计算机网络设计毕业设计论文.doc

序 言随着计算机在企业管理办公中的不断应用、办公及商务自动化的需要，计算机的网络化成为越来越迫切的需求。因而以快速以太网为支撑的各种办公商务应用平台，在企业的日常事务处理中得以广泛的应用。计算机广泛的应用于各个场合，充分发挥了计算机在信息处理中不可替代的作用；而网络化使得各个不同处所的信息及时、快速、准确的交换，把计算机应用大大的向前推进，已成为办公自动化、金融电子化、商业自动化的重要支撑环境。一 . 计算机网络发展概况七十年代末，局域网技术多达数十种，由于没有统一的标准，各种网络技术互不兼容，而且使用复杂，价格昂贵，极大地限制了局域网的推广应用。1979年，以太网的发明人metcalfe在他的朋友、律师howardcharney的建议下，开始了对以太网的标准化工作。由于当时以太网技术的拥有者为美国施乐（xerox）公司，局域网的积极倡导者dec公司和拥有以太网硅片技术的intel公司的积极响应，以太网10版规范在1980年正式颁布。同时，一个世界性的标准化组织ieee（国际电气和电子工程师协会）也成立了一个工作委员会，致力于办公室环境的局域网标准工作，代号为802工程。由于xerox、dec和intel制订的以太网10版规范还不是国际公认的标准，在1981年，ieee802工程决定成立一个ieee8023分委员会，负责以太网的标准制订工作，并于1983年正式颁布了我们经常听到见到的代号为ieee8023的以太网标准。这一标准也称为10base5，它表示以太网以10mbps的速率传输，两个节点（或两台pc）之间的最大距离为500米。在今天的计算机技术发展史上，商业利益是技术发展的最大推动力。为了谋求商业利益，以太网的发明人metcalfe谢绝了许多大公司的邀请，和howardcharney律师一起创立了著名的3com公司，生产以太网网卡、网络收发器等网络设备，并和ibm合作开发ibmpc机上的以太网网络接口卡。由于ibm已着手开发自己的令牌环网（tokenring）技术，3com只好自己独立开发出了ibmpc网卡。借ibmpc的东风，3com的网卡大受其益。ibm没想到自己的pc会供不应求，更想不到pc连网生意也会如此火爆。当巨人醒来匆匆推出自己的令牌环网（tokenring）时，时光的脚步已迈向1985年。但ibm就是ibm，出自名门的令牌环网迅速在大公司大企业中站稳了脚跟，ieee802工程委员会根据ibm的令牌环网规范制订了相应的令牌环网国际标准ieee8025。令牌环网的传输速率为4mbps。比以太网慢，但它有自己的优势：可采用结构化布线系统。后来，novell公司的网络操作系统netware的流行和利用无屏蔽双绞线（utp）传输以太网的标准ieee8023i（10baset）的颁布，使以太网更加便宜和简单易用，也可实现结构化布线，并成为主流局域网技术。现在全球大约90的局域网采用以太网。到了20世纪90年代，先后出现了更廉价，性能更稳定可靠的100mbps的100base-t快速以太网和100vg-anylan解决方案，使得计算机局域网在各个领域的应用得到了快速发展。上世纪90年代末至本世纪初，利用1gbps交换集线器组建的千兆级局域网又被呈现我们面前，使得局域网网络的应用变得空前广泛，以快速局域网为基础的各种应用平台在各个领域已经变得不可或缺。二 . 计算机网络在企业办公管理的应用概况随着计算机在企业管理办公中的不断应用、办公及商务自动化的需要，计算机的网络化成为越来越迫切的需求。因而以快速以太网为支撑的各种办公商务应用平台，在企业的日常事务处理中得以广泛的应用。企业通过网络将各个部门互连起来，构建一个企业级的信息资源共享平台，以减少重复的劳动并能加强协作，提高工作效率，减少企业在办公管理方面的费用，还能帮助企业加快在企业与企业间和企业与客户间的信息交流，使企业能快速的获得第一手的市场咨询，增强企业竞争力，从而达到提高企业的经济效益的目的。就拿电信来说，过去一封报告从发出到接收，最短需要天，长则需要一周甚至更长；一次线路故障从开始申告、逐级上报到排除，中间至少有一半多的时间时是花在信息传输的路上；一个工程计划从拟定、下达到执行，至少需要数周甚至数月如今，一切都有了质的改变：文件传输“点”到即“至”，报障处理闻讯即动，电话、电脑、电子数据库、电子工单、网上营业厅、 “电”和“网”的结合使得质量、速度和效率实现了很好的协调和统一。已完成了智能化办公集成系统（）的建设，在企业系统率先实现日常工作和业务处理的网络化、无纸化，以及数据查询电子化和流程标准化，使企业各种资源配置和信息流通有了一个基础的信息化平台。