陈氏企业网络规划设计方案.doc

目录第1章 ：目标2第2章 ：具体细节32.1 . 用户需求描述：3第3章 . 需求分析：4第4章 、方案设计原则64.1 实用性和集成性64.2 标准性和开往性64.3 先进性和安全性64.4 成熟性和高可靠性74.5 可维护性和可管理性7第5章 ：方案设计8第6章 ：方案特点96.1 带宽问题：96.2 安全问题：96.3 管理计费问题：9第7章 ： 实施方案设计107.1 实施方案内容107.211第8章 ：测试步骤及测试文档13第9章 ：解决安全威胁169.1 防冲击波病毒169.2 .来自网络内部的恶意或误操作攻击16第1章 ：目标建立一个安全、可靠、可扩展、高效的网络环境，完全符合开放性规范，能够方便快捷的实现网络资源共享、办公自动化、出差上内网，接入Internet等目标第2章 ：具体细节（1）.用户背景描述：公司名称：陈氏科研公司办公楼（2）.公司规模：大约200名员工的公司（3）.公司组织结构： 人事行政部财务部销售部市场部技术支持部总经理副总经理图 21 人员组织结构图2.1 . 用户需求描述：（1）用户公司需要连接内部网络，各部门员工的终端能够实现连通（2） 所有公司员工都能访问远程分支机构（远程分支机构的网络不在此项目内）（3） 公司财务部门的数据很重要，希望有一定的安全措施（4） 网络设备要求高速、运行稳定第3章 . 需求分析： 为适应企业信息化的发展，满足日益增长的通讯需求和网络的稳定运行，今天的大型企业网络建设比传统企业网络建设提出更高的要求，主要表现在如下几个方面：1）现代大型企业网络应具有更高的带宽，支持10GE或将来平滑过渡到10GE，更强大的性能，以满足用户日益增长的通讯需求；随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台，它不仅要继续承载企业的办公自动化和WEB浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务，因此数据流量将大大增加，尤其是对核心网络的数据交换能力提出前所未有的要求。另外，随着千兆端口的成本持续下降，千兆到桌面的应用会在不久的将来成为企业网的主流。从2005年全球交换机市场分析可以看到，增长最迅速的就是10G级别机箱式交换机，由此可见，万兆的大规模应用已经真正开始。所以今天的企业网络已经不能再用百兆到桌面千兆骨干来作为建网的标准，它的核心层及骨干层必须具有万兆级带宽和处理性能，才能构筑一个畅通无阻的“高品质”大型企业网，从而适应网络规模扩大，业务量日益增长的需要。 2）现代大型企业网络应具有更全面的可靠性设计，以实现网络通讯的实时畅通，保障企业生产运营的正常进行；随着企业各种业务应用逐渐转移到计算机网络上来，网络通讯的无中断运行已经成为保证企业正常的生产运营的关键。现代大型企业网络在可靠性设计方面主要应从三方面考虑：首先是设备级可靠性设计，这里不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察；其次是业务的可靠性设计，这里要注意网络设备在故障倒换过程中是否对业务的正常运行有影响；再次是链路的可靠性设计，以太网的链路安全来自于它的多路径选择，所以在企业网络建设时要考虑网络设备是否能够提供有效的链路自愈手段和快速重路由协议的支持。 3）现代大型企业网络需要提供完善的端到端QOS保障，以满足企业网多业务承载的需求；大型企业网络承载业务的不断增多，单纯的提高带宽并不能够有效的保障数据交换的畅通无阻，正如八车道的长安街也经常堵车一样，所以今天的大型企业网络建设必须要考虑到网络应能够智能的识别应用事件的紧急和重要程度，如视频、音频、数据流(MIS、ERP、OA、备份数据)，同时能够调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送，实现对业务的合理调度才是一个大型企业网络提供“高品质”服务的保障。 4）现代大型企业网络应提供更完善的网络安全解决方案，以阻击病毒和黑客的攻击，减少企业的经济损失； 传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对于病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效的解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，才能有效的保证企业网络的稳定运行。