企业网络构架毕业论文Word文件下载.docx
- 文档编号:22601402
- 上传时间:2023-02-04
- 格式:DOCX
- 页数:20
- 大小:544.26KB
企业网络构架毕业论文Word文件下载.docx
《企业网络构架毕业论文Word文件下载.docx》由会员分享,可在线阅读,更多相关《企业网络构架毕业论文Word文件下载.docx(20页珍藏版)》请在冰豆网上搜索。
应用信息系统资源建设主要包括:
内部信息资源建设、外部信息资源建设等。
随着城域网宽带业务的开展,可运营、可管理的网络建设理念已经深入人心。
市场方面,随着提供业务的多样化,用户认证方式作为可运营、可管理的核心,受到包括运营商、制造商的密切关注。
第1章企业网络背景
1.1企业背景
xxxx科技某某,创建于2002年10月,总部位于竞争激烈、意识超前、人才济济的某某市高新技术开发区,是一家具有独立法人资格的高科技公司。
公司技术力量雄厚、拥有专业的技术人才和精英销售团队,自创建以来,公司始终坚持以高度的社会责任感,以“品质、健康、安全、环保〞为指导,秉承“以人和科技为本,立足农业,惠与民生〞的经营理念和“呵护自然、造福民生〞的经营宗旨,致力于现代生物肥料产品的研究、开发、生产与现代高效生态农业工程推广应用。
公司大专以上学历的技术人员占人员总数的70%以上,具有教授、博士、硕士学位的占到近30%。
为了实现企业高速开展,适应现代化需求,公司网络结构采用典型的三层结构,核心、会聚、接入。
各部门独立成区域,防止个别区域发生问题,影响整个网的稳定运行,假如某会聚交换机发生问题只会影响到某几个部门,该网络使用VLAN进展隔离,方便员工调换部门。
第2章关键技术的应用
2.1路由技术
路由协议工作在OSI参考模型的第3层,因此它的作用主要是在通信子网间路由数据包。
路由器具有在网络中传递数据时选择最优路径的能力。
除了可以完成主要的路由任务,利用访问控制列表〔AccessControlList,ACL〕,路由器还可以用来完成以路由器为中心的流量控制和过滤功能。
在本工程案例设计中,内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进展数据包交换。
本设计将要在核心层路由设备上对采用生成树协议、访问控制列表以与CHAP认证等。
2.2交换技术
现代交换技术还实现了第3层交换和多层交换。
高层交换技术的引入不但提高了企业网数据交换的效率,大大增强了企业网数据交换服务质量,满足了不同类型网络应用程序的需要。
2.3VLAN技术
虚拟局域网〔VirtualLAN,VLAN〕技术:
,VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的影响。
在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现。
当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议〔VLANTrunkingProtocol,VTP〕简化管理,它只需在单独一台交换机上定义所有VLAN。
然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。
这样,大大减轻了网络管理人员的工作负担和工作强度。
2.4远程访问技术
远程访问也是企业网络必须提供的服务之一。
远程访问技术:
它可以为办公用户和客户远程访问企业获取信息服务。
远程访问有三种可选的服务类型:
专线连接、电路交换和包交换。
在本工程案例设计中,采用专线连接〔到因特网〕和电路交换〔到企业网〕两种方式实现远程访问需求。
2.5链路聚合技术
链路聚合〔LinkAggregation〕技术,支持IEEE802.3ad协议,是一种用在交换机与交换机之间扩大通信吞吐量、提高可靠性的技术,也称为骨干连接。
当两台核心层交换机采用聚合链路〔LinkAggregation〕技术后,该技术可以使交换机之间连接最多4条负载均衡的冗余连接。
当某一台核心交换机出现故障或核心交换机与接入层/会聚层交换机的某一条互联线路出现故障时,系统将通信业务快速自动切换到另一台正常工作的核心层交换机上,以使整个网络具备高容量、无阻塞、高可靠的能力。
作为一个较为完整的企业网实现,路由、交换与远程访问技术缺一不可。
