中小型企业网络方案设计书(word文档良心出品)

1、方案设计书华迪网络设计人员：XX目录一需求分析和布线设计 .3总体需求分析 .3网络功能需求 .3网络规模及信息点分布 .3网络性能分析 .4综合布线设计 .5学生公寓楼.5办公楼.6教学楼.7二. 网络拓扑设计 .7园区网拓扑架构及涉及技术 .7HSRP备份 .8STP负载均衡.8具体拓扑设计 .9广域网拓扑架构及涉及技术 .9VPN技术 .9电信专线 .10帧中继 .10具体拓扑设计 .10互联网及网络安全拓扑设计及涉及技术： .11防火墙 .11IDS . 12IP地址规划 .12区域IP地址规划.13设备IP地址规划.13服务器IP地址规划 .15整体网络拓扑结构 .15企业整体拓扑

2、.16三. 网络设备选型 . 16园区网交换机设备选型 . 16核心层交换机选型 .16汇聚交换机选型 .17接入层交换机选型 .18交换机设备选型清单 .19广域网设备选型 .20分支WAN设备.21互联网接入设备选型 . 22IDS产品选型 .22亠需求分析和布线设计总体需求分析：华迪公司是集外包业务，产品设计，教育于一体的计算机企业，对网 络质量需求较高，需要保证较高的网络质量。公司规模较大需要保证极大 的网络带宽接入。并且需要较高的网络可靠性和稳定性，不允许出现网络 的瘫痪。企业共三栋大楼包括：教学楼、办公楼、学生公寓。均需接入网 络。采用标准综合布线设计。网络功能需求：（1） 公司各

3、部门及宿舍员工可以通过网络相互交流（2） 保证办公部门、宿舍及网络教学实验室能够全部接入网络并且保接入交换机的工作效率（3） 保证核心层交换机不因某一台设备的故障导致整个公司网络的瘫痪（4） 保证所有部门不因线路问题出现不能访问网络的情况网络规模及信息点分布：网络总体规模较大，共三栋楼需连接成为园区网络并接入互联 网。共十三层楼及1060个信息点，分布如下（1） 教学楼信息点情况：设备中心在1楼一楼：数据点180个二楼：数据点180个三楼：数据点80个四楼：数据点60个（2） 办公楼信息点情况：设备中心在1楼一楼：数据点50个二楼：数据点40个三楼：数据点40个四楼：数据点30个（3）学生公寓

4、信息点分布情况：设备中心在 1楼 一楼：数据点80个二楼：数据点80个三楼：数据点80个 四楼：数据点80个五楼：数据点80个网络性能分析：（1）带宽分析：根据对该公司的需求分析预期达到的效果，对公司网络带宽具体分 配如下：外网与公司路由器间的连接采用光纤接入，带宽为200M路由器与公司核心层交换机（核心层交换机在办公楼）间的连接， 采用光纤接入，带宽为2000M核心层交换机与公司中心服务器群间采用以太网连接，带宽为1000M核心层交换机与学生宿舍采用单模光纤连接，带宽为1000M核心层交换机与教学楼采用单模光纤连接，带宽为1000M各栋大楼接入层交换机与信息点间连接采用以太网连接，带宽为10

5、0M（2）可靠性：采用两台核心层交换机做HSRP冗余备份与链路均衡设计，保证网 络的可靠性与稳定性（3）扩展性：此次设计方案除所需达到的效果外，还要考虑到满足公司未来的扩 建和网络的升级，需要考虑一下几点：信息点的增加，预留大量信息点。出口带宽的增加，购买有足有扩展插槽的设备公司规模的扩大分公司的建立综合布线设计:共三栋大楼需布线设计包括：教学楼、办公楼、学生公寓楼。均设 置进线间BD。教学楼采用1BD，3FD。办公楼采用1BD，2FD。学生公 寓采用1BD，3FD。具体布线设计如下：学生公寓楼:办公楼教学楼:二网络拓扑设计园区网拓扑架构及涉及技术：将园区网络设计为分层架构，共分为三层：核心层

