中小型企业互联网络接入方案文档格式.docx
《中小型企业互联网络接入方案文档格式.docx》由会员分享,可在线阅读,更多相关《中小型企业互联网络接入方案文档格式.docx(29页珍藏版)》请在冰点文库上搜索。
在中国随着电脑网络的普及应用,上网客户也日益增多,无论你从事什么事业,都无法忽略9000万用户的存在。
一旦您在互联网上建立了自己的网站,便可以向全世界提供24小时全天信息发布。
在网站上,您可以让客户非常方便地看到公司的介绍、产品说明、服务方式、联系地址,而且公司的介绍、产品的说明可以加入声音、图片、动画和影像信息,达到真正声情并茂,您可以让客户非常方便地明白与您合作的原因和好处。
具体针对企业网络现状、需求及设计目标
1.2网络建设目标
1.树立企业形象
在自己的网站上,您可以将公司介绍、产品说明、服务设施、公司形象向全世界客户展示。
在发达国家90%以上著名企业和产品品牌,都在网上建立了自己的站点,许多不出名的中小企业都在上网建站后,树立了企业形象,使更多的客户了解企业,从而取得了巨大的收获。
在全球市经济场日趋一体化的当今社会,在互联网上设立站点是现代企业的必然选择。
在美国,90%以上的企业都把信息放在网上,有没有上网建站已经成为衡量一个企业是否具有实力和信誉的重要标志。
2.沟通客户
在您自己网站上,你可以让自己的客户获得必要的商业信息,你的公司规模?
你的营运状况?
你的营业时间?
你的服务项目?
你的联系方式?
你的地址?
今天的特价品是什么?
这周的销售优惠是什么?
一旦您在互联网上建立了自己的网站,便可以提供24小时全天服务。
当你的客户想起你时,就能随时查阅你的各种信息。
在您自己的网站上,可以及时得到客户反馈的信息。
教科书上说:
"
想知道你的客户需要什么,你应该不断与客户联系,最终会找到答案。
但这只有有钱、有人的大公司才做得到。
如果你既没钱,又没时间,怎么办?
建了您自己的网站后,你可以通过电子邮件得到反馈信息,及时获知客户的意见。
回答客户关心的问题。
几乎每个公司,每个职员都会告诉你,他们的时间被消耗在一遍又一遍回答同一个问题上了。
而这些问题,正是现在的用户和潜在的用户都应弄懂的问题。
现在,把这些问题的答案,放在互联网上,客户想什么时间得到答案都可以,你可轻松了。
二网络需求分析
2.1应用特点及需求分析
随着计算机网络的迅猛发展、信息时代企业之间的竞争越来越激烈,对通过Internet/Intranet网络进行信息交流的需求越来越迫切,为促进效益、方便管理和进一步发挥企业的创造力,企业网络建设已成为必然的选择。
中小型企业网以园区局域网为主,一个基本的企业网具有以下的特点:
高速的局域网连接——企业网的核心为面向企业内部员工的网络,因此园区局
域网是该系统的建设重点,由于参与网络应用的企业员工数量多,而且包含各种信息,故大容量、高速率的数据传输是网络的一项基本要求;
信息结构多样化——企业网应用分为:
办公管理(不同部门使用不同的网络)和远程通讯(远程维护、互联网接入)两大部分内容。
办公管理以数据库为主,远程通讯则多为WWW方式,因此数据成分复杂,不同类型数据对网络传输有不同的质量需求;
安全可靠——企业网中同样有大量关于企业资料和档案管理的重要数据,不论是被损坏、丢失还是被窃取,都将给公司带来极大的损失;
操作方便,易于管理——企业网面向不同知识层次的员工,应用和管理应简便易行,界面友好;
经济实用——中小型企业对网络建设的投入有限,因此要求建成的网络应经济实用,具备很高的性能价格比。
根据网络设计模型可以将企业网分为三层结构:
以公司内的网络控制中心为核心;
与公司内各建筑互连形成园区主干;
各建筑物内再扩展面向用户的局域网。
园区主干连接为100M/1000Mbps,建筑物内部的用户局域网提供到桌面的10/100Mbps网络带宽。
图2.1
2.2需求特点和组网原则
中小企业通常是指规模在500人以下的企业,如果进一步细分,又可分为100人以下的小型企业、100~250人的中小型企业,以及250人以上的中型企业。
从广义的角度,又可以将同等规模的政府、科研及教育等单位也作为中小企业来看待。
相对于中小企业的人数,中小企业网络是指节点数小于500个的网络。
企业的网络规模以及现状
目前看来,中小规模局域网的需求特点和建网策略有以下几点:
1、高性能的百兆网络核心
