《西德企业网络规划与设计.doc》由会员分享,可在线阅读,更多相关《西德企业网络规划与设计.doc(31页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、*实践教学*兰州理工大学计算机与通信学院2013年秋季季学期计算机网络 课程设计题 目: 西德企业网络规划与设计 专业班级: 计算机科学与技术1班 姓 名: 贾军鹏 学 号: 指导教师: 冯涛 成 绩: 摘 要本设计是针对西德公司而做的一个中小型企业网络规划与设计,该公司对于该企业网络的需求有企业网与Internet连接,公司内实现文件传输共享;电子邮件系统及企业网安全管理。本设计对企业网组网模式 ,核心层交换机选型,汇聚层交换机选型,接入层设备选型,企业网服务器设备选择,出口路由设备选型,客户端电脑选型,广域网接入,以太网通道,IP地址管理, TELNET远程登录,VLAN规划, VPN技术
2、, ACL访问控制,网络维护,网络安全管理等进行了设计。本设计实现了该公司数字化的企业网络,电子邮件的服务,网络间的计算机通信,TELNET远程登录以及企业网络内部资源的共享,包括文件共享,硬件共享,软件共享,文件传输多项功能。关键词:局域网;拓扑结构; VLAN规划;IP地址划分;网络管理前言本设计是针对西德公司而做的一个中小型企业网络规划与设计,该公司对于该企业网络的需求有企业网与Internet连接,公司内实现文件传输共享;电子邮件系统及企业网安全管理。主干网负责各子网和应用服务的连接,为信息交换提供有效的高速通道,满足企业信息安全的要求,扩展容易,用户使用简单。首先本设计采用层次化模型
3、来设计网络拓扑结构。层次化模型有利于实现较为复杂的网络功能要求且节省成本,也可以支持较大的网络规模便于企业网的升级扩大。在设计上划分了三层来设计:核心层、汇聚层和接入层。公司要求网络主干具备高可靠性和可用性,且考虑到以后扩充和该公司的业务比较重要,为了保证数据转发的快速和可靠,核心层的设计上采用了二台万兆三层交换机,在汇聚层用两台三层交换机之间作链路聚合,就算其中某个交换机发生故障,网络也可以快速恢复,增加网络的可靠性。而在接入层的设计上,使用多台二层交换机。其次本设计Internet接入采用广域网接入方式,主干采用千兆以太网交换,下属子网采用百兆以太网,采用TCP/IP协议,提供标准化的高速
4、度主干网连接,实现100Mb/s交换到桌面的网络,使用三层交换机来代替路由,实现数据的快速转发,两栋大楼之间用光纤来实现网络的链接。最后进行网络管理规划,网络中需要为所有的PC机配置IP地址,由于公司网络中有210个信息点,为每一台PC手工配置地址的工作量相当大,为了简化企业网络的配置,对其进行VLAN划分,采用VPN为我们提供一种通过公用网络安全对企业内部专用网络进行远程访问的连接方式。通过访问控制列表进行控制网络的流量,控制用户的网络行为,控制网络病毒的传播。目 录摘 要I前言II第1章 企业描述1第2章 需求分析22.1 信息需求分析22.2网络系统需求分析22.3应用系统需求分析32.
