企业网络构建综合实训报告

公司网络构建综合实训目录第一部分需求分析 21.1 项目背景 21.2 项目目的 21.3 信息点记录 31.4 业务流分析 3第二部分网络系统规划设计 42.1 主干选型 42.2 拓扑图设计 42.3 IP地址与VLAN规划设计 42.3.1 第一层 42.3.2 第二层 52.3.3 第三层 52.3.4 第四层 62.4 路由规划设计 62.4.1动态路由选择协议原理 62.4.2动态路由选择协议介绍 72.4.3动态路由选择协议的选用 82.5安全管理设计 82.5.1高校校园网的特点 82.5.2当前高校校园网面临的重要网络安全问题和威胁 82.5.3校园网具体那些措施 8第三部分综合布线系统设计 93.1 各子系统设计 93.1.1工作区子系统的设计 93.1.2水平间子系统的设计 113.1.3管理间子系统的设计 123.1.4垂直干线子系统的设计 133.1.5设备间子系统的设计 14第4部分设备调试 154.1接入层配置(一楼) 154.2汇聚层配置（一楼） 184.3核心层配置 184.4防火墙配置 19网络组建概述“组网工程”的概念可以从两方面来理解。一方面是组网，简朴地说就是按照用户的目的和规定来建立计算机网络应用系统；另一方面是工程，简朴地说就是通过系统分析、系统设计、系统施工、系统调试、系统验收和系统运营等将逻辑网络具体化的一种技术手段。局域网（LocalAreaNetwork，LAN）是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文献管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的，可以由办公室内的两台计算机组成，也可以由一个公司内的上千台计算机组成。局域网的特点1）局域网分布于较小的地理范围内，往往用于某一群体，如一个单位，一个部门等。2）局域网一般不对外提供服务，保密性较好，且便于管理。3）局域网的网速较快，现在通常采用100M/S的传输速率到达用户端口，1000M/S的传输速率用于骨干的网络链接部分。4）局域网投资较少，组建方便，使用灵活。第一部分需求分析项目背景长春工程学院计算机技术与工程学院是一个基础设施相对老旧的学院，应对现今校园对网络信息化的需求，急需要组建一个一定规模的校园网。本着“整体规划，分布实行”的原则，设计高效应用的校园网络及应用将是长春工程学院信息化步伐迈出的新的一步，也是突破系统教育方式。以适应新时代发展的需求。1.2 项目目的计算机技术与工程学院改造的建设目的是：在统筹考虑计算机技术与工程学院教学需求和发展的基础上，兼顾远期发展目的，构建一个高效、稳定、安全可靠的网络。1.3 信息点记录1.4 业务流分析在计算机技术与工程学院原有网络结构的基础上进行改造，在考虑近期需求的情况下，兼顾长远发展需要。进行计算机学院网络总体改造时，一方面明确学校的性质、任务和改革发展的特点及系统改造的需求和条件，对学校的信息化环境进行准确的描述；另一方面，在应用需求分析的基础上，拟定各层的设备，安顿位置，布线等。总体要使计算机学院网络结构满足一下需求：（1）整体规划安排；（2）先进性、开放性和标准化相结合；（3）扩展性和升级能力；（4）结构合理，便于维护，便于管理；（5）高效性，实用性，适应性，安全性；（6）支持宽带多媒体业务；（7）可以实现快速信息交流、协同工作和形象展示。