计算机网络技术专科毕业论文中小型企业网络搭建完成版.docx
《计算机网络技术专科毕业论文中小型企业网络搭建完成版.docx》由会员分享,可在线阅读,更多相关《计算机网络技术专科毕业论文中小型企业网络搭建完成版.docx(28页珍藏版)》请在冰点文库上搜索。
计算机网络技术专科毕业论文中小型企业网络搭建完成版
毕业设计
题目:
中小型企业网络搭建
专业:
计算机网络专业
班级:
学生姓名:
指导教师姓名:
职称:
年月
中小型网络搭建
摘要通过实施中小企业网络系统集成项目,掌握对中小企业网络系统建设的需求分析,并给出解决方案,以及进行实施的步骤。
关键词中小企业网络系统集成需求分析解决方案实施步骤网路布局网络安全
引言随着计算机网络技术和网络通信技术的飞速发展和普及,使网络在各个行业中的应用越来越广泛,最为突出的是企业的生产,管理对网络依赖性的快速增加,这就使网络在带给企业巨大利益的同时也带来了更多的风险。
一旦网络出现问题,企业的正常生产办公将会受到很大影响,更严重的将会使企业遭受重大的经济损失,所以,如何提高网络的安全性,让网络更好地为企业的发展保驾护航也越来越受到大家的重视。
中小型企业计算机网络组建技术已成为计算机网络专业的一门必须掌握的技术。
如何科学地组建一个中小型企业网络,使其具有便利、快捷的可维护性是组建网络的重点。
1、企业背景和需求
1.1企业的需求
某公司计划建设自己的网络,希望通过这个新建的网络,提供一个安全、可靠、可扩展、高效的网络环境。
使公司内能够方便快捷的实现网络资源共享、全网接入Internet等目标。
1.2该公司的具体环境如下
1、公司有2个部门,财务部、市场部,还有经理办公室;
2、为了确保财务部电脑的安全,不允许市场部访问财务部主机;
3、财务部不能访问外网;
4、公司只申请到了两个公网IP地址(202.100.103.2/29、202.100.103.3/29),供企业内网接入使用,其中一个公网地址分配给公司服务器使用,另一个公网地址分给公司员工上网使用。
5、公司内部使用私网地址172.16.0.0/16,其中三层交换机SW1为财务部、市场部的DHCP服务器,自动为两部门电脑分配IP地址。
6、公司路由器R4和三层交换机SW1上运行RIP路由协议,并SW1上做默认路由指向R4,在R4上做默认路由指向外网;
7、允许外网用户访问公司www、DNS服务器,但不允许访问内网和FTP服务器;
8、配置公司DNS服务器,实现域名和IP地址的转换;
9、确保网络防攻击能力,最大限度的保证内网和服务器的安全。
10、确保公司全天候运作正常。
2、网络系统设计(如下图所示)
图1
2.1公司网络地址规划(如下表所示)
设备
接口
IP地址
R4
F0/0
172.16.1.1/30
S3/0
202.100.103.2/29
F0/1
172.16.50.1/24
SW1
F0/22
172.16.1.2/30
Vlan10
Vlan10
172.16.10.1/24
Vlan20
Vlan20
172.16.20.1/24
Vlan30
Vlan30
172.16.20.1/24
Vlan40
Vlan40
172.16.40.1/24
服务器
网卡接口
172.16.50.2/24
备份服务器
网卡接口
172.16.50.3/24
广域网规划如下:
R1
S3/0
202.100.103.1/29
F0/0
19.1.1.1/30
R2
F0/0
19.1.1.2/30
F0/1
19.1.1.5/30
R3
F0/0
19.1.1.6/30
F0/1
202.200.20..1/24
外网用户
网卡接口
202.200.20..2/24
表1
3、网络系统实施人员具体分工
*****----公司布线系统建设;公司局域网建设;
*****----公司与广域网互联建设;公司服务器建设;广域网建设;
*****----补丁自动更新软件安装
*****----软件防火墙与防木马软件的安装
*****----硬件防火墙的搭建
4、网络系统集成实施的详细步骤
4.1试验设备
4.2本工程项目主要建设内容
1、公司布线系统建设
2、公司局域网建设
3、公司与广域网互联建设
4、公司服务器建设
5、广域网建设
6、硬件防火墙的搭建
7、软件防火墙与防木马软件的安装
8、补丁自动更新软件安装
4.3工程建设详细步骤
第一,局域网建设。
(1)SW1和SW2之间做聚合端口
为什么要做端口聚合?
