基于VLAN技术的企业网络管理系统设计与实现.docx
《基于VLAN技术的企业网络管理系统设计与实现.docx》由会员分享,可在线阅读,更多相关《基于VLAN技术的企业网络管理系统设计与实现.docx(63页珍藏版)》请在冰点文库上搜索。
基于VLAN技术的企业网络管理系统设计与实现
基于VLAN技术的企业
网络管理系统设计与实现
学院:
专业:
姓名:
指导老师:
计算机学院
计算机科学与技术
劳文超
学号:
职称:
100201021020
雷剑刚
讲师
中国·珠海
二○一四年五月
诚信承诺书
本人郑重承诺:
本人承诺呈交的毕业设计《基于VLAN技术的企业网络管理系统设计与实现》是在指导教师的指导下,独立开展研究取得的成果,文中引用他人的观点和材料,均在文后按顺序列出其参考文献,设计使用的数据真实可靠。
本人签名:
日期:
年月日
基于VLAN技术的企业网络管理系统设计与实现
摘要
随着网络信息时代的到来,网络终端如台式电脑、平板电脑、手机和IP电话的普及,人们无时无刻不在通过网络收发信息。
由此,企业对信息的需求更是巨大的,越来越多的企业为了满足工作需求、提高工作效率,建立内部网络及相应的管理系统。
而传统基于共享介质的局域网,已经不能满足人们的需求,所以基于VLAN(VirtualLocalAreaNetwork,虚拟局域网)技术的网络设计和网络管理由此诞生。
VLAN技术可以实现从一个物理网络上划分出若干个逻辑网络(即若干个VLAN),从而实现虚拟局域网。
因此,VLAN具有跨物理网络、跨交换机、防止广播风暴、有效提升带宽和软件实现灵活定义与划分等优点,给网络管理带来了极大方便。
本设计以VLAN技术为基础,结合多种当今先进普及的网络技术,对企业信息化网络系统建设和管理进行需求分析。
根据需求分析进行总体规划和模拟实现,通过规划企业网络管理系统,使企业网络信息安全可靠地传递,从而让企业实现更高效的无纸化办公和资源高度共享。
在如今信息化给企业带来经济效益和各种方便的时代,建立先进的网络管理系统可以为企业的正常生产和高效办公保驾护航。
关键词:
企业网络;网络管理系统;VLAN技术;网络规划设计;模拟实现
DesigningandImplementationofEnterpriseNetworkManagementSystemBasedontheTechnologyofVLAN
Abstract
Withtheadventofnetworkinformationageandthepopularityofnetworkterminalsuchasdesktopcomputer,tabletpersonalcomputer,mobilephoneandIPphone,peoplesendandreceiveinformationthroughthenetworkatalltime,enterprises’needforinformationisgreater.Moreandmoreenterprisesconstructinternalnetworkandcorrespondingmanagementsystemtomeettheirworkdemandsandimproveworkefficiency.HoweverthetraditionalsharedmediumLANcannotmeettheneedsofpeople.ThusthenetworkdesignandmanagementbasedonVLANtechnologyemerged.OwingtoVLANtechnology,aphysicalnetworkcanbedividedintoseverallogicalnetworks.Virtuallocalareanetworkgotrealized.VLANhasmanyadvantagessuchasspanningmultiplephysicalnetworksandswitches,preventingbroadcaststorms,liftingthebandwidtheffectivelyandsoftwaredefinitionandpartitioningcanbemanagedflexibly.Itbringsconveniencetonetworkmanagement.
ThisdesignisbaseonVLANtechnologyandcombinedwithmanyadvancedpopularnetworktechnologytoday,analyzingtheneedsofenterpriseinformationnetworkconstructionandmanagement.Accordingtothedemandanalysis,theoverallplanandsimulationimplementationofenterprisenetworkmanagementsystemwerecarriedouttomakeenterprisenetworkinformationtransferringsafelyandreliably,achievingefficientpaperlessofficeandhighlyresource-sharing.Inthisage,Informationtechnologybringseconomicbenefitandmuchconveniencetoenterprises.Constructingadvancednetworkmanagementsystemensuresnormalproductionandhigh-efficiencyoperationofenterprises.
