单位组网实施方案设计 毕 业 设 计.docx
《单位组网实施方案设计 毕 业 设 计.docx》由会员分享,可在线阅读,更多相关《单位组网实施方案设计 毕 业 设 计.docx(22页珍藏版)》请在冰豆网上搜索。
单位组网实施方案设计毕业设计
毕业设计(论文)
题目:
单位组网实施方案设计
英文题目:
UnitNetworkImplementation
PlanDesign
东华理工大学国际教育学院
二零一零年五月
摘要
随着科学技术的发展,网络在当今社会起的作用已越来越大,大到全球的连通,小到单位局域网的连通。
企业内部网的互通已相当的普遍,通常他们的分公司遍布在世界各处,为了实现高速的传输、文件的共享、简便的管理及合理的价格,选择合理的组网方案已是迫切的需求。
本企业采用层次模型:
核心层、汇聚层、接入层,为网络设计提供了灵活性,且为实施和排错工作提供方便。
本企业的分公司较多,且分布的不同的区域,考虑到费用和安全的问题,我采用VPN技术,术语“网络”是指使用公共网络来实现广域网解决方案,“虚拟”是指将公共网络隐藏在英特网组件下,“专业”是指定流量应该保持私有。
这是用加密来维持数据机密性而实现的。
此方案用到的技术有VLAN、EtherChannel、DHCP、VPN(虚拟局专用网)、PAT(端口地址转换)等。
关键字:
局域网、VLAN、VPN、PAT
Abstract
Withthedevelopmentofscienceandtechnology,Intoday'ssociety,thenetworkhasbeenincreasinglylarge,Itisgreattotheworld,smalltotheunitLAN.Theenterpriseinternalcommunicationhasquitecommon,Oftentheirofficesthroughouttheworld,Inordertorealizethehigh-speedtransmission,filesharing,simplemanagement,reasonableprice,selectthereasonableschemehasbeenpressingneeds.
ThisenterpriseUSEShierarchicalmodel:
Thecore,convergencelayer,theaccesslayer,Asnetworkdesignprovidesflexibility,andfortheimplementationandtroubleshootworkprovideconvenience.
Theenterprisehasalotofbranch,Andtheirdistributionindifferentareas,Consideringthecostandsafetyproblems,IusetheVPNtechnology,Theterm"network"referstotheuseofthepublicnetworktorealizetheWANsolutions,"Virtual"referstothepublicnetworkhiddenintheInternetcomponents,"Professionalism"isdesignatedflowshouldbeprivate.Thisisusedtomaintaindataencryptionofconfidentialitytorealize.
ThisschemehasthetechnologyusedVLAN,EtherChannel、DHCP、VPN(virtualprivatenetwork),PAT(portaddresstranslation)andsoon.
Keywords:
LAN;WAN;VLAN;VPN;PAT
绪论
伴随着2010的到来,因特网得到了飞速的发展,人们的生活水平也变得丰富多彩。
在家即可购物、通过GPRS即可定位到个人所在的位置、家庭办公、远程教育等,它给人们的生活条件带来更大的方便,同时人们与外部世界的联系也更加紧密和快速。
一个企业想要生存,少不好的制度与策略,同时也少不了一个好的网络,好的网络可以使企业高效、快速、安全的运行。
因此组建单位网络这门艺术造就了一个个出色的网络工程师。
以下是我设计单位组网时的思路。
单个企业的组网,主要是局域网的设计,由于本企业有多个不同区域的,因此要考虑到广域网的设计。
局域网需考虑到的问题是:
1、互通,因此需要合理的划分IP;
2、高速,企业内的终端设备较多,当它们同时工作时,必然照成很大的流量,因此我们要在软件和硬件上都采取措施,如划分VLAN、买一台好的交换机;
