网络设计方案实例1.docx

1、网络设计方案实例1上海奥托立夫汽车安全系统有限公司网络改造方案摘要随着信息技术的迅猛发展，公司的网络运营对于企业的发展起着非常重要的作用。因此公司网络的设计也越加受到人们的重视。本次毕设，我通过对上海奥托立夫汽车安全有限公司网络状态的分析，发现有如下缺点，如网络冗余度低，管理不便，安全性低等。结合对公司实际的需求分析后，我决定从以下几方面着手来改进公司网络，包括公司原网络方案分析，网络改造需求分析，网络结构改进拓扑，广域网接入选择，VLAN设计，综合步线设计，网络设备的选购与配置，访问控制与安全措施这几大模块，制定一个切合公司实际需要的网络设计方案。在方案最后，有整套方案选用设备的具体报价，有

2、很强的参考性。通过这一改进计划，将基本缓解该公司原有网络存在的缺点，逐步提高公司的网络性能，便于公司网络运行的管理，以最终达到改善公司网络运行的目的。关键词：网络方案；需求分析；网络拓扑；综合布线；网络设备；访问控制The Network Reconstruction for Shanghai Autoliv Auto Security System, Inc.ABSTRACTWith the rapid development of information technology, the network status of a company plays an important role

3、in the development for enterprise. Thereby, people pay more attention on designing companys network.During this dissertation, by analyzing the network status of Shanghai Autoliv Auto Security System, Inc, I found several flaws such as low network redundancy, inconvenient management and low security.

4、 Combining with the actual requirement analyze for the company, I decided to improve the companys network from the following aspects including analyzing the former network status of the company, requirement analyze for network improving, the betterment topology for network structure, the choice for

5、WAN connection, VLAN designing, cabling designing, the choose and buy for network devices, access control and security measures. I will set down an actual network case which will meet companys needs. In the last part, I will list the price for all devices in detail, which will have strong reference

6、value.This improving plan will abate the flaws from the former companys network basically and advance the network performance stepwise. So it will do well to the management of companys network and will reach the goal of improving network status finally. Key words: network case; requirement analyze;

7、network topology; network device; access control第1章 公司原网络方案分析上海奥托立夫汽车安全系统有限公司是全球最大的汽车乘员约束系统的专业制造商，在全球30个国家和地区有80家分支机构、8个技术中心和19条整车碰撞实验室。公司厂址设在上海嘉定工业园区，2001年6月建成，2002年3月正式投产，开始为中国客户供货。1.1 公司原网络拓扑图图1-1 公司原网络拓扑图1.2 网络拓扑说明在该公司原有的网络方案中，可以看到，公司外网通过INTRANET接入路由器，只有一条链路。网络中心位于公司的2号楼，两台核心交换机与路由器相连，4台主要服务器两两接

8、入核心交换机上，同时，3幢楼中的汇聚层交换机分别接在核心交换机上，下连的是各自的接入层交换机，设备所用的型号偏低。1.3 公司网络现状分析1）设备的级连方式，易造成单点故障网络设备采用级连方式，任何一台交换机的故障，都会使得其后面连接的交换机所在的网络区域无法正常工作，造成单点故障。2）接入层交换的级连，使最下层终端分到的带宽和速率最低3）服务器与核心交换机的分开连接，造成用户无法访问所有服务器上的资源如3号楼的用户无法访问到AD服务器和 LOTUS服务器上的资源，1号楼的用户也无法访问到ERP服务器和TREND OFFICE SCAN服务器上的资源。4）出口链路仅有一条公司连接至外网的链路只

9、有一条，若该条链路断开，将造成公司内网无法访问外网，整个网络停止运行。5）网络相通现有的网络中，所有部门在网络上都是相通的。同时，缺乏管理的公司网络，很容易造成广播风暴。处在同一台接入层交换机下的计算机，由于没有划分VLAN，都处在一个广播域下，所有信息全部暴露在所有终端端口，容易造成数据被拦截，监听，截取。6）部门间访问权限未做限定，安全性低公司的财务部和人事部数据，不希望被所有部门共享。公司财务部的数据需要集中化统一管理，人事部希望有自己的软件管理系统来管理部门各种数据。由于没有做相应的访问控制列表，无法对数据包进行控制，因此网络的安全性较低。第2章 网络改造需求分析公司上海嘉定（总部）的

