文档文库
手机版
投诉建议
热门搜索: 心得体会 演讲稿 思想汇报
首页 > 大型企业网络设计

大型企业网络设计

发布时间:2019-09-06   来源:文档文库   
字号:
手机查看


课程设计报告
2015 / 2016 学年 学期)


目:大型企业网络设计


专业 网络工程 学生姓名 李统宇 班级学号 B12070319 指导教师 鲍楠 指导单位 南京邮电大学物联网学院 日期 2016.1.4-2016.1.15


评分项
遵守机房规章制度(5分) 上机时的表现(5分) 学习态度(5分) 程序准备情况(5分) 程序设计能力(10分)
成绩

团队合作精神(5分) 课题功能实现情况(10分) 算法设计合理性(10分) 用户界面设计(10分) 报告书写认真程度(5分) 内容详实程度(10分) 文字表达熟练程度(10分) 回答问题准确度(10分)



教师签名:
年月日




评分等级有五种:优秀、良好、中等、及格、不及格


大型企业网络设计
一、 题内容和要求
XX集团是一个以煤炭产品为主,兼营大型矿井建设、工业与民用建筑设计与施工、地基与基础处理、地质勘探、商业等行业的综合性集团公司。XX集团作为一个全国200强的集团公司,下辖生产矿、建井处、机械厂等二级单位40余家,各个相对独立的生产服务单位,如财务、运销、医疗卫生、远程教学、综合统计等,都必须实现网上信息传输。
XX集团的网络建设于20051月左右,当时建设的网络为XX集团各项业务信息化立下了汗马功劳。随着近几年计算机网络技术的不断发展,计算机及网络的使用者水平不断提高,集团网络上需要承载的应用不断增多,网络中病毒流行、广播信息较多,各项关键业务网络安全得不到保障。XX集团充分认识到计算机网络作为信息化基石的巨大作用,决定改造XX集团网络系统。
现在要求做出该集团的网络设计方案,在该方案中,用户有如下的需求:
由于该网络为承载整个集团的基础骨干,面对日益突出的信息安全问题,要求网络系统集成的相应的安全特性。由于前期网络中使用的普通交换机、HUB无法进行安全规则设置,网络攻击常常影响网络正常业务以及用户正常上网,关键业务无法保障,因此新建的网络平台需要提供防止DOS攻击的能力。
在多业务共同存在的网络设备之上,各业务属于不同的区域,要求实现内部网络按用户、功能进行VLAN、网段划分。
针对不同的用户类型,制定相应的访问、控制权限。
由于接入ISP提供的互联网出口提供1个公有IP,要求解决集团内部对外部网络的访问需求,且要实现发布对外的WEBFTP服务。 支持10GE或将来平滑过渡到10GE;集团内部各个建筑物都有18芯的单模光纤连接到主建筑物(即网络中心所在地),所有建筑物到主建筑物之间的距离在600M~~10000M之间;每个建筑物内部都有适当的内部布线,以实现所需连接。


二、需求分析
2.1 案例分析
Cisco公司已经成功地在中国实践了前述的教育网络设计思想,特别是河南省教育科研宽带IP骨干网络全部采用了先进的高速宽带 光传输网络技术,已经成为这类新型教育网络的典范。
河南省教育科研宽带IP网络全面采用Cisco公司的AVVID网络体系结构,一期工程总共采用了10Cisco GSR 12016GSR12012,近20Cisco OSR 6509其他各类交换机和路由器数百台。该网络集成了远程教学等多种多媒体应用,特别是采用了550Cisco的新型7940 IP电话和4CallManager组建了我国第一个省级IP Telephony网络,并结合Cisco视频产品IPTV系列建立了许多新的教育模式。这一网络基于分层设计分为三层:骨干传输网、城域网、接入网,采用三级管理模式:省网络中心、地市网络中心、校园网,连接省内各大中专院校、各中小学校、各级教育主管部门和其他教育科研单位,未来更将延伸到每一个需要教育培训的公众面前。
骨干网络由分布在17个地市的核心节点组成,与河南省广电合作利用其光纤资源,全省形成环网状冗余拓扑结构。在各个核心节点分别配置Cisco公司在国际上多次获奖的千兆位路由交换机 GSR 12000系列中的 1201612012作为核心传输设备,节点间使用裸光纤配合POS 技术实现OC-482.48G链路互连并采用HSRP技术,以提供物理层、链路层及IP层的冗余连接能力。根据各地市的具体情况,可以建设城域教育网络也可以在核心节点配置汇接设备直接解决接入网络的接入问题,汇接设备可选用Cisco 120126509采用POSDPT或千兆以太技术,传输速率可达12.48Gbps,具体设计可以非常灵活。
基于Cisco IOS的多功能网络平台:网络中采用的网络设备均采用Cisco IOS (Internetworking Operation System互联网络操作系统为核心功能软件。Cisco IOS集成了路由技术,局域网交换技术,ATM交换技术,各种移动远程访问接入技术,广域网互连技术等超过15,000个网络互连功能,已经成为网络互连的标准。CiscoIOS系统支持今天的绝大多数网络应用系统,同时Cisco IOS系统可提供从数
据链路层到应用层的多种网络服务,如:L2/L3VPN(虚拟专网VPDN(虚拟拨号专网以及对MPLS技术的支持允许提供各种网络增值服务。
丰富的网络安全机制:网络设计是按照标准ISP(国际互联网络服务商方式设计的IP交换网络平台。整个网络与国际互联网络平滑连接,因此网络的安全性尤其重要。方案中采用Cisco IOS多种安全策略: 1 网络路由信息交换安全策略:包含路由器的认证,路由信息过滤,多种动态路由协议信息交换控制等。 2 网络服务安全控制:包含标准访问控制列表(ACL,扩展的访问控制列表(Extend ACL,动态访问控制列表(Refliex ACL,按数据流的访问统计和监控(Netflow,网络资源访问用户认证/授权和记帐(lock & key 3 基于网络层的加密:网络设备可提供基于标准的网络层加密技术:IPSec 可以提供高可靠的网络访问安全机制。 4 网络攻击防范:Cisco IOS可通过对网络访问连接的监控和分析,发现可能出现的网络攻击,如Sync Attack 等,并采取相应的的控制手段保护网络资源。 5 网络系统告警(Syslog:网络中采用的设备可对监控到的网络攻击和各种非正常访问发出告警,提醒网络管理人员及时发现问题并采取相应安全策略。 设备安全:网络的各种安全策略的实现均基于网络设备的安全设置,这使得网络设备本身的安全控制显得尤其重要。网络设备本身具有多种访问控制安全策略: 1 多级访问控制密码:网络中各设备访问控制可通过15级不同的访问权限,网管人员可设置不同的访问权限。如:普通操作员只能监视设备运行,不可进行其他操作;高级的管理员可做故障诊断,不可修改设备配置文件;系统管理员可具有所有功能权限等。 2 网络管理系统的安全控制:由于本网络中网络管理系统采用标准的SNMP络管理技术,因此网络设备的网管可能出现漏洞。本网络中的网络设备可提供多种保护手段,如:特别的网管访问密码;由设备指定特别的网络管理工作站系统等。 易管理维护的网络:由于采用了IP骨干技术、DHCP技术和MPLS技术,使得网络的管理简单化。这可以使网络管理人员大为精简,节约运行开销。网络管理人员只需在规划好的网络结构内提供各个接入网络的接入控制即能实行各种网络服务。
网络系统的管理工作重点变为对于骨干网络的运行实施系统监控。由于采用的网络设备自身已具备较为完善的网络管理、监控和维护功能,因此采用建立一个管理工具齐全的集中的网络管理中心即可实现全网络的系统管理和监控[11]

2.2 大型企业网络分析
为适应企业信息化的发展,满足日益增长的通信需求和网络的稳定运行,今天的企业网络建设比传统企业网络建设有更高的要求,本文将通过对如下几个方面的需求分析来规划出一套最适用于目标网络的拓扑结构。
2.2.1 宽带性能需求
现代大型企业网络应具有更高的带宽,更强大的性能,以满足用户日益增长的通信需求。随着计算机技术的高速发展,基于网络的各种应用日益增多,今天的企业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化,Web浏览等简单的数据业务,还要承载涉及企业生产运营的各种业务应用系统数据,以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务。因此,数据流量将大大增加,尤其是对核心网络的数据交换能力提出了前所未有的要求。另外,随着千兆位端口成本的持续下降,千兆位到桌面的应用会在不久的将来成为企业网的主流。2004年全球交换机市场分析可以看到,增长最迅速的就是10 Gbps级别机箱式交换机,可见,万兆位的大规模应用已经真正开始。所以,今天的企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网的标准,核心层及骨干层必须具有万兆位级带宽和处理性能,才能构筑一个畅通无阻的"高品质"大型企业网,从而适应网络规模扩大,业务量日益增长的需要[7]
2.2.2 稳定可靠需求
现代大型企业的网络应具有更全面的可靠性设计,以实现网络通信的实时畅通,保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来,网络通信的无中断运行已经成为保证企业正常生产运营的关键。现代大型企业网络在可靠性设计方面主要应从以下3个方面考虑。
设备的可靠性设计:不仅要考察网络设备是否实现了关键部件的冗余备份,还要从网络设备整体设计架构、处理引擎种类等多方面去考察。

业务的可靠性设计:网络设备在故障倒换过程中,是否对业务的正常运行有影响。
链路的可靠性设计:以太网的链路安全来自于多路径选择,所以在企业网络建设时,要考虑网络设备是否能够提供有效的链路自愈手段,以及快速重路由协议的支持[7]

2.2.3 服务质量需求
现代大型企业网络需要提供完善的端到端QoS保障,以满足企业网多业务承载的需求。大型企业网络承载的业务不断增多,单纯的提高带宽并不能够有效地保障数据交换的畅通无阻,所以今天的大型企业网络建设必须要考虑到网络应能够智能识别应用事件的紧急和重要程度,如视频、音频、数据流(MISERPOA、备份数据)同时能够调度网络中的资源,保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送,实现对业务的合理调度才是一个大型企业网络提供"高品质"服务的保[7]

2.2.4 网络安全需求
现代大型企业网络应提供更完善的网络安全解决方案,以阻击病毒和黑客的攻击,减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS杀毒软件,以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御,但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,这样才能有效地保证企业网络的稳定运行[7]
2.2.5 应用服务需求
现代大型企业网络应具备更智能的网络管理解决方案,以适应网络规模日益扩大,维护工作更加复杂的需要。当前的网络已经发展成为"以应用为中心"的信息基础平台,网络管理能力的要求已经上升到了业务层次,传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如,网络调试期间最消耗人力与物力的线缆
故障定位工作,网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作,由于受网络设备功能本身的限制,都还属于费时、费力的任务。所以现代的大型企业网络迫切需要网络设备具备支撑"以应用为中心"的智能网络运营维护的能力,并能够有一套智能化的管理软件,将网络管理人员从繁重的工作中解脱出来[7]


