园区网络设计方案

网络设计与组网综合大作业目录TOC\o"1-2"\h\u7455网络设计与组网综合大作业 I3239目录 I15016第一章绪论 2282981.1概况 2159101.2重要内容 224249第二章园区网概述 369692.1园区网含义 3260532.2园区网特点 3138072.3园区网发展趋势 326166第三章园区网设计 488323.1需求分析 4143203.2网络设计原则 4173173.3网络模型设计 5316523.4园区网络拓扑图 7175993.5IP地址规划 783.6VLAN规划 856793.7路由合同选择 834323.8配备规范 101428第四章网络安全设计 12294954.1VLAN技术 1263434.2VPN技术 13189084.3防火墙技术 1318883第五章网络模拟实现 14264435.1模拟器介绍 14294165.2模拟环境拓扑图 14121935.3需求实现 15302625.4配备环节 166633第六章总结 17第一章绪论1.1概况随着计算机网络的快速发展，曾经在园区网中被大量使用的10M/100M以太网技术、ATM技术已经渐渐不能适应现在的业务需求，作为园区主干网，10M/100M以太网作为主干网络核心技术带宽局限性的弊病渐渐凸显，已经严重影响着园区网络的运行效率，现在仍有许多大型园区网络在使用ATM技术，这样的网络面临两个问题：VLAN间路由的性能不能满足网络需求，并且ATM技术正在逐步被裁减。现在，千兆以至10G级别以太网技术正逐步成为园区网络主干的主流技术。因此，许多大型园区网络面临技术改造或者重新设计。1.2重要内容本文重要做了下列两个方面的工作：第一，介绍了园区网络的含义、特点，按网络设计与组网课程的规定办法规划设计一种完整的园区网络。第二，使用华为的eNSP对网络进行了简朴的模拟，以实现网络的互通互联，对各层设备进行了配备。第二章园区网概述2.1园区网含义园区网是指为企事业单位组建的办公局域网。典型的园区网涉及校园网、社区网、住宅社区网、企事业单位网等。2.2园区网特点①园区网是网络的基本单元。②园区网较适合于采用三层构造设计。③园区网对线路成本考虑的较少，对设备性能考虑的较多，追求较高的带宽和良好的扩展性。④园区网的构造比较规整。2.3园区网发展趋势从计算机网络应用角度来看，网络应用系统将向更深和更宽的方向发展，这也对应的影响着将来园区网的发展方向。首先，Internet信息服务将会得到更大发展。网上信息浏览、信息交换、资源共享等技术将进一步提高速度、容量及信息的安全性。另首先，远程会议、远程教学、远程医疗、远程购物等应用将逐步从实验室走出，不再只是幻想。网络多媒体技术的应用也将成为网络发展的热点话题。第三章园区网设计3.1需求分析某公司园区刚刚建成，是一大型公司的分支机构，为了实现公司的办公信息自动化，扩大公司的影响，方便和总部的信息交流，需要建立自己公司的Intranet。公司现在有2幢9层的办公大楼，分别是生产部和销售部，另外尚有一种家眷区，家眷区有3幢6层的大楼，两个相距300米。公司局域网需要考虑覆盖办公区和家眷区。局域网需要实现的目的以下：①实现有效的信息交换和共享。公司通过两条专线接入电信和网通。②公司需要实现办公自动化。局域网提供公司内部电子邮件收发、信息浏览、文献管理、会议管理、电子公示等多方面应用。③为了扩大公司的影响，公司对外提供自己的宣传网站，并且能够确保网站安全，不受外部或者内部攻击。④充足考虑此后各部门的接入扩展性。⑤充足考虑公司内部网络的安全性。3.2网络设计原则我们遵照下列的原则进行网络设计：实用性实用性是网络系统建设的首要原则，该网络必须最大程度的满足需求，确保网络服务的质量，否则就会影响日常工作效率。原则化整个网络从设计、技术和设备的选择，要确保将来可能的不同厂家设备、不同应用、不同合同连接的需求，必须支持国际原则的网络接口和合同，以提供高度的开放性。先进性先进性重要是针对网络系统的设计思想、网络构造、软硬件设施以及所选用技术等方面。只有先进的技术才可能为网络带来更高的性能，并且能确保在技术上不容易被裁减。可扩展性可扩展性是指该网络系统能够适应需求的变化。随着技术发展，信息量增多和业务的扩大，网络将在规模和性能两方面进行一定程度的扩展。可靠性网络规定含有高可靠性，高稳定性和足够的冗余，提供拓扑构造及设备的冗余和备份，为了避免局部故障引发整个网络系统的瘫痪，要避免网络出现单点失效，核心设备需要支持冗余备份。安全性网络安全性在整个网络中是个很重要的问题，网络系统建设应采用一定手段控制网络的安全性，以确保网络正常运行。管理性随着网络规模和复杂程度的增加，管理和故障排除就会越来越困难。为保障网络中心的正常运行，网络必须易于管理，支持网络网段与端口的监控、网络流量与出错的统计、网络故障的定位、诊疗、修复。3.3网络模型设计图3.1典型的三层网络模型三层网络架构采用层次化模型设计，即将复杂的网络设计分成三个层次，每个层次着重于某些特定的功效，这样就能够使一种复杂的大问题变成许多简朴的小问题。