計算機網絡企業(yè)網絡規(guī)劃畢業(yè)設計

1、<p>　　畢 業(yè) 設 計 報 告</p><p>　　課題名稱：xxxxxx網絡規(guī)劃</p><p>　　二級學院：信息工程學院 </p><p>　　專 業(yè)：計算機網絡技術 </p><p>　　班 級：10計網（2）班 </p

2、><p>　　學生姓名：xxxx </p><p>　　學 號：xxxxxx </p><p>　　指導教師：xxxx </p><p>　　日 期：2012年11月20日 </p>

3、<p><b>　　摘要</b></p><p>　　計算機網絡是指通過傳輸媒休連接的多部計算機組成的系統(tǒng)，使登錄其上的所有用戶能夠共享軟硬件資源。計算機網絡如按網絡的組建規(guī)模和延伸范圍來劃分的話，可分為局域網、城域網、廣域網。我們經常用到的Internet屬于廣域網，企業(yè)網屬于局域網。未來的網絡技術將向著使用簡單、高速快捷、多網合一、安全保密方向發(fā)展</p>&

4、lt;p>　　隨著信息技術的發(fā)展，電腦的普及使用率越來越高，在同一地點多臺電腦同時工作的情況越來越多，如高校的開放計算實驗室、網吧、辦公室等地方，沒聯(lián)網的單機很難想象。為了方便維護、管理、共享信息資源等目的，常常需要把所有的單機聯(lián)成網絡，這種小規(guī)模局域網絡的搭建十分實用。</p><p>　　企業(yè)網的建成和使用，對于一個企業(yè)來說，產品的介紹、銷售、技術服務和售后服務等越來越多地采用網絡的形式來完成，最主要的

5、優(yōu)點是：方便、快捷和成本低廉。其主要包括各種局域網的技術思想、網絡設計方案、網絡拓撲結構、布線系統(tǒng)、網絡的應用和安全，網絡系統(tǒng)的維護等內容。</p><p>　　關鍵字：局域網，網絡拓撲規(guī)劃，路由，交換</p><p><b>　　目錄</b></p><p>　　第一章 需求分析1</p><p>　　1、1 背景分

6、析1</p><p>　　1、2 網絡需求1</p><p>　　1、3 應用需求分析2</p><p>　　1、4 網絡安全需求2</p><p>　　第二章 網絡系統(tǒng)規(guī)劃與設計2</p><p>　　2、1 設計原則2</p><p>　　2、2 技術方案設計3</p&g

7、t;<p>　　2、3 網絡拓撲圖3</p><p>　　2、4 IP和VLAN規(guī)劃4</p><p>　　第三章 設備選型5</p><p>　　3、1 設備選型原則5</p><p>　　3、2 網絡設備選型6</p><p>　　第四章 綜合布線系統(tǒng)設計9</p><

8、p>　　4、1 布線系統(tǒng)總體設計9</p><p>　　4、2詳細子系統(tǒng)布線設計9</p><p>　　第五章 網絡安全設計10</p><p>　　第六章 主要設備配置11</p><p>　　6、1邊界路由NAT配置11</p><p>　　6、2核心交換機配置12</p><

9、p>　　第七章 材料清單和預算13</p><p><b>　　總結14</b></p><p><b>　　致謝14</b></p><p><b>　　參考文獻15</b></p><p><b>　　第一章 需求分析</b></p

10、><p><b>　　1、1 背景分析</b></p><p>　　xxxx有限公司南寧總部主要建筑物有行政樓、辦公大樓和車間大樓。有6個部門，分別是行政部、財務部、研發(fā)部、營銷部、生產部、人事部。行政樓有三層，第一層是公司的網絡中心和服務器中心；第二層是財務部；第三層是總經理辦公室和會議大廳。辦公大樓有三層，第一層是研發(fā)部；第二層是營銷部；第三層是人事部。車間大樓是生產

11、部，包括生產車間、倉庫等。公司大概有180臺左右的PC需要上網，選用一條20M光纖寬帶接入鏈路。</p><p>　　考慮公司人員與規(guī)模會不斷擴張，隨著辦公信息化、自動化的需求，各部門間為提高辦公效率，促進信息交流，適應現(xiàn)代化辦公的要求，公司要求在項目的規(guī)劃上和實施中采集防火墻，服務器，網絡設備以及系統(tǒng)管理模式，實現(xiàn)公司內部所有的信息資源合法的運用和完善管理。使所有員工能夠方便熟悉、安全高效地訪問公司的網絡運用服

