计算机网络技术毕业设计公司网络组建

学院毕业设计（论文）题目名称：公司网络组建计算机毕业设计论文开题日期年月日设计期限年月日起年月日止答辩日期年月日院系学生姓名班级学号指导老师摘要随着社会的发展，很多东西都在网络化了。我们的周围网络化的东西越来越多，不管是在生活上还是工作上。比如物流有物流的路线网络，交通有交通的路线网络所以说我们的生活都离不开网络。现在这里主要是介绍计算机的网络，并设计一个可以使公司内部的计算机可以互相访问甚至是外边的互联网都可以连通的方案。而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。而公司网络工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本毕业设计课题将主要以公司的局域网络建设过程可能用到的各种技术及实施方案为设计方向，为公司的网络建设提供理论依据和实践指导。关键字：局域网，计算机网络，防火墙，网络信息安全。I目录121 22 23 371 72 VLAN IP 83 12151516II一、前言在现代信息化的社会中，信息的交换更是频繁。网络功能更能体现出信息交流的速度化。有一个良好而完整的信息交流系统和媒体是一个很重要的有提。互联网、局域网和各种网络都是信息化时代的产物，为的是提高信息的传递速度。而在此，局域网虽然是在广大的网络世界中只是其中的一小分子。但网络信息传递中，很多都是从这里开始的，而且局域网也在平时的工作上也带给了我人许多的便利。一个良好的局域网必需具备有效率高，安全性高，速度快，稳定性好。这才能使工作因为网络信息传递的出错率降到最低。在进入21世纪之后，网络的发展速度越来越快，而需求也是越来越多。局域网的应用小到普通的家庭用户、一些公司企业等，大到一个小区，甚至网吧，都是先接入局域网后再连接互联网的。这就充分体现了局域网的优越性。1二、公司网络系统设计1、公司状况公司计算机网络系统总体上是一个星型结构的网络，根据网络规模的不同，可分为百兆以太网和千兆以太网两种， 根据各部门内部的信息不同， 又可以划分为几个区域。公司的网络应用一般包含 Internet访问，部门内部的信息交流与共享和各部门的信息传递。大型公司在内联网上还会建立服务器 （用于公司对外的各种信息收集和宣传，还有内部的信息备份， 和数据库源，和分公司的信息同步起来。），具有信息共享、传递迅速、使用方便、高效率等特点的处理系统 .2、应用和需求公司的网络主要应用是互联网的访问。在局域网应用方面，可以让部门内部的信息交流和共享起来，和各部门的信息传递，必要情况下可以资源共享等等，从而提高员工和企业的工作效率。在局域网中，可以采用相关的访问控制路由器及其控制技术来阻止来自不安全网络或某些部门的非法访问或非授权访问，使各部门的秘密商业信息得到保证。具体就是控制办公和其他网络对业务网络的访问。采用安全检测技术来实时检查进出网络的数据流， 动态防范各种来自内外网络的恶意攻击，在产生任何有威胁的安全行为时，要及时通知网络管理人员，尽可能在初期就把安全的隐患消灭掉，尤其是在病毒大规模爆发以前就提出详细的解决办法，并提供安全策略。采用杀毒软件及技术实时监测进入网络或服务器的数据，防止病毒对网络或主机的侵害，和避免病毒和蠕虫在网络内造成破坏。整个网络是采用千兆网经过路由接入到服务器和交换机，然后再分流以百兆网接入到各部门的交换机（或主机）再到每台主机。这可以很好地发挥各方面的应用，网络带宽也不会成为瓶颈。公司一般采用一条 100M光纤宽带接入，这样基本可以满足到公司的带宽要求。在用户众多的情况下，对信息安全有一定的要求，各部门公布情况如下：2（1）经理部主要是经理、董事、领导等公司高层人员用户。（2）财务部主要负责公司财务的高层员工的用户。（3）研发部主要对公司产品的研发和对产品的以后的发展进行研究的部门用户（4）办公区公司的主要写字楼职员办公处（5）工厂区是公司产品的生产所在地方，方便有关部门对生产线实施监控。3、产品选型为了尽量减少公司中心网络受到病毒的攻击，根据以上的现有网络运营情况和具体业务要求，决定使用美国FortiGate500A高性能的防火墙来构建网络。