最新JW08016高磊(中小企业局域网组建路由交换部分).doc

Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateJW08016高磊(中小企业局域网组建路由交换部分)5蚌埠经济技术职业学院毕业设计(论文)中小企业局域网组建路由交换部分系 别 ：信息技术与计算机系专业（班级）：系统维护(1班)作者（学号）：高磊（JW08016）指导教师：张振龙，陈良宇完成日期： 2011年 02 月 20日 摘 要信息化高速发展的今天，企业局域网的建设已经成为提升企业核心竞争力的关键因素。企业网已经越来越多地被人们提到，利用网络技术，现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。这直接关系到企业能否获得关键的竞争优势。近年来越来越多的企业都在加快构建自身的信息网络，而其中绝大多数都是中小企业。目前我国企业尤其是中小企业网络建设正在如火如荼地开展着，据IDC预测：在未来的5年中，中小企业的网络建设将以每年15%的速度增长。 【关键词】：企业，局域网，路由交换，组建 目 录前言51. 计算机网络的概念52. 网络规划52.1 网络设计目标52.2 网络设计原则62.2.1 统一规划62.2.2 保持标准化和可行性62.2.3 保证系统的安全和稳定可靠62.2.4 保证网络系统的先进性和有效性62.3 网络设计的需求分析62.4.IP地址规划83. 网络技术83.1 企业主干网组网技术83.1.1 ETHERNET技术83.1.2 百兆位以太网技术83.1.3 千兆位以太网技术93.2网络拓扑结构94. 所需的硬件设备104.1 核心层104.2 接入层115. 工程实施115.1 工程实施使用协议115.1.1 Trunk 协议115.1.2 VLAN 协议125.1.3 VTP 协议125.1.4 Spanning-Tree 协议125.1.5 PPP认证125.1.6 ACL 协议135.1.7 HSRP 协议135.1.8 EIGRP 路由协议135.2 工程具体配置与测试135.2.1 trunk 配置135.2.2 VLAN 配置155.2.3 VTP 配置185.2.4 STP 配置195.2.5 PPP 配置215.2.6 ACL 配置225.2.7 HSRP 配置225.2.8 EIGRP 配置246网络安全266.1 关于网络安全266.2 网络提拱的安全服务266.3 网络安全风险分析276.3.1、物理安全276.3.2、网络安全276.3.3、系统的安全276.3.4、应用的安全276.3.5、人员管理安全分析276.4 网络安全措施287结束语29主要参考文献29前言当今社会已经进入一个网络快速发展的信息社会，信息技术的不断发展，给人们的生活、工作、学习带来了以往社会都无法比拟的便利，人们越来越离不开以计算机网络为中心的信息时代。局域网是一般中小企业最常用的，同时又是结构最简单的计算机网络。通常情况下，像企业、工厂、机关和学校这些计算机比较集中的地方，都可以组建一个局域网。组建局域网后，可以实现：局域网内资源的共享，上网共享，可以提高工作效率，实现远程办公，联网视屏会议。通过本毕业设计课题的论述，希望使读者能够了解企业局域网的建设过程以及所涉及到的各种网络技术，并能对今后大家在学习网络技术知识或是进行局域网的工程建设中有所借鉴。1. 计算机网络的概念计算机网络是现代通信技术与计算机技术相结合的产物，就是把分布在不同地理区域的计算机利用通信线路连成一个规模大、功能强的网络系统，从而使众多的计算机可以方便地互相传递信息，共享硬件、软件、数据信息等资源。2. 网络规划2.1 网络设计目标该系统工程采用Intranet和Internet技术建成一个由网络、信息管理和办公自动化组成的综合应用系统。目的是为企业的业务、办公提供高效的管理。该系统工程的建设目标是开发成一个标准工程，经过适当的修改后，可适应其他相同或相近需求的企业，作为一个网络应用产品投放市场。