1、局域网升级改造规划设计方案局域网升级改造规划设计方案1 绪论1.1 课题研究背景众所周知,网络改变了人们的生活,网络在人们的生活中发挥了越来越举足轻重的地位,而在比如政府机关、企业、学校等部门和事业单位,局域网的建立和规划尤其受到重视和相对有了进一步的研究成果。随着二十一世纪的全球信息化、网络化,近几年世界计算机网络通信技术发展的日新月异,电子商务、网络多媒体等新一代应用改变了人们的生活。这一切都预示着网络经济的来临。但是,XX事业单位的网络规划与设备现状是很多年前的比较旧的网络规划方案,而且网络设备已远远不能满足现在的网络发展的需求1。1.2 课题研究目的和意义近年的网络发展,以互联网为代表
2、的信息技术的飞速发展,改变着人们的思维、生活和行为方式,也以前所未有的广度和深度对烟草行业产生了意义深远的影响,正在逐渐地改变烟草行业的经营围、运作模式和管理理念。确实如此,由于信息技术的高速发展,网络带来了前所未有的便利,局域网的应用也逐渐越来越受到各地区、各事业单位和有关部门的高度重视。随着XX事业单位信息化的不断深入,XX事业单位各个办公部门之间的协调合作,各机关单位的信息化建设也已经从简单的数据业务应用逐步发展到数据、语音、视讯等多业务统一承载,而且XX事业单位办公楼方面的维修与建设早已对网络方面的规划与设备有很高需求,而XX事业单位现有的网络已经无法满足新业务的需求,所以要对XX事业
3、单位的网络进行升级改造。本文关于XX事业单位局域网升级改造的课题研究就是在XX事业单位原有网络规划与设备现状的基础上,结合目前比较成熟、安全的局域网设计方案和目前比较优秀、稳定的网络设备,对XX事业单位的网络进行升级改造规划。另外,根据课题本身的需求再附加其他一些结构,从而保证了整个局域网系统的完整性、安全性及实用性。通过运用局域网,可以把分布在XX事业单位办公网络中心不同楼层的所有信息资源迅速结合成不受时间和空间约束的信息,使人们靠网络手段就能够实现信息资源共享,快速取得联系,从而达到烟草专卖局发展和管理模式的高效性、稳定性和长期性2。这样不仅可以支撑烟草专卖局信息系统的运作,共享各种资源,
4、提高烟草专卖局办公的效率,而且还降低了烟草专卖局局域网网络规划的总体费用开支。1.3 课题研究目标在设计一个单位的局域网的时候,首先要确定用户对网络的真正需求,并在结合现状和未来可能的发展要求的基础上选择、设计合适的网络结构和网络技术,提供用户满意的高质服务。还要注意到由于逻辑上业务网和管理网必须分开,所以升级改造后的局域网应能提供多个网段的划分和隔离,并能做到灵活改变配置,以适应办公环境的调整和变化。考虑到XX事业单位部数据的重要性、性,为了保证烟草专卖局各项工作的顺利进行,保证网络的不间断运行,网络平台应具有以下一些特点:(1)高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证,相应地
5、在网络设计时,必须强调网络系统的备份与冗余,要求网络有较好的容错能力,整个网络能够可靠地不间断工作,以确保系统的稳定运作,在设计中选用高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持各个系统的正常运行。(2)技术先进性和实用性在保证开放性和实用性原则的基础上,在资金许可的情况下,采用先进并标准化的技术与设备,发挥网络最佳的集成效能,保证在相当长一段时间系统整体处于先进水准。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑到烟草专卖局网络应用的现状和未来发展趋势。(3)灵活性及可扩展性需不断变化着的,根据现有工作的处理和未来
6、业务的增长和变化,要兼顾目前的办公需求和今后较长时期的工作发展需要,即设计时必须留有恰如其分的余量,使系统具有良好的可缩放性,确保在今后需求变化时,结构上不做或只做很小的改动,网络可以平滑地扩充和升级,减少最大程度的减少对网络架构和设备的调整。(4)可管理性对于一个网络系统来讲,网络的管理和维护性是必需的。通过网管系统,能及时方便地了解网络的运行状况,提高网络运行效率,及时发现各种网络故障并迅速排除,以保障网络系统正常、高效地运行。在网络设备的选择上,即要考虑技术性能、市场份额、技术特色,又要权衡与原有系统整合的因素、人员的培训状况。本系统需要完整、最新而成熟的技术和产品。其各项技术应保证具有
