路由器交换技术.docx
- 文档编号:9014070
- 上传时间:2023-05-16
- 格式:DOCX
- 页数:31
- 大小:183.91KB
路由器交换技术.docx
《路由器交换技术.docx》由会员分享,可在线阅读,更多相关《路由器交换技术.docx(31页珍藏版)》请在冰点文库上搜索。
路由器交换技术
天津电子信息职业技术学院
毕业论文
题目路由器交换技术
姓名
李东
专业班级
计算机网络技术S13-4班
指导教师
曲杰
完成时间
2016年5月
天津电子信息职业技术学院制
2016.5
摘要:
21世纪是一个以网络为基础的信息时代。
作为计算机技术和通信技术相结合的产物,计算机网络在这个时代发挥着它不可估量的作用,对人们的工作、学习、生活、行为和思维方式都产生着重要的影响。
随着网络的逐步普及,中小型企业的建设是企业向信息化发展的必然选择,企业网络系统是一个非常庞大而复杂的系统,它不仅为企业现代化、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能提供多种应用服务,使信息能及时、准确地传送给各个系统。
而中小型企业工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的,因此本毕业设计课题将主要以中小型局域网络建设过程可能用到的各种技术及实施方案为设计方向,为中小型企业的建设提供理论依据和实践指导。
企业规模的不断壮大和业务量的不断增加,原有的工作方式已不能满足现代企业的需要,特别是对突发事件的处理能力与速度的需求。
现代企业如果没有信息技术的支持,就不能称之为现代企业。
随着网络技术的不断成熟、网络产品价格的不断下降,以及对数据传输和信息交换需求的不断增加,现在各企业均正在或已搭建了企业内部局域网,因为,企业网络的建设是企业向信息化发展的必然选择。
企业网络为企业的现代化发展、综合信息管理和办公自动化等一系列应用提供了基础平台。
关键词:
局域网搭建路由交换技术配置
目录
一、前言4
二、项目需求分析4
(一)项目背景4
(二)企业网络描述5
三、网络总体建设目标6
(一)网络总体规划6
(二)网络建设8
(三)网络设计原则以及建设目标9
(四)网络层次化设计9
四、路由、交换设计9
(一)设备选择9
(二)设备命名规范10
(三)VLAN、子网及IP地址规划(192.168.1.0-3.0)10
(四)路由协议13
(五)交换技术13
(六)IPV614
五、服务器设计14
六、网络安全解决方案15
(一)网络边界安全威胁分析15
(二)网络内部安全威胁分析15
(三)解决方法16
七、关键技术介绍16
(一)VLAN技术16
(二)VTP协议17
(三)Trunk技术17
(四)HSRP协议18
(五)Spanning-Tree协议18
(六)Uplinkfast19
(七)EtherChannel19
(八)NAT技术20
(九)ACL技术20
(十)集群技术21
(十一)PPP技术21
(十二)DNS服务器22
(十三)FTP简介:
23
(十四)File服务器24
(十五)Mail服务器24
(十六)WebServer与HTTP25
(十七)AD服务器25
(十八)DHCP26
(十九)EasyVPN27
(二十)VOIP27
(二十一)QOS28
八、总结28
九、致谢29
十、参考文献30
一、前言
网络改变了人们的生活,地球变成了地球村,全世界的人可以随时进行网络交流。
信息资源的共享,带来社会生产力空前提高,互联网与人们生活越来越密切,如网上证券期货交易、远程电子视频会议、网上购物等应用使得人们的生活已经越来越离不开网络,由此,信息高速公路的建设变得十分重要。
企业规模的不断壮大和业务量的不断增加,原有的工作方式已不能满足现代企业的需要,特别是对突发事件的处理能力与速度的需求。
现代企业如果没有信息技术的支持,就不能称之为现代企业。
随着网络技术的不断成熟、网络产品价格的不断下降,以及对数据传输和信息交换需求的不断增加,现在各企业均正在或已搭建了企业内部局域网,因为,企业网络的建设是企业向信息化发展的必然选择。
企业网络为企业的现代化发展、综合信息管理和办公自动化等一系列应用提供了基础平台。
本设计结合中小企业实际需求,举例分析、设计、配置、模拟组建了一个典型的中小企业网络。
二、项目需求分析
(一)项目背景
安博公司是一个教育公司,是“以学习者为中心”面向个人及机构提供学习和教育服务的机构,致力于通过领先的技术方案、高品位的教育服务和变革性的创新资源,完善个体的终生学习和学习型组织的发展进程,助力于全社会的创新能力和国民素质的提升。
