中小企业网络规划.doc

湖南科技职业学院毕 业 设 计题 目： 中小企业网络的设计与实现 专 业： 网络安全 班 级： 网络安全3091 学 号： 090329010011 姓 名： 刘经纬 指导教师： 李正军老师 湖南科技职业学院电子信息工程与技术系二零一零年十二月湖南科技职业学院电子信息系毕业设计评语题目： 中小型企业网络的设计与实现 专业： 网络安全 班级： 网安3091 姓名： 刘经纬 学号： 090329010011 毕业设计得分：答辩得分：综合评定：指导老师评语： 指 导 教 师（签字）： 年 月 日答辩委员会（小组）评语：答辩委员会（小组）负责人（签字）：年 月 日湖南科技职业学院电子信息工程与技术系毕业设计目 录摘 要2Abstract3第1章绪 论41.1 课题研究背景、意义及特点41.1.1 课题研究背景41.1.2 课题意义41.1.3 课题特点41.2 主要研究工作和贡献41.3 论文的组织4第2章相关知识综述5第3章企业网络规划分析6第4章主干设计6第5章子网设计6第6章设备选型6第7章Internet接入和网络安全6第8章工程预算6致 谢7参考文献8第1页摘 要新世纪，以多媒体技术为依托的现代教育技术突破了传统教学过程的局限，改变了传统的教学模式、教学方法，能促进教育观念、教学思想的转变。现在是一个信息时代，办公自动化、信息化、网络化已经成为了一种必不可少的必备条件。各种科学技术的飞速发展，给人们的生活带来了深远的影响，它极大的改善了我们的生活方式。计算机技术和信息科技技术的发展更是日新月异，它们从各个方面影响着我们的生活。其中的计算机网络技术发展的最为神速，已经完全渗透到我们的各个方面，人们已经离不开网络技术，并随着网络的迅速发展，给我们的学习和工作带来了更大的方便，让我们和外部世界的联系更加紧密起来。随着internet在全球的发展和普及，企业网络技术的发展，一级企业生存和发展的需要促成了中小企业网络的形成。而目前在中国国民经济和社会发展中一直占据着至关重要的战略地位的中小型企业，其信息化成都却十分的落后。本文通过对中小型企业资金能力及对企业网络的需求进行分析，设计适用于中小型企业的组网方案。希望对中小型企业网络做些探讨。关键词： 校园网 快速以太网 ATM技术 网络管理 网络安全技术AbstractThe new century, the multimedia technology based on modern education technology breakthrough in the traditional teaching process limitations, has changed the traditional teaching mode, teaching method, can promote the education idea, the transform of teaching idea. It is an era of information, office automation, information technology, network has become an essential prerequisites. All kinds of the rapid development of science and technology, the life that gives people brought far-reaching influence, which greatly improve the way we live. Computer technology and information technology development is change rapidly, which affects all aspects of our lives. The development of computer network technology the most rapidly, has completely penetrated into all aspects of our people, has been inseparable from the network technology, and with the rapid development of network, to our study and work to bring greater convenience, let us and the outside world more closely linked up.With the Internet in global development and popularization of network technology, enterprise development, the level of the survival and development of enterprises need to small and medium sized enterprise network formation. But