中小企业组网方案毕业设计
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
毕业论文
中小型企业组网方案设计
中文摘要
计算机网络自从20世纪60年代未诞生以来,仅在几十年间的时间里,即以异常迅猛的速度发展起来,被越来越广泛地应用于政治、经济、军事、生产及科学技术的各个领域。
在当今社会及未来,谁更快获得信息资源,谁就能更有效的使用信息资源,谁就能在各种竞争上占据主导地位,随着计算机网络的发展和宽带接入的普及,各种网络应用将层出不穷,计算机在社会各个领域的应用和影响也早已渗透到了人们工作和生活的各个方面。
目前在中国国民经济和社会发展中一直占据至关重要的战略地位的中小型企业,由于对网络技术的不了解,通常厂商一般都会采用价格最贵化、设备最好化、高度冗余化去做项目的设计,整体的方案将以追求利润为目的,设计的方案经常出现大量设备闲置,而企业出于需求与成本控制等各种因素的综合考虑,希望方案能满足需求的同时控制成本,同时尽量做到冗余且提供投资保护,方便后续的需求扩展,厂商提供的方案与企业的需求就此产生了矛盾,如何设计一个性价比更高、更适合于中小型企业的网络方案是势在必行的课题,此方案的设计使所有的中小型企业在当今及未来的网络建设有着得要的指导及参考意义,也是本次毕业设计方案的主要目的与价值。
本文通过东莞某企业的具体案例来说明中小型企业资金能力及对企业网络的需求进行分析,设计适用于中小型企业的组网方案。
组建一个基本能覆盖整个企业园区、广域网接入、远程访问、数据服务器群等范围的互联网络,将企业内各种计算机、服务器、终端设备连接起来,并通过一定接口连接到广域网。
关键字:网络中小型企业组网路由交换局域网广域网
华南理工大学计算中心计算机科学与技术2008级专升本业余中小型企业组网方案设计
Abstract
Since the 20th century, computer networks, not since the birth of 60 years, only a few years time, that is extraordinarily rapid pace up, were more widely used in political, economic, military, manufacturing and various fields of science and technology . In today's society and the future, who is faster access to information resources, who will be able to more effectively use information resources, who will be able to dominate all competition, with the development of computer networks and the popularity of broadband access, various the emerging network applications, computer applications in all areas of society and the impact has already penetrated into the people in all aspects of work and life. Current economic and social development in China has been crucial to the strategic position occupied small and medium enterprises, because of the lack of understanding of network technology, vendors are usually the most expensive of the generally used, the device is best, highly redundant technology to to do the project design, the overall profit will be for the purpose of the program, often a large number of programs designed equipment idle, and the corporate demand and cost control for a variety of factors into account, hope the plan to satisfy the demand while controlling costs, redundant as far as possible while providing investment protection and facilitate the expansion of the follow-up demand, vendors and business needs of this program had a conflict, how to design a cost-effective, more suitable for small and medium enterprises is inevitable network solution is the subject line, this program is designed to provide small and medium enterprises of all current and future network construction has got to the guidance and reference value, is also the graduate design program's main purpose and value. In this paper the specific case of a company in Dongguan to illustrate the financial capacity of small and medium enterprises and the needs of the enterprise network analysis, design for small and medium enterprise networking solutions. Essential to the formation of a campus-wide enterprise, wide area network access, remote access, data, server farms and other Internet-wide, enterprise of all kinds of computers, servers, terminal equipment and, through a certain interface to connect to WAN.
