网络项目规划.docx

一天时公司网络设计方案1.1 网络设计需求天时公司需要1万个信息点，公司业务对网络依赖性强，总部位于深圳，有1栋办公大厦共10层，一栋后勤大厦共5层，一栋会议中心共5层；分别在上海、通州、青岛设有分公司，各有一栋楼宇。网络中心位于总公司办公楼2楼，楼层间是用超五类双绞线连接到每栋楼的接入层交换机，然后再使用超五类双绞线连接到汇聚层交换机，楼层间需要百兆线连接。1.2总体方案设计策略 为了实现以上网络设计原则，使旭日集团园区网络具有良好的 扩展性能力和灵活的便于管理，易于维护，在网络设计上采用了以下策略。 天时总公司的局域网规划使用Vlan、VTP、STP等交换技术，提高网络的稳定性和可靠性 3部分网络互联要求使用收敛速度快、效率高的动态路由协议，保证总公司和分公司网络之间的可达性和稳定性 出于安全的考虑，通州分公司的员工只允许访问总公司的服务器，而不能直接访问总公司员工其他分公司员工的计算机1.3天时集团园区结构示意图 1.4网络设备选型1.4.1选型原则 为了和原有设备保持最好的兼容性，依然选用Cisco设备 所有的硬件设备符合国家有关标准和规定，符合国家相关产品质量标准、安全和电磁学规范 具体设备型号 安全设备选型 n 总公司采用Cisco ASA5540 n 上海、青岛分公司采用Cisco ASA5510 交换设备选型 n 北京总公司核心层设备选用Cisco 4506l 原核心设备Cisco 4503 给上海分公司使用n 汇集层位Cisco 3560，接入层为Cisco 2960 路由设备选型 n 北京总公司采用Cisco 3825 n 分公司和分销网点统一购买Cisco 2811 1.5主干网络技术选型 总公司，通州分公司和昌平分销点，房山分销点4部分网络组成一个统一的企业内联网，使用总公司单一出口访问因特网，公司的服务器等全部在总公司实现 总公司，通州分公司和昌平分销点，房山分销点4部分网络通过路由器互联，使用OSPF，各分公司通过ISP的E1链路连接到总公司 统一使用单一因特网出口，即为总公司出口，使用1条千兆的以太网宽带接入链路 出口部署1台防火墙以保障内网安全 两台核心交换机采用三层交换机，实现Vlan之间的路由，同时使用HSRP进行备份 总公司的内部单独划出一个Vlan作为服务器的区块，放置系统中所有的服务器1.6路由交换部分的设计此次网络改造，为了天时集团网络能够高效、稳定地运行，便于管理与维护，所以对各个分公司的局域网交换技术的相关方面进行了规划设计，包括 VLAN、 VTP、 STP、 Trunk、三层交换等。 VLAN将广播限制在单个VLAN内部，较少了各VLAN间主机的广播通信对其它VLAN的影响。在 VLAN 间需要通信的时候，可以利用三层交换技术实现。 当网络管理员需要管理的交换机数量较多时，可以使用 VLAN 中继协议（VTP）简化管理，它只需在单独一台交换机上定义所有 VLAN，然后通过 VTP协议将 VLAN 的定义传播到本管理域中的所有交换机上，这样，大大减少了网络管理员的工作负担和工作强度。 当网络内交换机数量增多或交换机链路增加时，都有可能因交换网络的复杂性提高而造成交换环路，或者为了提高网络冗余度而有意设置了交换环路，这就需要通过在各个交换机上运行生成树协议（STP）来解决。 OSPF路由规划 对于企业内联网的路由器而言，可以使用一系列路由协议。选择路由器时需同时考虑网络设计和路由协议的选择。最常见的标准路由协议是RIP和OSPF，但 RIP并不适合大型网络。考虑到深蓝集团内联网未来扩展的要求，我们将采用OSPF协议作为网络的路由协议。 OSPF路由协议是业界标准的网络协议，许多厂商的网络设备都支持它，因此它受到了广泛的应用。OSPF 路由协议能够快速收敛，支持无类路由（Classless）和变长子网掩码（VLSM），可划分区域，适合运行在大中型网络中。 设计方案从OSPF区域、指定路由器、路由器 ID 等方面进行了规划。 