计算机网络毕业设计论文(企业网络规划)

-3-第二章需求分析2.1背景分析淄博鑫盛网络公司成立于2012年，是一家主要从事网络系统开发以及网络技术解决方案的企业，公司在青岛还有一个分公司。总公司内主要建筑物是一栋8层的办公大楼，青岛分公司是一栋4层高的大楼。公司的职能部门具体情况为：一楼二楼为业务部，三楼为财务部，四楼为技术部，五楼为行政部，六楼为研发部，七楼为人力资源部和公关部，八楼有董事长办公室和会议窒。青岛分公司主要职能是为总公司研发产品与开拓市场，在一楼设有业务部，二楼设有研发部和公关部，三楼设有人力资源部和财务部，四楼是总经理办公室和会议室。随着企业的不断发展，为了适应办公自动化的现代需求，现要为企业架设典型的企业局域网。2.2应用需求分析企业内部网是使用国际互联网技术，包括TCP/IP协议而建成的网络。下面对本企业内部网进行一些分析。企业内部需要联网的节点数为200点，信息点分布在1-8楼，网络中心位于1楼，整个大楼采用光纤布线，楼层需要百兆交换到桌面。楼层配线间分别设在1、3、5、7层。企业主要包括技术部，财务部，销售部等，部门间需要划分Vlan进行隔离。企业网络的主要应用分为两部分：一部分是基础的网络应用，它包括内部文件共享、办公自动化系统（OA）、邮件和网站服务等；另一部分是企业的业务应用系统。企业网中大部分的用户数据来自对业务应用系统的访问，同时业务应用系统的可靠性的要求也最高。2.2.1企业网的管理策略基于一些现实问题的考虑，需要对企业网做一些管理策略，以方便公司管理人员以及网络管理员的管理工作更好的进行。整个公司的用户数量较多，为了集中管理，公司内部的所有PC和网络设备，均通过域的模式统一建立管理。同时在域控制器上设置一些组策略，可实现对网络中所有设备的统一管理。通过对组网技术和线路的选择，实现同时支持约100台pc访问Internet。在分布层交换机上做一些策略设置，允许公司的各部门可以互相访问，但之间的访问要有限制，允许各部门访问各应用服务器，允许技术部对各部门的访问，不允许其它部门访问财务部，其它部门只拥有访问本部门虚拟局域网的权利。同时设置访问策略，允许一些外部网络和主机用户访问本企业网。企业网络提供丰富的网络服务，实现广泛的资源共享，其中包括通过文件服务器实现的文件共享、通过设置Web服务器实现企业信息的共享，通过电子邮件服务器的设置实现的数据共享等。同时通过配置虚拟专用网络，实现远程登录和远程会议。在公司边缘路由器上配置网络转换2.2.2网络中服务器简介域控制器，域控制器存储目录数据，管理用户和域之间的通信（包括用户登录过程、验证和目录查找）。DNS服务器，域名系统（DNS）是Internet和TCP/IP的标准名称服务。DNS服务使客户端计算机能够在网络中注册并解析DNS域名。网络中必须有DNS服务器才能实现ActiveDirectory。DHCP服务器，动态主机配置协议（DHCP）是一种用于简化主机配置管理的IP标准，DHCP标准使用DHCP服务器向网络中的DHCP客户端动态地分配IP地址及其它与IP相关的配置数据。文件服务器，具有分时系统管理的全部功能，能够对全网统一管理，能够提供网络用户访问文件、目录的并发控制和安全保密措施。E-mail服务器，邮件服务器使得局域网中的所有用户可以通过邮件来互通信息。Web服务器，就是用于实现员工访问公司内部网页的服务，办公局域网中用户通过此服务器可以实现共享内容的网页访问，从而达到更好的共享效果，同时访问也更方便。流媒体服务器，不仅可以让办公环境内的所有用户共享播放一些视频资料，同时也有利于实现视频通话，网络广播等应用。代理服务器，是一种重要的安全功能，它主要起防火墙的作用。代理服务器大多被用来连接INTERNET（国际互联网）和INTRANET（局域网）。VPN服务器，VPN又叫做虚拟专用网络，VPN技术是指在公共网络中建立专用网络，数据通过安全的加密通道在公共网络中传播。AAA服务器，AAA服务器是认证服务器，替无线客户端到认证服务器身份验证的客户端（radius客户端），两者之间要有IP连接。在AAA服务器上设置radius客户端地址和加密密码，在radius客户端也要设置认证服务器的IP地址和加密密码。验证无线登录的用户名和密码，必须分别在认证服务器和无线登录的计算机上设置。2.2.3操作系统的选择WindowsServer2003以其安全性、可靠性、可用性和可伸缩性而受到诸多系统管理员的青睐，成为中小企业网络中最流行的网络操作系统。对于办公网络来说，WindowsServer2003无疑是一个非常理想的平台。利用WindowsServer2003，可以根据网络办公的需要，以集中或分布的方式充当各种网络服务器，为办公网络提供几乎所有的最基本的网络服务。因此，服务器端选用WindowsServer2003，客户端选用Windows7操作系统。2.3安全需求企业的网络安全主要是对各服务器进行授权访问，并进行病毒防护，数据备份，对企业内部计算机进行统一集中式的管理以及远程用户对公司网络的安全访问。企业网络的安全还包括各部门虚拟局域网之间的有限制性的访问。2.4网络扩展性需求首先要使得当前架设的网络尽可能的高性价比，即以最少的价钱实现最满意的性能需求。另一方面也要立足长远，考虑到企业未来的发展情况，使得企业网络能够在未来可以方便地向更高端更大范围的扩展，达到新的技术及应用需求。2.5实现目标首先是资源共享，企业内部的资源可以被授权的员工共享访问，包括文件，打印机等；其次是企业内部的通信，企业内部各部门可以在限制范围内实现通信，外出员工也可以安全地远程到企业内部网，部分员工也可以由内部网络安全地访问互联网；最后是通过网络实现对企业的统一管理。