中小型超市的网络规划与设计（完整文档+思科拓扑图）

大家好，我是小华学长，一名计算机领域的博主。经过多年的学习和实践，我积累了丰富的计算机知识和经验，在这里我想与大家分享我的学习心得和技巧，帮助你成为更好的程序员。
作为一名计算机博主，我一直专注于编程、算法、软件开发等领域，在这些方面积累了大量的经验。我相信分享是一种双赢的方式，通过分享，我可以帮助他人提升技术水平，同时也能够得到学习交流的机会。
在我的文章中，你将会看到我对于各种编程语言、开发工具以及常见问题的解析和分析。我会结合自己的实际项目经验，为你提供实用的解决方案和优化技巧。我相信这些经验不仅能够帮助你解决当前遇到的问题，还能够提升你的编程思维和解决问题的能力。
除了技术方面的分享，我还会涉及到一些关于职业发展和学习方法的话题。作为一名曾经的学生，我深知在计算机领域如何更好地提升自己和面对挑战。我会分享一些学习方法、面试技巧和职场经验，希望能够对你的职业发展产生积极的影响。
我的文章会发布在CSDN社区，这是一个非常活跃和专业的计算机技术社区。在这里，你可以与其他热爱技术的人们交流、学习和分享。通过关注我的博客，你可以第一时间获取到我的最新文章，并与我和其他读者互动交流。
如果你对计算机领域有兴趣，希望能够更好地提升自己的编程能力和技术水平，那么请关注我的CSDN博客。我相信我的分享会带给你帮助和启发，让你在计算机领域取得更大的成就！
让我们一起成为更好的程序员，共同探索计算机领域的精彩世界吧！感谢你的关注与支持！
分享的所有计算机项目源码均包含文档，可做毕业设计或课程设计，欢迎留言分享问题，交流经验！

摘要

落实好超市网络计划工作，是超市与超市之间便捷沟通的枢纽。在当今社会超市网络的规模和应用水平已经是超市网络环境的首要组成部分，对于超市网络来讲，内网和服务器的安全性是其重中之重。因此，我们应该利用超市现有的条件在此基础上设计一个安全、统一的超市网络。

按照需求剖析，提供基本的核心技术（端口聚合，生成树优先级，VLAN应用）以更好的拓扑规划和更精确的分析现代化迎合本行业发展。根据超市配送，IP地址规划是VLAN的一个适当的部分，选择用户访问（使用MAC地址绑定IP地址）使管理更容易。根据计划选择设备的品牌名称和型号。ACL协议用于优化网络，ACL通过路由器的指令列表和交换机接口来控制进出端口的数据包。出口部署路由器与运营商的网络设备相连，通过出口路由器的网络地址转换配置完成超市内部用户的接入。

关键词：网络规划；vlan；网络地址转换

目录

1绪论

1．１ 超市内部网络产生的时代背景

超市是随着商品经济的兴起而发展的购物方式，不同于顾客和商品的种类和商品信息的种类，以及一种单一形式的旧的食品杂货店，它可以有效地避免顾客和店主面对面的接并且为顾客提供了一个自由、轻松、舒适的购物环境。因此，它受到越来越多的消费者的青睐，在人们的日常生活中扮演着越来越重要的角色。

虽然超市这类传统商业模式近年来受到电商这一新兴事物的冲击，但是超市这种购物方式与我国国情相符。我国大杂居，小聚居的居住模式使得中小超市这一需要贴近人群的经济状态必须分散在城市和农村的各个角落，与人们的生活直接相连，在当今社会生活中有着不可替代的重要作用。21世纪以来，经济全球化步伐加快，中国改革开放格局不断深化，零售行业竞争日趋激烈。 这就要求中小型超市加强其核心竞争力，以求得在激烈的市场竞争中生存。中小型超市想要在激烈的竞争环境中生存下来、迎难而上,除了拥有优质的商品和舒适的购物环境，最重要的是与时俱进，及时满足客户的需求，构建一个高效快捷的网络管理系统。

