计算机网络规划方案

《计算机网络规划方案》由会员分享，可在线阅读，更多相关《计算机网络规划方案（14页珍藏版）》请在装配图网上搜索。

1、某单位计算机网络规划方案一、单位需求分析1.1.1 网络总体要求满足企业信息化的要求，为各类应用系统提供方便、快捷的信息通路。 良好的性能，能够支持大容量和实时性的各类应用。能够可靠地运行， 实现高可用性。易于维护管理。提高安全机制，满足保护企业信息安全 的要求。具有较高的性价比。未来升级扩展容易，保护用户投资。使用 简单、维护容易。良好的售后服务支持。1.1.2 项目设计指导思想此次网络建设将将采用先进的计算机、网络设备和软件，实现一个 高效的办公网络系统。网络中的各类服务器设备和网络设备以及各种操 作系统和应用软件必须考虑技术上的先进性，国内外及各行业的通用 性，并且要有良好的市场形象与售

2、后技术支持，便于维护和升级。 总体来讲，为了使项目的实施顺利进行，并使系统规划能够满足单位的 应用和发展的需求。1.2 计算机网络建设要求建设一个通畅、高效、安全、稳定、可扩展的企业内联网，支撑内 各类信息系统的运行，共享各种资源，提高企业的办公效率，降低企业 网络的总体运行费用。建成的网络用户大楼机关办公部分可以访问外部网络资源，也可以 访问内部网络资源，另外一部分只允许实用本大楼内部网络资源。网络整体具有良好的可扩展性，减轻维护人员的工作量，提高网络 系统的运行质量。实现和因特网的高速可靠连接，要求网络连接高效、运行稳定、同 时进行必要的安全访问控制。具备良好的可扩展性，能够满足单位未来发

3、展的需求。由于网络中 保存了办公、会议资料等众多数据，而且部分内容涉及大楼机密，因此 该网络建设要充分的考虑安全的因素，全面保障网络系统和内部数据免 受恶意攻击和破坏，同时可以有效的阻止内部网络病毒的传播，建成的 网络需要提供全面而完善的安全特性。在项目实施完毕后，工程实施方要对相关人员进行培训，并移交全 部的项目工程资料，保证网络的正常运行和管理维护。新建的网络支持视频会议、等多媒体的应用。需要扩展网络与服务器有机结合，为内部网络系统提供良好的应用 平台，服务器位置预设在四楼会议室，搭建的平台要求畅通、实用，避 免由于数据交换频繁、数据量大而引起的网络拥塞、广播包泛滥问题， 并解决大楼主机访

4、问的安全性问题。网络设备选型要求为了实现网络设备的统一，也出于兼容性的考虑，此次网络建设计 划在交换机和路由器选型方面全部采用思科公司的产品。全网使用同一 厂商设备的主要好处在于可以实现各种不同网络设备功能的互相配合 和补充。此外，思科公司是全球领先的网络设备提供商，技术先进产品 齐全，能够提供完善的支持与服务。安全性和可靠性保证为了保证单位的办公和生产经营，网络需要安全可靠地运行。因此 在项目设计开始时就要采用统一的安全规则，以保证重要信息和网络系 统本身的安全，采用的技术包括网络设备的冗余备份和线路与设备的切 换机制等。在网络中也会购买和安装防火墙、入侵检测等安全设备，以 增加网络的安全性

5、。二、方案设计2.1 总体设计无论是VoIP、IP视频网络，还是各种应用系统（例如办公自动化、 电子商务等），都需要构建在有效、可靠及安全的网络基础之上。就像 盖房子，如果不大好地基，房屋很容易倒塌，最终将以失败告终。同样， 如果企业网络的基础服务并不可靠，则VoIP、IP视频及电子商务等依 赖网络服务的应用最终都将遭遇性能及可靠性问题。2.1.1 网络总体设计按照网络建设规划和总体要求，我们计划利用原有综合布线系统和 设备的基础上，重新规划实施，建设企业内联网，以满足网络整体性能 的要求，并为各种网络服务和信息系统的使用提供运行良好的网络平 台。0SPF与RIP （路由信息协议）等距离矢量路

