中小型企業(yè)局域網(wǎng)組建方案

1、中小型企業(yè)局域網(wǎng)組建方案 班級： 成員： 日期： 目 錄案例背景一 需求分析二、設(shè)計要求21.網(wǎng)絡(luò)設(shè)備22.網(wǎng)絡(luò)設(shè)計原則3三、網(wǎng)絡(luò)系統(tǒng)設(shè)計4 1.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 2.IP地址分配 3.IP地址分配表4.劃分VLAN及具體配置四、測試與調(diào)試121.主機(jī)與服務(wù)器的連接測試122.主機(jī)與主機(jī)的連接測試123.主機(jī)與外網(wǎng)的連接測試13五、路由與遠(yuǎn)程用戶訪問六、網(wǎng)絡(luò)安全的設(shè)計七、總結(jié)參考文獻(xiàn)某中型企業(yè)網(wǎng)絡(luò)工程設(shè)計與實現(xiàn)摘 要：本文是基于一個課程的網(wǎng)絡(luò)互聯(lián)設(shè)計，根據(jù)實踐環(huán)境設(shè)計一個中型企業(yè)內(nèi)部的網(wǎng)絡(luò)組建。從實際情況出發(fā)把這個中型企業(yè)的實際需要應(yīng)用到網(wǎng)絡(luò)中去，使這個企業(yè)的內(nèi)部網(wǎng)絡(luò)能夠快速便捷。因為條件有限，

2、本次設(shè)計的拓?fù)浣Y(jié)構(gòu)圖是在模擬器上進(jìn)行的。主要運用了所學(xué)的路由和交換技術(shù)。關(guān)鍵字：中型企業(yè)網(wǎng)絡(luò)、設(shè)計方案、安全案例背景以某企業(yè)的實際情況，設(shè)計一個可以正常運行的企業(yè)局域網(wǎng)，并對建成的網(wǎng)絡(luò)進(jìn)行優(yōu)化，現(xiàn)有500個結(jié)點，需要建設(shè)一個中型網(wǎng)絡(luò)以實現(xiàn)該企業(yè)內(nèi)部的相互通信和與外部的聯(lián)系，通過該網(wǎng)絡(luò)提高企業(yè)的發(fā)展和企業(yè)內(nèi)部辦公的信息化、辦公自動化。該企業(yè)有15個部門，則需要讓這15個部門能夠通過該網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)，并能實現(xiàn)部門之間信息化的合作。所以該網(wǎng)絡(luò)的必須體現(xiàn)辦公的方便性、迅速性、高效性、可靠性、科技性、資源共享、相互通信、信息發(fā)布及查詢等功能，以作為支持企業(yè)內(nèi)部辦公自動化、供應(yīng)鏈管理以及各應(yīng)用系統(tǒng)運行的基

3、礎(chǔ)設(shè)施。1、 需求分析該網(wǎng)絡(luò)是一個單核心的網(wǎng)絡(luò)結(jié)構(gòu)，采用典型的三層結(jié)構(gòu)，核心、匯聚、接入。各部門獨立成區(qū)域，防止個別區(qū)域發(fā)生問題，影響整個網(wǎng)的穩(wěn)定運行，若某匯聚交換機(jī)發(fā)生問題只會影響到某幾個部門，該網(wǎng)絡(luò)使用vlan進(jìn)行隔離，方便員工調(diào)換部門。核心交換機(jī)連接三臺匯聚交換機(jī)對所有數(shù)據(jù)進(jìn)行接收并分流，所以該設(shè)備必須是高質(zhì)量、功能具全，責(zé)任重大，通過高速轉(zhuǎn)發(fā)通信，提高優(yōu)化的，可靠的傳輸結(jié)構(gòu)。核心層應(yīng)該盡快地交換分組。該設(shè)備不承擔(dān)訪問列表檢查、數(shù)據(jù)加密、地址翻譯或者其他影響的最快速率分組的任務(wù)。匯聚層交換機(jī)位于接入層和核心層之間，該網(wǎng)絡(luò)有三臺匯聚層交換機(jī)分擔(dān)15個部門，能幫助定義和分離核心。該層的設(shè)備主

