毕业设计（论文）中小型园区网的设计与实现.doc

青岛农业大学毕 业 论 文（设计） 题 目： 园区网络的设计与实现 姓 名： 学 院： 理学与信息科学学院 专 业： 电子信息科学与技术 班 级： 2005级3班 学 号： 指导教师： 2009年 6 月 12 日园区网络的设计与实现摘要：本文简要地讨论了企业网络规划设计中涉及到的网络技术、规划设计方法、网络性能及应用分析等问题，为企业网络的规划、设计和升级改造等方面在技术及应用上提供参考，以使在建或规划中的校园网络具备较高的整体性能。通过对园区网络的分析，从性能和价值上满足园区网络的需求，然后对企业园区网络进行划分vlan、设置管理域等配置，不断地优化企业的网络，从而达到企业安全、快速访问网络资源的目的。关键字：交换机；路由器；防火墙；VLANThe Designing and Realizing of NetworkAbstract：There are something been discussed briefly in the enterprise network designing, relating to the network technology, the way of designing procedures, the network function and applying analysis and so on, is that the network plan of enterprise, which provide a reference on the technology and application , to make it have higher function in building or planning campus network. Through to analyzing to the network, in order to satisfy the requirement of the area network from the value and performance, then carriry on to configure the enterprise area network including dividing vlan, establishing management territory and so on, optimizing the enterprise the network unceasingly, thus make the enterprise access network resources speedily and safely.Key words: switch; router; firewall; vlan目 录前 言11 系统总体设计方案概述21.1系统组成与拓扑结构31.2 VLAN及IP地址规划41.3设备选型42 交换模块的设计62.1接入层交换服务的实现配置接入层交换机62.1.1对connect1的端口进行具体的配置72.2汇聚层交换服务的实现配置汇聚层交换机122.2.1配置汇聚层交换机collect1的基本参数122.2.2配置汇聚层交换机collect1的管理IP，默认网关132.2.3配置汇聚层交换机collect1为VTP服务器132.2.4配置汇聚层交换机collect1的VTP剪裁功能132.2.5为collect1配置vlan和端口设置142.2.6为collect1启用路由功能142.2.7配置汇聚层交换机collect2152.3核心层交换服务的实现配置核心层交换机162.3.1配置核心层交换的管理VLAN和默认网关172.3.2设置核心层交换机为VTP客户机172.3.3设置核心层交换机的端口172.3.4启用核心层core交换机的路由功能183 配置路由器193.1配置路由器router的各接口参数193.2配置路由器router的路由功能203.3在路由上设置NAT203.3.1定义NAT转换的内部、外部接口203.3.2定义允许进行NAT转换的工作站的IP地址范围203.4配置路由器上的ACL213.4.1对外屏蔽SNMP，TELNET协议213.4.2设置只允许来自服务器的IP地址才能访问并配置路由器213.4.3配置路由器的封装协议身份认证223.4.4配置路由器的身份认证224 防火墙的配置234.1防火墙的基本配置234.1.1配置防火墙接口的名字，并指定安全级别234.1.2配置以太网口参数及IP地址234.1.3指定要进行NAT转换的IP地址范围234.1.4指定转换后的IP地址范围244.1.5设置指向内网和外网的静态路由244.2配置fixup协议244.3设置最大传输单元（MTU）254.4设置PIX入侵检测255 服务器模块设计26总 结28参考文献29致 谢30前 言信息时代的发展，影响着世界的每一个角落。每个人的生活和工作几乎都与计算机密切相关。在速度越来越快的计算机硬件和日益更新的软件背后，网络作为中枢神经把我们联系在一起。也正是因为网络的出现与发展，使Internet为主要标志的网络技术构成了我们现代文化的重要组成部分，联系上亿人的Internet将我们带入了一个新的网络时代。在现今的网络建设中，企业网的建设是非常重要的，企业网内部各种不同业务的开展是企业网发展迅速的最主要原因。从早期的企业网主要是简单的数据共享，简单数据库的共享到现在内部全方位的数据共享，从过去单一的企业到现在多个分支公司的全部互连，因而对网络的覆盖面要求越来越广。这一要求最早还只局限于各分支企业内部，现在则已是整个企业、整个行业，甚至整个Internet的共同要求。正因为网络应用的如此广泛，又在生活中扮演很重要的角色，所以其安全性是不容忽视的，它是网络能否经历考验的关键，如果安全性不好会给人们带来很多麻烦。网络信息交流现已是生活中必不可少的一个环节，然而信息安全却得不到相应的重视。本文就网络信息的发展，组成，与安全问题的危害做一个简单的探讨1 系统总体设计方案概述企业网（ENTERPRISE NETWORK）是非常典型的综合网络实例。在本设计方案中主要是对一个企业进行整体的网络设计。该企业占有一幢大厦，共有八个部门，每个部门不会超过255台工作站，分别是财务部、人力资源部、技术支持部、营销部、售后服务部、生产部、公关部、设备部，此外有一个总经理办公室，一个副总经理办公室。