中小型网络设计与实现.docx
《中小型网络设计与实现.docx》由会员分享,可在线阅读,更多相关《中小型网络设计与实现.docx(62页珍藏版)》请在冰豆网上搜索。
中小型网络设计与实现
本科毕业论文(设计)
中小型企业网络设计与仿真
TheDesignandSimulationofANetworkofSmallandMedium-sizedEnterprises
作者
曹恩
专业
计算机科学与技术
指导教师
马思根副教授
学院
信息学院
二〇一五年五月
诚信声明
本人郑重声明:
本人所呈交的毕业论文,是在导师
指导下独立研究取得的成果。
毕业论文中凡引用他人已经发表的成果、数据、观点等,均已明确注明出处。
除文中已注明引用的内容外,不包含任何其他个人或集体已发表的论文。
若有抄袭,愿承担一切后果。
特此声明
作者签名:
签字日期:
贵州财经大学本科毕业论文授权使用声明
作为本科生毕业的条件之一,毕业论文著作权拥有者授权贵州财经大学拥有毕业论文的部分使用权,即:
学校有权按有关规定向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅,可以将毕业论文编入有关数据库进行检索,可以釆用影印、缩印或扫描等复制手段保存、汇编毕业论文。
本人提交的电子文档的内容和纸质论文的内容相一致。
保密的毕业论文在解密后也遵守此规定。
`□公开□保密(年
作者签名:
签字日期:
指导教师签名:
签字日期:
摘要
本文主要是结合中小型企业网络需求,结合当前企业中最常用的网络结构体系,采用层次结构的三层结构,并从理论上与实企业实际需求进行系统性的分析与研究,了解当前搭建企业网络所常用的关键技术、并对企业的信息安全技术方面的分析和研究。
并通过企业网络需求、网络架构、网络拓扑、技术实现和模拟仿真来完成该论文的设计。
主要表现以下的两个方面:
1、搭建一个企业网络高可用性、稳定性的企业网络体系,利用HSRP协议来对核心路由和核心交换机实现冗余备份,STP/PVST+实现对核心的交换机VLAN的负载均衡,以提供对核心交换机的流量分担,IP地址和VLAN的规划与设计在,理论上对互联网的体系结构和工作原理的认识。
2、是在对于企业来说,信息安全是网络的重要部分,VPN远程访问控制以及访问控制列表、防火墙等应用在安全技术的应用也在本文中得到具体的体现。
关键字:
HSRP冗余备份,PVST负载均衡,信息安全,IP地址规划。
Abstract
Thispaperiscombinedwithsmallandmedium-sizedenterprisenetworkrequirements,combinedwiththemostcommonlyusedincurrententerprisenetworksystemstructure,adoptthreelayersstructureofhierarchy,andtheoreticallyandpracticalenterpriseactualdemandsystematicanalysisandresearch,thekeytounderstandthecurrentcommonlyusedbybuildingenterprisenetworktechnology,andtheanalysisoftheenterpriseinformationsecuritytechnologyandresearch.Anddemandinenterprisenetwork,networkarchitecture,networktopology,thetechnicalimplementationandsimulationtocompletethedesignofthepaper。
Mainlythefollowingtwoaspects:
Firstly,Buildinganetworkhighavailabilityandstabilityoftheenterprisenetworksystem,UseHSRPprotocoltoimplementredundancybackuproutingandcoreswitches,STP/PVST+implementationofthecoreswitchesVLANloadbalancing,toprovidetrafficshareofcoreswitches,IPaddressandVLANinplanninganddesign,theoreticalunderstandingofthesystemstructureandworkingprincipleoftheInternet.
Secondly,TOtheenterprise,informationsecurityisanimportantpartofthenetwork,VPNremoteaccesscontrol,andaccesscontrollists,firewallandotherapplicationsintheapplicationofsafetytechnologyinthisarticlealsogetspecificembodiment.
KeyWords:
HSRPredundancybackup,PVSTloadbalancing,informationsecurity,IPaddressplanning.
