《广东仁爱医疗科技有限公司网络规划与设计方案.doc》由会员分享,可在线阅读,更多相关《广东仁爱医疗科技有限公司网络规划与设计方案.doc(46页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、广东仁爱医疗科技有限公司网络规划与设计方案摘要:近年来,互联网行业持续稳健发展,无论是生活上还是工作上,早已离不开网络。俨然,地球已成为了“地球村”。网络被广泛应用于各行各业,那么,中小型企业网络的建设和实施是企业正常运营的基础。本文针对广东仁爱医疗科技有限公司的网络需求,对网络进行了规划和设计。根据广东仁爱医疗科技有限公司的需求以及现阶段中小型企业网络规划主流技术的对比,在该公司的网络拓扑的搭建中,在局域网方面我们选择了网络互联技术。在该公司同一部门或者不同部门方面,我们选择了VLAN技术,因为这对公司控制流量、减少设备投资、简化网络管理、提高网络的安全性有着很大的帮助。而三层交换和单臂路由
2、能实现各部门相互通信。VTP配置简化vlan的配置。使用 ACL技术按该公司的要求,控制远程访问。生成树协议和链路聚合实现二层冗余、HSRP实现网关冗余。采用OSPF和默认路由协议实现全网通,通过EIGRP协议,有效扩展,使各个分部与总部相连。配置各类服务器,如WWW、DNS、FTP、E-mail服务等,满足该公司的信息发布和数据共享的需要。此外,该公司的网络可能会受到自身内部或者外部的攻击,因此,网络安全对于该公司的网络是必不可少的步骤。在边界路由器配置了基于区域的策略防火墙ZWF,控制不同区域间的访问,配置交换机和路由器的基本安全,如端口安全、访问加密、认证加密等,确保数据的可用性、完整性
3、和保密性。关键词:广东仁爱医疗科技有限公司,网络互联技术,网络冗余,网络安全Network Planning and Design Scheme of Guangdong Renai Medical Technology Co., LtdAbstract: In recent years, the Internet industry has continued to develop steadily, whether in life or work, it has long been inseparable from the network. It seems that the earth h
4、as become a global village. Network is widely used in all walks of life, so the construction and implementation of small and medium-sized enterprise network is the basis of normal operation of enterprises. According to the network demand of Guangdong Renai Medical Technology Co., Ltd., this paper pl
5、ans and designs the network.According to the needs of Guangdong Renai Medical Technology Co., Ltd. and the comparison of current network mainstream technology, in the construction of network topology, LAN adopts network interconnection technology. VLAN technology is used between different department
6、s to help control traffic, reduce equipment investment, simplify network management and improve network security. Three layer switching and single arm routing realize mutual communication among departments. VTP configuration simplifies VLAN configuration. Use ACL technology to control remote access
7、according to the companys requirements. Spanning tree protocol and link aggregation realize two-tier redundancy, and HSRP realizes gateway redundancy. OSPF and default routing protocol are used to realize all network communication. EIGRP protocol is used to effectively expand and connect each branch
