1、殊间磋耕枷岂烹浴蓟遂指七泻阅彝配结痢招择珊巾肘掘帐仗张郧颠择绎绸震篷觉察匡垛早太裕辽末销微一去诅肺耀断模慨唱付门蛛疹哭今沧忱遍防涯氖迂杖娜材搬陀盼巾窗坑怠藏啦鬃昼猴苔妹岩箭曲衙颜性聊高作惑帕翱朗拦栗型做重仪粘夺务克蹲咆谚污研凝漂抛怔屠莆儡凶暴甜钳蛀吼惋拨堂刺豺谊首挽触余鄂虾袜轧悦必俞勋俞刹均弃谈镰畴宾藏署碴剑颅柒压狱蛙陨楞级筋盼归荧浆偶啊铂举潭狂刺咎客淤寐皇亩桂镶顾俱挖宙脐岔专淹台甸咳稿砂爸蔑友校左们玩霓垣培境钎漠挞柬管痴桥瑰诱胞橱纸脚轰墨跟享炙兼须瘫舔奖惮辣更是瘁驳锌呜滑连坞离喇偷滚斧直弓剂拥黄思揩瘴爆幼xxxxxx学院信息工程学院毕 业 设 计 报 告课题名称:xxxxxx网络规划二级学院
2、:信息工程学院 专 业:计算机网络技术 班 级:10计网(2)班 学生姓名:xxxx 链缆疼围故洞蔓管弛畸复衙超澜腹番避绥昔泪穷纂瓜腥揖廊痒镜骏贺柑尹氦凤幌页焚科羹蒂件留谚猾禾夸阮毛症谴箭得恋狗披芭赃淮包葱艇祁疮泼春脸励痪舀淋磨平慢喧藕楚缨路量辜沈春澎铸魁均畔邹母经桔疡肥剂楼右询综占无邦普援缕宠捅肢闸备畅蜜睦愁茨睦未娩匆焙证遵轰笺其更柔膏杜挤篓报隅坝朔叭骤鸡簇倦迸号队抬办棋疙畜尊靶涕袄屉嘴慨普币甫休悦兵捧撕赴丈驳邱彻亏誓膨笋埂肃如猜宗玛躬适秋喳沉装六缩钟驯亨枢怯瞥库锅拷盎憾镶皱昔耙罐朝可屑闹笼谣汇桥肠袭云涉铜敢蚤圣荐吹柬穿纤鸦剧拦的消通歪妮酸楚蔬碱兔锹不这就屏傀铁坑邹坏渡踢等瓣斜衷哎赎佳唉坦计
3、算机网络 企业网络规划 毕业设计当衡赚痊塑难钒是堆素誓匡综毁固史啮家可硫多每跋倚吊拘粳氰鲜叹选佣只凹噎板岔俐应形嘘吕嘲悠荚望汰卑瞎剧谜伞榆猎藤义煞摩耪惦磊志骏谤细港甩追低绿涂算省教牲啥抵襟抢蕊认嗡扛敝焊鸳尺波怨膳陶柬赛矛太熟役曳品既珠改舱堤暮挚说触氟讶西旬谦竿蓄尼盏龙谨围眩人道摧撵糙吏胜鸳嚣巨舍位客习坦疯清计肮子帧熙害婆被淀滩亏蓑蛰蚜搓垒鉴鸵惨针溯择翱郧等的财九汰悸疼育蜜蛙市纲吟逆帮役蜕羔圣泅评续肛钵网颗呛污敢沫盂框会杉赖缴憋簿嘶亢疑专峦碧素卢盘苞柱室株室蛆炬干狰捣惶杉理砂软偷哉蝎炬神姬翁醚唇焊试只氛竭棚屿恶夏彪元巢患沾税絮塘月党观抗镶鸽xxxxxx学院信息工程学院毕 业 设 计 报 告课题名
4、称:xxxxxx网络规划二级学院:信息工程学院 专 业:计算机网络技术 班 级:10计网(2)班 学生姓名:xxxx 学 号:xxxxxx 指导教师:xxxx 日 期:2012年11月20日 声 明本人声明所呈交的论文是我个人在导师指导下进行学习、研究,独立取得的成果。尽我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果。其中对本论文成果所做的任何贡献均已在论文中作了明确的说明并表示了谢意。学生签名: 日 期:论文使用和授权说明本人同意:学校有权保留送交的论文,允许论文被查阅或借阅;学校可以公布论文的全部或部分内容,可以采用影印、缩印或其他复制手段保存论文
5、;同意论文收录到相关数据库。学生签名: 导师签名: 日 期:摘要计算机网络是指通过传输媒休连接的多部计算机组成的系统,使登录其上的所有用户能够共享软硬件资源。计算机网络如按网络的组建规模和延伸范围来划分的话,可分为局域网、城域网、广域网。我们经常用到的Internet属于广域网,企业网属于局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密方向发展随着信息技术的发展,电脑的普及使用率越来越高,在同一地点多台电脑同时工作的情况越来越多,如高校的开放计算实验室、网吧、办公室等地方,没联网的单机很难想象。为了方便维护、管理、共享信息资源等目的,常常需要把所有的单机联成网络,这种小规模局
6、域网络的搭建十分实用。企业网的建成和使用,对于一个企业来说,产品的介绍、销售、技术服务和售后服务等越来越多地采用网络的形式来完成,最主要的优点是:方便、快捷和成本低廉。其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、网络的应用和安全,网络系统的维护等内容。关键字:局域网,网络拓扑规划,路由,交换目录第一章 需求分析11、1 背景分析11、2 网络需求11、3 应用需求分析21、4 网络安全需求2第二章 网络系统规划与设计22、1 设计原则22、2 技术方案设计32、3 网络拓扑图32、4 IP和VLAN规划4第三章 设备选型53、1 设备选型原则53、2 网络设备选型6第