第三章逻辑网络设计第三章逻辑网络设计3.1组网技术选择组建一个适合于企业需求，高性价比，实用的网络是十分有意义的。中小企业组网同样要遵循下述原则，有先进性，可靠性，可扩展性，开放性，可管理和安全性，同时还应具有实用，经济，可升级等特点。吉比特以太网是建立在以太网标准基础之上的技术，并利用了原以太网标准所规定的全部技术规范，吉比特以太网也支持流量管理技术，它保证在以太网上的服务质量，这些技术包括IEEE802.1P、第二层优先级、第三层优先级的QoS编码位、特别服务和资源预留协议（RSVP）。目前，吉比特以太网已经发展成为主流网络技术。大到成千上万人的大型企业，小到几十人的中小型企业，在建设企业局域网时都会把千兆以太网技术作为首选的高速网络技术。因此，最终选用吉比特以太网作为该企业的组网技术方案。3.2网络设计原则实用性：网络建设的首要原则，企业网络架设完成后要具备实用性，要能够满足企业的实际需求。先进性：网络建设要具有超前意识，具有先进的设计思想、网络结构、软硬件设备以及使用先进开发工具。开放性:开放的系统才是具有生命的系统。企业网络要具备开放性，能与外部Internet互联，也能使受信任的其它企业网访问互通。可扩展性：企业需求会不断变化，网络系统的建设是逐步进行的，网络将在规模和性能两方面进行一定程度上的扩展。安全性：确保系统内部的数据、数据访问传输信息的安全的，避免非法用户访问和攻击。可靠性：保证系统不间断为用户提供服务，既要实现设备和线路的冗余，又要使用UPS电源，保证企业网络设备在任何突发状况下不致于断电。可管理性：提供灵活的管理平台能够对各设备进行统一管理，可管理性既依赖于管理平台管理软件的应用，也要求企业网络构建过程中，留有一份完整的网络文档以便于日后察看。最佳性价比：从总体上看，网络设计目标的关键在于成本与性能的权衡，在实现网络所要求的功能和服务的情况下，使用性能和价格皆适宜的设备和方案。3.3网络拓扑图设计为了达到企业对网络应用的需求，应该按照上述原则规划和设计企业网，在网络拓扑上采用星型结构。星型网络拓扑结构具有安全，易扩展，可靠等特点，在不改变网络节点物理位置的情况下，通过相应的配置，可对网络的逻辑结构进行合理地划分，建立虚拟网络。设计网络拓扑结构是网络设计的第一步，首先根据网络需求选择合适的网络模型。对于层次化网络模型，可以将企业网络组建的成本降到最低，同时又能使网络结构设计简单。因此在本网络设计过程，为企业选择层次化网络模型为中心设计网络的拓扑图。本企业网络分为核心层，分布层，接入层三层结构，下面分别介绍一下每个层次。核心层是整个网络结构的核心部分，对整个网络的互连起到决定性的作用。核心层是整个网络的最核心，为整个网络中数据的高速转发起到关键作用，因此核心层在设计时，不应设置策略控制，以免影响流量的转发速度。分布层是连接核心层和接入层关键位置，通常在上面做一些策略的设置，比如创建和管理vlan、流量访问控制等。通过创建vlan可实现对部门的统一管理，通过设置访问控制策略，控制不同部门间的相互访问。接入层用于连接终端用户，将他们连接到分布层。接入层将带宽域分解，用以满足需要大量带宽或不能忍受由共享带宽导致可变延迟特性的特定程序的需要。企业网大体分为服务器群，楼宇接入群，企业边缘接入群，分支机构四个模块。综合上述因素考虑，为本企业设计的网络拓扑结构如下所示：图3-1企业网拓扑图第五章IP地址规划及网络设备配置第四章网络设备选型4.1交换机选型在对交换机进行选购时，要参考一些基本的指标，有网络接口类型，用户可用槽数和端口密度等，也会参考一些功能指标，如支持VLAN的数量，是否支持堆叠，是否可网管等，还会参考一些性能指标，如背板带宽，包转发率，支持的MAC地址数量和服务质量保证，最后会参考一些可靠性指标，交换机的可靠性可以从几个方面来评判：核心交换机是否支持关键模块的冗余，链路层是否具有弹性恢复的功能，在网络层是否支持动态路由协议，是否支持等价多路由功能，是否支持网关冗余协议。针对企业网中不同层次的交换机会有不同的选择，在现代企业网中一般会为分为核心层交换机，分布层交换机，接入层交换机。企业的核心层交换机的背板带宽基本上在几十Gbit/s以上，包转发速率在几十Mpacket/s以上，可扩展百兆比特端口为300个以上，可扩展吉比特端口在100个左右。分布层交换机背板带宽基本上在几十Gbit/s以上，包转发速率在几十Mpacket/s以上，分布层交换机要有三层以上交换功能和较多的VLAN数，但是总体性能指标要比核心层交换机低。接入层交换机的背板带宽基本上在几Gbit/s以上，包转发速率在几Mpacket/s以上，接入层交换机一般支持VLAN划分但不支持第三层功能。在本次设计方案中多数网络设备均采用的是Cisco的网络设备。对于各层交换机的选型原则如下：核心交换机首先根据以往经验，核心层交换机应该选择Cisco6500系列的交换机。然后根据本企业对网络设备的性能需求主要是交换容量较大、端口密度比较高，因此需要选择模块化的交换机作为核心层交换机。其次根据价格和性能的比较选择了C6506-E这款交换机。分布层交换机首先作为分布层交换机最好选择Cisco4500系列的交换机，它们是一系列中端、中等密度的模块化交换机，提供了强大的智能服务。其次综合企业的需求以及成本的考虑为本企业选择了CWS-C4503这一款交换机作为分布层交换机，相比较性价比很高，同时能满足企业的可扩展性需求。接入层交换机对于接入层交换机的各方面性能要求不是那么高，只需要简单汇聚来自接入层的流量到分布层，需要有较多的端口数量，以及提供桌面快速以太网和千兆以太网的连接即可。