企业网络规划与设计方案.docx

1、企业网络规划与设计方案企业网络规划与设计方案* * *学 号： 班 级：计教201302 院 系：信息工程学院授课老师：宋 勤 2016年6月14日星期二1、项目概况 31.1工程项目概况 31.2 信息点分布 42需求分析 42.1 网络环境需求分析 42.2 公司子网需求 52.3 交换机路由器的配置以及的需求划分 62.4 安全性需求分析 72.5 业务需求分析 73 设备要求 83.1 客户端计算机的需求分析和定位选购 83.2 交换机/路由器的需求分析和定位选购 93.3 服务器的需求分析和定位选购 114. 网络布局设计 154.1 网络拓扑结构介绍 154.2 布线逻辑方案 15

2、4.3 网络拓扑图 164.4 骨干核心层网络设计 17 4.4.1 骨干核心层网络设计 17 4.4.2 核心层网络设计 17 4.4.3 汇聚层网络设计 18 4.4.4 接入层网络设计 185项目费用 195.1设备费用 195.2项目费用 216总结 211、项目概况1.1工程项目概况集团为了加快信息化建设，新的集团网将建设一个以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心，以现代网络技术为依托，技术先进、扩展性强，将集团的各种办公室、多媒体会议室、终端设备、应用系统通过网络连接起来，实现内、外沟通的现代化计算机网络系统。该网络系统是支持办公自

3、动化、供应链管理、以及各应用系统运行的基础设施，为了确保这些关键应用系统的正常运行、安全和发展，系统必须具备如下的特性：1、采用先进的网络通信技术完成集团企业网的建设，实现各分公司的信息化；2、在整个企业集团内实现所有部门的办公自动化，提高工作效率和管理服务水平；3、在整个企业集团内实现资源共享、产品信息共享、实时新闻发布；4、在整个企业集团内实现财务电算化；5、在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系统；公司组织结构图1如下：图1 公司组织结构图如图所示是该公司的职能分布图，董事长，总经理，公司分为财务部，经理A，经理B和总监，人事部，经营系统。其中总经理以下职能部分只

4、向总经理进行工作汇报，总经理只向董事长进行工作汇报。1.2 信息点分布 该公司是通过职能部门进行不同的信息点分布，其中按照每个部门的需求，来决定分布的数量，其中有一部分属于备用点。还有各部门距离网络中心的距离。通过这个表格，我们可以清晰的分析整个公司的信息点还有各部门的距离计算预算。一下是对公司信息点的分析，如下表所示：部门功能分布信息点信息点合计距网络中心的距离后勤系统停车场103050m大门/大厅/值班中心4+6+10产研系统第六部154520m研发部10设计部20人事系统行政部174520m人力资源部20经理/董事长室8财务系统预算部102020m财务部10经营系统销售/售后部10020

5、040m市场部50咨询部50合计340150m表1 公司信息点分析表2需求分析2.1 网络环境需求分析随着企业各种业务应用逐渐转移到计算机网络上来，网络通讯的无中断运行已经成为保证企业正常的生产运营的关键。现代企业网络在可靠性设计方面主要应从三方面考虑：首先是设备的可靠性设计，这里不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察；其次是业务的可靠性设计，这里要注意网络设备在故障倒换过程中是否对业务的正常运行有影响；再次是链路的可靠性设计，以太网的链路安全来自于它的多路径选择，所以在企业网络建设时要考虑网络设备是否能够提供有效的链路自愈手段和

6、快速重路由协议的支持。2.2 公司子网需求为了提高地址的使用效率，引入了子网的概念。将一个网络划分为子网：采用借位的方式，从主机位最高位开始借位变为新的子网位，所剩余的部分则仍为主机位。这使得地址的结构分为三级地址结构：网络位、子网位和主机位。这种层次结构便于地址分配和管理。它的使用关键在于选择合适的层次结构如何既能适应各种现实的物理网络规模，又能充分地利用地址空间。子网的划分主要是根据子网掩码来区分的，掩码的作用就是用来告诉电脑把“大网”划分为多少个“小网”，以及每个子网中的主机数目。如表2所示，公司子网的划分。序号子网名称包含的信息点1后勤系统子网该系统所有的计算机2产研系统子网该系统所有

