单位组网实施方案设计.docx
- 文档编号:14386801
- 上传时间:2023-06-23
- 格式:DOCX
- 页数:27
- 大小:635.11KB
单位组网实施方案设计.docx
《单位组网实施方案设计.docx》由会员分享,可在线阅读,更多相关《单位组网实施方案设计.docx(27页珍藏版)》请在冰点文库上搜索。
单位组网实施方案设计
摘要
随着计算机技术和互联网技术的不断发展,网络对单位显得越来越重要,单位用网络实现办公的网络化和信息处理的同步化,单位组网的出发点是:
高效、实用、灵活、可扩展、安全。
基于这些原因和单位实际条件,网络拓扑采取星型,硬件采取中档次,以兼顾以后的网络扩展,由于单位用户比较多,带宽要求高,因此采取光纤接入Internet,内网的机器上网采用NAT技术,对路由器进行NAT配置后,内网的所有机器通过这种方法上网,在外网看来都使用同一个IP地址,这样有利于保护内网用户的安全,内网各部门通过与中心交换机相连上网;另外,在单位内部架设WEB服务器、FTP服务器、EMAIL服务器、DNS服务器,并且通过路由器的端口映射使得外网的计算机可以登录该单位的网站进行访问,从而实现单位办公的网络化;在安全方面,考虑使用专门的防火墙成本太高,我选择带有防火墙和防止DOS攻击功能的路由器,配置之后明显较安全,另外每个机子都装有杀毒软件;这样基本上能实现单位所有机器的互连和访问,并且所有机器都连入Internet;达到单位的要求。
但是由于技术和条件的限制,设计不够完美,有待该进。
关键词:
路由器;服务器;交换机;网络安全;防火墙;双向NAT;
第一章绪论
随着计算机技术、网络技术的迅猛发展,计算机网络与人们工作和生活的联系越来越紧密,特别是随着以INTERNET为代表的全球性信息化浪潮的日益高涨,网络技术的应用研究正日益普及和深入,应用领域从传统的小型业务系统逐渐向大型的关键业务系统扩展。
电子邮件,IP电话,网络查询和浏览,以及电子商务技术的迅速发展,网络正在成为现代社会正常运转不可或缺的部分。
然而,网络在给人们带来种种益处的同时,也向人们提出了挑战,这就是网络安全的问题。
电子邮件可能被偷看,商业机密可能被窃取,政府网站可能被恶意修改等。
安全日益成为影响网络效能的重要因素,而INTERNET所具有的开放性,国际性和自由性在增加应用自由度的同时,对网络安全提出了更高的要求。
Internet自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。
但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁,与它有关的安全事故屡有发生。
网络安全的威胁主要为:
非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面,所有这些都是网络存在的安全隐患。
Internet不但具有丰富的信息资源,而且为了方便信息的访问、传输和共享,已经研究并开发了各种技术,设计与实现了各种信息访问的工具。
为用户的网络访问和信息交流提供了最简便的方式。
除此之外,越来越多的新技术不断出现在Internet上,如:
基于WWW的搜索技术、语音通信技术、视频点播技术、三维动画技术与VRML、Java技术、网络安全技术等。
本文只是以单位内部规模为蓝图,所设计的网络组网方案只针对单位的实际情况而设计的,是从网络组网安全方面着手规划设计组网。
第二章系统设计原则和需求分析
系统需求分析
设计一个网络,首先要确定用户对网络的真正需求,其中包括分析原有网络现在面临的主要问题,并找出新的用户需求和未来的发展可能,在此基础上设计选择合适的网络结构和网络技术,建设满足需求的网络。
我模拟的是一个集研发与销售为一体的单位,图2-1是该单位各部门地理分布图:
图2-1单位建筑分布图
该单位具有网络中心,策划部,行政部及研发中心。
并且各个部门分散在不同的办公楼内,其中行政部分布在行政楼和办公楼两个建筑内。
其中网络中心大概有60台客户机,其他各部门的客户机数量均在20台左右,随着该单位业务量的不断提高,对网络的要求也越来越高。
单位领导对新建的网络有以下要求:
(1)光纤千兆主干连接办公楼、网络中心、行政楼、策划部及研发中心。
(2)采用超5类双绞线系统连接各楼楼层网间设备与用户信息设备,使计算机信息传输时达到千兆速率。
(3)各布线系统符合交互式网络环境需求,支持多媒体传输及局部科研应用。
(4)光缆铺设利用现有管道直埋式铺设,楼内信息干线采用PVC线槽,线管铺设。
(5)整个网络采用先进的网络结构,以满足传输、存储和分散办公的需要。
(6)和Internet接通。
(7)满足网上的集成系统和业务系统的需求。
(8)完整统一的系统管理平台。
(9)经济实用性:
设备的选型应有最优的性能价格比,以最省的投资实现尽可能多的功能
系统设计原则
设计一个网络,首先要确定用户对网络的真正需求,其中包括分析原有网络现在面临的主要问题,并找出新的用户需求和未来的发展可能,在此基础上设计选择合适的网络结构和网络技术,建设满足需求的网络。
随着该单位管理水平的不断提高,网络会发挥越来越重要的作用,此外,未来的一些新的应用也对网络提出了支持多点广播的要求。
为确保该单位网建设和应用的成功,对网络方案的设计大致可归纳出以下的需求:
1.高带宽
为了确保某单位网络既要满足目前的业务需求,又要充分考虑未来的发展。
为此应选用高带宽的先进技术。
2.高可靠性
网络系统应具有高可靠性、高安全性,具体到本项目中,要求采用可靠性较高的产品和网络架构,在物理层、数据链路层和网络层等多个层次都有相应的技术,以最大程度的保证网络的正常运转。
保证
当今网络中多媒体的应用越来越多,这类应用对服务质量的要求较高,新的网络系统应能保证QoS,以支持这类应用。
4.多协议支持
由于网络将要存在不同的业务和办公应用系统,并基于不同的网络协议,所以网络系统应能支持多种协议(TCP/IP、SNA、Netbios等),是一个开放型的网络,支持各种协议的互连。
5.易管理、易维护
由于该单位网的网络系统比较分散,需要网络系统具有良好的可管理性,网管系统具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。
同时应尽可能选取集成度高、模块可通用的产品,以便于管理和维护。
6.安全性
网络系统应具有良好的安全性,要充分的保证网络的安全性,应该根据相应的管理制度和网络策略制定一套完善的安全政策,基于此安全政策,采用合适的技术手段,以达成目标,保证系统的安全性。
7.可扩展性和可升级性
系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。
8.符合国际标准
选用符合国际标准的系统和产品,可以保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。
9.另外,还有如下几个方面的需求:
(1)整个网络系统分布相对较广泛
(2)整个网络采用先进的网络结构,以满足传输、存储和分散办公的需要。
(3)满足网上的集成系统和业务系统的需求。
(4)完整统一的系统管理平台。
第三章系统设计总述
该单位网是一个比较复杂的网络系统,它具有计算机节点分散特点,所以对于计算机系统的处理能力、网络通讯能力及系统可靠性要求也就很高。
该单位网的建设方案中,我采用了许多国际上最先进的网络技术和设备,能为该单位网的建设提供最完善的解决方案。
可扩充性和易维护性
网络建设是一个连续的过程,要有良好的可扩充性和易维护性。
