小型企业局域网的设计毕业设计.docx
- 文档编号:25904604
- 上传时间:2023-06-16
- 格式:DOCX
- 页数:36
- 大小:482.64KB
小型企业局域网的设计毕业设计.docx
《小型企业局域网的设计毕业设计.docx》由会员分享,可在线阅读,更多相关《小型企业局域网的设计毕业设计.docx(36页珍藏版)》请在冰豆网上搜索。
小型企业局域网的设计毕业设计
摘要
本设计方案是关于小型企业局域网的设计,设计方案分为两个模块:
交换模块和路由器模块。
根据各部门职能不同把交换模块划分为不同的两个VLAN,从而减少了广播冲突提高了传输效率,通过部署ACL限制用户的访问,有效地保护敏感数据,提高了网络安全性。
借助交换机的路由功能,可以实现各VLAN间数据包高速转发,解决VLAN之间的传输瓶颈。
Internet接入功能主要通过路由器来实现,它的作用主要是建立外网和企业网的正常通信。
使企业网的用户访问Internet同时Internet用户能在一定程度上访问企业网。
通过配置NAT(NetAddressTranslation),不仅是企业网用户可以访问Internet,而且对外隐藏企业网内部地址,从而实现地址保护。
交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。
目前交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能,极大地提高了办公效率,同时免去了高昂的专线租用费用。
关键字:
企业局域网、VLAN划分、网络地址转换、访问控制
Abstract
Thisdesignisthedesignofthesmallenterpriselocalareanetwork(LAN),thedesignschemeisdividedintotwomodules:
exchangeandroutermodule.
AccordingtodifferentfunctionsofdepartmentstoexchangemoduleisdividedintotwodifferentVLAN,toimprovethetransmissionefficiency,therebyreducingthebroadcastconflictbydeployingACLrestrictuseraccess,effectivelyprotectingsensitivedata,improvethenetworksecurity.Usingswitchroutingfunction,canrealizehighspeedpacketforwardingamongdifferentVLAN,solvethetransmissionbottleneckbetweenvlans.
MainlythroughtheroutertoInternetaccessfunction,itsroleismainlytoestablishthenetworkandenterprisenetworknormalcommunication.MaketheenterprisenetworkusersaccesstotheInternetatthesametime,Internetuserscanaccesstoenterprisenetworktosomeextent.ConfiguredNAT(.netAddressTranslation),notonlyistheenterprisenetworkuserscanaccesstheInternet,internalandexternalhiddenIntranetAddress,thusAddressprotectionisachieved.
Themainfunctionofswitches,includingphysicaladdressing,networktopology,errorchecking,frames,andflowcontrol.Currentswitchalsohassomenewfeatures,suchassupportforVLAN(virtuallocalareanetwork(LAN),supportforlinktogether,orevensomestillhavethefunctionofthefirewall,greatlyimprovetheofficeefficiency,wasrelievedfromthehighlinerentalfeeatthesametime.
Keywords:
EnterpriseLAN,VLAN,NAT,ACL
前言
信息化浪潮风起云涌的今天,企业的业务已经全面电子化,与Internet的联系相当紧密,所以他们需要良好的信息平台去支撑业务的高速发展。
没有信息技术背景的企业也将会对网络建设有主动诉求。
任何决策的科学性和可靠性都是以信息为基础的,信息和决策是同一管理过程中的两个方面,因此行业信息化也就成了人们所讨论并实践着的重要课题。
公司内部网络的建设已经成为提升企业核心竞争力的关键因素。
公司网已经越来越多地被人们提到,利用网络技术,现代企业可以在客户、合作伙伴、员工之间实现优化的信息沟通,公司网络的优劣直接关系到公司能否获
得关键的竞争优势。
众多行业巨擘纷纷上马各种应用方案且取得了巨大的成功,这使信息化建设更具吸引力。
在现在企业中,普遍存在资金不足、信息基础薄弱、技术人员匮乏等特点,使得他们不能有效地将自身传统业务与信息系统很好的结合起来,以至于常常会出现投入不见效的情况。
究其原因,在于企业信息化观念不够,信息系统没有总体设计原则,信息化建设缺乏规划,致使企业协同运作存在障碍,运营成本居高不下。
作为企业的局域网,它不仅可以为企业提供高效的办公环境,还可以实现硬件资源和软件资源的共享从而节省了企业大量开支,又便于集中管理和提高工作效率。
其次企业局域网要实现内部网络与外部网络的连接,从而极大的方便了企业和外界的沟通,这样不仅可以降低企业的生产成本,也可以实现异地办公。
企业用户可以方便地传输各类数据,开展各类网络应用。
随着我国计算机网络技术尤其是Internet技术的高速发展,加快对企业局域网建设迫在眉睫。
因此构建一个“安全可靠、性能卓越、管理方便”的企业局域网,已经成为企业信息化建设成功的关键基石。
本课题的设计需要综合运用各种知识来完成本课题,不仅可以使我进一步掌握计算机网络原理、熟悉企业局域网的设计搭建,而且可以增强了我的自学能力和动手能力。
第一章技术可行性和需求分析
一.1技术可行性
一.1.1NAT技术
随着Internet的迅速发展,IP地址短缺已经成为一个十分突出的问题。
为了解决这个问题,出现了多种解决方案,而NAT(NetworkAddressTranslation网络地址转换)是目前网络环境中比较有效的方法。
1)什么是NAT
NAT提供了连接互联网的一种简单方式,并且通过隐藏内部网络地址的手段为用户提供了安全保护。
内部用户连接互联网时,NAT将用户的内部网络IP地址转换成一个外部公共IP地址,并在NAT地址转换表中记录下这个转换项;当外部网络数据返回时,NAT技术查询NAT地址转换项,将目标IP地址替换成初始的内部用户的IP地址,报数据包转发给内部网络用户。
由于这样对外隐藏了内部网络的IP地址,因此,外部用户无法直接发起到内部网络的连接,从而保护了内部网络用户。
2)NAT的优点和缺点
(1)NAT的优点
NAT节省了公共地址:
一个企业申请的合法IP地址很少,而内部网络用户很多,可以通过NAT功能实现多个用户同时公用一个合法IP地址与外部网络进行通信。
NAT允许内部网络编址的一致性:
如果一个单位没有使用私有地址和NAT,当公有地址发生变化时,要改变公司内的所有主机IP地址,工作量巨大。
如果采用了NAT只更改NAT设备的IP地址池配置,内部网络的编址不受影响。
这意味着,一个单位可以更换ISP而不需要改变内部主机的IP地址。
NAT增加了连接到公网的弹性:
可以使用多地址池、备份池、负载均衡池,确保可靠的公网连接。
NAT提高了内部网络的安全:
一个企业不想让外部网络用户知道自己内部网络的结构,可以通过NAT将内部网络与外部Internet隔离开,则外部用户根本不知道通过NAT的内部IP地址。
NAT虽然能提高内部网络的安全,但无法取代防火墙。
(2)NAT的缺点
NAT影响性能:
转换每一个包头中的IP地址需要时间,NAT增加了交换延时。
路由器必须检查每一个包来决定是否需要转换,路由器需要转换IP头,有时还需要转换TCP或UDP头部。
NAT缺乏对一些应用的支持:
很多Imternet协议和应用依赖于端到端的应用,包从源到目的地不能被修改。
通过修改端到端的地址,NAT阻止了一些应用,比如一些安全应用,如数字签名就会失败,因为数据包中源IP地址发生了变化。
NAT不利于追踪:
经过多次NAT,端到端的追踪变得非常困难。
另外,因为NAT的存在,也很难追踪或获得黑客使用的真是IP地址。
NAT使一些隧道协议变得复杂:
因为NAT修改了包头中的值,给IPSec或其他隧道协议的完整性带来困难。
一.1.2VLAN技术
VLAN(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。
