《园区网络规划设计方案.docx》由会员分享,可在线阅读,更多相关《园区网络规划设计方案.docx(13页珍藏版)》请在第壹文秘上搜索。
1、区网络规划设计方案目录1建设效果41.1 先进性41.2 安全性41.3 高可用性/可靠性41.4 可扩展性和可升级性51.5 易管理和易维护性52建设方案52.1 方案概述52.2 设计思想62.3 方案描述63IP地址规划原则93.1 地址规划103.2 地址分配134结语14现代企业网已经从早期的简单的数据共享发展到全方位的内部共享,从过去单一地理位置的网络发展到全球各个分支网络的互联。中小型园区网络的设计与实现对技术的要求越来越高。在此从网络建设各个方面的需求分析入手,在深刻领悟并运用VLAN精髓的基础上,利用科学的IP规划方案,提出了现代中小型园区网的建设思路。该网络具有高安全性、高
2、可靠性、可扩展、易维护等一系列优点。对于现代办公的场所,智能化必不可少,包括综合布线、视频监控、会议电视、智能门禁、一卡通消费、安防报警、自动OA等弱电集成,而信息化业务正是智能建筑的要素之一,方案主要就在办公大楼内部署信息化网络的方案进行描述。拟订某公司的新建办公大楼作为局域网建设的模型。设定大楼共5层高,每层建设有弱电间一个,整个大楼设中心机房一间,规划信息接入点共150个(即150台计算机终端)。大楼的局域网建设自己的内网,办公业务内网是新大楼及后勤服务配套设施内各单位数据通信的主要平台,为各种办公应用系统提供高效、可靠、安全的通信途径。向楼内用户提供内部办公、内部办公商务、部署各类内网
3、服务器等,同时,可灵活设置大楼内用户权限,限定用户访问互联网的权限。假设此办公大楼的内部网络又可按照所属的部门、职能、安全重要程度分为许多子网(即VLAN),包括:财务子网、领导子网、办公室子网、市场部子网、各类服务器子网等。通过VLAN技术的应用可以将这些用户区分开来。1建设效果1.1 先进性新建办公楼的信息网络必须满足日新月异的信息化发展及新业务的开展,要求所用设备支持所有国际通用标准,良好的售后服务。数据网络设备须选用具有国际的的先进水平,均为业界领先并且应用广泛的高性能交换机。1.2 安全性由于以太网的广播特性,某台计算机感染病毒后会在局域网中散播,因此在设备选择上须重视设备对病毒包的
4、抑制过滤能力、ACL能力、对用户终端的控制手段等。所选用的数据网络设备均支持丰富的ACL访问控制列表,对用户进行线速的数据包过滤。此外,根据客户需求还可以在用户侧进行PORT-MAC地址捆绑、MAC地址-IP地址捆绑等功能,有效得对网络内部的用户、地址进行控制和管理。1.3 高可用性/可靠性网络设备具有良好的可靠性保证,可热插拔的模块,快速的恢复机制,冗余及负载均衡的电源系统,控制模块的冗余等。通过VRRP与STP技术实现网络结构的冗余,确保不因为单条线路的故障而导致整个网络系统的失效,并且确保在某条线路故障时对系统性能的影响也能最1.4 可扩展性和可升级性实施的网络具有良好的扩展性(拓扑结构
5、、线卡等),整个网络可以在各层扩充设备,并通过网管系统进行统一管理。为今后的网络扩展留有足够的空间,必须具有高度的可扩充性,可有效地对用户提供投资保护。1.5 易管理和易维护性通过网管软件的安装对整个网络提供实时端口级的管理,拓扑管理、LAN的配置和管理,并提供各种管理策略,有效地对整个网络进行管理、控制和维护。为网络提供完善的管理、配置、故障、性能、统计管理。可选择结合业界领先的集群管理技术,做到交换机即插即用,大大简化了配置过程,为日后扩容提供了便利。2建设方案2.1 方案概述既然内部网络可按照所属的部门、职能、安全重要程度分为许多VLAN子网,包括:财务子网、领导子网、办公室子网、市场部
