園區(qū)網(wǎng)絡設計方案

.網(wǎng)絡設計與組網(wǎng)綜合大作業(yè)目 錄網(wǎng)絡設計與組網(wǎng)綜合大作業(yè)I目 錄I第一章 緒論2 1.1 概況21.2 主要內容2第二章 園區(qū)網(wǎng)概述32.1 園區(qū)網(wǎng)含義32.2 園區(qū)網(wǎng)特點32.3 園區(qū)網(wǎng)發(fā)展趨勢3第三章 園區(qū)網(wǎng)設計43.1 需求分析43.2 網(wǎng)絡設計原則43.3 網(wǎng)絡模型設計53.4 園區(qū)網(wǎng)絡拓撲圖73.5 IP地址規(guī)劃73.6VLAN規(guī)劃83.7 路由協(xié)議選擇83.8配置規(guī)范10第四章 網(wǎng)絡安全設計124.1 VLAN技術124.2 VPN技術134.3 防火墻技術13第五章 網(wǎng)絡模擬實現(xiàn)145.1 模擬器介紹145.2 模擬環(huán)境拓撲圖145.3 需求實現(xiàn)155.4 配置步驟16第六章 總結17.第一章 緒論1.1 概況隨著計算機網(wǎng)絡的迅速發(fā)展，曾經(jīng)在園區(qū)網(wǎng)中被大量使用的10M/100M以太網(wǎng)技術、ATM技術已經(jīng)漸漸不能適應現(xiàn)在的業(yè)務需求，作為園區(qū)主干網(wǎng)，10M/100M以太網(wǎng)作為主干網(wǎng)絡核心技術帶寬不足的弊病漸漸凸顯，已經(jīng)嚴重影響著園區(qū)網(wǎng)絡的運行效率，目前仍有許多大型園區(qū)網(wǎng)絡在使用ATM技術，這樣的網(wǎng)絡面臨兩個問題：VLAN間路由的性能不能滿足網(wǎng)絡需求，并且ATM技術正在逐步被淘汰。現(xiàn)在，千兆以至10G級別以太網(wǎng)技術正逐漸成為園區(qū)網(wǎng)絡主干的主流技術。因此，許多大型園區(qū)網(wǎng)絡面臨技術改造或者重新設計。1.2 主要內容本文主要做了以下兩個方面的工作：第一，介紹了園區(qū)網(wǎng)絡的含義、特點，按網(wǎng)絡設計與組網(wǎng)課程的要求方法規(guī)劃設計一個完整的園區(qū)網(wǎng)絡。第二，使用華為的eNSP對網(wǎng)絡進行了簡單的模擬，以實現(xiàn)網(wǎng)絡的互通互聯(lián)，對各層設備進行了配置。第二章 園區(qū)網(wǎng)概述2.1 園區(qū)網(wǎng)含義園區(qū)網(wǎng)是指為企事業(yè)單位組建的辦公局域網(wǎng)。典型的園區(qū)網(wǎng)包括校園網(wǎng)、社區(qū)網(wǎng)、住宅小區(qū)網(wǎng)、企事業(yè)單位網(wǎng)等。2.2 園區(qū)網(wǎng)特點園區(qū)網(wǎng)是網(wǎng)絡的基本單元。園區(qū)網(wǎng)較適合于采用三層結構設計。園區(qū)網(wǎng)對線路成本考慮的較少，對設備性能考慮的較多，追求較高的帶寬和良好的擴展性。園區(qū)網(wǎng)的結構比較規(guī)整。2.3 園區(qū)網(wǎng)發(fā)展趨勢從計算機網(wǎng)絡應用角度來看，網(wǎng)絡應用系統(tǒng)將向更深和更寬的方向發(fā)展，這也相應的影響著未來園區(qū)網(wǎng)的發(fā)展方向。首先，Internet信息服務將會得到更大發(fā)展。網(wǎng)上信息瀏覽、信息交換、資源共享等技術將進一步提高速度、容量及信息的安全性。其次，遠程會議、遠程教學、遠程醫(yī)療、遠程購物等應用將逐步從實驗室走出，不再只是幻想。網(wǎng)絡多媒體技術的應用也將成為網(wǎng)絡發(fā)展的熱點話題。