计算机网络 毕业设计
毕 业 设 计 说 明 书
课题名称
院 系
专 业
班 级
学 号 学生姓名
好享家公司企业网络规划与建设 计算机与软件学院 网络技术 指导教师:
2014年 5 月 26日
计算机与软件学院
毕业设计(论文)诚信承诺
我谨在此承诺:本人所写的毕业论文《中小型企业网络规划与建设》,系本人独立完成,没有抄袭行为,凡涉及其他作者的观点和材料,均作了注释与说明,若有不实,后果由本人承担。
承诺人(签名):
年 月 日
摘 要
市场的全球化竞争已成为趋势。对于中小企业来说,在调整发展战略时,必须考虑到市场的全球竞争战略,而这一切将以信息化平台为基础,以网络通畅为保证。通过建立各种虚拟专网(VPN)和企业外部网络(Extranet),建立企业全球信息网络是未来企业网络应对市场全球竞争的一种策略。
本论文以好享家公司的局域网规划和设计为背景,借助计算机网络原理及网络规划技术,从企业局域网的概念及相关计算机网络技术入手,比较详细地设计出了该企业网建设的实施方案及建设规划,以期达到先进、安全、实用、可靠的目标。论文对该企业的组网需求进行了分析,比较各种组网技术,从实用角度论述了局域网主干网选择,综合布线,各种设备选择,网络安全,网络管理等方面。文中参照了当前诸多企业局域网和校园网络方面的相关组网形式和成熟的网络技术,该方案基本达到了预期的目标。
关键词:交换机;路由器;系统规划;网络安全;拓扑结构
Abstract
The market globalization competition has become the tendency. Regarding the small and medium-sized enterprise, when the adjustment developmental strategy, must consider the market the global competition strategy, but all these take the informationization platform as a foundation, take the network unobstructed as the guarantee. Through establishes each kind of hypothesized special net (VPN) and enterprise exterior network (Extranet), will establish the enterprise whole world information network is the future enterprise network should to the market global competition one kind of strategy.
The present paper take HaoXiangJia enterprise newly built workshop local
area network plan and the design as a background, with the aid of the computer network principle and the network planning technology, from the enterprise local area network concept and correlation computer network technology obtaining, compared with in detail designed the implementation plan and the construction
plan which this enterprise network constructed, Achieves advanced, safe, practical, the reliable goal by the time. The paper has carried on the analysis to this
enterprise's network demand, compared with each kind of network technology, elaborated the local area network backbone network choice from the practical angle, comprehensive wiring, each kind of equipment choice, network security, aspects and so on network management. In the article has referred to the current
many enterprise local area network and the campus network aspect related network
form and the mature networking, this plan has achieved the anticipated goal basically.
Key Words: Switchboard; Router; systems organization; Network security; Topology architecture
目 录
1 绪论 ....................................................................................................................... 1
2 企业网络网络规划 ............................................................................................... 2
2.1 网络设计原则 ................................................................................................ 2
2.2 网络项目背景 ................................................................................................ 2
2.3 IP地址规划 .................................................................................................... 3
3 企业网络组建准备工作 ....................................................................................... 4
3.1 企业的基本应用 ............................................................................................ 4
3.2 企业网络结构规划 ........................................................................................ 5
