企业网络工程设计及仿真论文.docx
- 文档编号:13466626
- 上传时间:2023-06-14
- 格式:DOCX
- 页数:29
- 大小:266.06KB
企业网络工程设计及仿真论文.docx
《企业网络工程设计及仿真论文.docx》由会员分享,可在线阅读,更多相关《企业网络工程设计及仿真论文.docx(29页珍藏版)》请在冰点文库上搜索。
企业网络工程设计及仿真论文
网络工程论文(设计)
论文题目:
彬彬有礼企业网络工程设计与仿真
DesignandSimulationofnetworkengineeringon
binbinyouliEnterprises
摘要
企业部网(Intranet)是国际互连网(Internet)的延伸和发展,由于利用了Internet的先进技术,使Intranet得以迅速发展。
Intranet在网络组织和管理上更胜一筹,它有效地避免了Internet所固有的可靠性差、无整体设计、网络结构不清晰以及缺乏统一管理和维护等缺点,使企业部的秘密或敏感信息受到网络防火墙的安全保护。
本文以中小型企业的网络工程需求作为切入点,研究企业网络管理状况以及需求特点,结合现今先进的网络技术进行详细的网络规划与升级,最后通过CiscoPacketTracer模拟仿真验证方案的可行性。
关键词:
企业网络;网络工程;网络技术;模拟
第1章项目概述
1.1项目背景
今天,迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。
市场的全球化竞争已成为趋势。
21世纪的中国也正在向市场多元化、全球化的方向发展,对于国的中小型企业,在调整发展战略时,必须考虑到市场的开拓:
不仅仅要面向国,还要面向世界。
而这一切都将以信息化平台为基础。
借助计算机网络原理及网络规划技术,在网络上为企业赢得更多的优势。
企业部网(Intranet)是国际互连网(Internet)的延伸和发展,正是由于利用了Internet的先进技术,特别是TCP/IP协议,保留了Internet允许不同计算平台互通及易于上网的特性,使Intranet得以迅速发展。
但Intranet在网络组织和管理上更胜一筹,它有效地避免了Internet所固有的可靠性差、无整体设计、网络结构不清晰以及缺乏统一管理和维护等缺点,使企业部的秘密或敏感信息受到网络防火墙的安全保护。
1.2项目分析
Intranet虽然发展迅速,但由于企业情况各有差异,不同的企业需要的网络方案各有不同,因此各企业必须从企业局域网的概念及相关计算机网络技术入手,详细地设计,得出适合本企业企业网建设的实施方案及建设规划。
为此还要对企业的组网需求进行分析,比较各种组网技术,从实用角度论述局域网主干网选择,综合布线,各种设备的选型,网络安全,网络管理等方面。
另外网络要具有一定的扩展性,当企业发展到一定规模,企业网络也要适应之变化。
这时,为了加快企业部的信息流通,企业需要将总部和各分部的网络连接起来。
因此,得出本项目的中小企业对网络的需:
接入Internet;在整个企业围、各部门间,实现信息快速交流、办公自动化;通过认证技术,增强企业网络的安全性;网络的设计与规划、资源共享、服务等技术实施。
第2章需求分析
2.1背景分析
彬彬有礼服装是一家中小型专门从事服装加工、销售的企业。
业务围主要代理国外几家著名的服装品牌,根据用户的样板进行服装的制作、改装与设计,分别在全国几个大城市派驻有办事机构。
随着业务规模的发展,传统的办公模式存在办公效果低下,资源浪费,经费居高不下的问题。
公司领导决定在企业部推行网络办公自动化系统,提高公司整体办公效率,压缩办公经费,并最终提高公司的效益。
网络自动化办公系统初期投资费用较高,包括网络系统建设,软件开发、维护和运行,但是正常运行后,维护和升级费用可以控制在较低水平,保障20年的投资效益稳步增长。
同时,为了追求更多的利润,企业在公司成立设计部;打算在保留加工服装的基础上自主设计服装品牌。
2.2业务需求分析
彬彬有礼服装有销售部、办公室、人事部、车间、财务部等部门,每个部门约20人;另外因为合作需要,经常有合作伙伴关系的外派机构驻外地;企业东区共计6个部门,接入节点80个。
现企业西区开发需要,新增设计部,预计未来5年,设计部人员将达到40人,总体员工人数将在200人左右,企业网络总节点达到100个。
为了适应企业规模的发展,企业决定升级公司网络,以获得更高的工作效率。
