中小型企業(yè)網絡課設.doc

.內蒙古科技大學計算機網絡課程設計中小企業(yè)網絡規(guī)劃與設計的方案姓名： 學號：班級：計算機13-4班指導老師：汪再秋時間：2015-12-7目錄內蒙古科技大學計算機1網絡課程設計1中小企業(yè)網絡規(guī)劃與設計的方案1摘要41.引言42.需求分析52.1用戶需求52.2應用需求52.3.安全需求52.4.網絡擴展性需求52.5實現目標63.邏輯網絡設計63.1組網技術選擇63.2.網絡設計原則63.3.網絡拓撲結構圖設計64.IP地址規(guī)劃及網絡設備配置84.1IP地址規(guī)劃84.1.1Vlan規(guī)劃84.1.2網絡設備IP規(guī)劃94.1.3核心交換機和路由器端口IP配置95.網絡設備選型105.1交換機選型105.1.1交換機選擇的原則105.1.2.影響交換機選擇的因素115.1.3.接入交換機的選擇115.1.4.核心和匯聚交換機的選擇125.2路由器選型125.3服務器選型：135.3.1服務器選擇原則135.3.2服務器使用策略135.3.3確定服務器型號145.4不間斷電源選型146 ping通性測試157工程預算188課程設計總結18參考文獻19摘要：本設計結合一家中小企業(yè)網絡的實際需求，通過對網絡組建方案的設計、基于安全的網絡配置方案設計、服務器架設方案設計、企業(yè)網絡安全設計等方面的仿真研究，詳盡的探討了對該網絡進行規(guī)劃設計時遇到的關鍵性問題。主要包括需求分析、網絡設備選型、邏輯網絡設計、IP地址規(guī)劃方案設計、服務器架設和網絡安全設計等內容。論文針對中小企業(yè)網絡拓撲進行設計和分析，通過CiscoPacketTracer軟件進行網絡仿真配置和安全設計，給出了網絡規(guī)劃設計解決方案。關鍵詞：網絡拓撲規(guī)劃；網絡安全設計；CiscoPacketTracer；路由、交換、服務器仿真1.引言CiscoPacketTracer是由Cisco公司發(fā)布的一個網絡仿真工具，使用該工具可以搭建網絡的模擬環(huán)境，對網絡進行設計、配置、故障排除等。用戶可以在工具的圖形用戶界面上直接使用拖曳方法建立網絡拓撲，并可提供數據包在網絡中行進的詳細處理過程，觀察網絡實時運行情況?？梢詫W習IOS的配置、鍛煉故障排查能力等。目前最新的版本是PacketTracer6.1。網絡改變了人們的生活，地球變成了地球村，全世界的人可以隨時進行網絡交流。信息資源的共享，帶來社會生產力空前提高，互聯網與人們生活越來越密切，如網上證券期貨交易、遠程電子視頻會議、網上購物等應用使得人們的生活已經越來越離不開網絡，由此，信息高速公路的建設變得十分重要。企業(yè)規(guī)模的不斷壯大和業(yè)務量的不斷增加，原有的工作方式已不能滿足現代企業(yè)的需要，特別是對突發(fā)事件的處理能力與速度的需求。現代企業(yè)如果沒有信息技術的支持，就不能稱之為現代企業(yè)。隨著網絡技術的不斷成熟、網絡產品價格的不斷下降，以及對數據傳輸和信息交換需求的不斷增加，現在各企業(yè)均正在或已搭建了企業(yè)內部局域網，因為，企業(yè)網絡的建設是企業(yè)向信息化發(fā)展的必然選擇。企業(yè)網絡為企業(yè)的現代化發(fā)展、綜合信息管理和辦公自動化等一系列應用提供了基礎平臺。本設計結合中小企業(yè)實際需求，舉例分析、設計、配置、模擬組建了一個典型的中小企業(yè)網絡。2.需求分析2.1用戶需求該企業(yè)是一家生產研發(fā)型企業(yè)，主樓是一座四層辦公大樓。整個辦公樓有信息點大概120個，企業(yè)中心機房設在辦公大樓三樓中間。具體有以下幾個要求：（1） 公司有 120臺 PC（2） 公司共有6個部門，不同部門的可以相互訪問，管理部門有限制。