企业网络规划与设计H3C.docx
《企业网络规划与设计H3C.docx》由会员分享,可在线阅读,更多相关《企业网络规划与设计H3C.docx(15页珍藏版)》请在冰点文库上搜索。
企业网络规划与设计H3C
毕业设计(论文)
企业网络规划与设计
系 别:
计算机信息工程系
专业名称:
计算机网络技术
学生姓名:
指导教师姓名:
完成日期xxxx年xx月xx日
毕业设计论文摘要
随着Internet技术的日益普及,网络技术的飞速发展,企业信息化工作越来越受到重视,进入二十一世纪后,企业信息化不再满足于个人或单个部门的少量计算机应用,而逐步过渡到多部门、整个企业甚至跨企业跨地域的大量计算机的协同工作,因此我们需要把这些计算机用网络联系起来,这也就是我们所说的企业网。
本文是对某IT企业的一个企业网络规划设计的解决方案,文章首先分析了企业网络的设计需求,根据需求提出了设计原则与设计目标,制定了总体的规划设计方案,然后再分层次具体地对该企业的局域网和广域网进行设计,在该方案中,我们采用了VLAN、三层交换、千兆交换等先进网络技术,基本满足了该企业的需求,并留有足够的扩充空间,以适应今后发展。
关键词企业网络规划设计VLAN
0
6
9
0
1引言
目前,对于国内的部分企业而言,计算机技术的应用很大程度上还只是停留在单机应用的水平上,应用软件也只是办公软件和简单的数据库应用。
但是,随着计算机网络技术不断发展与普及、企业信息化的逐步深入和企业自身发展需求日益增大,在充分利用现有资源、不需要很大投资的基础上,构建适合自身情况、满足实际需求的网络系统是非常必要的,也是切实可行的
社会进入信息时代后,要求企业用信息技术来强化企业的管理、生产和经营,而企业要创造更多的经济效益就必须借助信息技术来提高企业的生产效率和管理水平,这不但适用于大型企业,对占相当比重的中小企业同样适用。
网络技术的发展使得网络建设从基础架构到维护和管理都变得十分简单和智能,丰富的网络产品线和不断降低的价格,可以让中小企业根据自身的情况,按照实际的经济条件来构建自己的网络,用于网络建设的投资对于企业而言不再成为一个负担。
各自为战的单机应用逐步暴露出现有资源利用率低、信息冗余大等问题,而解决这些问题的惟一途径就是建设一个满足应用需求的网络系统来实现资源的共享。
一个成功的企业不仅要了解世界,还要让世界知道自己。
实现这个目标的最佳途径就是要利用Internet。
通过Internet,企业不仅可以获得大量的有价值的信息,同时也可以将企业的信息通过Internet发布到世界各地。
因此,企业进行计算机网络的建设,不仅是信息社会发展的要求,也是自身发展所必须的。
2概述
企业网络指的是具有一定规模的网络系统,它可以是单座建筑物内的局域网,可以是覆盖一个园区的园区网,还可以是跨地区的广域网,其覆盖范围可以是几公里、几十公里、几百公里,甚至更广。
狭义的企业网主要指大型的工业、商业、金融、交通企业等各类公司和企业的计算机网络;广义的企业网则包括各种科研、教育部门和政府部门专有的信息网络。
我国的企业网络建设经过了单机应用阶段,目前正处在Internet应用热潮中。
但从目前情况看国内相当多的企业还处于网络初步应用阶段,其具有以下特点:
1应用水平较低,分散且不一致。
企业网络缺乏整体性的设计,没有统一的标准,在业务互相衔接的应用系统之间缺乏一致性;2应用者的整体水平比较低,缺乏对计算机和网络全面的认识,难以接受将计算机作为一种工作方式;3信息部门处于边缘性地位,综合实力较低,地位较低,给信息技术的应用带来了相当大的难度。
2.1企业概况分析
假设我们要设计的是一个中型的IT企业的网络,该企业共有员工290人,分8个部门,包括人事部、开发部、财务部、商务部、工程部、业务部、信息中心、经理部。
人事部40人,开发部57人,财务部24人,商务部42人,工程部61人,业务部45人,信息中心16人,经理部5人。
每人都配有一台个人电脑。
由于公司规模的扩大,为了提高工作效率、公司知名度、公司效益以及管理水平,该企业决定投资重新建设完善的企业网络。
2.2企业网络设计需求分析
网络需求分析就是根据企业信息技术应用要求和企业的业务发展需求,结合企业现有设备状况和人员素质,较为全面地调查和分析企业在信息技术方面的技术需求,然后从网络建设的角度,将这些需求转换成构造网络系统以及网络系统能够提供服务的需求。
在网络需求分析过程中,网络系统用户往往从系统外部关注整个网络系统的功能和性能,而网络设计者往往从网络系统内部关注整个网络系统的技术和结构。
