基于Packet Tracer的企业网络设计及安全实现.docx
《基于Packet Tracer的企业网络设计及安全实现.docx》由会员分享,可在线阅读,更多相关《基于Packet Tracer的企业网络设计及安全实现.docx(47页珍藏版)》请在冰点文库上搜索。
基于PacketTracer的企业网络设计及安全实现
毕业设计
题目:
基于PacketTracer的企业网络设计及安全实现
学院:
计算机与通信学院
专业:
信息系统信息管理班级:
1002学号:
学生姓名:
导师姓名:
完成日期:
诚信声明
本人声明:
1、本人所呈交的毕业设计(论文)是在老师指导下进行的研究工作及取得的研究成果;
2、据查证,除了文中特别加以标注和致谢的地方外,毕业设计(论文)中不包含其他人已经公开发表过的研究成果,也不包含为获得其他教育机构的学位而使用过的材料;
3、我承诺,本人提交的毕业设计(论文)中的所有内容均真实、可信。
作者签名:
日期:
2014年6月10日
毕业设计(论文)任务书
题目:
基于PacketTracer的企业网络设计及安全实现
姓名崔洪洋学院计算机与通信学院专业信息系统与信息管理
班级信管1002学号201003110223
指导老师余新宇职称副教授教研室主任唐志航
一、基本任务及要求:
1.根据企业的网络需求,设计网络拓扑图并在PacketTracer虚拟器上进行组网;
2.给企业中的所有计算机分配IP地址、子网掩码、划分VLAN,实现内部局域网的通信;3.配置HTTP,MAIL等内部服务器,使企业内部用户访实现访问公司网站,接收邮件等功能;4.详细配置STP实现网络的链路冗余与备份;
5.配置路由器,实现内部客户端计算机对外部网站服务器的访问;
6.配置VPN实现子公司或公司在外人员对内部网络服务器的访问;根据特定的网络管理任务需求,设计相应的访问规则,完成相应的管理任务;最后,根据任务完成的情况撰写毕业设计报告
二、进度安排及完成时间:
第1周:
查找材料、和指导老师商讨初步确定论文题目。
第2-4周:
查阅资料了解常见的网络技术及架构,以太网与其他局域网技术的比较。
第5-8周:
根据需求完成网络的基本设计,设计的技术包括vlan、trunk、stp、vtp广网等。
第9-10周:
对整个网络进行再次测试以及排除相关故障
第11-13周:
完成初稿,审查论文格式,并提交指导老师批阅。
第14-15周:
完成最终电子稿,打印并装订。
第16周:
完成相关论文简介,准备论文答辩等相关工作。
摘要
随着Internet的逐步普及,Intranet(企业内部网)的建设是企业向现代化、信息化发展的必然选择。
随着计算机技术的不断发展,网络技术的不断提高,很多企业的网络性能已经跟不上现代信息的变化了,对于很多企业来说升级现有网络是必不可少的办法,企业对新建网络的向后兼容性的要求也越来越高。
企业网网络系统是一个非常庞大而复杂的系统,它不仅为现代化发展、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能够提供多种应用服务,使信息能及时、准确地传送给各个系统。
在企业网络方案设计的过程中,服务器和网络设备的选择一定要充分考虑企业的需求、扩展性以及向后的兼容性。
在配置网络设备和服务器的时候一定要根据用户的要求和技术支持文档。
因此本毕业设计课题主要以企业网络规划建设过程中可能用到的各种技术及实施方案为设计方向,为企业网的建设提供理论依据和实践指导。
本设计结合一家中小企业网络的实际需求,通过对网络组建方案的设计、基于安全的网络配置方案设计、服务器架设方案设计、企业网络安全设计等方面的研究,详尽的探讨了对该网络进行规划设计时遇到的关键性问题。
主要包括需求分析、网络设备选型、逻辑网络设计、IP地址规划方案设计、服务器架设和网络安全设计等内容。
论文针对中小企业网络拓扑进行设计和分析,给出了网络规划设计解决方案
关键词:
网络拓扑规划;网络安全设计;路由、交换;CiscoPacketTracer
ABSTRACT
