企业网络规划设计方案.pdf

该【企业网络规划设计方案 】是由【青山代下】上传分享，文档一共【21】页，该文档可以免费在线阅读，需要了解更多关于【企业网络规划设计方案 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:..一、。主楼地上9层,地下一层,裙楼3层。主楼作为办公实验楼,裙楼作为会堂及展厅。的安全连接,承载智能大厦的弱电系统各项数据信息的传输。为一楼和二楼的展厅设置3个信息点,为三楼会堂设置了2个信息点,四楼至九楼共设置了7个信息点提供办公区和办公室使用。)建立光纤骨干网,提供内部高速、高效、安全的信息高速公路;:..查询服务等能力的核心交换系统;3)充分考虑系统的安全性,提供系统数据备份等安全问题解决方案;4)充分考虑可扩充性,网络系统可以很方便的升级和扩充;5)建立以信息交换、信息发布和查询应用为主的网络应用基础环境,为企业的管理提供先进的支持手段。整个网络系统技术领先,安全实用,操作、维护方便;网络结构采用两层结构,分为核心层、接入层。,在进行网络系统改造设计时,主要应遵循以下原则:1)高性能:网络要求具有数据、图像、语音等多媒体实时同步通讯能力。主干网提供可保证的服务质量和充足的带宽。采用最新科:..国内五到十年内保持领先的水平,并具有长足的发展能力,以适应未来网络技术的发展。如:具有三层及以上线速交换能力;支持灵活的跨网络交换机(主干、部门)的基于、端口、MAC地址的VLAN划分功能。2)高可靠性:网络系统是日常业务和各种应用系统的基础设施,应保证工作日和重点时期不间断运行。整个网络有足够的冗余,设备在发生故障时能以热插拔的方式在最短时间内加以修复。同时,在核心层采用双机容灾设置,降低了由系统故障引起的停滞时间。可靠性还充分考虑网络系统的性价比,使整个网络具有一定的容错能力,减少单点故障。3)标准化:所有网络设备都符合有关国际标准以保证不同厂家网络设备之间的互操作性和网络系统的开放性。4)高可用度和冗余::..设备的备份和冗余,以便在设备故障时能够及时切换到备份设备。本方案的计算机网络交换设备采用国产XXX的产品。核心交换机采用双机热备容灾式设计,具有硬件冗余和热插拔功能,%。所有网络设备不仅满足当前需求,还能满足可预见的未来需求。网络设备易于管理、维护、操作简单、易学、易用,便于进行网络配置和故障发现。各个部门可以根据实际情况灵活地进行VLAN的划分,以提供网络的安全性和灵活性。支持多种媒体信息的传输、查询服务,并具有多种基于优先级队列的QoS保证。网络系统具有较高的安全性,符合国家关于网络安全标准和管理条例。系统设计具有很强的实用性,能为多种应用系统提供强有力的支持平台。对于核心交换机,我们选用了两台ERS8610系列交换机,支持广泛的接口类型和密度。接入层交换机采用ERS4500系列智能以太网交换机,该系列交换机是一个固定配置的独立设备系列,提供桌面快速以太网和千兆以太网连接,可提供增强LAN服务。LS-3100系列具有集成安全特性,包括网络准入控:..、高级服务质量(QoS)和永续性,可为网络边缘提供智能服务。主要性能指标参见主要设备技术指标。我们选择了XXX的NS-SecPathF1000-S-AC作为外部网络连接的安全网关。该设备具有业界领先的状态防火墙和IP安全(IPSec)虚拟专用网服务,同时拥有更强的处理能力和基于硬件的IPSec加速功能。为了保证网络的高可用性,我们在中心配置了两台核心交换机进行互备,接入层则配备了15台48换机和3台24换机。,以满足高速、高性能的综合布线系统设计要求。本次网络设备需要实现多项功能,包括适应桌面计算机处理和I/O能力的提升、实现流量隔离和控制、以及对应用服务器的特别支持。为此,我们选择了ERS8610系列交换机和NS-SecpathF1000-S-AC防火墙等设备,以达到主干M、10M/100M自适应交换到桌面的目标。:..邮件服务器、eWorld宽带主机和文件传输服务器等设备,以提供全程服务的高可用性硬件邮件服务、防火墙、VPN、上网行为管理、网站、邮件监控、病毒垃圾邮件过滤、FTP、文件服务器、带宽管理、负载均衡等多种功能,帮助企业实现信息化。综上所述,我们通过精心选型和配置,打造了一个高性能、高可用性的网络设备方案,以满足企业的各种需求。网络系统规划设计为了适应部门多、层次复杂的特点,需要合理进行网络划分,实现有效的安全访问控制和运行管理。