园区网络设计与方案Word格式文档下载.docx
- 文档编号:20524183
- 上传时间:2023-01-23
- 格式:DOCX
- 页数:9
- 大小:22.96KB
园区网络设计与方案Word格式文档下载.docx
《园区网络设计与方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《园区网络设计与方案Word格式文档下载.docx(9页珍藏版)》请在冰豆网上搜索。
④园区网的构造比拟规整。
2.3园区网开展趋势
从计算机网络应用角度来看,网络应用系统将向更深和更宽的方向开展,这也相应的影响着未来园区网的开展方向。
首先,Internet信息效劳将会得到更大开展。
网上信息浏览、信息交换、资源共享等技术将进一步提高速度、容量及信息的平安性。
其次,远程会议、远程教学、远程医疗、远程购物等应用将逐步从实验室走出,不再只是梦想。
网络多媒体技术的应用也将成为网络开展的热点话题。
第三章园区网设计
3.1需求分析
*企业园区刚刚建成,是一大型企业的分支机构,为了实现企业的办公信息自动化,扩大企业的影响,方便和总部的信息交流,需要建立自己企业的Intranet。
企业现在有2幢9层的办公大楼,分别是生产部和销售部,另外还有一个家属区,家属区有3幢6层的大楼,两个相距300米。
企业局域网需要考虑覆盖办公区和家属区。
局域网需要实现的目标如下:
①实现有效的信息交换和共享。
企业通过两条专线接入电信和网通。
②企业需要实现办公自动化。
局域网提供企业内部电子收发、信息浏览、文件管理、会议管理、电子公告等多方面应用。
③为了扩大企业的影响,企业对外提供自己的宣传,并且能够保证平安,不受外部或者内部攻击。
④充分考虑今后各部门的接入扩展性。
⑤充分考虑企业内部网络的平安性。
3.2网络设计原则
我们遵循以下的原则进展网络设计:
1实用性
实用性是网络系统建立的首要原则,该网络必须最大限度的满足需求,保证网络效劳的质量,否则就会影响日常工作效率。
2标准化
整个网络从设计、技术和设备的选择,要确保将来可能的不同厂家设备、不同应用、不同协议连接的需求,必须支持国际标准的网络接口和协议,以提供高度的开放性。
3先进性
先进性主要是针对网络系统的设计思想、网络构造、软硬件设施以及所选用技术等方面。
只有先进的技术才可能为网络带来更高的性能,并且能保证在技术上不容易被淘汰。
4可扩展性
可扩展性是指该网络系统能够适应需求的变化。
随着技术开展,信息量增多和业务的扩大,网络将在规模和性能两方面进展一定程度的扩展。
5可靠性
网络要求具有高可靠性,高稳定性和足够的冗余,提供拓扑构造及设备的冗余和备份,为了防止局部故障引起整个网络系统的瘫痪,要防止网络出现单点失效,核心设备需要支持冗余备份。
6平安性
网络平安性在整个网络中是个很重要的问题,网络系统建立应采取一定手段控制网络的平安性,以保证网络正常运行。
7管理性
随着网络规模和复杂程度的增加,管理和故障排除就会越来越困难。
为保障网络中心的正常运行,网络必须易于管理,支持网络网段与端口的监控、网络流量与出错的统计、网络故障的定位、诊断、修复。
3.3网络模型设计
图3.1典型的三层网络模型
三层网络架构采用层次化模型设计,即将复杂的网络设计分成三个层次,每个层次着重于*些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。
三层网络架构设计的网络有以下三个层次:
3.3.1核心层
核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。
核心层应该具有如下几个特性:
可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。
该层必须是基于千兆高速交换和路由的设计,设备的性能容量也是最高的〔高达百Gbps容量和每秒千万级数据包转发能力〕。
主要是由全模块化的高性能多层路由交换机和高性能效劳器组成,系统带宽必须是千兆甚至10Gbps。
3.3.2会聚层
会聚层是网络接入层和核心层的“中介〞,就是在工作站接入核心层前先做会聚,以减轻核心层设备的负荷。
会聚层具有实施路由策略、平安、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。
该层一般采用100M或1000M的快速交换路由设计,设备的性能容量性也很高,主要由固定配置+可选模块的三层路由交换设备组成。
3.3.3接入层
接入层向本地网段提供工作站接入。
在接入层中,减少同一网段的工作站数量,能够向工作组提供高速带宽。
访问层是由100M快速以太网交换机和客户机组成,该层次一般采用100M快速以太网,采用可管理的固定配置的工作组级别的交换机,能提供多层堆叠功能实现大量用户的接入。
三层网络架构的特点是网络性能高,层次清晰,网络管理直观、方便,并合理地分散了网络设备带来的平安风险,网络构造平安可靠。
3.4园区网络拓扑图
图3.2三层网络架构的园区网拓扑图
3.5IP地址规划