在后面的内容中,我们将就每一技术领域的常用技术的实现进展详细的讨论。
第3章网络总体设计
3.1企业网布网原如此
根据电信信息化住宅小区用户业务的开展情况和开展规划,本着“经济适用、合理预留〞的原如此,配线电缆应满足用户通信需求,线路容量应足终期用户业务开展要求;
为了最大限度的减少投资,设计的配线电缆路由应充分考虑终期敷设电缆线路的需要;
配线电缆设计应满足原邮电部与信息产业部相关设计规X和技术资料的规定。
3.2从几个方面考虑企业内网组网因素
3.2.1网络技术选型
在企业网网络的建设中,主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。
选择适合企业网络需求特点的主流网络技术,不但能保证网络的高性能,还能保证网络的先进性和扩展性,能够在未来向更新技术平滑过度,保护用户的投资。
所以要根据实际应用的需要,采用千兆以太网作为企业网的主干网,因为作为整个企业网的信息交换中心,网络的速度会直接影响到其他各子网的性能;
在建设多媒体教室时,由于网络中将会有很多的图像和声音的传输,因此对带宽和传输速度有很高的要求,采用快速以太网就是最好的选择;
而对于其他一些只有诸如简单文件传输之类的应用的环境,采用以太网就能满足要求。
不同网络技术的复杂程度,在一定程度上直接影响企业网的维护、管理和使用效果。
千兆以太网继承了以太网的技术简单,容易学习掌握的特点,是企业网的首选技术。
3.2.2网络核心设备的选择
骨干带宽的选择。
网络应用的增加对网络带宽提出了直接的需求。
事实上,从1983年802.3标准的正是成立开始,以太网技术经过20年的开展,已进入万兆以太网〔802.3ae标准〕的时代。
企业网络应用也是极其丰富的。
并且随着组播技术在企业的应用,企业网核心层将面临严峻的考验。
出于对网络开展的考虑,基于网络业务的开展,在拥有近万个信息点的企业采用万兆以太网技术构建核心层是可行的。
目前业务还没完全开展起来,先采用千兆骨干,但核心设备必须支持万兆,并且在教育行业有应用,证明核心产品的成熟性和稳定性。
在实现端到端的以太网访问的同时提高了传输的效率,有效地保证了多媒体办公、作业等业务的开展。
3.2.3处理能力
核心层是网络高速交换的骨干,被设计成尽可能高速包转发率,同时能够提供高速的Internet的接入和高冗余性能,同时由于各企业根本采用了Internet和CERNET双出口,而且出口的速率不同,所以所选择的网络核心层设备应该能够提供多网络出口的智能选择的功能,本身能够提供冗余特性。
核心层设备须能够支持多种不同模块的插槽和提供多种不同的网络模块,支持到流媒体所需的网络的组播协议和网络的多播协议的处理能力,需要线速的数据转发和数据交换功能,即高背板带宽支持和高性能网络处理芯片的支持;
由于是核心设备,还必须考虑整体网络的灾难备份和设备冗余,在设计中考虑的设备冗余需要有设备支持和协议支持,设备支持就是指在核心不能由单台设备进展整个网络的数据交换,需要有至少两台设备对整个网络进展有效的支撑,并已经具备灾难备份的硬件支撑能力。
3.2.4在协议上,需要支持冗余协议
实现整体网络冗余。
支持在单台设备失效的同时,在最短的时间切换,防止网络损失。
对于核心交换机在整个网络的设计,还要考虑整体业务的支撑方式,因为设备只是物理承载层面,而用户需要在该物理层面实现其业务,达到职能和流程的有效快捷,这样,物理设备的业务支撑能力就至关重要。
核心设备应提供分布式L2/3/4层接口板处理应用流〔视频、话音、数据〕、重要用户的优先级,支持NAT、MPLS、VPN、策略路由等应用;
支持基于端口、MAC、VLAN、IP、应用类型等多种Qos;
支持四个优先级队列和WRED、WRR、PQ、WFQ等流分类、排队、调度和整形机制。
赋予交换机高度的智能性,高效支持各种应用业务。
对于核心设备在网络中的举足轻重的位置,安全对于整个网络来说也整个网络的至关重要的,对于外部的黑客攻击和内部的病毒攻击的屏蔽,是保证整个网络运行的关键。
核心设备要提供完善的ACL访问控制策略的定制,防止非法内容的访问;
广播包抑制与广播源定位功能,保证网络用户安全。
3.2.5对于未来的扩展设计
对于在中心位置的核心设备的设计而言,随着时代的改变,其业务结构和规模也会改变,这样需要整个网络设备能够对未来的变化具备应对措施;