7、开放性、可移植性、兼容性和可扩展性。(5)安全性在网络设计时,需考虑多级安全防措施,包括路由器过滤、防火墙隔离、加密传输、身份认证等多种方法组合防护,根据不同的需要进行不同的网络安全设计,最大程度地保护整个网络系统的安全。2 网络建设需求分析与发展计算机网络是烟草行业电子化的重要基础设施,它是提高烟草部门工作效率,为以后实现各地区烟草部门合作的基础。因此,为了赢得更深远而持久的发展,近几年来国各省市烟草单位纷纷将其网络的升级、改造建设列为企业发展的一项重要基础工作3。2.1 办公楼分布现状分析XX事业单位组建于1983年9月,限于当时经济发展的状况,当时的办公楼层建设只有一栋办公楼和一个仓库,
8、可以满足当时的各项工作的需求。经过二十多年的社会经济,XX事业单位的原有办公楼已不能满足各项工作的需要,所以新建了一栋办公楼,并扩建了仓库设施,并将原有各部门分布和新加的办公室分布重新安排。建筑分布主要有办公楼1(主办公楼)、办公楼2、仓库,办公楼1分布一些主要职能办公室,共16个办公室和一个中心机房,其中中心机房和接待处在一楼,其他办公室分布在第二至五层;办公楼2分布一些专业部门的办公室,共9个办公部门。 本方案在原烟草专卖局主办公楼网络规划基础上,将另外新建的办公楼的办公室的网络也接入中心机房中,从而保证XX事业单位每一个办公区域都可以通过网络的连接,在任意一个地点都可以进行信息访问。各办
9、公楼与仓库分布如图2-1所示。图2-1 各办公楼与仓库分布图2.2 烟草专卖局信息点分布办公楼1为主办公楼,主体共5层,其中一楼为接待处和中心机房的分布;二楼为机关党委、办公室、财务管理处、审计处办公室的分布;三楼为综合计划处、专卖监督管理处、政策法规与体制改革处、科技处办公室;四楼为人事劳资处、监察处、卷烟销售管理处办公室、宣传部;五楼为档案室、思想政治工作处。办公楼1信息点数和VLAN分布统计入表2-1所示。表2-1 办公楼1信息点数和VLAN分布统计楼层信息点VLAN1F2VLAN 102F33VLAN 11-VLAN 143F28VLAN 15-VLAN 184F22VLAN 19-V
10、LAN 225F6VLAN 23-VLAN 24办公楼2为XX事业单位其他办公室所在区,主体共4层,其中一楼为安全保卫处、机关服务中心、烟草质量监督检测站;二楼为会议室、离退休人员管理办公室、物流管理处、职业技能鉴定站;三楼为烟草公司机关工会、烟草学会;四楼为教育培训中心。另外,由于仓库的网络接入较少,可将仓库的网络接入分布办公楼2的一楼。办公楼2信息点数统计入表2-1所示。表2-1 办公楼2及仓库信息点数和VLAN分布统计楼层信息点VLAN1F22VLAN 25-VLAN 272F28VLAN 29-VLAN 323F20VLAN 33-VLAN 344F16VLAN 35仓库2VLAN 2
11、82.3 功能需求分析在市烟草专卖公司网络建设中存在多用户,多服务的现状,对网络系统要求具有稳定性、高效率等,以保证大数据量访问下有效的处理能力。针对需求设备要能对数据做到分布式处理,这样的分布式处理可以节省主交换引擎的消耗,并在大量的数据应用和数据传输的过程中,保证所有硬件设备都可以进行快速的转发,具备高背板带宽(交换容量),所有端口都能保证速度转发4。这种分布式处理可以极提高整体处理能力,保证了网络畅通。XX事业单位局域网规划技术要求有以下几点:(1) 采用千兆核心及核心设备的冗余,主要骨干链路采用千兆链路,百兆到桌面。(2) 烟草专卖局局域网应将不同部门划分到不同的VLAN中进行隔离,以
12、保证网络安全。(3) 应保证网络能够满足各种业务的需要,如:财务信息系统、日常工作安排系统、工作人员信息管理系统等。(4) 随着技术的发展和业务的增长,可以通过更换或增加模块,使网络升级,网络规模和容量可以平滑增长。(5) 要求整个网络具有高可靠性的总体设计,采用的技术是相对成熟的技术;所选用的设备具有高可靠性;采用具有高安全级别的系统软件;可以实现网络自愈。(6) 系统的性能指标能够完全满足网络各项业务对处理能力的要求,且便于维护与管理。(7) 网络和主机应支持符合国际和业界标准的相关结构,能够与相关系统和网络可靠互联;系统软硬件平台应具有良好的移植能力;应选择广泛应用的标准协议,支持局域网