7、的计算机3人事系统子网该系统所有的计算机4财务系统子网该系统所有的计算机5经营系统子网该系统所有的计算机6服务器群子网该区所有的计算机7无线网络子网该区所有的计算机表2 公司子网的划分表2.3 交换机路由器的配置以及的需求划分1、交换机的配置交换机支持浏览器的配置方式，设置交换机管理地址，设置用户及管理密码；2、路由器的配置路由器支持浏览器的配置方式，逐一设置接入口设置、用户及管理密码、口设置、安全设置、过滤规则、配置、信息加密配置等等；3、的划分（ ）称为虚拟局域网，是指在逻辑上将物理的分成不同小的逻辑子网，每一个逻辑子网就是一个单独的播域。简单地说，就是将一个大的物理的局域网（）在交换机上

8、通过软件划分成若干个小的虚拟的局域网（）。因为交换机通信的原理就是要通过“广播”来发现通往的目的地址，以便在交换机内部的数据库建立地址表，而广播不能跨越不同网段。采用基于地址的划分。这种划分的方法是根据每个主机的地址来划分，即对每个地址的主机都设置他属于哪个组。这种划分方法的最大好处就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，不用重新设置，所以，能认为这种根据地址的划分方法是基于用户的。如表下所示，该公司内部网络的划分及的分配。序号子网名称网段网关备注1后勤系统子网192.168.11.0/24192.168.11.1 112产研系统子网第六部192.168.12.0/2619

9、2.168.12.1 12设计部192.168.12.64/26192.168.12.65 12研发部192.168.12.128/26192.168.12.129 123从事系统子网192.168.13.0/24192.168.13.1 134财务系统子网预算部192.168.14.0/27192.168.14.1 14财务部192.168.14.32/27192.168.14.33 145经营系统子网192.168.15.0/24192.168.15.1 15表3 公司的划分及的分配表另外，地址分为公网地址和私网地址两类，公有地址（ ）由 （ 因特网信息中心）负责。这些地址分配给注册并向

10、提出申请的组织机构。通过它直接访问因特网。分配给公司的全局地址地址段为: 202.106.0.3 202.106.0.200/24.,私有地址（ ）属于非注册地址，专门为组织机构内部使用。以下列出留用的内部私有地址C类 192.168.0.0192.168.255.2552.4 安全性需求分析传统企业网络的安全措施主要是通过部署防火墙、杀毒软件以及配合交换机或路由器的来实现对于病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效的解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手

11、段，才能有效的保证企业网络的稳定运行2.5 业务需求分析1）、地下1层作为停车场所，并包含变配电设备机房，将设置2个语音信息点和4个数据信息点用于值班中心的信息交换；2）、1楼作为公司的大堂、演示中心、消防网络控制中心以及办公厅，将集中设置语音信息点和数据信息点，用于语音通讯、专项信号控制及视频点播、公用信息发布等应用；总配线间（ ）设在一层网络通讯机房，分接1、F1、F2层的线缆；3）、2楼作为公司的远程服务厅、办公场所，经营系统的售前、售后、咨询、远程协助等都将运作在此楼层；4）、3楼作为公司的人事系统办公场所，将包括董事长办公室、经理室、人力资源、行政和人事部门；4）、4楼作为公司的网络

12、中心和财务系统的办公场所，其安全性和保密性将要特别考虑；5）、5楼作为公司产研系统所在地，其要求不低于4楼；6）、交换设备置于4楼的网络通讯机房，管理各分配线间引来的所有光纤、数据主干。3 设备要求根据集团的网络功能需求和实际的布线系统情况，楼层接入设备需要选择同一型号的设备;子公司主交换机可以根据需要通过堆叠方式进行灵活的升级扩容;核心交换机需要具有升级到720可用背板带宽的能力。网络设备必须在技术上具有先进性、通用性，必须便于管理、维护，应该满足集团现有计算机设备的高速接入，应该具备良好的可扩展性、可升级性，保护用户的投资。网络设备在满足功能与性能的基础上必须具有良好的性价比。网络设备应该

13、选择拥有足够实力和市场份额的厂商的主流产品，同时设备厂商必须要有良好的市场形象与售后技术支持。3.1 客户端计算机的需求分析和定位选购经过公司内各部门所提交的需求表的反馈，确认公司共需客户端计算机的数量是300套；根据业务的需求分析，从硬件划分为三种配置：1）普通办公：适用于财务部、人事、咨询等普通办公部门的应用，无显卡要求，标配主流的、内存、硬盘、网卡、显示器。 总数量270台。2）产研系统：适用于商业机密、设计、研发等办公部门的应用，考虑其业务要求，需选购比现主流标配的性能更优越的硬件性能，需配置2G显存以上的独立显卡。总数量50台。3）后勤系统，适用于特殊、复杂环境的应用，无需独立显卡，

