蓝色.docx
- 文档编号:4992392
- 上传时间:2022-12-12
- 格式:DOCX
- 页数:32
- 大小:1.09MB
蓝色.docx
《蓝色.docx》由会员分享,可在线阅读,更多相关《蓝色.docx(32页珍藏版)》请在冰豆网上搜索。
蓝色
目录
第一章需求分析-2-
1.1小型企业网络特点与要求…………………………………………………-2-
1.2小型企业网的组建背景……………………………………………………-2-
第二章典型小企业组网实例-4-
2.1网络技术的选择-4-
2.2网络结构设计-5-
2.3网络设备的选择-7-
2.4网段及VLAN的划分-9-
2.5设备的配置-9-
2.6服务器的配置-16-
第三章网络布局和综合布线-32-
3.1.网络布局的具体实施要求-32-
3.2.布线系统的规划与设计-32-
3.3.网络布局的规划与设计-33-
第四章局域网的安全控制与病毒防治-36-
4.1局域网安全威胁分析-36-
4.2局域网安全控制与病毒防治策略-37-
总结-41-
参考文献-42-
第一章需求分析
1.1小型企业网络特点与要求
小企业局域网通常规模较小,结构相对简单,对性能的要求则因应用的不同而差别较大。
许多小企业网络技术人员较少,因而对网络的依赖性很高,要求网络尽可能简单、可靠、易用,降低网络的使用和维护成本、提高产品的性能价格比就显得尤为重要。
基于以上特点,应遵循下列设计原则:
1.把握好技术先进性与应用简易性之间的平衡。
2.具有良好的升级扩展能力。
3.具有较高的可靠性和安全性。
4.产品功能与实际应用需求相匹配。
80%的小企业用户通常只用到局域网20%的功能。
精简功能设计的产品不但可以在满足大多数需求的情况下有效降低成本,而且还能够提高系统的稳定性和易维护性。
5.尽可能选择成熟、标准化的技术和产品。
恰当运用以太网的不同标准和功能,以太网技术能够在双绞线、多模光纤、单模光纤等介质上传输数据,可以非常简单地升级到百兆、千兆的速率,而且具有很高的稳定性和可管理性。
以太网提供了多种标准和功能。
比如10Mbps、100Mbps、1000Mbps不同速率的标准,双绞线、光纤等不同介质的标准,以及网络管理、流量控制、VLAN、优先级、链路聚合等功能性。
1.2小型企业网的组建背景
现今的计算机网络技术飞速发展,使用网络进行信息传输已成为社会运行的一种基本方式。
随着办公信息化、自动化的需求,各单位为提高办公效率,促进信息交流,适应现代化办公的要求,需要组建企业办公局域网。
企业网络的建设是企业向信息化发展的必然选择,企业网网络系统是一个非常庞大而复杂的系统,它不仅为现代化企业综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能提供多种应用服务,使信息能及时、准确地传送给各个系统。
而企业网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的,因此本毕业设计课题将从各个方面对企业局域网建设提出了规划的方案,以期对企业局域网的建设做出贡献。
第二章典型小企业组网实例
每个公司都有机密文件,为保障这些文件不被窃取,网络组建的主要要求:
每个部门之间不能相互访问但可以访问服务器组和打印机
环境拓扑图
2.1网络技术的选择
在各种局域网技术中,以太网以其造价低、技术成熟、产品丰富、可靠性高、可扩展性好、传输介质丰富和易于管理等有点而成为建设局域网的主流技术。
以太网使用CSMA/CD协议,它是一种基于冲突检测机制的网络协议。
拓扑结构需求分析
公司共8个办公室处于同一个楼面。
针对在技术规格上的特点,我们采用了交换机用星型的拓扑结构,这种拓扑结构的优点是:
1容易实现:
它所采用的传输介质一般都是采用通用的双绞线,这种传输介质相对来说比较便宜,如目前正品五类双绞线每米也仅1.5元左右,而同轴电缆最便宜的也要2.00元左右一米,光缆那更不用说了。
这种拓扑结构主要应用于IEEE802.2、IEEE802.3标准的以太局域网中。
2节点扩展、移动方便:
节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可,而要移动一个节点只需要把相应节点设备移到新节点即可,而不会像环型网络那样“牵其一而动全局”。
3便于维护:
采用星型结构,网络故障将先以层为单位被定位在不同的交换层面上,随后在被定位的层面上很快就可以找出发生故障的交换机或节点,这种方法把复杂的维护问题简单化。
4采用广播信息传送方式:
任何一个节点发送信息在整个网中的节点都可以收到,这在网络方面存在一定的隐患,但这在局域网中使用影响不大。
5网络传输数据快:
这一点可以从目前最新的1000Mbps到10G以太网接入速度可以看出。
2.2网络结构设计
无论企业规模大小,企业的网络层次都应采取核心层(网络的高速交换主干)、汇聚层(提供基于策略的连接)、接入层(将工作站接入网络)三个网络层次的设计理念。
使用层次清晰的网络模式,一是方便日后的升级,二是可以减少维护成本。
三层交换与VLAN结合
三层交换技术,也称多层交换技术或IP交换技术,是相对于二层交换技术提出的,因工作在OSI七层网络标准模型中的第三层而得名。
传统的路由器也工作在第三层,它可以处理大量的跨越IP子网的数据包,但是它的转发效率比较低,而三层交换技术在网络标准模型中的第三层实现了分组的高速转发,效率大大提高。
简单地说,三层交换技术就是“二层交换技术+路由转发”。
它的出现,解决了二层交换技术不能处理不同IP子网之间的数据交换的缺点,又解决了传统路由器低速、复杂所造成的网络瓶颈问题。
