毕业设计-李翔.doc

福建信息职业技术学院毕业设计（论文）论文题目：中小型企业网络的设计与实现 系 别：软件工程系 专 业：网络技术 班 级：1011 学 号：1002101136 学生姓名：李翔 指导老师：詹可强 摘要：随着INTERNET的发展，网络技术也得到了飞速的发展。网络技术已经成为现代信息技术的主流，人们对网络的认识也随着网络应用的逐渐普及而迅速改变。而当今社会是一个以网络为平台的信息时代，企业信息化已成为企业的重要资源和重要的竞争条件。企业对网络的组建和规范的要求日益突出，企业的沟通，应用，财务，决策，会议等都要在企业网络上传输，构建一个安全可靠，高效实用，可扩展，方便管理的网络已经成为企业成功的奠基石。为了适应网络经济的飞速发展，扩大企业经营的规模和范围，方便企业内部和企业之间的交流，节省办公的开销，提高企业的管理水平，企业发展Intranet（企业内部网）已经是刻不容缓。关键词：中小企业、网络技术、Intranet目录前言11.需求分析21.1 网络功能需求21.2 网络性能需求21.3 项目设计原则21.3.1 实用性和经济性21.3.2 先进性和成熟性31.3.3 可靠性和稳定性31.3.4 安全性和保密性32 企业方案设计42.1 企业网络图42.2 网络地址规划52.3 服务器建设62.3.1 WEB服务器62.3.2 FTP服务器62.3.3 话机服务器63.实验规划63.2核心交换机的配置73.2.1基本配置73.2.2 端口划分VLAN以及IP地址的配置73.2.3设备划分配置94.配置过程115实验测试186毕业设计总结207参考文献21企业方案设计前言随着计算机及通信技术的飞跃发展，校园内部管理的网络货及信息化成为一种必然的发展趋势，为了各单位的微机管理人员，能够对组建局域网时的规划和对已有局域网的维护有初步的了解，局域网在校园办公自动化、学校管理、工业自动化、计算机辅助教学等方面得到广泛的使用，为了在计算机之间进行信息交流、共享数据资源和某些昂贵的硬件（如高速打印机等）资源，将多台计算机连成一个网络系统，实现分布处理又能互相通信。 1.需求分析1.1 网络功能需求某一企业需要建立一个可靠快速的数据网络。该企业总分别设有办公区1，办公区2，智能会议室1，智能会议室2。公司自设服务器给外网提供访问。由于外界网络存在很多不利的因素，因此要将内部网络和外部网络进行有效隔离，并使企业部门能够相互访问，除了办公和会议重要部门之外。除此之外，还需要提高企业的运作效率，因此要给企业提供一个高效快速的网络环境，并且要让企业每个网络设备之间能够进行远程访问。根据该企业的信息简介，我们可知这些信息所需要的网络功能:首先该企业的会议室是重要部门，因此不能让其它部门随便进行反问，而工作区之间可以相互反问。其次是要使企业部门内拥有一个高效快速的网络环境，因此我们需要在企业各个部门的所连接的主干网络设备上进行链路聚合，在内网路由器与外网路由器之间接入，以提高整体的网络带宽，提高企业网络的工作效率。除此之外，我们需要在这个与外网路由器相连的边界路由器上配置上NAT，使学校内部网络打到隐蔽的作用，防止外网对内网进行资源访问和威胁入侵。最后，在提高网络的，保证内网不让外网入侵的同时，还需要注意企业内部安全，如自己企业的内部人员等。1.2 网络性能需求根据企业的要求，我们需要拥有稳定性能的网络设备。首先我们要考虑在满足用户需求的情况下，对其的性能要进一步扩充，让用户能够享用到更好的性能体验，因此我们在设备选型上有严格的要求。当然选设备也不能太超前，一定要经济实用，对于模块化的网络设备，要注意模块的有效利用，同时建议要用的时候再购买模块。鉴于以上的要求，我们决定在设备选型上，接入层的设备选用思科C2960的交换机，汇聚层的设备选用思科的C3560的交换机，核心层的交换机选用思科的C6509的交换机，路由器选用思科的7200的路由器，防火墙选用思科的PIX722的防火墙。1.3 项目设计原则1.3.1 实用性和经济性系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设学校的网络系统。1.3.2 先进性和成熟性系统设计既要采用先进的概念、技术和方法，由于注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内企业网络仍占领先地位。1.3.3 可靠性和稳定性在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等纲目着手，确保系统原型的可靠性和稳定性，达到最大的平均无故障时间。1.3.4 安全性和保密性在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的左手，包括系统安全机制、数据存取的权限控制等。2 企业方案设计2.1 企业网络图图1：企业网络网络系统采用树型结构设计，分为核心层，汇聚层和接入层。在设计上，校园网络设置5台核心交换机，分别接入路由器，用于网络备份，防止当一台核心交换机出现故障，导致无法与外界通信的问题。其次是4台2950汇聚交换机，汇聚层起着承上启下的作用，可在该层实现对用户的访问控制，有效的限制特殊部门之前的访问，以及对用户的网络管理。最后则是接入层，作为与用户直接相连的交换机，应该具有较强的安全和QOS控制功能，支持802.1x的认证计费，支持千兆上联，支持SMNP的网管。同时考虑对终端的端口密度接入的需求，应考虑交换机的可堆叠性。因此，在接入层部署了思科的2950二层交换机。考虑骨干网络的稳定可靠和传输距离，在学校间采用光纤传输，光纤可以不受外界电磁环境的干扰，可以长距离传输，具有良好的可运行性，可管理性，能够满足未来发展和新技术的应用。考虑企业网在带宽应用上的需求，在楼层之间也采用光纤传输。虽然超五类非屏蔽双绞线也能提供高达1000Mb/s的传输带宽，但是往往需要借助于价格高昂的特殊设备的支持。因此，通常只被应用于100Mb/s快速以太网，实现桌面计算机到交换机的连接。为了保证企业网络的安全，在内网和外网之间增加思科的PIX525防火墙。Cisco PIX 525防火墙能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。它所提供的完全防火墙保护以及IP安全（IPsec）虚拟专网（VPN）能力使特别适合于保护企业网络的边界。2.2 网络地址规划在局域网中划分vlan的作用：限制广播域。