设计与规划.docx
《设计与规划.docx》由会员分享,可在线阅读,更多相关《设计与规划.docx(13页珍藏版)》请在冰豆网上搜索。
设计与规划
题目:
工程设计与规划
姓名XXX
学院信息工程学院
专业计算机网络
班级XX计算机网络X班
指导教师XXX
提交时间20XX年X月X日
目录
一、项目背景3
二、项目需求分析4
1、租用两条专线实现子公司与总公司的连接4
2、实现统一的网络管理(采用流行的c/s方式)4
3、所有访问Internet的数据流经过总公司出口5
4、实现部门间链路层隔离以防止广播风暴5
5、在Intarnet客户端主机自动获取IP地址5
6、服务器在总部统一管理5
7、ACL6
三、项目解决方案7
1、网络拓朴结构图7
2、网络功能解决方案7
一、C/S架构7
二、PPP8
三、NAT8
四、VLAN划分子网9
五、DHCP11
3、IP地址规划12
四、系统建设要求13
1、可靠性和高性能13
2、实用性和经济性13
3、可扩展性和可升级性13
4、易管理和易维护13
5、先进性、成熟性14
6、安全性、保密性14
7、灵活性、综合性14
五、服务规划14
1、DHCP服务14
2、DNS服务14
3、WWW(IIS)服务15
一、项目背景
1、您是devision公司的网络工程人员。
2、位于南昌总部的devisoin公司有市场,研发,人事财务和管理四个部门,随着公司规模扩大,公司网络已经受到制约,影响公司发展。
同时,公司在成都和上海成立子公司(下设市场部、财务部和维护部),已经与ISP签署协议,租用两条专线实现子公司与总公司的连接。
3、公司共有主机200余台,现有的物理网络采用单一的交换机与集线器连接,总公司和分公司的信息点全部到位。
4、为了实现办公自动化和信息流通,公司需要对现有网络进行改造。
现有网络状况
总公司采用ADSL拨号方式接入互联网
分公司只有内部局域网没有Internet连接
现有设备为CISCO2960交换机一台,集线器若干,adslmodem一台
需要购置新设备
公司申请了域名
公司申请了公网IP为218.200.201.0/30
实现统一的网络管理(采用流行的c/s方式)
分公司利用专线连接到总公司(采用路由和广域网连接技术(ppp))
所有访问Internet的数据流经过总公司出口(NAT218.100.201.1/30)
实现部门间链路层隔离以防止广播风暴(VLAN划分子网)
在intarnet客户端主机自动获取IP地址(DHCP)
在企业内网中给总公司和分公司架设WWW服务器,可供所有内外网用户能过域名匿名访问,但是各部门的资料需要授权访问(WWW站点*3,DNS,域名规划,虚拟目录(授权))
服务器在总部统一管理(总部服务器集群)
为了保证信息安全,只有管理部门可以访问其他部门的数据,而其他部门只能访问服务器数据,上级可以访问下属部门,但都能通过总公司接入Internet(ACL)
二、项目需求分析
1、租用两条专线实现子公司与总公司的连接
采用路由和广域网连接技术(ppp)封装:
一种封装多协议数据报的方法。
PPP封装提供了不同网络层协议同时在同一链路传输的多路复用技术。
PPP封装精心设计,能保持对大多数常用硬件的兼容性,克服了SLIP不足之处的一种多用途、点到点协议,它提供的WAN数据链接封装服务类似于LAN所提供的封闭服务。
所以,PPP不仅仅提供帧定界,而且提供协议标识和位级完整性检查服务。
链路控制协议:
一种扩展链路控制协议,用于建立、配置、测试和管理数据链路连接。
网络控制协议:
协商该链路上所传输的数据包格式与类型,建立、配置不同的网络层协议;
配置:
使用链路控制协议的简单和自制机制。
该机制也应用于其它控制协议,例如:
网络控制协议(NCP)。
为了建立点对点链路通信,PPP链路的每一端,必须首先发送LCP包以便设定和测试数据链路。
在链路建立,LCP所需的可选功能被选定之后,PPP必须发送NCP包以便选择和设定一个或更多的网络层协议。
一旦每个被选择的网络层协议都被设定好了,来自每个网络层协议的数据报就能在链路上发送了。
链路将保持通信设定不变,直到有LCP和NCP数据包关闭链路,或者是发生一些外部事件的时候(如,休止状态的定时器期满或者网络管理员干涉)
2、实现统一的网络管理(采用流行的c/s方式)
C/S(Client/Server)结构,即大家熟知的客户机和服务器结构。
它是软件系统体系结构,通过它可以充分利用两端硬件环境的优势,将任务合理分配到Client端和Server端来实现,降低了系统的通讯开销。
目前大多数应用软件系统都是Client/Server形式的两层结构,由于现在的软件应用系统正在向分布式的Web应用发展,Web和Client/Server应用都可以进行同样的业务处理,应用不同的模块共享逻辑组件;因此,内部的和外部的用户都可以访问新的和现有的应用系统,通过现有应用系统中的逻辑可以扩展出新的应用系统。
3、所有访问Internet的数据流经过总公司出口
通过NAT技术实现,借助于NAT,私有(保留)地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。
