本科毕业设计论文--系统集成综合训练期末考试项目设计报告中小型企业网络的设计与实现.doc

《本科毕业设计论文--系统集成综合训练期末考试项目设计报告中小型企业网络的设计与实现.doc》由会员分享，可在线阅读，更多相关《本科毕业设计论文--系统集成综合训练期末考试项目设计报告中小型企业网络的设计与实现.doc（15页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 南湖学院计算机网络管理与系统集成综合训练 项目设计报告项目名称： 中小型企业网络的设计与实现 学院： 南湖学院 专业： 网络工程 班级： 网络N131 姓 名： 学 号： 指导教师： 完成日期： 2016.12.22 1需求分析及网络技术方案设计1.1应用背景需求分析 为了提高学校的管理效益和教学质量，开展学校现代化教育建设，建设具有规模的校园网络，internet技术的高校多媒体校园网是必要的。整个高速多媒体校园网建设原则是“经济高效、领先实用”，既要领先一步，具有发展余地，又要比较实用。校园网是集计算机技术、网络技术、多媒体技术于一体的系统，能够最大限度地调动学生对教学内容的积极性。1.

2、2网络环境需求分析 学院西区I，II，III，IV区为教学楼，需构建联通这些大楼校园网并且接入internet。1.3 信息点分析 由于本校园网属于中学校园组网，相对大学校园网来说信息点要少一些，组网建筑物也不是很多，在考虑到校园网未来的升级改造等因素，信息点的设计稍留有空余，Ip地址的划分也备有以后信息点增加的需求，以便本校园网全方面的灵活应用。1.4 业务需求分析 校园网是以学校的教学、管理、科研、信息交流和资源共享为目的的，以一个学校的管辖区域为覆盖范围的局域网，是通过与Internet的互连实现信息交流和资源共享的系统。本校园网设计的需求目标是将各种不同应用的信息资源通过网络设备互连起

3、来，形成校园内部的Intranet系统（内部网络系统），对外通过接入设备接入CERNET，实现与Internet的互连，即建设一个以办公自动化、计算机辅助教学、现代校园文化为核心，以现代网络技术为依托，技术先进、扩展性强、覆盖全校主要楼宇的校园主干网络。将学校的各种PC工作站，终端设备和局域网连接起来，并与CERNET相连，在网上发布和获取教育资源，并在此基础上建立能满足教学、科研和管理工作需求的软、硬件环境，开发各类信息和应用系统，为学校中的各类人员提供充分的网络信息服务。主要提供以下几种功能： 校园网为中小型规模的组网，节点数为890个，校园网主干采用千兆以太网技术（第三层交换），呈星型结

4、构。二级交换机采用快速以太网交换机，服务器采用千兆网卡。电子邮件系统、网管软件、自动备份软件、办公自动化软件及其他网络应用和开发软件。1.5 管理需求分析 随着网络复杂度的增加，给网络管理带来成级数增长的工作量。网络管理要求解决问题包括：虚拟局域网管理、分配。目前的虚拟局域网只要基于交换机端口划分，如果一个部门扩展新的入网点，扩展将改换交换机端口设置。管理软件需提供原地虚拟网的修改功能。 接入层网络设备需要支持基于MAC地址的802.1X功能和基于端口802.1X功能，以保证帐号的唯一性；同时，支持远程telnet管理远程开关交换机端口功能；此外还要求适应大量用户并发认证及复杂的工作环境等。能

5、够实现对用户名、IP地址、MAC地址、交换机端口的同时绑定，以杜绝非法用户恶意盗用合法用户的用户名、密码、IP和MAC等现象，确保计费工作。1.6 网络安全需求分析 校园网安全主要考虑以下几个方面要求：各部门访问网络的控制，网络需要建立防火墙，禁止外部用户未经许可访问内部的数据，或者内部用户未经许可访问外部数据。校园网是个开放的系统，不需要像政府，公司那样的网络安全保密性；另外校园网应该是安全的，它不应该受到恶意的攻击而无法运行，一些科研成果也不应该对任何人都开放。主要利用虚拟网技术和防火墙技术来合理解决安全与开放的问题。2方案设计1校园网设计原则 l 实用性和先进性 根据学校实际情况和特点，

