公司网络安全设计方案.docx

《公司网络安全设计方案.docx》由会员分享，可在线阅读，更多相关《公司网络安全设计方案.docx（34页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、公司网络安全设计方案xx学院 课程实训 题目_XXXX公司网络平安设计方案_ 所 在 系 信息工程系 专业班级 学生姓名 xxxx 学生学号 xx 指导老师 xxxxxxx 书目 一、 需求分析 7 1.1 工程项目概况 7 1.2 信息点分布 7 1.3 需求分析 8 二、 方案设计原则 9 三、 网络方案设计 12 3.1网络拓扑结构介绍 12 3.2网络拓扑图 13 3.3.1骨干核心层网络设计 13 3.3.2核心层网络设计 14 3.3.3汇聚层网络设计 15 3.3.4接入层网络设计 15 3.3.5广域网互联设计 16 3.3.6冗余/负载均衡设计 16 3.3.7线路冗余 17

2、 3.3.8网络设备冗余/负载均衡设计 18 3.3.9服务器冗余设计 19 3.310 IP地址规划原则 20 3.3 方案特点 23 3.4工程预算 24 四、 网络技术选型 24 4.1 路由协议OSPF 24 4.2 端口平安与认证（基于 802.1X） 25 五、 网络平安及管理机制 32 5.1 完善的平安机制 32 5.2 解决平安威逼 33 5.3 VPN (虚拟专用网) 34 六、 网络设备选型 35 七、 方案的扩展性考虑 35 规划需求 一、 公司背景: 二、 XX电子系统工程有限公司是股份有限公司，成立于2000年，是威海市较早从事信息系统集成、硬件销售、软件开发与IT

3、服务的综合性公司，注册资金208万元人民币，公司现拥有员工30多人，其中专业技术人员占80%以上，本科以上学历人员占70%以上。公司具备从方案设计、网络布线、办公设备、信息系统集成、软件开发及IT服务等面对用户的综合服务实力。创立伊始，立足于信息产业，致力于高科技产品的开发和信息系统集成与服务工作，为政府、教化、金融、证券、企业供应优质的解决方案及增值服务。在技术竞争日益激烈的今日，公司不断加大对高技术人才的引进及培训工作，为他们供应优质的工作环境、创建学习的机会。全面提高人才素养，为公司业务的快速发展供应了须要的人才。建立了一支专业技术实力强、素养水平高的技术队伍。这样才能充分的依据各行业特

4、点，充分了解用户需求，跟踪国际最新技术潮流，为用户供应优质、牢靠、性价比高的解决方案，完全从用户的角度动身，达到物尽其用的目的，节约投资。公司拥有一批阅历丰富的高级技术人员、优秀系统集成方案设计及施工、认证工程师和专业素养管理人员，他们都经过知名厂家及专业培训机构的培训，具有丰富的项目管理与实施、技术服务阅历。分别通过了IBM、HP、DELL、联想、清华同方、启明星辰、3COM、AMP、FLUKE、MICROSOFT、NOVELL、安博士、金山的培训和认证，实行认证专家服务。能够为客户供应网络规化设计、系统集成方案资询、工程实施、应用系统开发和售后技术服务与紧急救援等一系列完整的客户系统解决方

5、案。近几年来公司以其精彩的业绩在同行业中令人瞩目。二、用户背景信息 为了加快某集团的信息化建设，新的集团企业网将建设一个以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心，以现代网络技术为依托，技术先进、扩展性强，将集团的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来，实现内、外沟通的现代化计算机网络系统。该网络系统是支持办公自动化、供应链管理、ERP以及各应用系统运行的基础设施，为了确保这些关键应用系统的正常运行、平安和发展，系统必需具备如下的特性： 采纳先进的网络通信技术完成集团企业网的建设，实现各分公司的信息化； 在整个企业集团内实

6、现全部部门的办公自动化，提高工作效率和管理服务水平； 在整个企业集团内实现资源共享、产品信息共享、实时新闻发布； 在整个企业集团内实现财务电算化； 在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系统； 在网络设计方案中， 三、用户需求分析结果 要求网络设备集成的平安性（本方案设计中可以涉及特地的防火墙、VPN或IDS产品，但在试验配置时平安是指交换机、路由器等网络基础设施产品中的集成平安，不涉及其它产品），网络平台须要供应防止非法的ARP攻击、DOS攻击、非法DHCPServer的实力。 实现内部网络按用户、功能进行VLAN划分； 分布式三层架构，启用三层路由功能及相应访问限制；

