中小型局域网络建设毕业论文.doc

毕业设计网 络 工 程路由交换方向院 系软件学院 专 业网络技术 班 级09网络技术二班学 号1601090210 学 生 姓 名 联 系 方 式15936337792 指 导 教 师 职称：网络工程师 2011年4月独 创 性 声 明本人郑重声明：所呈交的毕业论文（设计）是本人在指导老师指导下取得的研究成果。除了文中特别加以注释和致谢的地方外，论文（设计）中不包含其他人已经发表或撰写的研究成果。与本研究成果相关的所有人所做出的任何贡献均已在论文（设计）中作了明确的说明并表示了谢意。签名： 年月日授权声明本人完全了解许昌学院有关保留、使用专科生毕业论文（设计）的规定，即：有权保留并向国家有关部门或机构送交毕业论文（设计）的复印件和磁盘，允许毕业论文（设计）被查阅和借阅。本人授权许昌学院可以将毕业论文（设计）的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编论文（设计）。本人论文（设计）中有原创性数据需要保密的部分为：无。 签名： _年月日指导教师签名： 年月日摘 要在信息发达的网络时代，计算机正以前所未有的速度普及到各个领域，渗透到各行各业和人们生活之中。社会、政治、经济和国防等方面越来越多地用计算机进行信息收集、存贮、计算、加工和处理。计算机网络作为计算机技术和通信技术相结合的产物，在这个时代发挥着它不可估量的作用，这给计算机网络的建设提出了新的挑战，对实施网络工程也提出了新的要求。随着信息网络化的发展，许多中小型企业也走上了信息网络化的道路，不断的把自已的产品或业务通过互联网的丰富资源，以利用电子商务平台或搭建网站的方式进行推销。因此企业网络系统就需要为企业现代化、综合信息管理和办公自动化等一系列应用提供基本操作平台。而中小型企业工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本毕业设计课题将主要以中小型局域网络建设过程可能用到的各种技术及实施方案为设计方向，为中小型企业的建设提供理论依据和实践指导。本课题共分29章，主要包括二大方面：windows和Linux。Windows主要内容包括windows server 2003的安装与基本配置、windows server 2003系统管理、windows网络配置、windows DNS和DHCP服务器等；Linux主要内容包括Linux操作系统的安装与基本配置、Linux网络配置、samba服务器、ftp服务器、DNS服务器等各种网络服务器的安装与配置。本项目也解决了企业局域网之间的VPN搭建以及路由器和交换机的配置。关键词：局域网搭建；Linux服务器配置；windows管理；路由与交换配置ABSTRACTIn the network times, information developed computer is at unprecedented speed popularization in various fields, which permeates all walks of life and people life. The social, political, economic and security increasingly use the computer to carry on the information collection, storage, calculation, processing or treatment. The computer network as computer technology and communication technology, the combination of playing it in this era of inestimable role, which give computer network construction, and puts forward new challenges for implementing network project also puts forward new requirements. Along with the development of the information networking, many small and medium-sized enterprise also took to the road of the information networking, constantly from already the product or business through Internet abundant natural resources to use e-commerce platform or build website way promote. Therefore enterprise network system will need for enterprise modernization and comprehensive information management and office automation and so on a series of applied to provide basic operation platform. And small and medium enterprises mainly used in engineering construction network technology to an important branch of LAN technology, the construction and management of graduation design topic, so this will mainly small and medium-sized