8、 with the headquarters. Configure various servers, such as WWW, DNS, FTP, e-mail services, etc., to meet the companys information publishing and data sharing needs. In addition, the companys network may be subject to internal or external attacks. Therefore, network security is an essential step for
9、the companys network. The border router is equipped with zone based policy firewall zwf to control the access between different zones, and configure the basic security of switch and router, such as port security, access encryption, authentication encryption, etc., to ensure the availability, integri
10、ty and confidentiality of data.Keywords: Guangdong Renai Medical Technology Co., Ltd, Internet Technology, Network Redundancy, Network Security目 录第1章 绪 论11.1仁爱医疗科技有限公司网络设计的目的和意义11.2仁爱医疗科技有限公司网络的设计原则11.2.1产品功能实现11.2.2网络硬件的选择21.2.3仁爱医疗科技有限公司网络组建的要求21.3论文结构安排4第2章 项目需求分析52.1背景分析52.2功能需求分析52.3安全需求分析52.4
11、本章小结6第3章 网络设计73.1组网设备的选择73.1.1交换机的选择73.1.2其它设备的选择93.2网络拓扑结构图设计93.3 ip地址的规划113.3.1 vlan的划分113.3.2设备ip的具体划分11第4章 网络实施144.1实验配置分析图144.2具体实验配置实施154.2.1基本配置154.2.2交换配置164.2.3路由配置204.2.4网络安全22第5章 系统测试305.1 HTTP服务测试305.2 DNS服务测试305.3 FTP服务测试325.4 E-mail测试335.5核心设备只允许管理员安全访问355.6基于区域策略的防火墙36第6章 总 结38参考文献39致
12、谢41第1章 绪 论1.1仁爱医疗科技有限公司网络设计的目的和意义近年来,随着全球范围内人们对Internet使用需求的增加,以Internet为代表的网络基础设施的建立和发展,使人们在日常生活中越来越离不开网络。如微信、手机、IPAD等都是要通过网络来实现它多方面的功能。这不仅促进了信息产业和知识经济的诞生和迅猛发展,更标志着人类已进入信息时代。企业网络的建设是企业向信息化、高效化、国际化发展的必然选择。企业网络的设计旨在内部资源的高速共享,降低企业的运营成本。在当今社会,一个企业的网络规划可以说是重中之重,这不仅仅体现在以上所述的两个方面,更重要的还有一个安全性。如果一个企业的网络安全性不
13、达标,这就意味着他们的内部数据岌岌可危,客户对企业的信任度也就不高。所以,企业网络不仅仅是让企业可以更好地与外界进行沟通,外部可以更容易、更快速地了解企业,企业员工更高效率工作,还要让企业的内部数据有一定的保密性,以防用户资料的丢失及泄露。目前,各企业均在搭建或完善企业内部局域网。可用、可靠、可扩展的网络结构侧面体现企业稳定的发展。本文结合在校所修课程和仁爱医疗科技有限公司实际需求,举例分析、设计、配置、搭建一个安全稳定的企业网络。1.2仁爱医疗科技有限公司网络的设计原则1.2.1产品功能实现广东仁爱医疗科技有限公司采用树型拓扑进行规划整个网络,因为树型拓扑相对来说有较强的可折叠性,非常适用于
14、构建网络主干,而且还能够有效地保护布线投资,节省成本。在出口路由器采用了基于zone的策略,可以实现内部网络不受外部入侵;与内部路由器采用了OSPF及EIGRP两个动态路由协议,实现了不同网段的互通;核心交换机采用HSRP技术,实现高可用性;通过部署DNS、FTP、E-mail服务器,局域网可以实现文件管理、资源机共享、电子邮件和传真通信服务等功能。1.2.2网络硬件的选择企业网络通常分为接入层、汇聚层、核心层三层结构。通过分层的设计将网络分成互相分离的接入、汇聚、核心层,每一层提供不同的功能。接入层是用于各种终端通过信息点连入网络;汇聚层设计的目的是为核心网和接入层提供连接,也是二层上下联,
15、并提供了基于统一策略的互联性并对数据包进行复杂的路由运算。核心层的网络尤为重要,因为它位于中心,一般连接着各个区域的网络设备,并且所有的流量都需要经过核心交换机出去,包括内网终端访问内网DNSFTPE-Mail服务器的流量,内网终端访问外网的流量。根据接入层、汇聚层、核心层每层的特点以及设备的重要性,可以选择相应的硬件设备。总结每层适用的设备,如下表:分层设计适用设备接入层终端用户(如PC、打印机、IP Phone等)汇聚层交换设备(如交换机、三层交换机、网桥、集线器等)核心层思科、华为等牌子的高端路由设备、防火墙等不同设备有不同的厂商,价格自然有差别,可以根据企业的需要等综合条件选择。 1.
