组建中型企业网课程设计.docx
《组建中型企业网课程设计.docx》由会员分享,可在线阅读,更多相关《组建中型企业网课程设计.docx(26页珍藏版)》请在冰点文库上搜索。
组建中型企业网课程设计
课程设计说明书
题目名称:
网络规划与设计
系部:
计算机工程系
专业班级:
通信13-1
学生姓名:
邝鑫鑫
学号:
2013232020
指导教师:
韩芳、代康
完成日期:
2015年1月12日
网络课程实训任务书
专业
计算机
班级
通信13-1
课程名称
局域网
设计题目
组建中型企业网
指导教师
韩芳、代康
起止时间
2015年1月5日至1月16日
周数
2周
设计地点
B509实验室
设计目的:
掌握中型企业网络整体规划的原则,利用VLAN技术划分部门网络,利用网络管理软件进行网络管理
设计任务或主要技术指标:
1.掌握中型企业网络划分的方法与技术
2.掌握网络管理软件进行网络管理的原理与方法;
3.掌握企业网实现上网访问的方法
4.掌握硬件防火墙的配置。
设计进度与要求:
第1天:
布置任务,查找相关资料,硬件连接;
第2-3天:
熟悉硬件原理,绘制系统结构图,下载网络管理软件并研究软件功能;
第4-8天:
查找相关资料,并在实验台或仿真器上实验
第9-11天:
撰写课程设计报告并验收实验;
第12-13天:
进行答辩;
主要参考书及参考资料:
[1].关智.局域网组建与管理,机械工业出版社,2013年8月;
[2].杨学明.组网与网络管理技术,水利水电出版社,2009年8月。
[3].张宜.网络工程组网技术实用教程,水利水电出版社,2013年7月
教研室主任(签名)系(部)主任(签名)年月日
网络课程实训评定意见
实训题目:
组建中型企业网
学生姓名:
邝鑫鑫专业通信技术班级通信13-1班
评定意见:
评定成绩:
指导教师(签名):
年月日
摘要
研究中型企业网络的方法,主要通过Cisco Packet Tracer5.3模拟软件和实验室具体操作相结合的方式来完成。
运用各种网络技术实现我们需要的功能,例如运用ACL(访问控制列表)技术限制或者允许某些VLAN之间的互访,ADSL技术实现远程访问等等。
通过一系列的模拟和具体的实际操作基本实现中型企业网络的功能需求。
例如企业内部限制了部门之间的互访,而部门内部可以互访,同时它们还可以访问资料库。
中型企业网络的组建在保证企业网络需求基础上,为企业提供高性价比的网络,是本小组致力于此次研究的主要目的,同时本小组希望通过这次的研究,能为今后中企业网络的组建提供一个可参考的模型。
关键词:
ACL,划分VLAN,ADSL技术,企业网络
目录
第一章需求分析1
1.1中型企业网络特点与要求1
1.2中型企业网的组建背景1
第二章中型企业组网实例2
2.1网络技术的选择2
2.2网络结构设计3
2.3网络设备的选择4
2.4网段及VLAN的划分5
2.5设备的配置5
2.6防火墙的初始配置12
第三章网络布局和综合布线15
3.1网络布局的具体实施要求15
3.2布线系统的规划与设计15
3.3网络布局的规划与设计16
第四章小草网管软件典型用户管理方案18
4.1企业网络情况18
4.2小草网管软件融入客户网络18
4.3小草网管软件简介19
第五章局域网的安全控制与病毒防治21
5.1局域网安全威胁分析21
5.2局域网安全控制与病毒防治策略21
参考文献25
第一章需求分析
1.1中型企业网络特点与要求
中型企业局域网通常规模较大,结构相对较复杂,对性能的要求则因应用的不同而差别较大。
许多中型企业网络技术人员较少,因而对网络的依赖性很高,要求网络尽可能简单、可靠、易用,降低网络的使用和维护成本、提高产品的性能价格比就显得尤为重要。
基于以上特点,应遵循下列设计原则:
1.把握好技术先进性与应用简易性之间的平衡。
2.具有良好的升级扩展能力。
3.具有较高的可靠性和安全性。
4.产品功能与实际应用需求相匹配。
5.尽可能选择成熟、标准化的技术和产品。
1.2中型企业网的组建背景
随着计算机及局域网络应用的不断深入,特别是各种计算机应用系统被相继应用在实际工作中,各企业、各单位同外界信息媒体之间的相互交换和共享的要求日益增加。
需要使各单位相互间真正做到高效的信息交换、资源的共享,为各单位人员提供准确、可靠、快捷的各种生产数据和信息,充分发挥各单位现有的计算机设备的功能。
为加强各公司内各分区的业务和技术联系,提高工作效率,实现资源共享,降低运作及管理成本,公司有必要建立企业内部局域网。
局域网要求建设基于TCP/IP协议和WWW技术规范的企业内部非公开的信息管理和交换平台,该平台以WEB为核心,集成WEB、文件共享、信息资源管理等服务功能,实现公司员工在不同地域对内部网的访问。
第二章中型企业组网实例
每个公司都有机密文件,为保障这些文件不被窃取,网络组建的主要要求:
每个部门之间不能相互访问但可以访问服务器组和打印机。
环境拓扑图如下:
2.1环境拓扑图
2.1网络技术的选择
在各种局域网技术中,以太网以其造价低、技术成熟、产品丰富、可靠性高、可扩展性好、传输介质丰富和易于管理等有点而成为建设局域网的主流技术。
以太网使用CSMA/CD协议,它是一种基于冲突检测机制的网络协议。
根据拓扑结构需求分析,公司共8个办公室处于同一个楼面。
针对在技术规格上的特点,我们采用了交换机用星型的拓扑结构,这种拓扑结构的优点是:
1.容易实现:
它所采用的传输介质一般都是采用通用的双绞线,这种传输介质相对来说比较便宜。
