网络工程企业局域网毕业设计

I 摘要 本设计方案是关于小型企业局域网的设计，设计方案分为 两 个模块：交换模块 和路由器 模块。 根据各部门职能 不同 把交换模块划分为不同的 两个 而减少了广播冲突提高了传输效率，通过部署 制用户的访问，有效地保护敏感数据，提高了网络安全性。借助交换机的路由功能，可以实现各 数据包高速转发，解决 间的传输瓶颈。 入功能主要通过路由器来实现，它的作用主要是建立外网和企业网的正常通信。使企业网的用户访问 时 户能在一定程度上访问企业网。通过配置 不仅是企业网用户可以访问 且对 外隐藏企业网内部地址，从而实现地址保护。 交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。目前交换机还具备了一些新的功能，如对 拟局域网）的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能 ，极大地提高了办公效 率，同时免去了高昂的专线租用费用。 关键字 ：企业局域网、 分 、网络地址转换 、访问控制 is of is to of to is to by CL is to to at to to is is he of as or of at 录 摘要 . I . 录 . 言 . 1 第一章 技术可行性和需求分析 . 3 术可行性 . 3 术 . 3 术 . 5 术 . 5 术 . 6 议 . 7 术 . 7 术 . 8 态 /静态路由协议 . 9 求分析 . 10 宽性能需求 . 10 络安全需求 . 10 用服务需求 . 10 计所需环境 . 11 件要求 . 11 第二章 系统设计方案 . 12 V 统设计原则 . 12 用性 . 12 全性 . 12 扩充性 . 12 管理性 . 13 性能价格比 . 13 络设备选型 . 13 统总体设计和拓扑 结构 . 14 统总体设计方案 . 15 设备的 址配置 . 16 第三章 路由器模块 . 18 由器配置 . 18 P 地址配置 . 18 务器的配置 . 22 置设备的远程登录和密码保护及 . 24 置设备的远程登录和密码保护 . 24 配置 . 24 由协议 . 26 议 . 26 议 . 27 议验证 . 28 置 . 29 第四章 交换机模块 . 31 换机基本参数配置 . 31 配置 . 31 配置 . 32 置 议 . 33 配置 . 33 配置 . 34 证 置 . 35 分 . 35 换机 置 . 35 置 路由 . 37 置 议 . 39 置 . 42 第五章 配置验证 . 44 动分配验证 . 44 由协议配置检验 . 44 验证 . 45 总结 . 48 参考文献 . 49 致谢 . 50 1 前言 信息化浪潮风起云涌的今天，企业的业务已经全面电子化，与 联系相当紧密，所以他们需要良好的信息平台去支撑业 务的高速发展。没有信息技术背景的企业也将会对网络建设有主动诉求。任何决策的科学性和可靠性都是以信息为基础的，信息和决策是同一管理过程中的两个方面，因此行业信息化也就成了人们所讨论并实践着的重要课题。公司内部网络的建设已经成为提升企业核心竞争力的关键因素。公司网已经越来越多地被人们提到，利用网络技术，现代企业可以在客户、合作伙伴、员工之间实现优化的信息沟通，公司网络的优劣直接关系到公司能否获 得关键的竞争优势。众多行业巨擘纷纷上马各种应用方案且取得了巨大的成功，这使信息化建设更具吸引力。 在现在企业中，普遍存在 资金不足、信息基础薄弱、技术人员匮乏等特点，使得他们不能有效地将自身传统业务与信息系统很好的结合起来，以至于常常会出现投入不见效的情况。究其原因，在于企业信息化观念不够，信息系统没有总体设计原则，信息化建设缺乏规划，致使企业协同运作存在障碍，运营成本居高不下。