网络布置分区组网方案.docx
- 文档编号:3670258
- 上传时间:2022-11-24
- 格式:DOCX
- 页数:26
- 大小:71.79KB
网络布置分区组网方案.docx
《网络布置分区组网方案.docx》由会员分享,可在线阅读,更多相关《网络布置分区组网方案.docx(26页珍藏版)》请在冰豆网上搜索。
网络布置分区组网方案
网络布置分区组网方案
姓名:
xX
学号:
xx
指导老师:
xx
2009年12月21日
目录
前沿2
第一章需求分析2
1.1项目介绍2
1.2项目方组网要求2
1.3接入点统计2
1.4安全需求2
第二章网络设计原则2
第三章IP地址以及Vlan规划2
2.1IP地址规划原则2
2.2具体设计2
第四章网络总体设计2
3.1网络拓扑图2
3.2网络拓扑描述2
3.3区域设计2
3.4技术选型2
3.5网络安全2
第五章设备选型2
4.1设备选型2
4.2设备介绍2
第六章设备配置与验证2
5.1接入层交换机配置2
5.2接入层交换机配置验证2
5.3核心交换机配置2
5.4核心交换机配置验证2
5.5出口设备配置2
第七章参考文献2
前沿
从1959年ARPA建立了ARPANET网开始,互联网只经过短短四十多年的发展,今天,网络已经开始对整个经济体系产生影响。
网络将像电话、汽车等的发明一样产生深刻影响,并比他们的影响更深远。
许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。
可以说,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。
“天下大势,顺之者昌,逆之者亡”,摆在我国大中小型企业面前的,已经不是要不要利用互联网的问题,而是如何应用的问题了。
然而目前,中国的大多数企业,无论是对网络经济的认识,还是对网络手段的运用都远远不够,更谈不上利用网络经济提高竞争力、确立竞争优势。
中国网络的发展,不仅实践上远远落后,理论上也是严重滞后,甚至出现误导,对网络对企业经济的影响认识不够许多企业并没有理解企业发展与网络的真正联系,没有意识到企业网络化发展带来的冲击、挑战和机遇。
如果网络没有被有效的利用到现代企业的发展中,那么中国企业的信息化建设将普遍滞后,未能从战略的高度把信息化作为企业自我发展的内在需求,未能把网络提供的市场机会和管理运营创新作为企业提高竞争力的有效途径和企业可持续发展的新的增长点。
对大多数企业而言,成长方式、经营模式、运行机制和组织结构等都还沿着用工业经济条件下的那一套,很多企业内部联网都没有建立,远不能适应网络经济发展对企业的需要和要求。
企业信息化滞后是构成网络经济发展的“瓶颈”,企业的良好发展当然也无从谈起。
基于上面一系列中国企业面临的信息化问题,中国企业能否实现信息化已经成为企业能否顺利发展的必要条件。
信息技术作为新技术革命的核心.具有高增值性、高渗透性,以极强的亲和力和扩散速度向经济各部门渗透,使其结构和效益发生根本性改变。
信息化已成为当代经济发展与社会进步的巨大推力。
第一章需求分析
1.1项目介绍
该企业为了适应现代化办公需要,决定建设自己的网络。
该企业分为新厂区和老厂区,该项目负责新厂区的组网方案。
新厂区分为A区、B区、C区以及D区。
A区为核心区域,严格控制其它区域访问控制。
B区、C区和D区在建造时采用相同的设计结构。
1.2项目方组网要求
1>成本控制
2>访问控制
3>双出口
1.3接入点统计
接入点统计如下表:
接入点统计
区域
接入点
流量
A区
240
480
窗体顶端
窗体底端
B区
120
240
窗体顶端
窗体底端
C区
120
240
窗体顶端
窗体底端
D区
120
240
总计
600
1200
1.4安全需求
1>内部网络正常运转
2>内部网络数据安全
3>内部网络设备安全
4>内部用户接入安全
5>内部网络访问控制
6>外部网络访问控制
第二章网络设计原则
运用国内外的成熟、先进技术,把握计算机网络发展的大趋势,结合实际情况、特点、使用需求及未来发展,提出以下建设原则:
1.经济使用性
升级扩容信息网络必须经济实用且具有很高的性能价格比。
2.系统可靠性和稳定性
系统的高可靠性和稳定性是网络系统应用环境正常运行的首要条件。
在保证系统可靠性的基础上,进一步提高系统的可用性。
网络的高可靠性、稳定性就是保证网络可以在任何时间、任何地点提供信息访问服务。
设备要有可靠的质量,并支持热插拔特性及线路、电源备份,以保持一个稳定的运行环境。
3.系统实用性和可管理性
当今世界,通信技术和计算机技术的发展日新月异,网络设计既要适应新技术发展的潮流,保证系统的先进性,选择代表世界先进水平的技术和设备,不使投资的设备在短时间内落伍。
