《企业网课程设计》word版.doc

重庆大学城市科技学院(报告书) 目 录一企业网络的背景.1二网络的需求分析.1三网络的总体设计.2四网络的规划.3五解决方案的总体实现.5六网络服务器配置.12七网络的安全防护.157.1安装杀毒软件.167.2 硬件系统的安全防护.16十配置清单.18九总结.20十参考文献.20一 企业网络的背景某小型企业现需要建设一个小型网络以实现该企业内部的相互通信和与外部的联系，通过该网络提高企业的发展和企业内部办公的信息化、办公自动化。该企业需要让各部门能够通过该网络访问互联网，并能实现部门之间信息化的合作。所以该网络的必须体现办公的方便性、迅速性、高效性、可靠性、科技性、资源共享、相互通信、信息发布及查询等功能，以作为支持企业内部办公自动化、供应链管理以及各应用系统运行的基础设施。具体要求如下：1、 建立一个连接人事部门、财务部门和生产部门等地的企业网，该网的骨干速率为1000Mbps。2、 联入企业网的电脑都可以实现Internet的通信。3、 建立企业本身的WWW服务器，提供企业的主页。 4、 建立电子邮件服务器，为企业员工提供电子邮件服务。5、 提供文件传输服务。6、 公司有两栋办公楼，相距500m，每层有六间办公室，每层设有一个弱电间，楼内综合布线和楼间光纤已布好，A栋第五层为中心机房。二 网络的需求分析 该网络是一个单核心的网络结构，采用典型的三层结构，核心、汇聚、接入。各部门独立成区域，防止个别区域发生问题，影响整个网的稳定运行，若某汇聚交换机发生问题只会影响到某几个部门，该网络使用VLAN进行隔离，方便员工调换部门。核心交换机连接三台汇聚交换机对所有数据进行接收并分流，所以该设备必须是高质量、功能具全，责任重大，通过高速转发通信，提高优化的，可靠的传输结构。核心层应该尽快地交换分组。该设备不承担访问列表检查、数据加密、地址翻译或者其他影响的最快速率分组的任务。汇聚层交换机位于接入层和核心层之间，该网络有三台汇聚层交换机分担15个部门，能帮助定义和分离核心。该层的设备主要目的是提供一个边界的定义，以在其内进行分组处理。该层将网络分段为多个广播域。该问控制列表可以实施策略并过滤分组。汇聚层将网络问题限制在发生问题的工作组内，防止这些问题影响到核心层。该层的交换机运行在第二层和第三层上。接入层为网络提供通信，并且实现网络入口控制。最终用户通过接入层访问网络的。作为网络的“前门”，接入层交换机使用访问列表以阻止非授权的用户进入网络。三 网络的总体设计网络拓扑如下图所示:设备选型 主要包括核心层/分布层设备 、接入层设备:设备型号数量说明路由器CISCO 7204VXR3个 三层交换机WS-C3560-48TS-S3个24口双绞线5类线4包每包大约300米水晶头RJ-45110个四 网络的规划 （1）实用性和经济性在网络的建设过程中，系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则。 （2）先进性和成熟性当前计算机网络技术发展很快，设备更新淘汰也很快。这就要求网络建设在系统设计时既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。只有采用当前符合国际标准的成熟先进的技术和设备，才能确保网络络能够适应将来网络技术发展的需要，保证在未来几年内占主导地位。 （3） 可靠性和稳定性在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。 （4）安全性和保密性在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。 （5）可扩展性和易维护性为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护。把当前先进性、未来可扩展性和经济可行性结合起来，保护以往投资，实现较高的总体性能价格比。VLAN及IP的划分R1:S0/0/0:/24Fa0/0.1: /24Fa0/0.2: /24Fa0/0.3: /24R2:S0/0/0:/24Fa0/0:/24Fa0/1:/24R3:S0/0/0:/24Fa0/1:/24SW1:VLAN1:/24SW2:VLAN1:/24SW3:VLAN1:/24 五 解决方案的总体实现（1）配置IP地址R1的配置如下：RouterenRouter#conf tRouter(config)#host R1R1(config)#int s0/0/0R1(config-if)#ip address R1(config-if)#clock rate 64000R1(config-if)#no shutdownR1(config)#int fa0/0R1(config-if)#no shutdownR2的配置如下：RouterenRouter#conf tRouter(config)#host R2R2(config)#int s0/0/0R2(config-if)#ip address R2(config-if)#no shutdownR2(config)#int fa0/1R2(config-if)#ip address R2(config-if)#no shutdownR3的配置如下：RouterenRouter#conf tRouter(config)#host R3R3(config)#int s0/0/0R3(config-if)#ip address R3(config-if)#clock rate 64000R3(config-if)#no shutdownR3(config)#int fa0/1R3(config-if)#ip address R3(config-if)#no shutdown（2）配置设备的远程登录和密码保护。