计算机网络技术专业综合实训

一、计算机网络技术专业职业核心技能标准

1.能够根据企业需求，采用先进技术完成企业网络架构的设计；

能够根据企业的需求，提出自己的解决方案，在方案中不仅要有可行性的实施细则,

还要体现企业网络架构的先进性设计原则，要有体现目前使用较为先进的技术设计思

想，同时针对该技术，给出实施细节及对企业网络架构带来的较大益处。要求学生有较

强的自学能力，及利用互联网络查找资料的能力。使学生能独立完成企业网络的设计。

2.能够独立完成企业网络建设方案的方案书及标书的书写工作；

能够根据项目标书的要求，按照格式完成企业网络项目的方案书书写工作，同时完

成标书的书写。要求学生掌握方案书的书写技巧及书写格式。

3.能够高水平的完成方案的答辩；

能够针对企业网络的需求，在完成相应方案设计的基础上，进行答辩，并能圆满回

答专家对方案中存在的疑惑。能较好的处理方案中为企业精心设计的先进设计思想。

4.熟练使用CISCO设备，完成企业网络的组建工作；

能够熟练使用基于CISCO设备的交换机、路由器、防火墙等产品。能够完成基本的

交换机端口配置、干道配置、VLAN配置、CDP协议的配置，同时还要掌握三层交换技术,

掌握VLAN间通信、高级交换、高级路由的配置技能。能利用CISCO设备完成企业网络

的搭建及实施工作。

5.能排除企业网络环境中的一般性故障。

能够解决企业网络中一些常见的故障，并能够通过理论分析判断故障所在及发生的

原因，要有解决问题的思路和方法，掌握一般性的排除故障手段和工具的使用。

二、毕业技能综合实训任务书

计算机网络技术专业

实训项目：DHYNET网络工程项目设计与实施_____________________

学生姓名：XXX班级：XXXXX

学号：XXXXXXXX

项目类型：XXXX指导教师：XXX\XXX\XXX

（一）、实训目的：

通过实训使学生掌握企业网络建设的项目实施过程，掌握企业网络建设方案方案书

的书写，掌握招标、投标的过程，能够利用CISCO的交换机、路由器和防火墙完成企业

网络的整体实施和配置，通过项目实训能够排除企业网络中的部分网络故障，使学生毕

业后能从事相关的系统集成、网络架构设计及实施等工作。

（二）、毕业技能综合实训项目简介：

1.企业需求分析

（1）DHYNET公司需求分析概述

DHY公司是一家拥有500名员工的新型IT企业，公司有近500台运行windows2003/xp的计算

机。公司总部位于宁波，并分别在余姚、慈溪设有分公司。总部设有财务、研发、生产和销售4个

部门，每个分公司则由销售、生产和财务3个部门组成，由总部统一管理。

DHY公司的组织架构如图

DHY公司所从事的'业务对网络系统有极大的依赖性，内部办公等都需要网络支持。公司建设初

期已经实施了简单的网络系统，但随着公司规模的不断扩大和业务的不断扩展，员工数量的不断增

多和信息应用系统的不断增加，现有的网络系统逐渐不能满足企业信息化建设的要求，因此计划对

宁波总公司的局域网络和总公司与分公司之间互联网络进行重新规划设计，以提高网络的可用性、

安全性和可靠性，并保留一定的可扩展性，在DHY公司内实现一个完善、高效、高可用性和高可靠

性的办公网络，用以满足各项业务发展的需要。

为了使DHY公司的信息网络系统能够在未来几年时间内保持技术上的先进性和实用性，公司

要求在项目的规划和实施中采用先进的计算机、服务器、网络设备以及系统管理模式，实现公司内

部所有信息资源的合理应用和完善管理，使所有员工都能方便地使用公司内部网络，并能够安全高

效地访问公司内的网络应用服务和因特网。

由于DHY公司已经在所有的办公场所完成了综合布线系统，因此本项目只包含网络部分和系统

部分。

网络部分包括网络系统所使用的设备采购和系统集成服务。网络设备包括局域网交换设备和网

络互联使用的路由设备，系统集成服务包括方案的设计、设备的调试安装、系统的支持服务等。

系统部分包括在网络系统的基础上建立完善的系统架构，并在全DHY范围内实现DNS服务、

WEB服务、FTP服务、邮件服务等网络服务系统。

1）总体需求

网络部分的总体要求