5）现代大型企业网络应具备更智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需要；当前的网络已经发展成为“以应用为中心”的信息基础平台，网络管理能力的要求已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如，网络调试期间最消耗人力与物力的线缆故障定位工作，网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作，由于受网络设备功能本身的限制，都还属于费时、费力，有时甚至是不可能的任务，所以现代的大型企业网络迫切需要网络设备具备支撑“以应用为中心”的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来第4章 、方案设计原则本方案的设计将在追求性能优越、经济实用的前提下，本着严谨、慎重的态度，从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计，力图使该系统真正成为符合该中学的网络系统。从技术措施角度来讲，在网络的设计和实现中，本方案严格遵守了以下原则：4.1 实用性和集成性系统的软硬件设计、还是集成，均以适用为第一宗旨，在系统充分适应企业信息化的需求的基础上进而再来考虑其他的性能。该系统所包含的内容很多，必须能将各种先进的软硬件设备有效地集成在一起，使系统的各个组成部分能充分发挥作用，协调一致的进行高效工作。4.2 标准性和开往性只有支持标准性和开放性的系统，才能支持与其它开放型系统一起协同工作，在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准，以便能和不同厂家的开放性产品在同一网络中同时共存。通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。4.3 先进性和安全性系统所有的组成要素均应充分地考虑其先进性。不能一味地追求实用而忽略先进，只有将当今最先进的技术和我们的实际应用要求紧密结合，才能获得最大的系统性能和效益。网络的安全是事关重要的，在某些情况下，宁可牺牲系统的部分功能也必须保证系统的安全。4.4 成熟性和高可靠性作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。网络硬件体系结构在实际应用中能经过较长时间的考验，在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案，并通到较多的第三方开发商和用户在全球的广泛支持和使用。同时，应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品，以适应系统未来的发展需要。可靠性也是衡量一个计算机应用系统的重要标准之一。在确保系统网络环境中单独设备稳定、可靠运行的前提下，还需要考虑网络整体的容错能力、安全性及稳定性，使系统出现问题和故障时能迅速地修复。因此需要采取一定的预防措施，如对关键应用的主干设备考虑有适当的冗余。应急处理信息系统能够全天候工作，达到每周7*24小时工作的要求。一个高可用性的系统才能使用户的投资真正得到回报。4.5 可维护性和可管理性整个信息网络系统中的互连设备，应是使用方便、操作简单易学，并便于维护。对复杂和庞大的网络，要求有强有力的网络管理手段，以便合理的管理网络资源，监视网络状态及控制网络的运行，因此，网络所选的网络设备应支持多种协议，管理员能方便进行网络管理、维护甚至修复。在设计和实现时，必须充分考虑整个系统的便于维护性，以使系统万一发生故障时能提供有效手段及时进行恢复，尽量减少损失。第5章 ：方案设计 销售部市场部技术部财务部人事部远程分支机构人事部财务部销售部市场部技术部R1sw2sw3sw4sw5sw1sw1图 51方案设计拓朴图设备清单：序号设备型号描述数量1WS-C2950G-48-EI快速以太网交换机，交换方式:存储-转发；背板带宽（Gbps）:13.6；端口数:48；模块化插槽数:2 522621XM模块化路由器，可选广域接口WIC卡；固定局域网接口:10/100Base-T/TX 2个；支持扩展模块插槽数:3；支持VPN；内置防火墙13RJ45-RJ45交叉跳线1.5米，非屏蔽44RJ45-RJ45直连跳线1.5米，非屏蔽1另外：硬件扩展如果人员有增加，可以增加相同类型的2950系列交换机如果分支机构的数量增加，可以考虑在路由器上增加扩展模块，扩展模块的型号根据连接线路的类型确定如果路由器与交换机之间的连接称为网络的瓶颈，可以考虑更换为3层交换机 IP地址扩展目前各部门分配的网段都有比较大的剩余地址空间，具有较好的可扩展性第6章 ：方案特点本方案很好地解决了用户要求的四个问题，即带宽问题、安全问题、管理计费问题、灵活扩展问题。