陈氏企业网络规划设计方案.docx

资源描述

陈氏企业网络规划设计方案.docx

《陈氏企业网络规划设计方案.docx》由会员分享，可在线阅读，更多相关《陈氏企业网络规划设计方案.docx（10页珍藏版）》请在冰豆网上搜索。

陈氏企业网络规划设计方案.docx

陈氏企业网络规划设计方案

第1章：

目标

建立一个安全、可靠、可扩展、高效的网络环境，完全符合开放性规范，能够方便快捷的实现网络资源共享、办公自动化、出差上内网，接入Internet等目标

第2章：

具体细节

（1）.用户背景描述：

公司名称：

陈氏科研公司办公楼

（2）.公司规模：

大约200名员工的公司

（3）.公司组织结构：

图21人员组织结构图

2.1.用户需求描述：

（1）用户公司需要连接内部网络，各部门员工的终端能够实现连通

（2）所有公司员工都能访问远程分支机构（远程分支机构的网络不在此项目内）

（3）公司财务部门的数据很重要，希望有一定的安全措施

（4）网络设备要求高速、运行稳定

第3章.需求分析：

为适应企业信息化的发展，满足日益增长的通讯需求和网络的稳定运行，今天的大型企业网络建设比传统企业网络建设提出更高的要求，主要表现在如下几个方面：

　　1）现代大型企业网络应具有更高的带宽，支持10GE或将来平滑过渡到10GE，更强大的性能，以满足用户日益增长的通讯需求；

　　随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台，它不仅要继续承载企业的办公自动化和WEB浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务，因此数据流量将大大增加，尤其是对核心网络的数据交换能力提出前所未有的要求。

另外，随着千兆端口的成本持续下降，千兆到桌面的应用会在不久的将来成为企业网的主流。

从2005年全球交换机市场分析可以看到，增长最迅速的就是10G级别机箱式交换机，由此可见，万兆的大规模应用已经真正开始。

所以今天的企业网络已经不能再用百兆到桌面千兆骨干来作为建网的标准，它的核心层及骨干层必须具有万兆级带宽和处理性能，才能构筑一个畅通无阻的“高品质”大型企业网，从而适应网络规模扩大，业务量日益增长的需要。

　　2）现代大型企业网络应具有更全面的可靠性设计，以实现网络通讯的实时畅通，保障企业生产运营的正常进行；

　　随着企业各种业务应用逐渐转移到计算机网络上来，网络通讯的无中断运行已经成为保证企业正常的生产运营的关键。

现代大型企业网络在可靠性设计方面主要应从三方面考虑：

首先是设备级可靠性设计，这里不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察；其次是业务的可靠性设计，这里要注意网络设备在故障倒换过程中是否对业务的正常运行有影响；再次是链路的可靠性设计，以太网的链路安全来自于它的多路径选择，所以在企业网络建设时要考虑网络设备是否能够提供有效的链路自愈手段和快速重路由协议的支持。

　　3）现代大型企业网络需要提供完善的端到端QOS保障，以满足企业网多业务承载的需求；

　　大型企业网络承载业务的不断增多，单纯的提高带宽并不能够有效的保障数据交换的畅通无阻，正如八车道的长安街也经常堵车一样，所以今天的大型企业网络建设必须要考虑到网络应能够智能的识别应用事件的紧急和重要程度，如视频、音频、数据流（MIS、ERP、OA、备份数据），同时能够调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送，实现对业务的合理调度才是一个大型企业网络提供“高品质”服务的保障。

　　4）现代大型企业网络应提供更完善的网络安全解决方案，以阻击病毒和黑客的攻击，减少企业的经济损失；

　　传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对于病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效的解决企业网络的安全问题。

在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，才能有效的保证企业网络的稳定运行。

　　5）现代大型企业网络应具备更智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需要；

　　当前的网络已经发展成为“以应用为中心”的信息基础平台，网络管理能力的要求已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。

比如，网络调试期间最消耗人力与物力的线缆故障定位工作，网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作，由于受网络设备功能本身的限制，都还属于费时、费力，有时甚至是不可能的任务，所以现代的大型企业网络迫切需要网络设备具备支撑“以应用为中心”的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来

第4章、方案设计原则

本方案的设计将在追求性能优越、经济实用的前提下，本着严谨、慎重的态度，从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计，力图使该系统真正成为符合该中学的网络系统。

从技术措施角度来讲，在网络的设计和实现中，本方案严格遵守了以下原则：

4.1实用性和集成性

系统的软硬件设计、还是集成，均以适用为第一宗旨，在系统充分适应企业信息化的需求的基础上进而再来考虑其他的性能。

该系统所包含的内容很多，必须能将各种先进的软硬件设备有效地集成在一起，使系统的各个组成部分能充分发挥作用，协调一致的进行高效工作。

4.2标准性和开往性

只有支持标准性和开放性的系统，才能支持与其它开放型系统一起协同工作，在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准，以便能和不同厂家的开放性产品在同一网络中同时共存。

通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。

4.3先进性和安全性

系统所有的组成要素均应充分地考虑其先进性。

不能一味地追求实用而忽略先进，只有将当今最先进的技术和我们的实际应用要求紧密结合，才能获得最大的系统性能和效益。

网络的安全是事关重要的，在某些情况下，宁可牺牲系统的部分功能也必须保证系统的安全。

4.4成熟性和高可靠性

作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。

网络硬件体系结构在实际应用中能经过较长时间的考验，在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案，并通到较多的第三方开发商和用户在全球的广泛支持和使用。

同时，应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品，以适应系统未来的发展需要。

可靠性也是衡量一个计算机应用系统的重要标准之一。

在确保系统网络环境中单独设备稳定、可靠运行的前提下，还需要考虑网络整体的容错能力、安全性及稳定性，使系统出现问题和故障时能迅速地修复。

因此需要采取一定的预防措施，如对关键应用的主干设备考虑有适当的冗余。

应急处理信息系统能够全天候工作，达到每周7*24小时工作的要求。

一个高可用性的系统才能使用户的投资真正得到回报。

4.5可维护性和可管理性

整个信息网络系统中的互连设备，应是使用方便、操作简单易学，并便于维护。

对复杂和庞大的网络，要求有强有力的网络管理手段，以便合理的管理网络资源，监视网络状态及控制网络的运行，因此，网络所选的网络设备应支持多种协议，管理员能方便进行网络管理、维护甚至修复。

在设计和实现时，必须充分考虑整个系统的便于维护性，以使系统万一发生故障时能提供有效手段及时进行恢复，尽量减少损失。

第5章：

方案设计

图51方案设计－拓朴图

设备清单：

序号

设备型号

描述

数量

WS-C2950G-48-EI

快速以太网交换机，交换方式:

存储-转发；背板带宽（Gbps）:

13.6；端口数:

48；模块化插槽数:

2621XM

模块化路由器，可选广域接口WIC卡；固定局域网接口:

10/100Base-T/TX2个；支持扩展模块插槽数:

3；支持VPN；内置防火墙

RJ45-RJ45交叉跳线

1.5米，非屏蔽

RJ45-RJ45直连跳线

1.5米，非屏蔽

另外：

硬件扩展

如果人员有增加，可以增加相同类型的2950系列交换机

如果分支机构的数量增加，可以考虑在路由器上增加扩展模块，扩展模块的型号根据连接线路的类型确定

如果路由器与交换机之间的连接称为网络的瓶颈，可以考虑更换为3层交换机

IP地址扩展

目前各部门分配的网段都有比较大的剩余地址空间，具有较好的可扩展性

第6章：

方案特点

本方案很好地解决了用户要求的四个问题，即带宽问题、安全问题、管理计费问题、灵活扩展问题。

6.1带宽问题：

使用万兆互连双核心结构，使网络核心设备不但可以互相备份，而且有效的减轻流量负荷，使设备时刻保持稳定和高效。

6.2安全问题：

校园网核心层、汇聚层、楼层汇聚层所使用的产品全部具有网络病毒和攻击的防护能力，并且防DOS/DDOS攻击，因而可以在不同的环境中做到安全防护，足以应对突发事件，保持网络稳定、通畅。

6.3管理计费问题：

统一认证，针对校园网开放式的信息点造成的安全隐患，全网接入采用统一认证技术（可以进行账号、IP，MAC、LAVNID、交换机IP和交换机端口六要素灵活捆绑），保证了只有合法授权的用户才能使用网络或外部网络，而且还能对网络的使用情况进行审计。

灵活扩展问题：

核心层使用的路由交换机DCRS-7508有良好的扩展性，可以为将来的网络实现轻松扩展。

第7章：

实施方案设计

7.1实施方案内容

项目概述

网络建设目标

网络拓朴结构

IP地址规划

设备清单与端口地址规划

设备安装与调试阶段技术细节

工程测试与验收

项目管理与项目进度安排

7.2

图71IP子网划分

注释：

全部的地址空间是192.168.10.0/24和192.168.11.0/24。

远程分支机构的IP地址是192.168.20.0/24。

部门

地址空间

所属VLAN

总经理

副总经理

192.168.11.162/27

192.168.11.163/27

VLAN50

名称：

financial

销售部

192.168.10.0/25

VLAN10

名称：

sales

市场部

192.168.10.128/25

VLAN20

名称：

marketing

部门

地址空间

所属VLAN

技术支持部

192.168.11.0/25

VLAN30

名称：

technic

人事行政部

192.168.11.128/27

VLAN40

名称：

财务部

192.168.11.160/27

VLAN50

名称：

financial

路由器接口

地址空间

用途

路由器对外接口地址

192.168.20.1/30

Fa0/1

路由器内部接口地址

192.168.10.1/25

192.168.10.129/25

192.168.11.1/25

192.168.11.129/27

192.168.11.161/27

Fa0/0.1VLAN10网关

Fa0/0.2VLAN20网关

Fa0/0.3VLAN30网关

Fa0/0.4VLAN40网关

Fa0/0.5VLAN50网关

第8章：

测试步骤及测试文档

接口规划：

设备名称

接口

用途

接口类型

Fastethernet0/0

Fastethernet0/1

连接Sw1

连接远程分支机构

Trunk接口

路由接口

Sw1

Fastethernet0/1

Fastethernet0/2

Fastethernet0/3

Fastethernet0/4

Fastethernet0/5

Fastethernet0/6

Fastethernet0/7

Fastethernet0/11～30Fastethernet0/31～45

连接R1

连接Sw2

连接Sw3

连接Sw4

连接Sw5

连接总经理PC

连接副总经理PC

连接用户PC

Trunk接口

Access接口，Vlan50

Access接口，Vlan10

Access接口，Vlan20

设备名称

接口

用途

接口类型

SW2

Fastethernet0/1

Fastethernet0/6～40

Fastethernet0/41～48

连接SW1

连接用户PC

Trunk接口

Access接口，Vlan10

Access接口，Vlan20

SW3

Fastethernet0/1

Fastethernet0/6～10

Fastethernet0/11～47

连接SW1

连接用户PC

Trunk接口

Access接口，Vlan10

Access接口，Vlan20

SW4

Fastethernet0/1

Fastethernet0/6～35

Fastethernet0/36～45

连接SW1

连接用户PC

Trunk接口

Access接口，Vlan30

Access接口，Vlan40

SW5

Fastethernet0/1

Fastethernet0/6～35

Fastethernet0/36～45

连接SW1

连接用户PC

Trunk接口

Access接口，Vlan30

Access接口，Vlan50

最后：

交换机配置

配置主机名

加密保存的密码

添加VLAN

配置VLANTrunk

路由器配置

配置主机名

加密保存的密码

在路由器上配置单臂路由

在路由器上配置默认路由访问远程分支机构

第9章：

解决安全威胁

9.1防冲击波病毒

随着蠕虫病毒等的攻击手段呈多元化发展，单一的防护措施已经无能为力保卫校园网络安全。

IDS只能根据预先定义的策略进行检测，对新的攻击方式无能为力，或者当IDS侦测到某终端用户感染病毒后，只能将相关信息形成报告通知网管人员，等待处理。

然而，此时受感染的用户可能已经通过网络散播到了校园网络的各个角落。

9.2.来自网络内部的恶意或误操作攻击

据相关数字显示，目前，网络遭受的恶意攻击90％以上是来自于内部，诸如窃取他人密码等重要信息、盗打IP电话、校园一卡通金额被盗等事件时有发生。

对此，如果仅仅倚靠被动的监测方式，就给事后追查“嫌疑人”的网管人员制造了难以逾越的瓶颈。

最终，我们可以达到让陈氏科研公司办公楼大约200的员工，其中包括各个科室。

用户公司需要连接内部网络，各部门员工的终端能够实现连通

所有公司员工都能访问远程分支机构（远程分支机构的网络不在此项目内）公司财务部门的数据很重要，希望有一定的安全措施网络设备要求高速、运行稳定。

展开阅读全文