计算机网络专业网络设计与规划.docx

计算机网络专业网络设计与规划.docx

《计算机网络专业网络设计与规划.docx》由会员分享，可在线阅读，更多相关《计算机网络专业网络设计与规划.docx（41页珍藏版）》请在冰点文库上搜索。

计算机网络专业网络设计与规划

编号

****学院

毕业论文

题目

**科技网络设计与规划

学生姓名

学号

院系

计算机与通信工程学院

专业

计算机网络技术

班级

指导教师

***讲师

顾问教师

二〇一五年十月

摘要

信息化爆炸式发展的今天，以计算机网络迅猛发展而形成的网络化是推动信息化、数字化和全球化的综合信息系统，基于计算机网络的各种网络应用系统通过在网络中对数字信息的综合采集、存储、传输、处理和利用而在全球范围把人类社会更紧密地联系起来，并以不可抗拒之势影响和冲击着人类社会政治、经济、和日常工作、生活的各个方面。

企业局域网建设的应用也越来越多，因此企业局域网也越来越被重视，成为企业核心竞争力的关键因素。

利用网络技术，现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通，这直接关系到企业能否获得关键的竞争优势。

近年来越来越多的企业都在加快构建自身的信息网络，而其中绝大多数都是中小企业，加上很多移动终端的使用，使得网络多元化，更智能。

本次论文，主要深入研究分析了企业局域网的构建及其相关安全管理技术措施，探索了局域网在企业网络中基本应用，运用多种网络常用技术使网络更加安全、可靠、实用。

结合志诚科技有限公司企业网构建的实际需求，构建了一个实用、安全的企业局域网的解决方案。

本方案针对中小企业的局域网建设，为企业信息平台的建设提供一个行之有效的方案。

关键词：

企业网端口聚合访问控制VLAN网络安全

Abstract

Theexplosivegrowthofinformationtechnologytoday,thenetworkandtherapiddevelopmentofcomputernetworkistopromotetheformationofinformationtechnology,digitizationandglobalizationofintegratedinformationsystem,avarietyofnetwork-basedapplicationsthroughthecomputernetworkofintegrateddigitalinformationnetworkcollection,storage,transmission,processingandutilizationofthehumansocietyonaglobalscalemorecloselytogether,andwithirresistibletrendinfluenceandimpactonallaspectsofhumansocial,political,economic,anddailyworklife.ApplicationofenterpriseLAN-buildingmoreandmore,socompaniesareincreasinglybeingtakenseriouslyLANsbecomethecorecompetitivenessofkeyfactors.Useofnetworktechnology,modernenterprisescanoptimizecommunicationofinformationamongsuppliers,customers,partners,employees,whichisdirectlyrelatedtotheabilityofthebusinesstoobtainakeycompetitiveadvantage.Inrecentyears,moreandmoreenterprisesareacceleratingbuildtheirowninformationnetwork,whilethevastmajorityareSMEs,withalotofuseofthemobileterminal,makingthenetworkdiversification,moreintelligent.

ThispapermainlydepthresearchandanalysisoftheConstructionandrelatedmeasuresforsecuritymanagementtechnologyenterpriseLAN,explorethebasicLANapplicationinenterprisenetworks,usingavarietyofcommonnetworktechnologymakesthenetworkmoresecure,reliable,andpractical.CombinedwiththeactualneedsoftheenterprisenetworktobuildZhichengTechnologyCo.,Ltd.toconstructapractical,secureenterpriseLANsolutions.Theprogramfortheconstructionofsmallandmediumlocalareanetworks,forbuildingenterpriseinformationplatformtoprovideaneffectivesolution.

