某事业单位专用网设计方案

课程设计报告课程设计题目：某事业单位专用网设计方案专业：班级：姓名：学号:2指导教师:2013年12月15日某事业单位专用网设计方案1绪论1.1研究背景以某事业单位为背景设计一个简单的局域网，该单位有办公部门、财务部门、市场部门、技术部门、和生产等部门。现在为该单位组建局域网，包括Web、文件共享、邮件等服务器系统。通过调查得知该单位网络需求如下：市场和技术部门可以连接互联网；其他部门仅能连接局域网；相互之间进行访问或访问单位内的服务器；外网用户仅能直接访问该单位的Web服务；1.2主要工作本设计根据该单位的实际情况，设计单位局域网，能够实现Web和邮件能连接互联网，市场和技术部门可以连接互联网，其他部门仅能连接局域网，相互之间进行访问或访问单位内的服务器，外网用户仅能直接访问该单位的Web服务，确保局域网安全，提高网络质量，优化网络结构。1.3本文结构本文第1部分绪论主要说明了本文的研究背景和主要工作。第2部分系统实现，说明了需求分析、单位对办公网络的需求和施工方案的设计原则，及相关网络设备的选型。第3部分设计与实现，介绍了网络设备的拓扑图和相关设备的配置及设备的采购与施工安排。第4部分结束语。2系统实现2.1需求分析2.1.1办公网建设的重要性随着互联网的快速发展，人们对网络的依赖性越来越强。企业部门为了提高办公效率，促进信息交流，适应现代化办公的要求，需要组建单位局域网。组建办公局域网变的越来越重要。2.1.2公司对办公网络的需求计算机网络信息系统最基础的工作包括进行各方面数据资源的采集、加工、处理、分析等等，同时也包括各种信息资料的互通、各网络用户之间的通讯和协作等等。针对本公司的实际特点，本公司网络系统的建设从功能上来说主要包括以下几个方面的内容：（1）建立企业内部的、经济、方便、快捷的通讯平台；（2）满足企业内部市场动态信息的及时反馈、收集、指导生产良性循环；（3）建设公司对外的通讯联络设施；2.2方案设计2.2.1设计原则局域网总体设计目标是最大限度的满足应用系统的需求，与计算机及网络技术发展水平相适应。由于网络系统对工作的运作与发展具有非常重要的作用，因此网络改造系统的先进性、可靠性、安全性、易维护、易升级等方面均有一定的要求，网络系统对先进性的要求是在计算机技术突飞猛进的今天，提供达几年甚至更长时间的可用性。单位局域网设计必须满足其应用的要求，网络总体设计、建设的原则如下：(1)扩充性系统应易于升级和功能扩充。在系统容量、能力、处理能力等方面具有可扩充性，可以方便地进行产品的升级换代，不仅能够保护学校的投资，而且具有较高的综合性能价格比。(2)可靠性应该在系统结构、设计方案、设备选择、技术服务等方面综合考虑，保证系统能够无故障运行。同时系统必须具有出错处理、容错能力、冗余备份功能。(3)实用性整个网络的功能应完全立足于教学的需求，保证系统信息处理和传递的安全、可靠、及时、准确。(4)安全性网络系统必须具有高度的安全性和保密性，通过设置分级保护、控制数据存取的权限，防止对系统的非法侵入。(5)可维护性提供有效的网络管理和系统监控、调试、诊断技术，保证系统维护管理简明、方便、有效。(6)可操作性必须提供友好的中文界面，操作简便，容错性强，易于管理和维护。(7)经济性在充分满足系统应用功能需求和系统性能、并保证系统安全可靠性的前提下，选用物美价廉、经济实用的技术和产品。(8)先进性网络系统的构建应采用当前的主流技术，能够充分承载当前的各种应用系统，包括数据、语音、视频等多方面的系统的都能顺利、有效地开展工作。2.3网络设备选型网络主干设备的选型，建议网络主干设备或核心层设备选择具备第3层交换功能的高性能主干交换机。如果要求局域网主干具备高可靠性和可用性，还应该考虑核心交换机的冗余与热备份方案设计。汇聚层或接入层的网络设备类型，通常选择普通交换机即可，交换机的性能和数量由入网计算机的数量和网络拓扑结构决定。同一网络上的计算机如果超过一定数量（通常在200台左右），就很可能会因为网络上大量的广播而导致网络传输效率低下如果采用传统的路由器，虽然可以隔离广播，但是性能又得不到保障。而三层交换机的性能非常高，既有三层路由的功能，又具有二层交换的网络速度。除了必要的路由决定过程外，大部分数据转发过程由二层交换处理，提高了数据包转发的效率。三层交换机通过使用硬件交换机构实现了IP的路由功能，其优化的路由软件使得路由过程效率提高，解决了传统路由器软件路由的速度问题。因此可以说，三层交换机具有“路由器的功能、交换机的性能”。目前生产交换机的厂商比较多，著名的有Intel、3COM、Cisco、Bay、IBM等。3COM、IBM品牌是交换机市场的领袖。经过分析比较，我们选择性价比更高的CISCO公司的交换机。2.3.1路由器就企业局域网网络而言，由于大量的数据都发生在局域网内部，对路由器的性能要求不高，因此，可以选用中低端路由器。低端路由器主要适用中小办公网络的应用，考虑的一个主要因素是端口数量，另外还要看包交换能力。中端路由器适用大中型办公网络，选用的原则也是考虑端口支持能力和包交换能力。2.3.2交换机工作组交换机采用可网管交换机，实现对每台接入计算机的控制，实现VLAN（虚拟网）的划分，确保最大限度的网络访问安全。骨干交换机采用拥有千兆端口的可网管交换机实现与中心交换机的高速连接，避免可能产生的网络瓶颈。2.3.3服务器对于企业办公OA或数据库之类的服务器，应当选择高性能服务器。如果没有部门级服务器，可以将两台甚至多台工作组服务器制作为群集，提高网络服务性能。当服务器的性能不能满足网络访问需要时，可以利用已有的多台低配置服务器构建服务器群集，或者利用软件、硬件等方式实现服务器的负载均衡，既可以提高服务器的整体处理性能，又可以有效地延长服务器的使用寿命。该单位需要文件服务器、web服务器和邮件服务器等，通过对公司服务器的需求分析，我们应该选择IBM的服务器。IBMSystemx3650M3服务器的服务级别为企业级，服务类型为机架式，服务器类型为2U正满足公司对服务器的需求。