FortiGate产品支持远程管理和集中管理。由于是基于Web方式的管理，管理员只需要任何一台带有IE浏览器的计算机，可以访问到FortiGate的IP地址，并且拥有相应的访问权限，便可随时对FortiGate进行管理和监控。作为Firewall 安全设备的领先厂商，Fortinet 公司的FortiGate 安全平台通过动态威胁防御技术、高级启发式异常扫描引擎提供了无与伦比的功能和检测能力。Fortinet 公司的FortiGate500A 提供以下功能和好处：集成关键安全组件的状态检测防火墙。可实时更新病毒和攻击特征的网关防病毒。IDS和IPS预置1400个以上的攻击特征，并提供用户定制特征的机制。? VPN（支持PPTP、L2TP、IPSec 和SSLVPN）。3反垃圾邮件具备多种用户自定义的阻挡机制，包括黑白名单和实时黑名单（RBL）等。Web内容过滤具有用户可定义的过滤器和全自动的FortiGuard过滤服务。带宽管理防止带宽滥用。用户认证，防止非授权的网络访问。动态威胁防御提供先进的威胁关联技术。? ASIC加速提供比基于 PC工控机的安全方案高出 4-6 倍的性能。加固的操作系统，不含第三方组件，保证了物理上的安全。完整的系列支持服务，包括日志和报告生成器、客户端安全组件。下图表为FortiGate500A的性能指标：产品性能指标基本规格(1)设备类型中小型企业级防火墙(2)硬件参数8口(10/100)以太网口、2个千兆以太网口(3)构架ASIC(4)网络吞吐量500M(5)最大并发连接数40万(6)管理方式SNMP安全功能(1)VPN支持5000(2)入侵检测Dos、DDoS(3)设备联动支持5000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。支持 VLAN、主要功能流量控制、内嵌日志产品资质许可认证 《计算机信息系统安全专用产品销售许可证》网络连接媒介主要以双绞线和光纤为主。4网络中使用的交换机是STAR-S3550-24/S3550-48是两款全线速三层交换、具有高安全和完整QoS特征的千兆智能多层交换机。STAR-S3550-24/S3550-48可为各类型网络提供所需交换和服务功能，适合集合多个配线间或工作组交换机的流量，并可同锐捷各系列交换机配合为用户提供完整的端到端解决方案，适用：大型网络的汇聚层和中小型网络的骨干高性价比的多层交换解决方案丰富的IP组播传输特性完善的管理策略应用，帮助管理带宽和保护多媒体、视频、语音、重要数据等关键任务应用完善的管理策略应用，帮助管理带宽和保证语音、组播音视频服务及视频点播等关键任务的应用丰富的安全管理策略应用，提供高安全接入控制和有效控制网络访问下图表为锐捷STAR-S3550-24/S3550-48的性能指标：图1-1性能指标端口12口GBIC接口GBIC或GBIC-GT：单口1000BASE-T模块GBIC-SX：单口1000BASE-SX模块GBIC-LX：单口Mini-GBIC模块1000BASE-LX模块5背板48Gbps包转发速率18MppsMAC地址16K802.1qVLAN4KIP标准ACL（基于IP地址的硬件ACL）、IP扩展ACL（基于IP地址、传输层端口号ACL的硬件ACL）、MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）、基于时间ACL、专家级ACL（可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间灵活组合的硬件ACL）IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ad、IEEE802.1p、L2协议IEEE802.1x、IEEE802.1s、IEEE802.3ab、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IGMPSnooping、LLDPL3协议OSPF、RIPV1、RIPV2、PIM（DM/SM/SSM）、DVMRP、VRRP、IGMPv1/v2/v3管理方式SNMPv1/v2c/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、集群、SSH、基于HTTPS的Web管理、Syslog其它协议和技BootP、DHCPRelay、JumboFrame、RADIUS/TACACS+术1000BASE-SX：波长850nm，62.5/125多模光纤线的最大传输距离为220m；50/125多模光纤线的最大传输距离为500m；1000BASE-LX：波长1310nm，62.5/125多模光纤线的最大传输距离为550m；网络介质和最50/125多模光纤线的最大传输距离为550m；大传输距离9/125单模光纤线的最大传输距离为10Km；1000BASE-ZX：波长1550nm，9/125单模光纤线的最大传输距离为50Km和80Km两种；10/100/1000BASE-T：使用5类UTP或STP最大传输距离为100m；尺寸（长*宽*440mm*330mm*67mm高）电源176VAC~264VAC，47Hz~63Hz，或10.6~13.2VDC/最大5.3A温度工作温度：0℃到40℃存储温度：-40℃到70℃湿度工作湿度：10%到90%RH存储湿度：5%到95%RH网络建设根据功能区划分由锐捷网络 STAR-S3550-24交换机组成4-6个交换机组。适当的分配堆叠数量，提供 200多个100M交换端口，所有主机都通过 100M网卡连接到交换机上，使100M带宽到每个用户。交换机组采用 GB2模块与 锐捷网络6RG-S6506千兆交换机相连。这样，在交换机和交换机之间可达到 1000M的带宽，而同一交换机组内部可达到最高 15Gbps的带宽。服务器等设备直接与1000M交换机上的100M以太网模块连接。图1-2三、公司网络总体的方案设计1、拓扑图的结构和总体描述根据公司的要求，拓扑图的大概结构如下：图2-17方案特点此方案可以有良好的网络的管理和监控功能。利用防火墙等硬件设备，可以很好的控制各种数据服务和数据的流向，而且对各部让的网络配置也能有效的管理，提高网络的效率。就算某个地方出错了，也能快速检测和定位，得出出错的地方，而去维护。此方案还有其它特点：1、比如适合各部门各方面的要求，满足用户的应用。2、完善了局域网之间和INTERNET网之间的问题。3、布线明了，方便，可行性强。在各分部网络间工作量少了。4、方案相比其它的具有成本低，性价比也好，而且在大体方面扩展性也强。5、用防火墙设备的日志、监控、告警功能，可以很好的管理和监控各部门的网络运行状态。6、数据高度保密。方案达到目的一个好的网络，当然也是要有良好的安全功能，所以在防护方面也是非常之重要的。首先将服务器作为核心防护区域，在研发部、经理部和财务部这三个部门的网关处部署防病毒网关，这样就可以有效地阻止各部门间和服务器之间的病毒互相传播。就算是病毒发作了，也能将其控制在一个部门内，不会影响到其它部门和主干网的安全。同时也可以算是弥补一下别的部门只依靠杀毒软件来防护网络病毒的入侵，防止病毒阻塞带宽。通过网络安全建设，需要达到以下目的：1、在技术层面上要能保护网络系统的原有性和网络资源的合法使用性；防范一些黑客的恶意攻击和破坏，能使信息在网上传输的机密性、完整性及不可抵赖性。还要防范病毒的侵害和网络内外的攻击。保留系统日志和网络日记为管理安全运作提供支持。2、在应用层面上要切合实际应用，满足业务营运要求。提供方便、简单、完善、实用的网络运营体系，充分考虑公司网络运营的未来发展和网络建设整体投资。还需要有提供完整网络运行监控和管理功能。2、VLAN划分、子网配置和 IP地址分配虚拟网络（VLAN，Virtual LocalAreaNetwork）是指一个根据功能、用途、工作组及应用等因素将用户从逻辑上划分为一个相对独立的网络， 是一个可跨越不8同网段、不同网络、不同位置的端到端的逻辑网络。