中小企业网络建设设计.docx
《中小企业网络建设设计.docx》由会员分享,可在线阅读,更多相关《中小企业网络建设设计.docx(20页珍藏版)》请在冰豆网上搜索。
中小企业网络建设设计
中小企业网络建设设计
目录
摘要1
Abstract2
一、绪论3
二、中小企业网络建设需求分析4
(一)网络功能欠缺问题4
(二)网络系统的性能需求5
(三)网络安全风险分析5
(四)网络系统的经济性需求分析6
三、中小企业VLAN划分6
(一)规划VLAN7
(二)IP编址方案7
(三)物理终端与逻辑VLAN的对应8
(四)设备的配置8
四、中小企业网络拓扑结构8
(一)局域网的定义8
(二)虚拟局域网的定义9
(三)网络结构的设计11
(一)网络建设设计思路14
(二)整体网络设计图15
六、总结及展望15
(一)总结15
(二)展望16
参考文献17
摘要
对于中小企业网络建设设计是现在基于互联网发达的今天必不可少的,如何建设好一个技术先进、运行可靠而经济又实用的中小企业网络,是在新形势下企业管理水平的重要保证。
为了解决目前中小企业管理中存在的各种突出问题,对网络进行升级改造、再扩充,改善网络信息的安全性。
在本文中充分利用现代网络技术和设计思想,对中小企业进行研究,包括各个的子网及IP地址设计、路由规划、网络安全设计、网络设备配置、互联网出口方案设计。
设计了企业局域网集中管理系统,采用多重身份认证技术和基于用户授权的访问控制技术,能够有效地对整个企业局域网内有线、无线用户的身份认证、出局访问公网信息权限控制管理。
通过在企业管理中的具体应用,能够较好地对企业内部的网络进行有效的管理,达到了预期效果,并将网络组建成本降到了最低点。
该系统还解决了部分用户下载数据导致网络阻塞问题,使有限的网络资源得到合理利用。
关键词:
企业网络VLAN网络安全局域网
Abstract
Forthedesignofsmallandmedium-sizedenterprisenetworkconstructionisnowbasedonInternetisdeveloped.Withtheessential,howtobuildatechnologyadvanced,reliableoperationandeconomicalandpracticalnetworkofmediumandsmallbusinessesisthemanagementlevelofenterprisesunderthenewsituationofanimportantguarantee.Inordertosolvetheexistingproblemsinthemanagementofsmallandmedium-sizedenterprises,thenetworkistransformed,andthenexpandedtoimprovethesecurityofnetworkinformation.Inthispapermakesfulluseofmodernnetworktechnologyanddesignidea,researchonsmallandmedium-sizedenterprises,includingeachsubnetandIPaddressdesign,routeplanning,designofnetworksecurity,networkequipmentconfiguration,Internetexportschemedesign.
Designtheenterpriselocalareanetworkcentralizedmanagementsystem,usingmultipleauthenticationtechnologyanduserauthorizationaccesscontroltechnologybasedoncaneffectivelytotheenterpriselocalareanetwork,wiredandwirelessuserauthentication,outgoingaccesspublicinformationrightsmanagementcontrol.Throughthespecificapplicationintheenterprisemanagement,itcaneffectivelymanagetheenterpriseinternalnetwork,achievetheexpectedresults,andthenetworkformationcosttothelowestpoint.Thesystemalsosolvestheproblemofnetworkcongestioncausedbythepartialuserdownloaddata,sothatthelimitednetworkresourcesarereasonablyutilized.
