毕业设计报告中小企业网络升级方案

1、泸州职业技术学院毕业设计报告企业网络改进方案-四川宏达磷化工股份有限公司目录第一章 背景11.1 企业网络概述11.2 企业网络现状11.3 用户需求31.3.1 企业网络应满足一下功能31.3.2 企业网络系统设计方案应满足一下需求31.3.3 企业网络对网络设备要求31.3.4 企业网络对主机系统的要求31.4 网络建设目标3第二章 总体网络设计方案52.1 设计原则52.2 网络设计52.3 核心网络升级52.3.1 网络核心层52.3.2 网络接入层设计62.4 网络技术选型62.4.1 以太网技术62.4.2 ATM 技术62.4.3 FDDI 技术62.5 网络拓扑图72.6 IP

2、 地址配置及 VLAN 划分7第三章 综合布线93.1 综合布线的概述93.2 综合布线系统的特点93.3 综合布线系统的结构103.3.1 工作区子系统103.3.2 水平干线子系统10I3.3.3 垂直干线子系统103.3.4 设备间子系统113.3.5 管理间子系统113.3.6 建筑群子系统123.3.7 系统总体设计12第四章 网络设备选型144.1 服务器选型144.2 服务器配置164.2.1 DHCP 服务器164.2.2 WWW 服务器164.2.3 FTP 服务器174.2.4 DNS 服务器184.2.5 ROS（软路由）配置194.3 路由器194.4 交换机21第五章

3、 网络安全设计235.1 网络安全设计235.1.1 物理安全分析235.1.2 网络结构安全分析245.1.3 系统安全分析245.1.4 网络安全措施24结论25致谢26参考文献27附录一28设备清单28附录二29路由器的部分配置29交换机部分配置29II第一章 背景1.1 企业网络概述在企业的信息化建设中，基础是网络，离开了网络，企业的智能化只能是空想。而网络的建设由于应用紧密不分，网络必须结合应用的需求特点，为应用提供可靠的、安全的、智能化的传输通路根据企业的规划和设计，在设计该企业的网络信息系统时，将遵循“立足 现在，着眼未来，旨在效益”的方针，力争使所设计的网络系统具有技术先进、高

4、效快捷、安全可靠、易于维护等特点。1.2 企业网络现状公司大致的网络状况如下：1. 公司约有 100 个信息点，分布都比较散2. 公司大楼有一小型机房，是企业数据交汇、传输、存储的唯一节点。且交换机是一种不可进行网管的交换机，不能划分 VALN，全网都处于一个广播域中，对网络的安全性存在很大的隐患，无法对用户进行有效的管理3. 公司现分别有一条 6M（电信）和 8M（联通）的动态和静态线路，电信线路用于满足外来用户接入网络需求和公司内部员工移动办公的需求，联通线路则用于公司静态 IP 的使用4. 目前公司正常上网速度很慢，特别是部门之间相互传资料的时候并且缺乏专业安全防护5. 公司财务部门有一

5、台服务器，主要用于储存公司公司内部的重要数据和OA 办公资料的传输及供各部门资料下载6. 由于缺少专业人员的维护和管理，机房内部线路连接混乱，发生故障很难查出具体原因，UPS 时常出现问题，一旦发生意外将造成公司无法估量的损失7. 公司申请了一个 C 类 IP 地址，随着企业的不断发展，以后接入网络的PC 机将越来越多，现有 IP 地址数量已不能满足未来的需要主要软件及资料传输流量分析（日期 2010 年 8 月 1 日2010 年 9 月 1日）如图：表 1-1 主要软件及资料传输流量分析传输协议上传（GB）下载(GB)内对内上传(GB)总流量(GB)HTTP201112133FTP1015

6、00160QQ53715POP30101P2P_PPS2117038P2P_QQLive58013P2P_XUNLEI5043093P2P_BT3014044P2P_EDONKEY2521046根据流量统计表显示，迅雷、BT、电炉等 P2P 下载软件及 PPS 等在线视频电影消耗了大量的网络宽带，造成网络阻塞，网络访问时常出现异常情况，影响了公司部分员工的正常工作。通过有效的网络管理，对部分网络实行流量限制，加强对外网的监管，规范上网行为，保障网络畅通，确保公司业务的正常运行老大楼的网络已经建立了一定的规模，但是随着公司的发展壮大，企业还将建成至少四栋办公大楼，现有的陈旧的网络设备明显已不满足