第二部分网络系统规划设计2.1 主干选型类型基本宽带需求主干万兆以太网局域网内部链接万兆以太网PC链接千兆以太网2.2 拓扑图设计2.3 IP地址与VLAN规划设计2.3.1 第一层接入层教室设备名IP网段VLAN地址VLAN9101CC-H3C-E026-910~54/241019102CC-H3C-E026-910~54/241029103CC-H3C-E026-9103~54/241039104CC-H3C-E026-9104~54/241049105CC-H3C-E026-9105~54/241059106CC-H3C-E026-9106~54/241069107CC-H3C-E026-9107~54/241079108CC-H3C-E026-9108~54/241089110CC-H3C-E026-9110~54/241109111CC-H3C-E026-911~54/241119115CC-H3C-E026-9115~54/241159117CC-H3C-E026-9117~54/241179119CC-H3C-E026-9119~54/24119汇聚层9109CC-H3C-HUIJU-9109~0/24102.3.2 第二层接入层教室设备名IP网段VLAN地址VLAN9201CC-H3C-E026-920~54/242019202CC-H3C-E026-920~54/242029203CC-H3C-E026-9203~54/242039205CC-H3C-E026-9205~54/242059206CC-H3C-E026-9206~54/242069207CC-H3C-E026-9207~54/242079208CC-H3C-E026-9208~54/242089210CC-H3C-E026-9210~54/242109211CC-H3C-E026-921~54/242119213CC-H3C-E026-9213~54/242139215CC-H3C-E026-9215~54/242159217CC-H3C-E026-9217~54/242179219CC-H3C-E026-9219~54/24219汇聚层9209CC-H3C-E026-9209~54/24202.3.3 第三层接入层教室设备名IP网段VLAN地址VLAN9301CC-H3C-E026-930~54/243019302CC-H3C-E026-930~54/243029303CC-H3C-E026-9303~54/243039305CC-H3C-E026-9305~54/243059307CC-H3C-E026-9307~54/243079308CC-H3C-E026-9308~54/243089310CC-H3C-E026-9310~54/243109311CC-H3C-E026-931~54/243119313CC-H3C-E026-9313~54/243139315CC-H3C-E026-9315~54/243159319CC-H3C-E026-9319~54/24319汇聚层9309CC-H3C-E026-9309~54/24302.3.4 第四层接入层9401CC-H3C-E026-940~54/244019402CC-H3C-E026-940~54/244029403CC-H3C-E026-9403~54/244039405CC-H3C-E026-9405~54/244059407CC-H3C-E026-9407~54/244079411CC-H3C-E026-941~54/244119413CC-H3C-E026-9413~54/244139415CC-H3C-E026-9415~54/244159417CC-H3C-E026-9417~54/244179419CC-H3C-E026-9419~54/24419汇聚层9409CC-H3C-E026-9409~54/2440核心层9317CC-H3C-E026-9307~54/24502.4 路由规划设计路由规划:根据网络现有结构，设计比较适合的路由协议。可以实现优化的网络途径选择，同时具有途径均衡功能，在网络结构发生变化时，数据可以通过其他途径迂回，保证网络的畅通。