第三章 園區(qū)網(wǎng)設計3.1 需求分析某企業(yè)園區(qū)剛剛建成，是一大型企業(yè)的分支機構，為了實現(xiàn)企業(yè)的辦公信息自動化，擴大企業(yè)的影響，方便和總部的信息交流，需要建立自己企業(yè)的Intranet。企業(yè)現(xiàn)在有2幢9層的辦公大樓，分別是生產(chǎn)部和銷售部，另外還有一個家屬區(qū)，家屬區(qū)有3幢6層的大樓，兩個相距300米。企業(yè)局域網(wǎng)需要考慮覆蓋辦公區(qū)和家屬區(qū)。局域網(wǎng)需要實現(xiàn)的目標如下：實現(xiàn)有效的信息交換和共享。企業(yè)通過兩條專線接入電信和網(wǎng)通。企業(yè)需要實現(xiàn)辦公自動化。局域網(wǎng)提供企業(yè)內部電子郵件收發(fā)、信息瀏覽、文件管理、會議管理、電子公告等多方面應用。為了擴大企業(yè)的影響，企業(yè)對外提供自己的宣傳網(wǎng)站，并且能夠保證網(wǎng)站安全，不受外部或者內部攻擊。充分考慮今后各部門的接入擴展性。充分考慮企業(yè)內部網(wǎng)絡的安全性。3.2 網(wǎng)絡設計原則我們遵循以下的原則進行網(wǎng)絡設計： 實用性實用性是網(wǎng)絡系統(tǒng)建設的首要原則，該網(wǎng)絡必須最大限度的滿足需求，保證網(wǎng)絡服務的質量，否則就會影響日常工作效率。 標準化整個網(wǎng)絡從設計、技術和設備的選擇，要確保將來可能的不同廠家設備、不同應用、不同協(xié)議連接的需求，必須支持國際標準的網(wǎng)絡接口和協(xié)議，以提供高度的開放性。 先進性先進性主要是針對網(wǎng)絡系統(tǒng)的設計思想、網(wǎng)絡結構、軟硬件設施以及所選用技術等方面。只有先進的技術才可能為網(wǎng)絡帶來更高的性能，并且能保證在技術上不容易被淘汰。 可擴展性可擴展性是指該網(wǎng)絡系統(tǒng)能夠適應需求的變化。隨著技術發(fā)展，信息量增多和業(yè)務的擴大，網(wǎng)絡將在規(guī)模和性能兩方面進行一定程度的擴展。 可靠性網(wǎng)絡要求具有高可靠性，高穩(wěn)定性和足夠的冗余，提供拓撲結構及設備的冗余和備份，為了防止局部故障引起整個網(wǎng)絡系統(tǒng)的癱瘓，要避免網(wǎng)絡出現(xiàn)單點失效，核心設備需要支持冗余備份。 安全性網(wǎng)絡安全性在整個網(wǎng)絡中是個很重要的問題，網(wǎng)絡系統(tǒng)建設應采取一定手段控制網(wǎng)絡的安全性，以保證網(wǎng)絡正常運行。 管理性隨著網(wǎng)絡規(guī)模和復雜程度的增加，管理和故障排除就會越來越困難。為保障網(wǎng)絡中心的正常運行，網(wǎng)絡必須易于管理，支持網(wǎng)絡網(wǎng)段與端口的監(jiān)控、網(wǎng)絡流量與出錯的統(tǒng)計、網(wǎng)絡故障的定位、診斷、修復。3.3 網(wǎng)絡模型設計圖3.1 典型的三層網(wǎng)絡模型三層網(wǎng)絡架構采用層次化模型設計，即將復雜的網(wǎng)絡設計分成三個層次，每個層次著重于某些特定的功能，這樣就能夠使一個復雜的大問題變成許多簡單的小問題。三層網(wǎng)絡架構設計的網(wǎng)絡有以下三個層次：3.3.1 核心層核心層是網(wǎng)絡的高速交換主干,對整個網(wǎng)絡的連通起到至關重要的作用。核心層應該具有如下幾個特性:可靠性、高效性、冗余性、容錯性、可管理性、適應性、低延時性等。該層必須是基于千兆高速交換和路由的設計，設備的性能容量也是最高的（高達百Gbps 容量和每秒千萬級數(shù)據(jù)包轉發(fā)能力）。主要是由全模塊化的高性能多層路由交換機和高性能服務器組成，系統(tǒng)帶寬必須是千兆甚至10Gbps。3.3.2 匯聚層匯聚層是網(wǎng)絡接入層和核心層的“中介”，就是在工作站接入核心層前先做匯聚，以減輕核心層設備的負荷。