課程設計報告書姓名：學號:指導教師：—職稱:設計地址：—起訖時刻：完成報告書時刻：2020年12月30日運算機科學與技術系編印

二零一一年十二月課程設計要求各專業(yè)學生應依照課程任教教師的要求，做出選題打算，并按以下要求完成課程設計任務。一、學生應依照教師的要求完成規(guī)定的課程設計任務量。二、課程設計報告書要求格式統(tǒng)一，筆跡工整，語言精練,文字通順,按課程設計格式要求書寫。程序清單不夠填寫時統(tǒng)一用A4紙補充并粘貼。對不按格式要求書寫或打印的報告書一概不收，也不得進行答辯和評分。三、必需獨立完成課程設計，不得彼此剽竊。在答辯和批閱進程中發(fā)覺源程序相同或有大面積剽竊現(xiàn)象，課程任教教師有權通知學生重做，不得給予評分，并通報綜合教研室。四、學生課程設計終止后應提交的材料：（1）課程設計報告書；（2）包括完整的、正確的源程序代碼（含電子文檔）；（3）設計體會與心得，要求深切、具體、生動、1000字以上（4）答辨材料（介紹課程設計要點）。

選題內容及要求計算機網絡綜合實驗是實踐性教學環(huán)節(jié)之一。通過課程設計，加深對計算機網絡體系結構的理解，使學生的實踐與基礎理論交互學習。通過網絡設計，分析比較網絡建設方案，提高對不同傳輸介質的性能、多種網絡設備的工作原理和作用的理解。模擬網絡環(huán)境，培養(yǎng)學生組建IP網絡的操作技能，提高網絡應用能力，積累一定的網絡工程經驗，應用計算機網絡工程的思想，組建一個簡單的Intranet。具體要求:?采用多層交換技術，劃分子網；?支持用戶賬號管理，上網訪問權限設置；3?父換、路由、安全設備支持多種管理方式；4?實現(xiàn)內部DNS、WWW、FTP、DHCP等基本服務；5?應用廣域網和局域網的設計思想。參考文獻情序號名 稱編著者出版社1計算機網絡實驗教程姜楓，朱長水清華大學出版社，北京交通大學出版社2網絡工程設計教程系統(tǒng)集成方法陳鳴機械工業(yè)出版社3計算機網絡教程黃文斌機械工業(yè)出版社4計算機網絡應用技術教程吳功宜清華大學出版社5計算機網絡與因特網于芳機械工業(yè)出版社6計算機網絡胡道元清華大學出版社78910教師評價情況指導老師評語指導老師： （簽名）日期：年月日學生答辯情況綜合成績評定情況綜合評價等級: 注：共分五個等級（1.優(yōu)2、良3、中4、合格5、不合格）課程設計考核情形、設計課題中小型企業(yè)網的設計與實現(xiàn)、設計目的通過利用在網絡工程課上所學習到的知識，以及在網上搜索到的參考，進行一個簡單的綜合組網搭建。鞏固對計算機組網，VLAN,STP,路由協(xié)議認證，ACL，NAT，應用服務器等知識點的掌握。掌握中小企業(yè)網絡的設計，架構，配置和管理。三、 操作環(huán)境Windows2003操作系統(tǒng)WindowsXP操作系統(tǒng)華為交換機華為路由器四、 設計場所~~機房4409概述企業(yè)內部50臺PC；公司共有3個部門，不同部門的相互訪問要有限制，公司有自己的內部網頁與外部網站；公司中的PC機能訪問互聯(lián)網；企業(yè)在內共有60多名員工；每個部門提供固定的信息點。一層設有本建筑的機房，少量的信息點，二層到四層，每層樓布有50個信息點，余下的信息點供未來可能的需求使用；每層樓有—個設備間；樓內綜合布線的垂直子系統(tǒng)采用多模光纖，每層樓到一層機房有室內多模光纖，每層樓和核心設備間之間通過兩條的多模光纖連接，PC機采用雙絞線連接。要求將除一層以外的全部信息點接入網絡，但目前不用的信息點關閉。需求分析：網絡要求:滿足企業(yè)信息化的要求，為各類應用系統(tǒng)提供方便、快捷的信息通路；具有良好的性能，能夠支持大容量和實時性的各類應用；能夠可靠運行，具有較低的故障率和維護要求。提供網絡安全機制，滿足企業(yè)信息安全的要求，具有較高的性價比，未來升級擴展容易，保護用戶投資；用戶使用簡單、維護容易，為用戶提供良好的售后服務。主干網負責各個子網和應用服務的連接，為信息交換提供有效的高速通道。系統(tǒng)主干采用萬兆以太網10000M交換，部門子網采用千兆以太網，網絡協(xié)議采用TCP/IP協(xié)議。交換機要求采用主流、成熟、信譽和售后服務均佳的產品，核心交換機采用三層交換機，支持VLAN等功能，能較好解決突發(fā)數(shù)據(jù)量和密集服務請求的實時響應問題；3個部門接入交換機可采用相對低一檔的產品；UPS電源的配備，配置要保證網絡中所有的服務器、交換機、路由器、集線器等設備的連續(xù)、正常地運轉；網絡帶寬的分配：應根據(jù)所屬單位網絡的信息流量情況合理分配網段，以充分利用網絡帶寬，提高網絡的運行效率。