14、需增强的散热系统，良好的工作环境适应能力，标配主流的、内存、硬盘、网卡、显示器。总数量60台。3.2 交换机/路由器的需求分析和定位选购公司交换机需求如下：1）主交换机支持三层交换技术，智能化，支持可管理，高安全性、可靠性；2）传输速率 1000；交换机选购需参考的数据如下：端口数量、 端口速率 、机架插槽数和扩展槽数 、背板带宽 、支持的网络类型 、支持的物理地址数量 、最大可堆叠数 、可网管性 、支持的协议和标准。 选购方案如下：交换机华为 S8512 网络报价为：18万基本规格 交换机类型 万兆核心路由交换机 传输速率 10/100/1000/10000 应用层级 三层 交换方式 存储-

15、转发 背板带宽 1800 包转发率 I: 428, : 857 功能 支持网络 网络标准 802.1P, 802.2, 802.3 网络协议 网管功能 支持3 网管端口 接口类型 14个槽位, 12个业务单板槽位 模块化插槽数 26个其它 其他功能 支持三层 支持二层 : 和 支持 和P 功能 安全性 用户分级管理和口令保护 支持 任意组合的绑定 支持 802.1X 认证 支持非法帧报文过滤 支持端口隔离 支持深度业务感知 支持主干路由器 思科12416/32 网络报价：35.5万基本规格 路由器类型 高端企业级路由器 路由器处理器 交换能力可达320网络功能 网络协议 4, , 4, , 2

16、.0, 2, , , 功能 支持 功能 支持 其他功能 可靠性及可用性: 系统冗余: 结构卡冗余4:1时钟调度程序卡冗余1:1 电源冗余( 1:1, 负载平衡) 通风组件冗余 路由处理器冗余1:1 报警卡冗余1:1 通过线路卡实现双归 支持 平均故障间隔时间() 时钟调度程序卡240,078 交换结构卡=276,062网络端口 扩展插槽 16个其它 标准/认证 22.2 .950 1950 6095060950 6082560825 001 3260 电源电压 20024040.575 功耗 4706W()/2400W()3.3 服务器的需求分析和定位选购公司服务器需求如下：1）服务、服务，智

17、能化，高安全性、可靠性；2）根据公司的应配备不同的服务器，主服务器负责内部机密数据，服务器负责服务，服务放在一起，数据据服务器存放网络数据。服务器选购需参考的数据如下：、内存、扩展、电源、冷却、操作系统。 选购方案如下：主服务器 曙光天阔A950( 83788/162146) 报价：27万基本参数 服务器级别 企业级 服务器类型 机架式 服务器结构 5U主要性能 主板芯片组 2200/2050 标配个数 8颗 最大个数 8颗 类型 8378 2.4处理器 标称主频 2.4 二级缓存 2 多核运算 四核内存 内存容量 16 内存描述 2 内存扩展 128存储 标配硬盘容量 146 标配硬盘类型

18、存储控制 支持控制 阵列模式 256M 卡 存储扩展位 8个热插拔硬盘 光驱 网络 网络控制器 集成三个千兆网卡电源 电源类型 冗余电源 散热系统 每处理器独立风扇;机箱中部3个风扇;电源模块独立风扇其他 扩展槽 2个 x16扩展插槽 2个 x16扩展插槽(x4速率) 1个 32 33扩展插槽 接口 1个后部串口 1个后部接口 2个后部2.0接口 2个前置2.0接口 3个后置45网口 1个后置标准2鼠标/键盘接口 显示芯片 20图形控制器(16显存) 机身尺寸 220425680应用服务器 x3650 M3(7945I75) 报价：64000基本参数 服务器级别 企业级 服务器类型 机架式 服

