企业网络规划与设计方案

1、企业网络规划与设计方案名：唐班 级：计教 201302 院 系：信息工程学院 授课老师：宋 勤2016 年 6月 14 日星期1、项目概况 工程项目概况 信息点分布 2 需求分析 网络环境需求分析 公司子网需求 交换机路由器的配置以及VLAN的需求划分安全性需求分析 业务需求分析 3 设备要求 客户端计算机的需求分析和定位选购 交换机/路由器的需求分析和定位选购 服务器的需求分析和定位选购 4. 网络布局设计 . 网络拓扑结构介绍 布线逻辑方案网络拓扑图骨干核心层网络设计骨干核心层网络设计核心层网络设计汇聚层网络设计接入层网络设计5项目费用设备费用项目费用6总结1、项目概况工程项目概况XX集团

2、为了加快信息化建设，新的集团网将建设一个以集团办公自动化、电子商务、 业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心，以现代网络技术为 依托，技术先进、扩展性强，将集团的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来，实现内、外沟通的现代化计算机网络系统。该网络系统是支持办公 自动化、供应链管理、ERP以及各应用系统运行的基础设施，为了确保这些关键应用系统 的正常运行、安全和发展，系统必须具备如下的特性：1、采用先进的网络通信技术完成集团企业网的建设，实现各分公司的信息化；2、在整个企业集团内实现所有部门的办公自动化，提高工作效率和管理服务水平；3、在整个企业集

3、团内实现资源共享、产品信息共享、实时新闻发布；4、在整个企业集团内实现财务电算化；5、在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系统；公司组织结构图1如下：董事图11 1公司组织结构图关 总经1如图所示是该公司的职能分布图，董事长，总经理，公司分为财务部，经理A,经理B和总监，人事部，经营系统。其中总经理以下职能部分只向总经理进行工作汇报，总经理 只向董事长进行工作汇报。信息点分布该公司是通过职能部门进行不同的信息点分布，其中按照每个部门的需求，来决定分 布的数量，其中有一部分属于备用点。还有各部门距离网络中心的距离。通过这个表格， 我们可以清晰的分析整个公司的信息点还有各部

4、门的距离计算预算。一下是对公司信息点 的分析，如下表所示：部门功能分布信息点信息点合计距网络中心的距离后勤系统停车场103050m大门/大厅/值 班中心4+6+10产研系统第六部154520m研发部10设计部20人事系统行政部174520m人力资源部20经理/董事长室8财务系统预算部102020m财务部10经营系统销售/售后部10020040m市场部50咨询部50合计340150m表1公司信息点分析表2需求分析网络环境需求分析随着企业各种业务应用逐渐转移到计算机网络上来，网络通讯的无中断运行已经成为 保证企业正常的生产运营的关键。现代企业网络在可靠性设计方面主要应从三方面考虑： 首先是设备的可

5、靠性设计，这里不仅要考察网络设备是否实现了关键部件的冗余备份，还 要从网络设备整体设计架构、处理引擎种类等多方面去考察；其次是业务的可靠性设计， 这里要注意网络设备在故障倒换过程中是否对业务的正常运行有影响；再次是链路的可靠 性设计，以太网的链路安全来自于它的多路径选择，所以在企业网络建设时要考虑网络设 备是否能够提供有效的链路自愈手段和快速重路由协议的支持。公司子网需求为了提高IP地址的使用效率，引入了子网的概念。将一个网络划分为子网：采用借 位的方式，从主机位最高位开始借位变为新的子网位，所剩余的部分则仍为主机位。这使 得IP地址的结构分为三级地址结构：网络位、子网位和主机位。这种层次结构