6、由协议相比，具有快速 收敛的优势，能够支持更大型的互联网络，并且不容易受到有害路由选 择信息的影响。同时0SPF协议使用子区域的概念，可以有效减少路由 选择协议对路由器的CPU和内存的占用，还能降低路由选择协议的通信 量，这使得构建一个层次化的互联网络拓扑成为可能。出口处配置防火墙，出入因特网的通信流量都必须通过防火墙的过 滤，通过防火墙对网络加以保护，并实现安全的控制。同时网络中也部 署了入侵检测系统，与防火墙共同实现网络的安全防护。各个LAN部分为了保证网络的健壮和可靠性，将采用全冗余结构。 两台核心交换机采用三层交换机，利用三层交换技术实现VLAN之间的 路由，同时两台核心交换机之间使用

7、HSRP进行备份，以保障网络的健 壮性和可靠性。在网络结构上分为2层，核心层和接入层，接入层交换 机全部冗余上行链路，分别上联到2台核心交换机，也保证了网络的健 壮性和可靠性。同时，LAN部分会启用VTP和STP，实现VLAN的统一配 置管理和环路避免。2.2 设备命名规范和连接规范网络设备的命名和连接规范如同综合布线中线缆的标识、记录一 样，都非常重要的。良好的设备命名和连接，可以使网络的结构清晰， 帮助网络管理员更方便地管理网络，提高网络的可维护性。然而，在实 际工作中，这项工作尽管简单却不容易做好，需要格外注意。2.2.1 设备命名规范设置路由器和交换机的名称，也就是设置路由器和交换机出

8、现在CLI 提示符中的名字。一般以地理位置、型号或者用途来为交换机命名。 当需要Telnet登陆到若干台设备上以维护一个大型网络时，通过设备 名称提示符提示自己所调试的设备是位于哪里的哪一台设备，使很有必 要的。2.2.2 设备连接规范设备连接设计要求统一实施标准的、严格的连接规范，便于工程的 实施和运行管理。其基本原则如下：总路由器各端口按顺序连接OSPF的不同区域，即S0/0端口连接Area 1,S0/1 端口的子接口连接Area 2、Area 3、Area 4、Area 5。其它分路由器的S0/1端口分别连接对应的区域。分路由器的快速以太网端口按顺序连接核心交换机，即F0/0端口 连接

9、JD-RS-1 的 1 号端口， F0/1 端口连接 JD-RS-2 的 1 号端口，其它连 接方式相同。分路由器的第一个以太网端口（E0/0端口）连接ISA防火 墙，其它不连。分路由器的每种端口类型（例如串口和以太网口）优先 从0端口开始使用，其它相同。2.3 VLAN划分与IP地址规划2.3.1 网段细分在企业网络刚刚兴起时，由于企业网络规模小、应用范围存在局限 性、对因特网接入的认识程度较浅、网络安全及管理的贫乏等原因，使 得企业网络仅限于交换模式的状态。在这种交换模式下， LAN 交换机的 每个端口均为自己独立的冲突域，但对于所有处于同一个IP网段的网 络设备来说，却同在一个广播域中，

10、当工作站的数量较多、信息流较大 的时候，容易形成广播风暴，甚者造成网络的瘫痪。各网络的细分可遵循3 个依据：地点、部门和功能。这样可以使网 络结构清晰，各个公司和智能部门的隔离也更加安全，降低了日后维护 的工作量。2.3.2 VLAN 划分在一个大、中型网络中，VLAN （虚拟专用网）的划分时必不可少的步骤 之一。划分虚拟子网可以隔离VLAN内的广播，解决以太网LAN内广播 包过多的问题，提高网络的性能。一个VLAN可以根据部门职能、对象 组或者应用来将不同地理位置的网络用户划分为一个逻辑网络。对于局 域网交换机，其每一个端口只能标记一个VLAN，一个VLAN中的所有端 口拥有一个广播域，而处

11、于不同VLAN的端口则共享不同的广播域，这 样就避免了广播风暴的产生。可以说，在一个交换网络中，VLAN提供了 网段和机构的弹性组合机制。2.3.3 IP 地址规划考虑到单位的实际情况和网络改建的要求，此处讲对IP地址使用情况 统一进行规划和设计。在按照地点、部门和功能划分以后，目前每个子 网使用的IP地址都远远超出了现在用户和设备数量的需求，能够满足 未来人员增长、设备增加的需求。同时，如果增加新的分公司，只需继 续使用后续的C类地址即可，不会对网络IP地址的结构造成影响。2.3.4 IP 地址分配有了 IP的规划和VLAN的划分之后，可以确定具体在路由和交换设 备上，端口的IP地址、交换机