local area network construction process may use different techniques for the design and implementation plan for small and medium enterprises, the direction of construction to provide the theory basis and the practical guidance. This topic is divided into 29 chapter, mainly including the largest aspects: Windows and Linux. Windows main contents include Windows server 2003 installation and basic configuration, Windows server 2003 system management, Windows network configuration, Windows DNS and a DHCP server etc; Linux main content includes the Linux operating system installation and basic configuration, Linux network configuration, samba server, FTP server, the DNS server, etc. Various kinds of web server installation and configuration. This program also solved enterprise LAN and the VPN structures between the router and switch configuration.Keywords: LAN build; Linux server configuration; Windows management; Routing and switching configuration目 录第1章续 论1第2章项目需求分析22.1、项目背景22.2、需求分析2第3章网络总体建设目标53.1、网络建设目标53.2、网络及系统建设内容及要求53.3、网络设计原则5第4章网络总体设计74.1、网络总体拓扑图74.2、网络层次化设计74.2.1、核心层设计74.2.2、分布层设计74.3、总部与分部内联接入7第5章路由、交换设计95.1、设备选择95.2、VLAN、子网及IP地址规划（192.168.1.0-3.0）95.3、路由协议95.4、交换技术95.5、IPV69第6章服务器设计156.1、服务器的系统选择156.2、DNS、DHCP、DC、FTP、Mail、WebApache服务器16第7章网络安全解决方案177.1、网络边界安全威胁分析177.2、网络内部安全威胁分析187.3、安全产品选型原则187.4、解决方案187.4.1、ISA防火墙和iptables防火墙197.4.2、病毒防护技术197.4.3、认证和数字签名技术19第8章关键技术介绍208.1、VLAN208.2、VTP218.3、STP218.4、EthernetChannel228.5、HSRP238.6、TRUNK248.7、NAT248.8、VPN258.9、DHCP258.10、ACL268.11、IOS防火墙26 8.11、 DMZ.26第9章设备简介279.1、思科WS-C4506系列交换机279.2、思科 3750系列三层交换机289.3、Cisco WS-C2950 系列集成交换机289.4、Cisco 2800系列集成多业务路由器299.5、Cisco PIX-525-R-BUN系列防火墙299.6、IBM System x3650 M2服务器33第10章项目实施计划3310.1、项目组织结构3310.2、项目人员分工3410.3、工程进度计划3510.4、项目实施前的准备工作3510.5、安装前的场地准备3510.6、核心及各网点的安装调试37第11章网络测试3711.1、网络测试目的3811.2、测试文档39第12章基本配置4012.1、总部基本配置4112.1.1、网络描述4112.1.2、基本配置4112.2、分部基本配置4112.2.1、网络描述4112.2.2、基本配置41第13章Trunk基本配置4213.1、技术简介4213.2、设备简介42第14章VLAN配置4314.1、技术简介4314.2、设备简介43第15章VTP配置4415.1、技术简介4415.2、设备简介44第16章以太网通道配置4416.1、技术简介4416.2、设备简介44第17章STP配置4417.1、技术简介4417.2、设备简介44第18章OSPF配置4518.1、技术简介4518.2、设备简介45第19章HSRP配置4619.1、技术简介4619.2、设备简介46第20章GRE or IPSEC配置4720.1、技术简介4720.2、设备简介47第21章PPP配置5421.1、PPP认证5521.2、配置PPP认证5522.2、ACL的作用55第23章DNS配置5823.1、技术简介5823.2、设备简介58第24章Sendmail配置5924.1、技术简介5924.2、设备简介59第25章FTP配置5925.1、技术简介5925.2、设备简介59第26章Web配置6026.1、技术简介6026.2、设备简介60第27章DHCP配置6027.1、技术简介6127.2、设备简介61第28章Samba配置6128.1、技术简介6128.2、设备简介61第29章Iptables配置6135.1、Iptables概述6235.1.1、netfilter/iptables架构6235.1.2、关键术语6235.1.3、iptables功能6235.2、实现目标6335.2.1、包过滤6335.2.2、NAT63结 