at present in Chinas national economic and social development plays a vital strategic position of small and medium enterprises, its informatization Chengdu is very backward. This article through to the small and medium-sized enterprise financing ability and the enterprise network needs analysis, design, applicable to small and medium-sized enterprise networking solutions. I hope to make some discussion on small and medium enterprise network.Keyword: The campus net ，fast Ethernet ，ATM， technology network management，network security technology第一章：绪 论新世纪，以计算机和网络技术为核心的信息技术飞速发展，信息技术的普及在教育中的应用已经越来越受到人们关注。教育正从以三尺讲台为核心的传统教育模式逐渐向以计算机辅助教学为主的现代教育方式迈进。1.1 课题研究背景、意义及特点中小型企业网络概述：中小型企业网络主要是企业内部网络建设，包括企业内部计算机节点的分布与整个网络的物理路线连接合理布局，以级门户网站、商务平台的大件。进入21世纪后我国的中小型企业大都进入信息化和办公自动化或者半信息半自动化。网络能够提高整个企业的工作效率，加大市场宣传画，增加业务的业务量。因此中小企业网络将在20年内得到高速的发展。1.1.1 课题研究背景湖南省常德市鼎城四中学校原建有一个局域网，主要用于连接学生机房和微机教师办公室、多媒体教室。但随着学校在多媒体教育和管理等方面的需求不断增大，原有的校园网在带宽、稳定性、覆盖率、管理及业务提供上均暴露出一系列不足。另外，随着多媒体技术的发展，各计算机桌面系统足以支持多媒体应用。1.1.2 课题意义随着计算机的不断普及和推广，各公司内部基本实现了网络化和信息化，它们或多或少规模不等的均有了自己的局域网连接和广域网接入，如何利用所学的知识，在经过一定的调查分析之后，更好的配置、管理和利用现有的网络资源，搭建一个尽可能安全的网络环境，使之更好更有效的为公司服务，同时根据日常的实际需要，分析实际场景和任务要求，列出一些切实可行而又有效地管理实施方略，帮助自己在较短的时间内适应工作岗位，非常有必要。本课题的研究正是在这一背景下提出的，具有很好的理论意义和应用价值。1.1.3 课题特点企业网络由多种完成不同躬耕的网络设备组成，包括路由器、交换机、internet接入设备、防火墙等一级各种服务器。企业内部网络采用共享或交换式以太网，通过DDN、ISDL/PSDN等方式，选择网络接入到internet，企业之间通过国际互联网的方式互相连接，同时采取相应的措施，确保通讯数据的安全、保密。系统运行要安全可靠，故障小。1.2 主要研究工作和贡献中小型企业网络就是把分布在企业不同地点的多台电脑连接，按照网络协议相互通信，以共享软件、硬件和数据资源为目标的网络系统。中小型企业网络具有距离短、延时少、想多成本低和传输速率高等优点；它的低成协议较简单，控制选择等问题大大简化，因而又具有组网简单、易于实现的特点。中小型企业网络的功能主要体现在一下四个方面。（1）信息传递。这是中小型企业网络的最基本功能之一，用来实现电脑与电脑之间传递各种信息，使分散在企业不同地点的电脑用户可以进行集中的控制管理。在企业部门建立忘了服务器，可以为整个企业网络提供各类教学资源，并对这些资源进行综合管理。（2）资源共享。信息资源共享。通过接入ddn活着isdn，很容易将企业网络连接到internet，这样，网络内的各电脑终端不但可以互通信息资源，还可以享受网络服务器上的相关数据以及internet网上取之不尽，用之不竭的巨大信息资源，企业网络在工作生活中的作用也将成倍的增强。硬件资源共享。网络正各台电脑可以彼此互为后备机，一旦某台电脑出现故障，它的任务就由网络中其他电脑代尔为之，当网络中的某台电脑负担过重时，网络又可以将新的任务转交给网络中较空闲的电脑完成。（3）方便工作。网络可以实现图、文、声并茂的多媒体工作环境，也可以利用大量现成的工作软件，提供一个良好的工作环境，这些都是以往任何的工作手段所不能达到的。（4）其他应用。如大型分布式数据库系统、超性能计算资源共享、管理系统、视屏会议等。1.3 论文的组织本文是围绕着企业网络的的经济性、实用性、操作性和拓展性来设计和实现而组织的。经济性：用性价比较好的网络及设备，一较低廉的投资获取较高的性能。实用性：确保信息加速传递、提高工作效率，节约办公费用。操作性：界面图形化、操作按钮化，办公人员在简单的培训后能熟练的运用。拓展性：新增的硬件设备能方便接入网络；软件便于更新、维护和升级。