企业网络工程设计方案辽东学院.docx
《企业网络工程设计方案辽东学院.docx》由会员分享,可在线阅读,更多相关《企业网络工程设计方案辽东学院.docx(22页珍藏版)》请在冰豆网上搜索。
企业网络工程设计方案辽东学院
企业网络工程设计方案_辽东学院
企业网络工程设计方案_辽东学院企业网络工程设计方案成员姓名:
专业:
信息管理与信息系统班级:
信息技术学院企业网络工程设计方案摘要随着网络的逐步普及,企业网络的建设是企业向信息化发展的必然选择,企业网网络系统是一个非常庞大而复杂的系统,它不仅为现代化发展、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能提供多种应用服务,使信息能及时、准确地传送给各个系统。
而企业网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的,因此本设计课题将主要以企业局域网络建设过程可能用到的各种技术及实施方案为设计方向,为企业网的建设提供理论依据和实践指导。
该网络规划考虑了公司的实际情况,设计的目标与原则等,以及在网络规划中所需要的网络设备,例如:
交换机和服务器的选型。
在综合布线中各个子系统之间的传输介质的选择。
在设计方案中还包括各个设备的安装,最后是对整个工程进行网络安全设计和工程预算。
关键词:
企业局域网;层次化的结构设计;网络设备-I-企业网络工程设计方案目录摘要I一、需求分析1
(一)网络构建背景需求1
(二)网络应用需求1(三)网络技术需求1(四)功能需求2(五)网络安全需求2二、网络规划设计3
(一)设计目标3
(二)设计原则3(三)设计要求3(四)设备分析4(五)网络拓扑结构设计4(六)内部网络设计61.核心层交换机的设计62.汇聚层交换机的设计73.接入层交换机的设计84.软件选择95.IP地址的设计96.VLAN的设计10(七)外部网络设计11三、综合布线设计13
(一)综合布线概述13
(二)综合布线系统的特点13(三)综合布线系统的结构141.工作区子系统142.水平干线子系统143.垂直干线子系统154.设备间子系统165.管理子系统166.建筑群子系统16(四)系统总体设计17(五)系统结构设计描述17四、网络安全设计19
(一)网络安全设计191.人员角色划分192.路由认证和保护193.关闭IP功能服务204.用户的安全防护20
(二)Internet安全访问设计20五、工程预算21
(一)总体预算21
(二)网络设备21(三)服务器23(四)综合布线24结论27参考文献28成绩评定表29-III-企业网络工程设计方案一、需求分析
(一)网络构建背景需求为了适应业务的发展和国际化的需要,积极参与国家信息化进程,提高管理水平,展现全新的形象,某厂准备建立一个现代化的机构内部网,实现信息的共享、协作和通讯,并和下属各个部门互连,并在此基础上开发建设现代化的企业应用系统,实现智能型、信息化、快节奏、高效率的管理模式。
总体目标是建立该企业的办公业务信息网络交换平台,集成下属各部门信息网络系统,功能齐全、技术先进、集成化的网络系统。
(二)网络应用需求1、实现企业局域网与其他各网络之间的安全、高速数据访问交换。
2、采用Internet代理服务,实现企业所有站点通过电脑网络高速访问Internet。
3、建立WWW服务器,实现企业在Internet和Intranet上的信息发布,使公司内外的人员能够即使了解公司的最新信息。
4、建立邮件服务器,实现企业工作人员与上级机构、分支机构等的电子信息的传递。
5、构建起企业运行基于网络设计的Client/Server(客户机/服务器)或Browser/Server(浏览器/服务器)结构的办公自动化系统、各种信息管理系统的网络硬件平台和系统运行平台。
