《2022年网络工程设计方案A .pdf》由会员分享,可在线阅读,更多相关《2022年网络工程设计方案A .pdf(27页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、依安县象屿公司网络工程设计方案工程单位:依安县象屿公司工程名称:公司综合网络设计人员:王成文完成时间:2018 年 6 月 14 日名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 27 页 - - - - - - - - - 2 目录一、网络需求分析 5 1.1 工程项目概况 5 1.2 信息点分布 6 1.3 需求分析 6 二、方案设计原则.8 三、网络方案设计.10 3.1 网络拓扑结构介绍10 3.2 网络拓扑图 10 3.3.1 骨干核心层网络设计11 3.3.2
2、 核心层网络设计12 3.3.3 汇聚层网络设计13 3.3.4 接入层网络设计.13 3.3.5 广域网互联设计.14 3.3.6 冗余/负载均衡设计 15 3.3.7 线路冗余 15 3.3.8 网络设备冗余 /负载均衡设计 17 3.3.9 服务器冗余设计.18 3.310 IP 地址规划原则 19 四、网络安全及管理机制.23 4.1 完善的安全机制 .23 4.2 解决安全威胁 .25 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 27 页 - - - - -
3、 - - - - 3 4.3 VPN (虚拟专用网 ).25 五、网络设备选型.26 六、方案的扩展性考虑27 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 27 页 - - - - - - - - - 4 前言在信息化高速发展的今天,信息成为社会经济发展的核心因素,信息化已成为当今世界潮流。而现在,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。随着信息时代的到来,企业的生存和竞争环境发生了根本性的变化。对于大型企业而言,信息化无论是作为战略手段还是战
4、术手段,在企业经营中发挥着举足轻重的作用。信息技术作为新技术革命的核心.不仅具有高增值性、 成为最具经济活力的经济增长点,而且具有高渗透性, 以极强的亲和力和扩散速度向经济各部门渗透,使其结构和效益发生根本性改变。信息化已成为当代经济发展与社会进步的巨大推力,尤其是作为国民经济信息化基础的企业信息化,当前更显得尤为重要,信息化建设已成为企业发展的必由之路。信息化是企业加快实现现代化的必然选择! 随着近年来企业信息化建设的深入,企业的运作越来越融入计算机网络,企业的沟通、应用、财务、决策、会议等等数据流都在企业网络上传输,构建一个“安全可靠、性能卓越、管理方便”的“高品质”大型企业网络已经成为企
5、业信息化建设成功的关键基石。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 27 页 - - - - - - - - - 5 一、网络需求分析1.1 工程项目概况依安县象屿公司为了加快信息化建设,将建设一个以办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心,以现代网络技术为依托,技术先进、 扩展性强, 将公司的各种办公室、多媒体会议室、PC 终端设备、应用系统通过网络连接起来,实现内、外沟通的现代化计算机网络系统。该网络系统是支持办公自动
6、化、供应链管理、ERP 以及各应用系统运行的基础设施,为了确保这些关键应用系统的正常运行、安全和发展,系统必须具备如下的特性:1、采用先进的网络通信技术完成公司企业网的建设,实现各分公司的信息化;2、在整个企业公司内实现所有部门的办公自动化,提高工作效率和管理服务水平;3、在整个企业公司内实现资源共享、产品信息共享、实时新闻发布;4、在整个企业公司内实现财务电算化;5、在整个企业公司内实现集中式的供应链管理系统和客户服务关系管理系统;具体要求:WWW 服务名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - -
7、- - - - 第 5 页,共 27 页 - - - - - - - - - 6 E-mail 、FTP 服务网上多媒体教学,能提供视频点播服务公司内行政管理上网服务1.2信息点分布主要信息点集中在生产部、账务部、网络中心、职工宿舍等部门。详细分布如表1 所示。地点信息点备注网络中心40 需保证速度、流量和可靠生产部150 需保证速度、流量和可靠账务部120 需保证速度、流量和安全职工宿舍1000 需保证速度和流量销售部100 需要保证速度和可靠性综合设计30 需保证速度和流量表 1 主要信息点分布1.3 需求分析为适应信息化的发展,满足日益增长的通讯需求和网络的稳定运行,今天的大型企业网络建
