计算机网络组建毕业论文

《计算机网络组建毕业论文》由会员分享，可在线阅读，更多相关《计算机网络组建毕业论文（32页珍藏版）》请在装配图网上搜索。

1、托普信息技术职业学院毕业设计论文题 目：港隆文具局域网设计学生：周海鹏学生学号：专业方向：计算机应用技术指导教师：齐指导单位： 永州职业技术学院20015年4月15日摘 要随着网络技术新系统、新领域的长足发展，传统企业也正利用其行业的特 点，融合网络技术的优势，发展自身。在信息化生产逐步普及的今天，组建企业 部网络已经是企业必不可少的一部分，建立高速、稳定、安全、智能的办公网， 是组建中小型企业局域网的核心。中小型企业局域网建设，必须采取“结构化、系统化”思想做指导。一个良 好的、规的网络开发过程不仅不会成为干扰实际健忘工作的负担，相反会使设计 的工作更清晰、更加高效和更令人满意，同时也可以大

2、大减少网络开发成本和提 高网络工程质量。本毕业设计作品定位于公司局域网设计，因此配置了比较完备的硬件资源。 在容选择上，一方面以对中小型企业的网络拓扑和所需设备进行了设计；另一方 面用很直观的网络拓扑图概述了本次毕业设计相关的网络安全、网络所需设备以 及所实现的网络功能和应用等。毕业设计论文包括课题概况：港隆文具对网络性能和网络安全要求严格。使 用业界流行的核心、层一汇聚层一接入层三层结构设计的公司局域网，结合广为使 用的通过划分虚拟局域网（VLAN）隔离不同部门，访问控制列表（ACL）控制端 口进出数据包，网络地址转换（NAT）节约公有地址、动态分配IP（DHCP）、热 备份路由（HSRP）

3、等技术，增强网络的稳定性和安全性。统需求分析：本课题对结 合港隆文具局域网网络特点进行了详细的需求描述和详细的分析。系统设计：系 统设计包括网络拓扑结构选择、网络设备选型、VLAN、DHCP和子网的划分，详 细描述了网络组成结构。港隆文具公司局域网网络安全：从网络流量控制、网络 设备安全、无线网络安全详细描述了安全实施。关键词：局域网网络拓扑VLAN网络安全系统实施、ACL、NAT第一章概述11.1课题背景11.2课题概况 21.3课题目的3第二章局域网需求分析和设计原则32.1需求与分析32.1.1具体需求42.1.2需求分析42.2设计目标42.3设计原则4第三章局域网系统设计方案53.1

4、网络拓扑设计53.1.1拓扑选择 53.1. 2拓扑结构图 63.1.3拓扑结构说明 73.2三层详细设计及设备选型 83.2.1核心层设计 83.2. 2汇聚层设计 113.2.3接入层设计 133.3虚拟局域网VLAN与IP子网设计 153.3.1虚拟VLAN简介 163.3.2 VLAN规划 163.3.3 IP子网设计 183.3.4访问控制列表（ACL）设计方案 213.4路由协议的选择 22第四章网络安全管理234.1网安全234.1.1VLAN设置需求234.1. 2防病毒系统需求 234.1.3网络管理需求 234.2外网安全234.2.1物理安全需求 234.2. 2数据链路

5、层需求 244.2.3入侵检测系统需求 244.2.4防病毒系统需求 24第五章.安全管理体制245.1网络应用安全255.1.1网络嗅探255.1.2 ARP 欺骗255.1.3 IP地址欺骗 255.1.4 DOS攻击26总结27第一章概述1.1课题背景目前，我国中小企业数量已超过1 000万家。在国民经济中，60%的总产值 来自于中小企业，并为社会提供了 70%以上的就业机会。然而，在中国国民经济 和社会发展中一直占据着至关重要的战略地位的中小企业，其信息化程度却十分 落后。今后如何应对瞬息万变、竞争激烈的国外市场环境以及如何利用网络技术 迅速提升企业核心竞争力为企业成败的关键。中小型企

6、业的信息化建设工程通常有规模小、结构简单的特点，综合资金投 入、专业人才以及未来发展等因素，网络实用性、安全性与拓展性（升级改造能 力）是中小型企业实现信息化建设的主要要求，局域网进行信息交流包括发布通 知，安排日程表、工作计划，提交工作总结，进行信息汇总等也是企业的要求。因 此，成本低廉、炒作简易、便于维护并能满足业务运用需要的网络办公环境是这 一领域的真正需求。针对绝多数中小型企业集中办公这一现实特点，组建一个适 合中小企业需求的高性价比实用的网络是十分有实际意义的。港隆文具创建于一九八九年，是一家专业从事办公文具研发、生产、加工、 销售的规模化企业。公司生产设施齐全，以美国、德国生产线及

7、进口原料为主.产 品种类齐全.涵盖面广，主要产品有PP制品，注塑产品、PVC制品，纸制品等多 个系列三百多个品种。公司投产二十多年来，本着务实创新的团体创业精神，以 品质、诚信享誉业界，以及众多客户不离不弃的鼎力支持.公司规模日益壮大。制板、吹膜、注塑、纸板制作等每一个生产环节以及新产品开发，我们一直 奉行质量及创新是企业可持续性发展的根本.先后从美国、德国引进数条先进 的文具生产设备、生产线。每件产品从最初的设计到后期的批量生产都倾注了 公司技术人员的智慧和生产人员的心血。多年来我们质量上严格要求自己.组 建了一支二十多人的品检队伍，把好产品质量关。使用环保材料.保持自然本 色.产品设计新颖

