版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
1、<p><b> 專科生畢業(yè)設計</b></p><p> 網 絡 工 程</p><p><b> 路由交換方向</b></p><p> 院 系 軟件學院 </p><p> 專 業(yè) 網絡技術 <
2、;/p><p><b> 2011年4月</b></p><p><b> 摘 要</b></p><p> 21世紀是一個以網絡為基礎的信息時代。作為計算機技術和通信技術相結合的產物,計算機網絡在這個時代發(fā)揮著它不可估量的作用,對人們的工作、學習、生活、行為和思維方式都產生著重要的影響。隨著科學技術的不斷進步,計算機
3、技術和網絡技術都得到了長足的發(fā)展,越來越多的計算機連接到不同的網絡中,使得計算機網絡不論從結構上還是規(guī)模上都發(fā)生了很大的變化,這給計算機網絡的建設提出了新的挑戰(zhàn),對實施網絡工程也提出了新的要求。</p><p> 隨著網絡的逐步普及,中小型企業(yè)的建設是企業(yè)向信息化發(fā)展的必然選擇,企業(yè)網絡系統(tǒng)是一個非常龐大而復雜的系統(tǒng),它不僅為企業(yè)現代化、綜合信息管理和辦公自動化等一系列應用提供基本操作平臺,而且能提供多種應用服
4、務,使信息能及時、準確地傳送給各個系統(tǒng)。而中小型企業(yè)工程建設中主要應用了網絡技術中的重要分支局域網技術來建設與管理的,因此本畢業(yè)設計課題將主要以中小型局域網絡建設過程可能用到的各種技術及實施方案為設計方向,為中小型企業(yè)的建設提供理論依據和實踐指導。</p><p> 本課題共分34章,主要包括二大方面:windows和Linux。Windows主要內容包括windows server 2003的安裝與基本配置、
5、windows server 2003系統(tǒng)管理、windows網絡配置、windows DNS和DHCP服務器等;Linux主要內容包括Linux操作系統(tǒng)的安裝與基本配置、Linux網絡配置、samba服務器、ftp服務器、DNS服務器等各種網絡服務器的安裝與配置。本項目也解決了企業(yè)局域網之間的VPN搭建以及路由器和交換機的配置。</p><p> 關鍵詞:局域網搭建;Linux服務器配置;windows管理;
6、路由與交換配置;網絡安全;系統(tǒng)集成等</p><p><b> ABSTRACT</b></p><p> The 21st century is a web-based information era. As computer technology and communication technology, the combination of computer
7、 network in this age of plays it an inestimable role, to people's work, study and life, behavior and the way of thinking has the important influence. With the improvement of science and technology, computer technolog
8、y and network technology have been considerable development, more and more of the computer connected to a different networks, makes the computer network no</p><p> Along with the network popularization, the
9、 small and medium-sized enterprises gradually to the informatization construction of enterprise is the inevitable choice for the development of, enterprise network system is a very large and complex system, it is not onl
10、y for enterprise modernization and comprehensive information management and office automation and so on a series of applied to provide basic operation platform, and can provide various application service, make the infor
11、mation can timely,</p><p> This topic is divided into 34 chapters, mainly including the largest aspects: Windows and Linux. Windows main contents include Windows server 2003 installation and basic configura
12、tion, Windows server 2003 system management, Windows network configuration, Windows DNS and a DHCP server etc; Linux main content includes the Linux operating system installation and basic configuration, Linux network co
13、nfiguration, samba server, FTP server, the DNS server, etc. This program also include enterprise LAN </p><p> Keywords: LAN build; Linux server configuration; Windows management; Routing and switching confi
