中小型企业网络方案设计书word文档良心出品.docx

中小型企业网络方案设计书word文档良心出品.docx

《中小型企业网络方案设计书word文档良心出品.docx》由会员分享，可在线阅读，更多相关《中小型企业网络方案设计书word文档良心出品.docx（22页珍藏版）》请在冰豆网上搜索。

中小型企业网络方案设计书word文档良心出品

华迪网络

方

案

设

计

书

设计人员：

XX

一．需求分析和布线设计

总体需求分析：

华迪公司是集外包业务，产品设计，教育于一体的计算机企业，对网络质量需求较高，需要保证较高的网络质量。

公司规模较大需要保证极大的网络带宽接入。

并且需要较高的网络可靠性和稳定性，不允许出现网络的瘫痪。

企业共三栋大楼包括：

教学楼、办公楼、学生公寓。

均需接入网络。

采用标准综合布线设计。

网络功能需求：

（1）公司各部门及宿舍员工可以通过网络相互交流

（2）保证办公部门、宿舍及网络教学实验室能够全部接入网络并且保接入交换机的工作效率

（3）保证核心层交换机不因某一台设备的故障导致整个公司网络的瘫痪

（4）保证所有部门不因线路问题出现不能访问网络的情况

网络规模及信息点分布：

网络总体规模较大，共三栋楼需连接成为园区网络并接入互联网。

共十三层楼及1060个信息点，分布如下

（1）教学楼信息点情况：

设备中心在1楼

一楼：

数据点180个

二楼：

数据点180个

三楼：

数据点80个

四楼：

数据点60个

（2）办公楼信息点情况：

设备中心在1楼

一楼：

数据点50个

二楼：

数据点40个

三楼：

数据点40个

四楼：

数据点30个

（3）学生公寓信息点分布情况：

设备中心在1楼

一楼：

数据点80个

二楼：

数据点80个

三楼：

数据点80个

四楼：

数据点80个

五楼：

数据点80个

网络性能分析：

（1）带宽分析：

根据对该公司的需求分析预期达到的效果，对公司网络带宽具体分配如下：

外网与公司路由器间的连接采用光纤接入，带宽为200M

路由器与公司核心层交换机（核心层交换机在办公楼）间的连接，采用光纤接入，带宽为2000M

核心层交换机与公司中心服务器群间采用以太网连接，带宽为1000M

核心层交换机与学生宿舍采用单模光纤连接，带宽为1000M

核心层交换机与教学楼采用单模光纤连接，带宽为1000M

各栋大楼接入层交换机与信息点间连接采用以太网连接，带宽为100M

（2）可靠性：

采用两台核心层交换机做HSRP冗余备份与链路均衡设计，保证网络的可靠性与稳定性

（3）扩展性：

此次设计方案除所需达到的效果外，还要考虑到满足公司未来的扩建和网络的升级，需要考虑一下几点：

信息点的增加，预留大量信息点。

出口带宽的增加，购买有足有扩展插槽的设备

公司规模的扩大

分公司的建立

综合布线设计：

共三栋大楼需布线设计包括：

教学楼、办公楼、学生公寓楼。

均设置进线间BD。

教学楼采用1BD，3FD。

办公楼采用1BD，2FD。

学生公寓采用1BD，3FD。

具体布线设计如下：

学生公寓楼：

办公楼

：

教学楼：

二．网络拓扑设计

园区网拓扑架构及涉及技术：

将园区网络设计为分层架构，共分为三层：

核心层、汇聚层及接入层。

通过将网络分成许多小单元降低了网络的整体复杂性使故障排除或扩展更容易，并且能隔离广播风暴的传播、防止路由环路等潜在的问题。

网络容易升级到最新技术，升级任意层次不会对其他层次造成影响。

无须改变整个环境。

层次结构降低了设备的复杂性，使网络更容易管理。

核心层的任务是为其他两层提供优化的数据传输功能。

核心层的主干交换机一般采用最快速率的链路连接技术，在与汇聚层骨干交换机相连时采用HSRP冗余备份与STP负载均衡技术，能够实现高带宽，大容量网络层路由交换功能，并且在一台核心设备故障时，传输的数据能快速切换到另一台核心设备，不影响网络系统正常工作。

