服务。Catalyst 2960 系列具有集成安全特性，包括网络准入控制(NAC)、高级服务质量(QOS)和永续性，可为网络边缘提供智能服务。凭借思科 2960系列提供的广泛安全特性，企业可保护重要信息，防止未授权人员接入网络，确保私密性及维持不间断运行。

图4.3.1 公司局域网拓扑图

4.4 局域网IP地址划分及VLAN规划

4.4.1 VLAN规划

在本文第二章中已经详细的阐述了VLAN的定义、作用以及它的有点，在此就不准备重复了。

在本文研究的公司局域网中，将划分成7个VLAN区域， VLAN的规划分布表如下所示：

表4.4.1 VLAN规划分布表

4.4.2 IP地址划分

在本文研究的公司局域网中将分成三个模块7个部门，另外还有北京总部的人事部，即总共为8哥部门。因此，本文将根据IP地址划分的原则，对此8个部门进行IP地址的划分，其IP地址划分表如下所示：

表4.4.2 IP地址划分表

4.5 局域网路由协议选择

为达到路由快速收敛、寻址以及方便网络管理员管理的目的，本文研究的公司局域网将采用动态路由协议，目前较好的动态路由协议是OSPF 协议和EIGRP 协议。OSPF 以协议标准化强，支持厂家多，受到广泛应用，而EIGRP 协议由Cisco 公司发明，只有Cisco 公司自己的产品支持，属于私有性质，其他厂商设备是不支持的。考虑到网络的扩展性、数据资源的保护等原因，本文将选择OSPF 路由协议规划公司内部局域网，而与北京总部的通信将试用EIGRP和BGP协议。

OSPF 协议采用链路状态协议算法，每个路由器维护一个相同的链路状态数据库，保存整个AS 的拓扑结构（AS 不划分情况下）。一旦每个路由器有了完整的链路状态数据库，该路由器就可以自己为根，构造最短路径树，然后再根据最短路径构造路由表。OSPF将整个AS 划分为若干个区域，区域内的路由器维护一个相同的链路状态数据库，保存该区域的拓扑结构。OSPF 路由器相互间交换信息，但交换的信息不是路由，而是链路状态。

EIGRP协议，即增强型网关内部路由线路协议。也翻译为加强型内部网关路由协议。EIGRP是Cisco公司的私有协议。Cisco公司是该协议的发明者和唯一具备该协议解释和修改权的厂商。 EIGRP结合了链路状态和距离矢量型路由选择协议的Cisco专用协议，采用弥散修正算法（DUAL）来实现快速收敛，可以不发送定期的路由更新信息以减少带宽的占用，支持IP、Novell和NetWare等多种网络层协议。

BGP协议是一种在自治系统之间动态交换路由信息的路由协议。一个自治系统的经典定义是在一个管理机构控制之下的一组路由器，它使用IGP和普通度量值向其他自治系统转发报文。

在BGP中使用自治系统这个术语是为了强调这样一个事实：一个自治系统的管理对于其他自治系统而言是提供一个统一的内部选路计划，它为那些通过它可以到达的网络提供了一个一致的描述。

在本文研究的公司局域网中，路由协议的选择及配置如下表所示：

表4.5 路由协议规划表

第5章 局域网详细设计

5.1 局域网行政模块详细设计

5.1.1 设计概述

局域网行政模块为本文研究的公司局域网三大模块之一，主要负责公司日常的工作业务。该行政模块下属三个部门，分别为行政部、人事部以及财务部。其中，作为负责沟通与交流的人事部，它将可以和另外两个模块进行ICMP通信，同时也可以和在北京的公司总部进行ICMP通信。不过，人事部门只拥有浏览的权限，并没有添加、修改和删除等权限。另外，作为负责公司财务业务的财务部，任何模块中的任何部门都没有权限对其进行浏览、添加、修改、删除等操作。而为了防止公司财务部内部人员违规操作，将单独允许北京的公司总部与财务部进行ICMP通信。最后，行政模块选择OSPF路由协议，它们是该OSPF协议上的区域1。