摘要I
目录III
1引言1
1.1选题背景1
1.2目的和意义1
1.3可行性分析2
1.4基本思路2
1.5仿真实验平台3
2网络设计需求分析3
2.1总体需求分析3
2.2具体需求分析4
2.2.1基础架构的需求4
2.2.2网络出口和接入4
2.2.3硬件安全的需求4
2.2.5服务器选择的需求5
3网络总体设计方案5
3.1网络结构设计5
3.1.1主干结构设计6
3.1.2接入层局域网设计6
3.1.3互联网接入设计6
3.1.5VPN设计6
3.2网络拓扑设计7
3.3IP地址与VLAN规划7
3.4模块设计与仿真9
4网络的详细设计方案10
4.1企业内部网络交换模块设计10
4.1.1基础配置10
4.1.2内网连通12
4.1.3核心冗余23
4.1.4内部路由之间的配置28
4.1.5无线访问32
4.2广域网接入模块设计35
4.3远程访问模块设计36
4.4安全模块设计40
4.4.1访问控制40
4.4.2防止欺骗攻击41
4.4.3其他的安全设施的部署43
5仿真实验的测试43
5.1测试模块43
5.2模块测试验证43
5.2.1企业连通性与访问限制43
5.2.2核心层的冗余46
5.2.3EasyVPN测试49
6总结50
参考文献52
致谢辞53
1引言
1.1选题背景
计算机网络得到了越来越广泛而深入的应用,人们对网络的依赖性越来越大,信息社会已经离不开网络,计算机网络在人们工作和生活中的地位越来越最重要,计算机网络作为信息社会的基础设施以渗透到社会的方方面面。
对于中小型企业的发展而言,企业网络基础设施也在不断的发展变化,从小型企业发展到中性企业,企业的不断扩大,业务需求量上的增加,计算机网络的复杂程度也越来越高,规模也越来越大,企业需要一个可靠的、可管理的、安全的、稳定的网络运行环境。
如果企业网络出现问题和故障,都会给企业带来一定的经济损失,为了避免这种情况,企业网络规划设计和优化尤为显得重要,另外一方面,一个好的网络规划方案,在网络管理方面,往往会提高网络的正常运行,从而保证网络能够正常、可靠、高效、安全、稳定地运行。
这样在企业发展后期中不仅减少了不必要的资金投入和设备投入。
以提供给中小型业企业现代化、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能够提供多种应用服务。
本文正是以构建一个高可靠、高速、高可用性的网络和业务管理为出发点,研究和探讨模拟出可行的解决方案。
1.2目的和意义
随着科技的进步与经济的繁荣,近年来企业信息化建设不断的深入,企业的运行与计算机的联系越来越密不可分。
企业网为企业的通信、办公自动、信息发布、经营管理等提供服务的重要基础设施,不但方便员工的办公,提高了企业的工作效率,也方便与客户的联系,加大了市场宣传面,增加了业务的需求量塑造自己的企业形象,提高了社会的影响力和企业的中和竞争能力。
现在的中小型经济发展是国民生产总值的重要组成部分,中小型企业由内部网和外联网共同组成,不但能够支持企业办公,而且为本地用户和远程用户提供应用程序和资源等多元化业务,而且能够集中控制设备和各种类型的网络流量,保证了网络的性能和安全性。
由于中小型企业网络规划构建或者成本低廉、规模小、结构简单等特点,网络的实用性、安全性、拓展性和易维护性等特点,所以对于中小型企业而言,组建一个符合企业需求的网络对现代化企业的生存发展具有极其重要的意义。
1.3可行性分析
我国早已进入了社会主义社会市场经济社会,面对现代的市场竞争,在过去传统的手工管理方式和手段已经不能适应现代化的发展的需求。
社会的进步、及科技的不断发展和更新要求企业更新落后的管理体制、管理方法和管理手段,而在发展过程中的中小企业规模也不断地逐渐扩大、为了建立现代化企业的形象。
实现企业的管理信息化。
无论大中小型企业都不断地建立适合自身企业的自动化管理信息系统,促使管理水平的提高、经济和社会效益的增加。
实现一个统一、高可靠性、安全性的自动化办公硬件平台系统,是企业现代化管理的的一个重要的标志。
