某企业网络规划与设计(精选6篇)
篇1:某企业网络规划与设计
实践二:某校园网网络工程设计分析与规划
【实践目的】
通过分析校园网建设现状和用户需求,熟悉校园网网络工程建设的目标、设计的原则、项目建设指导方针、实现的功能以及项目技术要求。掌握网络工程分析的方法和步骤,学会网络工程规划设计的一般方法,包括规划用户网络的规模、网络系统的分层结构、资源子网划分以及网络工程总体设计。了解网络工程技术指标与网络性能参数的意义。能根据需要确定网络工程建设的目标、规模和结构。
本次实践的主要目的是了解网络工程分析的方法;确定客户需求;使校园网网管中心与各分支机构的互联;提供快速的网络服务;设计低成本、低维护量的网络方案;建设安全可靠的Intranet;网络具有适应性和可扩展性;移动用户可接入校园网; 【实践内容与步骤】
1.网络建设现状
以苏州市职业大学为例。学校占地面积1070亩,建筑面积367435平方米。学校现有普通全日制在校生15000余人,教职工1000余人。学校现有办公楼1栋(行政楼)、教学楼5栋(A、C、D、E、综合楼)、图书馆1栋、实验楼1栋(B楼)、公寓楼19栋。各部门局域已经建立。
2.实践内容要求(1)网络工程分析 ① 需求分析
校园网的网络设计需求分析应满足以下条件:连接到CERNET苏州主节点(苏大)的速率为2×50Mbps;校内骨干网必须是1Gbps高速网,能支持虚拟分段和多媒体应用;目前校园网上有多种电子刊物,有20T的容量,图书馆网络要设计为SAN框架,支持图书馆网络和其它网络之间资源的双向访问;学校以后打算连接中国教育宽带卫星网,应用层网络设备要有足够的扩展能力,当网络扩大时,网络性能不会大幅度下降;教学管理软件、办公自动化及部分管理软件已在各部门局域网上运行,在校园网上要统一标准;有26个多媒体视听教室要求并发支持260个用户同时上网;网络要易于维护和管理,有方便的网络管理工具;网络应有一定的安全机制,防止滥用;本网络的网络建设必须采用当前最新的网络技术。
② 网络通信平台
学校教学楼、实验楼、办公楼、图书馆、学生公寓楼采用光缆连接,敷设楼内信息点为1820个,连接入网的计算机超过2000台。校园主干网1Gbps到主结点楼,100Mbps到桌面。
网络通信平台采用三层体系架构。核心层设备只有两台Catalyst6506,20余个子网(VLAN)在其上通信,数据链路层采用冗余设计,楼内网络覆盖达到60%的需求。
③ 网络资源平台
网络资源平台建设主要集中在网络信息中心、图书馆、教务处和系部等部门。现存在网络化学习资源不够多和资源利用不足,如何设计网络资源平台来解决这个问题?
④ 网络管理平台
网络管理平台一般包括:配置管理、安全管理、性能管理、故障管理、计费管理等内容。由于财力状况,目前主要侧重网络的安全管理和计费管理。随着网络规模的扩大和网络用户的增多,需要建构一个统一、安全、可靠、方便的网络管理平台,除了安全管理和计费管理外,配置管理、性能管理和故障管理也是亟待解决的问题。
⑤ 网络拓扑分析 整个主干网以校园网络中心的主机房、图书馆的主机房为双中心节点,向外辐射。通过各部门、单位等多个建主楼节点构成主干网。为实现网络动态管理和虚拟局域网,在中心节点交换机上配置第三层交换模块和网络监控模块。考虑到教务处(设置在办公楼)、工程技术中心(设置在B号教学楼)也是校园网的信息资源分中心,可采用三层交换机与校园网双中心的交换机连接,以实现主干通道信息传输的负载均衡。教学楼、办公楼、科学楼采用堆叠式交换机,以保证建筑楼信息点对交换机端口密度的要求和网络性能与可靠性的要求。院系、学生公寓、食堂大楼采用模块化汇聚交换机。
(2)网络工程规划的目标与原则
① 以满足校园内目前主要的网络应用为基本设计目标,为未来可能的应用保留充分的扩充余地;
② 本方案根据苏州职业大学校园网的现状和需求目标、特点及实现的功能与技术要求,充分考虑项目方案的实用性、经济性和先进性。尤其注重了网络设备易维护和易操作。采用目前通用的技术路线,但要充分考虑能够适应未来可能的技术发展;
③ 布线工程一次性连通学校内所有主要建筑物,根据应用项目的实际需要分期分批配置网络设备;
④ 充分注意保证网络的安全性,可靠性和可维护性。
(3)功能设计 ① 办公自动化
基于Web综合管理信息系统,提供行政、人事、学籍、教学、后勤、财务管理、公文收发管理、教师档案管理、学生档案管理、科技档案管理等,使学校日常办公无纸化,减少办公开支,提高办公效率。
② 网络多媒体教学
将计算机多媒体视听引入课堂教学,使声音、图像、动画的普遍采用可以大大提高教学效果,使每一节课都能够得到有效的作用。
③ 学生自主学习
针对不同的学生,提供不同的教学内容,采取不同的教学手段。主要采用基于VOD、WEB及FTP的课件和光盘软件资源,学生可以根据自己的需要自由选择所需内容。
④ 电子图书馆
基于Web的图书音像资料供学生随时阅读,并与Internet连接,使图书馆得到进一步拓展,使学生能够随时随刻得到网上资源。
⑤ 电子邮件
将为每一位教师和学生开设一个电子邮件账号。
⑥ 远程教育
实现校内外连通,师生在线、交互式学习、辅导、测验等功能。
⑦ 校园一卡通工程
利用IC卡易于管理的特性,结合校园网络,轻松实现学期注册、考试、教务管理,机房上机管理,食堂餐饮管理,图书借阅管理等多种IC卡应用。
⑧ 校园移动上网
采用有线和无线网络混合建构,方便学生、老师移动上网学习和办公。(4)项目技术指标
采用先进成熟的网络技术;统一技术规范、标准和方案,统一设备选性,统一组织实施;网络系统采用三层架构,采用TCP/IP协议栈,采用统一的客户端应用软件;网络系统采用全交换网络,核心层、汇聚层采用冗余连接,办公楼和学生公寓楼局域网采用静音设计;网络系统按部门、业务划分VLAN,网络多层交换采用802.1Q虚拟干道协议、802.1D生成树协议、802.1X认证协议和802.1P优先队列排序;网络综合布线采用EIA/TIA568B、EIA/TIA569、TSB36、TSB40等标准施工;网络系统必须满足标准化的要求,以实现开放性、可扩展性;重要部件、文挡要有备份,保证系统365天×24小时运转;重视数据的安全与保密,建立完善的网络安全管理系统。
3.实践步骤
(1)根据要求,按照网络设计规范,进行网络工程设计方案的分析和初步设计 ① 现有网络分析
分析现有网络基本结构,主要检查网络拓扑结构、网络设备、布线情况、机房和设备间情况等,将分析结果用图表示出来。
② 分析网络性能
分析网络可用性、分析网络利用率、分析延迟与响应时间,以及分析网络互连设备的状态。
③ 分析网络流量 分析流量来源,记录流量,分析流量类型及其特征,分析现有网络和未来网络的关系(注重可拓展性)。
(2)网络工程规划
通过带宽、容量、吞吐量、延时、利用率及响应时间等指标来描述网络的性能。(3)网络拓扑结构规划设计
从层次化、核心层、汇聚层、接入层、冗余、模块化和网络安全的角度出发,进行网络拓扑结构的规划设计。【实践效果】
通过实践,使学生初步掌握园区网网络工程设计中网络方案的分析方法与规划的步骤;根据校园网建设现状和需求特点,如何进行网络需求分析,如何设计网络拓扑结构;学会规划用户网络的规模、网络系统的分层结构、资源子网;能根据需要确定网络工程的目标、规模和结构,给出校园网通信平台整体解决方案。【扩展练习】
有条件的话,在指导老师的带领下,进行有关校园网中心网络方案的绘制和设计。
篇2:某企业网络规划与设计
