网络路由器设计毕业论文.doc 48页

'网络路由器设计毕业论文目录第1章引言………………………………………………………………………………1第2章项目需求分析……………………………………………………………………12.1项目背景………………………………………………………………………………12.2需求分析………………………………………………………………………………1第3章项目需求分析……………………………………………………………………23.1网络建设目标…………………………………………………………………………23.2网络及系统建设内容及要求…………………………………………………………33.3网络设计原则…………………………………………………………………………3第4章网络建设方案……………………………………………………………………44.1网络总体拓扑图………………………………………………………………………44.2网络层次化设计………………………………………………………………………54.2.1核心层……………………………………………………………………………64.2.2汇聚层……………………………………………………………………………64.2.3接入层……………………………………………………………………………6第5章路由设计…………………………………………………………………………75.1路由协议选择…………………………………………………………………………75.2路由规划拓扑图………………………………………………………………………85.3ip地址规划…………………………………………………………………………85.3.1ip地址分配表……………………………………………………………………9第6章网络安全解决方案……………………………………………………………116.1网络边界安全威胁分析……………………………………………………………116.2网络内部安全威胁分析……………………………………………………………116.3安全产品选型原则…………………………………………………………………12第七章网络常用内网技术介绍……………………………………………………127.1热备份路由协议HSRP………………………………………………………………127.2VLAN技术……………………………………………………………………………13 7.3Trunk技术…………………………………………………………………………147.4VTP技术……………………………………………………………………………157.5Spanning-Tree协议………………………………………………………………167.6Etherchannel技术…………………………………………………………………167.7静态路由……………………………………………………………………………177.8dhcp技术……………………………………………………………………………17第八章网络常用外网技术介绍………………………………………………………178.1PIX防火墙技术………………………………………………………………………178.2DMZ技术………………………………………………………………………………178.3ACL技术………………………………………………………………………………188.4VPN技术………………………………………………………………………………198.5漫游用户………………………………………………………………………………198.6内网间及远程访问……………………………………………………………………208.7nat技术………………………………………………………………………………20第九章产品简介…………………………………………………………………………219.1路由交换设备…………………………………………………………………………219.2办公设备………………………………………………………………………………269.3安全设备………………………………………………………………………………36结束语（正文标题，用四号黑体，加粗，下同）…………………………………………44参考文献……………………………………………………………………………………45致谢…………………………………………………………………………………………46 第1章引言随着科学技术的发展日新月异，九十年代，在计算机技术和通信技术结合下，网络技术得到了飞速的发展。如今，不仅计算机已经和网络紧密结合，整个社会都不可能脱离网络而存在。网络技术已经成为现代信息技术的主流，人们对网络的认识也随着网络应用的逐渐普及而迅速改变。在不久的将来，网络必将成为和电话一样通用的工具，成为人们生活、工作、学习中必不可少的一部分。网络对于制造业的发展也起到了不可忽视的作用，形成了用信息技术来提升企业的市场分析、销售、计划、仓储能力，通过先进使用的高速交换网构筑信息通讯平台的局面。第2章项目需求分析2.1项目背景该公司是一家即将成立的一家制造工厂，网络平台建设为北京总部，外设有五个分部，分别设置在广州、天津、上海、西安和浙江。总部设计用户节点数为1000，每个分部地为10-50个用户。需要“建立一个设计规范、功能完备、性能优良、安全可靠、技术先进和实用性、兼容性、冗余、容错性、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台，以高效率，高速度，低成本的方式提高公司员工的工作效率与执行效率”。2.2需求分析本次项目的网络设计是以北京公司为中心，进而构建与广州、天津、上海、西安和浙江五大46 分公司之间的网络。构建过程中需要设计网络架构、IP地址架构、系统架构。其中，是以北京总部为数据中心，核心交换区，交易所接入等。网络之间信息的传送均是有总部发起的。数据中心作为网络互通的存放地，其性能、稳定性、安全性、可靠性的要求最高，因此我们在设计的时候，应该考虑到这些要求。应采用性能高的设备。而核心交换区的功能是高速可靠地交换数据，因此该部分的设计应考虑性能和可靠性的平衡。交易所接入作为外联单位接入区域，其安全性应该是放在第一位，同时，网络互通离不开交易所的连接，因此也应该考虑冗余性。公司总部和分公司的内部网络作为内部互联单位，可信度较高，因此其内部网络的可用性是首先考虑的因素。在内部信息传送的同时，为保证信息的安全性，我们应该在设计网络的时候，考虑信息的备份问题，避免单点故障的出现。各个分公司均通过VPN隧道访问北京总部，承载IP语音电话流量，实现分部与总部互相拨打网络电话，降低总部与分部电话通讯成本。大大增强了网络的稳定性和高速性。北京总部外部网络与外网连接时，需要考虑其可访问性。INTERNET用户接入，需要考虑安全性和冗余性。当前的网络管理范畴比较广，包括设备管理、资源管理、故障管理、性能管理、安全管理等。在网络规模相对较大的时候，合适的网络系统可以帮助用户方便管理网络内的设备及运行情况，以提高网络的运行效率。在系统管理平台中由于面临着大量的使用用户，外界每天都会与总部之间都会产生大量的数据通信，这就要求外界与总部之间有一条高数的链路，保证外界与总部通信的高速可靠性和可行性。同时要采取各种措施保证内网和各台服务器的安全。对此我们可以通过拉光纤增加带宽和购买先进的路由设备来满足巨大的吞吐量处理时间，减少延时率。第3章网络总体建设目标3.1网络建设目标1、北京总部内有大型服务器提供服务，外接分支机网络平台2、要求这些分布用户和总部之间能够高速连接并且保证与总部通信的可靠性和可行性。3、同时要求总部内部安全机制能够提高。保证内网安全同时保证各台服务器的安全。4、要求计算机网络系统满足系统集成的网络平台需求可用性、安全性、可靠性和可扩展性，网络系统不间断，选购符合分支机构及中心机房需求的高性价的网络设备，采用三层网络结构，来实现网络安全的需求。46 5、网络设备主要以核心交换区设备为主。并考虑对设备投资保护，保证未来几年的系统扩展，组建一个高效、稳定、可靠、易管理、安全的企业网。