匯聚層具有實施路由策略、安全、工作組接入、虛擬局域網(wǎng)(VLAN)之間的路由、源地址或目的地址過濾等多種功能。該層一般采用100M 或1000M的快速交換路由設計，設備的性能容量性也很高，主要由固定配置+可選模塊的三層路由交換設備組成。3.3.3 接入層接入層向本地網(wǎng)段提供工作站接入。在接入層中，減少同一網(wǎng)段的工作站數(shù)量,能夠向工作組提供高速帶寬。訪問層是由100M 快速以太網(wǎng)交換機和客戶機組成，該層次一般采用100M 快速以太網(wǎng)，采用可管理的固定配置的工作組級別的交換機，能提供多層堆疊功能實現(xiàn)大量用戶的接入。三層網(wǎng)絡架構的特點是網(wǎng)絡性能高，層次清晰，網(wǎng)絡管理直觀、方便，并合理地分散了網(wǎng)絡設備帶來的安全風險，網(wǎng)絡結構安全可靠。3.4 園區(qū)網(wǎng)絡拓撲圖圖3.2 三層網(wǎng)絡架構的園區(qū)網(wǎng)拓撲圖3.5 IP地址規(guī)劃在構建基于 TCP/IP 的企業(yè)網(wǎng)絡時，IP 地址的選擇是根據(jù)企業(yè)網(wǎng)絡規(guī)模大小從以下三類國際Internet 組織公布的私有網(wǎng)段中產(chǎn)生，這些范圍內的IP 地址不在Internet 上傳輸，是專門提供給企業(yè)用來建設內部網(wǎng)絡：A 類私有IP: 10.0.0.0 10.255.255.255。B 類私有IP: 172.16.0.0172.16.31.255。C 類私有IP: 192.168.0.0192.168.255.255。對于小型園區(qū)網(wǎng)絡，由于上網(wǎng)用戶少、設備數(shù)量少，建議使用地址空間小的192.168.0.0/16的網(wǎng)絡。而對于中大型園區(qū)網(wǎng)絡，如三層結構的校園網(wǎng)，由于上網(wǎng)人數(shù)多，設備數(shù)量多，建議采用地址空間大的10.0.0.0/8的網(wǎng)絡。3.6VLAN規(guī)劃虛擬局域網(wǎng)(VLAN)是將局域網(wǎng)內廣播域邏輯地劃分為若干子網(wǎng)。在一個交換局域網(wǎng)中，所有局域網(wǎng)段通過交換機連接到一起，路由器連在交換機上(如果是三層交換機，則不需路由器)，可以按網(wǎng)段和站點的邏輯分組形成廣播域，通過在局域網(wǎng)交換機內過濾廣播包，使得源于特定虛擬局域網(wǎng)的信息包僅傳送到那些也屬于這個虛擬局域網(wǎng)的網(wǎng)段上。虛擬局域網(wǎng)之間的尋徑由路由器完成。虛擬局域網(wǎng)建立以后，能有效地控制網(wǎng)絡的廣播風暴，減少不必要的資源帶寬浪費，并能隨著企業(yè)規(guī)模的發(fā)展和調整改變通信流的模式。VLAN規(guī)劃需要考慮如下因素：用戶VLAN與設備管理VLAN分開(IP地址)。為網(wǎng)絡擴容進行可匯總的預留設計。IP地址與VLAN編號(其它相關因素)有一定的對照性。如圖3.3所示：圖3.3 IP和VLAN對應規(guī)則根據(jù)具體需求與安全性要求等情況綜合分析，園區(qū)網(wǎng)IP地址詳細規(guī)劃如表3.4所示：表3.4 IP地址規(guī)劃表物理位置VLAN范圍IP網(wǎng)段默認網(wǎng)關獲取方式住宿區(qū)VLAN 10VLAN 30172.16.1.0172.16.30.0/24172.16.x.254/24DHCP辦公區(qū)VLAN 40VLAN 50172.16.40.0172.16.50.0/24172.16.x.254/24DHCP服務器組VLAN100202.117.144.1-202.117.144.253202.117.144.254靜態(tài)指定3.7 路由協(xié)議選擇路由協(xié)議可分為距離矢量、鏈路狀態(tài)和混合型路由協(xié)議。