网络安全性包括信息安全性,网络本身的安全性,保证系统的安全性。要从管理和技术角度制定不同的安全策略。安全设备的技术性能和功能,必须满足行业系统管理体制的要求,即能基于网络实现安全管理,具有接受网络信息安全管理机构管理的能力,还要不影响原网络拓扑结构。
在对企业局域网网络系统安全方案设计、规划时,也应遵循一定的原则。首先需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容及措施,实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。适度安全性原则:系统安全方案应充分考虑保护对象的价值与保护成本之间的平衡性,在允许的风险范围内尽量减少安全服务的规模和复杂性,使之具有可操作性,避免超出用户所能理解的范围,变得很难执行或无法执行。易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
局域网络系统建成之后,应该达到如下的目标:建立一套完整可行的网络安全与网络管理策略;将内部网络、公开服务器网络和外网进行有效隔离,避免与外部网络的直接通信;建立网站各主机和服务器的安全保护措施,保证他们的系统安全;对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝;加强合法用户的访问认证,同时将用户的访问权限控制在最低限度;全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为;加强对各种访问的审计工作,详细记录对网络、公开服务器的访问行为,形成完整的系统日志;备份与灾难恢复——强化系统备份,实现系统快速恢复;加强网络安全管理,提高系统全体人员的网络安全意识和防范技术。
通常网络中的安全隐患,会涉及这样一些内容:网络的物理安全,主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提,在这个企业区局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。主要包括:设备安全,设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;媒体安全,媒体数据的安全及媒体本身的安全。
还有其他的安全隐患,黑客们利用系统和管理上的漏洞,进入企业网的内部,篡改一些数据,例如将自己变为高级用户,或者监听登录会话,窃取他人的账户和口令;还有包括病毒、蠕虫、特洛伊木马等恶意代码;能够通过mail、internet传播的病毒;还有一些对网络的攻击手段,没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息,例如,假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作;破坏数据的完整性,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响;以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应,恶意添加,修改数据,以干扰用户的正常使用。搭线(网络)窃听攻击者可以采用如Sniffer等网络协议分析工具,在internet网络安全的薄弱处进入internet,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。
网络安全技术可以分为如下几大类,即:身份认证技术、防火墙技术、入侵检测技术、病毒防治技术、网络数据完整性技术和网络活动审计技术。他们应用于网络活动的不同阶段,来保护网络内的信息资源。
整个企业的局域网按访问区域可以划分为三个主要的区域:Internet区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网。企业局域网一般都进行文件共享、办公自动化、WWW服务、电子邮件服务,文件数据的统一存储,提供与Internet的访问,通过公开服务器对外发布企业信息、发送电子邮件等。网络运行环境下,系统与系统、系统与用户、用户与用户之间频繁交换各种数据、信息,如电子文件、文档、报文甚至数据或代码。在网络通信环境下,也经常有假冒源点身份将报文插入网络中,或者假的报文接收者发回假确认,或不予接收;还有篡改报文内容、报文序号;报文延迟或回收;否认收到报文或否认发送报文等。在企业网络中,企业的账务、人事、新产品等重要的数据,不得随意修改。因此,除使用一般的网管软件和系统监控管理系统外,还应使用目前较为成熟的网络监控设备或实时入侵检测设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。数字签名可以防止否认收到报文或否认发送报文这类问题,所以解决的方法就是,对这些数据库的录入与修改的操作者的身份进行认证,也可用数字签名、证书技术保证数据交换过程中用户和信息的有效性,用于标明信息分发者的身份和对交换信息的认可,接收方也可以通过验证数字签名以判断信息是否来源于指定用户,以及交换信息的完整性。存取控制规定何种主体对何种客体具有何种操作权利,也是内部网络安全理论的重要方面,主要包括人员限制、数据标识、权限控制、控制类型和风险分析。
在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙设置在不同网络或网络安全域之间信息的唯一出入口。包过滤防火墙工作在网络层上,有选择的让数据包在内部网络与外部网络之间进行交换。一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤,能根据企业的安全政策来控制(允许、拒绝、监测)出入网络的信息流。同时可实现网络地址转换(NAT)、审记与实时告警等功能。代理服务防火墙也有一定功效,是一种增加了安全功能的应用层网关,位于internet和intranet之间,自动截取内部用户访问internet的请求,验证其有效性,代表用户建立访问外部网络的连接。代理服务器在很大程度上对用户是透明的,如果外部网络个站点之间的连接被切断了,必须通过代理服务器方可相互连通。
网络系统的安全性取决于网络系统中最薄弱的环节,所以要及时发现并修正网络中存在的弱点和漏洞。网络安全检测工具通常是一个网络安全性评估分析软件,其功能是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。这样,防火墙将得到合理配置,内外WEB站点的安全漏洞减为
最低,网络体系达到强壮的耐攻击性,对网络访问做出有效响应,保护重要应用系统(如财务系统)数据安全不受黑客攻击和内部人员误操作的侵害。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail),一般包括控制台和探测器,也不会对网络系统性能造成多大影响。
由于企业需要的是一个非常庞大的网络系统,因而对整个网络(或重要网络部分)运行进行记录、分析是非常重要的,它可以让用户通过对记录的日志数据进行分析、比较,找出发生的网络安全问题的原因,并可作为以后的法律证据或者为以后的网络安全调整提供依据。审计可以记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能看出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于去定问题和攻击源很重要。
