大中型局域网的规划与实现.doc

1、 中型企业局域网的架构与实现摘 要:本设计根据企业的规模，为企业设计了两层网络架构，并且采用CISCO专用模拟软件来验证网络的可行性。为了提高网络的可靠性，使用到的技术是以太通道、生成树协议、HSRP协议和EIGRP协议等,即核心层使用以太通道实现冗余链路，而核心层与接入层之间使用热备份和生成树协议。随着网络和信息技术的高速发展和普及，信息化已经成为现代企业和组织生存发展的必备条件，计算机网络应用几乎遍及人类活动的各个领域，社会的信息化、数据的分布式处理、各种计算机资源的共享等应用需求，推动着计算机网络的迅速发展。关键字：企业网；Internet；网络协议；服务器；防火墙目 录第一章 需求分析

2、.5 1.1 企业网络建设思路与建设原则.5 1.1.1 企业网的建设思路.5 1.1.2 企业网的建设原则.5 1.2 小型企业网的组织背景.5 第二章 典型小企业组网实例.6 2.1 网络构造分析设计.6 2.1.1 网络信息点分布情况.6 2.1.2 投资预算.6 2.1.3 网络系统需求分析.6 2.1.4 带宽需求分析.6 2.1.5 扩展需求分析.6 2.1.6 性能需求分析.6 2.1.7 安全性需求分析.6 2.2 网络系统规划设计.7 2.2.1 设计原则.7 2.2.1.1 实用性和先进性.7 2.2.1.2 可靠性和稳定性.7 2.2.1.3 安全性和保密性.7 2.2.

3、1.4 可扩展性和易维护性.7 2.2.2 网络拓扑的设计.8 2.2.3 网络IP地址的分配原则.8 2.2.3.1 IP地址分配原则.8 2.2.3.2 层次化IP地址规划和汇总.8 2.3 网络设备的选择.9 2.3.1 网络核心层的设计与设备选型.9 2.3.2 网络分布层的设计与设备选型.9 2.3.3 网络接入层的设计与设备选型.10 2.4 网络设备配置.11 2.4.1 路由器R7配置.11 2.4.2 路由器R8配置.12 2.4.3 交换机SW6配置.12 2.4.4 交换机SW5配置.15 2.4.5 交换机SW4配置.19 2.4.6 交换机SW3配置.19 2.4.7

4、 交换机SW7配置.19 2.4.8 缺省路由配置.20 2.4.9 动态路由EIGRP配置.20 2.4.10 NAT网络地址转换.21 第三章 局域网的安全威胁分析与病毒防治 3.1 局域网安全威胁分析.22 3.1.1 欺骗性的软件使数据安全性降低.22 3.1.2 服务器区域没有进行独立防护.22 3.1.3 计算机病毒及恶意代码的威胁.23 3.1.4 局域网用户安全意识不强.23 3.1.5 IP地址冲突.23 3.2 病毒防治.23第四章 参考文献.25课程设计成绩评定表.26第一章 需求分析1.1 企业网络建设思路与建设原则1.1.1 企业网的建设思路 企业网的建设是一项非常复

5、杂的系统工程，企业作为一个特殊的网络应用环境，它的建设与使用都有其自身的特点。在选择局域网的网络技术时要体现开放式、分布式、安全可靠，维护简单的原则。企业网的建设主要应用局域网技术以及多媒体技术为主的各种网络应用技术。局域网技术是一项在20世纪70年代发展起来的计算机互联技术，经过多年的发展，技术已经成熟，并得到了广泛的应用，局域网技术成为网络技术的重要组成部分。计算机多媒体技术是伴随着多媒体信息的应用而得到迅速的计算机应用技术，在网络环境下，多媒体得到了更快更好的应用，使我们得到了更好更多的信息。企业网是使用了局域网技术以及各种多媒体应用技术，并结合Internet应用等其它的技术来建设。使