目 录第一章 计算机局域网基础简介4一、 局域网概述4二、网络拓扑结构5（一）总线型拓扑结构5（二）星型拓扑结构5（三）环状拓扑结构6（四）其他类型6三、 网络协议6（一）tcp/ip协议7（二）dhcp协议8（三）netbeui协议8（四）vlan简介8（五）网络通信的相关硬件设备10第二章 网络需求分析及系统设计原则13一、现状及需求分析13二、网络系统的设计原则14第三章 系统总体方案设计15一、网络的拓扑结构15二、网络系统接入设计15三、internet接入16（一）直接通过路由器访问internet资源的配置16（二）通过代理服务器访问internet资源的配置19（三）直接访问与代理访问并存的配置20四、网络设备选型23五、 ip地址分配23（一）ip地址概念23（二）ip地址分配情况24六、 vlan划分25七、 传输及布线规划设计28八、网络系统安全管理设计29（一）计算机网络面临的威胁29（二）计算机网络的安全策略30（三）信息加密策略32（四）网络安全管理策略32第四章 系统安装配置33一、客户端操作系统的安装配置33二、internet代理服务的建立34第五章 总 结36第一章 计算机局域网基础简介一、 局域网概述计算机局域网是为了满足在一个有限的范围内，进行网络资源共享而产生的。局域网主要由以下几个部分组成：1、网络工作站。网络工作站是局域网中的基本设备，一般由一台配有网络适配器的微机组成。2、网络适配器。网络适配器是网络接口设备，负责工作站及服务器与网络间的信息通信。3、传输介质。传输介质是网络信息的物理传输通道，负责网络设备间的物理连接。4、网络互连设备。网络互连设备包括集线器、交换机、路由器等，是局域网上重要的连接设备，负责网络的连接和控制。5、网络服务器。网络服务器是网络上的控制中心和服务中心，起着管理网络通信、并为工作站提供各种网络应用服务的作用。二、网络拓扑结构（一）总线型拓扑结构由一条高速公用总线连接若干个节点所形成的网络称为总线型网络，其中某一个节点为服务器，由它提供网络通信及资源共享服务，其他节点为网络工作站及客户机。如图1.2.1所示。图1.2.1 总线型拓扑结构网络总线型拓扑结构由于其结构的局限性、公用通信总线的数据通信负载能力决定了整个网络的通信能力，所以在总线型网络中，总线的长度和可接节点的数量都有限，从而限制了网络的容量和规模。但其也有其他拓扑结构所不具有的优点，结构简单灵活，网络中某个节点出现故障时不会影响到整个网络，可靠高，建设成本低廉，安装简单便捷。（二）星型拓扑结构星型拓扑结构由中央节点和若干个远端节点组成，每一个远端节点都通过一条单独的通信线路直接与中心节点连接，即中心节点与每个远端节点之间，都采用点点连接方式，所有的远端节点之间进行通信时，都必须通过中心节点。因此中央节点相当复杂，负担比其他节点重很多，目前多采用集线器作为中央节点。星型拓扑结构如图1.2.2所示。图1.2.2 星型拓扑结构网络星型拓扑结构的特点是功能高度集中，整个网络的处理和控制功能，都集中在中心节点上，这样就容易使中央节点变成整个网络的瓶颈，使得网络可靠性受到了影响，但是星型拓扑结构也有它的优点，安装容易，造价低廉，单个远端节点故障不影响整个网络，网络维护方便等。（三）环状拓扑结构环状拓扑结构中，每个入网计算机都先连接到一个转发器上，再将所有的转发器通过高速点点式信道，形成一个闭合环。网络中的信息沿一个方向单向流动，从任何一个源转发器上所发出的信息，经环路传送一周后又回到源转发器。环状拓扑结构如图1.2.3所示图1.2.3 环状拓扑结构网络由于环型拓扑结构网络信息传输的单向性，所以如果网络上的任意一个节点发生故障，就会波及整个网络，使整个网络通信瘫痪，并且当网络上的节点增多时，会使网络的响应时间变长。另外，在增加网络节点时，必须使环路通信中断，影响其他节点通信，故不利于网络维护和扩充。但环型拓扑，结构简单，易于进行广播通信，可以为某些节点设置优先级，在较高的并发性请求环境下有较高的网络利用率。（四）其他类型树型网、簇星型网、网状网等其他类型拓扑结构的网络都是以上述三种拓扑结构为基础的。三、 网络协议计算机网络的互连不仅仅是网络硬件的连接，还需要有一组通信的规则来支持实体之间的信息交换，就像人与人之间交流需要语言一样，计算机之间交换信息也要一种语言，即网络协议。网络协议是计算机网络不可缺少的一部分，它规定了计算机网络中相互连通的计算机在信息内容、格式和传输顺序方面遵守的一些事先约定好的规则、标准或约定。在局域网中，常见的网络协议有三种：tcp/ip（transmission control protocol / internet protocol）即传输控制/网际协议；ipx/spx（internet work packet exchange / sequences packet exchange）即网际报交换/顺序报交换协议和netbeui（netbios extended user interface）用户扩展接口协议。（一）tcp/ip协议tcp/ip协议是建立在ip编址基础上，当今应用最广泛、最流行的协议组。tcp/ip协议适用于任何规模的网络，并且是接入internet必不可少的协议。作为microsoft的首选协议，它已经成为当今一些windows系统的默认协议，它的功能强大，但配置复杂，缺少自动服务功能。tcp/ip协议规定，网络中的每台主机都有一个唯一的地址，即ip地址。