1、17/17原創(chuàng)性聲明本人鄭重聲明：所呈交的設計報告，是本人在導師的指導下，獨立進行研究工作所取得的成果。除文中已經(jīng)注明引用的內容外，本文不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫過的作品成果。對本文的研究作出重要貢獻的個人和集體，均已在文中以明確方式標明。本人完全意識到本聲明的法律結果由本人承擔。作者簽名： 日期： 年 月 日摘 要隨著社會全面邁入信息時代，以計算機網(wǎng)絡技術已經(jīng)深入到經(jīng)濟生活的各個層面。各個公司，通過引入信息網(wǎng)絡，共享信息，提高企業(yè)的競爭。本方案書主要是為了解決公司普遍遇到的劃分網(wǎng)絡，限制上網(wǎng)等問題，規(guī)劃設計方法，網(wǎng)絡性能以及應用分析。旨在為公司拓展網(wǎng)絡規(guī)劃，方便管理等方面提供參考

2、。通過對公司原有網(wǎng)絡的分析，通過對公司網(wǎng)絡進行VLAN的劃分，滿足公司管理需求。而實現(xiàn)冗余，引入防火墻等安全設備，是為了實現(xiàn)公司網(wǎng)絡安全，高效快速地訪問網(wǎng)絡的目的。關鍵字：三層交換機 路由器 VLAN 防火墻 ACL 目 錄 TOC o 1-3 h z u HYPERLINK l _Toc277768568 HYPERLINK l _Toc277768569 1 需求分析5 HYPERLINK l _Toc277768573 2 總體設計62.1 基本拓撲圖.62.2 總體設計說明.6 HYPERLINK l _Toc277768578 3.詳細設計與實現(xiàn)73.1網(wǎng)絡規(guī)劃設計73.1.1 詳細

3、拓撲圖73.1.2 各系統(tǒng)詳細設計73.2 網(wǎng)絡系統(tǒng)實現(xiàn)83.2.1 內網(wǎng)各設備具體配置93.2.2 外網(wǎng)各設備具體配置 143.2.3 安全各設備具體配置 16 HYPERLINK l _Toc277768587 4. 系統(tǒng)測試184.1 內網(wǎng)部分測試 184.2 外網(wǎng)部分測試.194.3 安全部分測試.194.4 應用程序測試.20 HYPERLINK l _Toc277768591 5. 實訓設計體會24 HYPERLINK l _Toc277768592 6. 致謝25 HYPERLINK l _Toc277768593 7.參考文獻26 HYPERLINK l _Toc2777685

4、94 教師評語及成績評定表271、需求分析背景模塊：公司現(xiàn)有PC數(shù)量近500臺，服務器的數(shù)量有近20臺，新廠為增加網(wǎng)絡的穩(wěn)定性和易管理性，在原有的基礎上采購了兩臺核心層交換機，10臺連接不同樓層的樓間層交換機，28臺同一樓層互聯(lián)的的桌面型交換機，2臺中級路由。業(yè)務模塊：應用服務方面，包括Web服務，打印、文件共享服務，郵件收發(fā)服務，無線web服務，商品采購調度和財務管理，網(wǎng)絡的管理，添置防火墻等安全設施管理模塊：實現(xiàn)對公司內外網(wǎng)的網(wǎng)絡流量控制管理，遠程管理，帶寬的優(yōu)化以及多線路策略性能模塊：區(qū)域接入速度流量大小默認區(qū)100Mbps中服務器區(qū)1Gbps大辦公區(qū)100Mbps中 制造區(qū)100Mbp

5、s中 無線區(qū)100Mbps 小 網(wǎng)絡管理區(qū)100Mbps中安全模塊：1內部網(wǎng)絡使用vlan劃分網(wǎng)段，使其便于管理和可隔離廣播域，不同區(qū)域的用戶設置不同的權限，防止網(wǎng)絡竊聽以及非授權的跨區(qū)域訪問2使用防火墻分割內網(wǎng)和外網(wǎng)，禁止外網(wǎng)訪問內部web服務器，以及商品信息數(shù)據(jù)庫，內部網(wǎng)絡辦公區(qū)的用戶需要經(jīng)過與服務器來實現(xiàn)用戶名認證，限制其上網(wǎng)權限。無線區(qū)的用戶可以實現(xiàn)無限制的外網(wǎng)連接但是限制其進行內網(wǎng)訪問。3、遠程接入的用戶使用vpn方式訪問公司內部網(wǎng)絡，并且限制遠程用戶可以訪問的區(qū)域范圍，并對其進行監(jiān)控管理4保障網(wǎng)絡服務器、交換設備、路由設備、工作站、連接器件、電源等硬件設備的性能和質量，并對至關重要

6、的設備和器件（如電源）采用冗余設計前景模塊：由于網(wǎng)絡時代的發(fā)展迅猛，為了適應今后的需求，在拓撲結構里面留有待擴展的IP地址還有設備接入口，方便今后的網(wǎng)絡結構擴充。7) 應用模塊：該公司的主要應用系統(tǒng)為商品采購和管理系統(tǒng)，主要負責商品的調度，采購和統(tǒng)計功能。2、總體設計2.1 基本拓撲圖2.2 總體設計說明一、內網(wǎng)總體設計 1、為了保證可靠性與速度，兩臺核心交換機之間使用堆疊技術； 2、為了是內部網(wǎng)絡易于管理，將內網(wǎng)劃分為7個VLAN，其中分為默認區(qū)(192.168.88.x)，服務器網(wǎng)段(192.168.42.x)，辦公區(qū)(192.168.40.x 192.168.43.x)，制造區(qū)(192.

