大型企业网设计与实施_第1页
大型企业网设计与实施_第2页
大型企业网设计与实施_第3页
大型企业网设计与实施_第4页
大型企业网设计与实施_第5页
已阅读5页,还剩8页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

#第二部分网络设计与实施题目:大型企业网设计与实施目录TOC\o"1-5"\h\z一.实验目的3二.概述3三.系统分析3项目背景3解决思想4企业网建设过程阶段分析4四.总体设计6企业网总体设计方案6企业网方案实施7五.详细设计85.1VLAN的划分85.3VLAN划分的网络拓扑图85.3对VLAN的配置9网络安全设计9保护计算机安全的措施9防火墙10数据库的安全防错10应用平台安全方案11企业网功能的实现11企业网络的备份12九.设计小结13题目:大型企业网设计与实施一.实验目的通过本项目的实现,培养综合应用网络知识的能力、网络工程设计与管理维护的实践能力。从网络需求分析、网络规划、网络配置、网络实施和网络运行管理等方面提高专业技能以及技术总结和技术文档撰写的能力。二.概述科学技术的发展日新月异,在计算机技术和通信技术结合下,网络技术得到了飞速的发展。如今,不仅计算机已经和网络紧密结合,整个社会都不可能脱离网络而存在,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。在网络技术不断发展的今天,大型企业网络建设面临多种网络技术的选择。选择怎样的网络技术来满足企业未来发展的需要,是摆在各大企业面前的一个课题。虽然网络技术在飞速发展,但企业网络建设有其内在规律,把握这些内在的规律,将有助于指导大型企业的网络建设。企业网由相关内部办公业务网(简称“内网”)、与国际互联网相连的公众信息资源网(简称“外网”)、企业范围内统一专用的连接各级部门内网的宽带多媒体信息交换和资源平台(简称“专网”)、门类齐全的信息资源数据库群(简称“一库”)四个部分组成,是一个以“三网一库”为基本架构的网络体系和应用体系。系统分析3.1项目背景某公司为满足向高速多媒体信息网发展的需要,迫切需要建立一个高速、功能齐全的企业网,将电子邮件和Web等技术引入日常的生产和生活工作中。具体要求如下:功能要求:(1)具有内部Web服务功能;(2)具有外网访问功能(3)具有邮件收发功能;(4)具有内部域名解析功能;(5)具有对内部核心子网安全保护功能;3.2解决思想分析网络建设需求:设计企业网络建设总体方案,画出企业网设计拓扑图,网络选型。其中,整体方案包括整体结构与网络服务功能的组成设计的描述,包括:①布线分析和总体网络构建设计②网络服务器的建立和服务的配置方案详细设计,包括中心机房、各部门机房位置、布局设计。综合布线系统设计。自己进行设备选型,并写出详细的网络设备配置清单。写出工程的施工与验收方案。3.3企业网建设过程阶段分析企业网络建设总体上分为设计阶段、实施阶段和网络管理维护阶段。从网络设计的角度来讲,分为应用驱动法和基础设施法。企业网络建设过程分为如下几个阶段:1、需求分析阶段。通常大型企业在网络建设中已有部分的网络环境,这些网络环境能满足当时网络应用的需要。但网络可能是一个个孤立的小岛,只能在局部范围内实现网络应用及资源共享,企业网络没有形成一个整体。企业网络规划时,要考虑网络建设的整体性,既要保护原有的投资,又要在网络技术的选型上有前瞻性。网络需求分析主要是根据企业业务发展需求和企业信息技术应用需求,提出企业网络建设的总体目标和关键技术指标。企业网络需求分析包含如下几方面:■网络标准和协议要求。全网络信息点分布需求,包括局域网布线结构要求,广域网传输介质要求。网络层次划分及网络拓扑结构要求。结合应用的网络设备处理能力和带宽要求。局域网和广域网要求。Internet接入,外网接入,防火墙技术要求。■企业网络应用要求。■网络设备选型要求。网络应用和网络技术的关系(如多媒体、IP话音和网络结构的要求)。网络可靠性、扩展性和安全性要求。网络管理要求。2、网络规划阶段。企业网络规划是从企业网络需求分析到企业网逻辑设计中间必经阶段,主要根据企业网络需求分析得出分离的、外在的技术指标(如用户数、桌面微机的站点数、最大响应时间要求等等)。运用企业网络本身内在的规律和关联算法,得出整个企业网络内在的技术框架和技术指标(如桌面带宽要求、主干带宽要求、服务器处理性能要求等等)。3、网络逻辑设计阶段。网络逻辑设计阶段主要根据企业网络需求分析结果,根据企业网络规划的内在技术指标,按照计算机网络设计的经验和方法,在现有的可行的网络技术范围内,设计企业网络的连接结构、协议结构以及每个网络的功能结构。企业网络设计主要确定网络的连接结构,网络节点的类型、功能和容量。网络传输链路的类型和容量,以及网络安全控制结构和网络管理结构。4、网络物理设计阶段。网络物理设计主要确定实施网络逻辑设计方案的厂家产品的类型、数量和具体配置,以及与网络逻辑设计方案中连接结构相吻合的物理拓扑结构。5、网络实施阶段。网络实施阶段主要是采购所需的硬件设备和软件系统,以及安装、调试和测试网络系统。6、网络维护和扩展阶段。在企业网络通过测试之后,网络就进入了运行、维护和扩展阶段。企业网络的运行维护阶段的主要工作是对企业网络的日常维护和管理,包括网络配置管理性能管理、故障管理、安全管理和用户帐户管理,对企业网络的预防性测试和容量的规划。总体设计4.1企业网总体设计方案总体设计是企业网建设的总体思路和工程蓝图,是搞好企业网建设的核心任务。进行企业网总体设计,首先,进行对象研究和需求调查,弄清企业的性质、任务和改革发展的特点,对企业的信息化环境进行准确的描述,明确系统建设的需求和条件;其次,在应用需求分析的基础上,确定企业Intranet服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;第三,确定网络拓朴结构和功能,根据应用需求、建设目标和企业主要建筑分布特点,进行系统分析和设计;第四,确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;第五,规划安排企业网建设的实施步骤。我们提出企业网建设的原则应该是:先进性,先进的设计思想、网络结构、开发工具,采用市场覆盖率高、标准化和技术成熟的软硬件产品;实用性,建网时应考虑利用和保护现有的资源、充分发挥设备效益;开放性,系统设计应采用开放技术、开放结构、开放系统组建和开放用户接口,以利于网络的维护、扩展升级及与外界信息的沟通;灵活性,采用积木式模块组合和结构化设计,使系统配置灵活,满足企业逐步到位的建网原则,使网络具有强大的可增长性;⑤可靠性,具有容错功能,管理、维护方便。对网络的设计、选型、安装、调试等各环节进行统一规划和分析,确保系统运行可靠,经济性,投资合理,有良好的性能价格比。企业网络宽带网用户集中且网络流量大,关注网络的可运营和可管理特性,企业网建设应按照国务院办公厅建设以“三网一库”为主要内容的政务信息系统的统一要求。“三网一库”分别是内网,外网,专网以及办公业务专员数据库,在保证以上的同时还要确保电子政务安全。电子政务工程建设要按照国家有关安全、保密要求,采取相应措施,使其成为一个基础设施统一,内网、专网与外网物理上相对隔离,专项业务系统逻辑上独立的网络体系。应注意“三网一库”间的配合、衔接,合理解决包括信息的传递、加密、交换、使用、共享等问题,使“三网”真正成为一个有机结合的整体。企业整个主干网以办公楼中心机房(主配线间)中心节点,向外辐射。通过各部门、单位等多个楼层节点构成主干网。中心节点机房配置锐捷S4900高档交换机可作为主干网的核心交换机。为实现网络动态管理和虚拟局域网,在中心节

点交换机上配置第三层交换模块和网络监控模块。主干各节点(核心层交换机和汇聚层交换机)采用1000Mbps(单模1000BASE-LX、多模1000BASE-SX)连接,服务器采用双网卡链路聚合200Mbps连接或1000Mbps(1000BASE-TX)连接。企业网络与外网的连接发生在企业网络的各个层次上,其中包括Internet接入。我们称企业内部网为内网,企业外部网为外网。显然,内网和外网间加装防火墙。通常,内网和外网间采用静态路由或缺省路由。内网和外网的信息访问通过防火墙进行过滤。1=□□STN——□DDN/FR/ATM•部WEB服务器ire'口口移移动用户AccessServerLANSwitch移动用户1=□□STN——□DDN/FR/ATM•部WEB服务器ire'口口移移动用户AccessServerLANSwitch移动用户网管工作站WEB服务器DNS和认证服务器图3内网和外网的连接图4.2企业网方案实施一个完整的企业网建设在实施过程中可以分成两个环节:网络集成方案设计和信息系统集成。其中信息系统集成是目的,网络集成是手段。与外部通信网络相互连接,包括建筑物到外部网络或电话局线路上的连线点与工作区的话音或数据终端之间的所有电缆,以及相关联的布线部件。一个良好的综合布线系统对其服务的设备有一定的独立性,并能互连许多不同的通信设备如数据终端、模拟式或数字式电话、PC和主机以及公共系统装置。一般布线系统有六个子系统组成:建筑群间子系统,设备间子系统,管理区子系统,垂直(主干)子系统,水平子系统,工作区子系统。企业网为园区网,楼群间子系统采用光缆连接,可提供千兆位的带宽,有充分的扩展余地。垂直子系统则位于高层建筑物的竖井内,可采用多模光缆或大对数双绞线。把管理区子系统并入设备间子系统,集中管理。对于多幢楼宇,可采用多设备间的方法。分为中心设备间和楼栋设备间部分,中心设备间是整个局域网的控制中心,内设有对外(Internet)对内通信的各种网络设备(交换机、路由器、视频服务器等),中心交换机通过光缆(地下直埋)与楼栋设备间的交换设备相连,以保证数据的高速传输。在此设备间放置布线的线架和网络设备,端接楼内来自在各层的主干线缆,并端接连接网络中心的光纤。楼内布线包括水平布线和主干布线。水平系统采用超五类双绞线,新的楼宇采用暗装墙内的方式,旧的楼宇采用PVC线槽明装的方式。详细设计5.1VLAN的划分整个企业网中的VLAN及IP编址方案VLAN号VLAN名称IP网段默认网关说明VLAN1——/2454管理VLANVLAN10XZL/2454人事部VLANVLAN20xsss/2454财务部VLANVLAN30TSG/2454生产部VLANVLAN100FWQ/25454服务器VLAN5.3VLAN划分的网络拓扑图HIIfon9K口:1.feflfKi-mxi:T幵切』『HIIfon9K口:1.feflfKi-mxi:T幵切』『bgw・rr・«aZAi踏,II*-M5.3对VLAN的配置配置CISCO二层交换机的IP地址SWl(config)#intvlan1//进入管理接口interfacevlan1SWl(config-if)#ipaddress//配置IP地址SW1(config-if)#noshutdownSW1(config-if)#exitSW1(config)#ipdefault-gateway//配置网关,可通过showrun查看配置交换机的端口速度和双工(SpeedandDuplex)SW1(config)#interfacefa0/1SW1(config-if)#speed{10|100|auto}//10M/100M/自适应SW1(config-if)#duplex{auto|full|half}//自适应/全双工/半双工一般情况下,交换机两端的端口速度和双工要匹配,这样通信质量才能得到保证,在相同厂家的产品(比如说Cisco的交换机互连)中端口协商不用配置一般不会有什么问题,可以通过showinterface查看端口的速度和双工。通常在不同厂家的产品中(比如说Cisco和华为互连)如果通过查看发现端口速度和双工不匹配,可以通过手工配置来解决。密码配置EnConftensecretcisco//设置enable的密码为ciscoenpasswordcisco1//设置enable的密码为cisco1,不能和enablesecret设置的密码相同noipdomain-lookup//关掉域名查找功能servicepassword-encryption//对口令进行加密,加密console口或VTY或是enablepassword设置的密码,密码不再显示明文lineconsole0//设置console口Passwordcisco//设置console口密码为cisconoexec-t//操作会话不会超时loggsy//配置时光标跟随,阻止那些烦人的控制台信息来打断你网络安全设计6.1保护计算机安全的措施物理措施包括机房安全,严格的安全制度,采取防窃听、防辐射措施等。数据加密,对磁盘上的数据或通过网络传输的数据进行加密。防止计算机病毒,计算机病毒会对计算机系统的资源产生很大的危害,甚至造成重大损失。采取安全访问措施,如使用身份认证和口令,设置数据或文件的访问权限。采取其他安全措施,包括确保数据的完整性、计算机容错、数据备份和加强审计等。网络资源属主、属性和访问权限、网络安全监视,网络监视通称为“网管”、审计和跟踪网络上的加密可以分为三层:第一层为数据链路层加密、第二层是传输层的加密、第三层是应用层上的加密。数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法,这种签名所起的作用与纸面上的亲笔签名是一致的。它主要通过加密算法和证实协议而实现。6.2防火墙产品的选型在防火墙的市场中,领先的思科PIX安全设备系列在经济有效、便于部署的解决方案中,提供了强大的用户和应用策略实施、多因素攻击防御以及安全连接服务功能。思科PIX安全设备的适用范围从面向小型和家庭办公环境的小巧型、“即插即用”桌面设备到面向要求出色投资保护的企业、和电信运营商混岗竟的模块化千兆设备,为各种规模的网络环境提供强大的安全性、性能和可靠性。因此我们选用思科PIX系列的产品。产品关键特性1.高级防火墙服务——深层检测防火墙服务,如HTTP、FTP和ESMTP;即时消息;对等和隧道化应用阻拦;采用基于流量的安全策略的思科模块化策略框架;虚拟防火墙服务;第二层透明防火墙;3G移动无线安全服务2•强大的IPSecVPN服务——VPN客户端安全状态实施;自动VPN客户端软件升级;VPN隧道上的OSPF动态路由3.高可用性服务——屡获大奖的主用/备用或更为先进的主用/主用故障切换,支持不对称路由;远程接入和站点间VPN状态化故障切换;无需停机的软件升级4•智能网络服务——PIM组播路由;服务质量(QoS);IPv6网络5•灵活的管理解决方案——SSHv2和SNMPv2c;配置回退;可用性增强;基于Web的自适应安全设备管理器(ASDM)6.3数据库的安全防错数据库管理系统的安全性能达到C2级标准(Oracle产品能满足此要求)。数据库对象(如表、视图、索引、触发器等)的所有权必须明确定义。为系统安全管理员提供创建和修改用户口令的功能,而数据库管理人员应不知道用户的口令。按照用户或操作行为有选择地进行审计,审计信息加以保护,防止非法访问,审核信息必须包括充分的数据,以确定“谁”在“什么时候”从“何地”访问了“何种数据”。审核信息作为系统备份策略的一部分经常备份,在超过保留期后,旧的审核信息应归档,应提供工具,以简化数据库管理员对审核信息的访问。用户离开后,其帐号必须注销,长期离职的情况下,其帐号应暂停使用。应做必要的检测以防止从操作系统级越过数据库管理系统对数据库进行非法操作。对敏感数据进行加密管理。应用平台安全方案应用平台主要指应用软件和数据管理,其安全功能主要包括以下内容:(1)身份认证:完成用户和服务器之间的双向身份认证,实现跨平台、跨应用系统的安全单点登录,它是实现访问控制、审计和抗否认等的基础。(2)访问控制:根据身份实现应用和服务的精粒度或细粒度访问控制,防止非授权访问。(3)数据完整性和保密性:在身份认证、访问控制、数据传输等过程中,对数据进行加密保护或完整性保护。(4)审计记录:审计功能具有可扩充性,可溯性且能进行全局审计。详细记录资源被访问情况,能跟踪到“谁”在“何时”、“何地”、“修改”、“访问了”、“何种数据”。日志加密存储在特定的目录下,只有指定人员才能读取,保证可审计性,防止否认和抵赖。企业网功能的实现web应用web应用是Internet的标志性应用,最核心的应用服务集中在WWW服务器上完成。因而对于web服务器的设计首要考虑的就是服务器性能问题,另外考虑到将来在Internet平台上做应用开发的可能,对于WWW服务器同数据库互联的问题也应作为重点考虑。因为web服务器是被大量实时访问的超文本服务器,它要求支持大量网络实时访问,I/O吞吐能力,快速处理能力等方面具有较高的要求。mail应用MAIL系统的出现是在电子邮件出现之前,同时它的推广在很大程度上也依赖电子邮件的发展。可以这么说,电子邮件无论在INTERNET上还是在INTRANET内部都是最基本的应用。电子邮件系统有两种类型:一种是采用专用标准的MAIL系统,如MICROSOFT的MS-MAIL和LOTUS的CC-MAIL等;另一种是采用INTERNET公共标准(SMTP、OPS、IMAP4)的通用MAIL系统,为了做到INTRANET内部MAIL系统同公共INTERNETMAIL系统的平滑对接,应当采用后者。可给每一个员工建立内部INTRANET帐号和E-MAIL账号。实现用户的E-MAIL连通。对所有帐号进行分级管理、允许有权限的帐号访问INTERNET,无权限帐号访问内部网。对每个帐号进行计费,内置服务器上的软件可控制每一个帐号的使用情况,控制整个企业的网络费用支出。E-Mail应用可以由MicrosoftExchangeServer来实现。域名解析(DNS)建立企业网,其中一个必不可少的组成部分就是DNS(域名系统),IP地址和机器名称的统一管理能力由DNS(DomainNameSystem)来完成的,所谓DNS,是对主机名称信息进行管理的一个分散式的数据库,在这一数据库中,保存着这些名称和IP地址的映射关系。企业网络的备份企业网络的备份主要在网络链路备份和设备的备份上体现在可靠性上。对可靠性较高的要求意味着有较大的资金投入。由于企业业务运行模式各不相同,可靠性的要求会不同。对于银行企业、电信移动通信运营商、电信级长话计费系统、ISP运营商和铁路客票系统等大型企业网络要求7*24小时服务。这些大型网络要求网络中心节点不但有设备冗余备份,还要有系统异地容灾备份。也就是说,在中心节点发生灾难时,不至于导致全网业务停顿和关键数据的丢失。这就要求

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论