XX企业大型局域网升级方案设计

摘要该企业既有网络已不能满足目前的业务需求，因此在原有网络基础上对该网络进行网络改造。本方案重新规划设计了该企业的网络构造，使整个网络构造愈加规范、合理；更新了关键服务器和互换机，关键层采用环形构造，使整个网络性能得到提高；详细规划设计了IP地址，增长了终端网络接口，给后来的网络扩展留下了空间。同步也对网络管理和网络安全也进行了某些设计。关键词：网络，服务器，网络规划，网络安全小组组员分工：XXXX：网络详细设计IP地址规划XXXX：设备选型网络安全规划XXXX：概述需求分析锐捷网络简介

XX企业大型局域网升级方案设计一概述一、系统设计原则建设该企业的计算机网络系统原则上考虑到实用性、先进性、开放性、可扩展性、安全性和可靠性等使该企业的网络系统更合理、更经济、具有更良好的性能。实用性是网络系统建设的首要原则，该网络必须最大程度的满足该企业顾客的需求，保证网络服务的质量，否则就会影响该企业的平常工作效率。该网络系统应可以满足住处网络内各项业务对处理能力的规定。。先进性重要是针对网络系统的设计思想、网络构造、软硬件设施以及所选用技术等方面。只有先进的技术才也许为网络带来更高的性能，使企业的形象有所提高，并且能保证在技术上，企业走在前端不轻易被淘汰。开放性是指企业网络与外部网络的信息互换、技术交流等方面，由于只有开放的系统才是最具有生命力的系统。它可以使企业在第一时间与外界进行交流使企业尽快的掌握行业之内领先的技术和思想。可扩展性是指该网络系统可以适应当企业的需求变化。伴随企业的发展，信息量增多和业务的扩大，网络将在规模和性能两方面进行一定程度的扩展。可靠性和完全性是指可以保证整个企业网络系统正常运转的前提条件和基础。安全性指保证企业内部的商业机密的安全和数据访问以及传播的信息安全，使其防止非法访问和袭击。可靠性要保证网络系统能不间断的为企业提供服务，虽然系统发生异常也要保证系统内信息的完整、对的和可恢复。二、系统设计目的为该企业建设一种可以满足该企业需求的网络。该企业的网络建设分为总企业和子企业的两个大的部分，其中也包括了总企业和子企业中的每个部门，总企业重要有生产部、销售部、研发部、系统分析部、后勤部、人力资源部；子企业重要有生产部、销售部、采购部、分析部、后勤部、宣传部。在网络系统建设的时候重要能做到如下几点：（1）采用先进网络技术（同步重视该技术的成熟性），规定选择的技术符合国际原则。可以与重要网络厂商的产品及网络技术较为以便的实现互联。并可以向未来的高速网络技术过渡。（2）适应企业的机构建制和业务工作流程，适应企业部门多、层次复杂的特点，合理进行网络划分。（3）采用的技术及设备要具有可扩展性。（4）适应企业联网规模大、总信息流量大的状况，对其合理分布流量，实既有效的安全访问控制和运行管理，并能处理互联网络带来的一系列问题。（5）增长网络系统的运行可靠性，减少安全隐患，提供系统的可维护性。二、需求分析1、顾客需求分析1．该企业于实现了业务的电子化和办公自动化，基本完毕了全企业范围内的网络覆盖。但伴随社会的发展，业务的多样化、复杂化，5年前建成的原有网络系统已不能满足企业目前的业务需求：伴随网络应用的不停增长，接入顾客的不停增多，对关键设备的压力不停增大，导致网络效率下降，甚至导致全网的宕机；网络常常会受到袭击，影响了网络正常业务以及顾客正常上网；没有网络管理的设备，导致无法对网络环路进行处理等；因此为了增强企业凝聚力、提高经济效益、推进企业的竞争力，在原有的网络基础上对该企业的网络进行从新规划已势在必行。2、可行性分析对该企业进行可行性分析，可行性分析如下：1)在网络设计时通过采用双关键的三层网络构造、OSPF路由设置。