根据分析可选择Cisco2960系列交换机，基于对价格的考虑可选择C2960-24TC-L这一款交换机作为接入层交换机。最终为企业网所选择的交换机类型分别为Catalyst6506、Catalyst4503、Catalyst2960-24三款交换机，其基本参数如下表所示：表4-1交换机参数应用层级名称传输速率背板带宽包转发率端口结构参考价格核心层C6506-E10/100/1000Mbps480Gbps243Mpps模块化￥2.1万分布层C4506WS-C450310/100/1000Mbps64Gbps75Mpps模块化￥4800接入层C2960-24TC-L10/100Mbps4.4Gbps6.5Mpps非模块化￥47004.2路由器选型在对路由器进行选购时，和交换机一样，要参考一些基本的指标，有网络接口类型，用户可用槽数和端口密度等，也要参考一些功能指标，如对路由协议的支持，PPPOE的支持，组播的支持，VPN的支持以及硬件加密方式等。在对性能指标的考核上，主要是看全双工线速转发能力，设备吞吐量，端口吞吐量，背靠背帧数，路由表能力，背板能力，丢包率，时延，QoS能力等，而在对可靠性的指标考查上，主要是对冗余，热插拔组件，路由器冗余协议的考量。因此，本网络路由器选择Cisco2811，其基本参数如下所示：表4-2路由器参数名称端口局域网接口传输速率VPNQoS防火墙网络管理参考价格Cisco2811模块化2个10/100Mbps支持支持内置SNMP￥5800在总部和分支机构的会议室都设有无线路由，对于无线路由选用企业级无线路由器H3CER2210C,其基本配置如下：表4-3无线路由器参数名称最高速率WAN口LAN口VPNQoS防火墙天线参考价格H3CER2210C3.1Mbps1个10/100Mbps4个10/100Mbps支持支持内置外置全向天线，1根￥24504.3防火墙选型在选购防火墙时，用户首先要明确自己的业务需求和未来的发展规划。考虑到防火墙产品类型，有基于包过滤技术的防火墙、基于代理的防火墙、基于状态监测的防火墙。同时要考虑到防火墙支持的LAN接口，这关系到防火墙所能保护的网络类型和所能保护的不同内网数目。同时要考查防火墙的协议支持、加密支持、认证支持、NAT支持和防御功能、管理功能以及记录和报表功能等。在性能指标上，主要看重并发连接数和吞吐量。本设计中防火墙拟选择华为USG2230。其基本参数如下表所示。表4-4防火墙参数名称网络端口入侵检测管理方式VPN控制端口处理器价格华为USG22302GEComboDos，DDoS命令行、web支持Console口多核￥1.85万4.4服务器选型服务器是指在网络环境下为客户机提供某种服务的专用计算机，服务器中安装有网络操作系统和各种应用系统软件。服务器必须具备高可靠性，高可用性，高可扩充性等特点。服务器分为入门级服务器，工作组级服务器，部门级服务器和企业级服务器。入门级服务器通常只使用一块CPU，可以满足中小型网络用户和需求，工作组级服务器有1～2个CPU，适用于为中小型企业提供Web、Email等服务，部门级服务器通常支持2～4个CPU，部门级服务器是企业网络中分散的各基层数据采集单位与最高层数据中心保持顺利连通的必要环节，适合中型企业作为数据中心、Web站点。企业级服务器是高端服务器，可支持4～8个处理器，具有高内存带宽和极为优秀的扩展性能、系统性能，企业级服务器主要适用于大型企业和诸如金融、证券、交通、邮电、通信等重要行业，可用于提供企业资源计划、电子商务、办公自动化等服务。服务器按用途可分为通用型服务器和专用型服务器两种，通用型服务器可以提供各种服务功能，专有型服务器是专门为某一种或几种功能专门设计的服务器。服务器如果按照机箱结构来分，又可以分为塔式服务器、机架式服务器和刀片式服务器。塔式服务器是目前应用最为广泛最为常见的服务器，由于具备很好的扩展功能，在配置上也可以根据用户需求进行升级，能满足企业大部分的应用需求。机架式服务器是安装在机架上的服务器，节省了机房的空间，机架式服务器的性能也不逊于塔式服务器。刀片式服务器是比机架式更紧凑整合的服务器结构，每个刀片就是一台独立的服务器。为本企业网中所选择的服务器都是来自IBM，其功能比较完善，性价比相对较高，容易维护和管理。综合考虑为本企业选择了几款主要的服务器，其他服务器的选型不再详细说明，其参数如下表：表4-5主服务器参数名称CPU型号标配CPU数量内存容量标配硬盘容量内部硬盘架数网络控制器价格IBMSystemx3650M47915I31XeonE5-26202GHz1颗4GBDDR3300GB最大支持8块2.5英寸或3块3.5英寸四端口千兆网卡￥1.7万表4-6文件服务器参数名称CPU型号标配CPU数量内存容量标配硬盘容量内部硬盘架数网络控制器价格IBMSystemx3500M4（7383i20）XeonE5-26092.4GHz1颗4GBECCDDR3768GB最大支持8块2.5英寸四端口千兆网卡￥1.65万表4-7Web服务器参数名称CPU型号标配CPU数量内存容量标配硬盘容量内部硬盘架数网络控制器价格IBMSystemx3500M4(7383i00)XeonE5-26031.8GHz1颗4GBECCDDR3500GB最大支持8块2.5英寸四端口千兆网卡￥1.48万4.5UPS选型UPS（UninterruptedPowerSystem），即不间断电源，主要用于给单台计算机，计算机网络系统或其他电力电子设备提供不间断的电力供应。当市电输入正常时，UPS将市电稳压后供应给负载使用，此时的UPS就是一台交流市电稳压器，同时它还向机内电池充电；当市电中断（事故停电）时，UPS立即将机内电池的电能，通过逆变转换的方法向负载继续供应220V交流电，使负载维持正常工作并保护负载设备软、硬件不受损坏。