19、务器结构 2U主要性能 标配个数 1颗 最大个数 2颗 类型 X5670处理器 标称主频 2.93 智能加速主频 3.333 二级缓存 6256 三级缓存 12 总线规格 6.4 多核运算 六核心十二线程内存 内存容量 8(24) 内存描述 3-10600 3 内存扩展 最高192 内存插槽 18个3插槽存储 标配硬盘类型 无标配 存储控制 5015 阵列模式 支持 0, 1, 5, 10 存储扩展位 标配: 16托架网络 网络控制器 2千兆接口电源 电源功率 675W 电源数量 1 电源类型 热插拔电源其他 扩展槽 标配: 4 保修服务 三年部件 三年人力 三年现场外网防火墙 华为赛门铁克9

20、120 报价：37.5万基本规格 防火墙类型 企业级防火墙 网络吞吐量 120 并发连接数 支持 支持 主要功能 随着 三网合一, 2.0, P2P视频、高清宽带等理念的推出, 网络带宽的需求成几何级别增长, 千兆到桌面、万兆做骨干已经不是概念, 很多交换机和路由器都拥有多万兆大容量端口, 并且金融、教育等大型企事业单位需要提供更多的业务与服务, 传统防火墙不可避免地成为网络瓶颈, 无法真正适用于高速网络中华为赛门铁克公司凭借丰富的硬件设计经验, 结合专用的多核处理芯片以及分布式硬件平台, 打造出了多核分布式 的万兆高端 9100系列安全网关 9100提供业界最高的防火墙性能, 在确保用户对高

21、可靠性和高性能要求的同时, 以较低的投资成本就能满足金融, 大型数据中心、大型网站、大型企业纵向网络等高端应用的安全防护要求安全性 人数限制 无用户数限制端口参数 其他端口 12对插槽, 可配置业务板和接口板 以太网接口: 8、110G 、110G 等 接口: 42.5G、110G等内部防火墙 华为赛门铁克2210 报价：3.5万基本规格 防火墙类型 企业级防火墙 多核处理器 支持 支持主要功能 2210统一安全网关除了提供2个固定千兆光电互斥接口，还提供了4个扩展插槽和2个扩展插槽，插槽可也以选配1*、2*E11接口卡，整机最大接口可达410，可以适应不同的网络环境，便于用户灵活组网网络 网

22、络管理 和命令行 端口类型 2* ,10*10/100M ，扩展：42安全性 人数限制 无用户数限制 入侵检测 安全标准 认证标准 端口参数 控制端口 口电气规格 电源电压 : 90 V 264 V; 47/63 电源功率 35外观参数 产品重量 7 长度() 420 宽度() 442 高度() 44.2环境参数 工作温度 0 - 40 工作湿度 10% - 90%4. 网络布局设计4.1 网络拓扑结构介绍在此次系统设计中，我们采用分层设计方法，将网络的逻辑结构化整为零，分层讨论设计与实现的细节问题。将网络拓扑结构划分为3个层次，即核心层、汇聚层和接入层。采用分层设计方法的好处：1、节约成本流

23、量从接入层流向核心层时，被收敛在高速的链接上；流量从核心层流向接入层时，被发散到低速链接上，因此接入层路由器可以采用较小的设备。在采用分层设计方法之后，各层次负责不同的数据传送，不再需要同时考虑同一个问题。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽，减少了对系统资源的浪费。2、易于理解采用分成设计方法设计出来的网络拓扑结构层次结构清楚，结晰，可以在不同层次上实施不同难度的管理，降低了管理的成本。3、易于扩展分层设计方法设计出来的层次模块化更有利于系统的扩展。4、易于排错层次模块化能够使网络拓扑结构分解成易于理解的子网结构，管理者能够更方便的确定网络故障的范围，从而更快的排出网络故

24、障。4.2 布线逻辑方案布线只要采取外线进入公司机房然后星形对外布线，如下图4.9所示：图2 布线逻辑分布方案图图2示，是公司布线逻辑分布图，电信网络通过防火墙，进入通过公司路由设备，然后由主交换机，分配到各服务器，各领导办公室，无线路由设备，办公区交换机1，办公区交换机2，然后通过办公区交换机1分配到各办公区1，办公区交换机2分配到各办公区2，由此来实现整个公司网络井然有序的工作。4.3 网络拓扑图图3 网络拓扑图4.4 骨干核心层网络设计4.4.1 骨干核心层网络设计网络核心层的主要工作是交换数据包，核心层的设计应该注意以下两点:1)不要在核心层执行网络策略：所谓策略就是一些设备支持的标准