6、、汇聚层及接入层。 通过将网络分成许多小单元降低了网络的整体复杂性使故障排除或 扩展更容易，并且能隔离广播风暴的传播、防止路由环路等潜在的问题。 网络容易升级到最新技术，升级任意层次不会对其他层次造成影响。无须 改变整个环境。层次结构降低了设备的复杂性，使网络更容易管理。核心层的任务是为其他两层提供优化的数据传输功能。 核心层的主干 交换机一般采用最快速率的链路连接技术，在与汇聚层骨干交换机相连时 采用HSRP冗余备份与STP负载均衡技术，能够实现高带宽，大容量网络 层路由交换功能，并且在一台核心设备故障时，传输的数据能快速切换到 另一台核心设备，不影响网络系统正常工作。汇聚层内包括千兆交换机

7、、防火墙、服务器群集等（包括域名服务器、 文件服务器、数据库服务器、Web服务器等）。分布层主要提供了地址的聚 集、部门和工作组的接入、广播域、组播传输域的定义、 VLAN路由、安 全控制等功能。接入层的主要目标是为最终用户提供对网络访问的途径，提供了宽带共享、交换带宽、MAC层过滤、网段划分等功能。采用堆叠以太网交换机 作为网络的接入既交换机，交换机普通端口与用户计算机相连，告诉端口 用于上连高速率的分布层网络交换机。HSRP备份：热备份路由器协议（HSRP）的设计目标是支持特定情况下IP流量失 败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳 路由器使用失败的情形下仍能维护

8、路由器间的连通性。换句话说，当源主 机不能动态知道第一跳路由器的IP地址时，HSRP协议能够保护第一跳 路由器不出故障。STP负载均衡：在路由器上为各个VLAN设置不同的跟桥使他们的流量平均分配给两 台核心设备处理再配合HSRP以实现负载均衡效果。链路聚合：链路聚合是将两个或更多数据信道结合成一个单个的信道，该信道以 一个单个的更高带宽的逻辑链路出现。链路聚合一般用来连接一个或多个 带宽需求大的设备，例如连接骨干网络的服务器或服务器群。具体拓扑设计核心层汇聚层办公楼学生舍寓接4FDf.ifir 0!：息 1M) f： A A1 则 i； H 心 MI I接入层广域网连接技术有：VPN，电信专线

9、，帧中继VPN技术：虚拟专用网络功能是：在公用网络上建立专用网络，进行加密通讯。 在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地 址的转换实现远程访问。VPN有多种分类方式，主要是按协议进行分类。 VPN可通过服务器、硬件、软件等多种方式实现。 VPN具有成本低，易于使 用的特点。VPN属于远程访问技术，简单地说就是利用公用网络架设专用 网络。例如某公司员工出差到外地，他想访问企业内网的服务器资源，这 种访问就属于远程访问。一千恥1 _ Fd 5丿亠 4，讥Wpri n Rfl AtNU 倩月点in inflAUt (A BAurH* :*tn*广域网拓扑架构及涉及技术:电

10、信专线:电信ISP为需要使用较大带宽企业或集团提供的专用网络线路。帧中继：帧中继(Frame Relay)是一种用于连接计算机系统的面向分组的通 信方法。它主要用在公共或专用网上的局域网互联以及广域网连接。大多 数公共电信局都提供帧中继服务，把它作为建立高性能的虚拟广域连接的 一种途径。帧中继是进入带宽范围从 56Kbps到1. 544Mbps的广域分组交 换网的用户接口。本拓扑设计采用电信专线接入网络，各分公司之间采用VPN技术以保 证数据的保密性具体拓扑设计：一总公司电信网络分公司B网络安全主要采用防火墙与IDS配合进行网络安全维护包括：包过 滤，NAT地址转换，安全策略配置，病毒检测，入

