企业网络规划与设计方案.docx
《企业网络规划与设计方案.docx》由会员分享,可在线阅读,更多相关《企业网络规划与设计方案.docx(26页珍藏版)》请在冰豆网上搜索。
企业网络规划与设计方案
企业网络规划与设计方案
企业网络规划与设计方案
姓名:
唐容
学号:
20133511
班级:
计教201302
院系:
信息工程学院
授课老师:
宋勤
2016年6月14日星期二
1、项目概况
1.1工程项目概况
XX集团为了加快信息化建设,新的集团网将建设一个以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心,以现代网络技术为依托,技术先进、扩展性强,将集团的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来,实现内、外沟通的现代化计算机网络系统。
该网络系统是支持办公自动化、供应链管理、ERP以及各应用系统运行的基础设施,为了确保这些关键应用系统的正常运行、安全和发展,系统必须具备如下的特性:
1、采用先进的网络通信技术完成集团企业网的建设,实现各分公司的信息化;
2、在整个企业集团内实现所有部门的办公自动化,提高工作效率和管理服务水平;
3、在整个企业集团内实现资源共享、产品信息共享、实时新闻发布;
4、在整个企业集团内实现财务电算化;
5、在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系统;
公司组织结构图1如下:
预算部
第六部
财务部
研发部
咨询部
售后部
设计部
销售部
人力资源部
行政部
后勤部
董事长
财务系统
公关部
总经理
经理A
总监
经理B
经营系统
图1公司组织结构图
如图所示是该公司的职能分布图,董事长,总经理,公司分为财务部,经理A,经理B和总监,人事部,经营系统。
其中总经理以下职能部分只向总经理进行工作汇报,总经理只向董事长进行工作汇报。
1.2信息点分布
该公司是通过职能部门进行不同的信息点分布,其中按照每个部门的需求,来决定分布的数量,其中有一部分属于备用点。
还有各部门距离网络中心的距离。
通过这个表格,我们可以清晰的分析整个公司的信息点还有各部门的距离计算预算。
一下是对公司信息点的分析,如下表所示:
部门
功能分布
信息点
信息点合计
距网络中心的距离
后勤系统
停车场
10
30
50m
大门/大厅/值班中心
4+6+10
产研系统
第六部
15
45
20m
研发部
10
设计部
20
人事系统
行政部
17
45
20m
人力资源部
20
经理/董事长室
8
财务系统
预算部
10
20
20m
财务部
10
经营系统
销售/售后部
100
200
40m
市场部
50
咨询部
50
合计
340
150m
表1公司信息点分析表
2需求分析
2.1网络环境需求分析
随着企业各种业务应用逐渐转移到计算机网络上来,网络通讯的无中断运行已经成为保证企业正常的生产运营的关键。
现代企业网络在可靠性设计方面主要应从三方面考虑:
首先是设备的可靠性设计,这里不仅要考察网络设备是否实现了关键部件的冗余备份,还要从网络设备整体设计架构、处理引擎种类等多方面去考察;其次是业务的可靠性设计,这里要注意网络设备在故障倒换过程中是否对业务的正常运行有影响;再次是链路的可靠性设计,以太网的链路安全来自于它的多路径选择,所以在企业网络建设时要考虑网络设备是否能够提供有效的链路自愈手段和快速重路由协议的支持。
2.2公司子网需求
为了提高IP地址的使用效率,引入了子网的概念。
将一个网络划分为子网:
采用借位的方式,从主机位最高位开始借位变为新的子网位,所剩余的部分则仍为主机位。
这使得IP地址的结构分为三级地址结构:
网络位、子网位和主机位。
这种层次结构便于IP地址分配和管理。
它的使用关键在于选择合适的层次结构--如何既能适应各种现实的物理网络规模,又能充分地利用IP地址空间。
子网的划分主要是根据子网掩码来区分的,掩码的作用就是用来告诉电脑把“大网”划分为多少个“小网”,以及每个子网中的主机数目。
如表2所示,公司子网的划分。
序号
子网名称
包含的信息点
1
后勤系统子网
该系统所有的计算机
2
产研系统子网
该系统所有的计算机
3
人事系统子网
该系统所有的计算机
4
财务系统子网
该系统所有的计算机
5
经营系统子网
该系统所有的计算机