14、guration</p><p><b> 目 錄</b></p><p> 第1章引 言1</p><p> 第2章項目需求分析1</p><p> 2.1、項目背景1</p><p> 2.2、需求分析2</p><p> 第3章網絡總
15、體建設目標3</p><p> 3.1、網絡建設目標3</p><p> 3.2、網絡及系統(tǒng)建設內容及要求3</p><p> 3.3、網絡設計原則4</p><p> 第4章網絡總體設計4</p><p> 4.1、網絡總體拓撲圖4</p><p> 4.2、
16、網絡層次化設計5</p><p> 4.2.1、核心層設計6</p><p> 4.2.2、分布層設計6</p><p> 4.2.3、接入層設計6</p><p> 4.3、總部與分部內聯接入7</p><p> 第5章路由、交換設計7</p><p> 5
17、.1、設備選擇7</p><p> 5.2、設備命名規(guī)范7</p><p> 5.3、VLAN、子網及IP地址規(guī)劃(192.168.1.0-3.0)8</p><p> 5.4、路由協(xié)議9</p><p> 5.5、交換技術9</p><p> 5.6、IPV610</p>
18、<p> 第6章網絡安全解決方案10</p><p> 6.1網絡邊界安全威脅分析10</p><p> 6.2 網絡內部安全威脅分析10</p><p> 6.3 解決方案11</p><p> 6.3.1 ISA防火墻和iptables防火墻11</p><p>
19、 6.3.2 病毒防護技術11</p><p> 6.3.3 認證和數字簽名技術11</p><p> 第7章關鍵技術介紹12</p><p> 7.1HSRP12</p><p> 7.2VLAN12</p><p> 7.3VTP13</p><p>
20、7.4TRUNK13</p><p> 7.5STP13</p><p> 7.6VPN14</p><p> 第8章設備簡介14</p><p> 8.1 Cisco 2800系列集成多業(yè)務路由器14</p><p> 8.2Cisco 4500系列交換機15</p>
21、<p> 8.3Cisco Catalyst 3750 系列集成交換機16</p><p> 8.4Cisco Catalyst2960系列交換機17</p><p> 第9章項目實施計劃19</p><p> 9.1項目組織結構19</p><p> 9.2項目人員分工20</p&
22、gt;<p> 9.3工程進度計劃20</p><p> 9.4項目實施前的準備工作21</p><p> 9.5安裝前的場地準備21</p><p> 9.6核心及各網點的安裝調試22</p><p> 第10章網絡測試22</p><p> 10.1網絡測試目的22
23、</p><p> 10.2測試文檔22</p><p> 第11章基本配置26</p><p> 11.1總部基本配置26</p><p> 11.1.1網絡描述26</p><p> 11.1.1.1基本配置26</p><p> 11.1.1.2交換機和路由器
24、26</p><p> 11.1.1.3設備名稱26</p><p> 11.1.1.4基本配置26</p><p> 11.1.1.5IP地址配置30</p><p> 11.1.1.6啟用SSH并測試31</p><p> 11.1.2檢查設備的連通性31</p><p&g
25、t; 11.1.2.1show cdp neighbors命令的使用31</p><p> 11.1.2.2ping命令的使用32</p><p> 11.3分部基本配置33</p><p> 11.3.1網絡描述33</p><p> 11.3.1.1基本配置33</p><p> 11.3
26、.1.2設備名稱33</p><p><b> IP地址配置36</b></p><p> 啟用SSH并測試36</p><p> 第12章Trunk基本配置37</p><p> 12.1技術簡介37</p><p> 12.2設備簡介37</p>&l
27、t;p> 12.3基本配置37</p><p> 12.4驗證配置41</p><p> 第13章VLAN配置43</p><p> 13.1技術簡介43</p><p> 13.2設備簡介43</p><p> 13.3基本配置43</p><p>
28、 13.4驗證配置45</p><p> 13.5配置vlan地址和默認網關46</p><p> 第14章VTP配置47</p><p> 14.1技術簡介47</p><p> 14.2設備簡介48</p><p> 14.3基本配置48</p><p>
29、 14.4驗證配置51</p><p> 第15章以太網通道配置52</p><p> 15.1技術簡介52</p><p> 15.2設備簡介52</p><p> 15.3基本配置52</p><p> 15.4驗證配置53</p><p> 第16章S
30、TP配置53</p><p> 16.1技術簡介53</p><p> 16.2設備簡介54</p><p> 16.3基本配置54</p><p> 16.4驗證配置55</p><p> 第17章OSPF配置56</p><p> 17.1技術簡介56&
31、lt;/p><p> 17.2設備簡介56</p><p> 17.3基本配置57</p><p> 17.4驗證配置61</p><p> 第18章HSRP配置62</p><p> 18.1技術簡介62</p><p> 18.2設備簡介63</p>
32、;<p> 18.3基本配置63</p><p> 18.4驗證配置66</p><p> 第19章GRE over IPSEC配置67</p><p> 19.1技術簡介67</p><p> 19.2設備簡介68</p><p> 19.3基本配置68</p&
33、gt;<p> 19.4驗證配置72</p><p> 第20章PPP配置73</p><p> 20.1PPP認證73</p><p> 20.2配置PPP認證74</p><p> 20.3驗證74</p><p> 第21章ACL配置75</p>&