7、 病毒攻击防护；出口实现NAT地址转换，发布对外的WEB服务； 支持10GE或将来平滑过渡到10GE； 要求对网络主干进行流量监控； 各个建筑物都有1对8芯的单模光纤连接到主建筑物（即网络中心所在地），全部建筑物到主建筑物之间的距离在600M2000M之间；每个建筑物内部都有适当的内部布线，以实现所需连接； 四、方案要求 （）方案设计要求 o 整体结构 o 设备选型 o 网络拓扑图 4、IP地址规划 （2）试验报告实施文档 1、整体结构，依据供应的硬件设备搭建模拟的网络环境描述； 2、试验配置，包括详细配置文档； 3、验证，测试验证方法 一、 需求分析 1.1 工程项目概况 集团为了加快信息化

8、建设，新的集团企业网将建设一个以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心，以现代网络技术为依托，技术先进、扩展性强，将集团的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来，实现内、外沟通的现代化计算机网络系统。该网络系统是支持办公自动化、供应链管理、ERP以及各应用系统运行的基础设施，为了确保这些关键应用系统的正常运行、平安和发展，系统必需具备如下的特性： 1、 采纳先进的网络通信技术完成集团企业网的建设，实现各分公司的信息化； 2、 在整个企业集团内实现全部部门的办公自动化，提高工作效率和管理服务水平； 3、 在整个企业集团内实

9、现资源共享、产品信息共享、实时新闻发布； 4、 在整个企业集团内实现财务电算化； 5、 在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系统； 详细要求： l WWW服务 l E-mail、FTP服务 l 网上多媒体教学，能供应视频点播服务 l 集团内行政管理 l 拨号上网服务 1.2 信息点分布 主要信息点集中在生产部、账务部、网络中心、职工宿舍与医疗卫生等部门。具体分布如表1所示。 地点 信息点 备注 网络中心 40 需保证速度、流量和牢靠性 生产部 150 需保证速度、流量和牢靠性 账务部 120 需保证速度、流量和平安性 职工宿舍 1000 需保证速度和流量 医疗卫生 10

10、 需保证速度和牢靠性 销售部 100 综合设计 30 表1 主要信息点分布 1.3 需求分析 为适应企业信息化的发展，满意日益增长的通讯需求和网络的稳定运行，今日的大型企业网络建设比传统企业网络建设提出更高的要求，主要表现在如下几个方面： 1）现代大型企业网络应具有更高的带宽，支持10GE或将来平滑过渡到10GE，更强大的性能，以满意用户日益增长的通讯需求； 随着计算机技术的高速发展，基于网络的各种应用日益增多，今日的企业网络已经发展成为一个多业务承载平台，它不仅要接着承载企业的办公自动化和WEB阅读等简洁的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的I

11、P电话、视频会议等多媒体业务，因此数据流量将大大增加，尤其是对核心网络的数据交换实力提出前所未有的要求。另外，随着千兆端口的成本持续下降，千兆到桌面的应用会在不久的将来成为企业网的主流。从2005年全球交换机市场分析可以看到，增长最快速的就是10G级别机箱式交换机，由此可见，万兆的大规模应用已经真正起先。所以今日的企业网络已经不能再用百兆到桌面千兆骨干来作为建网的标准，它的核心层及骨干层必需具有万兆级带宽和处理性能，才能构筑一个畅通无阻的“高品质”大型企业网，从而适应网络规模扩大，业务量日益增长的须要。 2）现代大型企业网络应具有更全面的牢靠性设计，以实现网络通讯的实时畅通，保障企业生产运营的

12、正常进行； 随着企业各种业务应用渐渐转移到计算机网络上来，网络通讯的无中断运行已经成为保证企业正常的生产运营的关键。现代大型企业网络在牢靠性设计方面主要应从三方面考虑：首先是设备级牢靠性设计，这里不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察；其次是业务的牢靠性设计，这里要留意网络设备在故障倒换过程中是否对业务的正常运行有影响；再次是链路的牢靠性设计，以太网的链路平安来自于它的多路径选择，所以在企业网络建设时要考虑网络设备是否能够供应有效的链路自愈手段和快速重路由协议的支持。 3）现代大型企业网络须要供应完善的端到端QOS保障，以满意企业