为了适应该单位规模的不断发展、网上应用需求的日益增多,系统除预留的较充裕的性能余量外,还要拥有简单易行的扩充升级能力,满足未来的应用需要。
系统可扩充性包括硬件系统的可扩充性和应用软件系统的可扩充性两个部分:
1.硬件系统的可扩充性
可以保证系统将来可以连接更多的计算机用户提供更多的网上服务,以及保证将来规模和应用量显著增加时,设备能平滑地适应系统操作要求,或能够通过设备升级方式保证系统的正常运行。
2.软件可扩充性
是指应用软件系统可以适应将来的系统的扩展和信息量的扩大(如历史数据的累加、数据资料的增多等)。
开放性
选用开放的硬件和软件平台,以满足与其它系统互联、目前和今后单位规模扩大的需求:
由于系统互连全部采用国际标准的网络层通讯协议TCP/IP,所以具有很好的开放性,因为所有的主机系统生产厂商都努力使自己的产品遵循TCP/IP标准,所以可以很方便地实现多种主机的互连。
采用Intranet技术
下面我们大致来了解一下Intranet技术。
计算机网络技术的发展大体上经历了三个阶段:
一是以Mainframe为中心的集中处理式网络,即主机——终端模式;二是以Client/Server模式为中心的分布式计算处理网络系统,即客户/服务器模式;三是目前正兴起的Intranet模式,它是以基于Internet的技术为特征的。
企业内部网Intranet不是一种产品,而是一种思想和概念,它利用业已成熟而广泛采用的Internet技术,以TCP/IP协议为基础,以Web为核心应用,构成统一和便利的信息交换平台。
用户通过WWW的工具能方便地浏览企业内部和Internet上丰富的信息资源,并且可将电子邮件、电子新闻、电子表格和各种数据库应用等系统集成到浏览器界面中,同时又
能够较好地与传统的C/S系统相融合,使传统应用平滑地过渡到Intranet。
Intranet自近几年出现以来,受到了广泛关注,取得了迅速发展,给企业带来众多益处。
它与传统的企业管理信息系统相比有很多优点,其最大的好处在于企业内外部的信息交流,不仅减少了通信联络费用,还加强了管理,提高了工作效率和质量,改进了客户服务质量,提供了新的商业机会,改进了决策手段,使得Intranet大有取代传统的企业内部管理系统之势。
3.3.1功能
Intranet的功能有许多,但最基本的可归纳为以下几种:
1.文件传送功能
该功能是基于FTP(FileTransferProtocol)协议的,网络上的两台计算机无论地理位置如何,只要它们都支持FTP,则网上用户可将需要的文件在两台计算机之间进行传送,使用FTP几乎可以传送任何类型的正文文件、二进制文件、图像文件、声音文件和数据压缩文件等。
2.信息发布功能
企业信息的发布,如电话号码、企业法规、工作计划和有关文件等可以存储在Web服务器上供企业内部客户或授权的外部客户,通过浏览器方便地查询。
这些信息是以HTML页面方式发布的。
3.电子邮件E-mail
E-mail是一种通过计算机网络与其它用户进行联系的快速、简便、高效和廉价的现代化通信手段,在世界范围内得以普遍采用。
它采用"存储转发"方式传送电子信件,邮件服务器充当"电子邮箱",在网上建有账号的PC机通过"电子邮箱"收发电子信件,非常方便。
4.用户与安全管理
根据具体情况建立用户组,用户组由若干个用户组成,可以对不同的用户组或用户设置不同的访问权限,以达到对各种信息的访问权限进行控制的目的,对于需要在传输中保密的信息,还可以采用加密技术和手段,保护信息提供者的利益。
5.网络新闻服务
运用新闻讨论组、广告栏或群组讨论软件,企业内部的网络用户可以就共同关心的问题相互交换意见,充分沟通。
每个用户可以自由地向网上发送自己的文章或信息,阐明自己的观点或提出问题。
在信息社会中,这种交流有利于企业获得更多的商业机会和商品信息,也有利于促进企业管理、提高生产力和增强竞争能力。
6.数据处理与查询
