课题内容.docx
《课题内容.docx》由会员分享,可在线阅读,更多相关《课题内容.docx(36页珍藏版)》请在冰豆网上搜索。
![课题内容.docx](https://file1.bdocx.com/fileroot1/2023-2/4/72612088-6ffb-4a5b-977e-31ed94c2eccf/72612088-6ffb-4a5b-977e-31ed94c2eccf1.gif)
课题内容
中小型企业网规划与设计
姓名:
汪冰洁
学院:
河北能源职业技术学院
班级:
2010级计算机网络一班
学号:
2010035901063
指导教师:
成静
2012年6月20日
摘要:
本文简要地讨论了企业网络规划设计中涉及到的网络技术、规划设计方法、网络性能及应用分析等问题,为企业网络的规划、设计和升级改造等方面在技术及应用上提供参考,以使在建或规划中的校园网络具备较高的整体性能。
通过对园区网络的分析,从性能和价值上满足园区网络的需求,然后对企业园区网络进行划分vlan、设置管理域等配置,不断地优化企业的网络,从而达到企业安全、快速访问网络资源的目的。
关键字:
交换机;路由器;防火墙;VLAN
前言
信息时代的发展,影响着世界的每一个角落。
每个人的生活和工作几乎都与计算机密切相关。
在速度越来越快的计算机硬件和日益更新的软件背后,网络作为中枢神经把我们联系在一起。
也正是因为网络的出现与发展,使Internet为主要标志的网络技术构成了我们现代文化的重要组成部分,联系上亿人的Internet将我们带入了一个新的网络时代。
在现今的网络建设中,企业网的建设是非常重要的,企业网内部各种不同业务的开展是企业网发展迅速的最主要原因。
从早期的企业网主要是简单的数据共享,简单数据库的共享到现在内部全方位的数据共享,从过去单一的企业到现在多个分支公司的全部互连,因而对网络的覆盖面要求越来越广。
这一要求最早还只局限于各分支企业内部,现在则已是整个企业、整个行业,甚至整个Internet的共同要求。
正因为网络应用的如此广泛,又在生活中扮演很重要的角色,所以其安全性是不容忽视的,它是网络能否经历考验的关键,如果安全性不好会给人们带来很多麻烦。
网络信息交流现已是生活中必不可少的一个环节,然而信息安全却得不到相应的重视。
本文就网络信息的发展,组成,与安全问题的危害做一个简单的探讨。
第一章企业网构建需求分析
1.1网络构建背景
由于信息化浪潮风起云涌,企业内部网络的建设已经成为提升企业核心竞争力的关键因素。
企业网已经越来越多地被人们提到,利用网络技术,现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。
这直接关系到企业能否获得关键的竞争优势。
近年来越来越多的企业都在加快构建自身的信息网络,而其中绝大多数都是中小企业。
通过网络建设能够实现企业内部资源的共享,降低企业成本,可以更好的与外界进行沟通,让外部更加了解企业。
目前中小型企业建设过程中,存在很多问题,如有些中小型企业不考虑自身需求,一味追求高性能,构建的网络往往造成不必要的浪费;或另一方面,有些中小型企业建成的网络根本达不到应用本身对网络的需求。
企业网络应分为内部网络和外部网络两个部分,其中还包括在这两部分上的实际应用,中小型企业在网络设计之初就应该充分考虑到自身的需求,通过这些需求来具体设计适合自己需求的网络。
因此,在建立局域网时应该考虑到网络的先进性、可扩展性、高可靠性、稳定性、高带宽、经济性。
企业网(ENTERPRISENETWORK)是非常典型的综合网络实例。
在本设计方案中主要是对一个企业进行整体的网络设计。
该企业占有一幢大厦,共有八个部门,每个部门不会超过300台工作站,分别是财务部、人力资源部、技术支持部、营销部、售后服务部、生产部、公关部、设备部,此外有一个总经理办公室,一个副总经理办公室。
1.2网络应用需求
实现企业局域网与其他各网络之间的安全、高速数据访问交换
采用Internet代理服务,实现企业所有站点通过电脑网络高速访问Internet。
建立WWW服务器,实现企业在Internet和Intranet上的信息发布,使公司内外的人员能够即使了解公司的最新信息。
建立邮件服务器,实现企业工作人员与上级机构、分支机构等的电子信息的传递。
构建起企业运行基于网络设计的Client/Server(客户机/服务器)或Browser/Server(浏览器/服务器)结构的办公自动化系统、各种信息管理系统的网络硬件平台和系统运行平台。
公司Internet应用是作为我们设计网络一期的依据,因此,我们从公司Internet应用及应用发展入手,分析目前及未来发展的公司Internet应用,并根据这些应用的自身特点,从带宽需求、传输时延、传输的可靠性、传输的安全性等因素来分析,综合考虑并总结出公司Internet应用的发展需求。
Internet应用主要有:
1、Internet信息交流:
