企业网络工程设计方案.docx
《企业网络工程设计方案.docx》由会员分享,可在线阅读,更多相关《企业网络工程设计方案.docx(19页珍藏版)》请在冰豆网上搜索。
企业网络工程设计方案
目录
目录I
第一章网络系统设计概述1
1.1项目背景1
1.2需求分析1
1.3编制依据2
第二章网络系统设计3
2.1网络设计原则3
2.2设计要求3
2.3设计目标4
2.3设备分析4
2.4网络拓扑结构设计5
2.5内部网络设计6
2.5.1核心层交换机的设计6
2.5.3接入层交换机的设计8
2.5.4路由协议的设计9
2.5.5IP地址的设计10
2.5.6VLAN的设计11
2.5.7网管系统的设计12
2.6外部网络设计13
2.7综合布线14
第三章网络系统安全性设计分析16
3.1网络软部分安全设计16
3.1.1人员角色划分16
3.1.2路由认证和保护16
3.1.3关闭IP功能服务17
3.1.4用户的安全防护17
3.2网络的VLAN的安全管理设计分析18
3.3Internet安全访问设计分析18
第四章项目管理19
4.1项目管理目标19
4.2项目组织机构19
第五章工程预算22
第一章网络系统设计概述
1.1项目背景
为了适应业务的发展和国际化的需要,积极参与国家信息化进程,提高管理水平,展现全新的形象,某厂准备建立一个现代化的机构内部网,实现信息的共享、协作和通讯,并和属下个部门互连,并在此基础上开发建设现代化的企业应用系统,实现智能型、信息化、快节奏、高效率的管理模式。
在本方案中,我们借鉴了大型高端网络系统集成的经验,充分利用当今最成熟、最先进的网络技术,对该信息网络系统的建设与实施提出方案。
1.2需求分析
为实现上述目标,可以把整个系统建设分成两个部分,即:
网络平台建设和Internet/Intranet平台建设。
(1)网络平台是建立在结构化布线基础上的最基本的平台。
可靠的网络平台是Internet/Intranet系统及应用系统正常运行的基础。
网络平台的设计应包括局域网的设计、广域网的设计。
(2)Internet/Intranet平台包括Intranet、Internet和Extranet。
三者的关系如图:
Internet/Intranet系统具有客户端单一界面、易于使用的特点。
在中中国港湾建设总公司的平台建设中,Extranet部分对应于与各合作伙伴信息交流的相关部分。
网络系统主要是以光纤作为传输媒介、以IP和Intranet技术为技术主体、以核心交换机为交换中心、下属部门信息网络系统为分节点的多层结构、提供与各种职能相关的、功能齐全、技术先进、资源统一的网上应用系统,进一步可扩展成为多功能网络平台。
总体目标是建立该企业的办公业务信息网络交换平台,集成下属各部门信息网络系统,功能齐全、技术先进、集成化的网络系统。
(一)设计网络需求如下:
(1)信息的共享;
(2)公司管理;
(3)办公自动化;
(4)高速Internet冲浪。
(二)企业办公网主干和信息点的需求及分布
拟建的企业网络主要涉及到四幢建筑物:
行政楼(含有附近的门卫)、生产车间(含有附近的厂区办)、运输楼(含有附近的工段办)。
这四幢建筑物之间拟通过光缆连接。
网络中心和机房设在行政楼内。
信息点的需求为:
行政楼:
801个(含门卫1个)
生产车间:
364个(含厂区办公4个)
运输楼:
20个(全为工段办)
主干网接入全球互联信息网外接(Internet),各子网再接入主干通信网。
主干网接入Internet的方式可是有线综合宽带网,速率可在100Mbps左右。
主干为千兆光纤线路,其它线路为超五类双绞线。
(三)投资预算
要求投资在50万元以内,包括局域网设计(可利用原有宽带设备),交换机设备,综合布线等。