2.4.1动态路由选择协议原理动态路由选择协议通过大量的控制消息传输来维护它们路由表，路由刷新信息是其中的重要控制消息。路由刷新信息通常可以构造出部分或所有的路由表，通过度析来自所有路由器的刷新消息，路由表可以构造出非常具体的完整网络拓扑关系。链路状态广播是此外一种重要的控制消息，链路状态广播告知其它的路由器有关发送者的链路状态，可以被路由器用来构造网络拓扑关系。一旦网络拓扑关系清楚明朗了之后，动态路由协议就能计算出通向目的地的最佳路由。动态路由选择算法通常满足下面列举的一个或多个规定。（1）最佳性：指路由选择算法具有选择最佳路由的能力；（2）简易性及低开销：路由选择算法必须使用最少的软件和最低的开销来高效地实现其功能。（3）强壮性及稳定性：路由选择算法必须是强壮的，也就是说，它们在异常和非预期的情况下也能正常地工作，如硬件故障、负载过高和操作失误等。（4）迅速收敛性：动态路由选择算法必须可以迅速收敛（收敛是所有路由器在最佳途径上取得一致的过程）。动态路由选择算法收敛过程缓慢也许导致路由选择循环或网络出现故障。（5）灵活性：指可以迅速准确地适应不同的网络环境。能适应网络的连通情况、网络带宽、路由器队列大小、网络延迟以及其它参数的改变。2.4.2动态路由选择协议介绍RIP是一个标准化的内部网关协议，也是最早广泛使用的动态路由选择协议。它采用距离向量来决定路由，RIP的不同版本可以支持除IP协议以外的其他路由传输协议（如IPX、AppleTalk等）。RIP协议是一种基于距离向量算法的动态路由协议。RIP协议规定最大的节点计数为15个，任何通过多于15个中间节点才干到达的目的都被认为是不可到达的；RIP不支持层次结构。由于RIP采用定期广播整个路由表的方式来实现路由的更新和发现，所以它对通讯资源的占用很大。由于协议自身固有的缺陷，只能适合于小型网络。OSPF动态路由协议是目前使用最为广泛的内部网关协议。其中OSPF协议具有以下优势：适应范围--OSPF支持各种规模的网络，最多可支持几百台路由器。快速收敛——假如网络的拓扑结构发生变化，OSPF立即发送更新报文，使这一变化在自治系统中同步。无自环——由于OSPF通过收集到的链路状态用最短途径树算法计算路由，故从算法自身保证了不会生成自环路由。子网掩码——由于OSPF在描述路由时携带网段的掩码信息，所以OSPF协议不受自然掩码的限制，对VLSM提供很好的支持。通过使用可变长的子网掩码，一个IP网络可以被划提成若干大小不等的子网，这样为网络管理人员对网络进行配置提供了更大的灵活性，同时也可以在区域边界路由器上实现对路由信息的合并。区域划分——OSPF协议允许自治系统的网络被划提成区域来管理，区域间传送的路由信息被进一步抽象，从而减少了占用网络的带宽。等值路由——OSPF支持到同一目的地址的多条等值路由，即到达同一个目的地有多个下一跳，这些等值路由会被同时发现和使用。路由分级——OSPF使用4类不同的路由，按优先顺序来说分别是：区域内路由、区域间路由、第一类外部路由、第二类外部路由。支持验证——它支持基于接口的报文验证以保证路由计算的安全性。组播发送——OSPF在有组播发送能力的链路层上以组播地址发送协议报文，即达成了广播的作用，又最大限度的减少了对其他网络设备的干扰。2.4.3动态路由选择协议的选用动态路由选择协议的选定需要根据具体规定和实际情况选定。一般需要考虑以下因素来选定动态路由协议：1.合用于大规模网络。2.规定符合专网的管理模式和应用系统的数据流向。3.是一个开放性的协议。4.安全性和可靠性。5.可以满足系统未来发展的规定。2.5安全管理设计2.5.1高校校园网的特点与其它局域网相比,高校校园网自身的特点导致网络安全问题严重、安全管理复杂。其特点可以概括为两个方面:

(1)用户群体的特点。高校校园网用户群体以高校学生为主。一方面,用户数量大、网络水平较高。随着高校的扩招,现在各高校的在校学生规模越来越大,校园网用户少则几千,多则几万,并且往往比较集中。高校学习以自主性学习为主,决定了高校学生可供自主支配的时间宽裕。通过学习,高校学生普遍掌握了一定的计算机基础知识和网络知识,其计算机水平比普通商业用户要高,并且他们对网络新技术充满好奇,敢于尝试,通常是最活跃的网络用户。

(2)校园网建设和管理的特点。一方面,校园网建设需要投入大量的经费,少则几百万,多则几千万,而高校的经费普遍是比较紧张的,有限的投入往往用于扩展网络规模、增长网络应用这些师生都能看到成果的方面,而往往忽视或轻视师生不容易看到成果的网络安全面。2.5.2当前高校校园网面临的重要网络安全问题和威胁(1)安全漏洞。

(2)病毒和袭击。

(3)滥用网络资源。

(4)不良信息的传播。

(5)垃圾邮件。

(6)恶意破坏。2.5.3校园网具体那些措施高校校园网络安全管理是一项复杂的系统工程,要提高网络安全,必须根据实际情况,从多个方面努力。

1加强网络安全管理制度建设

2做好物理安全防护

3加强对用户的教育和培训

4提高网络管理人员技术水平

5规范出口、入口管理

6配备网络安全设备或系统

7校统一的身份认证系统

8建立更安全的电子邮件系统

校园网的安全管理是一项复杂的系统工程,没有一劳永逸的安全措施。各高校要在校园网的建设和管理过程中及时分析校园网中的安全问题,并研究方法,制订措施,保证校园网正常、高效、安全地运营,为学校的教学、管理和科研服好务。第三部分综合布线系统设计3.1 各子系统设计3.1.1工作区子系统的设计图3.1工作区子系统布线由信息插座至终端设备的连线组成，是插座到用户终端的区域，涉及所有用户实际使用区域。信息插座采用地面安装形式，也可以采用墙面安装方式。信息插座选择：信息插座选用普天RJ45型插座（如图3-2左）。墙面安装插座盒底边距地300mm，在地面插座盒内和墙面信息插座旁安装单相三孔电源插座。工作区子系统为满足信息高速传输具体情况，所有选用超五类系列信息模块，性能所有超过国际标准ISOIS11801的指标。而数据点采用普天超5类RJ45信息插座模块，其功能100MHz时其最差线对近端串音衰减高达44dB。专利设计的全金属化簧片结构，无印制板，保证长期使用的可靠性。模块化设计，免接线工具，使用灵活方便，后部压线盖设计更合理。模块安装方法：1.将双绞线按模块上标明的颜色相应插入；2.将上面板往下扣好，保证每条线都相应入槽；3.将模块扣上面板；插座面板选择：使用普天墙面新K2系列双位插座面板（如图3-2右），并具有防尘弹簧盖板，其功能有单口、双口、斜角双口三种规格，PC材料，面板上有标记模块用于端口标记，专利防尘门，可安装普天系列插座模块，外形尺寸：86×86mm。可配合底座明装盒或暗盒使用。面板安装方法：1.将接好的模块卡在面板上；2.标记块标记信息口的用途，安在面板上；3.端标语可用不干胶贴在外框面板反面，以便于管理；4.将面板盖好。图水平间子系统的设计图3.3水平子系统是由建筑物各管理间至各工作区之间的电缆构成。水平子系统的作用是将干线子系统电缆线路延伸到用户工作区，该系统从各个子配线间出发到达每个工作区的信息插座。水平线缆采用超五类4对非屏蔽双绞线。它可以在100m范围内保证155Mbps的传输速率，可以满足信息传输的规定。为了满足高速率数据传输，数据传输选用普天超5类四对UTP双绞线。图3.4RJ45水晶头的压接方法：（T568A标准）基本线序是绿白，绿，橙白，蓝，蓝白，橙，棕白，棕。1.RJ45水晶头线色、线对可按以下方法辨认：5类双绞线：（如图3.4）第1对：蓝白/蓝第2对：橙白/橙第3对：绿白/绿第4对：棕白/棕2.压接水晶头将5类双绞线外皮剥掉，留出4对双绞线长度约1厘米。按上述T568A标准安排线色顺序，并将8条线插入水晶头，用RJ45压线工具加工即成。布设方法：水平双绞线的安装长度均不应超过90米。水平双绞线布线从房间内的信息点引出并布到相应的配线机柜内。其设计采用PVC线槽安装。3.1.3管理间子系统的设计图3.5管理子系统连接水平电缆和垂直干线，是综合布线系统中关键的一环，常用设备涉及配线架、理线架、跳线和必要的网络设备，其作用是为连接其他子系统提供连接手段，允许将通信线路定位或重新定位到建筑物的不同部分，以便能容易地管理通信线路，使移动设备时能方便地进行跳接。为方便日后的更改、增长、维护，必须要对整个布线系统的电缆、连接硬件、空间、走道等进行统一管理。3.1.4垂直干线子系统的设计图3.61.