利用公司的各类产品与服务信息为基础，依托强大的互联网技术，创办一个集产品信息发布、产品订购询价、客户服务系统、供应商服务系统等，为企业及其相关单位机构提供全新的、多方位、全面的交互性信息以及商务服务。使客户可以通过网站的订单查询服务功能跟踪并了解具体订单的处理过程与当前状态信息，提升客户对公司的信任度，让客户满意公司的服务，提高企业服务档次，实现公司在发展中的新的一次腾飞。2.2 网络设计原则要设计一套企业信息网络系统，就必须对每一部分进行系统的、全局的精心策划。这样，设计的信息网络系统才能满足企业的实际需要，从而设计和建设一套性能价格比高、平滑扩充性好的系统。一般来说，在规划和设计企业信息网络系统时，需要遵循如下几个原则:2.2.1 统一规划随着社会的发展和技术的进步，信息服务建设的任务是长期和艰巨的，应根据用户对信息的需求和公司的经济实力，对系统进行统一规划，突出重点，尽可能地缩短系统开发周期。2.2.2 保持标准化和可行性网络标准化，以支持网络扩展和互连。采用市场上先进的技术和相对成熟的产品，并向国际标准、国家标准、工程标准、相关业标准和暂行规定先靠拢。2.2.3 保证系统的安全和稳定可靠在系统设计和网络设计方面应优先考虑系统的安全和稳定可靠。2.2.4 保证网络系统的先进性和有效性由于网络系统除了满足公司的管理和办公自动化的需求外，还要为公司的其他业务提供网络服务，所以必须保障网络有足够的带宽和处理能力。综合上面的选择因素，最后决定采用星型拓扑结构。因为这种网络结构不但稳定性和可扩展性非常好，而且很容易判断和排除网络故障，根据交换机的LED指示灯，就能随时了解网络的连接和运行状况，及时迅速地判断出故障点。2.3 网络设计的需求分析在信息网络系统规划和设计之前，对其需求进行分析是十分必要的，这对于建设完善的、符合实际需要的信息网络起到积极作用。假设公司是一家即将成立的一家制造工厂。本项目的目标是：“建立一个设计规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台，以高效率，高速度，低成本的方式提高公司员工的工作效率与执行效率”。本期工程项目完成后，网络平台总部内有大型服务器提供服务，外接分支机构网络平台的设计用户节点数为总部为1000或更多用户分部地为10-50个用户。 本项目的网络可以划分总部和分部，其中，总部地点分为数据中心、核心交换区、服务器和接入等。数据中心作为工厂生产运营系统（如ERP系统，人事考勤系统，财务计粮系统等等）的核心数据的存放地，其性能、稳定性、安全性、可靠性的要求最高，因此我们在设计的时候，需要考虑这些需要。而核心交换区的功能是高速可靠地交换数据，因此该部分的设计应考虑性能和可用性的平衡。作为外联单位接入区域，其安全性应该是放在第一位，同时，生产运营系统的运行离不开网络和数据中心的连接，因此冗余性的考虑也是必须的。分部地点办公网络作为内部互联单位，可信度较高，因此其内部网络的可用性是首要考虑因素。当前业界的网络管理范畴较广，包括设备管理、资源管理、故障管理、性能管理、安全管理等等。在网络规模相对较大的时候，合适的网管系统可以帮助客户方便管理网络内的设备及运行情况，提高网络的运行效率。在该项目中，我们采用一种较为的技术，“多层设计”。多层设计有以下一些好处：多层设计是模块化的，网络容量可随着日后网络节点的增加而不断增大。多层网络有很大的确定性，因此在运行和扩展过程中进行故障查找和排除非常简单。多层网络系统设计最有效地利用多种第3 层业务，包括分段负载分担和故障恢复等。在分层网络中运用智能第3 层业务可以大大减少因配置不当或故障设备引起的一般问题。多层模式使网络的移植更为简单易行，因为它保留了基于路由器和交换机的网络原有的寻址方案，对以往的网络有很好的兼容性。另外分层结构也能够对网络的故障进行很好的隔离。针对实际情况我们可以采用二层结构模型，即核心层、接入层的二层交换结构。考虑到工程的实际需求，采用两台Cisco Catalyst3750 做双机热备（HSRP），用Cisco 专有热备份路由协议技术，根据需求以及设备的配置成两组组HSRP；核心层和汇聚层的交换机进行双机热备份，同时双机还可以做负载均衡。采用这样设计的保母的是提高网络的高可用性和稳定性，以避免单台核心设备的负载太重或者设备损坏而导致的网络性能问题。