使用距離矢量路由協(xié)議時，所有路由器只能向它的鄰居路由器發(fā)送自己的整張路由表。然后路由器使用接收到的路由條目確定是否需要更新自己的路由表。這個過程會周期性的重復進行。與此相反，當網(wǎng)絡使用鏈路狀態(tài)路由協(xié)議時，每個路由器可以向其它所有的路由器發(fā)送自己的接口（鏈路）狀態(tài)信息，但是這僅僅發(fā)生在網(wǎng)絡拓撲發(fā)生變化的時候，每個路由器使用收到的鏈路狀態(tài)信息重新計算自己到每個目標網(wǎng)絡的最佳途徑，然后把這些路由信息保存到自己的路由表中?；旌闲吐酚蓞f(xié)議，顧名思義，該協(xié)議借用了距離矢量和鏈路狀態(tài)協(xié)議的思想?；旌闲蛥f(xié)議能向鄰居路由器（類似距離矢量）發(fā)送變動的信息（類似鏈路狀態(tài)）。路由協(xié)議的比較路由信息協(xié)議（Routing Information Protocol,RIP）RIP是一種簡單的動態(tài)路由協(xié)議，RIP至今有兩個版本，RIPv1和RIPv2，后者是前者的改進版本，RIP是一種有類的距離矢量路由協(xié)議，它最顯著的特點是在路由更新報文中不攜帶子網(wǎng)信息，RIP默認的管理距離是120，它使用跳數(shù)做為度量值，最大跳數(shù)是15，如果超過15就認為目標網(wǎng)絡不可達，所以RIP只能適用于小型的網(wǎng)絡中。內部網(wǎng)關路由協(xié)議（Interior Gateway Routing Protocol,IGRP）IGRP是Cisco私有的協(xié)議，其目的是為了取代RIP，它也是一種距離矢量路由協(xié)議，IGRP克服了RIP的一些嚴重缺陷，如IGRP在計算路由度量值時沒有使用跳數(shù)，而是采用鏈路特征，因此要優(yōu)于RIP協(xié)議。但由于IGRP是Cisco私有的協(xié)議，非Cisco廠商的設備不能支持IGRP協(xié)議，它的改進版是EIGRP。增強型內部網(wǎng)關路由協(xié)議（Enhanced Interior Gateway Routing Protocol,EIGRP）EIGRP是增強型的IGRP協(xié)議，它是一種典型的平衡混合路由選擇協(xié)議，它融合了距離矢量和鏈路狀態(tài)兩種路由協(xié)議的優(yōu)點，使用一種散射更新算法，實現(xiàn)了很高的路由性能，但由于EIGRP也是Cisco私有協(xié)議，不能在其它非Cisco設備上使用，它的應用也受到了限制。開放最短路徑優(yōu)先（Open Shortest Path First,OSPF）OSPF是一種典型的鏈路狀態(tài)、無類別IP路由協(xié)議，OSPF能夠適應大型IP網(wǎng)絡的擴展，而基于距離矢量的IP路由協(xié)議如RIP和IGRP則不能適應這種網(wǎng)絡。OSPF基于鏈路狀態(tài)，其路由是基于網(wǎng)絡地址及鏈路狀態(tài)度量的。作為一種自適應協(xié)議，OSPF可以根據(jù)網(wǎng)絡狀態(tài)故障情況自動調整，具有收斂時間短的優(yōu)點，有利于路由表的快速穩(wěn)定，這樣使OSPF可以支持大型的網(wǎng)絡。OSPF的設計可以防止通信數(shù)據(jù)形成環(huán)路，這對于網(wǎng)狀網(wǎng)絡或由多個路由器實現(xiàn)的不同局域網(wǎng)互聯(lián)非常重要。OSPF還有其它一些特性：使用了區(qū)域的概念，有效的減少了路由選擇協(xié)議對路由器的CPU和內存的占用率，劃分區(qū)域還可以降低路由協(xié)議的通信量，從而使構建層次化互聯(lián)網(wǎng)成為可能。完全無類別地處理地址問題，排除了有類路由協(xié)議存在的問題。支持使用多條路由路徑的、效率更高的負載均衡。