小型办公局域网设计.doc

目录第一章项目内容- 3 -第二章项目调查与需求分析- 3 -2.1总体目标- 3 -2.2具体调查与分析- 3 -2.3 实施原则- 4 -第三章项目实施- 5 -3.1设备清单- 5 -3.2设备命名与用途- 6 -3.3 Vlan的划分与分配- 7 -3.4 IP地址的分配- 7 -3.5接入与配置- 8 -3.6操作系统的选择- 10 -第四章网络安全解决方案- 10 -4.1 访问控制方案- 10 -4.2 NAT解决方案- 11 -第五章信息存储解决方案- 11 -第六章总结- 12 -第一章 项目内容本项目是一个小型企业网工程，初步预算十到十五台计算机，内设经理室，财务室，会议室，办公区域以及设备间等。外网采用千兆光纤接入，各个子网之间通过划分Vlan来隔离广播风暴，拥有一个内部公司资料服务器。公司内公分为三个Vlan，经理室和财务室一个、会议室一个、办公区域一个。由于考虑到公司的资料安全和硬件持久性，初步决定采用Cisco设备来完成本工程，通过局域网接入Internet，保证公司内所有计算机均可上网；通过划分VLAN来隔离广播风暴，防止病毒感染；公司拥有自己的资料服务器，可以随时访问公司内部资料；整体需求一个交换机来连接公司内所有机器。一个路由器和一个防火墙来完成公司的Internet接入与网络安全工作，防止公司内部资料的泄漏。第二章 项目调查与需求分析2.1总体目标u 建立完善的网络应用环境；u 逐步完善公司内信息的集成；u 确定网络硬件环境和各种连接模式；u 确定Internet的连接；u 公司内资料发布与查询系统的建立；u 会议室内多媒体设备的应用。2.2具体调查与分析本公司共分七个房间，分别为经理室(2台计算机)，财务室(3台计算机)，会议室(2台计算机)，办公区域(3个房间、10台计算机)以及设备间(放置路由器、交换机、防火墙)。具体布局参照图1初步统计，本公司共有15台PC机、两台交换机、一台核心交换机、一台路由器、一台服务器和一个防火墙，这里采用的设备全是Cisco系列产品。图1整体网络拓扑与布线图2.3 实施原则随着现代计算机应用的高速发展，特别是诸如图形、语音、视频等多媒体信息和技术在管理信息系统、科研设计等领域的广泛应用，为网络平台的设计提出了更高的要求。为了更好地满足用户的需求，保证系统能正常稳定运行，在较长的时间内不落后，在本网络系统方案设计中，我们认为应当把握以下几个原则：1、 网络的可靠性建成后的网络必须能在网络层次结构、拓扑结构、设备的引擎、电源等模块的冗余备份上保证网络运行的可靠性，保证不会因为网络中任何一台设备或任何一条链路的故障导致网络连接失效、数据中断的严重后果。2、 简单和易于维护性 建成后的网络应具有简单且便于管理维护的特点，具体做法如下：n 所有的网络设备被分配专门的用途；n 网络设备命名直观而易记；n 采用统一的VLAN分配策略。3、 开放性系统的结构应具有优良的开放性，即优异的网络互连性和可扩性，它应能容纳多种计算机的软、硬件平台。4、 标准性建设的系统应选择符合国际标准的产品，包括各类网络协议标准、操作系统标准、数据库标准及各种应用软件的开发平台标准。5、 安全性安全性是网络系统中应考虑的关键问题之一，整个系统应具有可靠的、集中式的安全管理系统，以保证系统的安全运行。6、 良好的价格性能比应考虑各类产品的性能价格比，对关键性的产品应以性能的先进性为主要考虑因素，以提高系统的整体水平，对非关键性产品则以实用性为主。第三章 项目实施3.1设备清单表1设备型号统计表序号设备名单型号规格制造商数量01路由器Cisco 2811企业级路由器Cisco102千兆以太网交换机(三层交换机)WS-C3560-24TS-ECisco103快速以太网交换机WS-C2950-24Cisco204服务器华硕RS100-E5/PI2(E2180/1G/250G)华硕105防火墙CISCO ASA5505-SEC-BUN-K9Cisco1Cisco 2811企业级路由器的主要参数广域网接口：10/100Mbps局域网接口：2个10/100Mbps端口传输速率：10/100Mbps防火墙功能：内置Cisco WS-C3560-24TS-E的主要参数应用层级：三层交换机接口：10/100 BASE-T/ 100FX/SX接口数量：24个Cisco WS-C2950-24的主要参数交换机：百兆以太网交换机应用层级：二层交换机接口：10/100Base-T接口数量：24个服务器:华硕RS100-E5/PI2(E2180/1G/250G)的主要参数服务器类型：机架式CPU类型：Intel Pentium E2180内存容量：1GB硬盘容量：250GB内部硬盘架数：2个内置SATA2硬盘托架CISCO ASA5505-SEC-BUN-K9防火墙的主要参数网络端口 8个快速以太网端口、1个SSC扩展插槽 控制端口 参数纠错console，RJ-45 管理思科安全管理器 (CS-Manager)，Web 3.2设备命名与用途表2设备命名与用途预览表安装地点设备类型设备命名设备用途设备间路由器R1与外网相连设备间核心交换机S0核心交换机过道交换机S1二层交换机过道交换机S2二层交换机设备间服务器Server资料服务器经理室PCPC01，PC02办公电脑会议室PCPC03多媒体电脑办公区域PCPC04-PC15办公电脑说明： 核心交换机是整个网络的中心，汇聚接入层的用户数据，负责网络流量的迅速转发； 二层交换机为用户提供接入功能； 路由器与外网相连。