5、4服务器需求分析4第3章 企业网络总体设计63.1设计原则63.2企业网组网模式73.3.1 核心层73.3.2 汇聚层73.3.3 接入层83.3拓扑结构设计83.5 IP规划9第4章 网络设备选型114.1设备选型原则114.2设备选型114.2.1 核心层交换机选型114.2.2 汇聚层交换机选型124.2.3 接入层设备选型124.2.4企业网服务器设备选择124.2.5 出口路由设备选型134.2.6 客户端电脑选型134.2.7 主要网络设备清单13第5章 网络详细设计145.1 Internet接入方法145.1.1 广域网接入145.1.2 以太网通道145.2 路由选择155
6、.2.1 OSPF155.2.2 策略路由155.3 网络管理规划155.3.1 IP地址管理155.3.2 TELNET远程登录165.4 网络安全设计165.4.1 VLAN规划165.4.2 VPN技术185.4.3 ACL访问控制18第6章 企业网络管理与维护206.1网络管理206.1.1 网络设备配置管理206.1.2 网络用户管理206.1.3 网络性能管理206.1.4 网络故障管理206.2网络维护216.2.1 更新216.2.2 备份216.2.3 诊断216.3 网络安全管理216.3.1 硬件设备的安全216.3.4 病毒防护226.3.5 漏洞扫描和入侵检测22第7
7、章 系统主要设备报价24参考文献25课程设计总结26第1章 企业描述西德公司是一家中等规模的企业,公司主要建筑有办公楼和职工宿舍,共约210多个信息点,所有工作人员集中在三层楼内办公。公司集产品设计研发、销售为一体综合性企业。分别设有行政部、财务部、销售部、技术部共4个大部门。随着公司人员与规模不断扩大,办公自动化、信息化的需求,为提高各部门的办公效率,促进信息交流,适应现代发展的要求,需构建一个稳定完善的企业办公局域网。新建网络必须满足公司未来35年内的办公需求,支持公司内部经营管理、企业网站的建设、严格的网络信息安全管理系统,适应公司当前应用及后续不断发展。在企业内部建立稳定、高效的办公自
8、动化网络,从而提高员工的工作效率和加快企业内部的信息传递。部分员工配置桌面PC,使员工能通过内部网络接入Internet,以充分利用因特网上的资源。第2章 需求分析2.1 信息需求分析公司有关领导的交流和公司各部门的情况,拟建的企业局域网主要涉及两个建筑物:办公楼和宿舍楼。这两幢建筑之间拟光缆连接,网络中心设在办公楼。主要信息点集中在行政部、财务部、销售部、技术部,为了以后的适当扩充,信息点的个数留有一定余量。信息点详细分布如下表2.1所示表2.1信息点分布情况地点楼层信息点信息点合计到网络中心距离/m销售部13050在同一栋楼内 财务部20在同一栋楼内技术部24040行政部32020宿舍10
9、010080合计2102.2网络系统需求分析公司目前开展的企业网建设,旨在推动公司的信息化建设,其最终建设目标是将公司建设成了一个借助信息化办公和管理的高水平的智能化、数字化的企业网络,满足企业信息化的要求,为各类应用系统提供方便,快捷的信息通路,具有良好的性能,能够支持大容量和实时性的各类应用,能够可靠的运行,具有较低的故障率和维护要求。主干网负责各子网和应用服务的连接,为信息交换提供有效的高速通道,满足企业信息安全的要求,扩展容易,用户使用简单。要特别考虑企业内部信息共享等方面的实时性。应根据公司部门的信息流量情况分配网段,以充分利用网络带宽,提高网络的运行效率。具有良好的管理性,可实现自
10、动实施备份策略等功能,减轻维护人员的工作量。结合公司具体情况和当前网络技术发展潮流,网络应满足以下几点需求:1系统主干采用千兆以太网交换,下属子网采用百兆以太网,采用TCP/IP协议,提供标准化的高速度主干网连接,实现100Mb/s交换到桌面的网络。使用三层交换机来代替路由,实现数据的快速转发。2在同一个网络中支持多种网络通信协议,为用户提供远程登录。在外出差人员可以通过VPN安全访问公司内部资源,进行远程办公等。支持多种传输介质。3企业网络内部资源的共享,包括文件共享,硬件共享,软件共享等4文件传输。能快速地,在不需要移动存储设备的情况下在各电脑之间进行文件的拷贝。5企业办公自动化,有效降低
