公司企业网络设计.docx

《公司企业网络设计.docx》由会员分享，可在线阅读，更多相关《公司企业网络设计.docx（22页珍藏版）》请在沃文网上搜索。

1、 郑州大学毕业设计（项目报告）题 目： 企业网设计与实现 指导教师： 史苇杭 职称： 讲师 学生姓名： 学号： 专 业： 计算机科学与技术 院（系）： 信息工程学院 完成时间： 2012-5-15 2012年5月15号 目录目录II1前言21.1 企业网建设的目标和意义31.2 本项目主要研究内容32需求分析32.1 企业网络的背景介绍42.2网络技术的选择42.2.1 虚拟局域网VLAN42.2.2 vlan中继技术VTP42.2.3 生成树协议42.2.4 链路聚合技术42.2.5 访问控制列表42.2.6 路由器的热备份52.2.7 nat的地址转换53拓扑设计53.1 拓扑的设计原则5

2、3.2 设备选型63.2.1核心层63.3 网络拓扑的设计74.项目实现84.1 各层功能的介绍84.2 IP地址规划原则及分布94.3 各层的设计105总结21致谢22 1前言信息化发展的今天，企业局域网的建设已经成为提升企业核心竞争力的关键因素。自从1993年美国政府公布“信息高速公路计划”之后，在世界引起巨大反响，近年来企业都在建立自身的信息网络，目前我国企业尤其是中小型企业网络建设正在如火如荼地开展着。 近年来，随着信息化水平的不断提高，企业对计算机网络的依赖性越来越高，Internet成为人们生活、工作、学习中必不可少的一部分。Internet是现在网络应用的主流，在Internet

3、上可以提供或者获得各种各样的服务，比如利用Internet购物、挑选商品、银行交易等。Internet是一个资源网络，世界上数以亿计的人利用它们进行通信和信息共享。 一个企业拥有自己的网络已经成为一种发展的必然趋势。很多企业已经开始建设自己的网站来宣传自己的品牌，提高社会影响力。办公自动化大大地提高了公司和企业的办事效率，企业的局域网也给员工带来了很大的方便性。但随着网络规模不断扩大，冲突不断发生，管理难度日益加大。如何合理的规划与配置企业网能有效地提高网络管理的灵活性，提高网络效率和网络安全性，是本设计研究重点。1.1 企业网建设的目标和意义 信息建设是国际信息化的基础和重要组成部分。是提高

4、企业办事效率，提高企业综合素质，是企业不断迈向新的台阶，成为一流企业的有效措施。 企业网络的建设的目标是为全企业人员提供一个信息交流和合作的平台，访问广域网，以充分利用Internet的资源，实现对外界发布企业信息、宣传交流、与外界通信，为用户到用户、用户到应用提供速度合理、功能可靠的连接等功能，对企业的发展具有积极的作用。 企业网建设的意义：首先，扩大企业在社会上的影响力，提高其知名度，为外界了解企业文化提供了一个简便、快速的窗口；然后，在全体企业内提供一个良好的信息传递通道，企业内部的政策、资源、通知可以在企业内部迅速的传递。再者，实现企业办公自动化，有效地降低办公成本；最后，企业内部人员

5、还可以方便安全地访问因特网。1.2 本项目主要研究内容主要介绍公司企业内网搭建与规划：为了实现内网可以访问外网的功能，采用NAT转换技术，实现核心层的传输服务，通过在该层两台核心交换机上部署实现路由器的备份，实现一个路由器出现故障时，网络能正常运行。stp的配置为了实现网络的负载均衡，加快运行速度，vtp的配置为了方便内网中vlan的增加和删除，访空列表的配置，保证企业重要数据，不被内部用户通过访问外部网络而丢失，同时实现内部网络用户的正常合理访问。 2需求分析该公司是一家中型企业，办公大楼是公司管理和技术人员的办公地点。为满足各部门工作人员的信息交流及办公自动化系统的部署要求，公司管理层决定

