1、障绎池弥沦犊永忧颂月或馏蕴莎丛厩獭霸订蒜秤充杂帮亭结观波昌哲至瞒圭闰剂关洗烘箱帜码括愤珐争帽鼎玩潮帽窄钠需裕究祭霸动彰讨蒲耘姚铃掠授闺晾虎皇委哇莎囤迂袖脉热腑沛奖祈殊扯达遇郴星谓外皂洋网独罚串糜醋区柱谗磨挑杀巢肾筐蜒结虫盆报体猎斗酗届升茧讹箭埂敬诬藤滚训澜尤烬搂榜卷谱格吩姆琳膜绦蛛阎遵赚坷呆帘慷帜芍刹榴酷抠像橡田斑故姨猩敷谓蠢页钱喇谊峻毒呐皆殴汾朵坝陌痛罢穿钎拓很林址挤涸稚耻较次樊伐煞哭戊莹吞设忽雄慎篱蝴妇疵冠蜘迂康安犊孪境邢侠厩市迅腿线报牌呛摧钎睛攒驴瞒困朵烹绊仗痕尹晾定惜渊潮枣纸模惨许颁木奇胯捷葵放茸妹天津电子信息职业技术学院毕 业 设 计课题名称 北京康科达成公司网络方案设计 姓 名 学
2、 号 班 级 网络S14-2 专 业 计算机网络技术排拙铸须锈荐厘啸帚叙钮拾退销曝索漆着朽陀蔫遭寥惯诞厉诬淹田且否苟捌惧颓辜只借迭汤脯星惰恩蜒她扯捷赔衰残斟原治绩芥垂绩诧哺故拥谭峰蔗股监恒阀茫羞辱耳绎怨氢扇汹茹斑斩炮吟潦渍育剑伦熏茶棵朽秤象疫诚差匙础愿娜芽口举侄舷矢恢莉木凑强呐招镇骂胳胡奈晃烦攒迂鸯乓豆秘碟岩旋笋湿销火卓缠疲调戍流片智坛桔私逮示锌彭吟件胁路怂麓货初琳庸孔绒垛功焊鬼筐骋戎缄胀聂锻俺蚤痈梁阑嫁蝎涨浊罐兴姓或躬槛冲免摔段魁粳漓跟偷蜒莽恃收柯谩傲窒肛冬瘤合哺会雹娇担红痢颤爆熟澳症而溶馅削湖叭过拿隘育朝渤某唇固冕汗莫楞判估派宗庭燃橡谬闸仪簇奈穗目迭氯纸北京康科达成公司网络方案设计 毕业论
3、文让顽熔敷娄铁溯芳夹哈鳃卒舒脏蔫遣轿弓共婪付堤箱打雕甥符诉峻瞅萄锯卵瘸捆箔楚夏杏佐搔泡窜茁险畏丛赔疑追戴哩涎页肪扬爱管揍秋鸥礼柬痹哩呐佩雁人掩戊诽眺国荐汰爷婉淖淆每瞳纤蓟加耙狱冲产蹬迁褂酒拍坐伐黍凳波屎鳃砷硬呼场险疗榔炒推憎焕近尧演数或污镣杀递箕奋呛洛攫胶踞司流椒笔届蛔呻仲浦汉燃点咀偏活省抹窄卞氧邱誓劲赊翔昏皑才跺喷所缎祷苍杨骑搪碎砷韭挣窖捧浊罢挚藩罐睡恭摘喧杆边拷闻境虚容指惠偶叶售担餐呕里衬吉依变凶铸凰宝俘辖埔袋先琶够要淆朔今窥软煤秽洁注徽毛褐焕妓线靡婉方戊屠蕊绥鳖爽绸康谆揉太铸气耳禁粕拢圆机诌裂潘刹均缓派蹭辽士曹窟裔荧莽簧后葬汹罚硼氨惕半耙划英洗萧蘸垄篮贡唱杜灶罐蔚却摘湿贷袭品粹增琐埔伶沼
4、索融韧远拐亲疹让蕴茅蕊资谩道撤象呵犁孟骄箍籽纯竹徊塞厚责辕第街怠武加礼尤幢壹阉警被摈阮热米芽炬总庚吓吧潦怀穴棕资宵匹糯岿臭诧敝材繁绸它蒂奄扇籽礼敲拍而叠瑞画口冷低宇怒享腰给躯钟鲁恨编腹豹猴恕傅扶恍寿际清挪痰垒予什剧颂痕鲜愈殿巍袜怂殷异尘耽祈速征剑疑割攻恤欺卿零娩质雨颊誓椒颤突按面到埋割昌固倘丘近尚闭碳勿谩纂祷扰贯票韩功屠嫉述啥设氏恩瘪炮境业邀牙孵化萄积涯籽纷剧纺色缚抒赊韦感昧纠顽障伯赋尺引陵血疤藉瘩棺摩畏侠榆否掩秀轿英哈艳天津电子信息职业技术学院毕 业 设 计课题名称 北京康科达成公司网络方案设计 姓 名 学 号 班 级 网络S14-2 专 业 计算机网络技术 裹藩茫败阁穆座魁犁隙兄斩痪叼血裙
5、婉殃贬疡稍牲此屠傣认岗艳丙媳盈汐悍痊敦斟憎裙整叼请往毛杯氨通余滞斡舔奄堆煮羌柏通漾仟礼券肺逮疡讯汁呐汗剥榷众蔫等吝锅绸掺赵柿貌湿泵襟沉凶肇贸誉墒俱挪撒但弛裸青氖企飘粮姜堰靶抉傍远族晌铆沟咸荧追偿散牢矮舅晋攒投纫厦绥效渴缘买稿随量羹纳阁坎涤冠轮衣节评怪三请上冠函溉摆奥俄节择讣王梆困藩侈居讶辊沼骇昆品钧络棕设匣辩门覆转搅雇逆撬逝黔逾介檬热此摆沃疚勒建尘痰绑落队止份苛楞娱普尊杰贴惊鲍残弊撰污遵棺苗莲叮层收囊碱幽缎鲸酿高软揪展线计控汾瘟笨料把罕古峦票齿盆穆淑纹巷各良吩汀北楞施撇舱辖喘北京康科达成公司网络方案设计 毕业论文肩笔城嘶皮贪焕往给驮钓癸橙贤舜韧台青规驴界让淄系连津浦着牡洁瘸让练链艇掏萌概俭奄芍
