中国矿业大学计算机网络与安全实践设计报告.docx
《中国矿业大学计算机网络与安全实践设计报告.docx》由会员分享,可在线阅读,更多相关《中国矿业大学计算机网络与安全实践设计报告.docx(20页珍藏版)》请在冰豆网上搜索。
中国矿业大学计算机网络与安全实践设计报告
计算机网络与安全实践设计报告
某集团公司局域网设计
专 业:
信息安全班级:
XXXXXXX
小组成员:
xxxxxxxxx
指导教师:
XXX职称:
XXX
中国矿业大学计算机科学与技术学院
2012年6月徐州
题目
某集团公司局域网设计
设计日期
2012年6月11日至2012年6月18日
小组成员
在本次设计中承担的任务
文档成绩
管宇佳
网络拓扑设计及设备选型
吴春姗
需求分析调查、案例分析以及实验报告
丁君
具体网络配置
指导教师签字:
年月日
目录
一、引言5
1.1建立企业局域网的必要性5
1.2需求分析5
二、网络设计的目标与要求6
2.1问题重述6
2.2整体设计策略6
2.3网络设计步骤6
三、背景知识与分析6
3.1背景知识6
四、方案设计与实现7
4.1总体规划7
4.2设备选择8
4.2.1选型原则8
4.2.2网络层次划分硬件系统结构硬件选择8
4.3网络拓扑设计9
4.4VLAN与IP地址规划10
4.5设备配置10
4.5.1路由器交换机的基本配置10
4.5.2配置VLAN10
4.5.3配置VTP11
4.5.4配置动态路由协议12
4.5.5配置DHCP12
4.5.6配置NAT13
4.5.7配置默认路由14
4.5.8配置VPN14
4.6NAT设计分析15
4.7路由协议的规划15
4.7系统安全设计16
五、网络安全设计与管理16
5.1病毒防治16
5.2建立防火墙17
5.3网络的保密措施17
5.4数据安全性和完整性措施18
六、本方案的系统特点19
6.1合理的系统结构19
6.2可靠的安全防护19
6.3充分的扩充余地20
6.4稳定的系统性能20
七、结束语20
八、致谢20
一、引言
21世纪是一个信息技术高度发达的社会,无论是办公或者是通信都离不开计算机。
现在的人越来越依靠于计算机,再加上电子商务行业的飞速发展Internet的应用也更加广泛。
由于这样的社会环境人们对各种数据形式的信息需求和交流的不断增长,使得当今的计算机网络,特别是Internet从传统的数据处理设备(如计算机)和管理工具中驳离出来,担当一个非常重要的角色——信息技术的基础设施与获取、共享和交流信息的主要工具,并成为人们在当今社会生活及工作中不可缺少的组成部分。
经过了几年的迅猛发展,计算机网络已经在很多方面改变了人们传统的工作和生活方式……Web浏览、E-mail、QQ(上网聊天)、VOD(视频点悉播)、文件传输、远程诊断、电子商务、网络大学及虚拟学校等无一不与计算机网络有着千丝万缕的联系。
这些基于网络的各种应用,正在以惊人的速度扩展,几乎渗透到了社会生活的各个方面。
因此,在全球信息电子化、网络化迅速发展的大环境下,无论是从大趋势上看,还是从自身商业利益角度考虑,建立企业内部局域网是企业顺应时代潮流的必由之路。
1.1建立企业局域网的必要性
(1)建立企业内部局域网,可以充分利用企业现有的硬件资源。
节约公司开支,实现无纸化办公。
提高企业员工的工作效率,由于局域网企业内部的资源可以得到共享,避免了不必要的重复工作也可以提高时间的利用率;
(2)局域网建成后可以节约企业在使用网络资源方面节约更多的开支,便于公司员工查阅和接受网络信息,也可以简化公司对计算机的日常维护和管理,节约维护成本;
(3)建立局域网提高公司在办公自动化水平和企业内部应用电子商务的能力,逐步实现业务级网络应用。
更有利于企业获得更快、更准确的市场信息,为公司决策提供更科学的依据等;
(4)建立了局域网也可以使外界能更快更好的认识本企业,加强企业的知名度。
1.2需求分析
为了能让公司更好的与现代社会的发展接轨,更快的获取市场信息及为了让外界了解该本公司的相关信息特组建企业网,以实现对“公司档案管理”、“产品信息”、“供求信息”等进行计算机网络化管理。
网络功能
根据公司现有规模,业务需要及发展范围建立的网络有如下功能:
1.建立公司自己的网站,可向外界发布信息,并进行网络上的业务。
2.要求供销部可以连接Internet,与各企业保持联络,接受订单及发布本公。
3.司产品信息。
其他部门都不能连接Internet,但要求公司内部由网络连接。
4.公司内部网络实现资源共享,以提高工作效率。
5.建立网络时应注意网络的扩展性,以方便日后的网络升级和增加计算机。
6.司内部建立公司的数据库,如员工档案,业务计划,会议日程等。
二、网络设计的目标与要求
2.1问题重述
某集团公司共六个分公司,其中四个在集团工业园内各个建筑物内,总部为工业园内30层的主楼,第一分公司与主楼相距50米,第二分公司与主楼相距50米,第三分公司与主楼相距5公里,第四分公司与主楼相距8公里,另外两个分公司在另外的两个城市有各自的办公楼。
各公司及总部都有自己的计算机室,财务部,行政部,生产部,研发部,后勤部,业务部及人力资源部。
2.2整体设计策略
因特网投入和区域网分离
首先,在项目的具体设计过程中,我们需要将因特网接入部分和集团公司园区网络主体部分进行分离,这样的话让每一部分完成其自身的功能,可以减少两者之间的相互影响。
其次,因特网接入的变化,只影响接入的变化,对集团公司园区网络没有影响;而园区网络的变化对因特网接入部分影响较小。
这样可以增强网络的扩展能力。
保持网络层次结构清晰,便于管理和维护。
降低各子公司间的网络关联度
由于各子公司之间主要是与集团公司进行业务的往来。