7、未来企业发展的要求，现有网络如图所示：图 1-2 企业现有状况1.3 用户需求1.3.1 企业网络应满足一下功能1.连接公司的所有 PC 和网络设备；2.同时支持约 50 台 PC 访问 Internet 和文件服务器；3公司各个部门不能相互进行访问，要求有限制（财务部只有总经理可以访问）；4.公司有自己的主页和网站，外网用户可以访问，同时设置 DMZ 区；5.公司要有自己的 OA 系统；6.提供丰富的网络服务，实现广泛的软件，硬件资源共享，包括：电子邮件、文件传输、远程登录、打印机传真共享等。1.3.2 企业网络系统设计方案应满足一下需求1.网络方案应采用现有成熟的技术，尽可能采用先进技术2

8、.采用国际标准，尽可能采用同一厂商的产品3.合理分配带宽，让用户不受网速影响4.该网络应具有高扩展性，对未来数目的扩展要有良好的方法5.该网络能实现虚拟局域网（VLAN）连接6.考虑到公司的资金，对现有的陈旧的网络设备应加以利用1.3.3 企业网络对网络设备要求1.高性能：所有网络设备都必须具有很高的网络吞吐量。2.高可靠性：能保证数据的正确传输。3.高可用性：应考虑多种容错技术。4.可管理性：所有网络设备均可用适当的网管软件进行监控、管理和设置。1.3.4 企业网络对主机系统的要求1.主机系统应采用现在的主流技术，尽可能采用新技术；2.主机系统应具有高可靠性，能支持长时间工作；3.支持大型数

9、据库和文件传输的需求；4.主机系统要有广泛的软件支持，兼容性要好，并支持多种传输协议。1.4 网络建设目标根据实际调查和相互交流，本次网络设计的目标为：通过建设一个高速、安全、可靠、可扩展的网络系统，实现企业信息的高度共享及信息化管理，领导能及时、全面、准确的掌握企业的科研、生产、管理、财务、人事等各方面的情况。建立出口信道，实现领导职员远程 VPN 的安全连接，方便进行移动办公。第二章 总体网络设计方案2.1 设计原则企业网建设应遵循以下原则：1.先进性：采用使用率高、技术成熟的软硬件产品。2.实用性：企业经常会有出差的同志，很多的事情需要及时的办理，网络应该尽量保证每个人能随时进行办公。3

10、.可靠性：网络在进行设计时，应该统一规划和分析，确保系统运行可靠。4.经济性：投资合理划算，有良好的性价比。5.可扩展性：考虑到今后公司还会不断发展壮大，信息点数还会不断增加等原因，这使得网络需要有很强大的扩展性。2.2 网络设计基于企业目前的情况和性质考虑，网络采用三层结构，用三层交换机实现相互备份冗余、服务器群维护、网络地址重新规划、网络设备施行只能管理方式，实现高可用性、高可靠性、高扩展性、易管理的信息化网络平台。2.3 核心网络升级核心网络升级主要包括公司仅有的一台 IBM 二层交换机，将结合路由器组成三层体系结构（核心层、汇聚层、接入层）实现双核心交换机冗余、网络主干部分冗余、服务器

11、群的防护、网络地址重新规划。2.3.1 网络核心层建议使用一台化为 AR2220 高性能、高质量、功能强大的多业务路由器， 支持多种协议。这使一款经过了优化的集成多业务的企业级路由器，它可以在要求严格的企业环境中提供安全，快速，高效率的服务，具有极高的可靠性。该路由器提供了先进的安全服务和管理功能，如内置硬件加密加速、IP 安全、vpn、防火墙保护、入侵检测防御，但管理和配置却很简单。再使用一台台华为 S1728GWR-4P 交换机，支持 VLAN 功能和网管功能，未授权用户无法侵入 支持防范 Dos 攻击 TCP 的 SYN 攻击 广播风暴攻击，并支持多种协议，如 RIP OSPF 等动态路

12、由协议。2.3.2 网络接入层设计接入层将采用新增加的华为 S1724G 交换机，实现全面的接入控制， 华为S1724G 交换机与 IMC 组合实现接入认证，用户如果不进行认证，将无法接入网内受保护的资源，同时也无法实现网络资源共享以及数据传输。2.4 网络技术选型网络技术有：以太网技术（快速以太网，交换式以太网，千兆位以太网）、ATM/FDDI 等，其中以太网用途最为广泛。2.4.1 以太网技术u优点：因为以太网技术成熟、成本低、易操作、使用简单、可管理、扩充性强，所以选择以太网技术；uVLAN 技术的优点：抑制广播风暴，提高网络安全性，提高网络性能等，u缺点：不适合重负荷环境。存在冲突域2

