某企业网络系统规划与设计
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
某企业网络系统规划与设计
目录
一、需求分析 (3)
1、背景 (3)
2、设计原则 (3)
二、总拓扑 (6)
三、总体设计思路 (6)
四、路由规划 (7)
五、Ip地址及vlan规划 (7)
六、关键技术分析 (8)
七、设备选型 (9)
1.选型原则 (9)
2.设备清单及报价 (9)
八、配置命令 (10)
1.在接入层交换机下端口配置端口安全 (10)
2.接入层与分布层之间相连的链路配置trunk (10)
3.接入层与分布层交换机配置vtp (10)
4.在分布层交换机创建vlan (10)
5.将接入层上端口划分vlan (10)
6.将交换机的链路进行捆绑 (11)
7.VRRP配置 (11)
8.配置ospf协议 (11)
9.防火墙上的nat及下放默认路由 (12)
一、需求分析
1、背景
某企业,考虑了将来,大约2000用户,基本均匀分布于四栋楼。每栋楼
约4层,人员均匀分布。服务器10台集中于机房。用户无大数据量应用。现需要组建局域网,要求网络保证一定稳定性,网络主干中断最多为1分钟。
2、设计原则
多业务网络系统方案以实现以上功能为基本要求,在设计上力
求做到既要采用国际上先进的技术,又要保证系统的安全可靠性和
实用性。具体来讲,其设计遵循以下原则:
可靠性:本系统是7x24小时连续运行系统,从硬件和软件两方面来保证系统的高可靠性。
硬件可靠性
系统的主要部件采用冗余结构,如:传输方式的备份,提供备份组
网结构;主要的计算机设备(如数据库服务器),配备不间断电源等。
软件可靠性
充分考虑异常情况的处理,具有强的容错能力、错误恢复能力、错
误记录及预警能力并给用户以提示;并具有进程监控管理功能,保
证各进程的可靠运行数据库系统应。
网络结构稳定性
当增加/扩充应用子系统时,不影响网络的整体结构以及整体性能,对关键的网络连接采用主备方式,已保证数据的传输的可靠性。
先进性:网络技术应为当期国际同业中先进的,并能支持未来网络技术的高性能需求,并且在业界表现出较高的网络性能;
实用性:整个网络系统要按照实用、好用的原则,使网络具有较高的实用性;
时效性:网络要保证各类业务数据流的及时传输,网络时效性要强,网络延时要小,确证业务交易的实时高效完成。
完整性:网络系统应实现端到端的,能整合数据、语音和图象的多业务应用,需要在全网范围统一的实施安全策略、QoS策略、流量
管理策略和系统管理策略的完整的一体化网络;
可实施性:整个网络解决方案的实施要便于实际的实施,并在实施过程中要保证现有网络和切换的完整性和一致性,确保实施工作的正常、顺利。
可扩展性:随着技术不断发展,新的标准和功能不断增加,网络设备必须可以通过网络进行升级,以提供更先进、更多的功能。在网络建成后,随着应用和用户的增加,核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化
的设计以及多种类接口、技术的选择,以方便未来更灵活的扩展。兼容性:跟踪世界科技发展动态,网络规划与现有光纤传输网及将要改造的分配网有良好的兼容,在采用先进技术的前提下,最大可能地保护已有投资,并能在已有的网络上扩展多种业务。
安全性:网络的安全性对网络设计是非常重要的,合理的网络安全控制,可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问,灵活的实施网络的安全控制策略。在企业园区网络中,关键应用服务器、核心网络设备,只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限,网络应该能够阻止任何的非法操作。在园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模园区网络的设计上,划分虚拟子网,一方面可以有效的隔离子网内的大量广播,另一方面隔离网络子网间的通讯,控制了资源的访问权限,提高了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力,使网络可以任意连接,又可以从第二层、第三层控制网络的访问。
可管理性:网络中的任何设备均可以通过网络管理平台进行控制,网络的设备状态,故障报警等都可以通过网管平台进行监控,通过网络管理平台简化管理工作,提高网络管理的效率。
二、
总拓扑
三、总体设计思路
整个网络通过企业总部上Internet ,在企业总部设置有防火墙,
用于防护企业内部网络的安全,且在防火墙上进行NAT 转换,使得
整个企业的网络能上Internet 。
网络总体使用三层结构,分别是核心层、分布层和接入层。核
心层设有两台核心交换机,核心交换机使用上行链路与路由器连接,
保证冗余性。核心交换机间可以使用链路捆绑链路进行连接,保证
核心交换机间的链路冗余性及提高链路的可靠性。企业内部服务器
核心交换机相连,保证数据的高速转发,且使用双链路分别与两台核心交换机相连,保证冗余性,减少因链路故障带来的影响,提高
网络的可靠性。
除服务器外,各部门的信息点都连接到接入层交换机,在接入层上端口划分vlan,同一部门的计算机都在同一vlan,并采用VTP Prune技术,避免trunk链路的不必要流量。
在分布层交换机上创建vlan,自动发布到接入层交换机。
接入设备的网关设在核心交换机,并且使用vrrp在两台核心交换机间实现冗余。
四、路由规划
为了使各栋楼实现高效的互联,并且便于网络管理与维护,整个网络采用OSPF协议,将总部A栋的三层交换机、防火墙、路由器划分为Area0,其他各个分部B、C、D栋分别划分为
Area1,Area2,Area3,以此类推。总部与分部相连的链路划为Area0。在区域便界进行网络汇总,保证网络正常的同时,尽量减少路由条目,提高路由器的转发效率。
五、Ip地址及vlan规划
防火墙连接ISP的ip地址为58.68.100.9/30