2.4.IP地址规划地址规划： 总部分部网段10.1.0.010.10.0.0子网255.255.255.0255.255.255.0子网网段部门部门保留10.1.0.010.10.0.0设备互联10.1.1.0/2410.10.1.0/243. 网络技术3.1 企业主干网组网技术3.1.1 ETHERNET技术目前，以太网（ETHERNET）已经成了局域网的代名词，通常所说的局域网一般都是指以太网，以太网是目前世界上应用范围最广的一种网络技术，它起源于美国的夏威夷大学，经过多年的不断发展完善，其技术以十分成熟。以太网组建和维护较为容易，各个设备间的兼容性好，目前只要操作系统是Windows、Netware和Linux都支持以太网。3.1.2 百兆位以太网技术百兆位以太网技术是目前广大网络用户组网的主要选择，共有4种不同的类型:（1）、100BaseTX:采用5类UTP线缆为通信介质。采用CSMA/CD传输控制规程，完全兼容100BaseT以太网。（2）、100BaseT4：采用内含4对双绞线的3类以上的UTP线缆为通信介质。（3）、100BaseFX：采用内含两束光纤的光缆为通信介质。（4）、100BaseF2：1997年，IEEE发布了百兆位以太网的IEEE.802.3y标准，该标准采用内含两对3类以上的UTP线缆为通信介质。以上4类百兆位以太网的主要区别在于所采用的通信介质类型不同，由于目前5类以上的UTP线缆是双绞先线的主流产品，因此最常用的百兆瓦位以太网是100BaseTX。此外，为了更好的保护10M/S以太网设备资源，现在还有一种10/100M/S自适应网卡就是适用这种网络的产品，网络能够根据所使用的硬件设备自动检测出应用的传输带宽。3.1.3 千兆位以太网技术千兆以太网主要是以简单的以太网技术为基础，为网络主干提供1Gb/s（Gigabit/second）的带宽。千兆位以太网技术以自然的方法来升级现有的以太网络、工作站、管理工具和管理人员的技能。千兆位以太网与其他速度相当的高速网络技术相比，价格低，同时比较简单，例如保留以太网的帧格式、管理工具和对网络概念上的认识。千兆以太网主要是10Mb/s以太网和100Mb/s快速以太网连接标准的扩展。现在千兆位以太网成熟的标准为IEEE802.3z。千兆位以太网主要使用的传输介质有光纤、5类非屏蔽双绞线UTP（Unshielded Twisted-Pair）或同轴电缆。目前，千兆位以太网网支持单模光纤、多模光纤和同轴电缆，支持5类非屏蔽双绞线的标准也出来了。千兆位以太网的管理与以前使用和了解的以太网相同，使用千兆位以太网，主干和各网段及桌面已实现了无缝结合，网络管理变得容易了。3.2网络拓扑结构网络的拓扑结构是抛开网络物理连接来讨论网络系统的连接形式，网络中各站点相互连接的方法和形式称为网络拓扑。如图所示，网络工程项目为两个部分，总部拥有大量的高端设备，其中分公司共有一家， 各区域可以各自建立交换网络、路由接入、网络安全体系，可以有独立的安全策略、数据流量控制等个体的特性，而需要和其他区域的设备进行通讯的时候，则必须遵守核心网络区的策略。 拓扑图4. 所需的硬件设备4.1 核心层核心交换区的作用是尽快地提供所有的区域间的数据交换。我们推荐使用两台Cisco Catalyst 4506E交换机完成此项功能。两台4506交换机高性能、可靠性、可用性是我们主要考虑的因素。本区的安全性可以由边界防火墙提供，如有需要在4506 上面可以部署安全策略，使得核心交换区的安全性进一步地增强。Cisco Catalyst 4500 系列凭借众多智能服务将控制扩展到网络边缘，其中包括先进的服务质量 (QoS)、可预测性能、高级安全性和全面的管理。它提供带集成永续性的出色控制，将永续性集成到硬件和软件中，缩短了网络停运时间。Cisco Catalyst 4500 系列的模块化架构、介质灵活性和可扩展性减少了重复运营开支，提高了投资回报（ROI），从而在延长部署寿命的同时降低了拥有成本。