中小型企业网络组建0001Word文档下载推荐.docx
- 文档编号:21423144
- 上传时间:2023-01-30
- 格式:DOCX
- 页数:13
- 大小:60.62KB
中小型企业网络组建0001Word文档下载推荐.docx
《中小型企业网络组建0001Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《中小型企业网络组建0001Word文档下载推荐.docx(13页珍藏版)》请在冰豆网上搜索。
network;
routingtechnology;
LAN
绪论1
第1童企业需求分析2
1.1企业用户需求分析2
1.2企业网络需求分析2
1・3企业系统需求分析2
1・4企业设备需求分析2
第2章企业网设计方案4
2・1设计原则
2・2企业网整体拓扑结构图5
2.3VLAN及IP地址规划5
2・4网络设备选型7
2・5网络安全设计9
第3«
路由交换部分的设计11
3•1LAN•••••••••••••••••••••••••••••••••••••••••••••••••••••11
3.2生成树(STP/RSTP/MSTP)12
3.3OSPF动态路由12
3.4HSRP热备份路由13
3.5访问控制列表(ACL)和地址转换(NAT)14
第4章设计方案优势16
4.1高带宽、高性能16
4.2完善的管理机制16
4.3易于维护16
4.4高可靠性16
总结17
參考文献18
致谢19
绪论
在信息化快速推进的今天,中小企业网络作为网络化建设的一支主体力量,其市场前景得到越來越多的关注。
企业网络技术的发展以及企业生存和发展需要促成了企业网的形成。
信息技术所带來的一场革命将彻底改变我们的学习、生活和工作方式。
全球信息化浪潮势不可挡,己经迅速延伸至国防、科研、经济、教育等各个领域,也不可避免地改变着传统的企业人事的工作模式,利用当前蓬勃发展的以计算机和网络为主导的现代信息技术则是企业实现现代化工作的必不可少的技术基础现今的网络建设中,企业网的建设是非常重要的,企业网内部各种不同业务的开展是企业网发展迅速的最主要原因。
从早期的企业网主要是简单的数据共享,简单数据库的共享到现在内部全方位的数据共享,从过去单一的企业到现在多个分支公司的全部互连,因而对网络的覆盖面要求越来越广。
这一要求最早还只局限于各分支企业内部,现在则己是整个企业、整个行业,甚至整个Internet的共同要求。
为了适应网络经济的飞速发展,扩大企业经营的规模和范围,方便企业内部和企业之间的交流,节省办公开销,提高企业的管理水平,企业发展Intranet(企业内部网)己经是刻不容缓。
现如今后如何应对瞬息万变、竞争激烈的国内外市场环境以及如何利用网络技术迅速提升企业核心竞争力就是成为企业成败的关键所在。
第1章企业需求分析
1.1企业用户需求分析
要求为员工提供安全的网络办公环境,保障信息安全,要求易于用户管理、界面简单、逻辑清晰;
要求网络提供足够的带宽,丰富的接口形式,满足用户对应用带宽的基本要求,要求紧急情况下公司业务的备份,以减少公司的损失;
同时要求员工能获取信息,拓宽知识面;
提高专业水平,随时得到领导指示。
1・2企业网络需求分析
本方案将设计主干网负责各个子网和应用服务的连接,网络协议釆用TCP/IP协议,核心交换机采用三层交换机,能较好解决突发数据量和密集服务请求的实时响应问题,数据交换时交换引擎不会出现过载现象和数据包碰撞、丢失的现象,以及一些非人为的故障的相关补救措施。
UPS电源要保证网络中所有的服务器、交换机、路由器等设备的连续、正常地运转;
同时要求内部网络中的病毒防范控制,不受外网的影响;
对于数据也要求乂相互备份互补的业务,以免在发生数据通讯故障的时候,网络设备能自行修复问题,保持网络的畅通性。
1・3企业系统需求分析
企业要求所有的客户端和服务器系统应该是易于配置和管理的,并保障客户端的方便使用;
在系统的设计、实现及应用上应釆用多种安全手段保障网络安全;
系统的设计要求釆用开放的技术和标准选择主流的操作系统及应用软件,系统的运行应具有高稳定性,保障每周七天全天24小时的高性能无故障运行;
便于系统管理员在任何位置方便的对整个系统进行管理;
系统设计应尽量降低整个系统的成本。
仁4企业设备需求分析
根据公司的网络功能需求和实际的布线系统情况,企业要求楼层接入设备需要选择同一型号的设备;
网络设备必须在技术上具有先进性、通用性,必须便于管理、维护,应该满足公司现有计算机设备的高速接入,应该具备良好的可扩展性、可升级性,保护用户的投资。
同时还要求公司网络设备的高利用率,减少对网络设备无谓的支出;
