《网络工程课设报告.docx》由会员分享,可在线阅读,更多相关《网络工程课设报告.docx(19页珍藏版)》请在三一办公上搜索。
1、编号: 网络工程课程设计(论文)说明书题 目: XXXXX医院园区 网络规划与设计 系 别: XXXXXXXXXXXX 专 业: 网络工程 学生姓名: XXXX 学 号: XXXXXXX 指导教师: XXXX 2010年 10 月 15日目 录1设计任务及目标3 1.1 设计任务3 1.2 设计目标 32 需求分析 3 2.1 用户需求 3 2.2 技术上可行性分析53 总体设计6 3.1 设计原则 6 3.2 技术选型与设备选型 6 3.3 目标网络拓扑 7 3.4 Internet接入方案 7 3.5 网络安全规划设计 8 3.6 网络服务器规划 8 3.7 网络管理 8 4 详细设计 8
2、4.1 IP子网规划与VLAN划分 84.2 DHCP、DNS实现方案 104.3 路由方案 11 4.4 NAT与ACL技术应用125 仿真实现 135.1 仿真拓扑 13 5.2 VLAN仿真与测试 14 5.3 路由的仿真与测试155.4. ACL与NAT仿真与测试 166结论186.1 任务完成情况 186.1 特色与不足 196.3 所遇到的问题 196.4 体会 191 设计任务与目标1.1 设计任务 随着网络的逐渐普及,医院的网络不能再像以前那样低效的通过纸质文档存储诸如收费记录,门诊记录等,员工闲暇之余也需要有效地分配时间,不论是访问内网的学习资源,还是访问外网进行娱乐。这样不
3、仅提高了员工的办事效率,也大大提高了员工的工作积极性。因此,设计的任务就是利用主流的网络组网技术,主流的网络设备,构建一个信息化时代必不可少的高效运行的网络,使医院实现办公自动化。1.2 设计目标 通过对医院网络信息点分布的详细调查以及医院业务需求的具体分析,利用主流的网络组网技术:OSPF路由选择协议,QoS流量控制,多播部署,ACL访问控制,NAT网络转换,三层高速交换等,和主流的网络设备(内网使用三层交换机进行高速交换)组建一个满足可扩展性,可靠性,高效性的现代网络。2 需求分析2.1 用户需求西南医院的建筑物地理分布如下图所示:(图2.1-1) 图 2.1-1 重庆西南医院建筑物地理分
4、布其中主要楼栋的信息点分布情况如下表:(表 2.1-1)大楼楼层(层) 信息点到网络中心距离(/m)门诊部 5 360(每层72)1000 外科大楼 22 1584 500内科大楼 13 936 500实验楼 6 426 500教学楼 14 1008 500康复楼 5 360 1000烧伤楼 12 864 500老门诊 6 426 800药械楼 10 720 700合计 93 6684 表 2.1-1 重庆西南医院主要楼栋信息点分布网络建成之后至少能实现如下功能:1,为了实现办公自动化,必须部署存储医生门诊记录以及挂号收费的服务器,而不是使用传统的低效率的纸质文档存储。对于存储售药记录与收费记
5、录,也必须部署服务器,使得财务人员能够对信息进行实时的查询。还必须部署WEB服务器,不论是方便员工访问内网还是外网。对于像教科楼这样需要多播视频流的应用,必须部署视频服务器以及多播。2,能够实现网络设备的安全与实时管理;能够对不同的流量进行优先级的划分,使得网络高效的运行;能够实现不同的访问控制策略;能够实现网络安全,防火墙,NAT的部署等。3,不同VLAN之间能够进行合理的互访,网络终端能够对服务器进行合理的访问(一般的终端不能访问售药与收费服务器)。2.2 技术上可行性分析对于内网,必须选择比较高效的路由选择协议,这种路由协议必须能够对网络变化作出快速的反应,并且额外的带宽必须尽量达到最低