（3） 公司有自己的內部網頁與外部網站，公司能夠提供匿名的FTP,郵件，WWW服務，但FTP只對內部員工開放。（4） 公司中的每臺機能上互聯網，每個部門的辦公室聯合構成一個VLAN。2.2應用需求WWW服務器，眾所周知，WWW服務器主要功能是提供網上信息瀏覽服務。是Internet目前發(fā)展最快和目前用的最廣泛的服務。FTP服務器，為了在企業(yè)內部能夠輕松進行文件數據交換，權限分配，FTP服務器十分必要。文件服務器，企業(yè)內部需要大量數據文件的交換，且各部門的資料訪問權限不同，文件服務器是最佳選擇。2.3.安全需求中小企業(yè)的網絡安全指的主要是對各服務器進行授權訪問，對所有服務器進行病毒防護，數據備份，對企業(yè)內部計算機進行統(tǒng)一集中式的管理，以及遠程及移動用戶對公司內部網絡的安全訪問等。2.4.網絡擴展性需求一方面要確保公司新的部門能夠簡單地接入現有網絡，二要確保公司新的應用能夠無縫地在現有網絡上運行。2.5實現目標首先是資源共享，網絡內的各個用戶終端可共享文件、打印機、實現辦公自動化系統(tǒng)中的各項功能；其次是通信服務，用戶可以收發(fā)電子郵件、實現Web應用、接入互聯網、進行安全的廣域網訪問；公司網絡對企業(yè)網絡終端進行統(tǒng)一規(guī)劃管理。3.邏輯網絡設計3.1組網技術選擇眾所周知，快速以太網是世界上應用最廣泛的組網技術，其強大的靈活性、簡便性、傳輸介質的多樣性以及拓撲結構的靈活性，使得其早已成為網絡技術的主流。中小企業(yè)行業(yè)特點要求網絡系統(tǒng)速度快，穩(wěn)定性好，具有擴展性和開放性。同時，對于組網技術的選擇，需要考慮技術產品的成熟穩(wěn)定性。并且，使用先進且成熟的網絡技術，不僅可保護投資，還可以降低網絡建設的費用。因此，最終選擇快速以太網作為該企業(yè)的組網技術方案。3.2.網絡設計原則首先，實用性和經濟性。系統(tǒng)建設應始終貫徹面向應用、注重實效的方針，堅持實用、經濟的原則建設企業(yè)網絡系統(tǒng)。其次，先進性和成熟性。系統(tǒng)設計既要采用先進的概念、技術和方法，又要注意結構、設備的相對成熟。不但能反映當今的先進水平，而且具有發(fā)展?jié)摿Γ鼙ＷC在未來若干年內企業(yè)網絡仍占領先地位。第三，可靠性和穩(wěn)定性。在考慮技術先進性和開放性的同時，還應從系統(tǒng)結構、技術措施、設備性能、系統(tǒng)管理、廠商技術支持及售后服務能力等方面著手，確保系統(tǒng)運行的可靠性和穩(wěn)定性，達到最大的平均無故障時間。第四，安全性和保密性。在系統(tǒng)設計中，既要充分考慮信息資源的充分共享，更要注意信息的保護和隔離，因此系統(tǒng)應分別針對不同的應用和不同的網絡通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機制、數據存取的權限控制等。最后，可擴展性和易維護性。為了適應系統(tǒng)變化的需求，必須充分考慮以最簡便的方法、最低的投資，實現系統(tǒng)的擴展和維護，采用可網管產品，降低了人力資源的費用，提高了網絡的易用性。3.3.網絡拓撲結構圖設計為了滿足企業(yè)的需求及長遠利益，企業(yè)網絡應按照上述原則進行網絡結構設計與設備選型，在網絡拓撲結構上采用星型網絡拓撲結構。星型網絡拓撲結構具有安全、可靠、易擴展等特點，以交換機為中心，服務器和PC工作站直接連接至交換機，組成網絡。通過相應的配置，在不改變網絡節(jié)點物理位置的情況下，可對網絡的邏輯結構進行合理的劃分，即建立虛擬網絡，以達到網絡信息流量的有效控制。