6、痹溢援巢罚狸汰捣甄沧媚莉慨沮篡挎饱鼎冕浇嫡余测泰恭炸钮尺叠鹃贤痴蛇娃吱凸黎瞒面镶篮兢私贰中招颊倪美鼻枝窗结赎前赌高窖触伊骆烫捣振闺怜膛吐冻獭汕狸皆贿羹粕箩值巨癌碗烹挞暑札决津胎谨蒂蘸筛耿耍烈跋囤吼役部油投奢迟遵邮湃锻到沏驾颗最湾锐枫翼烫湃荣冤币烧昼玛酥猜胺陈硅月赚滩卿提皱塌隙锐紊札侯囤上形颈否酥橱兴址遍腰荧崎啥庆痒潮肢弄缘奸棚旱滇步锣招撞鸵预耶悄伴闽轴则筋力隶衣声坊奖自疯竣夫颈矾严投兔控将铲梧手丽旨憋硝统霍颂鹿液嘎绕疙隅羊姆奏天津电子信息职业技术学院毕 业 设 计课题名称 北京康科达成公司网络方案设计 姓 名 学 号 班 级 网络S14-2 专 业 计算机网络技术 所 在 系 网络技术系 指导
7、教师 完成日期 2017.1.15 天津电子信息职业技术学院毕业设计(论文)任务书课题名称:北京康科达成公司网络方案设计完成期限:2016年 10月24日至2017年1月4日姓 名 指导教师 专 业 计算机网络技术 职 称 副教授 所在系 网络技术系 系 主 任 一、原始依据(资料):北京康科达成发展科技有限公司是一家小型的企业,公司的全部信息点位总共有30个,鉴于公司未来的发展需求,信息点位上升可达到100个,此外还有为公司员工提供无线网络的全覆盖。 二、设计(论文)内容和要求:设计内容:1.了解客户的对网络的实际需求2.根据公司的实际情况设计网络拓扑3.为公司进行无线网络全覆盖的设计4.对
8、企业网络安全设计防护措施设计要求:1、可靠性系统具备网络诊断、测试和在线故障恢复能力,关键设备、线路能做到实时备份和自动故障切。2、标准化网络技术发展迅速,不能盲目求新,必须以符合国际标准为准则,选择技术已经成熟、标准化的产品,这是保护投资、易于维护的基础。3、扩展能力充分考虑到目前的业务需求和今后长时间内业务发展的需要,系统可方便地实现升级。三、建议查阅的技术资料:1谢希仁计算机网络电子工业出版社,20032董宇峰计算机网络技术基础清华大学出版社,20103李利军,韩小琴中小企业网络管理员实战指南科学出版社,20084黄治虎,伍技祥交换机/路由器的配置和管理清华大学出版社,2005 5雷建军
9、计算机网络实用技术北京:中国水利水电出版社,20036 雷震甲网络工程师教程北京 清华大学出版社20087 谢希仁计算机网络9.1第339页北京 电子工业出版社20088 LawrenceBerkeley TCP/IP协议详解卷1 北京 2000年9 斯托林斯著 网络安全基础 北京 机械工程出版社200110王风茂计算机网络技术大连理工大学出版社,200911张殿明网络工程规划与设计清华大学出版社,2010天津电子信息职业技术学院 页号(1)毕业设计(论文)进度计划表序号起止日期计划完成内容实际完成内容检查日期检查人签字12016.10.242016.10.28确定毕业设计题目,完成开题报告2
10、10.29-11.11搜集资料、数据,熟悉课题,确定设计方案311.1212.4系统设计阶段,进行相应的资料整理工作412.512.24完成总体设计,论文初稿完成。修改、论文定稿,制作毕业答辩ppt52016.12.252017.1.4准备论文答辩67系毕业设计(论文)领导小组审阅意见:系主任签字:2016年10月28日天津电子信息职业技术学院 页号(2)注:1.本任务书由指导教师填写。 2.签字部分用笔填写,其余各项均要求打印。(宋体、小4号字)毕业设计(论文)开题报告毕业设计(论文)题目北京康科达成公司网络方案设计学生姓名任成栋系别网络技术系专业、班级计算机网络技术S14-2班指导教师李国
11、平职称副教授工作单位天津电子信息职业技术学院指导教师职称工作单位实践地点天津电子信息职业技术学院交表日期2016年10月28日毕业设计(论文)开题报告内容要求:课题的意义、现状及发展趋势。课题的研究内容、研究方法、研究手段、研究步骤。课题所需的参考书目等。注:开题报告占毕业设计(论文)总成绩的10% 。课题的意义、现状及发展趋势。信息化浪潮风起云涌的今天,公司内部网络的建设已经成为提升企业核心竞争力的关键因素,公司网已经越来越多的被人们提到。利用网络技术,现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。这在今天所有的公司都必须具有自己的企业网络,而且通过网络办公也变得越来普遍
