小型企业网组网方案拓扑规划及设备选型最终方案.docx
《小型企业网组网方案拓扑规划及设备选型最终方案.docx》由会员分享,可在线阅读,更多相关《小型企业网组网方案拓扑规划及设备选型最终方案.docx(26页珍藏版)》请在冰豆网上搜索。
小型企业网组网方案拓扑规划及设备选型最终方案
理工大学计算机与通信工程学院
《计算机网络》课程设计报告
洪俊
院系计算机与通信工程专业通信工程
班级通信10-02学号3
学生洪俊指导教师吴佳英
课程成绩完成日期2013年7月12日
小型企业网组网方案
—拓扑规划与设备选型
学生:
洪俊指导老师:
吴佳英
摘要本文要实现小型企业网组网的拓扑规划与设备选型。
为了考虑到小型企业网络的负载均衡和稳定性能,在拓扑结构中,本方案采用三层网络结构。
其中,核心层采用两台设备,确保网络的可靠性。
路由协议则选择安全性高、收敛速度快的OSPF协议。
其中用到的路由交换协议还有支持VLAN间数据传输的VTP协议。
我们采用Cisco交换机带宽聚合技术将多条物理线路捆绑为一条逻辑链路,使其有更高带宽。
对于网络中可能存在的安全威胁,针对不同的需求,方案中提出了VLAN技术、访问控制列表、防火墙技术以与VPN等安全解决方案,并根据不同层的技术要求选定设备,以求构建一个安全、高效、可靠的企业网络,并在GNS3中模拟实现。
关键词网络拓扑结构,三层网络结构,OSPF协议,VLAN技术,GNS3。
1引言
在现在的社会背景下,一个企业要提升竞争力,就必须实现公司信息化,甚至可以说,没有公司的信息化就没有竞争力。
公司信息化指将信息网络技术、计算机、Internet以与电子商务运用到企业的市场调研、产品研发、技术改造、质量控制、供应链、资金周转、成品物流等全过程,从而实现信息化。
搞不搞信息化,已经不是企业的发展问题,而是生存问题。
公司信息化的目的是为了提高企业运作效率、降低成本、进一步提升企业竞争力。
这一切都是建立在公司网络上面的,因而一个企业必须建立相应的网络以实现信息传输。
企业的业务已经全面电子化,与Internet的联系相当紧密,所以他们需要良好的信息平台去支撑业务的高速发展。
没有信息技术背景的企业也将会对网络建设有主动诉求。
任何决策的科学性和可靠性都是以信息为基础的,信息和决策是同一管理过程中的两个方面,因此行业信息化也就成了人们所讨论并实践着的重要课题。
公司部网络的建设已经成为提升企业核心竞争力的关键因素。
公司网已经越来越多地被人们提到,利用网络技术,现代企业可以在客户、合作伙伴、员工之间实现优化的信息沟通,公司网络的优劣直接关系到公司能否获得关键的竞争优势。
众多行业巨擘纷纷上马各种应用方案且取得了巨大的成功,这使信息化建设更具吸引力。
在这种时代背景下,公司也就要相应地做出信息化的战略选择。
本文就以小型企业为例,重点分析一个小型企业所需要的网络拓扑结构,以与相应所选取的设备等。
1.1本文主要容
本文第二节主要介绍企业网络的设计的原理;第三节模拟企业的身份提出网络规划的需求;第四节给出了具体的拓扑图设计流程(论文中对网络分三层设计),并得出最后调试成功的网络拓扑图;第五节按照第四节的拓扑结构要求,在每一个分层设计中选定了各层需要的设备。
第六节对本次课程设计做出分析,主要包括设计中的问题、解决方法以与完成设计后得到的提高。
论文的最后附有参考文献,并在附录里面列出了设备选型时的参考设备与对应的参数。
1.2设计平台
GNS3是一款优秀的具有图形化界面可以运行在多平台(包括Windows,Linux,andMacOS等)的网络虚拟软件。
Cisco网络设备管理员或是想要通过CCNA,CCNP,CCIE等Cisco认证考试的相关人士可以通过它来完成相关的实验模拟操作。
同时它也可以用于虚拟体验Cisco网际操作系统IOS或者是检验将要在真实的路由器上部署实施的相关配置。
设计网络拓扑图使用GNS3软件,软件界面如图2.1所示
图1.2GNS3软件界面
