局域网课程设计腾飞科技企业网设计方案院系:电信学院,计算机系专业班级:05网络2班设计师:曾新文05104005指导老师:石光华06.12局域网课程设计一,公司背景及需求分析;腾飞科技是一家新成立的IT企业,企业规模为300人,其中100人为开发/行政人员,需为其提供固定接入;20人为市场推广人员,须提供局域网无线接入。企业办公地址为一栋5层大楼,客户服务部、财务部、开发部、生产部和经理办公室为5个基本部门。腾飞科技企业需要提供至少120个接入点,考虑到公司的发展要预留少量做扩展,而且需要提供无线接入给市场推广人员,由于腾飞科技是IT企业,对网络要求较高,要具有一定的防意外事故能力,要求要有设备和链路的备份,另外由于是科技企业,所以对数据的安全性要有一定的保障能力.速度方面要求百兆到桌面,保证工作的应用.网络要求稳定性与经济性相结合.考虑到公司未来的发展,要求网络具有比较便捷的拓展性!二,网络方案结构与规划;腾飞科技网络拓扑:局域网课程设计方案结构腾飞科技采用两层交换机接入,核心采用思科3560交换机,采用思科系统公司的两个三层交换机Catalyst3560负责全网的信息交换。核心交换机之间使用两条千兆多模光纤冗余链路连接,既可提高带宽又可提高可靠性,采用HSRP技术进行热备份,采用负载均衡技术,保证网络的稳定与畅通。网络安全及管理在安全方面:配置了一台CiscoSecurePIX525防火墙,有了DMZ区,对外服务器放在DMZ区提高内网的安全性,可以防止黑客对内部关键数据的非法访问和病毒的入侵。接入交换机采用腾达品牌的交换机实现百兆到桌面,无线路采用腾达的腾达TWL5400R企业级无线路由接入,使整个网络更加经济实惠.外网采用思科的803路由与Internet连接.整个网络的搭建采用思科和腾达的设备,保证了网络的稳定性,同时又使整个网络更加经济实惠.可靠性设计在网络的可靠性设计中,核心层3560设备之间通过多模千兆光纤连接,共同形成的捆绑链路,来扩充核心层设备之间的中继带宽,冗余电源,达到4G。边缘交换机与核心层设备之间通过两条千兆光纤连接形成双链路,当一条链路出线故障时,另一条链路可以独立工作,这就保证业务不会中断。因为开发部接入的端口数多,流量大,采用两台交换机VLAN间路由,减少核心层交换机的负担,通过多种负载平衡技术实现网络链路的冗余连接和故障的快速恢复功能。本方案设计选用CISCO三层交换设备,与腾达交换机采用OSPF的等值路由平衡技术来保障汇聚层与核心层设备之间数据的可靠传送,为两层之间数据流量提供合理、安全的负载均衡机制,以提高网络性能。企业网络VLAN的实现VLAN即VirtualLAN,表示虚拟局域网,简称虚网。它依靠逻辑设定将原来物理上互连的一个局域网络划分为多个虚拟网段,划分的依据可为设备所连的端口、用户节点的MAC地址等。整个网络可以根据管理的要求、地理位置和片区的划分来设置相应的VLAN(虚拟子网),VLAN技术可以将不同VLAN之间的用户隔离,保证安全性。划分的结果使得同一虚网内数据可自由通讯,而不同虚网间的数据交流则需要通过具有第三层路由功能的设备来完成。思科公司的Catalyst交换机系列都支持VLAN的设定和ISL、802.1Q两种以太网VLAN标识技术。本方案设备从核心层交换机CISCOcatalyst3560、访问层交换机,到接入层交换机设备都支持局域网课程设计IEEE802.1QVLAN标准,保证了该项技术的顺利实施。这样,通过在接入层交换机为用户配置不同的VLAN,进行端口隔离,所有的用户端口只能通过核心交换机来实现互连。部门之间的VLAN信息可以通过它来转发可以减少核心层交换机的负担,在核心层交换机通过ACL(访问控制列表)进行相应的控制,使得用户的访问得到完全的控制。要求各个部门独立一个VLAN,防止跨部门访问..特别是要做好财务部和服务器区的数据安全.