R1的配置如下：R1(config)#line vty 0 4R1(config-line)#password ciscoR1(config-line)#loginR1(config-line)#exitR1(config)#enable secret ciscoR1(config)#service password-encryptionR2、R3、SW1、SW2和SW3的配置与R1的配置类似。（3）配置VTP协议SW1的配置如下：SW1(config)#vtp domain ccnaSW1(config)#int fa0/23SW1(config-if)#switchport mode trunkSW1(config-if)#int fa 0/24SW1(config-if)#switchport mode trunkSW2的配置如下：SW2(config)#vtp domain ccnaSW2(config)#vtp mode clientSW2(config)#int fa0/23SW2(config-if)#switchport mode trunkSW2(config-if)#int fa 0/24SW2(config-if)#switchport mode trunkSW3的配置如下：SW3(config)#vtp domain ccnaSW3(config)#vtp mode clientSW3(config)#int fa0/23SW3(config-if)#switchport mode trunkSW3(config-if)#int fa 0/24SW3(config-if)#switchport mode trunk(4)VLAN的配置配置VLAN在VTP Server交换机SW1上添加VLAN，并把端口加入到对应的VLAN中。SW1的配置如下：SW1(config)#vlan 2SW1(config-vlan)#vlan 3SW1(config-vlan)#int fa 0/2SW1(config-if)#switchport mode accessSW1(config-if)#switchport access vlan 2SW1(config-if)#int fa 0/3SW1(config-if)#switchport mode accessSW1(config-if)#switchport access vlan 3SW2的配置如下：SW2(config)#int fa0/1SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 2SW2(config-if)#int fa 0/2SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 3配置VLAN间路由这里要配置单臂路由，借助路由器R1实现VLAn1、VLAn2、VLAN3之间的互访。SW1和R1之间的链路要配置成主干链路，SW1的配置如下：SW1(config)#int fa 0/1SW1(config-if)#switchport mode trunk路由器R1的配置如下：R1(config)#int fa 0/0.1R1(config-subif)#encapsulation dot1Q 1R1(config-subif)#ip add R1(config-subif)#no shutdownR1(config-subif)#int fa 0/0.2R1(config-subif)#encapsulation dot1Q 2R1(config-subif)#ip add R1(config-subif)#no shutdownR1(config-subif)#int fa0/0.3R1(config-subif)#encapsulation dot1Q 3R1(config-subif)#ip address R1(config-subif)#no shutdown(5)配置STP协议。要求配置生成树协议，使SW1为跟交换机。