1、第一章 绪论第一节 项目背景园区网构建简单的说就是将园区网内各种信息资源通过高性能网络设备连接起来,形成园区网系统,以便资源共享,并通过路由器与外网相连。随着园区网建设的普及和快速发展,病毒、木马、黑客攻击等危害行为随之产生,所以构建一个安全、快速园区网显得尤为重要。某电器制造企业分为制造、销售、管理、技术研发、财务等部门,拥有计算机400台,且已在ISP申请了210.46.1.1至210.46.1.7几个公网地址,要求为全部用户提供安全的网络接入,园区网覆盖企业所有楼宇,企业要求建设对外的WWW服务,电子邮件,对内部用户的文件传输服务、内部域名服务和企业内部门户网站,要求对用户实现域模式管理
2、,建立严格的资源访问控制,为保证业务的正常开展,要求建立完善的网络安全体系和网络管理系统,允许外网可信任用户远程访问企业内网资源。第二节 总体目标1、在园区网中建成一个适合于信息采集、共享的内部网络,在此基础上建立起供用户培训使用的内部网络以及内部办公网络。2、使用防火墙、访问控制列表、地址转换安全的实现到Internet的接入与访问,及实现信息在Internet的发布。第二章 需求分析随着信息时代的到来,无论是办公或者是通信都离不开计算机。现在的人越来越依靠于计算机,再加上电子商务行业的飞速发展Internet的应用也更加广泛。由于这样的社会环境人们对各种数据形式的信息需求和交流的不断增长,
3、使得当今的计算机网络,成为信息技术的基础设施与获取、共享和交流信息的主要工具,并成为人们在当今社会生活及工作中不可缺少的组成部分。因此,在全球信息电子化、网络化迅速发展的大环境下,无论是从大趋势上看,还是从自身商业利益角度考虑,建立园区网是企业顺应时代潮流的必由之路。根据本园区网实际情况主要应用需求分析如下:(1)用户的应用需求:所有用户可以方便地浏览和查询局域网和互联网上的学习资源,通过WWW服务器、电子邮件服务器、文件服务器、远程登录等实现远程学习,此外为销售部、管理部、技术研发部、财务部等用户。(2)通信需求:通过E-mail及其它网络功能满足全网的通信与信息交换的要求,提供文件数据共享
4、、电子邮箱服务等。(3)信息点和用户需求:按照要求本园区网内信息点要求,其中包括销售部、管理部、技术研发部和财务部若干个,电子邮件服务器、文件服务服务器、DNS域名服务器等为内部单位服务,WWW服务器、远程登录等实现远程学习,从外部网站获得资源。(4)性能需求:此企业需要支持企业的日常办公和管理,包括销售管理、技术管理、财务管理等并且支持网络信息传输要求。(5)安全与管理需求:企业基本信息档案和重要的工作文件要求对数据存储、传输的安全性的性能较高,如销售管理、技术管理、财务管理等可以通过分布式、集中式相集合的方法进行管理。网络安全对于网络系统来说是十分重要的,它直接关系到网络的正常使用。由于企
5、业内部网与外部网进行互联特别是和Internet的互联,Internet是一个开放式网络系统,它的安全性是很差的。因此安全问题更加重要。应该采用一定的技术来控制网络的安全性,从内部和外部同时对网络资源的访问进行控制。当前主要的网络安全技术有,用户身份验证,VLAN划分,防火墙等技术。网络系统还就具备高度的数据安全性和保密性。(6)实用与经济性:企业的特点决定了园区网络系统必需要有实用与经济性。实用性使得网络便于管理、维护,以减少网络使用人员运用网络的难度,从而降低人为操作引起的网络故障,并使更多的人掌握网络的使用。由于企业的资金有限,所以在建设园区网时一定要使用性价比高的网络技术和网络设备,以
6、节约建设资金。第三章 系统概要设计第一节 设计原则由于计算机与网络技术的特殊性,网络建设需要考虑以下一些因素:系统的先进性、体统的稳定性、系统的可扩展性、系统的可维护性、应用系统和网络系统的配合度、与外界网络的连通性等。(一)选择可扩充的网络架构园区网的用户数量或服务功能是逐步提高的,网络技术也是日新月异的,新技术新产品不断地涌现。一般情况下,企业网的建设资金用量非常大,所以在园区网构建时,宜采用当时最新的网络技术,结合公司财力,实行分步实施,循序渐进。这就要求在网络构件时要选择具有良好可扩展性能的网络互连设备,有效地保护现有的投资。(二)充分共享络资源组建计算机网络的主要目的是实现资源共享,
7、这个资源包括硬件资源、软件资源。网络用户通过网络不仅可以实现文件共享、数据共享,还可以通过网络实现网络设备的共享,如打印机、存储设备的共享等。(三)网络可管理性,降低网络运行及维护成本降低网络运营成本和维护成本是网络设计过程中必须考虑的一个环节。只要在网络设计时选用支持网络管理功能的网络设备,才能为将来降低网络运行及维护成本打下坚实的基础。(四)网络系统与应用系统的整和园区网构建了园区内通畅的数据流通路,为应用系统发挥更大的作用打下了基础。网络系统与应系统要能够很好的融合,才能发挥园区网的效率和优势,构建校园网的目的并不是只为了人们浏览Internet的方便。应用系统应能够在网络平台上,与硬件