3.3 Vlan的划分与分配根据公司具体情况分析，为了更好的防止公司内部资料、财务信息泄漏，本方案将办公区域和会议室的多媒体电脑与财务室和经理室的电脑划分到不同的Vlan，这样配合访问控制管理可以起到一定的保护作用。本方案使用的是基于端口的Vlan划分方法，这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。 这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。综上所述，制定VLAN的划分原则如下:(1)划分为3个子网，一个子网属于一个VLAN，所有计算机都能上网。(2)采用静态路由的配置。(3)办公区域一个VLAN，经理室和财务室一个VLAN，会议室一个VLAN。3.4 IP地址的分配根据Vlan的划分，和公司实际使用情况，对于IP地址划分依照以下原则： 每个Vlan是一个网段。a) 经理室和财务室设在192.168.1.0/24网段，暂时只有四台PC，分配四个地址，如新增加计算机，依次使用该网段内空闲IP。b) 会议室设在192.168.2.0/24网段。c) 办公区域设在192.168.3.0/24网段。 除了给已有计算机指定IP，并在该网段预留一些以备将来新增计算机使用。IP地址实际分配见表3。表3 IP地址分配表地点IP地址子网掩码所属Vlan经理室PC1经理室PC2财务室PC1财务室PC2192.168.1.2192.168.1.3192.168.1.10192.168.1.11255.255.255.0255.255.255.0255.255.255.0255.255.255.0Vlan11Vlan11Vlan11Vlan11会议室PC192.168.2.2255.255.255.0Vlan12办公区域PC1办公区域PC2办公区域PC3办公区域PC4办公区域PC5办公区域PC6办公区域PC7办公区域PC8办公区域PC9办公区域PC10192.168.3.2192.168.3.3192.168.3.4192.168.3.5192.168.3.6192.168.3.7192.168.3.8192.168.3.9192.168.3.10192.168.3.11255.255.255.0255.255.255.0255.255.255.0255.255.255.0255.255.255.0255.255.255.0255.255.255.0255.255.255.0255.255.255.0255.255.255.0Vlan13Vlan13Vlan13Vlan13Vlan13Vlan13Vlan13Vlan13Vlan13Vlan133.5接入与配置二层交换机的配置S1enableS1#vlan dataS1(vlan)#vlan 11 name v11S1(vlan)#vlan 12 name v12S1(vlan)#exitS1#conf tS1(config)#int range f0/2-12S1(config-if-range)#switch access vlan 11S1(config-if-range)#exitS1(config)#int range f0/13-23S1(config-if-range)#switch access vlan 12/将交换机物理端口分配到Vlan中。S1(config-if-range)#exitS1(config)#int f0/1S1(config-if)#switch mode trunkS2配置与S1基本相同。核心交换机的配置S0enableS0#vlan dataS0(vlan)#vlan 11 name Vlan11S0(vlan)#vlan 12 name Vlan12S0(vlan)#vlan 13 name Vlan13/设置Vlan名。