13、网多业务承载的需求； 大型企业网络承载业务的不断增多，单纯的提高带宽并不能够有效的保障数据交换的畅通无阻，正如八车道的长安街也常常堵车一样，所以今日的大型企业网络建设必需要考虑到网络应能够智能的识别应用事务的紧急和重要程度，如视频、音频、数据流(MIS、ERP、OA、备份数据)，同时能够调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无堵塞的传送，实现对业务的合理调度才是一个大型企业网络供应“高品质”服务的保障。 4）现代大型企业网络应供应更完善的网络平安解决方案，以阻击病毒和黑客的攻击，削减企业的经济损失； 传统企业网络的平安措施主要是通过部署防火墙、IDS、杀毒软件以及协作交换机

14、或路由器的ACL来实现对于病毒和黑客攻击的防卫，但实践证明这些被动的防卫措施并不能有效的解决企业网络的平安问题。在企业网络已经成为公司生产运营的重要组成部分的今日，现代企业网络必需要有一整套从用户接入限制，病毒报文识别到主动抑制的一系列平安限制手段，才能有效的保证企业网络的稳定运行。 5）现代大型企业网络应具备更智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加困难的须要； 当前的网络已经发展成为“以应用为中心”的信息基础平台，网络管理实力的要求已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如，网络调试期间最消耗人力与物力的线缆故障定位工作，网络运行

15、期间对不同用户敏捷的服务策略部署、访问权限限制、以及网络日志审计和病毒限制实力等方面的管理工作，由于受网络设备功能本身的限制，都还属于费时、费劲，有时甚至是不行能的任务，所以现代的大型企业网络迫切须要网络设备具备支撑“以应用为中心”的智能网络运营维护的实力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。 二、 方案设计原则 本方案的设计将在追求性能优越、经济好用的前提下，本着严谨、慎重的看法，从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计，力图使该系统真正成为符合该中学的网络系统。 从技术措施角度来讲，在网络的设计和实现中，本方案

16、严格遵守了以下原则： l 好用性和集成性 系统的软硬件设计、还是集成，均以适用为第一宗旨，在系统充分适应企业信息化的需求的基础上进而再来考虑其他的性能。该系统所包含的内容许多，必需能将各种先进的软硬件设备有效地集成在一起，使系统的各个组成部分能充分发挥作用，协调一样的进行高效工作。l 标准性和开往性 只有支持标准性和开放性的系统，才能支持与其它开放型系统一起协同工作，在网络中采纳的硬件设备及软件产品应当支持国际工作标准或事实上的标准，以便能和不同厂家的开放性产品在同一网络中同时共存。通信中应采纳标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺当进行通讯。l 先进性和平安性 系

17、统全部的组成要素均应充分地考虑其先进性。不能一味地追求好用而忽视先进，只有将当今最先进的技术和我们的实际应用要求紧密结合，才能获得最大的系统性能和效益。网络的平安是事关重要的，在某些状况下，宁可牺牲系统的部分功能也必需保证系统的平安。l 成熟性和高牢靠性 作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满意网络通信的须要。网络硬件体系结构在实际应用中能经过较长时间的考验，在运行速度和性能上都应是稳定牢靠的、拥有完善的、好用的解决方案，并通到较多的第三方开发商和用户在全球的广泛支持和运用。同时，应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品，以适应系统将来的发展须要。牢靠

18、性也是衡量一个计算机应用系统的重要标准之一。在确保系统网络环境中单独设备稳定、牢靠运行的前提下，还须要考虑网络整体的容错实力、平安性及稳定性，使系统出现问题和故障时能快速地修复。因此须要实行肯定的预防措施，如对关键应用的主干设备考虑有适当的冗余。应急处理信息系统能够全天候工作，达到每周7*24小时工作的要求。一个高可用性的系统才能运用户的投资真正得到回报。l 可维护性和可管理性 整个信息网络系统中的互连设备，应是运用便利、操作简洁易学，并便于维护。对困难和浩大的网络，要求有强有力的网络管理手段，以便合理的管理网络资源，监视网络状态及限制网络的运行，因此，网络所选的网络设备应支持多种协议，管理员

