大型企业网络规划与设计.docx
- 文档编号:29692403
- 上传时间:2023-07-26
- 格式:DOCX
- 页数:26
- 大小:130.25KB
大型企业网络规划与设计.docx
《大型企业网络规划与设计.docx》由会员分享,可在线阅读,更多相关《大型企业网络规划与设计.docx(26页珍藏版)》请在冰豆网上搜索。
大型企业网络规划与设计
编号:
学号:
课程设计
教学院
计算机学院
课程名称
计算机网络原理
题目
大型企业网络设计
专业
计算机科学与技术
班级
11计科1班
姓名
同组人员
指导教师
课程设计任务书
学生姓名:
专业班级:
计算机科学与技术1班
指导教师:
工作部门:
计算机学院
一、课程设计题目
大型企业网络设计
二、课程设计内容
XX集团是一个以煤炭产品为主,兼营大型矿井建设、工业与民用建筑设计与施工、地基与基础处理、地质勘探、商业等行业的综合性集团公司。
XX集团作为一个全国200强的集团公司,下辖生产矿、建井处、机械厂等二级单位5家,各个相对独立的生产服务单位,如财务、运销、医疗卫生、远程教学、综合统计等,都必须实现网上信息传输。
现在要求做出该集团的网络设计方案,在该方案中,用户有如下的需求:
1.在多业务共同存在的网络设备之上,各业务属于不同的区域,要求实现内部网络按用户、功能进行VLAN、网段划分;
2.针对不同的用户类型,制定相应的访问、控制权限;
3.由于接入ISP提供的互联网出口提供1个公有IP,要求解决集团内部对外部网络的访问需求,且要实现发布对外的WEB、FTP服务;
三、进度安排
1.20XX年6月17日,指导教师讲课,学生根据题目准备资料;
2.20XX年6月18、19日,设计小组进行总体方案设计和任务分工,具体实施;
3.20XX年6月21、24、25、26日,具体实施
4.20XX年6月28日,验收、撰写报告,完成论文,总结并答辩
四、基本要求
1.能实现网络之间的正确互联
2.网络系统完备且具有扩充性,功能满足企业的日常业务动作。
3.能根据部门职能来划分Vlan,并设置各自的权限;
4.能实现不同网络段之间的网络互联
20XX年6月1日
大型企业网络规划与设计
摘要
迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。
市场的全球化竞争已成为趋势。
对于大型企业来说,在调整发展战略时,必须考虑到市场的全球竞争战略,而这一切也将以信息化平台为基础,借助计算机网络原理及网络规划技术,以网络通畅为保证。
企业内部网(Intranet)是国际互连网(Internet)技术在企业内部或封闭的用户群内的应用。
Intranet是使用Internet技术,特别是TCP/IP协议而建成的企业内部网络。
这种技术允许不同计算机平台进行互通,且不用考虑其位置。
也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行访问。
本文从企业网络需求开始分析,根据现阶段cisco公司主流网络设备进行选材,规划最适用于目标网络的拓扑结构,建设合理的网络设计方案。
本课题实施部分由GNS3模拟器来搭建网络拓扑结构,利用cisco设备操作系统unzip-c2691-advsecurityk9-mz.124-11.T2作为拓扑内所有设备核心IOS,然后用SecureCRT进行路由器交换机的相关配置,并测试其结果最终验证网络的规划与设计符合大型企业的需求。
关键词:
企业网络,拓扑结构,冗余,路由,交换
LargeEnterpriseNetworkPlanningandDesign
Abstract
TherapiddevelopmentoftheInternetisallovertheworldinformationindustryofenormouschangeandfar-reachingconsequences.Marketcompetitionhasbecomethetrendofglobalization.Forlargeenterprises,inadjustingthedevelopmentstrategy,musttakeintoaccountthemarket'sglobalcompetitivenessstrategy,andallthisinformationplatformwillalsobebasedontheprincipleoftheuseofcomputernetworksandnetworkplanningtechnologytothenetworkinordertoensurepatency.
IntranetisaninternationalInternettechnologyintheenterpriseorwithinaclosedusergroupapplications.IntranetistheuseofInternettechnologies,especiallyTCP/IPprotocolandthecompletionoftheenterpriseinternalnetwork.Thistechnologyallowsinteroperabilityofdifferentcomputerplatforms,anddonothavetoconsideritsposition.Thatiswhattheusercanvisitanyorfromanycomputeraccess.
