企业多层交换网络设计学生毕业设计

1、广州城市职业学院学生毕业设计毕业设计题目 企业多层交换网络设计 系、专业、班级 信息与汽车工程学院 06网络 姓 名 学 号 指导教师及职称 2009年 5月 4日企业多层交换网络设计网络技术06 指导教师: 独 创 性 声 明 本人声明所呈交的毕业论文（设计）是本人在导师指导下进行的研究工作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文（设计）中不包含其他人已经发表或撰写过的研究成果，也不包含为获得广州城市职业学院或其他教育机构的证书而使用过的材料。与我一同工作的同志对本论文（设计）所做的任何贡献均已在论文中作了明确的说明并表示谢意。论文（设计）作者签名： 签字日期：

2、年 月 日摘要 本设计以组建小型企业多层交换网络为例，阐述了网络组建的基本技术与设计思想。主要内容包括网络拓扑的设计，虚拟局域网的划分与IP地址的分配。提供核心交换机的冗余，虚拟专用网的接入与各种服务器的安装、配置。能够适应企业的发展需求，通过多个网络技术的应用，组建一个高速、可扩展、冗余的多层交换网络。关键词 多层交换；虚拟局域网；IP地址；冗余目录1.前言12.需求分析与设计原则22.1多层交换网络简介22.2大楼分布22.3用户需求33详细网络设计方案43.1网络设计原则43.2企业网总体拓扑图63.3三层结构功能63.4综合布线系统结构73.5设备的选择与分布84.路由交换部分设计12

3、4.1 VLAN及IP地址分配124.2防火墙基本连通性配置134.3交换机配置144.4无线接入与HDCP155.服务器配置165.1FTP服务器配置165.2WWW服务器配置185.3电子邮件服务器配置216.结论25参考文献251.前言现金社会的科学技术的发展日新月异，上世纪90年代，在计算机技术和电子通信技术的结合下，网络技术得到了飞速的发展。如今，不仅是计算机和网络紧密结合，绝大部分的电子设备甚至是整个社会都不可能脱离网络而独立存在。网络技术已经成为现代信息技术的主流和基础，随着人们对网络的使用深入，对网络的认识也随之迅速改变。在不久的将来，网络即将覆盖全球的每个角落，不管身处何方，

4、都能够自由地交流信息，成为人们生活、工作、学习中必不可少的一部分。Internet，即国际互联网，是目前连接世界各国各区域的网络。这个以TCP/IP协议为基础的国际互联网已经成为覆盖全世界一百五十多个国家和地区的大型数据通信网络。进入九十年代后，由于各种商业信息进入了Internet，使得Internet得到了极大的发展，其主机的接入数，连接的网络数以及覆盖面一直呈指数形式上升。在Internet上能够享受到各种各样的服务。Internet是一个资源丰富的网络，其中拥有的信息资源几乎覆盖所有的领域。Internet面向人类的社会，世界上数以亿计的人们利用它进行通信和信息共享，发送与接收电子邮件

5、，浏览网站或和其他人的计算机建立连接、参加各种商业活动以及查看商业消息。公司在Internet上为顾客提供服务、疑难解答、产品推广、宣传等的成本远比报纸，电视，电台等传统媒体要低并且比在普通媒体上的效果显著的多。在接入Internet前，企业内部也必须有一个独立的网络支撑成个企业的运作，不同的企业对企业内部网络的需求也是各种各样的，但总括的必须有以下内容：高需求；高可用；高安全；高生产率；不易摧毁，如何实现上述要求就是多层交换网络研究的目的。2.需求分析与设计原则2.1多层交换网络简介多层交换网络是利用有限的资金投放，建设出一个顺畅、合理、可满足现在乃至将来可能发生的网络业务需求的网络结构，让

6、企业或园区可以对外发布的信息上网，日常事务办公等都可以通过网络完成。形成互联网服务提供商，为企业提供广泛的信息服务，还可配合多媒体信息技术开展多媒体现代远程教育和跨地域进行工作。第二层交换是给予硬件的桥接。第二层交换机将增加带宽的能力给予配线架，无需给网络增加不必要的复杂性。在第二层，当帧在第一层接口之间传输的时候，帧内容不需要进行任何修改。第三层交换是基于硬件的路由选择。通过提供路由选择域，第三层交换机克服了第二层可扩展性不足的缺点。其他专用电路负责处理第三层交换机中的数据包转发。第三层交换机对数据包的处理程序就如同传统路由器所为。第三层路由选择要求具有数据包重写功能。数据包重写发生在任何路

