系统集成综合训练期末考试项目设计报告中小型企业网络的设计与实现.docx
- 文档编号:15105799
- 上传时间:2023-06-30
- 格式:DOCX
- 页数:16
- 大小:154.77KB
系统集成综合训练期末考试项目设计报告中小型企业网络的设计与实现.docx
《系统集成综合训练期末考试项目设计报告中小型企业网络的设计与实现.docx》由会员分享,可在线阅读,更多相关《系统集成综合训练期末考试项目设计报告中小型企业网络的设计与实现.docx(16页珍藏版)》请在冰点文库上搜索。
系统集成综合训练期末考试项目设计报告中小型企业网络的设计与实现
南湖学院
《计算机网络管理与系统集成综合训练》
项目设计报告
项目名称:
中小型企业网络的设计与实现
学 院:
南湖学院
专 业:
网络工程
班 级:
网络N131
姓名:
学号:
指导教师:
完成日期:
2016.12.22
1需求分析及网络技术方案设计
1.1应用背景需求分析
为了提高学校的管理效益和教学质量,开展学校现代化教育建设,建设具有规模的校园网络,internet技术的高校多媒体校园网是必要的。
整个高速多媒体校园网建设原则是“经济高效、领先实用”,既要领先一步,具有发展余地,又要比较实用。
校园网是集计算机技术、网络技术、多媒体技术于一体的系统,能够最大限度地调动学生对教学内容的积极性。
1.2网络环境需求分析
学院西区I,II,III,IV区为教学楼,需构建联通这些大楼校园网并且接入internet。
1.3信息点分析
由于本校园网属于中学校园组网,相对大学校园网来说信息点要少一些,组网建筑物也不是很多,在考虑到校园网未来的升级改造等因素,信息点的设计稍留有空余,Ip地址的划分也备有以后信息点增加的需求,以便本校园网全方面的灵活应用。
1.4业务需求分析
校园网是以学校的教学、管理、科研、信息交流和资源共享为目的的,以一个学校的管辖区域为覆盖范围的局域网,是通过与Internet的互连实现信息交流和资源共享的系统。
本校园网设计的需求目标是将各种不同应用的信息资源通过网络设备互连起来,形成校园内部的Intranet系统(内部网络系统),对外通过接入设备接入CERNET,实现与Internet的互连,即建设一个以办公自动化、计算机辅助教学、现代校园文化为核心,以现代网络技术为依托,技术先进、扩展性强、覆盖全校主要楼宇的校园主干网络。
将学校的各种PC工作站,终端设备和局域网连接起来,并与CERNET相连,在网上发布和获取教育资源,并在此基础上建立能满足教学、科研和管理工作需求的软、硬件环境,开发各类信息和应用系统,为学校中的各类人员提供充分的网络信息服务。
主要提供以下几种功能:
校园网为中小型规模的组网,节点数为890个,校园网主干采用千兆以太网技术(第三层交换),呈星型结构。
二级交换机采用快速以太网交换机,服务器采用千兆网卡。
电子邮件系统、网管软件、自动备份软件、办公自动化软件及其他网络应用和开发软件。
1.5管理需求分析
随着网络复杂度的增加,给网络管理带来成级数增长的工作量。
网络管理要求解决问题包括:
⑴虚拟局域网管理、分配。
目前的虚拟局域网只要基于交换机端口划分,如果一个部门扩展新的入网点,扩展将改换交换机端口设置。
管理软件需提供原地虚拟网的修改功能。
接入层网络设备需要支持基于MAC地址的802.1X功能和基于端口802.1X功能,以保证帐号的唯一性;同时,支持远程telnet管理远程开关交换机端口功能;此外还要求适应大量用户并发认证及复杂的工作环境等。
能够实现对用户名、IP地址、MAC地址、交换机端口的同时绑定,以杜绝非法用户恶意盗用合法用户的用户名、密码、IP和MAC等现象,确保计费工作。
1.6网络安全需求分析
校园网安全主要考虑以下几个方面要求:
各部门访问网络的控制,网络需要建立防火墙,禁止外部用户未经许可访问内部的数据,或者内部用户未经许可访问外部数据。
校园网是个开放的系统,不需要像政府,公司那样的网络安全保密性;另外校园网应该是安全的,它不应该受到恶意的攻击而无法运行,一些科研成果也不应该对任何人都开放。
主要利用虚拟网技术和防火墙技术来合理解决安全与开放的问题。
2方案设计
1校园网设计原则
●实用性和先进性
根据学校实际情况和特点,在设计中特别强调实用性和先进性的结合,应采用成熟的网络技术,保证校园网实用;跟踪国际网络技术的新发展,设计技术先进的网络。
在保证校园网可靠、实用、先进的基础上,可以提供研究先进网络技术的科研环境,方便学校的科研与开发。
