网络安全|计算机网络课设--小型企业网络的规划与设计




《计算机网络实践》报告

题目 网络设计的规划与实现



学年学期 20Xx-20Xx学年第一学期

课程名称计算机网络实践


院系XXX学院


专业计算机科学与技术


学号

姓名

指导教师XXx



二OXx 年 六月 十 日
1 需求分析 1.1 项目背景 星辰公司是家中等规模企业的网络公司,公司分布情况主要有财务部、销售部、技术部、经理部四个部门。本方案主要是建设公司网络系统,总体建设目标是建设阳阳公司的内部局域网,实现公司内部网络的高速互通,各个部门利用内部网络接入Internet,以充分利用因特网上的资源。
1.2 项目需求 公司目前开展的企业网建设,旨在推动公司的信息化建设,其最终建设目标是将公司建设成了一个借助信息化办公和管理的高水平的智能化、数字化的企业网络,满足企业信息化的要求,为各类应用系统提供方便,快捷的信息通路,具有良好的性能,能够支持大容量和实时性的各类应用,能够可靠的运行,具有较低的故障率和维护要求。公司的网络系统是建立在高速光纤网的基础上,构建内网相互独立的网络系统,以提供安全的办公局域网和可访问Internet的网络系统。实现各部门内部和各部门之间公共网络化,构建网络信息共享,实现资源共享,为各部门提高办事效率办事透明度以及快速反应提供可靠的保障。网络系统主要是以光纤作为传输媒介、IP和Internet技术为技术主体、核心路由器为交换中心、下属部门信息网络系为分接点的多层结构、 提供与各种网络技能相关的 、功能齐全、技术先进、资源统一的网络应用系统。网络系统建设主要实现以下功能:
1.系统主干采用百兆以太网交换,下属子网采用百兆以太网,采用 TCP/IP协议,提供标准化的高速度主干网连接,实现100Mb/s交换到桌面的网络。使用三层交换机来代替路由,实现数据的快速转发;
2.企业网络内部资源的共享,包括文件共享,硬件共享,软件共享等;
3.文件传输能快速地, 在不需要移动存储设备的情况下在各电脑之间进行文件的拷贝;
4.能通过内部网络高速接入 Internet 进行工作,浏览网页查找资料;
5.交换机采用主流、成熟和售后服务均佳的产品,具有较高的性价比。网络中使用的设备和协议应完全符合国际通用的技术标准。
1.3 网络管理要求 企业网络系统必需具备有完善的、安全的智能化网络管理功能,其基本需求如下:
(1)网络设备支持基于端口的虚拟网(VLAN)划分,利用网络管理软件能动态地调整配置VLAN。使划分的各虚网之间既能相互共享所需的信息,又能分别独立运作,加强各虚网之间信息的安全性。这样易于实现网络重组并具备隔离广播风暴的能力;
(2)具有基于端口的访问控制模式,有效防止外部或内部对某些重要信息点的访问,达到控制信息流向的目的,增强网络的安全性;
(3)动态监控登录网络代理用户数,有效及时地防止某些非法访问;
(4)对网络故障及时报警,并实现隔离。
2 网络设计原则 2.1 网络需求调研与系统设计的基本原则 本网络主要进行路由组织、IP地址、网络安全、VLAN划分和设备具体配置等设计。企业局域网是企业网建设的基础,也是本次企业网络系统组建规划的主要工作,其他所有的建设都是建立在此基础之上的。企业信息网络系统应是一个以宽带IP网为目标,建立数据连接为一体化的内部办公网络和外部宽带。网络系统应实现虚拟局域网( VLAN)的功能,以保证全网的良好性能及网络安全性。主干网交换机应具有很高的传输速度,整个网络应具有高速的三层交换功能。主干网络应该采用成熟的、可靠的百兆以太网技术作为网络系统主干。应该选择有成功案例的网络厂商的设备, 同时为 Internet 提供接口,网络还应具有良好的扩展性。建设覆盖整个企业的局域网包括网络技术选型,拓扑结构设计,布线系统设计和网络方案的具体设计。网络方案设计中的核心、汇聚、接入层三层是其重点。其次进行VLAN划分,子网配置和 IP 地址的分配 ,最后进行服务器、交换机和路由器的配置。
2.2 网络工程设计总体原则 遵循《中国公众多媒体通信网技术体制》、《中国公众多媒体通信网工程实施技术要求》、以及其它国家相关标准和技术体制。采用层次化设计,网络结构的不同部分有不同的功能,使网络具有优良的结构。提供有效的安全保密措施,确保整个网络的安全。
网络具有较强的可升级性,在将来需要时可以对网络进行必要的扩充。在增加新硬件设备时能方便地接入网络,软件上便于更新、维护、升级。尽量详细准确,减低工程的复杂程度,使系统建设和改造的工作量减至最少,以保证工程的顺利和有效完成。
3 设计方案 3.1 网络设备选型 3.1.1 网络设备选择
星辰公司使用的是在众多网络设备企业排行第一的美国Cisco公司的网络设备Cisco Packet Tracer软件 。
3.1.2 服务器设备的选择
服务器在企业网络中充当不可或缺的角色,公司需要发布信息、构建自己的WEB服务器,根据阳阳公司的实际情况,至少需要 2 台服务器设备,具体服务器设备如表2-1所示:
服务器名
数量
FTP
1
WWW
1
表2-1 企业网络服务器要求
WWW服务器主要功能是提供网上信息浏览服务,是访问Internet信息的主要查询工具。WEB服务器。网络间的计算机通信首先必须由DNS服务器将域名解析为对应的IP地址,同时也可以将IP地址反解析为主机域名。通过DNS服务连接Internet浏览网页可以提高公司的办事效率,企业网络中搭建DNS服务器可以解决IP地址难以记忆的问题,同时也提高网络访问速度,由此可以DNS服务器是信息网络中不可或缺的。




