中小型公司企业网络设计与实现

中⼩型公司企业⽹络设计与实现
⽹络⼯程实训
⼤
作
业
题⽬：中⼩型企业⽹络设计与实现班级：
组长：
⼩组成员：
指导⽼师：
2013年12⽉
摘要
随着社会的发展科技的进步，⼈类社会已进⼊信息时代。

在信息化的社会中，企业间的竞争也不可避免地被打上了信息化的烙印。

⽬前许多公司原有的办公和信息传递⽅式已不能满⾜现代企业的需求。

该项⽬主要⽬的就是为企业组建⼀个⾼效、灵活、安全可靠的信息传输⽹络。

根据企业需求和当前⽹络主流技术的对⽐，在⼯程实施过程中局域⽹采⽤以太⽹技术。

不同部门之间采⽤VLAN技术限制⽆⽤数据包在⽹络中的传输，提⾼有效资源的利⽤率。

使⽤ACL技术对按照企业的要求，不同部门间的访问进⾏控制。

在上层使⽤HSRP对⽹关备份，提⾼⽹络的安全。

采⽤OSPF和浮动静态路由技术实现全⽹正常连通。

采⽤NAT和VPN技术满⾜⽤户访问外⽹或总公司和⼦公司之间通信。

此外在实现业务隔离和全⽹连通的基础上，需配置各类服务器，满⾜企业信息发布和数据共享的需求。

⽬录
第1章引⾔ 0
1.1 中⼩型⽹络组建的背景和意义 0
1.2 中⼩型企业⽹络组建的基本要求 0
1.3 主要⽹络技术概述 (1)
1.4 总结 (3)
第2章项⽬需求分析 (4)
2.1 企业基本需求及分析 (4)
2.2⼯程总体要求 (5)
2.3 关键技术选⽤ (6)
2.3.1 接⼊层技术 (6)
2.3.2 汇聚及核⼼层技术 (6)
2.3.3 ⽹络服务器的选⽤ (7)
2.3.4 可⾏性分析 (8)
第3章企业⽹络设计 (9)
3.1 ⽹络拓扑选型 (9)
3.2 ⽹络IP地址规划 (10)
第4章⼯程配置 (13)
4.1 总部项⽬配置 (13)
4.1.1 总部接⼊层配置 (13)
4.1.2 总部汇聚及核⼼层配置 (16)
4.2 分部项⽬配置 (22)
4.2.1 分部接⼊层配置 (22)
4.2.2 分部汇聚及核⼼层配置 (23)
第5章各类配置 (27)
5.1 DHCP服务器配置 (27)
5.1.1 DHCP服务器的安装 (27)
5.1.2 DHCP服务器的配置和调试 (28)
5.1.3 DHCP服务器的测试 (32)
5.2 WWW服务器配置 (33)
5.2.1 WWW服务器的安装 (33)
5.2.2 配置WWW服务器 (34)
5.2.3 WWW服务器的测试 (35)
5.3 DNS服务器配置 (36)
5.3.1为服务器分配固定IP地址 (36)
5.3.2安装DNS服务器 (37)
5.3.3 DNS服务器的配置 (38)
5.3.4 DNS服务器测试 (41)
5.4 AAA服务器配置 (41)
5.4.1 安装AAA服务器才程序（ACS 3.3） (41)
5.4.2 配置AAA 服务器 (44)
5.4.3 AAA服务器验证 (46)
第1章引⾔
1.1 中⼩型⽹络组建的背景和意义
当今社会信息技术快速发展，计算机和互联⽹等现代技术活跃在社会各个领域，尤其在管理⽅⾯，信息及时沟通资源共享使⼤量复杂繁琐的问题变的更简单易⾏提⾼了⽣产效率。

随着社会的进步和现代科技的发展，信息在⼈类的⽣活中显得越来越重要了。

企业间的竞争早已超越了单纯的产品竞争、市场竞争、服务竞争、品种竞争、价格竞争和信誉竞争等。

随着⼯业化的完成，⼈类社会已步⼊信息时代。

在各种竞争的⽅⾯也都不可避免地被打上了信息化的烙印。

企业原有的办公和信息传递⽅式已不能满⾜现代企业运转的需求。

企业⽹是正是在这种背景下产⽣的，成熟的计算机⽹络技术和通讯技术为企业办公⾃动化、⽹络化的需求提供技术⽀持。

办公局域⽹为公司营造了⼀个安全、⾼效现代化的办公环境，也使计算机的功能得到了充分的发挥。

企业内部联⽹实现内部互联互通，办公⾃动化、信息化，有利于数据交换（⽅便各部门之间传递业务数据）、资源共享（随时调⽤企业内部他⼈开放的数据）、打印共享（随时使⽤位于他⼈处的任意打印机）提⾼企业效率。