11、办公成本,企业内部人员可以方便安全地访问因特网。对不同部门之间的相互访问作限制,防止非法未授权访问,保护商业机密不被泄露。6能通过内部网络高速接入Internet进行工作,浏览网页查找资料。建立企业对外网站,提供一个对外宣传的平台,提高企业知名度。7交换机采用主流、成熟和售后服务均佳的产品,具有较高的性价比。网络中使用的设备和协议应完全符合国际通用的技术标准。预留扩展空间,以便今后的网络改造。8核心交换机应采用三层交换机,支持VLAN等多种功能,能快速地解决突发数据量,在内部用户进行数据交换、语音通话、视频信号时不会出现过载现象和数据包丢失的情况。2.3应用系统需求分析为满足企业信息化建设的需
12、要,PC机操作系统应选择占市场份额最大的主流操作系统,整个网络采用同一厂商的操作系统产品,所选的操作系统应依据以下需求:1所有的客户端和服务器系统应该是易于配置和维护的,保障客户端的方便使用,并提供方便的更新与升级方法。2系统的运行应具有高稳定性,保障最高平均无故障时间。3服务器及客户机操作系统都需要支持TCP/IP协议,并能够运行大多数常用的应用软件,例如办公软件、图像处理软件、CAD等。4计算机应用系统能处理大信息量的传输和计算;易于用户管理、界面简单、逻辑清晰。5服务器操作系统应能够提供WEB、DNS等服务及完善的管理功能。6所有的操作系统及选择的服务应尽量广泛的支持各种硬件设备,系统设
13、计应尽量降低整个系统的成本。7在系统的设计与实现及应用上应采用多种安全手段保障网络的安全,并提供优质的售后服务及技术支持。8系统的设计应采用开放的技术及标准应用软件,保障系统能够适应未来几年公司的业务发展需求,便于网络的扩展和企业网络的结构变更。 2.4服务器需求分析为了达到西德公司网络的需求,服务器在网络中充当不可或缺的角色,由于公司需要连接互联网浏览网页和对外发布企业网站,根据公司实际情况,至少需要4台服务器设备。具体服务器设备如下表2.2所示。表2.2企业网络服务器设备名称数量IP地址DNS服务器11172.16.60.2WWW服务器11172.16.60.3DNS服务器21172.16
14、.70.2WWW服务器21172.16.70.3WWW服务器主要功能是提供网上信息浏览服务,是Internet的多媒体信息查询工具。随着企业业务的不断拓展,公司在业界的影响力越来越大,越来越多的商业合作伙伴和客户需要从互联网上了解公司的信息,并希望通过互联网进行商务合作。为了进一步提高企业知名度并在互联网发布公司的商业信息,公司需要在网络中建立WEB服务器,公司已申请了域名。允许互联网及公司内部的用户可以通过www. 访问公司网站,网站允许慝名访问。DNS服务器网络间的计算机通信首先必须由DNS服务将域名解析为对应的IP地址,同时也可将IP地址反向解析出主机域名。为提高办公效率公司需连接Int
15、ernet浏览网页,企业网络中搭建的DNS为员工访问外部网络提供域名解析,解决了IP地址难以记忆的问题,同时也提高了网络访问的速度和准确度,DNS服务器是必不可少的。第3章 企业网络总体设计3.1设计原则网络设计是保证网络工程质量的关键环节之一,只有优良的网络设计方案,才能经过精心施工建出高质量的网络。网络系统技术复杂,涉及面广。要设计一个高性能的企业网络,就必须对全局精心策划。本方案的设计在追求性能优越、经济实用的前提下,本着严谨、慎重的态度,从网络结构、设备选择、技术措施、网络管理等方面进行系统的总体设计。为了使设计出来的系统更为合理和经济,性能更加良好,在网络设计过程中应遵循以下原则:
16、高可用性/高可靠性:确保网络可靠运行,在网络的关键部分应具有冗余和容错能力,提供公共网络连接、通信链路、服务器等全方位的安全管理系统。确保很高的平均无故障时间。 实用性和经济性:服务设备和网络虽然在技术性能上逐步提升,但其价格却在逐年下降,不可能也没必要实现所谓的“一步到位”。从实用性和经济性出发,选用合理的设备和材料,进行最佳性能组合,做到实用,经济和有效。 安全性和保密性:计算机网络是一个极其复杂而又相对公开的系统,既要考虑信息资源的充分共享,更要注意信息的保护和隔离,安全保密是企业信息化建设的核心,应根据相应的管理制度和网络策略制定一套完善的安全策略,采用合适的技术手段,以达成目标,保证
