企业网络工程设计方案

1、精品文档网络工程设计方案目录一、需求分析.41.1工 程 项 目 概况.41.2信息点分布.51.3需求分析.5二、 方案设计原则.8三、 网络方案设计.103.1网络拓扑结构介绍 .103.2网络拓扑图.113.3.1骨干核心层网络设计.123.3.2核心层网络设计.133.3.3汇聚层网络设计.143.3.4接入层网络设计.143.3.5广域网互联设1欢。迎下载精品文档计.153.3.6冗 余/负 载 均 衡 设计.153.3.7线 路 冗余.163.3.8网 络 设 备 冗 余/负 载 均 衡 设计.173.3.9服务器冗余设计.193.310 IP地 址 规 划 原则.203.4方 案

2、 特点.23四、网络技术选型 .244.1路 由 协 议 OSPF. .244.2端 口 安 全 与 认 证 （ 基 于802.1X） . .244.3 VRR（虚拟路由冗余协议）原理 .254.5 NAT的 描 述 及 策 略 路 由 的 实现.272欢。迎下载4.6ACL访问控制列精品文档表）.284.7链 路 聚 合EC（EthernetChannel）. 284.8 VLAN （虚 拟 局 域网）.294.9 WLAN无线局域网.30五、 网络安全及管理机制 .305.1完善的安全机制.305.2解决安全威胁.325.3VPN（虚 拟 专 用网）.32六、 网络设备选型.33七、方案的

3、扩展性考虑.343欢。迎下载精品文档当今社会已步入信息社会，信息成为社会经济发展的核心因素， 信息化已成为当今世界潮流。 而现在， 信息化程度已成为衡量一个国 家现代化水平和综合国力强弱的重要标志。信息技术作为新技术革命的核心.不仅具有高增值性、成为最具 经济活力的经济增长点,而且具有高渗透性,以极强的亲和力和扩散 速度向经济各部门渗透，使其结构和效益发生根本性改变。信息化已 成为当代经济发展与社会进步的巨大推力， 尤其是作为国民经济信息 化基础的企业信息化， 当前更显得尤为重要， 信息化建设已成为企业 发展的必由之路。信息化是企业加快实现现代化的必然选择!随着信息时代的到来， 企业的生存和竞

4、争环境发生了根本性的变 化。对于大型企业而言，信息化无论是作为战略手段还是战术手段，在企业经营中发挥着举足轻重的作用。随着近年来企业信息化建设的深入， 企业的运作越来越融入计算 机网络，企业的沟通、应用、财务、决策、会议等等数据流都在企业 网络上传输，构建一个“安全可靠、性能卓越、管理方便”的“高品 质”大型企业网络已经成为企业信息化建设成功的关键基石。4欢。迎下载精品文档一、需求分析1.1工程项目概况红塔木业集团为了加快信息化建设，新的集团企业网将建设一个 以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远 程通讯、信息发布及查询为核心，以现代网络技术为依托，技术先进、 扩展性强，

5、将集团的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来，实现内、外沟通的现代化计算机网络系统。 该网络系统是支持办公自动化、供应链管理、ERP以及各应用系统运行的基础设施，为了确保这些关键应用系统的正常运行、 安全和发展, 系统必须具备如下的特性：1、采用先进的网络通信技术完成集团企业网的建设，实现各分公司 的信息化；2、在整个企业集团内实现所有部门的办公自动化， 提高工作效率和 管理服务水平；3、在整个企业集团内实现资源共享、产品信息共享、实时新闻发布；4、在整个企业集团内实现财务电算化；5、在整个企业集团内实现集中式的供应链管理系统和客户服务关系 管理系统；具体要求：WW

6、服务5欢迎下载精品文档E-mail、FTP服务网上多媒体教学，能提供视频点播服务集团内行政管理拨号上网服务1.2信息点分布主要信息点集中在生产部、账务部、网络中心、职工宿舍等部门。详细分布如表1所示地点信息点备注网络中心40需保证速度、流量和可靠性生产部150需保证速度、流量和可靠性账务部120需保证速度、流量和安全性职工宿舍1000需保证速度和流量销售部100需要保证速度和可靠性综合设计30需保证速度和流量表1主要信息点分布1.3需求分析为适应企业信息化的发展，满足日益增长的通讯需求和网络的稳 定运行，今天的大型企业网络建设比传统企业网络建设提出更高的要 求，主要表现在如下几个方面：1）现代

7、大型企业网络应具有更咼的带宽， 支持10GE或将来平滑 过渡到10GE更强大的性能，以满足用户日益增长的通讯需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今 天的企业网络已经发展成为一个多业务承载平台，它不仅要继续承载 企业的办公自动化和WEB览等简单的数据业务，还要承载涉及企业6欢迎下载精品文档生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务，因此数据流量将大大增加，尤其 是对核心网络的数据交换能力提出前所未有的要求。 另外，随着千兆 端口的成本持续下降， 千兆到桌面的应用会在不久的将来成为企业网 的主流。所以今天的企业网络已经不能再用百

