中小型企業(yè)局域網(wǎng)組建方案

1、中小型企業(yè)局域網(wǎng)組建方案 班級： 成員： 日期： 目 錄案例背景一 需求分析二、設計要求21.網(wǎng)絡設備22.網(wǎng)絡設計原則3三、網(wǎng)絡系統(tǒng)設計4 1.網(wǎng)絡拓撲結構圖 2.IP地址分配 3.IP地址分配表4.劃分VLAN及具體配置四、測試與調試121.主機與服務器的連接測試122.主機與主機的連接測試123.主機與外網(wǎng)的連接測試13五、路由與遠程用戶訪問六、網(wǎng)絡安全的設計七、總結參考文獻某中型企業(yè)網(wǎng)絡工程設計與實現(xiàn)摘 要：本文是基于一個課程的網(wǎng)絡互聯(lián)設計，根據(jù)實踐環(huán)境設計一個中型企業(yè)內部的網(wǎng)絡組建。從實際情況出發(fā)把這個中型企業(yè)的實際需要應用到網(wǎng)絡中去，使這個企業(yè)的內部網(wǎng)絡能夠快速便捷。因為條件有限，

2、本次設計的拓撲結構圖是在模擬器上進行的。主要運用了所學的路由和交換技術。關鍵字：中型企業(yè)網(wǎng)絡、設計方案、安全案例背景以某企業(yè)的實際情況，設計一個可以正常運行的企業(yè)局域網(wǎng)，并對建成的網(wǎng)絡進行優(yōu)化，現(xiàn)有500個結點，需要建設一個中型網(wǎng)絡以實現(xiàn)該企業(yè)內部的相互通信和與外部的聯(lián)系，通過該網(wǎng)絡提高企業(yè)的發(fā)展和企業(yè)內部辦公的信息化、辦公自動化。該企業(yè)有15個部門，則需要讓這15個部門能夠通過該網(wǎng)絡訪問互聯(lián)網(wǎng)，并能實現(xiàn)部門之間信息化的合作。所以該網(wǎng)絡的必須體現(xiàn)辦公的方便性、迅速性、高效性、可靠性、科技性、資源共享、相互通信、信息發(fā)布及查詢等功能，以作為支持企業(yè)內部辦公自動化、供應鏈管理以及各應用系統(tǒng)運行的基

3、礎設施。1、 需求分析該網(wǎng)絡是一個單核心的網(wǎng)絡結構，采用典型的三層結構，核心、匯聚、接入。各部門獨立成區(qū)域，防止個別區(qū)域發(fā)生問題，影響整個網(wǎng)的穩(wěn)定運行，若某匯聚交換機發(fā)生問題只會影響到某幾個部門，該網(wǎng)絡使用vlan進行隔離，方便員工調換部門。核心交換機連接三臺匯聚交換機對所有數(shù)據(jù)進行接收并分流，所以該設備必須是高質量、功能具全，責任重大，通過高速轉發(fā)通信，提高優(yōu)化的，可靠的傳輸結構。核心層應該盡快地交換分組。該設備不承擔訪問列表檢查、數(shù)據(jù)加密、地址翻譯或者其他影響的最快速率分組的任務。匯聚層交換機位于接入層和核心層之間，該網(wǎng)絡有三臺匯聚層交換機分擔15個部門，能幫助定義和分離核心。該層的設備主

4、要目的是提供一個邊界的定義，以在其內進行分組處理。該層將網(wǎng)絡分段為多個廣播域。該問控制列表可以實施策略并過濾分組。匯聚層將網(wǎng)絡問題限制在發(fā)生問題的工作組內，防止這些問題影響到核心層。該層的交換機運行在第二層和第三層上。接入層為網(wǎng)絡提供通信，并且實現(xiàn)網(wǎng)絡入口控制。最終用戶通過接入層訪問網(wǎng)絡的。作為網(wǎng)絡的“前門”，接入層交換機使用訪問列表以阻止非授權的用戶進入網(wǎng)絡。二、設計要求1.網(wǎng)絡設備：所需的硬件：網(wǎng)絡硬件設備主要包括網(wǎng)絡服務器、工作站、網(wǎng)卡、集線器、交換機、路由器、傳輸介質等。各種硬件設備之間是有著相互關聯(lián)而不是相互獨立的，每一部分在網(wǎng)絡中都有著不同的作用，缺一不可，只有把這些設備通過一定的

