计算机网络搭建毕业设计.docx

1、计算机网络搭建毕业设计山东电子职业技术学院毕 业 设 计 题目: 某公司局域网搭建方案学生姓名: 学生学号: 1003051134 专业方向: 计 算 机 网 络 技 术 指导教师: 指导单位: 山东电子职业技术学院 2012年 4 月 9 日摘 要随着网络技术新系统、新领域的长足发展，传统企业也正利用其行业的特点，融合网络技术的优势，发展自身。在信息化生产逐步普及的今天，组建企业内部网络已经是企业必不可少的一部分，建立高速、稳定、安全、智能的办公网，是组建中小型企业局域网的核心。中小型企业局域网建设,必须采取“结构化、系统化”思想做指导。一个良好的、规范的网络开发过程不仅不会成为干扰实际健忘

2、工作的负担，相反会使设计的工作更清晰、更加高效和更令人满意，同时也可以大大减少网络开发成本和提高网络工程质量。本毕业设计作品定位于公司局域网设计，因此配置了比较完备的硬件资源。在内容选择上，一方面以对中小型企业的网络拓扑和所需设备进行了设计；另一方面用很直观的网络拓扑图概述了本次毕业设计相关的网络安全、网络所需设备以及所实现的网络功能和应用等。毕业设计论文包括课题概况：公司对网络性能和网络安全要求严格。使用业界流行的核心层汇聚层接入层三层结构设计的公司局域网，结合广为使用的通过划分虚拟局域网（VLAN）隔离不同部门，访问控制列表（ACL）控制端口进出数据包，网络地址转换（NAT）节约公有地址、

3、动态分配IP（DHCP）、热备份路由(HSRP)等技术，增强网络的稳定性和安全性。统需求分析：本课题对结合局域网网络特点进行了详细的需求描述和详细的分析。系统设计：系统设计包括网络拓扑结构选择、网络设备选型、VLAN、DHCP和子网的划分，详细描述了网络组成结构。港隆文具公司局域网网络安全：从网络流量控制、网络设备安全、无线网络安全详细描述了安全实施。关键词：局域网 网络拓扑 VLAN 网络安全 系统实施、ACL、NAT第一章 概述1.1课题背景中小型企业的信息化建设工程通常有规模小、结构简单的特点，综合资金投入、专业人才以及未来发展等因素，网络实用性、安全性与拓展性（升级改造能力）是中小型企

4、业实现信息化建设的主要要求，局域网内进行信息交流包括发布通知, 安排日程表、工作计划,提交工作总结,进行信息汇总等也是企业的要求。因此，成本低廉、炒作简易、便于维护并能满足业务运用需要的网络办公环境是这一领域的真正需求。针对绝多数中小型企业集中办公这一现实特点，组建一个适合中小企业需求的高性价比实用的网络是十分有实际意义的。最小规模的局域网可能就要算通过1 台共享式集线器来连接打印机、文件服务器的组建模式了，但是，在信息科技日益发展的今天，基于共享式技术的网络已经不能符合当前业务的发展的需求，更高速、更可靠、更安全以及更方便的网络和业务管理已经成为新时期企港隆文具发展的重点。如何最大程度的满足

5、公司的这些需求，为此设计次方案。1.2课题概况新设计搭建的网络将根据当前与今后一段时间的发展需求，规划一个全新的公司局域网系统，该公司局域网系统必须具备中小型企业发展的快特点，满足生产部、财务部、销售部和人力资源部对公司的管理和公司客户之间信息化需求，同时新的局域网系统必须满足将来扩展的需要进行整体计划，在满足当前需要的同时，还必须具备一定的前瞻性。在实际的建设过程当中，应当充分考虑到公司内部网业务较少，销售部占用网络带宽比较大以客户访问该公司等。对其他部门实行网络流量控制和服务。满足客户和人资部前台之间的通信。1.3 课题目的满足公司各部门之间安全稳定的通信。设计搭建新的网络满足公司发展需求