6、在设计中特别强调实用性和先进性的结合，应采用成熟的网络技术，保证校园网实用；跟踪国际网络技术的新发展，设计技术先进的网络。在保证校园网可靠、实用、先进的基础上，可以提供研究先进网络技术的科研环境，方便学校的科研与开发。 l 开放性和标准化 整个校园网的设计采用开放的网络体系，以方便网络的升级、扩展和互联。同时，在选择服务器、网络产品时，强调产品支持的网络协议的国际化。2 网络协议选择 在此校园网的设计中主要采用以下标准： IEEE802.3 IEEE工作组为快速以太网制定了IEEE802.3的标准。3 千兆以太网 千兆以太网的优点：与现有大多数网络设施兼容。权威统计表明大多数网络都是以太网，因

7、此千兆以太网与现有网络具有天然的兼容性。千兆以太网在与100M以太网通信时不存在需要损耗性能的转换操作。简便的网络升级操作。千兆以太网由于完全与以前的100M以太网兼容。因此，自然简便的网络升级使得千兆以太网可以“无缝”融入现存的以太网环境中，解决了网络管理员所面临的如何升级现有网络，但不至于造成网络瘫痪的问题。用户总是倾向简单实用，厌恶繁琐复杂的工作。因为升级的挑战过程和额外的知识学习并不是用户建网的目的。4 主干网的选择 结合本校园实际情况，信息点不是很多，且大多数分布在学校五大楼。就目前来说，楼宇相对集中，建筑物之间的分布距离不算远，楼宇层数也不多，所以，校园网主干用千兆以太网技术（Et

8、hernet）完全能满足本校的网络需求，主干中的核心交换机具备升级为万兆功能，为网络以后的升级改造留有充足的空间。5 校园网详细网络拓扑 校园网也是一个局域网，因此，在设计校园网的拓扑结构时，可以选择的拓扑结构有总线型结构、星状结构、树状结构和环状结构。在这几种拓扑结构中，可以根据所选用的网络技术、各种拓扑结构的优缺点等来选择。就目前的技术条件和应用状况来看，以太网技术是目前校园网建设的主流技术，在这种技术条件下，总线型结构由于整体可靠性差，已经不会作为一个校园网的总体拓扑结构来选择。用以太网技术组建环状结构的校园网在很多规模较大的大学中普遍使用，这种结构最大的优点是可靠性高，但是，它至少需要

9、3台路由器或路由交换机，所需的设备投资较大，而中小学校园网规模相对较小，过大的投资不一定显示出高效性，所以，中小学校园网不宜采用这种结构。本学院校园面积不大，建筑物相对集中，结合本校的信息点分布和校园的实际需求情况，拓扑结构选用树状结构。树状结构是星状结构的拓展，它具有灵活的可扩展性、较高的可靠性，且安装方便、易管理、投资小。网络拓扑结构图和布线设计学院共有I，II，III，IV区为教学楼，有五个部门分布在这四栋楼里面，连入中心交换机并且每个部门可以在这四栋楼里随意搬动，而不需要更改IP地址。故每栋楼的交换机都要划分四个vlan。申请到一个C类IP地址：210.37.44.0/24,分配给五个

10、部门。中心交换机和外侧的CENTER、PSTN通过一个路由器相连中心交换机和各种校园服务器相连，用户可以通过校园网络访问校园内部I，II，III，IV区，每栋楼交换机的F0/3-6划入vlan2，F0/7-10划入vlan3，F0/11-13划入vlan4，F0/14-17划入vlan5。 路由器F0/0口接交换机SW01的F0/1口；交换机SW01的F0/2口接交换机SW02的F0/1口；交换机SW02的F0/2口接交换机SW03的F0/1口；交换机SW03的F0/2口接交换机SW04的F0/1口；在四个交换机上没分别划分四个vlan2,vlan3,vlan4,vlan5.每个部门占用一个v

11、lan。网络设备的选型及其简要说明分类名称数量参数三层交换机Cisco 3560G-24PS2台配置ACL，控制各部门访问的权利二层交换机Cisco 2950G-24PS4台为计算机划分Vlan路由器Cisco ROUTER-PT2台满足基本链接，可以连接一个局域网核心等等PC机PC-PT14台2本方案设计特点： 二层功能： S8500万兆核心路由交换机实现了高密度10GE、GE接口之间的全线速二层交换，提供整机180Mpps432Mpps的报文处理性能。支持802.1Q VLAN协议，支持 4K个VLAN；每接口板支持16K个MAC地址表项，并具有源MAC地址学习、静态MAC地址配置的功能。

