企业网网络设计与实施方案文档格式.docx
《企业网网络设计与实施方案文档格式.docx》由会员分享,可在线阅读,更多相关《企业网网络设计与实施方案文档格式.docx(33页珍藏版)》请在冰点文库上搜索。
2.企业网关键技术分析
2.1企业网技术分类
企业网是园区网络的一种,所用到的技术也是园区网中的技术,我们将这些实用的技术分为交换技术,路由技术,企业网络远程接入技术。
(1)交换技术所谓交换技术是指用于二层帧转发而不用于ip路由转发的技术。
(2)路由技术路由技术是指通过相互连接的网络把信息从源地点移动到目标地点的活动,一般来说,在路由过程中,信息至少会经过一个或多个中间节点。
通常,人们会把路由和交换进行对比,这主要是因为在普通用户看来两者所实现的功能是完全一样的。
其实,路由和交换之间的主要区别就是交换发生在OSI参考模型的第二层(数据链路层),而路由发生在第三层,即网络层。
这一区别决定了路由和交换在移动信息过程中使用不同的控制信息,所以两者实现各自的功能的方式是不同的。
(3)远程接入技术远程接入技术可以分为专线接入和VPN远程接入[3]。
专线接入指利用DDN专线网络进行远端设备的连接,并且提供一系列安全措施,这种接入方式价格比较高,一般用于对稳定性要求比较高的园区网中。
VPN接入利用的是ISP公网,通过VPN自身的安全性来保证数据传输的安全性,与专线接入相比价格相对较低廉。
2.2企业网中的交换技术
在企业网中使用的最多的技术就是交换技术,交换技术的成熟带动着企业网的发展。
而企业网是基于这个交换架构的网络,因此在交换式的网络中有众多技术VLAN、TRUNK、DHCP、STP、ETHERCHANNEL等。
下面分别讲述这些技术的应用。
(1)VLAN技术VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种逻辑广播域,它能将处于不同物理网段的主机聚集到同一个广播域中,广播不会在VLAN之间转发,而是被限制在各自的VLAN中。
同时,VLAN可以分组设备,不同VLAN中的设备相互不可见。
从技术角度讲,VLAN的划分方法可以分为以下几种:
基于端口划分vlan、基于mac地址划分vlan、基于网络层协议划分vlan、基于ip组播划分vlan、根据子网划分vlan、根据用户认证授权划分vlan。
(2)TRUNK技术TRUNK技术是一种封装技术,它是一条点到点的链路,链路的两端可以都是交换机,也可以是交换机和路由器,还可以是主机和交换机或路由器。
TRUNK主要功能就是仅通过一条链路就可以连接多个VLAN。
(3)DHCP技术DHCP(DynamicHostConfigurationProtocol)是RFC2131R定义的TCP/IP标准协议,使用UDP协议进行数据报传递,使用67以及68号端口,客户端使用68号端口向服务器发送信息,服务器使用67端口向客户端发送消息[4]。
(4)STP技术STP(spanning-treeProtocol)即生成树协议,当交换机发现拓扑中有环时,会逻辑的阻塞一个或者更多的交换机端口来消除二层环路的技术,当网络拓扑发生变化时,运行STP的交换机会自动重新配置他的端口以避免环路的产生或连接丢失[5]。
(5)EtherChannel即链路捆绑技术,通过对多个端口进行绑定,充分利用现有端口的优势来增加可用带宽,可以聚合多条物理链路的逻辑链路,并且实现物理链路的负载均衡,当链路中的某条物理链路故障时,可以快速重新分配负载,不中断业务,在增加带宽的同时也增强了链路的可靠性。
2.3企业网中的路由技术
路由技术主要应用于核心层或者出口去其他的网络,连接出自己的园区的网络,在经过接入路由器时根据IP包的目的地址,在路由器的路由表中查询,是否有前往目的地的路由,如果有则根据路由条目来转发IP包,由于在企业网的核心层会使用2台核心交换机做备份,则在此时可以通过路由技术——HSRP(CISCO专有的协议)或者VRRP(国际通用的协议)来实现流量负载。
