网络工程路由交换方向毕业论文

网络工程路由交换方向毕业论文
目录
第1章引言 (1)
第2章项目需求分析 (1)
2.1、项目背景 (1)
2.2、需求分析 (2)
第3章网络总体建设目标 (2)
3.1、网络建设目标 (2)
3.2、网络及系统建设容及要求 (2)
3.3、网络设计原则 (3)
第4章网络总体设计 (3)
4.1、网络拓扑图 (3)
4.2、网络层次化设计 (4)
4.3、联接入 (5)
第5章路由、交换设计 (5)
1.路由协议 (5)
2.交换技术 (6)
3.IPV6 (6)
5.4、设备选择 (6)
5.5、设备命名规 (7)
5.6、VLAN、子网及IP地址规划 (7)
第6章网络安全解决方案 (9)
6.1网络边界安全威胁分析 (9)
6.2 网络部安全威胁分析 (9)
6.3解决方案 (10)
第7章关键技术介绍 (11)
7.2HSRP (11)
7.3VTP (12)
7.4TRUNK (12)
7.5STP (13)
7.6VPN (13)
第8章设备简介 (13)
8.1 Cisco 2800系列集成多业务路由器 (13)
8.2Cisco 4500系列交换机 (14)
8.3Cisco Catalyst 3750 系列集成交换机 (15)
8.4Cisco Catalyst2960系列交换机 (16)
第9章项目实施计划 (18)
9.1项目组织结构 (18)
9.2工程进度计划 (19)
9.3项目实施前的准备工作 (19)
9.4安装前的场地准备 (20)
9.5核心及各网点的安装调试 (20)
第10章网络测试 (20)
10.1网络测试目的 (20)
10.2测试文档 (21)
第11章基本配置 (24)
11.1总部基本配置 (24)
11.3分部基本配置 (30)
第12章Trunk基本配置 (34)
12.1技术简介 (34)
12.2设备简介 (34)
12.3基本配置 (34)
12.4验证配置 (39)
第13章VLAN配置 (39)
13.1技术简介 (39)
13.3基本配置 (40)
13.4验证配置 (41)
13.5配置vlan地址和网关 (42)
第14章VTP配置 (43)
14.1技术简介 (43)
14.2设备简介 (43)
14.3基本配置 (44)
14.4验证配置 (47)
第15章以太网通道配置 (47)
15.1技术简介 (47)
15.2设备简介 (47)
15.3基本配置 (47)
15.4验证配置 (48)
第16章STP配置 (49)
16.1技术简介 (49)
16.2设备简介 (49)
16.3基本配置 (49)
16.4验证配置 (50)
第17章OSPF配置 (51)
17.1技术简介 (51)
17.2设备简介 (51)
17.3基本配置 (51)
17.4验证配置 (55)
第18章HSRP配置 (55)
18.1技术简介 (55)
18.2设备简介 (56)
18.3基本配置 (56)
18.4验证配置 (59)
第19章GRE over IPSEC配置 (60)
19.2设备简介 (60)
19.3基本配置 (60)
19.4验证配置 (65)
第20章PPP配置 (65)
20.1PPP认证 (65)
20.2配置PPP认证 (65)
20.3验证 (66)
第21章ACL配置 (66)
21.1ACL介绍 (66)
21.2 ACL的作用 (66)
21.3 ACL的执行过程 (67)
21.4 ACL的分类 (67)
21.5配置 (67)
第22章ISA防火墙配置 (69)
22.1ISA简介 (69)
22.2应用位置及项目角色 (71)
22.3ISA服务架构 (72)
第23章Iptables配置 (72)
23.1Iptables概述 (72)
23.2 实现目标 (74)
23.3NAT配置 (74)
结束语 76
参考文献76
致谢77
第1章引言
随着信息技术的飞速发展，网络改变了人们的生活，地球变成了地球村，全世界的人可以随时进行网络交流。

信息资源的共享，带来社会生产力空前提高，互联网与人们生活越来越密切，如网上证券期货交易、远程电子视频会议、网上购物等应用使得人们的生活已经越来越离不开网络。

然而网络安全问题伴随着网络的产生而产生，可以说，有网络的地方就存在网络安全隐患。

像病毒入侵和黑客攻击之类的网络安全事件，目前主要是通过网络进行的，而且几乎每时每刻都在发生，遍及全球。

随着信息进程的提速，越来越多地企业信息被披露于企业外部网络环境，如何保护企业，保障企业信息安全，成为企业信息话发展过程中必然需要面临和解决的问题。

对于企业信息网络安全管理需要部署的容，首先要明确企业的哪些资产需要保护，确定关键数据和相关业务支持技术资产价值，然后再此基础上，制定并实施安全策略，完成安全策略的责任分配，设立安全标准。