7、由边界。多层交换技术综合第二层交换和第三层路由选择的功能。一般而言，网络领域交替使用术语“第三层交换机”和“多层交换机”来描述支持第二层和第三层交换的交换机。就具有术语而言，多层交换机不仅能够对园区网络中的通信流量进行线速转发，而且还能够满足第三层的连通要求。这种综合不仅解决了吞吐量的问题，而且有助于解决了吞吐量的问题，而且有助于消除产生第三层瓶颈的条件。通过综合第二层和第三层功能和特性，多层交换机具有易于部署的特点，并且能够简化网络拓扑。多层交换网络是集合这里两种技术于一体的组网方式和思想。2.2大楼分布企业共两栋大楼，分为行政大楼和厂区工业楼。行政大楼：网络中心（二楼）；财务部三楼；行政部

8、（四楼）；业务部（三楼）；人力资源部（二楼）。厂区工业楼：生产部（一楼）；后勤部（二楼）。图2.1 企业建筑2.3用户需求 广东光通电子技术公司是以电子产品生产代工等外包型企业，公司内部以信息化管理，把生产，销售，维护与营运等联结起来。是一个面向社会，立足于技术之上的电子企业。以网络统合管理整个公司运作，最终目标是建立一个全网互联，统一，高效，实用，安全的企业网络。该公司拥有七个部门：服务器室（4台服务器），网络维护部（10人），财务部（20人），行政部（20人），生产部（60人），后勤部（10人），业务部（30人），人力资源部（12人）。不允许生产部门访问internet。部门与部门之间为了

9、控制信息传播的影响与机密数据的泄漏，每部门都划分为独立的VLAN,并通过三层路由功能才能进行通信。向ISP申请10个共有IP，数量非常缺乏。屏蔽外来不安全协议与服务允许本单位出差的人员能通过VPN从外界远程访问内部网络。提供企业内部及面向全球的WWW ,电子邮件，FTP，内部工作人员使用DHCP获取私有IP。并且各部门允许laptop通过认证动态无线连接，但不能跨部门连接。3详细网络设计方案3.1网络设计原则多层企业交换网络系统方案以实现以上功能为基本要求，在设计上力求做到采用先进的技术，其设计遵循以下原则：3.1.1先进性企业的网络先进性关系着企业自身的发展。所以技术上的先进性将保证处理数据

10、的高效率，保证系统工作的灵活性，保证网络的可靠性，也使系统的扩展和维护变得简单。3.1.2标准性所采用技术的标准化，可以保证网络发展的一致性，增强网络的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。 3.1.3兼容性跟踪世界科技发展动态，网络规划与现有光纤传输网及将要改造的分配网有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。3.1.4可升级和可扩展性随着技术不断发展，新的标准和功能不断增加，网络设备必须可以通过网络进行升级，以

11、提供更先进、更多的功能。在网络建成后，随着应用和用户的增加，核心骨干网络设备的交换能力和容量必须能做出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择，以方便未来更灵活的扩展。3.1.5安全性安全性对网络设计是非常重要，合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护和有效的控制网络的访问，灵活实施网络的安全控制策略。企业园区网络中，关键应用服务器、核心网络设备，只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限，网络应该能够阻止任何的非法操作。在园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模

12、园区网络的设计上，划分虚拟子网，一方面可以有效的隔离子网内的大量广播，另一方面隔离网络中子网间的通讯，控制了资源的访问权限，提高了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力，使网络可以任意连接，又可以从第二层、第三层控制网络的访问。3.1.6可靠性本系统是7x24小时连续运行系统，从硬件和软件两方面来保证系统的高可靠性。硬件可靠性：系统的主要部件采用冗余结构。配备不间断电源等。软件可靠性：充分考虑异常情况的处理，具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示；并具有进程监控管理功能，保证各个进程的可靠运行数据库系统应。网络结构稳定性：当增加/扩充应用子系统时，