它有以下一些优点：增加了网络连接的灵活性；控制网络上的广播；加强了网络的安全性；网络管理简单、直观。根据VLAN的类型，可以有以下几种划分方法：基于端口：将局域网交换机中的几个端口指定成一个 VLAN。MAC地址：根据每个主机的MAC地址来划分VLAN，即对每个MAC地址的主机都按组来配置VLAN。基于网络地址：按照交换机连接的网络站点的网络层地址划分 VLAN，从而确定交换机端口所属的广播域。基于用户：根据具体的网络用户的特别要求来定义和设计 VLAN。在VLAN划分的同时也要考虑IP地址的分配。IP地址在分配上主要进行网络设备、服务器、 计算机这三部分的工作，而这也是体现在VLAN的划分过程中的。首先，申请 3个公网C类IP地址（如： ～ ）, 再进行网络设备和需要对外服务的服务器 IP地址的分配。公司网络设备及对外服务器 IP分配如下表主机名设备名称IP设置500A防火墙外口*.*.*1/24500A防火墙内口/24s6506网络中心核心交换机/24s3550A经理部/24s3550B研发部/24s3550C财务部/24s3550D办公区/24s3550E工厂区/24wwwWeb服务器*.*.*.2/24ftp/mailFTP/E-mail服务器*.*.*.3/249图2-2在进行VLAN的划分时要定义VLANIP，这就要考虑到公司的计算机IP地址的规划。IP地址是我们接入Internet不可缺少的重要网络资源。近年来，由于各国的发展，特别是中国，Internet的应用与日俱增，IPv4地址已日近枯竭。国此，IP地址如何更合理和规范的使用是我们必须要面对的问题。在建设校园网等项目时更是应该注意这个问题，这主要体现在IP地址的分配上。目前，IP地址的分配的手段有：1．利用子网掩码进行网络的子网化；2．保留网络地址分配和网络地址的转换（ NAT）；3．可变长度子网掩码；4．无类别域间路由。目前在各校园网、企业网中基本都用采用“保留网络地址分配和网络地址的转换”的方法进行 IP地址的规划。它可以有效的解决 IP地址不足的问题，而且在内部采用 A类保留地址 ，可以为学校、公司、企业内部网络提供一个很大的IP地址空间，结合子网掩码进行子网化设计，地址和子网空间的设计要求不必太严格，这样可以设计变得更加简单和灵活，而且具有很强的扩充性，10为以后网络的升级提供有利条件。结合公司实际的情况，采用“保留网络地址分配和网络地址的转换”的方法来对IP地址进行规划。在网络内部采用 A类保留地址，用申请的公网 IP地址进行网络地址的转换（NAT）。根据公司实际情况拟定在 VLAN的划分上按照以下方案执行：在网络中心s6506上把需要分开的部门划分出 VLAN（如研发部、财务部、办公区等），形成子网；再在各楼汇聚交换机 s3550上定义VLAN端口，把相应的端口划分到其所在VLAN。公司的VLAN划分及计算机IP分配如下表所示：VLAN号子网号VLANIPIP地址规划计算机描述1～1/24250/24服务器子网*.*.*.3～20/2412/24～254/24网络设备子网2/241～250/24经理部3/241～250/24研发部4/241～250/24财务部5/241～250/24办公区6/241～250/24工厂区根据以上的表对计算机 IP地址进行分配，在网络中心的 DNS服务器上设置DHCP服务，为公司的计算机进行IP地址自动分配，在网络中心核心交换机上作地址转换(NAT)，使公司内计算机能访问 Internet,公司要是还有服务器不对外服务，如 DNS,数据，资料，重要文件，内部信息等服务器，他们的建设都是为了内网公司内部人员服务。 它们和网管工作站也被规划为服务器子网，但使用内部 IP地址。具体如下：11对内服务服务器IP规划主机名设备名称IP设置默认网关DNSDNS服务器1/24数据数据服务器2/24资料资料服务器3/24内部信息内部信息服务器4/24admin网管1/243、网络安全与管理1）网络安全网络安全是指整个计算机网络系统的安全，这包括硬件、软件及系统中的数据均受到保护，不受偶然的或者恶意的破坏、更改、泄露，从而保证系统连续可靠正常地运行，网络的服务不中断。