本科毕业设计
题 目:荣新IT培训中心局域网设计方案
英文题目:The network design scheme of vfast training center 院 部: 信息工程学院 专 业: 网络工程 姓 名: 张秋英 学 号: 20080520117 指导教师: 刘建华
2012年 4 月 15 日
毕业设计独创性声明
该毕业设计是我个人在导师指导下进行的研究工作及取得的研究成果。文中除了特别加以标注和致谢的地方外,不包含其他人或其它机构已经发表或撰写过的研究成果。其他同志对本研究的启发和所做的贡献均已在论文中作了明确的声明并表示了谢意。
作者签名: 张秋英 日期: 2012 年 4 月 10 日
毕业设计使用授权声明
本人完全了解青岛滨海学院有关保留、使用毕业设计的规定,即:学校有权保留送交毕业设计的复印件,允许被查阅和借阅;学校可以公布全部或部分内容,可以采用影印、缩印或其它复制手段保存该毕业设计。保密的毕业设计在解密后遵守此规定。
作者签名: 张秋英 导师签名: 刘建华 日期: 2012 年 4 月 10 日
摘 要
据统计,越来越多的企业都在加快构建自身的信息网络,而其中绝大多数都是中小企业。该设计对我国现阶段中小企业局域网现状进行了研究,对局域网组建的目的、原则以及网络结构设计等做了阐述。此方案的设计对于所有的中小企业在当今以及未来的网络建设中有着重要的指导和参考意义,也是本次毕业设计方案的主要目的与价值所在。本文通过北京某一企业的具体案例来说明中小企业网络组建所需要考虑的问题,对网络组建方案的设计、基于安全的网络配置方案设计、综合布线方案设计以及企业网络安全设计等方面进行了研究,详细的探讨了对该网络进行规划设计时遇到的关键性问题。意在组建一个基本能覆盖整个企业、实现广域网接入和资源共享的互联网络,将企业内各种计算机、服务器、终端设备连接起来,并通过一定的接口连接到广域网。
关键词:中小型企业、局域网、组网、网络拓扑、路由、交换
ABSTRACT
According to statistics,more and more enterprises to accelerate the construction of its own information network,while the vast majority of them are SMEs.The graduation project reseach on the status of current SME LAN,described the purpose and principles of LAN established and the design of network architecture and so on.This program is designed to provide small and medium enterprises of all current and future network construction has got to the guidance and reference value,is also the graduate program’s main purpose and value.In this paper the specific case of a company in Beijing to illustrate something need to be considered during the SME network established.Through the design of the network set up the program、based on the secure network configuration design、structured cabling design、enterprise network security design and other aspects of research,the network the key issues encountered in the planning and design are discussed in detail.The purpose is to set up Internet which can cover the entire enterprise,realize the WAN access and resource sharing.Enterprise of all kinds of computers,servers,terminal equipment through a certain interface to connect to WAN.
Keywords Small&Medium Enterprise、LAN、Formation of networks、Network topology、Routing、Swtiching
目 录
前言 ···································································································································· 1 1 局域网技术与设备简介 ································································································ 2
1.1 网络技术 ············································································································· 2 1.2 网络协议与标准 ································································································· 5 1.3 网络设备 ············································································································· 7 2 需求分析 ························································································································ 9 2.1 中小企业特点及组网原则 ················································································· 9
2.2 背景分析 ··········································································································· 10 2.3 需求分析 ··········································································································· 11 2.4 系统目标 ··········································································································· 12 3 网络规划设计 ·············································································································· 13 3.1 网络拓扑规划设计 ··························································································· 13 3.2 IP地址分配与VLAN划分 ·············································································· 14 3.2 网络设备选型 ··································································································· 17 4 综合布线组成与设计 ·································································································· 20 5 网络组建与配置 ·········································································································· 23
5.1 部门网络组建 ··································································································· 23 5.2 核心网络组建 ··································································································· 26 5.3 网络Internet接入 ····························································································· 35 5.4 网络服务管理 ··································································································· 37 5.5 网络安全管理 ··································································································· 38 6 方案成本预算 ·············································································································· 39 结论 ·································································································································· 40 致谢 ·································································································································· 41 参考文献 ·························································································································· 42
青岛滨海学院网络工程专业毕业设计
前言
