中国矿业大学计算机网络与安全实践设计报告.docx

1、中国矿业大学计算机网络与安全实践设计报告计算机网络与安全实践设计报告某集团公司局域网设计专业: 信息安全 班级: XXXXXXX 小组成员： xxx xxx xxx 指导教师： XXX 职 称： XXX 中国矿业大学计算机科学与技术学院2012年 6月 徐州题 目某集团公司局域网设计设计日期2012年 6月11日至 2012年 6月18日小组成员在本次设计中承担的任务文档成绩管宇佳网络拓扑设计及设备选型吴春姗需求分析调查、案例分析以及实验报告丁君具体网络配置指导教师签字： 年 月 日目录一、引言 51.1建立企业局域网的必要性 51.2需求分析 5二、网络设计的目标与要求 62.1 问题重述

2、62.2 整体设计策略 62.3网络设计步骤 6三、背景知识与分析 63.1背景知识 6四、方案设计与实现 74.1 总体规划 74.2 设备选择 84.2.1 选型原则 84.2.2 网络层次划分 硬件系统结构硬件选择 84.3 网络拓扑设计 94.4 VLAN与IP地址规划 104.5 设备配置 104.5.1 路由器交换机的基本配置 104.5.2 配置VLAN 104.5.3 配置VTP 114.5.4 配置动态路由协议 124.5.5 配置DHCP 124.5.6 配置NAT 134.5.7 配置默认路由 144.5.8 配置VPN 144.6 NAT设计分析 154.7 路由协议的

3、规划 154.7 系统安全设计 16五、网络安全设计与管理 165.1病毒防治 165.2建立防火墙 175.3网络的保密措施 175.4数据安全性和完整性措施 18六、本方案的系统特点 196.1 合理的系统结构 196.2 可靠的安全防护 196.3 充分的扩充余地 206.4 稳定的系统性能 20七、结束语 20八、致谢 20一、引言21世纪是一个信息技术高度发达的社会，无论是办公或者是通信都离不开计算机。现在的人越来越依靠于计算机，再加上电子商务行业的飞速发展Internet的应用也更加广泛。由于这样的社会环境人们对各种数据形式的信息需求和交流的不断增长，使得当今的计算机网络，特别是I

4、nternet从传统的数据处理设备（如计算机）和管理工具中驳离出来，担当一个非常重要的角色信息技术的基础设施与获取、共享和交流信息的主要工具，并成为人们在当今社会生活及工作中不可缺少的组成部分。经过了几年的迅猛发展，计算机网络已经在很多方面改变了人们传统的工作和生活方式Web浏览、Email、QQ（上网聊天）、VOD（视频点悉播）、文件传输、远程诊断、电子商务、网络大学及虚拟学校等无一不与计算机网络有着千丝万缕的联系。这些基于网络的各种应用，正在以惊人的速度扩展，几乎渗透到了社会生活的各个方面。因此，在全球信息电子化、网络化迅速发展的大环境下，无论是从大趋势上看，还是从自身商业利益角度考虑，建

5、立企业内部局域网是企业顺应时代潮流的必由之路。1.1建立企业局域网的必要性(1) 建立企业内部局域网，可以充分利用企业现有的硬件资源。节约公司开支，实现无纸化办公。提高企业员工的工作效率，由于局域网企业内部的资源可以得到共享，避免了不必要的重复工作也可以提高时间的利用率；(2) 局域网建成后可以节约企业在使用网络资源方面节约更多的开支，便于公司员工查阅和接受网络信息，也可以简化公司对计算机的日常维护和管理，节约维护成本；(3) 建立局域网提高公司在办公自动化水平和企业内部应用电子商务的能力，逐步实现业务级网络应用。更有利于企业获得更快、更准确的市场信息，为公司决策提供更科学的依据等；(4) 建

6、立了局域网也可以使外界能更快更好的认识本企业，加强企业的知名度。1.2需求分析为了能让公司更好的与现代社会的发展接轨，更快的获取市场信息及为了让外界了解该本公司的相关信息特组建企业网，以实现对“公司档案管理”、“产品信息”、“供求信息”等进行计算机网络化管理。网络功能根据公司现有规模，业务需要及发展范围建立的网络有如下功能：1.建立公司自己的网站，可向外界发布信息，并进行网络上的业务。2.要求供销部可以连接Internet，与各企业保持联络，接受订单及发布本公。3.司产品信息。其他部门都不能连接Internet，但要求公司内部由网络连接。4.公司内部网络实现资源共享，以提高工作效率。5.建立网

