网络总体拓扑图
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第三章网络总体设计
3.1.网络总体拓扑图
考虑到总公司的实际需求(总公司办公楼三座,员工住宿楼5座公司实际人数800人),因此在进行网络设计是不仅要 / 考虑二成的冗余,同时还要进行三层的冗余。在二层冗余建议使用思科的私有协议每VLAN生成树协议,由于总共五个部门,不会因为广播BPDU帧而影响网络的正常运行,而且还可以充分利用现有的网络资源,防止单台核心设备的负载太重而导致的网络性能问题。在进行三层冗余时,我们建议采用两台Cisco Catalyst 3560(或使用49系列)做热备,同时使用Cisco 私有热备份路由协议技术(HSRP)。Cisco Catalyst 35系列交换机是一种价格低廉,有较高转发速率的三层交换机,同时还是CISCO生产线中适合做HSRP的交换机之一。HSRP是思科的私有协议,它的优点是网络的收敛速度快,能够更好的使用网络变化,它可以根据需求配置成多组HSRP,实现网络的冗余容错等功能,这样设计不但保证网络的高可用性和稳定性,还能够充分利用现有设备的资源,以避免单台核心设备的负载太重而导致的网络性能问题。由于公司的MAIL、DNS服务器都很少进行配置的更改,我们建议使用高端、稳定、具有良好安全性的LINUX操作系统;对于FILE、FTP、WEB
2(由于使用两台web,我们建议web1使用liunx操作系统)作为公司中需要不断的进行性能改善与配置更改得设备,我们建议使用易操作、以管理的window 操作系统。对于AD的选择,由于要不断的进行策略的更改下发、加上LINUX系统域服务远不如WINDOW,我们建议使用window操作系统,这样便于网络管理员进行操作。由于公司有大量的顾客以及公司员工要访问公司web服务器,我们将通过在核心路由器上配置轮训,以实现两台web服务器的负载均衡。
由于分公司也连接internet,那么内部网络安全问题仍然不能忽视。分公司人员只有40-50人,那么访问internet占用的流量不多我们建议使用ISA来做分公司的网络防火墙。这样虽说能够承载的网络流量不如硬件防火墙,但能够满足分公司的现在以及未来的网络需求。
对于外出的工作人员,他需要了解公司的相关情况,我们建议通过使用廉价、方便、快捷的easy VPN实现外出用户的远程拨入,同时这样还能为公司工作人员实现家庭办公提供有利的条件。
由于总公司与分公司相距较近,且两公司之间有大量的实时数据进行传递,同时从安全的角度进行考虑,总公司与分公司之间使用专线连接(协议选择PPP 协议)是最佳选择。为保证网路的冗余性如果专线出现问题,我们建议分公司通过IPSEC VPN实现与总公司的网络链接。
如上图所示,整体网络可以根据功能划分为总部核心网络 / 、内联接入包括办公网络、数据中心、分公司接入等,各区域相对独立,通过核心网络进行数据的交互。各区域可以各自建立交换网络、路由接入、网络安全体系,可以有独立的安全策略、数据流量控制等个体的特性,而需要和其他区域的设备进行通讯的时候,则必须遵守核心网络区的策略。
作为总公司,需要向分公司及总公司内的员工进行软件的安全,策略的发布等。如果通过管理员手动设置的方式进行相关操作,很不现实,通过域模型可以很方便的解决这个问题。因此我们建议在总公司设立一台域控制器,以便于对公司员工的计算机进行统一的管理。
由于公司员工不仅要上公司内部网络,同时还要能够进Internet网络,而公司内部有自己的DNS服务器,显然使用DNS转发器是一种方便快捷的技术。
3.2 网络层次化设计
随着网络技术的迅速发展和网上应用量的增长,分布式的网络服务和交换已
经移至用户级,由此形成了一个新的、更适应现代的高速
大型网络的分层设计模型。这种分级方法被称为“多层设计”。多层设计有以下一些好处:
1:多层设计有很好的容错功能.
