计算机网络技术论文.docx

1、计算机网络技术论文毕 业 作 业 夹 （专 科） 题 目：公司网络组建计算机毕业设计论文 办学单位： 姓 名： 邓福成 学 号： 1351101450966 专 业： 计算机网络技术 指导老师： 四川成都建设北路一段七号 成都温江海峡两岸科技园新华大道二段179号摘要随着社会的发展，很多东西都在网络化了。我们的周围网络化的东西越来越多，不管是在生活上还是工作上。比如物流有物流的路线网络，交通有交通的路线网络所以说我们的生活都离不开网络。现在这里主要是介绍计算机的网络，并设计一个可以使公司内部的计算机可以互相访问甚至是外边的互联网都可以连通的方案。而且能提供多种应用服务，使信息能及时、准确地传送

2、给各个系统。而公司网络工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本毕业设计课题将主要以公司的局域网络建设过程可能用到的各种技术及实施方案为设计方向，为公司的网络建设提供理论依据和实践指导。关键字：局域网，计算机网络，防火墙，网络信息安全。一、前言1二、公司网络设计分析21、公司状况 2 2、应用和需求23、产品选型 3三、公司网络总体的方案设计71、拓扑图的结构和总体描述72、VLAN划分、子网配置和 IP地址分配83、网络安全与管理12四、结论15五、致谢15六、参考文献16一、前言在现代信息化的社会中，信息的交换更是频繁。网络功能更能体现出信息交流的速度化。有一

3、个良好而完整的信息交流系统和媒体是一个很重要的有提。互联网、局域网和各种网络都是信息化时代的产物，为的是提高信息的传递速度。而在此，局域网虽然是在广大的网络世界中只是其中的一小分子。但网络信息传递中，很多都是从这里开始的，而且局域网也在平时的工作上也带给了我人许多的便利。一个良好的局域网必需具备有效率高，安全性高，速度快，稳定性好。这才能使工作因为网络信息传递的出错率降到最低。在进入21世纪之后，网络的发展速度越来越快，而需求也是越来越多。局域网的应用小到普通的家庭用户、一些公司企业等，大到一个小区，甚至网吧，都是先接入局域网后再连接互联网的。这就充分体现了局域网的优越性。二、公司网络系统设计

4、1、公司状况公司计算机网络系统总体上是一个星型结构的网络，根据网络规模的不同，可分为百兆以太网和千兆以太网两种，根据各部门内部的信息不同，又可以划分为几个区域。公司的网络应用一般包含Internet访问，部门内部的信息交流与共享和各部门的信息传递。大型公司在内联网上还会建立服务器（用于公司对外的各种信息收集和宣传，还有内部的信息备份，和数据库源，和分公司的信息同步起来。），具有信息共享、传递迅速、使用方便、高效率等特点的处理系统.2、应用和需求 公司的网络主要应用是互联网的访问。在局域网应用方面，可以让部门内部的信息交流和共享起来，和各部门的信息传递，必要情况下可以资源共享等等，从而提高员工和

5、企业的工作效率。在局域网中，可以采用相关的访问控制路由器及其控制技术来阻止来自不安全网络或某些部门的非法访问或非授权访问，使各部门的秘密商业信息得到保证。具体就是控制办公和其他网络对业务网络的访问。采用安全检测技术来实时检查进出网络的数据流，动态防范各种来自内外网络的恶意攻击，在产生任何有威胁的安全行为时，要及时通知网络管理人员，尽可能在初期就把安全的隐患消灭掉，尤其是在病毒大规模爆发以前就提出详细的解决办法，并提供安全策略。采用杀毒软件及技术实时监测进入网络或服务器的数据，防止病毒对网络或主机的侵害，和避免病毒和蠕虫在网络内造成破坏。整个网络是采用千兆网经过路由接入到服务器和交换机，然后再分

6、流以百兆网接入到各部门的交换机（或主机）再到每台主机。这可以很好地发挥各方面的应用，网络带宽也不会成为瓶颈。公司一般采用一条100M光纤宽带接入，这样基本可以满足到公司的带宽要求。在用户众多的情况下，对信息安全有一定的要求，各部门公布情况如下：（1） 经理部 主要是经理、董事、领导等公司高层人员用户。（2） 财务部 主要负责公司财务的高层员工的用户。（3） 研发部 主要对公司产品的研发和对产品的以后的发展进行研究的部门用户（4） 办公区 公司的主要写字楼职员办公处（5） 工厂区 是公司产品的生产所在地方，方便有关部门对生产线实施监控。3、产品选型 为了尽量减少公司中心网络受到病毒的攻击，根据以

