企业网络规划.docx
《企业网络规划.docx》由会员分享,可在线阅读,更多相关《企业网络规划.docx(21页珍藏版)》请在冰点文库上搜索。
企业网络规划
毕业设计报告
课题名称:
xxxxxx网络规划
二级学院:
信息工程学院
专业:
计算机网络技术
班级:
10计网
(2)班
学生姓名:
xxxx
学号:
xxxxxx
指导教师:
xxxx
日期:
2012年11月20日
声明
本人声明所呈交的论文是我个人在导师指导下进行学习、研究,独立取得的成果。
尽我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果。
其中对本论文成果所做的任何贡献均已在论文中作了明确的说明并表示了谢意。
学生签名:
日期:
论文使用和授权说明
本人同意:
学校有权保留送交的论文,允许论文被查阅或借阅;学校可以公布论文的全部或部分内容,可以采用影印、缩印或其他复制手段保存论文;同意论文收录到相关数据库。
学生签名:
导师签名:
日期:
摘要
计算机网络是指通过传输媒休连接的多部计算机组成的系统,使登录其上的所有用户能够共享软硬件资源。
计算机网络如按网络的组建规模和延伸范围来划分的话,可分为局域网、城域网、广域网。
我们经常用到的Internet属于广域网,企业网属于局域网。
未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密方向发展
随着信息技术的发展,电脑的普及使用率越来越高,在同一地点多台电脑同时工作的情况越来越多,如高校的开放计算实验室、网吧、办公室等地方,没联网的单机很难想象。
为了方便维护、管理、共享信息资源等目的,常常需要把所有的单机联成网络,这种小规模局域网络的搭建十分实用。
企业网的建成和使用,对于一个企业来说,产品的介绍、销售、技术服务和售后服务等越来越多地采用网络的形式来完成,最主要的优点是:
方便、快捷和成本低廉。
其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、网络的应用和安全,网络系统的维护等内容。
关键字:
局域网,网络拓扑规划,路由,交换
第一章需求分析
1、1背景分析
xxxx有限公司南宁总部主要建筑物有行政楼、办公大楼和车间大楼。
有6个部门,分别是行政部、财务部、研发部、营销部、生产部、人事部。
行政楼有三层,第一层是公司的网络中心和服务器中心;第二层是财务部;第三层是总经理办公室和会议大厅。
办公大楼有三层,第一层是研发部;第二层是营销部;第三层是人事部。
车间大楼是生产部,包括生产车间、仓库等。
公司大概有180台左右的PC需要上网,选用一条20M光纤宽带接入链路。
考虑公司人员与规模会不断扩张,随着办公信息化、自动化的需求,各部门间为提高办公效率,促进信息交流,适应现代化办公的要求,公司要求在项目的规划上和实施中采集防火墙,服务器,网络设备以及系统管理模式,实现公司内部所有的信息资源合法的运用和完善管理。
使所有员工能够方便熟悉、安全高效地访问公司的网络运用服务和因特网,需要组建一个完善的企业内部网。
1、2网络需求
满足集团信息化的要求,为各类应用系统提供方便、快捷的信息通路;具有良好的性能,能够支持大容量和实时性的各类应用;能够可靠运行,具有较低的故障率和维护要求。
提供网络安全机制,满足集团信息安全的要求,具有较高的性价比,未来升级扩展容易,保护用户投资;用户使用简单、维护容易,为用户提供良好的售后服务。
主干网络负责各个子网和应用服务的连接,为信息交换提供有效的高速通道。
系统主干采用千兆以太网,网络协议采用TCP/IP协议,整个网络应考虑语音、视频、数据等的综合应用。