34、lt;p> 21.1ACL介紹75</p><p> 21.2 ACL的作用75</p><p> 21.3 ACL的執(zhí)行過程75</p><p> 21.4 ACL的分類75</p><p><b> 21.5配置76</b></p><p> 第22章ISA防火
35、墻配置77</p><p> 22.1ISA簡介77</p><p> 22.1.1ISA特性介紹77</p><p> 22.1.2平臺需求78</p><p> 22.1.3關鍵術語78</p><p> 22.2應用位置及項目角色79</p><p> 2
36、2.2.1應用位置79</p><p> 22.2.2項目角色79</p><p> 22.2.2.1防火墻79</p><p> 22.2.2.2代理服務器79</p><p> 22.2.2.3NAT79</p><p> 22.2.2.4服務器發(fā)布79</p>&l
37、t;p> 22.3ISA服務架構80</p><p> 22.3.1安裝80</p><p> 22.3.1.1ISA防火墻服務器安裝80</p><p> 22.3.1.2ISA防火墻客戶端安裝86</p><p> 22.3.2發(fā)布服務器89</p><p> 22.3.3N
38、AT97</p><p> 22.3.4防火墻策略103</p><p> 22.3.5代理服務器及緩存配置110</p><p> 第23章Iptables配置116</p><p> 23.1Iptables概述116</p><p> 23.1.1netfilter/iptables
39、架構116</p><p> 23.1.2關鍵術語116</p><p> 23.1.3iptables功能117</p><p> 23.2 實現目標117</p><p> 23.2.1 包過濾117</p><p> 23.2.2NAT117</p><p>
40、 23.3配置118</p><p> 23.3.1NAT配置118</p><p> 23.3.2包過濾118</p><p><b> 結 束 語120</b></p><p> 參 考 文 獻120</p><p><b> 致 謝121</b&
41、gt;</p><p><b> 引 言</b></p><p> 網絡改變了人們的生活,地球變成了地球村,全世界的人可以隨時進行網絡交流。信息資源的共享,帶來社會生產力空前提高,互聯網與人們生活越來越密切,如網上證券期貨交易、遠程電子視頻會議、網上購物等應用使得人們的生活已經越來越離不開網絡,由此,信息高速公路的建設變得十分重要。</p><
42、;p> 企業(yè)規(guī)模的不斷壯大和業(yè)務量的不斷增加,原有的工作方式已不能滿足現代企業(yè)的需要,特別是對突發(fā)事件的處理能力與速度的需求?,F代企業(yè)如果沒有信息技術的支持,就不能稱之為現代企業(yè)。隨著網絡技術的不斷成熟、網絡產品價格的不斷下降,以及對數據傳輸和信息交換需求的不斷增加,現在各企業(yè)均正在或已搭建了企業(yè)內部局域網,因為,企業(yè)網絡的建設是企業(yè)向信息化發(fā)展的必然選擇。企業(yè)網絡為企業(yè)的現代化發(fā)展、綜合信息管理和辦公自動化等一系列應用提供了基
43、礎平臺。</p><p> 本設計結合中小企業(yè)實際需求,舉例分析、設計、配置、模擬組建了一個典型的中小企業(yè)網絡。</p><p><b> 項目需求分析</b></p><p><b> 項目背景</b></p><p> 安博公司是一個教育公司,是“以學習者為中心”面向個人及機構提供學習和
44、教育服務的機構,致力于通過領先的技術方案、高品位的教育服務和變革性的創(chuàng)新資源,完善個體的終生學習和學習型組織的發(fā)展進程,助力于全社會的創(chuàng)新能力和國民素質的提升。</p><p> 集團的業(yè)務涉及基礎教育服務、職業(yè)教育服務、企業(yè)培訓等領域,安博高考與同步培訓機構、安博國際學校、安博實訓基地、安博職業(yè)教育學院、安博學習體驗中心等機構已遍及全國二十多個重點城市,形成了以區(qū)域教育服務中心和實訓基地為依托,以師資、課程、
45、服務流程、IT支持、網絡學習服務的標準化為載體的服務體系,通過標準品質的服務保障全國各地用戶的個性化需求。</p><p> 安博教育集團創(chuàng)建專業(yè)的教育和技術研發(fā)機構——安博研究院進行前瞻性教育理念和資源的創(chuàng)造與創(chuàng)新。安博數十種自主知識產權技術、產品獲得國家版權認證、專利認證和科技成果鑒定。安博還與北京師范大學合作創(chuàng)立北師大安博教育發(fā)展研究院,開展教育政策與理論探索、國際高端項目交流,目前已參與和承辦了多項國家
46、重大教育課題、國際高端學術論壇。</p><p> 目前安博總部在北京,分部分別在大連及江蘇的昆山。總部設有品質保障部、教學支持部、財務部、市場部,員工約有150人。分部的部門與總部相同,兩個分部各有員工約50人。</p><p><b> 需求分析</b></p><p> 由于安博公司正處于快速發(fā)展期,所以目前的網絡規(guī)模已不能滿足當前
47、的發(fā)展需要。為了提高生產辦公的效率、加強管理、加強部門間配合,提高獲取知識的能力,所以需要升級網絡,深化信息化應用,建設一個實用和先進、高可靠、高性能、高靈活性和擴展性、操作管理簡單的信息化融合網絡。</p><p> 本項目的網絡可以劃分為北京總部、昆山分部和大連分部。其中北京總部綜合項目招標,其性能,穩(wěn)定性,安全性,可靠性的要求一定要很高,尤其是核心區(qū)域。因此我們在設計時,需要考慮這些需要。而核心區(qū)的功能是
48、高速可靠地交換數據,因此該部分的設計更應該考慮性能和可用性的平衡。并且冗余性也要考慮。我們還可以利用ACL、防火墻來屏蔽一些網站的訪問。</p><p> 當前的網絡管理范疇比較廣,包括設備管理,資源管理,故障管理,性能管理,安全管理等等。在網絡規(guī)模相對較大的時候,合適的網管系統(tǒng)可以幫助客戶方便管理網絡內的設備及運行情況,提高網絡的運行效率。</p><p><b> 具體分