6、在办公大楼内建设能支持多种业务和办公系统正常运营的企业网络环境。2.1 企业网络的背景介绍该公司办公大楼为六层混凝土建筑，网络分布情况：一层为人事部，有40台；二层为后勤部，有30台电脑；三层为技术部，有20台电脑；四楼为销售部，有50台电脑；五楼左边为财务部，有10台电脑，六楼为领导办公室和会议室，各领导办公室都要有电脑，总共20台，会议室有2台，综上，办公楼共有信息点172个。2.2网络技术的选择2.2.1 虚拟局域网VLAN随着网络中计算机数量的增多，广播包的数量会急剧增加，广播包达到通信量的一定比例时，网络的传输效率会明显下降，所以当局域网内的主机数量达到一定数量时，通常采用虚拟局域网

7、（vlan）的方式逻辑上将网络分隔开来，将一个大的广播域分成几个小的广播域。Vlan的划分有多种方式，有基于端口的划分，有基于mac地址的划分。基于端口化分vlan就是本企业网采用的vlan的划分。企业以部门为单位。同一部门的电脑化分为同一vlan，不同部门之间的电脑属于不同的vlan。2.2.2 vlan中继技术VTP在每个交接机上都有管理员来手动设置vlan，是一项工作量大又烦躁无味的工作。VTP技术为网络管理员提供了方便。网络管理员通过配置交换机为vtp服务器和vtp客户端，客户机可以动态的学习到vlan的增加和删除，同步vlan信息，从而最大限度减少于错误配置而导致的各种网络错误的发生

8、。Vtp对网络管理员相当重要，它可以使整个网络的vlan配置保持一致，准确跟踪和监视vlan,动态报告网络中添加的vlan。2.2.3 生成树协议冗余增加了网络的高可用性，然而对网络中的交换路由设备增加多余的链路会在网络中引入需要动态管理的通信环路，但一条链路断开时，另一条链路要能迅速取代它的位置，同时不会造成新的通信环路。生成树协议（stp）就是为了实现这种功能。生成树协议（stp）会逻辑上断开环路，防止广播风暴的产生，当线路出现故障时，断开的借口被激活，恢复通信，起备份线路的作用。2.2.4 链路聚合技术 要提高链路速度，交换机可以使用以太网，快速以太网和吉比特以太网端口。Cisco提供另

9、一种增加链路宽带的方法，即聚合多条平行链路，这被称为以太网通道技术。可以将2到8条快速以太网链路捆绑为一条快速以太网信道。这提供了一种在两台交换机之间扩展容量的简单方法，而无需为将吞吐量提高一个数量级而不断的购买硬件，以太信道是通过多条捆绑的物理链路提供冗余，如果其中一条链路出现故障，通过该链路传输的数据流将移到邻接链路上。随着链路从故障中恢复，负载将自动在活动链路之间重新分配。2.2.5 访问控制列表访问控制列表（ACL）是cisco IOS提供的一种访问控制技术，其核心技术是包过滤，被广泛应用于路由器和三层交换机。借助ACL，可以有效的控制某些用户对Internet的访问，实现企业内部重要

10、信息不被泄露。2.2.6 路由器的热备份路由器的HSRP是为了实现冗余备份和负载均衡，负责转发数据包的路由器称之为活动路由器（Active Router）。一旦活动路由器出现故障，HSRP 将激活备份路由器（Standby Routers）取代活动路由器，成为活动路由器，HSRP 协议提供了一种通过优先级决定使用活动路由器还是备份路由器的机制，并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。2.2.7 nat的地址转换nat（网络地址转换）是将IP 数据报头中的IP 地址转换为另一个IP 地址的过程。在实际应用中，NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有I

11、P 地址代表较多的私有IP 地址的方式，节约公有合法ip地址，将有助于减缓可用IP 地址空间的枯竭。3拓扑设计3.1 拓扑的设计原则网络系统的设计需求要遵循一定的原则，如安全性和保密性原则、可靠性和稳定性原则，实用性和先进性原则。3.1.1 安全性网络的安全性对网络设计是非常重要的，合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护，可以有效的控制网络的访问。在企业网的设计上，划分VLAN，一方面可以有效的隔离子网内的大量广播，另一方面隔离网络子网间的通讯，控制了资源的访问权限，提高了网络的安全性。在设计企业网的原则上必须强调网络安全控制能力，使网络可以任意连接，又可从第二层控制网络

