环佳网络公司扩容改造实施方案规划与设计

环佳网络公司扩容改造实施方案规划与设计

[摘要] 随着计算机技术的飞速发展，人们对互联网的需求也越来越大。为了满足这一需求，网络技术也在不断的进步着。对于一家中小型的企业来说，网络的基本架构和布置是企业办公的最基本的需求。而对于一家致力于网络传媒的公司来说。网络的需求更是不可缺少尤其是对服务器的配置等等，由于网络的发展也让早期的网络架构无法再满足目前的企业需求。因此在本文中，将会对该公司的网络进行全新的配备和完善，通过对该公司的网络进行扩容和全新的改造，改善该公司网络的使用情况。

[关键词] 网络；协议；vlan ；改造；服务器；

Abstract
With the rapid development of computer technology, people’s demand for the Internet is also growing. In order to meet this demand, the network technology is also in progress. For a small and medium-sized enterprises, the basic structure and layout of the network is the most basic needs of the office. For a company dedicated to the Internet media. The needs of the network is indispensable especially for the configuration of the server and so on due to the development of the network so that the early network architecture can not meet the current needs of the enterprise. Therefore, in this paper, the company’s network will be equipped with new and perfect.
Key words: Network; protocol; VLAN; transformation; server;

目 录

1 概述 6
1.1项目背景 6
1.2 研究内容 8
1.3研究意义 9
1.4研究现状 10
1.5术语定义 10
2 需求分析 11
2.1覆盖范围 11
2.2带宽 11
2.3网络可靠度（Network Reliability）和失效率 11
2.4 安全性 12
2.5 局域网共享及分公司通讯 12
2.6设备可靠和设备能耗 12
3.1 符合需求是方案设计的最低标准 12
3.2 建设高性价比的网络 13
3.3 遵循国际标准 13
3.4 建设易于维护的网络 13
3.5 下一代互联网支持 13
3.6 FTTH（光纤到户） 13
4 网络建设方案 15
4.1 网络建设技术 15
4.1.1 IP交换技术 15
4.1.2基于无源光纤网络设备的光纤到户光缆网络（ODN） 16
4.1. 3 IPv4协议和B类IP地址 17
4.1.4 虚拟局域网技术（VLAN） 18
4.1.5 RIP-2路由协议 18
4.1.6网络地址转换技术（NAT） 19
4.2 网络设计与设备选型 19
4.2.1网络拓扑结构 19
4.2.2设备选型 20
4.3 IP地址分配 20
4.4 虚拟局域网划分 21
4.5 跨地理位置访问 23
致 谢 25
参考文献 26