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个不同的网段,从而实现虚拟工作组的技术。
它不受网络用户的物理位置限制,而是根据用户需求进行网络分段。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1q协议标准草案。
不同VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此,使用VLAN技术,结合数据链路层和网络层的交换设备,可搭建安全可靠的网络。
划分VLAN的目的:
一是提高网络安全性,不同VLAN的数据不能自由交流,需要接受第三层的检验,因此,在一定程度上加强了虚网间的隔离,有效防止外部用户入侵,提高了安全性。
二是隔离广播信息,划分VLAN后,广播域缩小,有利于改善网络性能,能够将广播风暴控制在一个VLAN内部,同时使网络管理趋于简单。
三是增强网络应用的灵活性,VLAN是在一个有多台交换机的局域网中统一设定的,这使得用户可以不受所连交换机的限制,不论用户节点移动到局域网中哪一台交换机上,只要仍属于原来的虚网,则应用环境没有任何改变。
在划分VLAN时,要考虑VLAN对于网络流量的影响,单个VLAN不宜过大。
层次化架构三层网络
三层网络架构采用层次化模型设计,即将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。
三层网络架构设计的网络有三个层次:
核心层(网络的高速交换主干)、汇聚层(提供基于策略的连接)、接入层(将工作站接入网络)。
核心层
核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。
核心层应该具有如下几个特性:
可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。
在核心层中,应该采用高带宽的千兆以上交换机。
因为核心层是网络的枢纽中心,重要性突出。
核心层设备采用双机冗余热备份是非常必要的,也可以使用负载均衡功能,来改善网络性能。
汇聚层
汇聚层是网络接入层和核心层的“中介”,就是在工作站接入核心层前先做汇聚,以减轻核心层设备的负荷。
汇聚层具有实施策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。
在汇聚层中,应该采用支持三层交换技术和VLAN的交换机,以达到网络隔离和分段的目的。
接入层
接入层向本地网段提供工作站接入。
在接入层中,减少同一网段的工作站数量,能够向工作组提供高速带宽。
接入层可以选择不支持VLAN和三层交换技术的普通交换机
2.3网络设备的选择
核心层:
思科的CiscoCatalyst3560G-24TS--24-2全千兆三层交换机
CiscoCatalyst3560系列交换机是一个采用快速以太网配置的固定配置、企业级、IEEE802.3af和思科预标准以太网电源(PoE)的交换机,提供了可用性、安全性和服务质量(QoS)功能,改进了网络运营。
Catalyst3560系列是适用于小型企业布线室或分支机构环境的理想接入层交换机,这些环境将其LAN基础设施用于部署全新产品和应用,如IP电话、无线接入点、视频监视、建筑物管理系统和远程视频信息亭。
客户可以部署网络范围的智能服务,如高级QoS、速率限制、访问控制列表、组播管理和高性能IP路由,并保持传统LAN交换的简便性。
内嵌在CiscoCatalyst3560系列交换机中的思科集群管理套件(CMS)让用户可以利用任何一个标准的Web浏览器,同时配置多个Catalyst桌面交换机并对其排障。
CiscoCMS软件提供了配置向导,它可以大幅度简化融合网络和智能化网络服务的部署。
Catalyst3560系列为采用思科IP电话和CiscoAironet无线LAN接入点,以及任何IEEE802.3af兼容终端设备的部署,提供了较低的总体拥有成本(TCO)。
以太网电源使客户无需再为每台支持PoE的设备提供墙壁电源,免除了在IP电话和无线LAN部署中所必不可少的额外布线。
Catalyst356024端口版本可以以支持24个15.4W的同步全供电PoE端口,从而获得了最佳上电设备支持。
通过采用CiscoCatalyst智能电源管理,48端口版本可支持24个15.4W端口、48个7.7W端口,或它们的任意组合。
当Catalyst3560交换机与思科冗余电源系统675(RPS675)共用时,可提供针对内部电源故障的无缝保护,而不间断电源(UPS)系统可防范电源中断情况,从而使融合式语音和数据网络实现最高电源可用性。
汇聚层换机选择:
Catalyst2950-24交换机
CiscoCatalyst2950系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列,提供了线速快速以太网和千兆位以太网连接。
这是一款最廉价的Cisco交换产品系列,为中型网络和城域接入应用提供了智能服务。
作为思科最为廉价的交换产品系列,CiscoCatalyst2950系列在网络或城域接入边缘实现了智能服务。
主要的中型企业优势
在布线室配线间中实现了智能的服务质量(QoS)、限速、访问控制列表(ACL)和多播服务
在多种介质上提供了升级到千兆位以太网的强大路径
凭借内置Cisco集群管理套件可出色地管理并轻松地配置第2-4层服务
与CiscoCatalyst3550系列集中汇聚交换机相结合,用于IP路由至网络核心
主要的城域接入优势
通过高级QoS、限速、语音及多播特性提供广泛的服务
通过生成树协议改进和访问控制参数(ACP)来提供服务可用性和安全性
