浅析经营类企业局域网整体设计方案

一、需求分析

XX大厦培训中心是一家刚刚成立的大型培训机构，中心有培训部、财务部、人力资源部、后勤部、董事会（管理部门）和客房部6个部门，6个部门分布在两个楼层。日后中心在郊外还要开设分支机构，而这里作为中心总部，中心机房也设在此处。中心的网络系统要满足中心日常办公电子化、各部门信息共享、日常培训业务开展的需要，且作为大型培训中心，某些经营机密需要很高的保密度，所以中心网络要有很高的可靠性和安全性。考虑到日后中心的扩张，网络系统要有可扩展性。

因经营性行业数据的重要性、保密性，为了保证多项培训业务的顺利进行，保证网络的不间断运行，网络平台应具有高可靠性、技术先进性和实用性、高性能、标准开放性、灵活性及可扩展性、可管理性、安全性等特点。

用户需求为：

1.实现中心内部资源共享，即文件服务器，但是对不同的资源要有相应的权限；

2.满足中心日常培训教学任务，办公业务的传输和存储；

3.中心各部可以通过即时通信软件联系，建立中心邮件服务器；

4.打印机共享；

5.中心内部要网络接入Internet；

6.架设中心web服务器，发布中心网站；

7.为保证安全，Internet与中心内部网络间应采用防护措施，防止外界对内部网络未经授权的访问。

二、网络整体设计

由于XX大厦培训中心总部网络站点不是特别的多，而且联网的站点相对集中，因此我们采用星型的网络拓扑。星型拓扑结构是由通过点到点链路接到中央节点的各站点组成的。星型网络中有一个唯一的转发节点（中央节点），每一台计算机都通过单独的通信线路连接到中央节点。

针对实际情况我们采用三层结构模型，即核心层、分布层、接入层。核心层作为整个网络系统的核心，起主要功能的是高速、可靠的数据交换。分布层主要进行接入层的数据流量汇聚，并对数据流量访问控制。接入层主要提供最终用户接入网络的途径，进行VLAN的换分、与分布层的连接。

核心层，推荐使用两台Cisco Catalyst 4506E交换机完成此项功能。Cisco Catalyst 4500系列凭借众多智能服务将控制扩展到网络边缘，其中包括先进的服务质量（QoS）、可预测性能、高级安全性和全面的管理。它提供带集成永续性的出色控制，将永续性集成到硬件和软件中，缩短了网络停运时间。Cisco Catalyst 4500系列的模块化架构、介质灵活性和可扩展性减少了重复运营开支，提高了投资回报（ROI），从而在延长部署寿命的同时降低了拥有成本。

汇聚层设计采用两台Cisco WS-C3750G-12S-E作为汇聚交换机。两台Cisco WS-C3750G-12S-E做双机热备，采用Cisco专有热备份协议技术（HSRP），根据需求配置成多组HSRP。这样设计不但保证网络的高可用性和稳定性，还能避免单台核心设备的负载太重导致网络性能问题。

接入层设计采用思科的2960系列智能以太网交换机以千兆以太链路和汇聚交换机相连接，并为用户终端提供10/100M自适应的接入，从而形成千兆为骨干，百兆到桌面的以太网三层结构。办公系统所需的各种服务器如FTP服务器、邮件服务器、DHCP服务器等组成服务器群，连接到汇聚交换机的千兆模块上面，因此，内部的局域网采用三层结构组建。

三、安全策略

将各部门划属不同的VLAN，通过访问控制列表，进行有效防御。

设计使用思科的ASA5505-SEC-BUN-K9防火墙。它集高安全性和高可扩展性于一身，能够对病毒、垃圾邮件、非授权访问等进行实时监控，并提供VPN服务，为用户提供全面的保护。它构建于Cisco PIX安全设备系列的基础之上，能够提供内部网到内部网和远程接入到内部网两种安全保护，可以防御互联网中的病毒、间谍软件的攻击，并可阻止垃圾邮件和非法连接，在提供安全网络环境的同时，也提高了员工的工作效率，为中心创造更高的经济效益。

四、方案实现结果分析

网络工程实施完成后，主要实现以下功能：

首先是中心内部办公资源的高度共享，通过FTP服务，员工可按权限上传下载资料。上传权限只赋予网络管理人员，下载权限根据文件性质设定，一般按部门来限定文件的下载权限。

其次，该网络提供宽带网络支持，内部用户可连接Internet。但是出于网络安全考虑，我们在防火墙和核心交换机上都部署了安全策略，限制了内部用户对某些网站的访问权限。方案中防火墙主要就是对Internet中的病毒，垃圾邮件以及非授权访问的拦截。并监控进出的数据流量，防止内部人员泄露中心机密资料。

第三，通过Web服务器中心向外发布中心网站，公布行业信息以及网上培训系统。用户通过网站进行网络教学，每日有庞大的数据量在传输，且网络教学讲求的就是即时准确，所以核心层和汇聚层都使用两台设备，并采用了端口汇聚技术，即保证了数据传输所需要的带宽，而且在任何一台设备出现故障时，网络还能正常运转，保证了网上教学的即时性。