大型企业网络设计.docx
《大型企业网络设计.docx》由会员分享,可在线阅读,更多相关《大型企业网络设计.docx(39页珍藏版)》请在冰豆网上搜索。
大型企业网络设计
课程设计报告
(2015/2016学年第学期)
题目:
大型企业网络设计
专业网络工程
学生姓名李统宇
班级学号B12070319
指导教师鲍楠
指导单位南京邮电大学物联网学院
日期2016.1.4-2016.1.15
评分细则
评分项
成绩
遵守机房规章制度(5分)
上机时的表现(5分)
学习态度(5分)
程序准备情况(5分)
程序设计能力(10分)
团队合作精神(5分)
课题功能实现情况(10分)
算法设计合理性(10分)
用户界面设计(10分)
报告书写认真程度(5分)
内容详实程度(10分)
文字表达熟练程度(10分)
回答问题准确度(10分)
简短评语
教师签名:
年月日
评分等级
备注
评分等级有五种:
优秀、良好、中等、及格、不及格
大型企业网络设计
一、课题内容和要求
XX集团是一个以煤炭产品为主,兼营大型矿井建设、工业与民用建筑设计与施工、地基与基础处理、地质勘探、商业等行业的综合性集团公司。
XX集团作为一个全国200强的集团公司,下辖生产矿、建井处、机械厂等二级单位40余家,各个相对独立的生产服务单位,如财务、运销、医疗卫生、远程教学、综合统计等,都必须实现网上信息传输。
XX集团的网络建设于2005年1月左右,当时建设的网络为XX集团各项业务信息化立下了汗马功劳。
随着近几年计算机网络技术的不断发展,计算机及网络的使用者水平不断提高,集团网络上需要承载的应用不断增多,网络中病毒流行、广播信息较多,各项关键业务网络安全得不到保障。
XX集团充分认识到计算机网络作为信息化基石的巨大作用,决定改造XX集团网络系统。
现在要求做出该集团的网络设计方案,在该方案中,用户有如下的需求:
●由于该网络为承载整个集团的基础骨干,面对日益突出的信息安全问题,要求网络系统集成的相应的安全特性。
由于前期网络中使用的普通交换机、HUB无法进行安全规则设置,网络攻击常常影响网络正常业务以及用户正常上网,关键业务无法保障,因此新建的网络平台需要提供防止DOS攻击的能力。
●在多业务共同存在的网络设备之上,各业务属于不同的区域,要求实现内部网络按用户、功能进行VLAN、网段划分。
●针对不同的用户类型,制定相应的访问、控制权限。
●由于接入ISP提供的互联网出口提供1个公有IP,要求解决集团内部对外部网络的访问需求,且要实现发布对外的WEB、FTP服务。
●支持10GE或将来平滑过渡到10GE;集团内部各个建筑物都有1对8芯的单模光纤连接到主建筑物(即网络中心所在地),所有建筑物到主建筑物之间的距离在600M~~10000M之间;每个建筑物内部都有适当的内部布线,以实现所需连接。
二、需求分析
2.1案例分析
Cisco公司已经成功地在中国实践了前述的教育网络设计思想,特别是河南省教育科研宽带IP骨干网络全部采用了先进的高速宽带光传输网络技术,已经成为这类新型教育网络的典范。
河南省教育科研宽带IP网络全面采用Cisco公司的AVVID网络体系结构,一期工程总共采用了10台CiscoGSR12016和GSR12012,近20台CiscoOSR6509,其他各类交换机和路由器数百台。
该网络集成了远程教学等多种多媒体应用,特别是采用了550部Cisco的新型7940IP电话和4套CallManager组建了我国第一个省级IPTelephony网络,并结合Cisco视频产品IPTV系列建立了许多新的教育模式。
这一网络基于分层设计分为三层:
骨干传输网、城域网、接入网,采用三级管理模式:
省网络中心、地市网络中心、校园网,连接省内各大中专院校、各中小学校、各级教育主管部门和其他教育科研单位,未来更将延伸到每一个需要教育培训的公众面前。
骨干网络由分布在17个地市的核心节点组成,与河南省广电合作利用其光纤资源,全省形成环网状冗余拓扑结构。
在各个核心节点分别配置Cisco公司在国际上多次获奖的千兆位路由交换机GSR12000系列中的12016和12012作为核心传输设备,节点间使用裸光纤配合POS技术实现OC-482.48G链路互连并采用HSRP技术,以提供物理层、链路层及IP层的冗余连接能力。
根据各地市的具体情况,可以建设城域教育网络也可以在核心节点配置汇接设备直接解决接入网络的接入问题,汇接设备可选用Cisco12012或6509,采用POS、DPT或千兆以太技术,传输速率可达1~2.48Gbps,具体设计可以非常灵活。
