阳光企业网络设计方案.docx
《阳光企业网络设计方案.docx》由会员分享,可在线阅读,更多相关《阳光企业网络设计方案.docx(24页珍藏版)》请在冰豆网上搜索。
阳光企业网络设计方案
阳光企业公司
网络设计方案书
(《网络方案设计》课程报告)
学院:
日期:
目录
第一章绪论1
第二章需求分析2
2.1企业背景分析2
2.2需求分析2
2.2.1用户需求分析2
2.2.2系统需求分析2
2.2.3设备需求分析2
2.2.4安全需求分析3
第三章网络设计方案4
3.1网络设计模型4
3.1.1网络分层结构4
3.1.2层次化网络模型的优点5
3.2网络设备选型6
3.2.1路由器选型6
3.2.2交换机选型7
3.3拓扑结构7
3.4VLAN划分和IP地址规划8
3.4.1企业VLAN的划分8
3.4.2企业IP地址的划分9
3.5网络安全设计9
第四章综合布线11
4.1综合布线概述11
4.2设计依据11
4.3设计原则11
4.4布线方案总体设计结构12
4.5详细设计12
4.6综合布线实施阶段14
4.7结构化布线优点15
4.8项目质量管理15
第五章安全体系设计16
5.1物理安全16
5.2数据安全17
5.3网络安全19
附录21
设计总结23
自我评价23
第一章绪论
网络信息技术的不断发展,渐渐改变了人们的生活。
中小型企业网络作为重要组成部分,其发展前景与未来得到越来越多人的关注。
企业生存和发展的需要及网络技术的进步,促进了企业网络的形成。
信息技术的发展将彻底改变我们的日常生活方式与工作方式。
信息全球化的潮流迅速蔓延,它已经迅速的影响到了经济、教育、军事和国防等众多方面,同时,也让传统的企业工作方式慢慢被淘汰。
当下,想要实现企业管理与运作的现代化,就一定要依赖高速发展的信息技术。
现在,有很多的国内企业无法足够认识和了解企业网络的益处,在互联网上拥有自己企业网站的公司更是极为少数,即便拥有了企业网络的公司,也无法充分利用企业网络去管理与运作。
目前的网络规划中,企业网络的发展是至关重要的,而企业网络发展速度惊人的主要原因便是企业网络内的各种不同业务要求。
早期企业网络技术发展只是为了满足部门数据的简单共享,而现在更是要实现全企业的数据共享。
实现的也不只只是单一的企业网络,更要向多分公司的互联发展,所以对网络的覆盖要求越来越苛刻。
因此,在企业网络经济飞速发展的背景下,为了让企业内各部门间的沟通更便捷,让企业的经营规模与范围不断扩大,让企业网络及企业网络易于管理,更加节约工作成本与开销,企业发展和完善企业网络已是至关重要。
设计旨在为中小型企业做出一个可行的、简单易操作的规划构架方案。
主要工作是对要构架网络的企业进行实际考察,研究一些类似的中小型企业网络,再对企业要组建的网络进行需求分析。
在本次的毕业设计中,对象为一家常州市中小型企业,由于刚刚起步,还没设有分公司,在企业中,主要的部门包括总裁办、生产部、营销部和财务部。
第二章需求分析
2.1企业背景分析
阳光企业是一家中小型的企业,该企业位于常州新北区,拥有员工人数大概在100人左右,拥有4个部门。
现在,随着企业的规模与员工数量的不断扩张,为满足办公自动化、信息化的要求,提高各部门之间为提高工作效率,加快信息的交流,适应现代化办公的要求,急需组建一个完善高效的企业局域网。
2.2需求分析
在本次系统设计中,主要是对一个企业进行的网络规划架构。
该企业位于常州市,属于中小型企业。
该企业包括总裁办、生产部、营销部和财务部四个部门。
这次的企业网络系统设计的主要任务是规划并组建出一个稳定、安全和易于管理的自动化办公平台。
这个中小型企业网络系统必须要可以应对现代企业网络办公对网络的各种苛刻要求,能够正确规划网络的层次,完成资源共享,保证网络信息资源的安全等。
2.2.1用户需求分析