8、兆到桌面千兆骨干来作 为建网的标准，它的核心层及骨干层必须具有万兆级带宽和处理性 能，才能构筑一个畅通无阻的“高品质”大型企业网，从而适应网络 规模扩大，业务量日益增长的需要。2）现代大型企业网络应具有更全面的可靠性设计，以实现网络 通讯的实时畅通，保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来， 网络通讯的 无中断运行已经成为保证企业正常的生产运营的关键。现代大型企业 网络在可靠性设计方面主要应从三方面考虑：首先是设备级可靠性设 计，这里不仅要考察网络设备是否实现了关键部件的冗余备份， 还要 从网络设备整体设计架构、 处理引擎种类等多方面去考察； 其次是业 务的可靠

9、性设计， 这里要注意网络设备在故障倒换过程中是否对业务 的正常运行有影响； 再次是链路的可靠性设计， 以太网的链路安全来 自于它的多路径选择，所以在企业网络建设时要考虑网络设备是否能 够提供有效的链路自愈手段和快速重路由协议的支持。3）现代大型企业网络需要提供完善的端到端QOS呆障，以满足 企业网多业务承载的需求。大型企业网络承载业务的不断增多， 单纯的提高带宽并不能够有7欢。迎下载精品文档效的保障数据交换的畅通无阻，而必须要考虑到网络应能够智能的识 别应用事件的紧急和重要程度，如视频、音频、数据流（MIS、ERP、OA备份数据），同时能够调度网络中的资源， 保证重要和紧急业务 的带宽、 时延

10、、优先级和无阻塞的传送，实现对业务的合理调度才是 一个大型企业网络提供“高品质”服务的保障。4） 现代大型企业网络应提供更完善的网络安全解决方案，以阻 击病毒和黑客的攻击，减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软 件以及配合交换机或路由器的ACL来实现对于病毒和黑客攻击的防 御，但实践证明这些被动的防御措施并不能有效的解决企业网络的安 全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动 抑制的一系列安全控制手段，才能有效的保证企业网络的稳定运行。5） 现代大型企业网络应具备更智能的网络管

11、理解决方案，以适 应网络规模日益扩大，维护工作更加复杂的需要。当前的网络已经发展成为“以应用为中心”的信息基础平台，网 络管理能力的要求已经上升到了业务层次，传统的网络设备的智能已 经不能有效支持网络管理需求的发展。 比如，网络调试期间最消耗人 力与物力的线缆故障定位工作， 网络运行期间对不同用户灵活的服务 策略部署、 访问权限控制、 以及网络日志审计和病毒控制能力等方面 的管理工作， 由于受网络设备功能本身的限制， 都还属于费时、费力， 有时甚至是不可能的任务， 所以现代的大型企业网络迫切需要网络设8欢。迎下载精品文档备具备支撑“以应用为中心”的智能网络运营维护的能力，并能够有 一套智能化的

12、管理软件，将网络管理人员从繁重的工作中解脱出来。二、方案设计原则本方案的设计将在追求性能优越、 经济实用的前提下， 本着严谨、慎重的态度，从系统结构、技术措施、设备选择、系统应用、技术服 务和实施过程等方面综合进行系统的总体设计，力图使该系统真正成 为符合该中学的网络系统。从技术措施角度来讲，在网络的设计和实现中，本方案严格遵守 了以下原则：1、实用性和集成性 系统的软硬件设计、还是集成，均以适用为第一宗旨，在系统充 分适应企业信息化的需求的基础上进而再来考虑其他的性能。 该系统 所包含的内容很多，必须能将各种先进的软硬件设备有效地集成在一 起，使系统的各个组成部分能充分发挥作用， 协调一致的

13、进行高效工 作。2、标准性和开往性 只有支持标准性和开放性的系统， 才能支持与其它开放型系统一 起协同工作， 在网络中采用的硬件设备及软件产品应该支持国际工作 标准或事实上的标准，以便能和不同厂家的开放性产品在同一网络中 同时共存。通信中应采用标准的通信协议以使不同的操作系统与不同 的网络系统及不同的网络之间顺利进行通讯。9欢。迎下载精品文档3、先进性和安全性系统所有的组成要素均应充分地考虑其先进性。 不能一味地追求 实用而忽略先进，只有将当今最先进的技术和我们的实际应用要求紧 密结合，才能获得最大的系统性能和效益。 网络的安全是事关重要的， 在某些情况下， 宁可牺牲系统的部分功能也必须保证系

14、统的安全。4、 成熟性和高可靠性作为信息系统基础的网络结构和网络设备的配置及带宽应能充 分地满足网络通信的需要。网络硬件体系结构在实际应用中能经过较 长时间的考验，在运行速度和性能上都应是稳定可靠的、 拥有完善的、 实用的解决方案， 并通到较多的第三方开发商和用户在全球的广泛支 持和使用。同时，应从长远的技术发展来选择具有很好前景的、较为 先进的技术和产品，以适应系统未来的发展需要。可靠性也是衡量一个计算机应用系统的重要标准之一。 在确保系 统网络环境中单独设备稳定、 可靠运行的前提下， 还需要考虑网络整 体的容错能力、 安全性及稳定性，使系统出现问题和故障时能迅速地 修复。 因此需要采取一定