基于CiscoIOS的多功能网络平台:
网络中采用的网络设备均采用CiscoIOS(InternetworkingOperationSystem互联网络操作系统)为核心功能软件。
CiscoIOS集成了路由技术,局域网交换技术,ATM交换技术,各种移动远程访问接入技术,广域网互连技术等超过15,000个网络互连功能,已经成为网络互连的标准。
CiscoIOS系统支持今天的绝大多数网络应用系统,同时CiscoIOS系统可提供从数据链路层到应用层的多种网络服务,如:
L2/L3VPN(虚拟专网),VPDN(虚拟拨号专网),以及对MPLS技术的支持允许提供各种网络增值服务。
丰富的网络安全机制:
网络设计是按照标准ISP(国际互联网络服务商)方式设计的IP交换网络平台。
整个网络与国际互联网络平滑连接,因此网络的安全性尤其重要。
方案中采用CiscoIOS多种安全策略:
1)网络路由信息交换安全策略:
包含路由器的认证,路由信息过滤,多种动态路由协议信息交换控制等。
2)网络服务安全控制:
包含标准访问控制列表(ACL),扩展的访问控制列表(ExtendACL),动态访问控制列表(RefliexACL),按数据流的访问统计和监控(Netflow),网络资源访问用户认证/授权和记帐(lock&key)。
3)基于网络层的加密:
网络设备可提供基于标准的网络层加密技术:
IPSec,可以提供高可靠的网络访问安全机制。
4)网络攻击防范:
CiscoIOS可通过对网络访问连接的监控和分析,发现可能出现的网络攻击,如SyncAttack等,并采取相应的的控制手段保护网络资源。
5)网络系统告警(Syslog):
网络中采用的设备可对监控到的网络攻击和各种非正常访问发出告警,提醒网络管理人员及时发现问题并采取相应安全策略。
设备安全:
网络的各种安全策略的实现均基于网络设备的安全设置,这使得网络设备本身的安全控制显得尤其重要。
网络设备本身具有多种访问控制安全策略:
1)多级访问控制密码:
网络中各设备访问控制可通过15级不同的访问权限,网管人员可设置不同的访问权限。
如:
普通操作员只能监视设备运行,不可进行其他操作;高级的管理员可做故障诊断,不可修改设备配置文件;系统管理员可具有所有功能权限等。
2)网络管理系统的安全控制:
由于本网络中网络管理系统采用标准的SNMP网络管理技术,因此网络设备的网管可能出现漏洞。
本网络中的网络设备可提供多种保护手段,如:
特别的网管访问密码;由设备指定特别的网络管理工作站系统等。
易管理维护的网络:
由于采用了IP骨干技术、DHCP技术和MPLS技术,使得网络的管理简单化。
这可以使网络管理人员大为精简,节约运行开销。
网络管理人员只需在规划好的网络结构内提供各个接入网络的接入控制即能实行各种网络服务。
网络系统的管理工作重点变为对于骨干网络的运行实施系统监控。
由于采用的网络设备自身已具备较为完善的网络管理、监控和维护功能,因此采用建立一个管理工具齐全的集中的网络管理中心即可实现全网络的系统管理和监控[11]。
2.2大型企业网络分析
为适应企业信息化的发展,满足日益增长的通信需求和网络的稳定运行,今天的企业网络建设比传统企业网络建设有更高的要求,本文将通过对如下几个方面的需求分析来规划出一套最适用于目标网络的拓扑结构。
2.2.1宽带性能需求
现代大型企业网络应具有更高的带宽,更强大的性能,以满足用户日益增长的通信需求。
随着计算机技术的高速发展,基于网络的各种应用日益增多,今天的企业网络已经发展成为一个多业务承载平台。
不仅要继续承载企业的办公自动化,Web浏览等简单的数据业务,还要承载涉及企业生产运营的各种业务应用系统数据,以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务。
因此,数据流量将大大增加,尤其是对核心网络的数据交换能力提出了前所未有的要求。
另外,随着千兆位端口成本的持续下降,千兆位到桌面的应用会在不久的将来成为企业网的主流。
从2004年全球交换机市场分析可以看到,增长最迅速的就是10Gbps级别机箱式交换机,可见,万兆位的大规模应用已经真正开始。
所以,今天的企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网的标准,核心层及骨干层必须具有万兆位级带宽和处理性能,才能构筑一个畅通无阻的"高品质"大型企业网,从而适应网络规模扩大,业务量日益增长的需要[7]。
