園區(qū)網絡設計方案

網絡設計與組網綜合大作業(yè)目錄TOC\o"1-2"\h\u7455網絡設計與組網綜合大作業(yè) I3239目錄 I15016第一章緒論 2282981.1概況 2159101.2重要內容 224249第二章園區(qū)網概述 369692.1園區(qū)網含義 3260532.2園區(qū)網特點 3138072.3園區(qū)網發(fā)展趨勢 326166第三章園區(qū)網設計 488323.1需求分析 4143203.2網絡設計原則 4173173.3網絡模型設計 5316523.4園區(qū)網絡拓撲圖 7175993.5IP地址規(guī)劃 783.6VLAN規(guī)劃 856793.7路由合同選擇 834323.8配備規(guī)范 101428第四章網絡安全設計 12294954.1VLAN技術 1263434.2VPN技術 13189084.3防火墻技術 1318883第五章網絡模擬實現 14264435.1模擬器介紹 14294165.2模擬環(huán)境拓撲圖 14121935.3需求實現 15302625.4配備環(huán)節(jié) 166633第六章總結 17第一章緒論1.1概況隨著計算機網絡的快速發(fā)展，曾經在園區(qū)網中被大量使用的10M/100M以太網技術、ATM技術已經漸漸不能適應現在的業(yè)務需求，作為園區(qū)主干網，10M/100M以太網作為主干網絡核心技術帶寬局限性的弊病漸漸凸顯，已經嚴重影響著園區(qū)網絡的運行效率，現在仍有許多大型園區(qū)網絡在使用ATM技術，這樣的網絡面臨兩個問題：VLAN間路由的性能不能滿足網絡需求，并且ATM技術正在逐步被裁減?，F在，千兆以至10G級別以太網技術正逐步成為園區(qū)網絡主干的主流技術。因此，許多大型園區(qū)網絡面臨技術改造或者重新設計。1.2重要內容本文重要做了下列兩個方面的工作：第一，介紹了園區(qū)網絡的含義、特點，按網絡設計與組網課程的規(guī)定辦法規(guī)劃設計一種完整的園區(qū)網絡。第二，使用華為的eNSP對網絡進行了簡樸的模擬，以實現網絡的互通互聯，對各層設備進行了配備。第二章園區(qū)網概述2.1園區(qū)網含義園區(qū)網是指為企事業(yè)單位組建的辦公局域網。典型的園區(qū)網涉及校園網、社區(qū)網、住宅社區(qū)網、企事業(yè)單位網等。2.2園區(qū)網特點①園區(qū)網是網絡的基本單元。②園區(qū)網較適合于采用三層構造設計。③園區(qū)網對線路成本考慮的較少，對設備性能考慮的較多，追求較高的帶寬和良好的擴展性。④園區(qū)網的構造比較規(guī)整。2.3園區(qū)網發(fā)展趨勢從計算機網絡應用角度來看，網絡應用系統(tǒng)將向更深和更寬的方向發(fā)展，這也對應的影響著將來園區(qū)網的發(fā)展方向。首先，Internet信息服務將會得到更大發(fā)展。網上信息瀏覽、信息交換、資源共享等技術將進一步提高速度、容量及信息的安全性。另首先，遠程會議、遠程教學、遠程醫(yī)療、遠程購物等應用將逐步從實驗室走出，不再只是幻想。網絡多媒體技術的應用也將成為網絡發(fā)展的熱點話題。第三章園區(qū)網設計3.1需求分析某公司園區(qū)剛剛建成，是一大型公司的分支機構，為了實現公司的辦公信息自動化，擴大公司的影響，方便和總部的信息交流，需要建立自己公司的Intranet。公司現在有2幢9層的辦公大樓，分別是生產部和銷售部，另外尚有一種家眷區(qū)，家眷區(qū)有3幢6層的大樓，兩個相距300米。公司局域網需要考慮覆蓋辦公區(qū)和家眷區(qū)。局域網需要實現的目的以下：①實現有效的信息交換和共享。公司通過兩條專線接入電信和網通。②公司需要實現辦公自動化。局域網提供公司內部電子郵件收發(fā)、信息瀏覽、文獻管理、會議管理、電子公示等多方面應用。③為了擴大公司的影響，公司對外提供自己的宣傳網站，并且能夠確保網站安全，不受外部或者內部攻擊。