因为两个交换机之间有多条冗余链路的时候,STP会将其中的几条链路关闭,只保留一条,这样可以避免二层的环路产生。
但是,失去了路径冗余的优点,因为STP的链路切换会很慢,在50s左右。
使用以太通道的话,交换机会把一组物理端口联合起来,做为一个逻辑的通道,也就是channel-group,这样交换机会认为这个逻辑通道为一个端口。
这样做的优点:
1.带宽增加,带宽相当于组成组的端口的带宽总和。
2.增加冗余,只要组内不是所有的端口都down掉,两个交换机之间仍然可以继续通信。
3.负载均衡,可以在组内的端口上配置,使流量可以在这些端口
自动进行负载均衡。
端口聚合它可将多物理连接当作一个单一的逻辑连接来处理,它允许两个交换器之间通过多个端口并行连接同时传输数据以提供更高的带宽、更大的吞吐量和可恢复性的技术。
一般来说,两个普通交换器连接的最大带宽取决于媒介的连接速度(100BAST-TX双绞线为200M),而使用Trunk技术可以将4个200M的端口捆绑后成为一个高达800M的连接。
这一技术的优点是以较低的成本通过捆绑多端口提高带宽,而其增加的开销只是连接用的普通五类网线和多占用的端口,它可以有效地提高子网的上行速度,从而消除网络访问中的瓶颈。
另外Trunk还具有自动带宽平衡,即容错功能:
即使Trunk只有一个连接存在时,仍然会工作,这无形中增加了系统的可靠性。
(2)内网的运行RIPv2路由协议;
RIPv2是一种无类别路由协议(ClasslessRoutingProtocol)
RIPv2支持路由标记,在路由策略中可根据路由标记对路由进行灵活的控制。
报文中携带掩码信息,支持路由聚合和CIDR(ClasslessInter-DomainRouting,无类域间路由)。
支持指定下一跳,在广播网上可以选择到最优下一跳地址。
支持组播路由发送更新报文,减少资源消耗。
支持对协议报文进行验证,并提供明文验证和MD5验证两种方式,增强安全性。
【说明】RIP-2有两种报文传送方式:
广播方式和组播方式,默认将采用组播方式发送报文,使用的组播地址为224.0.0.9。
当接口运行RIP-2广播方式时,也可接收RIP-1的报文。
(3)财务部pc只能访问内部pc和公司服务器
作为全公司最重要的部门,财务部必须公司里部门和服务器里的一些信息,以备更新本部门的信息。
(4)市场部不能访问财务部主机
因为财务部是掌握全公司的资金的部门,所以不允许其它部门对财务部的访问,所以我们在SW2交换机上做了ACL,禁止市场部对财务部的访问。
第二,公司与广域网互联建设
(1)内网能访问外网
有时候公司员工需要在网上查看一些有用的信息,或者上网玩一下一些休闲的游戏;又或者供公司里的wsus下载最新的补丁、杀毒软件之类的升级。
(2)无线网络
公司员工由于外出工作或者学习的情况下,公司需要配备一些无线网络供这些人使用,让他们可以实时下载、上传和查看公司里的信息,以保证他们的电脑能及时与公司里的信息能够同步。
1.配置无线AP的SSID为vlan40(如下图所示)
图1
2.配置DHCP功能,地址范围为(172.16.40.10—172.16.40.200)
3.采用WEP加密方式,加密口令为:
123456(如下图所示)
图2
4.客户机动态获取ip地址(如下图所示)
图3
第三,公司服务器搭建
对于本公司来说,得到外网用户的肯定是必须的,为此我们在公司里设置了一个网页以供外网用户浏览,同时也限制了外网用户除了该网页以外,其它的公司内部资源都禁止访问,这样做主要是防止一些不法用户盗取公司里的机密。
(1)服务器用windowsserver2003搭建
(2)配置DNS服务器,域名和IP地址对应如下(如下表所示)
域名
IP地址
192.168.2.55/24
Tcp
192.168.2.5524
表1
(3)配置www服务器:
配置一个站点(如下图所示)
图1
图2
(4)FTP服务器搭建:
配置一个ftp服务器,域名是tcp,并创建相应的用户,使用户可以管理自己文件里的文件(如下图所示)
图3
图4
图5
图6
图7
第四,广域网的实施。
(1)广域网路由协议配置
链路是路由器接口的另一种说法,因此OSPF也称为接口状态路由协议。
OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短路径构造路由表。
开放最短路径协议(OSPF)协议不仅能计算两个网络结点之间的最短路径,而且能计算通信费用。
可根据网络用户的要求来平衡费用和性能,以选择相应的路由。
在一个自治系统内可划分出若干个区域,每个区域根据自己的拓扑结构计算最短路径,这减少了OSPF路由实现的工作量;OSPF属动态的自适应协议,对于网络的拓扑结构变化可以迅速地做出反应,进行相应调整,提供短的收敛期,使路由表尽快稳定化。