16、2.3仁爱医疗科技有限公司网络组建的要求我们时常能接触到internet网、星形网、树形网等名词,它们表示什么?网络从大的方面来讲有很多种类型,其中按网络的地理覆盖范围来讲可以将网络分为三种类型,包括有局域网、城域网、广域网。本篇论文知识构建一个医院的网络,地理覆盖范围大概在方圆几千米,因此属于局域网。首先从物理层来讲,它包含了许多不同类型的终端,比如微软的windows、苹果的MAC、还有像linux等系统。大部分企业会因为资金方面、产品选型方面、网络规划方面、安全方面(包括网络安全、终端安全等)、网络架构方面等方面的不够了解,都会选择架构自己对于公司的整个网络部署规划做成招标书,交予中标的
17、第三方集成商进行实施及维护。并且这样做的话不仅可以节省企业对组网投入的精力、人力,更不必耗费太多的资金,同时可以在提高网络安全性的基础上兼顾未来企业发展壮大后网络的扩展性。所以在网络实施之前我们要做好对企业的需求分析、拓扑选型、设备挑选、网络规划等前期准备。只有完善好规划、实施好每一步的步骤,才能让这个网络满足企业对各方面的要求,并给以后企业的发展留有网络可拓展性。企业组建的自身网络一般有下几点要求: VLAN二层广播域隔离VLAN技术原理是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。划分不同VLAN的目的是为了划分不同的广播域,不让所有的主机都在同一个广播域中,一旦发生广播风暴,影
18、响的只是本广播域内的主机,而不会大范围的波及其它广播域内的主机。并且这样的话不仅可以节省带宽,而且还可以提高网络的处理能力。在一个公司中,一般是将一个部门里的用户划分在同一个VLAN中,当然有些特殊的,流量带宽需要比较大的也可以用单独的VLAN进行表示,也好在后面设备做流控的时候好调用。根据以上做的话,网络的构建和维护就会更快速更灵活。 三层信息共享在一个企业中,有时候各部门之间的信息共享是有必要的。实现信息共享的话可以使企业对资源的配置更加合理,更大方面地节约企业的运营成本,创造更大的经济效益。这就需要实现VLAN间的通信。VLAN间的通信可以通过三层交换机的三层交换和路由器的单臂路由模式来
19、实现。 用网安全网络容易受到外部和内部有意或无意的入侵,这时企业的信息很容易被蓄意破坏、篡改、窃听、假冒、泄露。因此需要采取措施保证企业网络安全和稳定运行。如通过端口安全防范DMZ区的服务器遭受MAC泛洪攻击、通过防火墙或ACL技术对数据流量合理过滤、通过SSH加密访问设备、链路,区域MD5认证保证数据的可靠性等。 网络稳定可扩展在前期的网络的规划,一般都会考虑到网络的冗余性。其中网络的冗余性包括核心设备的冗余、出口设备的冗余、线路的冗余、电源线的冗余等等。而且这个规划也必须写在本项目的实施方案中,在实施的过程中,严格的按照方案进行实施,绝不能在整个网络架构中出现由于网络架构、线路的实施不合理
20、出现的单点故障(单点故障为某一个节点发生故障导致网络整体瘫痪)。通过科学的、高效的网络冗余设计,能够很好地提高网络的稳定性。网络的冗余设置就是将一些负担较重的某个关键设备,比如:核心交换机,一旦网络系统出现故障,备用设备就会去担任主设备的工作而工作,可以在一定程度上为系统提供服务,减少网络故障所带来的影响。1.3论文结构安排此篇论文一共分为六个部分,具体内容如下:第1章:绪论。本章从现如今网络的发展状况,简要说明网络在企业中的作用。第2章:项目需求分析。本章从广东仁爱医疗科技有限公司的网络需求出发,设计出一套能满足公司日常工作需求的网络拓扑。第3章:网络设计。本章从广东仁爱医疗科技有限公司的需
21、求出发,简要介绍了拓扑的vlan划分以及IP划分。第4章:网络实施。本章简要介绍了拓扑构建完成之后的实操内容。第5章:系统测试。本章简要说明了各次系统测试的结果,能够满足广东仁爱医疗科技有限公司的日常工作需求。第6章:总结。本章从各个方面出发,介绍了本篇论文中出现的问题以及解决方案,是对本篇论文的一次综合性的总结第2章 项目需求分析2.1背景分析广东仁爱医疗科技有限公司总部设有6个部门,分别为人力资源部、财务部、销售部、设计部、市场部、董事办公室。因为公司业务的需要,在广州扩建了一间子公司,仅设有销售部、设计部、市场部3个部门。公司部门具体情况及需求如下:表2-1 部门信息点个数主要部门职责所
