韩泰公司的网络规划与设计.pdf

资源描述

本科毕业设计（论文）韩泰公司的网络规划与设计金光燕山大学里仁学院2014 年 6 月本科毕业设计（论文）韩泰公司的网络规划与设计学院：里仁学院专业：电子信息工程学生姓名：金光学号：111308061240指导教师：王玉宝答辩日期：6 月 23 日燕山大学毕业设计（论文）任务书学院：燕山大学里仁学院系级教学单位：电子工程系学号111308061240学生姓名金光专业班级电子信息工程11-3题目题目名称韩泰公司的网络规划与设计题目性质1.理工类：工程设计（）；工程技术实验研究型（）；理论研究型（）；计算机软件型（）；综合型（）2.文管理类（）；3.外语类（）；4.艺术类（）题目类型1.毕业设计（）2.论文（）题目来源科研课题（）生产实际（）自选题目（）主要内容熟悉掌握有关企业网络设计和规划的相关内容，设计出一个符合公司需求的，稳定的，安全的，可扩充的公司企业网络.并且配置 FTP,邮件，VPN 等基本服务器.基本要求熟练掌握有关网络协议和各种拓扑结构的优缺点，并且必须掌握交换机和路由器的相关配置和 FTP、邮件、VPN、DHCP 服务器的配置.对公司进行需求分析并根据设计原则设计出一个符合公司需求的网络.参考资料1 张胜,分布式企业内部网络的构建与分析D.郑州大学硕士学位论文.2009.5.2 李爱民.严防端口攻击J.科技资讯.25:77-78.20053 姜坚华.双击热备系统的技术研究和具体实现 J.微型电脑应用.20(3):7-9,2004周次第 1 4周第 5 8 周第 9 12 周第1316 周第 1718周应完成的内容查阅文献资料拓扑组建以及相关设备选型基本配置以及相关测试基本完成网络的设计进行优化和调试编写论文，对论文进行修改和完善指导教师：王玉宝职称：教授2015 年 3 月 9 日系级教学单位审批：胡正平2015 年 3 月 11 日摘要I摘要我们国家早在上个世纪 90 年代开始，国家中小企业开始渐渐重视 IT 信息化建设。最初主要体现在用计算机来管理企业经营和生产管理过程中的各类数据，减少人员负担。为了解决信息孤岛问题，各个独立的电脑的互联就非常有必要了。因此国内外越来越多的企业开始重视企业内部的网络化建设。但是大部分企业内部网络设计过于简单，对于网络的稳定性，安全性，可扩展性并不优秀。例如来自网络内部的攻击缺乏防范；对将来的网络规模的扩充缺乏规划，对于网络状态和鼓掌缺乏监督和管理；对于服务质量缺乏良好的保障手段。本文主要研究的是基于目前韩泰公司内部网络的现状，构建一个稳定、相对安全、可扩展性的、可以支撑必要的网络应用的企业内部网络。通过本文的工作，一方面体现所学的网络知识和技术在企业内部网络建设中的有效应用，增强了逻辑和联系实际的能力,另一方面为同类网络建设提供了必要的借鉴。关键词关键词企业网络设计与规划，三层网络结构，虚拟局域网，虚拟专用网燕山大学里仁学院本科生毕业设计（论文）IIAbstractEarly in 1990s in China,all kinds of enterprises started to emphasis oninformation technology.The initial information construction was mainly reflectedin the use of computers to manage the production,operation and management ofthe process and reduce the manual burden.In order to solve the problem ofinformation silos,we must connect every separated computer.More and morecompanieswerestartingtofocusontheinternalnetworkconstruction.However,most of the intranets design are too simple,and networkscalability,security and stability and had not been fully applied.For example,lackof necessary precautions for attacks from