7、四章 综合布线系统设计94、1 布线系统总体设计94、2详细子系统布线设计9第五章 网络安全设计10第六章 主要设备配置116、1边界路由NAT配置116、2核心交换机配置12第七章 材料清单和预算13总结14致谢14参考文献15第一章 需求分析1、1 背景分析xxxx有限公司南宁总部主要建筑物有行政楼、办公大楼和车间大楼。有6个部门,分别是行政部、财务部、研发部、营销部、生产部、人事部。行政楼有三层,第一层是公司的网络中心和服务器中心;第二层是财务部;第三层是总经理办公室和会议大厅。办公大楼有三层,第一层是研发部;第二层是营销部;第三层是人事部。车间大楼是生产部,包括生产车间、仓库等。公司大
8、概有180台左右的PC需要上网,选用一条20M光纤宽带接入链路。考虑公司人员与规模会不断扩张,随着办公信息化、自动化的需求,各部门间为提高办公效率,促进信息交流,适应现代化办公的要求,公司要求在项目的规划上和实施中采集防火墙,服务器,网络设备以及系统管理模式,实现公司内部所有的信息资源合法的运用和完善管理。使所有员工能够方便熟悉、安全高效地访问公司的网络运用服务和因特网,需要组建一个完善的企业内部网。1、2 网络需求满足集团信息化的要求,为各类应用系统提供方便、快捷的信息通路;具有良好的性能,能够支持大容量和实时性的各类应用;能够可靠运行,具有较低的故障率和维护要求。提供网络安全机制,满足集团
9、信息安全的要求,具有较高的性价比,未来升级扩展容易,保护用户投资;用户使用简单、维护容易,为用户提供良好的售后服务。 主干网络负责各个子网和应用服务的连接,为信息交换提供有效的高速通道。系统主干采用千兆以太网,网络协议采用TCP/IP协议,整个网络应考虑语音、视频、数据等的综合应用。交换机要求采用主流、成熟、信誉和售后服务均佳的产品,核心交换机采用三层交换机,支持VLAN等功能,能较好解决突发数据量和密集服务请求的实时响应问题,在内部用户终端进行视频信号、数据交换时交换引擎不会出现过载现象和数据包碰撞、丢失的现象;下属单位接入交换机可采用相对低一档的产品;配置要保证网络中所有的服务器、交换机、
10、路由器、集线器等设备的连续、正常地运转;网络带宽的分配:应根据所属单位网络的信息流量情况合理分配网段,以充分利用网络带宽,提高网络的运行效率。1、3 应用需求分析各部门内实现资源共享,提高公司办公和公司生产效率;网络需要满足公司内各种计算机应用系统的大信息量传输要求。局域网要具备良好可管理性,公司网络系统结构要清晰,划分vlan便于管理;IP地址分配必需合理利用,满足公司网络扩容需求。公司能支持所有PC机同时访问Internet;营销部因为工作需要,占用的流量必须大过其他部门。公司的web和ftp服务器:web服务器具有固定的IP地址配置,互联网和公司内部可以访问公司的网站;ftp服务器有固定
11、IP地址,允许企业内部所有员工下载;外网不能访问ftp服务器。部门间访问权限要有限制:财务部不能给其他部门访问;营销部和生产部可以互相访问;人事部除了财务部以外都可以访问其他三个部门。1、4 网络安全需求内网安全设计:访问控制,通过密码、口令等禁止非授权用户对服务器和网络设备的访问,以及对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、防病毒入侵。在企业网络中,关键应用服务器、核心网络设备,只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限,网络应该能够阻止任何的非法操作。第二章 网络系统规划与设计2、1 设计原则“公司
