xxxxxx 学院信息工程学院
毕 业 设 计 报 告
课题名称:xxxxxx 网络规划
二级学院:信息工程学院
专 业:计算机网络技术
班 级:10计网(2)班
学生姓名:xxxx
学 号:xxxxxx
指导教师:xxxx
日 期:2012年11月20日
声 明
本人声明所呈交的论文是我个人在导师指导下进行学习、研究,独立取得的成果。尽我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果。其中对本论文成果所做的任何贡献均已在论文中作了明确的说明并表示了谢意。
学生签名: 日 期:
论文使用和授权说明
本人同意:学校有权保留送交的论文,允许论文被查阅或借阅;学校可以公布论文的全部或部分内容,可以采用影印、缩印或其他复制手段保存论文;同意论文收录到相关数据库。
学生签名: 导师签名: 日 期:
摘要
计算机网络是指通过传输媒休连接的多部计算机组成的系统,使登录其上的所有用户能够共享软硬件资源。计算机网络如按网络的组建规模和延伸范围来划分的话,可分为局域网、城域网、广域网。我们经常用到的Internet 属于广域网,企业网属于局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密方向发展
随着信息技术的发展,电脑的普及使用率越来越高,在同一地点多台电脑同时工作的情况越来越多,如高校的开放计算实验室、网吧、办公室等地方,没联网的单机很难想象。为了方便维护、管理、共享信息资源等目的,常常需要把所有的单机联成网络,这种小规模局域网络的搭建十分实用。
企业网的建成和使用,对于一个企业来说,产品的介绍、销售、技术服务和售后服务等越来越多地采用网络的形式来完成,最主要的优点是:方便、快捷和成本低廉。其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、网络的应用和安全,网络系统的维护等内容。 关键字:局域网,网络拓扑规划,路由,交换
目录
第一章 需求分析 ..................................................................... 1
1、1 背景分析 ................................................................... 1
1、2 网络需求 ................................................................... 1
1、3 应用需求分析 ............................................................... 2
1、4 网络安全需求 ............................................................... 2
第二章 网络系统规划与设计 ........................................................... 2
2、1 设计原则 ................................................................... 2
2、2 技术方案设计 ............................................................... 3
2、3 网络拓扑图 ................................................................. 3
2、4 IP和VLAN 规划 .............................................................. 4
第三章 设备选型 ..................................................................... 5
3、1 设备选型原则 ............................................................... 5
3、2 网络设备选型 ............................................................... 6
第四章 综合布线系统设计 ............................................................. 9
4、1 布线系统总体设计 ........................................................... 9
4、2详细子系统布线设计 .......................................................... 9
第五章 网络安全设计 ................................................................ 10
第六章 主要设备配置 ................................................................ 11
6、1边界路由NAT 配置 ........................................................... 11
6、2核心交换机配置 ............................................................. 12
第七章 材料清单和预算 .............................................................. 13
总结 ............................................................................... 14
致谢 ............................................................................... 14
参考文献 ........................................................................... 15
第一章 需求分析
1、1 背景分析
xxxx 有限公司南宁总部主要建筑物有行政楼、办公大楼和车间大楼。有6个部门,分别是行政部、财务部、研发部、营销部、生产部、人事部。行政楼有三层,第一层是公司的网络中心和服务器中心;第二层是财务部;第三层是总经理办公室和会议大厅。办公大楼有三层,第一层是研发部;第二层是营销部;第三层是人事部。车间大楼是生产部,包括生产车间、仓库等。公司大概有180台左右的PC 需要上网,选用一条20M 光纤宽带接入链路。
考虑公司人员与规模会不断扩张,随着办公信息化、自动化的需求,各部门间为提高办公效率,促进信息交流,适应现代化办公的要求,公司要求在项目的规划上和实施中采集防火墙,服务器,网络设备以及系统管理模式,实现公司内部所有的信息资源合法的运用和完善管理。使所有员工能够方便熟悉、安全高效地访问公司的网络运用服务和因特网,需要组建一个完善的企业内部网。 1、2 网络需求