6
服务器群子网
该区所有的计算机
7
无线网络子网
该区所有的计算机
表2公司子网的划分表
2.3交换机路由器的配置以及VLAN的需求划分
1、交换机的配置
交换机支持Web浏览器的配置方式,设置交换机管理IP地址,设置用户及管理密码;
2、路由器的配置
路由器支持Web浏览器的配置方式,逐一设置接入WAN口设置、用户及管理密码、LAN口设置、安全设置、过滤规则、VPN配置、信息加密配置等等;
3、VLAN的划分
VLAN(VirtualLocalAreaNetwork)称为虚拟局域网,是指在逻辑上将物理的LAN分成不同小的逻辑子网,每一个逻辑子网就是一个单独的播域。
简单地说,就是将一个大的物理的局域网(LAN)在交换机上通过软件划分成若干个小的虚拟的局域网(VLAN)。
因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址,以便在交换机内部的MAC数据库建立MAC地址表,而广播不能跨越不同网段。
采用基于MAC地址的VLAN划分。
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都设置他属于哪个组。
这种划分VLAN方法的最大好处就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新设置,所以,能认为这种根据MAC地址的划分方法是基于用户的VLAN。
如表下所示,该公司内部网络Vlan的划分及IP的分配。
序号
子网名称
网段IP
网关IP
备注
1
后勤系统子网
192.168.11.0/24
192.168.11.1
Vlan11
2
产研系统子网
第六部
192.168.12.0/26
192.168.12.1
Vlan12
设计部
192.168.12.64/26
192.168.12.65
Vlan12
研发部
192.168.12.128/26
192.168.12.129
Vlan12
3
从事系统子网
192.168.13.0/24
192.168.13.1
Vlan13
4
财务系统子网
预算部
192.168.14.0/27
192.168.14.1
Vlan14
财务部
192.168.14.32/27
192.168.14.33
Vlan14
5
经营系统子网
192.168.15.0/24
192.168.15.1
Vlan15
表3公司vlan的划分及IP的分配表
另外,IP地址分为公网地址和私网地址两类,公有地址(Publicaddress)由InterNIC(InternetNetworkInformationCenter因特网信息中心)负责。
这些IP地址分配给注册并向InterNIC提出申请的组织机构。
通过它直接访问因特网。
ISP分配给公司的全局IP地址地址段为:
202.106.0.3--202.106.0.200/24.,私有地址(Privateaddress)属于非注册地址,专门为组织机构内部使用。
以下列出留用的内部私有地址
C类192.168.0.0--192.168.255.255
2.4安全性需求分析
传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对于病毒和黑客攻击的防御,但实践证明这些被动的防御措施并不能有效的解决企业网络的安全问题。
在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,才能有效的保证企业网络的稳定运行
2.5业务需求分析
1)、地下BF1层作为停车场所,并包含变配电设备机房,将设置2个语音信息点和4个数据信息点用于值班中心的信息交换;
2)、1楼作为公司的大堂、演示中心、消防网络控制中心以及办公厅,将集中设置语音信息点和数据信息点,用于语音通讯、专项信号控制及视频点播、公用信息发布等应用;总配线间(DMDF/VMDF)设在一层网络通讯机房,分接BF1、F1、F2层的线缆;
3)、2楼作为公司的远程服务厅、办公场所,经营系统的售前、售后、咨询、远程协助等都将运作在此楼层;
4)、3楼作为公司的人事系统办公场所,将包括董事长办公室、经理室、人力资源、行政和人事部门;
4)、4楼作为公司的网络中心和财务系统的办公场所,其安全性和保密性将要特别考虑;
5)、5楼作为公司产研系统所在地,其要求不低于4楼;