17、系统的安全性。扩展性和易维护性:系统便于扩展,即要满足企业网不断发展的要求,还要满足未来主流技术和升级的需求。采用可网管产品,提供有效的网络管理和系统监控等技术,保证系统维护管理简明、方便、有效。先进性/成熟性:不但满足用户当前需要,还应考虑满足未来几年内用户对网络功能和带宽的需要,采用成熟先进技术,尽量减少技术风险和投资风险,在保证应用和发展的基础上,尽量减少不必要的投资。规范性和开放性:只有支持规范性和开放性的系统,才能支持与其它开放型系统一起协同工作。在设计和实施中,必须严格遵循国家的规范和国际的标准;网络系统应用开放的标准的技术,以满足未来网络扩充的与其他网络互联。3.2企业网组网模式
18、网络设备制造商为网络设计拓扑结构提出了经典的三层层次化模型。三层层次化模型允许在三个连续的路由或交换层次上实现流量汇聚和过滤,这使得三层层次化模型的规模可以扩大到大型国际互联网络网络设计的层次可如图所示:核心层 高速传输与交换汇聚层 基于策略的连接接入层 本地与远程工作组用户 图3.1 网络设计的层次图 3.3.1 核心层三层层次拓扑结构的核心层是互联网络的高速骨干。统计表明,核心层网络一般要承担整个网络流量的4060。由于核心层对互联是非常关键的,因此应该采用冗余组件设计核心层。核心层应具备高可靠性,并且应能快速适应变化。配置核心层的设备时,应该启用可以优化数据包吞吐量的路由特性。应避免启用
19、数据包过滤或其他降低数据包转发处理的特性,以便优化核心层以获得低延迟和良好的可管理性。核心层应该具有有限和一致的范围。可以将汇聚层交换机和用户局域网加入到该模型中,而不会扩大核心层的范围。限制核心层的范围可以提供可预测的性能,并且易于故障排查。对于那些需要通过专线或者互联网连接到其他企业的用户来说,核心层拓扑结构应该包括一条或多条连接到外部网络的链路。将这些功能集中在核心层可以减少复杂性和潜在的路由问题,而且也是将安全顾虑降到最低的基础。3.3.2 汇聚层网络的汇聚层是网络核心层与接入层之间的分界点。汇聚层具有许多作用,包括出于安全性原因对资源访问的控制,以及出于性能原因对通过核心层流量的控制
20、等。汇聚层通常用于描述广播域。在包括虚拟局域网(VLAN)的网络设计中,汇聚层可以配置为VLAN 之间的路由。汇聚层允许核心层连接运行不同协议的多个站点以保持较高的性能。为了保持核心层的高性能,汇聚层可以在高带宽的接入层路由选择协议和优化的核心层路由选择协议之间中心分发路由。为了提高路由选择协议的性能,汇聚层可以汇总接入层的路由。对一些网络而言,汇聚层仅提供一个到接入层路由器的缺省路由,并且只有当与核心层设备通信时才运行动态路由选择协议。为了优化层次化、模块化和网络性能,汇聚层应该向核心层设备隐藏接入层的详细拓扑结构信息。汇聚层汇聚众多的接入层目的地址,向核心层通告少量的信息。同样,汇聚层应该
21、向接入层隐藏核心层的详细拓扑结构信息, 可以的话, 将其概括成一组很小的通告或只采用缺省路由。汇聚层可以向接入层提供可以访问到核心层的最近的汇聚层路由器的路由信息。3.3.3 接入层接入层为用户提供了在本地网段访问网络的能力。接入层包括路由器、交换机、网桥和共享介质的集线器以及无线接入点等设备。通常,交换机设置在企业网的接入层,它将带宽域分解,以满足需要大量带宽或不能忍受由共享带宽导致可变延迟特性的应用程序的需要。3.3拓扑结构设计在此次西德公司网络的设计中,网络拓扑结构选用星型网络拓扑结构,星型网络拓扑结构具有安全、可靠、易扩展等特点。我们采用层次化模型来设计网络拓扑结构。层次化模型有利于实
22、现较为复杂的网络功能要求且节省成本,也可以支持较大的网络规模便于企业网的升级扩大。在设计上划分了三层来设计:核心层、汇聚层和接入层。公司要求网络主干具备高可靠性和可用性,且考虑到以后扩充和该公司的业务比较重要,为了保证数据转发的快速和可靠,核心层的设计上采用了二台万兆三层交换机,在汇聚层用两台三层交换机之间作链路聚合,做到设备冗余和负载均衡,就算其中某个交换机发生故障,网络也可以快速恢复,增加网络的可靠性。而在接入层的设计上,使用多台二层交换机。经过分析及调研,网络拓扑结构如下图所示:图3.2 网络拓扑结构图3.5 IP规划 绝大多数企业局域网采用TCP/IP协议,因此IP地址规划在组建企业局