交换机要求采用主流、成熟、信誉和售后服务均佳的产品,核心交换机采用三层交换机,支持VLAN等功能,能较好解决突发数据量和密集服务请求的实时响应问题,在内部用户终端进行视频信号、数据交换时交换引擎不会出现过载现象和数据包碰撞、丢失的现象;下属单位接入交换机可采用相对低一档的产品;配置要保证网络中所有的服务器、交换机、路由器、集线器等设备的连续、正常地运转;网络带宽的分配:
应根据所属单位网络的信息流量情况合理分配网段,以充分利用网络带宽,提高网络的运行效率。
1、3应用需求分析
各部门内实现资源共享,提高公司办公和公司生产效率;网络需要满足公司内各种计算机应用系统的大信息量传输要求。
局域网要具备良好可管理性,公司网络系统结构要清晰,划分vlan便于管理;IP地址分配必需合理利用,满足公司网络扩容需求。
公司能支持所有PC机同时访问Internet;营销部因为工作需要,占用的流量必须大过其他部门。
公司的web和ftp服务器:
web服务器具有固定的IP地址配置,互联网和公司内部可以访问公司的网站;ftp服务器有固定IP地址,允许企业内部所有员工下载;外网不能访问ftp服务器。
部门间访问权限要有限制:
财务部不能给其他部门访问;营销部和生产部可以互相访问;人事部除了财务部以外都可以访问其他三个部门。
1、4网络安全需求
内网安全设计:
访问控制,通过密码、口令等禁止非授权用户对服务器和网络设备的访问,以及对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、防病毒入侵。
在企业网络中,关键应用服务器、核心网络设备,只有系统管理人员才有操作、控制的权力。
应用客户端只有访问共享资源的权限,网络应该能够阻止任何的非法操作。
第二章网络系统规划与设计
2、1设计原则
“公司项目”系统的基本建设原则为:
“实用性、可靠性、安全性、科学性、先进性、规范性”。
同时本着“总体规划、分步实施,满足应用,适当超前,尽量利旧”的指导思想进行公司信息化建设。
为了使所设计的方案尽可能满足公司实际的需求,使建成的网络在一定的时间内正常、高效地运转,方案应符合以下原则:
(1)实用性:
网络系统完成系统连接,实现信息设备及资源共享,为办公、管理服务;
(2)开放性:
保证系统的开放性,以便得到众多厂商产品和技术支持以及与其它网络互连;
(3)灵活性:
硬件及软件的设计充分考虑系统的灵活性,均应采用模块化的结构设计;
(4)经济性:
网络系统软硬件的选择应具有较好的性能价格比。
(5)科学性:
充分论证,统筹规划,精心设计,认真施工,保证网络系统层次和结构科学、合理;
(6)安全性:
系统应具有多种手段防止各种形式与途径的非法入侵和机密信息的泄露,并具有可靠的防病毒措施,因此需要充分重视网络系统和信息的安全,采取相应的技术措施和管理机制,保证网络系统的安全;
(7)可靠性:
网络系统作为其它应用系统的基础,必须可靠连续地运行。
系统支持容错功能,管理维护方便,能满足长时间、重负荷运行要求,因此需要选用稳定可靠的设备、采用成熟的技术、选择有经验的系统集成商,确保网络系统建设的可靠性;
(8)先进性:
在网络系统的设计上,应保证所采用的产品和技术三年相对先进、五年不落后、十年可用,因此需要采用成熟的先进技术,兼顾未来的发展趋势,既量力而行,又适当超前,留有发展余地;
(9)可扩展性:
随着应用的陆续开发和业务量、数据量的不断增大,现有系统应能够在进行很少的修改下进行扩充,因此系统的设计应充分考虑到以后系统的可升级性;
2、2技术方案设计
公司总体网络采用基于树型的双星型结构,使之具有链路冗余特性;在一台交换机出现故障的时候保障网络的正常运行;整体网络规划为核心及服务器群区域,内部骨干区域(汇聚链路),接入层上联区域,客户端接入区域,核心交换机位于集团总部机房;采用三层(接入层、汇聚层和核心层)结构。
网络主干采用先进的千兆以太网技术的方式连接,实现百兆到桌面,可最大限度地提高主干的数据传输速率,适应网络不断扩展的要求。