13、不影响网络的整体结构以及整体性能，对关键的网络连接采用主备方式，已保证数据的传输的可靠性。3.1.7易操作性提供中文方式的图形用户界面，简单易学，方便实用。优良的性能价格比。系统应着重考虑和满足以上的设计要求。3.1.8可管理性网络的可管理性要求：网络中的任何设备均可以通过网络管理平台进行控制，网络的设备状态，故障报警等都可以通过网管平台进行监控，通过网络管理平台简化管理工作，提高网络管理的效率。在进行网络设计时，选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置，网络拓扑结构表示，网络设备的状态显示，网络设备的故障事件报警，网络流量统计分析以及计费等。网管软件的应用可以提高

14、网络管理的效率，减轻网络管理人员的负担。网络管理的目标是实现零管理，基于策略的管理方式，网络管理是通过制定统一的策略，由管理策略服务器进行全局控制的。基于Web的网管界面，是网管软件的发展趋势，灵活的操作方式简化了管理人员的工作。3.2企业网总体拓扑图网络拓扑参考3层基本模型结构,因为部门分布集中、接入点数量小，核心层与分布层结合在一起，有效节省开支并能够减少管理难度。防火墙分割DMZ区与内部网络区。而在内部网络划分成7个VLAN，以保证个部门不互相影响，也防止机密数据的泄露，并在各部门配置家用行无线AP。图3.1 总拓扑图3.3三层结构功能3.3.1核心层（SW1,SW2）设置在数据交换中心

15、核心层主要提供不同网络模块之间优化传输服务，将分组尽可能快递从一个网络传到另一个网络，通常保证核心层具有很高的可靠性，最佳的网络性能。汇聚层到核心层要具备冗余传输链路，任何单条链路断连不影响网络的可用性。作为所有网络流量的传输中心，核心除了要求高性能交换设备和高带宽传输链路外，还需要考虑选用支持负载均衡特性的设备实现负载均衡。此外，为了避免望远故障对网络造成冲击，一旦主用通路断开，可以很快的切换到备用通路。3.3.2分布层分布层是作为接入层到核心层的汇聚，通常为接入层与核心层实现策略的网络间的连接。汇聚层主要由三层交换机组成，提供对网络流量模式控制，服务访问控制，QoS和路由协议网络通告控制。

16、3.3.3接入层到交换核心的连接，根据不同模块进行逻辑子网划分，并通过VLAN技术实现子网之间的各类。接入层主要功能在于各类模块间的广播流量，避免不同模块之间相互影响。接入层主要通过二层交换机组成。3.4综合布线系统结构3.4.1工作区子系统(Work Area Subsystem)作区子系统由信息插座延伸至用户终端设备的布线组成，包括信息插座和相应的连接软线。用户能方便地把计算机接入大楼的通信网络系统。图3.2 工作区子系统3.4.2水平布线子系统(Horizontal Subsystem)水平布线子系统由楼层配线间延伸至信息插座的布线组成，采用超五类双绞线，我们这里采用的是超五类双绞线，也

17、可采用光缆以满足高传输带宽应用或长传输距离的要求。水平布线提供大楼网络通信系统到用户终端设备的信息传输。3.4.3建筑物主干子系统(Building Backbone Subsystem)建筑物主干子系统由大楼配线间延伸至各楼层配线间的布线组成。该子系统亦包括各配线间的配线架，跳接线等。采用的线缆是超五类双绞线。大楼配线间和楼层配线间通常也用于放置网络设备和其他有源设备。建筑物主干子系统提供大楼内通信网络信息交换的主干通道。3.4.4建筑群布线子系统(Campus Cabling Subsystem)建筑群布线子系统由建筑群配线间延伸至各大楼配线间的布线组成。本应采用的线缆为光纤，但应需求并不

18、大，采用屏蔽双绞线。建筑群布线子系统提供了各建筑物间通信网络连接和信息交换的通道。建筑群配线间通常也用于放置电信接入设备和广域网连接设备，这部分由工程是与ISP协商。3.4.5建筑物内采用超五类非屏蔽布线系统图3.3 综合布线系统根据技术规范，选用高性能UTP 非屏蔽系统，传输参数可达到200MHz，采用超五类UTP 产品，传输可达200MHZ 以上，支持千兆以太网为今后新的高速网络应用留有充足的性能余量。3.5设备的选择与分布DMZ的交换机采用与接入层相同型号。跨越建筑物的连线采用屏蔽型双绞线以防止天气等各种因素对链路质量的影响。生产部因为需要60个接入点，需要3台接入层交换机接入核心层，并