5.1.2 配置命令

行政模块各部门的IP地址划分及VLAN规划的配置命令如下图所示：

图5.1.1 行政模块各部门IP地址划分

图5.1.2 行政模块各部门VLAN规划

行政模块与核心层链接的配置命令如下图所示：

图5.1.3 行政模块路由器IP地址划分

图5.1.4 核心层路由器IP地址划分

行政模块进行OSPF路由协议的配置命令如下图所示：

图5.1.5 行政模块路由器上OSPF路由协议配置

图5.1.6 核心层路由器上OSPF路由协议配置

人事部门与教学模块进行ICMP通信的配置命令如下图所示：

图5.1.7 人事部门与网络教室进行通信配置

图5.1.8 人事部门与Linux教室进行通信配置

人事部门与考试中心进行ICMP通信的配置命令如下图所示：

图5.1.9 人事部门与考试中心PC 1进行通信配置

图5.1.10 人事部门与考试中心PC 2进行通信配置

人事部门与XX总部进行ICMP通信的配置命令如下图所示：

图5.1.11 人事部门与北京总部进行通信配置

财务部门只允许与北京总部进行ICMP通信的配置命令如下图所示：

图5.1.12 财务部门与北京总部进行通信配置

5.2 局域网教学模块详细设计 5.2.1 设计概述

局域网教学模块为本文研究的公司局域网三大模块之一，主要负责公司的技能认证培训。该教学模块下属两间教室，分别为网络教室、Linux教室。两间教室面对广大学员，分别对其进行网络技能和Linux技能的培训。两间教室作为独立的教室，并不能互相的进行通信、远程等等，均和行政模块中的人事部门建立ICMP通信。最后，教学模块选择OSPF路由协议，它们是该OSPF协议上的区域2。

5.2.2 配置命令

教学模块各教室的IP地址划分及VLAN规划的配置命令如下图所示：

图5.2.1 教学模块各教室IP地址划分

图5.2.2 教学模块各教室VLAN规划

教学模块与核心层链接的配置命令如下图所示：

图5.2.3 教学模块路由器IP地址划分

图5.2.4 核心路由器IP地址划分

教学模块进行OSPF路由协议的配置命令如下图所示：

图5.2.5 教学模块路由器上OSPF路由协议配置

图5.2.6 核心层路由器上OSPF路由协议配置

网络教室与人事部门进行ICMP通信的配置命令如下图所示：

图5.2.7网络教室与人事部门进行通信配置

Linux教室与人事部门进行ICMP通信的配置命令如下图所示：

图5.2.8 Linux教室与人事部门进行通信配置

5.3 局域网考试中心详细设计

5.3.1 设计概述

局域网考试中心为本文研究的公司局域网三大模块之一，主要负责公司的技能认证考试。该考试中心下分别有两台考试机器，面对广大考生。由于技能认证考试的保密性和安全性，两台机器并不能互相的进行通信、远程等等，也不能和任何模块进行联系并且不能连接广域网。均从行政模块中的人事部门进行ICMP通信，接收考试信息转发。最后，考试中心选择OSPF路由协议，它们是该OSPF协议上的区域3。

5.3.2 配置命令

考试中心各考试机的IP地址划分及VLAN规划的配置命令如下图所示：

图5.3.1 考试中心各考试机IP地址划分

图5.3.2 考试中心各考试机VLAN规划

考试中心与核心层链接的配置命令如下图所示：

图5.3.3 考试中心路由器IP地址划分

图5.3.4 核心路由器IP地址划分

考试中心进行OSPF路由协议的配置命令如下图所示：

图5.3.5 考试中心路由器上OSPF路由协议配置

图5.3.6 核心层路由器上OSPF路由协议配置

考试中心PC1与人事部门进行ICMP通信的配置命令如下图所示：

图5.3.7考试中心PC 1与人事部门进行通信配置

考试中心PC2与人事部门进行ICMP通信的配置命令如下图所示：

图5.3.8 人事部门与考试中心PC 2进行通信配置

5.4 局域网XX总部详细设计

5.4.1 设计概述

局域网XX总部为本文研究的公司局域网的一个部分，它是该培训公司的总部所在。因其地域的特殊性，故能和行政模块中的人事部门进行ICMP通信，并且允许和行政模块中的财务部门进行ICMP通信。最后，XX总部选择EIGRP路由协议，它们是该EIGRP协议上的AS 1。同时，因为相隔距离较远，故将试用边界路由协议，即BGP路由协议。

