企业组网实施设计方案.docx
- 文档编号:28343510
- 上传时间:2023-07-10
- 格式:DOCX
- 页数:32
- 大小:283.81KB
企业组网实施设计方案.docx
《企业组网实施设计方案.docx》由会员分享,可在线阅读,更多相关《企业组网实施设计方案.docx(32页珍藏版)》请在冰豆网上搜索。
企业组网实施设计方案
企业组网实施设计方案
1.1网络构建背景
当今社会,随着改革开放的进一步深入,社会主义市场经济正逐步形成,各行各业面临日益严峻的竞争,当前,以计算机Internet/Intranet网络为代表得信息技术的高度发展已经影响到社会的各个角落,网络已成为传递信息和进行交流得有效纽带和桥梁,Internet网络技术给人们提出了新的生活和工作方式,对提高员工的工作效率,改善工作环境,节约成本提高社会竞争实力有着直接的影响和意义。
某钢铁公司的计算机分布在各分厂和管理部门的局域网内,这些局域网均为100M共享网络,基本上是一个个信息孤岛,使生产经营信息不能实现集中处理,直接影响着生产经营管理信息化工程的实施。
目前,该钢铁公司与同属的钢铁公司以及其它企业合作关系密切,业务呈现高速成长,企业原有网络结构远远不能满足现阶段需求。
为更有效的管理交易、运输等业务资源,加强合作伙伴间的联系,适应企业信息化的需求,将企业全部生产过程中有关人,技术,设备和经营管理四要素及信息流,物流,价值流有机集成,加强管理,实现企业整体优化,提高企业市场快速反应能力及竞争力,最终提高企业经济效益。
所以,该钢铁公司开始寻求更为安全、高速、智能且经济性较强的新企业网络,希望凭借高速运转的信息化网络,来创建技术较为先进、功能较为完善的集交易、融资、信息、仓储、加工为一体的大型专业化钢材物流平台。
1.2项目建设目标
某钢铁公司网络建设的总体目标是建立一个覆盖该公司所有部门高速的信息通道,为公司管理层的决策、管理、业务、财务和后勤工作人员等提供一个良好的计算机网络环境,加强所有部门的合作交流,共享数据资源,公司内外电子化(如FTP、EMAIL、无纸化办公等),对外为公司的数据传输提供保障,提高整个公司的办公效率,从而真正实现公司内各职工部门的“电子化”功能,更好的提高经济效率,提升公司的市场竞争力。
将企业网络中心建设成为企业局域网络与企业上级机构网络、企业下属分支机构网络、国际互联网Internet等进行网络连接的电脑网络交换中心;实现网络之间的安全、高速相互访问;为企业实现办公自动化和运行基于电脑网络的应用信息管理系统提供良好的硬件平台。
通过网络中心的建设实现企业内部互联网Intranet和国际互联网Internet之间安全、无缝的结合,利用各种新技术使企业的办公、管理逐步实现网络化、信息化、现代化。
1.3网络的建设原则
由于计算机和信息技术的飞速发展,很多企业为了适应现代社会,陆续开展了信息化建设,根据本企业计算机应用现状和实际需求,建设计算机网络或现将原有的计算机网络进行改造升级。
一般来说企业计算机网络建设和改造应遵循以下原则:
1)系统工程原则
本系统的设计和实施将严格按照系统工程的观点和方法进行,自始至终注意到系统的全局性、关联性、整体最优性、综合性和实践性。
2)可行性原则
设计的方案能够充分考虑网络的特点和应用对象的技术、资源、管理等方面的约束,并能很好地结合企业特点以及需求进行方案的设计。
确保系统在总体上可行,使设计出来的系统能真正发挥作用。
3)先进性和实用性原则
采用先进成熟的概念、技术和方法,能支撑各种现在与未来一段时期的主流网络应用,又具有发展潜力,包括基础方案、扩展方案和管理方案。
设计应体现先进性和实用性的完美统一,采用先进技术必须符合实际情况,坚持一切从实际出发,一切为用户着想的原则,系统的建立要确保网络易维护、易管理,可实施性好,同时要以用户的需要作为设计的出发点和归宿,求得最佳效益。
4)可靠性原则
在实现各种功能要求的前提下,系统设计应确保系统动作的正确性,以及为防止异常情况所必需的保护性设施。
系统能利用产品自身特色,保证网络系统运行稳定可靠、高效,充分显示先进性等。
在硬件的选型和配置、软件的组织和设计方法的选择、数据的安全可靠、以及系统的动作与管理等方面采取必要的措施。
5)开放性原则
由于计算机网络和有关技术发展很快,可以说日新月异,在新技术成熟或新要求提出时,应能扩展升级和灵活变更,而不是推倒重来,以保护今天的投资。
