烟草专卖局局域网升级改造规划方案毕业论文(编辑修改稿)

烟草专卖局局域网升级改造规划方案毕业论文(编辑修改稿)内容摘要：

采用 千 兆核心及核心设备的冗余，主要骨干链路采用 千 兆链 路， 百兆 到桌面。 (2) 烟草专卖局 局域网应将不同部门划分到不同的 VLAN中进行隔离，以保证网络安全。 (3) 应保证网络能够满足各种业务的需要，如： 财务 信息系统、 日常工作安排 系统 、工作人员信息管理系统 等。 (4) 随着技术的发展和业务的增长，可以通过更换或增加模块，使网络升级，网络规模和容量可以平滑增长。 (5) 要求整个网络具有高可靠性的总体设计，采用的技术是相对成熟的技术；所选用的设备具有高可靠性； 采用具有高安全级别的系统软件；可以实现网络自愈。 (6) 系统的性能指标能够完全满足网络内各项业务对处理能力的要求，且便于维护与管理。 (7) 网络和主机应支持符合国际和业界标准的相关结构，能够与相关系统和网络可靠互联；系统软硬件平台应具有良好的移植能力；应选择广泛应用的标准协议，支持局域网内部的其它协议。 技术选择分析 7 3 技术选择分析 VLAN 技术 VLAN(虚拟局域网 )是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。 一个 VLAN可以在一个交换机或者跨 交换机实现。 VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的 应用程序 和协议来进行分组。 基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。 传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费可贵的带宽 ， 而且对 广播风暴 的控制和网络安全只能在第三层的路由器上实现 [5]。 VLAN相当于 OSI参考模型的第二层的广播域，能够将广播风暴控制在一个 VLAN内部，划分 VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。 不同的 VLAN之间的数据传输是通过第三层 (网络层 )的路由来实现的，因此使用 VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。 网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时 VLAN和第三 层第四层的交换结合使用能够为网络提供较好的安全措施。 另外， VLAN具有灵活性和可扩张性等特点，方便于网络维护和管理，这两个特点正是现代局域网设计必须实现的两个基本目标，在局域网中有效利用虚拟局域网技术能够提高网络运行效率。 OSPF 协议 OSPF 是开放最短路径优先协议，是一种常用的动态路由协议，区别于距离矢量协议 (RIP)，在目前应用的路由协议中占有相当重要的地位，主要用在路由器或路由交换机之间发布路由信息 [6]。 MSTP 生成树协议 多生成树 (MST)使用修正的快速生成树 (RSTP)协议 ，叫做多生成树协议 (MSTP)。 MSTP将环路网络修剪成为一个无环的树型网络，避免报文在环路网络中的增生和无限循环，同时还提供了数据转发的多个冗余路径，在数据转发过程中实现 VLAN数据的负载均衡。 MSTP兼容 STP和 RSTP，并且可以弥补 STP和 RSTP的缺陷。 它既可以快速收敛，技术选择分析 8 也能使不同 VLAN的流量沿各自的路径分发，从而为冗余链路提供了更好的负载分担机制 [7]。 MSTP使用灵活，适用于任意复杂组网，配置相对也比较简单，最简单的情况下只需要将 MSTP协议开启即可，还可以通过设置桥优先级、域信息以及端口路 径开销来选择任意 VLAN的任意一条通路来实现流量转发。 ACL 访问列表 控制 访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。 它是保证网络安全最重要的核心策略之一。 访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 访问控制列表 (ACL)是应用在 路由器 接口的指令列表。 这些指令列表用来告诉路由器 哪能些数据包可以收、哪能数据包需要拒绝。 至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。 