1.3编制依据
《计算机信息系统保密管理暂行规定》(国家保密局1988年2月26日印发)
《计算机信息国际联网保密管理暂行规定》(国家保密局1999年12月29日印发)
《中国公众多媒体通信网技术体制》
《中国公众多媒体通信网工程实施技术要求》
IEEE工业标准:
802.1d,802.1p,802.1q,802.1x,802.3,802.3u,802.3z
支持路由协议:
IP的RIPv1/2,OSPF,BGP-4;IPX的RIP
多址广播协议:
IGMP,DVMRP,PIM-DM,PIM-SM
网络管理协议:
SNMP,RMON,RMON2
第二章网络系统设计
本系统设计主要进行节点网络拓扑、路由组织、IP地址、网络安全设计、VLAN划分和设备的具体配置等设计,详细描述所采用的设备及性能参数、网络管理。
2.1网络设计原则
(1)遵循《中国公众多媒体通信网技术体制》、《中国公众多媒体通信网工程实施技术要求》以及其它国家相关标准和技术体制。
(2)采用层次化设计,网络结构的不同部分有不同的功能,使网络具有优良的结构。
(3)优化网络和系统结构,并在各个层面考虑冗余和备份,使系统具有较高的容错能力和应变能力,以保证系统的可靠和有效运作。
(4)选用的技术确保开放性、可移植性、兼容性和可扩展性。
(5)采用通用的国际标准和协议,不采用有碍网络互通的厂家特有性能。
(6)提供有效的安全保密措施,确保整个网络的安全。
重要网络设备应有适当的冗余备份。
(7)尽量详细准确,减低工程的复杂程度,使系统建设和改造的工作量减至最少,以保证工程的顺利和有效完成。
2.2设计要求
(1)实用性:
网络建设从应用实际需求出发,坚持为领导决策服务,为经营管理服务,为生产建设服务。
另外,如果是对现有网络升级改造,还应该充分考虑如何利用现有资源,尽量发挥设备效益。
(2)适度先进性:
规划局域网,不但要满足用户当前的需要,还应该有一定技术前瞻性和用户需求预见性,考虑到能够满足未来几年内用户对网络功能和带宽的需要。
采用成熟的先进技术,兼顾未来的发展趋势,即量力而行,又适当超前,留有发展余地。
(3)经济性:
要求价格适中,设备及耗材要求采用质量过硬,物美价廉,投资预算不超过50万。
(4)安全可靠性:
确保网络可靠运行,在网络的关键部分应具有容错能力,提供公共网络连接、通信链路、服务器等全方位的安全管理系统。
(5)开放性:
采用国际标准通信协议、标准操作系统、标准网管软件、采用符合标准的设备,保证整个系统具有开放特点,增强与异机种、异构网络的互联能力。
(6)可扩展性:
系统便于扩展,保证前期的投资的有效性与后期投资的连续性
(7)安全保密性:
为了保证网上信息的安全和各种应用系统的安全,在规划时就要为局域网考虑一个周全的安全保密方案。
2.3设计目标
该企业网络系统应是一个以宽带IP网为目标,建立数据、语音、视频三网合一的一体化内部办公网络和外部宽带。
网络系统应实现虚拟局域网(VLAN)的功能,以保证全网的良好性能及网络安全性。
主干网交换机应具有很高的包交换速度,整个网络应具有高速的三层交换功能。
主干网络应该采用成熟的、可靠的千兆以太网技术作为网络系统主干。
同时该网应选用先进的网管软件,建立完善的网络管理体系;在设备方面,应选择有成功案例的网络厂商的设备,同时为Intranet、拨号用户和移动用户提供接口,网络还应具有良好的扩展性。
2.3设备分析
根据对网络需求的考察,根据合理性、实用性和节约费用等原则进行设备选择:
(1)基于路由器和交换机的局部网间的互联是最好的解决方案。
网络协议方面,以网际协议(IP)作为校园网网络系统的公用网络协议实行标准化,使用IP作为标准传输协议,在以后对网络进行扩充以与其它的网络互连时,可以跨越多个平台自然而然地提供互操作能力和无缝连接功能。