同时,需要考虑向未来的高速网络技术和不断出现的新应用过渡,保护已有投资,使原有的设备和网络能够平稳升级。此外,还需要实现网络互联,解决互联网络带来的安全问题和管理问题,适应数据集中型应用的发展趋势,为客户/服务器的应用环境提供支撑,增加网络系统的运行可靠性,核心设备实现冗余,降低故障隐患,提高系统的可管理性,以及适应机构建制和工作流程,提供多层次的安全保障。:..至℃,工作湿度要求范围在10%-85%(非冷凝),供电要求保证每个设备间、配线间的供电功率在所属设备额定功率总和的1-,并保持稳定,安装间距要求设备安装间距保证在1M。在系统结构方面,目前网络系统拓扑结构有四种分析,分别是星型拓扑结构、总线拓扑结构、环型拓扑结构和树型拓扑结构。需要根据实际情况选择适合的拓扑结构。其中,星型拓扑结构控制简单,故障诊断和隔离容易,方便服务;总线拓扑结构所需要的电缆数量少,简单且无源工作,有较高的可靠性,易于扩充,但中央节点的负担较重,形成瓶颈;环型拓扑结构电缆长度短,可使用光纤,但故障检测困难,媒体访问控制协议采用令牌传达室递的方式,信道利用率相对低;树型拓扑结构易于扩展,故障隔离较容易,但各个节点对根的依赖性太大。在结构设计方面,需要根据实际情况选择适合的拓扑结构,并考虑网络划分、安全访问控制和运行管理等因素。根据实际环境需求和上表结构特点的对比,本次网络建设采用二级星型网络结构,也称为星型分级拓扑。这种结构具有集中控制、易于维护和安全等优点,因为端用户之间的通信必:..一旦它损坏,整个系统便趋于瘫痪。二级星型结构如下图所示:图1二级星型结构网络系统设计如下:,形成中心交换。。。。。,服务器、工作站连接到高层网络。,跨越基层网段的流量汇接到工作组子网,跨越工作组子网的流量汇接到主干。,服务。本项目计算机网络总体上分为两个层次的结构:核心层和接入层。:..可靠性的高速信息公路,为监控数据查看与存储提供高速的数据交换通路。该层由两台核心交换机互为热备构成,提供若干个千兆以太网络光纤端口以及第三层路由交换功能。接入层:接入层提供了连接各信息点的汇集功能,通过本层将各信息点汇总连接到核心层,由核心层实现信息交换。接入层由各楼层的交换机构成,各楼层交换机与核心交换机之间以双千兆光纤连接,每一台接入交换机分别两台核心交换机,以保证网络链路的高可靠性。系统结构示意图如下:图2系统结构示意图为提高设备可靠性,我们采用冗余设计。随着企业网络规模的不断扩大,对网络的稳定性要求也越来越高。但是,随着网络复杂程度的提高,可用性却在逐渐下降。冗余设计是提高设备可靠性的最常用的有效措施之一,利用冗余设计,可以在单个组件或系统发生失效时而不影响系统的整体可靠性。:..容灾,同时使用热备份协议技术来实现网络主干的冗余。HSRP协议利用优先级方案来决定哪个路由设备成为默认的主动路由设备,从而保证了网络的稳定性和可靠性。在任何时刻,一个HSRP组内只有一个路由器是活动的,其他路由器都是备份路由器,等待活动路由器失效后接替其工作。这样就可以避免路由器切换对主机连接造成的影响,从而提高了网络的可用性。在使用HSRP协议时,一组路由器的工作将表现为局域网上通往主机的一个虚拟路由器的工作。每个备份组都有一个MAC地址和一个IP地址,这个IP地址应该是局域网中第一个子网中的地址,但必须不同于设置在所有路由器端口上的地址和局域网中主机的地址,甚至包括为其他HSRP组设的地址。多个热备组可以共存和重叠,但只有活动路由器才能转发发送给虚拟路由器的数据包。本方案的系统可靠性得到了保障,路由模块之间采用HSRP协议,保证了两台路由模块中的任意一台出现故障,或路由模块的广域网口出现故障,都会迅速切换到另外一台自动:..高了网络的稳定性。为了实现负载均衡,本方案采用了两台核心交换机进行热备容灾,并使用HSRP热备份协议技术来实现网络主干的冗余。HSRP协议利用优先级方案来决定哪个路由设备成为默认的主动路由设备,从而保证了网络的稳定性和可靠性。多个热备组可以共存和重叠,但只有活动路由器才能转发发送给虚拟路由器的数据包。本方案的系统可靠性得到了保障,路由模块之间采用HSRP协议,保证了两台路由模块中的任意一台出现故障,或路由模块的广域网口出现故障,都会迅速切换到另外一台自动接替其工作,从而提高了网络的稳定性。每个接入层交换机都与两台核心交换机相连,因此我们可以在核心交换机的交换备板上划分出各自的VLAN。