中小型企业局域网组建方案设计

1、实用标准文案中小型企业局域网组建方案班级：成员:日期：文档目录案例背景一需求分析二、设计要求1 网络设备22 网络设计原则- 3三、网络系统设计 41 网络拓扑结构图2.IP地址分配 3.IP地址分配表4. 划分VLAN及具体配置四、测试与调试-121 主机与服务器的连接测试勺22主机与主机的连接测试 123主机与外网的连接测试 13五、路由与远程用户访问六、网络安全的设计七、总结参考文献某中型企业网络工程设计与实现摘要：本文是基于一个课程的网络互联设计，根据实践环境设计一个中型企业内部的网络组 建。从实际情况出发把这个中型企业的实际需要应用到网络中去，使这个企业的内部网络能够 快速便捷。因为

2、条件有限，本次设计的拓扑结构图是在模拟器上进行的。主要运用了所学的 路由和交换技术。矢键字：中型企业网络、设计方案、安全案例背景以某企业的实际情况，设计一个可以正常运行的企业局域网，并对建成的网络进行优 化，现有500个结点，需要建设一个中型网络以实现该企业内部的相互通信和与外部的联系， 通过该网络提高企业 的发展和企业内部办公的信息化、办公自动化。该企业有15个部门， 则需要让这15个部门能够通过该网络访问互联网，并能实现部门之间信息化的合作。所以该网 络的必须体现办公的方便性、迅速性、高效性、可靠性、科技性、资源共享、相互通信、信息发 布及查询等功能，以作为支持企业内部办公自动化、供应链管

3、理以及各应用系统运行的基础设 施。一、需求分析该网络是一个单核心的网络结构，采用典型的三层结构，核心、汇聚、接入。各部门独立 成区域，防止个别区域发生问题，影响整个网的稳定运行，若某汇聚交换机发生问题只会影响 到某几个部门，该网络使用vlan进行隔离，方便员工调换部门。核心交换机连接三台汇聚交换机对所有数据进行接收并分流，所以该设备必须是高质量、 功能具全，责任重大，通过高速转发通信，提高优化的，可靠的传输结构。核心层应该尽快地交 换分组。该设备不承担访问列表检查、数据加密、地址翻译或者其他影响的最快速率分组的 任务。汇聚层交换机位于接入层和核心层之间，该网络有三台汇聚层交换机分担15个部门，

4、能 帮助定义和分离核心。该层的设备主要目的是提供一个边界的定义，以在其内进行分组处理。 该层将网络分段为多个广播域。该问控制列表可以实施策略并过滤分组。汇聚层将网络问题 限制在发生问题的工作组内，防止这些问题影响到核心层。该层的交换机运行在第二层和第三 层上。接入层为网络提供通信，并且实现网络入口控制。最终用户通过接入层访问网络的。作 为网络的“前门”，接入层交换机使用访问列表以阻止非授权的用户进入网络。二、设计要求1. 网络设备：所需的硬件：网络硬件设备主要包括网络服务器、工作站、网卡、集线器、交换机、路由器、传输介质 等。各种硬件设备之间是有着相互矢联而不是相互独立的，每一部分在网络中都有

5、着不同的作 用，缺一不可，只有把这些设备通过一定的形式连起来才能组成一个完整的网络系统。1.1网卡（网络适配卡或网络接口卡）网卡一一计算机与网络连接的接口，是不可缺少的网络设备之一。每一块网卡上面都有一个世界惟一的ID号，也就是MAC地址，计算机在连入网络之后， 就是依靠这个ID号才能实现在不同计算机之间的通信和信息交换。网卡有很多种，不同类型 的网络需要使用不同种类的网卡，根据带宽来分的话，有10Mbit/s网卡、10/100Mit/s自适应 网卡和1000Mbit/s网卡；如按总线来分的话，有ISA总线、PCI总线、PCMCIA总线网卡 等。从目前企业局域网建设的实际情况 来看，工作站网卡

