企业园区网网络规划与设计论文.docx

1、企业园区网网络规划与设计论文广东职业学院毕业设计（论 文）题目企业园区网网络规划与设计系 (部)信息工程学院专业计算机网络技术班级计算机网络技术2班姓名学号指导老师系主任 2018年 10 月 30 日摘 要企业不断发展的同时其网络规模也在不断扩大，复杂的网络面临更多的安全问题。面对日益庞大的网络系统，如何做到高效长期稳定地进行通信是我们所追求的目标。对于工作或者私人客户端的不同网络需求，我们需要通过运用不同的相关技术去实现。随着时代的进步，安全也成为一个迫在眉睫的关键所在，于是便有了VLAN和冗余等技术的出现。通过最少的配置量来达到最好的效果，并进行相应的优化，仔细规划配置方案，确保做到首尾

2、兼顾。然后还要考虑到成本的问题，“性价比”这个名词的出现代表着人们已经走出盲从消费的怪圈，因此我们需要仔细思考该项目的带来的收益值得我们投入多少，才能使得该项目的性价比最高，并确定方案是否可行，进行项目实施时我们需要步步为营，避免不必要的配置错误或者环路，一劳永逸。关键词：网络安全；成本；稳定 第一章 企业网组建设计与需求分析1.1网络设计原则新建网络必须满足公司未来35年内的研究、生产、办公需求，遵循“可靠性、实用性、安全保密性、先进性、经济性、开放性”的设计原则，以系统生命周期长、管理维护方便、系统集成度高和保护投资为主要技术特色，适应XX公司当前应用及后续不断发展。该企业网络是具有高密度

3、用户群的网络，为了保障全网的高速转发，企业网网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要交换机具有高性能、高带宽的特性，整网的核心交换要求能够提供无瓶颈的数据交换。1、可管理：该企业网络是一个庞大而且复杂的网络，为了保障网络的正常使用以及设备的良好维护需要一个功能强大，具有分级、分权管理能力的网管系统，实现统一的网络业务调度和管理，降低网络运营成本。同时由于企业网络的使用者数量较多，跨网络开展的业务众多，因此需要能够提供用户的高效管理，以确企业网络的信息安全。2、可增值：企业网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时

4、要充分考虑业务的扩展能力，能提供丰富的宽带增值业务（如VoIP，IPV6等），全网支持IPV6，使网络能适应未来需求，节约各类费用。确保新建网络在35年内的使用价值。3、安全保密性：充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。能有效通过软硬件相互联动，有效保证企业网的安全；选择设备必须具有较高的安全特性，如蠕虫病毒防御、ARP欺骗防御、防代理、防攻击扫描、防私设DHCP等功能，系统采用数字签名,安全认证,密码技术以及超级防火墙软件,代理服务器和VPN(虚拟隧道网络技术)等来确保网内安全。对员工的上网行为进行实时记录，并保存到日志服务器。4、可扩展与成熟性：企业

5、网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，要具有可扩展性和可升级性。随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。5、经济性：在满足高性能价格比(高性价比)的前提下,选用物廉价美,经济实用的产品,以减少开支。6、开放性：技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。1.2网络系统结构初步规划首先

6、根据需求构建网络拓扑，考虑到数据传输的稳定及安全性，这里采用三层架构体系，划分为核心层、汇聚层、接入层。各部分需求如下：1、核心层：主干网络设备采用交换机进行组网，配置两台高性能核心三层交换机，完成各汇聚节点与核心节点以及各汇聚节点之间的数据高速路由转发以及各节点园区网的业务汇聚，并在整个骨干网上启用HSRP进行冗余，进行容灾处理。2、核心层为下两层提供优化的数据传输功能，它是一个高速的路由交换骨干，其作用是尽可能快地交换数据包，满足汇聚节点与核心节点之间高速通信的需要。核心交换机应具备尽可能强大的性能、业务支持和端口接入的扩展能力。3、汇聚层：每个汇聚节点的汇聚交换机通过2个快速以太口与企业

