下载文档原格式
某企业网络规划与设计摘要:一个科学高效且安全稳定的企业内部网络,能使公司的工作效率大大提高更加科学平稳的进行,同时也降低了企业的运营管理成本。
企业网络的设计使用三层网络架构,利用VLAN技术、DHCP技术等相关网络技术,设计出能够满足负载均衡的核心层,在汇聚层实现网络隔离和网络分段,在接入层实现自动获取IP地址、部门资源共享的功能。
本文主要基于企业网络的规划与设计展开分析,并基于华为eNSP模拟器搭建网络拓扑结构配置相关功能。
关键词:企业网络设计;三层架构;网络安全1引言随着市场经济的可持续发展企业信息量在持续增多企业就需要将计算机的主机和服务器作为其储存信息的基本工具信息流通越来越重要,这也使得企业的内部网络安全性成为焦点[1]。
中小型企业快速发展,企业内部的网络或多或少的因为企业发展而出现问题,现在某企业因为扩张需要搭建新的网络系统,以满足更大规模的企业的工作需要,原来的网络系统的功能、安全性、可靠性和所需要的设备,都需要跟随公司规模扩大和目前工作业务需求去升级和完善,这对于公司的发展更加有利,因此企业网络的搭建、完善和优化是一个需要不断研究的问题。
2需求分析在如今信息高速发展的时代,企业内部需要频繁访问网络获取信息网络堵塞时常发生,网络攻击愈加频繁容易带来网络安全的问题。
人们对于无线网络应用的便捷性有了更高的关注但是却没有重视安全性,但是防护措施的失效,造成的损失将是巨大的[2],因此企业网络规划设计应该具有安全性、实用性和可靠性偏移,保证企业内部网络平稳运行。
除此之外还需要满足一下需求:(1)员工能够访问网络,部门间能够进行信息交换。
(2)内网的主机能够访问外网,但外网主机无法访问内网。
(3)增加无线节点,确保公司内各部门无线网络全覆盖。
(4)搭建FTP服务器为员工提供上传下载服务。
搭建Web服务器提供网页服务。
(5)总公司主机能够与分公司主机进行信息交换,并保证信息传输的安全性。
3企业网络设计与实现3.1网络地址设计按照企业部门进行网络地址划分。
某企业网络系统规划与设计目录一、需求分析 (3)1、背景 (3)2、设计原则 (3)二、总拓扑 (6)三、总体设计思路 (6)四、路由规划 (7)五、Ip地址及vlan规划 (7)六、关键技术分析 (8)七、设备选型 (9)1.选型原则 (9)2.设备清单及报价 (9)八、配置命令 (10)1.在接入层交换机下端口配置端口安全 (10)2.接入层与分布层之间相连的链路配置trunk (10)3.接入层与分布层交换机配置vtp (10)4.在分布层交换机创建vlan (10)5.将接入层上端口划分vlan (10)6.将交换机的链路进行捆绑 (11)7.VRRP配置 (11)8.配置ospf协议 (11)9.防火墙上的nat及下放默认路由 (12)一、需求分析1、背景某企业,考虑了将来,大约2000用户,基本均匀分布于四栋楼。
每栋楼约4层,人员均匀分布。
服务器10台集中于机房。
用户无大数据量应用。
现需要组建局域网,要求网络保证一定稳定性,网络主干中断最多为1分钟。
2、设计原则多业务网络系统方案以实现以上功能为基本要求,在设计上力求做到既要采用国际上先进的技术,又要保证系统的安全可靠性和实用性。
具体来讲,其设计遵循以下原则:可靠性:本系统是7x24小时连续运行系统,从硬件和软件两方面来保证系统的高可靠性。
硬件可靠性系统的主要部件采用冗余结构,如:传输方式的备份,提供备份组网结构;主要的计算机设备(如数据库服务器),配备不间断电源等。
软件可靠性充分考虑异常情况的处理,具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示;并具有进程监控管理功能,保证各进程的可靠运行数据库系统应。
网络结构稳定性当增加/扩充应用子系统时,不影响网络的整体结构以及整体性能,对关键的网络连接采用主备方式,已保证数据的传输的可靠性。
先进性:网络技术应为当期国际同业中先进的,并能支持未来网络技术的高性能需求,并且在业界表现出较高的网络性能;实用性:整个网络系统要按照实用、好用的原则,使网络具有较高的实用性;时效性:网络要保证各类业务数据流的及时传输,网络时效性要强,网络延时要小,确证业务交易的实时高效完成。
网络规划与设计报告范文1. 引言网络规划与设计是建立和维护一个具有高性能和可靠性的网络系统的过程。
本报告旨在介绍我们团队在设计一个大型企业网络系统时所进行的规划与设计过程。
2. 目标与需求2.1 目标我们的目标是创建一个能够支持企业日常运营的网络系统,并提供高度安全性和可靠性。
