企業(yè)園區(qū)網(wǎng)融合網(wǎng)絡(luò)設(shè)計(jì)課程設(shè)計(jì)實(shí)踐報(bào)告

1、下載可編輯課程設(shè)計(jì)姓學(xué)號：名：學(xué)計(jì)算機(jī)學(xué)院院：專業(yè)：題 目 ：企業(yè)園區(qū)網(wǎng)融合網(wǎng)絡(luò)設(shè)計(jì)創(chuàng)新性難/復(fù)雜度（20） 完成情況（50）設(shè)計(jì)報(bào)（告20） 總分（ 10 ）評閱者：評閱時(shí)間：.專業(yè) .整理 .下載可編輯目錄1 方案概述 .41.1背景分析 .41.1.1前言 .41.1.2目前園區(qū)網(wǎng)現(xiàn)狀 .41.2主要內(nèi)容 .52 需求分析 .62.1網(wǎng)絡(luò)應(yīng)用需求 .62.2網(wǎng)絡(luò)安全需求 .62.3網(wǎng)絡(luò)環(huán)境需求分析 .63 網(wǎng)絡(luò)設(shè)計(jì) .83.1網(wǎng)絡(luò)設(shè)計(jì)原則 .83.1.1層次化 .83.1.2模塊化 .83.1.3安全性 .83.1.4可擴(kuò)展性 .83.1.5可靠性 .93.2網(wǎng)絡(luò) VLAN 設(shè)計(jì)需求 .

2、104 網(wǎng)絡(luò)設(shè)計(jì)方案.104.1總體網(wǎng)絡(luò)規(guī)劃 .104.2網(wǎng)絡(luò)設(shè)備配置 .124.2.1劃分子網(wǎng) .12.專業(yè) .整理 .下載可編輯4.3 設(shè)備詳細(xì)配置14接入層交換機(jī)配置14匯聚層交換機(jī)配置15核心層路由器配置174.4 網(wǎng)絡(luò)可靠性分析18網(wǎng)絡(luò)設(shè)備可靠性分析18鏈路的可靠性分析18協(xié)議的可靠性分析18生成樹協(xié)議18虛擬路由冗余協(xié)議18網(wǎng)路安全和管理 AAA 認(rèn)證和 SPAN 監(jiān)控20協(xié)議20.專業(yè) .整理 .下載可編輯1 方案概述1.1 背景分析前言隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，曾經(jīng)在園區(qū)網(wǎng)中被大量使用的10M/100M以太網(wǎng)技術(shù)、 ATM 技術(shù)已經(jīng)漸漸不能適應(yīng)現(xiàn)在的業(yè)務(wù)需求，作為園區(qū)主干網(wǎng)，

3、10M/100M以太網(wǎng)作為主干網(wǎng)絡(luò)核心技術(shù)帶寬不足的弊病漸漸凸顯，已經(jīng)嚴(yán)重影響著園區(qū)網(wǎng)絡(luò)的運(yùn)行效率 ，目前仍有許多大型園區(qū)網(wǎng)絡(luò)在使用ATM 技術(shù) ，這樣的網(wǎng)絡(luò)面臨兩個(gè)問題：VLAN 間路由的性能不能滿足網(wǎng)絡(luò)需求，并且 ATM 技術(shù)正在逐步被淘汰。現(xiàn)在，千兆以至 10G 級別以太網(wǎng)技術(shù)正逐漸成為園區(qū)網(wǎng)絡(luò)主干的主流技術(shù)。因此 ，許多大型園區(qū)網(wǎng)絡(luò)面臨技術(shù)改造或者重新設(shè)計(jì)。目前園區(qū)網(wǎng)現(xiàn)狀某企業(yè)園區(qū)剛剛建成，是一大型企業(yè)的分支機(jī)構(gòu)，為了實(shí)現(xiàn)企業(yè)的辦公信息自動(dòng)化，擴(kuò)大企業(yè)的影響，方便和總部的信息交流，需要建立自己企業(yè)的Intranet 。 企業(yè)現(xiàn)在有2 幢9 層的辦公大樓，分別是生產(chǎn)部和銷售部，另外還有一

