企业网的设计与规划毕业论文.docx
《企业网的设计与规划毕业论文.docx》由会员分享,可在线阅读,更多相关《企业网的设计与规划毕业论文.docx(41页珍藏版)》请在冰豆网上搜索。
企业网的设计与规划毕业论文
企业网的设计与规划毕业论文
摘要2
前言1
第一章企业网组建设计与需求分析2
1.1网络设计原则2
1.2网络系统结构初步规划3
1.3网络安全系统需求3
1.4总体需求4
第二章网络系统设计方案7
2.1企业网分层架构设计7
2.2网络搭建设备7
2.3网络管理、接入控制、日志审计系统9
第三章网络技术设计分析11
3.1网络IP地址规划11
3.2企业网络技术分类12
3.3路由协议选择15
第四章网络拓扑具体配置17
4.1网络的配置规划17
4.2网路的ACL配置18
第五章网络故障应急方案21
5.1故障预防21
5.2系统应急21
5.3其他突发事件应急23
结束语24
致谢25
参考文献26
附录A27
附录B28
附录:
英文技术资料翻译36
前言
如今,应用将网络用作一种资源,这种方式促使以太网不断发展,数据中心网络不断演进。
对于网络的要求已经改变,它不再仅仅用于传统的客户机-服务器交易。
例如,服务器集群的部署不断增加,导致服务间流量随之不断增长。
同时,网格计算也进一步增加了服务器间流量。
如今,数据流量要在多方之间进行转移,包括从客户机到服务器、服务器到服务器、服务器到存储设备、以及存储设备到存储设备等。
这些趋势显著增加了总体流量,同时流量模式的变更也导致更加依赖于网络来提供支持服务器集群应用所需的吞吐率。
现在,应用性能和网络性能均为企业测量的目标,这意味着带宽和延迟都非常重要。
同时,所发送流量的类型也存在区别。
客户机到服务器和服务器到服务器交涉及短暂的突发性传输。
而大多数服务器到存储设备和纯存储应用要求长期、稳定的讯息流。
这就要求网络架构非常灵活,并且具备出色网络智能,以支持、发现和响应网络情况的变化。
应用处理丢包的能力也存在差异。
丢包对不同协议的影响有所不同,应用会以不同的方式做出响应:
一些应用可以容忍这一情况,通过重新发送所丢数据包得以恢复。
以太网能够支持这些情况,但其它应用不能容忍任何丢包情况,要求保证端到端传输没有丢包。
通过以太网传输的光纤通道流量就是要求无丢包服务的一个典型示例。
为了使以太网能够满足应用的无丢包要求,企业需要制定一种方法来通过以太网提供无损服务。
IEEE数据中心桥接的流量管理扩展提供了这一能力。
网络还必须能够支持大型的平面设计。
随着中心网络不断扩展,以及客户增添越来越多的服务器和交换机,原本已经非常庞大的现有扁平式第二层网络正在变得更加庞大,并且这一趋势已成为一种普遍现象。
本文从公司对信息的需求对和该工程给公司带来的效益来叙述了本论文的开端,来构建一个企业局域网,从主流组网技术的分析与比较,来选择一个最适合一个中小型企业局域网的组网分析,来实现企业网带来的经济效益,在这个发展迅速的时代,网络的快速发展是必然的,所以企业局域网也是必然的发展才能展现出一个企业现代化的实力,才能更方便快捷的和时代接轨,利用最前沿的普遍的网络来来推进公司的发展。
第一章企业网组建设计与需求分析
1.1网络设计原则
新建网络必须满足公司未来3~5年的研究、生产、办公需求,遵循“可靠性、实用性、安全性、先进性、经济性、开放性”的设计原则,以系统生命周期长、管理维护方便、系统集成度高和保护投资为主要技术特色,适应XX公司当前应用及后续不断发展。
该企业网络是具有高密度用户群的网络,为了保障全网的高速转发,企业网网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要交换机具有高性能、高带宽的特性,整网的核心交换要求能够提供无瓶颈的数据交换。
1)可管理:
该企业网络是一个庞大而且复杂的网络,为了保障网络的正常使用以及设备的良好维护需要一个功能强大,具有分级、分权管理能力的网管系统,实现统一的网络业务调度和管理,降低网络运营成本。
同时由于企业网络的使用者数量较多,跨网络开展的业务众多,因此需要能够提供用户的高效管理,以确企业网络的信息安全。
2)可增值:
企业网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。
所以在建设时要充分考虑业务的扩展能力,能提供丰富的宽带增值业务(如VoIP,IPV6等),全网支持IPV6,使网络能适应未来需求,节约各类费用。
确保新建网络在3~5年的使用价值。
3)安全性:
充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防措施。
能有效通过软硬件相互联动,有效保证企业网的安全;选择设备必须具有较高的安全特性,如蠕虫病毒防御、ARP欺骗防御、防代理、防攻击扫描、防私设DHCP等功能,系统采用数字签名,安全认证,密码技术以及超级防火墙软件,代理服务器和VPN(虚拟隧道网络技术)等来确保网安全。
对员工的上网行为进行实时记录,并保存到日志服务器。
4)可扩展与成熟性:
企业网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,要具有可扩展性和可升级性。
随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。
5)经济性:
在满足高性能价格比(高性价比)的前提下,选用物廉价美,经济实用的产品,以减少开支。
6)开放性:
技术选择必须符合相关国际标准及国标准,避免个别厂家的私有标准或部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。
1.2网络系统结构初步规划
首先根据需求构建网络拓扑,考虑到数据传输的稳定及安全性,这里采用三层架构体系,划分为核心层、汇聚层、接入层。
各部分需求如下:
1)核心层:
主干网络设备采用交换机进行组网,配置两台高性能核心三层交换机,完成各汇聚节点与核心节点以及各汇聚节点之间的数据高速路由转发以及各节点园区网的业务汇聚,并在整个骨干网上启用HSRP进行冗余,进行容灾处理。
核心层为下两层提供优化的数据传输功能,它是一个高速的路由交换骨干,其作用是尽可能快地交换数据包,满足汇聚节点与核心节点之间高速通信的需要。
核心交换机应具备尽可能强大的性能、业务支持和端口接入的扩展能力。
2)汇聚层:
每个汇聚节点的汇聚交换机通过2个快速以太口与企业数据中心的2台核心交换机相联,构成双核心,双归属的骨干网络。
汇聚层提供基于统一策略的互连性,它是核心层和接入层的分界点,定义了网络的边界,对数据包进行复杂的运算。
在整个网络环境中,汇聚层主要提供如下功能:
部门和工作组的接入和汇聚,VLAN的路由,HSRP的封装,实现冗余等。
3)接入层:
接入层节点采用百兆三层接入交换机,千兆光/电接口上联汇聚交换机,支持802.1x接入,做到面向端点的安全控制能力。
拓扑图如图1-1所示。
1.3网络安全系统需求
信息化网络建设,涉及与Internet的连接,涉及到与多个下属部分单位的连接。
WWW应用、FTP应用等等需要针对不同的部门、不同的人员服务,对网络的安全提出了以下的需求:
1)采用安全控制措施,实现人员的集中管理和控制。
2)采用安全措施,加强对核心服务器系统的保护。
3)采用安全措施,实现与Internet的安全连接,同时对外提供服务。
4)实现集中统一的全网安全管理,减轻管理的负担。
图1-1拓扑图
1.4总体需求
1)系统建设的总体需求有:
(1)高带宽
为了支持数据、话音、视像多媒体的传输能力,在技术上要到达当前的国际先进水平。
要采用比较先进的网络技术,以适应大量数据和多媒体信息的传输,既要满足目前的业务需求,又要充分考虑未来的发展。
为此应选用高带宽的先进技术。
(2)高可靠性
网络系统应具有高可靠性、高安全性,具体到本项目中,要求采用可靠性较高的产品和网络架构,在物理层、数据链路层和网络层等多个层次都有相应的技术,以最大程度的保证网络的正常运转。
(3)QoS保证
当今网络中多媒体的应用越来越多,这类应用对服务质量的要求较高,新的网络系统应能保证QoS,以支持这类应用。
(4)多协议支持
由于网络将要存在不同的业务和办公应用系统,并基于不同的网络协议,所以网络系统应能支持多种协议(IP、SNA、Netbios等),是一个开放型的网络,支持各种协议的互连。
(5)易管理、易维护
由于企业的网络系统规模庞大,需要网络系统具有良好的可管理性,网管系统具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。
同时应尽可能选取集成度高、模块可通用的产品,以便于管理和维护。
(6)安全性
网络系统应具有良好的安全性,要充分的保证网络的安全性,应该根据相应的管理制度和网络策略制定一套完善的安全政策,基于此安全政策,采用合适的技术手段,以达成目标,保证系统的安全性。
(7)可扩展性和可升级性
系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。
1.4.1企业对业务的需求情况
网络事支撑企业各种业务的基础设施。
所以在规划设计网络之前,应该清楚它的使用。
使他能够随着公司的发展而扩大,预计该企业在以后3-5年计划聘用的人数、业务规模或网络数据流量的预计增长情况来估计公司的增长率确定公司在可靠性和有效性方面的需求,包括网络故障带来的严重后果,当然网络修复的费用,网络的安全性,web站点和Internet连接性,远程访问等的实现都对于网络的规划有至关重要的地位。
经过我们对该企业的研究,预计企业在未来几年企业将进一步扩大,我们将预留一定的升级空间方便新用户的接入,其中包括网络设备支持升级其他应用设备的接入,全面实现计算机资源共享:
对于局域网中的各种资源,通过设置网络用户的共享权限,让他成为网络共享资源。
(如计算机硬盘、软驱、光驱、刻录机,各类软件和文本文件、打印机、扫描仪、调制解调器等I/O设备)当然随着网络设计过程的接入,我们的设计也许会有一定的调整。
1.4.2用户需求分析
对于一个企业网络而言用户的需求是基础,经营想到应用、计算机平台甚至网络。
用户需求主要包括可靠性、可用性、可升级性、安全性、及时性以及响应时间。
企业的用户群包括管理层,普通用户群的也用代表,在与用户群的适当的交流包括问卷调查,集中访谈,个人采访中我们发现,“快”是多数用户对网络响应的要求了,其中包括下载速度、连接速度等,我们将为核心设备提供冗余,以尽量保障系统的99.95%的可靠性,同时我们将根据企业的需求,为用户停工远程登录,文件传输服务,在年底企业统计全年信息时候会出现企业通讯高峰时间,我们的服务器将以满足高峰期通讯为基础选型的。
当然我们将提供防火墙等安全设备,保障用户信息,物理资源的性,网整性和确实性,提供一定的数据加密、自动备份、发生问题的恢复等。
当然也包括网络应提供的服务资源共享、办公自动化、远程控制、电子、www应用等。
1.4.3企业对网络的需求
对于一个企业网络而言用户的需求是基础,经营想到应用、计算机平台甚至网络。
用户需求主要包括可靠性、可用性、可升级性、安全性、及时性以及响应时间。
企业的用户群包括管理层,普通用户群的也用代表,在与用户群的适当的交流包括问卷调查,集中访谈,个人采访中我们发现,“快”是多数用户对网络响应的要求了,其中包括下载速度、连接速度等,我们将为核心设备提供冗余,以尽量保障系统的99.95%的可靠性,同时我们将根据企业的需求,为用户停工远程登录,文件传输服务,在年底企业统计全年信息时候会出现企业通讯高峰时间,我们的服务器将以满足高峰期通讯为基础选型的。
当然我们将提供防火墙等安全设备,保障用户信息,物理资源的性,网整性和确实性,提供一定的数据加密、自动备份、发生问题的恢复等。
当然也包括网络应提供的服务资源共享、办公自动化、远程控制、电子、www应用等。
第二章网络系统设计方案
2.1企业网分层架构设计
依据企业网的分层架构:
核心层、汇聚层、接入层,Internet接入、网络管理、接入控制、日志审计系统。
按照需求分层设计。
2.2网络搭建设备
选择CISCO及Juniper的设备及技术来组建企业网。
2.2.1核心层设计
作为全网数据和业务的核心,网络上所有业务的数据流都要经过核心交换机进行交换,因此它的安全性、可靠性和高性能对于全网数据和业务应用的正常开展至关重要。
我们采用的思科网络公司万兆核心路由交换机C3750G系列,基于新一代核心交换机的设计理念,在本项目中具备如下特色:
3750系列交换机是一个创新的产品系列,它结合业界领先的易用性和最高的冗余性,里程碑地提升了堆叠式交换机在局域网中的工作效率。
这个产品系列采用了最新的思科StackWise智能堆叠技术,不但实现高达32Gbps的堆叠互联,还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起,便于用户建立一个统一、高度灵活的交换系统--就好像是一整台交换机一样。
这代表了堆叠式交换机新的工业技术水平和标准。
3750系列最多可以将9个交换机堆叠在一起,构成一个统一的逻辑单元,其中总共包含468个以太网10/100端口或者252个以太网10/100/1000端口。
各个10/100和10/100/1000单元可以根据网络的需要任意组合。
3750系列可以使用标准多层软件镜像(SMI)或者增强多层软件镜像(EMI)。
SMI功能集包括先进的服务质量(QoS)、速率限制、访问控制列表(ACL)和基本的静态和路由信息协议(RIP)路由功能。
EMI可以提供一组更加丰富的企业级功能,包括先进的、基于硬件的IP单播和组播路由。
具体见附录B。
2.2.2汇聚层设计
汇聚层在骨干网络中起到承上启下的作用,应具备可靠性、高性能和多业务兼顾的特点。
可以作为企业以后拓展用,不过我们依然采用的思科网络公司万兆核心路由交换机C3750G系列,在本项目中具备如下特色:
(1)多协议支持
(2)支持服务质量(QOS)
(3)支持访问控制列表(ACL)
。
2.2.3接入层设计
在一个企业网络里,接入交换机具有数量多,部署分散的特点,且直接负责终端的接入,应具备可管理性强、端口控制能力强、性价比高的特点。
我们选用的思科C2960-24TC-L系列二层接入交换机,具备如下优势:
1、支持创新的堆叠技术-IRF,,使堆叠组完全可看作一个设备,使可管理性大幅度提高。
2、具有良好的端点控制能力,支持丰富的MAC、IP、端口的灵活绑定。
3、VLAN能力强,支持最高的4096个VLAN;
具体见附录B。
2.2.4Internet接入设计
对外访问区负责全网对INTERNET的访问,同时承载太重门户的对外发布和EMAIL系统。
虽然现在网络上80%的安全隐患都在网,但互联网出口的安全问题仍然是对企业网络最具威胁的区域,黑客入侵、企业数据外泄、新病毒的导入都几乎全部发生在这里,所以互联网接入设计中,安全设计仍然放在首位。
我们采用路由器+防火墙+入侵防御系统(IPS)的方式来构建对外访问区。
1)路由器:
路由器是连接外网的纽带,路由器的性能直接影响对于宝贵带宽的使用率,此外对于中小型企业网出口,由于部网络用户数量有一定的数量,路由器应该具备高性能的NAT转发能力。
我们采用思科的CISCO1841高性能路由器,部署在太重网络的互联网出口。
该设备在本项目中的技术优势如下:
(1)高性能:
具备4.5Mpps的包转发性能,满足未来三条千兆线路(千兆链路线速转发理论值1.488Mpps)的全线速转发。
(2)强大的NAT能力:
CISCO1841设备具备并发NAT连接的能力,且支持丰富的NAT特性,提供NAT日志的输出,可配合日志审计系统,做到对于对外访问的纪录和跟踪。
(3)深度业务感知:
CISCO1841路由器具备思科专利特色的深度业务感知功能,可以根据流量的协议类型对其加以识别、分类、限制或阻断。
可将常规应用协议流量限制,BT等带宽滥用流量或其他非常规流量由IPS进行限制。
2)防火墙:
使用原有Juniper防火墙,划分DMZ(非军事区域)区域,通过原有华为5000千兆交换机,连接门户服务器及EMAIL服务器等。
配置策略偏重安全区划分,安全抵御由入侵防御系统着重完成。
3)入侵防御系统:
配置TippingPointX505,具备100M吞吐量,满足当前接入带宽。
重点配置对于黑客入侵、蠕虫病毒、木马程序的防。
2.3网络管理、接入控制、日志审计系统
1)CiscoWorksLMS网络管理软件
CiscoWorks是思科公司推出的网络管理产品,LMS(LANManagementSolution)是定位于局域网的网络管理产品,它可以对LAN环境中的设备进行维护、监测、排错,也可以让网络管理员通过自己的网络浏览器有效的管理整个网络及其设备。
它采用了基于Web的客户端/服务器模式,也可以与其它厂商的网络管理工具集成使用。
思科公司的网管产品是按照不同的使用环境分类的。
比如,我们介绍的LMS是在局域网环境中使用的;在广域网环境中使用的是RWAN(CiscoWorksRoutedWANManagement),它主要适应广域网中对响应时间和访问控制的管理需要;在IP语音环境中是ITEM(IPTelephonyEnvironmentMonitor),它主要适用于管理传输IP语音流量网络;在VPN环境中是VMS(VPN/SecurityManagementSolution),它用于管理和监测VPN及其安全措施。
CiscoWorksLMS包括一组应用程序和工具对局域网进行配置、监测和排错。
这些工具包括错误管理,网络拓扑的察看,设备配置的管理,二层/三层路由分析,语音路由追踪,流量监测,端站点的流量追踪,设备的排错等等。
2)接入认证系统
思科®安全访问控制服务器为思科智能信息网络提供基于身份的全面的访问控制解决方案。
它是用于管理企业网络用户、管理员和网络基础设施资源的集成和控制层。
思科®安全访问控制服务器为思科智能信息网络提供基于身份的全面的访问控制解决方案。
它是用于管理企业网络用户、管理员和网络基础设施资源的集成和控制层。
SecureCisco®ACS(ACS)是具高可扩展性的高性能访问控制服务器,可作为集中的RADIUS和TACACS+服务器运行。
CiscoSecureACS将验证、用户访问和管理员访问与策略控制结合在一个集中的身份识别网络解决方案中,因此提高了灵活性、移动性、安全性和用户生产率,从而进一步增强了访问安全性。
它针对所有用户执行统一安全策略,不受用户网络访问方式的影响。
它减轻了与扩展用户和网络管理员访问权限相关的管理负担。
通过对所有用户帐户使用一个集中数据库,CiscoSecureACS可集中控制所有的用户权限并将他们分配到网络中的几百甚至几千个接入点。
对于记帐服务,CiscoSecureACS针对网络用户的行为提供具体的报告和监控功能,并记录整个网络上每次的访问连接和设备配置变化。
这个特性对于企业遵守SarbanesOxley法规尤其重要。
CiscoSecureACS支持广泛的访问连接,包括有线和无线局域网、宽带、容、存储、IP上的语音(VoIP)、防火墙和VPN等。
CiscoSecureACS是思科基于身份的网络服务(IBNS)架构的重要组件。
CiscoIBNS基于802.1x(用于基于端口的网络访问控制的IEEE标准)和可扩展验证协议(EAP)等端口安全标准,并将安全验证、授权和记帐(AAA)从网络外围扩展到了LAN中的每个连接点。
您可在这个全新架构中部署新的策略控制工具(如每个用户的配额、VLAN分配和访问控制列表[ACL]),这是因为思科交换机和无线接入点的扩展功能可用于在RADIUS协议上查询CiscoSecureACS。
3)CS-MARS日志审计系统
思科®安全监控分析和响应系统(MARS)是一个高性能、可扩展的威胁管理、监控和防御设备系列,将传统安全事件监控与网络智能、上下文关联、因素分析
异常流量检测、热点识别和自动防御功能相结合,可帮助客户更为高效地使用
络和安全设备。
通过结合这些功能,思科安全MARS可帮助公司准确识别和消除
网络攻击,且保持网络的安全策略符合性。
第三章网络技术设计分析
3.1网络IP地址规划
1)IP地址合理规划的意义
在企业网网络规划中,IP地址方案的设计至关重要,好的IP地址方案不仅可以减少网络负荷,还能为以后的网络扩展打下良好的基础。
IP地址的合理是保证网络顺利运行和网络资源有效利用的关键。
企业网IP地址的分配应该尽可能地利用申请到的地址空间,充分考虑到地址空间的合理使用,保证实现最佳的网络地址分配及业务流量的均匀分布。
具体地来说IP地址的合理规划有如下的意义:
减少对各种资源(存、CPU的处理能力以及网络带宽等)的需求——IP地址的合理规划有利于网络中路由的汇聚,因而可以使得核心交换机中的路由表数目以及链路状态数据库等占用的存减少,同时更新所占用的网络带宽也降低了;
有利于IP地址空间的合理使用;
优化业务流量的分布;
有利于故障诊断。
IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系,将对校园网的可用性、可靠性与有效性产生显著影响,应充分考虑本地网对IP地址的需求,以满足未来业务发展对IP地址的需求。
2)IP地址规划
根据国际互联网络技术发展的趋势,结合当今企业的现实情况,我们建议IP地址规划遵循如下原则来设计:
网络出口、对外服务器群采用电信/cernet公网IP地址;
企业网采用先地区后业务划分方法进行IP地址分配。
地区位(8位).业务功能位(8位).子网位主机位
资源中心公共服务器尽量采用合法IP地址;
企业网所有网络设备均配置部管理IP地址,防止非法用户登录。
各接入点根据现有信息点数,并预留30-40%的扩容率,分配连续IP地址段;
各核心节点下联各接入点分配连续IP地址段,统一在核心节点提供IP路由,并做路由聚合。
各核心节点部根据用户群体地理位置划分VLAN,并将VLAN网关IP设置在各核心节点交换机上。
3.2企业网络技术分类
在企业园区中使用的最多也是最广泛的技术就是交换技术,交换技术的成熟带动着这个网络的发展。
而企业网是基于这个交换架构的网络,因此在交换式的网络中有众多技术VLAN,VTP,TRUNK,三层交换,STP,HSRP/VRRP,ETHERCHANNEL、DHCP,MultiPPP等。
下面将分别介绍这些技术的应用:
1)VLAN技术
(VirtualLocalAreaNetwork)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。
一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。
从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:
(1)基于端口的VLAN划分这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。
该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
(2)基于MAC地址的VLAN划分MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。
MAC地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标识。
网络管理员可按MAC地址把一些站点划分为一个逻辑子网。
(3)基于路由协议的V
升级会员 