系統(tǒng)要求:配置簡單方便：所有的客戶端和服務器系統(tǒng)應該是易于配置和管理的，并保障客戶端的方便使用;廣泛的設備支持:所有操作系統(tǒng)及選擇的服務應盡量廣泛的支持各種硬件設備;穩(wěn)定性及可靠性：系統(tǒng)的運行應具有高穩(wěn)定性，保障7*24的高性能無故障運行?？晒芾硇裕合到y(tǒng)中應提供盡量多的管理方式和管理工具，便于系統(tǒng)管理員在任何位置方便的對整個系統(tǒng)進行管理;更低的成本：系統(tǒng)設計應盡量降低整個系統(tǒng)的成本；安全性：在系統(tǒng)的設計、實現(xiàn)及應用上應采用多種安全手段保障網絡安全；提供良好的售后服務。網絡還應具有開放性、可擴展性及兼容性。3?用戶要求：要求計算機應用系統(tǒng)能處理大信息量的傳輸和計算；要求易于用戶管理、界面簡單、邏輯清晰；滿足用戶使用網絡系統(tǒng)的運行質量，提高網絡運行速度；要求采用千兆以太網作為主干的網絡技術，提供標準化的高速度主干網連接，并在未來可以升級到IP，可以在同一個網絡中支持多種服務質量，以支持目前和未來的應用和服務為標準。允許網絡集成，使用三層交換來代替路由，能實現(xiàn)與廣域網的集成功能；網絡中使用的設備、技術和協(xié)議完全符合國際通用的標準，兼容現(xiàn)有的網絡環(huán)境，提供良好的互聯(lián)性；要求網絡提供足夠的帶寬，豐富的接口形式，滿足用戶對應用帶寬的基本要求，并保留一定的余量供擴展使用，最大可能地降低網絡傳輸延遲；要求網絡有很高的可靠性、穩(wěn)定性及冗余，網絡能夠提供良好的安全性策略，能避免內部操作失誤造成的損害和來自外部的惡意攻擊。網絡布線系統(tǒng)設計1?布線系統(tǒng)總體結構設計總體一幢建筑，從總部機房用十二芯單模光纖與其他部門的設備間相連，每個設備間也設用十二芯多模光纖與每層的電信間相連，并用五類非屏蔽雙絞線從電信間與工作站相連接，企業(yè)網網采用10M的光纖以太網接入到因特網服務提供商的網絡，然后接入到因特網中，使企業(yè)網實現(xiàn)與外界的信息交換和網絡通信。企業(yè)網統(tǒng)一由總部機房的一個出口訪問Internet，企業(yè)網管理者能夠控制網絡的安全。在服務器和核心交換機間：使用UTP電纜來將服務器連接到核心交換機。2?工作區(qū)子系統(tǒng)設計D工作區(qū)子系統(tǒng)由各個單元區(qū)域構成，是計算機、電話和信息插座的連接部分，包括連接跳線和信息插座。信息插座面板具備:通用、超薄、簡易、防塵等特點；信息插座的模塊采用類RJ-45模塊；線纜采用超五類雙絞線；水晶頭采用RJ-45標準水晶頭。為降低成本和結合客戶終端的位置多變的特點，跳線可采用原裝跳線與自制跳線相結合的方式，中心機房內設備之間、樓宇機柜內設備之間、服務器、重點客戶終端的跳線采用原裝成品跳線，其余采用自制跳線。跳線制作統(tǒng)一采用EIA/TIA568B標準，以使系統(tǒng)具有更好的兼容性

3?水平子系統(tǒng)設計口水平子系統(tǒng)主要是實現(xiàn)信息插座和管理子系統(tǒng)，即中間配線架（IDF）間的連接。水平子系統(tǒng)為星形拓撲。在水平子系統(tǒng)中采用超五類非屏蔽雙絞線。雙絞線水平布線鏈路中，水平雙絞線的最大長度均不超過90m。為了網絡系統(tǒng)的穩(wěn)定性和擴展性超五類非屏蔽雙絞線。4?管理子系統(tǒng)設計管理子系統(tǒng)設計由配線間構成。由各種規(guī)格的配線架實現(xiàn)水平、垂直主干線纜的端接及分配；由各種規(guī)格的跳線實現(xiàn)布線系統(tǒng)與各種網絡、通訊設備的連接，并提供靈活方便的線路管理能力。分配線間是各治理子系統(tǒng)的安裝場所，可安裝配線架和計算機網絡通信設備。對于信息點不是很多，使用功能近似的樓層，為便于治理，僅設置一個共用的子配線間;對于信息點較多的樓層則在該層設立配線間。5?干線子系統(tǒng)設計干線子系統(tǒng)設計由連接主設備間與各治理子系統(tǒng)的室內干線電纜構成。數(shù)據(jù)主要從網絡配線間向各個子配線間敷設12芯單模室內多模光纖。6?設備間子系統(tǒng)設計設備間子系統(tǒng)設計由設備間中的電纜、連接器和相關支撐硬件組成，把公共系統(tǒng)（通訊系統(tǒng)，計算機系統(tǒng)和建筑自動化系統(tǒng)等）設備的各種不同設備互連起來。使用12芯單模室內多模光纖將其連接。設備1?設備選型設備名稱接口類型數(shù)量Router(Generic)4fastethernet,2serial2Switch12fastethernet7PCFasEthernet11Server-PTFastEthernet22?