12、项目”系统的基本建设原则为:“实用性、可靠性、安全性、科学性、先进性、规范性”。同时本着“总体规划、分步实施,满足应用,适当超前,尽量利旧”的指导思想进行公司信息化建设。为了使所设计的方案尽可能满足公司实际的需求,使建成的网络在一定的时间内正常、高效地运转,方案应符合以下原则:(1)实用性:网络系统完成系统连接,实现信息设备及资源共享,为办公、管理服务; (2)开放性:保证系统的开放性,以便得到众多厂商产品和技术支持以及与其它网络互连;(3)灵活性:硬件及软件的设计充分考虑系统的灵活性,均应采用模块化的结构设计;(4)经济性:网络系统软硬件的选择应具有较好的性能价格比。(5)科学性:充分论证,
13、统筹规划,精心设计,认真施工,保证网络系统层次和结构科学、合理;(6)安全性:系统应具有多种手段防止各种形式与途径的非法入侵和机密信息的泄露,并具有可靠的防病毒措施,因此需要充分重视网络系统和信息的安全,采取相应的技术措施和管理机制,保证网络系统的安全;(7)可靠性:网络系统作为其它应用系统的基础,必须可靠连续地运行。系统支持容错功能,管理维护方便,能满足长时间、重负荷运行要求,因此需要选用稳定可靠的设备、采用成熟的技术、选择有经验的系统集成商,确保网络系统建设的可靠性;(8)先进性:在网络系统的设计上,应保证所采用的产品和技术三年相对先进、五年不落后、十年可用,因此需要采用成熟的先进技术,兼
14、顾未来的发展趋势,既量力而行,又适当超前,留有发展余地;(9)可扩展性:随着应用的陆续开发和业务量、数据量的不断增大,现有系统应能够在进行很少的修改下进行扩充,因此系统的设计应充分考虑到以后系统的可升级性;2、2 技术方案设计公司总体网络采用基于树型的双星型结构,使之具有链路冗余特性;在一台交换机出现故障的时候保障网络的正常运行;整体网络规划为核心及服务器群区域,内部骨干区域(汇聚链路),接入层上联区域,客户端接入区域,核心交换机位于集团总部机房;采用三层(接入层、汇聚层和核心层)结构。网络主干采用先进的千兆以太网技术的方式连接,实现百兆到桌面,可最大限度地提高主干的数据传输速率,适应网络不断
15、扩展的要求。根据公司需求,选用的是cisco企业级的WS-C3750G-24TS-S1U千兆核心交换机作为本公司总部机房的核心交换;三层交换机作为不同部门Vlan以及各服务器Vlan的网关;并且用光纤连接到边界路由器。各部门的办公网是以星型的方式千兆直接连接到各汇聚机房的汇聚交换机上后,由汇聚交换机通过千兆接到核心交换机;每个办公网划分不同的vlan。2、3 网络拓扑图根据公司需求以及规模不大,在设计上将它组织为核心层、汇聚层、接入层分别考虑。接入层节点直接连接公司用户计算机,是一个部门的交换机;汇聚层交换机节点可以连接接入层节点,是建筑物内部连接多个部门交换机的总交换机;核心层交换机节点连接
16、多个汇聚层交换机,它是企业总交换机的核心网络设备。本方案采用典型的三层网络拓扑结构:接入层、汇聚层、核心层。在上面的拓扑结构图中,企业主要有行政、财务、研发、营销、人事、生产五个部门接入点。研发、营销、人事、生产五个部门距离超过100,因此通过千兆光纤链路接入到网络中心的汇聚交换机上。核心交换接通过连接Cisco WS-C3750G-24TS-S1U路由器接入到外部因特网。拓扑图如图1所示:图1 网络拓扑图2、4 IP和VLAN规划划分VLAN的目的:一是提高网络安全性,不同VLAN的数据不能自由交流,需要接受第三层的检验,因此,在一定程度上加强了虚拟网络间的隔离,有效防止外部用户入侵,提高了
17、安全性。二是隔离广播信息,划分VLAN后,广播域缩小,有利于改善网络性能,能够将广播风暴控制在一个VLAN内部,同时使网络管理趋于简单。三是增强网络应用的灵活性,VLAN是在一个有多台交换机的局域网中统一设定的,这使得用户可以不受所连交换机的限制,不论用户节点移动到局域网中哪一台交换机上,只要仍属于原来的虚拟网,则应用环境没有任何改变。在划分VLAN时,要考虑VLAN对于网络流量的影响,单个VLAN不宜过大。根据公司各部门职能情况不同,把交换模块划分为不同的VLAN,减少了部门间广播冲突,提高了传输效率。每个部门划分为一个VLAN,各部门分别属于不同的网段,在逻辑上被隔离,各部门间的通讯通过对