Fromthestartthewholeenterpriseclassnetworkneedsanalysis,basedonthemainstreamstagecisconetworkequipmentcompanyselection,withthegoaltobuildthemostsuitablenetworktopology,designedwithnetworktechnology.AspartofthisimplementationtobuildthesimulatorGNS3networktopology,theuseofciscodeviceoperatingsystemsunzip-c2691-advsecurityk9-mz.124-11.T2forallequipmentwithinthecoretopologyIOS,routersandswitchesusingSecureCRTfortheconfiguration,andviewtheexperimentalresultstoverifythatthenetworkmeetsbusinessneeds.
Keywords:
Enterprisenetworks,Topology,Redundancy,Routing,Switching
一课程设计目的
1.1研究背景
今天,迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。
市场的全球化竞争已成为趋势。
21世纪的中国正在向市场多元化、全球化的方向发展。
对于大型企业来说,在调整发展战略时,必须考虑到市场的全球竞争战略,而这一切也将以信息化平台为基础,借助计算机网络原理及网络规划技术,以网络通畅为保证。
国内越来越多的企业也已经或正在考虑使用Internet/Intranet技术,以建设企业规划化的信息处理系统。
因为现代企业的信息大多都来自于互连网,通过网络,企业可以更快速的接收到来自全球的市场信息;通过Internet与外部世界交换信息,企业规划者可以更快地对企业作出正确的宏观调控与决策,以适应市场趋势。
企业与全世界联系起来,极大地提高了信息收集的能力和效率。
随着Intranet技术的不断发展,计算机已经逐渐应用到企业中的各个关键部分,极大的提高了企业的工作效率。
对于规模较大的企业来说,这一点尤为重要。
而有些大型企业根据其自身性质等对于网络有着更多的需求。
比如中国电信、中国网通、中国银行,它们对网络有一点十分重要的需求,那就是网路通路,流量不可断。
因为全中国大部分的金融和通信都经过这些企业,他们的网络的稳定性直接关系到国家的政治经济基础等各个方面。
所以对于这些大型企业的网络设计必须考虑到流量等细节问题。
当今中国网络的另一个重大问题就是安全。
由于中国的网络发展较晚,网络的安全没有作到非常完善。
而且很多早期起用的网络无论从结构还是技术上都有很多设计不合理的问题,这也导致了网络的安全性差。
在企业的某些关键部门(如财务科等),如果有不法分子利用网络中的漏洞修改或者窃取商业机密文件,也会对企业自身造成不可挽回的甚至是毁灭性的危害。
当然,企业也会对一些细节问题提出要求。
比如市场部门可以上网查阅资料而技术部门不可;或者从周一上午九点到周五下午五点可以上网,而其他时间段网络无流量;再或者高层领导组可以监控财务部门的档案文件而其
他部门则没有这样的权限。
这些都是网络设计者需要考虑的问题。
1.2目的和意义
企业内部网(Intranet)是国际互连网(Internet)技术在企业内部或封闭的用户群内的应用。
简单地说,Intranet是使用Internet技术,特别是TCP/IP协议而建成的企业内部网络。
这种技术允许不同计算机平台进行互通,且不用考虑其位置。
也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行访问[1]。
基于这种种的现实问题,企业必须从企业局域网的概念及相关计算机网络技术入手,详细地设计企业网建设的实施方案及建设规划,以达到先进、安全、实用、可靠的目标.对该企业的组网需求进行分析,比较各种组网技术,从实用角度论述局域网主干网选择,综合布线,各种设备选择,网络安全,网络管理等方面。
我们的网络要具有一定的灵活性。
当企业发展到一定规模,企业在外地设有许多分支机构。
这时,为加快企业内部的信息流通,企业需要将总部和各分支机构连接起来。
远程企业对网络的需求是:
通过internet接入,在整个公司实现数据快速传输、办公自动化,最终实现企业无纸化办公;企业拥有自己的ip地址和域名,在公司主机上建立网站,向外界宣传企业形象、公司各项业务、活动及最新成果等;以ip电话方式节省企业大部分的长途话费,亦可通过ip网络来实现视频会议;整个公司需要一个运行可靠、费用合理的通信系统;实现telnet等网络服务;建立一个功能全面、使用方便的管理信息系统,使总公司与各地分支机构之间的业务审批电子化,各项工作能够协同完成。
实现结构化布线、网络的设计与规划、资源共享、专线接入Internet、WWW服务器、软硬件配置、划分企业子网等技术实施。
二关键的网络技术原理
2.1大型企业网络的定位
企业网是指覆盖企业和企业与分公司之间的网络,为企业的多种通信协议提供综合传送平台的网络。
企业网应以多业务光传输网络为基础,实现语音、数据、图像、多媒体等的接入。
企业网是企业内各部门的桥接区,主要完成接入网中的子公司和工作人员与企业骨干业务网络之间全方位的互通。
因此电子商务公司企业网的定位应是为企业网应用提供多业务传送的综合解决方案。
2.2关键技术研究