19、能便利进行网络管理、维护甚至修复。在设计和实现时，必需充分考虑整个系统的便于维护性，以使系统万一发生故障时能供应有效手段刚好进行复原，尽量削减损失。l 可扩充性和兼容性 网络的拓扑结构应具有可扩展性即网络联结必需在系统结构、系统容量与处理实力、物理接连、产品支持等方面具有扩充与升级换代的可能，采纳的产品要遵循通用的工业标准，以便不同的设备能便利敏捷地接连入网并满意系统规模扩充的要求。为了使所实现系统能够在应用发生改变的状况下爱护原有的开发投资，在设计系统时，应将系统按功能做成模块化的，可依据须要增加和删除功能模块 三、 网络方案设计 3.1网络拓扑结构介绍 在此次集团大型企业网的设计中，我们采

20、纳层次化模型来设计网络拓扑结构。所谓“层次化”模型，就是将困难的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个困难的大问题变成很多简洁的小问题。层次模型既能够应用于局域网的设计，也能够应用于广域网的设计。 层次化模型的好处： 在大型企业网设计中，运用层次化模型有很多好处，列举如下： 1、节约成本 在采纳层次模型之后，各层次各司其职，不再在同一个平台上考虑全部的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽，削减了对系统资源的奢侈。2、易于理解 层次化设计使得网络结构清楚明白，可以在不同的层次实施不同难度的管理，降低了管理成本。3、易于扩展 在网络设计中，模

21、块化具有的特性使得网络增长时网络的困难性能够限制在子网中，而不会扩散到网络的其他地方。而假如采纳扁平化和网状设计，任何一个节点的变动都将对整个网络产生很大影响。4、易于排错 层次化设计能够使网络拓扑结构分解为易于理解的子网，网络管理者能够轻易地确定网络故障的范围，从而简化了排错过程。3.2网络拓扑图 网络拓扑图如图1所示。 图1 网络拓扑图 3.3 网络设计 3.3.1骨干核心层网络设计 大型企业生产办公网络的核心网主要完成整个企业集团内部不同地域企业之间的高速数据路由转发，以及维护全网路由的计算。鉴于大型集团企业的用户数量众多，业务困难，QOS要求较高的特点，在本方案中采纳神州数码的DCRS

22、-7508高密度多业务核心路由交换机组建高性能的核心网络平台。 神州数码 DCRS-7500系列交换机是具有运营商级容错实力的高性能大型网络核心交换机，可为高校和运营商供应基于领先技术的卓越性能和牢靠性。DCRS-7500系列交换机专为发挥万兆、千兆以太网潜在的强大交换实力而设计，超大容量的交换背板使得包括万兆端口在内的每个端口具备全线速交换实力，确保在巨大的网络通信负载下始终能够轻松实现线速的其次层和第三层交换，是城域网、数据中心、智能大厦及企业网络骨干级核心路由交换机的志向选择。 DCRS-7500系列交换机具有三种型号，包括15插槽的DCRS-7515、8插槽的DCRS-7508和4插槽

23、的DCRS-7504，除DCRS-7515专用的大功率电源模块外，该系列交换机的全部管理模块、交换模块以及电源模块都可互换运用，而且管理模块、电源模块、风扇等还可实现冗余备份，温度传感器可以随时监控各个部件的工作温度， 从而供应运营商级的牢靠性。DCRS-7500系列交换机的一大特色是管理模块均带有业务接口，使得全部的插槽均为有效的业务插槽，从而大大提高了端口密度和插槽利用率。在骨干核心层中，我们采纳三台神州数码DCRS-7508核心路由交换机组成一个环形多机热备份的核心交换机系统解决方案。为提高核心网络的健壮性，实现链路的平安保障，本方案骨干核心层环网中可以采纳VRRP（虚拟路由器冗余协议）

24、。对于各个业务VLAN可以指向这个虚拟的IP地址作为网关，因此应用VRRP技术为核心交换机供应一个牢靠的网关地址，以实现在核心层核心交换机之间进行设备的硬件冗余，一主两备，共用一个虚拟的IP地址和MAC地址，通过内部的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网络高效处理大集中数据供应了牢靠的保障。 3.3.2核心层网络设计 大型企业生产办公网络的核心层网络主要完成园区内各汇聚层设备之间的数据交换和与骨干核心层网络之间的路由转发。传统解决方案一般采纳骨干路由器核心交换机来组建，但这种方式受限于交换机的性能，在供应MPLS VPN的业务实力方面较弱，不适合大型企业网络的建

