【正文】 畢業(yè)設計（論文）專用紙企業(yè)局域網(wǎng)組建研究畢業(yè)論文目錄摘要 IAbstract II前言 1第１章 概論 2 局域網(wǎng)的發(fā)展現(xiàn)狀 2 局域網(wǎng)的發(fā)展趨勢 3第2章 局域網(wǎng)關鍵技術介紹 4 4 VLAN 4 NAT 4 STP 4 HSRP 5 5 靜態(tài)路由 5 訪問控制列表 5 6 單臂路由實現(xiàn) VLAN 間通信 6 三層交換機實現(xiàn) VLAN 間路由 6第3章 企業(yè)網(wǎng)絡設計 9 9 網(wǎng)絡設計原則： 9： 10第4章　企業(yè)網(wǎng)系統(tǒng)整體方案實現(xiàn) 11 11 vlan劃分及ＩＰ編址 12 12：Cisco 3600系列 13　Cisco Catalyst 4500系列 13 Cisco Catalyst 2960系列 14：TLWA501G+ 15 接入層交換機配置 16 核心層交換機配置 16 16結論 18參考文獻 19附錄 20附錄１ 接入層交換機的詳細配置 20接入層交換機AccessSwitch1端口基本參數(shù) 22配置接入層交換機AccessSwitch1的訪問端口 23配置接入層交換機AccessSwitch1的主干道端口 24配置其它接入層交換機 24接入層交換機的其它可選配置 25附錄2　核心層交換機詳細配置 26對核心層交換機CoreSwitch1的基本參數(shù)的配置 27配置核心層交換機CoreSwitch2 30其它配置 33配置HSRP 33附錄3廣域網(wǎng)模塊配置 35配置路由器IRouter的基本參數(shù) 36NAT地址轉換 37ACL訪問控制 38應用配置好的ACL 39遠程訪問模塊設計 40致謝 41總結體會 4243第一章 概論 局域網(wǎng)的發(fā)展現(xiàn)狀隨著算機技術和網(wǎng)絡技術的發(fā)展，中小企業(yè)組建辦公網(wǎng)絡成為現(xiàn)代企業(yè)提高辦公效率的主要手段之一，但是沒有科學合理規(guī)劃的局域網(wǎng)也存在著不少的問題，比如說：利用空密碼和簡單密碼的問題；隨便開共享文件夾引起病毒傳播和文件不安全問題；局域網(wǎng)內木馬病毒利用系統(tǒng)漏洞傳播的問題：arp攻擊類病毒木馬程序的問題； p2p軟件大量使用造成網(wǎng)絡擁堵的問題。所以說普通局域網(wǎng)沒有什么安全可言，如果大家處于同一子網(wǎng)，每臺計算機發(fā)出和接收到的數(shù)據(jù)包其他計算機都可以監(jiān)聽到，這些包一般都是明文發(fā)送的，通過sniffer等抓包工具抓取以后就可以知道數(shù)據(jù)內容，所以在企業(yè)網(wǎng)里面我們需要劃分子網(wǎng)，隔離vlan，使用vpn等安全手段。因此通過科學規(guī)劃局域網(wǎng)可以節(jié)省企業(yè)成本，降低管理費用，增強企業(yè)信息安全。另外，目前我國中小企業(yè)已達4200萬戶(包括個體工商戶),%。我國中小企業(yè)創(chuàng)造的最終產(chǎn)品和服務的價值占國內增加值的58%,社會零售額占59%,%,提供就業(yè)機會占75%,出口額占全國出口的68%。截至2010年12月，%的中小企業(yè)配備了電腦，%。%的中國中小企業(yè)的接入了互聯(lián)網(wǎng)，已經(jīng)達到了一個相當高的水平。企業(yè)局域網(wǎng)建設近些年來由了長足的發(fā)展，但和歐美發(fā)達國家的企業(yè)局域網(wǎng)相比還有著明顯的不足，主要體現(xiàn)在：(1)低水平重復建設且成本高昂：各部門擁有相對獨立的信息系統(tǒng)，資源分散于各部門之中，容易形成信息孤島。(2)安全漏洞和系統(tǒng)風險大：各部門擁有相對獨立的信息系統(tǒng)，不但系統(tǒng)復雜度高，而且核心數(shù)據(jù)全部分布于本地，對系統(tǒng)的安全性提出了較高的要求。(3)管理信息和反饋信息不能迅速傳遞：隨著企業(yè)的發(fā)展，數(shù)據(jù)信息流不斷增大，對各部門管理提出了快速響應的要求。