大型网络设计方案

2024-11-06

大型网络设计方案（共8篇）

1.大型网络设计方案篇一

XXXXXXXXXXXXXXX 毕业论文

企业网络安全解决方案

姓名：

学号：

指导老师：

系名：

专业：

班级：

XXXXXXXXXX计算机专业毕业设计

摘

要

随着社会的飞速发展，网络技术的也在飞速的发展之中，现如今网络已经无所不在的影响着社会的政治、经济、文化、军事、意识形态和社会生活等各个方面。同时在全球范围内，针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍然不断增加，网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。计算机病毒的不断的通过网络产生和传播，计算机网络被不断地非法入侵，重要情报、资料被窃取，甚至造成网络系统的瘫痪等等，诸如此类的事件已经给政府以及企业造成了巨大的损失，甚至危害到国家的安全。网络安全已经成为世界各国当今共同关注的焦点，网络安全的重要性是不言而喻的。

本文是构思了一个虚拟的企业网络的设计，重点研究了公司不同分部之间通过VPN技术来实现在广域网中的加密连接。以及详细的设计了总公司的网络安全策略，保证了内部服务器等的信息安全，按照需求对企业网络安全进行了系统的规划，对计算机网络安全进行了全面的分析。在满足了各个子网连通的前提下，提出了包括AAA认证、SSH登陆、Easy VPN、访问控制限制、NAT技术、入侵检测部署、病毒防护、扫描系统管理措施和安全技术在内的整套方案。目的是建设一个完整的、安全的网络体系，是网络安全系统真正获得较好的效果。关键词：网络，安全，VPN，防火墙，防病毒

XXXXXXXXXX计算机专业毕业设计

Abstract

With the rapid development of society and also the rapid development of network technology, is now the network has been the ubiquitous influence of society in all aspects of political, economic, cultural, military, ideological and social life.Worldwide for the intrusion and the number of attempted intrusions of the important information resources and network infrastructure is still growing, network attacks and intrusions caused a grave threat to national security, economic and social life.Computer virus continues through the network and dissemination, computer networks are the illegal invasion, important information, data theft, and even cause paralysis of the network system, such events have caused huge losses to the government and enterprises, and even harm to national security.Network security has become the focus of attention today in the world, the importance of network security is self-evident.This article is the idea of a virtual enterprise network design, focusing on the encrypted connection between the different segments of the company through VPN technology to achieve WAN.And detailed design of the network security policy of the Corporation to ensure the internal server, such as information security, in accordance with the needs of enterprise network security planning of the system, conducted a comprehensive analysis of computer network security.Satisfy the premise that each subnet connectivity, including the AAA authentication, SSH login to the Easy VPN, access control restrictions, the NAT technology, intrusion detection deployment, virus protection, scanning system management measures and security technologies, including the package.The purpose is to build a complete, secure network architecture, network security systems really get better results.Keywords: network, security, VPN, firewall, anti-virus

XXXXXXXXXX计算机专业毕业设计

摘

要............................................................................................................................................................I 第一章绪

论...............................................................................................................................................1 1.1 网络的起源......................................................................................................................................1 1.2网络安全的重要性...........................................................................................................................1 第二章企业网络安全概述...........................................................................................................................3 2.1 企业网络的主要安全隐患............................................................................................................3 2.2 企业网络的安全误区....................................................................................................................3 第三章

企业网络总体设计方案.................................................................................................................5 3.1 公司背景..........................................................................................................................................5 3.2 企业网络安全需求..........................................................................................................................5 3.3 需求分析..........................................................................................................................................5 3.4 企业网络结构..................................................................................................................................6 3.5 企业IP地址的划分........................................................................................................................9 第四章企业网络安全技术介绍...................................................................................................................9 4.1 Easy VPN..........................................................................................................................................9 4.1.1 什么是VPN..........................................................................................................................9 4.1.2 VPN 的分类........................................................................................................................10 4.1.3 Easy VPN.............................................................................................................................10 4.2 SSH.................................................................................................................................................11 4.2.1 SSH介绍..............................................................................................................................11 4.2.2 SSH与Telnet的区别..........................................................................................................11 4.3 AAA服务器...................................................................................................................................12 4.3.1 AAA介绍............................................................................................................................12 4.3.2 认证(Authentication)...........................................................................................................12 4.3.3 授权(Authorization)............................................................................................................12 4.3.4 审计(Accounting)................................................................................................................13 4.4 IDS 入侵检测系统.....................................................................................................................13 4.5 firewall 防火墙...........................................................................................................................13 4.5.1 什么是防火墙.....................................................................................................................13 4.5.2 防火墙类型.........................................................................................................................14 第五章企业网络设备实施方案.................................................................................................................14 5.1 企业物理安全规划......................................................................................................................14 5.2 设备选型........................................................................................................................................15 5.3 设备配置........................................................................................................................................16 5.3.1 交换机.................................................................................................................................16 5.3.2 路由器与防火墙.................................................................................................................25 5.3.3 服务器.................................................................................................................................28 第六章项目测试.........................................................................................................................................30 6.1 DHCP验证.....................................................................................................................................32 6.2 网络连通性....................................................................................................................................35 6.3 网络安全性....................................................................................................................................37 6.3.1 SSH与console的权限.......................................................................................................37 6.3.2 网络连通安全性.................................................................................................................40 6.4 分公司与总公司安全性................................................................................................................42 总

结...........................................................................................................................................................45 致

谢...........................................................................................................................................................46 参考文献.......................................................................................................................................................47

III

XXXXXXXXXX计算机专业毕业设计

第一章绪

论

1.1 网络的起源

与很多人的想象相反，Internet并非某一完美计划的结果，Internet的创始人也绝不会想到它能发展成目前的规模和影响。在Internet面世之初，没有人能想到它会进入千家万户，也没有人能想到它的商业用途。

1969年12月，Internet的前身--美国的ARPA网（为了能在爆发核战争时保障通信联络，美国国防部高级研究计划署ARPA资助建立了世界上第一个分组交换试验网ARPANET）投入运行，它标志着我们常称的计算机网络的兴起。这个计算机互联的网络系统是一种分组交换网。分组交换技术使计算机网络的概念、结构和网络设计方面都发生了根本性的变化，它为后来的计算机网络打下了基础。

八十年代初，随着PC个人微机应用的推广，PC联网的需求也随之增大，各种基于PC互联的微机局域网纷纷出台。这个时期微机局域网系统的典型结构是在共享介质通信网平台上的共享文件服务器结构，即为所有联网PC设置一台专用的可共享的网络文件服务器。PC是一台“麻雀虽小，五脏俱全”的小计算机，每个PC机用户的主要任务仍在自己的PC机上运行，仅在需要访问共享磁盘文件时才通过网络访问文件服务器，体现了计算机网络中各计算机之间的协同工作。由于使用了较PSTN速率高得多的同轴电缆（费用少，传输距离100米）、光纤等高速传输介质，使PC网上访问共享资源的速率和效率大大提高。这种基于文件服务器的微机网络对网内计算机进行了分工：PC机面向用户，微机服务器专用于提供共享文件资源。所以它实际上就是一种客户机/服务器模式。

进入九十年代，计算机技术、通信技术以及建立在计算机和网络技术基础上的计算机网络技术得到了迅猛的发展。特别是1993年美国宣布建立国家信息基础设施NII后，全世界许多国家纷纷制定和建立本国的NII，从而极大地推动了计算机网络技术的发展，使计算机网络进入了一个崭新的阶段。目前，全球以美国为核心的高速计算机互联网络即Internet已经形成，Internet已经成为人类最重要的、最大的知识宝库。而美国政府又分别于1996年和1997年开始研究发展更加快速可靠的互联网2（Internet 2）和下一代互联网（Next Generation Internet）。可以说，网络互联和高速计算机网络正成为最新一代的计算机网络的发展方向。

1.2网络安全的重要性

随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。经营管理对

XXXXXXXXXX计算机专业毕业设计

计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。

网络安全问题伴随着网络的产生而产生，可以说，有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件，目前主要是通过网络进行的，而且几乎每时每刻都在发生，遍及全球。除此之外，像恶意软件入侵、攻击，用户的非法访问和操作，用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害，相信我们每个计算机用户都或多或少地亲身体验过一些：轻则使电脑系统运行不正常，重则使整个计算机系统中的磁盘数据全部覆灭，甚至导致磁盘、计算机等硬件的损坏。

为了防范这些网络安全事故的发生，每个计算机用户，特别是企业网络用户，必须采取足够的安全防范措施，甚至可以说要在利益均衡情况下不惜一切代价。但要注意，企业网络安全策略的实施是一项系统工程，它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁，又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视，不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的，而许多安全措施都是相辅相成的。

XXXXXXXXXX计算机专业毕业设计

第二章企业网络安全概述

2.1 企业网络的主要安全隐患

现在网络安全系统所要防范的不再仅是病毒感染，更多的是基于网络的非法入侵、攻击和访问，由于企业在各地可能有不同公司，但是公司之间信息通过广域网相连，所以信息很容易被黑客等截下。现如今企业网络安全威胁的主要来源主要包括。

1)病毒、木马和恶意软件的入侵。2)网络黑客的攻击。

3)重要文件或邮件的非法窃取、访问与操作。4)关键部门的非法访问和敏感信息外泄。5)外网的非法入侵。

6)备份数据和存储媒体的损坏、丢失。

针对这些安全隐患，所采取的安全策略可以通过安装专业的网络版病毒防护系统，同时也要加强内部网络的安全管理，配置好防火墙过滤策略和系统本身的各项安全措施，及时安装系统安全补丁，本部与分部之间运行VPN等防护通信信息的安全性，加强内部网络的安全管理，严格实行“最小权限”原则，为各个用户配置好恰当的用户权限；同时对一些敏感数据进行加密保护，如财政部等要设立访问权限；根据企业实际需要配置好相应的数据策略，并按策略认真执行。

2.2 企业网络的安全误区

(一)安装防火墙就安全了

防火墙主要工作都是控制存取与过滤封包，所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效，可以提供网络周边的安全防护。但如果攻击行为不经过防火墙，或是将应用层的攻击程序隐藏在正常的封包内，便力不从心了，许多防火墙只是工作在网络层。

防火墙的原理是“防外不防内”，对内部网络的访问不进行任何阻挠，而事实上，企业网络安全事件绝大部分还是源于企业内部。

(二)安装了最新的杀毒软件就不怕病毒了

安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒，但这并不能保证就没有病毒入侵了，因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。

(三)在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效

XXXXXXXXXX计算机专业毕业设计

网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络，管理非常方便，对于单机版是不可能做到的。

(四)只要不上网就不会中毒

虽然不少病毒是通过网页传播的，但像QQ聊天接发邮件同样是病毒传播的主要途径，而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着，就要防范病毒。

(五)文件设置只读就可以避免感染病毒

设置只读只是调用系统的几个命令，而病毒或黑客程序也可以做到这一点，设置只读并不能有效防毒，不过在局域网中为了共享安全，放置误删除，还是比较有用的。

(六)网络安全主要来自外部

基于内部的网络攻击更加容易，不需要借助于其他的网络连接方式，就可以直接在内部网络中实施攻击。所以，加强内部网络安全管理，特别是用户帐户管理，如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。