6、便于IP地址分配和管理。它的使用关键在于选择合适的层次结构-如何既能适应各种现实的物理网 络规模，又能充分地利用IP地址空间。子网的划分主要是根据子网掩码来区分的，掩码 的作用就是用来告诉电脑把“大网”划分为多少个“小网”，以及每个子网中的主机数目。 如表2所示，公司子网的划分。序号子网名称包含的信息点1后勤系统子网该系统所有的计算机2产研系统子网该系统所有的计算机3人事系统子网该系统所有的计算机4财务系统子网该系统所有的计算机5经营系统子网该系统所有的计算机6服务器群子网该区所有的计算机7无线网络子网该区所有的计算机表2公司子网的划分表交换机路由器的配置以及 VLAN的需求划分1、交换机的配

7、置交换机支持 Web浏览器的配置方式，设置交换机管理IP地址，设置用户及管理密码；2、路由器的配置路由器支持Web浏览器的配置方式，逐一设置接入 WAF口设置、用户及管理密码、LAN口设置、安全设置、过滤规则、 VPN配置、信息加密配置等等;3、VLAN的划分VLAN( Virtual Local Area Network)称为虚拟局域网，是指在逻辑上将物理的LAN分成不同小的逻辑子网，每一个逻辑子网就是一个单独的播域。简单地说，就是将一个大 的物理的局域网(LAN在交换机上通过软件划分成若干个小的虚拟的局域网( VLAN。因 为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址，以

8、便在交换机内部的MA(数据库建立MAC地址表，而广播不能跨越不同网段。采用基于MAC地址的VLAN划分。这种划分VLAN的方法是根据每个主机的 MAC地址来 划分，即对每个MAC地址的主机都设置他属于哪个组。这种划分 VLAN方法的最大好处就 是当用户物理位置移动时，即从一个交换机换到其他的交换机时， VLAN不用重新设置，所 以，能认为这种根据MAC地址的划分方法是基于用户的 VLAN如表下所示，该公司内部网 络Vlan的划分及IP的分配。序号子网名称网段IP网关IP备注1后勤系统子网112产研 系统 子网第六部12设计部Vlan 12研发部Vlan 123从事系统子网134财务系统子网预算

9、部14财务部Vlan 145经营系统子网0/2415表3公司vlan的划分及IP的分配表另外，IP地址分为公网地址和私网地址两类，公有地址( Public address )由InterNIC (In ternet Network In formation Center因特网信息中心)负责。这些 IP地址分配给注册并向In ter NIC 提出申请的组织机构。通过它直接访问因特网。ISP分配给公司的 全局IP地址地址段为：-/24.,私有地址(Private address )属于非注册地址，专门为组织机构内部使用。以下列出留用的内部私有地址安全性需求分析传统企业网络的安全措施主要是通过部署防

10、火墙、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对于病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能 有效的解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今 天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安 全控制手段，才能有效的保证企业网络的稳定运行业务需求分析1）、地下BF1层作为停车场所，并包含变配电设备机房，将设置 2个语音信息点和4 个数据信息点用于值班中心的信息交换；2）、 1 楼作为公司的大堂、演示中心、消防网络控制中心以及办公厅，将集中设置语 音信息点和数据信息点， 用于语音通讯、 专项信号控制及视频点播、

11、 公用信息发布等应用； 总配线间（DMDF/ VMDF设在一层网络通讯机房，分接 BF1、F1、F2层的线缆；3）、 2 楼作为公司的远程服务厅、办公场所，经营系统的售前、售后、咨询、远程协 助等都将运作在此楼层；4）、 3 楼作为公司的人事系统办公场所，将包括董事长办公室、经理室、人力资源、 行政和人事部门；4）、 4 楼作为公司的网络中心和财务系统的办公场所，其安全性和保密性将要特别考虑；5）、 5 楼作为公司产研系统所在地，其要求不低于 4 楼；6）、交换设备置于 4 楼的网络通讯机房， 管理各分配线间引来的所有光纤、 数据主干。3 设备要求根据集团的网络功能需求和实际的布线系统情况，