1．2 超市内部网络现状及分析

随着互联网的不断发展，人们之间的距离也不再那么遥远，信息交流越来越直接和方便。现代信息技术也改变了人们工作、学习、思考和管理的方式。这不仅大大扩展了计算机的应用范围，而且也导致了阅读、写作和计算的历史变化，使计算机变得更加简单易学。当一个新时代的社会细胞成熟了，这一时代也就随之降临了。计算机的简单易学也促使各类信息的传播。崭新且充满活力的接收信息的新途径所带来的不仅是对我们的传统接受知识方式，对教育体系将造成很大影响，而且对人类自身也是很大的冲击。

本文针对超市的网络信息需求和网络功能，详细分析了网络方案的体系结构。考虑到超市的经济成本、收入与人流量的直接关系、网络通信平台的需求和具体应用等实现的具体情况，建议建立一个良好、快速、基于多层交换网络管理应用系统。为了未来无纸化办公的发展趋势，我们可以实现超市资源共享，建立完整的数据交换系统，快速传输信息，提前适应数字化的工作环境。基于Linux的创新，网络营销计划致力于维护金融，商业和在线分支机构等新技术。我们必须充分利用现代相关技术，最大限度地发挥超市的竞争力，满足冗余链接，安全状况和负载均衡等网络应用的需求。为超市提供良好的硬件环境。

2系统概述

超市内部的系统构成的组成的平台介绍以及当前流行的超市内部网络组建技术，层次化模型设计技术虚拟局域网，以及网络安全技术的介绍。

2．1 超市内部的系统构成

2．1．1 信息平台

当前建议带宽需求较高用户或系统开放问题，并且还需要建立一个信息管理和应用的网络安全系统。整个项目的目标是建立一个高度可靠的，高性能的多媒体公司网络，这个网络集成了数据传输和备份，多媒体应用，语音传输，OA应用和互联网访问。尽管提高了服务器的服务能力，阻止了服务器服务器的故障，减少了系统的开放系统，还需要建立信息管理和应用的网络安全系统。

2．1．2 系统管理与维护

网络资源优化，网络监控，灵活高效的网络管理工具，网络运行管理，检查系统硬件和软件环境，保持对网络系统的全面监控。它具有灵活性，支持各种通信媒体，多种物理接口，技术更新和设备升级，使系统能够改进和更新。方案设计的目的是建设一个高可靠、高性能的超市内部网。除了要提高服务器的服务处理功能外，还避免了服务器的单点故障，确保其应用的正常使用。

2．2 当前流行的超市内部网络组建技术

2．2．1 层次化模型设计技术

网络设计框架：

1.核心层：一般不做什么策略，只为用户的数据高速到达internet

2.汇聚层：实现不同VLAN之间访问，VLAN之间的策略

3.接入层：接入终端设备，比如PC，打印机，比如无线用户接入

核心层形成骨干网络(又称骨干网络)，提供高性能，无阻塞高速通道，可与国家高速公路相媲美。

汇聚层形成了主干接入网络，并提供了通往高速主干的通道，它可与省、市高速公路相媲美。

接入层提供对用户接入的接口，可比喻为一般公路。

如此，整个网络就具有弹性、高效性和可靠性。

2．2．2 虚拟局域网

在纯粹的交换型互联网络中，划分广播域的方法是创建虚拟局域网（VLAN）。VLAN是连接到管理器定义的交换机端口的网络用户和网络资源的逻辑分组。在创建VLAN时，可以将端口交换机分配为不同的子网服务。通过使用VLAN创建广播域，可以完全控制使所有端口和用户。还可创建一个基于网络资源用户的VLAN，并配置和访问交换机以在未授权访问网络资源时告知网络管理站。为了确保在VLAN间通信的安全可以使用路由器上的限制来解决该问题。