④充足考慮此后各部門的接入擴展性。⑤充足考慮公司內部網絡的安全性。3.2網絡設計原則我們遵照下列的原則進行網絡設計：實用性實用性是網絡系統(tǒng)建設的首要原則，該網絡必須最大程度的滿足需求，確保網絡服務的質量，否則就會影響日常工作效率。原則化整個網絡從設計、技術和設備的選擇，要確保將來可能的不同廠家設備、不同應用、不同合同連接的需求，必須支持國際原則的網絡接口和合同，以提供高度的開放性。先進性先進性重要是針對網絡系統(tǒng)的設計思想、網絡構造、軟硬件設施以及所選用技術等方面。只有先進的技術才可能為網絡帶來更高的性能，并且能確保在技術上不容易被裁減。可擴展性可擴展性是指該網絡系統(tǒng)能夠適應需求的變化。隨著技術發(fā)展，信息量增多和業(yè)務的擴大，網絡將在規(guī)模和性能兩方面進行一定程度的擴展?？煽啃跃W絡規(guī)定含有高可靠性，高穩(wěn)定性和足夠的冗余，提供拓撲構造及設備的冗余和備份，為了避免局部故障引發(fā)整個網絡系統(tǒng)的癱瘓，要避免網絡出現單點失效，核心設備需要支持冗余備份。安全性網絡安全性在整個網絡中是個很重要的問題，網絡系統(tǒng)建設應采用一定手段控制網絡的安全性，以確保網絡正常運行。管理性隨著網絡規(guī)模和復雜程度的增加，管理和故障排除就會越來越困難。為保障網絡中心的正常運行，網絡必須易于管理，支持網絡網段與端口的監(jiān)控、網絡流量與出錯的統(tǒng)計、網絡故障的定位、診療、修復。3.3網絡模型設計圖3.1典型的三層網絡模型三層網絡架構采用層次化模型設計，即將復雜的網絡設計分成三個層次，每個層次著重于某些特定的功效，這樣就能夠使一種復雜的大問題變成許多簡樸的小問題。三層網絡架構設計的網絡有下列三個層次：3.3.1核心層核心層是網絡的高速交換主干,對整個網絡的連通起到至關重要的作用。核心層應當含有以下幾個特性:可靠性、高效性、冗余性、容錯性、可管理性、適應性、低延時性等。該層必須是基于千兆高速交換和路由的設計，設備的性能容量也是最高的（高達百Gbps容量和每秒千萬級數據包轉發(fā)能力）。重要是由全模塊化的高性能多層路由交換機和高性能服務器構成，系統(tǒng)帶寬必須是千兆甚至10Gbps。3.3.2匯聚層匯聚層是網絡接入層和核心層的“中介”，就是在工作站接入核心層前先做匯聚，以減輕核心層設備的負荷。匯聚層含有實施路由方略、安全、工作組接入、虛擬局域網(VLAN)之間的路由、源地址或目的地址過濾等多個功效。該層普通采用100M或1000M的快速交換路由設計，設備的性能容量性也很高，重要由固定配備+可選模塊的三層路由交換設備構成。3.3.3接入層接入層向本地網段提供工作站接入。在接入層中，減少同一網段的工作站數量,能夠向工作組提供高速帶寬。訪問層是由100M快速以太網交換機和客戶機構成，該層次普通采用100M快速以太網，采用可管理的固定配備的工作組級別的交換機，能提供多層堆疊功效實現大量顧客的接入。三層網絡架構的特點是網絡性能高，層次清晰，網絡管理直觀、方便，并合理地分散了網絡設備帶來的安全風險，網絡構造安全可靠。3.4園區(qū)網絡拓撲圖圖3.2三層網絡架構的園區(qū)網拓撲圖3.5IP地址規(guī)劃在構建基于TCP/IP的公司網絡時，IP地址的選擇是根據公司網絡規(guī)模大小從下列三類國際Internet組織公布的私有網段中產生，這些范疇內的IP地址不在Internet上傳輸，是專門提供應公司用來建設內部網絡：A類私有IP:10.0.0.0——10.255.255.255。B類私有IP:172.16.0.0——172.16.31.255。C類私有IP:192.168.0.0——192.168.255.255。對于小型園區(qū)網絡，由于上網顧客少、設備數量少，建議使用地址空間小的192.168.0.0/16的網絡。而對于中大型園區(qū)網絡，如三層構造的校園網，由于上網人數多，設備數量多，建議采用地址空間大的10.0.0.0/8的網絡。3.6VLAN規(guī)劃虛擬局域網(VLAN)是將局域網內廣播域邏輯地劃分為若干子網。