对于某个子网VLAN,如果它在左侧路由模块上的HSRP的优先级较高,则该VLAN使用左边交换机的交换机备板来交换数据;如果该子网VLAN在右侧路由器上的HSRP的优先级较高,则该VLAN使用右边交换机的交换机备板来交换数据。这种方式不仅可以充分利用带宽资源,还可以实现负载均衡。:..由于各虚拟网之间不能直接通信,必须通过路由器转发,因此可以实现高级的安全控制,增强网络的安全性。在大规模的网络中,各部门之间的数据是保密的,只能提供接口数据,其它数据是保密的。可以通过划分虚拟局域网来隔离不同部门。,网络端口和模块配置较少。随着业务量的增加,对网络的需求量也会越来越大,因此需要网络交换设备具有较强的端口扩展性和冗余度。,目前端口配置为1路万兆光口,15路千兆光口,24路千兆电口,光口冗余度达到15%。在日后需要增加网络系统容量时,只需增加相应接口卡即可轻松进行系统扩容。:..本系统采用的接入交换机为智能化交换机,目前配置为15台48路交换机、3台24路交换机。目前自用网络所占用的端口数为355个,仅占用总端口量的一半,剩余端口均为预留端口,冗余度极大,完全可以保证在一段时间内的正常使用。当网络需求量超出目前配置的端口量时,只需增加接入交换机和相关的光模块即可实现接入层的扩容。根据目前的网络配置情况,接入层可允许的扩容数量为18台。如需增加接入交换机,则需要增加相应的核心交换机板卡。综上所述,我们结合星型分级拓扑和两层结构规划,采用冗余设计,成功设计出此次网络规划设计方案。网络规划设计拓扑图如下::..VLAN的实现方式有两种:静态和动态。静态实现是网络管理员将交换机端口分配给某一个VLAN。这是最常用的配置方式,容易实现和监视,而且比较安全。动态实现VLAN的方式需要管理员先建立一个复杂的数据库,包括输入网络设备的MAC地址和相应的VLAN号。这样,当网络设备连接到交换机端口时,交换机会自动将连接的端口分配给相应的VLAN。动态VLAN的配置可以基于网络设备的MAC地址、IP地址、应用或协议。通常情况下,使用管理软件来实现动态VLAN的管理。在CISCO交换机上,可以使用VLAN管理策略服务器(VMPS)实现基于MAC地址的动态VLAN配置。VMPS是MAC地址与VLAN的映射表。这种配置的优点是网络管理员只需要维护管理相应的数据库,而不用关心用户使用哪一个端口。但是,每次新用户加入时需要进行较复杂的手工配置。基于IP地址的动态配置中,交换机会通过查阅网络层的地址自动将用户分配到不同的虚拟局域网。:..VLAN维护非常复杂,许多安全策略无法得到很好的应用,我们建议采用静态的方式进行VLAN的划分。通过改变掩码的设置,将原有的IP地址以部门为单位划分成不同的网段。在交换机上分别建立各个VLAN的网关,在接入层交换机上将端口分别划入各自的VLAN中。通过在交换机上建立访问控制列表,控制VLAN之间是否可以通信,以及在接入层的端口上实施安全策略,来提高网络的安全性。将每个专业的本地服务器划分到一个VLAN中,然后通过实施应用层的安全策略,来控制哪些员工可以访问不同专业的本地服务器。这样可以安全地实施资源分配,减少网管人员的日常工作量。IP地址是TCP/IP协议族中的网络层逻辑地址,用于唯一地标识网络中的一个节点。通常用于IP地址分配的技术有可变长子网掩码技术和路径叠加技术。IP地址的分配遵循以下几个原则:唯一性、简单性、连续性、可扩展性和灵活性。唯一性指一个IP网络中不能有两个主机采用相同的IP地址;简单性指地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的项;连续性指连续地址在层次结构网络中易于进行:..址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠加所需的连续性;灵活性指地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。设备的IP地址、,其中核心交换机位于地下一楼(B1),,~,100不能使用,。为了保障网络安全,该方案采取了一系列措施。首先,在核心交换机上设置了访问控制列表(ACL),限制了非法访问。其次,在各楼层的交换机上设置了端口安全,只允许已授权的MAC地址进行访问。此外,还对网络进行了分段,不同的VLAN之间不能相互访问。最后,还采用了网络入侵检测系统(NIDS)和网络入侵防御系统(NIPS),实时监控网络安全状况。