23、域网时至关重要。在企业网网络规划中,好的IP地址方案不仅可以减少网络负荷,还能为以后的网络扩展打下良好的基础。IP地址规划应考虑: 惟一性一个IP网络中不能有两台主机采用相同的IP地址。连续性为同一网络区域分配连续的网络地址,缩减速路由表的表项,提高路由表的处理效率。可扩充性为一个网络区域分配的IP应有一定的地址冗余,以便于主机数量增加,保证网络的可持续发展。简单性地址分配简单,避免在主干上采用复杂的掩码方式。安全性公司网络内可按不同的部门划分不同的网段,以便进行管理。公司申请了一个电信公网IP:61.190.10.2/24以及一个网通公网IP:220.249.10.2/24,内网采用私有地址
24、,边界路由进行NAT转换。以下表格为本设计方案的网络地址规划:表3.1IP地址分配设备名称接口IP地址描述3S0F0/2192.168.3.1/243L-Switch3S0F0/11192.168.1.2/243L-Switch3S1F0/2192.168.4.1/243L-Switch3S1F0/11192.168.2.2/243L-Switch3S2F0/11192.168.1.1/243L-Switch3S3F0/11192.168.2.1/243L-SwitchR1F0/1192.168.3.2/24RouterR1F0/0192.168.4.2/24RouterR1S1/061.19
25、0.10.2/24电信R1S1/1220.249.10.2/24网通表3.2 VLAN IP地址规划:VLAN 号网段IP描述1172.16.1.0/24管理10172.16.10.0/24销售部20172.16.20.0/24财务部30172.16.30.0/24技术部40172.16.40.0/24行政部50172.16.50.0/24宿舍60172.16.60.0/24服务器170172.16.70.0/24服务器2第4章 网络设备选型4.1设备选型原则1具备较强的安全性2代表目前网络系统设备的先进水平3具备优良的可扩充性和升级能力4具有优良的性价比,根据现在需求和未来扩展需求选择设备型
26、号,避免追求高档和最新技术花费巨大的代价5选择售后服务好且有一套完善的服务体系及未来在该领域的发展计划的厂商产品。为保证企业的信息系统的稳定性和高效运行,因此,应该采用主流的网络产品。CISCO是网络业界第一品牌和最大的研发专家,是项目可持续应用的投资保护和规避厂家风险的首选。根据实际调查,综合考虑各家公司的发展状况、技术实力、市场占有率等各方面因素,本方案选择CISCO公司的网络设备,以确保网络实用与性价比。4.2设备选型4.2.1 核心层交换机选型核心层为网络主干,选用具有“路由器的功能,交换机的性能”的三层交换机最为合适。为公司办公网络主干选用二台CISCO WS-C6509-E万兆路由
27、交换机作为核心交换机来连接各级交换机,对全网的数据进行高速无阻塞的交换。CISCO WS-C6509-E为企业级模块化交换机,具备极高的交换能力和端口密度,最多可支持上百个千兆以太网端口,充分满足网络互联的需求。WS-C6509-E交换机拥有高达720Gbps背板带宽和400Mpps的包转发率,以固定的配置、存储转发的交换方式、可堆叠的独立设备,提供了线速度快速以太网和千兆以太网连接,并带有三层路由的引擎,可使公司网络具有很强的升级能力,大大增加了网络的交换能力、系统的实时性和系统的互动性。4.2.2 汇聚层交换机选型汇聚层连接各接入设备,提供路由管理、网络服务等,每天访问量巨大,所以建议汇聚
28、层设备选用二台CISCO WS-C3750-24TD-S三层企业级交换机,它以存储转发的交换方式,68Gbps的背板带宽和65.5Mpps的包转发率,提供高水平的可用性、安全性和管理能力,从而提高整个公司网络的运行效率。西德公司网络中该设备通过1000Base-FX光缆上联核心交换机,形成网络的高速骨干。WS-C3750-24TD-S的传输速率为10/100/1000Mbps,具有很高的性能和堆叠能力。满足服务器群的高速率的接入需要,也可以满足因特网接入的需求。WS-C3750-24TD-S交换机简化了网络的部署,同时融合了可伸缩的网络速率、性能、网络规模。4.2.3 接入层设备选型接入层交换
