上海rt集团园区网建设毕业设计(编辑修改稿)

上海rt集团园区网建设毕业设计(编辑修改稿)内容摘要：

都要求很高的 IP电话，视频会议等多媒体业务。 因此，数据流量将大大增加，尤其是对核心网络的数据交换能力提出了前所未有的要求。 另外，随着千兆位端口成本的持续下 降，千兆位到桌面的应用会在不久的将来成为集团的主流。 稳定可靠需求 RT 集团 企业的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通，保障企业生产运营的正常进行。 随着企业各种业务应用逐渐转移到计算机网络上来，网络通信的无中断运行已经成为保证企业正常生产运营的关键。 RT 集团 网络在可靠性设计方面主要应从以下 3 个方面考虑。 1）设备的可靠性设计：不仅要考虑网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察。 2）业务的可靠性设计：网络设备在故障倒换过程中，是 否对业务的正常运行有影响。 3）链路的可靠性设计：以太网的链路安全来自于多路径选择，所以在集团络建设时，要考虑网络设备是否能够提供有效的链路自愈手段 ，以及快速路由协议 的支持。 4 网络安全需求 大多数的攻击在 RT 集团 网内，主要威胁和攻击方法包括 ARP 攻击，计算机病毒，拒绝服务攻击，根据网络服务器发起的攻击，基于缓冲区溢出攻击以及相关协议的漏洞进行攻击。 因此，在规划和设计集团络时应考虑使用各种安全技术和安全设备。 虚拟局域网 (VLAN， Virtual Local Area Network)技术、网络地址 转换 (NAT， Network Address Translation)技术、访问控制列表 (ACL， Access Control List)技术、网络防病毒软件是常用的集团络安全措施。 网络防火墙、网络准入控制 (NAC)、虚拟专用网 (VPN)等。 5 3 RT 集团网络整体方案设计 根据前文的对 RT 集团的网络建设进行调研和分析， RT 集团重点是建设一个稳定性强、可靠性高的网络，在此基础之上能够实现集团内部文件的共享和部门之间的沟通，以及实现部分部门能够访问互联网，对 于那些数据安全性要求较高的部门不允许访问互联网，以免重要数据在互联网上传播；关于 RT 集团网络 IP 地址的重新规划要尽量有规可循，方便后期的网络扩展和路由调整；网络的设计要做到把复杂简单化层次化，方面后期的管理和维护，模块化的网络拓扑设计及时其中一个区域一个模块出现网络故障，不会对整体网络造成影响。 基于以上的整体需求， RT 集团整体拓扑设计如图 31 所示： 图 31 RT集团整体网络拓扑结构 集团区域设计 RT 集团的整体设计如图 所示，整体网络拓扑结构采用分层模块化设计，分层模块化设计的主要好处就是 对于网络架构的更改和扩展不会影响到其他区域，部门的增加和整合只会影响到本部门，不影响企业内部整体的办公，保证网络 7*24 小时不中断。 该RT 集团网整体网络拓扑结构分为三大模块，分别是连接互联网的出口区域，即集团网边界区域；承载内部网络的三层网络架构，即内网核心区、内网接入区；存储集团内部所有数据和存储交换的服务器集群，即服务器区域。 三大区域模块组成了集团网整体网络拓扑结构，实现集团内部互访、访问服务器、访问互联网、远程访问等集团需要的功能。 6 集团边界区域 集团边界区域作为企业内部与互联网连接的出口 区域，即企业和运营商网络的对接，根据集团建设的成本和集团的规模，这里选择单出口区域，集团边界区域的设计对集团来说至关重要，因为所有访问互联网的数据和互联网的回包数据都要经过这个区域，集团内部经常遭到攻击多数都是来自互联网，因此边界区域的主要设计就是安全方面的设计，具体区域边界的设计结构如图 32 所示： 图 32 集团边界区域拓扑结构 集团边界区域设计这里采用单出口的设计方案，使用一台路由器连接运营商的网络，边界路由器一端连接集团内网防火墙，用来对访问外网的数据和外部访问内网的数据进行包检测和访问控制，防火 墙连接内网核心模块的核心交换机。 很早以前的典型的集团络拓扑结构多数都是使用一台出口路由器一端连接运营商网络，一端连接核心交换机；或者直接使用防火墙一端连接运营商网络，一端连接核心交换机，但是随着伴随着互联网的普及和发展，这种网络设计的弊端越来越多，固然这总设计可以节约成本，但是网络健壮性不高，很容易被黑客攻击，结合两总传统的边界区域设计优点，在互联网区域流量流经地添加一台防火墙，用来检测穿越内外网的报文，统一进行访问控制。 尽管路由器本身也可以隔离内外网和定义访问控制关系，但是对于高级的访问关系，路由器的安全 机制还是有一定的差距。 服务器区域设计 不管是集团还是校园网或者任何一个有数据访问关系的局域网，都会有服务器的存在，服务器里面存储着大量的数据，记录着企业内部所有的资料，一旦服务器里面的资料被泄露或者被更改，轻者会给公司带来财产上的损失，严重者直接关系到企业的生存。 