25、设需求，同时现在的大型企业办公网络具有城域网的特点，网络发展具有网络扁平化的发展方向，因此本方案骨干层网络设备采纳DCRS-7508核心路由交换机作为大型企业生产办公网络的园区核心路由交换设备，DCRS-7508具有强大的业务和路由处交换理实力，能供应如MPLS VPN、QoS、策略路由、NAT、PPPoE/Web/802.1x/L2TP认证等丰富业务实力，并可通过内置防火墙模块实现各种强大的网络平安策略，可以充分满意大型企业不同园区网络的高速数据交换和支持多业务功能的要求，并能够供应完善的平安防卫策略，保障企业园区网络的稳定运行。 3.3.3汇聚层网络设计 汇聚层网络主要完成企业各园区内办公

26、楼宇和相关单位的内接入交换机的汇聚及数据交换和VLAN终结，在本方案中采纳神州数码的DCRS-7504交换机多层交换机作为汇聚层面的交换机。DCRS-7504交换机在供应高密度千兆端口接入的同时还能够满意汇聚层智能高速处理的须要,并能够加敏捷的部署在网络边缘的各个位置。能够同时供应多个高速专用堆叠端口和百兆、千兆光口/电口。这些交换机都具备较强的多业务供应实力，可支持包括智能的CCL、MPLS、组播在内的各种业务。为用户供应丰富、高性价比的组网选择。 3.3.4接入层网络设计 以往传统企业网络接入层的建设中并不关注于平安限制和QOS供应实力，而将网络的平安防卫措施和QOS保障依靠于网络的汇聚层

27、或骨干层设备，这给汇聚层和骨干层设备带来了巨大的压力，往往内网病毒泛滥成灾后导致骨干层设备瘫机，使网络没有QOS服务质量保障。 DCRS-2026B智能宽带接入交换机是能满意高平安、多业务承载、高性能的网络环境智能交换机，具备传统二层交换机大容量、高性能等优点，同时还具有领先的平安特性，进一步加强了企业网络对边缘接入层面的平安限制实力。用户可以依据须要来订制自身的平安策略并部署在此交换机上。该产品具备的端口带宽限制、端口镜像、QoS、端口平安、广播风暴抑制等功能可以很好的帮助用户实现网络的管理和维护。除此之外，此交换机还具备多个专用堆叠接口，可以满意楼层，楼宇内多个交换机高性能汇聚的须要。 3

28、.3.5广域网互联设计 针对于大型企业须要良好的出口网关设备，我们建议用户选用神州数码DCFW-1800S-L。 神州数码DCFW-1800E-G2防火墙专为千兆位流量的网络服务运营商，大型数据中心等骨干网络而设计, 采纳2U专用千兆平安平台，完全模块化可扩展结构，具有热插拔特性的冗余部件为您供应最大的不间断运行时间。神州数码DCFW-1800E-G防火墙内置2个10/100/1000M自适应以太网电口，具备6个SFP扩展插槽，最多可扩展至8个千兆接口，接口模块类型支持单模、多模光纤，千兆电口，充分满意您的定制需求。 3.3.6冗余/负载均衡设计 冗余设计是网络设计的重要部分，是保证网络整体牢

29、靠性能的重要手段。但是投资也将增加。部分企业园区网在早期的建设中由于成本的缘由并未在设计中考虑冗余问题，而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计可以贯穿整个层次化结构，每个冗余设计都有针对性，可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时，冗余链路可以供应另一条物理路径。可采纳GEC链路聚合（IEEE802.3ad）实现端口级冗余，以克服某个端口或线路引起的故障。也可采纳生成树协议（IEEE802.1d）供应设备级的冗余连接。此外，我们在设计中供应不同物理方向的双归属、双路由爱护。 3.3.7线路冗余 在企业网骨干核心层，企业网络边界拓扑结构

30、由于采纳了环形多机热备份的核心交换机系统解决方案，所以在线路冗余方面的要求较高，对于线路的冗余要求，我们采纳10GE线路对三台企业网骨干核心层设备进行环行双向备份，并运用业界领先的VRRP（虚拟路由器冗余协议）来对其作为冗余线路的协议保障。以GEC作为N*1000M主干链路，通过这个链路连接骨干网交换机，具备万兆扩展实力；接入交换机采纳10/100M自适应端口连接桌面系统，多千兆链路连接到汇聚层。 GEC路具有链路聚合和冗余保证两大特性，下面我们将对它们依次进行介绍 链路聚合： 可运用一条物理链路在不同品牌交换机之间、交换机和服务器间供应聚合的高速通道，在不增加投资的状况下，扩大交换带宽，使关