XXXXXXXXXX计算机专业毕业设计

第三章

企业网络总体设计方案

3.1 公司背景

公司北京总部有一栋大楼，员工人数大约800人，在全国设有4个分公司（上海、广州、重庆和西安）。总部与分公司利用当地的ISP连接。通过网络安全方案设计，加固企业网络，避免因为安全问题导致的业务停滞；同时保证总部与分公司之间高安全、低成本的要求。公司对网络的依赖性很强，主要业务都要涉及互联网以及内部网络。面对对频繁出现的黑客入侵和网络故障，直接危害网络的运行和业务的正常开展。因此构建健全的网络安全体系是当前的重中之重。

3.2 企业网络安全需求

公司根据网络需求，建设一个企业网络，北京总部存储主要机密信息在服务器中，有AAA服务器、内部DNS服务器、FTP服务器、HTTP服务器。企业分经理办公室、财政部、市场部、软件部、系统集成部以及外来接待厅，需要各部门隔开，同时除了经理办公室外其余不能访问财政部，而接待厅不能访问公司内部网络，只能连通外网。同时由于考虑到Inteneter的安全性，以及网络安全等一些因素，如VPN、NAT等。因此本企业的网络安全构架要求如下：

（1）根据公司需求组建网络（2）保证网络的连通性（3）保护网络信息的安全性

（4）防范网络资源的非法访问及非授权访问（5）防范入侵者的恶意攻击与破坏

（6）保护企业本部与分部之间通信信息的完整与安全性（7）防范病毒的侵害（8）实现网络的安全管理。

3.3 需求分析

通过对公司的实际需求来规划网络设计，为公司的网络安全建设实施网络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护，记录用户对客户端计算机中关键目录和文件的操作，使企业有手段对用户在客户端计算机的使用情况进行追踪，防范外来计算机的侵入而造成破坏。通过

XXXXXXXXXX计算机专业毕业设计

网络的改造，使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要

（1）构建良好的环境确保企业物理设备的安全（2）IP地址域的划分与管理（3）划分VLAN控制内网安全（4）安装防火墙体系

（5）建立VPN(虚拟专用网络)确保数据安全（6）安装防病毒服务器（7）加强企业对网络资源的管理（8）做好访问控制权限配置（9）做好对网络设备访问的权限

3.4 企业网络结构

北京总公司网络拓扑图，如图2-1所示:

XXXXXXXXXX计算机专业毕业设计

服务器群IDS入侵检测经理办公室汇聚交换机核心交换机接入交换机财务部汇聚交换机汇聚交换机防火墙接入交换机接入交换机接入交换机软件部市场部系统集成部接待部

图2-1 北京总部网络结构

分公司网络拓扑,如图2.2所示：

XXXXXXXXXX计算机专业毕业设计

上海分公司广州分公司重庆分公司西安分公司Internet广域网Web服务器

图2-2 公司分部网络结构

图2.1与2.2通过防火墙相连，防火墙上做NAT转换，Easy VPN等。核心交换机配置基于VLAN的DHCP，网络设备仅仅只能由网络管理员进行远程控制，就算是Console控制也需要特定的密码，外部分公司通过VPN连接能够访问北京总公司内部网络，北京总公司内网中，接待厅网络设备仅仅能访问外部网络，无法访问公司内网。

XXXXXXXXXX计算机专业毕业设计

3.5 企业IP地址的划分

由于是现实中，公网IP地址需要向ISP运行商申请，而本解决方案是虚拟题，故公网IP为虚拟的，由于现如今IPv4地址及其短缺，而IPv6技术还不是很成熟，所以公司内部使用私有地址网段，本着节省地址的原则，北京公司内部一共有800左右终端，所以由192.168.0.0/22网络段划分。由于本课题重点为总公司内部网络安全，以及总公司与分公司之间连通性的网络安全，所以分公司内部没有详细化，所以分公司地址一律192.168.1.1/24网段，ip地址分配为一下：

总公司总网段：192.168.0.0/22

名称 VLAN ID IPv4地址段网关地址

经理办公室 10 192.168.3.192/26 192.168.3.193 财政部 20 192.168.3.128/26 192.168.3.129 软件部 30 192.168.0.0/24 192.168.0.1 市场部 40 192.168.1.0/24 192.168.1.1 系统集成中心 50 192.168.2.0/24 192.168.2.1 参观中心 60 192.168.3.0/25 192.168.3.1 网管中心 99 192.168.3.240/30 192.168.3.241 服务器集群 100 192.168.3.224/28 192.168.3.225 核心与路由器无 192.168.3.244/30 路由器与防火墙无 192.168.3.248/29 其他分公司 1 192.168.1.0/24 192.168.1.1

第四章企业网络安全技术介绍

4.1 Easy VPN 4.1.1 什么是VPN 虚拟专用网络（Virtual Private Network，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传

XXXXXXXXXX计算机专业毕业设计

输模式〉、Frame Relay（帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

4.1.2 VPN 的分类

根据不同的划分标准，VPN可以按几个标准进行分类划分

1.按VPN的协议分类 VPN的隧道协议主要有三种，PPTP，L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议，也是最常见的协议。L2TP和IPSec配合使用是目前性能最好，应用最广泛的一种。

2.按VPN的应用分类

1)Access VPN（远程接入VPN）：客户端到网关，使用公网作为骨干网在设备之间传输VPN的数据流量。从PSTN、ISDN或PLMN接入。

2)Intranet VPN（内联网VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源。

3)Extranet VPN（外联网VPN）：与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接

3.按所用的设备类型进行分类

网络设备提供商针对不同客户的需求，开发出不同的VPN网络设备，主要为交换机，路由器，和防火墙

1）路由器式VPN：路由器式VPN部署较容易，只要在路由器上添加VPN服务即可只支持简单的PPTP或IPSEC。

2）交换机式VPN：主要应用于连接用户较少的VPN网络

3）防火墙式VPN：防火墙式VPN是最常见的一种VPN的实现方式，许多厂商都提供这种配置类型

4.1.3 Easy VPN easy VPN又名EzVPN，是Cisco专用VPN技术。它分为EASY VPN SERVER和EASY VPN REMOTE两种，EASY VPN SERVER 是REMOT--ACCESS VPN专业设备。配置复杂，支持POLICY PUSHING等特性，此技术基于IPsec协议为基础，扩展的的cisco私有协议，支持远程登录，并且根据自己的AAA的服务器去认证其可靠性，如认证通过，会为访问者分配自己内部IP地址，保证其访问内部信息。在Easy VPN连接成功后，对于ISP运行商来说总公司与分公司数据的传输是透明的，就像拉了一根专线一样，通过抓包等方式捕获数据包会发现全为ESP数据，无法从数据包中获得任何信息，由于其加密方式为HASH速算，根据其雪崩效应想通过加密包算出真是数据的可能性几乎为0，所以数据的传输上的安全性被大大地保证了。

XXXXXXXXXX计算机专业毕业设计

4.2 SSH 4.2.1 SSH介绍

SSH 为 Secure Shell 的缩写，由 IETF 的网络工作小组（Network Working Group）所制定；SSH 为建立在应用层和传输层基础上的安全协议。

SSH 主要有三部分组成：

1）传输层协议 [SSH-TRANS]

提供了服务器认证，保密性及完整性。此外它有时还提供压缩功能。SSH-TRANS 通常运行在 TCP/IP连接上，也可能用于其它可靠数据流上。SSH-TRANS 提供了强力的加密技术、密码主机认证及完整性保护。该协议中的认证基于主机，并且该协议不执行用户认证。更高层的用户认证协议可以设计为在此协议之上。

2）用户认证协议 [SSH-USERAUTH]

用于向服务器提供客户端用户鉴别功能。它运行在传输层协议 SSH-TRANS 上面。当SSH-USERAUTH 开始后，它从低层协议那里接收会话标识符（从第一次密钥交换中的交换哈希H）。会话标识符唯一标识此会话并且适用于标记以证明私钥的所有权。SSH-USERAUTH 也需要知道低层协议是否提供保密性保护。

3）连接协议 [SSH-CONNECT]

4.2.2 SSH与Telnet的区别

传统的网络服务程序，如：ftp、pop和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的，就是很容易受到“中间人”（man-in-the-middle）这种方式的攻击。所谓“中间人”的攻击方式，就是“中间人”冒充真正的服务器接收你传给服务器的数据，然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后，就会出现很严重的问题。

SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以几种方式进行保密。

在使用SSH的时候，一个数字证书将认证客户端(你的工作站)和服务器(你的网络设备)之间的连接，并加密受保护的口令。SSH1使用RSA加密密钥，SSH2使用数字签名算法(DSA)密钥保护连接和认证。加密算法包括Blowfish，数据加密标准(DES)，以及三重DES(3DES)。SSH保护并且有助于防止欺骗，“中间人”攻击，以及数据包监听。

通过使用SSH，你可以把所有传输的数据进行加密，这样“中间人”这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。使用SSH，还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替Telnet，又可以为FTP、PoP、甚至为PPP提供一个安全的“通道”。

XXXXXXXXXX计算机专业毕业设计

4.3 AAA服务器

4.3.1 AAA介绍

AAA是认证、授权和记账（Authentication、Authorization、Accounting）三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记账。具体为：

1、认证(Authentication): 验证用户是否可以获得访问权限；

2、授权(Authorization): 授权用户可以使用哪些服务；

3、审计(Accounting): 记录用户使用网络资源的情况。

4.3.2 认证(Authentication)认证负责在用户访问网络或网络服务器以前，对用户进行认证。

如需配置AAA认证，管理员可以创建一个命名的认证列表，然后把这个列表应用到各种接口上。这个方法列表可以定义所要执行的认证类型和他们的顺序。管理员需要基于每个接口来应用这些方法。然而，当管理员没有定义其他认证方法是，cisco路由器和交换机上的所有接口都关联了一个默认的方法列表，名为Default。但管理员定义的方法列表会覆盖默认方法列表。

除了本地认证、线路密码的Enable认证以外，其他所有的认证方法都需要使用AAA。

4.3.3 授权(Authorization)授权为远程访问控制提供了方法。这里所说的远程访问控制包括一次性授权，或者基于每个用户账号列表或用户组为每个服务进行授权。

交换机或路由器上的AAA授权是通过连接一个通用的集中式数据库，并访问其中的一系列属性来工作的，这些说性描述了网络用户的授权服务，比如访问网络中的不同部分。交换机或路由器会向服务器询问用户真实的能力和限制，集中式服务器向其返回授权结果，告知用户所能够使用的服务。这个数据库通常是位于中心位置的服务器，比如RADIUS或者TACACS+安全服务器。但管理员也可以使用本地数据库。远程安全服务器（比如RADIUS和TACACS+）通过把用户与相应的AVP（属性值对）相关联，来收与用户具体的权限。RADIUS和TACACS+把这些AVP配置应用给用户或者用户组。每个AVP由一个类型识别符和一个或多个分配给它的值组成。AVP在用户配置文件（User Profile）和组配置文件（Group Profile）中指定的AVP，为相应的用户和组定义了认证和授权特性。

XXXXXXXXXX计算机专业毕业设计

4.3.4 审计(Accounting)审计为收集和发送安全服务器信息提供了方法，这些信息可以用于计费（billing）、查账（auditing）和报告（reporting）。这类信息包括用户身份、网络访问开始和结束的时间、执行过的命令（比如PPP）、数据包的数量和字节数量。这些信息是交换机和路由器能够检测登录的用户，从而对于查账和增强安全性有很大帮助。