8、时尚，款式高雅。使得我们的销售服务网络遍布全国各大城市 及欧洲、美国、日本等国际市场，目前，公司在国拥有三家生产基地、多家分公 司和办事处，销售机构遍布全国。并与“麦德龙、“沃尔玛”等超市建立长期合 作伙伴关系。出口、销售量逐年增加。“易来利办公文具，文件管理出效益经营理念，公司一贯奉行“质量为品 牌的宗旨.在此基础上我们不断升华品牌，不断引进国际先进生产设备，依托 完整的硬件配套和先进的管理体系，为打造“全球最专业的办公文具文具制造 商”奠定了扎实基础！港隆文具最原始的网络需求来自于对LAN上共享资源、业务的开展需要，最 小规模的局域网可能就要算通过1台共享式集线器来连接打印机、文件服务器的

9、 组建模式了，但是，在信息科技日益发展的今天，基于共享式技术的网络已经不 能符合当前业务的发展的需求，更高速、更可靠、更安全以及更方便的网络和业 务管理已经成为新时期企港隆文具发展的重点。如何最大程度的港隆文具的这些 需求，为此设计次方案。1.2课题概况港隆文具以前网络设备落后，经常掉网、断网。网络走线混乱。完成对港隆 文具的新网络的规划，重新设计实施。以前的网络不能适应当前的公司发展，需 要更完善、快速、安全、稳定的网络提供。满足公司客户和部之间的相互通信。 该公司有四个部门。销售部、生产部、人力资源部、财务部。一共有两栋大楼。 一栋是生产车间。一栋是公司管理区。销售部20人、生产部负责人1

10、5、财务部10 人、人资部20人。港隆文具新设计搭建的网络将根据当前与今后一段时间的发展需求，规划一 个全新的公司局域网系统，该公司局域网系统必须具备中小型企业发展的快特 点，满足生产部、财务部、销售部和人力资源部对公司的管理和公司客户之间信 息化需求，同时新的局域网系统必须满足将来扩展的需要进行整体计划，在满足 当前需要的同时，还必须具备一定的前瞻性。在实际的建设过程当中，应当充分考虑到港隆文具部网业务较少，销售部占 用网络带宽比较大以客户访问该公司等。对其他部门实行网络流量控制和服务。 满足客户和销售部之间的通信。1.3课题目的满足港隆文具各部门之间安全稳定的通信。设计搭建新的网络满足公司

11、发展 需求。对销售部流量比较大要求大，分配更多的流量。该公司网络技术人员较少， 因而对网络的依赖性很高，要求网络尽可能简单、可靠、易用，降低网络的使用 和维护成本为该公司电子商务网络系统提供一个统一、可靠、安全的专用信息通 信平台，支持话音、数据和图像的交换与传输，实现计算机数据、话音、电视会 议、图片传输等多种信息通信业务，并具有完备的网络管理系统。第二章局域网需求分析和设计原则2.1需求与分析港隆文具是一家比较有潜力的公司，近几年发展很快。该公司对网络总体需 求包括以下几点：适应桌面计算机处理、I/O能力大幅度提高的现状，发挥桌面 机的网络性能，提高桌面机的访问带宽；适应连网规模大、总流量

12、大的情况，合 理分布流量，实现流量隔离和控制；为生产部、销售部、人力资源部、财务部， 合理进行网络划分，实现有效的安全访问控制和运行管理；为客户/服务器的应 用环境提供支撑；增加网络系统的运行可靠性，降低故障隐患，提高系统的可管 理性。本方案针对港隆公司网络系统应用场合对安全提出了很高的要求，因此网 络设计充分考虑网络上敏感数据传输的安全性，一方面需要充分利用网络设备提 供的安全策略（VLAN划分等），另一方面为了保障部数据传输的安全性，采用各 种安全技术（防火墙、入侵检测、防病毒体系等），并且尽量不影响到整个网络 的运行效率。为了更好的保证网络的正常运行，设计的网络系统还考虑到网络管 理，实

13、现网络的统一管理。一般中小型企业网的主要需求有：1、管理的需求：包括对用户和设备的管理，可操作、易管理、具备灵活的 计费策略、扩展能力强。2、区分、外网需求：限制资源的访问。3、安全需求：非法的DHCP Server、病毒、攻击、上网日志等。4、NAT需求：公网地址不够，5、多业务需求：强大的组播支持能力、多业务融合（语言、数据、）能力。6、可靠性需求：设备具备高性能、高可靠性、高稳定性、高安全性。7、投资需求：高性价比、平滑升级、投资保护。8、Qos需求：具备完善的QOS能力。2.1.1具体需求港隆公司销售部、生产部等部门不能相互进行访问，但对公司文件服务区可 以访问。采用交换，必要时实现路

14、由隔离。根据业务用户分布和数据的流向，合 理的进行网段划分。允许采用虚拟网技术（VLAN）。实现各计算机网络系统的互联，形成公共信息的交换环境，为企业用户提供 网络服务平台。实现信息资源和软硬件资源共享，提供丰富的网络信息服务，以推动办公自 动化。根据港隆文具两栋楼宇之间不同，采用光线接入。2.1.2需求分析1、对公司提供安全快速的网络。2、防止不明计算机接入，保证接入的安全性。3、核心到汇集全部采用单模光纤并做相应的备份，提供高速可靠的传输。4、保障公司客户正常访问公司和销售部与外网通信，防止不必要流量产生。5、为以后员工提供宽带服务。2.2设计目标针对本次港隆文具局域网建设课题，按照以下目