10、建筑分布图如图2.1所示，其中：1号楼和3号楼为厂房，2号楼为办公楼，其2楼中间区域是中心机房。图2-1 公司建筑分布图2.1 网络功能需求分析该公司上海嘉定（总部）网络系统具体需求如下：1） 公司全网使用ERP系统；2） 总部（嘉定）要与分公司（奉贤）建立稳固的高速通信连接；3） 建立公司网站，使外网中任一用户均能访问；4） 建立公司范围内的IP电话系统，降低总部和各分部之间电话费用；5） 公司内部各部门之间在网络上要相互隔离开，能有选择地进行访问控制（特别是财务和人事部门的资料能有效地保护）；6） 生产车间（生产部）所有生产线的控制终端需要有无线覆盖，以便连接公司ERP系统；7） 公司总部

11、已经设有各种应用服务器，现需要集中管理。不仅能公司总部，而且能使各分公司都能高效安全地利用服务器中的资源；8） 确保公司总部网络安全、稳定和高效；9） 对员工上INTERNET能有效监控；10) 公司财务部、人事部软件的网络化安全管理。 通过进一步了解客户对网络设计方面的具体要求，以及对网络技术的研究后，具体要在该网络方案中要实现的功能以及方法如下： 利用VLAN划分公司不同部门 为了满足生产车间的特殊环境和先进的移动办公方式，配置了无线访问点（AP），使整个生产部成了一个有线加无线的多种接入方式的先进网络 为公司配置5台服务器（1台file server/DHCP/DNS/AD；1台Lotu

12、s Domain;1台Trend Office scan；1台ERP；1台Anti-Virus、ISA服务器端），服务器组设在中心机房，直接与核心交换机相连，以充分利用核心交换机的路由，控制和安全的功能，达到服务器资源的有效利用 在公司网络出口处设置防火墙，同时在中心机房的一台服务器上配置Anti-Virus和ISA2004，起到内网防火墙的作用，保证公司内网安全 中心机房配有两台核心交换机，采用冗余设计；同时，公司内网采用以太网和光纤连接相结合的方式，确保数据的高速传输 为公司财务部配置一台小型文件服务器，使该部门的机密数据能集中管理；为人事部配置一台EHR（电子化人力资源管理系统）服务器，

13、用以管理人事部门的敏感数据 总经理办公室和IT部能对所有系统进行访问。FTP服务仅工程部能够访问，ERP服务器除人事部外都能访问。人事部的E-HR服务器也仅限人事和财务部门能够访问。财务部数据，仅财务部能够访问。2.2 网络规模和信息点分布情况大楼内的各部门、办公室位置及相应信息点分布情况如下： 1号楼（共两层）：质量部+测试部（共107个接入点）1楼：1间大培训会议室（2个AP点，10个接入点），2间监测室（10个接入点），一间划车实验室（15个接入点）2楼：3间办公室（共20*3=60个接入点），2间会议室（5*2=10个接入点） 3号楼（共两层）：测试部+物流部+制造部+质量部（共140

14、个接入点）1楼A，B区（制造部+质量部）：1间生产部办公室（5个接入点），1间质量部办公室（5个接入点），一间划车实验室（7个接入点）；C，D区两大组生产线（15*2=30个接入点），9个AP点2楼A区（物流部+质量部）：2间大办公室（30*2=60个接入点），1间中型会议室（8个接入点）2楼B区（制造部）：一间办公室（10个接入点）物料仓库（位于3号楼旁边）：物流部+质量部（4个接入点，2个AP点） 2号楼（共两层）：采购部+人事部+IT部+销售部+财务部+工程部（共153个接入点）1楼左面：采购部办公室（25个接入点），2间会议室（2*2=4个接入点）1楼右面：人事部办公室（18个接入点）