1 概 述

1.1项目背景
随着世界上第一台被命名为ENIAC即埃尼阿克(Electronic Numerical Integrator And Computer)的电子数字积分计算机的问世，让世界从此走入了数字化的时代。1968年，美国国防部高级研究计划局（DARPA）开始创建一种关于互联网的组件，这种组件不仅仅可以用来连接不同的计算机，并且使得他们之间可以互相沟通.这种组件后来被称之为——阿帕网（ARPNET），并在1969年开始进行投入使用。这种组件的形成,就像是一张网，并且这张网让计算机和计算机之间实现了信息的共享，并且随着连接进来的计算机数量越来越多，网络技术也在不断的升级着，最终逐渐演变成为了现在的因特网（Internet）。互联网是以信息资源的收集和共享资源为目的的网络，基于一些共同的协议和路由器和许多公共的互联网连接而成 [1]。通过互联网,不同的计算机之间可以通过相同的协议来进行访问,并且可以让使用者获取到他们需要获取的有用的信息.[2]。在二十一世纪的今日，网络已经走进了千家万户，我们的生活离不开网络，我们通过网络互相传递和分享信息。
伴随着科技的发展和时代的进步，网络资源越来越丰富，人们对网络的质量要求越来越高。各行各业都已经无法离开网络，企业的日常办公和管理都需要网络来支持。甚至，在物联网高度发展的今天，企业的打卡机、监控安防设备、停车场管理系统、门禁系统都需要高质量的网络支持才能够稳定运行。因此，制定一个高质量的环佳网络公司扩容改造实施方案，是保证企业的整体办公效率和信息化管理水平的重要基础。
环佳网络公司，创立于1994年，主要经营业务为TransVideo1200、环佳V100系列无线图像传输设备与MixData、环佳D100系列无线综合数据通信设备，公司位。 随着近年来“互联网+”战略的提出和部署，该公司业务不断扩张，公司规模急剧扩大。目前，该公司旗下设有四个分公司，原有的网络状况已经无法满足现在公司办公、经营的需求，主要出现的问题有如下几点：
(1)企业上网速度过慢
一大部分员工对企业的整体上网的速率提出过不满的意见。员工在上班过程中需要查阅资料、下载文件、与客户进行网上聊天或邮件沟通。而缓慢的网络速度使得原本花费很少时间就能解决的问题变得需要非常长的一段时间才能够完成相应的工作。由此可见，过慢的网速影响了员工整体的工作效率。如下图所示：特别是客户服务部门，由于上网速率过慢，经常出现电子邮箱无法打开，附件上传慢，造成了客户服务不及时，这可能对企业的客户满意度有所影响。
(2)终端容纳量不足
由于企业近年来飞速的发展，企业员工和联网终端数量也出现了断崖式的增长，原来设计的终端容纳量已经无法满足目前公司的需求，这就造成了每次有新员工入职时需要为他们重新架设桌面型交换机并接入网线或者干脆直接使用无线网络，给网络的管理和企业的人事管理造成了不小的麻烦。而且就目前公司发展的情况来看，一直采用这种办法来解决这一问题是不合理的，只会导致网络数据包转发通过的节点越来越多，员工访问网络的速度越来越慢。而且这也造成了企业员工之间被划分为多个物理子网，他们之间的数据共享也存在问题。
(3)分公司之间无法共享数据
目前，总公司与分公司之间、分公司与分公司之间的没有建立专属的通讯线路，无法构成一个专属局域网，因此，公司之间的数据共享都需要通过QQ等即时聊天工具或者文件传输工具来完成，这使得整体企业数据共享和管理存在一定的难度。分公司和总公司之间都无法及时获取到相应的数据，造成了沟通不及时、信息不对称、管理难度大的问题。而且，这种传输方式也是不安全的，容易在传输途中出现数据被窃取、篡改等问题。在当前所属的信息化和大数据时代背景下，数据是一个公司的核心，数据的的及时共享、安全问题是企业需要重视和解决的问题。
(4)网络拓扑结构杂乱，检修维护困难
由于企业不断的发展，原有的网络核心层和汇聚层设备已经无法满足目前公司全体员工办公电脑和设备接入的需要。只能通过外接桌面型交换机或路由器来临时解决这一问题。长此以往，造成了整个企业的网络拓扑结构杂乱，一旦一个节点出现问题，可能导致很大一部分办公计算机或设备终端无法连入互联网，而由于没有明确的网络拓扑结构档案，这给网络检修和维护造成了许多困难，往往要解决一个问题需要通过人工一个一个节点去追踪测试，无法及时解决问题。而目前新设立的桌面型交换机或者路由器整体转发速率和数据处理能力无法达到企业级的应用标准，这也是导致企业整体上网速度过慢的重要原因。
(5)局域网传输速度慢
公司目前采用的是主要是百兆交换机、五类网络线进行综合布线组网。这导致了企业内部局域网传输存在一定的瓶颈。管理层要将资料分发给各个员工需要耗费较长的时间，员工之间的数据共享也不够便捷。
(6)网络安全性低下
企业在初期组网时对网络安全性的重视程度不足，网络安全性得不到保障，这使得竞争对手或其他黑客能够十分容易的“攻入”公司的办公环境中，进行数据窃取、篡改。