12、的访问。3.1.2稳定性 网络稳定性的设计主要采用冗余结构， 当网络中某个设备出现故障时，不影响网络的整体结构以及整体性能，对关键的网络连接采用主备方式，保证数据的传输的稳定性。3.1.3 实用性 在网络系统设计时首先应该以注重实用为原则，紧密结合具体应用的实际需求。不要一味地追求新技术和新产品，因为最新技术的产品价格肯定非常昂贵，也会造成不必要的资金浪费，在此项目中，使用以太网技术，其传输速率最低都应达到10/100Mbps。3.1.4 可扩展性 网络的可扩展性保证主要是通过交换机端口，对设备的增加。通常要求核心层，甚至汇聚层交换机的高速端口（通常为千兆位端口）要有两个以上用于网络的维护和扩

13、展的端口（通常是用连接新增加的下级交换机），不要在设计之初就把当前所需的这类端口数都占用完。当然也不用为未来网络留有太多这样的端口或设备，否则就会给网络系统设计带来巨大的成本压力，也会造成巨大的投资浪费。3.2 设备选型3.2.1核心层核心层是网络的高速主干，主要负载数据的高流量，快速转发，以及保证网络的稳定性和高效性。因此在网络构建中，核心层的设备通常要求比较高，需要考虑到交换机的端口密度，转发速度，带宽聚合，以及设备成本。然而，典型的cisco核心层交接机有Catalyst4500,Catalyst4900,Catalys6500等三层交换机，考虑到该网络的需求和规模，核心层选用cisco

14、 的ws-c4506交换机。如图1：图-1 4506系列核心交换机4506系列具有六个插槽，支持vlan，具有线速万兆以太网上行链路，支持多达384个快速以太网或千兆网以太网端口3.2.2 接入层接入层的目的是允许终端用户连接的网络，该层设备应具有低成本和高端口密度特性。考虑到公司网络的需求和规模，接入层选用cisco 的2950系列。如图2：图-2 cisco 2950 系列交换机Cisco2590系列交换机各端口包过千兆位端口的线速，8.8Gbps交换结构和最大660万包/秒的传输速率，能够保证最大的吞吐量等等。3.3 网络拓扑的设计该网络拓扑是一个企业在一栋大楼上的网络分布，每一层楼是一

15、个部门，大致可分为人事部，后勤部，技术部，销售部，财务部，领导部。由于每层网络接入点不是很多，都可以用二层网络构建，这样既可以满足需求，又可以节约开销。网络拓扑如图3：图-3 网络拓扑图根据公司对网络的要求，该拓扑图的总体设计可分为接入层和核心层，由于公司的规模不是很大，不需要汇聚层，对接入层而言，每一个部门都用一个pc来代表，并且该部门的终端设备连接到二层交换机上，最后二层交换机再通过核心交换机进行对外网进行通讯，核心层进行数据的快速转发，接入层进行对终端设备的控制。4.项目实现4.1 各层功能的介绍1核心层的功能是提供快速高效的数据传输。特点如下:核心层是高速骨干，应该设计使其尽可能快的交

16、换分组以使网络中的通信传输达到最佳，核心层对连接性来说很关键，因此核心层设备需要提供最大的可用性与可靠性，冗余网络的设计保证了故障对网络连接性的影响不会很大，核心层必须能通过路由备份的监听功能快速响应网络拓扑变化来处理故障。核心层必须提供高度冗余，以保障核心层具有来自各个设备的多条路径，核心层必须易于管理，核心层设备必须能够实现可扩展协议和技术，备选路径，以及负载平衡。如图-3所示，核心层有两台cisco WS4506交换机组成，其中ciscoWS4506a作主交换机使用，ciscoWS4506b作备份交换机使用，企业中的二层交换机均直接连接到该层交换机，所有访问外网的流量都要经过该层交换机。