12、 三层交换与路由：S8500万兆核心路由交换机除了实现三层交换外，还具备了高端路由器的路由功能。具体的特性有：支持基本的TCP/IP及常规应用协议；支持丰富的路由协议：RIP1/RIP2、OSPF、Page of 62 IS-IS和BGP4等，以适应不同的网络环境；支持静态路由，管理员手工配置，简化网络配置，提高网络性能；支持128K路由表项，适应城域网/大型企业园区网的复杂环境；支持不同子网VLAN的三层互通功能。 Diff-Serv/QoS S8500核心万兆路由交换机作为城域网络的汇聚中心设备和企业网的骨干核心设备除具备强大的二/三层转发能力与性能外，还具备完善的服务保证功能，确保不同业

13、务流享受不同级别的服务。支持基于端口、MAC地址、IP地址、TCP/UDP端口号、ToS（Type of Service）/Diffserv值和CAR（Committed Access Rate）的带宽管理，带宽管理的粒度为64kbit/s。 安全特性 支持配置安全，对登录用户进行认证，不同级别的用户有不同的配置权限，提供两种用户认证方式本地认证和RADIUS认证； 支持受限的IP地址的Telnet的登录和口令机制； 支持协议报文认证，支持OSPF、RIP2及BGP4的报文明文认证和MD5密文认证；支持基于用户定义的策略，可以对报文进行过滤，支持ACL包过滤；支持防火墙具备的一些报文过滤机制；

14、支持安全过滤，可以将过滤的报文重定向到某个固定端口，便于利用仪器设备抓包分析； 支持数据同步机制，定期检查配置信息，提供主备机数据备份机制，对程序、配置数据定时和人工备份，提供对程序、配置数据的掉电保护能力。 3交换机配置及PC配置地址划分部门IP 子网掩码 网关 Vlan 主机数部门1 192.168.44.6594 255.255.255.224 192.168.44.65 Vlan2 30部门2192.168.44.97126 255.255.255.224 192.168.44.97 Vlan3 30部门3 192.168.44.129158 255.255.255.224 192.1

15、68.44.129 Vlan4 30部门4 192.168.44.161190 255.255.255.224 192.168.161 Vlan5 30部门5192.168.44.193222 255.255.255.224 192.168.44.193 Vlan6 30vlan的划分VLAN的主要功能就是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。VLAN是为解决以太网的广播问题和安全性而提出的，VLAN技术允许网络管理者将一个物理的LAN用VLAN ID把用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机，与物理上形成的LAN有着相同的属性。VLAN的划分

16、有很多种，我们可以按照IP地址来划分，按照端口来划分、按照MAC地址划分或者按照协议来划分，常用的划分方法是将端口和IP地址结合来划分VLAN。每栋楼交换机的F0/3-6划入vlan2，F0/7-10划入vlan3，F0/11-13划入vlan4，F0/14-17划入vlan5，F0/18-20划入vlan6。 路由器F0/0口接交换机SW01的F0/1口；交换机SW01的F0/2口接交换机SW02的F0/1口；交换机SW02的F0/2口接交换机SW03的F0/1口；交换机SW03的F0/2口接交换机SW04的F0/1口；在四个交换机上没分别划分五个vlan2,vlan3,vlan4,vlan

17、5,vlan6.每个部门占用一个vlan。配置命令三层交换机为核心交换机，占据重要地位，配置如下：SW01的配置（1）vlan的配置 Switchen Switch#conf t Switch(config)#hostname SW01 SW01(config)#vlan 2 SW01(config-vlan)#name T2 SW01(config-vlan)#vlan 3 SW01(config-vlan)#name T3 SW01(config-vlan)#vlan 4 SW01(config-vlan)#name T4 SW01(config-vlan)#vlan 5 SW01(con

18、fig-vlan)#name T5 SW01(config-vlan)#vlan 6SW01(config-vlan)#name T6 SW01(config-vlan)# （2）TRUNK口配置 SW01(config-vlan)#in f0/1 SW01(config-if)#switchport mode trunk SW01(config-if)#in f0/2 SW01(config-if)#switchport mode trunk SW01(config-if)# （3）端口划分到vlan SW01(config)#in f0/3 SW01(config-if)#switchpo