在很多环境中，AAA都会使用多种协议来管理其安全功能，比如RADIUS、TACACS+或者802.1x。如果网络中的交换机充当网络接入服务器角色，那么AAA就是网络访问服务器与RADIUS、TACACS+或者802.1x安全服务器之间建立连接的方法。

AAA是动态配置的，它允许管理员基于每条线路（每个用户）或者每个服务（比如IP、IPX或VPDN[虚拟私有拨号网络]）来配置认证和授权。管理员先要创建方法列表，然后把这些方法列表应用到指定的服务或接口上，以针对每条线路或每个用户进行运作。

4.4 IDS 入侵检测系统

由于Cisco packet Tracer 5.3无法模拟IDS设备，又由于IDS在实际企业网络中作用很大，所以在拓扑图中将其设计进去，在这里做一些基本介绍。

IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

入侵检测可分为实时入侵检测和事后入侵检测两种。

实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。

事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的，是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。

4.5 firewall 防火墙

4.5.1 什么是防火墙

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际

XXXXXXXXXX计算机专业毕业设计

上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

4.5.2 防火墙类型

主要有2中，网络防火墙和应用防火墙。

1）网络层防火墙

网络层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 hostname SWc!enable password cisco！ip dhcp excluded-address 192.168.0.1 DHCPip dhcp excluded-address 192.168.3.129 ip dhcp excluded-address 192.168.3.1 ip dhcp excluded-address 192.168.1.1 ip dhcp excluded-address 192.168.2.1 ip dhcp excluded-address 192.168.3.193!ip dhcp pool vlan30 network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 192.168.3.227 DNSip dhcp pool vlan40 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.3.227 ip dhcp pool vlan50 network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 192.168.3.227 ip dhcp pool vlan10

设置交换机域名，与SSH验证有关用户登入特权模式密码在分配时排除该IP地址这些地址为网段的网关地址开启一个DHCP地址池分配的网络段默认网关IP地址地址 21

XXXXXXXXXX计算机专业毕业设计

network 192.168.3.192 255.255.255.224 default-router 192.168.3.193 dns-server 192.168.3.227 ip dhcp pool vlan60 network 192.168.3.0 255.255.255.128 default-router 192.168.3.1 dns-server 192.168.3.227 ip dhcp pool vlan20 network 192.168.3.128 255.255.255.192 default-router 192.168.3.129 dns-server 192.168.3.227 ip routing 开启路由功能，这条很重，不然无法启动路由协议等！username beijiangong password 0 cisco 设置远程登录时用户名与密码！interface FastEthernet0/1 switchport access vlan 100 switchport mode access!interface FastEthernet0/2 switchport trunk encapsulation dot1q 配置trunk的封装格式 switchport mode trunk!interface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/4 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/5 no switchport 启动3层接口

XXXXXXXXXX计算机专业毕业设计

ip address 192.168.3.245 255.255.255.252 duplex auto 自动协商双工 speed auto 自动协商速率!interface FastEthernet0/6 switchport access vlan 99！interface Vlan1 no ip address shutdown!interface Vlan10 ip address 192.168.3.193 255.255.255.224!interface Vlan20 ip address 192.168.3.129 255.255.255.192 ip access-group 20 out 在此接口的出方向启动acl 20!interface Vlan30 ip address 192.168.0.1 255.255.255.0!interface Vlan40 ip address 192.168.1.1 255.255.255.0!interface Vlan50 ip address 192.168.2.1 255.255.255.0!interface Vlan60 ip address 192.168.3.1 255.255.255.128 ip access-group 101 out 在此接口的出方向启动acl 101!interface Vlan99

XXXXXXXXXX计算机专业毕业设计

ip address 192.168.3.241 255.255.255.252!interface Vlan100 ip address 192.168.3.230 255.255.255.240!router ospf 10 启动OSPF 进程号为10 router-id 1.1.1.1 为本设备配置ID标示符 log-adjacency-changes 开启系统日志关于ospf变化 network 192.168.3.245 0.0.0.0 area 0 宣告网络，与其区域 network 192.168.3.193 0.0.0.0 area 1 network 192.168.3.129 0.0.0.0 area 1 network 192.168.0.1 0.0.0.0 area 2 network 192.168.1.1 0.0.0.0 area 2 network 192.168.2.1 0.0.0.0 area 3 network 192.168.3.1 0.0.0.0 area 3 network 192.168.3.230 0.0.0.0 area 4 network 192.168.3.241 0.0.0.0 area 5!ip classless！access-list 10 permit host 192.168.3.242 acl 10 允许该主机地址 access-list 20 deny 192.168.0.0 0.0.0.255 acl 20 拒绝该网段 access-list 20 deny 192.168.1.0 0.0.0.255 access-list 20 deny 192.168.2.0 0.0.0.255 access-list 20 deny 192.168.3.0 0.0.0.255 access-list 101 deny ip 192.168.3.0 0.0.0.127 192.168.0.0 0.0.3.255（扩展acl 101 拒绝该网段的ip协议去访问192.168.0.0/22网段）access-list 101 permit ip any any 允许所有ip协议的任何源目访问!crypto key generate rsa 设置SSH的加密算法为rsa（隐藏命令，在show run中看不到！!

XXXXXXXXXX计算机专业毕业设计

line con 0 password cisco 设置console密码

line vty 0 4 进入vty接口默认登入人数为5 access-class 10 in 在该接口入方向启动acl 10 password cisco 密码为cisco login local 登入方式为本地认证 transport input ssh 更改登录方式为SSH！end 5.3.2 路由器与防火墙

R1： hostname r1!enable password cisco！username beijiangong password 0 cisco!interface FastEthernet0/0 ip address 192.168.3.246 255.255.255.252 duplex auto speed auto!interface FastEthernet0/1 ip address 192.168.3.249 255.255.255.248 duplex auto speed auto!router ospf 10 router-id 2.2.2.2 log-adjacency-changes network 192.168.3.246 0.0.0.0 area 0

XXXXXXXXXX计算机专业毕业设计

network 192.168.3.249 0.0.0.0 area 6!ip classless！access-list 10 permit host 192.168.3.242!no cdp run!line con 0 password cisco line vty 0 4 access-class 10 in password cisco login local！!end Firewall: hostname ASA!enable password cisco!aaa new-model 开启AAA功能!aaa authentication login eza group radius 启动认证登录组名为eza分类为radius!

aaa authorization network ezo group radius启动授权组名为eza分类为radius!username beijiangong password 0 cisco!crypto isakmp policy 10 设置加密密钥策略 encr 3des 启动3重加密算法 hash md5 启动MD5认证 authentication pre-share 认证方式为共享 group 2 优先级组别为2!crypto isakmp client configuration group myez 设置密钥客户端等级组 key 123 为等级组设置密码

pool ez 为客户分配内部IP地址池!

XXXXXXXXXX计算机专业毕业设计

crypto ipsec transform-set tim esp-3des esp-md5-hmac 传输隧道封装类型!crypto dynamic-map ezmap 10 进入隧道封装策略模式

set transform-set tim 调用上面设置的封装组tim reverse-route 开启vpn的反向路由!crypto map tom client authentication list eza 加密组tom的客户认证调用上面的eza组

crypto map tom isakmp authorization list ezo 加密组tom的密钥授权管理方式调用上面的eza组

crypto map tom client configuration address respond 加密组tom为客户分配IP地址

crypto map tom 10 ipsec-isakmp dynamic ezmap 加密组tom调用隧道加密格式名称为ezmap!interface FastEthernet0/0 ip address 192.168.3.250 255.255.255.248 ip nat inside duplex auto speed auto!interface FastEthernet0/1 no ip address duplex auto speed auto shutdown!interface Serial0/2/0 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map tom!interface Serial0/3/0 no ip address shutdown!interface Vlan1 no ip address shutdown!router ospf 10 router-id 3.3.3.3 log-adjacency-changes network 192.168.3.250 0.0.0.0 area 6 default-information originate 向其他ospf邻居宣告默认路由!ip local pool ez 192.168.3.251 192.168.3.254 配置VPN登入进来后分配的IP地址池

ip nat inside source list 1 interface Serial0/2/0 overload 设置动态NAT将acl 1的地址转化为s0/2/0并多路复用 ip classless ip route 0.0.0.0 0.0.0.0 Serial0/2/0 默认路由都走s0/2/0

XXXXXXXXXX计算机专业毕业设计

！access-list 1 permit 192.168.0.0 0.0.3.255 access-list 10 permit host 192.168.3.242!no cdp run 关闭邻居发现协议！radius-server host 192.168.3.225 auth-port 1645 key 123 指定AAA服务器地址与Easy VPN 端口号以及对应密钥!line con 0 password cisco login line vty 0 4 access-class 10 in password cisco login local!End

5.3.3 服务器

AAA服务器配置：

XXXXXXXXXX计算机专业毕业设计

HTTP服务器：

DNS服务器：

XXXXXXXXXX计算机专业毕业设计

第六章项目测试

Packet Tracer 模拟器实验拓扑图

所有设备的用户名为：beijiangong 密码：cisco

VPN 登录配置：组名：beijiangong Key:123 服务器IP：100.1.1.1 用户名：123 密码：123

XXXXXXXXXX计算机专业毕业设计

北京总公司图A

分公司以及ISP网络图B

XXXXXXXXXX计算机专业毕业设计

6.1 DHCP验证

北京总公司内网所有设备都是通过DHCP获取的IP地址，但是不同VLAN所获得的IP地址段是不同的，验证其在不同VLAN下是否获得正确的IP地址、网关、掩码和DNS。

1）经理办公室 VLAN 10 配置方法，首先在Packet Tracer下，点击相应的PC，如图6-1-1

图6-1-1 点击左上角第一栏，ip Configuration 进入IP地址配置画面如图6-1-2

XXXXXXXXXX计算机专业毕业设计

IP地址配置画面图6-1-2

点击DHCP，获取IP地址，等待1-2S后查看结果如图6-1-3

图6-1-3 根据提示可以看出获得了正确的IP地址。

2）财政部 VLAN 20 如图6-1-4

图6-1-4

XXXXXXXXXX计算机专业毕业设计

3）软件部 VLAN 30 如图6-1-5

图6-1-5 4）市场部 VLAN 40 如图 6-1-6

图6-1-6 5）系统集成部 VLAN 50 如图6-1-7

图6-1-7

XXXXXXXXXX计算机专业毕业设计

6)参观中心 VLAN 60 如图 6-1-8

图6-1-8

6.2 网络连通性

建立好网络后，最重要的一点就是网络连通性，根据公司需求，内部计算机获得自己IP地址，自己的DNS服务器与网关，那应该可以去访问外网服务器，以达到访问公网的目的。

1）随便开启一台PC机，如经理办公室PC 图6-2-1

图6-2-1 点击Command prompt 进入其电脑的CMD命令格式

图6-2-2

XXXXXXXXXX计算机专业毕业设计

图6-2-2

输入ping 命令，在虚拟网络中，如图Ａ运行商IP地址为100.1.1.2 所以先ping运行商网关。在命令行中输入ping 100.1.1.2，可能第一个包会因为ARP的关系而丢失，但是后续会很稳定。如图6-2-3