6、。对销售部流量比较大要求大，分配更多的流量。该公司网络技术人员较少，因而对网络的依赖性很高，要求网络尽可能简单、可靠、易用，降低网络的使用和维护成本为该公司电子商务网络系统提供一个统一、可靠、安全的专用信息通信平台，支持话音、数据和图像的交换与传输，实现计算机数据、话音、电视会议、图片传输等多种信息通信业务，并具有完备的网络管理系统。第二章 局域网需求分析和设计原则2.1需求与分析某公司是一家比较有潜力的公司，近几年发展很快。该公司对网络总体需求包括以下几点：适应桌面计算机处理、I/O能力大幅度提高的现状，发挥桌面机的网络性能，提高桌面机的访问带宽；适应连网规模大、总流量大的情况，合理分布流量

7、，实现流量隔离和控制；为生产部、销售部、人力资源部、财务部，合理进行网络划分，实现有效的安全访问控制和运行管理；为客户/服务器的应用环境提供支撑；增加网络系统的运行可靠性，降低故障隐患，提高系统的可管理性。本方案针对公司网络系统应用场合对安全提出了很高的要求，因此网络设计充分考虑网络上敏感数据传输的安全性，一方面需要充分利用网络设备提供的安全策略（VLAN划分等），另一方面为了保障内部数据传输的安全性，采用各种安全技术（防火墙、入侵检测、防病毒体系等），并且尽量不影响到整个网络的运行效率。为了更好的保证网络的正常运行，设计的网络系统还考虑到网络管理，实现网络的统一管理。一般中小型企业网的主要需

8、求有：1、管理的需求：包括对用户和设备的管理，可操作、易管理、具备灵活的计费策略、扩展能力强。2、区分内、外网需求：限制资源的访问。3、安全需求：非法的DHCP Server、病毒、攻击、上网日志等。4、NAT需求：公网地址不够，5、多业务需求：强大的组播支持能力、多业务融合（语言、数据、）能力。6、可靠性需求：设备具备高性能、高可靠性、高稳定性、高安全性。7、投资需求：高性价比、平滑升级、投资保护。8、Qos需求：具备完善的QOS能力。2.1.1具体需求财务部、生产部等部门不能相互进行访问，但对公司文件服务区可以访问。采用交换，必要时实现路由隔离。根据业务用户分布和数据的流向，合理的进行网段

9、划分。允许采用虚拟网技术（VLAN）。实现各计算机网络系统的互联，形成公共信息的交换环境，为企业用户提供网络服务平台。 实现信息资源和软硬件资源共享，提供丰富的网络信息服务，以推动办公自动化。根据公司两栋楼宇之间不同，采用光线接入。2.1.2需求分析1、对公司提供安全快速的网络。2、防止不明计算机接入，保证接入的安全性。3、核心到汇集全部采用单模光纤并做相应的备份，提供高速可靠的传输。4、保障公司客户正常访问公司和销售部与外网通信，防止不必要流量产生。 5、为以后员工提供宽带服务。2.2 设计目标针对本次公司局域网建设课题，按照以下目标来实施网络建设：1、建设成为信息一体化、管理集中化、业务多

10、样化的公司局域安全网络；2、新网络结构清晰，网络层次合理数据网络需要采用分布式布线： 3、网络带宽大幅提升满足公司的业务发展需求和冗余连接：4、多样性访问权限控制与管理；针对不同部门之间采取不同认证：2.3 设计原则1、可管理性具有分级、分权管理能力的网管系统，实现统一的网络业务调度和管理，降低网络运营成本。同时由于高校网络的使用者数量巨大，网上开展的业务众多，因此需要能够提供用户的高效管理，以确保公司的利益不受损失。2、可增值性公司局域网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增

11、值业务，使网络具有自我造血机制，实现以网养网。3、可扩充性考虑到公司的业务种类发展的不确定性，局域网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。4、开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。 5、安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。第三章 局域网系统设计方案3.1网络拓

12、扑设计3.1.1拓扑选择采用模块化的设计思想，按照功能划分为以下区块：交换区块和核心区块。对于由交换区块和核心区块构成的局域网再按照目前流行的层次化的设计思想，划分为接入层、汇聚层和核心层。1、交换区块的主要功能是提供用户的接入点，并防止广播数据流和网络问题到达核心区块或者其他区块，交换区块由接入层交换机和汇聚层交换机构成：(1)接入层：接入层设备作为最终用户的网络接入点，使用100M双绞线连接各层桌面终端，为每个用户提供专用的带宽，并可基于端口或MAC地址的VLAN成员资格和流量进行过滤，接入层主要的设计原则是能够通过低成本、高端口密度的设备提供这些功能。(2)汇聚层：接入层交换机使用100