2.2.2稳定可靠需求
现代大型企业的网络应具有更全面的可靠性设计,以实现网络通信的实时畅通,保障企业生产运营的正常进行。
随着企业各种业务应用逐渐转移到计算机网络上来,网络通信的无中断运行已经成为保证企业正常生产运营的关键。
现代大型企业网络在可靠性设计方面主要应从以下3个方面考虑。
设备的可靠性设计:
不仅要考察网络设备是否实现了关键部件的冗余备份,还要从网络设备整体设计架构、处理引擎种类等多方面去考察。
业务的可靠性设计:
网络设备在故障倒换过程中,是否对业务的正常运行有影响。
链路的可靠性设计:
以太网的链路安全来自于多路径选择,所以在企业网络建设时,要考虑网络设备是否能够提供有效的链路自愈手段,以及快速重路由协议的支持[7]。
2.2.3服务质量需求
现代大型企业网络需要提供完善的端到端QoS保障,以满足企业网多业务承载的需求。
大型企业网络承载的业务不断增多,单纯的提高带宽并不能够有效地保障数据交换的畅通无阻,所以今天的大型企业网络建设必须要考虑到网络应能够智能识别应用事件的紧急和重要程度,如视频、音频、数据流(MIS、ERP、OA、备份数据)。
同时能够调度网络中的资源,保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送,实现对业务的合理调度才是一个大型企业网络提供"高品质"服务的保障[7]。
2.2.4网络安全需求
现代大型企业网络应提供更完善的网络安全解决方案,以阻击病毒和黑客的攻击,减少企业的经济损失。
传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件,以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御,但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。
在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,这样才能有效地保证企业网络的稳定运行[7]。
2.2.5应用服务需求
现代大型企业网络应具备更智能的网络管理解决方案,以适应网络规模日益扩大,维护工作更加复杂的需要。
当前的网络已经发展成为"以应用为中心"的信息基础平台,网络管理能力的要求已经上升到了业务层次,传统的网络设备的智能已经不能有效支持网络管理需求的发展。
比如,网络调试期间最消耗人力与物力的线缆故障定位工作,网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作,由于受网络设备功能本身的限制,都还属于费时、费力的任务。
所以现代的大型企业网络迫切需要网络设备具备支撑"以应用为中心"的智能网络运营维护的能力,并能够有一套智能化的管理软件,将网络管理人员从繁重的工作中解脱出来[7]。
2.3本课题系统需求分析
该企业位于北京市海淀区中关村,网络联接的建筑物有三个:
两个办公楼和一个行政楼。
管理部、财务部和网络部在行政楼中;
市场部在办公楼A;
销售部和人力资源部在办公楼B。
所以我们已建筑物的中心也就是行政楼的三层为网络的中心,用光纤连接办公楼A、B,构成电子商务公司网络光纤主干。
办公楼2个,行政楼1个
1.划分VLAN(见表1)
2.VTP动态学习VLAN
3.PVST(选根,二层冗余)
4.SVI(VLAN间路由)
5.HSRP(三层冗余)
6.DHCP
7.根防护
8.3个FAST
9.静态路由
10.SITE-TO-SITEVPN(连接分公司,固定IP)
11.AAA
12.PBR(20M专线)
13.网管控制
三、概要设计
3.1大型企业网络的定位
企业网是指覆盖企业和企业与分公司之间的网络,为企业的多种通信协议提供综合传送平台的网络。
企业网应以多业务光传输网络为基础,实现语音、数据、图像、多媒体等的接入。
企业网是企业内各部门的桥接区,主要完成接入网中的子公司和工作人员与企业骨干业务网络之间全方位的互通。
因此电子商务公司企业网的定位应是为企业网应用提供多业务传送的综合解决方案。
3.2关键技术研究
本设计方案采用的是全部Cisco的网络设备,全网使用统一厂家得设备以实现各种不同网络设备功能的互相配合和补充。
还有就是一些网络协议都是一些厂家私有的,如EIGRP、HDLC等。
因为每个厂家都有属于自己的EIGRP、HDLC所以不同厂家的设备就不能使用这些网络协议。