图1-1环佳公司部门实景图片
此外，公司目前无法实现对员工的网络身份认证和上网行为管理，任何一个人都能够连入企业的网络中。特别是目前无线网络的普及，许多办公室都配备的无线路由器，企业外部人员能够很轻易地通过无线网络连入到企业的内部网络之中，不仅存在一定的安全隐患，而且会占用企业的网络资源。而由于没有对员工的上网行为监控和管理，员工越权查看文件、窃取企业机密也是十分容易的。一旦造成数据泄露、丢失、篡改，将会给企业造成十分巨大的损失。
(7) 网络设备老旧
企业目前使用的核心网络设备于6年前采购，而大部分网络设备生产和研发企业对产品设备的支持年限一般为5年。过久的网络设备无法得到设备制造商的技术支持，无法对系统进行升级和对设备漏洞进行修补，存在信息安全隐患。老旧的设备支持的互联网协议较少，这会对企业实行信息化办公和信息化管理创造一定的瓶颈。而且，老旧的设备运行稳定性存在较大的不足，一旦一台设备出现问题，将会导致公司一大部分甚至全部的网络无法使用，使企业陷入瘫痪，造成巨大的经济损失。
由于网络设备是365*24小时运行的，因此，能耗也是企业关注的一个重要问题。受到设备采购时技术和生产工艺的限制，老旧的设备在节能方面都没有较好的表现，设备能耗高给企业造成了不少的经济开支。
工作能力方面，老旧设备由于受到当时网络技术的限制，其整体吞吐量和转发效率、传输速率都不及目前市面上的主流设备，特别是目前使用的百兆传输速率和吞吐量已经无法满足目前企业的需求，限制了企业的发展。
综合以上几点不难看出，随着网络的飞速发展，企业对网络速度以及可靠度的要求越来越高，对网络建设也随之需要相应的发展。大量系统的不断上线、升级改造，使得企业网络环境日益复杂，网络风险也在不断增加，有可能导致企业网络无法正常运作，给企业造成巨大的损失。
目前随着公司的扩大与人员的增多与部分机器的老化，所以节点和机器的增加与更换也是势在必行的。本课题就是对此进行研究的。
1.2 研究内容
本论文为企业网络扩容实施的方案，需对企业网络中所涉及的设备进行具体的扩容改造，使其能对重要的生产系统实行更有效地网络保护。在对扩容实施过程中，主要对企业网进行设计，研究各种核心网络设备的冗余设计方案。
在实施过程中，首先是通过对网络的现状进行分析，确认对其扩容是有必要的。其次，对现网实施网络改造的设备需求进行分析，用最少的设备来实现目标。第三，对扩容网络进行IP地址规划、路由规划、VLAN规划以及MATP规划。第四，对网络扩容实施中的主要网络设备进行冗余设计。最后，对网络扩容实施中的风险进行分析及控制，对经济效益及社会效益进行初步分析，完成企业网络扩容的实现。
整个网络分为五部分，分别为总部和四个分公司。整体网络结构为三层园区网络拓扑结构。总部部署两台高端路由器，作为整个企业的汇接中心，汇聚转发整个企业的流量。为了各个分支节点之间流量转发的安全性，各分支节点之间采用VPN技术进行流量的转发。总部在汇接中心下行添加一台交换机，和现有网络中的交换机组成与分公司拓扑结构一样的网络。
各分公司采用两台中端路由器，上联至总部的汇接中心的两台路由器四台路由器逻辑上形成口字型结构，提高网络互通的可靠性。下联两台交换机，也呈口字型结构。这两台交换机负责整个分公司各部门分支机构的流量汇聚，交换机采用支持链路聚合功能的型号，两台交换机之间进行链路捆绑，下联各部门的交换机，呈树状结构，两台交换机之间配置多实例生成树，从而既避免了单点故障提高网络可靠性又达到了网络中各方面安全性的要求。每个部门放置一台中端交换机，通过单模光纤或超五类线缆上联至汇聚层，下行负责本地各种CP的接入，考虑到安全性，需要在接入层交换机上进行安全设置，对每个接入用户进行IP/MAC地址绑定，防止他人私自修改IP或私自接入交换机，从而保证网络的畅通。
整网部署OSPF协议，实现路由的动态发放。由于核心和汇聚路由器都采用冗余配置，当某条链路故障时，路由协议会自动选择出最优路径来完成数据的转发。每个分支的边界路由器到Internet使用默认路由。
1.3研究意义
为了适应业务的发展和国际化的需求，积极参与国家信息化进程，提高管理水平，发展全新的形象，建立一个现代化的机构内部网络，实现信息的共享、协作和通讯，并和属下各个部门互联，并在此基础上开发建设现代化的企业应用系统，实现智能型、信息化、快节奏、高效率的管理模式。国内外企业对于网络化发展已经有了深刻的认识，每一个公司企业也都离不开网络。企业的网络解决方案技术更是发展到了一个高水平、高效率的时代。因此，企业的互联网解决方案是必备的。相信在今后的发展中，企业网络解决会更加便利，高效，可靠。因此，对企业的网络改造有利于加快企业的信息化发展、提高企业信息化管理水平，提升企业的整体办公效率和企业的行政效率。
1.4研究现状
在信息化时代的背景下，企业网络规划、综合布线规划一直是比较热门的研究课题，但是，对于一个企业的整体网络改造升级、网络扩容方面的研究还是较为不足的。对于一个企业的发展，最终采用信息化办公和信息化管理手段是必然的，这也是提高企业的工作效率、行政效率的关键所在。因此，对于企业的整体网络升级改造、网络扩容的问题也是不容忽视的。
每个企业的情况不同，无法直接使用其他企业的网络升级改造和扩容方案，因此，对于环佳网络公司扩容改造实施方案规划与设计这一课题的研究是十分有必要的，在目前市场上也没有使用、有效的现成的方案，因此，在本课题的研究是十分有必要的，他能够提高企业的整体办公和管理效率，是企业信息化建设中的基础和关键所在。
1.5术语定义
本文中用于描述网络带宽的单位为Kbps、Mbps、Gbps (bits per second)。为了便于文章的描述，在本文中分别采用目前ISP和网络中较为广泛的K、M、G来表示网络带宽单位。如无其他特殊说明，下文中的K、M、G均为带宽单位的简写。

