中小型企业组网方案设计.docx
- 文档编号:24775782
- 上传时间:2023-06-01
- 格式:DOCX
- 页数:56
- 大小:210.86KB
中小型企业组网方案设计.docx
《中小型企业组网方案设计.docx》由会员分享,可在线阅读,更多相关《中小型企业组网方案设计.docx(56页珍藏版)》请在冰豆网上搜索。
中小型企业组网方案设计
中小型企业组网方案的设计与实现
网络一班
姓名:
刘松
摘 要
随着Internet在全球的发展和普及,企业网络技术的发展,以及企业生存和发展的需要促成了企业网的形成。
而目前在中国国民经济和社会发展中一直占据着至关重要的战略地位的中小型企业,其信息化程度却十分落后。
本文通过对中小型企业资金能力及对企业网络的需求进行分析,设计适用于中小型企业的组网方案。
在该方案中,企业园区、广域网接入模块、远程访问模块,数据服务组群组成一个完整的企业网架构。
目 录
1 发展企业网络的必要性
随着Internet在全球的发展和普及,企业网络技术的发展,以及企业生存和发展的需要促成了企业网的形成。
自20世纪90年代以来,企业网络已经成为连接企业、事业单位各部门并与外界交流信息的重要基础设施。
基于局域网和广域网技术发展起来的企业网络技术得到迅速的发展。
为了适应网络经济的飞速发展,扩大企业经营的规模和范围,方便企业内部和企业之间的交流,节省办公的开销,提高企业的管理水平,企业发展Intranet(企业内部网)已经是刻不容缓。
另外,我国中小企业数量已超过2000万家。
在国民经济中,60%的总产值来自于中小企业,并为社会提供了60%以上的就业机会。
然而,在中国国民经济和社会发展中一直占据着至关重要的战略地位的中小企业,其信息化程度却十分落后。
今后如何应对瞬息万变、竞争激烈的国内外市场环境以及如何利用网络技术迅速提升企业核心竞争力就成为企业成败的关键。
1.1 从企业对信息的需求来看
面对着激烈的市场竞争,公司对信息的收集、传输、加工、存贮、查询以及预测决策等工作量越来越大,原来的电脑只是停留在单机工作的模式,各科室间的数据不能实现共享,致使工作效率大大下降,纯粹手工管理方式和手段已不能适应需求,这将严重妨碍公司的生存和发展。
社会进步要求企业必须改变现有的落后管理体制、管理方法和手段,建立现代企业的新形象,建立本企业的自动化管理信息系统(即公司局域网),以提高管理水平,增加经济和社会效益。
1.1 从企业管理和业务发展的角度出发
通过网络对网络资源的共用来改善企业内部和企业与客户之间的信息交流方式,满足业务部门对信息存储、检索、处理和共享需求,使企业能迅速掌握瞬息万变的市场行情,使企业信息更有效地发挥效力;提高办公自动化水平,提高工作效率,降低管理成本,提高企业在市场上的竞争力;通过对每项业务的跟踪,企业管理者可以了解业务进展情况,掌握第一手资料,及时掌握市场动态,为企业提供投资导向信息,为领导决策提供数据支持;通过企业内部网建立,企业各业务部门可以有更方便的交流沟通,管理者可随时了解每一位员工的情况,并加强对企业人力资源合理调度,切实做到系统的集成化设计,使原有的设备、投资得到有效利用。
因此,有必要建设好中小型企业建设信息网络,以达到最大限度地实现信息资源共享,并使用电子信息的传递取代纸面文件、材料的传送,逐步实现“无纸办公,改变传统的工作方式,进一步提高工作效率。
同时,利用各种业务信息的综合分析,为各级领导提供决策支持,更好地组织生产和经营。
2 企业网络涉及的主要网络技术介绍
2.1 Cisco企业网络概述
2.1.1 Cisco企业架构
Cisco开发了一个企业级架构,以帮助公司保护、优化和扩展支持业务流程的基础设施。
该架构可用于集成整个网络——园区、数据中心、分布机构、远程工作人员和WAN,让员工能够安全地访问所需的工具、流程和服务。
Cisco企业园区架构将智能交换和路由选择的核心基础设施与紧密集成的效率改善技术结合在一起。
该架构通过采用富有弹性的多层设计、冗余的硬件和软件功能以及在出现故障时自动重新配置网络路径,向企业提供了高可用性。
Cisco企业数据中心架构是一种内聚的自适应网络结构,在满足整合、业务持续和安全需求的同时,它还支持新出现的面向服务的架构、虚拟化和按需计算,让职员、供应商和客户能够安全地访问应用程序和资源。
这样能够简化管理工作并提高效率,同时极大地降低开销。
冗余的数据中以同步和异步的方式复制数据和应用程序,以提供备份。
Cisco企业分支机构架构让企业能够扩展总部的应用程序和服务(如安全性、IP通信和高级应用)的覆盖范围,以覆盖数千个远程卖点和用户或少量的分支机构。
Cisco在分支机构中的一系列集成服务路由器中集成了安全性、交换、网络分析和缓存功能,以及融合的语音和视频服务,让企业无需购买新的路由器就能部署新的服务。
这这种架构让用户能够随时随地安全地访问语音、关键任务数据和视频应用。