●开放性和标准化
整个校园网的设计采用开放的网络体系,以方便网络的升级、扩展和互联。
同时,在选择服务器、网络产品时,强调产品支持的网络协议的国际化。
2网络协议选择
在此校园网的设计中主要采用以下标准:
oIEEE802.3IEEE工作组为快速以太网制定了IEEE802.3的标准。
3千兆以太网
千兆以太网的优点:
与现有大多数网络设施兼容。
权威统计表明大多数网络都是以太网,因此千兆以太网与现有网络具有天然的兼容性。
千兆以太网在与100M以太网通信时不存在需要损耗性能的转换操作。
简便的网络升级操作。
千兆以太网由于完全与以前的100M以太网兼容。
因此,自然简便的网络升级使得千兆以太网可以“无缝”融入现存的以太网环境中,解决了网络管理员所面临的如何升级现有网络,但不至于造成网络瘫痪的问题。
用户总是倾向简单实用,厌恶繁琐复杂的工作。
因为升级的挑战过程和额外的知识学习并不是用户建网的目的。
4主干网的选择
结合本校园实际情况,信息点不是很多,且大多数分布在学校五大楼。
就目前来说,楼宇相对集中,建筑物之间的分布距离不算远,楼宇层数也不多,所以,校园网主干用千兆以太网技术(Ethernet)完全能满足本校的网络需求,主干中的核心交换机具备升级为万兆功能,为网络以后的升级改造留有充足的空间。
5校园网详细网络拓扑
校园网也是一个局域网,因此,在设计校园网的拓扑结构时,可以选择的拓扑结构有总线型结构、星状结构、树状结构和环状结构。
在这几种拓扑结构中,可以根据所选用的网络技术、各种拓扑结构的优缺点等来选择。
就目前的技术条件和应用状况来看,以太网技术是目前校园网建设的主流技术,在这种技术条件下,总线型结构由于整体可靠性差,已经不会作为一个校园网的总体拓扑结构来选择。
用以太网技术组建环状结构的校园网在很多规模较大的大学中普遍使用,这种结构最大的优点是可靠性高,但是,它至少需要3台路由器或路由交换机,所需的设备投资较大,而中小学校园网规模相对较小,过大的投资不一定显示出高效性,所以,中小学校园网不宜采用这种结构。
本学院校园面积不大,建筑物相对集中,结合本校的信息点分布和校园的实际需求情况,拓扑结构选用树状结构。
树状结构是星状结构的拓展,它具有灵活的可扩展性、较高的可靠性,且安装方便、易管理、投资小。
网络拓扑结构图和布线设计
学院共有I,II,III,IV区为教学楼,有五个部门分布在这四栋楼里面,连入中心交换机并且每个部门可以在这四栋楼里随意搬动,而不需要更改IP
地址。
故每栋楼的交换机都要划分四个vlan。
申请到一个C类IP地址:
210.37.44.0/24,分配给五个部门。
中心交换机和外侧的CENTER、PSTN通过一个路由器相连中心交换机和各种校园服务器相连,用户可以通过校园网络访问校园内部I,II,III,IV区,每栋楼交换机的F0/3-6划入vlan2,F0/7-10划入vlan3,F0/11-13划入vlan4,F0/14-17划入vlan5。
路由器F0/0口接交换机SW01的F0/1口;交换机SW01的F0/2口接交换机SW02的F0/1口;交换机SW02的F0/2口接交换机SW03的F0/1口;交换机SW03的F0/2口接交换机SW04的F0/1口;在四个交换机上没分别划分四个vlan2,vlan3,vlan4,vlan5.每个部门占用一个vlan。
网络设备的选型及其简要说明
分类
名称
数量
参数
三层交换机
Cisco3560G-24PS
2台
配置ACL,控制各部门访问的权利
二层交换机
Cisco2950G-24PS
4台
为计算机划分Vlan
路由器
CiscoROUTER-PT
2台
满足基本链接,可以连接一个局域网核心等等
PC机
PC-PT
14台
2本方案设计特点:
二层功能:
S8500万兆核心路由交换机实现了高密度10GE、GE接口之间的全线速二层交换,提供整机180Mpps-432Mpps的报文处理性能。
支持802.1QVLAN协议,支持4K个VLAN;每接口板支持16K个MAC地址表项,并具有源MAC地址学习、静态MAC地址配置的功能。
三层交换与路由:
S8500万兆核心路由交换机除了实现三层交换外,还具备了高端路由器的路由功能。
具体的特性有:
支持基本的TCP/IP及常规应用协议;支持丰富的路由协议:
RIP1/RIP2、OSPF、
Pageof62IS-IS和BGP4等,以适应不同的网络环境;支持静态路由,管理员手工配置,简化网络配置,提高网络性能;支持128K路由表项,适应城域网/大型企业园区网的复杂环境;支持不同子网VLAN的三层互通功能。