作为企业的局域网，它不仅可以为企业提供高效的办公环境，还可以实现硬件资源和软件资源的共享从而节省了企业大量开支，又便于集中管理和提高工作效率。其次企业局域网要实现内部网络与外部网络的连接，从而极大的方便了企业和外界的沟通，这样不仅可以降低企业的生产成本 ，也可以实现异地办公。企业用户可以方便地传输各类数据，开展各类网络应用。 随着我国计算机网络技术尤其是 术的高速发展，加快对企业局域网建设迫在眉睫。因此构建一个“安全可靠、性能卓越、管理方便”的企业局域网，已经成为企业信息化建设成功的关键基石。 2 本课题的设计需要综合运用各种知识来完成本课题，不仅可以使我进一步掌握计算机网络原理、熟悉企业局域网的设计搭建，而且可以增强了我的自学能力和动手能力。 3 第一章 技术可行性 和需求分析 术可行性 术 随着 迅速发展， 址短缺已经成为一个十分突出的问题。为了解决这个问题，出现了多种解决方案，而 络地址转换）是目前网络环境中比较有效的方法。 1）什么是 供了连接互联网的一种简单方式，并且通过隐藏内部网络地址的手段为用户提供了安全保护。内部用户连接互联网时， 用户的内部网络 址转换成一个外部公共 址，并在 址转换表中记录下这个转换项；当外部网络数据返回时， 术查 询 址转换项，将目标 址替换成初始的内部用户的 址，报数据包转发给内部网络用户。由于这样对外隐藏了内部网络的 址，因此，外部用户无法直接发起到内部网络的连接，从而保护了内部网络用户。 2） 优点和缺点 （ 1） 优点 省了公共地址：一个企业申请的合法 址很少，而内部网络用户很多，可以通过 能实现多个用户同时公用一个合法 址与外部网络进行通信。 许内部网络编址的一致性 ：如果一个单位没有使用私有地址和 4 当公有地址发生变化时，要改变公司内的所有主机 址，工作量巨大。如果采用了 更改 备的 址池配置，内部网络的编址不受影响。这意味着，一个单位可以更换 不需要改变 内部主机的 址。 加了连接到公网的弹性：可以使用多地址池、备份池、负载均衡池，确保可靠的公网连接。 高了内部网络的安全：一个企业不想让外部网络用户知道自己内部网络的结构，可以通过 内部网络与外部 离开，则外部用户根本不知道通过 内部 址。 然能提高内部网络的安全，但无法取代防火墙。 （ 2） 缺点 响性能：转换每一个包头中的 址需要时间， 加了交换延时。路由器必须检查每一个包来决定是否需要转换，路由器需要转换 ，有时还需要转换 部。 乏对一些应用的支持：很多 议和应用依赖于端到端的应用，包从源到目的地不能被修改。通过修改端到端的地址， 止了一些应用，比如一些安全应用，如数字签名就会失败，因为数据包中源 址发生了变化。 利于追踪：经过多次 到端的追踪变得非常困难。另外，因为存在，也很难追踪或获得黑客使用的真是 址。 一些隧道协议变得复杂：因为 改了包头中的值，给 其他隧道协议的完整性带来困难。 5 术 虚拟局域网 ）是对连接到的 第二层交换机 端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行 网络分段 。一个 以在一个交换机或者跨交换机实现。 以根据网络用户的位置、作用、部门或者根据网络用户所使用的 应用程序 和协议来进行分组。基于交换机的 虚拟局域网 能够为局域网解决 冲突域 、 广播域 、 带宽 问题。 传统的共享介质的 以太网 和交换式的以太网中，所有的用户在同一个 广播域 中，会引起网络性能的下降，浪费可贵的带宽；而且对 广播风暴 的控制和网络安全只能在第三层的 路由器 上实现。 当于 考模型 的第二层的 广播域 ，能够将 广播风暴控制 在一个部，划分 ，由于广播域的缩小，网络中 广播包 消耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的 间的数据传输是通过第三层（ 网络层 ）的路由来实现的，因此使用 术，结合 数据链路层 和网络层的交换设备可搭建安全可靠的网络。 