网络综合课程设计.docx
- 文档编号:5057525
- 上传时间:2022-12-12
- 格式:DOCX
- 页数:18
- 大小:556.82KB
网络综合课程设计.docx
《网络综合课程设计.docx》由会员分享,可在线阅读,更多相关《网络综合课程设计.docx(18页珍藏版)》请在冰豆网上搜索。
网络综合课程设计
网络综合课程设计
计算机科学与技术系
课程设计报告
2012~2013学年第二学期
姓名
学号
课程
课程设计名称
网络综合课程设计
专业班级
信管班
指导教师
2013年6月
第一章绪论
第一节项目背景
园区网构建简单的说就是将园区网内各种信息资源通过高性能网络设备连接起来,形成园区网系统,以便资源共享,并通过路由器与外网相连。
随着园区网建设的普及和快速发展,病毒、木马、黑客攻击等危害行为随之产生,所以构建一个安全、快速园区网显得尤为重要。
某电器制造企业分为制造、销售、管理、技术研发、财务等部门,拥有计算机400台,且已在ISP申请了210.46.1.1至210.46.1.7几个公网地址,要求为全部用户提供安全的网络接入,园区网覆盖企业所有楼宇,企业要求建设对外的WWW服务,电子邮件,对内部用户的文件传输服务、内部域名服务和企业内部门户网站,要求对用户实现域模式管理,建立严格的资源访问控制,为保证业务的正常开展,要求建立完善的网络安全体系和网络管理系统,允许外网可信任用户远程访问企业内网资源。
第二节总体目标
1、在园区网中建成一个适合于信息采集、共享的内部网络,在此基础上建立起供用户培训使用的内部网络以及内部办公网络。
2、使用防火墙、访问控制列表、地址转换安全的实现到Internet的接入与访问,及实现信息在Internet的发布。
第二章需求分析
随着信息时代的到来,无论是办公或者是通信都离不开计算机。
现在的人越来越依靠于计算机,再加上电子商务行业的飞速发展Internet的应用也更加广泛。
由于这样的社会环境人们对各种数据形式的信息需求和交流的不断增长,使得当今的计算机网络,成为信息技术的基础设施与获取、共享和交流信息的主要工具,并成为人们在当今社会生活及工作中不可缺少的组成部分。
因此,在全球信息电子化、网络化迅速发展的大环境下,无论是从大趋势上看,还是从自身商业利益角度考虑,建立园区网是企业顺应时代潮流的必由之路。
根据本园区网实际情况主要应用需求分析如下:
(1)用户的应用需求:
所有用户可以方便地浏览和查询局域网和互联网上的学习资源,通过WWW服务器、电子邮件服务器、文件服务器、远程登录等实现远程学习,此外为销售部、管理部、技术研发部、财务部等用户。
(2)通信需求:
通过E-mail及其它网络功能满足全网的通信与信息交换的要求,提供文件数据共享、电子邮箱服务等。
(3)信息点和用户需求:
按照要求本园区网内信息点要求,其中包括销售部、管理部、技术研发部和财务部若干个,电子邮件服务器、文件服务服务器、DNS域名服务器等为内部单位服务,WWW服务器、远程登录等实现远程学习,从外部网站获得资源。
(4)性能需求:
此企业需要支持企业的日常办公和管理,包括销售管理、技术管理、财务管理等并且支持网络信息传输要求。
(5)安全与管理需求:
企业基本信息档案和重要的工作文件要求对数据存储、传输的安全性的性能较高,如销售管理、技术管理、财务管理等可以通过分布式、集中式相集合的方法进行管理。
网络安全对于网络系统来说是十分重要的,它直接关系到网络的正常使用。
由于企业内部网与外部网进行互联特别是和Internet的互联,Internet是一个开放式网络系统,它的安全性是很差的。
因此安全问题更加重要。
应该采用一定的技术来控制网络的安全性,从内部和外部同时对网络资源的访问进行控制。
当前主要的网络安全技术有,用户身份验证,VLAN划分,防火墙等技术。
网络系统还就具备高度的数据安全性和保密性。
(6)实用与经济性:
企业的特点决定了园区网络系统必需要有实用与经济性。
实用性使得网络便于管理、维护,以减少网络使用人员运用网络的难度,从而降低人为操作引起的网络故障,并使更多的人掌握网络的使用。
由于企业的资金有限,所以在建设园区网时一定要使用性价比高的网络技术和网络设备,以节约建设资金。