二十一世纪是科学技术飞速发展的时代,全球信息化浪潮势不可挡,已经迅速延伸至国防、科研、经济、教育等各个领域,也不可避免地改变着传统的企业人事的工作模式,利用当前蓬勃发展的以计算机和网络为主导的先进信息技术则是企业实现现代化的必不可少的的技术基础。近年来,随着信息化水平的不断提高,企业对计算机网络的依赖程度越来越来高,Internet成为人们生活、工作、学习中必不可少的一部分。Internet是一个资源的网络,其中拥有的信息几乎覆盖所有的领域。
Internet面向人类社会,世界上数以亿计的人们利用它进行通信和信息共享,通过发送和接受电子邮件,或和其他人的计算机建立连接、参加各种讨论组并免费使用各种信息资源实现信息共享。Internet也是一个服务的网络,在Internet上,许多单位、公司和组织提供了各种各样的服务,如WWW(World Wide Web,全球信息网)服务、信息查询服务等,向网络上的其他用户展示自己各方面的情况,并帮助这些用户找到需要的信息。
目前,我国中小企业数量已经超过了1000万家,在国民经济中,60%多的总产值来自于中小企业,并为社会提供了70%以上的就业机会,然而,在经济与社会发展中占据着至关重要的战略地位的中小企业,其信息化程度却相对比较落后,早期的企业只有一个简单的办公网络,为企业的日常办公服务。随着企业的规模不断扩大,计算机数量不断增长以及企业需求不断的提高,原有的网络已经不能满足现有企业规模的需求。所以,就需要对原有区域的办公网进行扩充,建立整体企业网,使网络覆盖整个企业,把企业所有的办公网络以及新增加的计算机和部门网络都相互连接起来,形成一个整体。
本方案主要是通过对具体对象进行实地调查,对该企业将要组建的网络进行深入的需求分析和预测,然后为网络做出一个整体的、切实可行的规划设计方案。
1
青岛滨海学院网络工程专业毕业设计
1 局域网技术与设备简介
网络有许多不同的类型,为我们提供各种服务。简单来说,网络就是通过物理链路将各个独立的主机或工作站相互连接在一起,从而达到软硬件资源的共享。计算机网络按照网络的组建规模和延伸范围来划分的话,可以分为局域网(Local Area Network,LAN)、城域网(Metropolitan Area Network,MAN)、广域网(Wide Area Network,WAN)。局域网(local area network,LAN)是指在一定的区域范围内将各种计算机、外部设备和数据库等相互联接起来组成的计算机通信网,局域网的区域范围一般是方圆几千米以内,它可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能,它的组成可以是办公室内的两台计算机也可以是一个公司内的上千台计算机。美国电气和电子工程师协会(IEEE)局域网标准委员会曾提出局域网的一些具体的特征:
(1)通信距离有限制,一般在1~2Km的地域范围内。 (2)较高的传输率。
(3)低误码率,因为连接线路都比较短,中间几乎不会受到任何的干扰。 (4)管理方便,局域网一般是一个单位或部门专用。
(5)组网连接容易,局域网的拓扑结构比较简单,所支持连接的计算机数量也是有限的,所以组网是相对很容易连接。
1.1 网络技术
网络技术是从1990年中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使得人们能够透明地使用资源的整体能力并按需获取信息。当前达到或超过百兆的高速网络技术主要有:快速以太网、FDDI(光纤分布式数据接口)、千兆以太网、ATM交换网。以太网技术是种成熟的、优质廉价的网络技术,其标准已制定完备。经过多年发展,形成了10Mbps、100Mbps和千兆以太网技术,同时还由共享式的网络发展成为交换式的以太网,成为现今主流的网络技术。当然它也有不足,即以太网仍是基于载波监听多路访问和冲突检测(CSMA/CD)技术,就是将多个工作站都连接在一条总线上,而所有的工作站都不断地向总线发出监听信号,但在同一时刻,只能有一个工作站在总线上进行传输,而其它工作站必须等待传输结束后,再开始自己的传输。所以当网络负载较重时,会造成效率的降低,不过这可以
2
青岛滨海学院网络工程专业毕业设计
使用交换技术来弥补。
本方案是针对的中小企业组网设计的,而中小企业的特点是要求网络系统速度快、稳定性好,具有扩展性和开放性,同时对于组网技术的选择,需要考虑技术产品的成熟稳定性,并且,使用先进成熟的网络技术,不仅可以保护投资,还可以降低网络建设的费用,因此,最终选择以太网技术作为本次组网技术方案。同时,在本次系统设计方案中所涉及到的技术有:VLAN、TRUNK技术、链路聚合技术、HSRP技术、NAT技术、VPN技术等,下面对以上所使用的技术做出简要介绍。
1.VLAN技术
VLAN(Virtual Local Area Network,虚拟局域网)是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE802.1Q协议标准草案。交换式以太网利用VLAN技术,在以太网帧的基础上增加了VLAN头,可以将由交换机连接成的物理网络划分成多个逻辑子网,即属于同一VLAN(VLAN ID相同)中的站点所发送的广播数据包将仅转发至属于同一VLAN的站点,通过此方式在同一交换机上的站点如果处于不同的VLAN中即使网络地址处于同一网段也不能相互访问,只能通过网络层设备互联才能实现不同VLAN间的互访。构成VLAN的站点不局限与于所处的物理位置,既可以连接在同一个交换机上,也可以连接在不同的交换机上,VLAN技术的这一特点使得网络的拓扑结构变得非常的灵活,位于不同部门的用户或者不同楼层的用户可以根据需要加入不同的VLAN。
2.TRUNK技术
TRUNK(干道)是一种封装技术,它是一条点到点的链路,主要功能是仅通过一条链路就可以连接多个交换机从而扩展已经配置了多个VLAN,还可以采用通过TRUNK技术和上级交换机级联的方式来扩展端口的数量,可以达到近似堆叠的功能,节省了网络硬件的成本,从而扩展整个网络。
使用TRUNK 具有以下三大优点:
(1)可以在不同的交换机之间连接多个VLAN,可以将VLAN扩展到整个网络中。 (2)TRUNK可以捆绑任何相关的端口,也可以随时取消设置,这样提供了很高的灵活性。
(3)TRUNK可以提供负载均衡能力以及系统容错。由于TRUNK实时平衡各个交换机端口和服务器接口的流量,一旦某个端口出现故障,它就会自动把故障端口从
3
青岛滨海学院网络工程专业毕业设计
TRUNK组中撤销,进而重新分配各个TRUNK端口的流量,从而实现系统容错。
3.链路聚合技术
制定于1999年的IEEE802.3ad(Link Aggregation Control Protocol,LACP)链路聚合控制协议,定义了如何将两个以上的以太网链路组合起来为高带宽网络连接实现负载共享、负载平衡以及提供更好的弹性。
端口聚合将交换机上的多个端口在物理上连接起来,在逻辑上捆绑在一起,形成一个拥有较大宽带的端口,形成了一条干路,可以实现均衡负载,并提供了冗余链路。Aggregate Port(简称AP),符合IEEE802.3ad标准。它可以把多个端口的带宽叠加起来使用,提供了固有的、自动的冗余性,保证了网络的可靠性。
4.单臂路由技术
VLAN(虚拟局域网)技术是路由交换中非常基础的技术,在网络管理实践中,通过交换机上划分适当的VLAN,不仅能有效隔离广播风暴,还能提高网络安全系数以及网络带宽效率,划分VLAN后,VLAN和VLAN之间是不能通信的,只能通过路由或三层交换来实现,我们知道路由器功能通常是数据报从一个接口进来然后从另一个接口出来,现在路由器和交换机之间通过一条主干现实通信或数据转发,也就是说路由器仅用一个接口实现数据的进与出,因此这种方式也形象地被称为“单臂路由”。单臂路由是解决VLAN间通信的一种廉价而实用的解决方案。当然核心三层交换机同样也具备单臂路由的功能。
在本方案中,将单臂路由的技术应用到三层交换机上以实现VLAN间通信,单臂路由技术在交换机上的配置的核心是采用interface的形式访问VLAN,方法是在三层交换机上划分VLAN,并为VLAN端口配置IP地址与子网掩码,作为不同部门的网关
5.HSRP路由技术
随着Internet的日益普及,人们对网络的依赖性也越来越强。这同时对网络的稳定性提出了更高的要求,人们自然想到了基于设备的备份结构,就像在服务器中为提高数据的安全性而采用双硬盘结构一样。路由器是整个网络的核心和心脏,如果路由器发生致命性的故障,将导致本地网络的瘫痪,如果是骨干路由器,影响的范围将更大,所造成的损失也是难以估计的。因此,对路由器采用热备份是提高网络可靠性的必然选择。在一个路由器完全不能工作的情况下,它的全部功能便被系统中的另一个备份路由器完全接管,直至出现问题的路由器恢复正常,这就是热备份路由协议(HotStandbyRouterProtocol),HSRP-RFC2281技术要解决的问题。
4
青岛滨海学院网络工程专业毕业设计
同样的,此技术也能够应用于具有路由功能的三层交换机,所以在本次方案中,将HSRP技术应用到总部的两个三层交换机上,以实现互为备份(设备冗余)、负载均衡的功能,满足总部网络更高稳定性的要求。
6.NAT技术
现行我们使用的是IPv4的IP地址,它是一个32位的二进制数,因此总地址容量也就只有数亿个左右,而按照TCP/IP协议的规定,相互联接的网络中每个节点都必须有自己独一无二的地址来作为标识,那么很明显,日益增长的用户数与确定的IP的地址数形成了矛盾,现有的IP地址资源也已不堪重负。解决IP地址缺乏的办法之一就是想办法延缓资源耗尽的时间,目前广泛使用的就是NAT(Network Address Translation,网络地址翻译)。NAT(Network Address Translation,网络地址翻译)是解决 IP 地址短缺的重要手段。同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公有 Internet 地址和私有 IP 地址的使用。
7.VPN技术
VPN的全称是Virtual Private Network,翻译过来一般称为虚拟专用网络。其主要作用就是利用公用网络(主要是互联网)将多个私有网络或网络节点连接起来。VPN技术是利用开放的广域网建立私有的数据传输通道,将分布各地的分支机构、合作伙伴、公司内部人员等连接起来,提供安全的端到端数据通信的广域网技术。
VPN实现的两个关键技术是隧道技术和加密技术。 (1)隧道技术
隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generic Routing Encapsulation,GRE)、L2TP和PPTP。
(2)加密技术(IPSec)
利用隧道方式来实现VPN时,除了要充分考虑隧道的建立及工作过程之外,另外一个重要的问题是隧道安全。第二层隧道协议只能保证在隧道发生端和终止端进行认证及加密,而隧道在公网的传输过程中不能完全保证安全。IPSec加密技术则是隧道外面在封装,保证了隧道在传输过程中的安全性。
1.2 网络协议与标准
1.网络协议
5
青岛滨海学院网络工程专业毕业设计
网络通常按层或级的方式来组织,每一层的目的都是向它的上一层提供服务。层和协议的集合被称为网络体系结构,作为具体的网络体系结构,当前最重要的和使用最广泛的网络体系结构有OSI体系结构和TCP/IP体系结构。
网络协议是通信双方共同遵守的约定和规范,网络设备必须安装或设置各种网络协议之后才能完成数据的传输和发送。
(1)TCP/IP(Transmission Control Protocol/Internet Protocol)传输控制/Internet协议
TCP/IP协议是互联网上广泛使用的一种协议,使用TCP/IP协议的因特网等网络提供的主要服务有:文件传输、网络文件系统、电子邮件、远程登录、电视会议系统和万维网。它是Internet的基础,它提供了广域网内的路由功能,而且使Internet上的不同主机可以互联
(2)HTTP(Hypertext Transfer Protocol)超文本传输协议
它是用来在Internet上传送超文本的传送协议。它是运行在TCP/IP协议簇之上的
HTTP应用协议,它可以使浏览器更加高效,使网络传输减少。任何服务器除了包括HTML文件以外,还有一个HTTP驻留程序,用于响应用用户请求。您的浏览器是HTTP客户,向服务器发送请求,当浏览器中输入了一个开始文件或点击了一个超级链接时,浏览器就向服务器发送了HTTP请求,此请求被送往由IP地址指定的URL。驻留程序接收到请求,在进行必要的操作后回送所要求的文件。