6、选择10M/100Mbit/s自适应网卡最 适合。1 -2网络服务器网络服务器是一台运行网络操作系统，提供网络通信以及其他网络管理，并使连网的各工作站 能共享软硬件资源。在选型服务器时，主要考虑的是容量大、处理速度高和稳定性好，一般来 说都选用大型服务器作为代理服务器。可采用HP ProLiant BL40p系列的服务器。1.3工作站工作站是指PC机，也称客户机。通过网卡和传输介质连接到网络服务器上，共享网络系 统的资源。1.4传输介质传输介质包括有线介质和无线介质两种，一般情况下都是用有线介质的，因为它稳定性高、连接可靠。无线介质只是在特殊环境下才使用。常用的有线传输介质有双绞线、同轴电 缆

7、、光缆。1.5路由器路由器就是负责地址查找，信息包翻译和交换，实现计算机网络设备与电信设备电气连接 和信息传递。1.6集线器主要指共享式集线器，相当于一个多口的中继器，一条共享的总线，能实现简单的加密和 地址保护。1 -7交换机交换机与集线器的作用是相同的，它的出现是为了提高原有网络的性能同时又保护原有投资， 降低网络响应速度，提高网络负载能力。2、网络设计原则1、简易与先进性：把握好技术先进性与应用简易性之间的平衡。2、可管理性及易维护性：对网络实行集中监测、分权管理，并统一分配带宽资源。选用 先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。3、实用性：以现

8、行需求为基础，并充分考虑发展的需要来确定系统规模，选用性能价格 比高的产品。4、 标准开放性：支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开 放协议，有利于保证与其它网络（如资源数据库、金融网络）之间平滑连接互通，以及将来网络 的扩展。5. 可扩展性：网络要能满足用户当前需求以及将来需求的增长、新技术发展等变化。因 此在保护原有的投资同时，要保证用户数的增加，以及用户随时随地增加设备、增加网络功能 等。随着应用规模的ise. LGEi. i 2发展，系统能灵活方便地进行硬件或软件系统的扩展和升级。6、具有较高的可靠性和安全性。三、网络系统设计3.1网络拓扑结构图Cloud PT

9、internetR严Ei-Laa 1.01: L%. 1A9 1 a MU I 荘.tea 2 i/,Be间平 1Q3L渺 1 朋3M 祖JLl .脸.160 4 7 如 L9f. ice 5 】1ML ICfcX®. 169 6 rl vi IDTIL Effi 1 SeTver / Pr< itw 0SSry&H： 細 khQitt J<98. 4. 33.2 IP地址分酉IP地址的分配在网络设计中的作用举足轻重。直接影响整个网络运行的效率。IP地址设计的总原则是简单、易管理、易扩展。IP地址是TCP/IP协议族中的网络层逻辑地址，它被用来唯一地标识网络中的一

10、个节点。IP地址空间的分配，要与网络层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的 效率，加快路由变化的收敛速度。根据以下几个原则来分配IP地址:1、唯一性：一个IP网络中不能有两个主机采用相同的IP地址2、简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项3、连续性：连续地址在层次结构网络中易于进行路由总结，大大缩减路由表，提高路由算法的效率4、可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性5、灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术3.3 IP地址分

11、配表部门Vian编号虚拟ipIp地址范围部门一101192.168.1.1192.168.1.2-254部门二102192.16821192.168.2.2-254部门三103192.168.3.1192.168.3.2-254部门四104192.168.4.1192.168.4.2-254部门五105192.168.5.1192.168.5.2-254部门六106192.168.6.1192.168.6.2-2542. 具体配置如下：(1) 对汇聚层三层交换机进行vlan配置Switch>e nableSwitch#vlan databaseSwitch(vlan)#vtp domai

12、n vdChanging VTP domain name from NULL to vdSwitch(vlan)#vtp serverDevice mode already VTP SERVER(2) 对接入层交换机分别进行vlan配置Switch>e nableSwitch#vlan databaseSwitch(vlan)#vtp domain vdChanging VTP domain name from NULL to vdSwitch(vlan)#vtp clientSetting device to VTP CLIENT mode.(3) 将接入层交换机与汇聚层交换机相连的接

13、口设为trunk模式Switch(config)#interface FastEthernetO/24Switch(config-if)#switchport mode trunk(4) 在汇聚层交换机上创建vlan(101-115)Switch#vlan databaseSwitch(vlan)#vlan 2 name VLAN2VLAN 2 modified:Name: VLAN2Switch(vlan)#vlan 3 name VLAN3VLAN 3 modified:Name: VLAN3(5) 对汇聚层交换机与核心层路由器连接的接口设置ip地址Switch(config)#inter