12、的管理IP、VLAN的网关等应该如何分配。端口心IP地址掩码卫-i_|_ JUii 2TL -ST!*!记病役督JW口卫备注卫+JFtW192,1.101.1/30JD-RS-1 ;F0/lFO/1192,1. 102. 1/30JD-RS；;F0/0pJD-R-l+JSO/1： 1/30NJ-R-1 卫p192.168.104.1/30GX-R-1 rp； 1/30ST-R-1 中p192.168.10 6.1/30EY-R-1 +192.168.107.1/30YT-R-1 心EO/O 192.168.100.1/24RAS+ISASO/O 192.1 爲 1 血;1/3MBJ-R-1 心

13、pFO/1.JD-RJ.FO/O-pVLAN Ip192.168.1.1/24管理IPpVLAN 5 血192.168.2.1/24HSRP虑拟地址：1921贸2昭VLAN .51192.1 胡31如HSRP 虑拟地址：，VLAN .处192.168.4.1/24HSRP 虑拟地址:，VLAN 53192.；1 爲 *1/23HSR?虑拟地址：1玛168.5 3/24VLAN 54192.；1爲&1门4口HSRP虑拟地址画丽上3汨2.4 交换部分设计2.4.1 交换部分总体设计为了高效、稳定地运行，便于管理与维护，此次各个局域网交换技术的 相关方面进行了规划设计，包括 VLAN、VTP、STP

14、、Trunk、Et herne tChannel、三层交换等。VLAN将广播限制在单个VLAN内部，较少了各VLAN间主机的广播通信对 其它VLAN的影响。在VLAN间需要通信的时候，可以利用三层交换技术 实现。当网络管理员需要管理的交换机数量较多时，可以使用VLAN中继协议 （VTP ）简化管理，它只需在单独一台交换机上定义所有VLAN，然后通 过VTP协议将VLAN的定义传播到本管理域中的所有交换机上，这样， 大大减少了网络管理员的工作负担和工作强度。当网络内交换机数量增多或交换机链路增加时，都有可能因交换网 络的复杂性提高而造成交换环路，或者为了提高网络冗余度而有意设置 了交换环路，这就

15、需要通过在各个交换机上运行生成树协议（STP）来 解决。其中所有的接入交换机采用购买的二层交换设备，核心层交换机采 用购买的两台三层交换机。全网交换机配置VTP，以对VLAN的设计统一 管理。两台核心交换机之间采用2 条链路组成以太网通道，以提高核心 交换机之间的带宽。所有的接入交换机都使用2条上行链路（设置为 Trunk），分别连接到2台核心交换机，采用STP对这样的交换环路进 行阻塞，在保证上行链路冗余性的同时，避免了可能造成的广播风暴、 桥表震荡等问题。2.4.2 VTP 设计 当网络中交换机数量较多时，需要分别在每台交换机上创建很多重复的 VLANo工作量大、过程繁琐，并且容易出错。由

16、将使用VLAN中继协议 （VTP ）来解决这个问题。Cisco公司专有的VTP协议能够从一个中心控制点开始，维护整个 企业网络上 VLAN 的添加、删除和重命名工作，确保配置的一致性，可 以减少在数量众多的交换机上配置VLAN相关的管理任务，降低认为因 素导致的VLAN配置不一致现象（例如，VLAN配置错误、名称不统一等）， 降低了配置的复杂性。VTP的口令是为了保证VTP域的安全。设置了口令之后，除非交换 机设置了正确的口令，否则，新交换机不能自动加入到已存在的管理域 中，可以避免 VLAN 被错误或恶意地增加、删除。2.4.3 STP 设计所有的局域网都采用全冗余结构，在交换网络中造成了大

