课程设计说明书
华东五市是哪五市设计题目:  交换机路由配置与管理
    级: 
    号:             
    名:               
指导教师:                   
完成时间:       

指导教师评语:
指导教师签字:
       
设计成绩:
《交换机路由器配置与管理》课程设计任务书
题目
综合接入网设计及应用
专业
计算机网络技术
班级
学生姓名
所在系
信息工程系
指导教师
一、设计目的
    项目背景:某大型跨国企业集团的分公司,现有工作人员计150余人,各主要部门及人数统计情况分别为:销售部:40人,技术部:80人,管理部:10人,公司内网从集团申请到一个C类网络地址段:192.168.100.0/24,公司外网申请到的IP地址为:10.200.24.x/24,网关为:10.200.24.1,请协助公司完成网络工程方案设计
二、基本要求
1. VLAN划分:各个部门分属不同的vlan,通过对申请到的C类网络地址进行子网划分,为各个vlan分配合适的IP地址段,做到无冲突,尽可能的节省IP地址。
2. 访问控制:通过路由NAT技术实现公司内网对外网INTERNET的访问,对于销售部与技术部,仅每个工作日的上班时间8:00-12:00 13:00-17:00开放Internet服务。
3. 网络服务:在内网中构建FTPWWW服务,在路由器建立静态映射,实现服务器的对外发布,内网和外网分别构架一台DNS服务器,在内网及外网均可通过域名访问该网站。
4. 内网安全:管理部与其它两个部门网络隔离,不可互访。
5. 网络管理:网络设备均开启“Telnet”服务,以用户名+密码方式验证,且只有管理部可以远程调试网络设备。
6. DHCP实现:管理部采用手动配置;在核心交换机上开启DHCP功能,为技术部自动分配IP地址,销售部从网络中的WIN2003 DHCP服务器中获得地址,租期均为2天。
7. 外网安全:禁用远程桌面服务,屏蔽病毒和木马常利用的一些端口,如:TCP135139445539593姜黎黎近况44445554137等,UDP135445539593143399961025等。
8. 销售部上班时间禁用qq等聊天软件。
三、主要技术指标(或研究方法)
•    灵活性:各种部件可以根据用户需要自由安放,即不受物理位 置和设备类型的局限。但总体采用综合布线方案。
•    独立性:各个子系统之间相互联接的同时又不相互影响其它子 系统的正常使用。
•    高扩展性:用户可增加硬件设备,无论各硬件设备技术如何发 展,都能很方便的连接到系统中去。
•    先进性:综合布线系统适应广泛的数据通信和应用,从而保护 用户在线缆及网络系统上的投资。
•    模块化:在布线系统中除去敷设在建筑物内的线缆外其余各接 插部件都是模块化部件,方便管理和使用。
•    实用性:布线系统能够在将来适应技术发展的支撑。
四、应收集的资料及参考文献
《网络互联及路由器技术》,姜大庆,清华大学出版社,2009
《网络设备配置与管理》, 北京,清华大学出版社,2006
《交换机与路由器的配置》,北京,清华大学出版社,2005
  《网管员必读——网络基础》,王达,电子工业出版社,2007

五、进度计划
时间
安排内容
备注
2011-06-13
布置课程设计任务,服务器安装
完成
2011-06-14
基本接入网实现
完成
2011-06-15
网络服务应用实现
完成
2011-06-16
网络安全调试实现,综合联调
完成
2011-06-17
汇总资料,完成课程设计
完成
指导教师
时间
 
1.1正文    - 1 -
1.1.1 设计目的    - 1 -
1.1.2 设计思路    - 2 -
1.1.3 设计过程    - 2 -
1.1.4 总结    - 19 -
1.2参考文献    - 19 -
1.3致谢    - 20 -
1.4附录    - 21 -