2.2 需求根据企业的业务需求和用户数量,我们整理出以下需求:- 高性能:网络系统应能够快速传输大量数据,以满足用户对高速网络的需求。
- 可靠性:网络系统应具备高可用性,故障恢复时间应尽可能短,以避免生产线的中断和数据丢失。
- 安全性:为了保护企业数据的机密性,网络系统应具备强大的安全防护功能,包括防火墙、入侵检测系统等。
- 可扩展性:网络系统应能够支持企业未来的扩展,容易添加新的用户和设备。
- 灵活性:网络系统应能够适应不断变化的业务需求,支持不同部门之间的协作和数据共享。
3. 网络拓扑设计3.1 逻辑拓扑根据企业的需求和现有基础设施,我们设计了以下逻辑拓扑结构:- 中心化结构:将所有网络设备集中在一个机房中,通过核心交换机进行数据通信。
- 多层结构:根据企业的规模和用户数量,设计了多个分支机构,每个分支机构有自己的本地交换机。
- 冗余连接:为了提高系统的可靠性,每个分支机构都有多个连接到核心交换机的路径。
3.2 物理拓扑根据逻辑拓扑,我们设计了以下物理拓扑结构:- 核心交换机:位于机房中央,连接所有分支机构和外部网络。
- 本地交换机:位于各个分支机构,连接用户设备和核心交换机。
- 路由器:将内部和外部网络进行连接,提供数据包转发和安全防护功能。
3.3 IP 地址规划针对企业的网络规模,我们设计了以下IP 地址规划方案:- 核心交换机:使用公网IP 地址,并采用VLAN 进行虚拟网络划分。
- 本地交换机:每个分支机构使用不同的私有IP 地址子网,以避免IP 地址冲突。
- 路由器:提供NAT 功能,将内部网络的私有IP 地址转换为公网IP 地址。
一个中小企业网络规划与设计的方案概述:网络规划与设计是中小企业发展中至关重要的一环。
一个稳定、高效、安全的网络环境能够提高企业的工作效率和竞争力。
本文将介绍一个中小企业网络规划与设计的方案,为企业提供系统化的网络建设解决方案。
1. 现状分析在进行网络规划与设计之前,首先需要对企业现有的网络环境进行分析。
包括网络拓扑、网络设备、网络安全和性能等方面的评估。
通过对现状的了解,可以明确问题所在,并为后续的规划和设计提供基础数据。
2. 需求确定在进行网络规划与设计之前,需要明确企业的网络需求。
根据企业的规模、业务需求和未来发展的方向确定网络的需求,包括带宽需求、设备数量和类型、安全防护等方面。
通过明确需求,可以为网络规划提供明确的目标和方向。
3. 网络设计基于现状分析和需求确定的结果,进行网络设计。
包括网络拓扑的设计、设备的选择和布局、安全措施的规划等。
在设计过程中需要考虑网络的扩展性、可靠性和性能,确保网络能够满足企业未来的发展需求。
4. 网络设备采购与配置根据网络设计的结果,进行网络设备的采购与配置。
需要选择合适的网络设备供应商,购买合适的设备并进行配置。
在选择设备和供应商时,需要考虑设备的质量、功能和价格,确保设备能够满足网络设计的需求,并具备可靠性和性能。
5. 网络部署与测试在设备采购与配置完成后,进行网络的部署与测试。
需要确保网络设备正常工作,各个设备之间能够正常通信,网络性能符合设计要求。
在部署和测试过程中,需要进行严格的测试和排查,确保网络能够稳定运行。
6. 网络安全网络安全是中小企业网络规划与设计中非常重要的一环。
需要采取合适的安全措施,保护企业的网络免受恶意攻击和数据泄露的风险。
包括网络防火墙的设置、数据加密技术的应用、网络监控和安全培训等方面。
7. 网络维护与优化网络维护与优化不仅仅是网络规划与设计结束后的工作,更是一个持续进行的过程。
需要定期对网络进行维护和优化,包括设备升级、性能监测、故障排除等。
9某企业网络设计方案某企业网络系统规划设计方案(难度系数:1.0)选手编号:……………………………………………………………………竞赛说明:一、比赛形式:以团队参赛,每组2名人员,其中一名组长,一名成员(非专业组例外)二、评分标准:1、设计方案:30分2、设计答辩:30分3、设计实现:40分最后得分=(设计方案+设计答辩+设计实现)* 难度系数三、注意事项:1、检查硬件设备、网线头、Console线、PC机、线缆、测线仪器以及自带的制线工具等的数量是否齐全。
2、赛场已在物理机计算机上安装好windows XP、VMware虚拟机软件和思科设备操作手册,检查电脑设备是否正常。
3、禁止携带和使用移动存储设备、运算器、通信工具及参考资料。
4、操作完成后,需要保存设备配置在指定的目录,不要关闭任何设备,不要拆动硬件的连接,不要对设备随意加密码,试卷留在考场。
5、不要损坏赛场准备的比赛所需要的竞赛设备、竞赛软件和竞赛材料等。
