第六章_网络工程实例5
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络规划与设计
交换机选型
•核心层交换机3Com Switch4060
•工作组交换机Superstack 3 Switch 4900 SX •桌面型交换机BaseLine Switch
10/100Mbit/s(24Port)
网络规划与设计
防火墙选型
• 3Com SuperStack 3防火墙可有效保护网络 中的Internet服务器,使其免遭未经授权 访问和其他来自因特网的外部威胁和侵袭。 该预配置的安全解决方案已获得ICSA实验 室的验证,可探测和防止“拒绝服务”以 及“分布式拒绝服务”等高级黑客侵袭方 式。 • 3Com SuperStack 3防火墙具有强大的实时 状态包过滤功能,还提供NAT功能等。
网络规划与设计
网络拓扑结构设计
•网络拓补结构采用树型结构和分层设计思想,优点是 能够准确定位网络需求,扩展和升级好,便于网络管理 •本网络采用三层结构设计,即核心层、汇聚层、接入 层。核心设备及主干网络技术采用1000Base-T技术,汇 聚层设备及线路采用100Base-T技术,接入层设备采用 共享式以太网技术。这样的带宽足以满足企业当前的各 种应用,公司未来即使上多媒体业务应用也不会有问题, 因此节约了公司的投资。各层次网络都提供足够的带宽 保证网络流量畅通无阻,将丢包率降低到最小,且都属 于以太网家族技术,保持了良好的兼容性和升级性。
网络规划与设计
• 研究所年内业务增长规模主要在研发部门,需要 引进更多的技术人才,但估计不会超过2倍的增长。 • OA系统应该提供的功能包括:信息公告、BBS讨论 组、电子邮件群发、日程管理、文件交换、短信 息服务、资源管理、会议管理、考勤管理、办公 物品管理、从事管理和通讯簿等服务,未来还要 向视频会议等多媒体业务发展。
网络规划与设计
4. 网络安全措施
•VLAN设计为局域网内部提供了最大的安全性 •使用公共子网隔离内部网络和外部网络 •远程办事处与公司主网络连接均使用支持VPN技术的 Officeconnect DSL网关,创建安全的专用网连接。 •允许内部用户通过代理主机访问Internet,降低了
内部主机的可跟踪性。
窃听和非授权的跨网段访问。 •使用防火墙分割内部网和外部网,不允许外部用户 访问内部Web服务器、财务数据库和OA服务器等,内 部网用户都必须经过代理服务器访问Internet。 •远程接入用户使用VPN方式访问总部网络,并且限制 远程用户可以访问的主机范围。
网络规划与设计
环境需求分析
•研究所分为总部和办事处两大块,7个办事处分布在
Cwb
Yxb Qhb Yfb1 Yfb2 Wgc
Vlan4
Vlan5 Vlan6 Vlan7 Vlan8 Vlan9
172.16.4.0
172.16.8.0 172.16.9.0 172.16.10.0 172.16.12.0 172.16.14.0
255.255.255.0
255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0
网络规划与设计
某研究所网络业务简介
• 为了适应办公信息化的需要,节约办公经费,研究 所决定实施网络自动化办公,选择Intranet网络平 台,并在原有软硬件基础上开发网络自动化办公系 统,实现自动化办公(Office Automation,OA)并 在将来有选择地实施EC、CRM(客户关系管理)等。
网络规划与设计
网络节点需求与分布
部门(楼层) 所长办公室(二楼) 业务类型 办公自动化 办公自动化 文件传输 办公自动化 财务管理 办公自动化 办公自动化 节点数 5
秘书处(二楼)
人事部(一楼) 财务部(二楼) 营销部(一楼) 企化部(一楼) 开发一部(三楼)
10
8 15 25 10 30
办公自动化
网络规划与设计
设备清单报价表
