企业网络规划设计与实现毕业论文Word格式文档下载.docx

1、从而实现一个办公自动化、全方位、多功能、升级能力强的企业网的构建。【关键词】 企业网；网络规划；网络设计；网络拓扑序言随着Internet在全球的发展与普及，企业网络技术的发展以及企业生存和发展需要促成了企业网的形成。自20世纪90年代以来，企业网络已经成为连接企业、事业单位各部门与外界交流信息的重要基础设施。基于局域网和广域网技术发展起来的企业网络技术得到迅速的发展。为了适应网络经济的飞速发展，扩大企业经营的规模和范围，方便企业内部和企业之间的交流，节省办公开销，提高企业的管理水平，企业发展Intranet（企业内部网）已经是刻不容缓。另外，截至2011年，中国中小企业的数量将达到4660万

2、，其中拥有企业网站的企业数量将达到363万。在国民经济中，60%的总产来自于中小企业，并为社会提供了60%以上的就业机会。然而，在中国国民经济和社会发展中一直占据着至关重要的战略地位的小中企业，其信息化程度却比较落后。今后如何应对瞬息万变、竞争激烈的国内外市场环境以及如何利用网络技术迅速提升企业核心竞争力就是成为企业成败的关键所在。从企业对信息的需求来看面对着激烈的市场竞争，公司对信息的收集、传输、加工、存储、查询、预测、决策及即时的交流、沟通等工作量越来越大，原来的电脑出于网络技术或是安全性等因素考虑，一直只是停留在单机工作的模式，各部门及科室间的数据不能实现共享，致使工作效率大大下降，纯粹

3、手工管理方式和手段已经不能适应企业的需要，这将严重妨碍公司的生存和发展。社会进行要求企业必须改变现有的落后管理体制、管理方法和手段，建立现代企业的新形象，建立本企业的办公自动化管理信息系统（即公司局域网），以提高管理水平，增加经济和社会效益。从企业管理和业务发展的角度出发通过网络对网络资源的共用来改善企业内部和企业与客户之间的信息交流方式，满足业务部门对信息存储、检索、处理和共享需求，使企业能迅速掌握瞬息万变的市场行情，使企业信息更有效地发挥效力；提高办公自动化水平，提高工作效率，降低管理成本，提高企业在市场上的竞争力；通过对每项业务的跟踪，企业管理者可以了解业务进展情况，掌握第一手资料，及时

4、掌握市场动态，为企业提供投资导向，为领导决策提供数据支持；通过企业内部网建立，企业各业务部门可以有更方便的交流沟通，管理者可随时了解每一位员工的情况，并加强以企业人力资源合理调度，切实做到系统的集成化设计，使原有的设备、投资得到有效利用。因此，有必要建设好中小型企业建设信息网络，以达到最大限度地实现信息资源共享，并使用电子信息的传递取代纸面文件、材料的传送，逐步实现无纸办公，改变传统的工作方式，进一步提高工作效率。同时，利用各种业务信息的综合分析，为各级领导提供决策支持，更好地组织生产和经营。1.中小企业网络的建设目标1.1 建设目标企业建设一个以办公自动化、计算机辅助生产、控制及管理为核心，

5、以现代网络技术为依托，技术先进、扩展性强、能覆盖企业各楼宇的企业主干网络，将企业的各种PC机、工作站、终端设备和局域网连接起来，并与有关广域网相连，在网上宣传自己和获取Internet网上的信息资源。形成结构合理、内外沟通的企业计算机网络系统，在此基础上建立能满足生产、研发和管理工作需要的软硬件环境，开发各类信息库和应用系统，为企业各类需求提供充分的网络信息服务。即总体目标是利用先进的计算机技术和网络通信技术，建设高质量、高效率的统一的通信网络。其具体目标如下：1）. 通过建设一个高速、安全、可靠、可扩充的网络系统，使各系统互联互通，实现企业信息的高度共享、传递及管理信息化，各领导能及时、全面

6、、准确地掌握企业的研发、生产、管理、财务、人事等各方面情况；2）. 建立出口信道，实现企业与Internet互联，同时部署企业各种应用服务器（邮件、文件、网站及各系统服务器等），实现企业信息的发布，提供各领导和企业员工的移动拨号接入，进行移动办公和资料查询；3）. 企业的各通交流，用电子信息的传递取代纸面文件、资料的传送，实现无纸办公，改变传统的工作方式，进一步提高工作效率；4）. 利用各种业务信息的综合分析，为各级领导提供决策支持，更好地组织生产和经营。设计原则企业园区网可能包含大量的信息点，并会涉及大量的业务应用，这就要求企业网必须是一个实用的、高可靠、高效率、高扩展性及高安全性系统。为使