本網絡分為核心層和匯聚層、接入層三層結構，核心層和匯聚層使用CISCO3560系列交換機，接入層采用CISCO2960系列交換機（詳見網絡設備選型一章），出口路由器選用CISCO1841中小企業(yè)級路由器。PC工作站以接入交換機為中心直接連接，組成各子局域網。考慮到網絡的可擴展性，配置了6臺24口接入交換機、一臺匯聚交換機，一臺核心交換機、一臺出口路由器。設計完成后的企業(yè)整體網絡拓撲結構圖如下圖所示。3.4實際設計圖總體分析，企業(yè)大樓分為4層，1樓是生產部和項目部，用來設計項目以及生產產品。2樓是設備管理，因為設備較多所以獨占一個樓層。3樓是總經辦和企業(yè)中心，企業(yè)中心用來管理公司的網絡以及實現服務器的其他功能。4樓是質保和財務部。因為樓層比較少，間隔距離短。考慮到配置的便利性和較好的網絡兼容性，PC與PC，交換機與交換機之間網絡介質使用雙絞線連接，并采用帶寬速率為100M的以太網，CSMA/CD協議。這樣安全可靠，易于管理。三樓辦公中心，連接服務器之間介質也采用雙絞線連接，同PC間一樣的百兆速率，CSMA/CD協議。三樓核心交換機連接路由，路由連接外網均采用千兆以太網，千兆位以太網最大的優(yōu)點在于它對現有以太網的兼容性。同100M位以太網一樣,千兆位以太網使用與10M位以太網相同的幀格式和幀大小,以及相同的CSMA/CD協議。這意味著廣大的以太網用戶可以對現有以太網進行平滑的、無需中斷的升級,而且無需增加附加的協議棧或中間件。在園區(qū)網主干網中，目前逐步占據了主要地位。這樣是公司內部員工使用互聯網進行業(yè)務往來更加方便。4.IP地址規(guī)劃及網絡設備配置4.1IP地址規(guī)劃企業(yè)的公網IP地址范圍為：46/29。企業(yè)內部IP地址采用段的私有IP地址，并且對企業(yè)內部局域網進行VLAN劃分,劃分為7個子網，子網掩碼為:。每個子網有20臺設備，服務器的子網只有幾臺PC來用于管理。這樣也是為了便于以后公司的設備升級和發(fā)展，同時服務器獨立配設一個子網，便于管理和信息間的交換。其優(yōu)點是可以減少網絡內的廣播數據包,提高網絡運行效率，區(qū)分不同的應用和用戶等,且方便網絡的管理與維護等。以設備管理的pc0為例，配置其ip地址為，網關則為。然后在接入層交換機增加vlan并增加相關端口關聯，最后在核心層交換機配置網關trunk其端口，這樣一個配置流程就出來了。其他部門均采用與其類似的網絡配置。4.1.1Vlan規(guī)劃本企業(yè)雖然機器需求數較小，但由于為了公司的便利使用，我們均采用Vlan管理。這樣可以減少廣播風暴，提高更高的網絡運行效率。Vlan的詳細劃分及地址分配如下：部門vlan地址范圍網關地址網絡地址子網掩碼設備管理地址vlan1054總經辦vlan2054采購生產部vlan3054項目部vlan4054質保部vlan5054財務部vlan6054服務器地址vlan854核心交換機配置示意,增加vlan并修改相關端口為trunk口：4.1.2網絡設備IP規(guī)劃服務器名稱IP地址vlan網關文件服務器Vlan8www、FTPVlan8MAILVlan8表4-2服務器IP地址規(guī)劃表圖4.3文件服務器以文件服務器為例，進行如圖4.3的配置，文件服務器用來文件數據交換和數據訪問。其他服務器均采用類似的網絡配置。4.1.3核心交換機和路由器端口IP配置接口名稱IP地址/掩碼備注核心交換機f 0/8/24與路由器f0/1直連路由器 f0/1/24與核心交換機f0/8直連路由器 f0/050/29路由器外網口表4.14核心交換機和路由器端口IP分配表相關vlan端口設置：路由器外網口設置,NAT公網地址轉換：5.