29、机放置于楼层的设备间,连接各端末设备,做为网络智能安全和策略的边缘。为方便跨交换机的VLAN划分,优化网络性能,简化网络拓扑结构,在本设计中接入层统一使用10/100Mbps自适应的CISCO WS-2950-24普通交换机。背板带宽为8.8Gbps,包转发率为3.6Mpps,以存储转发的交换方式和全双工的传输模式,配备有千兆的上行链路,所有的接入层交换机组以百兆RJ-45直通双绞线交换到桌面,在网络中提供高密度的接入。用于VLAN边缘为交换机的端口间提供安全性和隔离性,同时保证语音流量从进入点通过虚拟通道直接传输到汇聚层设备上,而不会被定位到其它无关端口。保证了投资成本少及易于管理的要求。4
30、.2.4企业网服务器设备选择服务器是所有C/S模式网络中最核心的网络设备,在相当程度上决定了整个网络的性能。它既是网络的文件中心,同是又是网络的数据中心。西德公司需对外发布企业商业信息网站,且WEB站点为动态网页,我为该公司的服务器选择了联想万全R525 S5405企业级机架式服务器,它是一款内存1G,CPU为Intel Xeon E5405、主频2000MHZ,硬盘容量73GB,集成ATI显示芯片,16MB显存,集成Intel双千兆自适应网卡,支持网卡冗余、负载均衡等功能,可选外插Intel千兆自适应网卡的服务器。它支持Windows server 2003 R2 Standard Edit
31、ion中文版/英文版(X32)、Windows server 2003 R2 Enterprise Edition中文版/英文版(X32)、Windows server 2003 R2 Standard Edition英文版(X64)、Windows Server2003存储增强版V2(WSS)等操作系统。且价格适中,有较高的性价比。4.2.5 出口路由设备选型由于大量的数据都发生在局域网内部,所以对路由器的性能要求不高,可以选用中低端路由器。因此出口路由器选用CISCO 2811模块化路由器。它是企业网络对外的出口,也可以作为企业网络的第一道防火墙。CISCO 2811模块化路由器提供了安全
32、、可扩展的网络连接,容纳多种流量类型,如VPN等,最大DRAM内存为760MB,传输速率为10/100Mbps,支持IEEE 802.3x网络标准。内置的防火墙功能提高了局域网的安全性,利用CISCO 2811网络服务还可以预防和响应网络攻击和威胁。4.2.6 客户端电脑选型本设计为客户端PC机选择神舟新瑞D2000, 神舟新瑞D2000配有英特尔2.4G双核处理器E3200,双核心设计,相当于两个CPU共同工作,更大程度的提高多任务处理能力,搭配1G DDR2内存, Intel集成显卡,凭借其高频的256位内核,动态显存技术可支持224MB的共享显存,并可根据需要动态分配系统内存。配备320
33、G的硬盘,有效降低成本,可使办公效率大大提高。性能好,运行速度快。4.2.7 主要网络设备清单表4.1主要网络设备列表设备名称产品说明数量CISCO WS-C6509-E核心层设备2个CISCO WS-C3750-24TD-S汇聚层设备2个CISCO WS-2950-24接入层设备5个联想万全R525 S5405服务器设备4个CISCO 2811边界路由1个神舟新瑞D2000客户端电脑210个第5章 网络详细设计5.1 Internet接入方法5.1.1 广域网接入随着Internet技术的不断发展,IP地址资源缺乏是Internet面临的一个关键问题。为了节约地址资源,在内部使用私有地址段中
34、的地址,但是使用私有IP地址不能访问Internet。所以必须申请一个或多个公有IP地址配置在和Internet相连的局域网边缘设备上。再应用NAT把使用私有地址的内部网络转换成注册的合法IP与Internet进行连接,解决了IP地址紧缺的问题。在该企业的网络设计中,出口处仅使用了一个CISCO 2811路由器,因公司要求网络具有很高的可靠性和快速性,由于当前网通和电信两个运营商之间存在着互联互通速度慢的问题,造成速度瓶颈。所以公司向ISP同时申请了10M的中国电信宽带和4M的中国网通宽带两条接入线路,在出口上采用双出口设计,提高企业网络对公网的访问速度,保证网络的稳定、可靠和快速。由于企业只