公司Internet应用是作为我们设计网络一期的依据,因此,我们从公司Internet应用及应用发展入手,分析目前及未来发展的公司Internet应用,并根据这些应用的自身特点,从带宽需求、传输时延、传输的可靠性、传输的安全性等因素来分析,综合考虑并总结出公司Internet应用的发展需求。
(三)网络技术需求1、主干网络采用速率为1000Mbps的交换技术。
作为公司主干的支撑网络,要求安全可靠,并可实现主干网络冗余、链路容错等功能。
2、系统各层网络之间良好互联。
3、千兆交换机与主机服务器之间良好互联。
4、具有良好便捷网络管理平台。
网管系统是开放式网管平台,并可以对全网进行故障管理、配置管理、性能管理、事物处理管理、流量控制管理、日志管理、多厂家产品管理、MIB管理、效率管理和图形化管理。
5、网络骨干设备具有较高的可靠性;核心设备支持热插拔,具有容错设计。
6、网络设备具有较好的扩展性,系统能够平滑升级及扩充。
7、采用国际标准TCP/IP协议。
(四)功能需求设计的网络要达到的功能如下:
(1)信息的共享功能;
(2)公司管理;(3)办公自动化;(4)高速Internet冲浪;(5)网络的各个桌面用户可共享数据库、共享打印机,实现办公自动化系统中的各功能;(6)通信服务功能;(7)最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问;(8)多媒体功能;(9)支持多媒体组播,具有卓越的服务质量保证功能;(10)远程VPN拨入访问功能;(11)系统支持远程PPTP接入,外地员工可利用INTERNET远程访问公司资源。
(五)网络安全需求网络安全主要解决访问互联网及中心服务器的安全问题,考虑以下因素:
1、公司网与Internet网相连后具有“防火墙”过滤功能,以防止网络黑客入侵网络系统;2、良好的认证体系可防止假冒合法用户的攻击;3、良好的备份和恢复机制,可在攻击造成损失时,帮助系统尽快地恢复数据和系统服务;4、多层防御,攻击者在突破第一道防线后,应有多层防御可以延缓或阻断其到达攻击目标;5、通过NAT地址转换功能隐藏内部信息,这样可以使攻击者不能了解系统内的基本情况;6、设立安全监控中心为信息系统提供安全体系管理、监控、保护及紧急情况服务。
二、网络规划设计
(一)设计目标该企业网络系统应是一个以宽带IP网为目标,建立数据、语音、视频三网合一的一体化内部办公网络和外部宽带。
网络系统应实现虚拟局域网(VLAN)的功能,以保证全网的良好性能及网络安全性。
主干网交换机应具有很高的包交换速度,整个网络应具有高速的三层交换功能。
主干网络应该采用成熟的、可靠的千兆以太网技术作为网络系统主干。
同时该网应选用先进的网管软件,建立完善的网络管理体系;在设备方面,应选择有成功案例的网络厂商的设备,同时为Intranet、拨号用户和移动用户提供接口,网络还应具有良好的扩展性。
(二)设计原则1、遵循《中国公众多媒体通信网技术体制》、《中国公众多媒体通信网工程实施技术要求》以及其它国家相关标准和技术体制。
2、采用层次化设计,网络结构的不同部分有不同的功能,使网络具有优良的结构。
3、优化网络和系统结构,并在各个层面考虑冗余和备份,使系统具有较高的容错能力和应变能力,以保证系统的可靠和有效运作。
4、选用的技术确保开放性、可移植性、兼容性和可扩展性。
采用通用的国际标准和协议,不采用有碍网络互通的厂家特有性能。
5、提供有效的安全保密措施,确保整个网络的安全。
重要网络设备应有适当的冗余备份。
6、尽量详细准确,减低工程的复杂程度,使系统建设和改造的工作量减至最少,以保证工程的顺利和有效完成。
(三)设计要求1、实用性:
网络建设从应用实际需求出发,坚持为领导决策服务,为经营管理服务,为生产建设服务。
另外,如果是对现有网络升级改造,还应该充分考虑如何利用现有资源,尽量发挥设备效益。
2、适度先进性:
规划局域网,不但要满足用户当前的需要,还应该有一定技术前瞻性和用户需求预见性,考虑到能够满足未来几年内用户对网络功能和带宽的需要。
采用成熟的先进技术,兼顾未来的发展趋势,即量力而行,又适当超前,留有发展余地。
3、经济性:
要求价格适中,设备及耗材要求采用质量过硬,物美价廉,投资预算不超过20万。
4、安全可靠性:
确保网络可靠运行,在网络的关键部分应具有容错能力,提供公共网络连接、通信链路、服务器等全方位的安全管理系统。
5、开放性:
采用国际标准通信协议、标准操作系统、标准网管软件、采用符合标准的设备,保证整个系统具有开放特点,增强与异机种、异构网的互联能力。
6、可扩展性:
系统便于扩展,保证前期的投资的有效性与后期投资的连续性7、安全保密性:
为了保证网上信息的安全和各种应用系统的安全,在规划时就要为局域网考虑一个周全的安全保密方案。
(四)设备分析根据对网络需求的考察,根据合理性、实用性和节约费用等原则进行设备选择:
1、基于路由器和交换机的局部网间的互联是最好的解决方案。
网络协议方面,以网际协议(IP)作为校园网网络系统的公用网络协议实行标准化,使用IP作为标准传输协议,在以后对网络进行扩充以与其它的网络互连时,可以跨越多个平台自然而然地提供互操作能力和无缝连接功能。
2、在主干网建设时,选择CISCO系统产品,它能够以极具竞争力的价格提供所有技术,为我们提供一个集成化、高性能、灵活、可伸缩、安全和高性能价格比的解决方案的标准。
3、在局部网建设方面,选择使用CISCO设备作为骨干网基础设施的基础。
CISCO设备提供了可伸缩的结构和高性能的设备,能够高速传输数据,同时通过它们Secure技术保证了安全地接入Internet和一体化的网络解决方案。
4、计算机终端设备的选型既考虑性能、价格比、设备的运行维护费用,也考虑设备的可扩充性,确保系统主要设备的投入在整个系统的生命周期内能得到充分利用并具有强健灵活的体系结构。
同时,也考虑局部子网对硬件和信息流量的要求,必须能够提供专用的高速带宽,以处理日常数据信息和峰值操作,并能够支持各种新技术和新增用户。
5、安全性是另一个关键要求,要保证能够安全地接入Internet。
(五)网络拓扑结构设计在用户的网络结构设计中,我们建议采用层次化的结构设计。
对于用户即将建设的网络系统来说,想要建设成为一个覆盖范围广、网络性能优良、具有很强扩展能力和升级能力的网络,在起初的设计中就必须采用层次化的网络设计原则。
采用这样的结构所建设的网络具有良好的扩充性、管理性,因为新的子网模块和新的网络技术能被更容易集成到整个系统中,而不破坏已存在的骨干网。
大多数的网络都可以被层次性划分为三个逻辑服务单元:
核心骨干网(Backbone)、汇聚网(Distribute)和接入网(Local-access),模块化网络设计方法的目标在于把一个大型的网络元素划分成一个个互连的网络层次。
层次性结构如下图一所示。
图一根据项目的具体需求及现有的光纤结构,结合网络建设的基本理论和原则,各入网部门的实际情况,应用需求,资金条件和远,近目标等各方面的要求,设计出该网络为拓扑结构为分层的集中式结构或称星型分级拓扑。
内部网络拓扑图:
图二网络逻辑拓扑结构如图二所示。
它是在基于高端路由交换机的基础之上而设计的新的网络拓扑结构。
简要说明如下:
整个网络由核心层、汇聚层和接入层两大部分组成。
核心层是由CISCOWS-C3750-24TS-S企业级核心路由交换机组成。
汇聚层是由CISCOWS-C3560-24TS-S路由交换机组成。