7、企业园网络系统具有良好的扩展性和灵活的接入能力，并易于管理，易于维护，在网络设计及构建中始终应遵循统一标准、统一平台及网络分层的原则，主要包括如下原则：1）. 在网络规划方面，统一采用IP技术，统一规划IP地址及各种应用，采用开放的技术及国际标准，如路由协议、安全标准、接入标准和网络管理平台等，才能保证实现网络的统一，并确保网络的可扩展性，同时为了减少网络中各部分的相关性，便于网络的实施及管理，在网络的构建中，从整体上可以将网络划分为核心层、汇聚层和接入层等3个层次；2）. 在软硬件选择方面，所有选择的软、硬件产品都必须遵循标准化原则，采用统一的软、硬件平台和基本应用软件，以便进行统一的软件版

8、本的升级及管理；3）. 在安全方面，所建设企业网应具有良好的安全性与保密性，根据企业的业务应用需求，部署合理的网络访问策略，同时实现企业内部敏感信息的保护，在受到攻击时具有可追溯性；4）. 在投资保护方面，要做到资源共享与保护，充分合理地利用现有的资源，最大限度地与原有系统或在建系统互联互通，在尽可能利用已有投资的基础上，解决好经费的补充和配套资金到位问题。2.企业网络的总体设计 网络拓朴设计本次该企业网络设计方案主要由以下部分构成：交换模块、广域网接入模块、服务器群。整个网络系统的拓朴结构图如图2-1网络拓朴设计所示，如下：图2-1 网络拓朴设计该设计符合中小型局域网模型架构。它的园区主干和

9、建筑物分布子模块没有十分明确的三层设计区分，在功能配置基本上是紧缩到一层中去，因为缺乏明显分开的园区主干和建筑物分布子模块，并且园区主干子模块中的密度是有限的，所以在每个建筑物分布子模块中采用多台二层交换机进行堆叠即可，在此方案中，出于可扩展性、一次性投资成本、网络的传输性能及长远规划等方面因素考虑，前期先采用堆叠模式即可满足所有用户的接入问题，当用户增加到一定的数量之后，出于交换机堆叠数量的限制，可以选择增加多一台建筑物分布子模块来做汇聚的交换设备，这样一样可以做到后续有很强的扩展性，通过这种设计，可以使用该企业达到满足现有需求的同时很好的降低了成本且不失后期的扩展性（如上拓朴图示）。以这个

10、设计方案而言，因为能提供交换机和链路冗余，所在园区主干子模块不包含任何的单点故障。它采用了星形拓朴结构，它相对其他拓朴结构来说，星形拓朴将用户接入网络时具有更大的灵活性。当系统不断发展或系统发生重大变化时，这种优点将变得更加突出。在接入层，华为S2700系列交换机通过生成树提供第二层冗余。华为S2700系列交换机仅有缺点就是最高只能32Gbit/s交换阵列，并且最多只能支持48个快速以太网端口，但是这对于资金有限的中小型企业网来说已经满足需求了。在核心层采用三层交换机华为5700系列部署，可以增加网络扩展性，提高性能及可用性，增强网络安全性。在该设计中，利用快速以太网通道化/千兆以太网通道化技

11、术扩展网络带宽，可以满足内部网络的大负荷网络运行需求。 IP编址方案及VLAN划分IP地址规划根据所分配的公网IP地址和内部私有网IP地址分配，地址可分为二大块，一块是分配多个C类公网IP地址，作为和国际互联网互连的地址，一部分企业相关的域名就解析在这片地址上，同时提供给企业用户上网时的NAT转换用，如果条件允许，可以申请多个运营商的线路，关键服务器及应用可以拥有两条线路的公网IP，分别跨接在不同的运营商上进行相互备份。当前交换技术的迅速发展，也加快了虚拟子网技术（VLANVirtual Local Area Network）的应用速度，特别是在当前企业网上的应用更广泛。通过将企业网络划分为虚