今后如何應對瞬息萬變、競爭激烈的國內外市場環(huán)境以及如何利用網(wǎng)絡技術迅速提升企業(yè)核心競爭力就成為企業(yè)成敗的關鍵。 局域網(wǎng)的發(fā)展趨勢未來的局域網(wǎng)將集成包括一整套服務器程序、客戶程序、防火墻、開發(fā)工具、升級工具等，給企業(yè)向局域網(wǎng)轉移提供一個全面解決方案。局域網(wǎng)將進一步加強和Email、群件的結合，將 web 技術帶入 Email 和群件，從信息發(fā)布為主的應用向信息交流與協(xié)作轉變。局域網(wǎng)將提供一個日益牢固的安全防衛(wèi)、保障體系，局域網(wǎng)也是一個開放的信息平臺，可以隨時集成新的應用。隨著無線局域網(wǎng)產(chǎn)品迅速發(fā)展并走向成熟，許多企業(yè)為了提高員工的工作效率，開始部署無線網(wǎng)絡。中學和大學在內的許多學校也開始實施無線網(wǎng)絡，隨著家庭電腦的普及和住房裝修的高檔化，家庭無線網(wǎng)絡也成為一個潛在的市場。因此無線網(wǎng)絡將會成為許多公共場所的必備基礎設施。將來的局域網(wǎng)發(fā)展趨勢必將是有線網(wǎng)絡和無線網(wǎng)絡共存，無線局域網(wǎng)作為一種靈活的數(shù)據(jù)通信系統(tǒng)，在建筑物和公共區(qū)域內是有線局域網(wǎng)的有效延伸和補充。第2章 局域網(wǎng)關鍵技術介紹在組建企業(yè)網(wǎng)時，所用的網(wǎng)絡技術有 VLAN,NAT,STP,HSRP,，訪問控制列表ACL。 VLAN VLAN（Virtual Local Area Network）的中文名為“虛擬局域網(wǎng)”。VLAN 是一種將局域網(wǎng)設備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術。這一新興技術主要應用于交換機和路由器中，但主流應用還是在交換機之中。但又不是所有交換機都具有此功能，只有 VLAN 協(xié)議的第三層以上交換機才具有此功能。通過 VLAN 技術，我們將公司不同部門分配到了不同的子網(wǎng)中，一方面保證了一個部門中的信息對另一個網(wǎng)絡的隔離，另一方面也隔離了網(wǎng)絡廣播的擴散，保障了企業(yè)網(wǎng)的總體性能。 NAT 網(wǎng)絡地址轉換(NAT,Network Address Translation)屬接入廣域網(wǎng)(WAN)技術，是一種將私有（保留）地址轉化為合法 IP 地址的轉換技術，它被廣泛應用于各種類型 Internet 接入方式和各種類型的網(wǎng)絡中。原因很簡單，NAT 不僅完美地解決了 lP 地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡外部的攻擊，隱藏并保護網(wǎng)絡內部的計算機。 STP STP的基本原理是，通過在交換機之間傳遞一種特殊的協(xié)議報文，網(wǎng)橋協(xié)議數(shù)據(jù)單元（Bridge Protocol Data Unit，簡稱BPDU），來確定網(wǎng)絡的拓撲結構。BPDU有兩種，配置BPDU（Configuration BPDU）和TCN BPDU。前者是用于計算無環(huán)的生成樹的，后者則是用于在二層網(wǎng)絡拓撲發(fā)生變化時產(chǎn)生用來縮短CAM表項的刷新時間的（由默認的300s縮短為15s）。 HSRP HSRP：熱備份路由器協(xié)議（HSRP：Hot Standby Router Protocol），是cisco平臺一種特有的技術，是cisco的私有協(xié)議。實現(xiàn)HSRP的條件是系統(tǒng)中有多臺路由器，它們組成一個“熱備份組”，這個組形成一個虛擬路由器。在任一時刻，一個組內只有一個路由器是活動的，并由它來轉發(fā)數(shù)據(jù)包，如果活動路由器發(fā)生了故障，將選擇一個備份路由器來替代活動路由器，但是在本網(wǎng)絡內的主機看來，虛擬路由器沒有改變。