课题内容.docx - 冰豆网

资源描述

课题内容.docx

《课题内容.docx》由会员分享，可在线阅读，更多相关《课题内容.docx（36页珍藏版）》请在冰豆网上搜索。

课题内容.docx

课题内容

中小型企业网规划与设计

姓名：

汪冰洁

学院：

河北能源职业技术学院

班级：

2010级计算机网络一班

学号：

2010035901063

指导教师：

成静

2012年6月20日

摘要：

本文简要地讨论了企业网络规划设计中涉及到的网络技术、规划设计方法、网络性能及应用分析等问题，为企业网络的规划、设计和升级改造等方面在技术及应用上提供参考，以使在建或规划中的校园网络具备较高的整体性能。

通过对园区网络的分析，从性能和价值上满足园区网络的需求，然后对企业园区网络进行划分vlan、设置管理域等配置，不断地优化企业的网络，从而达到企业安全、快速访问网络资源的目的。

关键字：

交换机；路由器；防火墙；VLAN

前言

信息时代的发展，影响着世界的每一个角落。

每个人的生活和工作几乎都与计算机密切相关。

在速度越来越快的计算机硬件和日益更新的软件背后，网络作为中枢神经把我们联系在一起。

也正是因为网络的出现与发展，使Internet为主要标志的网络技术构成了我们现代文化的重要组成部分，联系上亿人的Internet将我们带入了一个新的网络时代。

在现今的网络建设中，企业网的建设是非常重要的，企业网内部各种不同业务的开展是企业网发展迅速的最主要原因。

从早期的企业网主要是简单的数据共享，简单数据库的共享到现在内部全方位的数据共享，从过去单一的企业到现在多个分支公司的全部互连，因而对网络的覆盖面要求越来越广。

这一要求最早还只局限于各分支企业内部，现在则已是整个企业、整个行业，甚至整个Internet的共同要求。

正因为网络应用的如此广泛，又在生活中扮演很重要的角色，所以其安全性是不容忽视的，它是网络能否经历考验的关键，如果安全性不好会给人们带来很多麻烦。

网络信息交流现已是生活中必不可少的一个环节，然而信息安全却得不到相应的重视。

本文就网络信息的发展，组成，与安全问题的危害做一个简单的探讨。

第一章企业网构建需求分析

1.1网络构建背景

由于信息化浪潮风起云涌，企业内部网络的建设已经成为提升企业核心竞争力的关键因素。

企业网已经越来越多地被人们提到，利用网络技术，现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。

这直接关系到企业能否获得关键的竞争优势。

近年来越来越多的企业都在加快构建自身的信息网络，而其中绝大多数都是中小企业。

通过网络建设能够实现企业内部资源的共享，降低企业成本，可以更好的与外界进行沟通，让外部更加了解企业。

目前中小型企业建设过程中，存在很多问题，如有些中小型企业不考虑自身需求，一味追求高性能，构建的网络往往造成不必要的浪费；或另一方面，有些中小型企业建成的网络根本达不到应用本身对网络的需求。

企业网络应分为内部网络和外部网络两个部分，其中还包括在这两部分上的实际应用，中小型企业在网络设计之初就应该充分考虑到自身的需求，通过这些需求来具体设计适合自己需求的网络。

因此，在建立局域网时应该考虑到网络的先进性、可扩展性、高可靠性、稳定性、高带宽、经济性。

企业网（ENTERPRISENETWORK）是非常典型的综合网络实例。

在本设计方案中主要是对一个企业进行整体的网络设计。

该企业占有一幢大厦，共有八个部门，每个部门不会超过300台工作站，分别是财务部、人力资源部、技术支持部、营销部、售后服务部、生产部、公关部、设备部，此外有一个总经理办公室，一个副总经理办公室。

1.2网络应用需求

实现企业局域网与其他各网络之间的安全、高速数据访问交换

采用Internet代理服务，实现企业所有站点通过电脑网络高速访问Internet。

建立WWW服务器，实现企业在Internet和Intranet上的信息发布，使公司内外的人员能够即使了解公司的最新信息。

建立邮件服务器，实现企业工作人员与上级机构、分支机构等的电子信息的传递。

构建起企业运行基于网络设计的Client/Server（客户机/服务器）或Browser/Server（浏览器/服务器）结构的办公自动化系统、各种信息管理系统的网络硬件平台和系统运行平台。