Keywords:
enterprisenetwork;networkmanagementsystem;VLANtechnology;
networkplanninganddesign;simulationimplementation
1前言
如今企业信息化发展程度越来越高,企业内部各部门功能越来越明确,各部门工作信息相互独立,又需要相互合作通信,VLAN技术(VirtualLocalAreaNetwork,虚拟局域网)给企业内部各部门的虚拟网络的划分带来了前所未有的方便。
因此,VLAN在企业内部网络规划设计与网络管理中应用非常普遍,越来越多的企业以VLAN技术为基础,结合其他当今普遍应用且成熟的网络技术,建成自己的内部网络和管理系统。
网络范围覆盖一栋办公大楼、一片区域、甚至跨广域网实现企业总部与分公司的互联,如此大型的网络要想正常和安全地运转,需要通过适当网络技术进行管理和配置,才能提高企业网络的可靠性和安全性。
从而实现企业内部各部门、各分公司信息跨时间、跨空间、跨地域高效率地传输,给企业生产带来极大方便。
1.1本设计的目的、意义及应达到的技术要求
通过本设计,研究建立企业的网络管理系统,从企业的网络规划开始,探究网络管理在实际生产生活中的应用。
研究传统企业在实现企业信息化和无纸化过程中的网络设计,既保障企业内部各部门之间、总部与分公司之间的信息安全,又能实现企业内部资源高度共享,使企业信息在企业内部网络当中安全高效地传输,降低企业生产成本和办公成本。
本设计以VLAN技术为基础搭建企业内部局域网管理系统,增强企业信息安全、提高信息传输效率;同时采用VPN技术(VirtualPrivateNetwork,虚拟专业用网络技术)对大型企业总部与不同地区的分公司进行互联,实现企业内部跨地区信息传输;运用时下流行的IP电话实现企业内部的语音通话,节省办公成本;运用WLAN(WirelessLocalAreaNetworks)无线局域网络实现企业内部无线终端上网和与企业内网互联,为企业内部人员提供无线办公的方便;在企业对外网关上采用ACL技术(AccessControlList,访问控制列表)控制访问权限,和应用NAT技术(NetworkAddressTranslation,网络地址转换技术)节省公网IP地址。
使企业各部门信息安全、高效共享,使企业总部与分公司网络跨地域互联,让移动办公走入企业并带来方便,从而实现企业信息化共享,信息化生产,信息化办公。
1.2本设计在国内外的发展概况及存在的问题
在网络互联走入千家万户的今天,在每个人身上都至少携带一个或多个网络终端的今天,网络飞速发展不仅使人离不开网络,更使网络融入社会、融入生产、融入经济。
越来越多的企业开始自己企业本身的信息化建设,架设企业内部的网络是必然选择,网络规划和网络管理的合理性也是企业发展信息化的必然趋势,提高企业内部网络的可靠性、安全性和高效性是各企业信息化的目标。
然而国内外一些企业在急切追求高度信息化,迫切希望建设好企业内部网络的同时,有时忽略了企业网络管理和规划的合理性和安全性,为日后的企业网络的正常运转留下了隐患;有时忽略了网络的可扩展性,从而导致企业日后网络升级时的非常麻烦,且需要付出昂贵的成本;有时忽略了实际考虑,需求分析不合理,网络规模与实际需求不匹配,造成网络资源的浪费。
1.3本设计应解决的主要问题
本设计主要解决企业内部网络管理规划的合理性、可靠性和安全性。
从收集企业信息化的需求分析开始,到企业通信规范。
以VLAN技术为基础实现企业内部各部门的部门网络划分,既安全又高效;建立企业虚拟专用网络对企业总部与不同地区的分公司进行互联,实现企业内部跨地区信息传输;配备IP语音电话,实现企业摆脱传统电话资费,降低办公运营成本;提供运用企业内部WLAN无线局域网络,实现企业内部无线终端上外网和与企业内网互联,为企业内部人员提供无线办公的方便等。
最终通过安全可靠的网络管理系统,实现企业网络可靠,企业信息安全,企业办公信息化、无纸化。
2需求分析
2.1企业网络总体架构需求分析
拟建立的企业网络系统管理系统,总公司、分公司、客服中心各一个,且三个机构均位于不同的城市,即跨区域分布。