第二章：相关知识综述Intranet主干网的组网技术有：交换式以太网、快速以太网、FDDI、ATM和千兆以太网。交换式以太网作为几年前主干网的主要技术，现在主要被用于工作组织级组网，使网络交换到桌面工作站。快速以太网是一种非常成熟的组网技术，造价很低，性价比比较高，可作为资金不是很充裕的中小型企业组建Intranet网的首选技术。FDDI也是一种成熟的组网技术，但技术复杂、造价高，FDDI网络难以像更现金的网络技术升级，现在用FDDI组建主干网的情况已经非常少见。ATM技术成熟而复杂，组王成本高，是多媒体硬功系统的理想网络平台。但是，网络带宽的实际利用率很低。可拓展网络能够在它的核心基本没有变化的情况下扩展。Internet是可扩展设计的例子。Internet在过去大约10年的时间里呈几何级数增长，并且核心设计没有变化。Internet是通过路由器互连的私有和公共网络的集合。高僧网络服务提供商有大量追踪internet地址的域名服务器。这些信息被复制并和系统中的低层共享。这个分层式，多脊背结构允许多数量不被商城服务器直接处理。这种处理工作的分配意味着底层机构的改变例如添加新的网络服务提供商（ISP），不会影响上层级别。第三章：企业网络规划分析随着信息技术的快速发展，小型商用企业的业务将进一步的电子化，与Internet的联系将更加紧密。他们也需要信息基础平台去支撑业务高速发展。这样没有信息技术背景的企业也将会对网络建设有主动诉求。任何决策的科学性和可靠性都是以信息为基础的，信息和决策是同一管理过程中的两个方面，因此行业信息化也就成了人们所讨论并实践着的重要课题，众多行业巨擘纷纷上马各种应用方案且取得了巨大的成功，使信息化建设更具吸引力。 相对于大型应用群体而言，中小型企业的信息化建设工程通常有规模较小，结构简单的特点，综合资金投入、专业人才以及未来发展等因素，网络的实用性、安全性与拓展性（升级改造能力）是中小企业实现信息化建设的主要要求，因此，成本低廉、操作简易、便于维护并能满足业务运作需要的网络办公环境是这一领域的真正需求。针对绝大多数中小型企业集中办公这一现实特点，我们设计的中小企业信息化常用解决方案，能够较好地发挥企业网的使用效果和水平，具有很强的代表性。应用场景： 小型局域网需要什么样的网络，通常它们的建网需求也大部分还停留在能上网，共享办公设备资源，共享文件资源，能运行OA（办公自动化）软件协同工作上；只有少部分将业务流程移植到Internet上来运行（这得有能力开发自己的WEB后台程序）。但还有一些有敏感数据的电脑（如：财务，合同方案文档，发展战略计划），这些公司是拒绝它们连入网络，而宁愿这些电脑成为信息孤岛。一个原因是实现安全的成本过高，企业无法承受；一个原因是对安全措施不信任。 对于网络应用单纯，结构相对简单的小型局域网络。有些用户可能还不需要高性能的网络，但对网络有较多了解的IT型小企业可能就喜欢接受最新的网络技术，但都寻求成本较低。一般应用于小型的IT公司，广告、装饰设计公司，咨询公司，会计师、律师事务所，小型商业流通企业等应用环境。第四章：主干设置第一、小型企业网络方案： 我们都知道最容易实现而且带宽可以接受的接入类型是ADSL，分别有中国电信，中国网通，中国铁通提供。普遍是1M至2M的出口速率，资费会越来越低。而光纤以太网针对于小区，写字楼等集团用户，采用的模式是光纤到小区或建筑物，然后以太网至用户。用户内部局域网出去的还是营运商的本地局域网，这段的速度是10-100M，但从营运商的局域网接光纤至营运商的城域网（中心机房）可能是2-10M。所以会常有一个现象，当同时上网用户数较少时，网络速度会飞快，但较多时又会慢下来。这种方式开户时会比ADSL贵，而资费差不多。用户应因地制宜选择合适的接入类型，但若想在本地建自己企业的网站和FTP，实现语音和视频，方便INTERNET上用户访问，建议还是选择ADSL。因为若选择光纤以太网方式，您的局域网将处在运营商的内网之内（因为绝大多数的运营商给它的内网分配的是“私有地址”），无法实现Internet的访问。路由器的一般特性：路由器就是一台计算机，它使用的大多数硬件组件是在其他计算机上都找的到的。路由器同样包括操作系统。对基本的硬件和软件组成的研究，将会使你对路由和数据包转发的过程有更好的理解。普通用户可能不知道他们自己的网站或Internet中有大量的路由器存在。用户只希望能够访问web网页、发送电子邮件，一级下载不管所访问的服务器是位于自己的网络，还是位于世界其他地方的网络。但网络工程师知道，负责在网络间将数据包从初始源位置转发到最终目的地的，正是路由器。路由器可连接多个网络，这以为着它具有多个接口，每个接口属于不同的IP网络。当路由器从某个接口收到IP数据包时，它会确定使用哪个接口来将该数据包转发到目的地。路由器用于转发数据包的接口可以位于数据包的最终目的网络（即具有该数据包目的IP地址的网络），也可以位于连接到其他路由器的网络（用于送达目的网络）。路由器连接的每个网络通常需要单独的接口。这些接口用于连接局域网（LAN）和广域网（WAN）。LAN通常为以太网，其中包括各种设备，如PC、打印机和服务器。WAN用于连接分布在广阔地域中的网络。