tcp/ip协议利用ip地址标识网络主机，又使用端口号来标识主机上的应用进程，当源进程需要建立tcp连接传输数据时，首先根据目标进程主机的ip地址，产生包含目的ip报头的ip数据报，然后源主机将ip数据报封装成相应的网络帧，传输给该网络路由器，路由器经过对帧的拆封，获得ip数据报，再根据报头包含的目的ip地址将数据包封装成下一节点网络相应的帧，转发给下一网络节点，直到到达目标网络主机。当数据道达目标主机后，tcp协议根据为数据分配的序号和数据片的校验和来检验数据的完整性和准确性，出错的数据片丢弃，并要求源进程重发该数据片，最后根据序号对数据片正确排序，这样就保证了数据传输的完整性和准确性。tcp/ip协议数据的传输基于tcp/ip协议的四层结构，数据在传输时每通过一层就要在数据上加个包头，其中的数据供接收端同一层协议使用，而在接收端，反方向的每经过一层要把用过的包头去掉，这样来保证传输数据的格式完全一致。具体传输过程如图1.3.1图1.3.1 tcp/ip数据传输模型（二）dhcp协议dhcp是动态分配主机协议的简称，是一个简化主机ip地址分配管理的tcp/ip标准协议。它的工作原理就是：每个基于tcp/ip协议的网络主机(host)都需要一个唯一确定的32位ip地址来与网络通信，如果每台主机的ip地址都用手工设定的话，工作量将是不可想象的，能不能让主机在启动时就被自动配置ip地址从而正常工作呢？这正是dhcp协议设计的初衷。一台配置了dhcp的主机启动时会强制发送一个有限地址广播(32位全为1的ip地址即255.255.255.255被称为有限广播地址，对此地址的广播称为有限地址广播或本地网络广播)。当本地网络中的dhcp服务器收到广播后，会根据收到的物理地址(physical address)在服务器上查找相应配置，并从划定的ip池中发送某个ip地址及附加选项(如租用到期时间等)给客户机，由于使用广播，没有中转的dhcp显然不能跨越子网，而且有可能一个客户机的信息被几个服务器响应，所以客户机总是回答最先收到的dhcp响应，收到响应后客户机还要发送一条注册消息，以告诉服务器该ip已被租用，以防止ip地址冲突。整个注册过程实际上是一套相当复杂的程序。双方要进行多次信息交换，才能最终注册成功。（三）netbeui协议netbeui协议是用来支持netbios网络客户的基础协议。netbeui协议占用系统资源少，使用网络主机名作为主机在网络上的标识，基本上不需要任何配置即可使用，同时快速而高效。但netbeui协议也有其局限性：由于netbeui协议在发布网络信息时，不包含网络号，所以该协议不能在网段间传输数据，这就决定了netbeui协议使用的局限性，不能利用该协议组建大型网络，不能进行局域网道广域网的连接；而且netbeui协议在使用中会产生大量的无用广播信息，占用网络资源，降低了网络的工作效率。（四）vlan简介vlan（virtuallocalareanetwork）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一方面，vlan建立在局域网交换机的基础之上；另一方面，vlan是局域交换网的灵魂。这是因为通过vlan用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。 vlan充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有vlan功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。vlan与普通局域网从原理上讲没有什么不同，但从用户使用和网络管理的角度来看，vlan与普通局域网最基本的差异体现在：vlan并不局限于某一网络或物理范围，vlan中的用户可以位于一个园区的任意位置，甚至位于不同的国家。vlan是建立在物理网络基础上的一种逻辑子网，因此建立vlan需要相应的支持vlan技术的网络设备。当网络中的不同vlan间进行相互通信时，需要路由的支持，这时就需要增加路由设备要实现路由功能，既可采用路由器，也可采用三层交换机来完成。使用vlan具有以下优点：1、控制广播风暴：采用vlan技术，可将某个交换端口划到某个vlan中，而一个vlan的广播风暴不会影响其它vlan的性能。2、提高网络整体安全性：通过路由访问列表和mac地址分配等vlan划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同vlan，从而提高交换式网络的整体性能和安全性。3、网络管理简单、直观：对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。而对于采用vlan技术的网络来说，一个vlan可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。在一个交换网络中，vlan提供了网段和机构的弹性组合机制。关于trunk方式trunk是独立于vlan的、将多条物理链路模拟为一条逻辑链路的vlan与vlan之间的连接方式。