张开,毕业论文(修改)

湖北大学成人高等教育

毕业论文

题目：企业网络构建规划

学号___________________________

姓名___________________________

专业___________________________

学制___________________________

类别___________________________

年月日

湖北大学成人教育学院制

摘要

随着网络技术新系统、新领域的长足发展，传统企业也正利用其行业的特点，融合网络技术的优势，发展自身。在信息化生产逐步普及的今天，组建企业内部网络已经是企业必不可少的一部分，建立高速、稳定、安全、智能的办公网，是组建中小型企业局域网的核心。

中小型企业局域网建设,必须采取“结构化、系统化”思想做指导。一个良好的、规范的网络开发过程不仅不会成为干扰实际健忘工作的负担，相反会使设计的工作更清晰、更加高效和更令人满意，同时也可以大大减少网络开发成本和提高网络工程质量。

本毕业设计作品定位于公司局域网设计，因此配置了比较完备的硬件资源。在内容选择上，一方面以对中小型企业的网络拓扑和所需设备进行了设计；另一方面用很直观的网络拓扑图概述了本次毕业设计相关的网络安全、网络所需设备以及所实现的网络功能和应用等。

毕业设计论文包括课题概况：太原益民中医院对网络性能和网络安全要求严格。使用业界流行的核心层—汇聚层—接入层三层结构设计的公司局域网，结合广为使用的通过划分虚拟局域网（VLAN）隔离不同部门，访问控制列表（ACL）控制端口进出数据包，网络地址转换（NAT）节约公有地址、动态分配IP（DHCP）、热备份路由(HSRP)等技术，增强网络的稳定性和安全性。统需求分析：本课题对结合港隆文具局域网网络特点进行了详细的需求描述和详细的分析。系统设计：系统设计包括网络拓扑结构选择、网络设备选型、VLAN、DHCP和子网的划分，详细描

述了网络组成结构。港隆文具公司局域网网络安全：从网络流量控制、网络设备安全、无线网络安全详细描述了安全实施。

关键词：局域网，网络拓扑，VLAN，网络安全， ACL，NAT

目录

1 概述 (5)

1.1课题背景 (6)

1.2课题概况 (7)

1.3 课题目的 (8)

2 局域网需求分析和设计原则 (8)

2.1需求与分析 (9)

2.1.1具体需求 (10)

2.1.2需求分析 (12)

2.3 设计原则 (13)

3 局域网系统设计方案 (14)

3.1网络拓扑设计 (15)

3.1.1拓扑选择 (16)

3.1.2拓扑结构图 (16)

3.1.3拓扑结构说明 (17)

3.2三层详细设计及设备选型 (18)

3.2.1核心层设计 (18)

3.2.2汇聚层设计 (19)

3.2.3接入层设计 (20)

3.3 虚拟局域网VLAN与IP子网设计 (20)

3.3.1虚拟VLAN简介 (20)

3.3.2 VLAN规划 (20)

3.3.3 IP子网设计 (21)

3.3.4访问控制列表（ACL）设计方案 (24)

3.4路由协议的选择 (25)

4 网络安全管理 (36)

4.1内网安全 (36)

4.1.1VLAN设置需求 (37)

4.1.2防病毒系统需求 (37)

4.1.3网络管理需求 (37)

4.2 外网安全 (37)

4.2.1物理安全需求 (38)

4.2.2数据链路层需求 (38)

4.2.3入侵检测系统需求 (38)

4.2.4防病毒系统需求 (38)

5 安全管理体制 (39)

5.1网络应用安全 (39)

5.1.1网络嗅探 (39)

5.1.2 ARP欺骗 (40)

5.1.3 IP地址欺骗 (40)

5.1.4 DOS攻击 (42)

总结 (43)

参考文献 (44)

1 概述

1.1课题背景

随着我国经济的飞速发展，我国中小型企业数量已有5000多万家。为了获取更好的经济效益，完善的网络体系成为了对外联系及对内交流最为关键的因素。在这个信息化时代，一个优秀的团队必然有着完整的网络构建、调理的网络布局以及安全的信息库。