因此,如何正确地将用户对网络系统功能和性能的需求转换成对网络系统技术和结构的需求并给予量化表示是网络需求分析的关键。
经过对该公司各个部门职能的分析以及调研,将系统需求归纳为如下几点:
1)该网络系统能实现资源共享,包括软件共享,文件共享,打印机共享。
在外工作的员工可以透过internet安全访问企业资源,远程办公。
2)能高速接入Internet进行工作,收发邮件,浏览网页查找资料。
建立企业对外网站,提供一个对外宣传的平台,提高企业知名度。
3)网络管理:
控制不同权限的员工使用Internet的方式和范围,限制普通员工利用公司网络进行业务无关的活动。
4)安全性:
对不同部门之间的相互访问作限制,防止非法访问,保护商业机密。
预防计算机病毒,尽可能把病毒感染的几率降到最低。
使用防火墙,防止来自互联网上的入侵,保障企业资源的安全。
5)可扩展性:
考虑到企业的发展与以后规模的扩大,企业网络设计需预留扩展空间,以便今后的网络改造。
3网络总体规划
网络规划是对拟建网络的初步设计,应该遵循网络设计的一般原则和方法,并提出相应的解决方案为后续的设计和实现工作的依据。
网络总体规划反映了网络设计“总体规划、分布实施”的网络建设原则,是从网络需求分析到网络具体设计之间必经的阶段,网络规划通过对企业网络需求的调查、分析、归纳,把企业现在和未来对网络的需求转换成对网络结构、功能、性能、协议等技术指标的具体要求。
3.1企业网络设计目标
该IT企业网络建设的目标,将互联网技术引入企业内部网建立起统一、快捷、高效的中型Intranent系统,整个系统在安全、可靠、稳定的前提下,符合经济的原则,即实现合理的投入,最大的产出。
总体设计如下:
1)以千兆以太网为主干网,利用第三层交换技术实现大型局域网的VLAN的划分。
规划中服务器、信息中心采用千兆,与中心主交换机连接,其他部门采用100M网卡通过其他二级交换机接入主干网。
2)网络的安全机制:
(1)通过对网络设备的配置,控制访问列表等方式来加强网络的安全性措施;
(2)更重要的是,在内部网与公众网的结合处,采用先进的防火墙技术、代理服务器技术、以及Web服务器的口令验证、数据加密等技术实现网络的安全性
3)网络中心设立WEB应用服务器、E-MAIL服务器、DNS服务器、数据库服务器、文件服务器,实现WEB访问、Internet接入、E-MAIL系统、域名解析、应用系统等各种功能。
3.2企业网络设计原则
1)实用性原则。
计算机设备、服务器设备和网络设备在技术性能逐步提升的同时,其价格却在逐年下降。
因此,不可能也没有必要实现所谓“一步到位”。
所以,网络方案设计中应把握“够用”和“实用”原则。
网络系统应采用成熟可靠的技术和设备,达到实用、经济和有效的目的。
2)前瞻性原则。
在实用的基础上还可以具有一定的前瞻性,在网络结构上要做到能适应较长时期企业和网络技术的发展,不要在网络刚组建不久就发现很难实现某些较新的应用,或者根本不能应用目前的一些主流软件,这样势必造成企业网络资源的浪费。
3)开放性原则。
网络系统应采用开放的标准和技术,如TCP/IP协议、IEEE802系列标准等。
其目标首先是要有利于未来网络系统的扩充,其次还要有利于在需要时与外部网络互通。
4)可靠性原则。
作为一个具有一定规模的中型企业。
企业的网络不允许有异常情况发生,因为一旦网络发生异常情况,就会带来很大的损失。
在这样的网络中,就要尽量使用冗余备份,当某个网络设备故障时,网络还可以零间断地继续工作,这样就很好的保障了企业网络的可靠性。
5)安全性原则。
在企业网的设计中,安全性的设计是很重要的。
每家企业都有自己的商业机密,如果这些机密被窃取,后果是不堪设想的。
企业必须保护其网络系统,以避免受外来恶意性入侵,但也必须保留足够空间,使其主要经营之业务能顺利运作。
倘若安全性系统保护企业免受病毒及骇客攻击,但却阻挠其服务客户及迈向电子商务脚步,那么此系统就已超越其权限了。
网络安全应是永远以能符合企业经营目标的最大利益为优先考量。
6)可管理性原则。
网络管理员能够在不改变系统运行的情况下对网络进行调整,不管网络设备的物理位置在何处,网络都应该是可以控制的。
7)可扩展性原则。
网络总体设计不仅要考虑到近期目标,也要为企业以及网络的进一步发展留有余地。
因此,需要统一规划和设计。
网络系统应在规模和性能两方面具有良好的可扩展性。
