《毕业设计(论文)-中小企业局域网组网设计.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)-中小企业局域网组网设计.doc(33页珍藏版)》请在三一文库上搜索。
1、 摘 要计算机网络自从20世纪60年代未诞生以来,仅在几十年间的时间里,即以异常迅猛的速度发展起来,被越来越广泛地应用于政治、经济、军事、生产及科学技术的各个领域。在当今社会及未来,谁更快获得信息资源,谁就能更有效的使用信息资源,谁就能在各种竞争上占据主导地位,随着计算机网络的发展和宽带接入的普及,各种网络应用将层出不穷,计算机在社会各个领域的应用和影响也早已渗透到了人们工作和生活的各个方面。目前在中国国民经济和社会发展中一直占据至关重要的战略地位的中小型企业,由于对网络技术的不了解,通常厂商一般都会采用价格最贵化、设备最好化、高度冗余化去做项目的设计,整体的方案将以追求利润为目的,设计的方案
2、经常出现大量设备闲置,而企业出于需求与成本控制等各种因素的综合考虑,希望方案能满足需求的同时控制成本,同时尽量做到冗余且提供投资保护,方便后续的需求扩展,厂商提供的方案与企业的需求就此产生了矛盾,如何设计一个性价比更高、更适合于中小型企业的网络方案是势在必行的课题,此方案的设计使所有的中小型企业在当今及未来的网络建设有着得要的指导及参考意义,也是本次毕业设计方案的主要目的与价值。本文通过东莞某企业的具体案例来说明中小型企业资金能力及对企业网络的需求进行分析,设计适用于中小型企业的组网方案。组建一个基本能覆盖整个企业园区、广域网接入、远程访问、数据服务器群等范围的互联网络,将企业内各种计算机、服
3、务器、终端设备连接起来,并通过一定接口连接到广域网。关键字:网络 中小型企业 组网 路由 交换 局域网 广域网目 录1绪论11.1从企业对信息的需求来看11.2从企业管理和业务发展的角度出发12企业建网涉及的主要网络技术介绍32.1CISCO企业网络概述32.1.1CISCO企业架构32.1.2CISCO企业复合网络模型42.2园区网络技术42.2.1路由技术42.2.2交换技术52.2.3远程访问技术92.2.4热备份路由协议(HSRP)102.3本章小结113中小企业网络的建设目标123.1建设目标123.2设计原则123.3本章小结134中小企业网络需求分析144.1目标需求144.2应
4、用需求144.2.1息信流分析144.2.2应用业务分析144.3业务需求154.4外部需求154.5用户需求调查164.6网络需求分析164.7本章小结175企业网络的总体设计185.1网络拓朴设计185.2IP编址方案及VLAN划分205.3核心层设计及设备选型215.3.1园区主干交换机215.3.2出口路由器225.3.3服务器群组225.4接入层设计及设备选型225.5安全体系设计及设备选型235.5.1 物理层安全235.5.2 系统安全245.5.3 网络层安全245.5.4 应用层安全245.5.5 管理层安全245.6设计方案优势255.6.1 高带宽、高性能255.6.2
5、网络管理255.6.3 完善的安全机制265.6.4 易维护265.6.5 高可靠性275.6.6 低成本、可扩展性强275.7本章小结27结束语28参考文献291 绪论随着Internet在全球的发展与普及,企业网络技术的发展以及企业生存和发展需要促成了企业网的形成。自20世纪90年代以来,企业网络已经成为连接企业、事业单位各部门与外界交流信息的重要基础设施。基于局域网和广域网技术发展起来的企业网络技术得到迅速的发展。为了适应网络经济的飞速发展,扩大企业经营的规模和范围,方便企业内部和企业之间的交流,节省办公开销,提高企业的管理水平,企业发展Intranet(企业内部网)已经是刻不容缓。另外
6、,我国中小型数量已经超过2000万家以上,在国民经济中,60%的总产来自于中小企业,并为社会提供了60%以上的就业机会。然而,在中国国民经济和社会发展中一直占据着至关重要的战略地位的小中企业,其信息化程度却比较落后。今后如何应对瞬息万变、竞争激烈的国内外市场环境以及如何利用网络技术迅速提升企业核心竞争力就是成为企业成败的关键所在。1.1 从企业对信息的需求来看面对着激烈的市场竞争,公司对信息的收集、传输、加工、存储、查询、预测、决策及即时的交流、沟通等工作量越来越大,原来的电脑出于网络技术或是安全性等因素考虑,一直只是停留在单机工作的模式,各部门及科室间的数据不能实现共享,致使工作效率大大下降