网络管理员 通过控制 交换机 的每一个端口来控制网络用户对 网络资源 的访问，同时 第三层第四层的交换结合使用能够为网络提供较好的安全措施。 另外， 有灵活性和 可 扩张性等特点，方便于 网络维护 和管理，这两个特点正是现代局域网设计必须实现的两个基本目标，在局域网中有效利用 虚拟局域网 技术能够提高网络运行效率。 术 态 主机 配置协议）缩写，它的前身是 本是用于无磁盘 主机 连接的网络上面的：网络主机使用 不是磁盘启动并连接上网络， 可以自动地为那些主机设定 P 环境。但 一个缺点：您在设定前须事先获得 客户端 的硬件地址，而且与 对应是静态的。换而言之， 常缺乏 动态性 ， 6 若在有限的 源环境中， 一一对应会造成非常严重的资源浪费。 以说是 增强版本，它分为两个部份：一个是 服务器 端，而另一个是客户端 。所有的 络设定数据都由 务器 集中管理，并负责处理 客户端 的 求；而客户端则会使用从 服务器 分配下来的 用 个计算机的配置文件都可以在一条信息中获得（除了 址，服务器可以同时发送 子网掩码 、 缺省网关 、 其他的 比较起 过 租约 的概念，有效且动态的分配 客户端 的 P 设定，而且，作为兼容考虑， 完全照顾了 需求。 分配形式 首先，必须至少有一台 务器 工作在网络上面，它会监听网络的 求，并与客户端磋商 P 的设定环境。 术 访问控制列表 （ 是 路由器 和 交换机 接口的指令列表，用来 控制端口 进出的数据包。 用于所有的 被路由协议 ，如 。这张表中包含了匹配 关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种 访问 进行控制。 以用作控制和过滤流经路由器端口的数据包的工具。通过使用 由器提供了基本的数据流过滤能力。 有下列作用： 1）限制网络流量，提高网络性能 2） 提供数据流控制 3）为网络访问提供基本的安全层 4）决定转发或者阻止哪些类型的数据流 7 议 点对点协议（ 在点对点连接上传输多协议数据包提供了一个标准方法。 初设计是为两个对等节点之间的 量传输提供一种封装协议。在 议集中它是一种用来同步调制连接的数据链路层协议（ 式中的第二层），替代了原来非标准的第二层协议，即 了 外 可以携带其它协议，包括 包交换（ 术 它是一个 考模型 第二层的 通信协议 ，主要用于管理在同一个域的网络范围内 建立 、删除和 重命名 。在一台 配置一个新的，该 配置信息将自动传播到本域内的其他所有 交换机 。这些 交换机 会自动地接收这些配置信息，使其 配置与 持一致，从而减少在多台设备上配置同一个 息的工作量，而且保持了 置的统一性。 过网络 (或 有 )保持 置统一性。 系统级管理增加，删除，调整的 动地将信息向网络中其它的 交换机 广播。此外， 小了那些可能导致安全问题的配置。便于管理 ,只要在 相应设置 ,自动学习 的 息 * 当使用多重名字 变成交叉 * 当它们是 错误 地映射在一个和其它 局域网 ， 变成内部断开。 三种工作模式： 交换机 出厂时的默认配置是预配置为 式为服务器。 一般，一个 的整个网络只设一个 护该 中所有 息列表， 以建立、删除或修改 送并转发相关的通告信息，同步 置，会把配置保存在 。 然也维护所有 信息列表，但其 配置信息是从 到的， 能建立、删除或修改 可以转发通告，同步 置，不保存配置到 当于是一项独立的 交换机 ，它不参与 作，不从习 配置信息，而只拥有本设备上自己维护的 息。以建立、删除和修改本机上的 息，同时会转发通告并把配置保存到 。 术 生成树协议的英文缩写。