《企业网络建设方案》由会员分享,可在线阅读,更多相关《企业网络建设方案(19页珍藏版)》请在金锄头文库上搜索。
1、第1章计算机网络发展趋势当前,全球的电信网、因特网、企业网都正处在一个发展的的关键阶段. 人们面临网络建设方向的选择、QoS、安全性和可信任性、可运营性等一系 列关键技术问题的解决。下一代IP网概念的提出和第五代路由器产品的开 发,都将非常有意义。一、现状及发展:进入十字路口电信网发展进入十字路口:从目前电信网的发展看,第一,TDM技术已经 不是未来的发展方向TDM设备虽然还在生产,但全世界的TDM研发已经全面 停止了。第二,由于ATM的许多标准并未得到验证,也不是未来的发展方向。 第三,现在的IP网是基于传统的因特网理念,以用户自律为基础,自由发展, 缺少管理,是一个非盈利的商业模型。因此,
2、传统的因特网不能成为未来电 信网的发展方向。企业网建设进入十字路口:在企业网业务已经全面IP化之后,由于传 统IP网的安全与服务质量难以得到保证,使目前的企业网建设中IP数据网、 视频网、语音网分别建设,大大增加了建网与管理成本。建设一个能承载综 合业务、具有高服务质量保证并兼具可管理可控制可信任特点的IP网络成 为迫切的需求。二、关键技术问题IP网的服务质量问题:随着网络设备技术上的快速发展、路由器性能 的极大提高、以及DWDM的大量商用,传输成本大为降低。而Internet上的 业务发展相对较慢,从而使得网络处于相对轻载状态,可以在Internet上 开展丰富的数据、语音、视频等综合业务,
3、开展电话通信等等。然而目前面 临如何调配这些丰富网络资源以满足不同业务对网络资源的需求,进而满足 不同业务的不同服务。三、质量要求的难题服务质量是从业务层面来衡量的。要真正解决服务质量问题,不是只在 网络层采取技术措施可以解决的,而是从应用层到网络层多层联合起来考虑 才有望解决。IP网是一个不面向连接的网,因而任何面向连接的技术措施, 都是违背IP网的设计初衷的.要解决IP网业务的服务质量问题,最理想的 方法是仍采用不面向连接的“分类服务技术来解决,将IP网中的业务分为 几类,对每一类业务分配合适的网络资源,以保证该类业务必需的服务质量。四、第五代路由器Internet网络从产生到现在,路由器
4、在短短的几十年时间里就经历了五 代的技术革新.随着Internet上各种新业务的迅速发展,Internet已经转变 为具有商业价值的承载网,它必须为所承载的每一类业务提供所需要的服务 质量保证和维护管理,因此业界提出了 “基于网络处理器的分布式硬件转发 的第五代路由器。我们可以发现第五代路由器是综合了以往四代的技术优 势发展起来的.五、IP网的发展趋势下一代IP网络将采用IP网的核心技术(分组交换、不面向连接),结合 电信网的设计理念,建立一个更大、更快、更安全、可信任、为用户提供灵 活业务的可管理网络,为营运商提供一个可以达到电信网服务质量保证的IP 网,建立可赢利的商业模型.第五代路由器将
5、在下一代IP网的发展中发挥很好的作用。由于第五代 路由器采用了有智能的网络处理器(NP),可以灵活地加进去很多功能,诸如 对用户的管理、对安全的管理等等。采用第五代路由器还可以提供严格的管 理,能够把不同的业务、用户严格隔离,为IP网提供极高的安全保障。企业网络需求分析例如以某企业为例,现有在职员工3150人.企业的要求如下:一、建设双核心的高可靠性网络,核心交换互为备份。为充分发挥设备 的性能,要求两台核心交换承担不同用户数据负载.为满足发展的需要,要求 建设10G骨干的企业网.网络应具有良好的可运行性、可管理性,能够满足 未来业务发展和新技术的应用。二、为满足访问互联网的需要,计划连接通过