7、,纯粹手工管理方式和手段已经不能适应企业的需要,这将严重妨碍公司的生存和发展。社会进行要求企业必须改变现有的落后管理体制、管理方法和手段,建立现代企业的新形象,建立本企业的办公自动化管理信息系统(即公司局域网),以提高管理水平,增加经济和社会效益。1.2 从企业管理和业务发展的角度出发通过网络对网络资源的共用来改善企业内部和企业与客户之间的信息交流方式,满足业务部门对信息存储、检索、处理和共享需求,使企业能迅速掌握瞬息万变的市场行情,使企业信息更有效地发挥效力;提高办公自动化水平,提高工作效率,降低管理成本,提高企业在市场上的竞争力;通过对每项业务的跟踪,企业管理者可以了解业务进展情况,掌握第
8、一手资料,及时掌握市场动态,为企业提供投资导向,为领导决策提供数据支持;通过企业内部网建立,企业各业务部门可以有更方便的交流沟通,管理者可随时了解每一位员工的情况,并加强以企业人力资源合理调度,切实做到系统的集成化设计,使原有的设备、投资得到有效利用。因此,有必要建设好中小型企业建设信息网络,以达到最大限度地实现信息资源共享,并使用电子信息的传递取代纸面文件、材料的传送,逐步实现无纸办公,改变传统的工作方式,进一步提高工作效率。同时,利用各种业务信息的综合分析,为各级领导提供决策支持,更好地组织生产和经营。第 30 页2 企业建网涉及的主要网络技术介绍谈到网络技术,我们不能不想到全球行业的龙头
9、老大CISCO(思科),它是1984年由斯坦福大学的一对教授夫妇创办,自1986年生产第一台路由器开始,让不同类型的网络可以可靠地互相联接并实现通信,从此掀起了一场通信革命,思科公司每年投入40多亿美元进行技术研发,过去20多年,思科几乎成为了“互联网、网络应用、生产力”的同义词,思科公司在其进入的每一个领域都成为市场的领导者,同时,随着网络技术的发展与成熟,出现了更多的市场竞争者,比如:国外有Juniper、Netcore、阿尔法及LINKSYS等,国内有华为、中兴、TP-Link及D-Link等,本次方案的讨论与设计主要以CISCO(思科)产品为基础设施进行搭建。2.1 CISCO企业网络
10、概述2.1.1 CISCO企业架构CISCO开发了一个企业架构,以帮助公司保护、优化和扩展支持业务流程的基础设施,该架构可用于集成整个网络园区、数据中心、分布机构、远程工作人员和广域网,让员工能够安全地访问所需的工具、流程和服务。CISCO企业园区架构将智能交换和路由选择的核心基础设施与紧密集成的效率改善技术结合在一起,该架构通过采用富有弹性的多层设计、冗余的硬件和软件功能以及在出现故障时自动重新配置网络路径,向企业提供了高可用性。CISCO企业数据中心架构是一种内聚的自适应网络结构,在满足整合、业务持续和安全需求的同时,它还支持新出现的面向服务的架构、虚拟化和按需计算,让职员、供应商和客户能
11、够安全地访问应用程序和资源。这样能够简化管理工作并提高效率,同时极大地降低开销。冗余的数据中以同步和异步的方式复制数据和应用程序,以提供备份。CISCO企业分支机构架构让企业能够扩展总部的应用程序和服务(如安全性、IP通信和高级应用)的覆盖范围,以覆盖数千个远程卖点和用户或少量的分支机构。CISCO在分支机构中的一系列集成服务路由器集成了安全性、交换、网络分析和缓存功能,以及融合的语音和视频服务,让企业无需购买新的路由器就能部署新的服务。这种架构让用户能够随时随地安全地访问语音、关键任务数据和视频应用。CISCO企业远程工作人员架构让企业能够通过标准的宽带接入服务,向远程小型或家庭办公室安全地
12、提供语音和数据服务,从而为企业提供弹性的上班时间解决方案,为员工提供灵活的工作时间。通过集中管理,最大限度地降低了IT支持费用。集成的安全和基于身份的网络服务让企业能够将园区安全策略延伸到远程工作人员。员工通过始终可用的VPN安全地登录网络,并从单个平台访问得到授权的应用程序和服务。CISCO企业WAN架构通过单个CISCO统一通信网提供语音、视频和数据服务,让企业能够以更蔓延的方式扩大其跨越的地理区域。QoS、细粒度的服务等级和广泛的加密方案有助于确保安全地将高质量的语音、视频和数据服务提供给公司的各个场点,让员工不管身处何地都能高效地工作。通过使用中央分支或全互联拓扑,在第二层或第三层WA