13、部的其它协议。3 技术选择分析3.1 VLAN技术VLAN(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽,而且对广播风暴的控制和网络安全只能在第三层的路由器上实现5。VLAN相当于OSI参考模型的第二层的广播域,能够将广
14、播风暴控制在一个VLAN部,划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。另外,VLAN具有灵活性和可扩性等特点,方便于网络维护和管理,这两个特点正是现代局域网设计必须实现的两个基本目标,在局域网中有效利用虚拟局域网技术能够提高网络运行效率。3.2 OSPF协议OS
15、PF是开放最短路径优先协议,是一种常用的动态路由协议,区别于距离矢量协议(RIP),在目前应用的路由协议中占有相当重要的地位,主要用在路由器或路由交换机之间发布路由信息6。3.3 MSTP生成树协议多生成树(MST)使用修正的快速生成树(RSTP)协议,叫做多生成树协议(MSTP)。MSTP将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载均衡。MSTP兼容STP和RSTP,并且可以弥补STP和RSTP的缺陷。它既可以快速收敛,也能使不同VLAN的流量沿各自的路径分发,从而为冗余链路提供了更好的
16、负载分担机制7。MSTP使用灵活,适用于任意复杂组网,配置相对也比较简单,最简单的情况下只需要将MSTP协议开启即可,还可以通过设置桥优先级、域信息以及端口路径开销来选择任意VLAN的任意一条通路来实现流量转发。3.4 ACL访问列表控制访问控制是网络安全防和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,
17、可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入XX事业单位网的第一道关卡,路由器上的访问控制列表成为保护网安全的有效手段。3.5 VRRP协议虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器中的一台。控制虚拟路由器IP地址的VRRP路由器称为主路由器,它负责转发数据包到这些虚拟IP地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器。
18、使用VRRP的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议,VRRP包封装在IP包中发送。VRRP协议主要用在2台核心交换机上,本次方案中核心交换机选型为路由交换机,具备路由器的功能,通过运行VRRP协议可以防止单点故障的发生,即使其中一台交换机出现故障,也不会对烟草专卖局业务造成很大的影响,最大化的保护了网络的正常运行。3.6 FIREWALL防火墙技术防火墙指的是一个由软件和硬件设备组合而成、在部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与部网之间建立起一个安
19、全网关,从而保护部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙8。在网络中,所谓“防火墙”,是指一种将部网和公众访问网分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,专卖局部的人就无法访问Internet,Internet上的人也无法和专卖局部的人进行通信。
20、4 XX事业单位网络设计方案4.1 网络总体拓扑图XX事业单位网络拓扑图如图4-1所示。图4-1 XX事业单位网络结构拓扑图在XX事业单位的网络的建设中,主要分为两个办公区域,分别为办公楼1办公区和办公楼2办公区,办公楼1办公区是一些重要的办公室所在的区域,如财务科,机关党委处等,这些办公室是不允许办公楼2区域的办公室的未经许可访问,而这两个办公楼区域对外网和服务器的连接是不受限制的9。4.1.1 核心层交换设计核心层的主要目的是尽可能快地交换数据。在整个网络区域中,汇聚层和核心层在某些地方会合二为一。当汇聚层上有两个或更多子网时,就需要设计核心层来连接这些子网。核心层负责传输穿过网络区域的数
