乳制品公司网络规划.doc

专科生毕业设计 XX乳制品公司网络规划院 系 软件职业技术学院 专 业 计算机网络技术 班 级 09级 一班 学 号 1601090133 学 生 姓 名 陈启源 联 系 方 式 指 导 教 师鲁杰 职称： 讲师 2011年5月独 创 性 声 明注：所交的毕业论文（设计）是在指导老师指导下研究的成果。与本研究成果相关的所有人所做出的任何结果已在毕业论文（设计）中作了明确的说明和注释。签名： 年月日授权声明本人已了解许昌学院有关保留、使用专科生毕业论文（设计）的规定，即：有权保留并向国家有关部门或机构送交毕业论文（设计）的复印件和磁盘，允许毕业论文（设计）被查阅和借阅。本人授权许昌学院可以将毕业论文（设计）的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编论文（设计）。本人论文（设计）中有原创性数据需要保密的部分为：。 签名： 年月日指导教师签名： 年月日摘 要本项目方案主要完成对XX乳制品公司内部网络的构建。介绍了XX乳制品公司的内部的组网，所要完成的是组网的整个过程。重点的说明了设计思想、难点技术和解决方案。1引言说明了网络建设的目标。2简明介绍了旭日服装设计有限公司的需求，及主体设计方案。3组网拓扑图关键字：安全，稳定，扩展性 16目 录豆豆网络公司简介3引 言3第一章 项目需求分析41.1.项目背景41.2.需求分析4第二章 网络总体建设目标62.1.网络建设目标62.2.网络及系统建设内容及要求72.3.网络设计原则8第三章 网络总体设计93.1.网络总体拓扑图93.2 网络层次化设计103.3 核心层设计113.4 接入层设计123.5 内联接入12第四章 路由设计124.1 路由协议选择124.2 路由规划拓扑图134.3 IP地址规划13第五章 网络安全解决方案155.1 网络边界安全威胁分析155.2 网络内部安全威胁分析155.3 管理的安全威胁分析165.4 安全产品选型原则165.5 网络常用技术介绍17第六章 产品简介206.1 PIX 525防火墙206.2 Cisco XR 12000 和12406系列路由器206.3 Cisco Catalyst 3560 系列集成交换机216.4 Cisco Catalyst 2960 系列集成交换机226.5 ISA防火墙226.6 操作系统236.7 网管软件选择24第七章 设备清单及报价24第八章 项目实施方案258.1 项目组织结构258.2 项目实施前的准备工作258.3 安装前的场地准备268.4 核心及各网点的安装调试27第九章 网络测试279.1 网络测试目的279.2 测试文档28第十章 网络设备基本配置3010.1.网络描述3010.2.设备基本配置30第十一章 网络设备的技术实施方案3311.1 trunk配置3311.2 VTP配置3411.3 VLAN配置3611.4 STP配置3611.5 HSRP配置3711.6 OSPF配置3811.7 NAT配置3811.8 VPN配置3911.9 轮训配置4211.10 PPP配置43第十二章 项目测试4412.1查看物理连结、工作环境、网络设备工作是否合格4412.2 VLAN的测试4612.3 trunk的测试4612.4 STP生成树测试4612.5 HSRP的测试4712.6路由的测试4812.7DNS测试4812.8DHCP测试4912.9MAIL测试4912.10 WEB测试5212.11 FTP测试5212.12 AD测试5312.12文件备份测试5312.13 VPN测试54售后服务55结 束 语56参 考 文 献56致 谢57豆豆网络公司简介豆豆网络公司成立于1999年，注册资本500万元。作为国内领先的联网和安全性解决方案供应商，十余年来一直致力于为广大企业建立安全、高效的网络。提供企业所需的安全性和高性能来支持企业的发展。 引 言21世纪是信息产业的时代，全球信息电子化的潮流势不可挡，是知识经济的时代，人们所要求的信息量也就会越来越大，计算机被广泛应用于商业、企业、政府部门、学校、家庭，给经济和社会生活带来深刻的变革。