企业网组网研究与设计.docx

企业网组网研究与设计.docx

《企业网组网研究与设计.docx》由会员分享，可在线阅读，更多相关《企业网组网研究与设计.docx（24页珍藏版）》请在冰豆网上搜索。

企业网组网研究与设计

摘要

21世纪将是知识经济时代，以知识和信息的生产、传播和应用为基础的知识经济将占世界经济发展的主导地位。

国家综合国力和国际竞争能力越来越取决于教育发展、科学技术和知识创新的水平，教育在经济和社会发展过程中将呈现越来越突出的重要作用。

　　另一方面，随着现代科学技术的飞速发展，世界范围内的信息化浪潮势不可挡，迅速延伸到国防、科研、经济等各个领域，也不可避免地改变着传统的教育模式----信息和教育相结合毫无疑问地成为了当今世界教育改革和发展的有机组成部分，而当前蓬勃发展的计算机和网络为主导的现代信息技术是教育先导化必不可少的技术基础。

　　目前，全国已掀起一股信息高速公路规划和建设的高潮，国际互联网（Internet）上相连的计算机已近达数亿万台，全球有数亿人在Internet上进行信息交换和各种业务处理。

Internet上积累了大量信息资源，这些资源涉及人类面对和从事的各个领域、行业及社会公用服务信息。

成为信息时代全球可共享的最大信息基地。

关键字：

局域网、Internet、网络协议、服务器、防火墙

Abstract

21stcenturyistheeraofknowledgeeconomy,knowledgeandinformationtotheproduction,disseminationandapplicationoftheknowledge-basedeconomybasedonworldeconomicdevelopmentwillaccountforthedominantposition.Comprehensivenationalstrengthandinternationalcompetitivenessincreasinglydependsonthedevelopmentofeducation,scienceandtechnologyandthelevelofknowledgeinnovation,educationineconomicandsocialdevelopmentprocesswillappearmoreandmoreprominentanimportantrole.

Ontheotherhand,modernscienceandtechnologywiththerapiddevelopmentoftheworld'sinformationtechnologywaveisunstoppable,rapidlyextendedtonationaldefense,scientificresearch,economicandotherfields,butalsoinevitablychangingthetraditionalmodeofeducationandinformation----Thereisnodoubtthecombinationofeducationtobecometheworldtodayeducationreformanddevelopmentoftheorganiccomponentofthecurrentvigorousdevelopmentofcomputerandnetwork-orientedmoderninformationtechnologyisessentialtothepilotofthetechnicalbasis.

Atpresent,thecountryhassetoffaninformationhighwayplanningandconstructionoftheupsurgeoftheInternet（Internet）almostonthecomputerconnectedtoseveralhundredsofmillionsofTaiwan,hundredsofmillionsofpeoplearoundtheworldontheInternetforinformationexchangeandvariousbusinessprocesses.OntheInternethasaccumulatedawealthofinformationresources,thoseresourcesinvolvedinthehumanfaceandthevariousfields,tradeandsocialpublicserviceinformation.Theglobalinformationagemaybecomethelargestinformation-sharingbase.

Keyword:

LAN,Internet,networkprotocol,server,afirewall

目录

1.设计背景5

1.1建网设计方案的意义5

1.2建网涉及主要网络技术5

2.中小型企业网建网目标7

2.1建设目标7

2.2设计原则7

3.需求分析7

3.1中小企业目标需求7

3.1.1从企业对信息的需求来看7

3.1.2从企业的管理角度来看8

3.1.3从企业的业务角度来看8

3.2中小企业网络应用需求8

3.3中小企业网络技术需求9

3.4中小企业网络功能需求9

3.5中小企业需求挑战10

4.方案设计10

4.1网络拓朴设计10

4.2IP编址及VLAN划分10

4.3设计方案设备选型12

5．网络安全设计13

5.1物理层安全14

5.2系统安全14

5.3网络层安全15

5.4应用层安全16

5.5管理层安全16

6．综合布线设计16

6.1综合布线系统概述17

6.2设计依据19

6.3系统设计20

6.3.1布线总体原则20

6.3.2工作区子系统21

6.3.3管理间子系统22

6.3.4垂直干线子系统23

6.3.5设备间子系统24

6.3.6建筑群子系统25

6.3.7水平子系统26

7．设计方案的优势27

结束语28

参考文献28

1.设计背景

某企业为了适应现代化办公需要，决定建设自己的网络。

该企业分为新厂区和老厂区，该项目负责新厂区的组网方案。

新厂区分为A区、B区、C区以及D区。

A区为核心区域，严格控制其它区域访问控制。

B区、C区和D区在建造时采用相同的设计结构。

1.1建网设计方案的意义

从厂商的角度讲，他们追求的是价格最贵化，设备最好化，简度冗余化。

总体上来说就是追求整体方案的最大利润化。

而从厂家的角度讲，他们追求的是成本控制严格，尽量满足需求，提供投资保护。

简言之就是：

整体方案以满足企业需求为目的。

所以说他们的出发点是不一样的，很明显最终的设计方案就不一样。

当然，我们是站在企业的角度来提出建网设计方案的。

所以，能否设计出既能满足企业网络需求，又能购买到性价比高的设备至关重要。

而组网方案又为我们提供了很好的参考，其意义不言而喻。

1.2建网涉及主要网络技术

路由技术：

在通信子网间路由数据包，具有在网络中传递数据选择最佳路径的能力，利用访问控制列表，路由器还可以完成路由器为中心的流量控制和过滤功能。

交换技术：

在通信子网间分离冲突域，实现端口化最小冲突域，减小数据包在网络中传输时引发的碰撞与冲突，达到快速转发数据包的目的。

虚拟网技术：

解决交换机在进行局域网互连时无法限制广播的问题，把一个LAN划分成多个逻辑的VLAN，VLAN间则不能直接互通，广播报文被限制在一个VLAN内。

冗余技术：

通过配置HSRP，在主动路由器出现故障，备份路由器（StandbyRouters）承接主动路由器的所有任务，并且不会导致主机连通中断现象。

远程访问技术：

可以为家庭办公用户和出差在外的员工提供移动接入服务。

防火墙技术：

防火墙（英文：

firewall）是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。

防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。

也有以防火墙为名的电影。

虚拟路由器技术：

虚拟路由器冗余协议（VRRP）是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器中的一台。

控制虚拟路由器IP地址的VRRP路由器称为主路由器，它负责转发数据包到这些虚拟IP地址。

一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器。

使用VRRP的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。

VRRP包封装在IP包中发送。

VPN技术：

虚拟专用网（vpn）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。

使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。

虚拟专用网是对企业内部网的扩展。

虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。

虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

2.中小型企业网建网目标

2.1建设目标

●高速、安全、可靠、可扩充网络系统，充分满足企业内部的交互及管理需求；

●实现企业与Internet安全互联、对外发布应用服务器、提供移动用户的接入访问；

●企业实现全部信息化、无纸化办公，改变传统工作方式，提高工作效率；

●实现业务信息综合分析，提供领导决策，更好的组织生产与经营企业。

2.2设计原则

●在网络规划方面，采用统一的IP应用、网络设计及管理的国际标准；

●在软硬件选择方面，所选产品必须遵循标准化原则，方便升级及管理；

●在安全方面，具有良好的安全性与保密性，受攻击时有可追溯性；

●在投资保护方面，做到资源共享与保护，满足现状时具有强扩展性。

3.需求分析

3.1中小企业目标需求

3.1.1从企业对信息的需求来看

●信息就是金钱时代

●单机应用到多机互联的应用

●手工管理方式及手段急需改变

3.1.2从企业的管理角度来看

●领导更全面的掌握企业的运作信息

3.1.3从企业的业务角度来看

●内部及外部间沟通更加顺畅

●无纸化、自动化办法时代

●提高工作效率、降低运营成本

3.2中小企业网络应用需求

·实现企业局域网与其他各网络之间的安全、高速数据访问交换

·采用Internet代理服务，实现企业所有站点通过电脑网络高速访问Internet。

·建立WWW服务器，实现企业在Internet和Intranet上的信息发布，使公司内外的人员能够即使了解公司的最新信息。

·建立邮件服务器，实现企业工作人员与上级机构、分支机构等的电子信息的传递。

·构建起企业运行基于网络设计的Client/Server（客户机/服务器）或Browser/Server（浏览器/服务器）结构的办公自动化系统、各种信息管理系统的网络硬件平台和系统运行平台。

公司Internet应用是作为我们设计网络一期的依据，因此，我们从公司Internet应用及应用发展入手，分析目前及未来发展的公司Internet应用，并根据这些应用的自身特点，从带宽需求、传输时延、传输的可靠性、传输的安全性等因素来分析，综合考虑并总结出公司Internet应用的发展需求。

天河科技有限公司Internet应用主要有：

◆Internet信息交流：

实现资源高度共享，为销售、研发、人力资源管理等提供Internet接入服务

◆视频会议系统：

实现对视频和音频数据的多路组播和广播

◆WEB信息发布

◆电子邮件、公告牌、电视会议和产品信息查询等服务

3.3中小企业网络技术需求

Ø主干网络采用速率为1000Mbps的交换技术。

作为公司主干的支撑网络，要求安全可靠，并可实现主干网络冗余、链路容错等功能。

Ø系统各层网络之间良好互联。

Ø千兆交换机与主机服务器之间良好互联。

Ø具有良好便捷网络管理平台。

网管系统是开放式网管平台，并可以对全网进行故障管理、配置管理、性能管理、事物处理管理、流量控制管理、日志管理、多厂家产品管理、MIB管理、效率管理和图形化管理。

Ø网络骨干设备具有较高的可靠性；核心设备支持热插拔，具有容错设计。

Ø网络设备具有较好的扩展性，系统能够平滑升级及扩充。

采用国际标准TCP/IP协议。

3.4中小企业网络功能需求

◆资源共享功能：

网络的各个桌面用户可共享数据库、共享打印机，实现办公自动化系统中的各功能。

◆通信服务功能：

最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问。

◆多媒体功能：

支持多媒体组播，具有卓越的服务质量保证功能。

◆远程VPN拨入访问功能：

系统支持远程PPTP接入，外地员工可利用INTERNET远程访问公司资源。

3.5中小企业需求挑战

Ø高性能、高安全。

Ø满足需求、稳定、可靠。

Ø低成本、投资保护。

4.方案设计

4.1网络拓朴设计

4.2IP编址及VLAN划分

该企业使用私有IP地址来规划内网IP地址，选择172.16.0.0/16地址。

IP地址规划分为四块：

用户地址、设备互联地址、设备管理地址以及服务器地址。

Ø用户IP地址：

172.16.10.0/24—172.16.20.0/24

Ø设备管理IP地址：

172.16.9.0/24

Ø设备互联IP地址：

172.16.8.0/24

Ø服务器IP地址：

172.16.7.0/24

◆终端设备IP地址规划

终端设备IP以及Vlan规划

区域

网段

默认网关

vlan号

Vlan名

A区

172.16.10.0/24

172.16.10.1

1

area-A

窗体顶端

窗体底端

B区

172.16.11.0/25

172.16.11.1

2

area-B

窗体顶端

窗体底端

C区

172.16.11.128/25

172.16.11.128

3

area-C

窗体顶端

窗体底端

D区

172.16.12.0/25

172.16.12.1

4

area-D

server1

172.16.7.1/30

172.16.7.2

server2

172.16.7.5/30

172.16.7.6

sever3

172.16.7.9/30

172.16.7.10

DMZ-server

172.16.7.13/30

172.16.7.14

◆设备管理IP地址规划

设备管理IP地址规划

区域

管理IP/32

设备命名

A区

172.16.9.1

Switch-A1

172.16.9.2

Switch-A2

172.16.9.3

Switch-A3

172.16.9.4

Switch-A4

窗体顶端

窗体底端

172.16.9.5

Switch-A5

窗体顶端

窗体底端

B区

172.16.9.6

Switch-B1

窗体顶端

窗体底端

172.16.9.7

Switch-B2

172.16.9.8

Switch-B3

C区

172.16.9.9

Switch-C1

172.16.9.10

Switch-C2

172.16.9.11

Switch-C3

D区

172.16.9.12

Switch-D1

172.16.9.13

Switch-D2

172.16.9.14

Switch-D3

◆设备互联IP地址规划

设备互联IP规划

使用位置

IP网段

备注

核心交换机

防火墙

172.16.8.0/30

172.16.8.0/24网络用作设备IP

核心交换机

老厂区

172.16.8.4/30

4.3设计方案设备选型

Catalyst4506

千兆三层交换机

●线速三层交换，L4～L7流分类

●SUP　En　V-10GE引擎

●背板／转发：

136Gbit/s/102Mpps

●基于软件的容错以及1+1电源冗余

●模块化结构，提供投资保证

设备应用

●只能园区网汇聚／接入

●中小企业汇聚／核心

●中小分支机构核心

●配线间

Catalyst2960

●千兆上行，二层线速

●提供访问控制列表和增强安全特性

●双介质上行链路提供千兆链路灵活性

●实现了网络控制和带宽优化

●多种验证方法，实现网络安全性

设备应用

●小型配线间

●小型分支机构

●桌面/工作组交换机

Cisco3640

园区和分支接入路由器

●集成了多服务平台

●高密度ISDNPRI功能

●预配置的PRI和BRI调制解调器捆绑

●完美的VPN支持

●模块化、可伸缩的设计

●提供性能、可伸缩性、灵活性和投资保护

设备应用

●园区网广域网接入

●中小企业分支接入

●配线间

5网络安全设计

企业网内的用户数量较大，局域网络数目较多，经过分析可以总结出天河科技企业网面临着如下的安全威胁：

⏹各种操作系统以及应用系统自身的漏洞带来的安全威胁；

⏹Internet网络用户对企业网存在非法访问或恶意入侵的威胁；

⏹来自企业网内外的各种病毒的威胁，外部用户可能通过邮件以及文件传输等将病毒带入企业内网。

内部职工可能由于使用盗版介质将病毒带入内网；

⏹内部用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入企业内网；

⏹内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击，导致网络及服务不可用；

⏹可能会因为企业网内管理人员以及全体职工的安全意识不强、管理制度不健全，带来企业网的威胁；

上述分析的几点是当今企业网普遍面临的安全隐患。

企业网络的应用水平也在不断提高。

规模的壮大和运用水平的提高就决定了网络面临的隐患也相应加剧。

那么就及上述分析我们应从物理、系统、网络、应用及管理五个层设计适合于天河科技网络的安全方案。

5.1物理层安全

物理层的安全主要包括环境、设备及线路的安全。

系统中心或机房的建设应遵照：

GB50173-93《电子计算机机房设计规范》、GB2887-89《计算机站场地安全要求》及GB2887-89《计算机站场地技术条件》的要求。

在设备集中的管理间安装干扰器防止由于设备辐射造成的信息泄漏。

同时，要注意保护线路的安全，防止用户的搭线窃听行为。

5.2系统安全

系统层主要解决的是由于各种操作系统、数据库、及相关产品的安全漏洞和病毒造成的威胁。

解决的技术手段主要有以下几种：

●采用主机加固手段加固主机，如升级、及时打补丁、关闭不需要的端口和服务等；