13、N上建立多服务VPN确保了数据流传输的安全性。2.1.2 CISCO企业复合网络模型CISCO制定了一套有关安全的最佳实践,向网络设计人员和员工支持网络应用和已有的网络基础设施正确地部署安全解决方案提供了蓝图。该蓝图名为SAFE,其中包括企业复合网络模型,网络专业人员可以使用它来分析和描述任何现代企业网。企业复合网络模型首先将网络划分成三个功能区域,如下:企业园区:该功能区包含组建层次园区网所需的模块,接入、集散和核心原则也适用于这些模块。企业边缘:该功能区域聚合了企业网边缘上各种网络元件的连接性,包括到远程卖点、Internet和远程用户的连接性。服务提供商边缘:该区域并不是由组织实现的,它
14、用于提供到服务提供商的连接性,如Internet服务提供商(ISP),WAN提供商和公共交换电话网(PSTN)。这些功能区域包含各种网络模块,而这些模块可以包含层次模型中的核心层、汇聚层和接入层的功能。2.2 园区网络技术企业园区定义了企业复合网络模型的一个功能区域,它包括以下企业复合模块:园区基础设施、网络管理、边缘分布。其中园区基础设施模块包括建筑拉入、建筑物布和园区主干了模块。建立一个完整的园区网络需要涉及到路由、交换与远程访问技术。它们是现代计算机网络领域中三大支撑技术体系。2.2.1 路由技术路由协议工作在OSI参考模型的第三层,因此它的作用主要是在通信子网间路由数据包。路由器具有在
15、网络中传递数据时选择最佳路径的能力,除了可以完成主要的路由任务,利用访问控制列表(Access Control List,ACL),路由器还可以用来完成路由器为中心的流量控制和过滤功能。在本组网方案中,内网用户不仅通过路由接入Internet、内网用户之间也通过三层交换机上的路由功能进行数据包交换。2.2.2 交换技术传统意义上的数据交换发生在OSI模型的第二层,现在交换技术还实现了第三层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了园区网数据交换服务质量,满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网(Virtual Local Area N
16、etwork,VLAN)的概念。VLAN技术的出现,主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LAN-VLAN,在每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个VLAN内,如下图2-1 VLAN划分原理所示:一图2-1 VLAN划分原理下面是对VLAN各种特性的讨论:n VLAN的主要特性有:1、 限制广播广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力。2、 增强局域网的安全性不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其
17、它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。3、 灵活构建虚拟工作组用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活,如下图2-2虚拟工作组所示:图2-2 虚拟工作组4、 VLAN是在数据链路层的,划分子网是在网络层的,所以不同子网之间的VLAN即使是同名也不可以相互通信。n VLAN的划分依据从技术角度讲,VLAN的划分可以依据不同原则,一般以下三种划分方法:1、 基于端口的VLAN划分这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法,该