8、设比传统企业网络建设提出更高的要求,主要表现在如下几个方面:1)现代大型企业网络应具有更高的带宽,支持 10GE 或将来平滑过渡到10GE,更强大的性能,以满足用户日益增长的通讯需求。随着计算机技术的高速发展,基于网络的各种应用日益增多,尤其是对核心网络的数据交换能力提出前所未有的要名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 27 页 - - - - - - - - - 7 求。另外,随着千兆端口的成本持续下降,千兆到桌面的应用会在不久的将来成为企业网的主流。所以今天
9、的企业网络已经不能再用百兆到桌面千兆骨干来作为建网的标准,它的核心层及骨干层必须具有万兆级带宽和处理性能,才能构筑一个畅通无阻的“高品质”大型企业网,从而适应网络规模扩大,业务量日益增长的需要。2)现代大型企业网络应具有更全面的可靠性设计,以实现网络通讯的实时畅通,保障企业生产运营的正常进行。现代大型企业网络在可靠性设计方面主要应从三方面考虑:第一是设备级可靠性设,这要求购买设备的时候不能一味的只追求价格因素而忽略可靠性;其次是业务的可靠性设计,这里要注意网络设备在故障倒换过程中是否对业务的正常运行有影响;再次是链路的可靠性设计,以太网的链路安全来自于它的多路径选择,所以在企业网络建设时要考虑
10、网络设备是否能够提供有效的链路自愈手段和快速重路由协议的支持。3) 现代大型企业网络需要提供完善的端到端QOS 保障,以满足企业网多业务承载的需求。大型企业网络承载业务的不断增多,单纯的提高带宽并不能够有效的保障数据交换的畅通无阻,而必须要考虑到网络应能够智能的识别应用事件的紧急和重要程度,如视频、音频、数据流 (MIS 、ERP、OA 、备份数据 ),同时能够调度名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 27 页 - - - - - - - - - 8 网络中的资
11、源,保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送,实现对业务的合理调度才是一个大型企业网络提供“高品质”服务的保障。4)现代大型企业网络应提供更完善的网络安全解决方案,以阻击病毒和黑客的攻击,减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件以及配合交换机或路由器的ACL 来实现对于病毒和黑客攻击的防御,但实践证明这些被动的防御措施并不能有效的解决企业网络的安全问题。5)现代大型企业网络应具备更智能的网络管理解决方案,以适应网络规模日益扩大,维护工作更加复杂的需要。二、方案设计原则本方案的设计将在追求性能优越、经济实用的前提下,本着严谨、 慎重的态度, 从
12、系统结构、 技术措施、 设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计,力图使该系统真正成为符合该中学的网络系统。从技术措施角度来讲,在网络的设计和实现中,本方案严格遵守了以下原则:1、实用性和集成性系统的软硬件设计、还是集成,均以适用为第一宗旨,在系统充分适应企业信息化的需求的基础上进而再来考虑其他的性能。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 27 页 - - - - - - - - - 9 2、标准性和开往性只有支持标准性和开放性的系统,
13、才能支持与其它开放型系统一起协同工作,在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准,以便能和不同厂家的开放性产品在同一网络中同时共存。3、先进性和安全性系统所有的组成要素均应充分地考虑其先进性。不能一味地追求实用而忽略先进,只有将当今最先进的技术和我们的实际应用要求紧密结合,才能获得最大的系统性能和效益。4、成熟性和高可靠性网络硬件体系结构在实际应用中能经过较长时间的考验,在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案,并通到较多的第三方开发商和用户在全球的广泛支持和使用。同时,应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品,以适应系统未来的
14、发展需要。可靠性也是衡量一个计算机应用系统的重要标准之一。5、可维护性和可管理性整个信息网络系统中的互连设备,应是使用方便、操作简单易学,并便于维护。管理员能方便进行网络管理、维护甚至修复。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 27 页 - - - - - - - - - 10 在设计和实现时,必须充分考虑整个系统的便于维护性,以使系统万一发生故障时能提供有效手段及时进行恢复,尽量减少损失。6、可扩充性和兼容性网络的拓扑结构应具有可扩展性即网络联结必须在系统结构