❖满足企业信息化的要求，为各类应用系统提供方便、快捷的信息通路

良好的性呢为能够，能够支持大容量和实时性的各类应用

❖能够可靠地运行，实现高可用性

❖易于维护管理

❖提高安全机制，满足保护企业信息安全的要求

❖具有较高的性价比

♦未来升级扩展容易，保护用户投资

使用简单、维护容易

良好的售后服务支持

2）系统部分的总体要求

❖易于配置。所有的客户端和服务器系统应该是易于配置和挂历你的，并保障客户端的方

便使用。

❖更广泛的设备支持。所有操作系统及选择的服务应减量广泛地支持各种硬件设备。

❖稳定性及可靠性。系统的运行应具有高稳定性，能够实现高性能运行

可管理性。系统中应提供尽量多的管理方式和管理工具，便于系统管理员在任何位置都

可以方便地对整个系统进行管理

❖更低的成本。系统设计应尽量降低整个系统的总体成本

❖安全性。在系统的设计、实现及应用上采用多种安全手段保障网络安全。

❖良好的售后服务支持。

3）项目设计指导思想

本次DHYNET公司的网络建设将采用先进的计算机、网络设备和软件，以及先进的系统集成技

术和管理模式，实现一个高校的办公网络体系。网络中的各类服务器设备和网络设备以及各种操作

系统和应用软件必须考虑技术上的先进性，国内外及各行业的通用性，并且要有良好的市场形象与

售后技术支持，便于维护和省级。

总体来讲，为了使项目的实施顺利进行，并使系统规划能够满足DHYNET公司的应用和发展的

需求，在项目规划中应满足一下要求：

❖开放性

❖实用性

❖先进性

安全可靠性

兼容与可扩充性

❖经济性

❖可管理性

(2)主要依据原则如下：

❖工程实施依照国家有关标准完成

❖项目设计应满足DHYNET公司未来发展的需求，即在公司规模扩大、成立新的分公司、公

司合并时，本设计仍然能够满足公司运营的需求或方便的变更和升级

❖采用先进的、成熟的、业界标准的、在市场上有着广泛应用的技术。

❖项目设计应遵循使用的原则，避免不切实际贪大求全

❖所有操作系统及应用软件采用正版软件

❖所有网络设备应是主流产品，保证所有设备均为新品并能提供良好的技术支持服务。

❖工程实施需要提供详细的文档资料及配置手册

❖应提供完善的培训及售后服务。

(3)DHYNET公司网络建设要求

DHYNET公司此次的网络建设是在对原有网络资源的利用上，进行全新的规划设计，以便能够

避免原有网络的性能不能满足应用要求、安全性和可靠性差的问题。

1)现有网络状况

DHYNET公司宁波总公司原有玩了过的综合布线系统是按照骨干线路全部双线冗余来铺设

的，但是由于当时的网络应用单一，对网络的要求太低，所以仅使用了7台ciscocatalyst2950交换

机，通过级联方式组成网络，没有考虑网络骨干的冗余性，IP地址采用的是、24网段的

地址，但使用比较混乱。

宁波总公司内的VLAN只按照部门进行了划分，采用1台CISCO2621路由器以单臂路由的方

式实现VLAN之间的路由。现在随着总公司规模的扩大、员工数量的增多、信息系统应用的升级，

原有的组网方式在网络的性能、可靠性和安全性上已经不能满足要求。

宁波总部的局域网架构如图所示

总公司已经建设好了专用的中心机房，原来是通过拨号上网，没有申请公司域名，也没有配置

网络服务和DHYNET公司自己的邮件系统，这些都计划在此次并实施。

宁波总公司原有的综合布线系统在设计实施开始时就考虑到公司未来十年的信息系统要求，各

个办公区域和网路机房都已经预留了足够的信息点，骨干链路采用双线冗余，所用线缆带宽也能够

满足要求，因此此次网络建设不需要重新布线。

余姚和慈溪分公司由于人数较少，网路组织跟总公司基本相同，目前可以满足应用要求，因此

不需重新建设。但分公司与总公司的连通没有采取专用线路，仅仅是通过拨号访问因特网，通过个

人免费邮箱发邮件定期向总公司提交报表文件，速度较慢，工作效率低，安全性也较差。同时，公

司员工通过个人免费邮箱与合作伙伴和客户进行业务联系，对公司的整体形象也有一定的影响。

DHYNET公司的网络整体架构如图所示

整体上看，DHYNET公司原有的内联网络在可扩展行上也不能满足要求，新加入的设备、主机、