满足集团信息化的要求,为各类应用系统提供方便、快捷的信息通路;具有良好的性能,能够支持大容量和实时性的各类应用;能够可靠运行,具有较低的故障率和维护要求。提供网络安全机制,满足集团信息安全的要求,具有较高的性价比,未来升级扩展容易,保护用户投资;用户使用简单、维护容易,为用户提供良好的售后服务。 主干网络负责各个子网和应用服务的连接,为信息交换提供有效的高速通道。
系统主干采用千兆以太网,网络协议采用TCP/IP协议,整个网络应考虑语音、视频、数据等的综合应用。交换机要求采用主流、成熟、信誉和售后服务均佳的产品,核心交换机采用三层交换机,支持VLAN 等功能,能较好解决突发数据量和密集服务请求的实时响应问题,在内部用户终端进行视频信号、数据交换时交换引擎不会出现过载现象和数据包碰撞、丢失的现象;下属单位接入交换机可采用相对低一档的产品;配置要保证网络中所有的服务器、交换机、路由器、集线器等设备的连续、正常地运转;网络带宽的分配:应根据所属单位网络的信息流量情况合理分配网段,以充分利用网络带宽,提高网络的运行效率。
1、3 应用需求分析
各部门内实现资源共享,提高公司办公和公司生产效率;网络需要满足公司内各种计算机应用系统的大信息量传输要求。局域网要具备良好可管理性,公司网络系统结构要清晰,划分vlan 便于管理;IP 地址分配必需合理利用,满足公司网络扩容需求。公司能支持所有PC 机同时访问Internet ;营销部因为工作需要,占用的流量必须大过其他部门。
公司的web 和ftp 服务器:web 服务器具有固定的IP 地址配置,互联网和公司内部可以访问公司的网站;ftp 服务器有固定IP 地址,允许企业内部所有员工下载;外网不能访问ftp 服务器。
部门间访问权限要有限制:财务部不能给其他部门访问;营销部和生产部可以互相访问;人事部除了财务部以外都可以访问其他三个部门。
1、4 网络安全需求
内网安全设计:访问控制,通过密码、口令等禁止非授权用户对服务器和网络设备的访问,以及对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP 病毒的防御、数据完整、防病毒入侵。
在企业网络中,关键应用服务器、核心网络设备,只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限,网络应该能够阻止任何的非法操作。
第二章 网络系统规划与设计
2、1 设计原则
“公司项目”系统的基本建设原则为:“实用性、可靠性、安全性、科学性、先进性、规范性”。同时本着“总体规划、分步实施,满足应用,适当超前,尽量利旧”的指导思想进行公司信息化建设。
为了使所设计的方案尽可能满足公司实际的需求,使建成的网络在一定的时间内正常、高效地运转,方案应符合以下原则:
(1)实用性:网络系统完成系统连接,实现信息设备及资源共享,为办公、管理服务;
(2)开放性:保证系统的开放性,以便得到众多厂商产品和技术支持以及与其它网络互连;
(3)灵活性:硬件及软件的设计充分考虑系统的灵活性,均应采用模块化的结构设计;
(4)经济性:网络系统软硬件的选择应具有较好的性能价格比。
(5)科学性:充分论证,统筹规划,精心设计,认真施工,保证网络系统层次和结构科学、合理;
(6)安全性:系统应具有多种手段防止各种形式与途径的非法入侵和机密信息的泄露,并具有可靠的防病毒措施,因此需要充分重视网络系统和信息的安全,采取相应的技术措施和管理机制,保证网络系统的安全;
(7)可靠性:网络系统作为其它应用系统的基础,必须可靠连续地运行。系统支持容错功能,管理维护方便,能满足长时间、重负荷运行要求,因此需要选用稳定可靠的设备、采用成熟的技术、选择有经验的系统集成商,确保网络系统建设的可靠性;
(8)先进性:在网络系统的设计上,应保证所采用的产品和技术三年相对先进、五年不落后、十年可用,因此需要采用成熟的先进技术,兼顾未来的发展趋势,既量力而行,又适当超前,留有发展余地;
(9)可扩展性:随着应用的陆续开发和业务量、数据量的不断增大,现有系统应能够在进行很少的修改下进行扩充,因此系统的设计应充分考虑到以后系统的可升级性;
2、2 技术方案设计
公司总体网络采用基于树型的双星型结构,使之具有链路冗余特性;在一台交换机出现故障的时候保障网络的正常运行;整体网络规划为核心及服务器群区域,内部骨干区域(汇聚链路),接入层上联区域,客户端接入区域,核心交换机位于集团总部机房;采用三层(接入层、汇聚层和核心层)结构。
网络主干采用先进的千兆以太网技术的方式连接,实现百兆到桌面,可最大限度地提高主干的数据传输速率,适应网络不断扩展的要求。
根据公司需求,选用的是cisco 企业级的WS-C3750G-24TS-S1U 千兆核心交换机作为本公司总部机房的核心交换;三层交换机作为不同部门Vlan 以及各服务器Vlan 的网关;并且用光纤连接到边界路由器。各部门的办公网是以星型的方式千兆直接连接到各汇聚机房的汇聚交换机上后,由汇聚交换机通过千兆接到核心交换机;每个办公网划分不同的vlan 。
2、3 网络拓扑图
根据公司需求以及规模不大,在设计上将它组织为核心层、汇聚层、接入层分别考虑。接入层节点直接连接公司用户计算机,是一个部门的交换机;汇聚层交换机节点可以连接接入层节点,是
建筑物内部连接多个部门交换机的总交换机;核心层交换机节点连接多个汇聚层交换机,它是企业总交换机的核心网络设备。
本方案采用典型的三层网络拓扑结构:接入层、汇聚层、核心层。在上面的拓扑结构图中,企业主要有行政、财务、研发、营销、人事、生产五个部门接入点。研发、营销、人事、生产五个部门距离超过100,因此通过千兆光纤链路接入到网络中心的汇聚交换机上。核心交换接通过连接Cisco WS-C3750G-24TS-S1U 路由器接入到外部因特网。拓扑图如图1所示:
图1 网络拓扑图
2、4 IP和VLAN 规划
划分VLAN 的目的:一是提高网络安全性,不同VLAN 的数据不能自由交流,需要接受第三层的检验,因此,在一定程度上加强了虚拟网络间的隔离,有效防止外部用户入侵,提高了安全性。二是隔离广播信息,划分VLAN 后,广播域缩小,有利于改善网络性能,能够将广播风暴控制在一个VLAN 内部,同时使网络管理趋于简单。三是增强网络应用的灵活性,VLAN 是在一个有多台交换机的局域网中统一设定的,这使得用户可以不受所连交换机的限制,不论用户节点移动到局域网中哪一台交换机上,只要仍属于原来的虚拟网,则应用环境没有任何改变。在划分VLAN 时,要考
虑VLAN 对于网络流量的影响,单个VLAN 不宜过大。
根据公司各部门职能情况不同,把交换模块划分为不同的VLAN ,减少了部门间广播冲突,提高了传输效率。每个部门划分为一个VLAN ,各部门分别属于不同的网段,在逻辑上被隔离,各部门间的通讯通过对核心层和汇聚层交换机进行配置来实现。VLAN 及IP 地址分配情况如下表1所示:
表1 IP 、vlan 规划表
第三章 设备选型
3、1 设备选型原则
(1)代表目前网络系统设备的先进水平:
在网络和主机方面,应支持符合国际标准和工业标准的相关接口,能够与各接入单元网络、ISP 网络以及其他相关系统实现可靠的互连;在网络协议的选择方面,选择广泛应用的标准的通信协议,同时支持局域网内部的其他协议。
(2)具备较强的安全性:
网络在设计和管理上必须提供严格的安全保密技术,实现不同级别的安全认证设置,并建立高
效的防火墙系统来防止外界可能的攻击和病毒的破坏与影响。在确保系统网络环境中单独设备稳定、可靠运行的前提下,还需要考虑网络整体的容错能力、安全性及稳定性,使系统出现问题和故障时能迅速地修复。
(3)具备优良的可扩充性和升级能力:
在网络和主机设备的选择方面,应具有良好的可扩充能力,可以根据信息网络临时需要对系统进行必要的调整、扩充,包括存储容量和网络规模等方面的扩充。在网络全面升级换代的情况下,能够最大限度利用现有投资