Keywords:

EnterpriseNetworkPortAggregationAccesscontrolVLANCyberSecurity

第一章系统设计需求与分析

1.1志诚科技网络建设背景

志诚科技有限公司是一家成立不久的公司，该公司有所有员工在同一栋楼里，该楼四层，一层楼中包括财务部和仓库，二楼和三楼为办公层，核机房在三楼，四楼为老板和主任办公室，还有两个会议室。

1.2志诚科技网络基本需求

满足志诚科技公司高速的要求,主干网负责各个子网和应用服务的连接，为信息交换提供有效的高速通道。

系统主干采用万兆以太网1000M交换，下属子网采用千兆以太网，网络协议采用TCP/IP协议，整个网络应考虑语音、视频、数据等的综合应用。

交换机要求采用主流、成熟、信誉和售后服务均佳的产品，核心交换机采用三层交换机，支持VLAN等功能，能较好解决突发数据量和密集服务请求的实时响应问题，在内部用户终端进行视频信号、数据交换时交换引擎不会出现过载现象和数据包碰撞、丢失的现象，还要考虑预防瓶颈出现和补救的相应措施。

下属单位接入交换机可采用相对低一档的产品；本系统处理的信息包括数据、语音和图像等，因此要考虑实时性问题，特别要考虑包括视频会议在内的信息共享等方面的实时性要求。

；UPS电源的配备，配置要保证网络中所有的服务器、交换机、路由器、集线器等设备的连续、正常地运转；网络带宽的分配：

应根据所属单位网络的信息流量情况合理分配网段，以充分利用网络带宽，提高网络的运行效率。

网络需要需要具有多主机跨平台主机连接能力,数据集中存放、集中管理、数据有效共享、存储空间共享、统一安全备份，可实现无人值守、自动实施备份策略，备份LANFREE、SERVERLESS等功能，为全面集中管理和数据仓库的建设奠定坚实的基础

满足用户使用网络系统的运行质量，提高网络运行速度；要求采用千兆以太网作为主干的网络技术，提供标准化的高速度主干网连接，并在未来可以升级到IP，可以在同一个网络中支持多种服务质量，以支持目前和未来的应用和服务为标准。

允许网络集成，使用三层交换来代替路由，能实现与广域网的集成功能；网络中使用的设备、技术和协议完全符合国际通用的标准，兼容现有的网络环境，提供良好的互联性；要求网络提供足够的带宽，丰富的接口形式，满足用户对应用带宽的基本要求，并保留一定的余量供扩展使用，最大可能地降低网络传输延迟；要求网络有很高的可靠性、稳定性及冗余，网络能够提供良好的安全性策略，能避免内部操作失误造成的损害和来自外部的恶意攻击。

1.3志诚科技网络安全需求

（1）硬件平台安全性：

当计算机的元器件突然发生故障，或计算机系统工作环境设备突然发生故障时，计算机系统能继续工作或迅速恢复。

（2）网络通迅系统安全性：

网络的安全性主要包括采取以下安全措施：

认证措施，包括网点认证和人员认证；数据保密措施如传输加密；存取控制措施如防止非法操作。

（3）操作系统安全性：

操作系统安全性要达到C2级，即通过注册、安全事件审计、资源隔离等方式使用户的行为具有个体可查性，实施存取限制，保护数据防止被别的用户读取或破坏。

（4）数据库安全性：

数据库要有以下安全机制：

磁盘镜像、数据备份、恢复机制、事务日志、内部一致性检查、锁机制以及审计机制等安全保障体制，确保数据库的安全。

（5）认同用户和鉴别，确认用户的真实身份，防止非法用户进入系统。

（6）采用杀毒软件，或在对网络服务器中的文件频率的扫描和监测，也可以在工作站上用防病毒芯片和对网络目录及文件设置访问权限。

（7）采用了路由器带防火墙模块里面集成内容过滤、邮件过滤，为了防止非法信息、恶意脚本及垃圾邮件；集成防范拒绝服务网关，提供攻击检测及攻击抵御。

（8）安全性内部网络之间、内部网络与外部公共网之间的互联，利用VLAN、ACL等对访问进行控制，确保网络的安全。

第二章企业网络总体设计方案

2.1网络设计原则

该企业网络是中小型用户群的网络，上班时信息流量大，为了保障全网的高速转发，企业网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要交换机具有高性能、高带宽的特性，整网的核心交换要求能够提供无瓶颈的数据交换。

（1）可管理性是指该企业网络是一个庞大而且复杂的网络，为了保障网络的正常使用以及设备的良好维护需要一个功能强大，具有分级、分权管理能力的网管系统，实现统一的网络业务调度和管理，降低网络运营成本。

