计算机网络规划方案.docx
《计算机网络规划方案.docx》由会员分享,可在线阅读,更多相关《计算机网络规划方案.docx(10页珍藏版)》请在冰豆网上搜索。
计算机网络规划方案
某单位计算机网络规划方案
一、单位需求分析
1.1.1网络总体要求
满足企业信息化的要求,为各类应用系统提供方便、快捷的信息通路。
良好的性能,能够支持大容量和实时性的各类应用。
能够可靠地运行,实现高可用性。
易于维护管理。
提高安全机制,满足保护企业信息安全的要求。
具有较高的性价比。
未来升级扩展容易,保护用户投资。
使用简单、维护容易。
良好的售后服务支持。
1.1.2项目设计指导思想
此次网络建设将将采用先进的计算机、网络设备和软件,实现一个高效的办公网络系统。
网络中的各类服务器设备和网络设备以及各种操作系统和应用软件必须考虑技术上的先进性,国内外及各行业的通用性,并且要有良好的市场形象与售后技术支持,便于维护和升级。
总体来讲,为了使项目的实施顺利进行,并使系统规划能够满足单位的应用和发展的需求。
1.2计算机网络建设要求
建设一个通畅、高效、安全、稳定、可扩展的企业内联网,支撑内各类信息系统的运行,共享各种资源,提高企业的办公效率,降低企业网络的总体运行费用。
建成的网络用户大楼机关办公部分可以访问外部网络资源,也可以访问内部网络资源,另外一部分只允许实用本大楼内部网络资源。
网络整体具有良好的可扩展性,减轻维护人员的工作量,提高网络系统的运行质量。
实现和因特网的高速可靠连接,要求网络连接高效、运行稳定、同时进行必要的安全访问控制。
具备良好的可扩展性,能够满足单位未来发展的需求。
由于网络中保存了办公、会议资料等众多数据,而且部分内容涉及大楼机密,因此该网络建设要充分的考虑安全的因素,全面保障网络系统和内部数据免受恶意攻击和破坏,同时可以有效的阻止内部网络病毒的传播,建成的网络需要提供全面而完善的安全特性。
在项目实施完毕后,工程实施方要对相关人员进行培训,并移交全部的项目工程资料,保证网络的正常运行和管理维护。
新建的网络支持视频会议、等多媒体的应用。
需要扩展网络与服务器有机结合,为内部网络系统提供良好的应用平台,服务器位置预设在四楼会议室,搭建的平台要求畅通、实用,避免由于数据交换频繁、数据量大而引起的网络拥塞、广播包泛滥问题,并解决大楼主机访问的安全性问题。
网络设备选型要求
为了实现网络设备的统一,也出于兼容性的考虑,此次网络建设计划在交换机和路由器选型方面全部采用思科公司的产品。
全网使用同一厂商设备的主要好处在于可以实现各种不同网络设备功能的互相配合和补充。
此外,思科公司是全球领先的网络设备提供商,技术先进产品齐全,能够提供完善的支持与服务。
安全性和可靠性保证
为了保证单位的办公和生产经营,网络需要安全可靠地运行。
因此在项目设计开始时就要采用统一的安全规则,以保证重要信息和网络系统本身的安全,采用的技术包括网络设备的冗余备份和线路与设备的切换机制等。
在网络中也会购买和安装防火墙、入侵检测等安全设备,以增加网络的安全性。
二、方案设计
2.1总体设计
无论是VoIP、IP视频网络,还是各种应用系统(例如办公自动化、电子商务等),都需要构建在有效、可靠及安全的网络基础之上。
就像盖房子,如果不大好地基,房屋很容易倒塌,最终将以失败告终。
同样,如果企业网络的基础服务并不可靠,则VoIP、IP视频及电子商务等依赖网络服务的应用最终都将遭遇性能及可靠性问题。
2.1.1网络总体设计
按照网络建设规划和总体要求,我们计划利用原有综合布线系统和设备的基础上,重新规划实施,建设企业内联网,以满足网络整体性能的要求,并为各种网络服务和信息系统的使用提供运行良好的网络平台。
