深圳职业技术学院多层交换作业班级：计算机网络技术132班姓名：冸欣欣目录一、摘要………………………………………………………………..3二、需求分析与设计原则 (4)三、设计方案............................................................................. (5)四、V L A N划分和I P地址规划 (10)五、设备选型和报价 (11)六、接入层配置..............................................................................1 3七、分布层配置..............................................................................1 4 八、核心层配置..............................................................................1 6 九、出口路由配置 (1)7摘要本设计方案是关于小型企业局域网的设计，设计方案分为三个模块：交换模块、Internet接入模块、远程访问模块。

根据各部门职能不同把交换模块划分为不同的VLAN，从而减少了广播冲突提高了传输效率，通过部署ACL限制用户的访问，有效地保护敏感数据，提高了网络安全性。

借助三层交换机的路由功能，可以实现各VLAN间数据包高速转发，解决VLAN之间的传输瓶颈。

Internet接入模块功能主要通过路由器来实现，它的作用主要是建立外网和企业网的正常通信。

使企业网的用户访问Internet同时Internet用户能在一定程度上访问企业网。

通过配置NAT(Net Address Translation)，不仅是企业网用户可以访问Internet，而且对外隐藏企业网内部地址，从而实现地址保护。

远程访问模块是针对移动用户设计的。

通过VPN（Virtual Private Network）技术可以在公共网络的两个端点间建立一条逻辑连接，使在外办公人员可以通过Internet访问公司内部网，极大地提高了办公效率，同时免去了高昂的专线租用费用。

关键字：企业局域网、虚拟局域网、网络地址转换一、需求分析与设计原则1.1概述在这信息爆炸的时代，计算机扮演着越来越重要的角色，面对庞大的计算机群，网络的规划、管理、安全成为首要任务。

通过本次设计与研究，将局域网技术应用于企业，使得企业办公自动化，信息网络化，资源共享，向网络化经济迈进。

搭建完整的企业网络，能够提升员工的办公效率，能快速的共享资源，能便于管理，网络更能为企业带来全新的商机。

1.2需求分析•当前局域网的流量特点：主要是访问各种服务器（部门或者企业服务器），部门之间主机通信不多。

•保证可用，100M到桌面，1000M到服务器。

•三层结构，核心选用较高端设备，有较大的扩充性。

•接入和分布层以够用为原则，留有少量的扩充余地。

•主干实现冗余，访问层不考虑冗余。

1.3设计目标•为公司设计合理的局域网规划方案，建设以下目标：•网络总体建设成为信息一体化、管理集中化、业务多样化的公司局域安全网络。

•网络结构清晰，网络层次合理，便于扩展和维护。

•网络的接入满足公司的办公需求。

•网络设备具备高性能、高可靠性、高稳定性、高安全性。

•设施的配置选择要高性价比，性能参数、技术领先，售后保障强。

1.4设计原则•（1）、可管理性•具有分级、分权管理能力的网管系统，实现统一的网络业务调度和管理，降低网络运营成本。

同时由于使用者数量巨大，网上开展的业务众多，因此需要能够提供用户的高效管理，以确保公司的利益不受损失。

•（2）、可扩展性•随着公司的发展，局域网络的接入会有所变动。

因此，网络应考虑其扩展的灵活性，增加冗余接口，方便用户的接入与退出。

•（3）、开放性•技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护和管理手段，实现网络设备的统一管理。