它不仅能够给整个企业带来高效畅通的信息高速通道和企业公共服务环境,而且能够提供给各个部门之间先进的信息服务和生产环境,还能够提高各个部门之间的办公效率和综合管理水平、改变过去的管理思路和方式,提升管理人员和工作人员的素质,大大提高企业人员的工作效率。
从企业的经济发展趋势来看,通过网络资源的共用来对企业与企业,企业与客户的信息交流方式,加强对市场信息的掌握。
再者,办公自动化水平的不断提高,不仅提高了工作和降低企业管理成本的支出,提高企业的竞争力。
集中化的网络管理,使得企业资源分配得以最优化。
1.4基本思路
根据企业的背景、目的、意义和可行性分析,应选择当前最适合中小型企业的网络层次模型来规划企业网络架构;为了保证网络的高可用性,需要使用很多的冗余技术。
例如:
为了保证局域网络不会因为链路故障而导致的网络中断而使用了冗余链路备份;为了保证客户端机器不会因为使用单一网关而出现的单点失败使用了热备份路由协议;为了保证到互联网的高可用接入使用了冗余互联网连接。
确保了企业网络不间断运作,并采用合理的策略,确保个业务的性能发挥,增强企业数据的保密性;选择当前稳定可靠地网络设备,从分发挥企业网络的优势。
网络管理系统的高效能使得计算机网络的运行状态提供一个稳定的网络服务。
因此。
构建一个高效的、安全、可靠、稳定的网络系统是尤其重要的。
在构建网络的同时需要根据网络设计的一些基本原则。
这些原则包括如下:
1.开放性和标准化原则:
采用国际化标准和标准,采用广为流行的、实用的工业标准。
2.实用性和先进性兼顾的原则:
就是注重实用性,结合企业的实际应用需求。
以适合企业当前的的发展情况。
3.无瓶颈原则:
在设备选型上选择适合企业发展的设备,以及满足企业未来的需要。
4.可用性原则:
主要是指网络设备上的可用性,主要体现在路由器、交换机、及其他的一些网络硬件上海包括电源等备用
5.网络安全性能:
部署防火墙、防御系统、入侵检测系统,ACL规则集、病毒防护系统等。
1.5仿真实验平台
在本论文中我们将利用Cisco公司为思科网络技术学院开发的一款模拟软件,PacketTracer6本质上是一个嵌入式的计算机,它需要有强有力的操作系统支持。
IOS基础概述cisco网络设备,需要依靠ISO这个操作系统进行工作,ISO协调着Cisco设备的硬件进行网络服务和应用的传递。
通过IOS命令接口,可对Cisco网络设备进行各种各样的配置,从而实现某种的网络功能。
CIscoPacketTracer6能够实现大部分的网络设备功能,VPN远程访问的实现。
为了实现一些某些在本文中能够更加直观、真实地表现论文的实际价值,将使用仿真软件来实现网络的搭建。
网络构架、模拟、测试的软件如下:
操作系统平台:
MicrosoftWindows7
网络仿真实验软件:
PacketTracer6
2网络设计需求分析
2.1总体需求分析
某中等企业规模公司在近几年来发展迅猛,随着业务需求量的不断增大,现有的网络流量负荷已不能承受现有业务需求,因此,公司决定在以往的基础之上重构网络系统架构,以满足现有的网络应用需求和为未来发展的需求,对现有公司的网络需求可知道该公司现有的三栋建筑,一栋行政楼、一栋办公楼、一栋宿舍楼。
分别拥有财务部、人事部、生产部、市场营销部、技术部。
在该企业网络系统规划时需满足如下几点:
1.满足现代企业管理的统一、对设计网络系统时加强网络管理,以提供安全、稳定的使用环境。
2.满足现代企业中对部门之间的管理,对部门的资源进行优化分配,合理规划网络层次,实现最优的资源共享。
3.为满足现代企业的发展及科技进步的需要,提供拓展能力强、升级灵活地网络环境。
4.满足企业对互联网信息资源的共享安全,提供完善的网络解决方案;提高网络设备的冗余性,
5.满足对办公效率及成本的控制的需求,增加高效的网络应用解决方案。
2.2具体需求分析
2.2.1基础架构的需求
现在的大中型企业都基本上采用了宽带城域网的网络平台的层次结构,它主要分为:
核心交换层、边缘汇聚层、用户接入层。
采用这样的结构拥有结构清晰,各层功能实体之间的定清楚,接口开放,标准规范、便于组建和管理。