5.4.2 配置命令

XX总部IP地址划分的配置命令如下图所示：

图5.4.1 XX总部IP地址划分

XX总部与核心层链接的配置命令如下图所示：

图5.4.2 XX总部路由器IP地址划分

图5.4.3 核心路由器IP地址划分

XX总部进行EIGRP路由协议的配置命令如下图所示：

图5.4.4 XX总部路由器上EIGRP路由协议配置

图5.4.5 核心层路由器上EIGRP路由协议配置

XX总部进行BGP边界路由协议的配置命令如下图所示：

图5.4.6 XX总部路由器上BGP边界路由协议配置

图5.4.7 核心路由器上BGP边界路由协议配置

XX总部与人事部门进行ICMP通信的配置命令如下图所示：

图5.4.8 XX总部与人事部门进行通信配置

XX总部与财务部门进行ICMP通信的配置命令如下图所示：

图5.4.9 XX总部与财务部门进行通信配置

5.5 局域网安全设计

5.5.1 设计概述

本文研究认为公司网络的安全风险有以下3点：

1、公司网络与公网连接，可能遭到来自各地的越权访问，还可能遭到网络黑客的恶意攻击和计算机病毒的入侵。

2、内部的各个子网通过骨干交换相互连接，这样的话，某些重要的部门可能会遭到来自其它部门的越权访问。这些越权访问可能包括恶意攻击、误操作 等，据统计约有70％左右的攻击来自内部用户，相比外部攻击来说，内部用户具有更得天独厚的优势，但是无论怎样，结果都将导致重要信息的泄露或者网络的瘫痪。

3、设备的自身安全性也会直接关系到网络系统和各种网络应用的正常运转。例如，路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。重要服务器或操作系统自身存在安全的漏洞，如果管理员没有及时的发现并且进行修复，将会为网络的安全带来很多不安定的因素。重要服务器的当机或者重要数据的意外丢失，都将会造成公司日常办公无法进行。

5.5.2 配置命令

AAA认证登陆密码配置命令如下图所示

图5.5.2.1 AAA认证登陆

Telnet登陆以及特权模式密码配置命令如下图所示

图5.5.2.2 Telnet登陆以及特权模式密码设置

第6章 局域网测试与实现

6.1 局域网部分功能测试及实现

在该局域网设计并搭建完成后，对该局域网的每个功能都进行了全面的测试，并在测试过程中，对测出的问题进行了改正。由于本局域网那个功能较多，在此不一一列举测试过程，以下仅对一些主要的功能进行了测试过程的记录。

表6-1人事部门ICMP通信功能测试表

表6-2财务部门ICMP通信功能测试表

第7章 总结

7.1 总结

首先，本文是以现今流行的技能培训班式服务业业为背景，根据其中一个特定的中小型培训公司为蓝本所做的一个企业网络解决方案。网络整体采用的是Cisco三层架构，这个结构的优点是稳定性好、设备负载均衡、易扩展，并且网络故障排查也比较容易。无论各行各业在网络中的要求最重要的只有两个方面，分别是网络运行速度流畅和网络安全可靠性高。其中，网络最重要的是在网络安全方面，所以在本方案中我们采用VLAN技术和ACL技术作为内部网络的安全策略，主要是防止公司内部的非授权访问。而在内部网络与Internet之间我们则采用NAT技术，公司内部网络中的IP地址均没有权限登录Internet，只能通过地址池转换地址方可登录，该策略可以有效地控制数据进出。与此同时，每台设备上将会进行多种密文认证方式，如Telnet认证、密码认证等等。而在公司交换机中还将进行AAA认证方式，汇聚层中也将进行HSRP热备份，防止其数据的丢失。在此局域网中，各种网络安全技术相结合，使得网络更安全可靠。