12、務和因特網，需要組建一個完善的企業(yè)內部網。</p><p><b>　　1、2 網絡需求</b></p><p>　　滿足集團信息化的要求，為各類應用系統(tǒng)提供方便、快捷的信息通路；具有良好的性能，能夠支持大容量和實時性的各類應用；能夠可靠運行，具有較低的故障率和維護要求。提供網絡安全機制，滿足集團信息安全的要求，具有較高的性價比，未來升級擴展容易，保護用戶投資；用戶使

13、用簡單、維護容易，為用戶提供良好的售后服務。 主干網絡負責各個子網和應用服務的連接，為信息交換提供有效的高速通道。</p><p>　　系統(tǒng)主干采用千兆以太網，網絡協(xié)議采用TCP/IP協(xié)議，整個網絡應考慮語音、視頻、數據等的綜合應用。交換機要求采用主流、成熟、信譽和售后服務均佳的產品，核心交換機采用三層交換機，支持VLAN等功能，能較好解決突發(fā)數據量和密集服務請求的實時響應問題，在內部用戶終端進行視頻信號、數據交

14、換時交換引擎不會出現(xiàn)過載現(xiàn)象和數據包碰撞、丟失的現(xiàn)象；下屬單位接入交換機可采用相對低一檔的產品；配置要保證網絡中所有的服務器、交換機、路由器、集線器等設備的連續(xù)、正常地運轉；網絡帶寬的分配：應根據所屬單位網絡的信息流量情況合理分配網段，以充分利用網絡帶寬，提高網絡的運行效率。</p><p>　　1、3 應用需求分析</p><p>　　各部門內實現(xiàn)資源共享，提高公司辦公和公司生產效率；網

15、絡需要滿足公司內各種計算機應用系統(tǒng)的大信息量傳輸要求。局域網要具備良好可管理性，公司網絡系統(tǒng)結構要清晰，劃分vlan便于管理；IP地址分配必需合理利用，滿足公司網絡擴容需求。公司能支持所有PC機同時訪問Internet；營銷部因為工作需要，占用的流量必須大過其他部門。</p><p>　　公司的web和ftp服務器：web服務器具有固定的IP地址配置，互聯(lián)網和公司內部可以訪問公司的網站；ftp服務器有固定IP地址

16、，允許企業(yè)內部所有員工下載；外網不能訪問ftp服務器。</p><p>　　部門間訪問權限要有限制：財務部不能給其他部門訪問；營銷部和生產部可以互相訪問；人事部除了財務部以外都可以訪問其他三個部門。</p><p>　　1、4 網絡安全需求</p><p>　　內網安全設計：訪問控制，通過密碼、口令等禁止非授權用戶對服務器和網絡設備的訪問，以及對辦公自動化平臺、的訪

17、問和管理、用戶身份真實性的驗證、內部用戶訪問權限設置、ARP病毒的防御、數據完整、防病毒入侵。</p><p>　　在企業(yè)網絡中，關鍵應用服務器、核心網絡設備，只有系統(tǒng)管理人員才有操作、控制的權力。應用客戶端只有訪問共享資源的權限，網絡應該能夠阻止任何的非法操作。</p><p>　　第二章 網絡系統(tǒng)規(guī)劃與設計</p><p><b>　　2、1 設計原則

18、</b></p><p>　　“公司項目”系統(tǒng)的基本建設原則為：“實用性、可靠性、安全性、科學性、先進性、規(guī)范性”。同時本著“總體規(guī)劃、分步實施，滿足應用，適當超前，盡量利舊”的指導思想進行公司信息化建設。</p><p>　　為了使所設計的方案盡可能滿足公司實際的需求，使建成的網絡在一定的時間內正常、高效地運轉，方案應符合以下原則：</p><p>　

19、　（1）實用性：網絡系統(tǒng)完成系統(tǒng)連接，實現(xiàn)信息設備及資源共享，為辦公、管理服務； </p><p>　　（2）開放性：保證系統(tǒng)的開放性，以便得到眾多廠商產品和技術支持以及與其它網絡互連；</p><p>　?。?）靈活性：硬件及軟件的設計充分考慮系統(tǒng)的靈活性，均應采用模塊化的結構設計；</p><p>　　（4）經濟性：網絡系統(tǒng)軟硬件的選擇應具有較好的性能價格比。&