6、得企业网能满足现代教学对信息处理的要求，使计算机的应用能对教学管理现代化起重要的促进作用，能实现信息查寻、教务管理，并与外部网络系统进行交流等多种需要。1.1.2 企业网的建设原则 企业网建设是一项综合性非常强的系统工程，它包括了网络系统的总体规划、硬件的选型配置、系统管理软件的应用以及人员培训等诸多方面。因此在企业网的建设工作中必须处理好实用与发展、建设与管理、使用与培训等关系，从而使企业网的建设工作健康稳定地开展。首先，企业网的建设是一个为企业运营活动长期服务的工作，因此在企业网的规划建设过程中，必须从企业长远发展规划出发，以服务于工业为基本点，结合企业当前办公的实际需要，做出科学的规划部

7、署。在企业网的规划建设中，一般企业应遵循“统一规划、整体设计、分步实施”的原则。其次在企业网的建设中必须坚持硬件建设与组织管理协调发展的原则，在重视硬件建设的同时，加强网络的组织管理水平，不断开发网络的功能，从而充分发挥企业网络的功效，提高企业网对企业的服务水平。1.2 小型企业网的组建背景 随着计算机及局域网络应用的不断深入，特别是各种计算机应用系统被相继应用在实际工作中，各企业、各单位同外界信息媒体之间的相互交换和共享的要求日益增加。需要使各单位相互间真正做到高效的信息交换、资源的共享，为各单位人员提供准确、可靠、快捷的各种生产数据和信息，充分发挥各单位现有的计算机设备的功能。为加强各公司

8、内各分区的业务和技术联系，提高工作效率，实现资源共享，降低运作及管理成本,公司有必要建立企业内部局域网。局域网要求建设基于TCP/IP协议和WWW技术规范的企业内部非公开的信息管理和交换平台，该平台以WEB为核心，集成WEB、文件共享、信息资源管理等服务功能，实现公司员工在不同地域对内部网的访问。第二章 典型小企业组网实例2.1 网络构造分析设计构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网。选用技术先进、具有容错能力的网络产品.完全符合开放性规范.具有较好的可扩展性.整个公司计划采用千兆进入楼层，10/100兆自适应进入桌面的形式。设备选型上必须在技术上具有先进

9、性，通用性，且必须便于管理，维护。应具备未来良好的可扩展性，可升级性，保护公司的投资。2.1.1 网络信息点分布情况公司办公网主要涉及财务部、行政部、销售部、客服部、业务部、人事部、总经理室、副经理室、会议室、研发部、企划部、运营部、市场部、技术部等其他部门。2.1.2 投资预算针对企业的具体情况，要求投资在五十万元以内，包括局域网设计，网络设备等。2.1.3 网络系统需求分析构建一个完整的网络系统，需要对网络的带宽、网络的扩展性、网络的性能及网络的安全进行分析。2.1.4 带宽需求分析用户对数据传输量的需求决定了网络应当采用何种连网设备和布线产品。就目前情况及公司的实际情况来看，网络视频及多

10、媒体是所必须支持的功能之一，基于这种大传输量的需求，以1000Mb/s光纤接入，100MB/s作为主干和垂直布线，以10/100Mb/s五类双绞线作为水平布线，从而实现10/100Mb/s交换到桌面的网络。2.1.5 扩展需求分析网络的组建不仅要考虑到容纳网络中当前的用户，而且还应当为网络保留至少3-5年的可扩展能力，从而使在用户增加时，网络依然能够满足增长的需要。网络设备必须可以通过网络进行升级，以提供更先进、更多的功能。核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择，以方便未来更灵活的扩展。2.1.6 性能需求分析不同厂

