局域网升级改造规划方案Word文件下载.docx
《局域网升级改造规划方案Word文件下载.docx》由会员分享,可在线阅读,更多相关《局域网升级改造规划方案Word文件下载.docx(27页珍藏版)》请在冰豆网上搜索。
网络设备;
网络协议
要stract算机网络与信息安全系统的要求,对于网络入侵检测产Abstract
Withthepopularizationofthenetwork,theconstructionofenterprise’snetworkistheinevitablechoicethatenterprisesdeveloptowardsinformationization,thenetworksystemofcorporatenetworkisaveryhugeandcomplicatedsystem,itdevelopformodernizationnotmerely,comprehensiveinformationmanagementwithofficeautomationaseriesofemploy,offerbasicoperatingplatform,andcanoffermanykindsofapplicationservice,enableinformationtoconveytoeachsystemintime,accurately.Andhasmainlyemployedtheimportantbranch’sLANtechnologyinthenetworktechnologyintheengineeringconstructionofcorporatenetwork,sothisgraduationprojectsubjectwillmainlyregardvarioustechnologyandimplementingschemethatthelandnetworkingcourseofenterpriseofficemaybeusedasthedirectionofdesigning,offertheoreticalfoundationandpracticeforconstructionofthecorporatenetworktoguide.
CombiningtheactualneedsofTobaccoMarketofNanyanginthenetwork,throughtheresearchofthedesignNanyangMunicipalTobaccoMonopolyBureau,NanyangMunicipalTobaccoMonopolyBureaunetworkupgradeplanningprogram,thisgraduationdesigngivesadetailedexplanationofthekeyissuesencounteredduringthenetworkPlanninganddesign.Thisdesignanalyzesthenetworktopologyforinstitution.DotheConfigurationDesignofTobaccoMarketofNanyang,andalsogivesthenetworkplanninganddesignsolutions.
Keywords:
LAN;
Thetopologyofthenetwork;
Thenetworkequipment;
Networkprotocol
1绪论
1.1课题研究背景
众所周知,网络改变了人们的生活,网络在人们的生活中发挥了越来越举足轻重的地位,而在比如政府机关、企业、学校等部门和事业单位,局域网的建立和规划尤其受到重视和相对有了进一步的研究成果。
随着二十一世纪的全球信息化、网络化,近几年世界计算机网络通信技术发展的日新月异,电子商务、网络多媒体等新一代应用改变了人们的生活。
这一切都预示着网络经济的来临。
但是,XX事业单位的网络规划与设备现状是很多年前的比较陈旧的网络规划方案,而且网络设备已远远不能满足现在的网络发展的需求[1]。
1.2课题研究目的和意义
近年的网络发展,以互联网为代表的信息技术的飞速发展,改变着人们的思维、生活和行为方式,也以前所未有的广度和深度对烟草行业产生了意义深远的影响,正在逐渐地改变烟草行业的经营范围、运作模式和管理理念。
确实如此,由于信息技术的高速发展,网络带来了前所未有的便利,局域网的应用也逐渐越来越受到各地区、各事业单位和有关部门的高度重视。
随着XX事业单位信息化的不断深入,XX事业单位各个办公部门之间的协调合作,各机关单位的信息化建设也已经从简单的数据业务应用逐步发展到数据、语音、视讯等多业务统一承载,而且XX事业单位办公楼方面的维修与建设早已对网络方面的规划与设备有很高需求,而XX事业单位现有的网络已经无法满足新业务的需求,所以要对XX事业单位的网络进行升级改造。
本文关于XX事业单位局域网升级改造的课题研究就是在XX事业单位原有网络规划与设备现状的基础上,结合目前比较成熟、安全的局域网设计方案和目前比较优秀、稳定的网络设备,对XX事业单位的网络进行升级改造规划。
另外,根据课题本身的需求再附加其他一些结构,从而保证了整个局域网系统的完整性、安全性及实用性。