但也要兼顾技术的成熟性、标准性、实用性考虑,不采用还未成为标准的技术及设备接口,也要兼顾技术的成熟性、实用性降低由于新技术和新产品不成熟等因素给用户带来的风险。
网络设计中,选择先进的网络管理软件是必不可少的。
通过这个管理平台的控制,监控主机、网络设备状态,故障报警,从而简化了管理工作,提高了主机系统和网络系统的利用效率。
4.系统可扩展性和开放性
在网络设计时,首先要满足现有规模网络用户和应用的需求,同时考虑未来业务发展、规模的扩大,应该设计关键网络设备具备扩展能力以及网络实施新应用的能力。
同时,设备应采用开放技术、支持标准协议,具有良好的互连互通性,能够支持同一厂家的不同系列的产品以及不同厂家的产品之间的无缝连接与通信。
灵活扩充性:
灵活的端口扩充能力,模块扩充能力,满足网络规模的扩充。
支持新应用的能力:
产品具有支持新应用的技术准备,能够符合实际要求的,方便快捷地实施新应用。
在公司内采用统一的网络体系结构,统一网络协议。
围绕着统一网络体系结构,确定网络互连结构,网络操作系统和网络应用。
5.系统安全性和保密性
安全性是网络运行的生命线。
对人员、设备的安全有所考虑;对网络系统安全的考虑。
硬件设备采用具有自主知识产权的设备,支持多种数字认证和加密方法,吗组电子政务网络安全性需求。
网络架构方面,根据国家对电子政务网络的要求,实现内外网隔离。
合理的网络安全控制,可以使应用环境中的信息资源得到有效的保护。
网络可以阻止任何非法的操作;网络设备可进行基于协议、基于IP地址的包过滤控制功能,不同的业务,划分到不同的虚网中。
第三章IP地址以及Vlan规划
2.1IP地址规划原则
该企业使用私有IP地址来规划内网IP地址,选择172.16.0.0/16地址。
IP地址规划分为四块:
用户地址、设备互联地址、设备管理地址以及服务器地址。
用户IP地址:
172.16.10.0/24—172.16.20.0/24
设备管理IP地址:
172.16.9.0/24
设备互联IP地址:
172.16.8.0/24
服务器IP地址:
172.16.7.0/24
2.2具体设计
1>终端设备IP地址规划
终端设备IP以及Vlan规划
区域
网段
默认网关
vlan号
Vlan名
A区
172.16.10.0/24
172.16.10.1
10
area-A
窗体顶端
窗体底端
B区
172.16.11.0/25
172.16.11.1
20
area-B
窗体顶端
窗体底端
C区
172.16.11.128/25
172.16.11.128
30
area-C
窗体顶端
窗体底端
D区
172.16.12.0/25
172.16.12.1
40
area-D
server1
172.16.7.1/30
172.16.7.2
server2
172.16.7.5/30
172.16.7.6
sever3
172.16.7.9/30
172.16.7.10
DMZ-server
172.16.7.13/30
172.16.7.14
2>设备管理IP地址规划
设备管理IP地址规划
区域
管理IP/32
设备命名
A区
172.16.9.1
Switch-A1
172.16.9.2
Switch-A2
172.16.9.3
Switch-A3
172.16.9.4
Switch-A4
窗体顶端
窗体底端
172.16.9.5
Switch-A5
窗体顶端
窗体底端
B区
172.16.9.6
Switch-B1
窗体顶端
窗体底端
172.16.9.7
Switch-B2
172.16.9.8
Switch-B3
C区
172.16.9.9
Switch-C1
172.16.9.10
Switch-C2
172.16.9.11
Switch-C3
D区
172.16.9.12
Switch-D1
172.16.9.13
Switch-D2
172.16.9.14
Switch-D3
3>设备互联IP地址规划
设备互联IP规划
使用位置
IP网段
备注
核心交换机
防火墙
172.16.8.0/30
172.16.8.0/24网络用作设备IP
核心交换机
老厂区
172.16.8.4/30
第四章网络总体设计
3.1网络拓扑图
3.2网络拓扑描述
基于该企业现有结构,分为A区域、B区域、C区域、D区域,加上出口内部服务器群以及老厂区,分为七个模块来设计的。
该网络设计的整体结构采用的是单核心单链路,使用防火墙做网络出口,按照企业的要求,为双出口,电线和联通。
3.3区域设计
A区