图6-2-3

2）检查网络内部DNS的正确性

XXXXXXXXXX计算机专业毕业设计

打开PC机浏览器，如下图所示6-2-4

图6-2-4 如图B所示，在公网中，有一个百度的服务器，域名为通过浏览器访问百度看是否成功。如图6-2-5

图6-2-5 如图所示，访问成功，表示公司内部网络连通性已经保证畅通。

6.3 网络安全性

在保证了连通性的基础上，验证其安全性

6.3.1 SSH 与console的权限

在设备安装完毕后，公司内部不可能派专门的保安去看护，所以网络设备的安全就需要有所保证，不能让人们轻易的进入其配置模式，轻易的去更改配置，所以要设置用户名密码。如图6-3-1所示，一台PC需要console核心交换机

XXXXXXXXXX计算机专业毕业设计

图6-3-1 如图6-2-7所示，需要点击下图所示单元进入console连接模式

图6-3-2 选好会话数，速率等基本参数后点击OK连接设备的控制台如图6-3-3

图6-3-3

发现需要输入用户名密码，否侧无法进入控制界面，输入用户名密码后进入用户模式，进入特权模式需要输入特权密码，输入正确用户名密码后才能进入。如图6-3-4

XXXXXXXXXX计算机专业毕业设计

图6-3-4

当然console的限制很大，有监控设备，与机柜锁，能够最大限度的保证其安全性，所以console的安全性问题不是很大，而telnet 的控制起来就需要用策略来限制了。

如果想telnet设备需要知道其设备上的IP地址，而本公司DHCP中的网关地址基本都是在核心上，所以设备上的IP地址基本谁都知道，而核心设备仅仅需要网络管理员去管理，所以加了acl去选择telnet 的对象。而在加密方面我选择了SSH而不是非加密的Telnet.如图所示，仅有网络管理员才能ssh设备，其他员工无法ssh设备。这是管理员ssh的效果，输入正确的用户名密码后，进入其配置界面。如图6-3-5

图6-2-10 这是其他设备ssh的效果，无论尝试几个设备上的地址都被拒绝了，这样就能保证设备控制的安全性。虽然能够访问其地址，但是无法取得其TCP端口号22的访问权如图6-3-6

XXXXXXXXXX计算机专业毕业设计

图6-3-6

6.3.2 网络连通安全性

在一个公司内部，虽然大家共享上网资源，但是各部门之间的资料还是有一些机密的，特别是财政部，一个公司财政信息都是很机密的，所以不希望其他公司内部Pc能够连通到此部门，所以也要通过acl去限制，去隔离一些区域。

财政部IP 192.168.3.130 软件部IP 192.168.0.2 市场部IP 192.168.1.2

正常情况下，三个部门是可以正常ping通的，但是财政部的安全性，所以其他2个部门无法访问财政部，但是可以互相访问。

如图6-3-7所示，软件部无法访问财政部，但是可以访问市场部

XXXXXXXXXX计算机专业毕业设计

图6-3-7 这样就保证了财政部的独立性，保证了其安全，由于公司内部需要有客人访问，而客人往往需要上网，所以需要控制其上网行为，如果有恶意行为，盗取公司其他部门资料，那也会造成严重的损失，所以，要保证其在公司参观中心上网，只能访问外网，不能访问公司内部其他主机。

如图6-3-8所示，参观中心的终端能够访问外网百度服务器，但是无法访问内部市场部PC设备。

XXXXXXXXXX计算机专业毕业设计

图6-3-8

6.4 分公司与总公司安全性

由于分公司之间通过ISP与总公司通信，所以数据通信需要安全性，在这里我选择了EASY VPN，由于各分公司内部全部使用私网地址，所以无法与总公司内部通信，因为私网地址无法宣告到公网中，而通过easy vpn连接后，本部通过给客户分配总公司自己的私网地址，使其能够访问公司内部，而通信过程中数据时加密的，无法窃取，保证了其安全性。

如图6-4-1连接easy vpn首先要在客户端PC打开VPN连接。

图6-4-1 在这里设置好用户组、用户名、总公司的公网地址以及密码后连接VPN 如图6-4-2

XXXXXXXXXX计算机专业毕业设计

图6-4-2 连接后需要等2-3秒，即连接成功，而且显示被分配的IP地址如图6-4-3

图6-4-3

进行Ping命令就可以访问北京总部的内网地址终端了。如图6-4-4

XXXXXXXXXX计算机专业毕业设计

图6-4-4 这样网络的安全性就得到了很大的提升。

XXXXXXXXXX计算机专业毕业设计

总

结

随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。

本论文从企业角度描述了网络安全的解决方案，目的在于为用户提供信息的保密，认证和完整性保护机制，使网络中的服务，数据以及系统免受侵扰和破坏。比如防火墙，认证，加密技术等都是当今常用的方法，本论文从这些方法入手深入研究各个方面的网络安全问题的解决，可以使读者有对网络安全技术的更深刻的了解。

在本方案设计之初，我对网络安全的理解还是很浅，包括到了现在我对它的还是只有一点点的认知，但是通过这次设计，让我对网络安全产生了很浓厚的兴趣，很高兴能够选到这个课题，但这只是一次虚拟题，希望以后有机会在工作中能够得到真实的项目去完成网络安全的设计方案，但是，路还很长，需要学习的知识还很多，但是有兴趣才是王道。

2.大型网络设计方案篇二

信息化规划是现代企业高效管理和运作的有效保障手段,而网络规划则是信息化技术体系基础设施中的重要组成部分。其主要目标是建立统一办公和管理网络,承载应用系统和数据,并对其进行集中管理和维护。

网络规划主要涉及两方面内容:一是企业业务需求分析;二是信息化网络逻辑设计。主要工作可分为四个部分:用户业务需求分析、逻辑网络拓扑设计、网络管理和安全管理以及网络基本设备选型等工作。

本文在简要描述某集团公司网络现状的基础上,说明其业务基本构架模型以及各类业务应用系统对信息化网络建设提出的各种需求,然后从网络分层规划的角度说明为满足各类需求而要求信息化网络应具有的网络拓扑结构,并说明网络各分层的具体作用和实现,以及相应的数据中心建设和网络管理。最后简要说明具体实现可采用的几种先进技术和实施建议。

1 业务需求分析

信息化网络将直接支持企业的建设、运营、生产和管理,实现网络化运营系统及各部门相关数据的交互和共享。典型的网络化运营系统如图1所示:包括网络运营协调及应急处置子系统、网络业务清分子系统、网络设备维护、物资供应、安全检测子及资产管理子系统、信息中心和综合业务协同子系统等,其中基础网络平台是指作为通信基础设施的公用信息传输网络和有/无线通信系统。

为了实现该网络化运营系统,其中基础网络平台的建设是关键之一,尤其是与其密切相关的信息化网络的设计和建设将直接影响网络化运营系统的性能和效能。因此在信息化网络规划和设计过程中透彻地调研和分析企业业务需求格外重要。

1.1 集团通信网络现状

目前,公司的网络传输处于混用状态。已建的网络有以下特点:1)在建设网络时没有集团范围内的长期统一规划可循,各子单位或部门仅根据业务需要随意建设自己的网络。各单位所建网络之间没有信息共享和数据交换计划,也没有网络管理和安全的考虑。2)网络拓扑结构复杂,多点交叉。用户接入层次不清,没有逻辑。对外的互联网接入没有规划,没有统一边界接口,接入方法凌乱。3)对网络应用没有规划,各个业务板块网络独立,与应用对接关系不密切。

鉴于集团业务网络的技术发展较快,目前的各传输网络选用的传输制式和传输速率不尽相同,给构建统一传输网络带来一定困难。因此从这方面来看,也有必要从网路的基本架构、业务网络及业务量的分析、子网及拓扑关系、网络管理等多方面出发,进行分析、制定适合集团自身业务特点的网络规划。

1.2 业务应用系统

信息化网络作为各个业务的基础网络,其组网和设计规划方案必须充分考虑各个业务的发展需求,并结合信息化网络本身的特点,以满足业务需求为原则,进行合理科学的业务预测。根据集团实际业务需求以及相应信息系统建设规划,信息化网络将负责传输图像、语音、集团协同管理信息、各中心业务管理信息、综合监控等控制与监视管理信息。各应用系统对于所处的网络层面也有相应的需求。从应用系统层级划分来看,我们可以将其大致分为集团管理层、各中心业务管理层、各业务生产管理层以及生产系统四个层面。其对应于网络层次的划分如表1所示。

上表中的系统由下至上通过网络汇集相应的数据,其纵向汇集场景如图2所示。

1.3 业务通信量估算

集团各子公司各有一个运营控制中心用于控制各业务点和各职能部门。各子公司与其业务点之间通讯只需1000M带宽即可。在公用传输系统上,各子公司相关部门间的业务应用信息传递将在各子公司控制中心进行汇聚,并在以太网络上按目的地址发送。采用带宽共享方式,将总带宽设定为2000M,可对其进行限速为1000M。具体需求如表2所示。

通过对业务系统的需求情况逐一进行分析,预计目前的信息化网络传输需求带宽量约2000M。随着业务网络的技术发展以及企业运营体制的改进,业务需求带宽也会随之变化。企业的业务需求发生变化时,应及时跟踪相应的业务需求变化量,根据传输网络现状做出相应的传输调度方案或另行制定业务网络方案。

2 网络拓扑设计

网络拓扑结构设计主要工作是确定网络中所有主要节点的互联方式。在设计时主要考虑网络体系结构、网络规模、网段和互联节点、网络协议和所采用的主要交换机、路由器等设备的类型。本节首先说明两种可选用的网络拓扑结构,然后说明如何运用分层设计方法实现集团信息化网络拓扑结构的设计。

2.1 网络拓扑结构

从网络的物理组成结构来看,网络拓扑结构基本可分为层次结构和环型结构两种。层次结构根据具体功能要求将网络划分为分层建设的方式,一般采用Cisco公司提出的三层拓扑结构设计方法,其每层都具有其特定功能分别是核心层、汇聚层和接入层[1]。典型的层次结构如图3所示。

层次结构网络的主要特点有:1)核心层实现高速数据转发;2)汇聚层实现丰富的接口,及与接入层之间的互访控制;3)接入层实现用户接入;4)网络拓扑结构故障定位可分级便于维护;5)网络功能划分清晰有利于发挥设备最大效率;6)网络拓扑利于扩展。

环型结构则主要由多台核心三层交换机或路由设备连接成环路来构建网络,其典型结构如图4所示[2]。

在汇聚及接入层,网络结构主要以环网为主。弹性分组环(RPR)技术是一种在环形结构上优化数据业务传送的新型MAC层协议,可有效地传送话音、图像等多种业务类型,具有网络拓扑自动发现、环路带宽共享、公平分配等技术优势。在汇聚层和接入层内嵌RPR技术可为数据业务提供优质的带宽共享和公平接入能力将业务高效地传送到核心层。

2.2 实例介绍

下面以某集团为例,说明网络拓扑设计的具体实现。集团的信息网络组网节点包括各业务点的视频设备节点、数字音频节点和办公自动化节点、各分运营公司和各服务中心办公大楼和场所的大量节点、IDC数据中心、互联网接入节点等,因此整个网络拓扑结构将显得很复杂。在设计此类网络中,为了使得网络拓扑结构逻辑清晰、功能明确,可以将网络拓扑结构设计为如图5所示的4层结构:核心层、骨干层、汇聚层和边缘接入层。

