网络综合课程设计报告

课程设计任务书2012～2013学年第二学期题目中小型企业网络设计课程设计名称网络综合课程设计专业班级网络工程（1）班姓名/学号指导教师汪彩梅李正茂2013年6月一、课程设计目的通过“网络综合课程设计”的环节，以系统集成项目的调研、规划与实施为主线，根据专业所学，完成网络基础架构、网络系统的安装与配置、网络安全、网络管理等计算机网络技术的综合设计与应用。通过课程设计，使学生进一步巩固在计算机网络课程中学到的专业知识，深入掌握计算机网络工程的设计与施工、网络系统的安装与配置技术，了解网络系统建设各部分之间的相互关系，提高学生计算机网络技术的综合运用和实际动手能力，培养学生的分工协作的团队精神。二、课程设计的名称及内容名称：企业网络集成项目规划与实施企业背景描述及需求：中小型企业网构建简单的说就是将中小型企业内各种信息资源通过高性能网络设备连接起来，形成园区网系统，以便资源共享，并通过路由器与外网相连。随着网络的的普及和快速发展，病毒、木马、黑客攻击等危害行为随之产生，所以构建一个安全、企业网显得尤为重要。某企业分为管理层、销售部、财务部、技术部等部门，且已在ISP申请了58.242.1.1至58.242.1.1010个公网地址，要求为全部用户提供安全的网络接入，企业网覆盖企业所有楼宇，企业要求建设对外的服务，电子邮件,对内部用户的文件传输服务、内部域名服务和企业内部门户网站，要求对用户实现域模式管理，建立严格的资源访问控制，为保证业务的正常开展，要求建立完善的网络安全体系和网络管理系统，允许外网可信任用户远程访问企业内网资源。内容：第一节总体目标1、完成该企业网络与信息化建设系统集成项目从规划到实施以及管理的全部工作。2、在企业网中建成一个适合于信息采集、共享的内部网络，在此基础上建立起供用户培训使用的内部网络以及内部办公网络。3、使用防火墙、访问控制列表、地址转换安全的实现到Internet的接入与访问，及实现信息在Internet的发布。三、任务和要求1、任务（1）共有任务：①、需求分析：随着信息时代的到来,无论是办公或者是通信都离不开计算机。现在的人越来越依靠于计算机，再加上电子商务行业的飞速发展Internet的应用也更加广泛。由于这样的社会环境人们对各种数据形式的信息需求和交流的不断增长，使得当今的计算机网络，成为信息技术的基础设施与获取、共享和交流信息的主要工具，并成为人们在当今社会生活及工作中不可缺少的组成部分。因此，在全球信息电子化、网络化迅速发展的大环境下，无论是从大趋势上看，还是从自身商业利益角度考虑，建立园区网是企业顺应时代潮流的必由之路。根据本园区网实际情况主要应用需求分析如下：（1）用户的应用需求：所有用户可以方便地浏览和查询局域网和互联网上的学习资源，通过服务器、电子邮件服务器、文件服务器、远程登录等实现远程学习，此外为销售部、管理部、技术研发部、财务部等用户。（2）通信需求：通过E-mail及其它网络功能满足全网的通信与信息交换的要求，提供文件数据共享、电子邮箱服务等。（3）信息点和用户需求：按照要求本园区网内信息点要求，其中包括销售部、管理部、技术研发部和财务部若干个，电子邮件服务器、文件服务服务器、DNS域名服务器等为内部单位服务，服务器、远程登录等实现远程学习，从外部网站获得资源。（4）性能需求：此企业需要支持企业的日常办公和管理，包括销售管理、技术管理、财务管理等并且支持网络信息传输要求。（5）安全与管理需求：企业基本信息档案和重要的工作文件要求对数据存储、传输的安全性的性能较高，如销售管理、技术管理、财务管理等可以通过分布式、集中式相集合的方法进行管理。网络安全对于网络系统来说是十分重要的，它直接关系到网络的正常使用。由于企业内部网与外部网进行互联特别是和Internet的互联，Internet是一个开放式网络系统，它的安全性是很差的。因此安全问题更加重要。应该采用一定的技术来控制网络的安全性，从内部和外部同时对网络资源的访问进行控制。