2 需求分析

2.1覆盖范围
企业的网络覆盖区域广阔，需要保证企业，包括一个总公司和四个分公司的所有办公计算机和全部的上网终端（打卡机、监控设备、门禁系统等设备）都能够接入到企业的网络中。
2.2带宽
网络的带宽，即网络线路中每一个单位时间（秒）所能传输的数据量。是影响网络访问速率的最重要的参数之一。理论上，网络带宽越大，单位时间所能传输的数据量就越大，给用户的体验就是网络速度越快。
用户对接入带宽具有较高的要求，原来的64K、128K的Modem拨号上网，发展到了2M、4M、6M的ADSL上网方式已经不能满足用户对带宽的需求。在国内最大的三家网络运营商（中国电信、中国移动、中国联通）官网所展示的上网套餐中，10M、20M、50M甚至是100M的带宽已经是目前主流的带宽需求。考虑到互联网的发展迅猛，为了避免因带宽问题导致其外后续的网络升级所带来的额外支持和不必要的麻烦，因此，企业的整体接入带宽需要使用千兆带宽接入，并实现双线接入。企业的每个办公计算机应保证访问互联网带宽达到2M及以上独享、内网传输实现千兆传输。
2.3网络可靠度（Network Reliability）和失效率
网络可靠度是用来衡量网络可靠性的指标。一般来说，利用分解法进行网络可靠度计算公式为f(k)=k;f(i;,k)+q;f(j;,k)。其中f(k)表示网络的可靠度，k为网络路径i的可靠度。
由于这种计算方式复杂，不利于真实可靠度的测量，这里我们引入计算机产品和各类电子产品的可靠度R(x)、失效率T(x)来衡量整个网络的可靠度。R(x)是指在正常条件和时间内提供网络服务的概率（以用户终端数计，排除因终端出现故障和网络运营商ISP的原因导致网络无法访问，这里以相互Ping通作为测试标准）。即R(x)=C1 /C，其中C1表示测试时间内正常服务的终端数量,C表示测试时间内网络服务的终端。
失效率T(x)是指在工作时间（t）内，在单位时间（△t）内失效的概率。也就是网络终端在某一时刻无法访问的可能性。失效率计算公式为T(x)= C1 /（C×t），其中C1表示测试时间内正常服务的终端数量,C表示测试时间内网络服务的终端，t表示测试时间。
为了保证网络的服务质量和更好的用户体验，要求网络使用期间的每年平均可靠度应达到百分之九十九以上，即R(x) ≥99%，T(x) ≤1×10-4/小时。
2.4 安全性
网络安全是当今世界的主题，也是人们关注的热点。由于企业对网络的依赖越来越大，因此，一旦网络安全出现问题，可能导致用户的个人隐私和公司的机密遭到泄露，给公司和员工造成直接或间接的经济损失。因此，企业网络升级和改造时应充分考虑其安全性。公司的网络核心层入口应设立大负载量的防火墙，公司不同的分公司和不同的部门之间相互隔离，避免被不法分子入侵，保障公司网络环境安全。
2.5 局域网共享及分公司通讯
局域网共享作为一种稳定、高速的资料共享方式，一直深受用户的喜爱，特别是在企业中，通过局域网共享的方式可以方便很多资料的共享和传输，员工通过局域网系统能够快捷方便的获取到相应资源和共享自己的资源，因此，在建设公司网络时，应该充分考虑到局域网内共享的需求。保证局域网共享的可靠性，做到低延迟高速传输。此外，还应充分考虑到网络共享的安全性。
由于环佳公司设立了四个分公司，这些公司在地域上处于相隔较远的范围，分公司、总公司之间的局域网可靠通讯和数据共享是十分必要的，因此，需要通过划分虚拟局域网的方式来保证各公司网络之间的通讯。
2.6设备可靠和设备能耗
只有设备稳定运行，才能保证公司的网络正常使用，这也是保证公司的正常办公和管理的前提条件。而由于网络设备的365天全天候不间断运行，一台设备的能耗过高，日积月累下来给公司带来的经济支出是十分可观的。因此，在设备选型方面，需要认真考虑设备的可靠性和设备能耗，选择一线品牌的通过国家3C认证的节能型产品，能保证稳定运行和为公司节能减排做出不少贡献。

3 设计原则

3.1 符合需求是方案设计的最低标准
符合需求是环佳网络公司扩容改造实施方案规划与设计的最基本原则，也是方案设计的最低要求。只有满足用户的需求，才能保证网络的正常使用，这个方案才是切实可行的。因此，在整个方案设计中，应充分考虑到本文第2章所描述的通过用户调查和市场调查得来的需求。
3.2 建设高性价比的网络
价格是制约网络建设的一个重要因素。建设一个高性价比的网络，即要在网络整体建设方案制订和设备选型环节中，严格进行市场调查和对比，采用合理的解决方案和技术，用最低的价格完成整个网络方案的设计，并保证网络的服务质量和稳定性。
3.3 遵循国际标准
在整体网络建设方案制订时，各个设计和使用的设备应满足国际现行的通用标准，只有遵循国际标准建设，网络才能具有更好的兼容性，易于后续的维护和拓展。
3.4 建设易于维护的网络
小区网络在使用的过程中都有可能出现问题，在这过程中检查和维护是十分有必要的。这就要求建设的网络要易于维护，这就要求网络建设时不仅要满足如3.3章节所叙述的各环节遵循国际标准，而且还要在整个网络方案规划中充分考虑其易于维护的特点，如在设备选型上应该用易于维护交换机、路由设备、防火墙等，并且要设立网络管理中心，对企业的网络进行统一管理，并网络的建设事项进行记录归档，方便后续维护时查询档案。
3.5 下一代互联网支持
对下一代互联网支持体现了网络的可拓展性，避免企业信息化建设的发展受到网络基础设置的制约。因此，在设备选型和技术选择方面，因遵循这一原则，如设备应提供对IPv6协议的支持、建设FTTH（光纤到户）网络等。
3.6 FTTH（光纤到户）
FTTH（光纤到户）是一种光纤通信的传输方法， 它要求光纤需要到达用户需要网络的地方[4]，在通过光调制解调器进行信号的调制和解调，将光电信号转换成电脑能够识别的数字（网络）信号。光纤到户能够为用户提供更大的带宽，更高的网络质量，同时还能够实现较长距离的网络传输，且具有更高的拓展新和易于维护的特点。因此，光纤到户（这里指光线到各个办公室）是中环佳网络公司扩容改造实施方案规划与设计中需要遵循的原则。