OSPF 区域规划：为了解决最短路由优先（SPF）算法的频繁计算、路由表过大、链路状态数据库过大的问题，OSPF将大型网络分成多个区域。划分区域具有以下优点： 减少OSPF路由协议的LSA泛洪，减少链路带宽的占用。 降低SPF计算频率，减少路由器的资源消耗。 具有更小的路由表。 降低链路状态更新的负荷。 提高网络的稳定性。 天时集团的内联网 OSPF路由协议将采用多区域的方式。天时集团OSPF区域划分的原则如下： 1）Area100为总公司内部网络，其配置为完全末梢区域。这应可以优化OSPF的链路状态信息。 2）Area0为核心交换机和内网网关路由器之间 3）Area1为北京地区个分公司到内网网关路由器；为NSSA区域，主要到通州分公司网络管理员技术水平较差，如果配置成Stub区域，需要将通知网管路由器和三层交换机添加到OSPF区域1中。由于通州分公司网段划分较多，并且网络管理员一旦出现误操作将导致Area1的不稳定。除此之外，当通州分公司网络出现故障时，可能造成OSPF Area1的不稳定。所以将Area1配置为NSSA区域，并重分发通州分公司网段静态路由，将通州分公司网络的不稳定性排除在OSPF区域以外。 4）由于访问互联网需要将数据转发到防火墙，而防火墙又没有启用OSPF所以需要在核心交换机上配置默认路由指向防火墙，同时将默认路由重发布到OSPF中。 5）在ABR上配置路由汇总，然后为了避免不必要的流量占用带宽，需要配置黑洞路由。 6）管理地址配置成为Router ID。1) V LAN设计规范天时集团内的局域网进行VLAN划分，可以减少网络内的广播数据包，提高网络运行效率；可以区分不同的应用和用户，方便集团的管理与维护。VLAN用途如表1VLAN划分用途表地点VLANVLAN名称VLAN内容全部VLAN1Default管理VLAN总公司VLAN2SZ-CW财务部VLAN3SZ-YW业务部VLAN4SZ-HQ后勤大楼VLAN5SZ-HY会议中心VLAN127SZ-Srv服务器通州分公司VLAN128TZ-all通州全部部门青岛分公司VLAN129QD-all青岛全部部门上海分公司VLAN130SH-all上海全部部门2) IP地址分配方案IP地址分配表：具体的地址分配表如下图：机构地址空间用途10. 0.0.0/16总部全部地址空间10.10.0.0/29总部网管类全部地址10.20.0.0/27总部互联类全部地址10.30.0.0/27总部应用类1财务部工作人员地址空间10.40.0.0/21总部应用类1业务部工作人员地址空间10.50.0.0/21总部应用类1后勤大楼地址空间10.60.0.0/22总部应用类1会议中心地址空间10.70.0.0/29总部应用类1服务器地址空间3) 生成树（STP/RSTP/MSTP） 生成树协议主要用来建立和维护局域网的拓扑，消除循环连接导致的网络广播风暴，并且提供网络的拓扑的冗余备份功能，平时作为备份的路径被阻塞，当主用路径网络设备出现故障时，能够及时调整端口状态，调整网络拓扑。 4) 双机热备(HSRP) HSRP是CISCO公司是所特有的。HSRP向主机提供了缺省网关的冗余性，减少了主机维护路由表的任务。当网络边缘设备或接入电路出现故障时，HSRP提供了一个较好的解决方案，它能够确保用户通信迅速并透明地恢复，以此为IP网络提供冗余性、容错和增强的路由选择功能。通过使用热备份路由份协议（HSRP），可使网络对最终用户的可用性得到充分的保证。另外，通过多个热备份组，路由器可以提供冗余备份，并在不同的IP子网上实现负载分担。天时集团园区网的IP地址规范中规定：网关的地址统一使用子网的最后一个可用地址。启用HSRP协议之后，这个地址就是HSRP的虚拟地址。在成对的两台汇聚层多层交换机上，具体的HSRP配置规范如下：1 接口的IP地址：在第一台多层交换机上，某个VLAN虚拟接口的IP地址是子网的最后第三个可用地址，在第二台多层交换机上，某个VLAN虚拟接口的IP地址是子网的最后第二个可用地址。