49、析如下:</b></p><p> 業(yè)務需求——需要實現總公司內部的互相通信,同時也要和分公司之間也能互相訪問,需要郵件服務、Web服務、視頻服務。</p><p> 管理需求——要對網絡進行遠程管理,遠程管理可以幫助網絡管理員利用遠程控制軟件管理網絡設備,使網管工作更方便,更高效,更穩(wěn)定。</p><p> 安全性需求——因為公司的數據核心是非常
50、重要的,為免被竊取要設置訪問權限;網絡可能被病毒攻擊和破壞,所以安裝殺毒軟件和防火墻。</p><p> 通信量需求——要滿足FTP、HTTP、mail、文件共享、視頻等各種服務的帶寬要求。</p><p> 性價比需求——以盡量少的成本建成性能較好的網絡。</p><p> 網絡擴展性需求分析——安博公司正處于高速發(fā)展時期,所以公司將會有新員工加入;有些設備
51、可能被淘汰,有些主機的性能要提升,操作系統(tǒng)平臺的升級。</p><p><b> 網絡總體建設目標</b></p><p><b> 網絡建設目標</b></p><p> 安博公司綜合項目網絡建設的目標是:按照“高標準,高起點”的要求,采用三層網絡結構,按要求實現網絡安全的需求。充分利用計算機網絡、多媒體、Inte
52、rnet/Intranet、數據庫、數字通信等先進技術構筑研究院的網絡平臺,實現繪圖、管理設計生產的網絡化,輔助領導掌握企業(yè)發(fā)展進行決策,建立先進的辦公自動化管理系統(tǒng)。組建一個高效,可靠,穩(wěn)定,易管理,安全的網絡。建立一個使集團數據、郵件、關鍵業(yè)務由總公司統(tǒng)一管理,并實現公司總部與分部的高效通信與資源共享的綜合信息網。</p><p> 網絡及系統(tǒng)建設內容及要求</p><p> 根據
53、安博公司的網絡情況,我們把整個網絡分為內部交換網絡設計、網絡出口設計、網絡安全設計幾大方面。對于內部交換網絡我們采用分層設計。內部交換網絡分成核心層、匯聚層、接入層三大部分。</p><p> 為了保證總部和分部網絡的高可用性和穩(wěn)定性,為了能有效防止局部故障引起整個網絡系統(tǒng)的癱瘓,應在網絡設計中提供拓撲和設備的冗余和備份,使故障能在最短的時間內進行恢復,讓網絡故障的發(fā)生和損失降到最小。使用生成樹協(xié)議(STP)可
54、以實現交換機之間的冗余連接,避免網絡環(huán)路的出現,實現網絡的高可靠性,它實現在交換機之間傳遞橋接,從而保證其穩(wěn)定性,還可以用路由器備份協(xié)議(HSRP)支持多臺路由器形成熱備份而消除單臺設備失效造成的網絡中斷。</p><p> 我們建議在設計時,交換機采用HSRP、STP等協(xié)議。借助VLAN技術,使得對于網絡內有關server的訪問變得更加安全有效。在服務器操作系統(tǒng)選擇方面,我們采用較為安全的Linux操作系統(tǒng)。
55、</p><p> 對于邊界網絡接入網絡,網絡的安全性將是一個需要考慮的非常重要的因素。所以確保在網絡的邊界處部署相應的安全策略以防止黑客和各種惡意代碼的攻擊至關重要。</p><p> 在數據傳輸安全方面,總部和分部之間,我們架設VPN虛擬通道。VPN主要采用思想安全保證技術,分別是隧道技術、加解密技術、密鑰管理技術、和使用者與設備身份認證技術。在安全方面,VPN直接構建在公用網上,
56、實現簡單、方便、靈活,同時保證通過公用網絡平臺傳輸數據的專用性和安全性。</p><p> 對于設備,我們采用性價比較高的設備。對于網絡帶寬,由于帶寬有限且租金昂貴,我們建議用QOS技術進行擁塞管理、擁塞避免、流量整形等策略對網絡上的流量進行管理。</p><p><b> 網絡設計原則</b></p><p> 先進性:計算機網絡技術、
57、軟件技術的發(fā)展迅速,網絡的設計要立足于較高的起點,保證系統(tǒng)有較長的生命力。保證滿足系統(tǒng)業(yè)務的同時,又要體現出網絡系統(tǒng)的先進性。在網絡設計中要把先進的技術與現有的成熟技術和標準結合起來,充分考慮到公司網絡應用的現狀和未來的發(fā)展趨勢。</p><p> 可靠性:網絡系統(tǒng)的穩(wěn)定可靠是應用系統(tǒng)正常運行的關鍵保證,在網絡設計中選用高可靠性的網絡產品,合理設計網絡架構,制定可靠的網絡備份策略,保證網絡具有故障治愈的能力,最
58、大限度的支持各個系統(tǒng)的正常運行。</p><p> 安全性:在網絡設計中,應采用硬件技術與軟件技術相結合的方式,全面系統(tǒng)的保護網絡的安全運行。系統(tǒng)應提供一套完整的安全防范措施,防止由于操作人員的誤操作以及系統(tǒng)中的某些故障而造成數據被破壞或系統(tǒng)的誤操作。</p><p> 兼容和拓展性:盡量采用成熟的技術,保證軟硬件的兼容性,同時需考慮設備的更新與升級的能力。</p>&l
59、t;p> 可管理性:網絡中的任何設備均可以通過網絡管理平臺進行控制,網絡的設備狀態(tài)、故障報警等都可以通過網管平臺進行監(jiān)控,通過網絡管理平臺簡化管理工作,提高網絡管理的效率。</p><p> 實用性:網絡系統(tǒng)的設計以實用、滿足應用為主,不追求最高、最新。</p><p> 經濟性:在滿足功能與性能的基礎上實現性能/價格比最優(yōu)。</p><p><b
60、> 網絡總體設計</b></p><p><b> 網絡總體拓撲圖</b></p><p> 圖4-1 企業(yè)網絡拓撲結構圖</p><p> 如上圖所示,安博公司整體網絡可以根據功能劃分為北京總部核心網絡,內嵌接入包括品質保障部網絡,教學支持部網絡,財務部和市場部。外聯單位接入大連分部網絡和昆山分布網絡。各區(qū)域相對獨
61、立,通過核心網絡進行數據的交互。</p><p><b> 網絡層次化設計</b></p><p> 隨著通信技術和計算機技術的發(fā)展,網絡結構的選擇直接影響著網絡的運行效率、可靠性和網絡安全。由此形成了一個新的,更適應現代的高速大型網絡的分層設計模型。這種方法被稱為“層次化網絡設計”。</p><p> 層次化網絡設計有以下好處:<