通过这一技术可以大大的缓解核心层中设备使用过于集中而备份设备出现闲置的情况,在企业存在分部的情况下,分部与总部需要互相连通,那么动态路由协议OSPF则使用的比较广泛。
下面分别对这两种技术做简单介绍:
(1)VRRPVRRP(VirtualRouterRedundancyProtocol)虚拟路由冗余协议,是一种网关冗余的协议,它通过在冗余网关之间共享协议和MAC地址,提供不间断的IP路径冗余。
一组参与VRRP的路由器为同一VRRP组。
在VRRP组内,可以分别指定各路由器的选举优先级,当VRRP进行选举时,首先比较选举优先级,优先级高者获胜成为VRRP组的Master,失败者成为Backup。
如果两个HSRPRouter具有相同的优先级,IP地址大者获胜成为Master。
Master周期性地发送Advertisement,Backup如果一定时间内未收到Advertisement,认为MasterDown,进行新一轮的Master选举,同时,VRRP组路由器不需手动配置抢占[6]。
(2)OSPFOSPF(OpenShortestPathFirst)即最短路径优先协议,是一项链路状态路由技术,ospf协议完成路由选择协议算法的两大功能:
路径选择和路径交换。
Internet工程任务协会(IETF)在1988年开发了OSPF。
其最近版本,OSPF版本2,在RFC2328中进行了描述。
OSPF是一种内部网关协议(IGP),也就是说它在属于同一自治系统的路由器间发布路由选择信息。
2.4企业网远程接入技术
(1)NAT技术网络地址转化(NetAddressTranslations)是基于当前IPV4的状态下而发展起来的一项技术,它可以使用一个公有地址或少量公有地址来实现多用户同时上网,也可以利用NAT技术做一些安全性的管理,例如实现IP地址隐藏等[7]。
(2)VPN技术VPN的英文全称是“VirtualPrivateNetwork”即虚拟专用网络。
顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。
它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样。
总部与分部之间建立VPN的远程连接,实现在Internet的公网上对于二者之间的私有网络的连接,并且使用加密技术以保证数据在公网上传输的安全,不仅十分方便,而且也是相当的实用。
3.概要设计
3.1网络设计目标
“功欲善其事,必先利其器”,高科通信技术有限公司深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统,已迫在眉睫。
高科通信技术有限公司企业网主要建设一个企业信息系统,它以管理信息为主体,连接生产、销售、维护、运营子系统,是一个面向公司的日常业务、立足生产、面向社会,辅助领导决策的计算机信息网络系统。
本期项目的目标是建立如下系统:
(1)构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网。
(2)选用技术先进、具有容错能力的网络产品,在投资和条件允许的情况下也可采用结构容错的方法。
(3)完全符合开放性规范,将业界优秀的产品集成于该综合网络平台之中。
(4)具有较好的可扩展性,为今后的网络扩容作好准备。
(5)采用OA办公,做到集数据、图像、声音三位一体,提高企业管理效率、降低企业信息传递成本。
(6)整个公司计划采用10M光纤接入到运营商提供的Internet,公司统一一个出口,便于控制网络安全。
(7)设备选型上必须在技术上具有先进性,通用性,且必须便于管理,维护。
应具备未来良好的可扩展性,可升级性,保护公司的投资;
设备要在满足该项目的功能和性能上还具有良好的性价比;
