企业局域网设计毕业论文

企业局域网设计毕业论文

摘 要

摘 要

本设计方案是关于小型企业局域网的设计，设计方案分为三个模块：交换模块、Internet接入模块、远程访问模块。

根据各部门职能不同把交换模块划分为不同的VLAN，从而减少了广播冲突提高了传输效率，通过部署ACL限制用户的访问，有效地保护敏感数据，提高了网络安全性。借助三层交换机的路由功能，可以实现各VLAN间数据包高速转发，解决VLAN之间的传输瓶颈。

Internet接入模块功能主要通过路由器来实现，它的作用主要是建立外网和企业网的正常通信。使企业网的用户访问Internet同时Internet用户能在一定程度上访问企业网。通过配置NAT(Net Address Translation)，不仅是企业网用户可以访问Internet，而且对外隐藏企业网内部地址，从而实现地址保护。

远程访问模块是针对移动用户设计的。通过VPN（Virtual Private Network）技术可以在公共网络的两个端点间建立一条逻辑连接，使在外办公人员可以通过Internet访问公司内部网，极大地提高了办公效率，同时免去了高昂的专线租用费用。

关键字：企业局域网、虚拟局域网、网络地址转换

I

企业局域网设计毕业论文

Abstract

Abstract

This design proposal is about the design of small business local area network, which is divided into three modules: switching module, Internet access module, remote access module.

According to the functions of different departments divide switching module into different VLAN, thus reducing the broadcast conflict and improving transmission efficiency, through the deployment of ACL limit user's access to a sub-network, Protect the sensitive data effective and improve network security. With the routing function of Layer 3Switch routing, each VLAN can be achieved the high-speed packet forwarding, solving the transmission bottleneck.

Internet access module functions primarily achieved through the router, which function is mainly the role of networks and enterprise networks outside the normal communication within the gateway. Then enterprise network users can access Internet while Internet users can access the corporate network to some extent. By configuring NAT (Net Address Translation), not only the enterprise network users can access the Internet, but also achieved the protection of address by hiding the internal corporate network address.

Remote Access Module is designed for mobile users. It could establish a logical connection in the two endpoints of public networks through the VPN (Virtual Private Network) technology , so that staff can access the corporate network over the Internet, greatly improved the office efficiency while eliminating the high cost of leased line. Keywords : Enterprise LAN, VLAN, NAT

II

企业局域网设计毕业论文

目 录

目 录

摘 要 ............................................................. I ABSTRACT .......................................................... II 目 录 ........................................................... III