所以主機仍然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器切換的問題。 IEEE IEEE ，比兩年前剛批準的IEEE ，擴大了無線局域網(wǎng)的應用領域。另外，、2 Mbps和1 Mbps帶寬，實際的工作速度在5Mb/s左右，與普通的10BaseT規(guī)格有線局域網(wǎng)幾乎是處于同一水平。作為公司內部的設施，可以基本滿足使用要求。IEEE ，不需要申請就可使用。既可作為對有線網(wǎng)絡的補充，也可獨立組網(wǎng)，從而使網(wǎng)絡用戶擺脫網(wǎng)線的束縛，實現(xiàn)真正意義上的移動應用。 靜態(tài)路由靜態(tài)路由是指由用戶或網(wǎng)絡管理員手工配置的路由信息。當網(wǎng)絡的拓撲結構或鏈路的狀態(tài)發(fā)生變化時，網(wǎng)絡管理員需要手工去修改路由表中相關的靜態(tài)路由信息。使用靜態(tài)路由的另一個好處是網(wǎng)絡安全保密性高。動態(tài)路由因為需要路由器之間頻繁地交換各自的路由表，而對路由表的分析可以揭示網(wǎng)絡的拓撲結構和網(wǎng)絡地址等信息。因此，網(wǎng)絡出于安全方面的考慮也可以采用靜態(tài)路由。不占用網(wǎng)絡帶寬，因為靜態(tài)路由不會產(chǎn)生更新流量。 訪問控制列表訪問控制列表ACL是應用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地址、目的地址、端口號等的特定指示條件來決定。訪問控制列表不但可以起到控制網(wǎng)絡流量、流向的作用，而且在很大程度上起到保護網(wǎng)絡設備、服務器的關鍵作用。作為外網(wǎng)進入企業(yè)內網(wǎng)的第一道關卡，路由器上的訪問控制列表成為保護內網(wǎng)安全的有效手段。 單臂路由實現(xiàn) VLAN 間通信vlan能有效地分割廣播域，控制廣播包的數(shù)量，提高網(wǎng)絡設備的使用率，那么要想實現(xiàn)不同 vlan 間通信就需要借助第三層的路由功能，必須借助于路由器或者是三層交換機來實現(xiàn)，我們把路由器和二層交換機相直連這樣的模型稱為單臂路由模型，因為進出路由器的數(shù)據(jù)都要通過這條中繼鏈路來實現(xiàn)，單臂路由是中小型企業(yè)網(wǎng)絡中實現(xiàn) vlan 間通信的有效手段，但對于信息點數(shù)量過多的網(wǎng)絡拓撲環(huán)境，由于所有進出路由器的數(shù)據(jù)包都要經(jīng)過這條中繼鏈路，就使得交換機和路由器相連的這條鏈路成為了整個網(wǎng)絡的瓶頸。限制了整個網(wǎng)絡的速度。實例拓撲圖圖 21 單臂路由實例拓撲圖 三層交換機實現(xiàn) VLAN 間路由隨著企業(yè)內部流量的逐步增大，使用路由器的獨臂路由功能來實現(xiàn)不同vlan 間互訪已不能滿足企業(yè)用戶的需求。這時我們可以使用轉發(fā)速度較快的三層交換機來實現(xiàn)這些功能。通過在三層交換上配置相應的 vlan 地址（即網(wǎng)關地址），讓不同 vlan 的用戶通過三層交換的中繼鏈路實現(xiàn)快速的互訪。實例拓撲圖圖 22 三層交換實現(xiàn) VLAN 間路由實例拓撲圖第3章 企業(yè)網(wǎng)絡設計在本方案中，將以一個擁有300臺辦公計算機的中小企業(yè)目前為例，對該企業(yè)進行調研后總結需求如下：? 該公司一共有5個部門：財務部、市場部、策劃部、客服中心、采購部；? 企業(yè)擁有約300臺辦公計算機，要求都能訪問Internet資源；外網(wǎng)通過internet只能訪問企業(yè)內服務器，如FTP、Web，不能訪問其它內網(wǎng)信息；? 部份位置要實現(xiàn)wifi無線上網(wǎng)，可以實現(xiàn)多人同時接入； ? 出差工作人員及在家辦公人員能夠遠程訪問公司內部的共享文件以及進行數(shù)據(jù)傳送；? 網(wǎng)絡要求是可擴展的，高速的，冗余的，安全的，并可滿足為現(xiàn)在或將來進行語音、視頻、圖像等各種服務的應用；? 