企业网设计与优化毕业设计论文.docx
- 文档编号:4495705
- 上传时间:2022-12-01
- 格式:DOCX
- 页数:36
- 大小:417.19KB
企业网设计与优化毕业设计论文.docx
《企业网设计与优化毕业设计论文.docx》由会员分享,可在线阅读,更多相关《企业网设计与优化毕业设计论文.docx(36页珍藏版)》请在冰豆网上搜索。
企业网设计与优化毕业设计论文
南阳理工学院
本科生毕业设计(论文)
企业网设计与优化
DesignandOptimizationof
EnterpriseNetwork
南阳理工学院本科毕业设计(论文)
企业网设计与优化
DesignandOptimizationof
EnterpriseNetwork
南阳理工学院
NanyangInstituteofTechnology
企业网设计与优化
1[摘要]二十一世纪是信息化世纪,办公自动化、网络化、信息化、已经成为一种必不可少的必备条件,因此企业需要加强自身的网络建设,提高自己的竞争力,促进自己的发展。
在网络全球化的今天,企业网建设也迎来的新的挑战,在网络设计,提高应用性,流量控制和安全方面提出了更高的要求。
网络的实用性、安全性与拓展性是企业实现信息化建设的主要要求。
基于HSRP热备份,各部门间VLAN的划分,STP生成树协议的运用,ACL访问控制列表的设置,OSPF动态路由的加载及IPsecVPN的安全设置能够有效解决这些问题。
在规划好的企业拓扑上,对设备进行相关技术的运用后,使企业实现了数据安全高效的传输以及流量的合理分配,达到企业优化目的。
[关键词]网络设计;优化配置;IPsecVPN;热备份
DesignandOptimizationof
EnterpriseNetwork
NetworkEngineeringMajorLuGuangtong
1Abstract:
The21stcenturyistoacomputerandnetworkcommunicationasthetechnicalsupportfortheinformationsociety.Officeautomation,networking,informationtechnology,hasbecomeanessentialprerequisite.Intheadaptationofthenetworkglobalizationtoday,Enterprisesshouldimprovetheirowninternalnetworkconstructionandpromotetherapiddevelopmentofenterprise,internalnetworkshouldfocusontheself-construction,tosolveproblemsinthenetwork,optimizenetworkdesign,improveapplicationtoputforwardhigherrequirementsfortrafficcontrol,security.Enterprisenetworkconstructionalsousheredinnewchallengesthatrequiretobeoptimizedtoimproveperformance.Manyindustrygiantshavelaunchedavarietyofapplicationsandachievedgreatsuccess,sothattheinformationconstructiontakemoreattractivelywiththeNetworkavailability,securityandexpansionofenterpriseinformationconstruction.HSRPProtocol,inter-departmentaldivisionofVLAN,STPSpanningTreeProtocol,theuseofACLaccesscontrollistsettings,OSPFdynamicroutingloadandIPsecVPNSecuritysettingscaneffectivelyaddresstheseproblems.
1Keywords:
DesignofNetwork;Optimalconfiguration;IPsecVPN;HSRP
1绪论
1.1企业网信息系统的建设目标
企业信息系统主要建设一个企业信息系统,它以管理信息为主体,连接生产、销售、维护、运营子系统,是一个面向集团的日常业务、立足生产、面向社会,辅助领导决策的计算机信息网络系统。