集团的业务涉及基础教育服务、职业教育服务、企业培训等领域,安博高考与同步培训机构、安博国际学校、安博实训基地、安博职业教育学院、安博学习体验中心等机构已遍及全国二十多个重点城市,形成了以区域教育服务中心和实训基地为依托,以师资、课程、服务流程、IT支持、网络学习服务的标准化为载体的服务体系,通过标准品质的服务保障全国各地用户的个性化需求。
安博教育集团创建专业的教育和技术研发机构——安博研究院进行前瞻性教育理念和资源的创造与创新。
安博数十种自主知识产权技术、产品获得国家版权认证、专利认证和科技成果鉴定。
安博还与北京师范大学合作创立北师大安博教育发展研究院,开展教育政策与理论探索、国际高端项目交流,目前已参与和承办了多项国家重大教育课题、国际高端学术论坛。
目前安博总部在北京,分部分别在大连及江苏的昆山。
总部设有品质保障部、教学支持部、财务部、市场部,员工约有150人。
分部的部门与总部相同,两个分部各有员工约50人。
(二)企业网络描述
总部、分部各个部门各属于一个vlan,每个部门都有属于自己的交换机,通过交换机之间的相连及vlan间路由配置保证各个部门之间能相互通信。
各个部门交换机与各个公司的两台核心交换机相连通过以太网通道技术实现负载均衡。
核心交换机与核心路由器相连接入到互联网实现内网与互联网通信及公司与子公司的相互通信。
(三)企业需求分析
由于安博公司正处于快速发展期,所以目前的网络规模已不能满足当前的发展需要。
为了提高生产办公的效率、加强管理、加强部门间配合,提高获取知识的能力,所以需要升级网络,深化信息化应用,建设一个实用和先进、高可靠、高性能、高灵活性和扩展性、操作管理简单的信息化融合网络。
本项目的网络可以划分为北京总部、南京和西安分部三个部分。
北京总部分为四个部门分别是财务部、品质保证部、教学支持部、销售部;分部设有三个部门是财务部、教学支持部和销售部。
原先3部分局域网只能通过互联网互联、不能适应企业的发展的需要,所以此次要建设企业的内联网,实现北京、西安、上海3部分为同一的网络系统,使用北京总公司统一出口访问因特网。
北京作为总部需要对局域网进行扩容性升级,其内部为互联单位,可信度较高,因此内部网络的可用性是首要考虑因素。
由于总部设有财务部、销售部等重要部门,应该考虑与其他网络的隔离,以防止对Ambow北京总部的非法访问及网络攻击。
INTERNET用户的接入,需要充分考虑安全性。
当前业界的网络管理范畴较广,包括设备管理、资源管理、故障管理、性能管理、安全管理等等。
在网络规模相对较大的时候,合适的网管系统可以帮助客户方便管理网络内的设备及运行情况,提高网络的运行效率
具体分析如下:
业务需求——需要实现总公司内部的互相通信,同时也要和分公司之间也能互相访问,需要邮件服务、Web服务、视频服务。
管理需求——要对网络进行远程管理,远程管理可以帮助网络管理员利用远程控制软件管理网络设备,使网管工作更方便,更高效,更稳定。
安全性需求——因为公司的数据核心是非常重要的,为免被窃取要设置访问权限;网络可能被病毒攻击和破坏,所以安装杀毒软件和防火墙。
性价比需求——以尽量少的成本建成性能较好的网络。
1.问题分析
安全性:
考虑到公司内被网络信息的机要性,核心部分使用带防火墙的高级路由器。
稳定性:
为避免公司大量信息量堵塞,采用了三层交换机HSRP协议。
可管理性与维护性:
本次还保留的部分IP是为了满足公司未来的发展要求做到可扩展性。
三、网络总体建设目标
(一)网络总体规划
1.拓扑图
我们根据公司的基本要求,画出了简单的大致的网络拓扑图,在整个网络拓扑图中,我们在核心设备上采用的是cisco2821的路由器和两台三层交换机,在两个三层交换机上我们做冗余备份,做链路捆绑,保证了数据的连通性,在核心设备上连接一个防火墙,保证了数据的安全性和总公司内部网络数据安全的保密性,防止了窃取公司的数据。
在总公司的拓扑中,我们在接入层的ciscoWS-C4506-E的交换机,在交换机划分了vlan,vlan的划分使我们易于管理
在整个网络拓扑图中,我们采用采用了层次化的设计,核心层、分布层、接入层。
这样节省成本,使整个网络拓扑更加清晰,由于各个层次的功能不同,因此易于我们排错。
针对实际情况我们可以采用三层模型,三层结构模型分为三个层次,即核心层、分布层、接入层。
每个层次完成不同的功能。
2.方案描述
核心层描述:
核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。
网络的控制功能最好尽量少在骨干层上实施。
核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。