Cisco企业远程工作人员架构让企业能够 通过标准的宽带接入服务,向远程小型或家庭办公室安全地提供语音和数据服务,从而为企业提供弹性的上班时间解决方案,为员工提供灵活的工作时间。
通过集中管理,最大限度地降低了IT支持费用。
集成的安全和基于身份的网络服务让企业能够将园区安全策略延伸到远程工作人员。
员工可通过始终可用的VPN安全地登录网络,并从单个平台访问得到授权的应用程序和服务。
Cisco企业WAN架构通过单个Cisco统一通信网提供语音、视频和数据服务,让企业能够以更蔓延的方式扩大其跨越的地理区域。
Qos、细粒度的服务等级和广泛的加密方案有助于确保安全地将高质量的语音、视频和数据服务提供给公司的各个场点,让员工不管身处体谅都能高效地工作。
通过使用中央-分支或全互联拓扑,在第2层或第3层WAN上建立多服务VPN确保了数据流传输的安全性。
2.1.2 Cisco企业复合网络模型
Cisco制定了一套有关安全的最挂实践,向网络设计人员和员为支持网络应用和已有的网络基础设施正确地部署安全解决方案提供了蓝图。
该蓝图名为SAFE,其中包括企业复合网络模型,网络专业人员可以使用使用它来分析和描述任何现代企业网。
企业复合网络模型首先将网络划分成三个功能区域:
企业园区:
该功能区包含组建层次园区网所需的模块,接入、集散和核心原则也适用于这些模块。
企业边缘:
该功能区域聚合了企业网边缘上各种网络元件的连接性,包括到远程卖点、Internet和远程用户的连接性。
服务提供商边缘:
该区域并不是由组织实现的,它用于提供到服务提供商的连接性,如Internet服务提供商(ISP)、WAN提供商和公共交换电话网(PSTN)。
这些功能区域包含各种网络模块,而这些模块可以包含层次模型中的核心层、集散层和接入层的功能。
2.2 园区网络技术
企业园区定义了企业复合网络模型的一个功能区域,它包括以下企业复合模块:
园区基础设施、网络管理、边缘分布。
其中园区基础设施模块包括建筑物接入、建筑物分布和园区主干子模块。
建立一个完整的园区网络需要涉及到路由、交换与远程访问技术。
它们是现代计算机网络领域中三大支撑技术体系。
2.2.1 路由技术
路由协议工作在OSI参考模型的第3层,因此它的作用主要是在通信子网间路由数据包。
路由器具有在网络中传递数据时选择最佳路径的能力。
除了可以完成主要的路由任务,利用访问控制列表(AccessControlList,ACL),路由器还可以用来完成以路由器为中心的流量控制和过滤功能。
在本组网方案中,内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。
2.2.2 交换技术
传统意义上的数据交换发生在OSI模型的第2层。
现代交换技术还实现了第3层交换和多层交换。
高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了园区网数据交换服务质量,满足了不同类型网络应用程序的需要。
现代交换网络还引入了虚拟局域网(VirtualLocalAreaNetwork,VLAN)的概念。
VLAN技术的出现,主要为了解决交换机在进行局域网互连时无法限制广播的问题。
这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个VLAN内,图1所示
建筑接入层
建筑分布层
园区核心层
VLAN10
10.0.10.0
VLAN11
10.0.11.0
VLAN20
10.0.20.0
VLAN21
10.0.21.0
图1一个使用VLAN的多层次网络
下面是对VLAN各种特性的讨论:
⏹VLAN的主要特性有:
1)限制广播域
广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力。
2)增强局域网的安全性
不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。
3)灵活构建虚拟工作组
用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活,如图2示。
4)VLAN是在数据链路层的,划分子网是在网络层的,所以不同子网之间的VLAN即使是同名也不可以相互通信。
三楼
二楼
一楼
Sales
HR
Des
图2VLAN的优点
⏹VLAN的划分依据
从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:
1)基于端口的VLAN划分
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。
该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