20、lt;/p><p>　?。?）科學性：充分論證，統(tǒng)籌規(guī)劃，精心設計，認真施工，保證網絡系統(tǒng)層次和結構科學、合理；</p><p>　?。?）安全性：系統(tǒng)應具有多種手段防止各種形式與途徑的非法入侵和機密信息的泄露，并具有可靠的防病毒措施，因此需要充分重視網絡系統(tǒng)和信息的安全，采取相應的技術措施和管理機制，保證網絡系統(tǒng)的安全；</p><p>　?。?）可靠性：網絡系統(tǒng)作為

21、其它應用系統(tǒng)的基礎，必須可靠連續(xù)地運行。系統(tǒng)支持容錯功能，管理維護方便，能滿足長時間、重負荷運行要求，因此需要選用穩(wěn)定可靠的設備、采用成熟的技術、選擇有經驗的系統(tǒng)集成商，確保網絡系統(tǒng)建設的可靠性；</p><p>　?。?）先進性：在網絡系統(tǒng)的設計上，應保證所采用的產品和技術三年相對先進、五年不落后、十年可用，因此需要采用成熟的先進技術，兼顧未來的發(fā)展趨勢，既量力而行，又適當超前，留有發(fā)展余地；</p>

22、;<p>　　（9）可擴展性：隨著應用的陸續(xù)開發(fā)和業(yè)務量、數據量的不斷增大，現(xiàn)有系統(tǒng)應能夠在進行很少的修改下進行擴充，因此系統(tǒng)的設計應充分考慮到以后系統(tǒng)的可升級性；</p><p>　　2、2 技術方案設計</p><p>　　公司總體網絡采用基于樹型的雙星型結構，使之具有鏈路冗余特性；在一臺交換機出現(xiàn)故障的時候保障網絡的正常運行；整體網絡規(guī)劃為核心及服務器群區(qū)域，內部骨干區(qū)

23、域（匯聚鏈路），接入層上聯(lián)區(qū)域，客戶端接入區(qū)域，核心交換機位于集團總部機房；采用三層（接入層、匯聚層和核心層）結構。</p><p>　　網絡主干采用先進的千兆以太網技術的方式連接，實現(xiàn)百兆到桌面，可最大限度地提高主干的數據傳輸速率，適應網絡不斷擴展的要求。</p><p>　　根據公司需求，選用的是cisco企業(yè)級的WS-C3750G-24TS-S1U千兆核心交換機作為本公司總部機房的核

24、心交換；三層交換機作為不同部門Vlan以及各服務器Vlan的網關；并且用光纖連接到邊界路由器。各部門的辦公網是以星型的方式千兆直接連接到各匯聚機房的匯聚交換機上后，由匯聚交換機通過千兆接到核心交換機；每個辦公網劃分不同的vlan。</p><p><b>　　2、3 網絡拓撲圖</b></p><p>　　根據公司需求以及規(guī)模不大，在設計上將它組織為核心層、匯聚層、接

25、入層分別考慮。接入層節(jié)點直接連接公司用戶計算機，是一個部門的交換機；匯聚層交換機節(jié)點可以連接接入層節(jié)點，是建筑物內部連接多個部門交換機的總交換機；核心層交換機節(jié)點連接多個匯聚層交換機，它是企業(yè)總交換機的核心網絡設備。</p><p>　　本方案采用典型的三層網絡拓撲結構：接入層、匯聚層、核心層。在上面的拓撲結構圖中，企業(yè)主要有行政、財務、研發(fā)、營銷、人事、生產五個部門接入點。研發(fā)、營銷、人事、生產五個部門距離超過

26、100，因此通過千兆光纖鏈路接入到網絡中心的匯聚交換機上。核心交換接通過連接Cisco WS-C3750G-24TS-S1U路由器接入到外部因特網。拓撲圖如圖1所示：</p><p><b>　　圖1 網絡拓撲圖</b></p><p>　　2、4 IP和VLAN規(guī)劃</p><p>　　劃分VLAN的目的：一是提高網絡安全性，不同VLAN的

27、數據不能自由交流，需要接受第三層的檢驗，因此，在一定程度上加強了虛擬網絡間的隔離，有效防止外部用戶入侵，提高了安全性。二是隔離廣播信息，劃分VLAN后，廣播域縮小，有利于改善網絡性能，能夠將廣播風暴控制在一個VLAN內部，同時使網絡管理趨于簡單。三是增強網絡應用的靈活性，VLAN是在一個有多臺交換機的局域網中統(tǒng)一設定的，這使得用戶可以不受所連交換機的限制，不論用戶節(jié)點移動到局域網中哪一臺交換機上，只要仍屬于原來的虛擬網，則應用環(huán)境沒有任

