计算机网络技术毕业论文.docx
《计算机网络技术毕业论文.docx》由会员分享,可在线阅读,更多相关《计算机网络技术毕业论文.docx(19页珍藏版)》请在冰点文库上搜索。
计算机网络技术毕业论文
ThismodelpaperwasrevisedbyLINDAonDecember15,2012.
计算机网络技术毕业论文
广东科学技术职业学院
计算机工程技术学院(软件学院)
毕业设计
题目:
公司网络搭建与部署
专业:
计算机网络技术
班级:
学生姓名:
马进
学号:
66
指导教师姓名:
职称:
2016年1月5日
摘要
六月网络有限公司刚刚成立,总部设于广州,分别在北京、上海都有分公司。
现在需要为公司搭建网络,让总公司能够自由的与分公司互相访问资源,局域网内部人员可以自由的连上Internet网。
该公司有财务部、人力资源部、产品部、技术部、销售部等部门;根据公司要求,为各个部门分配合适的IP地址段,做到无冲突,尽可能的节省IP地;最主要的是公司内部网络环境搭建与部署,内部网络路由协议、网络策略;总部与分部之间使用VPN、帧中继连接,远程移动客户端等;用思科的网络设备设计一套合理的方案,整体网络拓扑规划、工程实施方案、相关技术应用然后是调试。
关键词:
WAN、VLAN、EIGRP、Telnet、SSH、ACL、VPN、帧中继、网络安全。
一、概述5
计算机网络的发展5
公司网络规划概述5
公司网络安全6
二、项目工程简介7
网络设计目标7
网络设备简介7
三、项目需求分析8
公司网络总体需求8
公司网络功能需求8
四、项目设计与实施9
项目设计9
网络拓扑图9
公司网络规划10
项目实施与实现10
VLAN配置11
EIGRP路由协议11
Telnet、SSH远程12
交换机配置管理FTP备份与恢复13
帧中继虚拟电路14
ACL访问控制17
VPN远程21
DHCP服务器配置24
五、网络安全26
安全风险分析26
安全防护措施27
安全拓扑28
六、总结29
参考文献30
致谢31
前言
六月网络有限公司刚刚成立我们将为它设计公司网络搭建拓扑图,以及实施拓扑图的内容,网络搭建的目的是为了公司内部人员能够通过访问Internet网找到自己想要的资源,当然还有解决总公司与分公司之间的互相访问,移动客户或者在外出差的员工访问公司内部网络资源。
最重要的是网络安全,企业网络安全非常的重要,在网络搭建中我们将会用到蓝盾防火墙的一些设备,来为我们的网络建一个防护网。
在这个网络时代有一个良好的网络环境能够提高公司员工的办事效率,使得业绩发展更好。
第一章概述
计算机网络的发展历史
计算机网络源于计算机与通信技术的结合,它经历了从简单到复杂、从单机到多机、从终端与计算机之间通信到计算机与计算机直接通信的发展时期。
早在20世纪50年代初,以单个计算机为中心的远程联机系统构成,开创了把计算机技术和通信技术相结合的尝试。
这类简单的“终端——通信线路——面向终端的计算机”系统,构成了计算机网络的雏形。
严格的说,它和现代的计算机网络相比,存在根本的区别。
当时的系统除了一台中央计算机外,其余的终端设备没有独立处理数据的功能,当然还不能算是真正意义上的计算机网络。
为了区别以后发展的多个计算机互联的计算机网络,称它为面向终端的计算机网络,又称为第一代计算机网络。
从20世纪60年代中期开始,出现了若干个计算机主机通过通信线路互联的系统,开创了“计算机——计算机”通信的时代,并呈现出多个中心处理机的特点。
20世纪60年代后期,ARPANET网是由美国国防部高级研究计划局ARPA(目前称为DARPA,DefenseAdvancedResearchProjectsAgency)提供经费,联合计算机公司和大学共同研制而发展起来的,主要目标是借助通信系统,使网内各计算机系统间能够相互共享资源,它最初投入使用的是一个有4个节点的实验性网络。
ARPANET网的出现,代表着计算机网络的兴起。
人们称之为第二代计算机网络。
20世纪70年代至80年代中期是计算机网络发展最快的阶段,通信技术和计算机技术互相促进,结合更加紧密。
局域网诞生并被推广使用,网络技术飞速发展。
为了使不同体系结构的网络也能相互交换信息,国际标准化组织(ISO)于1978年成立了专门机构并制定了世界范围内的网络互联标准,称为开放系统互联参考模型OSI/RM(OpenSystemsInterconnection/ReferenceModel),简称OSI,人们称之为第三代计算机网络。