62、/p><p> 網絡簡單:通過將網絡分成許多小單元,降低了網絡的整體復雜性,使故障排除或擴展更容易,能隔離廣播風暴的傳播、防止路由循環(huán)等潛在的問題。</p><p> 網絡設計靈活:網絡容易升級到最新的技術,升級任意層次的網絡不會對其他層次造成影響,無須改變整個環(huán)境。</p><p> 網絡可管理:層次結構降低了設備配置的復雜性,使網絡更容易管理。</p&g
63、t;<p> 針對于安博公司的內部交換網絡,我們采用三層結構模型。將內部交換網絡分成核心層、匯聚層、接入層三大部分。</p><p> 三大部分的功能分別為:</p><p> 核心層:實現數據的高速通信與交換,提供高可靠性,冗余鏈路,故障隔離,迅速升級,提供較少的滯后和好的可管理性,避免由濾波器或其它處理引起的慢包操作,有有限和一致的直徑。</p>&l
64、t;p> 匯聚層:提供策略,安全,部門或工作組級訪問,定義廣播/多播域,虛擬LAN之間路由選擇,介質翻譯,在路由選擇域之間重分布,靜態(tài)路由和動態(tài)路由選擇協(xié)議劃分。</p><p> 接入層:對匯聚層的訪問控制和策略進行支持,建立獨立沖突域,建立工作組與匯聚層的連接。提供多種方式來讓用戶接入網絡,并做安全驗證。</p><p><b> 核心層設計</b>&
65、lt;/p><p> 核心層是網絡的高速交換主干,對整個網絡的連通起到至關重要的作用。核心層的任務是為其他兩層提供優(yōu)化的數據傳輸功能。核心層由一個高速的骨干網組成,其作用是盡可能快地交換數據包。</p><p> 核心層的主干交換機一般采用最快速率的鏈路連接技術,在與分布層骨干交換機相連時要考慮采用建立在生成樹基礎上的多鏈路冗余連接,以保證與骨干交換機之間存在備份連接和負載均衡,完成高帶寬
66、、大容量網絡層路由交換功能。這樣當交換機之間的線路出現故障時,傳輸的數據會快速自動切換到另外一條線路上進行傳輸,不影響網絡系統(tǒng)的正常工作。因此根據以上的原理,在核心層選用Cisco4506交換機。</p><p><b> 分布層設計</b></p><p> 分布層提供基于統(tǒng)一策略的互聯性,定義了網絡的邊界,可以對數據包進行復雜的運算。分布層內的千兆位交換機及主
67、干鏈路均可采用千兆模塊進行生成樹冗余鏈路連接。局域網的分布層主要提供了地址的聚集、部門和工作組的接入、廣播域/組播傳輸域的定義、VLAN路由、安全控制等功能。</p><p> 分布層交換機和接入層交換機之間可以利用全雙工技術和高傳輸率網絡互聯,保證分支主干無帶寬瓶頸。分布層的設計要滿足核心層、分布層交換機和服務器集合環(huán)境對千兆端口密度、可擴展性、高可用性以及多層交換的不斷增長的需求,支持大用戶量、多媒體信息傳
68、輸等應用。所以選擇的設備配置比核心層稍低??刹捎盟伎艭isco3750交換機。</p><p><b> 接入層設計</b></p><p> 接人層的主要目標是為最終用戶提供對網絡訪問的途徑等功能。交換機的普通端口直接與用戶計算機相連,高速端口用于上連高速率的分布層網絡交換機,用以有效地緩解網絡骨干的瓶頸。根據分析,我們可以采用cisco2960交換機。<
69、/p><p><b> 總部與分部內聯接入</b></p><p> 內聯接入的作用是用于連接北京總部和昆山分布及大連分布的網絡。我們推薦使用Cisco 2800系列的路由器完成此功能。北京及昆山、大連內部使用VLAN的劃分,北京總部與大連、昆山分布之間使用ipsec vpn實現互相通信,漫游用戶通過easy vpn 來實現對公司的訪問。</p><
70、;p><b> 路由、交換設計</b></p><p><b> 設備選擇</b></p><p> 表5-1 網絡設備清單</p><p><b> 設備命名規(guī)范</b></p><p> 表5-2 網絡設備命名</p><p>
71、 VLAN、子網及IP地址規(guī)劃(192.168.1.0-3.0)</p><p> IP地址的規(guī)劃在網絡設計中舉足輕重。直接影響網絡運行的效率。IP地址設計的總原則是簡單、易管理、易擴展。</p><p> 我們配IP地址按以下原則:</p><p> 唯一性:一個IP網絡中不可能有兩個主機采用相同的IP地址。</p><p> 簡單
72、性:地址分配應簡單易于管理,降低網絡擴展的復雜性,簡化路由表的款項。</p><p> 連續(xù)性:連續(xù)地址在此結構網絡中易于進行路由總結(Route Summarization),大大縮減路由表,提高路由算法效率。</p><p> 可擴展性:地址分配在每一層次上都要留有余量,在網絡規(guī)模擴展時能保證地址總結所需的連續(xù)性。</p><p> 靈活性:地址分配應具有
73、靈活性,可借助可變長子網掩碼技術,以滿足多種路由策略的優(yōu)化,充分利用地址空間。</p><p> 表5-3 北京總部IP地址劃分</p><p> 表5-4 大連分部IP地址劃分</p><p> 表5-5 昆山分部IP地址劃分</p><p><b> 路由協(xié)議</b></p><p&
74、gt; 在本次網絡項目中,北京總部的路由器BJ-R-001和交換機BJ-S-01、 BJ-S-02 、BJ-S-03及 BJ-S-04,我們均采用OSPF協(xié)議,分部也同樣使用。使用OSPF協(xié)議可以使路由快速收斂,方便網絡管理員管理。OSPF協(xié)議標準化強,支持多種廠家,受到廣泛的應用。</p><p> 相對其他協(xié)議,OSPF有很多優(yōu)點。OSPF支持各種不同鑒別機制(如簡單口令驗證。MD5 加密認證),OSPF
75、收斂速度快,能夠在最短的時間內將路由變化傳遞到整個自治系統(tǒng),提供負載均衡功能。安博總部規(guī)劃為area 0,其內部網絡也都規(guī)劃為area 0。各區(qū)域接入路由器跟據區(qū)域不同使用動態(tài)協(xié)議,或者使用靜態(tài)路由與動態(tài)路由結合的方式。</p><p><b> 交換技術</b></p><p> 對于本次項目的核心層交換機Cisco 4506,我們將采用建立在生成樹基礎上的多鏈