本设计结合中小企业实际需求，举例分析、设计、配置、模拟组建了一个典型的中小企业网络。

第2章项目需求分析
2.1、项目背景
Ambow是一家新型的IT企业.本项目的目标是：“建立一个设计规、功能完备、性能优良可靠、有良好扩展性与可用性且具备易维护的现代网络办公体系.”
集团的业务涉及基础教育服务、职业教育服务、企业培训等领域，Ambow高考与同步
培训机构、Ambow国际学校、Ambow实训基地、Ambow职业教育学院、Ambow学习体验中心等机构已遍及全国二十多个重点城市，形成了以区域教育服务中心和实训基地为依托，以师资、课程、服务流程、IT支持、网络学习服务的标准化为载体的服务体系，通过标准品质的服务保障全国各地用户的个性化需求。

Ambow教育集团创建专业的教育和技术研发机构——Ambow研究院进行前瞻性教育理念和资源的创造与创新。

Ambow数十种自主知识产权技术、产品获得国家认证、专利认证和科技成果鉴定。

Ambow还与师大学合作创立北师大Ambow教育发展研究院，开展教育政策与理论探索、国际高端项目交流，目前已参与和承办了多项国家重大教育课题、国际高端学术论坛。

目前Ambow总部在，分部分别在及的昆山。

总部设有品质保障部、教学支持部、财务部、市场部，员工约有150人。

分部的部门与总部相同，两个分部各有员工约50人。

2.2、需求分析
总部分为数据中心，核心交换区，服务器和接入，数据中心作为工厂生产运营系统的存放地，其性能、稳定性、安全性，可靠性的要求最高。

因此我们在设计的时候，应该考虑到这些要求，核心交换区的功能是高速可靠地交换数据，因此该部分的设计应考虑性能和可靠性的平衡，分部用户接入作为外联单位接入区域，其安全性应该是放在第一位。

总部办公网络作为部互联单位，可信度较高，用WEB、FTP、MAIL、DNS、DHCP等部服务器为员工提供部信息。

分部访问总部采用VPN技术，通过VPN隧道保证传送信息的安全。

INTERNET用户接入，需要考虑安全性和冗余性。

当前的网络管理畴比较广，包括设备管理、资源管理、故障管理、性能管理、安全管理等。

在网络规模相对较大的时候，合适的网络系统可以帮助用户方便管理网络的设备及运行情况，以提高网络的运行效率。

第3章网络总体建设目标
3.1、网络建设目标
本项目的目标是：“建立一个设计规、功能完备、性能优良、安全可靠、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台，以高效率，高速度，低成本的方式提高公司员工的工作效率与执行效率”。

搭建公司核心网络及服务器,以实现生产运营系统的运行, 各公司用户能够进行资源共享，并能够进行上网查资料，电子，对外发布等等。

按照“高效能、低成本”的要求，采用两层网络结构，按要求实现网络安全的需求。

网络设备主要以核心交换区设备为主。

要求计算机网络系统满足系统集成的网络平台需求，并考虑对设备投资保护，保证未来几年的系统扩展。

组建一个高效、稳定、可靠、易管理、安全的企业网.
3.2、网络及系统建设容及要求
根据Ambow公司的网络情况，我们把整个网络分为部交换网络设计、网络出口设计、网络安全设计几大方面。

对于部交换网络我们采用分层设计。

部交换网络分成核心层、汇聚层、接入层三大部分。

对于部交换网络我们采用分层设计。

部交换网络分成核心层和接入层两大部分。

核心层作为整个网络系统的核心，其主要功能是高速、可靠的进行数据交换。

为加速数据的快速转发，我们在核心层采用以太通道技术，增加网络带宽，提高数据转发效率。

为提高网络链路的冗余性，采用HSRP技术做热备份，STP技术，保证链路的冗余性等。

接入层主要提供最终用户接入网络的途径。

主要进行vlan的划分等。

对于设备，我们采用了性价比较高的设备。

对于网络带宽，由于带宽有限且租金昂贵，我们建议用QOS技术进行拥塞管理、拥塞避免、流量整形等策略对网络上的流量进行管理。

3.3、网络设计原则
高可靠性----网络系统的稳定性是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络结构，制定可靠地网络备份策略，保证网络具有故障
自愈的能力，最大限制地支持各个系统的正常运行。

