小型企业网组网方案-拓扑规划及设备选型(最终方案)

小型企业网组网方案-拓扑规划及设备选型(最终方案)内容摘要：

的网络，为了进一步减少路由协议通信流量，利于管理和计算。 OSPF 将整个 AS 划分为若干个区域，区域内的路由器维护一个相同的链路状态数据库，保存该区域的拓扑结构。 OSPF 路由器相互间交换信息，但交换的信息不是路由，而是链路状态。 OSPF 定义了 5 种分组： Hello 分组用于建立和维护连接；数据库描述分组初始化路由器的网络拓扑数据库；当发现数据库中的某部分信息已经过时后，路由器发送链路状态请求分组，请求邻站提供更新信息；路由器使用链路状态更新分组来主动扩散自己的链路状态数据库或对链路状态请求分组进行响应；由于 OSPF 直接运行在 IP 层，协议本身要提供确认机制，链路状态应答分组 是对链路状态更新分组进行确认。 相对于其它协议， OSPF 有许多优点。 OSPF 支持各种不同鉴别机制（如简单口令验证， MD5 加密验证等），并且允许各个系统或区域采用互不相同的鉴别机制；提供负载均衡功能，如果计算出到某个目的站有若干条费用相同的路由， OSPF 路由器会把通信流量均匀地分配给这几条路由，沿这几条路由把该分组发送出去；在一个自治系统内可划分出 《小型企业网组网方案 — 拓扑规划及设备选型》 第 ９ 页 共 23 页 若干个区域，每个区域根据自己的拓扑结构计算最短路径，这减少了 OSPF 路由实现的工作量； OSPF 属动态的自适应协议，对于网络的拓扑结构变化可以迅速地做出反 应，进行相应调整，提供短的收敛期，使路由表尽快稳定化，并且与其它路由协议相比， OSPF 在对网络拓扑变化的处理过程中仅需要最少的通信流量； OSPF 提供点到多点接口，支持CIDR（无类型域间路由）地址。 因为是小型企业 ,考虑后续的发展 ,公司现有网络规划为 area0，内部网络设备都规划为area0。 后期若有分支机构各区域接入路由器根据区域不同使用动态协议，或者使用静态路由与动态路由结合的方式。 （五）防火墙 防火墙只目前应用最广、最具代表性的网络安全技术，它分为硬件防火墙和软件防火墙。 硬件防火墙是把软件嵌入到硬 件中，由硬件执行这些功能，这样就减少了 CPU 的负担，使路由更稳定。 软件防火墙一般只据有过滤包的作用，而硬件防火墙的功能则要强大的多，它还包括 CF（内容过滤）、 IDS（ 入侵侦测）、 IPS（入侵防护）以及 VPN 等功能。 硬件防火墙一般使用经过内核编译后的 Linux，凭借 Linux 本身的高可靠性和稳定性保证了防火墙整体的稳定性。 防火墙主要由服务访问政策、验证工具、包过滤和应用网关四部分组成。 我们在核心层路由器与 Inter 之间配置一台硬件防火墙，这样，所有进出网络的数据都要通过防火墙，而该防火墙应具有以下的功能 ： （ 1）包过滤： 控制流出和流入的网络数据，可基于源地址、源端口、目的地址、目的端口、协议和时间，根据地址簿进行设置规则。 （ 2）地址转换： 将内部网络或外部网络的 IP 地址转换，可分为源地址转换 Source NAT(SNAT)和目的地址转换 Destination NAT(DNAT)。 SNAT 用于对内部网络地址进行转换，对外部网络隐藏起内部网络的结构，避免受到来自外部其他网络的非授权访问或恶意攻击。 并将有限的 IP地址动态或静态的与内部 IP 地址对应起来，用来缓解地址空间的短缺问题，节省资源，降低成本。 DNAT 主要用于外网主机访问内网主机。 （ 3）认证和应用代理： 认证指防火墙对访问网络者合法身分的确定。 代理指防火墙内置用户认证数据库。 提供 HTTP、 FTP 和 SMTP 代理功能，并可对这三种协议进行访问控制。 同时支持 URL 过 《小型企业网组网方案 — 拓扑规划及设备选型》 第 １０ 页 共 23 页 滤功能，防止员工在上班时间访问某些网站，影响工作效率。 （ 4）透明和路由： 将网关隐藏在公共系统之后使其免遭直接攻击。 隐蔽智能网关提供了对互联网服务进行几乎透明的访问，同时阻止了外部未授权访问者对专用网络的非法访问。 