通过运用局域网,可以把分布在XX事业单位办公网络中心不同楼层的所有信息资源迅速结合成不受时间和空间约束的信息,使人们靠网络手段就能够实现信息资源共享,快速取得联系,从而达到烟草专卖局发展和管理模式的高效性、稳定性和长期性[2]。
这样不仅可以支撑烟草专卖局信息系统的运作,共享各种资源,提高烟草专卖局办公的效率,而且还降低了烟草专卖局局域网网络规划的总体费用开支。
1.3课题研究目标
在设计一个单位的局域网的时候,首先要确定用户对网络的真正需求,并在结合现状和未来可能的发展要求的基础上选择、设计合适的网络结构和网络技术,提供用户满意的高质服务。
还要注意到由于逻辑上业务网和管理网必须分开,所以升级改造后的局域网应能提供多个网段的划分和隔离,并能做到灵活改变配置,以适应办公环境的调整和变化。
考虑到XX事业单位内部数据的重要性、保密性,为了保证烟草专卖局各项工作的顺利进行,保证网络的不间断运行,网络平台应具有以下一些特点:
(1)高可靠性
网络系统的稳定可靠是应用系统正常运行的关键保证,相应地在网络设计时,必须强调网络系统的备份与冗余,要求网络有较好的容错能力,整个网络能够可靠地不间断工作,以确保系统的稳定运作,在设计中选用高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持各个系统的正常运行。
(2)技术先进性和实用性
在保证开放性和实用性原则的基础上,在资金许可的情况下,采用先进并标准化的技术与设备,发挥网络最佳的集成效能,保证在相当长一段时间内系统整体处于先进水准。
在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑到烟草专卖局网络应用的现状和未来发展趋势。
(3)灵活性及可扩展性
需求是不断变化着的,根据现有工作的处理和未来业务的增长和变化,要兼顾目前的办公需求和今后较长时期的工作发展需要,即设计时必须留有恰如其分的余量,使系统具有良好的可缩放性,确保在今后需求变化时,结构上不做或只做很小的改动,网络可以平滑地扩充和升级,减少最大程度的减少对网络架构和设备的调整。
(4)可管理性
对于一个网络系统来讲,网络的管理和维护性是必需的。
通过网管系统,能及时方便地了解网络的运行状况,提高网络运行效率,及时发现各种网络故障并迅速排除,以保障网络系统正常、高效地运行。
在网络设备的选择上,即要考虑技术性能、市场份额、技术特色,又要权衡与原有系统整合的因素、人员的培训状况。
本系统需要完整、最新而成熟的技术和产品。
其各项技术应保证具有开放性、可移植性、兼容性和可扩展性。
(5)安全性
在网络设计时,需考虑多级安全防范措施,包括路由器过滤、防火墙隔离、加密传输、身份认证等多种方法组合防护,根据不同的需要进行不同的网络安全设计,最大程度地保护整个网络系统的安全。
2网络建设需求分析与发展
计算机网络是烟草行业电子化的重要基础设施,它是提高烟草部门工作效率,为以后实现各地区烟草部门合作的基础。
因此,为了赢得更深远而持久的发展,近几年来国内各省市烟草单位纷纷将其网络的升级、改造建设列为企业发展的一项重要基础工作[3]。
2.1办公楼分布现状分析
XX事业单位组建于1983年9月,限于当时经济发展的状况,当时的办公楼层建设只有一栋办公楼和一个仓库,可以满足当时的各项工作的需求。
经过二十多年的社会经济,XX事业单位的原有办公楼已不能满足各项工作的需要,所以新建了一栋办公楼,并扩建了仓库设施,并将原有各部门分布和新加的办公室分布重新安排。
建筑分布主要有办公楼1(主办公楼)、办公楼2、仓库,办公楼1分布一些主要职能办公室,共16个办公室和一个中心机房,其中中心机房和接待处在一楼,其他办公室分布在第二至五层;
办公楼2分布一些专业部门的办公室,共9个办公部门。
本方案在原烟草专卖局主办公楼网络规划基础上,将另外新建的办公楼的办公室的网络也接入中心机房中,从而保证XX事业单位每一个办公区域都可以通过网络的连接,在任意一个地点都可以进行信息访问。
各办公楼与仓库分布如图2-1所示。
图2-1各办公楼与仓库分布图
2.2烟草专卖局信息点分布
办公楼1为主办公楼,主体共5层,其中一楼为接待处和中心机房的分布;
二楼为机关党委、办公室、财务管理处、审计处办公室的分布;
三楼为综合计划处、专卖监督管理处、政策法规与体制改革处、科技处办公室;
四楼为人事劳资处、监察处、卷烟销售管理处办公室、宣传部;
五楼为档案室、思想政治工作处。
办公楼1信息点数和VLAN分布统计入表2-1所示。
表2-1办公楼1信息点数和VLAN分布统计
楼层
信息点
VLAN
1F
2
VLAN10
2F
33
VLAN11-VLAN14
3F
28
VLAN15-VLAN18
4F
22
VLAN19-VLAN22
5F
6
VLAN23-VLAN24
办公楼2为XX事业单位其他办公室所在区,主体共4层,其中一楼为安全保卫处、机关服务中心、烟草质量监督检测站;
二楼为会议室、离退休人员管理办公室、物流管理处、职业技能鉴定站;
三楼为烟草公司机关工会、烟草学会;
四楼为教育培训中心。
另外,由于仓库的网络接入较少,可将仓库的网络接入分布办公楼2的一楼。