3.3 网络拓扑设计 ................................................................................................ 6
3.4 网络设备选型 ................................................................................................ 6
3.5 综合布线设计 .............................................................................................. 12
3.6 INTERNET接入技术方案 ............................................................................. 13
3.7服务器配置方案 ........................................................................................... 13
3.7.1 POP3、WEB和FTP服务器 ............................................................. 13
3.7.2 OA办公系统 ......................................................................................... 14
3.7.3 存储服务器 ........................................................................................... 14
4 企业网络主要应用技术 ..................................................................................... 15
4.1 路由协议---OSPF ...................................................................................... 15
4.2 RSTP MSTP原理 ..................................................................................... 15
4.3 NAT的策略路由实现 .................................................................................. 16
4.4 VLAN虚拟局域网的划分 ........................................................................... 17
4.5 ACL访问控制策略 ...................................................................................... 17
4.6 链路聚合 ...................................................................................................... 17
4.7 交换机端口安全 .......................................................................................... 18
5 企业网络安全设计 ............................................................................................. 19
5.1 企业网络的主要安全隐患 ......................................................................... 19
5.2 网络安全防范体系层次 .............................................................................. 19
5.3 网络安全措施 .............................................................................................. 20
5.4 安全措施具体实施 ...................................................................................... 20
6 网络系统测试 ..................................................................................................... 24
6.1 设备配置 ...................................................................................................... 24
7 测试与验收 ......................................................................................................... 35
7.1 设备安装、调测、开通 .............................................................................. 35
7.2 移交测试 ...................................................................................................... 35
7.3 试运行验收测试 .......................................................................................... 35
结 论 ...................................................................................................................... 37
谢 辞 .................................................................................................................... 38
参考文献 .................................................................................................................. 39
1 绪论
随着网络的不断发展,网络办公信息化和设备数字越来越普及,企业网络的