13、M双绞线汇聚到一台或者多台汇聚层设备，汇聚层设备在接入层交换机之间提供第二层连接，作为接入层交换机的集中连接点及接入层和核心层之间的分界点，汇聚层在提供接入层接入的同时，还能够做到广播域的隔离、不同网段之间的路由、介质转换、安全控制。汇聚层需要提供第三层功能，即支持路由选择和网络层服务，以保护交换区块不受网络其他部分失效的影响，并防止本交换区块故障对网络其他部分的影响，如果交换区块发生了广播风暴，分布层设备可以防止该广播风暴扩散到核心和网络的其他部分。2、核心区块是公司网络的主干，主要功能是在交换区块之间用最小的时延传输数据，尽可能快的将交换数据提供到其他区块（比如交换区块）。核心区块由核心层

14、构成，包含一个或一组用来连接多个交换区块的交换机。核心层：核心层交换机负责所有交换区块设备和广域网设备的接入，因此需要高速的数据转发能力。核心层设备需要支持port-channel链路捆绑技术，来保证数据的转发能力，防止出现线路瓶颈。作为企业网络的心脏，核心层也是路由协议最优选路和运行稳定的保证，需要合理的配置路由协议，并添加冗余处理器或者应用冗余协议来保障网络核心的稳定，使企业数据流正常运作。3.1.2拓扑结构图总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。新网络拓扑图如图3-1所示。图

15、3-1 港隆文具公司网络拓扑3.1.3拓扑结构说明 1、从核心层到汇聚层全部使用单模光纤。 2、采用使用四条100M双绞线连接到汇聚层。 3、所有用户接入采用有线结合。 4、采用层次结构使网络易于管理。 5、采用高性能的单核心交换。 6、做热路由备份3.2三层详细设计及设备选型 3.2.1核心层设计核心交换机是整个网络的计算和内部数据交换处理中心，在整个局域网内是最为关键和重要的设备。核心交换机推荐采用华为S5700交换机二台。如图3-2所示图3-2 华为 S5700交换机特点：免维护易部署S5700支持自动配置、即插即用、USB开局、自动批量远程升级等功能，便于部署升级和业务发放，简化后续的

16、管理和维护性能。从而大大降低了维护成本。S5700支持SNMP V1/V2/V3、CLI命令行、Web网管、TELNET、HGMP集群管理等多样化的管理和维护方式，设备管理更加灵活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主机、基于端口的流量统计，支持NQA网络质量分析，有利于进一步作好网络规划和改造。强大的多业务支持能力S5700支持IGMP v1/v2/v3 Snooping/Filter/Fast Leave/Proxy等协议。S5700支持线速的跨VLAN组播复制功能，支持捆绑端口的组播负载分担，支持可控组播，可以充分满足IPTV和其他组播业务的需求。S5700支持

17、MCE功能，实现了不同VPN用户在同一台设备的隔离，有效解决用户数据安全问题，同时降低用户投资成本。完备的高可靠保护机制S5700不仅支持传统的STP/RSTP/MSTP生成树协议，还支持SmartLink和RRPP等增强型以太网技术，可以实现毫秒级链路保护倒换，保证高可靠性的网络质量。此外，针对Smartlink和 RRPP均提供多实例功能，可实现链路负载分担，进一步提高了链路带宽利用率。产品规格及参数：）华为Quidway S5700大容量交换机产品物理参数:主要参数产品类型千兆以太网交换机应用层级三层传输速率10/100/1000Mbps交换方式存储-转发背板带宽256Gbps包转发率9

18、6MppsMAC地址表32K端口参数端口结构非模块化端口数量24个端口描述24个10/100/1000Base-T端口扩展模块2个扩展插槽传输模式全双工/半双工自适应功能特性网络标准IEEE 802.3，IEEE 802.3u，IEEE 802.3ab，IEEE 802.3z，IEEE 802.3x，IEEE 802.1Q，IEEE 802.1d，IEEE 802.1X堆叠功能可堆叠VLAN支持4K个VLAN支持Guest VLAN、Voice VLAN支持基于MAC/协议/IP子网/策略/端口的VLAN支持1:1和N:1 VLAN交换功能QOS支持对端口接收和发送报文的速率进行限制支持报文重

