高性能企业园区网的设计与组建网络工程报告.docx
《高性能企业园区网的设计与组建网络工程报告.docx》由会员分享,可在线阅读,更多相关《高性能企业园区网的设计与组建网络工程报告.docx(27页珍藏版)》请在冰豆网上搜索。
高性能企业园区网的设计与组建网络工程报告
毕业设计报告(论文)
报告(论文)题目:
高性能企业园区网的设计与组建
作者所在系部:
作者所在专业:
网络工程
作者所在班级:
作者姓名:
作者学号:
指导教师姓名:
完成时间:
2016年6月
摘要
在如今的网络建设中,企业园区网的搭建是非常重要的,企业园区网高速发展的原因是企业园区网内部可以同时开展不通的业务。
早期的企业园区网只是简单的数据共享,而现今的企业园区网可以做到企业内部全方位的数据共享。
过去单一的企业到现在多个分支公司的全部互连,因而对网络的覆盖面要求越来越广。
这一要求最早还只局限于各分支企业内部,现在则已是整个企业、整个行业,甚至整个Internet的共同要求。
因此构建高性能的企业园区网显得尤为重要。
随着网络的逐步普及,高性能企业园区网的建设是企业向信息化发展的必然选择,企业网络系统是一个非常庞大而复杂的系统,它不仅为企业现代化、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能提供多种应用服务,使信息能及时、准确地传送给各个系统。
关键词:
高性能园区网信息化
Abstract
Intoday'snetworkconstruction,enterprisecampusnetworkstructuresisveryimportant,becausetherapiddevelopmentoftheenterprisecampusnetworkistheenterprisecampusnetworkcanbecarriedoutinsidethebusinessatthesametimedoesnotmakesense.Earlyenterprisecampusnetworkjustsimpledatasharing,andtoday'senterprisecampusnetworkcandoafullrangeofenterprisedatasharing.Asingleenterpriseinthepastandnowallofinterconnectingapluralityofbranchofthecompany,andthusthenetworkcoveragerequirementsandmorewidely.Thisrequirementalsoonlylimitedtothefirstbranchoftheenterprise,isnowalreadythewholeenterprise,thewholeindustry,andeventhecommonrequirementsacrosstheInternet.Sotobuildahigh-performanceenterprisecampusnetworkisparticularlyimportant.
Withthepopularityofthenetwork,theconstructionofhigh-performanceenterprisecampusnetworkistheinevitablechoicetoenterpriseinformationdevelopment,enterprisenetworksystemisaverylargeandcomplexsystem,notonlyforenterprisestomodern,integratedinformationmanagementandofficeautomation,aseriesapplicationprovidesbasicoperatingplatform,andcanprovideavarietyofapplications,sothatinformationcanbepromptlyandaccuratelytransmittedtothevarioussystems.
Keyword:
highperformance,CampusNetwork,Informatization
第1章绪论
1.1课题研究现状分析
随着科技的发展,网络技术的发展也越来越成熟,各大企业基本都实现了信息化的办公。
对企业而言,提高企业内部员工的工作效率,更好的扩展企业的业务,同时能够更规范合理的管理企业网络,保证企业信息不被泄漏,越来越多的企业认识到搭建一个高效、稳定、安全的网络的重要性。