7、数据中心的2台核心交换机相联，构成双核心，双归属的骨干网络。汇聚层提供基于统一策略的互连性，它是核心层和接入层的分界点，定义了网络的边界，对数据包进行复杂的运算。在整个网络环境中，汇聚层主要提供如下功能：部门和工作组的接入和汇聚，VLAN的路由，HSRP的封装，实现冗余等。4、接入层：接入层节点采用百兆三层接入交换机，千兆光/电接口上联汇聚交换机，支持802.1x接入，做到面向端点的安全控制能力。拓扑图如图1-1所示。图1-1拓扑图1.3网络安全系统需求信息化网络建设，涉及与Internet的连接，涉及到与多个下属部分单位的连接。WWW应用、FTP应用等等需要针对不同的部门、不同的人员服务，对

8、网络的安全提出了以下的需求：采用安全控制措施，实现人员的集中管理和控制。采用安全措施，加强对核心服务器系统的保护。采用安全措施，实现与Internet的安全连接，同时对外提供服务。实现集中统一的全网安全管理，减轻管理的负担。1.4总体需求系统建设的总体需求有：1、高带宽为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用比较先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。为此应选用高带宽的先进技术。2、高可靠性网络系统应具有高可靠性、高安全性，具体到本项目中，要求采用可靠性较高的产品和网络架构，在物理层、数据链路层

9、和网络层等多个层次都有相应的技术，以最大程度的保证网络的正常运转。3、QoS保证当今网络中多媒体的应用越来越多，这类应用对服务质量的要求较高，新的网络系统应能保证QoS，以支持这类应用。4、多协议支持由于网络将要存在不同的业务和办公应用系统，并基于不同的网络协议，所以网络系统应能支持多种协议（IP、SNA、Netbios等），是一个开放型的网络，支持各种协议的互连。5、易管理、易维护由于企业的网络系统规模庞大，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品，以便于管理和维护。6、安全性网络

10、系统应具有良好的安全性，要充分的保证网络的安全性，应该根据相应的管理制度和网络策略制定一套完善的安全政策，基于此安全政策，采用合适的技术手段，以达成目标，保证系统的安全性。7、可扩展性和可升级性系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。1.4.1企业对业务的需求情况网络事支撑企业各种业务的基础设施。所以在规划设计网络之前，应该清楚它的使用。使他能够随着公司的发展而扩大，预计该企业在以后3-5年内计划聘用的人数、业务规模或网络数据流量的预计增长情况来估计公司的增长率确定公司在可靠性和有效性方

11、面的需求，包括网络故障带来的严重后果，当然网络修复的费用，网络的安全性，web站点和Internet连接性，远程访问等的实现都对于网络的规划有至关重要的地位。经过我们对该企业的研究，预计企业在未来几年企业将进一步扩大，我们将预留一定的升级空间方便新用户的接入，其中包括网络设备支持升级其他应用设备的接入，全面实现计算机资源共享：对于局域网中的各种资源,通过设置网络用户的共享权限,让他成为网络共享资源。（如计算机硬盘、软驱、光驱、刻录机,各类软件和文本文件、打印机、扫描仪、调制解调器等I/O设备）当然随着网络设计过程的接入，我们的设计也许会有一定的调整。1.4.2用户需求分析对于一个企业网络而言用

12、户的需求是基础，经营想到应用、计算机平台甚至网络。用户需求主要包括可靠性、可用性、可升级性、安全性、及时性以及响应时间。企业的用户群包括管理层，普通用户群的也用代表，在与用户群的适当的交流包括问卷调查，集中访谈，个人采访中我们发现，“快”是多数用户对网络响应的要求了，其中包括下载速度、连接速度等，我们将为核心设备提供冗余，以尽量保障系统的99.95%的可靠性，同时我们将根据企业的需求，为用户停工远程登录，文件传输服务，在年底企业统计全年信息时候会出现企业通讯高峰时间，我们的服务器将以满足高峰期通讯为基础选型的。当然我们将提供防火墙等安全设备，保障用户信息，物理资源的机密性，网整性和确实性，提供

13、一定的数据加密、自动备份、发生问题的恢复等。当然也包括网络应提供的服务资源共享、办公自动化、远程控制、电子邮件、www应用等。1.4.3企业对网络的需求对于一个企业网络而言用户的需求是基础，经营想到应用、计算机平台甚至网络。用户需求主要包括可靠性、可用性、可升级性、安全性、及时性以及响应时间。企业的用户群包括管理层，普通用户群的也用代表，在与用户群的适当的交流包括问卷调查，集中访谈，个人采访中我们发现，“快”是多数用户对网络响应的要求了，其中包括下载速度、连接速度等，我们将为核心设备提供冗余，以尽量保障系统的99.95%的可靠性，同时我们将根据企业的需求，为用户停工远程登录，文件传输服务，在年