19、定向支持基于端口的流量监管，支持双速三色CAR功能每端口支持8个队列支持WRR、DRR、SP、WRRSP、DRR+SP队列调度算法支持报文的802.1p和DSCP优先级重新标记支持L2（Layer 2）-L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN的非法帧过滤功能支持基于队列限速和端口Shapping功能组播管理支持IGMP v1/v2/v3 Snooping和快速离开机制支持VLAN内组播转发和组播多VLAN复制支持捆绑端口的组播负载分担支持可控组播基于端口的组播流量统计IGMP v1/v2/v3、PIM-SM、PIM

20、-DM、PIM-SSM网络管理支持堆叠支持MFF支持虚拟电缆检测（Virtual Cable Test）支持端口镜像和RSPAN（远程端口镜像）支持Telnet远程配置、维护支持SNMPv1/v2/v3支持RMON支持网管系统、支持WEB网管特性支持集群管理HGMP支持系统日志、分级告警支持GVRP协议支持MUX VLAN功能安全管理用户分级管理和口令保护支持防止DOS、ARP攻击功能、ICMP防攻击支持IP、MAC、端口、VLAN的组合绑定支持端口隔离、端口安全、Sticky MAC支持黑洞MAC地址支持MAC地址学习数目限制支持IEEE 802.1X认证，支持单端口最大用户数限制支持AAA

21、认证，支持Radius、TACACS+、NAC等多种方式支持SSH V2.0支持HTTPS支持CPU保护功能支持 黑名单和白名单3.2.2汇聚层设计为了保证数据传输和交换的效率，在楼内设置二层楼内汇聚层。楼内汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性采用H3C S3600-28P-SI汇聚交换机。如图3-3图3-3 H3C S3600-28P-SI交换机特点：1扩展性IRF技术允许交换机利用互联电缆实现多台设备的扩展，最大扩展至384个10/100M端口;具有即插即用、单一IP管理，同时大大降低系统扩展的成本。2可靠性通过专利的路由热备份技术，在整个堆叠架构内实现控制平面和

22、数据平面所有信息的冗余备份和无间断三层转发，极大的增强了堆叠架构的可靠性和性能，同时消除了单点故障，避免了业务中断。3.分布性通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率。产品规格及参数： H3C S5500-SI产品规格及参数:产品类型智能交换机应用层级三层传输速率10/100/1000Mbps交换方式存储-转发背板带宽32Gbps包转发率9.6MppsMAC地址表16K端口结构非模块化端口数量28个端口描述24个10/100Base-TX以太网端口，4个1000Base-X SFP千兆以太网端口控制端口1个Console口传输

23、模式全双工/半双工自适应网络标准IEEE 802.1Q，IEEE 802.1D，IEEE 802.1w，IEEE 802.1s，IEEE 802.3x，IEEE 802.1XVLAN支持基于端口的VLAN（4K个）支持基于协议的VLAN支持Voice VLAN支持GVRP支持VLAN VPN（QinQ），灵活QinQQOS支持对端口接收报文的速率和发送报文的速率进行限制支持报文的802.1p和DSCP优先级重新标记支持报文重定向支持CAR功能支持8个端口输出队列支持灵活的队列调度算法组播管理IGMP SnoopingIGMP V1/V2、PIM-SM、PIM-DM、MSDP（EI系列支持）网络

24、管理支持XModem/FTP/TFTP加载升级支持命令行接口（CLI）、Telnet、Console口进行配置支持SNMPV1/V2/V3、WEB网管支持RMON 1，2，3，9组MIB支持iMC智能管理中心支持HGMPv2集群管理支持系统日志、分级告警、调试信息输出支持PING、Tracert支持上电POST、风扇堵转、PoE设备过热等情况的检测与告警支持VCT（Virtual Cable Test）电缆检测功能支持DLDP（Device Link Detection Protocol，设备连接检测协议）支持端口环回检测支持IPv6 host功能族，实现IPv6管理S5700支持自动配置、即

25、插即用、USB开局、自动批量远程升级等功能，便于部署升级和业务发放，简化后续的管理和维护性能。从而大大降低了维护成本。S5700支持SNMP V1/V2/V3、CLI命令行、Web网管、TELNET、HGMP集群管理等多样化的管理和维护方式，设备管理更加灵活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主机、基于端口的流量统计，支持NQA网络质量分析，有利于进一步作好网络规划和改造。3.2.3接入层设计接入层是直接连接多台计算机相连的设备，公司网络中接入层建设中，每个部门网络接入最为典型，其主要特点是上网时间集中，突发流量大、安全控制要求高。鉴于上述特点，对于公司网络接入层配合