7、络时应注意网络的扩展性，以方便日后的网络升级和增加计算机。6.司内部建立公司的数据库，如员工档案，业务计划，会议日程等。二、网络设计的目标与要求2.1 问题重述某集团公司共六个分公司，其中四个在集团工业园内各个建筑物内，总部为工业园内30层的主楼，第一分公司与主楼相距50米，第二分公司与主楼相距50米，第三分公司与主楼相距5公里，第四分公司与主楼相距8公里，另外两个分公司在另外的两个城市有各自的办公楼。各公司及总部都有自己的计算机室，财务部，行政部，生产部，研发部，后勤部，业务部及人力资源部。2.2 整体设计策略因特网投入和区域网分离首先，在项目的具体设计过程中，我们需要将因特网接入部分和集团

8、公司园区网络主体部分进行分离，这样的话让每一部分完成其自身的功能，可以减少两者之间的相互影响。其次，因特网接入的变化，只影响接入的变化，对集团公司园区网络没有影响；而园区网络的变化对因特网接入部分影响较小。这样可以增强网络的扩展能力。保持网络层次结构清晰，便于管理和维护。降低各子公司间的网络关联度由于各子公司之间主要是与集团公司进行业务的往来。子公司之间的业务往来比较少，因此降低这部分的网络关联，可以最大限度的减少各个子公司网络之间的相互影响，便于分别管理，或者在不同子公司扩展网络的新应用。统一标准，统一管理在整个操作完成中，我们采用统一的IP应用标准（IP地址，路由协议），安全标准， 接入标

9、准和网络管理平台，这样才能实现真正的统一管理，便于集团的管理和网络策略的实施。2.3网络设计步骤对公司网络系统整体方案设计对接入层交换机进行配置对汇聚层设备选型对核心层设备选型对广域网接入路由器进行配置对远程访问服务器进行配置对整个公司网系统进行测试三、背景知识与分析3.1背景知识路由、交换与远程访问技术是现代计算机网络领域中三大支撑技术体系。它们几乎涵盖了一个完整园区网实现的方方面面。路由技术：路由协议工作在OSI参考模型的第3层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表（Access Contro

10、l List，ACL），路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本题案例设计中，内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。交换技术：传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了园区网数据交换服务质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网（Virtual LAN，VLAN）的概念。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候

11、，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（Vlan Trunking Protocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换的部署是分层进行的。园区网数据交换设备可以划分为三个层次：访问层、分布层、核心层。访问层为所有的终端用户提供一个接入点；分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能；核心

12、层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。在本工程案例设计中，也将采用这三层进行分开设计、配置。远程访问技术：远程访问也是园区网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型：专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同，花费也不相同。企业用户可以根据所需带宽、本地服务可用性、花费等因素综合考虑，选择一种适合企业自身需要的广域网接入方案。）在本工程案例设计中，分别采用专线连接（到因特网）和电路交换（到公司网）两种方式实现远程访问需求。作为一个较为完整的公司网实现，路由、交换与远程访问技术缺一不可。

13、在后面的内容中，我们将就每一技术领域的常用技术的实现进行详细的讨论。通过本书后面章节的学习，相信读者能够系统地掌握园区网的设计、实施以及维护技巧。四、方案设计与实现4.1 总体规划采用的是层次设计模型，即分别有核心层，汇聚层和接入层，这样的设计模型便于对整个网络的管理与排错，但对核心交换机的性能要求较高。因此，本网使用两台核心交换机，并且汇聚层交换机都分别与两台核心层交换机相连，然后采用HSRP协议，当其中一台核心交换机出现故障时能很快地切换到另一台核心交换机上，起到很好的备份作用，保证了网络的稳定性。总部与其中四个公司距离不远，采用光纤接入，可保障数据的快速传输。但分公司5和分公司6因为在不