網絡設備選型5.1交換機選型5.1.1交換機選擇的原則中小企業(yè)網絡通信量不大，并且網絡應用不是非常復雜，所以接入層均采用二層固定端口交換機，匯聚和核心交換機采用三層模塊化交換機，考慮到對網絡接入和網絡安全的管理，所有交換機全部采用可網管交換機。交換機選型時，應該遵循以下原則：首先，接入交換機全部采用可網管交換機，實現對每臺接入計算機的控制，實現VLAN的劃分，確保最大限度的網絡訪問安全。其次，匯聚交換機采用擁有千兆位端口的可網管交換機，實現與核心交換機的高速連接，避免可能產生的網絡瓶頸。最后，核心交換機采用三層交換機，實現VLAN間的快速轉發(fā)，并借助訪問控制列表控制計算機接入和網絡服務。5.1.2.影響交換機選擇的因素不同位置、不同環(huán)境、不同應用需要不同的可網管交換機。在選擇可網管交換機時，應考慮以下問題。所處位置，不同位置應該選用不同的可網管交換機，核心交換機選擇模塊化三層交換機，匯聚交換機選擇高性能的三層交換機，接入層交換機應選擇可網管的二層交換機。網絡應用，不同的網絡應用決定了所需設備的性能。當然，性能越高，價格越高。所以，我們不能盲目追求性能，而應該根據網絡應用、數據流量等多方面因素，選擇最適合本企業(yè)網絡結構、網絡應用和最具性價比的交換機。所處環(huán)境，在選擇交換機時，我們應綜合的進行考慮。考慮下級交換機是否支持上級交換機的功能與應用，考慮上下級交換機在性能上應有的差別，考慮上下級交換機端口的數量與類型，考慮網絡帶寬、通信線纜等。從而使所有交換機相互協調，達到上下級交換機的最佳組合。設備兼容性，理論上講，雖然大多數可網管交換機都遵守相同的國際標準，但是每個廠家都有一些特殊的協議，并且使用不同的網絡管理軟件，所以，如果我們想實現可網管交換機的統(tǒng)一管理，實現各種網絡應用的同時，并且達到性能最優(yōu)化，最好選擇同一廠商的產品。設備性能，設備性能是在選擇交換機時必須注重的因素。背板帶寬、轉發(fā)速率、MAC地址數量、支持的端口類型等參數，都必須與具體的網絡應用相結合。5.1.3.接入交換機的選擇通常將網絡中直接面向用戶連接的部分稱為接入層，接入層目的是允許終端用戶連接到網絡，因此接入層交換機具有低成本和高端口密度特性。在網絡設備方面選用國際領先的網絡互聯廠商Cisco的產品，其產品與服務通過智能、安全及可靠的網絡將信息設備連為一體，具有很好的可靠性和穩(wěn)定性。CiscoCatalyst2960系列智能以太網交換機是一個全新的、固定配置的獨立設備系列，提供桌面快速以太網和10/100/1000千兆以太網連接。其功能如下列所示。1通過高級QoS、精確速率限制、ACL和組播服務，實現了網絡控制和帶寬優(yōu)化。2通過多種驗證方法、數據加密技術和基于用戶、端口和MAC地址的網絡準入控制，實現了網絡安全性。3通過嵌入式設備管理器和思科網絡助理，簡化了網絡配置、升級和故障排除。4使用CiscoSmartports自動配置特定應用Cisco2960系列交換機中，兩款應用非常廣泛的產品簡要參數如下圖。圖4-1Cisco2960系列交換機產品簡要參數圖5.1.4.核心和匯聚交換機的選擇核心交換機是整個網絡的核心，擔負著快速數據轉發(fā)、網絡接入控制、VLAN間路由、NAT轉換等重要應用，因此，在核心交換機的選擇上，需要注意以下兩點。首先，需求決定一切，現在市場上高性能的核心交換機比比皆是，但是我們不是要購買最好的設備，而是要購買最適合自己需求的設備，能夠滿足本企業(yè)網絡應用的即可，通常，還要考慮該交換機在技術性能和擴展性能等方面的適當超前，以適應未來的發(fā)展。綜合各廠商的能力和性價比，最終選擇CiscoCatalyst3560E-24TD作為匯聚和核心交換機，Cisco3560E系列交換機的主要特性和優(yōu)勢有以下幾方面。