3、安全,企业内部有时会遇到断网、保密资料外泄、网速慢等,可能是MAC地址攻击、对接入用户没有设置权限、对资料的安全等级设的不高等。
因此我们可以对交换机端口做端口保护、采用802.1x认证对接入用户进行身份认证;
4、便于管理,对于一个大的企业,便于管理非常重要的,采用层次结构可以达到此目的且具有可扩展性。
广域网主要考虑到费用与安全问题,采用VPN既经济实惠又可以实现不同区域直接私网的连通。
1、网络简述
1.1网络的发展
在计算机时代早期,计算机世界被称为分时系统的大系统所统治。
分时系统允许你通过只含显示器和键盘的哑终端来使用主机。
在七十年代,大的分时系统被更小的微机系统所取代。
微机系统在小规模上采用了分时系统。
所以说,并不是直到七十年代PC发明后,才想出了今天的网络。
1969年12月,分组交换网诞生了。
分组交换技术使计算机网络的概念、结构和网络设计方面都发生了根本性的变化,它为后来的计算机网络打下了基础。
八十年代初,各种基于PC互联的微机局域网纷纷出台。
这个时期微机局域网系统的典型结构是在共享介质通信网平台上的共享文件服务器结构,即为所有联网PC设置一台专用的可共享的网络文件服务器。
PC是一台“麻雀虽小,五脏俱全”的小计算机,每个PC机用户的主要任务仍在自己的PC机上运行,仅在需要访问共享磁盘文件时才通过网络访问文件服务器,体现了计算机网络中各计算机之间的协同工作。
PC机面向用户,微机服务器专用于提供共享文件资源。
所以它实际上就是一种客户机/服务器模式。
进入九十年代,全世界许多国家纷纷制定和建立本国的NII,从而极大地推动了计算机网络技术的发展,使计算机网络进入了一个崭新的阶段。
目前,全球以美国为核心的高速计算机互联网络即Internet已经形成,Internet已经成为人类最重要的、最大的知识宝库。
1.2网络技术及其在经济发展中的应用、作用
发展到今天,网络技术已非常多,如数据链路技术、VLAN、VPN、QOS、IPV6、帧中继、802.1x、PPPoe、BGP、AdHoc等。
下面详讲部分技术:
•数据链路技术
常见的有以太网、快速以太网、LRE(长距离以太网)、吉比特以太网和10吉比特以太网。
10Mbit/s出现的DSL或CableModen的接口通常用在家庭办公室的带宽网络;快速以太网提供基本的PC和工作站的网络接入,起速率为100Mbit/s;对于建筑物接入子模块、建筑物分布子模块、园区主干子模块和数据中心模块进行互连和设计的时候,吉比特以太网是最有效的选择;10吉比特以太网能够为服务提供商和企业网络提供很多潜在的应用。
•VLAN技术
VLAN(VirtualLocalAreaNetwork)也就是虚拟局域网,是一种建立在交换技术基础之上的,通过将局域网内的机器设备逻辑地而不是物理地划分成一个个不同的网段,以软件方式实现逻辑工作组的划分与管理的技术。
VLAN的作用是使得同一VLAN中的成员间能够互相通信,而不同VLAN之间则是相互隔离的,不同的VLAN间的如果要通信就要通过必要的路由设备。
控制网络广播、增强了网络的安全性、简化网络管理员的管理工作。
•AdHoc网络
AdHoc网络是一种特殊的无线移动通信网络,在网络中所有节点地位平等,无需设置任何中心控制节点,具有很强的抗毁性。
网络中的节点不仅具有普通终端所需的功能,而且具有报文转发能力。
当通信的源节点和目的节点不在直接通信范围之内时,它们可以通过中间节点转发报文通信,这是AdHoc网络与其他移动通信网络的最根本区别。
AdHoc网络特别适合使用于军事以及某些紧急场合或偏远野外环境,在伊拉克战争中AdHoc网络为美军赢得胜利发挥了重要的作用。
•IPSecVPN
指采用IPSec协议来实现远程接入的一种VPN技术,IPSec是IETF(InternetEngineerTaskForce)正在完善的安全标准,IPSec协议是一个范围广泛、开放的虚拟专用网安全协议,它提供所有在网络层上的数据保护,提供透明的安全通信。
IPSec是基于网络层的,不能穿越通常的NAT、防火墙。
2、设计方案的原则
1)经济性和实用性
系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则建设企业的网络系统。
2)先进性和成熟性
系统设计既要采用先进的技术和方法,又要注意结构、设备的相对成熟。
不但能反映当今的技术水平,而且具有发展潜力。
3)可靠性和稳定性
从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。
4)安全性和保密性
在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施。