处理了对关键设备的压力，增长了网络的运用效率；在企业内部按顾客、功能进行VLAN、网段划分，采用DHCP服务分派IP地址，针对不一样的顾客类型，制定对应的访问、控制权限。针对应用服务器区域提出定制化的控制方略；控制了广播风暴，以便了IP地址的管理和对非法DHCP服务器进行有效控制，增长了网络效率和安全性；建立防止DoS袭击网络平台。满足网络正常业务需求以及顾客正常上网；4)在企业园区内部各个建筑物均有合适的光纤连接，每个建筑物内部均有合适的内部布线，从而支持10GE或未来平滑过渡到10GE,有助于网络的扩展；5)在企业总部和分企业之间采用VPN进行连接。提供了简朴、廉价、安全、可靠的Internet访问通道。三、网络详细设计1、选择网络技术对于该企业的大型园区网络系统来说，选择一种既能提供一种理想的高速多媒体网络主干，又具有现实性的网络技术方案极富现实意义。因此选择样的网络技术就至关重要了。详细分析如下：（1）现今绝大多数计算机系统都是采用以太网设备，从投资保护和技术的相容性方面考虑，采用千兆以太网技术对于企业目前既有的计算机及网络设备而言有着良好的兼容性和合用性。（2）网络系统的可靠性，这是我们进行网络技术选型中应当最为优先考虑的原则。高度可靠的计算机网络对于企业的成功来说是至关重要的，没有可靠性作保证的网络系统是更本无法应用的。因此，必须对多种网络技术的实现措施和后来的技术支持等问题作审慎的考虑。自从1986年出现星形布线构造的10BaseT技术以来，构造化的布线系统使得集线器和互换机的可靠性越来越高。如今，以太网已经比其前辈---电话网技术愈加可靠，并且易于理解和管理。今天的千兆以太网无论是在稳定性方面，还是服务质量保证（QoS）方面都到达了一种崭新的高度。（3）网络系统的经济性，该系统费用低廉，具有较高的性能价格比。以太网和迅速以太网每端口的平均价格在迅速下降，并且互相间的差距越来越小。千兆位以太网的每端口价格目前已经比ATM622M的价格低诸多，其未来的发展过程也将类似于迅速以太网。在既有技术条件和同等端口密度下，一般来说千兆方案要比ATM方案廉价三分之一以上。除了直接的投资费用之外，网络支持和维护费用是一种不容忽视的问题。如今已经有诸多成熟和专业的工具来维护以太网，使其以最佳的性能运作。千兆位以太网保护了这方面的投资，千兆位以太网帧格式拓扑构造都是相似的，仅需要对网络分析工具的速度进行升级，而所需的专业培训将会减低到至少。相对于技术极为复杂，需要大量培训和维护费用的ATM网络技术而言，千兆网技术有着其无法比拟的优势。（4）从网络的发展性的角度考虑，在该企业网络建设中，我们可以选择千兆网络技术。当新的和既有的网络应用程序发展到包括高质量的图形应用程序、视频和其他大数据量的多媒体应用程序的应用环境时，桌面PC、服务器、集线器和互换机都面临着增长网络带宽的压力。伴随此类的应用程序不停地增长和网络顾客数量的增长，人们对高带宽网络设备的需求越来越迫切。伴随LAN上信息的飞速增长，网络管理员被迫去寻找更高速的网络技术可以处理带宽的规定。他们既有的网络多为以太网或FDDI主干，可以选择不一样的升级措施，虽然多种措施均有自己不一样的形式，然而还是有某些通用的原则或规定来选择高速的网络技术，包括：轻易实现的、无间断的升级技术可以扩展至更高的性能，支持新的应用程序和数据形式。在Internet应用中，迫切需要迁移至新的数据类型，包括视频和音频。