计算机网络实验大型intranet本地网设计

大型Intranet本地网设计

一、设计原则

1、可靠性和稳定性2、可管理性3、安全性4、高速性、可扩充性1、可靠性和稳定性

可靠和稳定性是网络首先要满足的目标之一。一旦网络出现问题则很影响整个政务的运行。在这次设计中我们组建了一个主干网冗余设计的方案。2、可管理性

大型网络必须是可管理的，对网络控制和管理，能够在不改变系统运行情况下对网络进行调整，不管网络设别的物理位置在何处，网络都应该是可以控制的，所以在选用主干网络设备时，必须选用提供相应管理软件的可管理设备。3、安全性

网络规模越大，脆弱点就越多，遭受的攻击的几率就越大，所以在这次设计中我们特别考虑了安全性。4、高速性、可扩充性

对于大型网络设计来说，由于数据量大、访问频率高，一定要考虑网络的高速处理能力和可扩充性，在这次设计中我们充分考虑无论从物理设备还是IP地址规划中，都为以后在现有的网络中扩展提供了方便。二、具体设计

1、网络拓扑图、设备连接示意图、IP地址规划及其描述。2、主要网络硬件的选型与配置及其理由3、主要网络平台软件和服务软件的选型及其理由。4、主要网络软硬件的参考报价。5、系统安全性与可靠性措施及其描述总部中心网主要由三层组成（如图-1）,核心层、汇聚层和接入层。整个网络是采用万兆以太网方式进行设计，每个交换机都是三层交换机，能够实现VLAN的划分，方便管理和提高安全性。核心层和汇聚层之间通过万兆多模光纤连接，汇聚层和接入层通过千兆单模光纤连接，4个一级部门通过6类铜缆接入接入层，中心服务器组通过千兆多模光纤接入汇聚层，网络管理服务器通过千兆多光纤直接和核心层交换机相连，总部在核心层通过两个边界路由器与外网（Internet和各分公司）相连。1、网络拓扑图、设备连接示意图、IP地址规划及其描述。

图-1网络拓扑图

核心层采用两台核心交换机，起到冗余备份的作用。汇聚层分为两部分，一部分是利用两台汇聚交换机连接接入层，另一部分是利用两台汇聚交换机专门连接中心服务器组，各部分的两台交换机起到冗余备份的作用。各个一级部门再通过接入层交换机、汇聚层交换机与核心交换机相连。汇聚层和核心层之间采取链路汇聚（Trunk）技术相连，避免向上级联时出现网络瓶颈，同时还能避免由于端口或链路故障而导致的通信失败，提高网络的稳定和可靠性。接入交换机之间通过VLAN-Trunk技术相连，实现属于不同接入交换机但属于同一VLAN的PC机之间互相访问。网络管理服务器直接接入核心层对整个总部网络进行管理。连接外网（分公司和Internet）除使用路由器外，还加入了自适应防火墙和边界服务器，防止外网对内网的非法访问，提高安全性。中心服务器包括数据库服务器、应用程序服务器、Web服务器、内部电子邮件服务器和FTP服务器。边界服务器包括Web服务器、FTP服务器和外部电子邮件服务器。图-2网络设备连接示意图

总体IP地址规划整个机构使用的IP地址为，一个总部，11个分部，至少需要12个子网，可以从整个机构的主机地址中取4位作为子网，子网掩码为，共有16个IP地址段，可剩余4个备用。