3.2 网络方案拓扑设计
在此次星辰公司网络的设计中,网络拓扑结构选用星型网络拓扑结构,星型网络拓扑结构具有安全、 可靠、易扩展等特点 ,我们采用层次化模型来设计网络拓扑结构。层次化模型有利于实现较为复杂的网络功能要求且节省成本,也可以支持较大的网络规模便于企业网的升级扩大。因公司要求网络主干具备高可靠性和可用性 ,且考虑到以后扩充和该公司的业务比较重要,为了保证数据转发的快速和可靠,核心层的设计上采用了二台三层交换机,做到设备冗余和负载均衡,就算其中某个交换机发生故障,网络也可以快速恢复,增加网络的可靠性。拓扑结构图如图3-1所示:


图3-2 网络拓扑图

3.3 IP 地址规划 绝大多数企业局域网采用 TCP/IP 协议,因此 IP 地址规划在组建企业局域网时至关重要。在企业网网络规划中,好的 IP 地址方案不仅可以减少网络负荷 ,还能为以后的网络扩展打下良好的基础。 IP 地址规划应考虑:
唯一性——一个IP网络中不能有两台主机采用相同的IP地址;
连续性——为同一网络区域分配连续的网络地址,缩减速路由表的表项,提高路由表的处理效率;
可扩充性——为一个网络区域分配的IP应有一定的地址冗余, 以便于主机数量增加,保证网络的可持续发展;
简单性——地址分配简单,避免在主干上采用复杂的掩码方式;
安全性——公司网络内可按不同的部门划分不同的网段,以便进行管理。公司申请了一个电信公网IP:61.190.10.1/24,本设计方案的网络地址规划如表3-3、3-4所示:
设备名称
接口
IP 地址
描述
sw1
F0/5
192.168.2.1/24
3L-Switch
sw2
F0/5
192.168.3.1/24
3L-Switch
sw2
F0/6
192.168.4.2/24
3L-Switch
R1
F0/0
192.168.2.2/24
Router
表 3-3 设备IP地址分配表
部门
IP 网段
财务部
192.168.5.0
销售部
192.168.6.0
技术部
192.168.7.0
经理部
192.168.8.0
表 3-4 部门 IP 地址分配表
3.4 ACL 访问控制 通过访问列表,可以设置允许或拒绝某些数据包通过,或者允许或拒绝某些端口进行访问和使用,从而达到设置网络安全策略,防止网络中的敏感数据受到非授权访问的情况。访问控制列表控制了网络的流量,控制了用户的网络行为,控制了网络病毒的传播,在本方案中财务部启用了 ACL 访问控制,其主要目的是防止公司财务数据被窃。
3.5 STP 生成树协议 STP技术提供在链路冗余的同时防止网络产生环路,从而避免了广播风暴的产生,并在个别线路出现故障时能有效地切换线路从而保证通信顺畅。STP创建了一个无环树结构。协议可以保证一个网络的冗余性,在一个网络中设置冗余链路,并用生成树协议让备份链路阻塞,而一旦出现故障,启用备份链路。
3.6 VLAN 端口划分及配置
VLAN 号
网段 IP
名称
描述
2
192.168.5.1/24
cwb
财务部
3
192.168.6.1/24
xcb
销售部
4
192.168.7.1/24
jcb
技术部
5
192.168.8.1/24
jlb
经理部
表 3-5 VLAN IP 地址规划表
4 网络设计方案设计 4.1 设备选型原则 1.具备较强的安全性;
2.代表目前网络系统设备的先进水平;
3.具备优良的可扩充性和升级能力;
4.具有优良的性价比,根据现在需求和未来扩展需求选择设备型号,避免追
求高档和最新技术花费巨大的代价;
5.选择售后服务好且有一套完善的服务体系及未来在该领域的发展计划的厂商产品。