采用trunk方式不仅能够连接不同的vlan或跨越多个交换机的相同vlan，而且还能增加交换机间的物理连接带宽，增强网络设备间的冗余。由于在基于交换机的vlan划分当中，交换机的各端口分别属于各vlan段，如果将某一vlan端口用于网络设备间的级联，则该网络设备的其他vlan中的网络终端就无法与隶属于其他网络设备的vlan网络终端进行通信。有鉴于此，网络设备间的级联必须采用trunk方式，使得该端口不隶属于任何vlan，也就是说该端口所建成的网络设备间的级联链路是所有vlan进行通信的公用通道。三层交换技术 传统的路由器在网络中有路由转发、防火墙、隔离广播等作用，而在一个划分了vlan以后的网络中，逻辑上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上，不同vlan之间的通信数据量是很大的，这样，如果路由器要对每一个数据包都路由一次，随着网络上数据量的不断增大，路由器将不堪重负，路由器将成为整个网络运行的瓶颈。在这种情况下，出现了第三层交换技术，它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后，会产生一个mac地址与ip地址的映射表，当同样的数据流再次通过时，将根据此表直接从二层通过而不是再次路由，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率，消除了路由器可能产生的网络瓶颈问题。可见，三层交换机集路由与交换于一身，在交换机内部实现了路由，提高了网络的整体性能。在以三层交换机为核心的千兆网络中，为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性，可采用vlan技术进行虚拟网络划分。vlan子网隔离了广播风暴，对一些重要部门实施了安全保护；且当某一部门物理位置发生变化时，只需对交换机进行设置，就可以实现网络的重组，非常方便、快捷，同时节约了成本。（五）网络通信的相关硬件设备1、网卡 网卡是网络接口卡nic（network interface card）的简称，也称为网络适配器，它工作在osi参考模型的数据链路层，是计算机网络中必不可少的基本设备。网卡是局域网的接入设备，是单机与网络中其它计算机通信的桥梁，它为计算机之间的数据通信提供了物理连接。它的主要功能是对数据的打包和拆包处理，以及完成数据的传输和接收。网卡的接口常见的有rj-45接口、bnc接口、aui接口，目前应用比较多的是带rj-45接口的10m/100m自适应以太网卡。2、交换机 交换机是osi模型的数据链路层设备，可以把多个物理网段互联成为一个大型网络。交换机可以根据数据链路层的信息作出帧转发决策，同时构建自己的转发表，然后根据网络设备的mac地址将帧转发至该设备。常见的交换机类型有atm交换机、局域网交换机、广域网交换机等。3、路由器 路由器工作在osi参考模型的网络层，用以实现不同网络间的地址翻译，协议转换和数据格式转换，闲置无用的数据广播信息，提供安全性控制，判断网络地址和选择路径，在广播域之间提供容错。因此路由器可以用于连接多个结构上不同的网络（如lan与wan的互联），或者将一个大的冲突域分段，并支持不同段网络之间的通信，以保证网络资源的高效利用。4、调制解调器 传统意义上的调制解调器就是人们常说的“猫”，其功能是将信号在数字与模拟模式之间转换，以适应信号在公用电话网上的传输。它的传输速率很低，最高只能达到56kbps。通常我们可以将其应用在远程终端对企业网的访问应用中。5、传输介质 传输介质是通信网络中发送方和接收方之间的物理通路。计算机采用的传输介质可分为约束介质和自由介质两大类。如常见的双绞线、同轴电缆、光纤都属于约束介质，而像无线电通信、微波通信及红外通通信则属于自由介质。双绞线是目前局域网中使用频率最高的传输介质，分为屏蔽双绞线（stp）和非屏蔽双绞线（utp）两种，现实应用中非屏蔽双绞线使用较多。eia/tia将utp分为五类：cat-1至cat-5，在计算机网络中通常使用cat-3和cat-5。双绞线使用水晶头和网卡的rj-45接口相连结。同轴电缆分为粗缆和细缆两种，粗缆传输距离为500米左右，细缆传输距离为185米左右，使用t型头与网络设备相连接，现在已经使用较少。光纤是一种高效廉价的新型传输介质，它传输的是光信号，它的带宽很高，而且信号不易衰减和受到干扰，因而它的信号传输距离要比其他的约束介质长很多，已经越来越多地应用于实际工程中。无约束传输介质适合在野外及移动等特殊的场合，它的设备结构复杂，造价较高。（六）网络操作系统操作系统是计算机软件系统的核心，它的主要任务是管理系统资源，为用户提供系统服务。而网络操作系统，则不但要完成一般操作系统所要完成的任务，还要将整个网络资源作为一个整体来管理，实现网络资源的统一调度，统一管理，为用户访问管理网络资源提供一个标准的接口，使网络用户能够方便快捷地使用网络资源。目前比较常用的局域网操作系统有microsoft公司推出的windows系列，unix，和novell公司推出的netware系列。