XX企业大型局域网升级方案设计

摘要该公司现有网络已不能满足现在的业务需求，因此在原有网络基础上对该网络进行网络改造。本方案重新规划设计了该公司的网络构造，使整个网络构造更加规范、合理；更新了核心服务器和交换机，核心层采用环形构造，使整个网络性能得到提高；具体规划设计了IP地址，增加了终端网络接口，给后来的网络扩展留下了空间。同时也对网络管理和网络安全也进行了某些设计。核心词：网络，服务器，网络规划，网络安全小构组员分工：XXXX：网络具体设计IP地址规划XXXX：设备选型网络安全规划XXXX：概述需求分析锐捷网络介绍

XX公司大型局域网升级方案设计一概述一、系统设计原则建设该公司的计算机网络系统原则上考虑到实用性、先进性、开放性、可扩展性、安全性和可靠性等使该公司的网络系统更合理、更经济、含有更良好的性能。实用性是网络系统建设的首要原则，该网络必须最大程度的满足该公司顾客的需求，确保网络服务的质量，否则就会影响该公司的日常工作效率。该网络系统应能够满足住处网络内各项业务对解决能力的规定。。先进性重要是针对网络系统的设计思想、网络构造、软硬件设施以及所选用技术等方面。只有先进的技术才可能为网络带来更高的性能，使公司的形象有所提高，并且能确保在技术上，公司走在前端不容易被裁减。开放性是指公司网络与外部网络的信息交换、技术交流等方面，由于只有开放的系统才是最含有生命力的系统。它能够使公司在第一时间与外界进行交流使公司尽快的掌握行业之内领先的技术和思想。可扩展性是指该网络系统能够适应当公司的需求变化。随着公司的发展，信息量增多和业务的扩大，网络将在规模和性能两方面进行一定程度的扩展。可靠性和完全性是指能够确保整个公司网络系统正常运转的前提条件和基础。安全性指确保公司内部的商业机密的安全和数据访问以及传输的信息安全，使其避免非法访问和攻击。可靠性要确保网络系统能不间断的为公司提供服务，即使系统发生异常也要确保系统内信息的完整、对的和可恢复。二、系统设计目的为该公司建设一种能够满足该公司需求的网络。该公司的网络建设分为总公司和子公司的两个大的部分，其中也包含了总公司和子公司中的每个部门，总公司重要有生产部、销售部、研发部、系统分析部、后勤部、人力资源部；子公司重要有生产部、销售部、采购部、分析部、后勤部、宣传部。在网络系统建设的时候重要能做到下列几点：（1）采用先进网络技术（同时重视该技术的成熟性），规定选择的技术符合国际原则。能够与重要网络厂商的产品及网络技术较为方便的实现互联。并能够向将来的高速网络技术过渡。（2）适应公司的机构建制和业务工作流程，适应公司部门多、层次复杂的特点，合理进行网络划分。（3）采用的技术及设备要含有可扩展性。（4）适应公司联网规模大、总信息流量大的状况，对其合理分布流量，实现有效的安全访问控制和运行管理，并能解决互联网络带来的一系列问题。（5）增加网络系统的运行可靠性，减少安全隐患，提供系统的可维护性。二、需求分析1、顾客需求分析1．该公司于实现了业务的电子化和办公自动化，基本完毕了全公司范畴内的网络覆盖。但随着社会的发展，业务的多样化、复杂化，5年前建成的原有网络系统已不能满足公司现在的业务需求：随着网络应用的不停增加，接入顾客的不停增多，对核心设备的压力不停增大，造成网络效率下降，甚至造成全网的宕机；网络经常会受到攻击，影响了网络正常业务以及顾客正常上网；没有网络管理的设备，造成无法对网络环路进行解决等；因此为了增强公司凝聚力、提高经济效益、推动公司的竞争力，在原有的网络基础上对该公司的网络进行从新规划已势在必行。2、可行性分析对该公司进行可行性分析，可行性分析以下：1)在网络设计时通过采用双核心的三层网络构造、OSPF路由设立。