设备在选型上要是拥有足够实力和市场份额的主流产品,同时也要有好的售后服务。
3.2高科通信技术有限公司企业网现状分析
高科通信技术有限公司是一家集生产销售为一体的中小型企业,公司总部位于广东白云区工业园区内,公司现有办公大楼、生产大楼、员工宿舍楼各一栋,其中办公大楼5层,员工宿舍楼6层,生产大楼一层。
办公大楼与员工宿舍相距500米。
另外,在武汉有一家分公司,主要为销售业务。
公司下辖微机室、财务部、行政部、生产部、研发部、后勤部、业务部、人力资源部、总裁办等部门,总部中心机房位于办公楼3楼。
分部具有信息部、财务部、行政部、后勤部、业务部、人力资源部等部门。
3.3网络设计需求分析
3.3.1信息点需求分析
根据企业的联网要求,可将整个网络分成以下几个部分:
总部设备管理中心:
位于企业总部的中心机房,是整个企业网络设备管理的核心,也是整个企业是否能够正常运作的关键。
核心交换机,服务器,远程接入路由器,以及Internet接入均属于总部设备管理中心,便于统一管理。
分部设备管理中心:
对于一个分公司来讲,一个地区的网络管理和整个企业网络的设备管理是一样的,只是相对总部来讲设备比较少,管理比较容易点而已。
位于每个分公司的中心机房,主要是实现办公业务和生产业务功能的路由器。
办公点:
企业办公。
本企业网信息点统计结果如表3.1:
表3.1高科通信技术有限公司信息点统计
部门
地点
微机室
财务部
行政部
生产部
研发部
后勤部
业务部
人力资源部
总裁办
总部
10
20
100
30
80
5
分部
2
-
3
-
3.3.2网络功能需求分析
企业网为了方便对企业内部办公的信息交互和业务办理的管理,充分利用企业内部资源,增强网络的可靠性和安全性,该网络的主要功能需求如下:
(1)全网用户都能通过边界路由器访问Internet。
其中DNS地址为:
172.16.22.22;
202.103.96.112。
企业申请了一个公网地址:
202.202.202.0/29。
(2)总部交换网络STP和HSRP网关备份要求。
(3)总部服务器和DHCP要求,总部和分部都应设置DHCP服务器分配IP地址。
(4)ACL访问控制要求:
分部生产业务只能访问总部生产业务及总部服务器网段;
分部办公业务只能访问总部办公业务、总部服务器网段和上Internet。
(5)公司总部跟分部通过vpn进行互联,并能够通过ospf互联总部与分部。
(6)保护公司内网不受攻击。
3.3.3可行性分析
(1)技术可行性
本设计所涉及的技术都是本人在蓝狐学习时所接触到的内容,其中的每一项技术经过老师的讲解、自身的消化、以及反复的上机实验不断的提出问题,解决问题而得以掌握的,所以我认为在技术上是可行的。
(2)经济可行性
目前中小型企业层出不穷,企业对网络化管理的需求也随着时代的进步而提高。
因此,市场对中小型企业网络的需求是很大,其工程实施后能将投资成本回收并且盈利,并且维护起来也比较容易。
(3)操作可行性
本设计将详细的写出有关的操作事项,仅仅需要接入PC机,设置IP地址就可以连入到企业网络中进行正常的日常办公,即使是一个不懂电脑知识的人也可以用,因此具有操作简单、方便的特点。
(4)安全可行性
企业网的安全问题分为两个方面:
一是企业内部业务分割与企业职工对某一业务的访问权;
二是接入Internet后企业内部数据的安全。
解决前者主要是采用划分Vlan、访问控制列表(ACL)等方法来区分各业务流以及企业员工的访问权限,而后者则主要是应用防火墙技术来保证整个企业数据的安全性,防止非法的操作。
总之,整个企业的安全可靠性是比较好的。
4.网络详细设计
4.1网络设计技术选型
现在的企业网络存在着多种技术,不过就目前来说最主要的是有三种技术:
以太网(Ethernet);
光纤分布式数据接口(FDDI);
异步传输网络(ATM)。
