毕业论文中小型企业网络组建.doc

娄底职业技术学院计算机网络技术专业毕业论文娄底职业技术学院毕 业 论 文中小型企业网络组建姓 名： 彭远 学 号： 201102060107 指导老师： 曾东波 系 名： 电子信息工程系 专 业： 计算机网络技术 班 级： 11计网楼宇 二0一三年十二月二十八日19 摘 要21世纪计算机网络已经是人类生活当中不可缺少的一部分；互联网涉及到的很多方面；已经被越来越广泛地应用于政治、经济、军事、生产及科学技术的各个领域。目前我国企业尤其是中小型企业网络建设正在如火如荼的进行着，此方案采用了国际高端品牌cisco的网络设备，同时采用了当前重要的和使用广泛的网络体结构有osi体系结构和tcp/ip体系结构。以先进，安全，实用，可扩展，灵活为原则进行设计，并规划出了交换机/路由器+各种应用服务器构架成的设计方案。本方案将以中小型企业内部局域网的组建需求、实际应用为出发点，从中小型企业局域网的业务需求和传统网络技术入手，设计适用于中小型企业的组网方案，为客户营造一个一流的企业网络。关键词:中小型企业；网络；路由交换技术；局域网abstract in twenty-first century, computer network is an integral part of human life; many internet related to various fields; has been more and more widely used in political, economic, military, production and science and technology. at present our country enterprise especially small and medium enterprises network construction is like a raging fire to carry on, this scheme adopts the network equipment of international high-end brand cisco, at the same time, using the current important and use the network structure of a wide range of osi architecture and tcp/ip architecture. with advanced, safe, practical, extensible, flexible and the principle of design, and plan out the switch / router and all kinds of application server framework into the design scheme. the scheme will be the small and medium-sized enterprise internal local area network needs, the actual application as the starting point, starting with the business needs of small and medium-sized enterprise lan and the traditional network technology, design is suitable for the network of small and medium enterprises, to create a first-class enterprise network for customers.keywords: small and medium-sized enterprises; network; routing technology; lan目 录绪论1第1章 企业需求分析21.1企业用户需求分析21.2企业网络需求分析21.3企业系统需求分析21.4企业设备需求分析2第2章 企业网设计方案42.1设计原则42.2企业网整体拓扑结构图52.3 vlan及ip地址规划52.4网络设备选型72.5网络安全设计9第3章 路由交换部分的设计113.1 vlan设计113.2生成树（stp/rstp/mstp）123.3 ospf动态路由123.4 hsrp 热备份路由133.5访问控制列表（acl）和地址转换（nat）14第4章 设计方案优势164.1高带宽、高性能164.2完善的管理机制164.3易于维护164.4高可靠性16总 结17参考文献18致 谢19绪 论在信息化快速推进的今天，中小企业网络作为网络化建设的一支主体力量，其市场前景得到越来越多的关注。