随着网络的日益普及,网络技术的飞速发展,企业的信息化工作越来越受到人们的重视,如今企业信息化已经不再满足于个人或者单个部门的少量计算机应用,需要多个部门,整个企业甚至跨企业跨地域的大量计算机的协同工作,为了适应企业信息化的发展,满足日益增长的通信需求和网络的稳定运行,今天的企业网络建设比传统企业的网络建设有更高的要求。
同时随着计算机网络越来越深入到人们生活中的各个方面,计算机网络安全性也就变的越来越重要。
计算机网络的技术发展相当迅速,攻击手段也是层出不穷。
而计算机网络攻击一旦成功,就会使网络上成千上网的计算机处于瘫痪状态,从而给计算机用户造成巨大的损失。
因此认真研究当今计算机网络存在的安全问题,提高计算机网络的安全防范意识是非常紧迫和必要的[1]。
企业信息系统主要建设一个企业信息系统,它以管理信息为主体,连接生产、销售、维护、运营子系统,是一个面向企业的日常业务、立足生产、面向社会,辅助领导决策的计算机信息网络系统。
这样总体构架之后确定项目建设目标。
本期项目的目标是建立如下系统:
(1)构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网。
(2)选用技术先进、具有容错能力的网络产品,在投资和条件允许的情况下也可采用结构容错的方法。
(3)完全符合开放性规范,将业界优秀的产品集成于该综合网络平台之中。
(4)具有较好的可扩展性,为今后的网络扩容作好准备。
(5)采用OA办公,做到集数据、图像、声音三位一体,提高企业管理效率、降低企业信息传递成本。
(6)整个公司计划采用10M光纤接入到运营商提供的Internet。
集团统一一个出口,便于控制网络安全。
(7)设备选型上必须在技术上具有先进性,通用性,且必须便于管理,维护。
应具备未来良好的可扩展性,可升级性,保护公司的投资。
设备要在满足该项目的功能和性能上还具有良好的性价比。
设备在选型上要是拥有足够实力和市场份额的主流产品,同时也要有好的售后服务。
1.2企业信息系统的研究意义
拥有企业信息系统是现代化餐饮业的标志,它对企业的服务质量、管理水平和经济效益都有至关重要的影响。
1.2.1提高企业的管理效益及经济效益
应用企业信息系统通过节省大量的人力和物力,增加企业的操作效率,提高服务质量,减少管理者的漏洞,从整体上提高企业的经济效益。
1.2.2提高服务质量
由于计算机处理信息的速度很快,而且准确性高,减少人为的计算时间,可直接从网上与客户联系,满足客户需要,可以实现网上订货等,提高对客户服务的质量。
1.2.3提高工作效率
计算机管理可大大提高业务运作的速度和准确性。
电脑资料的可以备份,同时遇到事件通知,可以通过邮件轻松完成,及时高效准确[2]。
1.2.4完善企业内部管理体制
企业信息系统可以通过VLAN的划分,明确各部门之间的分工与职能,实现各部门的垂直联系,不受干扰,保证效率优先,分工明细。
1.2.5全面了解营运情况,提高企业决策水平
企业信息系统既可以提供完备的历史数据,又可以提供各种分析模式,可以使管理人员很方便的完成复杂的统计分析工作,并加强对企业运营的内部控制,增加管理人员的控制决策水平。
2关键技术介绍
2.1ACL简介
ACL是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。
它是保证网络安全最重要的核心策略之一。
分为标准访问控制列表和扩展访问控制列表两种,同时可以配置基于时间的访问控制,从而限制网络拥堵,分时上网,保证系统的高效运行。
访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。
作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。
思科(CISCO)路由器新增加了一种基于时间的访问列表。
通过它,可以根据一天中的不同时间,或者根据一星期中的不同日期,或二者相结合来控制网络数据包的转发。
这种基于时间的访问列表,就是在原来的标准访问列表和扩展访问列表中,加入有效的时间范围来更合理有效地控制网络。
首先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。
基于时间访问列表的设计中,用time-range命令来指定时间范围的名称,然后用absolute命令,或者一个或多个periodic命令来具体定义时间范围[3]。
ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。
然而,网络能否有效地减少不必要的通信流量,这还要取决于网络管理员把ACL放置在哪个地方。
2.2IPSECVPN简介
IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