3.2网络及系统建设内容及要求根据该公司中心机房的网络情况，我们把整个网络分为内部网络交换网络设计、网络出口设计、网络安全设计三部分。保证设计和实现上的标准化、功能框架的模块化、充分考虑网络的兼容性、整体方案的开放性、扩展性和再开发性，同时还应具备稳定、可靠、速度快等特点。北京总部数据中心网络平台承载着该公司所有的关键核心业务。设计时，保证中心机房网络的高可用性和稳定性至关重要。而北京总部用FTP、MAIL等内部服务器为员工提供总部内部信息。另外还要屏蔽部分网络访问以确保公司的工作有序正常的进行。对于边界网络接入（Internet接入称为边界网络），总部用Web服务器为用户提供服务。使用交换机的vtp技术使网络内有关Server的访问变的更加安全。因为网络的安全性是一个非常重要的因素。而确保在网络的边界外部相应的安全策略以防止黑客和各种恶意代码的攻击也变的至关重要，同时边界中的设备的冗余设计也是设计考虑的一个重要环节，从而能够有效地防止单点故障。由于公司业务不断发展壮大，网络拓扑结构也会随之发生变化，在采购网络设备时应注意选择扩展性和兼容性强的设备，以便日后网络拓扑的变动。3.3网络设计原则作为一家优秀的系统集成商，向用户提供的不仅仅是设备，而是整套的技术与服务。我们始终坚持“高标准，高性能”的原则。在方案设计时，我们将严格遵循以下设计原则：高可靠性----网络系统的稳定性是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络结构，制定可靠地网络备份策略，保证网络具有故障自愈的能力，最大限制地支持各个系统的正常运行。网络安全性----由于企业网的特殊性，网络的安全性在本次网络建设中是比较重要的，整个网络必须保证万无一失的安全性，并对各个部门的信息要有严格分离保护的办法，防止网络黑客非法入侵。网络系统应配备全面的病毒防治和安全保护功能。灵活性及可扩展性-----根据未来业务的增长和变化，网络可以平滑地扩展和升级，最大限制地减少对网络架构和设备的调整。先进性------46 以先进、成熟的网络通信技术进行组网，支持数据、语音和视频图像等多媒体应用，采用基于交换的技术代替传统的基于路由的技术，并且能确保网络技术和网络产品在几年内基本满足需求。高性能-----承载网络性能是网络通讯系统良好运行的基础，设计中心必须保障网络及设备的高吞吐能力，保证各种信息（数据，语音，图像）的高质量传输，才能使网络不成为各项业务开展的瓶颈。可管理性----网络建设的一项重要内容是网络管理，网络的建设必须保证网络运行的可管理性。在优秀的网络管理之下，将大大提高网络的运行速率，并可迅速简便地进行网络故障的诊断。经济性-----在满足应用要求的基础上，尽可能降低造价。第3章网络建设方案4.1网络总体拓扑图结合几种网络结构与技术，根据该公司网络功能需求的具体情况，我们选用两台CiscoCatalyst3750做双机热备，用Cisco专有热备份路由协议技术（HSRP），同时双机还可以做负载均衡。在分交换机的选择上，建议选择具有支持VLAN划分的网络交换机。品牌和性能尽可能和主交换机相一致，以便于维护，便于统一。46 如上图所示，该模型将公司网络系统品台分为三个层次：核心层，汇聚层，接入层。各区域相对独立，通过核心网络进行数据交换。另外各区域还可以各自建设交换网络，路由接入，网络安全体系，可以有独立的安全策略，数据流量控制等个体特征。4.2网络层次化设计随着网络技术的迅速发展和网上应用量的增长，分布式的网络服务和交换已经移至用户级，由此形成了一个新的，更适应现代的高速大型网络的分层设计模型。这种分级方式被成为“多层设计”。多层设计的好处：1有很大的确定性，在运行和扩展过程中进行故障查找和排除非常简单。2将局部拓扑结构的改变所产生的影响降至最小。3减少路由器必须存储和处理的数据量，提供良好的路由器聚合数据流收敛。4具有模板化的，网络容量可随着日后网络节点的增加而不断增加。5升级灵活：网络容易升级到最新的技术，升级任意层的网络不会对其他层造成影响，无需改变整个网络环境46 对于公司网络的实际情况我们可以采用三层结构模型。三层结构模型划分为三个层次，即核心层，汇聚层，接入层。每个层次完成不同的功能。4.2.1核心层网络主干部分称为核心层。核心层的主要目的在于通过高速转发通信，提供可靠的骨干传输结构，因此核心层交换机应拥有更高的可靠性，更快速率的链路连接技术，并且能快速适应网络的变化。性能和吞吐量应根据不同层次用不同的要求设计网络，并且使用冗余组件来设计，在与汇聚层交换机相连时要考虑采用建立在生成树基础上的多链路冗余连接，以保证与核心层交换机之间存在备份连接和负载均衡，完成高带宽、大容量网络层路由交换功能。因此，在核心层中，我们应该采用高带宽的千兆以上交换机。4.2.2分布层位于接入层和核心层之间的部分称为分布层或汇聚层。汇聚层交换层是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能、更少的接口和更高的交换速率。汇聚层的设计要满足核心层、汇聚层交换机和服务器集合环境对千兆端口密度、可扩展性、高可用性以及多层交换的不断增长的需求，支持大用户量、多媒体信息传输等应用。4.2.3接入层通常将网络中直接面向用户连接或访问网络的部分称为接入层。接入层目的是允许终端用户连接到网络，提供了带宽共享、交换带宽、MAC层过滤和网段划分等功能。接入层交换机具有低成本和高端口密度特点，考虑采用可网管、可堆叠的接入级交换机。交换机的高速端口用于上连高速率的汇聚层交换机，普通端口直接与用户计算机相连，以有效地缓解网络骨干的瓶颈。4.2.3核心层设计核心层是网络的枢纽中心，重要性突出。我们使用了两台思科CiscoWS-C4506的三层交换机完成此项功能。这两台交换机的可靠性、高效性、冗余性是我们考虑的主要因素，另外，在这个层面的设计时，我们还需要考虑冗余网络的设计，本区域的安全性可以有边界防火墙提供。46 第3章路由设计5.1路由协议选择为达到路由快速收敛，寻址以及方便管理网络管理员管理的目的，我们采用动态路由协议---OSPF协议，考虑到网络的扩展性，公开性，投资的保护等原因，我们采用OSPF路由协议和静态路由相结合的路由方式。OSPF协议采用链路状态协议算法，OSPF协议有五种报文。1Hello报文，通过周期性地发送来发现和维护邻接关系；2DD(链路状态数据库描述)报文，描述本地路由器保存的LSDB(链路状态数据库)；3LSR(LSRequest)报文，向邻居请求本地没有的LSA；4LSU(LSUpdate)报文，向邻居发送其请求或更新的LSA；5LSAck(LSACK)报文，收到邻居发送的LSA后发送的确认报文。为了进一步减少路由协议通信流量，利于管理和计算。OSPF协议进行了区域划分，在两个不同区域之间的路由信息传递，由区域边界路由器(ABR)完成。它把相连两个区域内生成的路由，以类型3的LSA向对方区域发送。此时，一个区域内的OSPF路由器只保留本区域内的链路状态信息，没有其他区域的链路状态信息。这样，在两个区域之间减小了链路状态数据库，降低了生成数算法的计算量。同时，当一个区域中的拓扑结构发生变化时，其他区域中的路由器不需要重新进行计算。OSPF协议中的区域划分机制，有效地解决了OSPF在大规模网络中应用时产生的问题。在与服务器连接的网络中我们采用静态NAT技术，来保证外来客户的访问，这样网络的安全性也成为我们考虑的重要因素。静态NAT是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共IP地址紧缺的问题。也确保了网络的可访问性和安全性。5.2路由规划拓扑图46 5.3ip地址规划IP地址的规划在网络设计中的作用举足轻重。直接影响整个网络运行的效率。IP地址设计的总原则是简单，易管理，易扩展。IP地址是TCP/IP协议族中的网络层逻辑地址，它被用来唯一的标识网络中的一个节点。IP地址空间的分配，要与网络层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效果，加快路由变化的收敛速度。