6、子网、各类服务器子网等。在方案设计中,基于安全的重要程度和要保护的对象,可以在交换机上划分为4个虚拟局域网(VLAN),即:各类服务器子网、财务子网、领导子网、其他子网。不同的局域网分属不同的广播域,由于财务子网、领导子网、中心服务器子网属于重要网段,因此在中心交换机上将这些网段各自划分为一个独立的广播域,而将其他的工作站划分在一个相同的网段。2.2 设计思想设计思想为:采用高速、高性能的网络主干;网络根据需要划分不同的虚拟网;虚拟网之间的数据交换通过集中的路由功能实现;网络主干应有极强的扩充能力,网络性能不会因为网络的扩充而降低;与广域的路由器和主机配合实现广域上网络资源的备份和数据分流;保
7、障局域网上的安全性;2.3 方案描述由于局域网中存在多个不同安全级别的网络用户,例如财务系统和普通的一般工作机器,因此从安全的角度看应该将这些用户进行隔离。一个最基本的工具就是VLAN,对不同的网络用户进行隔离。更复杂一些的方案是通过VPN等。在目前的技术情况下,一般是使用VLAN进行隔离居多。为使得用户可以访问公司内部,或者外部的一些公共资源,虽然通过VLAN可以进行物理层面的隔离,但是希望他们在IP层是互通的,为此需要对不同的用户/主机分配IP地址。对大型网络,可以通过不同的楼层为单位进行IP地址的分配,这样可以获得比较好的地址汇聚能力,可以减少对路由表的需求。另外一种比较可行的方案是使用
8、DHCP自动地址分配策略,减少网络使用的复杂度。根据以上对网络的分析以及方便扩容的原则,规划整个网络分为核心层和接入层两级架构:(1)在办公楼的中心机房选用配置1台中兴通讯的ZXRIOGER02作为出口路由器,上联至防火墙实现百兆接入Internet;(2)选用1台中兴通讯的ZXR10T40G作为核心层路由交换机,通过高密度的千兆光接口板汇聚接入交换机设备,通过百兆电接口板连接各类服务器;(3)在每个楼层部署1台中兴通讯ZXR102852S作为接入层交换机,通过千兆光纤上联至核心交换机,通过百兆双绞线下联用户计算机终端;网络拓扑图图1网络拓扑结构中兴通讯的接入级以太网交换机支持4K个标准VLA
9、N,可基于端口、MAC地址、各种策略来划分VLAN,能提供48个固定的IoM/100M以太网口和2个固定的100oM光口和2个固定的10M/100M/1000M自适应电口。本方案中采用在接入交换机2852S上基于端口划分VLAN的方式,使各类用户都可以接入网络,VLAN号和VLAN名称规划如表1所示。在核心交换机ZXR10T40G上建立各个子网的VLAN网关,各子网内可以相互通信,但子网间的通信必须通过网关实现,网管人员可以通过访问控制列表ACL来灵活调整VLAN间的互访关系,从而达到限制用户行为的目的。在给不同的用户群划分完VLAN之后,还需要为不同的VLAN内的用户分配不同的IP地址,不同
10、的子网IP地址也是不同的,局域网内的IP地址一般选用私网IP(关于IP地址的内容详见后面章节),考虑到以后的扩容,本次为每个网段分配1个C类地址,即每个子网的可用IP地址数为254个。各子网的IP地址规划如表2所示。出口路由器GER采用先进的CroSSbar交换结构以及高性能的网络处理器技术,以中小型路由器的体积,提供32Gb/s的大容量交换能力,支持多个2.5Gb/sPOS、GE、FE、155MPOS等高速端口以及高密度的E1接口,支持灵活的组网方式。可以提供2个用户接口插槽供用户选择,充分满足用户分步建设的需求,ZXR10GER路由器具有良好的扩展性,可充分保护用户的投资。GER采用硬件实
11、现强大的NAT功能,NAT并发会话数高达1M,可以作为高性能的NAT网关产品。论文网表1VLAN号和VLAN名称规划VLAN编号VLAN名实现功能2server各类服务器子网3leader领导子网4finance财务子网5other其他子网表2各子网的IP地址规划VLAN编号VLAN名实现功能地址划分掩码网关2server各类服务器子网192.168.2.1-192.168.2.254255.255.255.0192.168.2.13leader领导子网192.168.3.1-192.168.3.254255.255.255.0192.168.3.14finance财务子网192.168.4.