根据公司需求,选用的是cisco企业级的WS-C3750G-24TS-S1U千兆核心交换机作为本公司总部机房的核心交换;三层交换机作为不同部门Vlan以及各服务器Vlan的网关;并且用光纤连接到边界路由器。
各部门的办公网是以星型的方式千兆直接连接到各汇聚机房的汇聚交换机上后,由汇聚交换机通过千兆接到核心交换机;每个办公网划分不同的vlan。
2、3网络拓扑图
根据公司需求以及规模不大,在设计上将它组织为核心层、汇聚层、接入层分别考虑。
接入层节点直接连接公司用户计算机,是一个部门的交换机;汇聚层交换机节点可以连接接入层节点,是建筑物内部连接多个部门交换机的总交换机;核心层交换机节点连接多个汇聚层交换机,它是企业总交换机的核心网络设备。
本方案采用典型的三层网络拓扑结构:
接入层、汇聚层、核心层。
在上面的拓扑结构图中,企业主要有行政、财务、研发、营销、人事、生产五个部门接入点。
研发、营销、人事、生产五个部门距离超过100,因此通过千兆光纤链路接入到网络中心的汇聚交换机上。
核心交换接通过连接CiscoWS-C3750G-24TS-S1U路由器接入到外部因特网。
拓扑图如图1所示:
图1网络拓扑图
2、4IP和VLAN规划
划分VLAN的目的:
一是提高网络安全性,不同VLAN的数据不能自由交流,需要接受第三层的检验,因此,在一定程度上加强了虚拟网络间的隔离,有效防止外部用户入侵,提高了安全性。
二是隔离广播信息,划分VLAN后,广播域缩小,有利于改善网络性能,能够将广播风暴控制在一个VLAN内部,同时使网络管理趋于简单。
三是增强网络应用的灵活性,VLAN是在一个有多台交换机的局域网中统一设定的,这使得用户可以不受所连交换机的限制,不论用户节点移动到局域网中哪一台交换机上,只要仍属于原来的虚拟网,则应用环境没有任何改变。
在划分VLAN时,要考虑VLAN对于网络流量的影响,单个VLAN不宜过大。
根据公司各部门职能情况不同,把交换模块划分为不同的VLAN,减少了部门间广播冲突,提高了传输效率。
每个部门划分为一个VLAN,各部门分别属于不同的网段,在逻辑上被隔离,各部门间的通讯通过对核心层和汇聚层交换机进行配置来实现。
VLAN及IP地址分配情况如下表1所示:
Vlan
IP网段
默认网关
部门
Vlan10
192.168.10.0/24
192.168.10.254/24
行政部
Vlan20
192.168.20.0/24
192.168.20.254/24
财务部
Vlan30
192.168.30.0/24
192.168.30.254/24
研发部
Vlan40
192.168.40.0/24
192.168.40.254/24
人事部
Vlan50
192.168.50.0/24
192.168.50.254/24
营销部
Vlan60
192.168.60.0/24
192.168.60.254/24
生产部
----
172.16.10.2/24
172.16.10.1/24
FTP服务器
----
172.16.20.2/24
172.16.20.1/24
SQL服务器
----
172.16.30.2/24
172.16.30.1/24
WEB服务器
表1IP、vlan规划表
第三章设备选型
3、1设备选型原则
(1)代表目前网络系统设备的先进水平:
在网络和主机方面,应支持符合国际标准和工业标准的相关接口,能够与各接入单元网络、ISP网络以及其他相关系统实现可靠的互连;在网络协议的选择方面,选择广泛应用的标准的通信协议,同时支持局域网内部的其他协议。
(2)具备较强的安全性:
网络在设计和管理上必须提供严格的安全保密技术,实现不同级别的安全认证设置,并建立高效的防火墙系统来防止外界可能的攻击和病毒的破坏与影响。