172.16.00000000.0总体IP地址规划00000001…1011总部11分部及基层单位/20总部IP地址规划

总部共有一个服务器组（4台服务器）和四个一级部门，其中每个一级部门的联网设备不超过200台。每个一级部门只需要一个C类地址就可以满足需要，因此，可以在剩余地址中分配4位作为子网，一共16个子网，服务器组用一个子网段，每个一级部门分配一个子网段，一共分配5个子网段，剩余子网段留作备用。每个子网段有254个地址可供分配，可以满足用户需求。172.16.00000000.0总部IP地址规划00000001001000110100其他总部服务器组部门一部门二部门三部门四备用整个机构使用的IP地址为，在整个政务网络中，有1个总部和11分部，利用子网掩码将整个地址划分为16子网段，总部占用/20这个网段。再将整个总部网再划分成几个VLAN：名称VLAN号子网号子网掩码一级部门1VLAN10一级部门2VLAN20一级部门3VLAN30一级部门4VLAN40服务器组VLAN50设备VLANVLAN60剩余的IP地址可以根据需要用来对整个网络进行扩充。由于接入层选用的是三层交换机，所以在必要的情况下还可以对某个一级部门内部再进行VLAN划分，以提高安全性和方便管理。2、主要网络硬件的选型与配置及其理由由于现在网络的传输速度发展的很快，基本上是以每年50%的速度在提高，为了在至少5年以内不用对网络升级，本设计是基于万兆以太网进行的，所以核心交换机和汇聚交换机都必须具有10Gbit/s的端口和较高的背板带宽，接入层交换机和路由器必须具有能够提供1000Mbit/s的传输速度的能力。（1）：核心层交换机选用CISCOWS-C6509-E+WS-X6708-10G-3CXL模块：①CISCOWS-C6509-E是一款智能多层模块化交换机，提供数据包丢失保护，能够从网络故障中快速恢复。②支持IEEE802.3ad链路汇聚、热备份路由器协议（HSRP）。③模块化体系结构，在同一机箱内支持多代模块互操作，不需要部署外部设备，直接在6506机箱内部署集成式的千兆位的网络服务模块（数千兆位防火墙模块、高性能入侵检测系统（IDS）模块、千兆位网络分析模块、高性能SSL模块、千兆位VPN和基于标准的IPSecurity（IPSec）模块），可以简化网络管理，降低网络的总体成本。④在同一种机箱中支持三代可互换、可热插拔的模块，以提高IT基础设施利用率，增大投资回报，并降低总体拥有成本。⑤将安全和内容等高级服务与融合网络集成在一起，提供从10/100和10/100/1000以太网到万兆以太网，从DS0到OC-48的各种接口和密度，并能够在任何部署项目中端到端地执行。⑥硬件支持的从企业级到电信运营商级的大规模路由表，支持IPv6，提供MPLS（多协议标签交换）及MPLS/VPN的支持。⑦支持IEEE802.3/IEEE802.3u/IEEE802.1s/IEEE802.1w/IEEE802.3ad等多种网络标准，支持CiscoWorks2000、RMON、增强交换端口分析器(ESPAN)、SNMP、Telnet、BOOTP、TFTP等网络管理功能。⑧高达243Mpps的数据包转发速度，480Gbps的背板带宽。⑨WS-X6708-10G-3CXL模块是CiscoCatalyst6500系列一个具有8端口的万兆以太网模块，8端口万兆以太网模块在单一Catalyst6500机箱中提供了64个万兆以太网端口，这些模块支持可插拔光模块，能在单模光纤上支持长达80km的传输距离、在多模光纤上支持300m的传输距离，适应于流量汇聚，支持基于硬件的服务质量(QoS)、访问控制列表(ACL)和巨型帧，从而能为需占用大量带宽的应用提供安全、可预测的性能。（2）：连接接入层的汇聚层交换机选用CISCOWS-C6506-E+WS-X6708-10G-3CXL模块：（和核心交换机的选用理由一样）（3）：服务器汇聚层交换机选用CiscoCatalyst4948-10GE：①提供48个线速10/100/1000BASE-T端口以及2个线速的万兆以太网端口（X2光学端口），X2万兆以太网光学端口可提供20条千兆以太网线速上行链路以实现最大的流量吞吐量。②使用136-Gbps交换矩阵，能够以每秒1.02亿个数据包（mpps）的速度在硬件中转发L2–4流量，从而为数据密集型应用提供线速吞吐量和低延迟支持。③内置AC或DC1+1热插拔电源以及1个热插拔风扇托架和冗余风扇提供不中断运行的电源冗余。