35、购买了一个电信公网IP地址和一个网通公网IP地址,而企业内部共有210多个信息点,采用普通的静态地址转换,210多个信息点访问外网需要210多个公网地址,这样显然不可能。所以在出口路由器上采用NAT技术,在公司内部使用B类私有IP,通过基于端口号的地址转换,将内部私有IP地址转换成公有IP地址在Internet上使用,既可节省IP地址,又可以同时让多个内网IP地址访问Internet。NAT地址转换使公司网络内外网互相独立,达到完全的物理隔离的目的。5.1.2 以太网通道以太信道是在交换机、路由器之间提供容错的高速链路。考虑到该公司对网络的需求,此次设计中分别将核心层的两个三层交换机、汇聚层的
36、两个三层交换机的F0/23和F0/24号端口设置成以太网通道,这样多条链路被用作单条高速数据通道,通道中的一条线路发生故障也可保证网络的瞬间恢复不影响数据的通信,很大程度地增快了网络的速度,实现快速收敛和高速转发,增加了网络的可扩展性。保障了网络的稳定可靠,增加了带宽,实现负载均衡和骨干网络之间的优化传输。5.2 路由选择5.2.1 OSPF西德公司企业网络中有一个路由器和四个路由交换机,需使用路由协议使它们之间能够共享信息。考虑到将来网络的扩展,平面结构的路由协议(如RIP,EIGRP)不能满足网络性能的要求。企业网络内部有6个用户网段,4个中转路径,为优化网络性能,建议采用OSPF路由协议
37、。因此在本设计中在核心层汇聚层交换机与外出其路由器之间使用OSPF路由协议,并运行在Area0区域上,以实现路由的动态更新,加快核心层的路由转发能力,确保全网互通。area0区域的划分可减少各路由器的路由表尺寸;占用网络资源少;利于网络扩展,使用灵活,安全性较好。5.2.2 策略路由西德公司分别连接了电信和网通双线路,通过在出口路由设备上添加策略路由包的方式,实现电信数据走电信,网通数据走网通。IP报文将先根据策略路由指定的策略转发,只有当所有策略都不满足时,才查找路由表,根据路由转发,提高网络的访问速度。5.3 网络管理规划5.3.1 IP地址管理网络中需要为所有的PC机配置IP地址,由于公
38、司网络中有210个信息点,为每一台PC手工配置地址的工作量相当大,为了简化企业网络的配置,在3S3三层交换机上采用DHCP技术,网内的主机除服务器外均通过DHCP服务器动态主机分配协议,自动获得IP地址,减轻了网络配置的工作量,同时当某个部门增加主机时不需要查看哪些IP地址可用,更不用担心IP地址配置冲突。DHCP配置的详细信息如下表5.1所示:表5.1DHCP信息名称IP地址池默认网关DNS描述VLAN10172.16.10.2-252172.16.10.1172.16.60.2销售部VLAN20172.16.20.2-252172.16.20.1172.16.60.2财务部VLAN3017
39、2.16.30.2-252172.16.30.1172.16.60.2技术部VLAN40172.16.40.2-252172.16.40.1172.16.60.2行政部VLAN50172.16.50.2-252172.16.50.1172.16.60.2宿舍5.3.2 TELNET远程登录由于西德公司局域网覆盖范围为2栋楼,交换机路由器分别放置在不同的地点,如果每次管理维护交换机与路由器时都到设备所在的现场进行配置,管理员工作量很大且麻烦,为提高工作效率,在交换机路由器上进行telnet设置,以后再需要配置交换机与路由器时,管理员可以通过 telnet远程方式登录,然后进行配置与管理。需要注意
40、的是,交换机的telnet 管理IP配置在VlAN虚拟接口上,而路由器或路由交换机的管理IP在物理接口上,不在同一网段在交换机需加默认网关IP default-gateway,Telnet登录配置的详细信息如下表5.2所示:表5.2Telnet登录信息设备名称管理IP地址用户名密码特权密码R1192.168.3.2/192.168.4.2adim123123453S0192.168.1.2adim123123453S1192.168.2.2adim123123453S2172.16.1.253adim123123453S3172.16.1.254adim123123455.4 网络安全设计5.
41、4.1 VLAN规划VLAN(虚拟局域网)它依靠用户的逻辑设定将原来物理上互连的一个局域网络划分为多个虚拟网段。虚拟网络(VLAN)技术在企业网中起到举足轻重的作用,因为VLAN技术可以提高企业网络的效率和安全性,便于对用户的管理。在本设计中对西德公司内部的不同部门划分不同的VLAN进行管理,以达到以下几个目的:1控制网络上的广播风暴。西德公司网络的客户端有上百台设备,如所有设备都在一个VLAN中,当某台设备发出一个广播报文,报文到达交换机后就会被交换机复制到除接收该报文接口外的其余所有接口,浪费了其余设备带宽。本方案将不同部门划分到不同的VLAN中,能够很好的保证一个VLAN中的广播不会被另
42、一个VLAN接收,这样就减少了广播流量,释放更多的带宽给用户应用。一个VLAN内的通信主机原则上不超过50台控制在30台内,宿舍的主机数量超过50台,通过二层隔离,三层交换的方式来解决。2、加强了网络的安全性。一个VLAN为一个单独的广播域,VLAN间相互隔离,提高了网络的利用率。公司内不同部门需要配置不同的访问权限,以保护保密数据的安全,最有效的方法是将网络划分成几个不同的广播域,划分VLAN时禁止未经允许的用户访问VLAN中的应用,确保网络的安全性和保密性。3简化网络管理根据分析计算,传统的局域网中约有70%的网络花销是因为添加、删除、移动、更改网络用户而导致的。VLAN技术可以实现在VL
43、AN网中移动或变更工作站地理位置,不必改变网络物理拓扑结构,就能重组网络的逻辑结构。有利于公司未来网络的扩充。在多种划分VLAN的方式中,本设计选择以交换机物理端口为依据来划分VLAN,在配置VLAN之前,为了使一条链路能为多个VLAN传送流量,把内部局域网中所有的交换机与交换机之间的链路全部设置为Trunk链路,这样VLAN信息就可以在各交换机之间传递,不同交换机但是同一个VLAN的用户也可以相互访问,即节省了网络硬件的成本,从而也扩展整个网络。然后在VTP管理域中的任何一台属性为Server的交换机上建立VLAN,它就会通过VTP通告整个管理域中的所有交换机,只要在接入层的交换机上把同一个
44、部门的端口全部划分进同一个VLAN就行了。企业内部有210多个信息点,分6个部门,每个部门划分一个VLAN,VLAN配置信息如下表5.3所示:表5.3VLAN信息VLAN 号描述1管理10销售部20财务部30技术部40行政部50宿舍60服务器170服务器2但如果要将交换机的端口划入某个VLAN,就必须在该端口所属的交换机上进行设置。5.4.2 VPN技术VPN(虚拟专用网)为我们提供一种通过公用网络安全对企业内部专用网络进行远程访问的连接方式。VPN的使用降低了费用、增强内网的安全性、IP地址安全。因公司经常有员工在外地出差,为了使企业员工无论身处何地都能够与企业计算机内部资源建立连接,与企业
45、内人员进行及时安全有效的通讯,提高办公效率。本方案设计决定使用PPTP VPN二层隧道技术, 移动办公员工通过VPN接入企业网络,在逻辑上所有VPN远程访问都相当于是企业内的某个部门,它可以对所有IP级的通信进行加密,这样可以为企业的应用及数据提供最佳灵活性和安全性。同时,与以前的专线相比大大降低费用,设置VPN后只需要向ISP进行本地呼叫,用户就可以通过Internet安全的访问专用的企业Internet,公司不需要租用专线就能组成一个属于自己专用的网络。5.4.3 ACL访问控制通过访问列表,可以设置允许或拒绝某些数据包通过,或者允许或拒绝某些端口进行访问和使用,从而达到设置网络安全策略,防止网络中的敏感数据受到非授权访问的情况。访问控制列表控制了网络的流量,控制了用户的网络行为,控制了网络病毒的传播。本设计方案配置ACL应用在各部门的VLAN接口上,控制各部门访问。销售部内部可以互访问,可以访