網(wǎng)絡工程課程設計說明書_第1頁
已閱讀1頁,還剩24頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、<p>  網(wǎng)絡工程課程設計說明書</p><p>  證券公司網(wǎng)絡規(guī)劃與設計</p><p><b>  系 、 部: </b></p><p><b>  學生姓名: </b></p><p>  學生姓名: </p><p><b>  

2、學生姓名: </b></p><p><b>  指導教師: </b></p><p><b>  專 業(yè): </b></p><p><b>  班 級: </b></p><p>  完成時間: </

3、p><p><b>  目 錄</b></p><p><b>  1需求分析3</b></p><p>  1.1總體網(wǎng)絡需求分析3</p><p>  1.2.1網(wǎng)絡流量及寬帶4</p><p>  1.2.2 Internet接入4</p><

4、;p>  1.2.3 IP地址劃分4</p><p>  1.2.4 網(wǎng)絡安全5</p><p>  1.2.5應用服務需求7</p><p>  2網(wǎng)絡規(guī)劃與設計7</p><p><b>  2.1總體設計7</b></p><p><b>  2.2網(wǎng)絡設計8&

5、lt;/b></p><p>  2.3 網(wǎng)絡拓撲及其結構設計8</p><p>  2.3.1組網(wǎng)設計9</p><p>  2.3.2存儲網(wǎng)絡設計10</p><p>  2.3.3網(wǎng)絡服務區(qū)設計10</p><p>  2.3.4外聯(lián)區(qū)設計11</p><p>  2.4系

6、統(tǒng)配置設計12</p><p>  2.5 IP地址的詳細規(guī)劃12</p><p><b>  3測試13</b></p><p>  3.1 項目基本描述13</p><p>  3.2 路由器配置情況14</p><p>  3.2.1 LSW5的配置14</p>

7、<p>  3.2.2 LSW2的配置15</p><p>  3.2.3 LSW3的配置16</p><p>  3.2.4 客戶端的配置19</p><p>  3.2.5 特點的路由配置命令20</p><p><b>  4項目總結23</b></p><p><

8、;b>  參考文獻23</b></p><p><b>  附錄24</b></p><p><b>  致 謝24</b></p><p><b>  需求分析</b></p><p><b>  總體網(wǎng)絡需求分析</b><

9、;/p><p>  所謂的需求分析從字面上的意思理解就是找出“需”與“求”的關系,從當前業(yè)務中找出最需要重視的方面,從已經(jīng)運行的網(wǎng)絡中找出最需要改進的地方,滿足客戶提出的各種要求,依據(jù)可與要求修改已經(jīng)成形的方案的重要環(huán)節(jié)。本證券公司為了不斷增長的業(yè)務,需要建立一個全新高效的計算機網(wǎng)絡系統(tǒng),以為今后在證券交易時提供一個強大且穩(wěn)定的業(yè)務平臺,在此業(yè)務需求下,做出如下需求分析。</p><p>  

10、企業(yè)網(wǎng)絡的總體需求即是一個統(tǒng)一、可靠和安全的自動化辦公硬件平臺系統(tǒng)。這個企業(yè)網(wǎng)絡系統(tǒng)必須滿足以下幾點:滿足現(xiàn)代企業(yè)管理的統(tǒng)一,網(wǎng)絡系統(tǒng)時增加對統(tǒng)一管理的要求;滿足現(xiàn)代化自動辦公對網(wǎng)絡寬帶的要求;滿足多部門實現(xiàn)資源共享;滿足現(xiàn)代企業(yè)對數(shù)據(jù)安全的高要求。因此,企業(yè)在高速發(fā)展的大環(huán)境下必須加強企業(yè)內部各種“軟硬件”的提升,網(wǎng)絡當然也就必不可少,網(wǎng)絡主干要求達到千兆位帶寬,網(wǎng)絡結構要求做到完全冗余,不存在單點故障,能不間斷動作,網(wǎng)絡系統(tǒng)對信息點

11、接入能力要達到1000個以上。企業(yè)要求在辦公時能夠內外網(wǎng)分開實現(xiàn)網(wǎng)絡“純凈”化,業(yè)務網(wǎng)和辦公網(wǎng)隔離,要求整個的企業(yè)網(wǎng)絡能夠“無死角”,保證企業(yè)內部數(shù)據(jù)的絕對安全,同時,還必須是高效、安全的,還應具備很有的擴展性。</p><p>  本公司需要構建一個綜合的企業(yè)網(wǎng)絡,公司的主要營業(yè)范圍有:證券公司的證券交易代理活動;專門從事股票、債券、期貨及其他有價證券的投資活動;專門從事基金的投資活動;證券現(xiàn)券交易、證券回購等

12、活動;證券包銷、代銷、轉銷等活動;投資公司及其他機構從事的項目策劃、項目融資、財務顧問、企業(yè)購并、重組。公司有如下部門:一樓:業(yè)務部、后勤部;二樓:IT部、人事部;三樓:財務部,總經(jīng)理辦公室也位于三樓。網(wǎng)絡規(guī)劃的需求是:業(yè)務網(wǎng)和辦公網(wǎng)“隔離”;員工網(wǎng)和領導網(wǎng)“隔離”;核心網(wǎng)絡與數(shù)據(jù)中心在同步的情況下保持各自獨立;保證內部數(shù)據(jù)的絕對安全性。為了確定信息點,首先對各部門員工+領導進行人數(shù)統(tǒng)計(表1.1示),所有員工在處理業(yè)務時處于內網(wǎng)中,所

13、有辦公的系統(tǒng)掛在專門的服務器上,辦公時不能直接訪問互聯(lián)網(wǎng),領導作為外網(wǎng)信息點,同時擁有兩臺主機,一臺處于內網(wǎng),一臺處于外網(wǎng),綜上所述:一樓共有56個信息點,二樓有25個信息點,三樓有14個信息點,整體辦公網(wǎng)信息點有11個。</p><p>  表1.1樓層、部門與信息點對應</p><p><b>  1.2基礎構架需求</b></p><p>