6、可以用Cisco Packet Tracer模拟器实现四、竞赛环境:硬件环境:设备类型设备型号设备数量(台)路由器Cisdo1841 1三层交换机Cisco3550 3二层交换机Cisco2950 4计算机 4软件环境:五、项目背景你是一个test 公司的网络工程师,随着公司发展壮大,公司现在已有300台计算机的,现有的网络不能满足当前的需求,现在要求你规划设计网络,具体要求参照竞赛项目要求软件名称介质形式软件数量 Cisco Packet Tracer 1份(server1) Windows server2003镜像文件 1份(server2) Vmware2份(已安装)第 4 页共 9 页六、竞赛网络拓扑图(ip 地址和数据仅供参考,可以自己设计)广域网S2960-A1管理IP :192.168.2.2/24F0/3F0/4F0/1F0/2trunktrunktrunk trunkS2960-A2F0/3F0/4S3560-AS3560-BS2960-B1S2960-B2F0/1R1841F0/1S3560-CE0:192.168.86.30/24SDH 传输网络WWW 服务器210.96.100.86/24E1:210.96.100.85/24F0/10:192.168.86.31/24F0/3F0/1PC1:192.168.10.1/24PC2:192.168.20.1/24PC3:192.168.30.1/2 4PC4:192.168.40.1/24Vlan 10:192.168.10.254/24Vlan 20:192.168.20.254/24TFTP 服务器日志服务器192.168.100.1/24Vlan 30:192.168.30.254/24Vlan 40:192.168.40.254/24Vlan 30:192.168.30.0/24Vlan 40:192.168.40.0/24Vlan 30:192.168.30.0/24Vlan 40:192.168.40.0/24Vlan 2:192.168.2.0/24Vlan 10:192.168.10.0/24Vlan 20:192.168.20.0/24Vlan 10:192.168.10.0/24Vlan 20:192.168.20.0/24F0/3:192.168.85.30/24F0/2:192.168.84.31/24trunktrunkF0/2F0/2F0/3F03Vlan 100:192.168.100.254/24F0/1F02F0/1OSPF area0F0/6192.168.84.30/24192.168.85.31/24F0/3F0/5PC0(管理主机):192.168.2.1/24F0/10七、竞赛要求:本次竞赛主要实现如下功能:(1)网络设备安全管理:登录密码安全、配置用户特权级别、设备运行日志。
企业局域网规划与设计在当今数字化的商业环境中,企业局域网(Local Area Network,简称 LAN)已成为企业运营的关键基础设施之一。
一个规划合理、设计精良的企业局域网能够极大地提高工作效率、保障数据安全、促进信息共享,并为企业的发展提供有力的技术支持。
本文将详细探讨企业局域网的规划与设计,旨在为企业构建高效、可靠的网络环境提供指导。
一、需求分析在规划企业局域网之前,首先需要进行全面的需求分析。
这包括了解企业的规模、业务流程、员工数量和工作模式等。
例如,对于一个拥有多个分支机构的大型企业,需要考虑如何实现跨地域的网络连接和数据同步;而对于一个以研发为主的科技型企业,可能对网络带宽和稳定性有更高的要求。
同时,还需要明确企业的应用需求,如办公自动化系统、邮件服务、文件共享、视频会议等。
不同的应用对网络性能的要求各异,因此在需求分析阶段要准确评估各项应用的流量特征和优先级。
二、网络拓扑结构选择常见的企业局域网拓扑结构包括星型、总线型、环型和混合型等。
星型拓扑结构是目前应用最广泛的一种,其特点是易于扩展、故障诊断和隔离相对容易。
在核心层采用高性能的交换机,将各个部门或区域的接入层交换机连接起来,形成一个以核心交换机为中心的星型网络。
对于一些对可靠性要求极高的企业,如金融机构或数据中心,可能会采用环型拓扑结构,通过冗余链路来确保网络的不间断运行。
而混合型拓扑结构则结合了多种拓扑结构的优点,适用于复杂的企业网络环境。
三、设备选型(一)交换机交换机是局域网中的核心设备之一,其性能直接影响网络的传输速度和稳定性。
在选择交换机时,需要考虑端口数量、端口速率、背板带宽、包转发率等参数。
对于核心交换机,应具备高可靠性、强大的处理能力和丰富的功能;接入层交换机则可以根据实际需求选择性价比高的产品。
