设计报告中等企业网络规划.docx

网络设备互联 课程设计报告题 目： 中等企业网络规划 学生姓名： 吴 慧 学 号： 201117030237 专业班级： 网络工程专业11102班 同组姓名:田成局、王晓星、郭倩、陈蓉、邓治明、孙科指导教师： 贺玉才 设计时间： 2014年上学年第18周 指导老师意见：评定成绩： 签名： 日期： 年 月 日 目 录摘 要2一、需求分析31.1用户需求31.2设备需求4二、逻辑设计52.1逻辑设计的基本思想52.2系统的基本设计思想和设计原则52.3逻辑设计技术要点52.3.1支持vlan52.3.2负载均衡62.4网络技术的使用原则62.5网络拓扑结构图7三、网络技术应用83.1vlan技术8四、网络安全设计104.1防火墙系统10五、连通测试11六、心得体会12七、参考文献13八、附录13摘 要随着信息技术的快速发展，中型商用企业的业务将进一步的电子化，与internet的联系将更加紧密。他们也需要信息基础平台去支撑业务高速发展。这样没有信息技术背景的企业也将会对网络建设有主动诉求。任何决策的科学性和可靠性都是以信息为基础的，信息和决策是同一管理过程中的两个方面，因此行业信息化也就成了人们所讨论并实践着的重要课题，众多行业巨擘纷纷上马各种应用方案且取得了巨大的成功，使信息化建设更具吸引力。相对于大型应用群体而言，中型企业的信息化建设工程通常有规模较小，结构简单的特点，综合资金投入、专业人才以及未来发展等因素，网络的实用性、安全性与拓展性（升级改造能力）是中小企业实现信息化建设的主要要求，因此，成本低廉、操作简易、便于维护并能满足业务运作需要的网络办公环境是这一领域的真正需求。针对绝大多数中型企业集中办公这一现实特点，我们设计的中型企业信息化常用解决方案，能够较好地发挥企业网的使用效果和水平，具有很强的代表性。关键字：中型企业、网络建设、vlan技术一、 需求分析选择一家中规模的网络， 首先要选择一家中规模的网络，通过实地调查等形式了解企业的组织结构、网络建设的背景，明确网络需求和网络性能的评价标准。具体地，包括网络建设的目的与原则、投资规模、现有网络的问题与不足等；网络系统中所包含的信息点的数量、分布及信息流量、应用程序的类型及对qos的要求、是否需要提供广域网接入和网络安全上的考虑因素等。1.1用户需求某中型企业总部由5栋搂组成，并在外地有两个办事处。总部需求：1.管理办公搂（三层）1栋：每层8间办公室，一楼为销售部，二搂为工程部，每个房间布设8个信息点。三楼有三间厂长办公室，每间布设两个信息点；一间会议室布设4个信息点。一间网络机房布设20个信息点，安装www服务器一台用来对外发布产品信息，安装一台电子邮件服务器，企业管理服务器两台（一台为备份服务器），vpn设备一台，防火墙一台，广域网接入路由器一台，内部核心交换机一台。2.生产车间三栋，均为大面积单层厂房：每栋布设20个信息点，安装企业管理服务器一台，并配备无线局域网3.库房1栋（二层）：每层布设信息点4个，安装企业管理服务器一台。应用系统支持：总部与外地办事处均用vpn设备连接，组成虚拟局域网。总部通过接入路由器接入internet。需安装企业管理软件系统，有较高级别的网络安全需求，配备必要的管理软件对内部主机上网行为进行管理。在本项目中所要搭建的网络是一个先进的、高效的、安全的、可靠的、实用的现代化网络，所以网络系统应达到以下要求：（1）先进性：采用的系统结构应当是先进的、开放的体系结构；采用的设备、技术应当是业界先进的；采用先进的现代管理技术，以保证系统的科学性。（2）开放性：网络要具有良好的开放性，和其他网络有很好的互连性。（3）高可靠性：应采用成熟的先进技术，关键部件要有足够的备份冗余，网络结局要具备必要的容错能力。（4）安全性：网络的各个环节要尽可能多的提供安全保密措施，来保证网络的性能。（5）可扩展性：产品选型和设计时要考虑已经能预见升级方向，提供的扩展方案要保护现有设备投资。（6）实用性：对安全、管理和功能等方面的设计不应损害用户使用网络的便利性，不降低用户网络的业务服务质量和通讯性能，网络功能和服务是方便实用、切实可行的。（7）可管理性：网络的建设必须保证网络运络拓扑、实时监控网络性能、管理维护设备配置，并可迅速简便地进行网络故障的诊断。整个网络系统必须满足便于安装、便于管理、便于维护、便于使用的要求。（8）经济性：在满足系统需求的前提下，节省投资，即选用性能价格比优的设备。1.2设备需求vpn设备1台，路由器2台，三层交换机2台，二层交换机4台，www服务器1台，电子邮件服务器1台，企业管理服务器2台，pc若干；为了达到本网络的需求，本网络选择先进的设备以供使用。目的达到以下要求：1.可靠性由于升级的往往是核心和骨干网络，其重要性不言而喻，一旦瘫痪则影响巨大。2.可管理性一个大型网络可管理程度的高低直接影响着运行成本和业务质量。因此，所有的节点都应是可网管的，而且需要有一个强有力且简洁的网络管理系统，能够对网络的业务流量、运行状况等进行全方位的监控和管理。3.安全性随着网络的普及和发展，各种各样的攻击也在威胁着网络的安全。不仅仅是接入交换机，骨干层次的交换机也应考虑到安全防范的问题，例如访问控制、带宽控制等，从而有效控制不良业务对整个骨干网络的侵害。