管理也越来越重要。人们对网络的依赖也越来越大。
企业网不仅要使分布在不同地理位置上的计算机和各种设备互连互通为一
个统一的网络,还要提高资源管理水平以及提供多种服务,如办公自动化,WEB服务,E-mail服务,FTP服务,Media服务等,将企业的的各种信息资源组织起来,以满足企业的各方面的需求。
该企业分为总部和分部,分部设立在上海以及深圳,总公司是设立在一个三
层的办公楼,有技术部(进行开发、设计、技术维护),销售部,财务部,人事管理部门,各分公司有销售部,财务部,人事管理部门,各分公司之间以及与总部间距离比较远,所以为了将其进行互联,运用到了帧中继技术,它是一种局域网互联的WAN协议。为了使网络具有一定的安全性,企业网的内部网络使用VLAN分段,隔离广播,防止网络内部窃听和非授权的跨网段访问,只允许内部主机访问Internet,而不允许外网用户访问内部主机。
共 40 页 第 1 页
2 企业网络网络规划
2.1 网络设计原则
为适应好享家公司信息化的发展,满足公司未来几年的日益增长的业务需
求,同时使得内部系统安全性与有效性相并重,主要表现在如下几个方面:
(1)可增值
企业网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值
性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力。
(2)安全保密性
能有效通过软硬件相互联动,有效保证企业网的安全;选择设备必须具有较
高的安全特性,如蠕虫病毒防御、ARP欺骗防御、防代理、防攻击扫描、防私设DHCP等功能。
(3)开放性
技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内
部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;
2.2 网络项目背景
好享家是一家中小型公司,员工人数大约300人,主要做智能家居这一块市
场,属于经销商的性质。公司建筑是楼层建筑,包括可拓展点。
随着公司业务的发展,人员壮大,办公信息化以及自动化的需求,为提高公
司各个部门间办公信息化,需要建立一个完善和稳定的企业网络。
企业网要保证整个企业信息点的互联、高效、安全,可支持上百个用户同时
并发使用。而且要求企业网具有可拓展性,支持未来的发展,高速的、冗余的、基于标准的网络。
公司现有四个部门,下表是关于各个部门所有主机的需求:
共 40 页 第 2 页
表2.1 IP地址需求
2.3 IP地址规划
IP地址的合理是保证网络顺利运行和网络资源有效利用的关键。企业网IP
地址的分配应该尽可能地利用申请到的地址空间,充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。具体IP网段地址规划如下:
表2.2 IP地址规划
共 40 页 第 3 页
3 企业网络组建准备工作
3.1 企业的基本应用
(1) Intranet应用
公司立企业内部信息网站,为公司内部所有网上用户提供公司策略、生产调度、产品营销、物资供应、商情信息、销售幅度、员工信息等信息服务。集团内部各部门可通过内部网站实现企业内部信息交流,主动地获取信息和提供信息。
Internet作为信息交流的基础设施,对信息技术的发展,信息市场的开拓,以及信息社会的形成都起着十分重要的作用。公司所构造的网络正是通过Internet将企业内部与外界连接起来。这样公司可为广大客户提供他们所关心的有关信息;在网络上提供WWW,E-mail等服务。这样可以大大的提升公司的知名度,让更广泛的客户能够更方便,更多的了解本公司,对于公司的品牌效应是不可估量的。
(2) MIS管理信息的应用
一个企业信息管理系统大致包括这样几个子系统:数据的收集、整理系统,输入系统,加工系统,传输系统,存储系统,检索系统,输出系统等。利用MIS管理信息系统能够最大限度地结合现代计算机及网络通信技术加强对企业的信息管。MIS的操作流程也相对简单,系统开发出来,前期只需很少的培训,员工便能很轻易地与业务接轨,不过需要一个系统维护员,因为万一系统出现bug,会直接影响公司业务水平,导致不必要的损失。
(3)OA办公自动化系统应用
随着Internet/Intranet和Web技术的日益普及和推广,使得Internet/Intranet正逐渐成为企业信息化建设的有力工具。软件的进步大大改变着传统办公模式,也会大大提高办公效率。办公自动化应用软件---- Office Assistant 变成一个新的发展方向。该软件采用Browser/Server模式,完全基于Internet/Intranet平台,针对企事业单位内部的管理流程,设计而成的一套方便、稳定、实用的办公自动化软件。此系统有如下几大优势:
共 40 页 第 4 页
1. 实现远程办公和移动办公,随时随处办理工作事务 2. 通过工作流转的自动化,实现高效快捷的办公
3. 明确工作岗位与工作职责,有效监管工作人员的工作情况,实现实时工作任务的监督与催办
4. 方便领导同各级工作人员的有效沟通
3.2 企业网络结构规划
将本公司的内部网络设计为三级层级: (1) 接入层 (2) 汇聚层 (3) 核心层
这样规划一是能够有良好的层次感,利于实现较为复杂的网络功能要求;二是这样分层能够使每层的功能较容易实现也较清楚;三是采用这种分层方式可以支持较大的网络规模便于企业网的升级扩大。
(1)接入层
接入层为用户提供对本地网段的访问,所需功能不必有多强大,它的主要作用是将工作组计算机与汇聚层连接起来,主要完成逻辑网络分段,给予工作组或LAN隔离广播通信以及在多个CPU之间分布服务。其特点有以下几点:
提供不同数量的100M端口到用户,提供1000M上行链路端口到汇聚层交换机。
成本低,所有端口支持全线速二层交换。 网络设备扩展性好,可平滑升级。 (2)汇聚层
汇聚层设备一般采用可管理的三层交换机或堆叠式交换机以达到带宽和传输性能的要求。主要作用是为接入层提供服务,为核心层维护与传达服务。其设备性能较好,但价格高于接入层设备,而且对环境的要求也较高,对电磁辐射、温度、湿度和空气洁净度等都有一定的要求。汇聚层设备之间以及汇聚层设备与核心层设备之间多采用光纤互联,以提高系统的传输性能和吞吐量。
共 40 页 第 5 页
(3)核心层
核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。其性能要求相对较高,一般需要用路由器来完成诸多策略(不过目前很多单位都采用多级交换机,有其特别的优势),核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格,同时为了减轻负担,网络的控制功能最好尽量少在骨干层上实施。
在设计核心层结构时,还应该充分考虑到以下几点因素: 1. 汇聚层交换机要有充足的带宽。 2. 必须具有冗余和流量均衡的功能。
3. 能够实现各种安全策略以保证网络的安全和数据包转发的合理。
3.3 网络拓扑设计
企业内部的网络拓扑设计,如下图:
图 3.1 网络拓扑图
3.4 网络设备选型
网络设备选型要遵循以下原则:
共 40 页 第 6 页
具备优良的性能价格比,根据现在的需求和可以预见的需求增长情况设计网络,避免追求高档和最新技术花费的巨大代价。
具备优良的RAS(远程访问服务)性能—安全性、可靠性、可用性、可维护性。 具备优良的可扩充性和升级能力。