接入層交換機通常為固定配置擁有24?80口的100BASE-TX以太網口用于實現(xiàn)普通計算機的網絡接入所支持的信息點為100個?同時往往擁有2?4個1000MB/S端口或插槽用于實現(xiàn)與匯聚層交換機的連接3?核心層交換機采用模塊化的結構，可以為網絡骨干構建高速局與網所支持的信息點為500個?核心層交換機可以提供用戶化定制有限級隊列服務和網絡安全控制并能很快適應數(shù)據(jù)增長和改變的需要?對于有更多需求的網絡,核心層交換機不僅能傳遞海量數(shù)據(jù)控制信息，更具有硬件蓉余和軟件可身縮性特點，保證網絡的可靠運行.4?路由器通過端到端的路由選擇來連接兩個不同的網絡，并可實現(xiàn)與Internet的連接。遠程網絡互連必須借助于不同的廣域網鏈路實現(xiàn)，網絡中的交換機是無法直接與廣域網設備進行通信的，而路由器卻能完成這項工作。實現(xiàn)遠程Internet接入可以借助于路由器，連接不通的網絡，智能選擇最佳的信息傳送線路。在佌我們用的路由器類型是中端路由器，主要用于中小型網絡的Internet接入，擁有較高的包處理能力，具有較豐富的網絡接口，適應較為復雜的網絡結構。服務器1.網絡服務器配置Web服務器WEB服務器是為實現(xiàn)信息發(fā)布、資料查詢、數(shù)據(jù)處理等諸多應用搭建基本平臺的服務器；是一個用于文檔檢索和顯示的客戶應用程序，并通過超文本傳輸協(xié)議HTTP與Web服務器相連。一個動態(tài)的WEB服務器通常需要支持ASP、CGI等腳本語言程序。FTP服務器FTP是英文FileTransferProtocol的縮寫，中文意思是文件傳輸協(xié)議。用戶通過FTP協(xié)議能夠在兩臺聯(lián)網的計算機之間相互傳遞文件，它是互聯(lián)網上載傳遞文件最主要的方法。FTP服務器是提供一定存儲空間的計算機，它可以是專用服務器，也可以是個人計算機。當它提供這項服務后，用戶可以連接到服務器下載文件，也允許用戶把自己的文件傳輸?shù)紽TP服務器當中。DNS服務器DNS服務器是(DomainNameSystem或者DomainNameService)域名系統(tǒng)或者域名服務，域名系統(tǒng)為Internet上的主機分配域名地址和IP地址。用戶使用域名地址該系統(tǒng)就會自動把域名地址轉為IP地址。域名服務是運行域名系統(tǒng)的Internet工具。執(zhí)行域名服務的服務器稱之為DNS服務器，通過DNS服務器來應答域名服務的查詢。網絡設計方案總體網絡采用基于樹型結構，使之具有鏈路冗余特性；整體網絡規(guī)劃為核心及服務器群區(qū)域，內部骨干區(qū)域（匯聚鏈路），接入層上聯(lián)區(qū)域，客戶端接入?yún)^(qū)域；核心交換機位于企業(yè)總部機房，并為雙核心，使用雙主干網絡設計，保證主交換機網絡的容錯。在一臺交換機出現(xiàn)故障的時候保障網絡的正常運行，也不用手工切換和維護，保證網絡的可靠性。根據(jù)需求概括，我們選擇的是D-Link企業(yè)級的DES-8503萬兆核心交換機為本次網路建設總部機房的核心交換；DES850萬兆核心路由交換機作為新一代大容量、高密度、高性能、模塊化核心路由交換機產品，其背板帶寬高達，包轉發(fā)速率最大為952Mpps,具備二到四層線速交換能力。可提供10GE、GE、FE等各種豐富的接口模塊，并全面支持IPv4、IPv6、MPLS、NAT、組播、QoS、帶寬控制等業(yè)務功能。整個系統(tǒng)所具備的高可靠性、高擴展性、強大的業(yè)務能力等特點可以滿足各種網絡核心層的建設需求。ES850萬兆核心路由交換機具有以下的優(yōu)點:先進的系統(tǒng)架構:采用了分布式、模塊化設計理念，并采用了基于多處理器分布式處理機制和Crossbar空分交換結構的體系結構。這保證了系統(tǒng)優(yōu)異的轉發(fā)性能、強大的業(yè)務能力和高度的可擴展性。大容量、高性能:支持高達952Mpps的路由包轉發(fā)能力，并支持512K條第三層路由信息、512K第二層的MAC地址以及4096組VLAN、8K條安全和訪問控制策略，保證了數(shù)據(jù)線速轉發(fā)的要求。強大的安全功能：支持ACL安全過濾機制，可提供基于用戶、地址、應用以及端口級的安全控制功能，并支持IPSec、MPLSVPN特性。同時，支持基于端口不同優(yōu)先級對列的和基于流的入口和出口帶寬限制、uRPF、防DDOS攻擊、安全管理、接入認證及透傳，VLANID與MAC地址、端口號、IP地址捆綁等安全功能。此外，系統(tǒng)還具備完善的抗病毒機制，可以為網絡運營提供全面的安全保證。