中小型规模局域网建设总结.doc

精品文档2010/2011学年第二学期实训报告课程：中小型局域网组建实训班级：网络指导教师：钱靖实训内容 内容一 需求分析内容二 网络结构设计内容三 布线系统设计内容四 设备配备及确定软件内容五 系统设计文档内容六 硬件清单中小型规模局域网建设：xx公司网络组建设计与方案 网络092班 局域网实训第一小组 一、 需求分析1.1背景：企业主要从事系统集成和软件开发业务。企业分布在金华和杭州两个地区，总部设在金华，杭州有分支机构和设备生产基地。企业有员工400人左右，杭州有300员工，金华有100员工。其中管理人30人左右，销售人员50人左右。为了降低企业成本，还有一个约50人左右的短期员工组成的部门，负责一些项目的开发。企业分别在金华和杭州聘请了两个经理，金华经理工作地点在金华，杭州经理工作地点在杭州。两个经理直接汇报给企业的首席信息官，经过授权，两个经理分别可以控制金华和杭州两个地区的账户和资源。企业的组织机构为董事会、人力资源部、研发部、财务部、工程部、销售部、开发部和采购部，前三个部门在金华，后五个部门在杭州，每个部门都有客户机10到40台，短期员工都在杭州。金华总部有两幢办公大楼，两幢办公大楼之间通过光纤通讯进行连接，一号办公大楼包含数据中心，有出口直接与Internet连接，二号办公大楼包含部门数据和文件。1.2未来发展：随着信息技术的发展，电脑的普及使用越来越高，再加上本公司的业务需求，我们采用的交换机都是可堆叠的交换机，以方便公司今后的扩展。同时预留多个信息点。1.3用户需求分析：两个区域中的网络管理员只能够管理区域内部的资源。企业的开发部有几台共享打印机，所有员工都可以使用。为了方便用户定位打印机，所有共享打印机都要发布在Active Directory中，并集中放在Shared Printers组织单元中(OU)。企业在金华总部建立邮件服务器，实现网络的邮件服务，要求部门经理以上人员的邮箱大小没有限制，一般员工邮箱2M，最大接收和发送邮件不能超过1M，设置邮箱警告的值。企业需要为各个部门设置组，并赋予相应的授权权限给各个部门使之能够完成对应操作。企业中所有用户都将有自己的账号，其账号能够方便地识别一般员工和短期员工，能够方便地记录员工对网络访问的行为，并规定用户密码必须超过10位，每30天必须更改一次密码。企业的文件服务器上有一个给员工保存文件的共享文件夹。要求管理人员每人最多可以保存50MB文件，一般工作人员最多可以保存20MB文件，短期员工最多可以保存10MB文件。设置新建的用户账户能够直接从域控制器上登录，并设置登录/注销，启动/关闭脚本。出于安全性的考虑，企业财务部所有员工都不能自行安装软件和更改硬件。建立虚拟企业的FTP站点，提供相关的文件传输服务。企业所有的服务器都必须能够进行远程管理，只有系统管理员可以使用远程管理。销售人员每人都有笔记本电脑，在非办公地也要求通过RAS与VPN随时进入企业的网络，并有很好安全性保证。除此以外，他们还有30台共享的台式电脑。所有销售人员都共享这30台电脑，所以要求他们任意登陆其中的某一台电脑都必须有相同的桌面和应用程序设置。1.4网络功能：根据公司现有规模，业务需要及发展范围建立的网络有如下功能：a) 建立公司自己的网站，可向外界发布信息，并进行网络上的业务。b) 要求研发部，开发部，销售部可以连接Internet，与各企业保持联络，接受订单及发布本公司产品信息。其他部门都不能连接Internet，但要求公司内部由网络连接。c) 公司内部网络实现资源共享，以提高工作效率。d) 建立网络时应注意网络的扩展性，以方便日后的网络升级和增加计算机。e) 在公司内部建立公司的数据库，如员工档案，业务计划，会议日程等。f) 在安全方面对防火墙进行有效的配置，实现对不同的用户的不同权限进行约束，采用相同的操作系统配置，安装相同的杀毒软件，以实现高效安全放心的网络环境。g) 性能方面，千兆光纤进园区，各栋建筑物之间的连接也用光纤，同时具备将光信号转换为电信好的装置，以实现高速传输。二、 网络结构设计2.1现场勘察分析：根据公司大楼的结构特点制定详细的网络连接图，其中包括如下信息：a) 网络上各个信息电（即办公点）的分布图，工作空间大小与距离b) 电源插座的位置，包括目前正在使用的插座的设备c) 所有不可移动的物品的位置（如支撑柱，分隔墙，内置柜等）d) 所有办公家具的当前位置e) 所有计算机和类似打印机的外部设备的位置f) 门和窗口的位置g) 通风管道和目前电线的位置h) 在记录每台设备是要为每台设备建立一张配置表，如计算机的CPU，硬盘，显示器，软驱。2.2接入Interner方式：1ISDN 目前在国内迅速普及，价格大幅度下降，有的地方甚至是免初装费用。