一个VLAN可以在一个交换机或者跨交换机实现。
VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。
基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。
传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽;而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。
VLAN相当于OSI参考模型的第二层的广播域,能够将广播风暴控制在一个VLAN内部,划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。
不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。
网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。
另外,VLAN具有灵活性和可扩张性等特点,方便于网络维护和管理,这两个特点正是现代局域网设计必须实现的两个基本目标,在局域网中有效利用虚拟局域网
技术能够提高网络运行效率。
一.1.3DHCP技术
DHCP是DynamicHostConfigurationProtocol(动态主机配置协议)缩写,它的前身是BOOTP。
BOOTP原本是用于无磁盘主机连接的网络上面的:
网络主机使用BOOTROM而不是磁盘启动并连接上网络,BOOTP则可以自动地为那些主机设定TCP/IP环境。
但BOOTP有一个缺点:
您在设定前须事先获得客户端的硬件地址,而且与IP的对应是静态的。
换而言之,BOOTP非常缺乏"动态性",若在有限的IP资源环境中,BOOTP的一一对应会造成非常严重的资源浪费。
DHCP可以说是BOOTP的增强版本,它分为两个部份:
一个是服务器端,而另一个是客户端。
所有的IP网络设定数据都由DHCP服务器集中管理,并负责处理客户端的DHCP要求;而客户端则会使用从服务器分配下来的IP环境数据。
使用DHCP,整个计算机的配置文件都可以在一条信息中获得(除了IP地址,服务器可以同时发送子网掩码、缺省网关、DNS服务器和其他的TCP/IP配置)。
比较起BOOTP,DHCP透过"租约"的概念,有效且动态的分配客户端的TCP/IP设定,而且,作为兼容考虑,DHCP也完全照顾了BOOTPClient的需求。
DHCP的分配形式首先,必须至少有一台DHCP服务器工作在网络上面,它会监听网络的DHCP请求,并与客户端磋商TCP/IP的设定环境。
一.1.4ACL技术
访问控制列表(AccessControlList,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。
ACL可以用作控制和过滤流经路由器端口的数据包的工具。
通过使用ACL,路由器提供了基本的数据流过滤能力。
ACL具有下列作用:
1)限制网络流量,提高网络性能
2)提供数据流控制
3)为网络访问提供基本的安全层
4)决定转发或者阻止哪些类型的数据流
一.1.5PPP协议
点对点协议(PPP)为在点对点连接上传输多协议数据包提供了一个标准方法。
PPP最初设计是为两个对等节点之间的IP流量传输提供一种封装协议。
在TCP-IP协议集中它是一种用来同步调制连接的数据链路层协议(OSI模式中的第二层),替代了原来非标准的第二层协议,即SLIP。
除了IP以外PPP还可以携带其它协议,包括DECnet和Novell的Internet网包交换(IPX)。
一.1.6VTP技术
它是一个OSI参考模型第二层的通信协议,主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名。
在一台VTPServer上配置一个新的VLAN时,该VLAN的配置信息将自动传播到本域内的其他所有交换机。
这些交换机会自动地接收这些配置信息,使其VLAN的配置与VTPServer保持一致,从而减少在多台设备上配置同一个VLAN信息的工作量,而且保持了VLAN配置的统一性。
VTP通过网络(ISL帧或cisco私有DTP帧)保持VLAN配置统一性。
VTP在系统级管理增加,删除,调整的VLAN,自动地将信息向网络中其它的交换机广播。
此外,VTP减小了那些可能导致安全问题的配置。
便于管理,只要在vtpserver做相应设置,vtpclient会自动学习vtpserver上的vlan信息
*当使用多重名字VLAN能变成交叉--连接。