14、face FastEthernetO/24Switch(config-if)#no switchportSwitch(config-if)#ip address 192.168.0.1 255.255.255.0Switch(config-if)#no shutdownRouter(config)#interface FastEthernetl/0Router(config-if)#ip address 192.168.0.2 255.255.255.0 Router(config- if)#no shutdown(6) 对各个vlan设置虚拟ip地址(vlan 101-vlan 105 )S

15、witch(config)#interface vlan 101Switch(config-if)#ip address 192.168.1.1 255.255.255.0 Switch(config- if)#exit(7) 对核心层路由器与服务器集群连接的端口设置ip地址Router(config)#interface FastEthernetO/ORouter(config-if)#ip address 192.169.0.1 255.255.255.0Router(config-if)#no shutdown(8) 对汇聚层交换机设置静态路由Switch(config)#ip rout

16、e 192.169.0.0 255.255.255.0 192.168.0.2Router(config)#ip route 192.168.0.0 255.255.240.0 192.168.0.1(9) 对核心层路由器进行NAT地址转换设置Router(config)# in terface fastethernet 1/0Router(config-if)#ip nat insideRouter(config-if)exitRouter(config)#interface serial 1/2Router(config-if)#ip nat outsideRouter(config-if

17、)exitRouter(config)#ip nat pool to_internet 210.44.64.1 210.44.64.2 netmask 255.255.255.0!定义内部全局地址池Router(config)#access-list 10 permit 192.168.0.0 0.0.15.255!定义允许转换的地址Router(config)#ip nat inside source list 10 pool tojnternet 为内部本地调用转换地址池四、调试与测试1、主机与服务器的连接测试PC2-Ping-ServerOPC>piii 昭Plngi-Qg 1 耳

18、金十二百 9 + 0 + 232 by育匸勻口豆匸西；：I丄；八 hr - 1 IIM 11/1小门1Hply fzcnn L9214S_a _Z : bytes=SZt AJH£=33=IS t TTi=lZGReply ficin 1?* -H3*U2; J?y"s=A£ijiie=4£ins nii=126Reply 百二 um L?2.i»yl； fes=3£tiEifc=a5zi3 TIL=1£6Fing BLatiati 亡 s for 1S2.13:Apprusinct;e ruuncl tuip tines

19、in milliaeccndg :Hiniinuin = 3 Sins Maxi num = &5m3 h. Average =哼 TinsPC5-Pi ng-ServerOPOpLng"9.0.2PlnAbtig 1S2_1£9 0 2 N 土匸 h 22 A>yE&s o-f -dataiUeply f rom l.'St. 1 S3.0.2 z t>y-tes=3lReply fEQHi 192,159 ,0 ,2; bytes=32Reply ftern 1 銘*1 晞+bvtiA=32Reply fccmbytea-3；G L1

20、4=7TThlSG戸 E = tijne=-5SJns C二曲才占 TTLTStTTIr=12CTIL12Fin?H匸包匸丄匕日 fax 19Z.lA9.0 .2 :Packets; SEn.t =电” deceived =4. Lunt; =0(0An)&PF 匚口兀八工口 LLTL 且 txlp Tinies xn =LL!Li-second? z2、主机与主机的连接测试PC1-Pi ng-PC6PC>piM 192_Lfa4/a t timed out 192Kfl.4 _2: byt&3=32 tune 二 7ms TTL=127丸 eply £TC31

21、 1a2 1AE . 4_2 r bytes=32 tuni5=l 丄 ms TTL=1： uPin八 statisrlFj/CT 192.1Q.42:Paclsra: Senr = £= 3八 Lose = 1 (H 冒梅 loag、Appt C'liinst:& ro-imd rtip tinee in niilli-s&corLilg :M i ii i THI1TFI 一 "''its f WJ.JFI TFiiim 一 m 右 jna，Avezage - 2 4ms192.1GB .4.2PAngAing 1921B 4.2