④强健的网络安全性，您可在一个CiscoCatalyst4948-10GE上面安全地安装多个服务器群体，能够同时隔离多类不同的L2群体流量，同时保存IP地址空间，即便有的服务器遭到损坏，也能抵御面向群体中其余服务器的中间人攻击和IP欺骗攻击，无需更改服务器配置，可通过一系列丰富的网络准入控制（NAC）功能以及基于802.1x的用户认证、授权和记账（AAA）来降低网络安全风险。⑤可通过线速的专用访问控制表（ACL）来抵御越来越猖獗的病毒和安全攻击，从而确保万无一失地执行安全策略，分别通过安全Shell（SSHV1和V2）协议、SCP和SNMPv3来实现安全的远程接入、文件传输和网络管理，网络准入控制（NAC）是思科自防御网络战略的基本组件，能够提高网络自动识别、防御和响应安全威胁的能力。NAC使CiscoCatalyst交换机能够与第三方解决方案相协作，以便在准许主机访问网络之前针对安全策略的法规遵从和执行情况对其进行检查。无论802.1x是否启用，NAC都将在L2网络边缘对主机进行安全状态认证，隔离存在安全漏洞的主机和违规主机，并基于公司的安全策略降低它们的网络访问权限或者指导它们使用修复服务器。通过确保每个主机都遵从公司的安全策略，公司将能够大幅度降低因主机感染病毒而造成的损失。（4）：接入层交换机选用CiscoCatalyst3750G-48TS-S：①三层千兆以太网交换机，提供10/100/1000Mbps传输速率，32Gbps的背板带宽，38.7Mbps的包转发率，全双工传输模式，具有很强的数据存储—转发能力，可以使1000Mbps连接到桌面。②提供SNMP（简单网络管理协议）、CLI（命令行界面）、WEB等网络管理功能。③支持IEEE802.3/IEEE802.3u/IEEE802.3z/IEEE802.3ab等多种网络标准。④48个POE接口（能在确保现有结构化布线安全的同时保证现有网络的正常运作，最大限度地降低成本）。⑤支持VLAN，可以堆叠（最多9台），从而可以减少接入汇聚层的接口数量。（5）：路由器选用Cisco3825-HSEC/K9：①Cisco3800系列是集成多业务路由器，是思科自防御网络的一个重要组件，拥有业界路由器中内嵌的最全面的安全服务，为客户提供了单一永续平台来迅速部署安全网络和应用。其特性包括内置硬件加密加速、IP安全（IPSec）、VPN（高级加密标准[AES]、三重数字加密标准[3DES]、DES和多协议标签交换[MPLS]）、状态化防火墙保护、思科入侵检测防御系统[IPS]和URL过滤。②支持每插槽多个快速以太网接口、时分多路复用(TDM)互联，以及到支持802.3af以太网电源（PoE）的全集成配电的带宽要求，同时支持现有模块化接口系列。有助于确保持续投资保护，在部署新服务和应用时扩展网络或改变技术。③拥有2个10/100/1000Mbps局域网端口，10/100/1000Mbps的传输速率，CiscoClickStart,和SNMP的网络管理功能。（6）：防火墙选用ASA5540-BUN-K9：①ASA5540-BUN-K9是一种自适应安全设备，包括4个千兆以太网端口＋1个快速以太网接口，5000路IPsec（Internet协议安全性）VPN和2路SSL（安全套接接层）VPN，3DES/AES，提供主动型全特性入侵防御服务，有效阻止各种威胁，包括蠕虫、应用层攻击、操作系统级攻击、rootkit攻击、间谍软件等，提供全面的防病毒、防间谍软件、文件阻挡、防垃圾邮件、防诱骗、URL阻挡和过滤以及内容过滤服务。②在连接Internet时利用ASA5540-BUN-K9+两个路由器+边界服务器组组成一个复合型防火墙系统，提高安全性。在连接分公司时利用一个ASA5540-BUN-K9就足够了。（7）：服务器选用刀片式服务器群结构：①刀片式服务器是一种高可用高密度的低成本服务器平台，可以通过标准刀片式机柜叠放，大大减少了服务器所占用的空间。②可以通过系统软件将多个服务器集合成一个服务器群，在集群模式下，所有的“刀片”可以连接起来提供高速的网络环境，可以共享资源，为相同的用户群服务。③刀片服务器中所集群的仅是一个包括独立CPU、内存、驱动器和网络组件等存储器的服务器板，克服了传统的服务器集群管理难的缺点，管理员只需要对机架进行安装和布线，单独的刀片服务器无需布线，增加新的计算机资源就像插入一个新刀片服务器一样简单，就像现在加入一个硬盘驱动器，刀片服务器中的各刀片是共享如电源、以太网连接、键盘等部件，所以整个刀片的服务器集群系统设备连接其实就相当于地一台刀片服务器，大大简化了设备的连接与管理。