6)、交换设备置于4楼的网络通讯机房,管理各分配线间引来的所有光纤、数据主干。
3设备要求
根据集团的网络功能需求和实际的布线系统情况,楼层接入设备需要选择同一型号的设备;子公司主交换机可以根据需要通过堆叠方式进行灵活的升级扩容;核心交换机需要具有升级到720Gbps可用背板带宽的能力。
网络设备必须在技术上具有先进性、通用性,必须便于管理、维护,应该满足集团现有计算机设备的高速接入,应该具备良好的可扩展性、可升级性,保护用户的投资。
网络设备在满足功能与性能的基础上必须具有良好的性价比。
网络设备应该选择拥有足够实力和市场份额的厂商的主流产品,同时设备厂商必须要有良好的市场形象与售后技术支持。
3.1客户端计算机的需求分析和定位选购
经过公司内各部门所提交的需求表的反馈,确认公司共需客户端计算机的PC数量是300套;根据业务的需求分析,从硬件划分为三种配置:
1)普通办公PC:
适用于财务部、人事、咨询等普通办公部门的应用,无显卡要求,标配主流的CPU、内存、硬盘、网卡、LCD显示器。
总数量270台。
2)产研系统PC:
适用于商业机密、设计、研发等办公部门的应用,考虑其业务要求,需选购比现主流标配的性能更优越的硬件性能,需配置2G显存以上的独立显卡。
总数量50台。
3)后勤系统PC,适用于特殊、复杂环境的应用,无需独立显卡,需增强的散热系统,良好的工作环境适应能力,标配主流的CPU、内存、硬盘、网卡、显示器。
总数量60台。
3.2交换机/路由器的需求分析和定位选购
XX公司交换机需求如下:
1)主交换机支持三层交换技术,智能化,支持WEB可管理,高安全性、可靠性;
2)传输速率>1000Mbps;
交换机选购需参考的数据如下:
端口数量、端口速率、机架插槽数和扩展槽数、背板带宽、支持的网络类型、支持的物理地址数量、最大可堆叠数、可网管性、支持的协议和标准。
选购方案如下:
交换机华为QuidwayS8512网络报价为:
18万
基本规格交换机类型万兆核心路由交换机
传输速率10/100/1000/10000
应用层级三层
交换方式存储-转发
背板带宽1800Gbps
包转发率XRCoreEngineI:
428Mpps,XRCoreEngineII:
857Mpps
VLAN功能支持
网络网络标准802.1P,IEEE802.2,IEEE802.3
网络协议STP/RSTP/MSTP
网管功能支持SNMPv3网管
端口接口类型14个槽位,12个业务单板槽位
模块化插槽数26个
其它其他功能支持三层MPLSVPN
支持二层MPLSVPN:
VLL和VPLS
支持PE和P功能
安全性用户分级管理和口令保护
支持IP+MAC+PORT任意组合的绑定
支持IEEE802.1X认证
支持非法帧报文过滤
支持端口隔离
支持深度业务感知
支持SSH
主干路由器思科12416/32网络报价:
35.5万
基本规格路由器类型高端企业级路由器
路由器处理器交换能力可达320Gbps
网络功能网络协议IPv4,MPLS,BGPv4,IS-IS,OSPFv2.0,RIPv2,IGMP,DVMRP,PIMDX/SX
VPN功能支持VPN
Qos功能支持
其他功能可靠性及可用性:
系统冗余:
结构卡冗余4:
1时钟调度程序卡冗余1:
1
电源冗余(DC1:
1,AC负载平衡)
通风组件冗余
路由处理器冗余1:
1
报警卡冗余1:
1
通过线路卡实现双归
支持APS
平均故障间隔时间(MTBF)
时钟调度程序卡=240,078hr
交换结构卡=276,062hr
网络端口扩展插槽16个
其它标准/认证CSA-22.2No.950-UL1950
EN60950/IEC60950
EN60825/IEC60825
ACATS001
AS/NZS3260
电源电压200~240VAC/-40.5~75VDC
功耗4706W(AC)/2400W(DC)
3.3服务器的需求分析和定位选购
XX公司服务器需求如下:
1)WEB服务、FTP、E-mail服务,智能化,高安全性、可靠性;
2)根据公司的应配备不同的服务器,主服务器负责内部机密数据,WEB服务器负责Internet服务,FTP/E-Mail服务放在一起,数据据服务器存放网络数据。
服务器选购需参考的数据如下:
CPU、内存、I/O扩展、电源、冷却、操作系统。
选购方案如下:
主服务器曙光天阔A950r-F(Opteron8378×8/16GB/2×146GB)报价:
27万
基本参数服务器级别企业级
服务器类型机架式
服务器结构5U
主要性能主板芯片组NvidianForcePro2200/2050
标配CPU个数8颗
最大CPU个数8颗
CPU类型AMDOpteron83782.4GHz
处理器标称主频2.4GHz
二级缓存2MB
多核运算四核
内存内存容量16GB
内存描述ECCDDR2
内存扩展128GB
存储标配硬盘容量146GB
标配硬盘类型SAS
存储控制支持SAS控制
RAID阵列模式256MSASRAID卡
存储扩展位8个热插拔硬盘
光驱DVD
网络网络控制器集成三个千兆网卡
电源电源类型冗余电源
散热系统每处理器独立风扇;机箱中部3个风扇;电源模块独立风扇
其他PCI扩展槽2个PCI-Ex16扩展插槽
2个PCI-Ex16扩展插槽(x4速率)
1个PCI32bit33MHz扩展插槽
I/O接口1个后部串口
1个后部VGA接口
2个后部USB2.0接口
2个前置USB2.0接口
3个后置RJ45网口
1个后置标准PS/2鼠标/键盘接口
显示芯片XGIGX20图形控制器(16MB显存)
机身尺寸220×425×680mm
应用服务器IBMSystemx3650M3(7945I75)报价:
64000
基本参数服务器级别企业级
服务器类型机架式
服务器结构2U
主要性能标配CPU个数1颗
最大CPU个数2颗
CPU类型IntelXeonX5670
处理器标称主频2.93GHz
智能加速主频3.333GHz
二级缓存6×256KB
三级缓存12MB
总线规格6.4GT/s
多核运算六核心十二线程
内存内存容量8GB(2×4GB)
内存描述PC3-10600DDR3RDIMM
内存扩展最高192GB
内存插槽18个DDR3插槽
存储标配硬盘类型无标配
存储控制ServeRAID-M5015
RAID阵列模式支持RAID0,1,5,10
存储扩展位标配:
16×SFF托架
网络网络控制器2×千兆接口
电源电源功率675W
电源数量1
电源类型热插拔电源
其他PCI扩展槽标配:
4×PCI-E
保修服务三年部件
三年人力
三年现场
外网防火墙华为赛门铁克USG9120报价:
37.5万
基本规格防火墙类型企业级防火墙
网络吞吐量120Gbps
并发连接数48000000
VPN支持支持
主要功能随着"三网合一","WEB2.0","P2P视频"、"高清宽带"等理念的推出,网络带宽的需求成几何级别增长,"千兆到桌面、万兆做骨干"已经不是概念,很多交换机和路由器都拥有多万兆大容量端口,并且金融、教育等大型企事业单位需要提供更多的业务与服务,传统防火墙不可避免地成为网络瓶颈,无法真正适用于高速网络中
华为赛门铁克公司凭借丰富的硬件设计经验,结合专用的多核处理芯片以及分布式硬件平台,打造出了"多核+ATCA+分布式"的万兆高端SecospaceUSG9100系列安全网关
SecospaceUSG9100提供业界最高的防火墙/VPN性能,在确保用户对高可靠性和高性能要求的同时,以较低的投资成本就能满足金融,大型数据中心、大型WEB网站、大型企业纵向网络等高端应用的安全防护要求
安全性人数限制无用户数限制
端口参数其他端口12对插槽,可配置业务板和接口板
以太网接口:
8×GE、1×10GLAN、1×10GWAN等
POS接口:
4×2.5G、1×10G等
内部防火墙华为赛门铁克USG2210报价:
3.5万
基本规格防火墙类型企业级防火墙
CPU多核处理器
VPN支持支持
主要功能USG2210统一安全网关除了提供2个固定千兆光电互斥WAN接口,还提供了4个MIC扩展插槽和2个FIC扩展插槽,FIC插槽可也以选配1*GE、2*E1/CE1接口卡,整机最大接口可达4GE+10FE,可以适应不同的网络环境,便于用户灵活组网
网络网络管理Web和命令行
端口类型2*ComboGEWAN,10*10/100MLAN,扩展:
4MIC+2FIC
安全性人数限制无用户数限制
入侵检测Dos,DDoS
安全标准FCC,CE
认证标准FCC,CE
端口参数控制端口Console口
电气规格电源电压AC:
90Vto264V;47/63Hz
电源功率<35
外观参数产品重量7kg
长度(mm)420
宽度(mm)442
高度(mm)44.2