核心层设备和汇聚层设备采用冗余备份,实现企业内部的无间断运作;并组建无限局域网,采用简单、经济有效的无线AP+交换机的组建管理方案。
远程访问采用站点到站点VPN实现远程办公网的需求。
2.2.2网络出口和接入
我国现有的中小型企业大多租用电信网络服务商提供的IP地址,但随着移动和联通网络服务提供商的进入,当前也有一些园区网租用联通和移动的网络服务,增强了网络服务的竞争,这几个网络服务提供商都基本上能够提供高速的网络带宽,并能通过Internet向外公布和发布企业信息,并能够更好地实施VPN技术方案,使用NAPT(端口地址转换)来满足内网连接Internet的需求,以对节约IP地址的租用。
实现内部网络与互联网之间的访问。
另一方面,也避免了来之互联网的的网络攻击企业内部网络,增强企业内部网络的安全性。
2.2.3硬件安全的需求
网络管理能够基本上能够保证企业网络正常、可靠、安全、稳定地运行。
它不仅包括对机房安全上的要求,企业也应考虑到应急方案,例如:
配置高质量的电源,设置良好的接地系统,配置安装带有UPS装置;做好网络监控与安全的措施,加强非授权人员与网络基础设施的安全教育。
在路由与交换机的选型上选择适合当前企业发展的主流设备,并加强该设备的远程安全管理。
安装ssh服务或者利用VPN远程访问控制,配置ACL访问控制等。
更加网络的实际需安全需求,建立适合企业的安全体系,大多数的中型企业应采用如下的网络安全防护措施:
1.访问控制:
它对设备进行设置,对网络用户进行身份验证,保证网络呼呼地而合法系
2.VPN防火墙系统:
可以同时实现“虚拟”和“专用”安全特性,充分利用公共网络基础设施的高效性。
3.入侵检测系统:
它能够实时的对网络违规碱性自动识别和响应系统。
实时监控网络数据流,识别、记录入侵和破坏性代码流,寻找网络魏国和未授权的网络访问尝试。
4.防病毒系统:
主要是对服务器和客户端的进行病毒的检测,一旦检测到病毒,立刻删除感染文件或者隔离。
2.2.5服务器选择的需求
对于服务器产品的选型,应考虑到企业的经济发展情况和当前业务需求而选型,在一些关键性的服务器的选型上,Web/mail,和数据库等负荷较重的业务上选择较强的产品。
如IBM、DELL、红帽linux的服务器等,一些工作负载较少的可由普通的PC机来承担。
同时,需要考虑到企业的经济发展情况而定,现有的一些中小企业一般都是把服务器托管道IDC机房来管理。
3网络总体设计方案
3.1网络结构设计
局域网是属于小型的园区网,随着我国经济快速发展,以往的园区网不能满足企业的需求,在网络性能、安全管理、技术前瞻性方面的要求都不断地提高,企业与企业之间的合并,校园网的扩容、升级等对网络设备和系统管理提出了更高的要求。
并逐步呈现出网络结构趋于复杂化,业务趋于综合化。
信息化应用迅速开到园区的各个角落,应用平台化资源整合优化。
又要考虑到园区的可扩展性需求,让网络以管理、可运营、和安全的认证机制等,现在园区网基本上由三个部分组成,分别是交换网络,路由网络和远程登录网络,主要中心是企业内部网络的建设。
3.1.1主干结构设计
采用层次结构的三层网络架构:
接入层、汇聚层和核心层。
在大中性城市来说,更适合中小企业的实际规模;另一方面,还能提高对突发事件的自动容错能力,避免给企业带来不必要的经济损失。
对未来企业能够更灵活地升级扩容。
除了远程访问的链路之外,主干设备之间采用10Gbps或者1000Mbps的链路来连接。
路由器与路由器之间、三层交换机与三层交换机提供核心冗余方案和链路冗余方案。
以保证网络的稳定、高速和安全的运行。
3.1.2接入层局域网设计
接入层采用支持802.1.q的10/100Mbps工作组的以太网交换机,根据用户需求分析,确定信息点分布,楼层数量、建筑群数量及可靠性来配置接入交换机,采用超五类非屏蔽双绞线,通常只能支持10/100Mbps的传输速率,以供给用户的业务需求正常使用。
3.1.3互联网接入设计
向ISP提供商租用一个固定的IP,由核心路由器以接入到Internet中,提供ACL访问控制,以提高网络的数据包的过滤,增强对内网服务器的安全访问。