4、個(gè)家屬區(qū)，家屬區(qū)有 3 幢 6 層的大樓 ，兩個(gè)相距300 米。企業(yè)局域網(wǎng)需要考慮覆蓋辦公區(qū)和家屬區(qū)。局域網(wǎng)需要實(shí)現(xiàn)的目標(biāo)如下：1.實(shí)現(xiàn)有效的信息交換和共享。企業(yè)通過兩條專線接入電信和網(wǎng)通。2.企業(yè)需要實(shí)現(xiàn)辦公自動(dòng)化。局域網(wǎng)提供企業(yè)內(nèi)部電子郵件收發(fā)、信息瀏覽 、文件管理、會議管理 、電子公告等多方面應(yīng)用。.專業(yè) .整理 .下載可編輯3.為了擴(kuò)大企業(yè)的影響，企業(yè)對外提供自己的宣傳網(wǎng)站，并且能夠保證網(wǎng)站安全，不受外部或者內(nèi)部攻擊。4.充分考慮今后各部門的接入擴(kuò)展性。5.充分考慮企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。1.2 主要內(nèi)容本文主要做了以下兩個(gè)方面的工作：第一，介紹了園區(qū)網(wǎng)絡(luò)的含義、特點(diǎn) ，按網(wǎng)絡(luò)設(shè)計(jì)與組網(wǎng)

5、課程的要求方法規(guī)劃設(shè)計(jì)一個(gè)完整的園區(qū)網(wǎng)絡(luò)。第二，使用思科的網(wǎng)絡(luò)設(shè)備對網(wǎng)絡(luò)進(jìn)行了簡單的模擬，以實(shí)現(xiàn)網(wǎng)絡(luò)的互通互聯(lián)，對各層設(shè)備進(jìn)行了配置。.專業(yè) .整理 .下載可編輯2 需求分析2.1 網(wǎng)絡(luò)應(yīng)用需求1.企業(yè)網(wǎng)與internet連接 ，使員工可以通過互聯(lián)網(wǎng)獲取資源和信息2.建設(shè)企業(yè)網(wǎng)站，實(shí)現(xiàn)企業(yè)的對外宣傳以及發(fā)布各種內(nèi)部信息3.在企業(yè)網(wǎng)內(nèi)實(shí)現(xiàn)傳輸共享4.實(shí)現(xiàn)企業(yè)的行政、辦公的無紙化5.企業(yè)生活的電子化（食堂卡等 ）2.2 網(wǎng)絡(luò)安全需求1.企業(yè)接入internet ，使用防火墻等過濾功能防止黑客和其他非法入侵者入侵網(wǎng)絡(luò)，并且對接入網(wǎng)絡(luò)的成員進(jìn)行控制2.防范企業(yè)網(wǎng)內(nèi)部的安全性問題，如 ARP 攻擊3.按

6、照相應(yīng)標(biāo)準(zhǔn)進(jìn)行局域網(wǎng)的建設(shè)，確保物理層安全。4.采用主機(jī)訪問控制手段加強(qiáng)對主機(jī)的訪問控制。5.劃分安全子網(wǎng)，加強(qiáng)網(wǎng)絡(luò)邊界的訪問控制，防止內(nèi)外的攻擊威脅，定期進(jìn)行網(wǎng)絡(luò)安全檢測 ，建立網(wǎng)絡(luò)防病毒系統(tǒng)。6.建立身份認(rèn)證系統(tǒng)，對各應(yīng)用系統(tǒng)本身進(jìn)行加固2.3 網(wǎng)絡(luò)環(huán)境需求分析幾種典型應(yīng)用帶寬需求情況如下：空閑 ： 5K 20Kbps ；.專業(yè) .整理 .下載可編輯Office （ Word/Excel ）辦公應(yīng)用 ：20K 120Kbps ；Internet/WWW瀏覽 （純文字 ）： 50K 150Kbps ；PPT/ 圖片應(yīng)用 ： 200300Kbps；打印 ： 500800Kbps；標(biāo)清視頻 （