下面我们来分析这三种主流技术的优缺点,然后在选择一种我们认为比较合适的企业网技术。
(1)以太网
以太网(Ethernet)又分为标准以太网,快速以太网和千兆以太网技术,下面分别对这三种以太网加以介绍:
1标准以太网
标准以太网是三种以太网中吞吐量最小的一种,为10Mbps。
是最早期的以太网标准,采用双绞线或者同轴电缆为传输介质。
使用CSMA/CD访问控制方法来避免链路冲突[8]。
2快速以太网
快速以太网实际上是10Mbps以太网的100Mbps版本,所以它的运行速度要比10M白皮书以太网快10倍。
在用户已经很熟悉传统以太网的情况下,快速以太网相对其他高速网络技术更容易被掌握和接受。
快速以太网与传统以太网技术相比还具备以下优点:
快速以太网和普通以太网同样遵循CSMA/CD协议,现有的10baseT网络设备可以相当简单地升级到快速以太网,保护用户原有的投资。
100BaseT集线器和网络接口卡,只要比10BaseT同样的设备多花少量费用就可提供比普通以太网高10倍的性能,因此100BaseT具备更高的性价比
3千兆以太网
千兆以太网是相当成功的10Mbps以太网和100Mbps快速以太网连接标准的扩展,支持CSMA/CD协议、全双工、流控制和由IEEE802.3标准定义的管理项目,千兆位以太网将使用所有这些规范[9]。
总之,千兆以太网与以前我们了解的以太网相同,所不同的是仅仅比快速以太网快十倍和它与当前的高带宽需求应用程序相协调的额外特性。
(2)光纤分布式数据接口
光纤分布式数据接口是一种是用光纤作为传输介质的,高速的,通用的环形网络,它能以100Mbps的速率跨长达100Km的距离,连接多达500个设备,既可用于城域网络,也可以用于小范围局域网。
FDDI采用令牌传递的方式解决共享信道冲突问题,与共享式以太网CSMA/CD的效率相比在理论上要稍高一点,然而FDDI与以太网一样,其本质仍是介质共享、连接的网络,这就意味着仍然不能提供服务质量,保证更高的带宽利用率。
在少量站点通讯的网络环境中,它可达到比共享以太网稍高的通讯效率,但随着站点的增多,效率会急剧下降,这是侯无论从性能和价格都无法与交换式以太网,ATM网相比,交换式FDDI会提高介质共享效率,但同交换式以太网一样,这一提高也是有限的,不能解决本质问题[10]。
(3)异步传输模式(ATM)
ATM是目前网络发展的新技术,它采用基于信元的异步传输模式和虚电路结构,根本上解决了多媒体的实时性及带宽问题,实现面向虚链路的点到点传输,它通常提供155Mbps的带宽,它既汲取了话务通讯中电路交换的“有连接”服务和服务质量保证,又保持了以太网,FDDI等传统网络中带宽可变,适于突发性传输的灵活性,从而成为迄今为止使用范围最广,技术最先进,传输效果最理想的网络互联手段[11]。
ATM技术具有如下特点:
实现网络传输的链接服务,实现服务质量(QoS);
交换吞吐量大,带宽利用率高,具有灵活的组网拓扑结构和负载均衡能力,伸缩性,可靠性极高:
ATM是现今唯一一个可同时用于局域网、广域网两种网络应用领域的网络技术,它将局域网与广域网技术统一。
由以上三种国园区网络各自特点的介绍,再结合大中型园区网络的具体情况,因此选择采用以太网技术中的快速以太网结构,即千兆到主干,百兆接入桌面的交换式快速以太网技术。
4.2拓扑结构选型
网络拓扑结构是指网络中的各节点之间互联的构型,不同拓扑结构的网络其信道的访问技术,利用率以及信息的延迟,吞吐量,设备开销等各不相同,因此分别用于不同规模,不同用途的场合,其中现在企业网中所用到的拓扑结构有以下三类,下面分别介绍其各自的特点:
(1)星形拓扑结构
星形拓扑结构是最古老的一种连接方式,我们每天都是用的电话属于这种结构,如图4.1所示。
其中,电话网的星形结构,为目前使用最普通的以太网星形结构,处于中心位置的网络设备称为集线器。
这种结构便于集中控制,因为端用户之间的通信必须经过中心站,由于这一特点,也带来了易于维护和安全等优点。