CISCO是网络业界第一品牌和最大的研发厂家,是项目可持续应用的投资保护和规避厂家风险的首选。IOS采用的是经检验已成为业界标准的强健稳定的CISCO IOS,更具有广泛的协议支持,这是其他厂商所不能企及的;思科IOS软件系列在全世界一千多万个不同规模的系统上发挥着重要作用,其范围从小型家庭办公网络到最庞大的电信运营商网络。思科IOS取得广泛成功的关键在于,它的标准化设计中整合了创新网络技术、关键业务IP服务和首屈一指的平台支持能力。
锐捷网络,作为中国网络解决方案领导品牌。聚焦客户利益,致力于通过持续技术创新,坚持自主研发的网络产品,涵盖交换机、路由器、出口网关、安全、无线、软件等六大产品线,产品性价比相对高。
基于以上考虑,我们公司网络核心层采购思科设备,汇聚层与接入层使用锐捷设备。
(1)接入层交换机选型
公司接入层交换机均选用锐捷RG-S2928G-S(官方报价4000元),24口10/100/1000M自适应端口,4个SFP光口,支持全面的安全控制策略,通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击,控制非法用户使用网络,保证合法用户合理化使用网络,如端口静态和动态的安全绑定、端口隔离、多种类型的硬件ACL控制、基于数据流的带宽限速、用户安全接入控制的多元素绑定等,满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。
具体产品参数如下: 主要参数
1. 应用层级三层
共 40 页 第 7 页
2. 传输速率10/100/1000Mbps 3. 交换方式存储-转发 4. 背板带宽68Gbps 5. 包转发率51Mpps 6. 端口参数 7. 端口结构非模块化 8. 端口数量28个
9. 端口描述24个10/100/1000M自适应端口,4个SFP光口 10. 功能特性
11. 网络标准IEEE 802.3,IEEE 802.3u,IEEE 802.3z,IEEE 802.3x,IEEE
802.3ad,IEEE 802.1p,IEEE 802.1x,IEEE 802.3ab,IEEE 802.1Q,IEEE 802.1d,IEEE 802.1w,IEEE 802.1s
12. VLAN支持4K个802.1Q VLAN(同时可用512个) 13. 网络管理SNMPv1/v2C/v3 ,CLI(Telnet/Console) 14. 其它参数
15. 电源电压AC 160-240V,50Hz-60Hz 纠错 16. 环境标准工作温度:0-45℃ 17. 工作湿度:10%-90%RH 18. 存储温度:-40-70℃ 19. 存储湿度:5%-90%RH 20. 其它参数1个USB2.0接口
共 40 页 第 8 页
(2)汇聚层交换机选型
RG-S5750系列是锐捷网络推出的硬件支持IPv6的万兆多层交换机,产品以极高的性价比为大型网络汇聚、中型网络核心、数据中心服务器接入提供了高性能、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管,最大化满足高速、安全、智能的企业网需求。
具体参数如下: 主要参数
1. 产品类型智能交换机 2. 应用层级三层
3. 传输速率10/100/1000Mbps 4. 交换方式存储-转发 5. 背板带宽240Gbps 6. 包转发率102Mpps 端口参数
1. 端口结构非模块化 2. 端口数量52个
3. 端口描述48个10/100/1000M自适应电口,4个复用的SFP接口 4. 扩展模块2个扩展槽 功能特性
1. VLAN支持4K个802.1Q VLAN 2. 支持Super VLAN 3. 支持Protocol VLAN 4. 支持Private VLAN 5. 支持Voice VLAN
共 40 页 第 9 页
6. 支持基于MAC地址的VLAN 7. 支持QinQ
8. QOS支持端口流量识别 9. 支持802.1p/DSCP/TOS流量分类 10. 支持WRED,WRED+ECN拥塞控制 11. 支持流量限速 12. 支持层级QoS 13. 支持输出QoS
14. 安全管理支持IP、MAC、端口三元素绑定 15. 支持IPv6、MAC、端口三元素绑定 16. 支持安全通道 17. 支持防网关欺骗
18. 限制端口学习MAC地址数量 19. 过滤非法的MAC地址 20. 支持防DHCP服务器私设 21. 支持广播风暴抑制
22. 管理员分级管理和口令保护 23. 设备登陆管理的AAA安全认证 24. 支持SSH 25. 支持BPDU Guard 26. 支持TACAS+ 27. 支持Radius 其它参数
1. 电源电压AC 176-264V,48-60Hz 2. 电源功率90W
3. 产品尺寸440×420×44mm 4. 环境标准工作温度:0-45℃ 5. 工作湿度:10%-90%RH
共 40 页 第 10 页
6. 存储温度:-40-70℃ 7. 存储湿度:5%-90%RH 8. 核心层(出口)路由器选型
Cisco 3825 是一款集成多业务路由器平台,其上的思科IP通信特性包括实施松散连接在一起的半自动业务解决方案所需的高级特性和服务,包括呼叫处理、呼叫控制协议、服务质量(QoS)、模拟和数字接口、排队、编程、语音留言和自动职守。企业分支机构、商业办公室和中小型办公室可以使用业界最广泛、最全面的语音和安全服务,并直接嵌入并集成到业界领先的路由平台上,以提高性能和永续性。
基本参数
1. 路由器类型多业务路由器 2. 传输速率10/100/1000Mbps 3. 端口结构模块化 4. 局域网接口2个 5. 扩展模块6
6. 包转发率10Mbps:14800pps 7. 100Mbps:148800pps 8. 1000Mbps:1488000pps 功能参数
1. 防火墙内置防火墙 2. Qos支持支持 3. VPN支持支持
4. 网络管理Cisco ClickStart,SNMP 其他参数 1. 产品内存256MB 2. 电源电压AC 100-240V 3. DC 24-60V
4. 产品尺寸373.38×434.34×88.9mm
共 40 页 第 11 页
5. 产品重量9.06kg
6. 环境标准工作温度:0-40℃ 7. 湿度:5%-95%(非冷凝) 8. 存储温度:–40-85℃
3.5 综合布线设计
(1)布线系统的结构
综合布线一般采用星型拓扑结构。该结构下的每个分支子系统都是相对独立的单元,对每个分支子系统的改动都不影响其它子系统,只要改变节点连接方式就可使综合布线在星型、总线形、环型、树型等结构之间进行转换。
(2) 综合布线设计标准 国际标准
城市住宅区和办公楼电话通信设施设计标准》
《建筑与建筑群结构化布线系统设计规范》GB50311-2000
《建筑与建筑群结构化布线系统工程施工及验收规范》GB50312-2000 相关厂家产品设计、选型、施工、验收手册说明的标准 (3) 综合布线设计原则 1. 适用性 2. 灵活性 3. 可扩展性 4. 模块化结构 5. 开放性 (4)水平子系统
将工作区引至管理区子系统,它是整个布线系统的一部分,将干线子系统线路延伸到用户工作区,水平布线子系统总是处在一个楼层上,并端接在信息插座上。
(5)垂直干线子系统
共 40 页 第 12 页
垂直干线子系统由连接设备间与各层信息模块的干线构成。其任务是将各楼层模块的信息,传递到设备间并送至最终接口。垂直干线的设计必须满足用户当前的需求,同时又能适合用户今后的要求。为达此目的,本方案中我们采用超五类网线,支持数据信息的传输,采用5类4对非屏蔽双绞线缆,支持语音信息的传输。
(6) 设备间子系统