(4)具备优良的性能价格比:
根据现在的需求和可以预见的需求增长情况设计网络,不追求空洞的技术先进性,避免追求高档和最新技术花费的巨大代价。
3、2 网络设备选型
CISCO 是网络业界第一品牌和最大的研发厂家,是项目可持续应用的投资保护和规避厂家风险的首选。因此采用的是业界标准的强健稳定的CISCO 设备,更具有广泛的协议支持,思科IOS 取得广泛成功的关键在于,它的标准化设计中整合了创新网络技术、关键业务IP 服务和首屈一指的平台支持能力。接入交换机可采用相对低一档的产品。
基于以上原则,我们为xxxx 公司网络建设选用CISCO 公司的系列产品,以确保网络实用与性价比。设备选型如下:
(1) 核心交换机
核心层的功能主要是实现骨干网络之间的优化传输,负责整个网络的内部数据交换、网络的功能控制。核心层设计任务的重点是可靠性和高速传输,需要提供高速度、低时延的数据链路。通过提供冗余链路,实现高可靠、高可用的骨干,是局域网互连的关键。其主要任务是提供高性能、高安全性的核心数据交换、QoS 。为整个公司宽带办公网提供交换和路由的核心,完成各个部分数据流的中央汇集和分流;为各个汇聚层和接入层交换机提供上联;同时提供了各个服务器的可靠接入,为数据中心的服务器提供千兆高速连接。核心层设备需要高性能的三层交换机;并且非常可靠,实现不间断工作。
基于核心交换机的功能及作用,根据用户的实际需求,本方案对公司网络系统中的核心层采用的是CISCO 的企业级核心交换机WS-C3750G-24TS-S1U ,它的性能、指标等完全可以满足上述的各项要求。
企业级核心路由交换机WS-C3560-48TS-S1 U的性能特性及技术指标如下表2:
表2 核心交换机参数表
(2) 汇聚层交换机
汇聚层主要功能是连接接入层节点和核心层中心;负责为接入层提供数据的传输、汇聚、分发处理,以实现通信量的收敛,提高网络中聚合点的效率,同时减少核心层设备路由路径的数量,其作用主要是隔离拓扑结构的变化,控制路由表的大小,收敛网络流量。汇聚层交换机还负责本区域的数据交换。
因此汇聚层的交换机部署时必须考虑交换机必须具有足够的可靠性和冗余度;还必须具有高处理能力,以便完成网络数据会聚、转发处理;具有灵活、优化的网络路由处理能力,实现网络汇聚的优化汇聚层交换机需要较高的性能和较丰富功能;提高水平的可用性,可扩展性,服务质量,安全性和可以改进网络运营的管理能力。
根据汇聚层在整个网络中的作用以及用户的实际需求,本方案中汇聚层共设计了2个节点:行政楼、办公大楼;汇聚层网络设备全部采用WS-C2960S-48TS-L ;汇聚路由交换机
CISCO WS-C2960S-48TS-L 的性能特性及技术指标如下表3:
表3 汇聚层交换机参数表
(3) 接入层交换机
接入层交换机作为二层交换网络设备,提供功能工作站等设备的网络接入,用来支撑客户端机器对服务器的访问。接入层在整个网络中接入交换机的数据最多,具有即插即用、可堆叠特性的设
备。对于公司接入层交换机要求,一是价格要合理;二是可管理性号,易于使用维护;三是稳定性要好;也需要提供了快速以太网和千兆位以太网连接,同样要为用户提供千兆的光纤骨干和高密度度的接入端口。
根据接入层处在网络系统中所起的作用以及用户的实际需求,本方案中接入层采用的是华为S5700-24TP-SI(AC);其性能特性及技术指标情况如下表4:
表4 接入层交换机参数表
(4)
边界路由器
边界路由器作为连接内部局域网和外部Internet 的关键路由,保证内和外网的隔离,内网用户通过连接各个交换机,汇总到边界路由器后,通过 IP 地址转换功能,将内网的私有地址转换成公网地址访问Internet ,以使企业网络内外网互相独立,达到完全的物理隔离的目的。边界路由器它需要具有高传输速率和支持较多的网络协议。
根据边界路由器功能和公司需求,边界路由器采用CISCO 2911/K9,其性能特性及技术指标情况如下表5:
表5 边界路由器参数表
(5) 防火墙
防火墙位于外部网与核心交换机之间硬件设备,监视了内部网络和外网之间的活动,保证了内部网络地安全,起到对进出信息分析过滤的作用,增强机构内部网络的安全性。因此在内部网与外部网之间,设置防火墙以实现公司内外网的隔离与访问控制。是在网络连接之间建立一个安全控制点,通过控制经过防火墙的数据流,实现对进出内部网络的服务和访问的审计和控制。因此要根据吞吐量和过滤带宽等多方面考虑。
根据防火墙功能以及公司需求,选择采用CISCO ASA5510-K8 防火墙,其性能特性及技术指标情况如下表6:
表6 防火墙参数表
第四章 综合布线系统设计
4、1 布线系统总体设计
公司有3栋建筑,从总部机房采用四芯多模光纤与其他两栋建筑的设备间相连,从设备间连到工作站采用四芯多模光纤相连,距离在90米以内采用五类非屏蔽双绞线相连接,超过90米用光纤连接。公司选用一条20M 光纤宽带接入链路,使公司实现与外界的信息交换和网络通信。公司统一由总部机房的一个出口访问Internet 。在服务器和核心交换机间使用UTP 电缆来将服务器连接到核心交换机。
4、2详细子系统布线设计
(1)建筑群子系统设计:
建筑群子系统是将一栋建筑物内的电缆延伸到建筑群中的另外一些建筑物内的通信设备和装置
上,采用光缆布线是目前主要的建筑间布线方式,建筑间的主干光缆采用四芯多模光纤。
(2)设备间子系统设计:
由设备间中的电缆、连接器和相关支撑硬件组成,把公共系统(通讯系统,计算机系统和建筑自动化系统等)设备的各种不同设备互连起来。使用12芯单模室内多模光纤将其连接。
(3)干线子系统设计:
由连接主设备间与各个治理子系统的室内干线电缆构成。数据主要从网络配线间向各个子配线间敷设,距离超过100M 用12芯单模室内多模光纤,距离90M 内用超五类屏蔽双绞线。
(4)管理子系统设计:
由配线间构成;由各种规格的配线架实现水平、垂直主干线缆的端接及分配;由各种规格的跳线实现布线系统与各种网络、通讯设备的连接,并提供灵活方便的线路管理能力。对于信息点不是很多,使用功能近似的楼层,为便于治理,仅设置一个共用的子配线间;对于信息点较多的楼层则在该层设立配线间。
(5)水平子系统:
主要是实现信息插座和管理子系统,即是与配线架的连接。水平子系统为星形拓扑。在水平子系统中采用超五类非屏蔽双绞线。水平双绞线的最大长度均不超过90m 。
(6)工作区子系统:
由各个单元区域构成,是计算机、电话和信息插座的连接部分,包括连接跳线和信息插座。信息插座的模块采用类RJ-45模块;线缆采用超五类双绞线;水晶头采用RJ-45标准水晶头。
第五章 网络安全设计
因特网存在连接。为了保障网络系统的运行安全,保护集团的信息安全,必须进行网络安全方面的规划和实施。一个网络的安全,首先要有严格和有效执行的管理制度,公司需要制定严格的网络安全管理策略,并有效的执行;必须具有一定的技术手段来保障网络的安全。技术和管理手段相结合实施,才能够产生良好的效果。通过以下几个技术方面的实施,可以在一定程度上保障网络的安全:
(1) 配置设备的口令
配置设备的口令,以防止非授权的人员更改网络系统的配置,要为所有的网络设备设置口令,要为每一台设备配置CONSOLE 口令, VTY 口令,特权口令等。在口令方面,需要制定管理制度
并严格执行。口令管理制度包括口令的设置,保管,更改,口令的强度等内容。
(2)配置VTP 域的认证
进行VTP 域的认证,能够保证局域网的VLAN 等的安全。设置了VTP 域认证,防止新增加的设备自动加入到已存在的管理域中,保证了局域网的运行安全,可以避免因为VLAN 被错误或者恶意的增加、删除造成的运行故障。