通过WWW的某些技术,实现Web服务器与数据库系统的连接,完成对数据的处理与查询,用户可以通过操作简单易用的浏览器来查询所需要的数据、声音和图像信息。
3.3.2特点
Intranet之所以在世界范围内为众多用户接纳,是因为它有一系列优势,与传统的管理信息系统相比有许多不同之处,归纳起来其主要特点如下:
1.它的协议和标准是公开的,它不局限于任何硬件平台和操作系统,用HTML、Java和JavaScript开发的应用,可以简单地移植到任何平台上,所以跨平台性是Intranet最重要的特性。
2.支持多媒体信息。
数据、声音、图形和图像等多种信息,通过标准浏览器显示出来,界面统一、友好且简单易用,从而减轻了培训的工作量,减少了培训费用。
3.由于HTML简单易用,因此客户通过浏览器存取信息,文件容易共享,传递信息快速、准确。
4.由于Intranet的建立、维护和教育培训费用相对低廉,因此采用Internet技术来发展企业Intranet,可以降低企业的营运成本。
开发简单。
传统管理信息系统的开发是复杂的,除了要在服务器端进行大量开发外,还要在客户端进行大量开发,对不同的功能,都要重新开发用户界面。
而对于Intranet,开发者只需做服务器端开发,客户端只要安装一个通用的浏览器即可,不需做任何开发。
6.在现有网络中建立Intranet,只是改变目前企业网的应用方式和界面,并不需要改动现有企业网的物理结构,而且与现有管理信息系统可以有机地集成,平滑过渡到Intranet。
3.3.3设计与实现
一个企业要建立Intranet,必须进行严格而周密的规划和设计,要从系统工程的角度去考虑其先进性、实用性、高效性和安全可靠性,从而建立起一个有效的、尽可能完善的企业内部网。
以下就二个主要的问题进行阐述和分析。
的基本结构
图3-1给出了Intranet的基本框架结构,一个构建Intranet的基本模型。
模型中对于服务器、开发端、客户端、网管及防火墙等软件系统给出了几种选择,用户可以根据企业内部的具体情况选定。
图3-1Intranet的基本框架结构
2.Intranet的安全性
由于Intranet迟早要与Internet或社会化公众网或其它外部网络相连接,因此安全问题是建立Intranet者必须考虑的。
目前主要是采用"防火墙"技术来保证Intranet的安全性。
所谓防火墙是一种运行特定安全软件的计算机系统,它在内部网与外部网之间构筑一个保护层,只有被授权的通信才能通过保护层,防止未授权访问、非法入侵和破坏行为。
防火墙产品大体上分两种类型:
一种是包过滤型,它是一种具有特殊功能的路由器,它使用报文动态过滤技术,动态检查流过的TCP/IP报文头,根据用户定义的规则,决定允许或禁止哪些报文流过。
另一种是应用网关型,它使用代理技术,在内部网与外部网之间设置了一个物理屏障,对于外部用户的telnet、ftp等高层网络协议的服务请求,代理服务机制将对用户的身份进行合法性检查,决定接受还是拒绝。
从应用情况看,企业的防火墙多采用代理服务方式,因为它的安全性更高,能进行严格的用户身份认证,从而能进行基于用户的网络访问控制。
此外,它可解决企业IP地址不够的问题,企业可把申请到的IP地址分配给代理服务器(ProxyServer),内部网络使用虚拟的IP地址,对外访问通过代理服务器实现。
代理服务器可以直接安装在对外提供服务的Web服务器上。
采用VLAN技术
1.什么是(虚拟)?
VLAN是一种用逻辑的定义方法,把两个或更多的连在交换网络上的终端规划在一起。
这种逻辑定义方法可以延伸到多个。
被规划在一起的终端,可以通过几种网络设置来规划。
好像任何一种一样,了解在您的网络上存在的VLAN的特性,是有效地管理网络一个非常重要的一节。
这可令您更精确的设定VLAN并在事故发生时减少故障诊断的时间。
2.为什么要用VLAN呢?