解决了对核心设备的压力，增加了网络的运用效率；在公司内部按顾客、功效进行VLAN、网段划分，采用DHCP服务分派IP地址，针对不同的顾客类型，制订对应的访问、控制权限。针对应用服务器区域提出定制化的控制方略；控制了广播风暴，方便了IP地址的管理和对非法DHCP服务器进行有效控制，增加了网络效率和安全性；建立避免DoS攻击网络平台。满足网络正常业务需求以及顾客正常上网；4)在公司园区内部各个建筑物都有适宜的光纤连接，每个建筑物内部都有适宜的内部布线，从而支持10GE或将来平滑过渡到10GE,有助于网络的扩展；5)在公司总部和分公司之间采用VPN进行连接。提供了简朴、便宜、安全、可靠的Internet访问通道。三、网络具体设计1、选择网络技术对于该公司的大型园区网络系统来说，选择一种既能提供一种抱负的高速多媒体网络主干，又含有现实性的网络技术方案极富现实意义。因此选择样的网络技术就至关重要了。具体分析以下：（1）现今绝大多数计算机系统都是采用以太网设备，从投资保护和技术的相容性方面考虑，采用千兆以太网技术对于公司现在现有的计算机及网络设备而言有着良好的兼容性和合用性。（2）网络系统的可靠性，这是我们进行网络技术选型中应当最为优先考虑的原则。高度可靠的计算机网络对于公司的成功来说是至关重要的，没有可靠性作确保的网络系统是更本无法应用的。因此，必须对多个网络技术的实现办法和后来的技术支持等问题作审慎的考虑。自从1986年出现星形布线构造的10BaseT技术以来，构造化的布线系统使得集线器和交换机的可靠性越来越高。如今，以太网已经比其前辈---电话网技术更加可靠，并且易于理解和管理。今天的千兆以太网无论是在稳定性方面，还是服务质量确保（QoS）方面都达成了一种崭新的高度。（3）网络系统的经济性，该系统费用低廉，含有较高的性能价格比。以太网和快速以太网每端口的平均价格在快速下降，并且互相间的差距越来越小。千兆位以太网的每端口价格现在已经比ATM622M的价格低诸多，其将来的发展过程也将类似于快速以太网。在现有技术条件和同等端口密度下，普通来说千兆方案要比ATM方案便宜三分之一以上。除了直接的投资费用之外，网络支持和维护费用是一种不容无视的问题。如今已有诸多成熟和专业的工具来维护以太网，使其以最佳的性能运作。千兆位以太网保护了这方面的投资，千兆位以太网帧格式拓扑构造都是相似的，仅需要对网络分析工具的速度进行升级，而所需的专业培训将会减低到最少。相对于技术极为复杂，需要大量培训和维护费用的ATM网络技术而言，千兆网技术有着其无法比拟的优势。（4）从网络的发展性的角度考虑，在该公司网络建设中，我们能够选择千兆网络技术。当新的和现有的网络应用程序发展到涉及高质量的图形应用程序、视频和其它大数据量的多媒体应用程序的应用环境时，桌面PC、服务器、集线器和交换机都面临着增加网络带宽的压力。随着这类的应用程序不停地增加和网络顾客数量的增加，人们对高带宽网络设备的需求越来越迫切。随着LAN上信息的飞速增加，网络管理员被迫去寻找更高速的网络技术能够解决带宽的规定。他们现有的网络多为以太网或FDDI主干，能够选择不同的升级办法，即使多个办法都有自己不同的形式，然而还是有某些通用的原则或规定来选择高速的网络技术，涉及：容易实现的、无间断的升级技术能够扩展至更高的性能，支持新的应用程序和数据形式。在Internet应用中，迫切需要迁移至新的数据类型，涉及视频和音频。