《中小型企业局域网组建方案.pdf》由会员分享,可在线阅读,更多相关《中小型企业局域网组建方案.pdf(19页珍藏版)》请在三一文库上搜索。
1、. 中小型企业局域网组建方案 班级: 成员: 日期: . 目 录 案例背景 一需求分析 二、设计要求 2 1. 网络设备 2 2. 网络设计原则 3 三、网络系统设计 4 1.网络拓扑结构图 2.IP 地址分配 3.IP 地址分配表 4. 划分 VLAN及具体配置 四、测试与调试 12 1. 主机与服务器的连接测试 12 2. 主机与主机的连接测试 12 3. 主机与外网的连接测试 13 五、路由与远程用户访问 . 六、网络安全的设计 七、总结 参考文献 某中型企业网络工程设计与实现 摘要:本文是基于一个课程的网络互联设计,根据实践环境设计一 个中型企业内部的网络组建。 从实际情况出发把这个中
2、型企业的实际 需要应用到网络中去, 使这个企业的内部网络能够快速便捷。因为条 件有限,本次设计的拓扑结构图是在模拟器上进行的。主要运用了所 学的路由和交换技术。 关键字:中型企业网络、设计方案、安全 案例背景 以某企业的实际情况, 设计一个可以正常运行的企业局域网,并 对建成的网络进行优化, 现有 500 个结点,需要建设一个中型网络以 实现该企业内部的相互通信和与外部的联系,通过该网络提高企业的 发展和企业内部办公的信息化、办公自动化。该企业有15 个部门, 则需要让这 15 个部门能够通过该网络访问互联网,并能实现部门之 间信息化的合作。所以该网络的必须体现办公的方便性、迅速性、高 效性、
3、可靠性、科技性、资源共享、相互通信、信息发布及查询等功 能,以作为支持企业内部办公自动化、供应链管理以及各应用系统运 行的基础设施。 一、需求分析 该网络是一个单核心的网络结构,采用典型的三层结构,核心、 汇聚、接入。各部门独立成区域,防止个别区域发生问题,影响整个 网的稳定运行, 若某汇聚交换机发生问题只会影响到某几个部门,该 网络使用 vlan 进行隔离,方便员工调换部门。 . 核心交换机连接三台汇聚交换机对所有数据进行接收并分流,所 以该设备必须是高质量、功能具全,责任重大,通过高速转发通信, 提高优化的,可靠的传输结构。核心层应该尽快地交换分组。该设备 不承担访问列表检查、 数据加密、
4、地址翻译或者其他影响的最快速率 分组的任务。 汇聚层交换机位于接入层和核心层之间,该网络有三台汇聚层交 换机分担 15 个部门,能帮助定义和分离核心。该层的设备主要目的 是提供一个边界的定义, 以在其内进行分组处理。 该层将网络分段为 多个广播域。 该问控制列表可以实施策略并过滤分组。汇聚层将网络 问题限制在发生问题的工作组内,防止这些问题影响到核心层。 该层 的交换机运行在第二层和第三层上。 接入层为网络提供通信, 并且实现网络入口控制。 最终用户通过 接入层访问网络的。作为网络的“前门”,接入层交换机使用访问列 表以阻止非授权的用户进入网络。 二、设计要求 1. 网络设备: 所需的硬件 :
5、 网络硬件设备主要包括网络服务器、工作站、网卡、集线器、交 换机、路由器、 传输介质等。各种硬件设备之间是有着相互关联而不 是相互独立的,每一部分在网络中都有着不同的作用,缺一不可,只 有把这些设备通过一定的形式连起来才能组成一个完整的网络系统。 1.1 网卡(网络适配卡或网络接口卡) 网卡计算机与网络连接的接口,是不可缺少的网络设备之 一。每一块网卡上面都有一个世界惟一的ID 号,也就是 MAC 地址, 计算机在连入网络之后,就是依靠这个ID 号才能实现在不同计算机 之间的通信和信息交换。 网卡有很多种, 不同类型的网络需要使用不 同种类的网卡,根据带宽来分的话,有10Mbit/s 网卡、1
