企业局域网组建毕业论文.doc

资源描述

运城职业技术学院2016届毕业设计说明书毕业设计论文企业局域网组建学生姓名：学号：系部：电子信息工程系专业：计算机网络技术指导教师：二零一五年一月 3 摘要信息话浪潮风起云涌的今天，企业内部网络的的建设已经成为提升企业核心竞争力的关键因素。企业网已经越来越多的被人们提到，利用网络技术，现代企业可以在供应商、合作伙伴、员工之间实现优化的信息沟通。这直接关系到企业能否获得关键竞争优势。近年来越来越多的企业都在加快建设自身信息网络，而其中绝大多数都是中小型企业。目前我国企业尤其是中小型网络建设正如火如荼的进行着，本方案以中小型企业内部局域网的组件需求、实际管理为出发点，从中小型企业局域网的管理需求和传统局域网技术入手，研究了局域网技术在企业管理中的应用。关键词：网络技术企业局域网企业内部网络目录摘要 1 1.绪论 3 2.组网方案 5 3.可行性研究和需求分析 7 3.1技术可行性 7 3.1.1NAT技术 7 3.1.2 VLAN技术 8 3.2需求分析 8 3.2.1带宽性能需求 8 3.2.2网络安全需求 9 3.2.3应用服务需求 9 3.3设计所需环境 9 3.3.1硬件要求 9 3.3.2软件要求 9 4.交换模块与接入模块 10 4.1核心层交换机配置 10 4.1.1设置核心交换机名称 10 4.1.2启动三层交换机的路由功能 10 4.1.3核心交换机接口设置 10 4.2汇聚层交换机配置 11 4.2.1设置交换机名称 11 4.2.2配置G0/1接口 11 4.2.3默认路由设置 11 4.3路由器基本参数配置 11 4.4设置路由器R-2811-A各接口参数 13 4.5NAT设置 13 4.5.1设置路由器NAT 14 4.5.2定义内部外接口 14 4.6路由器的安全问题 15 4.61对外禁用telnet协议 15 4.6.2针对DoS攻击的设计 15 5.配置过程与VPN测试 16 5.1配置过程 16 5.2VPN访问连接测试 16 6.总结 18 参考文献 19 致谢 20 1.绪论 1.1课题的背景随着近年来企业信息化建设的不断深入，企业的运作越来越融入计算机网络，企业的沟通、应用、财务、决策、会议等数据流都在企业网络上传输，全球的企业都在快速的进入一个崭新的网络信息时代，企业信息化建设已经成为衡量一个企业实力的重要标志。通过信息化提高企业的竞争力已成为大多数企业的共识。在现在企业中，普遍存在资金不足、信息基础薄弱、技术人员匮乏等特点，使得他们不能有效地将自身传统业务与信息系统很好的结合起来，以至于常常会出现投入不见效的情况。究其原因，在于企业信息化观念不够，信息系统没有总体设计原则，信息化建设缺乏规划，致使企业协同运作存在障碍，运营成本居高不下。作为企业的局域网，它不仅可以为企业提供高效的办公环境，还可以实现硬件资源和软件资源的共享从而节省了企业大量开支，又便于集中管理和提高工作效率。其次企业局域网要实现内部网络与外部网络的连接，从而极大的方便了企业和外界的沟通，这样不仅可以降低企业的生产成本，也可以实现异地办公。企业用户可以方便地传输各类数据，开展各类网络应用。随着我国计算机网络技术尤其是Internet技术的高速发展，加快对企业局域网建设迫在眉睫。因此构建一个“安全可靠、性能卓越、管理方便”的企业局域网，已经成为企业信息化建设成功的关键基石。本课题的设计需要综合运用各种知识来完成本课题，不仅可以使我进一步掌握计算机网络原理、熟企业局域网的设计搭建，而且可以增强了我的自学能力和动手能力。 1.2国内外企业局域网建设现状目前，计算机网络被广泛应用于个人、工商业、教育业、各级政府、各种军事单位等多种场合，社会各部门都可以通过网络实现信息快捷可靠的无缝连接和共享，计算机网络已遍及社会的每个领域，成为当今社会的一个基本元素。国外欧美的发达国家的企业在局域网建设走的比较早，随着网络技术的不断进步以及通信产品技术的不断完善，现在欧美发达国家企业局域网建设完全达到了办公自动化，而且宽带大，速度快，超过一半以上的企业拥有自己的网站，成为对外联络的主要窗口，企业内部网络安全等级较高。国内企业局域网建设近年来有了长足的发展，但和欧美发达国家的企业局域网相比还有着明显的不足主要体现在： 1、低水平重复建设且成本高昂：各部门拥有相对独立的信息系统，资源分散于各部门之中，容易形成信息孤岛。 2、管理信息和反馈信息不能迅速传递：随着企业的发展，数据信息流不断增加，对于各部门管理提出了快速响应的要求。随着计算机网络技术的飞速发展，与社会生活关系最紧密的局域网也得到越来越广泛的应用——事实上，局域网已是目前应用最广泛的一类网络。局域网拥有组建灵活、功能强大、维护便捷等优点，也正因为这样，局域网才成为计算机网络领域的明星，受到越来越多用户的欢迎；也正是因为局域网的出现，使计算机网络的威力获得了更充分的发挥，使得计算机网络在很短的时间内就深入到社会的各个领域。同时，局域网技术也因而成为目前最为活跃的技术领域之一，各类局域网层出不穷并得到了广泛的应用，极大地推进了整个社会的信息化发展。 