8、平台很好的结合,发挥出网络的优势。(五)建设成本考虑园区网工程在建设方面都希望成本较低,整个网络系统有较高的性价比,在设备选型等方面选用性价比高的网络产品。(六)高可靠性网络要求具有高可靠性、高稳定性和足够设备冗余和备份,防止局部故障引起整个网络系统的瘫痪,避免网络出现单点失效的情况。在网络干线上要提供备份链路。在网络设备上要提供适当的冗余配置。采用各种有效的安全措施,保证网络系统和应用系统安全运行。安全包括4个层面-网络安全,操作系统安全,数据库安全,应用系统安全。由于Internet的开放性,世界各地的Internet用户也可访问校园网,校园网将采用防火墙、数据加密等技术防止非法侵入、防止
9、窃听和篡改数据、路由信息的安全保护来保证安全。同时要建立系统和数据库的磁带备份系统。各主要节点的交换机分别用光纤与网络中心的中心交换机相连接,构成校园网千兆位以太网的主干网络,各节点交换机至桌面采用超5类双绞线100Mbps交换。第二节 主要技术介绍根据园区网的设计需求,来完成企业Web、Mail、DNS、DHCP、数据库等基础服务的规划与建设,需要以下主要技术:(1) vlan划分(2) 防火墙技术(3) 远程登录(4) 地址转换第三节 设备选型(1)依照分层的原理设计网络:整个园区网是严格按照cisco建议的核心层,汇聚层,接入层三层模型设计的。其中,核心层负责实现高速数据转发;汇聚层负责
10、策略实施,如vlan划分等;接入层连接最终用户,如PC机或笔记本电脑。由于园区网比较小,把汇聚层和核心层合为一层,管理部,技术部,制造部,销售部,都是采用cisco的低端交换机c2960。汇聚层采用的是cisco的中高端交换机(三层交换机)3560.出口路由器采用的cisco的系列路由器。园区的出口路由器也作为防火墙,采用的是最基本的包过滤防火墙模式。这样可以方面企业各部门之间的互相访问,既节省了企业资金,又提高了企业生产效率。(2)线缆的选择:根据同种设备用交叉线,异种设备用直通线的原理,线缆选择如下:用户与交换机:直通线交换机与三层交换机:交叉线三层交换机与出口路由器:直通线出口路由器与I
11、SP运营商:以太网线第四章 系统详细设计第一节 网络基础架构的详细设计 (1)整体拓扑图图4-1:整体拓扑图(2)设计分布: 在本园区网设计中,整个网络分成内网、外网及分部三部分分别进行设计。一、内网:在汇聚层之下二层交换机上分为管理部、技术部、销售部、制造部和DMZ区域。DMZ区域: 在DMZ区域放置WEB服务器,DHCP服务器,FTP服务器,DNS服务器,EMAIL服务器。管理部:企业中的管理人员所在的区域技术部:企业中技术人员所在区域制造部:企业的制造部门,生产部分所在的区域销售部:专门掌握企业的销售人员所在的部门二、外网:在Internet中设置了腾讯服务器以及外部用户。三、分部:在企
12、业的不同城市设立了企业分部,分部由于要访问企业内部的资源,所以在这个企业中实施了VPN技术,来提供可靠的服务。(3)主要部署环节:一、地址规划根据园区网设计要求,该企业已在ISP申请了210.46.1.1至210.46.1.7几个公网地址,要求为全部用户提供安全的网络接入,园区网覆盖企业所有楼宇。所以公网IP地址是210.46.1.1至210.46.1.7。企业内部地址为一致的私有地址,在本设计中私网地址为10.10.0.0/24和172.25.0.0/24。二、VLAN划分1.在汇聚层交换机上创建vlan并命名。语句如下;int vlan /进入vlan配置vlan 2 /vlan号为2na
13、me zhizaobu /命名为zhizaobuvlan 3 /vlan号为3 name xiaoshoubu /命名为xiaoshoubuvlan 4 /vlan号为4name guanlibu /命名为guanlibuvlan 5 /vlan号为5name zhizaobu /命名为caiweubuvlan 6 /vlan号为6name caiwubu /命名为caiwubuvlan 7 /vlan号为7name DMZ /DMZ区配置后结果为: 区域VLAN名称制造部 vlan 2zhizaobu销售部 vlan 3 xiaoshoubu管理部 Vlan 4 guanlibu技术部 vl
14、an 5 jishubu财务部 vlan 6 caiwbuDMZ vlan 7 DMZvlan 1是默认的管理vlan,所以vlan1是不需要创建的。2把用户接入到对应的vlan中语句如下:销售部;switchport mode access /在接入层交换机上把接口模式改为接入模式switchport access vlan 3 /把此接口划分为vlan3中spanning-tree portfast /连接最终用户的接口开启portfast特性管理部;switchport mode access /在接入层交换机上把接口模式改为接入模式switchport access vlan 4 /把
15、此接口划分为vlan4中spanning-tree portfast /连接最终用户的接口开启portfast特性技术部:switchport mode access /在接入层交换机上把接口模式改为接入模式switchport access vlan 5 /把此接口划分为vlan5中spanning-tree portfast /连接最终用户的接口开启portfast特性财务部:switchport mode access /在接入层交换机上把接口模式改为接入模式switchport access vlan 6 /把此接口划分为vlan6中spanning-tree portfast /连接
