中小型企业局域网组建方案设计Word文件下载.docx
《中小型企业局域网组建方案设计Word文件下载.docx》由会员分享,可在线阅读,更多相关《中小型企业局域网组建方案设计Word文件下载.docx(14页珍藏版)》请在冰豆网上搜索。
五、路由与远程用户访问·
六、网络安全的设计·
七、总结·
参考文献
某中型企业网络工程设计与实现
摘要:
本文是基于一个课程的网络互联设计,根据实践环境设计一个中型企业内部的网络组建。
从实际情况出发把这个中型企业的实际需要应用到网络中去,使这个企业的内部网络能够快速便捷。
因为条件有限,本次设计的拓扑结构图是在模拟器上进行的。
主要运用了所学的路由和交换技术。
关键字:
中型企业网络、设计方案、安全
案例背景
以某企业的实际情况,设计一个可以正常运行的企业局域网,并对建成的网络进行优化,现有500个结点,需要建设一个中型网络以实现该企业内部的相互通信和与外部的联系,通过该网络提高企业的发展和企业内部办公的信息化、办公自动化。
该企业有15个部门,则需要让这15个部门能够通过该网络访问互联网,并能实现部门之间信息化的合作。
所以该网络的必须体现办公的方便性、迅速性、高效性、可靠性、科技性、资源共享、相互通信、信息发布及查询等功能,以作为支持企业内部办公自动化、供应链管理以及各应用系统运行的基础设施。
1、需求分析
该网络是一个单核心的网络结构,采用典型的三层结构,核心、汇聚、接入。
各部门独立成区域,防止个别区域发生问题,影响整个网的稳定运行,若某汇聚交换机发生问题只会影响到某几个部门,该网络使用vlan进行隔离,方便员工调换部门。
核心交换机连接三台汇聚交换机对所有数据进行接收并分流,所以该设备必须是高质量、功能具全,责任重大,通过高速转发通信,提高优化的,可靠的传输结构。
核心层应该尽快地交换分组。
该设备不承担访问列表检查、数据加密、地址翻译或者其他影响的最快速率分组的任务。
汇聚层交换机位于接入层和核心层之间,该网络有三台汇聚层交换机分担15个部门,能帮助定义和分离核心。
该层的设备主要目的是提供一个边界的定义,以在其内进行分组处理。
该层将网络分段为多个广播域。
该问控制列表可以实施策略并过滤分组。
汇聚层将网络问题限制在发生问题的工作组内,防止这些问题影响到核心层。
该层的交换机运行在第二层和第三层上。
接入层为网络提供通信,并且实现网络入口控制。
最终用户通过接入层访问网络的。
作为网络的“前门”,接入层交换机使用访问列表以阻止非授权的用户进入网络。
二、设计要求
1.网络设备:
所需的硬件:
网络硬件设备主要包括网络服务器、工作站、网卡、集线器、交换机、路由器、传输介质等。
各种硬件设备之间是有着相互关联而不是相互独立的,每一部分在网络中都有着不同的作用,缺一不可,只有把这些设备通过一定的形式连起来才能组成一个完整的网络系统。
1.1网卡(网络适配卡或网络接口卡)
网卡——计算机与网络连接的接口,是不可缺少的网络设备之一。
每一块网卡上面都有一个世界惟一的ID号,也就是MAC地址,计算机在连入网络之后,就是依靠这个ID号才能实现在不同计算机之间的通信和信息交换。
网卡有很多种,不同类型的网络需要使用不同种类的网卡,根据带宽来分的话,有10Mbit/s网卡、10/100Mit/s自适应网卡和1000Mbit/s网卡;
如按总线来分的话,有ISA总线、PCI总线、PCMCIA总线网卡等。
从目前企业局域网建设的实际情况来看,工作站网卡选择10M/100Mbit/s自适应网卡最适合。
1.2网络服务器
网络服务器是一台运行网络操作系统,提供网络通信以及其他网络管理,并使连网的各工作站能共享软硬件资源。
在选型服务器时,主要考虑的是容量大、处理速度高和稳定性好,一般来说都选用大型服务器作为代理服务器。
可采用HPProLiantBL40p系列的服务器。
1.3工作站
工作站是指PC机,也称客户机。
通过网卡和传输介质连接到网络服务器上,共享网络系统的资源。
1.4传输介质
传输介质包括有线介质和无线介质两种,一般情况下都是用有线介质的,因为它稳定性高、连接可靠。
无线介质只是在特殊环境下才使用。
常用的有线传输介质有双绞线、同轴电缆、光缆。
1.5路由器
路由器就是负责地址查找,信息包翻译和交换,实现计算机网络设备与电信设备电气连接和信息传递。
1.6集线器
主要指共享式集线器,相当于一个多口的中继器,一条共享的总线,能实现简单的加密和地址保护。
1.7交换机
交换机与集线器的作用是相同的,它的出现是为了提高原有网络的性能同时又保护原有投资,降低网络响应速度,提高网络负载能力。
2、网络设计原则
1、简易与先进性:
把握好技术先进性与应用简易性之间的平衡。
2、可管理性及易维护性:
对网络实行集中监测、分权管理,并统一分配带宽资源。
选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。
3、实用性:
以现行需求为基础,并充分考虑发展的需要来确定系统规模,选用性能价格比高的产品。
4、标准开放性:
支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议,有利于保证与其它网络(如资源数据库、金融网络)之间平滑连接互通,以及将来网络的扩展。
5.可扩展性:
网络要能满足用户当前需求以及将来需求的增长、新技术发展等变化。
因此在保护原有的投资同时,要保证用户数的增加,以及用户随时随地增加设备、增加网络功能等。
随着应用规模的发展,系统能灵活方便地进行硬件或软件系统的扩展和升级。
6、具有较高的可靠性和安全性。
三、网络系统设计
3.1网络拓扑结构图
3.2IP地址分配
IP地址的分配在网络设计中的作用举足轻重。
直接影响整个网络运行的效率。
IP地址设计的总原则是简单、易管理、易扩展。
IP地址是TCP/IP协议族中的网络层逻辑地址,它被用来唯一地标识网络中的一个节点。
