企业网络工程设计方案.docx
《企业网络工程设计方案.docx》由会员分享,可在线阅读,更多相关《企业网络工程设计方案.docx(13页珍藏版)》请在冰豆网上搜索。
企业网络工程设计方案
目录
第一章综述3
1.1网络设计背景分析3
1.2网络设计采用的方法和原则4
第二章用户求分析5
2.1用户业务需求分析5
2.2网络性能需求分析5
第三章网络拓扑结构设计6
3.1网络拓扑结构6
3.2网络硬件结构7
第四章网络功能设计9
4.1分层分析9
接入层分析10
核心层分析10
边缘层10
4.2应用系统部分11
第五章网络可靠性设计12
5.1链路安全性分析12
5.2链路可靠性分析12
5.3路由器分析12
5.4公网路由链路分析12
第六章网络安全设计13
6.1身份验证技术:
13
6.2防火墙与IPS13
第七章课程设计总结与体会13
第一章综述
1.1网络设计背景分析
随着现代技术的发展,计算机技术、多媒体技术、网络技术等为代表的新技术的不断更新,推动了数字化公司网络的不断发展。
本系统设计具有前瞻性,满足长远发展。
系统结构灵活,采用模块化设计,支持多种典型应用模式。
系统建设既可一步到位,也可以根据学校资金及需求状况分阶段建设。
无论一步到位还是分步实施,整个系统都能够协调一致,构成一个满足相应需求的功能应用系统,不会造成重复建设或系统冲突。
中国东方国际信息科技集团公司,以后简称集团公司,是浙江省宁波市高科技重点企业之一,是一个集科研、生产、维修于一体的大型科技企业。
集团公司在上海市有一家分公司,进行公司的扩展。
集团公司因为业务的需要和信息化建设的需要,需要对集团公司及分公司的网络进行重建。
1.2网络设计采用的方法和原则
根据建设目标,总体设计原则如下:
中国东方国际信息科技集团网络工程建设项目
先进性原则:
采用业界认可的先进技术和设备,在系统建设和开发过程中的每个环节,必须遵循有关国际、国家主流技术标准。
高可靠性:
网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持网络系统各业务系统的正常运行。
高性能:
骨干网络性能是整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、图像)的高质量传输。
标准开放性:
支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议,有利于保证与其它网络(如公共数据网)之间的平滑连接互通,以及将来网络的扩展。
灵活性及可扩展性:
根据未来业务的增长和变化,网络可以平滑地扩容和升级,并在扩容和升级过程中最大程度的减少对网络架构和现有设备的调整。
随着数据量的增加和运行节点的扩展,应用系统能够随着硬件和系统软件的升级或增加,具有良好的可扩展性。
与此同时,应用软件将具有良好的开放性,遵循业界相关标准,支持开放的标准接口,使整个系统成为一个统一的整体。
可管理性:
系统易于维护和管理,对网络实行集中监测、分权管理,并统一分配带宽资源。
选用先进的网络管理平台,具有对设备、埠等的管理、流量统计分析,及可提供故障自动报警。
成熟性原则:
依据用户的实际需求,精心定制,在总体技术框架和应用逻辑结构上具有良好的成熟性与可验证性。
安全性原则:
能抗击各类常见攻击、抵御黑客入侵及内部防范。
第二章用户需求分析
2.1用户业务需求分析
计算机网络在当今的信息时代扮演着越来越重要的角色,高可靠性的计算机网络为企业的计算机管理提供了稳定的平台,极大的提高了企业的经济效益。
公司网的近期建设要达到以下的目标:
在公司建成一个适合于信息采集、共享的内部网络,在此基础上建立起供教学及人员培训使用的内部网络以及内部办公网络;
实现到Internet的接入,实现信息在Internet的发布;
公司网络建成以后,要实现以下这些功能:
WWW服务,作为信息服务的平台;
ftp服务,作为公司内部共享资源的访问主要手段;
集团公司通过建设一个高速、安全、可靠、可扩充的网络系统,实现企业内信息的高度共享、传递,交流及管理信息化,集团领导能及时、全面、准确地掌握全集团的科研、管理、财务、人事等各方面情况,建立出口信道,实现与Internet互联。
系统总体设计将本着总体规划、分布实施的原则,充分体现系统的技术先进性、高度的安全可靠性,同时具有良好的开放性、可扩展性。
本着为企业着想,合理使用建设资金,使系统经济可行。
集团公司网络的主要功能包括:
文件传输(FTP)、邮件系统(mail)、数据库服务(DB)、WEB服务器(WEB)、在线信息发布、在线信息咨询与反馈、数据库查询、分布式数据存储、容灾备份、信息共享、视频会议、网络电话、安全防护等功能。
2.2网络性能需求分析
1)实现集团网络管理化的目的,达到集团准确、全面、及时对各部门管理信息的采集、处理、查询、统计、分析。
同时,实现集团各部门办公自动化,提高集团管理工作效率。
对集团财务、科研、管理、人事等各部门的基本数据进行收集、整理,按用户需求提供必备的查询、维护权限。
必要时可打印输出。
2)保证网络系统的开放性、可持续发展性,便于业务交流等功能。
3)网络系统必须安全可靠,保证公司数据的安全运行,并能满足公司不断发展的需要。
4)公司网以INTERNET的方式来组织网内信息。
建立电子邮局,同时公司网能与INTERNET全面接入。
5)接入因特网(INTERNET),实现真正意义上的数据共享、信息共享。
6)实现子公司与分公司建立网络互联,信息共享,安全可靠,上下级统一的管理和信息
服务网络。
在完成了目的VPN网络建设后,将为业务系统提供统一、安全、高速、可靠的网络传输平台。
7)网络系统管理和维护工作也是至关重要的。
在系统设计时充分考虑平台的易管理性,为平台维护提供方便的管理工具,同时又要设计规范但不失灵活的工作流程
8)网络安全系统更是企业的主营业务平台。
它的稳定性可靠关系重大没信息平台的运行不稳定甚至瘫痪严重影响企业正常运作。
我公司将采用相应手段保证系统、网络和数据的稳定可靠性,关键节点采用负载均衡、平台备份就是其中的重要策略。
9)系统在设计上一方面满足双向的数据传送、实时处理的要求;另一方面要保持实用性原则、可推广性原则、兼容性原则。
第三章网络拓扑结构设计
3.1网络拓扑结构
针对中国东方国际信息科技集团总公司与分公司网络应用状况,我们采用了光纤作为整个公司网主干线路,提供1000M带宽,满足现有集团教学和办公,采用统一接口、标准协议。
方便未来线路的提升。
在设备上采用三层网络设计:
第一级为核心层,提供汇聚点之间的全千兆路由交换,采用2台三层千兆以太网交换机作为核心交换机,与相应的汇聚点以千兆光纤相连,形成公司宽带互联网络的主干,实现汇聚层与核心层的全千兆路由交换和强大的吞吐能力。
第二级为汇聚层,各由1台交换机通过千兆光纤以星形拓扑连接至核心交换机。
第三级为接入层,接入层交换机可通过双绞线电缆或光纤连接到汇聚层交换机的千兆埠。
最终实现千兆骨干,百兆到桌面的高性能公司网络。
公司网拓扑图如下:
3.2网络硬件结构
通过针对整个网络项目的整体分析并结合总公司的前期设计与实施,分公司的网络设计采用锐捷的RG2352G做为接入层交换机,有48个接口,RG3760E-24作为汇聚层三层交换机,针对分公司的无线接入的要求本方案采用RG-AP2200作为无线接入AP,每台最多可连入30台客户机,RG-WS5708作为无线交换机管理分公司的无线接入认证。
分公司与总公司的接入采用RG-RSR20-14E路由器,并采用防火墙WALL160实现分公司与互联网的安全。
下选型表是各设备的型号与功能特性:
接入交换机
RG2352G
48口10/100M自适应电口交换机,2个SFP/GT光电复用口(SFP为千兆/百兆口),1个扩展槽,可上千兆模块和堆叠模块,交换容量32G支持IPv4/IPv6双协议栈。
核心交换机
RG3760E-24
24口10/100M自适应电口交换机,2个SFP/GT光电复用口(SFP为千兆/百兆口),1个扩展槽,支持RPS,交换容量49.9G。
包转发率L2:
线速(12.8/16.4Mpps)L3:
线速(12.8/16.4Mpps),支持IPv4/IPv6双协议栈。
路由器产品
RG-RSR20-14E
RSR20-14E主机,包括2个GE口(光电复用,支持100M和1000M光),1个Console口,1个AUX口,1个USB口,1个SD卡插槽,4个SIC模块插槽,固化24个交换端口,512M内存,支持IPv4/IPv6双协议栈。
防火墙产品
WALL160
千兆防火墙;提供8个千兆电接口,1U;可选配防病毒、防攻击、应用管理等增强特性授权,支持IPv4/IPv6双协议栈。
3.3网络管理软件
考虑到分公司与总公司的业务数据,服务器均采用IBM服务器并采用硬件raid技术实现数据的冗余可靠。
为了实现数据的安全和远程灾备的需要,分公司采用windowsstorageserver2003R2实现远程存储服务器,适用公司数据的远程存储于灾备需求。
分公司的数据库服务器和NFS服务器和邮件服务器采用RedhadESS5自带的mysql、NFS和sendmail实现..针对远程存储,可以采用redhat的iscsi软件包实现。