4 网络建设方案

4.1 网络建设技术
4.1.1 IP交换技术
如图4-1所示的开放系统互连参考模型 (Open System Interconnect 简称OSI）是国际标准化组织(ISO)和国际电报电话咨询委员会(CCITT)联合制定的开放系统互连参考模型，为开放式互连信息系统提供了一种功能结构的框架。它从低到高分别是：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
传统的二层交换技术是指在开放系统互连参考模型的第二层，即数据链路层对网络传输的数据进行解析和转发。而IP交换技术则是在二层交换技术的基础上进行网络层的数据包的转发。它与传统的二层交换技术相比，具有如下优势：
（1）子网数据交换
IP交换技术能够处理多个虚拟局域网（VLAN）子网之间的数据转发，这是二层交换技术所不具备的能力。
（2）更高的速度
IP交换技术是在二层交换技术的基础上在网络层进行转发的，因此它无需每次都对数据包解包判断，因此，在处理IP数据报方面，具有比路由器处理速度更快的先天优势。
（3）更高的安全性
三层交换机的访问列表能够实现类似于防火墙的更为简单的黑白名单功能，能够限制外部用户访问企业网络环境的节点，因此，在安全性方面更具优势。

图4-1开放系统互连参考模型
4.1.2基于无源光纤网络设备的光纤到户光缆网络（ODN）
在本文第3章节设计原则中我们提出了采用光纤到户的设计原则进行设计。为什么一定要采取这种技术来进行网络设计。首先我们需要先了解目前市面上所存在的网络传输介质（线缆）类型。
常见的网络传输介质有光导纤维（本文中采用其光纤的简称）、双绞线和同轴电缆。如下表4-1所示同轴电缆分为10Base-5和10Base-2两种，他们的传输速率都是10M，而在不设中转的条件下，10Base-5的同轴电缆能够保证传输距离为500米，10Base-2的传输距离为200米。此外，值得一提的是，同轴电缆只能级联两到三次，否则会出现严重的信号失真，由于同轴电缆所具有的传输速率慢、级联不便、且一根同轴线缆出现故障可能会导致整个后续的网络瘫痪的特性，因此同轴电缆不适用于整体企业的网络建设。
双绞线分为3类双绞线、5类双绞线、超5类双绞线和6类双绞线，其传输带宽分别是10Mbps、100Mbps、155Mbps、1000Mbps，且传输最佳距离在100米以内。而光纤拥有比双绞线更高的通频带宽，理论可以达到三十亿兆赫兹，目前实际使用的质量较好的光纤能够达到10Gb/s的传输速度，传输距离最高能够达到两公里。
表4-1 传输介质对照表
介质类型 传输速率 传输范围 交换方式
同轴电缆 10M 200米（10Base-2）
500米（10Base-5） 无源
双绞线 10Mbps（三类双绞线）100Mbps（五类双绞线）
155Mbps（超五类双绞线）
1000Mbps（六类双绞线） 小于等于100米 有源交换机
光导纤维（无源） 最高三十亿兆赫兹 1.5公里至2公里 无源光分
除此之外，光纤还具有如下优点：
（1）线径更小
由于光纤是利用光作为传导介质，其线缆直径比双绞线小，无论是穿管的便利程度，还是明线铺设的美观程度，光纤的优势很明显。
（2）综合布线成本更低
光纤采用无源光分的技术来进行数据交换。无源光分和有源交换机的对比，不仅比交换机成本更低，而且交换机的运行涉及到电路，这就需要另外支出成本解决电路的部署、以及后续用电费用问题。因此光纤进行综合布线具有成本更低的优势。
（ 3）光纤具有更高的拓展性和发展前景，便于升级
基于PON设备的FTTH光缆网络（ODN）网络的投资是可以持续使用的，光纤在目前可以看到的时间范围内仍是最好的一种传输介质。一旦需要提高整体速率和带宽对企业网络进行升级，更换全部的双绞线所带来的成本是非常高昂的，更不用说其人工费用。即使双绞线能够继续满足用户的带宽需求，由于网络新技术的引入，更多的新协议需要被支持，需要对汇聚层和接入层的全部网络交换设备、路由设备进行更新。而使用光纤作为传输介质，当有新协议出现需要支持时，或者提供更大的带宽，则只需要局端光线路终端做统一升级，用户端光网络单元按照用户业务做个性化更换，能够进行支持。
由于以上几个特点，因此采用光纤到户的形式进行方案设计和综合布线具有十分明显的优势。
4.1. 3 IPv4协议和B类IP地址
互联网协议（IP）定义了基本的网络协议，在整个互联网上的数据的传输格式，路由的功能，可以选择在网上传输的数据包的错误信息，进行指出，处理以及分组的规则。[6]。因此，互联网协议都是是互联网其他协议的基础，在IP中，互联网的开放性可以得以体现。目前，应用最为广泛的互联网协议是该协议的第四版本（IPv4）。该协议能够将网络中传输的帧封装成如图4-2所示的IP数据报。