进入20世纪90年代后,局域网技术发展成熟,局域网已成为计算机网络结构的基本单元。
网络间互联的要求越来越强烈,并出现了光纤及高速网络技术。
随着多媒体、智能化网络的出现,整个系统就像一个对用户透明的大计算机系统,千兆位网络传输速率可达1G/s,它是实现多媒体计算机网络互联的重要技术基础。
从1983年到1993年10年期间,Internet从一个小型的、实验型的研究项目,发展成为世界上最大的计算机网,从而真正实现了资源共享、数据通信和分布处理的目标。
我们把它称为第四代计算机网络。
公司网络规划概述
公司网络整体规划是一个总公司和两个分公司之间的通信,网络拓扑形成一个三角形,通过互联网供应商使他们连接起来,当然为了公司的需求我们也会向供应商买三条帧中继虚拟网络,VPN站点与站点的对接,远程访问。
公司内部会根据实际需求设置VLAN,各个部门之间的通信要求尽量满足。
公司网络安全
网络结构
网络拓扑结构设计也直接影响到网络系统的安全性。
假如在外部和内部网络进行通信时,内部网络的机器安全就会受到威胁,同时也影响在同一网络上的许多其他系统。
透过网络传播,还会影响到连上Internet/Intranet的其他的网络;影响所及,还可能涉及法律、金融等安全敏感领域。
因此,我们在设计时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝。
物理安全
网络的物理安全是整个网络系统安全的前提。
在公司网工程建设中,由于网络系统属于弱电工程,耐压值很低。
因此,在网络工程的设计和施工中,必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离;考虑布线系统和绝缘线、裸体线以及接地与焊接的安全;必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。
总体来说物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识等,因此要注意这些安全隐患,同时还要尽量避免网络的物理安全风险。
系统的安全
所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。
恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的WindowsNT或者其它任何商用UNIX操作系统,其开发厂商必然有其Back-Door。
因此,我们可以得出如下结论:
没有完全安全的操作系统。
不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。
因此不但要选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置。
而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
第二章项目工程简介
网络设计目标
VLAN划分:
各个部门分属不同的vlan,为各个vlan分配合适的ip地址段,做到无冲突,尽可能的节省IP地址。
访问控制:
通过NAT技术实现公司内网与外网的访问权限。
内网安全:
财务部与其它部门之间网络隔离,不能互访。
网可管理:
网络设备部分开启SSH,有一部分是Telnet登录时必须以用户名+密码方式验证。
设备用户名:
cisco密码:
class;
网络设备简介
Ciscorouter2621、思科MultilayerSwitch两台、思科模式服务器一台、2960交换机、PC机较多、以太网直通线若干、DB-60、EIA/TIA-232、CSU/DSU等。
第三章项目需求分析
公司网络总体需求
该公司要求使用网络将公司的各种计算机、终端设备和局域网连接起来,形成公司内部的Intranet网络,并通过路由器接入Internet,以满足各部门需要等。
下面介绍该公司网络建设的总体需求和具体需求。
(1)保密性:
信息不泄露给非授权用户、实体或过程,或供其利用的特性。
(2)完整性:
数据XX不能进行改变的特性。
即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
(3)可靠性:
公司网络应具有很高的可靠性,达到24小时不间断、无故障、稳定运行。
尽量减少局部网络对整个公司网络的影响。
(4)可用性:
可被授权实体访问并按需求使用的特性。
即当需要时能否存取所需的信息。