在一種交換局域網中，全部局域網段通過交換機連接到一起，路由器連在交換機上(如果是三層交換機，則不需路由器)，能夠按網段和站點的邏輯分組形成廣播域，通過在局域網交換機內過濾廣播包，使得源于特定虛擬局域網的信息包僅傳送到那些也屬于這個虛擬局域網的網段上。虛擬局域網之間的尋徑由路由器完畢。虛擬局域網建立后來，能有效地控制網絡的廣播風暴，減少不必要的資源帶寬浪費，并能隨著公司規(guī)模的發(fā)展和調節(jié)變化通信流的模式。VLAN規(guī)劃需要考慮以下因素：①顧客VLAN與設備管理VLAN分開(IP地址)。②為網絡擴容進行可匯總的預留設計。③IP地址與VLAN編號(其它有關因素)有一定的對照性。如圖3.3所示：圖3.3IP和VLAN對應規(guī)則根據具體需求與安全性規(guī)定等狀況綜合分析，園區(qū)網IP地址具體規(guī)劃如表3.4所示：表3.4IP地址規(guī)劃表物理位置VLAN范疇IP網段默認網關獲取方式住宿區(qū)VLAN10——VLAN30172.16.1.0——172.16.30.0/24172.16.x.254/24DHCP辦公區(qū)VLAN40——VLAN50172.16.40.0——172.16.50.0/24172.16.x.254/24DHCP服務器組VLAN100202.117.144.1--202.117.144.253202.117.144.254靜態(tài)指定3.7路由合同選擇路由合同可分為距離矢量、鏈路狀態(tài)和混合型路由合同。使用距離矢量路由合同時，全部路由器只能向它的鄰居路由器發(fā)送自己的整張路由表。然后路由器使用接受到的路由條目擬定與否需要更新自己的路由表。這個過程會周期性的重復進行。與此相反，當網絡使用鏈路狀態(tài)路由合同時，每個路由器能夠向其它全部的路由器發(fā)送自己的接口（鏈路）狀態(tài)信息，但是這僅僅發(fā)生在網絡拓撲發(fā)生變化的時候，每個路由器使用收到的鏈路狀態(tài)信息重新計算自己到每個目的網絡的最佳途徑，然后把這些路由信息保存到自己的路由表中?；旌闲吐酚珊贤?，顧名思義，該合同借用了距離矢量和鏈路狀態(tài)合同的思想。混合型合同能向鄰居路由器（類似距離矢量）發(fā)送變動的信息（類似鏈路狀態(tài)）。路由合同的比較①路由信息合同（RoutingInformationProtocol,RIP）RIP是一種簡樸的動態(tài)路由合同，RIP至今有兩個版本，RIPv1和RIPv2，后者是前者的改善版本，RIP是一種有類的距離矢量路由合同，它最明顯的特點是在路由更新報文中不攜帶子網信息，RIP默認的管理距離是120，它使用跳數做為度量值，最大跳數是15，如果超出15就認為目的網絡不可達，因此RIP只能合用于小型的網絡中。②內部網關路由合同（InteriorGatewayRoutingProtocol,IGRP）IGRP是Cisco私有的合同，其目的是為了取代RIP，它也是一種距離矢量路由合同，IGRP克服了RIP的某些嚴重缺點，如IGRP在計算路由度量值時沒有使用跳數，而是采用鏈路特性，因此要優(yōu)于RIP合同。但由于IGRP是Cisco私有的合同，非Cisco廠商的設備不能支持IGRP合同，它的改善版是EIGRP。③增強型內部網關路由合同（EnhancedInteriorGatewayRoutingProtocol,EIGRP）EIGRP是增強型的IGRP合同，它是一種典型的平衡混合路由選擇合同，它融合了距離矢量和鏈路狀態(tài)兩種路由合同的優(yōu)點，使用一種散射更新算法，實現了很高的路由性能，但由于EIGRP也是Cisco私有合同，不能在其它非Cisco設備上使用，它的應用也受到了限制。④開放最短途徑優(yōu)先（OpenShortestPathFirst,OSPF）OSPF是一種典型的鏈路狀態(tài)、無類別IP路由合同，OSPF能夠適應大型IP網絡的擴展，而基于距離矢量的IP路由合同如RIP和IGRP則不能適應這種網絡。