这种拓扑结构主要应用于IEEE802.2、IEEE802.3标准的以太局域网中。
2.节点扩展、移动方便:
节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可,而要移动一个节点只需要把相应节点设备移到新节点即可,而不会像环型网络那样“牵其一而动全局”。
3.便于维护:
采用星型结构,网络故障将先以层为单位被定位在不同的交换层面上,随后在被定位的层面上很快就可以找出发生故障的交换机或节点,这种方法把复杂的维护问题简单化。
4.采用广播信息传送方式:
任何一个节点发送信息在整个网中的节点都可以收到,这在网络方面存在一定的隐患,但这在局域网中使用影响不大。
5.网络传输数据快:
这一点可以从目前最新的1000Mbps到10G以太网接入速度可以看出。
2.2网络结构设计
无论企业规模大小,企业的网络层次都应采取核心层(网络的高速交换主干)、汇聚层(提供基于策略的连接)、接入层(将工作站接入网络)三个网络层次的设计理念。
使用层次清晰的网络模式,一是方便日后的升级,二是可以减少维护成本。
三层交换与VLAN结合:
三层交换技术,也称多层交换技术或IP交换技术,是相对于二层交换技术提出的,因工作在OSI七层网络标准模型中的第三层而得名。
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个不同的网段,从而实现虚拟工作组的技术。
层次化架构三层网络:
核心层(网络的高速交换主干)、汇聚层(提供基于策略的连接)、接入层(将工作站接入网络)。
核心层:
核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。
汇聚层:
汇聚层是网络接入层和核心层的“中介”,就是在工作站接入核心层前先做汇聚,以减轻核心层设备的负荷。
接入层:
接入层向本地网段提供工作站接入。
在接入层中,减少同一网段的工作站数量,能够向工作组提供高速带宽。
2.3网络设备的选择
核心层:
图2.2CiscoCatalyst3560交换机
CiscoCatalyst3560系列交换机是一个采用快速以太网配置的固定配置、企业级、IEEE802.3af和思科预标准以太网电源(PoE)的交换机,提供了可用性、安全性和服务质量(QoS)功能,改进了网络运营。
汇聚层:
图2.3CiscoCatalyst2950交换机
CiscoCatalyst2950系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列,提供了线速快速以太网和千兆位以太网连接。
这是一款最廉价的Cisco交换产品系列,为中型网络和城域接入应用提供了智能服务。
思科PIX-501防火墙:
图2.4PIX-501防火墙
PIX501防火墙是一种针对特定需求而设计的安全设备,可以在单独的一个设备中提供丰富的安全服务,包括状态监测防火墙、虚拟专用网(VPN)和入侵防范等。
还可以利用其基于标准的互联网密钥交换(IKE)/IP安全(IPSec)VPN功能,确保远程办公机构通过互联网与企业网络之间进行的所有网络通信的安全,适合于中型办公室网络使用。
2.4网段及VLAN的划分
建筑物
部门
所属VLAN
IP地址
办公楼
经理办公室
Vlan11
192.168.11.0/24
财务部
Vlan12
192.168.12.0/24
技术部
Vlan13
192.168.13.0/24
销售部
Vlan14
192.168.14.0/24
人事部
Vlan15
192.168.15.0/24
服务器组
Vlan16
192.168.16.0/24
共享打印机
Vlan17
192.168.17.0/24
表1-1
2.5设备的配置
1.核心层交换机vlan的配置结果如下:
配置Switch3交换机
设置交换机主机名
Switch>enable
Switch#configuret
Switch(config)#hostnameS3
S3(config)#exit
创建VTP管理域,并设置为server模式
S3#vlandatabase
S3(vlan)#vtpserver
S3(vlan)#exit
创建VLAN,配置VLAN名,
S3#vlandatabase
配置经理办公室VLAN
S3(vlan)#vlan11namejinglibangongshi
配置财务处VLAN
S3(vlan)#vlan12namecaiwuchu
配置技术部VLAN
S3(vlan)#vlan13namejishubu
配置销售部VLAN
S3(vlan)#vlan14namexiaoshoubu
配置人事部VLAN
S3#(vlan)#vlan15namerenshibu
配置服务器VLAN
S3(vlan)#vlan16namefuwuqizu
配置共享打印机VLAN
S3(vlan)#vlan17namegonxiangdayinji
将端口F0/1,F0/2设置为VLAN中继模式
F0/1进入端口配置模式
S3#conft
S3(config)#interfacefastethernet0/1
将端口设置为二层方式
S3(config)#switchport
封装dotlq协议
S3(config)#switchporttrunkencapsulationdot1q
设置为trunk模式