集团内部常见的服务器有 FTP 服务器、 Email 服务器、 WEB 服务器、存储服务器等，为了方便统一管理和基于模块化的设计原则，将服务器集群组成一个 DMZ 服务器区域，使用一台防火墙将服务器和内网外网进行隔离，不管数据是从企业内部发起点访问 还是来自己与互联网主机的访问，都必须经过服务器区域的防火墙，进行严格的报文检测和访问控制，最大程度的保证服务器区域的安全，服务器区域网络拓扑结构设计如图 33 所示： 7 图 33 服务器区域网络拓扑结构 图 33 为集团服务器区域设计结构，因为集团的服务器一般不是很多，这里将服务器全部接到一台交换机上，划分一单独的 vlan，然后交换机上联到防火墙，防火墙另外一端连接内网区域核心交换机，对防火墙接口划分安全级别和定义高级访问控制列表，对访问服务器的端口进行控制。 这样通过直通型防火墙设计，不管是集团内部还是外部数据 ，只要对服务器发起访问，就必须经过防火墙，防火墙允许通过的才能访问，非法的报文将会被丢弃。 内网核心区、接入区设计 内网区域也是集团设计的重要组成部门，一个集团可以不去访问互联网，但是集团内部部门之间肯定要进行互访，以及访问内网服务器，内网区域的合理设计不仅可以提高网络设备的利用率还可以提高集团的运营效率，集团内网的设计一定要遵循高可用性、稳定性，所谓的高可用性就是能够提高网络设备的利用率，避免资源浪费；稳定性就是提高企业整体网络的健壮性，不会因为一个设备、一条线路的故障而导致全网瘫痪，这就要求 集团的设计要做到网络冗余，网络的冗余会牺牲一部分设备的正常转发数据报文，所以在提高网络冗余的同时实现负载分担可以保证网络稳定性的同时提高网络设备的高可用性，对于那些核心设备，采用性能较高、转发速率较快的高端设备，虽然价格昂贵，对于资源有限的集团可以选择核心网络设备采用双引擎，双电源的冗余，即使一个引擎或者一个电源出现故障，不会影响核心设备的正常转发数据流量，保证集团正常办公。 集团内网核心区、接入区整体设计拓扑如图 34 所示： 8 图 34 集团核心区、接入区设计结构 集团内网区域的设计一般可以划分为二层结构和 三层网络结构。 二层网络结构和三层网络结构的主要区别： 二层网络结构适合比较小型的网络环境，即接入层、核心层，接入层一端连接PC，另一端上联到核心层，将网关设置在核心层上。 三层网络结构适合大型网络环境，比如校园网、园区外、大型集团等网络节点数较多的网络环境，三层结构即接入层、汇聚层、核心层。 接入层只做为接入终端即 PC，上联到汇聚层，将网关和策略配置在汇聚层上，核心层多数由高性能的网络设备组成，能够实现快速的数据包转发，因此核心层主要用来转发数据。 根据集团的现状，和考虑到将来集团的扩展，这里采用三 层的网络结构来设计，即接入层、汇聚层、核心层。 核心层主要用来下连集团网络汇聚层、上联边界区域防火墙，核心层设备要具有较高的性能，包转发速率要快，不然会出现单一瓶颈，造成网络拥塞。 核心层可以使用双核心和单核心结构，考虑到集团为中小型集团络，建网成本有限，这里采用单核心网络拓扑结构，但是单核心网络拓扑结构有很大的风险，一旦此设备出现故障，将会导致全网不能访问互联网，影响较大，所以这里要在单核心上班上提供自身模块的冗余，采用双引擎双电源的备份冗余模式，即使主引擎出现故障备引擎此时会瞬间成为主引擎，正常转发数据， 采用双电源的备份，即使一个电源模块出现故障，不会影响到整体网络，这样既可节约建网成本，还能起到冗余备份，保证核心网络的安全。 汇聚层作为承上启下的中间层次设备，对集团的影响也是非常大的，因为一个汇聚层下连很多接入层设备，即汇聚层主要汇聚各个部门的数据流量，一旦汇聚层出现故障， 9 将会影响下连的几个办公部门，虽然不至于全网崩溃，不过产生的影响也是不可弥补的，所以汇聚层的合理设计将会起着关键性的作用，该企业内网将采用双汇聚互联，使用生成树技术实现汇聚层设备的主备和负载分担。 双设备互联网络结构使用至少两台以上的网络 设备才能称为双汇聚网络结构，双设备网络互联正是为了解决单设备存在的问题而设计的网络结构，即汇聚层设备之间使用双线互联，增加网络的冗余，避免单链路中断导致网络流量不能负载分担，还可以将汇聚层设备之间互联的两条链路使用链路捆绑技术 LACP 将两条物理链路捆绑成为一条逻辑链路，不仅可以实现链路冗余还能增加链路带宽。 双设备互联结构的主要优缺点： 双设备互联使用增加设备启到冗余的作用来解决单设备的网络隐患，但是同时网络成本和网络维护难度也将随之增加，不过相对于网络安全性能来说这些将显得微不足道。 双设备互联网络结构还 能起到负载分担的作用。 当网络高峰期上网流量特别大的时候，汇聚层网络设备通过双线连接到接入层，可以很好的实现流量负载分担，即一部分数据流量由设备 1 转发，另一部分数据流量由设备 2 转发，避免了网络拥塞的同时增强了网络的安全性，解决了单一节点故障，即使其中一台设备出现故障，另外一台也能正常转发数据。 接入层位于连接到网络的最终用户处。 接入层交换机通常在用户之间提供第 2 层（ VLAN）连接性。 必须具备下述功能： 低交换机端口成本； 高端口密度； 连接到高层的可扩展上行链路； 用户接入功能，如 VLAN 成员资格、数据流和端 口安全以及上网认证。 使用多条上行链路提供弹性。 接入层网络设备主要是连接办公 PC、打印机等终端设备，作为网络层最底层的网络设备，直接连接办公主机，可以再最底层直接多终端设备进行安全控制，采用端口安全控制、广播风暴控制，可以很好的避免一部门非法主机的连接和广播流量泛红，启用快速生成树还能对底层网络进行优化。 集团 ip 地址规划 网络规划和设计结合 VLAN 技术，及每个部门属于不同的 VLAN，用来隔离广播风暴和局域网的安全，如果不同 VLAN 间要实现通信可以采取三层交换的转发功能。 为了提高网络的可扩展性，这。