以前人们认为视频数据需要在专门的网络上传送，然而现在它也能够在以太网上传输，由于：通过交换技术，使网络带宽的分派增加到100M或1000M新的网络合同如RSVP，支持带宽的分派和保存新的原则如802.1Q/p,支持专有VLAN功效和网络数据包专用标记功效广泛应用的视频压缩技术,如MPEG2这些技术和合同的组合运用使得以太网成为传送视频和多媒体数据应用的极好的解决方案。在该公司网络系统建设中为什么没有选用ATM技术？将对千兆与ATM技术的进行一种比较，分析以下：（1）ATM技术采用信元和端到端连接机制，能够对流量进行非常精确的控制，但它重要是一种广域技术。事实上ATM发展的动力源自电话公司想给数据联网重新定义。想法是对数据、话音和视频采用不同的合同。端到端连接的一种核心因素是它们能够统计数据流量，从而进行计费、收费工作。（2）ATM技术进入LAN的市场开始于1993年，当时ATM行业宣称ATM是联网技术的将来，能够扩展、能够进行交换、支持视频等等，还把IP和以太网看作传统网络。由于当时市场上迫切需要高带宽的局域网络设备和技术，而当时快速以太网在带宽上还不能和ATM竞争，因此ATM在LAN的市场中获得了一席之地。但到今天千兆以太网这种更高带宽的以太网技术出现后，ATM的高带宽优势已荡然无存。今天人们已经意识到，事实上，IP才是全部人都围绕的网络合同，并且IP完全独立于底层网络技术。它与以太网共同发展起来，也能够运行在令牌环、FDDI，但是在ATM上让IP工作起来则比较困难，需要采用LANE、ClassicalIP，千兆以太网相对ATM、MPOA等复杂的技术，并且减少了ATM的效率，丧失了ATM的应用优势。（3）千兆位以太网比ATM尚有一种固有的优点，就是在网络上的流量在合同方面的开销要ATM少诸多，ATM的开销大概是千兆位以太网的两倍。另外如我们在前面多次指出的技术有着价格、维护费用、使用方便性、构造灵活性和易管理性上有着一系列的优势。根据以上我们对现在重要的园区网技术的细致比较，我们最后拟定采用千兆以太网作采用千兆技术不仅能够较好地满足客户机／服务器模式对网络主干的巨大需求，并且以太网含有的良好的移植性能够方便的将10M以太网和快速以太网升级到千兆以太网，从而能够把某些数据流很大的工作组快速集成，在局域网方面与ATM技术相比有较大的优势；从网络的管理与维护方面讲，千兆以太网技术能够节省大量的培训和维护等后续费用。这一系列特点使得千兆以太网技术成为该公司网络主干技术的最为抱负的选择。2网络的分层设计本方案以“千兆以太网技术为基础，以万兆以太网和IPV6为目的”采用三层的网络构造，分为核心层、汇聚层、介入层。即在原有的单核心的基础上加两台高性能路由交换机到核心层。增加汇聚层。具体设计内容以下：1）核心层用使用三台高性能的交换机RG-6806汇聚层使用RG-3760系列接入层RG-2126系列2）各部门要进行子网的划分。IP地址的规划，实现各个部门的分开和联系3）服务器划分DMZ区域设立认证服务器。如WEB、FTP、DNS等服务器接放火强上。如财务部门。公司机密等的服务器设立在DMZ内。4）要有较好的安全性能，确保网络的高安全性。选如避免DOS的攻击。非法DHCP的控制5）选择适宜网络管理软件。对STP等配备。提高高效率的网络管理。微服网络的正常运行。6）建立与子公司的VPN。实现高效安全的业务交流和通信办公。7）网络必须含有较好的扩展性和技术先进性。2.1组织构造图图2.1构造组织图公司总公司公司总公司生产部销售部研发部系统分析部后勤部人力资源部图2.1.1总公司组织构造图公司子公司公司子公司生产部销售部采购部分析部后勤部宣传部图2.1.2分公司组织构造图2.2．网络的拓扑图网络的拓扑图见图2.2：图2.2网络拓扑构造图四：设备的选型网络产品的选型鉴于系统的先进性和兼容性，我们将采用美国RG公司的产品。