小型企业网络的设计与实现

课程设计报告书姓名：学号:指导教师：—职称:设计地址：—起讫时刻：完成报告书时刻：2020年12月30日运算机科学与技术系编印

二零一一年十二月课程设计要求各专业学生应依照课程任教教师的要求，做出选题打算，并按以下要求完成课程设计任务。一、学生应依照教师的要求完成规定的课程设计任务量。二、课程设计报告书要求格式统一，笔迹工整，语言精练,文字通顺,按课程设计格式要求书写。程序清单不够填写时统一用A4纸补充并粘贴。对不按格式要求书写或打印的报告书一概不收，也不得进行答辩和评分。三、必需独立完成课程设计，不得彼此剽窃。在答辩和批阅进程中发觉源程序相同或有大面积剽窃现象，课程任教教师有权通知学生重做，不得给予评分，并通报综合教研室。四、学生课程设计终止后应提交的材料：（1）课程设计报告书；（2）包括完整的、正确的源程序代码（含电子文档）；（3）设计体会与心得，要求深切、具体、生动、1000字以上（4）答辨材料（介绍课程设计要点）。

选题内容及要求计算机网络综合实验是实践性教学环节之一。通过课程设计，加深对计算机网络体系结构的理解，使学生的实践与基础理论交互学习。通过网络设计，分析比较网络建设方案，提高对不同传输介质的性能、多种网络设备的工作原理和作用的理解。模拟网络环境，培养学生组建IP网络的操作技能，提高网络应用能力，积累一定的网络工程经验，应用计算机网络工程的思想，组建一个简单的Intranet。具体要求:•采用多层交换技术，划分子网；•支持用户账号管理，上网访问权限设置；3•父换、路由、安全设备支持多种管理方式；4•实现内部DNS、WWW、FTP、DHCP等基本服务；5•应用广域网和局域网的设计思想。参考文献情序号名 称编著者出版社1计算机网络实验教程姜枫，朱长水清华大学出版社，北京交通大学出版社2网络工程设计教程系统集成方法陈鸣机械工业出版社3计算机网络教程黄文斌机械工业出版社4计算机网络应用技术教程吴功宜清华大学出版社5计算机网络与因特网于芳机械工业出版社6计算机网络胡道元清华大学出版社78910教师评价情况指导老师评语指导老师： （签名）日期：年月日学生答辩情况综合成绩评定情况综合评价等级: 注：共分五个等级（1.优2、良3、中4、合格5、不合格）课程设计考核情形、设计课题中小型企业网的设计与实现、设计目的通过利用在网络工程课上所学习到的知识，以及在网上搜索到的参考，进行一个简单的综合组网搭建。巩固对计算机组网，VLAN,STP,路由协议认证，ACL，NAT，应用服务器等知识点的掌握。掌握中小企业网络的设计，架构，配置和管理。三、 操作环境Windows2003操作系统WindowsXP操作系统华为交换机华为路由器四、 设计场所~~机房4409概述企业内部50台PC；公司共有3个部门，不同部门的相互访问要有限制，公司有自己的内部网页与外部网站；公司中的PC机能访问互联网；企业在内共有60多名员工；每个部门提供固定的信息点。一层设有本建筑的机房，少量的信息点，二层到四层，每层楼布有50个信息点，余下的信息点供未来可能的需求使用；每层楼有—个设备间；楼内综合布线的垂直子系统采用多模光纤，每层楼到一层机房有室内多模光纤，每层楼和核心设备间之间通过两条的多模光纤连接，PC机采用双绞线连接。要求将除一层以外的全部信息点接入网络，但目前不用的信息点关闭。需求分析：网络要求:满足企业信息化的要求，为各类应用系统提供方便、快捷的信息通路；具有良好的性能，能够支持大容量和实时性的各类应用；能够可靠运行，具有较低的故障率和维护要求。提供网络安全机制，满足企业信息安全的要求，具有较高的性价比，未来升级扩展容易，保护用户投资；用户使用简单、维护容易，为用户提供良好的售后服务。主干网负责各个子网和应用服务的连接，为信息交换提供有效的高速通道。系统主干采用万兆以太网10000M交换，部门子网采用千兆以太网，网络协议采用TCP/IP协议。交换机要求采用主流、成熟、信誉和售后服务均佳的产品，核心交换机采用三层交换机，支持VLAN等功能，能较好解决突发数据量和密集服务请求的实时响应问题；3个部门接入交换机可采用相对低一档的产品；UPS电源的配备，配置要保证网络中所有的服务器、交换机、路由器、集线器等设备的连续、正常地运转；网络带宽的分配：应根据所属单位网络的信息流量情况合理分配网段，以充分利用网络带宽，提高网络的运行效率。