网络设计方案实例

网络设计方案实例内容摘要：

司规模的扩大 2）分公司的建立 3）出口带宽的增加 4）信息点的增加（已预留了 53 个信息点） 局域网设计方案 — 1 12 第 3 章 网络结构改进方案 逻辑网络设计 根据对该公司的实际需求分析及对网络系统集成专业知识的调研后，为 其设计的网络方案拓扑图如 图 31： 图 31 公司网络设计拓扑 注： 该方案的设计思路是层次化，模块化，安全性和冗余。 层次化：在拓扑可以看出，该方案设计模型分为 3个层次（核心层，汇聚层和接入层），每一层都有特定的功能。 核心层 ： 由两台核心交换机及中心机房组成，并考虑冗余设计。 汇聚层 ： 由三台 3层交换机组成，分别放置在 3幢大楼中，负责汇聚 3幢楼中所有的接入层交换机。 局域网设计方案 — 1 13 接入层 ： 由连接用户的 2层交换机或者无线接入点（ AP）组成，在该拓扑中，设计为连接到公司的不同部门。 冗余：为保证网络的可用性，要有适当 的冗余。 在公司关键的网络节点设计了冗余，如核心层的交换机和服务器。 同时，在路由器连接到外网的链路上，也设计了冗余，包含两条链路（ ISDN 和光纤）。 模块化：根据该拓扑的 3个层次，每个层中都有不同的模块，如核心层中的服务器群模块。 安全性：中心机房内配有 AntiVirus 服务器端 +ISA2020，起到内网防火墙作用；公司内网连接外网的出口处，设置防火墙，保障公司全网安全。 两道防火墙（“硬件外部防火墙”和“软件内部防火墙”之间的建立区域，以更好的保护内部网络的资源免于受到外部网络攻击）。 三层结构分 析 核心层的任务是高速传输、冗余能力及可靠性。 核心层一般都是由高端的路由器或第三层交换机实现。 本方案中核心层选用了两台 CISCO 的核心路由交换机 WSC4948S，两者通过光纤聚合链路，并放在将中心 机房 内，位于 2号楼 1楼。 中心机房中还包括 1 台路由器， 1 台防火墙， 2台核心交换机， 1台汇聚层交换机 4台接入层交换机， 5台应用服务器及 2 台部门应用服务器（人事部，财务部），这些设备分别放置在三个机柜中。 中心机房的 5台服务器分别与两台核心路由交换机通过多模光纤连接；汇聚层交换机也通过单模光纤连接到两台核心路由交换 机；防火墙通过单模光纤分别连接到两台核心路由交换机。 真正实现了链路 冗余 和核心设备的冗余，从而保证了公司网络的健壮性和自愈性。 汇聚层是网络核心层与接入层之间的分界点，主要任务是提供与流量控制，安全及路由相关的策略。 从物理上看，汇聚层交换机属于楼层交换机，或者说是楼层的核心交换机。 从逻辑上看，它可以是应用系统的汇聚，汇聚层可以通过两条上行线路连接到核心层，以保证线路的冗余。 在该方案中， 汇聚 层采用 3台三层交换机，型号为 CISCO 的 WSC3750G12SE，局域网设计方案 — 1 14 分别位于 3 幢楼的 1层楼中。 接入层为用户提供在本 地网络访问互联网络的能力，它是最终用户的网络接入点。 接入层通过接入交换机的上行端口连接到汇聚层，一般通过 2 层交换机实现。 在该方案中，公司各个部门的网络属于接入层，共选用了 10 台接入层交换机，型号为 CISCO WSC296048TCL。 在财务部，配一台小型文件服务器，独立管理财务数据和资料。 人事部中，配 EHR（电子化 人力资源 管理系统）服务器，统一管理人事部门的数据。 该层中的 2 层交换机与 PC 间的连接采用百兆双绞线。 接入层的生产车间由于特殊的工作要求，需要配备无线网络。 因此，在接入层交换机下连接几个 AP（ 无线接入 点） Cisco Airo 1200，覆盖整个生产车间。 外连接入层作为公司内网和外网的连接点，选用 Cisco 的防火墙 CISCO PIX252RBUN， 路由器选用 Cisco 2821，通过两条线路（光纤和 ISDN）连接到INTERNET，其中 ISDN 仅用做备份 链路。 Cisco 2821 支持 VPN 功能，奉贤分部对嘉定总公司的访问通过 VPN 来实现。 无线网络覆盖 连接方式 本次部署无线网络全部在室内进行，在已有局域网的基础上再安装无线局域网，在本方案中，将部门所需的 AP 点直接连在对应的接入层交换机上。 信息点分布 依据公司对无线网络的需求，为公司会议室配置 2个无线接入点，制造部配置 9个无线接入点，物流部和质量部各配 1个无线接入点，共计 13 个 AP 点。 其中，2个点位于 1号楼 1楼，其余的点都位于 3号楼 1楼。 将这些接入点连接到大楼管理配线间接入层的交换机上，使之接入公司网络，并划分在同一个 VLAN 内。 网络拓扑 为该公司设计的无线网络拓扑如 图 32： 局域网设计方案 — 1 15 图 32 公司无线网络拓扑 设备选型 在设备方面采用 Cisco 的 Airo 1200 系列。 Cisco Airo 1200 系列的模块化设计可以在 和 5GHz 这两个无须申请许可的频段使用单频和双频操作，并可以进行现场升级，以便在用户需求发生变化或者行业进一步发展时更改这些配置。 目前， Cisco Airo 1200 系列的标准版本可以通过一个 无线收发模块支持 WiFi 客户端。 