采用VLAN的主要原因有几个:
如控制域的范围,网络,第三层地址的管理,和网络资源的集中管理。
3.控制广播域的范围
当一个广播域内的设备增加时,在广播域内设备的广播频率便会相对增加。
广播率的提高,对设备的效率会有很大的影响,因为每一个设备都必须中断其正在处理的业务,来处理收到的广播包,以决定是否需要对包内的数据作进一步处理。
这种中断降低了CPU处理正常业务的效率,增长了完成这些业务的时间。
VLAN一个非常重要的好处是在一个VLAN内的广播包不会跑到别的VLAN上去。
通过限制一个VLAN上的设备数目,在一个VLAN上的广播率便可受到控制。
一个正常的广播率应该平均每秒不超过30个广播包。
虽然还没有正式的文档宣称,但通过现场性能监测,建议广播不应该超出30个/秒。
4.网络安全
有很多时候,人员需要限制对本地网络中一个或多个特别设备的接入。
如果所有的设备都在同一个广播域内,便很难执行这种限制。
通过建立多个广播域,可以通过地址过滤和建立连接认可地址表来实现该限制。
要跨越一个VLAN必须通过一个3层设备。
这种路由设备让网管人员可以定义设备间的接入。
这种接入控制功能的使用,可以控制和监视对敏感资源设备的接入。
5.第3层地址管理
一个很常见的,是把同类型的设备,规划在同一个IP子网。
例如把打印机安排在同一个IP子网上,属于会计部的工作站和却在另一个子网。
在逻辑上这样好像很合理,但在一个大型企业网络上,这种构想没有VLAN是无法实现的。
6.网络资源的集中管理
假定我们把所有的打印机都规划在一个子网上,而每一个打印机都必须在同一个广播域里。
这样等于需要在每一个楼层上,分别安装交换机。
这些交换机都需要光缆和铜缆的连接,而这些打印机子网都需要连接到自己的专用路由器端口上。
利用VLAN,可以让打印机和网络中的其他设备连接到同一个交换机,分享同一条互联的电缆或光纤链路、同一个路由器端口。
VLAN的挑战
采用VLAN的一个最大挑战就是文档备案。
当您把一个设备连接到交换机时,没有一个好办法知道设备所连的交换机端口究竟是被设定到哪一个VLAN,或是否被设定成VLAN骨干()端口。
在大多数的情况下,确定端口的VLAN设置只可以通过登录到交换机的控机台这种过程需要用户口令并对交换机的设置管理指令有比较深刻的了解。
当您对网络作扩容、移动或改变时,以上的挑战便更加明显。
例如在一个企业里,安装交换机时一般的策略是把头12个端口设成VLAN23,但是实际上,网管人员可能是因为后来端口不足或是因为企业的政策推行不完善而把设定更改。
无论如何,当一个设备连接到交换器的头12个端口时,无法保证他会在VLAN23这个VLAN上。
7.通过VLAN透视来解决
VLAN透视选件是一个附加在OptiView集成式网络分析仪上的选件。
这个选件可以帮助网管人员应对对交换机的VLAN设定作文档备案的挑战。
VLAN透视选件通过来询问交换机的每一个端口的VLAN设置。
这些讯息可以直接显示在OptiView集成式网络分析仪的显示屏上或通过遥控界面来观看。
交换机支持的每一个VLAN号都会列在显示屏的左边,在右边显示出对应的每一个VLAN号的交换机端口。
除了显示VLAN和端口的相关性,VLAN透视选件还会显示每个端口的。
这对确定哪些端口被配置成骨干端口、哪些端口被配置成接入端口是非常有用的。
对骨干端口,VLAN标记那些显示的帧。
这对解决两台交换机通过VLAN骨干连接产生的连通问题是非常有帮助的。
显示VLAN配置信息的能力,不仅仅对分析仪所在广播域的VLAN有效,只要是综合分析仪通过IP可达的任何交换机都有效。
这表明VLAN透视可以显示综合分析仪经过很多路由器跳数以后达到的交换机VLAN配置信息。
除了可以显示VLAN配置,VLAN透视可以生成基于每一个交换机的HTML(浏览器格式)报告。
该报告描叙交换机的现有VALN和每个VLAN的包含的交换机端口。
除了显示信息,还可以生成远端IP子网的交换机报告。
第四章单位网络规划及建设
主干网网络技术选型:
该单位网络的建设中,主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。
选择适合某单位网络需求特点的主流网络技术,不但能保证网络的高性能,还能保证网络的先进性和扩展性,能够在未来向更新技术平滑过渡,保护用户的投资,选择以太网(Ethernet),它的技术成熟,既能满足单位当前的实际需求,又便于今后网络的扩展、升级。