2)基于MAC地址的VLAN划分
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。
MAC地址由12位16进制数表示,前6位为网卡的厂商标识(OUI),后6位为网卡标识(NIC)。
网络管理员可按MAC地址把一些站点划分为一个逻辑子网。
3)基于路由的VLAN划分
路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。
该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
就目前来说,对于VLAN的划分主要采取上述第1、3种方式,第2种方式为辅助性的方案。
⏹不同VLAN间的通信
在不同VLAN间不通过路由是无法通信的。
在LAN内的通信,必须在数据帧头中指定通信目标的MAC地址。
而为了获取MAC地址,TCP/IP协议下使用的是ARP。
ARP解析MAC地址的方法,则是通过广播。
也就是说,如果广播报文无法到达,那么就无从解析MAC地址,亦即无法直接通信。
计算机分属不同的VLAN,也就意味着分属不同的广播域,自然收不到彼此的广播报文。
因此,属于不同VLAN的计算机之间无法直接互相通信。
为了能够在VLAN间通信,需要利用OSI参照模型中更高一层——网络层的信息(IP地址)来进行路由。
因此,在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现,如图3所示。
Vlan10
Vlan20
Fa0/0
trunk
静态路由
10.1.1.1
10.2.2.2
图3 使用外部路由实现不同VLAN间通信
⏹VTP协议
当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(VlanTrunkingProtocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN。
然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。
这样,大大减轻了网络管理人员的工作负担和工作强度。
VTP(VLANTrunkingProtocol):
是VLAN中继协议,也被称为虚拟局域网干道协议。
它是一个OSI参考模型第二层的通信协议,主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名。
在一台VTPServer上配置一个新的VLAN时,该VLAN的配置信息将自动传播到本域内的其他所有交换机。
这些交换机会自动地接收这些配置信息,使其VLAN的配置与VTPServer保持一致,从而减少在多台设备上配置同一个VLAN信息的工作量,而且保持了VLAN配置的统一性。
VTP通过网络(ISL帧或cisco私有DTP帧)保持VLAN配置统一性。
VTP在系统级管理增加,删除,调整的VLAN,自动地将信息向网络中其它的交换机广播。
此外,VTP减小了那些可能导致安全问题的配置。
使用VTP便于管理,只要在VTPServer做相应设置,,VTPClient会自动学习VTPServer上的Vlan信息。
VTP有三种工作模式:
VTPServer、VTPClient和VTPTransparent,如图4所示。
一般,一个VTP域内的整个网络只设一个VTPServer。
VTPServer维护该VTP域中所有VLAN信息列表,VTPServer可以建立、删除或修改VLAN。
VTPClient虽然也维护所有VLAN信息列表,但其VLAN的配置信息是从VTPServer学到的,VTPClient不能建立、删除或修改VLAN。
VTPTransparent相当于是一上独立的交换机,它不参与VTP工作,不从VTPServer学习VLAN的配置信息,而只拥有本设备上自己维护的VLAN信息。
VTPTransparent可以建立、删除和修改本机上的VLAN信息。
Sever
Client
Transparent
创建VLAN
修改VLAN
删除VLAN
发送、转发VLAN信息
同步VLAN信息
只能创建本地VLANs
只能修改本地VLANs
只能删除本地VLANs
转发接到到的VLAN信息
不能同步VLAN信息
不能创建VLANs
不能修改VLANs
不能删除VLAN
同步VLAN信息
VTP模式
图4 VTP的不同工作模式
⏹STP(SpanningTreeProtocol,生成树协议)
企业网络首要关心的就是高可用性,它在很大程序上依赖于处理业务的多层交换网络。
确保高可用性的方法之一就是在整个网络中提供设备、模块和链路的冗余。
但是,第二层的网络冗余可能会导致潜在的桥接环路,数据包将在设备之间无休止地循环,进而破坏网络的正常工作能力。
STP能够识别并防止这种第二层环路。