在构建基于TCP/IP的企业网络时,IP地址的选择是根据企业网络规模大小从以下三类国际Internet组织公布的私有网段中产生,这些范围内的IP地址不在Internet上传输,是专门提供应企业用来建立内部网络:
A类私有IP:
10.0.0.0——10.255.255.255。
B类私有IP:
172.16.0.0——172.16.31.255。
C类私有IP:
192.168.0.0——192.168.255.255。
对于小型园区网络,由于上网用户少、设备数量少,建议使用地址空间小的192.168.0.0/16的网络。
而对于中大型园区网络,如三层构造的校园网,由于上网人数多,设备数量多,建议采用地址空间大的10.0.0.0/8的网络。
3.6VLAN规划
虚拟局域网(VLAN)是将局域网内播送域逻辑地划分为假设干子网。
在一个交换局域网中,所有局域网段通过交换机连接到一起,路由器连在交换机上(如果是三层交换机,则不需路由器),可以按网段和站点的逻辑分组形成播送域,通过在局域网交换机内过滤播送包,使得源于特定虚拟局域网的信息包仅传送到那些也属于这个虚拟局域网的网段上。
虚拟局域网之间的寻径由路由器完成。
虚拟局域网建立以后,能有效地控制网络的播送风暴,减少不必要的资源带宽浪费,并能随着企业规模的开展和调整改变通信流的模式。
VLAN规划需要考虑如下因素:
①用户VLAN与设备管理VLAN分开(IP地址)。
②为网络扩容进展可汇总的预留设计。
③IP地址与VLAN编号(其它相关因素)有一定的对照性。
如图3.3所示:
图3.3IP和VLAN对应规则
根据具体需求与平安性要求等情况综合分析,园区网IP地址详细规划如表3.4所示:
表3.4IP地址规划表
物理位置
VLAN范围
IP网段
默认网关
获取方式
住宿区
VLAN10——VLAN30
172.16.1.0——172.16.30.0/24
172.16.*.254/24
DHCP
办公区
VLAN40——VLAN50
172.16.40.0——172.16.50.0/24
效劳器组
VLAN100
202.117.144.1--202.117.144.253
202.117.144.254
静态指定
3.7路由协议选择
路由协议可分为距离矢量、链路状态和混合型路由协议。
使用距离矢量路由协议时,所有路由器只能向它的邻居路由器发送自己的整*路由表。
然后路由器使用接收到的路由条目确定是否需要更新自己的路由表。
这个过程会周期性的重复进展。
与此相反,当网络使用链路状态路由协议时,每个路由器可以向其它所有的路由器发送自己的接口〔链路〕状态信息,但是这仅仅发生在网络拓扑发生变化的时候,每个路由器使用收到的链路状态信息重新计算自己到每个目标网络的最正确途径,然后把这些路由信息保存到自己的路由表中。
混合型路由协议,顾名思义,该协议借用了距离矢量和链路状态协议的思想。
混合型协议能向邻居路由器〔类似距离矢量〕发送变动的信息〔类似链路状态〕。
路由协议的比拟
①路由信息协议〔RoutingInformationProtocol,RIP〕
RIP是一种简单的动态路由协议,RIP至今有两个版本,RIPv1和RIPv2,后者是前者的改良版本,RIP是一种有类的距离矢量路由协议,它最显著的特点是在路由更新报文中不携带子网信息,RIP默认的管理距离是120,它使用跳数做为度量值,最大跳数是15,如果超过15就认为目标网络不可达,所以RIP只能适用于小型的网络中。
②内部网关路由协议〔InteriorGatewayRoutingProtocol,IGRP〕
IGRP是Cisco私有的协议,其目的是为了取代RIP,它也是一种距离矢量路由协议,IGRP克制了RIP的一些严重缺陷,如IGRP在计算路由度量值时没有使用跳数,而是采用链路特征,因此要优于RIP协议。
但由于IGRP是Cisco私有的协议,非Cisco厂商的设备不能支持IGRP协议,它的改良版是EIGRP。
③增强型内部网关路由协议〔EnhancedInteriorGatewayRoutingProtocol,EIGRP〕
EIGRP是增强型的IGRP协议,它是一种典型的平衡混合路由选择协议,它融合了距离矢量和链路状态两种路由协议的优点,使用一种散射更新算法,实现了很高的路由性能,但由于EIGRP也是Cisco私有协议,不能在其它非Cisco设备上使用,它的应用也受到了限制。
④开放最短路径优先〔OpenShortestPathFirst,OSPF〕
OSPF是一种典型的链路状态、无类别IP路由协议,OSPF能够适应大型IP网络的扩展,而基于距离矢量的IP路由协议如RIP和IGRP则不能适应这种网络。
OSPF基于链路状态,其路由是基于网络地址及链路状态度量的。
作为一种自适应协议,OSPF可以根据网络状态故障情况自动调整,具有收敛时间短的优点,有利于路由表的快速稳定,这样使OSPF可以支持大型的网络。
OSPF的设计可以防止通信数据形成环路,这对于网状网络或由多个路由器实现的不同局域网互联非常重要。
OSPF还有其它一些特性:
①使用了区域的概念,有效的减少了路由选择协议对路由器的CPU和内存的占用率,划分区域还可以降低路由协议的通信量,从而使构建层次化互联网成为可能。
②完全无类别地处理地址问题,排除了有类路由协议存在的问题。
③支持使用多条路由路径的、效率更高的负载均衡。
④使用保存的组播地址来减少对不运行OSPF协议的设备的影响。
⑤支持更平安的路由选择认证。
⑥使用可以跟踪外部路由的路由标记。
经过各种路由协议的比照和选择,园区网适合采用OSPF路由协议。
3.8配置标准
①主机命名标准
如果客户有标准或明确合理要求,则按照客户的标准或要求进展配置。
如金融行业标准。
如果客户没有标准或明确合理要求,可参考设备位置、网络位置、设备型号、设备编号等因素,在工程中制定统一的命名标准。
主机命名标准如下列图3.5所示:
图3.5主机命名标准
②设备互联接口描述
工程中所有涉及到可网管设备互联的端口必须配置端口描述
③登陆密码配置
工程中所有可网管设备必须配置特权密码及远程登陆密码。
④系统时间配置
工程中所有可网管设备必须重新设置正确的系统时间。
⑤二层交换机管理IP配置
工程中可网管二交换机必须配置管理IP地址,供管理员远程管理设备所用。
第四章网络平安设计
园区网的平安是一个综合问题,它包含网络设备和人为因素两个方面以及与外网〔Internet〕接口上的平安问题。
网络的有效性和可靠性即它的可连续运行的平安性是网络建立必须考虑的首要原则,从用户的角度考虑,当网络所需的效劳不可用时,不管是何种原因,网络就失去了实际价值。
从另一角度看,当*种网络效劳的响应时间变得变幻莫测时,网络系统也不可靠了。
为此我们在网络设计上就考虑了以下的技术来提高平安性。
4.1VLAN技术
VLAN技术是通过路由和交换设备,在网络的物理拓扑根底上建立的一个逻辑的网络。
VLAN可以看作是一个播送域,它们不受地理位置的限制而像处于同一LAN上那样相互交换信息。
VLAN是在交换网络中实现的。
每个交换设备均可根据网络管理人员所定义的VLAN划分方法对报文进展过滤和转发,并能将这种划分信息传递到网络中其它交换设备和路由器中去。
可以限制VLAN中的用户数量,制止那些没有得到许可的用户参加到*个VLAN中。
这样,可以控制用户对网络资源的访问,控制播送组的大小和组成,并借助网管软件在发生非法入侵时通知管理员。
交换机上划分VLAN方法如图4.1所示:
图4.1交换机划分VLAN方法
4.2VPN技术
虚拟专用网〔VirtualPrivateNetwork,VPN〕技术的根本思路是充分利用现有的公用网络来建立一个私有的、平安的连接,即建立一条穿过混乱的公用网络的平安、稳定的隧道,同时防止昂贵的专线租用费用,它使用的是建立在物理连接根底上的逻辑连接,客户并不能意识到实际的物理连接,而且在穿越Internet进展路由时,其平安性与在专用网络中进展平安路由的平安性根本一样。
4.3防火墙技术
目前,在保护计算机网络平安的设备中,使用最多的就是防火墙。
防火墙是在两个网络之间执行控制策略的系统,这两个网络中,通常一个是要保护的内部网,一个是外部网,防火墙在内部网和外部网之间构成一道屏障,通过检测、限制或者更改通过它的数据流,对外屏蔽内部网的信息、构造和运行状况,以防止发生网络入侵或攻击,到达对内部网的平安保护。
防火墙原理如图4.2所示:
图4.2防火墙原理图
第五章网络模拟实现
5.1模拟器介绍
eNSP(EnterpriseNetworkSimulationPlatform)是一款由华为提供的免费的、可扩展的、图形化操作的网络仿真工具平台,主要对企业网路由器、交换机进展软件仿真,完美呈现真实设备实景,支持大型网络模拟,让广阔用户有时机在没有真实设备的情况下能够模拟演练,学习网络技术。
eNSP主界面如图5.1所示:
图5.1eNSP主界面
5.2模拟环境拓扑图
由于园区网络规模较大,本次只能针对对局部重要节点和典型区域进展模拟配置工作,模拟器网络拓扑如图5.3所示:
图5.3模拟器网络拓扑
5.3需**现
*园区网拓扑及规划上图所示,其中AR1是园区网出口路由器。
AR2和AR3是园区网核心设备,和AR1互联地址段是192.168.1.0/24和192.168.2.0/24。
LSW1和LSW2是两台接入设备,下联用户VLAN10和VLAN20,对应用户子网分别是192.168.10.0/24和192.168.20.0/24,网关分别是192.168.10.254和192.168.20.254。
AR1、AR2和AR32运行OSPF,都属于AREA0。
实现以下需求:
①所有通过LSW1接入的用户IP地址必须动态获得,不允许私设IP地址,DHCP效劳器是两台一样交换机。
②LSW2上连接用户的端口必须能够快速收敛,防止可能存在的环路,其它不用的端口必须手动关闭。
③在RSR-1上配置动态NAT,实现内部网络私有地址到外部网络公有地址的转换。
5.4配置步骤
①配置路由器接口
②配置OSPF
③配置DHCP
④配置NAT
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 设计 方案