13、.4.2 ATM 技术n优点：高数据传输速率、良好的服务质量保证、能支持不同速率的各种业务、支持高传输通道传输声音、视像等多媒体、具有实时性好、支持突发业务。n缺点：成本高，技术不成熟，还没有制定标准。2.4.3 FDDI 技术n优点：覆盖范围宽可达几，甚至几十公里，主要用于主干网，有容错能力。n缺点：成本高、应用面不广。2.5 网络拓扑图图 2-1 升级后的企业网络拓扑图2.6 IP 地址配置及 VLAN 划分为了让以后的网络管理变得容易，减少网络管理员的工作量，我们制定了IP 地址分配方案，如图所示：表 2-2 IP 地址分配项目IP 地址范围IP 地址类型选择内部使用 192.168.x

14、.y网关地址网络设备 IP4054服务器 IP0表 2-3 设备 IP 地址分配设备主机IP 配置注路由器 AR2220RF0/0核心交换机华为S1728GWR-4PCherish0IP:54网管 IPGW:一楼交换机华为S1724GCherish1IP:53网管 IPGW:54二楼交换机华为S1724GCherish2IP:52网管 IPGW:192.1

15、68.1.254三楼交换机华为S1724GCherish3IP:51网管 IPGW:54四楼交换机华为S1724GCherish4IP:50网管 IPGW:54FTP 服务器cherishIP：GW:54WEB 服务器cherishIP：GW:54DHCP 服务器cherishIP：GW:54第三章 综合布线3.1 综合布线的概述随着现代科学技术的进步，使得计算机及网络技术迅猛

16、发展。计算机技术及网络技术的应用大大提高了现代企业的生产及管理效率，运营成本更低了， 速度更快了，管理更方便了，为企业能快速有效的获取市场信息提高可靠的依据，在市场竞争中始终保持领先。计算机及网络技术的应用已经成为企业成功的一个关键的因素。计算机及通信网络均依赖布线系统作为网络连接的物理基础和信息传输的通道。传统的基于特定的单一应用的专用布线技术因缺乏灵活性和发展性，已不能适应现代企业网络应用飞速发展的需要。而新一代的结构化布线系统能同时提供用户所需的数据、话音、传真、视像等各种信息服务的线路连接，它使话音和数据通信设备、交换机设备、信息管理系统及设备控制系统、安全系统彼此相连，也使这些设备与

17、外部通信网络相连接。它包括建筑物到外部网络或电话局线路上的连线、与工作区的话音或数据终端之间的所有电缆及相关联的布线部件。布线系统由不同系列的部件组成，其中包括：传输介质、线路管理硬件、连接器、插座、插头、适配器、传输电子线路、电器保护设备和支持硬件等。3.2 综合布线系统的特点实用性：布线系统将能够适应现代和未来通信技术的发展，并且实现话音、数据通信等信号的统一传输。灵活性：布线系统能满足各种需求，要求任何一个点都能连接不同类型的设备。模块化：综合布线系统中除去固定在建筑物内的水平缆线外，其余的插件都是基本的标准件，可以互联所有数据、图像、网络和楼宇自动化的设备， 方便使用、搬迁、更改、扩容

18、和管理。扩展性：整合布线系统是可以扩展的，以便将来有新设备加进来。经济性：采用综合布线系统可以减少管理员的工作，工作难度大大降低了。通用性：对符合国际通信标准的各种计算机和网络拓扑结构均能适应，对不同传递速度的通信要求均能适应，可以支持和容纳多种计算机网络的运行。3.3 综合布线系统的结构根据国际标准，结构化布线系统由以下几个系统组成：工作区子系统、水 平干线子系统、垂直干线子系统、设备间子系统、管理子系统、建筑群子系统。整个建筑的综合布线系统是将各种不同组成部分结合成一个有机的整体，并不是像传统布线那样的体系，相互之间不能互联。3.3.1 工作区子系统工作区子系统，是由 RJ-45 跳线和信

19、息插座所连接的设备。其中，信息插座有几种类型：墙上型、地面型、桌上型等多种。工作区子系统中所使用的连接器必须具备国际 ISDN 标准的 8 位接口，这种接口能接收所有低压信号以及高速网络信息。工作区子系统设计时要注意以下几点：1.从 RJ-45 插座连接到设备间的连线用双绞线，一般不要超过五米；2.RJ-45 插座必须安装在墙壁上或不易碰到的地方，插座距离地面需要一定的高度；3.配线架上得信息模块与信息插座和插头的线缆的制作要采用同一标准，不能接错了。3.3.2 水平干线子系统水平干线子系统也称为水平子系统。水平干线子系统是从工作区的信息插 座开始到管理间子系统的配线架。结构一般为星型结构，它