11、家乃至同一厂家不同型号的交换机在性能和功能上都有较大差异，有的安全性高、有的稳定性好、有的转发速率快、有的拥有特殊性能。因此，应当慎重考察和分析本网络对性能的根本需求，以便选择相应品牌和型号的网络设备。这里选择使用CISCO的网络产品。2.1.7 安全性需求分析这一点对于任何网络来说都是最重要的。网络的安全性一般包括网络上的信息是安全的、相对保密的、具有独立备份的；不具备权限的人不能够浏览、下载的，即使同在企业内部不同权限的人员在企业信息网内的权限也是不同的。在企业园区网络中，关键应用服务器、核心网络设备，只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限，网络应该能够阻止

12、任何的非法操作。2.2 网络系统规划设计系统的规划设计主要涉及网络系统的设计原则、网络拓扑图的设计、网络IP地址的分配设计。2.2.1 设计原则网络系统的设计需要遵循一定的原则，如实用性和先进性原则、可靠性和稳定性原则、安全性和保密性原则等。2.2.1.1 实用性和先进性在网络系统设计时首先应该以注重实用为原则，紧密结合具体应用的实际需求。在选择具体的网络技术时一定要同时考虑当前及未来一段时间内主流应用的技术，不要一味地追求新技术和新产品，一方面新的技术和产品还有一个成熟的过程，立即选用时则可能会出现各种意想不到的问题；另一方面，最新技术的产品价格肯定非常昂贵，会造成不必要的资金浪费。 在此项

13、目中，使用以太网技术。即基于双绞线和光纤的，其传输速率最低都应达到10/100Mbps。 2.2.1.2 可靠性和稳定性系统的主要部件采用冗余结构，如：传输方式的备份，提供备份组网结构；支持双机或多机高可用结构；配备不间断电源等。当增加用户信息点时，不影响网络的整体结构以及整体性能，对关键的网络连接采用主备方式，保证数据的传输的可靠性。2.2.1.3 安全性和保密性网络的安全性对网络设计是非常重要的，合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护，可以有效的控制网络的访问。在园区网络的设计上，划分虚拟子网，一方面可以有效的隔离子网内的大量广播，另一方面隔离网络子网间的通讯，控制了

14、资源的访问权限，提高了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力，使网络可以任意连接，又可以从第二层、第三层控制网络的访问。2.2.1.4 可扩展性和易维护性网络的可扩展性保证主要是通过交换机端口、服务器处理器数、内存容量、磁盘架数等方面来保证。通常要求核心，或者骨干层，甚至会聚层交换机的高速端口(通常为千兆位端口) 要有两个以上用于维护和扩展(通常是用加连接新增加的下级交换机)，不要在设计之初就只想到当前所需的这类端口数，把所有高速端口都占用完。当然也不要为未来网络留有太多这样的端口，或设备，否则就会给网络系统设计带来巨大的成本压力，也会造成巨大的投资浪费。 网络系统的可维护

15、性好坏主要取决于所设计的网络系统结构是否合理；所用传输介质和接口连接是否符合相应标准等等。2.2.2 网络拓扑的设计中小型网络通常采用星形拓扑。星形拓扑的可折叠性非常适用于构建网络主干。由于星形拓扑具有非常好的可扩展性，且可通过更换集线设备使网络性能迅速得以升级。该拓扑结构拥有以下优点：A易于故障的诊断集线设备居于网络或子网络的中心，这也正是放置网络诊断设备的绝好位置。就实际应用来看，可以使得故障的诊断和定位变得简单而有效。B易于网络的升级由于计算机与集线设备之间分别通过各自独立的缆线进行连接，因此，多台计算机之间可以并行地同时进行通信而互不干扰，从而成倍地提高了网络传输效率。另外，由于网络带

16、宽主要受集线设备的影响，只需简单地更换高速率的集线设备，即可平滑地从l0Mbit/s升级至100Mbit/s、1000Mbit/s甚至10000 Mbit/s，实现网络的升级。一般而言，百兆位以太网能够满足网络数据流量不是很大的中小型局域网的需要。如果入网节点计算机的数量在百台以上且传输的信息量很大，或者准备在局域网上运行实时多媒体业务，选择千兆位以太网。根据本项目的情况，该公司信息量大，电脑数量在百台以上，推荐选用具有前瞻性的千兆以太网2.2.3 网络IP地址的分配设计对于IP地址的设计，首先要考虑IP地址范围的规划，分清私有和公有地址，以及根据公司的规模，采用哪类IP地址。确定IP地址范围