15、的预防措施，如对关键应用的主干设备考虑 有适当的冗余。应急处理信息系统能够全天候工作，达到每周7*24小时工作的要求。 一个高可用性的系统才能使用户的投资真正得到回 报。5、可维护性和可管理性整个信息网络系统中的互连设备， 应是使用方便、操作简单易学， 并便于维护。对复杂和庞大的网络，要求有强有力的网络管理手段，10欢。迎下载精品文档以便合理的管理网络资源，监视网络状态及控制网络的运行，因此， 网络所选的网络设备应支持多种协议，管理员能方便进行网络管理、 维护甚至修复。在设计和实现时， 必须充分考虑整个系统的便于维护性， 以使系 统万一发生故障时能提供有效手段及时进行恢复，尽量减少损失。6、可

16、扩充性和兼容性网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、 系 统容量与处理能力、 物理接连、 产品支持等方面具有扩充与升级换代 的可能，采用的产品要遵循通用的工业标准，以便不同的设备能方便 灵活地接连入网并满足系统规模扩充的要求。为了使所实现系统能够在应用发生变化的情况下保护原有的开 发投资，在设计系统时，应将系统按功能做成模块化的，可根据需要 增加和删除功能模块。三、网络方案设计3.1网络拓扑结构介绍在此次红塔木业集团大型企业网的设计中，我们采用层次化模型 来设计网络拓扑结构。所谓“层次化”模型，就是将复杂的网络设计 分成几个层次， 每个层次着重于某些特定的功能，这样就能够使一个

17、 复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网 的设计，也能够应用于广域网的设计。层次化模型的好处：11欢。迎下载精品文档在大型企业网设计中，使用层次化模型有许多好处，列举如下：1、节省成本在采用层次模型之后， 各层次各司其职， 不再在同一个平台上考 虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好 地利用带宽，减少了对系统资源的浪费。2、易于理解层次化设计使得网络结构清晰明了，可以在不同的层次实施不同 难度的管理，降低了管理成本。3、易于扩展 在网络设计中，模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中， 而不会蔓延到网络的其他地方。 而如果采用扁平

18、化和网状设计，任何一个节点的变动都将对整个网络产生很大影响。4、易于排错层次化设计能够使网络拓扑结构分解为易于理解的子网， 网络管 理者能够轻易地确定网络故障的范围，从而简化了排错过程。3.2网络拓扑图网络拓扑图如图1所示。12欢。迎下载精品文档图1网络拓扑图3.3网络设计331骨干核心层网络设计大型企业生产办公网络的核心网主要完成整个企业集团内部不 同地域企业之间的高速数据路由转发，以及维护全网路由的计算。鉴于大型集团企业的用户数量众多，业务复杂，QOS要求较高的特点，在本方案中采用神州数码的DCRS-7508高密度多业务核心路由交换 机组建高性能的核心网络平台。神州数码DCRS-7500系

19、列交换机是具有运营商级容错能力的高 性能大型网络核心交换机，可为高校和运营商提供基于领先技术的卓 越性能和可靠性。DCRS-750C系列交换机专为发挥万兆、千兆以太网 潜在的强大交换能力而设计，超大容量的交换背板使得包括万兆端口 在内的每个端口具备全线速交换能力，确保在巨大的网络通信负载下 始终能够轻松实现线速的第二层和第三层交换，是城域网、数据中心、智能大厦及企业网络骨干级核心路由交换机的理想选择。13欢迎下载精品文档011昭DCRS T50f十曲厨L3 rvrCii巻世申心KF2V-2Q*忙r :I；W !_1 ElJklEUkni|K：-DCRS-7500系列交换机具有三种型号， 包括1

20、5插槽的DCRS-751、5 8插槽的DCRS-7508和4插槽的DCRS-7504除DCRS-7515专用的大 功率电源模块外，该系列交换机的所有管理模块、交换模块以及电源 模块都可互换使用， 而且管理模块、电源模块、风扇等还可实现冗余 备份，温度传感器可以随时监控各个部件的工作温度， 从而提供运 营商级的可靠性。DCRS-7500系列交换机的一大特色是管理模块均 带有业务接口， 使得所有的插槽均为有效的业务插槽， 从而大大提高 了端口密度和插槽利用率。在骨干核心层中，我们采用三台神州数码DCRS-7508心路由交 换机组成一个环形多机热备份的核心交换机系统解决方案。 为提高核 心网络的健壮