第三章系统概要设计
第一节设计原则
由于计算机与网络技术的特殊性,网络建设需要考虑以下一些因素:
系统的先进性、体统的稳定性、系统的可扩展性、系统的可维护性、应用系统和网络系统的配合度、与外界网络的连通性等。
(一)选择可扩充的网络架构
园区网的用户数量或服务功能是逐步提高的,网络技术也是日新月异的,新技术新产品不断地涌现。
一般情况下,企业网的建设资金用量非常大,所以在园区网构建时,宜采用当时最新的网络技术,结合公司财力,实行分步实施,循序渐进。
这就要求在网络构件时要选择具有良好可扩展性能的网络互连设备,有效地保护现有的投资。
(二)充分共享络资源
组建计算机网络的主要目的是实现资源共享,这个资源包括硬件资源、软件资源。
网络用户通过网络不仅可以实现文件共享、数据共享,还可以通过网络实现网络设备的共享,如打印机、存储设备的共享等。
(三)网络可管理性,降低网络运行及维护成本
降低网络运营成本和维护成本是网络设计过程中必须考虑的一个环节。
只要在网络设计时选用支持网络管理功能的网络设备,才能为将来降低网络运行及维护成本打下坚实的基础。
(四)网络系统与应用系统的整和
园区网构建了园区内通畅的数据流通路,为应用系统发挥更大的作用打下了基础。
网络系统与应系统要能够很好的融合,才能发挥园区网的效率和优势,构建校园网的目的并不是只为了人们浏览Internet的方便。
应用系统应能够在网络平台上,与硬件平台很好的结合,发挥出网络的优势。
(五)建设成本
考虑园区网工程在建设方面都希望成本较低,整个网络系统有较高的性价比,在设备选型等方面选用性价比高的网络产品。
(六)高可靠性
网络要求具有高可靠性、高稳定性和足够设备冗余和备份,防止局部故障引起整个网络系统的瘫痪,避免网络出现单点失效的情况。
在网络干线上要提供备份链路。
在网络设备上要提供适当的冗余配置。
采用各种有效的安全措施,保证网络系统和应用系统安全运行。
安全包括4个层面-网络安全,操作系统安全,数据库安全,应用系统安全。
由于Internet的开放性,世界各地的Internet用户也可访问校园网,校园网将采用防火墙、数据加密等技术防止非法侵入、防止窃听和篡改数据、路由信息的安全保护来保证安全。
同时要建立系统和数据库的磁带备份系统。
各主要节点的交换机分别用光纤与网络中心的中心交换机相连接,构成校园网千兆位以太网的主干网络,各节点交换机至桌面采用超5类双绞线100Mbps交换。
第二节主要技术介绍
根据园区网的设计需求,来完成企业Web、Mail、DNS、DHCP、数据库等基础服务的规划与建设,需要以下主要技术:
(1)vlan划分
(2)防火墙技术
(3)远程登录
(4)地址转换
第三节设备选型
(1)依照分层的原理设计网络:
整个园区网是严格按照cisco建议的核心层,汇聚层,接入层三层模型设计的。
其中,核心层负责实现高速数据转发;汇聚层负责策略实施,如vlan划分等;接入层连接最终用户,如PC机或笔记本电脑。
由于园区网比较小,把汇聚层和核心层合为一层,管理部,技术部,制造部,销售部,都是采用cisco的低端交换机c2960。
汇聚层采用的是cisco的中高端交换机(三层交换机)3560.出口路由器采用的cisco的系列路由器。
园区的出口路由器也作为防火墙,采用的是最基本的包过滤防火墙模式。
这样可以方面企业各部门之间的互相访问,既节省了企业资金,又提高了企业生产效率。
(2)线缆的选择:
根据同种设备用交叉线,异种设备用直通线的原理,线缆选择如下:
用户与交换机:
直通线
交换机与三层交换机:
交叉线
三层交换机与出口路由器:
直通线
出口路由器与ISP运营商:
以太网线
第四章系统详细设计
第一节网络基础架构的详细设计
(1)整体拓扑图
图4-1:
整体拓扑图
(2)设计分布:
在本园区网设计中,整个网络分成内网、外网及分部三部分分别进行设计。
一、内网:
在汇聚层之下二层交换机上分为管理部、技术部、销售部、制造部和DMZ区域。
DMZ区域:
在DMZ区域放置WEB服务器,DHCP服务器,FTP服务器,DNS服务器,EMAIL服务器。
管理部:
企业中的管理人员所在的区域
技术部:
企业中技术人员所在区域
制造部:
企业的制造部门,生产部分所在的区域