(3)内外网隔离
防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,有效地监视了内部网络和外网之间的活动,保证了内部网络地安全;在物理实现上,防火墙是位于外部网与核心交换机之间硬件设备,起到对进出信息分析过滤的作用,增强机构内部网络的安全性。因此在内部网与外部网之间,设置防火墙以实现公司内外网的隔离与访问控制。
服务器系统安全的实现,与网络系统的安全策略紧密相关。公司局域网系统分为内网和外网,采用防火墙隔离,内网、外网不能直接互相访问。内网、外网之间设置非军事区,所有内网、外网之间的访问全部通过防火墙实现。基本发上原则,公司的网络应用系统服务器安全。Web 、ftp 等服务器设置在非军事区,以实现内网和外网的访问。
(4)网络病毒防范
网络防病毒系统要求做到在整个内部网杜绝病毒的感染、传播和发作;要求提供多种防病毒软件的安装方式;网络管理员可远程监控客户机,发现病毒可以及时得到通知;网络管理员可以对网络中每台计算机进行防病毒控制和管理;所有客户端和服务器具有统一的杀毒版本。该用户选择了瑞星公司的杀毒软件网络版,以此为基础作为网络防病毒解决方案,采用分级管理、多重防护的管理架构。
第六章 主要设备配置
6、1边界路由NAT 配置
根据公司规模的需求,申请了202.103.160.0-7/29的公网地址,其中202.103.160.1/29作为web 服务器的映射地址;202.103.160.2-4/29作为内网NAT 转换的公网地址;202.103.160.5-6/29作为边界路由器连接ISP 的管理地址。NAT 配置如下:
# ip route 0.0.0.0 0.0.0.0 202.103.160.6 //配置到外网的缺省路由
# access-list 1 permit 192.168.0.0 0.0.0.255 //配置允许转换的内部地址
# ip nat pool nat01 202.103.160.2 202.103.160.4 netmask 255.255.255.248 //配置NAT 地址池
# ip nat inside source list 1 pool nat01 overload //配置动态NAT 映射,将NAT 地址池和ACL 绑定 # ip nat inside source static 172.16.30.2 202.103.160.1 //配置公司WEB 服务器静态转换对外网访问 # interface Serial0/0/0
# ip address 202.103.160.5 255.255.255.248
# ip nat outside //配置NA T 外部接口 # interface FastEthernet0/1
# ip address 10.10.10.2 255.255.255.0
# ip nat inside //配置NA T 内部接口
6、2核心交换机配置
(1)在核心交换机配置VLAN ,并且给VLAN 配IP ,如下例: # interfece vlan 10
# ip address 192.168.10.254 255.255.255.0
(2)在核心交换机配置DHCP ,如下例:
# ip dhcp pool vlan10 //设置vlan10地址池
# network 192.168.10.0 255.255.255.0 //配置可分配的子网 # default-router 192.168.10.254 //设置默认网关
# ip dhcp excluded-address 192.168.10.254 //设置保留不分配地址
(3)在核心交换机上配置ACL ,控制部门访问权限;如下例: 要求:财务部除了行政部门,不能给其他部门访问 # access-list 1 deny 192.168.30.0 0.0.0.255 //拒绝研发部 # access-list 1 deny 192.168.40.0 0.0.0.255 //拒绝人事部 # access-list 1 deny 192.168.50.0 0.0.0.255 //拒绝营销部 # access-list 1 deny 192.168.60.0 0.0.0.255 //拒绝生产部 # access-list 1 permit any //允许所有 # int vlan 20
# ip access-group 1 in //应用ACL
(4)在核心交换机上配置VTP 服务器端,其他交换机设置为客户端: # vtp mode server //在核心交换机配置作为VTP 服务器端 # vtp clinet //在汇聚交换机配置作为VTP 客户端 # vtp domain vtpgxcoco // 在所有交换机设置vtp 域名
第七章 材料清单和预算
(1)根据本次公司布线规划设计,综合布线材料清单如下表7:
表7 主要布线材料清单和预算表
(2)根据本次公司网络规划设计中设备的选择,公司的网络设备清单如下表8:
表 8 主要网络设备清单与预算表
总结
本文根据一个行业的特定要求做的一个企业网络解决方案。其中应用了现今企业网络中较为常用的主流技术。网络整体采用的是Cisco 三层架构,这个结构的优点是稳定性好、设备负载均衡、易扩展,并且网络故障排查也比较容易。在本方案中我们用vlan 、NAT 和ACL 技术作为内部网络的安全策略,主要是防止公司内部的非授权访问。而在内部网络与Internet 之间我们则采用硬件防火墙将两部分网络隔离开。组建一个高速、宽带、稳定、可靠,且能融合安全与保密等全新需求的内外网络系统,是当前企业网络发展的趋势。在网络安全方面,所以在本方案中我们用vlan 技术和ACL 技术作为内部网络的安全策略,主要是防止公司内部的非授权访问。而在内部网络与Internet 之间我们则采用硬件防火墙将两部分网络隔离开,设置策略只允许合法的数据进出,各种网络安全技术相结合,使得网络更安全可靠。
通过这次毕业设计,使我更加扎实的掌握了网络方面的知识,学到了很多书本上没有的知识,给我很多专业知识以及专业技能上的提升,让我不断发现错误,不断改正,不断领悟,不断获取。同时也暴露出了我在这方面的知识欠缺和经验不足。
在设计过程中虽然遇到了很多问题,但是经过自己反复思考检查、查阅大量有关资料、与同学交流、请教老师等方式,让自己终于找出了原因所在,所有问题都迎刃而解,让这次课程设计终于顺利完成了。同时,这次设计让我感触很深,使我对抽象的理论有了具体的认识,让我懂得了怎样去设计一个企业的网络系统。
致谢
大学生活在这个时候即将划上一个句号。但是对于我的人生道路来说,这仅仅是一个逗号,我将面对的是又一次征程的开始。随着论文的完成,代表着三年的大学生活也即将结束。三年同窗的友情很难忘,你们与我共同走过了人生中不平凡的道路,给我留下了值得珍藏的美好记忆。
在此,我要特别感谢指导教师。本论文是在他的悉心指导下完成的,老师认真负责的工作态度,严谨的治学精神和精深的理论水平都使我受益匪浅。他无论在理论上还是在实践中,都给予我很大的帮助,使我专业技能得到很大提高,这对于我以后的工作和学习都有益处。论文完成之际,特别向指导x 老师表示衷心的感谢和崇高的敬意,谢谢他悉心地辅导,使得我得以顺利的完成毕业设计的工作,同时也要感谢其他帮助过我的老师和同学,他们在我成长过程中给予了我很大的帮助。
最后,我衷心感谢信息学院所有支持帮助过我的老师,谢谢你们多年来的关心和爱护,也祝愿老师们在今后的科研工作中身体健康,工作顺利!