办公楼2信息点数统计入表2-1所示。
表2-1办公楼2及仓库信息点数和VLAN分布统计
VLAN25-VLAN27
VLAN29-VLAN32
20
VLAN33-VLAN34
16
VLAN35
仓库
VLAN28
2.3功能需求分析
在南阳市烟草专卖公司网络建设中存在多用户,多服务的现状,对网络系统要求具有稳定性、高效率等,以保证大数据量访问下有效的处理能力。
针对需求设备要能对数据做到分布式处理,这样的分布式处理可以节省主交换引擎的消耗,并在大量的数据应用和数据传输的过程中,保证所有硬件设备都可以进行快速的转发,具备高背板带宽(交换容量),所有端口都能保证速度转发[4]。
这种分布式处理可以极大地提高整体处理能力,保证了网络畅通。
XX事业单位局域网规划技术要求有以下几点:
(1)采用千兆核心及核心设备的冗余,主要骨干链路采用千兆链路,百兆到桌面。
(2)烟草专卖局局域网应将不同部门划分到不同的VLAN中进行隔离,以保证网络安全。
(3)应保证网络能够满足各种业务的需要,如:
财务信息系统、日常工作安排系统、工作人员信息管理系统等。
(4)随着技术的发展和业务的增长,可以通过更换或增加模块,使网络升级,网络规模和容量可以平滑增长。
(5)要求整个网络具有高可靠性的总体设计,采用的技术是相对成熟的技术;
所选用的设备具有高可靠性;
采用具有高安全级别的系统软件;
可以实现网络自愈。
(6)系统的性能指标能够完全满足网络内各项业务对处理能力的要求,且便于维护与管理。
(7)网络和主机应支持符合国际和业界标准的相关结构,能够与相关系统和网络可靠互联;
系统软硬件平台应具有良好的移植能力;
应选择广泛应用的标准协议,支持局域网内部的其它协议。
3技术选择分析
3.1VLAN技术
VLAN(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。
一个VLAN可以在一个交换机或者跨交换机实现。
VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。
基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。
传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽,而且对广播风暴的控制和网络安全只能在第三层的路由器上实现[5]。
VLAN相当于OSI参考模型的第二层的广播域,能够将广播风暴控制在一个VLAN内部,划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。
不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。
网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。
另外,VLAN具有灵活性和可扩张性等特点,方便于网络维护和管理,这两个特点正是现代局域网设计必须实现的两个基本目标,在局域网中有效利用虚拟局域网技术能够提高网络运行效率。
3.2OSPF协议
OSPF是开放最短路径优先协议,是一种常用的动态路由协议,区别于距离矢量协议(RIP),在目前应用的路由协议中占有相当重要的地位,主要用在路由器或路由交换机之间发布路由信息[6]。
3.3MSTP生成树协议
多生成树(MST)使用修正的快速生成树(RSTP)协议,叫做多生成树协议(MSTP)。
MSTP将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载均衡。
MSTP兼容STP和RSTP,并且可以弥补STP和RSTP的缺陷。
它既可以快速收敛,也能使不同VLAN的流量沿各自的路径分发,从而为冗余链路提供了更好的负载分担机制[7]。
MSTP使用灵活,适用于任意复杂组网,配置相对也比较简单,最简单的情况下只需要将MSTP协议开启即可,还可以通过设置桥优先级、域信息以及端口路径开销来选择任意VLAN的任意一条通路来实现流量转发。
3.4ACL访问列表控制
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。
它是保证网络安全最重要的核心策略之一。
访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
访问控制列表(ACL)是应用在路由器接口的指令列表。
这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。
至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。
作为外网进入XX事业单位内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。
3.5VRRP协议
虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器中的一台。
控制虚拟路由器IP地址的VRRP路由器称为主路由器,它负责转发数据包到这些虚拟IP地址。
