中小型企业局域网的设计.docx
《中小型企业局域网的设计.docx》由会员分享,可在线阅读,更多相关《中小型企业局域网的设计.docx(24页珍藏版)》请在冰点文库上搜索。
中小型企业局域网的设计
XXXXXXXXXXX学院
毕业设计(论文)
SNL/QR7.5.4-3
中小型企业局域网的设计和规划
专业:
学生姓名:
班级:
学号:
指导教师:
完成日期:
中小型企业局域网的设计和规划
摘要:
在经济日益增长的时代,随着中小型企业数量的不断增长,已经成为我国经济中不可或缺的重要组成部分。
中小型企业要想在这样的时代中继续不断地发展,必须有所改变。
中小型企业在信息化的过程中,都面临着基础网络规划不合理、功能设计不健全、扩展能力不足等困惑,需要工程化的方案予以规划和指导。
本论文以满足中小型企业局域网建设的基本要求为出发点,提出一般企业的典型需求,明确网络在冗余、扩展与安全等方面的设计方案。
关键词:
局域网;组网方案;综合布线;网络安全
Smallandmedium-sizedenterpriselocalareanetworkdesignandplanning
Abstract:
Intheperiodofgrowing,thegrowthinthenumberofsmallandmedium-sizedenterprises,hasbecometheindispensableimportantcomponentofourcountry'seconomy.Smallandmedium-sizedenterpriseswanttointhiseraofcontinuouslydevelopment,mustchange.Smallandmedium-sizedenterprisesintheprocessofinformatization,arefacingunreasonablebasednetworkplanning,functionaldesignisnotperfect,lackingtheabilitytoextendsuchasconfusion,needengineeringschemeplanningandguidance.Inthispapertomeetthebasicrequirementsofsmallandmedium-sizedenterpriselocalareanetworkconstructionasthestartingpoint,putsforwardgeneralenterprisetypicalrequirements,specificnetworkinredundancy,extensionandsecurityaspectsofdesign.
Keyword:
Localareanetwork;Networkschemes;Integratedwiring;Networksecurity
目录
1、局域网1
1.1局域网概述1
1.2局域网分类1
2、企业需求分析2
2.1典型的中小型企业2
2.2需求分析2
3、组建局域网的设计目标和原则3
3.1设计的目标3
3.2设计的原则3
4、局域网设计方案4
4.1网络结构设计4
4.2VLAN的设计5
4.2.1VLAN技术简介5
4.2.2VLAN的划分5
4.3IP地址规划与路由协议选择6
4.3.1IP地址划分方案6
4.3.2路由协议选择7
4.4访问控制列表(ACL)8
4.5第三层交换技术9
5、网络安全规划9
5.1外网安全9
5.2内网安全10
6、网络设备的选型10
6.1传输介质选型10
6.2交换机选型10
6.3路由器选型11
7、综合布线12
7.1综合布线概述12
7.2综合布线的标准13
7.3综合布线设计13
8、测试14
8.1整体连通性测试方案14
8.2ACL访问测试方案15
结束语16
参考文献17
致谢18
1、局域网
一种覆盖一座或几座大楼、一个校园或者一个厂区等地理区域的小范围的计算机网。
1.1局域网概述
局域网的全称为局部区域网络(LocalAreaNetworks,LAN)。
我们把在较小地理范围内,利用通信线路把数据设备连接起来,实现彼此之间的数据传输和资源共享的系统称为局域网。
局域网设计目标是覆盖一所大学、一幢办公楼等“有限地理范围”,因此它的网络拓扑、传输介质与介质访问控制方法具有自身特点。
局域网是目前应用最广泛的一类网络,比较适合于连接公司、办公室或工厂里的个人计算机和工作站,因此广泛应用于各种专用网、办公自动化、工业控制及数据处理等领域。
局域网的主要特点有:
(1)覆盖的地理范围较小,只在一个相对独立的局部范围内联,如一座或集中的建筑群内;
(2)使用专门铺设的传输介质进行联网,数据传输速率高(10Mb/s~10Gb/s);
(3)通信延迟时间短,可靠性较高;
(4)局域网可以支持多种传输介质。
局域网由网络硬件(包括网络服务器、网络工作站、网络打印机、网卡、网络互联设备等)和网络传输介质,以及网络软件所组成。
[1]
局域网可以实现文件管理、应用软件共享、打印机共享、扫描仪共享、工作组内的日程安排、电子邮件和传真通信服务等功能。
1.2局域网分类
局域网的类型很多,若按网络使用的传输介质分类,可分为有线网和无线网;若按网络拓扑结构分类,可分为总线型、星型、环型、树型、混合型等;若按服务对象分类,可分为企业网、校园网;若按传输介质所使用的访问控制方法分类,又可分为以太网、令牌环网、FDDI网和无线局域网等。
其中,以太网是当前应用最普遍的局域网技术。
从介质访问控制方法角度来看,局域网分为共享介质式局域网与交换式局域网两类。
交换式局域网通过局域网交换机支持连接到交换机端口的结点之间的多个并发连接,实现多结点之间的并发传输,增加了网络带宽,改善了局域网的性能与服务质量,成为应用的主流。
局域网典型技术与产品包括以太网、令牌总线、令牌环网三类,其中以以太网应用最为广泛。
随着快速及高速局域网技术的发展,100Mbps、1Gbp和10Gbps的以太网成为必然性的首选。
同时,无线局域网快速发展成为应用的新热点。
2、企业需求分析
中小型企业发展过程中,客观业务的发展,不断推动网络需求的变化,应用的增长。
2.1典型的中小型企业
典型的中小型企业类型有:
(1)制造商;
(2)大型零售商;
(3)旅馆服务业特许经营商;
(4)公共机构和政府机构;
(5)医院;
(6)学校。
根据企业的体系构成和规模,可以将企业网分成工作组级、部门级、园区级和企业级四种网络类型。
根据2011年7月4日,工信部等四部门联合发布的《中小企业划型标准规定》,各行业划型标准主要依据营业收入和从业人数两项,中小企业从业人员普遍小于1000人的标准,中小型企业网目前适用的网络规模往往在园区级及其以下。
这些企业网络通常拥有众多用户、跨越多个位置,或部署多套系统,形成了“园区网”的典型网络,如图2.1所示。
图2.1园区网结构
2.2需求分析
企业内部网络的建设已经成为提升企业核心竞争力的关键因素。
企业网已经越来越多地被人们提到,利用网络技术,现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。
这直接关系到企业能否获得关键的竞争优势。
近年来越来越多的企业都在加快构建自身的信息网络,而其中绝大多数都是中小企业。
网络应该支持的交换流量类型包括数据文件、电子邮件、声音和视频等应用,能够有效地处理这些融合的网络流量,设备能进行科学的管理和合理控制。
本次设计,涉及部门20个(综合办公室、财务部、研发部、后勤部等),建筑有包括办公楼、生产车间、生活楼及食堂,各建筑间距一般有10~200米不等。
其中A栋办公楼个a层,每层信息点X个;生活楼B栋各b层,每层Y个信息点;食堂C处各c层,每层Z个信息点;车间D处各为一层,每处有M个信息点。
3、组建局域网的设计目标和原则
3.1设计的目标
中小型企业信息化,首先应该站在企业战略目标的高度,依据企业的经营、营销竞争战略综合考虑,必须从企业的实际出发,来制定实施信息化的总体规划。
这样才能保证企业信息化是站在企业战略目标和长远发展的全局上的,是系统的、全面的、统筹兼顾的。
因此,设计的总体目标要围绕企业战略,从长远规划而形成的业务、流程、组织、策略,提高网络的安全性、先进性,增强其开放性、扩展性。
[2]
(1)系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等,防范各种形式对网络的非法入侵和内部攻击,防止内部信息数据被非法窃取、篡改或泄漏,以保证网络的实体安全、网络安全、系统安全和信息安全,有效地保障正常的业务活动。
(2)系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对先进成熟,整个系统的生命周期应有比较长的时间,在系统建成后比较长的时间内能满足用户需求增长的需要,从而最大限度保护用户投资。
(3)采用的软硬件平台和管理系统,遵循国际标准化组织提出的开放系统互联的标准,能集成任何第三方的应用,具有良好的可移植性和互操作性,存在应用软件的必须独立于软硬件平台。