参考文献
[1]侯中俊. 局域网组网技术[M].北京:人民邮电出版社,2005
[2]于富强,李青茹. 网络工程实践指南[M].北京:北京大学出版社,2010 [3]迟恩宇,刘天飞. 网络安全与防护[M] .北京:电子工业出版社,2009 [4]周有丹,梁锦锐,易著梁. 企业网络组建与应用[M].北京:科学出版社,2010 [5]王公儒. 综合布线工程实用技术[M].北京:中国铁道出版社,2011 [6]吴献文. 计算机网络安全应用教程[M].北京:人民邮电出版社,2011 [7]梁广民,王隆杰. 网络设备互联技术[M] .北京:清华大学出版社,2006 [8]颜谦和. 交换机与路由器技术[M] .北京:清华大学出版社 2011.01
[9]容贤家,徐建豪,曹侃,蒋年华. 计算机组装与维护[M] .北京:科学出版社,2009 [10]梁广民,王隆杰. 思科网络实验室CCNA 实验指南[M].北京:电子工业出版社,2009
xxxxxx 学院信息工程学院
毕 业 设 计 报 告
课题名称:xxxxxx 网络规划
二级学院:信息工程学院
专 业:计算机网络技术
班 级:10计网(2)班
学生姓名:xxxx
学 号:xxxxxx
指导教师:xxxx
日 期:2012年11月20日
声 明
本人声明所呈交的论文是我个人在导师指导下进行学习、研究,独立取得的成果。尽我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果。其中对本论文成果所做的任何贡献均已在论文中作了明确的说明并表示了谢意。
学生签名: 日 期:
论文使用和授权说明
本人同意:学校有权保留送交的论文,允许论文被查阅或借阅;学校可以公布论文的全部或部分内容,可以采用影印、缩印或其他复制手段保存论文;同意论文收录到相关数据库。
学生签名: 导师签名: 日 期:
摘要
计算机网络是指通过传输媒休连接的多部计算机组成的系统,使登录其上的所有用户能够共享软硬件资源。计算机网络如按网络的组建规模和延伸范围来划分的话,可分为局域网、城域网、广域网。我们经常用到的Internet 属于广域网,企业网属于局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密方向发展
随着信息技术的发展,电脑的普及使用率越来越高,在同一地点多台电脑同时工作的情况越来越多,如高校的开放计算实验室、网吧、办公室等地方,没联网的单机很难想象。为了方便维护、管理、共享信息资源等目的,常常需要把所有的单机联成网络,这种小规模局域网络的搭建十分实用。
企业网的建成和使用,对于一个企业来说,产品的介绍、销售、技术服务和售后服务等越来越多地采用网络的形式来完成,最主要的优点是:方便、快捷和成本低廉。其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、网络的应用和安全,网络系统的维护等内容。 关键字:局域网,网络拓扑规划,路由,交换
目录
第一章 需求分析 ..................................................................... 1
1、1 背景分析 ................................................................... 1
1、2 网络需求 ................................................................... 1
1、3 应用需求分析 ............................................................... 2
1、4 网络安全需求 ............................................................... 2
第二章 网络系统规划与设计 ........................................................... 2
2、1 设计原则 ................................................................... 2
2、2 技术方案设计 ............................................................... 3
2、3 网络拓扑图 ................................................................. 3
2、4 IP和VLAN 规划 .............................................................. 4
第三章 设备选型 ..................................................................... 5
3、1 设备选型原则 ............................................................... 5
3、2 网络设备选型 ............................................................... 6
第四章 综合布线系统设计 ............................................................. 9
4、1 布线系统总体设计 ........................................................... 9
4、2详细子系统布线设计 .......................................................... 9
第五章 网络安全设计 ................................................................ 10
第六章 主要设备配置 ................................................................ 11
6、1边界路由NAT 配置 ........................................................... 11
6、2核心交换机配置 ............................................................. 12
第七章 材料清单和预算 .............................................................. 13
总结 ............................................................................... 14
致谢 ............................................................................... 14
参考文献 ........................................................................... 15
第一章 需求分析
1、1 背景分析
xxxx 有限公司南宁总部主要建筑物有行政楼、办公大楼和车间大楼。有6个部门,分别是行政部、财务部、研发部、营销部、生产部、人事部。行政楼有三层,第一层是公司的网络中心和服务器中心;第二层是财务部;第三层是总经理办公室和会议大厅。办公大楼有三层,第一层是研发部;第二层是营销部;第三层是人事部。车间大楼是生产部,包括生产车间、仓库等。公司大概有180台左右的PC 需要上网,选用一条20M 光纤宽带接入链路。