IP地址分配和管理应遵循的原则：唯一性----被分配出去的IP地址必须保证在全球范围内是唯一的，以保证每台主机都能被正确地识别。可记录性----已分配出去的地址块必须记录在数据库中，为定位网络故障提供依据。可聚集性----地址空间应该尽量划分为层次，以保证聚集性，缩短路由表长度。同时，对地址的分配要尽量避免地址碎片出现。46 节约性----地址申请者必须提供完整的书面报告，证明它确实需要这么多地址。同时，应该避免闲置被分配出去的地址。公平性----所有团体，无论其所处地理位置或所属国家，都具有公平地使用IPv6全球单播地址的权利。可扩展性----考虑到网络的高速增长，必须在一段时间内留给地址申请者足够的地址增长空间，而不需要它频繁地向上一级组织申请新的地址。公网地址与私网地址相结合原则---可用的公网地址数量毕竟有限，而可用的私网地址数量却非常多，是解决地址数量不足的良方之一。公司总部有九个部门，有1000个用户公司总部IP地址分配表网络单元子网段地址范围广播地址网关上网方式获取方式财务部192.168.2.0/261-62192.168.2.63192.168.2.1NATDHCP行政部192.168.2.64/2665-126192.168.2.127192.168.2.65NATDHCP外连部192.168.4.0/251~126192.168.4.127192.168.4.1NATDHCP技术部192.168.2.128/26129-190192.168.2.191192.168.2.129NATDHCP信息办192.168.2.192/26193-254192.168.2.255192.168.2.193NATDHCP信息科192.168.3.0/261-62192.168.3.63192.168.3.1NATDHCP品保部192.168.4.128/25129-254192.168.4.255192.168.4.129NATDHCP人力资源部192.168.3.64/2665-126192.168.3.127192.168.3.65NATDHCP企业文化部192.168.3.128/26129-190192.168.3.191192.168.3.129NATDHCP安全环保部192.168.5.0/251-126192.168.5.127192.168.5.127NATDHCP制造技术部192.168.5.128/25129-254192.168.5.255192.168.5.129NATDHCP采供部192.168.6.0/241-254192.168.6.255192.168.6.1NATDHCP46 项目经理部192.168.7.0/271-30192.168.7.31192.168.7.1NATDHCP仓储中心192.168.7.0/261-62192.168.7.63192.168.7.1NATDHCP教培中心192.168.7.32/2733-62192.168.7.63192.168.7.33NATDHCP生产部192.168.8.0/24192.168.9.0/241-2541-254192.168.8.255192.168.9.255192.168.8.1192.168.9.1NATDHCP与路由器相连链路上192.168.1.0/261~62192.168.1.63192.168.1.1NATDHCP192.168.1.64/2665~126192.168.1.127192.168.1.65NATDHCP服务器集群192.168.10.0/241~8192.168.10.254192.168.10.1NATDHCP公司总部VLAN划分表如下地点VLANVLAN名称VLAN内容北京总公司Vlan2BJ-xs财务部Vlan3BJ-jx行政部Vlan4BJ-pz外连部Vlan5BJ-cw技术部………………Vlan16BJ-sc生产部各个分公司IP地址分配表网络单元地址段地址范围默认网关上网方式Ip地址数Vlan广州分公司192.168.2.0/25192.168.2.1-126192.168.2.1nat126Vlan2浙江分公司192.168.2.128/252.129-2.254192.168.2.129Nat126Vlan246 西安分公司192.168.3.0/253.1-3.126192.168.3.1Nat126Vlan2天津分公司192.168.3.128/253.129-3.254192.168.3.129Nat126Vlan2上海分公司192.168.4.0/254.1-4.126192.168.4.1nat126Vlan2第六章网络安全解决方案6.1网络边界安全威胁分析网络的边界隔离着不同的功能或地域的多个网络区域，由于职责和功能的不同，相连网络的密集也不同，这样的网络直接相连，必然存在着安全隐患。该公司的网络主要存在的边界安全风险包括：北京内部网络接入外部网络，可能会遭到来自各地的越权访问，恶意攻击和计算机病毒的入侵，例如：一个不满的内部用户，利用盗版软件或从Internet下载的黑客程序恶意攻击内部站点，致使网络局部或整体瘫痪。内部的各个功能网络通过骨干交换相互连接，这样的话，重要的部门或者专网将会遭到来自其他部门的越权访问。这些越权访问可能包括恶意的攻击，误操作等等。但是他们的后果将会导致重要信息的泄露或者网络的瘫痪。安装防火墙后外部网络不能访问内部网络服务器的问题。6.2网络内部安全威胁分析该公司内部网络的风险分析主要针对北京总部的整个内网的安全分析。内部用户非授权访问；安博内部网络的资源也不是对任何的员工开放的，也需要相应的访问权限。内部用户的非授权访问，更容易造成资源和重要信息的泄漏。内部用户的误操作；由于内部用户的计算机操作水平不齐，对于应用软件的理解也各不相同，如果一部分软件没有相应的对误操作防范措施，极容易服务系统和其他主机造成无害。46 内部用户的恶意攻击；就网络安全来说，据统计约有70%左右的攻击来自内部用户相比外部攻击来说，内部用户具有更得天独厚的优势，因此，对内部用户攻击的防范很重要。设备的自身安全性也会直接关系到安博综合网络体系和各种网路应用的正常运转。例如，路由设备存在路由信息泄漏、交换机和路由器设备风险等。重要服务器或操作系统自身存在安全的漏洞，如果管理员没有及时的发现并且进行修复，将会给网络带来很大不稳定性的因素。重要服务器的down机或重要数据的以外丢失，都会造成安博内部的业务无法正常运行。安全管理困难，对于众多的网络设备和网络安全设备，安全策略的配置和安全事件管理的难度很大。6.3安全产品选型原则北京总部综合网路属于一个企业的专用网络。在安全产品的选用上，我们遵循的以下原则：安全保密产品的接入应不影响网络系统的运行效率，并满足工作的要求，不影响正常的业务；安全保密产品必须满足贵公司提出的要求，保证整个综合网络的安全性。安全保密产品必须通过国家主管部门制定的测评机构的检测。（中国的网络安全产品供应厂家基本可分为三类：国家级的专业信息安全产品供应厂家、新兴的专业信息安全产品供应厂家和国外厂家。）安全保密产品必须具备自我保护能力；安全保密产品必须操作简单以用，便于简单部署和集中管理。第七章网络常用技术（内网）介绍7.1热备份路由协议HSRP46 我们使用HSRP来实现故障路由器的接管。HSRP协议是Cisco公司制定的专有路由器备份协议，支持多台路由器形成备份而消除单台设备失效造成的网络中断。比且确保了当网络边缘或接入链路出现故障时，用户通信能迅速并透明的恢复，并为此IP网络提供了冗余性。HSRP支持在某个路由器出现故障时可以快速的进行默认网关的切换，通过共同提供一个IP地址和MAC地址，两个或者多个路由器可以做为一个虚拟路由器，当某个路由器出现故障时，其他路由器可以无缝的接替它进行路由选择。，这样就很好的解决了路由器切换的问题。使用RSTP的优势：PVST是解决在虚拟局域网上处理生成树的Cisco特有解决方案．PVST为每个vlan运行单独的生成树实例，并具有在二层维持负载均衡的能力。一般情况下PVST要求在交换机之间的中继链路上运行Cisco的ISL．