*当它们是错误地映射在一个和其它局域网,VLAN能变成内部断开。
VTP有三种工作模式:
VTPServer、VTPClient和VTPTransparent。
新交换机出厂时的默认配置是预配置为VLAN1,VTP模式为服务器。
一般,一个VTP域内的整个网络只设一个VTPServer。
VTPServer维护该VTP域中所有VLAN信息列表,VTPServer可以建立、删除或修改VLAN,发送并转发相关的通告信息,同步vlan配置,会把配置保存在NVRAM中。
VTPClient虽然也维护所有VLAN信息列表,但其VLAN的配置信息是从VTPServer学到的,VTPClient不能建立、删除或修改VLAN,但可以转发通告,同步vlan配置,不保存配置到NVRAM中。
VTPTransparent相当于是一项独立的交换机,它不参与VTP工作,不从VTPServer学习VLAN的配置信息,而只拥有本设备上自己维护的VLAN信息。
VTPTransparent可以建立、删除和修改本机上的VLAN信息,同时会转发通告并把配置保存到NVRAM中。
一.1.7STP技术
STP(SpanningTreeProtocol)是生成树协议的英文缩写。
该协议可应用于在网络中建立树形拓扑,消除网络中的环路,并且可以通过一定的方法实现路径冗余,但不是一定可以实现路径冗余。
生成树协议适合所有厂商的网络设备,在配置上和体现功能强度上有所差别,但是在原理和应用效果是一致的。
STP的基本原理是,通过在交换机之间传递一种特殊的协议报文,网桥协议数据单元(BridgeProtocolDataUnit,简称BPDU),来确定网络的拓扑结构。
BPDU有两种,配置BPDU(ConfigurationBPDU)和TCNBPDU。
前者是用于计算无环的生成树的,后者则是用于在二层网络拓扑发生变化时产生用来缩短CAM表项的刷新时间的(由默认的300s缩短为15s)。
SpanningTreeProtocol(STP)在IEEE802.1D文档中定义。
该协议的原理是按照树的结构来构造网络拓扑,消除网络中的环路,避免由于环路的存在而造成广播风暴问题。
SpanningTreeProtocol(STP)的基本思想就是按照"树"的结构构造网络的拓扑结构,树的根是一个称为根桥的桥设备,根桥的确立是由交换机或网桥的BID(BridgeID)确定的,BID最小的设备成为二层网络中的根桥。
BID又是由网桥优先级和MAC地址构成,不同厂商的设备的网桥优先级的字节个数可能不同。
由根桥开始,逐级形成一棵树,根桥定时发送配置BPDU,非根桥接收配置BPDU,刷新最佳BPDU并转发。
这里的最佳BPDU指的是当前根桥所发送的BPDU。
如果接收到了下级BPDU(新接入的设备会发送BPDU,但该设备的BID比当前根桥大),接收到该下级BPDU的设备将会向新接入的设备发送自己存储的最佳BPDU,以告知其当前网络中根桥;如果接收到的BPDU更优,将会重新计算生成树拓扑。
当非根桥在离上一次接收到最佳BPDU最长寿命(MaxAge,默认20s)后还没有接收到最佳BPDU的时候,该端口将进入监听状态,该设备将产生TCNBPDU,并从根端口转发出去,从指定端口接收到TCNBPDU的上级设备将发送确认,然后再向上级设备发送TCNBPDU,此过程持续到根桥为止,然后根桥在其后发送的配置BPDU中将携带标记表明拓扑已发生变化,网络中的所有设备接收到后将CAM表项的刷新时间从300s缩短为15s。
整个收敛的时间为50s左右。
一.1.8动态/静态路由协议
静态路由是指需要由网络管理员手工配置路由信息。
当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工去修改路由表中相关的静态路由信息。
静态路由一般适用于比较简单的网络环境,在这样的环境中,网络管理员易于清楚地了解网络的拓扑结构,便于设置正确的路由信息。
使用静态
路由的另一个好处是网络安全保密性高。
动态路由因为需要路由器之间频繁地交换各自的路由表,而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。
大型和复杂的网络环境通常不宜采用静态路由。
一方面,网络管理员难以全面地了解整个网络的拓扑结构;另一方面,当网络的拓扑结构和链路状态发生变化时,路由器中的静态路由信息需要大范围地调整,这一工作的难度和
复杂程度非常高。
一.2需求分析
一.2.1带宽性能需求
现代企业网络应该有更高的带宽,更强大的性能,以满足日益增长的通信需求的用户。