Keywords:
enterprisenetworkVLANnetworksecuritynetwork
一、绪论
近年来,中小企业的迅猛发展。
为中小企业的信息化提出了更高的需求。
然而,中小企业信息化基础的园区网建设水平良莠不齐。
从现状来看,我国中小企业对于网络的建设其实还仅仅处在起步阶段。
企业对网络建设缺乏长远规划、建设需求含糊不清等诸多弊端。
在很大程度上制约了中小企业信息化的推进,也同样限制了中小企业的发展。
同时由于对企业的生产、管理、销售活动缺乏深入的了解,系统集成商很难为企业提供一体化完整的网络建设方案.这就是导致很多中小企业的网络在建设好后经常出现故障的主要原因之一。
中小企业网络建设是数字化企业的一部分。
数字化企业项目的建设可以充分利用网络信息技术推进企业信息化资源建设,利用像这个网络平台实现一些网络化办公方面的应用如:
网络办公管理系统(OA)、内部电子邮局、内部网站(对外开放)、网上培训、财务网络化管理、招投标工作的网络化管理、技术档案网络数据库的实现等等。
同时还要接入Internet,以便搞好企业的信息化对外宣传工作,还要满足本企业异地移动办公管理人员的需求。
方便沟通,还便于提高管理水平,探索适应未来信息社会要求的企业人才培养模式和管理模式,改善培训环境,减低培训成本[1],提高培训质量。
根据企业实际情况和培训教学、科研、管理工作的需要。
为了更好的完成信息化企业的规划,使企业成为资源共享中心,必须对原有的企业的计算机网络[2]进行改造和升级。
信息化企业网建设本身是一项长期而复杂的工作,涉及企业建设和管理的各个方面。
企业网络,首先要对网络架构和安全体系进行设计。
二、中小企业网络建设需求分析
(一)网络功能欠缺问题
1、无法对企业的设备进行统一管理,比如企业的门禁、监控等设备。
2、无法对企业网络集中控制和管理,特别是流量的分析和应用系统的监控。
3、无法实现无线办公,企业员工大多都有笔记本点电脑、IPAD、手机,希望可以通过无线网络可以轻松实现办公。
4、无单独的数据中心,随着应用系统的增加,需要建设专门的数据中心网络。
(二)网络系统的性能需求
1、网络兼容性需求分析:
作为智能化企业的网络系统,应该具有良好的兼容性,能够支持多种标准网络协议、多种网络应用。
网管系统也能够支持多家厂商的网络产品。
2、数据交换能力的需求:
为保证整个系统能够支持大数据量的快速交换,使网络即使在有较大突发性数据交换需求的情况下也能运作良好,必须采用高处理能力的局域网交换设备和网问路由设备。
3、可靠性的需求:
为了保证企业网络系统的工作高效地行使各项职能,企业网络系统必须具有高可靠性.具体要求如下:
(1)必须保证核心网络设备和网络链路的高可靠性。
(2)办公系统在平时8小时工作日内应保证基本无重大故障,因此必要设备应采用不间断电源进行供电。
(3)对于任何紧急故障,例如:
停电故障;端口接口故障;线路故障;接入设备故障;其它故障等应有业务保障措施。
(4)平均故障率:
在当前技术和经济条件下,力求平均故障率最低。
4、网络管理的需求分析:
要求系统能够对网络设备及其端口,服务器和数据链路进行监控,使管理人员能及时了解网络状态极其使用情况。
便于及时发现网络中出现的问题,在网络故障或性能下降的时候找到原因。
同时网管系统还能对网络设备的配置进行综合管理。
5、网络扩展性需求分析:
网络系统的规划与建设应该考虑良好的扩展性。
因为随着智能化企业的普及和规模的拓展,企业计算机网络[2]系统将逐步实现互连,其中包括网络规模的拓展和网络类型的丰富。
同时随着应用的扩大,对网络的节点数能够实现方便的扩充,网络的各项性能可以根据情况变化得以有效提高。
(三)网络安全风险分析
瞄准网络存在的安全漏洞,黑客们所制造的各类新型的风险将会不断产生,这些风险由多种因素引起,与网络系统结构和系统的应用等因素密切相关。
下面从物理安全、网络安全、系统安全及应用安全进行分析:
1、物理安全风险分析
网络物理安全是整个网络系统安全的前提。
物理安全的风险主要有:
地震、水灾、火灾等环境事故造成整个系统毁灭;电源故障造成设备断电以至操作系统引导失败或数据库信息丢失;电磁辐射可能造成数据信息被窃取或偷阅;不能保证几个不同机密程度网络的物理隔离。
2、网络安全风险分析
内部网络与外部网络间如果在没有采取一定的安全防护措施,内部网络容易遭到来自外网的攻击。
包括来自Internet上的风险和下级用户的风险。