图4-2 IPv4数据报格式
IPv4协议最明显的特点是给每一台联网主机划分了一个唯一的32位的IP地址，这个地址通常以点分十进制的方式表示，如192.168.253.253。这个32位的地址地址分为两部分，前一部份代表主机所在的网络地址，后一部份表示主机地址。如图4-3所示IPv4分配的IP地址由网络号（Network ID）和主机号（Host ID）组成，地址可以分为A类、B类、C类、D类、E类5个大类，每一类IP地址的网络号和主机号长度不同，子网掩码也不相同。由于企业需要接入网络的终端设备多，为了满足所有设备上网的需求，也为了网络的扩展性考虑，方案采用B类IP地址进行IP地址分配。

图4-3 IP地址分类
4.1.4 虚拟局域网技术（VLAN）
虚拟局域网（Virtual Local Area Network）技术，能够一组逻辑上的设备和用户，在不受位置条件制约的情况下，根据每一个设备和用户的功能等因素划分，将他们组成一个网络，实现它们相互之间的通讯方式与在真实的局域网中通讯方式一致[2]。这种技术的优点在于不受地理因素影响，配合IP交换设备的使用，还能够允许不同虚拟局域网子网之间相互访问。这种技术能够实现企业在不同地域分布的分公司和办公场场地之间的网络用户能够像局域网那样进行相互通信。
4.1.5 RIP-2路由协议
因为考虑到企业网络结构较复杂，并且在网络协议的选择方面要考虑到稳定和简便。所以本次设计选取RIP-2作为路由协议。
RIP-2是一种无类别协议（路由），与RIP-1相比，它具有以下优点：
（1）支持路由标记，并可以灵活地路由标记路由策略控制。
（2）该数据包携带掩码的信息，它支持路由聚合和CIDR（无类别的域间路由）。
（3）支持下一跳的指定，并且可以被选择在广播网络的最佳下一跳地址。
（4）支持组播路由发送更新报文，减少资源消耗。
（5）支持协议消息的验证，并提供明确的认证和验证MD5加密两种方式，增强安全性。
综上特点，由于RIP适合大小适中且简单的局域网，而且需要VLSM和VLAN的划分，因此企业网络选择RIP-2路由协议更加合适。
4.1.6网络地址转换技术（NAT）
企业网络中的应用和文件共享服务器本来已经分配到了内部IP地址，但又需要能够在互联网上被访问到，这就需要采用网络地址转换技术，通过在路由器上开启NAT功能，路由器就能够实现应用服务器本地地址和因特网IP地址之间的相互转换，实现全端口映射。
网络地址转换技术能够屏蔽企业内部网络，在外部访问时不会知道内部网络设计，也不会有感觉到他的存在。因此，网络地址转换技术更具有安全性，符合企业网络建设安全性需求。
4.2 网络设计与设备选型
4.2.1网络拓扑结构
企业内部网络拓扑设计如下图4-4所示。