22、需设备数董事办公室负责决策、组织办公15人力资源部负责招聘和辞退员工,管理员工出勤10财务部负责公司的账目20销售部负责产品销售方面80(总部)、50(子公司)设计部负责服装设计30(总部)、10(子公司)市场部负责产品推广和策划50(总部)、20(子公司)2.2功能需求分析1、全网实现不同业务二层隔离三层连通2、总公司中,各部门可以相互访问。3、总公司和子公司各部门可以相互访问。4、核心设备三层交换机和路由器只允许网络管理员远程安全访问。2.3安全需求分析基于策略的防火墙要求,对该公司的安全需求有以下条件:内网能ping通Internet跟DMZ区域,但是DMZ区域不能访问Internet和
23、内网。Internet不能ping通内网和DMZ区域,但是可以访问DMZ区域的HTTP服务。2.4 本章小结本章内容从广东仁爱医疗有限公司的实际需求出发,对该公司的各个方面进行了深入了解,详细介绍了该公司对网络的需求。为之后的网络设计提供了必要的信息,对拓扑图的构建有了充分的准备。42第3章 网络设计3.1组网设备的选择3.1.1交换机的选择一般来说,终端都是通过接入层接入网络,而获得网络资源的。接入层的目的是允许终端用户连接到网络,因此接入层交换机具有成本低和端口密度高的特性。在网络设备方面选用当前国际社会上首屈一指的网络互联厂商 Cisco 的产品,其产品与服务通过智能、安全及可靠的网络将
24、信息设备连为一体 ,具有很好的可靠性和稳定性。Cisco Catalyst 2960 系列智能以太网交换机是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和 10/100/1000 千兆以太网连接。其中CISCO WS-C2960-24TC-S基本参数如下:表3-1 CISCO WS-C2960-24TC-S基本参数主要参数产品类型智能交换机应用层级二层传输速率10/100/1000Mbps产品内存DRAM内存:64MBFLASH内存:32MB交换方式存储-转发包转发率6.5MppsMAC地址表8K端口参数端口结构非模块化端口数量24个传输模式支持全双工功能特性网络标准IEEE 802
25、.1D,IEEE 802.1p,IEEE 802.1Q,IEEE 802.1s,IEEE 802.1w,IEEE 802.1x,IEEE 802.1AB (LLDP),IEEE 802.3ad,IEEE 802.3ah,IEEE 802.3x,IEEE 802.3,IEEE 802.3u,IEEE 802.3ab纠错VLAN支持QOS支持网络管理SNMPv1,SNMPv2c,and SNMPv3Catalyst 2960系列具有集成安全特性,包括网络准入控制(NAC)、高级服务质量(QoS)和永续性,可为网络边缘提供智能服务。具体而言,集成安全特性是一个全新的、固定配置的独立设备系列,提供桌面
26、快速以太网和10/100/1000千兆以太网连接,适用于中小型企业、中小型市场和中小型分支机构的网络,有助于为其提供增强LAN服务。汇聚层是企业网络的信息汇聚点,是连接接入层和核心层的网络设备。其作用是为接入层提供数据汇聚、传输、管理、分发处理等功能,也可以提供接入层虚拟网之间的互连,并且掌控和限制接入层对核心层的访问,确保了核心层的安全性和稳定性。核心层的功能较多,但是在其中最为主要的功能是实现骨干网络之间的优化传输等。核心层为这整一个网络的核心,这就需要考虑该交换机在技术性和可扩展性等方面要具有适当的超前性,这样在企业未来发展壮大之后才具有足够的兼容性。其次,用我们常常说的一句老话来表达的
27、话,那就是:稳定压倒一切。对核心交换机来说,对稳定性的要求远远高过对性能的要求。若是一台核心交换机经常出故障,网络经常中断, 服务器经常无法访问,那还会有谁使用该家厂商的产品。这就好比我们如果去菜市场买菜的话,这家店的菜回去吃完老是会拉肚子,几次之后这家店肯定也会相应的没生意做了,就是因为产品不好。综合了对比了各家厂商的能力和性价比之后,我们最终选择 CiscoCatalyst 3560E-24TD 作为汇聚和核心交换机,其中CISCO WS-C3560E-12D-E基本参数如下:表3-2 CISCO WS-C3560E-12D-E基本参数主要参数产品类型企业级交换机应用层级三层传输速率10/
28、100/1000/10000Mbps交换方式存储-转发端口参数端口结构非模块化端口数量12个端口描述12个基于X2的万兆以太网端口传输模式支持全双工功能特性网络标准IEEE 802.1s,IEEE 802.1w,IEEE 802.1x,IEEE 802.3ad,IEEE 802.3af,IEEE 802.3x,IEEE 802.1D,IEEE 802.1p,IEEE 802.1Q,IEEE 802.3,IEEE 802.3u,IEEE 802.3ab,IEEE 802.3z 纠错堆叠功能可堆叠VLAN支持QOS支持具体而言,Cisco 3560E 系列交换机的主要特性和优势有以下几方面:简易性