IP地址空间的分配,要与网络层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,提高路由算法的效率,加快路由变化的收敛速度。
根据以下几个原则来分配IP地址:
1、唯一性:
一个IP网络中不能有两个主机采用相同的IP地址
2、简单性:
地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的款项
3、连续性:
连续地址在层次结构网络中易于进行路由总结,大大缩减路由表,提高路由算法的效率
4、可扩展性:
地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址总结所需的连续性
5、灵活性:
地址分配应具有灵活性,可借助可变长子网掩码技术
3.3IP地址分配表
部门
Vlan编号
虚拟ip
Ip地址范围
部门一
101
192.168.1.1
192.168.1.2-254
部门二
102
192.168.2.1
192.168.2.2-254
部门三
103
192.168.3.1
192.168.3.2-254
部门四
104
192.168.4.1
192.168.4.2-254
部门五
105
192.168.5.1
192.168.5.2-254
部门六
106
192.168.6.1
192.168.6.2-254
部门十五
115
192.168.15.1
192.168.15.2-254
服务器群
网关ip
Ip地址
Server0
192.169.0.1
192.169.0.2
Server1
192.169.0.3
Printer0
192.169.0.4
3.4划分VLAN
1.划分VLAN的意义
一个单位在一个网络号下有大量的计算机时,并不便于管理,可以根据单位所属的部门或其地理分布位置等来划分子网,在本设计方案中是根据部门来划分子网的,划分子网也就分割了广播域。
划分VLAN可以有效的利用带宽,通过将网络分成小的广播域或子网,VLAN解决了在大型“平”网络中发现的扩展性问题,将所有的数据流,包括广播或多点广播,都别限制在子网中;
提高安全性,通过在VLAN间强迫进行第三层路由选择,VLAN提供了安全性。
如果配置了VLAN间通讯,可以使用路由器传统的安全和功能。
负载均衡多条通信—VLAN允许第三层路由选择协议智能决定到达目的地的最佳路径,当有多条到达目的地的路径时,还能够进行负载均衡。
对故障组建的隔离—减少网络故障的影响。
2.具体配置如下:
(1)对汇聚层三层交换机进行vlan配置
Switch>
enable
Switch#vlandatabase
Switch(vlan)#vtpdomainvd
ChangingVTPdomainnamefromNULLtovd
Switch(vlan)#vtpserver
DevicemodealreadyVTPSERVER.
(2)对接入层交换机分别进行vlan配置
Switch(vlan)#vtpclient
SettingdevicetoVTPCLIENTmode.
(3)将接入层交换机与汇聚层交换机相连的接口设为trunk模式
Switch(config)#interfaceFastEthernet0/24
Switch(config-if)#switchportmodetrunk
(4)在汇聚层交换机上创建vlan(101-115)
Switch(vlan)#vlan2nameVLAN2
VLAN2modified:
Name:
VLAN2
Switch(vlan)#vlan3nameVLAN3
VLAN3modified:
VLAN3
(5)对汇聚层交换机与核心层路由器连接的接口设置ip地址
Switch(config-if)#noswitchport
Switch(config-if)#ipaddress192.168.0.1255.255.255.0
Switch(config-if)#noshutdown
Router(config)#interfaceFastEthernet1/0
Router(config-if)#ipaddress192.168.0.2255.255.255.0
Router(config-if)#noshutdown
(6)对各个vlan设置虚拟ip地址(vlan101-vlan105)
Switch(config)#interfacevlan101
Switch(config-if)#ipaddress192.168.1.1255.255.255.0
Switch(config-if)#exit
(7)对核心层路由器与服务器集群连接的端口设置ip地址
Router(config)#interfaceFastEthernet0/0
Router(config-if)#ipaddress192.169.0.1255.255.255.0
(8)对汇聚层交换机设置静态路由
Switch(config)#iproute192.169.0.0255.255.255.0192.168.0.2
Router(config)#iproute192.168.0.0255.255.240.0192.168.0.1
(9)对核心层路由器进行NAT地址转换设置
Router(config)#interfacefastethernet1/0
Router(config-if)#ipnatinside
Router(config-if)exit
Router(config)#interfaceserial1/2
Router(config-if)#ipnatoutside
Router(config)#ipnatpoolto_internet210.44.64.1210.44.64.2netmask255.255.255.0
!