例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;
(5)先进性:
由于网络技术的日新月异,更高的带宽和更先进的应用层出不穷,该公司网络应在未来几年的运行中能满足公司的应用需求,能在较长时期内保持一定的先进性。
网络建成后能实现数据、语音、多媒体通信、OA办公、E-mail、Web及FTP等服务。
(6)可控性:
对信息的传播及内容具有控制能力。
(7)可审查性:
出现安全问题时提供依据与手段
(8)可扩展性:
主干节点设备的性能具有向上扩展的能力,以备将来更高带宽应用的需要。
(9)可管理性:
整个公司网络将采用集中式管理,能够监控网络的运行,并能找出网络的故障并快速恢复网络的正常运行。
校园网建设的具体需求:
总公司本部各大楼与网络中心的网络带宽为1000Mbps,用户主机到桌面交换机的网络带宽为100Mbps。
公司网到Internet的出口带宽为20Mbps。
远程分公司与总公司本部的网络带宽为10Mbps。
财务部要求必须处在一个独立的局域网内,以保证网络的安全。
对公司内部的计算机只提供WWW、E-mail、FTP等常用的服务,除非有特别的需要,否则不开通其他的服务。
工作日只能在上午7:
30到晚上21:
30间开通Internet网络。
对公司网外的移动用户提供remoteaccessVPN拨号接入服务。
公司网络功能需求
(1)DHCP服务,为销售部自动分配IP地址。
(2)FTP服务,公司内部资源的共享与访问。
(3)Telnet、SSH、VPN服务,设备开启远程登录功能,方便移动员工访问。
第四章项目设计与实施
项目设计
网络拓扑图
根据公司建筑的分布及需求,作出如下规划:
网络中心与各楼宇之间使用千兆多模光纤连接,形成千兆骨干网络;
大楼内设置汇聚层交换机,用于汇聚楼内各楼层交换机的数据;
桌面交换机与汇聚层交换机连接,桌面交换机与计算机间使用百兆双绞线相连;
OA办公、E-mail、Web及FTP服务器直接和网络中心的核心交换机连接;
由于该公司的网络出口宽带为20Mbps,因此直接通过以太协议接入ISP;
远程分公司与总公司本部间通过VPN线路连接;
在总公司配置一个RemoteaccessVPN,供移动员工使用。
由于财务部、人力资源部、技术部、销售部的网络连接基本相同,所以缩减为一个图,简化后的网络如图所示。
公司网络规划
公司内部网络号/24现在把它用VLSM划分IP地址供公司内部使用以及VLAN的划分,此地址与VLAN仅供实验模拟实际中应该划分多一点主机地址。
广州总公司:
部门
IP网段
网关
VLAN名
广州总公司
-30/27
-62/27
财务部
-134/29
FMD
人力资源部
-142/29
HR
技术部
-150/29
Technology
销售部
-158/29
Sales
北京分公司IP地址及VLAN划分:
部门
IP网段
VLAN名
网关
北京分公司
-94/27
技术部
-198/29
Technology
销售部
-206/29
Sales
上海分公司IP地址及VLAN划分:
部门
IP网段
VLAN名
网关
上海分公司
-126/27
财务部
-166/29
FMD
人力资源部
-174/29
HR
项目实施与实现
VLAN配置
VLAN配置命令:
其余VLAN均与此配置方法相同。
EIGRP路由协议
根据拓扑图配置EIGRP路由协议及配置命令:
验证:
Telnet、SSH远程
Telnet配置:
Enablepasswordclass
Linevty03
Passwordclass
Login
验证:
SSH配置:
Enablepasswordclass
Ipdomain-name
Cryptokeygeneratersa
Ipsshversion2
Linevty03
Passwordclass
Login
Transportinputssh
验证:
交换机配置管理FTP备份与恢复
ftp配置命令:
首先在交换机上配置:
Configureterminal
Enablesecretpassword
Servicepassword-encryption密码加密
ipftpusernametmf
ipftppasswordtmf
然后在ftp服务器上配置:
测试:
帧中继虚拟电路
1、在PacketTracer上边画好拓扑,并配置好模块和帧中继DLCI
2、添加一个Cloud-PT-Empty设备(Cloud0)模拟帧中继网络,为Cloud0添加3个S端口模块,好与路由器连接!