服务器等只能见缝插针地连入网络，时网络的可维护性造成了很大的影响。

因此，此次需要对DHYNET公司的网络进行重新规划设计，在最大限度地利用已有资源的基础

上，调整宁波总公司的内部网路组织，提高网络的整体性能和安全性、可靠性、可扩展性，调整余

姚、慈溪分公司与宁波总公司的路由连接，提高和总部之间的网络带宽，一支持更复杂的网络应用

同事，宁波总公司和余姚、慈溪分公司均招聘了专职的网络工程师。

2）网络建设要求

为了解决原有网络中存在的问题，DHYNET公司此次设计实施的网络项目必须实现以下功能需

求和建设要求

充分考虑DHYNET公司网络现状，最大限度地利用现有资源

建设一个通畅、高效、安全、稳定、可扩展的企业内联网，支撑公司内各类信息系统的运行，

共享各种资源，提高企业的办公效率，降低企业网络的总体运行费用。

满足公司内各种计算机应用系统大量信息的传输要求

网络整体具有良好的可管理性，减轻维护人员的工作量，提高网络系统的运行质量。

实现和因特网的高速可靠连接，要求网络连接高效，保护DHYNET公司的投资。

整个项目的施工要精心组织、严格管理，定期提交各类项目文档。

在项目实施完毕后，工程实施方对DHYNET公司的相关人员进行培训，并移交全部的项目工程

资料•，保证网络的正常运行和管理维护。

DHYNET公司的网络项目包括网络设备的采购和系统集成服务两部分网络设备采购部分包括

此次网络建设需要添加的新网路交换机和路由器；系统集成服务部分包括企业内联网的规划设计，

所有设备的安装调试，系统的测试运行，员工的培训等。

3）详细建设需求

新规划实施的DHYNET公司网络将覆盖宁波总公司和慈溪、余姚两个分公司，其网络建设需求

如下：

❖余姚、慈溪分公司通过专线连接宁波总公司，使用路由器实现宁波、余姚、慈溪三部分网络

的互联互通

❖宁波总公司通过一条以太网方式的宽带接入链路（10M带宽）连接到因特网，提高访问因特

网的速度

❖宁波总公司的内部局域网络采用全冗余的结构来保障网络的高可用性，余姚、慈溪分公司的

内部网络架构则可以比较简单

❖公司内所有的信息服务应用均由总公司提供，服务器均放置在宁波总公司，余姚、慈溪分公

司通过网络远程访问

❖出于网络安全性考虑，dhynet公司仅有单一的因特网访问出口，位于宁波总公司，余姚、慈

溪分公司要访问因特网必须通过总公司

❖为了能够有力的支持各种计算机应用系统，实现公司内部各种资源的共享，网络总体架构要

求高效、健壮、安全，具有良好的可扩展性

❖网络设计为模块化的拓扑结构，总公司统一进行规划和管理，全网采用统一的网络方案和策

略

❖每个分公司的网络自成体系，单个分公司的局域网广播数据流和网络故障不能扩展到全网。

❖DHYNET公司计划使用多个私有的C类IP地址，既要保证企'也现有用户和系统的使用，又

要保证未来的扩展空间

❖宁波总公司的局域网规划使用Vian、VTP、STP等交换技术，提高网络的稳定性和可靠性

❖DHYNET公司3部分网络互联要求使用收敛速度快、效率高的动态路由协议，保证总公司

和分公司网络之间的可达性和稳定性

❖出于安全的考虑，余姚和慈溪分公司的员工只允许访问总公司的服务器，而不能直接访问总

公司员工其他分公司员工的计算机

4）网络设备选型要求

DHYNET公司宁波总公司原有7台CISCOCATALYST2950交换机，1台作为核心交换机，其余

作为接入交换机，不过现在用户的计算机连接混乱，核心交换机上不仅有服务器也有最终用户的计

算机。

此次重新设计网络,计划将原有的7台CISCOCATALYST2950交换机全部作为接入交换机使用，

核心交换机重新购置三层交换机，并采用双核心的全冗余架构，核心交换机上不再连接主机和服务

器。因此应当选用高性能的三层交换机作为此次网络建设的核心交换机。

为了实现网络设备的统一，也出于设备兼容性的考虑，此次网络建设计划还是采用思科公司的

产品。全网使用同一厂商设备的主要好处在于可以实现各种不同网络设备功能的互相配合和补充。

此外，思科公司是全球领先的网络设备提供上，技术先进产品齐全，能够提供完善的支持与服务。

具体选用的设备型号为Ciscocatalyst3550.

