网络工程 实验三
题目:企业网络方案设计
一、 需求分析
1. 企业网络背景信息
基于信息化网络基础上的管理平台和生产、销售、物流平台,给企业带来了无限商机,但对企业的管理和经营提出了更高的要求,信息是影响企业管理和经营决策的 核心点,实现了对信息的有效控制,就可以建立更加合理的客户关系,建立完善的供应体系、分销体系,使企业对物流和资金流是流转具有最高的控制,最高效率的 运转,使领导决策更加科学,准确。
如今的信息网络已经成为非常复杂的系统工程,包括各种技术和设备,如网络设备、服务器、微机及专用设备、各种系统软件、通信软件、教学培训软件、办公管理 软件以及多媒体应用等,它们受到整个项目的功能要求、工作环境、可靠性、扩展性、经费预算、开发周期等具体情况的制约,需要有针对性地选用适宜的设备(品 牌、型号、规格、指标、价格等),同时运用恰当的技术手段和依据一定的规范,把它们有机地组合与集成起来,收到总体最佳的效果。
由于计算机网络地位和作用,各企业对计算机的功能和网络性能要求越来越高,系统结构、技术设计、设备供货、安装调试和售后服务的复杂程度和技术难度都大为 提高,必须运用系统工程的思想,借助全面的技术和丰富的工程经验,密切针对实际需求,通过系统集成来综合选择设备,配置系统,才能取得最佳的性能、最有效 的价格和长期的效益。
智能化信息系统的推行和实施,加强了物流、资金流和信息流的传送与管理,有助于企业迅速和正确的获取市场的有效信息,提高营销网络的运行效率,进而促进企业生产经营的计划和管理、降低成本、形成和加强企业对市场需求的快速反应机制,提高企业市场竞争能力。系统必须具备如下的特性:
A. 采用先进的网络通信技术完成集团企业网的建设,实现各分公司的信息化;
B. 在整个企业集团内实现所有部门的办公自动化,提高工作效率和管理服务水平;
C. 在整个企业集团内实现资源共享、产品信息共享、实时新闻发布;
D. 在整个企业集团内实现财务电算化;
E. 在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系统;
2. 业务需求
大批量的文件共享服务,Web服务,E-mail服务。提供Internet接入,提供外地子公司远程接入。
(1) NAT地址转换
(2) WEB服务
(3) 多VLAN环境下DHCP服务的实现
使用DHCP方式获取IP地址需要利用广播数据包,按正常情况,DHCP服务只能在同一广播域内实现。而VLAN的建立就是为了隔离广播包,为什么在三层交换机上可以实现DHCP的跨网段呢?这需要我们将DHCP请求的广播数据包转化为单播请求,才会通过三层路由把请求转发到DHCP服务器所在的VLAN,进而实现DHCP的跨VLAN服务。
为了实现跨VLAN的DHCP服务,需要从两方面入手,一方面要在交换机上指明DHCP服务器的IP地址,另一方面要在DHCP服务器上创建新的作用域
1.在交换机上配置DHCP服务器:
2.在交换机中为每个VLAN设置同样的DHCP服务器的IP地址:
3.在DHCP服务器上设置网络地址分别为192.168.1.0、192.168.2.0的作用域,并将这些作用域的“路由器”选项设置为对应VLAN的接口IP地址。
(4) 支持10GE或将来平滑过渡到10GE
为支持万兆以太网(10GE),最好的选择是部署单模光纤
IEEE802.3ae 万兆以太网(10GE)标准规定了四种光发送接收器:
(1)1310 nm 串行 PMD,对单模光纤至少支持10 km
(2)1550 nm 串行 PMD ,对单模光纤至少支持 40 km
(3)850 nm串行PMD,对500 MHz*km 50/125 μm多模光纤至少支持65m
(4)1310 nm CWDM PMD,对已安装的160 MHz*km 62.5/125μm多模光纤(或者更好的光纤)至少支持300 m
3. 流量分析
| 部门 |
流量(Mbit/s) |
节点数 |
利用率(%) |
| 总经理办公室 |
1 |
5 |
60 |
| 秘书处 |
1 |
10 |