企业网络技术的发展以及企业生存和发展需要促成了企业网的形成。信息技术所带来的一场革命将彻底改变我们的学习、生活和工作方式。全球信息化浪潮势不可挡，已经迅速延伸至国防、科研、经济、教育等各个领域，也不可避免地改变着传统的企业人事的工作模式，利用当前蓬勃发展的以计算机和网络为主导的现代信息技术则是企业实现现代化工作的必不可少的技术基础现今的网络建设中，企业网的建设是非常重要的，企业网内部各种不同业务的开展是企业网发展迅速的最主要原因。从早期的企业网主要是简单的数据共享，简单数据库的共享到现在内部全方位的数据共享，从过去单一的企业到现在多个分支公司的全部互连，因而对网络的覆盖面要求越来越广。这一要求最早还只局限于各分支企业内部，现在则已是整个企业、整个行业，甚至整个internet的共同要求。为了适应网络经济的飞速发展，扩大企业经营的规模和范围，方便企业内部和企业之间的交流，节省办公开销，提高企业的管理水平，企业发展intranet（企业内部网）已经是刻不容缓。现如今后如何应对瞬息万变、竞争激烈的国内外市场环境以及如何利用网络技术迅速提升企业核心竞争力就是成为企业成败的关键所在。第1章 企业需求分析1.1企业用户需求分析要求为员工提供安全的网络办公环境，保障信息安全，要求易于用户管理、界面简单、逻辑清晰；要求网络提供足够的带宽，丰富的接口形式，满足用户对应用带宽的基本要求，要求紧急情况下公司业务的备份，以减少公司的损失；同时要求员工能获取信息，拓宽知识面；提高专业水平，随时得到领导指示。1.2企业网络需求分析本方案将设计主干网负责各个子网和应用服务的连接，网络协议采用tcp/ip协议，核心交换机采用三层交换机，能较好解决突发数据量和密集服务请求的实时响应问题，数据交换时交换引擎不会出现过载现象和数据包碰撞、丢失的现象，以及一些非人为的故障的相关补救措施。ups电源要保证网络中所有的服务器、交换机、路由器等设备的连续、正常地运转；同时要求内部网络中的病毒防范控制，不受外网的影响；对于数据也要求又相互备份互补的业务，以免在发生数据通讯故障的时候，网络设备能自行修复问题，保持网络的畅通性。1.3企业系统需求分析企业要求所有的客户端和服务器系统应该是易于配置和管理的，并保障客户端的方便使用；在系统的设计、实现及应用上应采用多种安全手段保障网络安全；系统的设计要求采用开放的技术和标准选择主流的操作系统及应用软件，系统的运行应具有高稳定性，保障每周七天全天24小时的高性能无故障运行；便于系统管理员在任何位置方便的对整个系统进行管理；系统设计应尽量降低整个系统的成本。1.4企业设备需求分析根据公司的网络功能需求和实际的布线系统情况，企业要求楼层接入设备需要选择同一型号的设备；网络设备必须在技术上具有先进性、通用性，必须便于管理、维护，应该满足公司现有计算机设备的高速接入，应该具备良好的可扩展性、可升级性，保护用户的投资。同时还要求公司网络设备的高利用率，减少对网络设备无谓的支出；要求网络设备在满足功能与性能的基础上必须具有良好的性价比。网络设备应选择目前主流产品，同时设备厂商必须要有良好的市场形象与售后技术支持。第2章 企业网设计方案2.1设计原则（1）实用性性能指标能满足各项业务处理能力，企业组网的方案在接入层交换机将用mac地址与端口的捆绑实现高效的用户控制，大大提高用户的利用率。（2）安全性用路由策略技术和容错技术、核心层和接入层的链路冗余功能，提供全方位的安全管理系统内部网络之间、内网与外网之间的互联，利用路由器、杀毒软件等对访问进行控制，确保网络的安全。（3）先进性采用主流网络体系、运行系统和设备产品，我们设计的网络方案采用三层分布式结构。核心层选用了高性能的思科千兆路由器，负责路由管理、网络管理、网络服务、核心数据处理等。汇聚层采用思科cisco catalyst 3560-24三层交换机，提供高速无阻塞的链路到核心层，大大提升网络性能。接入层选用思科网络cisco catalyst 2960-24 ，充分满足用户的高速接入等。服务器设备操作系统采用window server 2003操作系统；具有很好的稳定性和安全性。（4）可扩展性网络的核心层采用模块化路由器cisco 2811，汇聚层采用模块化交换机，按照需求灵活配置各种模块，做到既满足需求，由留有余地。整个网络架构采用三层结构，使网络具有较好的伸缩性、可以根据网络建设的不同阶段灵活配置和扩展。