(3) HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议
它是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层(SSL)。SSL使用40 位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。
(4)DHCP(Dynamic Host Configuration Protocol)动态主机配置协议
它是在TCP/IP网络上使客户机获得配置信息的协议,它是基于BOOTP协议,并在BOOTP协议的基础上添加了自动分配可用网络地址等功能。
(5)RIP(Routing Infomation Protocol)路由信息协议
RIP是最早的路由协议之一,而且现在仍然在广泛使用。它从类别上应该属于内部网关协议(IGP)类,它是距离向量路由式协议,这种协议在计算两个地方的距离时只计算经过的路由器的数目。
(6)STP协议(生成树协议)
6
青岛滨海学院网络工程专业毕业设计
STP(Spanning Tree Protocol)是生成树协议的英文缩写。该协议可应用于环路网络,通过一定的算法实现路径冗余,同时将环路网络修剪成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环。
2.标准 (1)网络标准
局域网(LAN)的结构主要有三种类型:以太网(Ethernet)、令牌环(Token Ring)、令牌总线(Token Bus)以及为这三种网的骨干网光纤分布数据接口(FDDI)。它们所遵循的都是IEEE(美国电子电气工程师协会)制定的以802开头的标准。
IEEE802.1Q标准。IEEE 802.1q协议也就是“Virtual Bridged Local Area Networks”(虚拟桥接局域网,简称“虚拟局域网”)协议,主要规定了VLAN的实现方法。
IEEE802.1d标准。为了解决“广播风暴”这一在二层数据网络中存在弊端,IEEE(电机和电子工程师学会)制定了IEEE 802.1d的生成树(Spanning Tree)协议。生成树协议是一种链路管理协议,为网络提供路径冗余,同时防止产生环路。
千兆以太网技术标准
千兆以太网技术有两个标准:IEEE802.3z和IEEE802.3ab。IEEE802.3z制定了光纤和短程铜线连接方案的标准,目前已完成了标准制定工作。IEEE802.3ab制定了五类双绞线上较长距离连接方案的标准。
IEEE802.3ad标准。IEEE802.3ad是执行链路聚合的标准方法,它定义了如何将两个以上的千兆以太网连接组合起来为高带宽网络连接实现负载共享、负载平衡以及提供更好的弹性。
(2)工程设计标准
为了保证局域网建设的可靠性、安全性、完备性,除了局域网建设所使用设备应按标准的组合与标准的测试外,综合布线也尽可能低按照国际、国内有关标准进行规范设计。
设计中应该遵循的标准与规范有: GB 50311-2007 GB 50312-2007
1.3 网络设备
网络设备主要是指硬件系统,各种网络设备之间是有着相互关联而不是相互独立
7
青岛滨海学院网络工程专业毕业设计
的,每一部分在网络中有着不同的作用,缺一不可,只有把这些设备通过一定的形式连起来才能组成一个完整的网络系统,网络设备主要包括网卡、交换机、路由器、传输介质等。
1.网卡
网卡(简称NIC),也网络适配卡或网络接口卡,网卡作为计算机与网络连接的接口,是不可缺少的网络设备之一。无论是双绞线网络、同轴电缆网络还是光缆网络,都必须借助于相应类型的网卡才能实现与计算机的连接,是计算机与局域网相互连接的惟一接口。从目前中小企业局域网建设的实际情况来看,工作站网卡选择PCI总线的10M/100Mbit/s自适应网卡最适合。
2.交换机
由交换机构建的交换式网络系统不仅拥有高速的传输速率,而且交换延时很小,使得信息的传输效率大大提高,适合于大数据量并且使用非常频繁的网络通信,被广泛应用于各种类型的多媒体和数据传输网络。交换机具有很强的网络管理功能,它能自动根据网络通信的使用情况来动态管理网络,因为交换机采用了独享网络带宽的设计。
3.路由器
路由器除了有连接不同的网络物理分支和不同的通信媒介、过滤和隔离网络数据流及建立路由表,还有控制和管理复杂的路径、控制流量、分组分段、防止网络风暴及在网络分支之间提供安全屏障层等到功能。根据路由设备的组成可以分为软路由和硬路由。根据路由表的设置方式可以将路由器分为静态的和动态的。路由器工作在网络层,因此它可以在网络层交换和路由数据帧,访问的是对方的网络地址。当数据帧到达路由器后,路由器查看数据帧的目标地址,并在路由表查看到达目标地址的路径,根据路径的代价,选择一条最佳的路径,然后把数据帧沿这条路径发送给目标地址。
4.传输介质
网络要求把各个独立的计算机连接起来的,这样就必然要求有一种介质将计算机连接起来,这就是传输介质,局域网的传输介质可分为有线介质和无线介质两种,一般情况下都是用有线介质的,因为它的稳定性高,连接可靠,无线介质只是在特殊环境下才使用的传输方式。常用的有线介质主要有以下几类。
5.双绞线
双绞线是综合布线工程中最常用的一种传输介质。双绞线由两根具有绝缘保护层的铜导线组成。把两根绝缘的铜导线按一定密度互相绞在一起,可降低信号干扰的程度,
8
青岛滨海学院网络工程专业毕业设计
每一根导线在传输中辐射的电波会被另一根线上发出的电波抵消,与其他传输介质相比,双绞线在传输距离、信道宽度和数据传输速度等方面均受到一定限制,但价格较为低廉。目前,双绞线可分为非屏蔽双绞线和屏蔽双绞线。
6.光纤
光纤是一种直接为50~100um的柔软的、能传导光波的介质,一般由玻璃制造。光纤分为:传输点模数类分单模光纤(Single Mode Fiber)和多模光纤(Multi Mode Fiber)。单模光纤的纤芯直径很小,在给定的工作波长上只能以单一模式传输,传输频带宽,传输容量大。多模光纤是在给定的工作波长上,能以多个模式同时传输的光纤,与单模光纤相比,多模光纤的传输性能较差。
2 需求分析
对企业网络的设计,首先需要进行对象研究和需求调查,弄清企业发展的特点,明确系统建设的需求和条件;其次在应用需求分析的基础上,确定企业网络的服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置和管理等方面的目标;第三,确定网络拓扑结构和功能,根据应用需求、建设目标和企业主要建筑分布特点,进行系统分析和设计;第四,确定技术设计的原则要求,如在软硬件选型、布线设计、网络设备选择等方面的标准和要求;第五,规划安排企业网络布线的实施步骤。
2.1 中小企业特点及组网原则
1、中小企业网络特点 (1)高性能,全交换
一般的中小企业在核心层肯定要支持目前主流的千兆位以太网接入,在汇聚层,为了满足一些特殊应用的高带宽需求,可以采用GEC链路聚合技术。在核心层和汇聚层基本上都必须采用第三层交换机,使得路由器专注于处理广域网流量。
(2)网络结构更复杂
在企业网络中,核心层和汇聚层通常采取冗余连接,这样可进一步提高网络的可用性。
(3)灵活、高效、可靠的广域网连接
在企业网络中,广域网应用更加多样化,一般要求边界路由器设备支持多种广域网接入方式,如:ISDN、DDN、FR和ATM等。并且支持几十个、上百个移动用户的远
9
青岛滨海学院网络工程专业毕业设计
程拨号访问,也就是要有远程访问服务器功能。
(4)可扩展性强
可扩展性方面主要是通过级联、堆栈、集群和功能模块来实现。 (5)系统安全,保密性高
因为这种规模的企业网络用户通常是需要与分支机构、合作伙伴等的广域网进行连接(如VPN连接),所以在安全性方面要求高。
2、网络组建基本原则 (1)先进性原则 (2)实用性原则 (3)可靠性原则 (4)经济性原则 (5)开放性原则 (6)可扩充性原则 (7)可管理性原则 (8)安全性原则 (9)易用性原则
2.2 背景分析
荣新IT培训中心——中国领先IT培训机构,它在北京总共有三处高端IT技术实训基地,分部位于北京教育考试院D座办公楼(总部)、西城区百万庄东口华云写字楼(分部1)、石景山区图书馆三层(分部2)。总计教学面积1200平米,同时在校人数400人左右。总部包括五个部门:财务部(8人)、教务部(8人)、教学部(15人)、咨询部(18人)、市场部(20人)。分部距离总部位置较远,两个分部布局相同,都包括三个部门:财务部(4人)、教务部(4人)、教学部(18人)。各部门作用:财务部是准确、及时、有效的核算培训中心经营情况,合理筹划资金的使用等;教学部负责老师招聘、培训管理,保证教育质量;教务部负责学生、老师排课,保证教学顺利进行;咨询部负责学员接待、咨询,促成成交,也会主动电话营销约访学员上门;市场部负责市场推广,提高培训机构的知名度,保证学员访量。
预计各部门信息接入点分布情况如表2-1 信息接入点分布表
表 2-1 信息接入点分布表
10
青岛滨海学院网络工程专业毕业设计
总部 部门 教学区 财务部 教务部 教学部 咨询部 市场部 信息点数(个) 240 8 8 15 18 20 80 4 4 18 80 4 4 18 预留节点 24 2 2 5 4 2 8 2 2 4 8 2 2 4 总计 350 分部1 教学区 财务部 教务部 教学部 122 分部2 教学区 财务部 教务部 教学部 122 总计 594 培训中心的总部和分部的各个部门均位于同大厦的不同办公室内,并且总部与分部相距较远,为了达到总部与分部的通信,并考虑到成本问题,初步考虑采用VPN隧道技术来实现总部与分部的通信。
2.3 需求分析
1.网络需求
该培训中心网络建设中的网络需求与大部分的企业网络需求是相同的,大体上有以下几点:
(1)满足企业信息化的要求,为各类应用系统提供方便、快捷的信息通路。 (2)良好的性能,能够支持大容量和实时性的各类应用。 (3)能够可靠地运行,较低的故障率和维护要求。 (4)提供安全机制,满足保护企业信息安全的要求。 (5)具有较高的性价比。 (6)用户使用简单、维护容易
(7)网络安全需求:中小企业的网络安全指的主要是对各服务器进行授权访问,对所有服务器进行并对防护,数据备份,对企业内部计算机进行统一式集中式的管理,
11
青岛滨海学院网络工程专业毕业设计
以及远程及移动用户对公司内部网络的安全访问等。
2.系统需求
系统的设计要求采用开放的技术和标准,选择主流的操作系统及应用软件,保障系统能够适应未来几年公司的业务发展需求,便于网络的扩展和企业的结构变更。
(1)易于配置:所有的客户端和服务器系统应该是易于配置和管理的,并保障客户端的方便使用。
(2)更广泛的设备支持:所有操作系统及选择的服务应金陵广泛地支持各种硬件设备。
(3)可管理性:系统中应提供尽量多的管理方式和管理工具,便于系统管理员在任何位置方便地对整个系统进行管理。
(4)安全性:在系统的设计、实现及应用上采用多种安全手段保障网络安全。 3.应用需求
WWW服务器:WWW服务器主要功能是提供网上信息浏览服务,是Internet目前发展最快和目前用的最广泛的服务。
FTP服务器:为了企业内部能够轻松进行文件数据交换,权限分配,FTP服务器是十分必要。
DNS服务器:计算机网络间的通信首先必须由DNS将域名解析为IP地址,为了公司内部网络之间能够通信,DNS为员工访问内部网络提供域名解析,同时也提高了网络访问速度和准确度。
邮件服务器:为了通信的安全、便捷,需要为企业架设一台邮件服务器。 DHCP服务器:DHCP指的是由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。
数据库服务器:企业内会有很多数据需要统一的管理,所以我们需要架设一台数据库服务器,用来统一管理培训中的的数据。
2.4 系统目标
首先,全面实现计算机资源共享:对于局域网中的各种资源,通过设置网络用户的共享权限,可以方便地使其无条件或有条件地成为网络共享资源(如计算机、光驱、各类软件和文本文件、打印机等设备),其中对打印机实现网络共享式实现计算机资源共享的重要内容。对于网络中已经提供共享服务的打印机,网络中的所有用户可以像使用