2设计原理
2.1企业网络设计原理
(一)先进性
企业网络采用了百兆光纤接入,核心和接入层交换机都采用的是100mbps的接口,使得主干网络拥有充分的带宽,核心采用高性能的cisco三层交换机,能够使整个网络可以高效的运行。
随着计算机应用的不断普与和发展,计算机系统对网络性能的要求已经并将继续不断提高,高带宽、低延迟是对交换网络设备的基本要求。
网络交换设备应该提供从数据中心到楼层配线间直至桌面的高速网络连接,交换机必须具备无阻塞交换能力。
综合考虑先进性和成熟性,结合实际应用需求,市教育城域网可采用千兆以太网、快速以太网作为主干技术连接数据中心和各学校交换机,采用千兆以太网、快速以太网或以太网接口连接服务器和客户机。
(二)标准性
对整个系统的布线严格按照国际通用和国家制定的标准实施。
整个过程也有专人监督,杜绝违反相关技术规定的事情出现。
在当今流行的Internet/intranet计算方式下,应用系统将以大量客户机同时访问少量服务器为特征,要求网络交换机必须具有有效的主动式拥塞管理功能,以避免通常出现在服务器网络接口处的拥塞现象,杜绝数据包的丢失。
以硬件交换为特征的多层交换技术已经在越来越多的局域网网络系统中取代传统路由器成为网络的主干技术,作为一种成熟的先进技术应在市教育城域网网络中得到应用。
(三)兼容性
兼容性主要针对不同厂家的网络设备进行兼容,以满足不同的需求。
不同厂商的网络设备应能彼此兼容,以保证企业网络的正常、高效地运行。
为保证网络系统的开放性,网络中的主干交换设备应该能够支持基于国际标准或工业界事实标准的ATM、FDDI、快速以太网、千兆以太网等各种链路接口技术,能够在必要的时候与外部开放系统顺利实现互联。
(四)可升级和可扩展性
由于选用的交换设备在硬件方面性能都比较优秀,都可以对其系统进行升级,以满足相对的功能需求,通过增加交换机等设备可以扩展整个网络的规模,也可以增加核心成交换机从而确保接入层的高稳定性。
为了将来能顺利实现技术升级,选用的设备应有支持千兆以太网、ATMOC-12等前沿技术的能力,以便技术成熟时配备。
由于计算机技术和应用围的不断进步和发展,而网络技术又是其中进步最快的一个分支,计算机网络系统的建设不仅要考虑当前的网络连接需求,还必须考虑到计算机系统不断扩大而提出的网络系统扩展和升级的需求和网络通信技术本身的快速进步所提供的提升网络系统容量和性能的可能性。
为了使网络系统能够在尽可能的保护现有投资的前提下不断滚动发展以适应应用需求发展的需要,选用设备时应该尽可能预见到网络系统近期、中期和远期的扩展、升级的可能性并预留扩展、升级的能力。
(五)安全性
硬件上通过使用防火墙,严格控制进出部网络的数据容,软件上通过在路由器上设置一系列的访问控制列表来实现部网络的安全,通过静态nat把服务器的部ip地址与公有IP地址进行转换,从而保护服务器群,并通过pat将部所有的地址在网络出口映射为一个公有IP地址,使得外部网络无法访问部主机。
在局域网上的所有交换机应能灵活地、跨越全网地进行虚拟网划分和管理,将物理上分散而逻辑上紧密相关的各站点划入独立的虚拟网,实现无关系统的逻辑隔离是网络安全性的基本保障。
在此基础上,我们选用的网络产品应该具备包括MAC级、IP层、应用层等多个层次实现安全管理的能力,作为交换网络核心的多层主干交换机应该具备防火墙功能,防止发生在同一虚拟网或虚拟网之间互联点上的非法侵犯。
(六)可靠性
通过百兆主干线路以与高性能的交换机保障部网络访问Internet的速度;通过将服务器直接连接在核心交换机上以提供高带宽的链路,从而保证外网访问的质量。
为保证网络系统的不间断连续运行,应该选用经过实践检验证明成熟可靠的产品。
数据中心交换机应采用模块化分布式处理技术实现,避免采用一损俱损的中央交换模块方式。
各主要部件都应有冗余,所有部件应支持热插拔,主干端口应支持热备份,特别是作为整个计算机网络系统核心的多层交换单元更要具备冗余备份的容错能力。