15、标来实施网络建设：1、建设成为信息一体化、管理集中化、业务多样化的公司局域安全网络；2、新网络结构清晰，网络层次合理数据网络需要采用分布式布线：3、网络带宽大幅提升满足港隆文具的业务发展需求和冗余连接：4、多样性访问权限控制与管理；针对不同部门之间采取不同认证：2.3设计原则1、可管理性具有分级、分权管理能力的网管系统，实现统一的网络业务调度和管理，降 低网络运营成本。同时由于高校网络的使用者数量巨大，网上开展的业务众多， 因此需要能够提供用户的高效管理，以确保公司的利益不受损失。2、可增值性公司局域网络的建设、使用和维护需要投入大量的人力、物力，因此网络的 增值性是网络持续发展基础。所以在建

16、设时要充分考虑业务的扩展能力，能针对 不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网 养网。3、可扩充性考虑到公司的业务种类发展的不确定性，局域网络要建设成完整统一、组网 灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。4、开放性技术选择必须符合相关国际标准及国标准，避免个别厂家的私有标准或部协 议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送 的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监 控的遥测、遥控的信息处理功能，实现网络设备的统一管理。5、安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份

17、和线路保护，提供 网络安全防措施。第三章局域网系统设计方案根据港隆文具发展需求，并结合当前企业局域网状况和未来发展趋势，整个 网络方案设计突出层次化、可管理、易维护、高可靠性的原则，确保网络在具有 高性能的同时具有良好的前瞻性和持续发展性。3.1网络拓扑设计3.1.1拓扑选择采用模块化的设计思想，按照功能划分为以下区块：交换区块和核心区块。 对于由交换区块和核心区块构成的局域网再按照目前流行的层次化的设计思想， 划分为接入层、汇聚层和核心、层。1、交换区块的主要功能是提供用户的接入点，并防止广播数据流和网络问 题到达核心、区块或者其他区块，交换区块由接入层交换机和汇聚层交换机构成：(1)接入层

18、：接入层设备作为最终用户的网络接入点，使用100M双绞线连接各层桌面终 端，为每个用户提供专用的带宽，并可基于端口或MAC地址的VLAN成员资格和 流量进行过滤，接入层主要的设计原则是能够通过低成本、高端口密度的设备提 供这些功能。(2)汇聚层：接入层交换机使用100M双绞线汇聚到一台或者多台汇聚层设备，汇聚层设 备在接入层交换机之间提供第二层连接，作为接入层交换机的集中连接点及接入 层和核心、层之间的分界点，汇聚层在提供接入层接入的同时，还能够做到广播域 的隔离、不同网段之间的路由、介质转换、安全控制。汇聚层需要提供第三层功 能，即支持路由选择和网络层服务，以保护交换区块不受网络其他部分失效

19、的影 响，并防止本交换区块故障对网络其他部分的影响，如果交换区块发生了广播风 暴，分布层设备可以防止该广播风暴扩散到核心和网络的其他部分。2、核心、区块是公司网络的主干，主要功能是在交换区块之间用最小的时延 传输数据，尽可能快的将交换数据提供到其他区块(比如交换区块)。核心区块 由核心层构成，包含一个或一组用来连接多个交换区块的交换机。核心、层：核心、层交换机负责所有交换区块设备和广域网设备的接入，因此需要高速的 数据转发能力。核心层设备需要支持port-channel链路捆绑技术，来保证数据 的转发能力，防止出现线路瓶颈。作为企业网络的心、脏，核心、层也是路由协议最 优选路和运行稳定的保证，

20、需要合理的配置路由协议，并添加冗余处理器或者应 用冗余协议来保障网络核心、的稳定，使企业数据流正常运作。3.1.2拓扑结构图总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统 一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模 块化的设计方法。新网络拓扑图如图3-1所示。图3-1港隆文具公司网络拓扑3.1.3拓扑结构说明1、从核心、层到汇聚层全部使用单模光纤。2、采用使用四条100M双绞线连接到汇聚层。3、所有用户接入采用有线结合。4、采用层次结构使网络易于管理。5、采用高性能的单核心交换。6、做热路由备份3.2三层详细设计及设备选型3.2.1核心层设计核心

21、交换机是整个网络的计算和部数据交换处理中心，在整个局域网是最为关键 和重要的设备。核心交换机推荐采用华为S5700交换机二台。如图3-2所示图3-2华为S5700交换机特点：免维护易部署S5700支持自动配置、即插即用、USB开局、自动批量远程升级等功能，便于部 署升级和业务发放，简化后续的管理和维护性能。从而大大降低了维护成本。S5700 支持 SNMP V1/V2/V3、CLI 命令行、Web 网管、TELNET、HGMP 集群管理等 多样化的管理和维护方式，设备管理更加灵活。支持NTP、SSHv2.0、TACACS+、 RMON、多日志主机、基于端口的流量统计，支持NQA网络质量分析，有

22、利于进一 步作好网络规划和改造。强大的多业务支持能力S5700 支持 IGMP v1/v2/v3 Snooping/Filter/Fast Leave/Proxy 等协议。S5700 支持线速的跨VLAN组播复制功能，支持捆绑端口的组播负载分担，支持可控 组播，可以充分满足IPTV和其他组播业务的需求。S5700支持MCE功能，实 现了不同VPN用户在同一台设备的隔离，有效解决用户数据安全问题，同时降 低用户投资成本。完备的高可靠保护机制S5700不仅支持传统的STP/RSTP/MSTP生成树协议，还支持SmartLink和RRPP 等增强型以太网技术，可以实现毫秒级链路保护倒换，保证高可靠性