the internal,lack of good planning forthe expansion of network size,lack of effective supervision and management fornetwork status and fault,and lack of necessary of support for network quality ofservice.The purpose of this research is based on current situation of an enterprisesintranet,to build a scalable,stable,relatively safe inranet for the enterprise,whichcan support the necessary network applications.In this research,on the one hand,we apply effectively our learned networkknowledge and technology in the design and implement of an enterprisesintranet and enhance the capacity of theory with practice.on the other hand,weexplore an economical and viable road for construction and improvement ofenterprises intranet,and provide necessary reference to the similar networkconstruction for others,so that others can avoid making some mistakes in intranetconstruction.Keywords Enterprise Intranet Design,Network Structure,VLAN,VPNIII目录摘要.IAbstract.II第 1 章绪论.11.1 课题背景.11.2 研究意义.21.3 本文工作.2第 2 章关键技术研究.42.1 以太网 802.3 标准.42.2 网络拓扑结构.42.2.1 星形结构.42.2.2 环形结构.52.2.3 总线结构.52.2.4 分布式结构.52.3 网络互联协议.62.3.1 OPS/RM.62.3.2 TCP/IP 协议族.72.4 网络互联设备.82.4.1 交换机.82.4.2 路由器.92.5 小结.10第 3 章韩泰轮胎公司内网的设计与实现.113.1 设计原则.113.2 韩泰轮胎公司内部网络现状.113.3 韩泰轮胎公司的网络发展需求.123.4 设计方案.133.4.1 网络层次划分.133.5 网络拓扑结构设计.143.6 方案分析.153.7 设计方案的实现.16IV3.7.1 设备选择.163.7.2 网络参数配置.163.8 企业内网安全与 VPN.193.8.1 企业内网信息的安全.193.8.2 通过 internet 访问企业内网.193.9 VPN 的配置.203.10 FTP 服务器配置.243.11 邮件服务器测试.293.12 DHCP 服务器.323.12.1 DHCP 服务器的设置.323.13 小结.33结论.34参考文献.35致谢.36附录 1.37附录 2.41附录 3.45附录 4.52第 1 章绪论1第 1 章绪论1.1 课题背景我们国家从上世纪九十年代开始，企业开始逐步重视信息化建设，最初体现在管理企业的生产和经营过程中的数据是用计算机来管理的，这样做可以减少人工负担，比如说比较典型的仓库管理系统、出入账管理系统、酒店管理系统等等。上述所说的这些被称为 MIS(Management,管理信息系统）。开始企业信息化的建设比较更注重软件方面的建设，对于硬件这方面主要是个人 PC 或是工作站。通常一个企业都会根据相关的业务需求会有几个这种管理信息系统。这些系统和系统之间缺少必要的信息沟通和数据方面的共享，被称为信息孤岛。信息孤岛使信息效率降低，加重了用于建设的人工成本。要解决信息孤岛问题，就要把独立的电脑在硬件上互联。