《大型企业网络设计方案书》由会员分享,可在线阅读,更多相关《大型企业网络设计方案书(15页珍藏版)》请在金锄头文库上搜索。
1、大型企业网络设计方案书前言3设计思想3需求分析4现有网络分析4当前需求4流量分析4项目目标及设计原则4设计目标:4网络设计6网络拓扑图6IP地址设计7设计原则:7设计方案:7安全体系设计7物理安全7网络传输安全8访问控制8入侵检测8漏洞扫描9病毒防护9数据备份9安全审计10管理体系设计10对用户身份确认10计费方式的多样化10可扩展性体系设计10设备定型11选型的原则11核心交换机定型11会聚层交换机定型12接入层交换机定型13服务器设备定型14网络线路定型15前言随着时代的发展,全球正在进入一个崭新的知识经济时代,无穷无尽的知识和信息通过网络传输,以空前未有的深度和广度,影响和改变着每一个企
2、业。能否及时获取 信息、反馈信息及发布信息,将直接影响到一个企业能否健康地发展,同时这一形式也对企业内部各部门之间、领导与职工之间的协调与配合提出了新的更高的要 求,传统的工作方式已不能适应当前市场的要求,建立现代管理机制适应市场经济的发展,是摆在现代企业面前的一个课题。未来市场经济的竞争必将是人才、科技 和信息的竞争。对信息资源的占有和充分应用,以及利用现代科技手段建立迅速反馈的机制,高效率、高质量的上传下达指示、命令,是现代企业的必备条件。综合 布线系统小区建设快速、高效、现代化的信息系统正是在此背景下提出的。从各方面分析,采用计算机网络和数据库对信息系统和日常工作进行管理有着充 分的可行
3、性。首先,由于综合布线系统小区内部的计算机普及,对计算机管理信息系统的实际应用打下了良好的基础;其次,目前计算机软硬件技术和网络技术的长 足发展对开发和使用管理信息系统提供了充分的技术保障。设计思想工程采用比较先进的自顶向下的开发思想,自顶向下开发思想是一种非常适合大中型网络设计的开发思想。自顶向下开发方式有完整的开发规范,条理清晰,可读性好,有严密的推导过程。具体说:设计过程中采用技术,选用设备的原因都是有据可查,有据可依,完整的体现在文档当中的。网络设计首先从需求的收集开始,然后是需求分析,流量分析;根据需求写出网络逻辑层设计包括:拓扑图,IP编址体系设计,网络协议体系设计,安全体系设计,
4、网络管理体系设计,可扩展性设计;根据上面的逻辑设计综合折中考虑,对设备进行选型。采用这种方式可很好的保证考虑的全面性和选型的精确性。需求分析现有网络分析前期网络采用单核心的两层网络结构,网络简单,设备性能不高存在问题:1.网络结构落后于应用需求。2.核心层交换机处理能力不足。3.接入层交换机安全性能不高。4.用户增加网络规模太小。5.网络可管理性差。6.可利用设施:部分交换机,电脑终端,服务器设备等。当前需求1 提供更多的入网借口。2 提供全面的安全保护措施。3 进行合理的内部网络划分,和VLAN划分。4 设计合理的访问控制。5 合理带宽的Internet接入。6 提供方便的远程接入。7 有很
5、好的可扩展性。流量分析主要应用:1.一般用户的接入网络流量。2.对外服务器的对外流量。3.内部用户访问内部服务器的流量。4.各部门之间的流量。项目目标及设计原则设计目标:1、建立覆盖公司的各数据信息点的高速以太网;2、实现公司管理的网络化和现代化,提高公司职工的工作效率;3、实现居民生活的信息化,满足居民对信息的需求及相关服务;4、开展电视会议、远程办公等多种延伸性应用;5、接入互联网,可以在Internet上开拓眼界和接触更多的信息,真正做到天涯若比邻,使企业与国际、国内的最新动态保持同步,从而随时发现新的科研动态、业务信息、最新技术、最新资料以及潜在的其它信息;6、建立WEB网站,加强公司
6、的对外宣传,在国际、国内树立良好的形象。因此,我们可以认为,网络化系统公司的以太网建设对社区的长远发展,以及对整个管理方式和工作方式的改变影响都有着深远的意义和影响。设计原则:先进性计算机网络技术发展很快,不断有新技术、新产品涌现,我们要采用先进的、成熟的计算机技术和网络通讯技术来满足业务的需求,保障系统有较长的生命周期,但同时要坚持采用标准化产品。可靠性系统能长时间稳定可靠地运行,并保证系统安全,防止非法用户的非法访问。系统不能出现故障,或者说即使有设备出现故障,对网络和网上的数据不构成大的威胁,要有设备对数据作备份。灵活性需求会变化,计算机网络技术也在进步,需求和解决方案之间是一个动态的匹
7、配过程,因此,一方面要构筑一个稳固(Strong)的技术平台,另一方面也要有在 这平台上作调整、升级和扩充的灵活性。系统应具有良好的可扩展性,易于升级,支持新业务发展需求,使原有投资得到保护,因此在目前选择方案和产品时要留出余地,选用的产品要有好的升级扩充能力。网络开放性网络开放性的好坏,实际是指构造网络所选用的网络硬件、软件产品的开放性如何,网络产品是否可与其他厂商产品联网。包括是否具有支持多种网络协议的能力,是否支持通用的国际标准,或普遍使用的工业标准等等。开放性好的网络不但可以在一个网络系统上使用其他厂家的网络产品而实现“无缝联接”,而且为进一步的网络应用环境的集成、实现网络的可互操作性
8、提供了技术基础条件。网络的开放性好,也为 网络的扩充、发展以及新的应用领域开阔了天地。否则,不仅网络的应用和发展受到限制,而且会导致投资浪费。网络可互操作性网络系统的可互操作性是指在一个网络上的不同厂商的系统之间是否可以透明地以统一界面相互访问对方的系统、文件数据以及应用系统,以达到共享资源的目的。显然,对于网络 可互操作性的要求是必需的,因为没有一个较具规模的网络不是异物化的。特别是各党政内部网络(Intranet)、中国电信网络(ChinaNet)与世 界范围的超级网络(Internet等)联接,不具备可互操作性是不能发挥网络作用的。另一方面,可互操作性还体现在对网络管理的可互操作性上。包