1.1正文
1.1.1 设计目的
1. 针对以下项目背景协助公司完成网络工程方案设计,熟练掌握对交换机和路由器的配置
2. 项目背景:某大型跨国企业集团的分公司,现有工作人员计150余人,各主要部门及人数统计情况分别为:销售部:40人,技术部:80人,管理部:10人,公司内网从集团申请到一个C类网络地址段:192.168.100.0/24,公司外网申请到的IP地址为:10.200.24.x/24,网关为:10.200.24.1
3. 对申请到的C类子网进行子网划分,为各个VLAN分配合适的IP地址,做到无冲突,尽可能的做的节省IP地址。
4. 通过路由器NAT技术实现公司内网对外网Internet的访问,对销售部与技术部在每个工作日的上班时间800—1200 1300-1700开放Internet服务。
5. 在内网中构建FTPWWW服务器,在路由器建立静态映射,实现服务器的对外发布,内网和外网分别构建一台DNS服务器,实现在内网和外网均可通过域名访问该网站。
6. 在内网中销售部和技术部相互隔离,不可互访。
7. 网络设备都开启远程登录服务,以用户名+密码方式验证,且只有管理部可以远程调试设备。
8. 在核心交换机上开启DHCP服务,为技术部自动分配IP地址。销售部从网络中的WIN2003DHCP服务器获取IP地址,租期为2天。管理部手动设置IP地址。
9. 外网安全,禁用远程桌面服务,屏蔽病毒和木马常利用的一些端口TCP13513944553959344445554137等,UDP135445539593143399961025等。
10. 对销售部在上班时间禁用QQ聊天服务。
1.1.2 设计思路
首先对CIP地址进行合理的划分,已知IP地址为192.168.100.0/243个部门,人数150余人,划分4个子网足够,可在这里我们划分6个,在设备中要用到4个,另外两个做为增加其它部门以备用。在三层交换机3560中划分4VLAN,销售部为VLAN2,技术部为VLAN3、管理部为VLAN4、三层交换机与路由器2621VLAN5。然后按照要求对交换机
和路由器进行配置,实现其相应的功能。
1.1.3 设计过程
项目分析
某大型跨国企业集团的分公司,现有工作人员计150余人,各主要部门及人数统计情况分别为:销售部:40人,技术部:80人,管理部:10人,公司内网从集团申请到一个C类网络地址段:192.168.100.0/24,公司外网申请到的IP地址为:10.200.24.x/24,网关为:10.200.24.1
对申请到的C类子网进行子网划分,为各个VLAN分配合适的IP地址,做到无冲突,尽可能的做的节省IP地址。通过路由器NAT技术实现公司内网对外网Internet的访问,对销售部与技术部在每个工作日的上班时间800—1200 1300-1700开放Internet服务。在内网中构建FTPWWW服务器,在路由器建立静态映射,实现服务器的对外发布,内网和外网分别构建一台DNS服务器,实现在内网和外网均可通过域名访问该网站。在内网中销售部和技术部相互隔离,不可互访。网络设备都开启远程登录服务,以用户名+密码方式验证,
且只有管理部可以远程调试设备。在核心交换机上开启山东专科学校DHCP服务,为技术部自动分配IP地址。销售部从网络中的WIN2003DHCP服务器获取IP地址,租期为2天。管理部手动设置IP地址。外网安全,禁用远程桌面服务,屏蔽病毒和木马常利用的一些端口TCP13513944553959344445554137等,UDP135445539593143399961025等。对销售部在上班时间禁用QQ聊天服务。
设备拓扑图
虾饺的做法IP地址规划
技术部 192.168.100.1  -192.168.100.126 255.255.255.128  VLAN3
销售部 192.168.100.129-192.168.100.190 255.255.255.192  VLAN2
管理部 192.168.100.193-192.168.100.223 255.255.255.224  VLAN4
备用  192.168.100.225-192.168.100.238 255.255.255.240
备用  192.168.100.241-192.168.100.246 255.255.255.248
接口  192.168.100.249-192.168.100.250 255.255.255.252  VLAN5
网络设备选型
三层交换机3550一台,路由器2621一台,PC 5台。
3550作为全网的核心,2621XM为接入网路由器,实现nat功能,内网共3pc,每个部门各一台,其中管理部为WIN2003服务器,外网两台pcXPWIN2003各一台
三层交换机3550
VLAN2网关为:192.168.100.129/26  交换机接口为:F0/5  销售部
VLAN3网关为:192.168.100.1/25    交换机接口为:F0/7  技术部
VLAN4网关为:192.168.100.193/27  交换机接口为:F0/6  管理部
VLAN5网关为:192.168.100.249/30  交换机接口为:F0/1  接口
默认路由为:0.0.0.0 0.0.0.0 192.168.100.250
三层交换机为技术部构建了DHCP服务命令  如下
ip dhcp pool jishubu
  network 192.168.100.0 255.255.255.128
  default-router 192.168.100.1
  dns-server 222.222.222.222
  lease 7
对销售部和技术部进行相互隔离采用的命名ACL  如下
ip access-list extended h1
deny  ip 192.168.100.0 0.0.0.127 192.168.100.128 0.0.0.63
permit ip any any
ip access-list extended h2
deny  ip 192.168.100.128 0.0.0.63 192.168.100.0 0.0.0.127
permit ip any any
制定的隔离ACL应用到销售部和技术部网关命令  如下
interface Vlan2
ip address 192.168.100.129 255.255.255.192
ip access-group h2 in
ip helper-address 192.168.100.194
!
interface Vlan3
ip address 192.168.100.1 255.255.255.128
ip access-group h1 in
对设备进行TELNET设置,只可管理部调试,隔离销售部和技术部!如下
大陆三圾片ip access-list standard tel3
deny  192.168.100.0 0.0.0.127
deny  192.168.100.128 0.0.0.63
permit any
用户名为“han”密码为:“110“把ACL应用到line vty 0 4 命令如下:广州服装批发市场
line vty 0 4
access-class tel3 in
password 110
login local
路由器2621
与外网端口相连是E0/1 IP地址为:10.200.24.100/24  ip nat outside
与内网三层交换机相连的E0/0 IP地址为:192.168.100.250/30  ip nat inside