公司Internet应用是作为我们设计网络一期的依据，因此，我们从公司Internet应用及应用发展入手，分析目前及未来发展的公司Internet应用，并根据这些应用的自身特点，从带宽需求、传输时延、传输的可靠性、传输的安全性等因素来分析，综合考虑并总结出公司Internet应用的发展需求。

Internet应用主要有：

１、Internet信息交流：

实现资源高度共享，为销售、研发、人力资源管理等提供Internet接入服务

２、视频会议系统：

实现对视频和音频数据的多路组播和广播

３、WEB信息发布

４、电子邮件、公告牌、电视会议和产品信息查询等服务

1.3网络技术需求

主干网络采用速率为1000Mbps的交换技术。

作为公司主干的支撑网络，要求安全可靠，并可实现主干网络冗余、链路容错等功能。

1 .系统各层网络之间良好互联。

2．千兆交换机与主机服务器之间良好互联。

3．具有良好便捷网络管理平台。

网管系统是开放式网管平台，并可以对全网进行故障管理、配置管理、性能管理、事物处理管理、流量控制管理、日志管理、多厂家产品管理、MIB管理、效率管理和图形化管理。

4．网络骨干设备具有较高的可靠性；核心设备支持热插拔，具有容错设计。

5．网络设备具有较好的扩展性，系统能够平滑升级及扩充。

6．采用国际标准TCP/IP协议。

1.4用户需求

中小型企业网信息分布点

建筑物

归属部门

信息点数

主要应用

办公楼

高层管理部

OA办公、资源共享、internet服务

人力资源部

OA办公、资源共享、internet服务

财务部

OA办公、资源共享

销售部

100

OA办公、资源共享、电子商务、Internet服务等

生产楼

生产部

270

资源共享、OA办公、internet服务等

售后楼

售后服务部

OA办公、资源共享、internet服务

仓储楼

设备部

OA办公、资源共享、internet服务

技术楼

技术支持部

150

资源共享、internet服务

公关楼

公关部

资源共享、internet服务

1.5功能需求

资源共享功能：

网络的各个桌面用户可共享数据库、共享打印机，实现办公自动化系统中的各功能。

通信服务功能：

最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问。

多媒体功能：

支持多媒体组播，具有卓越的服务质量保证功能。

远程VPN拨入访问功能：

系统支持远程PPTP接入，外地员工可利用INTERNET远程访问公司资源。

1.5网络安全需求

网络安全主要解决访问互联网及中心服务器的安全问题，考虑以下因素：

１、公司网与Internet网相连后具有“防火墙”过滤功能，以防止网络黑客入侵网络系统；

2、良好的认证体系可防止假冒合法用户的攻击；

3、良好的备份和恢复机制，可在攻击造成损失时，帮助系统尽快地恢复数据和系统服务；

4、多层防御，攻击者在突破第一道防线后，应有多层防御可以延缓或阻断其到达攻击目标；

5、通过NAT地址转换功能隐藏内部信息，这样可以使攻击者不能了解系统内的基本情况；

6、设立安全监控中心为信息系统提供安全体系管理、监控、保护及紧急情况服务。

第二章　逻辑网络设计

2.1系统总体设计方案概述

企业网（ENTERPRISENETWORK）是非常典型的综合网络实例。

在本设计方案中主要是对一个企业进行整体的网络设计。

该企业占有一幢大厦，共有八个部门，每个部门不会超过255台工作站，分别是财务部、人力资源部、技术支持部、营销部、售后服务部、生产部、公关部、设备部，此外有一个总经理办公室，一个副总经理办公室。