接入层是由接入层楼层交换机CISCOWS-C2918-24TC-C组成。
主要网络设备列表:
拓扑结构设备型号数量(台)核心层路由交换机CISCOWS-C3750-24TS-S2汇聚层路由交换机CISCOWS-C3560-24TS-S3接入层楼层交换机CISCOWS-C2918-24TC-C26以行政楼中心机房为中心,下属部门为接入点的星型连接方式。
现阶段出于用户的应用和先进性考虑,通过千兆光纤连接。
各楼层的办公网是以星型的方式千兆直接连接到各汇聚机房的汇聚交换机上后,由汇聚交换机通过千兆接到核心交换机。
我们可采用千兆路由交换机与各LAN网段的交换机(Switch)连接而组成星型网络,实现千兆核心网络到各楼层,百兆到桌面,满足各种应用的需要。
核心层交换机与服务器群的相连是以千兆以太网的方式。
(六)内部网络设计1.核心层交换机的设计核心层主要功能是给下层各业务汇聚节点提供IP业务平面高速承载和交换通道,负责进行数据的高速转发,同时核心层是局域网的骨干,是局域网互连的关键。
对核心骨干网络设备的部署应为能够提供高带宽、大容量的核心路由交换设备,同时应具备极高的可靠性,能够保证24小时全天候不间断运行,也就必须考虑设备及链路的冗余性、安全性,而且核心骨干设备同时还应拥有非常好的扩展能力,以便随着网络的发展而发展。
基于对核心层的功能及作用,根据用户的实际需求,本方案中对网络系统中核心层由CISCO系列的企业级核心交换机WS-C3750-24TS-S组成。
其主要任务是提供高性能、高安全性的核心数据交换、QoS和为接入层提供高密度的上联端口。
为整个大楼宽带办公网提供交换和路由的核心,完成各个部分数据流的中央汇集和分流。
同时为数据中心的服务器提供千兆高速连接。
根据该企业的建筑分布及网络规模,以行政楼的中心机房作为整个网络系统的核心节点。
核心节点由2台同档次的网络核心设备构成,它们互为备份且流量负载均衡。
2台网络核心交换机作为整个网络的核心层设备,为各个汇聚层和接入层交换机提供上联。
同时提供了各个服务器的可靠接入。
由于WS-C3750-24TS-S是路由交换机,也即同时具有第二层和第三层的交换能力,为了充分利用资源,将WWW服务器、E-mail服务器、数据库服务器、文件VOD服务器、认证的服务器(Radiusserver)以及网管设备等通过千兆直接连人核心交换机,以解决带宽瓶颈,充分利用核心交换机的交换能力。
核心交换机作为信息网络的核心设备,性能的优劣直接影响到整个网络运行。
在设备的选型上必须考虑到有足够的背板带宽,包交换能力,是否支持设备的冗余,安全性,扩展性等各种性能。
企业级核心交换机WS-C3750-24TS-S完全满足上述的各项要求。
企业级核心路由交换机WS-C3750-24TS-S的性能特性及技术指标如下:
•交换机类:
企业级交换机•应用层级:
三层•接口介质:
10/100BASE-T/100FX•传输速率:
10Mbps/100Mbps•端口数量:
48•背板带宽:
32Gbps•VLAN支持:
支持•网管功能:
网管功能SNMP,CLI,•包转发率:
13.1Mpps•MAC地址:
12k•网络标准:
IEEE802.3,802.3u,•端口结构:
非模块化2.汇聚层交换机的设计汇聚层主要完成的任务是对各业务接入节点的业务汇聚、管理和分发处理,是完成网络流量的安全控制机制,以使核心网和接入访问层环境隔离开来;同时汇聚层起着承上启下的作用,对上连接至核心层,对下将各种宽带数据业务分配到各个接入层的业务节点,汇聚层位于中心机房或下联单位的分配线间,主要用于汇聚接入路由器以及接入交换机。