28、何改變。在劃分VLAN時，要考慮VLAN對于網絡流量的影響，單個VLAN不宜過大。</p><p>　　根據公司各部門職能情況不同，把交換模塊劃分為不同的VLAN，減少了部門間廣播沖突，提高了傳輸效率。每個部門劃分為一個VLAN，各部門分別屬于不同的網段，在邏輯上被隔離，各部門間的通訊通過對核心層和匯聚層交換機進行配置來實現(xiàn)。VLAN及IP地址分配情況如下表1所示：</p><p>　　表

29、1 IP、vlan規(guī)劃表</p><p><b>　　第三章 設備選型</b></p><p>　　3、1 設備選型原則</p><p>　?。?）代表目前網絡系統(tǒng)設備的先進水平：</p><p>　　在網絡和主機方面，應支持符合國際標準和工業(yè)標準的相關接口，能夠與各接入單元網絡、ISP網絡以及其他相關系統(tǒng)實現(xiàn)可靠的互

30、連；在網絡協(xié)議的選擇方面，選擇廣泛應用的標準的通信協(xié)議，同時支持局域網內部的其他協(xié)議。 </p><p>　?。?）具備較強的安全性：</p><p>　　網絡在設計和管理上必須提供嚴格的安全保密技術，實現(xiàn)不同級別的安全認證設置，并建立高效的防火墻系統(tǒng)來防止外界可能的攻擊和病毒的破壞與影響。在確保系統(tǒng)網絡環(huán)境中單獨設備穩(wěn)定、可靠運行的前提下，還需要考慮網絡整體的容錯能力、安全性及穩(wěn)定性，使

31、系統(tǒng)出現(xiàn)問題和故障時能迅速地修復。</p><p>　?。?）具備優(yōu)良的可擴充性和升級能力：</p><p>　　在網絡和主機設備的選擇方面，應具有良好的可擴充能力，可以根據信息網絡臨時需要對系統(tǒng)進行必要的調整、擴充，包括存儲容量和網絡規(guī)模等方面的擴充。在網絡全面升級換代的情況下，能夠最大限度利用現(xiàn)有投資</p><p>　?。?）具備優(yōu)良的性能價格比：</p

32、><p>　　根據現(xiàn)在的需求和可以預見的需求增長情況設計網絡，不追求空洞的技術先進性，避免追求高檔和最新技術花費的巨大代價。</p><p>　　3、2 網絡設備選型</p><p>　　CISCO是網絡業(yè)界第一品牌和最大的研發(fā)廠家，是項目可持續(xù)應用的投資保護和規(guī)避廠家風險的首選。因此采用的是業(yè)界標準的強健穩(wěn)定的CISCO設備，更具有廣泛的協(xié)議支持，思科IOS取得廣泛成

33、功的關鍵在于，它的標準化設計中整合了創(chuàng)新網絡技術、關鍵業(yè)務IP服務和首屈一指的平臺支持能力。接入交換機可采用相對低一檔的產品。</p><p>　　基于以上原則，我們?yōu)閤xxx公司網絡建設選用CISCO公司的系列產品，以確保網絡實用與性價比。設備選型如下：</p><p><b>　　核心交換機</b></p><p>　　核心層的功能主要是實

34、現(xiàn)骨干網絡之間的優(yōu)化傳輸，負責整個網絡的內部數據交換、網絡的功能控制。核心層設計任務的重點是可靠性和高速傳輸，需要提供高速度、低時延的數據鏈路。通過提供冗余鏈路，實現(xiàn)高可靠、高可用的骨干，是局域網互連的關鍵。其主要任務是提供高性能、高安全性的核心數據交換、QoS。為整個公司寬帶辦公網提供交換和路由的核心，完成各個部分數據流的中央匯集和分流；為各個匯聚層和接入層交換機提供上聯(lián)；同時提供了各個服務器的可靠接入，為數據中心的服務器提供千兆高速

35、連接。核心層設備需要高性能的三層交換機；并且非常可靠，實現(xiàn)不間斷工作。</p><p>　　基于核心交換機的功能及作用，根據用戶的實際需求，本方案對公司網絡系統(tǒng)中的核心層采用的是CISCO的企業(yè)級核心交換機WS-C3750G-24TS-S1U，它的性能、指標等完全可以滿足上述的各項要求。</p><p>　　企業(yè)級核心路由交換機WS-C3560-48TS-S1 U的性能特性及技術指標如下表