OSPF与RIP(路由信息协议)等距离矢量路由协议相比,具有快速收敛的优势,能够支持更大型的互联网络,并且不容易受到有害路由选择信息的影响。
同时OSPF协议使用子区域的概念,可以有效减少路由选择协议对路由器的CPU和内存的占用,还能降低路由选择协议的通信量,这使得构建一个层次化的互联网络拓扑成为可能。
出口处配置防火墙,出入因特网的通信流量都必须通过防火墙的过滤,通过防火墙对网络加以保护,并实现安全的控制。
同时网络中也部署了入侵检测系统,与防火墙共同实现网络的安全防护。
各个LAN部分为了保证网络的健壮和可靠性,将采用全冗余结构。
两台核心交换机采用三层交换机,利用三层交换技术实现VLAN之间的路由,同时两台核心交换机之间使用HSRP进行备份,以保障网络的健壮性和可靠性。
在网络结构上分为2层,核心层和接入层,接入层交换机全部冗余上行链路,分别上联到2台核心交换机,也保证了网络的健壮性和可靠性。
同时,LAN部分会启用VTP和STP,实现VLAN的统一配置管理和环路避免。
2.2设备命名规范和连接规范
网络设备的命名和连接规范如同综合布线中线缆的标识、记录一样,都非常重要的。
良好的设备命名和连接,可以使网络的结构清晰,帮助网络管理员更方便地管理网络,提高网络的可维护性。
然而,在实际工作中,这项工作尽管简单却不容易做好,需要格外注意。
2.2.1设备命名规范
设置路由器和交换机的名称,也就是设置路由器和交换机出现在CLI提示符中的名字。
一般以地理位置、型号或者用途来为交换机命名。
当需要Telnet登陆到若干台设备上以维护一个大型网络时,通过设备名称提示符提示自己所调试的设备是位于哪里的哪一台设备,使很有必要的。
2.2.2设备连接规范
设备连接设计要求统一实施标准的、严格的连接规范,便于工程的实施和运行管理。
其基本原则如下:
总路由器各端口按顺序连接OSPF的不同区域,即S0/0端口连接Area1,S0/1端口的子接口连接Area2、Area3、Area4、Area5。
其它分路由器的S0/1端口分别连接对应的区域。
分路由器的快速以太网端口按顺序连接核心交换机,即F0/0端口连接JD-RS-1的1号端口,F0/1端口连接JD-RS-2的1号端口,其它连接方式相同。
分路由器的第一个以太网端口(E0/0端口)连接ISA防火墙,其它不连。
分路由器的每种端口类型(例如串口和以太网口)优先从0端口开始使用,其它相同。
2.3VLAN划分与IP地址规划
2.3.1网段细分
在企业网络刚刚兴起时,由于企业网络规模小、应用范围存在局限性、对因特网接入的认识程度较浅、网络安全及管理的贫乏等原因,使得企业网络仅限于交换模式的状态。
在这种交换模式下,LAN交换机的每个端口均为自己独立的冲突域,但对于所有处于同一个IP网段的网络设备来说,却同在一个广播域中,当工作站的数量较多、信息流较大的时候,容易形成广播风暴,甚者造成网络的瘫痪。
各网络的细分可遵循3个依据:
地点、部门和功能。
这样可以使网络结构清晰,各个公司和智能部门的隔离也更加安全,降低了日后维护的工作量。
2.3.2VLAN划分
在一个大、中型网络中,VLAN(虚拟专用网)的划分时必不可少的步骤之一。
划分虚拟子网可以隔离VLAN内的广播,解决以太网LAN内广播包过多的问题,提高网络的性能。
一个VLAN可以根据部门职能、对象组或者应用来将不同地理位置的网络用户划分为一个逻辑网络。
对于局域网交换机,其每一个端口只能标记一个VLAN,一个VLAN中的所有端口拥有一个广播域,而处于不同VLAN的端口则共享不同的广播域,这样就避免了广播风暴的产生。