31、键连接的传输效率更高 冗余保证： 链路聚合中，成员相互动态备份。当某一链路中断时，其它成员能够快速接替其工作。与生成树协议不同，链路聚合启用备份的过程对聚合之外是不行见的，而且启用备份过程只在聚合链路内，与其它链路无关，切换可在数毫秒内完成。 综合分析以上各主流方案的优缺点，从性能与成本及拓展性等方面的综合考虑动身，我们确定采纳GEC骨干核心网络10GE拓展的方式作为其链路选择及备份选择。 在企业网汇聚层及接入层出于成本及性价比的考虑，我们确定采纳千兆汇聚，万兆拓展；百兆到桌面的链路选择。 3.3.8网络设备冗余/负载均衡设计 当前，无论在企业网、园区网还是在广域网如Internet上，业务量

32、的发展都超出了过去最乐观的估计，上网热潮风起云涌，新的应用层出不穷，即使根据当时最优配置建设的网络，也很快会感到吃不消。尤其是各个网络的核心部分，其数据流量和计算强度之大，使得单一设备根本无法担当。 负载均衡建立在现有网络结构之上，它供应了一种廉价有效的方法扩展服务器带宽和增加吞吐量，加强网络数据处理实力，提高网络的敏捷性和可用性。它主要完成以下任务:解决网络拥塞问题，服务就近供应，实现地理位置无关性 ;为用户供应更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避开了网络关键部位出现单点失效。在此方案中，在网络的每个关键结点，我们在设计时都做到了对其有效的冗余备份和负载均衡

33、。在网络的骨干核心层上。我们采纳了三台锐捷网络的RG-S8610高密度多业务IPV6核心路由交换机组建高性能的核心网络平台，在对骨干核心层供应足够的网络接点和接入需求的同时最大限度的为网络供应了有效的冗余保障和负载均衡。在核心层的每个区块，我们都采纳了两台锐捷网络的RG-S8606度多业务IPV6核心路由交换机做到冗余与负载均衡。在汇聚层的每个区块， 我采纳了两台锐捷网络的RG-S5750交换机多层交换机做到冗余与负载均衡。在本方案的设计中，出现了两个以上的交换区块和须要供应冗余连接的时候，我们采纳了双核心配置。如下图，我们给出了从接入层到汇聚层再到核心层的双核心配置。 双核心拓扑结构供应了两

34、条等代价路径和双倍的带宽。每个核心交换机连接着数目相同的子网到第三层汇聚设备上。每个交换区块都有冗余的连接到核心交换机上，因此形成两条不同的，但是等代价的连接。假如一条核心设备发生故障，还是能够收敛，因为汇聚层设备的路由选择表中还有另一条到核心设备的路由。第3层路由选择协议在核心中起链路选择的作用，VRRP供应快速错误复原。核心层不须要STP，因为在核心交换机间没有冗余的第2层连接。 3.3.9服务器冗余设计 企业网中服务器、大型机，如网络存储服务器，SQL Server服务器，其存储的数据对于企业来说致关重要，一些核心数据被视为企业的生命。一方面它对企业的企业的重要性毋庸质疑，另一方面，由于

35、这些数据的性质确定了其较大的被访问量，这个对服务器提出了稳定和快速的要求。假如宕机,后果是技术是保障计算机系统的牢靠性是重中之重。为此，我们采纳的是双机热备技术 ，此技术能够有效的满意核心服务器高效，稳定的高要求。而且相对于其它成本技术来说，这是比较有经济价成效的技术。 Server 1 Server 2 服务器双机热备技术 详细技术实现：每个核心服务器均具有两个以太网接口（可以通过安装双网卡实现），在此基础上，以上图为例，DB服务器A与DB服务器B先分别利用自己的一个以太网接口实现两个服务器之间的直连，每个服务器另外的一个接口则与服务器区的网络实现互连，以达到双机热备的目的。因此增加服务器的