广播域被限制在一个valn内，节省了带宽，提高了网络处理能力。增强局域网的安全性。不同vlan内的报文在传输时时相互隔离的，即一个vlan内的用户不能和其他vlan内的用户直接通信，则需要通过路由器或三层交换机等三层设备。灵活构建虚拟工作组。用vlan可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。在企业网中实行vlan的划分，能有助于各个部门的分工，方便管理，同时便于各种针对不同部门的策略的应用：202.3 服务器建设服务器是网络环境中的高性能计算机，它侦听网络上的其他计算机（客户机）提交的服务请求，并提供相应的服务。为此，服务器必须具有承担服务并保障服务的能力。2.3.1 WEB服务器企业网Intranet主要是以Web服务器为中心，提供网上信息浏览服务，可以向外发布信息资讯。以企业网为基础规划和建设一个企业Web网站，更加有效和合理的运用网络资源，去挖掘和开发教育教学潜力，最大限度的发挥网络在工作中的优势。2.3.2 FTP服务器考虑员工之间共享文件或软件，文件传输服务器上存放各种各样的自由软件，员工可以根据自身需要随时下载安装。在带宽拥挤的情况下，也可以减少用户下载占用的带宽。2.3.3 话机服务器由于现在通讯发达，话机在公司工作中有不可缺少的地位。3.实验规划本次实验为了企业网络的安全，采用PPP协议中的CHAP认证方式，PPP有两种认证，一种是PAP，一种是CHAP。相对来说PAP的认证方式安全性没有CHAP高。PAP在传输password是明文的，而CHAP在传输过程中不传输密码，取代密码的是hash（哈希值）。PAP认证是通过两次握手实现的，而CHAP则是通过3次握手实现的。PAP认证是被叫提出连接请求，主叫响应。而CHAP则是主叫发出请求，被叫回复一个数据包，这个包里面有主叫发送的随机的哈希值，主叫在数据库中确认无误后发送一个连接成功的数据包连接。pap自由chap安全性高，所以在企业部门间用CHAP.rip协议是距离矢量路由选择协议，它选择路由的度量标准（metric)是跳数，最大跳数是15跳，如果大于15跳，它就会丢弃数据包。 ospf协议是链路状态路由选择协议，它选择路由的度量标准是带宽，延迟。 RIP的局限性在大型网络中使用所产生的问题:1. RIP的15跳限制，超过15跳的路由被认为不可达 2.RIP不能支持可变长子网掩码(VLSM)，导致IP地址分配的低效率 3.周期性广播整个路由表，在低速链路及广域网云中应用将产生很大问题 4. 收敛速度慢于OSPF，在大型网络中收敛时间需要几分钟 5. RIP没有网络延迟和链路开销的概念，路由选路基于跳数。拥有较少跳数的路由总是被选为最佳路由即使较长的路径有低的延迟和开销 6. RIP没有区域的概念，不能在任意比特位进行路由汇总7.一些增强的功能被引入RIP的新版本RIPv2中，RIPv2支持VLSM，认证以及组播更新。但RIPv2的跳数限制以及慢收敛使它仍然不适用于大型网络8. 相比RIP而言，OSPF更适合用于大型网络:没有跳数的限制所以本次实验选择OSPF协议3.2核心交换机的配置3.2.1基本配置由于企业的规模的扩大，设备越来越多，因此需要给设备进行命名，让管理员更方便有效的管理。核心交换机的基本配置命名该交换机：hostname R1设置Enable密码:R1(config)#enable password 123/*这个密码作为登陆设备的密码，是由用户模式登陆到特权模式下所需的密码*/设置Telnet:R1 (config)#line vty 0 4R1 (config-line)#password ryjR1 (config-line)#login/*这个密码作为Telnet远程登陆的密码，方便管理员能够通过一台机器对所有网络设备进行管理与维护 */SWA2和SWB1同核心交换机SWA1的基本配置3.2.2 端口划分VLAN以及IP地址的配置VLAN（Virtual Local Area Network）的中文名为虚拟局域网。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。使用VLAN技术，管理员可根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。创建VLAN：3.2.3设备划分配置服务器服务器名称IP子网掩码VLAN 话机 54VLAN 100 WWW VLAN 100 FTPVLAN 100表1地点设备IP子网掩码VLNA办公区1S 2950 101102办公区2S 2950103104智能会议室1-2S 2950 50表2中心交换机 S 3560端口IP子网掩码VLANF0/1F0/2F0/11F0/12F0/2452表3路由器端口IP 子网掩码F0/0 52S0/1表44.配置过程中心S3560交换机：给dncp配置网管然后会根据地址池分配地址。ip dhcp excluded-address 54ip dhcp excluded-address 54ip dhcp excluded-address 54ip dhcp excluded-address 54ip dhcp excluded-address 54!ip dhcp pool 5.0 network default-router 54 dns-server 6ip dhcp pool 10.1 network default-router 54 option 150 ip 54 dns-server 6ip dhcp pool 10.2 network default-router 54 option 150 ip 54 dns-server 6ip dhcp pool 10.3 network default-router 54 option 150 ip 54 dns-server 6ip dhcp pool 10.4 network default-router 54 option 150 ip 54 dns-server 6ip routinginterface Vlan50 ip address 54 !interface Vlan100 ip address !interface Vlan101 ip address 54 !interface Vlan102 ip address 54 !interface Vlan103 ip address 