如图1-1，是该企业拆分后的网络总体拓扑结构图。

INTERNET

信息

中心

总经理办公室

副总经理办公室

财务部人力资源部技术支持部生产部

公关部售后服务部设备部部

售后服务部公关部设备部营销部

图1-1企业拓扑结构图

在上面的拓扑结构图中,企业有八个部门，两个经理办公室共十个主要的接入点，核心层交换机通过Cisco3460路由器接入因特网。

图中展示了每个建筑物内部的网络拓扑结构，并给出了信息中心内部的网络设备拓扑结构。

在接下来的论述中，我将展开并详细讨论每个模块的设计内容

系统组成与拓扑结构

为了实现网络设备的统一，在本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。

本企业网设计方案主要由以下几部分组成：

交换模块、广域网接入模块、服务器模块，整个网络系统的拓扑结构图如下图1-2所示：

INTERNET

202.168.1.1

NAT192.168.1.254

核心层

server汇聚层总经理办公室

Group

副总经理办公室

接入层

、、、、、、、、、、、

、、、、、、、、、、、、、、、、、

财务部vlan2人力资源部vlan3技术支持部vlan6生产部vlan7

、、、、、、、、、、

、、、、、、

、、、、、、、、、、、、、、、、

售后服务部vlan4公关部vlan5设备部vlan8营销部vlan9

图1-2企业网整体拓扑结构图

2.2VLAN及IP地址规划

在一个大、中型网络里，VLAN[1][2]的划分是必不可少的步骤之一。

在本企业网设计中，整个企业网的VLAN及IP编址方案如下表所示：

在下面我们需要注意的是：

192.168.0.0-192.168.255.254这样的IP地址是私有IP地址，它不能在公共网络中使用，但是为什么我们要这样做呢？

因为针对当前现状，IP地址紧缺，我们不可能也不应该为每一台工作站申请一个公有IP地址，这样不仅可以缓解IP地址不足的情况，而且也可以为企业建设一个企业网节约不少的开支，那这样且不是不能够访问INTERNET。

为了让这些私有IP地址能够在公共INTERNET使用，让使用这样IP地址的工作站能够访问INTERNET上的资源，我们必须对这样私有IP地址作NAT（networkaddresstranslation）即网络地址转换。