18、方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。2、 基于MAC地址的VLAN划分MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一且固化在网卡上的,MAC地址由12位16进制数表示,前6位为网卡的厂商标识(OUI),后6位为网卡的标识(NIC),网络管理员可以按MAC地址把一些站点划分为一个逻辑子网。3、 基于路由的VLAN划分路由协议工作在网络层,相应的工作设备有路由器和路由交换机(却三层交换机),该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。目前来说,对于VLAN的划分主要采取上述1、3种方式,第2种方式为辅助性的方
19、案。n 不同VLAN间的通信在不同VLAN间不通过路由是无法通信的,在VLAN内的通信,必须在数据帧头中指定通信目标的MAC地址,而为了获取MAC地址,TCP/IP协议下使用的是ARP,ARP解析MAC地址的方法,则是通过广播,也就是说,如果广播报文无法到达,那么就无从解析MAC地址,亦即无法直接通信。计算机分属不同的VLAN,也主意味着分属不同的广播域,自然收不到彼此的广播报文,因此,属于不同VLAN的计算机之间无法直接互相通信,为了能够在VLAN间通信,需要利用OSI参照模型中更高一层-网络层的信息(IP地址)来进行路由。因此,在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现,
20、如下图图2-3 VLAN间路由所示:图2-3 VLAN间路由n VTP协议当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(Vlan Trunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN,然后通过VTP协议将VLAN定义传播到本征管理域中的所有交换机上,这样,大大减轻了网络管理人员的工作负担和工作强度。VTP(Vlan Trunking Protocol):是VLAN中继协议,也被称为虚拟局域网干道协议。它是一个OSI参考模型第二层的通信协议,主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名,在一台VTP Server
21、上配置一个新的VLAN时,该VLAN的配置信息将自动传播到本域内的其他所有交换机,这些交换机会自动地接收这些配置信息,使其VLAN的配置与VTP Server保持一致,从而减少在钓鱼台设备上配置同一个VLAN信息的工作量,而且保持了VLAN配置的统一性。VTP通过网络(ISL帧或cisco私有DTP帧)保持VLAN配置统一性,VTP在系统级管理增加、删除,调整的VLAN,自动地将信息向网络中其它的交换机广播,此外,VTP减小了那些可能导致安全问题的配置,使用BTP便于管理,只要在VTP Server做相应设备,VTP Client会自动学习VTP Server上的VLAN信息。VTP有三种工作
22、模式:VTP Server、VTP Client和VTP Transparent,如下图所示,一般,一个VTP域内的整个网络只设一个VTP Server,VTP Server维护该VTP域中所有VLAN信息列表,VTP Server要吧建立、删除或修改VLAN,VTP Client虽然也维护所有VLAN信息列表,但其VLAN的配置信息是从VTP Server学到的,VTP Client不能建立、删除或修改VLAN,VTP Transparent相当于是-上独立的交换机,它不参与VTP工作,不从VTP Server学习VLAN的配置信息,而只拥有本设备上自己维护的VLAN信息。VTP Trans
23、parent可以建立、删除和修改本机上的VLAN信息,所下图2-4 VTP模式所示:图2-4 VTP模式 n STP(Spanning Tree Protocol,生成树协议)企业网络首要关心的就是高可用性,它在很大程度上依赖于处理业务的多层交换网络,确保高可用性的方法之一就是在整个网络中提供设备、模块和链路的冗余,但是,第二层的网络冗余可能传导致潜在的桥接环路,数据包将在设备之间无休止地循环,进而破坏网络的正常工作能力。STP能够识别并防止这种第二层环路,STP使用根网桥、要端口和指定端口等概念建立网络的无环路径。STP能够克服冗余网络中透明度桥接的问题,通过采用无环路径,STP能够避免和消