系统要求:配置简单方便：所有的客户端和服务器系统应该是易于配置和管理的，并保障客户端的方便使用;广泛的设备支持:所有操作系统及选择的服务应尽量广泛的支持各种硬件设备;稳定性及可靠性：系统的运行应具有高稳定性，保障7*24的高性能无故障运行。可管理性：系统中应提供尽量多的管理方式和管理工具，便于系统管理员在任何位置方便的对整个系统进行管理;更低的成本：系统设计应尽量降低整个系统的成本；安全性：在系统的设计、实现及应用上应采用多种安全手段保障网络安全；提供良好的售后服务。网络还应具有开放性、可扩展性及兼容性。3•用户要求：要求计算机应用系统能处理大信息量的传输和计算；要求易于用户管理、界面简单、逻辑清晰；满足用户使用网络系统的运行质量，提高网络运行速度；要求采用千兆以太网作为主干的网络技术，提供标准化的高速度主干网连接，并在未来可以升级到IP，可以在同一个网络中支持多种服务质量，以支持目前和未来的应用和服务为标准。允许网络集成，使用三层交换来代替路由，能实现与广域网的集成功能；网络中使用的设备、技术和协议完全符合国际通用的标准，兼容现有的网络环境，提供良好的互联性；要求网络提供足够的带宽，丰富的接口形式，满足用户对应用带宽的基本要求，并保留一定的余量供扩展使用，最大可能地降低网络传输延迟；要求网络有很高的可靠性、稳定性及冗余，网络能够提供良好的安全性策略，能避免内部操作失误造成的损害和来自外部的恶意攻击。网络布线系统设计1•布线系统总体结构设计总体一幢建筑，从总部机房用十二芯单模光纤与其他部门的设备间相连，每个设备间也设用十二芯多模光纤与每层的电信间相连，并用五类非屏蔽双绞线从电信间与工作站相连接，企业网网采用10M的光纤以太网接入到因特网服务提供商的网络，然后接入到因特网中，使企业网实现与外界的信息交换和网络通信。企业网统一由总部机房的一个出口访问Internet，企业网管理者能够控制网络的安全。在服务器和核心交换机间：使用UTP电缆来将服务器连接到核心交换机。2•工作区子系统设计D工作区子系统由各个单元区域构成，是计算机、电话和信息插座的连接部分，包括连接跳线和信息插座。信息插座面板具备:通用、超薄、简易、防尘等特点；信息插座的模块采用类RJ-45模块；线缆采用超五类双绞线；水晶头采用RJ-45标准水晶头。为降低成本和结合客户终端的位置多变的特点，跳线可采用原装跳线与自制跳线相结合的方式，中心机房内设备之间、楼宇机柜内设备之间、服务器、重点客户终端的跳线采用原装成品跳线，其余采用自制跳线。跳线制作统一采用EIA/TIA568B标准，以使系统具有更好的兼容性

3•水平子系统设计口水平子系统主要是实现信息插座和管理子系统，即中间配线架（IDF）间的连接。水平子系统为星形拓扑。在水平子系统中采用超五类非屏蔽双绞线。双绞线水平布线链路中，水平双绞线的最大长度均不超过90m。为了网络系统的稳定性和扩展性超五类非屏蔽双绞线。4•管理子系统设计管理子系统设计由配线间构成。由各种规格的配线架实现水平、垂直主干线缆的端接及分配；由各种规格的跳线实现布线系统与各种网络、通讯设备的连接，并提供灵活方便的线路管理能力。分配线间是各治理子系统的安装场所，可安装配线架和计算机网络通信设备。对于信息点不是很多，使用功能近似的楼层，为便于治理，仅设置一个共用的子配线间;对于信息点较多的楼层则在该层设立配线间。5•干线子系统设计干线子系统设计由连接主设备间与各治理子系统的室内干线电缆构成。数据主要从网络配线间向各个子配线间敷设12芯单模室内多模光纤。6•设备间子系统设计设备间子系统设计由设备间中的电缆、连接器和相关支撑硬件组成，把公共系统（通讯系统，计算机系统和建筑自动化系统等）设备的各种不同设备互连起来。使用12芯单模室内多模光纤将其连接。设备1•设备选型设备名称接口类型数量Router(Generic)4fastethernet,2serial2Switch12fastethernet7PCFasEthernet11Server-PTFastEthernet22•接入层交换机通常为固定配置拥有24〜80口的100BASE-TX以太网口用于实现普通计算机的网络接入所支持的信息点为100个•同时往往拥有2〜4个1000MB/S端口或插槽用于实现与汇聚层交换机的连接3•核心层交换机采用模块化的结构，可以为网络骨干构建高速局与网所支持的信息点为500个•核心层交换机可以提供用户化定制有限级队列服务和网络安全控制并能很快适应数据增长和改变的需要•对于有更多需求的网络,核心层交换机不仅能传递海量数据控制信息，更具有硬件蓉余和软件可身缩性特点，保证网络的可靠运行.4•路由器通过端到端的路由选择来连接两个不同的网络，并可实现与Internet的连接。