7、320P ，原始窗口 ）： 15Mbps；帶寬至少按4M 算；高清視頻 （ 480P ， 720P 原始窗口 ）： 215Mbps；帶寬至少按10M 算；單個(gè)用戶最大使用/ 預(yù)留帶寬 ： 10Mbps ，保證用戶可以流暢的使用網(wǎng)絡(luò)。.專業(yè) .整理 .下載可編輯3 網(wǎng)絡(luò)設(shè)計(jì)3.1 網(wǎng)絡(luò)設(shè)計(jì)原則層次化層次化是根據(jù)功能作用和定位，園區(qū)網(wǎng)通常按照核心層，匯聚層 ，接入層等多個(gè)層次進(jìn)行劃分 ，設(shè)計(jì) ， 要做到化繁為簡，使網(wǎng)絡(luò)結(jié)構(gòu)簡單，簡化網(wǎng)絡(luò)部署，具有良好的穩(wěn)定性、可擴(kuò)展性 ，同時(shí)也方便網(wǎng)絡(luò)管理。模塊化從業(yè)務(wù)角度出發(fā)，分為園區(qū)出口、數(shù)據(jù)中心 、 DMZ 、網(wǎng)絡(luò)管理 、分支、園區(qū)互聯(lián) 、出差員工和合作伙伴

8、等功能分區(qū)或業(yè)務(wù)類別安全性全網(wǎng)安全可靠，具有完善的安全防護(hù)措施，防止惡意破壞 ，保護(hù)數(shù)據(jù)和網(wǎng)絡(luò)安全，打造一個(gè)安全可信得網(wǎng)絡(luò)，保障網(wǎng)路和業(yè)務(wù)安全?？蓴U(kuò)展性可擴(kuò)展性是指該網(wǎng)絡(luò)系統(tǒng)能夠適應(yīng)需求的變化。隨著技術(shù)發(fā)展，信息量增多和業(yè)務(wù)的擴(kuò)大 ，網(wǎng)絡(luò)將在規(guī)模和性能兩方面進(jìn)行一定程度的擴(kuò)展。.專業(yè) .整理 .下載可編輯可靠性帶寬和性能設(shè)計(jì)， QoS 設(shè)計(jì)等 ，保證業(yè)務(wù)質(zhì)量以及業(yè)務(wù)體驗(yàn)，讓客戶滿意 。 園區(qū)網(wǎng)穩(wěn)定可靠 ，關(guān)鍵部位采用冗余或備份架構(gòu)；發(fā)生故障時(shí)可以快速恢復(fù)，保證業(yè)務(wù)不中斷，保證業(yè)務(wù)體驗(yàn) 。 全網(wǎng)多業(yè)務(wù)智能、主動(dòng)和綜合管理，實(shí)時(shí)分析網(wǎng)絡(luò)健康狀況，積極預(yù)防 ；故障發(fā)生時(shí)可以快速排除故障，減少損失 ，

9、網(wǎng)絡(luò)必須易于管理，支持網(wǎng)絡(luò)網(wǎng)段與端口的監(jiān)控、網(wǎng)絡(luò)流量與出錯(cuò)的統(tǒng)計(jì)、網(wǎng)絡(luò)故障的定位、診斷 、修復(fù) 。.專業(yè) .整理 .下載可編輯3.2 網(wǎng)絡(luò) VLAN 設(shè)計(jì)需求VLAN 使用場景VLAN 數(shù)量VLAN 號VLAN 名稱財(cái)務(wù)部 VLAN128VLAN1finance人力資源部 VLAN128VLAN2Human_resource技術(shù)支持部 VLAN128VLAN3Technique_support售后服務(wù)部 VLAN128VLAN4After_sale_server產(chǎn)品部 VLAN128VLAN5produce客服部 VLAN128VLAN6Customerservice設(shè)備部 VLAN128VL

10、AN7equipment市場部 VLAN128VLAN8MarketingDepartment管理 VLAN64VLAN9manage服務(wù)器群 VLAN64VLAN10Server_groupVLAN 總數(shù)11524 網(wǎng)絡(luò)設(shè)計(jì)方案4.1 總體網(wǎng)絡(luò)規(guī)劃根據(jù) 2.1 的需求可知 ，此次的方案中共劃分了10 個(gè)部門 （ 8 個(gè)工作部門 ， 1 個(gè)管理VLAN ， 1 個(gè)服務(wù)器群VLAN ）。 這 10 個(gè)部門通過網(wǎng)線接入到接入層交換機(jī)，其中 ，總經(jīng)理辦公室 、副經(jīng)理辦公室可以直接管理網(wǎng)絡(luò)。具體的網(wǎng)絡(luò)布線圖如下圖所示：.專業(yè) .整理 .下載可編輯根據(jù)上述的帶寬需求，結(jié)合章節(jié) “2.3 ”部分 ，可規(guī)劃

11、出每種應(yīng)用環(huán)境所實(shí)際需求的帶寬。通常建議如下 :服務(wù)器端必須采用萬兆部署接入交換機(jī)上聯(lián)必須保證千兆帶寬匯聚交換機(jī)上聯(lián)必須保證萬兆帶寬具體的 IP 地址劃分如下 ：部門或設(shè)備IP 地址財(cái)務(wù)部 VLAN人力資源部VLAN技術(shù)支持部VLAN售后服務(wù)部VLAN.專業(yè) .整理 .下載可編輯產(chǎn)品部 VLAN客服部 VLAN設(shè)備部 VLAN市場部 VLAN管理 VLAN服務(wù)器群 VLANRoute0Route1Route2接入層與匯聚層交換機(jī)都是二層交換機(jī)，因而針對每個(gè)IP 地址都應(yīng)讓它們分別屬于各自的網(wǎng)段，即應(yīng)劃分 VLAN ，各個(gè) IP 地址的 VLAN 劃分如表三所示。而接入層與匯聚層之間也需要配置V

12、LAN ，為了方便通信，讓它們之間每一個(gè)鏈路都與其所接的部門屬于同一VLAN ，即接入層交換機(jī)所接到同一個(gè)部門的端口屬于同一個(gè)VLAN 。4.2 網(wǎng)絡(luò)設(shè)備配置劃分子網(wǎng)在一個(gè)大 、中型網(wǎng)絡(luò)里 ，VLAN 的劃分是必不可少的步驟之一。一個(gè)單位在一個(gè)網(wǎng)絡(luò)號下有大量的計(jì)算機(jī)時(shí)，并不便于管理，可以根據(jù)單位所屬的部門或其地理分布位置等來劃分子網(wǎng) ，在本設(shè)計(jì)方案中是根據(jù)部門來劃分子網(wǎng)的，劃分子網(wǎng)也就分割了廣播域。劃分子網(wǎng)的目的:減少網(wǎng)絡(luò)流量.專業(yè) .整理 .下載可編輯2.提高網(wǎng)絡(luò)性能3.簡化管理4.易于擴(kuò)大地理范圍在下面我們需要注意的是： -54 這樣的 IP

13、 地址是私有 IP 地址 ，它不能在公共網(wǎng)絡(luò)中使用 ，但是為什么我們要這樣做呢？因?yàn)獒槍Ξ?dāng)前現(xiàn)狀 ， IP 地址緊缺 ，我們不可能也不應(yīng)該為每一臺工作站申請一個(gè)公有IP 地址 ，這樣不僅可以緩解 IP 地址不足的情況 ，而且也可以為企業(yè)建設(shè)一個(gè)企業(yè)網(wǎng)節(jié)約不少的開支，那這樣且不是不能夠訪問INTERNET。 為了讓這些私有IP 地址能夠在公共INTERNET 使用 ，讓使用這樣 IP 地址的工作站能夠訪問 INTERNET 上的資源 ，我們必須對這樣私有IP 地址作 NAT（ networkaddresstranslation）即網(wǎng)絡(luò)地址轉(zhuǎn)換 。 NAT的配置我將后面的論述中進(jìn)行配置。而對于經(jīng)理

14、辦公室，由于我們有特定的要求，我將為其分配staticIP 地址 。.專業(yè) .整理 .下載可編輯4.3 設(shè)備詳細(xì)配置接入層交換機(jī)配置.專業(yè) .整理 .下載可編輯匯聚層交換機(jī)配置.專業(yè) .整理 .下載可編輯.專業(yè) .整理 .下載可編輯核心層路由器配置.專業(yè) .整理 .下載可編輯4.4 網(wǎng)絡(luò)可靠性分析網(wǎng)絡(luò)設(shè)備可靠性分析如今華為網(wǎng)絡(luò)設(shè)備越來越受國人喜愛，在國內(nèi)華為設(shè)備正在逐步取代思科設(shè)備，華為設(shè)備安全 、經(jīng)濟(jì) 、實(shí)惠、功能好 ，因此我們選用了國內(nèi)主流公司華為的設(shè)備。鏈路的可靠性分析提高鏈路的可靠性往往通過鏈路的冗余設(shè)計(jì)來實(shí)現(xiàn)，在即采用一條主鏈路和一條備鏈路。在 Switch0 、Switch1 連接

15、多條物理鏈路，這種冗余設(shè)計(jì)構(gòu)思簡單而且便宜。鏈路冗余還有一個(gè)好處是可以做到均衡負(fù)載。協(xié)議的可靠性分析協(xié)議的可靠性技術(shù)就是采用相關(guān)的軟、硬件切換技術(shù)(如 STP 和 VRRP)來保證核心應(yīng)用系統(tǒng)的快速切換，防止局部故障導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓，避免網(wǎng)絡(luò)出現(xiàn)單點(diǎn)失效，從而保證用戶端在網(wǎng)絡(luò)失效時(shí)能快速透明地切換。生成樹協(xié)議在 Switch0 、Switch1 、 Switch2 上配置了 STP，在網(wǎng)絡(luò)中配置2 個(gè) VLAN ，不同 VLAN的 STP 具有不同的根橋，實(shí)現(xiàn)負(fù)載平衡。虛擬路由冗余協(xié)議在路由器 Router1 和 Router2 創(chuàng)建了兩個(gè)VRRP組，第一個(gè)組的IP 為，活動(dòng)路由器為Router1 ，一部分計(jì)算機(jī)的網(wǎng)關(guān)指向。 第二個(gè)組的IP 為.專業(yè) .整理 .下載可編輯，活動(dòng)路由器為Router2 ，另一部分計(jì)算機(jī)的網(wǎng)關(guān)指向。 這樣，如果網(wǎng)絡(luò)全部正常時(shí)，一部分?jǐn)?shù)據(jù)是Router1轉(zhuǎn)發(fā)的 ，另一部分?jǐn)?shù)據(jù)是Router2轉(zhuǎn)發(fā)的，實(shí)現(xiàn)了負(fù)載平衡。如果一個(gè)路由器出現(xiàn)問題，則另一個(gè)路由器就成為兩個(gè)VRRP 組的路由器 ，承擔(dān)全部的數(shù)據(jù)轉(zhuǎn)發(fā)功能。.專業(yè) .整理 .下載可編輯網(wǎng)路安全和管理AAA 認(rèn)證和 SPAN 監(jiān)控在三個(gè)路由器都配置了AAA 本地認(rèn)證登陸 ，增強(qiáng)網(wǎng)絡(luò)的安全性，防止被攻擊 。把 S0 上配置 SPAN ，F(xiàn)0/4 端口設(shè)為監(jiān)控