同时由于企业网络的使用者数量较多，跨网络开展的业务众多，因此需要能够提供用户的高效管理，以确保企业网络的信息安全。

（2）可增值是指企业网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。

所以在建设时要充分考虑业务的扩展能力，能提供丰富的宽带增值业务（如VoIP，IPV6等），全网支持IPV6，使网络能适应未来需求，节约各类费用。

确保新建网络在3～5年内的使用价值。

（3）安全保密性是指充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。

能有效通过软硬件相互联动，有效保证企业网的安全；选择设备必须具有较高的安全特性，如蠕虫病毒防御、ARP欺骗防御、防代理、防攻击扫描、防私设DHCP等功能，系统采用数字签名,安全认证,密码技术以及超级防火墙软件,代理服务器和VPN（虚拟隧道网络技术）等来确保网内安全。

对员工的上网行为进行实时记录，并保存到日志服务器。

（4）可扩展与成熟性是指企业网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，要具有可扩展性和可升级性。

随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。

（5）经济性是指在满足高性能价格比（高性价比）的前提下,选用物廉价美,经济实用的产品,以减少开支。

（6）开放性是指技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。

2.2网络建设目标

志诚科技目前开展的企业网建设，旨在推动公司信息化建设，其最终建设目标是将志诚科技建设成为一个借助信息化办公和管理手段的高水平的智能化、数字化的企业网络，最终完成我公司网络和统一软件资源平台的构建，实现、统一身份认证、统一网络管理、统一安全策略、统一软件资源系统，并实现网络远程办公、管理、资源共享等各种应用；利用现代信息技术从事成产、办公、研究和管理等工作。

总体目标是建立一个覆盖该公司所有职工部门高速的信息通道，为公司管理层的决策、管理、业务、财务和后勤工作人员等提供一个良好得计算机网络环境，加强所有各职工部门的合作交流，共享数据资源共享，公司内外电子化，对外为公司的数据传输提供保障，提高整个公司的办公效率，从而真正实现公司内各职工部门的“电子化”功能，更好的提高经济效率，提升公司的市场竞争力。

为确保我公司企业网络建设和应用的成功，对网络方案的设计大致可归纳出以下的需求：

（1）高带宽——为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。

要采用比较先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。

为此应选用高带宽的先进技术。

（2）高可靠性——网络系统应具有高可靠性、高安全性，具体到本项目中，要求采用可靠性较高的产品和网络架构，在物理层、数据链路层和网络层等多个层次都有相应的技术，以最大程度的保证网络的正常运转。

（3）QoS保证——当今网络中多媒体的应用越来越多，这类应用对服务质量的要求较高，新的网络系统应能保证QoS，以支持这类应用。

（4）多协议支持——由于网络将要存在不同的业务和办公应用系统，并基于不同的网络协议，所以网络系统应能支持多种协议（IP、OSPF、NAT等），是一个开放型的网络，支持各种协议的互连。

（5）易管理、易维护——由于我公司的网络系统规模庞大，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。

同时应尽可能选取集成度高、模块可通用的产品，以便于管理和维护。

（6）安全性——网络系统应具有良好的安全性，要充分的保证网络的安全性，应该根据相应的管理制度和网络策略制定一套完善的安全政策，基于此安全政策，采用合适的技术手段，以达成目标，保证系统的安全性。

（7）符合国际标准——选用符合国际标准的系统和产品，可以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。

（8）其它需求——整个网络系统分布相对较广泛；整个网络采用先进的网络结构，以满足传输、存储和处理数据、语音及图象信息的需要；满足网上的集成系统和业务系统的需求；完整统一的系统管理平台。

2.3志诚科技网络拓扑结构图

本设计主要目标是企业有线无线结合网络进行设计，本企业网网络主干采用锐捷RG-S8605E核心交换机，整个网络三层结构，保证了数据的快速交换，同时，网络主干全部使用光纤，桌面接入全部实现百兆接入，保证了企业网对多媒体数据流的需求。