21、性， 实现链路的安全保障， 本方案骨干核心层环网中可 以采用VRRP（虚拟路由器冗余协议）。对于各个业务VLAN可以指向 这个虚拟的IP地址作为网关，因此应用VRRP技术为核心交换机提供 一个可靠的网关地址，以实现在核心层核心交换机之间进行设备的硬 件冗余，一主两备，共用一个虚拟的IP地址和MAC地址，通过内部 的协议传输机制可以自动进行工作角色的切换。 进而双引擎、 双电源 的设计为网络高效处理大集中数据提供了可靠的保障。3.3.2核心层网络设计 大型企业生产办公网络的核心层网络主要完成园区内各汇聚层 设备之间的数据交换和与骨干核心层网络之间的路由转发。 传统解决 方案一般采用骨干路由器核心

22、交换机来组建， 但这种方式受限于交 换机的性能，在提供MPLS VPN勺业务能力方面较弱，不适合大型企14欢。迎下载精品文档业网络的建设需求，同时现在的大型企业办公网络具有城域网的特 点，网络发展具有网络扁平化的发展方向，因此本方案骨干层网络设 备采用DCRS-7508核心路由交换机作为大型企业生产办公网络的园 区核心路由交换设备，DCRS-7508具有强大的业务和路由处交换理能 力，能提供如MPLS/PNQOS策略路由、NATPPPoE/Web/802.1x/L2TP认证等丰富业务能力， 并可通过内置防火墙模块实现各种强大的网络 安全策略，可以充分满足大型企业不同园区网络的高速数据交换和支

23、持多业务功能的要求， 并能够提供完善的安全防御策略， 保障企业园 区网络的稳定运行。3.3.3汇聚层网络设计 汇聚层网络主要完成企业各园区内办公楼宇和相关单位的内接入交换机的汇聚及数据交换和VLAN终结，在本方案中采用神州数码 的DCRS-750较换机多层交换机作为汇聚层面的交换机。DCRS-7504交换机在提供高密度千兆端口接入的同时还能够满足汇聚层智能高 速处理的需要,并能够加灵活的部署在网络边缘的各个位置。能够同 时提供多个高速专用堆叠端口和百兆、千兆光口/电口。这些交换机 都具备较强的多业务提供能力，可支持包括智能的CCL MPLS组播在内的各种业务。为用户提供丰富、高性价比的组网选择

24、。3.3.4接入层网络设计 以往传统企业网络接入层的建设中并不关注于安全控制和QOS提供能力，而将网络的安全防御措施和QOS保障依赖于网络的汇聚层 或骨干层设备， 这给汇聚层和骨干层设备带来了巨大的压力， 往往内15欢。迎下载精品文档网病毒泛滥成灾后导致骨干层设备瘫机，使网络没有QOS服务质量保 障。DCRS-2026智能宽带接入交换机是能满足高安全、多业务承载、 高性能的网络环境智能交换机， 具备传统二层交换机大容量、 高性能 等优点，同时还具有领先的安全特性， 进一步加强了企业网络对边缘 接入层面的安全控制能力。 用户可以根据需要来订制自身的安全策 略并部署在此交换机上。该产品具备的端口带

25、宽限制、 端口镜像、QOS、 端口安全、广播风暴抑制等功能可以很好的协助用户实现网络的管理 和维护。 除此之外， 此交换机还具备多个专用堆叠接口， 可以满足楼 层，楼宇内多个交换机高性能汇聚的需要。3.3.5广域网互联设计针对于大型企业需要良好的出口网关设备， 我们建议用户选用神 州数码DCFW-1800S-L神州数码DCFW-1800E-G防火墙专为千兆位流量的网络服务运营商， 大型数据中心等骨干网络而设计，采用2U专用千兆安全平台，完全 模块化可扩展结构，具有热插拔特性的冗余部件为您提供最大的不间 断运行时间。神州数码DCFW-1800E-防火墙内置2个10/100/1000M自适应以太网

26、电口，具备6个SFP扩展插槽，最多可扩展至8个千兆 接口，接口模块类型支持单模、多模光纤，千兆电口，充分满足您的 定制需求。3.3.6冗余/负载均衡设计冗余设计是网络设计的重要部分， 是保证网络整体可靠性能的重16欢。迎下载精品文档要手段。但是投资也将增加。部分企业园区网在早期的建设中由于成 本的原因并未在设计中考虑冗余问题， 而在优化工作中则需从网络链 路和网络设备两方面着手。冗余设计可以贯穿整个层次化结构， 每个 冗余设计都有针对性， 可以选择其中一部分或几部分应用到网络中以 针对重要的应用。 万一网络中某条路径失效时， 冗余链路可以提供另 一条物理路径。 可采用GEC链路聚合(IEEE8

27、02.3ad)实现端口级冗 余，以克服某个端口或线路引起的故障。也可采用生成树协议(IEEE802.1d)提供设备级的冗余连接。此外，我们在设计中提供不 同物理方向的双归属、双路由保护。3.3.7线路冗余在企业网骨干核心层， 企业网络边界拓扑结构由于采用了环形多 机热备份的核心交换机系统解决方案，所以在线路冗余方面的要求较 高， 对于线路的冗余要求，我们采用10GE线路对三台企业网骨干核心层设备进行环行双向备份，并使用业界领先的VRRP(虚拟路由器冗余协议)来对其作为冗余线路的协议保障。 以GEC乍为N*1000M主 干链路，通过这个链路连接骨干网交换机，具备万兆扩展能力；接入 交换机采用10