汇聚层内包括千兆交换机、防火墙、服务器群集等（包括域名服务器、文件服务器、数据库服务器、Web服务器等）。

分布层主要提供了地址的聚集、部门和工作组的接入、广播域、组播传输域的定义、VLAN路由、安全控制等功能。

接入层的主要目标是为最终用户提供对网络访问的途径，提供了宽带共享、交换带宽、MAC层过滤、网段划分等功能。

采用堆叠以太网交换机作为网络的接入既交换机，交换机普通端口与用户计算机相连，告诉端口用于上连高速率的分布层网络交换机。

HSRP备份：

热备份路由器协议（HSRP）的设计目标是支持特定情况下IP流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。

换句话说，当源主机不能动态知道第一跳路由器的IP地址时，HSRP协议能够保护第一跳路由器不出故障。

STP负载均衡：

在路由器上为各个VLAN设置不同的跟桥使他们的流量平均分配给两台核心设备处理再配合HSRP以实现负载均衡效果。

链路聚合：

链路聚合是将两个或更多数据信道结合成一个单个的信道，该信道以一个单个的更高带宽的逻辑链路出现。

链路聚合一般用来连接一个或多个带宽需求大的设备，例如连接骨干网络的服务器或服务器群。

具体拓扑设计

广域网拓扑架构及涉及技术：

广域网连接技术有：

VPN，电信专线，帧中继

VPN技术：

虚拟专用网络功能是：

在公用网络上建立专用网络，进行加密通讯。

在企业网络中有广泛应用。

VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。

VPN有多种分类方式，主要是按协议进行分类。

VPN可通过服务器、硬件、软件等多种方式实现。

VPN具有成本低，易于使用的特点。

VPN属于远程访问技术，简单地说就是利用公用网络架设专用网络。

例如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。

电信专线：

电信ISP为需要使用较大带宽企业或集团提供的专用网络线路。

帧中继：

帧中继（FrameRelay）是一种用于连接计算机系统的面向分组的通信方法。

它主要用在公共或专用网上的局域网互联以及广域网连接。

大多数公共电信局都提供帧中继服务，把它作为建立高性能的虚拟广域连接的一种途径。

帧中继是进入带宽范围从56Kbps到1．544Mbps的广域分组交换网的用户接口。

本拓扑设计采用电信专线接入网络,各分公司之间采用VPN技术以保证数据的保密性

具体拓扑设计：

互联网及网络安全拓扑设计及涉及技术：

网络安全主要采用防火墙与IDS配合进行网络安全维护包括：

包过滤，NAT地址转换，安全策略配置，病毒检测，入侵检测等。

远程出差办公采用VPN接入公司局域网保证数据保密性与安全性。

防火墙：

防火墙具有很好的保护作用。

入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。

你可以将防火墙配置成许多不同保护级别。

高级别的保护可能会禁止一些服务，如视频流等。

防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。

例如互联网是不可信任的区域，而内部网络是高度信任的区域。

以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。

它有控制信息基本的任务在不同信任的区域。

典型信任的区域包括互联网（一个没有信任的区域）和一个内部网络（一个高信任的区域）。

最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。

IDS：

IDS（intrusiondetectionsystem，全称“入侵检测系统”）是一种对网络传输进行即监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