2.2.1 核心层与骨干层设计

核心层连接各子公司的通信子网,实现各子公司传输子网间的互连,在整网中起到汇接的作用。骨干层主要用于提供两个节点之间的最优传输路径,是网络的高速主干,因此要求具备高可靠性、可用性,并能快速适应网络变化。由于骨干层对网络互连至关重要,核心层应采用冗余结构和冗余组件设计。核心层由骨干层中选择的几个重要节点构成,因此核心层节点具有骨干层节点的所有功能和性能。另外,核心层节点需要为集团提供核心通信枢纽需要采用高性能的核心交换机来担当此任。

网络核心节点的选择涉及到业务点地理位置等诸多问题。由于部分特点网络节点的地理位置已经确定,所以本规划研究中核心节点的选择原则是根据现有的业务需求和未来的业务发展潜力进行综合考虑而得出的:1)核心传输网络主要为其它业务网提供服务,核心节点的选择需根据其它业务网的网络结构进行综合考虑;2)核心节点的选择需根据业务对传输的需求在各地理区域内设置核心节点,做到跨区业务能尽可能少的转接,以实现业务的均衡分配。另外,选择骨干节点所遵循的具体原则有以下几条:1)各子公司的运营控制中心是通信汇聚点,是骨干节点;2)IDC数据中心所处位置的节点;3)主要管理点;4)业务汇聚点。

2.2.2 汇聚层设计

汇聚层管辖各子公司的线路通信,跨子网间的传输需求通过本区的转接点输送给核心层,在核心层中实现跨子网间的转接。汇聚层设备应有足够的带宽,具有三层和多层交换特性,能执行安全和网络策略,包括地址转换和防火墙策略等。在设计时通常需要考虑的策略或功能有Qo S、静态路由和动态路由选择以及地址过滤等。为了支持这些功能,应选用具有双核心的三层交换机,具备三层交换和路由协议能力,支持Po E功能及三层Qo S功能[3]。

汇聚层交换设备一般属于楼宇交换机或位置独立的子单位的主要交换机。在逻辑上它是应用数据的汇聚处。为保证可靠性,可以使用双上行线连接到核心层。对于某集团信息化网络,其汇聚点应设置在的控制中心(OCC)处。汇聚点与上层网的连接应遵循就近接入上层网核心节点的原则。

2.2.3 接入层设计

接入层为各种业务网络提供接入手段,可在接入层采用内嵌RPR的环形结构。在接入层是实施针对用户的各种包过滤等网络基本策略的最佳之处,可以有效保护局部网络免受网络内外的攻击。因此接入层的交换机设备可以选择稍微低档但具有较强的执行网络策略能力的一些的路由器或交换机设备。通常来说它应具有以下功能:1)提供较多数量的100MB(或1000MB)用户连接端口并提供起码千兆的到汇聚层的上行端口且所有端口支持二层交换功能;2)支持网络智能管理功能、Qo S功能和Po E功能;3)支持VLAN、VLAN Trunk、VLAN聚合和安全等特性;4)支持标准以太网协议和业界标准,提供灵活的用户接口。

接入节点应设置相关单位的管理用房中。各业务点的接入交换机应与通信设备机房合用,可采用MDF加EDF两种配线架方式。

3 数据中心建设和网络管理

建设数据中心的主要目的是为了实现数据共享、统一管理和降低投资提高效益。数据中心(IDC)用来集中存放和管理集团范畴内的所有应用和数据,是信息化技术体系的基础。从网络冗余和可恢复性要求、备份和灾难恢复要求、数据存储要求、应用系统性能要求等因素综合考虑,数据中心需要设置相应的备份中心。相互提供应用和数据备份以及灾难恢复。

数据中心要统一规划和建设并能均衡骨干网络流量。对于数据中心(IDC)选址原则,与网络核心节点的选择原则相同。此外,电源等配套设备的建设标准应和IDC机房等级以及用户SLA相适应,对重要用户进行重点保障。

网络管理系统与被管理设备之间指定使用SNMP协议,并使用成熟的网络管理软件进行管理。网络设备必须支持通用的公有信息模型,同时也允许提供针对自身产品特色的私有信息模型。网络管理和维护所使用的管理系统与被管设备之间的网管信息通道可采用带内方式,也可采用带内带外相结合的方式。

4 网络规划实施建议

常见的网络传输技术有以下三种:1)基于SDH和MSTP的RPR的以太环网技术设计。它是指基于SDH平台,内嵌RPR功能,而且提供统一网管的多业务节点[4]。主要特点是其以太网业务适配到PRP MAC层,再映射到SDH通道中传输;2)基于网状设计的ASON技术设计。ASON以其高效的资源利用率、灵活的电路调度能力、快速有效的网络保护和恢复机制以及良好的网络扩展能力引起了运营商的关注[1],但当网络增大到一定规模时,ASON网络规划复杂程度和不确定性将大大增加;3)全光网络技术设计。如果在经费上允许,可以考虑在骨干层和核心层使用全光网络设备。

目前某集团公司的网络是以传送语音和低速数据为主的,采用基于MSTP的10G SDH通信传输网。而目标网络还需要一个以传送视频和高速数据为主的,采用基于IP的10G高速数据网,该网络在传送视频图像时还应提供组播功能。网络建设存在两个可选方案。方案一是依实际需求,另建设一个高速网络;方案二是在现有MSTP网络的基础上进行基于IP的服务升级,并将带宽容量扩大,所有业务均承载在一个网上。

根据集团的实际业务需求,规划的目标网络应能支持基于IP的文本、语音、图像等的传输,并且具有根据公司各单位组织架构的差异,划分不同的VPN、Qos保障等多种特性,能够承载基于TCP/IP的多种网络应用与协议。现有MSTP的网络在实现全网的视频应用时,由于本身不支持组播功能,在升级的同时,还需配备具有支持组播复制、标记传输等功能的非传统型三层路由交换机,且各线解码器仍需配置转发组播功能的设备实现目标网络图像应用功能。而且MSTP的现有网络即便实现了升级,由于其本身是基于TDM的SDH技术,仍存在对高速、大颗粒IP数据传输无缝适应的问题。因此根据以上分析,并考虑到与IP业务需求相适应的要求,推荐方案一。另外,对于公司信息化网络整体结构,虽然ASON技术具有较好的网络扩展性等一些优点,但由于其在无论是在设计方面还是在网络管理上均比较复杂,因此不建议采用。从信息化网络方面考虑,骨干网拓扑建议使用以太环网技术实现主干网结构,带宽容量为10GB或以上。若要考虑技术上的先进性,那么可以使用全光网技术实现骨干网络基础设施。

5 结论

本文介绍了大型企业网络规划设计的方法和注意事项,并以实例详细讲解了网络拓扑结构中的核心层与骨干层、汇聚层、接入层设计方案以及具体的建设实施建议,本规划对大型企业信息化网路规划有一定指导意义。目前此规划已经生效,相关部门已经投入建设。

参考文献

[1]钱华林,葛敬国,李俊.层次交换网络体系结构[M].北京:清华大学出版社,2008.

[2]青岚昊.RPR技术及其在城市轨道交通传送网应用[J].通信与信息技术,2009(2):79-81.

[3]石炎生,羊四清,谭敏生.计算机网络工程实用教程[M].北京:电子工业出版社,2007.

3.大型网络设计方案篇三

关键词：大型网络游戏；平台架构；集群；多层

中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)12-21579-02

A Four-tier Large Network Game Platform Architecture Based On Distributed Cluster Technology

FU Dong-lai,KUANG Hua

(Department of Computer Science & Technology, North University of China,TaiYuan , 030051)

Abstract:there are two factors which determine the success or failure of the game. One is Interesting game itself .Another is a stable, efficient network game platform structure Based on the analysis of large-scale online games network of the actual operating environment, this paper proposed a technology-based clustering of large multi-tier network game platform architecture and introduced the layers of detail design and server deployment scenarios. Finally this paper give a 20,000 people simultaneously online server deployment program.

Key words:Large network game;platform structure;clustering;multi-tier

1 课题研究背景

网络游戏就是以互联网为媒介，可以多人同时参与的电脑游戏，人们通过互动达到交流、娱乐和休闲的目的。当前，大型多人在线角色扮演类游戏是最受玩家喜欢游戏类型，这种游戏构筑了一个有基本健全的社会体制和经济系统的虚拟世界，玩家在游戏虚拟世界中扮演特定角色，通过自己的游戏技能及其它各方面投入实现自己所扮演的角色在游戏虚拟社会中的生存和成长并参与游戏虚拟世界的人际沟通及社会活动等。市场上知名的《魔兽世界》、《传奇》系列等游戏都属于这一类型。近几年，随着社会生活节奏的不断加快，越来越多的人选择通过“网游”的形式缓解压力。上海征途网络科技有限公司在2006年10月28日宣布，旗下大型角色扮演类网络游戏《征途》最高同时在线人数达到63.42万人。于是，面对如此庞大且仍在飞速增长的网络用户群，如何架构能适应海量用户访问的游戏平台，就必然成为网络游戏开发商的重点研究的对象。本文就是研究这种大型多人在线角色扮演类游戏平台架构设计的核心技术。

2 平台整体架构解决方案

2.1大型游戏的实际运行环境

在大型游戏中，实际需要处理的玩家数量往往过万甚至几十万，一台普通的服务器是无法完成所要完成的工作。因此，通常是要由一组多台服务器共同完成一个完整游戲世界的功能，即“战区”的概念。一个战区实际上就是由多台服务器构成的一个集群系统，每个玩家所处的游戏世界就是一个战区。由于一个战区所能容纳的玩家数量是有限的，因此，针对海量级的玩家，我们可以把玩家分散到不同的战区中去，以满足玩家数量的增长。同时，为使玩家体验到更快的响应速度，对服务提供商来说节约网络带宽，降低成本。服务器群必须分布式部署。大量的服务器群构成一个完整庞大的分布、协作的游戏系统，这样一个复杂的系统必然会涉及到服务器间复杂的数据通信与管理。因此，构架一个安全、稳定、高效的游戏平台有着非常重要的意义。

2.2平台整体架构方案描述

平台总体上采用基于集群技术的分布式四层网络游戏平台架构，具体描述如下：

(1)表示层：用户接口部分，担负用户与应用间的对话功能。检查用户从键盘或其它终端设备上输入的数据，接收应用服务输出的数据。用户输入的数据通过通讯平台传入功能层。

(2)通信层：负责游戏服务器和客户端之间数据交换的服务器，管理所有的玩家和游戏服务器连接，并且负责客户端的登陆登出，记费校验等工作。

(3)功能层：实现网络游戏世界中的所有业务处理逻辑，而处理所需的数据是从表示层或数据层取得的。在这一层的设计中，我们尽可能保持表示层和功能层之间的数据交换的简洁，避免进行一次业务处理，在表示层和功能层进行多次数据交换。在功能层中包含有确认用户对应用和数据库存取权限的功能，以及记录系统处理日志的功能。该层可分为数据库和游戏服务模块。游戏服务模块设计为一个个单独的子系统，即游戏的战斗系统、任务系统、寻路系统等等，用来处理游戏世界中的业务。数据库服务模块是网络游戏连接数据库读取玩家信息和战区信息、存取玩家档案的接口，并且肩负着监视战区运行状态的任务，提供与数据库连接管理、数据读写等功能。游戏服务模块实现具体的应用逻辑。平台的通信服务器收到玩家的操作请求后，转换成对数据库或游戏服务模块的请求，调用相应的服务模块处理请求并将结果返回给通信服务器。