11、侵检测等。远程出差办 公采用VPN接入公司局域网保证数据保密性与安全性。防火墙：防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线, 才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别 的保护可能会禁止一些服务，如视频流等。防火墙最基本的功能就是控制 在计算机网络中，不同信任程度区域间传送的数据流。例如互联网是不可 信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一VPNJfe拟隧道i/-分公司A互联网及网络安全拓扑设计及涉及技术:些通信，与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信 任的区域。 典型信任的区域包括互联网（一个没有信任的区域）和

12、一个内部网络（一个高信任的区域）。最终目标是提供受控连通性在不同水平的信 任区域通过安全政策的运行和连通性模型之间根据最少特权原则。IDS :IDS （intrusion detection system 全称“入侵检测系统”）是一种对网络传输进行即监视，在发现可疑传输时发出警报或者采取主动反应措施的 网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。IDS最早出现在1980年4月。1980年代中期, IDS逐渐发展成为入侵检测专家系统（IDES）。 1990年，IDS分化为基于 网络的IDS和基于主机的IDS。后又出现分布式IDS。目前，IDS发展迅 速

13、，已有人宣称IDS可以完全取代防火墙。具体拓扑如下：infcructIP地址规划：区域IP地址规划:位置区域VLANIP网段IP网关一楼101-55/24/24二楼102-55/24/24三楼103-55/24/24四楼104-55/24/24办公楼网管中心10-

14、55/24/24一楼201-55/24/24二楼202-55/24/24三楼203-55/24/24教学楼四楼204-55/24/24一楼301192.168.301.1-192.168.301.255/24192.168.301.1/24

15、二楼302192.168.302.1-192.168.302.255/24192.168.302.1/24三楼303192.168.303.1-192.168.303.255/24192.168.303.1/24四楼304192.168.304.1-192.168.304.255/24192.168.304.1/24学生公寓五楼305192.168.305.1-192.168.305.255/24192.168.305.1/24设备IP地址规划设备位置设备名称设备端口IP地址外网端口00/24办公楼网 管中心防火墙内网端口00/24DMZ 端口10.0.30

16、.100/24外网端口 1ISP提供外网端口 2ISP提供VPN内网端口00/24连接外网端口50/24连接内网端口/24核心交换机AHSRP虚拟IP/24连接外网端口00/24连接内网端口/24核心交换机BHSRP虚拟IP/24连接核心层端口 00/24连接核心层端口 01/24VLAN101 接口/24VLAN102 接口/24VLAN103 接口/

17、24VLAN104 接口/24办公楼汇聚交换 机VLAN10 接口/24连接核心层端口 51/24连接核心层端口 52/24VLAN201 接口/24VLAN202 接口/24教学楼教学楼汇聚交换 机VLAN203 接口/24VLAN204 接口/24连接核心层端口 01/24连接核心层端口 02/24VLAN301 接口192.168.301.1/24VLAN3

18、02 接口192.168.302.1/24VLAN303 接口192.168.303.1/24VLAN304 接口192.168.304.1/24学生公寓学生公寓BDVLAN305 接口192.168.305.1/24外网端口00/24服务器中 心服务器中心交换 机内网端口/24服务器IP地址规划:服务器名称服务器IP服务器网关FTP服务器0/24DHCP服务器0/24Web服务器0/24DNS服务器0/24172.1

19、6.0.1应用服务器0/24整体网络拓扑结构：在广域网中使用VPN技术保证分公司与出差员工在与总公司传输数 据时保证数据的保密性与安全性。在总公司的外网接口出设置防火墙保障 公司内网不易被外网入侵，过滤数据包。在 DMZ与园区网接入交换机的 旁路设置IDS进行入侵检测保障内网安全。在园区网中将园区网分为三个分公司A* ,豪沙V j :f i 7 链曲嶷令干狂以太胸吩 井公司u予兆氐衣制电信网络_ . rp凡虚拟疏心 11iI! 1I JiI411教学楼;公楼_1詔w 昌画楼FD 诲巾 3WHI ! I楼F0呻Fl 信魁点184信鼠点1#信魁点90信蛊点:

20、7 iE=larIFI学牛公寓楼层次进行管理，减小网络的复杂性。在核心层使用HSRP备份技术保障网络的可靠性，同时使用STP负载均衡技术保障网络的稳定性。在接入层与 汇聚层处使用链路聚合技术提高带宽。企业整体拓扑如下三网络设备选型园区网交换机设备选型:1.核心层交换机选型：核心层交换机选择WS-C 4506-E,端口密度高达 244 个 10/100（ RJ-45,带或不带 PoE）、10/100（ RJ-21, 带或不带 PoE）、100BASE-FX、100BASE-LX-10、100BASE-D、100BASE-X、10/100/1000BASE-T （带或不带PoE）,或者高达32个万

21、兆以太网端口。支ypSdt拟隧逍DMZ办公楼网符中心总公恥P鶯7*7持典型和 E 些列卡。利用 Supervisor Engine 6-E和 Supervisor Engine 6L-E, 最高可以提供280Gbps 210Mpps或者24Gbps每插槽带宽。业务功能：通过只能的网络服务，全面的服务质量（QoS）,可预测的性能，增强 的安全性，最高30瓦的PoE,以及全面的管理功能，Cisco Catalyst 4500系 列将只能和运营简便性拓展到了网络边缘（配线间）。Cisco Catalyst 4500 系列能够在硬件和软件中实现高水平的、集成化的永续性，最大限度地缩 短计划内和计划外的

22、、代价昂贵的断网时间，从而提高员工的工作效率。WS-C4506-E共6扩展插槽支持扩展性较强。2.汇聚交换机选型:汇聚层交换机选择WS-C3750V2-24TSCisco Catalyst 3750系列交换机是一款适用于中型机构和大型企业分支机构的创新产品。该交换机采用了 Cisco StackWise技术，通过集合易用性和可堆叠交换机的最高永续性，提高局域网运行效率。3接入层交换机选型:接入层交换机选择WS-C2960-48TC丄Cisco Catelyst 2960系列交换机是一个固定配置交换机系列，可以为终端市场和分支机构网络提供快速以太网，以太网供电（PoE）、千兆以太网连接和智能局域

23、网服务。Cisco Catalyst 2960LAN Base交换机支持增强的安 全性、服务质量（QoS）和可用性。4.交换机设备选型清单:设备模块规格型号数量主机型号WS-C 4506-E2电源及风扇风扇自带 电源：PWR-C45-1000AC/24核心引擎模块WS-X45-Sup6-E4以太网光纤接口卡WS-X4516-10GE=2以太网光纤模块X2-10GB-LR=6核心交换机RJ-45以太网模块无主机型号WS-C3750V2-24TS3千兆以太网光纤模块无汇聚交换机万兆以太网光纤模块X2-10GB-LR=6教学楼接入层交换机选配主机型号WS-C2960-48TC-L4FD-1堆叠模块CAB-STK-E-0.5M=4主机型号WS-C2960-48TC-L4FD-2堆叠模块CAB-STK-E-0.5M=4主机型号WS-C2960-48TC-L3FD-3堆叠模块CAB-STK-E-0.5M=3办公楼接入层交换机选配主机型号WS-C2960-48TC-L2FD-1堆叠模块CAB-STK-E-0.5M=2主机型号WS-C2960-48TC-L2FD-2堆叠模块CAB-STK-E-0.5M=2学生公寓楼 接入层交换机选配主机型号WS-C2960-48TC-L4FD-1堆叠模块CAB-STK-E-0.5M=4FD-2主机型号WS-C2960-48TC-