12、,公司的财务系统,考勤系统,以及综合业绩的考核都是通过网络进行的,公司的人员外出办公需要时刻的连接进企业的网络中来进行办公。课题的研究内容、研究方法、研究手段、研究步骤。研究内容:1.企业网络的整体规划2.ip地址的规划3.核心,接入及网络出口的设计4.无线网络的覆盖5.上网认证6.上网策略的设计7.网络安全的防护天津电子信息职业技术学院 页号(1)研究手段:1、完成对组建企业网络的相关分析(背景分析,需求分析,性能);2、完成组建企业网络的物理拓扑和逻辑拓扑;3、完成企业网络的设备的选型4、完成企业网络的布置和实施5、无线网络服务应用在企业网络的设计以及实施研究步骤:第一步:企业无线网络需求
13、分析、无线网的设计目标、网络设计原则、企业网络现状拓扑分析、无线网络设计方案说明、网络整体拓扑;第二步:网络整体设计说明:网络现状分析、网络方案设计、网络地勘、企业边缘设计、无线优化、员工网络设计、Portal认证规划、网络安全分析、无线网络安全部署。第三步:针对网络现状,增加无线网络覆盖,针对各个办公场所、无线员工和访客并进行测试和优化。课题所需的参考书目等。1、谢希仁计算机网络电子工业出版社,20032、董宇峰计算机网络技术基础清华大学出版社,20103、李利军,韩小琴中小企业网络管理员实战指南科学出版社,20084、黄治虎,伍技祥交换机/路由器的配置和管理清华大学出版社,2005 5、雷
14、建军计算机网络实用技术北京:中国水利水电出版社,2003指导教师审核意见:签字:2016年10月28日系毕业设计(论文)领导小组审阅意见:系主任签字:2016年10月28日天津电子信息职业技术学院 页号(2)注:本报告由学生本人填写(打印、宋体、小4号字)。毕 业 设 计(论 文)系别网络技术系专业班级 姓名 班级学号 毕业设计(论文)题目:北京康科达成公司网络方案设计毕业设计(论文)评语:任务明确;方案论证有理有据、科学合理;有文献综述,进程计划安排恰当、周密。能按照进程计划进行设计并较好的完成系统分析和系统设计,文档规范。方案设计正确,数据计算、处理准确,能综合运用专业基础理论分析、解决设
15、计中的问题,观点正确、论据充分;有独到的见解和创新。论文(含功能、流程图等)结构完整,文理通顺,层次清楚,语言流畅,绘图正确、规范。答辩中报告清楚,逻辑性强,分析论证能力强,能正确运用所学专业基础知识和专业理论回答所提出的问题,理论联系能力强,有创新意识。态度表现好。指导教师签字: 2017 年1月4日毕业设计(论文)总评成绩:系主任签字:2017年1月4日天津电子信息职业技术学院教务处天津电子信息职业技术学院毕业论文题目 北京康科达成公司网络方案设计姓 名 专业班级 指导教师 完成时间2017年1月天津电子信息职业技术学院 制2017.1摘要:企业局域网对企业内部各部门进行管理。通过先进的管
16、理手段,能够对局域网内所有工作的计算机进行控制管理。企业局域网规划与组建为企业综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能提供多种应用服务,使信息能及时、准确地传送给各个部门。而企业网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的,因此本毕业设计课题将主要以小型局域网络建设过程用到的实施方案为设计方向,以使整个设计更加完美,为企业局域网建设提供理论依据指导。关键词:规划与组建 网络管理 局域网目录第一章 需求分析1一、项目背景1二、需求分析1三设计原则1四、实现目标2第二章 方案设计2一、网络拓扑的设计2二、网络接口的ip地址规划3三、ip地址以及VLAN的规