慈溪、余姚分公司的原有网络也采用CISCO2950交换机，由于分公司员工数量不多且网络应用

简单，没有体现出性能不足，所以此次网络建设不对余姚、慈溪的分公司局域网进行更新。

路由部分宁波总公司已有一台CISCO2621路由器，慈溪、余姚分公司没有路由器。在此次网络

建设中计划增加2台同型号的路由器，宁波总公司使用1台，慈溪和余姚分公司各用1台。同时，

也为慈溪、余姚分公司申请了到宁波总公司的专线，用于实现总公司和分公司的网络连接，以构成

DHYNET的内联网。

5）安全性和可靠性

为了保证DHYNET公司的办公和生产经营，网络需要安全可靠地运行。因此在项目设计开始时

就要采用统一的安全规则，以保证重要信息和网路系统本身的安全，采用的技术包括网络设备的冗

余备份和线路与设备的切换机制等。在网络中也会购买和安装防火墙、入侵检测等安全设备，以增

加网络的安全性。

同时，所有的硬件设备必须符合国家有关标准和规定，符合国家相关产品质量标准、安全、符

合电磁学规范。

（3）工程组织、测试与验收

项目工程实施方必须提供所有的硬件、软件和系统集成服务。工程实施方应在设备到货、安装

及系统集成的过程中对DHYNET公司的技术人员进行必要的技术培训I,具体的培训要求自系统集成

工作开始，实施方应允许DHYNET公司的技术人员参与安装、测试、诊断以及解决问题等各项工作。

系统集成是指将本项目网络系统的全部硬件和软件安装、连接并使之协同工作，提供系统总体

的实施方案（含网络拓扑图、网络设备连接图等），方案中需要对网络的各个功能模块进行详细描述,

并在项目集成中具体实现。

1）施工组织

工程的实施方应成立专门的项目组，负责工程的实施，并在规定的日期前完成。

在项目的实施之前就需要制定完善的施工流程和施工计划，对施工的工期和进度安排进行规划

DHYNET公司负责组织验收。实施方和DHYNET公司共同组成验收小组，对实施方提供的产

品和集成系统进行检验。

实施方交付的系统必须符合DHYNET公司提出的要求。

2）施工测试

DHYNET公司此次网络建设项目必须进行最少2小时的连续测试，测试中如果有任何部分发生

故障，则重新开始测试，如果4小时内测试通不过，DHYNET公司有权停止验收并拒绝该系统。

任何测试必须整个系统完整通过，不允许部分验收

系统交付验收是在完成安装、运行、测试和集成并通过验证后。

系统交付文档应按照合同中的实施方案中写明的提交时间分阶段提交相应文档，包括：

❖项目方案设计书。

❖工程实施报告

❖项目终验报告。

3)工程实施

实施方在施工之前需要和DHYNET公司进行详细的沟通，确定项目的实施方案，制定详细的实

施计划。

工程实施过程主要可以分为下面两个阶段

设备的到货和验收

系统的具体实现

项目中使用的原有路由交换设备要进行一定的检测，如有必要需要对IOS版本进行升级，而后

方能在本次项目中使用。

项目中新购买的设备到货之后，将保持原包装的密封状态，由实施方的售后工程师和DHYNET

公司的有关授权人员共同拆开包装进行设备的验收。验收工作包括对设备进行加电验收，对于有异

议的地方要及时解决。

在设备无误，双方•致同意的情况下，参与验收的双方人员在一式两份的设备验收单上签字并

加盖DHYNET公司公章。

设备验收完毕后，根据项目的进度安排，开始系统的安装实施工作

作为实施方的售后工程师，应该有项目设备的发货清单，包括设备的数量、型号、序列号、配

置等详细情况。

DHYNET公司将在此之前准备好设备安装的场地，包括场地的供电、空调、防尘等。实施方的

售后工程师应该在设备安装前进行场地的检查。

系统实施可以按照设计方案中的模块划分和项目施工安排进行

各个部分的安装完成之后，进行系统的联调。

系统实施过程中需要按时提交有关的施工文档。

实施方的项目经理、售后工程师，以及DHYNET公司的相关人员，在系统的实施过程中应该保

持良好的沟通。

4)工程测试验收

系统测试根据系统实施分三个阶段进行。

第一阶段在系统每个模块实施完成后进行，要对各个模块进行基本的测试。主要包括交换机设

备的安装、配置以及线路的连接，主要检查是否按照实施工艺的规范实施，各个部分能否正常工作。

第二阶段在整个系统安装联调完毕后进行，要对整个系统的所有功能模块进行相应的测试。系

统要满足DHYNET公司在需求中提出的各项要求，重点检查路由部分能否正常工作，预先设计的对

因特网的访问控制策略是否能够正常工作，运行是否稳定。

第三阶段在整个系统实运行中进行，要对整个系统的故障切换机制进行演练。模拟各种可能出

现的故障情况，检验系统是否能够自动切换，是否达到了项目方案设计的目标。

(4).系统运行、维护与人员培训

所有的网络设备在验收以后都必须提供至少1年的保证期，期间的维护服务不得收取任何费用。

在保证期内，实施方的系统集成工程师必须在DHYNET公司提出维护后的2小时内提出可行的解决

方案，重大问题4小时内解决。