28、/100M自适应端口连接桌面系统， 多千兆链路连接到汇 聚层。GEC路具有链路聚合和冗余保证两大特性，下面我们将对它们依次进 行介绍。链路聚合：可使用一条物理链路在不同品牌交换机之间、 交换机和服务器间17欢。迎下载精品文档提供聚合的高速通道，在不增加投资的情况下，扩大交换带宽，使关 键连接的传输效率更高冗余保证：链路聚合中，成员互相动态备份。当某一链路中断时，其它成员 能够迅速接替其工作。 与生成树协议不同， 链路聚合启用备份的过程 对聚合之外是不可见的， 而且启用备份过程只在聚合链路内， 与其它 链路无关，切换可在数毫秒内完成。综合分析以上各主流方案的优缺点， 从性能与成本及拓展性等方面的

29、综合考虑出发，我们决定采用GEC骨干核心网络10GE拓展的方 式作为其链路选择及备份选择。在企业网汇聚层及接入层出于成本及性价比的考虑，我们决定采用千 兆汇聚，万兆拓展；百兆到桌面的链路选择。3.3.8网络设备冗余/负载均衡设计当前，无论在企业网、园区网还是在广域网如Internet上，业 务量的发展都超出了过去最乐观的估计， 上网热潮风起云涌， 新的应 用层出不穷， 即使按照当时最优配置建设的网络，也很快会感到吃不 消。尤其是各个网络的核心部分，其数据流量和计算强度之大，使得 单一设备根本无法承担。负载均衡建立在现有网络结构之上， 它提供了一种廉价有效的方 法扩展服务器带宽和增加吞吐量， 加

30、强网络数据处理能力， 提高网络 的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题，服务 就近提供，实现地理位置无关性;为用户提供更好的访问质量;提高18欢。迎下载精品文档服务器响应速度；提高服务器及其他资源的利用效率；避免了网络关 键部位出现单点失效。在此方案中，在网络的每个关键结点，我们在设计时都做到了对其有 效的冗余备份和负载均衡。在网络的骨干核心层上。我们采用了三台 锐捷网络的RG-S861C高密度多业务IPV6核心路由交换机组建高性能 的核心网络平台，在对骨干核心层提供足够的网络接点和接入需求的 同时最大限度的为网络提供了有效的冗余保障和负载均衡。在核心层的每个区块，我们都采用了

31、两台锐捷网络的RG-S8606度多业务IPV6核心路由交换机做到冗余与负载均衡。在汇聚层的每个区块，我采用了两台锐捷网络的RG-S5750交换机多层交换机做到冗余与负载均 衡。在本方案的设计中，出现了两个以上的交换区块和需要提供冗余连接的时候，我们采用了双核心配置。如下图，我们给出了从接入层 到汇聚层再到核心层的双核心配置19欢迎下载精品文档双核心拓扑结构提供了两条等代价路径和双倍的带宽。每个核心 交换机连接着数目相同的子网到第三层汇聚设备上。每个交换区块都交慢篡块1交後区煥卫子屛A様心国焕子网E汇1E咳心尽匸聚/核心垢有冗余的连接到核心交换机上，因此形成两条不同的，但是等代价的 连接。如果一

32、条核心设备发生故障，还是能够收敛，因为汇聚层设备 的路由选择表中还有另一条到核心设备的路由。第3层路由选择协议 在核心中起链路选择的作用，VRRP提供快速错误恢复。核心层不需 要STP因为在核心交换机间没有冗余的第2层连接。339服务器冗余设计企业网中服务器、大型机，如网络存储服务器，SQL Server服务器,其存储的数据对于企业来说致关重要，一些核心数据被视为企业的生 命。一方面它对企业的企业的重要性毋庸质疑，另一方面，由于这些 数据的性质决定了其较大的被访问量，这个对服务器提出了稳定和快 速的要求。如果宕机，后果是技术是保障计算机系统的可靠性是重中 之重。为此，我们采用的是双机热备技术，

33、此技术能够有效的满足核心服务器高效，稳定的高要求。而且相对于其它成本技术来说，这 是比较有经济价成效的技术。3=3120欢迎下载精品文档Server 1 Server 2服务器双机热备技术具体技术实现： 每个核心服务器均具有两个以太网接口 （可以通 过安装双网卡实现），在此基础上，以上图为例，DB服务器A与DB服务器B先分别利用自己的一个以太网接口实现两个服务器之间的 直连，每个服务器另外的一个接口则与服务器区的网络实现互连，以 达到双机热备的目的。因此增加服务器的稳定性与高效性。本网络中应具有多台服务器设备，包括DBSERVE数据库服务器，WEB,CATALCOG应用服务器，NEWS,MAI

