实践规划报告第6组.docx
《实践规划报告第6组.docx》由会员分享,可在线阅读,更多相关《实践规划报告第6组.docx(9页珍藏版)》请在冰豆网上搜索。
实践规划报告第6组
综合组网规划报告
——网络系统实践(第八周即课程考核)
指导教师高璟
班级信安08-3班
组号第6组
成员顾洋杰、刘春亮、何丹、赖江琴
目录
一、概述--------------------------------------------1
1、企业概括------------------------------------------1
2、网络需求分析-------------------------------------------1
二、网络总体系统规划-------------------------------2
1、设计的整体策略-----------------------------------------2
2、网络拓扑结构-------------------------------------------3
三、规划描述-----------------------------------4
1、子网的规划---------------------------------------------4
1.1子网及IP地址的规划-------------------------------4
1.2路由设计------------------------------------------5
2、VLAN的划分---------------------------------------------5
3、路由协议------------------------------------------------6
4、广域网接入----------------------------------------------7
4.1NAT------------------------------------------------7
4.2ACL------------------------------------------------8
4.3防火墙---------------------------------------------8
四、设备选取-----------------------------------------8
1、接入层交换机选取-----------------------------------------8
2、汇聚层选取-----------------------------------------------8
3、核心层交换机选取-----------------------------------------9
4、路由器---------------------------------------------------9
5、防火墙选取-----------------------------------------------9
五、小结------------------------------------------10
综合组网规划实践报告
一、概述
1、企业概括
集团公司共六个分公司,其中四个在集团工业园内各个建筑物内,总部为工业园内30层的主楼,第一分公司与主楼相距50米,第二分公司与主楼相距50米,第三分公司与主楼相距5公里,第四分公司与主楼相距8公里,另外两个分公司在另外的两个城市有各自的办公楼。
各公司及总部都有自己的计算机室,财务部,行政部,生产部,研发部,后勤部,业务部及人力资源部。
2、网络需求分析
企业网络因特网建设投入要有所考虑,要求区域网分离,降低各个子公司间的网络关联度,实现统一标准,统一管理。
结合企业具体的情况分析,总部要能够和各个分公司间进行通信,而分公司间由于要降低关联度,需要划分各自的局域网。
为了使网络能够方便管理,需要为集团设置统一的IP段。
同时,网络也要满足一定的安全性,可扩展性,实用性,经济性。
二、网络总体系统规划
1、设计的整体策略
1)第一,第二分公司与总部距离为五十米,距总部距离很近。
在这种情况下,分公司和总部之间的距离短,通信速度快。
但是鉴于总部的信息处理量大,我们不能将分公司直接与总部相连。
因此我们要给每一个分公司建立一个独立的子网,并将划分后的子网通过接入层的交换机和路由接入到核心层交换机上。
各个分公司的部门间分别由交换机划分成独立的隔离开来的VLAN,分公司内所有的VLan又构建成一个子网,并通过路由功能与总部交换机进行通信。
2)第三、第四分公司与总部距离分别为5公里、8公里,我们使用双绞线网络实现各分公司核心层交换机与总部中心交换机的连接。
此外,其他的设计与情况
(1)相同。
3)第五、第六分公司在别的城市,如使用物理设备使其相连,成本必然巨大,我们采用VPN技术进行连接。
即利用虚拟专用网(VPN)通过一个公用网络(通常是因特网)建立一个临时的、安全的连接。
这是一条穿过混乱的公用网络的安全、稳定的隧道。
虚拟专用网是对企业内部网的扩展。
当移动用户或远程用户通过拨号方式远程访问公司或企业内部专用网络的时候,采用传统的远程访问方式不但通讯费用比较高,而且在与内部专用网络中的计算机进行数据传输时,也能保证通信的安全性。
为了实现城域间的通信,并降低费用问题,通过拨号与企业内部专用网络建立VPN连接是一个较为理想的选择。
2、网络拓扑结构
根据该企业网络的特点,我们选择了星型网络拓扑结构。
我们将企业网内部数据交换模块的部署设计成分层的。
整体上为三层设计模型,分别为接入层、汇聚层、核心层。
图1总体拓扑结构
注:
第五第六分公司在别的城市,使用VPN技术通过因特网接入总部,图中未画出。
同时为简化作图,本拓扑图各分公司只画出了核心层交换机与总部中心交换机相连,其部门之间的网络拓扑连接同图中总部内部各部门的网络拓扑连接。
三、规划描述
1、子网的规划
每个分公司内部使用统一的IP地址段,从而建立一个局部网络,作为整个网络中的中的一个子网。
这样,子网之间相互隔离不能进行通信,即实现部门间的相互隔离。
同时,集团内分公司中使用统一的IP地址段,这样也为方便路由和管理。
提高通信效率,减少网络冲突的产生。
为整个网络的安全性和健壮性提供了可靠的基础保障。
1.1子网及IP地址划分
首先从接入层考虑,估量每个部门中的计算机数量。
在考虑网络的扩展性和实际需求的基础上,我们设定每个部门的计算20台,则,我们将IP地址的最后5位用作主机地址,即00000000.00000000.00011111。
其中去掉一个0.0.0.0和一个广播地址,一共还剩30个地址。
因此,每个部门可接入20台计算机,满足了实际需求,并且考虑了其扩展性。
其二,汇聚层中每个分公司有计算机室,财务部,行政部,生产部,研发部,后勤部,业务部及人力资源部八个部门,恰好IP地址的后8位,还剩下3位,可以用作部门间的子网号。
即八个部门的子网掩码都设计为255.255.255.224,对应的子网段分别为:
255.255.255.0、255.255.255.32、255.255.255.64、255.255.255.96、255.255.255.128、255.255.255.160、255.255.255.192、255.255.255.224。
其三,在核心层上我们需要提供六个分公司和一个总部之间的通信。
我们需要划分出至少七个IP网段。
因此,我们将IP地址的第三个8位地址后3位用作分公司及总部之间的网段选择。
因此,我们设计整个企业网络的IP的子网掩码为255.255.248.0,即11111111.11111111.11111000.00000000。
企业总部与分公司间的路由IP子网掩码为255.255.255.0,七个IP子网的路由分别为:
255.255.248.0、255.255.249.0、255.255.250.0、255.255.251.0、255.255.252.0、255.255.253.0、255.255.254.0。
1.2路由设计
通过上文对集团企业网子网及IP地址划分的需求分析,我们构建了具体的路由表。
设整个企业的IP地址范围:
219.219.248.0~219.219.254.255。
其具体的路由设计如下表如此。
表1-核心层路由
目的部门
目的地址
子网掩码
下一跳
总部
219.219.248.0~219.219.248.255
255.255.248.0
219.219.248.0
分公司1
219.219.249.0~219.219.249.255
255.255.248.0
255.255.249.0
分公司2
219.219.250.0~219.219.250.255
255.255.248.0
255.255.250.0
分公司3
219.219.251.0~219.219.251.255
255.255.248.0
255.255.251.0
分公司4
219.219.252.0~219.219.252.255
255.255.248.0
255.255.252.0
分公司5
219.219.253.0~219.219.253.255
255.255.248.0
255.255.253.0
分公司6
219.219.254.0~219.219.254.255
255.255.248.0
255.255.254.0
表2-汇聚层的路由表项(以分公司1为例):
目的部门
目的地址
子网掩码
下一跳
计算机室1
219.219.249.1~219.219.249.30
255.255.255.224
219.219.249.0
财务部2
219.219.249.33~219.219.249.62
255.255.255.224
219.219.249.32
行政部3
219.219.249.65~219.219.249.94
255.255.255.224
219.219.249.64
生产部4
219.219.249.97~219.219.249.126
255.255.255.224
219.219.249.96
研发部5
219.219.249.129~219.219.249.158
255.255.255.224
219.219.249.128
后勤部6
219.219.249.161~219.219.249.190
255.255.255.224
219.219.249.160
业务部7
219.219.249.193~219.219.249.222
255.255.255.224
219.219.249.192
人力资源8
219.219.249.225~219.219.249.224
255.255.255.224
219.219.249.224
2、VLAN的划分
分公司内部局域网普遍存在着很多安全漏洞。
比如:
普通办公PC可以浏览到关键业务用机(如财务);普通用户可以进入重要的数据服务器系统;外来人员用便携式电脑;连入公司网络对服务器进行攻击或数据进行窃取等。
为了弥补这些漏洞,我们在各个子网内部进行VLAN(虚拟局域网)的划分,以确保关键业务部门的安全。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域,这样即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
首先,我们将各个业务部门进行划分虚拟子网,从而整个子网间被有效的隔离开来。
同一个部门的所有计算机与交换机相连的端口都划分为一个VLAN。
具体实现如下:
将各个部门分别按序号划分为VLAN1,VLAN2,VLAN3,VLAN4,VLAN5,VLAN6,VLAN7,VLAN8,通过交换机的VLAN划分,或者跨交换机的VLAN划分,使得各部门间逻辑上相互隔离开来,互相独立。
并且我们还可以通过ACL(访问控制列表),设置各部门间的访问权限。
例如,设置财务部VLAN2只能被行政部门VLAN3访问,而不能被其他各部门访问。
在我们的规划设计中,由于使用到了三层交换机,因此我们还可以实现有关部分的安全机制。
当各个部门之间需要互相访问,使用ACL(访问控制列表的限制)配置具体的VLAN间的访问权限。
根据事先确定的安全策略建立相应的访问列表,就可以对数据包、路由信息包进行拦截与控制,可以根据源/目的地址、协议类型、TCP端口号进行控制,从而有效地保证了核心业务的安全。
此外我们还可以实现不同VLAN间的单向或双向通讯。
在该企业中以第一分公司为例,行政部可以访问除财务部外所有的部门,财务部则被设置成不能被其他任何部门访问。
3、路由协议
生成树协议(SpanningTree)定义在IEEE802.1D中,是一种链路管理协议,它为网络提供路径冗余同时防止产生环路。
为使以太网更好地工作,两个工作站之间只能有一条活动路径。
网络环路的发生有多种原因,最常见的一种是有意生成的冗余-万一一个链路或交换机失败,会有另一个链路或交换机替代。
STP允许网桥之间相互通信以发现网络物理环路。
该协议定义了一种算法,网桥能够使用它创建无环路(loop-free)的逻辑拓朴结构。
换句话说,STP创建了一个由无环路树叶和树枝构成的树结构,其跨越了整个第二层网络,使网络在有冗余链路的情况下避免环路的产生,避免广播风暴等。
该企业网络设计中,我们使用的三层交换机位于整个局域网的核心部分。
企业上网的流量、VLAN间的流量、VPN产生的流量全部都要经过核心三层交换机进行转发,所以核心交换机的速度与稳定性非常重要。
冗余链路是提高网络系统可用性的重要方法。
这里我们采用链路聚合技术来实现。
链路聚合技术亦称主干技术(Trunking)或捆绑技术(Bonding),其实质是将两台设备间的数条物理链路“组合”成逻辑上的一条数据通路,称为一条聚合链路,简单地说就是把多个端口绑定成一个虚拟端口。
采用链路聚合可以提高数据链路的带宽,捆绑起来的链路的带宽相当于物理链路带宽之和。
链路聚合中,成员互相动态备份,当某一链路中断时,其它成员能够迅速接替其工作,这样就很好的保障了整个网络的稳定性。
4、广域网接入
在总部与两个城市的分公司之间通信时,我们用到虚拟专用网(VPN)技术,实现建立一个临时的、安全的连接。
这样能够从经济上降低很大一笔费用,但是在安全机制上,我们需要予以特别地重视,并且采用一定的安全技术。
4.1NAT(网络地址转换)
地址转换最初主要用来解决是IP地址短缺的问题,后来地址转换技术有了更多的用途,逐渐显示出它的优势。
地址转换设备提供几乎无限的地址空间并隐藏内部网络寻址方案。
在我们的网络规划设计中,我们用到的NAT技进行IP地址转换有两个好处。
1、隐藏内部网络真正的IP地址,这可以使黑客无法直接攻击企业内部网络,因为它不知道内部网络的IP地址及网络拓扑结构,保障了安全;2、可以让内部网络使用自己定义的网络地址方案,而不必考虑与外界地址冲突的情况。
在具体的NAT实现过程中,我们需要通过NAT将内部网络与外部Internet隔离开,使外部用户根本不知道通过NAT设置的内部IP地址。
首先要配置静态NAT映射,首先要定义静态映射一一匹配;然后,定义内部接口和外部接口。
其中要注意,不要把inside和outside应用的接口弄错。
此外要加上能使数据包向外转发的路由,比如默认路由。
尽量不要用广域网接口地址作为映射的全局地址。
4.2ACL(访问控制列表)
路由器是外网进入企业网内网的第一道关卡,是网络防御的前沿阵地。
路由器上的访问控制列表(AccessControlList,ACL)是保护内网安全的有效手段。
一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件功能。
故我们在路由器上配置的ACL要实现以下五个功能:
1、对外屏蔽简单网管协议,即SNMP。
防止企业网内部网络设备被监视或控制。
2、对外屏蔽远程登录协议telnet。
3、对外屏蔽其它不安全的协议或服务。
4、针对DoS攻击的设计。
5、保护路由器自身安全。
4.3防火墙
防火墙是内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是网络安全必不可少的一部分。
在设计上,我们使用功能强大,稳定性强的防火墙设备保护内部网免受非法用户的侵入
四、设备选取:
1、接入层交换机选取
为所有的终端用户提供一个接入点,方便跨交换机的VLAN划分,优化网络性能,简化网络拓扑结构。
采用的CiscoCatalyst295024口交换机。
因为接入层交换机必须配置trunk口,所以802.1Q必须使用,又要求性能必须稳定,所以对本项目而言Cisco2950-24交换机是性价比最好的交换机。
2、汇聚层交换机选取
汇聚层除了负责将访问层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能。
这里的汇聚层交换机采用的是CiscoCatalyst3550交换机。
作为3层交换机,CiscoCatalyst3550交换机拥有24个10/100Mbps自适应快速以太网端口,同时还有2个1000Mbps的GBIC端口供上连使用,运行的是Cisco的IntegratedIOS操作系统。
3、核心层交换机选取
在本企业网络的设计中,对核心交换机的要求比较高,基于本网络的规模、用户当前的应用、当前网络技术、网络技术及应用的发展趋势,我们对用户中心交换机的性能要求作出如下归纳:
中心交换机必须具备足够的端口,且应能够实现多种网络带宽及介质的连接能力;必须具备划分VLAN的功能和三层交换能力,而且要有扩展访问控制列表功能,以保证部门间安全访问;中心交换机应具备足够的千兆扩展能力,以便能对网络主干联接及中心交换机与重要服务器的联接能使用千兆以太网。
基于上述对本网络中心交换机性能要求的认识,我们推荐CiscoCatalyst3750或者同等档次具有同等功能的交换机作为该网络的中心交换机。
CiscoCatalyst3750系列智能以太网交换机是一种新型的企业级可堆叠多层交换机,可提供高可用性、可扩展性、安全性和可改进网络运营的管理能力。
凭借一系列快速以太网和千兆位以太网配置,Catalyst3750系列可作为中型企业布线室的强大访问层交换机和中型网络的骨干网交换机。
4、路由器
对于路由器的品牌,我们推荐国际知名厂商CISCO,或者为求便宜可以使用联想的路由器。
而华为的路由器功能上不及CISCO,但是现在价位上已经追上CISCO了。
在CISCO的产品中有很多不同的型号,在该方案中,我们采用CISCO2600系列路由器。
Cisco2600系列是一款屡获大奖的模块化多服务接入路由器系列,具有灵活的LAN和WAN配置、多个安全性选项、语音/数据集成和一系列高性能处理器。
这些特性使Cisco2600系列成为可满足当今及未来客户要求的理想企业路由器。
5、防火墙选取
因为该企业的网络设计使用到的IPSECVPN技术是在防火墙上实现的,所以在防火墙的选择上一定要具备IPSECVPN功能。
除此以外,防火墙的安全保护能力一定要强大,吞吐量要够,而且必须具有很强的稳定性,以保障日常工作顺利进行。
基于以上理由,我们推荐CiscoPIX515E防火墙。
五、小结
通过本次网络系统综合组网的规划的实践,我们掌握了基本的网络设备的配置方法及其功能。
在实践中能从网络需求上设计组网的整体策略,从而构建出网络的整体框架及网络拓扑结构。
通过对组网中具体的通信需求,我们对组网中核心层、汇聚层、接入层做了具体的需求分析,并对相应的网络设备做了适当的性价比估量,从而选择满足需求且经济的网络设备。
在具体的网络配置与实施中,我们根据网络需求分析,制定合理的规划,通过划分子网及各网段间的连接配置,以实现因特网的低投入和区域网的分离,从而降低各个子公司的网络关联度,达到统一标准,统一管理的目的。
根据该集团企业网络的需求,本着安全性,实用性,可扩展性等原则,我们为其规划了其企业局域网。
我们以因特网投入与区域网分离,降低个子公司的网络关联度以及统一标准,统一管理的设计策略,使该局域网具有以下特点使其满足了该集团企业网络的需求。
升级会员 