OSPF基于鏈路狀態(tài)，其路由是基于網絡地址及鏈路狀態(tài)度量的。作為一種自適應合同，OSPF能夠根據網絡狀態(tài)故障狀況自動調節(jié)，含有收斂時間短的優(yōu)點，有助于路由表的快速穩(wěn)定，這樣使OSPF能夠支持大型的網絡。OSPF的設計能夠避免通信數據形成環(huán)路，這對于網狀網絡或由多個路由器實現的不同局域網互聯非常重要。OSPF尚有其它某些特性：①使用了區(qū)域的概念，有效的減少了路由選擇合同對路由器的CPU和內存的占用率，劃分區(qū)域還能夠減少路由合同的通信量，從而使構建層次化互聯網成為可能。②完全無類別地解決地址問題，排除了有類路由合同存在的問題。③支持使用多條路由途徑的、效率更高的負載均衡。④使用保存的組播地址來減少對不運行OSPF合同的設備的影響。⑤支持更安全的路由選擇認證。⑥使用能夠跟蹤外部路由的路由標記。通過多個路由合同的對比和選擇，園區(qū)網適合采用OSPF路由合同。3.8配備規(guī)范①主機命名規(guī)范如果客戶有規(guī)范或明確合理規(guī)定，則按照客戶的規(guī)范或規(guī)定進行配備。如金融行業(yè)規(guī)范。如果客戶沒有規(guī)范或明確合理規(guī)定，可參考設備位置、網絡位置、設備型號、設備編號等因素，在項目中制訂統(tǒng)一的命名規(guī)范。主機命名規(guī)范以下圖3.5所示：圖3.5主機命名規(guī)范②設備互聯接口描述項目中全部涉及到可網管設備互聯的端口必須配備端口描述③登陸密碼配備項目中全部可網管設備必須配備特權密碼及遠程登陸密碼。④系統(tǒng)時間配備項目中全部可網管設備必須重新設立對的的系統(tǒng)時間。⑤二層交換機管理IP配備項目中可網管二交換機必須配備管理IP地址，供管理員遠程管理設備所用。第四章網絡安全設計園區(qū)網的安全是一種綜合問題，它包含網絡設備和人為因素兩個方面以及與外網（Internet）接口上的安全問題。網絡的有效性和可靠性即它的可持續(xù)運行的安全性是網絡建設必須考慮的首要原則，從顧客的角度考慮，當網絡所需的服務不可用時，不管是何種因素，網絡就失去了實際價值。從另一角度看，當某種網絡服務的響應時間變得變幻莫測時，網絡系統(tǒng)也不可靠了。為此我們在網絡設計上就考慮了下列的技術來提高安全性。4.1VLAN技術VLAN技術是通過路由和交換設備，在網絡的物理拓撲基礎上建立的一種邏輯的網絡。VLAN能夠看作是一種廣播域，它們不受地理位置的限制而像處在同一LAN上那樣互相交換信息。VLAN是在交換網絡中實現的。每個交換設備均可根據網絡管理人員所定義的VLAN劃分辦法對報文進行過濾和轉發(fā)，并能將這種劃分信息傳遞到網絡中其它交換設備和路由器中去。能夠限制VLAN中的顧客數量，嚴禁那些沒有得到許可的顧客加入到某個VLAN中。這樣，能夠控制顧客對網絡資源的訪問，控制廣播組的大小和構成，并借助網管軟件在發(fā)生非法入侵時告知管理員。交換機上劃分VLAN辦法如圖4.1所示：圖4.1交換機劃分VLAN辦法4.2VPN技術虛擬專用網（VirtualPrivateNetwork，VPN）技術的基本思路是充足運用現有的公用網絡來建立一種私有的、安全的連接，即建立一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道，同時避免昂貴的專線租用費用，它使用的是建立在物理連接基礎上的邏輯連接，客戶并不能意識到實際的物理連接，并且在穿越Internet進行路由時，其安全性與在專用網絡中進行安全路由的安全性基本相似。4.3防火墻技術現在，在保護計算機網絡安全的設備中，使用最多的就是防火墻。防火墻是在兩個網絡之間執(zhí)行控制方略的系統(tǒng)，這兩個網絡中，普通一種是要保護的內部網，一種是外部網，防火墻在內部網和外部網之間構成一道屏障，通過檢測、限制或者更改通過它的數據流，對外屏蔽內部網的信息、構造和運行狀況，以避免發(fā)生網絡入侵或攻擊，達成對內部網的安全保護。