1、 unix操作系统unix操作系统是20世纪70年代初出现的一个多用户、多任务并行操作系统。由于它在内存管理、任务进程管理和用户权限管理方面的出色设计，使得其在使用时具有别的操作系统无法比拟的高安全性和高稳定性，能够在重负载环境下稳定的运行，再加上它与tcp/ip协议完美结合，成为大型网络首选的操作系统。但unix也有其缺点：版本众多，且相互之间不能兼容；对于硬件的兼容性不好；操作复杂、繁琐，人机界面的友好程度低，建立管理网络难度高等。2、 windows系列操作系统microsoft公司推出的windows系列操作系统有多个版本，到目前为止常用的有windows nt系列、windows 2000系列、windows xp系列等。windows nt系列包括windows nt workstation和windows nt server两种版本，分别应用于网络工作站和网络服务器。windows nt系列拥有windows系列产品一贯友好的用户界面，组网简单，系统内置了多种网络服务和协议，支持和多种其他类型的网络集成，而且由于它们使用了ntfs文件系统，使得其具有windows 9x系列无法比拟的高安全性。windows 2000系列包括windows 2000 professional和windows 2000 server两种版本，分别对应网络工作站和网络服务器。windows 2000系列是建立在windows nt架构上的，有着比以往windows操作系统更加友好的界面和更加强大的web功能。作为一个网络操作系统，尤其是服务器网络操作系统，系统的稳定性是非常重要的，与windows nt相比，windows 2000系列采用了很多新技术来保证其运行的稳定性：1、采用内核方式编写保护技术，将错误对系统和其他应用进程的影响降至最低。2、自带了完整的诊断工具，和系统及应用进程日志。3、windows系统文件保护技术。4、驱动程序电子证书技术。5、iis应用程序保护技术。windows 2000 server系列产品，界面友好，组网容易，功能强大，维护简单很容易利用它们构建网络服务，是架设大中型网络信息服务的首选平台。windows xp分为windows xp home edition和windows xp professional 两个版本，home edition专为家庭计算而设计。无论使用数字照片、音乐、视频，还是构建家庭网络，windows xp 的革命性设计都会轻松地将您带入数字时代。windows xp系统下，只需将数字摄像机连接到 pc（或者使用相应的硬件，如模拟相机），即可轻松拍摄、编辑、组织和共享家庭影片；而且还能迅速切换用户，家人或朋友可以共用一台计算机，无需关闭他人的应用程序或重新启动即可使用各自的帐户。3、netware操作系统netware操作系统是novell公司推出的一套网络操作系统，目前的最新版本为5.0。netware操作系统使用专用服务器来运行，大大提高了整个网络系统的运行效率。并且其还采用了三级容错技术sft，来确保其操作系统在错误发生时的稳定性，保证了服务器数据的安全。第二章 网络需求分析及系统设计原则一、现状及需求分析仙桃市是湖北省直属县级市，人口约148万，15个乡镇，城乡共有电信营业网点27个。为满足基本电信业务需求，仙桃市电信公司现已开通用于营业受理的九七网络系统、用于帐务处理的计费网络系统、用于营销管理的渠道支撑系统、网络资源管理系统和通过dcn接入到省公司的其他网络系统等。仙桃电信公司按地理位置及网络覆盖情况，可划分为五大部分：新大楼办公楼层部分、新大楼生产楼层部分、营销部、乡镇营业网点及网络中心；公司整个网络的所有网络硬件设备都集中放置在主大楼网络中心。目前，各个网络系统已经实现全面互通，并覆盖到主大楼各生产部门、营销部及各营业网点。公司网络现状拓扑结构图如2.2.1所示：图2.2.1 仙桃电信网络现状拓扑结构图现在，公司需要对现有的网络进行升级,将原先没有联网的办公楼层部分连入现有的网络中来，并将所有生产、营销、营业及办公微机互联，通过dcn连接到省公司“办公自动化服务器”，以实现“无纸化”办公，提高企业工作效率。同时还要将所有不同的网络（如九七网、计费网、渠道支撑网、资源管理网等）实现互通，并能够有控制的接入internet。新大楼办公楼层分布在五层，具体情况如下：第一层为市场拓展部、计划财务部、企业信息化部及总经理办公室，各部门现有人员共18人，另外楼层会议室预留1个信息点；第二层为公用电话部、公众客户部及总经理办公室，加上楼层会议室，共需要16个信息点；第三层为人力资源部、企业文化部、客户响应与资源管理部、网络维护部，带会议室一起，需要19个信息点；第四层为综合管理部、文印部、高级经理办公室级总经理办公室，加上楼层会议室，需要15个信息点。第五层为档案室、图书馆及大会议室，3个信息点即可满足现在的要求。在满足上述要求的同时还要考虑网络的安全性、稳定性和可扩展性等。