基于vlan技术的企业网络管理系统设计与实现.docx
《基于vlan技术的企业网络管理系统设计与实现.docx》由会员分享,可在线阅读,更多相关《基于vlan技术的企业网络管理系统设计与实现.docx(16页珍藏版)》请在冰点文库上搜索。
基于vlan技术的企业网络管理系统设计与实现
基于vlan技术的企业网络管理系统设计与实现
基于vlan技术的企业网络管理系统设计与实现北京理工大学珠海学院2014届本科生毕业设计基于VLAN技术的企业网络管理系统设计与实现学院:
专业:
姓名:
指导老师:
计算机学院计算机科学与技术劳文超学号:
职称:
100201021020雷剑刚讲师中国·珠海二○一四年五月诚信承诺书本人郑重承诺:
本人承诺呈交的毕业设计《基于VLAN技术的企业网络管理系统设计与实现》是在指导教师的指导下,独立开展研究取得的成果,文中引用他人的观点和材料,均在文后按顺序列出其参考文献,设计使用的数据真实可靠。
本人签名:
日期:
年月日基于VLAN技术的企业网络管理系统设计与实现摘要随着网络信息时代的到来,网络终端如台式电脑、平板电脑、手机和IP电话的普及,人们无时无刻不在通过网络收发信息。
由此,企业对信息的需求更是巨大的,越来越多的企业为了满足工作需求、提高工作效率,建立内部网络及相应的管理系统。
而传统基于共享介质的局域网,已经不能满足人们的需求,所以基于VLAN(VirtualLocalAreaNetwork,虚拟局域网)技术的网络设计和网络管理由此诞生。
VLAN技术可以实现从一个物理网络上划分出若干个逻辑网络(即若干个VLAN),从而实现虚拟局域网。
因此,VLAN具有跨物理网络、跨交换机、防止广播风暴、有效提升带宽和软件实现灵活定义与划分等优点,给网络管理带来了极大方便。
本设计以VLAN技术为基础,结合多种当今先进普及的网络技术,对企业信息化网络系统建设和管理进行需求分析。
根据需求分析进行总体规划和模拟实现,通过规划企业网络管理系统,使企业网络信息安全可靠地传递,从而让企业实现更高效的无纸化办公和资源高度共享。
在如今信息化给企业带来经济效益和各种方便的时代,建立先进的网络管理系统可以为企业的正常生产和高效办公保驾护航。
关键词:
企业网络;网络管理系统;VLAN技术;网络规划设计;模拟实现北京理工大学珠海学院2014届本科生毕业设计DesigningandImplementationofEnterpriseNetworkManagementSystemBasedontheTechnologyofVLANAbstractWiththeadventofnetworkinformationageandthepopularityofnetworkterminalsuchasdesktopcomputer,tabletpersonalcomputer,mobilephoneandIPphone,peoplesendandreceiveinformationthroughthenetworkatalltime,enterprises’needforinformationisgreater.Moreandmoreenterprisesconstructinternalnetworkandcorrespondingmanagementsystemtomeettheirworkdemandsandimproveworkefficiency.HoweverthetraditionalsharedmediumLANcannotmeettheneedsofpeople.ThusthenetworkdesignandmanagementbasedonVLANtechnologyemerged.OwingtoVLANtechnology,aphysicalnetworkcanbedividedintoseverallogicalnetworks.Virtuallocalareanetworkgotrealized.VLANhasmanyadvantagessuchasspanningmultiplephysicalnetworksandswitches,preventingbroadcaststorms,liftingthebandwidtheffectivelyandsoftwaredefinitionandpartitioningcanbemanagedflexibly.Itbringsconveniencetonetworkmanagement.ThisdesignisbaseonVLANtechnologyandcombinedwithmanyadvancedpopularnetworktechnologytoday,analyzingtheneedsofenterpriseinformationnetworkconstructionandmanagement.Accordingtothedemandanalysis,theoverallplanandsimulationimplementationofenterprisenetworkmanagementsystemwerecarriedouttomakeenterprisenetworkinformationtransferringsafelyandreliably,achievingefficientpaperlessofficeandhighlyresource-sharing.Inthisage,Informationtechnologybringseconomicbenefitandmuchconveniencetoenterprises.Constructingadvancednetworkmanagementsystemensuresnormalproductionandhigh-efficiencyoperationofenterprises.Keywords:
enterprisenetwork;networkmanagementsystem;VLANtechnology;networkplanninganddesign;simulationimplementation目录1前言11.1本设计的目的、意义及应达到的技术要求11.2本设计在国内外的发展概况及存在的问题21.3本设计应解决的主要问题22需求分析32.1企业网络总体架构需求分析32.2企业各机构信息点的需求和分布32.3网络功能及管理需求分析42.4网络安全管理需求分析43主要技术功能及其原理介绍53.1VLAN技术53.2VoIP技术53.3DHCP服务63.4DNS服务73.5NAT技术73.6AAA73.7ACL技术83.8IPSecVPN技术84企业网络管理系统总体设计94.1总体设计目标94.2总体设计原则94.3IP地址规划104.3.1IP地址规划原则104.3.2IP地址规划和分配104.4VLAN的规划及管理124.4.1VLAN的规划原则及管理方法124.4.2VLAN的规划和分配情况124.5企业网络管理系统拓扑规划145企业网络管理系统详细设计155.1企业网络整体规划拓扑155.2网络设备选型165.2.1核心层设备选型165.2.2汇聚层设备选型185.2.3接入层设备选型195.2.4防火墙选型205.3企业网络综合布线要求215.4网络管理225.4.1VLAN管理225.4.2设备管理225.4.3用户管理225.4.4无线网络管理235.5网络安全235.5.1设备安全235.5.2关键资源的安全235.5.3网络终端安全235.5.4虚拟专用网VPN的安全245.5.5Internet接入安全245.5.6无线网络安全246企业网络系统模拟实现256.1总体模拟实现规划256.2局域网设计256.2.1核心层设计256.2.2汇聚层设计266.2.3接入层设计286.2.4服务器模拟实现296.3外网接入及VPN的模拟实现326.4无线网络设计346.5IP电话设计与实现356.6模拟Internet377系统测试387.1局域网连通测试387.2企业VPN连通测试407.3企业VoIP连通测试417.4企业无线网络测试437.5服务器群测试458结论48参考文献49谢辞50附录51北京理工大学珠海学院2014届本科生毕业设计1前言如今企业信息化发展程度越来越高,企业内部各部门功能越来越明确,各部门工作信息相互独立,又需要相互合作通信,VLAN技术(VirtualLocalAreaNetwork,虚拟局域网)给企业内部各部门的虚拟网络的划分带来了前所未有的方便。
因此,VLAN在企业内部网络规划设计与网络管理中应用非常普遍,越来越多的企业以VLAN技术为基础,结合其他当今普遍应用且成熟的网络技术,建成自己的内部网络和管理系统。
