《毕业设计公司网络方案设计.doc》由会员分享,可在线阅读,更多相关《毕业设计公司网络方案设计.doc(17页珍藏版)》请在三一办公上搜索。
1、毕业设计说明书课题名称: 杭州服饰有限公司网络方案设计 杭州服饰有限公司网络方案设计 摘 要针对本方案的设计采用了新型的模块试网络模型设计方式,来为企业提供高效,快速,稳定的网络服务。该方案的设计主要通过以下几个部分:1. 网络结构,内网分为三层,我们结合企业的实际状态,把汇聚层和核心层紧凑在了一块,核心层和汇聚层的工作都由同一台设备来来完成。外网的接入我们采用了双线冗余链路形式。 2.网络安全。我们在核心交换机与路由器之间我们配备了一台防火墙,实现对外网的控制,防止意外攻击。在核心交换机与防火墙之间我们布设了一台流控服务器,提供上网行为管理和流量控制。为客服端提供了AAA认证,让客服端安全接
2、入。3.服务器群。在服务器群里我们布设了常用的服务器,以提供内外资源的互访。4.实施技术。该方案中使用了STP,802.1X,流控技术,服务器集群技术等等。本设计方案可以实现企业的内外网互联互通,安全稳定的信息化管理控制。关键词:信息技术;网络结构;网络安全;目 录摘 要I第1章 绪论21.1 引言21.2 项目背景2第2章 需求分析32.1 网络现状调研32.2 用户需求3第3章 网络系统设计43.1 设计原则43.2 网络结构设计43.3 网络结构拓扑图53.4 网络设备选型53.5 服务器选型73.6 网络安全管理83.7 IP地址与VLAN的划分11第4章 设备汇总与工程投资预算124
3、.1 整个工程所需材料与设备124.2 工程经费预算12第5章 结论13参 考 文 献14致 谢15第1章 绪论1.1 引言随着当今信息技术的快速发展,杭州诺菲服饰有限公司旧的网络设计模型有诸多缺点,比如说,网络不够稳定,冗余性能不够健全,网络结构不可扩展,网络设备开始处于老化状态,整个网络收敛速度缓慢,网络安全性较差等等,随着企业的发展日新月异,公司的业务不断的增加,企业现有的IT基础设施受到严重挑战,已不能满足公司的现在需求了。而建立一个方便快捷安全的通信网络综合信息支撑系统,已迫在眉睫。1.2 项目背景杭州诺菲服饰有限公司成立于1998年,由丽森国际投资有限公司授权,几年来公司生产、经营
4、规模逐步扩大,其下品牌“伊卡。诺菲”系列女装在风格上一直以“时尚”“优雅”“舒适”“创新”为设计理念。注重产品开发的独创性,“伊卡。诺菲”品牌适合年龄层为3045岁职业女性。“伊卡?诺菲”系列女装产品以手工针织为主的独特设计。产品在制作、选料等工艺上精工细琢,视产品为完美的工艺品。诺菲服饰有限公司的知名度也不断提高,产品的市场占有率、覆盖面也稳步扩大,现已经成长为一家集设计、生产和销售于一体的专业化服装公司。为了适应业务的发展和国际化的需要,积极参与国家信息化进程,提高管理水平,展现全新的形象,实现信息的共享、协作和通讯,并在此基础上开发建设现代化的企业应用系统,实现智能型、信息化、快节奏、高
5、效率的管理模式。杭州诺菲服饰有限公司决定重建整个企业网,以适应时代的需求。第2章 需求分析 2.1 网络现状调研 图2-1 现状说明: 目前杭州诺菲服饰有限公司网络,主要包含2层交换机,出口防火墙,及服务器; 所有的PC机器和服务器都存在同网段;一旦PC机器中毒将会影响到服务器的业务正常使用; 服务器的目前部署相对简单,主要以应用服务器及数据库服务器为主,未对服务器进行备份; 安全部分,现有服务器资源只是通过静态端口映射,在安全性角度而言,安全性得不到很好的控制;2.2 用户需求 通过对杭州诺菲服饰有限公司网络现状的深入调研和对业务需求的分析,公司内网网络有200台终端,为了保护企业网的接入安
6、全,需要采用802.1X验证技术,为了提高员工工作效率,总部需要部署流控产品。公司需要安装常见的服务器方便业务的开展,为了节约流量需要部署WSUS统一打补丁。为了安全公司需要部署邮件服务器。第3章 网络系统设计3.1 设计原则 根据本网络系统的特点和用户要求,我们的设计原则是: 可靠性系统具备网络诊断、测试和在线故障恢复能力,关键设备、线路能做到实时备份和自动故障切换。 标准化网络技术发展迅速,不能盲目求新,必须以符合国际标准为准则,选择技术已经成熟、标准化的产品,这是保护投资、易于维护的基础。 扩展能力充分考虑到目前的业务需求和今后长时间内业务发展的需要,系统可方便地实现升级。当将来采用新技