36、2：</p><p>　　表2 核心交換機參數表</p><p><b>　　匯聚層交換機</b></p><p>　　匯聚層主要功能是連接接入層節(jié)點和核心層中心；負責為接入層提供數據的傳輸、匯聚、分發(fā)處理，以實現(xiàn)通信量的收斂，提高網絡中聚合點的效率，同時減少核心層設備路由路徑的數量，其作用主要是隔離拓撲結構的變化，控制路由表的大小，收斂網絡

37、流量。匯聚層交換機還負責本區(qū)域的數據交換。</p><p>　　因此匯聚層的交換機部署時必須考慮交換機必須具有足夠的可靠性和冗余度；還必須具有高處理能力，以便完成網絡數據會聚、轉發(fā)處理；具有靈活、優(yōu)化的網絡路由處理能力，實現(xiàn)網絡匯聚的優(yōu)化匯聚層交換機需要較高的性能和較豐富功能；提高水平的可用性，可擴展性，服務質量，安全性和可以改進網絡運營的管理能力。 </p><p>　　根據匯聚層在整個

38、網絡中的作用以及用戶的實際需求，本方案中匯聚層共設計了2個節(jié)點：行政樓、辦公大樓；匯聚層網絡設備全部采用WS-C2960S-48TS-L；匯聚路由交換機CISCO WS-C2960S-48TS-L的性能特性及技術指標如下表3：</p><p>　　表3 匯聚層交換機參數表</p><p><b>　　接入層交換機</b></p><p>　　

39、接入層交換機作為二層交換網絡設備，提供功能工作站等設備的網絡接入，用來支撐客戶端機器對服務器的訪問。接入層在整個網絡中接入交換機的數據最多，具有即插即用、可堆疊特性的設備。對于公司接入層交換機要求，一是價格要合理；二是可管理性號，易于使用維護；三是穩(wěn)定性要好；也需要提供了快速以太網和千兆位以太網連接，同樣要為用戶提供千兆的光纖骨干和高密度度的接入端口。</p><p>　　根據接入層處在網絡系統(tǒng)中所起的作用以及用

40、戶的實際需求，本方案中接入層采用的是華為S5700-24TP-SI(AC)；其性能特性及技術指標情況如下表4：</p><p>　　表4 接入層交換機參數表</p><p><b>　　邊界路由器</b></p><p>　　邊界路由器作為連接內部局域網和外部Internet的關鍵路由，保證內和外網的隔離，內網用戶通過連接各個交換機，匯總到邊

41、界路由器后，通過 IP 地址轉換功能，將內網的私有地址轉換成公網地址訪問Internet，以使企業(yè)網絡內外網互相獨立，達到完全的物理隔離的目的。邊界路由器它需要具有高傳輸速率和支持較多的網絡協(xié)議。</p><p>　　根據邊界路由器功能和公司需求，邊界路由器采用CISCO 2911/K9，其性能特性及技術指標情況如下表5：</p><p>　　表5 邊界路由器參數表</p>

42、<p><b>　　防火墻</b></p><p>　　防火墻位于外部網與核心交換機之間硬件設備，監(jiān)視了內部網絡和外網之間的活動，保證了內部網絡地安全，起到對進出信息分析過濾的作用，增強機構內部網絡的安全性。因此在內部網與外部網之間，設置防火墻以實現(xiàn)公司內外網的隔離與訪問控制。是在網絡連接之間建立一個安全控制點，通過控制經過防火墻的數據流，實現(xiàn)對進出內部網絡的服務和訪問的審計和控

43、制。因此要根據吞吐量和過濾帶寬等多方面考慮。</p><p>　　根據防火墻功能以及公司需求，選擇采用CISCO ASA5510-K8 防火墻，其性能特性及技術指標情況如下表6：</p><p>　　表6 防火墻參數表</p><p>　　第四章 綜合布線系統(tǒng)設計</p><p>　　4、1 布線系統(tǒng)總體設計</p><

44、p>　　公司有3棟建筑，從總部機房采用四芯多模光纖與其他兩棟建筑的設備間相連，從設備間連到工作站采用四芯多模光纖相連，距離在90米以內采用五類非屏蔽雙絞線相連接，超過90米用光纖連接。公司選用一條20M光纖寬帶接入鏈路，使公司實現(xiàn)與外界的信息交換和網絡通信。公司統(tǒng)一由總部機房的一個出口訪問Internet。在服務器和核心交換機間使用UTP電纜來將服務器連接到核心交換機。</p><p>　　4、2詳細子系統(tǒng)