如图1-1，是该企业拆分后的网络总体拓扑结构图。INTERNET信 息中 心总经理办公室副总经理办公室财务部人力资源部技术支持部生产部 公关部售后服务部设备部部售后服务部公关部设备部营销部图1-1 企业拓扑结构图在上面的拓扑结构图中,企业有八个部门，两个经理办公室共十个主要的接入点，核心层交换机通过Cisco3460路由器接入因特网。图中展示了每个建筑物内部的网络拓扑结构，并给出了信息中心内部的网络设备拓扑结构。在接下来的论述中，我将展开并详细讨论每个模块的设计内容。1.1系统组成与拓扑结构为了实现网络设备的统一，在本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。本企业网设计方案主要由以下几部分组成：交换模块、广域网接入模块、服务器模块，整个网络系统的拓扑结构图如下图1-2所示：INTERNET202.168.1.1NAT192.168.1.254核心层server汇聚层总经理办公室Group副总经理办公室接入层、财务部vlan2人力资源部vlan3技术支持部vlan6生产部vlan7、售后服务部vlan4公关部vlan5设备部vlan8营销部vlan9图1-2 企业网整体拓扑结构图1.2 VLAN及IP地址规划在一个大、中型网络里，VLAN12的划分是必不可少的步骤之一。在本企业网设计中，整个企业网的VLAN及IP编址方案如下表所示：在下面我们需要注意的是：192.168.0.0-192.168.255.254这样的IP地址是私有IP地址，它不能在公共网络中使用，但是为什么我们要这样做呢？因为针对当前现状，IP地址紧缺，我们不可能也不应该为每一台工作站申请一个公有IP地址，这样不仅可以缓解IP地址不足的情况，而且也可以为企业建设一个企业网节约不少的开支，那这样且不是不能够访问INTERNET。为了让这些私有IP地址能够在公共INTERNET使用，让使用这样IP地址的工作站能够访问INTERNET上的资源，我们必须对这样私有IP地址作NAT（network address translation）即网络地址转换。NAT的配置我将后面的论述中进行配置。而对于经理办公室，由于我们有特定的要求，我将为其分配static IP地址（如表1-3所示）。 表1-3VLAN及IP编址方案正文中表1-1的引用在那里？VLAN号VLAN名称IP网段默认网关说明VLAN119216810/241921681254管理VLANVLAN2finance19216820/241921682254财务部VLAN3Human_resource19216830/241921683254人力资源部VLAN4After_sale_server19216840/241921684254售后服务部VLAN5Public_relations19216850/241921685254公关部VLAN6Technique_support19216860/241921686254技术支持部VLAN7produce19216870/241921687254生产部VLAN8equipment19216880/241921688254设备部VLAN9sale19216890/241921689254营销部VLAN10Server_group192168100/2419216810254服务器群VLAN1.3设备选型从上面的拓扑图中我们可以列出下面的设备选型列表1-2：表1-2 设备选型列表设备名称型号单价数量总价说明防火墙CISCO PIX-525600016000并发连接数：4500 VPN支持：支持 安全过滤带宽：16 用户数限制：无限制 网络吞吐量（Mpps）：20路由器CISCO37456120001612000Cisco 3700 Series 4-SlotMultiservice Access Router交换机核心层CISCO WS-C3750G-24TS-S36762136762Catalyst 3750 24 10/100/1000T + 4 SFP Standard Multilayer汇聚层CISCO WS-C2950T-24650021300024 10/100 ports w/ 2 10/100/1000BASE-T ports, Enhanced Image 接入层CISCO WS-C2950-2440002800024 port, 10/100 Catalyst Switch, Standard Image onlySwitch/hub视每个部门工作站多少的情况而定线缆光纤迅驰4芯单模光缆4/M1000M4000波长1300损耗850/3.5温度-40-80湿度0双绞线五类UTP400/卷520002 交换模块的设计一个性能优良的网络(不管是何种类型的网络)都应该是一个分层的设计。这样不但简化了交换网络的设计，同时也提高了交换网络的可靠性和可扩展性，我们一般将其分为三层设计模型。分别是接入层，汇聚层，核心层。下面我们将按照分层的设计与配置进行论述。2.1接入层交换服务的实现配置接入层交换机接入层交换机是为所有的终端用户提供一个接入点。我们采用的是CISCO WS-C2950-24。该交换机拥有24个10/100M的自适应快速以太网交端口，这里我们有两个接入层交换机。分别命名为connect1和connect2，接下来我们将对接入层交换机进行配置。进入交换机的配置界面（CLI）3我们一般常用的有两种方法：利用反转线直接和交换机的控制端口相连和远程登陆。我们主要进行如下一些配置：1 设置交换机名称Switch(config)#hostname connect1Connect1(config)#2 设置交换机密码Connect1(config)#enable secret 1233 设置登陆虚拟终端Connect1(config)#line vty 0 15Connect1(config-line)#loginConnect1(config-line)#password 1234 设置虚拟终端超时时间Connect1(config)#line vty 0 15Connect1(config-line)#exec-timeout 5 305 设置控制台终端超时时间Connect1(config)#line con 0Connect1(config-line)#exec-timeout 5 306 禁用IP地址解析特性当我们向交换机输入一条错误的命令的时候，交换机就会将该信息广播给网络上的DNS服务器，并试图把它解析成IP地址。