NAT的配置我将后面的论述中进行配置。

而对于经理办公室，由于我们有特定的要求，我将为其分配staticIP地址

（如表1-3所示）

表1-3VLAN及IP编址方案

VLAN号

VLAN名称

IP网段

默认网关

说明

VLAN1

——

192．168．1．0/24

192．168．1．254

管理VLAN

VLAN2

finance

192．168．2．0/24

192．168．2．254

财务部

VLAN3

Human_resource

192．168．3．0/24

192．168．3．254

人力资源部

VLAN4

After_sale_server

192．168．4．0/24

192．168．4．254

售后服务部

VLAN5

Public_relations

192．168．5．0/24

192．168．5．254

公关部

VLAN6

Technique_support

192．168．6．0/24

192．168．6．254

技术支持部

VLAN7

produce

192．168．7．0/24

192．168．7．254

生产部

VLAN8

equipment

192．168．8．0/24

192．168．8．254

设备部

VLAN9

sale

192．168．9．0/24

192．168．9．254

营销部

VLAN10

Server_group

192．168．10．0/24

192．168．10．254

服务器群VLAN

2.3设备选型

表1-2设备选型列表

设备名称

型号

单价

数量

总价

说明

防火墙

CISCOPIX-525

6000

并发连接数：

4500VPN支持：

支持安全过滤带宽：

16用户数限制：

无限制网络吞吐量（Mpps）：

路由器

CISCO3745

612000

Cisco3700Series4-SlotMultiserviceAccessRouter

交

换

机

核心层

CISCOWS-C3750G-24TS-S

36762

Catalyst37502410/100/1000T+4SFPStandardMultilayer

汇聚层

CISCOWS-C2950T-24

6500

13000

2410/100portsw/210/100/1000BASE-Tports,EnhancedImage

接入层

CISCOWS-C2950-24

4000

8000

24port,10/100CatalystSwitch,StandardImageonly

Switch/hub

视每个部门工作站多少的情况而定

线

缆

光纤

迅驰4芯单模光缆

4/M

1000M

4000

波长1300损耗850/3.5温度-40-80湿度0

双绞线

五类UTP

400/卷

2000

2.4交换模块的设计

一个性能优良的网络（不管是何种类型的网络）都应该是一个分层的设计。

这样不但简化了交换网络的设计，同时也提高了交换网络的可靠性和可扩展性，我们一般将其分为三层设计模型。

分别是接入层，汇聚层，核心层。

下面我们将按照分层的设计与配置进行论述。

2.1接入层交换服务的实现—配置接入层交换机

接入层交换机是为所有的终端用户提供一个接入点。

我们采用的是CISCOWS-C2950-24。

该交换机拥有24个10/100M的自适应快速以太网交端口，这里我们有两个接入层交换机。

分别命名为connect1和connect2，接下来我们将对接入层交换机进行配置。

进入交换机的配置界面（CLI）[3]我们一般常用的有两种方法：

利用反转线直接和交换机的控制端口相连和远程登陆。

我们主要进行如下一些配置：

1．设置交换机名称

Switch（config）#hostnameconnect1

Connect1（config）#

2．设置交换机密码

Connect1（config）#enablesecret123

3．设置登陆虚拟终端

Connect1（config）#linevty015

Connect1（config-line）#login

Connect1（config-line）#password123

4．设置虚拟终端超时时间

Connect1（config）#linevty015

Connect1（config-line）#exec-timeout530

5．设置控制台终端超时时间

Connect1（config）#linecon0

Connect1（config-line）#exec-timeout530

6．禁用IP地址解析特性

当我们向交换机输入一条错误的命令的时候，交换机就会将该信息广播给网络上的DNS服务器，并试图把它解析成IP地址。

Connect1（config）#noipdomain-lookup

7．启用消息同步特性

为了防止我们向交换机输入的命令被交换机产生的信息打乱。

我们启用消息同步特性。

Connect1（config）#loggingsynchronous

为了能够对交换机进行远程管理，必须给交换机设置一个管理用的IP地址。

这种情况下，实际上是将交换机看成和PC机一样的主机。

而每台交换机都有一个用来进行管理的默认VLAN即VLAN1，VLAN1也称为管理VLAN。

在VLAN及IP编址方案表中我们的管理VLAN的IP为192.168.1.0/24，这里为connect1的管理IP设置为192.168.1.1/24，具体配置如下命令[4]：

Connect1（config）#interfacevlan1

Connect1（config-if）#ipaddress192.168.1.1255.255.255.0

Connect1（config-if）#noshutdown

为了能让管理人员在不同的子网中管理此交换机，还应该设置默认网关，在这里为其设置成为192.168.1.254，命令如下：

Connect1（config）#ipdefault-gateway192.168.1.254

将connect1设置成为VTP（vlantrunkingprotocol）的客户机，（VTP即vlan中断协议，使得vlan客户机可以从vlan服务机上获得vlan信息，这样就不必为每台交换机配置vlan，大大减轻了网络管理人员的工作负担，同时也减少了在不同交换机上输入命令时出错的机率，保证了网络的正常运行）命令如下：

Connect1（config）#vtpmodeclient

2.4.1对connect1的端口进行具体的配置

1．端口双工配置：

Connect1（config）#interfacerangefastethernet0/1-24

Connect1（config-if-range）#duplexfull

2．端口速度配置：

Connect1（config）#interfacerangefastethernet0/1-24

Connect1（config-if-range）#speed100

3．端口模式和端口所属VLAN的配置[5]

在上面的拓扑结构图中我们很容易得出2~6端口属于VLAN2，7~12端口属于VLAN3，13~18端口属于VLAN4，19~22端口属于VLAN5，具体配置命令如下：

Connect1（config）#vlan2namefinance

Connect1（config）#vlan3nameHuman_resource

Connect1（config）#vlan4nameAfter_sale_server

Connect1（config）#vlan5namePublic_relations

Connect1（config）#interfacevlan2

Connect1（config-if））#ipaddress192.168.2.254255.255.255.0

Connect1（config-if）#noshutdown

Connect1（config-if）#exit

Connect1（config）#interfacevlan3

Connect1（config-if））#ipaddress192.168.3.254255.255.255.0

Connect1（config-if）#noshutdown

Connect1（config-if）#exit

Connect1（config）#interfacevlan4

Connect1（config-if））#ipaddress192.168.4.254255.255.255.0

Connect1（config-if）#noshutdown

Connect1（config-if）#exit

Connect1（config）#interfacevlan5

Connect1（config-if））#ipaddress192.168.5.254255.255.255.0

Connect1（config-if）#noshutdown

Connect1（config-if）#exit

Connect1（config）#interfacerangefastethernet0/1-22

Connect1（config-if-range）#switchportmodeaccess