Diff-Serv/QoSS8500
核心万兆路由交换机作为城域网络的汇聚中心设备和企业网的骨干核心设备除具备强大的二/三层转发能力与性能外,还具备完善的服务保证功能,确保不同业务流享受不同级别的服务。
支持基于端口、MAC地址、IP地址、TCP/UDP端口号、ToS(TypeofService)/Diffserv值和CAR(CommittedAccessRate)的带宽管理,带宽管理的粒度为64kbit/s。
安全特性
支持配置安全,对登录用户进行认证,不同级别的用户有不同的配置权限,提供两种用户认证方式——本地认证和RADIUS认证;
支持受限的IP地址的Telnet的登录和口令机制;
支持协议报文认证,支持OSPF、RIP2及BGP4的报文明文认证和MD5密文认证;
支持基于用户定义的策略,可以对报文进行过滤,支持ACL包过滤;
支持防火墙具备的一些报文过滤机制;
支持安全过滤,可以将过滤的报文重定向到某个固定端口,便于利用仪器设备抓包分析;
支持数据同步机制,定期检查配置信息,提供主备机数据备份机制,对程序、配置数据定时和人工备份,提供对程序、配置数据的掉电保护能力。
3交换机配置及PC配置
地址划分
部门IP子网掩码网关Vlan主机数
部门1192.168.44.65~94255.255.255.224192.168.44.65Vlan230
部门2192.168.44.97~126255.255.255.224192.168.44.97Vlan330
部门3192.168.44.129~158255.255.255.224192.168.44.129Vlan430
部门4192.168.44.161~190255.255.255.224192.168.161Vlan530
部门5192.168.44.193~222255.255.255.224192.168.44.193Vlan630
vlan的划分
VLAN的主要功能就是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
VLAN是为解决以太网的广播问题和安全性而提出的,VLAN技术允许网络管理者将一个物理的LAN用VLANID把用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机,与物理上形成的LAN有着相同的属性。
VLAN的划分有很多种,我们可以按照IP地址来划分,按照端口来划分、按照MAC地址划分或者按照协议来划分,常用的划分方法是将端口和IP地址结合来划分VLAN。
每栋楼交换机的F0/3-6划入vlan2,F0/7-10划入vlan3,F0/11-13划入vlan4,F0/14-17划入vlan5,F0/18-20划入vlan6。
路由器F0/0口接交换机SW01的F0/1口;交换机SW01的F0/2口接交换机SW02的F0/1口;交换机SW02的F0/2口接交换机SW03的F0/1口;交换机SW03的F0/2口接交换机SW04的F0/1口;在四个交换机上没分别划分五个vlan2,vlan3,vlan4,vlan5,vlan6.每个部门占用一个vlan。
配置命令
三层交换机为核心交换机,占据重要地位,配置如下:
SW01的配置
(1)vlan的配置
Switch>en
Switch#conft
Switch(config)#hostnameSW01
SW01(config)#vlan2
SW01(config-vlan)#nameT2
SW01(config-vlan)#vlan3
SW01(config-vlan)#nameT3
SW01(config-vlan)#vlan4
SW01(config-vlan)#nameT4
SW01(config-vlan)#vlan5
SW01(config-vlan)#nameT5
SW01(config-vlan)#vlan6
SW01(config-vlan)#nameT6
SW01(config-vlan)#
(2)TRUNK口配置
SW01(config-vlan)#inf0/1
SW01(config-if)#s
witchportmodetrunk
SW01(config-if)#inf0/2
SW01(config-if)#s
witchportmodetrunk
SW01(config-if)#
(3)端口划分到vlan
SW01(config)#inf0/3