14、;  針對中小型企業(yè)網(wǎng)的設計,網(wǎng)路結構采用典型的三層網(wǎng)絡架構,并使用VLAN技術來對網(wǎng)絡進行劃分管理;考慮到未來網(wǎng)絡的發(fā)展,使用當今流行的千兆以太網(wǎng)技術,實現(xiàn)千兆核心、百兆接入;核心網(wǎng)絡設備的冗余備份,實現(xiàn)公司內部的無間斷運作;組建WLAN(無線局域網(wǎng))區(qū)域,由于無線只用于較少的場合,這里選用無線AP+交換機(有線)的組合,實現(xiàn)簡單、經(jīng)濟的無線網(wǎng)絡解決方案。</p><p>  1.2.1網(wǎng)絡流量及寬帶</

15、p><p>  現(xiàn)代企業(yè)網(wǎng)絡應具有更高的帶寬,更強大的性能,以滿足用戶日益增長的通信需求。隨著計算機技術的高速發(fā)展,基于網(wǎng)絡的各種應用日益增多,不僅要繼續(xù)承載企業(yè)的辦公自動化,Web瀏覽等簡單的數(shù)據(jù)業(yè)務,還要承載涉及企業(yè)生產(chǎn)運營的各種業(yè)務應用系統(tǒng)數(shù)據(jù),以及帶寬和時延都要求很高的IP電話、視頻會議等多媒體業(yè)務。因此,數(shù)據(jù)流量將大大增加,尤其是對核心網(wǎng)絡的數(shù)據(jù)交換能力提出了前所未有的要求。所以,今天的企業(yè)網(wǎng)絡已經(jīng)不能再用

16、百兆位到千兆位骨干來作為建網(wǎng)的標準,核心層及骨干層必須具有萬兆位級帶寬和處理性能,才能構筑一個暢通無阻的"高品質"企業(yè)網(wǎng),從而適應網(wǎng)絡規(guī)模擴大,業(yè)務量日益增長的需要。</p><p>  1.2.2 Internet接入</p><p>  租用電信固定IP,申請高速的寬帶網(wǎng)絡,能通過Internet向外公布和發(fā)布企業(yè)信息,并能實施VPN(虛擬專用網(wǎng)絡)方案;使用PAT

17、(端口地址轉換)和端口映射,在滿足內網(wǎng)連接Internet 的同時能夠讓外網(wǎng)正確訪問公共服務器。</p><p>  1.2.3 IP地址劃分</p><p>  出口路由為公司分配的172.16.107.2/24,進入出口網(wǎng)關172.16.107.1/24,網(wǎng)絡經(jīng)由172.16.105.2/29這個端口到核心交換機的172.16.105.2/29,核心交換機分配給業(yè)務網(wǎng)的為172.16.

18、11.0/24的11網(wǎng)段,其余端口為113段,而服務器所在的數(shù)據(jù)中心則為:172.16.114.114/24;172.16.114.70/24;172.16.114.32/24。</p><p>  這個的劃分IP地址分為內網(wǎng)的劃分,外網(wǎng)的則類似,并且外網(wǎng)的網(wǎng)絡結構也和內網(wǎng)的差不多,只是在IP上習慣改為192.168.11.0/24。</p><p>  1.2.4 網(wǎng)絡安全</p&

19、gt;<p>  采用訪問控制措施對內網(wǎng)對外網(wǎng)、內網(wǎng)對DMZ(非軍事區(qū))、外網(wǎng)對DMZ 的防火墻設置,阻止惡意流量的侵入;啟用VPN 解決方案,在最經(jīng)濟的條件下實現(xiàn)安全的異地信息共享,并能實現(xiàn)移動辦公;因內網(wǎng)使用DHCP(動態(tài)主機配置協(xié)議)解決方案,啟用DHCP 過濾、動態(tài)ARP(地址解析協(xié)議)檢測等手段對內網(wǎng)安全進行鞏固;對非員工區(qū)域以及無線網(wǎng)絡接入啟用802.1x驗證方案;公司內部計算機安裝防病毒軟件來實施全網(wǎng)的病毒安

20、全防護。</p><p><b> ?。?)電源的安全</b></p><p>  電源不僅是一個計算機網(wǎng)絡能夠運行的最基本條件,同時電源的安全也是計算機網(wǎng)絡安全運行的最基本要素。這里電源的安全不僅要求為所有的工作站、服務器和網(wǎng)絡設備提供一個高質量的電源,同時還要設置良好的接地系統(tǒng)。對于服務器和網(wǎng)絡設備還要設置不間斷電源(UPS)裝置,這不但可以增加網(wǎng)絡的連續(xù)運行能力

21、,而且可以防止因為突然斷電對網(wǎng)絡硬件造成的損壞。特別是服務器,如果正在運行的服務器突然斷電,不但硬件設備可能出現(xiàn)問題,而且操作系統(tǒng)或應用因為沒有正常關閉可能導致數(shù)據(jù)不能提交或系統(tǒng)不能正常啟動,甚至造成服務器或應用的癱瘓。這是任何一個企業(yè)都不愿看到的。</p><p>  在網(wǎng)絡建設和維護中,電源是最穩(wěn)定的一個部分,一般情況下,它不會隨著應用的發(fā)展頻繁地升級,因此,中小企業(yè)在構建自己的網(wǎng)絡系統(tǒng)時,進行相應的投資建立

22、一個安全的電源系統(tǒng)是非常值得的。</p><p><b>  (2).防病毒設置</b></p><p>  計算機病毒一直是困擾著計算機和網(wǎng)絡系統(tǒng)的最大問題之一。隨著計算機技術的不斷進步,計算機病毒也不斷地向智能化和網(wǎng)絡化發(fā)展,具有更強大的攻擊力和破壞性,從以往的破壞軟件系統(tǒng)到現(xiàn)在的攻擊硬件系統(tǒng)和網(wǎng)絡系統(tǒng),尤其是借助于發(fā)展迅速的Internet和Intranet,計

