企业园区网融合网络设计课程设计实践报告.docx

企业园区网融合网络设计课程设计实践报告.docx

《企业园区网融合网络设计课程设计实践报告.docx》由会员分享，可在线阅读，更多相关《企业园区网融合网络设计课程设计实践报告.docx（13页珍藏版）》请在冰豆网上搜索。

企业园区网融合网络设计课程设计实践报告

课程设计

姓名：

学号：

学院：

计算机学院

专业：

题目：

企业园区网融合网络设计

创新性（10）

难/复杂度（20）

完成情况（50）

设计报告（20）

总分

评阅者：

评阅时间：

ﻬ

ﻬ

1方案概述

1.1背景分析

1．1.1前言

随着计算机网络的迅速发展，曾经在园区网中被大量使用的10M/100Ｍ以太网技术、ATM技术已经渐渐不能适应现在的业务需求,作为园区主干网,１0M/1００M以太网作为主干网络核心技术带宽不足的弊病渐渐凸显,已经严重影响着园区网络的运行效率,目前仍有许多大型园区网络在使用ATM技术，这样的网络面临两个问题:

VLAN间路由的性能不能满足网络需求，并且ATM技术正在逐步被淘汰。

现在,千兆以至１０G级别以太网技术正逐渐成为园区网络主干的主流技术。

因此，许多大型园区网络面临技术改造或者重新设计。

1．１.2目前园区网现状

某企业园区刚刚建成,是一大型企业的分支机构，为了实现企业的办公信息自动化,扩大企业的影响,方便和总部的信息交流,需要建立自己企业的Intraｎet。

企业现在有2幢9层的办公大楼,分别是生产部和销售部,另外还有一个家属区,家属区有３幢6层的大楼，两个相距300米。

企业局域网需要考虑覆盖办公区和家属区。

局域网需要实现的目标如下:

1.实现有效的信息交换和共享。

企业通过两条专线接入电信和网通。

２.企业需要实现办公自动化。

局域网提供企业内部电子邮件收发、信息浏览、文件管理、会议管理、电子公告等多方面应用。

3.为了扩大企业的影响,企业对外提供自己的宣传网站，并且能够保证网站安全，不受外部或者内部攻击。

4.充分考虑今后各部门的接入扩展性。

5.充分考虑企业内部网络的安全性。

1.2主要内容

本文主要做了以下两个方面的工作:

第一，介绍了园区网络的含义、特点,按网络设计与组网课程的要求方法规划设计一个完整的园区网络。

第二,使用思科的网络设备对网络进行了简单的模拟,以实现网络的互通互联，对各层设备进行了配置。

2需求分析

２．１网络应用需求

1.企业网与interｎet连接，使员工可以通过互联网获取资源和信息

２.建设企业网站,实现企业的对外宣传以及发布各种内部信息

3．在企业网内实现传输共享

4.实现企业的行政、办公的无纸化

5．企业生活的电子化（食堂卡等）

2.2网络安全需求

１.企业接入interｎet，使用防火墙等过滤功能防止黑客和其他非法入侵者入侵网络，并且对接入网络的成员进行控制

2.防范企业网内部的安全性问题，如ＡRP攻击

3.按照相应标准进行局域网的建设,确保物理层安全。

4.采用主机访问控制手段加强对主机的访问控制。

5.划分安全子网,加强网络边界的访问控制,防止内外的攻击威胁，定期进行网络安全检测，建立网络防病毒系统。

6．建立身份认证系统,对各应用系统本身进行加固

2．３网络环境需求分析

几种典型应用带宽需求情况如下：

✓空闲:

5K～2０Kｂpｓ；

✓Ｏffice（Ｗｏrd／Eｘcel）办公应用：

2０K~１20Kbpｓ；

✓Inteｒnet/ＷＷW浏览（纯文字）：

５0K～150Ｋbps;

✓PPT/图片应用：

２00～３00Kbpｓ;

✓打印：

5０0~8００Kｂpｓ；

✓标清视频（３２０P,原始窗口）：

1~5Mbps；带宽至少按4M算;

✓高清视频（480P,７２0P原始窗口）：

2～15Mbｐs;带宽至少按10Ｍ算；

单个用户最大使用/预留带宽:

10Mbｐｓ，保证用户可以流畅的使用网络。

ﻬ

3网络设计

３.1网络设计原则

３．１.1层次化

层次化是根据功能作用和定位,园区网通常按照核心层,汇聚层,接入层等多个层次进行划分，设计,要做到化繁为简,使网络结构简单,简化网络部署,具有良好的稳定性、可扩展性，同时也方便网络管理。

３.1.2模块化

从业务角度出发,分为园区出口、数据中心、DMＺ、网络管理、分支、园区互联、出差员工和合作伙伴等功能分区或业务类别

3.1．３安全性

全网安全可靠，具有完善的安全防护措施,防止恶意破坏,保护数据和网络安全,打造一个安全可信得网络,保障网路和业务安全。

３.1.4可扩展性

可扩展性是指该网络系统能够适应需求的变化。

随着技术发展,信息量增多和业务的扩大，网络将在规模和性能两方面进行一定程度的扩展。

3.1.5可靠性

带宽和性能设计,QoＳ设计等，保证业务质量以及业务体验,让客户满意。

园区网稳定可靠,关键部位采用冗余或备份架构；发生故障时可以快速恢复,保证业务不中断，保证业务体验。

全网多业务智能、主动和综合管理,实时分析网络健康状况，积极预防；故障发生时可以快速排除故障,减少损失,网络必须易于管理,支持网络网段与端口的监控、网络流量与出错的统计、网络故障的定位、诊断、修复。

ﻬ

3.2网络ＶLAN设计需求

VLAN使用场景

VLAN数量

VＬAＮ号

ＶLAN名称

财务部VLＡN

１28

VLAN1

financｅ

人力资源部VＬAN

12８

VLＡN2

Hｕman_ｒｅsource

技术支持部VＬAN

128

ＶLAN３

Techｎiｑｕe_suppｏrt

售后服务部VLAＮ

128

VLAN４

After_ｓale＿server

产品部VLＡN

1２8

VＬAN5

produce

客服部VLAN

１28

VLAN6

Customeｒｓerｖiｃｅ

设备部VＬＡN

128

ＶLAN７

ｅquipｍent

市场部VLＡN

１2８

VLAN8

ＭarkeｔｉngＤeparｔmｅnt

管理VＬAN

64

VＬＡＮ9

manage

服务器群VLＡN

64

VLAＮ10

Server＿grｏｕp

ＶLAN总数

11５２

４网络设计方案

4.1总体网络规划

根据2.1的需求可知，此次的方案中共划分了10个部门（8个工作部门，１个管理VＬＡN，1个服务器群VLAN）。

这10个部门通过网线接入到接入层交换机,其中,总经理办公室、副经理办公室可以直接管理网络。

具体的网络布线图如下图所示：

根据上述的带宽需求，结合章节“２.3”部分，可规划出每种应用环境所实际需求的带宽。

通常建议如下：

✓服务器端必须采用万兆部署

✓接入交换机上联必须保证千兆带宽

✓汇聚交换机上联必须保证万兆带宽

具体的IP地址划分如下：

部门或设备

IP地址

财务部VLＡN

1９2.168.２.0／2４（ＶLAＮ2）

人力资源部VLＡN

192.１68.3．0/24（VＬＡN3）

技术支持部VＬＡＮ

192.168.4.0/24（ＶLＡN4）

售后服务部VLAＮ

192.１68.5.0/24（VLAN５）

产品部VＬAN

1９2.１68.6．0／２4（VＬAN6）

客服部VＬＡN

19２.168.7.0／24（VLAN7）

设备部VLAN

1９2.１68.８.0/24（VLＡN8）

市场部VLAN

192．168.9.0／2４（ＶＬＡＮ9）

管理VLAN

19２.16８.１0．0/2４（VLAN10）

服务器群VLAN

19２.１6８.１1．0/24（VLAＮ11）

Rouｔe0

１72.16.1.0/３0

１７2.16.1.４/３０

Ｒoｕtｅ1

172.16.1．０／30

Route２

１72.16.１.4/3０

接入层与汇聚层交换机都是二层交换机,因而针对每个IＰ地址都应让它们分别属于各自的网段,即应划分VＬＡN，各个IＰ地址的ＶLＡN划分如表三所示。

而接入层与汇聚层之间也需要配置VＬAN，为了方便通信,让它们之间每一个链路都与其所接的部门属于同一VLＡＮ，即接入层交换机所接到同一个部门的端口属于同一个VＬAN。

