发布时间 : 星期六 文章企业网络规划方案参考 - 图文更新完毕开始阅读
10.112.200.0./21 10.112.204.0./21 10.112.208.0./21 10.112.212.0./21 10.112.216.0./21 10.112.220.0./21 10.112.224.0/21 子公司6的应用类1财务部工作人员全部地址空间 子公司6的应用类1行政部工作人员全部地址空间 子公司6的应用类1研发部工作人员全部地址空间 子公司6的应用类1后勤部工作人员全部地址空间 子公司6的应用类1人力资源部工作人员全部地址空间 子公司6的应用类1业务部工作人员全部地址空间 子公司6的应用类1生产部工作人员全部地址空间 其中,在项目实施的时候,接入层交换机的IP地址建议使用网管类地址空间10.*.34.0/24,多层交换机的IP地址的LOOPBACK接口的IP地址建议使用网管类地址10.*.35.*/32;所有汇聚层设备互联IP地址使建议使用互联类空间10.16.65.0/27和10.16.65.32/27,相互备份的2台汇聚层设备的IP地址建议使用互联类地址空间10.*.65.248/29。 ⑶ 冗余电源
Cisco6509系列以太网交换机提供了RPS电源备份接口,可以对设备提供一对一的电源备份和保护,也可以以一路直流电源对多台支持RPS接口的设备进行备份和保护。 ⑷ 生成树(STP/RSTP/MSTP)
Cisco6509系列以太网交换机支持STP/RSTP/MSTP生成树协议。
生成树协议主要用来建立和维护局域网的拓扑,消除循环连接导致的网络广播风暴,并且提供网络的拓扑的冗余备份功能,平时作为备份的路径被阻塞,当主用路径网络设备出现故障时,能够及时调整端口状态,调整网络拓扑。
生成树协议的工作原理:网络中的桥接设备根据设定的优先值和MAC地址,确定最优先的设备为网络的根桥,根桥向外定时发送Config BPDU报文,每个收到该报文的交换机将报文内容根据自身的配置和所掌握的网络拓扑结构进行更新下发到其他端口,当一个交换机从两个或两个以上端口接收到Config BPDU的时候就表明网络中存在循环,保留其中一个端口为转发状态,设置其余端口为阻塞状态。 除了支持传统的生成树协议外,Cisco6509系列以太网交换机还支持IEEE 802.1w快速生成树协议(RSTP),以及802.1s多生成树协议(MSTP)。快速生成树协议是生成树协议的改进,在原有功能的基础上提高了网络保护的性能。传统生成树倒换时间为42s,从发现链路断裂、数据中断到数据恢复至少需要三十多秒的时间,而快速生成树协议只需6~8秒的时间就可以将数据流切换到备份链路上。
802.1s多生成树协议(MSTP)可以通过支持一个网络内的多个生成树,这使管理员可以把VLAN流量分配给唯一的通路。网络管理员只要为VLAN分配独立的生成树拓扑,就可以确保两个VLAN都能在网上顺畅传输。这就可以起到均衡网络流量,提高可靠性的作用。Cisco6509系列以太网交换机最大可以支持17个或者33个STP实例。 ⑸ 链路聚合(Link Aggregation )
为了在以太网上获得更高的数据传输带宽,Cisco6509系列以太网交换机提供了二层的端口链路聚合功能(基于标准IEEE 802.3ad)。这样在生成树协议(STP)和其他二层协议上看,作了链路聚合的所有物理端口被视为同一个端口。在作了链路聚合的端口之间可以做冗余备份和负载分担。
在实际应用中,进行聚合处理的端口等同于一个端口,任何转发到聚合的端口上的报文会通过对源、目的地址的逻辑运算来分布到聚合的不同端口上。即使是多播和广播报文也不会被复制多份,也要通过对地址的逻辑计算,将流量平衡分配到不同的端口上。Cisco6509系列以太网交换机系统在二层和三层对硬件查表未命中的新地址进行监控。如果新地址是在聚合的端口上时,根据二层和三层的不同,使用MAC地址或IP地址进
行逻辑计算,根据逻辑的结果选择相应端口为转发端口,发往该目的地址的帧将按照计算负载均衡后的结果进行转发,实现端口之间负载均衡和冗余保护,保证数据流不出现乱序现象。 ⑹HSRP