束 语. 65参 考 文 献66致 谢. 67PERMIT, flags=origin_is_acl,#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0#pkts compressed: 0, #pkts decompressed: 0#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0#send errors 0, #recv errors 0 local crypto endpt.: 192.168.2.1, remote crypto endpt.: 192.168.1.1 path mtu 1500, media mtu 1500 current outbound spi: 0 inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas:5 用扩展ping来触发感兴趣流量(1)在GD-R-1上配置：发现了九个包加密GD-R-1#ping ipTarget IP address: 211.13.156.17Repeat count 5: 10包调为10个，否则一个ping看不到效果Extended commands n: ySource address or interface: 211.13.156.1Sending 10, 100-byte ICMP Echos to 211.13.156.17, timeout is 2 seconds:.! . 已经触发了感兴趣流，并且ping通Success rate is 60 percent (6/10), round-trip min/avg/max = 84/84/84 ms(2)在BJ-R-1上配置：发现了九个包加密BJ-R-1#ping ipTarget IP address: 211.13.156.1Repeat count 5: 10 将包调为10个，否则一个ping看不到效果Extended commands n: ySource address or interface: 211.13.156.17Sending 10, 100-byte ICMP Echos to 211.13.156.1, timeout is 2 seconds:.! . 已经触发了感兴趣流，并且ping通Success rate is 60 percent (6/10), round-trip min/avg/max = 84/84/84 m(3)再次查看两个阶段的关联，以及加密情况GD-R-1#show crypto isa sa IKE1阶段关联已建立为快速模式 dst src state conn-id slot211.13.156.17 211.13.156.1 QM_IDLE 1 0BJ-R-1#show crypto isa sa IKE1阶段关联已建立为快速模式 dst src state conn-id slot211.13.156.1 211.13.156.17 QM_IDLE 1 0(4)在BJ-R-1上查看：发现有九个包进行了加密BJ-R-1#show crypto ipsec sainterface: Serial1 Crypto map tag: mymap, local addr. 192.168.1.1 local ident (addr/mask/prot/port): (211.13.156.17/255.255.255.240/0/0) remote ident (addr/mask/prot/port): (211.13.156.1/255.255.255.240/0/0) current_peer: 192.168.2.1 PERMIT, flags=origin_is_acl, #pkts encaps: 9, #pkts encrypt: 9, #pkts digest 9 #pkts decaps: 9, #pkts decrypt: 9, #pkts verify 9 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 192.168.1.1, remote crypto endpt.: 192.168.2.1 path mtu 1500, media mtu 1500 current outbound spi: 1E44AB1D nbound esp sas: spi: 0x84AEB2E6(2226041574) transform: esp-des esp-sha-hmac , in use settings =Tunnel, slot: 0, conn id: 2000, flow_id: 1, crypto map: mymap sa timing: remaining key lifetime (k/sec): (4607999/3502) IV size: 8 bytes replay detection support: Y第17 章 PPP配置21.1、 PPP认证PPP（Point-to-Point Protocol点到点协议）是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。PPP协议中提供了一整套方案来解决链路建立、维护、拆除、上层协议协商、认证等问题。PPP协议包含这样几个部分：链路控制协议LCP（Link Control Protocol）；网络控制协议NCP（Network Control Protocol）；认证协议，最常用的包括口令验证协议PAP（Password Authentication Protocol）和挑战握手验证协议CHAP（Challenge-Handshake Authentication Protocol）。