由于核心设备是数据和业务的核心,所以,不能轻易的进展更换,同时,考虑到本钱的因素,除非核心设备已经完全不能支撑目前业务的进展,否如此,根本都会采取在原来的设备增加功能支撑来满足新业务的需求。
这样,对于未来的扩展性就变得异常重要,核心设备扩展槽,接插模块类型,端口密度数应有所考虑,以保证整体设备的高性价比。
3.2.6安全方案的部署
从各企业网络现状分析,目前面临的网络安全威胁来源主要来自以下几个方面:
一是来自Internet的安全威胁,各企业有自己独立的链路通往Internet。
Internet上的任意接入点对本局域网发起的基于网络的攻击,以与对外公开的应用服务器的攻击,这样可以造成网络性能的急剧下降,应用服务器的瘫痪。
使整体网络正常的内、外双向通信、存储等服务受阻或中断。
二是来自企业局域网内部的恶意安全攻击,网络连接员工的计算机,员工有可能基于学习的目的可能使用各种入侵的软件,给系统造成隐含的威胁。
三是企业内各相关部门的数据上报采用FTP方式逐级复制,处于完全敞开和透明的模式,只要掌握IP地址,传输数据就可以被轻易截获,从而造成某某信息的泄露;
再有来自操作系统、应用系统本身的漏洞与来自互联网、内部局域网的病毒安全威胁的攻击。
企业X围内的病毒防护不能依靠个人的自觉性,应当从网关、服务器、客户端多个层面来统一部署,实施整体病毒防护解决方案。
这样才能从根本上降低病毒的发作和传播几率,有效地保护企业内部资源,同时对新出现的病毒有一个很好的、快速的响应系统。
作为企业网络安全的防线,防火墙、入侵检测、防病毒系统是必不可少的,它可有效的对来自外网和内网的攻击做出与时告警,并给予一定的响应措施。
3.3初步确定网络拓扑图
在用户管理、计费方面,要保证计费数据的准确,交换机可以支持用户账号、IP地址、MAC地址、交换机端口、VLAN的绑定,保证了用户上网期间IP地址不被盗用,支持基于流量/时长/包月/带宽的计费与其组合计费方式。
在用户日志管理方面,业务管理平台和接入交换机配置可以实现完善的用户日志功能。
用户访问日志的内容包括用户名、源MAC、VLANID、源IP、目的IP、访问时间。
用户的目的IP地址改变时会产生一条日志。
根据这些信息可以很方便的定位用户在某个时间段访问了那些内部服务器,与服务器的日志相对应追查出一些事故的责任人。
在网络管理方面,网络管理软件支持多种操作平台,并能够与多种通用网管平台集成,实现从设备级到网络级全方位的网络管理。
提供统一拓扑发现功能,实现全网监控,可以实时监控所有设备的运行状况,并根据网络运行环境变化提供适宜的方式对网络参数进展配置修改,保证网络以最优性能正常运行。
模型见图3-1
图3-1初步确认网络拓扑
3.4IP地址划分
3.4.1为什么要做好IP地址规划
在网络规划中,IP地址方案的设计至关重要,好的IP地址方案不仅可以减少网络负荷,还能为以后的网络扩展打下良好的根底。
IP地址用于在网络上标识唯一一台机器。
根据RFC791的定义,IP地址由32位二进制数组成(四个字节),表示为用圆点分成每组3位的12位十进制数字(xxx.xxx.xxx.xxx)每个3位数代表8位二进制数(一个字节)。
由于1个字节所能表示的最大数为255,因此IP地址中每个字节可含有0~255之间的值。
但0和255有特殊含义,255代表广播地址:
IP地址中0用于指定网络地址号(假如0在地址末端)或结点地址(假如0在地址开始)。
子网掩码用于找出IP地址中网络与结点地址局部。
子网掩码长32位,其中1表示网络局部,0表示结点地址局部。
A类,B类,C类网络的子网掩码见表3,如一个结点IP地址为192.168.202.195,子网掩码255.255.255.0,表示其网络地址为192.168.202,结点地址为195。
有时为了方便网络管理,需要将网络划分为假如干个网段。
为此,必须打破传统的8位界限,从结点地址空间中“抢来〞几位作为网络地址。
具体说来,建立子网掩码需要以下两步:
确定运行IP的网段数,确定子网掩码。
3.4.2设计IP地址方案
在设计IP地址方案之前,考虑到以下几个问题:
是否将网络连入Internet,是否将网络划分为假如干网段以方便网络管理,是采用静态IP地址分配还是动态IP地址分配
计划将网络连入Internet,如此需要向ISP申请一个网络地址。
这里,我们假定得到了一个C类网络地址138.211.66.0。
本设计采用pppoe认证自动分配的动态IP地址,具体如下,