3.2.1路由技术
路由协议工作在OSI参考模型的第3层,因此它的作用主要是在通信子网间路由数据包。
路由器具有在网络中传递数据时选择最佳路径的能力。
除了可以完成主要的路由任务,利用访问控制列表,路由器还可以用来完成以路由器为中心的流量控制和过滤功能。
在本工程案例设计中,内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。
路由器是外网进入企业网内网的第一道关卡,是网络防御的前沿阵地。
路由器上的访问控制列表(AccessControlList,ACL)是保护内网安全的有效手段。
一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。
由于路由器介于企业内网和外网之间,是外网与内网进行通信时的第一道屏障,所以即使在网络系统安装了防火墙产品后,仍然有必要对路由器的访问控制列表进行缜密的设计,来对企业内网包括防火墙本身实施保护[2]。
3.2.2交换技术
传统意义上的数据交换发生在OSI模型的第2层。
现代交换技术还实现了第3层交换和多层交换。
高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了企业网数据交换服务质量,满足了不同类型网络应用程序的需要。
现代交换网络还引入了虚拟局域网(VirtualLAN,VLAN)的概念。
VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的影响。
在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现。
当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(VlanTrunkingProtocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN。
然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。
这样,大大减轻了网络管理人员的工作负担和工作强度。
为了简化交换网络设计、提高交换网络的可扩展性,在企业网内部数据交换的部署是分层进行的。
企业网数据交换设备可以划分为三个层次:
接入层、分布层、核心层。
接入层为所有的终端用户提供一个接入点;分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能;核心层将各分布层交换机互连起来进行穿越企业网骨干的高速数据交换。
在本工程案例设计中,也将采用这三层进行分开设计、配置[3]。
3.2.3远程访问技术
远程访问也是企业网络必须提供的服务之一。
它可以为家庭办公用户和出差在外的员工提供移动接入服务。
远程访问有三种可选的服务类型:
专线连接、电路交换和包交换。
不同的广域网连接类型提供的服务质量不同,花费也不相同。
企业用户可以根据所需带宽、本地服务可用性、花费等因素综合考虑,选择一种适合企业自身需要的广域网接入方案。
在本工程案例设计中,分别采用专线连接的VPN和PBR两种方式实现远程访问需求[4]。
3.2.4VLAN
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。
一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。
虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
既然VLAN隔离了广播风暴,同时也隔离了各个不同的VLAN之间的通讯,所以不同的VLAN之间的通讯是需要有路由来完成的[5]。
3.2.5VPN
VPN的英文全称是“VirtualPrivateNetwork”,翻译过来就是“虚拟专用网络”。
顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。
它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。
这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。
VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网[4]。