HSRP是CISCO公司是所特有的。HSRP向主机提供了缺省网关的冗余性,减少了主机维护路由表的任务。当网络边缘设备或接入电路出现故障时,HSRP提供了一个较好的解决方案,它能够确保用户通信迅速并透明地恢复,以此为IP网络提供冗余性、容错和增强的路由选择功能。通过使用热备份路由份协议(HSRP),可使网络对最终用户的可用性得到充分的保证。另外,通过多个热备份组,路由器可以提供冗余备份,并在不同的IP子网上实现负载分担。
旭日集团园区网的IP地址规范中规定:网关的地址统一使用子网的最后一个可用地址。启用HSRP协议之后,这个地址就是HSRP的虚拟地址。
在成对的两台汇聚层多层交换机上,具体的HSRP配置规范如下:
1. 接口的IP地址:在第一台多层交换机上,某个VLAN虚拟接口的IP地址是子网的最后第三个可用地址,在第二台多层交换机上,某个VLAN虚拟接口的IP地址是子网的最后第二个可用地址。
2.热备份组号:热备份组号与接口的VLAN号相同。 3.热备份地址:热备份地址是子网的最后一个可用地址。
4.热备份优先级:在主用的多层交换机了,某个VLAN虚拟接口的热备份优先级是120。并且主用的汇聚层交换机配置占先权。
⑺ 等价路由(ECMP)
除了从设备级支持三层转发容错协议VRRP之外,Cisco6509系列以太网路由交换机还支持等价路由(ECMP)。等价路由即为到达同一个目的IP或者目的网段存在多条Cost值相等的不同路由路径,当设备支持等价路由时,发往该目的IP或者目的网段的三层转发流量就可以通过不同的路径分担,实现网络的负载均衡,并在其中某些路径出现故障时,由其它路径代替完成转发处理,实现路由冗余备份功能。 不仅从软件上,而且从硬件上也支持等价路由是Cisco6509系列以太网路由交换机与业界类似产品相比显著的优点。以前部分路由交换机虽然也宣称支持等价路由,但实际上只是从软件上支持,对软件转发的报文可以使用等价路由,但对于由硬件直接转发的报文,则只能从一条固定路径转发。而Cisco6509系列以太网路由交换机从硬件上也实现了等价路由的支持,真正实现了硬件三层转发流量的负载分担与路由冗余备份。
Cisco6509系列以太网路由交换机最大支持4条等价路由,并且不论RIP、OSPF等路由协议产生的路由,还是静态配置路由,不论是网段路由还是主机路由,甚至缺省路由,都可以支持等价路由。
Cisco6509系列以太网路由交换机在支持等价路由、实现负载均衡的同时,还能很好地保证报文的有序性。通过数据流的目的IP地址和源IP地址进行计算,Cisco6509系列以太网路由交换机可以保证同一个IP转发流都从同一个路由路径被转发出去,从而保证了整个端到端网络的路由报文转发的有序性,避免了TCP全局同步等问题的发生。 ⑻ 策略路由(PBR)
Cisco6509系列以太网路由交换机支持高性能的策略路由。策略路由(Policy-Based Routing,简称PBR)是目前越来越多的路由器或三层交换机设备正在支持的一项路由扩展功能,支持策略路由的设备不仅能以报文的目的IP地址为依据来进行路由选择,还可以以报文的源IP地址、源MAC地址、报文大小、报文进入的端口、报文类型、报文的VLAN属性等等其它扩展条件来选择路由。通过合理的路由策略设计,可以实现网络流量的负载均
衡,充分利用路由设备,并实现路由、交换设备之间的冗余备份功能,同时提供各种可以区分的服务等级,为不同用户提供不同的QoS服务。策略路由是设置在接收报文接口而不是发送接口。Cisco6509系列以太网路由交换机可以很好地支持策略路由功能,并且可以将路由下一跳重定向到某个物理端口,或者某个下一跳IP地址。 ⑼ VPN
Cisco6509系列以太网路由交换机支持VPN,VPN(虚拟专网)是利用公共网络资源(如公用电信网)为客户组建专用网的一种技术,它通过对网络数据进行封包和加密传输,在公网上传输私有数据,达到私有网络的安全级别,从而利用公网构筑专网(即VPN)。它是一种逻辑上的专用网络,向用户提供专用网络所具有的功能,但本身却不是一个独立的物理网络。 3.7网络安全设计
旭日集团园区网有5000用户,网络规模比较大,并且和因特网存在连接。为了保障网络系统的运行安全,保护集团的信息安全,必须进行网络安全方面的规划和实施。
一个网络的安全,首先要有严格和有效执行的管理制度。建议旭日集团制定严格的网络安全管理策略,并有效的执行。其次,必须具有一定的技术手段来保障网络的安全。技术和管理手段相结合实施,才能够产生良好的效果。