子公司之间的业务往来比较少,因此降低这部分的网络关联,可以最大限度的减少各个子公司网络之间的相互影响,便于分别管理,或者在不同子公司扩展网络的新应用。
统一标准,统一管理
在整个操作完成中,我们采用统一的IP应用标准(IP地址,路由协议),安全标准,接入标准和网络管理平台,这样才能实现真正的统一管理,便于集团的管理和网络策略的实施。
2.3网络设计步骤
对公司网络系统整体方案设计
对接入层交换机进行配置
对汇聚层设备选型
对核心层设备选型
对广域网接入路由器进行配置
对远程访问服务器进行配置
对整个公司网系统进行测试
三、背景知识与分析
3.1背景知识
路由、交换与远程访问技术是现代计算机网络领域中三大支撑技术体系。
它们几乎涵盖了一个完整园区网实现的方方面面。
路由技术:
路由协议工作在OSI参考模型的第3层,因此它的作用主要是在通信子网间路由数据包。
路由器具有在网络中传递数据时选择最佳路径的能力。
除了可以完成主要的路由任务,利用访问控制列表(AccessControlList,ACL),路由器还可以用来完成以路由器为中心的流量控制和过滤功能。
在本题案例设计中,内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。
交换技术:
传统意义上的数据交换发生在OSI模型的第2层。
现代交换技术还实现了第3层交换和多层交换。
高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了园区网数据交换服务质量,满足了不同类型网络应用程序的需要。
现代交换网络还引入了虚拟局域网(VirtualLAN,VLAN)的概念。
VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的影响。
在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现。
当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(VlanTrunkingProtocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN。
然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。
这样,大大减轻了网络管理人员的工作负担和工作强度。
为了简化交换网络设计、提高交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的。
园区网数据交换设备可以划分为三个层次:
访问层、分布层、核心层。
访问层为所有的终端用户提供一个接入点;分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能;核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。
在本工程案例设计中,也将采用这三层进行分开设计、配置。
远程访问技术:
远程访问也是园区网络必须提供的服务之一。
它可以为家庭办公用户和出差在外的员工提供移动接入服务。
远程访问有三种可选的服务类型:
专线连接、电路交换和包交换。
不同的广域网连接类型提供的服务质量不同,花费也不相同。
企业用户可以根据所需带宽、本地服务可用性、花费等因素综合考虑,选择一种适合企业自身需要的广域网接入方案。
)在本工程案例设计中,分别采用专线连接(到因特网)和电路交换(到公司网)两种方式实现远程访问需求。
作为一个较为完整的公司网实现,路由、交换与远程访问技术缺一不可。
在后面的内容中,我们将就每一技术领域的常用技术的实现进行详细的讨论。
通过本书后面章节的学习,相信读者能够系统地掌握园区网的设计、实施以及维护技巧。
四、方案设计与实现
4.1总体规划
采用的是层次设计模型,即分别有核心层,汇聚层和接入层,这样的设计模型便于对整个网络的管理与排错,但对核心交换机的性能要求较高。
因此,本网使用两台核心交换机,并且汇聚层交换机都分别与两台核心层交换机相连,然后采用HSRP协议,当其中一台核心交换机出现故障时能很快地切换到另一台核心交换机上,起到很好的备份作用,保证了网络的稳定性。
总部与其中四个公司距离不远,采用光纤接入,可保障数据的快速传输。
但分公司5和分公司6因为在不同的城市,距离较远,拉专线相连开销过大,因此我们将总公司和分公司的边缘路由器都连到Internet上,然后采用VPN技术使分公司能与总公司能够互相通信。
考虑到分公司较多,可能需要传递的路由条目比较多,因此,本网运行当今中大型网络中主流的动态路由协议OSPF。
OSPF使用区域的概念,当网络拓扑发生改变时,影响的范围只限制在局部的本区域内,避免对全网的影响。
由于公司内部使用的都是私有IP地址,因此边缘路由器上我们需要采用NAT技术把私有IP地址转换为公有IP地址才能访问Internet。
所有边缘路由器先连接防火墙再连接到Internet,防火墙连接Internet的接口设置为外部接口,连接公司边缘路由器的接口为内部接口,连接服务器的接口为DMZ。
这样可预防外部人员对公司的网络进行攻击,为网络提供了一定的安全保障。
4.2设备选择
4.2.1选型原则
我们在网络系统设计时考虑如下特点:
稳定可靠的网络:
一般来说,只有运行稳定的网络才是可靠的网络,而网络的可靠运行取决于诸多因素,要求有物理层、数据链路层和网络层的备份技术。
高带宽:
为了支持数据、话音、视像多媒体的传输能力,在技术上要到达当前的国际先进水平。
要采用最先进的网络技术,以适应大量数据和多媒体信息的传输,所以采用高宽带传输。
易扩展的网络:
系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。
安全性:
网络系统应具有良好的安全性,才能使用户用着比较合适,由于网络连接园区内部所有用户,安全管理十分重要。
所以应支持VLAN的划分,并能在VLAN之间进行第三层交换时进行有效的安全控制,以保证系统的安全性。
容易控制管理:
因为上网用户很多,因此我们需要管理好他们的通信,做到既保证一定的用户通信质量,又合理的利用网络资源。
4.2.2网络层次划分硬件系统结构硬件选择
接入层:
CiscoCatalyst2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列,提供桌面智能以太网,可与10/100/1000千兆以太网连接,可为入门级企业、中型市场和分支机构网络提供增强LAN服务。
CiscoCatalyst2960可提供:
•集成安全特性,包括网络准入控制(NAC)
•高级服务质量(QoS)和永续性
•为网络边缘提供智能服务
汇聚层:
Cisco®Catalyst®3560-E系列交换机(图1)是一个企业级独立式配线间交换机系列,支持安全融合应用的部署,并能根据网络和应用需求的发展,最大限度地保护投资。
通过将10/100/1000和以太网供电(PoE)配置与万兆以太网上行链路相结合,CiscoCatalyst3560-E能够支持IP电话、无线和视频等应用,提高了员工生产率。
CiscoCatalyst3560-E系列的主要特性:
•CiscoTwinGig转换器模块,将上行链路从千兆以太网移植到万兆以太网
•PoE配置,为所有48个端口提供了15.4WPoE
•模块化电源,可带外部可用备份电源
•在硬件中提供组播路由、IPv6路由和访问控制列表
•带外以太网管理端口,以及RS-232控制台端口
核心层:
通过CiscoCatalyst6500系列交换机远程对网络进行有效的扩展、虚拟化、保护和管理。
CiscoCatalyst6500系列提供功能丰富的高性能平台,适合在园区、数据中心、WAN和城域以太网网络部署,为无边界网络奠定了坚实的基础,从而让您能够随时随地任意连接。
CiscoCatalyst6500系列交换机主要特性:
•扩展性能与网络服务
•虚拟交换系统
•安全
•网络虚拟化
•集成服务与运营效率
4.3网络拓扑设计
图1网络拓扑
4.4VLAN与IP地址规划
表1:
部门
VLAN
IP地址
计算机室
10
172.16.10/24
财务部
20
172.16.20.0/24
行政部
30
172.16.30.0/24
生产部
40
172.16.40.0/24
研发部
50
172.16.50.0/24
后勤部
60
172.16.60.0/24
业务部
70
172.16.70.0/24
人力资源部
80
172.16.80.0/24
4.5设备配置
4.5.1路由器交换机的基本配置
Router>enable
//从用户模式进入特权模式
Router#configureterminal
//进入全局配置模式
Router(config)#hostnameMy1-Router
//设置设备名称
My1-Router(config)#linevty04
My1-Router(config-line)#passwordcisco
My1-Router(config-line)#privilegelevel15
//设置登录密码,设置等级为15级
Switch>enable
My1-RouterSwitch#configureterminal
Switch(config)#hostnameMy1-Switch
My1-Switch(config)#interfacefastEthernet0/1
My1-Switch(config-if)#noswitchport
My1-Switch(config-if)#exit
My1-Switch(config)#linevty04
My1-Switch(config-line)#passwordcisco
My1-Switch(config-line)#privilegelevel15
4.5.2配置VLAN
My1-Switch(config)#vlan10
//创建VLAN
My1-Switch(config-vlan)#nameComputer
//设置VLAN名字
My1-Switch(config-vlan)#exit
My1-Switch(config)#vlan20
My1-Switch(config-vlan)#nameFinance
My1-Switch(config-vlan)#exit
My1-Switch(config)#vlan30
My1-Switch(config-vlan)#nameAdministration
My1-Switch(config-vlan)#exit
My1-Switch(config)#vlan40
My1-Switch(config-vlan)#nameProduction
My1-Switch(config-vlan)#exit
My1-Switch(config)#vlan50
My1-Switch(config-vlan)#nameR&D
My1-Switch(config-vlan)#exit
My1-Switch(config)#vlan60
My1-Switch(config-vlan)#nameLogistics
My1-Switch(config-vlan)#exit
My1-Switch(config)#vlan70
My1-Switch(config-vlan)#nameBusiness
My1-Switch(config-vlan)#exit