随着越来越多的企业开始重视网络建设，最初的企业是内部网络大多都是使用以太网技术，用同轴电缆将电脑互联，同轴电缆的末端 BNC 接头与个人电脑的 T 型接头进行连接.两个 BNC 接头都可以与 T 型接头进行连接，这样就能对网络扩充，但是使用同轴电缆有很大的缺点，由于电缆和连接的电脑串联，一旦某个地方出现故障，整个网络就无法运行了。所以，使用同轴电缆连接的网络，稳定性很差，经常会发生终端。这就需要更好的传输媒介，之后 90 年代末期，同轴电缆淘汰取而代之的是非屏蔽双绞线，使用 RJ4 接头进行连接，由于每一个双绞线都是独立的以太网段，所以组建网络需要中继器，例如最简单的 HUB 集线器。但是随着企业主机数量一直在增加，新的应用也在不断出现，对网络的稳定性和速度和安全性要求越来越高，也对以前传统的企业网络架构进行了相当大的冲击。比如，要对网络分段，把冲突域和广播域分离开来。之后出现的交换机和路由器解决了这个问题。交换机负责把网络分割成一个独立的冲突域，路由器则负责把网络划分成多个广播域。这样就能避免网络的震荡，其次内部网络和外部网络的边界，要安装防火墙设备保护企业网络的安全。还有要对企业内部网络进行一定的约束，比如限制各个网络端口的访问权燕山大学里仁学院本科生毕业设计（论文）2限，这是为了保证内部数据的安全。最后要对企业内部网络进行层次结构的划分和组织，构建一个多层次，高效率又稳定的网络结构。1.2研究意义IEEE 在总结了施乐公司和数字设备公司还有英特尔公司的以太网标准的基础上，新推出了 802.3 标准以太网的官方标准。思科、华为等公司也不断推出了基于 802.3 标准的网络设备，进一步又完善了以太网系统，也推动了国内外的各个企业、部门的信息化建设。无论是国内还是国外乃至全世界都十分重视网络的发展。我国在 1993 年启动了金桥工程.金桥工程的目的主要是建设信息化基础设施，研究网络技术、标准和接口的功能和性能，建设示范网络是其中重要的一项任务.随着推动这些计划，网络技术不断发展，而企业、机构和部门等作为局域网技术主要应用载体的组织，更应该与时俱进，建设具有可扩充性和前瞻性的网络，用以满足不断出现的网络应用，如 IPv6、视频会议等。但是，大多数企业的网络设计太过简单，对于网络的可扩展性，稳定性，安全性等方面并没有得到充分应用。比如说缺乏对于来自网络内部攻击的防范，对网络规模扩充缺乏计划，事先没有设计扩展性的网络架构；缺乏必要的监督和管理；对于网络的 QoS（服务质量）缺乏必要的保障手段。本文将从实际出发，通过对韩泰轮胎有限公司的内部网络规划和建设的过程，来阐述和完善提升内部网络的结构和效率，保证内网安全。1.3本文工作本文主要研究如何去构建一个稳定的、安全的、可扩充的、并且可以支撑目前的网络应用的企业内网。论文分为六个章节：第一章为概述，介绍了论文的研究意义，背景，和本文的工作；第二章为关键技术介绍，介绍了本文中用到的关键技术；第三章为企业需求分析，针对韩泰轮胎有限公司企业内部网络的现状进行分析并总结了内部网络建设中存在的问题；第四章为企业内部网络的设计与实现，根据韩泰轮胎有限公司的发展需第 1 章绪论3求和网络现状，根据设计原则来设计符合要求的企业内部网络。为企业内网安全与虚拟专用网络，分析了保证企业内部网络安全的必要性。燕山大学里仁学院本科生毕业设计（论文）第 2 章关键技术研究2.1 以太网 802.3 标准802.3 标准是一个以太网标准协议集，是美国电气和电子工程师协会（IEEE)提出来的.这个协议集描述的是物理层与数据链路层的实现方法。协议集中规定了两种工作模式：全双工和半双工模式。在介质上通信时，采用了 CSMA/CD（载波监听多路访问/冲突检测）技术。802.3 协议集规定的两种传输介质为两个一个是双绞线、另一个是光纤。802.3 协议集规定的四种传输速度为：10Mbps 的 10Base-T 以太网；100Mbps 的快速以太网；1000Mbps 的千兆以太网；1Gbps 的 10 千兆以太网。以太网上的所有互相连接的计算机互相之间都是完全独立的，也没有中央控制借点，所有互联节点都介入共享的传输介质也就是信道。当数据帧发送到信道之后所有其他节点匹配数据帧的目标地址，如果匹配了就接收数据，否则抛弃。单独的以太网段的传输距离受到限制，主要受到的限制为传输介质和MAC 帧大小的限制，因此规模比较有限。但可以通过中继器来连接起来组成一个更大的以太网。网络中继器拥有增强传输信号并能重新计时的功能。