中小型企业网络组建应用Word格式.docx
- 文档编号:19694540
- 上传时间:2023-01-08
- 格式:DOCX
- 页数:15
- 大小:514.03KB
中小型企业网络组建应用Word格式.docx
《中小型企业网络组建应用Word格式.docx》由会员分享,可在线阅读,更多相关《中小型企业网络组建应用Word格式.docx(15页珍藏版)》请在冰豆网上搜索。
UPS电源要保证网络中所有的服务器、交换机、路由器等设备的连续、正常地运转;
同时要求内部网络中的病毒防范控制,不受外网的影响;
对于数据也要求又相互备份互补的业务,以免在发生数据通讯故障的时候,网络设备能自行修复问题,保持网络的畅通性;
(三)企业系统需求分析
企业要求所有的客户端和服务器系统应该是易于配置和管理的,并保障客户端的方便使用;
在系统的设计、实现及应用上应采用多种安全手段保障网络安全;
系统的设计要求采用开放的技术和标准选择主流的操作系统及应用软件,系统的运行应具有高稳定性,保障每周七天全天24小时的高性能无故障运行;
便于系统管理员在任何位置方便的对整个系统进行管理;
系统设计应尽量降低整个系统的成本;
(四)企业设备需求分析
根据公司的网络功能需求和实际的布线系统情况,企业要求楼层接入设备需要选择同一型号的设备;
网络设备必须在技术上具有先进性、通用性,必须便于管理、维护,应该满足公司现有计算机设备的高速接入,应该具备良好的可扩展性、可升级性,保护用户的投资。
同时还要求公司网络设备的高利用率,减少对网络设备无谓的支出;
要求网络设备在满足功能与性能的基础上必须具有良好的性价比。
网络设备应选择目前主流产品,同时设备厂商必须要有良好的市场形象与售后技术支持。
三、设计方案分析
(一)局域网技术
局域网是计算机网络的重要组成部分,是当今计算机网络技术应用与发展非常活跃的一个领域。
也是一种小范围地域内的微机组网。
公司、企业、政府部门及住宅小区内的计算机都通过LAN连接起来,以达到资源共享、信息传递和数据通信的目的。
(二)网络的体系结构
网络通常按层或级的方式来组织,每一层都建立在它的下层之上。
不同的网络,层的名字、数量、内容和功能都不尽相同。
但是每一层的目的都是向它的上一层提供服务,对于这一点是相同的。
层和协议的集合被称为网络体系结构。
TCP/IP(TransmissionControlProtocol/InternetProtocol,传输控制协议和互连网协议)缩写,TCP/IP体系结构是当前应用于Internet网络中的体系结构,它是由OSI结构演变来的,它没有表示层,只有应用层、运输层,网际层和网络接口层。
TCP/IP模型是至今为止发展最成功的通信模型,它用于构筑目前最大的、开放的互联网络系统Internet
OSI是开放系统互连基本参考模型,OSI是OpenSystemInterconnect的缩写,意为开放式系统互联。
国际标准组织(国际标准化组织)制定了OSI模型。
这个模型把网络通信的工作分为7层,分别是应用层、表示层、会话层、传输层、网络层、数据链路层和物理层。
OSI体系结构与TCP/IP体系结构的对比
(三)网络协议
网络协议是为计算机网络中进行数据交换而建立的规则、标准或约定的集合。
通信双方共同遵守的约定和规范,网络设备必须安装或设置各种网络协议之后才能完成数据的传输和发送,在局域网上常用到的协议主要有,TCP/IP协议和UDP协议等。
TCP/IP协议是目前在网络中应用得最广泛的协议。
TCP/IP是一种分层协议,它共被分为个4层次,通过这些协议,可以高效和可靠地实现计算机系统之间的互连。
(四)设计原则
1、实用性
实用性:
性能指标能满足各项业务处理能力,企业组网的方案在接入层交换机将用MAC地址与端口的捆绑实现高效的用户控制。
大大提高用户的利用率;
2、安全性
安全性:
用路由策略技术和容错技术、核心层和接入层的链路冗余功能,提供全方位的安全管理系统内部网络之间、内网与外网之间的互联,利用路由器、杀毒软件等对访问进行控制,确保网络的安全;