本设计方案采用的是全部Cisco的网络设备,全网使用统一厂家得设备以实现各种不同网络设备功能的互相配合和补充。
还有就是一些网络协议都是一些厂家私有的,如EIGRP、HDLC等。
因为每个厂家都有属于自己的EIGRP、HDLC所以不同厂家的设备就不能使用这些网络协议。
2.2.1路由技术
路由协议工作在OSI参考模型的第3层,因此它的作用主要是在通信子网间路由数据包。
路由器具有在网络中传递数据时选择最佳路径的能力。
除了可以完成主要的路由任务,利用访问控制列表,路由器还可以用来完成以路由器为中心的流量控制和过滤功能。
在本工程案例设计中,内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。
路由器是外网进入企业网内网的第一道关卡,是网络防御的前沿阵地。
路由器上的访问控制列表(AccessControlList,ACL)是保护内网安全的有效手段。
一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。
由于路由器介于企业内网和外网之间,是外网与内网进行通信时的第一道屏障,所以即使在网络系统安装了防火墙产品后,仍然有必要对路由器的访问控制列表进行缜密的设计,来对企业内网包括防火墙本身实施保护[2]。
2.2.2交换技术
传统意义上的数据交换发生在OSI模型的第2层。
现代交换技术还实现了第3层交换和多层交换。
高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了企业网数据交换服务质量,满足了不同类型网络应用程序的需要。
现代交换网络还引入了虚拟局域网(VirtualLAN,VLAN)的概念。
VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的影响。
在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现。
当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(VlanTrunkingProtocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN。
然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。
这样,大大减轻了网络管理人员的工作负担和工作强度。
为了简化交换网络设计、提高交换网络的可扩展性,在企业网内部数据交换的部署是分层进行的。
企业网数据交换设备可以划分为三个层次:
接入层、分布层、核心层。
接入层为所有的终端用户提供一个接入点;分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能;核心层将各分布层交换机互连起来进行穿越企业网骨干的高速数据交换。
在本工程案例设计中,也将采用这三层进行分开设计、配置[3]。
2.2.3远程访问技术
远程访问也是企业网络必须提供的服务之一。
它可以为家庭办公用户和出差在外的员工提供移动接入服务。
远程访问有三种可选的服务类型:
专线连接、电路交换和包交换。
不同的广域网连接类型提供的服务质量不同,花费也不相同。
企业用户可以根据所需带宽、本地服务可用性、花费等因素综合考虑,选择一种适合企业自身需要的广域网接入方案。
在本工程案例设计中,分别采用专线连接的VPN和PBR两种方式实现远程访问需求[4]。
2.2.4VLAN
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。
一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。
虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
既然VLAN隔离了广播风暴,同时也隔离了各个不同的VLAN之间的通讯,所以不同的VLAN之间的通讯是需要有路由来完成的[5]。
2.2.5VPN
VPN的英文全称是“VirtualPrivateNetwork”,翻译过来就是“虚拟专用网络”。
顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。
它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。
这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。
VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网[4]。
2.2.6RIP
RIP(RoutingInformationProtocols,路由信息协议)是应用较早、使用较普遍的IGP(InteriorGatewayProtocol,内部网关协议),适用于小型同类网络,是典型的距离矢量(distance-vector)协议。
RIP协议跳数做为衡量路径开销的,RIP协议里规定最大跳数为15。
RIP协议有两个版本RIPv1和RIPv2。
RIPv1属于有类路由协议,不支持VLSM(变长子网掩码),RIPv1是以广播的形式进行路由信息的更新的;更新周期为30秒。
RIPv2属于无类路由协议,支持VLSM(变长子网掩码),RIPv2是以组播的形式进行路由信息的更新的,组播地址是224.0.0.9。
RIPv2还支持基于端口的认证,提高网络的安全性。
2.2.7AAA认证
AAA-----身份验证(Authentication)、授权(Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。
