中小企业网络的设计与实现23456Word格式文档下载.docx

1、满足企业信息化的要求,为各类应用系统提供方便、快捷的信息通路；提供网络安全机制，满足企业信息安全的要求，具有较高的性价比，未来升级扩展容易，保护用户投资；用户使用简单、维护容易，为用户提供良好的售后服务。主干网负责各个子网和应用服务的连接，为信息交换提供有效的高速通道。系统主干采用万兆以太网10000M交换，下属子网采用千兆以太网，网络协议采用OSPF协议，整个网络应考虑语音、视频、数据等的综合应用。本系统处理的信息包括数据、语音和图像等，因此要考虑实时性问题，特别要考虑包括视频会议在内的信息共享等方面的实时性要求。UPS电源的配备，配置要保证网络中所有的服务器、交换机、路由器、集线器等设备的

2、连续、正常地运转；网络带宽的分配：应根据所属单位网络的信息流量情况合理分配网段，以充分利用网络带宽，提高网络的运行效率。网络需要需要具有多主机跨平台主机连接能力,数据集中存放、集中管理、数据有效共享、存储空间共享、统一安全备份，可实现无人值守、自动实施备份策略，备份LANFREE、SERVERLESS等功能，为全面集中管理和数据仓库的建设奠定坚实的基础。1.2.2 系统要求配置简单方便：所有的客户端和服务器系统应该是易于配置和管理的，并保障客户端的方便使用;广泛的设备支持：所有操作系统及选择的服务应尽量广泛的支持各种硬件设备;稳定性及可靠性：系统的运行应具有高稳定性，保障7*24的高性能无故障

3、运行。可管理性：系统中应提供尽量多的管理方式和管理工具，便于系统管理员在任何位置方便的对整个系统进行管理;更低的成本：系统设计应尽量降低整个系统的成本；安全性：在系统的设计、实现及应用上应采用多种安全手段保障网络安全；提供良好的售后服务。网络还应具有开放性、可扩展性及兼容性，全部系统的设计要求采用开放的技术和标准选择主流的操作系统及应用软件，保障系统能够适应未来几年公司的业务发展需求，便于网络的扩展和企业的结构变更。1.2.3 用户要求要求计算机应用系统能处理大信息量的传输和计算；要求易于用户管理、界面简单、逻辑清晰；满足用户使用网络系统的运行质量，提高网络运行速度；要求采用千兆以太网作为主干

4、的网络技术，提供标准化的高速度主干网连接，并在未来可以升级到IP，可以在同一个网络中支持多种服务质量，以支持目前和未来的应用和服务为标准。允许网络集成，网络中使用的设备、技术和协议完全符合国际通用的标准，兼容现有的网络环境，提供良好的互联性；要求网络提供足够的带宽，丰富的接口形式，满足用户对应用带宽的基本要求，并保留一定的余量供扩展使用，最大可能地降低网络传输延迟；要求网络有很高的可靠性、稳定性及冗余，网络能够提供良好的安全性策略，能避免内部操作失误造成的损害和来自外部的恶意攻击。1.2.4 设备要求根据企业的网络功能需求和实际的布线系统情况，楼层接入设备需要选择同一型号的设备。网络设备必须在

5、技术上具有先进性、通用性，必须便于管理、维护，应该满足企业现有计算机设备的高速接入，应该具备良好的可扩展性、可升级性，保护用户的投资。网络设备在满足功能与性能的基础上必须具有良好的性价比。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品，同时设备厂商必须要有良好的市场形象与售后技术支持。第二章 网络系统设计规划2.1 网络系统设计的原则网络设计中应该考虑到实用性原则、经济性原则、可靠性原则、安全性原则、可管理性原则、易操作性原则、可升级性原则、 兼容性原则、标准性原则、适度的可扩展性和安全性原则等。2.2 网络系统设计的目标网络的安全性对网络设计是非常重要的，合理的网络安全控制，可以使应

6、用环境中的信息资源得到有效的保护可以有效的控制网络的访问，灵活的实施网络的安全控制策略。先进性：系统具有高速传输的能力。工作站子系统传输速率达到100Mb/S，水平系统传输速率达到1000Mb/s,满足现在和未来数据的信息传输的需求；主干系统传输速率达到1000Mb/s,同时具有较高的带宽，满足现在和未来的图像、影像传输的需求。灵活性：系统具有较高的适应变化的能力。当用户的物理位置发生变化时可以在非常简便的调整下重新连接；布线系统适应各种计算机网络结构，如以太网、高速以太网、令牌环网、ATM网等。布线系统且具有一定的扩展能力。实用性：系统具有低成本、使用方便、简单、易扩展的特点。布线系统应在满