核心层设备将占投资的主要部分。
核心层需要考虑冗余设计。
汇聚层描述:
汇聚层的功能主要是连接接入层节点和核心层中心,汇聚层设计连接本地的逻辑中心,仍需要较高的性能和比较丰富的功能。
汇聚层设备一般采用可管理的三层交换机或堆叠式交换机以达到带宽和传输性能的要求,其设备性能较好,但价格高于接入层设备,而且对环境的要求也较高,汇聚层设备之间以及汇聚层设备与核心层设备之间多采用光纤互联,以提高系统的传输性能和吞吐量。
接入层描述:
接入层的主要功能是完成用户流量的接入和隔离,对于无线局域网wlan用户,用户终端通过无线网卡和无线接入点AP完成用户接入。
它可以共享、独享或交换带宽的方式为用户提供入网的接口。
(二)网络建设
核心层设计
核心层主要进行数据的高速路由转发,以及维护全网路由的计算,我们推荐使用cisco2821的路由器来完成,它的高性能,可靠性,可用性,在核心层我们还应该采用两台三层的交换机cisco3750系类的交换机来完成,在核心层为了保证数据的安全性和保密性应接入防火墙。
接入层设计
接入层是使用交换机相连,为用户终端提供了接入的方式,办公系统所需要的服务器群,数据中心的多种系统应用服务器,链接到会聚交换的模块上,因此,内部的局域网是采用三层结构组建。
在接入层使用的是ciscoWS-C4506-E系列的交换机来完成。
内联接入
内连接入的作用是用于链接外网的网络。
我们使用Cisco2800系列的路由器通过SDH/DDN线路完成此功能。
由于接入外网时需要考虑到安全问题,因此,还需要接外部防火墙。
(三)网络设计原则以及建设目标
先进性:
计算机网络技术、软件技术的发展迅速,网络的设计要立足于较高的起点,保证系统有较长的生命力。
保证满足系统业务的同时,又要体现出网络系统的先进性。
在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑到公司网络应用的现状和未来的发展趋势。
(四)网络层次化设计
随着网络技术的需速发展和网上应用量的增长,分布式的网络服务和交换已经移至用户级,有此形成一个新的、更适应现代的高速大型网络的分层设计模型,分层设计的好处:
1、节省成本
在采用层次模型之后,各层各司其职,不再同一个平台上考虑所有的事情,层次化的模型,能更好的利用宽带,减少对系统资源的浪费。
2、易于理解
层次化模型使网络的拓扑更清晰明了,在不同的层次实施不同的管路,降低了管理的难度
.3、易于扩展
在网络设计中模块化具有的特性使网络增长时网络的复杂性能够限制在子网中,而不会蔓延到网络的其他的地方
.4、易于排错
层次化设计能够使网络拓扑结构分解成易于理解的子网,网络者能够轻易的确定网络故障的范围,从而简化了排错的过程。
四、路由、交换设计
(一)设备选择
网络设备清单
设备型号
数量(台)
单价(元)
总价(元)
Cisco2811
3
5200
15600
CiscoWS-C4506
2
22000
44000
CiscoWS-C3750-24TS-S
6
9000
54000
CiscoWS-C2960-24TT-L
9
3600
32400
CiscoWS-C2960-48TC-L
3
7500
22500
总计:
168500
(二)设备命名规范
网络设备命名
设备型号
北京
大连
昆山
Cisco2811
BJ-R-001
DL-R-001
KS-R-001
CiscoWS-C4506
BJ-S-01
BJ-S-02
CiscoWS-C3750-24TS-S
BJ-S-03
BJ-S-04
DL-S-01
DL-S-02
KS-S-01
KS-S-02
CiscoWS-C2960-24TT-L
BJ-S-05
DL-S-03
DL-S-04
DL-S-05
DL-S-06
KS-S-03
KS-S-04
KS-S-05
KS-S-06
CiscoWS-C2960-48TC-L
BJ-S-06
BJ-S-07
BJ-S-08
(三)VLAN、子网及IP地址规划(192.168.1.0-3.0)
IP地址的规划在网络设计中举足轻重。
直接影响网络运行的效率。
IP地址设计的总原则是简单、易管理、易扩展。
我们配IP地址按以下原则:
唯一性:
一个IP网络中不可能有两个主机采用相同的IP地址。
简单性:
地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的款项。
连续性:
连续地址在此结构网络中易于进行路由总结(RouteSummarization),大大缩减路由表,提高路由算法效率。
可扩展性:
地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址总结所需的连续性。
灵活性:
地址分配应具有灵活性,可借助可变长子网掩码技术,以满足多种路由策略的优化,充分利用地址空间。
北京总部IP地址划分
部门名称
人数
VLANID
网络号
可分配IP地址
品质保障部
47
VLAN10
(BJ-PZ)
192.168.1.64/26
192.168.1.65-126
教学支持部
47
VLAN20
(BJ-JX)
192.168.1.128/26
192.168.1.129-190
财务部
8
VLAN30
(BJ-CW)
192.168.1.192/28
192.168.1.193-206
市场部
48
VLAN40
(BJ-SC)
192.168.1.0/26
192.168.1.1-62
服务器
192.168.1.227-239
大连分部IP地址划分
部门名称
人数
VLANID
网络号
可分配IP地址
品质保障部
13
VLAN10
(DL-PZ)
192.168.2.64/27
192.168.2.65-94
教学支持部
18
VLAN20
(DL-JX)
192.168.2.0/27
192.168.2.1-30
财务部
3
VLAN30
(DL-CW)
192.168.2.96/29
192.168.2.97-102
市场部
16
VLAN40
(DL-SC)
192.168.2.32/27
192.168.2.33-62
服务器
192.168.2.104-108
昆山分部IP地址划分
部门名称
人数
VLANID
网络号
可分配IP地址
品质保障部
14
VLAN10
(KS-PZ)
192.168.3.32/27
192.168.3.33-62
教学支持部
19
VLAN20
(KS-JX)
192.168.3.0/27
192.168.3.1-30
财务部
4
VLAN30
(KS-CW)
192.168.3.96/29
192.168.3.97-102
市场部
13
VLAN40
(KS-SC)
192.168.3.64/27
192.168.3.65-94
服务器
192.168.1.104-108
(四)路由协议
在本次网络项目中,北京总部的路由器BJ-R-001和交换机BJ-S-01、BJ-S-02、BJ-S-03及BJ-S-04,我们均采用OSPF协议,分部也同样使用。
使用OSPF协议可以使路由快速收敛,方便网络管理员管理。
OSPF协议标准化强,支持多种厂家,受到广泛的应用。
相对其他协议,OSPF有很多优点。
OSPF支持各种不同鉴别机制(如简单口令验证。
MD5加密认证),OSPF收敛速度快,能够在最短的时间内将路由变化传递到整个自治系统,提供负载均衡功能。
安博总部规划为area0,其内部网络也都规划为area0。
各区域接入路由器跟据区域不同使用动态协议,或者使用静态路由与动态路由结合的方式。
(五)交换技术
对于本次项目的核心层交换机Cisco4506,我们将采用建立在生成树基础上的多链路冗余连接。
这样不仅可以避免了由于网络环路造成的广播风暴等,还可以保证骨干交换机之间存在备份连接和负载均衡,完成高带宽、大容量网络层路由交换功能。
这样当交换机之间的线路出现故障时,传输的数据会快速自动切换到另外一条线路上进行传输,不影响网络系统的正常工作。
而对于汇聚层交换机Cisco3750和接入层交换机Cisco2960,我们将采用VTP、VLAN、HSRP等协议。
使用VTP协议,可以把一台交换机配置成VTPServer,其余交换机配置成VTPClient,这样他们可以自动学习到server上的VLAN信息。
这样不仅可以少在多台设备上配置同一个VLAN信息的工作量,而且还保持了VLAN配置的统一性。
而VLAN技术,则可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
不仅提高了网络的安全性,而且成本低,性能高,节省了人力,具有很高的灵活性。
HSRP是热备份路由协议。
在北京总部和分部在汇聚层的交换机上我们采用热备份协议,运用两台交换机,当其中的一台出现故障致使网络不能正常通信时,备用的那台马上起到作用,避免了网络的“短路”问题。
HSRP实现容错备份功能,可以有效解决网络不畅问题,保证了网络的可靠性。
(六)IPV6
由于IPV4网络地址的资源有限,所以,为了提高网络的可扩展性,在本次网络项目中所采用的设备,均支持IPV6。
IPV6以其灵活的IP报文头部格式,不仅取代了IPV4中可变长度的选项字段,而且也使路由器可以简单路过选项而不做任何处理,加快了报文处理速度,提高了吞吐量。