（5）开放性本次设计的中央集成管理系统将是一个完全开放性的系统，通过编制系统的接口软件将解决不同系统和产品间接口协议的“标准化”，以使他们之间具备“互操作性”。所有接口均基于标准的tcp/ip数据接口协议和内容。系统的开放性设计完全遵循国际主流标准以及工业标准。议和内容。系统的开放性设计完全遵循国际主流标准以及工业标准。2.2拓扑结构图在本次设计方案中主要是对一个企业进行整体的网络设计。该公司分别设有市场部、客户部、工程部、软件开发部、行政部和网络中心。分别连接在三台二层交换机上。两台三层交换机为整个公司做热备份业务。外网接口路由做内网外网的承接业务；整个网络系统的拓扑结构图如下所示：图2.1 拓扑结构图 2.3 vlan及ip地址规划在一个中小型网络里，vlan的划分是必不可少的步骤之一，也是必不可少的一部分；在本企业网设计中，整个企业网的vlan及ip编址方案如下表所示：针对当前现状，ip地址资源紧缺，我们不可能也不应该为每一台工作站申请一个公有ip地址，而是公网接口申请一个或多个ip，内网是私有ip地址，这样不仅可以缓解ip地址不足的情况，而且也可以为企业建设一个企业网节约不少的开支。具体vlan与ip规划如下：表2.1 vlan及ip编址方案vlan编号vlan命名ip地址网段默认网关vlan说明1market192.168.2.0/24192.168.2.1市场部2engineer192.168.3.0/24192.168.3.1工程部3finance192.168.4.0/24192.168.4.1财务部4xz192.168.5.0/24192.168.5.1行政楼5server192.168.6.0/24192.168.6.1服务器群表2.2 设备之间互联ip地址规划设备名称设备接口ip地址对端设备名称设备接口ip地址rt1s0/0/0172.16.1.1/24rt2s0/0/0172.16.1.2rt2f0/0172.16.2.1/24server2172.16.2.254/24rt2f0/1172.16.3.1/24外网主机172.16.3.254/24rt1f0/010.0.0.2/30swaf0/2410.0.0.1/30rt1f0/120.0.0.2/30swbf0/2420.0.0.1/30市场部pc192.168.2.254工程部pc192.168.3.254行政部pc192.168.4.254财务部pc192.168.5.254服务器群192.168.6.254swalo:1.1.1.1swblo:2.2.2.2rt1lo:3.3.3.32.4网络设备选型在确定了网络系统的设计方案后，需要进行网络设备选型。设备选型是网络工程中非常重要的一环，设备选型的好坏直接影响系统的实用性、稳定性、可靠性和系统的费用。其中要考虑到三方面：品牌选择，性能优先，最小开销。（1）核心层网络采用cisco ws-c3560-24g分布网络采用cisco 3560 /24（配置1000m光电模块）cisco 3560系列智能以太网交换机是一种新型的企业级可堆叠多层交换机系列，可通过高可用性、服务质量（qos）和安全性来改进网络运行；cisco 3560可提供高可用性、可扩展性、安全性和可改进网络运营的管理能力。图2.2 cisco 3560交换机（2）接入层网络采用cisco ws-c2960g-24（配置1000m光电模块）cisco 2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强lan服务。cisco 2960系列在网络或城域接入边缘实现了智能服务。图2.3 cisco 2960交换机（3）外部访问网络采用cisco 2811路由器cisco 2811隶属于cisco2800系列产品，与相似价位的前几代路由器相比，cisco2800系列的性能提高了五倍、安全性和语音性能提高了十2.5网络安全设计为了提高公司网络的安全性能；本设计方案提高设备的物理安全性；配置设备的口令进行vtp域的认证；网用户的接入控制；应用系统的访问控制；因特网的接入安全控制。 (1)提高设备的物理安全性设备的物理安全性是指运行中的设备，未经授权的人员不能直接接触到。也就是说设备要有独立管理机房并有专门专业的维护人员进行维护和管理；提高设备的物理安全性，是最基本的要求。(2)配置设备的口令配置设备的口令，是防止非授权的人员更改网络系统的配置的重要手段。要为所有的设备设置口令。要为每一台设备配置console口令，vty口令，特权口令等。