考虑公司人员与规模会不断扩张,随着办公信息化、自动化的需求,各部门间为提高办公效率,促进信息交流,适应现代化办公的要求,公司要求在项目的规划上和实施中采集防火墙,服务器,网络设备以及系统管理模式,实现公司内部所有的信息资源合法的运用和完善管理。使所有员工能够方便熟悉、安全高效地访问公司的网络运用服务和因特网,需要组建一个完善的企业内部网。 1、2 网络需求
满足集团信息化的要求,为各类应用系统提供方便、快捷的信息通路;具有良好的性能,能够支持大容量和实时性的各类应用;能够可靠运行,具有较低的故障率和维护要求。提供网络安全机制,满足集团信息安全的要求,具有较高的性价比,未来升级扩展容易,保护用户投资;用户使用简单、维护容易,为用户提供良好的售后服务。 主干网络负责各个子网和应用服务的连接,为信息交换提供有效的高速通道。
系统主干采用千兆以太网,网络协议采用TCP/IP协议,整个网络应考虑语音、视频、数据等的综合应用。交换机要求采用主流、成熟、信誉和售后服务均佳的产品,核心交换机采用三层交换机,支持VLAN 等功能,能较好解决突发数据量和密集服务请求的实时响应问题,在内部用户终端进行视频信号、数据交换时交换引擎不会出现过载现象和数据包碰撞、丢失的现象;下属单位接入交换机可采用相对低一档的产品;配置要保证网络中所有的服务器、交换机、路由器、集线器等设备的连续、正常地运转;网络带宽的分配:应根据所属单位网络的信息流量情况合理分配网段,以充分利用网络带宽,提高网络的运行效率。
1、3 应用需求分析
各部门内实现资源共享,提高公司办公和公司生产效率;网络需要满足公司内各种计算机应用系统的大信息量传输要求。局域网要具备良好可管理性,公司网络系统结构要清晰,划分vlan 便于管理;IP 地址分配必需合理利用,满足公司网络扩容需求。公司能支持所有PC 机同时访问Internet ;营销部因为工作需要,占用的流量必须大过其他部门。
公司的web 和ftp 服务器:web 服务器具有固定的IP 地址配置,互联网和公司内部可以访问公司的网站;ftp 服务器有固定IP 地址,允许企业内部所有员工下载;外网不能访问ftp 服务器。
部门间访问权限要有限制:财务部不能给其他部门访问;营销部和生产部可以互相访问;人事部除了财务部以外都可以访问其他三个部门。
1、4 网络安全需求
内网安全设计:访问控制,通过密码、口令等禁止非授权用户对服务器和网络设备的访问,以及对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP 病毒的防御、数据完整、防病毒入侵。
在企业网络中,关键应用服务器、核心网络设备,只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限,网络应该能够阻止任何的非法操作。
第二章 网络系统规划与设计
2、1 设计原则
“公司项目”系统的基本建设原则为:“实用性、可靠性、安全性、科学性、先进性、规范性”。同时本着“总体规划、分步实施,满足应用,适当超前,尽量利旧”的指导思想进行公司信息化建设。
为了使所设计的方案尽可能满足公司实际的需求,使建成的网络在一定的时间内正常、高效地运转,方案应符合以下原则:
(1)实用性:网络系统完成系统连接,实现信息设备及资源共享,为办公、管理服务;
(2)开放性:保证系统的开放性,以便得到众多厂商产品和技术支持以及与其它网络互连;
(3)灵活性:硬件及软件的设计充分考虑系统的灵活性,均应采用模块化的结构设计;
(4)经济性:网络系统软硬件的选择应具有较好的性能价格比。
(5)科学性:充分论证,统筹规划,精心设计,认真施工,保证网络系统层次和结构科学、合理;
(6)安全性:系统应具有多种手段防止各种形式与途径的非法入侵和机密信息的泄露,并具有可靠的防病毒措施,因此需要充分重视网络系统和信息的安全,采取相应的技术措施和管理机制,保证网络系统的安全;
(7)可靠性:网络系统作为其它应用系统的基础,必须可靠连续地运行。系统支持容错功能,管理维护方便,能满足长时间、重负荷运行要求,因此需要选用稳定可靠的设备、采用成熟的技术、选择有经验的系统集成商,确保网络系统建设的可靠性;
(8)先进性:在网络系统的设计上,应保证所采用的产品和技术三年相对先进、五年不落后、十年可用,因此需要采用成熟的先进技术,兼顾未来的发展趋势,既量力而行,又适当超前,留有发展余地;
(9)可扩展性:随着应用的陆续开发和业务量、数据量的不断增大,现有系统应能够在进行很少的修改下进行扩充,因此系统的设计应充分考虑到以后系统的可升级性;
2、2 技术方案设计
公司总体网络采用基于树型的双星型结构,使之具有链路冗余特性;在一台交换机出现故障的时候保障网络的正常运行;整体网络规划为核心及服务器群区域,内部骨干区域(汇聚链路),接入层上联区域,客户端接入区域,核心交换机位于集团总部机房;采用三层(接入层、汇聚层和核心层)结构。
网络主干采用先进的千兆以太网技术的方式连接,实现百兆到桌面,可最大限度地提高主干的数据传输速率,适应网络不断扩展的要求。
根据公司需求,选用的是cisco 企业级的WS-C3750G-24TS-S1U 千兆核心交换机作为本公司总部机房的核心交换;三层交换机作为不同部门Vlan 以及各服务器Vlan 的网关;并且用光纤连接到边界路由器。各部门的办公网是以星型的方式千兆直接连接到各汇聚机房的汇聚交换机上后,由汇聚交换机通过千兆接到核心交换机;每个办公网划分不同的vlan 。
2、3 网络拓扑图
根据公司需求以及规模不大,在设计上将它组织为核心层、汇聚层、接入层分别考虑。接入层节点直接连接公司用户计算机,是一个部门的交换机;汇聚层交换机节点可以连接接入层节点,是
建筑物内部连接多个部门交换机的总交换机;核心层交换机节点连接多个汇聚层交换机,它是企业总交换机的核心网络设备。
本方案采用典型的三层网络拓扑结构:接入层、汇聚层、核心层。在上面的拓扑结构图中,企业主要有行政、财务、研发、营销、人事、生产五个部门接入点。研发、营销、人事、生产五个部门距离超过100,因此通过千兆光纤链路接入到网络中心的汇聚交换机上。核心交换接通过连接Cisco WS-C3750G-24TS-S1U 路由器接入到外部因特网。拓扑图如图1所示:
图1 网络拓扑图
2、4 IP和VLAN 规划
划分VLAN 的目的:一是提高网络安全性,不同VLAN 的数据不能自由交流,需要接受第三层的检验,因此,在一定程度上加强了虚拟网络间的隔离,有效防止外部用户入侵,提高了安全性。二是隔离广播信息,划分VLAN 后,广播域缩小,有利于改善网络性能,能够将广播风暴控制在一个VLAN 内部,同时使网络管理趋于简单。三是增强网络应用的灵活性,VLAN 是在一个有多台交换机的局域网中统一设定的,这使得用户可以不受所连交换机的限制,不论用户节点移动到局域网中哪一台交换机上,只要仍属于原来的虚拟网,则应用环境没有任何改变。在划分VLAN 时,要考
虑VLAN 对于网络流量的影响,单个VLAN 不宜过大。
根据公司各部门职能情况不同,把交换模块划分为不同的VLAN ,减少了部门间广播冲突,提高了传输效率。每个部门划分为一个VLAN ,各部门分别属于不同的网段,在逻辑上被隔离,各部门间的通讯通过对核心层和汇聚层交换机进行配置来实现。VLAN 及IP 地址分配情况如下表1所示:
表1 IP 、vlan 规划表
第三章 设备选型
3、1 设备选型原则
(1)代表目前网络系统设备的先进水平:
在网络和主机方面,应支持符合国际标准和工业标准的相关接口,能够与各接入单元网络、ISP 网络以及其他相关系统实现可靠的互连;在网络协议的选择方面,选择广泛应用的标准的通信协议,同时支持局域网内部的其他协议。
(2)具备较强的安全性:
网络在设计和管理上必须提供严格的安全保密技术,实现不同级别的安全认证设置,并建立高
效的防火墙系统来防止外界可能的攻击和病毒的破坏与影响。在确保系统网络环境中单独设备稳定、可靠运行的前提下,还需要考虑网络整体的容错能力、安全性及稳定性,使系统出现问题和故障时能迅速地修复。
(3)具备优良的可扩充性和升级能力:
在网络和主机设备的选择方面,应具有良好的可扩充能力,可以根据信息网络临时需要对系统进行必要的调整、扩充,包括存储容量和网络规模等方面的扩充。在网络全面升级换代的情况下,能够最大限度利用现有投资