销售部:
专门掌握企业的销售人员所在的部门
二、外网:
在Internet中设置了腾讯服务器以及外部用户。
三、分部:
在企业的不同城市设立了企业分部,分部由于要访问企业内部的资源,所以在这个企业中实施了VPN技术,来提供可靠的服务。
(3)主要部署环节:
一、地址规划
根据园区网设计要求,该企业已在ISP申请了210.46.1.1至210.46.1.7几个公网地址,要求为全部用户提供安全的网络接入,园区网覆盖企业所有楼宇。
所以公网IP地址是210.46.1.1至210.46.1.7。
企业内部地址为一致的私有地址,在本设计中私网地址为10.10.0.0/24和172.25.0.0/24。
二、VLAN划分
1.在汇聚层交换机上创建vlan并命名。
语句如下;intvlan/进入vlan配置
vlan2/vlan号为2
namezhizaobu/命名为zhizaobu
vlan3/vlan号为3
namexiaoshoubu/命名为xiaoshoubu
vlan4/vlan号为4
nameguanlibu/命名为guanlibu
vlan5/vlan号为5
namezhizaobu/命名为caiweubu
vlan6/vlan号为6
namecaiwubu/命名为caiwubu
vlan7/vlan号为7
nameDMZ/DMZ区
配置后结果为:
区域
VLAN
名称
制造部
vlan2
zhizaobu
销售部
vlan3
xiaoshoubu
管理部
Vlan4
guanlibu
技术部
vlan5
jishubu
财务部
vlan6
caiwbu
DMZ
vlan7
DMZ
vlan1是默认的管理vlan,所以vlan1是不需要创建的。
2.把用户接入到对应的vlan中
语句如下:
销售部;
switchportmodeaccess//在接入层交换机上把接口模式改为接入模式
switchportaccessvlan3//把此接口划分为vlan3中
spanning-treeportfast//连接最终用户的接口开启portfast特性
管理部;
switchportmodeaccess//在接入层交换机上把接口模式改为接入模式
switchportaccessvlan4//把此接口划分为vlan4中
spanning-treeportfast//连接最终用户的接口开启portfast特性
技术部:
switchportmodeaccess//在接入层交换机上把接口模式改为接入模式
switchportaccessvlan5//把此接口划分为vlan5中
spanning-treeportfast//连接最终用户的接口开启portfast特性
财务部:
switchportmodeaccess//在接入层交换机上把接口模式改为接入模式
switchportaccessvlan6//把此接口划分为vlan6中
spanning-treeportfast//连接最终用户的接口开启portfast特性
制造部:
switchportmodeaccess//在接入层交换机上把接口模式改为接入模式
switchportaccessvlan2//把此接口划分为vlan2中
spanning-treeportfast//连接最终用户的接口开启portfast特性
DMZ:
switchportmodeaccess//在接入层交换机上把接口模式改为接入模式
switchportaccessvlan7//把此接口划分为vlan7中
spanning-treeportfast//连接最终用户的接口开启portfast特性
3.最终VlAN划分如下:
区域
VLAN
IP地址范围
网关地址
DMZ
vlan2
172.25.7.0/24
172.25.7.1/24
销售部
vlan3
172.25.3.0/24
172.25.3.1/24
管理部
vlan4
172.25.4.0/24
172.25.4.1/24
技术部
vlan5
172.25.5.0/24
172.25.5.1/24
财务部
vlan6
172.25.6.0/24
172.25.6.1/24
制造部
vlan2
172.25.2.0/24
172.25.2.1/24