5、形式連起來才能組成一個完整的網(wǎng)絡系統(tǒng)。1.1網(wǎng)卡（網(wǎng)絡適配卡或網(wǎng)絡接口卡）網(wǎng)卡計算機與網(wǎng)絡連接的接口，是不可缺少的網(wǎng)絡設備之一。每一塊網(wǎng)卡上面都有一個世界惟一的ID號，也就是MAC地址，計算機在連入網(wǎng)絡之后，就是依靠這個ID號才能實現(xiàn)在不同計算機之間的通信和信息交換。網(wǎng)卡有很多種，不同類型的網(wǎng)絡需要使用不同種類的網(wǎng)卡，根據(jù)帶寬來分的話，有10Mbit/s網(wǎng)卡、10/100Mit/s自適應網(wǎng)卡和1000Mbit/s網(wǎng)卡；如按總線來分的話，有ISA總線、PCI總線、PCMCIA總線網(wǎng)卡等。從目前企業(yè)局域網(wǎng)建設的實際情況來看，工作站網(wǎng)卡選擇10M/100Mbit/s自適應網(wǎng)卡最適合。1.2網(wǎng)絡服務器

6、網(wǎng)絡服務器是一臺運行網(wǎng)絡操作系統(tǒng)，提供網(wǎng)絡通信以及其他網(wǎng)絡管理，并使連網(wǎng)的各工作站能共享軟硬件資源。在選型服務器時，主要考慮的是容量大、處理速度高和穩(wěn)定性好，一般來說都選用大型服務器作為代理服務器?？刹捎肏P ProLiant BL40p系列的服務器。1.3工作站工作站是指PC機，也稱客戶機。通過網(wǎng)卡和傳輸介質連接到網(wǎng)絡服務器上，共享網(wǎng)絡系統(tǒng)的資源。1.4傳輸介質傳輸介質包括有線介質和無線介質兩種，一般情況下都是用有線介質的，因為它穩(wěn)定性高、連接可靠。無線介質只是在特殊環(huán)境下才使用。常用的有線傳輸介質有雙絞線、同軸電纜、光纜。1.5路由器路由器就是負責地址查找，信息包翻譯和交換，實現(xiàn)計算機網(wǎng)絡

7、設備與電信設備電氣連接和信息傳遞。1.6集線器主要指共享式集線器，相當于一個多口的中繼器，一條共享的總線，能實現(xiàn)簡單的加密和地址保護。1.7交換機交換機與集線器的作用是相同的，它的出現(xiàn)是為了提高原有網(wǎng)絡的性能同時又保護原有投資，降低網(wǎng)絡響應速度，提高網(wǎng)絡負載能力。2、網(wǎng)絡設計原則 1、簡易與先進性：把握好技術先進性與應用簡易性之間的平衡。2、可管理性及易維護性：對網(wǎng)絡實行集中監(jiān)測、分權管理，并統(tǒng)一分配帶寬資源。選用先進的網(wǎng)絡管理平臺，具有對設備、端口等的管理、流量統(tǒng)計分析，及可提供故障自動報警。3、實用性：以現(xiàn)行需求為基礎，并充分考慮發(fā)展的需要來確定系統(tǒng)規(guī)模，選用性能價格比高的產(chǎn)品。4、標準開

8、放性：支持國際上通用標準的網(wǎng)絡協(xié)議、國際標準的大型的動態(tài)路由協(xié)議等開放協(xié)議，有利于保證與其它網(wǎng)絡（如資源數(shù)據(jù)庫、金融網(wǎng)絡）之間平滑連接互通，以及將來網(wǎng)絡的擴展。 5.可擴展性：網(wǎng)絡要能滿足用戶當前需求以及將來需求的增長、新技術發(fā)展等變化。因此在保護原有的投資同時，要保證用戶數(shù)的增加，以及用戶隨時隨地增加設備、增加網(wǎng)絡功能等。隨著應用規(guī)模的發(fā)展，系統(tǒng)能靈活方便地進行硬件或軟件系統(tǒng)的擴展和升級。 6、具有較高的可靠性和安全性。三、網(wǎng)絡系統(tǒng)設計3.1 網(wǎng)絡拓撲結構圖3.2 IP地址分配IP 地址的分配在網(wǎng)絡設計中的作用舉足輕重。直接影響整個網(wǎng)絡運行的效率。IP 地址設計的總原則是簡單、易管理、易擴展