随着网络用户数量和应用种类的不断增加,10/100M网络成本的不断下降,目前大部分用户的桌面系统均已采用百兆到桌面,网络主干则为百兆以太网络。
与以前的局域网络技术相比,百兆网络具备简单、高效、建设成本低等显著优势。
尤其是基于铜缆双绞线的百兆以太网络技术产品的推出,使百兆网络的建设成本进一步降低,百兆网络无疑已经成为建设企业网络核心的最佳之选。
2、端到端的智能化网络
目前,用户的网络需要承载各种结合数据、语音、视频、图形图像等多种信息载体的应用,而它们对网络传输服务的需求是不同的,比如语音和视频信息的传输需要恒定的网络带宽,同时对网络的延时和延时抖动要求严格,图形图像信息则对网络带宽要求较高,即使传统的数据信息的传输对于不同的业务应用其网络服务要求也是不同的。
这样,网络需要能针对不同类型的应用来满足对传输服务质量的要求。
同时网络用户也需要能对不同业务应用和网络资源的访问进行安全控制。
解决网络服务质量和安全的关键在于网络的智能化,而且是从过去的智能化核心模式向从网络核心(核心交换机)到网络边缘(桌面交换机)端到端的智能化模式迁移。
3、高可靠性的网络
现在企业业务的运营与管理都是基于网络业务应用而实现的,网络系统稳定可靠的的运行是关键。
用户需要高可靠性的网络。
4、管理简单的网络
网络用户数量和规模、网络承载的业务应用、网络技术和产品的采用都在不断的增加,这意味着网络的复杂度在不断增加,网络的管理成本和管理风险也在同步提高,尤其对于中小网络用户,所以他们更需要建设能够简单管理的网络。
5、关注网络安全
现在,中小企业不约而同地在建立企业经营信息管理系统,这些系统提供信息是企业核心的机密之一。
为保证这些重要信息,很多企业借助于操作系统和数据库口令机制。
但由于这些方法无法真正保证安全,会经常发生信息漏露。
同时,由于无法跟踪每个员工究竟使用哪些信息,事先无法做到有效的威慑和防范。
而就算事后通过其它途径得知时,以往往没有证据而无法举证。
这些都严重地影响了企业的
正常运营,因此需要在交换机中加强安全模块和安全策略。
6、高投资回报的网络
实用性与先进性并举的高投资回报网络市场的竞争日趋激烈,用户将越来越注重网络投资的实效性,并根据企业现在和未来的实际业务需求渐进投入,建设高投资回报的网络。
三网络建设方案
3.1网络拓朴结构设计
针对成长型的中小型商业/企业网络,网络的扩展和业务的发展都有着不可预测性。
资金的投入成为必须考虑的因素,但同时希望拥有业务传输稳定性和高速,可靠的网络平台。
选择千兆智能网管交换机作为核心交换机,10/100M的工作组智能网管交换机作为桌面接入,要比全网管的交换机设计出的方案节省了一大部分资金,同时又具有比非网管交换机更丰富功能,更高速的交换。
对于大多数中小型商业/企业网络而言,选择CISCO的千兆线速智能网管交换机作为核心网络中心交换机,就能以接近非网管交换机的价格来获得千兆的网络主干,千兆服务器的连接、并且可提供防火墙和网管工作站的连接。
合理的VLAN划分可以简单的提供信息安全隔离,将不同业务的部门进行分割,部门间不能互访,只有共享端口连接的服务器和互联网才能共享访问。
另外,合理的VLAN划分,可以有效的隔离广播,优化网络的性能,降低网络病毒的传播风险。
在接入层,我们采用CISCO工作组交换机2950交换机,提供10/100M桌面接入。
在接入层与核心千兆交换机之间,可采用千兆光纤/铜缆进行连接,以实现千兆的主干上连;
另外,我们也可通过链路汇聚的方式将2根千兆主干捆绑上连,以实现高速、流量均衡、冗错备份的全双工4G的主干连接。
图3.1网拓扑结构图
在整体拓扑图中可看到,为实现Internet接入和为在家办公、学习的远程用户提供拨号上网服务,企业网中还设立了位于网控中心内的Internet服务中心,采用Cisco2621路由器(具1个10M以太网接口,2个WAN接口卡和1个支持多种模块的网络插槽)作远程连接,其10M以太网端口与网控中心的局域网相连,另可选配一块具备1个2M广域网串口的接口卡通过DDN专线连接到Internet;
再选配一块NM-16AM网络模块,为远程用户提供16口拨号连接。
3.1.2网络拓朴结构类型的选择
组建一个网络首先要确定这个网络使用哪一种网络拓朴结构。
网络拓扑是指网络形状,或是它在物理上的连通性。
网络拓扑的主要结构有:
星型拓扑、总线拓扑、环形拓扑、树形拓扑、扩展星型拓扑、网型拓扑六种形式。
选择网络拓朴结构时要考虑的因素:
可靠性、费用、灵活性、响应时间和吞吐量。
图3.2星型拓扑
星型拓扑结构是目前在局域网中应用得最为普遍的一种,在企业网络中几乎都是采用这一方式。
星型网络几乎是Ethernet(以太网)网络专用,它是因网络中的各工作站节点设备通过一个网络集中设备(如集线器或者交换机)连接在一起,各节点呈星状分布而得名,如图3.2所示。
企业局域网络目前采用的最多的是星型拓扑结构,传输介质采用双绞线,如常见的五类线、超五类双绞线等。
这种拓扑结构网络的基本特点主要有如下几点:
(1)容易实现:
它所采用的传输介质一般都是采用通用的双绞线,这种传输介质相对来说比较便宜,如目前正品五类双绞线每米也仅1.5元左右,而同轴电缆最便宜的也要2.00元左右一米,光缆那更不用说了。
这种拓扑结构主要应用于IEEE802.2、IEEE802.3标准的以太局域网中;
(2)节点扩展、移动方便:
节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可,而要移动一个节点只需要把相应节点设备移到新节点即可,而不会像环型网络那样"
牵其一而动全局"
;
(3)维护容易;
一个节点出现故障不会影响其它节点的连接,可任意拆走故障节点;
(4)采用广播信息传送方式:
任何一个节点发送信息在整个网中的节点都可以收到,这在网络方面存在一定的隐患,但这在局域网中使用影响不大;
(5)网络传输数据快:
这一点可以从目前最新的1000Mbps到10G以太网接入速度可以看出。
(6)可以采用分层结构,例如:
干网可用千兆,中间层可用百兆,低层可用十兆交换到桌面,可以充分利用网络资源,减少瓶颈。
所需设备:
RJ45接头(水晶头),双绞线有三类(符合IEEE802.310Base-T,用于10M网),五类、超五类(用于100M网)之分,集线器(HUB),RJ45口网络接口卡(NIC)有10M,100M或10/100M自适应之分。
3.2广域网接入方案
3.2.1Internet连接
帧中继(FRAMERELAY)
帧中继是综合业务数字网标准化过程中产生的一种重要技术,是在用户--网络接口之间提供用户信息流的双向传送,并保持顺序不变的一种承载业务,用户信息以帧为单位进行传输,并对用户信息进行统计复用。
它主要有4个特征:
高传输速率、低网络延迟、高连通性、高效带宽利用,帧中继专门针对于采用面向包的技术进行数据传输的网络。
它经过特别设计以解决可变长度的突发数据和不可预见信息的高效传输问题。
——帧中继(FrameRelay)专线接入特点和优点:
1.高传输速率:
以分组容量大的帧为单位而不是以分组进行数据传输,对中间节点不进行误码纠错,目前可提供的传输速率从64Kbps到2Mbps;
2.高效带宽利用:
面向包的协议提供一种灵活的带宽分配方法,根据用户需要对不同的信息流进行带宽分配。
帧中继的有效设计使得节省带宽成为网络不可分割的部分;
3.低连接费用:
更快的响应速度也能降低单位比特的传输费用;
4.突发传送:
即用户若有突发性数据处理要求,在网络允许范围内,可以使用比其申请的CIR(即承诺信息速率)更高的传输率;
5.传输功能强:
可支持数据、图像、语音、传真等多媒体业务的传输;
6.兼容性高:
兼容X.25、SNA、DECENT、TCP/IP等多种网络协议,可为各种网络提供可为种网络快速、稳定的连接;
7.通过高速的国际互联网通道,用户可构筑自己的Internet,Web网站、Email系统;
8.网络的整体接入----使局域网用户均可共享互联网资源;
实现每天24小时全天候的信息发布,专线用户可免费得到多Internet合法的IP地址及免费域名;
9.提供详细的记费、网管的支持,通过防火墙等技术保护用户网络免受不良侵害;
10.采用虚电路技术而不采用存储转发技术,时延小、传输出速率高、数据吞吐量大;
11.通过VPN(VirtualPrivateNetwork)----虚拟私用网络功能利用首创网络综合信息平台,实现安全、可靠的企业网的国际网络互连,从而构建起企业的国际私有互连网络。
在帧中继网上具有一个高速端口,用户申请一条帧中继线路连到的端口,即可实现与Internet网的连接。
连接方式有如下两种:
1.用户通过直通电路接入帧中继网连到本公司的帧中继端口,接入Internet网;
2.用户通过DDN专线接入帧中继网连到本公司的帧中继端口,接入Internet网;
12.