序号 产品名称 1 2 3 4 5 6 Switch 4060 SuperStack3Switch4900SX SuperStack 3Fire Wall 4900交换机千兆模块 Baseline10/100Switch24-Port 型号 3C17709 3C17700 3CR1611095 3C17710 3C16465C 单价/元 数量 88000 12300 14800 86000 1400 1600 2 4 1 2 12 1
第六章 网络工程实例
6.1 企业网设计实例
6.2 校园网设计实例
网络规划与设计
6.1 企业网设计实例
1.某研究所网络业务简介
• 国内某研究所有一幢四层办公楼,分别设立研发 一部和研发二部,每部门30人左右,预计未来5年 将增加到每部门60人,另外公司还设有人事部、 营销部、企划部、财务部、秘书处和所长办公室 等,总体员工人数在300人左右。研究所在其他大 城市派驻有7个办事处,负责产品销售、技术支持 和产品调研等,需要给研究所获取和反馈最新信 息。
网络规划与设计
虚拟局域网划分及地址分配方案
• 在研究所总部划分虚拟局域网,实现逻辑隔离。为了 便于配置和管理,采用按部门划分虚拟局域网的方法, 并给每一个虚拟网络制定一个子网号。 • 本网申请的IP地址是一个C类地址,只能满足254台主 机接入Internet,对全研究所300个节点而言,略显不 足。为了解决地址缺乏的问题同时也是为了安全性的 需要,采用NAT技术实现内外地址结合使用。 • 内部地址使用B类私有地址172.16.0.0,使用掩码 255.255.255.0,分别给每一部门分配一个254台主机 的地址区间,其中由于研发一部和研发二部主机数目 较多,相邻的一个254地址区间也留做备用。 • 公开IP地址除给防火墙、公共Web服务器和代理服务 器外,其余全部作为NAT地址池使用。
网络规划与设计
网络服务器规划
•财务数据库服务器相对于公司业务非常重要,集中 存放在机房,有管理员专人看管,大大降低了其被盗 的可能性。
•Web服务器经常要被局域网外的用户访问,不属于任 何一个部门或网段,所以应该作为公共服务服务设备 放置在机房。 •研发部内自建的应用服务器和虚拟Web服务器架设在 各研发部内部,由各研发部门指派专人管理,实现该 部门内部的文件共享服务和Web信息发布。
用网,具有价格低廉、安全性较高、带宽足够等优点。
网络规划与设计
Officeconnect Cable/DSL安全网关的主要性能
• • • • • • • 支持缆线或DSL调制解调器,提供配置灵活性。 能让最多253个用户利用ISP单用户定价模式共享Internet。 动态数据包检查防火墙可针对黑客和病毒提供保护。 VPN启动/终止及业界标准IPSec。 带有PPTP的VPN终止,与Microsoft PPTP兼容。 IP功能可提供广域网性能,增强寻址隐私保护和经济性。 黑客模式检测防火墙功能可自动检测和阻塞拒绝服务攻击及 其他常见入侵,提供额外的安全。 • 安装向导和其他功能简化了非技术用户的安装、配置和管理 任务。 • 终身有限保修支持。
• 公司原有一套C/S的财务管理系统,并且在部分部 门连接有简单的100Mb/s对等网,为了保护已有的 投资,公司希望尽可能地保留可用的设备和软件。
网络规划与设计
2. 需求分析
背景需求说明 •该研究所是一家从事电子节能产品研发、生 产、销售的机构,长期为国内各大国营企业 提供安装、调试、维护和研发等服务,分别 在全国7个大城市派驻有办事机构。
网络规划与设计
广域网接入
1)ADSL 10Mb/s接入Internet • 结合单位自身的业务特点制定了使用ADSL接入 Internet的方案。该方案首先是向本地电信局申 请10Mb/s ADSL业务。并且申请一个C类公开网 络地址。 2)远程接入ADSL 2M • 远程接入仍然申请ADSL连接,但带宽选择2Mb/s 就够用了,为了保证安全性,应该使用支持VPN 连接的终端设备。
3Com officeConnectCable/DSL 855
网络规划与设计
网络软件选型
•网络操作系统选择Windows Server 2003企业版, 它基于图形界面的管理操作,应用起来简单方便, 其中的IIS可轻松地实现WWW、FTP、NAT等服务器的 配置。 •邮件服务器软件可选用MDaemon mail Server。它 由美国 Alt-N 公司开发,提供专业的性能和简便的 操作。通过简单的设置,就能自动处理电子邮件, 防范垃圾邮件和病毒。 •网络管理使用Transcend Enterprise Manager网 管软件