企业原有一套C/S财务管理系统,在部分部门连接有简单的10base-T对等网,并且已基本实现办公自动化,为了保护已有的投资,公司希望能尽可能保留可用的设备和软件,并在将来有选择的实施EC(B2B)、CRM等。
公司目前的园区网应用包括文件共享、打印共享服务和财务管理等,未来将实施Intranet应用,主要面向OA,需要新增WEB服务、服务等,还需要采购专门的OA办公软件,添置防火墙等安全设施。
公司广域网包括将本地园区网接入Internet,以及对外地办事处提供远程接入,可以考虑的方案有多种,如DDN专线、ISDN、XDSL等
公司未来20年业务增长规模主要在设计部门,需要引进更多的人才,但是估计不会超过两倍的增长。
OA系统应该提供的功能包括信息公告、BBS讨论组、电子群发、日程管理、文件交换、短信服务、资源管理、会议管理、考勤管理、办公物品管理、人事管理和通讯簿等服务,未来还要视频向视频会议和多媒体业务发展。
2.3流量分析
综合考虑公司的各项业务需求,给出如表2-1所表示的流量分析表(流量估计标准为基本要求)
表2-1基本流量分析表
部门(区域)
流量(M/S)
节点数
利用率(%)
总流量(M/s)
总经理办公室
1
5
60
3
秘书处
1
10
60
6
人事部
1
5
100
5
财务部
1
5
60
3
销售部
1
20
40
8
外派机构
1
5
100
5
车间
1
60
30
18
设计部
1
40
80
32
电教
2
5
60
6
根据流量分析:
(1)企业财务部原网络带宽已基本够用,但是考虑到企业发展比较迅速,决定适当的扩展网络规模,增添无线网络区域。
(2)企业新成立设计部,未来的节点将成倍增长。
考虑到设计部对于资料的查找,信息、数据的交流方面比较频繁;办公空间布局要求可变性,因此采取无线网络全面覆盖兼有部分有线接口的组网形式。
利用无线组网布线简单、移动性强、组网灵活、易扩展性、成本低等优势,组建西区高速、便捷的无线网络。
(3)公司需要4台网服务器和一台网管工作站,访问web服务器和财务数据库服务器是公司网络的主要流量。
网络流量符合80/20规律,绝大部分流量需要在核心层交换,因此将服务器直接接入核心交换机。
为了便于集中管理,管理工作站也放置在核心层,直接接入核心交换机的100Mb/s端口。
2.4主要功能需求分析
功能需求1:
企业部网络管理、保持相对独立,企业各部门能相互通信。
简要分析:
通过VLAN管理各子网,设置访问权限;并实现不同VLAN之间的通信,三层交换机与路由器间的通信。
功能需求2:
公司规模要求增长和发展,要求向外界宣传企业文化和介绍产品信息,与客户交流,拓展合作等
简要分析:
公司建设外部综合服务器,可以向外提供WEB、等服务,并逐渐开发客户关系管理系统,更好的管理公司与外界的关系。
功能需求3:
规网络管理,增强企业网络的安全性,要求能实现有效的集中控制接入上网。
简要分析:
通过构建PPPoE环境,对用户集中认证(这里没有实现计费)。
功能需求4:
外派机构不能随便访问部服务器,但是必须经常反馈当地用户的信息,包括对产品的改进建议,当地人的消费习惯等。
部服务器对于外网用户,只有通过认证才能访问。
简要分析:
外派人员可以通过VPN等技术反馈当地的信息到服务器,并获得服务器的数据、技术支持和指导。
功能需求5:
公司原来已有网络,为了更及时可靠的实时性、确定性通信;同时,又能大减少通信成本,公司打算启用IP、传真等业务。
简要分析:
可以在规划和设计网络时,设计语音虚拟通道,或用综合数据网等用分离器分离计算机通信和通信。
功能需求6:
公司打算成立电教室,提供员工远程继续教育和有线电视广播信息收听或点播视频。
简要分析:
随着三网合一越来越紧密,可以用cablemodem连接电视网和计算机网络。
功能需求7:
为了更方便、更安全实现与外界的联系和部的沟通,公司计划组建企业电子油箱服务。
简要分析:
可以在综合服务器上实现服务。
功能需求8:
为了财务服务器数据的安全,财务服务器只允许公司领导访问,其他的外网和部用户均不能访问。
简要分析:
通过隔离与逻辑分段,加上访问控制等技术,实现公司网其他用户不能访问财务数据服务器。
2.5广域网接入需求
总部使用带宽接入Internet,带宽10Mb/s,可以考虑使用xDSL、以态网接入等方案。
各个远程连接节点都申请2Mb/s以的带宽方案接入Internet,可以申请ISDN,xDSL等建议使用ADSL.