12、楼层接入设备需要选择同一型号的 设备; 子公司主交换机可以根据需要通过堆叠方式进行灵活的升级扩容; 核心交换机需要具有升级到 720Gbps 可用背板带宽的能力。网络设备必须在技术上具有先进性、通用性， 必须便于管理、维护，应该满足集团现有计算机设备的高速接入，应该具备良好的可扩展 性、可升级性，保护用户的投资。网络设备在满足功能与性能的基础上必须具有良好的性 价比。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品，同时设备厂商必须 要有良好的市场形象与售后技术支持。客户端计算机的需求分析和定位选购经过公司内各部门所提交的需求表的反馈，确认公司共需客户端计算机的 PC 数量是 300 套

13、；根据业务的需求分析，从硬件划分为三种配置：1）普通办公PC适用于财务部、人事、咨询等普通办公部门的应用，无显卡要求， 标配主流的CPU内存、硬盘、网卡、LCD显示器。 总数量270台。2）产研系统PC适用于商业机密、设计、研发等办公部门的应用，考虑其业务要求， 需选购比现主流标配的性能更优越的硬件性能，需配置 2G 显存以上的独立显卡。总数量 50 台。3）后勤系统PC适用于特殊、复杂环境的应用，无需独立显卡，需增强的散热系统， 良好的工作环境适应能力，标配主流的 CPU内存、硬盘、网卡、显示器。总数量 60台。交换机 / 路由器的需求分析和定位选购XX公司交换机需求如下：1）主交换机支持三

14、层交换技术，智能化，支持 WE可管理，高安全性、可靠性；2）传输速率 > 1000Mbps；交换机选购需参考的数据如下：端口数量、 端口速率 、机架插槽数和扩展槽数 、 背板带宽 、支持的网络类型 、支持的物理地址数量 、最大可堆叠数 、可网管性 、支 持的协议和标准。选购方案如下：交换机华为 Quidway S8512 网络报价为： 18万基本规格 路由器类型基本规格传输速率应用层级交换方式背板带宽包转发率VLAN功能网络 网络标准网络协议网管功能端口 接口类型模块化插槽数其它 其他功能安全性主干路由器 思科 12416/32 网络报价：万高端企业级路由器交换机类型 万兆核心路由交换机

15、 10/100/1000/10000三层存储 -转发1800GbpsXRCoreEngine I: 428Mpps, XRCoreEngine II: 857Mpps 支持, IEEE , IEEESTP/RSTP/MSTP支持SNMPv3网管14 个槽位 , 12 个业务单板槽位26个支持三层 MPLS VPN支持二层 MPLS VPN: VLL 和 VPLS支持 PE 和 P 功能用户分级管理和口令保护支持IP+MAC+POR任意组合的绑定 支持 IEEE 认证支持非法帧报文过滤 支持端口隔离 支持深度业务感知 支持 SSH路由器处理器交换能力可达 320Gbps网络功能 网络协议PIM

16、DX/SXVPN功 能Qos功能其他功能系统冗余 :IPv4, MPLS, BGPv4, IS-IS, , RIPv2, IGMP, DVMRP,支持 VPN支持 可靠性及可用性 :?结构卡冗余 4:1 时钟调度程序卡冗余 1:1?电源冗余 (DC 1:1, AC 负载平衡 )? 通风组件冗余 ?路由处理器冗余 1:1?报警卡冗余 1:1?通过线路卡实现双归 ?支持 APS?平均故障间隔时间 (MTBF)?时钟调度程序卡=240,078hr?交换结构卡 =276,062hr网络端口 扩展插槽16 个其它标准/ 认证1950?EN60950/IEC60950?EN60825/IEC60825?A