1.3业局域企网建设的目标与意义企业信息化建设是国际信息化的基础和重要组成部分，是提高企业办事效率，提高企业综合素质，是企业不断迈上新的台阶，成为一流企业的有效措施。企业局域网的建设的目标是为全企业人员提供一个信息交流和合作平台，在需要连接Internet时，以充分利用因特网上的资源，实现对外（企业与企业，企业与社会）的信息发布、交流与合作，对于企业的发展具有积极的社会意义与经济效益： 1、扩大企业在社会上的影响力，提高其知名度，为外界了解企业文化提供一个简单、便捷的窗口。 2、在整个企业内部提供一个良好的信息传递通道，企业内部的政策、资源、通知可以在全企业进行迅速传递。 3、实现企业的办公自动化，有效地降低了办公地成本。 4、企业的各级领导得以最快、最有效的方式对企业内部运作过程中的各种信息进行有效了解并采取有效措施，同时得到全面的决策支持。 5、企业内部人员可以方便安全的访问外部因特网。 2.组网方案 2.1网络结构分析对于计算机和网络终端不多于100台的网络，可采用两层结构，以三层交换机（QuidwayS5600系列）作为核心交换设备，实现接入交换机、网络服务器、路由器之间的高速链接，并采用中端路由器（Cisco3800）实现与核心路由器的链接。在设计网络结构时，要考虑其成本、扩充性、安装维护是否方便等。综合这些因素，在以太网与令牌网两种结构类型中，建议选择以太网，这是因为以太网的组成较为简单，便于非专业人员的日常维护。鉴于各工作站独立工作及协同工作的双重要求，工作站微机间的连接采用星形拓扑结构，在主计算HOST) 与工作站间采用总线结，以增强多用户访问时的可靠性，保证一定的传输速率。目前在局域网上应用较为广泛的网络类型是客户机／服务器(c1ient／Sener)网。此种网络至少需要一台服务器来提供网络服务和网络的运行管理。网络中所有的电脑终端均能共享服务器的软、硬件资源。网络运行稳定，有利于信息的统一管理和安全保密，并且易于系统的升级。但由于要配置服务器，所以网络投资较大。 2.1.1经济型网络实际组网过程中，中小企业考虑的一个重要因素就是成本。因此，对于资金较紧张的中小企业而言，其站点少，通常在100个工作站以内，而且工作站相对集中，结构化布线可以只采用双绞线。每个工作站与集线器或交换机之间的距离不能超过100m，多个工作站共享一个网络出口。 2.1.2高性能网络对于网络速度要求较高、资金充足的企业来说，可以采用路由器和交换机这种比较高级、性能更好的组网方式。 ①系统需求分析，对系统各种功能需要进行总结该企业有 100台电脑入网，属于中小型局域网，且具有拨号上网功能。企业办公局域网的组建 ②进行设备的选型：网络操作系统选择： Windows 2000 Server简体中文版操作系统。 2.2局域网拓扑结构设计对于已经上了一定规模，在内部已经有了几个部门的企业，如果所有部门的用户无差别地处于对等网中，不仅使许多敏感数据容易被无关人员获取，而且部门内的大量通信也会占用大量的网络资源，使整个网络的效率变低，甚至引起崩溃。为了克服这个缺点，需要将经常进行通信的计算机组成一个子网，使大量的内部数据局限在子网内传播，然后各个子网连接在一起形成局域网。具体的结构图见图企业局域网结构图在这个方案中，使用了ISDN／Modem，通过拨号连接到互联网中。路由器和集线器之间，可以设置一台安装了两个网卡的服务器。分别连接在路由器和集线器上，作为网关，运行防火墙软件等，进行网络管理和安全防范。在方案中用ISDN／Modem作为统一的出口。避免每台Pc配一个Modem 减少了购买费用，并且容易管理；而使用一台服务器加上网 3.可行性研究和需求分析 3.1技术可行性 3.1.1NAT技术 NAT技术主要实现内部网络地址转换，静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址，这样方便外网用户访问企业Web网；动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络；端口多路复用地址转换（PAT）是把内部地址映射到外部网络的一个IP地址的不同端口上，把企业内部网IP转换为公网IP地址，使内部用户可以方便的访问Internet。目前，NAT技术主要用于连接和安全方面。目前企业内部网络用户数量大，而能申请的合法的全球唯一IP地址有限。NAT能够有效的解决企业IP地址短缺问题，利用NAT技术能够实现多个用户共同使用一个合法的IP地址连接互联网。而另一种需要出于安全方面来考虑，在一定程度上防范网络攻击的发生。企业期望隐藏LAN内部网络结构，NAT可以将内部LAN与外部 Internet隔离，使外部网络用户无法了解通过NAT设置的内部IP地址。 NAT技术在企业中都采取两种技术类型结合应用，比较好的还是和端口复用地址转换。结合起来的技术如：端口复用地址转换、TCP/UDP端口NAT映射、静态地址转换+端口复用地址转换、动态地址转换+端口复用地址转换。我们知道，不同应用程序使用TCP/UDP端口是不同的，例如，WEB服务器使用80、FTP服务使用21、SMTP服务使用25、POP3服务使用110等。