7、上的现有网络运营情况和具体业务要求，决定使用美国 FortiGate 500A 高性能的防火墙来构建网络 。 FortiGate 产品支持远程管理和集中管理。由于是基于 Web 方式的管理，管理员只需要任何一台带有 IE 浏览器的计算机，可以访问到 FortiGate 的 IP 地址，并且拥有相应的访问权限，便可随时对 FortiGate 进行管理和监控。 作为 Firewall 安全设备的领先厂商， Fortinet 公司的 FortiGate 安全平台通过动态威胁防御技术、高级启发式异常扫描引擎提供了无与伦比的功能和检测能力。 Fortinet 公司的 FortiGate 500A 提供以

8、下功能和好处： 集成关键安全组件的状态检测防火墙。 可实时更新病毒和攻击特征的网关防病毒。 IDS 和 IPS 预置 1400 个以上的攻击特征，并提供用户定制特征的机制。 VPN （支持 PPTP 、 L2TP 、 IPSec 和 SSL VPN ）。 反垃圾邮件具备多种用户自定义的阻挡机制，包括黑白名单和实时黑名单（ RBL ）等。 Web 内容过滤具有用户可定义的过滤器和全自动的 FortiGuard 过滤服务。 带宽管理防止带宽滥用。 用户认证，防止非授权的网络访问。 动态威胁防御提供先进的威胁关联技术。 ASIC 加速提供比基于 PC 工控机的安全方案高出 4-6 倍的性能。 加固的

9、操作系统，不含第三方组件，保证了物理上的安全。 完整的系列支持服务，包括日志和报告生成器、客户端安全组件。下图表为FortiGate 500A的性能指标：产品性能指标1.基本规格(1) 设备类型中小型企业级防火墙(2) 硬件参数8口(10/100)以太网口、2个千兆以太网口(3) 构架ASIC(4) 网络吞吐量500M(5) 最大并发连接数40万(6) 管理方式SNMP2.安全功能(1) VPN支持5000(2) 入侵检测Dos、DDoS(3) 设备联动支持(4) 主要功能5000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。支持VLAN、流量控制、内嵌日志3.产品资质许可认证计算机信息系统

10、安全专用产品销售许可证网络连接媒介主要以双绞线和光纤为主。网络中使用的交换机是STAR-S3550-24/S3550-48是两款全线速三层交换、具有高安全和完整QoS特征的千兆智能多层交换机。STAR-S3550-24/S3550-48可为各类型网络提供所需交换和服务功能，适合集合多个配线间或工作组交换机的流量，并可同锐捷各系列交换机配合为用户提供完整的端到端解决方案，适用：大型网络的汇聚层和中小型网络的骨干高性价比的多层交换解决方案丰富的IP组播传输特性完善的管理策略应用，帮助管理带宽和保护多媒体、视频、语音、重要数据等关键任务应用完善的管理策略应用，帮助管理带宽和保证语音、组播音视频服务及

11、视频点播等关键任务的应用丰富的安全管理策略应用，提供高安全接入控制和有效控制网络访问下图表为锐捷STAR-S3550-24/S3550-48的性能指标：图1-1性能指标端口12口GBIC接口GBIC或Mini-GBIC模块GBIC-GT：单口1000BASE-T模块GBIC-SX：单口1000BASE-SX模块GBIC-LX：单口1000BASE-LX模块背板48Gbps包转发速率18MppsMAC地址16K802.1q VLAN4KACLIP标准ACL（基于IP地址的硬件ACL）、IP扩展ACL（基于IP地址、传输层端口号的硬件ACL）、MAC扩展ACL（基于源MAC地址、目的MAC地址和可

12、选的以太网类型的硬件ACL）、基于时间ACL、专家级ACL （可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间灵活组合的硬件ACL）L2协议IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.1s、 IEEE802.3ab、IEEE802.1Q (GVRP)、IEEEE802.1d、IEEE802.1w、IGMP Snooping、LLDPL3协议OSPF、RIPV1、RIPV2、PIM（DM/SM/SSM）、DVMRP、VRRP、