6、,快速进行收敛以保证内网的正常高效通信。而当今主流的OSPF路由协议就能够满足这些要求。要满足用户对于娱乐的要求,让员工在闲暇之余能够得到很好的放松,提高工作效率,一般要尽快响应用户对于视频,语音流量的要求,而当今主流的视频多播技术以及QoS流量控制能够很好的对流量进行优先级的划分,从而满足用户的需求。对于网络安全性方面,各种主流的防火墙技术,Cisco网络安全设备的发展,以及各种链路冗余技术都能够保障网络容错性,使其很好的服务于公司,服务于用户。 3 总体设计3.1 设计原则设计网络必须考虑可靠性,高效性和可扩展性。可扩展性必须考虑到网络未来的发展趋势,无论是终端用户信息点的增加,还是业务的
7、增加,还是网络规模的升级。并且对于IP规划来说,也必须具有可扩展性:那就是能够合理的使用路由汇总从而减少路由表条目,加快网络速度。高效性主要体现在:仔细分析网络需要处理的业务以及设计到的流量,然后合理的部署QoS,让关键流量与普通流量得到不同的服务优先级。进行合理的VLAN划分,使处于不同地理位置的具有相同业务需求的用户之间能够正常通信,并且VLAN的使用也有效地隔离了广播域。可靠性主要体现在:设备的选型是否具有高性能容错机制以及错误处理机制,网络的冗余性是否得到很好的设计,网络的内网以及与外网的连接是否具有安全处理机制(内网NAT的应用,防火墙的应用等)。3.2 技术选型与设备选型1,OSP
8、F路由协议目前主流的内网规划路由协议:OSPF。OSPF不同于距离矢量路由协议发送路由更新时发送整个路由表,而OSPF只需要发送受影响的链路的更新信息,从而减少了不必要的流量。OSPF中每个路由器都有相同的整个网络的完整信息,这使得网络能够快速的收敛(对LSDB运行SPF算法)并且不依耐于其他路由器。OSPF提供的区域划分机制适合于网络规模比较大,适合于对于现有网络的升级改造。通过区域的划分,减小了每台路由器的LSDB,从而能够快速的运行SPF算法,并且降低了CPU的使用率,并且对于一个区域内链路的变化,不会影响到其他区域路由器。因此,此次设计采用的内网路由协议是:OSPF。2,DHCP技术对
9、于怎样合理利用IP地址,当前主要采用DHCP技术。除了一些终端需要固定的IP地址外,如服务器,实时运行的终端等,其他终端都采用DHCP技术动态获取IP地址,从而在一定程度上解决了IP地址紧缺的问题。3,NAT技术为了使内网地址在访问外网时具有一定的安全性,当前主流采用NAT技术。通过向ISP申请一段公网地址用于内网访问外网时的出口IP地址(访问外网时将内网私有地址转化为公网地址后再出去;外网访问内网时使用公网地址,到达内网后再转化为内网私有地址),从而有效的保护了内网的信息。4,ACL技术为了能够限制不同业务终端之间的访问,当前主流使用ACL实现一定的访问策略。当然更复杂的还可以使用路由策略,
10、结合路由映射表等。3.3 目标网络拓扑(图3.3-1) 图3.3-1 目标网络拓扑3.4 Internet接入方案接入层到网络中心一般距离都比较远,因此使用光纤从接入层接入到网络中心核心层以及汇聚层,而终端连接到接入层,网络中心设备之间的连接都是用以太网。对于网络出外网,可以租用专线进行Internet的接入,也可以使用城域网进行接入。对于内网,为了保护内网私有地址的信息从而达到一定的安全性,并且也可以解决IP地址紧缺的问题,在出口路由器上使用NAT技术进行Internet的接入。3.5 网络安全规划设计首先,为了保护内网的基本信息,在出口路由器上使用了NAT技术,使内网的私有地址对外网影藏起
11、来,从而降低了网络入侵的威胁。并且还可以解决IP地址紧缺的问题。其次,应用ACL控制一些不合法的终端对于网络特定业务以及特定设备的访问,例如禁止其访问内部存储关键数据的服务器,禁止其telnet访问内部设备。还可以通过部署防火墙对网络入侵进行一定的防止,部署Cisco认证服务器对于用户进行认证,从而有效的防止了非法终端接入到网络,非法访问网络设备,避免了网络入侵的危险。3.6 网络服务器规划为了实现办公自动化部署了web服务器,存储门诊与挂号记录的服务器,存储售药与收费记录的服务器,视频服务器。Web服务器方便内网用户对医院网站的一些内部资源进行共享以及内网用户进行一定的外网访问。视频服务器用