由于目前网络产品标准化程度较高,因此可扩展性要求基本不成问题。
3.3网络设计相关协议说明
网络协议是需要通信的计算机之间共同遵循的数据结构、语义和操作规则。
网络协议常采用分层的体系结构。
各协议层互相独立,下层提供上层某项功能的服务(一般有面向连接和无连接两类),上层利用该功能再向上提供更完善的服务。
目前,主要的协议体系结构有OSI族和TCP/IP族。
它们的参考模型及各层的对应关系如图所示。
OSI协议族
OSI(开放系统互联参考模型)协议族是国际标准化组织(ISO)建议并主持制定的有广泛影响的网络互联协议。
1)物理层是第一层,它决定设备之间的物理接口以及在传输介质上比特传送的规则。
2)数据链路层是第二层,它的主要任务是加强物理层传输比特的可靠性。
3)网络层是第三成,它的主要功能是利用数据链路层所保证的邻接节点之间的无差错数据传输功能,通过路由选择和中继功能,实现两个端系统之间的连接。
4)传输层是第四层,它利用下三层所提供的网络服务向高层提供可靠的端到端的透明数据传输。
5)会话层是第五层,它提供一种经过组织的方法在用户之间交换数据。
6)表示层是第六层,它把上层交付的信息变换为能够共同理解的形式,它关心的是所传输的信息的语法和语义,它只对应用层信息的形式进行变换,但不改变信息内容本身。
7)应用层是第七层,它的功能是提供应用进程(用户程序)之间信息交换的基本任务。
TCP/IP协议族
TCP/IP协议族是广泛应用于计算机互联的业界标准。
该协议族是一组独立的协议的集合,其中最主要的是TCP协议和IP协议。
TCP/IP协议族亦采用层次化的结构模型,共包括四个层次
1)硬件接口层,TCP/IP协议族没有具体定义硬件层,因而它对各种各样的网络硬件具有高度的适应性,这正式它的成功之处。
2)网络层,它的主要功能是定义信息包(IP数据包)并处理信息包的路由选择。
该层的主要协议有:
IP、ARP、RARP。
3)传输层。
它提供端到端的数据传输服务。
该层的主要协议有:
TCP、UDP。
4)应用层。
它由使用网路的应用程序和进程组成。
该层最接近用户,主要协议有SMTP、DNS、FTP、TELNET。
OSI强调的是如何把开放式系统连接起来的,它是一个理论上的参考模型。
而TCP/IP框架包含了大量的协议和应用,他虽然不是ISO标准,但一致于ISO的OSI参考模型制定,并在不断发展过程中吸收了OSI模型中的概念及特征,它的使用已经越来越广泛,几乎成为“事实上的标准”,着名的Internet就是基于TCP/IP协议族的。
4网络具体规划与设计
在总体上规划好企业网络之后,就要进入具体设计的阶段,这也是网络设计的最重要的环节。
在这个阶段,要对该企业网络的拓扑结构、VLAN划分、链路聚合等方面进行详细的规划与设计。
4.1企业网络拓扑结构设计
所谓拓扑是一种研究与大小、距离无关的几何图形特性的方法。
网络的拓扑结构是抛开网络物理连接来讨论网络系统的连接形式,网络中各站点相互连接的方法和形式称为网络拓扑。
拓扑图给出网络服务器、工作站的网络配置和相互间的连接,它的结构主要有星型结构、总线结构、树型结构、网状结构、蜂窝状结构、分布式结构等。
不同的连接方法网络的性能不同,局域网拓扑结构通常分为3种,分别是总线型、星型和环型。
该企业局域网网络主要采用了星型的拓扑结构,企业在设计上划分了三层来设计:
核心层、汇聚层和接入层。
公司的工作站大约为300人,考虑到规模较大而且该公司的业务比较重要,核心层的设计上采用了一台千兆三层交换机,在汇聚层用两台三层交换机之间作链路聚合,就算其中一个交换机当机,也可以保证网络的瞬间恢复,大大增加了网络的可靠性。
而在接入层的设计上,使用多台二层交换机。
公司拓扑图:
4.2应用到的五个技术
①VLAN规划
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。
一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。
虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
我们已经为该企业划分了子网,不同的部门在不同的子网里,子网与子网之间不能访问,也控制了广播域太大的问题。
这样看来好像不必要再划分VLAN了,其实不然,因为这样只作子网划分是存在安全性问题的。
局域网内的任何用户只要稍微修改一下IP与子网掩码就可以访问到该企业的任何部门了。