由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力,因为病毒在网络中存储、传播、感染的方式各异且途径多种多样,因此计算机病毒的防范是网络安全性建设中重要的一环。所选的防毒软件应该构造全网统一的防病毒体系。主要面向MAIL、Web服务器,以及办公网段的PC服务器和PC机等。支持对网络、服务器和工作站的实时病毒监控;能够在中心控制台向多个目标分发新版杀毒软件,并监视多个目标的病毒防治情况;支持多种平台的病毒防范;能够识别广泛的已知和未知病毒,包括宏病毒;支持对Internet/ Intranet服务器的病毒防治,能够阻止恶意的Java或ActiveX小程序的破坏;支持对电子邮件附件的病毒防治,包括WORD、EXCEL中的宏病毒;支持对压缩文件的病毒检测;支持广泛的病毒处理选项,如对染毒文件进行实时杀毒,移出,重新命名等;支持病毒隔离,当客户机试图上载一个染毒文件时,服务器可自动关闭对该工作站的连接;提供对病毒特征信息和检测引擎的定期在线更新服务;支持日志记录功能;支持多种方式的告警功能(声音、图像、电子邮件等)等。
除此之外,也要进行系统备份,备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时亦是系统灾难恢复的前提之一。在确定备份的指导思想和备份方案之后,就要选择安全的存储媒介和技术进行数据备份,有“冷备份”和“热备份”两种。热备份是指“在线”的备份,即下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放。“冷备份”是指“不在线”的备份,下载的备份存放到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装,有一部分原始的数据长期保存并作为查询使用。热备份的优点是投资大,但调用快,使用方便,在系统恢复中需要反复调试时更显优势。
篇3:远程接入企业网络规划与设计
社会进入信息时代后,要求企业用信息技术来强化企业的管理、生产和经营,而企业要创造更多的经济效益就必须借助信息技术来提高企业的生产效率和管理水平,这不但适用于大型企业,对占相当比重的中小企业同样适用。网络技术的发展使得网络建设从基础架构到维护和管理都变得十分简单和智能,丰富的网络产品线和不断降低的价格,可以让中小企业根据自身的情况,按照实际的经济条件来构建自己的网络,用于网络建设的投资对于企业而言不再成为一个负担。
二.企业网络设计需求分析与设计目标
网络需求分析就是根据企业信息技术应用要求和企业的业务发展需求,结合企业现有设备状况和人员素质,较为全面地调查和分析企业在信息技术方面的技术需求,然后从网络建设的角度,将这些需求转换成构造网络系统以及网络系统能够提供服务的需求。
在网络需求分析过程中,网络系统用户往往从系统外部关注整个网络系统的功能和性能,而网络设计者往往从网络系统内部关注整个网络系统的技术和结构。因此,如何正确地将用户对网络系统功能和性能的需求转换成对网络系统技术和结构的需求并给予量化表示是网络需求分析的关键。
将系统需求归纳为如下几点:
1、在该企业的总公司以及分公司各建立一个新的计算机网络基础设施,将该企业内现有计算机以及外设连在一起工作。服务器、连接设备、综合布线等统一购买和配置,客户机应利用现有各部门的计算机,以保护原有投资和不影响正常工作。2、该网络系统能实现资源共享,包括软件共享,文件共享,打印机共享。在外工作的员工可以透过internet安全访问企业资源,远程办公。3、能高速接入Internet进行工作,收发邮件,浏览网页查找资料。建立企业对外网站,提供一个对外宣传的平台,提高企业知名度。4、网络管理:控制不同权限的员工使用Internet的方式和范围,限制普通员工利用公司网络进行业务无关的活动。5、安全性:对不同部门之间的相互访问作限制,防止非法访问,保护商业机密。预防计算机病毒,尽可能把病毒感染的几率降到最低。使用防火墙,防止来自互联网上的入侵,保障企业资源的安全。6、可扩展性:考虑到企业的发展与以后规模的扩大,企业网络设计需预留扩展空间,以便今后的网络改造。
该IT企业网络建设的目标,就是在总公司和分公司分别建设局域网,将互联网技术引入企业内部网,使用远程接入技术将公司与分公司之间连接起来,并使在外员工可随时接入公司网络,从而建立起统一、快捷、高效的中型Intranet系统,整个系统在安全、可靠、稳定的前提下,符合经济的原则,即实现合理的投入,最大的产出。总体设计如下:
(1)以千兆以太网为主干网,利用第三层交换技术实现大型局域网的VLAN的划分。规划中服务器、信息中心采用千兆,与中心主交换机连接,其他部门采用100M网卡通过其他二级交换机接入主干网。
(2)网络通过光纤接入Internet/ChinaNET,在公网上建立虚拟专用网(VPN);通过采用Web技术和Internet-VPN技术以及信息加密技术实现电子商务。这样,可以提供远程拨号访问和通过Internet访问两种方式,来实现全国各分支机构、相关部门以及公众对公司信息的限制性访问。
(3)网络的安全机制:通过对网络设备的配置,控制访问列表等方式来加强网络的安全性措施;更重要的是,在内部网与公众网的结合处,采用先进的防火墙技术、代理服务器技术、以及Web服务器的口令验证、数据加密等技术实现网络的安全性。
(4)网络中心设立WEB应用服务器、E-MAIL服务器、DNS服务器、数据库服务器、文件服务器,实现WEB访问、Internet接入、E-MAIL系统、域名解析、应用系统等各种功能。
三、网络具体规划与设计
3.1企业网络拓扑结构设计
所谓拓扑是一种研究与大小、距离无关的几何图形特性的方法。网络的拓扑结构是抛开网络物理连接来讨论网络系统的连接形式,网络中各站点相互连接的方法和形式称为网络拓扑。拓扑图给出网络服务器、工作站的网络配置和相互间的连接。
该企业局域网网络主要采用了星型的拓扑结构,因为企业规模不大,所以在设计上只划分了两层来设计:核心层和接入层。总公司的工作站大约为200人,考虑到规模较大而且该总公司的业务比较重要,核心层的设计上采用了两台千兆三层交换机作一个冗余备份,在这两台三层交换机之间作链路聚合,就算其中一个核心交换机当机,也可以保证网络的瞬间恢复,大大增加了网络的可靠性。分公司由于规模较小,考虑到企业网络设计上的实用性与经济性原则,核心层的设计只使用一台千兆三层交换机。而在接入层的设计上,总分公司都使用多台二层交换机,100兆到桌面。服务器选择摆放在信息中心,以便管理。为了防止企业外部对内的攻击,在路由器外部安装硬件防火墙。
3.2基于VLSM的子网划分
该企业总公司有193人,分公司有99人。如果分别把各自所有的主机放到一个子网里,对企业的安全性管理极为不利,而且如果有站点更新(计算机的配置调整或增减计算机)或发生故障,大量的广播数据会严重影响网络的整体性能。因此必须对这些主机进行子网划分控制广播域的规模。
VLSM(Variable Length Subnet masks)变长子网掩码,是在标准的掩码上面再划分的子网的网络号码,不同子网的子网掩码可能有不同的长度,但一旦子网掩码的长度确定了,它们就不变了,这个技术用于高效分配IP地址。
3.3 VLAN规划
VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
该企业不同的部门在不同的子网里,子网与子网之间不能访问,也控制了广播域太大的问题。但是局域网内的任何用户只要稍微修改一下IP与子网掩码就可以访问到该企业的任何部门了。所以,必须在交换机上划分好VLAN,这样,只要加强对交换机的保护,不让一般员工改变交换机的配置,就算他们更改自己电脑的IP和子网掩码也无法访问到其它部门了。
