中小型企业局域网组建与设计-网络工程本科生毕业论文

xx工学院本科毕业论文第第页第1章绪论1.1课题研究背景中小型企业组网现状是网络发展得太快，企业网络跟不上时代，很多技术还远远停留在几年前的水平。在现代商业竞争激烈的前提下，大家追求的是低成本高收入，商业机密对于每个企业来说都关系到其生死存亡，信息的保密性能不好，需要共享的信息又不能及时与同企业客户分享，信息时代，滞后的信息给企业带来的损失时无法估计的，然而高效的企业组网成本过高，安全性能不好，数据的处理不全面等问题一直困扰着众多企业。对于现今科技迅速发展的时代，选择合适的技术，以及如何用他们来适应当前或将来的需要，适应当今快速变化的技术环境，通过对网络设备的不断优化，保证应用对网络性能的要求。网络系统优化是降低投资、提高资源利用率的有效措施，从而为中小型企业参与市场竞争打下基础，以适应现代市场的需求，用最低的成本创造最高的价值。组建一个能够高效、快速、稳定、安全运行的局域网势在必行。因此全面、细致的组网规划，让其适应企业的发展特点及网络通信设备的发展趋势，在主机选择、网络结构设计、网络设备配置、网络管理方式、应用开发方法等方面具有一定的先进性，要能够方便用户的使用习惯，确保其内部资源的安全性和可靠性，用最少的投入，建立一个尽可能高水平的、完善的计算机网络系统。网络管理成为现在企业重要的要求，对于企业内部整体网络的把握，历史信息保存等的整体把握。企业的安全防范。国内大型企业由于信息化较早、资金不足和技术力量充足、管理制度较为完善，因此信息安全体系成熟度也相对较高，但是众多中小企业的信息安全状况却令人担忧。病毒的泛滥、黑客攻击、垃圾邮件、恶意软件、信息失控、入侵攻击等对中小型企业来说都是致命的。性能的改善。中小企业由于规模小，IT人才相当匮乏，一个中型企业的IT人员往往只有一个人，而且可能还有身兼数职。良好的性能方便企业的管理。网络运行、维护、升级成本的降低。由于中小企业业务流程大多处于混乱状态，既要提高企业运作效率，降低运营管理成本，把握商业机会，过高的成本只能使企业负担不起。用最低的成本做最适合企业的组网。现代经济活动离不开信息和网络，随着在经济活动中扮演的角色越来越重要，中小企业对网络和信息技术的依赖性也越来越强。效率、利润向来是企业的需求，任何东西当然不是越贵越好，而是最符合企业的要求，满足其各方面需要才是最重要的。从事网络系统集成的技术人员都清楚，网络产品与技术发展非常快，通常同一档次网络产品的功能和性能在提升的同时，产品的价格却在下调。因此局域网组建的设备选型要突出实用、好用、够用的原则，不可能也没必要实现所谓的“一步到位”。因此实用性、可靠性、安全性、开放性、可扩展性、可管理性就成为现在企业组网的基本要求和发展趋势。1.2课题研究意义在网络信息时代的今天，面向新的需求和挑战，Internet的出现，给人们的生活带来许多的乐趣，人们可以在网上接受大量的信息，可以在网上购物以及收发E-mail等。由于家庭、小公司企业出于种种原因，需要几台PC同时连上Internet，通过局域网共享Internet。对大多数非专业的计算机用户，网络还只是计算机的一个别名，即使对一些专业人士，网络也只是一些抽象的概念。现在单位甚至家庭都拥有一台以上的电脑，如果能把这些电脑以很少的代价互连起来，既能起到共享资源（文件、打印机、Modem、ISDN等）作用，又能节约经费开支。组建局域网要讨论三个要素，无论是公司外连网还是家庭内连网，要较好地发挥局域网的作用都要涉及三个要素：运载基础设施、运载设施和运载信息。研究如何提高企业信息网络的可靠性与效率，通过对网络设备的不断优化，保证应用对网络性能的要求。网络系统优化是降低投资、提高资源利用率的有效措施，从而为中小型企业参与市场竞争打下基础，以适应现代市场的需求，用最低的成本创造最高的价值。

