网络综合课程设计报告.docx

网络综合课程设计报告.docx

《网络综合课程设计报告.docx》由会员分享，可在线阅读，更多相关《网络综合课程设计报告.docx（20页珍藏版）》请在冰点文库上搜索。

网络综合课程设计报告

合肥学院

计算机科学与技术系

课程设计报告

2012～2013学年第二学期

题目

科讯企业网络设计

课程设计名称

网络综合课程设计

专业班级

网络工程

（1）班

姓名/学号

XX/100403100X

指导教师

汪彩梅李正茂

2013年6月

一、课程设计目的

通过“网络综合课程设计”的环节，以系统集成项目的调研、规划与实施为主线，根据专业所学，完成网络基础架构、网络系统的安装与配置、网络安全、网络管理等计算机网络技术的综合设计与应用。

通过课程设计，使学生进一步巩固在计算机网络课程中学到的专业知识，深入掌握计算机网络工程的设计与施工、网络系统的安装与配置技术，了解网络系统建设各部分之间的相互关系，提高学生计算机网络技术的综合运用和实际动手能力，培养学生的分工协作的团队精神。

二、课程设计的名称及内容

名称：

科讯企业网络设计

企业背景描述及需求：

科讯企业网构建简单的说就是将中小型企业内各种信息资源通过高性能网络设备连接起来，形成园区网系统，以便内部员工资源共享，并通过路由器与外网相连。

随着网络的的普及和快速发展，病毒、木马、黑客攻击等危害行为随之产生，所以构建一个安全、企业网显得尤为重要。

某企业分为管理层、销售部、财务部、技术部等部门，且已在ISP申请了58.242.1.1至58.242.1.1010个公网地址，要求为全部用户提供安全的网络接入，企业网覆盖企业所有楼宇，企业要求建设对外的WWW服务，电子邮件,对内部用户的文件传输服务、内部域名服务和企业内部门户网站，要求对用户实现域模式管理，建立严格的资源访问控制，为保证业务的正常开展，要求建立完善的网络安全体系和网络管理系统，允许外网可信任用户远程访问企业内网资源。

总体目标为:

1、完成该企业网络与信息化建设系统集成项目从规划到实施以及管理的全部工作。

2、在企业网中建成一个适合于信息采集、共享的内部网络，在此基础上建立起供用户培训使用的内部网络以及内部办公网络。

3、使用防火墙、访问控制列表、地址转换安全的实现到Internet的接入与访问，及实现信息在Internet的发布。

三、任务和要求

（一）、需求分析：

随着信息时代的到来,无论是办公或者是通信都离不开计算机。

现在的人越来越依靠于计算机，再加上电子商务行业的飞速发展Internet的应用也更加广泛。

由于这样的社会环境人们对各种数据形式的信息需求和交流的不断增长，使得当今的计算机网络，成为信息技术的基础设施与获取、共享和交流信息的主要工具，并成为人们在当今社会生活及工作中不可缺少的组成部分。

因此，在全球信息电子化、网络化迅速发展的大环境下，无论是从大趋势上看，还是从自身商业利益角度考虑，建立园区网是企业顺应时代潮流的必由之路。

●用户的应用需求：

所有用户可以方便地浏览和查询局域网和互联网上的学习资源，通过WWW服务器、电子邮件服务器、文件服务器、远程登录等实现远程学习，此外为销售部、管理部、技术研发部、财务部等用户。

●通信需求：

通过E-mail及其它网络功能满足全网的通信与信息交换的要求，提供文件数据共享、电子邮箱服务等。

●信息点和用户需求：

按照要求本园区网内信息点要求，其中包括销售部、管理部、技术研发部和财务部若干个，电子邮件服务器、文件服务服务器、DNS域名服务器等为内部单位服务，WWW服务器、远程登录等实现远程学习，从外部网站获得资源。

●性能需求：

此企业需要支持企业的日常办公和管理，包括销售管理、技术管理、财务管理等并且支持网络信息传输要求。

●安全与管理需求：

企业基本信息档案和重要的工作文件要求对数据存储、传输的安全性的性能较高，如销售管理、技术管理、财务管理等可以通过分布式、集中式相集合的方法进行管理。

网络安全对于网络系统来说是十分重要的，它直接关系到网络的正常使用。

由于企业内部网与外部网进行互联特别是和Internet的互联，Internet是一个开放式网络系统，它的安全性是很差的。

因此安全问题更加重要。

应该采用一定的技术来控制网络的安全性，从内部和外部同时对网络资源的访问进行控制。

当前主要的网络安全技术有，用户身份验证，VLAN划分，防火墙等技术。

网络系统还就具备高度的数据安全性和保密性。

●实用与经济性：

企业的特点决定了园区网络系统必需要有实用与经济性。

实用性使得网络便于管理、维护，以减少网络使用人员运用网络的难度，从而降低人为操作引起的网络故障，并使更多的人掌握网络的使用。

由于企业的资金有限，所以在建设园区网时一定要使用性价比高的网络技术和网络设备，以节约建设资金。

（二）网络基础规划与实施

设计原则:

由于计算机与网络技术的特殊性，网络建设需要考虑以下一些因素：

系统的先进性、体统的稳定性、系统的可扩展性、系统的可维护性、应用系统和网络系统的配合度、与外界网络的连通性等。

选择可扩充的网络架构

园区网的用户数量或服务功能是逐步提高的，网络技术也是日新月异的，新技术新产品不断地涌现。

一般情况下，企业网的建设资金用量非常大，所以在园区网构建时，宜采用当时最新的网络技术，结合公司财力，实行分步实施，循序渐进。

这就要求在网络构件时要选择具有良好可扩展性能的网络互连设备，有效地保护现有的投资。

充分共享络资源

组建计算机网络的主要目的是实现资源共享，这个资源包括硬件资源、软件资源。

网络用户通过网络不仅可以实现文件共享、数据共享，还可以通过网络实现网络设备的共享，如打印机、存储设备的共享等。

网络可管理性，降低网络运行及维护成本

降低网络运营成本和维护成本是网络设计过程中必须考虑的一个环节。

只要在网络设计时选用支持网络管理功能的网络设备，才能为将来降低网络运行及维护成本打下坚实的基础。

网络系统与应用系统的整和

园区网构建了园区内通畅的数据流通路，为应用系统发挥更大的作用打下了基础。

网络系统与应系统要能够很好的融合，才能发挥园区网的效率和优势，构建校园网的目的并不是只为了人们浏览Internet的方便。

应用系统应能够在网络平台上，与硬件平台很好的结合，发挥出网络的优势。

建设成本

考虑园区网工程在建设方面都希望成本较低，整个网络系统有较高的性价比，在设备选型等方面选用性价比高的网络产品。

高可靠性

网络要求具有高可靠性、高稳定性和足够设备冗余和备份，防止局部故障引起整个网络系统的瘫痪，避免网络出现单点失效的情况。

在网络干线上要提供备份链路。

在网络设备上要提供适当的冗余配置。

采用各种有效的安全措施，保证网络系统和应用系统安全运行。

安全包括4个层面-网络安全，操作系统安全，数据库安全，应用系统安全。

由于Internet的开放性，世界各地的Internet用户也可访问校园网，校园网将采用防火墙、数据加密等技术防止非法侵入、防止窃听和篡改数据、路由信息的安全保护来保证安全。

同时要建立系统和数据库的磁带备份系统。

各主要节点的交换机分别用光纤与网络中心的中心交换机相连接，构成校园网千兆位以太网的主干网络。

图1整体网络架构图

（三）小组成员分工：

我小组共有4名成员：

董宇、杨光巨、张高鹏、高陆林。

我所做的任务是整体网络架构及配置，和防火墙的配置。

2、主要技术介绍

根据园区网的设计需求，来完成企业Web、Mail、DNS、DHCP、数据库等基础服务的规划与建设，需要以下主要技术：

●vlan划分

●不同vlan间通信

●以太通道技术

●HSRP热备份技术

●STP技术

●防火墙技术

●远程登录

●地址转换

3、设备选型

（一）依照分层的原理设计网络：

整个园区网是严格按照cisco建议的核心层三层模型设计的。

其中，核心层负责实现高速数据转发；接入层负责策略实施，如vlan划分等；接入层连接最终用户，如PC机或笔记本电脑。

由于企业网比较小，把汇聚层和接入层合为一层，管理部，技术部，财务部，销售部，都是采用cisco的低端交换机c2960。

汇聚层采用的是cisco的中高端交换机（三层交换机）3560.出口路由器采用的cisco的系列路由器。

园区的出口防火墙为PIX802，采用的是最基本的包过滤防火墙模式。

这样可以方面企业各部门之间的互相访问，既节省了企业资金，又提高了企业生产效率。

（二）线缆的选择：

根据同种设备用交叉线，异种设备用直通线的原理，线缆选择如下:

●用户与交换机：

直通线

●交换机与三层交换机：

交叉线

●三层交换机与出口路由器：

直通线

●出口路由器与ISP运营商：

广域网线

四、系统详细设计

1、网络基础架构的详细设计

图2PT模拟器拓扑图

图3GNS3模拟器是实验图

2、设计分布

（一）内网：

在汇聚层之下二层交换机上分为管理部、技术部、销售部、财务部部和DMZ区域：

●DMZ区域:

在DMZ区域放置WEB服务器，DHCP服务器，FTP服务器，DNS服务器，EMAIL服务器。

●管理部：

企业中的管理人员所在的区域

●技术部：

企业中技术人员所在区域

●财务部：

企业的财务部门，安全要求很高

●销售部：

专门掌握企业的销售人员所在的部门

通过电信出外网，地址规划及vlan划分如下：

地址规划

根据园区网设计要求，该企业已在ISP申请了58.242.1.1至58.242.1.10几个公网地址，要求为全部用户提供安全的网络接入，企业网覆盖企业所有楼宇。

所以公网IP地址是58.242.1.1至58.242.1.10。

企业内部地址为一致的私有地址，由于每个vlan内部员工人在200人左右，在本设计中私网地址为192.168.0.0/24的地址

VLAN划分

表1vlan划分表

区域

VLAN

名称

管理部

vlan12

Guanlibu

销售部

vlan34

Xiaoshoubu

财务部

Vlan22

Caiwubu

技术部

vlan56

Jishubu

邮件服务器

Vlan2

Youjian

FTP服务器

Vlan3

FTP

文件服务器

Vlan4

Wenjian

Web服务器

Vlan5

Web

vlan1是默认的管理vlan，所以vlan1是不需要创建的，在实验中，vlan1是与路由器连接的地址。

表2Vlan及IP地址

区域

VLAN

IP地址范围

网关地址

管理部

vlan12

192.168.1.0/24

192.168.1.254/24

销售部

vlan34

192.168.2.0/24

172.25.2.254/24

财务部

vlan22

192.168.22.0/24

192.168.22.254/24

技术部

vlan56

192.168.3.0/24

192.168.3.254/24

邮件服务器

Vlan2

192.168.4.0/24

192.168.4.254/24

FTP服务器

Vlan3

192.168.5.0/24

192.168.5.254/24

文件服务器

Vlan4

192.168.6.0/24

192.168.6.254/24

Web服务器

Vlan5

192.168.7.0/24

192.168.7.254/24

（二）外网：

在防火墙以外是个出口路由，在出口路由上做地址转换，然后与外网ISP连接，从而进行通信。

3、路由选择

在本园区网设计中，使用了多种路由选择方式，考虑到所有设备均是cisco的设备，所以采用思科最快、最稳定的路由协议——Eigrp；以及相关的静态、默认路由。

（一）在汇聚层交换机和内部路由器、以及防火墙、出网路由之间使用路由信息协议Eigrp

routereigrp1//开启动态路由协议eigrp

noau//关闭自动汇总

network192.168.0.0255.255.255.0//让10网段的接口参与到路由协议中

redistatic//在出网路由上重分发直连，内部学习到外部的路由条目，防止内部的目标不可达

（二）在出口路由器上默认路由

iproute0.0.0.00.0.0.058.242.1.2//在出口路由器上做默认路由指向isp的接口：

配置完成后，在汇聚层交换机和出口路由器里分别查看路由表，以保证路由信息的正确性：

语句为showiproute，结果如下图：

三层交换的路由表：

图4三层交换的路由表

内部路由器的路由表：

图5内部路由器的路由表：

出口路由器路由表：

图6、出口路由器路由表：

4、地址转换

在本园区网中，地址转换的方法是NAT技术。

NAT技术就是为了解决IPV4地址不足而产生的技术。

它主要的功能是把私有IP地址转换为公有IP地址。

内网可以使用私有地址，但在访问外网的时候还需要使用公网地址。

因为在互联网上是不允许私有IP地址的运行的。

NAT技术主要分为三类：

静态地址转换、动态地址转换和端口地址转换。

在本王设计中，在内网访问外网时采用的是动态NAT，而在外网访问内网时采用的是静态NAT。

图7NAT配置

五、我的任务：

网络安全等业务的详细设计（防火墙方面）

根据业务和管理的安全性需求，科讯企业的网络安全要求是非常高的！

由于公司是做软件开发，所以安全需求如下：

●内部员工可以访问DMZ区域的FTP服务器进行资料下载，且可以访问外网。

●DMZ区域服务器资料尤为重要，且需对外提供服务，虽做有一定安全措施，但为做到万无一失，所以在内网部分须有一服务器对DMZ区域的所有资源进行备份。

●外网可以正常访问DMZ区域服务器。

●外网不能直接访问内网。

●除了DMZ区域所提供的服务之外，所有的其他一切无关端口均需关闭。

这些策略主要在防火墙设置。

做这一步之前，先将内网的拓扑全部架设完成，再将防火墙置于与外网相接的位置，完成内网与外网的互联。

另外在本企业网设计中为了更简洁方便使用，没有过多安装软件，所以没有只能完成基本的防火墙设置。

防火墙是必不可少的安全设备，由于cisco路由器提供强大的ios系统，可以在cisco的路由器上实施基于包过滤的防火墙，防火墙主要是为了防止外部不法用户对内部网络实施攻击，它对可疑的流量直接进行删除或丢包，以保证企业内部环境的安全可靠。

