《杭州服饰有限公司网络方案设计说明书》由会员分享,可在线阅读,更多相关《杭州服饰有限公司网络方案设计说明书(24页珍藏版)》请在金锄头文库上搜索。
1、毕业设计说明书课题名称: 杭州服饰有限公司网络方案设计 杭州服饰有限公司网络方案设计 摘 要针对本方案的设计采用了新型的模块试网络模型设计方式,来为企业提供高效,快速,稳定的网络服务。该方案的设计主要通过以下几个部分:1. 网络结构,内网分为三层,我们结合企业的实际状态,把汇聚层和核心层紧凑在了一块,核心层和汇聚层的工作都由同一台设备来来完成。外网的接入我们采用了双线冗余链路形式。 2.网络安全。我们在核心交换机与路由器之间我们配备了一台防火墙,实现对外网的控制,防止意外攻击。在核心交换机与防火墙之间我们布设了一台流控服务器,提供上网行为管理和流量控制。为客服端提供了AAA认证,让客服端安全接
2、入。3.服务器群。在服务器群里我们布设了常用的服务器,以提供内外资源的互访。4.实施技术。该方案中使用了STP,802.1X,流控技术,服务器集群技术等等。本设计方案可以实现企业的内外网互联互通,安全稳定的信息化管理控制。关键词:信息技术;网络结构;网络安全;目 录摘 要I第1章 绪论21.1 引言21.2 项目背景2第2章 需求分析32.1 网络现状调研32.2 用户需求3第3章 网络系统设计43.1 设计原则43.2 网络结构设计43.3 网络结构拓扑图53.4 网络设备选型53.5 服务器选型73.6 网络安全管理83.7 IP地址与VLAN的划分11第4章 设备汇总与工程投资预算124
3、.1 整个工程所需材料与设备124.2 工程经费预算12第5章 结论13参 考 文 献14致 谢15第1章 绪论1.1 引言随着当今信息技术的快速发展,杭州诺菲服饰有限公司旧的网络设计模型有诸多缺点,比如说,网络不够稳定,冗余性能不够健全,网络结构不可扩展,网络设备开始处于老化状态,整个网络收敛速度缓慢,网络安全性较差等等,随着企业的发展日新月异,公司的业务不断的增加,企业现有的IT基础设施受到严重挑战,已不能满足公司的现在需求了。而建立一个方便快捷安全的通信网络综合信息支撑系统,已迫在眉睫。1.2 项目背景杭州诺菲服饰有限公司成立于1998年,由丽森国际投资有限公司授权,几年来公司生产、经营
4、规模逐步扩大,其下品牌“伊卡。诺菲”系列女装在风格上一直以“时尚”“优雅”“舒适”“创新”为设计理念。注重产品开发的独创性,“伊卡。诺菲”品牌适合年龄层为3045岁职业女性。“伊卡?诺菲”系列女装产品以手工针织为主的独特设计。产品在制作、选料等工艺上精工细琢,视产品为完美的工艺品。诺菲服饰有限公司的知名度也不断提高,产品的市场占有率、覆盖面也稳步扩大,现已经成长为一家集设计、生产和销售于一体的专业化服装公司。为了适应业务的发展和国际化的需要,积极参与国家信息化进程,提高管理水平,展现全新的形象,实现信息的共享、协作和通讯,并在此基础上开发建设现代化的企业应用系统,实现智能型、信息化、快节奏、高
5、效率的管理模式。杭州诺菲服饰有限公司决定重建整个企业网,以适应时代的需求。第2章 需求分析 2.1 网络现状调研 图2-1 现状说明: 目前杭州诺菲服饰有限公司网络,主要包含2层交换机,出口防火墙,及服务器; 所有的PC机器和服务器都存在同网段;一旦PC机器中毒将会影响到服务器的业务正常使用; 服务器的目前部署相对简单,主要以应用服务器及数据库服务器为主,未对服务器进行备份; 安全部分,现有服务器资源只是通过静态端口映射,在安全性角度而言,安全性得不到很好的控制;2.2 用户需求 通过对杭州诺菲服饰有限公司网络现状的深入调研和对业务需求的分析,公司内网网络有200台终端,为了保护企业网的接入安