企业网络系统要求为企业员工提供方便简单的网络工作环境,安全隔离不同的业务与不同的部门,保证企业信息资源安全与可靠;系统易于管理员的管理、界面做到简单大方、逻辑清晰;企业网络拥有较大的带宽,满足员工或客户对带宽的最基本要求;确保定时备份企业的重要业务,保证资料资源的安全;同时也要保证员工能够获取更加多的专业信息,拓宽自身的知识面,提高专业水平,为企业发展贡献一份力量。
2.2.2系统需求分析
由于中小型企业资金与员工的数量有限,因此企业网络的所有客户端系统与服务器系统应做到易于配置与管理,并确保客户端能够方便快捷的使用;在网络的设计实现与应用维护方面,应该采用多种安全措施来保障企业网络安全;网络的设计还必须采用开放性技术和标准的OS系统与应用软件,应该保证网络运行的稳定性,保障每时每刻每一秒的高效率无故障工作;并让网络管理员能够在任何位置都能使用远程登陆的对整个网络系统进行统一的管理;另外网络系统的设计还应该尽量为企业节省成本与资源。
2.2.3设备需求分析
依据企业网络的具体功能需求与实际工作布线的情况,企业楼宇必须选用相同型号的接入设备;企业网络设备在技术上应满足通用性与合适性的要求,应当有利于管理人员的管理与维护,必须保证企业所有的计算机设备都能够高速接入,企业网络应确保网络拥有较好的扩展性和升级性。
还要求保证企业网络设备有较高的利用率,免去网络设备不必要的支出;在企业网络设备满足功能与性能的良好基础上,还必须有较高的性价比。
企业网络设备最好选用现在的主流设备,还必须保证设备厂商拥有完善的售后技术服务。
2.2.4安全需求分析
目前企业网络应该拥有更加完整的网络安全问题解决方案,以防止突然的病毒入侵与黑客的恶意攻击,保障企业的经济财产不受损失。
而以前一般的企业网络所拥有的安全措施是通过设置防火墙、IDS、安装杀毒软件,还有就是配置交换机或路由器的访问控制列表来抵御对病毒入侵与黑客的恶意攻击,然而大量实践已经证明这些被动防御措施不能够有效保证企业网络的安全。
如今,企业网络越来越重要甚至可以决定企业的未来发展,企业网络就必须要有能够主动抑制病毒与攻击的安全控制手段,这样才能够确保整个企业网络的稳定安全运行。
第三章网络设计方案
3.1网络设计模型
在中小型企业网中,一般采用接入层-汇聚层-核心层这种分层结构。
3.1.1网络分层结构
在中小型企业中,我们通常通过使用接入层-汇聚层-核心层来完成拓扑结构的设计。
而网络的层次化模型,就是把一个复杂的网络设计分成若干层次,其中每一个层次都有不同的功能,所以可以将复杂的问题分解成若干个简单的问题。
核心层:
核心层是指主体部分的网络,核心层十分的稳定、可靠,另外还有很大的容量,所以它能够利用加快通信的效率来稳定骨干的结构。
核心层的优劣决定着整个企业网络数据传输的效率,所以为了保证数据传输的高效性,应该避免在核心层上完成网络控制等其他功能。
核心层配置的还应该注意的其他重点就是保证其稳定与可靠、拥有较高的冗余能力。
如图4-1:
图4-1企业网络中的核心层
接入层:
如图4-2,企业网络中,接入层是指员工直接连接网络和接入网络的部分,在这一层上,客户机终端应当能够直接接入到网络中。
由于企业中大多数员工都需要参与到企业网络中,所以接入层必须拥有足够多的端口以满足员工需求。
而端口众多,为减轻中小型企业负担,成本必须缩小,还要保证其性价比,并且要求操作简单,易于维护。
另外接入层最好能够负责其他的一些功能,比如地址认证、MAC地址、IP地址等等。
图4-2企业网络中的接入层
汇聚层:
如图4-3,在企业网络中,汇聚层一般在中间连接着另外两个层次。
接入层的交换机将汇合于汇聚层的两台三层交换机,并将接入层所有数据传输到这里,然后由汇聚层交换机传输到核心层中。
所以汇聚层起到了承上启下的作用。
它将接入层的数据经过集中、转发,也因为如此,汇聚层交换机就应当比接入层的设备更加复杂,有更高的配置,更加的稳定。