6、网通电信两个ISP访问互 联网,为提高访问互联网的速度充分利用出口带宽资源,要求正常情况下不 同用户使用不同ISP出口访问访问互联网。但两个出口任意一个故障时不能 间断互联网访问。三、由于网络规模较大,应实现IP地址的自动分配.设计时应充分考虑 DHCP服务器的性能和安全性,防止私设DHCP服务器、假冒IP地址欺骗等恶 意攻击.为适应信息化社会对企业经营、生产、管理等方面的要求。需要对企 业的整个网络进行一个全面的建设设计。2。1 一般建网需求企业网络的建设应当充分考虑到企业内部的网络多业务以及特色业务 等扩展性,如:企业内部的服务器的访问,由于企业员工的访问的内容多样 化决定,涉及到基础网络
7、设施的建设和业务应用平台建设两个不同的层面。 此处主要分析本企业网络基础设施建设和网络运营方面相关的内容.本企业 网络建设从网络流量模型上看,用户集中而网络流量大,但实际应用上还存 在许多和企业网不同的地方。主要特点如下:一、多出口的需求根据要求组网有网通电信两个ISP访问互联网网络出口。多出口带来了 以下两个需求:多权限ISP需求.用户可通过不同的账号名或采用相同的账号,不同的 域名认证,获得不同的上网权限。譬如做到用户不认证前能自由访问校园内 部分服务器,采用“user163”登录,可实现Internet和校园网络自由访 问,采用“usercrenet”登录,可访问CERNET和企业网。用
8、户域名选择可 通过WEB认证时用户通过选择WEB认证上的相应选择项进行选择。多ISP分别计费的需求,对应不同的ISP,计费策略不一致.考虑到用户 的以上的需求,需要在学校的内部提供不同的路由策略,即用户访问教育网 的相关站点,通过CERNET的线路,而访问其他的网站如:新浪网、263等网 站则选择运营商的线路作为出口路由,这要求核心的交换机或出口路由器能 够提供策略路由以支持该特性。二、用户管理的需求使用方便,存在WEB认证需求。要求能做到基于WEB的身份认证、多ISP 选择、W用户费率查询、带宽动态调整(隐性需求X多WEB界面(隐性需求) 等。需要解决账号和端口绑定问题。通过此种方式限制账号
9、的使用区域。能 够实现全网的安全管理,包括:IP、MAC的盗用问题、防止接入用户的非法 DHCP Server、Proxy 等用户.对于用户的上网行为能够实现实时的跟踪以及时候的追查.对用户带宽 进行控制的需求,要求设备能对用户的带宽进行控制,譬如限制为64K、 256K、512K、1M、2M、5M、10M 等等级。三、安全管理的需求企业用户接受新鲜事务的能力非常强,因此校园也成为黑客最多的场所 之一,如何保障企业网络的安全成为建网时不得不考虑的问题,目前主要攻 击手段有DOS,DDOS等.上网日志的需求,主要是配合公安机关保证社会的稳 定和企业的安全。2。2网络应用分析一、信息共享对于一个企
10、业来说,建设网络体系结构就是为了使信息资源能够达到共 享,使局域网内的所有信息让每一个领导和员工都能看到,并且能够给企业 里的每一个都带来方便。二、办公自动化办公自动化的实现还需要靠一些软件,有了这些软件就可以很轻松地实 现办公自动化,这样也可以减少各个工作人员的工作量,提高工作效率,改 变工作量太大,任务太重很难完成的状况。三、Intranet技术应用对于局域网的实现,我们采用TCP/IP协议。小网络的实现并不是太难, 不过小网络也能帮住我们做很多的事情,因此我们必须实现Intranet局域 网技术的应用。四、Internet技术应用因为企业间的相互来往以及了解其它企业的需求我们必须进入 I