12
青岛滨海学院网络工程专业毕业设计
自己的打印机一样方便地实施打印操作。
其次,通信服务:用户可以收发邮件、实现Web应用、接入互联网、进行安全的广域网访问。
再次:对培训中心的网络进行统一管理。
最后:实现企业全部信息化、无纸化办公,改变传统工作方式,提高工作效率。
3 网络规划设计
3.1 网络拓扑规划设计
网络拓扑结构对整个网络系统的运行效率、技术性能的发挥、可靠性与费用等方面都有着重要的影响。确定网络拓扑结构是整个网络系统方案规划设计的基础。拓扑结构的选择和地理环境的分部、传输介质、介质访问控制方法,甚至网络设备选型等因素紧密相关。
计算机网络拓扑结构有很多种,主要有总线型拓扑、环形拓扑和星型拓扑。当前各种网络系统的建设中使用最多的是星型拓扑,星型拓扑是当网络中某个节点出现故障时不会影响整个网络的运行。
在本方案中,培训中心的总部和分部的各个部门主要集中在大厦内部,分为:财务部、教学部、教务部、咨询部、市场部等几个独立的部门。因为各个部门分部比较集中,在这种情况下,将网络拓扑结构确定为星型拓扑结构是比较合理的,整个企业网的架构采用三层交换结构,分为核心层、汇聚层和接入层。
(1)使用路由器接入Internet网络。
(2)采用具有三层交换功能的高性能交换机作为核心交换机。中心交换机配置为千兆,部分端口与几台中心服务器(IIS服务器、DNS服务器、DHCP服务器)相连接,另外部分端口用于连接汇聚层的交换机,端口一般配置双绞线端口。
(3)各部门子网按照部门来划分,VLAN的划分在汇聚层交换机上实现,共分为财务部、教学部、教务部、咨询部、市场部和教学区几个子网,考虑到企业实际情况,接入层采用普通交换机来连接各个部门的计算机。
整体的网络拓扑结构如下图3-1 整体网络拓扑图所示:
13
青岛滨海学院网络工程专业毕业设计
图 3-1 整体网络拓扑图
3.2 IP地址分配与VLAN划分
通过之前的网络需求分析,我们可以了解到,为了保证企业网络信息的安全,部门内需要保密的信息不能被网络中其它部门直接访问,希望通过技术手段,实现各个部门之间的隔离,但同时又需要保证分布在不同部的同一部门之间的网络能够相互连通,共享网络信息资源,这就需要用到对IP地址合理的规划和VLAN划分。
1.IP地址规划
企业办公网计划使用私有的C类IP地址。IP地址分配原则如下: (1)企业使用IPv4地址方案。
(2)企业使用子网划分技术分配IP地址空间。 (3)企业IP地址分配满足合理利用的要求。 (4)企业IP地址分配满足为了公司网络扩容的需要 使用规定:
(1)子网划分后,所有的第一个子网(0子网)都不分配给用户使用。 (2)网关的地址统一使用子网的最后一个可用地址。
根据以上知识,在3-1图所示的网络拓扑图中,对内部网络进行规划,方法是:企业的每个独立的部门划分为独立的子网,子网划分详情如表 3-1 子网划分所示:
14
青岛滨海学院网络工程专业毕业设计
表 3-1 子网划分
部门 教学区 财务部 教务部 教学部 咨询部 市场部 服务器群 子网地址 192.168.10.x 192.168.20.x 192.168.30.x 192.168.40.x 192.168.50.x 192.168.60.x 192.168.70.x 子网掩码 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 网关 192.168.10.254 192.168.20.254 192.168.30.254 192.168.40.254 192.168.50.254 192.168.60.254 192.168.70.254 核心层交换机同路由器接口连接的接口IP地址设置为:192.168.0.0/30。 总部接入路由器的串口IP地址设置为:202.116.10.2/24。 分部1接入路由器的串口IP地址设置为:202.116.20.2/24。 分部2接入路由器的串口IP地址设置为:202.116.30.2/24。
全网络各设备连接接口连接情况(如下表3-2 各设备接口连接情况表)和设备IP地址规划(如下表 3-3 设备IP地址规划表):
表3-2各设备接口连接情况表
设备 R1 接口 S0/0 F0/1 F0/2 R2 S0/0 F0/1 R3 S0/0 F0/1 SW1 F0/1 F0/2 F0/3 F0/4 SW2 SW3 SW4 F0/3 F0/4 F0/2 F0/3 F0/2 F0/3
连接设备及接口 外网 SW1(F0/5) SW2(F0/5) 外网 SW3(F0/1) 外网 SW4(F0/1) SW2(F0/1) SW2(F0/2) SW5(F0/1) SW6(F0/1) SW5(F0/2) SW6(F0/2) SW7(F0/1) SW8(F0/1) SW9(F0/1) SW10(F0/1) 15
青岛滨海学院网络工程专业毕业设计
表 3-3 设备IP地址规划表
路由器IP地址规划 设备 R1 接口 S0/0 F0/1 F0/2 R2 S0/0 F0/1 R3 S0/0 F0/1 IP地址 202.116.10.2/24 192.168.16.2/30 192.168.18.2/30 202.116.20.2/24 192.168.22.2/30 202.116.30.2/24 192.168.24.2/30 核心层交换机IP地址规划 设备 SW1 接口 F0/5 VLAN10 VLAN20 VLAN30 VLAN40 VLAN50 VLAN60 SW2 F0/5 VLAN10 VLAN20 VLAN30 VLNA40 VLAN50 VLAN60 SW3 F0/1 VLAN10 VLAN20 VLAN30 VLAN40 SW4 F0/1 VLAN10 VLAN20
描述 总部外网地址 连接汇聚层交换机 连接汇聚层交换机 分部外网地址 连接汇聚层交换机 分部外网地址 连接汇聚层交换机 IP地址 192.168.16.3/30 192.168.10.252/24 192.168.20.252/24 192.168.30.252/24 192.168.40.252/24 192.168.50.252/24 192.168.60.252/24 192.168.18.3/30 192.168.10.253/24 192.168.20.253/24 192.168.30.253/24 192.168.40.253/24 192.168.50.253/24 192.168.60.253/24 192.168.22.3/30 192.168.10.254/24 192.168.20.254/24 192.168.30.254/24 192.168.40.254/24 192.168.24.3/30 192.168.10.254/24 192.168.20.254/24 16
描述 连接路由器 VLAN的IP地址 连接路由器 VLAN的IP地址 连接路由器 教学区网关 财务部网关 教务部网关 教学部网关 连接路由器 教学区网关 财务部网关 青岛滨海学院网络工程专业毕业设计
VLAN30 VLAN40 192.168.30.254/24 192.168.40.254/24 教务部网关 教学部网关 2.VLAN划分
划分VLAN主要有四种方式,分别为基于端口划分的VLAN、基于MAC地址划分VLAN、基于网络层划分VLAN、根据IP组播划分的VLAN。本方案将以基于端口划分的方式实施。根据实际情况一个部门划分一个VLAN设计规划如下表3-2 VLAN划分表所示:
表3-2 VLAN划分表
部门 教学区 财务部 教务部 教学部 咨询部 市场部 服务器群 子网地址 192.168.10.x 192.168.20.x 192.168.30.x 192.168.40.x 192.168.50.x 192.168.60.x 192.168.70.x 子网掩码 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 网关 192.168.10.254 192.168.20.254 192.168.30.254 192.168.40.254 192.168.50.254 192.168.60.254 192.168.70.254 VLAN ID VLAN 10 VLAN 20 VLAN 30 VLAN 40 VLAN 50 VLAN 60 VLAN 70 3.2 网络设备选型
在确定网络的拓扑结构后,接下来就是选择网络硬件设备。这是网络设计的又一个关键环节,因为网络硬件设备的性能决定了网络系统的稳定性、可靠性等。在选择网络硬件设备时还要考虑用户的承受力,在选择设备时一定要以实用性为原则,千万不要盲目追求档次。网络硬件设备主要包括网络的传输介质、接入设备和服务器。
1.传输介质
传输介质,也就是网络的通信线路。对于固定的工作站点,一般考虑有线通信线路,对于远程的、频繁移动或临时使用的站点,可以考虑无线通信。有线网络通信线路的选择必须考虑网络的性能、价格、使用规则、安装的容易性、可扩展性及其他一些因素,目前在有线通信线路上使用的传输介质有双绞线、光纤(这三种传输介质在第一章中也有介绍)。
在本次网络系统设计中,是属于一个中小企业的局域网组建,并且总部和分部中的各个部门均比较集中分部,所以在局域网内部选用超五类双绞线,在接入路由器与核心
17
青岛滨海学院网络工程专业毕业设计
交换机连接使用室内单模光纤,达到主干网千兆传输的目的。
2.接入设备
网络接入设备连接计算机与计算机或连接工作站与服务器,包括传输介质连接设备(如连接双绞线的RJ-45头和RJ-45接口)、网络适配器(俗称网卡)、路由器、交换机等。
选择网络接入设备时要充分考虑用户数据流量、工作站点与服务器的距离等。如中心交换机应有一定的剩余端口,留作以后扩充时使用或者网络出现局部故障时应急使用。交换机本身应当有一定的空余槽位,以便于以后扩展。
根据需求,路由器和中心交换机相连接,中心交换机和各楼层的普通交换机构建1000Mbps主干交换,各楼层的普通交换机到各部门办公室构建10/100Mbps桌面交换。
(1)交换机
本着实用性原则,在总部需要1000Mbps的核心交换机2个,100Mbps可网管交换机2个,在分部需要1000Mbps的核心交换机1个,100Mbps可网管交换机2个。这样就可以实现了企业网所有工作站点100Mbps全交换和中心主干的1000Mbps交换。
核心层交换机负担着网络内部的大量通信以及各个部门之间的连接,还要为中心服务器群提供高性能的连接。此外,还提供与Internet之间的通信。因此,其带宽和性能的要求非常高。所以,核心层交换机选用思科3750系列的交换机。对于中型组织和企业分支机构而言,思科3750系列可以通过提供配置灵活性,支持融合网络模式,已经自动配置智能化网络服务,降低融合应用的部署难度,适应不断变化的业务需求。
汇聚层交换机可以考虑选用全球网络设备知名品牌思科的产品且在总小企业使用较多具有较高性价比的2960可网管交换机。WS-C2960-24TT-L是思科推出的一款24口智能以太网交换机,适用于入门级企业、中型市场和分支机构网络。WS-C2960-24TT-L提供24个10/100以太网端口,2个10/100/1000固定以太网上行链路端口和1机架单元(RU) 。Cisco Catalyst 2960系列交换机的双介质上行链路端口提供了千兆以太网上行链路灵活性,可以使用铜缆或光纤上行链路端口。
接入层交换机可以考虑使用思科WS-C2918-24TC-C2918系列交换机,它是是面向中国市场中小规模网络部署的入门级固定配置交换机。性能参数有:端口数量26个,包转发率是6.5Mpps,传输速率是10/100Mbps,背板带宽是16Gbps,支持VLAN.Catalyst 2918采用简体中文的设备面板和图形化界面,以特优的性价比,为入门级配线间和小型分支机构提供桌面快速以太网和千兆上行网络连接。Cisco Catalyst 2918 系列通过提供
18
青岛滨海学院网络工程专业毕业设计
完备的入门级安全策略、服务质量(QoS)和可用性功能,降低了企业网络总体拥有成本。该系列交换机还为中国企业用户提供了从非智能集线器和不可管理的交换机向便于扩展的可管理网络迁移的简便的途径。
(2)路由器
