1、 摘要现今的计算机网络技术飞速发展,使用网络进行信息传输已成为社会运行的一种基本方式。随着办公信息化、自动化的需求,各单位为提高办公效率,促进信息交流,适应现代化办公的要求,需要组建企业办公局域网。组建企业局域网所涉及的方方面面很多,首先需要一个正确的设计规划,然后需要处理布线、网络设备选型与配置、服务器设备选型与配置、网络软件的安装等方面,这都需要按部就班的逐一实现,最后还需要进行正常的日常维护,本设计就如何规划和设计企业局域网进行浅述。本设计首先从总体上对公司网络建设的基本需求进行了分析研究,确定企业网络拓扑结构、综合布线设计原则、中心机房规划与设计、网络设备选择等。从各个方面对企业局域网
2、建设提出了规划的方案,以期对企业局域网的建设做出贡献。本毕业设计课题将主要以华迪公司网络规划与设计过程可能用到的各种技术及实施方案为设计方向,为公司网的建设提供理论依据和实践指导。关键词:企业局域网;网络拓扑结构;综合布线;VLAN;防火墙IAbstractThe current rapid development of computer network technology,the use of information transmission network has become a basic way of operation.With the office of information
3、 and automation needs of various units to improve the office efficiency and facilitate the exchange of information,to adapt to modern office requirements,the need for organizing enterprise office LAN. A lot of organizing enterprise LAN aspects involved,first of all need a proper design and planning,
4、and then have to deal with cabling,network equipment selection and configuration,server equipment selection and configuration,network software installation,etc.,which are required to follow the prescribed order one by one to realize,finally also need to maintain normal,this article on how t how to p
5、lan and design of enterprise network.In this paper,The first design the basic demand of construction company network from the overall analysis, determine the enterprise network topology structure, integrated wiring design principles, center room planning and design, network equipment selection. From
6、 the aspects of the planning and construction scheme of enterprise LAN, in order to contribute to the construction of enterprise LAN, Various technical and implementation scheme of the graduation design task will be mainly Hwadee network planning and design process can be used for the design directi
7、on, to provide theoretical basis and practical guidance for the construction of company network.KeyWords:Enterprise:LAN;Network;topology;structure;Integratedwiring;VLAN;FirewallII目录摘要IABSTRACTII第一章 公司描述1第二章 需求分析32.1 现有状况和新需求32.2 系统设计原则32.3 网络建设需求52.3.1硬件需求52.3.2软件需求62.4 互联网接入要求62.5 服务器要求62.6 网络管理与安全