6、0/100Mit/s . 自适应网卡和 1000Mbit/s 网卡;如按总线来分的话,有ISA 总线、 PCI总线、PCMCIA 总线网卡等。 从目前企业局域网建设的实际情况来 看,工作站网卡选择10M/100Mbit/s 自适应网卡最适合。 1.2 网络服务器 网络服务器是一台运行网络操作系统,提供网络通信以及其他网络管 理,并使连网的各工作站能共享软硬件资源。在选型服务器时,主要 考虑的是容量大、 处理速度高和稳定性好, 一般来说都选用大型服务 器作为代理服务器。可采用HP ProLiant BL40p系列的服务器。 1.3 工作站 工作站是指 PC机,也称客户机。通过网卡和传输介质连接到
7、网 络服务器上,共享网络系统的资源。 1.4 传输介质 传输介质包括有线介质和无线介质两种,一般情况下都是用有线 介质的,因为它稳定性高、 连接可靠。无线介质只是在特殊环境下才 使用。常用的有线传输介质有双绞线、同轴电缆、光缆。 1.5 路由器 路由器就是负责地址查找, 信息包翻译和交换, 实现计算机网络 设备与电信设备电气连接和信息传递。 1.6 集线器 主要指共享式集线器, 相当于一个多口的中继器, 一条共享的总 线,能实现简单的加密和地址保护。 1.7 交换机 . 交换机与集线器的作用是相同的,它的出现是为了提高原有网络的 性能同时又保护原有投资,降低网络响应速度,提高网络负载能力。 2
8、、网络设计原则 1 、简易与先进性:把握好技术先进性与应用简易性之间的平衡。 2、可管理性及易维护性:对网络实行集中监测、分权管理,并统 一分配带宽资源。选用先进的网络管理平台,具有对设备、端口等的 管理、流量统计分析,及可提供故障自动报警。 3、实用性:以现行需求为基础,并充分考虑发展的需要来确定系 统规模,选用性能价格比高的产品。 4、标准开放性:支持国际上通用标准的网络协议、国际标准的大 型的动态路由协议等开放协议,有利于保证与其它网络 (如资源数据 库、金融网络)之间平滑连接互通,以及将来网络的扩展。 5. 可扩展性: 网络要能满足用户当前需求以及将来需求的增长、 新技术发展等变化。
9、因此在保护原有的投资同时, 要保证用户数的增 加,以及用户随时随地增加设备、增加网络功能等。随着应用规模的 发展,系统能灵活方便地进行硬件或软件系统的扩展和升级。 6 、具有较高的可靠性和安全性。 三、网络系统设计 3.1 网络拓扑结构图 . 3.2 IP地址分配 IP 地址的分配在网络设计中的作用举足轻重。直接影响整个网 络运行的效率。IP 地址设计的总原则是简单、 易管理、易扩展。IP 地 址是TCP/IP 协议族中的网络层逻辑地址,它被用来唯一地标识网络 中的一个节点。 IP 地址空间的分配,要与网络层次结构相适应,既 要有效地利用地址空间, 又要体现出网络的可扩展性和灵活性,同时 能满
10、足路由协议的要求, 提高路由算法的效率, 加快路由变化的收敛 速度。 根据以下几个原则来分配IP 地址: 1、唯一性:一个 IP 网络中不能有两个主机采用相同的IP地址 2、简单性:地址分配应简单易于管理,降低网络扩展的复杂性, 简化路由表的款项 3、连续性:连续地址在层次结构网络中易于进行路由总结,大大 缩减路由表,提高路由算法的效率 . 4、可扩展性:地址分配在每一层次上都要留有余量,在网络规模 扩展时能保证地址总结所需的连续性 5、灵活性:地址分配应具有灵活性,可借助可变长子网掩码技 术 3.3 IP地址分配表 部门Vlan 编号虚拟 ip Ip 地址范围 部门一101 192.168.