系统设计的开放性原则是指系统有适应外界环境变化的能力,即在外界环境改变时,系统可以不作修改或仅作少量修改就能在新环境下运行。
6)可管理性和经济性
网络系统应能采用先进的网络管理系统,以降低网络管理的复杂性。
在网络系统设计时,应坚持实现高性能前提下尽量少投资的原则,建成网络系统后,应能提高管理、办公水平,以期获得更大的经济效益和社会效益。
7)安全性和灵活性
网络系统应能从硬件和软件上防止非法访问。
按照模块化、层次化的原则设计网络,网络具有较好的伸缩性、可以根据网络建设的不同阶段灵活配置和扩展,具有能不断吸收新技术、新方法的功能。
2企业网需求分析
2.1企业组网需求分析
面对着激烈的市场竞争,公司对信息的收集、传输、加工、存贮、查询以及预测决策等工作量越来越大,原来的计算机只是停留在单机工作的模式,各部门间的数据不能实现共享,致使工作效率大大下降,纯粹手工管理方式和手段已不能适应需求,这都严重妨碍公司的生存和发展。
社会进步要求企业必须改变现有的落后管理体制、管理方法和手段,建立现代企业的新形象,建立本企业的自动化管理信息系统,以提高管理水平,增加经济和社会效益。
综合管理信息系统是为实现企业信息管理和办公自动化而建设的,它能为整个企业提供高效畅通的信息高速公路和公共服务支持环境,形成一个以可靠、迅捷、可提供多种功能的计算机网络为基础的信息管理系统,既能为各级部门提供了先进的信息服务和生产环境,同时又提高了各部门的办公自动化和综合管理水平。
改变传统的管理思路和管理模式,提高管理人员和工作人员的素质。
因此,建立一个可靠、实用、易于管理、具有综合先进水平的企业局域网是必要的。
2.2企业网络规划
网络设计是一个系统建立和优化的过程,建设网络的根本目的是在Internet上进行资源共享与通信。
要充分发挥投资网络的效益,需求设计成了网络设计中的重要内容,它提供了网络设计应到达的目标,并有助于设计者更好地理解网络应该具有的性能。
1)网络需求特点
以千兆交换设备构建主干,实现百兆交换到桌面,主干要求支持第三层交换技术;具有良好的可扩展性,并且要便于网络管理员进行日常维护;部门之间划分虚拟子网(VLAN),保证网络内部数据的安全,并降低主干数据量的压力;控制服务的优先级和质量,可以根据特定的地址、协议来划分优先级,满足重要应用的带宽需求;多种路由协议支持;支持多点组播;室外采用单模光纤布线方式,选用单模8芯光纤,采用架空布线的方式敷设;室内布线材料选用超五类非屏蔽双绞线,合理安排配线间位置,尽量避免传输距离超长情况的发生。
2)网络总体结构
从逻辑上,整个网络可分为核心层、汇聚层和接入层,每层都有其特点。
主干网络定义为中心机房到各汇聚点的通信干线。
骨干网络为三层架构,网络考虑环网结构,保证各网主干通信可靠性。
核心层:
核心层位于信息楼中心的中心机房。
核心层负责整个信息楼基础平台汇聚层网络接入,同时承担未来应用的网络接入。
汇聚层:
以汇聚层机房为单元设置多个汇聚点,汇聚层有以太网口(RJ45)接入能力。
接入层:
接入层采用星形结构并上联到汇聚层。
层次化设计的特点可以总结为如下几点:
(1)可扩展性:
因为网络可模块化增长而不会遇到问题;
(2)简单性:
通过将网络分成许多小单元,降低了网络的整体复杂性,使故障排除更容易,能隔离广播风暴的传播、防止路由循环等潜在的问题;
(3)设计的灵活性:
使网络容易升级到最新的技术,升级任意层次的网络不会对其他层次造成影响,无需改变整个环境;
(4)可管理性:
层次结构使单个设备的配置的复杂性大大降低,更易管理。
2.3企业结构及信息点分布
该钢铁公司信息点与应用分布情况,如表2.1所示,公司总信息点分布为207个。
考虑到今后的网络发展需要,设计时已预留一定的信息点。
在整个公司网络中,从经济上和以后的网络发展需求考虑,大概整个公司网络里预留有48个的信息点,以备今后公司网络的升级与发展。
表2.1某钢铁公司信息点与应用分布表
建筑物
归属
部门
栋数
每层信息点
总信
息点
备注
主要应用
信息楼
网络
中心
1
8
8
在信息楼的第2层
资源共享、编程管理、应用软件、Internet服务
服务
器群
3
9
在信息楼的第3-5层
资源共享、应用软件开发、Internet服务
办
公
楼
高层管
理部
1
5
15
在办公楼的第7-9层
OA办公、资源共享、Internet服务
财务部
5
10
在办公楼的第5、6层
OA办公、资源共享、Internet服务
销售部