如果不深入探究IPSEC的过于详细的内容,我们对于IPSEC大致按照以下几个方面理解。
VPN国家标准:
标准制定单位:
华为技术有限公司、中兴、深信服科技有限公司、无锡江南信息安全工程技术中心。
IPsecVPN的特性包括:
(1)安全机制。
原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。
IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。
(2)异地网络互通性。
Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通。
(3)包封装技术。
IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。
(4)节点技术。
一个VPN节点,可能是一台VPN网关,也可能是一个客户端软件。
在VPN组网中间,属于组网的一个通讯节点。
它应该能够连接Internet,有可能是直接连接,比如adsl、电话拨号等等,也可能是通过nat方式,例如:
小区宽带、cdma上网、铁通线路等等。
(5)VPN隧道。
在两个vpn节点之间建立的一个虚拟链路通道。
两个设备内部的网络,能够通过这个虚拟的数据链路到达对方。
与此相关的信息是当时两个VPN节点的IP地址,隧道名称、双方的密钥[4]。
2.3HSRP热备份技术介绍
热备份路由器协议(HSRP)的设计目标是支持特定情况下IP流量失败转移不会引起混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。
换句话说,当源主机不能动态知道第一跳路由器的IP地址时,HSRP协议能够保护第一跳路由器不出故障。
HSRP:
热备份路由器协议(HSRP:
HotStandbyRouterProtocol),是cisco平台一种特有的技术,是cisco的私有协议,该协议中含有多种路由器,对应一个虚拟路由器。
HSRP协议只支持一个路由器代表虚拟路由器实现数据包转发过程。
终端主机将它们各自的数据包转发到该虚拟路由器上。
工作原理为负责转发数据包的路由器称之为活动路由器(ActiveRouter)。
一旦主动路由器出现故障,HSRP将激活备份路由器(StandbyRouters)取代主动路由器。
HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制,并指定一个虚拟的IP地址作为网络系统的缺省网关地址。
如果主动路由器出现故障,备份路由器(StandbyRouters)承接主动路由器的所有任务,并且不会导致主机连通中断现象。
路由器转发协议数据包的源地址使用的是实际IP地址,而并非虚拟地址,正是基于这一点,HSRP路由器间能相互识别[5]。
3综合布线方案
3.1具体用户需求
公司园区内包括集团总部办公楼和分部及分公司等建筑,北京总部和武汉分公司它们之间的距离已超过双绞线布线的技术要求,因此采用光纤进行布线。
由于涉及的建筑物较多,规模较大,应此将其定位为智能化园区综合布线系统。
园区的综合布线系统是一个高标准的布线系统,水平系统和工作区采用超五类元件,主干采用光纤,构成主干千兆以太网。
不仅能满足现有数据、语音、图像等信息传输的要求,也为今后的发展奠定基础。
整个园区一共有5000左右个信息点,即北京总部有3200左右,每分公司各有300左右个。
针对以上要求,对计算机内网综合布线系统提出自己的解决方案。
建筑群间的光缆采用上海的OT—T多模光纤系统,大楼内的布线采用AVAYA的超五类双绞线结构化布线系统。
(1)网络设备配置
配备网络交换设备,实现楼宇间的千兆光纤连接,保证未来各应用系统的实施以及满足集团各种计算机应用系统的大信息量的传输。
(2)网管系统设计
提供可以对整个网络系统进行管理的中文图形界面工具,使系统维护人员可以集中控制网络的所有设备。
(3)内、外网隔离
过硬盘隔离卡及双布线系统、双网络设备实现办公内网与外网隔离。
3.2系统可行性分析
多业务网络系统方案以实现以上功能为基本要求,在设计上力求做到既要采用国际上先进的技术,又要保证系统的安全可靠性和实用性。
具体来讲,其设计遵循以下原则:
3.2.1先进性
系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术,符合国际标准和规范。
3.2.2技术可行性分析
技术可行性要考虑现有的技术条件是否能够顺利完成开发工作,软硬件配置是否满足开发的需求等。
本系统基于思科的GNS3平台,用思科命令开发,使用各种相关技术,如IPSECVPN,HSRP等,实现各部门的功能,能够运用在实际开发中,模拟平台与实际基本无差别,所以说在技术上是可行的[6]。