7、168.41.x)，無線區(qū)(192.168.44.x)和其它區(qū)(192.168.46.x)； 3、各個網(wǎng)段中客戶端的IP通過DHCP服務器分配；4、服務器段里的服務器接入核心交換機，以實1G的接入速度；5、辦公區(qū)中電腦以前安裝有多臺打印服務器，網(wǎng)段為42.x，為了簡化客戶端操作，需在樓間層樓間層交換機上設置其它的桌面交換機分屬不同的網(wǎng)段；6、為了建設內部網(wǎng)站，配置了內部的web服務器，還有DNS服務器；二、外網(wǎng)總體設計 1、外網(wǎng)設計主要是通過路由器模擬連接到云端，可以訪問遠端的服務器； 2、建立外網(wǎng)可訪問的網(wǎng)站，由此配置web服務器與DNS服務器三、安全設計思路 1、各個辦公區(qū)的電腦通過域服務

8、器的用戶名驗證經(jīng)思科PIX系列防火墻控制其上網(wǎng)權限，因為有外廠客戶訪問，所以設置無線區(qū)實現(xiàn)無限制的外網(wǎng)連接但是由交換機控制其不能進行內網(wǎng)訪問 2、實現(xiàn)此功能，主要通過在內網(wǎng)的核心交換機上配置ACL命令，在外部建立防火墻，配置路由器的NAT轉換等。四、應用程序設計思路 1、建立管理員登錄界面，滿足所有有權限的商品管理者和銷售人員，登錄進數(shù)據(jù)庫查詢與修改相應的商品信息和銷售信息； 2、建立商品數(shù)據(jù)庫，存儲所有的商品信息與銷售信息，能夠滿足添加、刪除、修改商品信息的功能。3、詳細設計與實現(xiàn) 網(wǎng)絡規(guī)劃設計3.1.1 詳細拓撲圖3.1.2 各系統(tǒng)詳細設計1）內網(wǎng)詳細設計一、實現(xiàn)功能1、內網(wǎng)的所有PC機的

9、IP地址都由內部DHCP服務器分配；2、PC之間的相互ping通，確保員工之間可以相互通信；3、內網(wǎng)的PC機，除了無線區(qū)外，都可以訪問內部網(wǎng)站；4、核心層交換機使用堆疊技術，三層交換機之間能有生成樹起作用，避免出現(xiàn)廣播風暴或者環(huán)路等；5、各區(qū)域除了連接有PC機外，還連接有一些IP Phone，可以在內網(wǎng)進行自由通話。二、所需設備1、2臺核心交換機、2臺樓層間交換機、5臺桌面型交換機2、測試PC機9臺，包括兩臺筆記本PC機；3、兩臺可以相互通話的IP Phone，一臺模擬電視機；4、1臺無線AP節(jié)點5、DHCP服務器、DNS服務器、WEB服務器各一臺；三、連接1、兩臺核心交換機之間使用堆疊技術連

10、接；2、pc機使用直通線與桌面型交換機連接；3、交換機之間使用交叉線連接；4、為了數(shù)據(jù)更加安全，在桌面型交換機與樓層間交換機之間使用冗余技術、即一臺桌面型交換機連接兩臺樓層間交換機；5、服務器與核心交換機之間，使用直通線連接；6、無線節(jié)點與樓層間交換機使用直通線連接。2）外網(wǎng)詳細設計一、實現(xiàn)功能1、建立一個模擬網(wǎng)站，能夠讓內網(wǎng)的PC機訪問。二、所需設備1、路由器若干臺；2、DNS服務器、WEB服務器三、連接方式1、路由器之間使用串口線互聯(lián)；兩臺服務器和路由器之間，使用交叉線互聯(lián)；3）安全詳細設計一、實現(xiàn)功能1、各個辦公區(qū)的電腦通過域服務器的用戶名驗證經(jīng)思科PIX系列防火墻控制其上網(wǎng)權限；2、因