Keywords: Small and Medium Enterprises group of network LAN WAN network from the exch
第II 页
绪论
随着Internet在全球的发展与普及,企业网络技术的发展以及企业生存和发展需要促成了企业网的形成。
自20世纪90年代以来,企业网络已经成为连接企业、事业单位各部门与外界交流信息的重要基础设施。
基于局域网和广域网技术发展起来的企业网络技术得到迅速的发展。
为了适应网络经济的飞速发展,扩大企业经营的规模和范围,方便企业内部和企业之间的交流,节省办公开销,提高企业的管理水平,企业发展Intranet(企业内部网)已经是刻不容缓。
另外,我国中小型数量已经超过2000万家以上,在国民经济中,60%的总产来自于中小企业,并为社会提供了60%以上的就业机会。
然而,在中国国民经济和社会发展中一直占据着至关重要的战略地位的小中企业,其信息化程度却比较落后。
今后如何应对瞬息万变、竞争激烈的国内外市场环境以及如何利用网络技术迅速提升企业核心竞争力就是成为企业成败的关键所在。
1.1 从企业对信息的需求来看
面对着激烈的市场竞争,公司对信息的收集、传输、加工、存储、查询、预测、决策及即时的交流、沟通等工作量越来越大,原来的电脑出于网络技术或是安全性等因素考虑,一直只是停留在单机工作的模式,各部门及科室间的数据不能实现共享,致使工作效率大大下降,纯粹手工管理方式和手段已经不能适应企业的需要,这将严重妨碍公司的生存和发展。
社会进行要求企业必须改变现有的落后管理体制、管理方法和手段,建立现代企业的新形象,建立本企业的办公自动化管理信息系统(即公司局域网),以提高管理水平,增加经济和社会效益。
1.2 从企业管理和业务发展的角度出发
通过网络对网络资源的共用来改善企业内部和企业与客户之间的信息交流方式,满足业务部门对信息存储、检索、处理和共享需求,使企业能迅速掌握瞬息万变的市场行情,使企业信息更有效地发挥效力;提高办公自动化水平,提高工作效率,降低管理成本,提高企业在市场上的竞争力;通过对每项业务的跟踪,企业管理者可以了解业务进展情况,掌握第一手资料,及时掌握市场动态,为企业提供投资导向,为领导决策提供数据支持;通过企业内部网建立,企业各业务部门可以有更方便的交流沟通,管理者可随时了解每一位员工的情况,并加强以企业人力资源合理调度,切实做到系统的集成化设计,使原有的设备、投资得到有效利用。
因此,有必要建设好中小型企业建设信息网络,以达到最大限度地实现信息资源共享,
并使用电子信息的传递取代纸面文件、材料的传送,逐步实现无纸办公,改变传统的工作方式,进一步提高工作效率。
同时,利用各种业务信息的综合分析,为各级领导提供决策支持,更好地组织生产和经营。
2企业建网涉及的主要网络技术介绍
谈到网络技术,我们不能不想到全球行业的龙头老大—CISCO(思科),它是1984年由斯坦福大学的一对教授夫妇创办,自1986年生产第一台路由器开始,让不同类型的网络可以可靠地互相联接并实现通信,从此掀起了一场通信革命,思科公司每年投入40多亿美元进行技术研发,过去20多年,思科几乎成为了“互联网、网络应用、生产力”的同义词,思科公司在其进入的每一个领域都成为市场的领导者,同时,随着网络技术的发展与成熟,出现了更多的市场竞争者,比如:国外有Juniper、Netcore、阿尔法及LINKSYS等,国内有华为、中兴、TP-Link及D-Link等,本次方案的讨论与设计主要以CISCO(思科)产品为基础设施进行搭建。
2.1CISCO企业网络概述
2.1.1C ISCO企业架构
CISCO开发了一个企业架构,以帮助公司保护、优化和扩展支持业务流程的基础设施,该架构可用于集成整个网络—园区、数据中心、分布机构、远程工作人员和广域网,让员工能够安全地访问所需的工具、流程和服务。
CISCO企业园区架构将智能交换和路由选择的核心基础设施与紧密集成的效率改善技术结合在一起,该架构通过采用富有弹性的多层设计、冗余的硬件和软件功能以及在出现故障时自动重新配置网络路径,向企业提供了高可用性。
CISCO企业数据中心架构是一种内聚的自适应网络结构,在满足整合、业务持续和安全需求的同时,它还支持新出现的面向服务的架构、虚拟化和按需计算,让职员、供应商和客户能够安全地访问应用程序和资源。
这样能够简化管理工作并提高效率,同时极大地降低开销。
冗余的数据中以同步和异步的方式复制数据和应用程序,以提供备份。
CISCO企业分支机构架构让企业能够扩展总部的应用程序和服务(如安全性、IP通信和高级应用)的覆盖范围,以覆盖数千个远程卖点和用户或少量的分支机构。
CISCO在分支机构中的一系列集成服务路由器集成了安全性、交换、网络分析和缓存功能,以及融合的语音和视频服务,让企业无需购买新的路由器就能部署新的服务。
这种架构让用户能够随时随地安全地访问语音、关键任务数据和视频应用。