(七)易操作性
整个网络采用经典的核心层-汇聚层-接入层的三层结构,由于网络规模较小,部信息点数量也比较少,使得网络整体比较简单。
有利于在网络中心完成企业网络的全局管理并配置相应的软件协助管理。
(八)可管理性
通过对IP地址的合理规划和对不同部门划分不同的vlan,可以有效的进行整个网络系统的管理,针对特殊的服务,我们在服务器上安装专门的网络管理系统软件,这样可以对网络实施较为有效的管理。
计算机网络系统作为市教育城域网智能系统的神经中枢,其运行状况应该得到全面的监控和管理。
OSI对网络管理提出了配置管理、性能管理、错误管理、安全管理、记帐管理等五大要求,以此为指导,该网络管理系统应选用基于工业标准的SNMP(简单网络管理协议)的开放式管理平台,配合专用的网络管理应用作为网管系统的设计框架。
网管系统应支持网络拓扑自动发现、设备的配置和监视、网络故障的监测和报告等功能,并提供简单易用的图形用户接口。
3需求分析
3.1企业网络性能建设目标
新网络应该具有足够的先进性,不仅应该能承载普通的(文件,打印等)网络流量,并且应该支持多样QOS特性(比如MPLS),保证有足够的带宽运行基于IP网络的实时语音传输,以与未来可能会具有视频会议流量。
新网络应该具有足够的强壮性,应该具有足够的灾难恢复措施,包括电源冗余,设备冗余,主机冗余,数据库冗余,线路冗余,拨号链路冗余。
新网络应该具有足够的安全性,采取路由器,以与防火墙以与设置DMZ区,防杀病毒、入侵检测、和漏洞扫描与修补系统、网络数据完整、网络安全保护保证网的绝对安全,将来数据在外网以与INTERNET上传输应该采取加密,并且数据传输线路应该采取全屏蔽双绞线,防止信息的流失和泄露。
3.2企业具体需求
假设某小型IT企业需要构建一个综合的企业网,使用电信、联通双出口。
该公司有5个部门,分别是:
财务部,研发部,工程部,人事部,市场部。
公司共有三栋楼与一个驻外办事处。
1号楼:
两层,一层是财务部和研发部,二层是研发部。
2号楼:
两层,都为市场部。
3号楼:
三层,其中一层是人事部和工程部,二、三层是工程部
外地:
驻外办事处(同样可作为异地备份的服务器或者主机)。
从网安全考虑,使用VLAN技术将各部门划分到不同的VLAN中,为了保护网的安全,需要路由器使用NAT转化。
企业使用电信、联通双网接入,在接入端口需要2个路由,路由实现NAT转化,集成访问控制;为保障工作效率和可靠性,核心层选择2台三层交换机;按照企业楼栋数,汇聚层选择3台2层交换机;按照部门个数与楼层总数,接入层使用7个交换机,并且根据部门划分VLAN;驻外办事处需要一台接入公共网的路由,使用VPN技术连接(整体拓扑详见图4.2)。
。
4网络拓扑规划
4.1网络拓扑结构选择
根据企业具体要求选择局域网拓扑结构——星型结构。
计算机网络的组成元素可以分为两大类,即网络节点(又可分为端节点和转发节点)和通信链路,网络中节点的互联模式叫网络的网络的拓扑结构。
网络拓扑定义了网络中资源的连接方式,局域网中常用的拓扑结构有:
总线型结构、环形结构、星型结构。
由于小型企业总部网络站点不是特别的多,而且联网的站点相对集中,因此我们采用星型的网络拓扑。
星型拓扑结构是由通过点到点链路接到中央节点的各站点组成的。
星型网络中有一个唯一的转发节点(中央节点),每一台计算机都通过单独的通信线路连接到中央节点。
在星型拓扑中利用中央结点可方便地提供服务和重新配置网络;单个连接点故障只会影响故障点连接的一个设备,不会影响全网,容易检测隔离故障、便于维护;任何一个连接只涉与到中央结点和一个站点,控制介质访问的方法简单、访问协议简单。
4.2三层结构的拓扑设计
按照3.2小节的具体要求,企业的网络使用层次化设计模型,并且根据规模使用三层结构。
在下文中,我们将分为核心层,汇聚层,接入层分步骤设计。
网络的设计模型主要包括层次化设计模型和非层次化设计模型两种。
