企业局域网组建研究毕业论文.docx
- 文档编号:27410827
- 上传时间:2023-06-30
- 格式:DOCX
- 页数:40
- 大小:323.65KB
企业局域网组建研究毕业论文.docx
《企业局域网组建研究毕业论文.docx》由会员分享,可在线阅读,更多相关《企业局域网组建研究毕业论文.docx(40页珍藏版)》请在冰豆网上搜索。
企业局域网组建研究毕业论文
企业局域网组建研究毕业论文
摘要I
AbstractII
前言1
第1章概论2
1.1局域网的发展现状2
1.2局域网的发展趋势3
第2章局域网关键技术介绍4
2.1网络关键技术4
2.1.1VLAN4
2.1.2NAT4
2.1.3STP4
2.1.4HSRP5
2.1.5IEEE802.11b5
2.1.6静态路由5
2.1.7访问控制列表5
2.2常见的局域网组建技术应用6
2.2.1单臂路由实现VLAN间通信6
2.2.2三层交换机实现VLAN间路由6
第3章企业网络设计9
3.1需求分析9
3.2网络设计原则:
9
3.3网络设计思路:
10
第4章 企业网系统整体方案实现11
4.1网络拓扑图设计11
4.2vlan划分及IP编址12
4.3主要设备选定12
4.3.1路由器:
Cisco3600系列13
4.3.2 CiscoCatalyst4500系列13
4.3.3CiscoCatalyst2960系列14
4.3.4无线AP:
TL-WA501G+15
4.4接入层交换机配置16
4.5核心层交换机配置16
4.6广域网接入模块配置16
结论18
参考文献19
附录20
附录1接入层交换机的详细配置20
接入层交换机AccessSwitch1端口基本参数22
配置接入层交换机AccessSwitch1的访问端口23
配置接入层交换机AccessSwitch1的主干道端口24
配置其它接入层交换机24
接入层交换机的其它可选配置25
附录2 核心层交换机详细配置26
对核心层交换机CoreSwitch1的基本参数的配置27
配置核心层交换机CoreSwitch230
其它配置33
配置HSRP33
附录3广域网模块配置35
配置路由器IRouter的基本参数36
NAT地址转换37
ACL访问控制38
应用配置好的ACL39
远程访问模块设计40
致谢41
总结体会42
第一章概论
1.1局域网的发展现状
随着算机技术和网络技术的发展,中小企业组建办公网络成为现代企业提高办公效率的主要手段之一,但是没有科学合理规划的局域网也存在着不少的问题,比如说:
利用空密码和简单密码的问题;随便开共享文件夹引起病毒传播和文件不安全问题;局域网木马病毒利用系统漏洞传播的问题:
arp攻击类病毒木马程序的问题;p2p软件大量使用造成网络拥堵的问题。
所以说普通局域网没有什么安全可言,如果大家处于同一子网,每台计算机发出和接收到的数据包其他计算机都可以监听到,这些包一般都是明文发送的,通过sniffer等抓包工具抓取以后就可以知道数据容,所以在企业网里面我们需要划分子网,隔离vlan,使用vpn等安全手段。
因此通过科学规划局域网可以节省企业成本,降低管理费用,增强企业信息安全。
另外,目前我国中小企业已达4200万户(包括个体工商户),约占全国企业总数的99.8%。
我国中小企业创造的最终产品和服务的价值占国增加值的58%,社会零售额占59%,上缴税收占50.2%,提供就业机会占75%,出口额占全国出口的68%。
截至2010年12月,有94.8%的中小企业配备了电脑,无电脑的中小企业仅占5.2%。
有92.7%的中国中小企业的接入了互联网,已经达到了一个相当高的水平。
企业局域网建设近些年来由了长足的发展,但和欧美发达国家的企业局域网相比还有着明显的不足,主要体现在:
(1)低水平重复建设且成本高昂:
各部门拥有相对独立的信息系统,资源分散于各部门之中,容易形成信息孤岛。
(2)安全漏洞和系统风险大:
各部门拥有相对独立的信息系统,不但系统复杂度高,而且核心数据全部分布于本地,对系统的安全性提出了较高的要求。
(3)管理信息和反馈信息不能迅速传递:
随着企业的发展,数据信息流不断增大,对各部门管理提出了快速响应的要求。
今后如何应对瞬息万变、竞争激烈的国外市场环境以及如何利用网络技术迅速提升企业核心竞争力就成为企业成败的关键。
1.2局域网的发展趋势
未来的局域网将集成包括一整套服务器程序、客户程序、防火墙、开发工具、升级工具等,给企业向局域网转移提供一个全面解决方案。
局域网将进一步加强和E-mail、群件的结合,将web技术带入E-mail和群件,从信息发布为主的应用向信息交流与协作转变。