该企业的VLAN我们采取根据端口来划分,这种划分方式是现在最常用的。只要把同一个部门的端口全部划分进同一个VLAN就行了,而且还可以进行跨交换机的端口VLAN划分,也就是说不同交换机上的端口也可以在同一个VLAN里,这样VLAN的划分就不必要受到物理空间的限制,具有很好的灵活性。今后如果有人事调动或者部门扩充,只要在交换机上作相应的配置就可以了。
在该企业的VLAN端口配置中,各接入层的二层交换机与核心层的三层交换机之间的链路要配置成trunk链路,其他端口配置成access链路,这样VLAN信息就可以在各二层交换机之间传递,不同交换机但是同一个VLAN的用户就可以相互访问了。
3.4三层交换技术与链路聚合的应用
该企业各部门处于不同的VLAN中,某些部门之间是需要互相访问的,如果用传统的路由器来完成VLAN间互访,所有跨VLAN的数据必须通过路由器转发,路由的高延迟会引来用户对网络速度的抱怨,不使用三层交换技术的话,唯一的解决方法是添置昂贵的路由器,而随着日后企业不断扩大部门间的流量会更加增多,到时可能又要投入更多资金更换更贵的路由器,这不符合企业网络设计的可扩展性原则。
在该企业的网络核心层使用三层交换机,大大增快了网络的速度,充分利用了现有资源,降低了网络成本,增加了网络的可扩展性。而且,三层交换机还可以实现部分安全机制,它的访问列表的功能,可以实现不同VLAN间的单向或双向通讯.
该企业的三层交换机位于整个局域网的核心部分,企业上网的流量、VLAN间的流量、VPN产生的流量全部都要经过核心三层交换机进行转发,所以核心交换机的速度与稳定性非常重要。冗余链路是提高网络系统可用性的重要方法。
3.5 Internet接入设计及地址转换技术应用
在该企业的Internet接入设计部分,我们采用FTTB+LAN的方式。Fiber To The Building(FTTB,光纤到楼),它是利用数字宽带技术,光纤直接到楼内机房,再通过高速以太网的形式到各个用户。FTTB方式将传统的语音信号和数据信号并网而行,是一种性价比最高的组网方式,采用的是专线接入,无需拨号,安装简便,可为用户提供一个多媒体网络环境以及低价高质的共享专线上因特网的方式。这种接入方式具有很多优势:网络上行下行速度高,而且可扩展度高;因为是光纤出口,所以网络可靠、稳定;可以使用固定IP,方便建立企业网站;性价比高,支持VPN技术等。
我们只要向ISP申请一条光纤接入Internet,把光纤拉到企业机房,将光纤接入光纤收发器或者直接接入带有光纤口的防火墙和路由器上,再把路由器用双绞线接到核心交换机上,然后分散接入到各部门交换机。这样,就实现了两种不同传输介质的企业网络的Internet接入方案。
在路由器上,我们除了要配置一条静态路由器指向ISP之外,我们还需要对内网IP地址做一个网络地址转换。地址转换最初主要用来解决是IP地址短缺的问题,后来地址转换技术有了更多的用途,逐渐显示出它的优势。地址转换设备提供几乎无限的地址空间并隐藏内部网络寻址方案;如果更改了ISP或与另一个公司合并,则可以保持当前的寻址方案,并在地址转换设备上作任何必要的改变,可使地址管理更容易;它还有一个显著的优点是允许严格控制进入和离开网络的流量,更容易实施安全和商业策略。
3.6 VPN远程接入设计
虚拟专用网(Virtual Private Network,VPN)是指在公共通信基础设施上构建的虚拟专用网,可以被认为是一种从公共网络中隔离出来的网络,它与真实网络的差别在于VPN以隔离方式通过共享公共通信基础设施,提供了不与VPN网外用户共享互联点的排他性网络通信环境。
对于该企业的内联网构建,只要购买两台支持IPSec隧道协议的VPN防火墙,安装在总公司和分公司两个网络边界,然后对两台VPN防火墙进行相关配置,当建立起VPN连接后,这时总公司与分公司就相当于处于同一个局域网中,这些配置对于员工来说这是透明的。而对于出差办公或者SOHO办公的员工,进行VPN连接就必须在他们的计算机中安装配套的VPN接入软件,例如思科的VPN客户端产品EASYVPN,当要访问公司资源时,通过一些简单的配置,就可以进行远程拨号连接。企业合作伙伴的企业外联网与企业内联网VPN差不多,使用软件或者硬件接入均可,这要视乎企业合作的程度与时间长短而定,它与企业内联网的主要区别在于用户访问权限的设置,外联网用户通常只具备部分企业内部网访问资源的权限,所以我们要对VPN防火墙进行相关设置,以屏蔽企业内部网,确保需要保护的内部网资源的安全性。
四、总结
在本文中成功地应用了较为先进的VLAN、光纤接入、第三层交换、千兆核心交换、VPN远程接入等技术,使得网络系统在性能、安全性、可管理性、扩展性等方面领先于一般的企业网络。本规划设计方案只是一个计算机网络现状及网络安全的解决方案,在随后的分期分批的项目实施过程中,由于企业网络环境、以及网络应用系统的变化,会在细节上根据实际情况进行相应的调整,如:安装设备数量、设备安装具体地点等,只要在总的布局、要求以及标准上保持不变,实施之后就能够达到本方案的设计要求。
参考文献
[1]Richard Froom,Balaji Sivasubramanian,Erum Frahim.CCNP学习指南:组建Cisco多层交换网络(BCMSN).第二版.人民邮电出版社,2004
[2]Richard A.Deal.Cisco路由器防火墙安全.人民邮电出版社.2006
[3]Cisco Systems公司,Cisco Networking Academy Program.思科网路技术学院教程网络安全基础.人民邮电出版社.2005
[4]Catherine Paquet,Diane Teare.CCNP自学指南:组建可扩展的Cisco互联网络(BSCI).第二版.人民邮电出版社,2004
篇4:大中型企业网络设计与规划概述
关键词:企业网;拓扑结构;网络协议;服务器
中图分类号:TP393文献标识码:A文章编号:1007-9599 (2010) 06-0000-01
Overview of Network Design&Planning in Large and Medium-sized Enterprises
Zheng Chenxi,Shi Xiaozhuo,Li Yongliang
(Shenyang Aerospace University,ShenYang110136,China)
Abstract:The network brings the convenience to enterprises and new business opportunities,not only through the network enterprise products and technologies faster and get the latest information,and also will bring a wider market.For medium and large enterprises,set up for its own Internet site to the outside world through the network to understand business,or further through e-commerce network,has become a must step to modern enterprise.
