企業(yè)園區(qū)網融合網絡設計課程設計--企業(yè)園區(qū)網融合網絡設計

1、<p><b>　　1方案概述</b></p><p><b>　　1.1背景分析</b></p><p><b>　　1.1.1前言</b></p><p>　　隨著計算機網絡的迅速發(fā)展，曾經在園區(qū)網中被大量使用的10M/100M以太網技術、ATM技術已經漸漸不能適應現(xiàn)在的業(yè)務需求，作為園

2、區(qū)主干網，10M/100M以太網作為主干網絡核心技術帶寬不足的弊病漸漸凸顯，已經嚴重影響著園區(qū)網絡的運行效率，目前仍有許多大型園區(qū)網絡在使用ATM技術，這樣的網絡面臨兩個問題：VLAN間路由的性能不能滿足網絡需求，并且ATM技術正在逐步被淘汰?，F(xiàn)在，千兆以至10G級別以太網技術正逐漸成為園區(qū)網絡主干的主流技術。因此，許多大型園區(qū)網絡面臨技術改造或者重新設計。</p><p>　　1.1.2目前園區(qū)網現(xiàn)狀</

3、p><p>　　某企業(yè)園區(qū)剛剛建成，是一大型企業(yè)的分支機構，為了實現(xiàn)企業(yè)的辦公信息自動化，擴大企業(yè)的影響，方便和總部的信息交流，需要建立自己企業(yè)的Intranet。企業(yè)現(xiàn)在有2幢9層的辦公大樓，分別是生產部和銷售部，另外還有一個家屬區(qū)，家屬區(qū)有3幢6層的大樓，兩個相距300米。企業(yè)局域網需要考慮覆蓋辦公區(qū)和家屬區(qū)。局域網需要實現(xiàn)的目標如下：</p><p>　　1.實現(xiàn)有效的信息交換和共享。企

4、業(yè)通過兩條專線接入電信和網通。</p><p>　　2.企業(yè)需要實現(xiàn)辦公自動化。局域網提供企業(yè)內部電子郵件收發(fā)、信息瀏覽、文件管理、會議管理、電子公告等多方面應用。</p><p>　　3.為了擴大企業(yè)的影響，企業(yè)對外提供自己的宣傳網站，并且能夠保證網站安全，不受外部或者內部攻擊。</p><p>　　4.充分考慮今后各部門的接入擴展性。</p>&l

5、t;p>　　5.充分考慮企業(yè)內部網絡的安全性。</p><p><b>　　1.2主要內容</b></p><p>　　本文主要做了以下兩個方面的工作：</p><p>　　第一，介紹了園區(qū)網絡的含義、特點，按網絡設計與組網課程的要求方法規(guī)劃設計一個完整的園區(qū)網絡。</p><p>　　第二，使用思科的網絡設備對網

6、絡進行了簡單的模擬，以實現(xiàn)網絡的互通互聯(lián)，對各層設備進行了配置。</p><p><b>　　2需求分析</b></p><p><b>　　2.1網絡應用需求</b></p><p>　　1.企業(yè)網與internet連接，使員工可以通過互聯(lián)網獲取資源和信息</p><p>　　2.建設企業(yè)網站，實

7、現(xiàn)企業(yè)的對外宣傳以及發(fā)布各種內部信息</p><p>　　3.在企業(yè)網內實現(xiàn)傳輸共享</p><p>　　4.實現(xiàn)企業(yè)的行政、辦公的無紙化</p><p>　　5.企業(yè)生活的電子化（食堂卡等）</p><p><b>　　2.2網絡安全需求</b></p><p>　　1.企業(yè)接入internet

8、，使用防火墻等過濾功能防止黑客和其他非法入侵者入侵網絡，并且對接入網絡的成員進行控制</p><p>　　2.防范企業(yè)網內部的安全性問題，如ARP攻擊</p><p>　　3.按照相應標準進行局域網的建設，確保物理層安全。</p><p>　　4.采用主機訪問控制手段加強對主機的訪問控制。</p><p>　　5.劃分安全子網，加強網絡邊界的

9、訪問控制，防止內外的攻擊威脅，定期進行網絡安全檢測，建立網絡防病毒系統(tǒng)。</p><p>　　6.建立身份認證系統(tǒng)，對各應用系統(tǒng)本身進行加固</p><p>　　2.3網絡環(huán)境需求分析</p><p>　　幾種典型應用帶寬需求情況如下：</p><p>　　空閑：5K～20Kbps；</p><p>　　Office（