12、于科教楼部署视频多播。其他两个服务器主要用于实现OA,使得员工的工作效率更高。3.7 网络管理 此次设计设备的网管VLAN的划分是基于楼栋进行的,每栋楼的设备的网管VLAN划分到一个。然而现实当中是将所有的设备的网管VLAN划分到一个VLAN,这样做能够很方便的管理设备,并且还大大的减少了核心交换机上的VLAN条目。因此以后设计网络的时候不应该再犯同样的错误。4 详细设计4.1 IP子网规划与VLAN划分了解了西南医院相关科室的分布之后,决定按照科室而不是基于楼栋进行VLAN的划分,这样划分之后能够将门诊大楼与相关的专科大楼联系起来,使得门诊医生与水平更高的相关专科医生之间能够快速的交流,让病
13、人能够得到很好的服务。内网VLAN划分如下:(表 4.1-1)VLAN 号VLAN名称IP网段网关描述VLAN 100Shiyanlou172.16.0.0/23172.16.0.1实验楼所有终端VLAN 102Jizhen172.16.2.0/24172.16.2.1急诊类VLAN 104Jianchalei172.16.3.0/24172.16.3.1检查类VLAN 106 Erke172.16.4.0/24172.16.4.1 儿科VLAN 108 Guke172.16.5.0/24172.16.5.1 骨科VLAN 110 Puwaike172.16.6.0/24172.16.6.1
14、普通外科VLAN 112 Miniaoke172.16.7.0/24172.16.7.1 泌尿科VLAN 114Zhengxing172.16.8.0/24172.168.8.1 整形外科VLAN 116Kangfuke172.16.9.0/24172.16.9.1 康复科VLAN 118 Zhongliuke172.16.10.0/24172.16.10.1 肿瘤科VLAN 120Gandanke172.16.11.0/23172.16.11.1 肝胆科VLAN 122 Shenke172.16.13.0/24172.16.13.1 肾科VLAN 124Xinxiongke172.16.14
15、.0/24172.16.14.1 心胸外科VLAN 126shenjingke172.16.15.0/24172.16.15.1 神经科VLAN 128Laonianke172.16.16.0/24172.16.16.1 老年病科VLAN 130 Fuke172.16.17.0/24172.16.17.1 妇科VLAN 132 Huxike172.16.18.0/24172.16.18.1 呼吸内科VLAN 134 Xiaohuake172.16.19.0/24172.16.19.1 消化内科VLAN 136Neifenmi172.16.20.0/24172.16.20.1 内分泌科VLAN
16、138Xueyeke172.16.21.0/24172.16.21.1 血液科VLAN 140 Yanke172.16.22.0/24172.16.22.1 眼科VLAN 142Erbihouke172.16.23.0/24172.16.23.1 耳鼻喉科VLAN 144 Kouqiang172.16.24.0/24172.16.24.1 口腔科VLAN 146 Chanke172.16.25.0/24172.16.25.1 产科VLAN 148Ruxianke172.16.26.0/24172.16.26.1 乳腺外科VLAN 150Binglike172.16.27.0/24172.16.