我们选择RG产品的重要因素出于下列考虑：（1）RG公司是中国领先的Intranet和Internet网际互联解决方案供应商，提供的解决方案是世界各地成千上万公司、大学、公司和政府部门建立网间网的基础，顾客遍及电信、金融、服务业、零售业、政府部门及教育机构等。（2）RG公司的IOS(InternetworkOperatingSystem,网间网操作系统软件)技术提供了网络扩展性，模块化构造和移植性，以及多媒体、安全性、网络管理、拨号和Internet应用等许多内嵌功效。RG总是能将其IOS特性较好的融合到其新的产品中去，RGIOS技术的独特性使得其产品有着其它公司产品无法媲美的优势。(3)RG-6800系列不仅能为公司和电信运行商提供市场领先的服务、性能、端口密度和可用性，还能提供无与伦比的投资保护能力，涉及：1最长的网络正常运行时间--运用平台、电源、控制引擎、交换矩阵和集成网络服务冗余性提供1～3秒的状态故障切换，提供应用和服务持续性统一在一起的融合网络环境，减少核心业务数据和服务的中断。2全方面的网络安全性--将切实可行的数千兆位级思科安全解决方案集成到现有网络中，涉及入侵检测、防火墙、VPN和SSL。3能够适应将来发展并保护投资的体系构造--在同一种机箱中支持三代可交换、可热插拔的模块，以提高IT基础设施运用率，增大投资回报，并减少总体拥有成本；设备参数详见表2.1表2.1RG设备参数表设备名称产品名称数量性能RG-6800交换机36个（2个用于管理引擎模块）交换容量：400G600G（V3.x引擎）包转发速率：L2/L3：286MppsL2/L3：428M（V3.x引擎）支持的合同：L2。L3。其它合同RG-R3700路由器12个SFP接口和12个10/100/1000BASE-T的RJ45接口，光口和电口复用支持的合同：L2。L3。其它合同RG-WALL1500防火墙1固化6个10/100BaseT接口最大并发连接数：800,000吞吐量6RG-S3760-12SFP/GT交换机61.高数据解决能力，高汇聚能力2.主控板固化2个10/100/1000M快速以太网口，光口电口可选3.高可靠性，全方面兼容业界主流厂商路由器产品，良好的语音支持功效，完善的QoS方略强大的数据解决能力，全方面兼容业界主流厂商路由器产品4.良好的语音支持功效5.高效安全的终端服务RG-S2126交换机881．灵活的端口扩展满足远距离高速传输2．超高速背板带宽支撑无阻塞交换3．高安全智能ACL特性避免病毒及网络攻击基于交换机的三元素绑定实现顾客身份唯一4基于802.1X认证系统的六元素绑定保障网络安全、运行、计费端到端QoS（服务质量）方略保障网络的高可用性5．基于流识别的灵活带宽限制能力6．丰富的生成树合同提供网络高可靠性7．IGMP源端口检查提高组播控制能力灵活的VLAN划分和PVLAN技术五：IP地址的规划VLAN的分派与IP地址规划1IP地址规划设备IP/24可支持254个设备IP地址业务IP/16可支持65536个IP对于信息点的容纳可达六万多个2VLAN的分派RG-S6800RG-S3760采用的是802.1qVLAN,支持4096个VLAN。再这里我们根据不同的部门采用动态和静态的办法划分VLAN。对于大部分人员调换房间的的部门，如/我们在汇聚层上能够把一种房间划为一种VLAN,这样能够起到互相隔离，避免广播风暴，隔离病毒传染。