设备间子系统是整个布线系统的中心单元,设备间子系统(主配线间)由设备间中的电缆、主配线架和相关支撑硬件组成,它把公共系统设备的各种不同设备互连起来。该子系统连接公共系统设备(如PABX),通过垂直干线分别向各楼信息模块进行配线管理。
3.6 Internet接入技术方案
目前连接Internet可以通过多种通信介质,Internet本身对通信和连接方式没有任何限制。在连接时,企业可以根据自己实际情况来规划自己的连接方案,决定使用何种通信介质。一般目前通常使用的网络传输介质有双绞线、同轴电缆、光纤等,都可供企业选择。
本单位采用光纤 + 以太网接入接入,主干光纤 100Mb带宽。
3.7服务器配置方案
3.7.1 POP3、WEB和FTP服务器
采用linux操作系统,apache服务,mysql数据库,php网站程序,并配置FTP用于上传文件,邮件服务器用于沟通。
具体完成任务:
(1)系统技术工程师安装配置apche、mysql、php环境。 (2)系统工程师安装配置邮件服务器Sendmail。 (3)系统技术工程师安装配置ftp服务器。 (4)架设公司web网站,上传数据库文件。
共 40 页 第 13 页
3.7.2 OA办公系统
在windows 2008下架设OA系统,采用sql 2008数据库。做好备份镜像办
公系统服务器。
3.7.3 存储服务器
存储服务器主要存储公司主要的软件,备份公司重要文件和重要数据库,以
及各员工的重要项目、进度文件。主要采取FTP实现上传和下载的功能。单位的信息管理系统MIS依靠此服务器运作。员工之间设有相应的权限,保证数据安全与完整。
共 40 页 第 14 页
4 企业网络主要应用技术
4.1 路由协议---OSPF
OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,在这里,
路由域是指一个自治系统(Autonomous System),即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。
作为一种链路状态的路由协议,OSPF将链路状态广播数据包LSA(Link
State Advertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。
在公司的汇聚层交换机及出口路由器上使用OSPF路由协议,以实现路由的
动态更新,确保全网互通。
4.2 RSTP MSTP原理
RSTP 协议完全向下兼容 802.1D STP 协议,除了和传统的 STP 协议一样
具有避免回路、提供冗余链路的功能 外,最主要的特点就是“快”。如果一个局域网内的网桥都支持 RSTP 协议且管理员配置得当,一旦网络拓朴改变而 要重新生成拓朴树只需要不超过 1 秒的时间(传统的 STP 需要大约 50 秒)。
本交换机支持 MSTP,MSTP 是在传统的 STP、RSTP 的基础上发展而来
的新的生成树协议,本身就包含了 RSTP的快速 FORWARDING 机制。
由于传统的生成树协议与 vlan 没有任何联系,因此在特定网络拓朴下就会
产生以下问题: 如下图 所示,交换机 A、B 在 vlan1 内,交换机 C、D 在 vlan2 内,然后连成环路。
共 40 页 第 15 页
图 4.1 MSTP范例
在某种情况的配置下,会造成把交换机 A 和 B 间的链路给 DISCARDING.由于交换机 C、D 不包含 vlan1,无法转发 vlan1 的数据包,这样交换机 A 的 vlan1 就无法与交换机 B 的 vlan1 进行通讯。
在网络末梢,连接到单个工作站的时候,是不可能形成桥接环路的。在接口 上启用了 portfast 特性,可以使交换机端口立即变为转发状态,提高了网络的 响应速度及收敛时间。 基于 RSTP 的交换机高级特性 Uplinkfast 在网络中的应用
考虑到有冗余上行连接的网络,使用冗余连接到上层交换机,通常情况下一 个上行连接处于转发状态,另一个处于阻塞状态,如果主上行连接断开,在使用 冗余连接之前所经历的时间高达 50S
在使用 Uplinkfast 之后,使的具有冗余上行连接的交换机具有根端口失效
时,另一个阻塞的上行连接能够立即使用,这个时间大大缩小到 1-5S 之间,在校园网的特殊环境之下,能大大增强网络的稳定性,加快网络收敛。
4.3 NAT的策略路由实现
NAT 是网络地址翻译技术,在路由器上起用 NAT 之后,可以在部私有地
址和 外部公网地址之间做转换。比如我们可以把网络内部使用的 IP 翻译成外部公网的 IP。
共 40 页 第 16 页
配置基于策略的路由选择时,可使用路由映射表来指定基于IP 地址,应用
程序,协议或者分组长度的条件。基于策略的路由选择命令对中选的路由实现策 略。
4.4 VLAN虚拟局域网的划分
VLAN 虚拟局域网是一种在二层设备上隔离和划分广播域的技术,通过这
种 划分,可以隔离网段,可以有效地管理网络。在企业网方案中,通过使用VLAN 技术进行划分达到以下目的:隔离,划分广播域,减小不必要的广播流量,从而提高整个网络的利用效率。
4.5 ACL访问控制策略
访问列表为我们提供了一种对网络访问进行有效管理的方法,通过访问列
表,我们可以设置允许或拒绝数据包通过路由器,或者允许或者拒绝具体的某些 端口进行访问和使用,如果满足条件则执行相应的操作,放行这个包或者放弃这 个包。
在具体实现过程中从技术上来说我们需要了解到 ACL 分为两种类型,他们
分 别是标准访问列表(Standard access lists)和扩展访问列表(Extends access lists) 前者在过滤网络的时候只使用 IP 数据报的源地址,那么在使用这种访问列表的 情况下它做出允许或者拒绝这个决定完全是依赖于源 IP 地址,它无法区分具体的流量类型。
4.6 链路聚合
以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽
有非常好的伸缩性,比如可以把 2 个、3 个、4 个千兆的链路绑定在一起,使链路的带宽成倍增长。链路聚合技术可以实现不同端口的负载均衡,同时也能够互为备份,保证链路的冗余性。在这些千兆以太网交换机中,最多可以支持 4 组链路聚合,每 组中最大 4 个端口。链路聚合一般是不允许跨芯片设置的。生成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路,
共 40 页 第 17 页
并用生成树协议让备份链路阻塞,在逻辑上不形成环路。而一旦出现故障,启用备份链路。
4.7 交换机端口安全
交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控
制用户的安全接入。交换机端口安全主要有两种类型:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。
限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用
户进行恶意ARP欺骗。
交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活
的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。
共 40 页 第 18 页
5 企业网络安全设计
5.1 企业网络的主要安全隐患
现在网络安全系统所要防范的不再仅是病毒感染,更多的是基于网络的非法
入侵、攻击和访问,这样对于公司的网络稳定与信息安全产生巨大威胁。很多情况下内部网络安全威胁要远远大于外部网络,因为内部中实施入侵和攻击更加容易。