在确保系统网络环境中单独设备稳定、可靠运行的前提下,还需要考虑网络整体的容错能力、安全性及稳定性,使系统出现问题和故障时能迅速地修复。
(3)具备优良的可扩充性和升级能力:
在网络和主机设备的选择方面,应具有良好的可扩充能力,可以根据信息网络临时需要对系统进行必要的调整、扩充,包括存储容量和网络规模等方面的扩充。
在网络全面升级换代的情况下,能够最大限度利用现有投资
(4)具备优良的性能价格比:
根据现在的需求和可以预见的需求增长情况设计网络,不追求空洞的技术先进性,避免追求高档和最新技术花费的巨大代价。
3、2网络设备选型
CISCO是网络业界第一品牌和最大的研发厂家,是项目可持续应用的投资保护和规避厂家风险的首选。
因此采用的是业界标准的强健稳定的CISCO设备,更具有广泛的协议支持,思科IOS取得广泛成功的关键在于,它的标准化设计中整合了创新网络技术、关键业务IP服务和首屈一指的平台支持能力。
接入交换机可采用相对低一档的产品。
基于以上原则,我们为xxxx公司网络建设选用CISCO公司的系列产品,以确保网络实用与性价比。
设备选型如下:
(1)核心交换机
核心层的功能主要是实现骨干网络之间的优化传输,负责整个网络的内部数据交换、网络的功能控制。
核心层设计任务的重点是可靠性和高速传输,需要提供高速度、低时延的数据链路。
通过提供冗余链路,实现高可靠、高可用的骨干,是局域网互连的关键。
其主要任务是提供高性能、高安全性的核心数据交换、QoS。
为整个公司宽带办公网提供交换和路由的核心,完成各个部分数据流的中央汇集和分流;为各个汇聚层和接入层交换机提供上联;同时提供了各个服务器的可靠接入,为数据中心的服务器提供千兆高速连接。
核心层设备需要高性能的三层交换机;并且非常可靠,实现不间断工作。
基于核心交换机的功能及作用,根据用户的实际需求,本方案对公司网络系统中的核心层采用的是CISCO的企业级核心交换机WS-C3750G-24TS-S1U,它的性能、指标等完全可以满足上述的各项要求。
企业级核心路由交换机WS-C3560-48TS-S1U的性能特性及技术指标如下表2:
主要参数
型号
ciscoWS-C3750G-24TS-S1U
传输速率
10/100/1000Mbps
背板带宽
32Gbps
包转发率
38.7Mpps
端口描述
24个以太网10/100/1000端口,4个基于SFP的千兆位以太网端口
表2核心交换机参数表
(2)汇聚层交换机
汇聚层主要功能是连接接入层节点和核心层中心;负责为接入层提供数据的传输、汇聚、分发处理,以实现通信量的收敛,提高网络中聚合点的效率,同时减少核心层设备路由路径的数量,其作用主要是隔离拓扑结构的变化,控制路由表的大小,收敛网络流量。
汇聚层交换机还负责本区域的数据交换。
因此汇聚层的交换机部署时必须考虑交换机必须具有足够的可靠性和冗余度;还必须具有高处理能力,以便完成网络数据会聚、转发处理;具有灵活、优化的网络路由处理能力,实现网络汇聚的优化汇聚层交换机需要较高的性能和较丰富功能;提高水平的可用性,可扩展性,服务质量,安全性和可以改进网络运营的管理能力。
根据汇聚层在整个网络中的作用以及用户的实际需求,本方案中汇聚层共设计了2个节点:
行政楼、办公大楼;汇聚层网络设备全部采用WS-C2960S-48TS-L;汇聚路由交换机CISCOWS-C2960S-48TS-L的性能特性及技术指标如下表3:
主要参数
型号
ciscoWS-C2960S-48TS-L
传输速率
10/100/1000Mbps
背板带宽
88Gbps
包转发率
77.4Mpps
MAC地址表
8K
表3汇聚层交换机参数表
(3)接入层交换机
接入层交换机作为二层交换网络设备,提供功能工作站等设备的网络接入,用来支撑客户端机器对服务器的访问。
接入层在整个网络中接入交换机的数据最多,具有即插即用、可堆叠特性的设备。
