現在是互聯網時代,企業也大都是使用互聯網辦公。出於企業信息安全的考慮,具有一定規模的企業都會建設公司內部的網絡。那麼網絡改如何設計?就是需要考慮的問題了。下面結合一個具體事例,做出網絡設計方案,給大家做些參考。
一、企業概況
1、企業詳述
1、某企業共有900臺 PC;設有多個部門,人事部、辦公部、銷售部、信息部、財務部以及培訓部,公司有自己的內部網頁與外部網站;
2、公司中的臺機能上互聯網;企業共有1000 多名員工;
3、企業網內部覆蓋6棟建築物, 建築物每層樓有一個設備間。樓內綜合佈線的垂直子系統採用多模光纖,每層樓到一層機房有兩條12芯室內多模光纖。
4、每棟建築和之間通過兩條12芯的室外單模光纖連接。要求將除一層以外的全部信息點接入網絡,將目前不用的信息點關閉。
二、需求分析
1、網絡要求
- 滿足企業信息化的要求,為各類應用系統提供方便、快捷的信息通路;
- 具有良好的性能,能夠支持大容量和實時性的各類應用;
- 能夠可靠運行,具有較低的故障率和維護要求。提供網絡安全機制,滿足企業信息安全的要求,具有較高的性價比,未來升級擴展容易,保護用戶投資;
- 用戶使用簡單、維護容易,為用戶提供良好的售後服務。
- 主幹網負責各個子網和應用服務的連接,為信息交換提供有效的高速通道。
系統主幹採用千兆以太網1000M交換,下屬子網採用千兆以太網,網絡協議採用TCP/IP 協議,整個網絡應考慮語音、視頻、數據等的綜合應用。
交換機要求採用主流、成熟、信譽和售後服務均佳的產品,核心交換機採用三層交換機,支持VLAN等功能, 能較好解決突發數據量和密集服務請求的實時響應問題,在內部用戶終端進行視頻信號、 數據交換時交換引擎不會出現過載現象和數據包碰撞、丟失的現象,還要考慮預防瓶頸出現和補救的相應措施。
下屬單位接入交換機可採用相對低一檔的產品;本系統處理的信息包括數據、語音和圖像等,因此要考慮實時性問題,特別要考慮包括視頻會議在內的信息共享等方面的實時性要求。
UPS 電源的配備,配置要保證網絡中所有的服務器、交換機、路由器、集線器等設備的連續、 正常地運轉;
網絡帶寬的分配: 應根據所屬單位網絡的信息流量情況合理分配網段,以充分利用網絡帶寬,提高網絡的運行效率。網絡需要具有多主機跨平臺主機連接能力, 數據集中存放、集中管理、數據有效共享、存儲空間共享、統一安全備份,可實現無人值守、自動實施備份策略,備份LANFRE、ESERVERLES等S功能,為全面集中管理和數據倉庫的建設奠定堅實的基礎
2、系統要求
配置簡單方便:
所有的客戶端和服務器系統應該是易於配置和管 理的,並保障客戶端的方便使用;
廣泛的設備支持:所有操作系統及選擇的服務應儘量廣泛的支持;
各種硬件設備穩定性及可靠性:系統的運行應具有高穩定性,保障 7*24的高性能無故障運行。
可管理性:
- 系統中應提供儘量多的管理方式和管理工具,便於系統管理員在任何位置方便的對整個系統進行管理;
- 更低的成本:系統設計應儘量降低整個系統的成本;
- 安全性:在系統的設計、實現及應用上應採用多種安全手段保障網絡安全;
- 提供良好的售後服務。
- 網絡還應具有開放性、可擴展性及兼容性,全部系統的設計要求採用開放的技術和標準選擇主流的操作系統及應用軟件,保障系統能夠適應未來幾年公司的業務發展需求,便於網絡的擴展和企業的結構變更。
3、用戶要求
要求計算機應用系統能處理大信息量的傳輸和計算;
要求易於用 戶管理、界面簡單、邏輯清晰;
滿足用戶使用網絡系統的運行質量, 提高網絡運行速度;
要求採用千兆以太網作為主幹的網絡技術,提供標準化的高速度主幹網連接,並在未來可以升級到IP,可以在同一個網絡中支持多種服務質量,以支持目前和未來的應用和服務為標準。