思科2811是一款面向中小型企业用户推出的企业级路由。它具有良好的连接性能和完善的防护功能。它支持IEEE 802.3X网络协议以及SNMP网管协议,同时还配备Cisco ClickStart网管软件,支持VPN-虚拟专用网,以及QoS,协议方面支持比较完善;并采用了Motorola MPC860 160MHz的处理器,配备最大256MB的Flash闪存和最大760MB的DRAM内存。接口方面,思科2811路由器配有2个10/100Mbps固定局域网接口,广域网接口方面,配有可选的广域接口WIC卡。此外还拥有4个HWIC插槽、1个NM插槽和1个Console控制端口。另外该机内置了防火墙,并支持UL
60950:CAN/CSA C22.2 No. 60950、IEC 60950、EN 60950-1、AS/NZS 60950等众多安全标准,为企业用户提供更安全的网络服务。所以,我们选择使用思科2811系列的路由器作为接入路由器。由于本路由器有2个10/100Mbps固定局域网接口用于连接内网,但是它没有用于连接Internet的接口,所以我们要在NM插槽里插入一个串口模块来实现局域网的千兆接入Internet,根据要求可选购CISCO NM-4A/S扩展模块,它是广域网4端口异步/同步串行网络模块。
3.选择服务器
服务器是网络的核心,一般分为文件服务器、打印进服务器、Web服务器、数据库服务器、电子邮件服务器等。根据网络系统的规模、用户的应用需求选择服务器。
SUN服务器和HP服务器或者国产的联想、浪潮服务器都有很好的开放性和互联性,可以作为服务器硬件的选择。
在主机系统建设中,选用Windows服务器作为服务器,为用户提供友好的界面。 4.网络软件系统的选择
选择网络软件系统主要是确定哪种网络操作系统、使用哪种网络通信协议。网络操作系统主要由UNIX、Novell公司的Netware、Windows XP/Server 2003/Server2008/7以及Linux。
选择网络操作系统时首先应根据应用目的、具体的应用情况(包括安全性、稳定性、可靠性和以后网络升级的需要等)来选择,然后考虑网络操作系统的性能、安全性、稳定性、可靠性以及易用性等。网络通信协议一般选用TCP/IP协议。
19
青岛滨海学院网络工程专业毕业设计
对于服务器操作系统可同时使用Windows Server 2008系统。Windows Server 2008系统易用,对用户只需短期培训即实现管理和维护。
4 综合布线组成与设计
根据统计,在局域网所出现的网络故障中,有75%以上都是由网络传输介质引起的。因此,解决好网络布线问题将对提高网络系统的可靠性起到至关重要的作用。在信息社会中,一座现代化的大楼内除了有电话、传真、空调、消防、动力电线、电视闭路光纤外,计算机网络通信线路是必不可伤的。布线系统的对象是建筑或楼宇内的传输网络,使语音和数据通信设备、交换设备和其它信息管理系统彼此相连,也能使用这些设备与外部通信网络连接。大约在20世纪80年代末发展起来的综合布线是一个用于语音、数据、影像和其它信息技术的标准结构化布线系统,主要使用双绞线、光缆作为传输媒体。
综合布线系统应为开放式的网络拓扑结构,应能支持语音、数据、图像、多媒体业务等信息的传递。根据国际标准EIA/TIA568A的规定,综合布线系统一般划分为七个子系统:工作区子系统、配线子系统、干线子系统、设备间子系统、管理子系统、建筑群子系统、进线间。综合布线系统应采用开放式星型拓扑结构,该结构下的每个分支子系统都是相对独立的单元,对每个分支单元系统改动都不影响其他子系统。在本次毕业设计中,是为一个培训中心做局域网组建做布线系统,培训中心一共有三个部,一个总部和两个分部,总部与分部之间由于距离较远,所以总部与分部之间走公网,无需我们考虑组织布线。综合布线的重点是在局域网内部,在本案例中,以总部的综合布线为例来介绍整个培训中心网络综合布线的组成与设计。
荣新IT培训中心的总部位于白石桥东的方圆大厦,主要占有方圆大厦的五楼和六楼两层楼,总部主要有12个班级和5个办公室,其中有10个班级位于五楼、2个班级和5个办公室位于六楼。本设计的布线系统包括5个子系统:即工作区子系统、水平子系统、设备间子系统、垂直子系统以及管理间子系统。综合布线系统的结构简图如图 4-1 综合布线系统图所示:
20
青岛滨海学院网络工程专业毕业设计
图 4-1 综合布线系统图
1.工作区子系统
工作区是指从信息出口到终端设备之间所包括的各种布线设备,本次设计工作区子系统由终端设备到信息插座的连线和信息插座组成。在相应的教学区或办公区的墙面安装信息插座,每个信息插座都是标准的8芯、RJ45模块化超五类插座,不同型号的电脑和终端以及电话等通过RJ45跳线和RJ11跳线可方便地连接到通信插座上。
五楼和六楼的楼层平面布置图如:4-2 五楼平面布置图和4-3 六楼平面布置图所示:
图4-2 五楼平面布置图
21
青岛滨海学院网络工程专业毕业设计
图4-2 五楼平面布置图
五楼信息点数量200个、RJ45数量需要400个,六楼信息点109个、RJ45数量需要218个。分部RJ45数量需要244个。本方案所需RJ45数量约为500个。
2.水平干线子系统
水平子系统是指为连接工作区信息出口与管理区子系统而水平敷设的线缆。在本设计中,根据TIA/EIA568-A 的水平线独立应用原则,水平子系统采用AVAYA超5类4对(UTP)线缆,完全支持将来千兆以太网的应用。采用吊顶内线槽和支管方式。线槽采用在吊顶内以悬挂的方式安装,水平桥架由配线间引出沿走廊或房间吊顶贯穿整个建筑物,线缆沿水平桥架至房间分支点,并通过一段预埋的钢管引至信息点安装位置。在设计安装水平线槽时,将线槽放在走廊的吊顶内,并且让引至各房间的支管集中在走廊,这样便于水平线缆的安装。走廊处于整个建筑楼层的中间位置,布线的平均距离最短,并避免水平桥架进入房间,这样可以节约费用降低成本。
一层的最长线缆约为60m,最短线缆约为10米,所以每个信息点线缆的用量的平均长度:0.55*(50+10)+6=39m。所以一箱为305米的双绞线可做7根线缆,所以总部所需双绞线的箱数为50箱,分部所需双绞线的箱数为18*2=36箱。本次方案所需的双绞线箱数为86箱。
3.设备间子系统
设备间子系统由主配线机柜中的电缆、连接模块和相关支撑硬件组成,它把中心机房中的公共设备与管理间子系统的设备互连,从而为用户提供相应的服务。本方案中将设备间设置在五楼,放置接入层交换机、并实现与六楼公共机房的网络设备的互联。
4.垂直干线子系统
垂直子系统是用来连接设备间和管理区子系统之间的线缆,是整个布线系统的主
22
青岛滨海学院网络工程专业毕业设计
干。采用光纤作为主干传输介质具有:支持距离长,频带宽、通信容量大、不受电磁干扰和静电干扰的影响;在同一根光缆中,具有邻近各根光纤之间没有串扰、保密性好、线径细、体积小、重量轻、衰耗小、误码率低等优点,大大提高网络可靠性,同时使系统具备极高的升级能力,可支持目前及将来最先进的网络技术如FDDI、ATM,100BaseT及1000Base-T等。采用垂直线槽安装方式,这种方式可以有效的保护垂直干线电缆。
5 网络组建与配置
5.1 部门网络组建
在办公室环境下,由网络带来了Windows网上邻居资源共享的便捷。但是仅仅局限于同一办公室的较小范围内应用,无法解决企业内部多部门间的网络连接与访问问题,更无法与Internet相连接。在本部分主要的任务是解决同楼层中不同办公部门的网络安全的连接,不同部中相同办公部门的网络共享。主要的实现技术有VLAN和TRUNK,我们通过可网管交换机来实现。
普通的交换机仅仅起到网络节点连接的作用,此类交换机不具备网络管理功能,可网管交换机就是可以被管理,一般具有端口监控、划分VLAN等许多普通交换机不具备的特性。根据实际的需求我们选用的是Cisco2960可网管交换机,来实现不同部门的网络连接和VLAN的划分。该交换机有CONSOLE口即控制台,通过它使用串口线缆把交换机和计算机连接起来,在Windows下一般可以通过三种方式进行配置管理:超级终端、Web浏览器、网络管理软件。
以总部为例,实现企业部门网络组建,网络拓扑如下图:图5-1 总部拓扑图
23
青岛滨海学院网络工程专业毕业设计
图 5-1 总部拓扑图
1.VLAN配置
根据部门,每一个部门划分为一个VLAN,配置如下: 2960>enable
//进入进入特权模式
2960#configure terminal 2960(config)#hostname SW5 SW5(config)#exit SW5#vlan database SW5(vlan)#vlan10 SW5(vlan)#vlan 50 SW5(vlan)#vlan 60 SW5(vlan)#exit SW5#configure terminal
SW5(config)#interface range fastethernet 0/1-8 SW5(config-if-range)#switchport mode access SW(config-if-range)#switchport access vlan 10 SW5(config)#interface range fastethernet 0/9-16 SW5(config-if-range)#switchport mode access SW5(config-if-range)#switchport access vlan 50 SW5(config)#interface range fastethernet 0/17-24 SW5(config-if-range)#switchport mode access
//创建教学区VLAN 10 //创建市场部VLAN 50 //创建咨询部VLAN 60
24
青岛滨海学院网络工程专业毕业设计
SW5(config-if-range)#switchport access vlan 60 SW5#show vlan
2960>enable
//进入进入特权模式
//查看VLAN配置
2960#configure terminal 2960(config)#hostname SW6 SW6(config)#exit SW6#vlan database SW6(vlan)#vlan 20 SW5(vlan)#vlan 30 SW6(vlan)#vlan 40 SW6(vlan)#exit SW6#configure terminal
SW6(config)#interface range fastethernet 0/1-8 SW6(config-if)#switchport mode access SW6(config-if)#switchport access vlan 20 SW6(config)#interface range fastethernet 0/9-16 SW6(config-if)#switchport mode access SW6(config-if)#switchport access vlan 30 SW6(config)#interface range fastethernet 0/17-24 SW6(config-if)#switchport mode access SW6(config-if)#switchport access vlan 40 SW6#show vlan
2960>enable
//进入进入特权模式
//查看VLAN配置
//创建财务部VLAN 20 //创建教务部VLAN 30 //创建教学部VLAN 40
2960#configure terminal 2960(config)#hostname SW11 SW11(config)#exit SW11#vlan 70
//创建财务部VLAN 70
SW11#configure terminal
SW11(config)#interface range fastethernet 0/1-20 SW11(config-if)#switchport mode access SW11(config-if)#switchport access vlan 70
25
青岛滨海学院网络工程专业毕业设计
SW11#show vlan
2.TRUNK配置
//查看VLAN配置