AAA,认证(Authentication):
验证用户的身份与可使用的网络服务;授权(Authorization):
依据认证结果开放网络服务给用户;计帐(Accounting):
记录用户对各种网络服务的用量,并提供给计费系统。
整个系统在网络管理与安全问题中十分有效。
首先,认证部分提供了对用户的认证。
整个认证通常是采用用户输入用户名与密码来进行权限审核。
认证的原理是每个用户都有一个唯一的权限获得标准。
由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。
如果符合,那么对用户认证通过。
如果不符合,则拒绝提供网络连接。
接下来,用户还要通过授权来获得操作相应任务的权限。
比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。
简单而言,授权过程是一系列强迫策略的组合,包括:
确定活动的种类或质量、资源或者用户被允许的服务有哪些。
授权过程发生在认证上下文中。
一旦用户通过了认证,他们也就被授予了相应的权限。
最后一步是帐户,这一过程将会计算用户在连接过程中消耗的资源数目。
这些资源包括连接时间或者用户在连接过程中的收发流量等等。
可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。
验证授权和帐户由AAA服务器来提供。
AAA服务器是一个能够提供这三项服务的程序。
当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务(RADIUS)”[10]。
三大型企业网络需求分析
3.1大型企业网络分析
为适应企业信息化的发展,满足日益增长的通信需求和网络的稳定运行,今天的企业网络建设比传统企业网络建设有更高的要求,本文将通过对如下几个方面的需求分析来规划出一套最适用于目标网络的拓扑结构。
3.1.1稳定可靠需求
现代大型企业的网络应具有更全面的可靠性设计,以实现网络通信的实时畅通,保障企业生产运营的正常进行。
随着企业各种业务应用逐渐转移到计算机网络上来,网络通信的无中断运行已经成为保证企业正常生产运营的关键。
现代大型企业网络在可靠性设计方面主要应从以下3个方面考虑。
设备的可靠性设计:
不仅要考察网络设备是否实现了关键部件的冗余备份,还要从网络设备整体设计架构、处理引擎种类等多方面去考察。
业务的可靠性设计:
网络设备在故障倒换过程中,是否对业务的正常运行有影响。
链路的可靠性设计:
以太网的链路安全来自于多路径选择,所以在企业网络建设时,要考虑网络设备是否能够提供有效的链路自愈手段,以及快速重路由协议的支持[7]。
3.1.2服务质量需求
现代大型企业网络需要提供完善的端到端QoS保障,以满足企业网多业务承载的需求。
大型企业网络承载的业务不断增多,单纯的提高带宽并不能够有效地保障数据交换的畅通无阻,所以今天的大型企业网络建设必须要考虑到网络应能够智能识别应用事件的紧急和重要程度,如视频、音频、数据流(MIS、ERP、OA、备份数据)。
同时能够调度网络中的资源,保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送,实现对业务的合理调度才是一个大型企业网络提供"高品质"服务的保障[7]。
3.1.3网络安全需求
现代大型企业网络应提供更完善的网络安全解决方案,以阻击病毒和黑客的攻击,减少企业的经济损失。
传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件,以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御,但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。
在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,这样才能有效地保证企业网络的稳定运行[7]。
3.1.4应用服务需求
现代大型企业网络应具备更智能的网络管理解决方案,以适应网络规模日益扩大,维护工作更加复杂的需要。
当前的网络已经发展成为"以应用为中心"的信息基础平台,网络管理能力的要求已经上升到了业务层次,传统的网络设备的智能已经不能有效支持网络管理需求的发展。
比如,网络调试期间最消耗人力与物力的线缆故障定位工作,网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作,由于受网络设备功能本身的限制,都还属于费时、费力的任务。
所以现代的大型企业网络迫切需要网络设备具备支撑"以应用为中心"的智能网络运营维护的能力,并能够有一套智能化的管理软件,将网络管理人员从繁重的工作中解脱出来[7]。
3.2本课题系统需求分析
该集团是一个以煤炭产品为主,兼营大型矿井建设、工业与民用建筑设计与施工、地基与基础处理、地质勘探、商业等行业的综合性集团公司。
XX集团作为一个全国200强的集团公司,下辖生产矿、建井处、机械厂等二级单位3家,各个相对独立的生产服务单位,如财务、运销、医疗卫生、远程教学、综合统计等,都必须实现网上信息传输。
现在要求做出该集团的网络设计方案,在该方案中,用户有如下的需求:
1.在多业务共同存在的网络设备之上,各业务属于不同的区域,要求实现内部网络按用户、功能进行VLAN、网段划分;
2.针
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 大型企业 网络 规划 设计