某小型公司网络设计与实现

湖南人文科技学院计算机系课程设计说明书课程名称:计算机及网络工程课程代码:420016题目:某中小型公司网络设计与实现年级/专业/班:2010级计算机科学与技术专业2班学生姓名:唐莎刘要兰马珍茹李文捷杨淑学号:指导教师:刘益开题时间:2013年5月20日完成时间:2013年6月9日目录TOC\o\h\z\t"标题7,7,标题8,8,标题9,9"第一章绪论 0引言 0项目背景 0项目开发目的与意义 1第二章可行性分析和需求分析 2可行性分析 2经济可行性分析 2技术可行性分析 2需求分析概述 2功能需求 2通信需求 3性能需求 3可靠性需求 3安全需求 3管理需求 3第三章相关技术论述 4静态路由 4网络地址翻译 4访问控制列表 5第四章网络系统设计 7网络类型与规模 7网络的拓扑结构 7与外部网络的互连 8IP地址与端口规划 8网络安全与网络管理平台的设计 10网络服务与应用平台的设计 11第五章网络系统的模拟实现 12模拟平台概述 12设备的配置 13致谢 17摘要目前，全球已经掀起一股信息高速公路规划和建设的高潮，国际网络上的相连计算机已经达到数千万台，全球有数亿人在Internet上进行信息交换和各种业务处理Internet上积累了大量的信息资源，在现今的网络建设中，中小型公司网的建设是非常重要和普遍的，如：校园网和园区网。本文以公司的计算机网络建设为例，叙述了网络构建的具体做法和部分子网的开发思想。现在许多单位由于办公和科研的需要购买了不少计算机。并且一些单位的领导开始意识到组建办公局域网的现实性和必要性。以某公司的实际情况，设计一个可以正常运行的公司网，并对建成的网络进行优化，只有安全和稳定的运行才是公司网追求的终极目标。关键词：交换机；路由器；中小型公司网；计算机网络《计算机网络工程》课程设计某中小型公司网络设计与实现第一章绪论引言近年来，中小企业的迅猛发展，为中小企业的信息化提出了更高的需求。然而，中小企业信息化基础的园区网建设水平良莠不齐。从现状来看，我国中小企业对于网络的建设其实还仅仅处在起步阶段，企业对网络建设缺乏长远规划、建设需求含糊不清等诸多弊端，在很大程度上制约了中小企业信息化的推进，也同样限制了中小企业的发展。同时由于对企业的生产、管理、销售活动缺乏深入的了解，系统集成商很难为企业提供一体化完整的网络建设方案，这就是导致很多中小企业的网络在建设好后经常出现故障的主要原因之一。鉴于这种情况，我们小组通过一个典型的、制造型企业园区网络建设案例及建设过程的分析，就中小企业园区网络建设进行一些探讨。项目背景中小公司用户的局域网一般来说网络结构不太复杂，主机数量不太多、服务器提供的服务相对较少。投入成本比较低普及速度快。目前像h3c、cisco等网络设备厂商专门开发针对中小公司的产品。使得网络投入成本降低。另外，由于互联网的发展迅速，电子商务也随之迅速发展，无论什么公司还是个人都纷纷在网络上寻找能给自己创造价值的信息和资源。尤其是公司想降低生产成本。各公司都知道了网络信息化提高了生产效率。因此也促进了网络产业的网站尤其是中小公司网络。目前我们还有一些公司可以说是近半的工厂和中小公司还处在人工、机械化阶段。尚不能很快的向网络方面发展。所以建设中小公司规划和设计迫在眉急。所以通过我网络工程拓扑设计、网络工程建设、综合布线、网络设备架设配置、机房建设、服务器架设等方面详细阐述我对于公司网络规划和设计的看法。公司网络建设有利于信息的快速传播,我们公司的员工，除掉机房技术人员需要进出机房，其它的都是使用公司网络局域网和internet网络相互传播消息。例如：qq、msn传达信息。速度快,效率高。另外公司邮局保证了公司间的对内和对外的信息交流。并且局域网传输速度快，资料的传输不用再送来送去，直接共享就可以了。效率高。公司追求形象，所以在网络设计和布设方面要求特别高，要求绝对的合理化。另外合理的网络布局使我们公司办公场所环境优良。