毕业论文企业大型网络规划与设计.docx
《毕业论文企业大型网络规划与设计.docx》由会员分享,可在线阅读,更多相关《毕业论文企业大型网络规划与设计.docx(59页珍藏版)》请在冰点文库上搜索。
毕业论文
论文题目:
****企业大型网络规划与设计
****企业大型网络规划与设计
摘要:
网络技术发展到现在已经相当成熟,人们因为互联网而改变了他们的生活,企业通过局域网的建设充分发挥了信息系统在生产中的作用。
本论文叙述了通过对关键技术的应用,结合相关网络知识对一家大型****企业的网络进行了整体规划设计。
结合实际需求,通过对网络架构组建方案的设计、基于安全的网络配置方案设计、服务器架设方案设计、企业网络高级服务设计等方面的研究,详尽的探讨了对该网络进行规划设计时遇到的关键性问题,以及网络相关的服务,给出了网络规划设计解决方案。
关键词:
****企业,网络,信息安全,无线局域网
Cigaretteenterprisenetworkplanninganddesign
Abstract:
Thenetworktechnologyhasbeenquitematureuptillnow.People'sliveshavebeenchangedbecauseoftheInternet,Enterprisesmakefulluseofthesystemofinformationintheproductionthroughtheconstructionoflocalareanetwork(LAN)
Thispaperisaboutmakinganoverallplanninganddesigninanetworkofalargetobacoomanufacturingenterprisebyapplyingsomekeytechnologiesandrelatednetworkknowledge.Combinedwiththeactualdemand,throughstudyingthedesignofthenetworkinfrastructure,thedesignofsecurity-basednetworkconfigurationsolution,thedesignoftheinfrastructureofseverfarm,thedesignofadvanceservices,thispaperdiscussesindetailsomekeyproblemswemetindesigingthenetwork,theservicerelatedtothenetworkdesign.andgivesasolutiontonetworkplanninganddesign
Keywords:
tobaccocompanies,network,informationtechnologysecurity,wirelesslocalareanetwork
1绪论
1.1项目背景
在****行业大力推进联合重组、做大做强的形势下,为进一步提高制造工艺技术水平、增强企业的品牌竞争能力、提升企业的经济效益,********启动“******”********项目。
项目将充分响应国家**********“努力将项目建成国内一流水平”的指示,发扬“敢想敢拼、善谋善为”的企业精神,打造“国内一流、国际先进”的****制造基地,使公司成为中国****工业少数几个强势企业之一奠定基础。
“******”************项目,将企业搬迁至新厂区。
整个项目占地约****亩,规模年产*******,项目一期建筑面积******万平方米,总投资约**亿元。
为了在异地****中更好地发挥信息化系统的作用,企业要求对网络进行整体的规划、设计。
2网络技术原理
2.1路由技术
路由协议工作在OSI参考模型的第3层,因此它的作用主要是在通信子网间路由数据包。
路由器具有在网络中传递数据时选择最佳路径的能力。
除了可以完成主要的路由任务,利用访问控制列表,路由器还可以用来完成以路由器为中心的流量控制和过滤功能。
在本工程案例设计中,内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。
路由器是外网进入企业网内网的第一道关卡,是网络防御的前沿阵地。
路由器上的访问控制列表(AccessControlList,ACL)是保护内网安全的有效手段。
一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。
由于路由器介于企业内网和外网之间,是外网与内网进行通信时的第一道屏障,所以即使在网络系统安装了防火墙产品后,仍然有必要对路由器的访问控制列表进行缜密的设计,来对企业内网包括防火墙本身实施保护[1]。
2.2交换技术
传统意义上的数据交换发生在OSI模型的第2层。
现代交换技术还实现了第3层交换和多层交换。
高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了企业网数据交换服务质量,满足了不同类型网络应用程序的需要。
现代交换网络还引入了虚拟局域网(VirtualLAN,VLAN)的概念。
VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的影响。
在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现。
当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(VlanTrunkingProtocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN。
然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。
这样,大大减轻了网络管理人员的工作负担和工作强度。
为了简化交换网络设计、提高交换网络的可扩展性,在企业网内部数据交换的部署是分层进行的。
企业网数据交换设备可以划分为三个层次:
接入层、分布层、核心层。
接入层为所有的终端用户提供一个接入点;分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能;核心层将各分布层交换机互连起来进行穿越企业网骨干的高速数据交换。
在本工程案例设计中,也将采用这三层进行分开设计、配置[2]。
2.3远程访问技术
远程访问也是企业网络必须提供的服务之一。
它可以为家庭办公用户和出差在外的员工提供移动接入服务。
远程访问有三种可选的服务类型:
专线连接、电路交换和包交换。
不同的广域网连接类型提供的服务质量不同,花费也不相同。
企业用户可以根据所需带宽、本地服务可用性、花费等因素综合考虑,选择一种适合企业自身需要的广域网接入方案。
在本工程案例设计中,分别采用专线连接的VPN和PBR两种方式实现远程访问需求[3]。
2.4VLAN
VLAN(VirtualLocalAreaNetwork)的中文名为"虚拟局域网"。
VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。
这一技术主要应用于交换机和路由器中,但主流应用还是在三层交换机之中。
通过将局域网内的设备逻辑地而不是物理地划分成一个个不同的广播域(或称虚拟LAN,即VLAN),两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。
不同的VLAN之间的通讯是需要有路由来完成的[4]。
2.5DHCP
DHCP是DynamicHostConfigurationProtocol(动态主机分配协议)缩写。
它分为两个部份:
一个是服务器端,而另一个是客户端。
所有的IP网络设定数据都由DHCP服务器集中管理,并负责处理客户端的DHCP要求;而客户端则会使用从服务器分配下来的IP环境数据。
比较起BOOTP,DHCP透过"租约"的概念,有效且动态的分配客户端的TCP/IP设定,而且,作为兼容考虑,DHCP的分配形式首先,必须至少有一台DHCP工作在网络上面,它会监听网络的DHCP请求,并与客户端磋商TCP/IP的设定环境。
DHCP是BOOTP的扩展,是基于C/S模式的,它提供了一种动态指定IP地址和配置参数的机制。
这主要用于大型网络环境和配置比较困难的地方。
DHCP服务器自动为客户机指定IP地址,指定的配置参数有些和IP协议并不相关,但这必没有关系,它的配置参数使得网络上的计算机通信变得方便而容易实现了。
DHCP使IP地址的可以租用,对于许多拥有许多台计算机的大型网络来说,每台计算机拥有一个IP地址有时候可能是不必要的。
租期从1分钟到100年不定,当租期到了的时候,服务器可以把这个IP地址分配给别的机器使用。
客户也可以请求使用自己喜欢的网络地址及相应的配置参数[5]。
2.6VPN
VPN的英文全称是“VirtualPrivateNetwork”,翻译过来就是“虚拟专用网络”。
顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。
它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。
这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。
VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网[3]。
2.7PVST
PVST:
Per-VLANSpanningTree(每VLAN生成树)
PVST是解决在虚拟局域网上处理生成树的CISCO特有解决方案.PVST为每个虚拟局域网运行单独的生成树实例.一般情况下PVST要求在交换机之间的中继链路上运行CISCO的ISL。
每VLAN生成树(PVST)为每个在网络中配置的VLAN维护一个生成树实例。
它使用ISL中继和允许一个VLAN中继当被其它VLANs的阻塞时将一些VLANs转发。
尽管PVST对待每个VLAN作为一个单独的网络,它有能力(在第2层)通过一些在主干和其它在另一个主干中的不引起生成树循环的Vlans中的一些VLANs来负载平衡通信[6]。
2.8HSRP
HSRP:
热备份路由器协议(HSRP:
HotStandbyRouterProtocol)
热备份路由器协议(HSRP)的设计目标是支持特定情况下IP流量失败转移不会引起混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。
换句话说,当源主机不能动态知道第一跳路由器的IP地址时,HSRP协议能够保护第一跳路由器不出故障。
该协议中含有多种路由器,对应一个虚拟路由器。
HSRP协议只支持一个路由器代表虚拟路由器实现数据包转发过程。
终端主机将它们各自的数据包转发到该虚拟路由器上。
负责转发数据包的路由器称之为主动路由器(ActiveRouter)。
一旦主动路由器出现故障,HSRP将激活备份路由器(StandbyRouters)取代主动路由器。
HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制,并指定一个虚拟的IP地址作为网络系统的缺省网关地址。
如果主动路由器出现故障,备份路由器(StandbyRouters)承接主动路由器的所有任务,并且不会导致主机连通中断现象。
HSRP运行在UDP上,采用端口号1985。
路由器转发协议数据包的源地址使用的是实际IP地址,而并非虚拟地址,正是基于这一点,HSRP路由器间能相互识别[7]。
2.9AAA认证
AAA-----身份验证(Authentication)、授权(Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。
AAA,认证(Authentication):
验证用户的身份与可使用的网络服务;授权(Authorization):
依据认证结果开放网络服务给用户;计帐(Accounting):
记录用户对各种网络服务的用量,并提供给计费系统。
整个系统在网络管理与安全问题中十分有效。
首先,认证部分提供了对用户的认证。
整个认证通常是采用用户输入用户名与密码来进行权限审核。
认证的原理是每个用户都有一个唯一的权限获得标准。
由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。
如果符合,那么对用户认证通过。
如果不符合,则拒绝提供网络连接。
接下来,用户还要通过授权来获得操作相应任务的权限。
比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。
简单而言,授权过程是一系列强迫策略的组合,包括:
确定活动的种类或质量、资源或者用户被允许的服务有哪些。
授权过程发生在认证上下文中。
一旦用户通过了认证,他们也就被授予了相应的权限。
最后一步是帐户,这一过程将会计算用户在连接过程中消耗的资源数目。
这些资源包括连接时间或者用户在连接过程中的收发流量等等。
可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。
验证授权和帐户由AAA服务器来提供。
AAA服务器是一个能够提供这三项服务的程序。
当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务(RADIUS)”[7]。
2.10ACL