产品分类
型号
数量(套)
选型依据
数据库
E65-00186
1
SQLSvrStandardEdtnRUNTIME2008 R2EMBESDOEI1CPU[1CPU无限用户R2版本]
客户端操作系统
通用品牌
1
Windows7中文旗舰版(多国语言包(32位//64位自选))
服务器操作系统
通用品牌
1
微软WINDOWSSERVER2003 企业版25Clt[简中]全套(尾货) 32位
通用品牌
1
NOVELLSUSELinux操作系统,SUSELinuxEnterprise,支持32位和64位服务器,仅限A6序列企业版、政务版;
存储系统
磁盘阵列
1
微软磁盘阵列系统WindowsServer2003storge
第四章网络功能设计
4.1分层分析
通过在三层交换机上为各VLAN配置SVI接口,利用三层交换机的路由转发功能可以实现VLAN间的路由。
可根据需要实现同一交换机下不同VLAN的通信。
为了提高网络稳定性,网络中通常会提供冗余链路,但是冗余链路会形成物理环路,从而引发广播风暴等问题,造成网络瘫痪.因此在网络中运行MSTP技术,提供冗余链路同时解决环路问题,通过配置交换机优先级,制定交换机为根交换机.因而形成了接入交换机与核心交换机之间的物理环路.且为提高交换机之间传输带宽,实现链路冗余备份,在两台核心交换机之间用两条网线连接。
为实现网络互联互通,信息共享和传递将XX台核心交换机连接到内网出口路由器,路由器在和校园网外的另一台路由器连接,现做适当配置,实现网内的主机和网外的主机相互通信。
接入层分析
我们接入层交换机上做了vlan的部门划分,安全接入放面我们做了端口安全,access端口上实现对允许的连接数量的控制,以提高网络的安全性,并对重要的部门做了802.1x接入安全认证。
在连接方面我们做了端口聚合,扩大了数据流。
在决绝环路方面我们做了STP(MSTP)多树生成树。
即实现了负载均衡又决绝了环路的问。
并根据集团企业用户的需求,在网络结构中,在接入层使用百兆以太网交换机接入桌面,在上行到汇聚层交换机,使用链路聚合技术增强链路的带宽。
在核心层上,采用链路聚合技术使用双核心交换机链路带宽更大。
在接入层采用二层交换机,并且要采用一定方式分离广播域。
在接入层交换机上划分(VLAN80:
生产部)、(VLAN90:
技术服务部)、(VLAN100:
保安部)、(VLAN120:
销售一部)、(VLAN130:
销售二部)、(VLAN140:
市场营销部)、
核心层分析
核心交换机采用高性能的三层交换机,为了实现数据的高速的传输,以及在传输过程中为防止带宽的不够用,所以我们才用了且采用了双链路(链路聚合技术),并且我们要对数据进行分流,实现负载均衡技术,并且以做双核心互为备份的形式,接入层交换机分别通过4条上行链路连接到2台核心交换机,由三层交换机实现VLAN之间的路由。
交换机之间的链路配置为Trunk链路,三层交换机上采用SVI方式实现VLAN之间的路由。
2台三层交换机之间采用双链路连接,并提高核心交换机之间的链路带宽。
在2台三层交换机之间采用端口聚合,以提高带宽。
边缘层
外网出口链路使用DDN专业和Internet接入,实现集团业务分离,并实现链路冗余。
在主业务链路上(DDN专线)使用了CHAP验证机制,进行身份验证,增强链路的安全性。
保证了网络安全,PPP协议,并采用CHAP验证机制,进行身份验证,增强链路的安全性。
在路由转发方面我们所使用的协议为OSPF动态路由协议,OSPF是链路状态路由协议,网络收敛速度快,进行增量更新,减少网络流量,OSPF动态路由协议适合于中大型网络,对于集团网络更具有可扩展性。
在网络的出口使用NAT技术,实现私有地址可以访问互联网并减少了IP地址的浪费。
我们在连接INTERNET的路由器上做了IPSECVPN,为了防止专线在断掉的情况下与分公司的通讯。
4.2应用系统部分
根据集团用户对操作系统的要求:
将成本主要集中在了锐捷的高端网络设备上,为了节约成本,在系统服务应用上,选择了免费、开源的系统。
选择了较为稳定的linux,它具有极高的稳定性、先天的安全性、多任务、多用户、免费、有强大的网络功能、在相关开源程序的支持下,可实现WWW、DNS、DHCP、E-mail等服务。
在需要做集群的服务器上部署RedHat的RHCS集群服务,为搭建集群服务提供底层架构
数据中心:
考虑到公司初期的成本压力,使用IPSAN代替FCSAN作为公司的数据中心,并使用专业的windowstorage作为数据中心服务器,在数据中心服务器上组建RAID5磁盘阵列,提高数据的冗余度和数据访问速度,提供其它服务的网络磁盘挂载