（1）灵活性强---不受任何地理位置限制

（2）安全性---默认VLAN之间是不能够通信的

（3）分段性：一个VLAN=1个广播域=1个子网/1个主类

由于VLAN的特点，广播和单播流量所属的VLAN不会该流量转发到其他VLAN中，其作用是控制流量，提高网络的安全性，减少设备投资，简化网络管理。

2．2．3 网络安全技术

网络完成后，确保整个网络正常运行。尤其重要的是防止计算机病毒入侵网络和防止“黑客”入侵，这就要求网络做好关于安全方面的防范工作，数据完整、身份认证、访问授权、防病毒入侵、数据保密、审计记录等都是具体内容。可以使用IPSec标准虚拟专用VPN连接来配置防火墙，以改善安全的Intranet，远程网络和Internet安全访问。

交换网络的攻击分类

（1）MAC 层攻击:利用MAC地址表的溢出，来进行监听

（2）VLAN 攻击（VLAN 跳跃攻击）

（3）欺骗攻击（ARP 欺骗、DHCP 欺骗）

（4）攻击交换机设备

由于在网络中有大量的客户和各种各样的应用服务器，因为个人不规范使用或其他原因，在任何时候都会可能出现客户端或服务器计算机病毒感染，所有的病毒保护系统都是必不可少的。

3需求分析及系统设计原则

3．1 用户需求

3．1．1 网络需求

(1)确定网络的可靠性和可用性。

(2)确定网络的安全性。

(3)通信量的需求

3．1．2 管理需求

该方案的基本要求是易于使用和管理。采用典型的三层网络架构具体实施上不仅考虑到构建超市网络实际操作的难度，而且保证网络稳定性的要求。考虑到未来网络的发展与企业的壮大，需要不断更新网络信息。

3．2 系统设计原则

3．2．1设备选型原则

根据方案，要求核心交换机集一个服务器软件安装，网络管理软件，上网行为管理等功能为一身。以此为网络设备的中心，使用二层交换机等设备扩展、延伸该网络。

(1)品牌选择

从经济成本和设备品牌知名度以及应用的便利程度等方面综合考虑，使用华三设备。

(2)主要设备技术性能要求

下面是华三3种设备的具体信息和特点。

表3-2备选设备的具体信息

支持特性

S5130-28S-SI

S5130-52S-SI

S5130-28F-SI

整机交换容量

256Gbps

包转发率

96Mpps

132Mpps

96Mpps

固定端口

24*10/100/1000Base-T电口

4*10G BASE-X SFP+万兆光口

48*10/100/1000Base-T电口

4*10G BASE-X SFP+万兆光口

24100/1000Base-X 千兆光口（8Combo口）4*10G BASE-X SFP+万兆光口

链路聚合

支持GE/10GE端口聚合

支持动态聚合

支持跨设备聚合

端口特性

支持基于PPS/BPS的风暴抑制

支持IEEE802.3x 流量控制（全双工）

支持基于端口速率百分比的风暴抑制

IRF2

支持通过标准以太网接口进行堆叠

支持IRF2智能弹性架构

支持分布式设备管理，分布式链路聚合

支持本地堆叠和远程堆叠

IP路由

支持静态路由

VLAN

支持基于协议的VLAN

支持基于端口的VLAN

支持VLAN Mapping

支持Voice VLAN

支持QinQ，灵活QinQ

支持Guest VLAN

ACL

支持L2（Layer 2）~L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口、协议类型、VLAN的流分类

支持时间段（Time Range）ACL

支持基于端口、VLAN、全局下发ACL

QoS

支持对端口接收报文的速率和发送报文的速率进行限制

支持报文重定向

每个端口支持8个输出队列

支持端口队列调度（SP、WRR、SP+WRR）

支持报文的802.1p和DSCP优先级重新标记

DHCP

支持DHCP Snooping

支持DHCP Client

支持 DHCP Relay

支持DHCP Snooping option82

支持DHCP Server

支持DHCP auto-config（零配置）

组播

支持IGMP Snooping /MLD Snooping

支持组播VLAN

二层环网协议

支持STP/RSTP/MSTP/PVST

安全特性

支持802.1X认证/集中式MAC地址认证

支持用户分级管理和口令保护

支持Guest VLAN

支持SSH 2.0

支持端口隔离

支持RADIUS认证

支持IP+MAC+端口多元组绑定

支持端口安全

支持MAC地址学习数目限制

支持IP源地址保护

支持ARP 入侵检测功能

管理与维护

支持XModem/FTP/TFTP加载升级

支持命令行接口（CLI），Telnet，Console口进行配置

支持SNMPv1/v2/v3，WEB网管

支持RMON告警、事件、历史记录

支持iMC智能管理中心

支持系统日志，分级告警，调试信息输出

支持NTP

支持Ping、Tracert

支持VCT电缆检测功能

支持DLDP单向链路检测协议

支持Loopback-detection 端口环回检测

绿色节能

支持EEE(802.3az)