小企业用户的局域网一般来说网络结构不太复杂，主机数量不太多，服务器提供的服务相对较少。这样的网络通常很少甚至没有专门的管理员来维护网络的安全。因此良好计算机组网对中小型企业的信息共享，消息保密，网络维护、减少数据的丢失损坏等都至关重要。因此建设企业规范化的信息处理系统。为了提高企业综合素质和企业竞争力，组建一个能够高效、快速、稳定、安全运行的局域网势在必行。1.3课题研究内容本文通过第一章绪论来介绍研究课题的背景，意义，以及论文主要内容。第二章写需求分析，中小型企业对局域网需求，包括：社会需求，网络应用需求，网络技术需求，功能需求，网络安全需求，通过需求分析来介绍局域网对于企业真正意义。第三章典型中小企业组网实例中可以了解到企业的典型结构和典型拓补图，以及基本的设计原则和要达到的目标，本章为第四章打下了结实的基础。第四章在第三章的基础上进行实施，综合布线，选择网络连接设备，网络传送的配置，最后进行测试与检查，第五章是对局域网安全做分析与防治。至此论文基本就结束了。我相信我的课题会帮助很多中小型企业局域网的组建与设计，我也相信我的课题会对中小型企业的发展与现代化有帮助。 第2章需求分析2.1社会需求个人家庭、一般小公司企业局域网一般为小规模的组网，节点数一般不超过30个，网络应用简单，对通信的要求也不高，因此小型局域网是最适合此类用户。小型局域网我们选择对等网。对等网是通过直接电缆连接。直接电缆连接只是一种通讯手段。每次只能让一方访问另外一方，具体地说就是只能客户机访问主机。要使主机能访问客户机，必须重新设置直接电缆连接，使主/客位置换过来才能达到目的。显然，这只是一种临时使用的通讯手段，并非长远之策。对等网相对直接电缆连接就高级了一些，它不但方便连接两台以上的电脑，而且更关键的是它们之间的关系是对等的，连接后双方可以互相访问，没有主客阶级差异；然而，对等网仍然不能共享可执行程序、Internet，只有上升到客户/服务器结构的局域网，才能共享服务器上的可执行程序、Internet。当然，那样的网络需要牺牲一台高性能的电脑作为网络中的服务器让大家共享。因此，对等网是一种投资少、见效快、高性价比的实用型小型网络系统。2.2网络应用需求实现企业局域网与其他各网络之间的安全、高速数据访问交换采用Internet代理服务，实现企业所有站点通过电脑网络高速Internet。建立WWW服务器，实现企业在Internet和Intranet上的信息发布，使公司内外的人员能够即使了解公司的最新信息。建立邮件服务器，实现企业工作人员与上级机构、分支机构等的电子信息的传递。构建起企业运行基于网络设计的Client/Server(客户机/服务器)或Browser/Server(浏览器/服务器)结构的办公自动化系统、各种信息管理系统的网络硬件平台和系统运行平台。公司Internet应用是作为我们设计网络一期的依据，因此，我们从公司Internet应用及应用发展入手，分析目前及未来发展的公司Internet应用，并根据这些应用的自身特点，从带宽需求、传输时延、传输的可靠性、传输的安全性等因素来分析，综合考虑并总结出公司Internet应用的发展需求。2.3网络技术需求主干网络采用速率为1000Mbps的交换技术。作为公司主干的支撑网络，要求安全可靠，并可实现主干网络冗余、链路容错等功能。系统各层网络之间良好互联。千兆交换机与主机服务器之间良好互联。具有良好便捷网络管理平台。网管系统是开放式网管平台，并可以对全网进行故障管理、配置管理、性能管理、事物处理管理、流量控制管理、日志管理、多厂家产品管理、MIB管理、效率管理和图形化管理。网络骨干设备具有较高的可靠性；核心设备支持热插拔，具有容错设计。网络设备具有较好的扩展性，系统能够平滑升级及扩充。2.4功能需求资源共享功能：网络的各个桌面用户可共享数据库、共享打印机，实现办公自动化系统中的各功能。通信服务功能：最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问。多媒体功能：支持多媒体组播，具有卓越的服务质量保证功能。远程VPN拨入访问功能：系统支持远程PPTP接入，外地员工可利用INTERNET远程访问公司资源2.5网络安全需求网络安全主要解决访问互联网及中心服务器的安全问题，考虑以下因素：1、

公司网与Internet网相连后具有“防火墙”过滤功能，以防止网络黑客入侵网络系统；2、

良好的认证体系可防止假冒合法用户的攻击；3、

良好的备份和恢复机制，可在攻击造成损失时，帮助系统尽快地恢复数据和系统服务；4、

多层防御，攻击者在突破第一道防线后，应有多层防御可以延缓或阻断其到达攻击目标；5、

通过NAT地址转换功能隐藏内部信息，这样可以使攻击者不能了解系统内的基本情况；6、设立安全监控中心为信息系统提供安全体系管理、监控、保护及紧急情况服务。第3章典型中小企业组网实例3.1设计原则家庭、公司需求为前提原则坚持以家庭、公司具体需求为小型局域网信息系统方案设计的根本和前提，同时，也要注重源于需求又高于需求的原则，注意用专业化的技术思想来帮助家庭、公司方进行小型局域网的规划与设计，确保局域网的实用性、先进性和便于扩展性。