23、算機病毒可以通過各種渠道迅速地蔓延并實施破壞。如果沒有防范措施的話,一個企業(yè)的計算機網(wǎng)絡很容易因為計算機病毒的攻擊而陷入癱瘓。這對于一個企業(yè)而言,后果可能是致命的。</p><p><b>  (3).防火墻設置</b></p><p>  企業(yè)構建了Intranet,實現(xiàn)了與Internet的接軌,雖然為企業(yè)業(yè)務的開展日常的工作、學習帶來了極大的方便,但是我們不得不

24、面對的一個問題就是實現(xiàn)了與Internet的接入,企業(yè)的內部網(wǎng)絡就完全地暴露在外界了,也就可能受到各種有意或無意的攻擊。因此建立企業(yè)的Intranet,必須建立網(wǎng)絡的防火墻系統(tǒng)來保證內部網(wǎng)絡的安全。由于在Internet接入部分已經(jīng)對防火墻的功能和工作方式進行了相關的介紹,這里就不再進行過多的描述了。</p><p>  (4).網(wǎng)絡的安全教育</p><p>  保證網(wǎng)絡的安全不僅需要通

25、過相應的技術手段從硬件和軟件著手對網(wǎng)絡資源進行保護,對網(wǎng)絡用戶進行網(wǎng)絡的安全教育同樣重要。首先,要建立一套完整的網(wǎng)絡管理規(guī)定和網(wǎng)絡使用方法,并要求網(wǎng)絡管理員和網(wǎng)絡使用人員必須嚴格遵守,否則的話,再先進的網(wǎng)絡安全技術也不能阻止人為因素對網(wǎng)絡安全造成的威脅。其次,加強對網(wǎng)絡管理員和網(wǎng)絡使用人員的培訓,讓他們明白什么是可以做的,什么是嚴禁做的,可能產(chǎn)生的嚴重后果是什么。對網(wǎng)絡了解得越多,自我約束的能力也就越強。第三,制定合適的網(wǎng)絡安全策略,既

26、不能讓網(wǎng)絡用戶無限制地使用網(wǎng)絡,也不能對用戶限定得太死,引發(fā)用戶設法繞過網(wǎng)絡安全系統(tǒng)、鉆網(wǎng)絡安全策略空子的現(xiàn)象。制定一種讓網(wǎng)絡管理員和網(wǎng)絡用戶都樂于接受的安全策略,可以讓網(wǎng)絡用戶在使用網(wǎng)絡的過程中逐步把網(wǎng)絡當成工作中的一個得力工具,從而自覺地維護網(wǎng)絡的安全。</p><p>  1.2.5. 數(shù)據(jù)存儲的安全</p><p>  保存在服務器中的數(shù)據(jù)是網(wǎng)絡應用的核心,如果由于服務器磁盤故障造

27、成數(shù)據(jù)的損壞或丟失,可能會造成無法估量的損失。因此必須采取相應的容錯及災難恢復手段來加強服務器存儲系統(tǒng)的可靠性。目前,構建服務器存儲系統(tǒng)使用最廣泛的技術是RAID。RAID的實現(xiàn)策略主要是用多個磁盤驅動器替換單一的大容量的磁盤驅動器,并將數(shù)據(jù)在各個磁盤上進行分布存放并支持同時在多個磁盤進行并行讀寫,同時利用冗余的磁盤空間將數(shù)據(jù)從錯誤中恢復。由于服務器中構成RAID的磁盤通常為熱插拔磁盤,因此磁盤出現(xiàn)故障時,可以不停機地對故障進行修復,增

28、加了網(wǎng)絡系統(tǒng)的連續(xù)工作能力。RAID分為好幾個級別,每個級別在I/O性能和安全性方面各具特點,其中RAID1和RAID5使用最多。</p><p>  RAID1—磁盤鏡像。它由磁盤對組成,每一個工作盤都有對應的鏡像盤,保存著和工作盤完全相同的數(shù)據(jù)拷貝。當對邏輯塊進行寫入操作時,工作盤和鏡像盤都進行實時更新。如果磁盤對中任一個磁盤失敗,所有的讀寫請求立刻會轉移到另一塊磁盤上。因此它具有最高的可靠性,但它的I/O性

29、能和空間利用率不高,只用50%,適用于訪問量不大但比較注重數(shù)據(jù)安全性的應用環(huán)境。從性能價格比看,中小企業(yè)網(wǎng)絡的應用服務器采用RAID1是非常合適的選擇。</p><p>  RAID5—沒有獨立校驗盤的奇偶校驗碼磁盤陣列。RAID5采用了獨立存取技術,校驗信息分布在陣列內的所有磁盤上,如果陣列中有一個磁盤失敗,這個盤中的數(shù)據(jù)可以通過其他盤中的數(shù)據(jù)根據(jù)校驗碼進行異或運算獲得。RAID5至少需要3塊磁盤構成,每一塊磁

30、盤上都要占用1/N的空間存放校驗信息(N為構成RAID5的磁盤數(shù)量)。由于采用了獨立存取技術, RAID5對于大、小批量的數(shù)據(jù)讀寫性能都很好,適用于訪問量很大的系統(tǒng)。在中小企業(yè)構建網(wǎng)絡時,可以將Web服務器或數(shù)據(jù)庫服務器的存儲系統(tǒng)設置為RAID5。</p><p>  可以根據(jù)RAID的應用級別來選擇相應的服務器,這樣配置起來更方便一些。</p><p>  1.2.6應用服務需求<