2.3 本课题系统需求分析
该企业位于北京市海淀区中关村,网络联接的建筑物有三个:两个办公楼和一个行政楼。
管理部、财务部和网络部在行政楼中; 市场部在办公楼A
销售部和人力资源部在办公楼B
所以我们已建筑物的中心也就是行政楼的三层为网络的中心,用光纤连接办公AB,构成电子商务公司网络光纤主干。
办公楼2个,行政楼1 1.划分VLAN (见表1 2VTP 动态学习VLAN 3PVST(选根,二层冗余 4SVIVLAN间路由) 5HSRP(三层冗余) 6DHCP 7.根防护 83FAST 9.静态路由
10SITE-TO-SITE VPN(连接分公司,固定IP 11AAA 12PBR20M专线)

13.网管控制

三、概要设计
3.1 大型企业网络的定位
企业网是指覆盖企业和企业与分公司之间的网络,为企业的多种通信协议提供综合传送平台的网络。企业网应以多业务光传输网络为基础,实现语音、数据、图像、多媒体等的接入。
企业网是企业内各部门的桥接区,主要完成接入网中的子公司和工作人员与企业骨干业务网络之间全方位的互通。因此电子商务公司企业网的定位应是为企业网应用提供多业务传送的综合解决方案。
3.2 关键技术研究 本设计方案采用的是全部Cisco的网络设备,全网使用统一厂家得设备以实现各种不同网络设备功能的互相配合和补充。还有就是一些网络协议都是一些厂家私有的,如EIGRPHDLC等。因为每个厂家都有属于自己的EIGRPHDLC所以不同厂家的设备就不能使用这些网络协议。
3.2.1路由技术
路由协议工作在OSI参考模型的第3层,因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务,利用访问控制列表,路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本工程案例设计中,内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。
路由器是外网进入企业网内网的第一道关卡,是网络防御的前沿阵地。路由器上的访问控制列表(Access Control ListACL)是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间,是外网与内网进行通信时的第一道屏障,所以即使在网络系统安装了防火墙产品后,仍然有必要对路由器的访问控制列表进行缜密的
设计,来对企业内网包括防火墙本身实施保护
3.2.2交换技术
传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了企业网数据交换服务质量,满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网(Virtual LANVLAN)的概念。VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN需要通信的时候,可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(Vlan Trunking ProtocolVTP)简化管理,它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性,在企业网内部数据交换的部署是分层进行的。企业网数据交换设备可以划分为三个层次:接入层、分布层、核心层。接入层为所有的终端用户提供一个接入点;分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能;核心层将各分布层交换机互连起来进行穿越企业网骨干的高速数据交换。在本工程案例设计中,也将采用这三层进行分开设计、配置[3]

3.2.3 远程访问技术
远程访问也是企业网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型:专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同,花费也不相同。企业用户可以根据所需带宽、本地服务可用性、花费等因素综合考虑,选择一种适合企业自身需要的广域网接入方案。在本工程案例设计中,分别采用专线连接的VPNPBR两种方式实现远程访问需求[4]

3.2.4 VLAN VLANVirtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 [2]
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。 既然VLAN隔离了广播风暴,同时也隔离了各个不同的VLAN之间的通讯,所以不同的VLAN之间的通讯是需要有路由来完成的[5]
3.2.5 VPN VPN的英文全称是“Virtual Private Network,翻译过来就是“虚拟专用网络”顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企
业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网[4]
3.2.6 RIP RIPRouting Information Protocols,路由信息协议)是应用较早、使用较普遍的IGPInterior Gateway Protocol,内部网关协议),适用于小型同类网络,是典型的距离矢量(distance-vector)协议。
RIP协议跳数做为衡量路径开销的,RIP协议里规定最大跳数为15 RIP协议有两个版本RIPv1RIPv2
RIPv1属于有类路由协议,不支持VLSM(变长子网掩码)RIPv1是以广播的形式进行路由信息 的更新的;更新周期为30秒。
RIPv2属于无类路由协议,支持VLSM(变长子网掩码)RIPv2是以组播的形式进行路由信息的更新的,组播地址是224.0.0.9RIPv2还支持基于端口的认证,高网络的安全性。
3.2.7 AAA认证
AAA----- (Authentication (Authorization (AccountingCisco开发的一个提供网络安全的系统。
AAA ,认证(Authentication:验证用户的身份与可使用的网络服务;授权(Authorization:依据认证结果开放网络服务给用户;计帐(Accounting:记录用户对各种网络服务的用量,并提供给计费系统。整个系统在网络管理与安全问题中十分有效。
首先,认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提供网络连接。
接下来,用户还要通过授权来获得操作相应任务的权限。比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。
一旦用户通过了认证,他们也就被授予了相应的权限。 最后一步是帐户,这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。
验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS[10]

四、详细设计

4.1 大型企业网络拓扑图


4-1 网络拓扑图


4.2 VLANIP地址的规划
VLAN VLAN 1 VLAN 10 VLAN 20 VLAN 30 VLAN 40 VLAN 50 VLAN 60
VLAN名称 GL VLAN GLB SCB CWB XSB RLZY WLB 1 VLAN划分 IP网段 默认网关 10.0.0.0/24 10.0.0.254 10.1.0.0/22 10.1.3.254 10.1.4.0/22 10.1.7.254 10.1.8.0/22 10.1.11.254 10.1.12.0/22 10.1.15.254 10.1.16.0/22 10.1.19.254 10.1.20.0/22 10.1.23.254 说明
管理VLAN 管理部VLAN 市场部VLAN 财务部VLAN 销售部VLAN 人力资源部VLAN 网络部VLAN 路由器R1与电信连接的接口F0/0IP202.100.1.10/24,与HX1连接的接口F1/1IP192.168.1.1/24HX2连接的接口F1/2IP192.168.2.1/24,R2接的接口F1/3IP192.168.3.1/24