灵活性及可扩展性-----根据未来业务的增长和变化，网络可以平滑地扩展和升级，最大限制地减少对网络架构和设备的调整。

高性能-----承载网络性能是网络通讯系统良好运行的基础，设计中心必须保障网络及设备的高吞吐能力，保证各种信息（数据，语音，图像）的高质量传输，才能使网络不成为各项业务开展的瓶颈。

性价比高----网络方案的设计必须充分考虑投资保护。

第4章网络总体设计
4.1、网络拓扑图
Ambow公司整体网络可以根据功能划分为总部核心网络，嵌接入包括品质保障部网络，教学支持部网络，财务部和市场部。

外联单位接入分部网络和昆山分布网络。

各区域
相对独立，通过核心网络进行数据的交互。

在整个网络拓扑图中，我们采用了层次化的设计，核心层、汇聚层、接入层。

这样节省成本，使整个网络拓扑更加清晰，由于各个层次的功能不同，因此易于我们排错。

4.2、网络层次化设计
在网络领域，层次型设计用于将设备划分到多个网络中，这些网络采用分层方法组织。

层次型设计模型包含3个基本层：
➢核心层：连接分布层设备。

➢分布层：将较小的本地网络互连起来。

➢接入层：向网络中的主机和终端设备提供连接性。

相对于平面网络设计，层次型网络有些优点。

将平面网络分为易于管理的小型模块的优点是，本地数据流将留在本地，只有前往其他网络的数据流才进入更高层。

三部分的功能分别是：
核心层：核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。

网络的控制功能最好尽量少在骨干层上实施。

核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。

核心层设备将占投资的主要部分。

核心层需要考虑冗余设计。

汇聚层：汇聚层的功能主要是连接接入层节点和核心层中心，汇聚层设计连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。

汇聚层设备一般采用可管理的三层交换机或堆叠式交换机以达到带宽和传输性能的要求，其设备性能较好，但价格高于接入层设备，而且对环境的要求也较高，汇聚层设备之间以及汇聚层设备与核心层设备之间多采用光纤互联，以提高系统的传输性能和吞吐量。

接入层：接入层的主要功能是完成用户流量的接入和隔离，对于无线局域网wlan用户，用户终端通过无线网卡和无线接入点AP完成用户接入。

它可以共享、独享或交换带宽的方式为用户提供入网的接口。

4.2.1、核心层设计
核心层主要进行数据的高速路由转发，以及维护全网路由的计算，我们推荐使用cisco 2821的路由器来完成，它的高性能，可靠性，可用性，在核心层我们还应该采用Cisco4506系类的交换机来完成，在核心层为了保证数据的安全性和性应接入防火墙。

4.2.2、分布层设计
分布层交换机和接入层交换机之间可以利用全双工技术和高传输率网络互联,保证分支主干无带宽瓶颈。

分布层的设计要满足核心层、分布层交换机和服务器集合环境对千兆端口密度、可扩展性、高可用性以及多层交换的不断增长的需求,支持大用户量、多媒体信息传输等应用。

所以选择的设备配置比核心层稍低。

可采用思科Cisco3750交换机。

4.2.3、接入层设计
接入层是使用交换机相连，为用户终端提供了接入的方式，办公系统所需要的服务器群，数据中心的多种系统应用服务器，到会聚交换的模块上，因此，部的局域网是采用三层结构组建。

在接入层使用的是Cisco2960系列的交换机来完成。

4.3、联接入
连接入的作用是用于外网的网络。

我们使用Cisco 2800系列的路由器通过SDH/DDN线路完成此功能。

由于接入外网时需要考虑到安全问题，因此，还需要接外部防火墙。

第5章路由、交换设计
1.路由协议
在本次网络项目中，总部的路由器BJ-R-001和交换机BJ-S-01、 BJ-S-02 、BJ-S-03及 BJ-S-04。

为达到路由快速收敛、寻址以及方便网络管理员管理的目的，为这个网络选择ospf 协议。

Ambow总部规划为area 0，其部网络也都规划为area 0。

各区域接入路由器跟据区域不同使用动态协议，或者使用静态路由与动态路由结合的方式。

2.交换技术
对于本次项目的核心层交换机Cisco 4506，我们将采用建立在生成树基础上的多链路冗余连接。

这样不仅可以避免了由于网络环路造成的广播风暴等，还可以保证骨干交换机之间存在备份连接和负载均衡，完成高带宽、大容量网络层路由交换功能。

这样当交换机之间的线路出现故障时，传输的数据会快速自动切换到另外一条线路上进行传输，不影响网络系统的正常工作。

而对于汇聚层交换机Cisco 3750和接入层交换机Cisco 2960，我们将采用VTP、VLAN、HSRP等协议。

使用VTP协议，可以把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样他们可以自动学习到server上的VLAN 信息。