6、全,需要采用802.1X验证技术,为了提高员工工作效率,总部需要部署流控产品。公司需要安装常见的服务器方便业务的开展,为了节约流量需要部署WSUS统一打补丁。为了安全公司需要部署邮件服务器。第3章 网络系统设计3.1 设计原则 根据本网络系统的特点和用户要求,我们的设计原则是: 可靠性系统具备网络诊断、测试和在线故障恢复能力,关键设备、线路能做到实时备份和自动故障切换。 标准化网络技术发展迅速,不能盲目求新,必须以符合国际标准为准则,选择技术已经成熟、标准化的产品,这是保护投资、易于维护的基础。 扩展能力充分考虑到目前的业务需求和今后长时间内业务发展的需要,系统可方便地实现升级。当将来采用新技
7、术时原有设备能继续使用,只需增加有限的模块和设备,保护原来的投资。 开放性网络体系结构与系统应用各自独立,与服务器、工作站的操作模式无关,支持各种通讯协议,各种数据库和客户机/服务器以及Internet的应用,并能方便地和其它机构、企业的主机和网络互连通讯。 灵活性拓扑结构必须灵活,便于进行网络的管理和调整。 严密的安全控制和保密性能系统提供必要的安全保护手段,防止由于操作人员的失误以及系统的意外故障而造成数据丢失或破坏;同时能防止系统外部的侵入和操作人员的非法操作,系统的信息安全性要求达到C2级标准。 经济性一次性投资,长年受益,维护费用低,使整体性价比达到最优。 先进性支持任务优先级的划分
8、,具有适当的多媒体应用支持。3.2 网络结构设计 杭州诺菲服饰有限公司内网我们采用了当今通用的设计模型三层模型,即:核心层,汇集成,接入层。我们结合企业的实际状态,把汇聚层和核心层紧凑在了一块。核心层和汇聚层都由同一台设备来提供。接入层设备可以直接与核心交换机相连。 随着公司业务的增长,对外网的可连接性,稳定性要求更高了,所以我们使用了双线接入的方式,来维持内网与外网的不间断通信。一条线路走电信,另一条线路走网通。此处我们提供一台路由器与之相连接。考虑到内网与外网接入后存在网络安全风险,在核心交换机与路由器之间我们接入了一台防火墙,以提供对网络的安全进行检查,现对外网的控制,防止意外攻击。为提
9、高带宽的合理利用,同时也能对公司员工上网行为进行相应控制,我们在防火墙与核心交换机之间接入了一台流控服务器,来满足公司的需求。为内部网络的安全性,防止外来人员的非法接入,我们提供了接入层的AAA认证。要求外来人员要通过认证并得到管理员的允许后才能访问内网。我们在服务器的设计采用了服务器集群的技术,将服务器使用独立的网段,对内部人员设置服务器的访问权限。以提高服务器的安全性。3.3 网络结构拓扑图 图3-13.4 网络设备选型 路由器选型:模块化Cisco 2800系列集成多业务路由器建立在思科20年的领先地位及创新技术的基础之上,智能地将数据、安全性和话音服务内嵌于单一永续系统,能快速、可扩展
10、地提供关键任务业务应用。Cisco 2800系列的独特集成系统架构提供了最高业务灵活性和投资保护,它进行了专门的优化,可安全、线速地同时提供数据、话音和视频服务,重新定义了最佳大型企业和中小型企业路由。这里我们选择了cisco 2811 。 cisco 2811能以线速为多条T1/E1/xDSL连接提供多种高质量并发服务。它提供了内嵌加密加速和主板话音数字信号处理器(DSP)插槽;入侵保护和防火墙功能;集成化呼叫处理和语音留言;用于多种连接需求的高密度接口;以及充足的性能和插槽密度,以用于未来网络扩展和高级应用。凭借Cisco IOS软件高级安全特性集,Cisco 2811在一个解决方案集中提