3、先进性
先进性:
采用主流网络体系、运行系统和设备产品,我们设计的网络方案采用三层分布式结构。
核心层选用了高性能的思科千兆路由器,负责路由管理、网络管理、网络服务、核心数据处理等。
汇聚层采用思科CiscoCatalyst3560-24三层交换机,提供高速无阻塞的链路到核心层,大大提升网络性能。
接入层选用思科网络CiscoCatalyst2960-24,充分满足用户的高速接入等。
服务器设备操作系统采用windowServer2003操作系统;
具有很好的稳定性和安全性。
4、可扩展性
可扩展性:
网络的核心层采用模块化路由器Cisco2811,汇聚层采用模块化交换机,按照需求灵活配置各种模块,做到既满足需求,由留有余地。
整个网络架构采用三层结构,使网络具有较好的伸缩性、可以根据网络建设的不同阶段灵活配置和扩展。
5、开放性
本次设计的中央集成管理系统将是一个完全开放性的系统,通过编制系统的接口软件将解决不同系统和产品间接口协议的“标准化”,以使他们之间具备“互操作性”。
所有接口均基于标准的TCP/IP数据接口协议和内容。
系统的开放性设计完全遵循国际主流标准以及工业标准。
四、局域网规划设计方案
(一)企业网整体拓扑结构图
在本次设计方案中主要是对一个企业进行整体的网络设计。
该公司分别设有市场部,客户部,工程部,软件开发部,行政部和服务器群。
分别连接在三台二层交换机上。
两台三层交换机为整个公司做热备份业务。
外网接口路由做内网外网的承接业务;
整个网络系统的拓扑结构图如下所示:
(二)VLAN及IP地址规划
在一个中小型网络里,VLAN的划分是必不可少的步骤之一,也是必不可少的一部分;
在本企业网设计中,整个企业网的VLAN及IP编址方案如下表所示:
针对当前现状,IP地址资源紧缺,我们不可能也不应该为每一台工作站申请一个公有IP地址,而是公网接口申请一个或多个IP,内网是私有IP地址,这样不仅可以缓解IP地址不足的情况,而且也可以为企业建设一个企业网节约不少的开支,那这样且不是不能够访问Internet。
为了让这些私有IP地址能够在公共Internet使用,我们必须对这样私有IP地址作NAT(networkaddresstranslation)即网络地址转换。
Vlan及IP编址方案
VLAN编号
VLAN命名
IP地址网段
默认网关
VLAN说明
1
Market
192.168.2.0/24
192.168.2.1
市场部
2
Engineer
192.168.3.0/24
192.168.3.1
工程部
3
Finance
192.168.4.0/24
192.168.4.1
财务部
4
XZ
192.168.5.0/24
192.168.5.1
行政楼
5
Server
192.168.6.0/24
192.168.6.1
服务器群
设备之间互联IP地址规划
设备名称
设备接口
IP地址
对端设备名称
RT1
S0/0/0
172.16.1.1/24
RT2
172.16.1.2
F0/0
172.16.2.1/24
Server2
172.16.2.254/24
F0/1
172.16.3.1/24
外网主机
172.16.3.254/24
10.0.0.2/30
SWA
F0/24
10.0.0.1/30
20.0.0.2/30
SWB
20.0.0.1/30
市场部PC
192.168.2.254
工程部PC
192.168.3.254
行政部PC
192.168.4.254
财务部PC
192.168.5.254
192.168.6.254
Lo:
1.1.1.1
2.2.2.2
3.3.3.3
(三)网络设备选型
在确定了网络系统的设计方案后,需要进行网络设备选型。
设备选型是网络工程中非常重要的一环,设备选型的好坏直接影响系统的实用性、稳定性、可靠性和系统的费用。
其中要考虑到三方面:
品牌选择,性能优先,最小开销。
1、核心层网络采用CISCOWS-C3560-24G
分布网络采用CISCO3560/24(配置1000M光电模块)