23、的网络质 量。此外，针对Smartlink和RRPP均提供多实例功能，可实现链路负载分担， 进一步提高了链路带宽利用率。产品规格及参数：）华为Quidway S5700大容量交换机产品物理参数:主要参数产品类型千兆以太网交换机应用层级三层传输速率10/100/1000Mbps交换方式存储-转发背板带宽256Gbps包转发率96MppsMAC地址表32K端口参数端口结构非模块化端口数量24个端口描述24 个 10/100/1000Base-T 端口扩展模块2个扩展插槽传输模式全双工/半双工自适应功能特性网络标准IEEE 802.3，IEEE 802.3u，IEEE 802.3ab，IEEE 80

24、2.3z，IEEE 802.3x，IEEE802.1Q，IEEE 802.1d，IEEE 802.1X堆叠功能可堆叠VLAN支持4K个VLAN支持 Guest VLAN、Voice VLAN支持基于MAC/协议/IP子网/策略/端口的VLAN支持1:1和N:1 VLAN交换功能QOS支持对端口接收和发送报文的速率进行限制支持报文重定向支持基于端口的流量监管，支持双速三色CAR功能每端口支持8个队列支持WRR、DRR、SP、WRR+SP、DRR+SP队列调度算法支持报文的802.1p和DSCP优先级重新标记支持L2 (Layer 2) -L4 (Layer 4)包过滤功能，提供基于源MAC地址、

25、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN的非法帧过滤功能支持基于队列限速和端口 Shapping功能组播管理支持 IGMP v1/v2/v3 Snooping和快速离开机制支持VLAN组播转发和组播多VLAN复制支持捆绑端口的组播负载分担支持可控组播基于端口的组播流量统计IGMP v1/v2/v3、 PIM-SM、 PIM-DM、 PIM-SSM网络管理支持堆叠支持MFF支持虚拟电缆检测(Virtual Cable Test)支持端口镜像和RSPAN (远程端口镜像)支持Telnet远程配置、维护支持 SNMPv1/v2/v3支持RMON支持网管系统、支持WEB网管特性支

26、持集群管理HGMP支持系统日志、分级告警支持GVRP协议支持MUX VLAN功能安全管理用户分级管理和口令保护支持防止DOS、ARP攻击功能、ICMP防攻击支持IP、MAC、端口、VLAN的组合绑定支持端口隔离、端口安全、Sticky MAC支持黑洞MAC地址支持MAC地址学习数目限制支持IEEE 802.1X认证，支持单端口最大用户数限制支持AAA认证，支持Radius、TACACS+、NAC等多种方式支持 SSH V2.0支持HTTPS支持CPU保护功能支持黑和白3.2.2汇聚层设计为了保证数据传输和交换的效率，在楼设置二层楼汇聚层。楼汇聚层设备不 但分担了核心设备的部分压力，同时提高了网

27、络的安全性采用H3C S3600-28P-SI 汇聚交换机。如图3-3图 3-3 H3C S3600-28P-SI交换机特点：1扩展性一IRF技术允许交换机利用互联电缆实现多台设备的扩展，最大扩展至384个 10/100M端口；具有即插即用、单一 IP管理，同时大大降低系统扩展的成本。2可靠性通过专利的路由热备份技术，在整个堆叠架构实现控制平面和数据平面所有信 息的冗余备份和无间断三层转发，极大的增强了堆叠架构的可靠性和性能，同时 消除了单点故障，避免了业务中断。3. 分布性通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提 高整个网络架构的冗余性和链路资源的利用率。产品规格

28、及参数：H3C S5500-SI产品规格及参数:产品类型智能交换机应用层级三层传输速率10/100/1000Mbps交换方式存储-转发背板带宽32Gbps包转发率9.6MppsMAC地址表16K端口结构非模块化端口数量28个端口描述24个10/100Base-TX以太网端口，4个1000Base-X SFP千兆以太网端口控制端口1 个 Console 口传输模式全双工/半双工自适应网络标准IEEE 802.1Q，IEEE 802.1D，IEEE 802.1w，IEEE 802.1s，IEEE 802.3x，IEEE 802.1XVLAN支持基于端口的VLAN（4K个）支持基于协议的VLAN支持

29、 Voice VLAN支持GVRP支持 VLAN VPN（QinQ），灵活 QinQQOS支持对端口接收报文的速率和发送报文的速率进行限制支持报文的802.1p和DSCP优先级重新标记支持报文重定向支持CAR功能支持8个端口输出队列支持灵活的队列调度算法组播管理IGMP SnoopingIGMP V1/V2、PIM-SM、PIM-DM、MSDP （EI 系列支持）网络管理支持XModem/FTP/TFTP加载升级支持命令行接口（CLI）、Telnet、Console 口进行配置支持 SNMPV1/V2/V3、WEB 网管支持 RMON 1, 2, 3, 9 组 MIB支持iMC智能管理中心支持

30、HGMPv2集群管理支持系统日志、分级告警、调试信息输出支持 PING、Tracert支持上电POST、风扇堵转、PoE设备过热等情况的检测与告警支持VCT (Virtual Cable Test)电缆检测功能支持 DLDP (Device Link Detection Protocol，设备连接检测协议)支持端口环回检测支持IPv6 host功能族，实现IPv6管理S5700支持自动配置、即插即用、USB开局、自动批量远程升级等功能，便于部 署升级和业务发放，简化后续的管理和维护性能。从而大大降低了维护成本。S5700 支持 SNMP V1/V2/V3、CLI 命令行、Web 网管、TELN