此前人们认为视频数据需要在专门的网络上传送，然而目前它也可以在以太网上传播，由于：通过互换技术，使网络带宽的分派增长到100M或1000M新的网络协议如RSVP，支持带宽的分派和保留新的原则如802.1Q/p,支持专有VLAN功能和网络数据包专用标识功能广泛应用的视频压缩技术,如MPEG2这些技术和协议的组合运用使得以太网成为传送视频和多媒体数据应用的极好的处理方案。在该企业网络系统建设中为何没有选用ATM技术？将对千兆与ATM技术的进行一种比较，分析如下：（1）ATM技术采用信元和端到端连接机制，可以对流量进行非常精确的控制，但它重要是一种广域技术。实际上ATM发展的动力源自电话企业想给数据联网重新定义。想法是对数据、话音和视频采用不一样的协议。端到端连接的一种关键原因是它们可以记录数据流量，从而进行计费、收费工作。（2）ATM技术进入LAN的市场开始于1993年，当时ATM行业宣称ATM是联网技术的未来，可以扩展、可以进行互换、支持视频等等，还把IP和以太网看作老式网络。由于当时市场上迫切需要高带宽的局域网络设备和技术，而当时迅速以太网在带宽上还不能和ATM竞争，因此ATM在LAN的市场中获得了一席之地。但到今天千兆以太网这种更高带宽的以太网技术出现后，ATM的高带宽优势已荡然无存。今天人们已经意识到，实际上，IP才是所有人都围绕的网络协议，并且IP完全独立于底层网络技术。它与以太网共同发展起来，也可以运行在令牌环、FDDI，不过在ATM上让IP工作起来则比较困难，需要采用LANE、ClassicalIP，千兆以太网相对ATM、MPOA等复杂的技术，并且减少了ATM的效率，丧失了ATM的应用优势。（3）千兆位以太网比ATM尚有一种固有的长处，就是在网络上的流量在协议方面的开销要ATM少诸多，ATM的开销大概是千兆位以太网的两倍。此外如我们在前面一再指出的技术有着价格、维护费用、使用以便性、构造灵活性和易管理性上有着一系列的优势。根据以上我们对目前重要的园区网技术的细致比较，我们最终确定采用千兆以太网作采用千兆技术不仅可以很好地满足客户机／服务器模式对网络主干的巨大需求，并且以太网具有的良好的移植性可以以便的将10M以太网和迅速以太网升级到千兆以太网，从而可以把某些数据流很大的工作组迅速集成，在局域网方面与ATM技术相比有较大的优势；从网络的管理与维护方面讲，千兆以太网技术可以节省大量的培训和维护等后续费用。这一系列特点使得千兆以太网技术成为该企业网络主干技术的最为理想的选择。2网络的分层设计本方案以“千兆以太网技术为基础，以万兆以太网和IPV6为目的”采用三层的网络构造，分为关键层、汇聚层、介入层。即在原有的单关键的基础上加两台高性能路由互换机到关键层。增长汇聚层。详细设计内容如下：1）关键层用使用三台高性能的互换机RG-6806汇聚层使用RG-3760系列接入层RG-2126系列2）各部门要进行子网的划分。IP地址的规划，实现各个部门的分开和联络3）服务器划分DMZ区域设置认证服务器。如WEB、FTP、DNS等服务器接放火强上。如财务部门。企业机密等的服务器设置在DMZ内。4）要有很好的安全性能，保证网络的高安全性。选如防止DOS的袭击。非法DHCP的控制5）选择合适网络管理软件。对STP等配置。提高高效率的网络管理。微服网络的正常运行。6）建立与子企业的VPN。实现高效安全的业务交流和通信办公。7）网络必须具有很好的扩展性和技术先进性。2.1组织构造图图2.1构造组织图企业总企业企业总企业生产部销售部研发部系统分析部后勤部人力资源部图2.1.1总企业组织构造图企业子企业企业子企业生产部销售部采购部分析部后勤部宣传部图2.1.2分企业组织构造图2.2．网络的拓扑图网络的拓扑图见图2.2：图2.2网络拓扑构造图四：设备的选型网络产品的选型鉴于系统的先进性和兼容性，我们将采用美国RG企业的产品。