(二)路由器路由器主要负责网络之间的连接和路由选择。
企业级路由器需要支持多种路由协议,如 OSPF、BGP 等,并具备良好的安全性和 QoS 功能。
企业局域网的规划与设计企业局域网的规划与设计1. 引言1.1 目的本文档旨在为企业设计和规划一个高效、安全、可靠的局域网(LAN)网络,以满足企业内部用户之间的通信需求,并提供文档附件和法律名词的参考。
1.2 范围本文档涵盖了以下内容:- 网络拓扑设计- IP地址规划- 网络设备选型- 网络安全策略- 网络管理和维护计划2. 网络拓扑设计2.1 局域网划分根据企业内部的组织结构和需求,将局域网划分为不同的子网。
每个子网可根据部门或区域进行划分,以便更好地管理和控制网络流量。
2.2 网络布线根据企业的物理布局和需求,确定网络布线方案,包括网络线缆类型、长度和连接方式。
同时需考虑网络设备的布置和线缆的可靠性。
2.3 网络拓扑图为了更好地理解和传达网络设计,制作详细的网络拓扑图,标明各个子网、设备位置和连接方式,并注明网络设备详细信息。
3. IP地址规划3.1 IPv4地址分配根据企业的需要,使用合适的IPv4地址分配方案,确保每个子网都有足够的IP地址可供使用,并避免地址冲突问题。
3.2 子网掩码为每个子网选择适当的子网掩码,以确保在局域网内进行更有效和准确的IP地址分配。
4. 网络设备选型4.1 路由器选择适合企业需求的路由器设备,考虑其性能、可靠性和安全性。
根据网络拓扑设计和流量需求,确定所需的路由器数量和规格。
4.2 交换机选择适当的交换机设备,考虑其端口数量、传输速度和可管理性。
根据网络拓扑设计和使用需求,确定所需的交换机数量和规格。
4.3 防火墙根据企业的安全策略,选择合适的防火墙设备,保护局域网免受潜在的外部网络攻击和威胁。
5. 网络安全策略5.1 访问控制实施访问控制策略,限制对局域网的访问,确保只有授权的用户可以访问企业内部网络资源。
5.2 防病毒保护部署有效的防病毒软件和策略,防止病毒和恶意软件对局域网造成潜在威胁和损坏。
5.3 数据备份和恢复制定数据备份和恢复策略,确保关键数据的安全性和可恢复性,以防止数据丢失和应急情况的发生。
公司网络方案规划与设计摘要:随着网络的逐步普及,企业网络的建设是企业向信息化发展的必然选择,企业网网络系统是一个非常庞大而复杂的系统,它不仅为现代化发展、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能提供多种应用服务,使信息能及时、准确地传送给各个系统。
而企业网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的,因此本毕业设计课题将主要以企业局域网络建设过程可能用到的各种技术及实施方案为设计方向,为企业网的建设提供理论依据和实践指导。
关键字:局域网、Internet、计算机网络、网络协议、服务器、防火墙Abstract:Along with the network gradually universal, developments of the business enterprise network are the inevitable choice that business enterprises turn to information the developments, the business enterprise net network system is a very huge but complicated system, it not only develop, synthesize the information management for the modernization with transact automation etc. a series application provide the basic operation terrace, but also can provide various application the service, making information can on time, deliver accurately to the each system.But the business enterprise net engineering developments inside applied the important branch bureau area net technique of the network technique inside primarily