系统集成综合训练期末考试项目设计报告-中小型企业网络的设计与实现

南湖学院计算机网络管理与系统集成综合训练项目设计报告项目名称中小型企业网络的设计与实现学院南湖学院专业网络工程班级网络N131姓名学号指导教师完成日期201612221需求分析及网络技术方案设计11应用背景需求分析为了提高学校的管理效益和教学质量，开展学校现代化教育建设，建设具有规模的校园网络，INTERNET技术的高校多媒体校园网是必要的。整个高速多媒体校园网建设原则是“经济高效、领先实用”，既要领先一步，具有发展余地，又要比较实用。校园网是集计算机技术、网络技术、多媒体技术于一体的系统，能够最大限度地调动学生对教学内容的积极性。12网络环境需求分析学院西区I，II，III，IV区为教学楼，需构建联通这些大楼校园网并且接入INTERNET。13信息点分析由于本校园网属于中学校园组网，相对大学校园网来说信息点要少一些，组网建筑物也不是很多，在考虑到校园网未来的升级改造等因素，信息点的设计稍留有空余，IP地址的划分也备有以后信息点增加的需求，以便本校园网全方面的灵活应用。14业务需求分析校园网是以学校的教学、管理、科研、信息交流和资源共享为目的的，以一个学校的管辖区域为覆盖范围的局域网，是通过与INTERNET的互连实现信息交流和资源共享的系统。本校园网设计的需求目标是将各种不同应用的信息资源通过网络设备互连起来，形成校园内部的INTRANET系统（内部网络系统），对外通过接入设备接入CERNET，实现与INTERNET的互连，即建设一个以办公自动化、计算机辅助教学、现代校园文化为核心，以现代网络技术为依托，技术先进、扩展性强、覆盖全校主要楼宇的校园主干网络。将学校的各种PC工作站，终端设备和局域网连接起来，并与CERNET相连，在网上发布和获取教育资源，并在此基础上建立能满足教学、科研和管理工作需求的软、硬件环境，开发各类信息和应用系统，为学校中的各类人员提供充分的网络信息服务。主要提供以下几种功能校园网为中小型规模的组网，节点数为890个，校园网主干采用千兆以太网技术（第三层交换），呈星型结构。二级交换机采用快速以太网交换机，服务器采用千兆网卡。电子邮件系统、网管软件、自动备份软件、办公自动化软件及其他网络应用和开发软件。15管理需求分析随着网络复杂度的增加，给网络管理带来成级数增长的工作量。网络管理要求解决问题包括虚拟局域网管理、分配。目前的虚拟局域网只要基于交换机端口划分，如果一个部门扩展新的入网点，扩展将改换交换机端口设置。管理软件需提供原地虚拟网的修改功能。接入层网络设备需要支持基于MAC地址的8021X功能和基于端口8021X功能，以保证帐号的唯一性；同时，支持远程TELNET管理远程开关交换机端口功能；此外还要求适应大量用户并发认证及复杂的工作环境等。能够实现对用户名、IP地址、MAC地址、交换机端口的同时绑定，以杜绝非法用户恶意盗用合法用户的用户名、密码、IP和MAC等现象，确保计费工作。16网络安全需求分析校园网安全主要考虑以下几个方面要求各部门访问网络的控制，网络需要建立防火墙，禁止外部用户未经许可访问内部的数据，或者内部用户未经许可访问外部数据。校园网是个开放的系统，不需要像政府，公司那样的网络安全保密性；另外校园网应该是安全的，它不应该受到恶意的攻击而无法运行，一些科研成果也不应该对任何人都开放。主要利用虚拟网技术和防火墙技术来合理解决安全与开放的问题。2方案设计1校园网设计原则实用性和先进性根据学校实际情况和特点，在设计中特别强调实用性和先进性的结合，应采用成熟的网络技术，保证校园网实用；跟踪国际网络技术的新发展，设计技术先进的网络。在保证校园网可靠、实用、先进的基础上，可以提供研究先进网络技术的科研环境，方便学校的科研与开发。开放性和标准化整个校园网的设计采用开放的网络体系，以方便网络的升级、扩展和互联。同时，在选择服务器、网络产品时，强调产品支持的网络协议的国际化。2网络协议选择在此校园网的设计中主要采用以下标准IEEE8023IEEE工作组为快速以太网制定了IEEE8023的标准。3千兆以太网千兆以太网的优点与现有大多数网络设施兼容。权威统计表明大多数网络都是以太网，因此千兆以太网与现有网络具有天然的兼容性。千兆以太网在与100M以太网通信时不存在需要损耗性能的转换操作。简便的网络升级操作。千兆以太网由于完全与以前的100M以太网兼容。因此，自然简便的网络升级使得千兆以太网可以“无缝”融入现存的以太网环境中，解决了网络管理员所面临的如何升级现有网络，但不至于造成网络瘫痪的问题。用户总是倾向简单实用，厌恶繁琐复杂的工作。因为升级的挑战过程和额外的知识学习并不是用户建网的目的。4主干网的选择结合本校园实际情况，信息点不是很多，且大多数分布在学校五大楼。就目前来说，楼宇相对集中，建筑物之间的分布距离不算远，楼宇层数也不多，所以，校园网主干用千兆以太网技术（ETHERNET）完全能满足本校的网络需求，主干中的核心交换机具备升级为万兆功能，为网络以后的升级改造留有充足的空间。