二、网络系统的设计原则网络的设计对于网络的架设及建构在整个网络上的服务起着决定性的意义。首先根据企业的具体需求，作出网络功能需求分析，这是进行设计的具体要求；然后制定网络设计原则，这是以后进行具体设计的基本准则；最后根据实际情况，依据需求分析和设计的基本准则进行具体设计，以达到网络建设的目标。网络设计时应遵循以下原则：1、先进性原则：适应企业的发展特点及网络通信设备及技术的发展趋势，在主机选择，网络结构设计，网络设备配置，网络管理方式，应用开发方面具有一定的先进性。2、实用性原则：局域网系统的设计既要方便用户现有的流程习惯，又要体现除系统优化后的适用性和优越性。3、安全性和可靠性原则：在企业内有些部门对于数据信息的安全性要求较高，因此，要求办公网具有较高安全可靠性和较强容错性的能力。4、网络互联及开放性原则：在网络设计时，应尽可能的遵守国际标准，应用技术成熟、应用广泛的通信协议及接口标准。5、可扩充性原则：在设计网络时，应为用户以后的升级、扩充留有一定的空间。6、经济性原则：在一定资金的前提下，尽可能地建立一个高效完善的网络。第三章 系统总体方案设计一、网络的拓扑结构前面已经介绍过，根据仙桃电信公司网络覆盖情况和地理位置的分布情况，可以将网络划为五大部分：1、新大楼办公楼层部分2、新大楼生产楼层部分3、营销部4、乡镇营业网点部分5、网络中心部分本次建设目标是将新大楼办公楼层部分接入网络中心，以满足企业的需要。网络设计拓扑结构如图3.1.1所示：图3.1.1 仙桃电信网络拓扑结构图二、网络系统接入设计首先确定适合的局域网类型。前面已经介绍过，常见的局域网有以太网、令牌传输总线网、令牌环网、fddi光纤环网以及100vg-anylan等。然后确定局域网的网络分布架构，这与入网计算机的节点数量和网络分布情况直接相关。如果所建设的局域网在规模上是一个由数百台至上千台入网节点计算机组成的网络，在空间上跨越在一个园区的多个建筑物，则称这样的网络为大型局域网。对于大型局域网，通常在设计上将它组织成为核心层、分布层和接入层分别考虑。接入层节点直接连接用户计算机，它通常是一个部门或一个楼层的交换机；分布层的每个节点可以连接多个接入层节点，通常它是一个建筑物内连接多个楼层交换机或部门交换机的总交换机；核心层节点在逻辑上只有一个，它连接多个分布层交换机，通常是一个园区中连接多个建筑物的总交换机的核心网络设备。如果所建设的局域网在规模上是由几十台至几百台入网节点计算机组成的网络，在空间上分布在一座建筑物的多个楼层或多个部门，这样的网络称为中小型局域网。在设计上常常分为核心层和接入层两层考虑，接入层节点直接连接到核心层节点。有时也将核心层称为网络主干，将接入层称为网络分支。如果所建设的局域网是由空间上集中的几十台计算机构成的小型局域网，设计就相对简单许多，在逻辑上不用考虑分层，在物理上使用一组或一台交换机连接所有的入网节点即可。接着确定局域网的带宽。一般而言，百兆位以太网足能够满足网络数据流量不是很大的中小型局域网的需要。如果入网节点计算机的数量在百台以上且传输的信息量很大，或者准备在局域网上运行实时多媒体业务，建议选择千兆位以太网。目前在局域网建设中，由于以太网性能优良、价格低廉、升级和维护方便，通常都将它作为首选。由于公司接入网络的计算机只有200至300台，这里选择中小型局域网即能满足需求；但是由于公司日常生产、办公业务的传输流量较大，所以选择千兆位以太网。对于公司接入internet的需求，办公楼层部分可以使用adsl来实现，这样在保证一定带宽的前提下，提高了整体网络安全性；其他部分可以通过建立代理服务器，来实现工作站有控制的访问internet。三、internet接入（一）直接通过路由器访问internet资源的配置 1、总体思路和设备连接方法 一般情况下，单位内部的局域网都使用internet上的保留地址： 10.0.0.0/8：10.0.0.010.255.255.255 172.16.0.0/12：172.16.0.0172.31.255.255 192.168.0.0/16：192.168.0.0192.168.255.255 在常规情况下，单位内部的工作站在直接利用路由对外访问时，会因工作站使用的是互联网上的保留地址，而被路由器过滤掉，从而导致无法访问互联网资源。解决这一问题的办法是利用路由操作系统提供的nat（network address translation）地址转换功能，将内部网的私有地址转换成互联网上的合法地址，使得不具有合法ip地址的用户可以通过nat访问到外部internet。这样做的好处是无需配备代理服务器，减少投资，还可以节约合法ip地址，并提高了内部网络的安全性。 nat有两种类型：single模式和global模式。 使用nat的single模式，就像它的名字一样，可以将众多的本地局域网主机映射为一个internet地址。局域网内的所有主机对外部internet网络而言，都被看做一个internet用户。本地局域网内的主机继续使用本地地址。 使用nat的global模式，路由器的接口将众多的本地局域网主机映射为一定的internet地址范围（ip地址池）。