60 |
| 人事部 |
1 |
8 |
60 |
| 财务部 |
1 |
15 |
100 |
| 营销部 |
1 |
25 |
100 |
| 企划部 |
1 |
10 |
30 |
| 开发一部 |
1/0.56 |
30 |
30 |
| 开发二部 |
1/0.56 |
30 |
30 |
| 远程办事处 |
0.128/0.56 |
10 |
100 |
二、 逻辑结构设计与地址分配
1.主网络拓扑图
2. 子网拓扑图
3. 各子公司网络图
4. VLAN与地址分配表
| 部门 |
VLAN号 |
IP地址 |
掩码 |
| 总经理办公室 |
1 |
172.16.1.0 |
255.255.255.0 |
| 秘书处 |
2 |
172.16.2.0 |
255.255.255.0 |
| 人事部 |
3 |
172.16.3.0 |
255.255.255.0 |
| 财务部 |
4 |
172.16.4.0 |
255.255.255.0 |
| 营销部 |
5 |
172.16.8.0 |
255.255.255.0 |
| 企划部 |
6 |
172.16.9.0 |
255.255.255.0 |
| 研发一部 |
7 |
172.16.10.0 |
255.255.255.0 |
| 研发二部 |
8 |
172.16.12.0 |
255.255.255.0 |
| 网管中心 |
9 |
172.16.14.0 |
255.255.255.0 |
三、 网络安全设计
1. 防止ARP攻击
防止ARP攻击可以使用ip捆绑技术。
动态捆绑IP地址,可以使用DHCP服务器来绑定用户网卡MAC地址和IP地址,再根据不同IP设定权限。
静态捆绑IP地址“192.168.120.59”与MAC地址为“00-50-ff-6c-08-75”,单击“开始→运行”并在打开的“运行”窗口中敲入“cmd”打开命令行窗口,然后输入以下命令:
捆绑:arp -s 192.168.10.59 00-50-ff-6c-08-75
解除捆绑:arp -d 192.168.10.59
2. 防止DOS攻击
逆向转发(RPF),该功能用来检查路由器接口所接收到的每一个数据包。如果路由器接收到一个源IP地址为10 10.10.1的数据包,但是CEF(Cisco Express Forwarding)路由表中没有为该IP地址提供任何路由信息,路由器就会丢弃该数据包,因此逆向转发能够阻止Smurf攻击和其他基于IP地址伪装的攻击。使用RPF功能需要将路由器设为快速转发模式(CEF switching),并且不能将启用RPF功能的接口配置为CEF交换。
3. 防止非法DHCPServer
将交换机上的信任接口和非信任的分开。信任的被允许响应DHCP请求,非信任则不然。交换机跟踪非信任端口的DHCP绑定,并将DHCP消息限制在一定速率内。
4. 病毒攻击防护
Helmsys SSL VPN 提供下述情况的解决方案:企业需要通过互联网(笔记本型计算机、移动个人计算机、远程用户接入)达到广泛而全面性的信息存取。Helmsys SSL VPN 能满足目前所有的远程接入需要。SSL VPN技术为远程接入提供增强的灵活性,以便更好地配合公司网络的安全性和基础结构需要,同时给终端用户一个统一的、容易的界面和一个简化的用户体验。Helmsys SSL VPN 具有高可用性,具备可靠的冗余能力,排除了单点故障发生的可能性,减少系统停机时间,另外它还具有负载均衡的能力,提高系统的整体性能。通过浏览器内置的SSL模块,与Helmsys SSL VPN 在应用客户端与服务器之间建立一个受高等级保护的安全通信通道,确保网络传输的数据流量的机密性和完整性。Helmsys SSL VPN 系统能使远端用户使用内网中的所有B/S和C/S应用,同时无需在远程的客户端安装任何软件。
四、 硬件设计与设备选型
1. 路由器选型
