第二组-局域网组建案例

企业网络设计方案1需求分析2方案设计原则3网络方案设计4网络安全及管理机制需求分析1、工程项目概况某集团为了加快信息化建设，新的集团企业网将建设一个以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心，以现代网络技术为依托，技术先进、扩展性强，将集团的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来，实现内、外沟通的现代化计算机网络系统。需求分析具体要求：服务E-mail、FTP服务集团内行政管理拨号上网服务需求分析2、信息点分布主要信息点集中在生产部、账务部、网络中心、职工宿舍与医疗卫生等部门。方案设计原则从技术措施角度来讲，在网络的设计和实现中，本方案严格遵守了以下原则：实用性和集成性标准性和开往性先进性和安全性成熟性和高可靠性可维护性和可管理性可扩充性和兼容性网络方案设计1、网络拓扑结构在此次集团大型企业网的设计中，我们采用层次化模型来设计网络拓扑结构。所谓“层次化”模型，就是将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计，也能够应用于广域网的设计。网络方案设计2、网络设计（1）骨干核心层网络设计（2）核心层网络设计（3）汇聚层网络设计（4）接入层网络设计（5）冗余/负载均衡设计（6）线路冗余（7）网络设备冗余/负载均衡设计（8）IP地址规划原则网络方案设计1、骨干核心层网络设计在骨干核心层中，我们采用三台神州数码DCRS-7508核心路由交换机组成一个环形多机热备份的核心交换机系统解决方案。为提高核心网络的健壮性，实现链路的安全保障，本方案骨干核心层环网中可以采用VRRP（虚拟路由器冗余协议）。应用VRRP技术为核心交换机提供一个可靠的网关地址，以实现在核心层核心交换机之间进行设备的硬件冗余，一主两备，共用一个虚拟的IP地址和MAC地址，通过内部的协议传输机制可以自动进行工作角色的切换。网络方案设计2、核心层网络设计本方案核心层网络设备采用DCRS-7508核心路由交换机作为大型企业生产办公网络的园区核心路由交换设备，DCRS-7508具有强大的业务和路由交换处理能力，能提供丰富业务能力，并可通过内置防火墙模块实现各种强大的网络安全策略，可以充分满足大型企业不同园区网络的高速数据交换和支持多业务功能的要求，并能够提供完善的安全防御策略，保障企业园区网络的稳定运行。网络方案设计3、汇聚层网络设计本方案中采用神州数码的DCRS-7504交换机多层交换机作为汇聚层面的交换机。DCRS-7504交换机在提供高密度千兆端口接入的同时还能够满足汇聚层智能高速处理的需要,并能够加灵活的部署在网络边缘的各个位置。能够同时提供多个高速专用堆叠端口和百兆、千兆光口/电口。这些交换机都具备较强的多业务提供能力，可支持包括智能的CCL、MPLS、组播在内的各种业务。为用户提供丰富、高性价比的组网选择。网络方案设计4、接入层网络设计DCRS-2026B智能宽带接入交换机是能满足高安全、多业务承载、高性能的网络环境智能交换机，具备传统二层交换机大容量、高性能等优点，同时还具有领先的安全特性，进一步加强了企业网络对边缘接入层面的安全控制能力。用户可以根据需要来订制自身的安全策略并部署在此交换机上。该产品具备的端口带宽限制、端口镜像、QoS、端口安全、广播风暴抑制等功能可以很好的协助用户实现网络的管理和维护。网络方案设计5、冗余/负载均衡设计冗余设计是网络设计的重要部分，是保证网络整体可靠性能的重要手段。冗余设计可以贯穿整个层次化结构，每个冗余设计都有针对性，可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时，冗余链路可以提供另一条物理路径。可采用GEC链路聚合（IEEE802.3ad）实现端口级冗余，以克服某个端口或线路引起的故障。网络方案设计6、线路冗余在企业网骨干核心层，企业网络边界拓扑结构由于采用了环形多机热备份的核心交换机系统解决方案，所以在线路冗余方面的要求较高，从性能与成本及拓展性等方面的综合考虑出发，我们决定采用GEC骨干核心网络10GE拓展的方式作为其链路选择及备份选择。在企业网汇聚层及接入层出于成本及性价比的考虑，我们决定采用千兆汇聚，万兆拓展；百兆到桌面的链路选择。网络方案设计7、网络设备冗余/负载均衡设计在此方案中，在网络的每个关键结点，我们在设计时都做到了对其有效的冗余备份和负载均衡。在网络的骨干核心层上，我们采用了三台锐捷网络的RG-S8610高密度多业务IPV6核心路由交换机组建高性能的核心网络平台，在对骨干核心层提供足够的网络接点和接入需求的同时最大限度的为网络提供了有效的冗余保障和负载均衡。在核心层的每个区块，我们都采用了两台锐捷网络的RG-S8606度多业务IPV6核心路由交换机做到冗余与负载均衡。在汇聚层的每个区块，我采用了两台锐捷网络的RG-S5750交换机多层交换机做到冗余与负载均衡。网络方案设计在本方案的设计中，出现了两个以上的交换区块和需要提供冗余连接的时候，我们采用了双核心配置。如下图，我们给出了从接入层到汇聚层再到核心层的双核心配置。网络方案设计8、网络地址规划原则我们在对企业园区网IP地址编址设计和分配利用时，遵循了以下几个原则：自治有序可持续性可聚合尽量节约IPv4地址闲置IP地址回收利用网络方案设计此次方案的设计，我们决定采用一个内部私有A类地址（10.0.0.0）对企业园区的网络设备编址。由于从方案本身的网络拓扑图采用了典型的层次化设计，所以对ip地址的编址设计也应采取层次化的设计来完成，并采用VLSM来拓展有限的IP地址。网络方案设计网络方案设计最后经过我们的计算，将各部门ip地址分配如下表：Web服务器IP地址：192.168.100.1/24FTP服务器IP地址：192.168.100.2/24路由器出口IP地址：222.18.44.3/24网络安全及管理机制企业楼宇交换机通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化使用网络，满足企业网加强对访问者进行控制、限制非授权用户通信的需求；在汇聚、核心交换设备设置由硬件实现ACL，对病毒进行过滤，我们选用的汇聚、核心交换设备都支持SPOH，所以在使用ACL时将不会影响整个交换机的性能。网络安全及管理机制端口安全：硬件实现端口与MAC地址和用户IP地址的绑定，严格限定端口上用户接入；ACL(访问控制列表)：可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定，有效确认用户合法性和唯一性；加密控制：提供加密传输SecureShell（SSH），保证管理设备信息的安全性，防止黑客攻击和控制设备；远程访问控制：基于源IP地址控制的Telnet和Web设备访问控制，增强了设备网管的安全性，避免黑客恶意攻击和控制设备。