7、术时原有设备能继续使用,只需增加有限的模块和设备,保护原来的投资。 开放性网络体系结构与系统应用各自独立,与服务器、工作站的操作模式无关,支持各种通讯协议,各种数据库和客户机/服务器以及Internet的应用,并能方便地和其它机构、企业的主机和网络互连通讯。 灵活性拓扑结构必须灵活,便于进行网络的管理和调整。 严密的安全控制和保密性能系统提供必要的安全保护手段,防止由于操作人员的失误以及系统的意外故障而造成数据丢失或破坏;同时能防止系统外部的侵入和操作人员的非法操作,系统的信息安全性要求达到C2级标准。 经济性一次性投资,长年受益,维护费用低,使整体性价比达到最优。 先进性支持任务优先级的划分
8、,具有适当的多媒体应用支持。3.2 网络结构设计 杭州诺菲服饰有限公司内网我们采用了当今通用的设计模型三层模型,即:核心层,汇集成,接入层。我们结合企业的实际状态,把汇聚层和核心层紧凑在了一块。核心层和汇聚层都由同一台设备来提供。接入层设备可以直接与核心交换机相连。 随着公司业务的增长,对外网的可连接性,稳定性要求更高了,所以我们使用了双线接入的方式,来维持内网与外网的不间断通信。一条线路走电信,另一条线路走网通。此处我们提供一台路由器与之相连接。考虑到内网与外网接入后存在网络安全风险,在核心交换机与路由器之间我们接入了一台防火墙,以提供对网络的安全进行检查,现对外网的控制,防止意外攻击。为提
9、高带宽的合理利用,同时也能对公司员工上网行为进行相应控制,我们在防火墙与核心交换机之间接入了一台流控服务器,来满足公司的需求。为内部网络的安全性,防止外来人员的非法接入,我们提供了接入层的AAA认证。要求外来人员要通过认证并得到管理员的允许后才能访问内网。我们在服务器的设计采用了服务器集群的技术,将服务器使用独立的网段,对内部人员设置服务器的访问权限。以提高服务器的安全性。3.3 网络结构拓扑图 图3-13.4 网络设备选型 路由器选型:模块化Cisco 2800系列集成多业务路由器建立在思科20年的领先地位及创新技术的基础之上,智能地将数据、安全性和话音服务内嵌于单一永续系统,能快速、可扩展
10、地提供关键任务业务应用。Cisco 2800系列的独特集成系统架构提供了最高业务灵活性和投资保护,它进行了专门的优化,可安全、线速地同时提供数据、话音和视频服务,重新定义了最佳大型企业和中小型企业路由。这里我们选择了cisco 2811 。 cisco 2811能以线速为多条T1/E1/xDSL连接提供多种高质量并发服务。它提供了内嵌加密加速和主板话音数字信号处理器(DSP)插槽;入侵保护和防火墙功能;集成化呼叫处理和语音留言;用于多种连接需求的高密度接口;以及充足的性能和插槽密度,以用于未来网络扩展和高级应用。凭借Cisco IOS软件高级安全特性集,Cisco 2811在一个解决方案集中提
11、供了一系列强大的通用安全特性,如Cisco IOS Software Firewall、入侵保护、IPSec VPN、Secure Shell (SSH)协议2.0和简单网络管理协议(SNMPv3)。此外,通过将安全功能直接集成入路由器,思科可提供其他安全设备不能提供的独特智能安全解决方案,如用于病毒防御的网络准入控制(NAC);当结合话音、视频和VPN时可增强服务质量(QoS)的话音和视频型VPN(V3PN);以及可实现更优可扩展性和可管理性的VPN网络的动态多点VPN(DMVPN)和Easy VPN。此外,思科提供了一系列安全加速硬件,如用于加密的入侵保护网络模块和高级集成模块(AIM)。
12、交换机选型: 接入层目的是允许终端用户连接到网络,因此接入层交换机具有低成本和高端口密度特性。接入交换机是最常见的交换机,它直接与外网联系,使用最广泛,尤其是在一般办公室、小型机房和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心等部门。在传输速度上,现代接入交换机大都提供多个具有10M/100M/1000M自适应能力的端口。 SMB交换机S1600系列安全智能交换机 是杭州华三通信技术有限公司自主开发的二层以太网交换机,分别提供了2448个百兆以太网端口、2个千兆SFP端口(与后2个千兆以太网端口复用)以及一个Console端口,支持Vlan划分、端口镜像、端口限速、DHCP-Sno