36、稳定性与高效性。 本网络中应具有多台服务器设备，包括DB SERVER数据库服务器，WEB,CATALOG等应用服务器，NEWS,MAIL等通讯服务器及多媒体服务器等。网络的成本估计:29万左右 3.310 IP地址规划原则 IP地址构成了整个Internet的基础，IP地址资源是整个Internet的基本核心资源，IP地址资源的合理安排和有效利用是整个Internet发展过程中持续有效的一个极具重量的探讨课题。我们在对企业园区网IP地址编址设计和安排利用时，遵循了以下几个原则： 1）、自治：整个园区网络网络被划分成几个大的自治区域，每个大自治区域中又被划分成几个小的自治区域。 2）、有序：我

37、们根据自治原则将网络进行逻辑划分后，就依据地域、设备分布及区域内用户数量来进行子网规划。同时，我们将IP地址规划和网络层次规划、路由协议规划、流量规划等结合起来考虑。在进行地址安排时，为了提高地址安排效率和地址利用率，我们在编址设计时根据了肯定的依次进行。选择的依次是自上而下的依次，即采纳了业界领先的自顶向下网络设计（Top-Down Network Design）方法。 3）、可持续性：考虑到园区内网络用户数将持续高速增长，网络所要承载的业务量和业务种类越来越多，这使得网络须要频频进行技术升级、改造和扩容。所以，在进行地址安排时本方案充分考虑到了这些因素，为网络的每个部分留有部分地址冗余，这

38、样保证网络的可持续发展。 4）、可聚合：互联网日新月异的发展和日益浩大的规模令当时设计互联网络的专家始料不及，在路由表急剧膨胀状况下，可聚合原则是网络地址安排时所必需遵守的最高原则，可聚合原则要求在进行地址规划时，应供应足够的路由冗余功能。 5）、尽量节约IPv4地址：由于IPv4地址越来越少，所以对于IPv4地址的运用须要特别节约。IPv4地址的节约可以通过动态编址技术和NAT技术等来实现。 6）、闲置IP地址回收利用：对于已安排出去的静态IP地址进行定期追踪管理，对长时间闲置的IP地址可经过确认后回收重复利用。 此次方案的设计，我们确定采纳一个内部私有A类地址（10.0.0.0）对企业园区

39、的网络设备编址。由于从方案本身的网络拓扑图采纳了典型的层次化设计，所以对ip地址的编址设计也应实行层次化的设计来完成，并采纳VLSM来拓展有限的IP地址。网段描述 所需的IP地址数 骨干核心层链路 5（2个用于拓展备份） 集团总部 1000 生产矿 500 建井处 500 机械厂 1000 大型机/服务器群 500 企业VOIP语音系统 2000 VLSM是可变长子网掩码的英文缩写，它供应了一个主类（A类、B类、C类）网络内包含多个子网掩码的实力，可以对一个子网再进行子网划分。VLSM的优点 对IP地址更为有效的运用 应用路由归纳的实力更强 所以我们实行vlsm对网络进行编址，以达到节约ip地

40、址，能够运用路由汇总的目的。首先采纳一个A类网址对园区网主体结构进行编址，至上而下的设计思路有利于设计的最终成型和网络的健壮性。 最终经过我们的计算，将各部门ip地址安排如下表： IP地址网段 VLAN编号 默认网关 财务部 192.168.10.0/24 10 192.168.0.254/24 生产部 192.168.20.0/24 20 192.168.0.254/24 销售部 192.168.30.0/24 30 192.168.0.254/24 行政部 192.168.40.0/24 40 192.168.0.254/24 用户地址与VLAN划分 Web服务器IP地址： 192.168

41、.100.1/24 FTP服务器IP地址： 192.168.100.2/24 路由器出口IP地址： 222.18.44.3/24 3.3 方案特点 本方案很好地解决了用户要求的四个问题，即带宽问题、平安问题、管理计费问题、敏捷扩展问题。 l 带宽问题：运用万兆互连双核心结构，使网络核心设备不但可以相互备份，而且有效的减轻流量负荷，使设备时刻保持稳定和高效。l 平安问题：校内网核心层、汇聚层、楼层汇聚层所运用的产品全部具有网络病毒和攻击的防护实力，并且防DOS/DDOS攻击，因而可以在不同的环境中做到平安防护，足以应对突发事务，保持网络稳定、通畅。l 管理计费问题： 统一认证，针对校内网开放式的