S3(config)#switchportmodetrunk
F0/2进入端口配置模式
S3#conft
S3(config)#interfacefastethernet0/2
将端口设置为二层方式
S3(config)#switchport
封装dotlq协议
S3(config)#switchporttrunkencapsulationdot1q
设置为trunk模式
S3(config)#switchportmodetrunk
配置VLAN11接口地址
S3(config)#interfacevlan11
S3(config-if)#ipaddress192.168.11.1255.255.255.0
配置VLAN12接口地址
S3(config)#interfacevlan12
S3(config-if)#ipaddress192.168.12.1255.255.255.0
配置VLAN13接口地址
S3(config)#interfacevlan13
S3(config-if)#ipaddress192.168.13.1255.255.255.0
配置VLAN14接口地址
S3(config)#interfacevlan14
S3(config-if)#ipaddress192.168.14.1255.255.255.0
配置VLAN15接口地址
S3(config)#interfacevlan15
S3(config-if)#ipaddress192.168.15.1255.255.255.0
配置VLAN16接口地址
S3(config)#interfacevlan16
S3(config-if)#ipaddress192.168.16.1255.255.255.0
配置VLAN17接口地址
S3(config)#interfacevlan17
S3(config-if)#ipaddress192.168.17.1255.255.255.0
将F0/3-5端口划给VLAN16,只列出F0/3配置,其余端口的配置与F0/3相同
S2(config)#intf0/3
设置为访问模式
S2(config-if)#switchportmodeaccess
分配给VLAN16
S2(config-if)#switchportaccessvlan16
接入层交换机Swich1的配置结果如下:
进入vtp数据库
S1#vlandatabase
设置vtp域名
S1(vlan)#vtpdomainmyvtpdomain
设置vtp模式
S1(vlan)#vtpclient
S1(vlan)#exit
S1#configureterminal
配置接口F0/1为中继接口
S1(config)#interf0/1
封装dotlq协议
S1(config-if)#switchporttrunkencapsulationdot1p
设置为trunk模式
S1(config-if)#switchportmodetrunk
将F0/2端口划给VLAN11,只列出F0/2配置,其余端口的配置与F0/2相同
S1(config)#intf0/2
设置为访问模式
S1(config-if)#switchportmodeaccess
分配给VLAN11
S1(config-if)#switchportaccessvlan11
将F0/3-4端口划给VLAN15,只列出F0/3配置,其余端口的配置与F0/3相同
S1(config)#intf0/3
设置为访问模式
S1(config-if)#switchportmodeaccess
分配给VLAN15
S1(config-if)#switchportaccessvlan15
将F0/5-6端口划给VLAN12,只列出F0/5配置,其余端口的配置与F0/5相同
S1(config)#intf0/5
设置为访问模式
S1(config-if)#switchportmodeaccess
分配给VLAN12
S1(config-if)#switchportaccessvlan12
6.3接入层交换机Switch2的配置结果如下:
进入vtp数据库
S2#vlandatabase
设置vtp域名
S2(vlan)#vtpdomainmyvtpdomain
设置vtp模式
S2(vlan)#vtpclient
S2(vlan)#exit
配置接口F0/1为中继接口
S2(config)#intf0/1
封装dotlq协议
S2(config-if)#switchporttrunkencapsulationdot1q
设置为trunk模式
S2(config-if)#switchportmodetrunk
将F0/2-4端口划给VLAN13,只列出F0/2配置,其余端口的配置与F0/2相同
S2(config)#intf0/2
设置为访问模式
S2(config-if)#switchportmodeaccess
分配给VLAN13
S2(config-if)#switchportaccessvlan13
将F0/5-6端口划给VLAN14,只列出F0/4配置,其余端口的配置与F0/4相同
S2(config)#intf0/5
设置为访问模式
S2(config-if)#switchportmodeaccess
分配给VLAN14
S2(config-if)#switchportaccessvlan14
将F0/7端口划给VLAN17
S2(config)#intf0/7