在国民经济中，60%的总产值来自于中小企业，并为社会提供了70%以上的就业机会。然而，在中国国民经济和社会发展中一直占据着至关重要的战略地位的中小型企业，其信息化建设却十分落后。今后如何应对瞬息万变、竞争激烈的国内外市场环境以及如何利用网络技术迅速提升企业核心竞争力为企业成败的关键。

中小型企业的信息化建设工程通常有规模小、结构简单的特点，综合资金投入、专业人才以及未来发展等因素，网络实用性、安全性与拓展性（升级改造能力）是中小型企业实现信息化建设的主要要求，局域网内进行信息交流包括发布通知, 安排日程表、工作计划,提交工作总结,进行信息汇总等也是企业的要求。因此，成本低廉、炒作简易、便于维护并能满足业务运用需要的网络办公环境是这一领域的真正需求。针对绝多数中小型企业集中办公这一现实特点，组建一个适合中小企业需求的高性价比实用的网络是十分有实际意义的。

中小型企业最原始的网络需求来自于对LAN 上共享资源、业务的开展需要，最小规模的局域网可能就要算通过1 台共享式集线器来连接

打印机、文件服务器的组建模式了，但是，在信息科技日益发展的今天，基于共享式技术的网络已经不能符合当前业务的发展的需求，更高速、更精准、更可靠、更安全以及更方便的网络和业务管理已经成为新时期发展的重点。为此设计次方案。

1.2课题概况

新设计搭建的网络将根据当前与今后一段时间的发展需求，规划一个全新的公司局域网系统，该公司局域网系统必须具备中小型企业发展的快特点，满足财务部、销售部和人力资源部信息化需求，同时新的局域网系统必须满足将来扩展的需要进行整体计划，在满足当前需要的同时，还必须具备一定的前瞻性。

1.3 课题目的

企业内部网（Intranet）是国际互连网（Internet）技术在企业内部或封闭的用户群内的应用。简单地说,Intranet是使用Internet技术,特别是TCP/IP协议而建成的企业内部网络。这种技术允许不同计算机平台进行互通,且不用考虑其位置。也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行访问[1]。

基于这种种的现实问题，企业必须从企业局域网的概念及相关计算机网络技术入手，详细地设计企业网建设的实施方案及建设规划,以达到先进、安全、实用、可靠的目标.对该企业的组网需求进行分析，

比较各种组网技术，从实用角度论述局域网主干网选择，综合布线，各种设备选择，网络安全，网络管理等方面。

我们的网络要具有一定的灵活性。当企业发展到一定规模,企业在外地设有许多分支机构。这时,为加快企业内部的信息流通,企业需要将总部和各分支机构连接起来。远程企业对网络的需求是：通过interne t接入, 在整个公司实现数据快速传输、办公自动化,最终实现企业无纸化办公；企业拥有自己的ip地址和域名,在公司主机上建立网站,向外界宣传企业形象、公司各项业务、活动及最新成果等；以ip电话方式节省企业大部分的长途话费,亦可通过ip网络来实现视频会议；实现t elnet等网络服务；实现结构化布线、网络的设计与规划、资源共享、专线接入Internet、WWW服务器、软硬件配置、划分企业子网等技术实施。

2 局域网需求分析和设计原则

2.1需求与分析

万宝井公司是一家比较有潜力的公司，近几年发展很快。该公司对网络总体需求包括以下几点：适应桌面计算机处理、I/O能力大幅度提高的现状，发挥桌面机的网络性能，提高桌面机的访问带宽；适应连网规模大、总流量大的情况，合理分布流量，实现流量隔离和控制；为销售部、人力资源部、财务部，合理进行网络划分，实现有效的安全访问控制和运行管理；为客户/服务器的应用环境提供支撑；增加网络系统的运行可靠性，降低故障隐患，提高系统的可管理性。本方案针对万宝