7、足各种需求的情况下尽可能降低材料成本；布线系统具有操作简单、使用方便、易于扩展的特点。2.3 网络系统方案设计总体网络采用基于树型的双星型结构，使之具有链路冗余特性；整体网络规划为核心及服务器群区域，内部骨干区域（汇聚链路），接入层上联区域，客户端接入区域；核心交换机位于企业总部机房，并为双核心，使用双主干网络设计，保证主交换机网络的容错。在一台交换机出现故障的时候保障网络的正常运行，也不用手工切换和维护，保证网络的可靠性。采用全交换硬件体系结构，可实现全线速的IP交换；目前10/100Mbps自适应路由器已成为主流，一般的路由器都能够提供全部或部分 10/100Mbps端口，单纯提供10Mb

8、ps端口的路由器已逐渐淡出市场。如果企业对于局域网的传输速度要求较高，那么还是应该选用千兆位交换路由器，因为这些路由器的光接口速度可以达到622Mbps、2.5Gbps甚至10Gbps，这样的速度早已把ATM交换机远远地甩在后面。但千兆级的核心路由器作为企业网骨干，其价格要远远高于普通的工作组级路由器。目前在工作组级和部门级路由器中，10/100Mbps 自适应路由器是选择最多的。网络的可靠性、安全性必须尽可能高。路由器的稳定安全与否，直接决定了内部局域网的安全。网络系统的安全性可以体现在两方面。一方面是网络本身的安全性，网络不能受非授权路由协议、管理协议的控制。另一方面网络上传输的数据应当是

9、安全的，该方面的安全考虑通常使用端到端的加密协议或VPN实现。目前许多路由器可以设置访问权限列表，控制哪些数据才可以进出路由器，实现防火墙的功能，防止非法用户的入侵。路由器的另外一个作用就是地址转换功能，顾名思义，在使用路由器对外连接时，路由器能够屏蔽公司内部局域网的网络地址，利用地址转换功能统一转换成电信局提供的广域网地址，这样网络上的外部用户就无法了解到公司内部网的网络地址，进一步防止了非法的用户入侵。网络系统的稳定性是指路由器在数据转发以及长时间工作下的表现。路由器作为数据转发的网络设备，有一个重要的指标就是“丢包率”，指的是在一定的数据流量状态下路由器不能进行转发的数据包的比例。丢包率

10、的大小会影响到路由器线路的实际工作速度，严重时甚至会使线路中断，因此丢包率是评测不同厂家路由器性能的一个重要指标。另外检查一下路由器是否支持IPv6协议，如果支持那么该路由器的稳定性、安全性应该好于普通的路由器，因为IPv6在解决了因特网地址空间问题的同时，还在IP 层增加了认证和加密的安全措施，为实时业务的应用提供了安全保证。2.4 网络应用系统选择根据企业用户对操作系统的要求：操作系统要求选择最新版本，所选操作系统需要提供方便的更新与升级方法，服务器操作系统需要能够提供目录服务功能，服务器及客户机操作系统都需要支持TCP/IP协议，所选操作系统应能够方便的实现用户和权限的管理，秘选操作系统

11、应能够运行大多数应用软件，例如办公软件、图像处理软件、CAD财等，我们选择Linux，它具有极高的稳定性、先天的安全性、软件安装的便利性、多任务、多使用者、免费或少许费用、有强大的网络功能。建立WWW服务器，实现Internet上浏览和查询；建立服务器把图文信息组织成分布式的超文本，并用信息指针指向存有相关信息的服务器，使用户可以方便地访问这些信息。当网上用户增多时，网络访问很频繁，通信量很大，随机性强。作为全校的通讯枢纽，需要配备高性能的服务器设备，主要的需求是高性能的CPU、SMP体系结构、高速I/O通道和网络通道。建立域名服务器DNS，各地名字服务器管理下属主机和子域，并由高一级名字服务

12、器监管，但每个域至少需要配备一台以上的名字服务器。DNS数据量不大，但访问频繁。建立数据库服务器能有高效的处理速度、较大的内存和磁盘空间、快速的I/O系统和网络界面，较高的可靠性，完善的系统备份功能和较好的可扩充性能。2.5 网络安全系统内网安全设计：访问控制，通过密码、口令（不定期修改、定期保存密码与口令）等禁止非授权用户对服务器的访问，以及对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。外网安全设计：安装软件、硬件、防火墙，网络防病毒软件，客户端防病毒软件；利用代理服务器提供Internet与Intranet之间

13、的防火墙功能；通过网管实时记录网络的运行状态。设置远程访问身份认证，防止垃圾邮件等。2.6 网络管理维护根据企业和服务器应用模式及全网范围资源集中管理的原则，在企业总部机房建立中心管理机房，统一网络中的交换设备的管理配置，虚网设计和配置，各种服务建立等。网管工作站对全网所有交换设备和路由设备进行统一管理、配置和维护；进行故障隔离、分析、统计、报警、设置；网管软件采用图形化界面，支持广泛的网管平台。第三章 网络系统的技术介绍3.1 VLAN介绍 VLAN（Virtual Local Area Network），是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。

