企业网络工程.docx
- 文档编号:1616167
- 上传时间:2023-05-01
- 格式:DOCX
- 页数:24
- 大小:349.68KB
企业网络工程.docx
《企业网络工程.docx》由会员分享,可在线阅读,更多相关《企业网络工程.docx(24页珍藏版)》请在冰点文库上搜索。
企业网络工程
*******************
实践教学
*******************
兰州理工大学
计算机与通信学院
2011年秋季学期
计算机网络课程设计
题目:
企业网络工程
专业班级:
姓名:
学号:
指导教师:
梁一鑫
成绩:
摘要
本次企业网络工程设计建设一个以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心,以现代网络技术为依托,技术先进、扩展性强,将集团的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来,实现内、外沟通的现代化计算机网络系统。
该网络系统是支持办公自动化、供应链管理、ERP以及各应用系统运行的基础设施。
关键词:
网络拓扑图;IP划分;主干网;网络管理
前言
当今社会已步入信息社会,信息成为社会经济发展的核心因素,信息化已成为当今世界潮流。
而现在,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。
随着近年来企业信息化建设的深入,企业的运作越来越融入计算机网络,企业的沟通、应用、财务、决策、会议等等数据流都在企业网络上传输,构建一个“安全可靠、性能卓越、管理方便”的“高品质”大型企业网络已经成为企业信息化建设成功的关键基石。
第1章企业描述
1.1工程项目概况
某集团为了加快信息化建设,新的集团企业网将建设一个以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心,以现代网络技术为依托,技术先进、扩展性强,将集团的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来,实现内、外沟通的现代化计算机网络系统。
该网络系统是支持办公自动化、供应链管理、ERP以及各应用系统运行的基础设施,为了确保这些关键应用系统的正常运行、安全和发展,系统必须具备如下的特性:
1、采用先进的网络通信技术完成集团企业网的建设,实现各分公司的信息化;
2、在整个企业集团内实现所有部门的办公自动化,提高工作效率和管理服务水平;
3、在整个企业集团内实现资源共享、产品信息共享、实时新闻发布;
4、在整个企业集团内实现财务电算化;
5、在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系统;
具体要求:
●WWW服务
l●E-mail、FTP服务
l●网上多媒体教学,能提供视频点播服务
l●集团内行政管理
l●拨号上网服务
1.2信息点分布
主要信息点集中在生产部、账务部、网络中心、职工宿舍等部门。
详细分布如表1.1所示。
表1.1主要信息点分布
地点
信息点
备注
网络中心
40
需保证速度、流量和可靠性
生产部
150
需保证速度、流量和可靠性
账务部
120
需保证速度、流量和安全性
职工宿舍
1000
需保证速度和流量
销售部
100
需要保证速度和可靠性
综合设计
30
需保证速度和流量
第2章需求分析
为适应企业信息化的发展,满足日益增长的通讯需求和网络的稳定运行,今天的大型企业网络建设比传统企业网络建设提出更高的要求,主要表现在如下几个方面:
2.1带宽
现代大型企业网络应具有更高的带宽,支持10GE或将来平滑过渡到10GE,更强大的性能,以满足用户日益增长的通讯需求。