SW01(config-if)#s
witchportaccessvlan2
SW01(config-if)#
其他端口划分到相应的vlan同上。
其他楼栋的交换机的配置方法同楼栋1的配置方法。
4路由器配置
代码如下:
Router>en
Router#conft
Router(config)#hostnameR
R(config)#inf0/0
R(config-if)#ipadd192.168.44.33255.255.255.224
R(config-if)#nosh
R(config-if)#inf0/0
R(config-if)#ipadd192.168.44.33255.255.255.224
R(config-if)#nosh
R(config-if)#inf0/0.1
R(config-subif)#en
R(config-subif)#encapsulationd
R(config-subif)#encapsulationdot1Q2
R(config-subif)#ipadd192.168.44.65255.255.255.224
R(config-subif)#inf0/0.2
R(config-subif)#encapsulationdot1Q3
R(config-subif)#ipadd192.168.44.97255.255.255.224
R(config-subif)#inf0/0.3
R(config-subif)#encapsulationdot1Q4
R(config-subif)#ipadd192.168.129255.255.255.224
R(config-subif)#inf0/0.4
R(config-subif)#
R(config-subif)#encapsulationdot1Q5
R(config-subif)#ipadd192.168.44.161255.255.255.224
R(config-subif)#inf0/0.5
R(config-subif)#encapsulationdot1Q6
R(config-subif)#ipadd192.168.44.193255.255.255.224
R(config-subif)#
5防火墙配置
(1)动态NAT
1)设置应用扩展的访问控制列表
配置清单如下:
ipaccess-listextendedaaa//定义一个教学楼扩展访问列表,名字为aaa
permitip192.25.3.00.0.0.255any
permitip10.101.00.0.0.255any
permiticmpanyany
ipaccess-listextendedbbb//定义一个办公楼扩展访问列表,名字为bbb
permitip192.168.4.00.0.0.255any
permitip10.10.0.00.0.255.255any
permiticmpanyany
ipaccess-listextendedccc
permitip192.168.5.00.0.0.255any
permitip10.10.0.00.0.255.255any
permiticmpanyany
ipaccess-listextendedddd
permitip192.168.6.00.0.0.255any
permitip10.10.0.00.0.255.255any
permiticmpanyany
2)定义转换地址:
ipnatpoolaaa123.18.1.32123.18.1.32netmask255.255.255.0
ipnatpoolbbb123.18.1.31123.18.1.31netmask255.255.255.0
ipnatpoolccc123.18.1.30123.18.1.30netmask255.255.255.0
ipnatpoolddd123.18.1.29123.18.1.29netmask255.255.255.0
3)应用NAT:
ipnatinsidesourcelistaaapoolaaaoverload
ipnatinsidesourcelistbbbpoolbbboverload
ipnatinsidesourcelistcccpoolcccoverload
ipnatinsidesourcelistdddpooldddoverload
4)在出口路由器,将NAT与接口连接起来:
interfacefa0/1