34、等通讯服务器及多媒体服务 器等。3.310 IP地址规划原则IP地址构成了整个Internet的基础，IP地址资源是整个Internet的基本核心资源，IP地址资源的合理分配和有效利用是整 个Internet发展过程中持续有效的一个极具分量的研究课题。我们在对企业园区网IP地址编址设计和分配利用时，遵循了以 下几个原则：1） 、自治：整个园区网络网络被划分成几个大的自治区域，每个大自 治区域中又被划分成几个小的自治区域。2） 、有序：我们按照自治原则将网络进行逻辑划分后，就根据地域、 设备分布及区域内用户数量来进行子网规划。同时，我们将IP地址 规划和网络层次规划、路由协议规划、流量规划等结合

35、起来考虑。在 进行地址分配时，为了提高地址分配效率和地址利用率， 我们在编址21欢。迎下载精品文档设计时按照了一定的顺序进行。选择的顺序是自上而下的顺序，即采 用了业界领先的自顶向下网络设计(Top-Down Network Design)方 法。3)、可持续性：考虑到园区内网络用户数将持续高速增长，网络所要 承载的业务量和业务种类越来越多，这使得网络需要频频进行技术升 级、改造和扩容。所以，在进行地址分配时本方案充分考虑到了这些 因素，为网络的每个部分留有部分地址冗余， 这样保证网络的可持续 发展。4)、可聚合：互联网日新月异的发展和日益庞大的规模令当初设计互 联网络的专家始料不及，在路由表

36、急剧膨胀情况下，可聚合原则是网 络地址分配时所必须遵守的最高原则，可聚合原则要求在进行地址规 划时，应提供足够的路由冗余功能。5)、尽量节约IPv4地址：由于IPv4地址越来越少，所以对于IPv4地址的使用需要格外节约。IPv4地址的节约可以通过动态编址技术 和NAT技术等来实现。6)、闲置IP地址回收利用：对于已分配出去的静态IP地址进行定期 追踪管理，对长时间闲置的IP地址可经过确认后回收重复利用。此次方案的设计，我们决定采用一个内部私有A类地址 ()对企业园区的网络设备编址。由于从方案本身的网络拓 扑图采用了典型的层次化设计，所以对IP地址的编址设计也应采取层次化的设计来

37、完成，并采用VLSM来拓展有限的IP地址。网段描述所需的IP地址数22欢迎下载精品文档骨干核心层链路5（2个用于拓展备份）集团总部1000生产部500客户部500机械厂1000大型机/服务器群500企业VOIP语音系统2000VLSM是可变长子网掩码的英文缩写，它提供了一个主类（A类、B类、C类）网络内包含多个子网掩码的能力，可以对一个子网再进 行子网划分。VLSM勺优点1、对IP地址更为有效的使用2、应用路由归纳的能力更强所以我们采取VLSM寸网络进行编址，以达到节约IP地址，能够 使用路由汇总的目的。首先采用一个A类网址对园区网主体结构进行编址， 至上而下的设计 思路有利于设计的最后成型和

38、网络的健壮性。其次，在语音电话系统中，每一个IP电话需要一个IP地址以及诸如 子网掩码、默认网关等的相关信息。事实上，这意味着一个组织需要 指派两倍于IP电话的IP地址给当前所有的pc用户，这个由DHC提 供。我们使用私有遍址的IP电话作为语音电话遍址方案。私有遍址IP电话：23欢迎下载网络些“IP电话+PC在同一交换机端口上口 最后经过我们的计算，将各部门IP地址分配如下表:IP地址网段VLAN编号默认网关财务部/241054/24生产部/242054/24销售部192.168.3

39、0.0/243054/24行政部/244054/24用户地址与VLAN划分Web服务器IP地址：/24FTP服务器IP地址：/24路由器出口IP地址：/243.4方案特点精品文档1028.3172.1685IP电话使用H8S本方案很好地解决了用户要求的四个问题，即带宽问题、安全问题、管理计费问题、灵活扩展问题。24欢迎下载精品文档带宽问题：使用万兆互连双核心结构，使网络核心设备不但可以 互相备份，而且有效的减轻流量负荷，使设备时刻保持稳定和高效。安全问题

40、：校园网核心层、汇聚层、楼层汇聚层所使用的产品全 部具有网络病毒和攻击的防护能力，并且防DOS/DDO攻击，因而可以在不同的环境中做到安全防护，足以应对突发事件，保持网络稳定、 通畅。管理计费问题： 统一认证，针对校园网开放式的信息点造成的 安全隐患，全网接入采用统一认证技术（可以进行账号、IP，MACLAVN ID、交换机IP和交换机端口六要素灵活捆绑），保证了只有合 法授权的用户才能使用网络或外部网络，而且还能对网络的使用情况 进行审计。灵活扩展问题：核心层使用的路由交换机DCRS-7508有良好的扩 展性，可以为将来的网络实现轻松扩展。四、网络技术选型4.1路由协议OSPF在网络骨干核心