这样不仅可以少在多台设备上配置同一个VLAN信息的工作量，而且还保持了VLAN配置的统一性。

而VLAN 技术，则可以限制广播围，并能够形成虚拟工作组，动态管理网络。

不仅提高了网络的安全性，而且成本低，性能高，节省了人力，具有很高的灵活性。

HSRP 是热备份路由协议。

在总部和分部在汇聚层的交换机上我们采用热备份协议，运用两台交换机，当其中的一台出现故障致使网络不能正常通信时，备用的那台马上起到作用，避免了网络的“短路”问题。

HSRP 实现容错备份功能，可以有效解决网络不畅问题，保证了网络的可靠性。

3. IPV6
由于IPV4网络地址的资源有限，所以，为了提高网络的可扩展性，在本次网络项目
中所采用的设备，均支持IPV6。

IPV6以其灵活的IP报文头部格式，不仅取代了IPV4中可变长度的选项字段，而且也使路由器可以简单路过选项而不做任何处理，加快了报文处理速度，提高了吞吐量。

而且IPV6还具有安全性、身份认证和隐私权等特性。

支持更多的服务类型，允许协议继续演变，增加新的功能，使之适应未来技术的发展。

5.4、设备选择
网络设备清单
总计：168500
5.5、设备命名规
网络设备命名
5.6、 VLAN、子网及IP地址规划
IP地址的规划在网络设计中举足轻重。

直接影响网络运行的效率。

IP地址设计的总原则是简单、易管理、易扩展。

我们配IP地址按以下原则：
唯一性：一个IP网络中不可能有两个主机采用相同的IP地址。

简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项。

连续性：连续地址在此结构网络中易于进行路由总结（Route Summarization）,大大缩减路由表，提高路由算法效率。

可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性。

灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术，以满足多种路由策略的优化，充分利用地址空间。

总部IP地址划分
分部IP地址划分
昆山分部IP地址划分
第6章网络安全解决方案
6.1网络边界安全威胁分析
网络边界隔离着不同功能或地域的多个网络区域，存在着安全风险。

我们应用以下方法来杜绝这些存在的潜在的安全：
1、防火墙技术，防火墙是网络安全策略的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络的安全的有效管理，从总体上看防火墙应该具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止行为；记录通过防火墙的信息容和活动；对网络攻击进行监测和告警。

2、通过vlan惊醒端口通讯和安全隔离，确保数据流进入有效端口
3、可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活
任意绑定，有效确认用户合法性和唯一性。

6.2 网络部安全威胁分析
部用户的越权访问:
公司部的资源也不是对任何的员工都开放的，也需要有相应的访问权限。

部用户的非授权的访问，更容易造成资源和重要信息的泄露。

部用户的误操作：
由于部用户的计算机制造的水平参差不齐，对于应用软件的理解也各不相同，如果一部分软件没有相应的对误操作的防措施，极容易给服务系统和其他主机造成危害。

部用户的恶意攻击：
就网络安全来说，据统计约有70%左右的攻击来自部网络用户，相比外部攻击来说，部用户有更得天独厚的优势，因此，对部用户攻击的防也很重要。

设备的自身安全性也会直接关系到公司网络系统和各种网络应用的正常运转。

例如，路由设备存在路由信息你泄露、交换机和路由器设备配置风险等。

重要服务器或操作系统自身存在的安全漏洞：
如果管理员没有及时的发现并且进行修复，将会为网络的安全带来很多不安定的因素。

重要服务器的当机或者重要数据的意外丢失，都将会造成这公司部业务的无法正常运行。

6.3解决方案
6.3.1ISA和iptables防火墙
（1）防火墙能强化安全策略
（2）防火墙能有效的记录internet上的活动。

（3）防火墙限制暴露用户点，防火墙能够用来隔开网络中一个网段与另一个网段，这样，能够防止影响一个网段的问题通过整个网络传播。

（4）防火墙是一个安全策略的检查站。

所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。

（5）价格较低
（6）性能开销小,处理速度较快
在公司分部，我们选择在linux系统上建立iptables防火墙。

iptables是复杂的，它集成到linux核中。

用户通过iptables，可以对进出你的计算机的数据包进行过滤。

通过iptables命令设置你的规则，来把守你的计算机网络──哪些数据允许通过，哪些不能通过，哪些通过的数据进行记录。

6.3.2病毒防护
因为公司的数据核心是非常重要的，为免被窃取要设置访问权限；网络可能被病毒攻击和破坏，所以安装杀毒软件和防火墙。

(1)阻止病毒的传播
在防火墙、SMTP服务器、网络服务器上安装病毒过滤软件。

在桌面PC安装病毒监控软件。

(2)检查和清除病毒
使用防病毒软件检查和清除病毒。

(3)病毒数据库的升级
病毒数据库应不断更新，并下发到桌面系统。

(4)在防火墙及PC上安装控制扫描软件，禁止未经许可的控件下载和安装。

6.3.3认证和数字签名
(1)认证
1.路由器认证，路由器和交换机之间的认证
2.操作系统认证，操作系统对用户的认证
3.拨号访问服务与客户之间的认证
4.电子通讯双方认证
(2)数字签名技术
认证过程通常涉及到加密和密钥交换。