远程网络互连必须借助于不同的广域网链路实现，网络中的交换机是无法直接与广域网设备进行通信的，而路由器却能完成这项工作。实现远程Internet接入可以借助于路由器，连接不通的网络，智能选择最佳的信息传送线路。在佌我们用的路由器类型是中端路由器，主要用于中小型网络的Internet接入，拥有较高的包处理能力，具有较丰富的网络接口，适应较为复杂的网络结构。服务器1.网络服务器配置Web服务器WEB服务器是为实现信息发布、资料查询、数据处理等诸多应用搭建基本平台的服务器；是一个用于文档检索和显示的客户应用程序，并通过超文本传输协议HTTP与Web服务器相连。一个动态的WEB服务器通常需要支持ASP、CGI等脚本语言程序。FTP服务器FTP是英文FileTransferProtocol的缩写，中文意思是文件传输协议。用户通过FTP协议能够在两台联网的计算机之间相互传递文件，它是互联网上载传递文件最主要的方法。FTP服务器是提供一定存储空间的计算机，它可以是专用服务器，也可以是个人计算机。当它提供这项服务后，用户可以连接到服务器下载文件，也允许用户把自己的文件传输到FTP服务器当中。DNS服务器DNS服务器是(DomainNameSystem或者DomainNameService)域名系统或者域名服务，域名系统为Internet上的主机分配域名地址和IP地址。用户使用域名地址该系统就会自动把域名地址转为IP地址。域名服务是运行域名系统的Internet工具。执行域名服务的服务器称之为DNS服务器，通过DNS服务器来应答域名服务的查询。网络设计方案总体网络采用基于树型结构，使之具有链路冗余特性；整体网络规划为核心及服务器群区域，内部骨干区域（汇聚链路），接入层上联区域，客户端接入区域；核心交换机位于企业总部机房，并为双核心，使用双主干网络设计，保证主交换机网络的容错。在一台交换机出现故障的时候保障网络的正常运行，也不用手工切换和维护，保证网络的可靠性。根据需求概括，我们选择的是D-Link企业级的DES-8503万兆核心交换机为本次网路建设总部机房的核心交换；DES850万兆核心路由交换机作为新一代大容量、高密度、高性能、模块化核心路由交换机产品，其背板带宽高达，包转发速率最大为952Mpps,具备二到四层线速交换能力。可提供10GE、GE、FE等各种丰富的接口模块，并全面支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能。整个系统所具备的高可靠性、高扩展性、强大的业务能力等特点可以满足各种网络核心层的建设需求。ES850万兆核心路由交换机具有以下的优点:先进的系统架构:采用了分布式、模块化设计理念，并采用了基于多处理器分布式处理机制和Crossbar空分交换结构的体系结构。这保证了系统优异的转发性能、强大的业务能力和高度的可扩展性。大容量、高性能:支持高达952Mpps的路由包转发能力，并支持512K条第三层路由信息、512K第二层的MAC地址以及4096组VLAN、8K条安全和访问控制策略，保证了数据线速转发的要求。强大的安全功能：支持ACL安全过滤机制，可提供基于用户、地址、应用以及端口级的安全控制功能，并支持IPSec、MPLSVPN特性。同时，支持基于端口不同优先级对列的和基于流的入口和出口带宽限制、uRPF、防DDOS攻击、安全管理、接入认证及透传，VLANID与MAC地址、端口号、IP地址捆绑等安全功能。此外，系统还具备完善的抗病毒机制，可以为网络运营提供全面的安全保证。统一的网管功能：支持RFC1213SNMP（简单网络管理协议），带内网管的形式可采用基于Telnet的配置管理（CLI命令行的形式）或基于SNMP的配置管理（图形界面的形式），实现基于BroadDirector网管平台的统一网管。绘制拓扑图1）总体布线情况：把企业分为四个部门:人力资源部、办公室、财务部，每个部门用两台PC模拟各个部门的内部结构。3.