8、要求62.7 QoS82.8 可行性分析8第三章 总体方案设计93.1 网络逻辑方案设计93.2 关键技术构思设计103.2.1双核心热冗余备份设计103.2.2链路汇聚技术113.2.4VLAN划分技术113.2.5VPN技术12第四章 详细方案设计144.1网络拓扑设计144.1.1网络拓扑图及设计说明144.1.2主要设备选型说明154.2 综合布线设计244.2.1工作区子系统设计介绍254.2.2水平干线子系统设计介绍254.2.3管理子系统设计介绍264.2.4垂直主干线子系统设计介绍264.2.5设备间子系统设计介绍274.2.6建筑群子系统设计介绍274.3 冗余设计284.1
9、 网络中心机房规划与设计294.5 系统与应用软件的选型与设计314.6 无线补充网络规划设计32第五章 VLAN、IP划分方案335.1 Vlan、Ip技术介绍335.1.1地址规划和分配原则335.1.2划分VLAN的作用及原则355.2 VLAN、IP划分方案(VLSM/CIDR)36第六章 网络管理与安全方案376.1 网络管理方案376.2 网络安全方案38第七章 测试与验收407.1 测试目标及其验收标准407.1.1测试方式407.1.2测试指标417.2 网络系统的试运行417.3 网络系统的验收417.4 网络交接与维护427.4.1网络系统交接427.4.2网络系统维护42
10、第八章 项目预算438.1 布线材料清单及报价438.2 网络设备清单及报价44设计总结47参考文献48附录一 英文资料原文49附录二 英文资料译文49致谢62第一章 公司描述华迪信息技术有限公司位于四川省成都郫县,是一家以培训为主,软件研发为辅的中小企业,占地约1000亩,公司员工约100人左右,培训学生600人左右。下面是公司的物理位置分布图,如图1.1所示:公寓楼华迪主楼北草坪图1.1 华迪物理区域图四川华迪信息技术有限公司新建大楼包括教学区和办公区,旁边有一座学生公寓,另洛阳分公司和重庆公公司(办事处)通过电信专线连入成都总部,本设计主要设计成都的网络方案。四川华迪网络包括3个区域,其
11、中办公楼包括80个数据点,80个语音点,宿舍区包括150个数据点,150个语音点,教学楼包括480个数据点,50个语音点。下表1.1是公司的信息点分布情况:表1.1 华迪公司信息点分布表建筑物楼层描述每层信息点楼层总信息点教学楼一层:机房,实验室数据点180个,语音点10个数据点480个,语音点50个二层:培训室、会议室数据点180个,语音点10个三层:培训室、分析室数据点80个,语音点20个四层:培训室、实验室数据点40个,语音点10个 办 公楼一层:库房、档案室数据点20个,语音点20个数据点80个,语音点80个二层:办公室数据点20个,语音点20个三层:办公室、财务室数据点20个,语音点
12、20个四层:经理室、办公室数据点20个,语音点20个 公寓楼15层:每层约十间宿舍每层数据点30个,语音点30个150个数据点,150个语音点 合计710个数据点,280个语音点第二章 需求分析2.1 现有状况和新需求成都华迪是一家集计算机培训、软件研发、电子政务的中小企业,原始的网络设备陈旧且破损严重,宽带速度低,网络故障频发,并且许多应用软件效率低,与新的PC系统兼容性差,严重阻碍了公司业务的发展,使公司在市场竞争中处于不利地位。为了加快公司信息化建设,新的企业网将建设一个以办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及网络教学为核心,以现代网络技术为依托,技术先
13、进、扩展性强,将公司的的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来,实现内、外沟通的现代化计算机网络系统。该网络系统是支持办公自动化、财务管理、ERP以及各应用系统运行的基础设施,为了确保这些关键应用系统的正常运行、安全和发展,系统必须具备如下的特性:1、公司网要求采用千兆以太网主干交换机,10M/100M交换到桌面。结构化的综合布线,采用先进稳定的设备,保证教学和办公的网速流畅。提供一套可监控,易管理,可扩展,易升级的高效网络系统。建成的网络留有冗余,满足企业今后对网络发展的需求,2、主流的软件应用系统,包括财务系统、多媒体教学系统、数据库系统、自动化办公系统等。2.2