16、最终用户的接口开启portfast特性制造部:switchport mode access /在接入层交换机上把接口模式改为接入模式switchport access vlan 2 /把此接口划分为vlan2中spanning-tree portfast /连接最终用户的接口开启portfast特性DMZ:switchport mode access /在接入层交换机上把接口模式改为接入模式switchport access vlan 7 /把此接口划分为vlan7中spanning-tree portfast /连接最终用户的接口开启portfast特性3.最终VlAN划分如下:区域VLAN
17、IP地址范围网关地址DMZvlan 2172.25.7.0/24172.25.7.1/24销售部vlan 3172.25.3.0/24172.25.3.1/24管理部vlan 4172.25.4.0/24172.25.4.1/24技术部vlan 5172.25.5.0/24172.25.5.1/24财务部vlan 6172.25.6.0/24172.25.6.1/24制造部vlan 2172.25.2.0/24172.25.2.1/24三、 路由选择在本园区网设计中,使用了多种路由选择方式,如基于距离向量的路由选择以及默认路由选择。(1)在汇聚层交换机和出口路由器之间使用路由信息协议RIPro
18、uter rip /开启动态路由协议rip version 2 /选用rip的版本v2 network 10.0.0.0 /让10网段的接口参与到路由协议中network 10.10.0.0 /让172.16网段的接口参与到路由协议中(2)在汇聚层交换机上坐默认路由,它的作用是一切未知流量都发送给出口路由: ip route 0.0.0.0 0.0.0.0 10.10.1.1(3)在出口路由器上做动态路由协议: router rip /开启路由协议rip version 2 /选择版本v2 network 10.10.0.0 /10.10的网段参与路由协议(4)在出口路由器上做默认路由指向is
19、p的接口: ip route 0.0.0.0 0.0.0.0 210.46.1.1配置完成后,在汇聚层交换机和出口路由器里分别查看路由表,以保证路由信息的正确性:语句为show ip route,结果如下图:聚层交换机的路由表:出口路由器路由表:四、地址转换在本园区网中,地址转换的方法是NAT技术。NAT技术就是为了解决IPV4地址不足而产生的技术。它主要的功能是把私有IP地址转换为公有IP地址。 内网可以使用私有地址,但在访问外网的时候还需要使用公网地址。因为在互联网上是不允许私有IP地址的运行的。NAT技术主要分为三类:静态地址转换、动态地址转换和端口地址转换。在本王设计中,在内网访问外网
20、时采用的是动态NAT,而在外网访问内网时采用的是静态NAT。(1)动态NAT1)设置应用扩展的访问控制列表配置清单如下: ip access-list extended xiaoshoubu /定义一个销售部扩展访问列表,名字为xiaoshoubu permit ip 172.25.3.0 0.0.0.255 any permit ip 10.101.0 0.0.0.255 any permit icmp any anyip access-list extended guanlibu /定义一个管理部扩展访问列表,名字为guanlibu permit ip 172.25.4.0 0.0.0.2
21、55 any permit ip 10.10.0.0 0.0.255.255 any permit icmp any anyip access-list extended jiashubu /定义一个技术部扩展访问列表,名字为jishubu permit ip 172.25.5.0 0.0.0.255 any permit ip 10.10.0.0 0.0.255.255 any permit icmp any anyip access-list extended caiwubu /定义一个技术部扩展访问列表,名字为caiwubu permit ip 172.25.6.0 0.0.0.255
22、any permit ip 10.10.0.0 0.0.255.255 anypermit icmp any any ip access-list extended zhizaobu /定义一个技术部扩展访问列表,名字为zhizaobu permit ip 172.25.2.0 0.0.0.255 any permit ip 10.10.0.0 0.0.255.255 anypermit icmp any any 2)定义转换地址:ip nat pool xiaozhoubu 210.46.1.3 210.46.1.3 netmask 255.255.255.0ip nat pool guan