NAT将自动修改IP报文的源IP地址和目的IP地址,Ip地址校验则在NAT处理过程中自动完成。
有些应用程序将源IP地址嵌入到IP报文的数据部分中,所以还需要同时对报文进行修改,以匹配IP头中已经修改过的源IP地址。
否则,在报文数据都分别嵌入IP地址的应用程序就不能正常工作。
4、实现部门间链路层隔离以防止广播风暴
限制网络上的广播,将网络划分为多个VLAN可减少参与广播风暴的设备数量。
LAN分段可以防止广播风暴波及整个网络。
VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。
使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播不会送到VLAN之外。
同样,相邻的端口不会收到其他VLAN产生的广播。
这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。
5、在Intarnet客户端主机自动获取IP地址
动态主机设置协议(DynamicHostConfigurationProtocol,DHCP)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:
给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。
6、服务器在总部统一管理
服务器集群就是指将很多服务器集中起来一起进行同一种服务,在客户端看来就象是只有一个服务器集群可以利用多个计算机进行并行计算从而获得很高的计算速度,也可以用多个计算机做备份,从而使得任何一个机器坏了整个系统还是能正常运行
服务器集群有如下优势
一、集群系统可解决所有的服务器硬件故障,当某一台服务器出现任何故障,如:
硬盘、内存、CPU、主板、I/O板以及电源故障,运行在这台服务器上的应用就会切换到其它的服务器上。
二、集群系统可解决软件系统问题,我们知道,在计算机系统中,用户所使用的是应用程序和数据,而应用系统运行在操作系统之上,操作系统又运行在服务器上。
这样,只要应用系统、操作系统、服务器三者中的任何一个出现故障,系统实际上就停止了向客户端提供服务,比如我们常见的软件死机,就是这种情况之一,尽管服务器硬件完好,但服务器仍旧不能向客户端提供服务。
而集群的最大优势在于对故障服务器的监控是基于应用的,也就是说,只要服务器的应用停止运行,其它的相关服务器就会接管这个应用,而不必理会应用停止运行的原因是什么。
三、集群系统可以解决人为失误造成的应用系统停止工作的情况,例如,当管理员对某台服务器操作不当导致该服务器停机,因此运行在这台服务器上的应用系统也就停止了运行。
由于集群是对应用进行监控,因此其它的相关服务器就会接管这个应用。
7、ACL
信息点间通信,内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。
简而言之,ACL可以过滤网络中的流量,控制访问的一种网络技术手段。
三、项目解决方案
1、网络拓朴结构图
2、网络功能解决方案
一、C/S架构
采用流行的C/S架构体系来搭建另整个网络,将服务器放置于南昌总部,客户机上安装专用的客户端软件,简单的C/S体系结构的数据库应用由两部分组成,即客户应用程序和数据库服务器程序。
二者可分别称为前台程序与后台程序。
运行数据库服务器程序的机器,也称为应用服务器。
一旦服务器程序被启动,就随时等待响应客户程序发来的请求;客户应用程序运行在用户自己的电脑上,对应于数据库服务器,可称为客户电脑,当需要对数据库中的数据进行任何操作时,客户程序就自动地寻找服务器程序,并向其发出请求,服务器程序根据预定的规则作出应答,送回结果,应用服务器运行数据负荷较轻。
这样的结构体系对于公司的服务器来说,能减轻好大的工作量。
从而更好的为公司的客户端提供服务
二、PPP
在南昌总部公司和上海以及成都公司分部间的连接采用PPP技术,对公司的连接进行干涉,点到点的连接让公司间的连接安全可靠,在南昌总部和上海以及成都分部的出口路由器上进行点到点连接的配置,其命令如下所示:
RouterTest(config)#interfaceserial0/0配置要使用PPP的端口
RouterTest(config-if)#encapsulationppp启用PPP
RouterTest(config-if)#clockrate4000000设置PPP端口的时钟频率
三、NAT
所以有的数据流都得从南昌总部的出口路由器上出入,公司的内部网络使用的是企业内部私有IP地址,在网络上不可以通行的,所以必须使用NAT技术进行内部和外部网络IP地址的转换。
NAT的实现方式有三种,即静态转换StaticNat、动态转换DynamicNat和端口多路复用OverLoad。
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。
借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。
也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。