设置为访问模式
S2(config-if)#switchportmodeaccess
分配给VLAN17
S2(config-if)#switchportaccessvlan17
2.配置ACL:
配置ACL应用在各个部门VLAN接口上,控制各部门互访
1.把访问控制列表11应用于VLAN10OUT方向上,经理办公室内部可以互访,可以访问服务器网段和网络打印机网段,但不能其他部所在网段。
access-list11permit192.168.16.00.0.0.255
access-list11permit192.168.17.00.0.0.255
access-list11deny192.168.0.00.0.255.255
access-list11permitany
intvlan11
ipaccess-group11out
2.把访问控制列表12应用于VLAN10OUT方向上,财务部内部可以互访,可以访问服务器网段和网络打印机网段,但不能其他部所在网段。
access-list12permit192.168.16.00.0.0.255
access-list12permit192.168.17.00.0.0.255
access-list12deny192.168.0.00.0.255.255
access-list12permitany
intvlan12
ipaccess-group12out
3.把访问控制列表15应用于VLAN10OUT方向上,人事部内部可以互访,可以访问服务器网段和网络打印机网段,但不能其他部所在网段。
access-list15permit192.168.16.00.0.0.255
access-list15permit192.168.17.00.0.0.255
access-list15deny192.168.0.00.0.255.255
access-list15permitany
intvlan15
ipaccess-group15out
4.把访问控制列表13应用于VLAN10OUT方向上,技术部内部可以互访,可以访问服务器网段和网络打印机网段,但不能其他部所在网段。
access-list13permit192.168.16.00.0.0.255
access-list13permit192.168.17.00.0.0.255
access-list13deny192.168.0.00.0.255.255
access-list13permitany
intvlan13
ipaccess-group13out
5.把访问控制列表14应用于VLAN10OUT方向上,销售部内部可以互访,可以访问服务器网段和网络打印机网段,但不能其他部所在网段。
access-list14permit192.168.16.00.0.0.255
access-list14permit192.168.17.00.0.0.255
access-list14deny192.168.0.00.0.255.255
access-list14permitany
intvlan14
ipaccess-group14out
2.6防火墙的初始配置
防火墙的初始配置也是通过控制端口(Console)与PC机(通常是便于移动的笔记本电脑)的串口连接,再通过Windows系统自带的超级终端程序进行选项配置。
防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样,参见图1.2所示。
图2.5
防火墙除了以上所说的通过控制端口(Console)进行初始配置外,也可以通过telnet和Tffp配置方式进行高级配置,但Telnet配置方式都是在命令方式中配置,难度较大,而Tffp方式需要专用的Tffp服务器软件,但配置界面比较友好。
防火墙的具体配置步骤如下:
1.将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上,参见图1.2。
2.打开PIX防火电源,让系统加电初始化,然后开启与防火墙连接的主机。
3.运行笔记本电脑Windows系统中的超级终端(HyperTerminal)程序(通常在"附件"程序组中)。
对超级终端的配置与交换机或路由器的配置一样,参见本教程前面有关介绍。
4.当PIX防火墙进入系统后即显示"pixfirewall>"的提示符,这就证明防火墙已启动成功,所进入的是防火墙用户模式。
可以进行进一步的配置了。
5.输入命令:
enable,进入特权用户模式,此时系统提示为:
pixfirewall#。
6.输入命令:
configureterminal,进入全局配置模式,对系统进行初始化设置。
(1)首先配置防火墙的网卡参数(以只有1个LAN和1个WAN接口的防火墙配置为例)
Interfaceethernet0auto #0号网卡系统自动分配为WAN网卡,"auto"选项为系统自适应网卡类型
Interfaceethernet1auto
(2)配置防火墙内、外部网卡的IP地址
IPaddressinsideip_addressnetmask #Inside代表内部网卡
IPaddressoutsideip_addressnetmask #outside代表外部网卡
(3)指定外部网卡的IP地址范围:
global1ip_address-ip_address
(4)指定要进行转换的内部地址
nat1
升级会员 