5校园网详细网络拓扑校园网也是一个局域网，因此，在设计校园网的拓扑结构时，可以选择的拓扑结构有总线型结构、星状结构、树状结构和环状结构。在这几种拓扑结构中，可以根据所选用的网络技术、各种拓扑结构的优缺点等来选择。就目前的技术条件和应用状况来看，以太网技术是目前校园网建设的主流技术，在这种技术条件下，总线型结构由于整体可靠性差，已经不会作为一个校园网的总体拓扑结构来选择。用以太网技术组建环状结构的校园网在很多规模较大的大学中普遍使用，这种结构最大的优点是可靠性高，但是，它至少需要3台路由器或路由交换机，所需的设备投资较大，而中小学校园网规模相对较小，过大的投资不一定显示出高效性，所以，中小学校园网不宜采用这种结构。本学院校园面积不大，建筑物相对集中，结合本校的信息点分布和校园的实际需求情况，拓扑结构选用树状结构。树状结构是星状结构的拓展，它具有灵活的可扩展性、较高的可靠性，且安装方便、易管理、投资小。网络拓扑结构图和布线设计学院共有I，II，III，IV区为教学楼，有五个部门分布在这四栋楼里面，连入中心交换机并且每个部门可以在这四栋楼里随意搬动，而不需要更改IP地址。故每栋楼的交换机都要划分四个VLAN。申请到一个C类IP地址21037440/24,分配给五个部门。中心交换机和外侧的CENTER、PSTN通过一个路由器相连中心交换机和各种校园服务器相连，用户可以通过校园网络访问校园内部I，II，III，IV区，每栋楼交换机的F0/36划入VLAN2，F0/710划入VLAN3，F0/1113划入VLAN4，F0/1417划入VLAN5。路由器F0/0口接交换机SW01的F0/1口；交换机SW01的F0/2口接交换机SW02的F0/1口；交换机SW02的F0/2口接交换机SW03的F0/1口；交换机SW03的F0/2口接交换机SW04的F0/1口；在四个交换机上没分别划分四个VLAN2,VLAN3,VLAN4,VLAN5每个部门占用一个VLAN。网络设备的选型及其简要说明分类名称数量参数三层交换机CISCO3560G24PS2台配置ACL，控制各部门访问的权利二层交换机CISCO2950G24PS4台为计算机划分VLAN路由器CISCOROUTERPT2台满足基本链接，可以连接一个局域网核心等等PC机PCPT14台2本方案设计特点二层功能S8500万兆核心路由交换机实现了高密度10GE、GE接口之间的全线速二层交换，提供整机180MPPS432MPPS的报文处理性能。支持8021QVLAN协议，支持4K个VLAN；每接口板支持16K个MAC地址表项，并具有源MAC地址学习、静态MAC地址配置的功能。三层交换与路由S8500万兆核心路由交换机除了实现三层交换外，还具备了高端路由器的路由功能。具体的特性有支持基本的TCP/IP及常规应用协议；支持丰富的路由协议RIP1/RIP2、OSPF、PAGEOF62ISIS和BGP4等，以适应不同的网络环境；支持静态路由，管理员手工配置，简化网络配置，提高网络性能；支持128K路由表项，适应城域网/大型企业园区网的复杂环境；支持不同子网VLAN的三层互通功能。DIFFSERV/QOSS8500核心万兆路由交换机作为城域网络的汇聚中心设备和企业网的骨干核心设备除具备强大的二/三层转发能力与性能外，还具备完善的服务保证功能，确保不同业务流享受不同级别的服务。支持基于端口、MAC地址、IP地址、TCP/UDP端口号、TOS（TYPEOFSERVICE）/DIFFSERV值和CAR（COMMITTEDACCESSRATE）的带宽管理，带宽管理的粒度为64KBIT/S。安全特性支持配置安全，对登录用户进行认证，不同级别的用户有不同的配置权限，提供两种用户认证方式本地认证和RADIUS认证；支持受限的IP地址的TELNET的登录和口令机制；支持协议报文认证，支持OSPF、RIP2及BGP4的报文明文认证和MD5密文认证；支持基于用户定义的策略，可以对报文进行过滤，支持ACL包过滤；支持防火墙具备的一些报文过滤机制；支持安全过滤，可以将过滤的报文重定向到某个固定端口，便于利用仪器设备抓包分析；支持数据同步机制，定期检查配置信息，提供主备机数据备份机制，对程序、配置数据定时和人工备份，提供对程序、配置数据的掉电保护能力。3交换机配置及PC配置地址划分部门IP子网掩码网关VLAN主机数部门11921684465942552552552241921684465VLAN230部门219216844971262552552552241921684497VLAN330部门31921684412915825525525522419216844129VLAN430部门419216844161190255255255224192168161VLAN530部门51921684419322225525525522419216844193VLAN630VLAN的划分VLAN的主要功能就是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。