与计算机技术的快速发展,越来越多的基于网络的各种应用中,今天的企业网络已经发展成为一个多功能无记名平台,不仅要继续把办公自动化、网络浏览以及其他数据服务,但也携带的各种业务应用系统设计生产数据,以及带宽和要求IP电话、视频会议和其他多媒体服务。
因此,数据流将大大增加,特别是提出了更高的要求,数据交换能力的核心网络。
此外,随着成本的持续下降,千兆的千兆端口桌面应用程序将在不久的将来成为主流的企业网络。
建立一个无障碍的“高品质”的企业局域网,扩大网络适应需求不断增长的营业额。
一.2.2网络安全需求
现代企业网络将需要提供更好的网络安全解决方案,以防止病毒和黑客的攻击,减少经济损失。
传统企业的网络安全主要是通过部署防火墙,IDS,防病毒软件,交换机或路由器的ACL和协调防御病毒和黑客攻击。
现代企业网络在企业网络已经成为公司业务的重要组成部分,必须有一组病毒从用户接入控制,报文识别到主动抑制的一系列安全控制措施,从而确保稳定运行企业网络。
一.2.3应用服务需求
现代企业网络应该有一个更智能的网络管理解决方案,以满足网络大小增加的维护工作更复杂的需求。
目前的网络已经发展成为“以应用程序为中心的
”信息基础设施平台、网络管理能力的需求已经上升到业务层面,传统的网络设备的情报没有有效地支持发展网络管理的需要。
现代企业网络迫切需要一个网络设备支持“以应用程序为中心的“智能网络操作和维护,和一组智能管理软件,网络管理人员从繁重的工作释放。
一.3设计所需环境
一.3.1硬件要求
操作系统WindowsServer2003/XP/7/Vista
CPU1500MHz最好是3000MHz以上双核更好
内存512MB最好是1G2G更好
空闲硬盘空间2GB以上
软件要求PacketTracer4.1
第二章系统设计方案
二.1系统设计原则
二.1.1实用性
应该从实际情况,以达到和容易使用可以起到有效的目的。
成熟的技术和产品系统的建设。
能够兼容现有系统的新系统,以保持连续性和可用的资源。
该系统是安全可靠的。
非常容易使用,并不需要太多的培训可以容易使用和维护。
二.1.2安全性
使用各种有效的安全措施,确保安全运行的网络系统和应用程序。
安全包括四个层次:
网络安全、操作系统安全、数据库安全、应用系统安全。
由于互联网的开放性,世界各地的网络用户可以访问公司网络、企业网络防火墙、数据加密技术,以防止非法入侵,防止窃听和篡改数据和路由信息安全保护,确保安全。
磁带备份系统,建立系统和数据库。
二.1.3可扩充性
符合国际和国内行业标准协议和接口,因此,企业网络具有良好的开放,容易与其他网络互连和信息资源。
的增加及不同层次的网络节点和子网。
一般包括开放标准的原则、技术、结构、系统组件和用户界面。
必须根据实际的使用先进的成熟技术,购买先进水平的计算机网络系统和设备。
随着不断变化的计算机技术和计算机网络技术的快速发展,网络系统的规模可伸缩性已经十分重要,所以考虑可伸缩性的网络系统是非常重要的。
二.1.4可管理性
充分考虑网络的设计未来网络管理和维护,操作方便,维护容易的选择网络操作系统,大大减少了负担的管理和维护的网络运营商。
使用智能网络管理,减少运营成本和维护的网络。
二.1.5高性能价格比
日益进步的新技术和特定情况下,开发具有成本效益的解决方案来满足需求的基础上,充分保障了企业的经济效益。
坚持经济原则,努力做更多的事情,钱最少的,为了获得最大的利益。
二.2网络设备选型
本次设计均根据packettracer4.1模拟器完成,所有设备均采用模拟器内含设备。
表3-1网络设备选型
型号及数量
价格(单位:
元)
说明
Cisco1841四台
3700/台
集成多业务路由器能够以线速提供安全的数据访问应用,从而为中小企业和小型分支机构提供全套功能和灵活性,以便实现安全的互联网和内部网接入
CISCOWS-C2960-24TT两台
4000/台
用于接入层交换机,具有24
个以太网10/100端口2个以太网10/100/1000端口
二.3系统总体设计和拓扑结构
对于一个大中型企业局域网,通常在设计上将网络分为核心层、汇聚层和接入层分别考虑。
接入层节点直接连接用户计算机,它通常是一个部门或者一个楼层的交换机;汇聚层交换机的每个节点可以连接多个接入层节点,它通常是一个建筑物内部连接多个楼层交换机或者部门交换机的总交换机;核心层交换机节点连接多个汇聚层交换机,通常是企业中连接多个建筑物的总交换机的核心网络设备。
1、核心层
核心层的功能主要是实现骨干网络之间的优化传输,复杂整个网络的网
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 小型企业 局域网 设计 毕业设计