由于每种应用服务器都有自己默认的端口，所以这种NAT方式下，网络内部每种应用服务器成为Internet中的主机，例如，只能有一台WEB服务器、一台E-mail服务、一台FTP服务器。尽管可以采用改变默认端口的方式创建多台应用服务器，但这种服务器在访问时比较困难，要求用户必须先了解某种服务采用的新TCP端口。因此，可以将不同的TCP端口绑定至不同的内部IP地址，从而只使用一个IP地址，即可在允许内部所有服务器被Internet访问的同时，实现内部所有主机对Internet的访问。 3.1.2 VLAN技术根据各部门职能不同把各部门划入不同的VLAN减少了广播，提高了通信效率。VLAN(Virtual Local Area Network)就是虚拟局域网的意思。VLAN可以不考虑用户的物理位置，而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组，每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。同一个VLAN中的成员都共享广播，形成一个广播域，而不同VLAN之间广播信息是相互隔离的。这样，将整个网络分割成多个不同的广播域(VLAN)。一般来说，如果一个VLAN里面的工作站发送一个广播，那么这个VLAN里面所有的工作站都接收到这个广播，但是交换机不会将广播发送至其他VLAN上的任何一个端口。如果要将广播发送到其它的VLAN端口，就要用到三层交换机。 3.2需求分析 3.2.1带宽性能需求现代企业网络应具有更高的带宽，更强大的性能，以满足用户日益增长的通信需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台，不仅要继续承载企业的办公自动化，Web浏览等简单的数据业务，还要承载设计企业生产运营的各种业务应用系统数据，以及带宽和要求很高的IP电话、视频会议等多媒体业务。因此，数据流量将大大增加，尤其对核心网络的数据交换能力提出了更高的要求。另外，随着千兆位端口成本的持续下降，千兆位到桌面的应用会在不久的将来成为企业网主流。构建一个畅通无阻的“高品质”企业局域网，才能适应网络规模的扩大，业务量的日益增长的需求。 3.2.2网络安全需求现代企业网需要提供更加完善的网络安全解决方案，以阻止病毒和黑客的攻击，减少企业的经济损失。传统企业网络的安全措施主要通过部署防火墙、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，这样才能保证企业网络的稳定运行。 3.2.3应用服务需求现代企业网络应具备更加智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需求。当前的网络已经发展成为“以应用为中心”的信息基础平台，网络管理能力的要求已经上升到了业务层次，传统网络设备的智能已经不能有效支持网络管理需求的发展。所以现代企业网络迫切需要网络设备支撑“以应用为中心”的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。 3.3设计所需环境 3.3.1硬件要求安装有Windows 2003/XP/Vista操作系统的计算机，内存512M及以上，硬盘80G及以上。 3.3.2软件要求 Packet Tracer 5.3 4.交换模块与接入模块 4.1核心层交换机配置 4.1.1设置核心交换机名称设置交换机的名称，也就是出现在路由器CLI提示符中的名字,本设计中命名规则如下：类型-型号-编号。以下命令设置核心交换机的名字为S-3560-A。 Switch>en Switch#con fig t Switch(con fig)#homeostasis S-3560-A 4.1.2启动三层交换机的路由功能三层交换机具有路由功能但默认是未启动的，我们需要先启动路由功能，这样才能为不同VLAN路由数据包，从而实现各VLAN间的相互通信，以下命令是启动路由功能。 S-3560-A(con fig)#IP routing //启动路由功能 4.1.3核心交换机接口设置 S-3560-A(con fig)#int g0/1 S-3560-A(con fig-if)#no switch port //二层端口转换成路由端口 S-3560-A(con fig-if)#IP add 192.168.2.2 255.255.255.0 //为G0/1接口分配IP地址 S-3560-A(con fig-if)#int g0/25 //进入g0/25端口 S-3560-A(con fig-if)#no switch port S-3560-A(con fig-if)#IP add 192.168.3.1 255.255.255.0 S-3560-A(con fig-if)#int g0/26 S-3560-A(con fig-if)#no switch port S-3560-A(con fig-if)#IP add 192.168.4.1 