三、路由选择
在本园区网设计中,使用了多种路由选择方式,如基于距离向量的路由选择以及默认路由选择。
(1)在汇聚层交换机和出口路由器之间使用路由信息协议RIP
routerrip//开启动态路由协议rip
version2//选用rip的版本v2
network10.0.0.0//让10网段的接口参与到路由协议中
network10.10.0.0//让172.16网段的接口参与到路由协议中
(2)在汇聚层交换机上坐默认路由,它的作用是一切未知流量都发送给出口路由:
iproute0.0.0.00.0.0.010.10.1.1
(3)在出口路由器上做动态路由协议:
routerrip//开启路由协议rip
version2//选择版本v2
network10.10.0.0//10.10的网段参与路由协议
(4)在出口路由器上做默认路由指向isp的接口:
iproute0.0.0.00.0.0.0210.46.1.1
配置完成后,在汇聚层交换机和出口路由器里分别查看路由表,以保证路由信息的正确性:
语句为showiproute,结果如下图:
聚层交换机的路由表:
出口路由器路由表:
四、地址转换
在本园区网中,地址转换的方法是NAT技术。
NAT技术就是为了解决IPV4地址不足而产生的技术。
它主要的功能是把私有IP地址转换为公有IP地址。
内网可以使用私有地址,但在访问外网的时候还需要使用公网地址。
因为在互联网上是不允许私有IP地址的运行的。
NAT技术主要分为三类:
静态地址转换、动态地址转换和端口地址转换。
在本王设计中,在内网访问外网时采用的是动态NAT,而在外网访问内网时采用的是静态NAT。
(1)动态NAT
1)设置应用扩展的访问控制列表
配置清单如下:
ipaccess-listextendedxiaoshoubu//定义一个销售部扩展访问列表,名字为xiaoshoubu
permitip172.25.3.00.0.0.255any
permitip10.101.00.0.0.255any
permiticmpanyany
ipaccess-listextendedguanlibu//定义一个管理部扩展访问列表,名字为guanlibu
permitip172.25.4.00.0.0.255any
permitip10.10.0.00.0.255.255any
permiticmpanyany
ipaccess-listextendedjiashubu//定义一个技术部扩展访问列表,名字为jishubu
permitip172.25.5.00.0.0.255any
permitip10.10.0.00.0.255.255any
permiticmpanyany
ipaccess-listextendedcaiwubu//定义一个技术部扩展访问列表,名字为caiwubu
permitip172.25.6.00.0.0.255any
permitip10.10.0.00.0.255.255any
permiticmpanyany
ipaccess-listextendedzhizaobu//定义一个技术部扩展访问列表,名字为zhizaobu
permitip172.25.2.00.0.0.255any
permitip10.10.0.00.0.255.255any
permiticmpanyany
2)定义转换地址:
ipnatpoolxiaozhoubu210.46.1.3210.46.1.3netmask255.255.255.0
ipnatpoolguanlibu210.46.1.4210.46.1.4netmask255.255.255.0
ipnatpooljishubu210.46.1.5210.46.1.5netmask255.255.255.0
ipnatpoolcaiwubu210.46.1.6210.46.1.6netmask255.255.255.0
ipnatpoolzhizaobu210.46.1.7210.46.1.7netmask255.255.255.0
3)应用NAT:
ipnatinsidesourcelistxiaoshoubupoolxiaoshoubuoverload