AbstractAbstractAbstractAbstractWiththepopularizationofthenetwork,theconstructionofenterprise’snetworkistheinevitablechoicethatenterprisesdeveloptowardsinformationization,thenetworksystemofcorporatenetworkisaveryhugeandcomplicatedsystem,itdevelopformodernizationnotmerely,comprehensiveinformationmanagementwithofficeautomationaseriesofemploy,offerbasicoperatingplatform,andcanoffermanykindsofapplicationservice,enableinformationtoconveytoeachsystemintime,accurately.Andhasmainlyemployedtheimportantbranch’sLANtechnologyinthenetworktechnologyintheengineeringconstructionofcorporatenetwork,sothisgraduationprojectsubjectwillmainlyregardvarioustechnologyandimplementingschemethatthelandnetworkingcourseofenterpriseofficemaybeusedasthedirectionofdesigning,offertheoreticalfoundationandpracticeforconstructionofthecorporatenetworktoguide.CombiningtheactualneedsofSMEsinthenetwork,throughtheresearchofthenetworkconstructiondesign,thesecurenetworkconfigurationdesign,theserversetupdesign,andotheraspectsofnetworksecurityresearch,thisgraduationdesigngivesadetailedexplanationofthekeyissuesencounteredduringthenetworkPlanninganddesign.ThisdesignanalyzesthenetworktopologyforSMEs.DotheConfigurationandSafetyDesignofthenetwork,andalsogivesthenetworkplanninganddesignsolutions.
keyword:
TheNetworkTechnology;networksecuritydesign;routing;switching.CiscoPacketTracer
第一章绪论
1.1选题背景
随着信息化进程的前进,许许多多的企业建立了自己的企业网络。
特别是广大的大中型企业,由于组网规模适中、网络布局灵活、有限的资金成本及着眼未来的扩展等多种条件和要求下,慢慢形成了一些典型的企业组网方式。
随着互联网的发展和企业的扩大,企业网的组网要求不再局限于数据传输、信息共享,而是要更加的注重企业网络的信息安全。
本文正是以构建一个更可靠、更高速、更方便以及更安全的网络和业务管理为出发点,探讨并模拟出可行的解决方案。
1.2选题的目的和意义
统一、可靠、安全的企业网络信息系统能在企业内实现资源的高度共享,提高工作效率和管理水平,提供数据传输、视频会议等多种信息通信业务,且拥有完善的企业网管理应用系统。
建立完备的企业网络环境,是顺应时代发展的趋势,充分利用现代化技术来提高企业管理质量及实现办公的自动化,对企业在信息化时代的生存和发展具有不可或缺的意义。
1.3可行性分析
面对现代市场竞争,纯粹的手工管理方式和手段已经不能够适应现代企业发展的需求。
社会的进步、科技的发展要求企业必须更新落后的管理体制、管理方法和管理手段,建立现代企业应有的形象,建立适合本企业的自动化管理信息系统,促使管理水平的提高,经济和社会效益的增加。
实现企业现代化管理和办公自动化,能够为整个企业带来高效畅通的信息高速通道和企业公共服务环境,既能够为各部门提供先进的信息服务和生产环境,又能提高各部门的办公效率和综合管理水平,更能改变传统的管理思路和方式,提升管理人员和工作人员的素质,大大提高企业人员的工作效率。
从企业管理和业务发展的角度看,通过网络资源的公用来改善企业之间、企业和客户间的信息交流方式,使企业能够迅速掌握瞬息万变的市场信息;再者,随着办公自动化水平的提高,能够大大促进工作效率的同时减低企业管理成本的支出,提高企业的竞争力;最后,企业内部网络的建立,还能够方便各方面的沟通交流,集中管理,加强企业资源分配的最优化。
因此,建立一个统一、可靠和安全的网络信息系统是非常必要的。
1.4基本思路
根据对选题的背景、目的、意义和可行性分析,总结有如下设计思路:
选择适合的网络层次模型来规划企业网络框架;采用合理的策略,确保各业务的性能发挥,增强企业数据的保密性;设置网络设备的冗余备份,确保企业网络不间断运作,充分发挥企业网络的优势,确保企业的正常运作;最后是选用合适的网管方式,控制维护整个网络。
1.5仿真实验平台
本文所涉及的网络构建、模拟、测试等软件平台如下:
操作系统平台:
MicrosoftWindows7
网络仿真软件:
CiscoPacketTracer
第二章企业建网涉及的主要网络技术介绍
2.1园区网络技术
企业园区定义了企业复合网络模型的一个功能区域,它包括以下企业复合模块:
园区基础设施、网络管理、边缘分布。
其中园区基础设施模块包括建筑拉入、建筑物布和园区主干了模块。
建立一个完整的园区网络需要涉及到路由、交换与远程访问技术。
它们是现代计算机网络领域中三大支撑技术体系。
2.1.1路由技术
路由协议工作在OSI参考模型的第三层,因此它的作用主要是在通信子网间路由数据包。
路由器具有在网络中传递数据时选择最佳路径的能力,除了可以完成主要的路由任务,利用访问控制列表(AccessControlList,ACL),路由器还可以用来完成路由器为中心的流量控制和过滤功能。
在本组网方案中,内网用户不仅通过路由接入Internet、内网用户之间也通过三层交换机上的路由功能进行数据包交换。
2.1.2交换技术
传统意义上的数据交换发生在OSI模型的第二层,现在交换技术还实现了第三层交换和多层交换。
高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了园区网数据交换服务质量,满足了不同类型网络应用程序的需要。
2.1.2.1VLAN
现代交换网络还引入了虚拟局域网(VirtualLocalAreaNetwork,VLAN)的概念。
VLAN技术的出现,主要为了解决交换机在进行局域网互连时无法限制广播的问题。
这种技术可以把一个LAN划分成多个逻辑的LAN---VLAN,在每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个VLAN内
VLAN的主要特性有:
1、限制广播
广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力。
2、增强局域网的安全性
不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。
3、VLAN是在数据链路层的,划分子网是在网络层的,所以不同子网之间的VLAN即使是同名也不可以相互通信。
VLAN的划分依据
从技术角度讲,VLAN的划分可以依据不同原则,一般以下三种划分方法:
1、基于端口的VLAN划分
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法,该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
2、基于MAC地址的VLAN划分
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一且固化在网卡上的,MAC地址由12位16进制数表示,前6位为网卡的厂商标识(OUI),后6位为网卡的标识(NIC),网络管理员可以按MAC地址把一些站点划分为一个逻辑子网。
3、基于路由的VLAN划分
路由协议工作在网络层,相应的工作设备有路由器和路由交换机(却三层交换机),该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
目前来说,对于VLAN的划分主要采取上述1、3种方式,第2种方式为辅助性的方案。
2.1.2.2VTP协议
当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(VlanTrunkingProtocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN,然后通过VTP协议将VLAN定义传播到本征管理域中的所有交换机上,这样,大大减轻了网络管理人员的工作负担和工作强度。
VTP(VlanTrunkingProtocol):
是VLAN中继协议,也被称为虚拟局域网干道协议。
它是一个OSI参考模型第二层的通信协议,主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名,在一台VTPServer上配置一个新的VLAN时,该VLAN的配置信息将自动传播到本域内的其他所有交换机,这些交换机会自动地接收这些配置信息,使其VLAN的配置与VTPServer保持一致,从而减少在钓鱼台设备上配置同一个VLAN信息的工作量,而且保持了VLAN配置的统一性。