随着网络技术的迅速发展和网上应用量的增长,非层次化的网络设计已经不适合当今企业的网络应用,由于非层次化网络没有适当的规划,网络最终会发展成为非结构的形式,这样当网络设备之间相互通信时,设备上的CPU必然会承受相当大的负载,不利于网络的运行和发展,当大量的数据在网络中传输时,容易引起线路拥堵甚至网络的瘫痪。
所以我们选择层次化的网络设计。
多层设计师模块化的,网络容量可随着日后网络节点的增加而不断增大。
多层次网络有很大的确定性,因此在运行和扩展过程中进行故障查找和排出非常简单。
多层模式使网络的移植更为简单易行,因为它保留看基于路由器和交换机的网络原有的寻址方案,对以往的网络有很好的兼容性。
另外分层结构也能够对网络的故障进行很好的隔离。
针对实际情况我们采用三层结构模型,即核心层、汇聚层、接入层。
每个层次有不同的功能。
核心层作为整个网络系统的核心,起主要功能是高速、可靠的进行数据交换。
汇聚层主要进行接入层的数据流量汇聚,并对数据流量进行访问控制。
接入层主要提供最终用户接入网络的途径。
主要进行VLAN的换分、与分布层的连接等。
(一)核心层设计
核心层作为整个网络系统的核心,其主要功能是高速、可靠的进行数据交换。
核心交换区的作用是尽快地提供所有的区域间的数据交换。
交换机高性能、高可靠性、高可用性是我们主要考虑的因素。
本区的安全性可以由边界防火墙提供,如果有需要,还可以在交换机上面部署安全策略,使得核心交换区的安全性进一步地增强。
(二)汇聚层设计
入层的数据流量汇聚,并对数据流量进行访问控制。
包括访问控制列表、VLAN路由等等。
这样设计部但不但保证网络的高可用性和稳定性,还能避免单台核心设备的负载太重导致网络性能问题。
(三)接入层设计
接入层主要提供最终用户接入网络的途径。
主要是进行VLAN的划分、与分布层的连接等等。
接入层交换机以千兆以太链路和汇聚交换机相连接,并为用户终端提供10/100M自适应的接入,从而形成千兆为骨干,百兆到桌面的以太网三层结构。
办公系统所需的各种服务器如FTP服务器、服务器、DHCP服务器等组成服务器群,连接到汇聚交换机的千兆模块上面,因此,部的局域网采用三层结构组建。
(四)路由协议选择
为达到路由快速收敛、寻址以与方便网络管理员管理的目的,我们采用动态路由协议,目前较好的动态路由协议是OSPF协议和EIGRP协议,OSPF以协议标准化强,支持厂家多,受到广泛应用,而EIGRP协议由Cisco公司发明,只有Cisco公司自己的产品支持,属于私有性质,其他厂商设备是不支持的。
考虑网络的扩展性、数据资源的保护等原因,我们选择OSPF路由协议。
OSPF协议采用链路状态协议算法,每个路由器维护一个一样的链路状态数据库,保存整个AS的拓扑结构(AS不划分情况下)。
一旦每个路由器有了完整的链路状态数据库,该路由器就可以自己为根,构造最短路径树,然后再根据最短路径构造路由表。
对于大型的网络,为了进一步减少路由协议通信流量,利于管理和计算。
OSPF将整个AS划分为若干个区域,区域的路由器维护一个一样的链路状态数据库,保存该区域的拓扑结构。
OSPF路由器相互间交换信息,但交换的信息不是路由,而是链路状态。
OSPF定义了5种分组:
Hello分组用于建立和维护连接;数据库描述分组初始化路由器的网络拓扑数据库;当发现数据库中的某部分信息已经过时后,路由器发送链路状态请求分组,请求邻站提供更新信息;路由器使用链路状态更新分组来主动扩散自己的链路状态数据库或对链路状态请求分组进行响应;由于OSPF直接运行在IP层,协议本身要提供确认机制,链路状态应答分组是对链路状态更新分组进行确认。
相对于其它协议,OSPF有许多优点。