19、rt accessvlan2 SW01(config-if)# 其他端口划分到相应的vlan同上。其他楼栋的交换机的配置方法同楼栋1的配置方法。4路由器配置代码如下：Routeren Router#conf t Router(config)#hostname R R(config)#in f0/0 R(config-if)#ip add 192.168.44.33 255.255.255.224 R(config-if)#no sh R(config-if)#in f0/0 R(config-if)#ip add 192.168.44.33 255.255.255.224 R(config-i

20、f)#no sh R(config-if)#in f0/0.1 R(config-subif)#en R(config-subif)#encapsulation d R(config-subif)#encapsulation dot1Q 2R(config-subif)#ip add 192.168.44.65 255.255.255.224 R(config-subif)#in f0/0.2 R(config-subif)#encapsulation dot1Q 3R(config-subif)#ip add 192.168.44.97 255.255.255.224 R(config-su

21、bif)#in f0/0.3 R(config-subif)#encapsulation dot1Q 4R(config-subif)#ip add 192.168.129 255.255.255.224 R(config-subif)#in f0/0.4 R(config-subif)# R(config-subif)#encapsulation dot1Q 5R(config-subif)#ip add 192.168.44.161 255.255.255.224 R(config-subif)#in f0/0.5 R(config-subif)#encapsulation dot1Q 6

22、R(config-subif)#ip add 192.168.44.193 255.255.255.224 R(config-subif)# 5 防火墙配置（1）动态NAT 1)设置应用扩展的访问控制列表配置清单如下：ip access-list extended aaa /定义一个教学楼扩展访问列表，名字为aaa permit ip 192.25.3.0 0.0.0.255 any permit ip 10.101.0 0.0.0.255 any permit icmp any any ip access-list extended bbb /定义一个办公楼扩展访问列表，名字为bbb per

23、mit ip 192.168.4.0 0.0.0.255 any permit ip 10.10.0.0 0.0.255.255 any permit icmp any any ip access-list extended ccc permit ip 192.168.5.0 0.0.0.255 any permit ip 10.10.0.0 0.0.255.255 any permit icmp any any ip access-list extended ddd permit ip 192.168.6.0 0.0.0.255 any permit ip 10.10.0.0 0.0.255

24、.255 any permit icmp any any 2)定义转换地址：ip nat pool aaa 123.18.1.32 123.18.1.32 netmask 255.255.255.0 ip nat pool bbb 123.18.1.31 123.18.1.31 netmask 255.255.255.0 ip nat pool ccc 123.18.1.30 123.18.1.30 netmask 255.255.255.0 ip nat pool ddd 123.18.1.29 123.18.1.29 netmask 255.255.255.0 3)应用NAT：ip nat

25、 inside source list aaa pool aaa overload ip nat inside source list bbb pool bbb overload ip nat inside source list ccc pool ccc overload ip nat inside source list ddd pool ddd overload 4) 在出口路由器，将NAT与接口连接起来：interface fa 0/1 ip nat inside /NAT的内部接口interface fa 0/0 ip nat outside /NAT的外部接口（2）静态NAT：静态

26、NAT主要用于企业内部的服务器方便与Internet用户来访问时所映射的公网IP地址。服务器IP地址到公网ip地址的映射：ip nat inside source static 10.10.60.4 210.46.1.7 2)接口操作：出口路由器interface fa 0/0 ip nat inside /NAT的内部接口interface se 0/1/0 ip nat outside /NAT的外部接口防火墙的配置清单ip access-list extended fanghuoqiang /定义过滤表的名字fanghuoqiang deny ip 1.0.0.0 0.255.255.2

27、55 any/1.0.0.0未分配deny ip 3.0.0.0 0.255.255.255 any /3.0.0.0未分配deny ip 172.0.0.0 0.255.255.255 any /私网地址认为是非法的deny ip 192.168.1.0 0.0.0.255 any /私网地址认为是非法的deny ip 169.254.0.0 0.0.255.255 any /过滤DHCP获取失败地址deny ip 224.0.0.0 0.255.255.255 any /过滤组播地址224.0.0.0 deny ip 0.0.0.0 0.255.255.255 any /过滤以0开头的任意