12、拟子网（VLAN），可以强化网络管理和网络安全，控制不必要的数据广播。数据广播在网络中起着非常重要的作用，随着企业网内的计算机数量的增加，广播包的数量也会急剧增加，当广播包的数量占到总量的30%时，网络的传输效率将会明显下降。特别是当某网络设备出现故障后，会不停地向网络发送广播，从而导致网络风暴，使网络通信陷于瘫痪。当企业网络内计算机数超过200台后，就必须采取措施将网络分隔开来，将一个大的广播域划分成若干个小的广播域。该方案IP编址及VLAN划分如下：表5-1 VLAN划分表VLAN号VLAN名称IP网段默认网关说明VLAN 1-19216800/241921680254管理VLANVLAN

13、 10CWB19216810/241921681254财务部VLANVLAN 20SCB19216820/241921682254市场部VLANVLAN 30CHB19216830/241921683254策划部VLANVLAN 50KFZX19216850/241921685254客服中心VLANVLAN 60CGB19216860/241921686254采购部VLANVLAN 70RFB19216870/241921687254研发部VLANVLAN 100SERVER1921681000/24192168100254服务器组VLAN 核心层设计及设备选型企业网是各种应用的统一通信平台，

14、平均无故障时间以及故障恢复时间要保持在一个可容忍的许可范围之内。在这种前提下，园区主干设备应有一定的冗余度，这种冗余包括有设备及物理线路等方面，数据链路层、网络层以及应用层的容错能力。园区主干网以企业网络中心的主机房为中心节点向外辐射，通过各部门所在的建筑楼节点构成园区主干网。企业园物理结构分为三层：核心层、汇聚层、接入层。园区主干网中心节点配置核心路由交换机，该交换机上配置第三层交换模块和网络监控模块，以实现网络动态管理和虚拟局域网。企业网的各建筑物分布子模块，可采用三层交换机与企业网园区中心的核心路由交换机连接，以实现主干通道信息传输的负载均衡。办公司楼、研发楼、生产间、职工公寓等楼宇采用

15、高性能汇聚层交换机，以保证建筑楼信息点对交换机端口密度的要求和网络性能与可靠性的要求。园区主干网核心层交换机和汇聚层交换机采用1000Mbps连接，服务器采用100Mbps连接。 园区主干交换机园区主干交换机是指连接服务器及楼与楼之间、层与层之间的数据交换设备。根据企业网工程的不同阶段中网络信息点增加及其间伴随着的使用需求增长，对主干交换机基本设备的选型及其阶段性的扩展需求进行总体的合理规划。因此本次方案设计采用华为S5700交换机，它的最高性能可以达到102Mpps和136Gbit/s，在远程办公室环境中，这类交换机即可以作为单台交换机发挥作用，也可以作为包含少量交换机的中小型网络的园区主干

16、交换机。在性能方面，具有很强的扩展性及多业务特性，可以满足未来企业丰富的业务需求及提供投资保护。 出口路由器在此方案中，考虑该企业Internet出口路由器的配置，采用一台华为AR3260路由器，因为华为AR3260系列是模块化设备，提供了更多的槽和更高的处理能力，它的用途是支持大型分支机构中的复杂应用，或作为中心路由器为多个远程站点提供连接，它的网络模块最高可支持OC-3的速度，且对大多数企业具有丰富的可提高扩展能力。 服务器群组服务器是网络服务器用量最大的地方。服务器的选择标准很大程度上取决于中心客户的类型和应用种类。就大部分中小型企业应用而言，Web、ERP应用和数据库应用仍然占整个数据

17、中心的各类应用的主要部分。因此对服务器的网络响应能力在很大程度上体现了服务器的硬件体系结构设计的合理性、CPU或CPU组（SMP）对操作系统的进程或线程的分配能力以及磁盘I/O的性能。以及可行性与稳定性，同时散热、功耗和易安装性也是重点考察和评价的对象。基于以上考虑，所选的服务器必须具有高可靠性，I/O吞吐能力强，数据处理快，可扩展性和可管理性良好的特点。 接入层设计及设备选型接入层选用华为S2700可堆叠交换机作为用户的接入，这些交换机通常作为建筑物接入交换机而部署，能够提供固定的端口密度，并且具有与高端交换机相类似的特性，但其成本更低，但它们却支持非常多的高级交换特性，其中包括集成安全、N