而且IPV6还具有安全性、身份认证和隐私权等特性。
支持更多的服务类型,允许协议继续演变,增加新的功能,使之适应未来技术的发展。
五、服务器设计
服务器群的主要功能是为客户端提供各种网络服务,包括:
FileServer、WebServer、DHCPServer、FTPServer、MailServer、AD及身份验证服务等等。
在本次项目中,服务器全部采用Windows2003操作系统,WindowsServer2003集成了多种功能且对硬件要求不高,总体成本较低。
工作站普遍使用Windows操作系统,服务器与客户端兼容性更好。
Windows服务器系统提供图形化界面,减少配置和维护的工作量,并方便以后的管理和维护,若我们使用Linux操作系统就要要求管理员对Linux熟练,这样的管理员目前没有Windows管理员好找。
六、网络安全解决方案
(一)网络边界安全威胁分析
网络的边界隔离着不同功能或地域的多个网络区域,由于职责和功能的不同,相连网络的密级也不同,这样的网络直接相连,必然存在着安全风险,下面我们将对公司网络就网络边界问题做脆弱性和风险的分析。
公司网络主要存在的边界安全风险包括:
总网络与各级单位的连接,可能遭到来自各地的越权访问、恶意攻击和计算机病毒的入侵;例如一个不满的内部用户,利用盗版软件或从Internet下载的黑客程序恶意攻击内部站点,致使网络局部或整体瘫痪;内部的各个功能网络通过骨干交换相互连接,这样的话,重要的部门或者专网将遭到来自其他部门的越权访问。
这些越权访问可能包括恶意的攻击、误操作等等,但是它们的后果都将导致重要信息的泄漏或者是网络的瘫痪。
(二)网络内部安全威胁分析
公司内部网络的风险分析主要针对整个内网的安全风险,主要表现为以下几个方面:
1、内部用户的非授权访问;内部的资源也不是对任何的员工都开放的,也需要有相应的访问权限。
内部用户的非授权的访问,更容易造成资源和重要信息的泄漏。
2、内部用户的误操作;由于内部用户的计算机造作的水平参差不齐,对于应用软件的理解也各不相同,如果一部分软件没有相应的对误操作的防范措施,极容易给服务系统和其他主机造成危害。
内部用户的恶意攻击;就网络安全来说,据统计约有70%左右的攻击来自内部用户,相比外部攻击来说,内部用户具有更得天独厚的优势,因此,对内部用户攻击的防范也很重要。
3、设备的自身安全性也会直接关系到各种系统和各种网络应用的正常运转。
例如,路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。
重要服务器或操作系统自身存在安全的漏洞,如果管理员没有及时的发现并且进行修复,将会为网络的安全带来很多不安定的因素。
重要服务器的当机或者重要数据的意外丢失,都将会造成内部的业务无法正常运行。
4、安全管理的困难,对于众多的网络设备和网络安全设备,安全策略的配置和安全事件管理的难度很大。
(三)解决方法
外网的安靠全靠防火墙来解决。
本项目用CiscoIos内置防火墙来解决。
对于非法访问用认证和数字签名技术
1、认证
(1)路由器认证,路由器和交换机之间的认证
(2)操作系统认证,操作系统对用户的认证
(3)拨号访问服务与客户之间的认证
(4)电子邮件通讯双方认证
2、数字签名技术
认证过程通常涉及到加密和密钥交换。
对于误操作,就要对内网用户有必要进行培训,让其尽量少出错。
七、关键技术介绍
(一)VLAN技术
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q标准草案。
VLAN(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。
一个VLAN可以在一个交换机或者跨交换机实现。
VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。
基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。
VLAN相当于OSI参考模型的第二层的广播域,能够将广播风暴控制在一个VLAN内部,划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。
不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。
网络管理员通过控制交换机的每一个端口来控制网络用户对网络
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 路由器 交换 技术