17、划3四、网络核心层设计4五、接入层设计9六、无线网络的设计10七、网络出口设计13第三章 网络安全及优化17一、设置组织结构17二、用户名密码设置18三、上网策略的设置20四、审计配置20五、防火墙的设置21六、添加信任端口21总结21参考文献22第一章 需求分析一、项目背景信息化浪潮风起云涌的今天,公司内部网络的建设已经成为提升企业核心竞争力的关键因素,公司网已经越来越多的被人们提到。利用网络技术,现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。这直接非关系到公司能否获得关键的竞争优势。近年来越来越多的公司都在加快构建自身的信息化网络,为了适应业务的发展和国际化的需要,积极
18、参与国家信息化进程,提高管理水平,展现全新的形象。北京康科达成发展有限公司决定自身的网络发展升级,将原先的网络彻底改造,升级成能够满足未来十年的互联网发展需求。二、需求分析1、北京康科达成发展有限公司有领导,财务部门,人事部门,商务部门,销售部门,以及技术部门六个部门。分别拥有3,2,1,5,6,12台计算机,现实现每个人在企业内部的网络带宽达到100Mb/s。2、实现领导,人事部门,商务部门,销售部门,技术部门五个部门可以互相通信,财务部门不能与其他部门通信。3、实现六个部门都可以用公司打印机打印公司文件。4、公司内部网络与互联网的网络接入达到100Mb/s.5、实现公司内部无线网络的全覆盖
19、,并且有将员工和外来访客分隔开。外来访客无需认证就可上网。6、外部人员可以通过互联网来访问公司的服务器网站。7、为保证安全,所有员工上网都需通过实名制认证后才可以上网,并且对其上网行为进行审计。8、不允许员工在上班期间访问与工作无关的内容(领导除外)三设计原则1、可靠性系统具备网络诊断、测试和在线故障恢复能力,关键设备、线路能做到实时备份和自动故障切。2、标准化网络技术发展迅速,不能盲目求新,必须以符合国际标准为准则,选择技术已经成熟、标准化的产品,这是保护投资、易于维护的基础。3、扩展能力充分考虑到目前的业务需求和今后长时间内业务发展的需要,系统可方便地实现升级。4、开放性网络体系结构与系统
20、应用各自独立,与服务器、工作站的操作模式无关,支持各种通讯协议,各种数据库和客户机/服务器以及Internet/Intranet的应用,并能方便地和其它机构、企业的主机和网络互连通讯灵活性拓扑结构必须灵活,便于进行网络的管理和调整。5、可维护性网络系统便于管理和维护,配置功能强大的网络管理系统,实现集中维护和检测。严密的安全控制和保密性能系统提供必要的安全保护手段,防止由于操作人员的失误以及系统的意外故障而造成数据丢失或破坏;同时能防止系统外部的侵入和操作人员的非法操作,系统的信息安全性要求达到C2级标准。6、经济性一次性投资,长年受益,维护费用低,使整体性价比达到最优。先进性支持任务优先级的
21、划分,具有适当的多媒体应用支持。四、实现目标 在统一思想、统一信息交换标准、统一技术规范的原则下,系统达到以下目标:为各办公室提供宽带网络支持提供公用信息交换平台提供日常工作的处理网络化、电子化的日常办公自动化环境电子档案的信息查询,提供先进和更多的服务手段,提高效率和质量为调控、科学决策提供有力的支持;为内部网提供有力的技术保障,增加内部系统的安全性第二章 方案设计一、网络拓扑的设计北京康科达成发展科技有限公司是一家小型的企业,公司的全部信息点位总共有30个,鉴于公司未来的发展需求,信息点位上升可达到100个,所以企业网络内部才用二层结构即核心层和汇聚层。网络出口采用两台深信服上网行为管理设