通过中继器，以太网可以在任何方向进行扩展。2.2 网络拓扑结构网络拓扑结构描述的是网络设备的连接方式和物理布局，也就是描述采用了什么样的传输介质，把网络设备以什么样的方式连接起来，以及设备的相关配置。典型的网络拓扑结构有环形结构、星型结构、总线结构、混合结构等。2.2.1 星形结构星型结构的特点是把哥哥网络设备以星形的方式连接。该结构有两类节点，中央节点和其他节点。中央节点是控制节点，所以其他结构都与控制节点也就是中央节点连接。目前电话网用的就是星形结构。集线器和交换机就第 2 章关键技术研究5是比较典型的中央节点。星型结构的优点有三个，一个是便于集中控制、另一个是易于维护和扩充、还有一个是安全性好。因为任何两个其他节点都必须在中央节点的控制下才能通信，而且可以通过增加其他节点来扩大网络规模。但星形结构也有缺点，就是对中央节点的依赖性强，所以中央节点必须具有很高的可靠性，一旦中央节点故障，那整个网络就都会瘫痪。此外，中央节点的处理能力必须要强。2.2.2 环形结构环形结构的特点是使用传输介质把各个节点连接成一个环形。不同于星形结构，该结构所有节点都处于相同的地位，不存在依赖性。报文在环形结构上沿着一个方向进行传递，形象的说跟运动会的接力赛那样。环形结构的优点是控制简单，因为任意两个节点之间都只有一个传输路径而且每个节点都是自我控制的、独立的节点、不需要集中的控制。环形结构的缺点很明显，那就是不便于扩大规模、可靠性低。想要增加节点就必然要断开环形，造成网络中断，而且任意一个节点出现故障都会造成全网瘫痪并且节点太多的时候，传输延时会加大。2.2.3 总线结构把环形结构断开就可看成总线结构。它的特征是使用一条介质将各个节点连接并且每个节点都有收发功能，只接受与自己地址匹配的报文。它的优点是联网费用低，容易扩充。缺点就是容量有限，不能大规模的进行扩充，因为每条总线长度都有限，一条总线的负载能力是限定的，因此只能连接一定数量的节点2.2.4 分布式结构分布式结构就是能将距离较远的节点进行连接。在分布式结构中，网络进行了域的划分，每个域中进行分散的控制，中心节点是负责总体控制的。这个结构的优点是健壮性好，局部的故障不会影响全网运行。分布式结构的缺点就是需要话费的费用高，因为所需的设备和传输介质都是最多的，燕山大学里仁学院本科生毕业设计（论文）6节点间连接也复杂。而且分布式结构的网络管理更为复杂，需要进行流量控制、冗余备份、负载均衡等能力。2.2.5 混合结构混合结构就是把上述的两种或两种以上的拓扑结构进行混合，构成的结构成为混合拓扑结构。其优点是可以将多种拓扑结构的优缺点进行互补。缺点是需要考虑其他的很多因素，而且控制比单个网络结构要复杂的多2.3 网络互联协议网络互联协议有两种，一个是 ISO，另一个是常见的 TCP/IP 的网络互联协议族。2.3.1 OPS/RMOPS/RM 是 ISO 制定的网络模型。在这个模型中互联网通信工作分为 7层，分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。下表是每个层的数据格式、相关设备和功能。第 2 章关键技术研究表 2-1 OPS/RM 的七个层层次功能数据格式相关设备应用层网络应用程序之间交互约定表示层数据安全、压缩和表示会话层建立、管理和关闭回话传输层使用特殊的寻址机制来表示不同的通信进程segment网关网络层在数据链路层基础上建立、标识网络层地址，并进行路由和寻址Packet路由器数据链路层Frame在物理层上建立逻辑链路层以及CRC 校验等网卡、交换机物理层Bit建立、管理和关闭物理连接双绞线、同轴电缆、光纤、集线器、中继器2.3.2 TCP/IP 协议族TCP/IP协议族包含了与网络互联相关的若干个协议,TCP和IP是其中最重要的两个协议，因此使用 TCP/IP 来代表整个协议族。TCP/IP 协议族定义了网络设备如何接入因特网和因特网中数据是如何传递的，所以 TCP/IP 协议族是国际互联网(Internet)的基础。与 OSI/RM 模型类似的是，TCP/IP 模型也采用了分层的模型，其层次更为简洁。TCP/IP 协议族的层次和 OSI/RM 模型的层次虽然不完全相同，燕山大学里仁学院本科生毕业设计（论文）8但也有对应关系。如图表 2.2 所示。