Cisco 3600系列是一个适合大中型企业Internet服务供应商的模块化、多功能访问平台家族。Cisco 3600系列拥有70多个模块化接口选项,提供语音/数据集成、虚拟专网(VPN)、拨号访问和多协议数据路由解决方案。通过利用CIsco的语音/传真网络模块,Cisco 3600系列允许客户在单个网络上合并语音、传真和数据流量。高性能的模块化体系结构保护了客户的网络技术投资,并将多个设备的功能集成到一个可管理的解决方案之中。3600捆绑还可用于抓住特定的RAS机遇。
2. 交换机选型
Cisco的独立式Catalyst 2900系列交换机提供10/100自适应和自动协商接口,为配线间提供企业级高速配置灵活性。Catalyst 2900系列对于那些希望保护10BaseT和100BaseTX连接投资的以太网工作组和个人用户非常理想,无需替换配线间网络设备。该产品系列还提供双高速100BaseTX、100BaseFX、1000BaseSX或1000BaseLX上行链路,为主干网或服务器提供配线间提升机连接。
3. 防火墙选型
Cisco Secure PIX防火墙能够提供空前的安全保护能力,它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法(ASA)。静态安全性虽然比较简单,但与包过滤相比,功能却更加强劲;另外,与应用层代理防火墙相比,其性能更高,扩展性更强。 ASA可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时,访问才被允许通过Cisco Secure PIX防火墙。这样做,内部和外部的授权用户就可以透明地访问企业资源,而同时保护了内部网络不会受到非授权访问的侵袭。
另外,实时嵌入式系统还能进一步提高Cisco Secure PIX防火墙系列的安全性。虽然UNIX服务器是广泛采用公开源代码的理想开放开发平台,但通用的操作系统并不能提供最佳的性能和安全性。而专用的 Cisco Secure PIX防火墙是为了实现安全、高性能的保护而专门设计。
五、 网络管理与维护
1. 网络管理使用网管软件
思科网络助理3.0的一个重要特性是支持新型Cisco Catalyst® Express 500系列交换机。Catalyst Express 500采用了思科技术,专为满足SMB网络的需求而设计,利用其基于Web的设备管理器和思科网络助理3.0来提供端口、设备和网络级功能。思科网络助理3.0提供了一种快速、方便地管理Catalyst Express 500系列的方法,此外,其独一无二的功能可确保网络管理智能、简单且安全。
2. 专职网管员
网管中心配备1名专职网管员,拟向社会公开招聘
3. 培训计划
(1).定期计划:系统完工前1个月,对所有员工进行为期60小时的培训,培训内容为网络基础知识、OA系统的基本功能及使用、Internet网络实用操作。
(2).不定期计划:
A. OA系统的使用及提高;
B. 网络故障及简单维护
C. Internet网页制作与发布
六、 实验体会
1.层次化、模块化
它的最大好处在于可以随时利用不同的网络技术组网,而不影响网络的逻辑结构,有助于简化网络的升级换代和网络配置,并易于网络的故障诊断。
2. 安全控制
网络设备的安全管理设计、路由设备的安全控制以及第三层交换设备的安全控制功能等都进行了认真考虑,以防止非法登录和跨网访问,同时保障VLAN之间通信的安全性。
3.VLAN的建设
借助于VLANTrunking技术,多个VLAN可通过一条物理中继线路通信。利用SPT/VLAN技术,在交换机间互连的物理线路冗余的情况下,可以提高双连接的效率,既能互为备份,又能负载共享。在使用VLAN作为控制广播域的手段后,流量管理变得容易了。
4. 网络的可靠性
在网络冗余设计时,一个最主要的目标是使网络能承受组件、链路、电源以及其它类型的故障。网络必须围绕这些故障收敛、自愈,而不干扰网络运行并使网络业务的中断最小化。同时,提供网络冗余的设备在网络正常运行状态下还要保证负载均衡等。采用了链路备份、负载均衡和加强链路故障时网络的收敛能力等措施来保证系统的可靠性。