为了保证远程连接的安全性,广域网技术还要在介入设备上能支持VPN技术,构建虚拟专用网。
移动办公用户也通过VPN接入总部Intranet。
2.6安全性需求
部网络使用VLAN分段,隔离广播域,防止网络窃听和非授权的跨网段访问。
使用放火墙分割部网和外部网,不准外部用户访问部web服务器、财务数据库服务器和OA服务器等,部网都必须经过代理服务器转发数据包。
远程接入用户使用VPN方式访问总部网络,并且限制远程用户可以访问主机围。
2.7环境需求分析
公司分总部和办事处两大块,几个办事处分布在全国若干个大城市。
总部只有一栋办公楼,共4层,楼层净高3.5m,其他环境状况依据大楼建筑结构图确定。
第3章网络规划与设计
3.1逻辑结构设计与地址分配
3.1.1网络技术选型
吉比特以太网是最新的高速局域网技术,他的特点表现如下:
(1)经济、实用且具有较高的性能比
(2)吉毕业以太网获得广泛的支持
(3)兼容性好
(4)QOS服务(802.1q,802.1p)
(5)升级性能灵活方便
3.1.2网络拓扑结构
3.1.2.1指导思想
采用树型结构和分层设计思想。
核心设备及主干网络技术采用1000base-T技术,汇聚层设备及网络技术采用100base-T技术,接入层采用10base-T技术;当然一些地方只采用两层结构,及接入层和汇聚层合二为一。
1、核心层处理高速数据流,其主要任务是数据包的交换
网络核心层的主要工作是交换数据包,核心层的设计注意两点:
(1)不要在核心层执行网络策略:
所谓策略就是一些设备支持的标准或系统管理员定制的规划。
(2)核心层的所有设备应具有充分的可到达性。
核心交换机上采用设备冗余和线路冗余,把两个核心交换机连接起来,通过端口聚合技术、均衡负载和生成树协议解决网络冗余出现的一些问题。
这里为了提高对服务器群的访问量,两交换机通过两对吉比特以太网端口连接,如图3-1所示,做端口聚合技术实现如下:
图3-1主干线端口聚合
Switch>enable
Switch#configt
Switch(config)#intport-channel1
Switch(config-if)#switchportmodetrunk`
Switch(config-if)#exit
Switch(config)#intrangeg0/1-2
Switch(config-if-range)#channel-group1modeon
Switch(config-if-range)#
2、汇聚层负责网段的逻辑分割,聚合路由路径,收敛数据流量;
汇聚层将大量低速的(与接入层设备的)通过少量宽带的连接接入核心层,以实现通信量的收敛,提高网络中聚合点的效率。
同时减少核心层设备路由路径的数量。
总之,汇聚层的主要设计目标包括:
隔离拓扑结构的变化;
通过路由聚合控制路由表的大小;
收敛网络流量。
3、接入层将流量馈入网络,执行网络访问控制,并且提供相关边缘服务。
接入层的设计目标包括:
(1)将流量馈入网络:
为确保将接入层流量馈入网络,要做到:
①接入层路由器所接收的数不要超出其与汇聚层之间允许的数;
②如果不是转发到局域网外主机的流量,就不要通过接入层的设备进行转发;
③不要将接入层设备作为两个汇聚层路由器之间的连接点,即不要将一个接入层路由器同时连接两个汇聚层路由器。
(2)控制访问:
由于接入层是用户进入网络的入口,所以也是黑客入侵的门户。
接入层通常用包过滤策略提供基本的安全性,保护局域网段免受网络外的攻击。
3.1.2.2虚拟局域网划分
VLAN(VirtualLocalAreaNetwork)的中文名为“虚拟局域网”。
VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。
VLAN的优点:
(1)限制网络上的广播,将网络划分为多个VLAN可减少参与广播风暴的设备数量。
LAN分段可以防止广播风暴波及整个网络。
VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。
(2)增强局域网的安全性,含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露信息的可能性。
不同VLAN的报文在传输时是相互隔离的,即一个VLAN的用户不能和其它VLAN的用户直接通信。
如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。
(3)节约成本。
(4)可以减少网络上不必要的流量并提高性能。
(5)为网络管理带来了方便。
(6)能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,降低网络管理的费用。
子网划分和VLAN相结合的方式,进行IP地址规划,如表3-1所示:
表3-1VLAN划分表