品质与成本匹配原则选择品质最好的设备不一定是最佳方案，成本因素也是一个不容忽视的问题，只有将品质与成本实现最佳匹配，才是一个最优秀的方案。技术应用全面原则在技术应用方面，我们全面考虑其实用性、先进性、开放性、可扩充性、可靠性、安全保密性及友好性。坚持标准原则一切局域网设计和布线，均要遵循国际标准。3.2设计局域网的目标首先，通过Internet与网络相连，与外界进行资源共享和信息共享。然后,通过局域网实现网内的资源共享与信息交换，如文件、打印机等等。3.3中小型企业典型结构3.4中小型企业典型网络拓补图第4章局域网综合布线与实施4.1局域网综合布线与设计4.1.1综合布线的规划与设计有了好的机房，网络设备就有了好的“家”，组建的IT网络应当通过布线系统将机房和办公地点互联起来，确保网络的正常运行。如果企业的接入点较多，我们可以采取接入层、汇聚层、交换层三个网络层次的设计，在此基础上进行布线系统。对于接入层来说，选择一个合理的接入设备，是最关键的，而且我们要根据接入设备选择合适的带宽。汇聚层是整个局域网的核心部分，汇聚层网络设备一般支持网络管理功能，方便我们的管理和维护，方便以后我们的网络升级和改造。交换层是整个网络中的中间层，连接着汇聚层和网络节点，是决定我们整体网络传输质量的很重要的一个环节。随着百兆网络设备的普及，我们交换层的网络设备，肯定首选百兆。布线是连接网络接入层、汇聚层、交换层和网络节点的重要环节。在布线时，最好使用专门的通道，而且不要与电源线，空调线等具有辐射的线路混合布线。接入层与汇聚层之间的双绞线，可以选择超五类屏蔽双绞线，以使网络性能得到最大的提升。汇聚层与交换层之间的双绞线，由于是网络数据传输量最大的一个层次，同样采用超五类屏蔽双绞线。交换层与网络节点之间，我们就可以采用普通的超五类非屏蔽双绞线。网络设备的放置，最好放在节点的中央位置，这样做，不是为了节约综合布线的成本，而是为了提高网络的整体性能，提高网络传输质量。由于双绞线的传输距离是100米，在95米才能获得最佳的网络传输质量。在做网络布线时，最好能够设计一个设备间，放置网络设备。4.1.2网络布局的规划与设计目前的网络设备大都采用机架式的结构，如交换机、路由器、硬件防火墙等。这些设备之所以有这样一种结构类型，是因为它们都按国际机柜标准进行设计，这样大家的平面尺寸就基本统一，可把一起安装在一个大型的立式标准机柜中。这样做的好处非常明显：一方面可以使设备占用最小的空间，另一方面则便于与其它网络设备的连接和管理，同时机房内也会显得整洁、美观。我们经常接触到的放置机房里有网络机柜、服务器机柜以及综合布线柜，从这三个机柜的名字就可以看出它们各自所起的作用；一般来说，网络设备如交换机、路由器、防火墙、加密机等以及网络通信设备如光端机、调制解调器等是放置在网络机柜的；服务器机柜的宽度为19英寸，高度以U为单位（1U=1.75英寸=44.45毫米），通常有1U，2U，3U，4U几种标准的服务器。机柜的尺寸也是采用通用的工业标准，通常从22U到42U不等；机柜内按U的高度有可拆卸的滑动拖架，用户可以根据自己服务器的标高灵活调节高度，以存放服务器、集线器、磁盘阵列柜等设备。服务器摆放好后，它的所有I/O线全部从机柜的后方引出（机架服务器的所有接口也在后方），统一安置在机柜的线槽中，一般贴有标号，便于管理。综合布线柜一般配有前后可移动的安装立柱，自由设定安装空间，可按需要配置隔板、风扇、电源插座等附件。配线架通常安装在机柜里，配线架的一面是RJ45口，并标有编号；另一面是跳线接口，上面也标有编号，这些编号和上面的RJ45口的编号是一一对应的。每一组跳线都标识有棕、蓝、橙、绿的颜色，双绞线的色线要和这些跳线一一对应，这样做不容易接错。配线架不仅仅是便于管理线对，而且可以防止串扰，增加线对的隔离空间，提供360度的线对隔离。在机房中，必须放置交换机、功能服务器群和网络打印设备，以及局域网络连接Internet所需的各种设备，如路由器、防火墙以及网管工作站等；因此机房的网络布局一般至少有三个机柜，综合布线柜和网络机柜应当紧连在一起，便于调线操作，接下来是服务器机柜；将网络设备和布线系统进行合理的布局。在网络布局中，每个机柜最好留点空间，便于以后网络设备、服务器设备的扩充，综合布线柜里有可能除了网络布线外，还有能布置电话线，所以要在机柜里留下一定空间。从机柜内部线缆附设的角度看，机柜配置密度更高，容纳的IT设备更多，大量采用冗余配件(如冗余电源、存储阵列等)，机柜内设备配置频繁变换，数据线和电缆随时增减。所以，机柜必须提供充足的线缆通道，能从机柜顶部、底部进出线缆。在机柜内部，线缆的敷设必须方便、有序，与设备的线缆接口靠近，以缩短布线距离；减少线缆的空间占用，保证设备安装、调整、维护过程中，不受到布线的干扰，并保证散热气流不会受到线缆的阻挡；同时，在故障情况下，能对设备布线进行快速定位。供电系统和制冷系统是计算机机房的两个重要部分。在供电系统中，一般采用在线的UPS供电方式，蓄电池实际可供使用的容量与蓄电池的放电电流大小、蓄电池的环境工作温度、贮存时间的长短以及负载的性质（电阻性、电感性、电容性）密切相关。制冷系统（空调）涉及到机房的整个物理环境，包括空调、地板、机柜及房间布局等诸多方面；因此UPS和空调我们也要考虑好将它们放置在一个合适的位置。如果机房空间较大，可以将UPS和空调都放在机房里；如果空间较小，可以把UPS（包括蓄电池）放在配电房里。需要注意的是如果大楼里安装有“中央空调”的话，机房里也必须安装独立的空调，因为中央空调不可能24小时都开着，上班的时间可以利用中央空调，下班和星期节假日的时候，如果服务器、网络设备需要正常运行的话，则必须要开机房里的独立空调。机柜的扩展性表现在机柜内设备密度的扩展和机柜数量的扩展，因此网络布局时必须将机柜的配风能力（通常称为散热能力）以及配电能力考虑在内。一方面，机柜内的设备需要温度、湿度适宜并且风量充足的冷风（冷空气）。这些冷风被机柜内的IT设备吸入，从而为设备内的部件（尤其是CPU）降温。当机柜内设备增加到一定数量时，由地板出风口送出的冷风风量将不能满足所有设备的需求，从而形成部分IT设备配风不足而过热。解决机柜内设备密度扩展时遇到的这种局部热点问题可以采用调配IT设备位置的方式来解决。例如，把热负荷最大的设备安装在机柜中部位置，以便获得最大的配风风量。另外的解决方法是，在机柜的上部或下部位置安装轴向水平的强排风扇，增强上部或下部的吸入能力（即减小IT设备的入口静压），从而增加配风风量。另一方面，机柜内的设备需要供电以及与机柜外部进行通信。当机柜内的IT设备数量增加时，这些线缆、连接端子同时成倍地增加，从而对机架式电源排插的容量、插口数量都提出了扩展要求。机柜内的布线空间也是需要提前考虑的，因为当机柜内的功率密度提高时，设备后部的线缆将明显增加风阻，所以必须考虑线缆管理及走线空间的问题。4.1.3网络布局具体实施要求对于有线局域网来说，这是我们目前企业网络建设中，经常会遇到的，需要对机房和办公大楼进行布线。规划网络布局要考虑到机房的设备布局和布线系统的合理搭配。因此我们首先要规划与设计好机房、布线系统，然后再全面地考虑网络的布局。.机房的规划与设计为了确保网络、计算机系统稳定、安全、可靠地运行，以及保障机房工作人员有良好的工作环境，做到技术先进、经济合理、安全适用、确保质量，符合国家有关的机房设计规定。(1)防静电静电不仅会对计算机运行出现随机故障，而且还会导致某些元器件，双级性电路等的击穿和毁坏。此外，还会影响操作人员和维护人员的正常的工作和身心健康。(2)防火、防盗计算机房在设计时，重点要考虑机房的消防灭火设计。设计时可以根据消防防火级别来确定机房的设计方案，计算机房火灾报警要求在一楼设有值班室或监控点。机房里应注意防盗设施的安装，具体地可采用防盗门、防盗锁、警卫、自动报警系统等等。(3)防雷由于机房通信和供电电缆多从室外引入机房，易遭受雷电的侵袭，机房的建筑防雷设计尤其重要。计算机通信电缆的芯线，电话线均应加装避雷器。(4)保湿、保温机房里的湿度应保持在20%-80%为宜，机房的温度应保持在15℃-35℃摄氏度，安装空调来调节温度是解决此问题最好的办法。4.2局域网组网网路设备选择组建计算机网络，特别是LAN范畴的网络，