26、PVLAN、单端口环回检测、端口速率限制、集群管理等手段.因此接入层设备采用H3C S3100-52p 24口交换机如图3-4图3-4 H3C S3100交换机特点：高带宽和高扩展H3C S3100-52p交换机为所有的端口提供二层线速交换能力，同时支持4个GE的上行扩展，满足行业用户多业务和高带宽的应用需求。灵活的用户管理和完备的安全控制策略H3C S3100-52p千兆交换机支持集中式MAC地址认证和802.1x认证，在用户接入网络时完成必要的身份认证，支持广播风暴抑制和端口锁定功能，支持配合H3C公司的CAMS系统对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为，保证接入用户的合法

27、性。支持对Proxy进行有效的管理。H3C S5024P千兆交换机支持通过建立和维护DHCP Snooping绑定表实现侦听接入用户的MAC地址、IP地址、租用期、VLAN-ID 接口等信息，解决 DHCP用户的IP和端口跟踪定位问题。丰富的QOS策略H3C S3100-52p交换机支持每个端口8个输出队列，支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR三种队列调度算法。支持端口双向限速，限速的控制粒度为64 Kbps。多样的管理方式 H3C S3100-52p千兆交换机支持VCT（Virtual Cable Test）电缆检测功能

28、，便于快速定位网络故障点。支持通过FTP、TFTP实现设备的远程升级，支持HGMP集群管理系统和故障诊断，实现了设备的集中管理和维护，支持SNMP，可支持Open View等通用网管平台，以及Quidview网管系统。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便。 产品规格及参数：（见表所示）型号H3C S3100-52p固定端口24个10/100Base-TX以太网端口，2个10/100/1000Base-T以太网端口和2个复用的 1000Base-X SFP千兆以太网端口交换容量所有端口支持线速转发 19.2Gbps包转发率6.55Mpps交换模式存储转发

29、模式（Store and Forward）支持QoS每个端口支持4个输出队列MAC地址支持8K MAC地址 支持黑洞MAC 支持设置端口最大MAC地址学习VLAN支持基于端口的VLAN(4K 个) 支持VLAN VPN（QinQ） 支持GVRP支持ACL支持L2（Layer 2）L4（Layer 4）包过滤功能，可以匹配报文前80个字节，提供基于源MAC地址、目的MAC、源IP地址、目的IP地址、IP协议类型、TCP/UDP端口、TCP/UDP端口范围、VLAN等定义ACL 支持基于时间段（Time Range）的ACL 支持基于端口组、全局、VLAN批量下发ACL安全特性用户分级管理和口令保

30、护 支持Guest VLAN 支持IEEE 802.1X认证 支持集中MAC地址认证 支持SSH 2.0 支持IP源地址保护 支持ARP 入侵检测功能 支持ARP报文限速功能 支持端口隔离 支持IP端口的绑定 支持IP+MAC的绑定 支持端口MAC的绑定 支持IP+MAC+端口的绑定管理与维护支持XModem/FTP/TFTP加载升级 支持命令行接口（CLI），Telnet，Console口进行配置 支持SNMPv1/v2/v3，WEB网管 支持RMON（Remote Monitoring）1，2，3，9组MIB 支持H3C iMC智能管理中心 支持系统日志，分级告警，调试信息输出 支持IPv

31、6 host，包括IPv6单播地址配置，ICMPv6，IPv6邻居发现协议（ND），IPv6静态路由，IPv6-PING，IPv6-TCP，IPv6-TFTP，支持Telnet远程维护 支持上电POST 支持DLDP（Device Link Detection Protocol）单向链路检测协议 支持Loopback-detection 端口环回检测3.3 虚拟局域网VLAN与IP子网设计划分虚拟局域网是整个网络系统的重要技术之一。公司网络内部的环境复杂、分布区域广、网络用户多，以至于企业内部网络用户的可靠性得不到完全的保证。通过划分虚拟局域网，隔离不同部门，可以增强企业网络安全性，以下详细论述了虚拟局域网的技术及在网络系统中的必要