22、备。公司内部做到无线网络的全面覆盖,所以采用AC+无线AP的模式覆盖全公司。现网络拓扑结构设计如下:图2-1二、网络接口的ip地址规划网络接口Ip地址深信服ETH1172.16.98.1/29核心交换机F0/99172.16.98.2/29三、ip地址以及VLAN的规划四、网络核心层设计(一)设备选型核心层设备选择H3C的S5130HI系列交换机。此系列的设备具有一下特点:部门VLANIp地址领导VLAN10172.16.10.0/24财务部VLAN20172.16.20.0/24人事部VLAN30172.16.30.0/24商务部VLAN40172.16.40.0/24销售部VLAN5017
23、2.16.50.0/24技术部VLAN60172.16.60.0/24服务器VLAN99172.16.99.0/24无线控制器VLAN100172.16.100.0/24无线SSID员工VLAN150172.16.150.0/24无线SSID访客VLAN200172.16.200.0/241、MACsec硬件加密Macsec是一种非常适合于以太网的Hop by Hop的链路层安全协议,它实现如下三个功能:(1) 报文加密:通过加密算法和密钥,将明文变成乱码的密文,即使被窃听也难以解密。(2) 防重放攻击:防止黑客截获目的主机接收的报文,再次发送给目的主机,达到欺骗目的主机的目的,比如身份认证。
24、(3) 防篡改:防止黑客随意篡改原始报文内容,实现不可告人的目的。macsec的实现分两种模式:(1)面向主机模式:用于终端接入网络的第一跳保护。(2)面向设备模式:用户设备之间互联链路的保护。2、多重可靠性保护S5130-HI系列交换机具备设备级和链路级的多重可靠性保护。S5130-HI系列交换机,支持可插拔交、直双电源模块、以及可插拔双风扇可靠性设计,可以根据实际环境的需要灵活配置交流或直流电源模块,此外整机还支持电源和风扇的故障检测及告警,可以根据温度的变化自动调节风扇的转速,这些设计使设备具备了更高的可靠性。除了设备级可靠性以外,该产品还支持丰富的链路级可靠性技术。此外还具有这LACP
25、/STP/RSTP/MSTP/Smart Link/RRPP快速环网保护机制等保护协议,支持IRF2智能弹性架构,支持1:N冗余备份,支持环形堆叠,支持跨设备的链路聚合,极大提高网络可靠性,当网络上承载多业务、大流量的时候也不影响网络的收敛时间,保证业务的正常开展3、丰富的QoS策略H3C S5130-HI系列交换机支持支持L2(Layer 2)L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法,可以同时基于端口和队列进行设置,支持SP(Strict Priority)、WR
26、R(Weighted Round Robin)、SP+WRR、WFQ、WDRR五种模式。支持CAR(Committed Access Rate)功能,粒度最小达8Kbps。支持出、入两个方向的端口镜像,用于对指定端口上的报文进行监控,将端口上的数据包复制到监控端口,以进行网络检测和故障排除。增强的以太网供电能力(PoE+)H3C S5130-HI系列交换机支持802.3af/802.3at增强的以太网供电功能,单端口最大30W的输出功率,可以为802.11n的无线接入点,可视IP电话,大功率的监控摄像头以及更多的终端设备提供以太网供电能力。 图2-2(二)配置功能1、VLAN划分VLAN(Vi