5)可扩展性和保密性
为了适应系统变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护,采用可网管产品,降低人力资源的费用,提高网络的易用性。
3、需求分析
3.1、宽带需求
此单位要构建5个分布于不同地点的局域网络,依据规模的不同,南昌总部分100M带宽,上饶和鹰潭分别为20M带宽。
每个区域通过路由器与广域网连接。
3.2、业务需求。
此企业业务需求较多不用的需求需要不同的设备,如表3-1。
业务
设备
文件共享
PC
打印
打印机
语音
PBX交换机
视频
交换机
数据存储
服务器
数据过滤
防火墙
无线
无线路由器、AP
表3-1业务需求表
4、需解决的问题及解决方案
1)企业规模较大,部门多,不做限制的话,广播流量会非常大;
解决方案:
为每个部门划分VLAN
2)公司分布在不同的区域,要实现内部之间的通信和文件共享;
解决方案:
在每2个地区间配置GRE隧道
3)员工要方便快速的联网,不需要知道IP;
解决放啊:
用DHCP技术,员工可配置自动获取
4)企业用的是私有IP,只用公网才可以访问外网;
解决方案:
NAT技术,将私有IP转换为公有IP
5)核心层需要高速的交换数据;
解决方案:
EtherChannel技术,将多条链路汇聚在一起,提高链路带宽
6)交换机设备较多,相互之间互连可能照成环路
解决方案:
STP技术,使拓扑不会存在环路
7)公司不希望外界的任何数据包都可以进入内部的网络
解决方案:
标准ACL、扩展ACL,可进行有选择的过滤数据
5、拓扑图
以下市此企业的拓扑,如图5-1。
图5-1企业网络拓扑图
此拓扑图有5个不同的地点,共分为三个地区:
南昌(总部)、鹰潭、上饶,它们通过英特网服务商(ISP)连接起来。
南昌地区有3个不同的网络,地点甲为计算机中心,共60台主机,地点已与丙分别是20台主机,此区域采用分层的层次结构,core1与core2为核心层,dis1~dis4为汇聚层,二层交换机为接入层。
南昌和鹰潭地区分别有20台主机,它们用一个三层交换机实现不同网段的连通,通过路由器实现与外网的连接。
6、IP地址及VLAN的划分
6.1各部门IP的规划
考虑到安全问题,企业内部采用私有IP,根据实际情况得知,该公司共有140台主机,采用私有IP绰绰有余,因此,为了简单与方便维护,我们采用24位的子网掩码,不同部门间采用有规律的递增的IP,如表6-1。
表6-1各部门IP及VLAN的划分
企业部门
VLAN简(中文缩写)
VLAN
IP地址
子网掩码
主机数
财务部
CW
10
10.10.10.y
255.255.255.0
5
人力资源部
RL
20
10.10.20.y
255.255.255.0
5
服务器群
FWQ
30
10.10.30.y
255.255.255.0
15
生产部
SC
40
10.10.40.y
255.255.255.0
30
技术部
JS
50
10.10.50.y
255.255.255.0
15
销售部
XS
60
10.10.60.y
255.255.255.0
40
后勤部
HQ
70
10.10.70.y
255.255.255.0
5
质量部
ZL
80
10.10.80.y
255.255.255.0
5
6.2PAT地址池IP的规划
分配如表6-2。
表6-2公网地址池的分配
区域
地址池
IP个数
地址池
子网掩码
南昌
50
202.204.60.1—202.204.60.62
255.255.255.192
鹰潭
10
202.204.60.65—202.204.60.78
255.255.255.240
上饶
10
202.204.60.81—202.204.60.94
255.255.255.240
7、设备选型
7.1交换机选型
1)核心层设备选型
核心层实现高速交换,性能要求比较高。
Catalyst6500交换机有如下特性:
最多可达6510个吉比特以太网端口;根据SupervisorEngine和线路卡型号的不同,第2层和第4层的数据和帧的交换速率可达每秒数亿数据包;分布式CEF体系结构等,能够提供高性能、高可扩展性、高可用性,同时还支持模块化CiscoIOS,进而获得史无前例的可用性并有运行时的修补能力。
2)汇聚层设备选型
汇聚层采用3层交换机,第三层交换是基于硬件的路由选择。
通过提供路由选择域,第3层交换机克服了第2层交换机扩展性不足的缺点。
ASIC和其他专业电路负责处理第3层交换机中的数据转发。
我们采用Catalyst3560,他能够提供Catalyst6500所提供的很多特性,但它的性能稍差一些,而且成本会低些。