在口令方面，需要制定管理制度并严格执行。口令管理制度包括口令的设置，保管，更改，口令的强度等内容。建议企业参照硬件设备的管理方式，交给专门专业的工程师进行管理，如需变更或删除，需领导批准。具体命令如下：switch(config)#line vty 0 4switch(config-line)#password *switch(config)#enable password *switch(config)#enable secret *(3)进行vtp域的认证进行vtp域的认证，能够保证局域网的vlan等的安全。设置了口令之后，除非交换机设置了正确的口令，否则。新交换机不能自动加入到已存在的管理域中。保证了局域网的运行安全，可以避免因为vlan被错误或者恶意的增加。从而提高了网络的安全性。具体命令如下：switch#vlan database switch(vlan)# vtp mode server switch(vlan)# vtp domain *switch(vlan)# vtp password *switch(vlan)# vlan vlan-id name vlan-nameswitch(config)# interface fa 0/1(4)用户的控制接入严格控制用户的接入，可以避免非法用户接入带来的潜在的安全隐患。网系统建设验收完毕之后，确保交换机的所有用户端口处于关闭状态。只有用户使用申请通过批准之后网络管理员才能将端口激活。不会影响用户的使用并杜绝潜在安全隐患。(5)系统的访问限制可根据公司的应用需求，在汇聚层的多层交换机上实施访问控制，限制园区网用户对特定应用系统的访问，或者只允许特定的用户访问某些资源。保证网络资源的有效利用的同时保护资源的安全。(6)网络的接入安全控制从父目前网络发展趋势上看，我们可以预见未来的企业将要面对着很严重的网络安全威胁：特洛伊木马、病毒和蠕虫等等。与之同时，间谍软件的攻击也加快了蔓延速度。为了更好地控制企业网络拒绝不受欢迎的设备或者被感染恶意代码的设备访问，有效地控制访问网络资源的终端设备，加强企业内部安全控制，保护好企业的数据信息，是当前安全防护中必不可少的重要方面。所以因特网的接入安全控制是非常重要的，不仅需要布置防火墙等安全设备，还要指定严格的安全策略。第3章 路由交换部分的设计为了使公司园区网高效、稳定的运行，便于管理与维护，对局域网交换和路由技术的相关方面进行了规范设计，包括vtp、vlan、stp、trunk、etherchannel，hsrp，vpn等。3.1 vlan设计企业局域网采用三层网络架构设计，分为核心层、汇聚层、接入层等三个层次，企业主干网技术选择千兆以太网技术，对于vlan的划分主要在接入层的端口上实施基于端口的vlan划分；这是最为普遍、快捷、易于管理的划分方法；按照公司的实际情况对公司的局域网进行合理vlan划分，可以减少网络内的广播数据包，杜绝广播风暴，增强网络的安全性能；提高公司网络运行效率，保证网络顺畅；易于维护和管理；可以区分不同的应用和用户，方便集团的管理与维护。目前，我们所掌握的vlan划分方法为以下几种：基于端口，基于mac，基于协议，基于ip组播的vlan，基于策略，用户自定义（非用户授权）；其中最为普遍的方法为基于端口划分vlan的方法；另外一种是基于mac地址的划分方法。(1)基于端口的划分方法这种划分vlan的方法是根据以太网交换机的端口来划分， ieee 802.1q规定了依据以太网交换机的端口来划分vlan的国际标准。这种划分方法的优点是定义vlan成员时非常简单，只要将所有的端口都只定义一下就可以了。(2)基于mac地址的划分方法这种方法划分vlan，要求交换机对站点的mac地址进行跟踪，在新站点入网时需要把它添加到相应的vlan中。以后无论这个站点怎么移动。只要mac地址不变就无需对它进行重新配置。（3）基于网络协议的划分vlan按网络层协议来划分,可分为ip、ipx、decnet、appletalk、banyan等vlan网络。这种按网络层协议来组成的vlan，可使广播域跨越多个vlan交换机。用户可以在网络内部自由移动，但其vlan成员身份仍然保留不变。3.2生成树（stp/rstp/mstp）生成树协议stp(spanningtreepprotocol)能够提供路径冗余，使用stp可以使两个终端中只有一条有效路径。stp在大的网络中定义了一个生成树，并且迫使一定的备份路径处于备用状态。如果生成树中的网络一部分不可达，或者stp值变化了，生成树算法会重新计算生成树拓扑，并且通过启动备份路径来重新建立连接。