因此对汇聚层的交换机部署时必须考虑交换机必须具有足够的可靠性和冗余度,防止网络中部分接入层变成孤岛;还必须具有高处理能力,以便完成网络数据会聚、转发处理;具有灵活、优化的网络路由处理能力,实现网络汇聚的优化。
而且规划汇聚层时建议汇聚层节点的数量和位置应根据业务和光纤资源情况来选择;汇聚层节点可采用星形连接,每个汇聚层节点保证与两个不同的核心层节点连接。
根据汇聚层在整个网络中的作用以及用户的实际需求,本方案中汇聚层共设计了3个节点,即:
行政楼、生产车间和运输楼(工段办)。
汇聚层网络设备全部采用了CISCOWS-C3560-24TS-S交换机。
该交换机支持各种高级路由协议,如BGP4、RIPV1、RIPv2、VRRP、OSPF、IP组播、IPX路由。
汇聚路由交换机CISCOWS-C3560-24TS-S的性能特性及技术指标如下:
•交换机类:
企业级交换机•应用层级:
三层•接口介质:
10/100BASE-T/100FX•传输速率:
10Mbps/100Mbps•端口数量:
24•背板带宽:
32Gbps•VLAN支持:
支持•网管功能:
SNMP,CLI,Web,管理3.接入层交换机的设计接入层主要用来支撑客户端机器对服务器的访问,主要是指接入路由器、交换机、终端访问用户。
它利用多种接入技术,迅速覆盖至用户节点,将不同地理分布的用户快速有效地接入到信息网的汇聚。
对上连接至汇聚层和核心层,对下进行带宽和业务分配,实现用户的接入。
根据我们所借鉴的项目设计经验,汇聚层节点与接入层节点可考虑采用星形连接,每个接入层节点与两个汇聚层节点连接。
当接入层采用其它结构(如环行)连接到汇聚层时,建议提供两条不同路由通道。
根据接入层处在网络系统中所起的作用以及用户的实际需求,本方案中接入层部分由CISCO公司的WS-C2918-24TC-C交换机构成。
其主要功能是为该区域下属各部门的网络用户提供大量性价比极高的10/100兆网络接口,并与信息中心的核心交换机通过1000兆光纤链路互联为接入的用户提供高速上联。
接入层楼层交换机CISCOWS-C2918-24TC-C的性能特性及技术指标情况如下:
•交换机类:
快速以太网交换机•应用层级:
二层•传输速率:
10Mbps/100Mbps/1000M•端口数量:
24•背板带宽:
16Gbps•VLAN支持:
支持•网管功能:
CiscoIOSCLI,Web浏览器•包转发率:
6.5Mpps•MAC地址:
8K•网络标准:
IEEE802.1D,IEEE802•端口结构:
非模块化•交换方式:
存储-转发•产品内存:
64MB•传输模式:
支持全双工•网管支持:
支持•模块化插:
24.软件选择1、名称:
数据库品牌:
Oracle8i型号规格:
Oracle8iforsolaris8标准版(5用户)2、名称:
E-mail服务器品牌:
EYOU型号规格:
5000用户美国亿邮公司专业邮件系统3、名称:
服务器操作系统品牌:
微软型号规格:
Windwos2000教育中文标准版(5客户)4、名称:
服务器操作系统品牌:
RedHat型号规格:
RedHatLinuxServer版5、名称:
MSSQL2000品牌:
微软型号规格:
SQLSERVER2000教育中文标准版(5客户)5.IP地址的设计
(1)IP地址规划和分配原则1)根据目前网络结构和以后扩展,遵循以下原则进行IP地址分配。
1.唯一性:
IP地址必须唯一,一个IP地址对应一台数据通讯设备;2.连续性:
为同一网络区域分配连续的网络地址,便于规划,同时提高路由器寻径效率;3.可管理性:
地址的分配应该有层次性,某个局部的变动不影响网络的其它部分;4.高效性:
采用可变长子网掩码技术,要求采用支持可变长子网掩码技术的TCP/IP协议族;5.可汇聚性:
方便路由汇总,缩减路由表条目,提高路由器处理效率。