10、Word/Excel）辦公應用：20K～120Kbps；</p><p>　　Internet/WWW瀏覽（純文字）：50K～150Kbps；</p><p>　　PPT/圖片應用：200~300Kbps；</p><p>　　打?。?00~800Kbps；</p><p>　　標清視頻（320P，原始窗口）：1~5Mbps；帶寬至少按4M算

11、；</p><p>　　高清視頻（480P，720P原始窗口）：2~15Mbps；帶寬至少按10M算；</p><p>　　單個用戶最大使用/預留帶寬：10Mbps，保證用戶可以流暢的使用網絡。</p><p><b>　　3網絡設計</b></p><p><b>　　3.1網絡設計原則</b>&

12、lt;/p><p><b>　　3.1.1層次化</b></p><p>　　層次化是根據(jù)功能作用和定位，園區(qū)網通常按照核心層，匯聚層，接入層等多個層次進行劃分，設計，要做到化繁為簡，使網絡結構簡單，簡化網絡部署，具有良好的穩(wěn)定性、可擴展性，同時也方便網絡管理。</p><p><b>　　3.1.2模塊化</b></p

13、><p>　　從業(yè)務角度出發(fā)，分為園區(qū)出口、數(shù)據(jù)中心、DMZ、網絡管理、分支、園區(qū)互聯(lián)、出差員工和合作伙伴等功能分區(qū)或業(yè)務類別</p><p><b>　　3.1.3安全性</b></p><p>　　全網安全可靠，具有完善的安全防護措施，防止惡意破壞，保護數(shù)據(jù)和網絡安全，打造一個安全可信得網絡，保障網路和業(yè)務安全。</p><

14、p><b>　　3.1.4可擴展性</b></p><p>　　可擴展性是指該網絡系統(tǒng)能夠適應需求的變化。隨著技術發(fā)展，信息量增多和業(yè)務的擴大，網絡將在規(guī)模和性能兩方面進行一定程度的擴展。</p><p><b>　　3.1.5可靠性</b></p><p>　　帶寬和性能設計，QoS設計等，保證業(yè)務質量以及業(yè)務體驗

15、，讓客戶滿意。園區(qū)網穩(wěn)定可靠，關鍵部位采用冗余或備份架構；發(fā)生故障時可以快速恢復，保證業(yè)務不中斷，保證業(yè)務體驗。全網多業(yè)務智能、主動和綜合管理，實時分析網絡健康狀況，積極預防；故障發(fā)生時可以快速排除故障，減少損失，網絡必須易于管理，支持網絡網段與端口的監(jiān)控、網絡流量與出錯的統(tǒng)計、網絡故障的定位、診斷、修復。</p><p>　　3.2網絡VLAN設計需求</p><p><b>

16、　　4網絡設計方案</b></p><p><b>　　4.1總體網絡規(guī)劃</b></p><p>　　根據(jù)2.1的需求可知，此次的方案中共劃分了10個部門（8個工作部門，1個管理VLAN，1個服務器群VLAN）。這10個部門通過網線接入到接入層交換機，其中，總經理辦公室、副經理辦公室可以直接管理網絡。具體的網絡布線圖如下圖所示：</p>&

17、lt;p>　　根據(jù)上述的帶寬需求，結合章節(jié)“2.3”部分，可規(guī)劃出每種應用環(huán)境所實際需求的帶寬。通常建議如下:</p><p>　　服務器端必須采用萬兆部署</p><p>　　接入交換機上聯(lián)必須保證千兆帶寬</p><p>　　匯聚交換機上聯(lián)必須保證萬兆帶寬</p><p>　　具體的IP地址劃分如下：</p><

18、p>　　接入層與匯聚層交換機都是二層交換機，因而針對每個IP地址都應讓它們分別屬于各自的網段，即應劃分VLAN，各個IP地址的VLAN劃分如表三所示。而接入層與匯聚層之間也需要配置VLAN，為了方便通信，讓它們之間每一個鏈路都與其所接的部門屬于同一VLAN，即接入層交換機所接到同一個部門的端口屬于同一個VLAN。</p><p><b>　　4.2網絡設備配置</b></p>

19、;<p><b>　　4.2.1劃分子網</b></p><p>　　在一個大、中型網絡里，VLAN的劃分是必不可少的步驟之一。一個單位在一個網絡號下有大量的計算機時，并不便于管理，可以根據(jù)單位所屬的部門或其地理分布位置等來劃分子網，在本設計方案中是根據(jù)部門來劃分子網的，劃分子網也就分割了廣播域。</p><p><b>　　劃分子網的目的:&