易用性，CiscoCatalyst3560-E提供了大量易用特性，如CiscoSmartports,憑借思科多年豐富的網絡技術，快速方便地配置先進的CiscoCatalyst智能功能。CiscoSmartports宏為每種連接類型提供了一套經過驗證、便于使用的模板，使用戶能以最少的人力和技術投入，一致、可靠地配置必要的安全、IP電話、可用性、QoS和可管理性特性?？捎眯院涂蓴U展性，CiscoCatalyst3560-E系列配備了一個強大的特性集，利用IP路由和能夠最大限度地提高第二層網絡可用性的全套生成樹協議增強特性，實現了網絡可擴展性和更高可用性。在標準生成樹協議基礎上增強的特性，如PVST+、UplinkFast和PortFast，以及Flex-link等創(chuàng)新特性，大幅度延長了網絡正常運行時間。高性能IP路由，思科快速轉發(fā)硬件路由架構為CiscoCatalyst3560-E系列交換機提供了極高的IP路由性能。出色的服務質量，CiscoCatalyst3560-E系列提供了千兆以太網速度和智能服務，確保了一切順暢運行，速度甚至為普通網速的10倍。業(yè)界領先的標記、分類和排程機制為數據、語音和視頻流量的傳輸提供了出色的線速性能。5.2路由器選型思科1841路由器采用模塊化架構設計，適用于中小型企業(yè)，提供了業(yè)界范圍最廣的安全連接選項以及可用性和可靠性特性。思科1841路由器專為安全數據連接而設計，與前幾代思科1700系列路由器相比，提供了五倍以上的性能提高，經由CiscoIOS軟件安全鏡像支持基于硬件的集成加密，且大大提高了接口卡性能和密度。通過提供集成服務、出色模塊化密度和高性能，思科1841路由器為中小型企業(yè)、小型企業(yè)分支機構和服務供應商客戶邊緣提供了針對多個應用的安全性、多功能性、可擴展性和靈活性。思科1841路由器為客戶提供了業(yè)界靈活性、安全性和可適應性最高的基礎設施，可滿足現在及未來企業(yè)對最高投資回報的需要。思科1841路由器可方便地處理范圍廣泛的網絡應用，如包括用于病毒防御的NAC等安全分支機構數據訪問功能、VPN接入和防火墻保護、企業(yè)級DSL、IPS支持、VLAN間路由和串行設備集中等。5.3服務器選型5.3.1服務器選擇原則在選擇服務器時，不僅要看當前的性能，還要看生產廠商的服務能力。這種能力包括兩個方面，一方面是基本的安裝和調試能力，另一方面是開發(fā)和升級能力，后一種能力是最為重要的，企業(yè)系統(tǒng)的每一次升級換代都可能面臨著產品的升級后功能的增減。如果廠商有升級能力，企業(yè)的每一次升級都有相應的保障，相反，就會給企業(yè)造成很大的浪費和經濟損失。服務器是系統(tǒng)中至關重要的核心設備，其作用是為各類應用提供硬件運行平臺。對服務器的選擇不僅僅是滿足當前已開展的各項業(yè)務需要，更要著眼于未來。對網絡服務器的選擇，首先應從系統(tǒng)性能入手，通過客觀的分析比較，確定一款或者一系列具有令人滿意的主頻處理速度和I/O吞吐量的服務器。產品質量要有保證，嚴格執(zhí)行國際質量認證體系，確定產品穩(wěn)定可靠。由于各項業(yè)務屬于對外開放的，因此作為集中放置數據載體的服務器系統(tǒng)，一旦出現數據丟失或者差錯將給用戶造成重大經濟損失和極壞影響，因此在服務器選型和系統(tǒng)配置時，應該充分考慮到系統(tǒng)可靠性在今后系統(tǒng)運行時的重要地位。5.3.2服務器使用策略綜合分析企業(yè)網絡應用、網絡服務、硬件環(huán)境等諸多方面，確定需要選購四臺服務器，各服務器使用情況分布如下列所示：1第一臺服務器DNS（主）、文件服務器和文件服務器必須和DC一起，DC必須依賴DNS。2第二臺服務器DNS（輔）、域控（輔）該服務器上運行的服務較多，要求能長時間穩(wěn)定運行。