25、或系统管理员定制的规划。牢记核心层的任务是交换数据包，应尽量避免增加核心层路由器配置的复杂程度，因为一旦核心层执行策略出错将导致整个网络瘫痪。2）核心层的所有设备应具有充分的可到大性：可到达性是指核心层设备具有足够的路由信息来智能地交换发往网络中任意目的地的数据包。在具体设计中，当网络很小时，通常核心层只包含一个路由器，该路由器与汇聚层上所有的路由器相连。在骨干核心层中，我们采用数台 300E核心光纤通道交换机组成一个环形多机热备份的核心交换机系统解决方案。为提高核心网络的健壮性，实现链路的安全保障，本方案骨干核心层环网中可以采用（虚拟路由器冗余协议）。对于各个业务可以指向这个虚拟的地址作为网

26、关，因此应用技术为核心交换机提供一个可靠的网关地址，以实现在核心层核心交换机之间进行设备的硬件冗余，一主两备，共用一个虚拟的地址和地址，通过内部的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网络高效处理大集中数据提供了可靠的保障。4.4.2 核心层网络设计大型企业生产办公网络的核心层网络主要完成园区内各汇聚层设备之间的数据交换和与骨干核心层网络之间的路由转发。 300E具有强大的业务和路由处交换理能力，可以充分满足大型企业不同园区网络的高速数据交换和支持多业务功能的要求，并能够提供完善的安全防御策略，保障企业园区网络的稳定运行。核心层是网络互联的最高层次，应具有如下能力：

27、核心设备之间应该具有最高速的链路；比较粗的控制粒度；最高的路由前缀；为网络其他模块提供互联。在联合公司自动化系统中，核心层为各区域配线间汇聚层交换机以及服务器汇聚交换机之间提供互联。4.4.3 汇聚层网络设计汇聚层网络主要完成企业各园区内办公楼宇和相关单位的内接入交换机的汇聚及数据交换和终结，汇聚层是核心层和接入层的连接模块，主要功能如下：细到粗粒度的转换；提供到核心的路由合并；提供到访问层的路由过滤。联合公司自动化系统的汇聚层，主要是为各个配线间以及服务器群的中心网络设备提供接入层设备的集中和核心层链路的接入。4.4.4 接入层网络设计接入层是面向最终用户的设备，主要功能如下：提供高密度的用

28、户端口；提供许可控制，包括：安全控制和控制。采用多层网络的设计方法，必须依赖于利用网络的高弹性和扩充性。所谓的弹性指的是对故障的容忍度和故障情况下的恢复能力；所谓扩充性是指根据实际需要，可以在各个不同层次实现升级和扩充，实现对网络可控的、有序的优化。在这种体系结构内，接入层为终端用户提供10/100M交换端口，并提供到网络汇聚层的上联链路。各个楼层的终端设备或局域网络全部通过接入层进入网络系统。网络汇聚层聚集配线间内所有的接入交换机，提供千兆链路连接到核心层网络中，并采用第二和第三层交换技术来划分网段（工作组），提供故障或问题的隔离，使得核心网络免于外围故障的影响。由于汇聚层设备连接的用户数较

29、多，涉及的虚拟网络（）信息较多，此次网络方案设计将第三层交换设计在汇聚层上，以提升虚拟网络之间的互通能力。核心网络层连接各个不同的配线间汇聚层交换机以及服务器汇聚交换机，核心网络设备之间提供冗余的、高带宽的交换数据通道，形成网络的核心结构。核心网络中同时会有第二和第三层交换技术的存在，但第三层交换应占有主导地位。第三层交换有利于网络的规模调整并为新的多址发送应用提供更好的性能和流量路由。同时，将服务器群通过服务器汇聚交换机连接在高交换性能的核心网络中，结合虚拟网技术，为网络提供更安全、效率更高的应用效果。5项目费用5.1设备费用设备名称品牌标配 参数数量单价（元）合计（元）服务器主服务器 曙光天阔950( 83788/162146) 3200最大内存容量12内存 2 226.85万53.7万应用服务器 x3650 M3(7945I75) X5670 2.938(24) 3-10600 3 36.4万19.2万路由器无线路由器 思科532W无线智能路由器10.47万0.47万主干路由器 思科12416/32高端企业级路由器交换能力可达320支持4, , 4, , 2.0, 2, , , 135.5万35.5万交换机主交换机华为 S8