井公司网络系统应用场合对安全提出了很高的要求，因此网络设计充分考虑网络上敏感数据传输的安全性，一方面需要充分利用网络设备提供的安全策略（VLAN划分等），另一方面为了保障内部数据传输的安全性，采用各种安全技术（防火墙、入侵检测、防病毒体系等），并且尽量不影响到整个网络的运行效率。为了更好的保证网络的正常运行，设计的网络系统还考虑到网络管理，实现网络的统一管理。一般中小型企业网的主要需求有：

1、管理的需求：包括对用户和设备的管理，可操作、易管理、具备灵活的计费策略、扩展能力强。

2、区分内、外网需求：限制资源的访问。

3、安全需求：非法的DHCP Server、病毒、攻击、上网日志等。

4、NAT需求：公网地址不够，

5、多业务需求：强大的组播支持能力、多业务融合（语言、数据、）能力。

6、可靠性需求：设备具备高性能、高可靠性、高稳定性、高安全性。

7、投资需求：高性价比、平滑升级、投资保护。

8、Qos需求：具备完善的QOS能力。

2.1.1具体需求

万宝井公司销售部、财务部等部门不能相互进行访问，但对公司文件服务区可以访问。采用交换，必要时实现路由隔离。根据业务用户分布和数据的流向，合理的进行网段划分。允许采用虚拟网技术（VLAN）。

实现各计算机网络系统的互联，形成公共信息的交换环境，为企业用户提供网络服务平台。

实现信息资源和软硬件资源共享，提供丰富的网络信息服务，以推动办公自动化。

根据万宝井公司两栋楼之间不同，采用光线接入。

2.1.2需求分析

1、对万宝井公司提供安全快速的网络。

2、防止不明计算机接入，保证接入的安全性。

3、核心到汇集全部采用单模光纤并做相应的备份，提供高速可靠的传输。

4、为以后员工提供宽带服务。

2.2 设计目标

针对本次万宝井公司局域网建设课题，按照以下目标来实施网络建设：

1、建设成为信息一体化、管理集中化、业务多样化的公司局域安全网络；

2、新网络结构清晰，网络层次合理数据网络需要采用分布式布线：

3、网络带宽大幅提升满足万宝井公司公司的业务发展需求和冗余连接：

4、多样性访问权限控制与管理；针对不同部门之间采取不同认证：

2.3 设计原则

1、可管理性

具有分级、分权管理能力的网管系统，实现统一的网络业务调度和管理，降低网络运营成本。同时由于高校网络的使用者数量巨大，网上开展的业务众多，因此需要能够提供用户的高效管理，以确保公司的利益不受损失。

2、可增值性

公司局域网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对

不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。

3、可扩充性

考虑到公司的业务种类发展的不确定性，局域网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。

4、开放性

技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。

5、安全可靠性

设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。

3 局域网系统设计方案

根据万宝井公司发展需求，并结合当前万宝井公司局域网状况和未来发展趋势，整个网络方案设计突出层次化、可管理、易维护、高可靠性的原则，确保网络在具有高性能的同时具有良好的前瞻性和持续发展性。

3.1网络拓扑设计

3.1.1拓扑选择

采用模块化的设计思想，按照功能划分为以下区块：交换区块和核心区块。对于由交换区块和核心区块构成的局域网再按照目前流行的层次化的设计思想，划分为接入层、汇聚层和核心层。

1、交换区块的主要功能是提供用户的接入点，并防止广播数据流和网络问题到达核心区块或者其他区块，交换区块由接入层交换机和汇聚层交换机构成：

(1)接入层：

接入层设备作为最终用户的网络接入点，使用100M双绞线连接各层桌面终端，为每个用户提供专用的带宽，并可基于端口或MAC地址的

VLAN成员资格和流量进行过滤，接入层主要的设计原则是能够通过低成本、高端口密度的设备提供这些功能。

(2)汇聚层：

接入层交换机使用100M双绞线汇聚到一台或者多台汇聚层设备，

汇聚层设备在接入层交换机之间提供第二层连接，作为接入层交换机的集中连接点及接入层和核心层之间的分界点，汇聚层在提供接入层接入的同时，还能够做到广播域的隔离、不同网段之间的路由、介质转换、安全控制。汇聚层需要提供第三层功能，即支持路由选择和网络层服务，以保护交换区块不受网络其他部分失效的影响，并防止本交换区块故障对网络其他部分的影响，如果交换区块发生了广播风暴，分布层设备可以防止该广播风暴扩散到核心和网络的其他部分。