3.2.3标准性分析
所采用技术的标准化,可以保证网络发展的一致性,增强网络的兼容性,以达到网络的互连与开放。
为确保将来不同厂家设备、不同应用、不同协议连接,整个网络从设计、技术和设备的选择,必须支持国际标准的网络接口和协议,以提供高度的开放性。
全面支持IEEE工业标准:
802.1d,802.1p,802.1q,802.1x,802.3,802.3u,802.3z;支持路由协议:
IP的RIPV1/2,OSPF,BGP-4;信令标准:
H.323,RTP/CRTP。
支持:
IPsec、L2TP、GRE、MPLS-VPN规范。
支持多址广播协议:
IGMP,DVMRP,PIM-DM,PIM-SM。
网络管理协议:
SNMP,RMON,RMON2。
3.2.4兼容性分析
跟踪世界科技发展动态,网络规划与现有光纤传输网及将要改造的分配网有良好的兼容,在采用先进技术的前提下,最大可能地保护已有投资,并能在已有的网络上扩展多种业务。
3.2.5可设计和扩展性分析
随着技术不断发展,新的标准和功能不断增加,网络设备必须可以通过网络进行升级,以提供更先进、更多的功能。
在网络建成后,随着应用和用户的增加,核心骨干网络设备的交换能力和容量必须能作出线性的增长。
设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择,以方便未来更灵活的扩展。
3.2.6安全性分析
网络的安全性对网络设计是非常重要的,合理的网络安全控制,可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问,灵活的实施网络的安全控制策略。
在企业园区网络中,关键应用服务器、核心网络设备,只有系统管理人员才有操作、控制的权力。
应用客户端只有访问共享资源的权限,网络应该能够阻止任何的非法操作。
在园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。
在大规模园区网络的设计上,划分虚拟子网,一方面可以有效的隔离子网内的大量广播,另一方面隔离网络子网间的通讯,控制了资源的访问权限,提高了网络的安全性。
在设计园区网的原则上必须强调网络安全控制能力,使网络可以任意连接,又可以从第二层、第三层控制网络的访问[7]。
3.2.7可靠性分析
本系统是7x24小时连续运行系统,从硬件和软件两方面来保证系统的高可靠性。
硬件可靠性
系统的主要部件采用冗余结构,如:
传输方式的备份,提供备份组网结构;主要的计算机设备(如数据库服务器),采用CLUSTER技术,支持双机或多机高可用结构;配备不间断电源等。
软件可靠性
充分考虑异常情况的处理,具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示;并具有进程监控管理功能,保证各进程的可靠运行数据库系统应。
网络结构稳定性
当增加/扩充应用子系统时,不影响网络的整体结构以及整体性能,对关键的网络连接采用主备方式,已保证数据的传输的可靠性。
本系统应具有较强的容灾容错能力,具有完善的系统恢复和安全机制。
3.2.8易操作可管理性分析
提供中文方式的图形用户界面,简单易学,方便实用。
优良的性能价格比,系统应着重考虑和满足以上的设计要求。
网络的可管理性要求:
网络中的任何设备均可以通过网络管理平台进行控制,网络的设备状态,故障报警等都可以通过网管平台进行监控,通过网络管理平台简化管理工作,提高网络管理的效率[8]。
在进行网络设计时,选择先进的网络管理软件是必不可少的。
网络管理软件应用于网络的设备配置,网络拓扑结构表示,网络设备的状态显示,网络设备的故障事件报警,网络流量统计分析以及计费等。
网管软件的应用可以提高网络管理的效率,减轻网络管理人员的负担。
网络管理的目标是实现零管理,基于策略的管理方式,网络管理是通过制定统一的策略,由管理策略服务器进行全局控制的。
基于Web的网管界面,是网管软件的发展趋势,灵活的操作方式简化了管理人员的工作。
在设计园区网的设备选择上,要求网络设备支持标准的网络管理协议SNMP,同时支持RMON/RMONII协议,核心设备要求支持RAP(远程分析端口)协议,实施充分的网络管理功能。
在设计园区网的原则上应该要求设备的可管理性,同时先进的网管软件可以支持网络维护、监控、配置等功能。
3.3 综合布线系统的结构
综合布线系统部分结构如下图3-1所示:
图3–1系统部分结构规划图
根据综合布线国际标准ISO11801的定义,综合布线系统可由以下子系统组成。
3.3.1工作区子系统(WorkAreaSubsystem)
工作区子系统由信息插座延伸至用户终端设备的布线组成,包括信息插座和相应的连接软线。