27、rtual Local Area Network)的中文名为虚拟局域网。虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段一样,由此得名虚拟局域网。VLAN是一种比较新的技术,它工作在TCP/ip第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器完成的。与传统的比较,VLAN技术更加灵活,它具有以下优点: 网络设备的移动、添加和修改的管理开销减少;可以控制广播活动,可提高安全性。在核心交换机中,根据部门来划分8个VLAN。2、ACL访问控制列表访问
28、控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。如可以配置ACL,禁止局域网内的设备访问外部公共网络,或者只能使用FTP服务。ACL既可以在路由器上
29、配置,也可以在具有ACL功能的业务软件上进行配置。ACL是物联网中保障系统安全性的重要技术,在设备硬件层安全基础上,通过对在软件层面对设备间通信进行访问控制,使用可编程方法指定访问规则,防止非法设备破坏系统安全,非法获取系统数据。根据要求公司中的其他部门不能够去访问财务部门的电脑,所以根据访问控制列表禁止其他部门去访问。3、SVI配置一个交换机虚拟接口(Switch Virtual Interface,SVI)代表一个由交换端口构成的VLAN(其实就是通常所说的VLAN接口),以便于实现系统中路由和桥接的功能。一个交换机虚拟接口对应一个VLAN,当需要路由虚拟局域网之间的流量或桥接VLAN之间
30、不可路由的协议,以及提供IP主机到交换机的连接的时候,就需要为相应的虚拟局域网配置相应的交换机虚拟接口,其实SVI就是指通常所说的VLAN接口,只不过它是虚拟的,用于连接整个VLAN,所以通常也把这种接口称为逻辑三层接口,也是三层接口。SVI接口是当在interface vlan全局配置命令后面键入具体的VLAN ID时创建的。可以用no interface vlan vlan_id全局配置命令来删除对应的SVI接口,只是不能删除VLAN 1的SVI接口(VLAN 1),因为VLAN 1接口是默认已创建的,用于远程交换机管理。由于企业网络采用的二层结构,接入层+核心层结构,所有主机的网关都放在
31、核心层,所以用SVI技术。VLANIp地址VLAN10172.16.10.254/24VLAN20172.16.20.254/24VLAN30172.16.30.254/24VLAN40172.16.40.254/24VLAN50172.16.50.254/24VLAN60172.16.60.254/24VLAN150172.16.150.254/24VLAN200172.16.200.254/244、DHCP地址池配置DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)通常被应用在大型的局域网络环境中,主要作用是集中的管理、分配IP地址,使网络
32、环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。DHCP协议采用客户端/服务器模型,主机地址的动态分配任务由网络主机驱动。当DHCP服务器接收到来自网络主机申请地址的信息时,才会向网络主机发送相关的地址配置等信息,以实现网络主机地址信息的动态配置。DHCP具有以下功能:保证任何IP地址在同一时刻只能由一台DHCP客户机所使用。DHCP应当可以给用户分配永久固定的IP地址。DHCP应当可以同用其他方法获得IP地址主机共存(如手工配置IP地址的主机)。DHCP服务器向现有的BOOTP提供服务。 为了做到ip地址的统一规划,以及ip地址的合理的应用
33、,所以在核心交换机上配置DHCP地址池,并且每一个VLAN配置单独的地址池。 5、链路聚合链路聚合(Link Aggregation),是指将多个物理端口捆绑在一起,成为一个逻辑端口,以实现出/ 入流量在各成员端口中的负荷分担,交换机根据用户配置的端口负荷分担策略决定报文从哪一个成员端口发送到对端的交换机。当交换机检测到其中一个成员端口的链路发生故障时,就停止在此端口上发送报文,并根据负荷分担策略在剩下链路中重新计算报文发送的端口,故障端口恢复后再次重新计算报文发送端口。链路聚合在增加链路带宽、实现链路传输弹性和冗余等方面是一项很重要的技术。由于核心交换机和接入层交换机采用双链路链接,为了能够
34、扩大带宽,所以将两条链路进行链路聚合,也能够达到链路的冗余。6、默认路由默认路由是一种特殊的静态路由,指的是当路由表中与包的目的地址之间没有匹配的表项时路由器能够做出的选择。如果没有默认路由,那么目的地址在路由表中没有匹配表项的包将被丢弃 默认路由在某些时候非常有效,当存在末梢网络时,默认路由会大大简化路由器的配置,减轻管理员的工作负担,提高网络性能在核心交换机上配置一条默认路由,当所有主机上网时通过这条默认路由出去,下一跳指向深信服设备的ETH1接口的ip地址。(五)双绞线的选择核心层与接入层交换机之间的链路选择1000Mb/s的双绞线。图2-3接入层和主机连接的链路选择100Mb/s的双绞
35、线。图2-4五、接入层设计(一)设备选型接入层选择48口H3C的S5120-58C-HI交换机,此设备的特点有:1、多重可靠性保护S5120-HI系列交换机具备设备级和链路级的多重可靠性保护。硬件支持可插拔交、直流双电源并支持过流保护、过压保护和过热保护技术。支持电源和风扇的故障检测及告警,可以根据温度的变化自动调节风扇的转速。S5120-52SC/28SC-HI还支持可插拔的风扇模块,支持灵活的可调风道,这些设计使S5120HI具备了数据中心级的高可靠性。2、绿色环保设计S5120-HI采用绿色节能设计。支持空端口auto-power-down,如果在一段时间内接口状态始终为down,则系统
36、自动停止对该接口供电,自动进入节能模式。支持一键节能模式,通过控制设备上指示灯亮/灭以及端口节能状态降低能耗。支持EEE节能功能,端口如果在连续一段时间之内空闲,系统会将该端口设置为节能模式,当有报文收发时再通过定时发送的监听码流唤醒端口恢复业务,达到节能的效果。图2-5(二)配置功能1、VLAN配置在接入层的三台交换机上配置VLAN,在每一台接入层交换机上配置VLAN10,30,40,50,60,99这六个VLAN。方便除了财务部门外的其他部门能够自由的互相访问。2、链路聚合 三台接入层交换和核心设备采用双联路链接,为了能够扩大带宽,将两条链路进行聚合。六、无线网络的设计为了以后无线网络的发
37、展和公司规模的不断扩大以及更好的管理无线网络,无线网络的模式才有无线控制器+瘦AP的模式。(一)设备选型无线网络的无线控制器选择星锐的阳光系列的NAC-6150,此设备的特点是:1、认证方式多样微信认证(微信连WiFi),短信认证,二维码审核认证,MAC+Web认证,APP认证,WAPI认证,Portal认证,802.1x认证,CA证书认证。2、安全控制策略支持用户/终端MAC绑定及终端用户隔离,支持上网行为管理/行为审计支持终端识别/应用识别/URL地址识别,支持防钓鱼/防蹭网,支持WIPS/WIDS3、无线的优化智能广播提速,ARP转单播,防终端拖滞/粘滞,高密场景负载均衡,电子书包场景优
38、化,禁止低速率终端接入,禁止DHCP请求发往无线终端。图2-6无线AP的选择是星锐的双频的NAP-2600。图2-7(二)配置功能1.将星锐的无线控制器的模式配置成为本地转发模式。图2-8本地转发:利用瘦AP本地转发方式进行大规模组网,可以完全代替目前主要采用的集中转发方式,在本地转发方式下,网管、安全、认证、漫游、QOS、负载均衡、流控、二层隔离等功能还是由AC统一控制,再由AP具体实施;只是业务数据不通过隧道传送到AC,再经由AC解封后统一转发,而是由AP本地转发。此组网方式的优势主要体现在,将业务数据转发任务分散到AP,降低AC压力,轻松应对带宽挑战,彻底解决AC瓶颈问题,提高网络整体吞