然而现如今网络技术不断发展,企业园区网络的搭建有很多种选择,如何选择网络技术搭建园区网来满足企业现在的需求以及未来发展的需要,同时对于网络要有可扩展性,这是摆在各企业面前的一个难题。
1.2选题的目的及意义
当今世界经济空前繁荣,企业面临着异常激烈的竞争,机遇与挑战并存。
如何控制并降低成本,如何获得业务的增长,如何增强核心竞争力,如何提高运营效率和客户满意度,成为企业负责人最关心的话题。
网络信息化技术在各行各业发展中起到的作用越来越显著,信息化技术给我们带来了不一样的业务模式,信息化为企业的高速发展提供了最新的技术保证,怎样把高效的信息技术转化为高生产力,并最终成为企业的核心竞争力,是当下每一个企业都在思索的一个问题。
纵观目前大部分企业的网络建设,很多企业的网络构架搭建的时间过久,导致存在设计混乱、层次复杂、稳定性低、安全性不足等一系列的问题,已经不能很好的适应现如今信息化高速发展的需求。
所以企业迫切的需要一个合理的、高性能的网络来满足业务需求。
本文采用工程化设计的方法,设计并且模拟一个园区网络,采用成熟的产品和技术,满足用户安全性、通用性、高效性和可扩展性的要求,由于网络采用模块化设计的思想,所以网络系统各层可移植性强,极大的帮助了以后的网络设计工作。
1.3课题研究的主要内容
本文所设计的高性能企业园区网,主要任务是设计一个规范合理化的高性能网络,统一规划园区网的IP地址,合理使用路由协议,在网关出配置相关的控制策略,通过设备以及链路的冗余保障网络的安全性。
而对于企业园区网中,网络管理员在边界对策略的管理没有一个可视化的管理,造成策略管理的混乱,本文也为这种混乱策略的管理给出了相应的解决方案。
在网络的建设中了解企业的行政结构,部门划分,对不同职能的部门给予不同的权限,按照最大需求的给予最小权限的原则,保证网络的安全性。
在所设计的园区网中,既要可以满足现有应用的需求,又要有一定的冗余度,满足企业业务的扩展需求。
设计的网络力求简单稳定高效,避免复杂臃肿,以保证网络的可移植性和可扩展性。
第2章系统需求分析
本章主要针对企业现有应用系统进行分析,然后根据企业业务需求制定相应的可行性计划,并且提出企业园区网的总体设计目标。
2.1系统需求概述
针对目前企业网络的设计混乱,层次复杂问题提出相应解决方案,规划设计出一个高性能稳定的企业园区网。
建设的企业园区网充分考虑设备的性能和相关的网络技术,搭建企业园区网的整体框架,形成支撑企业业务高效发展的体系。
2.2系统的设计原则
所设计的企业园区网应遵循以下原则:
(1)采用成熟的网络技术,使网络可以适应未来网络技术以及企业未来业务发展需求;
(2)构建的网络应该采用先进的OSPF、VRRP、VPN等技术;
(3)采用层次化、可移植、可扩展的系统体系;
(4)采用设备冗余、链路冗余等技术保证网路的安全可靠性;
(5)网络结构具有开放性和可扩充性,为将来网络规模的扩大留下足够的余地;
(6)在保证使用要求和技术可行性的前提下,选择易于操作和管理的网络设备;
(7)采用有容错功能的网络设备,主干区域使用硬件双备份,出现故障可以快速恢复;
(8)采用严格的权限管理,不同部门之间限制访问;
(9)在重要的边界设备制定严格的策略,保证企业网的安全,防止数据的泄漏。
2.3系统的目标
根据对目前企业网的需求分析,最终企业网需要实现的功能如下:
(1)企业网与互联网的安全互通,终端用户可以随时接入,满足企业业务发展需求;
(2)实现企业网的扩展性需求,在网络规模扩大时,可以在原来网络基础上改造,降低网络的建设和改造成本;
(3)实现内网用户以及外网用户对企业内网资源的安全合理访问,避免非法用户或者合法用户对资源的越权使用;
(4)实现VPN功能,使得外出差人员和合作伙伴能够在Internet上安全地和企业内网进行信息的交互处理;
(5)网内实现可靠性设计,从设备以及技术上均保证了在出现网络故障时网络能够快速恢复的能力;
(6)实现网络的优化部署,实现了路由备份、负载分担功能;
(7)实现整个企业网络的可管理性,通过统一的管理中心实现对全网络的设备以及数据流量的控制;
(8)实现网络访问策略的统一管理,对于需要开通的服务端口,需要通过员工提交申请,又领导审批通过以后再提交网络管理员进行开通。
第3章系统设计的主要技术
3.1VLAN技术
在传统的局域网中,各站点共享传输信道所造成的信道冲突和广播风暴是影响网络性能的重要因素。
为了解决发生在网络第二层的信道冲突和发生在网络第三层的广播风暴问题,网桥和路由器被广泛应用于局域网中。