14、 系统设计原则系统设计原则需要满足以下要求:统一性:网络要统一规划,分步实施,便于网络管理。完整性:整个网络的系统功能、数据安全、网络管理等方面应有充分的保证。实用性:当今世界计算机和通信技术处于高速发展阶段,新的技术和新的产品不断的出现,但是一些新的技术和设备往往存在不成熟和不完善等问题,需要在使用过程中不断的完善,但给用户带来的问题将是:系统不稳定、不可靠,存在安全隐患,而且造成了大量不必要的资金浪费,运行和维护费用大大增加。所以本系统在充分满足系统应用需求的前提下,应采用先进的、成熟的、实用性强的技术和产品,不盲目的追求设备的高档、技术的超前。以免造成不必要的资金浪费,从而使系统具有较强
15、的实用性。可靠性与有效性:网络系统作为其他应用系统的基础,如发生系统瘫痪,其造成的损失是难以估量的,因此系统必须可靠地连续运行,即系统设计必须从系统结构、设计方案、设备选择、厂商的技术服务与维修响应能力、设备备件供应能力等方面考虑,使故障发生的可能性尽可能少,影响面尽可能小.它应该能实现内部办公事务和外部事务处理的整合。适应性:用户信息网站应采用大型关系数据库,模块化等先进成熟的技术方法,在给用户提供了极大的灵活性的同时,也有效地保证了系统的可靠性。可扩展性:由于计算机和通信技术的不断发展,用户的需求也在随着时间的推移不断的发生变化,以及由于应用软件种类和业务数量的增加,功能的强化,系统软件的
16、升级将对主机和网络系统提出更高的要求,网络构造应具有高度的扩展性,以降低系统扩充的投入成本,并满足信息技术高速发展的需要.能适应2-3年内的业务增长和突发性事件的需要,确保各级系统的可扩充性和先进性,并注意设备的冗余设计以及网络的负载均衡。安全性:信息安全是企业信息网实施的第一要素,网络系统不但要能够实现功能,更重要的是要稳定安全. 因此,应采取如下技术以增强网络的安全性:设备的安全性,应用级的安全性,网络级的安全性,数据级的安全性。合理的网络安全控制,可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问,灵活的实施网络的安全控制策略。在企业园区网络中,关键应用服务器、核心网络设备
17、,只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限,网络应该能够阻止任何的非法操作。在园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模园区网络的设计上,划分虚拟子网,一方面可以有效的隔离子网内的大量广播,另一方面隔离网络子网间的通讯,控制了资源的访问权限,提高了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力,使网络可以任意连接,又可以从第二层、第三层控制网络的访问。可管理性:网络中的任何设备均可以通过网络管理平台进行控制,网络的设备状态,故障报警等都可以通过网管平台进行监控,通过网络管理平台简化管理工作,提高网络管理的
18、效率。在进行网络设计时,选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置,网络拓扑结构表示,网络设备的状态显示,网络设备的故障事件报警,网络流量统计分析以及计费等。网管软件的应用可以提高网络管理的效率,减轻网络管理人员的负担。网络管理的目标是实现零管理,基于策略的管理方式,网络管理是通过制定统一的策略,由管理策略服务器进行全局控制的。基于Web的网管界面,是网管软件的发展趋势,灵活的操作方式简化了管理人员的工作。在设计园区网的设备选择上,要求网络设备支持标准的网络管理协议SNMP,同时支持RMON/RMONII协议,核心设备要求支持 RAP (远程分析端口) 协议,实施充分
19、的网络管理功能。在设计园区网的原则上应该要求设备的可管理性,同时先进的网管软件可以支持网络维护、监控、配置等功能。经济性:在充分满足系统应用需求的前提下,应采用先进的,成熟的,实用性强的技术和产品,不盲目追求设备的高档,技术的超前,以免造成不必要的资金浪费,从而使系统具有较强的经济性,采用性价比高的方案,尽可能降低造价,实现最优的性能价格比。标准性:满足最新、最高的布线系统标准(如国家标准:CECS 72:97和CECS 89:97、国际标准:ISO/IEC 11801、欧洲标准:EN50173等),本方案要求可满足目前最新的6类的技术标准(草案)的要求。2.3 网络建设需求网络在日常办公环境
20、中起着至关重要的作用,企业网的运作模式会带来大量动态的www应用数据传输,这就要求网络有足够的主干带宽和扩展能力。同时,一些新的应用类型,如网络教学、视频直播/广播、文件共享等,也对网络提出了支持多点广播和宽带高速接入的要求。中心机房到汇聚层节点采用4兆光纤(多模)连接,汇聚层到接入层采用百兆的五类线(或者超五类)连接。有了硬件的强硬支持,软件的稳定可靠是网络的灵魂。2.3.1硬件需求华迪主楼包括教学区和办公区,华迪公司中心机房位于教学区一楼配线间,通过光缆与其他配线间相连。主干1000M带宽,以100M接入到工作台桌面;整个华迪信息公司大楼分为左右两半部份,左右两部份相距150米,采用光纤连