要保證企業(yè)內部服務器群可以集中管理以及企業(yè)內部信息安全。 網(wǎng)絡設計原則：? 應用為本的原則：局域網(wǎng)的設計應遵循“應用為本”的原則，在應用的基礎上設計局域網(wǎng)。? 適度先進原則：網(wǎng)絡設計時，應考慮到能夠滿足未來幾年內用戶對網(wǎng)絡帶寬的需要。? 可擴展原則：可擴展是指網(wǎng)絡規(guī)模和帶寬的擴展能力，也是設計中必須加以考慮的。? 開放性原則：組網(wǎng)設計應采用當前最新國際標準的軟硬件以及開放的技術、開放的結構、開放的系統(tǒng)組件和用戶接口，使網(wǎng)絡系統(tǒng)具備與多種協(xié)議計算機通信網(wǎng)絡互聯(lián)的特性，為未來的橫向擴展提供必要的條件。：根據(jù)企業(yè)提出需求，進行分析，最終將采取以下方案解決企業(yè)需求：? 主干部署1000M的光纖，以滿足300臺計算機訪問Internet；? 申請有九個公網(wǎng)IP：，另外8個IP地址：～；? 購買一臺CISCO路由器CISCO 3640以實現(xiàn)企業(yè)內部網(wǎng)連接到Internet；? 企業(yè)目前有300臺計算機連入網(wǎng)絡，考慮到在未來五年內可能會有所增加，預計增加幅度為100臺，總共有400臺。因此接入層交換機48口的Catalyst 2960需要數(shù)量為：400/48＝10臺；? 將各個部門劃分在不同的VLAN，包括服務組群和管理VLAN一共需要7個VLAN；? 將WEB服務器、郵件服務器、FTP服務器直接與核心交換機Cisco 4501連接，置于中心機房，方便管理，同時配置ACL控制各部門訪問權限并控制外網(wǎng)訪問；? 在需要無線上網(wǎng)的地方，采用54M的無線AP接入，設定最多30人的數(shù)量，以保證每人訪問網(wǎng)速不至于過慢；? 在路由器上配置Easy VPN，用以實現(xiàn)出差工作人員及在家辦公人員遠程訪問企業(yè)內部資源及數(shù)據(jù)交換。? 為實現(xiàn)網(wǎng)絡的冗余設計，在核心層布署時，用兩臺三層交換機實現(xiàn)熱備份路由器協(xié)議。第4章　企業(yè)網(wǎng)系統(tǒng)整體方案實現(xiàn) 本企業(yè)網(wǎng)設計方案主要由以下四大部分構成：交換模塊、廣域網(wǎng)接入模塊、遠程訪問模塊、服務器群。整個網(wǎng)絡系統(tǒng)的拓撲結構圖，如圖41所示。圖41中小型企業(yè)網(wǎng)絡拓撲為了簡化交換網(wǎng)絡設計、提高交換網(wǎng)絡的可擴展性，在企業(yè)網(wǎng)內部數(shù)據(jù)交換的部署是分層進行的。 企業(yè)數(shù)據(jù)交換設備可以劃分為三個層次：接入層、分布層、核心層。在本設計方案中，分布層和核心層是緊縮到一層中的，所以只需進行兩層配置，將企業(yè)主干和建筑物分布子模塊緊縮到一層中（即Core Switch所在層），能夠在滿足中小型企業(yè)的需求的前提下，節(jié)省交換機成本開銷。在設計中，利用千兆以太網(wǎng)通道化技術擴展網(wǎng)絡帶寬，可以滿足內部網(wǎng)絡的大負荷網(wǎng)絡運行需求。它采用了星形拓撲結構，它相對其他拓撲結構來說，星形拓撲在將用戶接入網(wǎng)絡時具有更大的靈活性。當系統(tǒng)不斷發(fā)展或系統(tǒng)發(fā)生重大變化時，這種優(yōu)點將變得更加突出。就這個設計而言，提供交換機和鏈路冗余，保證在其中一交換機出現(xiàn)故障的時候另一臺交換機能保證整體網(wǎng)絡結構正常工作。 vlan劃分及ＩＰ編址根據(jù)拓撲圖和接入層交換機的位置分布，編排IP地址給各個部份的計算機如表41所。表41　VLAN劃分及IP方案VLAN號VLAN名稱IP網(wǎng)段默認網(wǎng)關說明VLAN 1－管理VLANVLAN 10CWB財務部VLANVLAN 20SCB市場部VLANVLAN 30CHB策劃部VLANVLAN 40KFZX客服中心VLANVLAN 50CGB采購部VLA