图4-3企业网络中的汇聚层
3.1.2层次化网络模型的优点
1)可扩展性:
层次网络的可扩展性很好,模块化设计可以让你扩展网络直接复制设计元素,由于模块的每个实例都是相同的,容易的计划和实施网络的扩展。
2)冗余:
网络逐渐的增长,使可用性变得至关重要,你能够使用分层网络的冗余实现提高其可用性,访问层交换机连接到两个不同的分发层交换机,确保链路冗余,如果某个分发层交换机出现故障,访问层交换机可以转到另一个分发层交换机。
同时,分布层交换机连接到两个或多个核心交换机,在故障情况下,以保障链路是可用的。
唯一的接入层冗余确实是不容易的,一般情况下,每个终端设备,如电脑,打印机和IP电话可以连接到多个接入交换机,因为他们往往只有一个网络接口卡,如果访问层交换机出现故障,只有连接到该交换机的终端设备受到影响,网络中的其它设备可以继续正常使用网络。
3)性能:
不能低性能通过,中间交换机来传输数据,提高通信性能,大部分的时间,通过从接入层交换机的端口连接到分布层,聚集分布层交换机的功能,使用高性能的数据转发到核心层,再从路由到目的地。
由于核心层、分布层以非常快的速度来执行他们的行动不会造成网络带宽竞争。
最终,精心设计的分层网络可以实现所有设备的数据收发。
4)安全性:
在层次化模型中,企业网络的安全性将得到很大的保障,因为在三层交换模型中,我们可以在核心层中,选用中高端的三层交换机来确保网络的安全稳定,并且还方便的网络管理员的管理,易于维护。
我们还能掌控使用何种设备接入网络,可以配置可靠的端口,还能够选用一些安全策略及通信协议来保护企业网络,保证其安全性。
5)易于管理:
我们可以更加简单的管理企业网络,因为在这种设计中,每层的设计都有其自己的功能,不会产生冲突或出现都无法处理的情况。
而此方案对于企业的拓展更是格外的友好,如果想要添加一台新的交换机,将是一件十分容易的事情,因为管理员只需去将其他现有的交换机上的配置直接照搬过来,然后稍微做下小改动即可。
而有些存在在一些差别的设备,管理员也需要将其不同的配置记录下来,保证日后拓展网络能够快速的配置新设备。
6)维护性:
由于这种设计将网络分为了不同的模块,所以它能够非常便捷的伸缩,所以更加有利于网络管理员的维护。
在这种模型中,每一层的交换机功能都各有不同,因此在选择交换机上有很大的选择空间,它不像有的网络模型,会随着网络的扩大变得过度复杂而不可维护。
当然,我们一般在核心层等主体层次上使用高性能的设备,而在一些最低层的网络中,使用价格稍微偏低的设备来控制成本,毕竟中小型企业资金会相对不足,当即便这样,网络的维护一样是简单、方便的。
3.2网络设备选型
本次课题主要针对的是中小型企业网络,因此就要考虑到中小型企业的需求与不足,比如其资金就会相对紧张一些。
所以,选择正确的设备既能够为企业节省网络架构成本,更能保障企业网络的安全与稳定。
网络设备的选择应该考虑多种因素,首先,必须选择一家产品性价比高、售后服务好的设备厂商进行合作,其次,还应该考虑到设备的兼容性、市面设备的多样性等等,综合以上,我统一选择了思科公司的网络设备。
思科公司是全球最具知名度的网络公司之一。
他们有着最好性能的网络设备,从普通的家庭办公设备和小型企业网络设备,到超大规模的大型企业,都是思科网络设备的忠实用户。
3.2.1路由器选型
Cisco2620路由器
Cisco2620路由器是一款很最常用的路由设备,它相对以前增加了企业级通用性和集成功能。
这款设备是模块化路由器,局域网接口为10-100base-T/TX快速以太网口,拥有32MBflash内存,它支持IEEE802.3X协议,设置有内置防火墙,并支持高级服务质量功能。
思科2620路由器大大减低了企业网络管理人员管理网络的复杂性。
3.2.2交换机选型
Cisco2950交换机