255.255.255.0 S-3560-A(con fig-if)#int g0/27 S-3560-A(con fig-if)#no switch port S-3560-A(con fig-if)#IP add 192.168.5.1 255.255.255.0 S-3560-A(config-if)#int g0/28 S-3560-A(config-if)#no switchport S-3560-A(config-if)#ip add 192.168.6.1 255.255.255.0 S-3560-A(config-if)#exit 4.2汇聚层交换机配置依据楼宇位置不同我们所需四台Cisco Catalyst 3560-24TS交换机作为汇聚层交换机，在此我们仅以1号办公楼的汇聚层交换机加以说明，其它楼宇汇聚层交换机设置与此设置类似。 4.2.1设置交换机名称 Switch>en Switch#config t //进入全局配置模式 Switch(config)#hostname S-3560-B //交换机命名为S-3560-B 4.2.2配置G0/1接口 S-3560-B(config)#int g0/1 //为G0/1分配IP地址 S-3560-B(config-if)#no switchport S-3560-B(config-if)#ip add 192.168.3.2 255.255.255.0 S-3560-B(config-if)#exit 4.2.3默认路由设置未知流量通过G0/1接口流向核心交换机 S-3560-B(config)#ip route 0.0.0.0 0.0.0.0 192.168.3.1 //未知流量流向核心交换机 4.3路由器基本参数配置图4.3 路由器基本配置 1、设置路由器名称设置路由器的名称，也就是出现在路由器CLI提示符中的名字,本设计中命名规则如下：类型-型号-编号。当需要telnet登录到若干台路由器上以维护一个大型网络时，通过交换机名称提示符提示自己当前路由器的位置是很重要的。以下命令将配置路由器名称为R-2811-A 。 Router>enable Router#configure terminal Router(config)#hostname R-2811-A //设置路由器名称为R-2811-A 2、设置路由器加密口令密码当用户在普通模式下进入特权模式时，需要提供此口令。此口令会已MD5的形式加密，因此当用户查看配置文件时，无法看到明文形式的口令配置特权EXEC口令。 R-2811-A(config)#enable secret exec123 //设置特权EXEC密码为exec123 3、设置telnet虚拟终端口令： R-2811-A(config)#line vty 0 5 R-2811-A(config-line)#password vty123 //设置telnet虚拟终端密码为vty123 R-2811-A(config-line)#login 4、设置控制台端口密码 R-2811-A(config)#line console 0 R-2811-A(config-line)#password console123 //设置控制台端口密码console123 5、设置辅助端口密码 R-2811-A(config)#line aux 0 R-2811-A(config-line)#password aux123 //设置辅助端口密码为aux123 4.4设置路由器R-2811-A各接口参数对接入路由器R-2811-A的各接口参数的配置主要是对接口F0/0以及接口F0/1的IP地址、子网掩码的配置。如下所示：其中，F0/0的IP地址200.2.2.1是ISP提供的。图4.4 路由器接口配置 4.5NAT设置由于目前IP地址资源非常稀缺，不可能为企业局域网的每一个工作站都分配一个公网IP地址，为了实现企业内部所有计算机可以访问外部Internet的需求，我们可以通过网络地址转换（NAT）技术实现，实现内网对Internet的访问以及外网对企业内部web服务器访问。图4-5 路由器NAT设置 4.5.1设置路由器NAT R-2811-A(config)#ip nat inside source static 192.168.1.3 201.2.2.1 //静态NAT 用于外网对web的访问 R-2811-A(config)#ip nat inside source list 1 interface f0/0 overload //定义复用Internet接口IP地址（过载overload） R-2811-A(config)#access-list 1 permit 192.168.0.0 0.0.255.255 //定义内部访问列表 4.5.2定义内部外接口 R-2811-A(config)#int f0/1 R-2811-A(config-if)#ip nat inside //定义F0/1为内部接口 R-2811-A(config-if)#exit R-2811-A(config)#int f0/0 R-2811-A(config-if)#ip nat outside //定义F0/0为外部接口 4.6路由器的安全问题路由器是外网进入企业网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表（Access Control List，ACL）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护。 