3.1拓扑图和机柜图根据该单位的需求，单位要有办公部门、财务部门、市场部门、技术部门、和生产等部门。还需要有服务器。包括Web、文件共享、邮件等服务器系统。3.2、IP地址规划1、整个专网申请一个200.20.20.0/24的网络地址块部门共有地址IP网段IP地址范围交警总部20200.20.20.0/2720.1-20.30分段115200.20.20.32/2720.33-20.62分段28200.20.20.80/2820.81-20.94分段310200.20.20.6420.64-20.78帧中继网段4200.20.20.96/2920.97-20.1022、与路由器相连的外部网段210.20.1.0/24210.20.2.0/243.3总部与分段的跨区域组建该专网中设置一个总部及三个分段，四部分通过帧中继实现通信。1、首先分别为四个路由器中接入网云的接口添加已经规划好的共有IP地址（200.20.20.96/29网段）2、在每个路由器中添加动态帧中继。3、设置网云。实现路由间的通信。3.4总部的设置对于总部局域网，简单的设置了两台交换机（Shitch1和Switch2）与路由器相连。在总部内部使用似有地址块（192.168.10.0/24和192.168.20.0/24），其中Switch1连接192.168.10.0/24，Switch2连接192.168.20.0/24.1、在总部局域网中，各部门IP地址均由服务器与动态分配。2、由于局域网内使用似有IP地址，因此为了能访问外网，需要通过配置NAT进行连接地址转换。NAT不仅完美的解决了IP地址不足的问题。而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。在总部中只对192.168.10.0/24网段配置NAT，因袭只有该网段可以访问外网，其他网段只能在局域网内通信。并在192.168.10.0/24网段中的PC机设置了一台专门的pC，用来对个分段的远程访问。3.5分段的设置1、分段1在分段1中简单的添加一台交换机及两台PC。（1）DHCP配置。（2）静态路由。由于分段1通过总部路由器与总部通信，而在总部中使用了NAT，分段1到达NAT转换的共有网段，动态路由协议无法识别，因此需要在分段路由器中添加一条到达200.20.20.0/27网段的静态路由器。（3）ACL的配置。路由器上的访问控制列表是保护内部网安全的有效手段。一个设计良好的访问控制列表不进可以起到控制网络流量、流量的作用，还可以在不增加网络系统软硬件的情况下完成一般软件、硬件防火墙产品的功能。（4）远程访问控制。方便网络管理员对网络的管理，通过远程登录来控制其他路由器等。2、分段2分段2与分段1的设置基本相同，在分段2中添加了一台三层交换机与路由器相连，并将三层交换机设置成为DHCP服务器，用来动态分配IP地址。3、分段3与分段1配置一样。4路由器或交换机配置的代码4.1路由器配置代码（1）总部路由器1、路由器的命名：Router(confing)#hostnameR02、设置路由器加密使能口令R0(config)#enablesecret1233、设置远程访问虚拟终端口令：R0(config)linevty04R0(config-line)#passwordabcR0(config-line)#loginR0(config-line)#exit4、配置帧中继：R0（config）#interfaces0/0R0(config-if)#encapsulationframe-relayR0(config-if)#frame-relaylmi-typeciscoR0(config-if)#frame-relayinterface-dlci1025、配置NATR0(config)#ipnataa200.20.20.1200.20.20.30netmask255.255.255.224R0(config)#access-listpermit192.168.10.00.0.0.255R0(config)#ipnatinsidesourcelistpoolaaR0)config)#intf1/0R0(config-if)#ipnatinsideR0(config-if)#exitR0(config-if)#ints0/1R0(config-if)#innatoutsideR0(config-if)exitR0(config)#ipnatpoolbb200.20.20.1200.20.20.30netmask255.255.255.224R1(config)#access-list2permitsourcelist2poolbbR0(config)intf1/0R0(config-if)#iponatinsideR0(config-if)#exitR0(config)ints0/0R0(config-if)#ipnatoutsideR0(config-if)#exit6、配置DHCPR0(config)#intf1/0R0(config-if)#iphelper-address192.168.20.2547、配置动态路由协议（eigip）R0(config)#routereigip100R0(config-router)#noauto-summaryR0(config-router)#net200.20.20.960.0.0.7R0(config-router)#net210.10.1.00.0.0.255R0(config-router)#exit(2)分段路由器与总部路由器配置基本相同，需配置帧中继，动态路由协议，不需要配置NAT，除此之外，需配置ACL,SSH远程登录等1、配置单向ACLR1（config）#access-list101denyicmp200.20.20.320.0.0.31210.20.2.