利用PNAT地址转换技术。
可实现内部私有网络在访问换联网上的资源时转换成ISP提供商提供的IP地址,在本文中利用一个一组路由器来模拟互联网云。
3.1.5VPN设计
通过VPN远程访问能够实现远程访问控制和远程办公,通常企业用来连接分支机构、总部或者合作单位的网络,它不同于一般的远程连接,它更考虑到安全和可靠。
企业常用的三种连接技术有:
1.传统广域网中专用的第二层技术:
包括帧中继、ATM、和租用的线路。
同很多的远程连接方案。
这些连接的安全性依赖服务提供商。
2.远程VPN:
一般的分支机构用户或者移动用户通过宽带或无线网络接入互联网,通过在个人电脑上安装VPN客户端软件,来连接远程办公室,提供灵活和可扩展的连接。
3.站点到站点的VPN,一般用于不同的站点之间,一般需要VPN路由器、VPN集中器或多功能的安全设备等硬件来实现连接,可以为远程办公提供一个安全、快速和可靠地远程连接,在本文中将采用该方式来实现VPN仿真实验。
3.2网络拓扑设计
本设计中用到的设备采用Cisco公司的网络设备构建。
利用packet模拟其上的设别来完成,在该模拟器中提供了一系列额设备并且能够实现不同网络设备功能的兼容。
设计的企业网络拓扑设计图如图3.1所示:
图3.1企业内部网络拓扑图
在该图中,接入层和汇聚层可选用较低廉的二层交换机,如2960型号的交换机设备,汇聚层和核心层的交换机选用3560型号的中性能的三层交换机,在核心层选用的路由器选用2621型号的路由设备(由于仿真软件的设计问题,实验中未必用到一模一样的网络设备,实验中并没有太大的区别,只有在正式的环境下,对性能的考验才有较明显的差别)。
3.3IP地址与VLAN规划
VLAN(VirtualLocalAreaNetwork)虚拟局域网,根据企业的网络需求可知该园区网的网络规划方案,其中根据不同部门来划分不同的VLAN区域,在本设计中该园区网络的VLAN和IP地址编址方案如表1所示:
企业网路内部网络设备IP地址规划表1
设备
接口
IP地址
默认网关
对端设备
部门
所在位置
RA
Fa0/0
192.168.9.2/24
MS1
行政楼
Fa0/1
192.168.11.1/24
MS2
Se0/0
100.0.0.1/24
Sw6
RB
Se0/0
MS1
Se0/0
行政楼
Fa0/0
192.168.10.2/24
MS2
Fa0/0
Fa0/1
192.168.12.2/24
Sw6
Fa0/1
MS1
Fa0/1
Sw1
行政楼
Fa0/2
Sw2
Fa0/3
Sw3
fa0/4
Sw4
Fa0/10
192.168.9.1/24
RA
Fa0/11
192.168.10.1/24
RB
Fa0/15
MS2
Fa0/16
MS2
Fa0/20
Vlan11
192.168.1.252/24
经理办公室
Vlan12
192.168.2.252/24
财务部
Vlan13
192.168.3.252/24
技术管理部
Vlan14
192.168.4.252/24
人事部
Vlan15
192.168.5.252/24
市场销售部
Vlan16
192.168.6.252/24
生产部
Vlan17
192.168.7.252/24
宿舍楼
Vlan18
192.168.8.252/24
服务器群
MS2
Fa0/1
行政楼
Fa0/2
Fa0/3
fa0/4
Fa0/10
192.168.11.1/24
RA
Fa0/11
192.168.12.2/24
RB
Fa0/15
Fa0/16
Fa0/20
Vlan11
192.168.1.253/24
经理办公室
Vlan12
192.168.2.253/24
财务部
Vlan13
192.168.3.253/24
技术管理部
Vlan14
192.168.4.253/24
人事部
Vlan15
192.168.5.253/24
市场销售部
附表1
设备
接口
IP地址
默认网关
对端设备
部门
所在位置
MS2
Vlan16
1
升级会员 