CISCO企业远程工作人员架构让企业能够通过标准的宽带接入服务,向远程小型或家庭办公室安全地提供语音和数据服务,从而为企业提供弹性的上班时间解决方案,为员工提供灵活的工作时间。
通过集中管理,最大限度地降低了IT支持费用。
集成的安全和基于身份的网络服务让企业能够将园区安全策略延伸到远程工作人员。
员工通过始终可用的VPN安全地登录网络,并从单个平台访问得到授权的应用程序和服务。
CISCO企业WAN架构通过单个CISCO统一通信网提供语音、视频和数据服务,让企业能够以更蔓延的方式扩大其跨越的地理区域。
QoS、细粒度的服务等级和广泛的加密方案有助于确保安全地将高质量的语音、视频和数据服务提供给公司的各个场点,让员工不管身处何地都能高效地工作。
通过使用中央—分支或全互联拓扑,在第二层或第三层WAN 上建立多服务VPN确保了数据流传输的安全性。
2.1.2CISCO企业复合网络模型
CISCO制定了一套有关安全的最佳实践,向网络设计人员和员工支持网络应用和已有的网络基础设施正确地部署安全解决方案提供了蓝图。
该蓝图名为SAFE,其中包括企业复合网络模型,网络专业人员可以使用它来分析和描述任何现代企业网。
企业复合网络模型首先将网络划分成三个功能区域,如下:
企业园区:该功能区包含组建层次园区网所需的模块,接入、集散和核心原则也适用于这些模块。
企业边缘:该功能区域聚合了企业网边缘上各种网络元件的连接性,包括到远程卖点、Internet和远程用户的连接性。
服务提供商边缘:该区域并不是由组织实现的,它用于提供到服务提供商的连接性,如Internet服务提供商(ISP),WAN提供商和公共交换电话网(PSTN)。
这些功能区域包含各种网络模块,而这些模块可以包含层次模型中的核心层、汇聚层和接入层的功能。
2.2园区网络技术
企业园区定义了企业复合网络模型的一个功能区域,它包括以下企业复合模块:园区基础设施、网络管理、边缘分布。
其中园区基础设施模块包括建筑拉入、建筑物布和园区主干了模块。
建立一个完整的园区网络需要涉及到路由、交换与远程访问技术。
它们是现代计算机网络领域中三大支撑技术体系。
2.2.1路由技术
路由协议工作在OSI参考模型的第三层,因此它的作用主要是在通信子网间路由数据包。
路由器具有在网络中传递数据时选择最佳路径的能力,除了可以完成主要的路由任务,利用访问控制列表(Access Control List,ACL),路由器还可以用来完成路由器为中心的流量控制和过滤功能。
在本组网方案中,内网用户不仅通过路由接入Internet、内网用户之间也通过三层交换机上的路由功能进行数据包交换。
2.2.2交换技术
传统意义上的数据交换发生在OSI模型的第二层,现在交换技术还实现了第三层交换和多层交换。
高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了园区网数据交换服务质量,满足了不同类型网络应用程序的需要。
现代交换网络还引入了虚拟局域网(Virtual Local Area Network,VLAN)的概念。
VLAN技术的出现,主要为了解决交换机在进行局域网互连时无法限制广播的问题。
这种技术可以把一个LAN划分成多个逻辑的LAN---VLAN,在每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个VLAN内,如下图2-1 VLAN划分原理所示:
一
图2-1 VLAN划分原理
下面是对VLAN各种特性的讨论:
VLAN的主要特性有:
1、限制广播
广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力。
2、增强局域网的安全性
不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。
3、灵活构建虚拟工作组
用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活,如下图2-2虚拟工作组所示:
图2-2 虚拟工作组
4、VLAN是在数据链路层的,划分子网是在网络层的,所以不同子网之间的VLAN
即使是同名也不可以相互通信。
⏹VLAN的划分依据
从技术角度讲,VLAN的划分可以依据不同原则,一般以下三种划分方法:
1、基于端口的VLAN划分
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法,该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
2、基于MAC地址的VLAN划分
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一且固化在网卡上的,MAC地址由12位16进制数表示,前6位为网卡的厂商标识(OUI),后6位为网卡的标识(NIC),网络管理员可以按MAC地址把一些站点划分为一个逻辑子网。
3、基于路由的VLAN划分
