大型企业网络规划与设计.doc

上传人:暗伤 文档编号:66088383 上传时间:2022-12-13 格式:DOC 页数:85 大小:1.41MB
返回 下载 相关 举报
大型企业网络规划与设计.doc_第1页
第1页 / 共85页
大型企业网络规划与设计.doc_第2页
第2页 / 共85页
点击查看更多>>
资源描述

《大型企业网络规划与设计.doc》由会员分享,可在线阅读,更多相关《大型企业网络规划与设计.doc(85页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、-大型企业网络规划与设计摘 要迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。市场的全球化竞争已成为趋势。对于大型企业来说,在调整发展战略时,必须考虑到市场的全球竞争战略,而这一切也将以信息化平台为基础,借助计算机网络原理及网络规划技术,以网络通畅为保证。企业内部网(Intanet)是国际互连网(Iterne)技术在企业内部或封闭的用户群内的应用。ntrnt是使用nternt技术,特别是TCP/I协议而建成的企业内部网络。这种技术允许不同计算机平台进行互通,且不用考虑其位置。也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行访问。本文从企业网络需求开始分析

2、,根据现阶段sco公司主流网络设备进行选材,规划最适用于目标网络的拓扑结构,建设合理的网络设计方案。本课题实施部分由GNS3模拟器来搭建网络拓扑结构,利用cisc设备操作系统nzip-2691-advseuiy9-z111T2作为拓扑内所有设备核心OS,然后用SecureCRT进行路由器交换机的相关配置,并测试其结果最终验证网络的规划与设计符合大型企业的需求。关键词:企业网络,拓扑结构,冗余,路由,交换Lrge Enterprise Network Plannng aDesignAstractTerapid dvlopmenofthe Intrnt sall over thewrld inor

3、mtion instry ofenomous cae andfrrechingcsequences. Market comition ha bome ttred ofglobalizan. or lag teprise, in adjustg h develoentsttey, ms ake intoaccount the markets gobal ompetitivestrategy, and al this inormatiplfrmwill lbebased onte incipeof te useof oputernetworkd network planning tehnolgyt

4、 he ntwr inorderto nsure paency. Itraneis an intntional Interne tnolo in he enerse or withioed user grup applons. Inraet is the use ofInternet technoogies, espciallyCP / IP potco nd the mpletono the entprise iterna ntwork. This tecnologyallows intperaiiy o dferent cmputer ltos,ad o not hae to consid

5、er itsoiton. Thts whte user can vistn or from any compue access. From he startthehoeenterprisecass networkneesals, bsd on themainsrmstag cico ntwok equpmencmpay seectio,ith thegoa to uil te ostsuitble network toplgy,desied wth netwokechnolog Apat this mplemetatontbuihe mulato GNS etwroplogy, the use

6、of cisco deice opaing yem n691-asecuiy9-m124.T foall quipmnt witth coretology OS, ruers and switceusig SecueC or thecnfiguraton, andviewthe expermtal results verify thattenwokmeet busiessneeds.words:Enerpiseewors,opogy, Reunay,Routi, tcin目录第1章绪论1.1研究背景1.2目的和意义2第2章 关键的网络技术原理2. 大型企业网络的定位32. 关键技术研究32.1

7、路由技术32.交换技术2.2. 远程访问技术422.4LAN42.2.5CP2.2.6 GRE52.7 V2.8 PVST62.2.9 SRP72.2.1 AAA认证7第3章大型企业网络需求分析93.1 案例分析93.2大型企业网络分析113.2. 宽带性能需求13. 稳定可靠需求113.3 服务质量需求23.4网络安全需求12.2.应用服务需求23. 本课题系统需求分析1第章 网络系统实现144.1 大型企业网络拓扑图1.2 VLA及I地址的规划144. 关键网络设备及数量154.4 关键网络设备介绍64.5网络设备配置18.5.1 基础配置14.5.使用VT94.53 划分AN14.5.4

8、交换链路封装22.5. P技术2345. VS的三个FAST24.5.7 HP2445. HSRP264.5.9根防护274.1 路由协议24.11 R-P24.5.12 A服务器314.1 PBR 20M专线31.5.14 网管控制2.15其他配置3346 施工管理3446.1施工前准备44.6. 设备及材料34463 施工过程管理34.6. 施工完成后质量的检查和验收34.6.施工步骤34第5章 网络效果验证36.1 关键三层设备路由表365.1.1 接入路由器1路由表361.2 核心层交换机HX路由表3.1. 汇聚层交换机FB1路由表85.网络连通性验证92.1本部接入层交换机SW1访问