Connect1(config)#no ip domain-lookup7 启用消息同步特性为了防止我们向交换机输入的命令被交换机产生的信息打乱。我们启用消息同步特性。Connect1(config)#logging synchronous为了能够对交换机进行远程管理，必须给交换机设置一个管理用的IP地址。这种情况下，实际上是将交换机看成和PC机一样的主机。而每台交换机都有一个用来进行管理的默认VLAN即VLAN1，VLAN1也称为管理VLAN。在VLAN及IP编址方案表中我们的管理VLAN的IP为192.168.1.0/24，这里为connect1的管理IP设置为192.168.1.1/24，具体配置如下命令4：Connect1(config)#interface vlan 1Connect1(config-if)#ip address 192.168.1.1 255.255.255.0Connect1(config-if)#no shutdown为了能让管理人员在不同的子网中管理此交换机，还应该设置默认网关，在这里为其设置成为192.168.1.254，命令如下：Connect1(config)#ip default-gateway 192.168.1.254将connect1设置成为VTP（vlan trunking protocol）的客户机，(VTP即vlan中断协议，使得vlan客户机可以从vlan服务机上获得vlan信息，这样就不必为每台交换机配置vlan，大大减轻了网络管理人员的工作负担，同时也减少了在不同交换机上输入命令时出错的机率，保证了网络的正常运行)命令如下：Connect1(config)#vtp mode client2.1.1对connect1的端口进行具体的配置1端口双工配置：Connect1(config)#interface range fastethernet 0/1-24Connect1(config-if-range)#duplex full2端口速度配置：Connect1(config)#interface range fastethernet 0/1-24Connect1(config-if-range)#speed 1003端口模式和端口所属VLAN的配置5在上面的拓扑结构图中我们很容易得出26端口属于VLAN2，712端口属于VLAN3，1318端口属于VLAN4，1922端口属于VLAN5，具体配置命令如下：Connect1(config)#vlan 2 name financeConnect1(config)#vlan 3 name Human_resourceConnect1(config)#vlan 4 name After_sale_serverConnect1(config)#vlan 5 name Public_relationsConnect1(config)#interface vlan 2Connect1(config-if)#ip address 192.168.2.254 255.255.255.0Connect1(config-if)#no shutdownConnect1(config-if)#exitConnect1(config)#interface vlan 3Connect1(config-if)#ip address 192.168.3.254 255.255.255.0Connect1(config-if)#no shutdownConnect1(config-if)#exitConnect1(config)#interface vlan 4Connect1(config-if)#ip address 192.168.4.254 255.255.255.0Connect1(config-if)#no shutdownConnect1(config-if)#exitConnect1(config)#interface vlan 5Connect1(config-if)#ip address 192.168.5.254 255.255.255.0Connect1(config-if)#no shutdownConnect1(config-if)#exitConnect1(config)#interface range fastethernet 0/1-22Connect1(config-if-range)#switchport mode accessConnect1(config-if-range)#exitConnect1(config)#interface range fastethernet 0/2-6Connect1(config-if-range)#switchport access vlan 2Connect1(config-if-range)#exitConnect1(config)#interface range fastethernet 0/7-12Connect1(config-if-range)#switchport access vlan 3Connect1(config-if-range)#exitConnect1(config)#interface range fastethernet 0/13-18Connect1(config-if-range)#switchport access vlan 4Connect1(config-if-range)#exitConnect1(config)#interface range fastethernet 0/19-22Connect1(config-if-range)#switchport access vlan 5Connect1(config-if-range)#exit4快速端口和主干端口进行配置Connect1(config)interface range fastethernet 0/1-22Connect1(config-if-range)#spanning-tree portfastConnect1(config-if-range)#exit由于connect1是通过23和24号端口分别与汇聚层的交换机1和交换机2相连，所以把connect1的23和24号端口设置成为主干端口。