to developments and management of, for this reason a graduate design lesson an every kind of technique for will mainly with business enterprise bureau area network developments process may using and puts project into practice as to design the direction, provide the theories for developments of the business enterprise net Keyword: local area network, Internet, computer networking, network protocols, servers, firewalls目录一绪论 (3)二需求分析 (3)三网络设计原则与目标 (5)3.1网络设计原则 (5)3.2 网络设计目标 (6)四网络技术选择 (7)五网络逻辑结构设计 (7)5.1网络拓扑结构设计 (7)5.2 Ip地址方案 (11)5.3 VLAN (14)5.4互联网接入方案 (15)5.5安全方案 (17)六网络物理结构设计 (18)6.1、设计原则 (18)6.2、总体设计思路 (18)6.3、传输布线方案设计 (19)6.4、线路铺设 (24)7 安装建设和维护 (25)7.1、主干交换机 (25)7.2、二级节点主交换机 (29)结束语 (32)致谢 (32)参考文献 (32)一绪论当今世界,各种先进的科学技术飞速发展,给人们的生活带来了深远的影响,它极大的改善我们的生活方式。
企业网络规划与设计方案引言企业网络规划与设计是在企业中建立和维护一个高效可靠的网络基础设施的关键步骤。
一个良好设计的企业网络可以提供快速、可靠、安全的数据传输,促进企业业务的高效运作和发展。
本文档旨在提供一个全面的企业网络规划与设计方案,包括网络架构、硬件设备、网络拓扑、安全策略和故障恢复等。
网络架构一个企业网络的架构应该能够适应企业规模的扩展和未来的发展需求。
以下是一个常见的企业网络架构示例:1.核心层:核心层是整个网络的中心枢纽,负责处理大流量的数据传输和核心业务功能。
在核心层,常使用高性能的设备,如三层交换机和防火墙。
核心层应该具备高度的可用性和冗余备份,以保证网络的稳定运行。
2.分布层:分布层是连接核心层和接入层的桥梁,负责数据分发和流量控制。
在分布层,可以采用层三交换机来提供对外连接和路由功能。
3.接入层:接入层是网络中最靠近用户的一层,包括局域网接入和无线接入。
在接入层,常使用交换机来连接用户终端设备。
4.无线网络:随着移动设备的普及,无线网络已成为企业网络中重要的一部分。
企业应该建立覆盖良好、稳定可靠的无线网络。
硬件设备选择合适的硬件设备是企业网络设计的关键因素之一。
以下是几种常用的硬件设备:1.交换机:用于连接不同网络之间的数据传输,可以按照企业规模和需求选择不同规格和型号的交换机。
2.路由器:用于连接不同子网之间的数据传输和路由功能。
3.防火墙:用于保护企业网络不受来自外部的未经授权的访问和攻击。
4.服务器:用于存储和处理企业的核心数据和应用程序。
5.无线接入点:用于提供企业内部和外部的无线网络连接。
网络拓扑网络拓扑是网络架构的物理布局形式,可以决定整个企业网络的性能和可靠性。
以下是几种常见的网络拓扑形式:1.星型拓扑:所有设备都直接连接到一个中心设备,如交换机或路由器。
2.环形拓扑:设备通过一个环形链路连接在一起,数据可以沿着环形链路传递。
3.总线拓扑:设备通过一根中央的传输线连接在一起,数据通过该传输线进行传递。
某企业网络系统规划与设计目录一、需求分析............................... 错误!未定义书签。
1、背景 ................................. 错误!未定义书签。
2、设计原则 ............................. 错误!未定义书签。
二、总拓扑................................. 错误!未定义书签。
三、总体设计思路........................... 错误!未定义书签。
四、路由规划............................... 错误!未定义书签。
五、Ip地址及vlan规划...................... 错误!未定义书签。