由网桥连接的网络属于同一逻辑子网,逻辑子网是指该网络中的网络站点具有相同的网络层地址,例如具有相同的IP网络号或者IPX网络号。
由路由器将不同逻辑子网连接在一起,逻辑子网间的通信必须经路由器进行。
在这种网络结构中,由集线器、粗缆和细缆所构成的物理网络与逻辑子网相对应。
通常一个IP子网或者IPX子网属于一个广播域,因此网络中的广播域是根据物理网络来划分的。
这样的网络结构无论从效率和安全性角度来考虑都有所欠缺。
同时,由于网络中的站点被束缚在所处的物理网络中,而不能够根据需要将其划分至相应的逻辑子网,因此网络的结构缺乏灵活性。
为解决这一问题,从而引发了虚拟局域网(VLAN)的概念,所谓VLAN是指网络中的站点不拘泥于所处的物理位置,而可以根据需要灵活地加入不同的逻辑子网中的一种网络技术。
3.2OSPF协议
OSPF是一个内部网关协议,用于在单一自治系统内决策路由。
它是基于链路状态的路由协议,链路状态是指路由器接口或链路的参数。
这些参数是接口的物理条件:
包括接口是Up还是Down、接口的IP地址、分配给接口的子网掩码、接口所连的网络,以及使用路由器的网络连接的相关费用。
OSPF与其他路由器交换交换信息,但所交换的不是路由,而是链路状态。
OSPF路由器不是告知其他路由器可以到达哪些网络及距离是多少,而是告知它的网络链路状态,这些接口所连的网络及使用这些接口的费用。
各个路由器都有其自身的链路状态,称为本地链路状态,这些本地链路状态在OSPF路由域内传播,直到所有的OSPF路由器都有完整而等同的链路状态数据库为止。
一旦每个路由器都接收到所有的链路状态,每个路由器可以构造一棵树,以它自己为根,而分支表示到AS中所有网络的最短的或费用最低的路由。
OSPF对于规模巨大的网络,通常将网络划分成多个OSPF区域,并只要求路由器与同一区域的路由器交换链路状态,而在区域边界路由器上交换区域内的汇总链路状态,这样可以减少传播的信息量,且使最短路径计算强度减少。
在区域划分时,必须要有一个骨干区域(即区域0),其它非0或非骨干区域与骨干区域必须要有物理或者逻辑连接。
当有物理连接时,必须有一个路由器,它的一个接口在骨干区,而另一个接口在非骨干区。
当非骨干区不可能与物理连接到骨干区时,必须定义一个逻辑的或虚拟链路,虚拟链路由两个端点和一个传输区来定义,其中一个端点是路由器接口,是骨干区域的一部分,另一端点也是一个路由器接口,但在与骨干区没有物理连接的非骨干区域中。
传输区是一个区域,介于骨干区域与非骨干区域之间。
3.3VPN技术
VPN(VirtualPrivateNetwork)翻译成中文就是"虚拟专用网络"。
它是在公共通信基础设施上构建的虚拟专用或私有网,可以被认为是一种从公共网络中隔离出来的网络。
它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。
这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。
VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或操作系统等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。
同时,这将简化网络的设计和管理,加速连接新的用户和网站。
另外,虚拟专用网还可以保护现有的网络投资。
随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。
虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
3.4虚拟路由冗余协议
VRRP(VirtualRouterRedundancyProtocol,虚拟路由冗余协议)是一种容错协议。
通常,一个网络内的所有主机都设置一条缺省路由,这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从而实现了主机与外部网络的通信。
当路由器RouterA坏掉时,本网段内所有以RouterA为缺省路由下一跳的主机将断掉与外部的通信产生单点故障。
VRRP就是为解决上述问题而提出的,它为具有多播组播或广播能力的局域网(如:
以太网)设计。
VRRP将局域网的一组路由器(包括一个Master即活动路由器和若干个Backup即备份路由器)组织成一个虚拟路由器,称之为一个备份组。