17、27.1教学楼病理科VLAN 152Linchuangpeixun172.16.28.0/24172.16.28.1教学楼临床培训VLAN 154Xinxike172.16.29.0/24172.16.29.1教学楼信息科 表 4.1-1服务器IP地址的规划如下:(表 4.1-2)服务器功能说明IP地址视频服务器172.16.36.24Web服务器172.16.36.25DNS服务器172.16.200.26DHCP服务器172.16.200.27存储挂号与门诊记录服务器172.16.36.28存储售药与收费记录服务器172.16.36.29 表 4.1-2核心层与出口路由器,ISP路由器之间
18、的网段规划如下:(表 4.1-3)内网设备描述对端设备网段子网掩码 主核心交换机ISP A出口路由器 172.16.31.0255.255.255.252ISP B出口路由器 172.16.32.0255.255.255.252备份核心交换机ISP A出口路由器 172.16.33.0255.255.255.252ISP B出口路由器 172.16.34.0255.255.255.252ISP A出口路由器ISP A路由器 202.202.202.0 255.255.255.248ISP B出口路由器ISP B路由器 202.202.203.0 255.255.255.248 表 4.1-3
19、访问外网的网段网管VLAN地址的划分如下:(表 4.1-4)网管VLAN网管地址及掩码网关描述VLAN 160172.16.35.0/27172.16.35.1外科楼交换机网管 VLAN 170172.16.35.32/27 172.16.35.33内科楼交换机网管 VLAN 180172.16.35.64/27 172.16.35.65 实验楼交换机网管 VLAN 190172.16.35.96/27 172.16.35.97 康复楼交换机网管 VLAN 200172.16.35.128/27 172.16.35.129 教学楼交换机网管 VLAN 210172.16.35.160/27 1
20、72.16.35.161 门诊部交换机网管 表 4.1-4 网管VLAN划分4.2 DHCP、DNS实现方案 根据如下的VLAN划分和IP子网的划分进行DHCP的部署:(表 4.2-1)VLAN 号IP地址范围网关描述VLAN 100172.16.0.2/23-172.16.1.254/23172.16.0.1实验楼所有终端VLAN 102172.16.2.2/24-172.16.2.254/24172.16.2.1急诊类VLAN 104172.16.3.2/24-172.16.3.254/24172.16.3.1检查类VLAN 106172.16.4.2/24-172.16.4.254/24
21、172.16.4.1 儿科VLAN 108172.16.5.2/24-172.16.5.254/24172.16.5.1 骨科VLAN 110172.16.6.2/24-172.16.6.254/24172.16.6.1 普通外科VLAN 112172.16.7.2/24-172.16.7.254/24172.16.7.1 泌尿科VLAN 114172.16.8.2/24-172.16.8.254/24172.168.8.1 整形外科VLAN 116172.16.9.2/24-172.16.9.254/24172.16.9.1 康复科VLAN 118172.16.10.2/24-172.16.
22、10.254/24172.16.10.1 肿瘤科VLAN 120172.16.11.2/23-172.16.11.254/23172.16.11.1 肝胆科VLAN 122172.16.13.2/24-172.16.13.254/24172.16.13.1 肾科VLAN 124172.16.14.2/24-172.16.14.254/24172.16.14.1 心胸外科VLAN 126172.16.15.2/24-172.16.15.254/24172.16.15.1 神经科VLAN 128172.16.16.2/24-172.16.16.254/24172.16.16.1 老年病科VLAN
23、130172.16.17.2/24-172.16.17.254/24172.16.17.1 妇科VLAN 132172.16.18.2/24-172.16.18.254/24172.16.18.1 呼吸内科VLAN 134172.16.19.2/24-172.16.19.254/24172.16.19.1 消化内科VLAN 136172.16.20.2/24-172.16.20.254/24172.16.20.1 内分泌科VLAN 138172.16.21.2/24-172.16.21.254/24172.16.21.1 血液科VLAN 140172.16.22.2/24-172.16.22.