IDS最早出现在1980年4月。

1980年代中期，IDS逐渐发展成为入侵检测专家系统（IDES）。

1990年，IDS分化为基于网络的IDS和基于主机的IDS。

后又出现分布式IDS。

目前，IDS发展迅速，已有人宣称IDS可以完全取代防火墙。

具体拓扑如下：

IP地址规划：

区域IP地址规划：

位置

区域

VLAN

IP网段

IP网关

办公楼

一楼

101

192.168.101.1-192.168.101.255/24

192.168.101.1/24

二楼

102

192.168.102.1-192.168.102.255/24

192.168.102.1/24

三楼

103

192.168.103.1-192.168.103.255/24

192.168.103.1/24

四楼

104

192.168.104.1-192.168.104.255/24

192.168.104.1/24

网管中心

10

192.168.10.1-192.168.10.255/24

192.168.10.1/24

教学楼

一楼

201

192.168.201.1-192.168.201.255/24

192.168.201.1/24

二楼

202

192.168.202.1-192.168.202.255/24

192.168.202.1/24

三楼

203

192.168.203.1-192.168.203.255/24

192.168.203.1/24

四楼

204

192.168.204.1-192.168.204.255/24

192.168.204.1/24

学生公寓

一楼

301

192.168.301.1-192.168.301.255/24

192.168.301.1/24

二楼

302

192.168.302.1-192.168.302.255/24

192.168.302.1/24

三楼

303

192.168.303.1-192.168.303.255/24

192.168.303.1/24

四楼

304

192.168.304.1-192.168.304.255/24

192.168.304.1/24

五楼

305

192.168.305.1-192.168.305.255/24

192.168.305.1/24

设备IP地址规划

设备位置

设备名称

设备端口

IP地址

办公楼网管中心

防火墙

外网端口

10.0.10.100/24

内网端口

10.0.20.100/24

DMZ端口

10.0.30.100/24

VPN

外网端口1

ISP提供

外网端口2

ISP提供

内网端口

10.0.10.200/24

核心交换机A

连接外网端口

10.0.20.150/24

连接内网端口

10.0.40.1/24

HSRP虚拟IP

10.0.40.5/24

核心交换机B

连接外网端口

10.0.20.200/24

连接内网端口

10.0.40.2/24

HSRP虚拟IP

10.0.40.4/24

办公楼汇聚交换机

连接核心层端口1

10.0.40.100/24

连接核心层端口2

10.0.40.101/24

VLAN101接口

192.168.101.1/24

VLAN102接口

192.168.102.1/24

VLAN103接口

192.168.103.1/24

VLAN104接口

192.168.104.1/24

VLAN10接口

192.168.10.1/24

教学楼

教学楼汇聚交换机

连接核心层端口1

10.0.40.151/24

连接核心层端口2

10.0.40.152/24

VLAN201接口

192.168.201.1/24

VLAN202接口

192.168.202.1/24

VLAN203接口

192.168.203.1/24

VLAN204接口

192.168.204.1/24

学生公寓

学生公寓BD

连接核心层端口1

10.0.40.201/24

连接核心层端口2

10.0.40.202/24

VLAN301接口

192.168.301.1/24

VLAN302接口

192.168.302.1/24

VLAN303接口

192.168.303.1/24

VLAN304接口

192.168.304.1/24

VLAN305接口

192.168.305.1/24

服务器中心

服务器中心交换机

外网端口

10.0.30.200/24

内网端口

172.16.0.1/24

服务器IP地址规划：

服务器名称

服务器IP

服务器网关

FTP服务器

172.16.0.10/24

172.16.0.1

DHCP服务器

172.16.0.20/24

172.16.0.1

Web服务器

172.16.0.30/24

172.16.0.1

DNS服务器

172.16.0.40/24

172.16.0.1

应用服务器

172.16.0.50/24

172.16.0.1

整体网络拓扑结构：

在广域网中使用VPN技术保证分公司与出差员工在与总公司传输数据时保证数据的保密性与安全性。

在总公司的外网接口出设置防火墙保障公司内网不易被外网入侵，过滤数据包。

在DMZ与园区网接入交换机的旁路设置IDS进行入侵检测保障内网安全。

在园区网中将园区网分为三个层次进行管理，减小网络的复杂性。

在核心层使用HSRP备份技术保障网络的可靠性，同时使用STP负载均衡技术保障网络的稳定性。

在接入层与汇聚层处使用链路聚合技术提高带宽。

企业整体拓扑如下

三．网络设备选型

园区网交换机设备选型：

1．核心层交换机选型：

核心层交换机选择WS-C4506-E，

端口密度高达244个10/100（RJ-45，带或不带PoE）、10/100（RJ-21，带或不带PoE）、100BASE-FX、100BASE-LX-10、100BASE-D、100BASE-X、10/100/1000BASE-T（带或不带PoE）,或者高达32个万兆以太网端口。

支持典型和E些列卡。

利用SupervisorEngine6-E和SupervisorEngine6L-E,最高可以提供280Gbps、210Mpps或者24Gbps每插槽带宽。

业务功能：

通过只能的网络服务，全面的服务质量（QoS）,可预测的性能，增强的安全性，最高30瓦的PoE,以及全面的管理功能，CiscoCatalyst4500系列将只能和运营简便性拓展到了网络边缘（配线间）。

CiscoCatalyst4500系列能够在硬件和软件中实现高水平的、集成化的永续性，最大限度地缩短计划内和计划外的、代价昂贵的断网时间，从而提高员工的工作效率。