内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。
简而言之,ACL可以过滤网络中的流量,控制访问的一种网络技术手段。
ACL可以限制网络流量、提高网络性能。
例如,ACL可以根据数据包的协议,指定数据包的优先级。
ACL提供对通信流量的控制手段。
例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段。
ACL允许主机A访问人力资源网络,而拒绝主机B访问。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。
例如:
某部门要求只能使用WWW这个功能,就可以通过ACL实现;又例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。
3网络技术方案
3.1总体架构
************项目整个基础网络分为两大块,办公大楼网络和生产厂区网络。
办公大楼网络设立一个主中心和三个分中心,分别为主中心机房、服务器机房、办公大楼汇聚和技术中心汇聚。
生产厂区设立三个分中心,分别为卷包中控室、制丝中控室和能源管理中心。
各分中心、互联网区域、外联区域、网络安全区域与主中心核心交换机相连进行业务通讯。
网络拓扑架构如下:
针对新厂区网络情况分析,我们可以看到业务系统对于网络的需求主要由7个部分组成:
核心网络区域设计:
核心网络区域的设计主要包括核心交换机、互联网区域、外联区域和网络安全区域设计。
服务器区域设计:
服务器区域的设计主要包括服务器机房内网络基础设备的设计。
办公大楼设计:
办公大楼设计主要为办公大楼、技术中心和实验室基础网络的设计。
生产厂区设计:
生产厂区设计主要为卷包中控、制丝中控和能源管理中心基础网络设计。
无线网络设计:
无线网络设计主要为办公大楼、技术中心、卷包中控、制丝中控和能源管理中心无线网络的设计。
整体路由设计:
厂区整体基础网络设备路由设计及与互联网区域、外联区域、物流网、高架库、制丝集控等各边缘区域路由设计。
3.2核心网络区域设计
核心网络区域包括整体网络核心交换机、互联网接入区域、外联区域和安全区域,所有设备均部署在办公大楼五楼信息中心机房内。
核心网络区域拓扑结构如下图:
3.2.1核心交换机设计
核心交换机是整个网络的核心,支撑整个体系架构的运作,同时,它和办公网,生产网,Internet接入网,无线网络,数据中心连接,负责各网数据交换。
此处的数据转发性能直接关系到全网的业务运行。
作为厂区网络核心节点,其可靠性也需格外关注。
我司选用两台思科高性能CiscoNexus7000系列核心交换机互为冗余,以提供尽可能最好的系统级冗余性。
为了确保核心网络高带宽和高稳定性的要求,核心交换机与各汇聚交换机互连采用万兆光纤互连,与其它设备互连采用千兆光纤互连。
从维护和运行的角度说,冗余拓扑结构可实现绝好的收敛性和可用性。
两台CiscoNexus7000都配置双电源,单引擎,48口10/100/1000M电口,48口千兆光口以及32口万兆板卡,万兆板卡用于两台Nexus7000互联和连接各个子网。
3.2.2外联区域设计
外联区域为分厂与公司总部以及老厂房的互连区域,与公司总部采用两条裸光纤进行互连,与老厂房采用一条裸光纤进行互连,待老厂房设备搬迁完成后,互连设备和线路即可拆除。
与公司总部互连路由器我司选用两台Cisco3945集成多业务路由器。
与老厂房互连路由器我司选用一台Cisco3945集成多业务路由器。
三台CISCO3945路由器默认4个千兆接口其中两个为COMBO接口。
另外各配了一块千兆70公里远距离单模模块用于与****公司总部双链路进行互连,和与中山南路77号原厂单链路进行互连。
3.2.3互联网区域设计
互联网区域这里有两个运营商出口,其中一个运营商出口用于新厂区服务器提供MAIL、WEB等互联网业务和员工互联网业务访问。
另一个运营商出口用于互联网VPN接入。
考虑到安全性,在电信互联网出口部署一台高性能juniperNS-ISG-2000防火墙,提供NAT地址转换和DMZ区服务器地址映射,另外为了使得电信出口支持SSLVPN功能,我司配置了一台juniperSA700SSLVPN设备。
在运营商二互联网出口部署一台思科ASA5520VPN防火墙提供SSLVPN功能,并配置50个SSLVPN许可证,提供SSLVPN接入。
使互联网用户通过SSLVPN访问新厂区内部网络,进行业务访问和远程技术维护工作。