15、、系统容量与处理能力、物理接连、产品支持等方面具有扩充与升级换代的可能,采用的产品要遵循通用的工业标准,以便不同的设备能方便灵活地接连入网并满足系统规模扩充的要求。三、网络方案设计3.1 网络拓扑结构介绍在此次象屿公司大型企业网的设计中,我采用层次化模型来设计网络拓扑结构。所谓“层次化”模型,就是将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计,也能够应用于广域网的设计。3.2 网络拓扑图网络拓扑图如图1 所示。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - -
16、- - - - - - 名师精心整理 - - - - - - - 第 10 页,共 27 页 - - - - - - - - - 11 图 1 网络拓扑图3.3 网络设计3.3.1 骨干核心层网络设计大型企业生产办公网络的核心网主要完成整个企业公司内部不同地域企业之间的高速数据路由转发,以及维护全网路由的计算。鉴于大型公司企业的用户数量众多,业务复杂, QOS 要求较高的特点,在本方案中采用H3C S7506-AC高密度多业务核心路由交换机组建高性能的核心网络平台。H3C S7506-AC 系列交换机是具有运营商级容错能力的高性能大型网络核心交换机,可为高校和运营商提供基于领先技术的卓越性能和
17、可靠性。H3C S7506-AC 系列交换机专为发挥万兆、千兆以太网潜在的强大交换能力而设计,超大容量的交换背板使得包括万兆端口在内的每个端口具备全名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 27 页 - - - - - - - - - 12 线速交换能力,确保在巨大的网络通信负载下始终能够轻松实现线速的第二层和第三层交换,是城域网、数据中心、智能大厦及企业网络骨干级核心路由交换机的理想选择。该系列交换机的所有管理模块、交换模块以及电源模块都可互换使用,而且管理模块
18、、电源模块、风扇等还可实现冗余备份,温度传感器可以随时监控各个部件的工作温度,从而提供运营商级的可靠性。H3C S7506-AC 交换机的一大特色是管理模块均带有业务接口,使得所有的插槽均为有效的业务插槽,从而大大提高了端口密度和插槽利用率。在骨干核心层中,我们采用三台H3C S7506-AC 核心路由交换机组成一个环形多机热备份的核心交换机系统解决方案。为提高核心网络的健壮性,实现链路的安全保障,本方案骨干核心层环网中可以采用VRRP(虚拟路由器冗余协议) 。对于各个业务VLAN 可以指向这个虚拟的IP 地址作为网关,因此应用 VRRP 技术为核心交换机提供一个可靠的网关地址,以实现在核心层
19、核心交换机之间进行设备的硬件冗余,一主两备,共用一个虚拟的IP 地址和 MAC 地址,通过内部的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网络高效处理大集中数据提供了可靠的保障。3.3.2 核心层网络设名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 27 页 - - - - - - - - - 13 大型企业生产办公网络的核心层网络主要完成园区内各汇聚层设备之间的数据交换和与骨干核心层网络之间的路由转发。传统解决方案一般采用骨干路由器核心交换机来
20、组建,但这种方式受限于交换机的性能,在提供MPLS VPN 的业务能力方面较弱,不适合大型企业网络的建设需求,同时现在的大型企业办公网络具有城域网的特点,网络发展具有网络扁平化的发展方向,因此本方案骨干层网络设备采用 H3C S7506-AC 核心路由交换机作为大型企业生产办公网络的园区核心路由交换设备,H3C S7506-AC 具有强大的业务和路由处交换理能力,能提供如MPLS VPN 、QOS、策略路由、 NAT、PPPoE/Web/802.1x/L2TP 认证等丰富业务能力,并可通过内置防火墙模块实现各种强大的网络安全策略,可以充分满足大型企业不同园区网络的高速数据交换和支持多业务功能的
21、要求,并能够提供完善的安全防御策略,保障企业园区网络的稳定运行。3.3.3 汇聚层网络设计汇聚层网络主要完成企业各园区内办公楼宇和相关单位的内接入交换机的汇聚及数据交换和VLAN终结,在本方案中采用 H3C S7502E交换机多层交换机作为汇聚层面的交换机。 H3C S7502E交换机在提供高密度千兆端口接入的同时还能够满足汇聚层智能高速处理的需要, 并能够加灵活名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 27 页 - - - - - - - - - 14 的部署在