总公司、分公司、客服中心都拥有自己独立的局域网,并通过各自机构的网关防火墙接入Internet外网,使各局域网终端在通过内网相互通信的同时,还能访问外网资源。
2.2企业各机构信息点的需求和分布
拟建企业的总公司和分公司内部均设办公室、人资部、财务部、市场部、网络部、审计部和工会等7个职能部门,总公司信息点数量为480,分公司信息点数量为240,具体情况如表2.1和表2.2所示:
表2.1总公司信息点和IP电话需求分析表
总公司部门
办公室
人资部
财务部
市场部
网络部
审计部
工会
信息点
60
40
60
120
120
40
40
IP电话
30
20
30
60
60
20
20
表2.2分公司信息点和IP电话需求分析表
分公司部门
办公室
人资部
财务部
市场部
网络部
审计部
工会
信息点
40
20
20
60
60
20
20
IP电话
20
10
10
30
30
10
10
拟建企业的客服中心设置产品、售后、咨询、报修、企业、个人、政府、投诉和VIP等9个职能不同的客服专区,每个客户专区50位客服人员,每位客服人员配一个信息点和一台IP电话,共450个信息点。
客服专区信息点数量详细分析如表2.3所示:
表2.3客服中心信息点和IP电话需求分析表
客服区
一区
产品
二区
售后
三区
咨询
四区
报修
五区
企业
六区
个人
七区
政府
八区
投诉
九区
VIP
信息点
50
50
50
50
50
50
50
50
50
IP电话
50
50
50
50
50
50
50
50
50
2.3网络功能及管理需求分析
(1)公司局域网终端连接网络时,不需手动输入IP地址,具备自动分配IP地址功能。
(2)规划企业内部网络地址时,注意各部门网段的整齐有序。
(3)企业网络具有可扩展性,预留地址和网段,以便日后企业网络升级优化或增添新的设备终端。
(4)分公司和客服中心要通过安全可靠的通道,与总公司进行通信。
(5)建立企业内部的IP电话系统,企业内部人员不仅能通过IP电话与本地部门进行沟通,还要使异地机构也能通过IP电话进行语音通话;要根据机构部门的不同,IP电话号码整齐有序。
(6)对跨部门访问操作,进行限制或者验证。
(7)建立企业内部的无线网络,为企业办公提供方便,具备接入验证功能。
(8)企业网络可适应长期、不间断安全可靠地运行。
(9)企业内部局域网与外网的连通性可人为控制,即可控制企业内网终端是否能访问外网。
(10)公司网络拥有自己企业内部的域名解析、电子邮件和web等服务系统。
2.4网络安全管理需求分析
(1)对跨部门访问操作,进行限制或者验证。
(2)网关设置防火墙,能抵御黑客常规攻击。
(3)确保接入无线网络和利用无线通信的安全。
(4)对总公司与分公司、总公司与客服中心之间的通信数据,要保证其安全性。
3主要技术功能及其原理介绍
3.1VLAN技术
VLAN(VirtualLocalAreaNetwork,虚拟局域网)技术,是一种二层交换机技术,可将同一物理局域网逻辑上划分为若干个网络,可将一个局域网里的设备逻辑分为若干个网段,从而实现根据不同功能、不同作用、不同部门来划分不同的虚拟局域网,也就是不同的VLAN。
VLAN与传统的局域网根据物理位置所决定不同,它不受网络物理位置的限制,可以跨越多个物理网络,且同一个VLAN可以在一台交换机上实现也可以在多台交换机上实现,给网络管理带来了便利。
与传统共享介质的以太网不同,传统共享介质的以太网所用终端都在一个广播域上,要隔离广播风暴只能通过OSI参考模型的第三层,通过三层交换机或者路由器实现。
而在划分VLAN后,每个VLAN为一个广播域,广播和单播报文都不会发送到其他VLAN中,绝大多数信息被限制在了一个VLAN内部,隔离了广播信息,起到了防止广播风暴的作用。
由于广播域的缩小,网络中广播包的比例大大降低,还可以提升有效带宽、提升网络性能。
不同VLAN间也不是完全隔绝不允许访问的,可以通过三层交换机或者路由器实现VLAN间的通信。
运用SVI接口,除了实现VLAN间的通信以外,在IP地址的动态配置时,也方便为同一VLAN内的设备动态分配IP地址。
而且VLAN均由软件实现定义和划分,使VLAN具有很强的灵活性和扩展性,在一个VLAN中增加、删除或修改用户不必从物理上调整网络,十分灵活方便。