S0(vlan)#exitS0#conf tS0(config)#int f0/1S0(config-if)#ip add 192.168.0.2 255.255.255.0 S0(config-if)#exit S0(config)#int f0/2S0(config-if)#ip add 192.168.0.3 255.255.255.0 S0(config-if)#exitS0(config)#int f0/3S0(config-if)#ip add 192.168.0.4 255.255.255.0 S0(config-if)#exitS0(config)#int vlan 11S0(config-if)#ip add 192.168.1.0 255.255.255.0S0(config)#int vlan 12S0(config-if)#ip add 192.168.2.0 255.255.255.0S0(config-if)#int vlan 13S0(config-if)#ip add 192.168.3.0 255.255.255.0/划分Vlan所属网段。路由器的配置R1enableR1#conf tR1(config)#int s0/0R1(config-if)#ip add 211.122.107.105 255.255.255.0R1(config-if)#no shutR1(config-if)#int f0/0R1(config-if)#ip add 192.168.0.1 255.255.252.0R1(config-if)#no shutR1(config)#ip route 192.168.1.0 255.255.255.0 192.168.0.1 /使得VLAN11的机器可以与路由器连通，该区域的机器可以访问Internet。R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.0.1R1(config)#ip route 192.168.3.0 255.255.255.0 192.168.0.1配置完后，要检验配置，使用相关的配置命令。3.6操作系统的选择 在服务器上安装Windows2003 server完成构建存储系统，主要是存放公司资料和企业办公系统。 在其他计算机上安装Windows XP，方便公司员工操作。第四章 网络安全解决方案根据公司具体情况和成品预算等相关条件。本方案决定在网络安全方面使用ACL(访问控制列表)和NAT技术来保护公司内网安全。4.1 访问控制方案在访问控制方面。首先要禁止办公区域的计算机和会议室的计算机访问财务室的资源配置命令如下在S1上的与财务室连接的F口处应用以下命令access-list 10 deny 192.168.2.0 0.0.0.255/阻止来自办公区域网段的数据包，从而达到拒绝办公区域的访问。access-list 10 deny 192.168.1.7 0.0.0.255/阻止会议室计算机的数据包。int F0/2 ip access-group ping in其次，阻止公司内所有机器访问经理室资源。在S1上的与经理室连接的F口处应用以下命令access-list 10 deny 192.168.2.0 0.0.0.255access-list 10 deny 192.168.1.0 0.0.0.255int F0/1 ip access-group 10 in4.2 NAT解决方案在网络安全中，更重要的是防止外网用户对内网的入侵。造成公司内部资源泄漏等严重事件，为了更安全有效的保护公司内网，本方案采用NAT来实现。使用网络地址转换NAT，使得外部网络对内部网络的不可视，从而降低了外部网络对内部网络攻击的风险性。具体设置如下:ip nat pool hhgs 172.168.2.2 172.168.2.254 netmask 255.255.255.0/设置地址池hhgs。ip nat inside source list 10 pool hhgs/可以通过ACL10的私有地址转换到地址池hhgs的地址。interface e0ip add 192.168.1.1 255.255.255.0ip nat insideinterface s0ip add 172.168.2.1 255.255.255.0ip nat outside第五章 信息存储解决方案根据公司的具体情况,在公司资料信息存储解决方案中将使用RAID10技术来完成。Raid 10是一个Raid 0与Raid1的组合体，它是利用奇偶校验实现条带集镜像，所以它继承了Raid0的快速和Raid1的安全。由于利用了RAID 0极高的读写效率和RAID 1较高的数据保护、恢复能力，使RAID 10成为了一种性价比较高的等级，目前几乎所有的RAID控制卡都支持这一等级。但是，RAID 10对存储容量的利用率和RAID 1一样低，只有50%。因此，RAID10即高可靠性与高效磁盘结构它是一个带区结构加一个镜象结构，可以达到既高效又高速的目的，RAID 10能提供比RAID