Keywords:Enterprise network;Topology;Network protocol;Server
一、企业网设计原则
(一)坚持开放性原则,采用统一网络协议和接口标准,来实现企业内部异种机、异种网络的互连。
(二)坚持先进性原则, 采用当今较为成熟、先进的网络技术来进行网络的规则与设计,满足较长一段时期的需求。
(三)坚持易升级、易扩充的原则,统一规划,分步实施。
(四)坚持经济、实用、可靠的原则。
二、网络设备选型的原则
(一)稳定可靠的网络。网络的可靠运行取决于诸多因素,如网络的设计,产品的可靠,要求有物理层、数据链路层和网络层的备份技术。
(二)高带宽。要采用最先进的网络技术,以适应大量数据和多媒体信息的传输,既要满足目前的业务需求,又要充分考虑未来的发展。
(三)易扩展的网络。易扩展不仅仅指设备端口的扩展,还指网络结构的易扩展性。
(四)安全性。应支持VLAN的划分,并能在VLAN之间进行第三层交换时进行有效的安全控制。
(五)容易控制管理。做到既保证一定的用户通信质量,又合理的利用网络资源,是建好一个网络所面临的首要问题。
(六)符合IP发展趋势的网络。
三、主干网络技术选型
主干网络选择何种网络技术对网络建设的成功与否起着决定性的作用。目前的局域网技术主要包括:快速以太网、ATM(异步传输模式)、FDDI(光纤分布式数据接口)、千兆以太网等。
千兆以太网技术以简单的以太网技术为基础,为网络主干提供1Gbps的带宽。千兆以太网技术以自然的方法来升级现有的以太网络、工作站、管理工具和管理人员的技能。千兆以太网与其他速度相当的高速网络技术相比,价格低,同时比较简单。
千兆以太网通过载波扩展、采用集成中继、交换功能的网络设备以及多种激光器和光纤将连接距离扩展到从500米至3000米。千兆以太网能够提供更高的带宽。利用交换机或路由器可以与现有低速的以太网用户和设备连接起来,使得千兆位以太网相对于其他高速网络技术而言,在经济和管理性能方面都是较好的选择。
综述所述,千兆以太网以其在局域网领域中兼容以前的以太网标准、支持高带宽、多传输介质、多种服务、保证QoS等特点正逐渐占据主流位置。因此,大中型企业网络主干应选用千兆以太网技术。
四、网络拓扑规划
大中型企业办公区中心机房内安装多层交换机(Cisco Catalyst6509)作为整个企业网的核心,通过防火墙和路由器与互联网相连接。核心层在与访问层相连方面,考虑到其它分布层设备所处地理位置与中心机房相距较远,则核心层交换机分别以1000M 单模光纤与办公区、生产区、附属设施的访问层中端二层交换机连接。除此之外, 核心交换机各自还与其它相关的服务器相连其中Cisco Catalyst 6509 核心交换机负责连接应用服务器群。应用服务器群包括FTP 服务器、数据库服务器、电子邮件服务器、应用程序服务器等应用型服务器,用来为整个企业网及在互联网上提供各种常用的网络服务。访问层交换机作为企业内重点地区的网络核心,需兼顾到大流量和冗余性,因此重点地区的访问层交换机采用Cisco Catalyst 2950G-48 以太网交换机,均通过1000M 单模光纤同时和两台核心交换机互连以达到分布层与核心层的冗余。网络出口设备是企业内部网络与互联网〔Internet〕连接和数据来往的通道。由于企业网内部访问国际互联网的需求量大,这就决定了路由器需要稳定、可靠和高速。
五、结束语
本文着重论述了建设大中型企业网的目标、企业网的构建技术等关键问题,用好企业网的关键在于应用系统的建设,必须大力开发企业网的各项功能。企业网不只是涉及技术方面,而是包括网络设施、应用平台、信息资源等众多成份综合应用。
参考文献:
[1]王春海,张晓莉.企业网络应用解决方案一从需求分析到配置管理.北京科海电子出版社,2006
[2]武骏,程秀权.网络安全防范体系及设计原则.中国电信网,2008
[3]夏虹.路由器的登录访问与安全.网络安全技术与应用,2008
[4]邓文东.基于管理信息系统的企业网络设计与规划.仪器仪表用户,2003,10
篇5:某企业网络规划与设计
网络工程 设计方案 需要一个中小企业网络规划与设计的方案
(1)公司有 1000 台 PC
(2)公司共有多个部门,不同部门的相互访问要求有限制,公司有若干个跨省的分公司
(3)公司有自己的内部网页与外部网站
(4)公司有自己的 OA 系统
(5)公司中的每台机能上互联网
(6)核心技术采用VPN
根据以上 6 个方面的要求说明 提出一个网络设计方案
目 录
前言
一、项目概述
二、需求概述
三、网络需求
1.布线结构需求
2.网络设备需求
3.IP地址规划
四、系统需求
1.系统要求
2.网络和应用服务
五、存储备份系统需求
1.总体要求
;
更低的TCO:系统设计应尽量降低整个系统和TCO(拥有成本);
安全性:在系统的设计、实现及应用上应采用多种安全手段保障网络安全;良好的售后服务支持。
除了满足上述的基本特征外,本项目的设计还应具有开放性、可扩展性及兼容性,全部系统的设计要求采用开放的技术和标准选择主流的操作系统及应用软件,保障系统能够适应未来几年公司的业务发展需求,便于网络的扩展和集团的结构变更。
二、需求概述
在设计方案时,无论是系统或网络都严格遵循以下原则,以保障方案能充分满足集团的需求。
先进性和实用性原则
高性能原则
经济性原则
可靠性原则
安全性原则
可扩展性原则
标准化原则
易管理性原则
三、网络需求
集团园区网项目必须实现以下的功能需求:建设一个通畅、高效、安全、可扩展的集团园区网,支撑集团信息系统的运行,共享各种资源,提高集团办公和集团生产效率,降低集团的总体运行费用。网络系统必须运行稳定。
集团园区网需要满足集团各种计算机应用系统的大信息量的传输要求。
集团园区网要具备良好的可管理性。减轻维护人员的工作量,提高网络系统的运行质量。
集团园区网要具有良好的可扩展性。能够满足集团未来发展的需要,保护集团的投资。
整个项目的施工,系统集成商要精心组织、严格管理、定期提交各类项目文档。
在项目实施完毕之后,系统集成商要对集团的相关人员进行培训,并移交全部的项目工程资料,保证集团园区网的正常运行和管理维护。1.布线结构需求