18、AC、高级Qos和弹性等；同时这些交换机具有固定的端口配置，具有24个或48个10/100BASE-T或10/100/1000BASE-T端口，以及双目标特以太网上行链路。使用华为S2700作为本方案设计的接入交换机，它支持全线速的二层交换，同时具备如下特性：完备的安全智能控制策略：支持认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持多种ACL访问控制策略：能够对用户访问网络资源的权限进行设置，保证网络的受控访问。高可靠性：支持STP/RSTP生成树协议。丰富的QOS策略：支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口，

19、支持带宽控制功能。 安全体系设计及设备选型企业网信息系统是企业网的数字神经中枢，合理的使用不仅能提高企业现代化信息化改革、提高工作效率、改善工作模式及流程，同时通过各企业之间的信息共享及沟通的方便及顺畅，将会极大的提高整体行业的工作效率及工作业绩。企业网总体上分为企业内网和企业外网。企业内网主要包括研发楼局域网、生产车间局域网、办公自动化局域网等。企业外网主要指企业提供对外服务的服务器群、与电信的接入以及远程移动办公用户的接入等，认真分析可以总结出企业网面临着如下的安全威胁：（1） 各种操作系统以及应用系统自身的漏洞带来的安全威胁；（2） Internet网络用户对企业网存在非法访问或恶意入侵

20、的威胁；（3） 来自企业网内外的各种病毒的威胁，外部用户可能通过邮件以及文件传输等将病毒带入企业内网，内部职工可能由于使用盗版介质将病毒带入企业内；（4） 内部用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入企业内网；（5） 内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击，导致网络及服务不可用；（6） 企业网内的职工即时通信工具（比如：QQ），目前针对该类工具的黑客程序随处可见；（7） 可能会因为企业网内管理人员以及全体职工的安全意识不强、管理制度不健全，带来企业网的威胁。基于上面的问题，我们将从物理

21、、系统、网络、应用及管理五个层次分析和设计适合于企业网的安全建议方案。 设计方案优势 高带宽、高性能相比于传统组网设计方案，该企业网络设计方案是基于标准的二、三层以太网交换技术，技术成熟度非常高。企业网络中心放置路由交换机上行通过GE接至互联网，GE可以是单模或者多模，到时可以按使用的情况进行扩展，使出口不会成为企业网瓶颈。在企业网络中心通过下行使千兆链路连接接入层交换机，百兆交换到桌面，100M的带宽可充分满足用户高速上网、内容下载及多媒体等多种宽带业务。核心交换机拥有1000M出口联接企业网，各层设备全部支持线速交换，给用户提供了真正的高带宽网络，对未来高带宽的宽带业务提供了强大的支撑能力

22、。 网络管理企业网在为员工提供便捷、高效的学习、工作环境的同时，也在宽带管理、权限控制等方面存在许多问题： 对带宽资源的大量占用导致重要应用无法进行对于企业来说，它的带宽资源都是有限的。由于没有带宽限制和优先级设置，一些重要用户和重要应用得不到必要的带宽保证而影响了工作。 访问权限难以控制随着使用互联网资源、各部门之间不同员工间的保密资源可以随意获取，将导致企业秘密资料或是自主知识产权被竞争对手抄袭，引起经济损失。 异常网络事件的审计和追查当异常网络事件发生后，如何尽快的追根溯源，找出幕后“黑手”，避免事件的再次发生，成了网络维护人员不得不面对的棘手问题。 带宽的限定和业务优先级的设定系统能对

23、每个客户上下行的带宽上限加以限定，防止个别客户占用过多网络资源。还能对不同的用户数据设定业务优先级以保证重要数据能得到更好的服务。 快捷实现全网管理全网拓扑发现功能可以对全网设备、网络节点以及事件、性能、日志进行实时监控，统一管理。 强大的事件追查功能系统中丰富的日志信息和便捷的追查工具能使网络管理员在面对异常事件时，能及时作出反应，迅速找出幕后“黑手”。 完善的安全机制该企业各楼宇交换机通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击， 控制非法用户使用网络，保证合法用户合理化使用网络，如端口安全、端口隔离、专家级ACL、时间ACL、端口ARP 报文合法性检查、基于数据流的带宽限