六、关键技术分析........................... 错误!未定义书签。
七、设备选型............................... 错误!未定义书签。
1. 选型原则............................... 错误!未定义书签。
2. 设备清单及报价......................... 错误!未定义书签。
八、配置命令............................... 错误!未定义书签。
1. 在接入层交换机下端口配置端口安全....... 错误!未定义书签。
2. 接入层与分布层之间相连的链路配置trunk .. 错误!未定义书签。
3. 接入层与分布层交换机配置vtp ............ 错误!未定义书签。
4. 在分布层交换机创建vlan ................. 错误!未定义书签。
5. 将接入层上端口划分vlan ................. 错误!未定义书签。
6. 将交换机的链路进行捆绑................. 错误!未定义书签。
7. VRRP配置 .............................. 错误!未定义书签。
8. 配置ospf协议.......................... 错误!未定义书签。
9. 防火墙上的nat及下放默认路由........... 错误!未定义书签。
一、需求分析1、背景某企业,考虑了将来,大约2000用户,基本均匀分布于四栋楼。
每栋楼约4层,人员均匀分布。
服务器10台集中于机房。
用户无大数据量应用。
现需要组建局域网,要求网络保证一定稳定性,网络主干中断最多为1分钟。
2、设计原则多业务网络系统方案以实现以上功能为基本要求,在设计上力求做到既要采用国际上先进的技术,又要保证系统的安全可靠性和实用性。
具体来讲,其设计遵循以下原则:可靠性:本系统是7x24小时连续运行系统,从硬件和软件两方面来保证系统的高可靠性。
硬件可靠性系统的主要部件采用冗余结构,如:传输方式的备份,提供备份组网结构;主要的计算机设备(如数据库服务器),配备不间断电源等。
软件可靠性充分考虑异常情况的处理,具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示;并具有进程监控管理功能,保证各进程的可靠运行数据库系统应。
网络结构稳定性当增加/扩充应用子系统时,不影响网络的整体结构以及整体性能,对关键的网络连接采用主备方式,已保证数据的传输的可靠性。
先进性:网络技术应为当期国际同业中先进的,并能支持未来网络技术的高性能需求,并且在业界表现出较高的网络性能;实用性:整个网络系统要按照实用、好用的原则,使网络具有较高的实用性;时效性:网络要保证各类业务数据流的及时传输,网络时效性要强,网络延时要小,确证业务交易的实时高效完成。
完整性:网络系统应实现端到端的,能整合数据、语音和图象的多业务应用,需要在全网范围统一的实施安全策略、QoS策略、流量管理策略和系统管理策略的完整的一体化网络;可实施性:整个网络解决方案的实施要便于实际的实施,并在实施过程中要保证现有网络和切换的完整性和一致性,确保实施工作的正常、顺利。
可扩展性:随着技术不断发展,新的标准和功能不断增加,网络设备必须可以通过网络进行升级,以提供更先进、更多的功能。
在网络建成后,随着应用和用户的增加,核心骨干网络设备的交换能力和容量必须能作出线性的增长。
设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择,以方便未来更灵活的扩展。
兼容性:跟踪世界科技发展动态,网络规划与现有光纤传输网及将要改造的分配网有良好的兼容,在采用先进技术的前提下,最大可能地保护已有投资,并能在已有的网络上扩展多种业务。
安全性:网络的安全性对网络设计是非常重要的,合理的网络安全控制,可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问,灵活的实施网络的安全控制策略。
在企业园区网络中,关键应用服务器、核心网络设备,只有系统管理人员才有操作、控制的权力。
应用客户端只有访问共享资源的权限,网络应该能够阻止任何的非法操作。
在园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。
在大规模园区网络的设计上,划分虚拟子网,一方面可以有效的隔离子网内的大量广播,另一方面隔离网络子网间的通讯,控制了资源的访问权限,提高了网络的安全性。