3.2.6RIP
RIP(RoutingInformationProtocols,路由信息协议)是应用较早、使用较普遍的IGP(InteriorGatewayProtocol,内部网关协议),适用于小型同类网络,是典型的距离矢量(distance-vector)协议。
RIP协议跳数做为衡量路径开销的,RIP协议里规定最大跳数为15。
RIP协议有两个版本RIPv1和RIPv2。
RIPv1属于有类路由协议,不支持VLSM(变长子网掩码),RIPv1是以广播的形式进行路由信息的更新的;更新周期为30秒。
RIPv2属于无类路由协议,支持VLSM(变长子网掩码),RIPv2是以组播的形式进行路由信息的更新的,组播地址是224.0.0.9。
RIPv2还支持基于端口的认证,提高网络的安全性。
3.2.7AAA认证
AAA-----身份验证(Authentication)、授权(Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。
AAA,认证(Authentication):
验证用户的身份与可使用的网络服务;授权(Authorization):
依据认证结果开放网络服务给用户;计帐(Accounting):
记录用户对各种网络服务的用量,并提供给计费系统。
整个系统在网络管理与安全问题中十分有效。
首先,认证部分提供了对用户的认证。
整个认证通常是采用用户输入用户名与密码来进行权限审核。
认证的原理是每个用户都有一个唯一的权限获得标准。
由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。
如果符合,那么对用户认证通过。
如果不符合,则拒绝提供网络连接。
接下来,用户还要通过授权来获得操作相应任务的权限。
比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。
简单而言,授权过程是一系列强迫策略的组合,包括:
确定活动的种类或质量、资源或者用户被允许的服务有哪些。
授权过程发生在认证上下文中。
一旦用户通过了认证,他们也就被授予了相应的权限。
最后一步是帐户,这一过程将会计算用户在连接过程中消耗的资源数目。
这些资源包括连接时间或者用户在连接过程中的收发流量等等。
可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。
验证授权和帐户由AAA服务器来提供。
AAA服务器是一个能够提供这三项服务的程序。
当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务(RADIUS)”[10]。
四、详细设计
4.1大型企业网络拓扑图
图4-1网络拓扑图
4.2VLAN及IP地址的规划
表1VLAN划分
VLAN号
VLAN名称
IP网段
默认网关
说明
VLAN1
GLVLAN
10.0.0.0/24
10.0.0.254
管理VLAN
VLAN10
GLB
10.1.0.0/22
10.1.3.254
管理部VLAN
VLAN20
SCB
10.1.4.0/22
10.1.7.254
市场部VLAN
VLAN30
CWB
10.1.8.0/22
10.1.11.254
财务部VLAN
VLAN40
XSB
10.1.12.0/22
10.1.15.254
销售部VLAN
VLAN50
RLZY
10.1.16.0/22
10.1.19.254
人力资源部VLAN
VLAN60
WLB
10.1.20.0/22
10.1.23.254
网络部VLAN
路由器R1与电信连接的接口F0/0IP为202.100.1.10/24,与HX1连接的接口F1/1IP为192.168.1.1/24,与HX2连接的接口F1/2IP为192.168.2.1/24,与R2连接的接口F1/3IP为192.168.3.1/24。
路由器R2与网通连接的接口F0/0IP为202.100.3.10/24,与HX1连接的接口F1/2IP为192.168.4.1/24,与HX2连接的接口F1/1IP为192.168.5.1/24,与R2连接的接口F1/3IP为192.168.3.2/24。
路由器R3与HX1连接的接口F1/1IP为192.168.6.1/24,与HX2连接的接口F1/2IP为192.168.7.1/24,与server连接的接口F1/0IP为192.168.8.1/24
升级会员 