它的特点有冗余供电、102Mpps性能容量、全套Qos特性、高级Catalyst安全特性。
3)接入层设备选型
接入层设备采用二层交换,第2层交换是基于硬件的桥接。
在第2层交换机中,ASIC负责处理帧转发。
此外,第2层交换机将增加带宽的能力给予配线架,而无需给网络增加不必要的复杂性。
因为接入层直接接入用户的终端产品,结点相对来说较多。
因此要选择一些端口密度大,从设备的硬件配置上讲,支持总线的堆叠功能。
Catalyst2960交换机不仅能够提供智能的第2层线速交换,还可以实现某些高端特性,如Qos策略和安全过滤,Catalyst2960还可以作为独立交换机进行管理。
7.2路由器选型
CiscoSystems通过Cisco2600系列将企业级的通用性、集成和功能扩展到了创建以机构。
随着新服务和应用的面市,Cisco2600系列的模块化体系结构能够提供适应网络技术变化所需的通用性。
Cisco2600系列配置了强大的RISC处理器,能够支持当今不断发展的网络中所需的高级服务质量(QoS)、安全和网络集成特性。
通过将多个独立设备的功能集成到一个单元之中,Cisco2600系列降低了管理远程网络的复杂性。
Cisco2600系列,为Internet、内部网访问、多服务语音/数据集成、模拟和数字拨号访问服务、VPN访问、ATM访问集中、VLAN以及路由带宽管理等应用提供经济有效的解决方案。
8、网络的整体方案设计
8.1交换模块设计
此为分层网设计,cisco的企业园区分三层:
核心、分布和访问。
核心层是网络的骨干。
它在不同的分布层设备之间提供高速链路。
因为需要高速连接,所以核心层由三层交换机组成,三层交换机使用吉比特。
汇聚层,用于连接访问层和核心层。
一般用吉比特以太网。
可用第二层和第三层交换机。
功能:
隔离广播(通过第三层)、使用访问控制列表保护子网之间流量的安全。
接入层,功能是为用户提供到网络的连接。
、对交换机的基本配置
1)交换机的名称,便于区分不同的设备,便于区分与操作。
switch(config)#hostnameac1
2)使能口令:
经过MD5加密后的口令,在用户从普通模式而要进入特权拥护模式时提供的口令。
当用户查看配置文件时,看到的是加密的密码。
Ac1(config)#enablesecretcisco
3)设置登入虚拟终端时的口令,方便了管理员的管理,但也要加强安全管理。
Ac1(config)#linevty015
Ac1(config-line)#passwordpasswordac1
Ac1(config-line)#exit
4)配置终端线超时时间:
当管理员离开机器很长时间时,非法用户可能对次交换机进行超作,造成安全问题,所以,可设置在一定的时间内,如果没有检查到键盘输入,IOS将断开用户和交换机之间的连接
ac1(config)#linevty015
(也可设置linevty00永不超时,在模拟软件中使用方便)
ac1(config-line)#exec-timeout630
ac1(config-line)#linecon0
ac1(config-line)#loggingsynchronous
(用户输入的交换机配置命令将不会被交换机产生的消息打乱 )
5)当我们输入一条错误的交换机命令时,交换机则不会将其广播给网络上的DNS,并解析为IP地址
ac1(config)#noipdomain-lo
ac1(config)#servicepassword-encryption(对没有加密的密码加密)
6)把交换机设为server模式,用于创建、删除、修改VLAN,生成和传播VTP消息。
部分交换机设为client模式,可传播和接受VTP的修改信息,因此可减少管理员的配置。
7)VLAN可以使相同的部门处在同一个网络,且将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的影响,方便简洁的管理,如对dis3的配置,如图8-1。
图8-1三层交换机
创建VLAN:
dis3#vlandatabase
Dis3(vlan)#vlan10name
VTP设置:
Dis3(config)#vtpdomainCW
Dis3(config)#vtpmodeserver
接口加入VLANDis3(config)#intfa0/1
Dis3(config-if)#switchportmodeaccess
Dis3(config-if)#switchportaccessvlan10
登入提示:
Dis1(config)#bannermote$
Thisisaprivatesystemandonlyauthorizedindividualsareallowed!