使用此技术减小了生成树拓扑的总范围。增强了可扩张性并减少了收敛时间，提供快速回复和更好的可靠性。使端口针对不同的根桥实施阻塞。使每条中继链路都在为不同的Vlan传输数据，高效合理的利用好网络当中的每条可用链路。7.2VLAN技术VLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。　　VLAN网络可以是有混合的网络类型设备组成，比如：10M以太网、100M以太网、令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等等。　　VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。VLAN的优点1.广播风暴防范：46 　　限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。2.安全：　　增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。3.成本降低：　　成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。4.性能提高：　　将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。5.提高IT员工效率：　　VLAN为网络管理带来了方便，因为有相似网络需求的用户将共享同一个VLAN。6.简化项目管理或应用管理：　　VLAN将用户和网络设备聚合到一起，以支持商业需求或地域上的需求。通过职能划分，项目管理或特殊应用的处理都变得十分方便，7.增加了网络连接的灵活性。借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低7.3Trunk技术一般的交换机端口只能属于一个VLAN，对于多个VLAN需要跨越多台交换机，就需要Trunk技术。Trunk是指交换机之间或路由器之间传递，从而可以将VLAN跨越整个网络，而不仅仅是局限在一台交换机上。46 Cisco支持802.1Q.ISL的技术，其中802.1Q是业界的标准协议，而ISL是Cisco专有的协议，用于在一条链路上封装多个VLAN的信息。对于Cisco交换机的Trunk端口，既可以指定它的封装协议为802.1q或ISL，也可以通过DHP协议自动协商。DHP协议主要用于处理Trunk端口的802.1q和ISL封装协议的自动协商，对于不同厂家的交换机互联时很有帮助。对Trunk的定义只能在快速以太网端口或千兆以太网端口上进行，它既可以是单个的快速以太网端口或千兆以太网端口，也可以是快速以太网通道或千兆以太网通道。我们使用IEEE802.1Q标准协议。7.4VTP技术VTP（VLANTrunkingProtocol）：是VLAN中继协议，也被称为虚拟局域网干道协议。它是思科私有协议。作用是十几台交换机在企业网中，配置VLAN工作量大，可以使用VTP协议，把一台交换机配置成VTPServer,其余交换机配置成VTPClient,这样他们可以自动学习到server上的VLAN信息。原理它是一个OSI参考模型第二层的通信协议，主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名。在一台VTPServer上配置一个新的VLAN时，该VLAN的配置信息将自动传播到本域内的其他所有交换机。这些交换机会自动地接收这些配置信息，使其VLAN的配置与VTPServer保持一致，从而减少在多台设备上配置同一个VLAN信息的工作量，而且保持了VLAN配置的统一性。VTP模式有3种服务器模式（Server）客户机模式（Client）透明模式（Transparent）服务器模式：提供VTP消息：包括VLANID和名字信息。学习相同域名的VTP消息。转发相同域名的VTP消息。可以添加、删除和更改VLANVLAN信息写入NVRAM客户机模式：请求VTP消息。学习相同域名的VTP消息。转发相同域名的VTP消息。不可以添加、删除和更改VLANVLAN信息不会写入NVRAM透明模式：不提供VTP消息。不学习VTP消息。转发VTP消息。可以添加、删除和更改VLAN，只在本地有效VLAN信息写入NVRAMVTP优点：（1）保持了VLAN的一致性（2）提供从一个交换机到另一个交换机在整个管理域中增加虚拟局域网的方法46 （3）VTP协议是思科的专用协议，大多数的Catalys交换机都支持该协议，VTP可以减少VLAN的相关管理任务。7.5Spanning-Tree协议生成树算法的网桥协议STP(SpanningTreeProtocol)它通过生成生成树保证一个已知的网桥在网络拓扑中沿一个环动态工作。网桥与其他网桥交换BPDU消息来监测环路，然后关闭选择的网桥接口取消环路，统指IEEE802•1生成树协议标准和早期的数字设备合作生成树协议，该协议是基于后者产生的。IEEE版本的生成树协议支持网桥区域，它允许网桥在一个扩展本地网中建设自由环形拓扑结构。IEEE版本的生成树协议通常为在数字版本之上的首选版本。生成树协议的功能：一是在利用生成树算法、在以太网络中，创建一个以某台交换机的某个端口为根的生成树，避免环路。二是在以太网络拓扑发生变化时，通过生成树协议达到收敛保护的目的。生成树协议特点在局域网中是不允许出现环路的，而为实现冗余和负载的均衡，通常会有多条链路的链接，这样就会引入环路，为了解决这一问题我们采用STP协议。STP算法会将网络中的连接生成一个树，通过特定的算法自动将优先权高的链路激活，将优先权底的链路阻塞，保证在网络中任何时后都不会出现环路，如果网络的连接状况发生了变化，STP算法会自动地重新计算新的连接关系，重新选出新的活动的连接。Cisco交换机的一个非常有用的特征就是可以对每个VLAN设置Spanning-Tree，而不是对整个网络只能属于一个Spanning-Tree。这个特征是很多厂商的设备所不具备的。在交换机上对端口的优先权的设置可以基于VLAN进行，每个端口对于不同的VLAN设置不同的优先权。对于指定的VLAN，具有该VLAN最高优先权的端口转发该VLAN信息，其它VLAN信息则阻塞。通过这种方法，在具有冗余连接的交换机端口上分别针对不同的VLAN设置不同的优先权，既可以实现链路的冗余，又可以实现负载的均衡。7.6Etherchannel技术Etherchannel简介：46 以太通道也称为以太端口捆绑，端口聚集或以以太链路聚集。以太通道为交换机提供了端口捆绑技术，将多个物理以太网端口聚集在一起形成一个逻辑上的聚合组，同一个聚合组内的多条物理链路是为一条逻辑链路。链路聚合可以实现出入负荷在聚合组中各个成员端口之间，以增加带宽。同时，同一个聚合组的各个成员端口之间彼此动态备份，提高了连接的可靠性。GEC或FEC（GigabitEtherentChannel/FastEtherentChannel）称为Cisco交换机带宽聚合技术，它用于千兆或百兆以太网端口，在两台Cisco交换机互连时，利用GEC/FEC技术股，可以将2条或多条物理链路捆绑成为一条更高的逻辑贷款，利用GEC技术，我们可以得到一条全双工4G带宽的链路。Etherchannel配置原则：1在每个Etherchannel中，cisco交换机最多允许包括8个端口。2一个Etherchannel内的所有端口必须使用相同的协议（PAGP或者LACP）3一个Etherchannel内的说有接口都必须具有相同的速度和双工的模式，要求端口工作在全双工模式下。4一个端口不能再相同的所有端口都必须配置到相同的接入VLAN。7.7静态路由的配置静态路由是一种特殊的路由，它由管理员手工配置。当网络结构简单时，只需配置简单路由就可以使网络正常工作。恰当地设置和使用静态路由可以改进网络的性能，并可以为重要的网络应用保证带宽。7.8DHCP技术DHCP是动态获取IP地址的协议。