通过划分VLAN和ACL保证财务部和服务器区的安全!Ip地址分配IP地址的划分既要方便管理又要易于拓展:网管和服务器172.16.0.0—172.16.9.254经理部172.16.10.0—172.16.19.254财务部172.16.20.0—172.16.29.254市场部172.16.30.0—172.16.39.254开发部172.16.40.0—172.16.49.254生产部172.16.50.0—172.16.59.254***每个网段采用最后一个IP为默认网关IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。对于腾飞科技企业网络IP地址的分配,我们将尽可能地利用地址空间,充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。每个物理地点划分连续的IP地址,这样核心交换机可以使用路由汇聚减少核心路由表的条目。IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由策略有非常密切的关系,将对网络的可用性、可靠性与有效性产生显著影响。IP地址的分配需要有足够的灵活性,能够满足各种用户的需要;IP地址的分配采用VLSM技术,保证IP地址的利用效率;采用CIDR技术,这样可以减小路由表的大小,加快路由器路由的收敛速度,也可以减小网络中广播的路由信息的大小;总之,要充分合理利用已申请的地址空间,提高地址的利用效率。安全性设计网络安全主要是指防止黑客对内部关键数据的非法访问和病毒的入侵。在腾飞科技企业网工程中配置了CiscoSecurePIX525防火墙,它是世界领先的CiscoSecurePIX防局域网课程设计火墙系列的组成部分,能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。它所提供的完全防火墙保护以及IP安全(IPsec)虚拟专网(VPN)能力使特别适合于保护企业总部的边界。他强大的安全性,能给IT企业腾飞科技提供强有力的保证.Internet的发展为企业和专用网络带来了更大的安全风险。把外网的区增加了内网的安全。CiscoSecurePIX防火墙能够提供空前的安全保护能力,它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法(ASA)。静态安全性虽然比较简单,但与包过滤相比,功能却更加强劲;另外,与应用层代理防火墙相比,其性能更高,扩展性更强。ASA可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时,访问才被允许通过CiscoSecurePIX防火墙。这样做,内部和外部的授权用户就可以透明地访问企业资源,而同时保护了内部网络不会受到非授权访问的侵袭。现在企业提供了通过因特网建立廉价的VPN让合作伙伴互连。PIX525集成了VPN的主要功能-隧道、数据加密、安全性和防火墙,能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。525可以同时连接高达4个VPN层,为用户提供完整的IPsec标准实施方法,其中IPsec保证了保密性、完整性和认证能力。对于安全数据加密,Cisco的IPsec实现方法全部支持56位数据加密标准(DES)和168位三重DES算法三,设备选型;公司简介:CISCO公司网络产品的卓越的性能价格比、高可用性、兼容性以及CISCO公司为各行各业提供的成功网络解决方案早已为全球IT用户所知,网络建设首选CISCO产品已经成为业界主流。通过以上分析,结合局方设备现状和需求,同时考虑设备统一管理的原则,我们建议此次改造建设新增设备选择CISCO公司产品。骨干层设备选择CISCO3550交换机,以满足改造后网络性能需要。深圳市吉祥腾达科技有限公司(简称“腾达公司”)成立于1998年8月,是一家专业生产“TENDA”网络产品的公司,属于自主研发、生产、销售的高科技企业,其生产基地位于深圳南山区西丽镇锡星工业园,并相继在北京、香港、上海、成都、广州等地成立了分公司,开拓了北美、南美、欧洲、中东、东南亚等海外市场,其营销网络已覆盖到全球。