29、,换言之就是易操作,好上手,不需要用户有足够多的理论基础就可以使用;可用性和可扩展性,就是为企业未来的发展做好了足够的准备;高性能 IP 路由。在简易性,也就是易用性方面Cisco Catalyst 3560-E 设计得很好,比如 Cisco Smartports, 思科靠着在网络方面沉浸多年的丰富的网络技术,快速而方便地配置先进的Cisco Catalyst智能功能。Cisco Smartports 宏为每种连接类型都提供了一套经过验证、便于用户使用的模板,使用户能以最少的人力和技术投入,一致、准确地配置必要的安全策略、 IP 电话、可用性、 QoS和可管理性特性。在可用性和可扩展性方面,C
30、isco Catalyst 3560-E 系列配备了一个强大的特性集,利用 IP 路由以及能够最大限度地提高第二层网络可用性的全套生成树协议增强特性, 借此实现了网络可扩展性和更高可用性,这就是企业不必因为在未来一段时间内发展过快的话需要重新购买一批新的网络设备,为企业节省了一大笔资金。在标准生成树协议基础上增强的特性, 如 PVST+ 、Uplink Fast 和 Port Fast,以及 Flex-link 等创新特性,大幅度增加了了网络正常运行的时间。在高性能 IP 路由方面,思科快速转发硬件路由架构为 Cisco Catalyst 3560-E 系列交换机提供了极高的 IP 路由性能。
31、3.1.2其它设备的选择一个网络的架构不仅仅只有交换机,还有很多必不可少的元素,如线缆、终端设备、路由器等。本课题只是模拟一个中小型企业网络。实际还要考虑很多综合因素。本课题用Cisco Packet Tracer软件模拟,因此线缆、终端设备、路由器不一一讨论型号和具体功能。 3.2网络拓扑结构图设计根据仁爱公司的规模和发展规划,网络拓扑采取星型网状和树型拓扑结构混合。这样有利于企业的扩展。为了避免单点故障,造成企业业务损失,也采用了设备冗余的设计。接入层机使用了CISCO 2960系列的交换机,汇聚层和核心层使用了CISCO 3560系列交换机,路由器一致采用CISCO 2811企业路由器等
32、,网络拓扑图设计如下:图3-3 广东仁爱科技医疗有限公司网络拓扑图3.3 ip地址的规划3.3.1 vlan的划分根据各个部门的不同需求以及公司的发展需要,现对各个部门进行vlan划分,具体划分内容见表3-4。表3-4 vlan的划分部门名称VLAN网络地址董事办公室Vlan 99192.16.99.0/24人力资源部Vlan 10192.16.10.0/24财务部Vlan 20192.16.20.0/24销售部Vlan 30192.16.30.0/24(总部)192.16.3.0/24(子公司)设计部Vlan 40192.16.40.0/24(总部)192.16.4.0/24(子公司)市场部
33、Vlan 50192.16.50.0/24(总部)192.16.5.0/24(子公司)3.3.2设备ip的具体划分根据公司日常工作需求以及设备的相关功能,现对公司的ip进行划分,具体内容见表3-5。表3-5 IP的划分企业总部设备接口ip地址默认网关Zhuhai-R1F0/0192.168.11.1/24F0/1192.168.12.1/24S0/0/0192.168.13.1/24S0/0/1192.168.21.1/24Zhuhai-R2-firewallF0/0192.168.1.1/24S0/0/080.80.80.2/24S0/0/1192.168.21.2/24ISPS0/0/08
34、0.80.80.1/24S1G0/1192.168.11.2/24vlan 10192.168.10.252/24vlan 20192.168.20.252/24vlan 30192.168.30.252/24vlan 40192.168.40.252/24vlan 50192.168.50.252/24vlan 99192.168.99.252/24S2G0/2192.168.12.2/24F0/1010.10.10.1/24vlan 10192.168.10.253/24vlan 20192.168.20.253/24vlan 30192.168.30.253/24vlan 40192.1