42、信息点造成的平安隐患，全网接入采纳统一认证技术（可以进行账号、IP，MAC、LAVN ID、交换机IP和交换机端口六要素敏捷捆绑），保证了只有合法授权的用户才能运用网络或外部网络，而且还能对网络的运用状况进行审计。l 敏捷扩展问题：核心层运用的路由交换机DCRS-7508有良好的扩展性，可以为将来的网络实现轻松扩展。3.4工程预算 1设备购买预算 锐捷网络RG-WALL1600S防火墙：12.3万元 RG-WG系列锐捷WebGuard：10万元 2项目开展预算 硬件安装与测试预算：7.3万元 软件系统的安装与测试预算：6万元 项目维护预算：6.2万元 项目其他预算：4万元 3项目的总预算 该项

43、目的开展总预算为45.8万元，超出预算范围为5.3万元以下。 四、 网络技术选型 4.1 路由协议OSPF 在网络骨干核心层和核心层以及汇聚层上须要运用三层设备为网络内部不同的网段的数据和不同vlan间的数据转发而须要路由协议时，我们采纳OSPF协议作为路由协议。 OSPF是一种典型的链路状态路由协议。采纳OSPF的路由器彼此交换并保存整个网络的链路信息，从而驾驭全网的拓扑结构，独立计算路由。因为RIP路由协议不能服务于大型网络，所以，IETF的IGP工作组特殊开发出链路状态协议OSPF。目前广为运用的是OSPF其次版，最新标准为RFC2328。 OSPF作为一种内部网关协议（Interior

44、 Gateway Protocol，IGP），用于在同一个自治域（AS）中的路由器之间发布路由信息。区分于距离矢量协议(RIP)，OSPF具有支持大型网络、路由收敛快、占用网络资源少等优点，在目前应用的路由协议中占有相当重要的地位。 4.2 端口平安与认证（基于 802.1X） a.端口平安 交换设备定义了对端口爱护的功能，我们能定义允许的最大 MAC 地址访 问数，或者静态的定义特定的 MAC 地址。遇到不合法的 MAC 地址交换机实行的策 略。配置举例 端口平安性： >enable #configure terminal (config)#interface f0/1 (config

45、-if)#swithport port-security ( config-if)#swithport port-security maximum (config-if)#swithport port-security mac-address x.x.x.x (该端口的mac地址 ) (config-if)#swithport port-security violation shutdown (遇到其他端口则关闭，但可以人工打开) 爱护端口： 将接入层交换机各宿舍接口设置为爱护口，爱护口之间间相互无法通迅，爱护口与非爱护口之间可以正常通迅： Switch(config)#interface E

46、thernet 0/1 Switch(config)#switchport protected b.基于 802.1x 的端口认证 基于端口的认证就是将 AAA 认证与端口爱护相结合，默认状况下。一个支持802.1x 的交换机端口处于未授权状态，除了和 802.1x 有关的数据，其他数据都不能通过该端口，只有客户的交换机创建了一个 802.1x 的会话，客户被授权访EAPOL：Extensible Authentication Protocol OVER LAN 局域网上的可扩展身 份认证。在端口处于未授权状态下，客户端只能运用 EAPOL 与交换机通信。 4.3 VRRP（虚拟路由冗余协议）

47、原理 VRRP给路由器组供应了一个冗余网关地址，它是一种容错协议，通过定义 不同的组，不同优先级的路由器，它保证网络的主路由器失效时，可以刚好的由 备分来实现路由器来替代，从而保持通讯的连续性和牢靠性。并可以在该协议上 实现负载均衡等高级交换特性。 VRRP 技术的实现： 汇聚到核心冗余连接及 VRRP 的实现通过 VRRP 技术将多个设备虚拟成为一台逻辑设备，实现汇聚/接入链路冗余。如下例： (-if)#vrrp 5 ip 192.168.2.5 -if)# vrrp 6 ip 192.168.2.6 A: -if)#vrrp 5 priority 200 B: -if)#vrrp 6 priority 200 -if)#vrrp 5 authen name -if)#vrrp 6 authen name 见图如下： 备份（100） Mac0000.5e00.0105 192.168.2.5 活动（200） Mac0000.5e00.0106 192.168.2.6 活动（200） Mac0000.5e00.0105 (A) 192.168.2.5 备份（10