这里添加了额外的模块,仅供娱乐。
3、设置好S1,S2,S3,的DLCI值:
这一步很重要必须设置,其实每一步都很重要了。
4、配置3台路由器:
R1路由器配置:
R1>en
R1#conft
R1(config-if)#ints0/0进入S1/0端口配置
R1(config-if)#noshut启动端口
R1(config-if)#ipadd分配端口ip地址
R1(config-if)#encapsulationframe-relay帧中继封装
R1(config-if)#frame-relaymapip102broadcast添加静态映射地址
R1(config-if)#frame-relaymapip103broadcast
R1(config-if)#frame-relaylmi-typeansi帧中继类型为ansi
R1(config-if)#exit
R2路由器配置:
R1>en
R1#conft
R1(config-if)#ints0/0进入S1/0端口配置
R1(config-if)#noshut启动端口
R1(config-if)#ipadd分配端口ip地址
R1(config-if)#encapsulationframe-relay帧中继封装
R1(config-if)#frame-relaymapip201broadcast添加静态映射地址
R1(config-if)#frame-relaymapip203broadcast
R1(config-if)#frame-relaylmi-typeansi帧中继类型为ansi
R1(config-if)#exit
R3路由器配置:
R1>en
R1#conft
R1(config-if)#ints0/0进入S1/0端口配置
R1(config-if)#noshut启动端口
R1(config-if)#ipadd分配端口ip地址
R1(config-if)#encapsulationframe-relay帧中继封装
R1(config-if)#frame-relaymapip301broadcast添加静态映射地址
R1(config-if)#frame-relaymapip302broadcast
R1(config-if)#frame-relaylmi-typeansi帧中继类型为ansi
R1(config-if)#exit
在路由器、三层交换机上配置RIP路由命令如下:
routerrip
version2
network测试:
从广州总公司到上海分公司PC1—ping—PC11
从广州总公司到北京分公司PC1—ping—PC7
ACL访问控制
访问控制列表(AccessControlList,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。
简而言之,ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。
配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。
如可以配置ACL,禁止局域网内的设备访问外部公共网络,或者只能使用FTP服务。
ACL既可以在路由器上配置,也可以在具有ACL功能的业务软件上进行配置。
ACL是物联网中保障系统安全性的重要技术,在设备硬件层安全基础上,通过对在软件层面对设备间通信进行访问控制,使用可编程方法指定访问规则,防止非法设备破坏系统安全,非法获取系统数据。
3P原则,每种协议(perprotocol)、每个方向(perdirection)、每个接口(perinterface)配置一个ACL:
每种协议一个ACL:
要控制接口上的流量,必须为接口上启用的每种协议定义相应的ACL。
每个方向一个ACL:
一个ACL只能控制接口上一个方向的流量。
要控制入站流量和出站流量,必须分别定义两个ACL。
每个接口一个ACL:
一个ACL只能控制一个接口(例如快速以太网0/0)上的流量。
目前有三种主要的ACL:
标准ACL、扩展ACL及命名ACL。
其他的还有标准MACACL、时间控制ACL、以太协议ACL、IPv6ACL等。
标准的ACL使用1~99以及1300~1999之间的数字作为表号,扩展的ACL使用100~199以及2000~2699之间的数字作为表号。
标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。
扩展ACL比标准ACL提供了更广泛的控制范围。
例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确
基本的网络规划这里就详述了技术实现:
重新规划的拓扑图中配置ACL的访问控制:
R1(config)#access-list10deny
R1(config)#access-list10permitany
R1(config)#interfacef0/1
R1(config-if)#ipaccess-group10out
R1(config-if)#exit
R2(config)#access-list11deny
R2(config)#access-list11permitany
R2(config)#ints0/1/0
R2(config-if)#ipaccess-group11out
R2(config-if)#exit
R3(config)#ipaccess-liststandardNO_ACCESS
R3(config-std-nacl)#denyhost
R3(config-std-nacl)#permitany
R3(config-std-nacl)#exit
R3(config)#intf0/0
R3(config-if)#ipaccess-groupNO_ACCESSin
R3(config-if)#exit
测试:
PC1—ping—PC2
答案是不能ping通,因为在路由器R1的F0/1上配置了ACL10.