14、同的城市，距离较远，拉专线相连开销过大，因此我们将总公司和分公司的边缘路由器都连到Internet上，然后采用VPN技术使分公司能与总公司能够互相通信。考虑到分公司较多，可能需要传递的路由条目比较多，因此，本网运行当今中大型网络中主流的动态路由协议OSPF。OSPF使用区域的概念，当网络拓扑发生改变时,影响的范围只限制在局部的本区域内，避免对全网的影响。由于公司内部使用的都是私有IP地址，因此边缘路由器上我们需要采用NAT技术把私有IP地址转换为公有IP地址才能访问Internet。所有边缘路由器先连接防火墙再连接到Internet，防火墙连接Internet的接口设置为外部接口，连接公司边缘

15、路由器的接口为内部接口，连接服务器的接口为DMZ。这样可预防外部人员对公司的网络进行攻击，为网络提供了一定的安全保障。4.2 设备选择4.2.1 选型原则我们在网络系统设计时考虑如下特点：稳定可靠的网络：一般来说，只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素，要求有物理层、数据链路层和网络层的备份技术。高带宽：为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用最先进的网络技术，以适应大量数据和多媒体信息的传输，所以采用高宽带传输。易扩展的网络：系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网

16、络有很好的可扩展性，并能随着技术的发展不断升级。安全性：网络系统应具有良好的安全性，才能使用户用着比较合适，由于网络连接园区内部所有用户，安全管理十分重要。所以应支持VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。 容易控制管理:因为上网用户很多，因此我们需要管理好他们的通信，做到既保证一定的用户通信质量，又合理的利用网络资源。 4.2.2 网络层次划分 硬件系统结构硬件选择接入层：Cisco Catalyst 2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面智能以太网，可与10/100/1000千兆以太网连接，可为入门级企业

17、、中型市场和分支机构网络提供增强LAN服务。Cisco Catalyst 2960可提供：集成安全特性，包括网络准入控制(NAC)高级服务质量(QoS)和永续性为网络边缘提供智能服务汇聚层：Cisco Catalyst 3560-E系列交换机(图1)是一个企业级独立式配线间交换机系列，支持安全融合应用的部署，并能根据网络和应用需求的发展，最大限度地保护投资。通过将10/100/1000和以太网供电(PoE)配置与万兆以太网上行链路相结合，Cisco Catalyst 3560-E能够支持IP电话、无线和视频等应用，提高了员工生产率。Cisco Catalyst 3560-E系列的主要特性：Ci

18、sco TwinGig转换器模块，将上行链路从千兆以太网移植到万兆以太网PoE配置，为所有48个端口提供了15.4W PoE模块化电源，可带外部可用备份电源在硬件中提供组播路由、IPv6路由和访问控制列表带外以太网管理端口，以及RS-232控制台端口核心层：通过 Cisco Catalyst 6500 系列交换机远程对网络进行有效的扩展、虚拟化、保护和管理。Cisco Catalyst 6500 系列提供功能丰富的高性能平台，适合在园区、数据中心、WAN 和城域以太网网络部署，为无边界网络奠定了坚实的基础，从而让您能够随时随地任意连接。Cisco Catalyst 6500 系列交换机主要特性

19、：扩展性能与网络服务虚拟交换系统安全 网络虚拟化 集成服务与运营效率4.3 网络拓扑设计图1 网络拓扑4.4 VLAN与IP地址规划表1：部门VLANIP地址计算机室10172.16.10/24财务部20172.16.20.0/24行政部30172.16.30.0/24生产部40172.16.40.0/24研发部50172.16.50.0/24后勤部60172.16.60.0/24业务部70172.16.70.0/24人力资源部80172.16.80.0/244.5 设备配置4.5.1 路由器交换机的基本配置Routerenable/从用户模式进入特权模式Router#configure te

20、rminal/进入全局配置模式Router(config)#hostname My1-Router/设置设备名称My1-Router(config)#line vty 0 4My1-Router(config-line)#password ciscoMy1-Router(config-line)#privilege level 15/设置登录密码，设置等级为15级SwitchenableMy1-Router Switch#configure terminalSwitch(config)#hostname My1-SwitchMy1-Switch(config)#interface fastEt

21、hernet 0/1My1-Switch(config-if)#no switchportMy1-Switch(config-if)#exitMy1-Switch(config)#line vty 0 4My1-Switch(config-line)#password ciscoMy1-Switch(config-line)#privilege level 154.5.2 配置VLANMy1-Switch(config)# vlan 10/创建VLAN My1-Switch(config-vlan)# name Computer/设置VLAN名字My1-Switch(config-vlan)#