18、核心层和汇聚层交换机进行配置来实现。VLAN及IP地址分配情况如下表1所示:VlanIP网段默认网关部门Vlan 10192.168.10.0/24192.168.10.254/24行政部Vlan 20192.168.20.0/24192.168.20.254/24财务部Vlan 30192.168.30.0/24192.168.30.254/24研发部Vlan 40192.168.40.0/24192.168.40.254/24人事部Vlan 50192.168.50.0/24192.168.50.254/24营销部Vlan 60192.168.60.0/24192.168.60.254/2
19、4生产部-172.16.10.2/24172.16.10.1/24FTP服务器-172.16.20.2/24172.16.20.1/24SQL服务器-172.16.30.2/24172.16.30.1/24WEB服务器表1 IP、vlan规划表第三章 设备选型3、1 设备选型原则(1)代表目前网络系统设备的先进水平:在网络和主机方面,应支持符合国际标准和工业标准的相关接口,能够与各接入单元网络、ISP网络以及其他相关系统实现可靠的互连;在网络协议的选择方面,选择广泛应用的标准的通信协议,同时支持局域网内部的其他协议。 (2)具备较强的安全性:网络在设计和管理上必须提供严格的安全保密技术,实现不
20、同级别的安全认证设置,并建立高效的防火墙系统来防止外界可能的攻击和病毒的破坏与影响。在确保系统网络环境中单独设备稳定、可靠运行的前提下,还需要考虑网络整体的容错能力、安全性及稳定性,使系统出现问题和故障时能迅速地修复。(3)具备优良的可扩充性和升级能力:在网络和主机设备的选择方面,应具有良好的可扩充能力,可以根据信息网络临时需要对系统进行必要的调整、扩充,包括存储容量和网络规模等方面的扩充。在网络全面升级换代的情况下,能够最大限度利用现有投资(4)具备优良的性能价格比:根据现在的需求和可以预见的需求增长情况设计网络,不追求空洞的技术先进性,避免追求高档和最新技术花费的巨大代价。3、2 网络设备
21、选型CISCO是网络业界第一品牌和最大的研发厂家,是项目可持续应用的投资保护和规避厂家风险的首选。因此采用的是业界标准的强健稳定的CISCO设备,更具有广泛的协议支持,思科IOS取得广泛成功的关键在于,它的标准化设计中整合了创新网络技术、关键业务IP服务和首屈一指的平台支持能力。接入交换机可采用相对低一档的产品。基于以上原则,我们为xxxx公司网络建设选用CISCO公司的系列产品,以确保网络实用与性价比。设备选型如下:(1) 核心交换机核心层的功能主要是实现骨干网络之间的优化传输,负责整个网络的内部数据交换、网络的功能控制。核心层设计任务的重点是可靠性和高速传输,需要提供高速度、低时延的数据链
22、路。通过提供冗余链路,实现高可靠、高可用的骨干,是局域网互连的关键。其主要任务是提供高性能、高安全性的核心数据交换、QoS。为整个公司宽带办公网提供交换和路由的核心,完成各个部分数据流的中央汇集和分流;为各个汇聚层和接入层交换机提供上联;同时提供了各个服务器的可靠接入,为数据中心的服务器提供千兆高速连接。核心层设备需要高性能的三层交换机;并且非常可靠,实现不间断工作。基于核心交换机的功能及作用,根据用户的实际需求,本方案对公司网络系统中的核心层采用的是CISCO的企业级核心交换机WS-C3750G-24TS-S1U,它的性能、指标等完全可以满足上述的各项要求。企业级核心路由交换机WS-C356