当前主要的网络安全技术有，用户身份验证，VLAN划分，防火墙等技术。网络系统还就具备高度的数据安全性和保密性。（6）实用与经济性：企业的特点决定了园区网络系统必需要有实用与经济性。实用性使得网络便于管理、维护，以减少网络使用人员运用网络的难度，从而降低人为操作引起的网络故障，并使更多的人掌握网络的使用。由于企业的资金有限，所以在建设园区网时一定要使用性价比高的网络技术和网络设备，以节约建设资金。②图1-1项目整体架构图③网络基础架构规划与实施第一节设计原则由于计算机与网络技术的特殊性，网络建设需要考虑以下一些因素：系统的先进性、体统的稳定性、系统的可扩展性、系统的可维护性、应用系统和网络系统的配合度、与外界网络的连通性等。（一）选择可扩充的网络架构园区网的用户数量或服务功能是逐步提高的，网络技术也是日新月异的，新技术新产品不断地涌现。一般情况下，企业网的建设资金用量非常大，所以在园区网构建时，宜采用当时最新的网络技术，结合公司财力，实行分步实施，循序渐进。这就要求在网络构件时要选择具有良好可扩展性能的网络互连设备，有效地保护现有的投资。（二）充分共享络资源组建计算机网络的主要目的是实现资源共享，这个资源包括硬件资源、软件资源。网络用户通过网络不仅可以实现文件共享、数据共享，还可以通过网络实现网络设备的共享，如打印机、存储设备的共享等。（三）网络可管理性，降低网络运行及维护成本降低网络运营成本和维护成本是网络设计过程中必须考虑的一个环节。只要在网络设计时选用支持网络管理功能的网络设备，才能为将来降低网络运行及基础。（四）网络系统与应用系统的整和园区网构建了园区内通畅的数据流通路，为应用系统发挥更大的作用打下了基础。网络系统与应系统要能够很好的融合，才能发挥园区网的效率和优势，构建校园网的目的并不是只为了人们浏览Internet的方便。应用系统应能够在网络平台上，与硬件平台很好的结合，发挥出网络的优势。（五）建设成本考虑园区网工程在建设方面都希望成本较低，整个网络系统有较高的性价比，在设备选型等方面选用性价比高的网络产品。（六）高可靠性网络要求具有高可靠性、高稳定性和足够设备冗余和备份，防止局部故障引起整个网络系统的瘫痪，避免网络出现单点失效的情况。在网络干线上要提供备份链路。在网络设备上要提供适当的冗余配置。采用各种有效的安全措施，保证网络系统和应用系统安全运行。安全包括4个层面-网络安全，操作系统安全，数据库安全，应用系统安全。由于Internet的开放性，世界各地的Internet用户也可访问校园网，校园网将采用防火墙、数据加密等技术防止非法侵入、防止窃听和篡改数据、路由信息的安全保护来保证安全。同时要建立系统和数据库的磁带备份系统。各主要节点的交换机分别用光纤与网络中心的中心交换机相连接，构成校园网千兆位以太网的主干网络。④小组成员分工：小组共有四名成员：董宇，杨光巨，高陆林，张高鹏。我的任务是：入侵检测系统与漏洞扫描服务的架设。第二节主要技术介绍根据园区网的设计需求，来完成企业Web、Mail、DNS、DHCP、数据库等基础服务的规划与建设，需要以下主要技术：（1）vlan划分（2）不同vlan间通信（3）以太通道技术（4）HSRP热备份技术（5）STP技术（6）防火墙技术（7）远程登录（8）地址转换第三节设备选型（1）依照分层的原理设计网络：整个园区网是严格按照cisco建议的核心层三层模型设计的。其中，核心层负责实现高速数据转发；接入层负责策略实施，如vlan划分等；接入层连接最终用户，如PC机或笔记本电脑。由于企业网比较小，把汇聚层和接入层合为一层，管理部，技术部，财务部，销售部，都是采用cisco的低端交换机c2960。汇聚层采用的是cisco的中高端交换机（三层交换机）3560.出口路由器采用的cisco的系列路由器。园区的出口防火墙为PIX802，采用的是最基本的包过滤防火墙模式。这样可以方面企业各部门之间的互相访问，既节省了企业资金，又提高了企业生产效率。