干线子系统选型垂直干线的设计必须满足用户当前的需求，同时又能适合用户此后的规定。为此，我们采用普天6芯多模室内光缆，支持数据信息的传输。其功能在于多用途室内布线光缆是由若干根单模或多模单芯紧套光纤围绕中心加强构件胶合成缆芯后，外加绕包层，再套上PVC或低烟无卤（LSZH）材料外护套构成。由于多模光纤光耦合率高，纤芯对准规定相对较宽松。当计算机数据传输距离超过100米时，用光纤作为数据主干将是最佳选择，并具有大对数电缆无法比拟的高带宽和高保密性、抗干扰性。随着计算机网络和光纤技术的发展，光纤的应用愈来愈广泛。光纤的数据传输速率可达1Gbps以上，适应计算机网络的发展。2.干线电缆布设方法垂直干线子系统的作用是把主配线架与各分派线架连接起来，构架千兆校园网主干，也方便日后的网络扩展，干线电缆将使用明铺金属线槽由连接设备传递到设备间并送至最终接口。而计算机数据线路采用6芯室内多模光缆（如图3-7）。其优点是传输损耗小、抗干扰能力强、频带较宽，也是为了适应将来信息技术发展的规定。垂直干线电缆（涉及双绞线和光缆）沿弱电竖井中架设的金属线槽内（规格为200mm×100mm）敷设，电缆与金属线槽每米设一固定点。图设备间子系统的设计图3.8设备间子系统是整个布线数据系统的中心单元，实现每层楼汇接来的电缆的最终管理。设备间是在每幢大楼的适本地点设立进线设备，进行网络管理以及管理人员值班的场合。由综合布线系统的建筑物进线设备，数据、计算机等各种主机设备及其保安配线设备等组成，重要用于汇接各个IDF，涉及配线架、连接条、绕线环和单对跳线等。设备间子系统所有进线终端设备采用色标区别各类用途的配线区。为满足各种计算机网络系统对布线系统的规定。计算机网络可以通过光纤跳线组成结构航的线路连接，并通过各种网络协议支持着各种计算机网络。网络中心及各配线间安装：采用标准机柜，对所有信息点均通过一定的编码规则和颜色规则，以方便用户的使用和管理方便，数据主配线间设在整个校园的网络中心，用12芯室外光缆连接到各个楼的配线机柜内，本机柜此外还担负着一楼的所有信息点的配线架。主设备间对环境有较高规定。主设备间内需建立一个照明良好、通过仔细调节、安全而又得到保护的环境，通常应达成以下规定:1.保持室内无尘土，具有良好的通风条件，室内的照明不低于540Lx。2.室温保持在18摄氏度到27摄氏度之间，相对湿度保持在30%至55%。建议安装空调以保证温度、湿度规定。3.安装合适的符合相关规定规定的消防系统。使用防火门、至少能耐火1小时的防火墙(从地板到天花板)和阻燃漆。房间至少有一扇窗留作安全出口。设备间内设备安装建议进行抗震加固。具体措施为制作抗震底座并与地面用膨胀螺栓固定。网络机架用螺栓固定在抗震底座上。设备间内机架或机柜前面净空大于800mm，后面净空大于600mm。壁挂式配线设备底部离地面的高度大于300mm。任意配线架的金属基座都应接地，接地电阻不大于3欧姆，每个电源插座的容量不小于300W。室内应提供UPS电源以保证网络设备运营及维护的供电，对电源插座的容量也有一定的规定。对各楼中的管理间对环境也有规定。对于环境温度，通风情况等都必需符合一定的规定，通常应尽量保持室内无尘土，符合有关的消防规范，配置消防系统等。设备间的面积（除网络中心外）建议大于10平方米。设备间提供2个200V、10A带保护接地的单相电源插座。第4部分设备调试4.1接入层配置(一楼)SysnameCC-H3C-E026-9101Intvlan1IpaddVlan101Intvlan101Porte0/1toe0/24Inte0/24Portlink-typetrunkPorttrunkpermitvlanallSysnameCC-H3C-E026-9102Intvlan1IpaddVlan102Intvlan102Porte0/1toe0/24Inte0/24Portlink-typetrunkPorttrunkpermitvlanallSysnameCC-H3C-E026-9103Intvlan1IpaddVlan103Intvlan103Porte0/1toe0/24Inte0/24Portlink-typetrunkPorttrunkpermitvlanallSysnameCC-H3C-E026-9104Intvlan1IpaddVlan104Intvlan104Porte0/1toe0/24Inte0/24Portlink-typetrunkPorttrunkpermitvlanallSysnameCC-H3C-E026-9105Intvlan1IpaddVlan105Intvlan105Porte0/1toe0/24Inte0/24Portlink-typetrunkPorttrunkpermitvlanallSysnameCC-H3C-E026-9106Intvlan1IpaddVlan106Intvlan106Porte0/1toe0/24Inte0/24Portlink-typetrunkPorttrunkpermitvlanallSysnameCC-H3C-E026-9107Intvlan1IpaddVlan107Intvlan107Porte0/1toe0/24Inte0/24Portlink-typetrunkPorttrunkpermitvlanallSysnameCC-H3C-E026-9108Intvlan1IpaddVlan108Intvlan108Porte0/1toe0/24Inte0/24Portlink-typetrunkPorttrunkpermitvlanallSysnameCC-H3C-E026-9110Intvlan1IpaddVlan110Intvlan110Porte0/1toe0/24Inte0/24Portlink-typetrunkPorttrunkpermitvlanallSysnameCC-H3C-E026-9111Intvlan1IpaddVlan111Intvlan111Porte0/1toe0/24Inte0/24Portlink-typetrunkPorttrunkpermitvlanallSysnameCC-H3C-E026-9115Intvlan1IpaddVlan115Intvlan115Porte0/1toe0/24Inte0/24Portlink-typetrunkPorttrunkpermitvlanallSysnameCC-H3C-E026-9117Intvlan1IpaddVlan117Intvlan117Porte0/1toe0/24Inte0/24Portlink-typetrunkPorttrunkpermitvlanallSysnameCC-H3C-E026-9119Intvlan1IpaddVlan119Intvlan119Porte0/1toe0/24Inte0/24Portlink-typetrunkPorttrunkpermitvlanall4.2汇聚层配置（一楼）SysnameCC-H3C-HUIJU-9109Intvlan10IpaddVlan10Intvlan10Porte0/1toe0/7Inte0/24Portlink-typetrunkPorttrunkpermitvlanallInte0/2Portlink-typetrunkPorttrunkpermitvlanallquitmstpenable4.3核心层配置SysnameCC-H3C-E026-9307Intvlan50IpaddVrrpvrid1virtual-ip54Vrrpvrid1priority120Vlan50Porte1/0/1Portlink-typetrunkPorttrunkpermitvlanallQuitIntbridge-aggregationgroup1Inte1/0/10Portlink-aggregationgroup1Inte1/0/11Portlink-aggregationgroup1 QuitMstpenableIproute-static4.4防火墙配置SysnameccitsoftfirewallDvpnserviceenableFirewallpacket-filterenableFirewallpacket-filterdefaultpermitFirewallzonetrustAddinte0/0FirewallzoneuntrustAddinte1/0FirewallzoneDMZAddinte1/1Inte0/0Ipadd24Inte1/0Ipadd24Inte1/1Ipadd54QuitFirewallintzonetrustuntrustftpserviceenablewebserviceenableaclnumber3001rule0denytcpsource-porteq3127rule1denytcpsource-porteq1025rule2denytcpsource-porteq5554rule3denytcpsource-porteq9996rule4denytcpsource-porteq1068rule5denytcpsource-porteq135rule6denytcpsource-porteq135rule7denytcpsource-porteq137rule8denyudpsource-porteqnetbios-nsrule9denytcp