正确选择网络设备是重要的任务之一。这里所谈的网络设备的选择有两种含义：一种是从应用需要出发所进行的选择；另一种是从众多厂商的产品中选择性能／价比高的产品。在LAN环境下，

通常涉及的网络设备有下述一些:用于连接到LAN的网卡；构成LAN的集线器；用于进行LAN互连的网桥和路由器；服务器；工作站；磁盘控制器；网络打印机；网络拓扑结构；电缆类型等。服务器、工作站、硬盘驱动器、磁盘控制器等都不应归类到网络设备。但在组建网络时这些设备都不可少，所以在这里也要介绍一些网络环境下对这些设备的要求。核心层：思科的CiscoCatalyst3560G-24TS--24-2全千兆三层交换机CiscoCatalyst3560系列交换机是一个采用快速以太网配置的固定配置、企业级、IEEE802.3af和思科预标准以太网电源（PoE）的交换机，提供了可用性、安全性和服务质量（QoS）功能，改进了网络运营。Catalyst3560系列是适用于小型企业布线室或分支机构环境的理想接入层交换机，这些环境将其LAN基础设施用于部署全新产品和应用，如IP电话、无线接入点、视频监视、建筑物管理系统和远程视频信息亭。客户可以部署网络范围的智能服务，如高级QoS、速率限制、访问控制列表、组播管理和高性能IP路由，并保持传统LAN交换的简便性。内嵌在CiscoCatalyst3560系列交换机中的思科集群管理套件（CMS）让用户可以利用任何一个标准的Web浏览器，同时配置多个Catalyst桌面交换机并对其排障。CiscoCMS软件提供了配置向导，它可以大幅度简化融合网络和智能化网络服务的部署。

Catalyst3560系列为采用思科IP电话和CiscoAironet无线LAN接入点，以及任何IEEE802.3af兼容终端设备的部署，提供了较低的总体拥有成本（TCO）。以太网电源使客户无需再为每台支持PoE的设备提供墙壁电源，免除了在IP电话和无线LAN部署中所必不可少的额外布线。Catalyst356024端口版本可以以支持24个15.4W的同步全供电PoE端口，从而获得了最佳上电设备支持。通过采用CiscoCatalyst智能电源管理，48端口版本可支持24个15.4W端口、48个7.7W端口，或它们的任意组合。当Catalyst3560交换机与思科冗余电源系统675(RPS675)共用时，可提供针对内部电源故障的无缝保护，而不间断电源（UPS）系统可防范电源中断情况，从而使融合式语音和数据网络实现最高电源可用性。汇聚层换机选择：Catalyst2950-24交换机CiscoCatalyst2950系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列，提供了线速快速以太网和千兆位以太网连接。这是一款最廉价的Cisco交换产品系列，为中型网络和城域接入应用提供了智能服务。作为思科最为廉价的交换产品系列，CiscoCatalyst2950系列在网络或城域接入边缘实现了智能服务。