VLAN是为解决以太网的广播问题和安全性而提出的，VLAN技术允许网络管理者将一个物理的LAN用VLANID把用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机，与物理上形成的LAN有着相同的属性。VLAN的划分有很多种，我们可以按照IP地址来划分，按照端口来划分、按照MAC地址划分或者按照协议来划分，常用的划分方法是将端口和IP地址结合来划分VLAN。每栋楼交换机的F0/36划入VLAN2，F0/710划入VLAN3，F0/1113划入VLAN4，F0/1417划入VLAN5，F0/1820划入VLAN6。路由器F0/0口接交换机SW01的F0/1口；交换机SW01的F0/2口接交换机SW02的F0/1口；交换机SW02的F0/2口接交换机SW03的F0/1口；交换机SW03的F0/2口接交换机SW04的F0/1口；在四个交换机上没分别划分五个VLAN2,VLAN3,VLAN4,VLAN5,VLAN6每个部门占用一个VLAN。配置命令三层交换机为核心交换机，占据重要地位，配置如下SW01的配置（1）VLAN的配置SWITCHENSWITCHCONFTSWITCHCONFIGHOSTNAMESW01SW01CONFIGVLAN2SW01CONFIGVLANNAMET2SW01CONFIGVLANVLAN3SW01CONFIGVLANNAMET3SW01CONFIGVLANVLAN4SW01CONFIGVLANNAMET4SW01CONFIGVLANVLAN5SW01CONFIGVLANNAMET5SW01CONFIGVLANVLAN6SW01CONFIGVLANNAMET6SW01CONFIGVLAN（2）TRUNK口配置SW01CONFIGVLANINF0/1SW01CONFIGIFSWITCHPORTMODETRUNKSW01CONFIGIFINF0/2SW01CONFIGIFSWITCHPORTMODETRUNKSW01CONFIGIF（3）端口划分到VLANSW01CONFIGINF0/3SW01CONFIGIFSWITCHPORTACCESSVLAN2SW01CONFIGIF其他端口划分到相应的VLAN同上。其他楼栋的交换机的配置方法同楼栋1的配置方法。4路由器配置代码如下ROUTERENROUTERCONFTROUTERCONFIGHOSTNAMERRCONFIGINF0/0RCONFIGIFIPADD1921684433255255255224RCONFIGIFNOSHRCONFIGIFINF0/0RCONFIGIFIPADD1921684433255255255224RCONFIGIFNOSHRCONFIGIFINF0/01RCONFIGSUBIFENRCONFIGSUBIFENCAPSULATIONDRCONFIGSUBIFENCAPSULATIONDOT1Q2RCONFIGSUBIFIPADD1921684465255255255224RCONFIGSUBIFINF0/02RCONFIGSUBIFENCAPSULATIONDOT1Q3RCONFIGSUBIFIPADD1921684497255255255224RCONFIGSUBIFINF0/03RCONFIGSUBIFENCAPSULATIONDOT1Q4RCONFIGSUBIFIPADD192168129255255255224RCONFIGSUBIFINF0/04RCONFIGSUBIFRCONFIGSUBIFENCAPSULATIONDOT1Q5RCONFIGSUBIFIPADD19216844161255255255224RCONFIGSUBIFINF0/05RCONFIGSUBIFENCAPSULATIONDOT1Q6RCONFIGSUBIFIPADD19216844193255255255224RCONFIGSUBIF5防火墙配置（1）动态NAT1设置应用扩展的访问控制列表配置清单如下IPACCESSLISTEXTENDEDAAA/定义一个教学楼扩展访问列表，名字为AAAPERMITIP1922530000255ANYPERMITIP101010000255ANYPERMITICMPANYANYIPACCESSLISTEXTENDEDBBB/定义一个办公楼扩展访问列表，名字为BBBPERMITIP19216840000255ANYPERMITIP10100000255255ANYPERMITICMPANYANYIPACCESSLISTEXTENDEDCCCPERMITIP19216850000255ANYPERMITIP10100000255255ANYPERMITICMPANYANYIPACCESSLISTEXTENDEDDDDPERMITIP19216860000255ANYPERMITIP10100000255255ANYPERMITICMPANYANY2定义转换地址IPNATPOOLAAA1231813212318132NETMASK2552552550IPNATPOOLBBB1231813112318131NETMASK2552552550IPNATPOOLCCC1231813