实施方需要列出保证其之后的年服务费。

❖培训要求：为了使DHYNET公司网络建成后能顺利投入运行，在项FI建设的各个时期，

应及时组织公司人员进行各类培训，例如前期的技术培训，实施过程中的系统调试培训，

后期的管理维护培训等。

❖培训人员：DHYNET公司包括宁波总公司和慈溪、余姚分公司负责网络管理和系统运行的

技术人员。

❖培训内容：网路设备的维护，网络系统的管理与维护

❖培训方式：集中授课或在施工现场培训指导技术人员。

培训时间：按照DHYNET公司的进度要求，实施方需列出集中授课的时间表。

2、工程实施与验收

工程自合同生效日期开始，要求在6周内完成，实施完成后由公司负责组织验收，由公司领导、

技术人员及工程实施公司项目组所有成员组成验收小组，对所有系统进行验收检验。包括服务器系

统及桌面系统，所有主机必须保证72小时无故障运行，所有服务器应正常启动和运行，并保证客户

端正常使用，系统设计必须合理且充分满足公司需求，在验收期间出现任何硬件故障及与公司需求

不符的情况，公司都有权拒绝验收。

通过验收测试后，工程实施公司需要提交所有工程文档，包括技术资料，随机文档及配置手册

等。如资料不完整，公司有全拒绝验收。

3、售后服务支持

在工程实施完毕并通过验收后，工程实施公司需要提供相应的技术支持和售后服务保障，对于

所有的硬件产品，如服务器、PC、打印机等，需要提供至少一年的免费维修，对于硬件故障，应提

供免费的更换服务。

对于所有的软件，包括操作系统及应用软件，需要提供至少一年的维护，包括免费的技术支持

及软件升级。

所有的技术支持及售后服务应在DHYNET公司提出维护要求2各小时内到达现场并在12小时

内予以解决。

在工程实施并通过验收后，工程实施公司需要对公司员工提供免费的技术培训，保障所有员工

能够熟练地使用网络系统，培训的内容包括操作系统基本使用、INTERNET应用、邮件系统使用、

系统管理技术。

可根据培训人员的不同，由公司安排时间统一培训I。

由工程实施单位负责教师的聘请及教材的准备，公司提供培训地点，每名员工的培训时间不得

少于一周。

(三)、实训内容及任务分配：

1、需完成的任务：

(1)、根据需求，完成DHYNET网络的工程设计及施工。

(2)、规划网络建设方案

(3)、完成子网划分

(4)、完成路由部分设计

(5)、完成交换部分设计

(6)、完成广域网部分实现

(7)、完成安全可靠性部分实现

(四)、毕业技能综合实训提交的成果

1).实训报告一份，内容包括：

(1)实训过程记述

(2)阶段计划表

(3)阶段考核表

(4)评分总表

(5)实训总结、致谢等

2).网络方案报告一本。

三、实训进度安排

阶段实训时间实训内容

第一阶段第1周方案设计及答辩、IP地址划分

第2周搭建虚拟机架完成交换与路由设置

第二阶段

第3周搭建虚拟机架完成安全及广域网部分

第4周完成真实机架

第5周完成域环境建立

第三阶段

第6周完成服务器设置

宁波大红鹰学院软件学院

毕业技能综合实训

实训报告

实训项目：DHYNET公司网络工程项目

完成人：___________XXXXX____________________

系别：___________XXXXXX____________________

专业：___________XXXXXXXXXXXXXX____________

班级:___________XXXXXXXXXX________________

指导教师：xxx\xxx\xxx

毕业技能综合实训报告目录

第1阶段DHYNET网络工程项目设计方案.........................3

1.1项目概况..................................................3

1.2总体网络拓扑图............................................5

1.3DHYNET公司宁波总公司网络设计说明.......................9

1.4余姚分公司网络设计说明...................................12

1.5慈溪分公司网络设计说明...................................14

1.6阶段总结.................................................15

第2阶段......................................................16

2.1DHYNET公司宁波总公司..................................16

2.2余姚分公司配置..........................................23

2.3慈溪分公司配置...........................................24