17、之后，就要对具体的部门划分一定的IP地址数目。2.2.3.1 IP地址分配原则为了确定网络需要多少IP地址,应该考查网络中需要地址的不同地点,比如总部、分公司等。要对每个地点的设备进行清点，这包括诸如路由器、交换机和防火墙在内的网络设备、工作站、IP电话、网络管理工作站、服务器等。而且还要确定每个设备有几个接口需要地上，是需要私有地址还是公有地址。为了将来网络的发展，需要保留一些地址，这些数量也要并入到需要地址的总数中，一般保留地址占10%-20%就足够了。2.2.3.2 层次化IP地址规划和汇总层次化IP地址规划意味着按照层次化的方式分配IP地址，而不是随机分配。层次化的结构只需保存关于网络

18、的很少的细节信息。也就是说路由器使用汇总路由代替不必要的路由细节，从而使路由表变得更小，这不仅可以节省路由器内存，而且意味着路由更新信息更小，因而使用更少的网络带宽。这本次设计当中，使用192.168.0.0/24的IP地址网段及EIGRP作为路由协议，并对IP进行汇总。公司具有十几个部分，其中包括财务部、行政部、销售部、客服部、业务部、人事部、总经理室、副经理室、会议室、接待室、研发部、企划部、运营部、市场部、技术部等其他部门。因此，根据公司的实际情况，使用C类IP地址进行分配，每个子网最多能分配253个信息点。2.3 网络设备的选择2.3.1 网络核心层的设计与设备选型核心层提供高速度、低

19、时延的数据链路和设备；通过提供冗余链路上配置负载均衡模式，从而实现高可靠、高可用的骨干。因此核心层设备应该是高性能的三层交换机，可实现高速度的交换传输，以连接服务器等核心设备；并且非常可靠，实现不间断工作。根据公司的规模，将使用二层架构来组网，核心层及分布层同属一层。2.3.2 网络分布层的设计与设备选型分布层是将大量低速的链接（与接入层设备的链接）通过少量宽带的链接接入核心层，以实现通信量的收敛，提高网络中聚合点的效率，同时减少核心层设备路由路径的数量，其作用主要是隔离拓扑结构的变化，控制路由表的大小，收敛网络流量。汇聚层交换机也应该采用具有路由功能的多层（三层）交换机，以达到网络隔离和分段

20、的目的。汇聚层设备选择使用两台CISCO公司的Catalyst 3550系列的交换机选择WS-C3550-48-EMI交换机。Catalyst3550交换机智能以太网交换机是一个新型的可堆叠的，多层次级交换机系列，可以提高水平的可用性，可扩展性，服务质量（QoS）,安全性和可改进网络运营的管理能力，从而提高网络的运行效率。WS-C3550-48-EMI交换机有48个10/100和2个基于GBIC的1000BaseX端口，通过使用多层软件镜像（EMI），可以提供路由和多层交换功能，满足三层交换需求。产品WS-C3550-48-EMI交换机如图4-2所示。图4-2 WS-C3550-48-EMI2

21、.3.3 网络接入层的设计与设备选型接入层是用户接入网络的地方，其中，用户可以是本地的，也可以是远程的。能够提供高密度的接入，对环境的适应能力强，运行稳定。楼层接入设备选择CISCO公司的WS-C2950-48-EI智能以太网交换机及思科 WS-C2950-24各三台，这两种交换机分别如图4-3和图4-4所示。如图4-3中所示。WS-C2950-48-EI交换机属于Catalyst2950系列智能交换机。Catalyst2950系列是固定的配置，可堆叠的独立设备系列，提供了线速快速以太网和千兆位以太网连接。WS-C2950-48-EI交换机，有48个10/100端口，2个基于千兆接口转换器（G