局域网将提供一个日益牢固的安全防卫、保障体系,局域网也是一个开放的信息平台,可以随时集成新的应用。
随着无线局域网产品迅速发展并走向成熟,许多企业为了提高员工的工作效率,开始部署无线网络。
中学和大学在的许多学校也开始实施无线网络,随着家庭电脑的普及和住房装修的高档化,家庭无线网络也成为一个潜在的市场。
因此无线网络将会成为许多公共场所的必备基础设施。
将来的局域网发展趋势必将是有线网络和无线网络共存,无线局域网作为一种灵活的数据通信系统,在建筑物和公共区域是有线局域网的有效延伸和补充。
第2章局域网关键技术介绍
2.1网络关键技术
在组建企业网时,所用的网络技术有VLAN,NAT,STP,HSRP,802.11b,访问控制列表ACL。
2.1.1VLAN
VLAN(VirtualLocalAreaNetwork)的中文名为“虚拟局域网”。
VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。
这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。
但又不是所有交换机都具有此功能,只有VLAN协议的第三层以上交换机才具有此功能。
通过VLAN技术,我们将公司不同部门分配到了不同的子网中,一方面保证了一个部门中的信息对另一个网络的隔离,另一方面也隔离了网络广播的扩散,保障了企业网的总体性能。
2.1.2NAT
网络地址转换(NAT,NetworkAddressTranslation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。
原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络部的计算机。
2.1.3STP
STP的基本原理是,通过在交换机之间传递一种特殊的协议报文,网桥协议数据单元(BridgeProtocolDataUnit,简称BPDU),来确定网络的拓扑结构。
BPDU有两种,配置BPDU(ConfigurationBPDU)和TCNBPDU。
前者是用于计算无环的生成树的,后者则是用于在二层网络拓扑发生变化时产生用来缩短CAM表项的刷新时间的(由默认的300s缩短为15s)。
2.1.4HSRP
HSRP:
热备份路由器协议(HSRP:
HotStandbyRouterProtocol),是cisco平台一种特有的技术,是cisco的私有协议。
实现HSRP的条件是系统中有多台路由器,它们组成一个“热备份组”,这个组形成一个虚拟路由器。
在任一时刻,一个组只有一个路由器是活动的,并由它来转发数据包,如果活动路由器发生了故障,将选择一个备份路由器来替代活动路由器,但是在本网络的主机看来,虚拟路由器没有改变。
所以主机仍然保持连接,没有受到故障的影响,这样就较好地解决了路由器切换的问题。
2.1.5IEEE802.11b
IEEE802.11b无线局域网的带宽最高可达11Mbps,比两年前刚批准的IEEE802.11标准快5倍,扩大了无线局域网的应用领域。
另外,也可根据实际情况采用5.5Mbps、2Mbps和1Mbps带宽,实际的工作速度在5Mb/s左右,与普通的10Base-T规格有线局域网几乎是处于同一水平。
作为公司部的设施,可以基本满足使用要求。
IEEE802.11b使用的是开放的2.4GHz频段,不需要申请就可使用。
既可作为对有线网络的补充,也可独立组网,从而使网络用户摆脱网线的束缚,实现真正意义上的移动应用。
2.1.6静态路由
静态路由是指由用户或网络管理员手工配置的路由信息。
当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工去修改路由表中相关的静态路由信息。
使用静态路由的另一个好处是网络安全性高。
动态路由因为需要路由器之间频繁地交换各自的路由表,而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。
因此,网络出于安全方面的考虑也可以采用静态路由。
不占用网络带宽,因为静态路由不会产生更新流量。
2.1.7访问控制列表
访问控制列表ACL是应用在路由器接口的指令列表。
这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。
至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。
作为外网进入企业网的第一道关卡,路由器上的访问控制列表成为保护网安全的有效手段。
2.2常见的局域网组建技术应用
2.2.1单臂路由实现VLAN间通信