15、2楼左面：一间IT+销售部门办公室（共20个接入点），一间财务部办公室（15个接入点），2间会议室（5*2=10个接入点），4间GM办公室（2*4=8个接入点）2楼右面：工程部，一间大办公室（40个接入点），一间绘图室（8个接入点），一间会议室（5个接入点）其中，中心机房位于2号楼中间区域。信息点具体分布见表2-1：表2-1 各办公室信息点分布部门办公室使用点数合计会议室1#10112481#20451#20553#20382#10222#10322#20352#20452#2124IT部2#20188总经办2#206282#20722#20822#2092测试部1#1025521#10351

16、#104151#201203#1037工程部2#21140482#2128物流部3#2013033仓库3销售部2#2021212财务部2#2031515采购部2#1012525人事部2#1041818质量部1#20220781#203203#10253#20230仓库3制造部3#1015543#104153#105153#10693#20410表2-2 信息点分布汇总表地点信息点具体分布合计1号楼1楼（培训会议室，监测室*2，划车实验室）12+5*2+15371号楼2楼（办公室*3，会议室*2）20*3+5*2702号楼1楼（办公室*2，会议室*2）25+18+2*2472号楼2楼（办公室*7

17、，会议室*3，绘图室）20+15+2*4+40+5*2+5+81063号楼1楼（办公室*2，实验室，生产车间）5+5+7+30+9563号楼2楼（办公室*3，会议室）30*2+10+878物料仓库2+2+26总 计400表2-3 计划布点数及预留点数接入地点实际使用计划布点数预留点数1号楼107120132号楼153175223号楼13414814物料仓库6104总计40045353通过对该公司信息点分布统计结果来看，为该公司改进的网络规模将是个中型的企业网络。2.3 网络性能分析2.3.1 带宽分析根据对该公司的需求分析和改造后预期达到的效果，对公司网络带宽具体分配如下：外网与公司路由器间的

18、连接，采用光纤接入，带宽为2M路由器与公司核心层交换机间的连接，采用以太网连接，带宽为1000M核心层交换机与公司网络中心服务器群间的连接，采用以太网（6类UTP）连接，带宽为1000M核心层交换机与各大楼汇聚层交换机间的连接，采用单模光纤，带宽为100M汇聚层交换机与接入层交换机间的连接，采用以太网连接，带宽为1000M接入层交换机与各楼内信息点间的连接，采用以太网（超5类UTP），带宽为100M2.3.2 可靠性与稳定性企业网络要求具有高度可靠性与稳定性，在完成对该公司的需求分析后，总结出网络中有这些地方对可靠性要求最高：1）中心机房内，包括5台服务器与两台核心层交换机2）负责汇聚各大楼接

19、入层交换机的3台汇聚层交换机3）外网接入公司路由器处因此，在这些重要地方要考虑到链路或设备冗余的设计。2.3.3 可扩展性此次网络改进方案所需达到的效果，除了要满足公司实际网络需要外，还要考虑到满足公司未来3-5年的扩建和网络的升级，需要考虑到以下几点：1）公司规模的扩大2）分公司的建立3）出口带宽的增加4）信息点的增加（已预留了53个信息点）第3章 网络结构改进方案3.1 逻辑网络设计根据对该公司的实际需求分析及对网络系统集成专业知识的调研后，为其设计的网络方案拓扑图如图3-1：图3-1 公司网络设计拓扑注：该方案的设计思路是层次化，模块化，安全性和冗余。层次化：在拓扑可以看出，该方案设计模

20、型分为3个层次（核心层，汇聚层和接入层），每一层都有特定的功能。核心层：由两台核心交换机及中心机房组成，并考虑冗余设计。汇聚层：由三台3层交换机组成，分别放置在3幢大楼中，负责汇聚3幢楼中所有的接入层交换机。接入层：由连接用户的2层交换机或者无线接入点（AP）组成，在该拓扑中，设计为连接到公司的不同部门。冗余：为保证网络的可用性，要有适当的冗余。在公司关键的网络节点设计了冗余，如核心层的交换机和服务器。同时，在路由器连接到外网的链路上，也设计了冗余，包含两条链路（ISDN和光纤）。模块化：根据该拓扑的3个层次，每个层中都有不同的模块，如核心层中的服务器群模块。安全性：中心机房内配有Anti-V