21、据流,核心层所处理的数据流比其它层次要大很多,应当能尽可能快地传输数据流10。核心层主要提供以下功能:(1)连接各交换区段。(2)尽可能快地交换数据帧或数据包。同时,本方案要求今后的网络均按百兆到桌面的要求设计的,所以在实际运行的网络流量由于网络应用类型、网络结构、主干链路速率、网络投资等多种因素将远不能达到这种情况下计算出来的数值,但在工程上,以上估算数值可作为网络主干或中心的交换容量的参考指标。4.1.2 汇聚层网络设计汇聚层位于接入层和核心层之间,汇聚层是接入层和核心层之间的分界点和通信点。这一层进行一些复杂的、消耗系统资源较大的数据包操作。接入层设备汇接到一台或者多台汇聚层设备上。汇聚
22、层设备在接入层交换机之间提供第二层连接,同时提供第三层功能,支持路由选择和网络层服务。如果需要的话,在汇聚层还可以定义以怎样的方式对核心层进行访问11。汇聚层必须决定用最快的方式来处理网络服务请求。汇聚层实现的主要功能包括:(1)VLAN聚合及VLAN间路由。(2)定义广播域和组播域。(3)访问列表、包过滤和排序、IP和MAC的绑定。4.1.3 接入层交换设计接入层是三层模型中的最下面一层,也是和用户距离最近第一层。接入层控制用户和工作组对互联网资源的访问。接入层有时也称桌面层,大多数用户需要的资源将在本地获得,其余的远程访问数据流将由汇聚层处理。可以在这一层通过过滤或访问控制列表提供对用户流
23、量的进一步控制12。接入层主要实现的功能包括:(1)提供到用户的接口。(2)提供数据链路层服务。(3)隔离冲突域(即VLAN的划分)。(4)访问控制。由于到用户需要较多的物理接口所以接入层主要由接入交换机实现。在交换机上进行简单的配置即可完成接入层的功能。4.2 子网、IP地址及VLAN规划4.2.1 子网规划根据第二章的需求分析,由于XX事业单位根据办公楼分布和办公室职能不同,将整个烟草专卖局划分为2个子网13。(1)办公楼1职能办公区域子网:主要是办公楼1的重要职能办公室的接入。(2)办公楼2专业部门办公区域子网:主要是办公楼2的专业部门办公室和仓库的接入。4.2.2 IP地址及VLAN划
24、分职能办公室主要位于办公楼1中,办公楼1共有91个网信息点,每一个层楼分配一个交换机,每一个办公室划分为一个VLAN,每一个楼层上的VLAN划分到该楼层对应的交换机上,而由于办公楼1的接待处的PC较少,可将一楼的办公室连接到二楼的交换机,一楼可不分配交换机,为XX事业单位节省一个交换机设备14。办公楼1的IP及VLAN划分如表4-1所示。表4-1 办公楼1IP地址及VLAN划分办公部门分配的IP地址所属VLAN所属交换机接待区192.168.10.0/24VLAN 10办公楼1二楼交换机机关党委192.168.11.0/24VLAN 11办公楼1二楼交换机办公室192.168.12.0/24V
25、LAN 12办公楼1二楼交换机财务管理处192.168.13.0/24VLAN 13办公楼1二楼交换机审计处办公室192.168.14.0/24VLAN 14办公楼1二楼交换机综合计划处192.168.15.0/24VLAN 15办公楼1三楼交换机专卖监督管理处192.168.16.0/24VLAN 16办公楼1三楼交换机政策法规与体制改革处192.168.17.0/24VLAN 17办公楼1三楼交换机科技处办公室192.168.18.0/24VLAN 18办公楼1三楼交换机人事劳资处192.168.19.0/24VLAN 19办公楼1四楼交换机监察处192.168.20.0/24VLAN 2