SW1的配置如下：Sw1（config）spanning-tree vlan 1，2，3 priority 4096（6）配置DHCP路由器R1的配置如下：R1(config)#ip dhcp excluded-address R1(config)#ip dhcp pool vlan2R1(dhcp-config)#network /24R1(dhcp-config)#default-router R1(dhcp-config)#dns-server R1(dhcp-config)#exiR1(config)#ip dhcp excluded-address R1(config)#ip dhcp pool vlan3R1(dhcp-config)#network /24R1(dhcp-config)#default-router R1(dhcp-config)#dns-server （7）配置路由协议在路由器R1上配置默认路由，把所有未知流量都发往Internet，配置命令如下：R1(config)#ip route 配置R2、R3、R4上运行OSPF路由协议。R2的配置如下：R2(config)#router ospf 1R2(config-router)#network 55 area 0R2(config-router)#network 55 area 0R2(config-router)#network 55 area 0R3的配置如下：R3(config)#router ospf 1R3(config-router)#network 55 area 0R3(config-router)#network 55 area 0（8）配置PPP协议路由器R1的配置如下：R2(config)#username R2 password ciscoR2(config)#int S0/0/0R2(config-if)#encapsulation pppR2(config-if)#ppp authentication chap（9）配置NAT在路由器R1上配置动态PAT，使4台PC都可以访问Internet。R1的配置如下：R1(config-subif)#int fa0/0.2R1(config-subif)#ip nat insideR1(config-subif)#int fa 0/0.3R1(config-subif)#ip nat insideR1(config-subif)#int s0/0/0R1(config-if)#ip nat outsideR1(config-if)#exiR1(config)#access-list 1 permit 55R1(config)#access-list 1 permit 55R1(config)#ip nat inside source list 1 interface fa0/0 overload最终测试:（1）检查路由器IP地址，可以使用命令“show ip interface brief”进行检查。比如路由器R2的执行和显示如下：R2#show ip interface briefInterfaceIP-AddressOK?MethodStatusProtocolFastEthernet0/0YESmanualUPUPFastEthernet0/YESmanualUPUPSerial0/0/0 YESmanualUPUP(2)测试远程登录路由器，操作和显示如下：R2#telnet Trying .Password：R1enPassword:R1#(3)查看交换机上的VLAN，使用命令“show vlan-switch brief”，以SW1为例：SW1#show vlan-switch briefVLAN Name Status Ports1 default active Fa0/0, Fa0/1, Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/14, Fa0/152 VLAN0002 active Fa0/23 VLAN0003 active Fa0/31002 fddi-default active1003 token-ring-default active1004 fddinet-default active1005 trnet-default active(4)在PC1的DOS窗口中查看IP地址的获取情况，显示如下：PCipconfig /allPhysical Address. : 00-30-18-A1-B5-76IP Address. . . : Subnet Mask . : Default Gateway . : DNS Servers. : 使用类似的方法，可以查看到PC2的IP地址是：，PC3的IP地址是：，PC4的IP地址是：，这表明DHCP配置正确。在PC1上pingPC2的IP地址，显示如下：PCping Pinging with 32 bytes of data:Reply from : bytes=32 time1ms TTL=64Reply from : bytes=32 time=-1ms TTL=64Reply from : bytes=32 time1ms TTL=64Reply from : bytes=32 time=-1ms TTL=64Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 160ms, Maximum = 170ms, Average = 165msPC1成功的ping通PC2，表明前面的配置正确。