WS-C4506-E共6扩展插槽支持扩展性较强。

2.汇聚交换机选型：

汇聚层交换机选择WS-C3750V2-24TS

CiscoCatalyst3750系列交换机是一款适用于中型机构和大型企业分支机构的创新产品。

该交换机采用了CiscoStackWise技术，通过集合易用性和可堆叠交换机的最高永续性，提高局域网运行效率。

3.接入层交换机选型：

接入层交换机选择WS-C2960-48TC-L

CiscoCatelyst2960系列交换机是一个固定配置交换机系列，可以为终端市场和分支机构网络提供快速以太网，以太网供电（PoE）、千兆以太网连接和智能局域网服务。

CiscoCatalyst2960LANBase交换机支持增强的安全性、服务质量（QoS）和可用性。

4.交换机设备选型清单：

设备

模块

规格型号

数量

核心交换机

主机型号

WS-C4506-E

2

电源及风扇

风扇自带电源：

PWR-C45-1000AC/2

4

核心引擎模块

WS-X45-Sup6-E

4

以太网光纤接口卡

WS-X4516-10GE=

2

以太网光纤模块

X2-10GB-LR=

6

RJ-45以太网模块

无

汇聚交换机

主机型号

WS-C3750V2-24TS

3

千兆以太网光纤模块

无

万兆以太网光纤模块

X2-10GB-LR=

6

教学楼接入层交换机选配

FD-1

主机型号

WS-C2960-48TC-L

4

堆叠模块

CAB-STK-E-0.5M=

4

FD-2

主机型号

WS-C2960-48TC-L

4

堆叠模块

CAB-STK-E-0.5M=

4

FD-3

主机型号

WS-C2960-48TC-L

3

堆叠模块

CAB-STK-E-0.5M=

3

办公楼接入层交换机选配

FD-1

主机型号

WS-C2960-48TC-L

2

堆叠模块

CAB-STK-E-0.5M=

2

FD-2

主机型号

WS-C2960-48TC-L

2

堆叠模块

CAB-STK-E-0.5M=

2

学生公寓楼接入层交换机选配

FD-1

主机型号

WS-C2960-48TC-L

4

堆叠模块

CAB-STK-E-0.5M=

4

FD-2

主机型号

WS-C2960-48TC-L

4

堆叠模块

CAB-STK-E-0.5M=

4

FD-3

主机型号

WS-C2960-48TC-L

2

堆叠模块

CAB-STK-E-0.5M=

2

广域网设备选型：

1中心WAN设备：

使用VPN接入广域网中心采用：

深信服VPN-3050

接口

6个千兆电口纠错

性能概述

防火墙吞吐量≥900Mbps

最大并发会话数≥100万

SSL-VPN加密速度≥250Mbps

并发SSL用户数≥1200

IPSecVPN加密速度≥350Mbps

IPSec-VPN隧道数≥5200

产品尺寸

标准1U架构

2.分支WAN设备：

分支设备同样采用VPN接入广域网分支采用：

深信服VPN-2050

接口

4个千兆电口

性能概述

防火墙吞吐量≥150Mbps

最大并发会话数≥35万

SSLVPN加密速度≥100Mbps

并发SSL用户数≥300

IPSecVPN加密速度≥75Mbps

IPSecVPN隧道数≥3000

产品尺寸

标准1U架构

WAN设备选配

数量

中心设备

主机型号

深信服VPN-3050

1

分支设备

主机型号

深信服VPN-2050

1

互联网接入设备选型：

1.防火墙产品选型：

采用深信服NGAF-520

设备类型:

下一代防火墙

并发连接数:

50000

网络吞吐量:

三层吞吐量：

200Mbps，七层吞吐量：

60Mbps

入侵检测:

智能Dos、DDoS攻击防护，2500+条漏洞特征库，1000+Web应用威胁特征库，通过CVE兼容性认证。

2.IDS产品选型：

IDS采用：

天融信TopSentry2000（TS-2304-IDS）

天融信TopSentry2000（TS-2304-IDS）标配3个10/100BASE-TX端口（可以用作扩展和监听）+1个10/100/100BASE-TX管理端口。

200Mbps吞吐率，攻击事件数2800以上。

互联网设备选配

数量

防火墙

主机型号

深信服NGAF-520

1

IDS

主机型号

天融信TopSentry2000（TS-2304-IDS）

1