ipnatinsidesourcelistguanlibupoolguanlibuoverload
ipnatinsidesourcelistjishubupooljishubuoverload
ipnatinsidesourcelistcaiwubupoolcaiwubuoverload
ipnatinsidesourcelistzhizaobupoolzhizaobuoverload
4)在出口路由器,将NAT与接口连接起来:
interfacefa0/1
ipnatinside//NAT的内部接口
interfacefa0/0
ipnatoutside//NAT的外部接口
(2)静态NAT:
静态NAT主要用于企业内部的服务器方便与Internet用户来访问时所映射的公网IP地址。
1)服务器IP地址到公网ip地址的映射:
ipnatinsidesourcestatic10.10.60.4210.46.1.7
2)接口操作:
出口路由器interfacefa0/0
ipnatinside//NAT的内部接口
interfacese0/1/0
ipnatoutside//NAT的外部接口
第二节网络安全等业务的详细设计
根据业务和管理的安全性需求,该企业的网络安全体系基本完成,主要依靠的是出口路由器和防火墙设置。
做这一步之前,先将内网的拓扑全部架设完成,再将防火墙置于与外网相接的位置,完成内网与外网的互联。
另外在本园区网设计中为了更简洁方便使用,没有过多安装软件,所以没有只能完成基本的防火墙设置。
防火墙是每个企业必不可少的网络设备,由于cisco路由器提供强大的ios系统,可以在cisco的路由器上实施基于包过滤的防火墙,防火墙主要是为了防止外部不法用户对内部网络实施攻击,它对可疑的流量直接进行删除或丢包,以保证企业内部环境的安全可靠。
包过滤的防火墙是基于访问列表的,然后在对应的接口应用。
以下为防火墙的配置清单:
ipaccess-listextendedfanghuoqiang/定义过滤表的名字fanghuoqiang
denyip1.0.0.00.255.255.255any/1.0.0.0未分配
denyip3.0.0.00.255.255.255any/3.0.0.0未分配
denyip172.0.0.00.255.255.255any/私网地址认为是非法的
denyip192.168.1.00.0.0.255any/私网地址认为是非法的
denyip169.254.0.00.0.255.255any/过滤DHCP获取失败地址
denyip224.0.0.00.255.255.255any/过滤组播地址224.0.0.0
denyip0.0.0.00.255.255.255any/过滤以0开头的任意地址
permitipanyany
interfacefa0/0
ipaccess-groupfanghuoqiangin/在接口上应用访问控制列表(此接口问出口路由器链接外网的接口,因为防火墙只能防止外部攻击。
不能防止内部攻击)
第五章系统测试
所有配置完成后,实现的结果如下:
1、自动获取ip:
5-1:
自动获取IP地址
2、DNS域名解析:
图5-2:
DNS域名解析
3、WEB访问内网:
图5-3:
WEB访问内网
4、WEB访问外网:
图5-4:
WEB访问外网
5、ftp设置:
图5-5:
ftp设置
6、ftp上传文件:
图5-6:
ftp上传文件
7、ftp下载文件:
图5-7:
ftp文件下载
8、邮件发送:
图5-8;邮件发送
9、邮件接收:
图5-9:
邮件接收
参考文献
[1]杨卫东.网络系统集成与工程设计(第2版).科学出版社
[2]SEANCONVERY.网络安全体系结构.人民邮电出版社
[3]刘易斯.思科网络技术学院教程CCNAExploration.人民邮电出版社
[4]林慧琛,尤国君,刘殊.RedHatLinux服务器配置与应用(第2版).人民邮电出版社
[5]戴有炜.WindowsServer2003用户管理指南.清华大学出版社
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络综合 课程设计