APC、山特等是UPS著名品牌，选择UPS时最好是选用这些有知名度的品牌，这样能获得更好的保障。考虑到网络设备与系统运行时所需要的功率以及扩展性，最终选择了山特城堡系列C10KS10KVA不间断电源，此UPS的配置如下图所示，表4-8UPS参数表额定容量6KVA10KVA输入输入配线单相二线+地线电压范围120~275V频率范围46~64Hz50/60Hz自适应输入功因>0.99输出电压范围220×（1±%1）VAC频率范围市电模式：（46~54）Hz/(56~64)Hz(与输入市电频率同步)电池模式：50×（±%1）Hz/60×（±%1）Hz电流峰值比3：1额定功率因数0.8超载能力Load<105%,长期运行：105%<load<125%>1min,125%<load<150%>30sec效率Upto90%电池电压16pcs×12VDC外形尺寸（mm）W*D*H248*500*616240*500*460248*500*616240*500*460重量（KG）571867.520之所以选择10KVA的UPS,是考虑到日后网络的扩展升级和设备的增加，选择6KVA对于目前规划与设计的企业网络来说是足够用的，但是基于对未来的展望与规划，选择10KVA才是更好地保证了企业的投资。第五章IP地址规划及网络设备配置5.1IP地址规划5.1.1VLAN划分企业的公网IP地址为1/29.企业的内部IP地址采用私有IP地址段/16，并且对企业网进行内部局域网VLAN划分，VLAN划分有很多好处，比如，可以防止广播风暴的产生，提高网络运行效率，且方便网络的管理维护。VLAN划分及地址分配如下：表5-1VALN划分部门VLAN地址范围网关地址服务器群vlan10/25DMZ区服务器群vlan1128/2529业务部vlan20/24财务部vlan30/24技术部vlan40/24行政部vlan50/24研发部vlan60/24人力资源部vlan70/24公关部vlan80/24会议室vlan90/24业务部（二）vlan100/24研发部（二）vlan110/24公关部（二）vlan120/24人力资源部（二）vlan130/24财务部（二）vlan140/24会议室（二）vlan150/24第五章IP地址规划及网络设备配置网络设备IP地址：表5-2服务器组IP地址服务器名称IP地址VLAN网关DNS服务器30vlan1129WWW服务器40vlan1129E-mail服务器41vlan1129FTP服务器42vlan1129DHCP服务器1vlan10AAA服务器4vlan10管理PCvlan99交换机IP地址：表5-3交换机管理IP地址交换机管理地址（vlan99）设备名称服务器群接入交换机Switch01号核心交换机Core-s12号核心交换机Core-s21号分布交换机Distri-s12号分布交换机Distri-s21号接入交换机Switch12号接入交换机Switch23号接入交换机0Switch34号接入交换机1Switch45号接入交换机2Switch56号接入交换机3Switch67号接入交换机4Switch7企业边缘接入交换机5Switch8DMZ区交换机6Switch93号分布交换机7Distri-s34号分布交换机8Distri-s4第五章IP地址规划及网络设备配置8号接入交换机9Switch109号接入交换机0Switch1110号接入交换机1Switch12设备端口IP地址分配如下：表5-4设备端口地址分配表接口名称IP地址总部核心层交换机s1f0/1/30总部核心层交换机s1f0/2/30总部核心层交换机s1f0/4/30总部核心层交换机s2f0/13/30总部核心层交换机s2f0/27/30总部核心层交换机s2f0/41/30总部分布层交换机s1f0/1/30总部分布层交换机s1f0/24/30总部分布层交换机s2f0/1/30总部分布层交换机s2f0/28/30总部分布层交换机s3f0/10/30总部分布层交换机s3f0/22/305.2部分配置命令以及网络测试在内部的应用服务器群接入交换机上创建vlan10，并把接入服务器的各个接口划入到vlan10当中，同时为vlan10创建虚拟的接口，将与核心层相连的接口的模式改为trunk，实现vlan与外部的通信。Switch(config)#vlan10Switch(config-vlan)#intrangef0/3-20Switch(config-if-range)#switchportmodeaccessSwitch(config-if-range)#switchportaccessvlan10Switch(config-if-range)#intvlan10配置SVI接口Switch(config-if)#ipaddress28Switch(config-vlan)#intrangef0/21-24Switch(config-if-range)#switchportmodeaccessSwitch(config-if-range)#switchportaccessvlan99Switch(config-if-range)#intvlan99配置SVI接口Switch(config-if)#ipaddressSwitch(config-if)#intrangef0/1-2Switch(config-if-range)#switchportmodetrunk在dmz区的服务器群接入交换机上创建vlan11，将接入接口划入到vlan11当中，其他接口模式配成trunk，由于交换机与路由器相连，故在路由器上配置单臂路由实现vlan与外部的通信。