19、设为同一VLAN。各个部门均配备一个无线段AP提供LAPTOP等移动设备动态接入，并禁止SSID的广播，采用WPA2进行接入验证。3.5.1路由器的选择此路由器提供两个快速以太网口，并有两个模块插槽，使用以太网模块扩展接口后能够满足企业接入Internet。图3.4 CISCO 3825表3.1思科3825路由器 技术参数路由器类型集成化路由器最大Flash内存256MB最大DRAM内存1024MB局域网接口2个10/100/1000Mbps端口其他控制端口Console扩展插槽2个路由器包转发率10 Mbps: 14,880 pps,100 Mbps: 148,810 pps ,1000 M

20、bps: 1,488,100 pps路由器网管功能Cisco ClickStart,SNMPQos功能支持VPN功能支持VPN防火墙功能内置安全标准UL 60950:CAN/CSA C22.2 No. 60950,IEC 60950,EN 60950-1,AS/NZS 609503.5.2核心/分布交换机考虑到本企业网络规模并不大，对于数据流量的要求也并不严格，采用CISCOWS-C3750-24TS-S作为核心层交换机器，并通过使用STACK连接两台交换机，而且能够提供多个以太通道供应接入层使用。图3.5 CISCO WS-C3750-24TS-S表3.2 思科WS-C3750-24TS-S

21、交换机技术参数交换机类型千兆以太网交换机VLAN功能支持传输速率10/100/1000Mbps交换方式存储-转发包转发率6.5 Mpps背板带宽48GbpsMAC地址表12000K内存128MB堆叠功能支持网络标准IEEE 802.3, IEEE 802.3u, IEEE 802.3x, IEEE 802.3ab网管功能SNMP, CLI, Web传输模式全双工接口数量24个接口类型10/100/1000Base-TX, 1000Base-FX/SX模块化插槽数2个3.5.3接入层交换机此层COSCOWS-C2960-24TT-L，能提供千兆的接入速度。并支持SNMP协议，方便管理人员进行网络

22、控制与维护。图3.6 CISCO WS-C2960-24TT-L表3.3 思科WS-C2960-24TT-L交换机技术参数交换机类型企业级交换机VLAN功能支持传输速率10/100/1000Mbps交换方式存储-转发包转发率6.5 Mpps背板带宽16GbpsMAC地址表8K内存64MB堆叠功能不支持网络标准IEEE 802.3, IEEE 802.3u, IEEE 802.1x, IEEE 802.1Q, IEEE 802.1p, IEEE 802.1D, IEEE 802.1s, IEEE 802.1w, IEEE 802.3ad, IEEE 802.3z, IEEE 802.3网管功能W

23、eb浏览器, SNMP, CLI传输模式全双工接口数量24个接口类型10/100Base-T, 10/100/1000Base-Tx4.路由交换部分设计4.1 VLAN及IP地址分配4.1.1 VLAN分配表4.1 VLAN分配VLAN号用途VLAN10网络维护VLAN20财务部VLAN30行政部VLAN40业务部VLAN50人力资源部VLAN60生产部VLAN70后勤部VLAN80对内服务器4.1.2 IP地址分配表4.2公网IP地址分配起始地址终结地址09表 4.3内网IP地址分配 4/24网段网关可用主机号可用主机数用

24、途/262-6261生产部4/26566-12661业务部28/2729130-15829财务部60/2761162-19029行政部92/2893194-20613后勤部08/2809210-22213网络维护24/272526-25431人力资源部表 4.4服务器与直连口IP地址分配IP

25、地址网关服务器/29WWW/29FTP/29EMAIL0/29企业内部数据库6/30内部网络WAN通信10/30内部网络WAN通信2 固定台式机优先采用手动设置IP，减低DHCP工作量同时防止IP请求时广播对网络造成较大的冲击。4.2防火墙基本连通性配置防火墙的选择是根据最终企业的需求而定，不同品牌和不同的类型有它们各自的由缺点，配置方法也不相同，在这里只说出配置的基本要素。首