环境参数工作温度0-40
工作湿度10%-90%
4.网络布局设计
4.1网络拓扑结构介绍
在此次系统设计中,我们采用分层设计方法,将网络的逻辑结构化整为零,分层讨论设计与实现的细节问题。
将网络拓扑结构划分为3个层次,即核心层、汇聚层和接入层。
采用分层设计方法的好处:
1、节约成本
流量从接入层流向核心层时,被收敛在高速的链接上;流量从核心层流向接入层时,被发散到低速链接上,因此接入层路由器可以采用较小的设备。
在采用分层设计方法之后,各层次负责不同的数据传送,不再需要同时考虑同一个问题。
层次模型模块化的特性使网络中的每一层都能够很好地利用带宽,减少了对系统资源的浪费。
2、易于理解
采用分成设计方法设计出来的网络拓扑结构层次结构清楚,结晰,可以在不同层次上实施不同难度的管理,降低了管理的成本。
3、易于扩展
分层设计方法设计出来的层次模块化更有利于系统的扩展。
4、易于排错
层次模块化能够使网络拓扑结构分解成易于理解的子网结构,管理者能够更方便的确定网络故障的范围,从而更快的排出网络故障。
4.2布线逻辑方案
布线只要采取外线进入公司机房然后星形对外布线,如下图4.9所示:
图2布线逻辑分布方案图
图2示,是公司布线逻辑分布图,电信网络通过防火墙,进入通过公司路由设备,然后由主交换机,分配到各服务器,各领导办公室,无线路由设备,办公区交换机1,办公区交换机2,然后通过办公区交换机1分配到各办公区1,办公区交换机2分配到各办公区2,由此来实现整个公司网络井然有序的工作。
4.3网络拓扑图
图3网络拓扑图
4.4骨干核心层网络设计
4.4.1骨干核心层网络设计
网络核心层的主要工作是交换数据包,核心层的设计应该注意以下两点:
1)不要在核心层执行网络策略:
所谓策略就是一些设备支持的标准或系统管理员定制的规划。
牢记核心层的任务是交换数据包,应尽量避免增加核心层路由器配置的复杂程度,因为一旦核心层执行策略出错将导致整个网络瘫痪。
2)核心层的所有设备应具有充分的可到大性:
可到达性是指核心层设备具有足够的路由信息来智能地交换发往网络中任意目的地的数据包。
在具体设计中,当网络很小时,通常核心层只包含一个路由器,该路由器与汇聚层上所有的路由器相连。
在骨干核心层中,我们采用数台BROCADESilkWorm300E核心光纤通道交换机组成一个环形多机热备份的核心交换机系统解决方案。
为提高核心网络的健壮性,实现链路的安全保障,本方案骨干核心层环网中可以采用VRRP(虚拟路由器冗余协议)。
对于各个业务VLAN可以指向这个虚拟的IP地址作为网关,因此应用VRRP技术为核心交换机提供一个可靠的网关地址,以实现在核心层核心交换机之间进行设备的硬件冗余,一主两备,共用一个虚拟的IP地址和MAC地址,通过内部的协议传输机制可以自动进行工作角色的切换。
进而双引擎、双电源的设计为网络高效处理大集中数据提供了可靠的保障。
4.4.2核心层网络设计
大型企业生产办公网络的核心层网络主要完成园区内各汇聚层设备之间的数据交换和与骨干核心层网络之间的路由转发。
BROCADESilkWorm300E具有强大的业务和路由处交换理能力,可以充分满足大型企业不同园区网络的高速数据交换和支持多业务功能的要求,并能够提供完善的安全防御策略,保障企业园区网络的稳定运行。
核心层是网络互联的最高层次,应具有如下能力:
核心设备之间应该具有最高速的链路;比较粗的QoS控制粒度;最高的路由前缀;为网络其他模块提供互联。
在联合公司自动化系统中,核心层为各区域配线间汇聚层交换机以及服务器汇聚交换机之间提供互联。
4.4.3汇聚层网络设计
汇聚层网络主要完成企业各园区内办公楼宇和相关单位的内接入交换机的汇聚及数据交换和VLAN终结,汇聚层是核心层和接入层的连接模块,主要功能如下:
细到粗QoS粒度的转换;提供到核心的路由合并;提供到访问层的路由过滤。
联合公司自动化系统的汇聚层,主要是为各个配线间以及服务器群的中心网络设备提供接入层设备的集中和核心层链路的接入。
4.4.4接入层网络设计
接入层是面向最终用户的设备,主要功能如下:
提供高密度的用户端口;提供许可控制,包括:
安全控制和QoS控制。
采用多层网络的设计方法,必须依赖于利用网络的高弹性和扩充性。
所谓的弹性指的是对故障的容忍度和故障情况下的恢复能力;所谓扩充性是指根据实际需要,可以在各个不同层次实现升级和扩充,实现对网络可控的、有序