9、服务器39.2.2外地分公司R4访问服务器395.2.3 外地分公司W10访问本部接入交换机395.3 VPN效果验证0第章 结束语41致谢42参考文献3附录4-第1章 绪论1.1研究背景今天,迅速发展的Inernt正在对全世界的信息产业带来巨大的变革和深远的影响。市场的全球化竞争已成为趋势。2世纪的中国正在向市场多元化、全球化的方向发展。对于大型企业来说,在调整发展战略时,必须考虑到市场的全球竞争战略,而这一切也将以信息化平台为基础,借助计算机网络原理及网络规划技术,以网络通畅为保证。国内越来越多的企业也已经或正在考虑使用ntrn/Irnet技术,以建设企业规划化的信息处理系统。因为现代企业

10、的信息大多都来自于互连网,通过网络,企业可以更快速的接收到来自全球的市场信息;通过Inenet与外部世界交换信息,企业规划者可以更快地对企业作出正确的宏观调控与决策,以适应市场趋势。企业与全世界联系起来,极大地提高了信息收集的能力和效率。随着Iranet技术的不断发展,计算机已经逐渐应用到企业中的各个关键部分,极大的提高了企业的工作效率。对于规模较大的企业来说,这一点尤为重要。而有些大型企业根据其自身性质等对于网络有着更多的需求。比如中国电信、中国网通、中国银行,它们对网络有一点十分重要的需求,那就是网路通路,流量不可断。因为全中国大部分的金融和通信都经过这些企业,他们的网络的稳定性直接关系到

11、国家的政治经济基础等各个方面。所以对于这些大型企业的网络设计必须考虑到流量等细节问题。当今中国网络的另一个重大问题就是安全。由于中国的网络发展较晚,网络的安全没有作到非常完善。而且很多早期起用的网络无论从结构还是技术上都有很多设计不合理的问题,这也导致了网络的安全性差。在企业的某些关键部门(如财务科等),如果有不法分子利用网络中的漏洞修改或者窃取商业机密文件,也会对企业自身造成不可挽回的甚至是毁灭性的危害。当然,企业也会对一些细节问题提出要求。比如市场部门可以上网查阅资料而技术部门不可;或者从周一上午九点到周五下午五点可以上网,而其他时间段网络无流量;再或者高层领导组可以监控财务部门的档案文件

12、而其他部门则没有这样的权限。这些都是网络设计者需要考虑的问题。1.2目的和意义企业内部网(nnet)是国际互连网(Itrne)技术在企业内部或封闭的用户群内的应用。简单地说,Intranet是使用Itrn技术,特别是T/IP协议而建成的企业内部网络。这种技术允许不同计算机平台进行互通,且不用考虑其位置。也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行访问。基于这种种的现实问题,企业必须从企业局域网的概念及相关计算机网络技术入手,详细地设计企业网建设的实施方案及建设规划,以达到先进、安全、实用、可靠的目标.对该企业的组网需求进行分析,比较各种组网技术,从实用角度论述局域网主干网选择,

13、综合布线,各种设备选择,网络安全,网络管理等方面。我们的网络要具有一定的灵活性。当企业发展到一定规模,企业在外地设有许多分支机构。这时,为加快企业内部的信息流通,企业需要将总部和各分支机构连接起来。远程企业对网络的需求是:通过internt接入, 在整个公司实现数据快速传输、办公自动化,最终实现企业无纸化办公;企业拥有自己的p地址和域名,在公司主机上建立网站,向外界宣传企业形象、公司各项业务、活动及最新成果等;以ip电话方式节省企业大部分的长途话费,亦可通过p网络来实现视频会议;整个公司需要一个运行可靠、费用合理的通信系统;实现te等网络服务;建立一个功能全面、使用方便的管理信息系统,使总公司

14、与各地分支机构之间的业务审批电子化,各项工作能够协同完成。实现结构化布线、网络的设计与规划、资源共享、专线接入Iterne、WW服务器、软硬件配置、划分企业子网等技术实施。第2章 关键的网络技术原理. 大型企业网络的定位 企业网是指覆盖企业和企业与分公司之间的网络,为企业的多种通信协议提供综合传送平台的网络。企业网应以多业务光传输网络为基础,实现语音、数据、图像、多媒体等的接入。企业网是企业内各部门的桥接区,主要完成接入网中的子公司和工作人员与企业骨干业务网络之间全方位的互通。因此电子商务公司企业网的定位应是为企业网应用提供多业务传送的综合解决方案。2.2 关键技术研究 本设计方案采用的是全部