集团目前拥有六家子公司,包括集团总部在内共有2000多名员工;园区内有7栋建筑物,分别是集团总部和子公司的办公和生产经营场所;光纤+超五类综合布线系统,3000个左右信息点;集团计划为大部分的员工配置办公用计算机;集团目前有多种计算机应用系统。
7栋建筑物,每栋建筑高7层,都具有一样的内部物理结构。一层设有本楼的机房,一楼布有少量的信息点,供未来可能的需求使用,目前并不使用(不包括集团总部所在的楼)。二层和三层,每层楼布有96个信息点。四层到七层,每层楼布有48个信息点。每层楼有一个设备间。楼内综合布线的垂直子系统采用多模光纤,每层楼到一层机房有两条12芯室内光纤。每个子公司和集团总部之间通过两条12芯的室外光缆连接。要求将除一层以外的全部信息点接入网络,但目前不用的信息点关闭。集团总部所在楼的一层,是集团的主机房,布有48个信息点,但目前只有20台左右的服务器和工作站。
集团园区正在后期建设中,不存在遗留的网络系统。集团原有少量的网络设备,可以不作考虑或者用作临时的补充之用。
2.网络设备需求
集团园区网计划采用10M的光纤以太网接入到因特网服务提供商的网络,然后接入到因特网中,使集团实现与外界的信息交换和网络通信。集团统一一个出口访问Internet,集团能够控制网络的安全。
根据集团的网络功能需求和实际的布线系统情况,系统集成商需要给出设备选择的合理建议,包括楼层接入交换机、子公司主交换机、集团核心交换机等。其中,楼层接入设备需要选择同一型号的设备;子公司主交换机可以根据需要通过堆叠方式进行灵活的升级扩容;核心交换机需要具有升级到720Gbps可用背板带宽的能力。
网络设备必须在技术上具有先进性、通用性,必须便于管理、维护。网络设备应该满足集团现有计算机设备的高速接入,应该具备未来良好的可扩展性、可升级性,保护-45
97至102对应Vlan12至17)
10.32.96.1/27 子域服务器IP地址
10.32.96.2/27 Mail服务器IP地址
子公司2 10.48.*.252/24 2号楼接入层交换机管理IP地址(*表示从97至102对应2至7层)
10.48.35.1、2/32 三层交换机的Loopback地址
10.48.*.1 ~ 10.48.*.251/24 各层客户端DHCP地址范围(*表示从97至102对应2至7层)
10.48.*.252、253/24 2号楼汇聚层交换机对应每一Vlan的IP地址(*表示从97至102对应Vlan12至17)
10.48.*.254/24 2号楼汇聚层交换机对应每一Vlan的虚拟IP地址即网关IP地址(*表示从97至102对应Vlan12至17)
10.48.96.1/27 子域服务器IP地址
10.48.96.2/27 Mail服务器IP地址
子公司3 10.64.*.252/24 2号楼接入层交换机管理IP地址(*表示从97至102对应2至7层)
10.64.35.1、2/32 三层交换机的Loopback地址
10.64.*.1 ~ 10.64.*.251/24 各层客户端DHCP地址范围(*表示从97至102对应2至7层)
10.64.*.252、253/24 2号楼汇聚层交换机对应每一Vlan的IP地址(*表示从97至102对应Vlan12至17)
10.64.*.254/24 2号楼汇聚层交换机对应每一Vlan的虚拟IP地址即网关IP地址(*表示从97至102对应Vlan12至17)
10.64.96.1/27 子域服务器IP地址
10.64.96.2/27 Mail服务器IP地址
四、系统需求
本项目的实施目的是在集团内部建立稳定、高效的办公自动化网络,通过项目的实
PC,使所有员工能通过总部网络接入Internet,从而提高所有员工的工作效率和加快企业内部的信息传递。同时需要建立集团的WEB服务器,用于在互联网上发布企业的信息。在总部及每个子公司均设立专用的服务器,使集团内所有员工能够利用服务器方便的访问公共的文件资源,并能够完成企业内外的邮件收发。系统建立完成后,要求能满足企业各方面应用的要求,包括办公自动化、邮件收发、信息共享和发布、员工账户管理、系统安全管理等。
1.系统要求
① 集团原有少量笔记本电脑及PC机,由各级经理及财务部门使用,操作系统均为Windows98,为了满足企业信息化建设的需要,集团将在本项目中更新所有的操作系统。本项目中的操作系统应选择占市场份额最大的主流操作系统,整个网络(服务器、客户机)采用同一厂商的操作系统产品,所选择的操作系统应简单蝗用,便于安装和管理。具体选择应依据如下规则:
操作系统要求选择最新版本
所选操作系统需要提供方便的更新与升级方法
服务器操作系统需要能够提供目录服务功能
服务器及客户机操作系统都需要支持TCP/IP协议
所选操作系统应能够方便的实现用户和权限的管理
秘选操作系统应能够运行常用的大多数应用软件,例如办公软件、图像处理软件、CAD财务软件等
服务器操作系统应能够提供WEB、FTP、DNS服务及完善的管理功能
操作系统厂商应能够提供优质的售后服务及技术支持
客户端操作系统要求简单易用,提供图形界面
② 随着集团近年来的高速发展,集团的业务已经涉及到各个商业领域,集团及公司内部的组织结构也日益复杂,在本项目的设计实施过程中,要求工程实施方在规划系统设计时,充分考虑到集团管理的需求,设计出合理的系统管理架构,能够最大程度的降低集团的系统管理上的成本,并能满足各种商务工作的需求,具体的设计应依据以下原则:
篇6:某学院新校区校园网规划与设计
doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。
某学院新校区校园网规划与设计