定义内部全局地址池
Router(config)#access-list10permit192.168.0.00.0.15.255
定义允许转换的地址
Router(config)#ipnatinsidesourcelist10poolto_internet!
为内部本地调用转换地址池
四、调试与测试
1、主机与服务器的连接测试
PC2-Ping-Server0
PC5-Ping-Server0
2、主机与主机的连接测试
PC1-Ping-PC6
3、主机与外网的连接测试
出现问题:
目标主机不可达
解决方案:
在三层交换机中添加静态路由
Switch(config)#iproute210.44.64.0255.255.255.0192.168.0.2
五、远程用户访问
远程访问功能使远程人员或经常变换地点的工作者可通过使用拨号通讯链接来访问企业网络,就像他们是直接连接到企业一样。
远程访问也提供虚拟专用网(VPN)服务,以便用户可以在Internet上访问企业网络。
用户运行远程访问软件,并初始化到远程访问服务器上的连接。
远程访问服务器,会始终验证用户和服务会话,直到用户或网络管理员将其终止为止。
适用于LAN连接用户的所有服务(包括文件和打印共享、Web服务器访问和消息)均通过远程访问连接启用。
1.创建路由和远程访问服务器
2.选择总结
3.路由和远程访问服务器向导欢迎界面
配置
自定义配置
完成界面
安装完成后提示是否启动服务
此服务器已经是远程访问/VPN服务器
六、网络安全的设计
安全不仅是单一PC的问题,也不仅是服务器或路由器的问题,而是整体网络系统的问题。
所以网络安全要考虑整个网络系统,因此必须结合网络系统来制定合适的网络安全策略。
网络安全涉及到的问题非常多,如防病毒、防入侵破坏、防信息盗窃、用户身份验证等,这些都不是由单一产品来完成,也不可能由单一产品来完成,因此网络安全也必须从整体策略来考虑。
网络安全防护体系必须是一个动态的防护体系,需要不断监测与更新,只有这样才能保障网络安全。
调查显示,有超过70%的安全问题来自企业的内部,如何对员工进行网络安全教育,如何让员工参与网络安全建设,是网络安全要解决的核心问题之一。
1.物理安全
物理安全是指在物理介质层次上对存储和传输的网络信息进行安全保护,是网络信息安全的基本保障。
建立物理安全体系结构应从3个方面考虑:
一是自然灾害(地震、火灾、洪水)、物理损坏(硬盘损坏、设备使用到期、外力损坏)和设备故障(停电断电、电磁干扰);
二是电磁辐射、乘机而入、痕迹泄漏等;
三是操作失误(格式硬盘、线路拆除)、意外疏漏等。
2.操作系统安全
网络操作系统是网络信息系统的核心,其安全性占据十分重要的地位。
从安全与发展的角度采用局域网网关服务器系统使用linux,客户机使用windows系统。
1、在计算机网络系统中,根据系统的具体情况,部署防病毒、防火墙、访问控制、黑客入侵检测和VPN等系统,在最关键的部位保护最关键的资源。
2、在所有的含有关键业务数据或提供重要服务的服务器上安装主机核心防护产品,提供对服务器的强力安全防护。
3、在系统中安装和部署客户端、服务器、邮件系统的防毒产品,从而构筑起病毒防御体系,有效的抵御和防范病毒的侵袭。
4、配备网关级过滤:
网关级过滤的作用是保护内部的信息系统免受来自外部的恶意代码的攻击。
它应该处于防火墙的后面,用来进一步控制外部对内部的恶意访问。
网关级过滤机制包括网关级防病毒过滤、垃圾邮件和非法信息过滤、恶意代码过滤。
七、总结
经过为期两周的课程设计,终于成功的将小型企业局域网设计完成,在这个过程中遇到许多困难,查阅许多资料,尽管这份设计中还有许多不足之处。
但在这两周中,通过我们的分工合作,我们懂得了合作的重要性,同时也学到了很多东西,使所学的知识得到了灵活的、熟练的运用,同时也学到了书本之外的知识。
知道了,大学不仅要学习理论知识,实践能力也是一门很重要的学科,也是以后我们必备的能力。
1.《网络组建管理与维护》作者:
李武东南大学出版社
2.《中小型企业网络组建实训教程》作者:
张敏波电子工业出版社
3.《计算机网络》作者:
谢希仁电子工业出版社
4.通过Internet查阅了相关质料。
升级会员 