41、层和核心层以及汇聚层上需要使用三层设备为 网络内部不同的网段的数据和不同VLAN间的数据转发而需要路由协 议时，我们采用OSPF协议作为路由协议。OSPF是 一种典型的链路状态路由协议。采用OSPF勺路由器彼此交换 并保存整个网络的链路信息，从而掌握全网的拓扑结构，独立计算路 由。因为RIP路由协议不能服务于大型网络，所以，IETF的IGP工25欢迎下载精品文档OSPF目前广为使用的是OSPF第二版，最新标准为RFC2328OSPF乍为一种内部网关协议（Interior Gateway Protocol ,IGP）, 用于在同一个自治域（AS）中的路由器之间发布路由信息。区别于距 离矢量协议（

42、RIP），OSPF具有支持大型网络、路由收敛快、占用网络 资源少等优点，在目前应用的路由协议中占有相当重要的地位。4.2端口安全与认证（基于802.1X）a.端口安全交换设备定义了对端口保护的功能， 我们能定义允许的最大MAC地址访问数，或者静态的定义特定的MAC地址。b.基于802.1x的端口认证基于端口的认证就是将AAA认证与端口保护相结合，默认情 况下。一个支持802.1x的交换机端口处于未授权状态，除了和802.1x有关的数据，其他数据都不能通过该端口， 只有客户的交换 机创建了一个802.1x的会话， 客户被授权访EAPO：L Extensible Authentication Pr

43、otocol OVER LAN局域网上的可扩展身份认证。在端口处于未授权状态下，客户端只能使用EAPOL与交换机通信。4.3 VRRP（虚拟路由冗余协议）原理VRRF给路由器组提供了一个冗余网关地址，它是一种容错协议， 通过定义 不同的组，不同优先级的路由器，它保证网络的主路由器作组特别开发出链路状态协议26欢。迎下载精品文档失效时，可以及时的由 备分来实现路由器来替代，从而保持通讯的 连续性和可靠性。并可以在该协议上 实现负载均衡等高级交换特性。VRRP技术的实现：汇聚到核心冗余连接及VRRP的实现通过VRRP技术将多个设备虚拟成为一台逻辑设备， 实现汇聚/接入链路冗余。4.4 VRRP（虚

44、拟路由冗余协议）原理RSTP协议完全向下兼容802.1D STP协议，除了和传统的STP协议一样具有避免回路、提供冗余链路的功能夕卜，最主要的特点就是“快”。如果一个局域网内的网桥都支持RSTP协议且管理员配置 得当，一旦网络拓朴改变而 要重新生成拓朴树只需要不超过1秒的 时间 （传统的STP需要大约50秒） 。本交换机支持MSTP MSTP是在传统的STP、RSTP的基础上发 展而来的新的生成树协议，本身就包含了RSTP的快速FORWARDING机制。由于传统的生成树协议与VLA N没有任何联系，因此在特定网络 拓朴下就会产生以下问题： 如下图 所示，交换机A、B在vian1内， 交换机C、

45、D在vian2内，然后连成环路。A在某种情况的配置下，会造成把交换机A和B间的链路给DISCARDING于交换机C、D不包含vian1，无法转发vian1的数27欢迎下载精品文档据包，这样交换机A的vlan1就无法与交换机B的vlan1进行通 讯。在网络末梢，连接到单个工作站的时候，是不可能形成桥接环路的。在接口上启用了PORTFAST特性，可以使交换机端口立即变为 转发状态，提高了网络的 响应速度及收敛时间。 基于RSTP的交换 机高级特性UPLINKFAST在网络中的应用。考虑到有冗余上行连接的网络，使用冗余连接到上层交换机，通 常情况下一个上行连接处于转发状态， 另一个处于阻塞状态， 如

46、果主 上行连接断开，在使用冗余连接之前所经历的时间高达50S。在使用UPLINKFAST之后， 使的具有冗余上行连接的交换机具有 根端口失效时，另一个阻塞的上行连接能够立即使用，这个时间大大 缩小到1-5S之间，在校园网的特殊环境之 下，能大大增强网络的 稳定性，加快网络收敛。4.5 NAT的描述及策略路由的实现在组建网络时， 为了节约地址， 我们在内部使用保留的私有地址 段中的地 址，但是使用私有地址不能访问Internet,所以必须申请 多个公开地址配置在和Internet相连的局域网边缘设备上。应用NAT进行地址转换。NAT是网络地址翻译技术， 在路由器上起用NAT之后， 可以在 部私有

47、地址和 外部公网地址之间做转换。比如我们可以把网络内部 使用的IP翻 译成外部公网的IP。配置基于策略的路由选择时，可使用路由映射表来指定基于IP地28欢。迎下载精品文档址，应用程序， 协议或者分组长度的条件。基于策略的路由选择命令 对中选的路由实现策略。基于策略的路由和静态路由有很多共同之处。 然而，静态路由根 据目标网络地址来转换分组， 而策略路由根据源地址来转发分组。 在 路由选择表中使用访问列表时，可根据诸如目标地址，分组长度，IP协议字段，优先级或端口号来转发数据流。这样可以指定范围更广泛， 更细致的条件，并根据这些条件来决定下一路由器。4.6 ACL (访问控制列表)访问列表为我们