三层网络架构设计的网络有下列三个层次：3.3.1核心层核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。核心层应当含有以下几个特性:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。该层必须是基于千兆高速交换和路由的设计，设备的性能容量也是最高的（高达百Gbps容量和每秒千万级数据包转发能力）。重要是由全模块化的高性能多层路由交换机和高性能服务器构成，系统带宽必须是千兆甚至10Gbps。3.3.2汇聚层汇聚层是网络接入层和核心层的“中介”，就是在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。汇聚层含有实施路由方略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多个功效。该层普通采用100M或1000M的快速交换路由设计，设备的性能容量性也很高，重要由固定配备+可选模块的三层路由交换设备构成。3.3.3接入层接入层向本地网段提供工作站接入。在接入层中，减少同一网段的工作站数量,能够向工作组提供高速带宽。访问层是由100M快速以太网交换机和客户机构成，该层次普通采用100M快速以太网，采用可管理的固定配备的工作组级别的交换机，能提供多层堆叠功效实现大量顾客的接入。三层网络架构的特点是网络性能高，层次清晰，网络管理直观、方便，并合理地分散了网络设备带来的安全风险，网络构造安全可靠。3.4园区网络拓扑图图3.2三层网络架构的园区网拓扑图3.5IP地址规划在构建基于TCP/IP的公司网络时，IP地址的选择是根据公司网络规模大小从下列三类国际Internet组织公布的私有网段中产生，这些范畴内的IP地址不在Internet上传输，是专门提供应公司用来建设内部网络：A类私有IP:10.0.0.0——10.255.255.255。B类私有IP:172.16.0.0——172.16.31.255。C类私有IP:192.168.0.0——192.168.255.255。对于小型园区网络，由于上网顾客少、设备数量少，建议使用地址空间小的192.168.0.0/16的网络。而对于中大型园区网络，如三层构造的校园网，由于上网人数多，设备数量多，建议采用地址空间大的10.0.0.0/8的网络。3.6VLAN规划虚拟局域网(VLAN)是将局域网内广播域逻辑地划分为若干子网。在一种交换局域网中，全部局域网段通过交换机连接到一起，路由器连在交换机上(如果是三层交换机，则不需路由器)，能够按网段和站点的逻辑分组形成广播域，通过在局域网交换机内过滤广播包，使得源于特定虚拟局域网的信息包仅传送到那些也属于这个虚拟局域网的网段上。虚拟局域网之间的寻径由路由器完毕。虚拟局域网建立后来，能有效地控制网络的广播风暴，减少不必要的资源带宽浪费，并能随着公司规模的发展和调节变化通信流的模式。VLAN规划需要考虑以下因素：①顾客VLAN与设备管理VLAN分开(IP地址)。②为网络扩容进行可汇总的预留设计。③IP地址与VLAN编号(其它有关因素)有一定的对照性。如图3.3所示：图3.3IP和VLAN对应规则根据具体需求与安全性规定等状况综合分析，园区网IP地址具体规划如表3.4所示：表3.4IP地址规划表物理位置VLAN范畴IP网段默认网关获取方式住宿区VLAN10——VLAN30172.16.1.0——172.16.30.0/24172.16.x.254/24DHCP办公区VLAN40——VLAN50172.16.40.0——172.16.50.0/24172.16.x.254/24DHCP服务器组VLAN100202.117.144.1--202.117.144.253202.117.144.254静态指定3.7路由合同选择路由合同可分为距离矢量、链路状态和混合型路由合同。使用距离矢量路由合同时，全部路由器只能向它的邻居路由器发送自己的整张路由表。然后路由器使用接受到的路由条目拟定与否需要更新自己的路由表。这个过程会周期性的重复进行。与此相反，当网络使用链路状态路由合同时，每个路由器能够向其它全部的路由器发送自己的接口（链路）状态信息，但是这仅仅发生在网络拓扑发生变化的时候，每个路由器使用收到的链路状态信息重新计算自己到每个目的网络的最佳途径，然后把这些路由信息保存到自己的路由表中。混合型路由合同，顾名思义，该合同借用了距离矢量和链路状态合同的思想。混合型合同能向邻居路由器（类似距离矢量）发送变动的信息（类似链路状态）。路由合同的比较①路由信息合同（RoutingInformationProtocol,RIP）RIP是一种简朴的动态路由合同，RIP至今有两个版本，RIPv1和RIPv2，后者是前者的改善版本，RIP是一种有类的距离矢量路由合同，它最明显的特点是在路由更新报文中不携带子网信息，RIP默认的管理距离是120，它使用跳数做为度量值，最大跳数是15，如果超出15就认为目的网络不可达，因此RIP只能合用于小型的网络中。