中小型企业网络规划与设计.docx
《中小型企业网络规划与设计.docx》由会员分享,可在线阅读,更多相关《中小型企业网络规划与设计.docx(23页珍藏版)》请在冰豆网上搜索。
中小型企业网络规划与设计
摘要
伴随着大数据时代的来临,互联网的迅速发展正在对全世界的信息产业带来着巨大的影响。
中小型企业网的搭建可以说是势在必行。
各类基于IP的交换技术应用(如视频会议,信息共享等等)快速的发展,一些企业网络中传统路由的流量控制和安全管理成为一个越来越重要问题,然而,虽然传统的交换机会具有更快的处理能力,但本质上却是一个多端口网桥,难以去避免广播,不能去实现路由,以解决这种矛盾,故此许多专注于网络设备的厂商都提出了三层交换的思想。
本设计阐述了中小型企业网络的规划与设计所运用到的技术及其所涉及到的网络技术和规划设计的方法,旨在方便各企业去更容易地进行维护和管理,通过对企业各方面的需求与分析,对VLAN进行划分,满足企业内部人员的需求。
并实现冗余,防火墙等安全设备,(此处不通顺)建造一个高效且安全的企业网络。
研究大体分为四点:
1.企业网络总体拓扑结构规划;2.三层交换工作原理及相关配置;3.企业内网的搭建与互通;4.企业网的的安全策略。
该课题旨在建造安全快速的企业网络,使企业的工作效率得到提高,而且安全易于管理,能为企业内部工作人员提供一个良好且便捷的计算机网络环境。
关键词:
VPN;VTP;交换;VLAN;网络安全
Abstract
Withtheadventoftheeraofhugedata,TherapiddevelopmentoftheInternetisahugeimpactontheworldinformationinfluence.Withthegrowingsurgeindomesticsmallandmediumenterprises,smallandmedium-sizedenterprisenetworkstructuresinmyimperative.TherapiddevelopmentofvariousIP-basedswitchingtechnologyapplications(suchasvideoconferencing,informationsharing,etc.),traditionalroutingtrafficcontrolandsecuritymanagementinenterprisenetworkshasbecomeanincreasinglyimportantissue,butthetraditionalswitchisfasterProcessingcapacity,buttheessenceisamulti-portbridge,itisdifficulttoavoidradio,cannotbeachievedrouting,inordertosolvethiscontradiction,somanymanufacturersfocusonnetworkequipmentproposedthree-tierexchangeofideas.
Thedesignofthistopicbrieflydescribesthenetworktechnology,planninganddesignmethodsusedintheplanninganddesignofthesmallandmedium-sizedenterprisenetwork.Itisdesignedtomakeiteasierforenterprisestomaintainandmanage.ThroughvariousaspectsoftheenterpriseDemandandanalysis,VLANdivision,tomeettheneedsofinternalstaff.Andtoachieveredundancy,firewallandothersecurityequipment,theconstructionofanefficientandsecureenterprisenetwork.Theresearchisdividedintofourpoints:
1.Theoveralltopologyplanningoftheenterprisenetwork;2.Theworkingprincipleandrelatedconfigurationofthethree-layerexchange;3.Theestablishmentandintercommunicationoftheintranet;4.Thesecuritystrategyoftheenterprisenetwork.
Theobjectiveoftheprojectistobuildasecureandfastenterprisenetworkthatwillenablebusinessestobemoreproductiveandsafeandmanageable.Canforenterpriseinternalstaffprovidesacomfortableofcomputernetworkenvironment.
Keywords:
VPN,VTP,exchange,construction,VLAN,security
1绪论
1.1背景
浅谈国内背景
在Internet信息时代的未来,面向新的信息产业巨大变革与挑战,网络时代促进经济的全球化日益完善的今天,为了让21世纪的中国企业更好地迎接挑战,挑战世界市场多元化,全球化。
这一切都必须靠着信息平台来支撑,借助于计算机网络理论与网络规划技术,以网络平稳高效为前提。
越来越多中国的企业在使用内联网技术,为了提高管理等方面的技术水平,对高层次人才的研发与培养建立了一个现代化的平台,建立互联技术的高速多媒体企业网络是实在必行的。
企业网背景
企业网络是由商业目的组织的公司进行的相当重要的项目。
有了这个理解,很明显许多公司正在努力将单独的部门或工作组网络与公司间网络分开,以便公司内的所有计算机用户可以访问任何数据或计算资源。
您可以将此互联网称为联合系统,因为它提供独立多模型系统之间的互操作性。
然而,企业网络的最终目标是减少所使用的通信协议的数量,增加应用之间的互操作性,并提高从任何系统访问数据的能力。
目前的趋势是在分布式计算环境中添加客户端/服务器计算。
用户需求和各种后台服务,包括运行在不同平台上的数据库管理系统进行快速连接。
支持这种趋势的局域网硬件包括交换以太网LAN和快速分组交换WAN服务,如帧中继,多兆位数据交换服务和异步传输模式。
当WAN开始变得更像局域网时,突发传输和频繁访问多个远程资源区域,传统的专线不能提供这样的支持。
项目背景
企业网应模拟成一个"即插即用"平台,可供一个组织连接它所有的计算资源。
部门和工作组通过桥接器、路由器和广域电信链路相连。
用户和工作组都不是孤立的,用户和工作站在维护一定程度的性能、安全及可靠性的同时,可以与其他甚至运行不同操作系统的计算机用户和计算机共享信息。
在企业网中,信息分布于整个网上,用户必须便捷地访问它们,而同时敏感的信息则必须受保护以防越权访问。
2
企业网络分析与设计
2.1需求分析
以八英里网咖作为此次企业网络规划设计作为案例,通过与Internet的互联,为公司内部员工和会员提供国际互联网上的各种服务。
工作人员可以上传游戏多媒体等资源。
会员与工作人员在非工作期间可以通过在网上浏览和查询网上资源。
根据公司的需求情况,分析的需求如下:
八英里网咖在职人员加上会员人数大概达到200人左右,该公司有4个部门,分别为管理部,设计部,财务部,人力资源部。
公司对网络提出要求,首先网络具有可实行性。
所有员工在规定时间内和有授权的情况下允许访问外网,并且在工作时间能有较快的网速,并且网络必须具有良好的安全性,每个部门与每个部门之间需要授权才能访问。
同时内网的重要服务器要做好流量控制策略,外部XX的流量禁止进入公司内网。
因为地域的特殊性,公司在布线情况做了相应的调整。
大致可分为一个总公司和一个子公司。
公司地理环境如图2-1
图2-1公司地理环境图
企业网络分析
1、区域划分:
(1)管理部
(2)设计部(人数较多,应负载均衡)
(3)销售部
(4)财务部
2、所用技术:
VTP技术、TRUNK技术、VLAN技术、使用RSTP快速生成树技术、EIGRP路由协议、VPN技术、HSRP技术等
3、IP地址规划原则:
(1)服务器区采用私IP地址,NAT后供人员远程访问;
(2)与internet互联设备IP地址采用真实IP地址(网络中心使用真实的ip地址);
(3)内部采用私有IP地址。
可行性分析
通过对企业八英里网咖所在的地理环境做出大概的分析:
技术上可行:
因为八英里网咖是一个较大型的网吧。
内部人员最大的需求是资源的共享故此需要一个稳定的网络去支撑所需资源的共享。
经济上可行:
企业对网络需求主要是为了实现办公的自动化与信息化,故此一个稳定且合理的网络是被企业所需要的。
管理上可行:
公司的办公资料是通过办公服务器集中储存处理的,整个网络设备都是集中的管理的,具有专人进行网络维护,因此实现管理可行。
网络的安全性
随着企业的信息化热潮快速兴起,由于企业信息化投入的不足、缺乏高水平的软硬件专业人才、以及企业员工安全意识淡薄等等多种原因,网络安全也就成了中小企业必须重视并加以有效防范的问题。
病毒、间谍软件、垃圾邮件……这些无一不是企业信息主管心头之患。
操作系统与应用软件中通常都会有存在一些BUG,别有心计的员工或者客户都可能利用这些漏洞对企业网络发起进攻,导致某个程序或者网络丧失功能。
有甚者会盗窃机密数据,直接威胁企业网络与企业数据的安全。
即便是安全工具也都会存在这样的一些问题。
几乎每天都有新的BUG被发现和公布,程序员在修改已知BUG的同时还可能产生新的BUG。
系统BUG经常被黑客利用,而且这种攻击通常都不会产生日志,也无据可查。
现有的软件与工具BUG的攻击几乎无法主动防范。
系统后门是传统的安全工具比较难考虑到的地方。
防火墙基本考虑不到这类安全问题,多数情况下,这类入侵行为可以经过防火墙而不被察觉。
2.2概要设计
一个网络的好坏,取决于该网络所使用的网络技术。
在庞大的信息网络中,所选用的技术十分关键;可直接影响到网络的工作效率。
根据所企业所提出的要求大致应用了以上所提及的技术。
三层结构
三层架构,是使用三层网络的分层架构。
三层网络结构是按层次模型设计的。
复杂网络设计分为几个层次,每一个层次都集中在某个特定的函数上,使一个复杂的大问题变成许多简单的小问题。
三层网络结构设计的网络有三层:
核心层(高速网络交换骨干网)、汇聚层(提供基于策略的连接)和接入层(工作站接入网)。
接入层:
接入层提供工作站对本地网段的访问。
在接入层,减少同一网段上的工作站数量,为工作组提供高速带宽。
接入层可以选择不支持VLAN的交换机和三层交换技术。
聚合层:
汇聚层在网络接入层和核心层的中间,即在工作站接入核心层进行聚合之前,减少设备负载的核心层。
聚合层具有实现策略,安全,工作组访问,虚拟局域网,源地址或目的地址过滤之间的路由功能。
在聚合层中,应该选择支持三层交换技术和VLAN交换机来实现网络隔离和分段。
核心层:
网络的核心层是高速交换中最重要的部分,整个网络的连接起着至关重要的作用。
核心层应具有以下特性:
可靠性,效率,冗余,容错,可管理性,适应性,低延迟等。
在核心层,你应该使用高带宽千兆交换机三层架构,是使用三层网络的分层架构。
三层网络结构是按层次模型设计的。
复杂网络设计分为几个层次,每一个层次都集中在某个特定的函数上,使一个复杂的大问题变成许多简单的小问题。
三层网络结构设计的网络有三层:
核心层(高速网络交换骨干网)、汇聚层(提供基于策略的连接)和接入层(工作站接入网)。
接入层:
接入层提供工作站对本地网段的访问。
在接入层,减少同一网段上的工作站数量,为工作组提供高速带宽。
接入层可以选择不支持VLAN的交换机和三层交换技术。
聚合层:
汇聚层在网络接入层和核心层的中间,即在工作站接入核心层进行聚合之前,减少设备负载的核心层。
聚合层具有实现策略,安全,工作间访问,虚拟局域网,源地址或目的地址过滤之间的路由功能。
在聚合层中,应该选择支持三层交换技术和VLAN交换机来实现网络隔离和分段。
核心层:
网络的核心层是高速交换中最重要的部分,整个网络的连接起着至关重要的作用。
核心层应具有以下特性:
可靠性,效率,冗余,容错,可管理性,适应性,低延迟等。
在核心层,您应该使用高带宽千兆交换机。
因为核心层是网络的中心,所以它是非常重要的。
因为核心层是网络的中心,所以它是非常重要的。
核心层设备在比较完善的网络中一般采用双机冗余热备份,这些都取决于预算的大小以及网络的规模,也可以使用负载均衡功能,以改善网络性能。
如图2-2所示。
图2-2三层结构图
根据八英里网咖公司环境与网络结构的分析得到网络拓扑图如图2-3
图2-3网络拓扑图
基本网络技术介绍
动态主机配置协议(DynamicHostConfigurationProtocol,DHCP)是一个LAN网络协议,使用UDP协议工作,主要有两个目的:
向内部网络或网络服务提供商自动分配IP地址给用户或内部网络管理员作为所有计算机的中央管理手段。
通常用于大型局域网环境中,主要作用是集中管理,分配IP地址,使主机在网络环境下获取动态IP地址,网关地址,DNS服务器地址等信息,并可以增强地址使用率在网络中,通过DHCP服务器分配地址,使访问设备获取自己的网段地址。
在网络接入点部署DHCP技术可以提高网络的灵活性,减少繁琐的地址规划。
今天,许多大型企业网络接入终端都部署了DHCP服务器,大大提高了企业的效率。
网络地址转换(NetworkAddressTranslationNAT)随着连接到互联网的计算机数量不断增加,IP地址资源将日益扩大。
在网络上部署NAT技术有助于减轻可用IP地址空间的耗尽。
内网IP经NAT转换后,其公网显示NAT主机的公网IP,使网络设备在一定程度上的安全性,而外界在端口扫描时,无法检测到源网络的设备地址。
NAT技术分为静态转换,动态转换,端口复用。
由于企业网络规模达到数百人,所以大多采用端口复用技术,就是将多个IP地址转换成单个外部网络地址。
专用通道技术GREoverIPsecVPN
虚拟专用网(VirtualPrivateNetwork,虚拟专用网)技术在公共网络中建立专用的加密通信网络。
在企业网络中有着广泛的应用。
VPN网关通过包加密和包目的地址转换来实现远程访问。
VPN具有多种分类,主要通过协议分类。
VPN可以通过服务器,硬件,软件等手段来实现。
IPsecVPN在企业网络中起着重要的作用。
每个大型企业都有自己的机密设备,并不是所有的员工都可以访问,只有一些人可以访问这些机密设备,所以这些设备的访问量不大,不需要占用传输设备资源太多,VPN通道要求要求更大的均匀性和稳定性。
此时,VPN作为专用通道使用。
IPsecVPN在点对点和多点可以体现出强大的优势,我们可以看出,用一个简单的IPsecVPN更显示优势。
然而,传统的IPsecVPN部署在复杂的大型企业中难以实现,所以在传统的IPsecVPN基础上增加了GRE技术,使其在复杂网络环境中的加密流量仍然畅通无阻。
3网络系统实现
3.1总体网络规划流程
图3-1网络规划流程图
3.2IP地址与VLAN规划
由于办公网络采用大量的交换机,形成两层网络,合理规划两个网络,以保证业务隔离,保证业务效率。
按照如下原则进行VLAN划分:
1、按照区域的性质划分不同的vlan;
2、VLAN需连续分配,保证VLAN资源合理利用;
表3-1ip与VLAN表
VLAN
区域
PC数
IP范围
网关地址
VLAN10
管理部
100
192.168.2.0/24
192.168.2.254
VLAN20
财务
100
192.168.3.0/24
192.168.3.254
VLAN30
销售
100
172.16.2.0/24
172.16.1.254
VLAN40
设计部
200
172.16.3.0/24
172.16.3.254
3.3整体思路与实现过程
使用分层系统,整个网络通过骨干网络连接。
子网通过借口和骨干网连接,实现了各自的功能。
它们在子网与骨干网中彼此通信。
由于公共IP短缺,我们在组建局域网时,通常使用保留地址都作为内部IP,(比如最常用的C类保留地址:
192.168.0.0-192.168.255.255)这些地址是不可能被互联网分配的,因此它们在互联网上也没有办法被路由的,所以在正常情况下无法去直接通过Internet外网访问到在局域网内的主机。
为了实现这一目的,需要使用VPN隧道技术去建立一个虚拟专用网络。
并通过以下方法实现:
(1)总公司要求使用VTP技术实现总公司VLAN的同步。
(2)在交换机之间使用TRUNK技术实现传递所有VLAN功能。
(3)在接入终端使用VLAN技术创建VLAN并将接口划入相关VLAN。
(4)总公司3台交换机使用RSTP快速生成树技术,加速收敛及优化。
MSW为根桥
(5)总公司跟分公司的主机IP地址必须使用DHCP下发获得总公司的DHCP服务器为MSW。
(6)MSW启用EIGRP路由协议通告自身路由并学习外部路由(注意iprouting)。
(7)分公司主机IP地址使用GATEWAY2的DHCP获得实现。
(8)使用PAT技术使得公司总部跟分部所有外出IP全部转换为公网接口的IP地址。
(9)使用NAT技术将公司总部的HTTPSERVER192.168.3.100转换成100.1.1.100.将分公司10.2.2.100的IP转换成100.2.2.100。
(10)使用VPN技术构建虚拟局域网
3.4设备选购
根据企业使用情况,需购网络设备如表3-2所示
表3-2设备清单
产品描述
数量
核心交换机
2台
接入区交换设备
30台
服务器设备
4台
路由器
25台
设备选择分析
基础设备:
分别选购了神州机柜T6.6618和纵横机柜ZH24-6406,分别作为机房机柜及楼层接入机柜。
接入层设备:
华三(H3C)S1526可管理接入交换机作为楼层的汇总接入点,详细参数如表3-3。
表3-3华三S1526详细参数表
产品类型:
网管交换机
背板带宽:
8.8Gbps
应用层级:
二层
包转发率:
6.55Mpps
端口结构:
非模块化
端口描述:
24个10/1008Base-TX自适应以太网端
电源电压
AC100-240V,50-60Hz
电源功率:
最大15W
华三(H3C)S1016R快速以太网交换机作为楼层总小部门的接入设备,详细参数如图3-4。
表3-4华三S1026T交换机设备参数
产品类型:
快速以太交换机
背板带宽:
8.8Gbps
应用层级:
二层
包转发率:
6.55Mpps
端口结构:
非模块化
端口描述:
24个10/1008Base-TX自适应以太网端
电源电压
AC100-240V
电源功率:
最大13W
汇聚层设备:
汇聚层路由器选择的是Cisco3800系列路由器Cisco3800系列路由器是一种高效且经济高效的路由器型号,支持软件防火墙-基于应用的状态过滤(基于环境的访问控制);用户到用户的认证和授权;实时报警;透明防火墙;IPv6防火墙,VPN支持(DES),三重DES(3DES)和高级加密标准(AES)128,192和256加密支持;基于硬件的VPN加速嵌入主板;在此网络中,Cisco2960-C交换机作为汇聚层路由器使用。
核心层设备:
核心防火墙设备是CiscoASA5500-X防火墙。
CiscoASA5500系列自适应安全设备使业界最先进的技术能够集成到单个平台中,使组织能够以更具成本效益的方式更有效地将更多的安全服务部署到更多的位置。
服务器购买型号IBMSystemx3650M3(7945I85),分别作为设计方案数据库以及财务数据库的服务器,还有每个公司的FTP服务器共两台,一台AAA服务器,一共四台。
表3-5服务器的详细参数
产品类别:
机架式
CPU型号:
XeonX5680
产品结构:
2U
标准CPU数量:
1颗
内存类型:
DDR3
硬盘接口类型:
SATA/SAS/SSD
内存容量:
8G
标配硬盘容量:
自定义
机房建设
(1)空调
室温和湿度:
温度变化率≤5℃/h;相对湿度:
50%±5%温度:
冬季:
20±2℃;夏季:
23±2℃清洁度:
符合标准ASHRAE52-76,粒径≥0.5mm,数量≤10000个/dm噪声:
在正常办公室人员的条件下关闭主设备,测量不超过68dB(A)。
(GB)单位面积冷负荷:
257w/m2h系统控制室单位时间通风:
≥23次/h数据中心房间单位时间通风:
≥22次/h
(2)火灾
防火系统基于以下原则:
A.使用高灵敏度火灾自动报警系统;
B.使用环保FM200气体灭火系统;FM-200气体防火系统和储存环境温度0〜54℃,储存压力25kg/cm2;
C.气体灭火系统可以自动,机械和遥控启动三种方式;备用电源,工作时间24小时;
D.所有气体防火区维修部件满足一定的压力要求,允许压差不小于1.2kPa。
隔墙和门的耐火性不应小于0.6h;天花板的耐火性不小于0.25h;
E.灭火系统可以在启动前自动检测保护区内是否有人员;
F.当火灾发生时,自动声光报警,警告对应区域撤离。
防火原理:
当火灾在护栏,烟雾探测器报警,火灾报警系统报警,闪烁灯,报警动作,提示工作人员疏散火灾区域;当烟雾探测器报警和温度探测器同时报警时:
火灾自动报警系统报警,保护区外闪光,蜂鸣器动作,控制联动系统消除非火力,关闭对应区域消防阀等联动设备,并启动红外探测系统;当红外探测系统确认相应的保护区时,没有人员在场,启动气体灭火系统点火[6]。
(3)访问控制
该系统采用一系列感应卡门禁控制设备,并具有在线管理功能。
(4)防雷
为了满足10/350us坡度的实施,可以保护矿山对建筑物150kA的损坏。
建筑内的计算机房可以承受10/350us的75kA雷电电流冲击。
布线系统
建筑综合布线系统(PDS)是一种用于传输语音,数据,图像和其他信息的标准结构化布线系统。
它是建筑物或综合体内的传输网络。
将语音和数据通信设备,交换设备和其他信息管理系统彼此连接。
物理结构通常是模块化设计和星形拓扑。
集成布线系统子系统详细见图3-13
图3-13集成布线系统子系统
(1)工作区子系统:
①从信息出口延伸到设备②RJ-45跳线和信息插座等
(2)水平子系统:
①从信息出口的工作区到子系统接线板的管理
升级会员 