3第三臺服務器 實現郵件服務器的功能。4第四臺服務器 FTP、WWW普通配置。5.3.3確定服務器型號文件服務器必須與DC（域控）集成，同時DC必須依賴DNS。因此，第一臺服務器，即集DC、DNS、文件服務器于一體的服務器對性能和穩(wěn)定性要求都較高。同時，主域控制器是網絡、用戶和計算機的管理中心，負責提供安全的網絡工作環(huán)境。主域控制器不但需要響應用戶的登錄需求，而且要在服務器間同步和備份用戶帳號、WINS數據庫等。綜合考慮各廠商的能力和產品性價比，各應用服務器全部選用浪潮NF5220系列服務器。主副域控和WEB計三臺服務器 浪潮英信 NF5220（3臺）2U標準機架式：兩顆四核XeonE5504(2.00GHz)/4.8GT/4M/800，Intel5500芯片組；配置8GDDR3內存，最高支持64GB，共8個內存插槽,支持內存三通道交錯、鏡象和在線備用等功能,配置3塊SAS146G硬盤，集成RAID5，做RAID5。支持基于I/OAT的網絡加速技術，最大支持6個熱插拔3.5寸SATA/SAS硬盤，集成高性能雙千兆網卡，支持網絡喚醒，網絡冗余，負載均衡等網絡高級特性，單電源,標準CD/DVDSATA光驅，集成BMC+IKVM智能控制芯片；導軌套件。郵件服務器：浪潮英信 NF5220 配置3塊SAS300G（15K）硬盤，RAID組件，四通道SAS高性能RAID（256MB緩存)卡，其他同上?？紤]到文件服務器的可擴展性，該服務器配置三塊SAS146G的硬盤，考慮到數據冗余安全和讀寫速率以及磁盤利用率，最終決定做RAID5。郵件服務器要求硬盤容量大，數據安全性高，提供數據冗余能力，系統(tǒng)穩(wěn)定性強，因此，為郵件服務器配置了更高的英特爾志強E5530系列處理器，并且將內存調至8GB，配置獨立256M緩存RAID卡。5.4不間斷電源選型機房不穩(wěn)定的電壓不僅會導致系統(tǒng)癱瘓，甚至還會造成服務器和網絡設備的硬件損壞，丟失重要數據，因此，機房應配置不間斷電源（UPS），由UPS為所有設備供電，保障網絡設備和服務器的正常運行。選擇UPS設備時，應盡量選擇比較著名的UPS品牌，如APC、山特（SANTAK）等?？紤]服務器和網絡設備運行所需功率及擴展性，最終選擇山特城堡系列的C10KS10KVA不間斷電源，其詳細參數如下表所示。表5-4UPS參數圖這里需要說明一下為什么需要選擇10KVA的UPS，主要是考慮到日后網絡的設備的增加，如服務器等。按照現有的網絡規(guī)劃，選擇6KVA的輸出功率，是可以滿足要求的，因為一臺普通的服務器功率大概700W左右，但是，考慮到日后網絡設備的增加和擴展，最終選擇10KVA的UPS。6 .ping通性測試本公司有6個部門，4個樓層，公司有自己的內部網頁與外部網站，能夠提供匿名的FTP,郵件，WWW服務，但FTP只對內部員工開放。公司中的每臺機能上互聯網，每個部門的辦公室聯合構成一個VLAN。對此，我們對公司的各部門pc和服務器來進行測試來確保這次設備配置的正確。查看vlan的狀態(tài)：查看交換機各個端口及vlan的運行狀態(tài)（以vlan10為例）：驗證：打開PC0的Command Prompt，如圖1圖1不同vlan，相同之間vlan都是是可以ping通的,如圖2：圖2相同vlan之間可以互相ping通（圖3）：圖3PC與服務器的ping通測試(圖4):，以文件服務器為例：圖47工程預算序號名稱品牌型號數量單價（元）總價（元）1服務器浪潮英信 NF5220（3臺）326700801002交換機CiscoCatalyst296064700282003臺式機聯想啟天 M438012047505700004核心交換機Cisco Catalyst 3560-E1110000110