14、底企业统计全年信息时候会出现企业通讯高峰时间，我们的服务器将以满足高峰期通讯为基础选型的。当然我们将提供防火墙等安全设备，保障用户信息，物理资源的机密性，网整性和确实性，提供一定的数据加密、自动备份、发生问题的恢复等。当然也包括网络应提供的服务资源共享、办公自动化、远程控制、电子邮件、www应用等。第二章 网络系统设计方案2.1企业网分层架构设计依据企业网的分层架构：核心层、汇聚层、接入层,Internet接入、网络管理、接入控制、日志审计系统。按照需求分层设计。2.2网络搭建设备选择CISCO及Juniper的设备及技术来组建企业网。2.2.1核心层设计作为全网数据和业务的核心，网络上所有业

15、务的数据流都要经过核心交换机进行交换，因此它的安全性、可靠性和高性能对于全网数据和业务应用的正常开展至关重要。我们采用的思科网络公司万兆核心路由交换机C3750G系列，基于新一代核心交换机的设计理念，在本项目中具备如下特色：3750系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。这个产品系列采用了最新的思科StackWise智能堆叠技术，不但实现高达32Gbps的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统-就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术

16、水平和标准。3750系列最多可以将9个交换机堆叠在一起，构成一个统一的逻辑单元，其中总共包含468个以太网10/100端口或者252个以太网10/100/1000端口。各个10/100和10/100/1000单元可以根据网络的需要任意组合。3750系列可以使用标准多层软件镜像（SMI）或者增强多层软件镜像（EMI）。SMI功能集包括先进的服务质量（QoS）、速率限制、访问控制列表（ACL）和基本的静态和路由信息协议（RIP）路由功能。EMI可以提供一组更加丰富的企业级功能，包括先进的、基于硬件的IP单播和组播路由。2.2.2汇聚层设计汇聚层在骨干网络中起到承上启下的作用，应具备可靠性、高性能和

17、多业务兼顾的特点。可以作为企业以后拓展用，不过我们依然采用的思科网络公司万兆核心路由交换机C3750G系列，在本项目中具备如下特色：1.多协议支持2.支持服务质量（QOS）3.支持访问控制列表（ACL）2.2.3接入层设计在一个企业网络里，接入交换机具有数量多，部署分散的特点，且直接负责终端的接入，应具备可管理性强、端口控制能力强、性价比高的特点。我们选用的思科C2960-24TC-L系列二层接入交换机，具备如下优势：1、支持创新的堆叠技术-IRF，使堆叠组完全可看作一个设备，使可管理性大幅度提高。2、具有良好的端点控制能力，支持丰富的MAC、IP、端口的灵活绑定。3、VLAN能力强，支持最高

18、的4096个VLAN；具体见附录B。2.2.4Internet 接入设计对外访问区负责全网对INTERNET的访问，同时承载太重门户网站的对外发布和EMAIL系统。虽然现在网络上80%的安全隐患都在内网，但互联网出口的安全问题仍然是对企业网络最具威胁的区域，黑客入侵、企业机密数据外泄、新病毒的导入都几乎全部发生在这里，所以互联网接入设计中，安全设计仍然放在首位。我们采用路由器+防火墙+入侵防御系统（IPS）的方式来构建对外访问区。1、路由器：路由器是连接内外网的纽带，路由器的性能直接影响对于宝贵带宽的使用率，此外对于中小型企业网出口，由于内部网络用户数量有一定的数量，路由器应该具备高性能的NA

19、T转发能力。我们采用思科的CISCO 1841高性能路由器，部署在太重网络的互联网出口。该设备在本项目中的技术优势如下：2、高性能：具备4.5Mpps的包转发性能，满足未来三条千兆线路（千兆链路线速转发理论值1.488Mpps）的全线速转发。3、强大的NAT能力：CISCO 1841设备具备并发NAT连接的能力，且支持丰富的NAT特性，提供NAT日志的输出，可配合日志审计系统，做到对于对外访问的纪录和跟踪。4、深度业务感知：CISCO 1841路由器具备思科专利特色的深度业务感知功能，可以根据流量的协议类型对其加以识别、分类、限制或阻断。可将常规应用协议流量限制，BT等带宽滥用流量或其他非常规