公司的网络化使得公司工作效率普遍较高。同时网络化办公也使员工能够在网络上找到疑问的答案。网络使得公司各方面都得到了很快的发展。中小公司的网络规划、设计和维护越来越需要标准化和规范化。项目开发目的与意义服务于科技型中小企业的信息服务体系建设是一项长期而艰巨的任务，一个完善的信息服务体系主要包括基础环境、机构建设、服务提供以及人才培养。目的是为了构建完善的公司网络信息结构，提高我国企业的高质量管理、高信息化水平以及高效率办事。此次项目的开发，就是为了不断地完善公司的网络信息建设，为易于实现公司以后的网络信息点的扩展。从而提高我国的企业办事效率以及我国的经济建设。对于企业而言，企业必须从企业局域网的概念及相关的计算机网络技术入手，详细的设计企业网建设的实施方案及建设规划以达到先进、安全、实用、可靠地目标。对于企业的组网需求进行分析比较各种组网技术，从实用角度论述局域网主干网选择，综合布线各种设备选择，网络安全，网络管理等方面，使我们的网络要具有一定的灵活性。第二章可行性分析和需求分析可行性分析通过近年来分析各个企业的发展历程不难看出，除了信息产业以外，部分企业尤其是外贸企业。服务型企业的业务流程逐渐转移至网络，其他企业对更新网络的需求也变得越来越迫切，因此我们通过对该公司的现场调查和需求分析后，对其可行性进行分析。经济可行性分析随着网络技术的不断发展，国内公司急切需要实现网络所提供的办公自动化和信息化，而组建一个小型网络与大型网络费用不等，均看其所实现的功能而实现。为了扩大公司的知名度，提升公司的市面价值，我们公司只需实现一个小型信息交流的平台，加强各部门之间信息交流，因此可以承担其所带来的经济费用。因此，从长期利益来看，这项投入是公司必须的，可以保持收支平衡。技术可行性分析该系统所需硬件设备在市场上被广泛销售，且价格较低，操作系统采用linux、Windows等一系列操作系统，可以为公司提供良好的物理环境。此外，国内外的路由器技术、交换机技术正在不断的发展和完善，能提高更多、更实用的代码，从而让公司网络平台更加容易实现在技术上的要求。因此，在技术上是可行的。需求分析概述为适应企业信息化的发展，满足日益增长的通信需求，以及网络的稳定运行，公司在实际的设备应用中将核心层与分布层合并，交换机和路由器的数量由联入网络的计算机数量和网络拓扑结构来决定。公司需要构建5个部门即销售部、财务部、人事部、综合办公室、领导办公室以及各部门所需的计算机数目。从内网的需求分析部门和服务器需要各自分配内网地址和外网地址。功能需求为了营造一个高效、稳定的内部网络环境，同时外联INTERNET，需要先进、成熟的网络应用技术、设计和规划网络系统。用先进的计算机、网络设备和软件，以及先进的系统集成技术，构建一个高效的办公网络。需要利用网络地址转换技术实现网络的数据共享、资源共享，提供稳定的信息交换和网络系统服务平台；需要利用标准访问控制列表来实现个部门之间的互通性。通信需求整个网络系统可以通过软件快速简便地将用户或用户组从一个网络转移到另一个网络，可以跨越办公室、办公楼，而无需任何硬件的改变，以适应机构的变化。同时也能够实现远程用户从不安全的互联网安全可靠的接入分公司内网，访问网内资源和使用相应的应用系统。性能需求从实用性出发，着眼于近期目标和长期的发展，选用先进的设备，进行最佳性能组合，能实现快速地获得网络共享的资源，节约时间，提高办事的效率，利用有限的投资机构构造一个性能最佳的网络系统。可靠性需求现代企业的网络应具有全面的可靠性设计，以实现网络通信得实时畅通，保障企业生产运营的正常运行，保证网络设备每个端口的带宽都足够使用，能迅速转发，实现资源共享。实现公司电信、网通的双出口的网络提供的线路负载均衡，同时为服务器开启负载均衡并提高服务器的处理能力。安全需求现代大型企业网络应提供更完善的安全解决方案，以阻止病毒和黑客的攻击，减少企业的经济损失。提供多层次安全控制手段，建立完善的安全管理体系，防止数据受侵击和破坏，有可靠的防病毒措施。管理需求可提供管理模块冗余，保障网络的高可用性，为了方便以后拓展管理，可采用星型的网络结构，还需要足够的数据存储空间和方便的数据管理。用智能设备更有利于管理。第三章相关技术论述静态路由路由协议通过在路由器之间共享路由信息来支持可路由协议。路由信息在相邻路由器之间传递，确保所有路由器知道到其它路由器的路径。总之，路由协议创建了路由表，描述了网络拓扑结构；路由协议与路由器协同工作，执行路由选择和数据包转发功能。