它的优点是能够让PC机自动获取IP地址，减轻网络管理员因配置IP地址而引起的不必要麻烦，并且这样的动态获取IP地址大部分是连续的，便于网络管理，一定程度上提高网络的运行速度。第八章网络常用外网技术介绍8.1pix防火墙技术PIX防火墙主要是在网络的核心层实现的。在访问外网的时候我们也要保证链路的安全性，因此我们需要建立一个防火墙，也可以在防火墙上配置访问控制列表只允许某种流量的经过，没有被定义的一律拒绝。8.2dmz技术46 DMZ区是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。DMZ(DemilitarizedZone)即俗称的非军事区，与军事区和信任区相对应,作用是把WEB,e-mail,等允许外部访问的服务器单独接在该区端口，使整个需要保护的内部网络接在信任区端口后，不允许任何访问，实现内外网分离，达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域，DMZ内通常放置一些不含机密信息的公用服务器，比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的公司机密或私人信息等，即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。使用DMZ的优势在实际的运用中，某些主机需要对外提供服务，为了更好地提供服务，同时又要有效地保护内部网络的安全，将这些需要对外开放的主机与内部的众多网络设备分隔开来，根据不同的需要，有针对性地采取相应的隔离措施，这样便能在对外提供友好的服务的同时最大限度地保护了内部网络。针对不同资源提供不同安全级别的保护，可以构建一个DMZ区域，DMZ可以为主机环境提供网络级的保护，能减少为不信任客户提供服务而引发的危险，是放置公共信息的最佳位置。在一个非DMZ系统中，内部网络和主机的安全通常并不如人们想象的那样坚固，提供给Internet的服务产生了许多漏洞，使其他主机极易受到攻击。但是，通过配置DMZ，我们可以将需要保护的Web应用程序服务器和数据库系统放在内网中，把没有包含敏感数据、担当代理数据访问职责的主机放置于DMZ中，这样就为应用系统安全提供了保障。DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击，攻击者即使初步入侵成功，还要面临DMZ设置的新的障碍。8.3ACL技术访问控制列表（ACL）：应用在路由器接口的指令列表，用来告诉路由器哪些数据包可以接收转发，哪些数据包需要拒绝。工作原理：读取第三层及第四层包头中的信息，根据预先定义好的规则对包进行过滤使用ACL的优势：（1）提供对通信流量的控制手段（2）提供网络安全访问的基本手段（3）在路由器端口决定哪种流量被转发或被阻塞46 （1）包过滤简介:包过滤防火墙是最简单的一种防火墙，它在网络层截获网络数据包，根据防火墙的规则表，来检测攻击行为。包过滤防火墙一般作用在网络层（IP层），故也称网络层防火墙（NetworkLevFirewall）或IP过滤器（IPfilters）。数据包过滤（PacketFiltering）是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制。（2）包过滤特点：包过滤防火墙使用基于源和目标网络,端口,协议等信息实施数据包过滤:1established关键字仅可以对面向连接TCP会话提供支持。2无法支持动态协商的会话所产生的临时会话端口。3会产生大量的ACL条目,因此其维护非常困难。8.4VPN技术VPN简介：虚拟专用网（vpn）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN技术分为L2LP、GRE、IPsec。IPSec(Internet协议安全)是一个工业标准网络安全协议，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。8.5漫游用户漫游用户的简介　46 用户登录时下载到本地计算机，而用户注销时本地和服务器都进行更新的基于服务器的用户配置文件。用户登录到工作站或服务器，服务器的漫游用户配置文件是可用的。登录时，如果本地用户配置文件比服务器上的要新，则用户可以使用该本地文件。使用漫游用户的优势无论用户登录到哪台基于MicrosoftWindowsNT的计算机上，漫游用户配置文件都为用户提供相同的工作环境。这样就可以避免因为换了机器而丢失以前的作用环境而不爽了，也不会降低工作质量。8.6内网间及远程访问IPSec(Internet协议安全)是一个工业标准网络安全协议，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。IPSec有两个基本目标：1）保护IP数据包安全；2）为抵御网络攻击提供防护措施。IPSec结合密码保护服务、安全协议组和动态密钥管理三者来实现上述两个目标，不仅能为企业局域网与拨号用户、域、网站、远程站点以及Extranet之间的通信提供强有力且灵活的保护，而且还能用来筛选特定数据流。IPSec基于一种端-对-端的安全模式。这种模式有一个基本前提假设，就是假定数据通信的传输媒介是不安全的，因此通信数据必须经过加密，而掌握加解密方法的只有数据流的发送端和接收端，两者各自负责相应的数据加解密处理，而网络中其他只负责转发数据的路由器或主机无须支持IPSec，该特性有助于企业用户在下列方案中成功地配置IPSecIPSec。使用ipsec-vpn技术的优势：为保护IP数据包安全，为抵御网络攻击提供的一种防护措施。（1）降低手工配置的复杂度，安全联盟定时更新，密钥定时更新，允许IPSec提供反重放服务，允许在端与端之间动态认证。（2）过滤每一个访问计算机的数据包，并可根据数据报的源IP地址、协议和端口进行过滤（3）对应用程序完全透明，应用程序无需任何调整（4）三种身份验证（5）对数据包进行加密，以防止数据包在网络传输中被截取（6）使用HASH算法保障数据包在传输过程中保持完整性（7）确保每个IP数据包的唯一性8.7nat技术46 NAT，私有(保留)地址的"内部"网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。NAT实现方式：NAT的实现方式有三种，即静态转换StaticNat、动态转换DynamicNat和端口多路复用OverLoad。²静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可实现外部网络对内部网络中某些特定设备(如服务器)的访问。²动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。²端口多路复用(PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，PortAddressTranslation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。第九章产品介绍9.1路由交换设备思科WS-C4506 46 产品价格：￥29000.00元　 交换机类型：企业级交换机 应用层级：四层 传输速率：10/100/1000/10000Mbps 接口类型：10/100/1000Base-T,1000Base-FX 网管功能：SNMP（简单网络管理协议）管理信息库(MIB)II,SNMPMIB（管理信息库）扩展,桥接MIB(RFC1493) 背板带宽：100Gbps 包转发率：75Mpps VLAN功能：支持 CiscoCatalyst4500系列包括四种机箱：CiscoCatalyst4510R-E（10个插槽）、CiscoCatalyst4507R-E（7个插槽）、CiscoCatalyst4506-E（6个插槽）和CiscoCatalyst4503-E（3个插槽）。CiscoCatalyst4500系列采用统一的架构，并使用能够扩展到388个以太网端口的现有CiscoCatalyst4000系列线路卡。