主要的中型企业优势

在布线室配线间中实现了智能的服务质量（QoS）、限速、访问控制列表（ACL）和多播服务

在多种介质上提供了升级到千兆位以太网的强大路径

凭借内置Cisco集群管理套件可出色地管理并轻松地配置第2-4层服务

与CiscoCatalyst3550系列集中汇聚交换机相结合，用于IP路由至网络核心

主要的城域接入优势

通过高级QoS、限速、语音及多播特性提供广泛的服务

通过生成树协议改进和访问控制参数（ACP）来提供服务可用性和安全性

通过CiscoIE2100系列智能引擎支持和简单网络管理协议（SNMP）来实现服务管理思科PIX-501防火墙PIX501防火墙是一种针对特定需求而设计的安全设备，可以在单独的一个设备中提供丰富的安全服务，包括状态监测防火墙、虚拟专用网（VPN）和入侵防范等。还可以利用其基于标准的互联网密钥交换（IKE）/IP安全（IPSec）VPN功能，确保远程办公机构通过互联网与企业网络之间进行的所有网络通信的安全，故此适合于小型办公室网络或者大型网络中的局部网络使用。4.3局域网组建与网络设备的配置4.3.1局域网组建网段及VLAN的划分建筑物部门所属VLANIP地址办公楼经理办公室Vlan11/24财务部Vlan12/24综合部Vlan13/24后勤部Vlan14/24人事部Vlan15/24行政部Vlan16/24共享打印机、Vlan17/244.3.2网络设备的配置1.核心层交换机vlan的配置结果如下：配置Switch3交换机设置交换机主机名Switch>enableSwitch#configuretSwitch(config)#hostnameS3S3(config)#exit创建VTP管理域，并设置为server模式S3#vlandatabaseS3(vlan)#vtpserverS3(vlan)#exit创建VLAN,配置VLAN名，S3#vlandatabase配置经理办公室VLANS3(vlan)#vlan11namejinglibangongshi配置财务处VLANS3(vlan)#vlan12namecaiwuchu配置技术部VLANS3(vlan)#vlan13namejishubu配置销售部VLANS3(vlan)#vlan14namexiaoshoubu配置人事部VLANS3#（vlan）#vlan15namerenshibu配置服务器VLANS3(vlan)#vlan16namefuwuqizu配置共享打印机VLANS3(vlan)#vlan17namegonxiangdayinji将端口F0/1,F0/2设置为VLAN中继模式F0/1进入端口配置模式S3#conftS3(config)#interfacefastethernet0/1将端口设置为二层方式S3(config)#switchport封装dotlq协议S3(config)#switchporttrunkencapsulationdot1q设置为trunk模式S3(config)#switchportmodetrunkF0/2进入端口配置模式S3#conftS3(config)#interfacefastethernet0/2将端口设置为二层方式S3(config)#switchport封装dotlq协议S3(config)#switchporttrunkencapsulationdot1q设置为trunk模式S3(config)#switchportmodetrunk配置VLAN11接口地址S3(config)#interfacevlan11S3(config-if)#ipaddress配置VLAN12接口地址S3(config)#interfacevlan12S3(config-if)#ipaddress配置VLAN13接口地址S3(config)#interfacevlan13S3(config-if)#ipaddress配置VLAN14接口地址S3(config)#interfacevlan14S3(config-if)#ipaddress配置VLAN15接口地址S3(config)#interfacevlan15S3(config-if)#ipaddress配置VLAN16接口地址S3(config)#interfacevlan16S3(config-if)#ipaddress配置VLAN17接口地址S3(config)#interfacevlan17S3(config-if)#ipaddress将F0/3-5端口划给VLAN16，只列出F0/3的配置，其余端口的配置与F0/3相同S2(config)#intf0/3设置为访问模式S2(config-if)#switchportmodeaccess分配给VLAN16S2(config-if)#switchportaccessvlan16接入层交换机Swich1的配置结果如下：进入vtp数据库S1#vlandatabase设置vtp域名S1(vlan)#vtpdomainmyvtpdomain设置vtp模式S1(vlan)#vtpclientS1(vlan)#exitS1#configureterminal配置接口F0/1为中继接口S1(config)#interf0/1封装dotlq协议S1(config-if)#switchporttrunkencapsulationdot1p设置为trunk模式S1(config-if)#switchportmodetrunk将F0/2端口划给VLAN11，只列出F0/2的配置，其余端口的配置与F0/2相同S1(config)#intf0/2设置为访问模式S1(config-if)#switchportmodeaccess分配给VLAN11S1(config-if)#switchportaccessvlan11将F0/3-4端口划给VLAN15，只列出F0/3的配置，其余端口的配置与F0/3相同S1(config)#intf0/3设置为访问模式S1(config-if)#switchportmodeaccess分配给VLAN15S1(config-if)#switchportaccessvlan15将F0/5-6端口划给VLAN12，只列出F0/5的配置，其余端口的配置与F0/5相同S1(config)#intf0/5设置为访问模式S1(config-if)#switchportmodeaccess分配给VLAN12S1(config-if)#switchportaccessvlan126.3接入层交换机Switch2的配置结果如下：进入vtp数据库S2#vlandatabase设置vtp域名S2(vlan)#vtpdomainmyvtpdomain设置vtp模式S2(vlan)#vtpclientS2(vlan)#exit配置接口F0/1为中继接口S2(config)#intf0/1封装dotlq协议S2(config-if)#switchporttrunkencapsulationdot1q设置为trunk模式S2(config-if)#switchportmodetrunk将F0/2-4端口划给VLAN13，只列出F0/2的配置，其余端口的配置与F0/2相同S2(config)#intf0/2设置为访问模式S2(config-if)#switchportmodeaccess分配给VLAN13S2(config-if)#switchportaccessvlan13将F0/5-6端口划给VLAN14，只列出F0/4的配置，其余端口的配置与F0/4相同S2(config)#intf0/5设置为访问模式S2(config-if)#switchportmodeaccess分配给VLAN14S2(config-if)#switchportaccessvlan14将F0/7端口划给VLAN17S2(config)#intf0/7设置为访问模式S2(config-if)#switchportmodeaccess分配给VLAN17S2(config-if)#switchportaccessvlan172.配置ACL：配置ACL应用在各个部门VLAN接口上，控制各部门互访1.把访问控制列表11应用于VLAN10OUT方向上，经理办公室内部可以互访，可以访问服务器网段和网络打印机网段，但不能其他部所在网段。access-list11permit55access-list11permit55access-list11deny55access-list11permitanyintvlan11ipaccess-group11out2.把访问控制列表12应用于VLAN10OUT方向上，财务部内部可以互访，可以访问服务器网段和网络打印机网段，但不能其他部所在网段。access-list12permit55access-list12permit55access-list12deny55access-list12permitanyintvlan12ipaccess-group12out3.把访问控制列表15应用于VLAN10OUT方向上，人事部内部可以互访，可以访问服务器网段和网络打印机网段，但不能其他部所在网段。access-list15permit55access-list15permit55access-list15deny55access-list15permitanyintvlan15ipaccess-group15out4.把访问控制列表13应用于VLAN10OUT方向上，技术部内部可以互访，可以访问服务器网段和网络打印机网段，但不能其他部所在网段。access-list13permit55access-list13permit55access-list13deny55access-list13permitanyintvlan13ipaccess-group13out5.把访问控制列表14应用于VLAN10OUT方向上，销售部内部可以互访，可以访问服务器网段和网络打印机网段，但不能其他部所在网段。access-list14permit55access-list14permit55access-list14deny55access-list14permitanyintvlan14ipaccess-group14out4.4局域网检查与测试测试方法