11、供了一系列强大的通用安全特性,如Cisco IOS Software Firewall、入侵保护、IPSec VPN、Secure Shell (SSH)协议2.0和简单网络管理协议(SNMPv3)。此外,通过将安全功能直接集成入路由器,思科可提供其他安全设备不能提供的独特智能安全解决方案,如用于病毒防御的网络准入控制(NAC);当结合话音、视频和VPN时可增强服务质量(QoS)的话音和视频型VPN(V3PN);以及可实现更优可扩展性和可管理性的VPN网络的动态多点VPN(DMVPN)和Easy VPN。此外,思科提供了一系列安全加速硬件,如用于加密的入侵保护网络模块和高级集成模块(AIM)。
12、交换机选型: 接入层目的是允许终端用户连接到网络,因此接入层交换机具有低成本和高端口密度特性。接入交换机是最常见的交换机,它直接与外网联系,使用最广泛,尤其是在一般办公室、小型机房和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心等部门。在传输速度上,现代接入交换机大都提供多个具有10M/100M/1000M自适应能力的端口。 SMB交换机S1600系列安全智能交换机 是杭州华三通信技术有限公司自主开发的二层以太网交换机,分别提供了2448个百兆以太网端口、2个千兆SFP端口(与后2个千兆以太网端口复用)以及一个Console端口,支持Vlan划分、端口镜像、端口限速、DHCP-Sno
13、oping、IP+MAC+端口+VLAN四元素绑定、防ARP欺骗、ACL、VLAN-ACL、STPRSTP、Voice VLAN、静态LACP等功能,可以通过Telnet、命令行、Web界面、SNMP等多种方式进行管理。防火墙选型:对于一般的中小型企业开说防火墙选型要注意到下面的几个要点: 网络吞吐量。在企业中部署了企业级别的防火墙之后,企业进出互联网的所有通信流量都要通过防火墙,故对于防火墙的吞吐量就有比较高的要求。以前有些企业是通过ADSL拨号上网的,这时由于带宽的限制,可能防火墙还可以应付。可是现在大部分企业可能已经都采用了光纤接入,带宽本来就很大。此时就给防火墙带来了一定的压力。 协议
14、的优先级。对企业的通信流量进行管理。通过防火墙把一些关键应用的流量设置为比较高的优先级。在网络传输中,要首先保障这些通信流量能够优先通过。这就可以明显改善语音通话等视频应用的效果。 具有一定的扩展性。一是为了后续扩展的需要,最好能够购买那些模块化设计的防火墙。如此的话,后续增添其他功能的话,只需要购买模块即可。二是考虑网络接口的问题。通常情况下防火墙最基本的配置有两个网络接口:内部的和外部的网络接口。这些接口对应着访问网络的信任程度。其中外部网络接口连接的是不可信赖的网络,而内部网络接口连接的是得到信任的网络。在内部网部署时,连接到外部的接口可能需要和公司的主要部分连接,这时可能比外部网络的信
15、任度高,但又稍微低于内部网络的信任度。但是随着公司因特网商业需求的复杂化,只有两个接口的防火墙明显具有局限性,可能无法满足企业业务方面的需求。如企业可能出于安全的需要,以后很有可能要用到第三个接口DMZ接口。为此为了以后信息化应用升级的考虑,在防火墙选购时,还需要关注是否有足够丰富的接口;或者考虑以后是否可以通过模块的形式来增加可用的接口。思科ASA5500系列自适应安全设备是思科推出的下一代防火墙安全解决方案,它是提供了新一代的安全性和VPN服务的模块化平台。企业可以根据特定需求定购不同版本,做到逐步购买、按需部署,灵活方便地实现安全功能的扩展。为了确保网络安全,以往企业通常购入一系列专用型安全设备,造成投入成本大、部署繁复、管理复杂的局面。而融合多种安全功能于一身的思科ASA5500,具备保护企业投资、降低总体安全运行成本、方便部署、易于管理的巨大优势。我选择了CISCO ASA5520-BUN-K9它是一款VPN防火墙,并发连接数