访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。 作为外网进入 南阳市烟草专卖局 内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。 VRRP 协议 虚拟路由器冗余协议 (VRRP)是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。 控制虚拟路由器 IP 地址的 VRRP 路由器称为 主路由器，它负责转发数据包到这些虚拟 IP 地址。 一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。 使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议 ， VRRP 包封装在 IP 包中发送。 VRRP 协议主要用在 2 台核心交换机上，本次方案中核心交换机选型为路由交换机，具备路由器的功能，通过运行 VRRP 协议可以防止单点故障的发生，即使其中一台交换机出现故障，也不会对 烟草专卖局 业务造成很大的影响，最大化的保护 了网络的正常运行。 FIREWALL 防火墙技术 防火墙指的是一个由软件和硬件设备组合而成、在 内部网 和外部网之间、专用网与公共网之间的界面上构造的保护屏障 ,是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使 Inter与 内部网 之间建立起一个安全网关，从而保护技术选择分析 9 内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、 包过滤 和应用网关 4个 部分 组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。 该计算机流入流出的所有 网络通信 和数据包均要经过此防火墙 [8]。 在网络中，所谓 “ 防火墙 ” ，是指一种将内部网和公众访问网分开的方法，它实际上是一种隔离技术。 防火墙是在两个网络通讯时执行的一种 访问控制 尺度，它能允许你 “ 同意 ” 的人和数据进入你的网络，同时将你 “ 不同意 ” 的人和数据拒之门外，最大限度地阻止网络中的 黑 客 来访问你的网络。 换句话说，如果不通过防火墙， 专卖局 内部的人就无法访问 Inter， Inter上的人也无法和 专卖局 内部的人进行通信。 南阳市烟草专卖局网络设计方案 10 4 南阳市烟草专卖局 网络设计方案 网络总体拓扑图 南阳市烟草专卖局 网络拓扑图如 图 41所示。 图 41 南阳市烟草专卖局 网络 结构拓扑 图 在 南阳市烟草专卖局 的网络的建设中， 主要分为两个办公区域，分别为办公楼 1办公区和办公楼 2办公区，办公楼 1办公区是一些重要的办公室所在的区域，如财务科，机关党委处等，这些办公室是不允许办公楼 2区 域的办公室的未经许可访问，而这两个办公楼区域对外网和服务器的连接 是 不受限制的 [9]。 核心层交换设计 核心层的主要目的是尽可能快地交换数据。 在 整个网络区域 中，汇聚层和核心层在某些地方会合二为一。 当汇聚层上有两个或更多子网时，就需要设计核心层来连接这些子网。 核心层负责传输穿过 网络区域 的数据流，核心层所处理的数据流比其它层次要大很多，应当能尽可能快地传输数据流 [10]。 核心层主要提供以下功能： (1)连接各交换区段。 (2)尽可能快地交换数据帧或数据包。 南阳市烟草专卖局网络设计方案 11 同时， 本方案 要求今后的网络均按 百 兆到桌面的要 求设计的，所以在实际运行的网络流量由于网络应用类型、网络结构、主干链路速率、网络投资等多种因素将远不能达到这种情况下计算出来的数值，但在工程上，以上估算数值可作为网络主干或中心的交换容量的参考指标。 汇聚层网络设计 汇聚层位于接入层和核心层之间，汇聚层是接入层和核心层之间的分界点和通信点。 这一层进行一些复杂的、消耗系统资源较大的数据包操作。 接入层设备汇接到一台或者多台汇聚层设备上。 汇聚层设备在接入层交换机之间提供第二层连接，同时提供第三层功能，支持路由选择和网络层服务。 如果需要的话，在汇聚层还可 以定义以怎样的方式对核心层进行访问 [11]。 汇聚层必须决定用最快的方式来处理网络服务请求。 汇聚层实现的主要功能包括 ： (1)VLAN聚合及 VLAN间路由。 (2)定义广播域和组播域。 (3)访问列表、包过滤和排序、 IP和 MAC的绑定。 接入层交换设计 接入层是三层模型中的最下面一层，也是和用户距离最近第一层。 接入层控制用户和工作组对互联网资源的访问。 接入层有时也称桌面层，大多数用户需要的资源将在本地获得，其余的远程访问数据流将由汇聚层处理。 可以在这一层通过过滤或访问控制列表提供对用户流量的进一 步控制 [12]。 接入层主要实现的功能包括 ： (1)提供到用户的接口。 (2)提供数据链路层服务。 (3)隔离冲突域 (即 VLAN的划分 )。 (4)访问控制。 由于到用户需要较多的物理接口所以接入层主要由接入交换机实现。 在交换机上进行简单的配置即可完成接入层的功能。 子网、 IP 地址及 VLAN 规划 子网规划 根据第二章 的需求分析， 由于 南阳市烟草专卖局 根据办公楼分布和办公室职能 不同 ，将整个烟草专卖局划分为 2 个子网 [13]。 南阳市烟草专卖局网络设计方案 12 (1)办公楼 1 职能 办公区域子网 ：主要是办公楼 1 内的 重要 职能办公室 的接入。 (2)办公楼 2 专业 部门 办公区域子网 ：主要是办公楼 2 内的专业部门办公室和仓库的接入。 IP 地址 及 VLAN 划分 职能办公室主要位于办公楼 1中，办公楼 1共有 91个内网信息点， 每一个层楼分配一个交换机 ， 每一个办公室划分为一个 VLAN，每一个楼层上的 VLAN划分到该楼层对应的交换机上， 而由于办公楼 1的接待处的 PC较少，可将一楼的办公室连接到二楼的交换机，一楼可不 分配 交换机，为南阳市烟草专卖局节省一个交换机 设备 [14]。 办公楼 1的 IP及 VLAN划分如表 41所示。 表 41 办公楼 1IP地址 及 VLAN划分 办公部门 分配的 IP地址 所属 VLAN 所属交换机 接待区 机关党委 办公室 财务管理处 审计处 办公室 综合计划处 专卖监督管理处 政策法规与体制改革处 科技处 办公室 人事劳资处 监察处 卷烟销售管理处 办公室 宣传部 档案室 思想政治工作处 专业部门办公室主要位于办公楼 2中，办公楼 2共有 88个内网信息点，每一个层楼分配一个交换机，每一个办公部门划分为一个 VLAN，每一个楼层上的 VLAN划分到该楼层对应的交换机上。 办公楼 2的 IP及 VLAN划分如表 42所示。 表 42 办公楼 2IP地址 及 VLAN划分 办公部门 分配的 IP地址 所属 VLAN 所属交换机 安全保卫处 机关服务中心 烟草质量监督检测站 仓库 会议室 离退休人员管理办公室 物流管理处 职业技能鉴定站 南阳市烟草专卖局网络设计方案 13 续表 42 办公部门 分配的 IP地址 所属 VLAN 所属交换机 烟草公司机关工会 烟草学会 教育培新中心 服务器 IP 地址及 VLAN 划分如表 43 所示。 表 43 服务器 IP地址及 VLAN划分 办公部门 分配的 IP地址 所属 VLAN 服务器 方案设计特点 (1) 具备三层功能的交换网络结构 所有产品都支持第二层或第三层 (或基本 IP 交换 )功能。 不仅可以进行 VLAN 的划分，还可以进行高速的路由转发 [15]。 VLAN 可以根据端口、子网和网络协议进行划分。 支持各种常用的网络协议和路由协议。 由于每个设备都支持无阻塞的第二层 或第三层交换，在交换结构中，可以达到非常好的性能 ， 也意味着可以减少繁琐的拥塞 管理工作。 第二层意味着可以支持域网络协议无关的链路服务，用户可以是 IP 网络、 IPX 网络或 WINDOWS NT 网络，用户不需要改变他们已有的网络协议和网络地址。 第三层意味着可以支持以 IP 为主要协议的网络应用，尤其是需要与其他地域互连时，由于网络链路的复杂性和多样性，要进行网络互连，必须采用高层网络协议。 第二层服务可以为网络的单个区域服务。 第三层则可以为整个网络连接时提供服务。 (2) 完善的接入安全性 由于每个设备都可以支持第二层 或第三层交换，因此可以提供第二层或第三层的安全控制能力。 第二层安全控制能力可以提供端口地址过滤、端口地址锁定等功能。 端口地址过滤允许交换机根据预先设定的过滤规则，允许或禁止某些第二层数据包进出交换机，也就是对上网用户的网卡 MAC 地址进行检查后才能上网，不符合规则的用户将被拒绝上网。 第三层安全控制能力可以提供访问控制列表能力，允许交换机根据预先设定的规则，允许或者禁止某些第三层数据 (IP 或 IPX 包 )进出交换机。 (3) 良好的网络隔离能力 网络较关心的问题是网络的安全性问题，他们不希。