21、接。学生公寓和华迪主楼通过光纤(500m)相连;中心采用三层交换机实现网络交换路由,可采用千兆光模块。硬件是华迪总部所使用的设备,在能满足所有系统的要求的前提下,采用先进、成熟、完善、实用性强的技术和产品,不盲目追求设备的高档,以及技术的超前。选择符合需求的服务器、交换机、路由器、防火墙等网络设备,以及线缆、机柜、等综合布线设备,必须符合系统设计原则。2.3.2软件需求主机系统应采用国际上较新的主流技术,并具有良好的向后扩展能力。系统具有高的可靠性和有效性,能长时间连续工作,并有纠错措施.支持通用型数据库,如sql、oracle等.具有广泛的软件支持,软件兼容性好,并应支持多种传输协议。能与I
22、nternet互联,可提供互联网的应用。如WWW浏览服务,FTP文件传输服务,E-email电子邮件服务等服务。应支持SNMP网络管理协议,具有良好的可管理性和可维护性。2.4 互联网接入要求互联网接入是通过特定的信息采集与共享的传输通道,利用电话线拨号接入(PSTN)、ISDN、xDSL、光纤宽带接入等接入传输技术完成用户与IP广域网的高带宽、高速度的物理连接。华迪公司为了构建办公网络,合理控制办公用户互联网接入与访问,同时满足费用实惠,传输性能可靠的需求,外网要求通过硬件防火墙接入,在成都这一区域通过租用电信部门的FR/DDN专线接入,移动用户通过虚拟专有网络(VPN)接入华迪总公司办公区
23、。2.5 服务器要求一台OA服务器,一台FTP服务器,一台系统管理服务器(DHCP/DNS/WINS),一台外网WEB服务器(可兼做外网VPN访问),两台ERP数据库服务器(双机热备)。服务器可根据需要配置成性能好普通主机,以节约成本。可以7*24小时不间断为公司提供服务。2.6 网络管理与安全要求网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全主要表现在以下几个方面:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。华迪公司属于园区网,安全需求有自己的独特
24、性和普遍性。先进的设备需要有管理及维护的相关保障,才能为公司的稳定、高效的运作,减少不必要的麻烦,提高办公、教学和通信的效率,在选择设备和产品时,本方案尽量选择同一个且在同行中具有较高影响力的厂家(Cisco公司产品),这样即方便管理,又为以后的扩充及维护带来便利,同时还具有较高的可靠性和安全性。1、 硬件实体的安全网络系统属于弱电工程,耐压值很低。因此,在网络工程的设计和施工中,必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离;考虑布线系统和绝缘线、裸体线以及接地与焊接的安全;必须建设防雷系统,防雷系统不仅考虑
25、建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识等,因此要注意这些安全隐患,同时还要尽量避免网络的物理安全风险。物理措施:例如,保护网络关键设备(如交换机、大型计算机等),制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施。2、 应用系统和操作平台的安全访问控制:对用户访问网络资源的权限进行严格的认证和控制。例如,在交换机路由器上进行用户身份认证,对口令加密、更新和鉴别,设置用
26、户访问目录和文件的权限,控制网络设备配置的权限等等。数据加密:加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒,安装网络防病毒系统。漏洞扫描系统:采用最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。部署IDS入侵检测系统:为信息系统提供安全体系管理、监控,渠护及紧急情况服务。部署防火墙:在防火墙上设置ACL(访问控制列表),禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。在防火墙上可以很方便的监视网络的安全性,并产生报警,网络管理
27、员必须审计并记录所有通过防火墙的重要信息。网络版杀毒产品部署:安装市场主流的杀毒软件,阻止病毒在网内感染、传播和发作。网络上网行为管理:网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。2.7 QoSQoS(Quality of Service)服务质量,是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要QoS,比如Web应用,或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时,Qo