随着计算机技术的高速发展,基于网络的各种应用日益增多,今天的企业网络已经发展成为一个多业务承载平台,它不仅要继续承载企业的办公自动化和WEB浏览等简单的数据业务,还要承载涉及企业生产运营的各种业务应用系统数据,以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务,因此数据流量将大大增加,尤其是对核心网络的数据交换能力提出前所未有的要求。
另外,随着千兆端口的成本持续下降,千兆到桌面的应用会在不久的将来成为企业网的主流。
所以今天的企业网络已经不能再用百兆到桌面千兆骨干来作为建网的标准,它的核心层及骨干层必须具有万兆级带宽和处理性能,才能构筑一个畅通无阻的“高品质”大型企业网,从而适应网络规模扩大,业务量日益增长的需要。
2.2可靠性要求
现代大型企业网络应具有更全面的可靠性设计,以实现网络通讯的实时畅通,保障企业生产运营的正常进行。
随着企业各种业务应用逐渐转移到计算机网络上来,网络通讯的无中断运行已经成为保证企业正常的生产运营的关键。
现代大型企业网络在可靠性设计方面主要应从三方面考虑:
首先是设备级可靠性设计,这里不仅要考察网络设备是否实现了关键部件的冗余备份,还要从网络设备整体设计架构、处理引擎种类等多方面去考察;其次是业务的可靠性设计,这里要注意网络设备在故障倒换过程中是否对业务的正常运行有影响;再次是链路的可靠性设计,以太网的链路安全来自于它的多路径选择,所以在企业网络建设时要考虑网络设备是否能够提供有效的链路自愈手段和快速重路由协议的支持。
2.3Qos
现代大型企业网络需要提供完善的端到端QOS保障,以满足企业网多业务承载的需求。
大型企业网络承载业务的不断增多,单纯的提高带宽并不能够有效的保障数据交换的畅通无阻,而必须要考虑到网络应能够智能的识别应用事件的紧急和重要程度,如视频、音频、数据流(MIS、ERP、OA、备份数据),同时能够调度网络中的资源,保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送,实现对业务的合理调度才是一个大型企业网络提供“高品质”服务的保障。
2.4网络安全性
现代大型企业网络应提供更完善的网络安全解决方案,以阻击病毒和黑客的攻击,减少企业的经济损失。
传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对于病毒和黑客攻击的防御,但实践证明这些被动的防御措施并不能有效的解决企业网络的安全问题。
在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,才能有效的保证企业网络的稳定运行。
2.5网络管理
现代大型企业网络应具备更智能的网络管理解决方案,以适应网络规模日益扩大,维护工作更加复杂的需要。
当前的网络已经发展成为“以应用为中心”的信息基础平台,网络管理能力的要求已经上升到了业务层次,传统的网络设备的智能已经不能有效支持网络管理需求的发展。
比如,网络调试期间最消耗人力与物力的线缆故障定位工作,网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作,由于受网络设备功能本身的限制,都还属于费时、费力,有时甚至是不可能的任务,所以现代的大型企业网络迫切需要网络设备具备支撑“以应用为中心”的智能网络运营维护的能力,并能够有一套智能化的管理软件,将网络管理人员从繁重的工作中解脱出来。
第3章拓扑图及方案整体描述
3.1网络拓扑结构介绍
在此次某集团大型企业网的设计中,我们采用层次化模型来设计网络拓扑结构。
所谓“层次化”模型,就是将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。
层次模型既能够应用于局域网的设计,也能够应用于广域网的设计。
在大型企业网设计中,使用层次化模型有许多好处,列举如下:
1、节省成本
在采用层次模型之后,各层次各司其职,不再在同一个平台上考虑所有的事情。
层次模型模块化的特性使网络中的每一层都能够很好地利用带宽,减少了对系统资源的浪费。
2、易于理解