在交换机两端分别连接一台笔记本，使用ping命令，ping对方IP地址，能够ping通则说明网络能够联通。第5章局域网的安全控制与病毒防止5.1局域网的安全分析局域网由于通过交换机和服务器连接网内每一台电脑，因此局域网内信息的传输速率比较高，同时局域网采用的技术比较简单，安全措施较少，同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类：1.欺骗性的软件使数据安全性降低由于局域网很大的一部分用处是资源共享，而正是由于共享资源的“数据开放性”，导致数据信息容易被篡改和删除，数据安全性较低。例如“网络钓鱼攻击”，钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息：如用户名、口令、账号ID、ATMPIN码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据。以往此类攻击的冒名的多是大型或著名的网站，但由于大型网站反应比较迅速，而且所提供的安全功能不断增强，网络钓鱼已越来越多地把目光对准了较小的网站。同时由于用户缺乏数据备份等数据安全方面的知识和手段，因此会造成经常性的信息丢失等现象发生。2.服务器区域没有进行独立防护局域网内计算机的数据快速、便捷的传递，造就了病毒感染的直接性和快速性，如果局域网中服务器区域不进行独立保护，其中一台电脑感染病毒，并且通过服务器进行信息传递，就会感染服务器，这样局域网中任何一台通过服务器信息传递的电脑，就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击，但无法抵挡来自局域网内部的攻击3.计算机病毒及恶意代码的威胁由于网络用户不及时安装防病毒软件和操作系统补丁，或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击，正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件，在自己寄生的文件中注入新的代码。最近几年，随着犯罪软件（crimeware）汹涌而至，寄生软件已退居幕后，成为犯罪软件的助手。2007年，两种软件的结合推动旧有寄生软件变种增长3倍之多。2008年，预计犯罪软件社区对寄生软件的兴趣将继续增长，寄生软件的总量预计将增长20%。4.局域网用户安全意识不强许多用户使用移动存储设备来进行数据的传递，经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网，同时将内部数据带出局域网，这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。另外一机两用甚至多用情况普遍，笔记本电脑在内外网之间平凡切换使用，许多用户将在Internet网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用，造成病毒的传入和信息的泄密。5.IP地址冲突局域网用户在同一个网段内，经常造成IP地址冲突，造成部分计算机无法上网。对于局域网来讲，此类IP地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，所以网络管理员必须加以解决。正是由于局域网内应用上这些独特的特点，造成局域网内的病毒快速传递，数据安全性低，网内电脑相互感染，病毒屡杀不尽，数据经常丢失。5.2局域网安全控制与病毒策略1.加强人员的网络安全培训安全是个过程，它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看，主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行，必须注重把每个环节落实到每个层次上，而进行这种具体操作的是人，人正是网络安全中最薄弱的环节，然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理，注意管理方式和实现方法。从而加强工作人员的安全培训。增强内部人员的安全防范意识，提高内部管理人员整体素质。同时要加强法制建设，进一步完善关于网络安全的法律，以便更有利地打击不法分子。对局域网内部人员，从下面几方面进行培训：(1)加强安全意识培训，让每个工作人员明白数据信息安全的重要性，理解保证数据信息安全是所有计算机使用者共同的责任。(2)加强安全知识培训，使每个计算机使用者掌握一定的安全知识，至少能够掌握如何备份本地的数据，保证本地数据信息的安全可靠。(3)加强网络知识培训，通过培训掌握一定的网络知识，能够掌握IP地址的配置、数据的共享等网络基本知识，树立良好的计算机使用习惯。2.局域网安全控制策略安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作量最大的部分是客户端安全部分，对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题，才可以排除网络中最大的安全隐患，对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全的关键所在。(1)利用桌面管理系统控制用户入网。入网访问控制是保证网络资源不被非法使用，是网络安全防范和保护的主要策略。它为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制用户入网的时间和在哪台工作站入网。用户和用户组被赋予一定的权限，网络控制用户和用户组可以访问的目录、文件和其他资源，可以指定用户对这些文件、目录、设备能够执行的操作。启用密码策略，强制计算机用户设置符合安全要求的密码，包括设置口令锁定服务器控制台，以防止非法用户修改。