Cisco3560系列智能以太网交换机是一种新型的企业级可堆叠多层交换机系列,可通过高可用性、服务质量(QoS)和安全性来改进网络运行;
Cisco3560可提供高可用性、可扩展性、安全性和可改进网络运营的管理能力。
Cisco3560图示:
2、接入层网络采用CISCOWS-C2960G-24(配置1000M光电模块)
Cisco2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和千兆以太网连接,可为入门级企业、中型市场和分支机构网络提供增强LAN服务。
Cisco2960系列在网络或城域接入边缘实现了智能服务。
Cisco2960图示:
3、外部访问网络采用CISCO2811路由器
Cisco2811隶属于Cisco2800系列产品,与相似价位的前几代路由器相比,Cisco2800系列的性能提高了五倍、安全性和语音性能提高了十倍、具有全新内嵌服务选项,并且大大提高了插槽性能和密度。
2811具有先进、集成的端到端安全性,以用于提供融合服务和应用。
Cisco2811提供了2个10Mbps/100Mbps端口,它能以线速为多条T1/E1/xDSL连接提供多种高质量并发服务。
Cisco2811特别设计可满足中小型分支机构和中小型企业对于目前和未来应用日益提高的需求。
将业界范围最广的连接选项与领先的可用性和可靠性特性相结合。
Cisco2811路由器
4、内部服务器设备
相对于普通PC来说,服务器在稳定性、安全性、性能等方面都要求更高,所以,服务器应该具备速度高、存储容量大、吞吐能力强、性能可靠、扩展性强、连网和管理功能强等特点。
就目前市场而言,一般拥有自己独立用户的中小企业,现目前都会有自己的服务器;
目前市场上几家想对实力较强的生产服务器的公司分别为IBM,戴尔,HP。
考虑到此方案是针对中小企业。
为了减少以最低的价格打造最高性价比的网络系统,本方案选择用HP的服务器作为公司内部网络服务器;
HPProLiantDL388pGen8(693524-AA1)服务器
5、安全稳定因素
考虑到企业用电的不稳定性,为了防止在突然断电的情况下能保证企业网络正常畅通。
防止业务数据以及资料的丢失,服务器采用UPS不间断电源,可以保护服务器免受断电的困扰,达到服务器每周全天候不间断工作。
(四)网络安全设计
为了提高公司网络的安全性能;
本设计方案提高设备的物理安全性;
配置设备的口令进行VTP域的认证;
网用户的接入控制;
应用系统的访问控制;
因特网的接入安全控制。
具体命令如下:
Switch(config)#linevty04
Switch(config-line)#password******
1、提高设备的物理安全性
设备的物理安全性是指运行中的设备,XX的人员不能直接接触到。
也就是说设备要有独立管理机房并有专门专业的维护人员进行维护和管理;
提高设备的物理安全性,是最基本的要求。
2、配置设备的口令
配置设备的口令,是防止非授权的人员更改网络系统的配置的重要手段。
要为所有的设备设置口令。
要为每一台设备配置Console口令,VTY口令,特权口令等。
在口令方面,需要制定管理制度并严格执行。
口令管理制度包括口令的设置,保管,更改,口令的强度等内容。
建议企业参照硬件设备的管理方式,交给专门专业的工程师进行管理,如需变更或删除,需领导批准;
Switch(config)#enablepassword******
Switch(config)#enablesecret******
3、进行VTP域的认证
进行VTP域的认证,能够保证局域网的VLAN等的安全。
设置了口令之后,除非交换机设置了正确的口令,否则。
新交换机不能自动加入到已存在的管理域中。
保证了局域网的运行安全,可以避免因为VLAN被错误或者恶意的增加。
从而提高了网络的安全性;
Switch#vlandatabase
Switch(vlan)#vtpmodeserver
Switch(vlan)#vtpdomain******
Switch(vlan)#vtppassword******