24、速等等， 满足企业网加强对访问者进行控制、限制非授权用户通信的需求；在汇聚、核心交换设备设置由硬件实现ACL，对病毒进行过滤。 硬件实现端口与MAC 地址和用户IP地址的绑定，严格限定端口上用户接入； 通过将端口设为保护端口即可简单方便地隔离用户之间信息互通，不必占用VLAN资源； 通过Private VLAN可以在交换机的同一VLAN 中提供端口之间的通讯或安全隔离，确保数据流进入有效端口，而不会被发送到其它端口，即解决了因传统造成全网VID资源不够的问题，同时又无需利用安全规则资源即能达到隔离不同用户以及不同组用户之间通讯的功能，充分保护用户隐私； 提供极为有效的 Port Blockin

25、g 功能，避免端口受到其它端口发送的广播包、多播包等报文的干扰，有效减轻端口负载负担，提高端口带宽，保护用户PC更高效安全地运行； 基于源IP地址控制的Telnet和Web设备访问控制，增强了设备网管的安全性，避免黑客恶意攻击和控制设备； 提供加密传输的Secure Shell（SSH），保证管理设备信息的安全性，防止黑客攻击和控制设备； 病毒、蠕虫等多元化发展 控制网络病毒。 统一对接入层交换机做动态下发安全策略，轻松有效的控制网络病毒，使网络保持畅通。 易维护华为网络交换机都经过独特设计具备防尘、防潮、防静电等多种适于在楼道安装和使用的特点。 而且具有强大的运行维护能力，能有效降低运营商的

26、运维成本。支持RS-232 本地管理口及Telnet、WEB、SNMP 代理，远程监控（RMON 13，9 组）可根据运营商的不同要求，使用不同的管理方案，支持SNMP协议的全网集中网管。提供了故障告警和日志功能，可通过机箱面板上指示灯直观地了解设备的运行状态。 高可靠性华为网络产品均使用国际上主流的先进ASIC芯片进行设计，并率先采用ISO9002生产标准进行生产，确保了设备的稳定性。 低成本、可扩展性强以太网交换技术历经长期发展，得到众多厂商的支持，以技术实现简单而获得极大的性 能价格比。华为网络公司的以太网交换机全部基于标准的以太网交换技术，使用专用芯片技术，具有极高的性价比，保证了整个

27、网络核心部分的稳定、可靠和高性能。华为中心交换机采用模块式设计，用户只需简单地添加端口模块即可实现网络的扩容，完整保护用户投资。华为交换机支持弹性堆叠功能，可根据需要扩展堆叠从机；这样，当网络需扩容时，只需简单添加堆叠从机，不必再添加设备管理 IP；同时，网络速度不会受到影响。3企业网络的整体方案部署以下是该企业应用以上方案设计之后，方案中所有的网络、服务器等设备的具体参数配置。 交换模块设计为了简化交换网络设计、提高交换网络的可扩展，在园区网内部数据交换的部署是分层进行的。园区网数据交换设备可以划分为三个层次：接入层、分布层、核心层。在本设计方案中，需要进行三层配置。以下所有配置均属于真实在

28、运营参数，并且使用SecureCRT 作为终端进行网络设备的配置验证。 接入层交换机服务的实现配置接入层交换机接入层为所有的终端用户提供一个接入点。这里的接入层交换机采用的是S2700-52P-EI交换机。交换机拥有48个10/100Mbps自适应快速以太网端口。我们以方案拓朴图示中的接入层交换机LSW5为例进行介绍。如下图3-1接入层所示：图3-1 接入层配置接入层交换机LSW5的基本参数1） 设置交换机名称设置交换机名称，也就是出现在交换机CLI提示符中的名字。一般我们会以地理位置或行政划分来为交换机命名。当我们需要Telnet登录到若干台交换机以维护一个大型网络时，通过交换机名称提示自己当前配置交换机的位置是很有必要的。使用Secure CRT登录LSW5进入界面后，输入以下命令为接入层交换机命名system-view 宇，袁国忠 译.CCNP学习指南：组建可扩展的CISCO互连网络（BSCI）（第三版）M.人民邮电出版社.2007年10月；2远望图书部，局域网搭建完全DIY手册M，人民交通出版社，2008年；3扈新波，局域网组建与管理技术详解M，电子工业出版社，2008年08月；4文洋，网管员使用大全-局域网组建、管理、升级与维护M，电子工业出版社，2008年06月；5倪伟，局域网组建、管理及维护基础与实例教程M，电子工业出版社，2007年09月。