24、254/24172.16.22.1 眼科VLAN 142172.16.23.2/24-172.16.23.254/24172.16.23.1 耳鼻喉科VLAN 144172.16.24.2/24-172.16.24.254/24172.16.24.1 口腔科VLAN 146172.16.25.2/24-172.16.25.254/24172.16.25.1 产科VLAN 148172.16.26.2/24-172.16.26.254/24172.16.26.1 乳腺外科VLAN 150172.16.27.2/24-172.16.27.254/24172.16.27.1教学楼病理科VLAN 15
25、2172.16.28.2/24-172.16.28.254/24172.16.28.1教学楼临床培训VLAN 154172.16.29.2/24-172.16.29.254/24172.16.29.1教学楼信息科 表 4.2-1 DHCP部署表4.3 路由方案1 在核心层交换机与出口路由器之间运行OSPF路由协议,OSPF路由协议作为当前主流的内部网络链路状态路由协议,对于网络故障的处理更快更高效。2 在出口路由器上部署内网用于访问外网的静态默认路由,在ISP路由器上配置指向边界路由器的静态默认路由。3 VLAN之间数据的交换通过核心交换机,通过启用核心交换机的SVI接口(interface
26、vlan命令)设置各个vlan的网关。4.4 NAT与ACL技术应用1 NAT技术的应用从ISP申请了一段公网地址:202.202.202.2-202.202.202.5,其中202.202.202.2用于出口路由器的公网地址,其余几个用于NAT地址池动态的划分给内网主机。具体的配置如下:Access-list 110 permit ip 172.16.0.0 0.0.31.255 any(指定需要转化的内网私有地址)Ip nat pool poolA 202.202.202.3 202.202.202.5 netmask 255.255.255.248(指定NAT地址池)Ip nat ins
27、ide source list 110 pool poolA overload(将ACL 110应用于地址池,并且通过指定overload使每个转换带有端口号)Ip nat inside(应用到内网私有地址出外网的入口)Ip nat outside(应用到内网私有地址出外网的出口)2 ACL技术的应用ACL主要用于限制一些终端访问不透明的业务(例如普通终端不能访问公司财务处数据等)。此次课设主要应用ACL来限制外网和普通终端telnet交换机,限制普通终端访问存储关键数据的服务器。禁止外网telnet交换机的配置实现如下:(边界路由器上配置)Access-list 110 deny tcp 2
28、02.202.202.0 0.0.0.7 any eq telentAccess-list 110 permit ip any any禁止内网终端telnet交换机的配置实现如下:(每台交换机上配置)Access-list 110 deny tcp 172.16.0.0 0.0.31.255 any eq telnetAccess-list 110 permit ip any anyAccess-class 110 inAccess-class 110 out(在交换机的line vty 0 4模式下)禁止普通终端访问存储关键数据的服务器配置实现:(核心交换机上配置)Access-list 1
29、05 permit ip 172.16.0.0 0.0.31.255 172.16.36.24 0.0.0.0Access-list 105 permit ip 172.16.0.0 0.0.31.255 172.16.36.25 0.0.0.0Ip access-group 105 out(在核心交换机Interface vlan 90-服务器所在vlan模式下应用)5 仿真实现5.1 仿真拓扑 5.2 VLAN与仿真测试消化内科VLAN 134访问骨科VLAN 108:(图 5.2-1) 图 5.2-1 VLAN间测试1消化内科VLAN 134访问视频服务器VLAN 90:(图5.2-2)