17、量的交换 环境，可能会引起网络中的广播风暴和桥表震荡等问题，所以将在网络 中启用生产树协议（STP），用来阻塞冗余链路，而在发生链路故障时, 迅速启用被阻塞的冗余链路，启到链路备份的作用。 所以，此处的交换部分设计中，也将在各个交换机上启用生成树协议， 并且我们将通过调整交换机优先级的方式，来指定性能较高的核心交换 机（即两台三层交换机JD-RS-1和JD-RS-2）为根网桥。2.4.4 Ethernet Channel 设计 从上面各小节的图中可以看到，在两台核心交换机之间设计了一条以太 网通道，这也是系统的实际需要。该以太网通道汇聚的是两条核心交换机之间的链路，分别使用了两台核 心交换机上

18、的3、 4端口，使两台核心交换机之间的链路带宽达到了200Mbps。而且核心交换机上有大量保留端口，随时可以扩充通道的带 宽，最大可以汇聚8 条链路成为一条以太网通道。同时，这条以太网通道也是两台核心交换机之间的Trunk链路，按照STP 对不同VLAN的根网桥做了指定之后，需用这条Trunk链路承载不同VLAN 之间的流量以及VTP的各种消息。2.4.5 VLAN 间路由设计在两台核心交换机上各自为VLAN配置IP地址,启用路由转发功能, 各个VLAN内的计算机使用该地址作为网关，之间便可以实现互通了。 三层交换机技术在第三层实现了数据包的高速转发，从而解决了传统路 由器低速、复杂所造成的网

19、络瓶颈问题。2.5 路由部分设计 对于企业内联网的路由器而言，可以使用一系列路由协议。选择路由器 时需同时考虑网络设计和路由协议的选择。最常见的标准路由协议是 RIP和0SPF,但RIP并不适合大型网络。考虑到内联网未来扩展的要求, 我们将采用OSPF协议作为网络的路由协议。OSPF路由协议是业界标准的网络协议，许多厂商的网络设备都支持它, 因此它受到了广泛的应用。0SPF路由协议能够快速收敛，支持无类路由 (Classless)和变长子网掩码(VLSM)，可划分区域，适合运行在大 中型网络中。设计方案从OSPF区域、指定路由器、路由器ID等方面进行了规划。2.5.1 OSPF 区域规划 为了

20、解决最短路由优先（SPF）算法的频繁计算、路由表过大、链路状 态数据库过大的问题，OSPF将大型网络分成多个区域。路由器ID规划路由器的ID是在OSPF区域内唯一标识一台路由器的IP地址。路由器 首先会选取所有的Loopback接口上数值最高的IP地址作为路由器的 ID，如果路由器没有配置Loopback接口的IP地址，那么它将选取自己 所有的物理接口上数值最高的IP地址作为它的Router ID。用作路由器 ID的接口不一定要运行OSPF协议。使用Loopback地址作为路由器ID有两个好处：一个是loopback接口 比任何其他的物理接口更稳定，因为只要路由器启动，这个环回接口就 处于活动

21、状态，只有路由器失效时它才会失效；另一个就是，这样的网 络的设计者将具有更好控制路由器的ID的能力。2.6 广域网部分 具体来讲，广域网接入功能是由防火墙实现的。到达单位总部的链路首 先连接到防火墙，再经由防火墙连接到JD-R-1上，实现公司内部和因 特网的互联。2.6.1 帧中继接入的选择帧中继是基于DDN网或ATM网,提供点到点和点到多点的数据传送服务。 帧中继是将流量控制、纠错控制等留给终端去完成，大大简化了节点机 之间的协议，缩短了传输时延，提高了传输效率。帧中继具有动态分配 带宽的特点，适合传送大量突发数据。站点到站点之间VPN的设计所谓虚拟专用网（Vir tual Priva te

22、 Net work, VPN）就是建立在公网上 的，由某一组织或某一群用户专用的通信网络，其虚拟性表现在任意一 对VPN用户之间没有专用的物理连接，而是通过ISP提供的公共网络来 实现通信的，其专用性表现在VPN之外的用户无法访问VPN内部的网络 资源，VPN内部用户之间可以实现安全通信。由于Internet本质上是 一个开放的网络，没有任何的安全措施可言。专线的连接可以实现不同 地区之间的互访，但需要支付高额的费用，维护也相当的困难。随着 Internet 应用的扩展，很多要求安全和保密的业务需要通过廉价的 Internet实现，这一需求促进了 VPN技术的发展。广泛地讲，VPN体系 结构可