例如WAN连接通常用于将LAN连接到Internet服务供应商（ISP）网络。广域网端口(WAN)：标准是提供1个10/100M的自适应WAN端口。少数产品甚至有2个WAN口。有两个WAN口的宽带路由器能接两路宽带，如两路512K的ADSL，或两条宽带运营商的LAN，这样的连接将成倍地接高接入的速率，实现接入的相互备份和负载均衡，使小企业局域网与外面网络的连接更稳健。共享Internet访问：所有局域网计算机可以通过地址翻译(NAT)共享一条宽带线路连接上互联网。支持LAN接入：支持在使用以太网接入(FTTx+LAN)时，使用固定或动态的IP地址。 局域网端口(LAN)：集成了4端口交换机，每个端口10/100M自适应。路由器的高级特性：路由器的主要用途是连接多个网络，并将数据包转发到在自己的网络或其他网络。由于路由器的主要转发决定是根据第三层IP数据包（即根据目的IP地址）做出的，因此路由器被视为第三层设备。路由器在收到数据包时会检查其目的IP地址。如果目的IP地址不属于路由器直接相连的任何网络，则路由器会将该数据包转发到另一路由器。虚拟服务器(DMZ)：支持虚拟服务器设置，既方便了Internet用户访问内部开放的计算机，如对外的www服务器、Email服务器等，又同时保障着本地网络的安全。特殊应用支持：支持一些特殊的Internet应用，例如QQ、网络游戏、视频程序、音频程序、NetMeeting等的使用。防火墙保护：利用NAT功能，可以监控所有来自Internet的包，过滤所有对局域网内计算机的请求，过滤黑客软件对局域网IP地址和端口的扫描，以防止外来的恶意攻击。访问控制：可以限制局域网用户对某些不良网站的访问，规避不必要的风险。日志记录：通过完整地记录局域网用户对Internet的访问，确保用户行为的可控性。日志记录的内容，可以利用Email发送报表来查看。而划分VLAN的必要配套工程，就是要部署三层交换机。目前三层交换机的市场发展，品牌倍出，使我们中小企业也一样可以部署高效安全的VLAN网络。我们选择三层交换机，在网络的核心部署一台summit8三层交换机，接入层则由若干台烽火系列百兆可堆叠二层交换机来担任。通过网络分段，支持IEEE 802.1Q VLAN Tagging的工作站能被分组到不同的VLAN中。支持RIP-1,RIP-2,OSPF路由协议，DVMRP，PIM Dense mode组播路由协议。端口和基于MAC地址的802.1x特性使用户的每次接入请求都能进行认证。多层的访问控制列表（ACL）。支持优先级队列和IP组播（IGMP snooping），服务质量（QoS）能保证成功地完成像视频会议这样的对延迟敏感的应用。支持802.1p优先队列控制，从第二层到第四层的多层信息都能被用来为数据包设置优先级。侦听IGMP，控制广播，交换机动态地配置端口使之把IP组播数据只转发给那些和组播主机相关的端口。SNMPv.1,v.2c，v.3网络管理。能提供RMON监测和SYSLOG以完成有效的中心管理。交换机也提供命令行接口（CLI）和基于Web的GUI。 第五章：子网规划 VLAN的划分应与IP规划结合起来，使得一个VLAN 接口IP就是对应的子网段就是某个部门的子网段，VLAN接口IP就是一个子网关。VLAN应以部门划分，相同部门的主机IP以VLAN接口IP为依据划归在一个子网范围，同属于一个VLAN。这样不仅在安全上有益，而且更方便网络管理员的管理和监控。注意：各VLAN中的客户机的网关分别对应各VLAN的接口IP。在这企业网中计划规划四个VLAN子网对应着四个重要部门，这也是小企业最普遍的部门结构，分别是：zonghebu综合部；xiaoshoubu销售部；caiwubu财务部；shujuzhongxin数据中心。划分VLAN以后，要为每一个VLAN配一个“虚拟接口IP地址”。zonghebuxiaoshoubucaiwubu192.168.300.1shujuzhongxin192.168.400.1VLAN及路由配置 1.Summit24三层交换机的VLAN的配置过程：（1）创建VLANSummit 24#Config vlan default delete port all?删除默认VLAN(default)包含所有的端口Summit24#Create vlan zonghebu 创建VLAN名为zonghebu Summit24#Create vlan zhonghebu tag 100 标记vid为100Summit24#Create vlan xiaoshoubu 创建VLAN名为 xiaoshoubu Summit24#Create vlan xiaoshoubu tag 200 并标记VID为200 Summit24#Create vlan caiwubu 创建VLAN名为caiwubuSummit24#Create vlan zhonghebu tag 300 标记VID为300Summit24#Create vlan shujuzhongxin 创建VLAN名为 shujuzhongxin Summit24#Create vlan shujuzhongxin tag 200 并标记VID为400（2）添加端口到各VLANSummit24#Config vlan zonghebu add untag 1-6 ?