大型企业网络设计原版.docx
《大型企业网络设计原版.docx》由会员分享,可在线阅读,更多相关《大型企业网络设计原版.docx(17页珍藏版)》请在冰豆网上搜索。
大型企业网络设计原版
第一章设计的目的
1.1研究背景
今天,迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。
市场的全球化竞争已成为趋势。
21世纪的中国正在向市场多元化、全球化的方向发展。
对于大型企业来说,在调整发展战略时,必须考虑到市场的全球竞争战略,而这一切也将以信息化平台为基础,借助计算机网络原理及网络规划技术,以网络通畅为保证。
国内越来越多的企业也已经或正在考虑使用Internet/Intranet技术,以建设企业规划化的信息处理系统。
因为现代企业的信息大多都来自于互连网,通过网络,企业可以更快速的接收到来自全球的市场信息;通过Internet与外部世界交换信息,企业规划者可以更快地对企业作出正确的宏观调控与决策,以适应市场趋势。
企业与全世界联系起来,极大地提高了信息收集的能力和效率。
随着Intranet技术的不断发展,计算机已经逐渐应用到企业中的各个关键部分,极大的提高了企业的工作效率。
对于规模较大的企业来说,这一点尤为重要。
而有些大型企业根据其自身性质等对于网络有着更多的需求。
比如中国电信、中国网通、中国银行,它们对网络有一点十分重要的需求,那就是网路通路,流量不可断。
因为全中国大部分的金融和通信都经过这些企业,他们的网络的稳定性直接关系到国家的政治经济基础等各个方面。
所以对于这些大型企业的网络设计必须考虑到流量等细节问题。
当今中国网络的另一个重大问题就是安全。
由于中国的网络发展较晚,网络的安全没有作到非常完善。
而且很多早期起用的网络无论从结构还是技术上都有很多设计不合理的问题,这也导致了网络的安全性差。
在企业的某些关键部门(如财务科等),如果有不法分子利用网络中的漏洞修改或者窃取商业机密文件,也会对企业自身造成不可挽回的甚至是毁灭性的危害。
当然,企业也会对一些细节问题提出要求。
比如市场部门可以上网查阅资料而技术部门不可;或者从周一上午九点到周五下午五点可以上网,而其他时间段网络无流量;再或者高层领导组可以监控财务部门的档案文件而其他部门则没有这样的权限。
这些都是网络设计者需要考虑的问题。
1.2目的与意义
企业内部网(Intranet)是国际互连网(Internet)技术在企业内部或封闭的用户群内的应用。
简单地说,Intranet是使用Internet技术,特别是TCP/IP协议而建成的企业内部网络。
这种技术允许不同计算机平台进行互通,且不用考虑其位置。
也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行访问[1]。
基于这种种的现实问题,企业必须从企业局域网的概念及相关计算机网络技术入手,详细地设计企业网建设的实施方案及建设规划,以达到先进、安全、实用、可靠的目标.对该企业的组网需求进行分析,比较各种组网技术,从实用角度论述局域网主干网选择,综合布线,各种设备选择,网络安全,网络管理等方面。
我们的网络要具有一定的灵活性。
当企业发展到一定规模,企业在外地设有许多分支机构。
这时,为加快企业内部的信息流通,企业需要将总部和各分支机构连接起来。
远程企业对网络的需求是:
通过internet接入,在整个公司实现数据快速传输、办公自动化,最终实现企业无纸化办公;企业拥有自己的ip地址和域名,在公司主机上建立网站,向外界宣传企业形象、公司各项业务、活动及最新成果等;以ip电话方式节省企业大部分的长途话费,亦可通过ip网络来实现视频会议;整个公司需要一个运行可靠、费用合理的通信系统;实现telnet等网络服务;建立一个功能全面、使用方便的管理信息系统,使总公司与各地分支机构之间的业务审批电子化,各项工作能够协同完成。
实现结构化布线、网络的设计与规划、资源共享、专线接入Internet、WWW服务器、软硬件配置、划分企业子网等技术实施。
第二章设计的方案
XX集团是一个以煤炭产品为主,兼营大型矿井建设、工业与民用建筑设计与施工、地基与基础处理、地质勘探、商业等行业的综合性集团公司。
XX集团作为一个全国200强的集团公司,下辖生产矿、建井处、机械厂等二级单位5家,各个相对独立的生产服务单位,如财务、运销、医疗卫生、远程教学、综合统计等,都必须实现网上信息传输。
现在要求做出该集团的网络设计方案,在该方案中,用户有如下的需求:
在多业务共同存在的网络设备之上,各业务属于不同的区域,要求实现内部网络按用户、功能进行VLAN、网段划分;
针对不同的用户类型,制定相应的访问、控制权限;
由于接入ISP提供的互联网出口提供1个公有IP,要求解决集团内部对外部网络的访问需求,且要实现发布对外的WEB、FTP服务;
①设计一套具有互联网接口和多个内网的网络集成方案,包含主干网、局域网设计,Vlan划分,IP地址分配
②设计核心路由交换,汇聚层接入,internet接入。
③网络设备选择,网络综合布线图,网络管理及配置方案
④通过napt技术试验内网访问外网。
⑤通过设计不同的网络路线,使得效果更加理想,让主机通过路由器和交换机的联合使用来达到网络的畅通。
第三章设计的思路
3.1大型企业网络分析
为适应企业信息化的发展,满足日益增长的通信需求和网络的稳定运行,今天的企业网络建设比传统企业网络建设有更高的要求,本文将通过对如下几个方面的需求分析来规划出一套最适用于目标网络的拓扑结构。