允許網絡集成,使用三層交換來代替路由,能實現與廣域網的集成功能;網絡中使用的設備、技術和協議完全符合國際通用的標準,兼容現有的網絡環境,提供良好的互聯性;要求網絡提供足夠的帶寬,豐富的接口形式,滿足用戶對應用帶寬的基本要求,並保留一定的餘量供擴展使用,最大可能地降低網絡傳輸延遲;要求網絡有很高的可靠性、穩定性及冗餘,網絡能夠提供良好的安全性策略,能避免內部操作失誤造成的損害和來自外部的惡意攻擊。
4、設備要求
根據企業的網絡功能需求和實際的佈線系統情況,樓層接入設備 需要選擇同一型號的設備;
核心交換機需要具有升級到720Gbps 可用背板帶寬的能力。網絡設備必須在技術上具有先進性、通用性,必須 便於管理、維護,應該滿足企業現有計算機設備的高速接入,應該具備良好的可擴展性、可升級性,保護用戶的投資。
網絡設備在滿足功 能與性能的基礎上必須具有良好的性價比。網絡設備應該選擇擁有足 夠實力和市場份額的廠商的主流產品,同時設備廠商必須要有良好的市場形象與售後技術支持。
三、網絡系統設計規劃
1、網絡設計指導原則
網絡設計應該遵循開放性和標準化原則、實用性與先進性兼顧原 則、可用性原則、高性能原則、經濟性原則、可靠性原則、安全 第一原則、適度的可擴展性原則、充分利用現有資源原則、易管理性原則、易維護性原則、最佳的性能價格比原則、QoS 保證
2、網絡設計總體目標
先進性:系統具有高速傳輸的能力。工作站子系統傳輸速率達到100Mb/S,水平系統傳輸速率達到1000Mb/s, 滿足現在和未來數據的信息傳輸的需求;主幹系統傳輸速率達到1000Mb/s, 同時具有較高的帶寬, 滿足現在和未來的圖像、影像傳輸的需求。
靈活性:系統具有較高的適應變化的能力。當用戶的物理位置發生 變化時可以在非常簡便的調整下重新連接;佈線系統適應各種計算機網絡結構,如以太網、高速以太網、令牌環網、ATM網等。佈線系統且具有一定的擴展能力。
實用性:系統具有低成本、使用方便、簡單、易擴展的特點。佈線 系統應在滿足各種需求的情況下儘可能降低材料成本;佈線系統具有操作簡單、使用方便、易於擴展的特點。
3、網絡通信聯網協議
TCP/IP:每種網絡協議都有自己的優點,但是隻有TCP/IP允許與Internet完全的連接。
Telnet :遠程登錄訪問協議,使其他跨省區域的子公司通過遠程訪問總部的內外,在遠程訪問時,會設置相應的ACL認證和相對的權限設置。
SNMP網絡管理協議: SNMP用於在IP網絡管理網絡節點 (服務器、 工作站、路由器、交換機及HUBS 等)的一種標準協議,它是一種應用層協議。SNMP使網絡管理員能夠管理網絡效能,發現並解決網絡問題以及規劃網絡增長。通過SNMP接收隨機消息(及事件報告)網絡管理系統獲知網絡出現問題。
路由協議:RIP、IGRP、EIGRP、IS-IS和OSPF 。
4、網絡IP地址規劃
企業園區網計劃使用私有的A 類IP地址。
企業園區網的IP地址分配原則如下: 企業使用IPv4地址方案。
企業使用私有IP 地址空間:10.0.0.0/8。
企業使用VLSM( 變長子網掩碼 )技術分配IP地址空間。
企業 IP地址分配滿足企業的利用。企業IP地址分配滿足便於路由匯聚。
企業IP地址分配滿足分類控制等。企業IP地址分配滿足未來公司網絡擴容的需要。
5、網絡技術方案設計
總體網絡採用基於樹型的雙星型結構,使之具有鏈路冗餘特性; 整體網絡規劃為核心及服務器群區域,內部骨幹區域(匯聚鏈路),接入層上聯區域,客戶端接入區域;
核心交換機位於企業總部機房,併為雙核心,使用雙主幹網絡設計,保證主交換機網絡的容錯。在一臺交換機出現故障的時候保障網絡的正常運行,也不用手工切換和維護,保證網絡的可靠性。
採用全交換硬件體系結構,可實現全線速的IP交換;網絡主幹採用先進的千兆位以太交換技術,可最大限度地提高主幹的數據傳輸速率。使用千兆網絡保證網絡交易速度與實時性,使用了FEC/GEC技術實現網絡帶寬的擴展,適應網絡不斷擴展的要求。
根據需求概括,我們選擇的是D-Link企業級的DES-8503萬兆核心交換機為本次網路建設總部機房的核心交換;DES-8503萬兆核心路由交換機作為新一代大容量、高密度、高性能、模塊化核心路由交換機產品,其背板帶寬高達3.2Tbps ,包轉發速率最大為952Mpps,具備二到四層線速交換能力。