31、ET、HGMP 集群管理等 多样化的管理和维护方式，设备管理更加灵活。支持NTP、SSHv2.0、TACACS+、 RMON、多日志主机、基于端口的流量统计，支持NQA网络质量分析，有利于进一 步作好网络规划和改造。3.2.3接入层设计接入层是直接连接多台计算机相连的设备，公司网络中接入层建设中，每个 部门网络接入最为典型，其主要特点是上网时间集中，突发流量大、安全控制要 求高。鉴于上述特点，对于港隆公司网络接入层配合PVLAN、单端口环回检测、端 口速率限制、集群管理等手段.因此接入层设备采用H3C S3100-52p 24 口交换机如图3-4图 3-4 H3C S3100交换机特点：高带宽

32、和高扩展H3C S3100-52p交换机为所有的端口提供二层线速交换能力，同时支持4个 GE的上行扩展，满足行业用户多业务和高带宽的应用需求。灵活的用户管理和完备的安全控制策略H3C S3100-52p千兆交换机支持集中式MAC地址认证和802.1x认证，在用户 接入网络时完成必要的身份认证，支持广播风暴抑制和端口锁定功能，支持配合 H3C公司的CAMS系统对在线用户进行实时的管理，及时的诊断和瓦解网络非法 行为，保证接入用户的合法性。支持对Proxy进行有效的管理。H3C S5024P千 兆交换机支持通过建立和维护DHCP Snooping绑定表实现侦听接入用户的MAC 地址、IP地址、租用

33、期、VLAN-ID接口等信息，解决DHCP用户的IP和端口跟 踪定位问题。丰富的QOS策略H3C S3100-52p交换机支持每个端口 8个输出队列，支持 SP(Strict Priority)、WRR (Weighted Round Robin)、SP+WRR 三种队列调度算法。支持端 口双向限速，限速的控制粒度为64 Kbps。多样的管理方式H3C S3100-52p千兆交换机支持VCT(Virtual Cable Test)电缆检测功能， 便于快速定位网络故障点。支持通过FTP、TFTP实现设备的远程升级，支持HGMP 集群管理系统和故障诊断，实现了设备的集中管理和维护，支持SNMP，可

34、支持 Open View等通用网管平台，以及Quidview网管系统。支持CLI命令行，Web 网管，TELNET，HGMP集群管理，使设备管理更方便。产品规格及参数：(见表所示)型号H3C S3100-52p固定端口24 个 10/100Base-TX 以太网端口，2 个 10/100/1000Base-T 以太网端口和2个复用的 1000Base-X SFP千兆以太网端口交换容量所有端口支持线速转发19.2Gbps包转发率6.55Mpps交换模式存储转发模式(Store and Forward)支持QoS每个端口支持4个输出队列MAC地址支持8K MAC地址 支持黑洞MAC支持设置端口最大

35、MAC地址学习VLAN支持基于端口的V LAN(4K个)支持VLAN VPN(QinQ) 支持GVRP支持ACL支持L2 (Layer 2)L4 (Layer 4)包过滤功能，可以匹配报文前80个字节，提供基于源MAC地址、目的MAC、源IP地址、目的IP地址、IP协议类型、TCP/UDP端口、TCP/UDP端口围、VLAN等定义ACL支持基于时间段(Time Range)的ACL支持基于端口组、全局、VLAN批量下发ACL安全特性用户分级管理和口令保护 支持Guest VLAN支持IEEE 802.1X认证 支持集中MAC地址认证支持SSH 2.0支持IP源地址保护支持ARP入侵检测功能支持

36、ARP报文限速功能支持端口隔离支持IP +端口的绑定支持IP+MAC的绑定 支持端口+MAC的绑定支持IP+MAC+端口的绑定管理与维护支持XModem/FTP/TFTP加载升级支持命令行接口(CLI)，Telnet， Console 口进行配置支持 SNMPv1/v2/v3，WEB 网管支持 RMON (Remote Monitoring) 1， 2， 3， 9 组 MIB支持H3C iMC智能管理中心支持系统日志，分级告警，调试信息输出支持IPv6 host，包括IPv6单播地址配置，ICMPv6，IPv6邻居发现协议(ND)，IPv6 静态路由，IPv6-PING，IPv6-TCP，IP

37、v6-TFTP，支持Telnet远程维护 支持上电POST支持 DLDP (Device Link Detection Protocol)单向链路检测协议支持Loopback-detection端口环回检测3.3虚拟局域网VLAN与IP子网设计划分虚拟局域网是整个网络系统的重要技术之一。公司网络部的环境复杂、 分布区域广、网络用户多，以至于企业部网络用户的可靠性得不到完全的保证。 通过划分虚拟局域网，隔离不同部门，可以增强企业网络安全性，以下详细论述了虚拟局域网的技术及在网络系统中的必要性和设计方案。3.3.1虚拟VLAN简介以太网基本上是以广播为基础的，如最初包的寻址等，交换机虽然能够通过

38、建立地址映射表减少不必要的广播，但是地址映射表的建立过程仍然是基于广播 的，网络节点（如pc机）在处理广播时浪费7cpu处理时间，降低了处理性能， 根据统计，当网络上存在15000个广播包时，将耗尽CPU资源；在传统的网络里， 节点的吞吐量都会随着节点的增多而下降，交换式以太网虽然能够隔离冲突域及 第二层广播，但是无法隔离第三层网络。另一方面，接入网需要保障用户数据（单播地址的帧）的安全性，隔离携带 有用户信息的广播消息（如ARP、DHCP消息等），防止关键设备受到攻击。对每 个用户而言，当然不希望他的信息被别人利用，因此需要从物理上隔离用户数据 （单播地址的帧），保证用户单播地址的帧只有该用