（2）线缆的选择：根据同种设备用交叉线，异种设备用直通线的原理，线缆选择如下:用户与交换机：直通线交换机与三层交换机：交叉线三层交换机与出口路由器：直通线出口路由器与ISP运营商：广域网线第四章系统详细设计第一节网络基础架构的详细设计（1）PT模拟器拓扑及地址规划：维护成本打下坚实的图1-2模拟器拓扑图GNS3模拟器拓扑图：图1-3模拟器拓扑图(2）设计分布:在本园区网设计中，整个网络分成内网、外网及分部三部分分别进行设计。一、内网：在汇聚层之下二层交换机上分为管理部、技术部、销售部、财务部部和DMZ区域。DMZ区域:在DMZ区域放置WEB服务器，DHCP服务器，FTP服务器，DNS服务器，EMAIL服务器。管理部：企业中的管理人员所在的区域技术部：企业中技术人员所在区域财务部：企业的财务部门，安全要求很高销售部：专门掌握企业的销售人员所在的部门二、外网：通过电信出外网。(3)主要部署环节:一、地址规划根据园区网设计要求，该企业已在ISP申请了58.242.1.1至58.242.1.10几个公网地址，要求为全部用户提供安全的网络接入，企业网覆盖企业所有楼宇。所以公网IP地址是58.242.1.1至58.242.1.10。企业内部地址为一致的私有地址，在本设计中私网地址为192.168.0.0/24和172.25.0.0/24。二、VLAN划分配置后结果为：区域VLAN名称管理部vlan12Guanlibu销售部vlan34Xiaoshoubu财务部Vlan22Caiwubu技术部vlan56Jishubuvlan1是默认的管理vlan，所以vlan1是不需要创建的，在实验中，vlan1是与路由器连接的地址。2．把用户接入到对应的vlan中语句如下：3.最终VlAN划分如下：区域VLANIP地址范围网关地址管理部vlan12192.168.1.0/24192.168.1.254/24销售部vlan34192.168.2.0/24172.25.2.254/24财务部vlan22192.168.22.0/2192.168.22.254/244技术部vlan56192.168.3.0/24172.25.3.254/24三、路由选择在本园区网设计中，使用了多种路由选择方式，考虑到所有设备均是cisco的设备，所以采用思科最快、最稳定的路由协议——Eigrp；以及相关的静态、默认路由。（1）在汇聚层交换机和内部路由器、以及防火墙、出网路由之间使用路由信息协议Eigrproutereigrp1//开启动态路由协议eigrpnoau//关闭自动汇总network192.168.0.0255.255.255.0//让10网段的接口参与到路由协议中（2）在出口路由器上做动态路由协议：redistatic//在出网路由上重分发直连，内部学习到外部的路由条目，防止内部的目标不可达iproute0.0.0.00.0.0.0210.46.1.1//在出口路由器上做默认路由指向isp的接口：配置完成后，在汇聚层交换机和出口路由器里分别查看路由表，以保证路由信息的正确性：语句为showiproute，结果如下图：三层交换的路由表：图1-3路由配置表内部路由器的路由表：图1-4路由配置图出口路由器路由表：图1-5路由配置表四、地址转换在本园区网中，地址转换的方法是NAT技术。NAT技术就是为了解决IPV4地址不足而产生的技术。它主要的功能是把私有IP地址转换为公有IP地址。内网可以使用私有地址，但在访问外网的时候还需要使用公网地址。因为在互联网上是不允许私有IP地址的运行的。NAT技术主要分为三类：静态地址转换、动态地址转换和端口地址转换。在本王设计中，在内网访问外网时采用的是动态NAT，而在外网访问内网时采用的是静态NAT。（1）NAT图1-6NAT配置表我的任务：网络安全相关设计（漏洞扫描和入侵检测）依据业务管理和安全需求在企业内部架设入侵检测系统，并布置漏洞扫描系统，防止由于服务