前端负载均衡系统:
使用开源强大的lvs整合RHCS集群套件作为负载均衡,为后端的web和mail服务器做互为主被的负载均衡,整个lvs使用dr模式,提高lvs的效率,在前端的路由器将lvs的虚拟IP通过nat的方式映射到外网。
WWW服务器2台,使用稳定功能强大的apache作为web服务器,考虑到业务的可扩展性,通过前端lvs添加更多的web服务器提高并发和性能。
挂载IPSAN的网络磁盘,通过RHCS,格式化为GFS分布式文件系统,提高web集群的效率。
数据库服务器:
使用2台服务器搭建mysql,考虑到数据库的安全和备份,搭建mysql的主从复制,并挂载数据中心的网络磁盘,提高数据的冗余度和安全性
mail服务器2台,使用开源主流的postfix作为mail服务器,通过LDAP整合总公司的AD域控制器,实现帐号的统一管理。
第五章网络可靠性设计
5.1链路安全性分析
接入交换机的的access端口上实现对允许的链接数量的控制,以提高网络的安全性。
采用端口安全的方式和802.1X实现,接入层的接入安全。
在广域网和INTERNET的串型接口上配置了ppp协议,并且通过三次握手协议chap认证提高安全性。
在内网到外网的访问进行一定的控制,要求财务部不允许访问互联网,业务部只允许访问WWW和FIP服务,其余访问不受控制。
通过ACL实现。
5.2链路可靠性分析
为了提高网络的可靠性,整个网络中存在大量环路,要避免环路可能造成的广播风暴等。
采用多生成树的方式确定优先顺序。
5.3路由器分析
三层交换机上配置的路由接口,在广域网路由器和INTERNET路由器上分别配置接口IP地址。
在三层交换机上启用了路由接口,内部网络上启用ospf路由协议,实现全网互通,另外我们在广域网路由器上与分公司路由从ISP服务提供商铺设了DDN专线。
5.4公网路由链路分析
两台三层交换机上配置缺省路由,为公司的通信进行链路备份。
并用NAT方式,实现企业内网仅用少量的公网IP地址到互联网的访问。
第六章网络安全设计
根据网络的需求,要为公司设计一个高安全的网络,为了实现网络的安全可靠,我们主要在以下两个方面进行设计和实施。
6.1身份验证技术:
在网络中的身份验证都需要使用AAA技术,由radius服务器进行验证,这些验证包括VPN用户验证、无线接入验证和网络管理的telnet验证。
在网络中针对路由器的连路采用PPP验证和加密处理,为保障路由协议的安全眼,在路由更新时采用基于MD5验证。
在网络接入层,起用802.1X协议对接入层实现用户验证。
6.2防火墙与IPS
采用防火墙实现互联网与分公司的网络安全配置,运用放火墙策略,只允许内网用户在规定的时间内访问外网,并拦截外网对服务器网段的各种攻击。
同时采用IPS(入侵防御系统)实现对服务器机群的入侵防御检测,保证服务器的安全。
第七章课程设计总结与体会
园区网是各种类型网络中一大分支,有着非常广泛的应用。
作为新技术的发祥地,尤其是高等企业,和网络的关系十分密切,网络是最初是在校园里进行试验并获得成功的,许多网络的新技术也是首先在校园中获得成功,进而才推向社会的。
现在所谓的园区网多是一些系统集成商基于先进的硬件设别提出的解决方案,只是设备集成。
作为园区网,需要连接多少个节点,怎样利用网络设备使得分布在不同地理位置的节点连接到一个统一网络中来,怎样使得整个网络中的节点相互连通,这些问题仅仅是园区网需要解决问题中的一部分。
从某种意义来讲,园区网的建设绝不仅仅只是涉及到技术问题,而是会引申到更深的层次,也就是说信息技术所带来的一场革命会彻底改变我们的生活方式和学习方式。
通过这次课程设计我也懂得了人是要处于一种不断学习状态额不断的总结过程中。
善于学习,才不会在原地绕圈子,才会走在前进的道路上,善于总结才会发现错误,弥补不足,这样才能进步。
在此过程中遇到很多问题,但是我相信挫折是成功的催化剂,这次的课程设计会使我对学到的知识更加熟练的掌握。
参考文献
[1]【中】雷震甲著.《网络工程师教程》第一版.高等教育出版社,2010
[2]【美】里德3com公司著.译.《网络设计》第一版.[J]北京:
电子工业出版社,2002
[3]【美】崔北亮著.《非常网管》第一版.北京:
人民邮电出版社,2010
[4]【美】载伊,麦克唐纳著.思科系统公司译.《思科网络技术学院教程CCNAExploration:
网络基础知识(附光盘)》第一版.[J]北京:
人民邮电出版社,2010
升级会员 