设定服务器登录时间限制、检测非法访问。删除重要信息或破坏数据，提高系统安全行，对密码不符合要求的计算机在多次警告后阻断其连网。(2)采用防火墙技术。防火墙技术是通常安装在单独的计算机上，与网络的其余部分隔开，它使内部网络与Internet之间或与其他外部网络互相隔离，限制网络互访，用来保护内部网络资源免遭非法使用者的侵入，执行安全管制措施，记录所有可疑事件。它是在两个网络之间实行控制策略的系统，是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。采用防火墙技术发现及封阻应用攻击所采用的技术有：（1）深度数据包处理。深度数据包处理在一个数据流当中有多个数据包，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量，以避免应用时带来时延。（2）IP/URL过滤。一旦应用流量是明文格式，就必须检测HTTP请求的URL部分，寻找恶意攻击的迹象，这就需要一种方案不仅能检查RUL，还能检查请求的其余部分。其实，如果把应用响应考虑进来，可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作，可以阻止通常的脚本类型的攻击。（3）TCP/IP终止。应用层攻击涉及多种数据包，并且常常涉及不同的数据流。流量分析系统要发挥功效，就必须在用户与应用保持互动的整个会话期间，能够检测数据包和请求，以寻找攻击行为。至少，这需要能够终止传输层协议，并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。系统中存着一些访问网络的木马、病毒等IP地址，检查访问的IP地址或者端口是否合法，有效的TCP/IP终止，并有效地扼杀木马。时等。（4）访问网络进程跟踪。访问网络进程跟踪。这是防火墙技术的最基本部分，判断进程访问网络的合法性，进行有效拦截。这项功能通常借助于TDI层的网络数据拦截，得到操作网络数据报的进程的详细信息加以实现。封存所有空闲的IP地址，启动IP地址绑定，采用上网计算机IP地址与MAC地址唯一对应，网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略，可以有效防止IP地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。(3)属性安全控制。它能控制以下几个方面的权限：防止用户对目录和文件的误删除、执行修改、查看目录和文件、显示向某个文件写数据、拷贝、删除目录或文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件。启用杀毒软件强制安装策略，监测所有运行在局域网络上的计算机，对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。3.病毒防治病毒的侵入必将对系统资源构成威胁，影响系统的正常运行。特别是通过网络传播的计算机病毒，能在很短的时间内使整个计算机网络处于瘫痪状态，从而造成巨大的损失。因此，防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染。防毒的关键是对病毒行为的判断，如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒体系是建立在每个局域网的防病毒系统上的，主要从以下几个方面制定有针对性的防病毒策略：(1)增加安全意识和安全知识，对工作人员定期培训。首先明确病毒的危害，文件共享的时候尽量控制权限和增加密码，对来历不明的文件运行前进行查杀等，都可以很好地防止病毒在网络中的传播。这些措施对杜绝病毒，主观能动性起到很重要的作用。(2)小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀，也可把病毒拒绝在外。(3)挑选网络版杀毒软件。一般而言，查杀是否彻底，界面是否友好、方便，能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。瑞星杀毒软件在这些方面都相当不错，能够熟练掌握瑞星杀毒软件使用，及时升级杀毒软件病毒库，有效使用杀毒软件是防毒杀毒的关键。通过以上策略的设置，能够及时发现网络运行中存在的问题，快速有效的定位网络中病毒、蠕虫等网络安全威胁的切入点，及时、准确的切断安全事件发生点和网络。局域网安全控制与病毒防治是一项长期而艰巨的任务，需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化，安全问题日益复杂化，网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系，要具备完善的管理系统来设置和维护对安全的防护策略。总结现代社会是一个信息化的社会，人们对信息的需求越来越大，对信息的传递速度要求越来越快，因此现代化的办公网络应具有先进的信息检索、快速的传输方式及完备的信息管理手段。而宽带业务的产生，Intranet技术的发展给我们带来一个这样的新机遇。同时，Internet的发展也给我们带来了一个新的名词--Intranet，它在局域网中采用Internet的技术，使得局域网也能获得Internet的种种好处。例如可以让频道的员工无需复杂的培训便能使用统一的浏览界面查看频道发布的各种信息；频道的信息发布可以实现集中式管理，24小时发布，并可以实现无纸化、低成本；频道各部门及各员工之间可以更加方便地相互通讯；在Intranet上为员工提供技术培训具有方便、快捷的特点；此外，通过Web进行数据库检索，可以使频道人员更加方便地查找到所需要的信息。本设计以小型企业局域网的组建实现了，信息的传递和信息安全，满足企业内部之间的办公。