(4)数据层：负责存放并处理所有玩家资料及其相应的数据，采用通用的大型关系数据库系统。从处理能力和容错的角度考虑，硬件应该采用高可用性系统。

2.3平台功能结构划分

平台功能从网络结构的角度可以分为三个部分：系统服务模块、受控安全模块和启动平台模块。系统服务模块包括数据库、数据库接口、游戏场景服务器、网关服务器、列表服务器、入口服务器、角色存盘接口及存盘服务器、第三方合作接口和游戏计费系统；受控安全模块包括数据库接口服务监控端、存盘服务器信息查询工具、游戏管理员工具、计费系统监控、平台配置系统和WEB服务（帐户站、玩家论坛和游戏官方网站）；启动平台模块包括平台初始启动程序、列表程序、游戏客户端和下载工具。

2.4数据存储层设计

数据库设计是很大程度上决定应用程序的质量和成功与否，并关系着整个平台的功能和效率。平台根据网络游戏的逻辑功能要求，可将数据库系统分为游戏数据库、用户数据库、游戏日志数据库三个数据库。其中游戏数据库主要处理游戏业务逻辑，存储游戏内容相关的数据，像角色信息、战区配置信息等，同时也处理与角色相关的计费问题；游戏日志数据库主要处理日志数据和外挂数据，存储外挂封停记录、日志数据，像外挂封停名单、封停日志等；用户数据库主要处理玩家帐号信息和费用管理。

3 具体模块设计

3.3系统服务模块

系统服务模块就是一个服务器集群，在网络游戏中称为战区，服务器群内的服务器按照功能可划分为数据库、网关服务器、游戏服务器、角色存盘接口及存盘服务器、列表服务器、入口服务器等。每组战区服务器根据战区人数的多少可以灵活的改变战区的逻辑结构。系统服务模块各服务器功能描述如下：

(1)数据库：为战区提供数据存储空间和数据操作的特定环境，是其他一切服务的基础。

(2)数据库接口：是战区连接数据库读取玩家信息和战区信息的接口，并负责监视战区运行状态的任务。

(3)网关服务器：是整个游戏的网关，玩家和游戏世界的消息通过网关服务器传递，并且由其判断消息的正确性和过滤非法消息，负责客户端的登陆登出，计费校验等工作。该服务器处理的消息量很大。

(4)游戏服务器：负责打开游戏场景，并处理玩家在游戏过程中的操作。通常该服务器的实际承受人数在千人左右。

(5)角色存盘接口：根据游戏服务器的需求存取玩家档案。目前角色存盘接口服务器常用于存储帮派信息、玩家在游戏中的活动记录等。这是整个游戏世界的核心部分，其数据需要重点保护。

(6)入口服务器：负责引导寻找列表服务器，具有分压功能，能自动寻找较闲置的列表服务器，分担玩家请求战区列表的压力。

(7)列表服务器：游戏世界的入口，它的作用是从数据库中读取列表信息，显示战区列表。维护人员可通过开关列表服务器或更改数据库中的开关来控制玩家登陆游戏。

3.4受控安全模块

网络游戏平台的特点有两多，一是服务器多，并且分布在全国各地；二是服务多，有数据库服务、web服务、平台的DBI、Gate服务等。平台管理员要管理这些服务器主机和起停主机上的服务等一些繁琐的工作，当服务器达到一定数量的时候，这些工作会变得庞大而且容易出错。并且对主机的资源状态、性能和服务的负载等等情况都没有很好的办法获得。所以在这样的情况下，就需要监控管理界面来完成实时监控和自动化操作。

同时网络游戏平台需要给玩家提供一个注册、交流、帐户操作的地方，给第三方提供开展业务合作的接口。这些需求通过WEB来实现。受控安全模块就包含这些功能，主要分为WEB应用、管理和监控这两个部分，此处不再详细描述。

3.5启动平台模块

游戏启动平台是指启动游戏的一些客户端和服务器程序其中包括启动界面、显示列表服务的界面、升级程序、升级提示程序、列表服务器、入口服务器。其主要流程：用户通过启动界面访问入口服务器，由入口服务器通知界面应该连接的列表服务器；确定列表服务器后，通过列表服务器列取战区列表；选择战区后，界面可获得其ip和端口，并进行版本升级控制，并引导玩家登录；登录成功后界面将启动游戏客户端；游戏客户端根据参数连接网关服务器并进入游戏世界开始游戏。

3.6容灾与安全方案

作为大型网络在线系统必须考虑容灾及安全方案。平台中采用的容灾方案的基本思想是：生产环境的两台服务器，组成一个本地的双机热备环境，热备份实现交易日志双机备份。当本地的一台服务器发生故障时，应用会自动切换到本地另外一台服务器上。在备份地点，由一台服务器作为备份服务器。当生产环境中的两台服务器都不能工作时，灾备中心的服务器自动启动应用，恢复正常的生产环境。

本平台从以下几个方面保证平台的安全：统一管理登陆服务器的用户，记录用户登陆服务器的详细信息，将所有服务器设置安全策略，限制只有VPN服务器的IP地址才可以登陆。用来阻止除VPN服务器以外的计算机登录平台；对非法外挂、帐号盗用提供投诉管理机制；对数据核查，通过全面完整的日志纪录，平台系统可以对业务、操作等进行核查工作，及时发现管理问题，保证系统安全；在各个环节的任何两点之间都采用加密算法保护数据安全；对于像通讯平台这种接入的关键节点，对客户端连接进行安全性检查，验证身份的有效合法性；在数据的存储过程中，对于高安全性数据，采用加密存储的方式进行存储，以最大程度地保证客户交易的安全性和員工操作的安全性；内置的双机热备份功能和建立专门的灾备中心，保证系统可靠运行；应用服务器、通讯服务器、数据服务器以集群方式运行，保证系统不应单点故障失效；将对用户、员工、游戏管理员等所有对系统进行操作的权限控制集中到数据中心；实时监控网关服务器、数据库接口、异常事件等等的，及时发现处理机和应用服务器故障，减少停机时间，防止业务管理问题。

4 方案的特色

稳定、可靠：平台设计采用分组的方式，用一台角色存盘接口服务器、二台游戏服务器、一台网关服务器组成一个网络组，用很多不同的小组分散开满足前端的游戏请求，对集中计算的一些工作，可以被分配到后端不同的小组中，这些小组共同组成一个功能强大的系统平台。而在每一个小组中，不同的服务器各司其职，前端的网关认证服务器负责接入、经过负载均衡算法后把用户引入到合适的游戏服务器，最大限度地发挥设备的功能，满足在线用户的游戏需求。

可扩展性、可维护性：由于玩家数量的多少关系到一款网络游戏的成败，因此平台就要有可扩展的机制来满足越来越多的在线人数。平台通过采用同时开放多个战区或者改变战区的逻辑结构以提高承载在线人数。

高安全、易管理：系统设置为内、外网。外网主要实现与网络上用户的互连，提供一个基础的认证、游戏平台。内网则主要是对系统文件的管理、游戏内容管理、用户信息管理、系统的维护，甚至是收费方面的管理和内部的信息化管理、自动化管理等。

5 结论与讨论

基于集群技术的分布式四层网络游戏平台体系结构属于松耦合集群系统，不需要在集群中部署特殊的中间件层或者OS扩展，对服务器结点OS的兼容性比较好。对于其内部结点而言，基本上可以兼容多数的IP应用，不需要做复杂的移植和安装工作，该方案具有很好的稳定性、可靠性及可扩展性。经测试，10台网关服务器＋20台游戏服务器＋10台角色存盘服务器＋2台数据库接口服务器＋存盘节点服务器2台。最高可支持20000人同时在线。

参考文献：

[1]陈志刚,李登,曾志文.分布式系统中动态负载均衡实现模型[j].中南工业大学学报,2001,32(6):635-639.

[2]王晓川,叶超群,金士尧. 一种基于分布式凋度机制的集群体系结构[J].计算机工程,2002,28(8):232-234.

[3]赵水宁, 邵军力. 多web服务器负载均衡技术的研究[J].电信科学,2001,(7):6-8.

[4]章文嵩.Linux服务器集群系统(四)[DB/OL]. http://www-900.ibm.cora/developerWorks/cn/linux/cluster/lvs/part4/in-dex.Shtml.2002-05-10/2003-02-18.

[5]李东.IBM金融行业灾难恢复解决方案.软件世界,2001(12).

[6]李虎雄,徐贯东,张燕姑. 网络游戏数据平台数据通讯的实现方案.计算机工程与设计,2005.11.

[7]梁健,董德存.基于IMS的游戏平台构架研究.广东通信技术,2005.7.

[8]荣钦科技.著.游戏设计概论.北京科海电子出版社,2003.6.

4.大型网络设计方案篇四

 课程设计的目的及要求…………………………………..3  课程设计的内容…………………………………………..3  绘制拓扑结构图…………………………………………..4  详细步骤…………………………………………………..4  路由器或交换机配置的代码……………………………..6  显示最终的结果………………………………………….8  课程设计总结…………………………………………….9

大型网吧组网设计方案

 课程设计的目的及要求

 目的：

通过一周的课程设计，培养进一步理解和掌握网络组网的过程及方案设计，为今后从事实际工作打下基础；熟练掌握子网划分及vlan配置，熟练掌握路由器和交换机的配置。

 要求：

要求能根据实际问题绘制拓扑结构图，拓扑结构图可以是树形、星形、网状形、环状形及混合形结构的之一，清晰的描述接口，进行路由器或交换机的代码配置实现，并且每个方案的需有以下几部分的内容：

 需求特点描述；  设计原则；

 解决方案设计，其中必须包含：

（1）设备选型；（2）拓扑图；（3）VLAN划分；（4）IP地址规划；（5）综合布线设计。

 课程设计的内容

 内容：

设计一个具有500个用户节点的大型网吧的网络，其拓扑结构为树形，pc通过交换机连接起来，网络之间通过路由器或交换机连接起来，配置路由，实现局域网之间能够互相连通，在网络内部联网的分布使用的是私有IP地址，通过路由器进行NAT转换，连接到互联网，并且设计其安全性。

 分析：

要求要有500个用户节点，无法使用单个网络，故采用单臂路由，划分Vlan的方法突破255台电脑数量限制。而且还应使用vtp域划分网络。

 绘制拓扑结构图

说明：

PC-PT: PC主机

Switch-PT: 交换机 Router-PT: 路由器 Server-PT: 服务器黑实线：直通线黑虚线：交叉线

红闪电状线：带时钟的DCE线

 详细步骤本方案使用路由器模拟软件Cisco Packet Tracer 5.3虚拟实现。设备选型：

设备选用于Cisco Pocket Tracer 5.3 素材库。路由器：Generic Router-PT 交换机：Generic Switch-PT PC机： Generic PC-PT 服务器：Generic Server-PT 直通线，交叉线，带时钟DCE串口

该网络内部共有三个块---网吧PC机块，总台块，服务器块三块。其中网吧PC机块的终端机最多，是用于网吧营业，给客户使用的电脑。总台块是用于网吧管理人员管理网吧的控制端。服务器块可以为网吧内网提供内网服务，如视频点播，音频点播，公共资料共享及局域网游戏等服务。

划分vtp域后由为与中心交换机连接的每台交换机配置一个vlan，以拓展网络的包容范围，实现大型网吧的PC机数量。

为各个模块设置好IP及掩码等信息后，设置路由器Router1和Router2，通过单臂路由及vlan来实现内网的通畅，使得网吧内的每台PC机都能访问内网服务器及外网（Internet），网吧内PC机之间也要实现互访。