网络规划与设计
网络拓扑结构图
•ADSL10Mbit/s 入Internet
接
•远程接入ADSL 2M
网络规划与设计
说明
• 一楼和二楼汇聚层提供100Mb/s带宽基本够用,但 为了扩展性的需要,增加一条冗余线路,使用 Trunking技术,将带宽提高到200Mb/s,同时保证 了汇聚层链路的可用性。 • 由于研发一部和二部未来节点数量将成倍增长,所 以三楼和四楼汇聚层带宽按1Gb/s设计,同样适用 Trunking技术,既提供了一定的冗余性,又将带宽 提高了一倍,硬件开销比较划算。 • 研究所有4台内网服务器和一台网管工作站,访问 Web服务器和财务数据库服务器是网络的主要流量。 网络流量符合80/20规律,绝大部分流量需要在核心 层交换,因此将服务器直接接入核心交换机。 • 为了便于集中管理,管理工作站也放置在核心层, 直接接入核心交换机的100Mb/s端口。
全国若干个大城市。
•总部只有一幢办公楼,共四层,楼层净高3.5m,其
他环境状况依据大楼建筑结构图确定。
网络规划与设计
3. 网络结构设计
网络技术选型 根据需求,采用千兆以太网技术进行组网,它的 主要特点表现在以下的几个方面。 • 经济、实用且具有较高的性能价格比 • 千兆以太网获得广泛支持 • 千兆以太网的兼容性 • 升级性能
Internet,可以申请ISDN、xDSL等,具体方案参考所
在城市的资费标准,建议使用ADSL。
•为了保证远Biblioteka Baidu连接的安全性,广域网技术还要在接
入设备上能支持VPN技术,构建虚拟专用网络。 •移动办公用户也通过VPN接入总部网络。
网络规划与设计
安全性需求
•内部网络使用VLAN分段,隔离广播,防止网络内部
网络规划与设计
虚拟局域网地址分配表
部门
所长办公室 秘书处 人事部
工作组名
Zjl
VLAN号
Vlan1
IP地址
172.16.1.0
掩码
255.255.255.0
Msc
Rsb
Vlan2
Vlan3
172.16.2.0
172.16.3.0
255.255.255.0
255.255.255.0
财务部
营销部 企划部 研发一部 研发二部 网管处
网络规划与设计
背景需求说明
• 随着业务规模的发展,传统的办公模式存在办 公效率低下,资源浪费,经费居高不下的问题。 研究所领导决定在企业内部推行网络自动化办 公系统,提高研究所整体办公效率,压缩办公 经费,并最终提高公司效益。网络自动化办公 系统初期投资费用较高,包括网络系统建设、 软件开发、维护和运行,但正常运行后,维护 和升级费用可以控制在较低水平,保证20年内 的投资效益稳步增长。
•3Com Superstack 3防火墙可有效保护网络免遭未经
授权访问和其他来自因特网的外部威胁和侵袭。
网络规划与设计
5. 网络硬件设备与网络软件选型
路由器选型
由于采用ADSL接入方案,远程分支结构接入Internet选用 3Com公司的Officeconnect Cable/DSL安全网关。该路由 器不仅能够提供分支机构内部的工作站共享带宽的Internet 接入,还可以提供VPN连接,与总部公司网络构成虚拟专
文件传输 文件传输
Internet
网络规划与设计
续上页
开发二部(四楼) 远程办事处
文件传输
Internet
办公自动化 Internet
30 10
网络规划与设计
广域网需求
•总部使用宽带接入Internet,带宽约10Mbit/s,可 考虑使用xDSL、以太网接入等方案。 •各远程连接节点都申请2Mbit/s以内的宽带方案接入
网络规划与设计
业务需求分析
• 研究所目前的局域网应用包括文件共享服务、打印 共享服务和财务管理等,未来将实施Intranet应用, 主要面向OA,需要新增Web服务、E-mail服务等,还
需要采购专门的OA办公软件,添置防火墙等安全设施。