命令如下：Connect1(config)#interface range fastethernet 0/23-24Connect1(config-if-range)#switchport mode trunk到此，对connect1的配置已基本上完成，接下来我们将对接入层的第二个交换机connect2进行配置，其配置和connect1的配置大体上是一样的。Connect2通过23和24号端口分别与汇聚层的collect1和collect2连接。Connect2的VLAN的划分如下：26端口属于VLAN6，712端口属于VLAN7，1318端口属于VLAN8，1922端口属于VLAN9。Connect2的整体配置如下：Switch(config)#hostname connect2Connect2(config)#enable secret 123Connect2(config)#no ip domain-lookupConnect2(config)#logging synchronousConnect2(config)#line vty 0 15Connect2(config-line)#loginConnect2(config-line)#password 123Connect2(config-line)#exec-timeout 5 30Connect2(config-line)#exitConnect2(config)#line con 0Connect2(config-line)#exec-timeout 5 30Connect2(config-line)#exitConnect2(config)#interface vlan 1Connect2(config-if)#ip address 192.168.1.2 255.255.255.0Connect2(config-if)#no shutdownConnect2(config-if)#exitConnect2(config)#ip default-gateway 192.168.1.254Connect2(config)#vtp mode clientConnect2(config)#interface range fastethernet 0/1-24Connect2(config-if-range)#speed 100Connect2(config-if-range)#duplex fullConnect2(config-if-range)#exitConnect2(config)#vlan 6 name Technique_supportConnect2(config)#vlan 7 name produceConnect2(config)#vlan 8 name equipmentConnect2(config)#vlan 9 name saleConnect2(config)#interface vlan 6Connect2(config-if)#ip address 192.168.6.254 255.255.255.0Connect2(config-if)#no shutdownConnect2(config-if)#exitConnect2(config)#interface vlan 7Connect2(config-if)#ip address 192.168.7.254 255.255.255.0Connect2(config-if)#no shutdownConnect2(config-if)#exitConnect2(config)#interface vlan 8Connect2(config-if)#ip address 192.168.8.254 255.255.255.0Connect2(config-if)#no shutdownConnect2(config-if)#exitConnect2(config)#interface vlan 9Connect2(config-if)#ip address 192.168.9.254 255.255.255.0Connect2(config-if)#no shutdownConnect2(config-if)#exitConnect2(config)#interface range fastethernet 0/1-22Connect2(config-if-range)#switchport mode accessConnect2(config-if-range)#exitConnect2(config)#interface range fastethernet 0/2-6Connect2(config-if-range)#switchport access vlan 6Connect2(config-if-range)#exitConnect2(config)#interface range fastethernet 0/7-12Connect2(config-if-range)#switchport access vlan 7Connect2(config-if-range)#exitConnect2(config)#interface range fastethernet 0/13-18Connect2(config-if-range)#switchport access vlan 8Connect2(config-if-range)#exitConnect2(config)#interface range fastethernet 0/19-22Connect2(config-if-range)#switchport access vlan 9Connect2(config-if-range)#exitConnect2(config)#interface range fastethernet 0/1-22Connect2(config-if-range)#spanning-tree portfastConnect2(config-if-range)#exitConnect2(config)#interface range fastethernet 0/23-24Connect2(config-if-range)#switchport mode trunkConnect2(config-if-range)#exit到此为止，对接入层的配置已基本上完成了。