路由器R2与网通连接的接口F0/0IP202.100.3.10/24,与HX1连接的接口F1/2IP192.168.4.1/24HX2连接的接口F1/1IP192.168.5.1/24,R2接的接口F1/3IP192.168.3.2/24

路由器R3HX1连接的接口F1/1IP192.168.6.1/24,与HX2连接的接口F1/2IP192.168.7.1/24,与server连接的接口F1/0IP192.168.8.1/24

路由器R4上与电信连接的接口F1/0IP202.100.2.10/24,与网通连接的接F1/1IP202.100.4.10/24,与SW11连接的接口F1/2IP10.1.24.1/22

交换机HX1R1相连的接口F1/0IP192.168.1.2/24,R2相连的接口F1/1IP192.168.4.2/24,R3相连的接口F1/2IP192.168.6.2/24

交换机HX2R1相连的接口F1/0IP192.168.2.2/24,R2相连的接口F1/1IP192.168.5.2/24,R3相连的接口F1/2IP192.168.7.2/24
4.3 关键网络设备及数量
核心层交换机:Cisco Catalyst 6509 交换机 2 汇聚层交换机:Cisco Catalyst 4509 交换机 4 接入层交换机:Cisco Catalyst 2950 24 交换机 100

接入路由器: Cisco 3500 路由器 4

4.4 关键网络设备介绍
8 Cisco 6509交换机


Catalyst 6509是带有9个插槽的交换机机箱,它可以加两个电源,可按需求配置不同功能类型的模块(如防火墙模块、入侵检模块、VPN 模块、SSL 加速模块、网络流量分析模块等)更灵活应用在不同需求的网络设计平台上,提高稳定性及安全性。
首先,为Catalyst 6509核心交换机配备Cisco Catalyst 6500 Supervisor Engine 720模块。Supervisor Engine 720支持Catalyst 6500系列的第三代模块,能够为企业和电信运营商网络提供先进的IP服务,并提高端口密度,因而非常适合部署在高性能的核心层、数据中心和城域网中。由于使用同一套接口、操作系统和管理工具,Catalyst 6500系列监控引擎(Supervisor Engines能提供操作一致性——可使用相同的备件,所有模块都具有可以预测的性能和多种功能。增强型QOS机制、基于硬件的GRE隧道和NAT,以及由硬件加速的基于MPLS的高性能服务;支持基于用户的Microflow监管,对每个用户实施服务等级协议;采用分布式转发模式,提供高达200Mpps的硬件IPv6能力,可以顺利过渡到Internet 2和其他支持3GPDA的通信网络;配备光纤通道接口模块满足光纤接入需求。加6500系列的防火墙服务模块(FWSM)可以为大型企业和服务供应商提供无以伦比的安全性、可
靠性和性能。
Catalyst 6500系列和为企业网络和服务供应商网络提供了一系列高性能多层交换解决方案。6500系列提供了广泛的智能交换解决方案,使公司内部网和Internet能够支持多媒体、关键任务数据和语音应用。6500系列交换机为园区网提供了高性能、多层交换的解决方案,专门为需要千兆扩展、可用性高、多层交换的应用环境设计,主要面向园区骨干连接等场合。
9 Cisco Catalyst 4500系列交换机


Cisco Catalyst 4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性,因而能进一步加强对融合网络的控制(见图9可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。
作为新一代Cisco Catalyst 4000系列平台,Cisco Catalyst 4500系列包括三种新型Cisco Catalyst 机箱:Cisco Catalyst 4507R七个插槽)Cisco Catalyst 4506(六个插槽)和Cisco Catalyst 4503(三个插槽)Cisco Catalyst 4500列中提供的集成式弹性增强包括11超级引擎冗余(只对Cisco Catalyst 4507R集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间,从而提高生产率、利润率和客户成功率。
作为Cisco AVVID(集成语音、视频和融合数据体系结构)的关键组件,Cisco Catalyst 4500能够通过智能网络服务将控制扩展到网络边缘,包括高级服务质量QoS、可预测性能、高级安全性、全面管理和集成式弹性。由于Cisco Catalyst 4500系列提供与Cisco Catalyst 4000系列线卡和超级引擎的兼容性,因而能够在融合网络中延长Cisco Catalyst 4000系列的部署窗口。由于这种方式能减少重复运作开支,降低拥有成本,因而能提高投资回报(ROI


10 Cisco Catalyst 3550系列智能以太网交换机

Cisco Catalyst 3550系列智能以太网交换机是一个可堆叠多层交换机系列,可通过高可用性、服务质量(QoS)和安全性来改进网络运行(见图10。凭借一系列快速以太网和千兆位以太网配置,Cisco Catalyst 3550系列堪称一款适用于企业和城域接入应用的强大选择。

11 Cisco Catalyst 2950系列智能以太网交换机

Cisco Catalyst 2950系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列,提供了线速快速以太网和千兆位以太网连接(见图11。这是一款最廉价的Cisco交换产品系列,为中型网络和城域接入应用提供了智能服务。作为思科最为廉价的交换产品系列,Cisco Catalyst 2950系列在网络或城域接入边缘实现了智能服务。
4.5网络设备配置
4.5.1 基础配置
这里以接入层交换机SW1为例(见图1