由于CiscoCatalyst4500E系列能够与现有CiscoCatalyst4000和4500系列线路卡兼容，因而扩展了在融合型网络中部署的范围。 CiscoCatalyst4500系列包括“典型”管理引擎和线路卡，以及新开发的“E系列”管理引擎和线路卡。典型管理引擎和线路卡的每个线路卡插槽提供6千兆交换容量，转发性能为102Mpps。新开发的E系列管理引擎和线路卡提供很多增强特性，包括每个线路卡插槽24千兆交换容量，以及250Mpps的总转发性能。H3CLS-3600-28TP-SI三层交换机46 产品价格：￥5400.00元产品简介：交换机的传输速率为10/100/1000Mbps，类型为千兆以太网交换机。应用层级为三层，以存储-转发的方式来进行交换，背板带宽为32Gbps，包转发率为9.6Mpps，是固定端口。H3CS3600系列交换机采用H3C公司创新的IRF（IntelligentResilientFramework）智能弹性技术，与传统组网技术相比，在扩展性、可靠性、整体架构的性能方面具有强大的优势：扩展性—IRF技术允许交换机利用互联电缆实现多台设备的扩展，最大扩展至384个10/100M端口；具有即插即用、单一IP管理，同步升级的优点，同时大大降低系统扩展的成本。可靠性—通过专利的路由热备份技术，在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断三层转发，极大的增强了堆叠架构的可靠性和性能，同时消除了单点故障，避免了业务中断。分布性--通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率。H3CS3600系列交换机支持VCT（VirtualCableTest）电缆检测功能，便于快速定位网络故障点。支持DLDP（DeviceLinkDetectionProtocol，设备连接检测协议），可以监控光纤的链路状态。如果发现单向链路存在，DLDP协议会根据用户配置，自动关闭或通知用户手工关闭相关端口，以防止网络问题的发生。支持SNMPV1/V2/V3，可支持OpenView等通用网管平台，以及Quidview®网管系统。支持CLI命令行，Web网管，Telnet，HGMP集群管理，使设备管理更方便。通过各种开放的标准MIB和扩展MIB的支持可以提供完善的基于SNMP的第三方管理能力。46 思科WS-C2960-48TT-L交换机（48口）产品价格：￥9020.00元CiscoCatalyst2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面快速以太网10/100/1000千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强LAN服务。CiscoCatalyst2960提供：集成安全特性，包括网络准入控制(NAC)，高级服务质量(QoS)和永续性并为网络边缘提供智能服务。产品简介：思科WS-C2960-48TT-L交换机的传输速率是10/100/1000,应用层级是二层，以存储-转发来进行交换方式，背板带宽是16Gbps，包转发率是10.1Mpps,端口结构为固定端口，内存为64MB，MAC地址表位8K，支持VLAN功能，接口数量为48口，支持全双工。提供入门级企业智能服务，安装了LAN基本镜像。CiscoCatalyst2960系列配备了强大的特性集，通过组播过滤和旨在第二层网络中提供最高可用性的全套生成树协议改进，实现了网络可扩展性及更高可用性。对标准生成树协议的改进，如PVST+、UplinkFast和PortFast，可实现最长网络正常运行时间。PVST+可在冗余链路上进行第二层负载共享，以有效使用冗余设计中的额外容量。UplinkFast、PortFast和BackboneFast都大大缩减了标准的30到60秒生成树协议收敛时间。Flexlink提供了不到100ms的双向、快速收敛。对环路保护和网桥协议数据单元（BPDU）保护的增强避免了生成树协议环路的出现。46 Cisco2800系列集成多业务路由器产品价格：￥7500.00元Cisco2800系列由四个新平台组成：Cisco2801、Cisco2811、Cisco2821和Cisco2851路由器。Cisco2800系列与前几代思科路由器相比，以相似的价位提供了极高的价值，它的机箱性能提高了五倍，安全和话音性能提高了十倍，添加了新的内嵌服务选项，并大大提高了插槽性能和密度，同时支持90多种现有Cisco1700系列、2600系列、3700系列和3800系列接口卡及模块中的大多数。Cisco2800系列可快速、高质量地同时提供多种服务。Cisco2800系列不仅提供内嵌加密加速和主板话音数字信号处理器(DSP)插槽；入侵保护和防火墙功能；集成化呼叫处理和语音留言；适用于多种连接要求的高密度接口；而且也具有充足的性能和插槽发展空间，可满足未来网络扩展需求和运行先进应用。Cisco2800系列架构是同类产品中的最佳架构，专为满足中小型企业、中小型企业分支机构和服务供应商可管理服务应用对于并发服务的需求而设计，且不会影响路由器性能。思科2800系列路由器经过专门的优化，能够以线速安全的并发送数据、语音、视频、和无线服务。并能够智能的将数据、安全、语音和无线服务嵌入一个永续的系统之中，从而实现快速、可扩展的交付关键业务应用。另外，与前几代思科路由器相比，Cisco2800系列路由器可以将性能提升五倍，将安全和话音性能提升十倍，并且可以提供新的嵌入式服务选项，因而可以为客户提供重要的附加值。它还以在大幅度提升插槽性能和密度的同时，支持Cisco1700和2600系列中现有的90多种模块。Cisco2800系列能以线速为多条T1/E1/Xdsl46 连接提供多种高质量并发服务，支持VOIP功能。这些路由器提供了内嵌加密和主板话音数字信号处理器（DSP）插槽，入侵保护和防火墙功能；集成化呼叫处理和语音留言；用于多种连接需求的高密接口；以及充足的性能和插槽密度，以用于未来网络扩展和高级应用。思科PIX-525-UR-GE-BUN 防火墙   产品价格：55999.00元产品简介防火墙的类型企业版防火墙其中它的CUP是600MHzIntelPentium3CUP的容量是256MB，网络的吞吐量是330Mbps而且它的并发连接数是：280000其中主要功能有支持VPN。Ipsec-vpn等。人数限制是无用户人数，安全标准UL1950,CSAC22.2No.950,EN60950IEC60950,AS/NZS3260,TS001，控制端口是RJ-45型号的。端口类型：处理器：600MHzIntelPentiumIII；随机读写内存：高达256MB；闪存：16MB。9.2办公设备联想扬天M6600N（PC机）46 产品价格：￥3900.00元显示尺寸：20寸CPU：Intel奔腾双核E5800电脑类型：商用内存容量：3GB操作系统：Windows7CPU频率：3.2GHz硬盘容量：500GB光驱：DVD光驱浪潮英信NF522046 产品价格：13000.00元产品介绍：基本参数：服务器级别企业级服务器类型机架式服务器结构2U主要性能主板芯片组Intel5500标配CPU个数1颗最大CPU个数2颗CPU类型IntelXeonE5506处理器标称主频2.13GHz二级缓存4×256KB三级缓存4MB总线规格4.8GT/s多核运算四核心四线程查看服务器报价内存内存容量2GB内存描述DDR3查看服务器报价内存扩展最高64GB内存插槽8个DDR3插槽查看服务器报价存储标配硬盘容量146GB标配硬盘类型SAS,SFF查看服务器报价标配硬盘描述146GBSASRAID阵列模式支持RAID0,1存储扩展位标配:12×SFF托架46 光驱DVD光驱网络网络控制器2×千兆接口电源电源功率480W查看电源报价电源数量2电源类型热插拔电源采用英特尔®至强®处理器5500、5600系列处理器，数据传输速率最高可达6.4GT/S，4-8MB的三级高速缓存支持64位扩展、I/O加速、Turbo、超线程技术，系统应用性能较上代产品提高2.25倍；采用最新的INTEL5500+ICH10R,创新的主板VR电路设计及支持更加节能的2.5寸硬盘，相比上一代整体功耗降低5-12%，噪音降低4-5分贝，支持DPNM电源管理技术，节能环保；采用DDRIII内存，8个内存插槽，支持DDR3800/1066/1333MHz内存，最大可扩展64GB内存，支持三通道读取，满足用户性能需求更加节能；支持6块3.5寸SAS/SATA硬盘或12块2.5”SAS/SATA/SSD硬盘，从而使得对热插拔存储设备的支持更加灵活可选；标配集成BMC智能控制芯片，支持符合IPMI2.0规范的远程控制，在异地全面管理服务器，支持远程操作、管理、部署操作系统与应用系统，并监控服务器的运转状态；浪潮英信服务器睿捷管理套件包含三部分内容：睿捷服务器管理软件、睿捷系统智能安装软件、睿捷系统备份还原软件。