4、要目的是提供一個邊界的定義，以在其內(nèi)進(jìn)行分組處理。該層將網(wǎng)絡(luò)分段為多個廣播域。該問控制列表可以實施策略并過濾分組。匯聚層將網(wǎng)絡(luò)問題限制在發(fā)生問題的工作組內(nèi)，防止這些問題影響到核心層。該層的交換機(jī)運行在第二層和第三層上。接入層為網(wǎng)絡(luò)提供通信，并且實現(xiàn)網(wǎng)絡(luò)入口控制。最終用戶通過接入層訪問網(wǎng)絡(luò)的。作為網(wǎng)絡(luò)的“前門”，接入層交換機(jī)使用訪問列表以阻止非授權(quán)的用戶進(jìn)入網(wǎng)絡(luò)。二、設(shè)計要求1.網(wǎng)絡(luò)設(shè)備：所需的硬件：網(wǎng)絡(luò)硬件設(shè)備主要包括網(wǎng)絡(luò)服務(wù)器、工作站、網(wǎng)卡、集線器、交換機(jī)、路由器、傳輸介質(zhì)等。各種硬件設(shè)備之間是有著相互關(guān)聯(lián)而不是相互獨立的，每一部分在網(wǎng)絡(luò)中都有著不同的作用，缺一不可，只有把這些設(shè)備通過一定的

5、形式連起來才能組成一個完整的網(wǎng)絡(luò)系統(tǒng)。1.1網(wǎng)卡（網(wǎng)絡(luò)適配卡或網(wǎng)絡(luò)接口卡）網(wǎng)卡計算機(jī)與網(wǎng)絡(luò)連接的接口，是不可缺少的網(wǎng)絡(luò)設(shè)備之一。每一塊網(wǎng)卡上面都有一個世界惟一的ID號，也就是MAC地址，計算機(jī)在連入網(wǎng)絡(luò)之后，就是依靠這個ID號才能實現(xiàn)在不同計算機(jī)之間的通信和信息交換。網(wǎng)卡有很多種，不同類型的網(wǎng)絡(luò)需要使用不同種類的網(wǎng)卡，根據(jù)帶寬來分的話，有10Mbit/s網(wǎng)卡、10/100Mit/s自適應(yīng)網(wǎng)卡和1000Mbit/s網(wǎng)卡；如按總線來分的話，有ISA總線、PCI總線、PCMCIA總線網(wǎng)卡等。從目前企業(yè)局域網(wǎng)建設(shè)的實際情況來看，工作站網(wǎng)卡選擇10M/100Mbit/s自適應(yīng)網(wǎng)卡最適合。1.2網(wǎng)絡(luò)服務(wù)器

6、網(wǎng)絡(luò)服務(wù)器是一臺運行網(wǎng)絡(luò)操作系統(tǒng)，提供網(wǎng)絡(luò)通信以及其他網(wǎng)絡(luò)管理，并使連網(wǎng)的各工作站能共享軟硬件資源。在選型服務(wù)器時，主要考慮的是容量大、處理速度高和穩(wěn)定性好，一般來說都選用大型服務(wù)器作為代理服務(wù)器?？刹捎肏P ProLiant BL40p系列的服務(wù)器。1.3工作站工作站是指PC機(jī)，也稱客戶機(jī)。通過網(wǎng)卡和傳輸介質(zhì)連接到網(wǎng)絡(luò)服務(wù)器上，共享網(wǎng)絡(luò)系統(tǒng)的資源。1.4傳輸介質(zhì)傳輸介質(zhì)包括有線介質(zhì)和無線介質(zhì)兩種，一般情況下都是用有線介質(zhì)的，因為它穩(wěn)定性高、連接可靠。無線介質(zhì)只是在特殊環(huán)境下才使用。常用的有線傳輸介質(zhì)有雙絞線、同軸電纜、光纜。1.5路由器路由器就是負(fù)責(zé)地址查找，信息包翻譯和交換，實現(xiàn)計算機(jī)網(wǎng)絡(luò)