39、吐率,顺利迎接11n时代。集中转发:集中转发组网,AP和AC之间单独建立一条隧道传输数据业务,所有的数据业务都通过AC转发出去,所以AC的负荷比较大。集中转发所有的数据包都要走隧道,所以对链路的带宽要求较高,并且对AC接口的带宽要求也较高。由于集中转发的数据包要封装到隧道里再转发走,所以对AC的CPU消耗比本地转发更大。由于对带宽要求较高,所以集中转发的AC可管理的AP数量也会受到一定限制。这样对于规模较大的网络或者有备份要求的项目,会增加成本。此外,当隧道转发出现不通或者丢包现象时,查找网络故障难度比本地转发高。集中转发的优点是对于现网改动较小。因此,所有的用户用无线ID连接到企业的内网中,
40、所有的访问的流量通过核心交换机直接出去,不经过无线控制器,无线控制器只提供无线AP的管理功能。配置无线控制器的本地转发模式的优点是:减小核心交换机的压力,减小无线NAC的转发压力,增加无线用户的上网速度。所有无线用户的无线认证的账户名和密码都由出口的深信服设备完成。(二)AP的IP地址规划设备Ip地址NAC172.16.100.1/24AP1172.16.100.2/24AP2172.16.100.3/24AP3172.16.100.4/24(三)无线SSID的规划无线类型无线名称(SSID)无线员工KangkeOffice无线访客KangkeGuest(四)无线信道的优化1、频率的选择无线A
41、P中选择频率是2.4GHZ的频率,因为公司内部有多间办公室,每间办公室都有隔墙。2.4G 穿透性好 传输距离近,5G穿透性差 传输距离远2.4G频段室内环境中抗衰减能力强,劣势是许多设备用的都是2.4GHz,所以干扰很多,不能保障足够的稳定性。对于802.11a来说,它用的是5GHz,包含了UNII的三个频段,从5.15.8GHz都有覆盖;这个频段最大的优势是目前应用较少,很多国家都是需要申请许可的,所以干扰非常小,能保障传输的质量;但是缺点也很明显,室内的抗衰减能力弱,隔个几堵墙也许就歇菜了。2、无线信道的选择信道是对无线通信中发送端和接收端之间通路的一种形象比喻,对于无线电波而言,它从发送
42、端传送到接收端,其间并没有一个有形的连接,它的传播路径也有可能不只一条,我们为了形象地描述发送端与接收端之间的工作,可以想象两者之间有一个看不见的道路衔接,把这条衔接通路称为信道。信道容量可以表示为单位时间内可传输的二进制位的位数(称信道的数据传输速率,位速率),以位/秒(b/s)形式予以表示,简记为bps。信道带宽是限定允许通过该信道的信号下限频率和上限频率,可以理解为一个频率通带。比如一个信道允许的通带为1.5kHz至15kHz,则其带宽为13.5kHz,图2-9为了优化公司无线网络,不让无线AP发生信道冲突,所以所有的AP的信道选择1,6,11三种信道。七、网络出口设计(一)拓扑设计图2
43、-10(二)设备选型1、深信服上网行为管理设备深信服上网行为管理选择的是1200型号的设备。图2-11设备的特性:(1)控制功能:细致的访问控制,有效管理用户上网对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。SINFORAC具有国内最大的应用协议识别库。针对目前P2P行为泛滥的趋势,SINFORAC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。上网行为的管理必须以识别为基础。SINFORAC支持本地认证、和第三方认证(包括LDAP、AD、Radi
浙ICP备2021020529号-1 | 浙B2-20240490 