17、CA TS001?AS/NZS 3260电源电压200240VAC/75VDC功耗4706W(AC)/2400W(DC)服务器的需求分析和定位选购XX公司服务器需求如下：1) WEB艮务、FTP E-mail服务，智能化，高安全性、可靠性；2) 根据公司的应配备不同的服务器，主服务器负责内部机密数据，WEB服务器负责 Internet 服务， FTP/E-Mail 服务放在一起，数据据服务器存放网络数据。服务器选购需参考的数据如下：CPU内存、I/O扩展、电源、冷却、操作系统。 选购方案如下：主服务器 曙光天阔 A950r-F(Opteron 8378 x 8/16GB/2 x 146GB)报

18、价：27 万基本参数服务器级别企业级服务器类型机架式服务器结构5U主要性能主板芯片组Nvidia nForce Pro 2200/2050标配CPU个数8颗最大CPU个数8颗CPU类型AMD Opteron 8378处理器标称主频二级缓存2MB多核运算四核?内存内存容量16GB内存描述ECC DDR2?内存扩展128GB存储标配硬盘容量146GB标配硬盘类型SAS?存储控制支持SAS空制RAID阵列模式256M SASRAID存储扩展位8 个热插拔硬盘光驱DVD网络网络控制器集成三个千兆网卡电源电源类型冗余电源散热系统每处理器独立风扇 ;机箱中部 3个风扇 ;电源模块独立风其他PCI 扩展槽2

19、 个 PCI-E x16 扩展插槽2个 PCI-E x16 扩展插槽 （x4 速率 ）1个 PCI 32bit 33MHz 扩展插槽I/O 接口1 个后部串口1个后部VGA接口2个后部接口2个前置接口3个后置RJ45网口1个后置标准 PS/2 鼠标/ 键盘接口显示芯片XGI GX20图形控制器（16MB显存）机身尺寸220 X 425 X 680mm应用服务器 IBM System x3650 M3（7945I75） 报价： 64000基本参数 服务器级别 企业级服务器类型服务器结构机架式2U主要性能标配CPU个数1颗最大CPU个数2颗CPU类型Intel Xeon X5670处理器标称主频智

20、能加速主频?二级缓存6X 256KB三级缓存12MB总线规格s多核运算六核心十二线程 ?内存内存容量8GB(2X 4GB)内存描述PC3-10600 DDR3 RDIMM?内存扩展最高 192GB内存插槽18个DDR3雨槽?存储标配硬盘类型无标配 ?存储控制ServeRAID-M5015RAID阵列模式支持 RAID 0, 1, 5, 10存储扩展位标配:?16X SFF托架网络网络控制器2X千兆接口电源电源功率675W电源数量1电源类型 热插拔电源其他 PCI 扩展槽标配:4X PCI七保修服务 三年部件三年人力三年现场外网防火墙华为赛门铁克 USG9120 报价：万企业级防火墙120Gbp

21、s支持基本规格 防火墙类型网络吞吐量并发连接数VPN支 持主要功能随着"三网合一 ","","P2P视频"、"高清宽带"等理念的推出, 网络带宽的需求成几何级别增长 , "千兆到桌面、 万兆做骨干 "已经不是概念很多交换机和路由器都拥有多万兆大容量端口 , 并且金融、教育等大型企事业单位需 要提供更多的业务与服务 , 传统防火墙不可避免地成为网络瓶颈 , 无法真正适用于高速网络中华为赛门铁克公司凭借丰富的硬件设计经验 , 结合专用的多核处理芯片以及分布式硬件平台，打造出了 "多核+AT

22、CA分布式"的万兆高端Secospace USG910C系列安全网关Secospace USG9100提供业界最高的防火墙/VPN性能，在确保用户对高可靠性和高性 能要求的同时，以较低的投资成本就能满足金融，大型数据中心、大型 WEB网站、大型企业纵向网络等高端应用的安全防护要求安全性人数限制端口参数其他端口等POS无用户数限制12对插槽，可配置业务板和接口板以太网接口 : 8 X GE 1 X 10G LAN 1X 10G WAN内部防火墙华为赛门铁克USG2210报价：万基本规格防火墙类型企业级防火墙CPU多核处理器VPN支持支持主要功能USG2210 统一安全网关除了提供 2个