45、布線設計</p><p>　?。?）建筑群子系統(tǒng)設計：</p><p>　　建筑群子系統(tǒng)是將一棟建筑物內的電纜延伸到建筑群中的另外一些建筑物內的通信設備和裝置上，采用光纜布線是目前主要的建筑間布線方式，建筑間的主干光纜采用四芯多模光纖。</p><p>　　（2）設備間子系統(tǒng)設計：</p><p>　　由設備間中的電纜、連接器和相關支撐硬件組

46、成，把公共系統(tǒng)（通訊系統(tǒng)，計算機系統(tǒng)和建筑自動化系統(tǒng)等）設備的各種不同設備互連起來。使用12芯單模室內多模光纖將其連接。</p><p>　　（3）干線子系統(tǒng)設計：</p><p>　　由連接主設備間與各個治理子系統(tǒng)的室內干線電纜構成。數據主要從網絡配線間向各個子配線間敷設，距離超過100M用12芯單模室內多模光纖，距離90M內用超五類屏蔽雙絞線。</p><p>

47、　?。?）管理子系統(tǒng)設計：</p><p>　　由配線間構成；由各種規(guī)格的配線架實現(xiàn)水平、垂直主干線纜的端接及分配；由各種規(guī)格的跳線實現(xiàn)布線系統(tǒng)與各種網絡、通訊設備的連接，并提供靈活方便的線路管理能力。對于信息點不是很多，使用功能近似的樓層，為便于治理，僅設置一個共用的子配線間；對于信息點較多的樓層則在該層設立配線間。</p><p><b>　?。?）水平子系統(tǒng)：</b&

48、gt;</p><p>　　主要是實現(xiàn)信息插座和管理子系統(tǒng)，即是與配線架的連接。水平子系統(tǒng)為星形拓撲。在水平子系統(tǒng)中采用超五類非屏蔽雙絞線。水平雙絞線的最大長度均不超過90m。</p><p>　?。?）工作區(qū)子系統(tǒng)：</p><p>　　由各個單元區(qū)域構成，是計算機、電話和信息插座的連接部分，包括連接跳線和信息插座。信息插座的模塊采用類RJ-45模塊；線纜采用超五

49、類雙絞線；水晶頭采用RJ-45標準水晶頭。</p><p>　　第五章 網絡安全設計</p><p>　　因特網存在連接。為了保障網絡系統(tǒng)的運行安全，保護集團的信息安全，必須進行網絡安全方面的規(guī)劃和實施。一個網絡的安全，首先要有嚴格和有效執(zhí)行的管理制度，公司需要制定嚴格的網絡安全管理策略，并有效的執(zhí)行；必須具有一定的技術手段來保障網絡的安全。技術和管理手段相結合實施，才能夠產生良好的效果。

50、通過以下幾個技術方面的實施，可以在一定程度上保障網絡的安全：</p><p>　?。?） 配置設備的口令</p><p>　　配置設備的口令，以防止非授權的人員更改網絡系統(tǒng)的配置，要為所有的網絡設備設置口令，要為每一臺設備配置CONSOLE口令， VTY口令，特權口令等。在口令方面，需要制定管理制度并嚴格執(zhí)行。口令管理制度包括口令的設置，保管，更改，口令的強度等內容。</p>

51、<p>　?。?）配置VTP域的認證</p><p>　　進行VTP域的認證，能夠保證局域網的VLAN等的安全。設置了VTP域認證，防止新增加的設備自動加入到已存在的管理域中，保證了局域網的運行安全，可以避免因為VLAN被錯誤或者惡意的增加、刪除造成的運行故障。</p><p><b>　?。?）內外網隔離</b></p><p>

52、　　防火墻是一種網絡安全保障手段，是網絡通信時執(zhí)行的一種訪問控制尺度，其主要目標就是通過控制入、出一個網絡的權限，并迫使所有的連接都經過這樣的檢查，防止一個需要保護的網絡遭外界因素的干擾和破壞。在邏輯上，有效地監(jiān)視了內部網絡和外網之間的活動，保證了內部網絡地安全；在物理實現(xiàn)上，防火墻是位于外部網與核心交換機之間硬件設備，起到對進出信息分析過濾的作用，增強機構內部網絡的安全性。因此在內部網與外部網之間，設置防火墻以實現(xiàn)公司內外網的隔離與訪