层次化设计使得网络结构清晰明了,可以在不同的层次实施不同难度的管理,降低了管理成本。
3、易于扩展
在网络设计中,模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中,而不会蔓延到网络的其他地方。
而如果采用扁平化和网状设计,任何一个节点的变动都将对整个网络产生很大影响。
4、易于排错
层次化设计能够使网络拓扑结构分解为易于理解的子网,网络管理者能够轻易地确定网络故障的范围,从而简化了排错过程。
3.2网络拓扑图
网络拓扑图如图3.1所示。
图3.1网络拓扑图
3.3网络设计
3.3.1骨干核心层网络设计
大型企业生产办公网络的核心网主要完成整个企业集团内部不同地域企业之间的高速数据路由转发,以及维护全网路由的计算。
鉴于大型集团企业的用户数量众多,业务复杂,QOS要求较高的特点,在本方案中采用神州数码的DCRS-7508高密度多业务核心路由交换机组建高性能的核心网络平台。
神州数码DCRS-7500系列交换机是具有运营商级容错能力的高性能大型网络核心交换机,可为高校和运营商提供基于领先技术的卓越性能和可靠性。
DCRS-7500系列交换机专为发挥万兆、千兆以太网潜在的强大交换能力而设计,超大容量的交换背板使得包括万兆端口在内的每个端口具备全线速交换能力,确保在巨大的网络通信负载下始终能够轻松实现线速的第二层和第三层交换,是城域网、数据中心、智能大厦及企业网络骨干级核心路由交换机的理想选择。
DCRS-7500系列交换机具有三种型号,包括15插槽的DCRS-7515、8插槽的DCRS-7508和4插槽的DCRS-7504,除DCRS-7515专用的大功率电源模块外,该系列交换机的所有管理模块、交换模块以及电源模块都可互换使用,而且管理模块、电源模块、风扇等还可实现冗余备份,温度传感器可以随时监控各个部件的工作温度,从而提供运营商级的可靠性。
DCRS-7500系列交换机的一大特色是管理模块均带有业务接口,使得所有的插槽均为有效的业务插槽,从而大大提高了端口密度和插槽利用率。
在骨干核心层中,我们采用三台神州数码DCRS-7508核心路由交换机组成一个环形多机热备份的核心交换机系统解决方案。
为提高核心网络的健壮性,实现链路的安全保障,本方案骨干核心层环网中可以采用VRRP(虚拟路由器冗余协议)。
对于各个业务VLAN可以指向这个虚拟的IP地址作为网关,因此应用VRRP技术为核心交换机提供一个可靠的网关地址,以实现在核心层核心交换机之间进行设备的硬件冗余,一主两备,共用一个虚拟的IP地址和MAC地址,通过内部的协议传输机制可以自动进行工作角色的切换。
进而双引擎、双电源的设计为网络高效处理大集中数据提供了可靠的保障。
3.3.2核心层网络设计
大型企业生产办公网络的核心层网络主要完成园区内各汇聚层设备之间的数据交换和与骨干核心层网络之间的路由转发。
传统解决方案一般采用骨干路由器+核心交换机来组建,但这种方式受限于交换机的性能,在提供MPLSVPN的业务能力方面较弱,不适合大型企业网络的建设需求,同时现在的大型企业办公网络具有城域网的特点,网络发展具有网络扁平化的发展方向,因此本方案骨干层网络设备采用DCRS-7508核心路由交换机作为大型企业生产办公网络的园区核心路由交换设备,DCRS-7508具有强大的业务和路由处交换理能力,能提供如MPLSVPN、QOS、策略路由、NAT、PPPoE/Web/802.1x/L2TP认证等丰富业务能力,并可通过内置防火墙模块实现各种强大的网络安全策略,可以充分满足大型企业不同园区网络的高速数据交换和支持多业务功能的要求,并能够提供完善的安全防御策略,保障企业园区网络的稳定运行。
3.3.3汇聚层网络设计
汇聚层网络主要完成企业各园区内办公楼宇和相关单位的内接入交换机的汇聚及数据交换和VLAN终结,在本方案中采用神州数码的DCRS-7504交换机多层交换机作为汇聚层面的交换机。
DCRS-7504交换机在提供高密度千兆端口接入的同时还能够满足汇聚层智能高速处理的需要,并能够加灵活的部署在网络边缘的各个位置。