(4)具备优良的性能价格比:
根据现在的需求和可以预见的需求增长情况设计网络,不追求空洞的技术先进性,避免追求高档和最新技术花费的巨大代价。
3、2 网络设备选型
CISCO 是网络业界第一品牌和最大的研发厂家,是项目可持续应用的投资保护和规避厂家风险的首选。因此采用的是业界标准的强健稳定的CISCO 设备,更具有广泛的协议支持,思科IOS 取得广泛成功的关键在于,它的标准化设计中整合了创新网络技术、关键业务IP 服务和首屈一指的平台支持能力。接入交换机可采用相对低一档的产品。
基于以上原则,我们为xxxx 公司网络建设选用CISCO 公司的系列产品,以确保网络实用与性价比。设备选型如下:
(1) 核心交换机
核心层的功能主要是实现骨干网络之间的优化传输,负责整个网络的内部数据交换、网络的功能控制。核心层设计任务的重点是可靠性和高速传输,需要提供高速度、低时延的数据链路。通过提供冗余链路,实现高可靠、高可用的骨干,是局域网互连的关键。其主要任务是提供高性能、高安全性的核心数据交换、QoS 。为整个公司宽带办公网提供交换和路由的核心,完成各个部分数据流的中央汇集和分流;为各个汇聚层和接入层交换机提供上联;同时提供了各个服务器的可靠接入,为数据中心的服务器提供千兆高速连接。核心层设备需要高性能的三层交换机;并且非常可靠,实现不间断工作。
基于核心交换机的功能及作用,根据用户的实际需求,本方案对公司网络系统中的核心层采用的是CISCO 的企业级核心交换机WS-C3750G-24TS-S1U ,它的性能、指标等完全可以满足上述的各项要求。
企业级核心路由交换机WS-C3560-48TS-S1 U的性能特性及技术指标如下表2:
表2 核心交换机参数表
(2) 汇聚层交换机
汇聚层主要功能是连接接入层节点和核心层中心;负责为接入层提供数据的传输、汇聚、分发处理,以实现通信量的收敛,提高网络中聚合点的效率,同时减少核心层设备路由路径的数量,其作用主要是隔离拓扑结构的变化,控制路由表的大小,收敛网络流量。汇聚层交换机还负责本区域的数据交换。
因此汇聚层的交换机部署时必须考虑交换机必须具有足够的可靠性和冗余度;还必须具有高处理能力,以便完成网络数据会聚、转发处理;具有灵活、优化的网络路由处理能力,实现网络汇聚的优化汇聚层交换机需要较高的性能和较丰富功能;提高水平的可用性,可扩展性,服务质量,安全性和可以改进网络运营的管理能力。
根据汇聚层在整个网络中的作用以及用户的实际需求,本方案中汇聚层共设计了2个节点:行政楼、办公大楼;汇聚层网络设备全部采用WS-C2960S-48TS-L ;汇聚路由交换机
CISCO WS-C2960S-48TS-L 的性能特性及技术指标如下表3:
表3 汇聚层交换机参数表
(3) 接入层交换机
接入层交换机作为二层交换网络设备,提供功能工作站等设备的网络接入,用来支撑客户端机器对服务器的访问。接入层在整个网络中接入交换机的数据最多,具有即插即用、可堆叠特性的设
备。对于公司接入层交换机要求,一是价格要合理;二是可管理性号,易于使用维护;三是稳定性要好;也需要提供了快速以太网和千兆位以太网连接,同样要为用户提供千兆的光纤骨干和高密度度的接入端口。
根据接入层处在网络系统中所起的作用以及用户的实际需求,本方案中接入层采用的是华为S5700-24TP-SI(AC);其性能特性及技术指标情况如下表4:
表4 接入层交换机参数表
(4)
边界路由器
边界路由器作为连接内部局域网和外部Internet 的关键路由,保证内和外网的隔离,内网用户通过连接各个交换机,汇总到边界路由器后,通过 IP 地址转换功能,将内网的私有地址转换成公网地址访问Internet ,以使企业网络内外网互相独立,达到完全的物理隔离的目的。边界路由器它需要具有高传输速率和支持较多的网络协议。
根据边界路由器功能和公司需求,边界路由器采用CISCO 2911/K9,其性能特性及技术指标情况如下表5:
表5 边界路由器参数表
(5) 防火墙
防火墙位于外部网与核心交换机之间硬件设备,监视了内部网络和外网之间的活动,保证了内部网络地安全,起到对进出信息分析过滤的作用,增强机构内部网络的安全性。因此在内部网与外部网之间,设置防火墙以实现公司内外网的隔离与访问控制。是在网络连接之间建立一个安全控制点,通过控制经过防火墙的数据流,实现对进出内部网络的服务和访问的审计和控制。因此要根据吞吐量和过滤带宽等多方面考虑。
根据防火墙功能以及公司需求,选择采用CISCO ASA5510-K8 防火墙,其性能特性及技术指标情况如下表6:
表6 防火墙参数表
第四章 综合布线系统设计
4、1 布线系统总体设计
公司有3栋建筑,从总部机房采用四芯多模光纤与其他两栋建筑的设备间相连,从设备间连到工作站采用四芯多模光纤相连,距离在90米以内采用五类非屏蔽双绞线相连接,超过90米用光纤连接。公司选用一条20M 光纤宽带接入链路,使公司实现与外界的信息交换和网络通信。公司统一由总部机房的一个出口访问Internet 。在服务器和核心交换机间使用UTP 电缆来将服务器连接到核心交换机。
4、2详细子系统布线设计
(1)建筑群子系统设计:
建筑群子系统是将一栋建筑物内的电缆延伸到建筑群中的另外一些建筑物内的通信设备和装置
上,采用光缆布线是目前主要的建筑间布线方式,建筑间的主干光缆采用四芯多模光纤。
(2)设备间子系统设计:
由设备间中的电缆、连接器和相关支撑硬件组成,把公共系统(通讯系统,计算机系统和建筑自动化系统等)设备的各种不同设备互连起来。使用12芯单模室内多模光纤将其连接。
(3)干线子系统设计:
由连接主设备间与各个治理子系统的室内干线电缆构成。数据主要从网络配线间向各个子配线间敷设,距离超过100M 用12芯单模室内多模光纤,距离90M 内用超五类屏蔽双绞线。
(4)管理子系统设计:
由配线间构成;由各种规格的配线架实现水平、垂直主干线缆的端接及分配;由各种规格的跳线实现布线系统与各种网络、通讯设备的连接,并提供灵活方便的线路管理能力。对于信息点不是很多,使用功能近似的楼层,为便于治理,仅设置一个共用的子配线间;对于信息点较多的楼层则在该层设立配线间。
(5)水平子系统:
主要是实现信息插座和管理子系统,即是与配线架的连接。水平子系统为星形拓扑。在水平子系统中采用超五类非屏蔽双绞线。水平双绞线的最大长度均不超过90m 。
(6)工作区子系统:
由各个单元区域构成,是计算机、电话和信息插座的连接部分,包括连接跳线和信息插座。信息插座的模块采用类RJ-45模块;线缆采用超五类双绞线;水晶头采用RJ-45标准水晶头。
第五章 网络安全设计
因特网存在连接。为了保障网络系统的运行安全,保护集团的信息安全,必须进行网络安全方面的规划和实施。一个网络的安全,首先要有严格和有效执行的管理制度,公司需要制定严格的网络安全管理策略,并有效的执行;必须具有一定的技术手段来保障网络的安全。技术和管理手段相结合实施,才能够产生良好的效果。通过以下几个技术方面的实施,可以在一定程度上保障网络的安全:
(1) 配置设备的口令
配置设备的口令,以防止非授权的人员更改网络系统的配置,要为所有的网络设备设置口令,要为每一台设备配置CONSOLE 口令, VTY 口令,特权口令等。在口令方面,需要制定管理制度
并严格执行。口令管理制度包括口令的设置,保管,更改,口令的强度等内容。
(2)配置VTP 域的认证
进行VTP 域的认证,能够保证局域网的VLAN 等的安全。设置了VTP 域认证,防止新增加的设备自动加入到已存在的管理域中,保证了局域网的运行安全,可以避免因为VLAN 被错误或者恶意的增加、删除造成的运行故障。
(3)内外网隔离
防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,有效地监视了内部网络和外网之间的活动,保证了内部网络地安全;在物理实现上,防火墙是位于外部网与核心交换机之间硬件设备,起到对进出信息分析过滤的作用,增强机构内部网络的安全性。因此在内部网与外部网之间,设置防火墙以实现公司内外网的隔离与访问控制。
