中小企业网络设计毕业设计doc

中小企业网络设计毕业设计doc内容摘要：

源 ，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送，实现对业务的合理调度才是一个大型企业网络提供高品质 服务的保障。 现代大型企业网络应提供更完善的网络安全解决方案，以阻击病毒和黑客的攻击，减少企业的经济损失。 传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件，以及配合交换机或路由器的 ACL 来实现对病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。 在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接 入控制，病毒报文识别到主动抑制的一系列安全控制手段，这样才能有效地保证企业网络的稳定运行。 现代大型企业网络应具备更智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需要。 当前的网络已经发展成为 以应用为中心 的信息基础平台，网络管理能力的要求已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。 比如，网络调试期间最消耗人力与物力的线缆故障定位工作，网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管 理工作，由于受网络设备功能本身的限制，都还属于费时、费力的任务。 所以现代的大型企业网络迫切需要网络设备具备支撑 以应用为中心 的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。 虽然任 何人都不可能设计出绝对安全和保密的网络信息系统，但是，如果在设计之初就遵从一些合理的原则，那么相应的网络系统的安全和保密就会更加有 安徽工业大学 毕业设计（论文）说明书 第 4 页 共 49 页 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 装 ┊ ┊ ┊ ┊ ┊ 订 ┊ ┊ ┊ ┊ ┊ 线 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 保障。 如果设计时考虑不全面，消极地将安全和保密措施寄托在事后 “ 打补丁 ”的思路是非常危险的。 从工程技术角度，应遵循的原则如 图 所示。 图 网络安全设计原则 木桶原则：对信息均衡、全面地进行保护。 整体性原则：进行安全防护、监测和应急恢复。 实用性原则 :不影响系统的正常运行和合法用户的操作。 等级性原则：区分安全层次和安全级别。 动态化原则：安全需要不断更新。 设计为本原则：安全设计与网络设计同步进行。 安徽工业大学 毕业设计（论文）说明书 第 5 页 共 49 页 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 装 ┊ ┊ ┊ ┊ ┊ 订 ┊ ┊ ┊ ┊ ┊ 线 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 第三章 网络技 术与 拓扑结构 本章结合企业的需求分析，对企业的网络架构进行搭建，并对该企业架构所用到的技术进行分析，以及对拓扑结构的设计进行分析。 实用性和经济性 ： 系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设企业的网络系统。 先进性和成熟性 ： 系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。 不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内企业网络仍占领先地位。 可靠性和稳定性 :在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设 备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。 安全性和保密性 :在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制。 可扩展性和易维护性 ： 为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低了人力资源的费用，提高网络的易用性。 网路技术的选择对影响网络性能， 网络的维护，网络的安全指数有着重大的联系，因此对网络技术的选择必须高度重视。 以太网（ Ether）是一种计算机局域网组网技术。 IEEE 制定的 IEEE 标准给出了以太网的技术标准。 它规定了包括物理层的连线、电信号和介质访问层协议的内容。 以太网是当前应用最普遍的局域网技术。 它很大程度上取代了其他局域网标准，如令牌环网（ token ring）、 FDDI 和 ARCNET。 以太网的标准拓扑结构为总线型拓扑，但目前的快速以太网（ 100BASET、 1000BASET 标准）为了最大程 度的减少冲突，最大程度的提高网络速度和使用效率，使用交换机（ Switch hub）来进行网络连接和组织，这样，以太网的拓扑结构就成了星型，但在逻辑上，以太网仍然使用总线型拓扑和 CSMA/CD（ Carrier Sense Multiple Access/Collision Detect 即带冲突检测的载波监听多路访问）的总线争用技术。 安徽工业大学 毕业设计（论文）说明书 第 6 页 共 49 页 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 装 ┊ ┊ ┊ ┊ ┊ 订 ┊ ┊ ┊ ┊ ┊ 线 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 快速以太网是世界上应用最广泛的组网技术，其强大的灵活性，简便性，传输介质的多样性，拓扑结构的灵活性，符合中小企业的设计要求 以太网基于网络上无线电系统多个节点发送信息的想法实现 ，每个节点必须取得电缆或者信道的才能传送信息，有时也叫做以太（ Ether）。 (这个名字来源于 19 世纪的物理学家假设的电磁辐射媒体 光以太。 后来的研究证明光以太不存在。 ) 每一个节点有全球唯一的 48 位地址也就是制造商分配给网卡的 MAC 地址 ,以保证以太网上所有系统能互相鉴别。 由于以太网十分普遍，许多制造商把以太网卡直接集成进计算机主板。 VLAN 为实现交换机以太网路的广播隔离，一种理想的解决方案就是采用虚拟局域网技术。 这种对连接到第 2 层交换机端口的网络使用者的逻辑分段技术实现非常灵活，它可以不受使 用者物理位置限制，根据使用者需求进行 VLAN 划分；可在一个交换机上实现，也可跨交换机实现；可以根据网络使用者的位置、作用、部门或根据使用的应用程序、上层协议或者以太网路连接硬件地址来进行划分。 一个 VLAN 相当于 OSI 模型第 2 层的广播域，它能将广播控制在一个 VLAN内部。 而不同 VLAN 之间或 VLAN 与 LAN / WAN 的数据通讯必须通过第 3层（网络层）完成。 否则，即便是同一交换机上的连接，假如它们不处于同一个VLAN，正常情况下也无法进行数据通讯 为了解决 资讯安全议题， 1995 年 IEEE 802 委员会发表了 VLAN 技术的实作标准与讯框结构，希望能透过设定逻辑位址（ TPID、 TCI），对实体局域网区隔成独立虚拟网段，以规范封包广播时的最大范围。 如下图， VLAN 解决了物理位置的限制 图 VLAN 示意图 VLAN 的标准有两种， Cisco 公司的 ISL,以及 IEEE 由于后者是国际化标准，而且其传输效率更高，所以更适合网络需求。 安徽工业大学 毕业设计（论文）说明书 第 7 页 共 49 页 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 装 ┊ ┊ ┊ ┊ ┊ 订 ┊ ┊ ┊ ┊ ┊ 线 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 使用 VLAN 的好处有以下几点 ： 广播风暴防范：限制网络上的广播，在一个 VLAN 中的广播不会送到 VLAN之外。 同样，相邻的端口不会收 到其他 VLAN 产生的广 播。 这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。 安全：不同 VLAN 内的报文在传输时是相互隔离的，即一个 VLAN 内的用户不能和其它 VLAN 内的用户直接通信，如果不同 VLAN 要进行通信，则需要通过路由器或三层交换机等三层设备。 成本降低：成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。 性能提高：将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。 另外使用 VLAN 还可以 提高 IT 员工效率，简化项目管理或应用管理， 增加了网络连接的灵活性等优点。 DHCP 某些的主机不需要静态的 IP， 因为其并非永久的使用该地址，当主机离开网络， 就得释放这个 IP 地址，以给其它工作站使用，动态分配显然更加灵活。 DHCP 是目前应用最为广泛的为网络主机分配 IP 地址的方式之一。 DHCP允许 DHCP 客户端从 DHCP 服务器获取 IP 地址，子网掩码，默认网关 IP 地址，DNS 服务器 IP 地址以及其他 IP 地址类型信息。 DHCP 工作原理如图 图 DHCP 的工作原理 第一步：由于 DHCP 客户端初始启动时没有 IP 地址，默认网关或 这类配置信息，因而 DHCP 客户端初始启动后通过发送目的地为 的广播消息（ DHCP discovery）来试图发现 DHCP 服务器。 第二步： DHCP 服务器接收到 DHCP discovery 消息后，响应以 DHCP offer消息。 由于 DHCP discovery 消息是以广播方式向外发送的，因而可能会有多个DHCP 服务器响应发现请求，不过客户端通常会选择其接收到的第一个 DHCP offer 消息的服务器作为 DHCP 服务器。 第三步： DHCP 客户端通过发送 DHCP request 消息 与选定的服务器进行通信，让 DHCP 服务器提供 IP 配置参数。 安徽工业大学 毕业设计（论文）说明书 第 8 页 共 49 页 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 装 ┊ ┊ ┊ ┊ ┊ 订 ┊ ┊ ┊ ┊ ┊ 线 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 第四步： 最后， DHCP 服务器以 DHCPACK 消息响应客户端， DHCPACK消息包含了 响应的 IP 配置参数。 NAT 在计算机网络中，网络地址转换（ Network Address Translation 或简称 NAT，也叫做网络掩蔽或者 IP 掩蔽）是一种在 IP 数据包通过路由器或防火墙时重写源IP 地址或 /和目的 IP 地址的技术。 这种技术被普遍使用在有多台主机但只通过一个公有 IP 地址访问因特网的私有网络中。 目前人们普遍认为 NAT 完美的解决了 IP 地 址不足的问题，的确，他真的是一样很有用的工具，可以说没有 NAT，我们的 网络不会得到如此迅速的发展。 但 NAT 也让主机之间的通信变得复杂，导致通信效率的降低。 NAT 优点：节约合法注册地址，减少地址重叠出现，增加链接 Inter 的灵活性，网络变更时避免地址的重新分配。 NAT 缺点：地址转换产生交换延迟，无法进行端到端的 IP 跟踪，某些应用程序无法实现在 NAT 的网络中运行。 NAT 运行示例：在下图中主机 发送一个外出数据包到配置了 NAT的边界路由器，边界路由器识别出此 IP 地址为内部 IP 地址，目标是 外部网络，他要转换内部本地 IP 地址，并把转换结果记录到 NAT 表中，这个数据包使用转换后的新的源地址被发送到外部接口，外部主机返回此包到目标主机， NAT 路由使用 NAT 表转换内部全局 IP 地址为内部 IP 地址，整个过程基本就是这样。 下图是基本的 NAT 工作原理示意图 图 NAT 工作原理示意图 ACL 内外。