部门
工作组
VLAN号
网络或子网络
网关
综合服务器
192.168.0.0/24
192.168.0.254
总经理办公室
zjl
Vlan1
192.168.1.0/26
192.168.1.1
秘书处
msc
Vlan2
192.168.1.0/26
192.168.1.65
销售部
xsb
Vlan3
192.168.1.0/26
192.168.1.129
人事部
rsb
Vlan4
192.168.1.0/26
192.168.1.193
财务部
cwb
Vlan5
192.168.5.0/24
192.168.5.254
网管室
wgs
Vlan6
192.168.6.0
192.168.6.254
车间
cj
Vlan7
192.1068.7.0
192.168.7.254
设计部
s
Vlan8
192.168.8.0
192.168.8.254
电教室
djs
Vlan9
192.168.9.0
192.168.9.254
机房
jf
Vlan10
192.168.10.0
192.168.10.254
3.1.2.3地址分配方案
IP地址总体规划见表3-1所示。
某些部门进行了子网划分和vlan相结合的办法,用私有IP统一规划和管理,便于管理和减少故障修复时间;企业外部服务器要求外网用户经常访问,所以要租用一个公用IP,并用静态NAT映射方法,实现部私有IP与公有Ip的转换。
网关(Gateway)又称网间连接器、协议转换器。
网关在网络层以上实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。
网关既可以用于广域网互连,也可以用于局域网互连。
网关是一种充当转换重任的计算机系统或设备。
在使用不同的通信协议、数据格式或语言,甚至体系结构完全不同的两种系统之间,网关是一个翻译器。
与网桥只是简单地传达信息不同,网关对收到的信息要重新打包,以适应目的系统的需求。
本设计的网关默认已连接给网络的路由器对应连接接口上的IP为网关,比如企业外部综合服务器192.168.0.1/24的网关是与其连接的路由器上Fa0/0接口的IP192.168.0.254/24。
当然也有一些特殊的网关,在交换器上,特别是在二层交换机上,因为接口不能设计IP地址,所以一般在对应虚拟局域网上设置管理IP,同时充当该VLAN的网关,即SVI接口。
本设计SVI接口不少,特别是总经理办公室、秘书处、销售部和人事部,它们结合了子网划分和vlan的方式,下面是销售部SVI接口的设置。
Switch(config)#intvlan3
Switch(config-if)#ipaddress192.168.1.129255.255.255.192
Switch(config-if)#noshutdown
Switch(config-if)#exit
网关信息的设置可以是手工,也可以是DHCP,DCHP方式有可以用路由器上直接设置地址池和用服务器来设置。
下面是在路由器上设置销售部的DHCP,其他部门的DCHP设置类似,就不再累赘讲述。
Switch(config)#ipdhcppoolvlan3
Switch(dhcp-config)#network192.168.1.192255.255.255.192
Switch(dhcp-config)#default-router192.168.1.193
Switch(dhcp-config)#dns-server100.1.2.3
3.1.3服务子网设计
服务子网设计选择集中式设计和分布式设计相结合的方法。
财务数据库服务器相对于公司业务非常重要,存放在财务部由管理员专人看管,大大降低了被盗的可能性和数据的安全。
外部综合服务器经常要被局域网的所有用户和外部网络所有用户访问,服务业务包括服务,电子服务和DCHP服务器等,因属于任何一个部门或网段,所以应该作为公共服务设备放置在机房。
其他的服务器,比如OA服务器、FTP服务器等集中存在公共机房,集中管理,减少管理成本。
3.1.4IP网设计
随着互联网日渐普及,以及跨境通讯数量大幅飙升,IP亦被应用在长途业务上。
由于世界各主要大城市的通信公司竞争加剧,以及各国电信相关法令松绑,IP也开始应用于固网通信,其低通话成本、低建设成本、易扩充性及日渐优良化的通话质量等主要特点,被目前国际电信企业看成是传统电信业务的有力竞争者。
为了进一步加强与外界的联系和部的方便及通信通话成本的减低,公司决定组建和使用IP网,IP是一种通过互联网或其他使用IP技术的网络,来实现新型的通讯。
IP网构建在计算机网络上,要在核心交换机上设置语音业务,并在对于接口上设置语音通道。
如下是在路由器上实现IP服务:
设置IPIP地址池
ipdhcppoolits
network192.168.2.0255.255.255.0