21、irus服务器端+ISA2004，起到内网防火墙作用；公司内网连接外网的出口处，设置防火墙，保障公司全网安全。两道防火墙（“硬件外部防火墙”和“软件内部防火墙”之间的建立区域，以更好的保护内部网络的资源免于受到外部网络攻击）。3.2 三层结构分析核心层的任务是高速传输、冗余能力及可靠性。核心层一般都是由高端的路由器或第三层交换机实现。本方案中核心层选用了两台CISCO的核心路由交换机WS-C4948-S，两者通过光纤聚合链路，并放在将中心机房内，位于2号楼1楼。中心机房中还包括1台路由器，1台防火墙，2台核心交换机，1台汇聚层交换机4台接入层交换机，5台应用服务器及2台部门应用服务器（人事部，

22、财务部），这些设备分别放置在三个机柜中。中心机房的5台服务器分别与两台核心路由交换机通过多模光纤连接；汇聚层交换机也通过单模光纤连接到两台核心路由交换机；防火墙通过单模光纤分别连接到两台核心路由交换机。真正实现了链路冗余和核心设备的冗余，从而保证了公司网络的健壮性和自愈性。汇聚层是网络核心层与接入层之间的分界点，主要任务是提供与流量控制，安全及路由相关的策略。从物理上看，汇聚层交换机属于楼层交换机，或者说是楼层的核心交换机。从逻辑上看，它可以是应用系统的汇聚，汇聚层可以通过两条上行线路连接到核心层，以保证线路的冗余。在该方案中，汇聚层采用3台三层交换机，型号为CISCO的WS-C3750G-1

23、2S-E，分别位于3幢楼的1层楼中。接入层为用户提供在本地网络访问互联网络的能力，它是最终用户的网络接入点。接入层通过接入交换机的上行端口连接到汇聚层，一般通过2层交换机实现。在该方案中，公司各个部门的网络属于接入层，共选用了10台接入层交换机，型号为CISCO WS-C2960-48TC-L。在财务部，配一台小型文件服务器，独立管理财务数据和资料。人事部中，配EHR（电子化人力资源管理系统）服务器，统一管理人事部门的数据。该层中的2层交换机与PC间的连接采用百兆双绞线。接入层的生产车间由于特殊的工作要求，需要配备无线网络。因此，在接入层交换机下连接几个AP（无线接入点）Cisco Airon

24、et 1200，覆盖整个生产车间。外连接入层作为公司内网和外网的连接点，选用Cisco的防火墙CISCO PIX-252-R-BUN，路由器选用Cisco 2821，通过两条线路（光纤和ISDN）连接到INTERNET，其中ISDN仅用做备份链路。Cisco 2821支持VPN功能，奉贤分部对嘉定总公司的访问通过VPN来实现。3.3 无线网络覆盖3.3.1 连接方式本次部署无线网络全部在室内进行，在已有局域网的基础上再安装无线局域网，在本方案中，将部门所需的AP点直接连在对应的接入层交换机上。3.3.2 信息点分布依据公司对无线网络的需求，为公司会议室配置2个无线接入点，制造部配置9个无线接入

25、点，物流部和质量部各配1个无线接入点，共计13个AP点。其中，2个点位于1号楼1楼，其余的点都位于3号楼1楼。将这些接入点连接到大楼管理配线间接入层的交换机上，使之接入公司网络，并划分在同一个VLAN内。3.3.3 网络拓扑为该公司设计的无线网络拓扑如图3-2：图3-2 公司无线网络拓扑3.3.4 设备选型在设备方面采用Cisco的Aironet 1200系列。Cisco Aironet 1200系列的模块化设计可以在2.4GHz和5GHz这两个无须申请许可的频段使用单频和双频操作，并可以进行现场升级，以便在用户需求发生变化或者行业进一步发展时更改这些配置。目前，Cisco Aironet 1