我们选择RG产品的重要原因出于下列考虑：（1）RG企业是中国领先的Intranet和Internet网际互联处理方案供应商，提供的处理方案是世界各地成千上万企业、大学、企业和政府部门建立网间网的基础，顾客遍及电信、金融、服务业、零售业、政府部门及教育机构等。（2）RG企业的IOS(InternetworkOperatingSystem,网间网操作系统软件)技术提供了网络扩展性，模块化构造和移植性，以及多媒体、安全性、网络管理、拨号和Internet应用等许多内嵌功能。RG总是能将其IOS特性很好的融合到其新的产品中去，RGIOS技术的独特性使得其产品有着其他企业产品无法媲美的优势。(3)RG-6800系列不仅能为企业和电信运行商提供市场领先的服务、性能、端口密度和可用性，还能提供无与伦比的投资保护能力，包括：1最长的网络正常运行时间--运用平台、电源、控制引擎、互换矩阵和集成网络服务冗余性提供1～3秒的状态故障切换，提供应用和服务持续性统一在一起的融合网络环境，减少关键业务数据和服务的中断。2全面的网络安全性--将切实可行的数千兆位级思科安全处理方案集成到既有网络中，包括入侵检测、防火墙、VPN和SSL。3可以适应未来发展并保护投资的体系构造--在同一种机箱中支持三代可互换、可热插拔的模块，以提高IT基础设施运用率，增大投资回报，并减少总体拥有成本；设备参数详见表2.1表2.1RG设备参数表设备名称产品名称数量性能RG-6800互换机36个（2个用于管理引擎模块）互换容量：400G600G（V3.x引擎）包转发速率：L2/L3：286MppsL2/L3：428M（V3.x引擎）支持的协议：L2。L3。其他协议RG-R3700路由器12个SFP接口和12个10/100/1000BASE-T的RJ45接口，光口和电口复用支持的协议：L2。L3。其他协议RG-WALL1500防火墙1固化6个10/100BaseT接口最大并发连接数：800,000吞吐量6RG-S3760-12SFP/GT互换机61.高数据处理能力，高汇聚能力2.主控板固化2个10/100/1000M迅速以太网口，光口电口可选3.高可靠性，全面兼容业界主流厂商路由器产品，良好的语音支持功能，完善的QoS方略强大的数据处理能力，全面兼容业界主流厂商路由器产品4.良好的语音支持功能5.高效安全的终端服务RG-S2126互换机881．灵活的端口扩展满足远距离高速传播2．超高速背板带宽支撑无阻塞互换3．高安全智能ACL特性防止病毒及网络袭击基于互换机的三元素绑定实现顾客身份唯一4基于802.1X认证系统的六元素绑定保障网络安全、运行、计费端到端QoS（服务质量）方略保障网络的高可用性5．基于流识别的灵活带宽限制能力6．丰富的生成树协议提供网络高可靠性7．IGMP源端口检查提高组播控制能力灵活的VLAN划分和PVLAN技术五：IP地址的规划VLAN的分派与IP地址规划1IP地址规划设备IP/24可支持254个设备IP地址业务IP/16可支持65536个IP对于信息点的容纳可达六万多种2VLAN的分派RG-S6800RG-S3760采用的是802.1qVLAN,支持4096个VLAN。再这里我们根据不一样的部门采用动态和静态的措施划分VLAN。对于大部分人员调换房间的的部门，如/我们在汇聚层上可以把一种房间划为一种VLAN,这样可以起到互相隔离，防止广播风暴，隔离病毒传染。