22、BIC）的1000BaseX端口，能够为用户提供千兆的光纤骨干和高密度度的接入端口。 图4-3 接入层交换机 WS-C2950T-48-EI 图4-4 接入层交换机 WS-C2950-242.4 网络设备配置2.4.1 路由器R7配置R7路由器为内部路由器，主要的配置涉及到EIGRP路由协议、NAT地址转换等。R7路由器具体配置如下：R7(config)#int f1/0R7(config -if)#ip address 192.168.20.1 255.255.255.0R7(config -if)#ip nat inside R7(config)#int s2/0R7(config -if

23、)#ip address 202.192.168.1 255.255.255.0R7(config)#int f0/0R7(config -if)#ip address 192.168.30.1 255.255.255.0 R7(config -if)#ip nat inside R7(config)#router eigrp 100 R7(config-router)#network 192.168.20.0R7(config-router)#network 192.168.30.0R7(config-router)#no auto-summaryR7(config-router)# red

24、istribute static metric 10000 0 255 1 1500 R7(config)# ip nat pool falw 202.192.168.3 202.192.168.254 netmask 255.255.255.0 R7(config)#ip nat inside source list 1 pool falwR7(config)#ip route 0.0.0.0 0.0.0.0 202.192.168.2 R7(config)#access-list 1 permit 192.168.0.0 0.0.255.255 2.4.2 路由器R8配置R8路由器为外部路

25、由器，主要是为了测试所用,只在端口S2/0作了IP地址的配置。配置命令如下：R8(config)#int s2/0 R8(config-if)#ip address 202.192.168.2 255.255.255.0R8(config-if)#no shutdown2.4.3 交换机SW6配置SW6交换机为核心交换机，配置主要涉及到EIGRP路由协议、HSRP热备份协议、以太通道等。具体配置如下：SW6(config)#int prot-channel 1 SW6(config-if)#switchport mode trunk SW6(config-if)#switchport mode

26、 trunk encapsulation dot1q SW6(config)#int f1/8 SW6(config-if)# channel-group 1 mode onSW6(config-if)#switchport mode trunk encapsulation dot1q SW6(config-if)#no shutdownSW6(config)#int f1/9 SW6(config-if)# channel-group 1 mode onSW6(config-if)#switchport mode trunkSW6(config-if)#switchport mode tru

27、nk encapsulation dot1q SW6(config-if)#no shutdownSW6(config)#int f1/6SW6(config)#no switchSW6(config-if)#ip address 192.168.20.2 255.255.255.0 SW6(config-if)#no shutdownSW6(config)#int range f1/2 5SW6(config-if)#switchport mode trunkSW6(config-if)#switchport mode trunk encapsulation dot1q SW6#vlan d

28、atabase SW6(vlan)#vtp server SW6(vlan)#vtp domain CISCO SW6(config)#int vlan 2 SW6(config-if)# ip address 192.168.2.254 255.255.255.0SW6(config-if)#standby 2 ip 192.168.2.1SW6(config-if)#standby 2 priority 120SW6(config-if)#standby 2 preemptSW6(config)#int vlan 3SW6(config-if)# ip address 192.168.3.

29、254 255.255.255.0SW6(config-if)#standby 3 ip 192.168.3.1SW6(config-if)#standby 3 priority 120SW6(config-if)#standby 3 preemptSW6(config)#int vlan 4SW6(config-if)# ip address 192.168.4.254 255.255.255.0SW6(config-if)#standby 4 ip 192.168.4.1SW6(config-if)#standby 4 priority 120SW6(config-if)#standby

30、4 preemptSW6(config)#int vlan 5SW6(config-if)# ip address 192.168.5.254 255.255.255.0SW6(config-if)#standby 5 ip 192.168.5.1SW6(config-if)#standby 5 priority 120SW6(config-if)#standby 5 preemptSW6(config)#int vlan 6SW6(config-if)# ip address 192.168.6.254 255.255.255.0SW6(config-if)#standby 6 ip 192