单臂路由如下：Router(config)#interfacef0/1.1Router(config-subif)#encapdot1q11Router(config-subif)#ipadd2928Router(config-subif)#noshut在总部核心层交换机s1上，与冗余交换机s2相连的接口配成干道接口，模式为trunk，可以传递多种流量信息。Switch(config)#intg0/1配置核心层交换机的干道接口Switch(config-if)#channel-group1modedesirableSwitch(config-if)#intg0/2Switch(config-if)#channel-group1modedesirableSwitch(config-if)#intport-channel1Switch(config-if)#switchportSwitch(config-if)#switchporttrunkencapsulationdot1qSwitch(config-if)#switchportmodetrunk核心层交换机与分布层相连的接口上启用三层接口功能，分别为其分配一个ip地址，用于与分布层交换机传送路由信息。Switch(config)#intf0/1Switch(config-if)#noswitchportSwitch(config-if)#ipaddress52Switch(config-if)#noshut其他两个接口的配置同上Switch(config)#intvlan10Switch(config-if)#ipaddress28Switch(config-if)#noshut在核心交换机与防火墙路由器以及广域网路由器上配置同一网段的ip地址：Switch(config)#intf0/5Switch(config-if)#noswitchSwitch(config-if)#ipadd848Switch(config-if)#noshut同样其他三个接口地址为5-7/29在核心层交换机上启动动态路由协议rip，同时把直连接口加入到路由表中，与其他启用rip路由协议的网络设备共享路由信息。Switch(config)#routerripSwitch(config-router)#networkSwitch(config-router)#network同时加入一条静态通向外部网络的默认路由：Switch(config)#iproute6通向外网的下一跳地址在总部核心层交换机s2上进行和交换机s1相似的配置，不再详细说明测试核心交换机上的路由信息：图5-1核心交换机路由在总部分布层交换机s1上启用vtp协议，域名为net1，模式为server，创建vlan信息，将与同一域名的交换机共享vlan信息。将与接入层交换机相连的接口配成trunk模式，传送不同vlan间的信息。建立vlan和启用VTP协议共享VLAN信息Switch(config)#vtpdomainnet1Switch(config)#vtpmodeserverSwitch(config)#intrangef0/3-7Switch(config-if-range)#switchporttrunkencapsulationdot1qSwitch(config-if-range)#switchportmodetrunkSwitch(config-if-range)#vlan20Switch(config-vlan)#vlan30Switch(config-vlan)#vlan40Switch(config-vlan)#vlan50Switch(config-vlan)#vlan60Switch(config-vlan)#vlan70Switch(config-vlan)#vlan80同样在交换机s2上启用VTP协议，同样设置为服务器模式，共享VLAN信息，并建立vlan信息。设置s1为vlan20,vlan30,vlan40,vlan50根，用于实现主交换机和冗余设备的负载均衡：Switch(config)#spanning-treevlan20rootprimarySwitch(config)#spanning-treevlan30rootprimarySwitch(config)#spanning-treevlan40rootprimarySwitch(config)#spanning-treevlan50rootprimarySwitch(config)#spanning-treevlan60rootsecondarySwitch(config)#spanning-treevlan70rootsecondarySwitch(config)#spanning-treevlan80rootsecondary同样设置交换机s2为vlan60,vlan70,vlan80根下面在分布层交换机s1上为vlan建立SVI接口，192.168.X.1，实现vlan间的通信。Switch(config)#intvlan20Switch(config-if)#ipaddressSwitch(config-if)#noshutSwitch(config)#intvlan30Switch(config-if)#ipaddressSwitch(config-if)#noshut同样在vlan40，vlan50，vlan60，vlan70，vlan80上做相同的配置。