为保证企业的信息系统的稳定性和高效运行,因此,应该采用主流的网络产品。CISCO 是网络业界第一品牌和最大的研发专家,是项目可持续应用的投资保护和规避厂家风险的首选。根据实际调查,综合考虑各家公司的发展状况、技术实力、市场占有率等各方面因素,本方案选择 CISCO 公司的网络设备,以确保网络实用与性价比。
4.2 核心层交换机选型 核心层为网络主干,选用三层交换机最为合适。为公司办公网络主干选用二台 CISCO WS-C6509-E 交换机作为核心交换机来连接各级交换机,对全网的数据进行高速无阻塞的交换。 CISCO WS-C6509-E 为企业级模块化交换机,具备极高的交换能力和端口密度,充分满足网络互联的需求。交换机以固定的配置存储转发的交换方式,提供了线速度快速以太网和千兆以太网连接, 并带有三层路由的引擎,可使公司网络具有很强的升级能力,大大增加了网络的传输能力、系统的实时性和系统的互动性。
4.3 接入层设备选型 接入层,我们经常称之为访问网。访问网主要用来支撑客户端机器对服务器的访问,主要是指接入路由器、交换机、终端访问用户。它利用多种接入技术,迅速覆盖至用户节点,将不同地理分布的用户快速有效地接入到信息网的汇聚。对上连接至汇聚层和核心层,对下实现用户的接入。为方便跨交换机的VLAN划分,优化网络性能,简化网络拓扑结构,在本设计中接入层统一使用10/100Mbps自适应的CISCO WS-2950-24普通交换机。背板带宽为8.8Gbps,包转发率为3.6Mpps,人文科技学院计算机网络技术毕业论文以存储转发的交换方式和全双工的传输模式,配备有百兆的上行链路,所有的接入层交换机组以百兆RJ-45直通双绞线交换到桌面,在网络中提供高密度的接入。用于VLAN边缘为交换机的端口间提供安全性和隔离性,同时保证语音流量从进入点通过虚拟通道直接传输到核心层设备上,而不会被定位到其它无关端口。保证了投资成本少及易于管理的要求。
4.4 企业网服务器设备选择 服务器是所有C/S模式网络中最核心的网络设备,在相当程度上决定了整个网络的性能。它既是网络的文件中心,同时又是网络的数据中心。星辰公司需对外发布企业商业信息网站,且WEB站点为动态网页,我为该公司的服务器选择了联想万全R525 S5405企业级机架式服务器,它是一款内存1G,CPU为Intel XeonE5405、主频2000MHZ,硬盘容量73GB,集成ATI显示芯片,16MB显存,集成Intel双千兆自适应网卡,支持网卡冗余、负载均衡等功能,可选外插Intel千兆自适应网卡的服务器。它支持 Windows server 2003 R2 Standard Edition中文版/英文版(X32)、Windows server 2003 R2 Enterprise Edition中文版/英文版 (X32)、Windows server 2003 R2 Standard Edition英文版(X64)、Windows Server2003存储增强版V2(WSS)等操作系统。且价格适中,有较高的性价比。
4.5 出口路由设备选型 由于大量的数据都发生在局域网内部,所以对路由器的性能要求不高,可以选用中低端路由器。因此出口路由器选用CISCO 2811模块化路由器。它是企业网络对外的出口,也可以作为企业网络的第一道防火墙。CISCO 2811模块化路由器提供了安全、可扩展的网络连接,容纳多种流量类型,如VPN等,最大DRAM内存为760MB,传输速率为10/100Mbps,支持IEEE 802.3x网络标准。内置的防火墙功能提高了局域网的安全性, 利用 CISCO 2811 网络服务还可以预防和响应网络攻击和威胁。

5 交换机和路由器的配置 5.1 路由器与交换机的配置 5.1.1 路由器的配置
路由器R1与内网的连接端口为f0/0,此端口的IP地址为192.168.2.2。s1/0为外部端口,IP地址为61.190.10.1。通过以下对路由器R1的配置完成了该校内部网络与外部Internet的通信,并使用NAT技术完成。
Router>
Router>en
Router#conf t
Router(config)#hostname R1
R1(config)#ip nat pool router 61.190.10.1 61.190.10.1 net 255.255.255.0
R1(config)#access-list 1 per any
R1(config)#ip nat inside source list 1 poo router overload
R1(config)#int fa0/0
R1(config-if)#ip add 192.168.2.2 255.255.255.0
R1(config-if)#ip nat inside
R1(config-if)#no sh
R1(config-if)#int s1/0
R1(config-if)#ip add 61.190.10.1 255.255.255.0
R1(config-if)#ip nat outside
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 s1/0
R1(config)#access-list 1 deny host 192.168.5.0
R1(config)#access-list 1 per any
R1(config)#int fa0/0
R1(config-if)#ip access-group 1 in
R1(config)#end
R1(config)#router os 100
R1(config-router)#net 192.168.2.0 0.0.0.255 a 0
R1#write
Building configuration...
[OK]
5.1.2 核心层交换机的配置
下面为sw1交换机的具体配置:
启动交换机后默认进入用户模式
Switch># 进入特权模式
Switch>enable# 进入全局模式
Switch#configure
Switch(config)#host SW1# 交换机名称配置
SW1(config)#enable pass 123456# 配置进入特权模式口令
SW1(config)#int fa0/5# 进入接口0/5并为其端口设置IP
SW1(config-if)#no sw
SW1(config-if)#ip add 192.168.2.1 255.255.255.0
SW1(config-if)#no shutdown
SW1(config-if)#exit# 返回全局模式
SW1(config)#int ran fa0/3-4# 进入3 4号端口,设置为trunk口
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1#vlan database
SW1(vlan)#vlan 2
VLAN 2 added:
Name: VLAN0002
SW1(vlan)#vlan 3
VLAN 3 added:
Name: VLAN0003
SW1(vlan)#vlan 4
VLAN 4 added:
Name: VLAN0004
SW1(vlan)#vlan 5
VLAN 5 added:
Name: VLAN0005
SW1(config-if)#int vlan 2
SW1(config-if)#ip add 192.168.5.1 255.255.255.0
SW1(config-if)#no shutdown
SW1(config-if)#int vlan 3
SW1(config-if)#ip add 192.168.6.1 255.255.255.0
SW1(config-if)#no shutdown
SW1(config-if)#int vlan 4
SW1(config-if)#ip add 192.168.7.1 255.255.255.0
SW1(config-if)#no shutdown
SW1(config-if)#int vlan 5
SW1(config-if)#ip add 192.168.8.1 255.255.255.0
SW1(config-if)#no shutdown
SW1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.2
SW1(config)#ip routing
SW1(config)#router ospf 100
SW1(config-router)#network 192.168.2.0 0.0.0.255 a 0
SW1(config-router)#network 192.168.5.0 0.0.0.255 a 0
SW1(config-router)#network 192.168.6.0 0.0.0.255 a 0
SW1(config-router)#network 192.168.7.0 0.0.0.255 a 0
SW1(config-router)#network 192.168.8.0 0.0.0.255 a 0
SW1(config)#spanning-tree vlan 1-5
SW1(config)#spanning-tree vlan 2-3 priority 4096
SW1(config)#line vty 0 1
SW1(config-line)#login
SW1(config-line)#pass 123456
SW1(config-line)#exi
SW1(config)#end
SW1#wr
下面为sw2交换机的具体配置:
启动交换机后默认进入用户模式
Switch(config)#host SW2
SW2(config)#enable pass 12345
SW2(config)#int fa0/6
SW2(config-if)#no sw
SW2(config-if)#int fa0/5
SW2(config-if)#no switchport
SW2(config-if)#ip add 192.168.4.2 255.255.255.0
SW2(config-if)#no shutdown
SW2(config-if)#span vlan 1-5
SW2(config)#int fa0/6
SW2(config-if)#no sw
SW2(config-if)#ip add 192.168.3.1 255.255.255.0
SW2(config-if)#no shutdown
SW2#vlan database
SW2(vlan)#vlan 2
VLAN 2 added:
Name: VLAN0002
SW2(vlan)#vlan 3
VLAN 3 added:
Name: VLAN0003
SW2(vlan)#vlan 4
VLAN 4 added:
Name: VLAN0004
SW2(vlan)#vlan 5
VLAN 5 added:
Name: VLAN0005
SW2(config)#int vlan 5
SW2(config-if)#ip add 192.168.8.2 255.255.255.0
SW2(config-if)#no shutdown
SW2(config)#int ran fa0/3-4
SW2(config-if-range)#sw tr en d
SW2(config-if-range)#sw mo tr
SW2(config-if-range)#no shutdown
SW2(config)#ip routing
SW2(config)#router os 100
SW2(config-router)#net 192.168.3.0 0.0.0.255 a 0
SW2(config-router)#net 192.168.4.0 0.0.0.255 a 0
SW2(config-router)#net 192.168.8.0 0.0.0.255 a 0
5.1.3 汇聚层交换机的配置
下面是汇聚交换机 sw3 的详细配置:
启动交换机后默认进入用户模式
Switch>en
Switch#conf t
Switch(config)#host SW3
SW3(config)#enable password 12345
SW3(config)#exi
SW3#vlan database
SW3(vlan)#vlan 2
VLAN 2 added:
Name: VLAN0002
SW3(vlan)#vlan 3
VLAN 3 added:
Name: VLAN0003
SW3(vlan)#vlan 4
VLAN 4 added:
Name: VLAN0004
SW3(vlan)#vlan 5
VLAN 5 added:
Name: VLAN0005
SW3(config)#int fa0/3
SW3(config-if)#sw acc vlan 2
SW3(config-if)#no sh
SW3(config-if)#int fa0/4
SW3(config-if)#sw mo acc
SW3(config-if)#sw acc vlan 3
SW3(config-if)#exi
SW3(config)#int ran fa0/1-2
SW3(config-if-range)#sw tr en d
SW3(config-if-range)#sw mo tr
SW3(config-if-range)#exi
SW3(config)#spanning-tree vlan 2-5
SW3(config)#exi
SW3#wr
Building configuration...
[OK]