1.2 中⼩型企业⽹络组建的基本要求
我们知道⽹络按照地理范围可分为⼴域⽹（WAN）、城域⽹（MAN）和局域⽹（LAN）。

中⼩型企业⽹从范围上⼀般是属于局域的。

它集成了⼀个企业所⽤到的所有的系统，不论它们是基于何种操作系统的计算机，如DOS的计算机、Apple的Macintosh机、UNIX⼯作站、⼩型计算机等。

所有企业因资⾦、产品兼容性、⽹络安全等诸多原因将⾃⼰公司⽹络建设承包给专门的公司去做。

这样可以在节省企业组⽹投⼊、提⾼⽹络安全性的基础上兼顾以后公司发展后⽹络的扩展性。

所以在⽹络建
设施⼯之前我们要做好需求分析，拓扑选型、设备选购等前期准备。

只有这样才能是组建的⽹络满⾜各⽅⾯的要求。

公司组建企业⽹的⼀般应有下⼏点基本要求：
1.⼆层⼴播域隔离隔离
VLAN（虚拟局域⽹）隔离技术是为了防⽌当⽹络系统的设备数量增加到⼀定规模后，⽆⽤的⼴播报⽂会会占⽤⼤量的⽹络资源消耗带宽，从⽽影响有效数据传输效率；另⼀⽅⾯划分相互隔离⼦⽹VLAN和ACL合⽤的⽅法可以确保部分安全性要求较⾼的部门不被随意访问浏览。

⽬前，基于VLAN隔离技术的访问控制⽅法在⼀些中⼩型企业和校园⽹中得到⼴泛的应⽤。

VLAN 的划分有多种⽅式，⼀般采⽤的是基于第⼆层交换机端⼝的逻辑分段。

VLAN的划分不受⽹络⽤户的物理位置限制⽽根据⽤户需求进⾏⽹络分段。

⼀个VLAN可以在⼀个交换机或者跨交换机实现。

2.三层信息共享
信息共享指不同层次、不同部门信息系统间，信息和信息产品的交流与共⽤。

在互联⽹时代信息的重要性越来越明显，实现信息共享可以使资源配置更加合理节约社会成本，创造更多的财富。

是提⾼信息资源利⽤率，节约社会成本提⾼信息资源利⽤率，避免在信息采集、存贮和管理上重复浪费的⼀个重要⼿段。

通过配置路由器或三层交换机即可实现不同VLAN间的相互通信，从⽽实现三层信息的共享。

3.控制⽹络上的安全
通过使⽤VLAN，将交换机某个端⼝赋予某⼀个特定的VLAN，该VLAN 组可以在⼀个⼴播域中实现跨接多个交换机传递信息。

在⼀个VLAN中的⼴播数据报⽂不会送到其他⼴播域中。

这⼤⼤提⾼了⽹络的利⽤率，确保了⽹络的安全保密性。

防⽕墙技术将其内部假定为安全区域，外部是⾮安全区域。

通过设置内部和外部接⼝的安全级别，及检测策略已达到确保⽹络安全的⽬的。

此外还可以通过ACL(访问控制列表)技术及AAA认证阻⽌某些⽹内或者企业⽹外⽤户的⾮法访问。

1.3 主要⽹络技术概述
Vlan 技术可以实现不同⼴播域之间的数据隔离，确保⽹络安全的同时缩⼩了物理⼴播域的范围防范⼴播风暴。

此外成本⾼昂的⽹络升级需求减少，现有带宽和上⾏链路的利⽤率更⾼，因此可节约成本，增加⽹络的灵活性。

Trunk是⼀种封装技术，它是⼀条点到点的链路，可以是交换机与交换
机相连，也可以是交换机和路由器相连，还可以是主机和交换机或路由器相连。

基于端⼝汇聚（Trunk）功能，允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端⼝并⾏连接同时传输以提供更⾼带宽、更⼤吞吐量，⼤幅度提供整个⽹络能⼒。