2热备份组号：热备份组号与接口的VLAN号相同。3热备份地址：热备份地址是子网的最后一个可用地址。4热备份优先级：在主用的多层交换机了，某个VLAN虚拟接口的热备份优先级是120。并且主用的汇聚层交换机配置占先权。5) VPNCisco4506系列以太网路由交换机支持VPN,VPN（虚拟专网）是利用公共网络资源(如公用电信网)为客户组建专用网的一种技术，它通过对网络数据进行封包和加密传输，在公网上传输私有数据，达到私有网络的安全级别，从而利用公网构筑专网（即VPN）。它是一种逻辑上的专用网络，向用户提供专用网络所具有的功能，但本身却不是一个独立的物理网络。6) NAT7) QoSQoS（Quality of Service）服务质量，是网络的一种安全机制， 是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS 能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。 使用QoS技术保证财务和视频会议流量 p 财务数据流量：占用带宽较小，预留0.2Mb/s带宽 p 视频会议流量：分销点到总公司两台路由器的两路上都需要预留2Mb/s带宽 8) ACL 设计 即使已经在因特网的出口部署了防火墙，出于安全性因素考虑，我们也需要使用访问控制列表（Access Control List，ACL）在路由器上对天时集团的网络内部、内外网之间的流量进行一些常规的控制，提供第二层的安全防护。因为在网络环境中普遍存在着一些非常重要的、影响服务器群的安全隐患，因此在绝大多数万路过环境的实现中它们都是对外屏蔽的。 下面我们将对于在路由器上如果设计 ACL进行讨论。 1、天时集团深圳总部路由器 ACL设置 深圳总部的路由器是整个网络的出口路由器，它的作用主要是在因特网和公司内网之间路由数据包。除了完成主要的路由任务外，出口路由器还可以利用访问控制列表来完成以自身为中心的流量控制和过滤功能，并实现一定的安全功能。 （1）对外屏蔽简单网络管理协议 SNMP 利用这个协议，远程主机可以监视、控制网络上的其它网络设备。配置 ACL 时应将它的两种服务类型 SNMP和SNMPTRAP都对外屏蔽。 （2）、对外屏蔽远程登录协议 Telnet 这里主要针对以外网发起的对内网设备的 Telnet连接，这是不允许的。 首先，Telnet是一种不安全的协议类型。用户在使用 Telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。其次，Telnet可以登录到大多数网络设备和 UNIX 服务器，并可以使用相关命令完成操作它们，这是及其危险的，因此必须加以屏蔽。 1.7网络安全设计一个网络的安全，首先要有严格和有效执行的管理制度，其次必须具有一定的技术手段来保障网络的安全。技术和管理手段相结合实施，才能够产生良好的效果。 天时集团的网络改建项目从建设初期就对网络的安全性给予足够的重视了，而后期的管理更是网络安全运行的保障，所以天时集团的网络项目在以下几个方面必须进天时集团新建大楼网络设计方案。 n 网络建设方案：包括网络技术体制、网络拓扑结构、设备配置、IP 地址和域名分配方案等相关技术文档。 n 机房管理制度：包括对网络机房实行分域控制，保护重点网络设备和服务器的物理安全。如果设备在物理上是不安全的（例如，想执行破坏性操作的人员可以直接接触到设备），那么这些设备将毫无安全可言。 n 各类人员职责分工：根据职责分离和多人负责的原则划分部门和人员职责，包括对领导者、网络管理员、安全保密员和网络用户的职责进行分工。 n 安全保密规定：制定颁布本公司计算机网络安全保密管理规定。 n 安全策略文档：建立防火墙和防病毒系统等安全设备的安全配置和升级策略以及策略修改登记。 n 口令管理制度：严格制定网络设备、安全设备、应用系统以及个人