:..安全性。网络安全是指保护网络系统的硬件、软件和其中的数据,防止受到偶然或恶意的破坏、更改或泄露,以确保系统的连续可靠正常运行,同时保证网络服务不中断。从广义上来说,凡是涉及到网络上信息的机密性、完整性、可用性、可控性和可审查性的相关技术和理论都属于网络安全范围。网络安全包括五个基本要素:机密性、完整性、可用性、可控性和可审查性。机密性确保信息不会被未授权的实体或进程获取;完整性确保只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改;可用性保证得到授权的实体在需要时可以访问数据,即攻击者不能占用所有资源而阻碍授权者的工作;可控性可以控制授权范围内的信息流向及行为方式;可审查性提供调查网络安全问题的依据和手段。网络安全体系结构应按照安全策略的要求和风险分析的结果,整个网络措施应按系统体系建立。具体的安全控制系统由以下两个方面组成:物理安全和网络安全。:..个计算机信息系统安全的前提。它是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误和各种计算机犯罪行为导致的破坏过程。网络安全包括系统(主机、服务器)安全、网络运行安全、局域网、子网安全、备份与恢复、访问控制(防火墙)、应急、灾难恢复、网络安全检测、反病毒系统安全检测、入侵检测和审计分析。防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。防火墙系统能增强机构内部网络的安全性,它决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。要使一个防火墙有效,的信息都必须经过防火墙,接受防火墙的检查,只允许授权的数据通过。在保护内部网安全方面,设置防火墙是最主要、最有效、最经济的措施之一。防火墙主要通过分组过滤和应用代理两种技术实现内外网的隔离和访问控制。:..头部的源地址、目的地址、端口号和协议类型等标志来判断是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被丢弃。应用代理是在应用层使用的技术,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。计算机病毒对网络安全构成了不可估量的威胁,因此网络反病毒技术是网络安全性建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和消毒三种技术。预防病毒技术通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。检测病毒技术通过对计算机病毒的特征来进行判断,如自身校验、关键字、文件长度的变化等。分析病毒技术通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测,以及在工作站上使用防病毒芯片和对网络目录及文件设置访问权限等。在安全管理方面,多人负责原则是一个重要的原则。每一项与安全有关的活动都必须有两人或多人在场,这些人应是系:..项是与安全有关活动:访问控制使用证件的发放与回收、信息处理系统使用的媒介发放与回收、处理保密信息、硬件和软件的维护、系统软件的设计、实现和修改。删除重要程序和数据的删除和销毁等这一段,因为它没有任何内容。为了遵循任期有限原则,任何与安全有关的职务应该不定期地轮换,强制实行休假制度,并规定工作人员进行轮流培训,以确保任期有限制度切实可行。职责分离原则要求信息处理系统工作人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。为了保证安全,每组内的两项信息处理工作应当分开。信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应的规范。具体工作包括:确定该系统的安全等级,确定安全管理的范围,制订机房出入管理制度,制订严格的操作规程,制订完备的系统维护制度,制订应急措施。此外,还应建立人员雇用和解聘制度,:..遵循职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。在维护系统时,应采取数据保护措施,如数据备份等。维护前后的情况要详细记录。在紧急情况下,应制订系统尽快恢复的应急措施,使损失减至最小。