IP及Vlan的划分见表4.1表4.1IP及Vlan的划分表地点房间数接入层互换机个数（24口）互换机断口数Vlan号IP划分顾客量办公楼30（间）*6（层）=18081922----193/20共有4096个3840职工活动生活区30（间）*6（层）*10（栋）=1800751800194----1993/18共有1638410800产品开发，试验综合大楼联合生产区51201994-----2113/共有个2400表4.1阐明:这里总共用了2113个VLAN号，剩余的VLAN号用于未来的需要扩展时再加入。规划分析：对于业务IP，一种B类二地址可以容纳255*255-255*2=64515这样多种主机,因次我们考虑用一种B类地址做为业务IP地址的规划,在这里我们选用/16.考虑在每个房间(一种VLAN中)有10-20个顾客,需要分派20个IP址，总共需要２０＊１９２＝３８４０（个）。这样考虑同步为了未来网络升级的需要,我们在划分IP时要预留一部分做为未来网络升级时合使用。要满足3840个ＩＰ，我们可以采用掩码为/20，共有4096个IP地址，这里4096只是一种规划，在工程实行中，不会这样多，需要根据接入顾客量配置对应的ＩＰ。在接入层中采用DHCP分派，对于顾客的以便性有很大协助。六．网络安全的规划防火墙被应用于内部网与外部网的连接之间，通过2~6块100M迅速以太网卡直接连在——互换机上。使用虚拟网（VLAN）技术，来自INTERNET对内部网的访问首先要通过防火墙，防火墙对进出内部网的数据内容进行各个层次的安全检查、控制和过滤，以保证网络的安全。RG企业PIX防火墙向企业网络提供引人注目的简朴新特性和举世无双的安全性。PIX防火墙的高性能关键是一种基于自适应安全算法（ASA）的防护方案，有效地对黑客隐藏起客户机地址。PIX还具有执行速度快、成本低的长处，同步也能改善IP地址局限性的问题。企业网络的安全非常重要它做为企业向内外实现业务交流的重要窗口。代表这企业的文化和相形，更重要是的某些重要信息关系到企业的发展、竞争等。因此必须具有很高的安全性能。它的详细体现为：1）内部安全和外部安全（包括网络袭击。物理安全，环境安全、雷电、人员泄露等）详细的实行措施：在网络设备上配置ACL防止DOS的袭击。2）高性能互换机自带具有防止袭击的功能的配置起用3）应用硬件设备如防火墙、设置代理服务器等4）基于安全考虑的VLAN的划分。由于个部门互相独立。更重要的是基于安全。5）与子企业之间建立VPN连接。6）按原则实现网络工程的实行（机房原则。三防，三度等）7）加强企业内人员的安全意识。有效的防止携带病毒进入或机密被泄露。增强安全性。

总结本方案设计的网络具有高速、安全、可扩充性和灵活性、先进性，规划方案长处是具有先进性、可扩展性和安全性。详细体目前设备选型时采用了RG企业的产品，可以很好地为该企业服务。在设计信息点时对后来的扩展都做了很好的规划，划分VLAN时都留了对应的空间。采用了服务器备份，互换机的冗余等都增长了安全性.通过本次对该企业网络规划完毕，熟悉了网络规划的基本环节，提高分析问题和处理问题的能力。详细总结如下：1对网络规划有了深刻的理解，增强了自信心。2、掌握实行一种网络工程的基本措施、目的、设计原则、实行环节。3、深入掌握了网络工程中所使用的多种网络技术。4、学会了实行网络工程中所需要的需求分析、系统设计、安全设计以及应用方案设计5、可以综合运用多种网络技术，设计实际网络工程处理方案。

附录锐捷网络简介锐捷网络成立于1月，七年来，秉承“敏锐把握应用趋势，快捷满足客户需求”的关键经营理念，在剧烈的市场环境中，实现了超常规、跨越式的发展。今天的锐捷网络已经成长为一家拥有2200多名高素质员工，分支机构遍及全国32个省、市、自治区，具有完备的全系列网络产品线及基于应用的端到端网络处理方案的专业化网络厂商。数年来，