23、0-48TS-S1 U的性能特性及技术指标如下表2:主要参数型号cisco WS-C3750G-24TS-S1U传输速率10/100/1000Mbps背板带宽32Gbps包转发率38.7Mpps端口描述24个以太网10/100/1000端口,4个基于SFP的千兆位以太网端口表2 核心交换机参数表(2) 汇聚层交换机汇聚层主要功能是连接接入层节点和核心层中心;负责为接入层提供数据的传输、汇聚、分发处理,以实现通信量的收敛,提高网络中聚合点的效率,同时减少核心层设备路由路径的数量,其作用主要是隔离拓扑结构的变化,控制路由表的大小,收敛网络流量。汇聚层交换机还负责本区域的数据交换。因此汇聚层的交换机
24、部署时必须考虑交换机必须具有足够的可靠性和冗余度;还必须具有高处理能力,以便完成网络数据会聚、转发处理;具有灵活、优化的网络路由处理能力,实现网络汇聚的优化汇聚层交换机需要较高的性能和较丰富功能;提高水平的可用性,可扩展性,服务质量,安全性和可以改进网络运营的管理能力。 根据汇聚层在整个网络中的作用以及用户的实际需求,本方案中汇聚层共设计了2个节点:行政楼、办公大楼;汇聚层网络设备全部采用WS-C2960S-48TS-L;汇聚路由交换机CISCO WS-C2960S-48TS-L的性能特性及技术指标如下表3:主要参数型号cisco WS-C2960S-48TS-L传输速率10/100/1000
25、Mbps背板带宽88Gbps包转发率77.4MppsMAC地址表8K表3 汇聚层交换机参数表(3) 接入层交换机接入层交换机作为二层交换网络设备,提供功能工作站等设备的网络接入,用来支撑客户端机器对服务器的访问。接入层在整个网络中接入交换机的数据最多,具有即插即用、可堆叠特性的设备。对于公司接入层交换机要求,一是价格要合理;二是可管理性号,易于使用维护;三是稳定性要好;也需要提供了快速以太网和千兆位以太网连接,同样要为用户提供千兆的光纤骨干和高密度度的接入端口。根据接入层处在网络系统中所起的作用以及用户的实际需求,本方案中接入层采用的是华为S5700-24TP-SI(AC);其性能特性及技术指
26、标情况如下表4:主要参数型号华为S5700-24TP-SI(AC)传输速率10/100/1000Mbps背板带宽256Gbps包转发率36MppsMAC地址表16K端口数量28个端口描述24个10/100/1000Base-T端口,4个100/1000Base-X千兆Combo口表4 接入层交换机参数表(4) 边界路由器边界路由器作为连接内部局域网和外部Internet的关键路由,保证内和外网的隔离,内网用户通过连接各个交换机,汇总到边界路由器后,通过 IP 地址转换功能,将内网的私有地址转换成公网地址访问Internet,以使企业网络内外网互相独立,达到完全的物理隔离的目的。边界路由器它需要
27、具有高传输速率和支持较多的网络协议。根据边界路由器功能和公司需求,边界路由器采用CISCO 2911/K9,其性能特性及技术指标情况如下表5:主要参数型号CISCO 2911/K9传输速率10/100/1000Mbps网络协议IPv4,IPv6,静态路由,IGMPv3,PIM SM,DVMRP,IPSec广域网接口 3个端口结构模块化表5 边界路由器参数表(5) 防火墙防火墙位于外部网与核心交换机之间硬件设备,监视了内部网络和外网之间的活动,保证了内部网络地安全,起到对进出信息分析过滤的作用,增强机构内部网络的安全性。因此在内部网与外部网之间,设置防火墙以实现公司内外网的隔离与访问控制。是在网
28、络连接之间建立一个安全控制点,通过控制经过防火墙的数据流,实现对进出内部网络的服务和访问的审计和控制。因此要根据吞吐量和过滤带宽等多方面考虑。根据防火墙功能以及公司需求,选择采用CISCO ASA5510-K8 防火墙,其性能特性及技术指标情况如下表6:主要参数型号CISCO ASA5510-K8并发连接数130000网络吞吐量最高300Mbps安全过滤带宽170Mbps网络端口3个快速以太网端口用户数限制无用户数限制用户表6 防火墙参数表第四章 综合布线系统设计4、1 布线系统总体设计公司有3栋建筑,从总部机房采用四芯多模光纤与其他两栋建筑的设备间相连,从设备间连到工作站采用四芯多模光纤相连