可以说,在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。
2.3.3IP地址规划
考虑到单位的实际情况和网络改建的要求,此处讲对IP地址使用情况统一进行规划和设计。
在按照地点、部门和功能划分以后,目前每个子网使用的IP地址都远远超出了现在用户和设备数量的需求,能够满足未来人员增长、设备增加的需求。
同时,如果增加新的分公司,只需继续使用后续的C类地址即可,不会对网络IP地址的结构造成影响。
2.3.4IP地址分配
有了IP的规划和VLAN的划分之后,可以确定具体在路由和交换设备上,端口的IP地址、交换机的管理IP、VLAN的网关等应该如何分配。
2.4交换部分设计
2.4.1交换部分总体设计
为了高效、稳定地运行,便于管理与维护,此次各个局域网交换技术的相关方面进行了规划设计,包括VLAN、VTP、STP、Trunk、EthernetChannel、三层交换等。
VLAN将广播限制在单个VLAN内部,较少了各VLAN间主机的广播通信对其它VLAN的影响。
在VLAN间需要通信的时候,可以利用三层交换技术实现。
当网络管理员需要管理的交换机数量较多时,可以使用VLAN中继协议(VTP)简化管理,它只需在单独一台交换机上定义所有VLAN,然后通过VTP协议将VLAN的定义传播到本管理域中的所有交换机上,这样,大大减少了网络管理员的工作负担和工作强度。
当网络内交换机数量增多或交换机链路增加时,都有可能因交换网络的复杂性提高而造成交换环路,或者为了提高网络冗余度而有意设置了交换环路,这就需要通过在各个交换机上运行生成树协议(STP)来解决。
其中所有的接入交换机采用购买的二层交换设备,核心层交换机采用购买的两台三层交换机。
全网交换机配置VTP,以对VLAN的设计统一管理。
两台核心交换机之间采用2条链路组成以太网通道,以提高核心交换机之间的带宽。
所有的接入交换机都使用2条上行链路(设置为Trunk),分别连接到2台核心交换机,采用STP对这样的交换环路进行阻塞,在保证上行链路冗余性的同时,避免了可能造成的广播风暴、桥表震荡等问题。
2.4.2VTP设计
当网络中交换机数量较多时,需要分别在每台交换机上创建很多重复的VLAN。
工作量大、过程繁琐,并且容易出错。
由将使用VLAN中继协议(VTP)来解决这个问题。
Cisco公司专有的VTP协议能够从一个中心控制点开始,维护整个企业网络上VLAN的添加、删除和重命名工作,确保配置的一致性,可以减少在数量众多的交换机上配置VLAN相关的管理任务,降低认为因素导致的VLAN配置不一致现象(例如,VLAN配置错误、名称不统一等),降低了配置的复杂性。
VTP的口令是为了保证VTP域的安全。
设置了口令之后,除非交换机设置了正确的口令,否则,新交换机不能自动加入到已存在的管理域中,可以避免VLAN被错误或恶意地增加、删除。
2.4.3STP设计
所有的局域网都采用全冗余结构,在交换网络中造成了大量的交换环境,可能会引起网络中的广播风暴和桥表震荡等问题,所以将在网络中启用生产树协议(STP),用来阻塞冗余链路,而在发生链路故障时,迅速启用被阻塞的冗余链路,启到链路备份的作用。
所以,此处的交换部分设计中,也将在各个交换机上启用生成树协议,并且我们将通过调整交换机优先级的方式,来指定性能较高的核心交换机(即两台三层交换机JD-RS-1和JD-RS-2)为根网桥。
2.4.4EthernetChannel设计
从上面各小节的图中可以看到,在两台核心交换机之间设计了一条以太网通道,这也是系统的实际需要。
该以太网通道汇聚的是两条核心交换机之间的链路,分别使用了两台核心交换机上的3、4端口,使两台核心交换机之间的链路带宽达到了200Mbps。
而且核心交换机上有大量保留端口,随时可以扩充通道的带宽,最大可以汇聚8条链路成为一条以太网通道。
同时,这条以太网通道也是两台核心交换机之间的Trunk链路,按照STP对不同VLAN的根网桥做了指定之后,需用这条Trunk链路承载不同VLAN之间的流量以及VTP的各种消息。
2.4.5VLAN间路由设计
在两台核心交换机上各自为VLAN配置IP地址,启用路由转发功能,各个VLAN内的计算机使用该地址作为网关,之间便可以实现互通了。
三层交换机技术在第三层实现了数据包的高速转发,从而解决了传统路由器低速、复杂所造成的网络瓶颈问题。
2.5路由部分设计
对于企业内联网的路由器而言,可以使用一系列路由协议。
选择路由器时需同时考虑网络设计和路由协议的选择。
最常见的标准路由协议是RIP和OSPF,但RIP并不适合大型网络。
考虑到内联网未来扩展的要求,我们将采用OSPF协议作为网络的路由协议。
OSPF路由协议是业界标准的网络协议,许多厂商的网络设备都支持它,因此它受到了广泛的应用。
OSPF路由协议能够快速收敛,支持无类路由(Classless)和变长子网掩码(VLSM),可划分区域,适合运行在大中型网络中。
设计方案从OSPF区域、指定路由器、路由器ID等方面进行了规划。
2.5.1OSPF区域规划
为了解决最短路由优先(SPF)算法的频繁计算、路由表过大、链路状态数据库过大的问题,OSPF将大型网络分成多个区域。
2.5.2路由器ID规划
路由器的ID是在OSPF区域内唯一标识一台路由器的IP地址。
路由器首先会选取所有的Loopback接口上数值最高的IP地址作为路由器的ID,如果路由器没有配置Loopback接口的IP地址,那么它将选取自己所有的物理接口上数值最高的IP地址作为它的RouterID。
用作路由器ID的接口不一定要运行OSPF协议。
使用Loopback地址作为路由器ID有两个好处:
一个是loopback接口比任何其他的物理接口更稳定,因为只要路由器启动,这个环回接口就处于活动状态,只有路由器失效时它才会失效;另一个就是,这样的网络的设计者将具有更好控制路由器的ID的能力。
2.6广域网部分
具体来讲,广域网接入功能是由防火墙实现的。
到达单位总部的链路首先连接到防火墙,再经由防火墙连接到JD-R-1上,实现公司内部和因特网的互联。
2.6.1帧中继接入的选择
帧中继是基于DDN网或ATM网,提供点到点和点到多点的数据传送服务。
帧中继是将流量控制、纠错控制等留给终端去完成,大大简化了节点机之间的协议,缩短了传输时延,提高了传输效率。
帧中继具有动态分配带宽的特点,适合传送大量突发数据。
2.6.2站点到站点之间VPN的设计
所谓虚拟专用网(VirtualPrivateNetwork,VPN)就是建立在公网上的,由某一组织或某一群用户专用的通信网络,其虚拟性表现在任意一对VPN用户之间没有专用的物理连接,而是通过ISP提供的公共网络来实现通信的,其专用性表现在VPN之外的用户无法访问VPN内部的网络资源,VPN内部用户之间可以实现安全通信。
由于Internet本质上是一个开放的网络,没有任何的安全措施可言。
专线的连接可以实现不同地区之间的互访,但需要支付高额的费用,维护也相当的困难。
随着Internet应用的扩展,很多要求安全和保密的业务需要通过廉价的Internet实现,这一需求促进了VPN技术的发展。
广泛地讲,VPN体系结构可以被分为两种常见的情况:
站点到站点的VPN(企业总部与各个分部之间的互联)和远程访问VPN(远程用户与公司总部之间的互联)。
VPN技术实现安全互联有多种方式,如MPLSVPN、SSLVPN等,但IPSecVPN技术是现在企业用的最多的接入方式。
2.6.4VoIP的设计
在计算机多媒体化和Internet技术的推动下,VoIP技术诞生虽然时间不长,但已经体现处强大的发展潜力,经过了PCtoPC、PCtoPhone、PhonetoPhone这几个发转阶段,现已走向市场。
随着PSTN和IP网咯的不断融合,从普通用户、企业用户到电信运营商都在从VoIP技术中获得收益。
目前,VoIP在运营商一级正发展为大规模、高可靠性、高性能的电信级网络。
而基于企业网平台的企业内部的VoIP应用也得到了日益广泛的应用和关注,也是当前VoIP应用的一个热点。
2.7网络安全性设计
对网络安全而言,一套行之有效的安全管理策略更重要。
在网络建设项目中实现网络安全管理是一个动态的系统工程,关系到安全项目规划、安全策略规定、人员职责分工、安全等级评定、网络用户管理、安全规章制度建立等方面,这些在一开始就对网络的规划实施安全性提出了要求。
2.7.1网络安全建设管理原则
一个网络的安全,首先要有严格和有效执行的管理制度,其次必须具有一定的技术手段来保障网络的安全。
技术和管理手段相结合实施,才能够产生良好的效果。
2.7.2网络一般安全策略
为了使网络中的路由器和交换机更安全,可以配置一些简单的安全策略,并且关闭其上一些不必要开启的默认服务(可能会对网络的安全造成威胁),主要包括以下几点:
保护设备的物理安全、包含设备的密码、控制Telnet访问、禁止CDP、关闭HTTP服务等。
2.7.3ACL设计
即使已经在因特网的出口部署了防火墙,出于安全性因素考虑,我们也需要使用访问控制列表(AccessControlList,ACL)在路由器上对网络内部、内外网之间的流量进行一些常规的控制,提供第二层的安全防护。
因为在网络环境中普遍存在着一些非常重要的、影响服务器群的安全隐患,因此在绝大多数万路过环境的实现中它们都是对外屏蔽的。
2.7.4用户的接入控制
以上安全措施都不是针对网络内部的用户的,但事实上很多安全隐患来自于万路过的内部,所以严格控制用户的接入,可以避免由于非法用户接入带来的潜在的安全隐患。
2.8网络可靠性设计
现在,网络系统的高可靠性日益成为设计整个系统的一个关键因素。
对于对网络依赖性极高的新型IT公司来说,可靠性尤为重要。
网络作为一个整体,在出现故障时,必须依靠能维持正常的网络连接。
网络系统的可靠性包括外在的因素和自身的因素。
外在因素是指机房、供电、空调等辅助系统必须正常运行,提供适合网络设备运行的环境。
自身因素包括网络设备、通信线路的可靠性,以及网络系统的故障自动切换机制。
2.8.1设备和链路冗余
物理上的安全也就是冗余能力是网络可靠性的保证,即网络的可靠性主要通过线路和设备的冗余来实现。
虽然Cisco公司的网络设备产品具有较高的平均无故障工作时间(这也是我们选择Cisco公司产品的另一个主要原因),但是,任何厂商都不能保证其产品不发生故障,而发生故障时能否迅速切换到一个正常设备上,是令人关心的问题。
后备电源、后备管理模块、冗余端口等冗余设备就能保证在设备出现故障的情况下,立刻启用后备模块,保证网络的安全运行。
2.8.2HSRP设计
HSRP是Cisco公司特有的一个协议。
HSRP向主机提供了默认网关的冗余性,减少了主机维护路由表的任务。
2.9工程实施安排
此次网络改建项目将分为以下3个阶段进行:
(1)完成各个局域网交换部分调试,进行阶段测试。
(2)完成HSRP和路由调试,实现互联互通,并可以连接到因特网,进行阶段测试。
(3)完成ACL的调试,全网联调,进行项目的测试验收。
升级会员 