35、68.40.253/24vlan 50192.168.50.253/24vlan 99192.168.99.253/24DNS服务器192.168.1.100/24192.168.1.1FTP服务器192.168.1.110/24192.168.1.1E-mail服务器192.168.1.120/24192.168.1.1管理员PC10.10.10.10/2410.10.10.1所有PCdhcpdhcp子公司Guangzhou-R3F0/0.30192.168.3.254/24F0/0.40192.168.4.254/24F0/0.50192.168.5.254/24S0/0/0192.168
36、.13.3/24所有PCdhcpdhcp第4章 网络实施4.1实验配置分析图4.2具体实验配置实施4.2.1基本配置根据企业要求,为了方便管理设备,所有的路由器和交换机都进行了基本配置,配置命令及注释如下:4.2.2交换配置1、创建一个vlan,并把需要关联的接口关联到相应的vlan之中,交换机之间采用trunk技术,实现跨交换机的相同vlan间通信。采用vtp技术,减轻VLAN配置的工作量,因此只需在vtp server上创建VLAN即可。其中,企业总部的S1为vtp server,其它交换机为vtp client,子公司的S3为vtp server,其它交换机为vtp client,所有的
37、vtp域名为zhss,密码配置为shishang。为了增强网络的稳定性和可靠性,总部三层交换机之前配置了etherchannel捆绑技术。具体实施步骤如下:2、二层不同vlan间是不能够通信的,企业的协作需要各部门之间合作完成,因此需要实现vlan间的通信,实现vlan间的通信可以通过三层交换或单臂路由,这里总部采用三层交换,子公司采用单臂路由。具体实施命令如下:3、STP协议。为了减少网络故障的恢复时间,避免单点故障,解决环路问题。交换机配置PVST+协议。其中,S1为vlan99、vlan10、vlan20的根桥,为vlan30、vlan40、vlan50的次根桥;S2为vlan30、vl
38、an40、vlan50的根桥,为vlan99、vlan10、vlan20的次根桥。如S1的配置如下:4、HSRP协议。企业中某子网的终端设备需要借助网关才能与其它子网的终端设备通信,因此网关在网络中扮演很重要的角色,企业部署网关冗余是必不可少的。本中小型网络在核心交换机S1和S2上为每个VLAN创建HSRP组,组号为VLAN ID,虚拟IP为每个VLAN所在网段的最后一个地址。值得一提的是,要确保每个VLAN对应的HSRP组的活动路由器和相应VLAN根桥位于同一台设备,否则会导致次优路径。因此,S1为VLAN99、VALN10和VLAN20的活动路由器,而S2为VLAN30、VALN40和VL
39、AN50的活动路由器。其中,活动路由器的优先级为150,备份路由器的优先级为100,具体实施命令如下:5、DHCP协议。由于网络设备中主机过多,如果人为手动分配 IP 地址很容易造成 IP 地址冲突,影响正常上网。动态分配IP地址给网络的终端设备既可以减少管理员的工作,又可以提高工作的灵活性。在企业中DHCP的配置是必不可少的。其中,总部的Zhuhai-R2和子公司的Guangzhou-R3充当DHCP服务器,分别给相应的每个部门动态分配ip,地址池命名为VLAN+ID。另外,有些部门在总部和子公司都有设立,而主机又在同一个子网,为了避免获取ip冲突,决定总部使用1-100的ip,子公司使用1
40、01-251的ip。还有,总部是跨网段获取ip地址,因此需要在离客户端最近的S1和S2配置dhcp中继。具体实施命令如下:4.2.3路由配置1、路由技术OSPF路由器协议是目前应用最广泛的链路状态路由协议。通过区域划分可以实现了路由的分层管理。EIGRP协议是距离矢量路由协议,实现和配置都比较简单。根据公司规模和需求,公司总部采用OSPF协议,area 0区域下发一条默认路由。为了减少区域内的链路状态数据库的大小,减低对路由器内存的要求,对area 1进行路由汇总、并设置为完全stub区域。子公司规模小就采用EIGRP协议,接口汇总。简单配置命令如下:总部OSPF协议:2、路由重分布因为企业总