39、户可以接收到，不像在局域 网中采用共享总线方式，使单播地址的帧能被总线上的所有用户接收。如果不隔 离这些广播消息而让其他用户接收到，容易发生MAC/IP地址仿冒，影响设备的 正常运行，中断合法用户的通信过程。为了隔离第三层广播，增强安全性、提高网络性能，可以运用VLAN（虚拟 局域网）技术或者使用路由设备。使用路由器时可以将网络划分多个物理网段，这些物理网段可以连接到路由 器的多个端口，多个物理网段间通过路由器进行通信，但是路由器的端口价格远 远高出交换机的端口价格，所以这种方式将增加设备投资，在物理网段增多时就 更为严重，而且只有使用高端设备才能满足高端口密度的要求，所以不推荐这种 方式。V

40、LAN技术不需要特殊的设备，目前第二层交换机均支持VLAN技术。通过在 一个物理网段上划分出多个逻辑网段，由每一个逻辑网段构成一个VLAN，其部 采用交换机连接，所有的广播信息只限制在本VLAN，而之间的连接则采用路由 实现，具体实施时可以外加路由器，或者直接使用第三层交换设备。使用路由器 时，将这些逻辑网段连接到路由器时可以只使用一条物理链路、占用一个路由器 接口，这样就节省了设备的投资，而使用三层交换设备时，不需要额外增加设备， 只要交换机支持三层路由功能即可，由于三层交换设备的工作效率高于路由器， 所以在本论文中推荐采用三层交换设备实现VLAN之间的路由。3.3.2 VLAN 规划目前，

41、VLAN技术可以使用以下方式组建：基于交换机端口的VLAN、基于MAC地址的VLAN和基于应用协议的VLAN：基于端口的VLAN，即静态VLAN，特点是技术简单，容易配置且维护工作量 小，缺点是终端设备移动时需要更改设备配置。基于MAC地址的VLAN，即动态VLAN，基于Vlan策略服务组建，特点是终端 设备可以在整个局域网中移动而不用改变配置，适合于移动办公型的网络环境， 缺点是配置工作量大、繁琐。由于交换机为二层设备，所以基于应用协议的VLAN对于交换机来说没有任 何意义，反而会造成交换机性能的下降。考虑到本系统的特点，节点在网络中移动的可能性较小，基于易维护、易管 理方面的考虑，使用基于

42、交换机端口的VLAN进行配置。采用虚拟局域网VLAN主要出于三个目的：用户隔离、提高网络效率；提供 灵活的管理；提高系统安全性。因此，规划VLAN时也应该综合考虑这三方面的 因素。接入层设备为二层交换机。为了进行不同用户间的有效隔离和互联，需要利 用交换机对用户进行相应的VLAN划分。具体做法可以是将交换机的每一端口划 分一个VLAN以实现所有用户间的二层隔离，此时如果需要互联，可通过上连设 备的ACL功能来控制；也可以根据需要将多个交换机的不同端口划为同一个 VLAN，直接实现有限制的用户互联。VLAN规划参照表和图3-5,各个VLAN间由ACL控制，限制互访。其中VLAN10VLAN40为

43、各部门VLAN，禁止互访，VLAN 50为公司文件服务器区，能被任 何部门访问，VLAN 60为网管区，能单向访问各个部门。VLAN 号网段描述VLAN 10192.168.1.0/24人力资源部VLAN 20192.168.2.0/24财务部VLAN 30192.168.3.0/24销售部VLAN 40192.168.4.0/24生产部VLAN 50192.168.5.0/24公司文件服务区VLAN 100192.168.100.0/24网络管理中心表图3-53.3.3正子网设计IP地址分配要遵循以下原则：1、简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式。2、连续性：为同一个网

44、络区域分配连续的网络地址，便于采用 SUMMARIZATION 及 CIDR(CLASSLESS INTER-DOMA IN ROUTING)技术缩减路由表的 表项，提高路由器的处理效率。3、可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于 主机数量增加时仍然能够保持地址的连续性。4、灵活性：地址分配不应该基于某个网络路由策略的优化方案，应该便于 多数路由策略在该地址分配方案上实现优化。5、可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全 局。6、安全性：网络应按工作容划分成不同网段即子网以便进行管理。根据以上设计和校园网的需求，公司的IP子网划分见表和图3-6所示

45、:SW5Fa0/3192.168.10.2/24Fa0/1192.168.1.2/24Fa0/2192.168.2.2/24SW6Fa0/3192.168.20.2/24Fa0/1192.168.3.2/24Fa0/2192.168.4.2/24SW7Fa0/1192.168.100.1/30Fa0/2192.168.7.2/24Fa0/3192.168.11.2/24Fa0/4192.168.12.2/24CoreSWlFa0/1192.168.11.1/24Fa0/2192.168.5.1/24Fa0/3192.168.102.1/24Fa0/4192.168.10.1/24CoreSW2

46、Fa0/1192.168.12.1/24Fa0/2192.168.5.2/24Fa0/3192.168.101.1/24Fa0/4192.168.20.1/24聚合心Fa0/0192.168.103.1/30Fa0/1192.168.11.2/24Fa0/2192.168.12.2/24PC1192.168.1.3 255.255.255.0PC2192.168.1.4 255.255.255.0PC3192.168.2.3 255.255.255.0PC4192.168.2.4 255.255.255.0PC5192.168.3.3 255.255.255.0PC6192.168.3.4 2