13、IGMPv1/v2/v3管理方式SNMPv1/v2c/v3、Web(JAVA)、CLI(Telnet /Console)、RMON(1,2,3,9)、集群、SSH、基于HTTPS的Web管理、Syslog其它协议和技术BootP、DHCP Relay、Jumbo Frame、RADIUS/TACACS+网络介质和最大传输距离1000BASE-SX：波长850nm，62.5/125多模光纤线的最大传输距离为220m；50/125多模光纤线的最大传输距离为500m； 1000BASE-LX：波长1310nm，62.5/125多模光纤线的最大传输距离为550m； 50/125多模光纤线的最大传输距离

14、为550m；9/125单模光纤线的最大传输距离为10Km；1000BASE-ZX：波长1550nm，9/125单模光纤线的最大传输距离为50Km和80Km两种；10/100/1000BASE-T：使用5类UTP或STP最大传输距离为100m；尺寸（长*宽*高）440mm * 330mm * 67mm电源176VAC 264VAC，47Hz 63Hz ，或10.6 13.2VDC/最大5.3A温度工作温度： 0 到 40存储温度：-40 到 70湿度工作湿度：10% 到 90% RH存储湿度： 5% 到 95% RH网络建设根据功能区划分由锐捷网络STAR-S3550-24交换机组成4-6个交换

15、机组。适当的分配堆叠数量，提供200多个100M交换端口，所有主机都通过100M网卡连接到交换机上，使100M 带宽到每个用户。交换机组采用GB2 模块与 锐捷网络RG-S6506千兆交换机相连。这样，在交换机和交换机之间可达到1000M的带宽，而同一交换机组内部可达到最高15Gbps 的带宽。服务器等设备直接与1000M交换机上的100M以太网模块连接。图1-2三、公司网络总体的方案设计1、拓扑图的结构和总体描述根据公司的要求，拓扑图的大概结构如下：图2-1方案特点此方案可以有良好的网络的管理和监控功能。利用防火墙等硬件设备，可以很好的控制各种数据服务和数据的流向，而且对各部让的网络配置也能

16、有效的管理，提高网络的效率。就算某个地方出错了，也能快速检测和定位，得出出错的地方，而去维护。此方案还有其它特点：1、比如适合各部门各方面的要求，满足用户的应用。2、完善了局域网之间和INTERNET网之间的问题。3、布线明了，方便，可行性强。在各分部网络间工作量少了。4、方案相比其它的具有成本低，性价比也好，而且在大体方面扩展性也强。5、用防火墙设备的日志、监控、告警功能，可以很好的管理和监控各部门的网络运行状态。6、数据高度保密。方案达到目的 一个好的网络，当然也是要有良好的安全功能，所以在防护方面也是非常之重要的。首先将服务器作为核心防护区域，在研发部、经理部和财务部这三个部门的网关处部

17、署防病毒网关，这样就可以有效地阻止各部门间和服务器之间的病毒互相传播。就算是病毒发作了，也能将其控制在一个部门内，不会影响到其它部门和主干网的安全。同时也可以算是弥补一下别的部门只依靠杀毒软件来防护网络病毒的入侵，防止病毒阻塞带宽。 通过网络安全建设，需要达到以下目的：1、在技术层面上要能保护网络系统的原有性和网络资源的合法使用性；防范一些黑客的恶意攻击和破坏，能使信息在网上传输的机密性、完整性及不可抵赖性。还要防范病毒的侵害和网络内外的攻击。保留系统日志和网络日记为管理安全运作提供支持。2、在应用层面上要切合实际应用，满足业务营运要求。提供方便、简单、完善、实用的网络运营体系，充分考虑公司网

18、络运营的未来发展和网络建设整体投资。还需要有提供完整网络运行监控和管理功能。2、VLAN划分、子网配置和 IP地址分配虚拟网络（VLAN，Virtual Local Area Network）是指一个根据功能、用途、工作组及应用等因素将用户从逻辑上划分为一个相对独立的网络，是一个可跨越不同网段、不同网络、不同位置的端到端的逻辑网络。它有以下一些优点：增加了网络连接的灵活性；控制网络上的广播；加强了网络的安全性；网络管理简单、直观。根据VLAN的类型，可以有以下几种划分方法：基于端口：将局域网交换机中的几个端口指定成一个VLAN。MAC地址：根据每个主机的MAC地址来划分VLAN，即对每个MAC