28、S 能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。对于网络业务,服务质量包括传输的带宽、传送的时延、数据的丢包率等。在网络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高服务质量。华迪公司需要实时教学系统和视频会议的稳定传输,同时保证语音服务的通畅,通过MPLS流量工程得到需要QoS的应用,通过流量约定(SLA,Service Level Agreement服务等级协议)给数据流设定优先级,以此在网络/协议层面上,根据相互商定的尺度,设定有保障的性能、通过量、延迟等界限。一些特定形式的网络数据流需要定义服务质量,例如:多媒体流要求有保障的通过量,IP
29、电话需要严格的抖动和延迟限制,性命攸关的应用系统,例如远程电子操作。2.8 可行性分析通过对该企业主楼的现场调查和需求分析后,对其可行性进行分析。技术上可行:该系统所需硬件设备,市场上销售且价格较低,操作系统采用linux、Windows系列操作系统,数据库采用mysql,这些软件已被大量应用,技术上都比较成熟。因此在技术上是可行的。经济上可行:网络企业主要的是实现办公自动化和信息化。网络是网络企业发展的命脉和根本,没有网络该类型企业无法发展。因此,这项投入是企业必须的。因此经济上没有问题。管理上可行:整个公司的办公资料是通过办公服务器集中存储处理的,整个网络设备都是集中的机房并且具有专人进行
30、维护。因此可以达到了集中管理。管理上是可行的。综上所述,设计建设该网络项目在技术上、经济上、管理上都是可行的。第三章 总体方案设计根据华迪的地理位置图设计总体方案,四川华迪信息技术有限公司新建大楼包括教学区,办公区、学生公寓,另洛阳分公司和重庆公公司(办事处)通过电信专线连入成都总部。本次设计主要建设成都华迪的网络,根据第二章的需求,华迪的主体网络分布情况如下图:图3.1 华迪总体网络覆盖图3.1 网络逻辑方案设计下图3.2是成都华迪的网络拓扑逻辑方案设计:Internet防火墙核心交换机服务器组教学区汇聚交换机办公区汇聚交换机公寓楼汇聚交换机教学区接入交换机办公区接入交换机公寓楼接入交换机图
31、3.2 逻辑方案设计图华迪公司新办公大楼网络设计遵循分层设计的原则,网络从核心层、汇聚层、接入层星形分布,以先进的成熟的网络应用技术设计和规划该公司网络系统,从实际出发,正确的规划和设计计算机网络,为企业实现数据共享、资源共享,提供稳定的信息交换和网络系统服务。整个局域网络采用多层数据交换原则设计,这样的设计方案使得整个局域网的运维管理,以及网络故障排除变的更加简单,减少了网络管理员的工作负责性,并且使未来的升级变的更简单且迅速。3.2 关键技术构思设计3.2.1双核心热冗余备份设计为保障网络具有99.999%的电信级高可靠性,实施时采用双核心、双链路的设计方案。该方式的好处在于,任意一台核心
32、交换机的故障,或者任意一条上行链路的故障,均不会影响网络的稳定运行,备用交换机或备用线路会智能地启用起来。图3.3 热冗余备份示意图要实现这样的热冗余备份机制,需要在核心交换机上启用VRRP(虚拟热冗余备份协议)和MSTP(多生成树协议)。VRRP协议主要用于两台核心设备面向接入用户虚拟出一个实时可用的IP地址,实现核心设备间的智能热备份;MSTP协议则主要用于避免VLAN内部出现环路,配合VRRP协议实现线路的智能热备份。核心交换机与出口路由器之间启用动态路由协议,实现与VRRP/MSTP的配合切换。3.2.2链路汇聚技术链路聚合(Link Aggregation)又称Trunk,是指将多个
33、物理端口捆绑在一起,成为一个逻辑端口,以实现出/ 入流量在各成员端口中的负荷分担,交换机根据用户配置的端口负荷分担策略决定报文从哪一个成员端口发送到对端的交换机。当交换机检测到其中一个成员端口的链路发生故障时,就停止在此端口上发送报文,并根据负荷分担策略在剩下链路中重新计算报文发送的端口,故障端口恢复后再次重新计算报文发送端口。链路聚合在增加链路带宽、实现链路传输弹性和冗余等方面是一项很重要的技术。逻辑链路的带宽增加了大约(n-1)倍,这里,n为聚合的路数。另外,聚合后,可靠性大大提高,因为,n条链路中只要有一条可以正常工作,则这个链路就可以工作。除此之外,链路聚合可以实现负载均衡。因为,通过