31、/p><p>  現(xiàn)代大型企業(yè)網(wǎng)絡應具備更智能的網(wǎng)絡管理解決方案,以適應網(wǎng)絡規(guī)模日益擴大,維護工作更加復雜的需要。當前的網(wǎng)絡已經(jīng)發(fā)展成為"以應用為中心"的信息基礎平臺,網(wǎng)絡管理能力的要求已經(jīng)上升到了業(yè)務層次,傳統(tǒng)的網(wǎng)絡設備的智能已經(jīng)不能有效支持網(wǎng)絡管理需求的發(fā)展。比如,網(wǎng)絡調試期間最消耗人力與物力的線纜故障定位工作,網(wǎng)絡運行期間對不同用戶靈活的服務策略部署、訪問權限控制、以及網(wǎng)絡日志審計和病毒控制

32、能力等方面的管理工作,由于受網(wǎng)絡設備功能本身的限制,都還屬于費時、費力的任務。所以現(xiàn)代的大型企業(yè)網(wǎng)絡迫切需要網(wǎng)絡設備具備支撐"以應用為中心"的智能網(wǎng)絡運營維護的能力,并能夠有一套智能化的管理軟件,將網(wǎng)絡管理人員從繁重的工作中解脫出來。</p><p>  由于網(wǎng)絡產(chǎn)品的性能、質量和功能與其價錢成正比,因而在一些關鍵性服務器的選擇上,如數(shù)據(jù)庫服務器、Web/Mail服務器等負荷較重的業(yè)務上應該選

33、擇性能較強的產(chǎn)品,而一些工作負載較少的應用,如DHCP 服務器、DNS 服務器等,可選擇配置較好的普通PC 來承擔。</p><p><b>  網(wǎng)絡規(guī)劃與設計</b></p><p><b>  2.1總體設計</b></p><p>  根據(jù)對公司業(yè)務管理信息系統(tǒng)計算機網(wǎng)絡需求的分析并結合目前高速主干網(wǎng)絡技術的特點,數(shù)

34、據(jù)中心核心網(wǎng)絡建議采用核心層和接入層的的二層扁平化網(wǎng)絡架構,二層扁平化的網(wǎng)絡架構可以實現(xiàn):</p><p> ?。?)簡化網(wǎng)絡管理,降低投資成本,降低維護管理成本;</p><p>  (2)簡化網(wǎng)絡拓撲,降低網(wǎng)絡復雜度,提高網(wǎng)絡的性能,支撐高性能的服務器流量;</p><p> ?。?)提高網(wǎng)絡利用率,支撐云計算技術的資源池動態(tài)調度;</p><

35、;p> ?。?)提高網(wǎng)絡可靠性。二層網(wǎng)絡結構,可以結合虛擬集群和堆疊技術,解決鏈路環(huán)路問題,減少網(wǎng)絡的故障收斂時間,從而提高網(wǎng)絡可靠性;</p><p> ?。?)綠色環(huán)保。 簡化二層網(wǎng)絡還能降低電力和冷卻需求,這對數(shù)據(jù)中心網(wǎng)絡尤為重要;</p><p>  數(shù)據(jù)中心網(wǎng)絡架構設計采用“分區(qū)+分層+分平面”的設計思路。</p><p> ?。?)根據(jù)公司數(shù)據(jù)中心

36、不同業(yè)務功能區(qū)域之間的隔離需求,將數(shù)據(jù)中心的核心網(wǎng)絡按照功能的不同分成多個業(yè)務區(qū)域,各業(yè)務區(qū)域之間實現(xiàn)網(wǎng)絡的邏輯隔離;</p><p>  (2)根據(jù)公司數(shù)據(jù)中心的網(wǎng)絡系統(tǒng)動態(tài)擴展和高效交換的需求,將數(shù)據(jù)中心的核心網(wǎng)絡分為核心層與接入層,實現(xiàn)扁平化的二層網(wǎng)絡架構;</p><p> ?。?)根據(jù)公司數(shù)據(jù)中心網(wǎng)絡高效交換的需求,將數(shù)據(jù)中心網(wǎng)絡分為管理平面、業(yè)務平面和存儲平面,不同平面間進行邏

37、輯隔離;單個平面故障不會影響其它網(wǎng)絡平面的正常工作。</p><p><b>  2.2網(wǎng)絡設計</b></p><p>  小型企業(yè)網(wǎng)絡,也可在本設計中也可以稱為園區(qū)網(wǎng),園區(qū)網(wǎng)是非常典型的綜合型網(wǎng)絡實例,園區(qū)網(wǎng)通常是指大學的校園網(wǎng)及企業(yè)的內部網(wǎng)(intrfaceernet)。園區(qū)網(wǎng)分為3個部分,分別是交換網(wǎng)絡,路由網(wǎng)絡和遠程登陸網(wǎng)絡,主要的中心部分是交換網(wǎng)絡部分。&

38、lt;/p><p><b>  1.主干結構設計</b></p><p>  本設計將網(wǎng)絡結構分為三層:接入層、匯聚層和核心層。使用三層網(wǎng)絡結構適合的實際規(guī)模;二是這能提高網(wǎng)絡對突發(fā)事故的自動容錯能力,減少網(wǎng)絡故障排錯的難度和時間;三是采用此網(wǎng)絡分層有利于企業(yè)將來更靈活地對企業(yè)網(wǎng)升級擴大。</p><p><b>  2.互聯(lián)網(wǎng)接入設計&

39、lt;/b></p><p>  互聯(lián)網(wǎng)接入由位于網(wǎng)絡中心的DMZ 交換機、WWW 服務、E-mail 服務、防火墻、路由器、Intrfaceernet 光纖接入組成。向電信申請一個固定IP,提供外網(wǎng)服務器的訪問服務。</p><p><b>  3.VLAN設計</b></p><p>  通過VLAN 將相同業(yè)務的用戶劃分在一個邏輯子