网络范围覆盖一栋办公大楼、一片区域、甚至跨广域网实现企业总部与分公司的互联,如此大型的网络要想正常和安全地运转,需要通过适当网络技术进行管理和配置,才能提高企业网络的可靠性和安全性。
从而实现企业内部各部门、各分公司信息跨时间、跨空间、跨地域高效率地传输,给企业生产带来极大方便。
1.1本设计的目的、意义及应达到的技术要求通过本设计,研究建立企业的网络管理系统,从企业的网络规划开始,探究网络管理在实际生产生活中的应用。
研究传统企业在实现企业信息化和无纸化过程中的网络设计,既保障企业内部各部门之间、总部与分公司之间的信息安全,又能实现企业内部资源高度共享,使企业信息在企业内部网络当中安全高效地传输,降低企业生产成本和办公成本。
本设计以VLAN技术为基础搭建企业内部局域网管理系统,增强企业信息安全、提高信息传输效率;同时采用VPN技术(VirtualPrivateNetwork,虚拟专业用网络技术)对大型企业总部与不同地区的分公司进行互联,实现企业内部跨地区信息传输;运用时下流行的IP电话实现企业内部的语音通话,节省办公成本;运用WLAN(WirelessLocalAreaNetworks)无线局域网络实现企业内部无线终端上网和与企业内网互联,为企业内部人员提供无线办公的方便;在企业对外网关上采用ACL技术(AccessControlList,访问控制列表)控制访问权限,和应用NAT技术(NetworkAddressTranslation,网络地址转换技术)节省公网IP地址。
使企业各部门信息安全、高效共享,使企业总部与分公司网络跨地域互联,让移动办公走入企业并带来方便,从而实现企业信息化共享,信息化生产,信息化办公。
1.2本设计在国内外的发展概况及存在的问题在网络互联走入千家万户的今天,在每个人身上都至少携带一个或多个网络终端的今天,网络飞速发展不仅使人离不开网络,更使网络融入社会、融入生产、融入经济。
越来越多的企业开始自己企业本身的信息化建设,架设企业内部的网络是必然选择,网络规划和网络管理的合理性也是企业发展信息化的必然趋势,提高企业内部网络的可靠性、安全性和高效性是各企业信息化的目标。
然而国内外一些企业在急切追求高度信息化,迫切希望建设好企业内部网络的同时,有时忽略了企业网络管理和规划的合理性和安全性,为日后的企业网络的正常运转留下了隐患;有时忽略了网络的可扩展性,从而导致企业日后网络升级时的非常麻烦,且需要付出昂贵的成本;有时忽略了实际考虑,需求分析不合理,网络规模与实际需求不匹配,造成网络资源的浪费。
1.3本设计应解决的主要问题本设计主要解决企业内部网络管理规划的合理性、可靠性和安全性。
从收集企业信息化的需求分析开始,到企业通信规范。
以VLAN技术为基础实现企业内部各部门的部门网络划分,既安全又高效;建立企业虚拟专用网络对企业总部与不同地区的分公司进行互联,实现企业内部跨地区信息传输;配备IP语音电话,实现企业摆脱传统电话资费,降低办公运营成本;提供运用企业内部WLAN无线局域网络,实现企业内部无线终端上外网和与企业内网互联,为企业内部人员提供无线办公的方便等。
最终通过安全可靠的网络管理系统,实现企业网络可靠,企业信息安全,企业办公信息化、无纸化。
2需求分析2.1企业网络总体架构需求分析拟建立的企业网络系统管理系统,总公司、分公司、客服中心各一个,且三个机构均位于不同的城市,即跨区域分布。
总公司、分公司、客服中心都拥有自己独立的局域网,并通过各自机构的网关防火墙接入Internet外网,使各局域网终端在通过内网相互通信的同时,还能访问外网资源。
2.2企业各机构信息点的需求和分布拟建企业的总公司和分公司内部均设办公室、人资部、财务部、市场部、网络部、审计部和工会等7个职能部门,总公司信息点数量为480,分公司信息点数量为240,具体情况如表2.1和表2.2所示:
表2.1总公司信息点和IP电话需求分析表总公司部门办公室人资部财务部市场部网络部审计部工会信息点6040601201204040IP电话30203060602020表2.2分公司信息点和IP电话需求分析表分公司部门办公室人资部财务部市场部网络部审计部工会信息点40202060602020IP电话20101030301010拟建企业的客服中心设置产品、售后、咨询、报修、企业、个人、政府、投诉和VIP等9个职能不同的客服专区,每个客户专区50位客服人员,每位客服人员配一个信息点和一台IP电话,共450个信息点。
客服专区信息点数量详细分析如表2.3所示:
表2.3客服中心信息点和IP电话需求分析表客服区一区产品二区售后三区咨询四区报修五区企业六区个人七区政府八区投诉九区VIP信息点505050505050505050IP电话5050505050505050502.3网络功能及管理需求分析
(1)公司局域网终端连接网络时,不需手动输入IP地址,具备自动分配IP地址功能。
(2)规划企业内部网络地址时,注意各部门网段的整齐有序。
(3)企业网络具有可扩展性,预留地址和网段,以便日后企业网络升级优化或增添新的设备终端。
(4)分公司和客服中心要通过安全可靠的通道,与总公司进行通信。
(5)建立企业内部的IP电话系统,企业内部人员不仅能通过IP电话与本地部门进行沟通,还要使异地机构也能通过IP电话进行语音通话;要根据机构部门的不同,IP电话号码整齐有序。
(6)对跨部门访问操作,进行限制或者验证。
(7)建立企业内部的无线网络,为企业办公提供方便,具备接入验证功能。
(8)企业网络可适应长期、不间断安全可靠地运行。
(9)企业内部局域网与外网的连通性可人为控制,即可控制企业内网终端是否能访问外网。
(10)公司网络拥有自己企业内部的域名解析、电子邮件和web等服务系统。
2.4网络安全管理需求分析
(1)对跨部门访问操作,进行限制或者验证。
(2)网关设置防火墙,能抵御黑客常规攻击。
(3)确保接入无线网络和利用无线通信的安全。
(4)对总公司与分公司、总公司与客服中心之间的通信数据,要保证其安全性。
3主要技术功能及其原理介绍3.1VLAN技术VLAN(VirtualLocalAreaNetwork,虚拟局域网)技术,是一种二层交换机技术,可将同一物理局域网逻辑上划分为若干个网络,可将一个局域网里的设备逻辑分为若干个网段,从而实现根据不同功能、不同作用、不同部门来划分不同的虚拟局域网,也就是不同的VLAN。
VLAN与传统的局域网根据物理位置所决定不同,它不受网络物理位置的限制,可以跨越多个物理网络,且同一个VLAN可以在一台交换机上实现也可以在多台交换机上实现,给网络管理带来了便利。
与传统共享介质的以太网不同,传统共享介质的以太网所用终端都在一个广播域上,要隔离广播风暴只能通过OSI参考模型的第三层,通过三层交换机或者路由器实现。
而在划分VLAN后,每个VLAN为一个广播域,广播和单播报文都不会发送到其他VLAN中,绝大多数信息被限制在了一个VLAN内部,隔离了广播信息,起到了防止广播风暴的作用。
由于广播域的缩小,网络中广播包的比例大大降低,还可以提升有效带宽、提升网络性能。
不同VLAN间也不是完全隔绝不允许访问的,可以通过三层交换机或者路由器实现VLAN间的通信。
运用SVI接口,除了实现VLAN间的通信以外,在IP地址的动态配置时,也方便为同一VLAN内的设备动态分配IP地址。
而且VLAN均由软件实现定义和划分,使VLAN具有很强的灵活性和扩展性,在一个VLAN中增加、删除或修改用户不必从物理上调整网络,十分灵活方便。
与传统共享介质的局域网相比,VLAN技术有不受物理位置限制、有效提升带宽、防止广播风暴和软件实现灵活管理等优点,可以极大提高局域网运行的效率。
3.2VoIP技术VoIP(VoiceoverInternetProtocol,模拟声音信号数字化)技术,其原理是将传统声音模拟信号,通过算法利用计算机进行数字化编码压缩处理,使其具备被IP数据包封装的条件,经过TCP/IP封装打包后,再利用局域网和互联网的实时联通性,在网络上传输至目的端。
目的端再将经过解压处理,恢复成原来的语音信号,从而实现语音通过互联网传输,而非传统的模拟电路线路传输。
常用的VoIP控制协议有ITU标准的H.323协议和IETF提出的SIP协议等。
VoIP技术的应用以IP语音电话为主,IP语音电话以网络传输语音信号,只要提供足够的带宽,在进行IP电话通话的同时,电脑上网、手机联网可以同时进行。
因此许多企业内部、学校、单位配备自己的IP电话。
同一局域网内,以思科的设备为例,在二层交换机上配备语音vlan,即voicevlan,允许语音包通过交换机端口。
在语音网关上,设置分配IP地址的DHCP(DynamicHostConfigurationProtocol,动态主机配置协议),给IP电话分配IP地址。
可以通过配置语音网关,根据IP电话的MAC地址分配电话号码,从而达到电话号码与IP电话硬件的一一对应。
拨号时,网关根据电话号码查找到IP地址,IP语音包通过网关路由转发至目的端,相反亦是如此。