41、部与子公司之间的信息需要共享。企业网络运行了多种协议,因此需要采取路由重分布技术才可以使全部网络互联。这时需要在边界路由器Zhuhai-R1实施,命令如下:4.2.4网络安全1、交换机端口安全接入层交换机容易受到MAC泛洪攻击,可以通过启用端口安全防止。DMZ区的交换区主要是服务器,配置静态端口安全。内网的交换区为员工工作的地方,位置不固定,因此配置动态端口映射。实施命令如下:2、STP防护STP协议是没有什么措施对交换机的身份进行认证。在稳定的网络中如果接入非法的交换机会给网络中的STP树带来灾难性的破坏。可以采用BPDU Guard 和Root Guard技术保护STP。BPDU Guar
42、d功能是防止那些已经配置边缘端口的交换机接入交换机导致环路的产生,边缘端口一开启,就立即进入转发状态,配置BPDU Guard的接口一旦收到BPDU包,就立即关闭接口。Root Guard功能是防止用户擅自在网络中接入交换机并成为新的根桥,从而破坏破坏原来生成树。实施命令如下:3、MD5认证为了保证收到的数据包是可靠的和确保信息传输的完整性,路由器之间采取了MD5加密认证,其中运行EIGRP协议的采用加密链路认证,运行OSPF协议的area 0采用加密区域认证。具体实施命令如下:4、核心设备只允许管理员远程安全访问。配置命令如下:5、基于区域策略的防火墙(ZFW)ZFW的防火墙策略是在数据从一
43、个区域发到另外一个区域时才生效,在同一个区域内的数据是不会应用任何策略的。所以可以将需要使用策略的接口划入不同的区域,控制访问。这样可以达到保护内部网络不受外部入侵。根据要求,对边界路由器Zhuhai-R2-firewall做以下配置:#创建私有网络到Internet网络的匹配条件名为private-to-internet#创建从私有网络到Internet区域之间的区域策略6.wifi为了方便工作人员或者客户使用网络,可以在公司的每个部门布置无线网络wifi,本项目以市场部为例子,直接在接入层交换机添加了AP,设置ssid为Market,password为123456789,认证为WPA2-P
44、SK,认证方式:AES。第5章 系统测试5.1 HTTP服务测试使用PC1测试HTTP服务是否正常5.2 DNS服务测试使用PC1终端测试DNS服务是否正常5.3 FTP服务测试使用PC1终端测试FTP服务是否正常5.4 E-mail测试使用PC1测试E-mail服务是否正常5.5核心设备只允许管理员安全访问使用网络管理员PC及PC4测试安全访问是否生效5.6基于区域策略的防火墙使用PC2、DNS、PC0测试基于zone的策略是否生效第6章 总 结本设计的题目是中小型网络的设计及实施,主要目的是对网络专业所学的知识的总结,将理论知识应用到实操。在组建中小型网络的过程中,要做好网络的详细规划与设
45、计等。其中涉及到网络设备的选型、网络布线、网络拓扑结构的规划、部门的划分、资源的共享、网络稳定及安全等工作。本项目主要使用packet tracer模拟器来模拟,因此设备的选型和部分功能都受到了一定的限制。本项目也存在几个缺陷,第一,HSRP配置不支持端口追踪优先级值更改,只能采用默认值,默认值是减少10。第二,在Zhuhai-R2-firewall路由器上,企业服务区很少会移动,想要使用了静态NAT,保护服务区访问外网,但ping不通。可能原因:ISP与Zhuhai-R2-firewall路由器之间使用不了带送出接口的静态路由器。ISP路由器的接口默认关闭了ARP代理功能(开不了),则去往目
46、的数据包的ARP解析会出问题,而导致数据帧封装失败,从而内外网ping不通。第三,Zhuhai-R2-firewall路由器上不能同时应用NAT和防火墙策略。本项目主要应用了防火墙策略,限制了内网、外网、dmz区之间的访问,没有应用NAT。第四,不支持配置EIGRP stub区域。但本文涉及的要求和服务都能实现。参考文献1梁广民,王隆杰.思科网络互联技术M.北京:电子工业出版社,2007.2梁广民,王隆杰.思科网络实验室CCNP实验指南M.北京:电子工业出版社,2009.2腾科IT教育集团.思科认证网络工程师的迷雾M.广州:广州出版社,2012.3马玉凤 姜晗 李宪玲. 浅谈局域网网络安全防范与管理技术J. 网络安全技术与应用, 2019(06):16-17.4黄龙龙. 基于VANET的路由协议研究J. 网络安全技术与应用, 2019(06):15-16.5尚红艳. 浅析计算机局域网管理J. 中国管理信息化, 2018(20):2-2.6李维伟. 建筑企业网络规划与设计J. 网络安全技术与应用
黑公网安备:91230400333293403D