动态转换可以使用多个合法外部地址集。
当ISP提供的合法IP地址略少于网络内部的计算机数量时。
可以采用动态转换的方式。
端口多路复用(PortaddressTranslation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,PortAddressTranslation).采用端口多路复用方式。
内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。
同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。
因此,目前网络中应用最多的就是端口多路复用方式。
由于所有的数据都是通过总公司的出口进行进入,所以采用的NAT方式是端口多路复四、VLAN划分子网
通过划分VLAN来实现部门间隔离广播风暴,各个部门间都属于不同的VLAN,为了企业的安全考虑,不允许部门间的相互访问,通过VLAN的划分可以达到在同一个网络下,但是可以隔离他们的访问,也就是虚拟局域网,配置VLAN的命令如下所示:
1、创建vlan方法一
switch#vlandatabase
switch(vlan)#vlan10namewz
switch(vlan)#exit
2、创建vlan方法二
switch(config)#vlan10
switch(config-vlan)#namewz
3、删除vlan方法一
switch(vlan)#novlan10
switch(vlan)#exit
4、删除vlan方法二
switch(config)#
nointerfacevlan10
switch(config)#novlan10
5、删除vlan方法三
switch#deletevlan.dat
6、将端口加入到vlan中
switch(config-if)#switchportaccessvlan10
7、将一组连续的端口加入到vlan中
switch(config)#interfacerangef0/1–5
switch(config)#interfacerangef0/6-8,0/9-11,0/22
(将不连续多个端口加入到Vlan中)用(PortaddressTranslation,PAT),因为公司只有一个出口的IP为外部合法的IP地址。
其配置命令如下所示:
首先做一个标准访问控制列表:
Router(config)#access-list1permit允许被转换的内部地址范围。
再定义地址池:
Ipnatpool地址池名称起始IP结束IPnetmask子网掩码(起始IP和结束IP相等)
再将地址池对应到内部网络里:
Ipnatinsidesourcelist列表编号地址池名称overload
Ipnatinsidesourcelist列表编号interface端口号overload
switch(config-if-range)#switchportaccessvlan10
8、将端口从vlan中删除
switch(config-if)#noswitchportaccessvlan10
switch(config-if)#switchportaccessvlan1
switch(config-if-range)#noswitchportaccessvlan10
switch(config-if-range)#switchportaccessvlan1
9、查看所有vlan的摘要信息
switch#showvlanbrief
10、查看指定vlan的信息
switch#showvlanid10
11、指定端口成为trunk
switch(config-if)#switchportmodetrunk
12、Trunk的自动协商
switch(config-if)#switchportmodedynamicdesirable
switch(config-if)#switchportmodedynamicauto
注意:
如果中继链路两端都设置成auto将不能成为trunk
13、查看端口状态
switch#showinterfacef0/2switchport
14、在trunk上移出vlan
switch(config-if)#switchporttrunkallowedvlanremove20
15、在trunk上添加vlan
switch(config-if)#switchporttrunkallowedvlanadd20
五、DHCP
DHCP是为了合理分配公司内部的IP地址,公司的计算机不需要员工自己去设置自己计算机的IP地址,由服务器上提供的DHCP服务来让公司的计算机自己获得IP地址。
在服务器上打开DHCP服务,默认的是打开的,在这里代用虚拟软件来说明。
其中的poolname地址池名称
Defaultgateway默认网关
DNSserverDNS服务器的IP地址
Startipaddress开始IP地址
Subnetmask子网掩码
Maximumnumber最大主机量
Add添加进一个地址池
3、IP地址规划
如表一:
表一
端口————IP
DHCP/DNS服务器