第一章 引 言 ...................................................... 1

1.1 课题的背景 ................................................. 1

1.2 国内外企业局域网建设现状 ................................... 1

1.3 企业局域网建设的目标与意义 ................................. 2

第二章 可行性研究和需求分析 ........................................ 4

2.1 技术可行性 ................................................. 4

2.1.1 NAT技术 ............................................... 4

2.1.2 VLAN技术 .............................................. 5

2.1.3 三层交换技术 .......................................... 5

2.1.4 ACL技术 ............................................... 5

2.2 需求分析 ................................................... 6

2.2.1 带宽性能需求 .......................................... 6

2.2.2 网络安全需求 .......................................... 6

2.2.3 应用服务需求 .......................................... 6

2.3 设计所需环境 ............................................... 7

2.3.1 硬件要求 .............................................. 7

2.3.2 软件要求 .............................................. 7

第三章 系统设计方案 ................................................ 8

3.1 系统设计原则 ............................................... 8

3.1.1 实用性 ................................................ 8

3.1.2 安全性 ................................................ 8

3.1.3 可扩充性 .............................................. 8

3.1.4 可管理性 .............................................. 8 III

企业局域网设计毕业论文

目 录

3.1.5 高性能价格比 .......................................... 9

3.2 网络设备选型 ............................................... 9

3.3 系统总体设计和拓扑结构 ..................................... 9

3.3.1 系统总体设计方案 ..................................... 10

3.3.2 VLAN划分和IP地址规划 ................................ 12

第四章 交换模块 ................................................... 14

4.1 核心层交换机配置 .......................................... 14

4.1.1 设置核心交换机名称 ................................... 14

4.1.2 启动三层交换机的路由功能 ............................. 14

4.1.3 核心交换机接口设置 ................................... 14

4.1.4 创建服务器群VLAN7 .................................... 15

4.1.5 配置静态路由 ......................................... 15

4.1.6 默认路由配置 ......................................... 16

4.2 汇聚层交换机配置 .......................................... 16

4.2.1 设置交换机名称 ....................................... 16

4.2.2 配置G0/1接口 ........................................ 17

4.2.3 创建VLAN10-40 ........................................ 17

4.2.4 为各VLAN分配IP地址 ................................. 17

4.2.5 将端口划入各个VLAN中 ................................ 18

4.2.6 启动3560交换机路由功能 .............................. 18

4.2.7 默认路由设置 ......................................... 19

4.3 DHCP设置 .................................................. 19

4.3.1 配置3560为DHCP服务器 ............................... 20

4.3.2 配置客户端自动获取IP ................................. 21

第五章 INTERNET接入模块 ........................................... 22

5.1 路由器基本参数配置 ........................................ 23

5.2 设置路由器R-2811-A各接口参数 ............................. 24

5.2.1 路由器F0/0接口配置 .................................. 25

5.2.2 路由器F0/1接口配置 .................................. 25 IV

企业局域网设计毕业论文

目 录

5.2.3 验证路由器接口IP配置 ................................ 25

5.3 NAT设置 ................................................... 26

5.3.1 设置路由器NAT ........................................ 27

5.3.2 定义内部外接口 ....................................... 27

5.3.3 配置路由器的路由功能 ................................. 28

5.3.4 验证地址转换 ......................................... 29

5.4 路由器的安全问题 .......................................... 29

5.4.1 对外禁用telnet协议 .................................. 30

5.4.2 对外禁用snmp、snmptrap ............................... 30

5.4.3 对外屏蔽其他不安全的协议或服务 ....................... 30

5.4.4 针对DoS攻击的设计 ................................... 31

第六章 远程访问模块 ............................................... 32

6.1 IPSec远程接入EVS设置 ..................................... 32

6.1.1 配置过程 ............................................. 32

6.1.2 认证策略 ............................................. 33

6.1.3 设置组策略 ........................................... 34

6.1.4 IKE阶段1策略 ........................................ 34

6.1.5 动态加密映射 ......................................... 35

6.1.6 静态加密映射 ......................................... 35

6.2 IPSec远程接入EVC设置 ..................................... 35

6.3 VPN访问连接测试 ........................................... 37

总 结 ............................................................ 39

参考文献 .......................................................... 40

致 谢 ............................................................ 41

V

企业局域网设计毕业论文

第一章 引 言

第一章 引 言

1.1 课题的背景

随着近年来企业信息化建设的不断深入，企业的运作越来越融入计算机网络，企业的沟通、应用、财务、决策、会议等数据流都在企业网络上传输，全球的企业都在快速的进入一个崭新的网络信息时代，企业信息化建设已经成为衡量一个企业实力的重要标志。通过信息化提高企业的竞争力已成为大多数企业的共识。

在现在企业中，普遍存在资金不足、信息基础薄弱、技术人员匮乏等特点，使得他们不能有效地将自身传统业务与信息系统很好的结合起来，以至于常常会出现投入不见效的情况。究其原因，在于企业信息化观念不够，信息系统没有总体设计原则，信息化建设缺乏规划，致使企业协同运作存在障碍，运营成本居高不下。作为企业的局域网，它不仅可以为企业提供高效的办公环境，还可以实现硬件资源和软件资源的共享从而节省了企业大量开支，又便于集中管理和提高工作效率。其次企业局域网要实现内部网络与外部网络的连接，从而极大的方便了企业和外界的沟通，这样不仅可以降低企业的生产成本，也可以实现异地办公。企业用户可以方便地传输各类数据，开展各类网络应用。

随着我国计算机网络技术尤其是Internet技术的高速发展，加快对企业局域网建设迫在眉睫。因此构建一个“安全可靠、性能卓越、管理方便”的企业局域网，已经成为企业信息化建设成功的关键基石。