vlan能有效地分割广播域,控制广播包的数量,提高网络设备的使用率,那么要想实现不同vlan间通信就需要借助第三层的路由功能,必须借助于路由器或者是三层交换机来实现,我们把路由器和二层交换机相直连这样的模型称为单臂路由模型,因为进出路由器的数据都要通过这条中继链路来实现,单臂路由是中小型企业网络中实现vlan间通信的有效手段,但对于信息点数量过多的网络拓扑环境,由于所有进出路由器的数据包都要经过这条中继链路,就使得交换机和路由器相连的这条链路成为了整个网络的瓶颈。
限制了整个网络的速度。
实例拓扑图
图2-1单臂路由实例拓扑图
2.2.2三层交换机实现VLAN间路由
随着企业部流量的逐步增大,使用路由器的独臂路由功能来实现不同vlan间互访已不能满足企业用户的需求。
这时我们可以使用转发速度较快的三层交换机来实现这些功能。
通过在三层交换上配置相应的vlan地址(即网关地址),让不同vlan的用户通过三层交换的中继链路实现快速的互访。
实例拓扑图
图2-2三层交换实现VLAN间路由实例拓扑图
第3章企业网络设计
3.1需求分析
在本方案中,将以一个拥有300台办公计算机的中小企业目前为例,对该企业进行调研后总结需求如下:
•该公司一共有5个部门:
财务部、市场部、策划部、客服中心、采购部;
•企业拥有约300台办公计算机,要求都能访问Internet资源;外网通过internet只能访问企业服务器,如FTP、Web,不能访问其它网信息;
•部份位置要实现wi-fi无线上网,可以实现多人同时接入;
•出差工作人员及在家办公人员能够远程访问公司部的共享文件以及进行数据传送;
•网络要求是可扩展的,高速的,冗余的,安全的,并可满足为现在或将来进行语音、视频、图像等各种服务的应用;
•要保证企业部服务器群可以集中管理以及企业部信息安全。
3.2网络设计原则:
•应用为本的原则:
局域网的设计应遵循“应用为本”的原则,在应用的基础上设计局域网。
•适度先进原则:
网络设计时,应考虑到能够满足未来几年用户对网络带宽的需要。
•可扩展原则:
可扩展是指网络规模和带宽的扩展能力,也是设计中必须加以考虑的。
•开放性原则:
组网设计应采用当前最新国际标准的软硬件以及开放的技术、开放的结构、开放的系统组件和用户接口,使网络系统具备与多种协议计算机通信网络互联的特性,为未来的横向扩展提供必要的条件。
3.3网络设计思路:
根据企业提出需求,进行分析,最终将采取以下方案解决企业需求:
•主干部署1000M的光纤,以满足300台计算机访问Internet;
•申请有九个公网IP:
.2.125.1分配给了Internet接入路由器的串行接口,另外8个IP地址:
202..222.2/29~202..222.7/29用作NAT;
•购买一台CISCO路由器CISCO3640以实现企业部网连接到Internet;
•企业目前有300台计算机连入网络,考虑到在未来五年可能会有所增加,预计增加幅度为100台,总共有400台。
因此接入层交换机48口的Catalyst2960需要数量为:
400/48=10台;
•将各个部门划分在不同的VLAN,包括服务组群和管理VLAN一共需要7个VLAN;
•将WEB服务器、服务器、FTP服务器直接与核心交换机Cisco4501连接,置于中心机房,方便管理,同时配置ACL控制各部门访问权限并控制外网访问;
•在需要无线上网的地方,采用54M的无线AP接入,设定最多30人的数量,以保证每人访问网速不至于过慢;
•在路由器上配置EasyVPN,用以实现出差工作人员及在家办公人员远程访问企业部资源及数据交换。
•为实现网络的冗余设计,在核心层布署时,用两台三层交换机实现热备份路由器协议。
第4章 企业网系统整体方案实现
4.1网络拓扑图设计
本企业网设计方案主要由以下四大部分构成:
交换模块、广域网接入模块、远程访问模块、服务器群。
整个网络系统的拓扑结构图,如图4-1所示。
图4-1中小型企业网络拓扑
为了简化交换网络设计、提高交换网络的可扩展性,在企业网部数据交换的部署是分层进行的。
企业数据交换设备可以划分为三个层次:
接入层、分布层、核心层。
在本设计方案中,分布层和核心层是紧缩到一层中的,所以只需进行两层配置,将企业主干和建筑物分布子模块紧缩到一层中(即CoreSwitch所在层),能够在满足中小型企业的需求的前提下,节省交换机成本开销。
在设计中,利用千兆以太网通道化技术扩展网络带宽,可以满足部网络的大负荷网络运行需求。
它采用了星形拓扑结构,它相对其他拓扑结构来说,星形拓扑在将用户接入网络时具有更大的灵活性。
当系统不断发展或系统发生重大变化时,这种优点将变得更加突出。