第3阶段网络系统及网络服务管理...............................27

3.1域环境...................................................27

3.2活动目录用户和计算机基本管理.............................33

3.3组策略设置...............................................39

3.4DNS月艮务器设置..........................................48

3.5DHCP服务器设置.........................................51

3.6WEB服务器设置.........................................54

1

3.7FTP服务器设置...........................................59

3.8安装证书服务.............................................61

第4阶段总结.................................................62

第5阶段致谢.................................................63

2

第1阶段DHYNET网络工程项目设计方案

1.1项目概况

1.1.1项目简介

为了使DHYNET公司的信息网络系统能够在未来几年时间内保持技术上的先进性和

实用性，公司要求在项目的规划和实施中采用先进的计算机、服务器、网络设备以及系

统管理模式，实现公司内部所有信息资源的合理应用和完善管理，使所有员工都能方便

地使用公司内部网络，并能够安全高效地访问公司内的网络应用服务和因特网。现对

DHYNET网络公司的网络进行升级，添加新的设备和网络服务器，添加DNS服务、WEB服

务、FTP服务、邮件服务等网络服务系统。DHYNET宁波总公司采用cisco3550作为核

心交换机，借助于思科的STP和HSRP技术，在核心层实现了核心交换设备的双机冗余,

并且，为了防止单点故障，同时在每个部门都实现了双线路备份。建设一个通畅、高效、

安全、稳定、可扩展的企业内联网，支撑公司内各类信息系统的运行，共享各种资源，

提高企业的办公效率，降低企业网络的总体运行费用。

为了使余姚分公司和慈溪分公司能够和总公司之间的通信更加安全，可靠，特向电

信申请了两条专线连接宁波总公司。

建成后实现DHYNET公司和余姚，慈溪分公司实现互连，余姚，慈溪分公司通过

DHYNET总公司访问Inte:rnet,并且可以访问位于总公司的服务器，但不能访问总公司

其他部门的PC。

1.1.2现有网络分析

前期网络采用单核心的两层网络结构，网络简单，设备性能不高

存在问题：

1.网络结构落后于应用需求。

2.核心层交换机处理能力不足。

3.接入层交换机安全性能不高。

4.用户增加网络规模太小。

5.网络可管理性差。

3

6.可利用设施：部分交换机，电脑终端，服务器设备等。

1.1.3当前需求

提供更多的入网借口。

提供全面的安全保护措施。

进行合理的内部网络划分，和VLAN划分。

设计合理的访问控制。

合理带宽的Internet接入。

提供方便的远程接入。

有很好的可扩展性。

1.1.4流量分析

主要应用：

1.一般用户的接入网络流量。

2.对外服务器的对外流量。

3.内部用户访问内部服务器的流量。

4.各部门之间的流量。

1.1.5项目目标及设计原则

1、建立覆盖公司的各数据信息点的高速以太网；

2、实现公司管理的网络化和现代化，提高公司职工的工作效率；

3、实现居民生活的信息化，满足居民对信息的需求及相关服务；

4、开展电视会议、远程办公等多种延伸性应用；

5、接入互联网，可以在Internet上开拓眼界和接触更多的信息，真正做到天涯若

比邻，使企业与国际、国内的最新动态保持同步，从而随时发现新的科研动态、业务信

息、最新技术、最新资料以及潜在的其它信息；

6、建立WEB网站，加强公司的对外宣传，在国际、国内树立良好的形象。因此，

我们可以认为，网络化系统公司的以太网建设对社区的长远发展，以及对整个管理方式

和工作方式的改变影响都有着深远的意义和影响。

4

1.2总体网络

1.2.1拓扑图

Dhynet公司总体网络图

图-1总网络拓扑图

总体网络设计说明：

所以用户都通过总公司出口路由器访问intejrnet,总公司与分公司之间使用OSPF

路由协议连接，为了安全考虑，配置OSPF路由协议的认证。总公司采用区域1,城域网

使用区域0,总公司配置三层交换，余姚和慈溪分公司采用单臂路由实现VLAN间的通信。

1.2.2访问控制

控制外部合法用户对内部网络的网络访问;