然后再依次的ping其他路由器或PC机上的IP地址。六 网络服务器的配置与使用1 Windows2000 server 的安装，配置安装活动目录（Active Directory）：选择“开始”“程序”“管理工具”“配置服务器”，单击“下一步”。单击对话框中的“Active Directory”,出现安装向导并由此配置直到安装成功。创建工作组：启动WIN2000 SERVER，并以系统管理员（administrator）的身份登陆服务器。选择“开始”“程序”“管理工具”“Active Directory用户和计算机”，并在其中创建组，在组中加入用户。添加IIS (Internet信息服务)操作：控制面板添加/删除程序添加/删除Windows组件Internet信息服务全选 2.DNS服务器的配置DNS（域名解析）1、设一个的域名（用于作WWW服务器地址）；一个 （用于作FTP服务器地址）；一个的域名（作为SMTP和 POP3服务器地址）2、设置1/2)建立com区域操作：开始菜单程序管理工具DNS控制台根节点DNSUC1（你的服务器名） 正向搜索区域右键新建区域名称：com2/2)建立lianhe主机操作：com右键新建主机名称：lianhe；IP地址：.3、设置和（均对应）1/3)建立lianhe域名操作：com右键新建域lianhe2/3)建立www主机操作：lianhe右键新建主机名称：www；IP地址：。3/3)建立ftp主机操作：步骤同“3)建立www主机。3DHCP服务器的配置1、DHCP的概述：DHCP是动态主机配置协议（Dynamic Host Configure Protocol）的缩写。一台DHCP服务器可以让管理员集中指派和指定全局的和子网特有的TCP/IP参数（含IP地址、网关、DNS服务器等）供整个网络使用。客户机不需要手动配置TCP/IP；并且，当客户机断开与服务器的连接后，旧的IP地址将被释放以便重用。2、DHCP的设置打开DHCP管理器。选“开始菜单程序管理工具DHCP”，默认的。打开作用域的设置窗口。先选中FQDN名字，再按“右键新建作用域”。设置作用域名。此地的“名称”项只是作提示用，可填任意内容。4邮件服务器的配置 1、安装1/2)双击安装文件imtm_x86.exe，即可进行安装。除了在选择所安装的Email服务中加选Email Password和Email Web Server外，其他均使用默认选项。 2/2)安装完成后，会提示重新启动，启动完成后，就可在开始菜单程序Email中找到相关文件2增加邮件服务器(POP3)和邮件用户1/4)运行Email Administrator 2/4)选择Email Administratorlocalhost右键新建主机。3/4)选择Add，就会在Local Address的窗口中增加一个名为virtual001的本地地址，选中它，将Official Host Name改成：；其他项目可不用改。再选择save保存后用Exit退出。 4/4)选择Users右键Add users，可增加邮件用户。5.网络 Web ，FTP服务器的建立，管理和使用二、Web方式的基本操作：1、撰写新邮件：选“Compose”则进入发邮件的屏幕。比如给自己发一封信其中：“Add all.”选项意思是将所有收件人地址加到“地址簿”(address book)；可在Options的Address Book处修改。“Save.”的意思是将此邮件副本保存到已“发送邮件箱”(Sent)中；可在主屏幕的Sent中看见。“Include.”的意思是包括“签名”(Signature)；可在Options的Change Signature处修改。2、发送后再选“Menu”回到主屏幕，由于收件箱中已有内容，则信箱链接可以用了。其中的菜单和选项，Logoff退出Web方式；Compose写新邮件；Read Mail收新邮件；Summary相当于进入收件箱（Main）；Mail收件箱；Sent已发送邮件箱。6.安装和配置FTPWFTPD (一)关于WFTPD 1、软件名称：WFTPD(Winsock FTP Demo) 32-bit (x86) version 2、软件功能：FTP服务器端软件3、软件类型：共享软件（传输类限制） (二)安装WFTPD1、将32wfd241rc14.zip解压到任意目录下。2、不需重新启动，直接执行wftpd.exe即可启动FTP服务。（三）使用FTPD 1、建立新的FTP用户1/2)选“菜单SecurityUsers/rights”即进入用户属性窗口。 2/2)选“New User.”，按提示依次输入用户名、密码，则成功增加了新用户。