简化了服务器的维护与管理工作；可进行自动安装、远程数据备份、管理等功能。最大支持6块热插拔SAS/SATA硬盘或12块2.5”SAS/SATA/SSD硬盘，满足不同应用的数据存储需求，也为未来业务的扩展提供了强大的数据存储空间。产品名称：国威WS824（9）(4外线，16分机)46 产品报价：￥900.00元产品简介：外线容量：4分机容量：16普通话机数：16分机等级限拨：6级IP电话功能：支持拨号模式：音频/脉冲其他特性:3S话务管理软件(随机赠送)；可配接12部中英文显示专用话机，专用话机和普通话机都可编程；内置内线来电显示功能，来电显示制式选用DTMF制式；中继联号功能等。产品名称：普通电话TCL37型产品报价：￥60.00元46 产品类型：普通电话号码存储：支持主要功能：1、双制式FSK、DTMF来电自动检测2、大容量存储来、去电信息3、32位预拨号及改错功能4、时钟、日期及星期显示功能5、来电总数、新来电标志及来电重复标志显示6、防盗打、防并机功能7、来电自动更新日期和时间8、IP拨号功能9、本地区码、长途码设置10、长途锁，锁或开0和IP功能产品名称：CISCOCP-3951产品报价：￥400.00元产品简介：主要功能：CiscoUnifiedIP电话39网络协议：G.711、G.729和G.729a46 主要功能:CiscoUnifiedIP电话3951是一款经济高效的入门级电话，能够满足大堂、实验室、生产场所和走廊的通信需求。该电话的功能也能满足办公室、零售点、教室或生产场所员工以及电话量保持中低水平的人士的通信需求。电力规格：电话也能使用一个电源适配器（CP-PWR-CUBE-3=）以及表5中列出的电缆之一，从本地供电；此外，还能使用CiscoUnifiedIP电话馈电器（CP-PWR-INJ）为CiscoUnifiedSIP电话3951供电产品名称：CISCOCP-7970G产品报价：￥2888产品名称：CISCOCP-7970G类别：网络电话　网络协议：自动IEEE802.1q(VLAN)配置，G.711和G.729a音频压缩主要功能:思科IP电话7970G是一款真正的优秀产品，采用了最新的VoIP电话技术和改进。它不仅能满足管理人员或主要决策制订者的需要，而且无需PC即可向用户提供网络数据和应用安规认证：产品如果具有CE标志，就表示它符合89/336/EEC（欧洲环境控制中心）和73/23/EEC规定，其中包括下列安全和电磁兼容性（EMC）标准电力规格：电源应使用新型思科IP电话7970GAC到48-VDC电源适配器（CP-PWR-CUE-2）本地提供。46 三星4623FH一体机产品价格：2450元产品简介：涵盖功能：打印/复印/扫描/传真产品类型：黑白激光多功能一体机最大处理幅面：A4耗材类型：鼓粉一体耗材描述：标准1500页，高容2500页黑白打印速度：A4：22ppm，Letter：23ppm打印分辨率：1200×1200dpi复印速度：A4：22cpm，Letter：23cpm复印分辨率：1200×1200dpi调制解调器速度：33.6Kbps网络功能：不支持网络打印双面功能：手动HP1020plus打印机46 产品价格：1350元产品简介：产品类型：黑白激光打印机最大打印幅面：A4黑白打印速度：A4：14ppm，Letter：15ppm分辨率：600×600dpi硒鼓寿命：2000页首页打印时间：小于10秒月打印负荷：5000页网络打印：不支持网络打印双面打印：手动进纸盒容量：标配纸盒：150页手动进纸...内存：2MB接口类型：USB2.0系统平台Windows2000/ME/XPHome/XPProfessiona锐捷RG-R2692文件服务器46 产品价格：17463元产品简介：路由器类型为安全网关，路由器处理器64位1.2G，最大Flash内存1024MB，最大DRAM内存1024MB，路由器包转发率300Kpps支持协议有：IP、TCP、ARP、UDP、ICMP、NAT、反向NAT、DHCP、SNTP，触发式路由更新、TELNET、HTTP、TFTP、PPP、SNMP、PPPoE、PAP、CHAP、SYSLOG路由协议:静态路由,动态路由RIPI和RIPII路由器网管功能WEBUI、CLI、XportHiPERManagerVPN功能：L2TP服务器/客户端PPTP服务器/客户端PAP、CHAP验证方式基于预共享密钥的IKE手动密钥通道ESP和AH协议DES、3DES、AES128/192/256位加密算法SHA-1、MD5认证算法抗重播：IPSecNAT穿透，DPD探测(DeadPeerDetect)IPSec客户端软件，多种VPN协议的混合使用，使用动态地址构建VPN，LAN到LAN(网关到网关)的VPN，远程拨号(客户端到网关)的VPNVPN星型连接和网状连接。Qos功能：（1）弹性带宽管理（2）分协议限速规则（3）分服务端口限速规则（4）内网主机带宽限制（5）分方向(上传和下载)限制内网主机带宽46 （6）内网主机上传/下载速度排行榜（7）内网主机NAT会话数限制（8）内网主机NAT协议(ICMP/TCP/UDP)会话数限制防火墙功能：支持通配符的域名过滤一键封QQ、MSN、BT、迅雷搜索资源、特定文件HTTP下载、网页提交、股票、游戏网址基于时间段的防火墙策略列表基于接口的防火墙策略列表URL/关键字过滤DNS请求过滤MAC地址过滤地址组对象管理服务组对象管理9.3安全设备沈视高科SGK-808P产品报价：￥300.00元产品简介：红外光源，室外防雨水，日夜自动切换。分辨率:PAL:752H×582V；NTSC:512×492V摄像机性能:36颗∮8红外灯，照射距离40米,双玻璃、黑色合金外壳成像器件：1/4英寸SharpCCD46 镜头：8mm产品名称：281516路硬压高清采集卡产品报价：￥400.00元u纯硬卡，不占用一点CPU资源，让你的监控不影响你工作，你可以边开监控，边做别的。u全兼容性。支持市面上几乎所有类型的CPU和主板。u硬压的性能，软压的价格。u高清画质，监看达到D1效果。图像分辩率高达704*576。u功耗小，发热量低。u支持主流的操作系统，XP，支持宽屏支持显示分辩率1024*768、1280*1024、1400*900u支持远程，自带域名解析。u全自主研发软件，终身不收费，永不收费。u录像文件采用AVI格式.并提供自主研发的高效解码插件.非常便于播放和备份.可以使用媒体播放器.暴风影音.Nero.KMP等所有主流播放器随意播放；u开放式的云台、高速球、报警盒的协议接口，轻松定制云台协议，无限扩展云台类型；u自定义OSD颜色，保证画面和OSD信息不会重叠；u日夜帧率可分开设置录像，智能降低码流，更节省硬盘空间；u视频遮挡功能，更能体现出人性化的安全；u移动侦测功能强大，多区域多点设置，使灵敏度更高，避免误报可能，多种联动功能保证对移动情况及时和多样的响应；u音频预听和回放可随意切换通道，相当方便；u极为便利的录像方式，随心所欲地设置每周每天每小时的各种录像类型，人性化的节假日特殊时间设置功能；46 u回放时间精确，录像有效日期提示，无需滚屏即可检查所有路的录像情况，定位回放搜索时间点精确到3秒之内，u既可以单路独立控制、更多路数同时播放；u网络双码流轻松应对内外网；u网络连接开启快速、流畅、无误码；uIE浏览方便用户随时随地的自由监控；产品名称：C-Y300烟感报警器产品报价：￥220.00元产品介绍：此产品的特点具有低功耗設計、低电压提醒报警；和当有烟雾颗粒被监测到时，本报警器会发出警报声；发光二极管快速闪烁，输出报警信号，直到空气澄清为止；可通过电话远程布防/撤防、主动/被动现场声音。