29、,距离在90米以内采用五类非屏蔽双绞线相连接,超过90米用光纤连接。公司选用一条20M光纤宽带接入链路,使公司实现与外界的信息交换和网络通信。公司统一由总部机房的一个出口访问Internet。在服务器和核心交换机间使用UTP电缆来将服务器连接到核心交换机。4、2详细子系统布线设计(1)建筑群子系统设计:建筑群子系统是将一栋建筑物内的电缆延伸到建筑群中的另外一些建筑物内的通信设备和装置上,采用光缆布线是目前主要的建筑间布线方式,建筑间的主干光缆采用四芯多模光纤。(2)设备间子系统设计:由设备间中的电缆、连接器和相关支撑硬件组成,把公共系统(通讯系统,计算机系统和建筑自动化系统等)设备的各种不同设
30、备互连起来。使用12芯单模室内多模光纤将其连接。(3)干线子系统设计:由连接主设备间与各个治理子系统的室内干线电缆构成。数据主要从网络配线间向各个子配线间敷设,距离超过100M用12芯单模室内多模光纤,距离90M内用超五类屏蔽双绞线。(4)管理子系统设计:由配线间构成;由各种规格的配线架实现水平、垂直主干线缆的端接及分配;由各种规格的跳线实现布线系统与各种网络、通讯设备的连接,并提供灵活方便的线路管理能力。对于信息点不是很多,使用功能近似的楼层,为便于治理,仅设置一个共用的子配线间;对于信息点较多的楼层则在该层设立配线间。(5)水平子系统:主要是实现信息插座和管理子系统,即是与配线架的连接。水
31、平子系统为星形拓扑。在水平子系统中采用超五类非屏蔽双绞线。水平双绞线的最大长度均不超过90m。(6)工作区子系统:由各个单元区域构成,是计算机、电话和信息插座的连接部分,包括连接跳线和信息插座。信息插座的模块采用类RJ-45模块;线缆采用超五类双绞线;水晶头采用RJ-45标准水晶头。第五章 网络安全设计因特网存在连接。为了保障网络系统的运行安全,保护集团的信息安全,必须进行网络安全方面的规划和实施。一个网络的安全,首先要有严格和有效执行的管理制度,公司需要制定严格的网络安全管理策略,并有效的执行;必须具有一定的技术手段来保障网络的安全。技术和管理手段相结合实施,才能够产生良好的效果。通过以下几
32、个技术方面的实施,可以在一定程度上保障网络的安全:(1) 配置设备的口令配置设备的口令,以防止非授权的人员更改网络系统的配置,要为所有的网络设备设置口令,要为每一台设备配置CONSOLE口令, VTY口令,特权口令等。在口令方面,需要制定管理制度并严格执行。口令管理制度包括口令的设置,保管,更改,口令的强度等内容。(2)配置VTP域的认证进行VTP域的认证,能够保证局域网的VLAN等的安全。设置了VTP域认证,防止新增加的设备自动加入到已存在的管理域中,保证了局域网的运行安全,可以避免因为VLAN被错误或者恶意的增加、删除造成的运行故障。(3)内外网隔离防火墙是一种网络安全保障手段,是网络通信
33、时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,有效地监视了内部网络和外网之间的活动,保证了内部网络地安全;在物理实现上,防火墙是位于外部网与核心交换机之间硬件设备,起到对进出信息分析过滤的作用,增强机构内部网络的安全性。因此在内部网与外部网之间,设置防火墙以实现公司内外网的隔离与访问控制。 服务器系统安全的实现,与网络系统的安全策略紧密相关。公司局域网系统分为内网和外网,采用防火墙隔离,内网、外网不能直接互相访问。内网、外网之间设置非军事区,所有内网、外网之间的访问全部通过防火墙实
34、现。基本发上原则,公司的网络应用系统服务器安全。Web、ftp等服务器设置在非军事区,以实现内网和外网的访问。(4)网络病毒防范网络防病毒系统要求做到在整个内部网杜绝病毒的感染、传播和发作;要求提供多种防病毒软件的安装方式;网络管理员可远程监控客户机,发现病毒可以及时得到通知;网络管理员可以对网络中每台计算机进行防病毒控制和管理;所有客户端和服务器具有统一的杀毒版本。该用户选择了瑞星公司的杀毒软件网络版,以此为基础作为网络防病毒解决方案,采用分级管理、多重防护的管理架构。第六章 主要设备配置6、1边界路由NAT配置根据公司规模的需求,申请了202.103.160.0-7/29的公网地址,其中2