把端口1-6添加到zonghebuSummit24#Config vlan xiaoshoubu add untag 7-12 ?把端口7-12添加到xiaoshoubuSummit24#Config vlan caiwubu add untag 13-18 ?把端口13-18添加到caiwubuSummit24#Config vlan shujuzhongxin add untag 19-24 ?把端口19-24添加到 shujuzhongxin （3）创建VLAN接口IPSummit24#Create ipif if100 /24 zonghebu state enabled ?创建虑拟的接口if100给名为zonghebu的VLAN子网，并且指定该接口的IP为/24。创建后enabled激活该接口。同样方法设置其它的接口IP：Summit24#Create ipif if200 /24 xiaoshoubu state enabledSummit24#Create ipif if300 192.168.300.1/24 caiwubu state enabledSummit24#Create ipif if400 192.168.400.1/24 shujuzhongxin state enabled（4）路由当配置三层交换机的三层功能时，如果只是单台三层交换机，只需要配置各VLAN的虚拟接口就行，不再配路由选择协议。因为一台三层交换机上的虚拟接口会在交换机里以直接路由的身份出现，因此不需要静态路由或动态路由协议的配置，根据上联的三层交换连接不同部门，做出一定的方案，规划好，哪个端口为哪个部门使用，来创建不同业务vlan，并将端口添加到各vlan中。在特权模式下创建如下：Femgine（config）#vlan 100Femgine（config-vlan-100）#member 1,2,3,4,5Femgine（config）#vlan 200Femgine（config-vlan-200）#member 1,6,7,8Femgine（config）#vlan 300Femgine（config-vlan-300）#member 1,9,10,11Femgine（config）#vlan 400Femgine（config-vlan-400）#member 1,12,13,14,15同理，配置其它二层交换机,完成以后就可以将各个所属VLAN的二层交换机与Summit24三层交换机的相应VLAN的端口连接即可。总结：从中小企业部署VLAN的经济性原则出发，介绍了在成本支出有限的情况下，如何为中小企业网规划VLAN子网并实现高效的VLAN三层交换。虽然现在百兆的三层交换机价位有点居高不下，千兆三层更贵。但是，只要用心找一找，还是能找到符合中小企业需要的经济型三层交换机的。这为中小企业部署核心三层交换带来了可能，提高传输效率带来了希望。我们也坚信，随着网络不断扩大，面向中低端的三层交换机将会大量普及。这将为我们规划VLAN子网和三层路由，为中小企业建设一个高效安全的网络提供可能。第六章：设备选型三、可用性的影响 路由器是重要的网络设备之一，路由器的性能旺旺会影响一个或一片网络的进行，可能会造成整个网络系统性能的降低，其所具备的基本的路由功能虽然常常为交换机等设备所“借用”，但专用路由设备所具备的功能和复杂性、安全性是一般交换机所难以企及的。正是因为该设备的网络中的重要作用，对其设备的检测与设备本身在网络中所反映出的对应参数才更值得我们去讨论。 可用性通常用系统的理论正常运行时间和实际使用时间百分比来衡量。例如，我们说一系统提供247环境下99%的可用性，也就意味着一年可能要停机88小时，这对大部分用户来说是都是不能接受的。99.999%的可用性可以保证系统一年停机的时间在5.25分钟之内，但是这种系统的价格非常昂贵。 服务器的可用性主要取决于2个方面:一个是服务器本身的质量，具体体现在服务器厂商专业的设计、严格的质量控制以及市场的长期验证三点上; 另一个是对易损部件采取的保护措施，比如: 采用网卡冗余技术、磁盘阵列技术、电源冗余技术、双机或集群方案等来保证网络、磁盘、电源甚至整个主机的在线冗余。 在低档服务器中，通常采用以下措施来提高单机的可用性。1.IDE RAID 通过廉价的磁盘阵列提供数据冗余功能。磁盘故障是服务器硬件故障的主体，故障率高达52%。数据丢失的危害也是惊人的，造成大量时间、人力的浪费。目前IDE RAID能够实现RAID-0、RAID-1、RAID-0+1共三种方式，其中RAID-0不具备数据冗余功能，但能显著提高磁盘子系统的性能。2.ECC技术 可以检查出两位内存错、并能够纠正一位错，来保证内存、缓存中数据的高可靠性。3.服务器专用电源 可以保证系统有一个洁净的用电环境，减少各种隐性故障的发生，而劣质电源容易引起各种古怪故障，如电路中的高频串扰会造成系统经常性的崩溃、低频震荡则会烧毁电子元器件于无形，这类故障也增加了维修难度。4.附加措施