要求网络设备在满足功能与性能的基础上必须具有良好的性价比。
网络设备应选择目前主流产品,同时设备厂商必须要有良好的市场形象与售后技术支持。
第2章企业网设计方案
2.1设计原则
(1)实用性
性能指标能满足各项业务处理能力,企业组网的方案在接入层交换机将用MAC地址与端口的捆绑实现高效的用户控制,大大提高用户的利用率。
(2)安全性
用路由策略技术和容错技术、核心层和接入层的链路冗余功能,提供全方位的安全管理系统内部网络之间、内网与外网之间的互联,利用路由器、杀毒软件等对访问进行控制,确保网络的安全。
(3)先进性
采用主流网络体系、运行系统和设备产品,我们设计的网络方案釆用三层分布式结构。
核心层选用了高性能的思科千兆路由器,负责路由管理、网络管理、网络服务、核心数据处理等。
汇聚层釆用思科CiscoCatalyst3560-24三层交换机,提供高速无阻塞的链路到核心层,大大提升网络性能。
接入层选用思科网络CiscoCatalyst2960-24,充分满足用户的高速接入等。
服务器设备操作系统釆用windowServer2003操作系统;
具有很好的稳定性和安全性。
(4)可扩展性
网络的核心层釆用模块化路由器Cisco2811,汇聚层采用模块化交换机,按照需求灵活配置各种模块,做到既满足需求,由留有余地。
整个网络架构采用三层结构,使网络具有较好的伸缩性、可以根据网络建设的不同阶段灵活配置和扩展。
(5)开放性
本次设计的中央集成管理系统将是一个完全开放性的系统,通过编制系统的接口软件将解决不同系统和产品间接口协议的“标准化”,以使他们之间具备“互操作性”。
所有接口均基于标准的TCP/IP数据接口协议和内容。
系统的开放性设计完全遵循国际主流标准以及工业标准。
议和内容。
2.2拓扑结构
在本次设计方案中主要是对一个企业进行整体的网络设计。
该公司
分別设有市场部、客户部、工程部、软件开发部、行政部和网络中心。
分别连接在三台二层交换机上。
两台三层交换机为整个公司做热备份业务。
外网接口路由做内网外网的承接业务;
整个网络系统的拓扑结构图如下所示:
Ssrver-PT
图2.1拓扑结构图
2.3VLAN及IP地址规划
在一个中小型网络里,VLAN的划分是必不可少的步骤之一,也是必不可少的一部分;
在本企业网设计中,整个企业网的VLAN及IP编址方案如下表所示:
针对当前现状,IP地址资源紧缺,我们不可能也不应该为每一台工作站申请一个公有IP地址,而是公网接口申请一个或多个IP,内网是私有IP地址,这样不仅可以缓解IP地址不足的情况,而且也可以为企业
建设一个企业网节约不少的开支。
具体VLAN与IP规划如下:
表2.1Vian及IP编址方案
VLAN编号
VLAN命名
IP地址网段
默认网关
VLAN说明
1
Market
192.168.2.0/24
192.168.2.1
市场部
2
Engineer
192.168.3.0/24
192.168.3.1
工程部
3
Finance
192.168.4.0/24
192.168.4.1
财务部
4
xz
192.168.5.0/24
192.168.5.1
行政楼
5
Server
192.168.6.0/24
192.168.6.1
服务器群
表2・2设备之间互联IP地址规划
设备名称
设备接口
IP地址
对端设备
需称
设备接
口
RT1
S0/0/0
172.16.1.1/24
RT2
172.16.1.2
F0/0
172.16.2.1/24
Server2
172.16.2.254/24
F0/1
172.16.3.1/24
外网主机
172.16.3.254/24
10.0.0.2/30
SWA
F0/24
10.0.0.1/30
20.0.0.2/30
SWB
20.0.0.1/30
市场
部PC
192.168.2.254
工程
192.168.3.254
行政
192.168.4.254
财务
192.168.5.254
服务
器群
192.168.6.254
Lo:
1.1.1.1
Lo:
2・2.2.2
3.3.3.3
2・4网络设备选型
在确定了网络系统的设计方案后,需要进行网络设备选型。
设备选型是网络工程中非常重要的一环,设备选型的好坏直接影响系统的实用性、稳定性、可靠性和系统的费用。
其中要考虑到三方面:
品牌选择,性能优先,最小开销。
(1)核心层网络釆用CISCOWS-C3560-24G
分布网络采用CISCO3560/24(配置1000M光电模块)
Cisco3560系列智能以太网交换机是一种新型的企业级可堆叠多层交换机系列,可通过高可用性、服务质量(QoS)和安全性來改进网络运行;