17、不同部门间的流量传输及转发是通过该层交换机实现的，在企业中不同的部门拥有不同的业务范围同时为了部门间的协同工作也是必不可少的，这就要求不同部门间的终端也要实现必要的互访，该网络中不同部门终端对应不同的vlan，不同部门间的终端互访也就是vlan间数据的互访，vlan 间的数据转发是在网络的第三层实现的，在核心层设置vlan转发协议实现vlan间的互访也是在核心层实现的，由于核心层交换机要传输不同vlan间的流量。故所有活动端口都要设置为trunk口。在每个交换机上都有网络管理员手动设置vlan，不但增加了管理员的工作负荷，当网络中增加设备时，需要添加或者减少vlan时也会增加手动配置出错的概率

18、。Vtp技术的实现很好的解决了这一问题。Vtp技术通过简单的配置vtp域，设置vtp服务器与vtp客户端，使设备自动动态感知同一vtp域内所有vlan的变化，自动实现vlan的添加于删除工作。避免了手动配置会出错的缺点。在该网络中核心层的交换机被设置为vtp服务器，负责vlan的添加于删除工作。核心层中的4506b交换机用作备份使用，当组交换机出现故障不能正常工作是，备份交换机接替主交换机，实现的功能与主交换机相同，这样可以保证网络的正常运行。备份意味着冗余，网络中设备或者链路的冗余会造成网络环路的发生，为了解决网络中环路的问题，网络中的所有交换机必须运行生成树协议，该网络部署的生成树协议为p

19、vst协议，以解决网络环路问题。为了防止公司的重要的数据的泄漏，重要的部门不允许访问互联网，因此，需要在出口路由器上配置访控列表，来限制这样的部门。公司的网络属于内网，为了节约减少开销，申请一部分ip地址就可以满足需求，因此，需要在内网与外网的出口路由器上配置nat。2接入层功能如下：对于vtp协议，vtp客户端能根据vtp服务器对vlan的添加或删除vlan，动态的对vlan进行改变，核心层交换机配置为vtp服务器， 接入层交换机配置为vtp客户端，才能根据vtp服务器对vlan的操作来增加或删除vlan，从而减少手动对vlan的操作，灵活管理vlan。该网络接入层内的所有交换机均被设置为域

20、client内的vtp客户端。单个快速以太网接口的速度不足以满足某些部门数据传输的要求，从节约成本考虑，链路该网络中各部门中的需要大量数据传输的部分用户终端练级的接入层交换机通过链路聚合技术组成速率更快逻辑信道连接到核心层交换机。该网路中的链路聚合技术采用cisco的端口聚合控制协议（lacp）实现，由于接入层交换机要传输不同vlan间的流量。故所有活动端口都要设置为trunk口。4.2 IP地址规划原则及分布IP地址规划原则：简单性，连续性，可扩充性，灵活性，可管理性，安全性。本网络设计方案的ip地址分布以部门为单位，同一部门划分为同一网段的ip。根据需求分析中的个部门员工数量情况，信息节点

21、最多的为50个信息节点，总共有172个信息点，c类ip完全可以满足要求，由于是企业内部网路，选用192.168.0.0/24用于各部门的网段划分。各部门员工电脑及其他外设ip规划如图-4： 人事部192.168.20.0/24后勤部192.168.30.0/24技术部192.168.40.0/24销售部192.168.50.0/24领导部192.168.60.0/24财务部192.168.70.0/24核心SW-a与出口路由网段192.168.80.0/24核心SW-b与出口路由网段192.168.90.0/24外网段20.0.0.0/24动态nat映射ip202.0.0.0/24图-4 ip

22、地址由于192.168.0.0/24网段是一个内部网段，外网是不允许使用的，所以对于内部企业网而言，网段的划分，可以根据公司的需求进行划分，20.0.0.0/24是供应商提供企业的一个公有ip，202.0.0.0/24是nat的映射地址。224.3 各层的设计4.3.1 核心交换机的设计1 vlan的划分，vtp的设置如图-5所示：为配置命令，对于企业网中不同的部门划分成不同的vlan，以及对vtp的域名的设置。 图-6为vtp配置后显示的结果 ：corS2模式是client，其他交换机也是client模式，只有corS1模式是server ，域名是kobe，Client模式能动态的学习到se