消除循环连接导致的网络广播风暴，并且提供网络的拓扑的冗余备份功能，平时作为备份的路径被阻塞，当主用路径网络设备出现故障时，能够及时调整端口状态，调整网络拓扑。 除支持传统的生成树协议外，cisco3550系列以太网交换机还支持ieee 802.1w快速生成树协议(rstp)，以及802.1s多生成树协议（mstp）。802.1s多生成树协议（mstp）可以通过支持一个网络内的多个生成树，这使管理员可以把vlan流量分配给唯一的通路。网络管理员只要为vlan分配独立的生成树拓扑，就可以确保两个vlan都能在网上顺畅传输。这就可以起到均衡网络流量，提高可靠性的作用。具体配置命令如下：switch(config)# spanning-tree mode mstswitch(config)# spanning-tree mst configurationswitch(config)# name *switch(config)# revision versionswitch(config)# insrance instance-id vlan vlan-listswitch(config)# spanninf-tree mst instance-id priority bridge-priorityswitch(config)# spanninf-tree mst instance-id root primary/secondary让公司内部网络能够相互访问和访问服务器。在汇聚层的cisco 3560系列以太网三层交换机上和核心层cisco 2811 路由器上的启用ospf动态路由协议， 同时也是为了对外发布公司自己的服务器。能够让外网主机访问内网服务器。这样日后公司网络变动，设备可以自动学习相关路由表；这样既节省了网络管理员的配置管理工作，同时也为日后的公司发展的网络扩展性打下一个良好的要求。3.4 hsrp 热备份路由 热备份路由器协议（hsrp：hot standby router protocol），是cisco平台一种特有的技术，是cisco的私有协议。路由器是整个网络的核心和心脏，如果路由器发生致命性的故障，本地网络瘫痪，造成的损失也是难以估计的。因此，对路由器采用热备份是提高网络可靠性的必然选择。hsrp向主机提供了缺省网关的冗余性，当网络边缘设备或接入电路出现故障时，hsrp它能够确保用户通信迅速并透明地恢复，以此为ip网络提供冗余性、容错和增强的路由选择功能。通过多个热备份组，路由器可以提供冗余备份，并在不同的ip子网上实现负载分担。在成对的两台汇聚层多层交换机上，具体的hsrp配置规范如下：（1）热备份的ip地址在第一台多层交换机上，某个vlan虚拟接口的ip地址是子网的最后第三个可用地址，在第二台多层交换机上，某个vlan虚拟接口的ip地址是子网的最后第二个可用地址。（2）热备份组号热备份组号与接口的vlan号相同。(3)热备份地址热备份地址是子网的最后一个可用地址。(4)热备份优先级在主用的多层交换机了，某个vlan虚拟接口的热备份优先级是120。并且主用的汇聚层交换机配置占先权。具体命令如下：sw1(config)#interface vlan 2sw1(config-if)#ip address 192.168.1.1 255.255.255.0 default-information originate 发布默认路由，也就是强制ospf区域内的设备学习此设备的默认路由； 同时，如果想要外网主机访问内网服务器，需要在路由器上对服务器的发布；图3.1 在市场部的pc上测试与外网的主机和服务器通信1图3.2 在市场部的pc上测试与外网的主机和服务器通信2第4章 设计方案优势4.1高带宽、高性能相比于传统组网设计方案，本次的设计方案是基于标准的二、三层以太网交换技术，技术成熟度非常高；100m的带宽可充分满足用户高速上网、内容下载及多媒体等多种宽带业务。给用户提供了真正的高带宽网络，对高带宽的业务的扩展提供了强大的支撑能力。4.2完善的管理机制该企业各交换机通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击，如vlan、acl、nat、mstp、mac地址过滤等等， 满足企业网络加强对访问者进行控制、限制非授权用户通信的需求；对于企业来说，它的带宽资源都是有限的。由于没有带宽限制和优先级设置，一些重要用户和重要应用得不到必要的带宽保证而影响了工作。 4.3易于维护在本次设计方案中采用的cisco网络设备都经过独特设计具备防尘、防潮、防静电等多种使用的特点。支持 rs-232 本地管理