通过CiscoIE2100系列智能引擎支持和简单网络管理协议(SNMP)来实现服务管理
思科PIX-501防火墙
PIX501防火墙是一种针对特定需求而设计的安全设备,可以在单独的一个设备中提供丰富的安全服务,包括状态监测防火墙、虚拟专用网(VPN)和入侵防范等。
还可以利用其基于标准的互联网密钥交换(IKE)/IP安全(IPSec)VPN功能,确保远程办公机构通过互联网与企业网络之间进行的所有网络通信的安全,故此适合于小型办公室网络或者大型网络中的局部网络使用。
2.4网段及VLAN的划分
建筑物
部门
所属VLAN
IP地址
办公楼
经理办公室
Vlan11
192.168.11.0/24
财务部
Vlan12
192.168.12.0/24
技术部
Vlan13
192.168.13.0/24
销售部
Vlan14
192.168.14.0/24
人事部
Vlan15
192.168.15.0/24
服务器组
Vlan16
192.168.16.0/24
共享打印机
Vlan17
192.168.17.0/24
2.5设备的配置
1.核心层交换机vlan的配置结果如下:
配置Switch3交换机
设置交换机主机名
Switch>enable
Switch#configuret
Switch(config)#hostnameS3
S3(config)#exit
创建VTP管理域,并设置为server模式
S3#vlandatabase
S3(vlan)#vtpserver
S3(vlan)#exit
创建VLAN,配置VLAN名,
S3#vlandatabase
配置经理办公室VLAN
S3(vlan)#vlan11namejinglibangongshi
配置财务处VLAN
S3(vlan)#vlan12namecaiwuchu
配置技术部VLAN
S3(vlan)#vlan13namejishubu
配置销售部VLAN
S3(vlan)#vlan14namexiaoshoubu
配置人事部VLAN
S3#(vlan)#vlan15namerenshibu
配置服务器VLAN
S3(vlan)#vlan16namefuwuqizu
配置共享打印机VLAN
S3(vlan)#vlan17namegonxiangdayinji
将端口F0/1,F0/2设置为VLAN中继模式
F0/1进入端口配置模式
S3#conft
S3(config)#interfacefastethernet0/1
将端口设置为二层方式
S3(config)#switchport
封装dotlq协议
S3(config)#switchporttrunkencapsulationdot1q
设置为trunk模式
S3(config)#switchportmodetrunk
F0/2进入端口配置模式
S3#conft
S3(config)#interfacefastethernet0/2
将端口设置为二层方式
S3(config)#switchport
封装dotlq协议
S3(config)#switchporttrunkencapsulationdot1q
设置为trunk模式
S3(config)#switchportmodetrunk
配置VLAN11接口地址
S3(config)#interfacevlan11
S3(config-if)#ipaddress192.168.11.1255.255.255.0
配置VLAN12接口地址
S3(config)#interfacevlan12
S3(config-if)#ipaddress192.168.12.1255.255.255.0
配置VLAN13接口地址
S3(config)#interfacevlan13
S3(config-if)#ipaddress192.168.13.1255.255.255.0
配置VLAN14接口地址
S3(config)#interfacevlan14
S3(config-if)#ipaddress192.168.14.1255.255.255.0
配置VLAN15接口地址
S3(config)#interfacevlan15
S3(config-if)#ipaddress192.168.15.1255.255.255.0
配置VLAN16接口地址
S3(config)#interfacevlan16
S3(config-if)#ipaddress192.168.16.1255.255.255.0
配置VLAN17接口地址
S3(config)#interfacevlan17
S3(config-if)#ipaddress192.168.17.1255.255.255.0
将F0/3-5端口划给VLAN16,只列出F0/3的配置,其余端口的配置与F0/3相同
S2(config)#intf0/3
设置为访问模式
S2(config-if)#switchportmodeaccess
分配给VLAN16
S2(config-if)#switchportaccessvlan16
接入层交换机Swich1的配置结果如下:
进入vtp数据库
S1#vlandatabase
设置vtp域名
S1(vlan)#vtpdomainmyvtpdomain
设置vtp模式
S1(vlan)#vtpclient
S1(vlan)#exit
S1#configureterminal
配置接口F0/1为中继接口
S1(config)#interf0/1
封装dotlq协议
S1(config-if)#switchporttrunkencapsulationdot1p
设置为trunk模式