7、設(shè)備與電信設(shè)備電氣連接和信息傳遞。1.6集線器主要指共享式集線器，相當(dāng)于一個多口的中繼器，一條共享的總線，能實現(xiàn)簡單的加密和地址保護(hù)。1.7交換機(jī)交換機(jī)與集線器的作用是相同的，它的出現(xiàn)是為了提高原有網(wǎng)絡(luò)的性能同時又保護(hù)原有投資，降低網(wǎng)絡(luò)響應(yīng)速度，提高網(wǎng)絡(luò)負(fù)載能力。2、網(wǎng)絡(luò)設(shè)計原則 1、簡易與先進(jìn)性：把握好技術(shù)先進(jìn)性與應(yīng)用簡易性之間的平衡。2、可管理性及易維護(hù)性：對網(wǎng)絡(luò)實行集中監(jiān)測、分權(quán)管理，并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺，具有對設(shè)備、端口等的管理、流量統(tǒng)計分析，及可提供故障自動報警。3、實用性：以現(xiàn)行需求為基礎(chǔ)，并充分考慮發(fā)展的需要來確定系統(tǒng)規(guī)模，選用性能價格比高的產(chǎn)品。4、標(biāo)準(zhǔn)開

8、放性：支持國際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、國際標(biāo)準(zhǔn)的大型的動態(tài)路由協(xié)議等開放協(xié)議，有利于保證與其它網(wǎng)絡(luò)（如資源數(shù)據(jù)庫、金融網(wǎng)絡(luò)）之間平滑連接互通，以及將來網(wǎng)絡(luò)的擴(kuò)展。 5.可擴(kuò)展性：網(wǎng)絡(luò)要能滿足用戶當(dāng)前需求以及將來需求的增長、新技術(shù)發(fā)展等變化。因此在保護(hù)原有的投資同時，要保證用戶數(shù)的增加，以及用戶隨時隨地增加設(shè)備、增加網(wǎng)絡(luò)功能等。隨著應(yīng)用規(guī)模的發(fā)展，系統(tǒng)能靈活方便地進(jìn)行硬件或軟件系統(tǒng)的擴(kuò)展和升級。 6、具有較高的可靠性和安全性。三、網(wǎng)絡(luò)系統(tǒng)設(shè)計3.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖3.2 IP地址分配IP 地址的分配在網(wǎng)絡(luò)設(shè)計中的作用舉足輕重。直接影響整個網(wǎng)絡(luò)運行的效率。IP 地址設(shè)計的總原則是簡單、易管理、易擴(kuò)展

9、。IP 地址是TCP/IP 協(xié)議族中的網(wǎng)絡(luò)層邏輯地址，它被用來唯一地標(biāo)識網(wǎng)絡(luò)中的一個節(jié)點。IP 地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。根據(jù)以下幾個原則來分配IP 地址：1、唯一性：一個IP 網(wǎng)絡(luò)中不能有兩個主機(jī)采用相同的IP地址2、簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表的款項3、連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路由總結(jié)，大大縮減路由表，提高路由算法的效率4、可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時能保證地址總結(jié)所

10、需的連續(xù)性5、靈活性：地址分配應(yīng)具有靈活性，可借助可變長子網(wǎng)掩碼技術(shù)3.3 IP地址分配表部門Vlan編號虛擬ipIp地址范圍部門一101192.168.1.1192.168.1.2-254部門二102192.168.2.1192.168.2.2-254部門三103192.168.3.1192.168.3.2-254部門四104192.168.4.1192.168.4.2-254部門五105192.168.5.1192.168.5.2-254部門六106192.168.6.1192.168.6.2-254部門十五115192.168.15.1192.168.15.2-254服務(wù)器群網(wǎng)關(guān)ipIp