以下是帧中继与现在其他网络技术的特点比较:
项目
交换电路
租用电路
分组交换
帧中继
高速率
较差
较好
按需分配带宽
无
一点到多点
可以
网络灵活性
费用
较低
较高
时延
较长
总之,帧中继指的是通过数字网接口传送"
帧"
或信息块的技术,该数据网接口采用为每一帧分配的连接编号来区分单个连接。
在网络的边界,这个编号可区分信息源的终端目标。
实际上,帧中继允许数据信息沿网络"
高速公路"
快速传输,以最少的处理通过交换网点,因此,它成为当今局域网(LAN)互连、局域网与广域网(WAN)连接等应用的理想解决方案。
3.2.2远程访问连接
企业的远程访问系统包括通过公用电话网和通过CHINANET构成的企业内部虚拟专用网络(VPN)两部分。
适用于企业本部以外、市内那些快速以太网无法连接的用户组成。
这些部门通过公用电话网和思科公司访问服务器直接访问总局的Intranet网络。
而对于市区以外的部门和单位,则利用CHINANET和Internet网及数据加密技术构成企业的内部虚拟专用网。
●VPN概述
随着企业网应用的不断发展,企业网的范围也不断扩大,从一个本地网络发展到跨地区跨城市甚至是跨国家的网络。
与此同时随着互联网络的迅猛发展,Internet已经遍布世界各地,从物理上讲Internet把世界各地的资源相互连通。
正因为Internet是对全世界开放的,如果企业的信息要通过Internet进行传输,在安全性上可能存在着很多问题。
但如果采用专用线路构建企业专网,往往需要租用昂贵的跨地区数据专线。
如何能够利用现有的Internet来建立企业的安全的专有网络呢?
虚拟专用网(VPN)技术就成为一个很好的解决方案。
虚拟专用网(VPN)是指在公共网络中建立专用网络,数据通过安全的"
加密通道"
在公共网络中传播。
企业只需要租用本地的数据专线,连接上本地的Internet,各地的机构就可以互相传递信息;
同时,企业还可以利用Internet的拨号接入设备,让自己的用户拨号到Internet上,就可以连接进入企业网中。
使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等优点,将会成为今后企业网络发展的趋势。
虚拟专用网的本质实际上涉及到密码的问题。
在无法保证电路安全、信道安全、网络安全、应用安全的情况下,或者也不相信其他安全措施的情况下,一种行之有
效的办法就是加密,而加密就是必须考虑加密算法和密码的问题。
考虑到我国对密码管理的体制情况,密码是一个单独的领域。
对防火墙而言,是否防火墙支持对其他密码体制的支持,支持提供API来调用第三方的加密算法和密码,非常重要。
图3.2
3.3主干网设计
3.3.1网络系统主干及传输性能
需要5个9的可靠性
骨干核心路由器的部署位置决定了它需要很高的可靠性和稳定性,这个也是网络运营商最为关注的问题,用户希望用路由器组建的网络可以支持高水平的业务。
骨干核心路由器需要提供达到99.999%的可靠性,意味着每年路由器中断时间不超过5分钟。
对高可靠性协议的支持也成为骨干核心路由器必备的特质。
热备份路由协议HSRP和VRRP协议提供了一种在特殊的网络环境下进行无间断服务的机制,它允许网络在一个路由器失效时,网络中的另一个路由器自动接管失效路由器,从而实现IP路由容错。
也有厂商通过MPLS等协议的快速路由保护功能来实现高靠性。
关于可靠性的描述(冗余链路)
企业网百兆以太网作骨干,10M/100M交换到桌面。
在全双工方式下,数据
传输速率为200Mbps,主干连接主机房内所有服务器、各栋楼分配线间二级交换机,楼与楼之间选用光纤连接。
两栋楼间距离在220米内使用多模光纤(1000Base-SX以太网)、550米内使用1000Base-SX(50/125μm)、5000米内使用1000Base-LX。