15、Cisc的网络设备,全网使用统一厂家得设备以实现各种不同网络设备功能的互相配合和补充。还有就是一些网络协议都是一些厂家私有的,如EIGRP、HDC等。因为每个厂家都有属于自己的EGP、HDLC所以不同厂家的设备就不能使用这些网络协议。22.路由技术路由协议工作在OI参考模型的第层,因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务,利用访问控制列表,路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本工程案例设计中,内网用户不仅通过路由器接入因特网、内网用户之间也通过层交换机上的路由功能进行数据包交换。路由器是外网进入企

16、业网内网的第一道关卡,是网络防御的前沿阵地。路由器上的访问控制列表(ccess Cotrol List,ACL)是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间,是外网与内网进行通信时的第一道屏障,所以即使在网络系统安装了防火墙产品后,仍然有必要对路由器的访问控制列表进行缜密的设计,来对企业内网包括防火墙本身实施保护2。2.2交换技术传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高

17、了园区网数据交换的效率,更大大增强了企业网数据交换服务质量,满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网(Vtual LAN,LN)的概念。VLA将广播域限制在单个VLAN内部,减小了各LN间主机的广播通信对其他AN的影响。在VLAN间需要通信的时候,可以利用VLA间路由技术来实现。当网络管理人员需要管理的交换机数量众多时,可以使用VL中继协议(VlarunkingProtool,VP)简化管理,它只需在单独一台交换机上定义所有VN。然后通过VTP协议将VL定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网

18、络的可扩展性,在企业网内部数据交换的部署是分层进行的。企业网数据交换设备可以划分为三个层次:接入层、分布层、核心层。接入层为所有的终端用户提供一个接入点;分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能;核心层将各分布层交换机互连起来进行穿越企业网骨干的高速数据交换。在本工程案例设计中,也将采用这三层进行分开设计、配置3。 2.23 远程访问技术远程访问也是企业网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型:专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同,花费也不相同。企业用户可

19、以根据所需带宽、本地服务可用性、花费等因素综合考虑,选择一种适合企业自身需要的广域网接入方案。在本工程案例设计中,分别采用专线连接的VPN和PBR两种方式实现远程访问需求4。2.24 VLANLAN(VirtlLoalArea Ntok)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于999年颁布了用以标准化LA实现方案的802.Q协议标准草案。A技术允许网络管理者将一个物理的L逻辑地划分成不同的广播域(或称虚拟L,即VAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的A有着相同的属性。但由于它是逻辑地而

20、不是物理地划分,所以同一个LAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLN内部的广播和单播流量都不会转发到其他LAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的L号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VL头,用VAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。 既然V

21、LN隔离了广播风暴,同时也隔离了各个不同的VLAN之间的通讯,所以不同的VLAN之间的通讯是需要有路由来完成的5。2.25 HPDHCP 是Dynamic Host Cnfiguation Potoco(动态主机分配协议)缩写。它分为两个部份:一个是服务器端,而另一个是客户端。所有的 IP 网络设定数据都由HCP 服务器集中管理,并负责处理客户端的DHCP 要求;而客户端则会使用从服务器分配下来的IP环境数据。比较起BOOT,HCP 透过 租约 的概念,有效且动态的分配客户端的 TCP/IP 设定,而且,作为兼容考虑,DHCP 的分配形式首先,必须至少有一台 DHCP 工作在网络上面,它会监听

22、网络的DHCP 请求,并与客户端磋商CP/P的设定环境。HP是BOOTP的扩展,是基于C/S模式的,它提供了一种动态指定IP地址和配置参数的机制。这主要用于大型网络环境和配置比较困难的地方。DHP服务器自动为客户机指定IP地址,指定的配置参数有些和协议并不相关,但这必没有关系,它的配置参数使得网络上的计算机通信变得方便而容易实现了。DHCP使IP地址的可以租用,对于许多拥有许多台计算机的大型网络来说,每台计算机拥有一个IP地址有时候可能是不必要的。租期从分钟到00年不定,当租期到了的时候,服务器可以把这个IP地址分配给别的机器使用。客户也可以请求使用自己喜欢的网络地址及相应的配置参数6。2.2