加强内部网络的安全管理,配置好防火墙过滤策略和系统本身的各项安全措
施,及时安装系统安全补丁,有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、IDS、IPS系统,甚至配置网络安全隔离系统,对内、外网络进行安全隔离;加强内部网络的安全管理,严格实行“最小权限”原则,为各个用户配置好恰当的用户权限;
5.2 网络安全防范体系层次
(1)物理环境的安全性(物理层安全)
该层次的安全包括通信线路的安全,物理设备的安全,机房的安全等。物理
层的安全主要体现在通信线路的可靠性(线路备份、网管软件、传输介质),软硬件设备安全性(替换设备、拆卸设备、增加设备),设备的备份。
(2)操作系统的安全性(系统层安全)
该层次的安全问题来自网络内使用的操作系统的安全,如Windows NT,
Windows 2000等。主要表现在三方面,一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题。三是病毒对操作系统的威胁。
(3)网络的安全性(网络层安全)
该层次的安全问题主要体现在网络方面的安全性,包括网络层身份认证,网
络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防病毒等。
共 40 页 第 19 页
(4)应用的安全性(应用层安全)
该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生,包括Web服务、电子邮件系统、DNS等。此外,还包括病毒对系统的威胁。
(5)管理的安全性(管理层安全)
安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规
则等。管理的制度化极大程度地影响着整个网络的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。
5.3 网络安全措施
(1) 构建良好的环境确保企业物理设备的安全
(2) 划分VLAN控制内网安全
(3) 安装防火墙体系
(4) 建立VPN(虚拟专用网络)确保数据安全
(5) 安装防病毒服务器
(6) 加强企业对网络资源的管理
5.4 安全措施具体实施
物理方面:
(1)保证机房环境安全
信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本
的环境。要从一下三个方面考虑:一、自然灾害,物理损坏和设备故障 二、电磁辐射,乘机而入、痕迹泄漏等 三、操作失误,意外疏漏等。
(2)选用合适的传输介质
屏蔽式双绞线的抗干扰能力更强,且要求必须配有支持屏蔽功能的连接器件
和要求介质有良好的接地(最好多处接地),对于干扰严重的区域应使用屏蔽式双绞线,并将其放在金属管内以增强抗干扰能力。
(3)保证供电安全可靠
共 40 页 第 20 页
计算机和网络主干设备对交流电源的质量要求十分严格,对交流电的电压和
频率,对电源波形的正弦性,对三相电源的对称性,对供电的连续性、可靠性稳定性和抗干扰性等各项指标,都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自身运转的要求,又要满足网络应用的要求,必须做到保证网络系统运行的可靠性,保证设备的设计寿命保证信息安全保证机房人员的工作环境。
2、 VLAN的应用:
VLAN是一种将局域网(LAN)设备从逻辑上划分(注意,不是从物理上划
分)成一个个网段(或者说是更小的局域网LAN)。
VLAN技术能有效隔离局域网,防止网内的攻击,所以公司网络中按部门进
行了VLAN划分,每个部门都有相应的VLAN,这样有利于网络安全。
3、企业网络防火墙的应用
企业网络中使用的是神州数码的DCFW-1800S UTM,里面包含了防火墙和
VPN等功能。防火墙主要功能如下:
(1)网络安全的屏障
防火墙可通过过滤不安全的服务而减低风险,极大地提高内部网络的安全
性。由于只有经过选择并授权允许的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以禁止诸如不安全的NFS协议进出受保护的网络,使攻击者不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向路径。防火墙能够拒绝所有以上类型攻击的报文,并将情况及时通知防火墙管理员。
(2)强化网络安全策略
通过以防火墙为中心的安全方案配置。能将所有安全软件(如口令、加密、
身份认证等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如,在网络访问时,一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上而集中在防火墙。
(3)实施监控审计功能
对网络存取和访问进行监控审计由于所有的访问都必须经过防火墙,所以防
共 40 页 第 21 页
火墙就不仅能够制作完整的日志记录,而且还能够提供网络使用的情况的统计数据,利用此监控功能,当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
4、企业网络管理实施
百络网警是企业级的局域网管理软件,其把一款专业性很强的网管软件
设计成为一个浅显易懂的提高企业生产力的软件,该软件以“事前防控、事中监控、事后跟踪”的模式来协助企业来进行员工上网行为管理。
主要功能:
(1)一机监控整个网络(不同于一般软件,不需安装客户端)。
只装在一台电脑上,不用安装客户端,即可针对网卡地址(或机器名或
IP地址或自定义用户名)对整个网络进行跨VLAN、跨平台控制管理。
(2)监控QQ聊天内容、MSN聊天内容、飞信聊天内容。
可实时记录MSN、Yahoo、ICQ、QQ聊天室等即时通讯工具的聊天内
容,并对QQ号码以及其聊天过程进行全程记录。
(3)监控邮件内容。
可对通过SMTP协议发邮件和通过POP3收邮件的收发邮箱进行任意控
制,如只能收发到指定的邮箱或指定的邮箱才能收发,并能查看收发内容(包含附件内容)。
(4)实时流量管理及统计。
不仅可对每台电脑上网流量进行统计查询,而且还可以根据工作需要对
它们进行流量带宽控制,控制BT下载并报警,防止网络带宽被大量无效占用,使互联网资源真正得到有效合理分配。
(5)过滤上网信息。
可禁止网页粘贴、论坛留言、WEB邮件等所有通过HTTP协议的网络
外发行为,使单位领导不再担心员工利用单位电脑在网上发布不恰当的网络言论,不再担心企业商业秘密或重要文档通过互联网外泄。
(7)个性化管理局域网中电脑。
可在任意时间段对任何组和单机建立各种管理规则进行控制管理,操作
共 40 页 第 22 页
灵活方便,使管理者能对互联网实现最大限度的个性化管理。
(8)局域网内电脑分组管理。
可以将机器按IP或者VLAN分成不同的组进行系统管理,可以增添和
删除组。通过对不同级别、不同用户分配不同的管理权限,可实现多级别、多用户对系统进行远程操作控制,使整个互联网管理有条有序,层次分明。
共 40 页 第 23 页
6 网络系统测试
6.1 设备配置
设计完网络后,需要对企业网进行实施,我们使用Cisco Packet Tracer软件模拟设备,再进行设备的相应配置。PT绘制拓扑图如下:
图 6.1 测试拓扑图
配置过程: R1: hostname R1
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0 ip nat inside duplex auto speed auto !