4.qos控制能力随着网络上多媒体业务流（如语音、视频等）越来越多，人们对核心交换节点提出了更高的要求，不仅要能进行一般的线速交换，还要能根据不同的业务流的特点，对它们的优先级和带宽进行有效的控制，从而保证重要业务和时间敏感业务的顺畅。5.标准性和开放性由于网络往往是一个具有多种厂商设备的环境，因此，所选择的设备必须能够支持业界通用的开放标准和协议，以便能够和其他厂商的设备有效地互通。二、 逻辑设计2.1逻辑设计的基本思想以先进的成熟的网络应用技术设计和规划构建一公司网络系统；从实际出发，正确地规划和设计的计算机网络。为企业实现数据共享、资源共享，提供稳定的信息交换和网络系统服务平台。2.2系统的基本设计思想和设计原则组建一个完备的计算机网络并非易事。有诸多相关问题需要考虑。如所建立的网络能否满足当前业务应用需求；是否能满足今后业务增长需要；若新增硬件和软件是否能方便地接入网络；采用什么样的网络结构形式与网络技术；选择什么样的硬件服务平台和软件服务平台；选择什么样的数据库系统才能使网络系统运行稳定、可靠、安全、易于管理；网络建成后的生命周期有多长等等。当然还要考虑当前的有效投入；如何保护投资效益；尽量节省开支；如何充分发挥现有设备的作用与功能等等诸多方面的问题。总之，正确的系统设计思想和设计原则必须来自于对现有组网条件和实际业务需求的理智分析和研究。2.3逻辑设计技术要点2.3.1支持vlan有人说过，“网路交换技术的灵魂是vlan”，因为vlan能带来诸如广播控制、网路安全、性能提高、管理容易等优点。vlan划分的技术通常有如下三种方式：port basis:交换机或路由器的一个或多个端口划分在一个vlan之中。这种技术又称为segment_based vlan。network address basis:这种方式是以网络层的地址为划分vlan的基础，由此可用不同的网路协议划分不同的vlan。user_defined basis:这种方式更灵活，既可按网路协议划分vlan，又可按mac地址划分vlan。2.3.2负载均衡与lan相比，广域网带宽远小于lan，为了充分有效地利用广域网和局域网的带宽，让数据流合理地分配到2条线路或两台设备上，是保证该网能成为高速数据传输网络的关键。2.4网络技术的使用原则选用的网络技术要具有先进性。但也要注意实用成熟和安全可靠。要防止出现网络刚刚建成技术就已落后的情况。同时也要注意防止由于技术过于先进，国内外还没有人用过或应用甚少，使得出现问题难以解决。网络结构、网络硬件平台、软件平台、开发工具、应用软件都应选择具有较长的生命周期，保护用户的投资效益。1.网络安全性由于企业网的特殊性，网络的安全性在本次网络建设中是比较重要的，整个网络必须保证万无一失的安全性，并对各个部门的信息要有严格分离保护的办法，防止网络黑客非法入侵。网络系统应配备全面的病毒防治和安全保护功能。2.易管理易操作性必须采用智能型网络管理系统，保证全网络设备（交换机、路由器）均可用一套统一的网管系统进行管理；网管软件要求界面为图形界面；所有站点重新分配网段、虚网的重新配置、所有网络设备的重新配置均可通过网管软件由网管站实现；网络布线的设计要求便于管理和维护，当某条链路出现故障时，必须可以在主设备间或配线间内重新配置。3.技术先进性当今世界，通信和计算机技术的发展日新月异，我们的方案应该适应新技术发展的潮流，既要保证网络的先进性，同时又要确保各项技术的成熟性。4.标准化计算机管理信息系统就是要实现网络及设备资源的共享，把不同厂商的设备和计算机软件进行互连。在一个复杂的大型网络系统里，必然有多个厂商的硬件及软件，为了保证用户的计算机网络系统具有互操作性、可用性、可靠性、可扩充性、可管理性，需要建立一个开放式、遵循国际标准的网络系统。5.可扩展性由于用户业务的不断发展，网络系统必然随之不断扩大，为此，目前的网络设计必然为今后的扩充留有足够的余地，以保护用户的投资，并且不影响原有用户的工作。6.可用性由于本网络系统对于数据的时效性、可靠性要求较高，因此在设计时应重点考虑网络及设备的可用性。我们的方案要充分考虑用户的费用情况，不但理论上可行，更重要的是实际上可用，最好地适应用户的需要。7.兼容性网络结构有良好的兼容性，能够实现与不同类型的子网的无缝连接。8.可靠性为使网络可靠地运行，我们方案中要选用高品质的产品，把故障率降到最小。9.冗余性在设计时应考虑为网络留有适当的冗余度，硬件设备应具备一定的冗余模块，以提高网络容错能力。10.容错性设备容错性：所选用设备必须具有全容错结构，一台设备中单个电源、单个风扇的故障不影响设备工作，单个模块的故障不影响其它模块的正常工作；设备应具有热修复能力，即当设备的某些部件发生故障时，可以带电更换而不影响设备其它部件工作，新更换部件可直接投入工作而不必重新引导整个设备。网络结构容错：不能因某台设备的故障而影响到整个主干网络的正常运行；任意一条链路的中断不能使得主干网络的任何部分中断工作。2.5网络拓扑结构图图1-1三、 网络技术应用3.1vlan技术vlan（virtual local area network）的中文名为虚拟局域网。vlan是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有vlan协议的第三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。