本课题的设计需要综合运用各种知识来完成本课题，不仅可以使我进一步掌握计算机网络原理、熟悉企业局域网的设计搭建，而且可以增强了我的自学能力和动手能力。

1.2 国内外企业局域网建设现状

目前，计算机网络被广泛应用于个人、工商业、教育业、各级政府、各种军事单位等多种场合，社会各部门都可以通过网络实现信息快捷可靠的无缝连 1

企业局域网设计毕业论文

第一章 引 言

接和共享，计算机网络已遍及社会的每个领域，成为当今社会的一个基本元素。

国外欧美的发达国家的企业在局域网建设走的比较早，随着网络技术的不断进步以及通信产品技术的不断完善，现在欧美发达国家企业局域网建设完全达到了办公自动化，而且宽带大，速度快，超过一半以上的企业拥有自己的网站，成为对外联络的主要窗口，企业内部网络安全等级较高。

国内企业局域网建设近年来有了长足的发展，但和欧美发达国家的企业局域网相比还有着明显的不足主要体现在：

1、低水平重复建设且成本高昂：各部门拥有相对独立的信息系统，资源分散于各部门之中，容易形成信息孤岛。

2、管理信息和反馈信息不能迅速传递：随着企业的发展，数据信息流不断增加，对于各部门管理提出了快速响应的要求。

随着计算机网络技术的飞速发展，与社会生活关系最紧密的局域网也得到越来越广泛的应用——事实上，局域网已是目前应用最广泛的一类网络。局域网拥有组建灵活、功能强大、维护便捷等优点，也正因为这样，局域网才成为计算机网络领域的明星，受到越来越多用户的欢迎；也正是因为局域网的出现，使计算机网络的威力获得了更充分的发挥，使得计算机网络在很短的时间内就深入到社会的各个领域。同时，局域网技术也因而成为目前最为活跃的技术领域之一，各类局域网层出不穷并得到了广泛的应用，极大地推进了整个社会的信息化发展。

1.3 企业局域网建设的目标与意义

企业信息化建设是国际信息化的基础和重要组成部分，是提高企业办事效率，提高企业综合素质，是企业不断迈上新的台阶，成为一流企业的有效措施。

企业局域网的建设的目标是为全企业人员提供一个信息交流和合作平台，在需要连接Internet时，以充分利用因特网上的资源，实现对外（企业与企业，企业与社会）的信息发布、交流与合作，对于企业的发展具有积极的社会意义与经济效益：

2

企业局域网设计毕业论文

第一章 引 言

1、扩大企业在社会上的影响力，提高其知名度，为外界了解企业文化提供一个简单、便捷的窗口。

2、在整个企业内部提供一个良好的信息传递通道，企业内部的政策、资源、通知可以在全企业进行迅速传递。

3、实现企业的办公自动化，有效地降低了办公地成本。

4、企业的各级领导得以最快、最有效的方式对企业内部运作过程中的各种信息进行有效了解并采取有效措施，同时得到全面的决策支持。

5、企业内部人员可以方便安全的访问外部因特网。

6、流行、先进、合适的应用软件开发技术和办公自动化系统，构造具体的应用环境。

3

企业局域网设计毕业论文

第二章 可行性研究和需求分析

第二章 可行性研究和需求分析

2.1 技术可行性

2.1.1 NAT技术

NAT技术主要实现内部网络地址转换，静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址，这样方便外网用户访问企业Web网；动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络；端口多路复用地址转换（PAT）是把内部地址映射到外部网络的一个IP地址的不同端口上，把企业内部网IP转换为公网IP地址，使内部用户可以方便的访问Internet。

目前，NAT技术主要用于连接和安全方面。目前企业内部网络用户数量大，而能申请的合法的全球唯一IP地址有限。NAT能够有效的解决企业IP地址短缺问题，利用NAT技术能够实现多个用户共同使用一个合法的IP地址连接互联网。而另一种需要出于安全方面来考虑，在一定程度上防范网络攻击的发生。企业期望隐藏LAN内部网络结构，NAT可以将内部LAN与外部 Internet隔离，使外部网络用户无法了解通过NAT设置的内部IP地址。

NAT技术在企业中都采取两种技术类型结合应用，比较好的还是和端口复用地址转换。结合起来的技术如：端口复用地址转换、TCP/UDP端口NAT映射、静态地址转换+端口复用地址转换、动态地址转换+端口复用地址转换。