由于企业网络系统涉及到各个部门,不同部门都有属于自己的敏感性或者不想被其他部门访问的数据,所以应该充分考虑到安全性问题。
内部局网不同部门或用户之间如果没有采用相应一些访问控制,也可能造成信息泄漏或非法攻击。
3、系统的安全风险分析
所谓系统安全通常是指网络操作系统、应用系统的安全。
目前的操作系统或应用系统,开发厂商必然有其Back.Door。
而且系统本身必定存在安全漏洞。
这些安全漏洞都将存在重大隐患。
因此应正确估价自己的网络风险并根据自己的网络风险大小做出相应的安全解决方案。
4、应用的安全风险分析
应用系统的安全涉及很多方面。
应用系统是动态的、不断变化的。
应用的安全性也是动态的。
比如新增了一个新的应用程序,肯定会出现新的安全漏洞,必须在安全策略上做一些调整,不断完善。
(四)网络系统的经济性需求分析
企业网络系统的建设应能够大大提高企业内部的效率、加强沟通职能、降低管理成本、提高劳动生产率,提高管理质量,同时还应充分考虑到现有投入的经济性和今后系统管理和维护的费用以及未来扩充和升级的费用[1]。
三、中小企业VLAN划分
我们知道,如果所有的终端和设备都在一个局域网(LAN)里面,根据以太网所用的载波检测多路访问/碰撞(CSMA/CD)机制,整个局域网被认为是一个碰撞域,如果中间有网桥设备或者交换机的话,这些设备可以作为碰撞域的终结,但是所有的碰撞域合并在一起会构成一个大的广播域,一旦局域网中任何一台终端中病毒,就有可能出现广播风暴,导致整网瘫痪。
要解决这一问题,并达到用户提出的需求,我们可以把服务器群看成是与职能部门同等的逻辑群,我采用虚拟局域网(VLAN)技术[3、4、5、6],通过VLAN定义共同工作组,以分割不同的逻辑群组,然后通过VLAN问路由技术,来实现VLAN间的访问和限制。
要采用VLAN技术,有很多基础工作要做,第一步是规划VLAN,第二步是规划P编址方案,第三步是将物理的计算机终端与逻辑上的VLAN加以对应,第四步是在相应的网络设备上进行相关的部署和配置。
(一)规划VLAN
我根据向用户了解的实际情况,将某企业的相关部门做了如下表(表3.1)的VLAN划分:
VLAN划分表(3.1)
用途
VLAN号
企业
VLAN2
技术部
VLAN3
设计部
VLAN4
销售部
VLAN5
生产部
VLAN6
公关部
VLAN7
有几个要点需要关注:
1、因为VLAN在整个局域网中都能广播到的,所以在规划VLAN的时候,需要把VLAN屏蔽,而且在对网络设备进行配置的时候需要把InterfaceVLANlshutdown掉。
2、为了网络管理的需要,在整个网络中必须要划分一个单独的VLAN作为网管VLAN,把所有接入层、汇聚层交换机设备配置上IP地址,把这些设备单独放在一个VLAN当中。
3、把管理层的VLAN号定义得很大,是为了方便以后有需要增加逻辑群的时候,方便在中间寻找VLAN号。
(二)IP编址方案[7]
用户考虑到网络管理和网络安全的需要,在网络建好之后,给每一台计算机终端配置固定的内网IP地址,所以根据用户的要求,我给出了如下的IP编址方案:
1、企业简单结构图:
2、对应VLAN划分如下表(表3.2):
VLAN划分以及IP地址分配表(3.2)
用途
VLAN号
地址
网关
企业
VLAN2
193.165.26.2-254
193.165.26.1
技术部
VLAN3
193.165.27.3-254
193.165.27.1
设计部
VLAN4
193.165.28.4-254
193.165.28.1
销售部
VLAN5
193.165.29.5-254
193.165.29.1
生产部
VLAN6
193.165.30.6-254
193.165.30.1
公关部
VLAN7
193.165.31.7-254
193.165.31.1
办公区域
VLAN8
193.165.32.8-254
193.165.32.1
(三)物理终端与逻辑VLAN的对应
根据综合布线留下的资料以及用户端的实际情况,要求对每一根五类线都做上了标签,保证了物理与逻辑的对应。
(四)设备的配置
在后续的方案实施中详述。
四、中小企业网络拓扑结构
(一)局域网的定义
局域网(LocalAreaNetwork;LAN),最初的局域网是指将一台以上的计算机与其他设备(打印机、传真机等)通过网线或者同轴电缆连接在一起,目的是为了共享这些设备,以便减少不必要的工作步骤。
但到后来互联网的出现,就逐渐演变成了今天的广义上的局域网,其定义范围也发生了较大的扩充。