ieee于1999年颁布了用以标准化vlan实现方案的802.1q协议标准草案。vlan技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个vlan都包含一组有着相同需求的计算机工作站，与物理上形成的lan有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个vlan内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理lan网段。由vlan的特点可知，一个vlan内部的广播和单播流量都不会转发到其他vlan中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。交换技术的发展，也加快了新的交换技术（vlan）的应用速度。通过将企业网络划分为虚拟网络vlan网段，可以强化网络管理和网络安全，控制不必要的数据广播。在共享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（mac地址）组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。在同一个vlan中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的交换机上一样。同一个vlan中的广播只有vlan中的成员才能听到，而不会传输到其他的vlan中去，这样可以很好的控制不必要的广播风暴的产生。同时，若没有路由的话，不同vlan之间不能相互通讯，这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置vlan之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据用户工作站的mac地址来划分vlan的。所以用户可以自由的在企业网络中移动办公，不论他在何处接入交换网络，他都可以与vlan内其他用户自如通讯。vlan网络可以是有混合的网络类型设备组成，比如：10m以太网、100m以太网、令牌网、fddi、cddi等等，可以是工作站、服务器、集线器、网络上行主干等等。vlan除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。vlan是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了vlan头，用vlan id把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。vlan的优点如下： 1.广播风暴防范：限制网络上的广播，将网络划分为多个vlan可减少参与广播风暴的设备数量。lan分段可以防止广播风暴波及整个网络。vlan可以提供建立防火墙的机制，防止交换网络的过量广播。使用vlan，可以将某个交换端口或用户赋于某一个特定的vlan组，该vlan组可以在一个交换网中或跨接多个交换机，在一个vlan中的广播不会送到vlan之外。同样，相邻的端口不会收到其他vlan产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。2.安全：增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。不同vlan内的报文在传输时是相互隔离的，即一个vlan内的用户不能和其它vlan内的用户直接通信，如果不同vlan要进行通信，则需要通过路由器或三层交换机等三层设备。3.成本降低：成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。4.性能提高：将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。5.提高it员工效率：vlan为网络管理带来了方便，因为有相似网络需求的用户将共享同一个vlan。6.简化项目管理或应用管理：vlan将用户和网络设备聚合到一起，以支持商业需求或地域上的需求。通过职能划分，项目管理或特殊应用的处理都变得十分方便，例如可以轻松管理教师的电子教学开发平台。此外，也很容易确定升级网络服务的影响范围。7.增加了网络连接的灵活性。借助vlan技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地lan一样方便、灵活、有效。vlan可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了vlan后，这部分管理费用大大降低。四、 网络安全设计4.1防火墙系统internet的安全技术，首先是采用防火墙（firewall）。防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯。考虑到工作的特殊性，在外网防火墙选型上我们将选择cisco pix525防火墙。