34、链路聚合连接在一起的两个(或多个)交换机(或其他网络设备),通过内部控制,也可以合理地将数据分配在被聚合连接的设备上,实现负载分担。捆绑接口必须属于同一vlan。如果是truck,捆绑端口必须属于truck模式;具有相同的 native-vlan ID;每个接口都必须有相同的速度和双工模式;生成树设置必须一致。 图3.4 链路聚合示意图链路聚合在接入层面可以增加带宽和线路冗余,起到负载均衡的效果,同时同一VLAN和部门的成员访问更加迅速。3.2.4VLAN划分技术VLAN(Virtual Local Area Network)称为虚拟局域网,是指在逻辑上将物理的LAN分成不同小的逻辑子网,每一
35、个逻辑子网就是一个单独的播域。简单地说,就是将一个大的物理的局域网(LAN)在交换机上通过软件划分成若干个小的虚拟的局域网(VLAN)。因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址,以便在交换机内部的MAC数据库建立MAC地址表,而广播不能跨越不同网段。VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻 辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理 上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个 VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理L
36、AN网段 。由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN除了能将网络划 分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。通过划分VLAN子网,能划小了广播域,避免了数据碰撞在大的物理LAN内产生严重后果的可能,也避免了广播风暴的产生。提高交换网络的交换效率,保证网络稳定。提高网络安全性,通过划分VLAN,LAN被划分不同子网段,因此不能直接通信。必要的通信必须经过路由来实现,因此可在路由器
37、(或三层交换机)上配置访问列表来进行跨子网段的授权访问,从而提高公司内部网络访问的安全性。方便网络管理:采用VLAN技术来划分公司网络,一个VLAN可以根据不同的部门、办公室或者服务器组将不同地理位置的工作站划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在子网之间移动,VLAN提供了网段和机构的弹性组合机制。VLAN技术很好的解决了网络管理的问题,能实现网络监督与管理的自动化,从而更有效的进行网络监控。3.2.5VPN技术VPN属于远程访问技术,简单地说就是利用公网链路架设私有网络。例如公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。VPN的解决方
38、法是在内网中架设一台VPN服务器,VPN服务器有两块网卡,一块连接内网,一块连接公网。外地员工在当地连上互联网后,通过互联网找到VPN服务器,然后利用VPN服务器作为跳板进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路,因此只能称为虚拟专用网。即:VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN非常方便地访问内网资源。第四章 详细
39、方案设计4.1网络拓扑设计4.1.1网络拓扑图及设计说明根据华迪公司办公大楼的的建筑分布及需求分析,设计出如下网络拓扑结构,华迪公司的网络拓扑图如下所示:拓扑图请联系QQ:1165093813,家的时候就说是请教毕业设计,也可以发邮件至QQ邮箱联系图4.1 华迪新办大楼拓扑结构图在进行拓扑设计时,我们首先从实际情况出发,华迪公司是由一栋实训楼和一栋办公楼。整体来说并非是大型的网络,并且对网络速度没有巨大的要求,主要是建立一个相对稳定,可靠易于维护的拓扑型网络。大多数的网络都可以被层次性划分为三个逻辑服务单元:核心骨干网(Backbone)、汇聚网(Distribute)和接入网(Localac
40、cess),模块化网络设计方法的目标在于把一个大型的网络元素划分成一个个互连的网络层次。本设计方案整体结构主要采用星型结构的层次模型,在教学区一楼设一个网管中心,管理公司内所有网络及核心设备,为核心层。公司内部分为三个区,办公区,教学区以及学生公寓区,各区各设一个汇聚层交换机,负责区域到中心的连接,此为汇聚层。余下楼层交换机到桌面为接入层。整个网络可分为五个区域,外联网区,教学区,办公区,学生公寓区,网络管理中心区,其中网络管理中心放置在教学区一楼。各区的楼房配线间位于各区建筑物的一楼。建筑区域之间采用单模光纤,垂直子系统采用室内多模光纤,以保障主干网络1000M的带宽要求,水平子系统采用超五
