公司网络方案设计毕业论文目录第一章需求分析 (1)一、项目背景 (1)二、需求分析 (1)三．设计原则 (1)四、实现目标 (2)第二章方案设计 (2)一、网络拓扑的设计 (2)二、网络接口的ip地址规划 (3)三、ip地址以及VLAN的规划 (3)四、网络核心层设计 (3)五、接入层设计 (9)六、无线网络的设计 (10)七、网络出口设计 (13)第三章网络安全及优化 (17)一、设置组织结构 (17)二、用户名密码设置 (18)三、上网策略的设置 (20)四、审计配置 (20)五、防火墙的设置 (21)六、添加信任端口 (21)总结 (21)参考文献 (22)第一章需求分析一、项目背景信息化浪潮风起云涌的今天，公司内部网络的建设已经成为提升企业核心竞争力的关键因素，公司网已经越来越多的被人们提到。

利用网络技术，现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。

这直接非关系到公司能否获得关键的竞争优势。

近年来越来越多的公司都在加快构建自身的信息化网络，为了适应业务的发展和国际化的需要，积极参与国家信息化进程，提高管理水平，展现全新的形象。

北京康科达成发展有限公司决定自身的网络发展升级，将原先的网络彻底改造，升级成能够满足未来十年的互联网发展需求。

二、需求分析1、北京康科达成发展有限公司有领导，财务部门，人事部门，商务部门，销售部门，以及技术部门六个部门。

分别拥有3,2,1,5,6,12台计算机，现实现每个人在企业内部的网络带宽达到100Mb/s。

2、实现领导，人事部门，商务部门，销售部门，技术部门五个部门可以互相通信，财务部门不能与其他部门通信。

3、实现六个部门都可以用公司打印机打印公司文件。

4、公司内部网络与互联网的网络接入达到100Mb/s.5、实现公司内部无线网络的全覆盖，并且有将员工和外来访客分隔开。

外来访客无需认证就可上网。

6、外部人员可以通过互联网来访问公司的服务器网站。

7、为保证安全，所有员工上网都需通过实名制认证后才可以上网，并且对其上网行为进行审计。

8、不允许员工在上班期间访问与工作无关的内容（领导除外）三．设计原则1、可靠性──系统具备网络诊断、测试和在线故障恢复能力，关键设备、线路能做到实时备份和自动故障切。

2、标准化──网络技术发展迅速，不能盲目求新，必须以符合国际标准为准则，选择技术已经成熟、标准化的产品，这是保护投资、易于维护的基础。

3、扩展能力──充分考虑到目前的业务需求和今后长时间内业务发展的需要，系统可方便地实现升级。

4、开放性──网络体系结构与系统应用各自独立，与服务器、工作站的操作模式无关，支持各种通讯协议，各种数据库和客户机/服务器以及Internet/Intranet 的应用，并能方便地和其它机构、企业的主机和网络互连通讯灵活性──拓扑结构必须灵活，便于进行网络的管理和调整。

5、可维护性──网络系统便于管理和维护，配置功能强大的网络管理系统，实现集中维护和检测。

严密的安全控制和保密性能──系统提供必要的安全保护手段，防止由于操作人员的失误以及系统的意外故障而造成数据丢失或破坏；同时能防止系统外部的侵入和操作人员的非法操作，系统的信息安全性要求达到C2级标准。

6、经济性──一次性投资，长年受益，维护费用低，使整体性价比达到最优。

先进性──支持任务优先级的划分，具有适当的多媒体应用支持。

四、实现目标在统一思想、统一信息交换标准、统一技术规范的原则下，系统达到以下目标：◆为各办公室提供宽带网络支持◆提供公用信息交换平台◆提供日常工作的处理网络化、电子化的日常办公自动化环境◆电子档案的信息查询，提供先进和更多的服务手段, 提高效率和质量◆为调控、科学决策提供有力的支持;◆为内部网提供有力的技术保障，增加内部系统的安全性第二章方案设计一、网络拓扑的设计北京康科达成发展科技有限公司是一家小型的企业，公司的全部信息点位总共有30个，鉴于公司未来的发展需求，信息点位上升可达到100个，所以企业网络内部才用二层结构即核心层和汇聚层。

网络出口采用两台深信服上网行为管理设备。

公司内部做到无线网络的全面覆盖，所以采用AC+无线AP的模式覆盖全公司。

现网络拓扑结构设计如下：·图2-1二、网络接口的ip地址规划三、ip地址以及VLAN的规划四、网络核心层设计（一）设备选型核心层设备选择H3C的S5130HI系列交换机。

此系列的设备具有一下特点：1、MACsec硬件加密Macsec是一种非常适合于以太网的Hop by Hop的链路层安全协议，它实现如下三个功能：（1）报文加密：通过加密算法和密钥，将明文变成乱码的密文，即使被窃听也难以解密。