与传统共享介质的局域网相比,VLAN技术有不受物理位置限制、有效提升带宽、防止广播风暴和软件实现灵活管理等优点,可以极大提高局域网运行的效率。
3.2VoIP技术
VoIP(VoiceoverInternetProtocol,模拟声音信号数字化)技术,其原理是将传统声音模拟信号,通过算法利用计算机进行数字化编码压缩处理,使其具备被IP数据包封装的条件,经过TCP/IP封装打包后,再利用局域网和互联网的实时联通性,在网络上传输至目的端。
目的端再将经过解压处理,恢复成原来的语音信号,从而实现语音通过互联网传输,而非传统的模拟电路线路传输。
常用的VoIP控制协议有ITU标准的H.323协议和IETF提出的SIP协议等。
VoIP技术的应用以IP语音电话为主,IP语音电话以网络传输语音信号,只要提供足够的带宽,在进行IP电话通话的同时,电脑上网、手机联网可以同时进行。
因此许多企业内部、学校、单位配备自己的IP电话。
同一局域网内,以思科的设备为例,在二层交换机上配备语音vlan,即voicevlan,允许语音包通过交换机端口。
在语音网关上,设置分配IP地址的DHCP(DynamicHostConfigurationProtocol,动态主机配置协议),给IP电话分配IP地址。
可以通过配置语音网关,根据IP电话的MAC地址分配电话号码,从而达到电话号码与IP电话硬件的一一对应。
拨号时,网关根据电话号码查找到IP地址,IP语音包通过网关路由转发至目的端,相反亦是如此。
但IP电话的局限性在于需要提供足够的带宽保证通话质量和实时性,受网络带宽限制,如果所提供的带宽不足,将有可能会出现通话清晰度不佳、通话延时、声音断断续续等情况影响通话质量。
局域网可以为IP电话提供可靠且足够的带宽,所以目前IP电话被广泛用于企业内部网络、校园网等局域网中。
而在VoIP技术的使用,和IP电话的不断普及,也为在生产生活中为个人、企业节约了开支和成本。
3.3DHCP服务
DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)服务,其功能是,为接入网络的网络终端如PC(personalcomputer,个人电脑)、手机、平板电脑等分配自动动态的IP地址。
只需在终端上选择“自动获取IP地址”,就能从DHCP地址池中获得接入该网络的动态IP地址。
传统手动输入固定IP容易出错,使网络中两台设备或者端口使用相同的IP地址,从而造成网络中IP地址冲突,导致网络不能正常进行通信。
相比之下,DHCP动态自动分配IP地址,使IP地址分配不容易出错,更不会出现重复的情况。
DHCP服务的实现,可以通过路由器的配置或者专门的DHCP服务器实现,其工作模式为C/S模式。
在路由器或者DHCP服务器上设置地址池,即DHCP服务分配出去的IP地址范围,所有分配的IP地址都将在地址池中取得。
若所服务的终端与DHCP服务设备不在同一网段,还需在通过DHCP中继,来引导终端在网络中寻找到DHCP服务设备。
DHCP服务的原理是:
DHCP是TCP/IP中的一个标准协议,DHCP客户端即网络终端向网络中发送包含MAC地址的DHCPdiscover广播包,DHCP服务器收到请求后,向客户端发送包含可租用IP地址的DHCPoffer包。
DHCP客户端收到offer信息后,再向服务器发送DHCPrequest信息,确认其将使用offer中提供的IP地址。
服务器收到DHCPrequest信息后,即向客户端发送DHCPpositive确认信息,其中包含相应的网络配置参数,DHCP客户端收到后,表明IP地址租约成立,客户端加入到TCP/IP网络中。
3.4DNS服务
DNS(DomainNameSystem,域名系统)是一种标准的名字解析机制。
计算机并不能直接访问网络中主机的域名,计算机只能从IP地址识别网路中的主机,而IP地址是一串无规律的数字不容易被记忆,而且容易记错。
而DNS正好解决了这一问题,其功能就是将容易记忆的计算机域名与不容易记忆的网络IP地址进行转换,使人们只要记忆域名就可以轻松访问目的主机。
DNS采用C/S模式为客户机提供IP地址解析服务,通过数据库记录主机名与IP地址的对应关系。