26、先需要的是设置各接口的IP地址。设定一个DMZ区提供对外的服务器使用。公司内部网络设置为高安全。设置并分配NAT，并且WWW，EMAL，FTP的NAT开放该服务器类型的协议。根据各种安全考虑设置相应的安全策略，如禁止某些而已URL命令等等。适当设置VPN连接以提供员工能够远程连接。设置到内部网段（/24）的两条默认路由，并且通过这是METRIC值来实现下图效果。图 4.1 数据走向示意图通过ACL禁止/26网段访问Internet。最后根据实际需求设置安全策略控制7层所有信息。NAT配置： firewall(config)#ip nat pool o

27、ut 0 6 netmask firewall(config)#access-list 1 permit 55 firewall(config)#ip nat inside source list 1 pool out overload firewall(config)#ip nat inside source static tcp 80 7 80 firewall(config)#ip nat inside source stati

28、c tcp 21 8 21 firewall(config)#ip nat inside source static tcp 25 9 25 firewall(config)#ip nat inside source static tcp 110 9 110 一下为接口例子，实际配置以实物为准。 firewall(config)#int fastEthernet 0/0firewall(config-if)#ip nat outside firewal

29、l(config)#int fastEthernet 0/1firewall(config-if)#ip nat inside firewall(config)#int fastEthernet 0/2firewall(config-if)#ip nat insidefirewall(config)#int fastEthernet 0/3 firewall(config-if)#ip nat inside4.3交换机配置交换机的配置比较简单，并且核心交换机通过STACK连接起来，所以在配置的时候可以看成是单个交换机。而配置方法每个VLAN都大致相同，所以以下只列出VLAN10或者一部分必须的

30、配置命令以供整体设置作为参考。4.3.1核心/分布层交换机三层接口连通性配置：Switch(config)#int f0/1Switch(config-if)#no swSwitch(config-if)#no switchportSwitch(config-if)#ip add 8 52Switch(config-if)#int f0/2Switch(config-if)#no swSwitch(config-if)#no switchportSwitch(config-if)#ip add 2

31、52二层接口链路聚合和VLAN分配：Switch(config)#int range f0/3 -4Switch(config-if-range)#channel-group 1 mode onSwitch(config)#int port-channel 1Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10 三层与ACL配置：Switch(config)#int vlan 10Switch(config-if)#ip add

32、92Switch(config)#access-list 1 permit 55Switch(config)#int vlan 80Switch(config-if)#ip access-group 1 out默认路由配置：Switch(config)#ip route f0/1 1Switch(config)#ip route f0/2 24.3.2接入层交换机并没有什么是必须设置的，工程以后按照实际情况可能需要配置QOS，Port-security等，但在这里不能明确指出实际需求。4.4无

33、线接入与HDCP根据要求，无线接入选用普通家用型无线路由器，并同时兼顾无线AP与DHCP功能，原因是在这样规模的企业里并不需要把DHCP服务器独立开来，并且如果独立一个DHCP服务器的话万一服务器故障就使整个网络新加入主机都不能获取IP，而现在这样的设计方案有效的回避了这样的问题，并各部门分开管理，复杂性大大降低。配置方法以实际设备要求为准，根据企业部门实际建筑情况选择信号干扰最少区域放置AP，主要干扰来源有墙壁，金属等，另外无线电话等2.4Ghz技术仪器都会对此造成一定影响，工程是必须注意。5.服务器配置以下设置均使用WINDOWS 2003 Server 简体中文版，并使用自带IIS服务。

34、EMAIL使用Winmail Mail Server5.1FTP服务器配置先在硬盘上建立目录“FTP”安装IIS服务完成后进入IIS，选择“FTP 站点”图 5.1 服务器类型选择进入“属性”，设置网站标认，IP地址，响应的端口号，连接限制等图 5.2 FTP基本参数设置设置FTP目录，访问动作。图 5.3 FTP目录设置测试，FTP目录文件、访问结果如下（建立成功）图 5.4 测试准备图 5.5 访问测试5.2WWW服务器配置首先在硬盘上建立网站目录如“SITE”，然后把完整的完站复制进去。启动IIS，选择“网站”图 5.6 服务器类型选择进入“属性”设置网络标识，IP地址，端口图 5.7 HTTP基本参数设置这里指定网站的路径和访问的动作。图 5.8 HTTP目录设置下面设置首选读取的文档，因为本网页文件名为，index.html,所以把这个名字添加进去并且上移到首位.图 5.9 访问首文档设置测试访问成功图