下面是汇聚交换机 sw4 的详细配置:
启动交换机后默认进入用户模式
Switch>en
Switch#conf t
Switch(config)#host SW4
SW4(config)#enable pass 12345
SW4(config)#exi
SW4#vlan database
SW4(vlan)#vlan 2
VLAN 2 added:
Name: VLAN0002
SW4(vlan)#vlan 3
VLAN 3 added:
Name: VLAN0003
SW4(vlan)#vlan 4
VLAN 4 added:
Name: VLAN0004
SW4(vlan)#vlan 5
VLAN 5 added:
Name: VLAN0005
SW4(config)#int fa0/3
SW4(config-if)#sw acc vlan 4
SW4(config-if)#int fa0/4
SW4(config-if)#sw acc vlan 5
SW4(config-if)#int ran fa0/1-2
SW4(config-if-range)#sw mo tr
SW4(config-if-range)#no sh
SW4(config-if-range)#exi
SW4(config)#spanning-tree vlan 2-5
SW4(config)#end
SW4#
%SYS-5-CONFIG_I: Configured from console by console
wr
Building configuration...
[OK]
6 系统测试 SW1路由的收敛,收到全网ospf的路由宣告条目如图6-1所示:
网络安全|计算机网络课设--小型企业网络的规划与设计
文章图片