该协议可应用于在网络中建立树形拓扑，消除网络中的环路，并且可以通过一定的方法实现路径冗余，但不是一定可以实现路径冗余。生成树协议适合所有厂商的网络设备，在配置上和体现功能强度上有所差别，但是在原理和应用效果是一致的。 基本原理是，通过在交换机 之间传递一种特殊的协议报文，网桥协议数据单元（ 称 来确定网络的拓扑结构。两种，配置 者是用于计算无环的生成树的，后者则是用于在二层网络拓扑发生变化时产生用来缩短 默认的 300s 缩短为 15s）。 档中定义。该协议的原理是按照树的结构来构造网络拓扑，消除网络中的环路，避免 由于环路的存在而造成广播风暴问题。 基本思想就是按照 树 的结构构造网络的拓扑结构，树的根是一个称为根桥的桥设备，根桥的确立是由交换机或网桥的D）确定的， 小的设备成为二层网络中的根桥。 是由网桥优先级和 址构成，不同厂商的设备的网桥优先级的字节个数可能不同。由根桥开始，逐级形成一棵树，根桥定时发送配置 根桥接收配置新最佳 转发。这里的最佳 的是当前根桥所发送的 9 如 果接收到了下级 接入的设备会发送 该设备的 当前根桥大），接收到该下级 告知其当前网络中根桥；如果接收到的 优，将会重新计算 生成树 拓扑。当非根桥在离上一次接收到最佳 长寿命（ 认 20s）后还没有接收到最佳 时候，该端口将进入监听状态，该设备将产生 从根端口转发出去，从指定端口接收到 上级设备将发送确认，然后再向上级设备发送 过程持续 到根桥为止，然后根桥在其后发送的配置 络中的所有设备接收到后将 00s 缩短为 15s。整个收敛的时间为 50s 左右。 态 /静态路由协议 静态路由是指需要由网络管理员手工配置路由信息。当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。使用静态 路由的另一个好处是网络安全保密性高。动态路由因为需 要路由器之间频繁地交换各自的路由表，而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。大型和复杂的网络环境通常不宜采用静态路由。一方面，网络管理员难以全面地了解整个网络的拓扑结构；另一方面，当网络的拓扑结构和链路状态发生变化时，路由器中的静态路由信息需要大范围地调整，这一工作的难度和 复杂程度非常高。 10 求分析 宽性能需求 现代企业网络应该有更高的带宽 ,更强大的性能 ,以满足日益增长的通信需求的用户。与计算机技术的快速发展 ,越来越多的基于网络的各种应用中 ,今天的企业网络已经发展成为一个多功能无记名平台 ,不仅要继续把办公自动化、网络浏览以及其他数据服务 ,但也携带的各种业务应用系统设计生产数据 ,以及带宽和要求 话、视频会议和其他多媒体服务。因此 ,数据流将大大增加 ,特别是提出了更高的要求 ,数据交换能力的核心网络。此外 ,随着成本的持续下降 ,千兆的千兆端口桌面应用程序将在不久的将来成为主流的企业网络。建立一个无障碍的 “ 高品质 ” 的企业局 域网 ,扩大网络适应需求不断增长的营业额 。 络安全需求 现代企业网络将需要提供更好的网络安全解决方案，以防止病毒和黑客的攻击，减少经济损失。传统企业的网络安全主要是通过部署防火墙， 病毒软件，交换机或路由器的 协调防御病毒和黑客攻击。现代企业网络在企业网络已经成为公司业务的重要组成部分，必须有一组病毒从用户接入控制，报文识别到主动抑制的一系列安全控制措施，从而确保稳定运行企业网络 。 用服务需求 现代企业网络应该有一个更智能的网络管理解决方案 ,以满足网络大小增加的维护工作更复杂的需求。目前的网络已经发展成为 “ 以应用程序为中心的 ”信息基础设施平台、网 络管理能力的需求已经上升到业务层面 ,传统的网络设备的情报没有有效地支持发展网络管理的需要。现代企业网络迫切需要一个网络 11 设备支持 “ 以应用程序为中心的 “ 智能网络操作和维护 ,和一组智能管理软件 ,网络管理人员从繁重的工作释放 。 