23、libu 210.46.1.4 210.46.1.4 netmask 255.255.255.0ip nat pool jishubu 210.46.1.5 210.46.1.5 netmask 255.255.255.0ip nat pool caiwubu 210.46.1.6 210.46.1.6 netmask 255.255.255.0ip nat pool zhizaobu 210.46.1.7 210.46.1.7 netmask 255.255.255.03)应用NAT:ip nat inside source list xiaoshoubu pool xiaoshoubu o
24、verloadip nat inside source list guanlibu pool guanlibu overloadip nat inside source list jishubu pool jishubu overloadip nat inside source list caiwubu pool caiwubu overloadip nat inside source list zhizaobu pool zhizaobu overload4) 在出口路由器,将NAT与接口连接起来:interface fa 0/1ip nat inside /NAT的内部接口interfac
25、e fa 0/0ip nat outside /NAT的外部接口(2)静态NAT:静态NAT主要用于企业内部的服务器方便与Internet用户来访问时所映射的公网IP地址。1)服务器IP地址到公网ip地址的映射:ip nat inside source static 10.10.60.4 210.46.1.72)接口操作:出口路由器 interface fa 0/0ip nat inside /NAT的内部接口interface se 0/1/0 ip nat outside /NAT的外部接口第二节 网络安全等业务的详细设计根据业务和管理的安全性需求,该企业的网络安全体系基本完成,主要依靠的
26、是出口路由器和防火墙设置。做这一步之前,先将内网的拓扑全部架设完成,再将防火墙置于与外网相接的位置,完成内网与外网的互联。另外在本园区网设计中为了更简洁方便使用,没有过多安装软件,所以没有只能完成基本的防火墙设置。防火墙是每个企业必不可少的网络设备,由于cisco路由器提供强大的ios系统,可以在cisco的路由器上实施基于包过滤的防火墙,防火墙主要是为了防止外部不法用户对内部网络实施攻击,它对可疑的流量直接进行删除或丢包,以保证企业内部环境的安全可靠。包过滤的防火墙是基于访问列表的,然后在对应的接口应用。以下为防火墙的配置清单:ip access-list extended fanghuoq
27、iang /定义过滤表的名字fanghuoqiang deny ip 1.0.0.0 0.255.255.255 any /1.0.0.0未分配 deny ip 3.0.0.0 0.255.255.255 any /3.0.0.0未分配 deny ip 172.0.0.0 0.255.255.255 any /私网地址认为是非法的 deny ip 192.168.1.0 0.0.0.255 any /私网地址认为是非法的 deny ip 169.254.0.0 0.0.255.255 any /过滤DHCP获取失败地址 deny ip 224.0.0.0 0.255.255.255 any /
28、过滤组播地址224.0.0.0 deny ip 0.0.0.0 0.255.255.255 any /过滤以0开头的任意地址 permit ip any anyinterface fa 0/0ip access-group fanghuoqiang in /在接口上应用访问控制列表(此接口问出口路由器链接外网的接口,因为防火墙只能防止外部攻击。不能防止内部攻击) 第五章 系统测试 所有配置完成后,实现的结果如下:1、 自动获取ip: 5-1:自动获取IP地址2、DNS域名解析: 图5-2:DNS域名解析3、 WEB访问内网:图5-3:WEB访问内网4、 WEB访问外网:图5-4:WEB访问外网
29、 5、ftp设置:图5-5:ftp设置6、 ftp上传文件: 图5-6:ftp上传文件7、 ftp下载文件:图5-7:ftp文件下载8、 邮件发送:图5-8;邮件发送 9、 邮件接收:图5-9:邮件接收参考文献1 杨卫东. 网络系统集成与工程设计(第2版). 科学出版社2 SEAN CONVERY. 网络安全体系结构. 人民邮电出版社3 刘易斯. 思科网络技术学院教程CCNA Exploration. 人民邮电出版社4 林慧琛,尤国君,刘殊. Red Hat Linux服务器配置与应用(第2版). 人民 邮电出版社5 戴有炜. Windows Server 2003用户管理指南. 清华大学出版社
版权声明:以上文章中所选用的图片及文字来源于网络以及用户投稿,由于未联系到知识产权人或未发现有关知识产权的登记,如有知识产权人并不愿意我们使用,如有侵权请立即联系:2622162128@qq.com ,我们立即下架或删除。
Copyright© 2022-2024 www.wodocx.com ,All Rights Reserved |陕ICP备19002583号-1
陕公网安备 61072602000132号 违法和不良信息举报:0916-4228922