它包括五个基本要素：保密性、完整性、可用性、可控性与可审查性。构成网络安全威胁的主要因素，从网络信息的角度来分析，所面临的安全威胁主要来自：1、非授权访问。2、信息泄漏或丢失。3、破坏数据完整性。4、破坏系统的可用性。5、网络病毒传播。对于这些安全隐患，我们需要制定一个合理的安全策略，这个策略需要详细阐明要保护的地方、风险管理：针对网络信息系统存在的漏洞缺陷、面临的风险与威胁，采用安全风险评估技术来实现安全措施；对于可能发现的漏洞、风险，规定相应的补救方法（操作平台、系统应用程序及时打补丁），或者取消一些相应的服务（关闭不必要的端口和服务器）。、行为管理：对网络行为、各种操作进行实时监控，对各种行为进行分类管理，规定行为范围和期限。、信息管理：信息是网络系统的重要资源，由于它的特殊性，因此必须采用特殊的方式和方法进行管理，根据具体的实际情况，对不同类型、不同敏感度的信息，规定合适的管理制度和使用方法。4、安全边界：信息系统与外部环境的连接处是防御外来攻击的关口， 根12据具体情况，必须规定系统边界上的连接情况，防止非法用户的入侵以及系统敏感信息的外泄，如可以利用防火墙对进出的连接情况进行过滤和控制。5、系统安全：操作系统是信息系统运行的基础平台， 它的安全也是信息安全的基础。根据具体的安全需求，应该规定所要采用的操作系统类型、安全级别以及使用要求。为了实现这个目的，可以采用不同安全级别的操作系统，或者在现有的操作系统上添加安全外壳。6、身份认证与授权： 信息系统是为广大用户提供服务的，为了区分各个用户以及不同级别的用户组，需要对他们的身份和操作的合法性进行检查。体系应该规定实现身份认证与权限检查的方式、方法以及对这些用户的管理要求。7、应用安全：基于网络信息的应用系统有很多，存在的安全问题也很多。为了保证安全，应该根据安全需求规定所使用的应用的种类和范围以及每一种应用的使用管理制度。8、数据库安全：保护数据库的安全一直是一个核心问题。为了达到这个目的，需要规定所采用的数据库系统的类型、管理、使用制度与方式。9、链路安全：链路层是网络协议的下层协议，针对他的攻击一般是破坏链路通信，窃取传输的数据。为了防御这些破坏、攻击，需要规定可以采取的安全措施，如链路加密。10、桌面系统安全：桌面系统包含着用户能够直接接触到的信息、 资源，也是访问信息系统的一个入口，对它的管理和使用不当也会造成敏感信息的泄露。所以，需要对各个用户提出使用桌面系统的安全要求，进行必要的安全保护。11、灾难恢复与备份：不存在绝对安全的安全防护体系，为了减少由于安全事故造成的损失，必须规定必要的恢复措施，以使在系统受到攻击或出现安全方面的问题之后，能够使系统尽快地恢复正常的运转，并对重要的信息进行周期性的备份。12、集中安全管理：为了便于安全体系的统一运转，发挥各个组件的功能，必须对体系实施集中统一的管理。因此，需要制定科学的管理制度，成13立相应的管理机构。（2）网络管理在网络管理上，我们要使网络管理标准化。基本的网络管理功能分成五个功能域。1、故障管理故障管理是网络管理功能中与故障检测、 故障诊断和故障恢复或排除等工作相关的部分，其目的是保证网络能够提供连续、可靠的服务。2、配置管理一个计算机网络是由多种多样的设备连接而成的。这些设备组成网络的各种物理结构和逻辑结构。结构中的各种参数、状态和名字等信息需要相互了解和相互适应。这对于一个大型计算机网络的运行是至关重要的。另外 ,网络运行的环境是经常变化的 ,网络系统本身也要随着用户的增加、 减少或设备的维修而经常调整网络的配置。 网络管理系统必需要有足够的手段支持这些调整或改变,使网络更有效地工作。3、计费系统计费管理功能至少有两个方面的用处 :在网络通信资源和信息资源有偿使用的情况下,计费管理功能能够统计哪些用户利用哪条通信线路传输了多少信息,访问的是什么资源等;因此,计费管理是商业化计算机网络的重要网络管理功能。4、性能管理性能管理是通过监视和分被管网络及其所提供服务的性能机制，用来管理和度量网络吞吐量、用户响应时间和线路利用率等系统性能。性能