VTP通过网络(ISL帧或cisco私有DTP帧)保持VLAN配置统一性,VTP在系统级管理增加、删除,调整的VLAN,自动地将信息向网络中其它的交换机广播,此外,VTP减小了那些可能导致安全问题的配置,使用BTP便于管理,只要在VTPServer做相应设备,VTPClient会自动学习VTPServer上的VLAN信息。
VTP有三种工作模式:
VTPServer、VTPClient和VTPTransparent,如下图所示,一般,一个VTP域内的整个网络只设一个VTPServer,VTPServer维护该VTP域中所有VLAN信息列表,VTPServer要吧建立、删除或修改VLAN,VTPClient虽然也维护所有VLAN信息列表,但其VLAN的配置信息是从VTPServer学到的,VTPClient不能建立、删除或修改VLAN,VTPTransparent相当于是----上独立的交换机,它不参与VTP工作,不从VTPServer学习VLAN的配置信息,而只拥有本设备上自己维护的VLAN信息。
VTPTransparent可以建立、删除和修改本机上的VLAN信息,所下图2-1VTP模式所示:
图2-1VTP模式
2.1.2.3生成树协议
企业网络首要关心的就是高可用性,它在很大程度上依赖于处理业务的多层交换网络,确保高可用性的方法之一就是在整个网络中提供设备、模块和链路的冗余,但是,第二层的网络冗余可能传导致潜在的桥接环路,数据包将在设备之间无休止地循环,进而破坏网络的正常工作能力。
STP能够识别并防止这种第二层环路,STP使用根网桥、要端口和指定端口等概念建立网络的无环路径。
STP能够克服冗余网络中透明度桥接的问题,通过采用无环路径,STP能够避免和消除网络中的环路,STP可以通过判断网络中存在环路的地方并阻断冗余链路,从而达到上述目的,确保到每个目标都只有一条路径,所以永远不会产生环路,如果发生某条链路失效情况,那么网桥就会将接口从阻塞状态过渡到转发状态。
园区网内部部署方式
为了简化交换网络设计、提高交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的,园区网数据交换设备可以划分为三个层次:
接入层、分布层、核心层。
接入层为所有的终端用户提供一个接入点;分布层除了将接入层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能;核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。
2.1.3远程访问技术
远程访问也是园区网络必须提供的服务之一,它可以为家庭办公用户和出差在外的员工提供移动接入服务。
VPN(VirtualPrivateNetwork)即虚拟专用网是在公共网络上建立的专用网络,但其任意2个结点间的连接并没有传统专用网络所需的点到点的物理链路,而是架构在公共网络(Internet)服务商(ISP)所提供网络平台上的逻辑网络,用户数据通过ISP在公共网络中建立的逻辑隧道(Tunnel),即点到点的虚拟专线进行传输,通过加密技术和认证技术,确保企业内部网络数据在公共网络上安全传输,真正实现网络数据的专有性。
VPN远程接入方式最适用于企业经常有人员出差需实现远程办公的情况,出差员工利用当地ISP提供的上网服务,即可与企业VPN网关建立私有隧道连接。
VPN远程接入方式有以下主要优势:
简化网络:
只需要接入1台VPN网关设备,即可解决几十到几千人的远程接入问题。
节省费用:
利用本地拨号接入取代远距离接入或800电话接入,显著降低长途通信费用,减少了用于购置调制解调器和终端服务设备的费用。
支持多种标准认证机制如LDAP、RADIUS等。
多接接入方式:
无论用户采用那种方式访问互联网,均可建立VPN连接;
自由选择规模:
无论企业大小,VPN都有相对应的产品,用户数可为5~5000个;
具有高可用性:
对于接入用户较多的企业,VPN支持远程接入的高可用模式,保障用户服务的连贯性。
EasyVPN是CISCO的一种特征,它允许使用CISCOVPN客户端软件一类实施IPSec远程访问设备。
由于可以使用CISCO路由器或者PIX来配置EasyVPN服务器,而不需要另外增加其他设备,对于已经拥有一台大容量的边缘路由,而且仅需要少量的远程访问用户的企业来说,这无疑在保证了远程访问的高安全性的前提下,可以在成本控制上有更大的优势。