14、IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机，由于VLAN是逻辑地而不是物理地划分，所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里，即这些计算机不一定属于同一个物理LAN网段。VLAN的优势在于VLAN内部的广播和单播流量不会被转发到其它VLAN中，从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性。3.2 NAT概述NAT的功能就是指当内部计算机要与外部Internet 网络

15、进行通信时，具有NAT功能的设备负责将其内部的IP地址转换为合法的IP地址进行通信，而内部使用的IP地址不需要申请，可以任意使用。借助于NAT，私有（保留）地址的内部网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址（甚至是1个）即可实现私有地址网络内所有计算机与Internet的通信需求。 NAT将自动修改IP报文的源IP地址和目的IP地址，IP地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中，所以还需要同时对报文进行修改，以匹配IP头中已经修改过的源IP地址。否则，在报文数据都分别嵌入IP地址的应用程序就不能正

16、常工作。3.3 OSPF协议3.3.1 OSPF的特性OSPF是一种典型的链路状态路由协议，采用OSPF路由器彼此交换并保存整个网络的链路信息，从而掌握整个网络的拓扑结构，独立计算路由。OSPF作为一种内部网关协议，用于在同一个自治系统中的路由器之间交换路由信息。OSPF的特性如下：（1）快速收敛（2）能够适应大型网络（3）能够正确处理错误路由信息（4）使用区域，能够减少单个路由器的CPU负担，构成结构化的网络（5）是无类别的路由协议，完全支持CODR和VLSM（6）支持多条路径等价负载均衡（7）使用组播地址来进行信息互通，减少了非OSPF路由器负载（8）使用路由标签来表示来自外部区域的路由（

17、9）支持简单口令和MD5认证（10）OSPF路由协议的管理距离是110（11）OSPF路由协议采用开销作为度量标准3.3.2 OSPF网络类型根据路由器所连接的物理网络不同，OSPF将网络主要划分为四种类型：广播多路访问型、非广播多路访问型、点到点型、点到多点型。表3-1列出了OSPF网络类型。表3-1 OSPF网络类型网络类型确定性特性是否选举DRHello间隔/sDead间隔/s广播多路访问Ethernet是1040非广播多路Frame Relay、 X.2530120点到点PPP、HDLC否点到多点管理员配置3.3.3 OSPF的运行步骤OSPF的运行步骤分为如下5个步骤：（1）建立路由

18、器的邻接关系（2）选举DR/BDR（3）发现路由器（4）选择适当的路由（5）维护路由信息3.5.4 OSPF 的协议报文OSPF有五种类型的协议报文：Hello报文：周期性发送，用来发现和维持 OSPF邻居关系。内容包括一些定时器的数值、DR（Designated Router，指定路由器）、BDR（Backup Designated Router，备份指定路由器）以及自己已知的邻居。DD（Database Description，数据库描述）报文：描述了本地 LSDB中每一条 LSA的摘要信息，用于两台路由器进行数据库同步。LSR（Link State Request，链路状态请求）报文：向

19、对方请求所需的 LSA。两台路由器互相交换 DD报文之后，得知对端的路由器有哪些 LSA是本地的 LSDB所缺少的，这时需要发送LSR报文向对方请求所需的 LSA。内容包括所需要的 LSA的摘要。LSU（Link State Update，链路状态更新）报文：向对方发送其所需要的 LSA。LSAck（Link State Acknowledgment，链路状态确认）报文：用来对收到的 LSA进行确认。内容是需要确认的 LSA的 Header（一个报文可对多个 LSA进行确认）。3.3.4邻居和邻接在 OSPF中，邻居（Neighbor）和邻接（Adjacency）是两个不同的概念。OSPF路由

20、器启动后，便会通过 OSPF接口向外发送 Hello报文。收到 Hello报文的 OSPF路由器会检查报文中所定义的参数，如果双方一致就会形成邻居关系。形成邻居关系的双方不一定都能形成邻接关系，这要根据网络类型而定。只有当双方成功交换 DD报文，交换 LSA并达到 LSDB的同步之后，才形成真正意义上的邻接关系。3.3.5 OSPF区域划分 随着网络规模日益扩大，当一个大型网络中的路由器都运行 OSPF路由协议时，路由器数量的增多会导致 LSDB非常庞大，占用大量的存储空间，并使得运行 SPF算法的复杂度增加，导致 CPU负担很重。 在网络规模增大之后，拓扑结构发生变化的概率也增大，网络会经常