26、200系列的标准版本可以通过一个802.11b无线收发模块支持Wi-Fi客户端。Cisco Aironet 1200系列 AP还为一个802.11a无线收发模块准备了一个专门的插槽。客户可以作为出厂安装选件购买这两种无线收发模块，也可以单独购买这些模块进行现场安装。这些无线收发模块还可以通过升级为将来的技术提供支持，例如802.11g。3.3.5 覆盖范围及信号强弱以制造部的AP点为例，其分布方式如图3-3：图3-3 无线信号覆盖范围AP的部署采用如上图方式，将AP放置于房间的墙面周围，保证整个房间的区域都能接收到无线信号。AP点中心信号最强，边缘处较弱。第4章 广域网接入方案4.1 接入技术

27、鉴于公司中型企业的网络规模，终端设备很多，为了保证每台终端使用到一定的带宽，所以广域网接入采用光纤接入的方式。外连接入层作为公司内网和外网的连接点，选用Cisco的防火墙CISCO PIX-252-R-BUN，路由器选用Cisco 2821，通过两条线路（2M光纤和ISDN）连接到INTERNET，其中ISDN仅用做备份链路。Cisco 2821支持VPN功能，奉贤分部对嘉定总公司的访问通过VPN来实现。图4-1 广域网接入方案光纤直接接入方式，是为有独享光纤高速上网需求的大企事业单位或集团用户提供的，传输带宽2M-155M不等。 业务特点：可根据用户群体对不同速率的需求，实现高速上网或企业局

28、域网间的高速互联。同时由于光纤接入方式的上传和下传都有很高的带宽，尤其适合开展远程教学、远程医疗、视频会议等对外信息发布量较大的网上应用。 适合的用户群体：居住在已经或便于进行综合布线的住宅、小区和写字楼的较集中的用户；有独享光纤需求的大企事业单位或集团用户。ISDN（Integrated Service Digital Network），即综合业务数字网。它利用公众电话网向用户提供了端对端的数字信道连接，用来承载包括话音和非话音在内的各种电信业务。ISDN是基于公共电话网的全数字网络，利用普通的电话线，可开展各种业务，例如大电话、发传真、上网、局域网互联、开会议电视、专线备份等。虽然ISDN

29、的速度不快，但价格便宜，作为公司外网连接路由器的备份链路，比较合适。4.2 ISP供应商选择上海电信作为ISP供应商，具体资费如图4-2：图4-2 上海电信宽带资费根据该公司对带宽的实际需求，决定选用2M光纤接入。第5章 VLAN设计与IP地址规划5.1 划分VLAN的重要性在现有的网络中，所有部门在网络上都是相通的。同时，缺乏管理的公司网络，很容易造成广播风暴。处在同一台接入层交换机下的计算机，由于没有划分VLAN，都处在一个广播域下，所有信息全部暴露在所有终端端口，容易造成数据被拦截，监听，截取。所以在改造方案中，必须为公司内部划分VLAN，更好的管理公司网络。VLAN的划分有很多种，常用

30、的划分方法是将端口和IP地址结合来划分VLAN，某几个端口为一个VLAN，并为该VLAN配置IP地址，那么该VLAN中的计算机就以这个地址为网关，其它VLAN则不能与该VLAN处于同一子网。在该方案设计中，采用的就是这种方法。5.2 划分方案该公司从ISP供应商那里申请到两个IP地址，215.223.111.5/30，215.223.111.6/30，即215.223.111.4/30的可变长子网。内网子网划分用保留的C类私有IP地址，192.168.0.0/20作为子网划分，结果如表5-1所示：表5-1 VLAN划分与IP地址规划表VLAN部门办公室使用点数合计IP子网网关VLAN20管理VLAN(管理所有设备)2020192.168.20.0/24192.168.20.254VLAN30中心机房（服务器群）1010192.168.30.0/24192.168.30.254VLAN2会议室1#1011248192.168.2.0/24192.168.2.2541#20451#20553#20382#10222#10322#20352#20452#2124VLAN3IT部2#20188192.168.3.0/2