接下来对汇聚层的交换机进行配置。2.2汇聚层交换服务的实现配置汇聚层交换机汇聚层除了负责将接入层交换机进行汇集外,还为整个交换网络提供VALN间的路由选择功能。在这里我们采用的是CISCO WS-C2950T-24型的交换机，这种交换机拥有24个10/100M的自适应快速以太网端口和2个10/100/1000M的自适应用于光纤接入的端口即上连端口。2.2.1配置汇聚层交换机collect1的基本参数对汇聚层交换机collect1的基本参数的配置与对接入层交换机connect1的基本参数配置类似。具体的配置命令如下：Switch#configure terminal(或者config t)Enter configuration commands one per line. End with CNTL/ZSwitch(config)#hostname collect1Collect1(config)#enable secret 123Collect1(config)#no ip domain-lookupCollect1(config)#logging synchronousCollect1(config)#line con 0Collect1(config-line)#exec-timeout 5 30Collect1(config-line)#exitCollect1(config)#line vty 0 15Collect1(config-line)#password 123Collect1(config-line)#loginCollect1(config-line)#exec-timeout 5 30Collect1(config-line)#exit2.2.2配置汇聚层交换机collect1的管理IP，默认网关每一台交换机都有一个默认的管理vlan即vlan1，用来管理该交换机，所以我们只需要为vlan1设置IP地址即可。同时为了能让网络管理人员在不同的子网中管理该交换机我们为其配置默认网关。具体配置命令如下：Collect1(config)#interface vlan 1Collect1(config-if)#ip address 192.168.1.3 255.255.255.0Collect1(config-if)#no shutdownCollect1(config-if)#exitCollect1(config)#ip default-gateway 192.168.1.2542.2.3配置汇聚层交换机collect1为VTP服务器当网络中交换机数量很多时，需要分别在每台交换机上创建很多的VLAN，工作量很大，过程很繁琐，并且很容易出错。所以在实际工作中我们都采用VTP来解决这个问题。我们只需要在VTP服务器上配置好LAN信息，VTP客户机就可以通过VTP来从VTP服务器上学习到VLAN信息了。同时，有关VLAN的删除，参数的更改操作都可以传播到其他的交换机上，从面大大减轻了网络管理人员的工作负担。命令如下：Collect1(config)#vtp domain ciscoCollect1(config)#vtp mode server2.2.4配置汇聚层交换机collect1的VTP剪裁功能一个交换网络中，某台交换机的所有端口都属于同一个VLAN，则它没有必要接收其他VLAN的用户数据，为了防止接收其他VLAN的用户数据我们可以启用VTP剪裁功能。命令如下：Collect1(config)#vtp pruning2.2.5为collect1配置vlan和端口设置在上面的拓扑结构图中我们可以看到我们的服务器群直接连接到我们的汇聚层交换机上。所以要在collect1上定义vlan，命令如下6：Collect1(config)#vlan 10 name Server_groupCollect1(config)#interface vlan 10Collect1(config-if)#ip address 192.168.10.254 255.255.255.0Collect1(config-if)#no shutdownCollect1(config-if)#exitCollect1(config)#interface range fastethernet 0/1-24Collect1(config-if-range)#duplex fullCollect1(config-if-range)#speed 100Collect1(config-if-range)#interface range fastethernet 0/1-22Collect1(config-if-range)#switchport mode accessCollect1(config-if-range)#spanning-tree portfastCollect1(config-if-range)#interface range fastethernet 0/1-15Collect1(config-if-range)#switchport access vlan 10Collect1(config-if-range)#interface range fastethernet 0/23-24Collect1(config-if-range)#switchport mode trunkCollect1(config-if-range)#interface range gigabitethernet 0/1-2Collect1(config-if-range)#switchport mode trunk2.2.6为collect1启用路由功能Collect1 (config) #ip routingCollect1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.254为了实现对无类别网络（Classless Network）以及全零子网（Subnet-zero）的支持，还需要进行相应的配置，如下所示：Collect1(config)#ip classlessCollect1(config)#ip subnet-zero2.2.7配置汇聚层交换机collect2汇聚层交换机collect2的配置和collect1的配置基本上相同，只是不需要为其配置VLAN。具体配置命令如下：Switch#configure t