26、0办公楼1四楼交换机卷烟销售管理处办公室192.168.21.0/24VLAN 21办公楼1四楼交换机宣传部192.168.22.0/24VLAN 22办公楼1四楼交换机档案室192.168.23.0/24VLAN 23办公楼1五楼交换机思想政治工作处192.168.24.0/24VLAN 24办公楼1五楼交换机专业部门办公室主要位于办公楼2中,办公楼2共有88个网信息点,每一个层楼分配一个交换机,每一个办公部门划分为一个VLAN,每一个楼层上的VLAN划分到该楼层对应的交换机上。办公楼2的IP及VLAN划分如表4-2所示。表4-2 办公楼2IP地址及VLAN划分办公部门分配的IP地址所属VL
27、AN所属交换机安全保卫处192.168.25.0/24VLAN 25办公楼2一楼交换机机关服务中心192.168.26.0/24VLAN 26办公楼2一楼交换机烟草质量监督检测站192.168.27.0/24VLAN 27办公楼2一楼交换机仓库192.168.28.0/24VLAN 28办公楼2一楼交换机会议室192.168.29.0/24VLAN 29办公楼2二楼交换机离退休人员管理办公室192.168.30.0/24VLAN 30办公楼2二楼交换机物流管理处192.168.31.0/24VLAN 31办公楼2二楼交换机职业技能鉴定站192.168.32.0/24VLAN 32办公楼2二楼交
28、换机续表4-2办公部门分配的IP地址所属VLAN所属交换机烟草公司机关工会192.168.33.0/24VLAN 33办公楼2三楼交换机烟草学会192.168.34.0/24VLAN 34办公楼2三楼交换机教育培新中心192.168.35.0/24VLAN 35办公楼2四楼交换机服务器IP地址及VLAN划分如表4-3所示。表4-3 服务器IP地址及VLAN划分办公部门分配的IP地址所属VLAN服务器192.168.36.0/24VLAN364.3 方案设计特点(1) 具备三层功能的交换网络结构所有产品都支持第二层或第三层(或基本IP交换)功能。不仅可以进行VLAN的划分,还可以进行高速的路由转
29、发15。VLAN可以根据端口、子网和网络协议进行划分。支持各种常用的网络协议和路由协议。由于每个设备都支持无阻塞的第二层或第三层交换,在交换结构中,可以达到非常好的性能,也意味着可以减少繁琐的拥塞管理工作。第二层意味着可以支持域网络协议无关的链路服务,用户可以是IP网络、IPX网络或WINDOWS NT网络,用户不需要改变他们已有的网络协议和网络地址。第三层意味着可以支持以IP为主要协议的网络应用,尤其是需要与其他地域互连时,由于网络链路的复杂性和多样性,要进行网络互连,必须采用高层网络协议。第二层服务可以为网络的单个区域服务。第三层则可以为整个网络连接时提供服务。(2) 完善的接入安全性由于
30、每个设备都可以支持第二层或第三层交换,因此可以提供第二层或第三层的安全控制能力。第二层安全控制能力可以提供端口地址过滤、端口地址锁定等功能。端口地址过滤允许交换机根据预先设定的过滤规则,允许或禁止某些第二层数据包进出交换机,也就是对上网用户的网卡MAC地址进行检查后才能上网,不符合规则的用户将被拒绝上网。第三层安全控制能力可以提供访问控制列表能力,允许交换机根据预先设定的规则,允许或者禁止某些第三层数据(IP或IPX包)进出交换机。(3) 良好的网络隔离能力网络较关心的问题是网络的安全性问题,他们不希望部数据有被窃取得可能,这就使得网络必须提供类似电路的隔离功能。在本次网络升级改造规划中,采用
31、的比较多的应该是VLAN技术,即虚拟局域网技术。在VLAN技术出现以前,交换技术域网络的第二层,所有的端口到属于同一个广播域,也就是每个端口都可以收到广播信息,不管它愿不愿意。在大型的网络环境中,广播包不可避免地会引起带宽的浪费,而在TCP/IP,IPX,WINDOWS环境下,广播包的使用更是不可或缺。为了解决这个问题,VLAN技术应运而生。VLAN把一部分端口模拟成为一个虚拟的广播域,VLAN的所有广播都只会在本域发送,不会超出广播域,进一步,VLAN的所有数据都只能被同一VLAN的成员接收,而不会被非本VLAN成员接收。不同的VLAN之间不能相互通信,必须通过路由设备进行转发16。如果把每个区域网络划到每个不同的VLAN,网络之间就不可能相互通信,这就实现了逻辑隔离。由于每个区域网络都可以运行部约定的网络协议,设定部约定的网络
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1