致谢大学四年学习时光已经接近尾声，在此我想对我的母校，我的父母、亲人们，我的老师和同学们表达我由衷的谢意。感谢我的家人对我大学四年学习的默默支持；感谢我的母校xx工学院给了我在大学四年深造的机会，让我能继续学习和提高；感谢南工的老师和同学们四年来的关心和鼓励。老师们课堂上的激情洋溢，课堂下的谆谆教诲；同学们在学习中的认真热情，生活上的热心主动，所有这些都让我的三年充满了感动。这次毕业论文设计我得到了很多老师和同学的帮助，其中我的论文指导老师万里勇老师对我的关心和支持尤为重要。每次遇到难题，我最先做的就是向万老师寻求帮助。万老师平日里工作繁多，但我做毕业设计的每个阶段，从选题到查阅资料，论文提纲的确定，中期论文的修改，后期论文格式调整等各个环节中都给予了我悉心的指导。万老师不仅在学业上给我以精心指导，同时还在思想给我以无微不至的关怀，在此谨向万老师致以诚挚的谢意和崇高的敬意。同时，本篇毕业论文的写作也得到了校外导师李孜等同事的热情帮助。感谢在整个毕业设计期间和我密切合作的同学，和曾经在各个方面给予过我帮助的伙伴们，在此，我再一次真诚地向帮助过我的老师、同学以及同事表示感谢。 参考文献[1]、网络基础机械工业出版社，2002[2]、局域网的连接与维护，电子工业出版社，2002[3]、网络故障100例，机械工业出版社，2002[4]、手把手教你--局域网的组装与维护，2001[5]、校园网络技术与管理张际平主编东南大学出版社,2001[6]、局域网组建与管理郝文化主编机械工业出版社2003[7]、谭武梁，毛志雄，曾鸿.IT项目管理[8]、AndrewS.Tanenbaum著.潘爱民译.计算机网络.清华大学出版社，2004[9]、杨诚，尹少平.网络安全基础教程与实训[M].北京：北京大学出版社[10]、《网络管理标准教程》刘晓辉著人民邮电出版社出版[11]、《网络设计师教程》胡道元主编清华大学出版社出版[12]、DouglasE.comer.计算机网络与因特网．徐良贤.北京：电子工业出版社[13]、兰少华，扬余旺.TCP/IP网络与协议.清华大学出版社，2006[14]、张恒杰，将高飞.计算机网络工程.大连理工大学出版社，2008[15]、张城，尹少华.网络安全基础.北京大学出版社，2007 基于C8051F单片机直流电动机反馈控制系统的设计与研究基于单片机的嵌入式Web服务器的研究MOTOROLA单片机MC68HC（8）05PV8/A内嵌EEPROM的工艺和制程方法及对良率的影响研究基于模糊控制的电阻钎焊单片机温度控制系统的研制基于MCS-51系列单片机的通用控制模块的研究基于单片机实现的供暖系统最佳启停自校正（STR）调节器单片机控制的二级倒立摆系统的研究基于增强型51系列单片机的TCP/IP协议栈的实现基于单片机的蓄电池自动监测系统基于32位嵌入式单片机系统的图像采集与处理技术的研究基于单片机的作物营养诊断专家系统的研究基于单片机的交流伺服电机运动控制系统研究与开发基于单片机的泵管内壁硬度测试仪的研制基于单片机的自动找平控制系统研究基于C8051F040单片机的嵌入式系统开发基于单片机的液压动力系统状态监测仪开发模糊Smith智能控制方法的研究及其单片机实现一种基于单片机的轴快流CO〈,2〉激光器的手持控制面板的研制基于双单片机冲床数控系统的研究基于CYGNAL单片机的在线间歇式浊度仪的研制基于单片机的喷油泵试验台控制器的研制基于单片机的软起动器的研究和设计基于单片机控制的高速快走丝电火花线切割机床短循环走丝方式研究基于单片机的机电产品控制系统开发基于PIC单片机的智能手机充电器基于单片机的实时内核设计及其应用研究基于单片机的远程抄表系统的设计与研究基于单片机的烟气二氧化硫浓度检测仪的研制基于微型光谱仪的单片机系统单片机系统软件构件开发的技术研究基于单片机的液体点滴速度自动检测仪的研制基于单片机系统的多功能温度测量仪的研制基于PIC单片机的电能采集终端的设计和应用基于单片机的光纤光栅解调仪的研制气压式线性摩擦焊机单片机控制系统的研制基于单片机的数字磁通门传感器基于单片机的旋转变压器-数字转换器的研究基于单片机的光纤Bragg光栅解调系统的研究单片机控制的便携式多功能乳腺治疗仪的研制基于C8051F020单片机的多生理信号检测仪基于单片机的电机运动控制系统设计Pico专用单片机核的可测性设计研究基于MCS-51单片机的热量计基于双单片机的智能遥测微型气象站MCS-51单片机构建机器人的实践研究基于单片机的轮轨力检测基于单片机的GPS定位仪的研究与实现基于单片机的电液伺服控制系统用于单片机系统的MMC卡文件系统研制基于单片机的时控和计数系统性能优化的研究基于单片机和CPLD的粗光栅位移测量系统研究单片机控制的后备式方波UPS提升高职学生单片机应用能力的探究基于单片机控制的自动低频减载装置研究基于单片机控制的水下焊接电源的研究基于单片机的多通道数据采集系统基于uPSD3234单片机的氚表面污染测量仪的研制基于单片机的红外测油仪的研究96系列单片机仿真器研究与设计基于单片机的单晶金刚石刀具刃磨设备的数控改造基于单片机的温度智能控制系统的设计与实现基于MSP430单片机的电梯门机控制器的研制基于单片机的气体测漏仪的研究基于三菱M16C/6N系列单片机的CAN/USB协议转换器基于单片机和DSP的变压器油色谱在线监测技术研究基于单片机的膛壁温度报警系统设计基于AVR单片机的低压无功补偿控制器的设计基于单片机船舶电力推进电机监测系统基于单片机网络的振动信号的采集系统基于单片机的大容量数据存储技术的应用研究基于单片机的叠图机研究与教学方法实践基于单片机嵌入式Web服务器技术的研究及实现基于AT89S52单片机的通用数据采集系统基于单片机的多道脉冲幅度分析仪研究机器人旋转电弧传感角焊缝跟踪单片机控制系统基于单片机的控制系统在PLC虚拟教学实验中的应用研究基于单片机系统的网络通信研究与应用\t