表 2-2 TCP/IP 协议族的层次和 OSI/RM 模型层次对照表TCP/IPOSI/RM应用层应用层表示层会话层传输层传输层网络层网络层网络接口层数据链路层物理层2.4 网络互联设备常见的网络设备有中继器、集线器、交换机、路由器、网关等。集线器和中继器的作用都是为了延长传输介质。交换机的作用是在数据链路层上的地址进行数据交换。路由器是工作在网络层的，提供网络传输路径选择。网关的作用是实现不同高层协议之间的互联，充当不同数据格式不同体系结构网络之间的转换器。下面主要介绍交换机与路由器。2.4.1 交换机交换机是非常重要的网络互联设备。连接在用一个交换机上的节点只要IP 地址不再同一个网段，他们之间就不会有相互干扰。比较传统的交换机是工作在链路层的，因此他是通过 MAC 地址进行寻址和转发。交换机主要有三个功能：地址学习：在交换机中有一个地址表，记录着交换机借口连接的设备的MAC地址，当交换机进行数据转发时，就会根据数据帧的目的地址查找 MAC 表进行转发。如果没有匹配的结果，就将数据帧广播出去，与目的匹配的设备将做出回应.当响应的帧回到交换机时，交换机就会记录下新的条目.第 2 章关键技术研究9MAC 地址表中的每个条目都是有生命周期的。如果在一段时间内没有使用将会被删除。条目中的内容发生变化条目也将被更新数据转发：交换机收到数据帧之后会根据MAC地址表进行转发而且转发是交换机的主要功能，有三种转发模式：(1)快速转发(2)存储转发(3)无碎片直通转发消除回路：频繁改动交换机上连接的节点就会引起交换机环路。可以通过使用生成树算法消除环路。2.4.2 路由器路由器也是一种非常重要的网络互联设备，它工作在网络层。路由器的功能是根据目的 IP 地址为数据包选择合适的路径。路由器一般常用来连接不同网段的网络。常见的路由协议包括：静态路由协议：静态路由协议是管理员通过配置命令手工配置的。配置完成后就直接固定下来，不会随着网络的变化自动改变，需要人工去维护。有点是配置简单，适合简单且固定的网络。动态路由协议：动态路由协议的路由信息都是由路由器生成算法来完成的，他们使用生成规则，路由算法，计算出地址和地址之间最佳的路径。在拓扑结构发生变化之后就能感知到这些变化，调整路由表中的路由信息。根据工作范围可以将协议分为两类：（1）内部网关协议（2）外部网关协议还可以根据寻路的算法的不同，将动态路由协议进行分类：燕山大学里仁学院本科生毕业设计（论文）101）距离矢量路由协议2）链路状态路由协议2.5 小结本节从硬件和软件标准两个方面介绍了网络相关技术。IEEE 的 802.3标准规定了以太网的组成标准，也就是 OSI/RM 中的物理层和数据链路层。有了网络的硬件标准还需要有利用这些硬件的更高层次通信互联协议，比较有代表性的是 ISO 的 OSI/RM 和 TCP/IP 协议族。常见的网络设备有集线器、交换机、路由器、中继器、网关等。集线器和中继器都是为了延长传输介质。交换机的作用是基于数据链路层的地址进行交换。路由器是工作在网络层的。主要是提供网络层地址的传输路径选择。网关工作在传输层上，实现不同协议之间的网络互联，充当了不同体系或者不同通信协议的网络之间的转换器。第 3 章韩泰轮胎公司内网的设计与实现11第 3 章韩泰轮胎公司内网的设计与实现3.1 设计原则网络的设计原则是依据网络发展需求分析和网络建设的基本要求，包括一下几个方面：（1）稳定可靠主要是体现在三个方面：1）施工质量要可靠，要保证所有的导线和接头接触良好。2）要对网络设备的传输介质的选择要可靠 3）在网络运行中，要有有效的检测和管理，这样出现问题可以及时处理。（2）容易扩充容易扩充第一层含义是在网络拓扑设计时，要保证节点容易扩充，包括大节点和单个的小节点都要方便扩充。因此随着公司规模的增大，网络也会膨胀起来，但这是不可避免的。不能因为为了扩充网络来调整拓扑结构。第二层含义是方便在网络扩展应用。网络的设计要足以支持未来的应用，要让网络的设计具有更加广泛的应用性。（3）保证带宽企业未来的应用包括视频会议等高宽胎的应用。因此必须采用高带宽的设备和传输介质，以保证大数据量的传输。（4）安全控制对于企业内部网络的安全首先要保证网络结构中重要的节点的安全，比如数据服务器，核心交换机，路由器等等，需给设备配备不间断电源。第二个是保证网络中的信息安全，要对网络进行划分，保证数据不会被没有被授权的用户看到和获取。还有，还要在企业内网和因特网之间构建必要的防火墙，及时更新杀毒软件，以防止中毒。（5）监测管理要对网络的状态进行监测，而且必须要实时的。