每个路由器都维护一个相同的、完整的全网链路状态数据库。
这个数据库很庞大,寻径时,该路由器以自己为根,构造最短路径树,然后再根据最短路径构造路由表。
路由器彼此交换,并保存整个网络的链路信息,从而掌握全网的拓扑结构,并独立计算路由。
(2)广域网OSPF区域md5认证
这样做的目的是为了保密,MD5将任意长度的“字节串”变换成一个128bit的大整数,并且它是一个不可逆的字符串变换算法,换句话说就是,即使你看到源程序和算法描述,也无法将一个MD5的值变换回原始的字符串,从数学原理上说,是因为原始的字符串有无穷多个,这有点象不存在反函数的数学函数。
MD5的典型应用是对一段Message(字节串)产生fingerprint(指纹),以防止被“篡改”。
举个例子,你将一段话写在一个叫readme.txt文件中,并对这个readme.txt产生一个MD5的值并记录在案,然后你可以传播这个文件给别人,别人如果修改了文件中的任何内容,你对这个文件重新计算MD5时就会发现(两个MD5值不相同)。
如果再有一个第三方的认证机构,用MD5还可以防止文件作者的“抵赖”,这就是所谓的数字签名应用。
第五,补丁自动更新。
为了有效提高个人计算机的免疫力,防止病毒在内网进行传播,本企业内部安装了WSUS微软补丁服务器。
局域网安装的WSUS就像是微软升级网站WindowsUpdate的复制品一样,可以在不连接外网的情况下为Windows2000/XP、WindowsServer2003及时提供重要补丁更新服务,只要用户计算机上进行简单的客户端设置,就可以接受WSUS服务器的管理,自动进行系统和应用软件的补丁更新,修复漏洞,避免了因用户疏忽给系统打补丁而引起的病毒感染,保护了计算机安全。
软件要求:
要使用默认选项安装WSUS,必须在计算机上安装以下软件。
MicrosoftInternet信息服务(IIS)6.0。
用于WindowsServer2003的Microsoft.NETFramework1.1ServicePack1。
BackgroundIntelligentTransferService(BITS)2.0。
磁盘要求:
系统分区和安装WSUS的分区都必须使用NTFS文件系统进行格式化。
系统分区至少需要1GB的可用空间。
WSUS用于存储内容的卷至少需要6GB的可用空间,建议预留空间为30GB。
WSUS安装程序用于安装WindowsSQLServer2000DesktopEngine(WMSDE)的卷至少需要2GB的可用空间。
WSUS安装配置(如下图所示)
图1
图2
自动更新要求
自动更新是WSUS的客户端组件。
除了需要连接到网络外,自动更新没有其他的硬件要求。
您可以针对运行以下任一操作系统的计算机上的WSUS使用自动更新:
带有ServicePack3(SP3)或ServicePack4(SP4)的MicrosoftWindows2000Professional、带有SP3或SP4的Windows2000Server或带有SP3或SP4的Windows2000AdvancedServer。
带有或不带ServicePack1或ServicePack2的MicrosoftWindowsXPProfessional。
MicrosoftWindowsServer2003StandardEdition、WindowsServer2003EnterpriseEdition、WindowsServer2003DatacenterEdition或WindowsServer2003WebEdition。
第六,防火墙软件和防木马软件的使用。
经调查发现,80%的网络攻击、蠕虫攻击都是来自局域网的内部。
由于病毒和木马大都具备自我复制的特征,所以中毒的计算机往往会连累到局域网中其他用户,并且现在有很多反弹木马,它能够主动向外连接客户端,发布有害信息。
经过长期的应用实践,我们发现单机防火墙软件和防木马软件结合使用,可有效的保护桌面计算机的安全。
所以,本公司大部分计算机除了启用本机的防火墙软件之外,都安装了天网防--火墙单机版和AVGAnti-Spyware7.5的正式版软件,有效地防止了个人计算机遭受病毒,特洛伊木马等恶性代码的威胁以及非法用户的入侵,使个人计算机受到了更加安全的保护
1、天网防火墙软件
安装完后要重启,重启后打开天网防火墙就能起到作用了。
默认情况下,它的作用就很强大了。
但有时它苛刻的IP规则也带来了很多不便,所以,如果没什么特殊要求的,就设置为默认就OK了,安全级别为中就好。
(1)防火墙普通应用(如下图所示)