24、除网络中的环路,STP可以通过判断网络中存在环路的地方并阻断冗余链路,从而达到上述目的,确保到每个目标都只有一条路径,所以永远不会产生环路,如果发生某条链路失效情况,那么网桥就会将接口从阻塞状态过渡到转发状态。园区网内部部署方式为了简化交换网络设计、提高交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的,园区网数据交换设备可以划分为三个层次:接入层、分布层、核心层。接入层为所有的终端用户提供一个接入点;分布层除了将接入层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能;核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。2.2.3 远程访问技术远程访问也是园区
25、网络必须提供的服务之一,它可以为家庭办公用户和出差在外的员工提供移动接入服务,下面对各种远程接入方式进行比较:n 各种远程接入方式的比较1) 远程拨号采用远程拨号方式,必须申请电话线,用户多时,需申请中继电话线,而且需要Modem Pool将模拟信号转换成数字信号,拨号访问服务器将串行数据转换为网络上传输的IP数据包,同时多数企业较难接入设备提供理想的工作环境,不能确保信息传输的质量和安全。2)、租用专用线路在过去的数十年间,许多企业花费大量资金租用专用线路,将其主要分支机构连接起来组成该企业的私有通信网络,以达到信息在企业内部的快速沟通和共享,这样企业在获得高效率的同时,也为租用专用线路付出
26、了较高的成本。3)、VPN远程接入VPN(Virtual Private Network)即虚拟专用网是在公共网络上建立的专用网络,但其任意2个结点间的连接并没有传统专用网络所需的点到点的物理链路,而是架构在公共网络(Internet)服务商(ISP)所提供网络平台上的逻辑网络,用户数据通过ISP在公共网络中建立的逻辑隧道(Tunnel),即点到点的虚拟专线进行传输,通过加密技术和认证技术,确保企业内部网络数据在公共网络上安全传输,真正实现网络数据的专有性。VPN远程接入方式最适用于企业经常有人员出差需实现远程办公的情况,出差员工利用当地ISP提供的上网服务,即可与企业VPN网关建立私有隧道连
27、接。VPN远程接入方式有以下主要优势:简化网络:只需要接入1台VPN网关设备,即可解决几十到几千人的远程接入问题。节省费用:利用本地拨号接入取代远距离接入或800电话接入,显著降低长途通信费用,减少了用于购置调制解调器和终端服务设备的费用。支持多种标准认证机制如LDAP、RADIUS等。多接接入方式:无论用户采用那种方式访问互联网,均可建立VPN连接;自由选择规模:无论企业大小,VPN都有相对应的产品,用户数可为55000个;具有高可用性:对于接入用户较多的企业,VPN支持远程接入的高可用模式,保障用户服务的连贯性。n Easy VPN方式Easy VPN是CISCO的一种特征,它允许使用CI
28、SCO VPN客户端软件一类实施IPSec远程访问设备。由于可以使用CISCO路由器或者PIX来配置Easy VPN服务器,而不需要另外增加其他设备,对于已经拥有一台大容量的边缘路由,而且仅需要少量的远程访问用户的企业来说,这无疑在保证了远程访问的高安全性的前提下,可以在成本控制上有更大的优势。这也是本设计方案所采用它作为远程访问方式的原因。2.2.4 热备份路由协议(HSRP)随着Internet的日益普及,人们对网络的依赖性也越来越强,这同时对网络的稳定性提出了更高的要求,人们自然想到了基于设备的备份结构,就像在服务器中为提高数据的安全性而采用双硬盘结构一样,路由器是整个网络的核心和心脏,
29、如果路由器发生致命性的故障,将导致本地网络的瘫痪,如果是骨干路由器,影响的范围将更大,所造成的损失也是难以估计的,因此,对路由器采用热备份是提高网络可靠性的必然选择,在一个路由器完全不能工作的情况下,它的全部功能便被系统中的另一个备份路由器完全接管,直至出现问题的路由器恢复正常,这就是热备份路由协议(Hot Standby Router Protocal),HSRP RFC2281技术要解决的问题,如下图2-5 HSRP热备一所示:图2-5 HSRP热备一热备份路由器协议(HSRP)是思科私有的协议,它的设计目标是支持特定情况下IP流量失败转移不会引起混乱、并允许主机使用单路由器,以及即使在实