一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器。
使用VRRP的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议,VRRP包封装在IP包中发送。
VRRP协议主要用在2台核心交换机上,本次方案中核心交换机选型为路由交换机,具备路由器的功能,通过运行VRRP协议可以防止单点故障的发生,即使其中一台交换机出现故障,也不会对烟草专卖局业务造成很大的影响,最大化的保护了网络的正常运行。
3.6FIREWALL防火墙技术
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。
该计算机流入流出的所有网络通信和数据包均要经过此防火墙[8]。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网分开的方法,它实际上是一种隔离技术。
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
换句话说,如果不通过防火墙,专卖局内部的人就无法访问Internet,Internet上的人也无法和专卖局内部的人进行通信。
4XX事业单位网络设计方案
4.1网络总体拓扑图
XX事业单位网络拓扑图如图4-1所示。
图4-1XX事业单位网络结构拓扑图
在XX事业单位的网络的建设中,主要分为两个办公区域,分别为办公楼1办公区和办公楼2办公区,办公楼1办公区是一些重要的办公室所在的区域,如财务科,机关党委处等,这些办公室是不允许办公楼2区域的办公室的未经许可访问,而这两个办公楼区域对外网和服务器的连接是不受限制的[9]。
4.1.1核心层交换设计
核心层的主要目的是尽可能快地交换数据。
在整个网络区域中,汇聚层和核心层在某些地方会合二为一。
当汇聚层上有两个或更多子网时,就需要设计核心层来连接这些子网。
核心层负责传输穿过网络区域的数据流,核心层所处理的数据流比其它层次要大很多,应当能尽可能快地传输数据流[10]。
核心层主要提供以下功能:
(1)连接各交换区段。
(2)尽可能快地交换数据帧或数据包。
同时,本方案要求今后的网络均按百兆到桌面的要求设计的,所以在实际运行的网络流量由于网络应用类型、网络结构、主干链路速率、网络投资等多种因素将远不能达到这种情况下计算出来的数值,但在工程上,以上估算数值可作为网络主干或中心的交换容量的参考指标。
4.1.2汇聚层网络设计
汇聚层位于接入层和核心层之间,汇聚层是接入层和核心层之间的分界点和通信点。
这一层进行一些复杂的、消耗系统资源较大的数据包操作。
接入层设备汇接到一台或者多台汇聚层设备上。
汇聚层设备在接入层交换机之间提供第二层连接,同时提供第三层功能,支持路由选择和网络层服务。
如果需要的话,在汇聚层还可以定义以怎样的方式对核心层进行访问[11]。
汇聚层必须决定用最快的方式来处理网络服务请求。
汇聚层实现的主要功能包括:
(1)VLAN聚合及VLAN间路由。
(2)定义广播域和组播域。
(3)访问列表、包过滤和排序、IP和MAC的绑定。
4.1.3接入层交换设计
接入层是三层模型中的最下面一层,也是和用户距离最近第一层。
接入层控制用户和工作组对互联网资源的访问。
接入层有时也称桌面层,大多数用户需要的资源将在本地获得,其余的远程访问数据流将由汇聚层处理。
可以在这一层通过过滤或访问控制列表提供对用户流量的进一步控制[12]。
接入层主要实现的功能包括:
(1)提供到用户的接口。
(2)提供数据链路层服务。
(3)隔离冲突域(即VLAN的划分)。
(4)访问控制。
由于到用户需要较多的物理接口所以接入层主要由接入交换机实现。
在交换机上进行简单的配置即可完成接入层的功能。
4.2子网、IP地址及VLAN规划
4.2.1子网规划
根据第二章的需求分析,由于XX事业单位根据办公楼分布和办公室职能不同,将整个烟草专卖局划分为2个子网[13]。
(1)办公楼1职能办公区域子网:
主要是办公楼1内的重要职能办公室的接入。
(2)办公楼2专业部门办公区域子网:
主要是办公楼2内的专业部门办公室和仓库的接入。
4.2.2IP地址及VLAN划分
职能办公室主要位于办公楼1中,办公楼1共有91个内网信息点,每一个层楼分配一个交换机,每一个办公室划分为一个VLAN,每一个楼层上的VLAN划分到该楼层对应的交换机上,而由于办公楼1的接待处的PC较少,可将一楼的办公室连接到二楼的交换机,一楼可不分配交换机,为XX事业单位节省一个交换机设备[14]。
办公楼1的IP及VLAN划分如表4-1所示。
表4-1办公楼1IP地址及VLAN划分
办公部门
分配的IP地址
所属VLAN
所属交换机
接待区
192.168.10.0/24
办公楼1二楼交换机
机关党委
192.168.11.0/24
VLAN11
办公室
192.168.12.0/24
VLAN12
财务管理处
192.168.13.0/24
VLAN13
审计处办公室
192.168.14.0/24
VLAN14
综合计划处
192.168.15.0/24
VLAN15
办公楼1三楼交换机
专卖监督管理处
192.168.16
升级会员 