端用户因为故障而停机时也不会影响其他端用户间
图4.1星型拓扑
的通信但这种结构非常不利的一点是,中心系统必须具有极高的可靠性,因为中心系统一旦损坏,整个系统便趋于瘫痪。
对此中心系统通常采用双机热备份,以提高系统的可靠性。
(2)环形拓扑结构
图4.2环形拓扑
环形拓扑结构在企业网中使用较多,这种结构的传输媒体从一个端用户到另一个端用户,直到将所有端用户连成环形。
如图4.2所示。
这种结构鲜而易见消除了端用户通信时对中心系统的依赖性。
环形结构的特点是,每个端用户都与两个相临的端用户相连,因而存在着点到点链接路,但总是以单向方式操作。
(3)总线拓扑结构
总线结构是使用同一媒体或电缆连接所有端用户的一种方式,也就是说,连接端用户的物理媒体所有设备共享。
如图4.3所示。
使用这种结构必须解决的一个问题是确保端用户使用媒体发送数据时不能出现冲突。
在点到点链路配置时,这是相当简单的。
如果这条链路是半双工操作,只需要简单的机制便可保证两个端用户轮流工作。
在一点到多点方式中,对线路的访问依靠控制端的探询来确定。
然而,在园区网环境下,由于所有数据站都是平等的,不能采取上述机制。
对此研究了一种在总线共享型网络使用的媒体访问方法,带有碰撞检测的载波侦听多路访问,即CSMA/CD。
图4.3总线型拓扑
分析以上三种常见网络拓扑各自特点,因此选择以星型拓扑结构为基础,吸取总线型拓扑的部分优点,以增加冗余结构的网络拓扑。
4.3主干网设计
4.3.1设计目标
企业网的主干网主要用来实现数据的高速稳定的转发,是企业网中的核心。
子网之间的通信,企业总部与分部之间的通信都要靠主干网来实现路由转发。
随着时代的发展,古老的80/20数据模型已经远远跟不上企业的需求,取而代之的20/80的数据模型,即20%的数据在本地,而80%的数据在远程,同时企业内部子网之间的通信数据流量也是非常大的,因此对企业主干网的要求不仅是可靠性要高,还必须做到高带宽,实现数据的高速传输与高速转发。
4.3.2主干网解决方案
(1)链路选型
为了实现数据在企业网内部能够高速的转发而实现数据的低延迟转发,在接入层采用百兆链路到桌面,在这种要求下,对于一个24口交换机而言,上行最大流量为100*24*2=4800M,从网络的可扩展性考虑,企业网汇聚层与核心层之间应该采用万兆链路比较适宜。
(2)主干网路由解决方案
在企业网中对路由协议的选择一般可以选择rip和ospf这两种[12],rip是一中距离矢量路由协议,根据到目标地址的跳数多少来选择路由,每30s发送一次路由更新,有最大15跳限制。
Ospf是一种链路状态协议,根据链路的带宽来选择到达目标地址的路由,只有在拓扑结构发生变化时才会发送链路状态更新消息,没有最大跳数限制,具有区域的概念。
在高科通信技术有限公司网络设计方案中采用ospf作为主干网的路由协议。
总部核心层交换机防火墙和边界路由器组成主干区域area0。
(3)总部与分部互联解决方案
在本方案中高科通信技术有限公司总部与分部通过VPN互联,并且采用能封装组播数据包的gre协议作为VPN的封装协议。
4.4子网设计
(1)办公子网设计
办公子网分布在和分部的办公大楼内,接入层交换机通过trunk链路分别与两台核心层交换机相连。
属于同一部门的信息点划分到同一个vlan内,在总部各部门之间的通信使用SVI三层逻辑接口作为相应vlan的网关,在核心层使用VRRP技术实现网关的冗余,从而增加网络的可靠性。
在接入层与核心层之间采用了环形拓扑设计,为了避免二层环路,在核心层与接入层之间部署STP。
两台核心层交换机分别为根网桥和备份根网桥。
(2)宿舍楼子网设计
宿舍楼子网主要业务是对Internet的访问,由于距离中心机房较远,宿舍楼子网采用三层结构,接入层交换机接入到汇聚层交换机上,汇聚层交换机通过光纤链路连接到中心机房核心层交换机上,宿舍楼内每个宿舍属
升级会员 