(4)在系统结构、系统容量与技术方案等方面必须具有升级换代的可能,核心设备必须采用模块化的结构,符合网络的发展趋势并具有充分的扩展性。
系统建设必须尽量保护现有的软、硬件资源,保证各部门现有的计算机系统的使用,逐步过渡,有效保护用户投资。
(5)网络链路和设备具备足够高的数据转发能力,保证各种信息的高质量无阻塞传输;交换系统具有很高的交换容量与多服务支持的能力,保证网络服务的质量。
3.2设计的原则
为了实现一个可管理的、可靠的、高性能网络,我们将采用层次化的方法。
目前国内外网络建设中普遍采用的网络拓扑结构是将网络划分为核心层、分布层和接入层三个层次进行设计,在保证整个网络的高可靠性、高性能、高安全和灵活的扩展性前提下,采用核心层与接入层的两层拓扑结构,其功能是:
核心层:
提供高速的三层交换骨干;核心层不进行终端系统的连接;核心层少用或不实施影响高速交换性能的ACL等功能;本功能区主要功能是保证VLAN间的路由;IP地址或路由区域的汇聚。
接入层:
提供Layer2或Layer3的网络接入,通过VLAN定义实现接入的隔离。
网络接入层具有以下特点:
接入层接入端口规划容量根据实际使用情况具有一定的扩展性。
同时,网络的设计还应遵循标准化原则,网络的设计中所有的管理信令、接口规程、协议须符合国际标准,便于扩展和网络的互联互通,保证与其它网络之间的平滑连接。
4、局域网设计方案
4.1网络结构设计
中小型企业局域网络往往由多种完成不同功能的网络设备组成,包括路由器、交换机、Internet接入设备、防火墙等以及各种服务器,如:
网管服务器、主服务器(包括打卡服务器、售餐服务器等)。
企业内部网络采用共享或交换式以太网,通过DDN、ASDL、ISDN/PSTN等方式,选择合适的网络运营商接入到Internet。
并采取相应的措施,确保通讯数据的安全、保密。
系统运行要安全、可靠、故障小,软硬件要组织合理而且要便于理解与维护。
根据要求,我们确定的中小型企业网络拓扑结构为树状分层结构,如图4.1所示。
图4.1网络拓扑结构示意图
4.2VLAN的设计
划分虚拟局域网是整个网络系统的重要技术之一。
企业网络内部的环境复杂、分布区域广、网络用户多,以至于企业内部网络用户的可靠性得不到完全的保证。
通过划分虚拟局域网,隔离不同部门,可以增强企业网络的安全性。
4.2.1VLAN技术简介
VLAN(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。
一个VLAN可以在一个交换机或者跨交换机实现。
VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。
[3]基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。
传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽;而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。
VLAN相当于OSI参考模型的第二层的广播域,能够将广播风暴控制在一个VLAN内部,划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。
不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。
网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。
另外,VLAN具有灵活性和可扩张性等特点,方便于网络维护和管理,这两个特点正是现代局域网设计必须实现的两个基本目标,在局域网中有效利用虚拟局域网技术能够提高网络运行效率。
4.2.2VLAN的划分
目前,VLAN技术可以使用以下方式组建:
基于交换机端口的VLAN、基于MAC地址的VLAN和基于应用协议的VLAN。
考虑到本系统的特点,节点在网络中移动的可能性较小,基于维护、易管理方面的考虑,使用基于交换机端口的VLAN进行配置。
VLAN规划参照图4.2,各个VLAN间由ACL控制,限制互访。
其中VLAN10~32为部门VLAN,禁止互访;VLAN40~VALN42为服务器区,VLAN40是文件服务器能被任何部门访问,VLAN41为网管区,能单个访问部门,VLAN42为其他服务器。
图4.2VLAN规划图
4.3IP地址规划与路由协议选择
路由组织及其方案是IP网络中的基本问题之一,涉及网络的连通性、可达性、稳定性、精确性和易管理性,其设计的好坏直接影响着网络性能。