在设计园区网的原则上必须强调网络安全控制能力,使网络可以任意连接,又可以从第二层、第三层控制网络的访问。
可管理性:网络中的任何设备均可以通过网络管理平台进行控制,网络的设备状态,故障报警等都可以通过网管平台进行监控,通过网络管理平台简化管理工作,提高网络管理的效率。
二、总拓扑三、总体设计思路整个网络通过企业总部上Internet,在企业总部设置有防火墙,用于防护企业内部网络的安全,且在防火墙上进行NAT转换,使得整个企业的网络能上Internet。
网络总体使用三层结构,分别是核心层、分布层和接入层。
核心层设有两台核心交换机,核心交换机使用上行链路与路由器连接,保证冗余性。
核心交换机间可以使用链路捆绑链路进行连接,保证核心交换机间的链路冗余性及提高链路的可靠性。
企业内部服务器核心交换机相连,保证数据的高速转发,且使用双链路分别与两台核心交换机相连,保证冗余性,减少因链路故障带来的影响,提高网络的可靠性。
除服务器外,各部门的信息点都连接到接入层交换机,在接入层上端口划分vlan,同一部门的计算机都在同一vlan,并采用VTP Prune 技术,避免trunk链路的不必要流量。
在分布层交换机上创建vlan,自动发布到接入层交换机。
接入设备的网关设在核心交换机,并且使用vrrp在两台核心交换机间实现冗余。
四、路由规划为了使各栋楼实现高效的互联,并且便于网络管理与维护,整个网络采用OSPF协议,将总部A栋的三层交换机、防火墙、路由器划分为Area0,其他各个分部B、C、D栋分别划分为Area1,Area2,Area3,以此类推。
总部与分部相连的链路划为Area0。
在区域便界进行网络汇总,保证网络正常的同时,尽量减少路由条目,提高路由器的转发效率。
五、Ip地址及vlan规划防火墙连接ISP的ip地址为/30六、关键技术分析1.在接入层交换机上做端口安全,接入层与分布层交换机之间使用stp保护。
2.交换机的连接全部使用trunk链路,并且允许所有vlan通过。
3.在每栋楼的分布层交换机上都创建要用到的vlan。
4.总部核心层交换机间使用链路捆绑技术5.总部的核心交换机使用vrrp进行网关冗余,并且调整vrrp使得一部分主网关在Multilayer Switch8,一部分主网关在Multilayer Switch9,结合MSTP实现负载分担6.在防火墙ASA1上做NAT转换,写一条出口指向Internet的缺省路由,并且通过OSPF下放缺省路由,使得整个网络能访问ISP。
7.在各个楼栋的路由器及总部的路由器上做区域间汇总8.在总部与分部的路由器上启用CHAP认证。
七、设备选型1.选型原则在设备选型时,主要考虑如下原则:稳定性只有运行稳定的网络才能投入到实际项目的使用中去,而网络的稳定性取决于很多因素,如网络的设计,产品的可靠等。
高处理性能为了支持数据、语音、视频等多媒体的传输能力,应选取转发速率高、cpu性能较好、数据包处理速度快的产品。
扩展性网络设计中要有扩展性和可升级性,随着企业业务的增长,网络中的数据流量会持续增加,所以网络中的可扩展性尤为重要。
安全性网络系统中的安全性主要体现在网络设计的安全性、产品本身的安全性以及人为因素等。
可控性随着网络规模的增大,网络的可控性会降低。
一个网络既要保证数据的正确传输,也要保证数据朝着最优的方向传输。
2.设备清单及报价八、配置命令1.在接入层交换机下端口配置端口安全S2950-24(config)#int f0/1S2950-24(config-if)#shutdownS2950-24(config-if)#switchport mode accessS2950-24(config-if)#switchport port-securityS2950-24(config-if)#switchport port-security maximum 1S2950-24(config-if)#switchport port-security violation shutdown2.接入层与分布层之间相连的链路配置trunkS2950-24(config)#int f0/1S2950-24(config-if)#switchport mode trunk//其他接口类似,就不一一列举3.接入层与分布层交换机配置vtpS2950T-24(config)#vtp mode serverS2950T-24 (config)#vtp domain SZPTS2950T-24 (config)#vtp password cisco//在vtp server模式下启用vtp pruning,其他交换机类似,就不一一列举,需要隐私的部门可以设置模式为transparent4.