40、網(wǎng)內,各工作組交換機采用基于端口的VLAN 劃分策略,劃分出多個不同的VLAN 組,分隔廣播域。同樣在千兆/百兆以太網(wǎng)上聯(lián)端口上設置802.1Q 協(xié)議,設置通信干道(Truck),將每個VLAN 的數(shù)據(jù)流量添加標記,轉發(fā)到主干交換機上實現(xiàn)網(wǎng)絡多層交換。</p><p>  2.3 網(wǎng)絡拓撲及其結構設計</p><p>  現(xiàn)在根據(jù)本公司的情況先規(guī)劃處如下的網(wǎng)絡拓撲圖:</p>

41、<p>  圖2.3 整體網(wǎng)絡規(guī)劃拓撲圖</p><p><b>  2.3.1組網(wǎng)設計</b></p><p>  數(shù)據(jù)中心的網(wǎng)絡核心層采用的是核心層、接入層的扁平化二層網(wǎng)絡架構;扁平化網(wǎng)絡設計降低了網(wǎng)絡復雜度,簡化了網(wǎng)絡拓撲,提高了轉發(fā)性能。</p><p>  數(shù)據(jù)中心網(wǎng)絡核心層的規(guī)劃圖如下圖所示。</p>&l

42、t;p>  圖2.3.1數(shù)據(jù)核心層</p><p>  核心層:2臺核心交換機采用CSS虛擬集群技術,下行鏈路與接入交換機互聯(lián),增加帶寬的同時也提高了網(wǎng)絡鏈路的可靠性。</p><p>  接入層:上聯(lián)到2臺核心交換機,增加帶寬的同時也提高了網(wǎng)絡鏈路的可靠性。接入層設備可以根據(jù)業(yè)務需求,選擇機架式、刀片內置式等不同的接入交換機類型和不同規(guī)格的配置。</p><p&

43、gt;  2.3.2存儲網(wǎng)絡設計</p><p>  數(shù)據(jù)中心存儲網(wǎng)絡規(guī)劃示意圖如下圖所示。</p><p>  圖2.3.2 存儲網(wǎng)絡規(guī)劃示意圖</p><p>  服務器存儲網(wǎng)絡主要包括IP SAN存儲網(wǎng)和FC SAN存儲網(wǎng)。服務器存儲網(wǎng)絡與業(yè)務網(wǎng)絡是物理隔離的,服務器的業(yè)務網(wǎng)卡和存儲網(wǎng)卡是分別上聯(lián)到業(yè)務網(wǎng)絡和存儲網(wǎng)絡的對應TOR接入交換機上。由于虛擬化的需求,

44、極大的增進了服務器與存儲的數(shù)據(jù)交換。</p><p>  當采用IP SAN存儲網(wǎng)絡時:業(yè)務服務區(qū)服務器和IP SAN存儲的存儲網(wǎng)卡一般采用1GE端口上聯(lián)到TOR接入以太網(wǎng)交換機,各TOR接入交換機通過1GE鏈路或10GE鏈路捆綁上聯(lián)到IP SAN存儲匯聚交換機。當采用FC SAN存儲網(wǎng)絡時:業(yè)務服務區(qū)服務器的HBA卡和FC SAN存儲的FC接口通過光纖鏈路上聯(lián)到FC交換機。</p><p&g

45、t;  2.3.3網(wǎng)絡服務區(qū)設計</p><p><b>  (1)應用場景</b></p><p>  數(shù)據(jù)中心支撐著各種業(yè)務系統(tǒng),各種業(yè)務系統(tǒng)對網(wǎng)絡架構的要求也各不相同:對于高安全性業(yè)務系統(tǒng),需要在數(shù)據(jù)中心內網(wǎng)核心區(qū)提供安全防護的功能;有些業(yè)務系統(tǒng),對性能、可靠性和可擴展性要求較高;一般的業(yè)務則沒有特殊的要求。</p><p>  為了滿足

46、業(yè)務系統(tǒng)對網(wǎng)絡功能要求,數(shù)據(jù)中心專門部署了網(wǎng)絡服務區(qū),針對性為各種業(yè)務系統(tǒng)提供相應的網(wǎng)絡服務。網(wǎng)絡服務區(qū)主要提供網(wǎng)絡安全服務,通過部署防火墻設備實現(xiàn)。</p><p><b>  (2)網(wǎng)絡架構</b></p><p>  數(shù)據(jù)中心的網(wǎng)絡服務區(qū)網(wǎng)絡架構如下圖所示。</p><p>  圖2.3.3 網(wǎng)絡服務區(qū)網(wǎng)絡架構圖</p>&

47、lt;p>  網(wǎng)絡服務區(qū)共部署了2臺安全網(wǎng)關,為數(shù)據(jù)中心的多個服務器業(yè)務分區(qū)提供安全控制服務。</p><p>  2臺安全網(wǎng)關采用雙機熱備的冗余方式進行部署;每臺安全關采用核心交換機旁掛的方式,并通過2條鏈路與核心交換機進行互聯(lián),分別用于承載入方向和出方向的流量。</p><p>  安全網(wǎng)關設備用于對安全級別較高的業(yè)務服務器分區(qū)進行安全防護。安全網(wǎng)關通過虛擬化技術,從邏輯上劃分為

48、多臺防火墻,分別為需要安全防護的服務器分區(qū)提供獨立的安全保障。每臺虛擬防火墻都是VPN 實例、安全實例和配置實例的綜合體,為用戶提供私有的路由轉發(fā)服務、安全服務和配置管理服務。安全網(wǎng)關設備一般采用路由工作模式。</p><p><b>  外聯(lián)區(qū)設計</b></p><p><b> ?。?)網(wǎng)絡架構</b></p><p&g