随着信息技术和互联网的发展，信息化已经渗透到人类社会的方方面面，并逐步改变着人们的工作、学习和生活方式。随着计算机技术的迅猛发展，信息化浪潮、网络革命不断冲击着社会的发展，人们逐渐意识到信息的重要意义。在这种背景下，传统的生活和工作模式正在受到重大的挑战，人们已开始利用网络和计算机学习和工作。做为一个始终站在时代前沿的服装行业，只有作出新选择、不断学习、不断适应才能让公司发展的更快、更好。作为乳制品的领头企业，XX公司始终走在最前沿。2011年，XX公司决定重新构建内部网络，以实现与其他代理商、顾客、本公司工作人员等众多人的信息交流。第一章 项目需求分析1.1. 项目背景XX乳制品公司总部位于内蒙古，注册资金100万元。成立数年间，迅速成为国内乳制品行业的领军企业随着公司业务的发展，国际化的需要，公司深刻的认识到信息化的重要性，然而因当前集团网络的缺陷、设备的陈旧以及某些技术上的问题，造成公司出现网络不稳定，网络拥堵、信息交流失败、数据安全等一系列问题，给企业带来不必要的损失。当前的网络状况已经不能满足高速发展的经济需求，因此蒙牛集团准备建立一个设计规范、功能完备、性能优良、安全可靠、有良好的扩展性和可用性，可管理易维护的现代化内部网络。实现信息的共享和通讯，与子公司及时建立联系，从而建立起一个信息化、快节奏、高效率的管理模式。以高效率，高效益，高速度，低成本的方式提高公司业务。 以下是贵公司目前面临的问题：1、网络规模的扩大使通讯变得复杂起来，服务器和客户端机器的数量增加，直接导致数据访问方式的复杂性。2、不同的网段划分方式，引起不同网段之间不能很好的建立联系。3、网段之间的通讯具有不同的解决方式，如何使这些不同的解决方式具有很好的兼容性成为一个刻不容缓的问题。4、网络的安全性不好，时常出现信息泄露、网络被攻击的现象。5、原来的网络设计没有比较好的延展性和可预见性的技术，导致企业现有网络不能满足企业发展的需要。6、网络不稳定，导致数据传输容易出错。7、原网络系统，局域网只是通过因特网进行互联，不能适应企业发展的需要且安全性不高。本期工程项目完成后，网络平台总部内有大型服务器提供服务，外接分支机构网络平台的设计用户节点数总部为1000或更多用户，分公司为10-50个用户、少量的外出工作人员等人。要能够实现公司内大型服务器高效、稳定的运行，同时能够实现公司员工能够方便、快捷的登录公司内部网站以及Internet。 1.2. 需求分析 满足公司信息化的要求,为各类应用系统提供方便、快捷的信息通路；具有良好的性能，能够支持实时性的数据传输；能够可靠运行，具有较低的故障率和维护要求。提供网络安全机制，满足公司信息安全的要求，具有较高的性价比，未来升级扩展容易，保护用户投资；同时要保证用户使用简单、维护容易，为用户提供良好的售后服务。本项目的网络可以划分总部和分部以及外出移动的工作人员三部分构成。总部地点分为数据中心、核心交换区、服务器和普通员工接入等。数据中心作为工厂生产运营系统（如ERP系统，人事考勤系统，财务计量系统等等）的核心数据的存放地，其性能、稳定性、安全性、可靠性的要求极高，在这里我们建议将其放在中心机房（中心机房室内的温度、空气湿度、安全防护设施等各项性能指标都要达到标准中心机房的性能指标）、使用性能较好的思科交换机同时做二层和三层的冗余备份、传输介质建议使用千兆以太网甚至光纤，同时使用与之相匹配的网络防火墙；我们在进行网络设计不仅要能够保证其安全性的，同时还保证网络的性能以及网络运行的可靠性，而核心交换区的功能是高速可靠地交换数据，因此该部分的设计应考虑性能和可用性的平衡。作为外联单位接入区域，其安全性应该是放在第一位，同时，生产运营系统的运行离不开网络和数据中心的连接，适当性的冗余是必须的技术。分部地点办公网络做为内部互联单位，可信度较高，因此其内部网络的可用性是首要考虑因素。为了能够使外出的工作人员能够安全的、廉价的访问公司内部服务器实现跨Internet办公，显然VPN使最佳选择。对于外部的接入，我们建议通过easy VPN进行拨号接入，以实现廉价、安全的数据通信。