A区共有240个接入点,需要使用5台交换机,设计时,该区总流量为480M,选取设备完全能拿承受五个接入层交换机级联方式。
使用一条千兆多模光纤和核心设备连接。
B区、C区、D区
该区120个接入点,需要使用3台交换机,级联后使用一条千兆上行线路和核心设备连接。
3.4技术选型
参加设备配置章节。
3.5网络安全
这个企业的局域网是一个信息点较为密集的万兆局域网络系统,它所联接的现有上千个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。
不仅如此,通过专线与Internet的连接,打通了一扇通向外部世界的窗户,各个部门可以直接与互联网用户进行交流、查询资料等。
通过对外服务器,企业可以直接对外发布信息或者发送电子邮件。
高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时,也为网络的安全带来了更大的风险。
因此,实施一套完整、可操作的安全解决方案不仅是可行的,而且是必需的。
网络安全可以从以下几个方面来理解:
网络物理是否安全
网络的物理安全主要指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获等。
它是整个网络系统安全的前提。
在这个企业区局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。
保证网络的物理安全主要包括三个方面:
环境安全:
对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》)
设备安全:
主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;
媒体安全:
包括媒体数据的安全及媒体本身的安全。
网络平台是否安全
网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。
企业局域网内服务器区(包括对内、对外服务器)作为公司的信息发布和共享的平台,一旦不能运行或者受到攻击,对企业的声誉影响巨大。
我们有必要将对外服务器、对内服务器、内部网络与外部网络进行隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其他的请求服务在到达主机之前就应该遭到拒绝。
安全的应用往往是建立在网络系统之上的。
网络系统的成熟与否直接影响安全系统成功的建设。
在这个企业局域网络系统中,使用了一台路由器和一个防火墙,用作与Internet连结的边界路由器,网络结构相对简单,具体配置时可以考虑使用静态路由,这就大大减少了因网络结构和网络路由造成的安全风险。
防火墙具有以下五大基本功能:
过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。
系统是否安全
系统的安全是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。
没有完全安全的操作系统。
但我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。
因此,不但要选用尽可能可靠的操作系统和硬件平台。
而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
应用是否安全
应用的安全性涉及到:
机密信息泄露、XX的访问、破坏信息完整性、假冒、破坏系统的可用性等。
由于这个企业局域网跨度不大,绝大部分重要信息都在内部传递,因此信息的机密性和完整性是可以保证的。
对于有些特别重要的信息需要对内部进行保密的(比如财务系统传递的重要信息)可以考虑在应用级进行加密,针对具体的应用直接在应用系统开发时进行加密。
此外,进行访问控制,内外网的隔离以及内部网不同网络安全域的隔离,是必须的。
设置隔离区(DMZ),把邮件等服务器放到该区,并把该区的服务器映射到外网的合法地址上以便Internet网上用户访问。
严禁Internet网上用户到企业内部网的访问。
管理是否安全
管理是网络中安全最最重要的部分。
责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险,使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。
当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。
同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。