OSPF支持各种不同鉴别机制(如简单口令验证,MD5加密验证等),并且允许各个系统或区域采用互不一样的鉴别机制;提供负载均衡功能,如果计算出到某个目的站有若干条费用一样的路由,OSPF路由器会把通信流量均匀地分配给这几条路由,沿这几条路由把该分组发送出去;在一个自治系统可划分出若干个区域,每个区域根据自己的拓扑结构计算最短路径,这减少了OSPF路由实现的工作量;OSPF属动态的自适应协议,对于网络的拓扑结构变化可以迅速地做出反应,进行相应调整,提供短的收敛期,使路由表尽快稳定化,并且与其它路由协议相比,OSPF在对网络拓扑变化的处理过程中仅需要最少的通信流量;OSPF提供点到多点接口,支持CIDR(无类型域间路由)地址。
因为是小型企业,考虑后续的发展,公司现有网络规划为area0,部网络设备都规划为area0。
后期若有分支机构各区域接入路由器根据区域不同使用动态协议,或者使用静态路由与动态路由结合的方式。
(五)防火墙
防火墙只目前应用最广、最具代表性的网络安全技术,它分为硬件防火墙和软件防火墙。
硬件防火墙是把软件嵌入到硬件中,由硬件执行这些功能,这样就减少了CPU的负担,使路由更稳定。
软件防火墙一般只据有过滤包的作用,而硬件防火墙的功能则要强大的多,它还包括CF(容过滤)、IDS(入侵侦测)、IPS(入侵防护)以与VPN等功能。
硬件防火墙一般使用经过核编译后的Linux,凭借Linux本身的高可靠性和稳定性保证了防火墙整体的稳定性。
防火墙主要由服务访问政策、验证工具、包过滤和应用网关四部分组成。
我们在核心层路由器与Internet之间配置一台硬件防火墙,这样,所有进出网络的数据都要通过防火墙,而该防火墙应具有以下的功能:
(1)包过滤:
控制流出和流入的网络数据,可基于源地址、源端口、目的地址、目的端口、协议和时间,根据地址簿进行设置规则。
(2)地址转换:
将部网络或外部网络的IP地址转换,可分为源地址转换SourceNAT(SNAT)和目的地址转换DestinationNAT(DNAT)。
SNAT用于对部网络地址进行转换,对外部网络隐藏起部网络的结构,避免受到来自外部其他网络的非授权访问或恶意攻击。
并将有限的IP地址动态或静态的与部IP地址对应起来,用来缓解地址空间的短缺问题,节省资源,降低成本。
DNAT主要用于外网主机访问网主机。
(3)认证和应用代理:
认证指防火墙对访问网络者合法身分的确定。
代理指防火墙置用户认证数据库;提供、FTP和SMTP代理功能,并可对这三种协议进行访问控制。
同时支持URL过滤功能,防止员工在上班时间访问某些,影响工作效率。
(4)透明和路由:
将网关隐藏在公共系统之后使其免遭直接攻击。
隐蔽智能网关提供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问者对专用网络的非法访问;防火墙还支持路由方式,提供静态路由功能,支持部多个子网之间的安全访问。
(5)入侵检测:
能够提供部网到部网和远程接入到部网两种安全保护,可以防御互联网中的病毒、间谍软件的攻击,并可阻止垃圾和非法连接(因为软件限制,本论文中未在拓扑图中使用防火墙,但考虑企业网络安全性,我们在拓扑中使用了访问控制技术)。
确定整个网络拓扑的结构与各层的功能后,按照以上要求,在GNS3设计出的网络总体拓扑如图4.2所示:
图4.2网络总体拓扑图
5设备选型
按照第4节的拓扑设计与规划,本节给出了网络各部分的重要设备选择,在附录中介绍了参与选择设备的具体参数。
5.1核心层设备选择
推荐使用两台CiscoCatalyst4506E交换机完成此项功能。
Cisco4506交换机高性能、高可靠性、高可用性是我们主要考虑的因素。
本区的安全性可以由边界防火墙提供,如果有需要,还可以在4506上面部署安全策略,使得核心交换区的安全性进一步地增强。
CiscoCatalyst4500系列凭借众多智能服务将控制扩展到网络边缘,其中包括先进的服务质量(QoS)、可预测性能、高级安全性和全面的管理。
它提供带集成永续性的出色控制,将永续性集成到硬件和软件中,缩短了网络停运时间。
CiscoCatalyst4500系列的模块化架构、介质灵活性和可扩展性减少了重复运营开支,提高了投资回报(ROI),从而在延长部署寿命的同时降低了拥有成本。