20
20
在办公楼的第4层
OA办公、资源共享、电子商务、Internet服务
物资部
25
25
在办公楼的第3层
OA办公、资源共享、Internet服务
人力资
源部
10
20
在办公楼的第1、2层
OA办公、资源共享、Internet服务
生产楼
生产安
全部
4
5
40
生产楼有4栋,每栋2层
资源共享、Internet服务
续上表
科研楼
研发部
1
4
20
科研楼有1栋,共5层
软件应用与开发、OA办公、资源共享、Internet服务
仓储楼
资源管
理部
1
4
20
仓储楼1栋,共5层
资源共享、Internet服务
宿舍楼
综合部
2
2
20
宿舍楼有2栋,每栋5层
OA办公、资源共享、Internet服务
2.4技术方案综述
本方案是以千兆交换设备构建主干,实现百兆交换到桌面,通过下级交换机与各单位、部门的工作站和服务器连结,并为之提供100M的独享带宽。
利用与中心交换机连结的Cisco防火墙,授权用户可直接访问Internet。
这个企业的局域网按访问区域可以划分为三个主要的区域:
Internet区域、内部网络、公开服务器区域。
内部网络按照生产区域划分为多个子网,包括:
财务子网、生产区子网、办公子网、内部中心服务器子网等。
基于安全的重要程度和要保护的对象,在交换机上按地域和部门划分了多个虚拟局域网(VLAN)。
基于对于办公网结构的研究,结合用户的应用需求,我们设计一个配线间作为整个系统的网络中心,其他各楼通过千兆单模光纤连接到核心交换机。
实现主干链路的冗余和数据流量的均衡分布。
即由用户接入层交换机来完成数据包的解析和计算,以及由汇聚层交换机来完成同一网段内的数据包转发,实现不同网段VLAN之间的数据转发,整个网络数据流向合理。
并可以通过核心层的链路冗余和设备冗余,实现了数据的快速转发和全网的链路冗余(生成树SpanningTree),排除了单一故障点,保证了网络应用的安全稳定。
3企业网整体设计
3.1设计思想
企业网是各种应用的统一通信平台,平均无故障时间及故障恢复时间,要保持在一个可容忍的许可范围之内。
在这种前提下,主干设备应有一定的冗余度,这种冗余度不单只是设备级的,也应该考虑物理线路,数据链路层和网络层的容错能力。
整个主干网以企业的网络中心主机房为中心节点,向外辐射。
通过各部门、单位等几个节点构成主干网,企业网物理结构分为三层:
核心层、汇聚层、接入层。
企业主干网要求较高的带宽和较低的延时,而且其覆盖面积、分布范围广,传输距离较长,所以,我们采用快速以太网交换机,改善交换机与交换机之间骨干连接和交换机与服务器之间连接的可靠、经济的途径。
主干网中心节点配置核心路由交换机,该交换机上配置第三层交换模块和网络监控模块,以实现网络动态管理和虚拟局域网。
企业网的信息资源分中心,可采用三层交换机与企业网中心的核心路由交换机连接,以实现主干通道信息传输的负载均衡。
办公楼、科研楼、生产楼等楼宇采用高性能汇聚层交换机,以保证建筑楼信息点对交换机端口密度的要求和网络性能与可靠性的要求。
主干网核心层交换机和汇聚层交换机采用1000Mbps(单模1000BASE-LX)连接,服务器采用1000Mbps(1000BASE-TX)连接。
具有高的可靠性,拥有I/O吞吐能力强,数据处理快,可扩展性和可管理性良好的特点。
客户机采用100Mb/s网卡,支持单点以及多点的客户服务中心结构,同时支持业务代表的网络分布,适应目前的情况以及将来的业务扩展的重分配。
3.2网络拓扑结构
图3.1某钢铁公司网络规划拓扑图
3.2.1核心层设计
整个主干网以企业的计算机中心机房为中心节点,向外辐射。
通过各部门、单位等几个节点构成主干网。
主干网技术的选择,根据需求分析中用户方网络规模大小、网上传输信息的种类和用户方可投入的资金等因素来考虑。
主干网用来连接建筑群和服务器群,可容纳网络上50%~80%的信息流,是网络大动脉。
根据公司的实际需求,综合考虑主干网性能、服务质量(Quos)、易移植性、成熟性、先进性和可扩展性的角度考虑,主干网采用快速以太网,快速以太网是一个全面支持网络管理和多媒体通讯的全动态交换式网络。
中心节点机房配置企业级交换机作为网络中心交换机。
为实现网络动态管理和虚拟局域网,在中心节点交换机上还配置第三层交换模块和网络监控模块。
企业主干连接为1000Mbps,连接建筑群的主干网以光缆做传输介质,建筑物内部的用户局域网提供到桌面的100Mbps网络带宽。