23、以被分为两种常见的情况：站点到站点的VPN （企业总部与各个 分部之间的互联）和远程访问VPN （远程用户与公司总部之间的互联）。 VPN技术实现安全互联有多种方式，如MPLSVPN、SSL VPN等，但IPSec VPN技术是现在企业用的最多的接入方式。2.6.4 VoIP 的设计在计算机多媒体化和Internet技术的推动下，VoIP技术诞生虽然 时间不长，但已经体现处强大的发展潜力，经过了 PCtoPC、PCtoPhone、 Phone to Phone这几个发转阶段，现已走向市场。随着PSTN和IP网咯 的不断融合，从普通用户、企业用户到电信运营商都在从VoIP技术中 获得收益。目前，

24、VoIP在运营商一级正发展为大规模、高可靠性、高性能的电信级 网络。而基于企业网平台的企业内部的VoIP应用也得到了日益广泛的 应用和关注，也是当前VoIP应用的一个热点。2.7 网络安全性设计 对网络安全而言，一套行之有效的安全管理策略更重要。在网络建设项 目中实现网络安全管理是一个动态的系统工程，关系到安全项目规划、 安全策略规定、人员职责分工、安全等级评定、网络用户管理、安全规 章制度建立等方面，这些在一开始就对网络的规划实施安全性提出了要 求。2.7.1 网络安全建设管理原则 一个网络的安全，首先要有严格和有效执行的管理制度，其次必须具有 一定的技术手段来保障网络的安全。技术和管理手段

25、相结合实施，才能 够产生良好的效果。2.7.2 网络一般安全策略 为了使网络中的路由器和交换机更安全，可以配置一些简单的安全策 略，并且关闭其上一些不必要开启的默认服务(可能会对网络的安全造 成威胁)，主要包括以下几点：保护设备的物理安全、包含设备的密码、 控制Telnet访问、禁止CDP、关闭HTTP服务等。2.7.3 ACL 设计 即使已经在因特网的出口部署了防火墙，出于安全性因素考虑，我们也 需要使用访问控制列表(Access Control List, ACL)在路由器上对网 络内部、内外网之间的流量进行一些常规的控制，提供第二层的安全防 护。因为在网络环境中普遍存在着一些非常重要的、

26、影响服务器群的安 全隐患，因此在绝大多数万路过环境的实现中它们都是对外屏蔽的。2.7.4 用户的接入控制 以上安全措施都不是针对网络内部的用户的，但事实上很多安全隐患来 自于万路过的内部，所以严格控制用户的接入，可以避免由于非法用户 接入带来的潜在的安全隐患。2.8 网络可靠性设计现在，网络系统的高可靠性日益成为设计整个系统的一个关键因素。对于对网络依赖性极高的新型IT公司来说，可靠性尤为重要。网 络作为一个整体，在出现故障时，必须依靠能维持正常的网络连接。网络系统的可靠性包括外在的因素和自身的因素。外在因素是指机房、 供电、空调等辅助系统必须正常运行，提供适合网络设备运行的环境。 自身因素包

27、括网络设备、通信线路的可靠性，以及网络系统的故障自动 切换机制。2.8.1 设备和链路冗余 物理上的安全也就是冗余能力是网络可靠性的保证，即网络的可靠性主 要通过线路和设备的冗余来实现。虽然Cisco公司的网络设备产品具有较高的平均无故障工作时间（这也 是我们选择Cisco公司产品的另一个主要原因），但是，任何厂商都不 能保证其产品不发生故障，而发生故障时能否迅速切换到一个正常设备 上，是令人关心的问题。后备电源、后备管理模块、冗余端口等冗余设 备就能保证在设备出现故障的情况下，立刻启用后备模块，保证网络的 安全运行。2.8.2 HSRP 设计HSRP是Cisco公司特有的一个协议。HSRP向主机提供了默认网关的冗 余性，减少了主机维护路由表的任务。2.9 工程实施安排 此次网络改建项目将分为以下3 个阶段进行：(1) 完成各个局域网交换部分调试，进行阶段测试。(2) 完成HSRP和路由调试，实现互联互通，并可以连接到因特网，进 行阶段测试。(3) 完成 ACL 的调试，全网联调，进行项目的测试验收。