23、固定千兆光电互斥 WAN接口，还提供了 4个MIC扩展插槽和2个FIC扩展插槽，FIC插槽可也以选配1*GE、2*E1/CE1接口卡，整机最大接口可达4GE+10FE可以适应不同的网络环境，便于用户灵网络网络管理Web和命令行端口类型2*Combo GE WAN,10*10/100M LAN 扩展:安全性人数限制无用户数限制入侵检测DosQDoS安全标准FCC,CE活组网4MIC+2FIC接口 : 4 X、1 X 10G等4. 网络布局设计网络拓扑结构介绍在此次系统设计中，我们采用分层设计方法，将网络的逻辑结构化整为零，分层讨论 设计与实现的细节问题。将网络拓扑结构划分为 3 个层次，即核心层

24、、汇聚层和接入层。采用分层设计方法的好处：1、节约成本 流量从接入层流向核心层时，被收敛在高速的链接上；流量从核心层流向接入层时， 被发散到低速链接上， 因此接入层路由器可以采用较小的设备。 在采用分层设计方法之后， 各层次负责不同的数据传送，不再需要同时考虑同一个问题。层次模型模块化的特性使网 络中的每一层都能够很好地利用带宽，减少了对系统资源的浪费。2、易于理解 采用分成设计方法设计出来的网络拓扑结构层次结构清楚，结晰，可以在不同层次上 实施不同难度的管理，降低了管理的成本。3、易于扩展 分层设计方法设计出来的层次模块化更有利于系统的扩展。4、易于排错 层次模块化能够使网络拓扑结构分解成易

25、于理解的子网结构，管理者能够更方便的确 定网络故障的范围，从而更快的排出网络故障。布线逻辑方案布线只要采取外线进入公司机房然后星形对外布线，如下图所示：图 2 布线逻辑分布方案图图 2 示，是公司布线逻辑分布图，电信网络通过防火墙，进入通过公司路由设备，然 后由主交换机，分配到各服务器，各领导办公室，无线路由设备，办公区交换机1，办公区交换机 2，然后通过办公区交换机 1 分配到各办公区 1，办公区交换机 2 分配到各办公 区 2 ，由此来实现整个公司网络井然有序的工作。网络拓扑图骨干核心层网络设计 图3网络拓扑图441骨干核心层网络设计网络核心层的主要工作是交换数据包，核心层的设计应该注意以

26、下两点：1）不要在核心层执行网络策略：所谓策略就是一些设备支持的标准或系统管理员定制 的规划。牢记核心层的任务是交换数据包，应尽量避免增加核心层路由器配置的复杂程度，因 为一旦核心层执行策略出错将导致整个网络瘫痪。2）核心层的所有设备应具有充分的可到大性：可到达性是指核心层设备具有足够的 路由信息来智能地交换发往网络中任意目的地的数据包。在具体设计中，当网络很小时，通常核心层只包含一个路由器，该路由器与汇聚层上 所有的路由器相连。在骨干核心层中，我们采用数台 BROCADE SilkWorm 300核心光纤通道交换机组成一 个环形多机热备份的核心交换机系统解决方案。为提高核心网络的健壮性，实现

27、链路的安 全保障，本方案骨干核心层环网中可以采用VRRP（虚拟路由器冗余协议）。对于各个业务VLAN可以指向这个虚拟的IP地址作为网关，因此应用VRRP技术为核心交换机提供一个可 靠的网关地址，以实现在核心层核心交换机之间进行设备的硬件冗余，一主两备，共用一 个虚拟的IP地址和MAC地址，通过内部的协议传输机制可以自动进行工作角色的切换。 进而双引擎、双电源的设计为网络高效处理大集中数据提供了可靠的保障。4.4.2 核心层网络设计大型企业生产办公网络的核心层网络主要完成园区内各汇聚层设备之间的数据交换和与骨干核心层网络之间的路由转发。BROCADE SilkWorm 300E具有强大的业务和路