S1(config-if)#switchportmodetrunk
将F0/2端口划给VLAN11,只列出F0/2的配置,其余端口的配置与F0/2相同
S1(config)#intf0/2
设置为访问模式
S1(config-if)#switchportmodeaccess
分配给VLAN11
S1(config-if)#switchportaccessvlan11
将F0/3-4端口划给VLAN15,只列出F0/3的配置,其余端口的配置与F0/3相同
S1(config)#intf0/3
设置为访问模式
S1(config-if)#switchportmodeaccess
分配给VLAN15
S1(config-if)#switchportaccessvlan15
将F0/5-6端口划给VLAN12,只列出F0/5的配置,其余端口的配置与F0/5相同
S1(config)#intf0/5
设置为访问模式
S1(config-if)#switchportmodeaccess
分配给VLAN12
S1(config-if)#switchportaccessvlan12
6.3接入层交换机Switch2的配置结果如下:
进入vtp数据库
S2#vlandatabase
设置vtp域名
S2(vlan)#vtpdomainmyvtpdomain
设置vtp模式
S2(vlan)#vtpclient
S2(vlan)#exit
配置接口F0/1为中继接口
S2(config)#intf0/1
封装dotlq协议
S2(config-if)#switchporttrunkencapsulationdot1q
设置为trunk模式
S2(config-if)#switchportmodetrunk
将F0/2-4端口划给VLAN13,只列出F0/2的配置,其余端口的配置与F0/2相同
S2(config)#intf0/2
设置为访问模式
S2(config-if)#switchportmodeaccess
分配给VLAN13
S2(config-if)#switchportaccessvlan13
将F0/5-6端口划给VLAN14,只列出F0/4的配置,其余端口的配置与F0/4相同
S2(config)#intf0/5
设置为访问模式
S2(config-if)#switchportmodeaccess
分配给VLAN14
S2(config-if)#switchportaccessvlan14
将F0/7端口划给VLAN17
S2(config)#intf0/7
设置为访问模式
S2(config-if)#switchportmodeaccess
分配给VLAN17
S2(config-if)#switchportaccessvlan17
2.配置ACL:
配置ACL应用在各个部门VLAN接口上,控制各部门互访
1.把访问控制列表11应用于VLAN10OUT方向上,经理办公室内部可以互访,可以访问服务器网段和网络打印机网段,但不能其他部所在网段。
access-list11permit192.168.16.00.0.0.255
access-list11permit192.168.17.00.0.0.255
access-list11deny192.168.0.00.0.255.255
access-list11permitany
intvlan11
ipaccess-group11out
2.把访问控制列表12应用于VLAN10OUT方向上,财务部内部可以互访,可以访问服务器网段和网络打印机网段,但不能其他部所在网段。
access-list12permit192.168.16.00.0.0.255
access-list12permit192.168.17.00.0.0.255
access-list12deny192.168.0.00.0.255.255
access-list12permitany
intvlan12
ipaccess-group12out
3.把访问控制列表15应用于VLAN10OUT方向上,人事部内部可以互访,可以访问服务器网段和网络打印机网段,但不能其他部所在网段。
access-list15permit192.168.16.00.0.0.255
access-list15permit192.168.17.00.0.0.255
access-list15deny192.168.0.00.0.255.255
access-list15permitany
intvlan15
ipaccess-group15out
4.把访问控制列表13应用于VLAN10OUT方向上,技术部内部可以互访,可以访问服务器网段和网络打印机网段,但不能其他部所在网段。
access-list13permit192.168.16.00.0.0.255
access-list13permit192.168.17.00.0.0.255
access-list13deny192.168.0.00.0.255.255
access-list13permitany
intvlan13
ipaccess-group13out
5.把访问控制列表14应用于VLAN10OUT方向上,销售部内部可以互访,可以访问服务器网段和网络打印机网段,但不能其他部所在网段。
access-list14permit192.168.16.00.0.0.255
access-list14permit192.168.17.00.0.0.255
access-l
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 蓝色