53、問控制。 </p><p>　　服務器系統(tǒng)安全的實現(xiàn)，與網絡系統(tǒng)的安全策略緊密相關。公司局域網系統(tǒng)分為內網和外網，采用防火墻隔離，內網、外網不能直接互相訪問。內網、外網之間設置非軍事區(qū)，所有內網、外網之間的訪問全部通過防火墻實現(xiàn)?；景l(fā)上原則，公司的網絡應用系統(tǒng)服務器安全。Web、ftp等服務器設置在非軍事區(qū)，以實現(xiàn)內網和外網的訪問。</p><p><b>　?。?）網絡病毒防

54、范</b></p><p>　　網絡防病毒系統(tǒng)要求做到在整個內部網杜絕病毒的感染、傳播和發(fā)作；要求提供多種防病毒軟件的安裝方式；網絡管理員可遠程監(jiān)控客戶機，發(fā)現(xiàn)病毒可以及時得到通知；網絡管理員可以對網絡中每臺計算機進行防病毒控制和管理；所有客戶端和服務器具有統(tǒng)一的殺毒版本。該用戶選擇了瑞星公司的殺毒軟件網絡版，以此為基礎作為網絡防病毒解決方案，采用分級管理、多重防護的管理架構。</p>

55、<p>　　第六章 主要設備配置</p><p>　　6、1邊界路由NAT配置</p><p>　　根據公司規(guī)模的需求，申請了202.103.160.0-7/29的公網地址，其中202.103.160.1/29作為web服務器的映射地址；202.103.160.2-4/29作為內網NAT轉換的公網地址；202.103.160.5-6/29作為邊界路由器連接ISP的管理地址。NAT

56、配置如下：</p><p>　　# ip route 0.0.0.0 0.0.0.0 202.103.160.6 //配置到外網的缺省路由</p><p>　　# access-list 1 permit 192.168.0.0 0.0.0.255 //配置允許轉換的內部地址</p><p>　　# ip nat pool nat01 20

57、2.103.160.2 202.103.160.4 netmask 255.255.255.248 //配置NAT地址池</p><p>　　# ip nat inside source list 1 pool nat01 overload //配置動態(tài)NAT映射，將NAT地址池和ACL綁定</p><p>　　# ip nat inside source static 172.16

58、.30.2 202.103.160.1 //配置公司WEB服務器靜態(tài)轉換對外網訪問</p><p>　　# interface Serial0/0/0</p><p>　　# ip address 202.103.160.5 255.255.255.248</p><p>　　# ip nat outside //配置

59、NAT外部接口</p><p>　　# interface FastEthernet0/1</p><p>　　# ip address 10.10.10.2 255.255.255.0</p><p>　　# ip nat inside //配置NAT內部接口</p><p>　　6、2核心

60、交換機配置</p><p>　?。?）在核心交換機配置VLAN，并且給VLAN配IP，如下例：</p><p>　　# interfece vlan 10</p><p>　　# ip address 192.168.10.254 255.255.255.0</p><p>　?。?）在核心交換機配置DHCP，如下例：</p>

61、<p>　　# ip dhcp pool vlan10 //設置vlan10地址池</p><p>　　# network 192.168.10.0 255.255.255.0 //配置可分配的子網</p><p>　　# default-router 192.168.10.254 //設置默認網關</p><p>　　# i

62、p dhcp excluded-address 192.168.10.254 //設置保留不分配地址</p><p>　?。?）在核心交換機上配置ACL，控制部門訪問權限；如下例：</p><p>　　要求：財務部除了行政部門，不能給其他部門訪問</p><p>　　# access-list 1 deny 192.168.30.0 0.0.0.255 //拒

63、絕研發(fā)部</p><p>　　# access-list 1 deny 192.168.40.0 0.0.0.255 //拒絕人事部</p><p>　　# access-list 1 deny 192.168.50.0 0.0.0.255 //拒絕營銷部</p><p>　　# access-list 1 deny 192.168.60.0 0.0.0.255

64、 //拒絕生產部</p><p>　　# access-list 1 permit any //允許所有</p><p>　　# int vlan 20</p><p>　　# ip access-group 1 in //應用ACL</p><p>　?。?）在核心交換機上配置VTP服務器端，其他交換機設置為客戶端：</p>

65、;<p>　　# vtp mode server //在核心交換機配置作為VTP服務器端</p><p>　　# vtp clinet //在匯聚交換機配置作為VTP客戶端</p><p>　　# vtp domain vtpgxcoco // 在所有交換機設置vtp域名</p><p>　　第七章 材料清單和預算</p>&