54 !interface Vlan104 ip address 54 配置缺省路由抛到下一个网段地址ip route 办公区1交换机interface FastEthernet0/1 switchport access vlan 101interface FastEthernet0/2 switchport access vlan 102interface FastEthernet0/11 switchport access vlan 101 switchport voice vlan 1!interface FastEthernet0/12 switchport access vlan 102 switchport voice vlan 1interface FastEthernet0/24 switchport mode trunk办公区2交换机spanning-tree mode pvst!interface FastEthernet0/1 switchport access vlan 103!interface FastEthernet0/2 switchport access vlan 104interface FastEthernet0/11 switchport access vlan 103 switchport voice vlan 1!interface FastEthernet0/12 switchport access vlan 104 switchport voice vlan 1interface FastEthernet0/24 switchport mode trunk智能会议室1-2交换机 interface FastEthernet0/1 switchport access vlan 50!interface FastEthernet0/2 switchport access vlan 50interface FastEthernet0/24 switchport mode trunk话机：telephony-service max-ephones 40 max-dn 40 ip source-address 54 port 2000!ephone-dn 1 number 1001!ephone-dn 2 number 1002!ephone-dn 3 number 1003!ephone-dn 4 number 1004ephone 1 device-security-mode none mac-address 0090.21A1.2A01 type ata button 1:1!ephone 2 device-security-mode none mac-address 0001.C9E9.2C01 type ata button 1:2!ephone 3 device-security-mode none mac-address 00E0.F9BD.A8B4 type 7960 button 1:3!ephone 4 device-security-mode none mac-address 0000.0CA4.C419 type 7960 button 1:4路由器interface FastEthernet0/0 ip address 52 ip ospf authentication message-digest ip ospf message-digest-key 1 md5 admin ip nat insideinterface Serial0/0/0 ip address 52ip nat insideinterface Serial0/0/1 ip address encapsulation ppp ppp authentication chap ip nat outsiderouter ospf 1 log-adjacency-changes network area 0 network area 0!ip classlessip route !access-list 1 permit 55配置NATip nat inside source list 1 interface Serial0/0/1 overloadip nat inside source static 2 ip nat inside source static 3 ip nat outside source static 3 ip nat outside source static 3 企业WWW服务器和FTP服务器映射到外网端口R2(config)#ip nat inside source static 0R2(config)#ip nat inside source static 02OSPF重发布R2(config)#router ospf 1R2(config-router)#default-information originate S3560启用OSPF链路认证R1(config)#router ospf 1R1(config-router)#area 0 authentication message-digestR1(config)#int fastEthernet 0/6R1(config-if)# ip ospf authentication message-digestR1(config-if)# ip ospf message-digest-key 1 md5 admin路由器OSPF链路认证R2(config)#router ospf 1R2(config-router)#area 0 authentication message-digestR2(config)#int fastEthernet 0/1R2(config-if)# ip ospf authentication message-digestR2(config-if)# ip ospf message-digest-key 1 md5 admin5实验测试话机拨通：图2www服务器：图3ftp服务器：图4连通外网：图56毕业设计总结时至今日，几个月的毕业设计终于可以画上一个句号了，但是现在回想起来做毕业设计的整个过程，颇有心得，其中有苦也有甜，不过乐趣尽在其中呀！没有接受任务以前觉得毕业设计只是对这几年来所学知识的单纯总结（这是我以前的一种想法），但是通过这次做毕业设计