我们知道，不同应用程序使用TCP/UDP端口是不同的，例如，WEB服务器使用80、FTP服务使用21、SMTP服务使用25、POP3服务使用110等。由于每种应用服务器都有自己默认的端口，所以这种NAT方式下，网络内部每种应用服务器成为Internet中的主机，例如，只能有一台WEB服务器、一台E-mail服务、一台FTP服务器。尽管可以采用改变默认端口的方式创建多台应用服务器，但这种服务器在访问时比较困难，要求用户必须先了解某种服务采用的新TCP端口。因此，可以将不同的TCP端口绑定至不同的内部IP地址，从而只使用一个IP地址，即可在允许内部所有服务器被Internet访问的同时，实现内部 4

企业局域网设计毕业论文

第二章 可行性研究和需求分析

所有主机对Internet的访问。

2.1.2 VLAN技术

根据各部门职能不同把各部门划入不同的VLAN减少了广播，提高了通信效率。VLAN(Virtual Local Area Network)就是虚拟局域网的意思。VLAN可以不考虑用户的物理位置，而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组，每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。同一个VLAN中的成员都共享广播，形成一个广播域，而不同VLAN之间广播信息是相互隔离的。这样，将整个网络分割成多个不同的广播域(VLAN)。 一般来说，如果一个VLAN里面的工作站发送一个广播，那么这个VLAN里面所有的工作站都接收到这个广播，但是交换机不会将广播发送至其他VLAN上的任何一个端口。如果要将广播发送到其它的VLAN端口，就要用到三层交换机。

2.1.3 三层交换技术

三层交换（也称多层交换技术，或IP交换技术）是相对于传统交换概念而提出的。众所周知，传统的交换技术是在OSI网络标准模型中的第二层——数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说，三层交换技术就是：二层交换技术＋三层转发技术。 三层交换技术的出现，解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络传输瓶颈问题。

2.1.4 ACL技术

控制访问列表（Access Control List，ACL）: ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。

ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络， 5

企业局域网设计毕业论文

第二章 可行性研究和需求分析

而拒绝主机B访问。

ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

例如：某部门要求只能使用 WWW 这个功能，就可以通过ACL实现； 又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。

2.2 需求分析

2.2.1 带宽性能需求

现代企业网络应具有更高的带宽，更强大的性能，以满足用户日益增长的通信需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台，不仅要继续承载企业的办公自动化，Web浏览等简单的数据业务，还要承载设计企业生产运营的各种业务应用系统数据，以及带宽和要求很高的IP电话、视频会议等多媒体业务。因此，数据流量将大大增加，尤其对核心网络的数据交换能力提出了更高的要求。另外，随着千兆位端口成本的持续下降，千兆位到桌面的应用会在不久的将来成为企业网主流。构建一个畅通无阻的“高品质”企业局域网，才能适应网络规模的扩大，业务量的日益增长的需求。

2.2.2 网络安全需求

现代企业网需要提供更加完善的网络安全解决方案，以阻止病毒和黑客的攻击，减少企业的经济损失。传统企业网络的安全措施主要通过部署防火墙、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，这样才能保证企业网络的稳定运行。

2.2.3 应用服务需求

现代企业网络应具备更加智能的网络管理解决方案，以适应网络规模日益 6

企业局域网设计毕业论文

第二章 可行性研究和需求分析

扩大，维护工作更加复杂的需求。当前的网络已经发展成为“以应用为中心”的信息基础平台，网络管理能力的要求已经上升到了业务层次，传统网络设备的智能已经不能有效支持网络管理需求的发展。所以现代企业网络迫切需要网络设备支撑“以应用为中心”的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。

2.3 设计所需环境

2.3.1 硬件要求

安装有Windows 2003/XP/Vista操作系统的计算机，内存

盘80G及以上。

2.3.2 软件要求

Packet Tracer 5.3

7 512M及以上，硬

企业局域网设计毕业论文

第三章 系统设计方案

第三章 系统设计方案

3.1 系统设计原则

3.1.1 实用性

应当从实际情况出发，使之达到使用方便且能发挥效益的目的。采用成熟的技术和产品来建设该系统。要能将新系统与已有的系统兼容，保持资源的连续性和可用性。系统是安全的，可靠的。使用相当方便，不需要太多的培训即可容易的使用和维护。