DES-8503萬兆路由交換機基於先進的模塊化理念進行設計,並採用了基於多處理器分佈式處理機制和Crossbar 空分交換結構的體系結構,關鍵模塊均採用1:1 冗餘備份。可提供10GE、GE、FE 等各種豐富的接口模塊,並全面支持IPv4 、IPv6 、MPLS、 NAT、組播、QoS、帶寬控制等業務功能。
整個系統所具備的高可靠性、高擴展性、強大的業務能力等特點可以滿足各種網絡核心層的建設需求。DES-8503(3個插槽)作為D-Link行業產品線核心交換機之一,可廣泛的應用在各行業的IP 網核心、企業數據中心、IP城域網核心 和匯聚、校園網核心等場所,為用戶提供多種業務接入、路由交換一體化的安全融合網絡解決方案。
ES-8503萬兆核心路由交換機具有一下的優點:
先進的系統架構:採用了分佈式、 模塊化設計理念,並採用了基於多 處理器分佈式處理機制和Crossbar空分交換結構的體系結構。這保 證了系統優異的轉發性能、強大的業務能力和高度的可擴展性。 高端口密度和線速路由及交換:具有豐富的接口類型,提供10GE、GE、FE等接口。可以真正實現高端口密度和線速路由及交換。
大容量、高性能 :支持高達952Mpps的路由包轉發能力,並支持512K條第三層路由信息、512K 第二層的MAC地址以及4096組 VLAN、8K條安全和訪問控制策略,保證了數據線速轉發的要求。
增強的業務功能: 具有 L2/L3/L4 線速交換能力、具備QoS、MPLS、NAT、帶寬控制、組播等高級性能,是定位於網絡核心層、實現整體網絡增值的優選設備。同時,提供基於硬件的流量分類和組播以及速率限制和先進的服務質量保證(QoS)機制,可為用戶開展增值業務提供強大的支持。
強大的安全功能:支持 ACL安全過濾機制,可提供基於用戶、地址、 應用以及端口級的安全控制功能,並支持IPSec、MPLS VPN特性。同時,支持基於端口不同優先級對列的和基於流的入口和出口帶寬限 制、uRPF、防DDOS攻擊、SSH2.0安全管理、802.1x 接入認證及透傳,VLAN ID與 MAC地址、端口號、 IP 地址捆綁等安全功能。此外,系統還具備完善的抗病毒機制,可以為網絡運營提供全面的安全保證。
支持 IPv6 :全面實現了各種IPv6協議技術,包括IPv4和 IPv6雙協議棧和基於手工配置隧道、自動配置隧道、6to4隧道等IPv4向IPv6的基本過渡技術。同時,實現了IPv6靜態路由,支持BGP4/BGP4、+RIPng、OSPFv3等動態路由協議。
全面支持二、三層 MPLS VP:N二層 MPLS VPN支持 Martini協議( VPW)S和 VPLS、三層 MPLS VPN採用 RFC2547bis,具有良好的兼容性,可以與其他主流廠家的設備實現MPLS VPN業務的全面互通。 電信級可靠性:系統的主控單元、電源等等關鍵模塊均可以進行1:1 方式的備份, 無中斷保護系統 (Hitless Protection System - HPS) 為DES-8500的高可靠性提供了最重要的保證,在配置冗餘控制模塊 的情況下,它能滿足最苛刻的可靠性要求。同時,DES-8500的 VRRP、STP、LACP等功能為用戶提供了進一步的可靠性保證。
統一的網管功能:支持 RFC 1213 SNM(P 簡單網絡管理協議),帶內網管的形式可採用基於Telnet的配置管理(CLI 命令行的形式)或 基於SNMP的配置管理 (圖形界面的形式),實現基於Broad Director 網管平臺的統一網管。
接入層為樓層的工作組及交換機。核心層與接入層以千兆以太網 技術相連,傳輸速率達1Gbps,採用全雙工通信可達2Gbps。其物理連 接採用多模光纜相互連接,以提供物理層、鏈路層及IP層的冗餘連接能力。