组建一个高速、宽带、稳定、可靠，且能融合安全与保密等全新需求的企业局域网，是当前企业网络发展的趋势。受到当先社会的全球化影响，网络传输信息量日益剧增，高层交换机的研发和应用将会成为主流。这不仅可以极大地提高网络系统的数据分发、传输和交换能力与速率，还能够降低设备成本、简化网络管理、优化组网过程，使企业网络更加的高速、稳定，成为企业发展进步的一个助力。

由于对于很多新的技术和方法还不是很了解，本方案中还存在很多不足。首先，因为机器的价格问题，负担不起高额的机器费用，因此在本方案中是使用模拟器来实现其局域网的，这就缺少了一定的真实性，存在着一定的不确定性，毕竟根本不是真机，有的时候在模拟器上可行的方案在真机中却显示配置错误，这种情况并不少见。其次，该方案在实践起来有一定的不可行性。在本方案的网络拓朴图中可以发现，本公司的局域网用了6台路由器，这在真实的社会中是很少见的，多数的情况下在汇聚层上都会用三层的交换机起到代替路由器的功能，而在接入层中会采用较为低端的二层交换机设备，只有在核心层中才有可能会启用到核心路由器。在本方案中，因为受到模拟器的限制，只能运用一种ISO版本，因此无论在接入层和汇聚层中均采用了同样的网络设备，如果这在现实中是不太可能实现的，这会导致经费的大量增加，是不可取的。同时本方案为了着重体现该局域网三层和二层的应用与区别，因此导致了与现实不符的大量路由器出现。

参考文献

[1] 谢希仁.计算机网络（第五版）. 电子工业出版社, 2007.

[2] 拉莫尔著，程代伟译.CCNA学习指南640 -802（中文第六版）. 电子工业出版社,

2008.

[3] Richard Froom著, 田果，刘丹宁译.CCNP SWITCH 642-813（中文版）,人民邮电出

版社.2011.

[4] Diane Teare著，袁国忠译.CCNP ROUTE 642-902(中文版). 人民邮电出版社. 2011. [5] Amir Ranjbar著, 夏俊杰译.CCNP TSHOOT 642-832（中文版）. 人民邮电出版社,

2011.

[6] 齐治昌, 谭庆平, 宁洪. 软件工程[M]. 高等教育出版社, 2004

致 谢

都说时间犹如过眼云烟，转瞬即逝，仿佛昨日我们还在高考的压力下通宵达旦，可眨眼的时间，我的大学生涯已即将结束，快得甚至让人来不及细细品尝其中的酸甜苦辣。再过不久，我也将告别人生中最后一段的读书生涯，迈入崭新的一个阶段：在社会上去拼搏，去实现自己的价值。不可否认，2008年至2012年这四年时间是我人生的一个重要的里程碑，在中山大学南方学院的学习生涯是我心中一段美好的回忆。从初上大学时的青涩、茫然不知所措到如今的渐渐成熟，这四年的大学学习生活让我不断成长，精神层次提高了不止一个层次。在中山大学南方学院这四年生活中，我找到了属于自己的兴趣，也遇到了可以结交一生的朋友；在这里，有感受到成功的喜悦，也品尝过失败的苦涩；在这里，我明确了我自己未来的奋斗目标，并且一直在为这个目标而努力奋斗，在为我未来迈入社会进行工作的时候打下来坚实的基础。

在这里，我要特别感谢我的毕业指导老师----林川老师。在平常的学习生活中，您给我的非常多的关怀与指导，同时，对我本次的毕业设计要求严格，细心指导。您教会了我做人做事的态度及严谨性，您给予我的帮助我将铭记在心。同时，在生活中同样热爱乒乓球的您也和我们学生打成一片，真正起到了一个好的教师的带头作用。

感谢大学期间给我诸多教诲和帮助的南方学院的各位老师们，你们辛苦了！ 感谢我的所有同学朋友们，是你们让我的大学生活充满了快乐，谢谢你们四年来给予我的帮助！

感谢我的家人及亲戚们。感谢您们对我学业的支持及帮助，是你们辛勤的付出，才有今天的我！

最后，我会在今后的学习工作生活中，继续努力奋斗，不辜负你们对我的期望！