控制外部合法用户对服务器的访问；

禁止外部非法用户对内部网络的访问；

控制内部用户对外部网络的网络；

阻止外部用户对内部的网络攻击；

防止内部主机的IP欺骗；

对外隐藏内部IP地址和网络拓扑结构；

网络监控；

网络日志审计；

5

1.2.3入侵检测

网络安全不可能完全依靠单一产品来实现，网络安全是个整体的，必须配相应的安

全产品。作为必要的补充，入侵检测系统（IDS）可与安全VPN系统形成互补。入侵检

测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行

为进行实时监控、记录，并按制定的策略实行响应（阻断、报警、发送E-mail）。从而

防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器（网络引擎）。

控制台用作制定及管理所有探测器（网络引擎）。探测器（网络引擎）用作监听进出网

络的访问行为，根据控制台的指令执行相应行为。由于探测器采取的是监听而不是过滤

数据包，因此，入侵检测系统的应用不会对网络系统性能造成多大影响。

1.2.4路由部分设计

对于企业内联网的路由器而言，可以使用一系列路由协议。选择路由器时需同时考

虑网络设计和路由协议的选择。最常见的标准路由协议是RIP和OSPF,但RIP并不适合

大型网络。考虑到DHTNET公司内联网未来扩展的要求，我们将采用OSPF协议作为网络

的路由协议。OSPF路由协议是业界标准的网络协议，许多厂商的网络设备都支持它，

因此它受到了广泛的应用。OSPF路由协议能够快速收敛，支持无类路由（Classless）

和变长子网掩码（VLSM）,可划分区域，适合运行在大中型网络中。

在OSPF路由协议启用MD5认证，确保网络更加安全，可靠。

1.2.5OSPF区域规划

为了解决最短路由优先（SPF）算法的频繁计算、路由表过大、链路状态数据库过

大的问题，OSPF将大型网络分成多个区域。划分区域具有以下优点：

减少OSPF路由协议的LSA泛洪，减少链路带宽的占用。

降低SPF计算频率，减少路由器的资源消耗。

具有更小的路由表。

降低链路状态更新的负荷。

提高网络的稳定性。

DHYNET的内联网OSPF路由协议将采用多区域的方式。宁波总公司中OSPF区域

划分的原则如下：

DHYNET总部的路由器内联本地设备的接口属于Area1。

6

城域网部分路由属于Area0。

1.2.6网络安全性设计

对网络安全而言，一套行之有效的安全管理策略更重要。在网络建设项目中实现网

络安全管理是一个动态的系统工程，关系到安全项目规划、安全策略规定、人员职责分

工、安全等级评定、网络用户管理、安全规章制度建立等方面，这些在一开始就对网络

的规划实施安全性提出了要求。在前面的设计部分中，我们已经讨论了部分安全性设

计，例如VTP域的认证、交换机密码的设置等。本节中，为了在个分公司的网络实现安

全性的设计要求，我们将首先讨论慈溪分公司网络建设和管理方面的一般性安全规则，

然后对密码策略、网络常规安全性策略等几个方面进行详细设计。

1.2.7网络一般安全策略

为了使网络中的路由器和交换机更安全，可以配置一些简单的安全策略，并且关闭

其上一些不必要开启的默认服务（可能会对网络的安全造成威胁），主要包括以下几点：

1.）设备的物理安全性是指未经授权的人员不能直接接触到运行中的设备。提高设

备的物理安全性，是网络安全最基本的要求。通过将设备安置在独立的设备间中，并增

加门禁系统，

确保只有授权的管理人员和维护人员才能接触到物理设备。

2.）包含设备的密码设备的enable密码应当设置，且应当设置成比较负载的强密

码。但是要注意的是，普通的password密码加密机制已经很古老，存在极大的安全漏

洞，必须使用noenablepassword禁用，然后利用enablesecret命令设置密码。该

加密机制是I0S采用了MD5散列算法进行加密的，比较安全。

3.）控制Telnet访问此处我们仅考虑网络内部为了配置设备方便而使用的Telnet

连接。在DHYNET的网络架构项目中，为了配置方便，在项目实施阶段可以打开Telnet

功能（也需要足够长和复杂的密码）。不过项目结束后，由于兆隆计算机学院各分校均

有自己的网络管理员，所以应当将密码取消以关闭Telnet,这样，只有网络管理员才可

以通过Console口登录，进行设备的配置。另外，如果遇到特殊的情况需要打开Telnet,

可以利用访问控制列表对可以通过Telnet访问的设备的IP加以限制。

4.）禁止CDPCDP（CiscoDiscoveryProtocol）Cisco发现协议是Cisco私有的一

个协议，存在于Cisco11.0以后的I0S版本中，都是默认开启的，用于帮助管理员手

机本地相连和远程设备的信息。这个协议有一个缺陷：对所有发出的设备请求都做出应

7

答，这样将导致路由器的泄密情况，因此，必须禁止其运行。对于兆隆计算机学院来

说，我们将在JD-RT路由器的连接防火墙的端口上，使用命令你nocdpenable禁用

CDP,以便让路由器内部网络使用CDP,而禁止路由器对外网的CDP应答。

5.)关闭HTTP服务现在许多Cisco设备都允许使用Web界面来进行控制配置，这

样可以为经验欠缺的管理者提供方便的管理，但是，在这方便的背后却隐藏了很大的危

机，可能给不怀好意的访问者打开了一扇门。因此在DHYNET公司的的所有设备上，都

使用noiphttpserver命令关闭Web方式的配置途径。

1.2.8ACL设计

即使已经在因特网的出口部署了防火墙，出于安全性因素考虑，我们也需要使用访