9、。IP 地址是TCP/IP 協(xié)議族中的網(wǎng)絡層邏輯地址，它被用來唯一地標識網(wǎng)絡中的一個節(jié)點。IP 地址空間的分配，要與網(wǎng)絡層次結構相適應，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。根據(jù)以下幾個原則來分配IP 地址：1、唯一性：一個IP 網(wǎng)絡中不能有兩個主機采用相同的IP地址2、簡單性：地址分配應簡單易于管理，降低網(wǎng)絡擴展的復雜性，簡化路由表的款項3、連續(xù)性：連續(xù)地址在層次結構網(wǎng)絡中易于進行路由總結，大大縮減路由表，提高路由算法的效率4、可擴展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡規(guī)模擴展時能保證地址總結所

10、需的連續(xù)性5、靈活性：地址分配應具有靈活性，可借助可變長子網(wǎng)掩碼技術3.3 IP地址分配表部門Vlan編號虛擬ipIp地址范圍部門一101192.168.1.1192.168.1.2-254部門二102192.168.2.1192.168.2.2-254部門三103192.168.3.1192.168.3.2-254部門四104192.168.4.1192.168.4.2-254部門五105192.168.5.1192.168.5.2-254部門六106192.168.6.1192.168.6.2-254部門十五115192.168.15.1192.168.15.2-254服務器群網(wǎng)關ipIp

11、地址Server0192.169.0.1192.169.0.2Server1192.169.0.1192.169.0.3Printer0192.169.0.1192.169.0.43.4 劃分VLAN1. 劃分VLAN的意義一個單位在一個網(wǎng)絡號下有大量的計算機時，并不便于管理，可以根據(jù)單位所屬的部門或其地理分布位置等來劃分子網(wǎng)，在本設計方案中是根據(jù)部門來劃分子網(wǎng)的，劃分子網(wǎng)也就分割了廣播域。劃分VLAN可以有效的利用帶寬，通過將網(wǎng)絡分成小的廣播域或子網(wǎng)，VLAN解決了在大型“平”網(wǎng)絡中發(fā)現(xiàn)的擴展性問題，將所有的數(shù)據(jù)流，包括廣播或多點廣播，都別限制在子網(wǎng)中；提高安全性，通過在VLAN間強迫進行第

12、三層路由選擇，VLAN提供了安全性。如果配置了VLAN間通訊，可以使用路由器傳統(tǒng)的安全和功能。負載均衡多條通信VLAN允許第三層路由選擇協(xié)議智能決定到達目的地的最佳路徑，當有多條到達目的地的路徑時，還能夠進行負載均衡。對故障組建的隔離減少網(wǎng)絡故障的影響。2.具體配置如下：（1）對匯聚層三層交換機進行vlan配置SwitchenableSwitch#vlan databaseSwitch(vlan)#vtp domain vdChanging VTP domain name from NULL to vdSwitch(vlan)#vtp serverDevice mode already VTP

13、 SERVER.（2）對接入層交換機分別進行vlan配置SwitchenableSwitch#vlan databaseSwitch(vlan)#vtp domain vdChanging VTP domain name from NULL to vdSwitch(vlan)#vtp clientSetting device to VTP CLIENT mode.（3）將接入層交換機與匯聚層交換機相連的接口設為trunk模式Switch(config)#interface FastEthernet0/24Switch(config-if)#switchport mode trunk（4）在匯聚

14、層交換機上創(chuàng)建vlan（101-115）Switch#vlan databaseSwitch(vlan)#vlan 2 name VLAN2VLAN 2 modified: Name: VLAN2Switch(vlan)#vlan 3 name VLAN3VLAN 3 modified: Name: VLAN3（5）對匯聚層交換機與核心層路由器連接的接口設置ip地址Switch(config)#interface FastEthernet0/24Switch(config-if)#no switchportSwitch(config-if)#ip address 192.168.0.1 255