4.61对外禁用telnet协议首先，telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。其次，telnet可以登录到大多数网络设备和UNIX服务器，并可以使用相关命令完全操纵它们。这是极其危险的，因此必须加以屏蔽。 R-2811-A(config)#access-list 100 deny tcp any any eq telnet //对外屏蔽telnet R-2811-A(config)#access-list 100 permit ip any any 4.6.2针对DoS攻击的设计 DoS攻击（Denial of Service Attack，拒绝服务攻击）是一种非常常见而且极具破坏力的攻击手段，它可以导致服务器、网络设备的正常服务进程停止，严重时会导致服务器操作系统崩溃。 R-2811-A (config)#access-list 101 deny icmp any any eq echo-request R-2811-A (config)#access-list 101 deny udp any any eq echo R-2811-A (config)#access-list 101 permit ip any any //将ACL应用于f0/0接口 R-2811-A (config)#int f0/0 R-2811-A (config-if)#ip access-group 101 in 保护企业网免受攻击，路由器的安全就显得十分重要，有条件的话可以在买一个专业防火墙，然后配置它。或者直接在路由器上在一定程度上限制外网访问。 5.配置过程与VPN测试 5.1配置过程在EVS路由器上设置IPSec远程接入时，需要执行以下基本任务：任务1—为设备的认证和用户认证（XAUTH）定义AAA策略（预共享密钥和RSA签名）；任务2—为远程客户端定义组信息，包括组策略；任务3—建立IKE阶段1策略；任务4—建立动态加密映射，用于远程接入连接；任务5—建立静态加密映射，包括动态加密映射作为一个条目（静态加密映射引用动态加密映射）；任务6—验证配置，确保客户端连接时正确的； 5.2VPN访问连接测试在Packet Tracer模拟VPN连接设置如图6-2所示。图6-2 VPN连接设置在Packet Tracer模VPN连接测试不成功结果如图6-3所示在Packet Tracer模拟VPN连接测试成功结果如图6-4所示。图6-3 VPN连接结果 6.总结本企业网设计中，我们从交换模块、Internet接入模块、远程访问模块三个部分进行设计。交换模块我们根据各部门职能不同划分了12个VLAN，各部门VLAN被划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，通过启动三层交换机路由功能同时设置ACL，还可以用于控制网络中不同部门间的互相访问。同时为服务器群单独创建了一个VLAN 7，方便员工访问内部资源。 Internet接入模块通过设置路由器的NAT，使企业内部员工可以访问Internet,对于Internet隐藏了内部网的IP地址,提高了安全性。通过设置路由器的ACL，限制Internet对企业内部网的访问，增强了网络安全性。远程访问模块是为在外办公的移动用户设计的，采用Cisco Easy VPN技术,让路由器充当Easy VPN Server 并对路由器进行相关设置。而客户端只需下载Cisco Easy VPN Client软件根据提示操作即可完成对企业网的远程访问。参考文献 1.刘晓辉李立军，交换机路由器防火墙，电子工业版出社 2007。 2.刘晓辉李文俊，网络硬件搭建与配置实践电子工业出版社 2007。 3.谢希仁计算机网络（第5版），北京：电子工业出版社 2009。 4.王凤希计算机网络，北京：清华大学出版社 2010. 5.苏英如局域网技术与组网工程，北京.中国水利水电出版社 2004 致谢感谢指导老师任靖老师这段时间对我的指导及帮助！在他的熟心指导和自始自终的热情支持和鼓励下我完成了本次毕业设计。从课题的选择，方案论证，都尽其所能的给予了我的指导与帮助，并不断督促我按时完成各项任务。在毕业设计期间，任靖老师兢兢业业的工作作风，平易近人的品格，严谨的治学态度和诲人不倦的学者风范，使我深受教益，值此论文完稿之际，谨向老师表示最衷心的感谢和深深地敬意。最后，感谢我的母校三年对我的栽培。学无止境。明天，将是我终身学习另一天的开始。第 20 页共 20 页

展开阅读全文