20、lt;/b></p><p><b>　　減少網絡流量</b></p><p><b>　　2.提高網絡性能</b></p><p><b>　　3.簡化管理</b></p><p>　　4.易于擴大地理范圍</p><p>　　在下面我們需要注意

21、的是：192.168.0.0-192.168.255.254這樣的IP地址是私有IP地址，它不能在公共網絡中使用，但是為什么我們要這樣做呢？因為針對當前現(xiàn)狀，IP地址緊缺，我們不可能也不應該為每一臺工作站申請一個公有IP地址，這樣不僅可以緩解IP地址不足的情況，而且也可以為企業(yè)建設一個企業(yè)網節(jié)約不少的開支，那這樣且不是不能夠訪問INTERNET。為了讓這些私有IP地址能夠在公共INTERNET使用，讓使用這樣IP地址的工作站能夠訪問IN

22、TERNET上的資源，我們必須對這樣私有IP地址作NAT（networkaddresstranslation）即網絡地址轉換。NAT的配置我將后面的論述中進行配置。而對于經理辦公室，由于我們有特定的要求，我將為其分配staticIP地址。</p><p><b>　　4.3設備詳細配置</b></p><p>　　4.3.1接入層交換機配置</p>&l

23、t;p>　　4.3.2匯聚層交換機配置</p><p>　　4.3.3核心層路由器配置</p><p>　　4.4網絡可靠性分析</p><p>　　4.4.1網絡設備可靠性分析</p><p>　　如今華為網絡設備越來越受國人喜愛，在國內華為設備正在逐步取代思科設備，華為設備安全、經濟、實惠、功能好，因此我們選用了國內主流公司華為的設

24、備。</p><p>　　4.4.2鏈路的可靠性分析</p><p>　　提高鏈路的可靠性往往通過鏈路的冗余設計來實現(xiàn)，在即采用一條主鏈路和一條備鏈路。在Switch0、Switch1連接多條物理鏈路，這種冗余設計構思簡單而且便宜。鏈路冗余還有一個好處是可以做到均衡負載。</p><p>　　4.4.3協(xié)議的可靠性分析</p><p>　　協(xié)

25、議的可靠性技術就是采用相關的軟、硬件切換技術(如STP和VRRP)來保證核心應用系統(tǒng)的快速切換，防止局部故障導致整個網絡系統(tǒng)的癱瘓，避免網絡出現(xiàn)單點失效，從而保證用戶端在網絡失效時能快速透明地切換。</p><p>　　4.4.4生成樹協(xié)議</p><p>　　在Switch0、Switch1、Switch2上配置了STP，在網絡中配置2個VLAN，不同VLAN的STP具有不同的根橋，實現(xiàn)

26、負載平衡。</p><p>　　4.4.5虛擬路由冗余協(xié)議</p><p>　　在路由器Router1和Router2創(chuàng)建了兩個VRRP組，第一個組的IP為192.168.13.254，活動路由器為Router1，一部分計算機的網關指向192.168.13.254。第二個組的IP為192.168.13.253，活動路由器為Router2，另一部分計算機的網關指向192.168.13.253

27、。這樣，如果網絡全部正常時，一部分數(shù)據(jù)是Router1轉發(fā)的，另一部分數(shù)據(jù)是Router2轉發(fā)的，實現(xiàn)了負載平衡。如果一個路由器出現(xiàn)問題，則另一個路由器就成為兩個VRRP組的路由器，承擔全部的數(shù)據(jù)轉發(fā)功能。</p><p>　　4.4.6網路安全和管理AAA認證和SPAN監(jiān)控</p><p>　　在三個路由器都配置了AAA本地認證登陸，增強網絡的安全性，防止被攻擊。</p>

28、<p>　　把S0上配置SPAN，F(xiàn)0/4端口設為監(jiān)控端口，把F0/1-3,F0/5端口設為受控端口，利用SPAN技術我們可以把交換機上的受控端口的數(shù)據(jù)流COPY或MIRROR一份，發(fā)送給連接在監(jiān)控端口上的技術支持部進行流量分析，增加網絡的可管理性，方便技術部人員管理網絡。</p><p>　　4.4.7Qos協(xié)議</p><p>　　在Router0實現(xiàn)Qos功能我們選用了CA