图 6-1





PC0机连通测试如图6-2所示:
网络安全|计算机网络课设--小型企业网络的规划与设计
文章图片
6-2

PC1机连通测试如图6-3所示:
网络安全|计算机网络课设--小型企业网络的规划与设计
文章图片


图 6-3
PC2机IP配置以及成功访问到域名服务器,并且能够成功解析出域名服务器中的已有条目,如图6-4所示:
网络安全|计算机网络课设--小型企业网络的规划与设计
文章图片


图 6-4
PC3机连通测试如图6-5所示:
网络安全|计算机网络课设--小型企业网络的规划与设计
文章图片


图 6-5

成功通过域名解析能够访问到web服务器,如图6-6所示:
网络安全|计算机网络课设--小型企业网络的规划与设计
文章图片


图 6-6






DNS服务器配置如图6-7、6-8所:
网络安全|计算机网络课设--小型企业网络的规划与设计
文章图片


图 6-7
网络安全|计算机网络课设--小型企业网络的规划与设计
文章图片


图 6-8
WEB服务器设置如图6-9、6-10所示:
网络安全|计算机网络课设--小型企业网络的规划与设计
文章图片


图 6-9
网络安全|计算机网络课设--小型企业网络的规划与设计
文章图片


图 6-10



总 结 本次实验将组网所需的设备选型、拓扑结构图、IP规划、具体配置技术等必备步骤一一罗列,阐述了企业网络组建对提升企业发展空间的重要性。由于企业网功能齐全,接触面广,在网络设计规划中都非常复杂,因此在论述中也不能做到面面俱到。在设计过程中借鉴和参考了许多有关方面的资料,也通过Internet在广阔的网络平台寻找设计的题材,我感受到了网络的无穷魅力同时也发现自己掌握的网络知识是如此欠缺,在设计过程中接触了很多全新的网络知识,并通过多方面的努力把所学的知识加以应用,通过这次综合实践,丰富了我在网络方面的知识,同时也加强了我的实际操作能力和动手能力。特别在网络设计、交换机、路由器方面,我有了更加丰富的理论和实践经验。我一定在以后的学习生活中更加努力,相信有一天我能做的更好。



参 考 文 献:
[1]谢希仁 .计算机网络 (第七版 )[M]. 北京:电子工业出版社 ,2017
[2]褚建立 .网络综合布线实用技术 [M]. 清华大学出版社 ,2002
[3]蔡建新 .网络工程概论 [M]. 清华大学出版社 ,2002
[4]程庆梅 .计算机网络实训教程 [M]. 高等教育出版社 ,2003
[5]罗皇.网路组建与管理教程 [M]. 清华大学出版社 ,2004
[6]陈义杰 .网络规划与设计 [M]. 冶金工业出版社 ,2005
[7]陈应明 .计算机网络与应用 [M]. 冶金工业出版社 ,2005
【网络安全|计算机网络课设--小型企业网络的规划与设计】[8]陆魁军 .基于 Cisco 路由器和交换机 [M]. 清华大学出版社 ,2007

    推荐阅读