设备选型:设备名称数量单台配置情况CICSO3560三层交换机2台冗余电源;12口千兆光纤模块.局域网课程设计CISCO803路由1台固定局域网接口:10/100Base-T/TX腾达TWL5400R(无线)1台5dBi的超强增益天线CiscoSecurePIX525防火墙1台腾达TEH800S腾达TEH1600S腾达TEH2400S腾达TEH10481台1台2台2台8口;百兆16口;百兆24口;百兆48口;百兆****备注:详细产品资料见附件。****四,附件(详细产品资料)1.思科803设备类别:接入路由器;固定广域网接口:可选广域接口WIC卡;固定局域网接口:10/100Base-T/TX;支持网络标准及协议:IEEE802.3,ISDN;加密标准AH(MD5),ESP(Null,DES,3DES,ARC4,proprietaryfastencoding,+MD5/HMAC,-MD5);PPP(PAP,CHAP,LCP,IPCP,MLPPP);2.CiscoSecurePIX525防火墙强壮的安全特性Internet的发展为企业、政府和专用网络带来了更大的安全风险。现有的解决方案如运行在应用层的基于代理的防火墙具有很多限制条件,包括性能低、需要昂贵的通用平台、使用开放系统如UNIX时本身具有安全风险等。局域网课程设计主要特性和优点Cisco端到端解决方案的组成部分-允许各公司将经济高效、无缝的网络基础设施扩展到分支机构。最低的拥有成本-安装、配置简单,网络中断时间更少。另外,允许透明地支持Internet多媒体应用,不再需要实际调整和重新配置每一台客户工作站或PC机。非UNIX的安全、实时和嵌入式系统-消除了操作系统所带来的风险,提供了突出的性能。基于标准的虚拟专网-使管理员可以降低通过Internet或其它公共IP网络将移动用户和远程站点与企业网络相连的成本。自适应安全算法-为所有的TCP/IP对话提供静态安全性,以保护敏感的保密资源。静态故障切换/热备用-提供高可用性,使网络可靠性最大。网络地址转换(NAT)--节省宝贵的IP地址;扩展网络地址空间;隐藏IP地址,使之不被外部得到。截断通过代理-提供业界最高的认证性能;通过重新使用现有认证数据库降低拥有成本。多种网络接口卡-为Web和所有其它的公共访问服务器、与不同合作伙伴的多种外部网链路、得到保护的记录和URL过滤服务器提供强大的安全性。支持多达28万个同时连接-部署很少的防火墙就能极大地提高代理服务器的性能。防止拒绝服务攻击-保护防火墙及其后面的服务器和客户机不受破坏性的黑客攻击。支持各种应用-全面降低防火墙对网络用户的影响。JavaApplet过滤-使防火墙可以在每个客户机或每个IP地址上终止具有潜在危险的Java应用。支持多媒体应用-降低了支持这些协议所需要的管理时间和成本。无需特殊的客户机配置。设置简单-只需6条命令就能实现一般的安全策略。紧凑设计-可以更加容易地部署在桌面或更小的办公设置中。URL过滤-当与Websense企业软件配合使用时,可以提供控制哪些Web站点的用户可以出于计费的目的来访问和维护审计跟踪数据的能力。对PIX防火墙性能的影响最小。邮件保护-不再需要外部邮件在外围网络中转发,也防止了外部邮件转发过程中的拒绝服务攻击。3.腾达TWL5400R无线路由TWL5400R远距离无线宽带路由器集无线AP、路由器、4口交换机、防火墙于一体。适用于对无线信号有超远距离传输需求的网络环境,如智能小区、大型娱乐场所、大型工业园。这款无线宽带路由器主要特性如下:高安全性:支持最新无线安全WPA认证方式,用户可完全控制无线网络安全。内置防火墙,有局域网课程设计效控制网络病毒、黑客、木马的攻击,以及来自内部网络的非授权访问。强大穿透力:室内比普通11b、11g产品提升两倍穿透力,室外提升三倍传输距离。高传输速率:无线最高传输速率可达54M,局域网(LAN)到