1、pixfirewall功能：存取控制-指定ip地址、用户认证控制拒绝攻击-检测syn攻击、检测teardrop攻击、检测pingofdeath攻击、检测ipspoofing攻击、默认数据包拒绝、过滤源路由ip、动态过滤访问、支持web、radius及secureid用户认证网络地址转换nat(networkaddresstranslation)隐藏内部地址，节约ip资源网络隔离dmz(demilitarizedzone)物理上隔开内外网段，更安全，更独立负载平衡(loadbalancing)按规则合理分担流量至相应服务器，适用于isp虚拟专网vpn(virtualprivatenetwork)符合ipsec标准，节省专线费用。vpnclient适应国际趋势流量控制及实时监控(trafficcontrol)用户带宽最大量限制，用户带宽最小量保障，八级用户优先级设置，合理分配带宽资源2、pix firewall特点：pix防火墙独有的设计,彻底解决了困扰高速宽带网络的性能瓶颈问题pix硬件防火墙专用的系统平台,保证了自身体系结构的可靠性,消除了软件类防火墙由于操作系统平台本身引起的安全问题。五、 连通测试pc1：；pc2：5；pc3：0图5-1 pc1 ping pc3图5-2 pc1 ping pc2图5-3 pc2 ping pc1六、 心得体会 通过本课程的学习中，我主要了解了交换机和路由器的有关配置。主要通过实验和课余实践操作，掌握了交换机上vlan的划分和路由器上nat（网络地址转换）配置。网络设备的配置与管理的难点，应该在原理的理解上，因为要设计一个可以高效安全互连通信的网络，使用什么设备，配置后，错误检查，都需要对各种网络互连设备的工作原理和支持的通信协议有一定的了解。 在实验中就有深刻的体会，错误检查，是一个很麻烦的过程，在你熟悉自己网络中的各设备配置的基础上，还要根据设备工作原理和各种协议的内容作用进行分析，记得最后一堂实验课中给老师检查综合实验时，出错了，自己和同学一起检查了半堂课都没找出什么原因，后来还是自己回去之后，分析才知道是端口的错误配置导致所有机之间不能正常通信。七、 参考文献1王书明韩永辉网络设备与互联m北京：清华大学出版社，2010 2梁广民网络设备互联技术m北京：清华大学出版社，20093张卫计算机网络应用与实验教程m北京：机械工业出版社，20084高峡 陈智罡 袁宗福 网络设备互联学习指南m北京：科学出版社2009八、 附录三层交换机的配置：l3-sw#configure terminall3-sw(config)#hostname sw3sw3(config)#vlan 10sw3(config-vlan)#vlan 20sw3(config-vlan)#exitsw3(config)#interface fastethernet 0/1-2sw3(config-if)#switchport mode trunksw3(config-if)#exitsw3(config)#interface vlan 10sw3(config-if)#ip address sw3(config-if)#no shutdownsw3(config-if)#exitsw3(config)#interface vlan 20sw3(config-if)#ip address sw3(config-if)#no shutdownsw3(config-if)#exitsw3(config)#int fa 0/5sw3(config-if-fastethernet 0/5)#no switchportsw3(config-if-fastethernet 0/5)#ip address sw3(config-if-fastethernet 0/5)#no shutdownsw3(config-if-fastethernet 0/5)#exitsw3(config)#ip route sw3(config)#ip route sw3(config)#exit二层交换机的配置：l2-sw1#configure terminall2-sw1(config)#vlan 10l2-sw1(config-vlan)#exitl2-sw1(config)#interface fastethernet 0/2l2-sw1(config-if-range)#switchport mode accessl2-sw1(config-if-range)#switchport access vlan 10l2-sw1(config-if-range)#exitl2-sw1(config)#interface fastethernet 0/1l2-sw1(config-if)#switchport mode trunkl2-sw1(config-if)#exitl2-sw2(config)#vlan 20l2-sw2(config-vlan)#exitl2-sw2(config)#interface fastethernet 0/2l2-sw2(config-if-range)#switchport mode accessl2-sw2(config-if-range)#switchport access vlan 20l2-sw2(config-if-range)#exitl2-sw2(config)#interface fastethernet 0/1l2-sw2(config-if)#switchport mode trunkl2-sw2(config