20、与锤子干线子系统 的区别在于：水平干线子系统总是在一个楼层上，仅与信息插座、管理间连接。再综合布线系统中，水平干线子系统由 4 对 UTP（非屏蔽双绞线）组成，能支持大多数现代化的通信设备，如果有干扰或信息保密时可用屏蔽双绞线，在水 平干线子系统的设计中，能够向用户提高完善而经济的设计。考虑用户的需求， 设计时要注意以下要求：1.水平干线子系统一般为双绞线2.长度一般不要超过 90cm3.用线必须用线槽或在天花板内布线，尽量不要走地面线槽4.确定介质布线方法和线缆的走向5.计算水平区所需线缆长度3.3.3 垂直干线子系统垂直干线子系统也称骨干子系统，它是整个建筑物综合布线的一部分。它提供建筑物

21、的干线电缆，负载连接管理间子系统到设备间子系统的子系统，一般使用光缆或选用非屏蔽双绞线。该子系统一般是在两个单元之间。为了与建筑群的其他建筑物进行通信，干线子系统将交叉连接点和网络接口连接起来。网络接口通常放在设备相邻的房间，垂直干线子系统还包括如下几项：1.垂直干线接线间、设备间之间的横向或竖向的电缆走向用的通道2.设备间和网络接口之间的连接电缆或设备与建筑群子系统各设施间的电缆3.垂直干线接线间与远程通信接线间之间的连接电缆4.主设备间和计算机主机房之间的干线电缆设计与安装时要注意以下几项：1. 垂直干线子系统一般选用超五类 UTP 电缆或多模光纤，以提高传输速率2. 光缆可选用多模的（用

22、于距离远的），也可以选用单模的（近距离的）3. 垂直干线电缆的拐弯处不要直角拐弯，应有相当的弧度，以免光缆受损4. 垂直电缆要求安装在 PVC 管内或槽内，架设空电缆要防止雷击5. 确定每层楼的干线要求和防雷电的设施6. 满足整栋大楼干线要求和防雷击的设施3.3.4 设备间子系统设备间子系统也称设备子系统。设备间子系统由电缆、连接器和相关支撑软件组成。它把各种公共系统设备的多种不同设备互联起来，其中包括邮电部门的光缆、同轴电缆、程控交换机等。设计时要注意以下几点：1. 设备间要有足够的空间保障设备的存放2. 设备间要有良好的工作环境（温度、湿度）3.设备间的建设标准应按机房建设标准设计，要有性

23、能良好的接地保护系统3.3.5 管理间子系统管理间子系统由互联、交联和 I/O 组成。管理间为连接其他子系统提供手段。它是连接垂直干线子系统和水平干线子系统的设备，其主要设备是配线架、和机柜、电源交联和互联允许将通信线路定位或重定位再建筑物的不同部分，以便能更容易的管理通信线路。I/O 位于用户工作区和其他房间或办公室，使在移动终端设备时能够方便地进行插拔。在使用跨接线或插入线时，交叉连接允许将端接在单元一端的电缆上的通信线路连接到端接在单元另一端的电缆上的线路。跨接线是一根很短的单根导线，可将交叉连接处的二根导线端点连接起来；插入线包含几根导线，而且每根导线末端均有一个连接器。插入线为重新安

24、排线路提供了一种简易的方法，设计是要注意如下要点：A. 配线架的配线对数可由管理的信息点数决定B. 利用配线架的跳线功能，可使布线系统实现灵活、多功能的能力C. 配线柜一般由配线模块、配线架组成D. 管理间子系统应有足够的空间放置配线架和网络设备（交换机等）E. 设备房间应保持一定的温度和湿度，以便于设备维护3.3.6建筑群子系统建筑群子系统也称校园子系统，它是将一个建筑物中得电缆延伸到另一个建筑物的通信设备和装置，通常由光缆和相应设备组成，建筑群子系统是综合布线系统的一部分，它支持楼宇之间通信所需的硬件，其中包括导线电缆、光缆以及防止电缆上的脉冲电压进入建筑物的电器保护装置在建筑群子系统中，

25、会遇到室外铺设电缆问题，一般有 3 种情况：架空电缆、直埋电缆、地下管道电缆，或者是这 3 种的任何组合，具体情况应根据现场的环境来决定3.3.7 系统总体设计根据公司建筑物的结构和综合布线的设计方案，规划出线缆走向，综合布线的各个系统以及线缆的大致走向如图所示：图 3-1 大楼各系统及线缆走向第四章 网络设备选型4.1 服务器选型IBM System x3250 m3 是一款 1U单插槽网络基础架构机架服务器,具有低功耗低噪音和空间优化的特点,非常适合于小型中型和大型企业它可以专用于一个应用程序.亮点：在强大、灵活的平台中采用最新的英特尔技术以获得最高的性能；借助内置的电源管理工具实现节能；