在中心路由器上添加一个千兆以太网模块来实现千兆的传输。
二级交换设备的选型应保证,所有后来增加的上网信息点均能达到交换100兆/10兆到桌面。
中心交换设备和服务器都放置于计算机中心机房,便于设备的集中控制与管理。
中心交换设备放置于计算机中心机房的主配线柜内,二级网络设备放置于各栋楼分配线间的配线柜内或者各部门的配线柜内。
信息点则按照每个部门的实际需要来分布。
3.4部门级网络设计
本企业的局域网,物理跨度不大,通过千兆交换机在主干网络上提供1000M的独享带宽,通过下级交换机与各部门的工作站和服务器连结,并为之提供100M的独享带宽。
利用与中心交换机连结的Cisco路由器,所有用户可直接访问Internet。
每个部门局域网将按实际需要来分布信息点,全部提供Internet接入。
部门局域网实际上是处于电信城域网的末端,要求在本地建立起一个10M到桌面的采用快速以太网技术的局域网,最终实现高稳定性的、高速的数据交换和高速互联网访问,并且要求支持未来音频、视频通信多业务网络。
由于这个网络交易中心将承担着重要、敏感、实时的商业交易业务,对网络的健壮性、有效性、可应用性、长时间运行等方面有极高要求。
因此局域网要求采用高可靠的网络设备来搭建起这个快速以太网络,并采用合理的网络拓朴设计来达成上述目标的实现。
这个最终的网络将是一个高性能的、高可靠、而且经济的快速以太网络系统。
在目前,大多数基于交换机的VLAN是专用的。
IEEE802.1P委员会开发出一种多址广播标准,使VLAN成员可以在取消VLAN广播抑制任务的情况下通信。
在可互操作的软件和硬件里实现上述标准之前,VLAN配置仍将要求维护单一供应商交换机环境。
如果上述问题很严重,就要考虑捕捉多交换机VALN数据的地方只限于中间交换机链路或者主干网。
在大型网络里,主干几乎都在100Mbps以上,高速控制器的部署与常见VLAN不一样,而且成本很高。
中心交换设备支持VLAN划分和第三层交换,网上用户的服务优先级可进行分配,优先级为:
系统管理员级,少量工作站级(分布于不同楼),其余工作站为第三级。
在用户数及传输带宽需求增加时,该设备应能方便扩展和升级。
3.5网络可靠性及安全性设计
3.5.1网络安全和防火墙
除了关注全球连网对企业业务的积极影响之外,同时也要充分考虑到将因特网作为企业内部计算机网络的延伸后的安全问题。
若没有合适的防火墙解决方案,您的系统就会成为网络黑客们的众矢之的。
恶意闯入来自四面八方,并进行简单的恶意行为,例如:
信息偷窃,甚至故意破坏。
除了日趋严重的外部威胁以外,企业内部对系统安全构成危害的行为也在不断增加。
许多系统侵入者都非常隐蔽,他们给企业系统安全造成潜在的最大损害,而当其所造成的危害被发现时往往已为时过晚。
有效的网络安全策略必须包括防火墙的采用,此防火墙具有管理简单、功能先进等特点,并且能够保证对所有系统实施‘防弹’保护。
防火墙具有以下五大基本功能:
过滤进、出网络的数据;
管理进、出网络的访问行为;
封堵某些禁止的业务;
记录通过防火墙的信息内容和活动;
对网络攻击的检测和告警。
3.5.2虚拟局域网的构建
在企业网中,关键应用服务器、核心网络设备,只有系统管理人员才有操作、控制的权力。
应用客户端只有访问共享资源的权限,网络应该能够阻止任何的非法操作。
在企业网的设计上,划分虚拟子网,一方面可以有效的隔离子网内的大量广播,另一方面隔离网络子网间的通讯,控制了资源的访问权限,提高了网络的安全性。
虚拟局域网(VLAN)对减少网络的广播风暴和提高安全性非常重要。
将企业网划分为生产部VLAN、人事部VLAN、财务部VLAN、销售部VLAN、采购部VLAN五个逻辑子网。
VLAN之间的通信在CISCO中心交换机内部即可解决,能够建立跨
升级会员 