30、际第一跳路由器使用失败的情形下仍能维护路由器间的连通性,负责转发数据包的路由器称之为主动路由器(Active Router)。一旦主动路由器出现故障,HSRP将激活备份路由器(Standby Routers)取代主动路由器,HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制,并指定一个虚拟的IP地址作为网络系统的缺省网关地址。如果主动路由器出现故障,备份路由器(Standby Routers)承接主动路由器的所有任务,并且不会导致主机连通中断现象,如下图2-6 HSRP热备二所示:图2-6 HSRP热备二HSRP运行在UDP上,采用端口号1985,路由器转发协议数据包的源地址使用的是
31、实际IP地址,而并非虚拟地址,正是基于这一点,HSRP路由器间能相互识别。现思科公司的第三层交换机也支持该协议,HSRP根据对两互备份路由器或交换机的优先级设定,将其中一台设备置为活动状态,而另一台设备置为备用状态,当主设备发生故障时备用设备能立即启用,这就是所谓“热备”的含义,对网络中正常工作的用户而言,这一切都是透明不可见的,从而保证了网络的正常运行。2.3 本章小结本章介绍了Cisco对中小型企业的架构、对中小型企业复合网络模型建设;还介绍了当今组建中小型企业园区网络的主要技术,包括了路由技术、交换技术、VLAN技术、远程访问技术及冗余热备份技术等,这些都是在组建一个高可用性企业网络中必
32、须涉及的相关技术。3 中小企业网络的建设目标3.1 建设目标企业建设一个以办公自动化、计算机辅助生产、控制及管理为核心,以现代网络技术为依托,技术先进、扩展性强、能覆盖企业各楼宇的企业主干网络,将企业的各种PC机、工作站、终端设备和局域网连接起来,并与有关广域网相连,在网上宣传自己和获取Internet网上的信息资源。形成结构合理、内外沟通的企业计算机网络系统,在此基础上建立能满足生产、研发和管理工作需要的软硬件环境,开发各类信息库和应用系统,为企业各类需求提供充分的网络信息服务。即总体目标是利用先进的计算机技术和网络通信技术,建设高质量、高效率的统一的通信网络。其具体目标如下:1). 通过建
33、设一个高速、安全、可靠、可扩充的网络系统,使各系统互联互通,实现企业信息的高度共享、传递及管理信息化,各领导能及时、全面、准确地掌握企业的研发、生产、管理、财务、人事等各方面情况;2). 建立出口信道,实现企业与Internet互联,同时部署企业各种应用服务器(邮件、文件、网站及各系统服务器等),实现企业信息的发布,提供各领导和企业员工的移动拨号接入,进行移动办公和资料查询;3). 企业的各通交流,用电子信息的传递取代纸面文件、资料的传送,实现无纸办公,改变传统的工作方式,进一步提高工作效率;4). 利用各种业务信息的综合分析,为各级领导提供决策支持,更好地组织生产和经营。3.2 设计原则企业
34、园区网可能包含大量的信息点,并会涉及大量的业务应用,这就要求企业网必须是一个实用的、高可靠、高效率、高扩展性及高安全性系统。为使企业园网络系统具有良好的扩展性和灵活的接入能力,并易于管理,易于维护,在网络设计及构建中始终应遵循统一标准、统一平台及网络分层的原则,主要包括如下原则:1). 在网络规划方面,统一采用IP技术,统一规划IP地址及各种应用,采用开放的技术及国际标准,如路由协议、安全标准、接入标准和网络管理平台等,才能保证实现网络的统一,并确保网络的可扩展性,同时为了减少网络中各部分的相关性,便于网络的实施及管理,在网络的构建中,从整体上可以将网络划分为核心层、汇聚层和接入层等3个层次;
35、2). 在软硬件选择方面,所有选择的软、硬件产品都必须遵循标准化原则,采用统一的软、硬件平台和基本应用软件,以便进行统一的软件版本的升级及管理;3). 在安全方面,所建设企业网应具有良好的安全性与保密性,根据企业的业务应用需求,部署合理的网络访问策略,同时实现企业内部敏感信息的保护,在受到攻击时具有可追溯性;4). 在投资保护方面,要做到资源共享与保护,充分合理地利用现有的资源,最大限度地与原有系统或在建系统互联互通,在尽可能利用已有投资的基础上,解决好经费的补充和配套资金到位问题。3.3 本章小结本章介绍了中小型企业组建网络的建设目标,包括安全性、可靠性、可扩充性等,建立互联网通讯目标,实现