支持端口自动Power down功能

支持端口定时down功能（Schedule job）

功耗

静态：19W

满载：26W

静态：38W

满载：45W

静态

AC: 30W DC: 38W

满载：

AC: 60W DC: 68W

工作环境温度

0℃～45℃

工作环境相对湿度（非凝露）

5%～95%

综合考虑上述设备的条件，本计划采用S5130-28S-SI。

3．2．2 设计目标原则

项目目标

(1)全网连通：分开内外网，各地分超市相互连通。

(2)网络安全：防止外来黑客入侵，保护数据安全。

(3)便于管理：使用基础配置，保证稳定性。

项目设计思路

使用典型三层网络架构--------核心层、汇聚层和接入层为一体的网络架构模式。

(1)核心层

负责数据高速转发到Internet,不做任何策略

在主交换机的需求可以旁挂独立的安全设备，为所有的办公网络提供安全功能，确保其安全性。

1. 汇聚层

汇聚接入层交换机，保证VLAN之间的路由和过滤，流量的限速。负责各区域的终端接入，因为每个区域都划分成一个VLAN，不需要区域三路选路，所以接入层交换机为二层交换机。

1. 接入层

接入终端设备用户。在本方案中，多以各部门PC设备为主。

4系统组建方案

主要介绍在本次设计中方案综述，拓扑图的规划，设计中用到的主要技术路线，网络硬件设备的选取服务器的设计，VLAN划分以及ACL的应用以及无线网络在超市中的应用。

4．1 方案综述

本方案的基础步骤是：

1.二层交换机和三层交换机之间封装，trunk配置。

2.划分VLAN。

3.DHCP配置，地址分配。

4.网络核心层与路由器之间采用OSPF协议。

5.边界路由器R2运用复用NAT,区分内外网。

6.子网络中的路由器R3加入之前的OSPD协议中。

7.HSRP的配置（主备交换机配置）。

8.服务器配置测试

4．2 拓扑图规划

拓扑图如图1所示：

图4-1拓扑图规划

网络主干主要采用百兆以太网技术是根据超市项目和业务系统的需求给出的切实可靠的超市网络的实施办法，具体表现百兆以太网技术，100Mbps数据传输速率和快速以太网下后兼容技术，以及快速和高性价比的特征使得百兆以太网交换机逐渐成为校园和企业等网络的主要选择应用技术。

4．3 主要技术路线

HSRP (hot standby router protocol )热备份路由器协议

（1）维护虚拟路由器的路由器如果维护路由器失败，那么虚拟路由器是无效的。

（2）PC只需要指定网关到虚拟路由器，维护的路由器会选举以下角色，仅仅只有active路由器才能够进行转发

A.active路由器

B.standby路由器

C.listen 路由器

在核心层采用HSRP协议，在本方案中使用互为主备的方式。将多个VLAN均等划分给两台交换机，分别设定为不同交换机的主备。当某VLAN在一台主核心交换机在工作时，则该VLAN在另一台处于备用状态。这时，汇聚层交换机与两台核心连接，但只与具体运行VLAN的主核心交换机进行通信。主核心交换机间和备用交换机通信以进行冗余备份。当主核心出现问题，备份交换机可立刻接过工作，使网络畅通。因此如要生成树优先设计，如下图图2主交换机。