就这个设计而言,提供交换机和链路冗余,保证在其中一交换机出现故障的时候另一台交换机能保证整体网络结构正常工作。
4.2vlan划分及IP编址
根据拓扑图和接入层交换机的位置分布,编排IP地址给各个部份的计算机如表4-1所。
表4-1 VLAN划分及IP方案
VLAN号
VLAN名称
IP网段
默认网关
说明
VLAN1
-
192.168.0.0/24
192.168.0.254
管理VLAN
VLAN10
CWB
192.168.1.0/24
192.168.1.254
财务部VLAN
VLAN20
SCB
192.168.2.0/24
192.168.2.254
市场部VLAN
VLAN30
CHB
192.168.3.0/24
192.168.3.254
策划部VLAN
VLAN40
KFZX
192.168.4.0/24
192.168.4.254
客服中心VLAN
VLAN50
CGB
192.168.5.0/24
192.168.5.254
采购部VLAN
VLAN100
SERVER
192.168.100.0/24
192.168.100.254
服务组群VLAN
在表4-1中,所有VLAN名称都是根据所代表的部门的拼音缩写定义的。
除了表中的容,远程用户从192.168..0/24中动态获得IP地址。
4.3主要设备选定
为了实现网络设备的统一,本设计方案中完全采用同一厂家的网络产品,即Cisco公司的网络设备构建。
全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。
在些设计方案中,路由器选定为Cisco3640一台。
在接入层,CISCOWS-C2960-48TC-S系列交换机通过生成树提供第二层冗余。
Catalyst2960系列交换机仅有的缺点就是最高只能32Gbit/s交换阵列,并且最多只能支持48个快速以太网端口。
可以满足300台办公计算机和未来可能的增长需求。
接入层当中,交换机与计算机选用超五类双绞线连接,理论上可达到100m/s的访问速度。
在核心层采用三层交换机Catalyst4506系列,可以增加网络扩展性,提高性能及可用性,增强网络安全性。
核心层交换机与路由器和核心层交换机之间选用光纤连接达到1000m/s的访问速度。
4.3.1路由器:
Cisco3600系列
3600系列提供了更多的槽和更高的处理能力。
本系列包括三种型号:
3660、3640和3620,如图4.2所示。
它们分别有六个、四个和两个可插网络模块的槽。
最高可支持OC-3速,且对大多数企业具有丰富的可扩展能力。
它支持连接语音线路、和专用分组交换机(PBX)。
图4.2 Cisco3600系列
4.3.2 CiscoCatalyst4500系列
Catalyst4500系列交换机,领先的引擎是SupervisorEngineV-10GE,它的最高性能可以达到102Mpps和136Gbit/s,如图4-3所示。
在性能方面,通过使用SupervisorIIIEngine或SupervisorII+只支持第二层,但是能够支持64Gbit/s交换。
图4-3 CiscoCatalyst4500系列交换机
(Catalyst4503、Catalyst4507R、Catalyst4510R、Catalyst4506)
对于Catalyst4500系列交换机,下列简要说明该平台的可扩展性。
支持3(Catalyst4503)、6(Catalyst4506)、7(Catalyst4507R)和10(Catalyst4510R)个插槽的模块化机箱;在10个插槽的机箱中,支持336个10/100/1000BASE-T1000Base-FX吉比特以太网端口;集成IP线上供电;多个吉比特以太网干道;通过专用模块支持WAN边缘;802.1.Q-in-Q。
在高可用性方面:
Catalyst4500支持下列特性;NSF/SSO;HSRP和VRRP802.1D/802.1s/802.1w生成树冗余;802.3ad和EtherChannel链路冗余;特定型号的机箱(具有7和10个插槽)支持冗余SupervisorEngineii+、IV和V;冗余供电。
在安全性方面,Catalyst4500支持以下特性;NAC;风暴控制;基于端口的Qos;全部端口支持标准ACL和扩展ACL;802.1x用户认证;802.1x计费;受信边界;全部端口支持RACL,并且不会影响性能;VALC;PACL;接入端口和干道端口的PVLAN;DHCP监听和选项82插入;端口安全;固定端口安全;VMPS客户端;单播MAC过滤;单播端口扩散阻塞;动态ARP检测;IP源防护;团体私用VLAN;语音VLAN粘连端口安全。