这⾥使⽤Trunk 技术利⽤它允许多个VLAN数据包通过的特性实现不同VLAN间的通信。

不同VLAN 间的数据通信是通过在数据包头部打标记识别的。

所以Trunk 技术需封装dot1q等其他协议。

随着Internet的⽇益普及，⼈们对⽹络的依赖性也越来越强。

路由器是整个⽹络的核⼼，它在数据传输中主要担当路由选择和存储转发的⾓⾊。

如果路由器发出现故障，将导致本地⽹络的瘫痪，如果是⾻⼲路由器，影响的范围将更⼤。

所以应在实现基本要求的基础上实现路由器冗余备份。

HSRP(热备份路由协议)中含有多种路由器，对应⼀个虚拟路由器充当虚拟⽹关。

其中⼀个为活动路由，其余的为备份路由。

活动路由器的选举是通过优先级为参考项，优先级最⾼的为活动路由器。

开放最短路径协议(OSPF)协议，属于内部⽹关协议的⼀种。

它能通过完整的全⽹链路状态数据库和SPF算法⽣产⼀张路由表，供全局路由表选择。

OSPF并⾮只根据两个⽹络结点之间的最短路径⽣成路由表，⽽是通过计算通信费⽤，根据⽹络⽤户的要求来平衡费⽤和性能，以选择相应的路由。

在⼀个⾃治系统内可划分出若⼲个区域，每个区域根据⾃⼰的拓扑结构计算最短路径，这缩⼩了数据库同步时信息传递范围，节约⽹络资源提⾼资源有效利⽤率；OSPF属动态的⾃适应协议，对于⽹络的拓扑结构变化可以迅速地做出反应，进⾏相应调整，提供短的收敛期，使路由表尽快稳定化。

每个路由器在⽣成路由表时都以⾃⼰为根，构造最短路径树，然后再根据⽹络最⼩开销构造路由表。

路由器彼此交换，并保存整个⽹络的链路信息，从⽽掌握全⽹的拓扑结构，并独⽴计算路由。

作为另⼀种内部⽹关协议（IGP），路由信息协议（RIP）应⽤于AS 系统内部。

连接AS 系统有专门的协议，其中最早的这样的协议是“EGP”（外部⽹关协议），⽬前仍然应⽤于因特⽹。

RIP 主要⽤在⽹络规模较⼩的企业⽹中，因为RIP协议规定他的最⼤跳数为15，16即为⽹络不可达。

⼜因为
RIP协议好消息传得快坏消息传的慢这⼀特性，所以RIP ⽐较适⽤于简单的校园⽹和区域⽹。

经过对⽐得出OSPF协议⽐RIP 更适⽤于此项⽬。

浮动路由技术可增加⽹络链路的冗余，当⼀条链路出现故障时可使⽤备⽤链路。

依据路由的管理距离，管理距离越⼤的的优先级⾼，⼿动添加的静态路由管理距离。

当动态路由出现问题时，原有的路由会失效，路由器会⾃动选择静态路由，保证⽹络不中断。

此外还⽤到了ACL(访问控制列表)和AAA技术，访问控制是⽹络安全防范和保护的主要策略，它的主要任务是保证⽹络资源不被⾮法使⽤和访问。

它是保证⽹络安全最重要的核⼼策略之⼀。

访问控制涉及的技术也⽐较⼴，包括⼊⽹访问控制、⽹络权限
控制、⽬录级控制以及属性控制等多种⼿段；AAA ，认证(Authentication)：验证⽤户的⾝份与可使⽤的⽹络服务;授权(Authorization)：依据认证结果开放⽹络服务给⽤户;计帐(Accounting)：记录⽤户对各种⽹络服务的⽤量，并提供给计费系统。