把与核心层交换机相连的接口启动三层接口功能，并为其分配一个地址Switch(config)#intf0/1Switch(config-if)#noswitchportSwitch(config-if)#ipaddress52Switch(config-if)#noshutSwitch(config)#intf0/2Switch(config-if)#noswitchportSwitch(config-if)#ipaddress452Switch(config-if)#noshut在分布层交换机上启动动态路由协议rip，并与相连交换机共享路由信息Switch(config)#routerripSwitch(config-router)#networkSwitch(config-router)#networkSwitch(config-router)#networkSwitch(config-router)#networkSwitch(config-router)#networkSwitch(config-router)#networkSwitch(config-router)#networkSwitch(config-router)#network同时配置通向外网的默认路由：Switch(config)#iproute相连核心交换机上接口相似的配置在分布层冗余交换机s2上进行配置，这里不再详细说明在总部接入层交换机s1上启用vtp协议，域名同分布层交换机为net1，模式为client，从server上获取动态的vlan信息Switch(config)#vtpdomainnet1Switch(config)#vtpmodeclientSwitch(config)#intrangef0/1-2Switch(config-if-range)#switchportmodetrunk将接入层交换机与终端用户相连的接入接口都划分都对应的vlan中Switch(config-if-range)#intrangef0/3-24Switch(config-if-range)#switchportmodeaccessSwitch(config-if-range)#switchportaccessvlanid(id为vlan号，s1接入vlan20,s2接入vlan30,s3接入vlan40,,s7接入vlan80,)在dhcp服务器上配置每个vlan对应的地址池，使得终端用户能从这里动态的获取到地址到现在实现了企业网内部的连通，测试一下终端用户获取动态地址的情况：图5-2用户获取动态地址下面测试一下用户到dmz区服务器的情况，如图可以访问内部网站：图5-3用户访问内部网站无线用户连接网络的情况：图5-4移动用户连接无线网络企业边缘接入交换机Switch(config-if)#intrangef0/1-2Switch(config-if-range)#switchportmodetrunk在企业边缘路由器上配置到内网与外网的路由，实现内外的通信，同时配置nat地址转换，实现私有地址到公有网络的通信：Router(config)#iproutes0/0/0Router(config)#iproute3防火墙路由器地址Router(config)#ipnatinsidesourcelist1poolnat1overloadRouter(config)#access-list1permit.55Router(config)#ipnatpoolnat111netmask40Router(config)#ints0/0/0Router(config-if)#ipnatinsideRouter(config)#ints0/0/1Router(config-if)#ipnatoutside测试内部用户上外网的情况：图5-5用户与外网通信通过查看NAT地址转换表，可以看到刚才用户在访问外网时其私有地址1已经转换成公网地址1，所以对于外网来说它只能看到流量时来自于地址1，而不会知道企业内部的私有地址，从而保护了企业内部的数据。图5-6nat地址转换表在楼层交换机上配置管理vlan99，为其分配地址，及相关信息，方便网络管理员以后对楼层交换机的远程操作和管理。Switch7(config)#interfacevlan99Switch7(config-if)#ipaddressSwitch7(config-if)#noshutSwitch7(config)#ipdefault-gateway设定默认网关为分布层交换机vlan99虚拟交换接口地址配置switch7远程登录密码和特权密码Switch7(config)#enablepasswordciscoSwitch7(config)#linevty015Switch7(config-line)#passwordciscoSwitch7(config-line)#exit从管理计算机telnet登录接入交换机进行管理图5-7远程管理交换机在分支机构与总部相连的地方使用的是带有IPSec保护机制的VPN，使用ESP加密方式对数据进行封装。在企业边缘路由器与分支机构边缘路由器上首先配置GRE，通过OSPF动态路由协议连通。