6.可扩展性:
既要考虑到IP地址的使用现状,又要考虑到未来信息网络的发展,为各单位分配合理的地址空间,在网络上尽可能少地做NAT,减少网络设备CPU处理负担和加快网络访问速度。
2)业务地址的划分可以按照两个原则来分配:
1.按照部门规划,每个部门一个独立的网段;这种方案适合业务种类单一的情况,管理方便。
2.按照业务规划,每种业务一个网段,所有的地市同一业务使用同一网段,这种方案适合业务之间互访的控制。
(2)网络地址分配IP地址规划和分配包括以下内容:
1)设备及互连链路地址规划与分配2)业务地址规划与分配3)服务器地址规划与分配根据以上IP地址的划分原则,本方案建议IP的设计如下:
A段(行政楼、门卫):
192.168.0.0~192.168.3.255/22B段(生产车间、产区办):
192.168.4.0~192.168.5.255/23C段(运输楼、工段办):
192.168.6.0~192.168.6.31/276.VLAN的设计
(1)VLAN的划分的作用及原则VLAN(VirtualLocalAreaNetwork)是虚拟局域网的英文缩写,它最简明的描述就是可以实现将连接在同一个物理网络上面的主机分组,使它们看起来就象连接在不同的网络上一样。
我们可以通过VLAN为网络分段,各个网段可以共用同一套网络设备,节约了网络硬件的开销,同时在迁移中所需的工作量也大幅度降低了,从而降低了连网成本。
在用户的企业局域网系统中,我们建议基于IEEE802.1Q标准实现VLAN,在VLAN设计中,我们使用VLAN达到两个目的:
第一,不同业务部门之间的隔离和通信控制;第二,广播范围抑制。
(2)VLAN划分建议根据各个办公室的地理位置来划分VLAN,如果同一栋楼内包含很多部门,而这些部门的职能和工作内容又有很大的区别,我们就可以在楼内按照部门来划分VLAN。
另外,如果某个部门需要跨越很多建筑物,分布范围比较广,例如部门A分布的很散,在很多交换机上都预留了部门A的信息点,我们则可以按照交换机的位置来设置VLAN,这样,部门A就可能对应多个VLAN,如果部门A所对应的VLAN之间需要通信的话,我们可以通过VLAN间的路由来实现。
这样做的好处是:
可以减少广播数据包对网络主干的影响。
因为如果将部门A全部划分到一个VLAN中,而这些VLAN又跨越了网络主干,分布在众多不同的交换机上,这样如果有广播包时,这些广播包必然会在网络的主干上传输,然后到达相应的交换机上,也就占用了网络主干的带宽,容易造成其他业务的时延。
为了减少传输冲突,提高系统整体性能和网络处理能力,另外,还考虑到网络良好的管理性,易于维护和安全策略的实施,针对用户网络系统的实际情况,可以把功能(应用)相近的设备群组划分到同一VLAN,不同部门的设备划分到不同VLAN中去,这样就能够通过访问控制列表技术实施安全策略。
限制未授权的用户访问重要的服务器和数据库。
(3)VLAN之间安全控制在用户网络系统中,由于在中心使用了三层核心交换机,因此所有的VLAN之间的访问都需要通过三层核心交换机进行,因此可以通过ACL(访问控制列表)控制VLAN之间的流量,这样就可以允许高优先级的VLAN段访问低优先级的VLAN段,而低优先级的VLAN段不能访问或有限的访问高优先级VLAN段。
(七)外部网络设计该企业网络用户为对Internet进行访问,而且为了保证其安全性,要求能够访问Internet的用户与不能访问Internet的用户进行完全的物理隔离,则需要另建立一套网络系统(简称为外网)。
网络用户(即外网用户)通过外网布线系统接至各楼层的交换机,汇总到外网的主交换机后,接入到防火墙上,防火墙通过IP地址转换功能(NAT),将网络用户(即外网用
升级会员 