但IP电话的局限性在于需要提供足够的带宽保证通话质量和实时性,受网络带宽限制,如果所提供的带宽不足,将有可能会出现通话清晰度不佳、通话延时、声音断断续续等情况影响通话质量。
局域网可以为IP电话提供可靠且足够的带宽,所以目前IP电话被广泛用于企业内部网络、校园网等局域网中。
而在VoIP技术的使用,和IP电话的不断普及,也为在生产生活中为个人、企业节约了开支和成本。
3.3DHCP服务DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)服务,其功能是,为接入网络的网络终端如PC(personalcomputer,个人电脑)、手机、平板电脑等分配自动动态的IP地址。
只需在终端上选择“自动获取IP地址”,就能从DHCP地址池中获得接入该网络的动态IP地址。
传统手动输入固定IP容易出错,使网络中两台设备或者端口使用相同的IP地址,从而造成网络中IP地址冲突,导致网络不能正常进行通信。
相比之下,DHCP动态自动分配IP地址,使IP地址分配不容易出错,更不会出现重复的情况。
DHCP服务的实现,可以通过路由器的配置或者专门的DHCP服务器实现,其工作模式为C/S模式。
在路由器或者DHCP服务器上设置地址池,即DHCP服务分配出去的IP地址范围,所有分配的IP地址都将在地址池中取得。
若所服务的终端与DHCP服务设备不在同一网段,还需在通过DHCP中继,来引导终端在网络中寻找到DHCP服务设备。
DHCP服务的原理是:
DHCP是TCP/IP中的一个标准协议,DHCP客户端即网络终端向网络中发送包含MAC地址的DHCPdiscover广播包,DHCP服务器收到请求后,向客户端发送包含可租用IP地址的DHCPoffer包。
DHCP客户端收到offer信息后,再向服务器发送DHCPrequest信息,确认其将使用offer中提供的IP地址。
服务器收到DHCPrequest信息后,即向客户端发送DHCPpositive确认信息,其中包含相应的网络配置参数,DHCP客户端收到后,表明IP地址租约成立,客户端加入到TCP/IP网络中。
3.4DNS服务DNS(DomainNameSystem,域名系统)是一种标准的名字解析机制。
计算机并不能直接访问网络中主机的域名,计算机只能从IP地址识别网路中的主机,而IP地址是一串无规律的数字不容易被记忆,而且容易记错。
而DNS正好解决了这一问题,其功能就是将容易记忆的计算机域名与不容易记忆的网络IP地址进行转换,使人们只要记忆域名就可以轻松访问目的主机。
DNS采用C/S模式为客户机提供IP地址解析服务,通过数据库记录主机名与IP地址的对应关系。
当网络中计算机与其他的主机通信时,首先用域名向DNS服务器查询被访问主机的IP地址,完成域名查询后便可以对目的主机进行访问。
3.5NAT技术NAT(NetworkAddressTranslation,网络地址转换)技术,随着互联网时代的到来和互联网应用的飞速发展,越来越多企业、学校和机构建立自己的局域网。
由于公网IP地址是有限的,而使用者越来越多,使得IP地址日益缺乏。
为了解决IP地址缺乏这一问题,NAT技术由此而生。
NAT技术的主要功能是,当数据报文从内网送往外网时,它把内部主机的私有IP地址转换成internet上注册的公有IP地址;当数据报文由外网送入内网时,它将外网公有IP地址转换成内网私有IP地址。
这样就可以用一个或者几个公网地址,便能使整个局域网的主机都接入因特网。
同时NAT屏蔽了内部局域网,局域网中的计算机对于因特网来说是不可见的,而地址转换对于用户来说也是透明的。
NAT技术有效缓解了如今IPv4公网地址严重不足的情况。
3.6AAAAAA(Authentication、Authorization、Accounting,认证、授权、记账),Authentication认证,即验证用户的身份,判断其是否有权限使用网络服务;Authorization授权,根据认证的结果向用户提供网络服务;Accounting记账,记录用户各种网络服务用量,并提供计费系统。
AAA是网络安全系统,它能处理用户访问网络的请求。
当用户发起认证请求时,AAA服务器通常会通过用户输入帐号和密码的形式来进行认证。
一旦用户认证成功,就会对用户进行相应的授权,认证不成功则拒绝服务。
最后,记账过程将会记
升级会员 