26、借助轻松的维修和维护最大限度地降低风险； IBM System x3250 M3 是一款单插槽服务器，提供了全新的性能和灵活性水平，可帮助您快速响应不断变化的业务需求。它经济高效且结构紧凑， 非常适合于小型、中型以及大型企业，无论是用于通用型工作负载还是专门的应用程序均表现超凡。产品特性：n创新的技术在紧凑的 1U 空间内提供最新的处理器和超大的内存；n节能技术帮助节省能源成本；n经济实惠的价格和总拥有成本；n集成工具支持轻松的部署和管理；n经 IBM 测试和认证确保质量和可靠性；n丰富的安全功能满足当前的安全要求。硬件概要：1.22 英寸深，1U 外形；2.处理器选择 英特尔 至强 3400

27、 系列（四核）或英特尔赛扬、奔腾或酷睿 i3（双核）；3.DDR-3 ECC 内存，高达 1333MHz；1GB、2GB 和 4GB UDIMM，最高 16GB UDIMM；1GB 、 2GB 、 4GB 和 8GB RDIMM， 最 高 32GB RDIMM1；4.2 个 3.5 英寸易插拔 SATA 或 3.5 英寸热插拔 SAS/SATA 或者 4 个2.5 英寸热插拔 SAS 硬盘驱动器。图 4-1 IBM System x3250 M3表 4-2 IBM System x3250 M3 详细参数基本参数服务器级别企业级服务器服务器类型机架式处理器CPU 类型Intel 酷睿 I3CP

28、U 主频2.93GHz标配 CPU 个数1 颗最多 CPU 个数1 颗三级缓存4MBCPU 核心Gainestown(四核心)内存类型DDR3内存容量2GB最大内存32G硬盘类型SAS/SATA光驱可选网络控制器集成双千兆网卡电源类型固定式电源电源功率351WPCI 扩展槽4操作系统Microsoft Windows Server 2003、Red Hat Enterprise Linux、SUSE Linux Enterprise Server 、 Turbo Linux Enterprise Server 、 Novell Netware 和 VMware ESXi 3.5 嵌入式虚拟机管

29、理程序4.2 服务器配置4.2.1 DHCP 服务器DHCP 是动态主机配置协议（Dynamic Host Configure Protocol）的缩写。一台 DHCP 服务器可以让管理员集中指派和指定全局的和子网特有的 TCP/IP 参数（含 IP 地址、网关、DNS 服务器等）供整个网络使用。客户机不需要手动配置 TCP/IP；并且，当客户机断开与服务器的连接后，旧的 IP 地址将被释放以 便重用。1. DHCP 的配置1.1 调用 DHCP:开始菜单程序管理工具DHCP；1.2 设服务器名:DHCP右键DHCP 服务器浏览选中要增加的服务器名为“DNS”；1.3 设置 DHCP 服务器

30、选中 tiantang右键新建作用域“作用域名”为tiantang“IP 地址范围”中，“起始 IP 地址”项，填写：0；“结束 IP 地址”项，填写：50；“子网掩码”填写：。“添加排除”中，如果有必要，可填写服务器不分配的地址或地址范围； 如果不需，则直接“下一步”。我们是直接选择“下一步”。“租约期限”可设一年（即 365 天）。2. DHCP 配置后的验证将任何一台本网内的工作站的网络属性中设置成“自动获得 IP 地址”，并让 DNS 服务器设为“禁用”，网关栏保持为空，重新启动成功后，运行 “ipconfig”即可

31、看到本客户机所分配到的 IP，即配置成功！否则需重配。3. DHCP 的维护：3.1 启用地址冲突检测 选择“开始”“程序”“管理工具”“DHCP”命令, 在控制台树中， 选择相应的 DHCP 服务器。 选择“操作”“属性”命令，在出现的对话框中选择“高级”选项卡。 在“冲突检测尝试”中，输入大于 0 的数字，然后单击“确定”按钮返回。这个数字决定将 IP 地址租用给客户机之前，DHCP 服务器测试的次数4.2.2 WWW 服务器Web 服务器是指驻留于因特网上某种类型计算机的程序。当 Web 浏览器（客户端）连到服务器上并请求文件时，服务器将处理该请求并将文件发送到该浏览器上。Web 服务器

32、不仅能够存储信息，还能在用户通过 Web 浏览器提供的信息的基础上运行脚本和程序。1. WWW 服务器的配置1.1 设置 WWW 服务器,将它的根目录设置到 C:Inetpubwwwroot 下操作：开始菜单程序管理工具Internet 服务管理器Internet 信息服务服务器名 xiao默认 Web 站点右键属性。1.2“Web 站点”中，“IP 地址”选“公网 IP 地址”。1.3“主目录”中，“本地路径”填写：C:Inetpubwwwroot；或通过“浏览”完成对些目录的选择。“文档”中，可修改浏览器默认调用的文件名及调用顺序。4.2.3 FTP 服务器FTP(File Transfe