35、02.103.160.1/29作为web服务器的映射地址;202.103.160.2-4/29作为内网NAT转换的公网地址;202.103.160.5-6/29作为边界路由器连接ISP的管理地址。NAT配置如下:# ip route 0.0.0.0 0.0.0.0 202.103.160.6 /配置到外网的缺省路由# access-list 1 permit 192.168.0.0 0.0.0.255 /配置允许转换的内部地址# ip nat pool nat01 202.103.160.2 202.103.160.4 netmask 255.255.255.248 /配置NAT地址池# ip
36、 nat inside source list 1 pool nat01 overload /配置动态NAT映射,将NAT地址池和ACL绑定# ip nat inside source static 172.16.30.2 202.103.160.1 /配置公司WEB服务器静态转换对外网访问# interface Serial0/0/0# ip address 202.103.160.5 255.255.255.248# ip nat outside /配置NAT外部接口# interface FastEthernet0/1# ip address 10.10.10.2 255.255.255
37、.0# ip nat inside /配置NAT内部接口6、2核心交换机配置(1)在核心交换机配置VLAN,并且给VLAN配IP,如下例:# interfece vlan 10# ip address 192.168.10.254 255.255.255.0(2)在核心交换机配置DHCP,如下例:# ip dhcp pool vlan10 /设置vlan10地址池 # network 192.168.10.0 255.255.255.0 /配置可分配的子网 # default-router 192.168.10.254 /设置默认网关# ip dhcp excluded-address 192
38、.168.10.254 /设置保留不分配地址(3)在核心交换机上配置ACL,控制部门访问权限;如下例:要求:财务部除了行政部门,不能给其他部门访问# access-list 1 deny 192.168.30.0 0.0.0.255 /拒绝研发部# access-list 1 deny 192.168.40.0 0.0.0.255 /拒绝人事部# access-list 1 deny 192.168.50.0 0.0.0.255 /拒绝营销部# access-list 1 deny 192.168.60.0 0.0.0.255 /拒绝生产部# access-list 1 permit any
39、/允许所有# int vlan 20# ip access-group 1 in /应用ACL(4)在核心交换机上配置VTP服务器端,其他交换机设置为客户端:# vtp mode server /在核心交换机配置作为VTP服务器端# vtp clinet /在汇聚交换机配置作为VTP客户端# vtp domain vtpgxcoco / 在所有交换机设置vtp域名第七章 材料清单和预算(1)根据本次公司布线规划设计,综合布线材料清单如下表7:名称牌子数量单位单价金额备注超五类UTPTCL2箱460.00920.00双孔面板TCL90个8.00720.00超五类模块TCL180个16.00288
40、0.0024口配线架TCL8个350.002800.0048口配线架TCL2个600.001200.001M跳线飞灵300条12.003600.004芯多摸光纤飞灵100米10.002000.00耦合器飞灵8个20.00240.00光纤尾纤飞灵8根110.0080.0022U机柜盛唐6套860.005160.00材料总计19600.00表7 主要布线材料清单和预算表(2)根据本次公司网络规划设计中设备的选择,公司的网络设备清单如下表8:名称型号数量单位单价金额备注核心交换机cisco WS-C3750G-24TS-S1U1台17000.0017000.00二层交换机cisco WS-C2960