1 接入层设备 Switch>en 进入特权模式 Switch#conf t 进入全局模式
Enter configuration commands, one per line. End with CNTL/Z. 此注释说明在全局模式下直接按CNTL+Z可以进入特权模式
Switch(config#hostname SW1 修改路由器或者交换机的名字,方便管理
SW1(config#no ip domain lookup 关闭域名查询 启用与禁止DNS服务器,在交换机默认配置的情况下,当我们输入一条错误的交换机命令时,交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。利用命令no ip domain lookup,可以禁用DNS服务器,可以减少输入错误命令的等待时间
SW1(config#line console 0 进入CONCOLE 0口线程下,通过CONSOLE线串口直接控制交换机或路由器接口 SW1(config-line#no exec-timeout 关闭超时时间(真实工程中不能用此命令)
SW1(config-line#logging synchronous 在线路上同步输出 用户在为交换机配置命令时,配置命令会被交换机产生的内部信息隔开或打乱以 使用命令logging synchronous设置交换机在下一行CLI提示符后复制用户的输入。
以上配置为路由器和交换机的基本配置,有方便管理防止出错的作用,所以每台设备上都要配置。
4.5.2 使用VTP 从提高效率的角度出发,在企业网实现实例中使用了VTP技术。将分布层FB1设置成为VTP服务器,其他交换机设置成为VTP客户机。这里接入层交换机SW1通过VTP获得在分布层交换机FB1中定义的所有VLAN的信息。(见图2


 2 分布层设备FB1 FB1#vlan database 特权模式下进入VLAN设置模式(小凡模拟器特有 FB1(vlan#vtp domain cisco 定义VTP域名
Changing VTP domain name from NULL to cisco FB1(vlan#vtp server 将该交换机设置为VTP的服务端 Device mode already VTP SERVER. FB1(vlan#vtp v2-mode 启用的VTP版本号为2 V2 mode enabled. FB1(vlan#vtp password 123456 设置VTP的密码为123456,交换机的VTP必须密码一致才能同步 Setting device VLAN database password to 123456. FB1(vlan#vtp pruning 启用VTP修剪,激活VTP剪裁功能,默认情况下主干道传输所有VLAN的用户数据。有时,交换网络中某台交换机的所有端口都属于同一VLAN的成员,没有必要接收其他VLAN的用户数据。这时,可以激活主干道上的VTP剪裁功能。当激活了VTP剪裁功能以后,交换机将自动剪裁本交换机没有定义的VLAN数据。
在一个VTP域下,只需要在VTP服务器上激活VTP剪裁功能。同一VTP域下的所有其他交换机也将自动激活VTP剪裁功能。
Pruning switched ON FB1(vlan#apply 应用以上配置 APPLY completed. FB1(vlan#exit 退出VLAN配置模式进入特权模式 APPLY completed. Exiting....
在其他所有的交换机上都要做VTP配置,我们以FB2为例(见图3



3 分布层设备FB2 FB2#vlan da FB2(vlan#vtp domain cisco Changing VTP domain name from NULL to cisco FB2(vlan#vtp client FB2设置为客户端,客户端可以学习到服务端的所有VLAN信息。客户模式是没有创建、修改、删除VLAN得权利的,它只能接收和转发信息。而服务器模式拥有以上的所用功能。
Setting device to VTP CLIENT mode. FB2(vlan#vtp v2 V2 mode enabled. FB2(vlan#vtp password 123456 Setting device VLAN database password to 123456. FB2(vlan#exit In CLIENT state, no apply attempted. Exiting.... 4.5.3 划分VLAN 现在我们根据需求在服务端FB1上配置VLAN信息,创建并命名(见表1
FB11#vlan da FB1(vlan#vlan 10 name GLB 创建一个VLAN 10 命名为GLB VLAN 10 modified: Name: GLB FB1(vlan#vlan 20 name SCB VLAN 20 added: Name: SCB FB1(vlan#vlan 30 name CWB VLAN 30 added:
Name: CWB FB1(vlan#vlan 40 name XSB VLAN 40 added: Name: XSB FB1(vlan#vlan 50 name RLZY VLAN 50 added: Name: RLZY FB1(vlan#vlan 60 name WLB VLAN 60 added: Name: WLB FB1(vlan#exit APPLY completed. Exiting.... 4.5.4 交换链路封装
所有交换机之间相连的线都要起封装协议,我们以FB1SW1之间的线为例(见4
4 链路封装

FB1(config#interface fastEthernet 0/4 进入要封装的接口
FB1(config-if#switchport trunk encapsulation dot1q 进行封装
FB1(config-if#switchport mode trunk 指定封装模式
FB1(config-if#no shutdown 开启接口
SW1(config#interface fastEthernet 0/0
SW1(config-if#switchport trunk encapsulation dot1q SW1(config-if#switchport mode trunk SW1(config-if#no shutdown
封装交换机连接终端的接口,并把该接口划入VLAN,以SW1为例
SW1(config#int f0/2 SW1(config-if#switchport mode access 手工指定封装模式为ACCESS模式 SW1(config-if#switchport access vlan 10 F0/2口划入VLAN 10 SW1(config-if#no shutdown 4.5.5 PVST技术
由于网络拓扑比较大,两两相连加冗余会出现环路,所以需要配置二层防环的PVST 首先要选举根桥,我们这里手工指定HX1VLAN10 20 30的主根,VLAN 40 50 60的备份根;HX2VLAN40 50 60的主根,VLAN10 20 30的备份根。
HX1(config#spanning-tree mode pvst 开启PVST生成树模式
HX1(config#spanning-tree vlan 102030 root primary HX1设置为VLAN 10 20 30的主根
HX1(config#spanning-tree vlan 405060 root secondary HX1设置为VLAN 40 50 60的备份根