47、55.255.255.0PC7192.168.4.3 255.255.255.0PC8192.168.4.4 255.255.255.03.3.4访问控制列表（ACL）设计方案访问控制列表（Access Control List, ACL）是路由器接口的指令列表， 用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、 AppleTalk 等。ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议 （IP、AppleTalk以及IPX）的情况，那么，用户必须定义三种ACL来分别控制 这三种协议的数据包。自反访问表在路由器的一边创建IP流量的动态开启，该过程是基于

48、来自路 由器另一边的会话进行的。在正常的操作模式下，自反访问表被配置并用于从路 由器的不可信方，例如连接到In t e r n e t的串行端口，创建开启表项。这 些开启表项的创建是基于源于设备的可信方的会话进行的，例如以太网或令牌环 网的用户连接到一个网段或连接到路由器端口的环。在该过程中，访问表执行的 动作称为自反向过滤（reflexive filtering）。该名称是根据此访问表的类型 得来的。在I O S版本11 . 3中引入了自反访问表，并且它可用在所有的路由 器平台上。在核心、层交换机上配置SW5 （由于各个端口配置相似，故只列出核心交换机 SW5 的 e0/1.1）：ip ac

49、cess-list extended e0/0.1-inevaluate admindeny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255deny ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255permit ip any anyexitip access-list extended e-outpe

50、rmit ip any any reflect adminint e0/0.1ip access-group e-out outip access-group e0/0.1-in inexit3.4路由协议的选择OSPF提供了更多更灵活的路由控制策略，方便复杂网络结构的用户实施路 由规划。另一方面则在于OSPF的开放性，为用户网络今后的扩展提供了较大的 空间和灵活性，从而获得了广泛的认可，使之成为部路由协议的一种较佳选择。总的来说OSPF路由协议具有以下优点：适合中小型企业网络搭建节省网络带宽：OSPF属于链路状态协议，只有当网络连接状态发生变化时 才彼此更新变化了的拓扑信息，而并非整个网络的

51、LSDB，从而大大节省了网络 带宽，这对于大型的广域网来说很重要。支持 VLSM： OSPF LSA(Link State Advertisement)中包含子网掩码。支持层次化的网络结构设计：网络设计人员可以把一个大型OSPF网络分成 若干域(Area)，其中一个是主干域(Backbone Area, Area ID 0.0.0.0),其它非 主干域均与主干域相连，并通过主干域交换LSDB。同时OSPF还引入了外部路由 (External Routes)及 ASBR (Autonomous System Boundary Router)概念，非 OSPF 路由均视为外部路由，由ASBR注入到

52、OSPF域。支持路由总结(Route Summary) : OSPF ABR (连接多个区域的设备)具有路 由总结的功能，如果连续地分配IP地址空间，则ABR仅向主干域广播总结后的 路由信息，抑制那些具体的路由信息的广播，从而大大减小了其它域中路由器 LSDB及路由表的大小。没有路由跳数限制：OSFF路由表是基于LSDB运行Dijkstra算法计算出来 的，没有跳数限制。没有路由环路问题：OSPF属于Link-State路由协议，没有环路问题。OSPF 其它特性：OSPF 定义了 Stub Area 及 Not-So-Stubby-Area(NSSA)，为 设计包含多种路由协议的混合网络，以及

53、控制LSDB及路由表的大小提供了手段。SW5核心、交换配置OSPF协议(其他配置一样的，在这里不详细叙述)router ospf 1network 192.168.5.0 0.0.0.225area1network 192.168.11.0 0.0.0.255 area1network 192.168.101.0 0.0.0.3area1network 192.168.10.0 0.0.0.255 area1第四章网络安全管理4.1网安全运用多种技术，如VLAN、防病毒体系等，对各个部门、系所访问进行控制， 各单位之间在未授权的情况下不能互相访问，保证系统部的安全。网对安全的需 求包括VLAN

54、设置需求、防病毒系统需求、网络管理需求和网络系统管理等。4.1.1VLAN设置需求企业网络部的环境比较复杂，而且各子网的分布区域广，网络用户多，因此， 部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的 攻击往往发自部用户，如何对部用户进行访问控制和安全防就显得特别重要。为 了保障部网络运行的可靠性和安全性，必须要对它进行详尽的设计，尽可能防护 到网络的每一节点。4.1.2防病毒系统需求针对防病毒危害性极大并且传播极为迅速，必须配备从单机到服务器的整套 防病毒软件，实现全网的病毒安全防护。4.1.3网络管理需求此次建设的企业网络系统是一个相当复杂的计算机网络，包含多种设备和

55、技 术。随着系统复杂度的增加，会给系统管理带来成指数增加的管理工作量。为此 必须要设计一套健全的管理系统。针对系统的功能采取相应的管理措施。4.2外网安全由于外网主要运行企业各部门非涉密的部办公业务以及运行面向客户的公 开信息，所以必须采取过硬的安全技术来实现企业的网络系统不受Internet的 “黑客”、病毒等攻击。外网对安全的需求包括物理安全需求、数据链路层需求、 入侵检测系统需求、防病毒系统需求和安全管理体制等。4.2.1物理安全需求针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放信息的机房 进行必要的设计，如构建屏蔽室。采用辐射干扰机，防止电磁辐射泄漏信息。对 重要的设备进行冗