30、 图 5.2-2 VLAN 间测试25.3 路由的仿真与测试内网访问外网经过核心交换机和出口路由器进行路由,不同VLAN间路由通过核心交换机实现。不同VLAN间路由测试:妇科VLAN 130访问康复科VLAN 116:PCping 172.16.9.2Pinging 172.16.9.2 with 32 bytes of data:Reply from 172.16.9.2: bytes=32 time=109ms TTL=127Reply from 172.16.9.2: bytes=32 time=140ms TTL=127Reply from 172.16.9.2: bytes=32 t
31、ime=78ms TTL=127Reply from 172.16.9.2: bytes=32 time=94ms TTL=127Ping statistics for 172.16.9.2: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 78ms, Maximum = 140ms, Average = 105ms内网访问外网的路由仿真与测试:(图 5.3-1和图5.3-2) 图 5.3-1 访问外网的测试1图 5.3-2
32、访问外网的测试25.4 ACL与NAT仿真与测试1 ACL仿真与测试内网终端不能访问存储关键数据的服务器与可以访问应用服务器的ACL测试:(图5.4-1和图5.4-2)图 5.4-1 能访问视频服务器 图5.4-2 不能访问存储售药与收费记录服务器内网终端不能telnet接入层交换的ACL测试:(图5.4-3和图5.4-4)图5.4-3 禁止telnet门诊部交换机图 5.4-4 禁止telnet外科楼交换机2 NAT仿真与测试先进行ping外网测试再查看NAT转换条目:(图 5.4-5和图5.4-6)图 5.4-5 172.16.8.2 ping外网测试 图 5.4-6 NAT转换条目6 结
33、论6.1 任务完成情况理解了怎样合理的进行IP地址的划分以及这样划分带来的好处,并且得到了很好的实现。合理的划分IP地址带来的最大好处是:能够合理的进行路由汇总,从而减少了路由器的路由条目,加快了网络的收敛速度。当然合理的划分IP地址也能够在一定程度上合理的利用紧缺的IP地址。同时VLAN的划分也得到了一个很好的理解。进一步巩固了ACL的一些基本概念,以及使用ACL带来的一些能够影响网络连通性的问题,一般是错误配置的ACL条目影响了其他的配置。理解了ACL在控制流量之间的相互访问之间的重要作用以及具体应用方法,并且真正的实现了一定的ACL控制。对于NAT的一些基础也得到了一定的巩固,对于其原理
34、得到了更新的认识,并且对于其配置方法也得到了进一步的巩固。本次课程设计也实现了NAT的正确配置。由于使用的是模拟软件,因此,对于链路聚合,QoS部署,多播的应用,以及DHCP服务器的配置和部署都没能够得到实现,只能在以后的学习当中牢牢的掌握其原理和基础,为以后在真机上配置打下坚实的基础。6.2 特色与不足使用了核心层交换机的备份。但是对于内网的交换,备份核心交换机能够发挥作用,但是对于访问外网,还没能实现其备份功能;其次使用了两个ISP出口。但是只能随机的选择选择一个ISP,不知道是模拟软件的问题还是配置的问题,因此没能解决怎样进行配置使其优先选择其中一个ISP。因此,对于核心层备份的现实配置
35、方法在以后的学习当中还要特别注意,还有多ISP的现实中的配置方法也要好好的掌握。6.3 所遇到的问题其实所需要的配置不是很多,但是由于对于很多基础掌握得不是很牢固,就比如基本的三层交换机实现VLAN间路由的配置方法及原理,应用ACL应该注意的一些问题,使得很多时候配置ACL之后不能进行相关的访问,即使全网的连通性已经解决。还有配置VTP时没有搞清楚三种VTP模式(服务器模式,客户端模式,透明模式)的工作原理以及特点,使得内网的连通性实现受到了一定的影响。6.4 体会通过这次课程设计,让自己认识到对于很多基础知识掌握得真的是太差了,一个非常基本的知识点就花了很长的时间去回忆,去从错误中寻找错误,寻找解决办法。让自己认识到对于PacketTracer这个最基本的模拟软件的熟练程度是多么的差,PacketTracer的熟练掌握不仅能够使自己能够对基础知识得到很好的巩固,还能够为自己以后操作真机打下坚实的基础。通过这次课程设计,让自己认识到,在以后的学习中,不能只是注重基础理论知识的学习,对于一些此模拟软件能够实现的基础知识必须及时的进行实际操作,毕竟在真正的操作中才会发现问题,才知道怎样解决问题,并且使自己对基础知识的掌握更加牢固。当然,通过这次课程设计,对于以前学的基础知识也得到了一定的巩固,得到了重新的认识,理解更深了。