需要注意的是，由于网吧管理及连通的必要性，本网吧内的所有主机都是互通的，所以未使用ACL进行访问控制。

VLAN划分；

本网络共划分了6个vlan，分别如下： Vlan 名字

对应交换机接口

对应设备 PC0-1 PC2-3 PC4-5 PC6-7 Server0-1

对应IP地址

192.168.1.2-3 192.168.2.2-3 192.168.3.2-3 192.168.4.2-3 192.168.5.2-3 Vlan 2 vlan002 Vlan 3 vlan003 Vlan 4 vlan004 Vlan 5 vlan005 Vlan 6 vlan006

Switch1 fastEthernet0-5/1 Switch2 fastEthernet0-5/1 Switch3 fastEthernet0-5/1 Switch4 fastEthernet0-5/1 Switch5 fastEthernet0-5/1

Vlan 7 vlan007 Switch6 fastEthernet0-5/1 PC8-9 192.168.6.2-3

 路由器或交换机配置的代码

Router>enable Router#configure terminal Enter configuration commands, one per line.End with CNTL/Z.Router(config)#interface Serial0/0/0 Router(config-if)#no shutdown Router(config-if)#clock rate 9600 Router(config-if)#ip address 192.168.0.1 255.255.255.0 Router(config-if)# Router(config-if)#exit Router(config)#interface Serial0/0/1 Router(config-if)#no shutdown Router(config-if)#clock rate 9600 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)# Router(config-if)#exit Router(config)#interface Serial0/1/0 Router(config-if)#no shutdown Router(config-if)#clock rate 9600 Router(config-if)#ip address 192.168.2.1 255.255.255.0 Router(config-if)# Router(config-if)#exit Router(config)#interface Serial0/1/0 Router(config-if)# Router(config-if)#exit Router(config)#interface Serial0/0/1 Router(config-if)#

Router(config-if)#exit Router(config)#interface Serial0/0/0 Router(config-if)# Router(config-if)#exit Router(config)#interface Serial0/0/1 Router(config-if)# Router(config-if)#exit Router(config)#interface Serial0/1/0 Router(config-if)# Router(config-if)#exit Router(config)#interface Serial0/1/1 Router(config-if)# Router(config-if)#exit Router(config)#interface FastEthernet0/0 Router(config-if)#no shutdown

② 路由器的路由表配置：

Router(config)#router rip Router(config-router)#network 192.168.0.0 Router(config-router)#network 192.168.1.0 Router(config-router)#network 192.168.2.0 Router(config-router)#network 192.168.3.0 Router(config-router)#network 192.168.4.0 Router(config-router)#network 192.168.5.0 Router(config-router)#network 192.168.6.0 Router(config-router)#end 其他路由器类似进行命令配置

各个交换机的配置命令：

① Switch0配置如下：

Switch0(config)#interface FastEthernet0/1 Switch0(config)#switchport access vlan 3 Switch0(config)#interface FastEthernet0/2 Switch0(config)# switchport access vlan 3 Switch0(config)#interface FastEthernet0/3 Switch0(config)# switchport access vlan 3 Switch0(config)#interface FastEthernet0/4

Switch0(config)# switchport access vlan 3 ② Switch1配置命令如下：

Switch1(config)#interface FastEthernet0/1 Switch1(config)#switchport access vlan 4 Switch1(config)#interface FastEthernet0/2 Switch1(config)# switchport access vlan 4 Switch1(config)#interface FastEthernet0/3 Switch1(config)# switchport access vlan 4 ③ Switch2配置命令如下：

Switch2(config)#interface FastEthernet0/1 Switch2(config)#switchport access vlan 5 Switch2(config)#interface FastEthernet0/2 Switch2(config)# switchport access vlan 5 Switch2(config)#interface FastEthernet0/3 Switch2(config)# switchport access vlan 5 Switch2(config)#interface FastEthernet0/4 Switch2(config)# switchport access vlan 5 其他交换机类似进行命令配置

 显示最终的结果

 网吧PC间互通

 网吧PC和总台互通  网吧PC和服务器互通

 网吧PC和外网互通

 总台与外网互通

 总台与服务器互通

 服务器与外网互通

 课程设计总结

5.综合性大型公园施工组织设计方案篇五

****公园作为**市区公共绿地的一部分，其绿化建设不仅可以给市民提供一个良好的休闲娱乐场，而且对改变**市区环境提高城市形象品味有着重大的意义。假如我方中标，我们将严格按照《城市绿化工程施工及验收规范》，精心组织施工，把好每个环节的质量关，确保该工程圆满竣工。

一、组织方案及主要措施：

********公园生态景观林位于******总绿化面积为****余亩，集休闲、娱乐、观赏为一体的综合性大型公园。是**市市委、市政府****的重点工程之一。

结合本工程实际情况，我们实行项目经理负责制，并成立专门施工领导小组，分苗木采购组和现场施工组。项目经理对该工程负责，对工程资金、人员及设备有充分的调配权，苗木采购由专业技术人员具体负责，现场施工由专门技术人员负责放线和质量把关,严格把好每个具体施工环节。安全施工，文明施工，确保达到业主精品标准。主要技术措施为：

1．现场堪察

在施工之前，对施工现场进行认真堪察，测定土壤性质，调查该地区温度及降雨情况。摸清这些情况以后，做好绿化施工技术的准备。

2．整地措施（土壤改良）

根据甲方提供的施工场地，对其进行精细平整，剔除其中的礓石、碎石，场地要做到上虚下实。整好的场地在自然的基础上，还要做到排水畅通。整好地是保证质量的第一步，也为以后的管理打下基础。

3．种植措施

在起苗栽植之前先挖好树坑，树坑要挖大、挖深。在栽植时采用近距离、起苗、带土球，适时移栽。把好苗木质量关，随时、随地、随栽、随浇水。栽后要浇透头遍水，浇实浇好二、三遍水，浇后及时固定、封土保墒。因考虑施工现场风多且大，我们采取随栽随固定措施，以保护植物的生长；栽后若遇天气干燥，应及时向叶面喷水，每天喷两到三次，保持叶面湿润，直到扎出新根。并在苗木栽植后按照设计要求和苗木生态习性及时修剪。

4．养护措施

后期养护管理由专人负责，及时浇水、除草、修剪、及时做

好病虫害防治和缺苗补栽工作，保障植物健壮生长，争取一次做到灌木和草坪成活率达95%以上，大树成活率达到100%。

二、施工进度计划及工期保证措施：

为了保证按时完成该项工程，做到有条不紊，对施工主要工作进度进行安排（见附表7.3），并采取以下措施，保证按期完工。

1．根据施工进度计划及材料需要用量计划，按时将各种设备材

料输入施工现场，并根据各个施工阶段所需工业劳动力计划切实安排。

2．根据施工进度计划，对计划中的关键环节，实行重点控制，严格监护。

3．合理调配劳动力、设备、物资、资金，保证连续施工，充分

发挥个人的主观能动性，使大家想工程所想，急工程所急，为工程早日竣工创造先决条件。

三、施工质量保证措施，养护管理保证措施：

1．安排专人定点、放线，保证位置准确无误，保证图案符合设

计要示。

2．由质量监察员负责坑槽的检查、验收：苗木质量的把关验收，确保每个坑槽合乎标准，每株苗木质量达标。

3．由养护主管负责绿化工程的养护管理，及时作好草坪及各类

苗木的修剪、病虫害防治等工作，要求精细管理，达到精品。

4．由施工主管负责按要求组织所属人员挖坑、挖苗、种植、浇

水，各个操作程序要严格按照技术规范进行。

5．在施工过程中，对不宜种植苗木的坑槽土壤换土。

6．绿化种植要先翻整绿地，种植草坪地要翻2遍，平整去杂。

7．种植苗木要先挖好坑槽，再挖好苗栽种，保证当日挖苗，当

日栽种，外调苗木，随到随栽，所有栽种苗木，随栽随浇，保证在栽后24小时之内浇上第一遍水。

8．常绿树种带土球栽种，土球包装完好，不裂不散，土球大小

规格适宜。裸根苗木要保证大根不劈不裂，并尽量多保留须根。

四、安全生产、文明施工措施：

我们是一支园林绿化专业队伍，设施齐全，技术力量雄厚，职工素质高，该项工程的施工也是我们这支队伍文明程度的检验。

1．建立健全安全管理体系，实行公司、项目部、施工队三级安

全网，并进一步完善各项安全规章制度。

2．以项目经理为安全责任人，设专职安全员。

3．工人进场前要组织进行安全教育，签订安全责任书，特种作

业人员要持证上岗。

4．对每个分项都要进行安全技术交底，每道工序要按安全操作

规程进行施工。

5．遵守劳动纪律，听从领导和安全员指挥，未经许可不得从事

非本工种作业。

6．施工场地材料堆放，车辆停放合理布置，做到工序合理，场

容整洁文明，垃圾每日一清。

五、绿化后期养护

绿化植物栽植完成后,进入养护期,安排专业人员值班养护,养护期的主要工作是保证植物无病虫害,肥水充足,及时修剪树木,及时补栽,保证树木成活率。

(1)植树材料病虫害防治：根据绿化植物的生长规律，及时

喷洒农药预防病虫害，同时随时观察栽植树木的生长情

况，保证树干、枝叶无虫、病害，生长正常，树形、姿

态、造型优美，无枯黄枝叶；

(2)定期合理施肥浇水：根据绿化植物的生长规律定期施肥

浇水；保证树池和绿地定期内水肥足，不缺肥少水，水

后中耕松土及时，经常保持土壤疏松，基本不板结，无

水冲后的塌陷或洞穴。松土深度适宜，边沿整齐，地表

平整，无漏松地块，不损伤树干，不松动，损伤植株根

系；

(3)保证树池和绿地内整洁卫生：基本无渣土、杂物、杂草、污水、污物、石砾、瓦砾及堆料，树冠及植物上无勾挂的塑料袋、纸片等杂物；

(4)及时修剪：树木及时正确剥芽、去蘖、清干，及时定枝，正确修剪，剪、截口平滑、无劈裂、不扯损树皮，不留

木桩。枝条疏密度适宜（基本无病虫枝、枯死枝、交叉

枝、重叠枝）；

(5)乔木类养护标准：排列整齐划一，分枝基本统一，高粗

均匀一致，枝叶疏密适宜，叶色正常，树冠丰满完整，树形周正，生长健壮，姿态优级美，树木排列的木缘线、林冠线整齐划一；树木无破相、无烧条、无枯枝、破损

枝和枯黄枝叶，树干与地面基要垂直，树干基部与土壤

密结无松动；在绿化工程的养护阶段，乔木的成活率和

保存率达到95%以上，反死树和缺株断行的，应及时补

栽；

(6)灌木类养护标准：株型周正、枝叶茂盛，树形整齐美观，生长旺盛，枝条疏密适宜，枝叶茂盛，造型丰满，叶色

正常，无枯黄枝叶，株高、冠径大小一致。

说明

星欣设计图库资料专卖店拥有最新最全的设计参考图库资料，内容涉及景观园林、建筑、规划、室内装修、建筑结构、暖通空调、给排水、电气设计、施工组织设计等各个领域的设计素材和设计图纸等参考学习资料。是为广大艺术设计工作者优质设计学习参考资料。本站所售的参考资料包括设计方案和施工图案例已达几十万套以上，总量在数千G以上。图库网址http://