41、类UTP,保障100M带宽到桌面。在和外联网相连部分采用硬件防火墙,防火墙DMZ区放置对外服务的WEB/FTP服务器,同时兼做外网VPN服务器。并且在防火墙和内网处采用IDS病毒入侵检测系统,对服务器和内网进行审计和检测。4.1.2主要设备选型说明1、 核心层交换机(2台)cisco的网络设备一直是行业老大,在这里我们采用cisco6506比较高端的交换机,Cisco6506的交换机高度模块化,提供插槽的可扩展,电源的可扩展,引擎的可扩展。为日后公司的发展扩容打好基础。下面是思科WS-C6506样图:图4.2 思科WS-C6506样图 思科 WS-C6506 详细参数表如下:表4.1 思科 W
42、S-C6506 详细参数表产品型号WS-C6506产品类型企业级,四层,可网管型交换机,企业级交换机背板带宽720Gbps包转发率400Mpps传输方式存储转发方式接口类型10/100/1000BASE-T端口,1000Base-FX接口数目300口传输速率10M/100M/1000Mbps扩展插槽6堆叠支持不可堆叠网络标准IEEE 802.1Q,802.1,802.3x,802.3,802.3abVLAN支持支持VLAN功能网管功能支持网管功能,SNMP管理信息库(MIB)II,SNMP MIB扩展,桥接MIB(RFC 1493)双工传输支持全双工核心交换机搭载的网络接口板型号为S-X652
43、4-100FX-MMC,该模块接口卡属6500系列交换机模块,如下是它的参数表:图4.3 S-X6524-100FX-MMC模块参数表产品类型交换机模块产品描述Catalyst 6500 24-port 100FX,MT-RJ,fabric-enabled端口数量24根据用户需求,主干设计保证1000M带宽,到工作台桌面保证100M接入,中心采用三层交换机实现网络交换路由,采用千兆光模块。中心我们选择三层交换机实现数据的高速交换同时实现局域网路由。因此同时选择购买WS-X6516-GBIC作为千兆光模块实现与汇聚层的连接依次实现千兆主干网,百兆到桌面,它是16端口千兆位以太网光纤接口模块。如上
44、核心交换机设计的优点:可靠性和可扩展性:模块化设计,双电源的设计保证了中心交换机的供电的冗余。性价比:cisco6506与其他厂商同类产品相比更有竞争力。Cisco IOS软件模块化:模块化提高了运营效率,最大限度地缩短了停机时间。实施模块化后,Cisco IOS子系统能作为独立、可自行恢复的进程运行,通过故障抑制和状态化进程重启,缩短了计划外停机时间;通过子系统运行中软件升级(ISSU)简化了软件改动,集成了嵌入式事件管理器(EEM),从而能在进程级自动控制策略。最高PoE 可扩展性:提供了支持高密度PoE 部署所需的电源可扩展性;6 插槽和9 插槽机箱(C6506-E和 C6509-E 型
45、号)的设计超越了当前的6000W 电源;E 系列机箱支持所有现有控制引擎、线卡、交换矩阵和软件版本Supervisor Engine 720 :面向企业核心、分布层和数据中心:高达720Gbps 的交换矩阵连接和高达40Mpps 的交换性能;支持全新加速思科快速转发(CEF720)和分布式思科快速转发(dCEF720)接口模块;通过硬件支持IPv6 和MPLS;支持第三层路由协议。Supervisor Engine 32:面向智能配线间以及经济高效的低端核心和分布层部署;拥有一条到模块的32Gbps共享总线连接;支持高达15Mpps的交换性能;集中第二层、第三层转发,有2种型号:8端口1GE型
46、号或2 端口10GbE 上行链路。2、汇聚层交换机 (4台)用户需求是千兆主干,百兆到桌面。所以为了达到以上用户需求,考虑到核心层交换机我们必须选择配有光纤接口的交换设备,而cisco3750就适合这一要求,具有1000兆光纤接口,它不仅能支持二层而且还能支持三层服务,同时采用与核心交换机相同的cisco的设备达到系统很好兼容性的要求,便于管理。图4.3 CISCO WS-C3750-24TS-E样图CISCO WS-C3750-24TS-E的详细参数表如下所示:表4.4 CISCO WS-C3750-24TS-E的详细参数表产品类型企业级交换机应用层级三层传输速率10/100Mbps产品内存128MB交换方式存储-转发背板带宽32Gbps包转发率6.5MppsMAC地址表12K端口结构非模块化端口数量26个端口描述24个以太网10/100Mbps端口,2个基于SFP的千兆位以太网端口接口介质10/100Base-TX传输模式支持全双工网络标准IEEE 802.3,IEEE 802.3u,IEEE 802.3x堆叠功能可堆叠VLAN支持QOS支持网络管理SNMP,CLI,Web,管理软件汇聚层如此选材设计的优点:Cisco Catalyst 3750 系列交换机是一款适用于中型机构和大型企业分支机构的创新产品