对于公司接入层交换机要求,一是价格要合理;二是可管理性号,易于使用维护;三是稳定性要好;也需要提供了快速以太网和千兆位以太网连接,同样要为用户提供千兆的光纤骨干和高密度度的接入端口。
根据接入层处在网络系统中所起的作用以及用户的实际需求,本方案中接入层采用的是华为S5700-24TP-SI(AC);其性能特性及技术指标情况如下表4:
主要参数
型号
华为S5700-24TP-SI(AC)
传输速率
10/100/1000Mbps
背板带宽
256Gbps
包转发率
36Mpps
MAC地址表
16K
端口数量
28个
端口描述
24个10/100/1000Base-T端口,4个100/1000Base-X千兆Combo口
表4接入层交换机参数表
(4)边界路由器
边界路由器作为连接内部局域网和外部Internet的关键路由,保证内和外网的隔离,内网用户通过连接各个交换机,汇总到边界路由器后,通过IP地址转换功能,将内网的私有地址转换成公网地址访问Internet,以使企业网络内外网互相独立,达到完全的物理隔离的目的。
边界路由器它需要具有高传输速率和支持较多的网络协议。
根据边界路由器功能和公司需求,边界路由器采用CISCO2911/K9,其性能特性及技术指标情况如下表5:
主要参数
型号
CISCO2911/K9
传输速率
10/100/1000Mbps
网络协议
IPv4,IPv6,静态路由,IGMPv3,PIMSM,DVMRP,IPSec
广域网接口
3个
端口结构
模块化
表5边界路由器参数表
(5)防火墙
防火墙位于外部网与核心交换机之间硬件设备,监视了内部网络和外网之间的活动,保证了内部网络地安全,起到对进出信息分析过滤的作用,增强机构内部网络的安全性。
因此在内部网与外部网之间,设置防火墙以实现公司内外网的隔离与访问控制。
是在网络连接之间建立一个安全控制点,通过控制经过防火墙的数据流,实现对进出内部网络的服务和访问的审计和控制。
因此要根据吞吐量和过滤带宽等多方面考虑。
根据防火墙功能以及公司需求,选择采用CISCOASA5510-K8防火墙,其性能特性及技术指标情况如下表6:
主要参数
型号
CISCOASA5510-K8
并发连接数
130000
网络吞吐量
最高300Mbps
安全过滤带宽
170Mbps
网络端口
3个快速以太网端口
用户数限制
无用户数限制用户
表6防火墙参数表
第四章综合布线系统设计
4、1布线系统总体设计
公司有3栋建筑,从总部机房采用四芯多模光纤与其他两栋建筑的设备间相连,从设备间连到工作站采用四芯多模光纤相连,距离在90米以内采用五类非屏蔽双绞线相连接,超过90米用光纤连接。
公司选用一条20M光纤宽带接入链路,使公司实现与外界的信息交换和网络通信。
公司统一由总部机房的一个出口访问Internet。
在服务器和核心交换机间使用UTP电缆来将服务器连接到核心交换机。
4、2详细子系统布线设计
(1)建筑群子系统设计:
建筑群子系统是将一栋建筑物内的电缆延伸到建筑群中的另外一些建筑物内的通信设备和装置上,采用光缆布线是目前主要的建筑间布线方式,建筑间的主干光缆采用四芯多模光纤。
(2)设备间子系统设计:
由设备间中的电缆、连接器和相关支撑硬件组成,把公共系统(通讯系统,计算机系统和建筑自动化系统等)设备的各种不同设备互连起来。
使用12芯单模室内多模光纤将其连接。
(3)干线子系统设计:
由连接主设备间与各个治理子系统的室内干线电缆构成。
数据主要从网络配线间向各个子配线间敷设,距离超过100M用12芯单模室内多模光纤,距离90M内用超五类屏蔽双绞线。
(4)管理子系统设计:
由配线间构成;由各种规格的配线架实现水平、垂直主干线缆的端接及分配;由各种规格的跳线实现布线系统与各种网络、通讯设备的连接,并提供灵活方便的线路管理能力。