计所需环境 件要求 操作系统 003/,以达到和容易使用可以起到有效的目的。成熟的技术和产品系统的建设。能够兼容现有系统的新系统 ,以保持连续性和可用的资源。该系统是安全可靠的。非常容易使用 ,并不需要太多的培训可以容易使用和维护 。 全性 使用各种有效的安全措施 ,确保安全运行的网络系统和应用程序。安全包括四个层次 :网络安全、操作系统安全、数据库安全、应用系统安全。由于互联网的开放性 ,世界各地的网络用户可以访问公司网络、企业网络防火墙、数据加密技术 ,以防止非法入侵 ,防止窃听和篡改数据和路由信息安全保护 ,确保安全。磁带备份系统 ,建立系统和数据库 。 扩充性 符合国际和国内行业标准协议和接口 ,因此 ,企业网络具有良好的开放 ,容易与其他网络互连和信息资源。的增加及不同层次的网络节点和子网。一般包括开放标准的原则、技术、结构、系统组件和用户界面。必须根据实际的使用先进的成熟技 术 ,购买先进水平的计算机网络系统和设备。随着不断变化的计算机技术和计算机网络技术的快速发展 ,网络系统的规模可伸缩性已经十分重要 ,所以考虑可伸缩性的网络系统是非常重要的 。 13 管理性 充分考虑网络的设计未来网络管理和维护 ,操作方便 ,维护容易的选择网络操作系统 ,大大减少了负担的管理和维护的网络运营商。使用智能网络管理 ,减少运营成本和维护的网络 。 性能价格比 日益进步的新技术和特定情况下 ,开发具有成本效益的解决方案来满足需求的基础上 ,充分保障了 企业 的经济效益。坚持经济原则 ,努力做更多的事情 ,钱最少的 ,为了获得最大 的利益 。 络设备选型 本次设计均根据 拟器完成，所有设备均采用模拟器内含设备。 表 3络设备选型 型号 及数量 价格（单位：元） 说明 841 四台 3700/台 集成多业务路由器能够以线速提供 安全的数据访问应用，从而为中小企业和小型分支机构提供全套功能和灵活性，以便实现安全的互联网和内部网接入 台 4000/台 用于接入层交换机，具有 24 14 个以太网 10/100 端口 2 个以太网 10/100/1000 端口 统总体设计和拓扑结构 对于一个 大中型 企业局域网，通常在设计上将 网络分 为核心层、汇聚层 和接入层分别考虑。接入层节点直接连接用户计算机，它通常是一个部门或者一个楼层的交换机；汇聚层交换机的每个节点可以连接多个接入层节点，它通常是一个建筑物内部连接多个楼层交换机或者部门交换机的总交换机；核心层交换机节点连接多个汇聚层交换机，通常是企业中连接多个建筑物的总交换机的核心网络设备。 1、核心层 核心层的功能主要是实现骨干网络之间的优化传输，复杂整个网络的网内数据交换。网络的功能控制最好尽量在骨干层上实施，核心层设计 任务的重点是冗余能力、可靠性和高速传输。核心层一直被认为流量的最终承受着和汇聚者，所以要求核心交换机拥有较高的可靠性和性能。 2、汇聚层 汇聚层主要负责连接接入层节点和核心层，汇聚分散的接入点，扩大核心设备的端口密度和种类，汇聚各区域数据流量，实现骨干网络之间的优化传输。汇聚层交换机还负责本区域的数据交换，汇聚层交换机一般与中心交换机同类型，仍需较高的性能和较丰富功能。 3、接入层 15 接入层交换机作为二层交换网络设备，提供功能工作站等设备的网络接入。接入层在整个网络中接入交换机的数据最多，具有即插即用的特性。 对于此类交换机要求，一是价格合理；二是可管理性号，易于使用维护；三是稳定性要好。 统总体设计方案 本 次设计为小型 企业局域网， 对网络进行简化，并未采用三层结构， 重点放在网络主干的设计与路由器交换机的配置上，同时还有 划分， 议的使用、 议的配置、动态 /静态路由协议的配置、 配置、 配置、 配置及 应用。 图 2企业局域网总体拓扑结构