校园网建设现状 某学院是一所以工科为主,多学科协调发展的高等院校,现有在校生共计 12000 余名。学校 于 1999 年 1 月接入 CERNET,经过近几年前三期的校园网建设,出口速率由最初的通过微 波共享 2M,2002 年 5 月升级为 1Gbps。某学院老校区校园网以四号教学楼(网络中心所在 楼)为中心,通过单模和多模光缆连接校内各办公楼、教学楼、家属楼、实验楼和学生宿舍 楼等,实现了千兆到楼,百兆到桌面,连接校内所有建筑物的快速校园网络。目前老校区接 入校园网的计算机主机数已达 6 千多台,信息点 1 万余个。某学院校园网现有 AVAYAP882、AVAYA P333R、华为 8505、华为 6506、华为 3526、华为 3026、华为 3526FM、华为 5516F、华为 2403H、华为 3500、华为 2016、CISCO 2514 路由器,BAY1100、BAY350、BAY450,博华网龙千兆防火墙、CISCO 4006、CISCO 3548、CISCO 3524 等三百多台 高、中、低档交换机,曙光 TC-1700、HP LH4、HP LC3、Dell PE6650,Dell 2650,Dell2600,Dell1600sc,Dell PV770N NAS 存储服务器,Dell2800,HP Proliant BL 刀片服务器等一批高中 档服务器。提供有域名服务、电子邮件服务、WWW服务、VOD 服务、ftp 数据存储服务等。除提供基本的网络应用功能外,还搭建了教学、教务、办公、课件开发、数字图书馆等一系 列为教学、科研服务的平台。
目前校园网中存在的问题 经过近几年老校区的网络建设和运行,目前发现存在一些问题: 2.1 网络可靠性差 由于网络结构中没有设备、电源、线路等的冗余和负载均衡,中心核心设备或分中心设备故 障等问题出现直接导致了大面积的网络中断,影响网络的正常运行,且每次出现问题后网管 人员需要作出相应响应,网络不具有自动愈合功能。2.2 网络安全性差 由于教学、办公、公共机房等的计算机管理责任不明确,以及管理不善,经常造成 ip 地址 冲突、计算机感染病毒造成网络拥塞、国际流量异常以及资料泄密等安全事故,这些事件的 发生严正影响了该校网络运行的安全性和可靠性。2.3 用户管理、认证效果差 虽然学生宿舍区应用了计费认证系统,但经过近一年的运行,并没有达到预期的效果。2.4 网络应用平台繁多和孤立
在校园网上运行有邮件系统一套,OA 一套,教务管理系统一套,网络教学平台两套,课件 开发平台一套、英语网络教学平台三套等一系列平台,但这些平台都彼此孤立和不能互相兼 容,致使用户登陆每一个平台都需要输入不同的帐户和密码,特别是网络教学平台利用率极 低,使投资浪费。所以在新校区的网络建设上要彻底避免上述问题的产生,要进行统一的规划设计,彻底保证 网络的安全性和稳定性。3 新校区校园网建设指导思想和目标 3.1 新校区概况 由于该校发展需要,2004 年学校在郑州郑东新区龙子湖征地 1770 亩,在 用于建设新校区。目前已完成 1-5#学生宿舍楼,1-4#教学楼,学生活动中心、教工活动中心等建筑物的 建设,已入住 2005 级新生 3000 余人。根据《某学院校园建设规划》 “2007-2008 年全部完 成新校区工程建设和配套工程、校园绿化美化等主要工程”“新校区是学校的办学主体,以,普通本科生、研究生的培养和科学研究为主要功能”“新校区的学生规模为 18000 人,总建,筑面积 492600平方米”以及“充分利用现代信息网络技术,加大基础设施建设力度,构建 功能齐全、信息畅通的数字化校园”,新校区将布信息点 2 万多个。3.2 新校区网络需求分析 基本需求:为加快该校新校区的网络信息化建设,响应新校区校园网建设工程,满足该校信 息化需求,保证高质量、高效率地为各个子网日常办公、多媒体教学、课件资源共享、E- MAIL、FTP、WEB 信息发布、VOD 视频点播、信息传递、共享文件打印机、宏观协调及科学 决策服务,新校区网络主要实现新区网络中心到办公区,教学区、学生生活区以及教师生活 区、实验场馆等地光纤高速接入校园网。应用需求:新校区将来是办学主体,网络规模会比较大,用户数也会很多,并且会有很多依 赖于校园网所运行的平台,例如一卡通系统,这些都对网络的性能、安全性、可靠性、稳定 性提出了有很大的要求;由于网络管理的需要,对用户入网认证、网络监控管理,也都提出 了需求;另外为满足重要应用优先的运行对 QoS 应用提出需求,而视频远程教学又对组播 应用提出需求,下一代互联网应用则对 ipv6 部署也提出了需求。3.3 建设指导思想和原则 3.3.1 先进性和成熟性 系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。不但 能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证该校 网络建设的领先地位,网络主干设备选用高带宽的、千兆位及万兆位线速路由交换技术。3.3.2 高性能
系统建设应始终贯彻面向应用,注重实效的方针,保证系统具有足够的数据传输带宽,并为 可预计的业务提供足够的系统容量和提供 QOS,COS 服务品质,建设新校区的高性能网络系 统,保护该校的投资。3.3.3 可靠性和稳定性 在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂 商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故 障时间。方案中涉及核心层设备,要求提供电源备份,模块的热插拔维护。核心层设备的系 统模块,如交换引擎、电源模块等均能 1+1 冗余备份。在网络结构设计中,也考虑了一定 的冗余和负载均衡,保证网络高可用性。3.3.4 安全性和保密性 在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别 针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的 权限控制等,如划分 VLAN、MAC 地址绑定、802.1x、802.1d、802.1w、802.1s、VRRP、ACL、PORT+IP+MAC 绑定等。3.3.5 可扩展性和可管理性 为了适应系统变化的要求,必须充分考虑以最简便的方法、最佳的投资,实现系统的扩展和 维护,所以全线采用可网管产品,提供堆叠、集群功能,降低人力资源的费用,提高网络的 易用性、可管理性,同时又具有很好的可扩充性,实现网络的可维性。