22、网络边缘的各个位置。能够同时提供多个高速专用堆叠端口和百兆、千兆光口/ 电口。这些交换机都具备较强的多业务提供能力,可支持包括智能的CCL 、MPLS 、等业务。3.3.4 接入层网络设计以往传统企业网络接入层的建设中并不关注于安全控制和 QOS 提供能力,而将网络的安全防御措施和QOS 保障依赖于网络的汇聚层或骨干层设备,这给汇聚层和骨干层设备带来了巨大的压力,往往内网病毒泛滥成灾后导致骨干层设备瘫机,使网络没有QOS 服务质量保障。H3C S1024智能宽带接入交换机是能满足高安全、多业务承载、高性能的网络环境智能交换机,具备传统二层交换机大容量、高性能等优点,同时还具有领先的安全特性,进
23、一步加强了企业网络对边缘接入层面的安全控制能力。用户可以根据需要来订制自身的安全策略并部署在此交换机上。该产品具备的端口带宽限制、端口镜像、QOS、端口安全、广播风暴抑制等功能可以很好的协助用户实现网络的管理和维护。除此之外,此交换机还具备多个专用堆叠接口,可以满足楼层,楼宇内多个交换机高性能汇聚的需要。3.3.5 广域网互联设计针对于大型企业需要良好的出口网关设备,我们建议用户 选 用H3C SecPath U200-CS-AC。 H3C SecPath 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - -
24、 - - - - 第 14 页,共 27 页 - - - - - - - - - 15 U200-CS-AC防火墙专为千兆位流量的网络服务运营商,大型数据中心等骨干网络而设计, 采用 2U 专用千兆安全平台,完全模块化可扩展结构,具有热插拔特性的冗余部件为您提供最大的不间断运行时间。H3C SecPath U200-CS-AC防火墙内置1 个 10/100/1000M 自适应以太网电口,具备6 个SFP 扩展插槽,接口模块类型支持单模、多模光纤,千兆电口,充分满足您的定制需最多可扩展至8 个千兆接口。3.3.6 冗余 /负载均衡设计冗余设计是网络设计的重要部分,是保证网络整体可靠性能的重要手段
25、。但是投资也将增加。部分企业园区网在早期的建设中由于成本的原因并未在设计中考虑冗余问题,而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计可以贯穿整个层次化结构,每个冗余设计都有针对性,可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时,冗余链路可以提供另一条物理路径。可采用GEC 链路聚合( IEEE802.3ad)实现端口级冗余,以克服某个端口或线路引起的故障。也可采用生成树协议( IEEE802.1d)提供设备级的冗余连接。此外,我们在设计中提供不同物理方向的双归属、双路由保护。3.3.7 线路冗余在企业网骨干核心层,企业网络边界拓扑结构由于采用了环
26、形多机热备份的核心交换机系统解决方案,所以在线路名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页,共 27 页 - - - - - - - - - 16 冗余方面的要求较高,对于线路的冗余要求,我们采用 10GE线路对三台企业网骨干核心层设备进行环行双向备份,并使用业界领先的VRRP(虚拟路由器冗余协议)来对其作为冗余线路的协议保障。以GEC 作为 N*1000M 主干链路,通过这个链路连接骨干网交换机,具备万兆扩展能力;接入交换机采用 10/100M 自适应端口连接桌面系统
27、,多千兆链路连接到汇聚层。GEC 路具有链路聚合和冗余保证两大特性,下面我们将对它们依次进行介绍。链路聚合:可使用一条物理链路在不同品牌交换机之间、交换机和服务器间提供聚合的高速通道,在不增加投资的情况下,扩大交换带宽,使关键连接的传输效率更高冗余保证:链路聚合中,成员互相动态备份。当某一链路中断时,其它成员能够迅速接替其工作。与生成树协议不同,链路聚合启用备份的过程对聚合之外是不可见的,而且启用备份过程只在聚合链路内,与其它链路无关,切换可在数毫秒内完成。综合分析以上各主流方案的优缺点,从性能与成本及拓展性等方面的综合考虑出发,我们决定采用GEC 骨干核心网络 10GE 拓展的方式作为其链路
28、选择及备份选择。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页,共 27 页 - - - - - - - - - 17 在企业网汇聚层及接入层出于成本及性价比的考虑,我们决定采用千兆汇聚,万兆拓展;百兆到桌面的链路选择。3.3.8 网络设备冗余 /负载均衡设计负载均衡建立在现有网络结构之上,它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力, 提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题,服务就近提供,实现地理位置无关性;为用户提供