用户能方便地把计算机、电话、传真等不同的终端设备接入大楼的通信网络系统。
3.3.2水平布线子系统(HorizontalSubsystem)
水平布线子系统由楼层配线间延伸至信息插座的布线组成,通常可采用超五类双绞线,我们这里采用的是超五类双绞线,也可采用光缆以满足高传输带宽应用或长传输距离的要求。
水平布线提供大楼网络通信系统到用户终端设备的信息传输。
3.3.3建筑物主干子系统(BuildingBackboneSubsystem)
建筑物主干子系统由大楼配线间延伸至各楼层配线间的布线组成。
该子系统亦包括各配线间的配线架,跳接线等。
采用的线缆是超五类双绞线。
大楼配线间和楼层配线间通常也用于放置网络设备和其他有源设备。
建筑物主干子系统提供大楼内通信网络信息交换的主干通道。
3.3.4建筑群布线子系统(CampusCablingSubsystem)
建筑群布线子系统由建筑群配线间延伸至各大楼配线间的布线组成。
采用的线缆为光纤,建筑群配线间通常也用于放置电信接入设备和广域网连接设备。
建筑群布线子系统提供了各建筑物间通信网络连接和信息交换的通道。
3.4系统总体设计
以上就是布线的国际标准,因此采用高速大容量光纤主干建设企业的园区网络主干,为了满足企业将来灵活组网的需要,在企业总部办公楼、分公司等建筑物内各设有配线间。
整个园区设备间机房安置在总部大楼的10楼,各分公司的设备间机房安置在各分公司的一楼。
为充分满足集团公司内部及对外高速高容量信息通信的需要,系统采用高速高容量的多模光纤作为园区的网络主干。
建筑物内采用先进的超五类非屏蔽布线系统,根据技术规范,选用高性能UTP非屏蔽系统,传输参数可达到200MHz,通道传输性能在200MHz时ACR>3dB,250MHz时ACR>0dB,通道传输性能不低于招标技术要求所附性能参数表的要求。
因此,本方案建议采用AVAYA超五类UTP产品,其传输带宽可达200MHZ以上,可靠支持新的千兆以太网、2.4GbpsATM及高达550MHZ的宽带语音应用,为今后新的高速网络应用留有充足的性能余量[9]。
3.5系统结构设计
整个结构化布线系统由工作区子系统、水平干线子系统、管理子系统、主干子系统、设备间子系统及建筑群子系统等六个子系统构成,方案设计时充分考虑了高度的可靠性、先进性、灵活性、可扩充性、易管理性及性能价格比高等优点。
布线系统结构如下图3-2所示:
图3–2布线系统结构图
4网络设计方案
4.1网络设计需求
总公司在北京,主楼30层,其他分部楼高度为七层。
第一分部与主楼相距50米,第二分部与主楼相距也是50米,第三分部与主楼相距5公里,第四分部与主楼相距8公里,另分公司武汉有自己的办公楼。
各子公司部门结构:
这六个分公司都有各自的微机室(10人),财务部(20人),行政部(20人),生产部(100人),研发部(30人),后勤部(10人),业务部(80人),人力资源部(10人)总公司行政划分也是如此,人数比例大致类似分公司。
4.2总体方案设计策略
为了实现以上网络设计原则,使企业园区网络具有良好的扩展性能力和灵活的便于管理,易于维护,在网络设计上采用了一下策略。
4.2.1因特网接入和园区网分离
将因特网接入部分和园区网主体部分分离,每部分完成其自身的功能,可以减少两者之间的相互影响。
因特网接入的变化,只影响接入的变化,对园区网络没有影响;而园区网络的变化对因特网接入部分影响较小。
这样可以增强网络的扩展能力。
保持网络层次结构清晰,便于管理和维护[10]。
园区网与因特网的分离可以保证企业内部网络的安全性,只用在端口处加以策略保护就可以,限制用户访问内网,同时内网访问外网便于在出口路由进行控制。
4.2.2降低各个子公司之间的网络关联度
将各个子公司之间的网络的关联度降低到最低的策略,可以最大限度的减少各个子公司网络之间的相互影响,便于分别管理,或者在不同子公司扩展网络的新应用。
这种方式采用了VLAN的划分来区别不同的部门和子公司,便于各部门之间的独立运行,提高企业内部的运转效率,各部门之间不互相影响,通过IPsecVPN技术实现总部与分公司之间的连接,保证数据的安全高效传输,设置ACL访问控制列表,对数据流进行限制,控制网络流量,限制用户对内部网络的访问等等,都极大的提高了内部网络的安全性,也降低了部门之间的关联度。
4.2.3统一标准,统一网络
网络规模的扩大对于企业的管理提出了严格的要求,俗话说无规矩不成方圆,必须有统一的IP应用标准(IP地址,路由协议),安全标准,接入标准和网络管理平台,才能实现真正的统一管理,便
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 设计 优化 毕业设计 论文