对于信息点不是很多,使用功能近似的楼层,为便于治理,仅设置一个共用的子配线间;对于信息点较多的楼层则在该层设立配线间。
(5)水平子系统:
主要是实现信息插座和管理子系统,即是与配线架的连接。
水平子系统为星形拓扑。
在水平子系统中采用超五类非屏蔽双绞线。
水平双绞线的最大长度均不超过90m。
(6)工作区子系统:
由各个单元区域构成,是计算机、电话和信息插座的连接部分,包括连接跳线和信息插座。
信息插座的模块采用类RJ-45模块;线缆采用超五类双绞线;水晶头采用RJ-45标准水晶头。
第五章网络安全设计
因特网存在连接。
为了保障网络系统的运行安全,保护集团的信息安全,必须进行网络安全方面的规划和实施。
一个网络的安全,首先要有严格和有效执行的管理制度,公司需要制定严格的网络安全管理策略,并有效的执行;必须具有一定的技术手段来保障网络的安全。
技术和管理手段相结合实施,才能够产生良好的效果。
通过以下几个技术方面的实施,可以在一定程度上保障网络的安全:
(1)配置设备的口令
配置设备的口令,以防止非授权的人员更改网络系统的配置,要为所有的网络设备设置口令,要为每一台设备配置CONSOLE口令,VTY口令,特权口令等。
在口令方面,需要制定管理制度并严格执行。
口令管理制度包括口令的设置,保管,更改,口令的强度等内容。
(2)配置VTP域的认证
进行VTP域的认证,能够保证局域网的VLAN等的安全。
设置了VTP域认证,防止新增加的设备自动加入到已存在的管理域中,保证了局域网的运行安全,可以避免因为VLAN被错误或者恶意的增加、删除造成的运行故障。
(3)内外网隔离
防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。
在逻辑上,有效地监视了内部网络和外网之间的活动,保证了内部网络地安全;在物理实现上,防火墙是位于外部网与核心交换机之间硬件设备,起到对进出信息分析过滤的作用,增强机构内部网络的安全性。
因此在内部网与外部网之间,设置防火墙以实现公司内外网的隔离与访问控制。
服务器系统安全的实现,与网络系统的安全策略紧密相关。
公司局域网系统分为内网和外网,采用防火墙隔离,内网、外网不能直接互相访问。
内网、外网之间设置非军事区,所有内网、外网之间的访问全部通过防火墙实现。
基本发上原则,公司的网络应用系统服务器安全。
Web、ftp等服务器设置在非军事区,以实现内网和外网的访问。
(4)网络病毒防范
网络防病毒系统要求做到在整个内部网杜绝病毒的感染、传播和发作;要求提供多种防病毒软件的安装方式;网络管理员可远程监控客户机,发现病毒可以及时得到通知;网络管理员可以对网络中每台计算机进行防病毒控制和管理;所有客户端和服务器具有统一的杀毒版本。
该用户选择了瑞星公司的杀毒软件网络版,以此为基础作为网络防病毒解决方案,采用分级管理、多重防护的管理架构。
第六章主要设备配置
6、1边界路由NAT配置
根据公司规模的需求,申请了202.103.160.0-7/29的公网地址,其中202.103.160.1/29作为web服务器的映射地址;202.103.160.2-4/29作为内网NAT转换的公网地址;202.103.160.5-6/29作为边界路由器连接ISP的管理地址。
NAT配置如下:
#iproute0.0.0.00.0.0.0202.103.160.6//配置到外网的缺省路由
#access-list1permit192.168.0.00.0.0.255//配置允许转换的内部地址
#ipnatpoolnat01202.103.160.2202.103.160.4netmask255.255.255.248//配置NAT地址池
#ipnatinsidesourcelist1poolnat01overload//配置动态NAT映射,将NAT地址池和ACL绑定
#ipnatinsidesourcestatic