在总部边缘路由器上所做配置如下：在总部Border路由器上做GRE和OSPF的配置Border-r(config)#inttunnel0Border-r(config-if)#ipaddBorder-r(config-if)#tunnelsources0/0/1Border-r(config-if)#tunneldestina29Border-r(config-if)#exitBorder-r(config)#routerospf1Border-r(config-router)#log-adjacency-changesBorder-r(config-router)#network55area0Border-r(config-router)#network55area0同样在分支机构边缘路由器上做相同的配置在总公司边缘路由器上配置IPSECVPN保护站点间GRE流量：Router(config)#cryisapoli10Router(config-isakmp)#authpre-shareRouter(config)#cryisakeyciscoadd9Router(config)#ipaccess-listexvpnRouter(config-ext-nacl)#permitgrehost9host9Router(config)#cryipsectransform-setciscoesp-desesp-md5-hmacRouter(config)#crymapcisco10ipsec-isakmpRouter(config-crypto-map)#matchaddvpnRouter(config-crypto-map)#settransform-setciscoRouter(config-crypto-map)#setpeer9Router(config-crypto-map)#ints0/0/1Router(config-if)#crymapcisco同样在分公司边缘路由器上配置IPSECVPN保护站点间GRE流量下面测试分支机构到总部的连通性，检查数据包，可以看到数据包先用GRE协议进行了封装然后用经过ESP加密封装，从而实现了从分支机构到总部安全的访问。图5-8分部到总部的加密数据包图5-9分部到总部的加密数据包第六章服务器搭建第六章服务器搭建6.1域控制器选择“第一台服务器的典型配置”，点击“下一步”。输入ActiveDirectory域名“”。点击“下一步”，使用默认NetBIOS域名。服务器重启之后，域控制器即安装完成。点击“管理您的服务器”，可以看到域控制器已经安装完成，至此，网络中第一台域控制器已创建完成。在windowsserver2003中，所有的安全信息都存储在活动目录中，因此，如果网络中只有一台域控制器，，网络无法保证其自身的安全性和稳定性。多个域控制器可以一起工作，分担用户的登录和访问，自动备份用户账户和活动目录数据，即使部分域控制器瘫痪后网络访问仍然不受影响，有助于提高网络的安全性的稳定性。除了提供容错功能外，多台域控制器还可以分担审核用户登录身份的工作。6.2DNS服务器在配置您的服务器向导中，选中“DNS服务器”后，选择“下一步”，开始安装DNS服务。选择“创建正向查找区域”，点击“下一步”。选择“这台服务器维护该区域”，点击“下一步”。输入区域名称“”，点击“下一步”。选择“创建新文件，文件名为”，点击“下一步”。选择“不允许动态更新”，不接受资源记录的动态更新，以安全的手动方式更新DNS记录。单击“下一步”。选中“是，应当将查询转发到下列IP地址的DNS服务器上”，输入ISP提供的DNS服务器的IP地址“68”，点击“下一步”。作为网络中最基本的服务之一，DNS服务器一旦出现故障或瘫痪，后果将不堪设想。因此，局域网中一般都安装有两台DNS服务器，一台作为主服务器，一台作为辅助服务器。当主DNS服务器正常运行，辅助服务器只起备份作用，当主DNS服务器发生故障后，辅助服务器便立即启动DNS解析服务。辅助DNS服务器会自动从主DNS服务器上获取相应的数据，因此，无须在辅助DNS服务器中添加各种主机记录。以下为搭建辅助服务器。选择“辅助区域”，点击“下一步”。输入区域名称“”,该名称应与“主要区域”中的域名相同，点击“下一步”。在“IP地址”中输入主DNS服务器的IP地址30，点击“添加”后，点击“下一步”。主机记录也叫A记录，用于静态地建立主机名与IP地址之间的对应关系，以便提供正向查询服务。因此，必须为每种服务，如WWW、E-mail、FTP等创建一个A记录。在“名称”文本框中输入“WWW”，在“IP地址”文本框中输入www服务器的ip地址40。单击“添加主机”，主机记录即创建成功。图7-1在DNS中创建WWW服务器记录在“名称”文本框中输入“ftp”，在“IP地址”文本框中输入ftp服务器的ip地址42。单击“添加主机”，主机记录即创建成功。42。单击“添加主机”，主机记录即创建成功。图7-2在DNS中创建FTP记录在“名称”文本框中输入“mail”，在“IP地址”文本框中输入E-mail服务器的ip地址41。单击“添加主机”，主机记录即创建成功。图7-3在DNS中创建mail记录在菜单选择“新建邮件交换器（MX）”，保持“主机或子域”文本框为空，在“邮件服务器的完全合格的域名（FQDN）”中输入，单击“确定”。图7-4DNS记录创建6.3DHCP服务器在配置您的服务器向导中，选中“DHCP服器”，单击“下一步”。弹出的“新建作用域向导”窗口中，在名称一栏写上“”,描述一栏写上“XinShengNetworkLtd.”。然后单击“下一步”。写上“XinShengNetworkLtd.”。然后单击“下一步”。图7-5DHCP作用域创建6.4文件服务器在配置您的服务器向导中，选中“文件服务器”，点击“下一步”。选中“为此服务器的新用户设置默认磁盘空间配额”，将磁盘空间限制为500MB，将警告级别设置为455MB，并选中“拒绝将磁盘空间给超过配额限制的用户”，单击“下一步”。选中“是，启用索引服务”，单击“下一步”。创建共享文件夹“D:\public”，单击“下一步”。选中“管理员有完全访问权限，其他用户有只读访问权限”，单击“完成”。