Cisco3560可提供高可用性、可扩展性、安全性和可改进网络运营的管理能力。
图2.2Cisco3560交换机
(2)接入层网络釆用CISCOWS-C2960G-24(配置1000M光电模块)
Cisco2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和千兆以太网连接,可为入门级企业、中型市场和分支机构网络提供增强LAN服务。
Cisco2960系列在网络或城域接入边缘实现了智能服务。
图2.3Cisco2960交换机
(3)外部访问网络采用CISCO2811路由器
Cisco2811隶属于Cisco2800系列产品,与相似价位的前儿代路由
器相比,Cisco2800系列的性能提高了五倍、安全性和语音性能提高了十
2・5网络安全设计
为了提高公司网络的安全性能;
本设计方案提高设备的物理安全性;
配置设备的口令进行VTP域的认证;
网用户的接入控制;
应用系统的访问控制;
因特网的接入安全控制。
(1)提高设备的物理安全性
设备的物理安全性是指运行中的设备,XX的人员不能直接接触到。
也就是说设备要有独立管理机房并有专门专业的维护人员进行维护和管理;
提高设备的物理安全性,是最基本的要求。
(2)配置设备的口令
配置设备的口令,是防止非授权的人员更改网络系统的配置的重要手段。
要为所有的设备设置口令。
要为每一台设备配置Console口令,VTY口令,特权口令等。
在口令方面,需要制定管理制度并严格执行。
口令管理制度包括口令的设置,保管,更改,口令的强度等内容。
建议企业参照硬件设备的管理方式,交给专门专业的工程师进行管理,如需变更或删除,需领导批准。
具体命令如下:
Switch(configvty04
Switch(config~line)#password******
Switch(config)#enab1epassword******
Switch(config)Senablesecret******
(3)进行VTP域的认证
进行VTP域的认证,能够保证局域网的VLAN等的安全。
设置了口令之后,除非交换机设置了正确的口令,否则。
新交换机不能自动加入到己存在的管理域中。
保证了局域网的运行安全,可以避免因为VLAN被错误或者恶意的增加。
从而提高了网络的安全性。
具体命令如下:
SwitchSvlandatabase
Switch(vlan)#
vtpmodeserver
vtpdomain******
vtppassword******
vlanvlan^idnamevlan^name
Switch(config)#interfacefa0/1
(4)用户的控制接入
严格控制用户的接入,可以避免非法用户接入带來的潜在的安全隐患。
网系统建设验收完毕之后,确保交换机的所有用户端口处于关闭状态。
只有用户使用申请通过批准之后网络管理员才能将端口激活。
不会影响用户的使用并杜绝潜在安全隐患。
(5)系统的访问限制
可根据公司的应用需求,在汇聚层的多层交换机上实施访问控制,限制园区网用户对特定应用系统的访问,或者只允许特定的用户访问某些资源。
保证网络资源的有效利用的同时保护资源的安全。
(6)网络的接入安全控制
从父目前网络发展趋势上看,我们可以预见未來的企业将要面对着很严重的网络安全威胁:
特洛伊木马、病毒和蠕虫等等。
与之同时,间谍软件的攻击也加快了蔓延速度。
为了更好地控制企业网络拒绝不受欢迎的设备或者被感染恶意代码的设备访问,有效地控制访问网络资源的终端设备,加强企业内部安全控制,保护好企业的数据信息,是当前安全防护中必不可少的重要方面。
所以因特网的接入安全控制是非常重要的,不仅需要布置防火墙等安全设备,还要指定严格的安全策略。
第3章路由交换部分的设计
为了使公司园区网高效、稳定的运行,便于管理与维护,对局域网交换和路由技术的相关方面进行了规范设计,包括VTP、VLAN、STP、Trunk、EtherChannel,HSRP,VPN等。
3.1VLAN设计
企业局域网采用三层网络架构设计,分为核心层、汇聚层、接入层等三个层次,企业主干网技术选择千兆以太网技术,对于VLAN的划分主要在接入层的端口上实施基于端口的VLAN划分;
这是最为普遍、快捷、易于管理的划分方法;
按照公司的实际情况对公司的局域网进行合理VLAN划分,可以减少网络内的广播数据包,杜绝广播风暴,增强网络的安全性能;
提高公司网络运行效率,保证网络顺畅;
易于维护和管理;
可以区分不同的应用和用户,方便集团的管理与维护。
目前,我们所掌握的VLAN划分方法为以下几种:
基于端口,基于MAC,基于协议,基于IP组播的VLAN,基于策略,用户自定义(非用户授权);
其中最为普遍的方法为基于端口划分VLAN的方法;
另外一种是基于MAC地址的划分方法。
(1)基于端口的划分方法
这种划分VLAN的方法是根据以太网交换机的端口来划分,IEEE802.1Q规定了依据以太网交换机的端口來划分VLAN的国际标准。
这种划分方法的优点是定义VLAN成员时非常简单,只要将所有的端口都只定义一下就可以了。
(2)基于MAC地址的划分方法
这种方法划分VLAN,要求交换机对站点的MAC地址进行跟踪,在新站点入网时.需要把它添加到相应的VLAN中。
以后无论这个站点怎么移动。
只要MAC地址不变.就无需对它进行重新配置。
(3)基于网络协议的划分
VLAN按网络层协议來划分,可分为IP、IPX、DECnet.AppleTalk.Banyan等VLAN网络。
这种按网络层协议來组成的VLAN,可使广播域跨
让公司内部网络能够相互访问和访问服务器。
在汇聚层的Cisco3560系列以太网三层交换机上和核心层Cisco2811路由器上的启用0SPF动态路由协议,同时也是为了对外发布公司自己的服务器。
能够让外网主机访问内网服务器。
这样日后公司网络变动,设备可以自动学习相关路由表;
这样既节省了网络管理员的配置管理工作,同时也为日后的公司发展的网络扩展性打下一个良好的要求。
3.4HSRP热备份路由
热备份路由器协议(HSRP:
HotStandbyRouterProtocol),是cisco平台一种特有的技术,是cisco的私有协议。
路由器是整个网络的核心和心脏,如果路由器发生致命性的故障,本地网络瘫痪,造成的损失也是难以估计的。
因此,对路由器采用热备份是提高网络可靠性的必然选择。
HSRP向主机提供了缺省网关的冗余性,当网络边缘设备或接入电路出现故障时,HSRP它能够确保用户通信迅速并透明地恢复,以此为IP网络提供冗余性、容错和增强的路由选择功能。
通过多个热备份组,路由器可以提供冗余备份,并在不同的IP子网上实现负载分担。
在成对的两台汇聚层多层交换机上,具体的HSRP配置规范如下:
(1)热备份的IP地址
在第一台多层交换机上,某个VLAN虚拟接口的IP地址是子网
的最后第三个可用地址,在第二台多层交换机上,某个VLAN虚拟接口的IP地址是子网的最后第二个可用地址。
(2)热备份组号
热备份组号与接口的VLAN号相同。
(3)热备份地址
热备份地址是子网的最后一个可用地址。
(4)热备份优先级
在主用的多层交换机了,某个VLAN虚拟接口的热备份优先级
是120。
并且主用的汇聚层交换机配置占先权。
SW1(config)#interfacevlan2
SW1(config-if)#ipaddress192.168.1.1255.255.255.0
default-informationoriginate发布默认路由,也就是强制
OSPF区域内的设备学习此设备的默认路由;
同时,如果想要外网主机访问内网服务器,需要在路由器上对服务
PC>
ipconfig
IPAddress二192・168.2.254
SubnetMask二255.255.255.0
DefaultGateway二192・168.2・1
POping172.LG.2.2S4这是测试与外网朋劳器的通信
Pinging172-LG.2.2S4用:
1七1122b*七esio£
data:
Replyfrom172.16.2.254二bytes=32tizne=141msTTL=12S
Pingstatisticsfor172.16,2.254二
Packets:
Sent=1,Received=LrLost=0(0%loss)t
Approximateroumdtriptimesinmilli-secondsz
Minimum=141mstMaximum=L4LmsrAverage=141ms€onxzol-C
y
PC"
*g172.16.3.254测试与外网主机的通信
Pinging172.16.3.254virh32byceaafdata:
Requesttimedout.
Replyfrom172.16.3.254:
bytes=32tiine=109insTTL=125
Pinggtatisticgfor172.1€,3.254二
Sent=2rReceived=LrLost=1(50%logs)r
Ap
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中小型企业 网络 组建 0001