两个信道128kbit s的速率，快速的连接以及比较可靠的线路，可以满足中小型企业浏览以及收发电子邮件的需求。 而且还可以通过ISDN和Internet组建企业VPN。这种方法的性能价格比很高，在国内大多数的城市都有ISDN接入服务。2ADSL 非对称数字用户环路，可以在普通的电话铜缆上提供158Mbit s的下行和1064kbit s的上行传输，可进行视频会议和影视节目传输，非常适合中、小企业。可是有一个致命的弱点：用户距离电信的交换机房的线路距离不能超过46km，限制了它的应用范围。3DDN专线: 面向集团企业 DDN是英文Digital Data Network的缩写，这是随着数据通信业务发展而迅速发展起来的一种新型网络。DDN的主干网传输媒介有光纤、数字微波、卫星信道等，用户端多使用普通电缆和双绞线。DDN将数字通信技术、计算机技术、光纤通信技术以及数字交叉连接技术有机地结合在一起 ，提供了高速度、高质量的通信环境，可以向用户提供点对点、点对多点透明传输的数据专线出租电路，为用户传输数据、图像、声音等信息。DDN的通信速率可根据用户需要在N64kbps(N=132)之间进行选择，当然速度越快租用费用也越高。 用户租用DDN业务需要申请开户。DDN的收费一般可以采用包月制和计流量制，这与一般用户拨号上网的按时计费方式不同。DDN的租用费较贵，普通个人用户负担不起，DDN主要面向集团公司等需要综合运用的单位。DDN按照不同的速率带宽收费也不同， 例如在中国电信申请一条128kbps的区内DDN专线，月租费大约为1000元。因此它不适合社区住户的接入，只对社区商业用户有吸引力。根据企业的实际情况，我们选择使用DDN专线。（由于专线高速率，稳定，延迟少，但相对于价格方面就有点偏高，因此这方面的考虑不够）2.3网络互连方式：第一步：确定网络的拓扑结构。金华至杭州之间利用VPN进行组建，金华和杭州两地分别用星型结构，其中100Base-T星型结构的快速以太网是理想的选择。用双绞线作为传输线缆，星状总线网的物理结构采用星状连接，网卡、交换机和双绞线应选100M的。当用户扩展过多时，可采用堆叠式交换机。第二步：确定互连方式因为有一部分用户可以连接Internet，另一部分不可以，所以有两种方式：1） 通过交换机端口和ip的设置，允许和阻止部分端口不能访问internet。2） 成立不同的VPN域，即不同的工作组，比如可分为财务、销售、开发、研发部等等。同一工作组内的成员可以互相通讯，既加强了成员之间的联络，又保证了数据的安全。而各个工作组之间不能互相通讯，保证了企业内部数据的安全。三.布线系统设计综合布线要符合楼宇管理自动化，办公自动化，通信自动化和计算机网络化等多功能需要的布线系统。系统应能支持话音、图像、图形、数据多媒体、安全监控、传感等各种信息传输，支持光纤、非屏蔽双绞线（UTP）、屏蔽双绞线（STP）、同轴电缆等各种传输载体，支持多用户多类型产品的应用，支持高速网络的应用。综合布线系统通常包括六个子系统：工作区子系统、水平布线子系统、干线子系统、设备间子系统、管理子系统和建筑群子系统。综合布线系统设计要根据建筑结构和用户需求来确定，这一过程主要包括以下几个要点：a) 尽量满足用户的通信要求b) 要了解建筑物内部的通信环境c) 确定合适的通信网络拓扑结构d) 选取将要使用的传输介质e) 以开放式为基础，尽量与大多数厂家的产品和设备兼容，按照通用的标准进行设计f) 系统初步设计成本估算g) 将系统初步设计和建设费用预算告知用户h) 最后在征得用户意见并签订合同后，在制定详细的设计方案综合布线可采用UTP,STP或者光缆，在欧洲综合布线所采用的线缆占主流的是屏蔽系统，而在北美广泛使用的是非屏蔽系统，在高容量主干及严重干扰的情况下就使用光缆作为屏蔽系统。但STP屏蔽式系统若使用不当，非但达不到整体的屏蔽的完整性，其性能会比UTP系统更差。UTP是目前较为成熟、可靠的商用建筑综合布线系统所采用的线缆，通常情况下也可以满足在干扰环境下的使用需求。所以建议使用UTP或光缆。在建筑物内部布线通常有三种方式：走墙壁、走屋顶、走地板，走线有两种选择：明线和暗线。当布线房间或走道比较狭窄且层高较低时，宜选择明线，用PVC线槽走墙壁。采用明线费用较低，采用暗线不仅昂贵，而且需要架顶，架地面或打夹层，不过比较美观。若房间的高度允许，可以选择架顶或架地板，架地板更贵一些不过便于维护，若房间的宽度允许可以通过墙壁走暗线，给墙壁打夹层可以给墙壁装饰得很漂亮，也易于维护。在楼层过道三种方式都可以，但站点较集中的房间建议采用架地板的方式，会使安装和维护都更方便。建议把主机设在2号楼的三楼，建筑群间采用地下管道敷设方式，管道内敷设室外12芯多模光缆。安装时至少要预留12个备用管孔，以供扩充之用。在1号，3号楼放置光缆收发器，以确保信号正常传输。