48、提供了一种对网络访问进行有效管理的方法， 通 过访问列表，我们可以设置允许或拒绝数据包通过路由器， 或者允许 或者拒绝具体的某些端口进行访问和使用， 如果满足条件则执行相应 的操作， 放行这个包或者放弃这个包。 我们通过这些设置来满足实际 网络的灵活需求， 从而达到设置网络安全策略， 防止网络中的敏感设 备受到非授权访问的情况。在具体实现过程中从技术上来说我们需要了解到ACL分为两种 类型,他们分别是标准访问列表(Standard access lists)和扩展访问 列表(Extends access lists)前者在过滤网络的时候只使用IP数 据报的源地址，那么在使用这种访问列表的 情况

49、下它做出允许或者 拒绝这个决定完全是依赖于源IP地址，它无法区分具体的流量类型。而扩展访问列表则可以提供更细的决定，它可以具体到端口，从 而 精确到某一个服务，比如对WEB,FTP的访问等，给我们网络的策 略提供了更细 的控制手段。我们利用这种访问列表进行协议级的控29欢。迎下载精品文档制以达到对网络一个有效的 管理。标准访问控制列表一般放在靠近 目标的路由器上，而扩展访问控制列表一般放于近源端的路由器上。4.7链路聚合EC(Ethernet Cha nnel)以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的 伸缩性， 比如可以把2个、3个、4个千兆 的链路绑定在一起

50、，使链路的带宽成倍增长。链路聚合技术可以实现 不同端口的负载均衡，同时也能够互为备份，保证链路的冗余性。在 这些千兆以太网交换机中，最多可以支持4组链路聚合， 每 组中最 大4个端口。 链路聚合一般是不允许跨芯片设置的。 生成树协议和 链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链 路，并用生成树协议让备份链路阻塞，在逻辑上不形成环路。而一旦4.8 VLAN (虚拟局域网)VLAN虚拟局域网是一种在二层设备上隔离和划分广播域的技 术， 通过这种 划分，我们可以把物理位置上分离的网络设备在逻辑 上划为同一个广播域，或者 把物理位置上邻近的网络设备划为不同 的广播域，从而更方便我们管理

51、和做一个逻辑层次的划分。从技术30欢迎下载精品文档上说VLAN可以分为静态VLAN和动态VLAN,那么静 态的VLAN是 基于交换机端口进行划分，根据网络设备连接不同的交换机端口，则 进入相应的VLAN。动态VLAN则更灵活，它可以根据接入计算机的IP地址，MAC地址，甚至是用户的登陆账号做出相应的处理，把 计算机划分进相应的VLAN中，这样就为我们实际的网络管理带来了 比较大的方便性和灵活性。 那么在我们的企业网方案中，我们希望 通过使用VLAN技术进行划分达到以下 目的：隔离，划分广播域，减小不必要的广播流量，从而提高整个网络 的利用效率。4.9WLAN无线局域网无线局域网有4大特点： 移

52、动性：不受时间限制，空间限制， 用户可以在网络中漫游； 灵活性：不受线缆的限制，可以随意增加 和配置工作站； 低成本：无线网络不再需要大量的工程布线，同时 节省了线路的维护费用； 易安装：对于有线网络来说，无线网络的 组建、配置和维护更为容易。结合以上特点，无线网络非常适合图书馆的环境和要求，我们在 图书管布置无线网络，并且采用INFRASTUCTUR这种典型的WLAN工作模式，无线客户端可以通过无线接入器AP(Access Point)接入 以太网共享网络资源，多个AP分布在相邻 的区域可以实现无线客 户端的移动漫游。五、网络安全及管理机制31欢。迎下载精品文档5.1完善的安全机制 企业楼宇

53、交换机通过内在的多种安全机制可有效防止和控制病毒 传播和网络流量攻击， 控制非法用户使用网络，保证合法用户合理 化使用网络，如端口安全、端口隔离、ACL端口ARP报文合法性检查、基于数据流的带宽限速、六元素绑定等等， 满足企业网加强 对访问者进行控制、 限制非授权用户通信的需求； 在汇聚、核心交 换 设备设置由硬件实现ACL,对病毒进行过滤，我们选用的汇聚、核心交换设备都支持SPO，H所以在使用ACL时将不会影响整个交换机 的性能。1 硬件实现端口与MAC地址和用户IP地址的绑定，严格限定端 口上用户接入。2.通过Private VLAN可以在交换机的同一VLAN中提供端口之间 的通讯 或安全隔离，确保数据流进入有效端口，而不会被发送到其 它端口，即解决了因 传统802.1QVLAN造成 全网VID资源 不够的问题，同时又无需利用安全规则 资源即能达到隔离不同用户 以及不同 组用户之间通讯的功能，充分保护用户隐私。3.可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口 等六大元素之间的灵活任意绑定，有效确认用户合法性和唯一性。4.支持业界特有的IGMP源端口检查，有效杜绝非法组