路由组织应根据网络对路由信息的需求,设计网络中路由信息分布。
[4]
因为IP地址的划分和路由策略息息相关,所以在以IP地址划分的基础上,选择企业网络平台中最优的路由设计方案。
4.3.1IP地址划分方案
IP地址是整个网络系统运行的基石,IP地址划分不仅应该满足当前的需求,还应该充分考虑将来的扩展性,以满足将来的发展需要。
因此需要对企业网络系统的IP地址进行统一划分,IP地址划分方案如下:
在整个网络环境中必须保持IP地址的唯一性;
根据业务情况,为每个单位局域网分配一个或多个C类地址段,或者使用VLSM技术进一步进行细化,如分配64个(掩码255.255.255.192)或者32个(掩码255.255.255.224)地址,满足当前需要,并留有一定的扩充余地(2~3)倍,便于将来增加节点。
[5]
地址分配具有层次性和连续性,便于管理,即在IP地址规划时应该充分考虑到路由汇总技术,减少路由波动,使得各局部的变动不影响整个网络的其它部分,增加网络的稳定性,同时由于路由汇总技术能够缩减路由表项数,所以还能够提高路由器的处理速率。
使用VLSM技术,在划分IP地址时应该尽可能的减少IP地址浪费;
在访问Internet时,使用NAT或者PAT技术通过防火墙设备进行地址或者端口翻译,把私网地址转换成公网地址,以获得对Internet的访问;
各局域网内,据业务情况,本着满足需求和扩展性的要求,划分并预留出网络设备地址段、服务器地址段和办公网段。
在划分这些网段时,需要注意所有单位应该统一规划,以使地址分段全网统一,便于维护,IP地址划分如表4.1。
表4.1IP地址划分
设备名
IP地址
备注
PC10
192.168.10.1/24
VLAN10
PC11
192.168.11.1/24
VLAN11
PC20
192.168.20.1/24
VLAN20
PC21
192.168.21.1/24
VLAN21
PC30
192.168.30.1/24
VLAN30
PC31
192.168.31.1/24
VLAN31
PC32
192.168.32.1/24
VLAN32
文件服务器
192.168.40.1/24
VLAN40
网管中心
192.168.41.1/24
VLAN41
其他服务器
192.168.42.1/24
VLAN42
Router0
192.168.5.1/30
Sw1
192.168.5.2/30
Sw2
192.168.5.3/30
VLAN40
192.168.5.4/30
VLAN41
192.168.5.5/30
VLAN42
192.168.5.6/30
Router到防火墙
Cloud
201.1.14.6/31
Cloud到防火墙
4.3.2路由协议选择
路由器上指明去另一点要走的具体路径。
动态路由是网络上的所有路由器互相通告自己所连的网段,各路由器根据某算法算出到每一点的最佳路径。
静态路由方式适用于网络拓扑结构确定、结构简单、IP地址完善、网络规模小的场合。
静态路由配置简单,调试方便,但由于静态路由在网络上每增加一个点时,都需在网络上增加路由,这样使得静态路由不适合网络规模较大、网络不断发展的场合,而动态路由因为在网络上的路由器间相互交换路由信息,增加节点时,网络上的其他路由器的配置可以不作任何修改,非常便于网络扩展,据企业网络系统的网络规模、结构和将来扩展能力,使用动态路由协议。
[6]
在动态路由中比较常用的协议有以下几种:
路由信息协议(RIP)、增强内部网关路由协议(EIGRP)和开放式最短路径优先(OSPF)。
RIP和EIGRP属于距离向量协议,OSPF属于链路状态协议;RIP配置简单,适合较小规模的网络,从而限制了网络的扩展;[7]EIGRP路由协议只适用于所有设备都是Cisco产品的情况,使得限制了设备的选型,不适于网络的扩展;OSPF配置复杂,适合于较大规模的网络。
因此,建议使用适合于大型网络运行的内部网关协议:
OSPF,OSPF由于其快速的收敛速度,较低的带宽开销和极大地应用普遍性成为大型网络的不二选择,目前我国众多媒体网骨干网部分所运行的协议都是OSPF。
开放式最短路径优先路由选择协议(OSPF)是于20世纪80年代后期发展起来,并且早在90年代初就由互联网组织实现成为一个现代的与提供方无关的协议。
在同一时期,RIP协议已成为最主要的协议,但随着网络规模的发展,逐渐暴露出一些问题。
OSPF协议的发展接见了许多其他路由协议的思想:
包括最初的ARPANET链路的状态协议和OSI协议。
大规模的运用OSPF协议的网络必须使用分层网络拓扑结构。