图1
图2
图3
(2)防火墙开放端口应用(如下图所示)
图1
图2
(3)打开端口实例
图1
图2
2、AVGAnti-Spyware7.5
致力于确保数据安全,保护您的隐私,抵御间谍软件,广告软件,木马,拨号程序,键盘记录程序和蠕虫的威胁,软件安装完毕后(如下图所示)
第七,硬件防火墙的使用。
防火墙的主要作用是保障内部网络和服务器不受外界的攻击,企业局域网一般都需要在其核internet的连接处安装防火墙,来控制外界对局域网的访问。
而且在局域网内部,一些比较重要的,保密的区块,最好也和局域网中的普通应用隔离,以保证其数据的安全。
整个企业分为外网区、内网区、和服务器区(一共架设了四个硬件防火墙,和防火墙软件形成了双层保护)
外网区
过滤对本公司有害的信息的进入(服务器、内网的第一层保护)
服务器区
保护了公司服务器的安全,免受攻击(服务器的第二层保护)
内网区
公司里的财务部主机里包含着公司里的多有资金的信息,所以在sw2之间架设了一台硬件防火墙(对财务部进行第二层保护)
因为经理室里的主机往往记录了许多公司里的机密,所以除了安装软件防火墙之外,还得安装一个硬件防火墙(对经理室进行第二层保护)
(1)由于企业可以与外网访问,所以在R4与外网路由之间设置一个防火墙(如下图所示)
图1
(2)由于外网用户可以访问服务器所以在服务器与R4路由之间使用一个防火墙(如下图所示)
图2
(3)财务部与SW2之间放一个防火墙(如下图所示)
图3
(4)经理办公室与SW1之间放一个防火墙(如下图所示)
图4
5、结论
经过了几个寒暑的网络配置,我们组终于完成了,在本次配置中,本小组主要对该网络进行了如下设计:
1、对本公司使用了四个硬件防火墙(充分保护了网络中数据的流通安全性,有效制止一些攻击)
2、除了架设了硬件防火墙之外,在每一台机子上都安装了相应的防火墙软件和防木马软件(防止不法用户恶意破坏公司里的计算机)
3、为了使外网用户不能进行非法地进行访问其它内部计算机,我们做了ACL和OSPF,外网用户只能访问www,限制了外网用户访问内部计算机和FTP。
4、市场部不能访问财务部主机。
5、财务部只能访问内部计算机和公司服务器。
6、内网能访问外网。
本来想加上网络流量控制,使得限制本公司日常流量,有效地控制带宽,考虑到控制流量就要新增一个部门(作为日常维护公司网络),因为本技术人员技术有限所以目前正在改进。
还有服务器备份也是技术有限,所以还只是个设想。
本网络主要限制了外网用访问本公司内部计算机,只能访问www却不能访问ftp,过滤了所有不法的信息的流通,保证财务部与经理部计算机的安全。
改进:
进行限制流量设计,限制日常流量,有效控制带宽。
架设备份服务器。
6、致谢
在实训过程中感谢张俊学与李颖老师的指导,遇到了很多问题好在有两位老师的指导,及时地解决了。
感谢组员们的辛苦,毕业设计才得以完成。
还要感谢应用到的软件,好在没出现什么问题。
7、[参考文献]
1.陈少荣.利用分组网实现信息网络的远程访问方案.北京:
科技情报开发与经济,2006
2.金刚善.局域网组网案例精编GBH.北京:
中国水利水电出版社,2005
3.钟小平.网络服务器配置与应用GBH.北京:
人民邮电出版社,2005
4.马树奇.网络安全从入门到精通GBH.北京:
电子工业出版社,2004
5.卫少军.中小企业办公局域网组建方案.北京:
科技情报开发与经济,2004
6.张萍,张伟滨论企业组建局域网的方案.哈尔滨:
自动化技术与应用V
7.毛佳飞,中国计算机用户,2003,3,P27。
8.深圳市龙伯电子有限公司,计算机网络世界,2004,4,P23
9.徐肃益.一种中、小型企业网组建方案.广州:
企业管理,2006,2
10.李春山.中小企业局域网组建和管理的实践.哈尔滨:
信息技术,2002,6
11.丁明.中小型局域网组建.杭州:
江苏电器,2004,6
12.刘丹,宋恩昌.宽带IP网组网技术研究.北京:
计算机学报,2006.1
13.韦乐平.城域网专题北京:
电信工程技术与标准化,2006.8
14.肖晓梅,小型局域网的组建方案.南昌:
科技广场,2005.1
15.凌船繁,涂保东,计算机网络技术于应用(第四版),上海交通大学出版社,2003
16.毛汉书.网络技术基础(第六版),北京人民邮电出版社,2003
17.杜方东,陈先来.局域网组建与应用百例,中国铁道出版社,2003
18.柏松.计算机网络组建与管理,上海科学普及出版社,2004
19.郭秋萍.计算机网络实用教程(第2版)北京:
北京航空航天大学出版社,2003,9
20.郭秋萍.计算机网络实验教程.北京:
北京航空航天大学出版社,2003,9
升级会员 