这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。
人为恶意攻击手段
人为恶意攻击手段包括黑客攻击,恶意代码,病毒攻击,不满内部员工的破坏等。
黑客们的攻击行动是无时无刻不在进行的,而且会利用系统和管理上的一切可能利用的漏洞。
为了防止黑客入侵,需要设置服务器权限,使得它不离开自己的空间而进入另外的目录。
另外,还应设置组特权,不允许任何使用服务器的人访问WWW页面文件以外的东西。
在这个企业的局域网内我们可以综合采用防火墙技术、Web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源,防止黑客攻击。
网络反病毒技术包括预防病毒、检测病毒和消毒三种技术:
1.预防病毒技术:
它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。
这类技术有,加密可执行程序、引导区保护、系统监控与读写控制(如防病毒软件等)。
2.检测病毒技术:
它是通过对计算机病毒的特征来进行判断的技术,如自身校验、关键字、文件长度的变化等。
3.清除病毒技术:
它通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。
数据备份与恢复
数据的安全对企业来说是至关重要的,但是没有绝对的安全,因此对数据的备份是必不可少的。
备份系统为一个目的而存在:
尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。
根据系统安全需求可选择的备份机制有:
场点内高速度、大容量自动的数据存储、备份与恢复;场点外的数据存储、备份与恢复;对系统设备的备份。
备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时亦是系统灾难恢复的前提之一。
在确定备份的指导思想和备份方案之后,就要选择安全的存储媒介和技术进行数据备份,有“冷备份”和“热备份”两种。
热备份是指“在线”的备份,即下载备份的数据还在整个计算机系统和网络中,只不过传到令一个非工作的分区或是另一个非实时处理的业务系统中存放。
“冷备份”是指“不在线”的备份,下载的备份存放到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装,有一部分原始的数据长期保存并作为查询使用。
热备份的优点是投资大,但调用快,使用方便,在系统恢复中需要反复调试时更显优势。
热备份的具体做法是:
可以在主机系统开辟一块非工作运行空间,专门存放备份数据,即分区备份;另一种方法是,将数据备份到另一个子系统中,通过主机系统与子系统之间的传输,同样具有速度快和调用方便的特点,但投资比较昂贵。
冷备份弥补了热备份的一些不足,二者优势互补,相辅相成,因为冷备份在回避风险中还具有便于保管的特殊优点。
第五章设备选型
4.1设备选型
具体设备选型参加下表:
设备选型
设备类型
数量
型号
核心设备
1
RG-S5750S24GT/12SFP
接入层交换机
14
RG-2652G
出口设备
1
RG-WALL1600
4.2设备介绍
核心交换机:
RG-S5750S24GT/12SFP
RG-S5750系列是锐捷网络推出的融合了高性能、高安全、多智能、易用性的新一代万兆机架式多层交换机。
该系列交换机提供的接口形式和组合非常灵活,即可以提供24个或48个10/100/1000M自适应的千兆电口,又可以提供有24个SFP千兆光口,又能提供PoE远程供电的接口。
每种产品型号都配合提供了灵活的复用千兆口,满足网络建设中不同传输介质的连接需要。
同时为满足网络的弹性扩展,和高带宽传输需要,可灵活弹性扩展多种类型的万兆模块和万兆堆叠模块。
特别适合高带宽、高性能和灵活扩展的大型网络汇聚层,中型网络核心,以及数据中心服务器群的接入使用。
该系列交换机硬件支持多层线速交换,并提供了丰富而完善的路由协议,以适合大型网络多种路由和高性能的需要。
RG-S5750系列交换机提供二到七层的智能的业务流分类、完善的服务质量(QoS)保证和组播应用管理特性。
在提供高性能、多智能的同时,其内在的安全防御机制和用户接入管理能力,更可有效防止和控制病毒传播和网络攻击,控制非法用户接入网络,保证合法用户合理地使用网络资源,并可以根据网络实际使用环境,实施灵活多样的安全控制策略,充分保障了网络安全、网络合理化使用和运营。
RG-S5750系列交换机以极高的性价比为大型网络汇聚、中型网络核心、数据中心服务器接入提供了高性能、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管,最大化满足高速、安全、智能的企业网需求。