方案中Catalyst 4506 交换机配置了一块WS-X4515 引擎(Supervisor IV),Catalyst 4500 Supervisor IV 引擎用于Cisco Catalyst 4506 交换机机箱，是一款64Gbps、4800 万分组/秒(48mpps)的第二到四层交换引擎，直接在管理引擎面板上配备了2 个线速GBIC 端口。当部署了Catalyst 4500 系列 Supervisor IV 时，这些附加端口可将Catalyst4506 的最大密度扩展到240 个端口。添加了这款新管理引擎后，Catalyst 4506 可为中型企业提供价格合理、易于使用的可扩展性、创新安全性、集成可靠性和灵活性。4.2 接入层接入层交换机采用思科的WS-C2950T-48-SI 以千兆以太链路和汇聚交换机相连接，并为用户终端提供10/100M 自适应的接入，从而形成千兆为骨干，百兆到桌面的以太网三层结构。办公系统所需的各种服务器如办公自动化服务器、邮件服务器、DHCP 服务器等组成服务器群，数据中心的多种金融系统应用服务器,。5. 工程实施5.1 工程实施使用协议6网络安全6.1 关于网络安全 网络安全是网络的一个薄弱环节,一直没有受到足够的重视。人们在当初设计TCP/IP互联网时并没有考虑它的安全问题，直到电子商务等网络应用逐步发展之后，安全才受到越来越多的关注。安全是一个很广泛的题目，国际标准化组织ISO于1974年提出开放系统互连参考模型（OSI/RM）之后，也在1989年提出了网络安全体系结构。网络安全是指保护数字信息资源，防止偶然的或未授权者的恶意泄露、窃取、破坏，从而导致信息的不可靠和无法处理，包括物理安全和逻辑安全。6.2 网络提拱的安全服务对于一个安全的网络，它应该为用户提供如下安全服务：身份认证：验证某个通信参加者的身份与其所申明的一致，确保该通信参加者身份不是冒名顶替的。访问控制：保证网络资源不被末经援权的用户访问和使用。数据加密：防止信息被末授权用户获知。数据完整：确保收到的信息在传递的过程中没有被修改、插入、删除等。不可否认：防止通信参与者事后否认参与通信。6.3 网络安全风险分析 由于网络存在的安全漏洞，入侵者所制造的各类新型的网络风险将会不断产生，这些风险由多种因素引起。依照信息安全分层理论，由下至上可分为五层，即物理安全、网络安全、系统安全、应用安全及人员管理安全。下面对其进行分类描述： 6.3.1、物理安全一般认为网络物理安全是整个网络系统安全的前提。物理安全问题主要包含主机、网络设备硬件、线路和存储设备等造成的信息丢失或服务中断。产生的原因主要有：电源故障造成设备断电以至操作系统引导失败或数据库信息丢失 ，电磁辐射可能造成数据信息被窃取或偷阅 ，硬件故障，超负荷。6.3.2、网络安全一台计算机连网后，就要面临新的危险，安装了网络软件，也就引入了新的安全问题。网络安全问题主要有：非授权访问，假冒用户，假冒主机，IP盗用，IP诈骗。6.3.3、系统的安全系统安全是指主机操作系统本身的安全，如系统中用户帐号和口令设置、文件和目录存取权限设置、系统安全管理、服务程序使用管理等。主要问题有：系统本身安全性不足，末授权的存取，越权使用。6.3.4、应用的安全应用安全问题通常是指主机上所安装的应用软件的安全问题，应用系统软件的引入会产生一系列的安全问题。例如，有的Web服务器的HTTP协议就有安全漏洞，在使用自己编写的应用程序时，可能因为程序员对系统安全漏洞认识不足，设计与开发中对安全问题忽视，造成本身安全问题。另外，如从网上不可靠站点下载末经严格过滤的应用软件会带入特洛伊木马或病毒。6.3.5、人员管理安全分析信息系统本身无论做怎样的安全，总要人去运行、去操作，如果系统管理员不能严格执行规定的网络安全策略及人员管理策略，整个网络系统就相当于没有安全保护。制定安全策略时，要考虑防止外部对内部的攻击，同时也要考虑如何防止内部人员的攻击。某种程度上，对内部人员的管理其复杂性和难度远远超过对外部网络入侵者。所以，应该对人员安全问题给予足够的重视，通常的做法是，法律+经常的思想教育+严格的管理规章制度+及时的监测和检查。6.4 网络安全措施 在网络化的二十一世纪中，网络信息和资源很容易遭到各方面的攻击。