静态路由：静态路由表在开始选择路由之前就被网络管理员建立，并且只能由网络管理员更改，所以只适于网络传输状态比较简单的环境。静态路由具有以下特点：静态路由无需进行路由交换，因此节省网络的带宽、CPU的利用率和路由器的内存；具有更高的安全性。在使用静态路由的网络中，所有要连到网络上的路由器都需在邻接路由器上设置其相应的路由。因此，在某种程度上提高了网络的安全性。

RIP：RIP使用UDP数据包更新路由信息。路由器每隔30s更新一次路由信息，如果在180s内没有收到相邻路由器的回应，则认为去往该路由器的路由不可用，该路由器不可到达。如果在240s后仍未收到该路由器的应答，则把该路由器的路由信息从路由删除。

RIP具有以下特点：不同厂商的路由器可以通过RIP互联；RIP的算法配置简单，适用于小型网络（小于15跳），实现小型公司的网络组建，但在路径较多时收敛速度慢，广播路由信息时占用的带宽资源较多，它适用于网络拓扑结构相对简单且数据链路故障率极低的小型网络中，在大型网络中，一般不使用RIP。并且RIPv1不支持VLSM以及需消耗广域网带宽和CPU、内存资源。网络地址翻译NAT属接入广域网(WAN)技术,是一种将私有地址转化为公有IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。NAT的实现方式有三种：静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。端口多路复用(PortaddressTranslation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，PortAddressTranslation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。访问控制列表ACL(AccessControlList，访问控制表)是指用户和设备可以访问的那些现有服务和信息的列表。用户必须具有相应的授权才能修改目标的ACL，它是用来保证系统安全性的一种手段。用户可以通过Internet和外部网络进行联系，网络管理员都面临着一个问题，就是如何拒绝一些不希望的连接，同时又要保证合法用户进行的访问。为了达到这样的效果，我们需要有一定的规则来定义哪些数据包是“合法”的（或者是可以允许访问），哪些是“非法”的（或者是禁止访问）。因此，访问控制列表可以分为：标准访问控制列表：应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接受还是被拒绝，可以由类似源地址、目的地址、端口号等特定指示条件来决定。一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。扩展访问控制列表：扩展访问控制列表能够检查可被路由的数据包的源地址和目的地址，同时还可以检查指定的协议、端口号和其他参数，具有配置灵活、精确控制的特点，其序列号的范围是100-199。反向访问控制列表：属于ACL的一种高级应用。他可以有效地防范病毒。通过配置反向ACL两个网段的计算机互相Ping，A可以Ping通B,而B不能Ping通A。其传输数据可以分为两个过程，首先是源主机向目的主机请求数据，然后是目的主机在双方建立好连接后发送数据给源主机。