• 研究所广域网包括将本地网络接入Internet,以及 对外地办事处提供远程接入,可以考虑的方案有多种, 如DDN专线、ISDN、xDSL等。
交换机选型
•核心层交换机3Com Switch4060
•工作组交换机Superstack 3 Switch 4900 SX •桌面型交换机BaseLine Switch
10/100Mbit/s(24Port)
网络规划与设计
防火墙选型
• 3Com SuperStack 3防火墙可有效保护网络 中的Internet服务器,使其免遭未经授权 访问和其他来自因特网的外部威胁和侵袭。 该预配置的安全解决方案已获得ICSA实验 室的验证,可探测和防止“拒绝服务”以 及“分布式拒绝服务”等高级黑客侵袭方 式。 • 3Com SuperStack 3防火墙具有强大的实时 状态包过滤功能,还提供NAT功能等。
网络规划与设计
网络拓扑结构设计
•网络拓补结构采用树型结构和分层设计思想,优点是 能够准确定位网络需求,扩展和升级好,便于网络管理 •本网络采用三层结构设计,即核心层、汇聚层、接入 层。核心设备及主干网络技术采用1000Base-T技术,汇 聚层设备及线路采用100Base-T技术,接入层设备采用 共享式以太网技术。这样的带宽足以满足企业当前的各 种应用,公司未来即使上多媒体业务应用也不会有问题, 因此节约了公司的投资。各层次网络都提供足够的带宽 保证网络流量畅通无阻,将丢包率降低到最小,且都属 于以太网家族技术,保持了良好的兼容性和升级性。
网络规划与设计
• 研究所年内业务增长规模主要在研发部门,需要 引进更多的技术人才,但估计不会超过2倍的增长。 • OA系统应该提供的功能包括:信息公告、BBS讨论 组、电子邮件群发、日程管理、文件交换、短信 息服务、资源管理、会议管理、考勤管理、办公 物品管理、从事管理和通讯簿等服务,未来还要 向视频会议等多媒体业务发展。
网络规划与设计
4. 网络安全措施
•VLAN设计为局域网内部提供了最大的安全性 •使用公共子网隔离内部网络和外部网络 •远程办事处与公司主网络连接均使用支持VPN技术的 Officeconnect DSL网关,创建安全的专用网连接。 •允许内部用户通过代理主机访问Internet,降低了
内部主机的可跟踪性。
窃听和非授权的跨网段访问。 •使用防火墙分割内部网和外部网,不允许外部用户 访问内部Web服务器、财务数据库和OA服务器等,内 部网用户都必须经过代理服务器访问Internet。 •远程接入用户使用VPN方式访问总部网络,并且限制 远程用户可以访问的主机范围。
网络规划与设计
环境需求分析
•研究所分为总部和办事处两大块,7个办事处分布在
Cwb
Yxb Qhb Yfb1 Yfb2 Wgc
Vlan4
Vlan5 Vlan6 Vlan7 Vlan8 Vlan9
172.16.4.0
172.16.8.0 172.16.9.0 172.16.10.0 172.16.12.0 172.16.14.0
255.255.255.0
255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0
网络规划与设计
某研究所网络业务简介
• 为了适应办公信息化的需要,节约办公经费,研究 所决定实施网络自动化办公,选择Intranet网络平 台,并在原有软硬件基础上开发网络自动化办公系 统,实现自动化办公(Office Automation,OA)并 在将来有选择地实施EC、CRM(客户关系管理)等。
网络规划与设计
网络节点需求与分布
部门(楼层) 所长办公室(二楼) 业务类型 办公自动化 办公自动化 文件传输 办公自动化 财务管理 办公自动化 办公自动化 节点数 5
秘书处(二楼)
人事部(一楼) 财务部(二楼) 营销部(一楼) 企化部(一楼) 开发一部(三楼)
10
8 15 25 10 30
办公自动化
网络规划与设计
设备清单报价表
序号 产品名称 1 2 3 4 5 6 Switch 4060 SuperStack3Switch4900SX SuperStack 3Fire Wall 4900交换机千兆模块 Baseline10/100Switch24-Port 型号 3C17709 3C17700 3CR1611095 3C17710 3C16465C 单价/元 数量 88000 12300 14800 86000 1400 1600 2 4 1 2 12 1