一方面，来源于Internet，Internet给企业网带来成熟的应用技术的同时，也把固有的安全问题带给了企业网；另一方面，来源于企业内部，因为是企业内部的网络，主要是针对企业内部的人员和信息资源。因此，企业局域网同时又面临自身所特有的安全问题。网络的开放性和共享性方便了人们使用的同时，也使得网络很容易遭受攻击，而攻击的后果是严重的，例如数据被人窃取、服务器不能提供服务等等。随着网络信息技术的高速发展，网络安全技术也越来越受到重视，由此也推动了防火墙、入侵检测、虚拟专用网、访问控制等各种网络安全技术的蓬勃发展。 企业网络安全是整个系统结构本身的安全，所以必须利用结构化的观点和方法来看待企业网安全系统。企业局域网安全保障体系可分为四个层次，从高到低分别是企业安全策略层、企业用户层、企业网络与信息资源层、安全服务层。按这些层次建立一套多层次的安全技术防范系统，常见的企业网安全技术有如下一些。 采用网络分段： 企业网大多采用以广播为基础的以太网，任何两个节点之间的通信数据包，可以被处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接人以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息。网络分段就是将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。 采用硬件防火墙： 任何企业安全策略的一个主要部分都是实现和维护防火墙，因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘，这使得内部网络与Internet之间或者与其他外部网络互相隔离，并限制网络互访从而保护企业内部网络。设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。 入侵检测技术： 入侵检测方法很多，如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。目前一些入侵检测系统在应用层入侵检测中已有实现。加强网络安全的措施主要有以下几点：安装瑞星杀毒防护软件，并有效运作。 安装木马检测软件。 如Ad-aware、SpybotSD等。装恶意程序清理软件。如365安全卫士、恶意软件清理助手、超级兔子。安装防火墙，制定合适的防护规则。 如瑞星防火墙、天网防火墙。增强风险意识，不上网时断开网络连接。 可在桌面建网络本地连接快捷方式，随时控制网络断开、连接。论坛、QQ不要长时间挂网，以免长时间暴露IP地址，招惹麻烦。 不要存储涉密敏感信息内容，以免引起黑客兴趣。不常用的软件尽量不要安装。下载程序、资料等要注意杀毒检测。 不健康网站携有大量病毒程序，不要轻易点击。 经常安装系统安全补丁。 重要资料注意刻录备份。7结束语进入21世纪，网络把人们带入一个日新月异的信息时代。企业局域网建设作为一项重要的系统工程，它的所用到的各种技术是多方面的，即有工程施工技术、网络技术、也有管理制度等各个方面的知识。同时网络技术的发展是永无止境的，在前进的过程中也必将会有更多的知识需要我们去学习与研究，并能将其应用到实际的网络工程建设之中。网络技术飞速发展，使得新技术不断涌现，由于企业网功能齐全，接触面广，在网络设计、规划和建设中都非常复杂，因此在论述中也不可能面面具到，同时也由于本人的知识水平有限，文中的不足和错误在所难免，敬请各位老师多多指点和更正。本毕业设计是在蚌埠经济技术职业学院的张振龙老师的指导下完成的，还得到了陈等多位老师的指点与帮助，在此对传授我知识的各位老师表示崇高的敬意和诚挚的谢意！主要参考文献1 梁广民，王隆杰 <<思科网络实验室CCNA试验指南>> 北京：电子工业出版社，2009.62 黄云森，陈柏荣，王志强. <<计算机基础教程>>. 北京：清华大学出版社. 2001.63 （美）蒂尔 <<CCNP 学习指南>> 北京：人民邮电出版社 2007.9 4 梁广民，王隆杰 <<思科网络实验室路由，交换试验指南>> 北京：电子工业出版社，2007.4指导教师评语：答辩委员会评语：论文（设计）等次： （成绩按指导教师占60%，答辩委员会占40%） 签名：论文（设计）成绩： 签名：-