PC2—ping—outsidehost/PC2—ping—WebServer
答案是不能ping通,因为在路由器R2的S0/1/0上配置了ACL11,所以在ping的时候应该是返回R2的S0/1/0的IP.
对于R3上的命名ACL的配置要求是所有数据流不能通过R3的F0/0进入主机;用PC1同时ping/测试:
VPN远程
VPN远程访问概述:
很多企业随着业务的发展,已经在异地建立分支机构,或者许多员工出差至外地开展工作,甚至需要回家继续办公,那么这些远程员工是否还能够连接到总部网络享受到统一的企业信息化管理呢?
布置这种技术似乎很困难,我们先把图中网络单元可以分为3类:
1.总部机构,总部在连接互联网绝大多数情况下使用固定出口以及固定地址,在一些极端情况下可能会采用动态地址方式。
2.远程分支机构,这类网络有固定的网络出口连接到互联网,互联网出口设备以及内部网络都是完全受企业管理的,在图中,分支1和分支2都是这类,虽然网络出口是固定的,但是出口地址是否固定和接入方式有关,比如租用光纤那么通常会从运营商获得一个固定地址,如果是ADSL则是动态的,远程分支机构的典型特征是以一个网络作为远程接入单位。
3.出差员工,这类网络用户的特点是以用户PC为远程网络单元,为什么呢,因为这类用户的互联网出口通常不受企业管理,比如出差员工在酒店通过酒店网络接入互联网、员工在家上网、员工在酒店直接拨号到互联网等,这类用户的特征是以单台PC作为远程接入单位。
这些异地网络用户访问总部网络,可能大家会认为很简单,直接访问总部网络的网段就可以了。
实际上,企业网络通常使用私有地址,是无法从互联网直接访问的,那么我们可以通过什么手段访问这些总部的私有网段吗?
1.使用专线,即每个异地网络用户单元使用一条专线连接到总部,那么在上图中,我们至少需要5条专线,如果出差员工或者分支多起来需要更多专线,每条专线都价值不菲,而且专线只能连接总部,无法访问互联网,显然这种方式对于非常注重成本的企业而言是不可接受的。
2.既然总部和各个异地网络都连接到了互联网,能不能通过互联网把大家连起来呢我们可以看到各个网络单元的出口都是互联网公有地址,让这些地址互相访问不成问题,那么能不能把访问内部私有网络的连接建立在这些共有连接上呢——虚拟私有网(VirtualPrivateNetwork),即在公共网络上建立虚拟的隧道,模拟成专线,如下图所示。
那么如何建立这些隧道呢要建立什么样的隧道我们可以通过这张表来描述异地网络用户和总部网络出口隧道的特点。
隧道端点
隧道内流量
隧道发起
安全性需求
是否穿越NAT
异地分支
分支出口总部出口
分支内网总部内网
升级会员 