使用保留的組播地址來減少對不運行OSPF協(xié)議的設備的影響。支持更安全的路由選擇認證。使用可以跟蹤外部路由的路由標記。經(jīng)過各種路由協(xié)議的對比和選擇，園區(qū)網(wǎng)適合采用OSPF路由協(xié)議。3.8配置規(guī)范主機命名規(guī)范如果客戶有規(guī)范或明確合理要求，則按照客戶的規(guī)范或要求進行配置。如金融行業(yè)規(guī)范。如果客戶沒有規(guī)范或明確合理要求，可參考設備位置、網(wǎng)絡位置、設備型號、設備編號等因素，在項目中制定統(tǒng)一的命名規(guī)范。主機命名規(guī)范如下圖3.5所示：圖3.5 主機命名規(guī)范設備互聯(lián)接口描述項目中所有涉及到可網(wǎng)管設備互聯(lián)的端口必須配置端口描述登陸密碼配置項目中所有可網(wǎng)管設備必須配置特權密碼及遠程登陸密碼。系統(tǒng)時間配置項目中所有可網(wǎng)管設備必須重新設置正確的系統(tǒng)時間。二層交換機管理IP配置項目中可網(wǎng)管二交換機必須配置管理IP地址，供管理員遠程管理設備所用。第四章 網(wǎng)絡安全設計園區(qū)網(wǎng)的安全是一個綜合問題，它包含網(wǎng)絡設備和人為因素兩個方面以及與外網(wǎng)（Internet）接口上的安全問題。網(wǎng)絡的有效性和可靠性即它的可連續(xù)運行的安全性是網(wǎng)絡建設必須考慮的首要原則，從用戶的角度考慮，當網(wǎng)絡所需的服務不可用時，不管是何種原因，網(wǎng)絡就失去了實際價值。從另一角度看，當某種網(wǎng)絡服務的響應時間變得變幻莫測時，網(wǎng)絡系統(tǒng)也不可靠了。為此我們在網(wǎng)絡設計上就考慮了以下的技術來提高安全性。4.1 VLAN技術VLAN技術是通過路由和交換設備，在網(wǎng)絡的物理拓撲基礎上建立的一個邏輯的網(wǎng)絡。VLAN可以看作是一個廣播域，它們不受地理位置的限制而像處于同一LAN上那樣相互交換信息。VLAN是在交換網(wǎng)絡中實現(xiàn)的。每個交換設備均可根據(jù)網(wǎng)絡管理人員所定義的VLAN劃分方法對報文進行過濾和轉發(fā)，并能將這種劃分信息傳遞到網(wǎng)絡中其它交換設備和路由器中去。可以限制VLAN中的用戶數(shù)量，禁止那些沒有得到許可的用戶加入到某個VLAN中。這樣，可以控制用戶對網(wǎng)絡資源的訪問，控制廣播組的大小和組成，并借助網(wǎng)管軟件在發(fā)生非法入侵時通知管理員。交換機上劃分VLAN方法如圖4.1所示：圖4.1 交換機劃分VLAN方法4.2 VPN技術虛擬專用網(wǎng)（Virtual Private Network，VPN）技術的基本思路是充分利用現(xiàn)有的公用網(wǎng)絡來建立一個私有的、安全的連接，即建立一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道，同時避免昂貴的專線租用費用，它使用的是建立在物理連接基礎上的邏輯連接，客戶并不能意識到實際的物理連接，而且在穿越Internet進行路由時，其安全性與在專用網(wǎng)絡中進行安全路由的安全性基本相同。4.3 防火墻技術目前，在保護計算機網(wǎng)絡安全的設備中，使用最多的就是防火墻。防火墻是在兩個網(wǎng)絡之間執(zhí)行控制策略的系統(tǒng)，這兩個網(wǎng)絡中，通常一個是要保護的內部網(wǎng)，一個是外部網(wǎng)，防火墻在內部網(wǎng)和外部網(wǎng)之間構成一道屏障，通過檢測、限制或者更改通過它的數(shù)據(jù)流，對外屏蔽內部網(wǎng)的信息、結構和運行狀況，以防止發(fā)生網(wǎng)絡入侵或攻擊，達到對內部網(wǎng)的安全保護。防火墻原理如圖4.2所示： 圖4.2 防火墻原理