第六章 网络工程实例
6.1 企业网设计实例
6.2 校园网设计实例
网络规划与设计
6.1 企业网设计实例
1.某研究所网络业务简介
• 国内某研究所有一幢四层办公楼,分别设立研发 一部和研发二部,每部门30人左右,预计未来5年 将增加到每部门60人,另外公司还设有人事部、 营销部、企划部、财务部、秘书处和所长办公室 等,总体员工人数在300人左右。研究所在其他大 城市派驻有7个办事处,负责产品销售、技术支持 和产品调研等,需要给研究所获取和反馈最新信 息。
网络规划与设计
虚拟局域网划分及地址分配方案
• 在研究所总部划分虚拟局域网,实现逻辑隔离。为了 便于配置和管理,采用按部门划分虚拟局域网的方法, 并给每一个虚拟网络制定一个子网号。 • 本网申请的IP地址是一个C类地址,只能满足254台主 机接入Internet,对全研究所300个节点而言,略显不 足。为了解决地址缺乏的问题同时也是为了安全性的 需要,采用NAT技术实现内外地址结合使用。 • 内部地址使用B类私有地址172.16.0.0,使用掩码 255.255.255.0,分别给每一部门分配一个254台主机 的地址区间,其中由于研发一部和研发二部主机数目 较多,相邻的一个254地址区间也留做备用。 • 公开IP地址除给防火墙、公共Web服务器和代理服务 器外,其余全部作为NAT地址池使用。
网络规划与设计
网络服务器规划
•财务数据库服务器相对于公司业务非常重要,集中 存放在机房,有管理员专人看管,大大降低了其被盗 的可能性。
•Web服务器经常要被局域网外的用户访问,不属于任 何一个部门或网段,所以应该作为公共服务服务设备 放置在机房。 •研发部内自建的应用服务器和虚拟Web服务器架设在 各研发部内部,由各研发部门指派专人管理,实现该 部门内部的文件共享服务和Web信息发布。
用网,具有价格低廉、安全性较高、带宽足够等优点。
网络规划与设计
Officeconnect Cable/DSL安全网关的主要性能
• • • • • • • 支持缆线或DSL调制解调器,提供配置灵活性。 能让最多253个用户利用ISP单用户定价模式共享Internet。 动态数据包检查防火墙可针对黑客和病毒提供保护。 VPN启动/终止及业界标准IPSec。 带有PPTP的VPN终止,与Microsoft PPTP兼容。 IP功能可提供广域网性能,增强寻址隐私保护和经济性。 黑客模式检测防火墙功能可自动检测和阻塞拒绝服务攻击及 其他常见入侵,提供额外的安全。 • 安装向导和其他功能简化了非技术用户的安装、配置和管理 任务。 • 终身有限保修支持。
• 公司原有一套C/S的财务管理系统,并且在部分部 门连接有简单的100Mb/s对等网,为了保护已有的 投资,公司希望尽可能地保留可用的设备和软件。
网络规划与设计
2. 需求分析
背景需求说明 •该研究所是一家从事电子节能产品研发、生 产、销售的机构,长期为国内各大国营企业 提供安装、调试、维护和研发等服务,分别 在全国7个大城市派驻有办事机构。
网络规划与设计
广域网接入
1)ADSL 10Mb/s接入Internet • 结合单位自身的业务特点制定了使用ADSL接入 Internet的方案。该方案首先是向本地电信局申 请10Mb/s ADSL业务。并且申请一个C类公开网 络地址。 2)远程接入ADSL 2M • 远程接入仍然申请ADSL连接,但带宽选择2Mb/s 就够用了,为了保证安全性,应该使用支持VPN 连接的终端设备。
3Com officeConnectCable/DSL 855
网络规划与设计
网络软件选型
•网络操作系统选择Windows Server 2003企业版, 它基于图形界面的管理操作,应用起来简单方便, 其中的IIS可轻松地实现WWW、FTP、NAT等服务器的 配置。 •邮件服务器软件可选用MDaemon mail Server。它 由美国 Alt-N 公司开发,提供专业的性能和简便的 操作。通过简单的设置,就能自动处理电子邮件, 防范垃圾邮件和病毒。 •网络管理使用Transcend Enterprise Manager网 管软件