15、.255.255.0Switch(config-if)#no shutdownRouter(config)#interface FastEthernet1/0Router(config-if)#ip address 192.168.0.2 255.255.255.0Router(config-if)#no shutdown（6）對各個vlan設置虛擬ip地址（vlan 101-vlan 105）Switch(config)#interface vlan 101Switch(config-if)#ip address 192.168.1.1 255.255.255.0Switch(config-

16、if)#exit（7）對核心層路由器與服務器集群連接的端口設置ip地址Router(config)#interface FastEthernet0/0Router(config-if)#ip address 192.169.0.1 255.255.255.0Router(config-if)#no shutdown（8）對匯聚層交換機設置靜態(tài)路由Switch(config)#ip route 192.169.0.0 255.255.255.0 192.168.0.2Router(config)#ip route 192.168.0.0 255.255.240.0 192.168.0.1（9）對

17、核心層路由器進行NAT地址轉換設置Router(config)# interface fastethernet 1/0Router(config-if)#ip nat insideRouter(config-if)exitRouter(config)#interface serial 1/2Router(config-if)#ip nat outsideRouter(config-if)exitRouter(config)#ip nat pool to_internet 210.44.64.1 210.44.64.2 netmask 255.255.255.0!定義內部全局地址池Router(

18、config)#access-list 10 permit 192.168.0.0 0.0.15.255!定義允許轉換的地址Router(config)#ip nat inside source list 10 pool to_internet !為內部本地調用轉換地址池四、調試與測試1、主機與服務器的連接測試PC2-Ping-Server0PC5-Ping-Server02、主機與主機的連接測試PC1-Ping-PC63、 主機與外網(wǎng)的連接測試出現(xiàn)問題：目標主機不可達解決方案：在三層交換機中添加靜態(tài)路由Switch(config)#ip route 210.44.64.0 255.255.2

19、55.0 192.168.0.2五、遠程用戶訪問遠程訪問功能使遠程人員或經(jīng)常變換地點的工作者可通過使用撥號通訊鏈接來訪問企業(yè)網(wǎng)絡，就像他們是直接連接到企業(yè)一樣。遠程訪問也提供虛擬專用網(wǎng)（VPN）服務，以便用戶可以在Internet上訪問企業(yè)網(wǎng)絡。 用戶運行遠程訪問軟件，并初始化到遠程訪問服務器上的連接。遠程訪問服務器，會始終驗證用戶和服務會話，直到用戶或網(wǎng)絡管理員將其終止為止。 適用于LAN連接用戶的所有服務（包括文件和打印共享、Web 服務器訪問和消息）均通過遠程訪問連接啟用。 1.創(chuàng)建路由和遠程訪問服務器2.選擇總結3.路由和遠程訪問服務器向導歡迎界面配置自定義配置完成界面安裝完成后提示是

20、否啟動服務此服務器已經(jīng)是遠程訪問/VPN服務器六、網(wǎng)絡安全的設計安全不僅是單一PC的問題，也不僅是服務器或路由器的問題，而是整體網(wǎng)絡系統(tǒng)的問題。所以網(wǎng)絡安全要考慮整個網(wǎng)絡系統(tǒng)，因此必須結合網(wǎng)絡系統(tǒng)來制定合適的網(wǎng)絡安全策略。 網(wǎng)絡安全涉及到的問題非常多，如防病毒、防入侵破壞、防信息盜竊、用戶身份驗證等，這些都不是由單一產(chǎn)品來完成，也不可能由單一產(chǎn)品來完成，因此網(wǎng)絡安全也必須從整體策略來考慮。網(wǎng)絡安全防護體系必須是一個動態(tài)的防護體系，需要不斷監(jiān)測與更新，只有這樣才能保障網(wǎng)絡安全。調查顯示，有超過70%的安全問題來自企業(yè)的內部，如何對員工進行網(wǎng)絡安全教育，如何讓員工參與網(wǎng)絡安全建設，是網(wǎng)絡安全要解決的核心問題之一。1.物理安全物理安全是指在物理介質層次上對存儲和傳輸?shù)木W(wǎng)絡信息進行安全保護，是網(wǎng)絡信息安全的基本保障。建立物理安全體系結構應從3個方面考慮:一是自然災害（地震、火災、洪水）、物理損壞（硬盤損壞、設備使用到期、外力損壞）和設備故障（停電斷電、電磁干擾）；二是電磁輻射、乘機而入、痕