012318130NETMASK2552552550IPNATPOOLDDD1231812912318129NETMASK25525525503应用NATIPNATINSIDESOURCELISTAAAPOOLAAAOVERLOADIPNATINSIDESOURCELISTBBBPOOLBBBOVERLOADIPNATINSIDESOURCELISTCCCPOOLCCCOVERLOADIPNATINSIDESOURCELISTDDDPOOLDDDOVERLOAD4在出口路由器，将NAT与接口连接起来INTERFACEFA0/1IPNATINSIDE/NAT的内部接口INTERFACEFA0/0IPNATOUTSIDE/NAT的外部接口（2）静态NAT静态NAT主要用于企业内部的服务器方便与INTERNET用户来访问时所映射的公网IP地址。服务器IP地址到公网IP地址的映射IPNATINSIDESOURCESTATIC101060421046172接口操作出口路由器INTERFACEFA0/0IPNATINSIDE/NAT的内部接口INTERFACESE0/1/0IPNATOUTSIDE/NAT的外部接口防火墙的配置清单IPACCESSLISTEXTENDEDFANGHUOQIANG/定义过滤表的名字FANGHUOQIANGDENYIP10000255255255ANY/1000未分配DENYIP30000255255255ANY/3000未分配DENYIP1720000255255255ANY/私网地址认为是非法的DENYIP19216810000255ANY/私网地址认为是非法的DENYIP1692540000255255ANY/过滤DHCP获取失败地址DENYIP2240000255255255ANY/过滤组播地址224000DENYIP00000255255255ANY/过滤以0开头的任意地址PERMITIPANYANYINTERFACEFA0/0IPACCESSGROUPFANGHUOQIANGIN/在接口上应用访问控制列表（此接口问出口路由器链接外网的接口，因为防火墙只能防止外部攻击。不能防止内部攻击）6服务器配置将一台路由器配置成DHCP服务器其中包含2个DHCP地址池，在另一台路由器上配置DHCP中继代理功能，使得不同VLAN的客户机从不同的DHCP地址池获取IP地址。在二层交换机上创建VLAN10和VLAN20，并分配端口SWITCHENABLESWITCHCONFTSWITCHCONFIGVLAN10SWITCHCONFIGVLANNAMEVLAN10SWITCHCONFIGVLANEXITSWITCHCONFIGVLAN20SWITCHCONFIGVLANNAMEVLAN20SWITCHCONFIGVLANEXITSWITCHCONFIGINTF0/1SWITCHCONFIGIFSWITCHPORTMODEACCESSSWITCHCONFIGIFSWITCHPORTACCESSVLAN10SWITCHCONFIGIFINTF0/2SWITCHCONFIGIFSWITCHPORTMODEACCESSSWITCHCONFIGIFSWITCHPORTACCESSVLAN20SWITCHCONFIGIFINTF0/24SWITCHCONFIGIFSWITCHPORTMODETRUNKSWITCHCONFIGIFSWITCHPORTTRUNKALLOWEDVLANALLSWITCHCONFIGIF在路由器ROUTER1上配置地址池。ROUTERENROUTERCONFTROUTERCONFIGHOSTNAMEDHCPSERVERDHCPSERVERCONFIGIPDHCPPOOLADHCPSERVERDHCPCONFIGNETWORK1921684402552552550DHCPSERVERDHCPCONFIGDEFAULTROUTER192168441DHCPSERVERDHCPCONFIGDNSSERVER220189127107DHCPSERVERDHCPCONFIGEXITDHCPSERVERCONFIGIPDHCPEXCLUDEDADDRESS1921681121037110DHCPSERVERCONFIGIPDHCPPOOLBDHCPSERVERDHCPCONFIGNETWORK192168202552552550DHCPSERVERDHCPCONFIGDEFAULTROUTER19216821DHCPSERVERDHCPCONFIGDNSSERVER220189127107DHCPSERVERDHCPCONFIGEXITDHCPSERVERCONFIGIPDHCPEXCLUDEDADDRESS1921682121037210DHCPSERVERCONFIGINTERFACESERIAL2/0DHCPSERVERCONFIGIFIPADDRESS101122552552550DHCPSERVERCONFIGIFCLOCKRATE64000/时钟速率只在DCE端配置即可DHCPSERVERCONFIGIF