整个系统在⽹络管理与安全问题中⼗分有效。

1.4 总结
社会竞争归根到底是⼈才和信息的竞争。

谁能在社会变⾰中利⽤有效信息迅速调整企业产业结构，抓住机遇迎接挑战，就能⽴于不败之地。

随着我国不断深化改⾰开放国外各种类型的公司将带着各⾃的产品、服务和解决⽅案进⼊我国市场。

我国中⼩企业将⾯临强烈的挑战和⽣存危机，因此应尽快提⾼⾃⾝的信息化⽔平。

随着现代科技的发展及计算机技术与通讯技术的结合，⼈们已经不再满⾜原有的办公⽅式，办公⾃动化、⽹络化的需求逐⽇增加。

办公局域⽹营造了⼀个现代化的⾼效、快捷、安全的办公环境，也使计算机的功能得到了充分的发挥。

第2章项⽬需求分析
2.1 企业基本需求及分析
XX 公司由于规模不断扩⼤，公司各部门之间及总部和分部之间信息传递资源共享等⽅⾯出现严重滞后。

为提⾼弥补之⼀缺陷提⾼效率，公司⾼层决定组建企业⽹络已协调各部门之间的⼯作。

公司具体情况及需求如下：
公司部门情况
要求：1.全⽹实现不同业务⼆层隔离三层连通
4.总部各部门可以访问分部相对应的部门
5.总部⽹管中⼼只能访问总部相应设备不能访问分部⽹管中⼼
6.总部各部门之间不能互访
4.分部各部门可以访问总部部相对应的部门
5.分部⽹管中⼼只能访问分部相应设备不能访问总部⽹管中⼼
6.分部各部门之间不能互访
7.在实现全⽹连通的基础上实现⼯程的⾼性能、⾼可扩展性、易管理性、经济性和统⼀的⽹管系统为原则。

由企业基本需求我们可以知道该企业属于中⼩型企业，所以⽹络我们可以采⽤⼆层结构。

在接⼊层，为了⽹络信息安全和节约⽹络资源，每个部门建⼀个VLAN。

各部门之间业务隔离可⽤ACL来实现。

这样既能满⾜公司要求，减少⽆⽤的⼴播报⽂在⽹络上传播占⽤资源。

核⼼层和汇聚层合为⼀层，节省企业资⾦。

在该层应尽量考虑安全⽅⾯的因素。

这⾥的安全不只是协议上的安全，还包括设备冗余。

2.2⼯程总体要求
1. 先进性
⽬前，在企业局域⽹的建设中，主要采⽤交换以太⽹技术。

因为以太⽹既是⼀种⼗分成熟的技术，⼜是不断向前发展的技术。

⽬前，千兆以太⽹正在普及，万兆以太⽹技术发展得也很快。

随着多媒体应⽤的发展，⽹络只有采⽤交换⽅式才能满⾜需求；同时，交换机的价格和集线器差别已经不⼤，所以，⽬前企业纷纷采⽤交换以太⽹技术。

2. ⾼性能
随着业务的增加和计算机技术的发展，接⼊局域⽹的⽤户将越来越多，pc 和⼯作站的处理能⼒越来越强，以及图形图像和多媒体的应⽤越来越⼴泛，要求每个⽤户实际可⽤带宽很⾼才能使⽹络通信流畅，因此设计⽅案时应充分考虑将来业务量的增⼤，保证当前及今后⼀定时期内⽹络的⾼效与通畅。

3. 可伸缩性
⽹络要能满⾜⽤户当前需求以及将来需求的增长、新技术发展等变化。

因此在保护原有的投资同时，要保证⽤户随时随地增加设备、增加⽹络功能等。

随着应⽤规模的发展，系统能灵活⽅便地进⾏硬件或软件系统的扩展和升级。

4. 可靠性与安全性
⽹络是企业信息系统应⽤所依赖的基础，要求系统连续安全可靠地运⾏，所以在系统结构设计、⽹络型号选择、供应商技术、维护服务等⽅⾯都要严格考察。

尽可能利⽤成熟的技术，⽹络关键部分要有备份措施，对于重要的⽹络节点应采⽤先进可靠的
容错技术，以保证⽹络系统的可靠性和安全性。

5. 开放性
⽹络技术是不断发展变化的。

建⽹时所选产品必须符合国际标准及流⾏的⼯业标准，这样才能为⽹络的未来发展提供保证。

6. 可管理性
⽹络系统将发展得越来越复杂。

这就要求有强有⼒的⽹管⼿段，合理地调整⽹络资源、监视⽹络状态和控制⽹络运⾏。

2.3 关键技术选⽤
2.3.1 接⼊层技术
接⼊层通常指⽹络中直接⾯向⽤户连接或访问的部分。

接⼊层⽬的是允许终端⽤户连接到⽹络，因此接⼊层交换机具有低成本和⾼端⼝密度特性。

接⼊交换机是最常见的交换机，它直接与外⽹联系，使⽤最⼴泛，尤其是在⼀般办公室、⼩型机房和业务受理较为集中的业务部门、多媒体制作中⼼、⽹站管理中⼼等部门。

在传输速度上，现代接⼊交换机⼤都提供多个具有
10M/100M/1000M⾃适应能⼒的端⼝。

此次⼯程在实施过程中将采⽤以太⽹技术，并利⽤Vlan技术隔离⼴播域VLAN（Virtual Local Area Network）即虚拟局域⽹，是⼀种通过将局域⽹内的设备逻辑地⽽不是物理地划分成⼀个个不同的⽹段，从⽽实现虚拟⼯作组的技术。