室内连接为节约资金采用双绞线，同一楼层上的水平系统多采用四对双绞线，电缆长度宜为90m以内，垂直干线子系统总是位于垂直的弱点间，并采用大对数双绞线。四设备匹配及确定软件1）华为Quidway S2352P-EI(AC)二层交换机设备名称华为Quidway S2352P-EI(AC)产品型号运营级接入交换机产品特征端口丰富、性能出色端口数量48支持协议VLAN支持传输数率10Mbps/100Mbps/1000MVlan支持支持功能分析支持自动配置功能;支持CLI配置;支持Telnet远程配置;支持SNMP V1/V2/V3;支持RMON;支持集群管理HGMP V2;支持SSH V2网上报价￥32002）华为Quidway AR28-11参数设备名称：华为路由器产品型号：华为Quidway AR28-11产品特征：多业务路由器，网络管理（Console、RMON、SNMP、TELNET、管理软件）端口数量：2个局域网接口，1个备份口（AUX），1个Console端口，1个高速同异步串口支持协议：DHCP，VLAN, IPX, DLSw，RIP-1/RIP-2，OSPF，BGP传输速率：10/100MbpsVlan支持： 支持功能分析：内置防火墙，Qos支持，VPN支持网上报价：浙江参考价格 ￥41003）华为Quidway S5324TP-SI-AC参数4）戴尔PowerEdge R410(Xeon E5606/4GB/300GB/RAID1)戴尔PowerEdge R410(Xeon E5606/4GB/300GB/RAID1)参考价格：1.1万产品类别：机架式 CPU型号：Xeon E5606 2.13GHz标配CPU：1颗 内存容量：4GB ECC DDR3标配硬盘：300GB 网络控制：双端口千兆网卡 产品结构：1U RAID模式：RAID 1 扩展槽：1PCI插槽 光驱：DVD 最大CPU：2颗 最大内存：128GB 内存插槽：8 CPU类型：Intel 至强5600 5）富士施乐3117激光打印机产品类型纠错黑白激光打印机黑白打印速度纠错A4：16ppm，Letter：17ppm分辨率纠错600600dpi（图像增强可达1200dpi）最大打印幅面纠错A4处理器纠错150MHz内存纠错8MB网络打印纠错不支持网络打印双面打印纠错手动打印性能首页打印时间纠错小于10秒打印语言纠错GDI打印字体纠错Windows字体接口类型纠错USB2.0耗材耗材类型纠错鼓粉一体硒鼓型号纠错106R01159硒鼓寿命纠错3000页其它特性产品尺寸纠错354297.4210mm产品重量纠错5.5kg报价8506）喷墨打印机HP Deskjet 2010基本参数产品定位纠错家用打印机打印速度纠错黑白：20ppm，彩色：16ppm最高分辨率纠错12001200dpi最大打印幅面纠错A4打印性能打印语言纠错PCL3 GUI月打印负荷纠错750页接口类型纠错USB2.0介质规格介质类型纠错普通纸，照片纸，信封，卡片介质重量纠错U.S.letter：65-90g/m，Legal：75-90g/m，信封：70-90g/m，索引卡：最高200g/m，照片纸：最高280g/m进纸容量纠错进纸盒：普通纸：最多50页，信封：最多5页，索引卡：最多20页，照片纸：最多20页出纸容量纠错普通纸：最多30页，信封：最多5页，索引卡：最多10页，照片纸：最多10页耗材墨盒数量纠错四色墨盒墨盒型号纠错黑色：HP 704号（CN692AA），三色：HP 704号（CN693AA）墨水容量纠错黑色480页，三色200页最小墨滴纠错2.3pl其它特性电源功率纠错打印：16W，节能：3W，待机：3W，关机：1W噪音水平纠错57dB（A）7）防火墙-华为3COM SecPath F100-S-AC 基本参数产品型号SecPath F100-S 产品类型SOHO级,企业级,硬件 外形尺寸30042220mm 重量2Kg 硬件参数硬件参数1个配置口(CON),1个备份口(AUX),4FE,F:16MB,DDR SDRAM:128MB SDRAM内存128M FLASH内存16M 固定接口3FE,1个Console 口 扩展插槽1FE/2FE/4FE/NDECII 网络与软件网络管理通过Web方式进行远程配置管理 VPN支持VPN功能,支持L2TP VPN,GRE VPN,IPSec VPN,动态VPN等多种VPN业务模式 NAT支持NAT功能 入侵检测Dos 功能特点增强型状态安全过滤,抗攻击防范能力,应用层内容过滤, 多种安全认证服务,集中管理与审计,全面NAT应用支持,专业灵活的VPN服务,智能网络集成及QoS保证,电信级设备高可靠性,智能 图形化的管理 其它参数其它有奖纠错 控制端口：Console口管理：支持标准网管 