实现资源高度共享,为销售、研发、人力资源管理等提供Internet接入服务
2、视频会议系统:
实现对视频和音频数据的多路组播和广播
3、WEB信息发布
4、电子邮件、公告牌、电视会议和产品信息查询等服务
1.3网络技术需求
主干网络采用速率为1000Mbps的交换技术。
作为公司主干的支撑网络,要求安全可靠,并可实现主干网络冗余、链路容错等功能。
1 .系统各层网络之间良好互联。
2.千兆交换机与主机服务器之间良好互联。
3.具有良好便捷网络管理平台。
网管系统是开放式网管平台,并可以对全网进行故障管理、配置管理、性能管理、事物处理管理、流量控制管理、日志管理、多厂家产品管理、MIB管理、效率管理和图形化管理。
4.网络骨干设备具有较高的可靠性;核心设备支持热插拔,具有容错设计。
5.网络设备具有较好的扩展性,系统能够平滑升级及扩充。
6.采用国际标准TCP/IP协议。
1.4用户需求
中小型企业网信息分布点
建筑物
归属部门
信息点数
主要应用
办公楼
高层管理部
50
OA办公、资源共享、internet服务
人力资源部
55
OA办公、资源共享、internet服务
财务部
70
OA办公、资源共享
销售部
100
OA办公、资源共享、电子商务、Internet服务等
生产楼
生产部
270
资源共享、OA办公、internet服务等
售后楼
售后服务部
50
OA办公、资源共享、internet服务
仓储楼
设备部
20
OA办公、资源共享、internet服务
技术楼
技术支持部
150
资源共享、internet服务
公关楼
公关部
20
资源共享、internet服务
1.5功能需求
资源共享功能:
网络的各个桌面用户可共享数据库、共享打印机,实现办公自动化系统中的各功能。
通信服务功能:
最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问。
多媒体功能:
支持多媒体组播,具有卓越的服务质量保证功能。
远程VPN拨入访问功能:
系统支持远程PPTP接入,外地员工可利用INTERNET远程访问公司资源。
1.5网络安全需求
网络安全主要解决访问互联网及中心服务器的安全问题,考虑以下因素:
1、公司网与Internet网相连后具有“防火墙”过滤功能,以防止网络黑客入侵网络系统;
2、 良好的认证体系可防止假冒合法用户的攻击;
3、 良好的备份和恢复机制,可在攻击造成损失时,帮助系统尽快地恢复数据和系统服务;
4、 多层防御,攻击者在突破第一道防线后,应有多层防御可以延缓或阻断其到达攻击目标;
5、 通过NAT地址转换功能隐藏内部信息,这样可以使攻击者不能了解系统内的基本情况;
6、设立安全监控中心为信息系统提供安全体系管理、监控、保护及紧急情况服务。
第二章 逻辑网络设计
2.1系统总体设计方案概述
企业网(ENTERPRISENETWORK)是非常典型的综合网络实例。
在本设计方案中主要是对一个企业进行整体的网络设计。
该企业占有一幢大厦,共有八个部门,每个部门不会超过255台工作站,分别是财务部、人力资源部、技术支持部、营销部、售后服务部、生产部、公关部、设备部,此外有一个总经理办公室,一个副总经理办公室。
如图1-1,是该企业拆分后的网络总体拓扑结构图。
INTERNET
信息
中心
总经理办公室
副总经理办公室
财务部人力资源部技术支持部生产部
公关部售后服务部设备部部
售后服务部公关部设备部营销部
图1-1企业拓扑结构图
在上面的拓扑结构图中,企业有八个部门,两个经理办公室共十个主要的接入点,核心层交换机通过Cisco3460路由器接入因特网。
图中展示了每个建筑物内部的网络拓扑结构,并给出了信息中心内部的网络设备拓扑结构。
在接下来的论述中,我将展开并详细讨论每个模块的设计内容
系统组成与拓扑结构
为了实现网络设备的统一,在本设计方案中完全采用同一厂家的网络产品,即Cisco公司的网络设备构建。
本企业网设计方案主要由以下几部分组成:
交换模块、广域网接入模块、服务器模块,整个网络系统的拓扑结构图如下图1-2所示:
INTERNET
202.168.1.1
NAT192.168.1.254
核心层
server汇聚层总经理办公室
Group
副总经理办公室
接入层
、、、、、、、、、、、
、、、、、、、、、、、、、、、、、
财务部vlan2人力资源部vlan3技术支持部vlan6生产部vlan7
、、、、、、、、、、
、、、、、、
、、、、、、、、、、、、、、、、
售后服务部vlan4公关部vlan5设备部vlan8营销部vlan9
图1-2企业网整体拓扑结构图
2.2VLAN及IP地址规划
在一个大、中型网络里,VLAN[1][2]的划分是必不可少的步骤之一。
在本企业网设计中,整个企业网的VLAN及IP编址方案如下表所示:
在下面我们需要注意的是:
192.168.0.0-192.168.255.254这样的IP地址是私有IP地址,它不能在公共网络中使用,但是为什么我们要这样做呢?