网络故障的管理和监测可以采用两种方式。在发生故障是，对于主动高静的网络设备采用被动监听：对于不能主动告警的网络设备采用主动状态监测和心跳监测相结合的方式。3.2 韩泰轮胎公司内部网络现状韩泰轮胎公司是一家轮胎公司，主要的业务是研发、生产、销售、仓储、等一体的公司。整个公司可以分为办公楼，PCR 工厂，TBR 工厂三个部分。经过分析，现在存在这些问题：燕山大学里仁学院本科生毕业设计（论文）12（1）公司的各个机构在实际的网络运行中，在工作繁忙的时候经藏出现网络拥堵情况;（2）总公司有 Internet 出口，但是 Internet 直接互联的计算机同时也与企业内网连接，没有实现外网和内网的有效隔离。这种环境利用病毒等有害软件的传播，给网络的维护造成困难。（3）部分部门的内部网络采用交换机级联 HUB 进行互联，虽然看起来表面上像物理上的星形拓扑，但实际上它们还是处在同一个冲突域中。（4）公司里各个部门之间没有进行有效的内网隔离，造成不同部门之间的网络权责不清。（5）没有有效的数据备份设备。在网络中把所有应用数据全保存在一个数据服务器上，一旦服务器发生故障，所有数据全部丢失，将造成难以估计的损失，数百万数千万损失都有可能的。（6）缺乏有效的网络管理，没有网络管理软件，也没有相关的应用程序，对于网络的状态缺乏有效的监督，这样网络一旦出现故障，不能即使发现和排除，不仅仅是这些，没有相应的基于网络的应用程序，浪费网络资源。3.3 韩泰轮胎公司的网络发展需求随着企业的发展和公司规模的增大，公司希望对企业网络进行改造和升级，进行统一的管理与规划，包括：（1）在所有的部门，应用同意的系统和在线办公自动化系统，实现集中式控制。（2）希望企业网络的建设，可以支撑未来在企业内实现对各个部门的监控、视频会议等应用。（3）保证各个应用系统数据稳定性和安全性，避免对应用数据库中数据信息的非法访问；发生特殊情况一场断电时，保证重要应用系统短时间可用，保证数据的完整性。（4）公司内部设计要求支撑未来公司规模扩大，不能因为网络节点增加而明显影响网络的传输速率和稳定性。（5）下面是韩泰公司的较简单的分布图，上面所说的 TBR 为大径（轮第 3 章韩泰轮胎公司内网的设计与实现13胎）工厂，位于图的上部，PCR 为小径工厂，在下半部。据调查，每个轮胎生产的时候都会有贴条码，成型之后就会被贴上，公司会根据条码来追踪轮胎的质量情况，成型以后都要把条码信息用具备无线网卡的扫描枪扫到 GMES 服务器（是一种管理系统）上，这样企业就可以实时知道那个轮胎有问题能及时找到原因。所以成型，物流和硫化工序都需要无线 AP.除了无线 AP，现场每条线都有若干台终端输入设备，都要连上企业内网，故每条线得有一台交换机来进行内网的链接.因公司经常会有国外的驻宰员来公司出差，并且很大一部分人都有笔记本电脑，故办公楼里也得配备至少三台无线 AP。图 3-1 分布图3.4 设计方案下面将从网络层次划分和网络拓扑结构设计这两个方面对企业网的设计方案进行描述。3.4.1 网络层次划分根据网络的流量模式和终端用户的分组方式，可以将网络分为三层:接入层、汇聚层和核心层。网络中直接面向用户的成为接入层。接入层的目的燕山大学里仁学院本科生毕业设计（论文）14是管理用户对网络的接入，因而要求具有成本不能太高，要易于扩展，可接入的端口要多。汇聚层是多个接入层汇聚的地方，集中处理接入层的数据然后发送到核心层。汇聚层因为要处理的数据更多，因而需要比接入层性能更好的接入设备。核心层是主干部分，负责数据的快速转发。三层网络结构划分明确了每个层次的目的和功能是什么，这样使得每一层可以专注于自己的行为。对于韩泰公司的内网，其三层次划分如下：接入层：包括总公司的各个部门和工厂里的各个设备，比如说财务部、技术部、设备科、硫化机、DAS 等等。汇聚层：汇聚层包括三个部分，一是对办公楼各个部门进行汇聚；二是对 PCR 工厂进行汇聚；三是对 TBR 工厂进行汇聚。核心层：核心层的目的是提供网络上的各种应用对数据的快速访问。核心层连接服务器群和汇聚层，提供了服务器群到汇聚层的数据转发。3.5 网络拓扑结构设计本方案采用了由星形拓扑结构和总线拓扑结构的混合式拓扑结构.图 3-2 网络拓扑图接入层采用星形拓扑结构，有利于以后的扩充。在汇聚层各个汇聚交换机之间采用了总线结构。并且采用了冗余拓扑结构，以防核心交换机出故障时网络数据的丢失。第 3 章韩泰轮胎公司内网的设计与实现153.6 方案分析在 4.2 的设计方案中，整个网络结构清晰、功能明确、扩展方便。