28、地址permit ip any any interface fa 0/0 ip access-group fanghuoqiang in /在接口上应用访问控制列表（此接口问出口路由器链接外网的接口，因为防火墙只能防止外部攻击。不能防止内部攻击）6.服务器配置将一台路由器配置成DHCP服务器(其中包含2个DHCP地址池)，在另一台路由器上配置DHCP中继代理功能，使得不同VLAN的客户机从不同的DHCP地址池获取IP地址。在二层交换机上创建vlan 10和vlan 20，并分配端口Switchenable Switch#conf tSwitch(config)#vlan 10Switch(co

29、nfig-vlan)#name vlan10Switch(config-vlan)#exitSwitch(config)#vlan 20Switch(config-vlan)#name vlan20Switch(config-vlan)#exitSwitch(config)#int f 0/1Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 10Switch(config-if)#int f 0/2Switch(config-if)#switchport mode accessSwi

30、tch(config-if)#switchport access vlan 20Switch(config-if)#int f 0/24Switch(config-if)#switchport mode trunkSwitch(config-if)#switchport trunk allowed vlan allSwitch(config-if)#在路由器Router1上配置地址池。RouterenRouter#conf tRouter(config)#hostname DHCPServerDHCPServer(config)#ip dhcp pool ADHCPServer(dhcp-co

31、nfig)#network 192.168.44.0 255.255.255.0DHCPServer(dhcp-config)#default-router 192.168.44.1DHCPServer(dhcp-config)#dns-server 220.189.127.107DHCPServer(dhcp-config)#exitDHCPServer(config)#ip dhcp excluded-address 192.168.1.1 210.37.1.10DHCPServer(config)#ip dhcp pool BDHCPServer(dhcp-config)#network

32、 192.168.2.0 255.255.255.0DHCPServer(dhcp-config)#default-router 192.168.2.1DHCPServer(dhcp-config)#dns-server 220.189.127.107DHCPServer(dhcp-config)#exitDHCPServer(config)#ip dhcp excluded-address 192.168.2.1 210.37.2.10DHCPServer(config)#interface serial 2/0DHCPServer(config-if)#ip address 10.1.1.

33、2 255.255.255.0DHCPServer(config-if)#clock rate 64000 /时钟速率只在DCE端配置即可DHCPServer(config-if)#no shutDHCPServer(config-if)#exitDHCPServer(config)#DHCPServer(config)#ip route 192.168.0.0 255.255.0.0 s 2/0 /注意网络前缀DHCPServer(config)#在路由器router0上配置DHCP中继代理RouterenRouter#conf tRouter(config)#int f0/0Router(

34、config-if)#no shutRouter(config-if)#int f 0/0.10Router(config-subif)#encapsulation dot1Q 10Router(config-subif)#ip address192.168.1.1 255.255.255.0Router(config-subif)#no shutRouter(config-subif)#ip helper-address 10.1.1.2Router(config-subif)#int f 0/0.20Router(config-subif)#encapsulation dot1Q 20Ro

35、uter(config-subif)#ip address 192.168.2.1 255.255.255.0Router(config-subif)#no shutRouter(config-subif)#ip helper-address 10.1.1.2Router(config-subif)#exitRouter(config)#interface serial 2/0Router(config-if)#ip address 10.1.1.1 255.255.255.0Router(config-if)#no shut7项目设计总结与体会通过课程设计使我对网络的规划与设计有了更进一步的了解，将以前所学的计算机网络的理论与实际结合起来培养自己的动手操作能力，将网络知识从书面理论层次提升到了实际运用层次。在本次课程设计中，我们小组成员一起努力，按期完成了我们的校园网络设计系统的设计。以团队形式进行设计也使我懂得了如何能更好的和队友进行交流信息，大家一起提出问题，解决问题，使我明白一个系统的设计、项目的开发，光靠个人的力量是不够的，团队合作会带来事半功倍的效果。 使我对网络主干的设计及子网的规划和配置有了更加深刻的了解；最后，这个系统的成功完成使我认识到团结合作的重要性。在此过程中，我学到了更多更细的基础知识，必将给我今后的学习和工作带来更多的帮助。