20、流量由IPS进行限制。5、防火墙：使用原有Juniper防火墙，划分DMZ（非军事区域）区域，通过原有华为5000千兆交换机，连接门户服务器及EMAIL服务器等。配置策略偏重安全区划分，安全抵御由入侵防御系统着重完成。6、入侵防御系统：配置TippingPoint X505，具备100M吞吐量，满足当前接入带宽。重点配置对于黑客入侵、蠕虫病毒、木马程序的防范。2.3网络管理、接入控制、日志审计系统1、CiscoWorks LMS网络管理软件CiscoWorks是思科公司推出的网络管理产品，LMS(LAN Management Solution)是定位于局域网的网络管理产品，它可以对LAN环境中

21、的设备进行维护、监测、排错，也可以让网络管理员通过自己的网络浏览器有效的管理整个网络及其设备。它采用了基于Web的客户端/服务器模式，也可以与其它厂商的网络管理工具集成使用。思科公司的网管产品是按照不同的使用环境分类的。比如，我们介绍的LMS是在局域网环境中使用的；在广域网环境中使用的是RWAN(CiscoWorks Routed WAN Management),它主要适应广域网中对响应时间和访问控制的管理需要；在IP语音环境中是ITEM(IP Telephony Environment Monitor),它主要适用于管理传输IP语音流量网络；在VPN环境中是VMS(VPN/Security

22、Management Solution),它用于管理和监测VPN及其安全措施。CiscoWorks LMS包括一组应用程序和工具对局域网进行配置、监测和排错。这些工具包括错误管理，网络拓扑的察看，设备配置的管理，二层/三层路由分析，语音路由追踪，流量监测，端站点的流量追踪，设备的排错等等。2、接入认证系统思科安全访问控制服务器为思科智能信息网络提供基于身份的全面的访问控制解决方案。它是用于管理企业网络用户、管理员和网络基础设施资源的集成和控制层。思科安全访问控制服务器为思科智能信息网络提供基于身份的全面的访问控制解决方案。它是用于管理企业网络用户、管理员和网络基础设施资源的集成和控制层。Sec

23、ureCiscoACS(ACS)是具高可扩展性的高性能访问控制服务器，可作为集中的RADIUS和TACACS+服务器运行。Cisco Secure ACS将验证、用户访问和管理员访问与策略控制结合在一个集中的身份识别网络解决方案中，因此提高了灵活性、移动性、安全性和用户生产率，从而进一步增强了访问安全性。它针对所有用户执行统一安全策略，不受用户网络访问方式的影响。它减轻了与扩展用户和网络管理员访问权限相关的管理负担。通过对所有用户帐户使用一个集中数据库，Cisco Secure ACS可集中控制所有的用户权限并将他们分配到网络中的几百甚至几千个接入点。对于记帐服务，Cisco Secure A

24、CS针对网络用户的行为提供具体的报告和监控功能，并记录整个网络上每次的访问连接和设备配置变化。这个特性对于企业遵守Sarbanes Oxley法规尤其重要。Cisco Secure ACS支持广泛的访问连接，包括有线和无线局域网、宽带、内容、存储、IP上的语音(VoIP)、防火墙和VPN等。Cisco Secure ACS是思科基于身份的网络服务(IBNS)架构的重要组件。CiscoIBNS基于802.1x(用于基于端口的网络访问控制的IEEE标准)和可扩展验证协议(EAP)等端口安全标准，并将安全验证、授权和记帐(AAA)从网络外围扩展到了LAN中的每个连接点。您可在这个全新架构中部署新的策

25、略控制工具(如每个用户的配额、VLAN分配和访问控制列表ACL)，这是因为思科交换机和无线接入点的扩展功能可用于在RADIUS协议上查询Cisco Secure ACS。3、CS-MARS日志审计系统思科安全监控分析和响应系统(MARS)是一个高性能、可扩展的威胁管理、监控和防御设备系列，将传统安全事件监控与网络智能、上下文关联、因素分析异常流量检测、热点识别和自动防御功能相结合，可帮助客户更为高效地使用络和安全设备。通过结合这些功能，思科安全MARS可帮助公司准确识别和消除网络攻击，且保持网络的安全策略符合性。第三章 网络技术设计分析3.1网络IP地址规划IP地址合理规划的意义在企业网网络规