13、oping、IP+MAC+端口+VLAN四元素绑定、防ARP欺骗、ACL、VLAN-ACL、STPRSTP、Voice VLAN、静态LACP等功能,可以通过Telnet、命令行、Web界面、SNMP等多种方式进行管理。防火墙选型:对于一般的中小型企业开说防火墙选型要注意到下面的几个要点: 网络吞吐量。在企业中部署了企业级别的防火墙之后,企业进出互联网的所有通信流量都要通过防火墙,故对于防火墙的吞吐量就有比较高的要求。以前有些企业是通过ADSL拨号上网的,这时由于带宽的限制,可能防火墙还可以应付。可是现在大部分企业可能已经都采用了光纤接入,带宽本来就很大。此时就给防火墙带来了一定的压力。 协议
14、的优先级。对企业的通信流量进行管理。通过防火墙把一些关键应用的流量设置为比较高的优先级。在网络传输中,要首先保障这些通信流量能够优先通过。这就可以明显改善语音通话等视频应用的效果。 具有一定的扩展性。一是为了后续扩展的需要,最好能够购买那些模块化设计的防火墙。如此的话,后续增添其他功能的话,只需要购买模块即可。二是考虑网络接口的问题。通常情况下防火墙最基本的配置有两个网络接口:内部的和外部的网络接口。这些接口对应着访问网络的信任程度。其中外部网络接口连接的是不可信赖的网络,而内部网络接口连接的是得到信任的网络。在内部网部署时,连接到外部的接口可能需要和公司的主要部分连接,这时可能比外部网络的信
15、任度高,但又稍微低于内部网络的信任度。但是随着公司因特网商业需求的复杂化,只有两个接口的防火墙明显具有局限性,可能无法满足企业业务方面的需求。如企业可能出于安全的需要,以后很有可能要用到第三个接口DMZ接口。为此为了以后信息化应用升级的考虑,在防火墙选购时,还需要关注是否有足够丰富的接口;或者考虑以后是否可以通过模块的形式来增加可用的接口。思科ASA5500系列自适应安全设备是思科推出的下一代防火墙安全解决方案,它是提供了新一代的安全性和VPN服务的模块化平台。企业可以根据特定需求定购不同版本,做到逐步购买、按需部署,灵活方便地实现安全功能的扩展。为了确保网络安全,以往企业通常购入一系列专用型
16、安全设备,造成投入成本大、部署繁复、管理复杂的局面。而融合多种安全功能于一身的思科ASA5500,具备保护企业投资、降低总体安全运行成本、方便部署、易于管理的巨大优势。我选择了CISCO ASA5520-BUN-K9它是一款VPN防火墙,并发连接数 280000,网络吞吐量(Mbps) 450 ,安全过滤带宽 225Mbps ,网络端口,4个千兆以太网接口+1个快速以太网接口。无用户数限制用户,安全标准 UL 1950, CSA C22.2 No. 950, EN 60950 IEC 60950, AS/NZS3260, TS001,控制端口 console,2个RJ-45 ,思科安全管理器
17、(CS-Manager),Web,VPN支持,带 1个SSM 扩展插槽。3.5 服务器选型服务器是系统中至关重要的核心设备,其作用是为各类应用提供硬件运行平台。对服务器的选择不仅仅是满足当前已开展的各项业务需要,更要着眼于未来。该方案为公司设计了常用的几种服务器:WEB DNS FTP E-MAIL WSUS,和流控服务器,与ACS服务器。杭州诺菲服饰有限公司,是一个专业化服装公司,每天浏览该公司网站的人数非常大,因此对web服务器选型有以下要求:1.应付大规模并发用户的能力,2.大用户量同时在线的能力,3.提供不间断服务的能力,4.快速响应的能力,5.系统资源占用的能力。所以要求处理器支持动
18、态请求,内存要求支持动态与静态的负载,且内存容量要12G。硬盘需要支持RAID 5 。对于该公司来说,他可能每天都有许多客服通过发放邮件来订单业务,所以部署E-mail服务器是必不可少的。对于E-mail服务器来说应有:主要作用是存储并发送信息 ,要求:高效的网络、磁盘I/O能力,较高的内存扩展能,较高的计算能力,可靠的、大容量的数据存储能力,并支持RAID 5 磁盘整列。 公司每天都有很多文件如:服装设计图纸,服装图片等等在工作人员之间流动,FTP服务器可供公司内部人员存储文件并通过网络与用户共享文件。当用户需要重要文件时,他们可以访问FTP服务器上的文件,而不必在各自独立的计算机之间传送文