所以,我们必须在交换机上划分好VLAN,这样,只要加强对交换机的保护,不让一般员工改变交换机的配置,就算他们更改自己电脑的IP和子网掩码也无法访问到其它部门了。
VLAN有几种不同的划分方法:
1.根据端口来划分VLAN。
2.根据MAC地址划分VLAN。
3.根据网络层划分VLAN。
4.根据IP组播划分VLAN。
该企业的VLAN我们采取根据端口来划分,这种划分方式是现在最常用的。
只要把同一个部门的端口全部划分进同一个VLAN就行了,而且还可以进行跨交换机的端口VLAN划分,也就是说不同交换机上的端口也可以在同一个VLAN里,这样VLAN的划分就不必要受到物理空间的限制,具有很好的灵活性。
今后如果有人事调动或者部门扩充,只要在交换机上作相应的配置就可以了。
处理VLAN时,交换机端口支持两种连接类型:
接入链路(accesslink)与中继(trunk)。
接入链路连接只能与单个VLAN相关,任何连接到该端口的任何设备将会在相同的广播域中。
与接入链路不同,中继连接能为多个VLAN传送流量。
中继链路一般在特点的设备之间,包括交换机到交换机,交换机到路由器,交换机到文件服务器等。
在该企业的VLAN端口配置中,各接入层的二层交换机与核心层的三层交换机之间的链路要配置成trunk链路,其他端口配置成access链路,这样VLAN信息就可以在各二层交换机之间传递,不同交换机但是同一个VLAN的用户就可以相互访问了。
VLAN部分配置摘录:
interfacevlan
ipadd
dhcpserverip-pool
networkmask
gateway-list
dns-list
dhcpselectglobalinterfacevlan
vlan2
port
②三层交换技术与链路聚合的应用
传统的以太网交换机工作在OSI模型的第二层上,数据流中的每个数据包通过源站点和目的站点的MAC地址时被识别。
传统局域网交换机只在介质访问层(mac)处理数据包。
它可理解网络协议的第二层如MAC地址等。
交换机在操作过程中不断的收集资料去建立它本身的地址表,当交换机接收到一个数据包时,它会检查该包的目的MAC地址,核对一下自己的地址表以决定从哪个端口发送出去。
这个工作用ASIC(专用集成电路)芯片来做速度是非常快的,但同时由于它不察看数据包里的更多的内容,所以无法作出有关策略方面的判断,对数据流的控制能力不强。
传统路由器工作在第三层上,数据流中的每个数据包通过源站点和目的站点的网络地址时被识别,路由技术可以有效地控制数据包,但转发包的速度太慢,同时路由器存在价格高等方面缺点。
这种状况促使业界不得不去寻找一种新的方法,产生了“升级”技术──第三层交换技术。
第三层交换技术正是为了解决传统交换技术和路由器的缺陷而出现的,三层交换技术是在网络模型中的第三层实现了数据包的高速转发,第三层交换具有以下特征:
1)执行路由处理
2)转发基于第三层的业务流
3)完成交换功能
4)可以完成特殊服务,如报文过滤或访问控制
该企业各部门处于不同的VLAN中,某些部门之间是需要互相访问的,如果用传统的路由器来完成VLAN间互访,所有跨VLAN的数据必须通过路由器转发,路由的高延迟会引来用户对网络速度的抱怨,不使用三层交换技术的话,唯一的解决方法是添置昂贵的路由器,而随着日后企业不断扩大部门间的流量会更加增多,到时可能又要投入更多资金更换更贵的路由器,这不符合企业网络设计的可扩展性原则。
在该企业的网络核心层使用三层交换机,大大增快了网络的速度,充分利用了现有资源,降低了网络成本,增加了网络的可扩展性。
而且,三层交换机还可以实现部分安全机制,它的访问列表的功能,可以实现不同VLAN间的单向或双向通讯。
就像该企业的财务部,它既没有必要访问别的部门,出于安全考虑别的部门也不能访问财务部。
而经理室应该可以访问所有的部门,但是别的部门是不可以访问他的……基于这些不同的访问需求,可在三层交换机上配置ACL语句加以限制。
该企业的三层交换机位于整个局域网的核心部分,企业上网的流量、VLAN间的流量、VPN产生的流量全部都要经过核心三层交换机进行转发,所以核心交换机的速度与稳定性非常重要。
冗余链路是提高网络系统可用性的重要方法。
目前的技术中,以链路聚合(LinkAggregation)技术应用最为广泛。
链路聚合技术亦称主干技术(Trunking)或捆绑技术(Bonding),其实质是将两台设备间的数条物理链路“组合”成逻辑上的一条数据通路,称为一条聚合链路,简单地说就是把多个端口绑定成一个虚拟端口。