統(tǒng)一的網管功能：支持RFC1213SNMP（簡單網絡管理協(xié)議），帶內網管的形式可采用基于Telnet的配置管理（CLI命令行的形式）或基于SNMP的配置管理（圖形界面的形式），實現(xiàn)基于BroadDirector網管平臺的統(tǒng)一網管。繪制拓撲圖1）總體布線情況：把企業(yè)分為四個部門:人力資源部、辦公室、財務部，每個部門用兩臺PC模擬各個部門的內部結構。3.工程實施設備選型，擬定詳細的網絡建設方案提供網絡的VLAN和IP地址分配表VLAN10:IP地址為一IP地址為一IP地址為一IP地址為一外網：IP地址為一安裝調試交換機、路由器，配置網絡互聯(lián)互通，提供關鍵網絡設備的配置文檔三層交換機:#version,Release5301#sysnameSW1#domaindefaultenablesystem#routerid#vian1#vlan10#vlan20#vlan30#vlan40#vlan50#domainsystemaccess-limitdisablestateactiveidle-cutdisableself-service-urldisable#trafficclassifierc_denyoperatorandif-matchacl3000trafficclassifierb_denyoperatorand#trafficbehaviorb_denyfilterdeny#qospolicyp_denyclassifierc_denybehaviorb_deny#aclnumber3000rule0denyipsourcedestinationrule5denyipsourcedestinationrule10denyipsourcedestinationrule15denyipsourcedestinationrule20denyipsourcedestinationrule25denyipsourcedestination#stpmodestpstpenable#interfaceNULL0#interfaceVlan-interface10ipaddress#interfaceVlan-interface20ipaddress#interfaceVlan-interface30ipaddress#interfaceVlan-interface40ipaddress#interfaceVlan-interface50ipaddress#interfaceEthernet1/0/1portlink-typetrunkporttrunkpermitvlan110203040qosapplypolicyp_denyinbound#interfaceEthernet1/0/2portlink-typetrunkporttrunkpermitvlan110203040qosapplypolicyp_denyinbound#interfaceEthernet1/0/3portlink-typetrunkporttrunkpermitvlan110203040qosapplypolicyp_denyinbound#interfaceEthernet1/0/4portlink-typetrunkporttrunkpermitvlan110203040qosapplypolicyp_denyinbound#interfaceEthernet1/0/5portlink-typetrunkporttrunkpermitvlan110203040qosapplypolicyp_denyinbound#interfaceEthernet1/0/6portlink-typetrunkporttrunkpermitvlan110203040#interfaceEthernet1/0/24portaccessvlan50#ospf1areanetworknetworknetworknetworknetwork#user-interfaceaux0user-interfacevty04#return二層交換機：#sysnamesw2#dot1x#radiusschemesystem#domainsystem#local-useradminpasswordsimpleadminservice-typeIan-accesslocal-userrcpasswordsimpleadminservice-typelan-accesslocal-usertestpasswordsimpleadminservice-typelan-access#stpmodestpstpenable#vlan1#vlan10#vlan20#interfaceAux1/0/0#interfaceEthernet1/0/1portaccessvlan10dot1xport-methodportbaseddot1x#interfaceEthernet1/0/2portaccessvlan10dot1xport-methodportbaseddot1x#interfaceEthernet1/0/3portaccessvlan10dot1xport-methodportbaseddot1x#interfaceEthernet1/0/4portaccessvlan10dot1xport-methodportbaseddot1x#interfaceEthernet1/0/5portaccessvlan10dot1xport-methodportbaseddot1x#interfaceEthernet1/0/6portaccessvlan10dotlxport-methodportbaseddotlx#interfaceEthernet1/0/7portaccessvian10dotlxport-methodportbaseddotlx#interfaceEthernet1/0/8portaccessvian10dotlxport-methodportbaseddotlx#interfaceEthernet1/0/9portaccessvian20dotlxport-methodportbaseddotlx#interfaceEthernet1/0/10portaccessvian20dotlxport-methodportbaseddotlx#interfaceEthernet1/0/11portaccessvian20dotlxport-methodportbaseddotlx#interfaceEthernet1/0/12portaccessvian20dotlxport-methodportbaseddotlx#interfaceEthernet1/0/13portaccessvian20dotlxport-methodportbaseddotlx#interfaceEthernet1/0/14portaccessvian20dotlxport-methodportbaseddotlx#interfaceEthernet1/0/15portiink-typetrunkporttrunkpermitvianaiidotlxport-methodportbased#interfaceEthernet1/0/16portlink-typetrunkporttrunkpermitvlanalldot1xport-methodportbased#interfaceGigabitEthernet1/1/1#interfaceNULLO#user-interfaceaux0user-interfacevty04#return路由器：#routeridnataddress—group1aclnumber3001match-orderautorulepermitipinterfaceEthernet0/1natoutbound3001address-group1#aclnumber3002ruledenyipsourcedenyipsourceenableinterfaceetnernet0/1firewallpacket-filter3002outbound安裝基本的網絡服務認證如圖對二層交換機，三層交換機，路由器的了解及其連線，構建簡單的企業(yè)網絡框架在二層交換機上劃分VLAN；以及對vlan劃分ip地址。三層以太網交換機的配置，在三層交換機上創(chuàng)建VLAN50,連接外網，設置各vlan之間網絡傳輸，訪問的規(guī)則。STP協(xié)議，交換式以太網中的廣播風暴，在交換機上使用displayinterface命令來查看Trunk接口上的流量，會發(fā)現(xiàn)大量流量都是廣播流量，我們利用STP阻斷網絡中存在的冗余鏈路來消除網絡可能存在的路徑環(huán)路，并且在當前活動路徑發(fā)生故障時激活被阻斷的冗余備份鏈路來恢復網絡的連通性，保證業(yè)務的不間斷服務。認證，是一種對LAN用戶進行認證的方法和策略。認證的最終目的是確定一個端口是否可用。在路由器中加入路由規(guī)則。使內部可以訪問外網，外網也能訪問內部web服務器7.Ppp協(xié)議的配置，tftp的配置以及服務器的安裝配置，ospf，rip協(xié)議的配置七、設計中遇到的問題及解決方法在二層交換機中加入三層交換機，不同vlan之間，無法ping通。解決方案：可能是形成了廣播風暴，可以采用stp生成樹協(xié)議解決該問題。其中對于三層交換機中vlan也要配置ip地址。無法ping通DNS服務器。解決方案：在主機填寫DNS服務器的IP地址。配置訪問控制列表時，有兩個VLAN仍能PING通。解決方案:檢查ACL確