CiscoCatalyst2950系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列,提供了快速以太网和千兆位以太网连接。
这是一款最廉价的Cisco交换产品系列,为中型网络和城域网接入应用提供了智能服务。
作为思科最为廉价的交换产品系列,CiscoCatalyst2950系列在网络或城域网接入边缘实现了智能服务。
主要的中型企业优势:
实现了智能的服务质量(QOS)、限速、访问控制列表(ACL)和多播服务,在多种介质上提供了升级到千兆位以太网的强大路径,凭借内置Cisco集群管理套件可出色地管理并轻松地配置第2-4层服务,与CiscoCatalyst3560系列集中汇聚交换机相结合,用于IP路由至网络核心。
主要的城域网接入优势:
通过高级QOS、限速、语音及多播特性提供广泛的服务,通过生成树(STP)协议改进和访问控制参数(ACP)来提供服务可用性和安全性。
Cisco356024ps交换机
CiscoCatalyst3560系列交换机是一个固定配置、企业级、IEEE802.3af和思科预标准以太网供电(POE)交换机系列,工作在快速以太网和千兆位以太网配置下。
Catalyst3560是一款理想的接入层交换机,适用于小型企业布线室或分支机构环境,结合了10/100/1000和POE配置,实现最高生产率和投资保护,并可部署新应用,如IP电话、无线接入、视频监视、建筑物管理系统和远程视频访问亭。
客户可在整个网络范围中部署智能服务,如高级QOS、速率限制、访问控制列表、组播管理和高性能IP路由等,且同时保持传统LAN交换的简洁性。
思科网络助理(networkassistant)在Catalyst3560系列中免费提供,是一个集中管理应用,可简化思科交换机、路由器和无线接入点的管理任务。
思科网络助理提供了配置向导,大大简化了融合网络和智能网络服务的实施。
3.3拓扑结构
在本次设计中,企业的总部各个部门集中在办公楼宇内部,分为:
总裁办、营销部、生产部和财务部等几个部门。
由于各个部门相对集中,这种情况之下,采用树状拓扑结构是相对合理的,整个企业网络的组建使用的是三层交换结构,分为核心层、汇聚层和接入层。
从多方面考虑,决定采用树状拓扑。
由于核心层需要保证数据的高速传输,更要求其稳定、高效,所以选用中高端的三层交换机,并建立专业机房,由网络管理人员管理维护。
而为了节省企业网络构架经费,觉得其他交换机均使用二层交换机。
在交换机上再接入PC机,满足各部门自动化办公需要,在日后需要扩展企业规模时,可在交换机上添加PC机以满足需求。
具体的网络拓扑结构如下图所示:
图4-4企业网络拓扑图
3.4VLAN划分和IP地址规划
本方案中,将划分5个VLAN。
3.4.1企业VLAN的划分
VLAN可以隔离冲突域和广播域,一个局域网内有上百台主机,如果一旦产生广播风暴,那么这个网络就会彻底瘫痪。
可以通过VLAN还划分广播域,这样使得广播被限制在每一个VLAN里面,而不会跨VLAN传播。
另一方面,之所以要划分VLAN,而不用你说的划分子网。
通常局域网内使用的设备是交换机,并且大部分是二层的,其本身就在一个局域网内,如果不划分VLAN是不可能同时存在一个以上的网段的。
不同VLAN之间的成员在没有三层路由的前提下是不能互访的,这也是一种安全的考虑。
另外一个好处就是管理灵活,当一个用户需要切换到另外一个网络时,只需要更改交换机的VLAN划分即可,而不用换端口和连线。
企业的VLAN划分如下表:
表3-5企业VLAN划分表
部门
VLAN划分
IP地址网段
VLAN命名
总裁办
VLAN10
192.168.10.0/24
CEO
生产部
VLAN20
192.168.20.0/24
product
营销部
VLAN30
192.168.30.0/24
sale
财务部
VLAN40
192.168.40.0/24