工程实施设备选型，拟定详细的网络建设方案提供网络的VLAN和IP地址分配表VLAN10:IP地址为一IP地址为一IP地址为一IP地址为一外网：IP地址为一安装调试交换机、路由器，配置网络互联互通，提供关键网络设备的配置文档三层交换机:#version,Release5301#sysnameSW1#domaindefaultenablesystem#routerid#vian1#vlan10#vlan20#vlan30#vlan40#vlan50#domainsystemaccess-limitdisablestateactiveidle-cutdisableself-service-urldisable#trafficclassifierc_denyoperatorandif-matchacl3000trafficclassifierb_denyoperatorand#trafficbehaviorb_denyfilterdeny#qospolicyp_denyclassifierc_denybehaviorb_deny#aclnumber3000rule0denyipsourcedestinationrule5denyipsourcedestinationrule10denyipsourcedestinationrule15denyipsourcedestinationrule20denyipsourcedestinationrule25denyipsourcedestination#stpmodestpstpenable#interfaceNULL0#interfaceVlan-interface10ipaddress#interfaceVlan-interface20ipaddress#interfaceVlan-interface30ipaddress#interfaceVlan-interface40ipaddress#interfaceVlan-interface50ipaddress#interfaceEthernet1/0/1portlink-typetrunkporttrunkpermitvlan110203040qosapplypolicyp_denyinbound#interfaceEthernet1/0/2portlink-typetrunkporttrunkpermitvlan110203040qosapplypolicyp_denyinbound#interfaceEthernet1/0/3portlink-typetrunkporttrunkpermitvlan110203040qosapplypolicyp_denyinbound#interfaceEthernet1/0/4portlink-typetrunkporttrunkpermitvlan110203040qosapplypolicyp_denyinbound#interfaceEthernet1/0/5portlink-typetrunkporttrunkpermitvlan110203040qosapplypolicyp_denyinbound#interfaceEthernet1/0/6portlink-typetrunkporttrunkpermitvlan110203040#interfaceEthernet1/0/24portaccessvlan50#ospf1areanetworknetworknetworknetworknetwork#user-interfaceaux0user-interfacevty04#return二层交换机：#sysnamesw2#dot1x#radiusschemesystem#domainsystem#local-useradminpasswordsimpleadminservice-typeIan-accesslocal-userrcpasswordsimpleadminservice-typelan-accesslocal-usertestpasswordsimpleadminservice-typelan-access#stpmodestpstpenable#vlan1#vlan10#vlan20#interfaceAux1/0/0#interfaceEthernet1/0/1portaccessvlan10dot1xport-methodportbaseddot1x#interfaceEthernet1/0/2portaccessvlan10dot1xport-methodportbaseddot1x#interfaceEthernet1/0/3portaccessvlan10dot1xport-methodportbaseddot1x#interfaceEthernet1/0/4portaccessvlan10dot1xport-methodportbaseddot1x#interfaceEthernet1/0/5portaccessvlan10dot1xport-methodportbaseddot1x#interfaceEthernet1/0/6portaccessvlan10dotlxport-methodportbaseddotlx#interfaceEthernet1/0/7portaccessvian10dotlxport-methodportbaseddotlx#interfaceEthernet1/0/8portaccessvian10dotlxport-methodportbaseddotlx#interfaceEthernet1/0/9portaccessvian20dotlxport-methodportbaseddotlx#interfaceEthernet1/0/10portaccessvian20dotlxport-methodportbaseddotlx#interfaceEthernet1/0/11portaccessvian20dotlxport-methodportbaseddotlx#interfaceEthernet1/0/12portaccessvian20dotlxport-methodportbaseddotlx#interfaceEthernet1/0/13portaccessvian20dotlxport-methodportbaseddotlx#interfaceEthernet1/0/14portaccessvian20dotlxport-methodportbaseddotlx#interfaceEthernet1/0/15portiink-typetrunkporttrunkpermitvianaiidotlxport-methodportbased#interfaceEthernet1/0/16portlink-typetrunkporttrunkpermitvlanalldot1xport-methodportbased#interfaceGigabitEthernet1/1/1#interfaceNULLO#user-interfaceaux0user-interfacevty04#return路由器：#routeridnataddress—group1aclnumber3001match-orderautorulepermitipinterfaceEthernet0/1natoutbound3001address-group1#aclnumber3002ruledenyipsourcedenyipsourceenableinterfaceetnernet0/1firewallpacket-filter3002outbound安装基本的网络服务认证如图对二层交换机，三层交换机，路由器的了解及其连线，构建简单的企业网络框架在二层交换机上划分VLAN；以及对vlan划分ip地址。三层以太网交换机的配置，在三层交换机上创建VLAN50,连接外网，设置各vlan之间网络传输，访问的规则。STP协议，交换式以太网中的广播风暴，在交换机上使用displayinterface命令来查看Trunk接口上的流量，会发现大量流量都是广播流量，我们利用STP阻断网络中存在的冗余链路来消除网络可能存在的路径环路，并且在当前活动路径发生故障时激活被阻断的冗余备份链路来恢复网络的连通性，保证业务的不间断服务。认证，是一种对LAN用户进行认证的方法和策略。认证的最终目的是确定一个端口是否可用。在路由器中加入路由规则。使内部可以访问外网，外网也能访问内部web服务器7.Ppp协议的配置，tftp的配置以及服务器的安装配置，ospf，rip协议的配置七、设计中遇到的问题及解决方法在二层交换机中加入三层交换机，不同vlan之间，无法ping通。解决方案：可能是形成了广播风暴，可以采用stp生成树协议解决该问题。其中对于三层交换机中vlan也要配置ip地址。无法ping通DNS服务器。解决方案：在主机填写DNS服务器的IP地址。配置访问控制列表时，有两个VLAN仍能PING通。解决方案:检查ACL确