3.1.2 安全性

采用各种有效的安全措施，保证网络系统和应用系统安全运行。安全包括4个层面：网络安全，操作系统安全，数据库安全，应用系统安全。由于Internet的开放性，世界各地的Internet用户也可访问企业网络，企业网络将采用防火墙、数据加密等技术防止非法侵入、防止窃听和篡改数据、路由信息的安全保护来保证安全。同时要建立系统和数据库的磁带备份系统。

3.1.3 可扩充性

采用符合国际和国内工业标准的协议和接口，从而使企业网络具有良好的开放性，实现与其他网络和信息资源的容易互联互通。并可以在网络的不同层次上增加节点和子网。一般包括开放标准、技术、结构、系统组件和用户接口等原则。在实用的基础上必须采用先进的成熟的技术，选购具有先进水平的计算机网络系统和设备。由于计算机技术的飞速发展和计算机网络技术的日新月异，网络系统扩充能力的大小已变得非常重要，因此考虑网络系统的可扩充性是相当重要的。

3.1.4 可管理性

设计网络时充分考虑网络日后的管理和维护工作，并选用易于操作和维护的网络操作系统，大大减轻网络运营时的管理和维护负担。采用智能化网络管理，最大程度地降低网络的运行成本和维护。

8

企业局域网设计毕业论文

第三章 系统设计方案

3.1.5 高性能价格比

结合日益进步的科技新技术和校园的具体情况，制定合乎经济效益的解决方案，在满足需求的基础上，充分保障学校的经济效益。坚持经济性原则，力争用最少的钱办更多的事，以获得最大的经济效益

3.2 网络设备选型

表3-1 网络设备选型

3.3 系统总体设计和拓扑结构

对于一个企业局域网，通常在设计上将它组织为核心层、汇聚层、接入层 9

企业局域网设计毕业论文

第三章 系统设计方案

分别考虑。接入层节点直接连接用户计算机，它通常是一个部门或者一个楼层的交换机；汇聚层交换机的每个节点可以连接多个接入层节点，它通常是一个建筑物内部连接多个楼层交换机或者部门交换机的总交换机；核心层交换机节点连接多个汇聚层交换机，通常是企业中连接多个建筑物的总交换机的核心网络设备。

1、核心层

核心层的功能主要是实现骨干网络之间的优化传输，复杂整个网络的网内数据交换。网络的功能控制最好尽量在骨干层上实施，核心层设计任务的重点是冗余能力、可靠性和高速传输。核心层一直被认为流量的最终承受着和汇聚者，所以要求核心交换机拥有较高的可靠性和性能。

2、汇聚层

汇聚层主要负责连接接入层节点和核心层，汇聚分散的接入点，扩大核心设备的端口密度和种类，汇聚各区域数据流量，实现骨干网络之间的优化传输。汇聚层交换机还负责本区域的数据交换，汇聚层交换机一般与中心交换机同类型，仍需较高的性能和较丰富功能。

3、接入层

接入层交换机作为二层交换网络设备，提供功能工作站等设备的网络接入。接入层在整个网络中接入交换机的数据最多，具有即插即用的特性。对于此类交换机要求，一是价格合理；二是可管理性号，易于使用维护；三是稳定性要好。

3.3.1 系统总体设计方案

本企业局域网设计方案进行了适当和必要的简化，重点放在网络主干的设计与路由器交换机的配置上，同时还有VLAN的设计划分，而对于各类服务器的搭建只进行简单描述。图3-1为企业局域网总体拓扑结构图

10

企业局域网设计毕业论文

第三章 系统设计方案

图3-1企业局域网总体拓扑结构

本方案采用典型的三层网络拓扑结构：接入层、汇聚层、核心层。在上面的拓扑结构图中，企业主要有1号办公楼、2号办公楼、生产车间、职工公寓四个接入点通过千兆光纤链路接入到网络信息中心的核心交换机上。核心交换接通过连接Cisco 2811路由器接入到外部因特网。

11