26、划中，IP地址方案的设计至关重要，好的IP地址方案不仅可以减少网络负荷，还能为以后的网络扩展打下良好的基础。IP地址的合理是保证网络顺利运行和网络资源有效利用的关键。企业网IP地址的分配应该尽可能地利用申请到的地址空间，充分考虑到地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。具体地来说IP地址的合理规划有如下的意义：减少对各种资源（内存、CPU的处理能力以及网络带宽等）的需求IP地址的合理规划有利于网络中路由的汇聚，因而可以使得核心交换机中的路由表数目以及链路状态数据库等占用的内存减少，同时更新所占用的网络带宽也降低了；有利于IP地址空间的合理使用；优化业务流量的分布；

27、有利于故障诊断。IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系，将对校园网的可用性、可靠性与有效性产生显著影响，应充分考虑本地网对IP地址的需求，以满足未来业务发展对IP地址的需求。IP地址规划根据国际互联网络技术发展的趋势，结合当今企业的现实情况，我们建议IP地址规划遵循如下原则来设计：网络出口、对外服务器群采用电信/cernet公网IP地址；企业网采用先地区后业务划分方法进行IP地址分配。地区位（8位）.业务功能位（8位）.子网位主机位资源中心公共服务器尽量采用合法IP地址；企业网所有网络设备均配置内部管理IP地址，防止非法用户登录。各接入点根据现有信息点数

28、，并预留30-40的扩容率，分配连续IP地址段；各核心节点下联各接入点分配连续IP地址段，统一在核心节点提供IP路由，并做路由聚合。各核心节点内部根据用户群体地理位置划分VLAN，并将VLAN网关IP设置在各核心节点交换机上。3.2企业网络技术分类在企业园区中使用的最多也是最广泛的技术就是交换技术，交换技术的成熟带动着这个网络的发展。而企业网是基于这个交换架构的网络，因此在交换式的网络中有众多技术VLAN，VTP，TRUNK，三层交换，STP，HSRP/VRRP，ETHERCHANNEL、DHCP，Multi PPP等。下面将分别介绍这些技术的应用：1、VLAN技术（Virtual Local

29、 Area Network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。从技术角度讲，VLAN的划分可依据不同原则，一般有以下三种划分方法：2、基于端口的VLAN划分这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。3、基于MAC地址的VLAN划分MAC地址其实就是指网卡的标识符，每一块网

30、卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示，前8位为厂商标识，后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。4、基于路由协议的VLAN划分 路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。在XX公司的交换网络中使用基于端口的VLAN技术，将设备的管理VLAN定义为VLAN1，将办公业务划分为VLAN2和VLAN3，将总部服务器划入VLAN100，可以控制广播风暴的范围，提高网络整体安全性，并且使得网络管理简单、直观。5、VTP技术VTP（VLAN

31、 Trunking Protocol）：是VLAN中继协议，也被称为虚拟局域网干道协议。它是一个OSI参考模型第二层的通信协议，主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名。在一台VTP Server上配置一个新的VLAN时，该VLAN的配置信息将自动传播到本域内的其他所有交换机。这些交换机会自动地接收这些配置信息，使其VLAN的配置与VTP Server保持一致，从而减少在多台设备上配置同一个VLAN信息的工作量，而且保持了VLAN配置的统一性。VTP有三种工作模式：VTP Server、VTP Client和VTP Transparent。一般，一个VTP域内的整个网络

32、只设一个VTP Server。VTP Server维护该VTP域中所有VLAN信息列表，VTP Server可以建立、删除或修改VLAN。VTP Client虽然也维护所有VLAN信息列表，但其VLAN的配置信息是从VTP Server学到的，VTP Client不能建立、删除或修改VLAN。VTP Transparent相当于是一上独立的交换机，它不参与VTP工作，不从VTP Server学习VLAN的配置信息，而只拥有本设备上自己维护的VLAN信息。VTP Transparent可以建立、删除和修改本机上的VLAN信息。XX公司的VLAN中包含设备管理VLAN，业务VLAN，服务器VLAN，总部和分部中的交换设备较多，因此选择VTP技术来简化VLAN的配置，是一种较好的方案。6、TRUNK