LCP是一种扩展链路控制协议，用于建立、配置、测试和管理数据链路连接和NCP是协商该链路上所传输的数据包格式与类型，建立、配置不同的网络层协议。21.2、 配置PPP认证图21-1 PPP配置图北京总部R1(config)#int s0/0R1(config-if)#ip add 12.12.12.1 255.255.255.0R1(config-if)#no shR1(config-if)#encapsulation ppp 封装PPPR1(config-if)#ppp authentication chap 设置验证类型R1(config-if)#exitR1(config)#username R2 password 123 设置用户名和口令R1(config)#exit广东分部R2(config)#int s0/0R2(config-if)#ip add 12.12.12.2 255.255.255.0R2(config-if)#no shR2(config-if)#encapsulation pppR2(config-if)#ppp authentication chapR2(config-if)#exitR2(config)#username R1 password 123R2(config)#exit21.3、 验证图21-2 PPP测试图第18 章 ACL配置22.1、 ACL介绍信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。访问控制列表（ACL）：应用在路由器接口的指令列表，用来告诉路由器哪些数据包可以接收转发，哪些数据包需要拒绝。工作原理 ：读取第三层及第四层包头中的信息 ，根据预先定义好的规则对包进行过滤.22.2、 ACL的作用ACL可以限制网络流量、提高网络性能、提供对通信流量的控制手段、提供网络安全访问、可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。在路由器端口决定哪种流量被转发或被阻塞。22.3、 ACL的执行过程一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。这里要注意，ACL不能对本路由器产生的数据包进行控制。22.4、 ACL的分类目前有两种主要的ACL:标准ACL和扩展ACL。标准的ACL使用 1 99 以及13001999之间的数字作为表号，扩展的ACL使用 100 199以及20002699之间的数字作为表号。标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。22.5、 配置图22-1 ACL配置图表22-1 ACL列表协议源地址源端口目的地址目的端口操作TCP192.168.0.0/16所有ANY80禁止访问TCP192.168.0.0/16所有ANY8000禁止访问TCP192.168.0.0/16所有ANY1863禁止访问TCP192.168.0.0/16所有ANY3128禁止访问TCP192.168.0.0/16所有ANY8080禁止访问TCP192.168.0.0/16所有ANY所有允许访问总部ACL的配置：分部不能从总部上外部网BJ-R-001(config)#ip access-list extended 100 创建扩展ACLBJ-R-001(config-ext-nacl)#deny tcp 192.168.0.0 0.0.255.255 any eq 80 禁止访问网页BJ-R-001(config-ext-nacl)#deny tcp 192.168.0.0 0.0.255.255 any eq 8000 禁止访问QQBJ-R-001(config-ext-nacl)#deny tcp 192.168.0.0 0.0.255.255 any eq 1863 禁止访问MSNBJ-R-001(config-ext-nacl)#deny tcp 192.168.0.0 0.0.255.255 any eq 3128 禁止使用代理BJ-R-001(config-ext-nacl)#deny tcp 192.168.0.0 0.0.255.255 any eq 8080 禁止使用代理BJ-R-001(config-ext-nacl)#permit ip any any 允许访问其他任何资源BJ-R-001(config-ext-nacl)#exitBJ-R-001(config)#int f1/0BJ-R-001(config-if)#ip access-group 100 in 将扩展ACL 应用到端口下BJ-R-001(config-if)#exit分部ACL的配置：总部不能从分部上外部网GD-R-1(config)#ip access-list extended 100GD-R-1(config-ext-nacl)#deny tcp 192.168.0.0 0.0.255.255 any eq 80GD-R-1(config-ext-nacl)#deny tcp 192.168.0.0 0.0.255.255 any eq 8000GD-R-1(config-ext-nacl)#deny tcp 192.168.0.0 0.0.255.255 any eq 1863GD-R-1(config-ext-nacl)#deny tcp 192.168.0.0 0.0.255.255 any eq 3128GD-R-1(config-ext-nacl)#deny tcp 192.168.0.0 0.0.255.255 any eq 8080GD-R-1(config-ext-nacl)#permit ip any anyGD-R-1(config-ext-nacl)#exitGD-R-1(config)#int f1/0GD-R-1(config-if)#ip access-group 100 inGD-R-1(config-if)#exit第19 章 DNS配置23.1、 技术简介DNS 是域名系统 (Domain Name System) 的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务。