●对系统重要文件进行及时备份、加密来保障系统文件的安全；

●及时更新杀毒软件，定时扫描漏洞保障系统安全；

●严格控制权限加强对主机的访问控制；

●使用强密码帐号保障系统帐号的安全；

●日志分析，及时发现异常；

5.3网络层安全

网络中局域网数目较多，根据需要多个网络可能要互相联接。

正是这种多网的互联，使我们对网络层的安全要极度重视。

定义一个网络或各网络内不同安全等级的部分为不同的安全域。

安全域之间的连接处叫网络边界。

下面主要几方面的网络层安全防护：

⏹划分安全子网。

如果同一局域网内有不同等级的安全域，可以通过划分子网及VLAN的方法加以访问控制。

⏹加强网络边界的访问控制。

安全等级差别较大的边界需要采用防火墙来控制。

如内网、外网和Internet之间，利用防火墙进行访问控制和内容过滤。

可有效地解决需求中提到的多种威胁。

⏹防止内外的攻击威胁。

在每个安全域内或多个安全域之间安装入侵检测系统（IDS）,可有效地防止来自网络内外的攻击。

⏹定期的网络安全性检测实现持续安全。

利用漏洞扫描器（Scanner）,定期对系统进行安全性评估，及时发现安全隐患并实施修补，可达到网络的相对持续安全。

⏹建立网络防病毒系统。

在企业网中安装网络版的防毒系统，集中控制、管理查杀网络中服务器、终端的病毒，保护全网不被病毒侵害。

5.4应用层安全

应用层的安全措施主要有以下几点：

◆加载邮件过滤系统，过滤垃圾邮件；

◆各应用系统自身的加固；

◆建立身份认证系统，对各用户进行严格身份认证；

◆建立安全审计系统，进行安全审计；

◆建立备份系统，及时备份重要文件；

5.5管理层安全

实现管理层的安全主要注意以下几点：

Ø建立安全管理平台。

主要是指将各种安全系统或设备集中控管、综合分析。

Ø建立、健全安全管理体制。

内网用户较多，一定要建立一套合理可行的安全管理制度。

只有制度和设备的完美结合才能真正提高校园网的安全水平。

Ø机房重地要重点保护，闲人不得随意进入。

Ø提高全员的安全意识适当进行安全培训。

6综合布线设计

6.1综合布线系统概述

结构化综合布线系统是整个网络的物理连接基础，属于基础设施建设。

结构化综合布线系统根据各节点的地理分布情况、网络配置情况和通信要求，安装适当的布线介质和连接设备，使网络的连接维护和管理变得简单易行。

布线系统是建筑物或建筑群内的传输网络。

根据EIA/TIA568标准，建筑物综合布线系统分为六个子系统：

工作区子系统、水平干线子系统、管理间子系统、垂直干线子系统、设备间子系统、建筑群子系统。

工作区子系统由终端设备连接到信息插座的连线组成，它包括信息插座、信息模块、网卡和连接所需的跳线。

并在终端设备和I/O之间搭桥。

水平子系统将干线子系统线路从管理子系统的配线架上连接的线缆延伸到用户工作区（信息插座），水平子系统与干线的区别是：

水平布线系统处于同一楼层，它从用户工作区信息插座开始，在与卫星接线间管理子系统交连处端接，提供同层各办公室的连接和管理。

管理子系统由交连、互联和I/O组成。

管理点为连接其它子系统提供连接手段，交连和互连允许将通信线路定位或重定位到建筑物的不同部分，以便能更容易地管理网络的通信线路。

在使用跨接线或插入线时，交叉连接允许将端接在单元一端的线缆上的通信线路连接到端接在单元另一端的线路。

主干子系统（垂直干线子系统）：

实现计算机设备、程控交换机和各管理子系统间的连接，是建筑物内网络系统的中枢，由它将各楼或楼层的水平子系统联系起来。

设备间子系统提供主干与网络连接的硬件环境与接口，由设备间中的线缆、连接器和相关支撑硬件组成，它把公共系统设备的各种一同设备互连起来。