（2）防重放攻击：防止黑客截获目的主机接收的报文，再次发送给目的主机，达到欺骗目的主机的目的，比如身份认证。

（3）防篡改：防止黑客随意篡改原始报文内容，实现不可告人的目的。

macsec的实现分两种模式：（1）面向主机模式：用于终端接入网络的第一跳保护。

（2）面向设备模式:用户设备之间互联链路的保护。

2、多重可靠性保护S5130-HI系列交换机具备设备级和链路级的多重可靠性保护。

S5130-HI系列交换机，支持可插拔交、直双电源模块、以及可插拔双风扇可靠性设计，可以根据实际环境的需要灵活配置交流或直流电源模块，此外整机还支持电源和风扇的故障检测及告警，可以根据温度的变化自动调节风扇的转速，这些设计使设备具备了更高的可靠性。

除了设备级可靠性以外，该产品还支持丰富的链路级可靠性技术。

此外还具有这LACP/STP/RSTP/MSTP/Smart Link/RRPP快速环网保护机制等保护协议，支持IRF2智能弹性架构，支持1：N冗余备份，支持环形堆叠，支持跨设备的链路聚合，极大提高网络可靠性，当网络上承载多业务、大流量的时候也不影响网络的收敛时间，保证业务的正常开展3、丰富的QoS策略H3C S5130-HI系列交换机支持支持L2（Layer 2）~L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。

提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR、WFQ、WDRR五种模式。

支持CAR（Committed Access Rate）功能，粒度最小达8Kbps。

支持出、入两个方向的端口镜像，用于对指定端口上的报文进行监控，将端口上的数据包复制到监控端口，以进行网络检测和故障排除。

增强的以太网供电能力（PoE+）H3C S5130-HI系列交换机支持802.3af/802.3at增强的以太网供电功能，单端口最大30W的输出功率，可以为802.11n的无线接入点，可视IP电话，大功率的监控摄像头以及更多的终端设备提供以太网供电能力。

图2-2（二）配置功能1、VLAN划分VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。

虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段一样，由此得名虚拟局域网。

VLAN是一种比较新的技术，它工作在TCP/ip第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器完成的。

与传统的比较，VLAN技术更加灵活，它具有以下优点：网络设备的移动、添加和修改的管理开销减少；可以控制广播活动，可提高安全性。

在核心交换机中，根据部门来划分8个VLAN。

2、ACL访问控制列表访问控制列表（Access Control List，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。

ACL适用于所有的被路由协议，如IP、IPX、AppleTalk 等。

信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。

简而言之，ACL可以过滤网络中的流量，是控制访问的一种网络技术手段。

配置ACL后，可以限制网络流量，允许特定设备访问，指定转发特定端口数据包等。

如可以配置ACL，禁止局域网内的设备访问外部公共网络，或者只能使用FTP服务。

ACL既可以在路由器上配置，也可以在具有ACL功能的业务软件上进行配置。

ACL是物联网中保障系统安全性的重要技术，在设备硬件层安全基础上，通过对在软件层面对设备间通信进行访问控制，使用可编程方法指定访问规则，防止非法设备破坏系统安全，非法获取系统数据。

根据要求公司中的其他部门不能够去访问财务部门的电脑，所以根据访问控制列表禁止其他部门去访问。

3、SVI配置一个交换机虚拟接口（Switch Virtual Interface，SVI）代表一个由交换端口构成的VLAN（其实就是通常所说的VLAN接口），以便于实现系统中路由和桥接的功能。

一个交换机虚拟接口对应一个VLAN，当需要路由虚拟局域网之间的流量或桥接VLAN之间不可路由的协议，以及提供IP主机到交换机的连接的时候，就需要为相应的虚拟局域网配置相应的交换机虚拟接口，其实SVI就是指通常所说的VLAN接口，只不过它是虚拟的，用于连接整个VLAN，所以通常也把这种接口称为逻辑三层接口，也是三层接口。

SVI接口是当在interface vlan全局配置命令后面键入具体的VLAN ID 时创建的。

可以用no interface vlan vlan_id全局配置命令来删除对应的SVI接口，只是不能删除VLAN 1的SVI接口（VLAN 1），因为VLAN 1接口是默认已创建的，用由于企业网络采用的二层结构，接入层+核心层结构，所有主机的网关都放在核心层，所以用SVI技术。

4、DHCP地址池配置DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）通常被应用在大型的局域网络环境中，主要作用是集中的管理、分配IP地址，使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息，并能够提升地址的使用率。

DHCP协议采用客户端/服务器模型，主机地址的动态分配任务由网络主机驱动。

当DHCP服务器接收到来自网络主机申请地址的信息时，才会向网络主机发送相关的地址配置等信息，以实现网络主机地址信息的动态配置。

DHCP具有以下功能：◆保证任何IP地址在同一时刻只能由一台DHCP客户机所使用。

◆DHCP应当可以给用户分配永久固定的IP地址。