-4环佳网络公司网络拓扑结构图
企业总公司和各个分公司因特网入口设立防火墙，进行攻击过滤，在将因特网接入到各个核心路由器组中，再将核心路由器接入到汇聚交换机中，组成网络的汇聚层。
每个办公区域设立一组区域交换机，连接网络的汇聚层，每个小区域设立光纤分光器，接入光纤交换机组，就能够实现光纤到户。每个办公室设立光调制解调器，将光信号转化为网络（数字）信号，在接入到办公室的千兆交换机中，办公室通过千兆交换机和六类双绞线将网络连接到各个上网计算机和终端设备中。
在企业中还设立网络管理中心，管理整个企业的网络，并为运行的相关管理系统的应用服务器以及文件服务器提供服务支持。
4.2.2设备选型
（1）核心路由器（核心网关）设备选型
核心交换机（核心网关）需要具备高转发速度、高数据处理能力的特点，并且需要能够进行网络身份认证和行为记录功能，方便企业管理。经过考察和对比，选用兴网锐捷Newton 18000身份认证网关，能够满足以上要求。
（2）汇聚交换机组设备选型
汇聚交换机组由多台交换机组成，设备选择必须满足光纤数据交换，满足不同网络设备之间的通讯需求，另外，还需做到高性能、速度快、支持ACL和虚拟局域网、万兆以上带宽支持、性价比高等要求。经过对比，最终选定H3C（华三） S5130-28F-SI H3C华三提供光纤数据转发，该交换机性价比高，同时支持24口千兆光纤传输+4口万兆光纤传输，具有极大的可扩展性。
（3）区域交换机组设备选型
区域交换机组需要千兆网络传输、光纤数据交换，还需保证较高的可扩展性、安全性，运行稳定。经过对比，选择CISCO WS-C3850-12S-S三层光纤交换机作为楼栋交换机。
（4）办公室千兆交换机设备选型
办公室千兆交换机的选型需要遵照性价比高、具有千兆更能、节能的原则，通过对比，采用TP-LINK SG1016DT 16口千兆交换机作为办公室交换机，具有性价比高、节能的优势。
4.3 IP地址分配
如本文4.1.3章节所述，采用IPv4协议B类地址进行内部IP地址分配。具体分配方案如表4-2所示。
表4-2 环佳网络公司IP分配方案
应用范围 IP分配方案 子网掩码
网络管理中心 172.168.1.1—172.168.1.254
（其中10.1.1.8为VPN服务器，10.1.1.6为身份认证网关设备） 255.255.0.0
总公司 172.168.10.1—172.168.19.254 255.255.0.0
分公司A 172.168.20.1—172.168.29.254 255.255.0.0
分公司B 172.168.30.1—172.168.39.254 255.255.0.0
分公司C 172.168.40.1—172.168.49.254 255.255.0.0
分公司D 172.168.50.1—172.168.59.254 255.255.0.0
网络设备 172.168.254.1—172.168.254.254 255.255.0.0
监控、门禁、考勤设备 17.168.250.1—172.168.253.254 255.255.0.0
4.4 虚拟局域网划分
采用虚拟局域网划分的方式，在不另外布线的基础上实现子网通讯。这在4.1.4章节中已经进行了必要性论证。
采用虚拟局域网（VLAN技术），将环佳网络公司的总公司和各个子公司向划分为一个子网，分别命名为VLAN1、VLAN2、VLAN3、VLAN4、VLAN5,再将网络管理中心单独划分一个子网VLAN0，子网中的相互通信如下表4-3所示。
表4-3 环佳网络公司子网划分方案
子网名称 应用范围 子网中相互通信
VLAN0 网络管理中心 VLAN1、VLAN2、VLAN3、VLAN4、VLAN5、VLAN99
VLAN1 总公司 VLAN0、VLAN2、VLAN3、VLAN4、VLAN5
VLAN2 分公司A VLAN0、VLAN1、VLAN3、VLAN4、VLAN5
VLAN3 分公司B VLAN1、VLAN2、VLAN0、VLAN4、VLAN5
VLAN4 分公司C VLAN1、VLAN2、VLAN3、VLAN0、VLAN5
VLAN5 分公司D VLAN0、VLAN1、VLAN2、VLAN3、VLAN4
VLAN101—199 监控、门禁、考勤设备 无
之后再将公司不同部门分别划分为不同的子网。
如总公司人力资源部门，划分子网名称为VLAN13，该子网要能够访问企业的门禁设备和考勤设备所在子网，方便考勤记录整理和门禁权限分配。
具体实现命令如下：
Switch(config)#vlan0 name VLAN0 !创建网络管理中心子网（VLAN2）
Switch(config)#vlan1 name VLAN1 !创建总公司子网（VLAN1）
Switch(config)#vlan2 name VLAN2 !创建分公司A子网（VLAN2）
Switch(config)#vlan3 name VLAN3 !创建分公司B 子网（VLAN3）
Switch(config)#vlan4 name VLAN4 !创建分公司C子网（VLAN4）
Switch(config)#vlan5 name VLAN5 !创建分公司D子网（VLAN5）
Switch(config)#vlan101 name VLAN101 !创建考勤设备子网

将1口划入VLAN0 ，1口为网络管理中心主机，2口为VPN服务器：
Switch(config)#interfaceethernet 0/1
Switch(config-if)#vlan-membershipstatic 0
Switch(config-if)#exit

Switch(config)#interfaceethernet 0/2
Switch(config-if)#vlan-membershipstatic 1
Switch(config-if)#exit

将3口划入VLAN1 1口为总公司办公计算机：
Switch(config)#interfaceethernet 0/3
Switch(config-if)#vlan-membershipstatic 1
Switch(config-if)#exit

将4口划入VLAN2 4口为分公司A办公计算机：
Switch(config)#interfaceethernet 0/4
Switch(config-if)#vlan-membershipstatic 2
Switch(config-if)#exit

将5口划入VLAN3 5口为分公司B办公计算机：
Switch(config)#interfaceethernet 0/5
Switch(config-if)#vlan-membershipstatic 3
Switch(config-if)#exit