TRUNK是一种封装技术,在TRUNK干道上可以传输不通VLAN的数据。为了实现不同部门即不同VLAN上的数据的传输,我们使用TRUNK技术。实现配置如下:
SW5#conf ter
SW5(config)#interface range fastethernet 0/1-2 SW5(config-if)#switchport mode trunk
SW6#conf ter
SW6(config)#interface range fastethernet 0/1-2 SW6(config-if)#switchport mode trunk
SW11#conf ter
SW11(config)#interface range fastethernet 0/1-2 SW11(config-if)#switchport mode trunk
5.2 核心网络组建
汇聚层可网管交换机实现了企业各部门网络内部的网络访问,企业是由各部门有机组成的整体,出于企业运营、管理的要求,在企业内部各部门之间需要实现网络的互联,由于VLAN与各部门使用不同网络地址的原因,要实现企业内各部门网络的互联必须在网络层才能实现,这就需要由企业核心网络的构建来实现,构建企业核心网络的关键就是具有网络层路由功能的核心交换机的正确应用。核心交换机处于承上启下的核心位置,负责公司内部网络的所有数据交换的任务。从本质上来说,核心交换机还是一个交换机,但是集成了网络层应用的部分功能,最主要的是路由功能,由硬件结合实现数据的高速转发,可实现一次路由,多次转发,充分满足了局域网内部不同网络高速互联的要求。核心拓扑图如下图5-2 核心网络拓扑图所示:
26
青岛滨海学院网络工程专业毕业设计
图5-2 核心网络拓扑图
1.核心交换机的基本配置
本培训中心的核心交换机选用的是Cisco 3750的三层交换机,它的配置管理与可网管交换机相同也可采用“超级终端”、“Web浏览器”、“网络管理软件”这三种方式,核心交换机的基本配置主要包含了二层交换机的相关功能,主要包括VLAN的划分和TRUNK。
(1)划分VLAN 3750>enable
//进入进入特权模式
3750#configure terminal 3750 (config)#hostname SW1 SW1(config)#exit SW1#vlan database SW1(vlan)#vlan 10 SW1(vlan)#vlan 20 SW1(vlan)#vlan 30 SW1(vlan)#vlan 40 SW1(vlan)#vlan 50 SW1(vlan)#vlan 60 SW1(vlan)#vlan 70
//创建教学区VLAN 10 //创建教学区VLAN 20 //创建教学区VLAN 30 //创建教学区VLAN 40 //创建市场部VLAN 50 //创建咨询部VLAN 60 //创建咨询部VLAN 70
27
青岛滨海学院网络工程专业毕业设计
3750>enable
//进入进入特权模式
3750#configure terminal 3750 (config)#hostname SW2 SW2(config)#exit SW2#vlan database SW2(vlan)#vlan 10 SW2(vlan)#vlan 20 SW2(vlan)#vlan 30 SW2(vlan)#vlan 40 SW2(vlan)#vlan 50 SW2(vlan)#vlan 60 SW2(vlan)#vlan 70
(2)设置TRUNK和链路聚合(捆绑)
在设置TRUNK模式时,二层交换机只支持802.1q封装,而三层交换机及以上系列支持802.1q和dot1q封装,在三层交换机设置模式时要先确定封装模式才可设置。
3750>enable
3750#configure terminal 3750(config)#hostname SW1
SW1(config)#interface range fastethernet 0/1-4
SW1(config-if-range)#switchport trunk encapsulation dot1q SW1(config-if-range)#switchport mode trunk SW1(config)#interface fastethernet 0/6
SW1(config-if)#switchport trunk encapsulation dot1q SW1(config-if)#switchport mode trunk
SW1(config-if)#interface range fastethernet 0/1-2 SW1(config-if)#channel-group 1 mode on
3750>enable
3750#configure terminal 3750(config)#hostname SW2
SW2(config)#interface range fastethernet 0/1-4
//创建教学区VLAN 10 //创建教学区VLAN 20 //创建教学区VLAN 30 //创建教学区VLAN 40 //创建市场部VLAN 50 //创建咨询部VLAN 60 //创建咨询部VLAN 70
28
青岛滨海学院网络工程专业毕业设计
SW2(config-if)#switchport trunk encapsulation dot1q SW2(config-if)#switchport mode trunk SW2(config)#interface fastethernet 0/6
SW2(config-if)#switchport trunk encapsulation dot1q SW2(config-if)#switchport mode trunk
SW2(config-if)#interface range fastethernet 0/1-2 SW2(config-if)#channel-group 1 mode on 生成树协议实现
为了实现VLAN的负载均衡,可以在三层交换机上利用生成树协议定义主辅根网桥,让不同 VLAN数据流优先选择不同交换机传输,实现负责均衡。将SW1配置为VLAN10,VLAN20和VLAN30的根网桥,SW2配置成VLAN40,VLAN50,VLAN60,VLAN70的根网桥。
SW1(config)#spanning-tree vlan 10 root primary SW1(config)#spanning-tree vlan 20 root primary SW1(config)#spanning-tree vlan 30 root primary SW1(config)#spanning-tree vlan 40 root secondary SW1(config)#spanning-tree vlan 50 root secondary SW1(config)#spanning-tree vlan 60 root secondary SW1(config)#spanning-tree vlan 70 root secondary SW2(config)#spanning-tree vlan 10 root primary SW2(config)#spanning-tree vlan 20 root primary SW2(config)#spanning-tree vlan 30 root primary SW2(config)#spanning-tree vlan 40 root secondary SW2(config)#spanning-tree vlan 50 root secondary SW2(config)#spanning-tree vlan 60 root secondary SW2(config)#spanning-tree vlan 70 root secondary 2.核心交换机的路由配置
核心交换机也具备单臂路由功能,实现是在核心交换机上为各个VLAN设置IP地址作为不同VLAN的网关,为了使得网络更加的稳定,使用的HSRP热备份路由,实现路由网关的冗余备份。所以可以结合单臂路由和HSRP来使得网络更加的稳定。由于考虑到本网络并不是大型的企业网络,所以我们选用比较简单的RIP来做动态路由。
(1)单臂路由结合HSRP SW1(config)#ip routing
29
青岛滨海学院网络工程专业毕业设计
SW1(config)#interface vlan 10
SW1(config-if)#ip address 192.168.10.252 255.255.255.0 SW1(config-if)#no shutdown SW1(config)#interface vlan 20
SW1(config-if)#ip address 192.168.20.252 255.255.255.0 SW1(config-if)#no shutdown SW1(config)#interface vlan 30
SW1(config-if)#ip address 192.168.30.252 255.255.255.0 SW1(config-if)#no shutdown SW1(config)#interface vlan 40
SW1(config-if)#ip address 192.168.40.252 255.255.255.0 SW1(config-if)#no shutdown SW1(config)#interface vlan 50
SW1(config-if)#ip address 192.168.50.252 255.255.255.0 SW1(config-if)#no shutdown SW1(config)#interface vlan 60
SW1(config-if)#ip address 192.168.60.252 255.255.255.0 SW1(config-if)#no shutdown SW1(config)#interface vlan 70
SW1(config-if)#ip address 192.168.70.252 255.255.255.0 SW1(config-if)#no shutdown SW2(config)#ip routing SW2(config)#interface vlan 10
SW2(config-if)#ip address 192.168.10.253 255.255.255.0 SW2(config-if)#no shutdown SW2(config)#interface vlan 20
SW2(config-if)#ip address 192.168.20.253 255.255.255.0 SW2(config-if)#no shutdown SW2(config)#interface vlan 30
SW2(config-if)#ip address 192.168.30.253 255.255.255.0 SW2(config-if)#no shutdown SW2(config)#interface vlan 40
SW2(config-if)#ip address 192.168.40.253 255.255.255.0 SW2(config-if)#no shutdown
30
青岛滨海学院网络工程专业毕业设计
SW2(config)#interface vlan 50
SW2(config-if)#ip address 192.168.50.253 255.255.255.0 SW2(config-if)#no shutdown SW2(config)#interface vlan 60
SW2(config-if)#ip address 192.168.60.253 255.255.255.0 SW2(config-if)#no shutdown SW2(config)#interface vlan 70
SW2(config-if)#ip address 192.168.70.253 255.255.255.0 SW2(config-if)#no shutdown