现在的局域网是一个比较广泛而抽象的概念。
当今的局域网是指在一个既定的范围内(如一栋大楼、居民小区和企业、公司、学校等都适用),从几十米甚至上千米之内,将各种电脑、打印机、数据资料信息等通过传输介质互相连接起来组成的内部通信网络,构成一个大型的信息处理系统,从而可以实现应用软件的共享、文件的管理、打印共享、扫描仪共享、视屏会议、传真电子邮件等功能。
局域网在物理介质上是封闭型的,但数据信息却是无限延伸的。
局域网按照接入方式分为功能性和技术性两类。
前者是将局域网定义成一些计算机与其它设备,在物理区域上相隔彼此较近,允许相关用户之间互相通信和共享相关设备的计算资源的方式相互连接在一起的局域网,此种局域网适合在办公环境和科研机构中使用。
后者为由特殊类型的传输介质(如双绞线、无线路由器)和网络适配器(或无线网卡)相互连接在一起的电脑设备,并接受网络系统监控管理的局域网。
两者具有明确的划分界限,前者注重的是服务和行为,后者则强调构成局域网的方法和物质基础。
(二)虚拟局域网的定义
1、虚拟局域网VLAN(VirtualLAN)
虚拟局域网(VLAN)是由一些局域网网段构成的与物理位置无关的逻辑组,而这些网段具有某些共同的需求。
VLAN中,网络管理应用软件具有将每个端口分配到某一VLAN中的能力。
VLAN网络管理应用允许网络管理员利用集中式数据库和配置服务器,动态地将交换机的端口分配给终端站的MAC地址。
第三层口路由组允许网络管理员跨越交换机逻辑地配置IP子网。
通过嵌入IP路由选择,每个子网都作为虚拟网络来对待,从而实现VLAN之间的通讯。
这就提供了基于广播域、口子网和交换端口的分段。
由于交换机产品是处于OSI七层协议的第二层,VLAN技术也属于第二层网络技术。
第二层上的VLAN分段采用了一种包标识处理(包标志)。
数据包在经过整个网络时都携带这一标志。
从而使得唯一标识的数据包从每一个交换端口到虚拟网组的处理具有极小的时延。
当交换机接收到来自任何相连终端站设备的数据包后,在每个包头部都会加上一个唯一的包标识符。
该头部信息指定了每个包的VI.AN属性(即属于哪一个VLAN)。
然后,根据VIAN标识符与MAC地址,将数据包传递给相应的交换机和路由器。
在到达最终目的站点时,数据包在相邻的交换机中去除头部信息,并以原来的形式传递至相连的设备。
这种方法为在不干扰网络和应用的情况下控制广播和应用的信息流动提供了一种强有力的机制。
局域网交换机应能为每个配置的VLAN提供生成树的能力。
这不仅极大地减少了链路失效时所需的恢复时间,而且减少了将网络分割成VLAN时生成树的计算量。
它还为重复配置的路径并行地分配流量。
由于可在并行冗余链路上进行流量分配,因此极大地提高了互连交换机间的带宽选择。
2、VLAN的作用[3]
VLAN系统的交换机配备高速以太网升级接口,并支持交换机间连接协议(ISL),具备跨越高速以太主干网连接的兼容性,。
ISL协议可提供跨越骨干网的第二层VLAN标识,并将每个数据包直接传送到已配置有相应VLAN标识的交换机,从而极大地减少了整个企业中的广播量。
任何VLAN配置差异都可通过动态配置分析和运行记录生成过程检测出,并可通知到网络管理应用软件。
这样保证在安装交换的网络上具有配置兼容性,而且减少了由网络管理员导致的配置错误。
VLAN通过基于协议类型和网络地址的分段,可在网络层(通常指第三层)上得到进一步定义。
这种类型的VLAN分段需要子网地址与VLAN组映射。
交换机将终端站的MAC地址和基于于网地址的对应VLAN连接起来,同时选定在同一VLAN中的其他站的相应网络端口。
这种方法的优点在于网络管理员可根据每个包中的网络层信息对网络进行分段。
跨越主干网的VLAN通过开发一系列交换机间协议,能够提供在共享LAN骨干上进行VLAN通信的先进功能。
这些协议真正提供了在整个企业实现VLAN连接的能力,从而摆脱了楼层、地址空间等物理地域,或因为位于布线柜或路由器附近而造成的对用户组的限制。
这些协议可在那些与干兆以太网相连的交换机、路由器和服务器之间传送配置后的VIAN信息。
交换机间协议设计可用于最大程度地优化骨干网技术性能,使其符合现有标准,同时为交换和路由产品系统提供操作性。
VLAN对于需要在两个流量密集的交换机间进行大带宽通信的网络管理员来说是一个非常有效的机制。
将用户和流量分布在不同的VLAN中,网管人员可以在交换机间添加冗余链路,并利用这些链路来分布流量。
