毕业论文-企业大型网络规划与设计

毕业论文论文题目:****企业大型网络规划与设计****企业大型网络规划与设计摘要：网络技术发展到现在已经相当成熟，人们因为互联网而改变了他们的生活，企业通过局域网的建设充分发挥了信息系统在生产中的作用。本论文叙述了通过对关键技术的应用，结合相关网络知识对一家大型****企业的网络进行了整体规划设计。结合实际需求，通过对网络架构组建方案的设计、基于安全的网络配置方案设计、服务器架设方案设计、企业网络高级服务设计等方面的研究，详尽的探讨了对该网络进行规划设计时遇到的关键性问题，以及网络相关的服务，给出了网络规划设计解决方案。关键词：****企业，网络，信息安全，无线局域网CigaretteenterprisenetworkplanninganddesignAbstract：Thenetworktechnologyhasbeenquitematureuptillnow.People'sliveshavebeenchangedbecauseoftheInternet,Enterprisesmakefulluseofthesystemofinformationintheproductionthroughtheconstructionoflocalareanetwork(LAN)Thispaperisaboutmakinganoverallplanninganddesigninanetworkofalargetobacoomanufacturingenterprisebyapplyingsomekeytechnologiesandrelatednetworkknowledge.Combinedwiththeactualdemand,throughstudyingthedesignofthenetworkinfrastructure,thedesignofsecurity-basednetworkconfigurationsolution,thedesignoftheinfrastructureofseverfarm,thedesignofadvanceservices,thispaperdiscussesindetailsomekeyproblemswemetindesigingthenetwork,theservicerelatedtothenetworkdesign.andgivesasolutiontonetworkplanninganddesignKeywords：tobaccocompanies,network，informationtechnologysecurity,wirelesslocalareanetwork1绪论1.1项目背景在****行业大力推进联合重组、做大做强的形势下，为进一步提高制造工艺技术水平、增强企业的品牌竞争能力、提升企业的经济效益，********启动“******”********项目。项目将充分响应国家**********“努力将项目建成国内一流水平”的指示，发扬“敢想敢拼、善谋善为”的企业精神，打造“国内一流、国际先进”的****制造基地，使公司成为中国****工业少数几个强势企业之一奠定基础。“******”************项目，将企业搬迁至新厂区。整个项目占地约****亩，规模年产*******，项目一期建筑面积******万平方米，总投资约**亿元。为了在异地****中更好地发挥信息化系统的作用，企业要求对网络进行整体的规划、设计。2网络技术原理2.1路由技术路由协议工作在OSI参考模型的第3层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表，路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本工程案例设计中，内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。路由器是外网进入企业网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表（AccessControlList，ACL）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护[1]。2.2交换技术传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了企业网数据交换服务质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网（VirtualLAN，VLAN）的概念。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（VlanTrunkingProtocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性，在企业网内部数据交换的部署是分层进行的。企业网数据交换设备可以划分为三个层次：接入层、分布层、核心层。接入层为所有的终端用户提供一个接入点；分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能；核心层将各分布层交换机互连起来进行穿越企业网骨干的高速数据交换。在本工程案例设计中，也将采用这三层进行分开设计、配置[2]。2.3远程访问技术远程访问也是企业网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型：专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同，花费也不相同。企业用户可以根据所需带宽、本地服务可用性、花费等因素综合考虑，选择一种适合企业自身需要的广域网接入方案。在本工程案例设计中，分别采用专线连接的VPN和PBR两种方式实现远程访问需求[3]。2.4VLANVLAN（VirtualLocalAreaNetwork）的中文名为虚拟局域网。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一技术主要应用于交换机和路由器中，但主流应用还是在三层交换机之中。通过将局域网内的设备逻辑地而不是物理地划分成一个个不同的广播域（或称虚拟LAN，即VLAN），两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLANID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。不同的VLAN之间的通讯是需要有路由来完成的[4]。2.5DHCPDHCP是DynamicHostConfigurationProtocol(动态主机分配协议)缩写。它分为两个部份：一个是服务器端，而另一个是客户端。所有的IP网络设定数据都由DHCP服务器集中管理，并负责处理客户端的DHCP要求；而客户端则会使用从服务器分配下来的IP环境数据。比较起BOOTP，DHCP透过租约的概念，有效且动态的分配客户端的TCP/IP设定，而且，作为兼容考虑，DHCP的分配形式首先，必须至少有一台DHCP工作在网络上面，它会监听网络的DHCP请求，并与客户端磋商TCP/IP的设定环境。DHCP是BOOTP的扩展，是基于C/S模式的，它提供了一种动态指定IP地址和配置参数的机制。这主要用于大型网络环境和配置比较困难的地方。DHCP服务器自动为客户机指定IP地址，指定的配置参数有些和IP协议并不相关，但这必没有关系，它的配置参数使得网络上的计算机通信变得方便而容易实现了。DHCP使IP地址的可以租用，对于许多拥有许多台计算机的大型网络来说，每台计算机拥有一个IP地址有时候可能是不必要的。租期从1分钟到100年不定，当租期到了的时候，服务器可以把这个IP地址分配给别的机器使用。客户也可以请求使用自己喜欢的网络地址及相应的配置参数[5]。2.6VPNVPN的英文全称是“VirtualPrivateNetwork”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或WINDOWS2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网[3]。2.7PVSTPVST:Per-VLANSpanningTree（每VLAN生成树）PVST是解决在虚拟局域网上处理生成树的CISCO特有解决方案．PVST为每个虚拟局域网运行单独的生成树实例．一般情况下PVST要求在交换机之间的中继链路上运行CISCO的ISL。每VLAN生成树(PVST)为每个在网络中配置的VLAN维护一个生成树实例。它使用ISL中继和允许一个VLAN中继当被其它VLANs的阻塞时将一些VLANs转发。尽管PVST对待每个VLAN作为一个单独的网络，它有能力(在第2层)通过一些在主干和其它在另一个主干中的不引起生成树循环的Vlans中的一些VLANs来负载平衡通信[6]。2.8HSRPHSRP：热备份路由器协议（HSRP：HotStandbyRouterProtocol）热备份路由器协议（HSRP）的设计目标是支持特定情况下IP流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说，当源主机不能动态知道第一跳路由器的IP地址时，HSRP协议能够保护第一跳路由器不出故障。该协议中含有多种路由器，对应一个虚拟路由器。HSRP协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。负责转发数据包的路由器称之为主动路由器（ActiveRouter）。一旦主动路由器出现故障，HSRP将激活备份路由器（StandbyRouters）取代主动路由器。HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的IP地址作为网络系统的缺省网关地址。如果主动路由器出现故障，备份路由器（StandbyRouters）承接主动路由器的所有任务，并且不会导致主机连通中断现象。HSRP运行在UDP上，采用端口号1985。路由器转发协议数据包的源地址使用的是实际IP地址，而并非虚拟地址，正是基于这一点，HSRP路由器间能相互识别[7]。2.9AAA认证AAA-----身份验证(Authentication)、授