在互联网防火墙的DMZ区部署一台思科48口千兆交换机,用于DMZ区服务器接入,提供互联网业务。
3.2.4安全区域设计
随着网络技术的发展,网络系统潜在面临着各种类型的威胁,包括内部和外部威胁,已知和未知威胁。
一般来说,内部威胁比外部威胁的损失更高、破坏性更大,同时,外部威胁发生的频率却更高。
这些威胁,都对网络自身的稳定运行带来了极大的安全隐患,问题一旦发作,会导致网络设备资源耗尽,网络带宽被塞满,网络系统无法正常工作,使得企业业务不能有效进行,应用系统被侵入或篡改,造成的损失非常巨大,后果极为严重。
本次项目内部基础网络安全主要包括以下几个系统:
防火墙系统、入侵检测系统、漏洞扫描系统、安全审计系统和身份认证系统。
3.2.5入侵检测系统设计
在本次项目中,外联边界入侵检测系统部署在外联边界防火墙之后,对通过防火墙过滤的信息进行4-7层的检测。
入侵检测系统探测器采用并联的方式部署,但入侵检测与防护系统在线部署是当前的趋势,在线的部署能够实时的检测并抵御攻击,相比单纯的检测,安全级别更高。
但在线的部署也对入侵检测与防护设备的性能,检测能力提出了更高的要求。
考虑到上述因素,在满足标书技术要求的基础上,我司选用用思科的IPS4260系列入侵检测系统。
思科IPS4200系列传感器和CiscoIPS传感器软件是思科入侵防御解决方案的核心组件。
凭借思科IPS传感器软件的内置防御技术,思科IPS4200系列传感器能准确地检测、分类和终止恶意流量的传输。
3.2.6漏洞扫描系统设计
由于网络具有开放性,使主机、网络设备直接面对大量的攻击的可能。
攻击可能来自于网络的各个方面。
而日益增加的网络攻击手段,也不断地降低网络的安全性。
操作系统的日益复杂,协议本身的安全漏洞,都是对网络的大量威胁。
我司选用启明星辰硬件漏洞扫描系统,定期对络进行漏洞扫描和安全评估,网络安全评估系统是对Internet和Intranet中所有部件如WEB站点、防火墙、路由器、TCP/IP及相关协议服务进行实践性扫描、分析和评估,发现并报告系统中存在的弱点和漏洞,评估安全风险,建议补救措施。
3.2.7安全审计系统设计
当用户的计算机网络扩展到包含了许多主机和应用系统时,管理与安全相关的事件变成越来越复杂的任务。
而操作系统本身虽然提供审计工具,但起不到多大作用。
它们缺少直观的界面、提供的功能有限,给出含义模糊甚至无用的事件消息。
本地操作系统的审计工具提供有限的功能,给出含义模糊的或者甚至无用的事件消息。
其中主要存在的问题:
审计记录会增大并被覆写。
审计数据在本地写入和丢弃。
发生在不同主机上的事件不能关联起来。
在本地审计记录中产生了如此大量的数据以至于无法发现重要的事件。
不能跨平台分析审计记录。
审计人员这为每一环境使用不同的审计工具。
因此需要的是一个能清楚地将相关数据与安全性以及系统管理员联系起来,并产生快速评价与响应的解决方案。
此外,随着电脑黑客的攻击和客户的电子商务环境日趋复杂,快速发现访问模式和访问行为中的可疑情况已经成为客户的一个基本需求。
安全审计系统使电子商务安全信息触手可及。
这一综合安全审计解决方案可以有效地收集和分析来自异构服务器和其它来源的事件数据,使系统管理员能够轻松识别电子商务环境中潜在的恶意系统活动。
该系统收集用户范围内的安全和系统审计信息,同时不会像其它审计产品那样会降低系统性能或造成网络流量阻塞。
同时它克服了UNIX/WindowsNT管理障碍,是一个真正的跨平台安全事件管理解决方案。
该系统能提供的基本审计和分析功能,可以帮助客户明显地降低受到来自外界和内部的恶意侵袭的风险。
而且电子签名法的出台,使得强审计的日志可以作为给犯罪份子定罪的法律依据!
本次项目我司选用启明星辰CA500安全审计系统。
3.2.8身份认证系统设计
网络信息安全是指通过保护网络程序、数据或者设备,使其免受非授权使用或访问,来达到保护信息和资源、保护客户和用户、保证私有性等目的。
为了确保在各种攻击下,网络程序和数据在服务器、物理信道和主机上的安全性,网络安全必须有效地实现以下各种功能:
身份认证(Authentication)鉴定信息的真实性,核实源实体与接受实体是否与宣称的一致。
授权(Authorization)用一些特殊的参数表明访问(或存取)的权限。
保密性(Confidentiality)使信息只被授权用户享用,确保通信机密。
完整性(Integrity)确保数据的完整和准确。
不可否认(Nonrepudiation)验明身份后,不能够拒绝传送和接受。
在
升级会员 