interface FastEthernet0/1
ip address 192.168.2.1 255.255.255.0 ip nat inside
共 40 页 第 24 页
duplex auto speed auto !
interface Serial0/0/0
ip address 218.2.135.10 255.255.255.252 ip nat outside clock rate 9600 !
interface Serial0/0/1 no ip address shutdown !
interface Ethernet0/2/0
ip address 192.168.4.1 255.255.255.0 duplex auto speed auto !
interface FastEthernet1/0
ip address 192.168.10.2 255.255.255.0 ip nat inside duplex auto speed auto !
interface Vlan1 no ip address shutdown !
router ospf 1
共 40 页 第 25 页
log-adjacency-changes
network 192.168.1.0 0.0.0.255 area 0 network 192.168.2.0 0.0.0.255 area 0 network 192.168.4.0 0.0.0.255 area 0 network 192.168.10.0 0.0.0.255 area 0 default-information originate !
ip nat inside source list 1 interface Serial0/0/0 overload ip nat inside source static tcp 192.168.10.2 80 218.2.135.10 80 ip classless
ip route 0.0.0.0 0.0.0.0 218.2.135.9 access-list 1 permit 192.168.0.0 0.0.3.255 line con 0 line vty 0 4 login ! ! ! End R2: hostname R2 no ip domain-lookup interface FastEthernet0/0
ip address 180.1.1.1 255.255.255.252 duplex auto speed auto !
共 40 页 第 26 页
interface FastEthernet0/1 no ip address duplex auto speed auto shutdown !
interface Serial0/0/0
ip address 218.2.135.9 255.255.255.252 !
interface Serial0/0/1
ip address 200.1.1.2 255.255.255.252 clock rate 9600 !
interface Vlan1 no ip address shutdown !
ip classless
ip route 192.168.5.0 255.255.255.0 200.1.1.1 ip route 192.168.0.0 255.255.0.0 218.2.135.10 line con 0 line vty 0 4 login end R3: hostname R3
interface FastEthernet0/0
共 40 页 第 27 页
ip address 192.168.5.1 255.255.255.0 duplex auto speed auto !
interface FastEthernet0/1 no ip address duplex auto speed auto shutdown !
interface Serial0/0/0
ip address 200.1.1.1 255.255.255.252 !
interface Serial0/0/1 no ip address shutdown !
interface Vlan1 no ip address shutdown !
ip classless
ip route 0.0.0.0 0.0.0.0 200.1.1.2 line con 0 line vty 0 4 login End
共 40 页 第 28 页
SW1: hostname SW1
ip dhcp excluded-address 192.168.11.1 ip dhcp excluded-address 192.168.22.1 ip dhcp excluded-address 192.168.33.1 ip dhcp excluded-address 192.168.44.1 !
ip dhcp pool vlan11
network 192.168.11.0 255.255.255.0 default-router 192.168.11.1 dns-server 192.168.4.2 ip dhcp pool vlan22
network 192.168.22.0 255.255.255.0 default-router 192.168.22.1 dns-server 192.168.4.2 ip routing
interface FastEthernet0/1 no switchport
ip address 192.168.11.1 255.255.255.0 duplex auto speed auto !
interface FastEthernet0/2 no switchport
ip address 192.168.22.1 255.255.255.0 duplex auto speed auto
共 40 页 第 29 页
!
interface FastEthernet0/3 switchport access vlan 33 switchport mode access !
interface FastEthernet0/4 switchport access vlan 44 switchport mode access !
interface FastEthernet0/22
switchport trunk encapsulation dot1q !
interface FastEthernet0/23 no switchport
ip address 192.168.1.2 255.255.255.0 duplex auto speed auto !
interface FastEthernet0/24 no switchport
ip address 192.168.20.1 255.255.255.0 duplex auto speed auto !
interface GigabitEthernet0/1 !
interface GigabitEthernet0/2 !
共 40 页 第 30 页
interface Vlan1 no ip address shutdown !
interface Vlan11 no ip address !
interface Vlan22 no ip address !
interface Vlan33 no ip address !
interface Vlan44 no ip address !
router ospf 1
log-adjacency-changes
network 192.168.11.0 0.0.0.255 area 0 network 192.168.22.0 0.0.0.255 area 0 network 192.168.33.0 0.0.0.255 area 0 network 192.168.44.0 0.0.0.255 area 0 network 192.168.1.0 0.0.0.255 area 0 network 192.168.20.0 0.0.0.255 area 0 !
ip classless line con 0 line vty 0 4
共 40 页 第 31 页
login end SW2: hostname SW2
ip dhcp excluded-address 192.168.33.1 ip dhcp excluded-address 192.168.44.1 !
ip dhcp pool vlan33
network 192.168.33.0 255.255.255.0 default-router 192.168.33.1 dns-server 192.168.4.2 ip dhcp pool vlan44
network 192.168.44.0 255.255.255.0 default-router 192.168.44.1 dns-server 192.168.4.2 ip routing
no ip domain-lookup interface FastEthernet0/1 switchport access vlan 33 switchport mode access !
interface FastEthernet0/2 switchport access vlan 44 switchport mode access !
interface FastEthernet0/3 switchport access vlan 33
共 40 页 第 32 页
switchport mode access !
interface FastEthernet0/4 switchport access vlan 44 switchport mode access !
interface FastEthernet0/5 no switchport
ip address 192.168.2.2 255.255.255.0 duplex auto speed auto !
interface FastEthernet0/22
switchport trunk encapsulation dot1q switchport mode trunk !
interface FastEthernet0/23 !
interface FastEthernet0/24 no switchport
ip address 192.168.20.1 255.255.255.0 duplex auto speed auto !
interface GigabitEthernet0/1 !
interface GigabitEthernet0/2 !