因为针对当前现状,IP地址紧缺,我们不可能也不应该为每一台工作站申请一个公有IP地址,这样不仅可以缓解IP地址不足的情况,而且也可以为企业建设一个企业网节约不少的开支,那这样且不是不能够访问INTERNET。
为了让这些私有IP地址能够在公共INTERNET使用,让使用这样IP地址的工作站能够访问INTERNET上的资源,我们必须对这样私有IP地址作NAT(networkaddresstranslation)即网络地址转换。
NAT的配置我将后面的论述中进行配置。
而对于经理办公室,由于我们有特定的要求,我将为其分配staticIP地址
(如表1-3所示)
表1-3VLAN及IP编址方案
VLAN号
VLAN名称
IP网段
默认网关
说明
VLAN1
——
192.168.1.0/24
192.168.1.254
管理VLAN
VLAN2
finance
192.168.2.0/24
192.168.2.254
财务部
VLAN3
Human_resource
192.168.3.0/24
192.168.3.254
人力资源部
VLAN4
After_sale_server
192.168.4.0/24
192.168.4.254
售后服务部
VLAN5
Public_relations
192.168.5.0/24
192.168.5.254
公关部
VLAN6
Technique_support
192.168.6.0/24
192.168.6.254
技术支持部
VLAN7
produce
192.168.7.0/24
192.168.7.254
生产部
VLAN8
equipment
192.168.8.0/24
192.168.8.254
设备部
VLAN9
sale
192.168.9.0/24
192.168.9.254
营销部
VLAN10
Server_group
192.168.10.0/24
192.168.10.254
服务器群VLAN
2.3设备选型
表1-2设备选型列表
设备名称
型号
单价
数量
总价
说明
防火墙
CISCOPIX-525
6000
1
6000
并发连接数:
4500VPN支持:
支持安全过滤带宽:
16用户数限制:
无限制网络吞吐量(Mpps):
20
路由器
CISCO3745
612000
1
612000
Cisco3700Series4-SlotMultiserviceAccessRouter
交
换
机
核心层
CISCOWS-C3750G-24TS-S
36762
1
36762
Catalyst37502410/100/1000T+4SFPStandardMultilayer
汇聚层
CISCOWS-C2950T-24
6500
2
13000
2410/100portsw/210/100/1000BASE-Tports,EnhancedImage
接入层
CISCOWS-C2950-24
4000
2
8000
24port,10/100CatalystSwitch,StandardImageonly
Switch/hub
视每个部门工作站多少的情况而定
线
缆
光纤
迅驰4芯单模光缆
4/M
1000M
4000
波长1300损耗850/3.5温度-40-80湿度0
双绞线
五类UTP
400/卷
5
2000
2.4交换模块的设计
一个性能优良的网络(不管是何种类型的网络)都应该是一个分层的设计。
这样不但简化了交换网络的设计,同时也提高了交换网络的可靠性和可扩展性,我们一般将其分为三层设计模型。
分别是接入层,汇聚层,核心层。
下面我们将按照分层的设计与配置进行论述。
2.1接入层交换服务的实现—配置接入层交换机
接入层交换机是为所有的终端用户提供一个接入点。
我们采用的是CISCOWS-C2950-24。
该交换机拥有24个10/100M的自适应快速以太网交端口,这里我们有两个接入层交换机。
分别命名为connect1和connect2,接下来我们将对接入层交换机进行配置。
进入交换机的配置界面(CLI)[3]我们一般常用的有两种方法:
利用反转线直接和交换机的控制端口相连和远程登陆。
我们主要进行如下一些配置:
1.设置交换机名称
Switch(config)#hostnameconnect1
Connect1(config)#
2.设置交换机密码
Connect1(config)#enablesecret123
3.设置登陆虚拟终端
Connect1(config)#linevty015
Connect1(config-line)#login
Connect1(config-line)#password123
4.设置虚拟终端超时时间
Connect1(config)#linevty015
Connect1(config-line)#exec-timeout530
5.设置控制台终端超时时间
Connect1(config)#linecon0
Connect1(config-line)#exec-timeout530
6.禁用IP地址解析特性
当我们向交换机输入一条错误的命令的时候,交换机就会将该信息广播给网络上的DNS服务器,并试图把它解析成IP地址。
Connect1(config)#noipdomain-lookup
7.启用消息同步特性
为了防止我们向交换机输入的命令被交换机产生的信息打乱。
我们启用消息同步特性。
Connect1(config)#loggingsynchronous
为了能够对交换机进行远程管理,必须给交换机设置一个管理用的IP地址。
这种情况下,实际上是将交换机看成和PC机一样的主机。
而每台交换机都有一个用来进行管理的默认VLAN即VLAN1,VLAN1也称为管理VLAN。
在VLAN及IP编址方案表中我们的管理VLAN的IP为192.168.1.0/24,这里为connect1的管理IP设置为192.168.1.1/24,具体配置如下命令[4]:
Connect1(config)#interfacevlan1
Connect1(config-if)#ipaddress192.168.1.1255.255.255.0
Connect1(config-if)#noshutdown
为了能让管理人员在不同的子网中管理此交换机,还应该设置默认网关,在这里为其设置成为192.168.1.254,命令如下:
Connect1(config)#ipdefault-gateway192.168.1.254
将connect1设置成为VTP(vlantrunkingprotocol)的客户机,(VTP即vlan中断协议,使得vlan客户机可以从vlan服务机上获得vlan信息,这样就不必为每台交换机配置vlan,大大减轻了网络管理人员的工作负担,同时也减少了在不同交换机上输入命令时出错的机率,保证了网络的正常运行)命令如下:
Connect1(config)#vtpmodeclient
2.4.1对connect1的端口进行具体的配置
1.端口双工配置:
Connect1(config)#interfacerangefastethernet0/1-24
Connect1(config-if-range)#duplexfull
2.端口速度配置:
Connect1(config)#interfacerangefastethernet0/1-24
Connect1(config-if-range)#speed100
3.端口模式和端口所属VLAN的配置[5]
在上面的拓扑结构图中我们很容易得出2~6端口属于VLAN2,7~12端口属于VLAN3,13~18端口属于VLAN4,19~22端口属于VLAN5,具体配置命令如下:
Connect1(config)#vlan2namefinance
Connect1(config)#vlan3nameHuman_resource
Connect1(config)#vlan4nameAfter_sale_server
Connect1(config)#vlan5namePublic_relations
Connect1(config)#interfacevlan2
Connect1(config-if))#ipaddress192.168.2.254255.255.255.0
Connect1(config-if)#noshutdown
Connect1(config-if)#exit
Connect1(config)#interfacevlan3
Connect1(config-if))#ipaddress192.168.3.254255.255.255.0
Connect1(config-if)#noshutdown
Connect1(config-if)#exit
Connect1(config)#interfacevlan4
Connect1(config-if))#ipaddress192.168.4.254255.255.255.0
Connect1(config-if)#noshutdown
Connect1(config-if)#exit
Connect1(config)#interfacevlan5
Connect1(config-if))#ipaddress192.168.5.254255.255.255.0
Connect1(config-if)#noshutdown
Connect1(config-if)#exit
Connect1(config)#interfacerangefastethernet0/1-22
Connect1(config-if-range)#switchportmodeaccess
Connect1(config-if-range)#exit
Connect1(config)#interfacerangefastethernet0/2-6
Connect1(config-if-range)#switchportaccessvlan2
Connect1(config-if-range)#exit
Connect1(config)#interfacerangefastethernet0/7-12
Connect1(config-if-range)#switchportaccessvlan3
Connect1(config-if-range)#exit
Connect1(config)#interfacerangefastethernet0/13-18
Connect1(config-if-range)#switchportaccessvlan4
Connect1(config-if-range)#exit
Connect1(config)#interfacerangefastethernet0/19-22
Connect1(config-if-range)#switchportaccessvlan5
Connect1(config-if-range)#exit
4.快速端口和主干端口进行配置
Connect1(config)interfacerangefastethernet0/1-22
Connect1(config-if-range)#spanning-treeportfast
Connect1(config-if-range)#exit
由于connect1是通过23和24号端口分别与汇聚层的交换机1和交换机2相连,所以把connect1的23和24号端口设置成为主干端口。
命令如下:
Connect1(config)#interfacerangefastethernet0/23-24
Connect1(config-if-range)#switchportmodetrunk
到此,对connect1的配置已基本上完成,接下来我们将对接入层的第二个交换机connect2进行配置,其配置和connect1的配置大体上是一样的。
Connect2通过23和24号端口分别与汇聚层的collect1和collect2连接。
Connect2的VLAN的划分如下:
2~6端口属于VLAN6,7~12端口属于VLAN7,13~18端口属于VLAN8,19~22端口属于VLAN9。
Connect2的整体配置如下:
Switch(config)#hostnameconnect2
Connect2(config)#enablesecret123
Connect2(config)#noipdomain-lookup
Connect2(config)#loggingsynchronous
Connect2(config)#linevty015
Connect2(config-line)#login
Connect2(config-line)