Switch(vlan)#vlanvlan-idnamevlan-name
Switch(config)#interfacefa0/1
4、用户的控制接入
严格控制用户的接入,可以避免非法用户接入带来的潜在的安全隐患。
网系统建设验收完毕之后,确保交换机的所有用户端口处于关闭状态。
只有用户使用申请通过批准之后网络管理员才能将端口激活。
不会影响用户的使用并杜绝潜在安全隐患;
5、系统的访问限制
可根据公司的应用需求,在汇聚层的多层交换机上实施访问控制,限制园区网用户对特定应用系统的访问,或者只允许特定的用户访问某些资源。
保证网络资源的有效利用的同时保护资源的安全;
6、网络的接入安全控制
从父目前网络发展趋势上看,我们可以预见未来的企业将要面对着很严重的网络安全威胁:
特洛伊木马、病毒和蠕虫等等。
与之同时,间谍软件的攻击也加快了蔓延速度。
为了更好地控制企业网络拒绝不受欢迎的设备或者被感染恶意代码的设备访问,有效地控制访问网络资源的终端设备,加强企业内部安全控制,保护好企业的数据信息,是当前安全防护中必不可少的重要方面。
所以因特网的接入安全控制是非常重要的,不仅需要布置防火墙等安全设备,还要指定严格的安全策略;
五、路由交换部分的设计
为了使公司园区网高效、稳定的运行,便于管理与维护,对局域网交换和路由技术的相关方面进行了规范设计,包括VTP、VLAN、STP、Trunk、EtherChannel,HSRP,VPN等;
(一)VLAN设计规范
企业局域网采用三层网络架构设计,分为核心层、汇聚层、接入层等三个层次,企业主干网技术选择千兆以太网技术,对于VLAN的划分主要在接入层的端口上实施基于端口的VLAN划分;
这是最为普遍、快捷、易于管理的划分方法;
按照公司的实际情况对公司的局域网进行合理VLAN划分,可以减少网络内的广播数据包,杜绝广播风暴,增强网络的安全性能;
提高公司网络运行效率,保证网络顺畅;
易于维护和管理;
可以区分不同的应用和用户,方便集团的管理与维护;
目前,我们所掌握的VLAN划分方法为以下几种:
基于端口,基于MAC,基于协议,基于IP组播的VLAN,基于策略,用户自定义(非用户授权);
其中最为普遍的方法为基于端口划分VLAN的方法;
另外一种是基于MAC地址的划分方法。
1、基于端口的划分方法
这种划分VLAN的方法是根据以太网交换机的端口来划分,IEEE802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。
这种划分方法的优点是定义VLAN成员时非常简单,只要将所有的端口都只定义一下就可以了。
2、基于MAC地址的划分方法
这种方法划分VLAN,要求交换机对站点的MAC地址进行跟踪,在新站点入网时.需要把它添加到相应的VLAN中。
以后无论这个站点怎么移动。
只要MAC地址不变.就无需对它进行重新配置。
3、基于网络协议的划分
VLAN按网络层协议来划分,可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。
这种按网络层协议来组成的VLAN,可使广播域跨越多个VLAN交换机。
用户可以在网络内部自由移动,但其VLAN成员身份仍然保留不变。
(二)生成树(STP/RSTP/MSTP)
生成树协议STP(SpanningTreepProtocol)能够提供路径冗余,使用STP可以使两个终端中只有一条有效路径。
STP在大的网络中定义了一个树,并且迫使一定的备份路径处于备用状态。
如果生成树中的网络一部分不可达,或者STP值变化了,生成树算法会重新计算生成树拓扑,并且通过启动备份路径来重新建立连接。
消除循环连接导致的网络广播风暴,并且提供网络的拓扑的冗余备份功能,平时作为备份的路径被阻塞,当主用路径网络设备出现故障时,能够及时调整端口状态,调整网络拓扑。
除支持传统的生成树协议外,Cisco3550系列以太网交换机还支持IEEE802.1w快速生成树协议(RSTP),以及802.1s多生成树协议(MSTP)。