Fa0/1:
PPPOE接口,不适用
第4章网络拓扑实现和规划
考虑到以上所述企业网络的各个部门的复杂性,把企业网络整体上划分为两大局部,一局部采用PPPOE接入有效地防止局域网病毒的扩展,并为以后的管理提供了巨大的便利;
另一局部采用局域网接入,加上access控制列表和VLAN划分确保网络可靠稳定。
网络拓扑如下
图4-1网络拓扑总览
4.1网络系统解释
4.1.1主干网设计
随着企业网用户数目与新的应用需求不断增加,特别是网上多媒体与远程教育应用的展开,对企业网主干带宽提出了新的更高的要求,因此希望:
新的主干设备应能满足10,000用户接入访问的要求。
支持IP多目广播与服务质量〔QOS〕或服务类型(COS),满足远程教育的需要。
支持虚拟网络〔VLAN〕。
网管软件应具备对接入层交换设备进展远程可操作的能力〔如在网络中心对接入交换机进展针对端口IP过滤条件的远程设置〕。
本设计中PC100交换机镜像端口,在本机上可以安装协议分析软件对网络中的数据进展分析,监控和管理网络的运行情况。
4.1.2拓扑结构设计
星形拓扑结构:
星型拓补结构的每个节点都有一条单独的链路与中心节点相连,所有数据都要通过中心节点进展交换,因此中心节点是星型网络的核心。
星型网络也采用广播传输技术,局域网的中心节点设备通常采用交换机或Hub。
在交换机中,每个端口都挂接在内部背板总线上,因此,星型以太网虽然在物理上呈星型拓补结构,但逻辑上任然是总线型拓补结构,因此,该企业网网络拓补示意图中也将星型网络简单地画为总线形式。
如图4-2所示
基层网络拓扑从核心层到会聚层交换机
图4-2星形拓扑结构展示
4.1.3分层化设计
为了简化交换网络设计、提高交换网络的可扩展性,在企业网内部数据交换的部署是分层进展的。
企业网数据交换设备可以划分为三个层次:
接入层、聚集层、核心层。
在本工程案例设计中,也将采用这三层进展分开设计、配置。
考虑到地理位置和服务点等因素,将网络中心设在实验楼,以实验楼为中心,用光纤连接到其它建筑物,考虑到地理位置和服务点等因素,企业网光纤主干通过DDN专线将整个企业网连入教育科研网CERNET,即连入国际互联网,同时接入电信网。
网络结构分成三层:
核心层、会聚层、接入层。
考虑传输高速率和扩展的需求,企业网整体采用光纤传输。
核心层双中心星形拓扑的优点是逻辑结构较为简单,实现设备也可以很好的进展网络负载均衡。
LinkAggregation技术提高互联交换机的吞吐量,使得整个网络具备高容量、无阻塞、高性能的能力。
聚集层主要功能是会聚网络流量,链路聚合、路由聚合,信号中继,负责将访问层交换机进展聚集,还为整个交换网络提供VLAN间的路由选择功能。
接入层:
接入层利用VLAN划分等技术隔离网络广播风暴,提高网络效率,为所有的终端用户提供一个接入点。
网络设计的层次可如图1-1所示:
以上特点分层网络结构可以获得良好的扩展性,根据实际需求,整个企业网采用星型结构,并分为核心层〔分布于网管中心内〕和访问层〔分布在各宿舍楼、办公楼内,包括分布广泛的各种低端网络连接/交换设备与各种终端设备〕二层。
4.1.4网络冗余设计
由于企业网络规模巨大、涉与到的用户很多,如果网络特别是骨干网络出现任何的问题将导致很大的不良影响,因此对网络的可靠性和可用性要求很高。
网络的冗余设计除了选择具有冗余设计的网络设备外,网络的冗余设计也十分重要,可是,冗余设计造价“不菲〞且似乎“不是很有用〞,一般都做在主干网络或者对网络要求比拟高的特殊用户群之上。
本设计做了干线冗余。
如图4-3所示:
图4-3主干网络冗余
〔通过最短路径优先级来进展网络传输〕
4.2使用设备清单
cisco2950系列24端口交换机,如图4-4所示
图4-4cisco295024口交换机
会聚层:
cisco2950系列24端口交换机,如图4-5所示
图4-5cisco295024口交换机
核心层:
cisco2960系列交换机、2800路由器,如图4-6所示
图4-6cisco7206VXR,2800路由器
4.3网络设备配置
4.3.1关于radius服务器认证的配置
usernameuser1passwordcisco1//添加用户名与密码,在radius服务器建立之前调试
vpdnenable//开启PPPOE
vpdn-group1//建立PPPOE的拨号组