当网络中计算机与其他的主机通信时,首先用域名向DNS服务器查询被访问主机的IP地址,完成域名查询后便可以对目的主机进行访问。
3.5NAT技术
NAT(NetworkAddressTranslation,网络地址转换)技术,随着互联网时代的到来和互联网应用的飞速发展,越来越多企业、学校和机构建立自己的局域网。
由于公网IP地址是有限的,而使用者越来越多,使得IP地址日益缺乏。
为了解决IP地址缺乏这一问题,NAT技术由此而生。
NAT技术的主要功能是,当数据报文从内网送往外网时,它把内部主机的私有IP地址转换成internet上注册的公有IP地址;当数据报文由外网送入内网时,它将外网公有IP地址转换成内网私有IP地址。
这样就可以用一个或者几个公网地址,便能使整个局域网的主机都接入因特网。
同时NAT屏蔽了内部局域网,局域网中的计算机对于因特网来说是不可见的,而地址转换对于用户来说也是透明的。
NAT技术有效缓解了如今IPv4公网地址严重不足的情况。
3.6AAA
AAA(Authentication、Authorization、Accounting,认证、授权、记账),Authentication认证,即验证用户的身份,判断其是否有权限使用网络服务;Authorization授权,根据认证的结果向用户提供网络服务;Accounting记账,记录用户各种网络服务用量,并提供计费系统。
AAA是网络安全系统,它能处理用户访问网络的请求。
当用户发起认证请求时,AAA服务器通常会通过用户输入帐号和密码的形式来进行认证。
一旦用户认证成功,就会对用户进行相应的授权,认证不成功则拒绝服务。
最后,记账过程将会记录用户在整个连接计算机网络过程中消耗的资源数,包含时间、流量等。
3.7ACL技术
ACL(AccessControlList,访问控制列表)技术,是路由器或三层交换机端口的指令列表,用来控制经过端口进出的数据分组。
ACL技术在局域网的网关中,主要负责网络内部和外部信息的安全识别,对识别不通过的网络数据分组进行过滤,是提供网络安全访问的基本手段。
其次,因为可以对三层端口进出数据流量进行控制,所以可以改善网络性能,提高网络通信质量。
ACL的功能是对经过三层接口的数据包进行控制,即转发或者丢弃。
访问控制列表可以根据数组分组中的协议、源地址、目的地址、端口号等信息进行判断,管理员可以根据需求确定这些信息来对ACL进行配置,从而控制端口进出数据。
常用的访问控制列表有标准ACL和扩展ACL,其区别是标准的ACL只检查数据包的源地址,可以拒绝来自某一网络的所有数据包通过,也可以允许来自某一网络的所有数据包通过。
而扩展的ACL则既检查源地址,也检查数据包的目的地址、端口号等信息,给网络管理提供了更灵活更广泛的控制信息和控制范围。
3.8IPSecVPN技术
IPSecVPN技术(IPSecurityVirtualPrivateNetwork,基于IPSec的虚拟专用网技术),IPSec是一种用于端到端增强IP网络通信的安全性机制,防止来自专用网络和因特网的攻击。
其将多种网络安全技术集合,建立一个可靠和安全的隧道。
IPSec基本协议包括AH(AuthenticationHeader,认证头部)协议,向IP报文提供身份验证和完整性保证;ESP(EncapsulatingSecurityPayload,封装安全负荷)协议,对数据提供保密性和数据完整性验证;IKE(InternetKeyExchange,Internet密钥交换协议),用于生成、分发在AH和ESP所使用的密钥,双方交流共享的安全信息。
总而言之IPSec为IP数据提供身份认证、完整性验证、提高保密性和交流共享的安全信息的功能。
IPSecVPN正是基于IPSec协议所建立的虚拟专用网络,将分布在不同物理位置或地理位置的局域网,中间通过Internet公共网络建立自己逻辑上的虚拟的专用网络,其安全可靠,并且可以实现方便快捷地通信。
VPN的虚拟性表现在通过ISP提供的公用网络来实现通信,而不是真正的物理专用网络连接。
VPN的专用性表现在,VPN用户之间可以安全可靠地自由通信、共享资源,而VPN以外的用户却无法访问VPN的内部网
升级会员 