49、t;  業(yè)務服務區(qū)及運行管理區(qū)的網(wǎng)絡架構基本相同:按照層次化、模塊化的設計理念,各個功能分區(qū)的業(yè)務主機通過相應的接入交換機進行匯接,雙鏈路上聯(lián)到網(wǎng)絡核心交換機上。</p><p>  各個業(yè)務功能分區(qū)可以通過網(wǎng)絡服務區(qū)的防火墻進行安全控制;通過功能區(qū)的劃分,也可以提高系統(tǒng)的可擴展能力。</p><p><b>  (2)分平面設計</b></p><

50、;p>  數(shù)據(jù)中心的業(yè)務核心區(qū)采用的是網(wǎng)絡分平面設計的網(wǎng)絡架構,按照業(yè)務的類型將網(wǎng)絡分成三個平面:業(yè)務平面、存儲平面和管理平面,各個平面之間實現(xiàn)業(yè)務安全隔離。</p><p>  各個平面之間通過網(wǎng)絡設備和網(wǎng)卡進行物理安全隔離或VLAN邏輯安全隔離,保證各種網(wǎng)絡平面數(shù)據(jù)的安全性和可靠性,單個平面的故障不影響其余平面繼續(xù)工作。</p><p>  每臺主機通過不同的網(wǎng)絡接口與業(yè)務平面、

51、管理平面和存儲平面進行互聯(lián),并在交換機上通過VLAN進行隔離,其中存儲平面采用單獨的交換機進行接入。</p><p><b>  2.4系統(tǒng)配置設計</b></p><p>  公司網(wǎng)絡管理中心網(wǎng)絡將采用層次化、模塊化的設計。層次化模塊化設計可使層次清晰,便于分層管理和故障隔離,既保留傳統(tǒng)層次化架構的分層管理和 故障隔離的優(yōu)點,同時又能適應業(yè)務化網(wǎng)絡的要求,有效優(yōu)化帶

52、寬收斂比,降低延遲。</p><p>  數(shù)據(jù)中心的網(wǎng)絡功能分區(qū)架構如下。</p><p><b> ?。?)外聯(lián)區(qū) </b></p><p><b>  1、業(yè)務遠程接入?yún)^(qū)</b></p><p>  提供給相關業(yè)務單位訪問的數(shù)據(jù)中心區(qū)域。</p><p>  2、Inte

53、rnet接入?yún)^(qū) </p><p>  提供給互聯(lián)網(wǎng)用戶訪問的數(shù)據(jù)中心區(qū)域。部署外部服務器群(如:外部DNS/FTP/Web服務器),用于互聯(lián)網(wǎng)用戶訪問;為了提高互聯(lián)網(wǎng)出口的可靠性,出口路由器一般接入到2個不同的運營商。</p><p><b>  (2)核心區(qū) </b></p><p>  核心區(qū)對外部網(wǎng)絡不可見,主要提供公司系統(tǒng)服務。該區(qū)域包

54、括:網(wǎng)絡服務區(qū)、輔助業(yè)務區(qū)、核心業(yè)務區(qū)、中心辦公區(qū)及運行管理區(qū)。</p><p><b>  (3)災備中心</b></p><p>  對公司數(shù)據(jù)進行異地保護。</p><p><b>  (4)中心大廳</b></p><p>  實現(xiàn)公司本部相關業(yè)務辦理。</p><p&g

55、t;<b> ?。?)測試和網(wǎng)管區(qū)</b></p><p>  實現(xiàn)對網(wǎng)絡設備及系統(tǒng)應用軟件進行統(tǒng)一管理和測試。</p><p><b> ?。?)交換區(qū)</b></p><p>  實現(xiàn)對外數(shù)據(jù)交換管理</p><p>  2.5 IP地址的詳細規(guī)劃</p><p>  以

56、職能共劃分為3個區(qū)域:對外公共服務器群組、內部服務器群組和內網(wǎng)客戶端區(qū)域。其中內網(wǎng)客戶端區(qū)域部署私有IP地址,然后根據(jù)其數(shù)量和組織規(guī)模等因素來選擇網(wǎng)段,并決定是否使用DHCP動態(tài)IP分配。</p><p>  其中,需要訪問Internet的客戶端可以通過NAT技術實現(xiàn),一般在防火墻后面另配置一個NAT設備(可能是代理服務器或路由器等),在其上配置一個NAT池放置適當?shù)墓W(wǎng)IP以供內網(wǎng)機訪問Internet的需要

57、。還可在其上或其連接的下層3層交換機、路由器等設備上做ACL(訪問控制列表),以限制內網(wǎng)機訪問Internet的權限。內網(wǎng)服務器區(qū)域由于只對內網(wǎng)用戶提供服務,所以不需要公網(wǎng)IP也不需要過NAT,而且因其職能應該部署固定的私有IP。其中如果考慮到整體網(wǎng)絡規(guī)模較大,內網(wǎng)服務器區(qū)與客戶端區(qū)之間隔著路由器,那當使用DHCP服務器時,還要注意DHCP的過程使用了廣播包,而路由器隔絕廣播,這時需要在路由器上配置DHCP中繼代理。這樣對于客戶端來說,

58、得到IP地址的過程和訪問本地DHCP沒有什么區(qū)別,也就是說DHCP中繼代理對客戶端而言是透明的。最后的DMZ區(qū)域放置著對外提供服務的服務器群組,這部分自然是部署固定的公網(wǎng)IP。當然,可能由于使用服務器集群等冗余和負載均衡措施,會使IP地址的分配策略稍有不同。</p><p>  由于現(xiàn)在使用的仿真軟件的限制性,故將現(xiàn)有的網(wǎng)絡規(guī)劃簡單化,因此現(xiàn)有的IP劃分是專用于此次的設計中,出口路由為公司分配的172.16.10

59、7.2/24進入到出口網(wǎng)關為172.16.107.1/24,網(wǎng)絡經(jīng)由172.16.105.2/29這個端口到核心交換機的172.16.105.2/29,核心交換機分配給業(yè)務網(wǎng)的為172.16.11.0/24的11網(wǎng)段,其余端口為113段,而服務器所在的數(shù)據(jù)中心則分別為172.16.114.114/24;172.16.114.70/24;172.16.114.32/24。這個的IP劃IP地址分為內網(wǎng)的劃分,外網(wǎng)的則類似,并且外網(wǎng)的網(wǎng)絡結構