23、.6 E 通用路由封装(G:enric oui Encalion)定义了在任意一种网络层协议上封装任意一个其它网络层协议的协议。在大多数常规情况下,系统拥有一个有效载荷(或负载)包,需要将它封装并发送至某个目的地。首先将有效载荷封装在一个 GRE包中,然后将此GE 包封装在其它某协议中并进行转发。此外发协议即为发送协议。当 IPv4 被作为GR 有效载荷传输时,协议类型字段必须被设置为 0x800。当一个隧道终点拆封此含有 IPv4 包作为有效载荷的 GRE 包时,Iv4 包头中的目的地址必须用来转发包,并且需要减少有效载荷包的 L。值得注意的是,在转发这样一个包时,如果有效载荷包的目的地址就

24、是包的封装器(也就是隧道另一端),就会出现回路现象。在此情形下,必须丢弃该包。当 RE 包被封装在 Iv 中时,需要使用Pv 协议 47。GRE 下的网络安全与常规的 IPv4 网络安全是较为相似的,G 下的路由采用IP 原本使用的路由,但路由过滤保持不变 。包过滤要求防火墙检查 RE 包,或者在GRE隧道终点完成过滤过程。在那些这被看作是安全问题的环境下,可以在防火墙上终止隧道4。27 NVPN的英文全称是“irtual Pate Netwrk”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Itnet上

25、的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或INDOWS00等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。虚拟专用网()被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公

26、司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。2.2.8 PVTPVST: Per-VLANSanningre(每VAN生成树) T是解决在虚拟局域网上处理生成树的IC特有解决方案PVT为每个虚拟局域网运行单独的生成树实例一般情况下PVT要求在交换机之间的中继链路上运行CSC的I。 每LA生成树 (PT)为每个在网络中配置的VLN维护一个生成树实例。它使用ISL中继和允许一个VLAN中继当被其它s的阻塞时将一些VAs转

27、发。尽管PVST对待每个VAN作为一个单独的网络,它有能力(在第2层)通过一些在主干和其它在另一个主干中的不引起生成树循环的Vlns中的一些VANs来负载平衡通信7。2.HSHSRP:热备份路由器协议(SP:ot Standby oter Protocol)热备份路由器协议(HRP)的设计目标是支持特定情况下 I 流量失败转移不会引起混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说,当源主机不能动态知道第一跳路由器的 I 地址时,HSRP 协议能够保护第一跳路由器不出故障。该协议中含有多种路由器,对应一个虚拟路由器。SR 协议只支持一个

28、路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。负责转发数据包的路由器称之为主动路由器(AtvRotr)。一旦主动路由器出现故障,HSRP 将激活备份路由器(tandb Roters)取代主动路由器。HRP 协议提供了一种决定使用主动路由器还是备份路由器的机制,并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。如果主动路由器出现故障,备份路由器(Standy Route)承接主动路由器的所有任务,并且不会导致主机连通中断现象。SRP运行在UDP 上,采用端口号1985。路由器转发协议数据包的源地址使用的是实际 I 地址,而并非虚拟地址,正是基于这一

29、点,SRP 路由器间能相互识别10。210 A认证A-身份验证 (Autentiao)、授权 (Athorition)和统计 (Acuning)Cio开发的一个提供网络安全的系统。AA ,认证(Auhentiatin):验证用户的身份与可使用的网络服务;授权(toiztin):依据认证结果开放网络服务给用户;计帐(Acconng):记录用户对各种网络服务的用量,并提供给计费系统。整个系统在网络管理与安全问题中十分有效。首先,认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AA服务器将用户的标准同数据库中每个用户

30、的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提供网络连接。接下来,用户还要通过授权来获得操作相应任务的权限。比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证,他们也就被授予了相应的权限。最后一步是帐户,这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、

31、资源利用以及容量计划活动来执行帐户过程。验证授权和帐户由AA服务器来提供。AA服务器是一个能够提供这三项服务的程序。当前同AA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RDIU)”10。第3章 大型企业网络需求分析3.1 案例分析ic公司已经成功地在中国实践了前述的教育网络设计思想,特别是河南省教育科研宽带IP骨干网络全部采用了先进的高速宽带光传输网络技术,已经成为这类新型教育网络的典范。河南省教育科研宽带P网络全面采用Csco公司的AVVID网络体系结构,一期工程总共采用了0台Csc GS 2016和GSR121,近20台Csco 59,其他各类交换机和路由器数百台。该网