12、1-192.168.4.254255.255.255.0192.168.4.15other其他子网192.168.5.1-192.168.5.254255.255.255.0192.168.5.1整个网络采用了先进的以太交换网络技术、高速的桌面接入能力实现了网络数据传输的高效性,同时整个网络具有开放性、标准化的网络体系,支持各种异构计算机网络之间的互连。另外,该网络方案还具有以下特点:(1)整个系统具有较高的性能价格比,并能够很好地保护用户投资。对于入驻的业主也可以有所选择,根据业主需求构建内部网络;(2)具有前瞻性、先进性和可扩展性,要满足未来10年业务的需求,具备软件可升级、端口可支持万兆
13、、设备支持MPLS等扩展性;(3)具有开展业务的灵活性,适应业务模式和业务量的变化要求,网络设备支持各种路由协议,并具备平滑升级的能力;(4)具备很高可靠性和安全性,在多个层次上实现安全访问控制;能够对根据需要对不同用户、不同应用、不同接入方式统一进行认证;可以对关键应用系统进行隔离和访问控制;对外网(互联网和合作伙伴)进行隔离和访问控制;具有DOS和DDOS防护能力等深层防御能力;(5)选择的软硬件产品应具有一定的通用性,采用标准的技术、结构、系统组件和用户接口。3IP地址规划原则网络地址、域名统一规划油于IP地址及域名尚未确定,本次方案中只简要提出IP分配及域名规划的原则。域名规划要注意层
14、次性和一致性。内部域名、外部域名要分别设置,能体现组织结构并易于管理。地址分配要遵循原则:简单性。地址的分配应该简单,避免在主干上采用复杂的掩码方式;连续性。为同一个网络区域分配连续的网络地址,便于采用SUMMARIZATION及CIDR(CLASSLESSINTER-DOMAINROUTlNG)技术缩减路由表的表项,提高路由器的处理效率;可扩充性。为一个网络区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍然能够保持地址的连续性;灵活性。地址分配不应该基于某个网络路由策略的优化方案,应该便于多数路由策略在该地址分配方案上实现优化;可管理性。地址的分配应该有层次,某个局部的变动不要影响
15、上层、全局;安全性。网络内应按工作内容划分3.1 地址规划IP地址的总体划分规则如下:(1)技术方案上讲,采用VLSM变长子网掩码创建分层的子网,利用CIDR减少路由器中路由表中路由数量,提高总体网络性能。(2)根据IP网络的应用领域不同和网络层次的位置不同,采用不同的IP地址规划策略。子网划分允许系统管理员更好的利用现有的地址空间。例如:有8个网络,每个网络有30个主机。原来需要8个ClassC地址,现在用子网划分,一个ClassC地址就够了。因为子网在Internet上是不可见的,所以:路由表会减少,内部网根据需求可以划分多个子网,不需要浪费地址空间和增加Internet路由表;子网的震荡
16、不会影响Internet1RIPvI只允许一个子网掩码RFC1009允许在一个路由域内有多个子网掩码。当有多个子网掩码备用,就称为可变长子网掩码。没有VLSM,一个子网掩码只能提供给一个网络。这样就限制了子网上的主机数。举一个VLSM的例子:假设有一个C类地址:192.214.11.0,需要把它分成3个子网,其中一个子网要求有100台主机。另外两个子网各50台主机。理论上你可以使用256个地址,从192.214.11.0到192.214.11.255。但是如果没有VLSM,很难完成期望的划分。如果没有VLSM,可有两种选择:使用255.255.255.128把地址划分为各有128台主机的2个子网,或者用掩码255.255.