将6口划入VLAN4 6口为分公司C办公计算机：
Switch(config)#interfaceethernet 0/6
Switch(config-if)#vlan-membershipstatic 4
Switch(config-if)#exit

将7口划入VLAN5 7口为分公司D办公计算机：
Switch(config)#interfaceethernet 0/7
Switch(config-if)#vlan-membershipstatic 5
Switch(config-if)#exit

将8口划入VLAN101 8口为公司考勤机：
Switch(config)#interfaceethernet 0/8
Switch(config-if)#vlan-membershipstatic 101
Switch(config-if)#exit

Switch(config-if)#end
4.5 跨地理位置访问
由于企业的总公司和分公司处于不同的地理位置，相互距离较远，采用专线通信成本十分高昂，因此，为了解决跨地理位置访问，需要采用虚拟专用网络（VPN）技术。
虚拟专用网络的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问[3]。
因此，仅需要在公司内部建设一个虚拟专用网络网关，各个子公司的路由设备通过互联网连入到该VPN网关中，就能够利用互联网建设一个虚拟专用网络，这种网络具有安全性高、传输快的特点，适合在该企业使用。
构建VPN网关的方式有很多，如采购专用的VPN硬件设备、安装VPN软件、假设VPN服务器等方式。
由于VPN设备较为昂贵，性价比不高等原因，为了节约整体网络改造升级成本，不考虑采用这种方式建立虚拟专用网络。
而安装VPN的软件较为繁琐，他的整体转发效率不高，因此，这种方式也不适合用在企业中。
采用服务器架设虚拟专用网络网关是最适合本公司情况的一种有效方式。在网络管理中心假设一台服务器，安装WINDOWS 2008 Server R2操作系统，同过配置操作系统的方式就能够建立一台VPN网关服务器。该服务器只要使用NAT技术或端口映射技术映射到互联网中，就能够让分公司之间能够连入该网关，将各分公司和总公司连接成为一个虚拟局域网，实现高效、简便、安全的专用网络传输。

致 谢

在这次毕业论文设计开始慢慢的靠近结束了，在这次的环佳网络公司扩容改造实施方案规划与设计的论文中，我学到了很多，不仅能够真正的利用自己所学到东西对校园网络的建设做出分析判断，并且在本次论文的研究中，老师对我的细心教导让我尤为感动。作为理科专业知识掌握不是很牢固的我，在对系统的研究上缺少相应的经验。很多章节和数据的建立没办法独立完成，老师们却不断的支持我，鼓励我，让我在不断的困难中迎头向前。为我讲解分析问题和解决问题的方法。并不断的用自己的开发经验，让我学会用开发的思想我、去解决客服问题。在这里，我要特别的感谢我的指导老师。本次的毕业设计也脱离不开同学们的建议，由于在论文的框架设计中，对整体研究内容的设计比较粗糙。论文论据也经常有缺角。在同学们的建议下，我慢慢的找到了改进的方法并投入到我的毕业设计中。这篇研究论文的顺利完成都离不开老师与同学们的帮助，我时刻铭记心怀感恩，感恩所有帮助过我的人，在你们的大力支持下我才得以完成这篇研究论文！
很感谢我的母校为我提供了一个良好的学习环境，让我能够在这样的环境中不断的鞭策自己，努力学习，也感谢我的舍友以及朋友们，能够在我需要帮助的时刻耐心的协助我，有了他们的鼓励，支持与帮助，让我四年的大学生活过得很充实。
最后要感谢的是我自己，感谢自己的付出与努力，毕业论文的顺利完成离不开自己的努力与专注，感谢自己能够尽自己最大的努力去收获大学四年学习生活的成果。在此对所有帮助过我的人以及母校，还有自己表示最衷心的感谢！

参考文献

[1] 刘四清等，计算机网路技术基础教程，清华大学出版社， 2004 年 3 月.
[2] 黄健斌等，网络计算，西安电子科技大学出版社， 2004 年 3 月.
[3] 刘衍绗等，计算机网络，科学出版社， 2003 年 8 月.
[4] 谢希仁. 计算机网络. 第二版. 北京：电子工业出版社，1999.
[5] 陆姚远. 计算机网络技术. 第二版. 北京：高等教育出版社，2000.
[6] 陈明等，局域网教程，清华大学出版社， 2004 年 1 月.
[7] 吴企渊等，计算机网络，清华大学出版社， 2004 年 1 月.
[8] 周永辉. 关于中小企业建立管理系统问题的思考[J]. 山西高等学校社会科学学报. 2002(08).
[9] 彭澎. 计算机网络实用教程. 第一版. 北京：电子工业出版社，2000
[10] 北京智恒联盟科技有限公司. WEB网站系统安全全面解决方案. 2009中国计算机信息防护年会论文集, 2009年12月01日.
[11] 张翼. Web环境下数据库系统安全访问控制机制研究. 2007.