HX2(config#spanning-tree mode pvst HX2(config#spanning-tree vlan 405060 root primary HX2(config#spanning-tree vlan 102030 root secondary 4.5.6 PVST的三个FAST 由于只启用PVST后根切换时生成树接口从阻塞状态到转发状态速度会很慢,采用PORTFAST,UPLINKFAST,BACKBONEFAST三个FAST会大大缩短状态转换的时间,提高效率。
Portfast 在接入层面向终端的接口上做,可减少30S的时间
SW1(config#int f0/2 SW1(config-if#spanning-tree portfast bpduguard
启用portfast
Uplinkfast在接入层交换机上做,可减少30S时间 SW1(config#spanning-tree uplinkfast 启用uplinkfast
Backbonefast 在所有交换机上做,可减少20S时间 SW1(config#spanning-tree backbonefast 启用backbonefast 4.5.7 DHCP 现在需要为路由器接口和所有的PC机接口配置IP地址。由于4000个结点的网络比较大,为每一台PC手工配置地址的工作量相当大,所以我们要使用DHCP术。

HX1(config#ip dhcp excluded-address 10.1.0.1 HX1(config#ip dhcp excluded-address 10.1.0.2 HX1(config#ip dhcp excluded-address 10.1.0.100 HX1(config#ip dhcp excluded-address 10.1.3.254 先配置除去PC机不能使用的IP地址

HX1(config#ip dhcp excluded-address 10.1.4.1 HX1(config#ip dhcp excluded-address 10.1.4.2 HX1(config#ip dhcp excluded-address 10.1.4.100 HX1(config#ip dhcp excluded-address 10.1.7.254
HX1(config#ip dhcp excluded-address 10.1.8.1 HX1(config#ip dhcp excluded-address 10.1.8.2 HX1(config#ip dhcp excluded-address 10.1.8.100 HX1(config#ip dhcp excluded-address 10.1.11.254
HX1(config#ip dhcp excluded-address 10.1.12.1 HX1(config#ip dhcp excluded-address 10.1.12.2 HX1(config#ip dhcp excluded-address 10.1.12.100
HX1(config#ip dhcp excluded-address 10.1.15.254

HX1(config#ip dhcp excluded-address 10.1.16.1 HX1(config#ip dhcp excluded-address 10.1.16.2 HX1(config#ip dhcp excluded-address 10.1.16.100 HX1(config#ip dhcp excluded-address 10.1.19.254
HX1(config#ip dhcp excluded-address 10.1.20.1 HX1(config#ip dhcp excluded-address 10.1.20.2 HX1(config#ip dhcp excluded-address 10.1.20.100 HX1(config#ip dhcp excluded-address 10.1.23.254
HX1(config#ip dhcp pool ccie1 创建地址池CCIE1,一个VLAN一个地址池 network 10.1.0.0 255.255.248.0 宣告网段
default-router 10.1.0.100 默认网关 lease infinite 地址租约时间设置为无限

HX1(config#ip dhcp pool ccie2 network 10.1.4.0 255.255.248.0 default-router 10.1.4.100 lease infinite
HX1(config#ip dhcp pool ccie3 network 10.1.8.0 255.255.248.0 default-router 10.1.8.100 lease infinite
HX1(config#ip dhcp pool ccie4
network 10.1.12.0 255.255.248.0 default-router 10.1.12.100 lease infinite
HX1(config#ip dhcp pool ccie5 network 10.1.16.0 255.255.248.0 default-router 10.1.16.100 lease infinite
HX1(config#ip dhcp pool ccie6 network 10.1.20.0 255.255.248.0 default-router 10.1.20.100 lease infinite
PC1(config#ip default-gateway 10.1.0.100 PC机上指定默认网关,所有的PC都要指和自己对应的网关
4.5.8 HSRP 核心层交换机的作用是快速转发,如果它发生故障,则会导致下层所有网络瘫痪。所以要给核心层交换机做备份做冗余。我们一般使用两台核心交换机。这就用到了三层冗余技术:热备份HSRP

HX1(config#interface Vlan 10 进入VLAN 10的接口下
HX1(config-if#ip address 10.1.0.1 255.255.248.0 VLAN 10配置虚拟IP地址
HX1(config-if#standby 1 ip 10.1.0.100 同步网关
HX1(config-if#standby 1 priority 105 设置优先级,设置为主核心ACTIVE ROUTER HX1(config-if#standby 1 preempt 配置抢占
HX1(config-if#standby 1 track FastEthernet0/0 配置端口跟踪,面向上行链路

以上配置VALN 10 20 30都要做

HX1(config#interface Vlan 40 HX1(config-if#ip address 172.16.2.1 255.255.255.0 HX1(config-if#standby preempt HX1(config-if#standby 2 ip 172.16.2.100 不设置优先级,表示为STANDBY ROUTER 以上配置VALN 40 50 60都要做
同理在HX2上做相应配置,要把ACTIVESTANDBY对调。 4.5.9 根防护
为了防止交换机上有接入一台优先级或MAC地址较小的交换机使得根被抢,要配置根防护

SW1(config-if#spanning-tree portfast bpduguard default 所有接入层交换机面向PC的端口和连接设备的端口上都要做 4.5.10 路由协议
路由器和核心交换机之间工作在三层,所以要起路由协议,这里启用EIGRP由协议,由于与分公司之间设备比较少,我们只需要使用静态路由即可。(见图5