Fastethernet
192.168.254.1/24
www服务器
Fastethernet
192.168.253.1/24
南昌市场部
Fastethernet
192.168.1.1/24
南昌研发部
Fastethernet
192.168.1.2/24
南昌人事部
Fastethernet
192.168.1.3/24
南昌管理部
Fastethernet
192.168.1.4/24
成都市场部
Fastethernet
192.168.101.1/24
成都维护部
Fastethernet
192.168.102.1/24
成都财务部
Fastethernet
192.168.103.1/24
南昌总部
FA0/1
192.168.254.254/24
FA1/0
192.168.253.254/24
S0/0
192.168.200.1/30
FA1/1
218.200.201.2/30
S0/1
192.168.201.1/30
FA0/0
192.168.202.1/30
南昌二代
FA0/1
192.168.4.254/24
FA0/2
192.168.3.254/24
FA0/3
192.168.2.254/24
FA0/4
192.168.1.254/24
DEVISION成都
FA0/0
192.168.101.254/24
FA0/1
192.168.102.254/24
FA1/0
192.168.103.254/24
S0/0
192.168.200.2/30
DEVISION上海
FA0/0
192.168.151.254/24
FA0/1
192.168.152.254/24
FA1/0
192.168.152.254/24
S0/0
192.168.201.2/24
上海市场部
Fastethernet
192.168.151.1/24
上海维护部
Fastethernet
192.168.152.1/24
上海财务部
Fastethernet
192.168.153.1/24
四、系统建设要求
1、可靠性和高性能
网络必须是可靠的,包括网元级的可靠性,如引擎、风扇、单板、总计等;以及网络级的可靠性,如路由、交换的汇聚,链路冗余,负载均衡等。
网络必须具有足够高的性能,满足业务的需要。
2、实用性和经济性
由于企业资金并不是很充足,不可能一步到位。
另一方面,企业的应用水平较参差不齐,某些系统即使安装了也利用不起来,因此,在企业网的建设过程中,系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则。
3、可扩展性和可升级性
系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。
设备应选用符合国际标准的系统和产品,以保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。
4、易管理和易维护
企业网络需要网络系统具有良好的可管理性,网管系统具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。
同时应尽可能选取集成度高、模块可通用的产品,以便于管理和维护。
5、先进性、成熟性
当前计算机网络技术发展很快,设备更新淘汰也很快。
这就要求企业网建设在系统设计时既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。
只有采用当前符合国际标准的成熟先进的技术和设备,才能确保企业网络能够适应将来网络技术发展的需要,保证在未来若干年内占主导地位。
6、安全性、保密性
网络系统应具有良好的安全性。
由于企业网有很多机密资料,要求能进行灵活有效的安全控制,确保企业资料的完整性和安全性。
在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。
7、灵活性、综合性
通过采用结构化、模块化的设计形式,满足系统及用户各种不同的需求,适应不断变革中的要求。
以满足系统目标与功能为目标,保证总体方案的设计合理,满足用户的需求,同时便于系统使用过程中的维护,以及今后系统的二次开发与移植。
五、服务规划
1、DHCP服务
在公司的整个网络规划中,一共有总公司四个部门和分公司六个部门,各个部门间的IP地址不为同一网段,保证公司的计算机顺利获得IP地址,我们安排一台专门的服务器做为DHCP服务器,专门给公司内部的每台计算机自动分配好属于他们各自网段的IP地址,各个部门间的IP不为同一网段,必须通过DHCP中继代理来帮助DHCP服务器来分配好各台主机的IP地址。
2、DNS服务
企业中的WWW服务器对内外都开放匿名访问,DNS可以保存这个网络里所有的域名和域名对应的IP地址,在有客户访问的时候将其相互转换。
在南昌总公司服务器上南昌公司的主域.和上海分公司以及成都分公司的子域\.做好域名和IP的对应关系,方便客户访问。
3、WWW(IIS)服务
在服务器上分别给总公司和分公司架设WWW服务器,供所有的内外网的用户访问,在服务器上分别建立总公司和分公司的站点,并给相关部门建立相应的虚拟目录。
升级会员 