技术参数1、电源：9～15VDC；2、烟感灵敏度：符合UL的217号标准；3、温度：40℃～45℃；4、相对湿度：10%～90%；5、报警音量：10英尺出为85分贝。产品名称：独立烟感防火报警器SFL-12846 产品价格：￥50.00元产品介绍：该产品的传感器是英国CIC-AEA，工作电压9v，电流dc12v、24v，工作的静电电流小于10ua，报警工作电流10－20ma，烟雾灵敏度是符合ul217号标准测试值每英尺3.2%微弱灰烟报警器有反应，工作环境在－5℃～60℃，报警音量是10英尺处为85分贝吗，其报警输出是有线方式为现场声光报警/有无输出，报警排除自动断开，无线方式的报警发射频率F：315M/433M，无线发射距离（屏蔽距离）：50M，可定制此产品是采用美国MOTOROLA专用IC，英国CIC-AEA原产电离室，独特的美国最新技术，该探测器能够敏感的探测烟雾当烟雾浓度超过限量时，探测器发动声光报警；同时向报警中心发出报警信号。◆离子探测器◆吸顶安装◆独立/联网/无线输出方式（可选）◆声光显示报警◆低功耗设计◆自检功能9.4综合布线产品名称：TCL六类24口RJ45模块式配线架46       产品价格：￥240.00元产品介绍：1、模块化组合，适应PM2011的快速安装。2、背面的琴键式理线托盘，用于捆扎、管理线缆，避免线缆与模块端接处受力，造成连接不好或掉线。3、正面直观的分组标签区及可更换标签，为书写标签提供方便的管理。 安普E时代超五类四芯双绞电话线      产品价格：70元/100米 山特C10KS46 产品价格：￥9000.00元产品介绍：基本规格UPS类型在线式UPSUPS额定容量10KVAUPS电源效率85%标称后备时间与客户选取电池容量有关输出输出电压220V输出电压频率范围50±0.1%Hz输入输入电压176-276输入电压范围176-276输入电压频率范围46-54Hz产品名称：立孚4芯室外单模光缆产品价格：￥2.00元产品介绍：46 基本规格光纤线缆类型单模光纤纤芯数量4波长1310,1550nm损耗1310/0.35,1550/0.2dB/km规格9.3/125μm产品描述光缆由多条光纤组成,适应目前网络对长距离传输大容量信息的要求环境参数工作温度-30-60℃工作湿度0-90%光缆传输具有重量轻、体积小、传输距离远、容量大、信号衰减小、抗电磁干扰等优点，已被各种网络广泛采用。光缆的技术主要有以下几种。   松套层绞式光缆技术：将已着色光纤与油膏同时加入到高模量塑料制成的松套管中，光纤在套管内可以移动。不同的松套管沿中心加强芯绞合制成缆芯。缆芯外加防护材料制成松套层绞式光缆。   骨架式光纤带光缆技术：将已制好的光纤带，叠放在螺旋骨架槽中制成缆芯。缆芯外加防护材料制成骨架式光纤带光缆。   螺旋中心管式光缆技术：将光纤套入由高模量的塑料做成的螺旋空间松套管中，套管内填充防水化合物，套管外施加一层阻水材料和铠装材料，两侧放置两根平行钢丝并挤制聚乙烯护套成缆。   紧套光缆技术：用外径为250μm的紫外光固化一次涂覆光纤直接紧套一层材料制成900μm紧套光纤。以紧套光纤为单元，在单根或多根紧套光纤四周布放适当的抗张力材料，挤制一层阻燃护套料，制成单芯或多芯紧套光缆。光纤以传输模态可分单模及多模，若将纤核直径大小限制在10μm左右，在1300nm传输波长中，便仅有一个传输模态在光纤中传输，即为单模，反之则为多模。单模主要用在长途通信（须与半导体雷射配合），因此产品要求较严苛，而全球光纤使用量仍以单模为主，单、多模使用量约10:1，而多模则适用在智慧型大楼内部及区域性的光纤网路铺设。产品名称：AMP室内4芯多模紧套管型光缆46 产品价格：￥15.00元产品介绍：AMP室内4芯多模紧套管型光缆(50/125)/2-1664032-1特色 AMP室内4芯光纤(50/125) 室内用紧套管型光缆，用于建筑内的水平和主干布线，可直接端接到工作区插座和多用户插座。纤芯类型包括单模、62.5/125μm多模、50/125μm多模及万兆光缆，芯数从2芯到72芯。 •适用于制作尾纤、跳线、水平布线和内部设备之间的连接。 •可以用于胶粘/打磨型连接器、免胶粘/打磨型连接器、免胶粘/免打磨型连接器和MT-RJ连接器 •使用高性能的单模或多模纤芯,符合所有的行业性能标准 •纤芯的缓冲层可以被剥除,方便与连接器的端接 •使用高强度纤维作为加强材料•符合TIA色彩编码的纤芯外皮颜色，方便识别和安装 •提供符合ULOFNR(垂直应用)和OFNP(通风管道应用)标准光缆 •设计和测试均符合TIA/EIA-568-B,TelcordiaGR-409-COREIEC793-1/794-1和ISO/IEC11801:2000标准 •多种芯数、多种规格可供选择 •XG万兆光纤应用于新型高速数据通讯•适用于所有的光纤端接工具46 结束语经过两个多月的努力，我终于完成了《网络工程路由交换项目设计》的论文。在整个项目实施过程中，出现过很多的难题，但都在老师和同学的帮助下顺利解决了，在不断的学习过程中我体会到：写论文是一个不断学习的过程，从最初刚写论文时对问题的模糊认识到最后能够对该问题有深刻的认识，我体会到实践对于学习的重要性，以前只是明白理论，没有经过实践考察，对知识的理解不够明确，通过这次的做，真正做到理论与实践相结合。总之，通过毕业设计,我深刻体会到要做好一个完整的事情，需要有系统的思维方式和方法，对待要解决的问题，要耐心、要善于运用已有的资源来充实自己。同时我也深刻的认识到，在对待一个新事物时，一定要从整体考虑，完成一步之后再作下一步，这样才能更加有效。尽管我的论文不是很成熟，还有很多欠缺之处，但是当看着自己的作品，我感觉到这次的经历也会使我终身受。希望这次的经历能让我在以后学习中激励我继续进步。46 参考文献[1]万振凯等．网络操作系统：windowsServer2003管理与应用[M]．北京：清华大学出版社；北京交通大学出版社，2008.8[2]高升，邵玉梅．WindowsServer2003系统管理（第二版）[M].北京:清华大学出版社,2007.5[3]刘化君．网络安全技术[M]．北京：机械工业出版社，2010.5[4]陈萍．Linux网络服务器配置与管理[M]：[M]，北京：机械工业出版社，2010.146 致谢两年的读书生涯将在这个季节即将划上一个完美的句号，我又将面对又一次征程的开始。求学生涯在师长、亲友的大力支持下，走得辛苦却也收获满囊，在论文即将付梓之际，思绪万千，心情久久不能平静。伟人、名人为我所崇拜，可是我更急切地要把我的敬意和赞美献给一位平凡的人，我的导师。我不是您最出色的学生，而您却是我最尊敬的老师。您治学严谨，学识渊博，思想深邃，视野雄阔，为我营造了一种良好的精神氛围。授人以鱼不如授人以渔，置身其间，耳濡目染，潜移默化，使我不仅接受了全新的思想观念，树立了宏伟的学术目标，领会了基本的思考方式，从论文题目的选定到论文写作的指导,经由您悉心的点拨,再经思考后的领悟,常常让我有“山重水复疑无路,柳暗花明又一村”。感谢我的爸爸妈妈，焉得谖草，言树之背，养育之恩，无以回报，你们永远健康快乐是我最大的心愿。在论文即将完成之际，我的心情无法平静，从开始进入课题到论文的顺利完成，有多少可敬的师长、同学、朋友给了我无言的帮助，在这里请接受我诚挚谢意！同时也感谢学院为我提供良好的做毕业设计的环境。最后再一次感谢所有在毕业设计中曾经帮助过我的良师益友和同学，以及在设计中被我引用或参考的论著的作者。46'