第四章网络系统设计网络类型与规模该公司包含的部门及人数：财务部120人，人事部80人，领导办公室10，综合办公室200人，销售部300人，各个部门和各个服务器分配内网地址。各部门内部计算机可以互访，但各部门之间的计算机不能互访；领导办公室可以访问其他部门计算机；局域网与Internet建立连接（两个全局地址为：和）。我们首先要了解用户的需求，从而分析组网的物理环境。所谓物理环境，是指网络施工的场所需具备怎样的物理空间和实际环境。了解这些情况。为实现上述目标，我们把整个系统建设分成两个部分，即：网络平台建设和Internet/Intranet平台建设。其中，网络系统主要是以光纤作为传输媒介、以IP和Intranet技术为技术主体、以路由器为交换中心、下属部门信息网络系统为分节点的多层结构、提供与各种职能相关的、功能齐全、技术先进、资源统一的网上应用系统，进一步可扩展成为多功能网络平台。在此的规划中，我们以部门为单位，对每个单位的不同需求做出设计方案。如各部门之间不能互访，我们就利用标准访问控制列表来实现；而针对于领导办公室单向访问各部门，我们则采用自反控制列表来实现其功能。总体目标是建立该公司的信息网络交换平台，集成下属各部门信息网络系统，实现功能齐全、技术先进、集成化的网络系统。网络的拓扑结构综合布线的星型拓扑结构是目前在局域网中应用得最为普遍的一种，在企业网络中几乎都是采用这一方式。星型网络几乎是Ethernet（以太网）网络专用，它是因网络中的各工作站节点设备通过一个网络集中设备（如集线器或者交换机）连接在一起，各节点呈星状分布而得名。这类网络目前用的最多的传输介质是双绞线，如常见的五类线、超五类双绞线等。它具有以下优点是：一、维护管理容易。由于星型拓扑结构的所有信息通信都要经过中心节点来支配，所以维护比较容易。重新配置灵活。在楼层配线间的配线架上可以移动、增加或拆除一个信息插座所连接的终端设备，并且仅涉及所连接的那台终端设备，因此操作起来比较容易，适应性强。故障隔离和检测容易。由于各信息点都直接连到楼层配线架，因此故障容易检测和隔离，可以很方便的将有故障的信息点从通道中删除。但是这种结构非常不利的一点是，中心系统必须具有极高的可靠性，因为中心系统一旦损坏，整个系统便趋于瘫痪。对此中心系统通常采用双机热备份，以提高系统的可靠性。如下图4-1所示是该公司的网络拓扑图：图4-1中小型公司网络设计与实现的拓扑图与外部网络的互连在现实世界中，单一的网络无法满足公司各部门的多种需求，因此为了能够最大限度的使用网络资源，我们将各部门之间采用的是内部专用的IP，为了实现局域网与Internet建立连接，我们通过网络地址的翻译，从而将公司内部专用IP地址转换成外网公用IP地址，实现内网与外网的通信。IP地址与端口规划在此次小型公司网络设计操作中，我们在划分IP地址注意到了划分的一些原则。只有按照这些原则做，公司的网络才能更加稳定，更加易于维护。IP划分规则如下：简洁性：规划应尽量简单。当看到一个特定设备上的IP地址时，就应可以推断出它所属的设备和网络中所在位置，而不需查阅大量的文档手册。唯一性：一个IP网络中不能有两个主机采用相同的IP地址。易管理性：易于网络管理员进行设备的维护。扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。最理想的策略是建立一个分级地址管理规划，这样可以使路由表相对较小。设备间IP地址的分配以及设备间互连的IP地址，从业务的相关性上，它们一般具有全局的功能，提供完成两个路由器之间的连接。在实施的过程中，我们应当考虑到在公司网络扩展的时候，网络分层次的结构是否会被打破。所以我们需要在初期分配的时候，考虑到不远的将来可能进行的扩容，从而进行相应的预留。因此在地址空间的分配中要应当考虑以下的方面：一、尽可能以分层次的方式为他们分配地址。由于链路地址空间不具有全局性，因次并不需要在全网范围内为每个链路保持精确路由。而采取分层次的地址分配方式，能够将链路地址逐级汇总，从而使得这些地址在各路由器的路由表中占有较少的空间。