SW1(config)#interface vlan 10
SW1(config-if)#standby 10 ip 192.168.10.254 //定义10组的浮动地址,也是VLAN10的网关
SW1(config-if)#standby 10 preempt //定义10组的hsrp的抢占功能
SW1(config-if)#standby 10 priority 120 //定义10组的主路由器的权值,值越大,为主路由器的希望越大,默认值为100,在这里主路由设置权值为120,辅路由默认权值,并且均可被抢占。
SW1(config)#interface vlan 20
SW1(config-if)#standby 10 ip 192.168.20.254 //定义20组的浮动地址,也是VLAN20的网关
SW1(config-if)#standby 20 preempt //定义20组的hsrp的抢占功能 SW1(config-if)#standby 20 priority 120 SW1(config)#interface vlan 30
SW1(config-if)#standby 30 ip 192.168.30.254 //定义30组的浮动地址,也是VLAN30的网关
SW1(config-if)#standby 30 preempt //定义30组的hsrp的抢占功能 SW1(config-if)#standby 30 priority 120 SW1(config)#interface vlan 40
SW1(config-if)#standby 40 ip 192.168.40.254 //定义40组的浮动地址,也是VLAN40的网关
SW1(config-if)#standby 40 preempt //定义40组的hsrp的抢占功能 SW1(config)#interface vlan 50
31
青岛滨海学院网络工程专业毕业设计
SW1(config-if)#standby 50 ip 192.168.50.254 //定义50组的浮动地址,也是VLAN50的网关
SW1(config-if)#standby 50 preempt //定义50组的hsrp的抢占功能 SW1(config)#interface vlan 60
SW1(config-if)#standby 60 ip 192.168.60.254 //定义60组的浮动地址,也是VLAN60的网关
SW1(config-if)#standby 60 preempt //定义60组的hsrp的抢占功能 SW1(config)#interface vlan 70
SW1(config-if)#standby 70 ip 192.168.70.254 //定义70组的浮动地址,也是VLAN70的网关
SW1(config-if)#standby 70 preempt //定义70组的hsrp的抢占功能 SW1#show standby brief
SW2(config)#interface vlan 10
SW2(config-if)#standby 10 ip 192.168.10.254 //定义10组的浮动地址,也是VLAN10的网关
SW2(config-if)#standby 10 preempt //定义10组的hsrp的抢占功能 SW2(config)#interface vlan 20
SW2(config-if)#standby 20 ip 192.168.20.254 //定义20组的浮动地址,也是VLAN20的网关
SW2(config-if)#standby 20 preempt //定义20组的hsrp的抢占功能 SW2(config)#interface vlan 30
SW2(config-if)#standby 30 ip 192.168.30.254 //定义30组的浮动地址,也是VLAN130的网关
SW2(config-if)#standby 30 preempt //定义30组的hsrp的抢占功能 SW2(config)#interface vlan 40
SW2(config-if)#standby 40 ip 192.168.40.254 //定义40组的浮动地址,也是VLAN40的网关
SW2(config-if)#standby 40 preempt //定义40组的hsrp的抢占功能 SW2(config-if)#standby 40 pri 120 //定义40组的权值为120 SW2(config)#interface vlan 50
//查看hsrp的配置
32
青岛滨海学院网络工程专业毕业设计
SW2(config-if)#standby 50 ip 192.168.50.254 //定义50组的浮动地址,也是VLAN50的网关
SW2(config-if)#standby 50 preempt //定义50组的hsrp的抢占功能 SW2(config-if)#standby 50 pri 120 //定义50组的权值为120 SW2(config)#interface vlan 60
SW2(config-if)#standby 60 ip 192.168.60.254 //定义60组的浮动地址,也是VLAN60的网关
SW2(config-if)#standby 60 preempt //定义60组的hsrp的抢占功能 SW2(config-if)#standby 60 pri 120 //定义60组的权值为120 SW2(config)#interface vlan 70
SW2(config-if)#standby 70 ip 192.168.70.254 //定义70组的浮动地址,也是VLAN70的网关
SW2(config-if)#standby 70 preempt //定义70组的hsrp的抢占功能 SW2(config-if)#standby 70 pri 120 //定义70组的权值为120 SW2#show standby brief
(2)RIP
SW1(config)#int f 0/5 SW1(config-if)#no switchport
//配置为非二层模式,可为端口配IP地址
//查看hsrp的配置
SW1(config-if)#ip address 192.168.16.3 255.255.255.240 SW1(config-if)#no shutdown SW1(config)#router rip
//配置rip
//设置rip版本为v2
SW1(config-router)#version 2
SW1(config-router)#network 192.168.10.0 //创建路由表,申明教学区 SW1(config-router)#network 192.168.20.0 //创建路由表,申明财务部 SW1(config-router)#network 192.168.30.0 //创建路由表,申明教务部 SW1(config-router)#network 192.168.40.0 //创建路由表,申明教学部 SW1(config-router)#network 192.168.50.0 //创建路由表,申明咨询部 SW1(config-router)#network 192.168.60.0 //创建路由表,申明市场部 SW1(config-router)#network 192.168.70.0 //创建路由表,申明服务器群
SW1(config-router)#network 192.168.16.0 //创建路由表,申明连接路由器的网段
33
青岛滨海学院网络工程专业毕业设计
SW1#show ip route SW2(config)#int f 0/5
//查看路由表
SW2(config-if)#no switchport //配置为非二层模式,可为端口配IP地址
SW2(config-if)#ip address 192.168.18.3 255.255.255.240 SW2(config-if)#no shutdown SW2(config)#router rip
//配置rip
//设置rip版本为v2
SW2(config-router)#version 2
SW2(config-router)#network 192.168.10.0 //创建路由表,申明教学区 SW2(config-router)#network 192.168.20.0 //创建路由表,申明财务部 SW2(config-router)#network 192.168.30.0 //创建路由表,申明教务部 SW2(config-router)#network 192.168.40.0 //创建路由表,申明教学部 SW2(config-router)#network 192.168.50.0 //创建路由表,申明咨询部 SW2(config-router)#network 192.168.60.0 //创建路由表,申明市场部 SW2(config-router)#network 192.168.70.0 //创建路由表,申明服务器群
SW2(config-router)#network 192.168.18.0 //创建路由表,申明连接路由器的网段 SW2#show ip route
3、接入路由器的基本配置
路由器与外网相连接的接口为s0/0,内网中的数据全部都通过接入路由器的一个外网接口传输到外网,所以在接入路由器上只需要设置一个默认路由即可。
2811>enable
2811#configure terminal 2811(config)#hostname R1 R1(config)#interface serial 0/0
R1(config-if)#ip add 202.116.10.2 255.255.255.0 R1(config-if)#no shutdown R1(config)#interface f0/1
R1(config-if)#ip add 192.168.16.2 255.255.255.240 R1(config-if)#no shutdown R1(config)#interface f0/2
R1(config-if)#ip add 192.168.18.2 255.255.255.240 R1(config-if)#no shutdown
//查看路由表
34
青岛滨海学院网络工程专业毕业设计
R1(config)#ip route 0.0.0.0 0.0.0.0 s0/0 //设置默认路由
5.3 网络Internet接入
培训中心内网组建完成后最后一步就是要接入Internet,网络接入Internet要有两个问题要解决就是内外网地址的转换和内网的安全可控。解决内外网的地址转换我们可以使用NAT技术,解决内网的安全可控我们可以使用ACL访问控制列表来实现,在中小企业中高效率、低成本的NAT技术是使用端口复用的方式来实现。例如,有要求除财务部之外都可访问Internet,同时禁止教学区的学员在上课期间使用QQ聊天,我们可以结合NAT技术和ACL来实现。接入路由器使用的是思科的路由器,它的基本配置流程为:(1)创建NAT所需要的ACL;(2)建立NAT地址池(确定转换所用的公网地址);(3)将ACL与NAT地址池结合在一起,特别注意添加overload参数,标志端口复用;(4)分别将NAT应用到路由器的内外网端口。
培训中心每个部接入到Internet之后,要求总部和分部数据能够相互通信,整个培训中心组建成一个大的网络,这就需要使用的VPN技术来实现。
1.NAT与ACL技术配置 R1#config terminal
R1(config)#access-list 101 deny ip 192.168.20.0 0.0.0.255 any //配置扩展ACL,ACL编号为101,禁止财务部连接外网 R1(config)#access-list 101 permit ip any any
//配置扩展ACL,ACL编号为101,其它都允许连接外网