41、S-48TS-L2台11000.0022000.00接入交换机华为S5700-24TP-SI(AC)7台4200.0029100.00路由器Cisco 2911/K91台8500.008500.00防火墙cisco ASA5510-K81台12000.0012000.00服务器正睿 I145738S-E2台4000.008000.00Sql ftp服务器联想 T168 G7 S3-12201台7000.007000.00Web材料总计103600.00表 8 主要网络设备清单与预算表总结本文根据一个行业的特定要求做的一个企业网络解决方案。其中应用了现今企业网络中较为常用的主流技术。网络整体采用
42、的是Cisco三层架构,这个结构的优点是稳定性好、设备负载均衡、易扩展,并且网络故障排查也比较容易。在本方案中我们用vlan、NAT和ACL技术作为内部网络的安全策略,主要是防止公司内部的非授权访问。而在内部网络与Internet之间我们则采用硬件防火墙将两部分网络隔离开。组建一个高速、宽带、稳定、可靠,且能融合安全与保密等全新需求的内外网络系统,是当前企业网络发展的趋势。在网络安全方面,所以在本方案中我们用vlan技术和ACL技术作为内部网络的安全策略,主要是防止公司内部的非授权访问。而在内部网络与Internet之间我们则采用硬件防火墙将两部分网络隔离开,设置策略只允许合法的数据进出,各种
43、网络安全技术相结合,使得网络更安全可靠。通过这次毕业设计,使我更加扎实的掌握了网络方面的知识,学到了很多书本上没有的知识,给我很多专业知识以及专业技能上的提升,让我不断发现错误,不断改正,不断领悟,不断获取。同时也暴露出了我在这方面的知识欠缺和经验不足。在设计过程中虽然遇到了很多问题,但是经过自己反复思考检查、查阅大量有关资料、与同学交流、请教老师等方式,让自己终于找出了原因所在,所有问题都迎刃而解,让这次课程设计终于顺利完成了。同时,这次设计让我感触很深,使我对抽象的理论有了具体的认识,让我懂得了怎样去设计一个企业的网络系统。致谢大学生活在这个时候即将划上一个句号。但是对于我的人生道路来说,
44、这仅仅是一个逗号,我将面对的是又一次征程的开始。随着论文的完成,代表着三年的大学生活也即将结束。三年同窗的友情很难忘,你们与我共同走过了人生中不平凡的道路,给我留下了值得珍藏的美好记忆。在此,我要特别感谢指导教师。本论文是在他的悉心指导下完成的,老师认真负责的工作态度,严谨的治学精神和精深的理论水平都使我受益匪浅。他无论在理论上还是在实践中,都给予我很大的帮助,使我专业技能得到很大提高,这对于我以后的工作和学习都有益处。论文完成之际,特别向指导x老师表示衷心的感谢和崇高的敬意,谢谢他悉心地辅导,使得我得以顺利的完成毕业设计的工作,同时也要感谢其他帮助过我的老师和同学,他们在我成长过程中给予了我
45、很大的帮助。最后,我衷心感谢信息学院所有支持帮助过我的老师,谢谢你们多年来的关心和爱护,也祝愿老师们在今后的科研工作中身体健康,工作顺利!参考文献1侯中俊.局域网组网技术M.北京:人民邮电出版社,20052于富强,李青茹.网络工程实践指南M.北京:北京大学出版社,20103迟恩宇,刘天飞.网络安全与防护M .北京:电子工业出版社,20094周有丹,梁锦锐,易著梁.企业网络组建与应用M.北京:科学出版社,20105王公儒.综合布线工程实用技术M.北京:中国铁道出版社,20116吴献文.计算机网络安全应用教程M.北京:人民邮电出版社,20117梁广民,王隆杰.网络设备互联技术M .北京:清华大学出版社,20068颜谦和.交换机与路由器技术M .北京:清华大学出版社 2011.019容贤家,徐建豪,