二、降低对路由器的要求，并保证路由器的处理效率。提供足够的预留空间，以满足今后新增链路的需要。同一区域(area)内的设备互联地址连续分配，每个互联段分配1个/30的最小地址段。采用分层次的链路地址分配结构，能够保证路由处理的高效性。在本公司网络设计中，我们为每个部门分配一组ip地址，并为每台机器分配一个ip地址。比如人事部，我们将此部门的所有机器划分到同一网段并为其设定一个默认网关地址。如下是整个公司中各部门的IP划分：表4-1各部门IP分配表部门名称IP网段默认网关人事部财务部综合办公室销售部领导办公室此外，为了更好地管理和区别，我们针对每一个路由器，对它的各个端口也进行了IP地址的划分。比如汇聚人事部的路由器R2，我们将此它的两个端口分别设定了一个网段，即s0/0端口为和e1/0端口为。如下是整个路由器个端口的IP划分：表4-2各路由器端口IP分配表路由器端口Ip地址R1S0/1S0/2S0/3S1/0S0/0F2/0R2S0/0E1/0R3S0/0E1/0R4S0/0E1/0R5S0/0E1/0R6S0/0E1/0网络安全与网络管理平台的设计随着当前计算机网络的发展特点规模不断扩大，复杂性不断增加，异构性越来越高，如果不能高效的对网络系统进行管理，就很难保证提供一个令人满意的服务。网络安全与网络管理是网络发展中一个很重要部分，安全已经成为当今社会关注的重要问题之一。网络安全措施主要有：物理措施、访问控制、数据加密、防止计算机网络病毒、安装网络防病毒系统及其他措施。网络服务与应用平台的设计随着计算机的迅速发展，我们必须要创建好的网络服务和应用平台以为应用者提供良好的应用环境，这就必须要有好的网络服务于应用平台。企业网应该依据自身的特点，依据应用的需求扩大、发展、完善。因此，在建设网初期进行统一建设和规划至关重要，企业网的规划和建设主要涉及以下几个方面：网络传输协议、网络构架、网络地址的设计规划和分配等。网络应用平台安全：主要包括网络的可靠性与生存性。网络的可靠性和生存性依靠环境安全、物理安全、节点安全、拓扑安全、系统安全等方面来保障。第五章网络系统的模拟实现为了实现某中小型公司的网络设计与实现，建立五个部门即：财务部120人，人事部80人，领导办公室10，综合办公室200人，销售部300人，从而通过GNS3软件模拟实现各个部门和各个服务器分配内网地址；各部门内部计算机可以互访，但各部门之间的计算机不能互访；领导办公室单向访问其他部门计算机；局域网与Internet建立连接（两个全局地址为：和）。模拟平台概述GNS3是一款优秀的具有图形化界面可以运行在多平台（包括Windows,Linux,andMacOS等）的网络虚拟软件。Cisco网络设备管理员或是想要通过CCNA,CCNP,CCIE等Cisco认证考试的相关人士可以通过它来完成相关的实验模拟操作。同时它也可以用于虚拟体验Cisco网际操作系统IOS或者是检验将要在真实的路由器上部署实施的相关配置。简单说来它是dynamips的一个图形前端，相比直接使用dynamips这样的虚拟软件要更容易上手和更具有可操作性。GNS3整合了如下的软件：Dynamips：一款可以让用户直接运行Cisco系统(IOS)的模拟器Dynagen：是Dynamips的文字显示前端Pemu：PIX防火墙设备模拟器。Winpcap：windows平台下一个免费，公共的网络访问系统。开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。GNS3可以实现以下功能：设计优秀的网络拓扑结构；模拟Cisco路由设备和PIX防火墙；仿真简单的Ethernet,ATM和帧中继交换机；能够装载和保存为Dynamips的配置格式，也就是说对于使用dynamips内核的虚拟软件具有较好的兼容性；支持一些文件格式(JPEG,PNG,BMPandXPM)的导出。设备的配置第