企业的网络拓扑如图2-1所示。

图2-1志诚科技有限公司网络拓扑图

2.4志诚科技网络地址规划

表2.1网络地址规划表

VLAN

VLAN名称

网段

默认网关

说明

10

1-ceng

192.168.1.0/24

192.168.1.254

一层

20

2-ceng

192.168.2.0/24

192.168.2.254

二层

30

3-ceng

192.168.3.0/24

192.168.3.254

三层

40

4-ceng

192.168.4.0/24

192.168.4.254

四层

第三章企业网络设备选型

3.1出口设备选型

出口路由器，即对接ISP的设备，选择出口路由器最好选用当前商场主流设备，在这里我们选用锐捷的RG-RSR7704，如图：

图3-1RG-RSR7704

该设备有如下特点：

（1）先进的硬件处理技术

RG-RSR77系列可信多业务路由器基于CLOS分布式无阻塞交换架构，采用业界领先的多核处理器，通过锐捷网络特有的vCPU和多线程处理技术，实现数据转发平面和协议控制平面分离，并实现多个处理内核之间的负载均衡。

另外，不同处理内核占用系统的资源可以根据实际需要来进行调节，在设备需要更多资源处理协议和控制报文时，可以给负责设备管理的内核配置更多的资源；在设备需要处理更多的报文转发时，可以给负责报文转发的内核分配更多的资源，实现资源的可管理，可支配。

通过分布式实现高性能数据转发，支持万兆性能转发。

（2）成熟稳定的操作系统

lRG-RSR77系列万兆核心分布式路由器采用锐捷成熟稳定的RGOS操作系统，RGOS操作系统具有三大关键特性：

完全模块化、开放性、安全性。

l完全模块化：

模块化操作系统的优势是各功能和进程各自独立，可以实现相互故障隔离，极大提升系统稳定性，这是模块化设计的最大优势；另外完全模块化设计，在开发的新功能不影响原有功能，提升了新功能开发与测试效率，可以更加快速地提供新功能和新技术。

l开放性：

RGOS拥有一个“硬件抽象层”，因此RGOS可以通过不同的设备驱动程序连接不同的硬件设备，目前锐捷网络交换产品和路由产品都统一到了RGOS操作系统平台，而未来还计划扩展到无线、存储、安全等产品线。

在软件设计方面，RGOS还拥有POSIX可移植操作系统接口，该接口是国际标准接口，通过POSIX，操作系统的内核可以和各种符合POSIX接口的软件功能模块通信和调度。

l安全性：

锐捷RGOS从操作系统的层面上保证了网络的安全，通过RNOS流量管理技术，设备防攻击技术，状态防火墙技术等保证了设备在各种复杂环境下稳定可靠运行。

（3）强大的路由处理能力

RG-RSR77系列万兆核心分布式路由器支持IPv4/IPv6静态路由，各种动态路由协议，满足各种组网要求；另外支持策略路由功能，可对网络流量进行灵活的控制和调度，满足金融、政府、企业网等用户的路由特性要求。