36、企业内部畅通交流及提供综合分析数据以供领导决策;提出设计原则,主要包括网络规划、软硬件的选择、安全性及投资保护等四方面进行讨论。4 中小企业网络需求分析为了便于理论结合实践,以下所有涉及的需求分析及解决方案是以东莞某企业的真实情况为设计依据,此方案的设计已经应用于真实环境且运行二年多以来用户表示效果良好。4.1 目标需求企业:优化管理体制,实现资源合理配置,节约不必要开支,投入办公自动化、研发及信息化设施;加速企业研发成果转化,积极开展对外合作、交流、沟通;进行技能培训、考核,提高竞争力;领导:可以讯速获取各种信息;提高管理能力、业务水平及自身素质;拓展新项目及项目管理;进行各种对外交流;加强
37、与员工的沟通;便利的企业生活服务等;员工:获取信息,拓宽知识面;提高专业水平,随时得到领导指示;广泛的交流;学习与实践相结合;丰富多彩的企业生活及发挥才能的机会;便利的企业生活服务。4.2 应用需求4.2.1 息信流分析1). 在该企业网中发生的信息流主要包括二个部分:管理过程信息流和Internet信息流;2).管理过程信息流包括:各种生产控制管理信息流和行政办公信息流;3).各种生产控制管理信息流通过在企业园区网上运行的综合信息管理及业务系统,包括企业的生产管理和日常的管理实现办公自动化,如企业ERP系统管理、OA流程管理和人事管理、财务管理、固定资产管理等,同时可在网上进行信息发布;4)
38、. Internet信息流主要建立在宽带、结构简化、综合业务应用齐全的IP基础网上或企业园区DMZ区域网上,提供企业园区网或广域网资源信息的传递和共享。此类数据流为载有语音、数据和视频信息的IP流。4.2.2 应用业务分析根据国家的相关规定与标准,不同行业的中小型企业人数限定是不一样的,但是根据行业的性质及所规定的人数,一间中小型企业使用计算机的数量一般在几百台左右。因此,小型园区网络设计即可满足。小型园区网络设计适于最多只包含几百台联网设备的建筑物规模的网络。该企业目前拥有500台办公计算机,并且企业还有如下的各项需求情况,在本方案中,属于中型企业,详细如下:1). 企业拥有的500台办公计
39、算机,要求都能访问到Internet资源;2). 外网通过Internet只能访问企业内DMZ区的各种共享服务器,如FTP、WWW等,不能访问其它内网信息;3). 会议室、会客厅、大厅这三个位置,要实现wi-fi无线上网,可以实现多人同时接入;4). 出差工作人员及在家办公人员能够远程访问公司内部的共享文件、使用内部业务系统以及进行数据传送;5). 网络要是可扩展的、高速的、冗余的、安全的,并可满足为现在或将来进行语音、视频、图像等各种服务的应用;6). 要保证企业内部服务器群可以集中管理以及企业内部信息安全;7). 为了简化起见,在本方案中设定公司一共有6个部门:财务部、市场部、开发部、策划
40、部、客户中心、采购部。4.3 业务需求1). 数据处理及通讯能力强,响应速度快;2). 网络运行安全、可靠性高,即使发生攻击行为,保证可追溯、可跟踪;3). 系统易扩充,易管理,便于用户的增加;4). 主干网支持多媒体、群体、图象接口应用,支持高性能数据库软件包的持续增长;5). 系统开放性、互连性好;6). 局域网既能方便远程用户的拨号接入,又能满足特殊用户高效地连入广域网,使用灵活;7). 具有很强的分布式数据处理能力。4.4 外部需求1). 外部需求应包括以下几个:Internet访问、远程访问、电子邮件、以多媒体方式介绍企业、讨论和交流、WEB信息发布及FTP文件共享,各项均可通过相应
41、的网络信息平台实现;2). 企业的网络化建设必然会对企业的信息化建设起到巨大的推动作用,同时提供简单、有效、便捷的理想办公、管理及生产环境。4.5 用户需求调查表 4-1 用户需求调查地址建筑物可靠性/可用性网络需求安全性可扩展性楼层数信息点数主要应用办公楼一1栋4层/栋白天工作状态良好,网络运行正常下载300KB/s上传100KB/s中好4120OA办公、产品设计、资源共享、Internet服务等办公楼二1栋4层/栋白天工作状态良好,网络运行正常下载300KB/s上传100KB/s中好4100OA办公、产品设计、资源共享、Internet服务等研发楼1栋3层/栋白天工作状态良好,网络正常运行