图4-2 HSRP交换机

图4-3 HSRP交换机

现代交换机的通用技术是端口聚合，它的最终效果是在配置的端口，使该端口获得更高的带宽、更大的吞吐量和可恢复性的技术。它的工作具体是将一组物理端口进行合并，形成一个逻辑通道。这样，交换机会认为这个逻辑通道为一个端口，以提供更高的带宽、更大的吞吐量和可恢复性的技术。

Trunk的条件：

1）两边封装的协议一定要相同（ISL/802.1Q）

2）两边的模式一定要匹配

3）vtp domain 一定要相同（要么都为空，要么都一样）

技术如图图3，图4端口聚合设计。

图4-4 端口聚合设计

图4-5 端口聚合设计

每个路由器都会产生自己的LSA（链路状态通告），然后通告出去，收到LSA的路由器会转发给其他的路由器，这个过程就是OSPF的工作过程。

OSPF区域是基于路由器的接口划分的，而不是基于整台路由器划分的，一台路由器可以属于单个区域，也可以属于多个区域。

OSPF划分区域优点：在边界路由器做汇总

（1）减少LSA的泛洪的范围，只会在本区域内进行泛洪

（2）能够减少路由表条目

在该实验中R1 和 DHCP-server1 ，DHCP-server2 之间运行OSPF协议。 最好在运行OSPF的每台设备上创建一个lo 0接口，作为它的RID地址。

图4-6 部分OSPF协议信息

图4-7 R1路由条目

4．4 服务器设计

(1)DNS服务器设计

本设计中加入了一台专门的DNS服务器，由其统一对IP地址进行管理，DNS服务器的IP地址为：100.1.1.1。下图为本设计的服务器页面。

图4-8 DNS服务器

(2)WEB服务器设计

Web服务器是指驻留于因特网上某种类型计算机的程序。

图4-9 WEB服务器

(3)FTP服务器设计

Internet中一种广泛使用的服务之一，是传输文件的服务，主要用来在两台机器之间（甚至是一同系统）应用。在该实验中配置FTP服务器的地址为100.1.1.3。

图4-10 FTP服务器

4．5 网络配置与管理

4．5．1 VLAN划分

因为在实际超市网络中各种部门的划分，二层交换机的大量使用以及子超市、分店的存在，要保证业务隔离又保证业务效率，还有从安全性和实际操作难度综合考虑，合理的网络划分是解决该问题的办法。

表4-1VLAN和IP分配表

VLAN

用途

IP网段

VLAN100

接口地址

100.1.1.X/24

VLAN10

DHCP地址分配

192.168.3.X/24

VLAN20

DHCP地址分配

192.168.4.X/24

VLAN30

DHCP地址分配

192.168.5.X/24

VLAN40

DHCP地址分配

192.168.6.X/24

接口地址

200.1.1.X/24

接口地址

172.16.2.X/24

外网地址

170.16.1.X/24

创建VLAN、命名VLAN如图图4-11划分vlan

图4-11 VLAN划分

图4-12 VLAN接口

4．5．2 IP地址分配与DHCP设置

DCHP请求过程：

(1)客户端发送discover报文到服务器（请求服务器分配地址）---广播方式方式

(2)服务器收到客户端请求，那么服务器就会发送offer报文给客户端（包含IP地址，子网掩码，地址租期，网关，DNS--并且标记不可用）

(3)客户端收到offer报文，虽然有地址，但是不能够使用，所以发送request报文，请求地址使用

(4)服务器收到request报文，发送ackonwledgement报文并且标记地址可用，那么客户端就可以使用了

图4-13 DHCP地址规划

图4-14 PC的DHCP地址配置

将两个属于不同VLAN的网络 ping，检查连通性。

图4-15 不同VLANping测试

由图15结果可知在该实验中处于同一VLAN中网络可通。

PC本地信息查看中，可查看简单的地址信息

图4-16 DHCP测试

由上图可知，dhcp配置成功。

图4-17 外网测试

图4-17表明该PC可以连通外网。

图4-18 分店的连通性测试

图4-18表明子超市可以与超市端销售PC相通。

图4-19 NAT配置

图4-20 分店与外网连接测试

根据以上结果，超市网络内部的任何电脑都可以访问互联网，且在内网互通。

图4-21 WEB服务器效果

4．5．3 NAT在超市网络中的设置和应用

NAT核心思想：将私网地址转换成公网地址。解决了lP地址不足的问题的有效方法之一----网络地址转换，而且NAT还可以避免网络外部的攻击，有效隐藏和保护网络中的计算机。