防火墙还支持路由方式，提供静态路由功能，支持内部多个子网之间的安全访问。 （ 5）入侵检测 : 能够提供内部网到内部网和远程接入到内部网两种安全保护，可以防御互联网中的病毒、间谍软件的攻击，并可阻止垃圾邮件和非法连接 （ 因为软件限制 ,本论文中未在拓扑图中使用防火墙 ,但考虑企业网络安全性 ,我们在拓扑中使用了访问控制技术 )。 确定整个网络拓扑的结构及各层的功能后，按照以上要求 ， 在 GNS3 设计出的网络总体拓扑如图 所示： 图 网络总体拓扑图 《小型企业网组网方案 — 拓扑规划及设备选型》 第 １１ 页 共 23 页 5 设备选型 按照第 4 节的拓扑设计及规划，本节给出了网络各部分的重要设备选择，在附录中介绍了参与选择设备的具体参数。 核心 层设备选择 推荐使用两台 Cisco Catalyst 4506E 交换机完成此项功能。 Cisco4506 交换机高性能、高可靠性、高可用性是我们主要考虑的因素。 本区的安全性可以由边界防火墙提供，如果有需要，还可以在 4506 上面部署安全策略，使得核心交换区的安全性进一步地增强。 Cisco Catalyst 4500 系列凭借众多智能服务将控制扩展到网络边缘，其中包括先进的服务质量 (QoS)、可预测性能、高级安全性和全面的管理。 它提供带集成永续性的出色控制，将永续性集成到硬件和软件中，缩短了网络停运时 间。 Cisco Catalyst 4500 系列的模块化架构、介质灵活性和可扩展性减少了重复运营开支，提高了投资回报（ ROI），从而在延长部署寿命的同时降低了拥有成本。 方案中 Catalyst 4506 交换机配置了一块 WSX4515 引擎 (Supervisor IV),Catalyst 4500 Supervisor IV 引擎用于 Cisco Catalyst 4506 交换机机箱，是一款 64Gbps、 4800 万分组 /秒 (48mpps)的第二到四层交换引擎，直接在管理引擎面板上配备了 2 个线速 GBIC 端口。 当部署了 Catalyst 4500 系列 Supervisor IV 时，这些附加端口可将 Catalyst4506 的最大密度扩展到 240 个端口。 添加了这款新管理引擎后， Catalyst 4506 可为中型企业提供价格合理、易于使用的可扩展性、创新安全性、集成可靠性和灵活性。 汇聚层设备选择 推荐采用两台 Cisco WSC3750G12SE 作为汇聚交换机。 两台 CiscoWSC3750G12S E 做双机热备，采用 Cisco 专有热备份协议技术（ HSRP） ，根据需求配置成多组 HSRP。 Cisco Catalyst 3750 系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。 这个新的产品系列采用了最新的思 StackWise 技术，不但实现高达 32Gbps 的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统 《小型企业网组网方案 — 拓扑规划及设备选型》 第 １２ 页 共 23 页 就好像是一整台交换机一样。 这代表了堆叠式交换机新的工业技术水平和标准。 对于中 小 型企业网络来说， Cisco Catalyst 3750 系列通过提供配置灵活性 、支持融合网络模式及自动进行智能网络服务配置，简化了融合应用的部署，并可针对不断变化的业务需求进行调整。 此外 ， Cisco Catalyst 3750 系列针对高密度千兆位以太网部署进行了优化，包括多种交换机，以满足接入、汇聚或小型网络骨干连接需求。 Cisco Catalyst 3750G12S 提供 12 个千兆位以太网 SFP 端口用于连接数据中心和办公楼的接入层交换机和中心核心机房的 Catalyst 4506 交换机。 GEC 或 FEC（ Gigabit Ether Channel/Fast Ether Channel） 称为 Cisco 交换机带宽聚合技术，它用于千兆或百兆以太网端口。 在两台 Cisco 交换机互连时，利用 GEC/FEC 技。