SNMPv3,并且兼容SNMP v2c,SNMP v1,支持NTP时间同步,支持Web方式进行远程配置管理,支持Quidview BIMS系统进行设备管理,支持Quidview VPN Manager系统进行VPN业务管理和监控,命令行接口防火墙性能:包括多种DoS/DdoS 攻击防范,ARP欺骗攻击的防范,TCP报文标志位不合法攻击防范/超大ICMP报文攻击防范,地址/端口扫描的防范/ICMP 重定向或不可达报文控制功能/Tracert报文控制功能/带路由记录选项IP报文控制功能/静态和动态黑名单功能/MAC和IP绑定功能/支持智能防范蠕虫病毒技术 市场报价￥99000元五系统设计文档 5.1网络结构设计文档a) 网络拓扑结构设计图金华ip 地址分配：部门Ip地址子网掩码网关局域网董事会09Vlan10人力资源部0 9Vlan20研发部09Vlan30服务器服务器服务器路由器R2 fa0/1 S0/0/1打印机1打印机2打印机3杭州ip划分：服务器0路由器R1 fa0/0 S0/0/0打印机16部门Ip地址子网掩码董事会00人力资源部10研发部10财务部11工程部2 00销售部01 30开发部31 45采购部46 00华为交换机与路由器的命令集交换机命令 Quidwaysuper password ；修改特权用户密码Quidwaysysname ；交换机命名Quidwayinterface ethernet 0/1 ；进入接口视图Quidwayinterface vlan x ；进入接口视图Quidway-Vlan-interfacexip address ；配置VLAN的IP地址Quidwayip route-static ；静态路由网关Quidwayrip ；三层交换支持Quidwaylocal-user ftpQuidwayuser-interface vty 0 4 ；进入虚拟终端S3026-ui-vty0-4authentication-mode password ；设置口令模式S3026-ui-vty0-4set authentication-mode password simple 222 ；设置口令S3026-ui-vty0-4user privilege level 3 ；用户级别Quidwayinterface ethernet 0/1 ；进入端口模式Quidwayint e0/1 ；进入端口模式Quidway-Ethernet0/1duplex half|full|auto ；配置端口工作状态Quidway-Ethernet0/1speed 10|100|auto ；配置端口工作速率 Quidway-Ethernet0/1port access vlan 3 ；当前端口加入到VLANQuidway-Ethernet0/2port trunk permit vlan ID|All ；设trunk允许的VLANQuidway-Ethernet0/3port trunk pvid vlan 3 ；设置trunk端口的PVIDQuidway-Ethernet0/1undo shutdown ；激活端口Quidway-Ethernet0/1shutdown ；关闭端口Quidwayvlan 3 ；创建VLANQuidway-vlan3port ethernet 0/1 ；在VLAN中增加端口 Quidwaystp enable|disable ；设置生成树,默认关闭Quidwaystp priority 4096 ；设置交换机的优先级Quidwaystp root primary|secondary ；设置为根或根的备份Quidway-Ethernet0/1stp cost 200 ；设置交换机端口的花费路由器命令Quidwaysysname aabbcc ；更改主机名Quidwaysuper passwrod 123456 ；设置口令Quidwayinterface serial0 ；进入接口Quidway-serial0ip address ；配置端口IP地址Quidway-serial0undo shutdown ；激活端口Quidwaylink-protocol hdlc ；绑定hdlc协议静态路由：Quidwayip route-static interface number|nexthopvaluereject|blackhole例如：Quidwayip route-static 16 动态路由：Quidwayrip ；设置动态路由Quidwayrip work ；设置工作允许Quidwayrip input ；设置入口允许Quidwayrip output ；设置出口允许Quidway-ripnetwork ；设置交换路由网络Quidway-ripnetwork all ；设置与所有网络交换Quidway-rippeer ip-address ；Quidway-ripsummary ；路由聚合Quidwayrip version 1 ；设置工作在版本1Quidwayrouter id A.B.C.D ；配置路由器的IDQuidwayospf enable ；启动OSPF协议 Quidway-Serial0ospf enable area ；配置OSPF区域标准访问列表命令格式如下：acl match-order config|auto ；默认前者顺序匹配。