当本地主机端口与internet上的主机连接时，ip地址池中的某个ip地址被自动分配给该本地主机，连接中断后动态分配的ip地址将被释放，释放的ip地址可被其他本地主机使用。 下面以我单位的网络环境为例，将配置方法及过程列示出来，供大家参考。 我单位利用联通光缆（v.35）接入internet的，路由器是cisco2610，局域网采用的是intel550百兆交换机，联通向我们提供了下列四个ip地址： 211.90.137.25（255.255.255.252） 用于本地路由器的广域网端口 211.90.137.26（255.255.255.252） 用于对方（联通）的端口 211.90.139.41（255.255.255.252） 供自己支配 211.90.139.42（255.255.255.252） 供自己支配 2、路由器的配置 （1）网络连接说明： 说明：校内所有的工作站都与交换机连接，路由器也通过以太口连接在内部交换机上，路由器上以太口使用内部私有地址，光纤的两端分别使用了联通分配的两个有效ip地址。在这种连接方式下，只要在路由器内部设置nat，便可以使得单位内部的所有工作站访问internte了，在每台工作站上只需设置网关指向路由器的以太口（192.168.0.3）即可上网，无需设代理，并节省了两个有效ip地址可供自己自由支配（如建立单位自已的web和e-mail服务器）。但也存在缺点：不能享受代理服务器提供的cache服务来提高访问速度。所以本配置方案适合工作站数量较少的单位，对于单位内部工作站数量较多的情况可以使用后面介绍的两种方法。路由器上具体配置如下： （2）路由器的配置 en config t ip nat pool c2610 211.90.139.41 211.90.139.42 netmask 255.255.255.252 (定义一个地址池c2601，其内包含了两个空闲的合法ip地址，供nat转换时使用) int e0/0 ip address 192.168.0.3 255.255.255.0 ip nat inside exit （设置以太口的ip地址，并设置其为连接内部网的端口） interface s0/0 ip address 211.90.137.25 255.255.255.252 ip nat outside exit （设置广域网端口的ip地址，并设置其为连接外部网的端口） ip route 0.0.0.0 0.0.0.0 211.90.137.26 （设置动态路由） access-list 2 permit 192.168.0.1 0.0.0.255 （建立访问控制列表） ! dynamic nat ! ip nat inside source list 2 pool c2610 overload （建立动态地址翻译） line console 0 exec-timeout 0 0 ! line vty 0 4 end wr (保存所作的设置) 3、工作站的配置要求使用静态ip地址，在tcp/ip属性中进行设置，并设置关网为192.168.0.3（路由器以太口ip地址），设置dns为接入商提供的地址，浏览器等上网工具中无需作任何特殊设置。 （二）通过代理服务器访问internet资源的配置 1、总体的思路和设备连接方法 利用代理服务器方式访问internet资源，优点是可以利用代理服务器提供的cache服务来提高internet的访问速度和效率。比较适合工作站较多的单位使用。缺点是需要专门配备一台计算机作为代理服务器，增加了投资成本；且较第一种法方还需多占用两个合法ip地址，网络安全性不高。 采用这种方案来访问互联网，设备连接方法如下： 代理服务器上安装两块网卡，一块连接内部网，设置内部私有地址；另一块连接路由器以太口，设置联通分配的合法地址（211.90.139.42），并设置其网关为211.90.139.41（路由器以太口），路由器以太口也设置联通分配的合法ip地址（211.90.139.41） 。这样，将设备连接好后，在代理服务器上安装代理软件，并在工作站上设置代理即可访问internet。 2、路由器的配置（1）网络连接说明： 单位内的所有计算机通过交换机直接与代理服务器上的内部网网卡（192.168.0.4）通讯，然后在代理服务软件的控制之下经过路由器访问internet。 （2）路由器的配置 en config t int e0/0 ip address 211.90.139.41 255.255.255.252 exit （设置以太口的ip地址） interface s0/0 ip address 211.90.137.25 255.255.255.252 exit （设置广域网端口的ip地址） ip route 0.0.0.0 0.0.0.0 211.90.137.26 ip routing （设置动态路由,并激活路由） end wr (保存所作的设置) 3、代理服务器的设置 代理服务器必须按装两块网卡，一块用于连接内部局域网，设ip地址为内部私有地址（如：192.168.0.4 netmask 255.255.255.0）无需设网关。