6.1 带宽问题：使用万兆互连双核心结构，使网络核心设备不但可以互相备份，而且有效的减轻流量负荷，使设备时刻保持稳定和高效。6.2 安全问题：校园网核心层、汇聚层、楼层汇聚层所使用的产品全部具有网络病毒和攻击的防护能力，并且防DOS/DDOS攻击，因而可以在不同的环境中做到安全防护，足以应对突发事件，保持网络稳定、通畅。6.3 管理计费问题： 统一认证，针对校园网开放式的信息点造成的安全隐患，全网接入采用统一认证技术（可以进行账号、IP，MAC、LAVN ID、交换机IP和交换机端口六要素灵活捆绑），保证了只有合法授权的用户才能使用网络或外部网络，而且还能对网络的使用情况进行审计。灵活扩展问题：核心层使用的路由交换机DCRS-7508有良好的扩展性，可以为将来的网络实现轻松扩展。第7章 ： 实施方案设计7.1 实施方案内容项目概述网络建设目标网络拓朴结构IP地址规划设备清单与端口地址规划设备安装与调试阶段技术细节工程测试与验收项目管理与项目进度安排7.2 v 不等分IP地址的子网划分192.168.11.0/25192.168.11.128/27192.168.11.160/27192.168.11.192/27192.168.11.192/27图 71 IP子网划分注释：全部的地址空间是192.168.10.0/24和192.168.11.0/24。 远程分支机构的IP地址是192.168.20.0/24。部门地址空间所属VLAN总经理副总经理192.168.11.162/27192.168.11.163/27VLAN 50名称：financial销售部192.168.10.0/25VLAN 10名称：sales市场部192.168.10.128/25VLAN 20名称：marketing部门地址空间所属VLAN技术支持部192.168.11.0/25VLAN 30名称：technic人事行政部192.168.11.128/27VLAN 40名称：HR财务部192.168.11.160/27VLAN 50名称：financial路由器接口地址空间用途路由器对外接口地址192.168.20.1/30Fa0/1路由器内部接口地址192.168.10.1/25192.168.10.129/25192.168.11.1/25192.168.11.129/27192.168.11.161/27Fa 0/0.1 VLAN 10网关Fa 0/0.2 VLAN 20网关Fa 0/0.3 VLAN 30网关Fa 0/0.4 VLAN 40网关Fa 0/0.5 VLAN 50网关第8章 ：测试步骤及测试文档接口规划：设备名称接口用途接口类型R1Fastethernet 0/0Fastethernet 0/1连接Sw1连接远程分支机构Trunk接口路由接口Sw1Fastethernet 0/1Fastethernet 0/2Fastethernet 0/3Fastethernet 0/4Fastethernet 0/5Fastethernet 0/6Fastethernet 0/7Fastethernet 0/1130 Fastethernet 0/3145连接R1连接Sw2连接Sw3连接Sw4连接Sw5连接总经理PC连接副总经理PC连接用户PC连接用户PCTrunk接口Trunk接口Trunk接口Trunk接口Trunk接口Access接口，Vlan50Access接口，Vlan50Access接口，Vlan10Access接口，Vlan20设备名称接口用途接口类型SW2Fastethernet 0/1Fastethernet 0/640Fastethernet 0/4148连接SW1连接用户PC连接用户PCTrunk接口Access接口，Vlan10Access接口，Vlan20SW3Fastethernet 0/1Fastethernet 0/610Fastethernet 0/1147连接SW1连接用户PC连接用户PCTrunk接口Access接口，Vlan10Access接口，Vlan20SW4Fastethernet 0/1Fastethernet 0/635Fastethernet 0/3645连接SW1连接用户PC连接用户PCTrunk接口Access接口，Vlan30Access接口，Vlan40SW5Fastethernet 0/1Fastethernet 0/635Fastethernet 0/3645连接SW1连接用户PC连接用户PCTrunk接口Access接口，Vlan30Access接口