通过以下几个技术方面的实施,可以在一定程度上保障网络的安全:
? 提高设备的物理安全性 ? 配置设备的口令 ? 进行VTP域的认证 ? 园区网用户的接入控制 ? 应用系统的访问控制 ? 因特网的接入安全控制
⑴ 提高设备的物理安全性
设备的物理安全性是指运行中的设备,未经授权的人员不能直接接触到。提高设备的物理安全性,是最基本的要求。通过将设备安置在独立的设备间中,并增加门禁系统,确保只有授权的管理和维护人员才能接触到物理设备。 ⑵ 配置设备的口令
配置设备的口令,是防止非授权的人员更改网络系统的配置的重要手段。
要为所有的设备设置口令。要为每一台设备配置CONSOLE口令,AUX口令,VTY口令,特权口令等
在口令方面,需要制定管理制度并严格执行。口令管理制度包括口令的设置,保管,更改,口令的强度等内容。 ⑶ 进行VTP域的认证
进行VTP域的认证,能够保证局域网的VLAN等的安全。
设置了口令之后,除非交换机设置了正确的口令,否则。新交换机不能自动加入到已存在的管理域中。保证了局域网的运行安全,可以避免因为VLAN被错误或者恶意的增加。删除造成的运行事故。 ⑷ 园区用户的接入控制
因为一般的安全措施都不是针对网络呢的用户的,严格控制用户的接入,可以避免非法用户接入带来的潜在的安全隐患。
园区网系统建设验收完毕之后,确保交换机的所有用户端口处于关闭状态。只有用户使用申请通过批准之后网络管理员才能将端口激活。 ⑸ 应用系统的访问限制
可以 根据旭日集团的应用需求,在汇聚层的多层交换机上实施访问控制,限制园区网
用户对特定应用系统的访问,或者只允许特定的用户访问某些资源。 ⑹ 因特网的接入安全控制
因特网的接入安全控制是非常重要的,不仅需要布置防火墙等安全设备,还要指定严格的安全策略。 四.系统设计方案
4.1系统设计总体需求
本项目的实施目的是在旭日集团内部建立稳定,高效的办公自动化网络,通过项目的实施,为所有员工配桌面PC,使所有员工能够通过总部网络进入internet,从而提高所有员工的工作效率和加快企业内部信息的传递。同时需要建立WEB服务器,用于在互联网上发布企业信息。在总部和子公司均设立专用发服务器,使集团内所有员工能够利用服务器方便的访问公共文件资源,并能够完成企业内部邮件的收发。系统建立完成后,要求能满足企业个方面的应用需求,包括办公自动化,邮件收发,信息共享和发布,员工帐户管理,系统安全管理等。
4.2系统设计原则
随着集团近年来的高速发展,集团的业务已经涉及到各个商业领域,集团及公司内部的组织结构也日益复杂,在本项目的设计实施过程中,要求工程实施方案在规划系统设计时充分考虑到企业管理的需求,设计合理的系统管理结构,能够很大程度的降低集团在系统管理上的成本,并能满足各种商务工作的需求,具体设计应依据以下原则:
? 清晰的逻辑结构:要求集团范围内的系统管理结构清晰,层次分明,能够充分
的与集团的管理结构相吻合。集团总部和各个分公司应是相互独立的管理单元,各个单位在自己公司范围内实现用户账户及网络安全的管理。总部管理员有权管理各个子公司的系统
? 便于管理:整个系统设计要便于网络管理员的管理,在系统中提供便于管理员
管理的各种有效方式。使管理员在任何一个位置均能对服务器进行维护和管理。集团总部及各分公司都有专职系统管理员,应保障管理员只对本公司具有管理权限。总部管理员对集团所有系统有管理权限。
? 简单的设计:在保障满足需求的前提下,设计方案应简单为佳,避免由于复杂
的设计增加工程实施难度和增加集团系统管理的复杂性。
? 合理的用户管理:所有的用户采用统一的命名规则,每个单位对本单位员工帐
户进行独立的管理,并按不同部门管理账号。
4.3系统设计方案
4.3.1 系统的构价
⑴根据集团的管理结构。本方案采用Windows系统提供的域模式来组织和管理全部系统资源,采用域的模式,不仅可以集中存储网络对象,并且管理简单,即实现了集中管理,又可以满足不同公司自身的安全需求。方案中将集团按公司单位划分不同的模块,集团总部作为域林的根,每个子公司为一个独立的域或者域树,形成一个完整的树状结构。采用这种结构,可以将网络中的全部资源,分散到每个域的域控制器中存储,减少了每台域控制器的信息存储,从而减少复制流量和网络对象的查询时间。具体的实现如下图: