第三章網(wǎng)絡設(shè)計方案.doc

第三章 網(wǎng)絡設(shè)計方案3.1 網(wǎng)絡設(shè)計需求 1.實施intranet 應用，增加web 服務，e-mail 服務，實現(xiàn)自動化辦公 2.一樓和二樓分布層提供100Mbit/s 帶寬增加一條冗余線路，使用Trunking技術(shù)，將帶寬提高到200Mbit/s ,三樓和四樓帶寬按1Gbit/s 設(shè)計 ，使用冗余線路，將帶寬提高1倍 3.管理工作站放在核心層。 4.總部使用帶寬約10Mbit/s 的接入，各遠程連接點申請2Mbit/s 的寬帶接入。實現(xiàn) 遠程接入點和移動辦公業(yè)務通過vpn 連接到總部網(wǎng)絡 5.內(nèi)部使用vlan 分段，隔離廣播域，防止網(wǎng)絡內(nèi)部竊聽和非法授權(quán)的跨網(wǎng)段訪問 6.使用網(wǎng)絡防火墻分割內(nèi)部網(wǎng)和外部網(wǎng)，不允許外部用戶訪問內(nèi)部web 服務器、財務數(shù)據(jù)庫和OA服務器等，內(nèi)部用戶都必須經(jīng)過代理服務器訪問internet3.2總體方案設(shè)計策略1.采用千兆以太網(wǎng)技術(shù)進行組網(wǎng)2.本網(wǎng)絡采用三層結(jié)構(gòu)設(shè)計，即核心層、匯聚層、接入層。核心設(shè)備及主干網(wǎng)絡技術(shù)采用1000base-T 技術(shù)，匯聚設(shè)備及線路喜愛用100base-T技術(shù)，接入層設(shè)備采用10base-T技術(shù)。10Mbit/s 的桌面帶寬。3.虛擬局域網(wǎng)劃分及地址分配方案公司申請一個C類地址，內(nèi)部地址使用B類地址：172.16.0.0 使用掩碼255.255.255.0 VLAN與地址分配表部門工作組名VLAN 號IP 地址掩碼所長辦公室ZjlVlan1172.16.1.0255.255.255.0秘書處MscVlan2172.16.2.0255.255.255.0人事部RsbVlan3172.16.3.0255.255.255.0財務部CwbVlan4172.16.4.0255.255.255.0營銷部YxbVlan5172.16.8.0255.255.255.0企劃部QhbVlan6172.16.9.0255.255.255.0研發(fā)一部Yfb1Vlan7172.16.10.0255.255.255.0研發(fā)二部Yfb2Vlan8172.16.12.0255.255.255.0網(wǎng)管處wgcVlan9172.16.14.0255.255.255.04.使用ADSL接入internet ，向本地電信局申請10Mbit/s ADSL 業(yè)務。申請一個C類公開地址5.個人用戶申請2Mbit/s 的帶寬，使用虛擬撥號軟件，ip地址是動態(tài)的6.遠程接入點使用2Mbit/s的ADSL連接7各vlan 網(wǎng)段的主機被限定在本網(wǎng)絡內(nèi)部可以自由訪問，快虛擬網(wǎng)段訪問必須通過核心交換機路由，符合訪問控制規(guī)則集的數(shù)據(jù)包才會被轉(zhuǎn)發(fā)8.使用公共子網(wǎng)隔離內(nèi)部網(wǎng)絡和外部網(wǎng)絡。將公共WEB 服務器放在子網(wǎng)，在內(nèi)部與外部網(wǎng)絡之間提供防火墻，只允許7個遠程辦公室的外部訪問通過防火墻9.遠程辦事處與研究所主網(wǎng)絡連接均采用vpn3.3公司園區(qū)結(jié)構(gòu)示意圖 3.4網(wǎng)絡設(shè)備選型 三層交換機：Cisco ws-c3750g-12s-s： 產(chǎn)品類型：企業(yè)級交換機 應用層級：三層 傳輸速率：10/100/1000Mbps 端口數(shù)量：12個 背板帶寬：32Gbps VLAN：支持 網(wǎng)絡管理：SNMP，CLI，Web，管理軟件 包轉(zhuǎn)發(fā)率：17.8Mpps MAC地址：12K 端口結(jié)構(gòu)：非模塊化 交換方式：存儲-轉(zhuǎn)發(fā) 端口描述：12個基于SFP的千兆位以太網(wǎng)端口 傳輸模式：支持全雙工 匯集層交換機：Ws-ce500-24tt：傳輸方式:存儲轉(zhuǎn)發(fā)方式 背板帶寬:8.8 Gbps 包轉(zhuǎn)發(fā)率:6.6Mpps 外形尺寸:251.5444.543.9mm 重量:3.7Kg 硬件參數(shù)接口類型:10/100Base-T端口,10/100/1000BASE-T端口 接口數(shù)目：26口 傳輸速率：10M/100M/1000Mbps 模塊化插槽數(shù)：0可堆疊 網(wǎng)絡與軟件支持網(wǎng)絡標準：IEEE 802.1d,IEEE 802.1p,IEEE 802.1q,IEEE 802.1w,IEEE 802.1x,IEEE 802.3ad,IEEE 802.3af,IEEE 802.3x,IEEE 802.3,IEEE 802.3u, IEEE 802.3ab,IEEE 802.3z,IGMP (v1, v2和v3) 監(jiān)聽 ,SSL,SNMPv3 (只讀) VLAN支持：支持VLAN功能 有獎找錯網(wǎng)管功能：支持網(wǎng)管功能 支持全雙工 MAC地址表：8K 其它參數(shù)電源電壓：100-240Vac, 1.3-0.8A, 5060Hz 最大功率：30W連接服務器的交換機: Ws-ce500g-12tc : 產(chǎn)品類型：網(wǎng)管交換機應用層級：二層傳輸速率：10Mbps/100Mbps/1000Mbps端口數(shù)量：12背板帶寬：24GbpsVLAN：支持網(wǎng)絡管理：BRIDGE-MIB,ENTITY-MIB,ETHERNET-MIB,IF-MIB,RFC1213-MIB (MIB II) ,RMON-MIB (統(tǒng)計，歷史，報警和事件組) ,CISCO-PRODUCTS-MIB,CISCO-SYSLOG-MIB ,CISCO-ENVMON-MIB包轉(zhuǎn)發(fā)率：18MppsMAC地址：8K網(wǎng)絡標準：IEEE 802.1d,IEEE 802.1p,IEEE 802.1q,IEEE 802.1w,IEEE 802.1x,IEEE 802.3ad,IEEE 802.3af,IEEE 802.3x,IEEE 802.3,IEEE 802.3u, IEEE 802.3ab,IEEE 802.3z,IGMP(v1,v2和v3)監(jiān)聽,SSL,SNMPv3(只讀)端口結(jié)構(gòu)：非模塊化交換方式：存儲-轉(zhuǎn)發(fā)擴展模塊：4防火墻: Asa5505-sec-bun-k8: 防火墻類型 :企業(yè)級防火墻網(wǎng)絡吞吐量 :150Mbps并發(fā)連接數(shù) :25000主要功能 :高性能防火墻、IPS、以及IPSec 和SSL VPN和IPSec VPN (150 個設(shè)備對) 軟件,支持防垃圾郵件、URL 阻攔和過濾，以及防網(wǎng)絡釣魚網(wǎng)絡管理 :思科安全管理器 (CS-Manager) ,Web端口類型 :8 端口快速以太網(wǎng)交換機,1個SSC擴展插槽，3個USB2.RAM:256MB,FLASH:64MB,過濾帶寬 :100Mbps人數(shù)限制 :無用戶數(shù)限制安全標準 :UL 60950, CSA C22.2 No. 60950, EN 60950 IEC 60950, AS/NZS60950控制端口 :console,RJ-45電源電壓 :100 - 240VAC,50/60 Hz電源功率 :額定：20W,最大：96產(chǎn)品重量 :1.8kg長度(mm) :174.5寬度(mm) :200.4高度(mm) :44.5工作溫度 :0 - 40工作濕度 :5% - 95% (非冷凝)存儲溫度 :-25 - 70存儲濕度 :5% - 95% (非冷凝)路由器: CISCO RV042 : 設(shè)備類型品牌型號個數(shù)單價總價三層交換機Cisco ws-c3750g-12s-s22.2萬4.4萬匯聚層交換機Ws-ce500-24tt53499元17495連接服務器的交換機Ws-ce500g-12tc197009700防火墻Asa5505-sec-bun-k811139911399路由器CISCO RV0421115011503.5 路由交換技術(shù)部分設(shè)計1.在核心交換機上使用stp ，使每個vlan 一個生成樹，達到雙核心的冗余備份，匯聚層和接入層使用vlan 隔離廣播域，便于管理。在兩個核心交換機上使用dhcp ，并實現(xiàn)備份。2.在核心交換機上和防火墻上運行ospf協(xié)議。并在防火墻上配置了nat地址轉(zhuǎn)換，在非軍事化區(qū)放了公共的web服務器和代理服務器。3.路由器上只提供接入作用 3.6 安全設(shè)計1各vlan 網(wǎng)段的主機被限定在本網(wǎng)絡內(nèi)部可以自由訪問，快虛擬網(wǎng)段訪問必須通過核心交換機路由，符合訪問控制規(guī)則集的數(shù)據(jù)包才會被轉(zhuǎn)發(fā)2.使