网络工程课程设计说明书证券公司网络规划与设计系、部：学生姓名：学生姓名：学生姓名：指导教师：专业：班级：完成时间：目录1 需求分析 (4)1.1总体网络需求分析 (4)1.2.1网络流量及宽带 (5)1.2.2 Internet接入 (5)1.2.3 IP地址划分 (5)1.2.4 网络安全 (6)1.2.5应用服务需求 (8)2 网络规划与设计 (8)2.1总体设计 (8)2.2网络设计 (9)2.3 网络拓扑及其结构设计 (9)2.3.1组网设计 (10)2.3.2存储网络设计 (11)2.3.3网络服务区设计 (11)2.3.4外联区设计 (12)2.4系统配置设计 (13)2.5 IP地址的详细规划 (13)3 测试 (14)3.1 项目基本描述 (14)3.2 路由器配置情况 (15)3.2.1 LSW5的配置 (15)3.2.2 LSW2的配置 (16)3.2.3 LSW3的配置 (17)3.2.4 客户端的配置 (20)3.2.5 特点的路由配置命令 (21)4 项目总结 (24)参考文献 (24)附录 (24)致谢 (25)1需求分析1.1总体网络需求分析所谓的需求分析从字面上的意思理解就是找出“需”与“求”的关系，从当前业务中找出最需要重视的方面，从已经运行的网络中找出最需要改进的地方，满足客户提出的各种要求，依据可与要求修改已经成形的方案的重要环节。

本证券公司为了不断增长的业务，需要建立一个全新高效的计算机网络系统，以为今后在证券交易时提供一个强大且稳定的业务平台，在此业务需求下，做出如下需求分析。

企业网络的总体需求即是一个统一、可靠和安全的自动化办公硬件平台系统。

这个企业网络系统必须满足以下几点：满足现代企业管理的统一，网络系统时增加对统一管理的要求；满足现代化自动办公对网络宽带的要求；满足多部门实现资源共享；满足现代企业对数据安全的高要求。

因此，企业在高速发展的大环境下必须加强企业内部各种“软硬件”的提升，网络当然也就必不可少，网络主干要求达到千兆位带宽，网络结构要求做到完全冗余，不存在单点故障，能不间断动作，网络系统对信息点接入能力要达到1000个以上。

企业要求在办公时能够内外网分开实现网络“纯净”化，业务网和办公网隔离，要求整个的企业网络能够“无死角”，保证企业内部数据的绝对安全,同时，还必须是高效、安全的，还应具备很有的扩展性。

本公司需要构建一个综合的企业网络，公司的主要营业范围有：证券公司的证券交易代理活动；专门从事股票、债券、期货及其他有价证券的投资活动；专门从事基金的投资活动；证券现券交易、证券回购等活动；证券包销、代销、转销等活动；投资公司及其他机构从事的项目策划、项目融资、财务顾问、企业购并、重组。

公司有如下部门：一楼：业务部、后勤部；二楼：IT部、人事部；三楼：财务部，总经理办公室也位于三楼。

网络规划的需求是：业务网和办公网“隔离”；员工网和领导网“隔离”；核心网络与数据中心在同步的情况下保持各自独立；保证内部数据的绝对安全性。

为了确定信息点，首先对各部门员工+领导进行人数统计（表1.1示），所有员工在处理业务时处于内网中，所有办公的系统挂在专门的服务器上，办公时不能直接访问互联网，领导作为外网信息点，同时拥有两台主机，一台处于内网，一台处于外网，综上所述：一楼共有56个信息点，二楼有25个信息点，三楼有14个信息点，整体办公网信息点有11个。

表1.1楼层、部门与信息点对应1.2基础构架需求针对中小型企业网的设计，网路结构采用典型的三层网络架构，并使用VLAN 技术来对网络进行划分管理；考虑到未来网络的发展，使用当今流行的千兆以太网技术，实现千兆核心、百兆接入；核心网络设备的冗余备份，实现公司内部的无间断运作；组建WLAN（无线局域网）区域，由于无线只用于较少的场合，这里选用无线AP+交换机（有线）的组合，实现简单、经济的无线网络解决方案。

1.2.1网络流量及宽带现代企业网络应具有更高的带宽，更强大的性能，以满足用户日益增长的通信需求。

随着计算机技术的高速发展，基于网络的各种应用日益增多，不仅要继续承载企业的办公自动化，Web浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务。

因此，数据流量将大大增加，尤其是对核心网络的数据交换能力提出了前所未有的要求。

所以，今天的企业网络已经不能再用百兆位到千兆位骨干来作为建网的标准，核心层及骨干层必须具有万兆位级带宽和处理性能，才能构筑一个畅通无阻的"高品质"企业网，从而适应网络规模扩大，业务量日益增长的需要。

1.2.2 Internet接入租用电信固定IP，申请高速的宽带网络，能通过Internet向外公布和发布企业信息，并能实施VPN（虚拟专用网络）方案；使用PAT（端口地址转换）和端口映射，在满足内网连接Internet 的同时能够让外网正确访问公共服务器。

1.2.3 IP地址划分出口路由为公司分配的172.16.107.2/24，进入出口网关172.16.107.1/24，网络经由172.16.105.2/29这个端口到核心交换机的172.16.105.2/29，核心交换机分配给业务网的为172.16.11.0/24的11网段，其余端口为113段，而服务器所在的数据中心则为：172.16.114.114/24；172.16.114.70/24；172.16.114.32/24。