3.2.2汇聚层设计
采用1000兆以太网技术,实现核心层与汇聚层的互连,采用100兆以太网技术,实现汇聚层与接入层的互连,汇聚层主要负责连接接入层接点和核心层中心,汇集分散接入点,扩大核心层设备的端口密度和种类,汇聚各区域数据流量,实现骨干网络之间的优化传输,核心网络以星型结构连接各汇聚层节,汇聚层负责将各种接入业务集中起来,除了进行局部数据的交换、转发以外,通过高速接口将数据输送到核心层去,在更大的范围内进行数据的路由以及处理。
3.2.3接入层设计
采用100兆以太网技术,实现汇聚层与接入层的互连同样采用10/100Mbps自适应交换到桌面,传输介质是超五类双绞线。
接入层采用100Base-T交换式以太网,提供10/100M自适应的传输速度到桌面计算机,以双绞线为主要传输介质。
选用思科WS-C2918-24TT-C快速以太网交换机作为接入层交换设备,该系列交换设备支持光端口模块、支持堆叠、提供线速交换能力、带宽控制、QOS、支持远程管理和控制等,有较高的性价比。
主要功能就是实现每个合法用户的安全接入。
因此,对于接入层而言,其关键安全要素就是用户的安全认证、管理和快速接入功能。
3.3IP地址及VLAN规划设计
表3.1企业网VLAN划分表
部门
VLAN
VLAN名称
网络设备描述
网络中心
11
WLZX
交换机、网管设施
服务器群
2
FWQQ
ERP、认证、计费
高层管理部
10
GCGL
PC
财务部
20
CWB
PC
销售部
30
XSB
PC
物资部
40
WZB
PC
人力资源部
50
RLZY
PC
生产安全部
60
SCAQ
PC
研发部
70
YFB
PC
资源管理部
80
ZYGL
PC
综合
90
ZH
PC
表3.2企业网VLAN地址分配表
部门
VLANIP
子网掩码
网络中心
192.168.10.1-192.168.10.15
255.255.255.0
服务器群
192.168.10.16-192.168.10.30
255.255.255.0
高层管理部
192.168.10.31-192.168.10.50
255.255.255.0
财务部
192.168.10.51-192.168.10.65
255.255.255.0
销售部
192.168.10.66-192.168.10.90
255.255.255.0
续上表
物资部
192.168.10.91-192.168.10.120
255.255.255.0
人力资源部
192.168.10.121-192.168.10.145
255.255.255.0
生产安全部
192.168.10.146-192.168.10.190
255.255.255.0
研发部
192.168.10.191-192.168.10.215
255.255.255.0
资源管理部
192.168.10.216-192.168.10.230
255.255.255.0
综合部
192.168.10.231-192.168.10.254
255.255.255.0
3.4网络设备的配置方案
钢铁公司网络规划仿真图如图3.2如示。
1)核心层
(1)在核心层的交换机上设计冗余链路,采用链路聚合技术,增加交换机之间的传输带宽,并实现链路的备份。
(2)在核心层的交换机上实现VLAN间的路由,实现跨交换机VLAN的通信,而不同的VLAN也能通信。
2)汇聚层和接入层
(1)在这两层间通过划分VLAN,实现VLAN间的路由通信
(2)利用路由器快速以太网子接口以及802.1Q封装实现VLAN间路由
(3)通过设置生成树协议(STP),使网络在有冗余的情况下避免环路的产生,避免广播风暴等
(4)在汇聚层上设置标准IP访问列表,实现网段间互相访问的安全控制。
3)路由器的设置
(1)在路由器中进行了防火墙的设置,进行了NAT设置
(2)进行了静态路由的设置
(3)进行了远程的管理
图3.2某钢铁公司网络规划仿真图
3.4.1二层交换机VLAN设置
在交换机中创建vlan10–vlan90,并添加端口。
在每个楼宇的交换机配置相应的VLAN:
switch(Config)#vlan10
switch(Config-Vlan10)#hostnameGCGL
switch(Config-GCGL)#switchportinterfacef0/1-8
switch(Config-GCGL)#exit
.........