能够同时提供多个高速专用堆叠端口和百兆、千兆光口/电口。
这些交换机都具备较强的多业务提供能力,可支持包括智能的CCL、MPLS、组播在内的各种业务。
为用户提供丰富、高性价比的组网选择。
3.3.4接入层网络设计
以往传统企业网络接入层的建设中并不关注于安全控制和QOS提供能力,而将网络的安全防御措施和QOS保障依赖于网络的汇聚层或骨干层设备,这给汇聚层和骨干层设备带来了巨大的压力,往往内网病毒泛滥成灾后导致骨干层设备瘫机,使网络没有QOS服务质量保障。
DCRS-2026B智能宽带接入交换机是能满足高安全、多业务承载、高性能的网络环境智能交换机,具备传统二层交换机大容量、高性能等优点,同时还具有领先的安全特性,进一步加强了企业网络对边缘接入层面的安全控制能力。
用户可以根据需要来订制自身的安全策略并部署在此交换机上。
该产品具备的端口带宽限制、端口镜像、QOS、端口安全、广播风暴抑制等功能可以很好的协助用户实现网络的管理和维护。
除此之外,此交换机还具备多个专用堆叠接口,可以满足楼层,楼宇内多个交换机高性能汇聚的需要。
3.3.5广域网互联设计
针对于大型企业需要良好的出口网关设备,我们建议用户选用神州数码DCFW-1800S-L。
神州数码DCFW-1800E-G2防火墙专为千兆位流量的网络服务运营商,大型数据中心等骨干网络而设计,采用2U专用千兆安全平台,完全模块化可扩展结构,具有热插拔特性的冗余部件为您提供最大的不间断运行时间。
神州数码DCFW-1800E-G防火墙内置2个10/100/1000M自适应以太网电口,具备6个SFP扩展插槽,最多可扩展至8个千兆接口,接口模块类型支持单模、多模光纤,千兆电口,充分满足您的定制需求。
3.3.6冗余/负载均衡设计
冗余设计是网络设计的重要部分,是保证网络整体可靠性能的重要手段。
但是投资也将增加。
部分企业园区网在早期的建设中由于成本的原因并未在设计中考虑冗余问题,而在优化工作中则需从网络链路和网络设备两方面着手。
冗余设计可以贯穿整个层次化结构,每个冗余设计都有针对性,可以选择其中一部分或几部分应用到网络中以针对重要的应用。
万一网络中某条路径失效时,冗余链路可以提供另一条物理路径。
可采用GEC链路聚合(IEEE802.3ad)实现端口级冗余,以克服某个端口或线路引起的故障。
也可采用生成树协议(IEEE802.1d)提供设备级的冗余连接。
此外,我们在设计中提供不同物理方向的双归属、双路由保护。
3.3.7线路冗余
在企业网骨干核心层,企业网络边界拓扑结构由于采用了环形多机热备份的核心交换机系统解决方案,所以在线路冗余方面的要求较高,对于线路的冗余要求,我们采用10GE线路对三台企业网骨干核心层设备进行环行双向备份,并使用业界领先的VRRP(虚拟路由器冗余协议)来对其作为冗余线路的协议保障。
以GEC作为N*1000M主干链路,通过这个链路连接骨干网交换机,具备万兆扩展能力;接入交换机采用10/100M自适应端口连接桌面系统,多千兆链路连接到汇聚层。
GEC路具有链路聚合和冗余保证两大特性,下面我们将对它们依次进行介绍。
链路聚合:
可使用一条物理链路在不同品牌交换机之间、交换机和服务器间提供聚合的高速通道,在不增加投资的情况下,扩大交换带宽,使关键连接的传输效率更高
冗余保证:
链路聚合中,成员互相动态备份。
当某一链路中断时,其它成员能够迅速接替其工作。
与生成树协议不同,链路聚合启用备份的过程对聚合之外是不可见的,而且启用备份过程只在聚合链路内,与其它链路无关,切换可在数毫秒内完成。
综合分析以上各主流方案的优缺点,从性能与成本及拓展性等方面的综合考虑出发,我们决定采用GEC骨干核心网络10GE拓展的方式作为其链路选择及备份选择。
在企业网汇聚层及接入层出于成本及性价比的考虑,我们决定采用千兆汇聚,万兆拓展;百兆到桌面的链路选择。
3.3.8网络设备冗余/负载均衡设计