IP及Vlan的划分见表4.1表4.1IP及Vlan的划分表地点房间数接入层交换机个数（24口）交换机断口数Vlan号IP划分顾客量办公楼30（间）*6（层）=18081922----193/20共有4096个3840职工活动生活区30（间）*6（层）*10（栋）=1800751800194----1993/18共有1638410800产品开发，实验综合大楼联合生产区51201994-----2113/共有个2400表4.1阐明:这里总共用了2113个VLAN号，剩余的VLAN号用于将来的需要扩展时再加入。规划分析：对于业务IP，一种B类二地址能够容纳255*255-255*2=64515这样多个主机,因次我们考虑用一种B类地址做为业务IP地址的规划,在这里我们选用/16.考虑在每个房间(一种VLAN中)有10-20个顾客,需要分派20个IP址，总共需要２０＊１９２＝３８４０（个）。这样考虑同时为了将来网络升级的需要,我们在划分IP时要预留一部分做为将来网络升级时合使用。要满足3840个ＩＰ，我们能够采用掩码为/20，共有4096个IP地址，这里4096只是一种规划，在工程实施中，不会这样多，需要根据接入顾客量配备对应的ＩＰ。在接入层中采用DHCP分派，对于顾客的方便性有很大协助。六．网络安全的规划防火墙被应用于内部网与外部网的连接之间，通过2~6块100M快速以太网卡直接连在——交换机上。使用虚拟网（VLAN）技术，来自INTERNET对内部网的访问首先要通过防火墙，防火墙对进出内部网的数据内容进行各个层次的安全检查、控制和过滤，以确保网络的安全。RG公司PIX防火墙向公司网络提供引人注目的简朴新特性和举世无双的安全性。PIX防火墙的高性能核心是一种基于自适应安全算法（ASA）的防护方案，有效地对黑客隐藏起客户机地址。PIX还含有执行速度快、成本低的优点，同时也能改善IP地址局限性的问题。公司网络的安全非常重要它做为公司向内外实现业务交流的重要窗口。代表这公司的文化和相形，更重要是的某些重要信息关系到公司的发展、竞争等。因此必须含有很高的安全性能。它的具体体现为：1）内部安全和外部安全（涉及网络攻击。物理安全，环境安全、雷电、人员泄露等）具体的实施办法：在网络设备上配备ACL避免DOS的攻击。2）高性能交换机自带含有避免攻击的功效的配备起用3）应用硬件设备如防火墙、设立代理服务器等4）基于安全考虑的VLAN的划分。由于个部门互相独立。更重要的是基于安全。5）与子公司之间建立VPN连接。6）按原则实现网络工程的实施（机房原则。三防，三度等）7）加强公司内人员的安全意识。有效的避免携带病毒进入或机密被泄露。增强安全性。

总结本方案设计的网络含有高速、安全、可扩充性和灵活性、先进性，规划方案优点是含有先进性、可扩展性和安全性。具体体现在设备选型时采用了RG公司的产品，能够较好地为该公司服务。在设计信息点时对后来的扩展都做了较好的规划，划分VLAN时都留了对应的空间。采用了服务器备份，交换机的冗余等都增加了安全性.通过本次对该公司网络规划完毕，熟悉了网络规划的基本环节，提高分析问题和解决问题的能力。具体总结以下：1对网络规划有了深刻的理解，增强了自信心。2、掌握实施一种网络工程的基本办法、目的、设计原则、实施环节。3、进一步掌握了网络工程中所使用的多个网络技术。4、学会了实施网络工程中所需要的需求分析、系统设计、安全设计以及应用方案设计5、能够综合运用多个网络技术，设计实际网络工程解决方案。

附录锐捷网络介绍锐捷网络成立于1月，七年来，秉承“敏锐把握应用趋势，快捷满足客户需求”的核心经营理念，在激烈的市场环境中，实现了超常规、跨越式的发展。今天的锐捷网络已经成长为一家拥有2200多名高素质员工，分支机构遍及全国32个省、市、自治区，含有完备的全系列网络产品线及基于应用的端到端网络解决方案的专业化网络厂商。数年来，锐