另一块用于连接路由器，设置联通分配的合法地址（211.90.139.42 netmask 255.255.255.252），并设置其网关为：211.90.139.41(路由器以太口)。 按照上面的方法设置好网卡后，再安装一套代理软件即可。（如：ms proxy server 2.0、wingate等，代理软件的安装调试方法请参阅其它资料） 4、工作站的设置 （1）internet explorer设置 工具菜单-internet选项-连接-局域网设置-使用代理服务器-地址:192.168.0.4端口:80-确定 （2）其他软件的设置参阅软件说明。 （三）直接访问与代理访问并存的配置 1、总体思路和设备连接方法通过上面介绍的两种方法进行配置，都能顺利地实现internet的访问，但每种方法即有优点，又存在一定的缺点，且两种方法的优点是互补的。哪能不能将两种方法的优点合二为一，方法三就是一种鱼和熊掌能够兼得的方案。集成了一、二两种方法的优点，即节省了ip地址，又能通过代理服务器提供的cache来提高internet的访问效率。 采用这种方案来访问互联网，设备连接方法如下： 代理服务器上安装两块网卡，两块网卡均连接在交换机上，在设置ip地址时，两块网卡均设置内部私有地址，但这两个地址应不属于一个网络（即ip地址的网络地址不同），一块用于与内部网通信（网卡1），一块用于与路由器通信（网卡2），否则代理无法实现。 在代理服务器上不要安装netbeui协议，仅安装tcp/ip协议。（注意：这一步必须要做，否则会因为代理服务器与交换机之间连接线路冗余而导致代理服务器netbios计算机名冲突而影响正常通信）。 路由器以太口也设置一个内部私有地址，该地址因与网卡2的地址在同一个网络（即ip地址的网络地址与网卡2相同）。 2、路由器的设置 en config t ip nat pool c2610 211.90.139.41 211.90.139.42 netmask 255.255.255.252 (定义一个地址池c2601，其内包含了两个空闲的合法ip地址，供nat转换时使用) int e0/0 ip address 192.168.1.1 255.255.255.0 ip nat inside exit （设置以太口的ip地址，并设置其为连接内部网的端口） interface s0/0 ip address 211.90.137.25 255.255.255.252 ip nat outside exit （设置广域网端口的ip地址，并设置其为连接外部网的端口） ip route 0.0.0.0 0.0.0.0 211.90.137.26 （设置动态路由） access-list 2 permit 192.168.0.1 0.0.0.255 （建立访问控制列表） ! dynamic nat ! ip nat inside source list 2 pool c2610 overload （建立动态地址翻译） line console 0 exec-timeout 0 0 ! line vty 0 4 end wr (保存所作的设置) 3、代理服务器的设置 代理服务器上安装两块网卡，两块网卡均连接在交换机上，网卡1设ip地址为：192.168.0.4，不设网关；网卡2设ip地址为：192.168.1.2，设其网关为192.168.1.1（路由器以太口）。 按照上面的方法设置好网卡后，再安装一套代理软件即可。（如：ms proxy server 2.0、wingate等，代理软件的安装调试方法请参阅其它资料）。 注意：在安装代理软件时（以ms-proxy 2.0为例），在指定lat表时，应将地址范围192.168.0.0-192.168.255.255排除在外，否则代理无法正常工作。 4、工作站的设置 在这种配置之下，工作站既可以通过设置代理上网，也可以通过设置网关直接上网。 若只通过代理上网，设置方法与方法二完全一致。 若只通过网关上网，要求工作站必须设置静态ip地址，ip地址应设为192.168.1.x，与路由器以太口在同一个网段，并设置网关为：192.168.1.1，设置dns为接入商提供的地址。 若想两种方法并存，则需要在tcp/ip中设置两个静态ip地址：192.168.0.x和192.168.1.x，并设置网关为：192.168.1.1 ，dns为接入商提供的地址。使用时只需在浏览器等软件中打开或关闭代理设置即可在代理与网关上网之间进行切换。 四、网络设备选型在确定了局域网的类型、分布构架和带宽后，就可以依据实际需要选择网络设备的类型。网络核心层设备选择具备第3层交换功能的高性能主干交换机；为了使局域网主干具备高可靠性和可用性，还应该考虑核心交换机的冗余与热备份方案设计。分布层或接入层的网络设备类型，选择普通交换机即可，交换机的性能和数量由入网计算机的数量和网络拓扑结构决定。办公端机在配置上要求都不高，选用性价比和品牌服