服务器系统安全的实现,与网络系统的安全策略紧密相关。公司局域网系统分为内网和外网,采用防火墙隔离,内网、外网不能直接互相访问。内网、外网之间设置非军事区,所有内网、外网之间的访问全部通过防火墙实现。基本发上原则,公司的网络应用系统服务器安全。Web 、ftp 等服务器设置在非军事区,以实现内网和外网的访问。
(4)网络病毒防范
网络防病毒系统要求做到在整个内部网杜绝病毒的感染、传播和发作;要求提供多种防病毒软件的安装方式;网络管理员可远程监控客户机,发现病毒可以及时得到通知;网络管理员可以对网络中每台计算机进行防病毒控制和管理;所有客户端和服务器具有统一的杀毒版本。该用户选择了瑞星公司的杀毒软件网络版,以此为基础作为网络防病毒解决方案,采用分级管理、多重防护的管理架构。
第六章 主要设备配置
6、1边界路由NAT 配置
根据公司规模的需求,申请了202.103.160.0-7/29的公网地址,其中202.103.160.1/29作为web 服务器的映射地址;202.103.160.2-4/29作为内网NAT 转换的公网地址;202.103.160.5-6/29作为边界路由器连接ISP 的管理地址。NAT 配置如下:
# ip route 0.0.0.0 0.0.0.0 202.103.160.6 //配置到外网的缺省路由
# access-list 1 permit 192.168.0.0 0.0.0.255 //配置允许转换的内部地址
# ip nat pool nat01 202.103.160.2 202.103.160.4 netmask 255.255.255.248 //配置NAT 地址池
# ip nat inside source list 1 pool nat01 overload //配置动态NAT 映射,将NAT 地址池和ACL 绑定 # ip nat inside source static 172.16.30.2 202.103.160.1 //配置公司WEB 服务器静态转换对外网访问 # interface Serial0/0/0
# ip address 202.103.160.5 255.255.255.248
# ip nat outside //配置NA T 外部接口 # interface FastEthernet0/1
# ip address 10.10.10.2 255.255.255.0
# ip nat inside //配置NA T 内部接口
6、2核心交换机配置
(1)在核心交换机配置VLAN ,并且给VLAN 配IP ,如下例: # interfece vlan 10
# ip address 192.168.10.254 255.255.255.0
(2)在核心交换机配置DHCP ,如下例:
# ip dhcp pool vlan10 //设置vlan10地址池
# network 192.168.10.0 255.255.255.0 //配置可分配的子网 # default-router 192.168.10.254 //设置默认网关
# ip dhcp excluded-address 192.168.10.254 //设置保留不分配地址
(3)在核心交换机上配置ACL ,控制部门访问权限;如下例: 要求:财务部除了行政部门,不能给其他部门访问 # access-list 1 deny 192.168.30.0 0.0.0.255 //拒绝研发部 # access-list 1 deny 192.168.40.0 0.0.0.255 //拒绝人事部 # access-list 1 deny 192.168.50.0 0.0.0.255 //拒绝营销部 # access-list 1 deny 192.168.60.0 0.0.0.255 //拒绝生产部 # access-list 1 permit any //允许所有 # int vlan 20
# ip access-group 1 in //应用ACL
(4)在核心交换机上配置VTP 服务器端,其他交换机设置为客户端: # vtp mode server //在核心交换机配置作为VTP 服务器端 # vtp clinet //在汇聚交换机配置作为VTP 客户端 # vtp domain vtpgxcoco // 在所有交换机设置vtp 域名
第七章 材料清单和预算
(1)根据本次公司布线规划设计,综合布线材料清单如下表7:
表7 主要布线材料清单和预算表
(2)根据本次公司网络规划设计中设备的选择,公司的网络设备清单如下表8:
表 8 主要网络设备清单与预算表
总结
本文根据一个行业的特定要求做的一个企业网络解决方案。其中应用了现今企业网络中较为常用的主流技术。网络整体采用的是Cisco 三层架构,这个结构的优点是稳定性好、设备负载均衡、易扩展,并且网络故障排查也比较容易。在本方案中我们用vlan 、NAT 和ACL 技术作为内部网络的安全策略,主要是防止公司内部的非授权访问。而在内部网络与Internet 之间我们则采用硬件防火墙将两部分网络隔离开。组建一个高速、宽带、稳定、可靠,且能融合安全与保密等全新需求的内外网络系统,是当前企业网络发展的趋势。在网络安全方面,所以在本方案中我们用vlan 技术和ACL 技术作为内部网络的安全策略,主要是防止公司内部的非授权访问。而在内部网络与Internet 之间我们则采用硬件防火墙将两部分网络隔离开,设置策略只允许合法的数据进出,各种网络安全技术相结合,使得网络更安全可靠。
通过这次毕业设计,使我更加扎实的掌握了网络方面的知识,学到了很多书本上没有的知识,给我很多专业知识以及专业技能上的提升,让我不断发现错误,不断改正,不断领悟,不断获取。同时也暴露出了我在这方面的知识欠缺和经验不足。
在设计过程中虽然遇到了很多问题,但是经过自己反复思考检查、查阅大量有关资料、与同学交流、请教老师等方式,让自己终于找出了原因所在,所有问题都迎刃而解,让这次课程设计终于顺利完成了。同时,这次设计让我感触很深,使我对抽象的理论有了具体的认识,让我懂得了怎样去设计一个企业的网络系统。
致谢
大学生活在这个时候即将划上一个句号。但是对于我的人生道路来说,这仅仅是一个逗号,我将面对的是又一次征程的开始。随着论文的完成,代表着三年的大学生活也即将结束。三年同窗的友情很难忘,你们与我共同走过了人生中不平凡的道路,给我留下了值得珍藏的美好记忆。
在此,我要特别感谢指导教师。本论文是在他的悉心指导下完成的,老师认真负责的工作态度,严谨的治学精神和精深的理论水平都使我受益匪浅。他无论在理论上还是在实践中,都给予我很大的帮助,使我专业技能得到很大提高,这对于我以后的工作和学习都有益处。论文完成之际,特别向指导x 老师表示衷心的感谢和崇高的敬意,谢谢他悉心地辅导,使得我得以顺利的完成毕业设计的工作,同时也要感谢其他帮助过我的老师和同学,他们在我成长过程中给予了我很大的帮助。
最后,我衷心感谢信息学院所有支持帮助过我的老师,谢谢你们多年来的关心和爱护,也祝愿老师们在今后的科研工作中身体健康,工作顺利!
参考文献
[1]侯中俊. 局域网组网技术[M].北京:人民邮电出版社,2005
[2]于富强,李青茹. 网络工程实践指南[M].北京:北京大学出版社,2010 [3]迟恩宇,刘天飞. 网络安全与防护[M] .北京:电子工业出版社,2009 [4]周有丹,梁锦锐,易著梁. 企业网络组建与应用[M].北京:科学出版社,2010 [5]王公儒. 综合布线工程实用技术[M].北京:中国铁道出版社,2011 [6]吴献文. 计算机网络安全应用教程[M].北京:人民邮电出版社,2011 [7]梁广民,王隆杰. 网络设备互联技术[M] .北京:清华大学出版社,2006 [8]颜谦和. 交换机与路由器技术[M] .北京:清华大学出版社 2011.01
[9]容贤家,徐建豪,曹侃,蒋年华. 计算机组装与维护[M] .北京:科学出版社,2009 [10]梁广民,王隆杰. 思科网络实验室CCNA 实验指南[M].北京:电子工业出版社,2009