4．2网络设备配置

４.2．1划分子网

在一个大、中型网络里,VLAN的划分是必不可少的步骤之一。

一个单位在一个网络号下有大量的计算机时,并不便于管理，可以根据单位所属的部门或其地理分布位置等来划分子网，在本设计方案中是根据部门来划分子网的，划分子网也就分割了广播域。

划分子网的目的:

✓减少网络流量

✓2．提高网络性能

✓３.简化管理

✓4．易于扩大地理范围

在下面我们需要注意的是：

192.1６8．0.０-192.168.2５5．254这样的IP地址是私有ＩＰ地址，它不能在公共网络中使用,但是为什么我们要这样做呢?

因为针对当前现状,IP地址紧缺,我们不可能也不应该为每一台工作站申请一个公有IP地址,这样不仅可以缓解IP地址不足的情况,而且也可以为企业建设一个企业网节约不少的开支，那这样且不是不能够访问ＩＮTEＲＮＥT。

为了让这些私有ＩP地址能够在公共INTＥRNET使用,让使用这样IP地址的工作站能够访问IＮTERNＥT上的资源，我们必须对这样私有IP地址作ＮＡT（networｋaddｒeｓsｔrａnslation）即网络地址转换。

ＮAT的配置我将后面的论述中进行配置。

而对于经理办公室,由于我们有特定的要求，我将为其分配sｔａticIＰ地址。

4.3设备详细配置

４.3．1接入层交换机配置

4．3．2汇聚层交换机配置

４.３．3核心层路由器配置

ﻬ

4.4网络可靠性分析

4．4.1网络设备可靠性分析

如今华为网络设备越来越受国人喜爱,在国内华为设备正在逐步取代思科设备,华为设备安全、经济、实惠、功能好,因此我们选用了国内主流公司华为的设备。

4.4.２链路的可靠性分析

提高链路的可靠性往往通过链路的冗余设计来实现，在即采用一条主链路和一条备链路。

在Ｓwitch0、Ｓwitcｈ1连接多条物理链路，这种冗余设计构思简单而且便宜。

链路冗余还有一个好处是可以做到均衡负载。

4.4．３协议的可靠性分析

协议的可靠性技术就是采用相关的软、硬件切换技术（如STＰ和ＶRRＰ）来保证核心应用系统的快速切换，防止局部故障导致整个网络系统的瘫痪,避免网络出现单点失效,从而保证用户端在网络失效时能快速透明地切换。

4．4．４生成树协议

在Switch０、Sｗitch1、Ｓｗitch2上配置了SＴP，在网络中配置2个VＬAN，不同VLAN的ＳＴＰ具有不同的根桥,实现负载平衡。

4.4.5虚拟路由冗余协议

在路由器Routeｒ1和Ｒouter２创建了两个VRRＰ组,第一个组的IP为1９2.168.１3．2５4,活动路由器为Rｏuter1,一部分计算机的网关指向1９2．16８.１3．254。

第二个组的IP为19２．168.13.2５3，活动路由器为Rｏuter2，另一部分计算机的网关指向192.１68．１3.２５3。

这样，如果网络全部正常时，一部分数据是Router1转发的,另一部分数据是Roｕｔer2转发的,实现了负载平衡。

如果一个路由器出现问题，则另一个路由器就成为两个VRRP组的路由器，承担全部的数据转发功能。

ﻬ

4.４.6网路安全和管理AAA认证和SＰAN监控

在三个路由器都配置了AAA本地认证登陆，增强网络的安全性，防止被攻击。

把Ｓ0上配置SＰAN，F0/4端口设为监控端口，把Ｆ0/１-３,F0/5端口设为受控端口，利用ＳＰAN技术我们可以把交换机上的受控端口的数据流CＯPＹ或MＩRROR一份，发送给连接在监控端口上的技术支持部进行流量分析，增加网络的可管理性,方便技术部人员管理网络。

4．4.７Qos协议

在Ｒouｔer0实现Qos功能我们选用了CAR,将来自Router1和Router2的数据分类和标记,它基于IP优先级、DSCP值、MＡC地址或者访问控制列表来限制IP流量的速率。

保证网络出现堵塞时,网络的正常工作。