当前,无论在企业网、园区网还是在广域网如Internet上,业务量的发展都超出了过去最乐观的估计,上网热潮风起云涌,新的应用层出不穷,即使按照当时最优配置建设的网络,也很快会感到吃不消。
尤其是各个网络的核心部分,其数据流量和计算强度之大,使得单一设备根本无法承担。
负载均衡建立在现有网络结构之上,它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。
它主要完成以下任务:
解决网络拥塞问题,服务就近提供,实现地理位置无关性;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失效。
在此方案中,在网络的每个关键结点,我们在设计时都做到了对其有效的冗余备份和负载均衡。
在网络的骨干核心层上。
我们采用了三台锐捷网络的RG-S8610高密度多业务IPV6核心路由交换机组建高性能的核心网络平台,在对骨干核心层提供足够的网络接点和接入需求的同时最大限度的为网络提供了有效的冗余保障和负载均衡。
在核心层的每个区块,我们都采用了两台锐捷网络的RG-S8606度多业务IPV6核心路由交换机做到冗余与负载均衡。
在汇聚层的每个区块,我采用了两台锐捷网络的RG-S5750交换机多层交换机做到冗余与负载均衡。
在本方案的设计中,出现了两个以上的交换区块和需要提供冗余连接的时候,我们采用了双核心配置。
如下图,我们给出了从接入层到汇聚层再到核心层的双核心配置。
图3.2双核心拓扑图
双核心拓扑结构提供了两条等代价路径和双倍的带宽。
每个核心交换机连接着数目相同的子网到第三层汇聚设备上。
每个交换区块都有冗余的连接到核心交换机上,因此形成两条不同的,但是等代价的连接。
如果一条核心设备发生故障,还是能够收敛,因为汇聚层设备的路由选择表中还有另一条到核心设备的路由。
第3层路由选择协议在核心中起链路选择的作用,VRRP提供快速错误恢复。
核心层不需要STP,因为在核心交换机间没有冗余的第2层连接。
3.3.9服务器冗余设计
企业网中服务器、大型机,如网络存储服务器,SQLServer服务器,其存储的数据对于企业来说致关重要,一些核心数据被视为企业的生命。
一方面它对企业的企业的重要性毋庸质疑,另一方面,由于这些数据的性质决定了其较大的被访问量,这个对服务器提出了稳定和快速的要求。
如果宕机,后果是技术是保障计算机系统的可靠性是重中之重。
为此,我们采用的是双机热备技术,此技术能够有效的满足核心服务器高效,稳定的高要求。
而且相对于其它成本技术来说,这是比较有经济价成效的技术。
Server1Server2
图3.3服务器双机热备技术
具体技术实现:
每个核心服务器均具有两个以太网接口(可以通过安装双网卡实现),在此基础上,以上图为例,DB服务器A与DB服务器B先分别利用自己的一个以太网接口实现两个服务器之间的直连,每个服务器另外的一个接口则与服务器区的网络实现互连,以达到双机热备的目的。
因此增加服务器的稳定性与高效性。
本网络中应具有多台服务器设备,包括DBSERVER数据库服务器,WEB,CATALOG等应用服务器,NEWS,MAIL等通讯服务器及多媒体服务器等。
3.310IP地址规划原则
IP地址构成了整个Internet的基础,IP地址资源是整个Internet的基本核心资源,IP地址资源的合理分配和有效利用是整个Internet发展过程中持续有效的一个极具分量的研究课题。
我们在对企业园区网IP地址编址设计和分配利用时,遵循了以下几个原则:
1)、自治:
整个园区网络网络被划分成几个大的自治区域,每个大自治区域中又被划分成几个小的自治区域。
2)、有序:
我们按照自治原则将网络进行逻辑划分后,就根据地域、设备分布及区域内用户数量来进行子网规划。
同时,我们将IP地址规划和网络层次规划、路由协议规划、流量规划等结合起来考虑。
在进行地址分配时,为了提高地址分配效率和地址利用率,我们在编址设计时按照了一定的顺序进行。