11、地址Server0192.169.0.1192.169.0.2Server1192.169.0.1192.169.0.3Printer0192.169.0.1192.169.0.43.4 劃分VLAN1. 劃分VLAN的意義一個單位在一個網(wǎng)絡(luò)號下有大量的計算機(jī)時，并不便于管理，可以根據(jù)單位所屬的部門或其地理分布位置等來劃分子網(wǎng)，在本設(shè)計方案中是根據(jù)部門來劃分子網(wǎng)的，劃分子網(wǎng)也就分割了廣播域。劃分VLAN可以有效的利用帶寬，通過將網(wǎng)絡(luò)分成小的廣播域或子網(wǎng)，VLAN解決了在大型“平”網(wǎng)絡(luò)中發(fā)現(xiàn)的擴(kuò)展性問題，將所有的數(shù)據(jù)流，包括廣播或多點廣播，都別限制在子網(wǎng)中；提高安全性，通過在VLAN間強(qiáng)迫進(jìn)行第

12、三層路由選擇，VLAN提供了安全性。如果配置了VLAN間通訊，可以使用路由器傳統(tǒng)的安全和功能。負(fù)載均衡多條通信VLAN允許第三層路由選擇協(xié)議智能決定到達(dá)目的地的最佳路徑，當(dāng)有多條到達(dá)目的地的路徑時，還能夠進(jìn)行負(fù)載均衡。對故障組建的隔離減少網(wǎng)絡(luò)故障的影響。2.具體配置如下：（1）對匯聚層三層交換機(jī)進(jìn)行vlan配置SwitchenableSwitch#vlan databaseSwitch(vlan)#vtp domain vdChanging VTP domain name from NULL to vdSwitch(vlan)#vtp serverDevice mode already VTP

13、 SERVER.（2）對接入層交換機(jī)分別進(jìn)行vlan配置SwitchenableSwitch#vlan databaseSwitch(vlan)#vtp domain vdChanging VTP domain name from NULL to vdSwitch(vlan)#vtp clientSetting device to VTP CLIENT mode.（3）將接入層交換機(jī)與匯聚層交換機(jī)相連的接口設(shè)為trunk模式Switch(config)#interface FastEthernet0/24Switch(config-if)#switchport mode trunk（4）在匯聚

14、層交換機(jī)上創(chuàng)建vlan（101-115）Switch#vlan databaseSwitch(vlan)#vlan 2 name VLAN2VLAN 2 modified: Name: VLAN2Switch(vlan)#vlan 3 name VLAN3VLAN 3 modified: Name: VLAN3（5）對匯聚層交換機(jī)與核心層路由器連接的接口設(shè)置ip地址Switch(config)#interface FastEthernet0/24Switch(config-if)#no switchportSwitch(config-if)#ip address 192.168.0.1 255

15、.255.255.0Switch(config-if)#no shutdownRouter(config)#interface FastEthernet1/0Router(config-if)#ip address 192.168.0.2 255.255.255.0Router(config-if)#no shutdown（6）對各個vlan設(shè)置虛擬ip地址（vlan 101-vlan 105）Switch(config)#interface vlan 101Switch(config-if)#ip address 192.168.1.1 255.255.255.0Switch(config-

16、if)#exit（7）對核心層路由器與服務(wù)器集群連接的端口設(shè)置ip地址Router(config)#interface FastEthernet0/0Router(config-if)#ip address 192.169.0.1 255.255.255.0Router(config-if)#no shutdown（8）對匯聚層交換機(jī)設(shè)置靜態(tài)路由Switch(config)#ip route 192.169.0.0 255.255.255.0 192.168.0.2Router(config)#ip route 192.168.0.0 255.255.240.0 192.168.0.1（9）對

17、核心層路由器進(jìn)行NAT地址轉(zhuǎn)換設(shè)置Router(config)# interface fastethernet 1/0Router(config-if)#ip nat insideRouter(config-if)exitRouter(config)#interface serial 1/2Router(config-if)#ip nat outsideRouter(config-if)exitRouter(config)#ip nat pool to_internet 210.44.64.1 210.44.64.2 netmask 255.255.255.0!定義內(nèi)部全局地址池Router(