42、下载500kB/s上传200KB/s高好370系统测试、产品开发、员工培训、应用软件学习、Internet服务等生产车间1栋4层/栋全日制不停机工作下载400KB/s上传100KB/s中良好450系统应用、资源共享、OA办公、Internet服务等职工公寓133栋6层/栋白天工作状态良好,网络正常运行下载200KB/s上传50KB/s低良好18130资源共享、员工学习及娱乐、应用软件学习、Internet服务等4.6 网络需求分析根据该企业应用需求进行分析,最终决定采用以下网络部署方案解决该企业的各项需求:1). 申请一条15M的带宽,以满足500台计算机访问Internet;2). 申请九个
43、公网IP地址:196.2.125.1分配给internet接入路由器的串行接口,另外八个IP地址:202.126.222.2/29-202.126.222.7/29用作NAT;3). 购买一台CISCO路由器CISCO 3640以实现企业内部网连接到internet,购买一台防火墙以实现内部与外部的安全过滤;4). 企业目前有500台计算机连入网络,考虑到在未来五年内可能会有所增加,预计增加幅度为100台,总共有600台,出于前期一次性设备投资成本过高但又不失扩展性的要求,所以采用了汇聚层与接入层暂时相合并的设计办法,因此在各栋楼之间按用户数量部署适当数据量的接入层交换机48口Catalyst
44、 2960,设计方案共计13台设备,为了方便管理及后续的扩展性,接入层交换机按需采用堆叠式部署及配置; 5). 将各个部门划分在不同的VLAN,包括服务器群和管理VLAN一共需要7个VLAN;6). 将WEB服务、邮件服务器、FTP服务器及业务应用系统服务器直接与核心交换机CISCO 4501连接,置于管理机房,方便管理,同时配置ACL控制各部门访问权限并阻止外网访问;7). 在需要无线上网的会议厅、会客厅、大厅三个地方,采用三台54M 802.11b的无线AP接入,设定最多30人的数量,以保证每个人访问网速不至于过慢;8). 在路由器上配置Easy VPN,用以实现出差工作人员及在家办公人员
45、远程访问企业内部资源及数据交换;9). 为实现网络的冗余设计,在核心层部署时,用两台三层交换机实现HSRP功能。4.7 本章小结本章以一个实际案例的需求为依据,分析中小型企业目标需求、应用需求、业务需求、外部需求、用户需求及网络需求等,详细分析了中小型企业需求的重点及面临的问题,从而引出了作为中小型企业一些共性的需求。5 企业网络的总体设计企业网络建设不只是涉及技术方面,而是包括了网络设施、应用平台、信息资源、专业应用、人员素质等众多成份的综合化系统。因此,在总体上如何筹划、组织网络建设和开发应用的设计思想是企业网建设中的最重要的问题。总体设计是企业网建设的总体思路和工程蓝图,是搞好企业网建设
46、的核心任务。进行企业网总体设计,首先,进行对象研究和需求调查,弄清企业的性质、任务和改革发展的特点,对企业的信息化环境进行准确的描述,明确系统建设的需求和条件;其次,在应用需求分析的基础上,确定企业Intranet服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;第三,确定网络拓朴结构和功能,根据应用需求、建设目标和企业主要建筑分布特点,进行系统分析和设计;第四,确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;第五,规划安排企业网建设的实施步骤。5.1 网络拓朴设计本次该企业网络设计方案主要由以下四大部分构成:交换模
47、块、广域网接入模块、远程访问模块、服务器群。整个网络系统的拓朴结构图如图5-1网络拓朴设计所示,如下:图5-1 网络拓朴设计该设计符合CISCO中小型局域网模型架构。它的园区主干和建筑物分布子模块没有十分明确的三层设计区分,在功能配置基本上是紧缩到一层中去(即Core Switch所在层),因为缺乏明显分开的园区主干和建筑物分布子模块,并且园区主干子模块中的密度是有限的,所以在每个建筑物分布子模块中采用多台二层交换机(Catalyst 2960)进行堆叠即可,在此方案中,出于可扩展性、一次性投资成本、网络的传输性能及长远规划等方面因素考虑,前期先采用堆叠模式即可满足所有用户的接入问题,当用户增加到一定