STP使用根网桥、根端口和指定端口等概念来建立网络的无环路径。
STP能够克服冗余网络中透明桥接的问题,通过采用无环路径,STP能够避免和消除网络中的环路。
STP可以通过判断网络中存在环路的地方并阻断冗余链路,从而达到上述目的,确保到每个目标都只有一条路径,所以永远不会产生环路,如果发生某条链路失效的情况,那么网桥就会将接口从阻塞状态过渡到转发状态。
⏹园区网内部部署方式
为了简化交换网络设计、提高交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的。
园区网数据交换设备可以划分为三个层次:
接入层、分布层、核心层。
接入层为所有的终端用户提供一个接入点;分布层除了负责将接入层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能;核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。
2.2.3 远程访问技术:
远程访问也是园区网络必须提供的服务之一。
它可以为家庭办公用户和出差在外的员工提供移动接入服务。
下面对各种远程接入方式进行比较:
⏹各种远程接入方式的比较
1)远程拨号
采用远程拨号方式,必须申请电话线,用户多时,需申请中继电话线,而且需要ModemPool将模拟信号转换成数字信号,拨号访问服务器将串行数据转换为网络上传输的IP数据包。
同时多数企业较难为接入设备提供理想的工作环境,不能确保信息传输的质量和安全。
2)租用专用线路
在过去的数十年间,许多企业花费大量资金租用专用线路,将其主要分支机构连接起来组成该企业的私有通信网络,以达到信息在企业内部的快速沟通和共享,这样企业在获得高效率的同时,也为租用专用线路付出了较高的成本。
3)VPN远程接入
VPN(VirtualPrivateNetwork)即虚拟专用网是在公共网络上建立的专用网络[8-10],但其任意2个结点间的连接并没有传统专用网络所需的点到点的物理链路,而是架构在公共网络(Internet)服务商(ISP)所提供网络平台上的逻辑网络。
用户数据通过ISP在公共网络中建立的逻辑隧道(Tunnel),即点到点的虚拟专线进行传输。
通过加密和认证技术,确保企业内部网络数据在公共网络上安全传输,真正实现网络数据的专有性。
VPN是对企业内部网络的扩展,通过它可以实现远程用户与内部网络的安全连接。
VPN远程接入方式最适用于企业经常有人员出差,需实现远程办公的情况。
出差员工利用当地ISP提供的VPN服务,即可与企业VPN网关建立私有的隧道连接。
VPN远程接入方式有以下主要优势:
简化网络。
只需要投入1台VPN网关设备,即可解决几十到几千人的远程接入问题。
节省费用。
利用本地拨号接入取代远距离接入或800电话接入,显著降低长途通信费用,减少了用于购置调制解调器和终端服务设备的费用。
支持多种标准认证机制如LDAP、RADIUS等。
多样接入方式。
无论用户采用哪种方式访问互联网,均可建立VPN连接。
自由选择规模。
无论企业大小,VPN都有相对应的产品,用户数可为5~5000个。
具有高可用性。
对于接入用户较多的企业,VPN支持远程接入的高可用性模式,保障用户服务的连贯性。
⏹EasyVPN方式
Easy VPN是Cisco的一种特性,它允许使用Cisco VPN客户端软件一类实施IPsec远程访问设备。
由于可以使用Cisco路由器或者PIX来配置EasyVPN服务器,而不需要另外增加其他设备,对于已经拥有一台大容量的边缘路由,而且仅需要少量的远程访问用户的企业来说,这无疑在保证了远程访问的高安全性的前提下,可以在成本控制上有更大的优势。
这也是本设计方案所采用它作为远程访问方式的原因。
2.2.4 HSRP(热备份路由器协议)
随着Internet的日益普及,人们对网络的依赖性也越来越强。
这同时对网络的稳定性提出了更高的要求,人们自然想到了基于设备的备份结构,就像在服务器中为提高数据的安全性而采用双硬盘结构一样。
路由器是整个网络的核心和心脏,如果路由器发生致命性的故障,将导致本地网络的瘫痪,如果是骨干路由器,影响的范围将更大,所造成的损失也是难以估计的。
因此,对路由器采用热备份是提高网络可靠性的必然选择。
在一个路由器完全不能工作的情况下,它的全部功能便被系统中的另一个备份路由器完全接管,直至出现问题的路由器恢复正常,这就是热备份路由协议(HotStandbyRouterProtocal),HSRPRFC2281技术要解决的问题,如图5所示。
活动路由
备份路由
园区核心
虚拟路由
图5正常情况下启动HSRP的数据传输路径
热备份路由器协议(HSRP)是思科私有的协议,它的设计目标是支持特定情况下IP流量失败转移不会引起混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。