28、由处交换理能力，可以充分满足大型企业不同园区网络的高速数据交换和支持多业务功能的要 求，并能够提供完善的安全防御策略，保障企业园区网络的稳定运行。核心层是网络互联的最高层次，应具有如下能力：核心设备之间应该具有最高速的链 路；比较粗的QoS控制粒度；最高的路由前缀；为网络其他模块提供互联。在联合公司自 动化系统中，核心层为各区域配线间汇聚层交换机以及服务器汇聚交换机之间提供互联。4.4.3 汇聚层网络设计汇聚层网络主要完成企业各园区内办公楼宇和相关单位的内接入交换机的汇聚及数据交换和VLAN终结，汇聚层是核心层和接入层的连接模块，主要功能如下：细到粗 QoS 粒度的转换；提供到核心的路由合并；

29、提供到访问层的路由过滤。联合公司自动化系统的 汇聚层，主要是为各个配线间以及服务器群的中心网络设备提供接入层设备的集中和核心 层链路的接入。4.4.4 接入层网络设计接入层是面向最终用户的设备，主要功能如下：提供高密度的用户端口；提供许可控 制，包括：安全控制和 QoS控制。采用多层网络的设计方法，必须依赖于利用网络的高弹性和扩充性。所谓的弹性指的是对 故障的容忍度和故障情况下的恢复能力；所谓扩充性是指根据实际需要，可以在各个不同 层次实现升级和扩充，实现对网络可控的、有序的优化。在这种体系结构内，接入层为终端用户提供 10/100M 交换端口，并提供到网络汇聚层的上 联链路。各个楼层的终端设

30、备或局域网络全部通过接入层进入网络系统。网络汇聚层聚集配线间内所有的接入交换机，提供千兆链路连接到核心层网络中，并采用 第二和第三层交换技术来划分网段（工作组），提供故障或问题的隔离，使得核心网络免 于外围故障的影响。由于汇聚层设备连接的用户数较多，涉及的虚拟网络（ VLAN信息较 多，此次网络方案设计将第三层交换设计在汇聚层上，以提升虚拟网络之间的互通能力。核心网络层连接各个不同的配线间汇聚层交换机以及服务器汇聚交换机，核心网络设 备之间提供冗余的、高带宽的交换数据通道，形成网络的核心结构。核心网络中同时会有 第二和第三层交换技术的存在，但第三层交换应占有主导地位。第三层交换有利于网络的 规

31、模调整并为新的多址发送应用提供更好的性能和流量路由。同时，将服务器群通过服务 器汇聚交换机连接在高交换性能的核心网络中，结合虚拟网技术，为网络提供更安全、效 率更高的应用效果。5项目费用设备费用设备 名称品牌标配参数数量单价（元）合计（元）服务器主服务器曙光天 阔 950r-F(Opteron 8378 X 8/16GB/2 X146GB)In tel Xeo n 3200MHz 最大内存 容量 12GB内存 ECCDDR2SDRAM2万万应用服务器IBMSystemx3650M3(7945I75)Intel Xeon X56708GB(2X 4GB) PC3-10600 DDR3RDIMM3

32、万万路由器无线路由器思科 SRP532W无线智能路由器1万万主干路由器思科 12416/32高端企业级路由器交换能力可达320Gbps支持VPNIPv4, MPLS, BGPv4, IS-IS,RIPv2, IGMP, DVMRP, PIMDX/SX1万万交换机主交换机华为Quidway S8512支持三层MPLS VPN支持二层 MPLS VPN: VLL 和VPLS支持PE和P功能218万36万次交换机华为Quidway S8508存储-转发214万28万部门级次交换机：支持命令行接口 （CLI）配置,99500万华为QuidwayS3952P-EI支持Tel net远程配置，支持 通过C