9、括网络运行监测、网络应用管理、网络设备管理、网络安全管理以及网络维护管理等,这些管理不仅在本地网络上可以操作,而且能够在远程网络间进行互操作。网络的兼容性当一个已有的网络在采用新技术或新的网络设备进行改进、扩充和升级时,这些新的网络设施(软、硬件)是否能与原有的或其他的网络设施兼容是非常重要的。兼容性好可以保护原有的投资,可使新投资与原有的投资同时发挥效益。网络的可用性 建成后网络的可用性高低是网络用户最为关心的,它也是对网络质量和网络性能的综合衡量。可用性是网络本身很多物理特性的总体体现,如网络的带宽、网络带宽效 率、网络时延、网络负载、网络故障频率等状况。同时也是网络系统环境、网络应用环境
10、和网络应用的支持能力、水平和质量的总体反映。网络的扩展缩性网络的可伸缩性不只是一种网络设施在构造网络时,在规模上可依据需要扩大或减小,而且还应体现在网络的模块化和结构化方面。网络体系结构的模块化、结构化是现代化网络技术产品的标志和趋势,为今后党政网络体系的构成注入新的活力。网络管理的任意性和网络配置的简便性等是网络可伸缩性的另一重要方面。网络的经济性一个好的网络并不是高价网络设备的简单堆积,并不是网络设备越好,网络就越好。衡量一个网络的好坏和它的经济性,不能单看所用的投资的多少,而应以网络所具 有的功能和网络可承担的负荷,如网上的用户数、数据流量等参数去综合衡量。以“少花钱,多办事”的原则,获
11、得更大的经济效益和社会效益。网络设计网络拓扑图IP地址设计设计原则:简单性;地址的分配应该简单,避免在小区内采用复杂的掩码方式。连续性;为同一个楼内区域分配连续的网络地址,便于管理,易于维护。可扩充性;为整个小区或楼内区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍然能够保持地址的连续性。灵活性;地址分配不应该基于某个网络路由策略的优化方案,应该便于多数路由策略在该地址分配方案上实现优化。可管理性;地址的分配应该有层次,某个局部的变动不要影响上层、全局。安全性;小区内应按工作内容划分成不同网段即子网以便进行管理。设计方案:1 公司对外只有一个公网IP,所以采用内网采用内网地址192.
12、168.2.0到192.168.254.0。边界路由进行NAT转换。2 全网根据个部门的分工,及职能进行子网的划分。以及VLAN的划分。3 同一建筑物进行连续的网络地址划分。4 进行层次化的划分方式。5 考虑全局的路由策略。6 考虑网络的可扩展性。无类别域间路由和路由汇聚无类别域间路由(CIDR) CIDR是开发用于帮助减缓IP地址和路由表增大问题的一项技术。CIDR(Classless Inter-Domain Routing,无类域间路由)的基本思想是取消IP地址的分类结构,将多个地址块聚合在一起生成一个更大的网络,以包含更多的主机。CIDR支持路由聚合,能够将路由表中的许多路由条目合并为
13、成更少的数目,因此可以限制路由器中路由表的增大,减少路由通告。同时,CIDR有助于IPv4地址的充分利用。 CIDR叫做无类域间路由,ISP常用这样的方法给客户分配地址,ISP提供给客户1个块(block size),类似这样:172.16.10.32/28,这排数字告诉你你的子网掩码是多少,/28代表多少位为1,最大/32.但是你必须知道的1点是:不管是A类还是B类还是其他类地址,最大可用的只能为30/,即保留2位给主机位。安全体系设计物理安全网络的物理安全是整个网络系统安全的前提。在校园网工程建设中,由于网络系统属于弱电工程,耐压值很低。因此,在网络工程的设计和施工中,必须优先考虑保护人和
14、网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离;考虑布线系统和绝缘线、裸体线以及接地与焊接的安全;必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识等,因此要尽量避免网络的物理安全风险。网络传输安全l 网络传输数据保护;由安装在网络上的VPN设备实现各内部网络之间的数据传输加密保护,并可同时采取加密或隧道的方式
15、进行传输l 网络隔离保护;与INTERNET进行隔离,控制内网与INTERNET的相互访问l 集中统一管理,提高网络安全性;l 降低成本(设备成本和维护成本);访问控制l 控制外部合法用户对内部网络的网络访问;l 控制外部合法用户对服务器的访问;l 禁止外部非法用户对内部网络的访问;l 控制内部用户对外部网络的网络;l 阻止外部用户对内部的网络攻击;l 防止内部主机的IP欺骗;l 对外隐藏内部IP地址和网络拓扑结构;l 网络监控;l 网络日志审计;入侵检测网络安全不可能完全依靠单一产品来实现,网络安全是个整体的,必须配相应的安全产品。作为必要的补充,入侵检测系统(IDS)可与安全VPN系统形成互补。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail)。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测