rule normal|specialpermit|deny source source-addr source-wildcard|any例： Quidway-acl-10rule normal permit source 55Quidway-acl-10rule normal deny source any扩展访问控制列表配置命令配置TCP/UDP协议的扩展访问列表：rule normal|specialpermit|denytcp|udpsource |anydestination |anyoperate配置ICMP协议的扩展访问列表：rule normal|specialpermit|denyicmp source |anydestination |anyicmp-code logging扩展访问控制列表举例ftpQuidway-acl-103rule permit tcp source any destination destination-port equal wwwQuidwayfirewall enableQuidwayfirewall default permit|denyQuidwayint e0Quidway-Ethernet0firewall packet-filter 101 inbound|outbound地址转换配置举例Quidwayfirewall enableQuidwayfirewall default permitQuidwayacl 101 ;内部指定主机可以进入e0Quidway-acl-101rule deny ip source any destination anyQuidway-acl-101rule permit ip source 0 destination any Quidway-acl-101quitQuidwayint e0Quidway-Ethernet0firewall packet-filter 101 inboundQuidwayacl 102 ;外部特定主机和大于1024端口的数据包允许进入S0Quidway-acl-102rule deny ip source any destination anyQuidway-acl-102rule permit tcp source 0 destination 0Quidway-acl-102rule permit tcp source any destination 0 destination-port great-than1024Quidway-acl-102quitQuidwayint s0Quidway-Serial0firewall packet-filter 102 inbound ；设是路由器出口IP。Quidway-Serial0nat outbound 101 interface ;是Easy ip，将acl 101允许的IP从本接口出时变换源地址。内部服务器地址转换配置命令(静态nat)：nat server global port inside port protocol ;global_port不写时使用inside_port设有公网IP：0103 可以使用。 ;对外访问(原例题)Quidwaynat address-group 01 03 pool1 ;建立地址池Quidwayacl 1Quidway-acl-1rule permit source 55 ;指定允许的内部网络Quidway-acl-1rule deny source anyQuidway-acl-1int serial 0Quidway-Serial0nat outbound 1 address-group pool1 ;在s0口从地址池取出IP对外访问Quidway-Serial0nat server global 01 inside ftp tcpQuidway-Serial0nat server global 02 inside www tcpQuidway-Serial0nat server global 02 8080 inside www tcpQuidwa