2、核心区块是公司网络的主干，主要功能是在交换区块之间用最小的

时延传输数据，尽可能快的将交换数据提供到其他区块（比如交换区块）。核心区块由核心层构成，包含一个或一组用来连接多个交换区块的交换机。

(3)核心层：

核心层交换机负责所有交换区块设备和广域网设备的接入，因此需要高速的数据转发能力。核心层设备需要支持port-channel链路捆绑

技术，来保证数据的转发能力，防止出现线路瓶颈。作为企业网络的心脏，核心层也是路由协议最优选路和运行稳定的保证，需要合理的配置

路由协议，并添加冗余处理器或者应用冗余协议来保障网络核心的稳定，使企业数据流正常运作。

3.1.2拓扑结构图

总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。新网络拓扑图如图3-1所示。

图3-1-2 太原益民中医院网络拓扑

图3-1-2 万宝井公司网络拓扑

3.1.3拓扑结构说明

1、从核心层到汇聚层全部使用单模光纤。

2、采用使用四条100M双绞线连接到汇聚层。

3、所有用户接入采用有线结合。

4、采用层次结构使网络易于管理。

5、采用高性能的单核心交换。

6、做热路由备份

3.2三层详细设计及设备选型

3.2.1核心层设计

核心交换机是整个网络的计算和内部数据交换处理中心，在整个局域网内是最为关键和重要的设备。核心交换机推荐采用华为S5700交换机二台。

如图3-2所示。

图3-2-1 华为 S5700

交换机特点：免维护易部署

S5700支持自动配置、即插即用、USB开局、自动批量远程升级等功能，便于部署升级和业务发放，简化后续的管理和维护性能。从而大

大降低了维护成本。S5700支持SNMP V1/V2/V3、CLI命令行、Web网管、TELNET、HGMP集群管理等多样化的管理和维护方式，设备管理更加灵活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主机、基于端口的流量统计，支持NQA网络质量分析，有利于进一步作好网络规划和改造。强大的多业务支持能力

S5700支持IGMP v1/v2/v3 Snooping/Filter/Fast Leave/Proxy 等协议。S5700支持线速的跨VLAN组播复制功能，支持捆绑端口的组播负载分担，支持可控组播，可以充分满足IPTV和其他组播业务的需求。S5700支持MCE功能，实现了不同VPN用户在同一台设备的隔离，有效解决用户数据安全问题，同时降低用户投资成本。

完备的高可靠保护机制

S5700不仅支持传统的STP/RSTP/MSTP生成树协议，还支持Smart Link和RRPP等增强型以太网技术，可以实现毫秒级链路保护倒换，保证高可靠性的网络质量。此外，针对Smartlink和 RRPP均提供多实例功能，可实现链路负载分担，进一步提高了链路带宽利用率。

产品规格及参数：）

华为Quidway S5700大容量交换机产品物理参数:

表3-2

3.2.2汇聚层设计

为了保证数据传输和交换的效率，在楼内设置二层楼内汇聚层。楼内汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性采用H3C S3600-28P-SI汇聚交换机。如图3-3

图3-2-2 H3C S3600-28P-SI

交换机特点：

1扩展性—

IRF技术允许交换机利用互联电缆实现多台设备的扩展，最大扩展至384个10/100M端口;具有即插即用、单一IP管理，同时大大降低系统扩展的成本。

2.可靠性

通过专利的路由热备份技术，在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断三层转发，极大的增强了堆叠架构的可靠性和性能，同时消除了单点故障，避免了业务中断。

3.分布性

通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率。

产品规格及参数：

H3C S5500-SI产品规格及参数: