企业网络建设方案.docx
《企业网络建设方案.docx》由会员分享,可在线阅读,更多相关《企业网络建设方案.docx(18页珍藏版)》请在冰豆网上搜索。
企业网络建设方案
第1章计算机网络发展趋势
当前,全球的电信网、因特网、企业网都正处在一个发展的的关键阶段.人们面临网络建设方向的选择、QoS、安全性和可信任性、可运营性等一系列关键技术问题的解决。
下一代IP网概念的提出和第五代路由器产品的开发,都将非常有意义。
一、现状及发展:
进入十字路口
电信网发展进入十字路口:
从目前电信网的发展看,第一,TDM技术已经不是未来的发展方向。
TDM设备虽然还在生产,但全世界的TDM研发已经全面停止了。
第二,由于ATM的许多标准并未得到验证,也不是未来的发展方向。
第三,现在的IP网是基于传统的因特网理念,以用户自律为基础,自由发展,缺少管理,是一个非盈利的商业模型。
因此,传统的因特网不能成为未来电信网的发展方向。
企业网建设进入十字路口:
在企业网业务已经全面IP化之后,由于传统IP网的安全与服务质量难以得到保证,使目前的企业网建设中IP数据网、视频网、语音网分别建设,大大增加了建网与管理成本。
建设一个能承载综合业务、具有高服务质量保证并兼具可管理可控制可信任特点的IP网络成为迫切的需求。
二、关键技术问题
IP网的服务质量问题:
随着网络设备技术上的快速发展、路由器性能的极大提高、以及DWDM的大量商用,传输成本大为降低。
而Internet上的业务发展相对较慢,从而使得网络处于相对轻载状态,可以在Internet上开展丰富的数据、语音、视频等综合业务,开展电话通信等等。
然而目前面临如何调配这些丰富网络资源以满足不同业务对网络资源的需求,进而满足不同业务的不同服务。
三、质量要求的难题
服务质量是从业务层面来衡量的。
要真正解决服务质量问题,不是只在网络层采取技术措施可以解决的,而是从应用层到网络层多层联合起来考虑才有望解决。
IP网是一个不面向连接的网,因而任何面向连接的技术措施,都是违背IP网的设计初衷的.要解决IP网业务的服务质量问题,最理想的方法是仍采用不面向连接的“分类服务"技术来解决,将IP网中的业务分为几类,对每一类业务分配合适的网络资源,以保证该类业务必需的服务质量。
四、第五代路由器
Internet网络从产生到现在,路由器在短短的几十年时间里就经历了五代的技术革新.随着Internet上各种新业务的迅速发展,Internet已经转变为具有商业价值的承载网,它必须为所承载的每一类业务提供所需要的服务质量保证和维护管理,因此业界提出了“基于网络处理器的分布式硬件转发"的第五代路由器。
我们可以发现第五代路由器是综合了以往四代的技术优势发展起来的.
五、IP网的发展趋势
下一代IP网络将采用IP网的核心技术(分组交换、不面向连接),结合电信网的设计理念,建立一个更大、更快、更安全、可信任、为用户提供灵活业务的可管理网络,为营运商提供一个可以达到电信网服务质量保证的IP网,建立可赢利的商业模型.
第五代路由器将在下一代IP网的发展中发挥很好的作用。
由于第五代路由器采用了有智能的网络处理器(NP),可以灵活地加进去很多功能,诸如对用户的管理、对安全的管理等等。
采用第五代路由器还可以提供严格的管理,能够把不同的业务、用户严格隔离,为IP网提供极高的安全保障。
第2章企业网络需求分析
例如以某企业为例,现有在职员工3150人.企业的要求如下:
一、建设双核心的高可靠性网络,核心交换互为备份。
为充分发挥设备的性能,要求两台核心交换承担不同用户数据负载.为满足发展的需要,要求建设10G骨干的企业网.网络应具有良好的可运行性、可管理性,能够满足未来业务发展和新技术的应用。
二、为满足访问互联网的需要,计划连接通过网通电信两个ISP访问互联网,为提高访问互联网的速度充分利用出口带宽资源,要求正常情况下不同用户使用不同ISP出口访问访问互联网。
但两个出口任意一个故障时不能间断互联网访问。
三、由于网络规模较大,应实现IP地址的自动分配.设计时应充分考虑DHCP服务器的性能和安全性,防止私设DHCP服务器、假冒IP地址欺骗等恶意攻击.为适应信息化社会对企业经营、生产、管理等方面的要求。
需要对企业的整个网络进行一个全面的建设设计。
2。
1一般建网需求
企业网络的建设应当充分考虑到企业内部的网络多业务以及特色业务等扩展性,如:
企业内部的服务器的访问,由于企业员工的访问的内容多样化决定,涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。
此处主要分析本企业网络基础设施建设和网络运营方面相关的内容.本企业网络建设从网络流量模型上看,用户集中而网络流量大,但实际应用上还存在许多和企业网不同的地方。
主要特点如下:
一、多出口的需求
根据要求组网有网通电信两个ISP访问互联网网络出口。
多出口带来了以下两个需求:
多权限ISP需求.用户可通过不同的账号名或采用相同的账号,不同的域名认证,获得不同的上网权限。
譬如做到用户不认证前能自由访问校园内部分服务器,采用“user@163”登录,可实现Internet和校园网络自由访问,采用“user@crenet”登录,可访问CERNET和企业网。
用户域名选择可通过WEB认证时用户通过选择WEB认证上的相应选择项进行选择。
多ISP分别计费的需求,对应不同的ISP,计费策略不一致.考虑到用户的以上的需求,需要在学校的内部提供不同的路由策略,即用户访问教育网的相关站点,通过CERNET的线路,而访问其他的网站如:
新浪网、263等网站则选择运营商的线路作为出口路由,这要求核心的交换机或出口路由器能够提供策略路由以支持该特性。
二、用户管理的需求
使用方便,存在WEB认证需求。
要求能做到基于WEB的身份认证、多ISP选择、W用户费率查询、带宽动态调整(隐性需求)、多WEB界面(隐性需求)等。
需要解决账号和端口绑定问题。
通过此种方式限制账号的使用区域。
能够实现全网的安全管理,包括:
IP、MAC的盗用问题、防止接入用户的非法DHCPServer、Proxy等用户.
对于用户的上网行为能够实现实时的跟踪以及时候的追查.对用户带宽进行控制的需求,要求设备能对用户的带宽进行控制,譬如限制为64K、256K、512K、1M、2M、5M、10M等等级。
三、安全管理的需求
企业用户接受新鲜事务的能力非常强,因此校园也成为黑客最多的场所之一,如何保障企业网络的安全成为建网时不得不考虑的问题,目前主要攻击手段有DOS,DDOS等.上网日志的需求,主要是配合公安机关保证社会的稳定和企业的安全。
2。
2网络应用分析
一、信息共享
对于一个企业来说,建设网络体系结构就是为了使信息资源能够达到共享,使局域网内的所有信息让每一个领导和员工都能看到,并且能够给企业里的每一个都带来方便。
二、办公自动化
办公自动化的实现还需要靠一些软件,有了这些软件就可以很轻松地实现办公自动化,这样也可以减少各个工作人员的工作量,提高工作效率,改变工作量太大,任务太重很难完成的状况。
三、Intranet技术应用
对于局域网的实现,我们采用TCP/IP协议。
小网络的实现并不是太难,不过小网络也能帮住我们做很多的事情,因此我们必须实现Intranet局域网技术的应用。
四、Internet技术应用
因为企业间的相互来往以及了解其它企业的需求我们必须进入Internet,来达到相互交流的目的,通过接入Internet来对外现实资源共享,以达到互相学习、共同进步、共同成长。
2.3主干和信息点需求及分布
由给出的资料可知各个楼的信息点数以及总的信息点数如下,表2。
1所示。
表2.1信息节点
建筑
信息点
总部大厦
133
投资公司
67
销售中心
117
研究院
212
商务中心
235
物流中心
147
家属楼
126
文化活动中心
97
生产分厂1#
111
生产分厂2#
241
生产分厂3#
135
生产分厂4#
98
职工宿舍1#
196
职工宿舍2#
196
职工宿舍3#
196
职工宿舍4#
196
总数
2503
2.4网络安全解决方案
网络安全的解决对于网络管理员来说是很重要的.在此,提出两条建议:
一、三分靠技术,七分靠管理。
二、没有绝对的安全,只有相对的安全。
2。
5网络流量分析
一、主干网速:
1000Mbps
光纤接入到光电转换器,通过核心网管交换机
二、桌面网速:
100Mbps
三、出口网速:
100Mbps
网线真接连接到用户电脑网卡上
第3章企业网的设计原则
计算机网络的主体并不是网络线缆、网络设备等本身,而是建立在这些硬件体系上的,为广大员工、科研人员提供一个在网络环境下进行科研工作的先进平台。
企业网覆盖整个企业区,在网络性能上应该考虑以下几个要求:
一、实用性:
遵循面向应用,注重实效,急用先上,逐步完善的原则;
二、先进性:
采用先进成熟的网络概念、技术、方法与设备,反映当今先进水平,又给未来的发展留有余地;
三、可靠性:
系统必须可靠运行,主要的、关键的设备应有冗余,一旦系统某些部分出现故障,应能很快恢复工作,并且不能造成任何损失;
四、开放性:
选择的产品应具有好的互操作性和可移植性,并符合相关的国际标准和工业标准;
五、可扩充性:
系统是一个逐步发展的应用环境,在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能,这种扩充不仅能充分保护原有资源,而且具有较高的性能价格比;
六、可维护性:
系统具有良好的网络管理、网络监控、故障分析和处理能力,使系统具有极高的可维护性;
七、安全性:
必须具有高度的保密机制,灵活方便的权限设定和控制机制,以使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露。
一个系统的建设在实用的前提下,应当在投资保护及长远性方面做适当考虑,在技术上、系统能力上要保持五年左右的先进性.并且从用户的利益出发,一个好的系统应当给用户一定的自由度,而不是束缚住他们的手脚,从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。
根据用户的总体需求,结合对应用系统的考虑,我们提出网络系统的设计目标:
技术选型、体系结构、带宽容量、流量设计、互操作性、运行性能以及可扩展性。
第4章企业的网整体设计总述
4.1网络的拓朴结构设计
根据给出的信息点数,确定网络属于大型网络,所以采用的核心-汇聚-接入三层结构。
网络拓扑结构图如图4-1所示.
图4—1网络拓扑结构图
4.2方案的描述
通过分析本方案属于大型网络,在通过对性价比分析,我们选用H3C公司产品,列出下表,如表4—1所示。
核心层
汇聚层
接入层
路由器
防火墙
H3CS9500
H3CS5500EI
H3CS3100
H3CSR6602
H3CF1000—EH3C100F—AC
表4—1所需产品
4.3VLAN及IP地址的规划
IP地址分配是网络规划设计中的要点之一。
要充分考虑路由表的大小和拓扑结构变化后相应信息所必须传输的距离.缓解上述指标的有效方法是聚合。
“是否便于聚合"是地址分配的一个基本原则,但会造成地址的浪费。
故应该考虑使用尽可能大的地址空间,留下空间以供将来扩展。
共享服务器的公网IP地址,提供的共享接入内网IP地址空间.
在员工用机房接入层之上,中心交换机之下,又使用了一层共享服务器,分别控制实验楼二层和四层的机房办公室.可灵活地控制计算机实验机房的互联网开通与否,方便使用、管理与控制。
通过对公司需求的分析,对VLAN的规划和IP的分布做出如下表格4—2所示。
表4-2VLAN的规划和IP的分布
建筑
机器数量
IP范围
GW
VLAN
总部大厦
133
192.168.1。
2-192.168。
1.254
192.168。
1。
1
1
投资公司
67
192。
168.2。
2-192.168。
2。
254
192.168.2.1
2
销售中心
117
192。
168.3.2-192。
168.3。
254
192.168.3。
1
3
研究院
212
192。
168.4。
2-192.168。
4.254
192。
168。
4。
1
4
商务中心
235
192.168。
5。
2-192。
168.5。
254
192。
168。
5。
1
5
物流中心
147
192。
168。
6.2—192.168.6.254
192。
168。
6。
1
6
家属楼1#
126
192.168。
7。
2-192.168。
7.254
192。
168。
7.1
7
文化活动中心
97
192.168.8.2-192.168。
8。
254
192.168。
8。
1
8
生产分厂1#
111
192。
168.9。
2-192.168.9。
254
192。
168.9.1
9
生产分厂2#
241
192.168。
10.2—192.168.10.254
192.168。
10。
1
10
生产分厂3#
135
192。
168.11.2—192。
168。
11。
254
192。
168.11。
1
11
生产分厂4#
98
192.168。
12。
2-192.168。
12。
254
192.168。
12。
1
12
职工宿舍1#
196
192.168.13。
2—192.168.13。
254
192。
168。
13。
1
13
职工宿舍2#
196
192.168.14.2—192.168。
14.254
192.168。
14.1
14
职工宿舍3#
196
192.168。
15。
2—192.168.15.254
192.168.15.1
15
职工宿舍4#
196
192。
168.16。
2-192.168.16.254
192.168.16.1
16
4。
4Internet的接入
本设计的Internet接入才用了光纤的连接,其主要特点是可以实现稳定流畅的网络,在线路两端加装光电转换设备即可为用户提供高速宽带服务。
光纤的另外一个优点在于它可以传输更远的距离.
光纤的安装包括局端线路调整和用户端设备安装。
在局端方面,由服务商将光纤接入终端端设备。
用户端的安装也非常简易方便,只要将光纤线连到光电转换器,最后是链接在计算机的网卡上即可完成硬件安装。
其中也会用到DHCP服务器和多台网管交换机。
4。
5服务器的选择
服务器根据应用对象不同,又可分为:
文件服务器、数据库服务器、视频服务器、电子邮件服务器、Web服务器和其它应用服务器等。
根据校园网现阶段的应用需求,学校需要配备置以下服务器:
一、主域服务器
主域服务器负责整个校园网的所有的用户管理,以及E—MAIL服务和DNS服务,要求响应大量的用户验证和复制,是实现网络安全和资源共享的核心.
二、辅助服务器
提供数据库服务需安装数据库软件提供校园网应用系统的WWW服务,是学校Internet/Intranet应用的主要承担者,可对全校提供包括:
课件制作、题卷管理、学校主页发布、互联网浏览等等应用。
4.6网络设备选型
一、交换机的选择
局域网的交换器是网络中关键的设备。
中心交换器应先有高性能的交换器,在这里选择3COM公司的3COMSuperstack34900交换机.它可以在简单低价的平台上提供高性能、多功能的千兆以太网交换,方便升级,成为具有不断增长的带宽需求的中心网络的理想方案。
该12端口交换机支持传统的五类电缆.可以使用任先的千兆交换模块组合来匹配光纤和双绞线.对于该企业网正好适用.
二、服务器平台选择
SUN服务器和HP服务器或者国产的联想、浪潮服务器都有很好的开放性和互连性,可以作为服务器硬件的选择.在主机系统建设中,选用UNIX与WindowsXP相结合的方式:
用UNIX服务器作为外部WWW服务器、FTP、PROXY、DNS服务器以及网管工作站;用NT服务器作为数据库服务器和应用服务器,为用户提供友好的界面。
路由器我采用D-LinkDI—604+这种型号的路由器,它在网络层转发数据包。
它可以有效地隔离广播风暴并可以进行协议过渡。
路由器可以用于主干连接,也可用于校园网络和地区网络中心的广域连接。
选择路由器时应注意它支持的网络接口(如FDDI、UTP、BNC、AUI等),以及端口数目和支持的协议类型。
此外,某些路由器还提供了很好的协议控制、流量统计、带宽分配等功能。
路由器的配置可以从控制口通过终端方式进人。
配置路由器前的主要工作是地址的划分。
路由器都支持SNMP协议,因此可以用网络管理软件管理,如IBM的Netview、HP的Openiew。
为了提高网络的性能,应采用高性能的网络服务器。
这里采用hp服务器作为校园网的web和控制中心服务器。
4。
7产品的性能参数
一、H3CS9500交换机无线控制器插卡
(一)方便部署、易于管理
(二)三层漫游
(三)丰富的RF管理和安全
(四)支持智能的负载均衡
(五)高可靠的备份功能
(六)IPv6
(七)完善的QoS
(八)支持隧道QoS
(九)支持多种认证计费方式
(十)支持无线入侵检查WIDS
(十一)支持EAD无线接入
(十二)有线无线一体化的网管系统
二、H3CS5500EI
H3CS5500—EI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品,具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。
支持最多4个万兆扩展接口,可以满足用户今后5年的带宽需求;支持IPv4/IPv6硬件双栈及线速转发,使客户能够从容应对即将带来的IPv6时代。
(一)高扩展性保护投资
随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,而能够拥有多条集群10GE链路将是我们的未来发展方向.H3CS5500—EI系列交换机支持两个扩展槽位,每个槽位支持单端口或双端口的10GE扩展模块,在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力,尽力保护用户投资。
(二)完备的安全控制策略
H3CS5500-EI系列交换机提供增强的ACL控制逻辑,支持超大容量的入端口和出端口ACL,并且支持基于VLAN的ACL下发,在简化用户配置过程的同时,避免了ACL资源的浪费.
(三)多重可靠性保护
S5500-EI系列交换机还具备设备级和链路级的多重可靠性保护。
(四)多业务支持能力
支持PoE(PoweroverEthernet)技术,通过以太网对所连接的设备(如IPPhone,WirelessAP等)进行远程供电,从而使得不必在使用现场为设备部署单独的电源系统,能够极大地减少部署终端设备的布线和管理成本.
(五)丰富的QoS策略
H3CS5500—EI系列交换机支持支持L2(Layer2)~L4(Layer4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN的流分类。
提供灵活的对列调度算法,可以同时基于端口和队列进行设置,支持SP(StrictPriority)、WRR(WeightedRoundRobin)、SP+WRR三种模式.支持CAR(CommittedAccessRate)功能,粒度最小达64Kbps.