18、config)#access-list 10 permit 192.168.0.0 0.0.15.255!定義允許轉(zhuǎn)換的地址Router(config)#ip nat inside source list 10 pool to_internet !為內(nèi)部本地調(diào)用轉(zhuǎn)換地址池四、調(diào)試與測試1、主機(jī)與服務(wù)器的連接測試PC2-Ping-Server0PC5-Ping-Server02、主機(jī)與主機(jī)的連接測試PC1-Ping-PC63、 主機(jī)與外網(wǎng)的連接測試出現(xiàn)問題：目標(biāo)主機(jī)不可達(dá)解決方案：在三層交換機(jī)中添加靜態(tài)路由Switch(config)#ip route 210.44.64.0 255.255.2

19、55.0 192.168.0.2五、遠(yuǎn)程用戶訪問遠(yuǎn)程訪問功能使遠(yuǎn)程人員或經(jīng)常變換地點的工作者可通過使用撥號通訊鏈接來訪問企業(yè)網(wǎng)絡(luò)，就像他們是直接連接到企業(yè)一樣。遠(yuǎn)程訪問也提供虛擬專用網(wǎng)（VPN）服務(wù)，以便用戶可以在Internet上訪問企業(yè)網(wǎng)絡(luò)。 用戶運行遠(yuǎn)程訪問軟件，并初始化到遠(yuǎn)程訪問服務(wù)器上的連接。遠(yuǎn)程訪問服務(wù)器，會始終驗證用戶和服務(wù)會話，直到用戶或網(wǎng)絡(luò)管理員將其終止為止。 適用于LAN連接用戶的所有服務(wù)（包括文件和打印共享、Web 服務(wù)器訪問和消息）均通過遠(yuǎn)程訪問連接啟用。 1.創(chuàng)建路由和遠(yuǎn)程訪問服務(wù)器2.選擇總結(jié)3.路由和遠(yuǎn)程訪問服務(wù)器向?qū)g迎界面配置自定義配置完成界面安裝完成后提示是

20、否啟動服務(wù)此服務(wù)器已經(jīng)是遠(yuǎn)程訪問/VPN服務(wù)器六、網(wǎng)絡(luò)安全的設(shè)計安全不僅是單一PC的問題，也不僅是服務(wù)器或路由器的問題，而是整體網(wǎng)絡(luò)系統(tǒng)的問題。所以網(wǎng)絡(luò)安全要考慮整個網(wǎng)絡(luò)系統(tǒng)，因此必須結(jié)合網(wǎng)絡(luò)系統(tǒng)來制定合適的網(wǎng)絡(luò)安全策略。 網(wǎng)絡(luò)安全涉及到的問題非常多，如防病毒、防入侵破壞、防信息盜竊、用戶身份驗證等，這些都不是由單一產(chǎn)品來完成，也不可能由單一產(chǎn)品來完成，因此網(wǎng)絡(luò)安全也必須從整體策略來考慮。網(wǎng)絡(luò)安全防護(hù)體系必須是一個動態(tài)的防護(hù)體系，需要不斷監(jiān)測與更新，只有這樣才能保障網(wǎng)絡(luò)安全。調(diào)查顯示，有超過70%的安全問題來自企業(yè)的內(nèi)部，如何對員工進(jìn)行網(wǎng)絡(luò)安全教育，如何讓員工參與網(wǎng)絡(luò)安全建設(shè)，是網(wǎng)絡(luò)安全要解決的核心問題之一。1.物理安全物理安全是指在物理介質(zhì)層次上對存儲和傳輸?shù)木W(wǎng)絡(luò)信息進(jìn)行安全保護(hù)，是網(wǎng)絡(luò)信息安全的基本保障。建立物理安全體系結(jié)構(gòu)應(yīng)從3個方面考慮:一是自然災(zāi)害（地震、火災(zāi)、洪水）、物理損壞（硬盤損壞、設(shè)備使用到期、外力損壞）和設(shè)備故障（停電斷電、電磁干擾）；二是電磁輻射、乘機(jī)而入、痕