19、件。FTP服务器需要硬盘的容量要求较高,并支持RAID 5 磁盘整列,获得迅捷的响应,要求网络、硬盘的I/O吞吐量要大。文件传输对内存缓存要求较高。DNS服务器提供Internet的域名搜寻服务对于它的硬件配置要重点考虑:内存,网络和硬盘的I/O吞吐量。WSUS 服务器提供对内部主机的更新和漏洞检测,考虑硬盘的I/O吞吐量,对于流控服务器,与ACS服务器来说主要是起一个控制作用,所以他需要考虑内存的容量和硬盘的I/O吞吐量。基于上述的要求:我们综合考虑后选择了惠普ProLiant DL160 G6,惠普ProLiant DL160 G6采用1U机架式结构,双路设计,具备12个内存插槽,在有限空
20、间内提供了最大的扩展能力。惠普ProLiant DL160 G6支持两颗采用Nehalem架构的至强5600处理器。采用45nm工艺,核心频率2.0GHz,共享4MB三级缓存,集成内存控制器,具备4.8GT/s的QPI速率。 主板集成12个DIMM,内存最大可以扩展到144GB。存储方面标机箱支持4块3.5寸非热插拔SATA硬盘,标配并不提供硬盘,集成HP NC362i双口千兆网卡;Smart Array P410 SAS/SATA RAID 0,1,5阵列模式。网络方面集成2个NC362i双端口千兆服务器适配器,电源为单颗500W以及免工具固定导轨。3.6 网络安全管理 对于杭州诺菲服饰有限
21、公司来说,公司最重要的就是业务订单,和服装设计图纸和客服等信息。如果一旦泄露将对公司带来很大的损失。该公司的网络安全因素有: 1.软件漏洞:每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。 2.配置不当:安全配置不当造成安全漏洞,例如,防火墙软件的配置不正确,那么 它根本不起作用。对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置,否则,安全隐患始终存在。 3.员工安全意识不强:用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享
22、等都会对网络安全带来威胁。 4.病毒:目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此,提高对病毒的防范刻不容缓。 公司网络管理的内容主要包括: 1.在公司的网络出口布设一台Cisco思科ASA5520-BUN-K9防火墙利用防护墙在网络通讯时执行一种控制尺度,允许防火墙统一访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度的阻止网络智能过的黑客来访问自己的网络,防止他们随意更改,移动甚至删除
23、网络上的重要信息,防止internet上的不安全的因素蔓延到公司网络内部。 2.在防火墙上设置DMZ区,将服务器组接入到DMZ去上,在web,e-mail等服务器上安装安全监测系统。在网络的WWW服务器,E-mail等服务器中使用网络安全监测系统,实时跟踪,监测网络,截取internet网上传输的内容,并将其还原成完整的WWW,Email,FTP,Telnet 应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。 3.配置WSUS 服务器,利用补丁服务器最大可能的弥补最新的安全漏洞和消除安全隐患, 4.利用网络监听维护子网系统安全。对于网
24、络外部的入侵可以通过安装的防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以对给个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络作状态提供依据。设计一个子网专用的监听程序。 在公司内网为保证接入安全,提供了802.1x验证技术,IEEE 802.1X是根据用户ID或设备,对网络客户端(或端口)进行鉴权的标准。该流程被称为“端口级别的鉴权”。它采用RADIUS(远程认证拨号用户服务)方法,并将其划分为三个不同小组:请求方、认证方和授权服务器。802.1X 标准应用于试图连接到端口或其它设备(认证方)的终端设备和用户(请求方)。认证和授权都通过鉴权服务器后通信实现。
25、当有新的设备接入到内网时必须要通过服务器的授权后,并确认无危害时才能上网。公司对网络访问控制的设置:由于公司使用了防火墙并定义了DMZ区,所以我们可以明确各个网络之间的访问关系,可以确定以下五条访问控制策略。1.内网可以访问外网,内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。2.内网可以访问DMZ,此策略是为了方便内网用户使用和管理DMZ中的服务器。3.外网不能访问内网,很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。4.外网可以访问DMZ,DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙
26、完成对外地址到服务器实际地址的转换。5.DMZ不能访问内网,很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。3.7 IP地址与VLAN的划分各部门IP子网分配:部门名称IP地址段备注经理办公室192.168.2.1-192.168.2.200/24254为网关财务部172.16.1.1-172.16.1.150/24254为网关商务部172.16.2.1-172.16.2.150/24254为网关人事部172.16.3.1-172.16.3.150/24254为网关工作区10.1.1.1-10.1.1.250/24254为网关表3-1设备IP子网分配:设备组I
27、P/IP段备注交换机管理192.168.1.1-192.168.1.100/24254为网关服务器组192.168.3.0/24254为网关防火墙与路由器192.168.4.0/30/防火墙与流控服务器192.168.4.4/30/流控服务器与核心交换192.168.4.8/30/表3-2VLAN划分:VLAN用途VLAN1交换机管理VLAN2经理办公室VLAN3财务部工作人员VLAN4商务部工作人员VLAN5人事部工作人员VLAN6工作区工作人员VLAN7服务器组表3-3第4章 设备汇总与工程投资预算4.1 整个工程所需材料与设备所需材料:施工过程中要用的材料有:AMP安普超五类网线; FI
28、BRANET FC/LC 3米单模光纤跳线; 塑料扎带;所需网络设备:主要网络设备有:cisco 2811路由器; cisco catalyst 4503核心交换机; H3C S1650二层交换机; 惠普Proliant DL160 G6 服务器 ; Cisco asa 5520防火墙。4.2 工程经费预算材料经费统计: 超五类网线:两箱,750(单价)*2(箱)=1500(元) 光纤跳线: 10袋,90(单价)*10(袋)=900(元) 塑料扎带: 两袋, 50(单价)*2(袋)=100(元)网络设备经费统计:设备名称数量(台)单价(元)总价(元)cisco 2811路由器162006200
29、cisco catalyst 4503核心交换机189558955H3C S1650二层交换机6350021000惠普Proliant DL160 G6 服务器 71350094500cisco asa 5520防火墙13765137651合计168306表4-1整个项目材料及设备经费总计=170806 元 第5章 结论 经过对公司的网络重新规划后,整个网络系统的运行速度将得到很大的改善,网络故障的恢复能力变得更加强大,服务更加齐全,网络的安全性更高,网络的畅通性更有保障。可以保证了业务的不间断性,以提高公司的收入。这些主要体现在以下几个方面:(1) 该方案的设计采用了三层组网模式取代了原有的
30、设计形式,使用了三层核心交换机,替代了原有的二层交换机,提高了运行速率,缩短了网络故障的时间,使用了生成树技术,提高了网络收敛的时间。(2) 使用了vlan的划分,让所有的PC机器和服务器在不同网段,消除了原来将所有的PC机器和服务器都存在同网段,PC机器中毒将会影响到服务器的业务的风险。(3) 使用了802.1X认证技术,让所有外来PC的接入必须通过认证后才能上网,提高了网络的安全性,使用了流控技术,能让流量合理分配,并能合适的控制员工的上网行为,提高了工作效率。(4) 使用了双线的接入,能防止断网而中断业务,取代了原来公司只有一条链路接入外网的方式,使网络正常运行更有保障性。 另外该方案也存在一些缺点:比如说,没有设计无线网络,随着当今的信息技术了发展和公司不断地扩大,无线网络也是一个很重要的一部分了,它可以给用户带来更多的方便之处,能够方便上网,如公司某些地方没有布设有线上网,那么我们可以通过增设无线来上网。为能够使用无线上网,我们可以这样做,购买一台无线控制器,和无线AP,将无线控制器与接入层交换机相连,将无线AP分部安装在需要无线上网的楼层或办公室,给无线AP划分SSID域,这样就可以通过无线上网了。