60、也和內網(wǎng)的差不多,只是在IP上習慣改為192.168.11.0/24,具體的IP劃分就要看網(wǎng)絡管理人員自己怎么管理劃分。</p><p><b>  測試</b></p><p>  3.1 項目基本描述</p><p>  此次的項目根據(jù)本公司的實際需要,構建一個綜合的信息化企業(yè)辦公網(wǎng)絡,公司如下部門:業(yè)務部、人事部、財務部、IT部、后勤部,

61、一共三層樓辦公,網(wǎng)絡規(guī)劃的需求是:業(yè)務網(wǎng)和辦公網(wǎng)“隔離”;員工網(wǎng)和領導網(wǎng)“隔離”;核心網(wǎng)絡與數(shù)據(jù)中心在同步的情況下保持各自獨立;以此保證內部數(shù)據(jù)的絕對安全性。</p><p>  劃分ip:出口路由為公司分配的172.16.107.2/24進入到出口網(wǎng)關為172.16.107.1/24,網(wǎng)絡經(jīng)由172.16.105.2/29這個端口到核心交換機的172.16.105.2/29,核心交換機分配給業(yè)務網(wǎng)的為172.1

62、6.11.0/24的11網(wǎng)段,其余</p><p>  端口為113段,而服務器所在的數(shù)據(jù)中心則分別為172.16.114.114/24;172.16.114.70/24;172.16.114.32/24。</p><p>  考慮到仿真軟件eNSP的各種限制,因此現(xiàn)只將一部分的網(wǎng)絡拓撲仿真化</p><p>  圖3.1 仿真拓撲圖</p><

63、p>  3.2 路由器配置情況</p><p>  3.2.1 LSW5的配置</p><p>  圖3.2.1 配置圖1</p><p>  圖3.2.1 配置圖2</p><p>  3.2.2 LSW2的配置</p><p>  圖3.2.2 配置圖1</p><p>  圖3.2.

64、2 配置圖2</p><p>  圖3.2.2 配置圖3</p><p>  3.2.3 LSW3的配置</p><p>  圖3.2.3配置圖1</p><p>  圖3.2.3 配置圖2</p><p>  圖3.2.3 配置圖3</p><p>  圖3.2.3配置圖4</p>

65、<p>  圖3.2.3配置圖5</p><p>  圖3.2.3配置圖6</p><p>  圖3.2.3 配置圖7</p><p>  Ps: LSW4的配置與LSW3的配置類似</p><p>  3.2.4 客戶端的配置</p><p>  圖3.2.4 配置IP</p><p

66、>  圖3.2.4 測試連通性</p><p>  3.2.5 特點的路由配置命令</p><p><b>  LSW3的配置:</b></p><p>  <Huawei>sys</p><p>  <Huawei>system-view </p><p>  [

67、Huawei]vlan 105</p><p>  [Huawei-vlan105]int vlan 105</p><p>  [Huawei-Vlanif105]ip add 172.16.1</p><p>  [Huawei-Vlanif105]ip add 172.16.105.1 29</p><p>  [Huawei-Vlan

68、if105]</p><p>  [Huawei-Vlanif105]int g0/0/2</p><p>  [Huawei-GigabitEthernet0/0/2]po</p><p>  [Huawei-GigabitEthernet0/0/2]port de</p><p>  [Huawei-GigabitEthernet0/

69、0/2]port li</p><p>  [Huawei-GigabitEthernet0/0/2]port link-t</p><p>  [Huawei-GigabitEthernet0/0/2]port link-type a</p><p>  [Huawei-GigabitEthernet0/0/2]port link-type access &

70、lt;/p><p>  [Huawei-GigabitEthernet0/0/2]po</p><p>  [Huawei-GigabitEthernet0/0/2]port de</p><p>  [Huawei-GigabitEthernet0/0/2]port default vlan 105</p><p>  [Huawei-Gi

71、gabitEthernet0/0/2]</p><p>  [Huawei-GigabitEthernet0/0/2]ping 172.16.105</p><p>  PING 172.16.105.2: 56 data bytes, press CTRL_C to break</p><p>  Reply from 172.16.105.2: bytes=5

72、6 Sequence=1 ttl=255 time=80 ms</p><p>  Reply from 172.16.105.2: bytes=56 Sequence=2 ttl=255 time=30 ms</p><p>  Reply from 172.16.105.2: bytes=56 Sequence=3 ttl=255 time=60 ms</p><p

73、>  Reply from 172.16.105.2: bytes=56 Sequence=4 ttl=255 time=60 ms</p><p>  Reply from 172.16.105.2: bytes=56 Sequence=5 ttl=255 time=60 ms</p><p>  [Huawei-GigabitEthernet0/0/2]q</p>

74、<p>  [Huawei]vlan 114</p><p>  [Huawei-vlan114]int vlan 114</p><p>  [Huawei-Vlanif114]ip ad</p><p>  [Huawei-Vlanif114]ip address 172</p><p>  [Huawei-Vlanif114

75、]ip address 172.16.114.252 24</p><p>  [Huawei-Vlanif114]int </p><p>  [Huawei-Vlanif114]interface-parameter-type </p><p>  [Huawei-Vlanif114]q</p><p>  [Huawei]int g0

76、/0/5</p><p>  [Huawei-GigabitEthernet0/0/5]po</p><p>  [Huawei-GigabitEthernet0/0/5]port li</p><p>  [Huawei-GigabitEthernet0/0/5]port link-t</p><p>  [Huawei-Gigabi