76、路冗余連接。這樣不僅可以避免了由于網絡環(huán)路造成的廣播風暴等,還可以保證骨干交換機之間存在備份連接和負載均衡,完成高帶寬、大容量網絡層路由交換功能。這樣當交換機之間的線路出現故障時,傳輸的數據會快速自動切換到另外一條線路上進行傳輸,不影響網絡系統(tǒng)的正常工作。</p><p> 而對于匯聚層交換機Cisco 3750和接入層交換機Cisco 2960,我們將采用VTP、VLAN、HSRP等協(xié)議。使用VTP協(xié)議,可以
77、把一臺交換機配置成VTP Server, 其余交換機配置成VTP Client,這樣他們可以自動學習到server上的VLAN 信息。這樣不僅可以少在多臺設備上配置同一個VLAN信息的工作量,而且還保持了VLAN配置的統(tǒng)一性。而VLAN 技術,則可以限制廣播范圍,并能夠形成虛擬工作組,動態(tài)管理網絡。不僅提高了網絡的安全性,而且成本低,性能高,節(jié)省了人力,具有很高的靈活性。HSRP 是熱備份路由協(xié)議。在北京總部和分部在匯聚層的交換機上我們
78、采用熱備份協(xié)議,運用兩臺交換機,當其中的一臺出現故障致使網絡不能正常通信時,備用的那臺馬上起到作用,避免了網絡的“短路”問題。HSRP 實現容錯備份功能,可以有效解決網絡不暢問題,保證了網絡的可靠性。</p><p><b> IPV6 </b></p><p> 由于IPV4網絡地址的資源有限,所以,為了提高網絡的可擴展性,在本次網絡項目中所采用的設備,均支持I
79、PV6。IPV6以其靈活的IP報文頭部格式,不僅取代了IPV4中可變長度的選項字段,而且也使路由器可以簡單路過選項而不做任何處理,加快了報文處理速度,提高了吞吐量。而且IPV6還具有安全性、身份認證和隱私權等特性。支持更多的服務類型,允許協(xié)議繼續(xù)演變,增加新的功能,使之適應未來技術的發(fā)展。</p><p><b> 網絡安全解決方案</b></p><p> 網絡
80、邊界安全威脅分析</p><p> 把不同安全級別的網絡相連接,就產生了網絡邊界。防止來自網絡外界的入侵就要在網絡邊界上建立可靠的安全防御措施。該項目網絡邊界上的安全問題如下:</p><p><b> 1、信息泄密</b></p><p><b> 2、入侵者的攻擊</b></p><p>
81、<b> 3、網絡病毒</b></p><p> 6.2 網絡內部安全威脅分析</p><p> 本項目網絡內部安全存在的主要問題,主要表現以下幾個方面:</p><p> 1. 網絡建設單位、管理人員和技術人員缺乏安全防范意識</p><p> 2. 組織和部門的計算機網絡安全防范沒有形成完整的、組織化的體系
82、結構</p><p> 3. 竊取者將自己的計算機非法接入內網或者非法直接鏈接計算機終端,竊取內網重要數據;</p><p> 4. 竊取者直接利用局域網中的某一臺主機,通過網絡攻擊或欺騙的手段,非法取得其他主機甚至是某臺服務器的重要數據;</p><p> 5. 內部員工將只允許在局域網內部使用的數據通過磁盤復制、打印、非法撥號外聯等手段泄漏到外部;<
83、/p><p> 6. 內部人員竊取管理員用戶名和密碼,非法進入重要的系統(tǒng)和應用服務器獲取內部重要數據。</p><p><b> 6.3解決方案</b></p><p> 6.3.1ISA防火墻和iptables防火墻</p><p> 網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部
84、網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環(huán)境的特殊網絡互聯設備.它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監(jiān)視網絡運行狀態(tài)。</p><p> 6.3.2病毒防護技術</p><p> (1)阻止病毒的傳播</p><p> 在防火墻、SMTP服務器、網絡服務器上安裝病毒過濾軟件。在
85、桌面PC安裝病毒監(jiān)控軟件。 </p><p> (2)檢查和清除病毒</p><p> 使用防病毒軟件檢查和清除病毒。 </p><p> (3)病毒數據庫的升級</p><p> 病毒數據庫應不斷更新,并下發(fā)到桌面系統(tǒng)。 </p><p> (4)在防火墻及PC上安裝控制掃描軟件,禁止未經許可的控件下載和安
86、裝。</p><p> 6.3.3認證和數字簽名技術</p><p><b> (1)認證</b></p><p> 1.路由器認證,路由器和交換機之間的認證</p><p> 2.操作系統(tǒng)認證,操作系統(tǒng)對用戶的認證</p><p> 3.撥號訪問服務與客戶之間的認證</p>
87、<p> 4.電子郵件通訊雙方認證</p><p><b> (2)數字簽名技術</b></p><p> 認證過程通常涉及到加密和密鑰交換。</p><p> Password認證</p><p> 該種認證方式是最常用的一種認證方式,用于操作系統(tǒng)登錄、telnet等,但由于此種認證方式過程不加
88、密,即password容易被監(jiān)聽和解密。 </p><p> 使用摘要算法的認證 </p><p><b> 基于PKI的認證</b></p><p> 使用公開密鑰體系進行認證和加密。該種方法安全程度較高,綜合采用了摘要算法、不對稱加密、對稱加密、數字簽名等技術,很好地將安全性和高效率結合起來。這種認證方法目前應用在電子郵件、應用服務器
89、訪問、客戶認證、防火墻驗證等領域。</p><p><b> 關鍵技術介紹</b></p><p><b> HSRP</b></p><p> HSRP是 Hot Standby Routing Protocol(熱備份路由協(xié)議的縮寫)。它的作用是能夠把一臺或多臺路由器用來做備份。</p><p
90、> 當采用 HSRP, 用戶看到的是一臺虛擬路由器,該虛擬路由器有自己的虛擬 IP 地址和虛擬 MAC 地址,該虛擬路由器是由一組路由器組成的,這組路由器稱為備份組。備份組內由一臺活動路由器、一臺備份路由器,以及群眾路由器構成。一般情況下,一旦活動路由器壞掉,該備份路由器成為活動路由器,然后備份組內選舉組內的另一臺路由器為備份路由器。組內路由器通過接受來自活動路由器的周期性 Hello 報文來判斷活動路由器是否工作正常。如果組內