2:多层设计是模块化的,网络容量可随着日后网络节点的增加而不断增大。3:多层网络有很大的确定性,因此在运行和扩展过程中进行故障查找和排除非常简单。
4:多层网络系统设计最有效地利用多种第3 层业务,包括分段﹑负载分担和故障恢复等。
5:多层网络中运用智能第3 层业务可以大大减少因配置不当或故障设备引起的一般问题。
6:多层模式使网络的移植更为简单易行,因为它保留了基于路由器和交换机的网络原有的寻址方案,对以往的网络有很好的兼容性。
7:多层结构也能够对网络的故障进行很好的隔离。通常pc及无法通过连接多台交换机实现冗余,但接入层交换机出现故障,连接此台交换机的pc不能正常运行,其它交换机上的设备仍能正常工作。
9:多层设计有很好的冗余性。随着网络规模的不断扩大,网络的可用性变的越来越重要。由于分层设计的网络每台接入层交换机连接两台汇/ 聚层交换机,每台汇聚层交换及连接两台核心层交换机,借以确保路径的冗余性。
针对实际情况我们可以采用二层结构模型。二层结构模型划分核心层、接入层。每个层次完成不同的功能。
核心层
核心层作为整个网络系统的核心。它的功能主要是实现骨干网络之间的优化传输,核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分,其主要功能是高速、可靠的进行数据交换。
业务汇聚层
业务汇聚层重点任务通常是冗余能力、可靠性、为接入层交换机提供接口和高速的传输,同时进行接入层的数据流量汇聚,并对数据流量进行访问控制(包
括访问控制列表、VLAN 路由等等)。汇聚层是多台接入层交换机的汇聚点,它必须能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路,因此汇聚层交换机与接入层交换机比较,需要更高的性能,更少的接口和更高的交换速率。
接入层
接入层主要任务是为终端用户提供足量的接口。因此接入层交换机具有低成本和高端口密度特性。同时,接入层是最终用户与网络的接口,它应该提供即插即用的接口,同时应该非常易于使用和维护。主要是进行VLAN的划分、与分布层的连接等等。
3.3 核心层设计
核心交换机的作用是尽快地提供所有的区域间的数据交换。我们推荐使用两台Cisco Catalyst 3560交换机完成此项功能。两台3560交换机高性能、可靠性、可用性是我们主要考虑的因素。本区的安全性可以由边界防火墙提供,如有需要在3560 上面可以部署安全策略,使得核心交换区的安全性进一步地增强。Cisco Catalyst 3560 系列凭借众多智能服务将控制扩展到网络边缘,其中包括先进的服务质量 (QoS)、可预测性能、高级安全性和全面的管理,同时它还支持图形化配置。它提供带集成永续性的出色控制,将永续性集成到硬件和软件中,缩短了网络停运时间。Cisco Catalyst 3560 系列的模块化架构、介质灵活性和可扩展性减少了重复 / 运营开支,提高了投资回报(ROI),从而在延长部署寿命的同时降低了拥有成本。
3.4 接入层设计
对于公司连接员工的接入层交换机采用思科的WS-C2960 以千兆以太链路
和汇聚交换机相连接,并为用户终端提供10/100M 自适应的接入,从而形成千兆为骨干,百兆到桌面的以太网三层结构。办公系统所需的各种服务器如WEB服务器、邮件服务器、FTP服务器、域控制器等组成服务器群,数据中心的多种金融系统应用服务器, 连接到汇聚交换机的千兆模块上面,因此,内部的局域网是采用双层结构组建。对于连接服务器的接入层交换机,建议使用有较高吞吐量的交换机二层交换机来做接入层接入,以满足当前以及未来的网络需求,在这里我们建议使用SR2042系列交换机
3.5 内联接入
内联接入的作用是用于连接总公司和分公司之间的网络。我们推荐总公司是