采用链路聚合可以提高数据链路的带宽,捆绑起来的链路的带宽相当于物理链路带宽之和。
链路聚合中,成员互相动态备份,当某一链路中断时,其它成员能够迅速接替其工作,这样就很好的保障了整个网络的稳定性。
链路聚合部分配置摘录:
RTA配置#//创建手工聚合组[RTA]link-aggregationgroup1modemanual//将端口加入聚合组[RTA]interfaceethernet5/0[RTA–Ethernet5/0]portlink-aggregationgroup1[RTA–Ethernet5/0]interfaceethernet5/1[RTA–Ethernet5/1]portlink-aggregationgroup1#RTB配置#//创建手工聚合组[RTA]link-aggregationgroup1modemanual//将端口加入聚合组[RTA]interfaceethernet5/0[RTA–Ethernet5/0]portlink-aggregationgroup1[RTA–Ethernet5/0]interfaceethernet5/1[RTA–Ethernet5/1]portlink-aggregationgroup1#
③地址转换技术应用
地址转换主要分为两种类型,网络地址转换(NetworkAddressTranslation,NAT)、端口地址转换(PortAddressTranslation,PAT)。
在该企业的网络设计中,我们主要用到了NAT技术。
在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址在Internet上使用,其具体的做法是把IP包内的地址域用合法的IP地址来替换。
NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。
NAT设备维护一个状态表,用来把非法的IP地址映射到合法的IP地址上去术,使得企业外部可以访问到该企业内部的WEB服务器,即可以访问到该企业的网站。
NAT配置部分摘录:
定义一个地址池
nataddress-groupstart-addrend-addrpool-name
删除一个地址池
undonataddress-grouppool-name
每个地址池中的地址必须是连续的,每个地址池内最多可定义64个地址。
增加访问控制列表和地址池关联
natoutboundacl-numberaddress-grouppool-name
删除访问控制列表和地址池关联
undonatoutboundacl-numberaddress-grouppool-name
缺省情况下,访问控制列表不与任何地址池关联。
增加访问控制列表和接口关联natoutboundacl-numberinterface
删除访问控制列表和接口关联undonatoutboundacl-numberinterface
缺省情况下,访问控制列表不与任何接口关联。
④STP技术
STP(SpanningTreeProtocol,生成树协议)是根据IEEE协会制定的802.1D标准建立的,用于在局域网中消除数据链路层物理环路的协议。
运行该协议的设备通过彼此交互报文发现网络中的环路,并有选择的对某些端口进行阻塞,最终将环路网络结构修剪成无环路的树型网络结构,从而防止报文在环路网络中不断增生和无限循环,避免主机由于重复接收相同的报文造成的报文处理能力下降的问题发生。
STP包含了两个含义,狭义的STP是指IEEE802.1D中定义的STP协议,广义的STP是指包括IEEE802.1D定义的STP协议以及各种在它的基础上经过改进的生成树协议。
相关的协议规范有:
IEEE802.1D:
SpanningTreeProtocol
IEEE802.1w:
RapidSpanningTreeProtocol
IEEE802.1s:
MultipleSpanningTreeProtocol
STP采用的协议报文是BPDU(BridgeProtocolDataUnit,桥协议数据单元),也称为配置消息。
STP通过在设备之间传递BPDU来确定网络的拓扑结构。
BPDU中包含了足够的信息来保证设备完成生成树的计算过程。
BPDU在STP协议中分为两类:
配置BPDU(ConfigurationBPDU):
用于进行生成树计算
升级会员 