实现上更容易,但发生协议改动时,可能会改变拓扑结构。
OSPF协议属于链路状态路由协议,链路状态路由协议是通过给每个路由器提供足够的信息,使其能构建一张完整的网络映射图从而实现的。
该网络映射图中的元素包含在路由器的“链路状态数据库”中,库中包含一个详尽的且易于了解的关于给定的链路状态路由域所有链路列表。
在OSPF中,链路状态数据库列出了链路状态路由域中特定区域的所有链路。
链路状态路由域或区域中每一个路由器,其链路状态数据库的内容都是一致的。
每个路由器根据自己的拓扑数据库来确定它在网络中的位置,并以此来计算出自己的路由表。
[8]
总的来说,OSPF协议具有以下优点:
(1)节省网络带宽;
(2)支持VLSM;
(3)支持层次化的网络结构设计;
(4)支持路由总结;
(5)没有路由跳数限制;
(6)没有路由环路问题等。
4.4访问控制列表(ACL)
访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。
至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
[9]
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。
它是保证网络安全最重要的核心策略之一。
访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。
作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。
根据企业情况,访问控制设计如下:
各个部门间,禁止互访;文件服务器能被任何部门访问;网管区能单个访问部门,其他服务器禁止访问。
4.5第三层交换技术
第三层交换技术是将第二层的交换器与第三层的路由器合二为一,使路由器根据第二层的地址转发数据包以达到快速通讯,形成第三层交换器。
第三层交换出现因于ATM与交换器的技术背景,因为传统的网络是由路由器作为中心的。
使用使用第二层交换器使网络速度提升,可是在网络中使用过多的交换器可能会形成广播风暴,所以需要路由器来隔离可能会形成的广播风暴,为了使路由器不会形成网络的瓶颈,就产生了第三层交换。
所有核心层交换机均为三层交换,手动打开iprouting。
5、网络安全规划
中小企业网络病毒泛滥、安全事件频发,是网络管理面临的重大挑战。
从网络安全调查数据来看,网络的安全威胁主要来自三个方面:
一方面是网络的恶意破坏者即黑客,造成正常网络服务的不可用、系统数据的破坏;第二个方面是无辜的内部人员造成的网络数据的破坏、网络病毒的蔓延扩散、木马的传播;第三个方面是有些用户窃取他人身份进行越权数据访问,其中以内部人员而造成的网络安全问题为主。
[10]
安全问题已经成为企业信息化过程普遍问题,表现在部门间互访的安全无法控制,重要数据被入侵者窜改,不能很好应对外部攻击以及移动办公用户上网控制,都急待解决。
5.1外网安全
由于外网主要运行企业各部门非涉密的内部办公业务以及运行面向客户的公开信息,所以必须采取相对应的安全措施来实现企业网络的安全。
外网对安全的要求主要包括物理安全、入侵检测系统、防病毒系统等方面。
物理安全:
针对重要信息可能通过电磁辐射或线路干扰等泄露。
需要对存放重要信息的机房进行规划,如设置屏蔽室等。
对重要的设备进行冗余配置;对系统进行备份等安全保护。
入侵检测系统网络安全是整体的、动态的,不是单一产品能够实现的,所以为了确保网络的安全必须配备入侵检测系统,对透过防火墙的攻击进行检测并作出相应的记录、警告、阻断等措施。
防病毒系统针对病毒的危害性极大且传播迅速等特性,应当对所有设备进行防病毒软件的配备,实现全网的病毒安全保护。
5.2内网安全
运用多种技术,对各个部门的访问进行控制,在没有授权的情况下不能进行相互访问,保证系统内部的安全。
内网的安全主要包括VLAN的设置、防病毒系统、网络管理系统等方面。
VLAN的设置:
企业内部网络的环境比较复杂,且子网划分区域广,用户多,使得网络的安全性降低,且多数安全问题主要来至于内部用户,所以对内部用户进行访问控制和安全防范显得尤为重要。
通过对VLAN的设置可以对用户的访问起到控制作用,所以应对其进行详尽的设计,使得防护做到网络的每一点。
防病毒系统:
针对病毒的危害性极大且传播迅速等特性,应当对所有设备进行防病毒软件的配备,实现全网的病毒安全保护。
网络管理系统:
企业网络是个相当复杂的计算机网络,包含多种设备和技术。
随着科技的发展,对系统管理的工作量的增加带来了巨大的冲击,所以必须设计完整的管
升级会员 