当前业界的网络管理范畴较广，包括设备管理、资源管理、故障管理、性能管理、安全管理等等。在网络规模相对较大的时候，合适的网管系统可以帮助客户方便管理网络内的设备及运行情况，提高网络的运行效率。对于各部门之间来说，其之间网络的安全性、减少广播域的泛洪等都是不得不考虑的问题；对于公司内各部门对网络的依存程度不同，我们要保证网络中对网络依靠程度较高部门的数据优先、快速的进行数据转发；对于公司的服务器，由于客户以及内部员工都需要访问公司的网络服务器，因此网络服务器（如web网站、main网站）的运行速度、性能的稳定性，都是必须考虑的问题，再这里我们建议通过光纤或千兆以太网接入来保证网络的运行速度（同时选用较好的服务器），同时接入UPS保证网络供电的稳定性以及断电时服务器数据的正常保存等其它作业；对于网络的安全性我们建议选用硬件防火墙进行内部网络的安全防护护；对于公司的存储服务器上的数据我们要用更安全的手段进行数据保护，防止内部数据的外泄。对于服务器的接入，为防止其他工作人员的错误操作影响网络的正常运行，我们建议通过端口安全、网络设备的特权密码设置、服务器上安装软防火墙等方式进行安全维护；为实现廉价的网络构建成本，我们将通过NAT技术尽可能多的节约公网ip地址数量。为便于未来网络的管理、维护，我们建议开启CDP、telnet等诸多协议便于网络管理员对网络的管理；为是便于未来网络的扩展，我们建议中心网络设备再考虑性价比的同时还要考虑其冗余性；对于后期的网络管理员培训我们尽量会使用图形化配置（如SDM、cisco works、CAN等），以减少贵公司的网络管理员学习难度等。在服务器vlan中有windows2003平台以及linux平台，搭建有dhcp服务器，有dns服务器实现域名解析，有www服务器，实现局域网络内部的信息服务，要求使用集群技术和raid-5技术以及ftp服务器，实现文档的上传和下载，要求采用配额。对于网络设备的管理我们建议将重要设备放入中心机房，这样便于网络设备的统一管理、给予合理的运行环境。公司的资源是公司的重要财富，我们将通过防火墙配置严格限制外部人员对公司重要服务器的访问、同时我们会让计算机在网络运行过程中做好每天的数据备份工作。第二章 网络总体建设目标2.1 .网络建设目标 以先进、成熟的网络应用技术，设计和规划网络系统；采用先进的计算机、网络设备和软件，以及先进的系统集成技术，构建一个高效的办公网络。从实际出发，正确地规划和设计的计算机网络。为企业实现数据共享、资源共享，提供稳定的信息交换和网络系统服务平台。公司在其他外地派驻的办事处能够将信息及时准确的反馈给总公司。此项系统网络项目工程的建设目标主要包括以下方面：1. 建立统一、共享、规范，可满足企业未来管理和业务发展要求的全公司信息系统总体架构，以满足系统资源和信息资源整合的需要。2. 实现网络方式的业务流程化管理。保障企业业务实现网络化、流程化，将人为因素对业务生产的影响减少到最低，各个部门功能单一化，责任明确，清晰，促进流程的科学化和规范化。3. 建立企业统一的安全管理平台，保证企业信息和数据的安全，生产和日常业务的正常运行。4按照“高效能、低成本”的要求，采用核心交换层、接入层的两层网络结构，这样易于维护，且具有较高的性价比。5要求计算机网络系统满足系统集成的网络平台需求，并考虑对设备投资保护，保证未来15-20年内的系统扩展。6. 要对员工用户安全、帐户管理、用户权限管理、网络访问控制等，并提供完善的日志功能。总的来说，新网络建设目标就是按照“高效能、低成本”的要求，组建一个高效、稳定、可靠、易管理、安全型的企业网络。2.2 .网络及系统建设内容及要求 根据公司中心机房的网络情况，我们把整个网络分为内部交换网络设计、网络出口设计，网络安全设计几大部分。对于内部交换网络我们采用分层设计。内部交换网络分成核心层和接入层两大部分。公司数据中心网络平台承载着公司所有的关键核心业务，设计时，保证中心机房网络的高可用性和稳定性至关重要，故设计时中心路由交换机建议采用双机热备（HSRP），各分支交换机两条上联千兆线路分别上连到两台中心路由交换机上，构成全路由交换的网络；借助于跨骨干的VLAN 技术，使得对于网络内有关Server 的访问变得更加安全有效。 