32、络集成了远程教学等多种多媒体应用,特别是采用了50部Cco的新型4 IP电话和4套CallManager组建了我国第一个省级IP Tlephony网络,并结合Csco视频产品IV系列建立了许多新的教育模式。这一网络基于分层设计分为三层:骨干传输网、城域网、接入网,采用三级管理模式:省网络中心、地市网络中心、校园网,连接省内各大中专院校、各中小学校、各级教育主管部门和其他教育科研单位,未来更将延伸到每一个需要教育培训的公众面前。骨干网络由分布在7个地市的核心节点组成,与河南省广电合作利用其光纤资源,全省形成环网状冗余拓扑结构。在各个核心节点分别配置s公司在国际上多次获奖的千兆位路由交换机 GSR

33、 200系列中的 1206和2012作为核心传输设备,节点间使用裸光纤配合OS 技术实现48248G链路互连并采用HR技术,以提供物理层、链路层及IP层的冗余连接能力。根据各地市的具体情况,可以建设城域教育网络也可以在核心节点配置汇接设备直接解决接入网络的接入问题,汇接设备可选用ic 201或50,采用PO、PT或千兆以太技术,传输速率可达1.48p,具体设计可以非常灵活。基于Cico IOS的多功能网络平台:网络中采用的网络设备均采用Cico IS (Internwrking peraio System互联网络操作系统)为核心功能软件。CiscoIOS集成了路由技术,局域网交换技术,交换技术

34、,各种移动远程访问接入技术,广域网互连技术等超过5,00个网络互连功能,已经成为网络互连的标准。CisIS系统支持今天的绝大多数网络应用系统,同时Cisc IOS系统可提供从数据链路层到应用层的多种网络服务,如:2/L3P(虚拟专网),VPDN(虚拟拨号专网),以及对PS技术的支持允许提供各种网络增值服务。丰富的网络安全机制:网络设计是按照标准S(国际互联网络服务商)方式设计的IP交换网络平台。整个网络与国际互联网络平滑连接,因此网络的安全性尤其重要。方案中采用Cic IOS多种安全策略: 1) 网络路由信息交换安全策略:包含路由器的认证,路由信息过滤,多种动态路由协议信息交换控制等。 2)网

35、络服务安全控制:包含标准访问控制列表(A),扩展的访问控制列表(xtend ACL),动态访问控制列表(Refliex CL),按数据流的访问统计和监控(Neflw),网络资源访问用户认证/授权和记帐(lok& ky)。 3)基于网络层的加密:网络设备可提供基于标准的网络层加密技术:Iec ,可以提供高可靠的网络访问安全机制。 4)网络攻击防范:Cisco IOS可通过对网络访问连接的监控和分析,发现可能出现的网络攻击,如Sync ttac 等,并采取相应的的控制手段保护网络资源。 ) 网络系统告警(yog):网络中采用的设备可对监控到的网络攻击和各种非正常访问发出告警,提醒网络管理人员及时发

36、现问题并采取相应安全策略。 设备安全:网络的各种安全策略的实现均基于网络设备的安全设置,这使得网络设备本身的安全控制显得尤其重要。网络设备本身具有多种访问控制安全策略: 1) 多级访问控制密码:网络中各设备访问控制可通过15级不同的访问权限,网管人员可设置不同的访问权限。如:普通操作员只能监视设备运行,不可进行其他操作;高级的管理员可做故障诊断,不可修改设备配置文件;系统管理员可具有所有功能权限等。 ) 网络管理系统的安全控制:由于本网络中网络管理系统采用标准的SNMP网络管理技术,因此网络设备的网管可能出现漏洞。本网络中的网络设备可提供多种保护手段,如:特别的网管访问密码;由设备指定特别的网

37、络管理工作站系统等。 易管理维护的网络:由于采用了P骨干技术、DHCP技术和MPLS技术,使得网络的管理简单化。这可以使网络管理人员大为精简,节约运行开销。网络管理人员只需在规划好的网络结构内提供各个接入网络的接入控制即能实行各种网络服务。网络系统的管理工作重点变为对于骨干网络的运行实施系统监控。由于采用的网络设备自身已具备较为完善的网络管理、监控和维护功能,因此采用建立一个管理工具齐全的集中的网络管理中心即可实现全网络的系统管理和监控1。3. 大型企业网络分析为适应企业信息化的发展,满足日益增长的通信需求和网络的稳定运行,今天的企业网络建设比传统企业网络建设有更高的要求,本文将通过对如下几个