19、地址的主机都按组来配置VLAN。基于网络地址：按照交换机连接的网络站点的网络层地址划分VLAN，从而确定交换机端口所属的广播域。基于用户：根据具体的网络用户的特别要求来定义和设计VLAN。在VLAN划分的同时也要考虑IP地址的分配。IP地址在分配上主要进行网络设备、服务器、计算机这三部分的工作，而这也是体现在VLAN的划分过程中的。首先，申请3个公网C类IP地址（如：*.*.*.1*.*.*.3）, 再进行网络设备和需要对外服务的服务器IP地址的分配。公司网络设备及对外服务器IP分配如下表主机名设备名称IP设置500A防火墙外口*.*.*1/24500A防火墙内口192.168.1.1/24s

20、6506网络中心核心交换机192.168.1.2/24s3550A经理部192.168.1.3/24s3550B研发部192.168.1.4/24s3550C财务部192.168.1.5/24s3550D办公区192.168.1.6/24s3550E工厂区192.168.1.7/24wwwWeb服务器*.*.*.2/24ftp/mailFTP/E-mail服务器*.*.*.3/24图2-2在进行VLAN的划分时要定义VLAN IP，这就要考虑到公司的计算机IP地址的规划。IP地址是我们接入Internet不可缺少的重要网络资源。近年来，由于各国的发展，特别是中国，Internet的应用与日俱增

21、，IPv4地址已日近枯竭。国此，IP地址如何更合理和规范的使用是我们必须要面对的问题。在建设校园网等项目时更是应该注意这个问题，这主要体现在IP地址的分配上。目前，IP地址的分配的手段有：1利用子网掩码进行网络的子网化；2保留网络地址分配和网络地址的转换（NAT）；3可变长度子网掩码；4无类别域间路由。目前在各校园网、企业网中基本都用采用“保留网络地址分配和网络地址的转换”的方法进行IP地址的规划。它可以有效的解决IP地址不足的问题，而且在内部采用A类保留地址10.0.0.0，可以为学校、公司、企业内部网络提供一个很大的IP地址空间，结合子网掩码进行子网化设计，地址和子网空间的设计要求不必太严

22、格，这样可以设计变得更加简单和灵活，而且具有很强的扩充性，为以后网络的升级提供有利条件。结合公司实际的情况，采用“保留网络地址分配和网络地址的转换”的方法来对IP地址进行规划。在网络内部采用A类保留地址，用申请的公网IP地址进行网络地址的转换（NAT）。根据公司实际情况拟定在VLAN的划分上按照以下方案执行：在网络中心s6506上把需要分开的部门划分出VLAN（如研发部、财务部、办公区等），形成子网；再在各楼汇聚交换机s3550上定义VLAN端口，把相应的端口划分到其所在VLAN。公司的VLAN划分及计算机IP分配如下表所示：VLAN号子网号VLAN IPIP地址规划计算机描述1110.1.1

23、.0/2410.1.1.110.1.1.11250/24 *.*.*.320/24服务器子网12192.168.1.0/24192.168.1.1192.168.1.1254/24网络设备子网2110.2.1.0/2410.2.1.110.2.1.11250/24经理部3110.3.1.0/2410.3.1.110.3.1.11250/24研发部4110.4.1.0/2410.4.1.110.4.1.11250/24财务部5110.5.1.0/2410.5.1.110.5.1.11250/24办公区6110.6.1.0/2410.6.1.110.6.1.11250/24工厂区根据以上的表对计算

24、机IP地址进行分配，在网络中心的DNS服务器上设置DHCP服务，为公司的计算机进行IP地址自动分配，在网络中心核心交换机上作地址转换(NAT)，使公司内计算机能访问Internet,公司要是还有服务器不对外服务，如DNS,数据，资料，重要文件，内部信息等服务器，他们的建设都是为了内网公司内部人员服务。它们和网管工作站也被规划为服务器子网，但使用内部IP地址。具体如下：对内服务服务器IP规划主机名 设备名称 IP设置 默认网关 DNS DNS服务器 10.1.1.11/24 10.1.1.1 数据 数据服务器 10.1.1.12/24 10.1.1.1 资料 资料服务器 10.1.1.13/24