ipnatinside//NAT的内部接口
interfacefa0/0
ipnatoutside//NAT的外部接口
(2)静态NAT:
静态NAT主要用于企业内部的服务器方便与Internet用户来访问时所映射的公网IP地址。
服务器IP地址到公网ip地址的映射:
ipnatinsidesourcestatic10.10.60.4210.46.1.72)接口操作:
出口路由器interfacefa0/0ipnatinside//NAT的内部接口interfacese0/1/0
ipnatoutside//NAT的外部接口
防火墙的配置清单
ipaccess-listextendedfanghuoqiang/定义过滤表的名字
fanghuoqiangdenyip1.0.0.00.255.255.255any/1.0.0.0未分配
denyip3.0.0.00.255.255.255any/3.0.0.0未分配
denyip172.0.0.00.255.255.255any/私网地址认为是非法的
denyip192.168.1.00.0.0.255any/私网地址认为是非法的
denyip169.254.0.00.0.255.255any/过滤DHCP获取失败地址
denyip224.0.0.00.255.255.255any/过滤组播地址
224.0.0.0denyip0.0.0.00.255.255.255any/过滤以0开头的任意地址
permitipanyanyinterfacefa0/0
ipaccess-groupfanghuoqiangin/在接口上应用访问控制列表(此接口问出口路由器链接外网的接口,因为防火墙只能防止外部攻击。
不能防止内部攻击)
6.服务器配置
将一台路由器配置成DHCP服务器(其中包含2个DHCP地址池),在另一台路由器上配置DHCP中继代理功能,使得不同VLAN的客户机从不同的DHCP地址池获取IP地址。
在二层交换机上创建vlan10和vlan20,并分配端口
Switch>enable
Switch#conft
Switch(config)#vlan10
Switch(config-vlan)#namevlan10
Switch(config-vlan)#exit
Switch(config)#vlan20
Switch(config-vlan)#namevlan20
Switch(config-vlan)#exit
Switch(config)#intf0/1
Switch(config-if)#switchportmodeaccess
Switch(config-if)#switchportaccessvlan10
Switch(config-if)#intf0/2
Switch(config-if)#switchportmodeaccess
Switch(config-if)#switchportaccessvlan20
Switch(config-if)#intf0/24
Switch(config-if)#switchportmodetrunk
Switch(config-if)#switchporttrunkallowedvlanall
Switch(config-if)#
在路由器Router1上配置地址池。
Router>en
Router#conft
Router(config)#hostnameDHCPServer
DHCPServer(config)#ipdhcppoolA
DHCPServer(dhcp-config)#network192.168.44.0255.255.255.0
DHCPServer(dhcp-config)#default-router192.168.44.1
DHCPServer(dhcp-config)#dns-server220.189.127.107
DHCPServer(dhcp-config)#exit
DHCPServer(config)#ipdhcpexcluded-address192.168.1.1210.37.1.10
DHCPServer(config)#ipdhcppoolB
DHCPServer(dhcp-config)#network192.168.2.0255.255.255.0
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 系统集成 综合 训练 期末考试 项目 设计 报告 中小型企业 网络 实现