accept-dialin//承受拨号
protocolpppoe//协议为PPPOE
virtual-template1//创建虚拟模板
interfaceVirtual-Template1
ipunfa0/1//将fa0/1端口ip绑定到虚拟模板
peerdefaultipaddresspoolschool//指定对端IP从地址池school中获取
pppauthenticationchap//设置使用CHAP认证
intfa0/1
pppoeen//开启PPPOE
aaanew-model//开启AAA认证
radius-serverhost10.5.0.2keycisco//配置RADIUS服务器地址和密钥〔与服务器一致〕
ipradiussource-interface10.5.0.1//指定以此IP为源发送RADIUS报文
aaaauthenticationpppdefaultgroupradius//PPP认证使用radius认证
aaaauthorizationnetworkdefaultgroupradius//授权network
Radius认证服务器配置如图4-7所示:
图4-7AAA服务器配置信息
4.3.2OSPF配置
R2、R3参考以下R1做相应配置
intloopback0//建立回环地址
Routerospf10//开启ospf进程号10
network10.1.0.00.0.255.255area0//全局管理
network10.2.0.00.0.255.255area0
network10.4.0.00.0.255.255area0
iproute10.10.0.0255.255.0.0de0/0/0//设置进入pppoe地址池的路由信息。
路由表生成如图4-8所示
图4-8OSPF配置生效获取路由表信息
4.3.3vlan配置
en
conft
vlan5//创建vlan5
nametech//命名为tech
vlan6//创建vlan6
namepor//命名为por
iprangefa0/1-fa0/5进入端口fa0/1-fa0/5接口配置模式
swaccvlan5//更改模式为access分配入vlan5
iprangefa0/6-fa0/10
swaccvlan6//更改模式为access分配入vlan6
*其他位置作相应配置
4.4访问控制列表技术实现
4.4.1路由器ACL配置与应用
路由器ACL配置如下:
Network(config)#IPaccess-listExtendedDeny_Access
Network_RT(config-ext-nacl)#denytcpanyhost192.168.1.190eq
Network_RT(config-ext-nacl)#denytcpanyhost192.168.1.191eq
Network_RT(config-ext-nacl)#denytcpanyhost192.168.1.190eqtelnet
Network_RT(config-ext-nacl)#denytcpanyhost192.168.1.191eqtelnet
Network_RT(config-ext-nacl)#permitipanyany
Network(config)#IPaccess-listExtendedPermit_Access
Network_RT(config-ext-nacl)#permittcp10.10.80.00.0.0.255host192.168.1.190eq
Network_RT(config-ext-nacl)#permittcp10.10.80.00.0.0.255host192.168.1.191eq
Network_RT(config-ext-nacl)#permittcp10.10.80.00.0.0.255host192.168.1.190eqtelnet
Network_RT(config-ext-nacl)#permittcp10.10.80.00.0.0.255host192.168.1.191eqtelnet
Network_RT(config-ext-nacl)#denytcpanyhost192.168.1.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 网络 构架 毕业论文