网络产品选型
4.2.1核心交换机
我们在核心交换机的选择上,选择了图4-1所示的TAR-S2800-L3全模块化三层交换机。
图4-1STAR-S2800-L3全模块化三层交换机
1.产品特点
(1)采用国际著名的专用ASIC硬件转发引擎,保证系统所有业务端口均可同时达到线速转发;
(2)采用业界先进的交换矩阵结构,克服共享式总线交换结构的弱点,使整个系统的交换容量具有很强的伸缩扩展能力;
(3)支持、端口优先级等QOS策略,避免和减缓端口阻塞,提供严格的质量保证;
(4)支持生成树协议、、,保证快速收敛,提高容错能力,保证网络的稳定运行;
(5)支持各种传统的认证计费流程,同时支持先进的安全认证控制协议,认证流和应用流分开,与Radius协议配合,简化认证计费过程,认证通过后可根据用户属性控制用户接入端口行为;
(6)高安全性,采用地址绑定、用户接入数目控制、安全端口设定等多种措施;
(7)7.可实现集群管理,保护网络资源,降低网络管理成本,并实现更高效的统一管理和规模扩展;
(8)支持业界领先的EAPS功能,实现网络的高可用性;
(9)支持各种QOS技术:
支持基于交换机物理端口、MAC地址、VLAN号、IP地址、TCP/UDP端口号来区分同的业务流,支持基于、DSCP值的流分类,支持数据流的硬件队列分配和调度(SP、WRR等)、基于流的速率限制(CommitAccessRate等);
2.三层交换技术
三层交换技术就是:
二层交换技术+三层转发技术。
它解决了局域网中划分网段之后,网段间的通信必须依赖传统路由器进行网段间数据转发的问题,和传统路由器的基于软件算法的转发操作,所造成固有的低速而造成网络瓶颈的问题。
三层交换的优势通过IP路由还能提高网络的整体性能。
传统的交换机工作在网络七层模型的第二层——数据链路层,只能识别该层以下的信息,三层交换是指网络设备可以判别第三层的IP,并以此为依据实现数据的跨网段转发。
交换机的三层交换可以实现原来路由器才能完成的路由功能,而数据处理的延迟却又远远低于路由器,因为交换机的路由功能是基于硬件实现,这完全不同于传统路由器的软件实现,它达到第二层交换机才有的高效率。
另外随着网络中数据、语音和视频等多业务传输需要的逐渐增加,传统的二层交换的局限性就日益暴露出来,在整个完全部署二层交换机的局域网环境里,数据交换所产生的广播到处漫延,影响了用户数据的正常通信。
三层交换具备的路由功能可抑制网络广播的扩散,同一网段内的广播被限制在自己的广播域里,这样就能大大提高数据的安全性。
一般我们在网络管理中,都会把相同部门的主机划归同一个广播域(基于VLAN的实现),这样同个部门间主机通信时产生的广播将被限制在本部门的广播域里,有效地保证了网络的保密性和安全性。
当数据要跨越网段通信时,就要用到路由来进行转发。
三层交换(路由功能)就像是网络的一道闸门,它使网段内的通信广播被限制在里面,要出去则由它来代劳。
因此广播被限制,广播风暴不会产生,网间路由是它的特点,这样就能实现网络通信的保密性和安全性,提高网络整体性能。
当今的企业网络需要在网络边缘满足新的业务需求,比如需要占用大量夺带的应用,这些新的需求将与现有的关键业务争夺带宽资源,所以需要交换机具有三层交换的功能,阻断网络广播跨网段传播
4.2.2路由器的选择
结合本论文的组网需求,我们需要一个能够支持现有的传统数据访问应用和新兴数据WAN服务的平台,包括VPN和宽带技术(ADSL、和有线电缆);为了将来打算在WANA上将语音/传真流量和数据集成到一起。
结合需求,我们选用图4-1所示华为3ComQuidwayR2621模块化路由器。
华为3ComQuidwayR2621模块化路由器,处理器为MotorolaMPC8240200MHz,支持VPN,支持QOS,内置防火墙功能,SNMP。
图4-2华为3ComQuidwayR2621
4.2.3二层交换机选择
二层交
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 单位 组网 实施方案 设计
![提示](https://static.bingdoc.com/images/bang_tan.gif)