11、1.1 192.168.1.2-2 54 部门二102 192.168.2.1 192.168.2.2-2 54 部门三103 192.168.3.1 192.168.3.2-2 54 部门四104 192.168.4.1 192.168.4.2-2 54 部门五105 192.168.5.1 192.168.5.2-2 54 部门六106 192.168.6.1 192.168.6.2-2 54 部门十五115 192.168.15.1 192.168.15.2- . 3.4 划分 VLAN 1. 划分 VLAN的意义 一个单位在一个网络号下有大量的计算机时,并不便于管理, 可 以根据单位所
12、属的部门或其地理分布位置等来划分子网,在本设计方 案中是根据部门来划分子网的,划分子网也就分割了广播域。 划分 VLAN可以有效的利用带宽,通过将网络分成小的广播域或 子网, VLAN解决了在大型“平”网络中发现的扩展性问题,将所有 的数据流,包括广播或多点广播,都别限制在子网中;提高安全性, 通过在 VLAN间强迫进行第三层路由选择,VLAN提供了安全性。如果 配置了 VLAN间通讯,可以使用路由器传统的安全和功能。负载均衡 多条通信 VLAN允许第三层路由选择协议智能决定到达目的地的最 佳路径,当有多条到达目的地的路径时,还能够进行负载均衡。对故 障组建的隔离减少网络故障的影响。 2. 具
13、体配置如下: (1)对汇聚层三层交换机进行vlan 配置 254 服务器群网关 ip Ip 地址 Server0 192.169.0.1 192.169.0.2 Server1 192.169.0.1 192.169.0.3 Printer0 192.169.0.1 192.169.0.4 . Switchenable Switch#vlan database Switch(vlan)#vtp domain vd Changing VTP domain name from NULL to vd Switch(vlan)#vtp server Device mode already VTP SE
14、RVER. (2)对接入层交换机分别进行vlan 配置 Switchenable Switch#vlan database Switch(vlan)#vtp domain vd Changing VTP domain name from NULL to vd Switch(vlan)#vtp client Setting device to VTP CLIENT mode. (3)将接入层交换机与汇聚层交换机相连的接口设为trunk 模式 Switch(config)#interface FastEthernet0/24 Switch(config-if)#switchport mode tr
15、unk (4)在汇聚层交换机上创建vlan (101-115) Switch#vlan database Switch(vlan)#vlan 2 name VLAN2 VLAN 2 modified: Name: VLAN2 Switch(vlan)#vlan 3 name VLAN3 . VLAN 3 modified: Name: VLAN3 (5)对汇聚层交换机与核心层路由器连接的接口设置ip 地址 Switch(config)#interface FastEthernet0/24 Switch(config-if)#no switchport Switch(config-if)#ip
16、address 192.168.0.1 255.255.255.0 Switch(config-if)#no shutdown Router(config)#interface FastEthernet1/0 Router(config-if)#ip address 192.168.0.2 255.255.255.0 Router(config-if)#no shutdown (6)对各个 vlan 设置虚拟 ip 地址( vlan 101-vlan 105) Switch(config)#interface vlan 101 Switch(config-if)#ip address 192.
17、168.1.1 255.255.255.0 Switch(config-if)#exit (7)对核心层路由器与服务器集群连接的端口设置ip 地址 Router(config)#interface FastEthernet0/0 Router(config-if)#ip address 192.169.0.1 255.255.255.0 Router(config-if)#no shutdown (8)对汇聚层交换机设置静态路由 Switch(config)#ip route 192.169.0.0 255.255.255.0 192.168.0.2 Router(config)#ip rou