问控制列表(AccessControlList,ACL)在路由器上对DHYNET公司的网络内部、内

外网之间的流量进行一些常规的控制，提供第二层的安全防护。因为在网络环境中普遍

存在着一些非常重要的、影响服务器群的安全隐患，因此在绝大多数万路过环境的实现

中它们都是对外屏蔽的。下面我们将对于在路由器上如果设计ACL进行讨论。DHYNET

公司总部路由器ACL设置慈溪分公司的路由器是整个网络的出口路由器，它的作用主

要是在因特网和学院内网之间路由数据包。除了完成主要的路由任务外，出口路由器还

可以利用访问控制列表来完成以自身为中心的流量控制和过滤功能，并实现一定的安全

功能。

1.2.9用户的接入控制

以上安全措施都不是针对网络内部的用户的，但事实上很多安全隐患来自于万路过

的内部，所以严格控制用户的接入，可以避免由于非法用户接入带来的潜在的安全隐患。

DHYNEY公司网络完成之后，所有用户的IP地址在规划之前应当确保交换机的所有用户

端口都处于关闭状态，只有当用户的使用申请通过批准之后，网络管理员才能将端口激

活。

8

1.3宁波总公司网络设计说明

1.3.1网络拓扑图

D11YNET公司于波总部

图12宁波总公司拓扑

在宁波总公司的内部局域网络采用全冗余的结构来保障网络的高可用性，核心由两

台Ciscocatalyst3550交换机组成，七台Ciscocatalyst2950交换机用做接入层。

在三层交换机

内网的路由使用0SPF动态路由协议，在SW3-1和SW3-2、R1之间配置0SPF动态路

由协议。

SW3-1和SW3-2之间连接两条物理链路，使用思科的EtherChannel技术配置链路聚

合，实现数据的冗余和分流。在SW3T和SW3-2上给4个部门分别分配好VLAN,并把相

应端口划入VLAN中，每台二层交换机分别都连接SW3T和SW3-2,实现冗余，很好的保

障了网络的高可用性和安全性，使用STP技术，把财务部，技术部的主核心为SW3T,

SW3-2为他们的备核心，对应的，SW3-2为生产部、销售部、服务器的主核心交换机，

SW3-1为他们的备核心交换机。在两台核心交换机上配置路由协议，实现各VLAN之间

的相互通信。

应DHYNET公司要求，服务器不直接连接在核心层上，放在接入层里。

DHYNET公司宁波总公司网络机架和服务器机架图：

9

服务器机架图

图1-3机架图

1.3.2内网IP地址分配

为了方便网络管理，提高办公效率，减少网络错误，对内网IP地址进行科学的,

合理的规划，划分。为每个部门划分一个网段。

表ITIP地址分配表

序VLAVLAN名称IP地址范子网掩码网关接入交换机管理地址

腐

N号围

110caiwu192.168.1255.255.25553/192.168.1

.1-192.16.054.252

8.1.254

220jishu192.168.2255.255.25553/192.168.2

.1-192.16.054.252

8.2.254

330shengchan192.168.3255.255.25553

.1-192.16.054

8.3.254

440xiaoshou192.168.4255.255.25553

.1-192.16.054

8.4.254

550fuwuqi55.255.255553

1-192.16..04

5.254

10

1.3.3设备端口地址列表

表1-2设备端口地址

设备名端口号VLAN号VLAN接口地址/掩码连接设备连接设备的IP地址/备注

掩码

1caiwul已连接

2caiwu2已连接

310/24caiwu3

4Caiwu4

5caiwu5

6Jishul已连接

7Jishu2已连接

820/24Jishu3

9Jishu4

10Jishu5

11Shengchanl已连接

SW3-1

12Shengchan2

1330/24Shengchan3

14Shengchan4

15Shengchan5

16Xiaoshoul已连接

17Xiaoshou2

1840/24Xiaoshou3

19Xiaoshou4

20Xiaoshou5

21SW3-2已连接

22SW3-2已连接

23/30/30

2450/24fuwuqi已连接

25-48

21SW3-1己连接

22SW3-1一连接

SW3-223/30RI/30已连接

2450/24fuwuqi已连接

25-48

11

R1/30SW3-/30已连接

/30/30已连接

1-2210/24PC/24

Caiwul23SW3-1已连接

24SW3-2已连接

1-2210/24PC/24

Caiwu223SW3-1已连接

24SW3-2已连接

1-2220/24PC/24

Jishul23SW3-1已连接

24SW3-2已连接

1-2220/24PC/24

Jishu223SW3-1已连接

24SW3-2已连接

1-2230/24PC/24

Shengchanl23SW3-1已连接

24SW3-2已连接

1-2240/24PC/24

Xiaoshoul23SW3-1已连接

24SW3-2已连接

1-2SW3-1已连接

3-4SW3-2已连接

Fuwuqi5/24AD/24

650DHCP/DNS/24

7WEB/FTP/24

1.4余姚分公司网络设计说明

网络拓扑图

12

a~sJEl------口a

图1-3余姚网络拓扑

余姚分公司网络设计说明：

余姚分公司有三个部门，所以分成3个VLANo在路由器上配置单臂路由，封装

802.lq.