6.5Web服务器在配置您的服务器向导窗口中，选中“应用程序服务器”，单击“下一步”。选中“FrontPageServerExtension”和“启用ASP.NET”，单击“下一步”。Web服务器安装完成后，只要将相关的网站文件复制到“C:\Intepub\wwwroot”文件夹中，并将主页文档的文件名设为“Default.asp”、“Default.htm”或“Index.htm”，即可以域名，IP地址访问该web网站。6.6E-mail服务器在配置您的服务器向导窗口中，选中“邮件服务器”，单击“下一步”。输入电子邮件域名“”，单击“下一步”，再单击“下一步”，等待windows配置相应的组件，完成邮件服务器的安装。然后打开邮件服务器，可以对其进行相关的配置，可以选中服务器单击，为用户添加邮箱，根据向导完成配置。6.7VPN服务器打开路由和远程访问窗口，右击服务器名称，选中“配置并启用路由和远程访问”。选择“虚拟专用网络访问和NAT”，单击“下一步”。选择连接到Internet的网络连接，单击“下一步”。选择“自动”，单击“下一步”。选择“否，使用路由和远程访问来对连接请求进行身份验证”，单击“下一步”。6.8流媒体服务器在“配置您的服务器向导”窗口中，单击“下一步”，便可将此服务器配置成流媒体服务器。打开WindowsMediaService控制台窗口，右击“发布点”选择“添加发布点（向导）”选项，在“内容类型”对话框中，选择“目录中的文件”，然后单击“下一步”。在“发布点类型”对话框中选择“点播发布点”，单击“下一步”。在“目录位置”对话框中指定该点播发布点主目录所在文件夹，然后单击“下一步”。在“内容播放”对话框中设置目录中内容的播放顺序。单击“下一步”。这样，点播发布点就基本创建完成了。在单播公告向导中就可以选择欲发布的文件了。第七章综合布线与实施第七章综合布线方案与实施7.1综合布线施工要求综合布线工程设计时，应根据工程项目的性质、功能、环境和近、远期用户需求进行设计，并应考虑施工和维护方便，明确综合布线系统工程的质量和安全，做到技术先进、经济合理。综合布线系统的设备应选用经过国家认可的产品质量检验机构鉴定合格的，符合国家有关技术标准的定型产品。7.2综合布线子系统综合布线可以由以下子系统组成：工作区子系统，配线子系统，干线子系统，设备间子系统，管理子系统，建筑群子系统。工作区子系统包括信息插座和相应的连接软线，用户可以把计算机、电话等不同终端接入大楼的网络系统。配线子系统应根据环境条件选用地板下线槽布线、网络地板布线、高架地板布线、地板下管道布线等安装方式。干线子系统垂直通道有电缆孔、管道、电缆竖井等3种方式可以选择，宜采用电缆竖井方式。设备间子系统是布线系统中最主要的管理区域，此系统通常安装在系统、网络系统和程控机系统的主机房内，设备间内的所有进线终端设备应采用色标区别各类用途的配线区，设备间的位置及大小应根据设备的数量、规模、最佳网络中心等内容综合考虑确定。管理子系统对设备间、交接间、工作区的配线设备、缆线、信息插座等设施，并按一定的模式进行标识和记录，配线架应留出适当的空间，供扩充之用。建筑群子系统由连接各建筑物之间的综合布线缆线、建筑群配线设备和跳第七章综合布线与实施线组成，建筑物之间的缆线宜采用地下管道或电缆沟的布设方式，并符合相关规定。7.3系统总体设计布线的设计对整个网络的设计非常重要，所以需要重视。通常布线方案主要有两大类：集中式布线方案和分布式布线方案。通常根据建筑物的大小来选择布线方案，根据本企业的情况，在建筑物内使用分布式布线方案，易于企业以后的扩展。而在整个局域网中，建筑物较少，可以采用集中式布线方案，方便集中管理，但是可用性稍微差一些。为了满足企业网络的需要，在企业总部和分支机构大楼内都设有配线间，网络中心安排在总部大楼的一楼。为了满足企业对高速高容量的信息通信的需要，系统采用多模光纤作为企业主干网，建筑物内采用超五类非屏蔽布线系统，选用高性能UTP非屏蔽系统，传输参数可达到200MHz，本设计建议采用AVAYA超五类UTP产品，既能当前网络容量的需求，又为今后新的高速网络应用留有充足的性能余量。第八章网络安全设计第八章网络安全设计8.1物理安全该层次上的安全是指通信线路的安全、物理设备的安全、机房的安全等。物理安全主要体现在通信线路的可靠性，软硬件设备安全性，设备的备份，防灾害能力和防干扰能力，设备的运行环境，不间断电源保障等。8.2操作系统安全操作系统的安全即系统层安全，该层次的安全问题主要来自于网络内使用的操作系统的安全，通常是Windows2000，Windows2003，Linux等。主要表现在几个方面，首先，操作系统本身的缺陷带来的不安全因素，主要是身份认证，访问控制，系统漏洞等。其次，对操作系统的安全配置问题，不恰当的配置也会使网络留下安全问题。最后，不可忽略的是病毒对操作系统的威胁。8.3网络设备安全8.3.1局域网模块在服务器区通常通过采用交换架构的设备、采用RFC2827地址过滤、采用基于主机的入侵检测系统，采用PVLAN保护各服务器、操作系统和应用程序的防护和采用防病毒系统等防护手段。从安全角度讲，服务器区是最容易被作为攻击目标的区域。因此，在该区域需要设置较多安全防护手段以抵御各种可能的攻击威胁。在服务器区我们通常使用一台交换机作为各服务器的接入，这样可以有效地防止数据窃听。同时，可以设置RFC2827地址过滤用于防止地址欺骗。通过设置基于主机和网络的入侵检测系统，可以有效地防止密码攻击、应用层攻击、端口重定向以及未授权访问等攻击。另外，PVLAN技术使得位于同一VLAN的不同服务器之间相互隔离，有效地防止了利用信任关系进行的攻击。另外，合