选择的顺序是自上而下的顺序,即采用了业界领先的自顶向下网络设计(Top-DownNetworkDesign)方法。
3)、可持续性:
考虑到园区内网络用户数将持续高速增长,网络所要承载的业务量和业务种类越来越多,这使得网络需要频频进行技术升级、改造和扩容。
所以,在进行地址分配时本方案充分考虑到了这些因素,为网络的每个部分留有部分地址冗余,这样保证网络的可持续发展。
4)、可聚合:
互联网日新月异的发展和日益庞大的规模令当初设计互联网络的专家始料不及,在路由表急剧膨胀情况下,可聚合原则是网络地址分配时所必须遵守的最高原则,可聚合原则要求在进行地址规划时,应提供足够的路由冗余功能。
5)、尽量节约IPv4地址:
由于IPv4地址越来越少,所以对于IPv4地址的使用需要格外节约。
IPv4地址的节约可以通过动态编址技术和NAT技术等来实现。
6)、闲置IP地址回收利用:
对于已分配出去的静态IP地址进行定期追踪管理,对长时间闲置的IP地址可经过确认后回收重复利用。
此次方案的设计,我们决定采用一个内部私有A类地址(10.0.0.0)对企业园区的网络设备编址。
由于从方案本身的网络拓扑图采用了典型的层次化设计,所以对IP地址的编址设计也应采取层次化的设计来完成,并采用VLSM来拓展有限的IP地址。
表3.4个部分IP数
网段描述
所需的IP地址数
骨干核心层链路
5(2个用于拓展备份)
集团总部
1000
生产部
500
客户部
500
机械厂
1000
大型机/服务器群
500
企业VOIP语音系统
2000
VLSM是可变长子网掩码的英文缩写,它提供了一个主类(A类、B类、C类)网络内包含多个子网掩码的能力,可以对一个子网再进行子网划分。
VLSM的优点
1、对IP地址更为有效的使用
2、应用路由归纳的能力更强
所以我们采取VLSM对网络进行编址,以达到节约IP地址,能够使用路由汇总的目的。
首先采用一个A类网址对园区网主体结构进行编址,至上而下的设计思路有利于设计的最后成型和网络的健壮性。
其次,在语音电话系统中,每一个IP电话需要一个IP地址以及诸如子网掩码、默认网关等的相关信息。
事实上,这意味着一个组织需要指派两倍于IP电话的IP地址给当前所有的pc用户,这个由DHCP提供。
我们使用私有编址的IP电话作为语音电话遍址方案。
最后经过我们的计算,将各部门IP地址分配如下表:
表3.5IP地址分配表
IP地址网段
VLAN编号
默认网关
财务部
192.168.10.0/24
10
192.168.0.254/24
生产部
192.168.20.0/24
20
192.168.0.254/24
销售部
192.168.30.0/24
30
192.168.0.254/24
行政部
192.168.40.0/24
40
192.168.0.254/24
用户地址与VLAN划分
Web服务器IP地址:
192.168.100.1/24
FTP服务器IP地址:
192.168.100.2/24
路由器出口IP地址:
222.18.44.3/24
3.4方案特点
本方案很好地解决了用户要求的四个问题,即带宽问题、安全问题、管理计费问题、灵活扩展问题。
带宽问题:
使用万兆互连双核心结构,使网络核心设备不但可以互相备份,而且有效的减轻流量负荷,使设备时刻保持稳定和高效。
安全问题:
校园网核心层、汇聚层、楼层汇聚层所使用的产品全部具有网络病毒和攻击的防护能力,并且防DOS/DDOS攻击,因而可以在不同的环境中做到安全防护,足以应对突发事件,保持网络稳定、通畅。
管理计费问题:
统一认证,针对校园网开放式的信息点造成的安全隐患,全网接入采用统一认证技术(可以进行账号、IP,MAC、LAVNID、交换机IP和交换机端口六要素灵活捆绑),保证了只有合法授权的用户才能使用网络或外部网络,而且还能对网络的使用情况进行审计。
灵活扩展问题:
核心层使用的路由交换机
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 网络工程