4.3.3CiscoCatalyst2960系列
CiscoCatalyst2960系列交换机通常作为建筑物接入交换机而部署,能够提供固定的端口密度,并且具有与高端交换机相类似的特性,但其成本更低。
尽管这些交换机具有更低的成本,但它们却支持非常多的高级交换特性,其中包括集成安全、NAC、高级Qos和弹性等。
这些交换机具有固定的端口配置,具有24个或48个10/100BASE-T或10/100/1000BASE-T端口,如图4-4所示,以及双目标特以太网上行链路,既可以使用铜或光纤上行链路,也可以使用一个10/100/1000以太网端口和一个SFP吉比特以太网端口的组合,但是同时只能有一个处于活跃状态。
图4-4 CiscoCatalyst2960
在性能方面,Catalyst2960系列交换机下列特性;
快速以太网和吉比特以太网线速的第2层交换;32Gbit/s交换阵列;能够以快速以太网和吉比特以太网的线速进行ACL和Qos;最大支持9000字节的巨型以太网帧。
至于该平台的可扩展性,Catlyst2960系列交换机包括下列特性;
最多48个10/100快速以太网端口和2个吉比特以太网端口;支持10/100/1000BASE-t吉比特以太风、10BASE-FX快速以太网和吉比特以太网最多可8000个MAC地址;集成支持带宽优化的CiscoIOS软件特性;分级限速;
4.3.4无线AP:
TL-WA501G+
TL-WA501G+是TP-LINK公司旗下的一款高性价比的无线AP,如图4-5所示,提供全中文Web配置界面,可以通过Web浏览器方便的对TL-WA501G+进行访问和控制,配置直观、简单、快捷。
您还可以通过Web界面对TL-WA501G+进行在线软件升级,以适应适合将来更高层次和更新要求。
图4-5 TL-WA501G+
它具有以下特性:
兼容IEEE802.11g及IEEE802.11b无线标准;符合IEEE802.3以太网标准及IEEE802.3u快速以太网标准 ;1个10/100M自适应RJ45端口(支持自动翻转);采用TP-LINK域展™无线传输技术,传输距离是普通11b、11g产品的2~3倍,传输围扩展到4~9倍;支持54/48/36/24/18/12/9/6M或11/5.5/2/1M速率自适应;支持64/128/152位WEP加密以及WPA-PSK/WPA2-PSK、WPA/WPA2安全机制;传输距离:
室最远200米,室外最远830米(因环境而异);
4.4接入层交换机配置
设置交换机的加密口令:
当用户在普通用户模式而想要进入特权用户模式时,需要提供此口令。
设置登录虚拟终端线时的口令:
远程管理为网络管理人员提供了很多的方便。
但是,处于安全考虑,在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。
配置接入层交换机的VLAN及VTP:
从提高效率的角度出发,在企业网中使用了VTP技术。
同时,将核心层交换机CoreSwitch1设置成为VTP服务器,其他交换机设置成为VTP客户机。
这里接入层交换机AccessSwitch1将通过VTP获得在分布层交换机CoreSwitch1中定义的所有VLAN的信息。
配置接入层交换机的端口:
设置所有端口均工作在全双工模式,强制将端口速度设为10Mpbs或100Mbps。
4.5核心层交换机配置
配置汇聚层交换机的VLAN:
当网络中交换机数量很多时,采用VLAN中继协议(VlanTrunkingProtocol,VTP),并划分VLAN;启用分布层交换机的路由功能为网络中的各个VLAN提供路由功能。
配置汇聚层交换机的缺省路由:
使用一条缺省路由命令,使用的下一跳地址是Internet接入路由器与核心交换机国连接的快速以太网接口FastEthernet0/0的IP地址。
配置汇聚层交换机的热备份路由协议:
在两台三层交换器之间采用HSRP(热备份冗余协议)协议,来保证两台三层交换机中的任意一台down掉,或交换机的广域网口down,都会迅速切换到另外一台。
4.6广域网接入模块配置
路由器上配置缺省路由:
到企业网部的静态路由以及到Internet上的缺省路由。
到Internet上的路由需要定义一条缺省路由,下一跳指定从本路由器的接口s0/0送出。
路由器上安全配置:
在路由器上配置ACL可以对外屏蔽其它不安全的协议或服务如:
简单网管协议SNMP,远程登录协议telnet,SUNOS的文件共享协议端口
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 局域网 组建 研究 毕业论文