接入交换机:
RG-2652G
RG-S2300系列是锐捷网络为满足构建多业务支持,易管理,高安全网络量身定制的以太网交换机。
灵活的端口形态为网络架构提供方便,也为未来网络扩展提供投资保护。
支持混合堆叠,方便用户增加端口密度。
通过实施多种多样的安全策略,有效防止和控制网络病毒的扩散。
更可提供基于硬件的IPv6ACL,方便未来网络的升级扩展。
高级QoS机制适应网络中多业务的顺利开展,为服务质量提供保证。
支持802.1x认证,控制非法用户使用网络,保障网络的合法使用。
支持RADIUS协议,实现网络运营和计费,实现网络的运维。
RG-S2300系列包括RG-S2328G和RG-S2352G两款,为各类型网络提供无阻塞线速转发和网络安全策略。
RG-S2300系列提供高达19.2G的背板带宽,实现所有端口线速转发。
并提供固化2个千兆Combo口(2个千兆SFP光口和2个10/100/1000M电口复用),灵活实现千兆上联。
更可提供2个扩展Combo口为未来网络扩展提供投资保护。
通过堆叠可在不改变网络拓扑的情况下扩展端口密度,通过混合堆叠,在现有网络端口密度情况下,灵便根据实际情况扩展多个24口或者48口设备。
防火墙:
RG-WALL1600
RG-WALL系列采用锐捷网络独创的分类算法(ClassificationAlgorithm)设计的新一代安全产品——第三类防火墙,支持扩展的状态检测(StatefulInspection)技术,具备高性能的网络传输功能;同时在启用动态端口应用程序(如VoIP、H.323等)时,可提供强有力的安全信道。
采用锐捷独创的分类算法使得RG-WALL产品的高速性能不受策略数和会话数多少的影响,产品安装前后丝毫不会影响网络速度;同时,RG-WALL在内核层处理所有数据包的接收、分类、转发工作,因此不会成为网络流量的瓶颈。
另外,RG-WALL具有入侵监测功能,可判断攻击并且提供解决措施,且入侵监测功能不会影响防火墙的性能。
RG-WALL的主要功能包括:
扩展的状态检测功能、防范入侵及其它(如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等)附加功能。
第六章设备配置与验证
5.1接入层交换机配置
仅以A区接入层交换机为例:
Router>en
Router#vlandata
Router(vlan)#vlan10namearea-A
VLAN10added:
Name:
area-A
Router(vlan)#exit
APPLYcompleted.
Exiting....
===========================Vlan配置=========================
Router#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#hosswitch-A1
switch-A1(config)#intf0/0
switch-A1(config-if)#swmodetrunk
switch-A1(config-if)#intrangef0/1-15
switch-A1(config-if-range)#swmodacc
switch-A1(config-if-range)#swaccvlan10
*Mar100:
02:
45.291:
%DTP-5-TRUNKPORTON:
PortFa0/0hasbecomedot1qtrunk
switch-A1(config-if-range)#
switch-A1(config-if-range)#intvlan10
switch-A1(config-if)#ipadd172.16.10.1255.255.255.0
switch-A1(config-if)#end
=====================设备命名以及接口基本配置====================
switch-A1#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
switch-A1(config)#ipdhcpexcluded-address172.16.10.1
switch-A1(config)#ipdhcppoolvlan10
switch-A1(dhcp-config)#network172.16.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 布置 分区 组网 方案