5 三层设备



HX1(config#ip routing 启用路由功能,核心层交换机HX1HX2需要为网络中的各个VLAN提供路由功能。这需要首先启用核心层交换机的路由功能。
R1(config#router eigrp 100 启用EIGRP协议
R1(config-router#no auto-summary 关闭自动汇总功能
R1(config-router#network 202.100.1.0 202.100.1.0网段宣告进协议中 R1(config-router#network 192.168.1.0 R1(config-router#network 192.168.2.0
HX1(config#router eigrp 100 HX1(config-router#no auto-summary HX1(config-router#network 192.168.1.0 HX1(config-router#network 192.168.3.0 HX1(config-router#network 10.1.0.0 HX1(config-router#network 10.1.4.0 HX1(config-router#network 10.1.8.0 HX1(config-router#network 10.1.12.0 HX1(config-router#network 10.1.16.0 HX1(config-router#network 10.1.20.0
HX2(config#router eigrp 100 HX2(config-router#no auto-summary HX2(config-router#network 192.168.2.0 HX2(config-router#network 192.168.4.0 HX2(config-router#network 10.1.0.0 HX2(config-router#network 10.1.4.0 HX2(config-router#network 10.1.8.0 HX2(config-router#network 10.1.12.0 HX2(config-router#network 10.1.16.0
HX2(config-router#network 10.1.20.0 4.5.11 GRE-VPN 由于连接分公司的线路需要经过公网,为了保证其流量的安全性,需要打一条虚拟的通道GRE-VPN(见图6

6 GRE-VPN

首先要定义加密策略
R1(config#crypto isakmp policy 1 加密第一阶段IKE1 R1(config-isakmp#authentication pre-share 设备认证,域共享 R1(config-isakmp#encryption 3des 数据加密方式
R1(config-isakmp#group 2 Diffie hellma 分发密钥,产生公钥和私钥 R1(config-isakmp#hash md5 检验数据包完整性 R1(config-isakmp#exit R1(config#crypto isakmp key 0 cisco address 202.100.1.101 域共享的密钥为cisco R1(config#crypto ipsec transform-set cisco esp-3des esp-md5-hmac 加密第二阶段,给数据包加密,指定加密方式

R1(config#access-list 101 permit ip 192.168.1.1 0.0.0.255 10.1.24.1 0.0.3.255 定义一个感兴趣流
R1(config#crypto map cisco 1 ipsec-isakmp R1(config-crypto-map#match address 101 R1(config-crypto-map#set peer 202.100.1.101 R1(config-crypto-map#set transform-set cisco R1(config-crypto-map#exit
R1(config#int tunnel 0 进入TUNNEL 0
R1(config-if#tunnel source 202.100.1.100 配置通道源地址
R1(config-if#tunnel destination 202.100.1.101 配置通道目的地址
R1(config-if#tunnel mode gre ip 指定通道模式
R1(config-if#ip address 202.100.1.1 255.255.252.0 给通道接口配置虚拟IP地址
R1(config-if# crypto map cisco VPN挂在通道接口下 R1(config#ip route 10.1.24.1 255.255.252.0 202.100.1.1 指一条静态路由

R2(config#crypto isakmp policy 1 R2(config-isakmp#authentication pre-share R2(config-isakmp#encryption 3des R2(config-isakmp#group 2 R2(config-isakmp#hash md5 R2(config-isakmp#exit R2(config#crypto isakmp key 0 cisco address 202.100.1.100 R2(config#crypto ipsec transform-set cisco esp-3des esp-md5-hmac R2(config#access-list 101 permit ip 10.1.24.1 0.0.3.255 192.168.1.1
0.0.0.255 R2(config#crypto map cisco 1 ipsec-isakmp R2(config-crypto-map#match address 101 R2(config-crypto-map#set peer 202.100.1.100 R2(config-crypto-map#set transform-set cisco R2(config-crypto-map#exit
R2(config#int tunnel 0 R2(config-if#tunnel source 202.100.1.101 R2(config-if#tunnel destination 202.100.1.100 R2(config-if#tunnel mode gre ip R2(config-if#ip address 202.100.1.2 255.255.252.0 R2(config-if# crypto map cisco R2(config-if#exit R2(config#ip route 192.168.1.1 255.255.252.0 202.100.1.2 4.5.12 AAA服务器
AAA 为了加强企业网的安全性,我们启用AAA服务器。该配置在连接AAA服务器的HX2上做。

HX2(config#aaa new-mode 1 HX2(config#aaa authentication dot1x default group radius HX2(config#dot1x system-auth-control HX2(config#interface f0/1 HX2(config-if#swichport mode access HX2(config-if#dot1x port-control auto HX2(config-if#dot1x guest-vlan 1 HX2(config-if#dot1x auth-fail vlan 1 HX2(config#aaa authentication login telnet group tacacs+ HX2(config#aaa authorization exec telnet group tacacs+ HX2(config#aaa accounting exec telnet start-stop group tacacs+ HX2(config#tacacs-sever host 192.168.100.100 HX2(config#tacacs-sever key cisco
4.5.13 PBR 20M专线
网管和管理部需要有特权去高速稳定地访问外网,我们需要在R1上配置20M专线去达到这一需求。

R1(config#access-list 112 permit ip any 10.1.0.0 0.0.3.255 创建访问控制列表来抓住管理部VLAN的流量
R1(config#access-list 112 permit ip any 10.1.20.0 0.0.3.255 R1(config#access-list 112 deny ip any any 其他流量不允许通过
R1(config#route-map zhuanxian permit 10 创建路由映射表
R1(config-route-map#match ip address 112 匹配所抓住的流量
R1(config-route-map#set ip next-hop 202.100.2.100 指定下一跳地址或端口