29、更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失效。在此方案中,在网络的每个关键结点,我们在设计时都做到了对其有效的冗余备份和负载均衡。在网络的骨干核心层上。我们采用了三台锐捷网络的RG-S8610 高密度多业务IPV6 核心路由交换机组建高性能的核心网络平台,在对骨干核心层提供足够的网络接点和接入需求的同时最大限度的为网络提供了有效的冗余保障和负载均衡。在核心层的每个区块,我们都采用了两台锐捷网络的RG-S8606 度多业务IPV6 核心路由交换机做到冗余与负载均衡。在汇聚层的每个区块, 我采用了两台锐捷网络的RG-S5750 交换机多层交换机
30、做到冗余与负载均衡。在本方案的设计中,出现了两个以上的交换区块和需要提供冗余连接的时候,我们采用了双核心配置。如下图,我名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页,共 27 页 - - - - - - - - - 18 们给出了从接入层到汇聚层再到核心层的双核心配置。双核心拓扑结构提供了两条等代价路径和双倍的带宽。每个核心交换机连接着数目相同的子网到第三层汇聚设备上。每个交换区块都有冗余的连接到核心交换机上,因此形成两条不同的,但是等代价的连接。如果一条核心设备发生故障
31、,还是能够收敛,因为汇聚层设备的路由选择表中还有另一条到核心设备的路由。第3 层路由选择协议在核心中起链路选择的作用,VRRP 提供快速错误恢复。核心层不需要STP,因为在核心交换机间没有冗余的第2 层连接。3.3.9 服务器冗余设计企业网中服务器、大型机,如网络存储服务器,SQL Server 服务器,其存储的数据对于企业来说致关重要,一些核心数据被视为企业的生命。一方面它对企业的企业的重要性毋庸质疑,另一方面,由于这些数据的性质决定了其较大的被访问量,这个对服务器提出了稳定和快速的要求。如果宕机 ,后果是技术是保障计算机系统的可靠性是重中之重。为名师资料总结 - - -精品资料欢迎下载 -
32、 - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页,共 27 页 - - - - - - - - - 19 此,我们采用的是双机热备技术,此技术能够有效的满足核心服务器高效,稳定的高要求。而且相对于其它成本技术来说,这是比较有经济价成效的技术。Server 1 Server 2 服务器双机热备技术具体技术实现:每个核心服务器均具有两个以太网接口(可以通过安装双网卡实现),在此基础上,以上图为例,DB 服务器 A 与 DB 服务器 B 先分别利用自己的一个以太网接口实现两个服务器之间的直连,每个服务器另外的一个接口则与服务
33、器区的网络实现互连,以达到双机热备的目的。因此增加服务器的稳定性与高效性。本网络中应具有多台服务器设备,包括DB SERVER 数据库服务器, WEB,CATALOG等应用服务器,NEWS,MAIL等通讯服务器及多媒体服务器等。3.310 IP 地址规划原则IP 地址构成了整个Internet 的基础, IP 地址资源是整个Internet 的基本核心资源,IP 地址资源的合理分配和有效利名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页,共 27 页 - - - - - -
34、- - - 20 用是整个Internet 发展过程中持续有效的一个极具分量的研究课题。我们在对企业园区网IP 地址编址设计和分配利用时,遵循了以下几个原则:1) 、自治:整个园区网络网络被划分成几个大的自治区域,每个大自治区域中又被划分成几个小的自治区域。2) 、有序:我们按照自治原则将网络进行逻辑划分后,就根据地域、设备分布及区域内用户数量来进行子网规划。同时,我们将IP 地址规划和网络层次规划、路由协议规划、流量规划等结合起来考虑。在进行地址分配时,为了提高地址分配效率和地址利用率,我们在编址设计时按照了一定的顺序进行。选择的顺序是自上而下的顺序,即采用了业界领先的自顶向下网络设计(To
35、p-Down Network Design )方法。3) 、可持续性:考虑到园区内网络用户数将持续高速增长,网络所要承载的业务量和业务种类越来越多,这使得网络需要频频进行技术升级、改造和扩容。4) 、可聚合:在路由表急剧膨胀情况下,可聚合原则是网络地址分配时所必须遵守的最高原则,可聚合原则要求在进行地址规划时,应提供足够的路由冗余功能。5) 、尽量节约IPv4 地址:由于IPv4 地址越来越少,所以对于 IPv4 地址的使用需要格外节约。IPv4 地址的节约可以通过动态编址技术和NAT 技术等来实现。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - -
36、- - - - - 名师精心整理 - - - - - - - 第 20 页,共 27 页 - - - - - - - - - 21 6) 、闲置 IP 地址回收利用:对于已分配出去的静态IP地址进行定期追踪管理,对长时间闲置的IP 地址可经过确认后回收重复利用。此次方案的设计, 我们决定采用一个内部私有A 类地址(10.0.0.0)对企业园区的网络设备编址。由于从方案本身的网络拓扑图采用了典型的层次化设计,所以对 IP 地址的编址设计也应采取层次化的设计来完成,并采用 VLSM 来拓展有限的 IP 地址。网段描述所需的 IP 地址数骨干核心层链路5(2 个用于拓展备份)公司总部1000 生产部
37、500 客户部500 机械厂1000 大型机 /服务器群500 企业 VOIP 语音系统2000 VLSM 是可变长子网掩码的英文缩写,它提供了一个主类( A 类、 B 类、 C 类)网络内包含多个子网掩码的能力,可以对一个子网再进行子网划分。VLSM 的优点1、对 IP 地址更为有效的使用2、应用路由归纳的能力更强名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 21 页,共 27 页 - - - - - - - - - 22 所以我们采取VLSM对网络进行编址,以达到节约IP地址,
38、能够使用路由汇总的目的。首先采用一个A 类网址对园区网主体结构进行编址,至上而下的设计思路有利于设计的最后成型和网络的健壮性。其次,在语音电话系统中,每一个IP 电话需要一个IP 地址以及诸如子网掩码、默认网关等的相关信息。事实上,这意味着一个组织需要指派两倍于IP 电话的 IP 地址给当前所有的 pc 用户,这个由DHCP 提供。我们使用私有遍址的IP 电话作为语音电话遍址方案。私有遍址 IP 电话:10.2.8.3 172.16.8.5 IP 电话使用172.16.0.0 网络IP 电话 +PC 在同一交换机端口上最后经过我的计算,将各部门IP 地址分配如下表:名师资料总结 - - -精品
39、资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 22 页,共 27 页 - - - - - - - - - 23 IP 地址网段VLAN 编号默认网关财务部192.168.10.0/24 10 192.168.0.254/24 生产部192.168.20.0/2420 192.168.0.254/24 销售部192.168.30.0/2430 192.168.0.254/24 行政部192.168.40.0/2440 192.168.0.254/24 用户地址与VLAN 划分Web 服务器 IP 地址:192.
40、168.100.1/24 FTP 服务器 IP 地址:192.168.100.2/24 路由器出口IP 地址:222.18.44.3/24 四、 网络安全及管理机制4.1 完善的安全机制企业楼宇交换机通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击,控制非法用户使用网络,保证合法用户合理化使用网络,如端口安全、端口隔离、ACL 、 端口 ARP 报文合法性检查、 基于数据流的带宽限速、六元素绑定等等,满足企业网加强对访问者进行控制、限制非授权用户通信的需求;在汇聚、核心交换设备设置由硬件实现ACL ,对病毒进行过滤,我们选用的汇聚、核心交换设备都支持SPOH,所以在使用ACL 时将
41、不会影响整个交换机的性能。1硬件实现端口与MAC 地址和用户IP 地址的绑定,名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 23 页,共 27 页 - - - - - - - - - 24 严格限定端口上用户接入。2 通过Private VLAN 可以在交换机的同一VLAN 中提供端口之间的通讯或安全隔离,确保数据流进入有效端 口 , 而 不 会 被 发 送 到 其 它 端 口 , 即 解 决 了 因传 统802.1QVLAN 造成 全网VID 资源不够的问题,同时又无需利用安全规