56、余配置；对重要系统进行备份等安全保护。4.2.2数据链路层需求信息的泄漏很多都是在链路上被搭线窃取，数据也可能因为在链路上被截 获、被篡改后传输给对方，造成数据真实性、完整性得不到保证。如果利用加密 设备对传输数据进行加密，使得在网上传输的数据以密文传输。因为数据是密文， 所以，即使在传输过程中被截获，入侵者也读不懂，而且加密机还能通过先进行 技术手段，对数据传输过程中的完整性、真实性进行鉴别。可以保证数据的性、 完整性及可靠性。因此，可能需要配备加密设备对数据进行传输加密。4.2.3入侵检测系统需求网络安全是整体的、动态的，不是单一产品能够完全实现的，所以为了确保 网络更加安全必须配备入侵检

57、测系统，对透过防火墙的攻击进行检测并做相应反 应(记录、报警、阻断)。4.2.4防病毒系统需求针对防病毒危害性极大并且传播极为迅速，必须配备从单机到服务器的整套 防病毒软件，实现全网的病毒安全防护。第五章.安全管理体制安全系统只能提供技术手段和措施，但人为的因素不可忽略，只有确立健全 的安全管理体制，设立相应的安全管理岗位，从制度上加以严格管理。系统中包含大量的网络设备，必须为其配置功能强大的管理系统，该系统应 具有以下功能：(1)虚拟网管理、分配；(2 )对所有网络设备端口的监视和管理；(3) 对网络流量的监测和管理；(4) 对所有网络设备的远程管理和控制，包括网络端口设备的开放和关闭；(5

58、) 整个网络的故障监测，故障自动报警功能；(6) 整个网络性能的统计和分析报告。5.1网络应用安全谈到网络应用安全，人们首先想到的是网络黑客。确实，网络黑客几乎与网 络同时诞生，黑客与反黑的斗争从来就没有停止过。要有效防止黑客，就必须首 先了解黑客所使用的手段。一般说来黑客所使用的手段主要有下面几类。5.1.1网络嗅探一般说来，有网络路由器的地方都有探测程序(sniffer program)。探测程 序是一种分析网络流量的网络应用程序IP的最基本的缺点是缺乏一种机制来 确定数据包的真正来源。所有的包都含有源地址和目的地址，但是在IP包中没 有任何东西可以确认IP包的源和目的地址是否变动过。显然

59、，安全性不好的系 统将是黑客进驻和安装探测软件的地方。一旦探测软件安装完毕，黑客就可以通 过分析经过的所有数据流量，从而得到所需要的地址、和密码等数据。其中典型 的包探测程序也就是利用IP的弱点，因为它可以用来探测有效的Internet连接。 一旦这种连接被检测到，包探测程序就可以利用IP的其它弱点窃取其它连接信 息。5.1.2 ARP 欺骗感染了 ARP欺骗病毒的计算机会向同网段所有计算机发ARP欺骗包，导致 网络其它计算机因网关物理地址被更改而无法上网，被欺骗计算机的典型症状是 刚开机能上网，几分钟之后断网，如此不断重复，造成了该子网段围的不稳定， 影响其它机器的正常使用。更为严重的是AR

60、P欺骗病毒及其变形“恶意窃听”等 病毒的中毒主机会截取局域网围所有的通讯数据。5.1.3 IP地址欺骗当一个黑客开始使用一种用以散布网络路由信息的应用程序RIP时，一种路 由方式的地址欺骗就开始了。一般说来，当一个网络收到RIP信息时，这种信息 是没有得到验证的。这种缺陷的结果是使得黑客可以发送虚假的路由信息到他想 进行欺骗的一台主机，如主机A。这种假冒的信息页将发送到主机A的路径上的 所有网关。主机A和这些网关收到的虚假路由信息是来自网络上的一台不工作或 没有使用的主机，如主机B。这样，任何要发送到主机B的信息都会转送到黑客 的计算机上，而主机A和网关还认为信息是流向了主机B网络上一个可信任

61、 的节点。一旦黑客成功地将他的计算机取代了网络上的一台实际主机，就实现了 主机欺骗。5.1.4 DOS 攻击DOS攻击也称强攻击，其最基本的方法就是通过发起大量的服务请求，消耗 服务器或网络的系统资源，使之最终无法响应其它请求，导致系统瘫痪。具体实 现方法有下面几种：1、PING/ICMP Echo Flood 攻击这种攻击模式一般是发起大量的ICMP Echo请求给一个指定的目标，以达到 使服务瘫痪的目的。但是需要发起这么大量的ICMP请不可能从一台具有正确IP 地址的主机上做到的，因为这样也会对自身产生很大的影响，发起者不得不接受 同样多的回应。所以HACKER需要利用虚假的地址再发起攻击

62、。我们可以利用H3C 9512的源地址验证功能实现防止PING攻击。2、SMURF 攻击SMURF攻击类似与PING攻击，是一种带宽消耗的攻击模式。它需要大量虚假 ICMP请求导向到IP广播地址上。当一个包是从设备的本地网络外发送到本地网 络的广播地址的时候，它被转发到这个本地网络的所有设备上。于是我们可以看 到在SMURF攻击中有3大部分：发起攻击者，中间系统，和受害者。当然中间系 统也可能同样是受害者。中间系统接从广播地址那里收到ICMP应答请求，当这 些设备同时回答请求的时候，就会导致严重网络阻塞。防止SMURF攻击的重要措施是在路由器上配置不准广播进入的条目。我们也 可以利用ZXR10-UAS的安全ARP功能去阻挡流量到广播地址。3、SYN攻击TCP SYN攻击是一种以大量虚假IP地址发起SYN握手信号消耗掉被攻击设备 的资源的攻击模式。设备要做出大量的SYN回应，而三次握手却是无常完成，必 须等待Time out之后（通常是1分钟左右）。在短时间大量发起SYN攻击，