802.1s多生成树协议(MSTP)可以通过支持一个网络内的多个生成树,这使管理员可以把VLAN流量分配给唯一的通路。
网络管理员只要为VLAN分配独立的生成树拓扑,就可以确保两个VLAN都能在网上顺畅传输。
这就可以起到均衡网络流量,提高可靠性的作用。
具体配置命令如下:
Switch(config)#spanning-treemodemst
Switch(config)#spanning-treemstconfiguration
Switch(config)#name***
Switch(config)#revisionversion
Switch(config)#insranceinstance-idvlanvlan-list
Switch(config)#spanninf-treemstinstance-idprioritybridge-priority
Switch(config)#spanninf-treemstinstance-idrootprimary/secondary
(三)OSPF动态路由
根据企业要求,路由协议要用动态OSPF路由协议;
OSPF(OpenShortestPathFirst开放式最短路径优先)是一个内部网关协议;
为了让公司内部网络能够相互访问和访问服务器。
在汇聚层的Cisco3560系列以太网三层交换机上和核心层Cisco2811路由器上的启用OSPF动态路由协议,同时也是为了对外发布公司自己的服务器。
能够让外网主机访问内网服务器。
这样日后公司网络变动,设备可以自动学习相关路由表;
这样既节省了网络管理员的配置管理工作,同时也为日后的公司发展的网络扩展性打下一个良好的要求;
(四)HSRP路由热备份
热备份路由器协议(HSRP:
HotStandbyRouterProtocol),是cisco平台一种特有的技术,是cisco的私有协议。
路由器是整个网络的核心和心脏,如果路由器发生致命性的故障,本地网络瘫痪,造成的损失也是难以估计的。
因此,对路由器采用热备份是提高网络可靠性的必然选择。
HSRP向主机提供了缺省网关的冗余性,当网络边缘设备或接入电路出现故障时,HSRP它能够确保用户通信迅速并透明地恢复,以此为IP网络提供冗余性、容错和增强的路由选择功能。
通过多个热备份组,路由器可以提供冗余备份,并在不同的IP子网上实现负载分担。
在成对的两台汇聚层多层交换机上,具体的HSRP配置规范如下:
1、接口的IP地址
在第一台多层交换机上,某个VLAN虚拟接口的IP地址是子网的最后第三个可用地址,在第二台多层交换机上,某个VLAN虚拟接口的IP地址是子网的最后第二个可用地址。
2.热备份组号
热备份组号与接口的VLAN号相同。
3.热备份地址
热备份地址是子网的最后一个可用地址。
4.热备份优先级
在主用的多层交换机了,某个VLAN虚拟接口的热备份优先级是120。
并且主用的汇聚层交换机配置占先权。
、
SW1(config)#interfacevlan2
SW1(config-if)#ipaddress192.168.1.1255.255.255.0
SW1(config-if)#standby10ip192.168.1.254
SW1(config-if)#standby10priority200
SW1(config-if)#standby10preempt
SW1(config-if)#standby10timers28
SW1(config-if)#standby10trackfastEthernet0/1100
(五)访问控制列表(ACL)和地址转换(NAT)
核心层的路由器RT1作为公司网络的转折点,也就需要具备对整个公司网络的控制的能力,同时也应具备在一定程度上控制数据流以保护公司内网。
所以,这就需要应用访问控制列表对公司内网的数据流与外网的数据流的交互;
同时,由于目前全球IPv4地址的资源紧缺,导致现如今企
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中小型企业 网络 组建 应用