22、 exitMy1-Switch(config)# vlan 20My1-Switch(config-vlan)#name FinanceMy1-Switch(config-vlan)#exitMy1-Switch(config)#vlan 30My1-Switch(config-vlan)#name AdministrationMy1-Switch(config-vlan)#exitMy1-Switch(config)#vlan 40My1-Switch(config-vlan)#name ProductionMy1-Switch(config-vlan)#exitMy1-Switch(con

23、fig)#vlan 50My1-Switch(config-vlan)#name R&DMy1-Switch(config-vlan)#exitMy1-Switch(config)#vlan 60My1-Switch(config-vlan)#name LogisticsMy1-Switch(config-vlan)#exitMy1-Switch(config)#vlan 70My1-Switch(config-vlan)#name BusinessMy1-Switch(config-vlan)#exitMy1-Switch(config)#vlan 80My1-Switch(config-v

24、lan)#name HRMy1-Switch(config-vlan)#exit交换机互联接口设为trunk接口ACCESS1(config)#interface FastEthernet0/1ACCESS1(config-if)# switchport mode trunk交换机连接终端的接口设为access接口，并划入vlanACCESS1(config)#interface FastEthernet0/2ACCESS1(config-if)# switchport access vlan 10ACCESS1(config-if)# switchport mode access 4.5.3

25、 配置VTPMy1-Switch(config)#vtp domain ccie/设置VTP域名My1-Switch(config)#vtp password cisco/设置VTP密码My1-Switch(config)#vtp mode server/设置VTP模式4.5.4 配置动态路由协议My1-Switch(config)# router ospf 110/开启OSPF进程My1-Switch(config-router)# router-id 1.1.1.1/设置OSPF的router-idMy1-Switch(config-router)# network 172.16.1.1

26、0.0.0.0 area 0/宣告路由进区域04.5.5 配置DHCPSwitch(config)# ip dhcp pool VLAN10/设置DHCP池Switch(dhcp-config)# network 172.16.10.0 255.255.255.0/为用户分配的IP地址Switch(dhcp-config)# default-router 172.16.10.254/告诉用户DHCP网关路由器IPSwitch(dhcp-config)# dns-server 202.100.100.100/告诉用户DNS服务器的IP。Switch(config)# ip dhcp pool V

27、LAN20Switch(dhcp-config)# network 172.16.20.0 255.255.255.0Switch(dhcp-config)# default-router 172.16.20.254Switch(dhcp-config)# dns-server 202.100.100.100Switch(config)#ip dhcp pool VLAN30Switch(dhcp-config)#network 172.16.30.0 255.255.255.0Switch(dhcp-config)#default-router 172.16.30.254Switch(dhc

28、p-config)#dns-server 202.100.100.100Switch(config)#ip dhcp pool VLAN40Switch(dhcp-config)#network 172.16.40.0 255.255.255.0Switch(dhcp-config)#default-router 172.16.40.254Switch(dhcp-config)#dns-server 202.100.100.100Switch(config)#ip dhcp pool VLAN50Switch(dhcp-config)#network 172.16.50.0 255.255.2

29、55.0Switch(dhcp-config)#default-router 172.16.50.254Switch(dhcp-config)#dns-server 202.100.100.100Switch(config)#ip dhcp pool VLAN60Switch(dhcp-config)#network 172.16.60.0 255.255.255.0Switch(dhcp-config)#default-router 172.16.60.254Switch(dhcp-config)#dns-server 202.100.100.100Switch(config)#ip dhc

30、p pool VLAN70Switch(dhcp-config)#network 172.16.70.0 255.255.255.0Switch(dhcp-config)#default-router 172.16.70.254Switch(dhcp-config)#dns-server 202.100.100.100Switch(config)#ip dhcp pool VLAN80Switch(dhcp-config)#network 172.16.80.0 255.255.255.0Switch(dhcp-config)#default-router 172.16.80.254Switc

31、h(dhcp-config)#dns-server 202.100.100.1004.5.6 配置NATMy1-Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255/定义标准ACL，匹配需要转换为公有IP的内网地址My1-Router(config)#ip nat inside source list 1 interface f0/0/配置基于端口的NATMy1-Router(config)#interface f0/1My1-Router(config-if)#ip nat inside/设置NAT入向接口My1-Router(config)#exitMy1-Router(