R1(config#interface E0/1 R1(config-if#ip nat inside NAT入方向
R1(config#interface E0/2 1(config-if#ip nat inside R1(config#interface E0/3 R1(config-if#ip nat outside NAT出方向
R1(config#ip nat pool wangtong 202.100.1.103 202.100.254.254 netmask 255.255.0.0 设置对外访问地址,创建地址池
R1(config#access list 100 permit ip 10.0.0.0 0.0.3.255 any 指定NAT范围,匹配IP R1(config#ip nat inside source list 100 pool wangtong overload 设置过载,抓流量 4.5.14 网管控制
为了方便管理员对企业网安全方便的管理控制,我们需要对坐配置使得管理员
能都使用PC直接连接或远程登陆到到交换机进行控制。
HX2(config#line vty 0 4 进入VTY线程下
HX2(config-line#password ccna1 配置远程访问交换机的密码 HX2(config-line#login 登陆验证
HX2(Config-line#exec-timeout 1 11 配置登录交换机虚拟终端线的超时时间为111秒钟 HX2(config-line#line con 0 HX2(config-line#password ccna2 HX2(config-line#login HX2(config-line#exec-timeout 1 11 4.5.15其他配置
R1(config#interface range E0/0-3 R1(config-if-range#duplex full 可以设定某端口根据对端设备双工类型自动调整本端口双工模式,也可以强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的情况下,建议手动设置端口双工模式。因为路由器和交换机接口的双工模式必须匹配才可通信。这里全部工作在全双工模式。

SW1(config#interface range fastethernet0/1-24 SW1(config-if-range#speed 100 可以设定某端口根据对端设备速度自动调整本端口速度,也可以强制将端口速度设为10Mpbs100Mbps在了解对端设备速度的情况下,建议手动设置端口速度。这里全部工作在100Mbps.

7 分布层交换机


FB1(config#ip classless FB1(config#ip subnet-zero 以实现对无类网络和全零子网的支持(见图7


4.6 施工管理
4.6.1 施工前准备
合同签订后,客户和公司双方派出项目负责人,共同协商制订施工要求的原则性文件,通过后,一切照文件实行。
施工前我公司将对所有参加本次工程的技术工作人员进行工人员守则、和与施工相关的文件的学习,以提高对工程的认知度和对岗位的责任感。我们将用明文确定贵校工程的项目负责团队,明确权利和责任,在组织上一定保证工程的进度和质量。
4.6.2 设备及材料
为确保工程的质量,对工程中所用到的所有设备及材料本公司将严格把关。选择质量可靠、性能良好的设备及材料、严格按合同进货、货到后有双方工程负责人一同验收。
4.6.3 施工过程管理
根据贵校的情况,安排好施工进度,分配施工任务,加强随工检查,在施工过程中采取如下措施:
1 加强对施工人员的管理 2保证施工现场的卫生
3保证不影响到企业工作人员的正常工作 4保证确保工程的质量和进度
5 在施工过程中接受企业相关人员的检查指导,及时征求意见,改进工作,提高工作质量,直到达到优质工程的要求。
6绝对保证施工的安全
4.6.4 施工完成后质量的检查和验收
施工完成后,双方派出有关人员进行全面的质量检查,进行系统的总验收。完全达到双方签订的合同要求后,进行工程的总移交。如在合同范围内,不达到要求的地方一定返工,直到达到要求为止。

4.6.5 施工步骤
系统施工按顺序主要分为以下几个阶段: 1管道、线槽铺设 2穿线 3设备安装
检查:安装前,要检查各设备外观及可动部分是否正常。
固定:按照说明书中提供的方式、尺寸,正确安装固定和末端装置及设备,安装后,检查是否正确,是否牢固。
4接线
接线前,应对各线路进行校验,做好标记、线号,正确无误后,在按照接线图进行端子接线,接线后,一定要核查、检查,确保正确。
5系统试运行 6竣工交验
四、

五、测试数据及其结果分析
5.1 同一部门之间主机连通检测
VLAN10中,两台主机分别在不同的子公司 PC1 : 10.32.208.1 PC2 : 10.48.204.1 检测结果:
5.2 不同一部门之间主机连通检测
VLAN10VLAN20中,两台主机分别在同一的子公司
PC1 : 10.32.208.1

PC2 : 10.32.204.1 检测结果:



六、课程设计总结
通过此次毕业设计,我对自己在路由交换网络方面的学习有了更深刻的理解,更系统地分析并掌握了所学的知识,尤其是对各类路由协议的特性与用法和配置有了更深的体会,专业技能有了很大的提高。
虽然此次的设计来源于实际工程,类似于实际工程,但是它和真正的项目还是有一些差别的,所以在今后的学习中,我会更加注重理论与实践的结合,在理论学习的过程中,融会更多的真实案例,为将来真正的项目奠基。


本文来源:https://www.2haoxitong.net/k/doc/ceca8fd14b7302768e9951e79b89680202d86b48.html

《大型企业网络设计.doc》
将本文的Word文档下载到电脑,方便收藏和打印
推荐度:
点击下载文档

文档为doc格式

相关推荐

推荐内容

校园网络设计思路 自学考试公司法笔记(重点标记) 校园网络系统设计方案 校园网络详细设计方案 校园网络设计方案 校园网络安全方案设计 校园网网络构建方案设计与实现 李炳亭:什么才是真正的高效课堂 一分钟即兴演讲知识 校园网络组建设计方案
网站内容来自网络,如有侵权请联系我们,立即删除! Copyright © 范文写作网京ICP备16605803号