路由协议工作在网络层,相应的工作设备有路由器和路由交换机(却三层交换机),该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
目前来说,对于VLAN的划分主要采取上述1、3种方式,第2种方式为辅助性的方案。
⏹不同VLAN间的通信
在不同VLAN间不通过路由是无法通信的,在VLAN内的通信,必须在数据帧头中指定通信目标的MAC地址,而为了获取MAC地址,TCP/IP协议下使用的是ARP,ARP解析MAC地址的方法,则是通过广播,也就是说,如果广播报文无法到达,那
么就无从解析MAC地址,亦即无法直接通信。
计算机分属不同的VLAN,也主意味着分属不同的广播域,自然收不到彼此的广播报文,因此,属于不同VLAN的计算机之间无法直接互相通信,为了能够在VLAN 间通信,需要利用OSI参照模型中更高一层---网络层的信息(IP地址)来进行路由。
因此,在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现,如下图图2-3 VLAN间路由所示:
图2-3 VLAN间路由
VTP协议
当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(Vlan Trunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN,然后通过VTP协议将VLAN定义传播到本征管理域中的所有交换机上,这样,大大减轻了网络管理人员的工作负担和工作强度。
VTP(Vlan Trunking Protocol):是VLAN中继协议,也被称为虚拟局域网干道协议。
它是一个OSI参考模型第二层的通信协议,主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名,在一台VTP Server上配置一个新的VLAN时,该VLAN的配置信息将自动传播到本域内的其他所有交换机,这些交换机会自动地接收这些配置信息,使其VLAN的配置与VTP Server保持一致,从而减少在钓鱼台设备上配置同一个VLAN信息的工作量,而且保持了VLAN配置的统一性。
VTP通过网络(ISL帧或cisco私有DTP帧)保持VLAN配置统一性,VTP在系统级管理增加、删除,调整的VLAN,自动地将信息向网络中其它的交换机广播,此外,VTP减小了那些可能导致安全问题的配置,使用BTP便于管理,只要在VTP Server 做相应设备,VTP Client会自动学习VTP Server上的VLAN信息。
VTP有三种工作模式:VTP Server、VTP Client和VTP Transparent,如下图所示,一般,一个VTP域内的整个网络只设一个VTP Server,VTP Server维护该VTP域中所
有VLAN信息列表,VTP Server要吧建立、删除或修改VLAN,VTP Client虽然也维护所有VLAN信息列表,但其VLAN的配置信息是从VTP Server学到的,VTP Client 不能建立、删除或修改VLAN,VTP Transparent相当于是----上独立的交换机,它不参与VTP工作,不从VTP Server学习VLAN的配置信息,而只拥有本设备上自己维护的VLAN信息。
VTP Transparent可以建立、删除和修改本机上的VLAN信息,所下图2-4 VTP模式所示:
图2-4 VTP模式
STP(Spanning Tree Protocol,生成树协议)
企业网络首要关心的就是高可用性,它在很大程度上依赖于处理业务的多层交换网络,确保高可用性的方法之一就是在整个网络中提供设备、模块和链路的冗余,但是,第二层的网络冗余可能传导致潜在的桥接环路,数据包将在设备之间无休止地循环,进而破坏网络的正常工作能力。
STP能够识别并防止这种第二层环路,STP使用根网桥、要端口和指定端口等概念建立网络的无环路径。
STP能够克服冗余网络中透明度桥接的问题,通过采用无环路径,STP能够避免和消除网络中的环路,STP可以通过判断网络中存在环路的地方并阻断冗余链路,从而达到上述目的,确保到每个目标都只有一条路径,所以永远不会产生环路,如果发生某条链路失效情况,那么网桥就会将接口从阻塞状态过渡到转发状态。
园区网内部部署方式
为了简化交换网络设计、提高交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的,园区网数据交换设备可以划分为三个层次:接入层、分布层、核心层。
接入层为所有的终端用户提供一个接入点;分布层除了将接入层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能;核心层将各分布层交换机互连
起来进行穿越园区网骨干的高速数据交换。
2.2.3远程访问技术
远程访问也是园区网络必须提供的服务之一,它可以为家庭办公用户和出差在外的员工提供移动接入服务,下面对各种远程接入方式进行比较:
⏹各种远程接入方式的比较
1)远程拨号
采用远程拨号方式,必须申请电话线,用户多时,需申请中继电话线,而且需要Modem Pool将模拟信号转换成数字信号,拨号访问服务器将串行数据转换为网络上传输的IP数据包,同时多数企业较难接入设备提供理想的工作环境,不能确保信息传输的质量和安全。
2)、租用专用线路
在过去的数十年间,许多企业花费大量资金租用专用线路,将其主要分支机构连接起来组成该企业的私有通信网络,以达到信息在企业内部的快速沟通和共享,这样企业在获得高效率的同时,也为租用专用线路付出了较高的成本。
3)、VPN远程接入
VPN(Virtual Private Network)即虚拟专用网是在公共网络上建立的专用网络,但其任意2个结点间的连接并没有传统专用网络所需的点到点的物理链路,而是架构在公共网络(Internet)服务商(ISP)所提供网络平台上的逻辑网络,用户数据通过ISP 在公共网络中建立的逻辑隧道(Tunnel),即点到点的虚拟专线进行传输,通过加密技术和认证技术,确保企业内部网络数据在公共网络上安全传输,真正实现网络数据的专有性。
VPN远程接入方式最适用于企业经常有人员出差需实现远程办公的情况,出差员工利用当地ISP提供的上网服务,即可与企业VPN网关建立私有隧道连接。
VPN远程接入方式有以下主要优势:
简化网络:只需要接入1台VPN网关设备,即可解决几十到几千人的远程接入问题。
节省费用:利用本地拨号接入取代远距离接入或800电话接入,显著降低长途通信费用,减少了用于购置调制解调器和终端服务设备的费用。
支持多种标准认证机制如LDAP、RADIUS等。
多接接入方式:无论用户采用那种方式访问互联网,均可建立VPN连接;
自由选择规模:无论企业大小,VPN都有相对应的产品,用户数可为5~5000个;
具有高可用性:对于接入用户较多的企业,VPN支持远程接入的高可用模式,保障用户服务的连贯性。
⏹Easy VPN方式
Easy VPN是CISCO的一种特征,它允许使用CISCO VPN客户端软件一类实施IPSec远程访问设备。
由于可以使用CISCO路由器或者PIX来配置Easy VPN服务器,而不需要另外增加其他设备,对于已经拥有一台大容量的边缘路由,而且仅需要少量的远程访问用户的企业来说,这无疑在保证了远程访问的高安全性的前提下,可以在成本控制上有更大的优势。
这也是本设计方案所采用它作为远程访问方式的原因。
2.2.4热备份路由协议(HSRP)
随着Internet的日益普及,人们对网络的依赖性也越来越强,这同时对网络的稳定性提出了更高的要求,人们自然想到了基于设备的备份结构,就像在服务器中为提高数据的安全性而采用双硬盘结构一样,路由器是整个网络的核心和心脏,如果路由器发生致命性的故障,将导致本地网络的瘫痪,如果是骨干路由器,影响的范围将更大,所造成的损失也是难以估计的,因此,对路由器采用热备份是提高网络可靠性的必然选择,在一个路由器完全不能工作的情况下,它的全部功能便被系统中的另一个备份路由器完全接管,直至出现问题的路由器恢复正常,这就是热备份路由协议(Hot Standby Router Protocal),HSRP RFC2281技术要解决的问题,如下图2-5 HSRP热备一所示:
图2-5 HSRP热备一
热备份路由器协议(HSRP)是思科私有的协议,它的设计目标是支持特定情况下IP 流量失败转移不会引起混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性,负责转发数据包的路由器称之为主动路由器(Active Router)。
一旦主动路由器出现故障,HSRP将激活备份路由器(Standby Routers)取代主动路由器,HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制,并指定一个虚拟的IP地址作为网络系统的缺省网关地址。
如果主动路由器出现故障,备份路由器(Standby Routers)承接主动路由器的所有任务,并且不会导致主机连通中断现象,如下图2-6 HSRP热备二所示:
图2-6 HSRP热备二
HSRP运行在UDP上,采用端口号1985,路由器转发协议数据包的源地址使用的是实际IP地址,而并非虚拟地址,正是基于这一点,HSRP路由器间能相互识别。
现思科公司的第三层交换机也支持该协议,HSRP根据对两互备份路由器或交换机的优先级设定,将其中一台设备置为活动状态,而另一台设备置为备用状态,当主设备发生故障时备用设备能立即启用,这就是所谓“热备”的含义,对网络中正常工作的用户而言,这一切都是透明不可见的,从而保证了网络的正常运行。
2.3本章小结
本章介绍了Cisco对中小型企业的架构、对中小型企业复合网络模型建设;还介绍了当今组建中小型企业园区网络的主要技术,包括了路由技术、交换技术、VLAN技术、远程访问技术及冗余热备份技术等,这些都是在组建一个高可用性企业网络中必须涉及的相关技术。