21、处于“振荡”之中，造成网络中会有大量的 OSPF协议报文在传递，降低了网络的带宽利用率。更为严重的是，每一次变化都会导致网络中所有的路由器重新进行路由计算。OSPF协议通过将自治系统划分成不同的区域（Area）来解决上述问题。区域是从逻辑上将路由器划分为不同的组，每个组用区域号（Area ID）来标识。区域的边界是路由器，而不是链路。一个路由器可以属于不同的区域，但是一个网段（链路）只能属于一个区域，或者说每个运行 OSPF的接口必须指明属于哪一个区域。划分区域后，可以在区域边界路由器上进行路由聚合，以减少通告到其他区域的 LSA数量，还可以将网络拓扑变化带来的影响最小化。第四章 网络的设计与

22、实现4.1网络设计本网络是基于OSPF协议的，它是一种链路状态协议，向所有链路状态协议一样，OSPF协议和距离矢量协议相比，一个主要的改善在于它的快速收敛，这使得OSPF协议可以支持更大型的网络，并不容易受到有害路由选择信息的影响。网络设计的目的为用户需求分析提供了依据，要以实事求是的、科学的观点来完成网络建设。中小型企业网络建设的目的主要是实现企业范围内的数字化信息管理，建成具有高性能、高安全性的企业网络。网络系统以形成基础的Internet公共服务、业务分流系统为主。最终能够给企业带来信息化的管理，提高企业运行质量和工作效率。根据企业网络规划设计，整个网络实验的拓扑图如4-1所示：图4-1

23、 网络实验拓扑根据网络拓扑图可以去实现网络构建，步骤如下：（1）在R1、R3上运行OSPF，并将他们全部划分到区域0，让他们能学到各自的路由。（2）在R2上写入静态路由，以便R2能访问Internet，并知道把Internet回应的数据包发送给各个部门。（3）在S3上写入静态路由，让S3接入的终端设备，下一条都指向R1的F1/0端口。（4）S3根网桥：为了避免形成环路，将S3对各个网段的优先级都设为0，让S3成为所有网段的根网桥。（5）NAT：在R1上启动NAT技术，节省公网IP，让企业内部能够用私网地址访问Internet。4.2 网络实现4.2.1 IP地址分配 企业IP地址分配如表4-1

24、：设备 接口 IP地址R1Loopback 0192.168.0.1/32S0/0192.168.1.1/30S0/2192.168.1.9/30F1/0192.168.2.1/30F2/0192.168.2.5/30F3/0192.168.2.9/29R2F0/0202.202.202.1/24192.168.2.6/30192.168.2.10/29R3192.168.1.2/30R4192.168.0.2/32192.168.1.10/30S3VLAN 40192.168.19.1/24VLAN 10192.168.20.1/24VLAN 20192.168.21.1/24VLAN301

25、92.168.28.1/24VLAN 50192.168.2.2/30表4-1 IP地址分配4.2.2 路由器的基本配置（1）静态路由的配置：R1：设置缺省路由的下一跳ip route 0.0.0.0 0.0.0.0 192.168.2.10设置R1的目标网段地址、目标子网掩码和下一路由接口的IP地址ip route 192.168.16.0 255.255.240.0 192.168.2.2S3：ip route 0.0.0.0 0.0.0.0 192.168.2.1R2：ip route 0.0.0.0 0.0.0.0 172.0.98.1设置目标网段地址、目标子网掩码和下一路由接口的IP

26、地址ip route 192.168.0.0 255.255.0.0 192.168.2.9ip route 192.168.0.0 255.255.0.0 192.168.2.5 30（2）OSPF的配置：配置OSPF路由ID、划分IP地址到0区域router ospf 1router-id 192.168.0.1network 192.168.0.1 0.0.0.0 area 0静态路由重发布default-information originate metric 999 metric-type 1R3：router-id 192.168.0.2network 192.168.0.2 0.

27、0.0.0 area 0R4：router-id 192.168.0.3network 192.168.0.3 0.0.0.0 area 0S3根网桥的配置划分VLAN的优先级spanning-tree vlan 20 priority 0末端接口配置portfastinterface FastEthernet1/4spanning-tree portfast（3）NAT的配置在F0/0上做NATip nat inside source list 101 interface FastEthernet0/0 overloadaccess-list 101 permit ip 192.168.0.

28、0 0.0.255.255 any第五章 Windows环境下服务器5.1 WEB服务器Web服务器是可以向发出请求的浏览器提供文档的程序。（1）服务器是一种被动程序：只有当Internet上运行在其他计算机中的浏览器发出请求时，服务器才会响应。（2）最常用的Web服务器是Apache和Microsoft的Internet信息服务器（Internet Information Server，IIS）。（3）Internet上的服务器也称为Web服务器,是一台在Internet上具有独立IP地址的计算机,可以向Internet上的客户机提供WWW、Email和FTP等各种Internet服务。Web服务器是指驻留于因特网上某种类型计算机的程序。当Web浏览器（客户端）连到服务器上并请求文件时，服