31、.168.6.1SW6(config-if)#standby 6 priority 120SW6(config-if)#standby 6 preemptSW6(config)#int vlan 7SW6(config-if)# ip address 192.168.7.254 255.255.255.0SW6(config-if)#standby 7 ip 192.168.7.1SW6(config-if)#standby 7 preemptSW6(config)#int vlan 8SW6(config-if)# ip address 192.168.8.254 255.255.255.0

32、SW6(config-if)#standby 8 ip 192.168.8.1SW6(config-if)#standby 8 preemptSW6(config)#int vlan 9SW6(config-if)# ip address 192.168.9.254 255.255.255.0SW6(config-if)#standby 9 ip 192.168.9.1SW6(config-if)#standby 9 preemptSW6(config)#int vlan 10SW6(config-if)# ip address 192.168.10.254 255.255.255.0SW6(

33、config-if)#standby 10 ip 192.168.10.1SW6(config-if)#standby 10 preemptSW6(config)#int vlan 11SW6(config-if)# ip address 192.168.11.254 255.255.255.0SW6(config-if)#standby 11 ip 192.168.11.1SW6(config-if)#standby 11 preemptSW6(config)#int vlan 12SW6(config-if)# ip address 192.168.12.254 255.255.255.0

34、SW6(config-if)#standby 12 ip 192.168.12.1SW6(config-if)#standby 12 preemptSW6(config)#router eigrp 100 SW6(config-router)#network 192.168.20.0 SW6(config-router)#network 192.168.2.0SW6(config-router)#network 192.168.3.0SW6(config-router)#network 192.168.4.0SW6(config-router)#network 192.168.5.0SW6(c

35、onfig-router)#network 192.168.6.0SW6(config-router)#network 192.168.7.0SW6(config-router)#network 192.168.8.0SW6(config-router)#network 192.168.9.0SW6(config-router)#network 192.168.10.0SW6(config-router)#network 192.168.11.0SW6(config-router)#network 192.168.12.0SW6(config-router)#no auto-summarySW

36、6(config)#spanning-tree vlan 2 root primary SW6(config)#spanning-tree vlan 3 root primarySW6(config)#spanning-tree vlan 4 root primarySW6(config)#spanning-tree vlan 5 root primarySW6(config)#spanning-tree vlan 6 root primarySW6(config)#spanning-tree vlan 7 root secondary SW6(config)#spanning-tree vl

37、an 8 root secondarySW6(config)#spanning-tree vlan 9 root secondarySW6(config)#spanning-tree vlan 10 root secondarySW6(config)#spanning-tree vlan 11 root secondarySW6(config)#spanning-tree vlan 12 root secondary2.4.4 交换机SW5配置SW5交换机也是核心交换机，配置主要涉及到EIGRP路由协议、HSRP热备份协议、以太通道等。具体配置如下：SW5(config)#int prot-c

38、hannel 1 SW5(config-if)#switchport mode trunk SW5(config-if)#switchport mode trunk encapsulation dot1q SW5(config)#int f1/8 SW5(config-if)# channel-group 1 mode onSW5(config-if)#switchport mode trunk encapsulation dot1q SW5(config-if)#no shutdownSW5(config)#int f1/9 SW5(config-if)# channel-group 1 m

39、ode onSW5(config-if)#switchport mode trunkSW5(config-if)#switchport mode trunk encapsulation dot1q SW5(config-if)#no shutdownSW5(config)#int f1/6SW5(config)#no switchSW5(config-if)#ip address 192.168.30.2 255.255.255.0 SW5(config-if)#no shutdownSW5(config)#int range f1/3 5SW5(config-if)#switchport mode trunkSW5(config-if)#switchport mode trunk encapsulation dot1q SW5#vlan database SW5(vlan