NAT的类型：

1.静态NAT：手工指定一对一

2.动态NAT：动态绑定一对一

3.复用NAT：一对多（65535），用端口号来区分

4.状态化NAT:冗余的NAT，跟HSRP结合，当主路由器失效，那么切换到备份的路由器做NAT

NAL优点：

　1.节省了公网IP地址

　2.能够处理编址方案重叠的情况

　3.网络发生改变时不需要重新编址

　4.隐藏了真正的IP地址

NAT缺点：

　1.NAT引起数据交互的延迟

　2.导致无法进行端到端的IP跟踪

　3.某些应用程序不支持NAT

　4.需要消耗额外的CPU和内存

4．5．4 访问控制列表在超市网络中的设置和管理

访问控制列表（Access Control List，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。NAT核心思想：将私网地址转换成公网地址。ACL 分为三大类：

(1)标准访问控制列表 standard access control list:

A.列表号1-99，1300-1999

B.只检查源地址，不检查目的地址

C.允许或者拒绝整个协议

(2) 扩展访问控制列表 extended access control list:

A.列表号100-199，2000-2699

B.检查源地址与目的地址

C.允许或者拒绝某个特定的协议

(3) 命名访问控制列表 named access control list:

A.列表号就是一个名字，而不是一个数字

ACL的应用场合：

1.telnet的过滤/vty的过滤--限制仅仅某个主机才能够telnet

2.QOS(quality of service 服务质量)的判断---默认情况下，所有的数据优先级都为0，可以采用ACL针对某些流量设置不同的优先级，不同的流量分配的不同标记

3.数据层面的过滤：只能够允许某个网络

4.控制层面的过滤：只允许接受某些路由条目

5 网络安全配置

5．1 防病毒软件

针对与其他设备和软件工具相关的特定环境问题制作反病毒解决方案。与此同时，病毒的来源也远比单机环境复杂得多。一个反病毒软件不仅保护文件服务，而且在邮件，员工使用pc，网关和所有其他计算机硬件的保护。另外，防病毒软件必须能够监控并拦截可能导致病毒的任何信息来源，例如电子邮件，FTP文件，网站，磁盘，CD等等。 一般来说，软件应该着重于以下几个方面：

l病毒查杀能力

l对新病毒的反应能力

l病毒实时监测

l快速方便的升级

l智能安装、远程识别远程安装、远程设置

l管理方便，易于操作

l对现有资源的占用情况

l系统兼容性

l软件的价格

l软件商的企业实力

5．2 安全策略

在大中型企业网络中，各种安全策略的具体实现是以外围路由器、内部路由器和防火墙这三者的搭配和具体配置来协调完成的。内部路由器通过使用访问控制列表来过滤发送到企业网络的受保护部分的信息以增加安全性。

在可信网络内部，可不使用路由器，而结合使用虚拟局域网（VLAN）和交换机。多层交换机内置了安全功能，可替代内部路由器在VLAN架构中提供较高的性能。

5．3 禁用和配置网络服务

默认情况下，思科IOS运行了一些不必要的服务，如果不禁用它们，它们很可能成为拒绝服务（DoS）攻击的目标。

DoS攻击是最常见的攻击，因为这种攻击最容易发动。要检测并防范这些有害的简单攻击，可使用软件和硬件工具，如入侵检测系统（IDS）和入侵防范系统（IPS）。然而如果不能实现IDS/IPS,可在路由器上执行一些基本命令，让路由器更安全，但没有任何措施可确保当今的网络绝对安全。

下面来看看应在路由器上禁用的部分基本服务。

1.禁用HTTP进程

2.阻断SNMP分组

3.禁用代理ARP

4.禁用BootP和自动配置

5.禁用echo

6.禁用重定向消息