这个的划分IP地址分为内网的划分，外网的则类似，并且外网的网络结构也和内网的差不多，只是在IP上习惯改为192.168.11.0/24。

1.2.4 网络安全采用访问控制措施对内网对外网、内网对DMZ（非军事区）、外网对DMZ 的防火墙设置，阻止恶意流量的侵入；启用VPN 解决方案，在最经济的条件下实现安全的异地信息共享，并能实现移动办公；因内网使用DHCP（动态主机配置协议）解决方案，启用DHCP 过滤、动态ARP（地址解析协议）检测等手段对内网安全进行巩固；对非员工区域以及无线网络接入启用802.1x验证方案；公司内部计算机安装防病毒软件来实施全网的病毒安全防护。

（1）电源的安全电源不仅是一个计算机网络能够运行的最基本条件，同时电源的安全也是计算机网络安全运行的最基本要素。

这里电源的安全不仅要求为所有的工作站、服务器和网络设备提供一个高质量的电源，同时还要设置良好的接地系统。

对于服务器和网络设备还要设置不间断电源（UPS）装置，这不但可以增加网络的连续运行能力，而且可以防止因为突然断电对网络硬件造成的损坏。

特别是服务器，如果正在运行的服务器突然断电，不但硬件设备可能出现问题，而且操作系统或应用因为没有正常关闭可能导致数据不能提交或系统不能正常启动，甚至造成服务器或应用的瘫痪。

这是任何一个企业都不愿看到的。

在网络建设和维护中，电源是最稳定的一个部分，一般情况下，它不会随着应用的发展频繁地升级，因此，中小企业在构建自己的网络系统时，进行相应的投资建立一个安全的电源系统是非常值得的。

(2)．防病毒设置计算机病毒一直是困扰着计算机和网络系统的最大问题之一。

随着计算机技术的不断进步，计算机病毒也不断地向智能化和网络化发展，具有更强大的攻击力和破坏性，从以往的破坏软件系统到现在的攻击硬件系统和网络系统，尤其是借助于发展迅速的Internet和Intranet，计算机病毒可以通过各种渠道迅速地蔓延并实施破坏。

如果没有防范措施的话，一个企业的计算机网络很容易因为计算机病毒的攻击而陷入瘫痪。

这对于一个企业而言，后果可能是致命的。

(3)．防火墙设置企业构建了Intranet，实现了与Internet的接轨，虽然为企业业务的开展日常的工作、学习带来了极大的方便，但是我们不得不面对的一个问题就是实现了与Internet的接入，企业的内部网络就完全地暴露在外界了，也就可能受到各种有意或无意的攻击。

因此建立企业的Intranet，必须建立网络的防火墙系统来保证内部网络的安全。

由于在Internet接入部分已经对防火墙的功能和工作方式进行了相关的介绍，这里就不再进行过多的描述了。

(4)．网络的安全教育保证网络的安全不仅需要通过相应的技术手段从硬件和软件着手对网络资源进行保护，对网络用户进行网络的安全教育同样重要。

首先，要建立一套完整的网络管理规定和网络使用方法，并要求网络管理员和网络使用人员必须严格遵守，否则的话，再先进的网络安全技术也不能阻止人为因素对网络安全造成的威胁。

其次，加强对网络管理员和网络使用人员的培训，让他们明白什么是可以做的，什么是严禁做的，可能产生的严重后果是什么。

对网络了解得越多，自我约束的能力也就越强。

第三，制定合适的网络安全策略，既不能让网络用户无限制地使用网络，也不能对用户限定得太死，引发用户设法绕过网络安全系统、钻网络安全策略空子的现象。

制定一种让网络管理员和网络用户都乐于接受的安全策略，可以让网络用户在使用网络的过程中逐步把网络当成工作中的一个得力工具，从而自觉地维护网络的安全。

1.2.5. 数据存储的安全保存在服务器中的数据是网络应用的核心，如果由于服务器磁盘故障造成数据的损坏或丢失，可能会造成无法估量的损失。

因此必须采取相应的容错及灾难恢复手段来加强服务器存储系统的可靠性。

目前，构建服务器存储系统使用最广泛的技术是RAID。

RAID的实现策略主要是用多个磁盘驱动器替换单一的大容量的磁盘驱动器，并将数据在各个磁盘上进行分布存放并支持同时在多个磁盘进行并行读写，同时利用冗余的磁盘空间将数据从错误中恢复。

由于服务器中构成RAID 的磁盘通常为热插拔磁盘，因此磁盘出现故障时，可以不停机地对故障进行修复，增加了网络系统的连续工作能力。

RAID分为好几个级别，每个级别在I/O性能和安全性方面各具特点，其中RAID1和RAID5使用最多。

RAID1—磁盘镜像。

它由磁盘对组成，每一个工作盘都有对应的镜像盘，保存着和工作盘完全相同的数据拷贝。

当对逻辑块进行写入操作时，工作盘和镜像盘都进行实时更新。

如果磁盘对中任一个磁盘失败，所有的读写请求立刻会转移到另一块磁盘上。

因此它具有最高的可靠性，但它的I/O性能和空间利用率不高，只用50%，适用于访问量不大但比较注重数据安全性的应用环境。

从性能价格比看，中小企业网络的应用服务器采用RAID1是非常合适的选择。

RAID5—没有独立校验盘的奇偶校验码磁盘阵列。

RAID5采用了独立存取技术，校验信息分布在阵列内的所有磁盘上，如果阵列中有一个磁盘失败，这个盘中的数据可以通过其他盘中的数据根据校验码进行异或运算获得。

RAID5至少需要3块磁盘构成，每一块磁盘上都要占用1/N的空间存放校验信息（N为构成RAID5的磁盘数量）。