23、rver模式中vlan的增加和删除。2 链路聚合 图-7是端口的聚合的配置命令，即是以太通道的聚合，多条线路负载均衡，提高带宽，容错，当一条线路出错时，其他线路通信，不丢包。图-8是配置命令显示的结果，Fa0/03都是port-channel口。3 Stp的设计图-9是根网桥的配置命令，通过对vlan优先级的配置来设置根网桥，把根网桥分别设置在两个核心交换机上，从而能达到负载均衡，当其中一个出故障时，也不影响正常通信。图-10为根网桥配置命令显示的结果，vlan20是根网桥，vlan20不是根网桥，核心交换机的端口都处于转发状态，在非根网桥上，通过选举，阻塞端口。4 链路的速端口和速链路图-1

24、1为速端口与速链路的配置命令，二者的配置都是为加快网速，拓扑图中只是部分交换机和pc，在实际中，需要配置速端口和速链路来加快网速。图-12为速端口和速链路配置后显示的结果，vlan60上配置Uplinkfast enabled5 核心交换机上的热备份（hsrp）图-13为网关的配置命令，在两个核心交换机都要配置下属网段的实际网关，再为各网段一个虚拟网关，网关的配置起到备份的作用。图-14为配置命令的显示结果，在两个核心交换机上都配置上了网关。图-15为热备份的配置命令，三层交换机具有路由功能，通过对优先级的设置，来决定每个网段内流量的行走路径，vlan 70，,60,50，流量从corS1传输

25、，vlan40,30,20，流量从corS2传输，并且设置了监听端口，如果其中一个路径出故障，监听到后，该设备的优先级会改变，由于备份路由的优先级高，它就升级为活动路由，要在两个核心交换机上设置虚拟网关，这样流量才能按照出口路由的优先级传输数据。图-16 为hsrp配置命令的显示结果，对于vlan 70,60,50，corS1是活动路由，corS2是备份路由，对于vlan40,30,20，corS1是备份路由，corS2是活动路由。6 nat的配置图-17 为动态nat的配置命令，即pat，考虑到企业上网的需求，企业申请一个公用ip地址202.0.0.1/24，企业内部用内部ip地址，通过建立

26、映射，启用端口，进行地址转换，企业内部用户能登上互联网。图-18为nat配置命令的显示结果，通过结果可知，内网可以访问外网，但外网不能访问内网。7 访控列表图-19为acl的配置命令，出于企业的安全性考虑，企业要求财务部门和技术部门不能登入互联网，但是它们内部都能相互交流，设置访控列表。图-19为acl的配置显示结果，在配置Acl之前，技术部是能与外网通信的，配置之后，不能通信其中一个核心交换机出故障图-20为当corS2出现故障时，corS1的hsrp效果，corS1成为下属每个网段的活动路由。图-21 当corS2出现故障时，转发vlan20的数据会从corS1 中转发，会有cost花费。

27、5总结 经过一个多月的努力撰写，终于完成了我的项目报告的设计。在项目的写作过程中，我发现对单纯的一个知识点的掌握很容易，掌握完成该项目所涉及的所有知识点也不是一件困难的事情，真正困难的是如何把所有已经掌握的单个知识点有序恰当的组成一个整体。同时我也深深认识到虽然大学四年里学到了许多知识，但是掌握了知识不一定就掌握了技能，从知识转换到技能，从而使自己的能力能满足社会企业的需要还需要自己不断的努力和学习。网络技术日新月异，跟不上技术更新的步伐就是退步，虽然我即将离开大学校园，但社会本身就是一个校园，那里有无穷的知识需要我去挖掘。在项目的写作过程中，我明白了企业网络的设计绝不是把网络设备用线缆连接在一起那么简单，在网络设计中有许多问题要考虑，比如建网成本，网络宽带，根据不同的网络需求采用不同的网络设备和不同的网络技术等等，因此好好总结经验。致谢该论文的完成，离不开在郑大的四年里，校领导的关怀与照顾，离不开所有教授过我知识技能的所有任课老师，也离不开所有年级干部的敬职敬业的工作。本设计是在郑州大学史苇杭老师的指导下完成的，还得到同学指点，我在此对大家表示诚挚的谢意。