包过滤的防火墙是基于访问列表的，然后在对应的接口应用。

以下为防火墙的配置清单（showrun结果）：

:

Saved

:

PIXVersion8.0

（2）

!

hostnamepixfirewall

enablepassword8Ry2YjIyt7RRXU24encrypted

names

!

interfaceEthernet0//配置inside接口

nameifinside

security-level100

ipaddress192.168.2.1255.255.255.0

!

interfaceEthernet1//配置dmz接口

nameifdmz

security-level50

ipaddress192.168.4.1255.255.255.0

!

interfaceEthernet2//配置outside接口

nameifoutside

security-level0

ipaddress58.242.1.1255.255.255.0

!

interfaceEthernet3

shutdown

nonameif

nosecurity-level

noimpaddress

!

interfaceEthernet4

shutdown

nonameif

nosecurity-level

noimpaddress

!

passwd2KFQnbNIdI.2KYOUencrypted

ftpmodepassive

access-list100extendedpermiticmpanyany//放行任何icmp

access-list200extendedpermiticmpanyhost4.4.4.4//放行任何到4.4.4.4的icmp

access-list200extendedpermittcpanyhost4.4.4.4eqtelnet

//放行任何用户到4.4.4.4的telnet服务

pagerlines24

mtuinside1500

mtudmz1500

mtuoutside1500

icmpunreachablerate-limit1burst-size1

noasdmhistoryenable

arptimeout14400

global（outside）158.242.1.10-58.242.1.20netmask255.255.255.0

nat（inside）1192.168.0.0255.255.0.0

static（dmz,outside）58.242.1.44.4.4.4netmask255.255.255.255

access-group100ininterfacedmz//把相应的ACL在接口调用

access-group200ininterfaceoutside

routeoutside0.0.0.00.0.0.058.242.1.21//默认路由指向外网出接口

routedmz4.4.4.0255.255.255.0192.168.4.41//到4.4.4.0网段的下一跳给到192.168.4.4从dmz接口出去

routeinside192.168.0.0255.255.0.0192.168.2.2541//到192.168.0.0网段的从inside接口出去，下一跳是192.168.2.254

timeoutxlate1:

00:

00

timeoutconn1:

00:

00half-closed0:

10:

00udp0:

02:

00icmp0:

00:

02

timeoutsunrpc0:

10:

00h3230:

05:

00h2251:

00:

00mgcp0:

05:

00mgcp-pat0:

05:

00

timeoutsip0:

30:

00sip_media0:

02:

00sip-invite0:

03:

00sip-disconnect0:

02:

00

timeoutuauth0:

05:

00absolute

dynamic-access-policy-recordDfltAccessPolicy

nosnmp-serverlocation

nosnmp-servercontact

snmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstart

nocryptoisakmpnat-traversal

telnettimeout5

sshtimeout5

consoletimeout0

threat-detectionbasic-threat

threat-detectionstatisticsaccess-list

!

!

prompthostnamecontext

Cryptochecksum:

deae19bab09dc304e3a975af19b9b399

:

end

六、测试结果及其分析：

以下测试结果均以此图为模拟环境：

1、管理部（PC0）访问销售部（PC2）：

图8管理部访问销售部

2、管理部（PC0）访问web服务（Server0）：

图9管理部访问web服务：

3、管理部（PC0）访问外网（Router3）：

图10管理部访问外网

4、外网（Router3）访问DMZ服务器（Server0）的telnet服务：

（在GNS3实验环境下以telnet服务为例，代表其他服务）

图11外网访问DMZ的telnet服务

5、在把三层交换sw1的接口（F0/1）shutdown后，生成树切换到另外一个三层交换上去，（SW1->SW2的切换）实现备份（PC0->Router3）：

图12三层交换的灾难备份测试

七、参考文献

[1]杨卫东.网络系统集成与工程设计（第2版）.科学出版社

[2]SEANCONVERY.网络安全体系结构.人民邮电出版社

[3]刘易斯.思科网络技术学院教程CCNAExploration.人民邮电出版社

[4]林慧琛，尤国君，刘殊.RedHatLinux服务器配置与应用（第2版）.人民邮电出版社

[5]戴有炜.WindowsServer2003用户管理指南.清华大学出版社