91、備份路由器 R 在一定時間間隔未收到活動路由器 Hello 報文,就認為活動路由器壞掉了,優(yōu)先級高的備份路由器最終成為活動路由器。備份路由器也是通過類似過程產生的。這樣總能保證備份組中有一臺活動路由器,一臺備份路由器。</p><p><b> VLAN</b></p><p> VLAN(虛擬局域網)是對連接到的第二層交換機端口的網絡用戶的邏輯分段,不受網絡用戶
92、的物理位置限制而根據用戶需求進行網絡分段。一個VLAN可以在一個交換機或者跨交換機實現。VLAN可以根據網絡用戶的位置、作用、部門或者根據網絡用戶所使用的應用程序和協(xié)議來進行分組?;诮粨Q機的虛擬局域網能夠為局域網解決沖突域、廣播域、帶寬問題。 </p><p> 因此使用VLAN技術,結合數據鏈路層和網絡層的交換設備可搭建安全可靠的網絡。網絡管理員通過控制交換機的每一個端口來控制網絡用戶對網絡資源的訪問,同
93、時VLAN和第三層第四層的交換結合使用能夠為網絡提供較好的安全措施。</p><p><b> VTP</b></p><p> VTP協(xié)議主要用于管理在同一個域的網絡范圍內VLAN的建立、刪除和重命名。在一臺VTP Server 上配置一個新的VLAN時,該VLAN的配置信息將自動傳播到本域內的其他所有交換機。這些交換機會自動地接收這些配置信息,使其VLAN的配
94、置與VTP Server保持一致,從而減少在多臺設備上配置同一個VLAN信息的工作量,而且保持了VLAN配置的統(tǒng)一性。</p><p> VTP有三種工作模式:VTP Server、VTP Client 和 VTP Transparent。一般,一個VTP域內的整個網絡只設一個VTP Server。VTP Server維護該VTP域中所有VLAN 信息列表,VTP Server可以建立、刪除或修改VLAN。VT
95、P Client雖然也維護所有VLAN信息列表,但其VLAN的配置信息是從VTP Server學到的,VTP Client不能建立、刪除或修改VLAN。VTP Transparent相當于是一上獨立的交換機,它不參與VTP工作,不從VTP Server學習VLAN的配置信息,而只擁有本設備上自己維護的VLAN信息。VTP Transparent可以建立、刪除和修改本機上的 VLAN信息。</p><p><
96、b> TRUNK</b></p><p> TRUNKING是用來在不同的交換機之間進行連接,以保證在跨越多個交換機上建立的同一個VLAN的成員能夠相互通訊。其中交換機之間互聯用的端口就稱為TRUNK端口。與一般的交換機的級聯不同,TRUNKING是基于OSI第二層數據鏈路層技術,如果在2個交換機上分別劃分了多個VLAN(VLAN也是基于Layer2的),那么分別在兩個交換機上的VLAN10
97、和VLAN20的各自的成員如果要互通,就需要在A交換機上設為VLAN10的端口中取一個和交換機B上設為VLAN10的某個端口作級聯連接。VLAN20也是這樣。那么如果交換機上劃了10個VLAN就需要分別連10條線作級聯,端口效率就太低了。 當交換機支持TRUNKING的時候,事情就簡單了,只需要2個交換機之間有一條級聯線,并將對應的端口設置為Trunk,這條線路就可以承載交換機上所有VLAN的信息。這樣的話,就算交換機上設了上百個個VL
98、AN也只用1個端口就解決了。 </p><p><b> STP</b></p><p> 在局域網中是不允許出現環(huán)路的,而為了實現冗余和負載均衡,通常會有多條鏈路的連接,這樣就會形成環(huán)路。所以要用STP協(xié)議。在交換機上對端口的優(yōu)先權的設置可以基于VLAN進行,每個端口對于不同的VLAN設置不同的優(yōu)先級。對于指定的VLAN,具有該VLAN最高優(yōu)先權的端口轉發(fā)該VL
99、AN的信息,其他VLAN的信息則阻塞。通過這種方法,在具有冗余連接的交換機端口上分別針對不同的VLAN設置不同的優(yōu)先權 ,既可實現鏈路的冗余,又可實現負載的均衡。</p><p> 該協(xié)議的目的是在實現交換機之間的冗余連接的同時,避免網絡環(huán)路的出現,實現網絡的高可靠性。確定根橋,決定哪些端口處于轉發(fā)狀態(tài),哪些端口處于阻斷狀態(tài),以免引起網絡環(huán)路。</p><p><b> VP
100、N</b></p><p> 虛擬專用網(VPN)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。虛擬專用網是對企業(yè)內部網的擴展。 </p><p> 虛擬專用網可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。通過將數據流轉移到低成本的網絡上,
101、一個企業(yè)的虛擬專用網解決方案將大幅度地減少用戶花費在城域網和遠程網絡連接上的費用。同時,這將簡化網絡的設計和管理,加速連接新的用戶和網站。另外,虛擬專用網還可以保護現有的網絡投資。隨著用戶的商業(yè)服務不斷發(fā)展,企業(yè)的虛擬專用網解決方案可以使用戶將精力集中到自己的生意上,而不是網絡上。 </p><p><b> 設備簡介</b></p><p> 8.1 Cisco
102、 2800系列集成多業(yè)務路由器</p><p> 圖9-1 Cisco 2811路由器實物圖</p><p> 表9-1 Cisco 2811簡要參數</p><p> Cisco 4500系列交換機</p><p> 圖9-2 Cisco 4506交換機實物圖</p><p> 表9-2 Cisco
103、 4506簡要參數</p><p> Cisco Catalyst 3750 系列集成交換機</p><p> 圖9-3 Cisco 3750交換機實物圖</p><p> 表9-3 Cisco 3750簡要參數</p><p> Cisco Catalyst2960系列交換機</p><p>