网络规划与设计
网络拓扑结构图
•ADSL10Mbit/s 入Internet
接
•远程接入ADSL 2M
网络规划与设计
说明
• 一楼和二楼汇聚层提供100Mb/s带宽基本够用,但 为了扩展性的需要,增加一条冗余线路,使用 Trunking技术,将带宽提高到200Mb/s,同时保证 了汇聚层链路的可用性。 • 由于研发一部和二部未来节点数量将成倍增长,所 以三楼和四楼汇聚层带宽按1Gb/s设计,同样适用 Trunking技术,既提供了一定的冗余性,又将带宽 提高了一倍,硬件开销比较划算。 • 研究所有4台内网服务器和一台网管工作站,访问 Web服务器和财务数据库服务器是网络的主要流量。 网络流量符合80/20规律,绝大部分流量需要在核心 层交换,因此将服务器直接接入核心交换机。 • 为了便于集中管理,管理工作站也放置在核心层, 直接接入核心交换机的100Mb/s端口。
全国若干个大城市。
•总部只有一幢办公楼,共四层,楼层净高3.5m,其
他环境状况依据大楼建筑结构图确定。
网络规划与设计
3. 网络结构设计
网络技术选型 根据需求,采用千兆以太网技术进行组网,它的 主要特点表现在以下的几个方面。 • 经济、实用且具有较高的性能价格比 • 千兆以太网获得广泛支持 • 千兆以太网的兼容性 • 升级性能
Internet,可以申请ISDN、xDSL等,具体方案参考所
在城市的资费标准,建议使用ADSL。
•为了保证远Biblioteka Baidu连接的安全性,广域网技术还要在接
入设备上能支持VPN技术,构建虚拟专用网络。 •移动办公用户也通过VPN接入总部网络。
网络规划与设计
安全性需求
•内部网络使用VLAN分段,隔离广播,防止网络内部
网络规划与设计
虚拟局域网地址分配表
部门
所长办公室 秘书处 人事部
工作组名
Zjl
VLAN号
Vlan1
IP地址
172.16.1.0
掩码
255.255.255.0
Msc
Rsb
Vlan2
Vlan3
172.16.2.0
172.16.3.0
255.255.255.0
255.255.255.0
财务部
营销部 企划部 研发一部 研发二部 网管处
网络规划与设计
背景需求说明
• 随着业务规模的发展,传统的办公模式存在办 公效率低下,资源浪费,经费居高不下的问题。 研究所领导决定在企业内部推行网络自动化办 公系统,提高研究所整体办公效率,压缩办公 经费,并最终提高公司效益。网络自动化办公 系统初期投资费用较高,包括网络系统建设、 软件开发、维护和运行,但正常运行后,维护 和升级费用可以控制在较低水平,保证20年内 的投资效益稳步增长。
•3Com Superstack 3防火墙可有效保护网络免遭未经
授权访问和其他来自因特网的外部威胁和侵袭。
网络规划与设计
5. 网络硬件设备与网络软件选型
路由器选型
由于采用ADSL接入方案,远程分支结构接入Internet选用 3Com公司的Officeconnect Cable/DSL安全网关。该路由 器不仅能够提供分支机构内部的工作站共享带宽的Internet 接入,还可以提供VPN连接,与总部公司网络构成虚拟专
文件传输 文件传输
Internet
网络规划与设计
续上页
开发二部(四楼) 远程办事处
文件传输
Internet
办公自动化 Internet
30 10
网络规划与设计
广域网需求
•总部使用宽带接入Internet,带宽约10Mbit/s,可 考虑使用xDSL、以太网接入等方案。 •各远程连接节点都申请2Mbit/s以内的宽带方案接入
网络规划与设计
业务需求分析
• 研究所目前的局域网应用包括文件共享服务、打印 共享服务和财务管理等,未来将实施Intranet应用, 主要面向OA,需要新增Web服务、E-mail服务等,还
需要采购专门的OA办公软件,添置防火墙等安全设施。
• 研究所广域网包括将本地网络接入Internet,以及 对外地办事处提供远程接入,可以考虑的方案有多种, 如DDN专线、ISDN、xDSL等。