R1(config)#ip nat pool publicIP-pool 202.116.10.2 202.116.10.2 netmask 255.255.255.0 //定义转换公网地址池,名称为publicIP-pool,ISP每个部仅提供一个公网地址,总部公网地址为202.116.10.2
R1(config)#ip nat inside source list 101 pool publicIP-pool overload //将定义的ACL与地址池结合在一起 R1(config)#time-range no-QQ //创建名称为no-QQ的时间段
R1(config-time-range)#periodic weekdays 9:00 to 17:00 //定义时间段时间为上课时间(周一至周五的9:00-17:00)
R1(config)#access-list 102 deny tcp 192.168.10.0 0.0.0.255 any eq 4000 time-range no-QQ
35
青岛滨海学院网络工程专业毕业设计
//配置扩展ACL,ACL编号为102,禁止学员上课时间使用QQ,tcp4000端口是用于大家经常使用的QQ聊天工具的,再细说就是为QQ客户端开放的端口,QQ服务端使用的端口是8000。
R1(config)#access-list 102 permit ip any any
//配置扩展ACL,ACL编号为102,其它都允许使用QQ R1(config)#interface serial 0/0 //进入外网端口s0/0 R1(config-if)#ip nat outside //启用外网NAT
R1(config-if)#ip access-group 102 out
//配置扩展ACL 102的访问控制列表,out表示在端口出的方向上起作用 R1(config)#interface range fa 0/1-2 //进入内网端口F0/1和F0/2 R1(config-if)#ip nat inside //启用内网NAT 2.VPN
VPN实现网络拓扑简图如下图:5-3 VPN实现拓扑图所示。
图 5-3 VPN实现拓扑图
R1——总部接入路由器;R2——分部1接入路由器;R3——分部3接入路由器 R1(config)#int tunnel 1
//定义R1与R2之间隧道,R1隧道口tunnel1
36
青岛滨海学院网络工程专业毕业设计
R1(config-if)#tunnel source 202.116.10.2 R1(config-if)#tunnel dest 202.116.20.2
R1(config-if)#ip add 192.168.80.1 255.255.255.0 R2(config)#int tunnel 2
//定义R1与R2之间隧道,R2隧道口tunnel2 R2(config-if)#tunnel source 202.116.20.2 R2(config-if)#tunnel dest 202.116.10.2
R2(config-if)#ip add 192.168.80.2 255.255.255.0 R1(config)#int tunnel 3
//定义R1与R3之间隧道,R1隧道口tunnel3 R1(config-if)#tunnel source 202.116.10.2 R1(config-if)#tunnel dest 202.116.30.2
R1(config-if)#ip add 192.168.90.1 255.255.255.0 R2(config)#int tunnel 4
//定义R1与R3之间隧道,R3隧道口tunnel4 R2(config-if)#tunnel source 202.116.30.2 R2(config-if)#tunnel dest 202.116.10.2
R2(config-if)#ip add 192.168.90.2 255.255.255.0
5.4 网络服务管理
在前面已经完成了企业内部多部门的网络连接与访问,并且实现了Internet相连接和培训中心总部和分部的连接,简单的来说,企业内部的网络链路已经全部打通,内部与外部的网络也已经全部打通,但是要实现为培训中心提供相应的网络服务,还需要有网络操作系统来实现。现在,中小企业已经普遍使用网络操作系统Windows Server 2008来提供提供相应的服务。
企业相应的信息(包括网络办公等相应的系统)如何通过Windows信息服务发布到网络上去,企业共享的资源如何实现安全的、权限分明的访问,这就需要IIS服务器来解决。IIS是一种Web(网页)服务组件,其中包括Web服务器、FTP服务器、NNTP服务器(新闻服务器)和SMTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发布等方面,它使得在网络(包括互联网和局域网)上发布信息成了一件很容易的事。
对于网络操作不熟练的员工如何使其快速正确设置好相应的网络参数,如IP地址、子网掩码、默认网关等,避免经常发生IP地址冲突,从而影响网络的正常使用,这就
37
青岛滨海学院网络工程专业毕业设计
需要DHCP服务器来解决。对于基于TCP/IP协议的局域网,IP地址的管理方式主要有静态分配方式和动态分配,还可以根据需要将两种方式结合使用,即混合分配方式。在本设计中采用混合式的分配方式,固定用户采用静态分配IP地址,而对于需要临时接入网络的用户采用动态分配IP地址。
员工内部员工如何方便访问企业内部(如财务部、市场部、咨询部、教务部等)服务,这就需要DNS服务器来实现。实际应用中IP地址不容易记忆,为了便于用户记忆,Internet上引进了域名系统(Domain Name System,DNS)。当输入某个域名的时候,这个信息首先到达提供此域名解析的服务器上,再将此域名解析为相应网站的IP地址。企业内部的域名通过内部DNS服务器解析,而该DNS服务器不能解析的域名则指向它的上一级DNS服务器解析。默认情况下,Windows Server 2008系统中没有安装DNS服务器,可以通过管理工具查看系统是否安装过DNS服务器。
5.5 网络安全管理
网络安全是保障企业网络正常运行的基本条件,是在组件与管理企业网络中必须重视、无法回避的关键之一。为了保障网络安全,我们选择使用防火墙和杀毒软件相结合,一个主外一个主内,实现企业网络安全正常稳定的运行。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。Windows防火墙又称ICP(Internet Connection Firewall),已经具备个人防火墙的基本功能,它是一种能够阻截所有传入的未经请求的流量的状态防火墙,这有助于使得计算机更加安全,使得用户可以更好的控制计算机上的数据。Windows防火墙用的全状态数据包检测技术会把所有由本机发起的网络连接生成一张表,并用这张表与所有的入站数据包做比对,如果入站的数据包是为了响应本机的请求,那么就被允许进入。除非有实施专门的过滤器以允许特定的非主动请求数据包,否则所有其他数据包都会被阻挡。Windows防火墙可以防止非法的数据进入用户计算机,为了隔离公网上非法数据进入局域网内部,我们可以使用路由器防火墙,现在选用的接入路由器自带有防火墙功能,所以通过设置可以实现限制和隔离公网上非法数据流传入企业局域网内部。
通过防火墙实现了防止外部非法数据传入局域网内部,下面我们就应该考虑局域网内部的安全性,计算机病毒由来已久,影响比较广泛,计算机感染病毒后通常会出现一
38
青岛滨海学院网络工程专业毕业设计
些异常现象,比如系统启动异常,运行速度无故变慢,内存不足,系统资源急剧下降等,文件无故被修改或删除等。病毒的克星就是杀毒软件,杀毒软件可以实现“查毒”、“杀毒”、“防毒”、“数据恢复”等功能。所以,在企业内部在计算机中安装杀毒软件来保证计算机安全是必要的。目前市场上比较流行的杀毒软件有瑞星、金山毒霸、卡巴斯基等,也有360安全卫士专杀木马、恶意插件的安全工具,所以可以选用卡巴斯基反病毒企业版和360安全卫士相结合来维护企业内部网络的安全性。
6 方案成本预算
根据设备的选型,大体对本次方案做一个成本预算,预算结果参考表6-1 方案成本预算表所示:
表 6-1 方案成本预算表
设备 接入层路由器 串口模块 核心层三层交换机 汇聚层二层交换机 接入层二层交换机 服务器 型号 CISCO 2811 CISCO NM-4A/S CISCO WS-C3750G-24T-E CISCO思科WS-C2960-24TC-L CISCO思科WS-C2960-24-S HP惠普ProLiant DL388 G7(616659-AA1) 双绞线 超五类4对非屏蔽双绞线 水晶头 光纤 D-Link12芯室内单模光缆(DFCAI09GLN12) 总计
单价(元) 6200 6000 28600 数量 3 3 4 总计(元) 18600 18000 114400 4700 6 28200 2200 35 77000 14500 4 58000 750 86(箱) 64500 0.5 24 500个 100(米) 250 2400 39
381350 青岛滨海学院网络工程专业毕业设计
结论
本毕业设计从中小企业网的建设思想、目标、可选用的网络技术以及网络设备的介绍和选择、网络整体规划和实现等方面做了全面的论述,使得我对局域网的组建工程有了一个比较深入的了解。写论文是一个不断学习的过程,从最初刚写论文时对企业局域网的模糊认识到最后能够对该问题有一个深刻的认识,我体会到实践对于学习的重要性,只明白理论,没有经过实践考察,对知识的理解也会不够明确,只有真正做到理论与实践相结合,才算是真正的掌握。
经过了两个多月的学习和工作,终于完成了北京荣新IT培训中心局域网组建方案的设计。这是我大学期间独立完成的最大的项目,在这段时间里,我学到了很多知识也有很多感受,通过这次设计我开始独立的学习和探索,查看相关的资料和书籍,让自己的由一开始的模糊大概到最后逐步清晰,使得自己的设计逐步完善起来。虽然在本次方案设计中,设计要求大体得到了实现,但是由于自己的知识水平有限,文中的有一些不足之后也在所难免,敬请各位老师多多指点和更正。
通过毕业设计,我深刻体会到要做好一件事情,需要有系统的思维方式和方法,对待要解决的问题,一定首先要从整体考虑,然后再慢慢解析,分解成一个个小的问题点,规划好解决问题的思路与顺序,一步一步来,这样才能更加有效。
40
青岛滨海学院网络工程专业毕业设计
致谢
大学四年的生活转眼就要结束了。在大学校园里,我不仅学到丰富的专业知识,更重要的是学到了为人处世做人的道理,母校严谨的校风学风和老师广博丰富的知识令我敬佩。三年半的时间里,各位老师的悉心授课使得我对网络工程专业有了更多更丰富的认识,为我以后学习和工作打下了坚实的基础。首先我要感谢母校全体老师四年来对我的指导和帮助,他们广博精湛的学识和严谨的治学态度让我终身受益,尤其是对刘建华老师表示由衷的感谢,在毕业设计期间,无论是确定任务方案、收集资料还是撰写毕业设计,我都得到了刘老师的全力帮助和耐心指导,他学术上精益求精、一丝不苟的精神和工作上严谨求实的作风,以及忘我的学习态度给我留下了深刻的印象,是我们学习和生活的榜样,在此我特向刘老师表示最崇高的敬意和由衷的感谢。我还要感谢所有在毕业设计中曾经帮助过我的良师益友和同学,以及在设计中被我引用或参考的论著的作者。最后再次感谢母校和各位老师对我四年的培养和帮助。
41
青岛滨海学院网络工程专业毕业设计
参考文献
1.《计算机网络 (第五版)》 谢希仁 著 电子工业出版社 2.《综合布线系统》 刘化君 主编 机械工业出版社 3.《局域网技术与组网工程》 苗凤君 主编 清华大学出版社 4.《网络互联技术与实践教程》 汪双顶 姚羽 编著 清华大学出版社 5.《TCP/IP网络与协议》 兰少华 编著 清华大学出版社 6.《网络工程师必读-网络工程基础》王达 著 电子工业出版社 7.《网络工程师必读-网络系统设计》王达 著 电子工业出版社 8.《网络工程师必读-网络安全系统设计》王达 著 电子工业出版社 9.《计算机网络系统集成与方案实例》黎连业 等编著 机械工业出版社 10.《局域网组建、管理与维护(第二版)》刘永华 等著 电子工业出版社
42
因篇幅问题不能全部显示,请点此查看更多更全内容