switch(Config)#vlan90
switch(Config-Vlan10)#hostnameZH
switch(Config-ZH)#switchportinterfacef0/9-16
switch(Config-ZH)#exit
switch(Config)#
验证配置:
switch#showvlan
设置交换机trunk端口
switch(Config)#interfaceethernet0/0/24
switch(Config-Ethernet0/0/24)#switchportmodetrunk
SettheportEthernet0/0/24modeTRUNKsuccessfully
switch(Config-Ethernet0/0/24)#switchporttrunkallowedvlanall
settheportEthernet0/0/24allowedvlansuccessfully
switch(Config-Ethernet0/0/24)#exit
switch(Config)#
验证配置:
switch#showvlan
3.4.2三层交换机VLAN设置
1)核心层
链路聚合技术的配置过程如下
核心层交换机A——以下简称SWA
核心层交换机B——以下简称SWB
(1)在SWA上创建VLAN11,并将0/5端口划分到VLAN1中
SWA#configureterminal
SWA(config)#vlan11
SWA(config-vlan)#nameWLZX
SWA(config)#interfacef0/5
SWA(config-if)#switchportaccessvlan11
(2)在SWA上配置聚合端口
SWA(config)#interfaceaggregateport1
SWA(config-if)#switchportmodetrunk
SWA(config-if)#exit
SWA(config)#interfacerangef0/9-10
SWA(config-if)#port-group1
(3)在SWB上创建VLAN11,并将0/5端口划分到VLAN11中
SWB#configureterminal
SWB(config)#vlan11
SWB(config-vlan)#nameWLZX
SWB(config)#interfacef0/5
SWB(config-if)#switchportaccessvlan11
(4)在SWB上配置聚合端口
SWB(config)#interfaceaggregateport1
SWB(config-if)#switchportmodetrunk
SWB(config-if)#exit
SWB(config)#interfacerangef0/9-10
SWB(config-if)#port-group1
2)汇聚层和接入层配置过程命令如下:
(1)对生成树协议(STP)的配置
SWC#conft
SWC(config)#spanning-tree
SWC(config)#end
SWC(config)#spanning-treemodestp
SWC#showspanning-tree
SWC(config)#spanning-treepriority4096
3.4.3防火墙设置
配置CiscoFirewallPix,进入Pix525采用超级用户(enable),默然密码为空,修改密码用passwd命令。
防火墙是处网络系统里,因此它跟网络的结构密切相关,一般会涉及的有Route(路由器)、网络IP地址。
还有必须清楚标准的TCP和UDP端口的定义。
1)激活以太端口
激活以太端口必须用enable进入,然后进入configure模式 PIX525>enable
Password:
PIX525#configt
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1auto
在默认情况下ethernet0是属外部网卡outside,ethernet1是属内部网卡inside,inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。
2)命名端口与安全级别,采用命令nameif
PIX525(config)#nameifethernet0outsidesecurity0
PIX525(config)#nameifethernet0outsidesecurity100
security0是外部端口outside的安全级别(100安全级别最高),security100是内部端口inside的安全级别,如果中间还有以太口,则security10,security20等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为DMZ(DemilitarizedZones非武装区域)。
3)配置以太端口IP
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 组网 实施 设计方案