104、 圖9-4 Cisco WS-C2960-24TT-L交換機實物圖</p><p> 表9-4 Cisco WS-C2960-24TT-L簡要參數</p><p> 圖9-5 Cisco WS-C2960-48TC交換機實物圖</p><p> 表9-5 Cisco WS-C2960-48TC簡要參數</p><p><b
105、> 項目實施計劃</b></p><p><b> 項目組織結構</b></p><p> 圖10-1 安博項目人員組織結構圖</p><p> 本項目由項目領導小組中的項目經理負責,設置專家組對整個項目進行總體技術把關,并設立項目協(xié)調組,進行項目信息的總體協(xié)調,下設項目控制組對項目實施的質量和文檔進行把控,項目的實
106、施組對項目的整體設備安裝、綜合布線、現場項目培訓等科目的執(zhí)行,項目商務組對項目的設備供貨控制、成本控制給予堅強后盾,幾個小組通力合作形成項目的管理和技術核心。</p><p> 項目經理對內向公司高管負責,同時對業(yè)主項目管理組組長負責。項目組內各部向項目經理負責。內部專家組協(xié)助項目經理完成項目的內部評審、關鍵技術問題指導等工作。各組之間根據質量管理體系的要求,按照實施階段的劃分和總體實施進度情況在項目經理的協(xié)調
107、之下完成信息的交流。</p><p><b> 項目人員分工</b></p><p> 表10-2 項目人員分工表</p><p><b> 工程進度計劃</b></p><p> 表10-3 工程進度計劃表</p><p> 項目實施前的準備工作</p&
108、gt;<p> 好的準備工作意味著好的開始,是其后工作的基礎。并注定會影響項目過程和結果。乙方提供場地評估和安裝支持,在系統(tǒng)安裝之前,網絡工程師要完成所有辦公位置的場地評估。甲方(安博公司)則需要在實際設備安裝之前根據設備對場地的要求對場地完成必要的修改,乙方也可以接受委托完成這項工作,但在這個過程的每一個階段,項目人員與客戶指定的工作人員也可以聯合工作。乙方的前期準備工作:</p><p>
109、1、網絡設備的采購/準備;</p><p> 2、五金/材料的采購和準備;</p><p> 3、操作人員、施工人員的準備;</p><p> 4、場地的評估和技術支持;</p><p> 5、項目人員和客戶指定的工作人員的聯合工作。</p><p><b> 安裝前的場地準備</b>&
110、lt;/p><p> 在系統(tǒng)安裝之前,工程師需要對計劃安裝設備的場地進行檢查。檢查硬件設備安裝的位置、空間、供電要求及環(huán)境條件。工程師也要確定場地的電纜布線要求,保證各種設備能夠長久的持續(xù)工作。</p><p><b> 具體要求:</b></p><p> 1.位置要求:安博教育是以教育為中心的機構,為滿足其網上教學等,設備安裝的位置應部署
111、在各個機房,安全的方便的提供服務。</p><p> 2.空間要求:安博快速發(fā)展,在各地設立培訓機構,為滿足其可擴展性,機房的空間要足夠大,其設施要完備,環(huán)境要適宜等。</p><p> 3.供電要求:作為一個網絡信息的時代,安博教育的發(fā)展在實時更新,那么設備在安裝前供電是及其重要的,UPS(不間斷電源) 供電系統(tǒng)應與普通用電系統(tǒng)嚴格分開。UPS 電源應采用雙機備份及不少于 30 分鐘
112、的后備時間,普通維修插座及照明用電線路應設有漏電保護開關,機房內所有的電氣材料均應有消防部門認可的生產證書,所有電線電纜均應為阻燃或難阻燃電纜,提供設備電源。</p><p> 核心及各網點的安裝調試</p><p> 在場地、設備及軟件均已準備好時,系統(tǒng)將進入安裝階段。系統(tǒng)的安裝分為以下幾個部分:網絡設備安裝和調試。就系統(tǒng)安裝過程中涉及到的需要保密的部分,乙方將配備相應的工程師協(xié)助廠
113、商的技術工程師現場安裝有關硬件和軟件。在系統(tǒng)安裝前,將會就具體工作程序、工作內容、調試方法、調試結果及驗收標準等資料在調試前書面提出并征得公司同意,之后按計劃實施。為保證整個項目按時完成,將安排工程師、進行項目實施,進行單點調試和系統(tǒng)聯調。</p><p><b> 網絡測試</b></p><p><b> 網絡測試目的</b></p
114、><p> 測試的目的是檢驗本項目中所供或的產品(含軟硬件)工作是否正常,是否實現設計功能。在測試工作開始之前,根據本項目的具體情況會同設備廠商技術人員等專家制定測試方案,并把方案提交給安博公司項目單位和項目組討論,在方案獲得通過后按照該方案開展測試工作。測試的過程和結果將以測試報告的形式予以記錄。</p><p> 測試內容包括如下功能性測試:</p><p>&
115、lt;b> ??設備測試</b></p><p> 測試設備在網絡中運行工作情況</p><p><b> ??網絡連通測試</b></p><p> 測試客戶端訪問用戶服務器應用</p><p><b> 測試文檔</b></p><p> 表
116、11-1 Cisco 2811路由器測試表</p><p> 表11-2 Cisco WS-C4506交換機測試</p><p> 表11-3 Cisco WS-C3750-24TS-S交換機測試</p><p> 表11-4 Cisco WS-C2960-24TT-L交換機測試</p><p> 表11-5 Cisco W
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 路由交換方向網絡工程畢業(yè)設計論文
- 路由交換方向網絡工程畢業(yè)設計論文
- 路由交換方向畢業(yè)論文
- 路由交換方向畢業(yè)論文
- 路由交換方向
- 計算機畢業(yè)論文--路由交換方向
- 計算機路由交換方向畢業(yè)論文
- 路由與交換畢業(yè)論文
- 路由與交換 畢業(yè)論文
- 畢業(yè)設計樣本(營銷方向)
- 路由交換課程設計
- 路由交換
- 視覺傳達方向畢業(yè)設計安排
- 路由與交換課程設計
- 路由協(xié)議配置與分析畢業(yè)設計
- 藝術類專業(yè)方向畢業(yè)設計
- 畢業(yè)設計---交換機、路由器在校園網中的應用與分析
- 路由交換實驗
- 路由交換技術課程設計
- 工程管理房地產方向畢業(yè)設計
評論
0/150
提交評論