其中：a、“Home”为此用户登录后的虚拟根目录； b、“Rights”下为此用户的操作权限； c、“Director”中如果保持为“*”，则下面的权限适用此用户根目录下的整个目录树，否则只对“Director”中指定目录起作用； d、“Restrict to home.”项必须选中，否则此用户的活动范围将不受虚拟根目录的限制。下图为一个名为“santai”的用户登录后，选中此项时的操作屏幕（DOS环境）： 下图为一个名为“santai”的用户登录后，未选中此项时的操作屏幕（DOS环境）： 2、登录FTP1/4)DOS环境下，格式：ftp 计算机名，输入用户名和密码并成功登录。2/4)Windows环境下，格式：ftp:/计算机名，按提示输入用户名和密码。 3/4)Windows环境下，也可用此格式：ftp:/用户名计算机名。 4/4)所有的“计算机名”均可用IP地址来替代。 3、接受匿名用户登录。选菜单“SecurityGeneral”，选中“Allow Anonymous”。4、如在上图中，不选中“Enable Security”，则所有用户均不需密码即可进入。七 网络的安全防护7.1 安装杀毒软件 现在网络上的病毒非常猖獗，这就需要在网络服务器上安装网络版的杀毒软件来控制病毒的传播，目前，大多数反病毒厂商(如瑞星、冠群金辰、趋势、赛门铁克、熊猫等)都已经推出了网络版的杀毒软件；同时，在网络版的杀毒软件使用中，必须要定期或及时升级杀毒软件。为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。同时，应该将修改过的重要系统文件存放在不同的服务器上，以便出现系统崩溃时(通常是硬盘出错)，可及时地将系统恢复到正常状态。7.2 硬件系统的安全防护硬件的安全问题也可以分为两种，一种是物理安全，一种是设置安全。1. 物理安全：物理安全是指防止意外事件或人为破坏具体的物理设备，如服务器、交换机、路由器、机柜、线路等。机房和机柜的钥匙一定要管理好，不要让无关人员随意进入机房，尤其是网络中心机房，防止人为的蓄意破坏。2. 设置安全设置安全是指在设备上进行必要的设置(如服务器、交换机的密码等)，防止黑客取得硬件设备的远程控制权。比如许多网管往往没有在服务器或可网管的交换机上设置必要的密码，懂网络设备管理技术的人可以通过网络来取得服务器或交换机的控制权，这是非常危险的。因为路由器属于接入设备，必然要暴露在互联网黑客攻击的视野之中，因此需要采取更为严格的安全管理措施，比如口令加密、加载严格的访问列表等。3.软件系统的安全防护同硬件系统相比，软件系统的安全问题是最多的，也是最复杂的。现在TCP/IP协议广泛用于各种网络。但是TCP/IP协议起源于Internet，而Internet在其早期是一个开放的为研究人员服务的网际网，是完全非赢利性的信息共享载体，所以几乎所有的Internet协议都没有考虑安全机制。网络不安全的另一个因素是因为人们很容易从Internet上获得相关的核心技术资料，特别是有关Internet自身的技术资料及各类黑客软件，很容易造成网络安全问题。面对层出不穷的网络安全问题我们也并非无计可施，可从多个方面着手，就能够做到防患于未然。安全防护的措施：1. 安装补丁程序任何操作系统都有漏洞，作为网络系统管理员就有责任及时地将“补丁”(Patch)打上。大部分服务器发现的Bug特别多，为了弥补操作系统的安全漏洞，在其官方网站上提供了许多补丁，可以到网上下载并安装相关升级包。可以下载下来进行升级维护。2. 安装和设置防火墙现在有许多基于硬件或软件的防火墙，如华为、神州数码、联想、瑞星等厂商的产品。对于企业来说，安装防火墙是非常必要的。防火墙对于非法访问具有很好的预防作用，但是并不是安装了防火墙之后就万事大吉了，而是需要进行适当的设置才能起作用。如果对防火墙的设置不了解，需要请技术支持人员协助设置。3. 安装网络杀毒软件现在网络上的病毒非常猖獗，这就需要在网络服务器上安装网络版的杀毒软件来控制病毒的传播，目前，大多数反病毒厂商(如瑞星、冠群金辰、趋势、赛门铁克、熊猫等)都已经推出了网络版的杀毒软件；同时，在网络版的杀毒软件使用中，必须要定期或及时升级杀毒软件。4.账号和密码保护账号和密码保护可以说是系统的第一道防线，目前网上的大部分对系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统，那么前面的防卫措施几乎就没有作用，所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。系统管理员密码的位数一定要多，至少应该在8位以上，而且不要设置成容易猜测的密码，如自己的名字、出生日期等。对于普通用户，设置一定的账号管理策略，如强制用户每个月更改一次密码。对于一些不常用的账户要关闭，比如匿名登录账号。5. 定期对服务器进行备份为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。同时，应该将修改过的重要系统文件存放在不同的服务器上，以便出现系统崩溃时(通常是硬盘出错)，可及时地将系统恢复到正常状态。八 配置清单思科 WS-C3560-48TS-E基本参数产品型号WS