这也是本设计方案所采用它作为远程访问方式的原因。
2.1.4热备份路由协议(HSRP)
随着Internet的日益普及,人们对网络的依赖性也越来越强,这同时对网络的稳定性提出了更高的要求,人们自然想到了基于设备的备份结构,就像在服务器中为提高数据的安全性而采用双硬盘结构一样,路由器是整个网络的核心和心脏,如果路由器发生致命性的故障,将导致本地网络的瘫痪,如果是骨干路由器,影响的范围将更大,所造成的损失也是难以估计的,因此,对路由器采用热备份是提高网络可靠性的必然选择,在一个路由器完全不能工作的情况下,它的全部功能便被系统中的另一个备份路由器完全接管,直至出现问题的路由器恢复正常,这就是热备份路由协议(HotStandbyRouterProtocal),HSRPRFC2281技术要解决的问题,如下图2-2HSRP热备一所示:
图2-2HSRP热备一
热备份路由器协议(HSRP)是思科私有的协议,它的设计目标是支持特定情况下IP流量失败转移不会引起混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性,负责转发数据包的路由器称之为主动路由器(ActiveRouter)。
一旦主动路由器出现故障,HSRP将激活备份路由器(StandbyRouters)取代主动路由器,HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制,并指定一个虚拟的IP地址作为网络系统的缺省网关地址。
如果主动路由器出现故障,备份路由器(StandbyRouters)承接主动路由器的所有任务,并且不会导致主机连通中断现象。
2.2本章小结
本章介绍了Cisco对中小型企业的架构、对中小型企业复合网络模型建设;还介绍了当今组建中小型企业园区网络的主要技术,包括了路由技术、交换技术、VLAN技术、远程访问技术及冗余热备份技术等,这些都是在组建一个高可用性企业网络中必须涉及的相关技术
第三章企业网络总体设计方案
3.1总体需求分析
企业网络的总体需求即是一个统一、可靠和安全的自动化办公硬件平台系统。
这个企业网络系统必须满足如下几点:
满足现代企业管理的统一,设计网络系统时增加对统一管理的要求;满足现代企业自动化办公对网络带宽的苛刻需求,提供高性能的网络处理能力;满足现代企业部门多,资源分配有限的现状,合理规划网络层次,实现最优的资源共享;满足现代企业的发展及科技进步的需要,提供拓展能力强、升级灵活的网络环境;满足现代企业对信息资源的共享与安全,提供完善的网络安全解决方案;满足现代企业对办公效率及成本控制的需求,增加一套高效的网络应用解决方案。
3.2具体需求
3.2.1息信流分析
1).在该企业网中发生的信息流主要包括二个部分:
管理过程信息流和Internet信息流;
2).管理过程信息流包括:
各种生产控制管理信息流和行政办公信息流;
3).各种生产控制管理信息流通过在企业园区网上运行的综合信息管理及业务系统,包括企业的生产管理和日常的管理实现办公自动化,如企业ERP系统管理、OA流程管理和人事管理、财务管理、固定资产管理等,同时可在网上进行信息发布;
4).Internet信息流主要建立在宽带、结构简化、综合业务应用齐全的IP基础网上或企业园区DMZ区域网上,提供企业园区网或广域网资源信息的传递和共享。
此类数据流为载有语音、数据和视频信息的IP流。
1).场部、开发部、策划部、客户中心、采购部。
3.2.2业务需求
1).数据处理及通讯能力强,响应速度快;
2).网络运行安全、可靠性高,即使发生攻击行为,保证可追溯、可跟踪;
3).系统易扩充,易管理,便于用户的增加;
4).主干网支持多媒体、群体、图象接口应用,支持高性能数据库软件包的持续增长;
5).系统开放性、互连性好;
6).局域网既能方便远程用户的拨号接入,又能满足特殊用户高效地连入广域网,使用灵活;
7).具有很强的分布式数据处理能力。
3.2.3外部需求
1).外部需求应包括以下几个:
Internet访问、远程访问、电子邮件、以多媒体方式介绍企业、讨论和交流、WEB信息发布及FTP文件共享,各项均可通过相应的网络信息平台实现;
2).企业的网络化建设必然会对企业的信息化建设起到巨大的推动作用,同时提供简单、有效、便捷的理想办公、管理及生产环境。
3.2.4网络需求分析
根据该企业应用需求进行分析,最终决定采用以下网络部署方案解决该企业的各项需求:
1).将各个部门划分在不同的VLAN,包括服务器群和管理VLAN一共需要7个VLAN;
2).将WEB服务、邮件服务器、FTP服务器及业务应用系统服务器直接与核心交换机C
升级会员 