④利用自动软件供应工具，管理员只需通过一个网络操作，就能够方便、快捷地将软件安装到一个或多个刀片服务器中，能够利用远程管理工具进行全面的管理，可以很容易地配置一台全局热备份服务器，通过远程配给，接管需要维修的刀片服务器的任务和功能，同时每个刀片都可内置监视器和管理工具软件，并提供单一视图。⑤在设计中我们选用的是HPc7000刀片式机箱（带单相电源箱，2个电源模块，4个风扇）+HPProLiantBL685cG5(447967-B21)刀片式服务器+IBMTotalStorageDS48001815-80A磁盘阵列共同组成刀片服务器群。HPc7000刀片式机箱（带单相电源箱，2个电源模块，4个风扇）支持16个刀片式服务器。HPProLiantBL685cG5(447967-B21)刀片式服务器标配2个AMDOpteron8354处理器，CPU频率2200MHz，最大支持内存128GB，安全性方面：开机密码、管理员密码、集成Lights-Out2有12个可定制的用户帐户和SSL加密。IBMTotalStorageDS48001815-80A磁盘阵列，最大支持33.6TB容量，400MB/s传输速率，18个单机磁盘，4个主机通道(1Gbps/2Gbps/4Gbps)，2GB的物理缓存。三、主要网络平台软件和服务软件的选型及其理由网络管理软件选用LANDesk管理套件8.7版：①能够自动完成系统管理任务以及预先管理桌面设备、服务器和移动设备，使局域网内每个用户能够保持最新的安全补丁和病毒更新、高效的安装和维护桌面软件、减少软件许可证的费用以及响应审计的要求、自动的发现和管理软硬件资产、向新操作系统迁移用户和配置信息。②具有强大的计算机资产管理功能，通过LANDeskManagementSuite中集成的客户端的库存管理功能，所有的软硬件库存数据都将存放在中心数据库中以备查询，服务器端能管理所辖的客户端的计算机软硬件资源，包括硬件、软件的数量、版本等，帮助公司了解现有计算机资产信息，并能为软硬件升级计划及充分提高现有设备的利用率提供极为有效的基础信息。③具有可计划的任务分发、灵活的应用策略管理、基于快照的程序包生成器及增强程序包生成器、有目标的多址分发技术、对等下载、字节级的断点续传、带宽检测、动态带宽调整、多映像格式的操作系统分发、多平台支持等功能和技术。④此外，LANDeskManagementSuite内置的应用修复功能，还可以对客户端出现程序损坏时对关键文件进行修复。例如：当用户打开一个应用程序如WORD，如果软件出现问题而不能正常运行时，应用修复功能能够自动的对损坏或删除的程序文件进行更新，当修复完成后，应用程序能够自动的执行。服务软件的选型:①服务器选用WindowsSever2003Datacenter版系统，WindowsSever2003不仅继承了WindowsSever2000的稳定性和WindowsXP的易用性，而且提供了更高的硬件支持和更加强大的功能。WindowsSever2003Datacenter版支持高达32路的SMP（对称多处理）和64GB的RAM，提供8节点群集和负载平衡是它的标准服务，将可用于能够支持64位处理器和512GBRAM的64位计算平台。②在网络中设置ActiveDirectory(活动目录)服务功能，使网络管理更简单，安全性更高。③安装和配置DHCP服务，动态分配网络IP地址，简化对IP的管理。④配置DNS服务，使用形象易记的域名代替复杂的IP地址来访问网络服务器。⑤配置文件服务器，提供网络资源共享、网络文件的权限保护及大容量的磁盘存储空间服务，配备RAID（独立磁盘冗余阵列）卡和高速大容量硬盘。⑥配置打印服务，如果为每个用户配备一台打印机，成本太高了，而且经常来往于各地的业务员也不可能携带打印机，所以网络打印是一个很好的解决方案，不论是直接连接到打印服务器还是从其他位置接入网络的打印机，都可以通过打印服务器同一管理。⑦通过最新的IIS6.0配置Web服务器，IIS6.0是IIS5.0的升级，效能和稳定性都有了大幅度提升，它是.net策略推行后的第一个服务器，全面支持.net，并支持用于开发、实现和管理Web应用程序的最新Web标准，任何的页面处理以及交互动作都可以在预编译的情况下进行处理，对于内存的泄露、非法访问及其他错误，IIS6.0都会自动探测并在底层进行容错和排除，与IIS的整合，提供快速的应用程序开发以及多达十几种的开发语言的选择。⑧配置FTP服务器，相比WEB服务器，能够提供高速的下载速率，对权限的控制更为严格