它不受⽹络⽤户的物理位置限制，⽽是根据⽤户需求进⾏⽹络分段。

从⽽减⼩⼴播风暴带来的危害，增加资源利⽤率。

采⽤Trunk技术实现不同Vlan 间的通信，当数据进⼊交换机时Access模式端⼝会为数据打上该端⼝所属Vlan 的标记（PVID），普通交换机接⼝只允许该端⼝所属Vlan数据通过。

将交换机的借⼝定义为Trunk模式可以允许不同Vlan的数据通过。

2.3.2 汇聚及核⼼层技术
汇聚层是楼群或⼩区的信息汇聚点，是连接接⼊层和核⼼层的⽹络设备。

为接⼊层提供数据的汇聚\传输\管理\分发处理。

汇聚层为接⼊层提供基于策略的连接，如地址合并,协议过滤,路由服务，认证管理等，通过⽹段划分(如VLAN)与⽹络隔离可以防⽌某些⽹段的问题蔓延和影响到核⼼层。

汇聚层同时也可以提供接⼊层虚拟⽹之间的互连，控制和限制接⼊层对核⼼层的访问，保证核⼼层的安全和稳定。

核⼼层的功能主要是实现⾻⼲⽹络之间的优化传输，⾻⼲层设计任务的重点通常是冗余能⼒、可靠性和⾼速的传输。

⽹络的控制功能最好尽量少在⾻⼲层上实施。

核⼼层⼀直被认为
是所有流量的最终承受者和汇聚者，所以对核⼼层的设计以及⽹络设备的要求⼗分严格。

核⼼层设备将占投资的主要部分。

接⼊层数据访问外⽹时根据转发逻辑需要传给默认⽹关，因此默认⽹关是Vlan数据的唯⼀出⼝。

如果⽹关设备出现故障那么数据就⽆法实现跨⽹传输。

为了确保数据传输安全这⾥采⽤HSRP技术，当⼀个设备出现故障时可以启⽤备份⽹关设备。

当数据转交给⽹关(⼀般为路由器) 后，路由器需要对其进⾏转发。

我们知道路由器是依照路由表进⾏数据转发的，形成内部路由表需要RIP或者OSPF技术。

由上⽂我们可以看出OSPF更加适⽤此次⼯程。

该公司有总部和分部太远，他们之间信息传输必须要⾛外⽹，同时为了便于管理我们采⽤VPN技术使他们在逻辑上看是属于同⼀局域⽹中。

2.3.3 ⽹络服务器的选⽤
出于便于管理、安全、及公司需求等各⽅⾯的考虑，此项⽬配置了⼀下服务器：
1) 动态主机设置协议（Dynamic Host Configuration Protocol, DHCP）是⼀个局域⽹的⽹络协议，使⽤UDP协议⼯作，主要有两个⽤途：给内部⽹络或⽹络服务供应商⾃动分配IP地址给⽤户给内部⽹络管理员作为对所有计算机作中央管理的⼿段。

2) DNS是域名系统 (Domain Name System) 的缩写，它是由解析器和域名服务器组成的。

域名服务器是指保存有该⽹络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。

其中域名必须对应⼀个IP地址，⽽IP地址不⼀定有域名。

当我们在上⽹的时候，通常输⼊的是如⽹址，其实这就是⼀个域名，⽽我们计算机⽹络上的计算机彼此之间只能⽤IP地址才能相互识别。

3) WWW服务器主要是⽤来发布公司信息的，它包括对内和对外两个⽅⾯。

应为有些信息必须保密有些则需要对外发布。

所以在配置时可以⽤不同IP进⾏区分。

4) AAA，认证(Authentication)：验证⽤户的⾝份与可使⽤的⽹络服务;授权(Authorization)：依据认证结果开放⽹络服务给⽤户;计帐(Accounting)：记录。