中小企业局域网设计及建设方案(编辑修改稿)

中小企业局域网设计及建设方案(编辑修改稿)内容摘要：

域的概念，使得 STUB 区域内不再传播引入的 ASE 路由。 5）在 ABR（区域边界路由器）上支持路由聚合，进一步减少区域间的路由信息传递。 6）在点到点接口类型中，通过 配置 ，使得 OSPF 不再定时发送 hello 报文及定期更新路由信息。 只在网络拓扑真正变化时才发送更新信息。 通过严格划分路由的级别（共分四极），提供更可信的路由选择。 良好的安全性， OSPF 支持基于接口的明文及 md5 验证。 OSPF 适应各种规模的网络，最多可达数千台。 VLAN 技术（虚拟局域网） VLAN（ Virtual Local Area Network）的中文名为虚拟局域网 ， 是一种将局域网设备从逻辑上划分成一个个 网段 ，从而实现虚拟工作组的新兴 数据交换技术。 这一新兴技术主要应用于 交换机 和路由器中，但主流应用还是在交换机之中。 VLAN 是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了 VLAN 头，用 VLAN ID 把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。 虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组， 动态管理 网络。 VLAN 有很多种划分的方法，本文主要研究的是根据端口来划分 VLAN 成员，被设定的端口都在同一个广播域中。 例如： 一个交换机的 1， 2， 3， 4， 5 端口被定义 为虚拟网 AAA，同一交换机的 6， 7， 8 端口组成虚拟网 BBB。 以交换机端口来划分网络成员，其配置过程简单明了。 因此，从目前来看，这种根据端口来划分 VLAN 的方式仍然是最常用的一种 方式。 中山大学南方学院 2020届本科生毕业设计 6 本文认为 VLAN 技术主要有 六 个优点，分别为 : 广播风暴防范 ： 通过 限制网络上的广播，将网络划分为多个 VLAN 可减少参与广播风暴的设备数量。 使用 VLAN，可以将某个交换端口或用户赋于某一个特定的 VLAN 组，该 VLAN 组可以在一个交换网中或跨接多个交换机，在一个 VLAN中的广播不会送到 VLAN 之外。 同样，相邻的端口不会收到其他 VLAN 产生的广播。 这样可以减少广播流量，释放 带 宽 给用户应用，减少广播的产生。 安全 性高： 不同 VLAN 内的报文在传输时是相互隔离的，即一个 VLAN 内的用户不能和其它 VLAN 内的用户直接通信，如果不同 VLAN 要进行通信，则需要通过 路由器 或三层交换机等三层设备。 如此变可 增强局域网的安全性，从而降低泄露机密信息的可能性。 成本降低 ： 成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。 性能提 高 ： 将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。 提高 网络工程师工作 效率 ： VLAN 为网络管理带来了方便，因为有相似网络需求的用户将共享同一个 VLAN。 增加了网络连接的灵活性 ： 借助 VLAN 技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地 LAN 一样方便、灵活、有效。 VLAN 可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了 VLAN 后，这部分管理费用大大降低。 ACL 技术（访问 控制列表） ACL（ Access Control List） ,又称为 访问控 制列表 ， 是路 由器和交换机接口的指令列表，用来控制端口进出的数据包。 ACL 适用于所有的被路由协议。 这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其 目的是为了对 网 络中的某一种 访问进行控制。 目前的 ACL 技术主要 分为两种，即 标准的 ACL 和拓 展的 ACL。 他们的区别主要有三点： ACL 使用 1 99 以及 13001999之间的数字作为表号，扩展的 ACL 使用 100 199 以及 20202699之间的数字作为表号。 ACL 可以阻止来 自某一网络的 所有通信流量，或者允许来自某 一特定网络的所 有通信流量，或者 拒绝某一协议簇（ 比如 IP） 的所有通信流量。 ACL 比标 准 ACL 提供了更广泛的控制范围。 例如，网络管理员如果希望做到 “ 允许外中山大学南方学院 2020届本科生毕业设计 7 来的 Web 通信流量通 过，拒绝 外来的 FTP 和 Tel 等通信 流量 ” ，那么，他可以使用扩展 ACL 来达到目的，标 准 ACL 不能控制 这么精确。 本文认为 ACL 技术主 要有 三 个 优点 ，分别为 : ACL 可以限制网络流量、提高网络性能。 例如， ACL 可以根据数据包的协议，指定数据包的优先级。 ACL 提供对通信流量的控制手段。 例如， ACL 可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 ACL 可以在 路由器端口处决 定哪种类型的 通信流量被转发或被阻塞。 例如，用户可以允许 Email 通 信流量被路由 ，拒绝所有的 Tel 通信流量。 中山大学南方学院 2020届本科生毕业设计 8 第 3 章 局域网需求分析 局域网设计概述 该公司局域网是为了实现公司内部一系 列需求所设 计建立的。 除了维护公司日常运作需求之外，争取在资金允许范围内提高网络运行效率，同时加强其安全策略，尽可能的出现安全漏洞。 为了进行更好的沟通与交流，人事部门可与远在北京的公司总部进行通信联系 ，同时人事部 门也可以与各个 教室和考试中 心中的考试机子进行通信联系。 同时，为了维护其机密性，人事部门只有对教室和考试中心进行查看的权限，并没有其他诸如修改、删除等权限。 为了维护公司财务的机密性，公司的财务部门将不与任何模块进行沟通联系。 不 过，为了防止 公司财务部内 部人员违规操作 ，赋予北京总部对财务部门查看的权限， 没有添加、修改、删除 等权限。 局域网设计要求 该公司局域网设计要求如下： 实用性：网络 建设从应用实 际需求出发，如果对现有网络升级改造，还应该充分 考虑如何利用现 有资源，尽量发挥 设备效益。 适度先进性：规划局域网，不但要满足用户 当前的需要，还应该有一定技术前瞻性和用户需求预见性，考虑到能够满足未来几年内用户对网络功能和带宽的需要。 采用成熟的先进技术，兼顾未来的发展趋势，即量力而行，又适当超前，留有发展余地。 经济性：要求 价格适中，设 备及耗材要求采 用质量过硬，物美价廉，投资预算不超过 20 万。 安全可靠性：确保网络可靠 运行，在网络 的关键部分应具有容错能力，提 供公共网络连接 、通信链路 、服务器等全 方位的安全管理系统。 开放性：采用国际标准 通信协议、标准 操作系统、标准网管软件、采用符合标准的设备，保证整个系统具有开放特点。 可扩展性：系 统便于扩展，保证前期的投 资的有效性与中山大学南方学院 2020届本科生毕业设计 9 后期投资的连续性 安全保密性：为了保证网上 信息的安全和 各种应用系统的安全，在规划时就要为局域网考虑一个周全的安全保密方案。 网络设计拓扑图 图 局域网设计用例描述 用例列表 表 用例编号 用例名称 描述 UC001 行政部 负责公司日常工作业务 UC002 人事部 负责公司沟通与联系业务 UC003 财务部 负责公司财务 UC004 网络教室 负责公司网络技能学习培训 UC005 Linux 教室 负责公司 Linux 技能学习培训 UC006 考试中心 PC 机 负责技能认证考试 UC007 XX 总部 负责与北京总部进行联系 ，并允许其浏览公司账目 中山大学南方学院 2020届本科生毕业设计 10 用例描述 行政部门 表 用例 编 号 UC001 用例名称 行政部 角色 公司内部工作人员 用例描述 行政部门人员负责公司日常工作业务 参与者 网络管理员 前置条件 用户已是网络用户，即有有效的用户名、密码，并输入正确 后置条件 身份验证正确，进入交换机内行政部的操作界面 基本路径 ； 进行登录身份验证，验证通过后 进入交换机内行政部门的特权模式 人事部门 表 用例编号 UC002 用例名称 人事部 角色 公司内部工作人员 用例描述 人事部门人员负责公司沟通与 交流业务 参与者 网络管理员 前置条件 用户已是网络用户，即有有效的用户名、密码，并输入正确 后置条件 身份验证正确，进入交换机内人事部的操作界面 基本路径 ； ，验证通过后进入交换机内人事部门的特权模式 财务部门 表 用例编号 UC003 用例名称 财务部 角色 公司内部财务部人员 用例描述 财务部门人员负责公司财务业务 中山大学南方学院 2020届本科生毕业设计 11 参与者 网络管理员 前置条件 用户已是网络用户，即有有效的用户名、密码，并输 入正确 后置条件 身份验证正确，进入交换机内财务部的操作界面 基本路径 ； ，验证通过后进入交换机内财务部门的特权模式 网络教室 表 用例编号 UC004 用例名称 网络教室 角色 参与网络培训的学员 用例描述 负责公司网络技能的学习和培训 参与者 网络管理员 前置条件 用户已是网络用户，即有有效的用户名、密码，并输入正确 后置条件 身份验证正确，进入交换机内网络教室的操作界面 基本路径 用户模式下输入用户名和密码； ，验证通过后进入交换机内网络教室的特权模式 Linux 教室 表 Linux 教室用例描述表 用例编号 UC005 用例名称 Linux 教室 角色 参与 Linux 培训的学员 用例描述 负责公司 Linux 技能的学习和培训 参与者 网络管理员 前置条件 用户已是网络用户，即有有效的用户名、密码，并输入正确 后置条件 身份验证正确，进入交换机内 Linux 教室的操作界面 基本路径 ； 份验证，验证通过后进入交换机内 Linux 教室的特权模式 中山大学南方学院 2020届本科生毕业设计 12 考试中心 PC 机 表 考试中心 PC机用例描述表 用例编号 UC006 用例名称 考试中心 PC 机 角色 参加技能认证考试的学院 用例描述 负责技能认证考试 参与者 网络管理员 前置条件 用户已是网络用户，即有有效的用户名、密码，并输入正确 后置条件 身份验证正确，进入交换机内部考试中心 PC 机的操作界面 基本路径 ； ，验证通过后进入交换机内部考试中心 PC机的特权模式 XX 总部 表 XX总部用例描述表 用例编号 UC007 用例名称 XX 总部 角色 公司内部人事部、财务部工作人员 用例描述 负责与北京总部进行沟通联系，并且允许其查看公司账务 参与者 网络管理员 前置条件 用户已是网络用户，即有有效的用户名、密码，并输入正确 后置条件 身份验证正确，进入交换机内部 北京总部 的操作界面 基本路径 ； ，验证通过后进入交换机内部 北京总部 的特权模式 中山大学南方学院 2020届本科生毕业设计 13 第 4 章 局域网整体设计 局域网核心层设计 核心层作为整个网络系统的核心，其主要功能是高速、可靠的进行数据交换。 核心交换区的作用是尽快地提供所有的区域间的数据交换。 核心层的功能主要是实现骨干网络之间的优化传输 ,骨干层设计任务的重点通。