11、為有外廠客戶訪問，所以設置無線區(qū)實現(xiàn)無限制的外網(wǎng)連接但是由交換機控制其不能進行內網(wǎng)訪問二、所需設備1、配置成防火墻的路由器一臺三、連接方式1、配置成防火墻的路由器，與內網(wǎng)路由器連接用直通線；2、防火墻路由器，與外網(wǎng)的連接用串口線；4）應用程序詳細設計一、實現(xiàn)功能1、實現(xiàn)讓具有相關權限的工作人員登錄、管理商品數(shù)據(jù)庫的功能；2、實現(xiàn)相關工作人員查詢，修改商品、銷售信息的功能；二、應用程序環(huán)境SQL數(shù)據(jù)庫、C#編程語言三、實現(xiàn)方式通過在C#語言下編寫界面程序，實現(xiàn)連接商品數(shù)據(jù)庫，并且管理數(shù)據(jù)庫的功能；3.2 網(wǎng)絡系統(tǒng)實現(xiàn)3.2.1 內網(wǎng)各設備具體配置1）劃分網(wǎng)段 默認區(qū)辦公區(qū)制造區(qū)其他區(qū)由于無線區(qū)連

12、接的是樓層間交換機，故網(wǎng)段的劃分在樓層間交換機完成服務區(qū)配置DHCP服務器配置IP地址手動分配web服務器配置IP手動分配DNS服務器配置注：其中包含了外部網(wǎng)站 HYPERLINK 的映射IP手動配置3、無線節(jié)點AP的配置采用STP生成樹，將核心交換機配置為各個網(wǎng)段的ROOT交換機啟用VTP，將核心交換機配置為server；將其他交換機配置為client；配置核心交換機，創(chuàng)建SVI，使其作為三層交換機實現(xiàn)不同VLAN間的通信配置兩臺IP phone，使其實現(xiàn)相互通話在其連接的桌面型交換機配置voice vlan在路由器上為其分配電話號碼與其他配置內網(wǎng)路由器上穿件地址池voice為IP phon

13、e分配地址3.2.2 外網(wǎng)各設備具體配置1）DNS服務器配置IP手動配置2）WEB服務器配置IP地址手動配置3）連接DNS服務器與WEB服務器的路由器配置各啟用接口配置配置OSPF動態(tài)路由協(xié)議4）連接防火墻的外部路由器配置各啟用接口配置配置OSPF動態(tài)路由協(xié)議5）連接內網(wǎng)的路由器配置各啟用接口配置配置IP路由表3.2.3 安全設備具體配置1）防火墻配置各啟用接口配置配置OSPF動態(tài)路由協(xié)議配置NAT地址轉換表，將內部IP地址轉換到外部IP地址配置靜態(tài)路由表配置ACL訪問控制列表，限定內網(wǎng)訪問2）核心交換機ACL配置，限定無線區(qū)訪問內網(wǎng)，允許其訪問外網(wǎng)4、系統(tǒng)測試4.1 內網(wǎng)部分測試（1）為PC

14、機動態(tài)分配地址測試證明DHCP服務器配置成功（2）PC訪問內網(wǎng)測試證明DNS服務器、WEB服務器配置成功（3）PC機之間的相互PING通證明VLAN網(wǎng)段劃分、VTP生成樹配置、核心交換機SVI配置成功（4）IP phone之間的通話成功連接，證明IP phone配置成功4.2 外網(wǎng)部分測試（1）PC機訪問外網(wǎng)網(wǎng)站證明外網(wǎng)的DNS服務器、WEB服務器配置成功4.3 安全部分測試（1）無線區(qū)域PC機訪問內網(wǎng)Ping內網(wǎng)其他區(qū)域PC機證明核心交換機ACL配置成功（2）無線區(qū)域PC機訪問外網(wǎng)證明外部路由器ACL配置成功（3）辦公區(qū)PC機訪問外網(wǎng)說明外部路由器ACL配置成功4.4 應用程序部分測試（1）

15、登陸界面（2）主要系統(tǒng)菜單成功登錄系統(tǒng)菜單，成功連接數(shù)據(jù)庫；（3）商品銷售功能成功調用查詢商品數(shù)據(jù)庫信息；（4）商品銷售查詢（5）查詢當前庫存（6）采購單據(jù)查詢（7）采購進貨5、實訓設計體會 致 謝 參考文獻1Bob Vachon Rick Graziani：思科網(wǎng)絡技術學院教程M，第一版。2龐婭娟、房大偉、呂雙：ASP.NET從入門到精通M,第二版。3石炎生 郭觀七：計算機網(wǎng)絡工程 使用教程M，第二版。4張紅旗 王魯：信息安全技術M，第一版。教師評語及成績評定表教師評語1、課程設計表現(xiàn)：2、程序、軟件質量：3、設計報告質量：4、答辯表現(xiàn)：5、獨到的見解、方法與創(chuàng)新性：6、總結：成績記錄平時成績（10分）程序檢查（20+20分）設計報告文檔（20分）課程設計答辯（20+10分）最后（百分）成績成績（等級）評定教師評語及成績評定表教師評語1、課程設計表現(xiàn)：2、程序、軟