finance
服务器群
VLAN50
192.168.50.0/24
server
3.4.2企业IP地址的划分
企业的IP地址分配如下表:
表3-6企业IP地址分配
部门
子网地址
子网掩码
网关
总裁办
192.168.10.0
255.255.255.0
192.168.10.1
生产部
192.168.20.0
255.255.255.0
192.168.20.1
营销部
192.168.30.0
255.255.255.0
192.168.30.1
财务部
192.168.40.0
255.255.255.0
192.168.40.1
3.5网络安全设计
在一般情况下,网络管理人员都不会在网络设备的周围,在需要操作的时候不能够马上接触到网络设备。
所以,有时需要远程登陆带网络设备上进行操作,远程登陆使用的是VTY线路,因此,对VTY线路设置密码,让网络管理人员在远程登陆时可以输入密码进行身份验证。
具体命令如下:
linevty04//进入VTY0-4
password123//将VTY线路密码设置为123
1)提高设备的物理安全性
企业网络中,设备的安全的重要性是毋庸置疑的,为了保证设备的安全与稳定,就必须建立专业的网络机房,并由经验丰富的计算机网络管理员参与管理维护,非工作需要的员工不能够进入机房。
2)配置设备的口令
在规划与建立企业网初期,我们需要对每一台路由器、交换机与服务器逐一配置,在配置协议的同时,我们还应该注意为这些设备的所有VTY线路、console口、特权模式配置相应的密码,这是防止他人蓄意修改配置、恶意破坏设备的基本防范手段,企业网络管理人员必须严格按照企业规定设置密码,不得随意篡改,若有特殊原因要修改密码,必须请示企业高层。
具体命令如下:
enablepassword1234//设置特权模式密码为1234
enablesecret12345//设置特权模式加密密码为12345
3)用户的控制接入
严格控制用户的接入,可以避免非法用户接入带来的潜在的安全隐患。
网系统建设验收完毕之后,确保交换机的所有用户端口处于关闭状态。
只有用户使用申请通过批准之后网络管理员才能将端口激活。
不会影响用户的使用并杜绝潜在安全隐患。
4)系统的访问限制
在企业网络中,并不是所有资源都对所有员工开放的,这就意味着有些资源只对特定员工开放,而这些员工往往都是按照部门分类的。
这时,我们就可以使用访问控制,限制相关员工无法访问与其无关或保密的资源,以保障资源的安全性和被特定员工利用的效率。
5)网络的接入安全控制
当今的网络世界正遭受着前所未有的风险,各种黑客技术横行、网络木马病毒充斥、恶意软件及病毒层出不穷,因此,保障企业网络安全已经迫在眉睫。
为了确保网络的安全与稳定,不让企业网络被破坏,就应该首先培养企业员工的网络安全意识,保证局域网中的终端机不访问受病毒感染资源(包括不收发垃圾邮件、定期对PC机进行扫描等),更重要的是网络管理人员应设置防火墙,保护数据安全,制定严格的企业网络安全策略。
第四章综合布线
4.1综合布线概述
在信息社会中,一个现代化的大楼内,除了具有电话、传真、空调、消防、动力电线、照明电路,一个现代化的计算机网络也是不可缺少的。
布线系统的对象是建筑物或楼宇内的传输网络,以使语音和数据通信设备、交换设备和其他信息管理系统彼此相连,并使这些设备与外部通信网络连接。
它包含着建筑物内和外部线路(网络线路、电话线路)间的民用电缆及相关的设备连接措施。
布线系统是由许多部件组成的,主要有传输介质、线路管理硬件、连接器、插座、适配器、传输电子线路、电气保护设施等,并由这些部件来构造各种系统。
结构化综合布线系统(StructuredCablingSystems),简称SCS。
SCS的代表产品是建筑与建筑群综合布线系统(PremisesDistributionSystem,PDS),简称综合布线系统(PDS),应该说是跨学科跨行业的系统工程,作为信息产业体现在以下几方面:
楼宇自动化系统(BA)
通信自动化系统(CA)
办公室自动化系统(OA)
计算机网络系统(CN)
随着Internet和信息高速公路的发展,各个政府机关、大的集团公司也都在针对自己的楼宇特点,进行综合布线,以适应新的需要。
智能化大厦、智能化小区已成为新世纪的开发热点。
4.2设计依据
系统所遵循的依据:
1)EIA/TLA—568民用建筑线缆标准;
2)EIA/TIA—569民用建筑通信通道和空间标准;
3)EIA/TIA—×××民用建筑中有关通信接地标准;
4)EIA/TIA—×××民用建筑通信管理标准。
这些标准支持下列计算机网络标准:
1)IEE802.3总线局域网络标准;
2)IEE802.5环形局域网络标准;
3)FDDI光纤分布数据接口高速网络标准;
4)CDDI铜线分布数据接口高速网络标准。
4.3设计原则
经济性
在一定的资金资源下,建立一个高水平、完善的计算机网络。
为了适应系统变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护。
把当前先进性、未来可扩展性和经济可行性结合起来,保护以往投资,实现较高的总体性能价格比。
通常情况下,综合布线系统的使用寿命为10~15年。
前瞻性
采用综合布线后,使到整个网络系统一次布线后在10~15年内能满足校园网的发展需求,建立一个具有现代化管理、通信手段的计算机网络,满足共享资源、提高业务能力和工作效率。
在这段时间内可不必进行扩建,不会增加投资,也不破坏建筑物内现在的结构布局和改变布线方式,适应变化能力强,有利于长期的使用和今后的扩展,符合技术上的先进和经济上的合理。
布线系统设计时要考虑运用先进的技术、方法;还要注意结构、设备、工具的相对成熟。
采用当前符合国际标准,确保网络能够适应将来网络技术发展的需要,保证在未来几年内占主导地位。
例如,在综合布线系统中采用先进的材料进行布线——光纤和超五类UTP,传输的速率在100M——1000M以上,完全能够满足10~15年的发展需要。
灵活性
综合布线系统采用AMP所生产的超五类UTP双绞线作为传输介质,物理上采用星型拓朴结构,因此所有的信息通道全部可以通用。
所有设备的接入,改动,或者移除均不改变布线系统,只需增减相应的网络设备以及必要的跳线来连接即可。
另外,一个标准的插座,既可接入电话,又可用来接计算机终端,实现语音/数据相互转换。
可靠性
综合布线采用高品质的材料和组合压接的方式构成一套高标准的信息通道。
每条通道都采用专用的仪器校核线路衰减、串音、信噪比,以保证电气的能力,因而不会造成信息的交叉干扰。
另外物理拓扑星形结构的特点,使得任何一条线路故障均不影响其他线路的运行,同时为线路的运行维护及故障检测及维修提供了方便,从而保障了系统长时间的可靠运行。
冗余性
在整个企业网的设备选择及综合布线中,为了方便今后的扩展,网络的核心交换机、汇聚层交换机和接入层交换机都至少留了三个以上的备用端口,冗余的端口为今后教学大楼进行办公室扩展都十分的方便,在综合布线的垂直主干道布线中,为了防止线路故障会导致整个网络瘫痪,布线中采用了两条主干道,都充分的考虑到网络冗余,为日后网络的管理与维护都提供了便利。
4.4布线方案总体设计结构
根据网络系统实际情况,在进行计算机网络的结构化布线时,由于校内各楼均是在用建筑,因而客观上要求对布线系统进行整体设计,并在尽量短的施工周期内高质量的完成信息传输网络结构化综合布线系统的设计、施工与安装工作。
4.5详细设计
企业的综合布线系统(一般包括计算机网络线和电话线)是由工作区子系统、水平布线子系统、垂直干线子系统、设备间子系统、管理子系统和建筑群子系统组成。
目前主干线一般采用多模光纤布线,水平系统采用超五类非屏
升级会员 