针对设计原则中的可靠稳定，可以在一下两个方面做出保障：（1）核心骨干之间采用冗余连接。（2）利用三层交换机隔离冲突域和广播域针对容易扩充，从 2 个方面可以体现：（1）接入层采用星形结构，该结构的优点就是便于扩充。（2）接入层互联设备为交换机，其优点就是可以通过级联或者扩展板卡增加接口数量。针对设计原则中的保证带宽一项，从一下三个方面做出保障：（1）租用 100M 独享宽带，保证各部门到汇聚层的连接带宽。（2）采用的结构是分层结构，核心层负责网络数据传输，提供高速的数据转发。选择设备时可以选个性能更好的汇聚交换设备和核心交换设备。（3）广播域和冲突域被隔离，广播报文也会相应减少，也间接增加了有效带宽针对设计原则中的安全控制，从 5 个方面进行保证（1）在内网和外网之间增加防火墙。也可以采用专用的硬件防火墙，也可以采用软件防火墙。（2）使用虚拟专用网络技术，增加外网节点对内网的信息访问时的安全性。（3）通过 VLAN 划分，在逻辑上隔离敏感节点。（4）增加备份数据服务器，保障数据的安全。（5）为服务器群增加一个不断持续供电的 UPS 电源，保证断电之后数据安全。针对设计原则中的监测管理，从两个方面做出来保障：（1）增加网络管理节点，监控网络的实时状态。可以专门让人负责看管网管计算机，或通过软件实现把网络异常状态转发到其它的计算机上。（2）由于提供了 VPN 远程接入，还可以远程对网络进行监控.燕山大学里仁学院本科生毕业设计（论文）163.7 设计方案的实现3.7.1 设备选择接入层交换机用思科 2960 系列交换机，2960 系列是一款 100M 级别的交换机，支持 VLAN 划分、QoS 控制等服务。由于所有接入层交换机连接需求都很大，所以接入层交换机统一采用CISCO WS-C2960-48TT-L.它有 48 个 10/100Base-TX 借口。汇聚层和核心层统一采用 CISCO Catalyst 6500 系列交换机。它是一款全千兆企业网交换机。与 Internet 相连的核心路由器采用思科的CISCO-2951-V/K9 路由器，它支持升级管理和设备管理，有 3 个千兆以太网交换机，此外，配置了防火墙、抑制广播风暴、ICMP 反攻击等安全功能。3.7.2 网络参数配置（1）vlan 划分 VLAN 是 Vitual Local Area Network 的简称，即虚拟局域网。Vlan 最大的好处就是逻辑上将一些网络节点划分到一个虚拟局域网中，从而形成一个单独的广播域。它的优点是：1）减少网络拥塞，隔离广播域；2）限制不同的 vlan 之间的相互访问，提高安全性；3）可以再不同物理位置节点之间的局域网组网。本方案选的是交换机支持的两种 VLAN 划分方式：802.1q VLAN 和Port-based VLAN。802.1q VLAN 是 IEEE 802.1q 国际标准中所规定的 VLAN划分方式。这种划分方式里，交换机的每个端口只能属于一个 VLAN。Port-based VLAN 是使用分组方式进行划分的。每个交换机端口可以同时属于不同的分组。为了提供更好的安全性，减少不必要的网络流量，应把各个处于同一层次的节点进行 VLAN 隔离，考虑上面的因素，在汇聚层对交换机使用 802.1qVLAN 对整个网络进行划分，整个网络分为 8 个 VLAN，使用VLAN10VLAN80 来表示。具体的划分方式为表 4-1 所示第 3 章韩泰轮胎公司内网的设计与实现17表 3-1 VLAN 划分Vlan10:名称：技术科交换机：JSK端口：g0/1,g0/2成员：技术科 PC子网划分：192.168.10.0Vlan20:名称：设备科交换机：SBK端口：g0/1,g0/2成员：设备科 PC子网划分：192.168.20.0Vlan30:名称：财务科交换机：CWK端口：g0/1,g0/2成员：财务科 PC子网划分：192.168.30.0Vlan40:名称：人事和电算科交换机：RSDS端口：g0/1,g0/2成员：人事和点算科子网划分：192.168.40.0Vlan40:名称：人事和电算科交换机：RSDS端口：g0/1,g0/2成员：人事和点算科子网划分：192.168.40.0Vlan50:名称：PCR交换机：PCR端口：g0/1,g0/2成员：PCR