在没有VLAN的情况下,两交换机间的冗余链路并不能被交换机充分利用,这是因为生成数技术仅允许一条链路传输数据流,而禁止其它链路传输,以防止形成桥接环路。
通过把一组VLAN分配给一个链路作为主要路径,并把另一个VLAN组分配到冗余链路,仍然作为主要路径,就可以在冗余链路上分布流量。
通过为每个VLAN都提供一个生成树,可以保持用于负载分配的重复链路冗余功能持续有效工作。
当主链路发生故障时,配置在这个链路上的VLAN可通过冗余链路重新连接。
在主要链路运行中断期间,冗余链路将担负全部VLAN流量,当主链路恢复后,生成树会重新将VIAN流量引向这一链路。
在逻辑定义的VLAN组之间进行通信需要第三层路由选择。
如果没有这个功能,VLAN将完全是相互独立的。
在今天的几乎所有网络中,无论所处地点或逻辑网段如何,访问网络所有部分的能力是至关重要的。
这就要求在一个交换机或路由器中跨企业进行第三层通信。
这样,在设计配置和管理VLAN时,第三层路由选择就成为一个必不可少的组成部分。
这种方案在交换机内部提供VLAN之间的通信(路由处理),并由外部路由器确定路由。
由于每个交换机不仅能够并行传送VLAN内配置的数据包,而且还能在VLAN之间传送数据包,因此这种解决方案提高了VLAN之间配置的灵活性。
3、VLAN的优点
VLAN的主要优点是能够更多地进行管理控制、降低日常管理费用以及提供更多的建立逻辑工作组的配置选项。
VIAN的优点包括:
(1)简化了用户移动时配置和重新布线的过程:
(2)链路拥挤时重新分配流量;
(3)基于VLAN组大小和组成的统计,提供关于流量和广播行为的详细报告;
(4)提供随网络内部管理的变化而添加和注销VLAN用户的灵活性[10、11、12]。
(三)网络结构的设计
网络的拓扑结构是抛开网络物理连接来讨论网络系统的连接形式,网络中各个端点相互连接的方法和形式称为网络拓扑。
拓扑图给出网络服务器、工作站的网络配置和相互间的连接,它的结构主要有星型、总线型、环型及混合型结构。
1、星型网络结构
这种结构是目前在局域网中应用得最为普遍的一种,在企业网络中几乎都是采用这一方式。
星型网络几乎是Ethernet(以太网)网络专用,它是因网络中的各工作站节点设备通过一个网络集中设备(如集线器或者交换机)连接在一起,各节点呈星状分布而得名。
这类网络目前用的最多的传输介质是双绞线,如常见的五类线、超五类双绞线等。
它的基本连接图示如下图(4.1):
(星形网络结构图(4.1))
2、环型网
环型结构是将各台连网的计算机用通信线路连接成一个闭合的环,最典型的就是令牌环型网(tokenring),又称为令牌环。
在环型结构的网络中,信息按固定方向流动,或顺时针方向,或逆时针方向。
环型结构的优点是一次通信信息在网中传输的最大传输延迟是固定的;每个网上节点只与其他两个节点有物理链路直接互连,因此,传输控制机制较为简单,实时性强。
缺点是一个节点出现故障可能会终止全网运行,因此可靠性较差。
为了克服可靠性差的问题,有的网络采用具有自愈功能乃结构,一旦一个节点不工作,自动切换到另一环路工作。
此时,网络需对全网进行拓扑和访问控制机制的调整,因此较为复杂。
环型拓扑是一个点到点的坏型结构。
每台设备都直接连到环上,或通过一个接口设备和分支电缆连到环上。
在初始安装时,环型拓扑网络比较简单。
随着网上节点的增加,重新配置的难度也增加,对环的最大长度和环上设备总数有限制。
可以很容易地找到电缆的故障点。
受故障影响的设备范围大,在单环系统上出现的任何错误,都会影响网上的所有设备,如下图(4.2):
(环形网络结构图(4.2))
3、总线网络结构
总线结构是比较普遍采用的一种方式,它将所有的入网计算机均接入到一条通信线上,为防止信号反射,一般在总线两端连有终结器匹配线路阻抗。
总线结构的优点是信道利用率较高,结构简单,价格相对便宜。
缺点是同一时刻只能有两个网络节点相互通信,网络延伸距离有限,网络容纳节点数有限。
在总线上只要有一个点出现连接问题,会影响整个网络的正常运行。
目前在局域网中多采用此种结构。
总线拓扑网络相对来说容易安装,只需敷设主干电缆,比其他拓扑结构使用的电缆要少。
配置简单,很容易增加或删除节点,但当可接受的分支点达到极限时,就必须重新敷设主干电缆。
相对来说比较维护困难,因为在排除介质故障时,要将错误隔离到某个网段。
受故障影响的设备范围大。
各站直接连在总线上。
总线网可使用两种协议。
一种是传统以太网使用的CSMA/CD,而另一种是令牌传递总线网,即物理上是总线网而逻辑上