33、r Protocol)文件传输协议是用来在 Internet 上的两台计算机之间复制文件的 TCP/IP 协议套件的成员,通过 FTP 传输的文件格式没有任何限制。文件传输的方向可以有服务器到客户端,也可以由客户端到服务器。他的出现对网络上文件的共享和传输有着极大的好处,有利于 Internet 的发展。1. FTP 服务器的配置1.1 开始菜单程序管理工具Internet 服务管理器Internet 信息服务UC1（你的服务器名）默认 Web 站点右键属性。1.2“FTP 站点”中，“IP 地址”选“公网 IP 地址”。1.3“安全帐号”中，选中“允许 IIS 控制密码”。1.4“消息”中，

34、在“欢迎”处输入 FTP 连接成功后欲显示的话；在“退出”处输入 FTP 断开时欲显示的话。1.5“主目录”中，“本地路径”填写：C:Inetpubftproot；或通过“浏览”完成对些目录的选择。1.6 最后点击“应用”然后点击“确定”2. FTP 服务器的管理与维护2.1 接受匿名用户登录接受匿名用户登录。选菜单“SecurityGeneral”，选中“Allow Anonymous”。 不选中“Enable Security”，则所有用户均不需密码即可进入 在菜单“ViewConnected Users”中可查看 FTP 所有在线的用户2.2 建立新的 FTP 用户 选“菜单 Secur

35、ityUsers/rights”即进入用户属性窗口。选“NewUser.”，按提示依次输入用户名“xiaohongjie”、密码 “*”，则成功增加了新用户。2.3 建立虚拟目录在 Internet 信息服务管理单元中，选择待添加目录的 FTP 站点，执行操作新建虚拟目录命令，会弹出虚拟目录创建向导，按照提示填写路径，用户权限等各种信息即可。4.2.4 DNS 服务器DNS 是域名系统 (Domain Name System)的缩写，是一种组织成域层次结构的计算机和网络服务命名系统。DNS命名用于 TCP/IP 网络，如 Internet，用来通过用户友好的名称定位计算机和服务。当用户在应用程

36、序中输入 DNS名称时，DNS 服务可以将此名称解析为与此名称相关的其他信息，如 IP 地址。所以， 我们想要我们自己内部网上的域名能成功地被解析（即翻译成 IP 地址），就需 要将我们自己的主机建立成一个 DNS 服务器，里面包含有我们的域名和 IP 地址之间的映射表。1. DNS 的配置1.1 打开 DNS 控制台：选“开始菜单程序管理工具DNS”。1.2 创建正向搜索的标准主要区域在服务器上单击“开始”“程序”“管理工具”“DNS”，打开DNS 控制台。 在控制台树中展开相应的 DNS 服务器。 如果 DNS 服务器没有列出来， 在控制台树中单击选中“DNS”，在控制台选单中单击“操作”

37、“连接到计算机”，选择要连接的计算机进行连接。在控制台树中，单击选中“正向搜索区域”。单击选单“操作”“新建区域”，弹出“新建区域向导”窗口，单击“下一步”。选择区域类型为“标准主要区域”。如果不是在活动目录的域控制器上创建 DNS 区域，则区域类型中的“与活动目录集成的区域”选项按钮不可用。单击“下一步”。 输入要创建的区域名称“”，单击“下一步”。选择创建新的区域文件，文件名为 .dns。单击“下一步”，单击“完成”。区域“”出现在控制台树中的“正向搜索区域”下。1.3 创建反向搜索的标准主要区域在 DNS 中创建反向搜索区域时，反向搜索区域的名称是由待反向搜索 IP 地址的十进制编号的相

38、反顺序加上 形成。对于不同的网段，要根据网络地址分别创建不同的反向搜索区域。 在主服务器上打开 DNS 控制台，在 DNS 控制台树中单击选中“反向搜索区域”选“操作”“新建区域”，弹出“新建区域向导”窗口，单击“下一步”。 选择区域类型为“标准主要区域”。单击“下一步”。 我们的网段是 所以输入网络号 192.168.0。单击“下一步”。 选择创建新的区域文件，文件名为 0.168.192..dns。单击“下一步”“完成”。4.2.5 ROS（软路由）配置在不同的网段之间设置路由器。如果花费上万的资金购买一台路由器，仅

39、仅用于连接局域中的两个网段，没有那个必要。解决这个问题只需要使用win2000 中的 IP 路由。软路由是在操作系统上安装相应的服务来实现的。简单的说是在一台主机上安装两张网卡，在设置相应的 TCP/IP 属性。两个寝室之间为了节约上网费用，用软路由来实现与另一网段局域网连接，具体设置如下图PC 机HUB所示：图 4-3 软路由的配置4.3 路由器AR2200 系列企业路由器是秉承华为在数据通信、无线、接入网、核心网领域的深厚积累，依托自主知识产权的 VRP 平台，推出的面向企业及分支机构的新一代网络产品。AR2200 集路由、交换、3G、语音、安全等功能于一身，采用多核 CPU 和无阻塞交换