在Internet上域名与IP地址之间是一对一（或者多对一）的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。 DNS 命名用于 Internet等 TCP/IP 网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入DNS名称时，DNS 服务可以将此名称解析为与之相关的其他信息，如 IP 地址。因为，你在上网时输入的网址，是通过域名解析系统解析找到了相对应的IP地址，这样才能上网。其实，域名的最终指向是IP。23.1、 设备简介DNS服务器，我们使用浪潮英信的服务器，CPU，4G的DDR3内存以及1TB的硬盘，双端口千兆网卡，它以其优良的性能，能够满足该服务的要求。第20 章 Sendmail配置24.1、 技术简介Sendmail是最重要的邮件传输代理程序。理解电子邮件的工作模式是非常重要的。一般情况下，我们把电子邮件程序分解成用户代理，传输代理和投递代理。 用户代理用来接受用户的指令，将用户的信件传送至信件传输代理。而投递代理则从信件传输代理取得信件传送至最终用户的邮箱。24.1、 设备简介Sendmail服务器，我们使用戴尔的PowerEdge T410服务器。该服务器拥有四核CPU，4G的DDR3内存以及1TB的硬盘，双端口千兆网卡，它以其优良的性能，能够满足该服务的要求。第21 章 高级FTP服务器的设置25.1、 技术简介Vsftp(Very Secure FTP)是一种在Unix/Linux中非常安全且快速稳定的FTP服务器，目前已经被许多大型站点所采用.在现实的生活中我们不能老是开启本地用户以让他们从远程访问本地FTP服务器,这时间我们就必须来创建一部分虚拟用户这些用户在/etc/passwd下面是找不到的也就是说在系统的用户名系统中只不过是一个假像,并不能真实的来登录本地终端,所以可以保证本地有效用户名的安全性.Vsftpd的实现有三种方式1、匿名用户形式：在默认安装的情况下，系统只提供匿名用户访问2、本地用户形式：以/etc/passwd中的用户名为认证方式3、虚拟用户形式：支持将用户名和口令保存在数据库文件或数据库服务器中。相对于FTP的本地用户形式来说，虚拟用户只是FTP服务器的专有用户，虚拟用户只能访问FTP服务器所提供的资源，这大大增强系统本身的安全性。相对于匿名用户而言，虚拟用户需要用户名和密码才能获取FTP服务器中的文件，增加了对用户和下载的可管理性。对于需要提供下载服务，但又不希望所有人都可以匿名下载；既需要对下载用户进行管理，又考虑到主机安全和管理方便的FTP站点来说，虚拟用户是一种极好的解决方案。FTP服务可以独立于平台，在UNIXDOSWINDOWS等操作系统中都可以实现FTP的客户端和服务器。公司内部实现信息共享，文件传输是内网办公非常重要的一个内容之一，FTP是C/S模式。用户通过客户机，连接到在远程主机上的FTP服务器。用户通过客户机向服务器发出命令，服务器执行用户所发出的命令，并将执行的结果返回到客户机。25.1、 设备简介高级FTP服务器，我们使用浪潮英信。服务器拥有四核CPU，4G的DDR3内存以及1TB的硬盘，双端口千兆网卡，它以其优良的性能，能够满足该服务的要求。第22 章 Web配置26.1、 技术简介Apache是世界上最流行的Web服务器软件之一。Apache的特点是简单、速度快、性能稳定，并可做代理服务器来使用。Apache有多种产品，可以支持SSL技术，支持多个虚拟主机。Apache是以进程为基础的结构，进程要比线程消耗更多的系统开支，不太适合于多处理器环境，因此，在一个Apache Web站点扩容时，通常是增加服务器或扩充群集节点而不是增加处理器。Apache支持跨平台的应用（可以运行在几乎所有的Unix、Windows、Linux系统平台上）以及它的可移植性等方面。26.1、 设备简介WEB服务器，我们使用戴尔的PowerEdge T410服务器。该服务器拥有四核CPU，4G的DDR3内存以及1TB的硬盘，双端口千兆网卡，它以其优良的性能，能够满足该服务的要求。第23 章 DHCP配置27.1、 技术简介DHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)缩写，DHCP指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。首先，DHCP服务器必须是一台安装有Windows 2000 Server/Advanced Server系统的计算机；其次，担任DHCP服务器的计算机需要安装TCP/IP，并为其设置静态IP地址、子网掩码、默认网关等内容。27.1、 设备简介DHCP服务器，我们使用戴尔的PowerEdge T410服务器。该服务器拥有四核CPU，4G的DDR3内存以及1TB的硬盘，双端口千兆网卡，它以其优良的性能，能够满足该服务的要求。第24 章 Samba配置28.1、 技术简介samba是一个工具套件，在Unix上实现SMB(Server Message Block)协议，或者称之为NETBIOS/LanManager协议。SMB协议通常是被windows系列用来实现磁盘和打印机共享。可以将SMB看做是局网域上的共享文件夹/打印机的一种协议。它是Microsoft和Intel公司1987年开发的，该协议可以用在TCP/IP之上。也可以用在其它网络协议之上。通过smb协议，客户端应用程序可以在