(2)在主干网建设时,选择华为系统产品,它能够以极具竞争力的价格提供所有技术,为我们提供一个集成化、高性能、灵活、可伸缩、安全和高性能价格比的解决方案的标准。
(3)在安全网络建设方面采用网康防火墙,在行为管理方面采用深信服行为管理。
2.4网络拓扑结构设计
在用户的网络结构设计中,我们建议采用层次化的结构设计。
对于用户即将建设的网络系统来说,想要建设成为一个覆盖范围广、网络性能优良、具有很强扩展能力和升级能力的网络,在起初的设计中就必须采用层次化的网络设计原则。
采用这样的结构所建设的网络具有良好的扩充性、管理性,因为新的子网模块和新的网络技术能被更容易集成到整个系统中,而不破坏已存在的骨干网。
大多数的网络都可以被层次性划分为三个逻辑服务单元:
核心骨干网(Backbone)、接入网(Local-access),模块化网络设计方法的目标在于把一个大型的网络元素划分成一个个互连的网络层次。
层次性结构如下图所示。
网络逻辑拓扑结构如图所示。
它是在基于高端路由交换机的基础之上而设计的新的网络拓扑结构。
简要说明如下:
整个网络由核心层、接入层两大部分组成。
核心层是由华为S7706企业级核心路由交换机组成。
接入层是由接入层楼层交换机华为S5720组成。
主要网络设备列表:
拓扑结构
设备型号
数量(台)
出口路由器
华为NE20E-S2F
2
汇聚层路由交换机
华为S7706
2
接入层楼层交换机
华为S5720-52P-SI-AC
22
以行政楼中心机房为中心,下属部门为接入点的星型连接方式。
现阶段出于用户的应用和先进性考虑,通过千兆光纤连接。
各楼层的办公网是以星型的方式千兆直接连接到各汇聚机房的汇聚交换机上后,由汇聚交换机通过千兆接到核心交换机。
我们可采用千兆路由交换机与各LAN网段的交换机(Switch)连接而组成星型网络,实现千兆核心网络到各楼层,百兆到桌面,满足各种应用的需要。
核心层交换机与服务器群的相连是以千兆以太网的方式。
以上拓扑结构设计有以下特点:
(1)它充分利用网络资源,把交换路由模块分开成第二层交换和第三层路由,这样做对网络的性能大有改善。
(2)网络拓扑结构层次清楚,易于扩充和升级(后面有升级的拓扑方案),同时体现了开放式的体系结构。
(3)由于核心交换机所承载的流量相应减少,从另一个角度来说,也即提高了网络整体的可靠性,对用户的QoS从网络结构的优化上得到了保证。
(4)大大减少网络瓶颈和由于链路、路由而导致的故障。
(5)通过在网内划分VLAN的技术来确保网络内部的安全性。
2.5内部网络设计
2.5.1核心层交换机的设计
核心层主要功能是给下联节点各业务汇聚节点提供IP业务平面高速承载和交换通道,负责进行数据的高速转发,同时核心层是局域网的骨干,是局域网互连的关键。
对核心骨干网络设备的部署应为能够提供高带宽、大容量的核心路由交换设备,同时应具备极高的可靠性,能够保证24小时全天候不间断运行,也就必须考虑设备及链路的冗余性、安全性,而且核心骨干设备同时还应拥有非常好的扩展能力,以便随着网络的发展而发展。
基于对核心层的功能及作用,根据用户的实际需求,本方案中对网络系统中核心层由华为系列的企业级别核心交换机S7706组成。
其主要任务是提供高性能、高安全性的核心数据交换、QOS和为接入层提供高密度的上联端口。
为整个大楼宽带办公网提供交换和路由的核心,完成各个部分数据流的中央汇集和分流。
同时为数据中心的服务器提供千兆高速连接。
根据该企业的建筑分布及网络规模,以行政楼的中心机房作为整个网络系统的核心节点。
核心节点由2台同档次的网络核心设备构成,它们互为备份且流量负载均衡。
2台网络核心交换机作为整个网络的核心层设备,为各个接入层交换机提供上联。
同时提供了各个服务器的可靠接入。
由于S7706是路由交换机,也即同时具有第二层和第三层的交换能力,为了充分利用资源,将WWW服务器、E-mail服务器、数据库服务器、文件VOD服务器、认证的服务器(Radiusserver)以及网管设备等通过千兆直接连人核心交换机,以解决带宽瓶颈,充分利用核心交换机的交换能力。
核心交换机作为信息网络的核心设备,性能的优劣直接影响到整个网络运行。
在设备的选型上必须考虑到有足够的背板带宽,包交换能力,是否支持设备的冗余,安全性,扩展性等各种性能。
企业级别核心交换机S7706完全满足上述的各项要求。
企业级别核心路由交换机S7706的性能特性及技术指标如下:
•交换机类:
企业级交换机
•应用层级:
三层
•接口介质:
10/100BASE-T/100FX
•传输速率:
10Mbps/100Mbps
•交换容量:
16.00/76.80Tbps
•VLAN支持:
支持
•网管功能:
网管功能SNMP,CLI,
•包转发率:
2880/21120Mpps
•MAC地址:
12k
•网络标准:
IEEE802.3,802.3u,
•端口结构:
非模块化
2.5.2接入层交换机的设计
接入层主要用来支撑客户端机器对服务器的访问,主要是指接入路由器、交换机、终端访问用户。
它利用多种接入技术,迅速覆盖至用户节点,将不同地理分布的用户快速有效地接入到信息网的汇聚。
对上连接至汇聚层和核心层,对下进行带宽和业务分配,实现用户的接入。
根据我们所借鉴的项目设计经验,汇聚层节点与接入层节点可考虑采用星形连接,每个接入层节点与两个汇聚层节点连接。
当接入层采用其它结构(如环行)连接到汇聚层时,建议提供两条不同路由通道。
根据接入层处在网络系统中所起的作用以及用户的实际需求,本方案中接入层部分由华为公司的5720交换机构成。
其主要功能是为该区域下属各部门的网络用户提供大量性价比极高的10/100兆网络接口,并与信息中心的核心交换机通过万兆光纤链路互联为接入的用户提供高速上联。
接入层楼层交换机华为S5720-SI的性能特性及技术指标情况如下:
•交换机类:
快速以太网交换机
•应用层级:
二层
•传输速率:
10Mbps/100Mbps/1000M
•端口数量:
48
•背板带宽:
16Gbps
•VLAN支持:
支持
•包转发率:
57Mpps–166Mpps
•MAC地址:
16K
•网络标准:
IEEE802.1D,IEEE802
•端口结构:
非模块化
•交换方式:
存储-转发
•传输模式:
支持全双工
•网管支持:
支持
2.5.3路由协议的设计
如果网络中只有一个路由器或路由交换机,不需要使用路由协议;只有当网络中具有多个路由器时,才有必要让它们去共享信息。
但如果仅有小型网络,完全可以通过静态路由手动的更新路由表。
现使用较多的路由协议,主要以下几种:
(1)RIP
RIP(Routeinformationprotocol,即路由信息协议)是基于D-V算法(距离向量算法)的内部动态路由协议。
RIP协议的标准主要有RFC1058(版本1)和RFC1723(版本2)。
(2)OSPF
OSPF(OpenShortestPathFirst,即最短路径优先协议)是一种基于链路状态的内部动态路由协议。
目前OSPF的主要标准是RFC2328(版本2)。
完整的OSPF功能包括支持广播、NBMA、点到多点、点到点四种接口类型,以及MD5验证、区域划分、区域间路由聚合、虚连接、STUB区域等特性。
(3)IS-IS
IS-IS(IntermediateSystem-IntermediateSystem,中间系统到中间系统协议)是由国际标准化组织(ISO)制订的路由协议,属于开放系统互联协议簇。
IS-IS对应的标准是ISO10589和RFC1195。
在IGP路由协议的选择上,尽量不要采用扩展性差的(RIP)和厂家的私有路由协议(IGRP和EIGRP),尽量采用OSPF或IS-IS。
对于OSPF和IS-IS的选择依据为:
基本原理相同(基于链路状态算法),OSPF用于IP,IS-IS用于ISO的CLNP,也支持IP(“集成IS-IS”);IS-IS结构严谨,OSPF更加灵活,OSPF协议是基于接口的,而IS-IS路由器只能属于一个Area,并且不支持NBMA网络;IS-IS占用网络资源相对较少,支持网络规模大于OSPF,在网络相当庞大时能体现出优势;一个IGP域运行的三层交换机及路由器的数量一般不会超过200台,因此从实际情况来看,运行OSPF和IS-IS对IP城域网/承载网的建设不会有差异;对于网络的稳定性、可扩充性,两种协议都能很好地支持;在大型ISP上,IS-IS与OSPF二者均获得普遍应用;
从MPLS草案及现实运行来看,如果要运行MPLS网络的话,OSPF经常被选用做内部IGP,当然IS-IS也有,但是MPLS草案中认为在MPLS环境中运行OSPF更合适;使用MPLSTE的时候,采用IS-IS扩展的较多;
从目前很多厂商的设备来看,存在这样一个问题,不少厂商的中低端路由器及三层交换机不支持IS-IS,从这个角度讲OSPF比IS-IS有优势,所有的主流路由器及三层交换机都支持OSPF。
OSPF路由协议相应的配置策略为:
•AS内部节点均运行OSPFv2路由协议;
•如果与别的IP网络互通,建议配置EBGP路由协议,并且配置OSPF引入BGP路由;为减少处理开销和网络开销,可将网络的主干部分划分为OSPF主干区域(区域号为0),在边缘的支局子网配置成为OSPF子区域,从而分散路由处理,减少网络带宽占用。
通过配置区域,使OSPF可以分层次管理大型网络,实现可扩展性。
使用OSPF协议必须考虑到骨干区域的连通性,即使某条链路断掉后能保证骨干区域不会分离;另外,还需要考虑网络边缘层设备的动荡对于核心网络的影响。
对于本次方案,根据初期阶段实现目标:
实现信息点最优连通,建议采用OSPF路由协议使路由全网可达。
具体设计如下:
核心交换机与汇聚交换机都为三层路由交换机,相互间使用OSPF路由协议,并运行在AREAR0区域上。
核心交换机为三层交换机,与防火墙连接通过采用IP静态路由的方式,防火墙通过配置缺省路由使网络用户对Internet进行访问。
2.5.4IP地址的设计
2.5.4.1IP地址规划和分配原则
(1)根据目前网络结构和以后扩展,遵循以下原则进行IP地址分配。
◆唯一性:
IP地址必须唯一,一个IP地址对应一台数据通讯设备;
◆连续性:
为同一网络区域分配连续的网络地址,便于规划,同时提高路由器寻径效率;
◆可管理性:
地址的分配应该有层次性,某个局部的变动不影响网络的其它部分;
◆高效性:
采用可变长子网掩码技术,要求采用支持可变长子网掩码技术的TCP/IP协议族;
◆可汇聚性:
方便路由汇总,缩减路由表条目,提高路由器处理效率。
◆可扩展性:
既要考虑到IP地址的使用现状,又要考虑到未来信息网络的发展,为各单位分配合理的地址空间,在网络上尽可能少地做NAT,减少网络设备CPU处理负担和加快网络访问速度。
(2)业务地址的划分可以按照两个原则来分配:
◆按照部门规划,每个部门一个独立的网段;这种方案适合业务种类单一的情况,管理方便。
◆按照业务规划,每种业务一个网段,所有的地市同一业务使用同一网段,这种方案适合业务之间互访的控制。
2.5.4.2网络地址分配
IP地址规划和分配包括以下内容:
(1)设备及互连链路地址规划与分配
(2)业务地址规划与分配
(3)服务器地址规划与分配
根据以上IP地址的划分原则,本方案建议IP的设计如下:
A段(行政楼、门卫):
192.168.0.0~192.168.3.255/22
B段(生产车间、产区办):
192.168.4.0~192.168.5.255/23
C段(运输楼、工段办):
192.168.6.0~192.168.6.31/27
2.5.5VLAN的设计
2.5.5.1VLAN的划分的作用及原则
VLAN(VirtualLocalAreaNetwork)是虚拟局域网的英文缩写,它最简明的描述就是可以实现将连接在同一个物理网络上面的主机分组,使它们看起来就象连接在不同的网络上一样。
我们可以通过VLAN为网络分段,各个网段可以共用同一套网络设备,节约了网络硬件的开销,同时在迁移中所需的工作量也大幅度降低了,从而降低了连网成本。
在用户的企业局域网系统中,我们建议基于IEEE802.1Q标准实现VLAN,在VLAN设计中,我们使用VLAN达到两个目的:
第一,不同业务部门之间的隔离和通信控制;
第二,广播范围抑制。
2.5.5.2VLAN划分
我们建议根据各个办公室的地理位置来划分VLAN,如果同一栋楼内包含很多部门,而这些部门的职能和工作内容又有很大的区别,我们就可以在楼内按照部门来划分VLAN。
另外,如果某个部门需要跨越很多建筑物,分布范围比较广,例如部门A分布的很散,在很多交换机上都预留了部门A的信息点,我们则可以按照交换机的位置来设置VLAN,这样,部门A就可能对应多个VLAN,如果部门A所对应的VLAN之间需要通信的话,我们可以通过VLAN间的路由来实现。
这样做的好处是:
可以减少广播数据包对网络主干的影响。
因为如果将部门A全部划分到一个VLAN中,而这些VLAN又跨越了网络主干,分布在众多不同的交换机上,这样如果有广播包时,这些广播包必然会在网络的主干上传输,然后到达相应的交换机上,也就占用了网络主干的带宽,容易造成其他业务的时延。
为了减少传输冲突,提高系统整体性能和网络处理能力,另外,还考虑到网络良好的管理性,易于维护和安全策略的实施,针对用户网络系统的实际情况,可以把功能(应用)相近的设备群组划分到同一VLAN,不同部门的设备划分到不同VLAN中去,这样就能够通过访问控制列表技术实施安全策略。
限制未授权的用户访问重要的服务器和数据库。
VLAN划分举例:
VLAN
用途
命名规范表
Vlan10
财务部
FINANCIAL
Vlan11
市场销售部
MARKET
Vlan12
管理部
MANAGING
……
……
……
2.5.5.3VLAN之间安全控制
在用户网络系统中,由于在中心使用了三层核心交换机,因此所有的VLAN之间的访问都需要通过三层核心交换机进行,因此可以通过ACL(访问控制列表)控制VLAN之间的流量,这样就可以允许高优先级的VLAN段访问低优先级的VLAN段,而低优先级的VLAN段不能访问或有限的访问高优先级VLAN段。
2.5.6网管系统的设计
网络管理系统时对整个网络进行监视、控制和维护管理,以提高网络的有效性、利用率、安全性和可靠性。
网络管理系统由网管中心、网管单元、管理信息库和网络管理协议四部分组成。
网管中心是网管人员和管理信息系统间的接口,它将网管人员的命令转换为对实际网络单元的监视和控制。
网管单元在每个节点执行各项网络管理任务,采集网络资源信息,存储本地相关数据并响应网管人员命令。
管理信息库(MIB)存放各种网络管理信息的特征参数和逻辑结构。
网络管理协议按规约执行网管人员与网管单元和管理信息库之间的通信。
该企业网络系统设一个网管中心,该中心设在行政楼机房,负责对全网进行管理。
2.6外部网络设计
该企业网络用户为对Internet进行访问,而且为了保证其安全性,要求能够访问Internet的用户与不能访问Interne
升级会员 