11、nternet,来达到相互交流的目的,通过接入Internet来对外现实资源共 享,以达到互相学习、共同进步、共同成长。2.3主干和信息点需求及分布由给出的资料可知各个楼的信息点数以及总的信息点数如下,表2。1 所示。表2.1信息节点建筑信息点总部大厦133投资公司67销售中心117研究院212商务中心235物流中心147家属楼126文化活动中心97生产分厂1#111生产分厂2#241生产分厂3#135生产分厂4#98职工宿舍1#196职工宿舍2#196职工宿舍3#196职工宿舍4#196总数25032.4网络安全解决方案网络安全的解决对于网络管理员来说是很重要的.在此,提出两条建议:一、三分
12、靠技术,七分靠管理。二、没有绝对的安全,只有相对的安全。2。5网络流量分析一、主干网速:1000Mbps光纤接入到光电转换器,通过核心网管交换机二、桌面网速:100Mbps三、出口网速:100Mbps网线真接连接到用户电脑网卡上第3章企业网的设计原则计算机网络的主体并不是网络线缆、网络设备等本身,而是建立在这些 硬件体系上的,为广大员工、科研人员提供一个在网络环境下进行科研工作 的先进平台。企业网覆盖整个企业区,在网络性能上应该考虑以下几个要求:一、实用性:遵循面向应用,注重实效,急用先上,逐步完善的原则;二、先进性:采用先进成熟的网络概念、技术、方法与设备,反映当今先 进水平,又给未来的发展
13、留有余地;三、可靠性:系统必须可靠运行,主要的、关键的设备应有冗余,一旦 系统某些部分出现故障,应能很快恢复工作,并且不能造成任何损失;四、开放性:选择的产品应具有好的互操作性和可移植性,并符合相关 的国际标准和工业标准;五、可扩充性:系统是一个逐步发展的应用环境,在系统结构、产品系 统、系统容量与处理能力等方面必须具有升级换代的可能,这种扩充不仅能 充分保护原有资源,而且具有较高的性能价格比;六、可维护性:系统具有良好的网络管理、网络监控、故障分析和处理 能力,使系统具有极高的可维护性;七、安全性:必须具有高度的保密机制,灵活方便的权限设定和控制机 制,以使系统具有多种手段来防备各种形式的非
14、法侵入和机密信息的泄露。一个系统的建设在实用的前提下,应当在投资保护及长远性方面做适当 考虑,在技术上、系统能力上要保持五年左右的先进性.并且从用户的利益 出发,一个好的系统应当给用户一定的自由度,而不是束缚住他们的手脚, 从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的 设计。根据用户的总体需求,结合对应用系统的考虑,我们提出网络系统的 设计目标:技术选型、体系结构、带宽容量、流量设计、互操作性、运行性 能以及可扩展性。第4章 企业的网整体设计总述4.1网络的拓朴结构设计根据给出的信息点数,确定网络属于大型网络,所以采用的核心一汇聚 一接入三层结构。网络拓扑结构图如图4-1
15、所示.图41网络拓扑结构图4.2方案的描述通过分析本方案属于大型网络,在通过对性价比分析,我们选用H3C公 司产品,列出下表,如表41所示。表4 1所需产品核心层汇聚层接入层路由器防火墙H3C S9500H3C S5500EIH3C S3100H3C SR6602H3C F1000EH3C 100FAC4.3 VLAN及IP地址的规划IP地址分配是网络规划设计中的要点之一。要充分考虑路由表的大小和 拓扑结构变化后相应信息所必须传输的距离.缓解上述指标的有效方法是聚 合。“是否便于聚合是地址分配的一个基本原则,但会造成地址的浪费。故应该考虑使用尽可能大的地址空间,留下空间以供将来扩展。共享服务器 的公网IP地址,提供的共享接入内网IP地址空间.在员工用机房接入层之上,中心交换机之下,又使用了一层共享服务器, 分别控制实验楼二层和四层的机房办公室.可灵活地控制计算机实验机房的 互联网开通与否,方便使用、管理与控制。通过对公司需求的分析,对VLAN的规划和IP的分布做出如下表格42 所示。表4-2 VLAN的规划和IP的分布建筑机器数量IP范围GWVLAN总部大厦133192.168.1。