25、 10.1.1.1 内部信息 内部信息服务器 10.1.1.14/24 10.1.1.1 admin 网管 10.1.1.21/24 10.1.1.13、网络安全与管理（1）网络安全 网络安全是指整个计算机网络系统的安全，这包括硬件、软件及系统中的数据均受到保护，不受偶然的或者恶意的破坏、更改、泄露，从而保证系统连续可靠正常地运行，网络的服务不中断。它包括五个基本要素：保密性、完整性、可用性、可控性与可审查性。构成网络安全威胁的主要因素，从网络信息的角度来分析，所面临的安全威胁主要来自：1、非授权访问。2、信息泄漏或丢失。3、破坏数据完整性。4、破坏系统的可用性。5、网络病毒传播。 对于这些安

26、全隐患，我们需要制定一个合理的安全策略，这个策略需要详细阐明要保护的地方1、风险管理：针对网络信息系统存在的漏洞缺陷、面临的风险与威胁，采用安全风险评估技术来实现安全措施；对于可能发现的漏洞、风险，规定相应的补救方法（操作平台、系统应用程序及时打补丁），或者取消一些相应的服务（关闭不必要的端口和服务器）。2、行为管理：对网络行为、各种操作进行实时监控，对各种行为进行分类管理，规定行为范围和期限。3、信息管理：信息是网络系统的重要资源，由于它的特殊性，因此必须采用特殊的方式和方法进行管理，根据具体的实际情况，对不同类型、不同敏感度的信息，规定合适的管理制度和使用方法。4、安全边界：信息系统与外部

27、环境的连接处是防御外来攻击的关口，根据具体情况，必须规定系统边界上的连接情况，防止非法用户的入侵以及系统敏感信息的外泄，如可以利用防火墙对进出的连接情况进行过滤和控制。5、系统安全：操作系统是信息系统运行的基础平台，它的安全也是信息安全的基础。根据具体的安全需求，应该规定所要采用的操作系统类型、安全级别以及使用要求。为了实现这个目的，可以采用不同安全级别的操作系统，或者在现有的操作系统上添加安全外壳。 6、身份认证与授权：信息系统是为广大用户提供服务的，为了区分各个用户以及不同级别的用户组，需要对他们的身份和操作的合法性进行检查。体系应该规定实现身份认证与权限检查的方式、方法以及对这些用户的管

28、理要求。 7、应用安全：基于网络信息的应用系统有很多，存在的安全问题也很多。为了保证安全，应该根据安全需求规定所使用的应用的种类和范围以及每一种应用的使用管理制度。 8、数据库安全：保护数据库的安全一直是一个核心问题。为了达到这个目的，需要规定所采用的数据库系统的类型、管理、使用制度与方式。 9、链路安全：链路层是网络协议的下层协议，针对他的攻击一般是破坏链路通信，窃取传输的数据。为了防御这些破坏、攻击，需要规定可以采取的安全措施，如链路加密。 10、桌面系统安全：桌面系统包含着用户能够直接接触到的信息、资源，也是访问信息系统的一个入口，对它的管理和使用不当也会造成敏感信息的泄露。所以，需要对

29、各个用户提出使用桌面系统的安全要求，进行必要的安全保护。 11、灾难恢复与备份：不存在绝对安全的安全防护体系，为了减少由于安全事故造成的损失，必须规定必要的恢复措施，以使在系统受到攻击或出现安全方面的问题之后，能够使系统尽快地恢复正常的运转，并对重要的信息进行周期性的备份。 12、集中安全管理：为了便于安全体系的统一运转，发挥各个组件的功能，必须对体系实施集中统一的管理。因此，需要制定科学的管理制度，成立相应的管理机构。（2）网络管理 在网络管理上，我们要使网络管理标准化。基本的网络管理功能分成五个功能域。 1、故障管理故障管理是网络管理功能中与故障检测、故障诊断和故障恢复或排除等工作相关的部分，其目的是保证网络能够提供连续、可靠的服务。 2、配置管理 一个计算机网络是由多种多样的设备连接而成的。这些设备组成网络的各种物理结构和逻辑结构。结构中的各种参数、状态和名字等信息需要相互了解和相