对于总公司与分公司（两者之间的距离较近）之间的通信我们采用专用的线路（使用广域网连接的PPP协议）进行数据通信。这样，不仅能够满足分公司大量数据的快速传输，同时还能够保证数据的安全性。 对于外部用户的拨入，我们通过easy VPN进行。easy VPN是通过Internet建立的一种临时的、安全的网络链接，是外出移动工作人员远程拨入公司内部的最佳选择。 对于边界网络接入网络（与合作伙伴、分支机构以及Internet 接入通称为边界网络），网络的安全性将是一个需要考虑的非常重要的因素。所以确保在网络的边界处部署相应的安全策略以防止黑客和各种恶意代码的攻击至关重要，同时边界处的设备的冗余设计也是设计考虑的一个重要因素，防止单点故障。对于服务器，采用RID5磁盘阵列，数据除第一次用完全备份后，以后每天做增量备份，备份的的服务器或设备单独放置其他全安地点。 此次网络建设将采用先进的计算机、网络设备和软件，以及先进的系统集成技术和管理模式，实现一个高效的办公网络体系。我们保证：所有硬件必须是稳定、高效的产品，而且在质量和性能上能提供可靠证明，集成商所提供的硬件设备应符合国建有关标准及规定、系统采用TIA/EIA568A和568B以及其它相关布线标准实施、所有员工均能连到互联网上、IP地址规划要合理其次要满足未来发展的需要、网络技术采用高宽带、高速度且简单成熟的以太网交换技术、为了满足设备的兼容性，路由交换应该采用相同的设备。网络中的各类服务器设备和网络设备以及各种操作系统和应用软件必须考虑技术上的先进性，国内外及各行业的通用性，并且要有良好的市场形象与售后技术支持，便于维护和升级。2.3.网络设计原则 网络设计应该遵循开放性和标准化原则、实用性与先进性兼顾原则、可用性原则、高性能原则、经济性原则、可靠性原则、安全第一原则、适度的可扩展性原则、充分利用现有资源原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS保证等。 作为一家优秀的系统集成商，向用户提供的不仅仅是设备，而是整套的技术与服务。在方案设计时，我们将严格遵循以下设计原则：1：可用性 构建一个网络，可用性是最基本的网络设计目标。由于本网络对数据的安全性要求较高，因此在网络的总体设计时重点要考虑的是网络本身的安全性以及设备自身的安全性。2：高可靠性 网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的备份策略和快速恢复策略，保证网络和系统具有故障自愈的能力，最大限度地支持各个系统的正常运行。3：安全性 在当今这样社会是一个信息社会的时代，信息的安全性将这接影响到企业的综合效益。因此网络的建设中安全性显的尤为重要。因此，整个网络必须保证万无一失的安全性，并对各个部门的信息要有严格分离保护的办法，防止网络黑客非法入侵。网络系统应配备全面的病毒防治和安全保护功能。4：易操作以管理性 在保证网络各方面性能的同时，也要注意网络管理的易操作以管理性。网络布线的设计要求便于管理和维护，当某条链路出现故障时，必须保证可以在主设备间或配线间内重新配置。对于常用网络设备的管理要尽量做到使用图形界面进行管理，这样便于操作。5：可扩展性 对于企业来说，发展迅速具有不可预料的特点。因此，要保证网络具有较好的可扩张性。它包括IP地址的可扩展性物理链路的可扩展性。6：冗余性 在网络的规划是要考虑具有适当的冗余度。软硬件设备都应具有一定的冗余性，以提高网络的运行效率（主要是总公司）。7：容错性 不能因某台设备的故障而影响到整个主干网络的正常运行；尽量做到任意一条链路的中断不能使得主干网络的任何部分中断工作。第3章 网络总体设计3.1.网络总体拓扑图整体网络可以根据功能划分为总部核心网络、接入层网络、内联接入包括办公网络、数据中心、分公司接入等，各区域相对独立，通过核心网络进行数据的交互。各区域还可以各自建立自己的交换网络、路由接入、网络安全体系，可以有独立的安全策略、数据流量控制等个体的特性，而需要和其他区域的设备进行通讯的时候，则必须遵守核心网络区的策略。