$
h、为每个VLAN定义自己的默认网关地址
Dis1(config)#intvlan10
Dis1(config-if)#ipaddress
、交换机的高级配置
1)核心层采用EtherChannel技术,将多个端口进行绑定,增加可用带宽,以下是core1的配置,如图8-2。
图8-2交换机core1
Core1(config)#intrangef1/1–3
Core1(config)#channel-group1modeactive
Core1(config)#Exit
Core1(config)#intport1
Core1(config)#noswitchport
Core1(config)#noshut
2)热备份路由选择协议
HSRP是一中非常流行的默认网关冗余协议,是cisco私有协议,它通过在冗余网关之间共享协议和MAC地址,提供了不间断的IP路径冗余。
该协议在两台路由器之间共享的虚拟MAC地址和虚拟IP地址,支持多台路由器用作备用默认网关。
3)设置快速端口
默认情况下,交换机在刚加电时,每个端口都要经历生成树的四个阶段:
阻塞、侦听、学习、转发。
在能够转发用户的数据包之前,某个端口最多要等50秒的时间(20+15+15),对于直接接入端口的工作站来说,只要转发即可。
Dis1(config)#intfa0/0
Dis1(config-if)#spanning-treeportfast
4)STP:
由于使用的交换机数量比较多,交换网络的复杂性可能会造成交换环路问题,这些环路可带来的问题是:
多个帧副本;广播风暴(广播不停的在多个网段间不停的泛洪);误解MAC地址(端口不稳定)。
所以可以采用STP将第二层环路从拓扑中移除,一般采用802.1d协议。
交换机共享BPDU,使用BPDU学习网络拓扑,BPDU每2秒发送一次,可加速收敛。
通过BPDU,交换机之间会选举一个根交换机,在选举根端口(除根交换机外,其他交换机都要选举一个端口作为根端口)和指定端口(每个网段一个)。
这样可以使一些端口处于阻塞状态,最终得出的逻辑拓扑是一棵生成树,从而避免环路。
5)将某台交换机配置为特定VLAN的根网桥,提高安全性,因为具有最低网桥ID的交换机将成为这个VLAN的根网桥,假如此时接交换机进去,别的交换机中的VLAN及别的设置很可能会被此交换机修改,安全隐患非常高。
Dis3(config)#spanning-treevlan10rootprimary
Dis3(config)#spanning-treevlan20rootprimary
Dis3(config)#spanning-treevlan40rootprimary
Dis3(config)#spanning-treevlan50rootsecondary
Dis3(config)#spanning-treevlan60rootsecondary
Dis3(config)#spanning-treevlan70rootsecondary
Dis3(config)#spanning-treevlan80rootsecondary
6)激活VTP剪裁功能
默认情况下主干道传输所有的VLAN的用户数据。
但当交换网络中某台交换机的所有端口属于同一VLAN的成员时,没有必要接收其他VLAN的用户数据。
在一个VTP域下,只需要在VTP服务器上激活VTP剪裁功能。
同一VTP域下的所有其他交换机也将自动激活VTP剪裁功能
Ac1(config)#vtppruning
、交换机的安全设置
经统计大部分的安全问
升级会员 