My1-Switch(config)#vlan80
My1-Switch(config-vlan)#nameHR
My1-Switch(config-vlan)#exit
交换机互联接口设为trunk接口
ACCESS1(config)#interfaceFastEthernet0/1
ACCESS1(config-if)#switchportmodetrunk
交换机连接终端的接口设为access接口,并划入vlan
ACCESS1(config)#interfaceFastEthernet0/2
ACCESS1(config-if)#switchportaccessvlan10
ACCESS1(config-if)#switchportmodeaccess
4.5.3配置VTP
My1-Switch(config)#vtpdomainccie
//设置VTP域名
My1-Switch(config)#vtppasswordcisco
//设置VTP密码
My1-Switch(config)#vtpmodeserver
//设置VTP模式
4.5.4配置动态路由协议
My1-Switch(config)#routerospf110
//开启OSPF进程
My1-Switch(config-router)#router-id1.1.1.1
//设置OSPF的router-id
My1-Switch(config-router)#network172.16.1.10.0.0.0area0
//宣告路由进区域0
4.5.5配置DHCP
Switch(config)#ipdhcppoolVLAN10
//设置DHCP池
Switch(dhcp-config)#network172.16.10.0255.255.255.0
//为用户分配的IP地址
Switch(dhcp-config)#default-router172.16.10.254
//告诉用户DHCP网关路由器IP
Switch(dhcp-config)#dns-server202.100.100.100
//告诉用户DNS服务器的IP。
Switch(config)#ipdhcppoolVLAN20
Switch(dhcp-config)#network172.16.20.0255.255.255.0
Switch(dhcp-config)#default-router172.16.20.254
Switch(dhcp-config)#dns-server202.100.100.100
Switch(config)#ipdhcppoolVLAN30
Switch(dhcp-config)#network172.16.30.0255.255.255.0
Switch(dhcp-config)#default-router172.16.30.254
Switch(dhcp-config)#dns-server202.100.100.100
Switch(config)#ipdhcppoolVLAN40
Switch(dhcp-config)#network172.16.40.0255.255.255.0
Switch(dhcp-config)#default-router172.16.40.254
Switch(dhcp-config)#dns-server202.100.100.100
Switch(config)#ipdhcppoolVLAN50
Switch(dhcp-config)#network172.16.50.0255.255.255.0
Switch(dhcp-config)#default-router172.16.50.254
Switch(dhcp-config)#dns-server202.100.100.100
Switch(config)#ipdhcppoolVLAN60
Switch(dhcp-config)#network172.16.60.0255.255.255.0
Switch(dhcp-config)#default-router172.16.60.254
Switch(dhcp-config)#dns-server202.100.100.100
Switch(config)#ipdhcppoolVLAN70
Switch(dhcp-config)#network172.16.70.0255.255.255.0
Switch(dhcp-config)#default-router172.16.70.254
Switch(dhcp-config)#dns-server202.100.100.100
Switch(config)#ipdhcppoolVLAN80
Switch(dhcp-config)#network172.16.80.0255.255.255.0
Switch(dhcp-config)#default-router172.16.80.254
Switch(dhcp-config)#dns-server202.100.100.100
4.5.6配置NAT
My1-Router(config)#access-list1permit172.16.0.00.0.255.255
//定义标准ACL,匹配需要转换为公有IP的内网地址
My1-Router(config)#ipnatinsidesourcelist1interfacef0/0
//配置基于端口的NAT
My1-Router(config)#interfacef0/1
My1-Router(config-if)#ipnatinside
//设置NAT入向接口
My1-Router(config)#exit
My1-Router(
升级会员 