•（4）、安全可靠性•设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。

定时定期对网络检查，预防和提前发现隐患，及时解决。

•（5）、先进性。

•企业网络应能代表目前较为先进的网络技术，提供能够跟踪主流、前沿网络技术的综合网络环境，应与社会发展相适应。

所选网络设备要求支持协议类型丰富、配置灵活、可扩展性强、支持千兆交换、满足IPv6等网络技术研究的需求。

二、设计方案1.网络拓扑设计网络搭建采用模块化设计思想，网络使用“核心层——汇聚层——接入层”三层结构。

三层网络架构采用层次化模型设计，即将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。

三层网络架构设计的网络包括三个层次：核心层（网络的高速交换主干）、汇聚层（提供基于策略的连接）、接入层（将工作站接入网络）。

核心层：核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。

核心层应该具有如下几个特性：可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。

在核心层中，应该采用高带宽的千兆以上交换机。

因为核心层是网络的枢纽中心，重要性突出。

核心层设备采用冗余备份是非常必要的，也可以使用负载均衡功能，来改善网络性能。

汇聚层：汇聚层是网络接入层和核心层的“中介”，就是在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。

汇聚层具有实施策略、安全、工作组接入、虚拟局域网（VLAN）之间的路由、源地址或目的地址过滤等多种功能。

在汇聚层中，应该选用支持三层交换技术和VLAN的交换机，以达到网络隔离和分段的目的。

接入层：接入层向本地网段提供工作站接入。

在接入层中，减少同一网段的工作站数量，能够向工作组提供高速带宽。

接入层可以选择不支持VLAN和三层交换技术的普通交换机。

2.关键技术2.1NAT技术NAT技术主要实现内部网络地址转换，静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址，这样方便外网用户访问企业Web网；动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络；端口多路复用地址转换（PAT）是把内部地址映射到外部网络的一个IP地址的不同端口上，把企业内部网IP转换为公网IP地址，使内部用户可以方便的访问Internet。

目前，NAT技术主要用于连接和安全方面。

目前企业内部网络用户数量大，而能申请的合法的全球唯一IP地址有限。

NAT能够有效的解决企业IP地址短缺问题，利用NAT技术能够实现多个用户共同使用一个合法的IP地址连接互联网。

而另一种需要出于安全方面来考虑，在一定程度上防范网络攻击的发生。

企业期望隐藏LAN内部网络结构，NAT可以将内部LAN 与外部Internet隔离，使外部网络用户无法了解通过NAT设置的内部IP地址。

NAT技术在企业中都采取两种技术类型结合应用，比较好的还是和端口复用地址转换。

结合起来的技术如：端口复用地址转换、TCP/UDP端口NAT映射、静态地址转换+端口复用地址转换、动态地址转换+端口复用地址转换。

我们知道，不同应用程序使用TCP/UDP端口是不同的，例如，WEB服务器使用80、FTP服务使用21、SMTP服务使用25、POP3服务使用110等。

由于每种应用服务器都有自己默认的端口，所以这种NAT方式下，网络内部每种应用服务器成为Internet中的主机，例如，只能有一台WEB服务器、一台E-mail服务、一台FTP服务器。

尽管可以采用改变默认端口的方式创建多台应用服务器，但这种服务器在访问时比较困难，要求用户必须先了解某种服务采用的新TCP端口。

因此，可以将不同的TCP端口绑定至不同的内部IP地址，从而只使用一个IP地址，即可在允许内部所有服务器被Internet 访问的同时，实现内部所有主机对Internet的访问。

2.2VLAN技术根据各部门职能不同把各部门划入不同的VLAN减少了广播，提高了通信效率。

VLAN(Virtual Local Area Network)就是虚拟局域网的意思。

VLAN可以不考虑用户的物理位置，而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组，每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。

同一个VLAN中的成员都共享广播，形成一个广播域，而不同VLAN之间广播信息是相互隔离的。

这样，将整个网络分割成多个不同的广播域(VLAN)。

一般来说，如果一个VLAN里面的工作站发送一个广播，那么这个VLAN里面所有的工作站都接收到这个广播，但是交换机不会将广播发送至其他VLAN上的任何一个端口。

如果要将广播发送到其它的VLAN端口，就要用到三层交换机。

2.3三层交换技术三层交换（也称多层交换技术，或IP交换技术）是相对于传统交换概念而提出的。

众所周知，传统的交换技术是在OSI 网络标准模型中的第二层——数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。

简单地说，三层交换技术就是：二层交换技术＋三层转发技术。

三层交换技术的出现，解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络传输瓶颈问题。

2.4ACL技术控制访问列表（Access Control List，ACL）: ACL可以限制网络流量、提高网络性能。

例如，ACL可以根据数据包的协议，指定数据包的优先级。

ACL提供对通信流量的控制手段。

例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

ACL是提供网络安全访问的基本手段。

ACL允许主机A 访问人力资源网络，而拒绝主机B访问。

ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

例如：某部门要求只能使用WWW 这个功能，就可以通过ACL实现；又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。

2.5路由协议路由器提供了将异构网络互连起来的机制，实现将一个数据包从一个网络发送到另一个网络。

路由就是指导IP数据包发送的路径信息。

在互联网中进行路由选择要使用路由器，路由器只是根据所收到的数据报头的目的地址选择一个合适的路径，将数据包传送到下一个路由器，路径上最后的路由器负责将数据包送交目的主机。

数据包在网络上的传输就好像是体育运动中的接力赛一样，每一个路由器只负责将数据包在本站通过最优的路径转发，通过多个路由器一站一站地接力将数据包通过最优路径转发到目的地。