依托高性能流表、快速转发技术，通过GR、FRR和BFD等功能，改善传统路由协议的收敛机制，实现大型网络的极速收敛。

（4）电信级可靠性设计

l关键模块的冗余：

路由引擎冗余、交换网板冗余、电源冗余、双启动映像文件、双配置文件。

l关键部件热拔插：

路由引擎热拨插、业务载板/模块热拨插、电源/风扇热拔插。

l模块化软件设计：

完全采用模块化的设计，各功能模块互不干扰，大大降底了各功能之间的藕合关联度，大幅度提升了软件的稳定性。

l多种备份机制：

支持VRRP，结合BFD/DLDP故障快速检测机制，实现快速的VRRP倒换能力；支持链路备份机制、支持路由备份。

l所有RSR系列路由器使用同一个RGOS软件系统，给维护带来极大的方便。

具体特点见表3.1：

RG-RSR7704参数表

表3.1：

RG-RSR7704参数表

技术参数

参数描述

产品型号

RG-RSR7704

模块插槽

4个

业务载板插槽

2个

业务子卡插槽

4个

交换容量

960Gbps

转发性能

120Mbps

路由引擎固化接口

2个USB2.0接口

1个USB-Console口

1个MGMT管理口

1个Console口

1个AUX口

1个SD卡插槽

可用模块

OC-48c/STM-16cPOS

OC-12c/STM-4cPOS

OC-3/STM-1POS

OC-3/STM-1CPOS通道化到E1/T1/64K

OC-48/STM-16CPOS通道化到E1/T1

OC-12/STM-4CPOS通道化到E1/T1

OC-192c/STM-64cPOS

OC-192/STM-64CPOS通道化到155M

OC-192c/STM-64cRPR接口模块

10GE/GE/FE

E1/CE1

OC-3/STM-1ATM

高速同步串口

国密局商密算法硬件加密模块

尺寸（D×W×H）mm

440×480×221

电源

100VAC~240VAC，50Hz~60Hz

-36VDC~-72VDC

3.2核心设备选型

核心设备是整个网络的关键设备，要性能要强大，这里选择锐捷RG-S8605E，如图：

图3-2RG-S8600E

该设备有如下特点：

（1）最高性能满足未来十年网络发展

lRG-S8600E系列单槽位支持3Tbps带宽，可平滑扩展到12Tbps，支持高密度40GE、10GE以太网端口，满足云计算数据中心可持续发展的需求，满足未来十年网络发展过程中对核心交换机的要求。

lRG-S8600E系列支持业界最高性能的小包线速转发能力，包括最高密度板卡在内的所有板卡均可实现64字节小包线速转发，从容应对大型数据中心中业务对高速转发不丢包的苛刻需求。

l面对高性能计算的应用场景，RG-S8600E系列支持超低时延技术，时延最低可达0.5μs，保证超算中心场景中高速传输的业务需求。

l支持超大表项，ARP资源容量≥170K，确保更多用户的同时在线。

（2）虚拟交换设备VSD

RG-S8600E系列通过VSD（VirtualSwitchDevice，虚拟交换设备）技术可将一台设备虚拟化为多台虚拟设备，每台虚拟设备具有独立的配置管理界面、独立硬件资源分配（比如内存、TCAM、硬件转发表），可以独立重启而不影响其它的虚拟交换机。

最大程度上为您实现网络资源的按需分配，可让核心交换机资源同时共享给多个区域或用户使用。

另外，通过同时开启VSU3.0和VSD技术，可以实现网络资源的彻底池化。

（3）虚拟以太网端口聚合VEPA

RG-S8600E系列支持IEEE802.1qbg标准定义的VEPA（VirtualEthernetPortAggregator，虚拟以太网端口聚合），能将服务器虚拟机产生的数据流牵引到物理网络设备上进行“硬交换”，解决了虚拟机流量无法监管、访问控制策略无法统一部署等问题，又消除传统“软交换”对服务器资源的占用，使下一代数据中心网络解决方案更好适应虚拟化计算环境。

具体特点见表3.2：

RG-S8600E参数表：

表3.2：

RG-S8605E参数表

技术参数

参数描述

产品型号

RG-S8605E

模块插槽

5个（2个用于管理引擎模块）

交换容量

7.2Tbps/24Tbps

包转发速率

2,160Mpps/7,200Mpps

数据中心融合网络特性

支持增强以太网特性（DCB）：

802.1Qbb:

Priority-basedFlowControl（PFC），基于优先级的流控。

802.1Qaz:

EnhancedTransmissionSelection（ETSandDCBX），增强传输选择

802.1Qau:

CongestionNotification（CN/QCN），拥塞通告

支持统一交换特性：

FCoE（FibreChanneloverEthernet）

支持VXLAN

设备虚拟化

支持VSU3.0（VirtualSwitchUnit,虚拟交换单元）

支持虚拟化带宽≥2.56Tbps

支持VSD（VirtualSwitchDevice,虚拟交换设备）

支持纵向虚拟化

网络虚拟化

支持TRILL透明交换网络

支持L2GRE

边缘虚拟交换

支持VEPA（虚拟以太网端口聚合）

支持虚拟机策略自动迁移

SDN

支持OpenFlow1.3

L2特性

支持JumboFrame

支持8