②内部网关路由合同（InteriorGatewayRoutingProtocol,IGRP）IGRP是Cisco私有的合同，其目的是为了取代RIP，它也是一种距离矢量路由合同，IGRP克服了RIP的某些严重缺点，如IGRP在计算路由度量值时没有使用跳数，而是采用链路特性，因此要优于RIP合同。但由于IGRP是Cisco私有的合同，非Cisco厂商的设备不能支持IGRP合同，它的改善版是EIGRP。③增强型内部网关路由合同（EnhancedInteriorGatewayRoutingProtocol,EIGRP）EIGRP是增强型的IGRP合同，它是一种典型的平衡混合路由选择合同，它融合了距离矢量和链路状态两种路由合同的优点，使用一种散射更新算法，实现了很高的路由性能，但由于EIGRP也是Cisco私有合同，不能在其它非Cisco设备上使用，它的应用也受到了限制。④开放最短途径优先（OpenShortestPathFirst,OSPF）OSPF是一种典型的链路状态、无类别IP路由合同，OSPF能够适应大型IP网络的扩展，而基于距离矢量的IP路由合同如RIP和IGRP则不能适应这种网络。OSPF基于链路状态，其路由是基于网络地址及链路状态度量的。作为一种自适应合同，OSPF能够根据网络状态故障状况自动调节，含有收敛时间短的优点，有助于路由表的快速稳定，这样使OSPF能够支持大型的网络。OSPF的设计能够避免通信数据形成环路，这对于网状网络或由多个路由器实现的不同局域网互联非常重要。OSPF尚有其它某些特性：①使用了区域的概念，有效的减少了路由选择合同对路由器的CPU和内存的占用率，划分区域还能够减少路由合同的通信量，从而使构建层次化互联网成为可能。②完全无类别地解决地址问题，排除了有类路由合同存在的问题。③支持使用多条路由途径的、效率更高的负载均衡。④使用保存的组播地址来减少对不运行OSPF合同的设备的影响。⑤支持更安全的路由选择认证。⑥使用能够跟踪外部路由的路由标记。通过多个路由合同的对比和选择，园区网适合采用OSPF路由合同。3.8配备规范①主机命名规范如果客户有规范或明确合理规定，则按照客户的规范或规定进行配备。如金融行业规范。如果客户没有规范或明确合理规定，可参考设备位置、网络位置、设备型号、设备编号等因素，在项目中制订统一的命名规范。主机命名规范以下图3.5所示：图3.5主机命名规范②设备互联接口描述项目中全部涉及到可网管设备互联的端口必须配备端口描述③登陆密码配备项目中全部可网管设备必须配备特权密码及远程登陆密码。④系统时间配备项目中全部可网管设备必须重新设立对的的系统时间。⑤二层交换机管理IP配备项目中可网管二交换机必须配备管理IP地址，供管理员远程管理设备所用。第四章网络安全设计园区网的安全是一种综合问题，它包含网络设备和人为因素两个方面以及与外网（Internet）接口上的安全问题。网络的有效性和可靠性即它的可持续运行的安全性是网络建设必须考虑的首要原则，从顾客的角度考虑，当网络所需的服务不可用时，不管是何种因素，网络就失去了实际价值。从另一角度看，当某种网络服务的响应时间变得变幻莫测时，网络系统也不可靠了。为此我们在网络设计上就考虑了下列的技术来提高安全性。4.1VLAN技术VLAN技术是通过路由和交换设备，在网络的物理拓扑基础上建立的一种逻辑的网络。VLAN能够看作是一种广播域，它们不受地理位置的限制而像处在同一LAN上那样互相交换信息。VLAN是在交换网络中实现的。每个交换设备均可根据网络管理人员所定义的VLAN划分办法对报文进行过滤和转发，并能将这种划分信息传递到网络中其它交换设备和路由器中去。能够限制VLAN中的顾客数量，严禁那些没有得到许可的顾客加入到某个VLAN中。这样，能够控制顾客对网络资源的访问，控制广播组的大小和构成，并借助网管软件在发生非法入侵时告知管理员。交换机上划分VLAN办法如图4.1所示：图4.1交换机划分VLAN办法4.2VPN技术虚拟专用网（VirtualPrivateNetwork，VPN）技术的基本思路是充足运用现有的公用网络来建立一种私有的、安全的连接，即建立一条穿过混乱的公用网络的安全、稳定的隧道，同时避免昂贵的专线租用费用，它使用的是建立在物理连接基础上的逻辑连接，客户并不能意识到实际的物理连接，并且在穿越Internet进行路由时，其安全性与在专用网络中进行安全路由的安全性基本相似。4.3防火墙技术现在，在保护计算机网络安全的设备中，使用最多的就是防火墙。防火墙是在两个网络之间执行控制方略的系统，这两个网络中，普通一种是要保护的内部网，一种是外部网，防火墙在内部网和外部网之间构成一道屏障，通过检测、限制或者更改通过它的数据流，对外屏蔽内部网的信息、构造和运行状况，以避免发生网络入侵或攻击，达成对内部网的安全保护。