66、lt;p>　　（1）根據本次公司布線規(guī)劃設計，綜合布線材料清單如下表7：</p><p>　　表7 主要布線材料清單和預算表</p><p>　　（2）根據本次公司網絡規(guī)劃設計中設備的選擇，公司的網絡設備清單如下表8：</p><p>　　表 8 主要網絡設備清單與預算表</p><p><b>　　總結</b>

67、;</p><p>　　本文根據一個行業(yè)的特定要求做的一個企業(yè)網絡解決方案。其中應用了現(xiàn)今企業(yè)網絡中較為常用的主流技術。網絡整體采用的是Cisco三層架構，這個結構的優(yōu)點是穩(wěn)定性好、設備負載均衡、易擴展，并且網絡故障排查也比較容易。在本方案中我們用vlan、NAT和ACL技術作為內部網絡的安全策略，主要是防止公司內部的非授權訪問。而在內部網絡與Internet之間我們則采用硬件防火墻將兩部分網絡隔離開。組建一個高

68、速、寬帶、穩(wěn)定、可靠，且能融合安全與保密等全新需求的內外網絡系統(tǒng)，是當前企業(yè)網絡發(fā)展的趨勢。在網絡安全方面，所以在本方案中我們用vlan技術和ACL技術作為內部網絡的安全策略，主要是防止公司內部的非授權訪問。而在內部網絡與Internet之間我們則采用硬件防火墻將兩部分網絡隔離開，設置策略只允許合法的數據進出，各種網絡安全技術相結合，使得網絡更安全可靠。</p><p>　　通過這次畢業(yè)設計，使我更加扎實的掌握了

69、網絡方面的知識，學到了很多書本上沒有的知識，給我很多專業(yè)知識以及專業(yè)技能上的提升，讓我不斷發(fā)現(xiàn)錯誤，不斷改正，不斷領悟，不斷獲取。同時也暴露出了我在這方面的知識欠缺和經驗不足。</p><p>　　在設計過程中雖然遇到了很多問題，但是經過自己反復思考檢查、查閱大量有關資料、與同學交流、請教老師等方式，讓自己終于找出了原因所在，所有問題都迎刃而解，讓這次課程設計終于順利完成了。同時，這次設計讓我感觸很深，使我對抽象

70、的理論有了具體的認識，讓我懂得了怎樣去設計一個企業(yè)的網絡系統(tǒng)。</p><p><b>　　致謝</b></p><p>　　大學生活在這個時候即將劃上一個句號。但是對于我的人生道路來說，這僅僅是一個逗號，我將面對的是又一次征程的開始。隨著論文的完成，代表著三年的大學生活也即將結束。三年同窗的友情很難忘，你們與我共同走過了人生中不平凡的道路，給我留下了值得珍藏的美好記

71、憶。</p><p>　　在此，我要特別感謝指導教師。本論文是在他的悉心指導下完成的，老師認真負責的工作態(tài)度，嚴謹的治學精神和精深的理論水平都使我受益匪淺。他無論在理論上還是在實踐中，都給予我很大的幫助，使我專業(yè)技能得到很大提高，這對于我以后的工作和學習都有益處。論文完成之際，特別向指導x老師表示衷心的感謝和崇高的敬意，謝謝他悉心地輔導，使得我得以順利的完成畢業(yè)設計的工作，同時也要感謝其他幫助過我的老師和同學，他

72、們在我成長過程中給予了我很大的幫助。</p><p>　　最后，我衷心感謝信息學院所有支持幫助過我的老師，謝謝你們多年來的關心和愛護，也祝愿老師們在今后的科研工作中身體健康，工作順利!</p><p><b>　　參考文獻</b></p><p>　　[1]侯中俊.局域網組網技術[M].北京：人民郵電出版社，2005</p>&l

73、t;p>　　[2]于富強，李青茹.網絡工程實踐指南[M].北京：北京大學出版社，2010</p><p>　　[3]遲恩宇，劉天飛.網絡安全與防護[M] .北京：電子工業(yè)出版社，2009</p><p>　　[4]周有丹，梁錦銳，易著梁.企業(yè)網絡組建與應用[M].北京：科學出版社，2010</p><p>　　[5]王公儒.綜合布線工程實用技術[M].北京：中

74、國鐵道出版社，2011</p><p>　　[6]吳獻文.計算機網絡安全應用教程[M].北京：人民郵電出版社，2011</p><p>　　[7]梁廣民，王隆杰.網絡設備互聯(lián)技術[M] .北京：清華大學出版社，2006</p><p>　　[8]顏謙和.交換機與路由器技術[M] .北京：清華大學出版社 2011.01</p><p>　　[9