PC子网划分：192.168.50.0燕山大学里仁学院本科生毕业设计（论文）18Vlan60:名称：TBR交换机：TBR端口：g0/1,g0/2成员：TBR PC子网划分：192.168.60.0Vlan70:名称：会议室交换机：HYS端口：g0/1,g0/2成员：会议室 PC子网划分：192.168.70.0Vlan80:名称：服务器群交换机：FWQ端口：g0/1,g0/2成员：服务器群子网划分：192.168.80.0SwitchENSwitch#CONFConfiguring from terminal,memory,or network terminal?nEnter configuration commands,one per line.End with CNTL/Z.Switch(config)#line vty 0 4Switch(config-line)#password lirenSwitch(config-line)#loginSwitch(config-line)#exitSwitch(config)#exitSwitch(config)#interface vlan1Switch(config-if)#ip add 192.168.1.10 255.255.255.0Switch(config-if)#no shutSwitch(config)#ip default-gateway 192.168.1.1这是本人对思科交换机的一些部分简单的配置，console 登陆密码和远程登陆密码，还有远程控制 IP 的配置。第 3 章韩泰轮胎公司内网的设计与实现193.8 企业内网安全与 VPN3.8.1 企业内网信息的安全下面给出保障企业内部网络的安全的 5 条准则：（1）避免多个应用之间的相互影响企业，经常会在一个服务器或主机上安装多个应用，或者是在同一个数据服务器上安装多个应用的数据库系统。当一个应用被病毒感染时其它应用会无可避免的被感染。（2）关闭多余的服务和端口很多时候，某些服务和端口并没有多大用户，却给黑客给了攻击的机会。（3）定期备份数据数据的损坏和丢失比任何事情都让人难以忍受。因此做好数据的备份，很重要。数据的备份可以从两个方面来实现，一是采用 RAID 存储结构。二是采用双击互备份双击热备份。（4）控制信息的导入和导出设立专用的信息导入和到处计算机。针对导入的信息做严格的防病毒监测，防止病毒进入内网。（5）禁止内部网络直接与 Internet 相连在内部网络直接设置防火墙进行过滤。对于内网安全级别高的企业，可以直接断开内网与因特网的连接。3.8.2 通过 internet 访问企业内网在很多情况下必须将内网与因特网连接，比如远程办公。这种情况下。为了保证访问安全性，可以采用 VPN 技术。VPN 的全程是 Virtual PrivateNetwork，就是虚拟专用网络。称其为虚拟的原因是因为在 VPN 网络中任意两个节点都不是通过物理链路来连接的，而是建立在网络服务提供商所提供的网络平台之上的一条虚拟逻辑链路。VPN 具有以下优点：（1）安全可靠。因此使用了身份认证技术和加密技术，所以可以保证数据的安全性和保密性。燕山大学里仁学院本科生毕业设计（论文）20（2）降低组网成本。用户甚至可以使用 VPN，利用因特网上的虚拟链路，组建一个企业的内网。（3）网络可控。可以自己管理如 QoS、安全设置等，都可以由用户管理。3.9 VPN 的配置PPTP使得远程用户通过Microsoft Windows NT Workstation,Windows95,Windows 98 和Windows 2000以及其它具备ppp功能的系统拨入到本地 ISP，就能跨越 Internet 安全地连接并访问公司网络。其标准说明文档为RFC 2637。图 3-3 VPN 示范图以下是 VPN 服务端路由器配置config t进入全局模式hostname PPTPserver主机名设置为 PPTPserverenable secret 0 star特权口令设置为 staraccess-list 1 permit any建立 acl1，用来 nat 规则关联第 3 章韩泰轮胎公司内网的设计与实现21vpdn enable使能 vpdn 功能vpdn-group pptpDefault PPTPVPDN group，设置 vpdn-group 接口，名为 pptpaccept-dialin允许接受远程客户端拨入protocol ppt

展开阅读全文