40、架构，凭借领先于业界的系统性能和可扩展能力，充分满足未来业务扩展的多元化应用需求，提供一体化的解决方案，为客户多业务加速，最大限度保护客户投资。图 4-3 华为 AR2220表 4-4 华为 AR2220 详细参数基本参数路由器类型企业级路由器端口结构模块化其他端口3 个 GE（1 个 Combo）、2 个 USB2.0 端口1 个 Mini-USB 控制台端口1 个串行辅助/控制台端口扩展模块4 个 SIC 插槽+2 个 WSIC 插槽+1 个 DSP 插槽功能参数防火墙内置防火墙Qos 支持支持VPN 支持支持网络安全ACL、防火墙、802.1x 认证、MAC 地址认证、Web 认证、AA

41、A 认证、RADIUS 认证、HWTACACS 认证、广播风暴抑制、ARP 安全、ICMP 反攻击、URPF、IP Source Guard、DHCP Snooping、CPCAR、黑名单、攻击源追踪网络管理升级管理、设备管理、Web 网管、GTL、SNMP、RMON、RMON2、NTP、CWMP、Auto-Config、U 盘开局、NetCon其他参数产品内存2GB电源电压AC 100-240V电源功率150W产品尺寸442X420X44.5mn产品重量4.95kg（不含电源及插卡）4.4 交换机华为 S1728GWR-4P 是华为公司推出的新一代绿色节能的以太网接入交换机。针对企业客户的各

42、种应用，S1700 提供简单便利的安装维护手段，丰富的业务特性，助力用户打造安全可靠地高性能网络。图 4-5 华为 S1728GWR-4P表 4-6 华为 S1728GWR-4P 详细参数主要参数产品类型企业级交换机应用层级二层传输速率10/100/1000Mbps交换方式存储-转发背板带宽56Gbps包转发率40.54MppsMAC 地址表8K端口参数端口结构非模块化端口数量28 个端口描述24 个 10/100/1000Mbps 自适应以太网端口，4 个 GE/FE SFP 独立光口功能特性网络标准IEEE 802.3，IEEE 802.3u，IEEE 802.3ab，IEEE 802.3

43、z，ANSI/IEEE802.3 Nway，IEEE 802.3x，IEEE 802.3azVLAN支持 Access 端口、支持 Trunk 端口、支持 Hybrid 端口支持管理 VLAN、支持 Voice VLANQOS支持绝对优先级、WRR 两种调度方式、支持每端口 4 个队列支持根据 802.1p/DSCP 队列调度、支持硬件 ACL组播管理支持 IGMP Snooping（Internet Group Management Protocol Snooping最多支持 256 个组播组网络管理支持 web 网管（支持 HTTPS） 支持 DHCP-client支持 SNMPv1/v2

44、c/v3第 5 章 网络安全设计安全不仅是单一 PC 的问题，也不仅是服务器或路由器的问题，而是整体网络系统的问题。所以网络安全要考虑整个网络系统，因此必须结合网络系统来制定合适的网络安全策略。 网络安全涉及到的问题非常多，如防病毒、防入侵破坏、防信息盗窃、用户身份验证等，这些都不是由单一产品来完成，也不可能由单一产品来完成，因此网络安全也必须从整体策略来考虑。网络安全防护体系必须是一个动态的防护体系，需要不断监测与更新，只有这样才能保障网络安全。调查显示，有超过 70%的安全问题来自企业的内部，如何对员工进行网络安全教育，如何让员工参与网络安全建设，是网络安全要解决的核心问题之一。企业对信息

45、系统的依赖性越来越强，电子商务公司没有网络是无法生存的，金融与电信等行业由于网络出问题所造成的损失是无法估量的。因此，安全是企业核心业务的保护神。5.1 网络安全设计随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网 （Intranet）、企业外部网 （Extranet）、全球互连网（Internet）的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时，基于网络连接的安全问题也日益突出，整体的网络

46、安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。5.1.1 物理安全分析网络的物理安全是整个网络系统安全的前提。在企业网工程建设中，由于网络系统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工中，必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害；考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离；考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；必须建设防雷系统，防雷系统不仅考虑建筑物防雷，还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；

47、人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件； 双机多冗余的设计；报警系统、安全意识等，因此要尽量避免网络的物理安全风险。5.1.2 网络结构安全分析网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网 络进行通信时，内部网络的机器安全就会受到威胁，同时也影响在同一网络上 的许多其他系统。透过网络传播，还会影响到连上 Internet/Intranet 的其他的网络；影响所及，还可能涉及法律、金融等安全敏感领域。因此，我们在设计时 有必要将公开服务器（WEB、DNS、Email 等）和外网及内部其它业务网络进行必要的隔离，避免网络结构信息外泄；同时还要对外