在分布层交换机创建vlanS2950T-24 (config)#vlan 10S2950T-24 (config-vlan)# description office//创建vlan并加以描述信息,方便管理,其他vlan类似,就不一一列举5.将接入层上端口划分vlanS2950-24(config)#int f0/1S2950-24(config-if)#switchport mode access S2950-24(config-if)#switchport access vlan 10//其他接口类似于此操作6.将交换机的链路进行捆绑3560-24PS(config)#interface port-channel 13560-24PS(config)#interface range f0/11-123560-24PS(config-if-range)#channel-group 1 mode on3560-24PS(config-if-range)#switchport mode trunk3560-24PS(config-if-range)#exit3560-24PS(config)#port-channel load-balance dst-ip//进行端口聚合,另一台核心交换机也做同样的操作7.VRRP配置3560-24PS(config)#track 100 int f0/13 line-protocol3560-24PS(config)#int f0/113560-24PS(config-if)#vrrp 1 ip3560-24PS(config-if)#vrrp 1 priority 1203560-24PS(config-if)#vrrp 1 preempt3560-24PS(config-if)#vrrp 1 authentication MD5 key-string cisco3560-24PS(config-if)#vrrp 1 track 100 decrement 303560-24PS(config-if)#vrrp 2 ip3560-24PS(config-if)#vrrp 2 preempt3560-24PS(config-if)#vrrp 2 authentication md5 key-string cisco在另外一台核心交换机上3560-24PS(config)#track 100 int f0/14 line-protocol3560-24PS(config)#int f0/123560-24PS(config-if)#vrrp 1 ip3560-24PS(config-if)#vrrp 1 preempt3560-24PS(config-if)#vrrp 1 authentication MD5 key-string cisco3560-24PS(config-if)#vrrp 2 ip3560-24PS(config-if)#vrrp 2 priority 1203560-24PS(config-if)#vrrp 2 preempt3560-24PS(config-if)#vrrp 2 authentication MD5 key-stringcisco3560-24PS(config-if)#vrrp 2 track 100 decrement 30//使用vrrp使得各部门的主网关在两个核心间进行冗余及负载分担,配置就不一一列举8.配置ospf协议3560-24PS(config)#ip routing3560-24PS(config)#router ospf 1103560-24PS (config-router)#router-id3560-24PS (config-router)#network ar 03560-24PS (config-router)#abr-summary//ospf的配置,配置router-id,按规划的区域宣告网络,在区域边界进行汇总,其他网络就不一一宣告,操作类似9.防火墙上的nat及下放默认路由[5505-ASA1]acl 2000[5505-ASA1-acl-basic-2000]rule permit source[5505-ASA1-Serial0/0]nat outbound 2000[5505-ASA1] ip route-static s0/0[5505-ASA1-ospf-1]default-route-advertise//配置acl,控制能上外网的网段,在接口配置nat转换,写一条静态路由,通过ospf下放默认路由。