负责转发数据包的路由器称之为主动路由器(ActiveRouter)。
一旦主动路由器出现故障,HSRP将激活备份路由器(StandbyRouters)取代主动路由器。
HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制,并指定一个虚拟的IP地址作为网络系统的缺省网关地址。
如果主动路由器出现故障,备份路由器(StandbyRouters)承接主动路由器的所有任务,并且不会导致主机连通中断现象,如图6所示。
活动路由
备份路由
园区核心
虚拟路由
图6 主动路由发生故障时数据的传输路径
HSRP运行在UDP上,采用端口号1985。
路由器转发协议数据包的源地址使用的是实际IP地址,而并非虚拟地址,正是基于这一点,HSRP路由器间能相互识别。
现思科公司的第三层交换机也支持该协议。
HSRP根据对两互备份路由器或交换机的优先级设定,将其中一台设备置为活动状态,而另一台设备置为备用状态,当主设备发生故障时备用设备能立即启用,这就是所谓“热备份”的含义。
对网络中正常工作的用户而言,这一切都是透明不可见的,从而保证了网络的正常运行。
3 中小型企业网络的建设目标与需求分析
3.1 网络建设目标与原则
中小型企业网络设计的总体目标是利用先进的计算机技术和网络通信技术,建设高质量、高效率的统一的通信网络。
其具体目标:
一、使系统互通互联,最大限度地实现信息资源共享;
二、用电子信息的传递取代纸面文件、材料的传送,逐步实现“无纸办公,改变传统”工作方式,进一步提高工作效率;
三、利用各种业务信息的综合分析,为各级领导提供决策支持,更好地组织生产和经营。
在网络建设中主要遵循以下原则:
一、在企业领导小组的统一领导下,建立统一的规章制度,进行统一的管理,采用统一的标准。
二、在网络建设中,所有软硬件产品的选择都必须坚持标准化的原则,采用全路统一的硬、软件平台和基本应用软件,进行统一的软件版本升级管理。
三、网络应具有良好的安全性与保密性。
四、做到资源共享与保护。
充分合理地利用现有的资源,最大限度地与原有系统或在建系统互通互联,在尽可能利用已有投资的基础上,解决好经费的补充和配套资金到位问题。
3.2 中小型企业网络设计需求
根据国家于2003年2月19日发布的《关于印发中小企业标准暂行规定的通知》可以得知,不同行业的中小型企业人数限定是不一样的,但是根据行业的性质以及所规定的人数,一间中小型企业使用计算机的数量一般在几百台以内。
因此,小型园区网络设计即可满足要求。
小型园区网络设计适用于最多只包含几百台联网设备的建筑物规模的网络。
因此,在本方案中,将以企业目前拥有300台办公计算机为例,设定该企业对网络需要如下:
•企业拥有有300台办公计算机,要求都能访问Internet资源;
•外网通过internet只能访问企业内DMZ区域的各种共享服务器,如、,不能访问其它内网信息;
•会议室、会客厅、大厅这三个位置,要实现wi-fi无线上网,可以实现多人同时接入;
•出差工作人员及在家办公人员能够远程访问公司内部的共享文件以及进行数据传送;
•网络要求是可扩展的,高速的,冗余的,安全的,并可满足为现在或将来进行语音、视频、图像等各种服务的应用;
•要保证企业内部服务器群可以集中管理以及企业内部信息安全;
•为了简化起见,在本方案中设定公司一共有5个部门:
财务部、市场部、策划部、客服中心、采购部。
3.3 网络设计需求分析
根据企业提出需求,进行分析,最终将采取以下方案解决企业需求:
•申请一个10M的带宽,以满足300台计算机访问Internet;
•申请有九个公网IP:
196.2.125.1分配给了Internet接入路由器的串行接口,另外8个IP地址:
202.126.222.2/29~202.126.222.7/29用作NAT;
•购买一台CISCO路由器CISCO3640以实现企业内部网连接到Internet;
•企业目前有300台计算机连入网络,考虑到在未来五年内可能会有所增加,预计增加幅度为100台,总共有400台。
因此接入层交换机48口的Catalyst2960需要数量为:
400/48=10台;
•将各个部门划分在不同的VLAN,包括服务组群和管理VLAN一共需要7个VLAN;
•将WEB服务器,邮件服务器,FTP服务器直接与核心交换机Cisco4501连接,置于管理机房,方便管理,同时配置ACL控制各部门访问权限并阻止外网访问;
•在需要无线上网的会议厅、会客厅、大厅三个地方,采用三台54M802.11b的无线AP接入,设定最多30人的数量,以保证每人访问网速不至于过慢;
•在路由器上配置EasyVPN,用以实现出差工作人员及在家办
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中小型企业 组网 方案设计