方案中Catalyst4506交换机配置了一块WS-X4515引擎(SupervisorIV),Catalyst4500SupervisorIV引擎用于CiscoCatalyst4506交换机机箱,是一款64Gbps、4800万分组/秒(48mpps)的第二到四层交换引擎,直接在管理引擎面板上配备了2个线速GBIC端口。
当部署了Catalyst4500系列SupervisorIV时,这些附加端口可将Catalyst4506的最大密度扩展到240个端口。
添加了这款新管理引擎后,Catalyst4506可为中型企业提供价格合理、易于使用的可扩展性、创新安全性、集成可靠性和灵活性。
5.2汇聚层设备选择
推荐采用两台CiscoWS-C3750G-12S-E作为汇聚交换机。
两台CiscoWS-C3750G-12S
-E做双机热备,采用Cisco专有热备份协议技术(HSRP),根据需求配置成多组HSRP。
CiscoCatalyst3750系列交换机是一个创新的产品系列,它结合业界领先的易用性和最高的冗余性,里程碑地提升了堆叠式交换机在局域网中的工作效率。
这个新的产品系列采用了最新的思StackWise技术,不但实现高达32Gbps的堆叠互联,还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起,便于用户建立一个统一、高度灵活的交换系统--就好像是一整台交换机一样。
这代表了堆叠式交换机新的工业技术水平和标准。
对于中小型企业网络来说,CiscoCatalyst3750系列通过提供配置灵活性、支持融合网络模式与自动进行智能网络服务配置,简化了融合应用的部署,并可针对不断变化的业务需求进行调整。
此外,CiscoCatalyst3750系列针对高密度千兆位以太网部署进行了优化,包括多种交换机,以满足接入、汇聚或小型网络骨干连接需求。
CiscoCatalyst3750G-12S提供12个千兆位以太网SFP端口用于连接数据中心和办公楼的接入层交换机和中心核心机房的Catalyst4506交换机。
GEC或FEC(GigabitEthernetChannel/FastEthernetChannel)称为Cisco交换机带宽聚合技术,它用于千兆或百兆以太网端口。
在两台Cisco交换机互连时,利用GEC/FEC技术,可以将2条或多条物理链路捆绑成为一条更高带宽的逻辑链路,在本方案中,CiscoWS-C3750G-12S-E之间用两条千兆光纤相连,利用GEC技术,我们可以得到一条全双工4G带宽的链路。
这样不仅可以提高交换机之间的互连带宽,更重要的是能够在多条物理链路间提供容错,使得任意一条线路断掉不影响交换机之间的畅通。
5.3接入层设备选择
推荐使用CiscoCatalyst2960系列智能以太网交换机。
CiscoCatalyst2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和千兆以太网连接,可为入门级企业、中型市场和分支机构网络提供增强LAN服务。
Catalyst2960系列具有集成安全特性,包括网络准入控制(NAC)、高级服务质量(QoS)和永续性,可为网络边缘提供智能服务。
凭借CiscoCatalyst2960系列提供的广泛安全特性,企业可保护重要信息,防止未授权人员接入网络,确保私密性与维持不间断运行。
5.4防火墙设备选择
推荐使用思科的ASA5505-SEC-BUN-K9防火墙,它是为中小型企业设计的一款产品,它集高安全性和高可扩展性于一身,能够对病毒、垃圾、非授权访问等进行实时监控,并提供VPN服务,为用户提供全面的保护。
它构建于Cisco PIX安全设备系列的基础之上,能够提供部网到部网和远程接入到部网两种安全保护,可以防御互联网中的病毒、间谍软件的攻击,并可阻止垃
升级会员 