(六)出色的管理性
H3CS5500-EI系列交换机支持SNMPv1/v2/v3(SimpleNetworkManagementProtocol),可支持OpenView等通用网管平台以及Quidview网管系统。
支持CLI命令行,Web网管,TELNET,HGMP集群管理,使设备管理更方便,并且支持SSH2.0等加密方式,使得管理更加安全。
三、H3CS3100
(一)千兆上行、线速交换
H3CS3100系列千兆交换机具有19.2Gbps的总线带宽,为所有端口提供二层线速交换能力,同时支持千兆上行,满足当前多业务融合对高带宽的需求。
(二)完备的安全控制策略
H3CS3100系列千兆交换机支持802。
1x认证,在用户接入网络时完成必要的身份认证,支持MAC地址和端口等多元组绑定、广播风暴抑制和端口锁定功能,保证接入用户的合法性。
(三)QoS能力
H3CS3100系列千兆交换机支持每个端口4个输出队列,支持2种队列调
四、H3CSR6602
H3CSR6600系列开放多核路由器(以下简称SR6600)是H3C公司自主研发,面向电信、政府、电力、金融、教育、企业等用户网络量身打造的一款集高性能转发、高灵活性业务处理和高密度接入能力于一体的高端多业务路由器。
(一)市场领先的安全防护功能
(二)专业灵活的VPN服务
(三)智能网络集成及QoS保证
(四)电信级设备高可靠性
(五)智能图形化的管理
第5章安全防护网络
5。
1企业对安全方案的需求
早在20世纪90年代,如果企业和政府机构希望能具有竞争力,他们就必须对市场需求作出强有力的响应。
这就引发了依靠互联网来获取和共享信息的趋势。
然而,随着经济状况在近年来所发生的转变,市场的焦点又返回到了基本的原则。
目前,企业和政府领导者们都认识到,对未来增长和生产效率产生最大约束的因素就是网络安全性和可用性。
首先,传统的防病毒软件无法抵御类似于SQLSlammer的新型蠕虫的功击,如果工作站上的防病毒软件未及时更新或被禁用了,那么病毒仍然有机会感染工作站.UTM产品在企业网络的入口提供了简单的“即插即忘"式的保护,病毒在进入网络之前被直截了当地拦截,同时也避免了由于病毒入侵到服务器和工作站所引起的一系列的典型问题,为企业网络提供了一个额外保护层。
其次,越来越多的网络病毒开始利用操作系统的漏洞进行攻击和传播。
如果不及时修补操作系统的漏洞,这些利用漏洞传播的病毒就可以轻松绕过防病毒软件而直接感染计算机,使杀毒软件的功效大大降低。
5。
2中小企业网络安全整体解决方案
一、现状分析
中小企业用户的局域网一般来说网络结构不太复杂,主机数量不太多,服务器提供的服务相对较少。
这样的网络通常很少甚至没有专门的管理员来维护网络的安全。
这就给黑客和非法访问提供了可乘之机。
这样的网络使用环境一般存在下列安全隐患和需求:
(一)计算机病毒在企业内部网络传播;
(二)内部网络可能被外部黑客的攻击;
(三)对外的服务器(如:
www、ftp等)没有安全防护,容易被黑客攻击;
(四)内部网络用户上网行为没有有效监控管理,容易形成内部网络的安全隐患;
(五)远程、移动用户对公司内部网络的安全访问
二、瑞星中小企业整体解决方案
瑞星公司针对中小企业的上述特点,利用瑞星公司的系列安全产品为中小企业量身定制一种安全高效的网络安全解决方案。
瑞星防毒墙RSW-1200是一款多功能、高性能、低价位的产品,它不但提供了对内部网络和对外服务器的保护、防止黑客对这些网络的攻击,为远程、移动用户提供一个安全的远程连接功能,是中小企业网络安全的首选产品。
瑞星网络杀毒软件是瑞星自主开发的企业网络防病毒软件,通过“集中管理、分布处理”在中小企业内部的服务器和客户端同时部署杀毒软件共同完成对整个网络的病毒防护工作,为用户的网络系统提供全方位防病毒解决方案。
(一)选用产品
瑞星防毒墙RSW-1200
瑞星网络版杀毒软件
(二)瑞星中小企业整体解决方案实现主要功能
1、安全的网络边缘防护
瑞星防毒墙可以根据用户的不同需要,具备针对HTTP、FTP、SMTP和POP3协议内容检查、清除病毒的能力,同时通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系,不但可以保护内部资源不受外部网络的侵犯,同时可以阻止内部用户对外部不良资源的滥用。
2、计算机病毒的监控和清除
瑞星网络杀毒软件是
升级会员 