3.3.6 结构化设计 接入层:连接各端末设备,做为网络智能安全接入和策略的边缘。汇聚层:连接学生宿舍和教师宿舍的接入设备,提供负载平衡、快速收敛和扩展性,完成路 由选择,提供冗余。核心层: 连接各汇聚设备或接入设备和服务器群设备?提供路由管理、网络服务、网络管理、数据高速交换、快速收敛和扩展性,完成高速转发。3.4 建设目标和未来校园网发展方向 某学院新校区网络建设在实用的前提下,在保护投资及长远性考虑原则下,在技术上、系统 能力上要保持五年左右的先进性。采用标准、开放、可扩充的、能与其它厂商产品配套使用 的设计。结合实际建网情况和前期网络建设,在充分研究了目前国内外网络界对校园网设计所采用的 各种网络主干技术,并充分考虑到技术发展的主流和趋势后,选择万兆以太网为目标,IPV6协议为基本协议框架构建新校区的网络建设,设计“核心层之间万兆链路,核心层到汇聚层 千兆主干、百兆交换桌面”的网络拓扑结构,核心层和汇聚层硬件实现 IPV6。考虑到校园 网管理的智能化和校园网发展的良性循环,要求能够通过统一的用户管理平台实现基于 802.1X 协议的全分布式校园安全认证计费目标。整个网络能够实现:高性能、高可靠性、高稳定性、高安全性、可运营、可管理、可增值的智能安全网络。经过未来几年的努力,校园网作为整个信息化建设的重要基础设施,将建成一个高速、开放、先进、智能的计算机信息网络平台[1]。在将来,某学院的校园将是一个网络化、数字化、智能化有机结合的新型校园。4 新校区校园网规划和设计 4.1 方案拓扑设计 方案设计以千兆以太网技术为基础,万兆以太网为目标,采用“主干万兆,支干千兆,百兆 交换桌面”的三层设计思路,分为核心层、汇聚层、接入层。核心层设计 2 台高性能万兆核 心路由交换机,和分中心的万兆高性能交换机组成全冗余的万兆双链路,保证了校园网的高 速数据路由交换,并且具有很好的可扩展性。整个网络分中心由 6 个分中心构成,每个分中心部署一台万兆高性能交换机,每台万兆设备 和核心设备之间两条万兆链路实现负载均衡的同时完成链路的备份,为了更好的加强整个网 络架构的稳定性和健壮性,每个分中心之间进行千兆链路的连接,从而完成链路更好备份需 求。汇聚层部署 IPV4/IPV6 双栈硬件转发路由交换机通过千兆链路实现和各个核心层分中心的 互连,构建新校区高性能、高稳定、高可靠的 IPV4/IPV6 双栈汇聚层网络。各楼栋汇聚层 采用全千兆 IPV6 路由交换机分流核心数据压力并终结各 VLAN 信息。接入层全部采用千兆智 能安全交换机,实现接入安全控制。核心层的万兆链路以及汇聚层的千兆链路连接可以轻松提供高速数据包吞吐量和高可用性; 并采用 OSPF 协议更是保证了园区骨干网的服务不中断时间,而且核心设备的可热插拔接口 模块、管理模块冗余和电源冗余也提供了进一步的可靠性保证。新校区部署管理平台和认证计费平台,从而完成新校区全网的用户管理、设备管理和日志管 理等。上述的高速网络配置的部分功能特性,为新校区高带宽应用(如视频流和 IP 组播)提供了 高可用性和高性能的理想解决方案。整个链路网络拓扑见图 1: 图 1 某学院新校区网络拓扑图 4.2 设备和系统选型
设备的选型是网络设计当中非常关键的部分,严格的选型可以达到最佳的效果,即系统相对 独立,升级简便,组网方式灵活,以保护现有投资和未来的发展。所以为了满足学校目前的 需求,立足长远发展,网络设备的选型除了依据提出的需求外,还需遵循上面的原则。根据知名品牌主流网络产品性能、功能和技术,结合网络应用实际情况和发展趋势,网络方 案中的交换机设备和网络平台选用以下系列产品。4.2.1 核心层设备选择 在本方案中,中心交换机采用锐捷网络 RG-S6810E 万兆核心交换机作为整个校园网核心层 的双核心交换机,该款万兆交换机完全可以满足组网要求。RG-S6810E 万兆核心交换机具 有 1.6Tbps 的背板带宽,个插槽,10 万兆端口密度为 32 个,二、三层转发速率为 572Mpps。可配置冗余电源模块及管理引擎模块,而且所有模块支持热插拔,提高了系统的可靠性和可 用性。RG-S6810E 万兆核心交换机是锐捷网络专门针对园区网骨干和中高密度接入一体的高速局 域网络,提供一个高性能、多层交换解决方案,其设计宗旨是满足主干/分散和服务器集合 环境对千兆位密度、可伸宿性、高可用性及多层交换不断增加的需求,是大中型网络核心骨 干交换机的理想选择。对于核心层各个分中心而言,采用同样支持万兆的高性能路由交换机 RG-S6806E 作为核心 层分中心的交换机,完成各个分中心业务的汇聚交换处理,达到整个核心层的稳定运行。4.2.2 汇聚设备选择 本方案汇聚层交换机采用锐捷网络 RG-S3760-12SFP/GT 全千兆交换机。RG-S3760- 12SFP/GT 最多支持 12 个千兆端口,具有 48Gbps 的背板带宽,三层包转发率达到 18Mpps。
二、RG-S3760-12SFP/GT 支持冗余电源接口,需要另外配置专门的冗余电源模块提供电源。RG-S3760-12SFP/GT 对于 IPV6 的全面支持,满足新校区的全面部署 IPV6 网络的可能性。该款交换机完全可以满足组网要求。4.2.3 接入设备选择 接入层交换机选择锐捷网络 STAR-S2100G 系列千兆交换机。STAR-S2100G 系列千兆交换机 是全线速可堆叠千兆智能交换机,可以配置百兆、千兆模块或堆叠模块。STAR-S2126G 可 实现与 STAR-S2150G 的混合堆叠,最多可以实现 8 个设备进行堆叠。STAR- S2100G 系列 千兆交换机可以实现支持 802.1x 的五元素绑定认证,包括用户名、机 IP 地址、机 MAC PC PC 地址、接入交换机 IP 地址、接入交换机端口号元素。提供智能的流分类和完善的服务质量(QoS)以及组播管理特性,并可以实施灵活多样的 ACL 访问控制,支持基于用户的带宽控 制。4.2.4 安全认证系统
由小编暖阳下的微笑整理的文章某企业网络规划与设计(精选6篇)分享结束了,希望给你学习生活工作带来帮助。