在防火墙和dmz区之间，我公司使用的是多服务双线接入的方式保证服务器正常被访问。 考虑到总公司的实际需求，因此在进行网络设计是不仅要考虑二成的冗余，同时还要进行三层的冗余。在二层冗余建议使用思科的私有协议每VLAN生成树协议，是网络不会因为广播BPDU帧而受影响，而且还可以充分利用现有的网络资源，防止单台核心设备的负载太重而导致的网络性能问题。同时使用Cisco 私有热备份路由协议技术（HSRP）。HSRP是思科的私有协议，它的优点是网络的收敛速度快，能够更好的使用网络变化，它可以根据需求配置成多组HSRP，实现网络的冗余容错等功能，这样设计不但保证网络的高可用性和稳定性，还能够充分利用现有设备的资源，以避免单台核心设备的负载太重而导致的网络性能问题。由于公司的MAIL、DNS服务器都很少进行配置的更改，我们建议使用高端、稳定、具有良好安全性的LINUX操作系统；对于FILE、FTP、WEB作为公司中需要不断的进行性能改善与配置更改得设备，我们建议使用易操作、以管理的window操作系统。对于AD的选择，由于要不断的进行策略的更改下发、加上LINUX系统域服务远不如WINDOW，我们建议使用window操作系统，这样便于网络管理员进行操作。由于公司有大量的顾客以及公司员工要访问公司web服务器，我们将通过在核心路由器上配置轮训，以实现web服务器的负载均衡。 由于分公司也连接internet，那么内部网络安全问题仍然不能忽视。分公司人员只有40-50人，那么访问internet占用的流量不多我们建议使用ISA来做分公司的网络防火墙。这样虽说能够承载的网络流量不如硬件防火墙，但能够满足分公司的现在以及未来的网络需求。 对于外出的工作人员，他需要了解公司的相关情况，我们建议通过使用廉价、方便、快捷的easy VPN实现外出用户的远程拨入，同时这样还能为公司工作人员实现家庭办公提供有利的条件。 由于总公司与分公司相距较近，且两公司之间有大量的实时数据进行传递，同时从安全的角度进行考虑，总公司与分公司之间使用专线连接（协议选择PPP协议）是最佳选择。为保证网路的冗余性如果专线出现问题，我们建议分公司通过IPSEC VPN实现与总公司的网络链接。 如上图所示，整体网络可以根据功能划分为总部核心网络、内联接入包括办公网络、数据中心、分公司接入等，各区域相对独立，通过核心网络进行数据的交互。各区域可以各自建立交换网络、路由接入、网络安全体系，可以有独立的安全策略、数据流量控制等个体的特性，而需要和其他区域的设备进行通讯的时候，则必须遵守核心网络区的策略。 作为总公司，需要向分公司及总公司内的员工进行软件的安全，策略的发布等。如果通过管理员手动设置的方式进行相关操作，很不现实，通过域模型可以很方便的解决这个问题。因此我们建议在总公司设立一台域控制器，以便于对公司员工的计算机进行统一的管理。 由于公司员工不仅要上公司内部网络，同时还要能够进Internet网络，而公司内部有自己的DNS服务器，显然使用DNS转发器是一种方便快捷的技术。3.2 网络层次化设计 随着网络技术的迅速发展和网上应用量的增长，分布式的网络服务和交换已经移至用户级，由此形成了一个新的、更适应现代的高速大型网络的分层设计模型。这种分级方法被称为“多层设计”。多层设计有以下一些好处：1：多层设计有很好的容错功能.2：多层设计是模块化的，网络容量可随着日后网络节点的增加而不断增大。3：多层网络有很大的确定性，因此在运行和扩展过程中进行故障查找和排除非常简单。4：多层网络系统设计最有效地利用多种第3 层业务，包括分段负载分担和故障恢复等。5：多层网络中运用智能第3 层业务可以大大减少因配置不当或故障设备引起的一般问题。6：多层模式使网络的移植更为简单易行，因为它保留了基于路由器和交换机的网络原有的寻址方案，对以往的网络有很好的兼容性。7：多层结构也能够对网络的故障进行很好的隔离。通常pc及无法通过连接多台交换机实现冗余，但接入层交换机出现故障，连接此台交换机的pc不能正常运行，其它交换机上的设备仍能正常工作。9：多层设计有很好的冗余性。随着网络规模的不断扩大，网络的可用性变的越来越重要。 由于分层设计的网络每台