这个虚拟的路由器拥有自己的IP地址10.100.10.1(这个IP地址可以和备份组内的某个路由器的接口地址相同,相同的则称为ip拥有者),备份组内的路由器也有自己的IP地址(如Master的IP地址为10.100.10.2,Backup的IP地址为10.100.10.3)。
局域网内的主机仅仅知道这个虚拟路由器的IP地址10.100.10.1,而并不知道具体的Master路由器的IP地址10.100.10.2以及Backup路由器的IP地址10.100.10.3.[1]它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP地址10.100.10.1.于是,网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。
如果备份组内的Master路由器坏掉,Backup路由器将会通过选举策略选出一个新的Master路由器,继续向网络内的主机提供路由服务。
从而实现网络内的主机不间断地与外部网络进行通信。
3.5访问控制列表
ACL(AccessControlList,访问控制列表)是一系列permit或者deny语句组成的顺序列表,应用于地址或上层协议。
为了过滤数据报文,网络设备需要配置一系列的匹配条件来对数据包进行分类过滤,数据包过滤有时也称为静态数据包过滤,它通过分析传入和传出的数据包以及根据既定标准传递或阻止数据包来控制对网络的访问。
数据包过滤设备根据源和目的IP地址、源端口和目的端口以及数据包的协议,利用已制定的规则来决定是应该允许还是拒绝流量通过。
3.6网络地址转换
NAT技术主要实现内部网络地址到外部网络的转换,静态NAT是把内部网络中的某台服务器地址永久映射成外部网络中的某个合法地址,这样方便外网用户企业园区网资源;动态地址NAT是采用把外部网络中的合法地址使用动态分配的方法映射到内部网络;端口多路复用地址转换(PAT)是把内部地址映射到外部网络的一个IP地址的不同端口上,把企业内网IP转换为公网IP地址,使内部用户可以方便的访问公网Internet。
目前NAT技术主要用户于地址转换和对内部网络安全的一个保护,企业内部员工数量众多,而能够申请到的公网IP地址有限,这样可以通过NAT技术实现内网多个用户共同使用一个公网IP访问互联网,而这种方式也能有效的隐藏企业内部网络情况,对网络攻击起了一定的防范作用。
第4章网络总体结构设计
4.1企业园区网拓扑结构
本文所设计网络拓扑结构,基本保证了网络的可靠性、可扩展性、可管理性以及安全性等要求。
整个网络采用标准的核心层、汇聚层和接入层三层网络结构,核心层采用双机冗余热备份,保证网络的稳定性。
整个网络拓扑结构如图4-1所示。
图4-1整体网络拓扑图
如图4-1所示,两台高带宽的千兆交换机作为企业网的枢纽中心,其上行连接核心防火墙,保证园区网内部网络安全,其下行连接汇聚层交换机。
汇聚层交换机选用支持三层交换技术和VLAN的交换机,以达到减轻核心层设备的负荷,隔离网络和分段的目的。
存储服务器和管理中心服务器也通过连接汇聚层交换机接入园区网。
而接入层则选用不支持VLAN和三层交换技术的普通交换机。
在不同的建筑部署接入交换机,然后使用VLAN技术将不同智能的部门的流量数据通过二层隔离在自己的广播域范围内,并且为了加强网关的安全,在各个网关出配置相应的访问控制。
如禁止员工宿舍访问办公楼网络,以免占用正常业务带宽;禁止各个部门之间网络互通,以免某部门网络被攻破不会进一步攻击另外部门。
对于企业网中访问流量大,访问次数多的服务器,如邮件服务器、业务部门需要使用的服务器,采用MSTP+VRRP的组合技术接入到汇聚交换机上,既能提供设备和链路的高度冗余又能实现访问服务器流量的负载均衡。
对于为外网提供服务的服务器来说,在边界网关出制定相应策略,只打开某些服务需要的端口,其余端口默认置为关闭状态,保证服务器安全性。
4.2系统的数据流量设计
根据对企业网络的调研,本网络一共有两类流量,一类是企业员工访问内部资源,另一类是企业员工对互联网资源的访问。
为了保证全网的数据稳定性、路由的可控性以及网络的可管理性,需要对企业园区网络的数据流向进行详细的规划设计,本节详细描述了这方面的内容,主要内容包括数据流向设计原则以及正常情况和灾难情况各种情况下的数据流向做一个统一的规划设计,也为后续的路由设计等提供一个原则和基础。
4.2.1数据流向设计原则
对于一个高性能的企业园区网来说,清晰明确的流向设计非常关键,体现在以下几个方面:
(1)要求正常业务流量和员工宿舍用网流量完全分离,既能有效保证办公数据的安全性,又能形成一个清晰的管理界面,方便后期网络的运维管理。