Password认证
该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet等，但由于此种认证方式过程不加密，即password容易被监听和解密。

使用摘要算法的认证
基于PKI的认证
使用公开密钥体系进行认证和加密。

该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来。

这种认证方法目前应用在电子、应用服务器访问、客户认证、防火墙验证等领域。

第7章关键技术介绍
7.1VLAN
VLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。

一个VLAN可以在一个交换机或者跨交换机实现。

VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。

基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。

因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。

网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时VLAN 和第三层第四层的交换结合使用能够为网络提供较好的安全措施。

7.2HSRP
终端可以使用多种方法决定它们到特定ip地址的第一跳。

常用的方法有两种：
1.动态学习：代理arp，路由协议（rip和ospf）以及irdp（icmp router discovery
protocol）；
2.静态配置：在每一个终端都运行动态路由协议是不现实的，大多客户端操作
系统平台都不支持动态路由协议，即使支持也受到管理开销、收敛度、安全性等许多问题的限制。

因此普遍采用对终端ip设备静态路由配置，一般是给终端设备指定一个或者多个默认网关(default gateway)。

静态路由的方法简化了网络管理的复杂度和减轻了终端设备的通信开销，但是它仍然有一个缺点：如果作为默认网关的交换机损坏，所有使用该网关为下一跳主机的通信必然要中断。

即便配置了多个默认网关，如不重新启动终端设备，也不能切换到新的网关。

hsrp就是为了避免静态指定网关的缺陷。

7.3VTP
也被称为虚拟局域网干道协议。

它是思科私有协议。

作用是十几台交换机在企业网中，配置VLAN工作量大，可以使用VTP协议，把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样他们可以自动学习到server 上的VLAN 信息。

通常情况下，我们需要在整个园区网或者企业网中的一组的交换机中保持VLAN数据库的同步，以保证所有交换机都能从数据帧中读取相关的VLAN信息进行正确的数据转发。

它是一个OSI参考模型第二层的通信协议，主要用于管理在同一个域的网络围VLANs 的建立、删除和重命名。

在一台VTP Server 上配置一个新的VLAN时，该VLAN的配置信
息将自动传播到本域的其他所有交换机。

这些交换机会自动地接收这些配置信息，使其VLAN的配置与VTP Server保持一致，从而减少在多台设备上配置同一个VLAN信息的工作量，而且保持了VLAN配置的统一性。

VTP有三种工作模式：VTP Server、VTP Client 和VTP Transparent。

一般，一个VTP域的整个网络只设一个VTP Server。

VTP Server维护该VTP域中所有VLAN 信息列表，VTP Server可以建立、删除或修改VLAN。

VTP Client 虽然也维护所有VLAN信息列表，但其VLAN的配置信息是从VTP Server学到的，VTP Client 不能建立、删除或修改VLAN。

VTP Transparent相当于是一上独立的交换机，它不参与VTP工作，不从VTP Server学习VLAN的配置信息，而只拥有本设备上自己维护的VLAN 信息。

VTP Transparent可以建立、删除和修改本机上的 VLAN信息。

7.4 TRUNK
Trunk是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。

基于端口汇聚（Trunk）功能，允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量，大幅度提供整个网络能力。

是带宽扩展和链路备份的一个重要途径。

TRUNK把多个物理端口捆绑在一起当作一个逻辑端口使用，可以把多组端口的宽带叠加起来使用。

TRUNK技术可以实现TRUNK部多条链路互为备份的功能，即当一条链路出现故障时，不影响其他链路的工作，同时多链路之间还能实现流量均衡。

7.5STP
stp是一种二层链路协议，又称生成树协议，该协议在IEEE802.1D文档中定义。

该协议的原理是按照树的结构来构造网络拓扑，消除网络中的环路，避免由于环路的存在而造成广播风暴问题。

该协议使用BPDU报文传递生成树信息。

该协议的目的是在实现交换机之间的冗余连接的同时，避免网络环路的出现，实现网。