企业网络规划设计方案
- 格式:docx
- 大小:41.65 KB
- 文档页数:13
企业网络规划设计方案
网络方案设计概述:
本方案旨在为某公司办公楼建设网络系统,包括主楼、裙楼和展厅等区域。该系统将为公司员工提供局域网和安全连接互联网的服务,并承载智能大厦的弱电系统数据传输。展厅和会堂等区域将设置信息点,以便员工使用。
建立目标:
1.建立光纤骨干网,提供高速、高效、安全的信息传输;
2.建立具有信息转发、存储、共享、综合处理、查询服务等能力的核心交换系统;
3.提供系统数据备份等安全问题解决方案;
4.具有可扩充性,方便网络系统升级和扩充;
5.建立以信息交换、信息发布和查询应用为主的网络应用基础环境,为企业的管理提供支持。
设计原则:
1.网络要求具有多媒体实时同步通讯能力,提供可保证的服务质量和充足的带宽;
2.网络系统应保证日常业务和各种应用系统的基础设施,具有足够的冗余和容错能力;
3.所有网络设备都符合国际标准以保证互操作性和网络系统的开放性;
4.网络具有高可用度和冗余,以降低单点故障的风险。
该网络系统采用两层结构,分为核心层和接入层。整个系统将在未来五到十年保持领先的水平,并具有长足的发展能力。在核心层采用双机容灾设置,以降低系统故障引起的停滞时间。
网络系统规划设计
2.1 系统目标
网络系统的设计应该满足以下目标:
5)能够适应未来的高速网络技术和新应用的出现。
6)保护已有的投资,使设备和网络能够平稳升级。
7)实现网络互联,解决互联网络带来的安全和管理问题。
8)为客户/服务器的应用环境提供支持,适应数据集中型应用的发展趋势。
9)增加网络系统的运行可靠性,降低故障隐患,提高系统的可管理性。
10)适应机构建制和工作流程,提供多层次的安全保障。
2.2 设备环境要求
设备环境应满足以下要求:
工作温度:-5℃至45℃;
工作湿度:10%至85%(非冷凝);
供电要求:每个设备间、配线间的供电功率在所属设备额定功率总和的1-1.5倍之间,并保持稳定; 安装间距:设备安装间距保证在1米。
3.1 系统结构
在网络系统的规划设计中,拓扑结构的选择非常重要。目前常见的拓扑结构有四种:星型、总线型、环型和树型。
表2列出了这四种拓扑结构的优缺点。
表2 系统结构特点分析表
序号 结构分类 优点 缺点
1 星型拓扑结构 控制简单;故障诊断和隔离容易;方便服务。-
2 总线拓扑结构 总线结构所需要的电缆数量少;总线结构简单,又是无源工作,有较高的可靠性;易于扩充,增加或减少用户比较方便。电缆长度和安装工作量可观;中央节点的负担较重,形成瓶颈;各站点的分布处理能力较低。 3 环型拓扑结构 电缆长度短;增加或减少工作站时,仅需简单的连接操作;可使用光纤。故障检测困难;环形拓扑结构的媒体访问控制协议都采用令牌传达室递的方式,在负载很轻时,信道利用率相对来说就比较低。
4 树型拓扑结构 易于扩展;故障隔离较容易。各个节点对根的依赖性太大。
3.1.2 结构设计
在网络系统的结构设计中,应该综合考虑各种因素,包括系统的规模、应用场景、性能要求、安全要求等,选择最适合的拓扑结构。同时,应该考虑到系统的可扩展性和可靠性,以便在未来的发展中能够平稳升级和扩展。
本方案采用了两台核心交换机进行热备容灾,以实现网络主干的冗余。接下来将介绍实现网络主干冗余所采用的技术。
3.2.1.采用HSRP热备份协议技术
HSRP即热备份路由器协议,需要在系统中至少有两台路由设备,它们组成一个“热备份组”,形成一个虚拟路由器。在任何时刻,只有一个路由器是活动的,负责转发数据包。如果活动路由器故障,备份路由器将替代其工作,但对于主机来说,虚拟路由器没有改变,因此不会受到故障的影响,这有效地解决了路由器切换的问题。
使用HSRP时,一组路由器的工作表现为局域网上通往主机的一个虚拟路由器的工作,这组路由器称为HSRP组或备份组。其中一个路由器是活路由器,另一个是备份路由器。在活路由器失效的情况下,备份路由器将承担活路由器的包的转发功能。局域网中可以有多个热备组共存和重叠,每个备份组都有一个为别人所知的MAC地址和IP地址。
3.2.2.HSRP工作原理
HSRP利用优先级方案来决定哪个配置了HSRP的路由设备成为默认的主动路由设备。如果一个路由设备的优先级设置比其他路由设备的优先级高,则该路由设备成为主动路由设备。路由设备的缺省优先级是100,如果只设置一个路由设备的优先级高于100,则该路由设备将成为主动路由设备。
3.2.3.系统的可靠性
本方案的路由模块采用HSRP协议,保证了两台路由模块中的任意一台出现故障,或路由模块的广域网口出现故障,都会迅速切换到另一台自动接替其工作,并且不引起其他节点的路由表重新计算,从而提高网络的稳定性。
3.2.4.负载均衡
在本方案中,可以通过配置不同的优先级和权重,实现路由器的负载均衡,从而提高网络的性能。
在动态实现VLAN的方式中,管理员需要先创建一个复杂的数据库,包括要连接的网络设备的MAC地址和相应的VLAN号。这样当网络设备接到交换机端口时,交换机会自动将该网络设备所连接的端口分配给相应的VLAN。动态VLAN的配置可以基于网络设备的MAC地址、IP地址、应用或者所使用的协议。通常情况下,使用管理软件来实现动态VLAN的管理。在CISCO交换机上,可以使用VLAN管理策略服务器(VMPS)实现基于MAC地址的动态VLAN配置。VMPS是MAC地址与VLAN的映射表。这种配置的优点是网络管理员只需要维护管理相应的数据库,而不用关心用户使用哪一个端口。但是每次新用户加入时需要进行较复杂的手工配置。基于IP地址的动态配置中,交换机通过查阅网络层的地址自动将用户分配到不同的虚拟局域网。
考虑到动态VLAN的维护非常复杂,许多安全策略不能很好地得到应用,我们建议采用静态的方式进行VLAN的划分。通过改变掩码的设置,将原有的IP地址以部门为单位划分成不同的网段。在交换机上分别建立各个VLAN的网关,在接入层交换机上将端口分别划入各自的VLAN中,通过在交换机上建立访问控制列表,控制VLAN之间是否可以通讯。通过在接入层的端口上实施安全策略,可以提高网络的安全性。将每个专业的本地服务器划分到一个VLAN中,然后实施应用层的安全策略,来控制有哪些员工可以访问不同专业的本地服务器。这样可以安全地实施资源分配,减少网管人员的日常工作量。
IP地址是TCP/IP协议族中的网络层逻辑地址,用于唯一地标识网络中的一个节点。通常用于IP地址分配的技术有可变长子网掩码技术和路径叠合技术。IP地址的分配遵循以下几个原则:唯一性、简单性、连续性、可扩展性和灵活性。唯一性指一个IP网络中不能有两个主机采用相同的IP地址。简单性要求地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的项。连续性指连续地址在层次结构网络中易于进行路径叠合,缩减路由表,提高路由算法的效率。可扩展性要求地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性。灵活性要求地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。
在IP地址和VLAN的具体划分中,可以设备IP/VLAN/DHCP区间划分。在核心交换机上,可以使用表格来管理设备IP、VLAN和DHCP的区间划分。
地下一楼的管理IP分别为172.16.10.1和172.16.10.100,私网IP空间为10.10.100.1~,网关地址为10.10.100.1,VLAN号已经更改为99,不能使用100(B1)。
1楼的IP地址为172.16.10.101,而10.10.100.254~10.10.109.254和10.10.200.1~10.10.203.254也都属于1楼的IP地址范围。2楼、3楼、4楼、5楼、6楼、7楼、8楼和9楼的IP地址分别为172.16.10.102~172.16.10.109,而各自的私网IP地址范围也相应地以楼层号结尾(例如2楼的私网IP地址为10.10.102.1~10.10.102.254)。
展厅的IP地址为172.16.10.200,会堂1楼、会堂2楼和会堂3楼的IP地址分别为172.16.10.201、172.16.10.202和172.16.10.203.
在网络系统中,网络安全是非常重要的。它指的是保护网络系统的硬件、软件以及其中的数据,使其不会因为偶然或者恶意的原因而遭到破坏、更改或泄露,同时保证系统可以持续、可靠、正常地运行,网络服务不会中断。因此,需要制定相应的网络安全方案来保障网络安全。
网络安全是指保护网络上信息的安全性、完整性、可用性、可控性和可审查性的技术和理论。这包括五个基本要素:保护信息不被未授权的实体或进程暴露(性)、只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改(完整性)、得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作(可用性)、可以控制授权围的信息流向及行为方式(可控性)、对出现的网络安全问题提供调查的依据和手段(可审查性)。
为了建立整个网络的安全控制系统,需要按照安全策略的要求及风险分析的结果,按系统体系建立。具体的安全控制系统由物理安全和网络安全两个方面组成。
物理安全是保证计算机信息系统各种设备的物理安全,它是整个计算机信息系统安全的前提。物理安全可以保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误和各种计算机犯罪行为导致的破坏过程。
网络安全包括系统(主机、服务器)安全、网络运行安全、局域网、子网安全、备份与恢复、访问控制(防火墙)、应急、灾难恢复、网络安全检测、反病毒系统安全检测、入侵检测、审计分析等方面。其中,防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度。它的主要目标是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。防火墙系统能增强机构部网络的安全性,它决定了哪些部服务可以被外界访问;外界的哪些人可以访问部的哪些服务,以及哪些