联系QQ：447255935

6.网络设计方案篇六

中型网络可以配置双WAN口路由器，接入电信或网通两条线路，这样可以加快访问不同线路网络的速度，还可以起到负载均衡的作用。出于上网员工多和公司规模升级性考虑，一般中心交换机应当选择千兆交换机；工作组交换机则选择百兆交换机。另外，为了方便网络的划分和安全，最好选择带有VLAN功能的交换机。

用网线（直连线）连接路由器的LAN口到中心交换机的1口或最未口；用直连线连接中心交换机到工作组交换机的1000Mbps端口。最后，用交叉线连接工作组交换机的100Mbps端口到电脑即可。

电脑数量太大时，就要划分成多个网段，各网段用不同VLAN，通过路由进行通讯。这样才能保证网络整体的稳定性，即使有故障也无法扩散，减少故障损失。

对于位于同一地理区域的多台电脑，也可以按每150台划分一个VLN。由于电脑分别安放在各个层楼中，因此可将每层楼中的电脑划分到一个VLN中。

例如可为上层楼中的电脑分别设置IP地址为：192、168、1、2～192、168、1、254；下层楼中的电脑分别设置IP地址为：192、168、10、2～192、168、10、254、子网掩码均为“255、255、255、0”，网关均指向中心交换机配置的内网口IP地址，如“192、168、0、1”。

本方案不仅适用于组建中型网络，而且在公司扩大经营规模后，也有良好的升级性能——只需要加入二层工作组交换机，连接新添加的电脑即可。此外，该方案还可以应用在各种小型局域网，这时双WAN路由器就不是必须的了，中心交换机就直接连接外网即可本方案不仅适用于组建中型网络，而且在公司扩大经营规模后，也有良好的升级性能——只需要加入二层工作组交换机，连接新添加的电脑即可。此外，该方案还可以应用在各种小型局域网，这时双WAN路由器就不是必须的了，中心交换机就直接连接外网即可

本方案采用二层结构：核心层和用户接入层，通过交换机之间的级联组建网络，就可以满足公司的各种办公应用，网络拓扑图如图所示。

对于位于同一地理区域的多台电脑，也可以按每150台划分一个VLN。由于电脑分别安放在各个层楼中，因此可将每层楼中的电脑划分到一个VLN中。

7.大型网络设计方案篇七

内部电视系统是大型体育场弱电系统的基本组成部分, 整套系统需要具备接收电视节目以及进行比赛影像视听总控的功能。除了普通的有线电视节目和广播电视节目之外, 卫星电视和自办电视节目以及网络电视节目也被涵盖在整个系统之中, 整个系统庞大而复杂。而且, 为了满足整个网络的“生存周期”不小于10年的要求, 我们在系统分配网络的设计上, 放弃了同轴电缆作为传输介质, 采用了最近几年兴起的双屏蔽6类网线的布线方式, 使得整套系统, 在适应性方面, 在功能扩展方面都留有了巨大的拓展空间, 为整个体育场建筑的整体设计和实际使用提供了良好的提升空间。

1 体育场内部电视系统结构及组成

1.1 系统结构示意图

1.2系统组成

整个系统包括:电视前端系统、内部电视分配系统以及用户终端系统。

2体育场内部电视系统方案设计

2.1电视前端系统

电视前端系统由卫星电视、广播电视以及内部自办节目三大部分组成。

卫星电视部分包括:卫星天线、高频头、天线放大器、功分器、数字信号处理器;

自办节目部分包括:DVD影碟机、模拟信号数字编码器;

广播电视节目部分包括:全频电视天线、电视信号解调器、数字编码器。

卫星电视信号由相应频段的卫星天线及高频头接收, 高频头的信号输出接至天线放大器, 卫星电视信号经过放大后, 由射频电缆将信号传输到内部电视设备机房, 和信号功率分配器输入端相连, 功率分配器将放大后的卫星电视信号平均分配, 输出多路卫星电视信号分别至数字信号接收机 (数字信号处理器) , 从而完成卫星信号的前端传输和分配。

自办节目的信号源一般由影碟机和相关设备提供, 其信号多为模拟信号, 因此, 信号需要接入编码器, 进行信号编码变为数字信号后进入分配网络。

广播电视节目信号由电视天线接收, 先经过解调器进行信号解调, 再输入到编码器进行数字编码, 进而进入分配网络。

由于我们的系统是以6类线作为传输介质的, 因此, 在各种前端设备的选择上, 我们都必须考虑用带有支持TS over IP 100M输入/输出功能的设备。

2.2 内部电视分配系统

本系统的分配网络区别于传统的“HFC”光缆及同轴电缆分配网络, 它是利用6类双屏蔽网线作为传输介质的, 基于这种设计思想, 我们在系统中加入相应的网络设备, 利用相关的网络管理软件管理和协调前端系统信号的分配和用户终端系统的使用。

对于前端信号设备, 预先按规定分配各设备固定的IP地址, 数字信号处理器及编码器对应的输出连接至核心交换机上。管理服务器和核心交换机相连, 利用内部的管理软件将不同的信号源设备的IP数据包进行数据编辑整合, 然后再以IP数据包的形式和核心交换机进行数据交换, 通过核心交换机进入局域网到达用户终端系统。

局域网由各楼层网络交换机及相关的6类布线构成, 和双屏蔽6类网线相配套, 我们选用千兆网络交换机作为网络交换设备, 各楼层按照和设备机房的距离, 分别采用光纤和6类网线连接。

2.3用户终端系统

用户终端系统由IP机顶盒+普通电视机构成, 每一个电视终端需要配备一套。IP机顶盒按规定预先设置好IP地址, 并配备用户使用的遥控器, 由使用者操作遥控器进行节目的切换及点播。用户的操作信息通过网络系统以IP数据包的形式传递给核心交换机, 由核心交换机传递给管理服务器, 管理服务器利用管理软件接收用户操作信息, 并执行操作信息的指令, 将指令规定的信息发送给终端用户, 从而实现视频播放及点播等功能。

参考文献

[1]刘进军.卫星电视接收技术[M].北京:国防工业出版社.

[2]刘复欣.建筑弱电系统安装[M].北京:中国建筑工业出版社.

8.大型网络设计方案篇八

摘要：随着计算机技术和网络的发展，通过对XX大型商场内部局域网系统的设计方案的考量，建立以大型商场局域网为中心的计算机网络布局，以顾客满意为宗旨，设计出一个以后勤管理为辅助相结合，开发一个XX大型商场内部局域网系统很有必要。

关键词：局域网；计算机网络；；vlan

中图分类号：TP393.1 文献标识码：A 文章编号：1671-864X（2016）03-0267-01

一、XX大型商场内部局域网的设计方案

（一）XX大型商场内部局域网的设计标准与规范。

网络标准规范为XX大型商场局域网的应用系统提供坚实的保障。

本设计方案所遵循的标准有：

X.509是由国际电信联盟（ITU-T）制定的数字证书标准TCP/IP 传输控制 HTTP 超文本传输协议等

（二）支持同步处理的特性。

服务器并行处理多个客户机之间的并行操作。

（三）网络结构方案设计。

1.网络需求分析。

随着时代的变迁，XX大型商场局域网设计应充分考虑将来业务量的增减和业务模式的演变，XX大型商场局域网进一步提出了建设高性价比的企业内部局域网，从而为XX大型商场的局域网的业务发展奠定厚实的网络基础。

2.我们可以把网络划分为两大层核心架构：核心层（CD）交换机和接入层（FD）交换机。核心层的功能主要是实现骨干网络之间的优化传输，一般一个企业或者一个公司就是一个，一般要求万兆以上的交换机，从而能确保高速的传输。

同时，核心层网络交换机还应该具有高带宽、语音、数据、监控等功能，易于管理和维护，有较低的有成本。

接入层交换机目的是允许终端用户连接到网络的信息点上，在三大层里，数量最多，一般每层楼都要有一个，由于其价格比较便宜所以接入的用户最多。接入交换机是最常见的交换机，它直接服务用户，与用户联系最为紧密，使用最广泛，尤其是在一般宿舍、小型公司和业务受理较为密集的业务部门等部门。在传输速度上，现代接入层交换机大都提供多个具有10M/100M/1000M自动调节速度的功能。对网络中的每个用户提供接入服务，完成到FTTH的最终连接。

二、本设计方案设计的原则

（一）兼容性。

考虑到XX大型商场局域网的未来企业发展的需求，组建该局域网采用的产品应该支持各种各样的标准，使得商场与外部通讯更加及时和快捷。

（二）可扩展性。

设计实施应该想到XX大型商场的网络建设步骤，保证投资的最大效益。

三、网络设计及IP规划

（一）XX大型商场内部局域网。

设计应包括核心层（CD）交换机、汇聚层（BD）交换机、网络接入层（FD）交换机三个不同的层次，网络产品推荐基本参数如下：：核心层（CD）交换机使用万兆骨干智能路由交换机来完成，汇聚层（BD）交换机采用智能化的三层交换机，接入层（FD）交换机使用智能化快速的以太网交换机设备。

在主流的交换机产品中提供多种虚网组织方法：

1.基于端口的虚网划分。

2.可对每个端口设置相应的安全控制策略，防止非法用户的侵入。

3.可借助三层交换机，实现基于IP 子网的虚网。

4.利用VLAN 国际标准802.1Q，可实现跨交换机的VLAN，通过VLAN生成树技术（PerVLANSpanningTree），可实现各VLAN 之间的负载均衡，并且当网络拓扑发生变化时，只影响到相关的VLAN 的生成树重新计算，使网络的收敛时间最短。

5.采用VLANPruning 技术来优化交换网络中广播对网络性能的影响，控制广播风暴到没有该VLAN 成员的中继和交换机上去。

（二）IP/VLAN 规划工作

1.确定企业网内网IP 地址网段。

我们使用的私有IP地址以后，来进一步划分子网段，并与VLAN 号的部门相关联如表3-1所示。

2.规划主交换机端口VLAN

主交换机是一台具有网络层功能的三层交换机，需要为它配置路由选择静态动态协议，以实现VLAN 间的线速路由。

3.对于防火墙的规划、服务器、路由器的IP 地址MAIL/WWW/FTP 服务器、防火墙的。网卡、防火墙的外网卡、路由器广域网（WAN）口1应该使用从ISP（Internet服务运营商）申请到的合法IP地址。实现VLAN间路由的配置技术说明：当交换机上的VLAN数量很多时，通常会采用路由器快速以太网子接口及IEEE802.1Q 封装对VLAN间的数据进行路由。实现VLAN间路由的配置技术说明：当交换机上的VLAN数量很多时，通常会采用路由器快速以太网子接口及IEEE802.1Q 封装对VLAN间的数据进行路由。

四、总结

本文实际上重点讨论基础网络的组建、服务器的设计，这是企业中组建网络现阶段遇到的最为主要问题。方案设计人员应该清楚在自己的整个系统集成上主要的组成部分究竟都有哪些，他们各自的侧重点又在哪儿。

参考文献：

[1] 王和平.《小型企业网络管理教程》，武汉理工大学出版社 2012

[2] 汪双顶.《计算机网络安全技术》，电子工业出版社 2015

作者简介：

帅志军（1977-），男，江西南昌人，副教授，江西现代职业技术学院教师，硕士，主要研究方向：计算机网络、硬件和软件。

【大型网络设计方案】推荐阅读：