48、网的服务请求加以过滤， 只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应 该遭到拒绝。5.1.3 系统安全分析所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信 任。目前恐怕没有绝对安全的操作系统可以选择，无论是 Microsoft的Windows2000 或者其它任何商用 Linux 操作系统，其开发厂商必然有其 Back- door。因此，我们可以得出如下结论：没有完全安全的操作系统。不同的用户 应从不同的方面对其网络作详尽的分析，选择安全性尽可能高的操作系统。因 此不但要选用尽可能可靠的操作系统和硬件平台，并对操作系统进行安全配置。而且，必须加强登录过程

49、的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在 最小的范围内。5.1.4 网络安全措施网络安全的措施主要有：物理措施、访问控制、数据加密、防止计算机网络病毒、安装网络防病毒系统、其他措施。结论经过一个月的努力终于完成了毕业设计与毕业论文。在设计过程中，出现了很多难题，有些在自己在书籍上和网络上找到解决方法，有些却到目前还没有解决，本人意向以后在网络方面发展深造，希望日后能学习到相关的知识， 积累到足够的经验能解决现在没有解决的问题。遇到的问题有如下几点1.拓扑结构的设计：拓扑结构对整个网络架构设计影响相当大，本人在网上参考了

50、一些网络拓扑图，再联合自己对网络方面的了解，最终设计了该拓扑结构，由于没有正式将该拓扑结构应用到实际操作中，相比会有很多不足。2 .核心交换机的配置：刚刚开始设计时没有了解清楚 VLAN 间通信的要点。尝试使用路由器或三层交换机，完成 VLAN 间的通信，但考虑到在交多节点的网络中，该方法弊端极大。所以最后选择用 SVI（SwitchVirtualInterface） 提供 VLAN 间通讯，通过不断的尝试，并数次对拓扑结构的改造，最终实现了VLAN 间的通讯。3. 实现核心交换机的冗余：这个问题未能解决，希望未来能够得到答案， 在冗余核心交换机 COER2 上将其配置为次根 （seconda

51、ry root）然后就会出现广播风暴 （broadcast storm），我参考了相关书籍，也是这样配置的，所以我初步断定问题出现在模拟器上，并非我的配置与设计问题。总结，毕业设计虽然只能用模拟器实现，但我发现即使将书本上的学习得 很透彻，在实际应用中也会遇到不少的问题，例如经常忘记将交换机与交换机 的链路配置成 trunk，因为 CISCO 的交换机默认处于 dynamic auto 如果两个都处于 dynamic auto 是不会谈判（negotiate）成 trunk 的，因此 VLAN 的通信就会中断。又例如经常忘记创建交换机的非 VLAN 1 的 VLAN，如 VLAN2 没有被创建

52、，那么该交换机就不会进行 VLAN2 的通信，或者 VLAN2 创建了，忘记把他的状态配置成 up/up 模式，（没有输入 no shutdown 命令）。 导致不能通信。最后我认为作为一个网络设计者，必须很细心，而且必须将所做的每一个步骤都记录下来，以便以后检测和排错（troubleshooting）。我认为只有边进行理论学习边实践才能真正学到知识的，光上课听课，没有亲身体会到，是很难使知识常驻于脑海的，久了不用就会忘了。致谢在本次毕业设计过程中，得到了指导老师钟林老师的指导与支持。在此特别感谢钟林老师的大力帮助。指导老师的悉心指导和大力支持，在总体结构、功能的把握上给予了非常大的帮助，并对

53、我在设计、配置等细节工作上给予了耐心的指导。我还要感谢我的母校泸州职业技术学院，以及在大学三年生活中给予我关心和帮助的老师和同学，是他们教会了我专业的知识和做人的道理。通过这次毕业设计我还明白了作为一名计算机专业的大学毕业生，我们要会的不仅仅是编写代码，更重要的是要有整体把握系统设计的能力。我会在以后的工作和学习中不断完善自己，为我最热爱的母校争光，为自己翻开辉煌的新篇章。转眼间，大学生活即将结束，回首过去三年的大学生活，真是有苦也有乐， 然而更多的则是收获，感谢母校的各位老师不但无私地传授给我们知识，也教 会了我们如何做人。本设计牵涉到网络架构设计的知识，网络设备配置命令与 验证网络设备的连通性等知识，虽然任务繁重，但正是在这几个月紧张而充实 的设计中，我感到自己的知识得到了一次升华，我相信：我的毕业设计会给我 的三年大学画上一个圆满的句号。人们自然对未来有许多美好的愿望和设想。现代科学技术