22、 with 32of dl?匸Repl yfrom152lA3-42:bytea=3£匸 imE=iG 1ms TTIJ=1 £ 7AeplyfrcmL9Zbyte3=3ttime=l GnrtsTIL=12rReplyf Eonn. 192IE 日 4M：byte3=3ttiioe=2 8m3TTLAli?Reply:fm皿L3il«S_4.2zbvte5=3£Vtime=2 3MTTL=127挣丄就曹 STaulstrica fox 132 1C3 .< 2:Paxzkcna: Scnx = 4 i HEczeiAcd = 4 pLo-s t

23、= 0 10 4 J-oss) rAppx ojtimste 工 uund t E： ip t-imss i n iri£ T_l£ s e conds zMinimzEn = l<&HSRMa _x luinzn =6 Ima A.Aze r age = 3A3ms3、主机与外网的连接测试POping 210.44 .£4.1Ding-ing 210. 44 .A4.1 with 22 bAtes of dat&iJeatinationCa =t:z_nat ienDestinat ionlRALepl7 ±EAmReply fr

24、einReply fromReplyDing- graDlstica (or 210<44_ 64.1:DeAinationhog t UT1T&5clhsblt. hat/1 Tiru e-eh.ab|ha« t unTaash.iblAPscketAz Sent = 4, SlEceived. = Of Lnfl玄 t 一 4 1100A loss) r出现问题：目标主机不可达解决方案：在三层交换机中添加静态路由Switch(config)#ip route 210.44.64.0 255.255.255.0 192.168.0.2DCfAp： Ln 些 215.

25、44.M./Ding-LTig 213. 44 4.1 witli 32 byEAJg n* data :Alepl V ±EORL210,44.64.1: byt60=32t JJre=2 OusTTT>255±EOK1Z1Q.44.64-1; byte9*32TTlAiSSRapl y fromZ1Q.44.64.11 Qyt;TTL-Z5S±rom210.44.64.1: bytaa-32tlM1£L9TTL-Z5SPing anaDistii 亡日 For £10 44 61.11丘匸 m； SeuT =4, "ecel

26、、"d =Smi 二口 £9$ ls=s),App 工口弗 rDiuid t;=:ip tunes I n xn±21±s e ccinds ;= I.JELS f Wla iLisnjin = 2 Inns( Auera £e = LLins五、远程用户访问远程访问功能使远程人员或经常变换地点的工作者可通过使用拨号通讯链接来访问企业网络，就像他们是直接连接到企业一样。远程访问也提供虚拟专用网（VPN ）服务，以便用户可以在In ternet ±访问企业网络。用户运行远程访问软件，并初始化到远程访问服务器上的连接。远程访问服 务器，会

27、始终验证用户和服务会话，直到用户或网络管理员将其终止为止。适用于LAN连接用户的所有服务（包括文件和打印共享、Web服务器访 问和消息）均通过远程访问连接启用。1 创建路由和远程访问服务器MLSmo町悴"务冋丿仃 上一芳）|下一妙圖*|«a）|2选择总结3路由和远程访问服务器向导欢迎界面欢理櫻軒踣由05谊创雲禺&寒蔡向葬罗網咙空册皿聂嗷它静 或耐帀目M雲户1站用曲|0尬何兔曙M辭咖由砂!注女眞-*ARMVUBtt山割-JW果炙闻軌冃导zJ祓乳由和副h»整*e安装完成后提示是否启动服务!、乜由和远程访河服务现在已彼安賛.豪开姑JR务吗?此服务器已经是远程访问/VPN服务器宣M#雹崔站10 J 便的V rAft1 aH/VPH 脛唏鼎 配饷” Bit I 的舟K JV ” 1«闻仏1吐说悬圭留冃导 2 工 业L育寿八鼻至氏氐* 匠另民六、网络安全的设计安全不仅是单一 PC的问题，也不仅是服务器或路由器的问题，而是整体网络系统的问题。所以网络安全要考虑整个网络系统，因此必须结合网络系统来制定合适的网络安全策略。网络安全涉及到的问题非常多，如防病毒、防入侵破坏、防信息盗窃、用户身份验证等，这些都不是由单一产品来完成， 也不可能由单一产品来完成，因此网络安全也必须从整体策略来考虑。网络安全防护体系必须是一个动态