42、则资源即能达到隔离不同用户以及不同组用户之间通讯的功能,充分保护用户隐私。3可实现用户账号、MAC 地址、 IP 地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定,有效确认用户合法性和唯一性。4支持业界特有的IGMP 源端口检查,有效杜绝非法组播源播放和大量占用大量网络带宽,提高网络安全性。5提供极为有效的Port Blocking 功能,避免端口受到其它端口发送的广播包、多播包等报文的干扰,有效减轻端口负载负担,提高端口带宽,保护用户PC 更高效安全地运行。6基于源IP 地址控制的Telnet 和 Web 设备访问控制,增强了设备网管的安全性,避免黑客恶意攻击和控制设备。7提供加密传
43、输Secure Shell(SSH) ,保证管理设备信息的安全性,防止黑客攻击和控制设备。8 可灵活控制2-7 层数据报文, 使得任何一个用户PC 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 24 页,共 27 页 - - - - - - - - - 25 上的任何一种应用报文通过网络都能得到有效控制,充分保障了网络的安全和合理化使用。4.2 解决安全威胁在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安
44、全控制手段,才能有效的保证企业网络的稳定运行。1.防冲击波病毒随着蠕虫病毒等的攻击手段呈多元化发展,单一的防护措施已经无能为力保卫校园网络安全。IDS 只能根据预先定义的策略进行检测,对新的攻击方式无能为力,或者当IDS 侦测到某终端用户感染病毒后,只能将相关信息形成报告通知网管人员,等待处理。然而,此时受感染的用户可能已经通过网络散播到了校园网络的各个角落。2.来自网络内部的恶意或误操作攻击据相关数字显示, 目前,网络遭受的恶意攻击90以上是来自于内部, 诸如窃取他人密码等重要信息、盗打IP 电话、校园一卡通金额被盗等事件时有发生。对此,如果仅仅倚靠被动的监测方式,就给事后追查 “嫌疑人”
45、的网管人员制造了难以逾越的瓶颈。4.3 VPN ( 虚拟专用网 ) 虚拟专用网 (virtual private network) 是一种在公用网络上名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 25 页,共 27 页 - - - - - - - - - 26 通过创建隧道,封装数据模拟的一种私有专用链路。隧道起一个提供逻辑上点对点连接的作用,从隧道的一端到另外一端支持数据身份验证和加密。由于数据本身也要进行加密,所以即使通过公共网络,它仍然是安全的,因为即便数据包在通过网络结点时
46、被拦截(如经过服务器时)但只要拦截者没有密钥。就无法查看包的内容。从内容上来说VPN 的连接主要可以分为两个部分,即隧道的建立和数据的加密,在第2 层上常见的隧道协议包括 PPTP(Point to Point Tunneling Protocol ) 点对点隧道协议,还有L2TP(Layer2 Tunneling Protocol)第二层隧道协议, L2TP 隧道能够提供ATM 和 FRAME RELAY 上的隧道,而且由于不依赖IP 协议,它 还可以支持不止一个连接,那么一般的网络设备如路由器等大多支持这个协议。在第三层上创建的隧道是基于IP 的虚拟连接,这些连接通过收发IP 数据包实现,
47、这个抱被封装在由IETF (Internet Engineering Task Force)指定的协议包装之内。包装使用IP sec,IKE ,以及身份验证和加密方法,如MD5 ,DES,以及SHA 。数 据 加 密 使 用 的 加 密 数 据 协 议 有MPPE,IPSEC,VPND,SSHH IP SEC 可以与L2TP 一起使用,这个时候L2TP 建立隧道, IPSEC 加密数据,这种形式下IP SEC 运行于传输模式。五、 网络设备选型名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - -
48、- 第 26 页,共 27 页 - - - - - - - - - 27 校园网网络系统从结构上分为核心层、汇聚层和接入层。核心层主要是实现骨干网络之间的优化传输,骨干层设计的重点是冗余能力、可靠性和高速的传输。因为学校存在大量的语音和视频传输。据此,考虑汇聚层对QOS 有良好的支持并且能提供大的带宽。接入层设备是最终用户的最直接上联的设备,它应该具备即插即用特性以及易于维护的特点。在接入层面, 通过定义相应的访问策略,实现访问控制,内外隔离。六、方案的扩展性考虑本方案中所采取的技术与产品充分考虑到了网络未来的升级与发展,无论从企业网的扩展到广域网的建设都作了周密的考虑。再是由于系统选择的是最成熟与标准的快速以太网技术,把网络已构筑了高速和坚固的信息高速公路,面对未来的发展将处于非常有利的境界。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 27 页,共 27 页 - - - - - - - - -