default-router192.168.2.1
option150ip192.168.2.1
dns-server100.1.2.3//设置IPIP地址池
设置服务器
telephony-service
max-ephones4
max-dn3
ipsource-address192.168.2.1port2000
autoassign1to10
在核心交换机上对应的接口上应该设置语音专用通道,比如在交换机上fa0/0接口上设置语音通道如下:
Switch(config)#interfacefa0/0
Switch(config-if)#switchportvoicevlan1
3.1.5广域网设计
1、ADSL10Mb/s接入Internet
随着Internet的爆炸式发展,在Internet上的商业应用和多媒体等服务也得以迅猛推广。
各种各样的宽带技术进行企业网络接入领域,相对于传统的E1和T1线路,这些带宽接入都具有无法比拟的优势,如带宽高、费用低。
其中ADSL很具有前景及竞争力的一种,可以作为中小型公司接入的首选。
本公司结合自身的业务特点制定了使用ADSL接入Internet的方案。
首先向当地电信局申请20M/sADSL业务,并购买了1个公开网络地址,假如100.1.1.3.用于外部企业综合服务器用静态绑定,用到NAT静态映射技术。
其他的部服务器没有公有IP,除财务处为了安全起见和车间不需要连接Internet外,其他的部门都需要连接Internet,这里为了节省费用,就用共享IP和带宽上网,利用访问控制列表和端口复用动态地址转换实现,即ACL+NAT方式。
介绍如下:
设置NAT外接口
Router(config)#ints0/0/0
Router(config-if)#ipnatoutside//设置NAT外接口
Router(config-if)#exit
设置NAT接口
Router(config)#intfa0/1
Router(config-if)#ipnatinside
Router(config-if)#exit
做访问控制列表,即ACL,这里对财务处(网段192.168.5.0/24)和车间(网段192.168.7.0/24)没有假如ACL,结合后续的操作设置,这两个网段不能访问Internet。
Router(config)#access-list1permit192.168.1.00.0.0.255
Router(config)#access-list1permit192.168.2.00.0.0.255
Router(config)#access-list1permit192.168.3.00.0.0.255
Router(config)#access-list1permit192.168.4.00.0.0.255
Router(config)#access-list1permit192.168.6.00.0.0.255
Router(config)#access-list1permit192.168.8.00.0.0.255
Router(config)#access-list1permit192.168.9.00.0.0.255
Router(config)#access-list1permit192.168.10.00.0.0.255
做端口复用地址转换
Router(config)#ipnatinsidesourcelist1interfaces0/0/0overload
2、远程接入ADSL2Mb/s+VPN
远程接入依然申请ADSL连接,但带宽选择4M/s就够用了,为了保证安全性,应该使用支持VPN连接的终端设备。
这里在后面实现部分重点介绍,故这里不再累赘。
3.2网络安全设计
网络安全设计包括以下几个方面:
Vlan设计为局域网部提供了最大的安全性。
各个vlan网段或子网的主机被限定在本网络部可以自由访问,跨虚拟网段或子网段的访问必须通过核心交换机路由,符合访问控制规则集的数据包才会被转发。
而访问规则集由管理员根据安全需求信息制定,任何他人无权获悉,管理员拥有保守公司秘密的权利和义务。
使用公共子网隔离部网络和外部网络,将公共综合服务器放在公共子网,在部与外部网络之间提供防火墙,只允许远程办事处的外部通过VPN拨号认证,通过防火墙进入访问。
公共综合服务器通过静态映射,把静态IP和公共IP映射绑定,减低服务器的被黑客攻击的风险。
另外,购买专用的防火墙,部署在网络入网和出口关键位置,保护全企业网络,对网络使用进行跟踪和管理。
3.3物理设计与设备选型
1、交换机选型
(1)汇聚或接入层交换机(CISCOWS-C2960S-48LPS-L)
WS-C2960S-4
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 网络工程 设计 仿真 论文