38、方面的需求分析来规划出一套最适用于目标网络的拓扑结构。3.2. 宽带性能需求现代大型企业网络应具有更高的带宽,更强大的性能,以满足用户日益增长的通信需求。随着计算机技术的高速发展,基于网络的各种应用日益增多,今天的企业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化,Web浏览等简单的数据业务,还要承载涉及企业生产运营的各种业务应用系统数据,以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务。因此,数据流量将大大增加,尤其是对核心网络的数据交换能力提出了前所未有的要求。另外,随着千兆位端口成本的持续下降,千兆位到桌面的应用会在不久的将来成为企业网的主流。从2004年全球

39、交换机市场分析可以看到,增长最迅速的就是10 bs级别机箱式交换机,可见,万兆位的大规模应用已经真正开始。所以,今天的企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网的标准,核心层及骨干层必须具有万兆位级带宽和处理性能,才能构筑一个畅通无阻的高品质大型企业网,从而适应网络规模扩大,业务量日益增长的需要7。2.稳定可靠需求现代大型企业的网络应具有更全面的可靠性设计,以实现网络通信的实时畅通,保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来,网络通信的无中断运行已经成为保证企业正常生产运营的关键。现代大型企业网络在可靠性设计方面主要应从以下3个方面考虑。设备的可靠性设计

40、:不仅要考察网络设备是否实现了关键部件的冗余备份,还要从网络设备整体设计架构、处理引擎种类等多方面去考察。业务的可靠性设计:网络设备在故障倒换过程中,是否对业务的正常运行有影响。链路的可靠性设计:以太网的链路安全来自于多路径选择,所以在企业网络建设时,要考虑网络设备是否能够提供有效的链路自愈手段,以及快速重路由协议的支持7。3.3 服务质量需求现代大型企业网络需要提供完善的端到端oS保障,以满足企业网多业务承载的需求。大型企业网络承载的业务不断增多,单纯的提高带宽并不能够有效地保障数据交换的畅通无阻,所以今天的大型企业网络建设必须要考虑到网络应能够智能识别应用事件的紧急和重要程度,如视频、音频

41、、数据流(MI、EP、OA、备份数据)。同时能够调度网络中的资源,保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送,实现对业务的合理调度才是一个大型企业网络提供高品质服务的保障。3.4 网络安全需求现代大型企业网络应提供更完善的网络安全解决方案,以阻击病毒和黑客的攻击,减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件,以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御,但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一

42、系列安全控制手段,这样才能有效地保证企业网络的稳定运行7。.5 应用服务需求现代大型企业网络应具备更智能的网络管理解决方案,以适应网络规模日益扩大,维护工作更加复杂的需要。当前的网络已经发展成为以应用为中心的信息基础平台,网络管理能力的要求已经上升到了业务层次,传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如,网络调试期间最消耗人力与物力的线缆故障定位工作,网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作,由于受网络设备功能本身的限制,都还属于费时、费力的任务。所以现代的大型企业网络迫切需要网络设备具备支撑以应用为中心的智能网络

43、运营维护的能力,并能够有一套智能化的管理软件,将网络管理人员从繁重的工作中解脱出来7。.3 本课题系统需求分析该企业位于北京市海淀区中关村,网络联接的建筑物有三个:两个办公楼和一个行政楼。管理部、财务部和网络部在行政楼中;市场部在办公楼A;销售部和人力资源部在办公楼。所以我们已建筑物的中心也就是行政楼的三层为网络的中心,用光纤连接办公楼A、B,构成电子商务公司网络光纤主干。办公楼个,行政楼1个.划分VLAN (见表)2TP动态学习VLAN3.PVST(选根,二层冗余)4SVI(VLN间路由)5.HSR(三层冗余)DHCP7.根防护3个FAS9.静态路由10STTO-SIT V(连接分公司,固定IP)11AA2.PBR(20M专线)13网管控制第4章 网络系统实现41 大型企业网络拓扑图图 4 网络拓扑图4.2 LAN及IP地址的规划 表1 VLAN划分VAN号VN名称I网段默认网关说明VLAN 1GL VLN1.0./2410.0.254管理VLANVLAN 1GLB 10.10./20.1.2管理部VAVLAN SCB 10.4.0/2.1.7.25市场部LVLN3CWB 10.8.0/220.1.1.25财务部VLNVAN 40XS 101.1.0/2210.1.524销售部VNLAN50LZ0.1.16./2210.1.19.254人

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 技术资料 > 技术方案

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