核心交換: 三層千兆交換機為整個網絡的核心,它對整個網絡的 性能,可靠性起決定性作用,它連接各個物理子網,治理網絡內信息 交換 ( 包括多媒體信息) ,控制VLAN間訪問,保證信息安全。因此, 我們選用的中心交換機除了提供高速的網絡連接之外,還具有多種信息的治理和控制能力。全部的網絡設備均支持高效的Intranet多媒體和多點廣播技術、治理協議 (CGMP等),為多媒體和多點廣播應用如IPTV 等提供端到端的帶寬保證。網絡採用分層結構,不僅邏輯結構清楚,治理方便;更重要的是大多數的數據流量( 主要是同一部門或工作組內 ) 的交換在次級節點分佈交換機上直接處理,不經中心設備, 節省主幹帶寬,提高利用率。
有一定的前瞻性,不僅滿足當前網上應用,也為將來更高性能的升級作好了預備:網絡具有良好的伸縮性, 升級和擴展主要只集中在網絡中心,添加新的接口模塊,即可實現用戶和信息點的擴充;增加光纖連接即可大量提高主幹帶寬;中心增配另一臺多層交換機,網絡結構就能連接成可靠性的、真正的中心交換機互備份和上聯線路冗餘。配合熱備份路由協議和熱備份雙服務器主機系統,在整個系統內消除單點故障,提供高可用性的應用服務系統。
匯聚交換及接入交換:二級交換機可以每個獨立構成一個VLAN,也可以多個二層交換機構成一個VLAN。 VLAN之間的路由由中心交換 機負責。不同的部門 / 單位可以通過配置不同的VLAN等方式來隔離廣 播和信息流,不但可以提高網絡效率,而且可以增強網絡安全。而每 臺交換機上的10/100 自適應端口又可以與下層100M 到10M 交換式集 線器相連接。心交換機與二層交換機以1000M全雙工的方式相連接。 這樣的連接結構可保證網絡帶寬的最大限度的合理應用。企業由總部 機房採取一處連接Internet中,設置防火牆等安全軟件,並對外網的遠程登錄設置權限及相應的安全認證!
6、網絡應用系統選擇
根據企業用戶對操作系統的要求:操作系統要求選擇最新版本, 所選操作系統需要提供方便的更新與升級方法,服務器操作系統需要 能夠提供目錄服務功能, 服務器及客戶機操作系統都需要支持TCP/IP 協議,所選操作系統應能夠方便的實現用戶和權限的管理,秘選操作 系統應能夠運行大多數應用軟件,例如辦公軟件、圖像處理軟件、CAD等,我們選擇Linux ,它具有極高的穩定性、先天的安全性、 軟件安裝的便利性、多任務、多使用者、免費或少許費用、有強大的網絡功能、 在相關軟件的支持下, 可實現WWW 、FTP、DNS、DHCP、E-mail 等服務。
建立WWW 服務器,實現Internet 上瀏覽和查詢;建立FTP服務
器,結合實際和需要逐步建立遠程FTP服務;建立Web服務器把圖文信息組織成分佈式的超文本,並用信息指針指向存有相關信息的服務器,使用戶可以方便地訪問這些信息。當網上用戶增多時, 網絡訪問很頻繁,通信量很大,隨機性強。作為全校的通訊樞紐,需要配備高性能的服務器設備,主要的需求是高性能的CPU、SMP體系結構、高速I/O通道和網絡通道。建立域名服務器DNS,各地名字服務器管理下屬主機和子域,並由高一級名字服務器監管,但每個域至少需要配備一臺以上的名字服務器。DNS數據量不大,但訪問頻繁。 建立數據庫服務器能有高效的處理速度、較大的內存和 磁盤空間、快速的I/O系統和網絡界面,較高的可靠性,完善的系 統備份功能和較好的可擴充性能。
7、網絡安全系統設計
內網安全設計:訪問控制,通過密碼、口令(不定期修改、定期保存密碼與口令) 等禁止非授權用戶對服務器的訪問,以及對辦公自動化平臺的訪問和管理、用戶身份真實性的驗證、內部用戶訪問權限設 置、 ARP 病毒的防禦、數據完整、審計記錄、防病毒入侵。 外網安全設計:安裝軟件、硬件、防火牆,網絡防病毒軟件,客戶端 防病毒軟件;利用代理服務器提供Internet與Intranet 之間的防火牆功能;通過網管實時記錄網絡的運行狀態。設置遠程訪問身份認證,防止垃圾郵件等。
閱讀更多 炫億時代99 的文章