这就需要设计初期进行精确的数据流向设计并匹配相应的路由策略才能实现。
(2)出于对网络高可靠性的要求,在整个网络的核心位置及重要应用区域增加了冗余的链路,这样就使得数据的流量路径变的复杂起来,正常情况下的数据流向和当某些链路或设备发生故障时数据的流向,需要提前规划好流量的迁移路线,以方便故障的定位和灾难的恢复。
(3)要求保证上下行流量路径一致,对于这种冗余链路较多较复杂的网络而言,怎样保证数据走向清晰、避免混乱,便于管理和排错是尤为重要的,因此将流量走向设计为上下行路径统一是非常必要的。
4.2.2正常数据流向
正常情况下,员工业务办公流量与员工生活用网流量是分开的,分别走各自的流量路径。
两台核心交换机互为备份,平时企业员工办公使用内网资源的流量主要走核心层A侧交换机,办公时员工有访问互联网的需求,外网流量则通过汇聚B侧交换机连接核心A侧交换机通过电信链路接入互联网。
员工生活用网不需要访问企业内部服务器资源,故制定策略让员工生活用网的流量走核心层B侧交换机通过联通链路访问互联网,以此保证业务流量与生活流量的隔离。
正常数据流量走向如图4-2所示。
图4-2正常流量走向
4.2.3广域网出口故障数据流向
若广域网电信链路一侧出口出现故障,原本培训中心以及员工生活使用的互联网不受任何影响,而在办公楼正常办公的员工访问互联网时,链路会自动切换到通过联通一侧链路接入互联网,保证网络的稳定性。
办公楼以及培训中心的内网流量则不会受到任何影响。
流量走向如图4-3所示。
图4-3广域网电信侧出口故障
广域网联通一侧链路出口故障,则在正常流量走向情况下,除了培训中心和员工宿舍用外网流量改为从核心层A侧上行通过电信链路接入互联网外,对于培训中心内网、办公楼内网和外网流量走向并没有影响,具体流量走向如图4-4所示。
图4-4
4.2.4核心交换机故障数据流向
若核心层A侧设备出现故障,企业网所有需要访问互联网资源的流量则都从核心层B侧设备通过联通链路接入互联网,此时路由重新计算结果,办公楼连入外网的网关会启动VRRP备份网关,也即切换核心层B侧设备为网关。
而若企业员工此时需要访问内网服务器资源,内网流量则会通过核心层B侧设备进行转发,具体流量走向如图4-5所示。
同理可知,若核心层B侧设备出现故障,培训中心以及员工宿舍访问外网则会通过核心层A侧设备接入互联网,此时网关也会自动切换为A侧设备。
图4-5
4.2.5汇聚层链路故障数据流向
若汇聚层B侧设备故障,此时培训中心和员工宿舍外网流量则通过汇聚层A侧设备汇聚,再通过核心层B侧设备进行转发访问互联网。
具体流量走向如图4-6所示。
同理可得,若汇聚层A侧设备出现故障,此时办公楼内外网流量都通过汇聚层B侧设备汇聚。
培训中心和员工宿舍访问外网则通过核心层B侧设备接入访问外网,办公楼访问外网依旧通过核心层A侧设备接入访问外网。
图4-6
第5章网络详细设计
本章对按照前期的设计原则以及规划方案进行详细的设计,包括了园区网络的总体设计、二层交换功能和三层路由功能的实现,详细说明整个网络的连接配置情况。
根据对本次改造建网需求的深刻理解以及针对本方案的建设原则,查阅了大量的企业网网组网资料,借鉴先进成熟的中石油企业网组网经验。
力求设计建设一个全方位符合长远需求并有很强可靠性、安全性的高性能统一企业园区网络。
5.1总体技术实现
由于企业园区网接入设备较多,故整个网络的具体连接无法通过拓扑全部展现出来。
本节将对整体网络进行介绍,着重介绍如何通过各种技术组建企业园区网,以及规划中的功能是如何实现的。
在企业网出口路由器上配置NAT进行地址转换为企业员工提供高速的互联网接入服务,核心层的两台交换机之间配置VRRP冗余网关备份,对服务器提供高可靠性的网关冗余备份和高效的服务,考虑到服务器应用的流量负载分流,对于服务器的接入采用双上行的典型接入结构。
整个网络骨干运行OSPF动态路由协议进行路由的学习计算。
5.2二层交换功能实现
二层功能主要表现在各个职能部门内的信息交换,信息源于一个VLAN广播域内的终端,终止于同一个VLAN内的另一个终端,在大多数的情况下,都是终结于这个VLAN所映射的IP子网的网关,本设计方案中将各个接入部门的网关设在汇聚设备上。
考虑到应用服务器、邮件服务器和业务服务器的高可靠性要求,重要应用的接入采用VRRP网关冗余接入设计,两台核心交换机热备网关,提供可靠的冗余保障服务。
将两个VLAN映射到不同的MSTP实例中,可以计算出不同的树,即实现了冗余备份又实现了流量负载。
5.3三层路由功能实现
路由设计是网
升级会员 