共 40 页 第 33 页
interface Vlan1
no ip address
shutdown
!
interface Vlan11
no ip address
!
interface Vlan22
ip address 192.168.22.1 255.255.255.0
!
interface Vlan33
ip address 192.168.33.1 255.255.255.0
!
interface Vlan44
ip address 192.168.44.1 255.255.255.0
!
router ospf 1
log-adjacency-changes
network 192.168.2.0 0.0.0.255 area 0
network 192.168.33.0 0.0.0.255 area 0
network 192.168.44.0 0.0.0.255 area 0
!
ip classless
line con 0
line vty 0 4
login
end
共 40 页 第 34 页
7 测试与验收
7.1 设备安装、调测、开通
(1) 由我方提供的设备,其安装、调试(包括硬件及软件)及开通,全部由我方负责,企业予以协助配合。
(2) 设备安装、调测所需要工具、仪表及安装材料均由我方提供。
(3) 设备的机械结构应具有一定的抗震强度。
(4) 系统测试将按照我方提供的设计,在我方的督导下进行,企业人员将参加测试。我方要提供测试方案并通过口头或书面形式向买方报告测试进展(包括遇到的实际问题)。
(5) 在现场安装调测期间,如果设备出现不正常情况(如发现设备损坏、故障、达不到技术规范或卖方说明书的指标),我方应免费在不延误工期的情况下从速替换或修复。
7.2 移交测试
(1) 移交测试的条款应与技术规范一致,基于以上要求,我方应提供测试条件,方法和过程的草案,谈判以后,最终测试文件由双方共同拟定。
(2) 在移交测试以前,设备要交给买方。移交测试是在我方督导人员的指导
下由买方的维护人员进行的。
(3) 如果移交测试没有满足测试文件的要求,那么要重新进行系统测试。
7.3 试运行验收测试
(1)试运行是考察全网运行的可靠性和稳定性的重点步骤,在系统已经投
入运行时,它是系统质量的直接衡量方法。
(2)试运行将在移交测试后进行。试运行期为3--个月。
(3)当主要指标(可靠性、稳定性等)在试运行验收测试满足要求后,最
共 40 页 第 35 页
终验收才能进行。
(4)在试运行期间,如果发现由于我方责任造成任何设备系统的功能和性
能不符合技术规范的要求,或由于设备故障的发生导致设备停止运行,我方将在24小时内作出响应并及时修复,同时相应顺延试运行期。
共 40 页 第 36 页
结 论
通过这次毕业设计让我更加熟悉了从理论到实践的跨越,也发现在课本中学
习到是不足以应付实际发生的问题,这也需要我们树立起不断学习,终身学习的概念。本论文是关于小型企业网络设计的,设计的过程中一部分用到了我们在学校里学的知识,像上文涉及到的综合布线问题,还有一部分是用到了一些命令,像上文中的项目测试和维护,这些命令我们可以通过看相应设备的参考书,或者Cisco/H3C教程可以实现的。本论文写到的一些命令就是通过教程中的解释,再根据实际情况配置而成。但是万事万物总会有自己的缺点,在我的论文中不乏有些错误和缺点,请老师指正。
共 40 页 第 37 页
谢 辞
非常感谢廖老师在我大学的最后学习阶段——毕业设计阶段给我的指导从
最初的确定题目,到资料的收集,到写论文,修改论文,最后成型答辩,他给了我耐心的指导和不小的帮助。与此同时,感谢所有任课老师和所有同学在这三年来给自己的指导和帮助, 是他们教会了我专业知识,教会了我如何学习,教会了我如何做人。正是由于他们,我才能在各方面取得显著的进步,在此向他们表示我由衷的谢意,并祝所有的老师培养出越来越多的优秀人才,桃李满天下!
共 40 页 第 38 页
参考文献
[1] (美)Kenneth D.Reed.《网络设计》.电子工业出版社.2002.1
[2] 刘化君.《网络综合布线》.电子工业出版社.2006.9
[3] 思科系统公司.《思科网络技术学院教程》. 电子工业出版社.2009.10
[4] h3c公司.《H3C网络学院教程》. 电子工业出版社.2010.06
[5] 张恒杰.《计算机网络工程[J]》.大连理工大学出版社.2009.1
[6] 崔北亮.《CCNA信息与实验指南》.大连理工大学出版社.2009.1
[7] 朱根宜.《计算机网络与Internet应用基础教程》.北京:清华大学出
版社
[8] 袁家政.《计算机网络安全与应用技术》.北京:清华大学出版社,2002
[9] 丁龙刚,王高亮.《综合布线与弱电工程》.北京:机械工业出版社,2007
[10] 程控,金文光.《综合布线系统工程》.北京:清华大学出版社,2005
共 40 页 第 39 页
共 40 页 第 40 页