77、tEthernet0/0/5]port link-type a</p><p>  [Huawei-GigabitEthernet0/0/5]port link-type access </p><p>  [Huawei-GigabitEthernet0/0/5]po</p><p>  [Huawei-GigabitEthernet0/0/5]port de

78、</p><p>  [Huawei-GigabitEthernet0/0/5]port default vlan </p><p>  [Huawei-GigabitEthernet0/0/5]port default vlan 114</p><p>  [Huawei-GigabitEthernet0/0/5]</p><p>  [

79、Huawei-GigabitEthernet0/0/5]int g0/0/6</p><p>  [Huawei-GigabitEthernet0/0/6]port link-type access</p><p>  [Huawei-GigabitEthernet0/0/6]</p><p>  [Huawei-GigabitEthernet0/0/6]port

80、default vlan 114</p><p>  [Huawei-GigabitEthernet0/0/6]int g0/0/7</p><p>  [Huawei-GigabitEthernet0/0/7]port link-type access</p><p>  [Huawei-GigabitEthernet0/0/7]port default vlan

81、 114</p><p>  [Huawei-GigabitEthernet0/0/7]</p><p>  [Huawei-GigabitEthernet0/0/7]q</p><p>  [Huawei]vlan 11</p><p>  [Huawei-vlan11]int vlan11</p><p>  [H

82、uawei-Vlanif11]ip add 17</p><p>  [Huawei-Vlanif11]ip add 172.16.11.252 24</p><p>  [Huawei-Vlanif11]</p><p>  [Huawei-Vlanif11]q</p><p>  [Huawei]int g0/0/4</p>

83、<p>  [Huawei-GigabitEthernet0/0/4]po</p><p>  [Huawei-GigabitEthernet0/0/4]port de</p><p>  [Huawei-GigabitEthernet0/0/4]port li</p><p>  [Huawei-GigabitEthernet0/0/4]port

84、 link-t</p><p>  [Huawei-GigabitEthernet0/0/4]port link-type a</p><p>  [Huawei-GigabitEthernet0/0/4]port link-type access </p><p>  [Huawei-GigabitEthernet0/0/4]po</p>&l

85、t;p>  [Huawei-GigabitEthernet0/0/4]port de</p><p>  [Huawei-GigabitEthernet0/0/4]port default vlan 11</p><p>  [Huawei-GigabitEthernet0/0/4]</p><p>  [Huawei-GigabitEthernet0/0/

86、4]ping 172.16.114.252</p><p>  PING 172.16.114.252: 56 data bytes, press CTRL_C to break</p><p>  Reply from 172.16.114.252: bytes=56 Sequence=1 ttl=255 time=20 ms</p><p>  Reply f

87、rom 172.16.114.252: bytes=56 Sequence=2 ttl=255 time=1 ms</p><p>  Reply from 172.16.114.252: bytes=56 Sequence=3 ttl=255 time=20 ms</p><p>  Reply from 172.16.114.252: bytes=56 Sequence=4 ttl=2

88、55 time=1 ms</p><p>  Reply from 172.16.114.252: bytes=56 Sequence=5 ttl=255 time=1 ms</p><p>  [Huawei-GigabitEthernet0/0/4]ping 172.16.11.252</p><p>  PING 172.16.11.252: 56 data

89、 bytes, press CTRL_C to break</p><p>  Reply from 172.16.11.252: bytes=56 Sequence=1 ttl=255 time=1 ms</p><p>  Reply from 172.16.11.252: bytes=56 Sequence=2 ttl=255 time=20 ms</p><p&

90、gt;  Reply from 172.16.11.252: bytes=56 Sequence=3 ttl=255 time=1 ms</p><p>  Reply from 172.16.11.252: bytes=56 Sequence=4 ttl=255 time=10 ms</p><p>  Reply from 172.16.11.252: bytes=56 Sequenc

91、e=5 ttl=255 time=1 ms</p><p>  [Huawei-GigabitEthernet0/0/4]q</p><p>  [Huawei]ip rou</p><p>  [Huawei]ip route</p><p>  [Huawei]ip route-static 172.16.107.0 255.255.

92、255.0 172.16.105.2</p><p><b>  [Huawei]</b></p><p><b>  項目總結</b></p><p>  本企業(yè)的整個網(wǎng)絡規(guī)劃與設計,結合以前的經(jīng)驗</p><p>  兩個多禮拜的課程設計設計終于可以畫上一個句號了,但是現(xiàn)在回想起來做課程設計的整

93、個過程,其中有“苦”也有“甜”,在剛開始接受任務時覺得應該還好,可是實踐操作起來才深刻感受到什么叫“紙上談兵終覺淺”。課程設計不僅是對本門課程知識的一種檢驗,而且也是對自己能力的一種提高,課程設計是每一個大學生在大學生涯中都不可或缺的,它使我們在實踐中了 鞏固了所學的知識、在實踐中鍛煉自己的動手能力。下面我對整個課程設計的過程做一下簡單的總結。</p><p>  第一,選題。選題是課程設計的開端,選擇恰當?shù)摹⒏?/p>

94、興趣的題目,這對于整個 設計是否能夠順利進行關系極大。好比走路,這開始的第一步是具有決定 意義的,第一步邁向何方,需要慎重考慮。 </p><p>  第二,找資料了。查資料是做課程設計的前期準備工作,好的開端就相當于成功 了一半。</p><p>  第三,動手實踐。一步步踏踏實實的做,會發(fā)現(xiàn)要做出其實并不是太難。</p><p>&

95、lt;b>  參考文獻</b></p><p>  [1] 石炎生,郭觀七 主編. 計算機網(wǎng)絡工程實用教程(第2版).電子工業(yè)出版社. 2011.03</p><p>  [2] 吳學毅.編 計算機網(wǎng)絡規(guī)劃與設計. 機械工業(yè)出版社 2009.04</p><p>  [3]張寶通,《某(中小型)網(wǎng)絡設計方案實例》,ChinaITLab網(wǎng)校教研中心,

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論