3.1.1稳定可靠需求
现代大型企业的网络应具有更全面的可靠性设计,以实现网络通信的实时畅通,保障企业生产运营的正常进行。
随着企业各种业务应用逐渐转移到计算机网络上来,网络通信的无中断运行已经成为保证企业正常生产运营的关键。
现代大型企业网络在可靠性设计方面主要应从以下3个方面考虑。
设备的可靠性设计:
不仅要考察网络设备是否实现了关键部件的冗余备份,还要从网络设备整体设计架构、处理引擎种类等多方面去考察。
业务的可靠性设计:
网络设备在故障倒换过程中,是否对业务的正常运行有影响。
链路的可靠性设计:
以太网的链路安全来自于多路径选择,所以在企业网络建设时,要考虑网络设备是否能够提供有效的链路自愈手段,以及快速重路由协议的支持[7]。
3.1.2服务质量需求
现代大型企业网络需要提供完善的端到端QoS保障,以满足企业网多业务承载的需求。
大型企业网络承载的业务不断增多,单纯的提高带宽并不能够有效地保障数据交换的畅通无阻,所以今天的大型企业网络建设必须要考虑到网络应能够智能识别应用事件的紧急和重要程度,如视频、音频、数据流(MIS、ERP、OA、备份数据)。
同时能够调度网络中的资源,保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送,实现对业务的合理调度才是一个大型企业网络提供"高品质"服务的保障[7]。
3.1.3网络安全需求
现代大型企业网络应提供更完善的网络安全解决方案,以阻击病毒和黑客的攻击,减少企业的经济损失。
传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件,以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御,但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。
在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,这样才能有效地保证企业网络的稳定运行[7]。
3.1.4应用服务需求
现代大型企业网络应具备更智能的网络管理解决方案,以适应网络规模日益扩大,维护工作更加复杂的需要。
当前的网络已经发展成为"以应用为中心"的信息基础平台,网络管理能力的要求已经上升到了业务层次,传统的网络设备的智能已经不能有效支持网络管理需求的发展。
比如,网络调试期间最消耗人力与物力的线缆故障定位工作,网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作,由于受网络设备功能本身的限制,都还属于费时、费力的任务。
所以现代的大型企业网络迫切需要网络设备具备支撑"以应用为中心"的智能网络运营维护的能力,并能够有一套智能化的管理软件,将网络管理人员从繁重的工作中解脱出来[7]。
3.2本课题系统需求分析
该集团是一个以煤炭产品为主,兼营大型矿井建设、工业与民用建筑设计与施工、地基与基础处理、地质勘探、商业等行业的综合性集团公司。
XX集团作为一个全国200强的集团公司,下辖生产矿、建井处、机械厂等二级单位3家,各个相对独立的生产服务单位,如财务、运销、医疗卫生、远程教学、综合统计等,都必须实现网上信息传输。
现在要求做出该集团的网络设计方案,在该方案中,用户有如下的需求:
1.在多业务共同存在的网络设备之上,各业务属于不同的区域,要求实现内部网络按用户、功能进行VLAN、网段划分;
2.针对不同的用户类型,制定相应的访问、控制权限;
3.由于接入ISP提供的互联网出口提供1个公有IP,要求解决集团内部对外部网络的访问需求,且要实现发布对外的WEB、FTP服务;
所以我们已建筑物的中心也就是集团总部的三层为网络的中心,用光纤连接三个分公司,构成电子商务公司网络光纤主干。
第四章设计的技术
4.1路由技术
路由协议工作在OSI参考模型的第3层,因此它的作用主要是在通信子网间路由数据包。
路由器具有在网络中传递数据时选择最佳路径的能力。
除了可以完成主要的路由任务,利用访问控制列表,路由器还可以用来完成以路由器为中心的流量控制和过滤功能。
在本工程案例设计中,内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。
路由器是外网进入企业网内网的第一道关卡,是网络防御的前沿阵地。
路由器上的访问控制列表(AccessControlList,ACL)是保护内网安全的有效手段。
一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。
由于路由器介于企业内网和外网之间,是外网与内网进行通信时的第一道屏障,所以即使在网络系统安装了防火墙产品后,仍然有必要对路由器的访问控制列表进行缜密的设计,来对企业内网包括防火墙本身实施保护[2]。
路由器属于网络层设备,能够根据IP包头的信息,选择一条最佳路径,将数据包转发出去。
实现不同网段的主机之间的互相访问。
路由器是根据路由表进行选路和转发的。
而路由表里就是由一条条的路由信息组成。
路由表的产生方式一般有3种:
直连路由给路由器接口配置一个IP地址,路由器自动产生本接口IP所在网段的路由信息。
静态路由在拓扑结构简单的网络中,网管员通过手工的方式配置本路由器未知网段的路由信息,从而实现不同网段之间的连接。
动态路由协议学习产生的路由在大规模的网络中,或网络拓扑相对复杂的情况下,通过在路由器上运行动态路由协议,路由器之间互相自动学习产生路由信息。
4.2交换技术
传统意义上的数据交换发生在OSI模型的第2层。
现代交换技术还实现了第3层交换和多层交换。
高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了企业网数据交换服务质量,满足了不同类型网络应用程序的需要。
现代交换网络还引入了虚拟局域网(VirtualLAN,VLAN)的概念。
VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的影响。
在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现。
当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(VlanTrunkingProtocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN。
然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。
这样,大大减轻了网络管理人员的工作负担和工作强度。
为了简化交换网络设计、提高交换网络的可扩展性,在企业网内部数据交换的部署是分层进行的。
企业网数据交换设备可以划分为三个层次:
接入层、分布层、核心层。
接入层为所有的终端用户提供一个接入点;分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能;核心层将各分布层交换机互连起来进行穿越企业网骨干的高速数据交换。
在本工程案例设计中,也将采用这三层进行分开设计、配置[3]。
4.3远程访问技术
远程访问也是企业网络必须提供的服务之一。
它可以为家庭办公用户和出差在外的员工提供移动接入服务。
远程访问有三种可选的服务类型:
专线连接、电路交换和包交换。
不同的广域网连接类型提供的服务质量不同,花费也不相同。
企业用户可以根据所需带宽、本地服务可用性、花费等因素综合考虑,选择一种适合企业自身需要的广域网接入方案。
在本工程案例设计中,分别采用专线连接的VPN和PBR两种方式实现远程访问需求[4]。
4.4VLAN
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。
一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。
虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
既然VLAN隔离了广播风暴,同时也隔离了各个不同的VLAN之间的通讯,所以不同的VLAN之间的通讯是需要有路由来完成的[5]。
4.5VPN
VPN的英文全称是“VirtualPrivateNetwork”,翻译过来就是“虚拟专用网络”。
顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。
它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。
这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。
VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网[4]。
4.6RIP协议
RIP(RoutingInformationProtocols,路由信息协议)是应用较早、使用较普遍的IGP(InteriorGatewayProtocol,内部网关协议),适用于小型同类网络,是典型的距离矢量(distance-vector)协议。
RIP协议跳数做为衡量路径开销的,RIP协议里规定最大跳数为15。
RIP协议有两个版本RIPv1和RIPv2。
RIPv1属于有类路由协议,不支持VLSM(变长子网掩码),RIPv1是以广播的形式进行路由信息的更新的;更新周期为30秒。
RIPv2属于无类路由协议,支持VLSM(变长子网掩码),RIPv2是以组播的形式进行路由信息的更新的,组播地址是224.0.0.9。
RIPv2还支持基于端口的认证,提高网络的安全性。
4.7IPACL
IPACL(IP访问控制列表或IP访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤。
从而提高网络可管理性和安全性。
IPACL分为两种:
标准IP访问列表和扩展IP访问列表。
标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤。
扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。
IPACL基于接口进行规则的应用,分为入栈应用和出栈应用。
入栈应用是指由外部经该接口进行路由器的数据包进行过滤。
出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。
IPACL的配置有两种方式:
按照编号的访问列表,按照命名的访问列表。
标准IP访问列表编号范围是1~99、1300~1999,扩展IP访问列表编号范围是100~199、2000~2699。
第五章设计的实现
5.1大型企业网络拓扑图
5.2VLAN及IP地址的划分
VLAN号
IP网段
默认网关
说明
VLAN10
192.168.10.0192.168.20.0
192.168.30.0
192.168.40.0
192.168.10.2
192.168.20.2
192.168.30.2
192.168.40.2
财务部VLAN
VLAN20
192.168.11.0192.168.21.0
192.168.31.0
192.168.41.0
192.168.11.2
192.168.21.2
192.168.31.2
192.168.41.2
医疗部VLAN
VLAN30
192.168.12.0192.168.22.0
192.168.32.0
192.168.42.0
192.168.12.2
192.168.22.2
192.168.32.2
192.168.42.2
统计部VLAN
VLAN50
192.168.14.0192.168.24.0
192.168.34.0
192.168.44.0
192.168.14.2
192.168.24.2
192.168.34.4
192.168.44.2
服务器VLAN
端口
IP
子网掩码
路由器PTrouter2
F0/1F0/0
192.168.63.1
192.168.83.2
255.255.255.0
255.255.255.0
三层路由交换机3560-24psMultilayerSwitch0
Vlan
PC
IP
10
0
192.168.10.2
20
0
192.168.11.2
30
0
192.168.12.2
50
0
192.168.14.2
90
0
192.168.13.2
三层路由交换机3560-24psMultilayerSwitch1
Vlan
PC
IP
10
0
192.168.20.2
20
0
192.168.21.2
30
0
192.168.22.2
50
0
192.168.24.2
100
0
192.168.23.2
三层路由交换机3560-24psMultilayerSwitch1
Vlan
PC
IP
10
0
192.168.30.2
20
0
192.168.31.2
30
0
192.168.32.2
50
0
192.168.34.2
110
0
192.168.33.2
两层交换机2590-24-0
Vlan
PC
IP
10
1
192.168.10.1
20
1
192.168.11.1
30
1
192.168.12.1
两层交换机2590-24-1
Vlan
PC
IP
10
1
192.168.20.2
20
1
192.168.21.2
30
1
192.168.22.2
两层交换机2590-24-2
Vlan
PC
IP
10
1
192.168.30.2
20
1
192.168.31.2
30
1
192.168.32.2
两层交换机2590-24-3
Vlan
PC
IP
10
1
192.168.40.2
20
1
192.168.41.2
30
1
192.168.42.2
三层路由交换机3560-24psMultilayerSwitch3
Vlan
PC
IP
10
0
192.168.40.2
20
0
192.168.41.2
30
0
192.168.42.2
50
0
192.168.44.2
110
0
192.168.43.2
三层路由交换机3560-24psMultilayerSwitch4
Vlan
PC
IP
60
0
192.168.53.2
70
0
192.168.63.2
80
0
192.168.73.2
90
0
192.168.13.2
100
0
192.168.23.2
110
0
192.168.33.2
120
0
192.168.43.2
5.3实现代码
5.3.1三层交换机代码
①创建VLAN
Switch#configureterminal
Switch(config)#vlan10
Switch(config-vlan)#exit
Switch(config)#vlan20
Switch(config-vlan)#exit
Switch(config)#vlan30
Switch(config-vlan)#exit
Switch(config)#vlan50
Switch(config-vlan)#exit
Switch(config)#vlan90
Switch(config-vlan)#exit
②将端口划分到VLAN中
Switch(config)#interfacef0/1
Switch(config-if)#switchportmodeaccess
Switch(config-if)#switchportaccessvlan10
Switch(config)#interfacef0/2
Switch(config-if)#switchportmodeaccess
Switch(config-if)#switchportaccessvlan20
Switch(config)#interfacef0/3
Switch(config-if)#switchportmodeaccess
Switch(config-if)#switchportaccessvlan30
Switch(config)#interfacef0/4
Switch(config-if)#switchportmodeaccess
Switch(config-if)#switchportaccessvlan90
Switch(config)#interfacef
升级会员 