18、te 192.168.0.0 255.255.240.0 192.168.0.1 . (9)对核心层路由器进行NAT地址转换设置 Router(config)# interface fastethernet 1/0 Router(config-if)#ip nat inside Router(config-if)exit Router(config)#interface serial 1/2 Router(config-if)#ip nat outside Router(config-if)exit Router(config)#ip nat pool to_internet 210.44.6
19、4.1 210.44.64.2 netmask 255.255.255.0 !定义内部全局地址池 Router(config)#access-list 10 permit 192.168.0.0 0.0.15.255 !定义允许转换的地址 Router(config)#ip nat inside source list 10 pool to_internet ! 为内部本地调用转换地址池 四、调试与测试 1、主机与服务器的连接测试 PC2-Ping-Server0 . PC5-Ping-Server0 2、主机与主机的连接测试 PC1-Ping-PC6 3、主机与外网的连接测试 . 出现问题:
20、目标主机不可达 解决方案:在三层交换机中添加静态路由 Switch(config)#ip route 210.44.64.0 255.255.255.0 192.168.0.2 五、远程用户访问 远程访问功能使远程人员或经常变换地点的工作者可通过使用拨号 通讯链接来访问企业网络, 就像他们是直接连接到企业一样。远程访 问也提供虚拟专用网( VPN )服务,以便用户可以在Internet上访问 企业网络。 用户运行远程访问软件,并初始化到远程访问服务器上的连接。 远程访问服务器, 会始终验证用户和服务会话, 直到用户或网络管理 员将其终止为止。 适用于 LAN连接用户的所有服务 (包括文件和打印
21、共享、 Web 服 务器访问和消息)均通过远程访问连接启用。 . 1. 创建路由和远程访问服务器 2. 选择总结 3. 路由和远程访问服务器向导欢迎界面 . 配置 自定义配置 . 完成界面 安装完成后提示是否启动服务 此服务器已经是远程访问/VPN服务器 . 六、网络安全的设计 安全不仅是单一PC的问题,也不仅是服务器或路由器的问题,而是整体网络系统的问 题。 所以网络安全要考虑整个网络系统,因此必须结合网络系统来制定合适的网络安全策略。 网络安全涉及到的问题非常多,如防病毒、防入侵破坏、防信息盗窃、用户身份验证等,这 些都不是由单一产品来完成,也不可能由单一产品来完成,因此网络安全也必须从整
22、体策略 来考虑。 网络安全防护体系必须是一个动态的防护体系,需要不断监测与更新,只有这样才 能保障网络安全。调查显示,有超过70% 的安全问题来自企业的内部,如何对员工进行网络 安全教育,如何让员工参与网络安全建设,是网络安全要解决的核心问题之一。 1. 物理安全 物理安全是指在物理介质层次上对存储和传输的网络信息进行安全保护,是网络信息安 全的基本保障。建立物理安全体系结构应从3 个方面考虑 : 一是自然灾害(地震、火灾、洪 水) 、物理损坏 (硬盘损坏、 设备使用到期、 外力损坏) 和设备故障 (停电断电、 电磁干扰); 二是电磁辐射、乘机而入、痕迹泄漏等;三是操作失误(格式硬盘、线路拆除
23、)、意外疏漏 等。 2. 操作系统安全 网络操作系统是网络信息系统的核心,其安全性占据十分重要的地位。从安全与发展的 角度采用局域网网关服务器系统使用linux ,客户机使用windows 系统。 1、在计算机网络系统中,根据系统的具体情况,部署防病毒、防火墙、访问控制、黑 客入侵检测和VPN等系统,在最关键的部位保护最关键的资源。 . 2、在所有的含有关键业务数据或提供重要服务的服务器上安装主机核心防护产品,提 供对服务器的强力安全防护。 3、在系统中安装和部署客户端、服务器、邮件系统的防毒产品,从而构筑起病毒防御 体系,有效的抵御和防范病毒的侵袭。 4、配备网关级过滤:网关级过滤的作用是保
24、护内部的信息系统免受来自外部的恶意代 码的攻击。 它应该处于防火墙的后面,用来进一步控制外部对内部的恶意访问。网关级过滤 机制包括网关级防病毒过滤、垃圾邮件和非法信息过滤、恶意代码过滤。 七、总结 经过为期两周的课程设计,终于成功的将小型企业局域网设计完成,在这个过程中遇到许多 困难, 查阅许多资料,尽管这份设计中还有许多不足之处。但在这两周中,通过我们的分工 合作, 我们懂得了合作的重要性,同时也学到了很多东西,使所学的知识得到了灵活的、熟 练的运用, 同时也学到了书本之外的知识。知道了,大学不仅要学习理论知识,实践能力也 是一门很重要的学科,也是以后我们必备的能力。 参考文献 1 网络组建管理与维护作者:李武东南大学出版社 2 . 中小型企业网络组建实训教程作者:张敏波电子工业出版社 3. 计算机网络作者:谢希仁电子工业出版社 4. 通过 Internet查阅了相关质料。