Cisco Airo 1200 系列 AP还为一个 无线收发模块准备了一个专门的插槽。 客户可以作为出厂安装选件购买这两种无线收发模块，也可以单独购买这些模块进行现场安 装。 这些无线收发模块还可以通过升级为将来的技术提供支持，例如。 覆盖范围及信号强弱 以制造部的 AP 点为例，其分布方式如 图 33： 局域网设计方案 — 1 16 图 33 无线信号覆盖范围 AP的部署采用如上图方式，将 AP 放置于房间的墙面周围，保证整个房间的区域都能接收到无线信号。 AP 点中心信号最强，边缘处较弱。 局域网设计方案 — 1 17 第 4 章 广域网接入方案 接入技术 鉴于公司中型企业的网络规模，终端设备很多，为了保证每台终端使用到一定的带宽，所以广域网接 入采用光纤接入的方式。 外连接入层作为公司内网和外网的连接点，选用 Cisco 的防火墙 CISCO PIX252RBUN， 路由器选用 Cisco 2821，通过两条线路（ 2M 光纤和 ISDN）连接到 INTERNET，其中 ISDN 仅用做备份 链路。 Cisco 2821 支持 VPN 功能，奉贤分部对嘉定总公司的访问通过 VPN 来实现。 图 41 广域网接入方案 光纤直接接入方式 ， 是为有独享光纤高速上网需求的大企事业单位或集团用户提供的，传输带宽 2M155M 不等。 业务特点：可根据用户群体对不同速率的需求，实现高速 上网或企业局域网间的高速互联。 同时由于光纤接入方式的上传和下传都有很高的带宽，尤其适合开展远程教学、远程医疗、视频会议等对外信息发布量较大的网上应用。 适合的用户群体：居住在已经或便于进行综合布线的住宅、小区和写字楼的较集中的用户；有独享光纤需求的大企事业单位或集团用户。 ISDN（ Integrated Service Digital Network），即综合业务数字网。 它利用公众电话网向用户提供了端对端的数字信道连接，用来承载包括话音和非话音在内的各种电信业务。 ISDN 是基于公共电话网的全数字网络，利用 普通的电话线，可开展各种业务，例如大电话、发传真、上网、局域网互联、开会议电视、专线备份等。 虽然 ISDN 的速度不快，但价格便宜，作为公司外网连接路由器的备份链路，比较合适。 局域网设计方案 — 1 18 ISP供应商 选择上海电信作为 ISP 供应商，具体资费如 图 42： 图 42 上海电信宽带资费 根据该公司对带宽的实际需求，决定选用 2M 光纤接入。 局域网设计方案 — 1 19 第 5 章 VLAN 设计与 IP 地址规划 划分 VLAN的重要性 在现有的网络中，所有部门在网络上都是相通的。 同时，缺乏管理的公司网络，很容易造成广播风暴。 处在同一台接入层 交换机下的计算机，由于没有划分 VLAN，都处在一个广播域下，所有信息全部暴露在所有终端端口，容易造成数据被拦截，监听，截取。 所以在改造方案中，必须为公司内部划分 VLAN，更好的管理公司网络。 VLAN 的划分有很多种，常用的划分方法是将端口和 IP 地址结合来划分 VLAN，某几个端口为一个 VLAN，并为该 VLAN 配置 IP地址，那么该 VLAN 中的计算机就以这个地址为网关，其它 VLAN 则不能与该 VLAN 处于同一子网。 在该方案设计中，采用的就是这种方法。 划分方案 该 公 司从 ISP 供应 商那 里申 请到 两个 IP 地址 ， ，即。 内网子网划分用保留的C类私有 IP 地址， ，结果如表 51 所示： 表 51 VLAN 划分 与 IP 地址规划 表 VLAN 部门 办公室 使用点数 合计 IP 子网 网关 VLAN20 管理 VLAN(管理所有设备 ) 20 20 VLAN30 中心机房（服务器群） 10 10 VLAN2 会议室 1101 12 48 1204 5 1205 5 3203 8 2102 2 2103 2 2203 5 2204 5 2212 4 局域网设计方案 — 1 20 VLAN3 IT部 2201 8 8 总经办 2206 2 8 2207 2 2208 2 2209 2 VLAN4 测试部 1102 5 52 1103 5 1104 15 1201 20 3103 7 VLAN5 工程部 2211 40 48 2212 8 VLAN6 物流部 3201 30 33 仓库 3 VLAN7 销售部 2202 12 12 VLAN8 财务部 2203 16 16 VLAN9 采购部 2101 25 25 VLAN10 人事部 2104 18 18 VLAN11 质量部 1202 20 78 1203 20 3102 5 3202 30 仓库 3 VLAN12 制造部 3101 5 54 3104 15 3105 15 3106 9 3204 10 总计 430 说明：由于选用的是思科设备，所以 第一个端口写法为 f0/0（和 RUIJIE 设备的第一个端口为 f0/1 写法不同）。 由于设备型号全名过长，在配置时统一将设备名写为“ SWMN”的形式， SW 代表交换机， M代表工作在第几层， N代表第几台设备。 如 SW11 表示核心层的第 1 台交换机。 对应表见表 52： 表 52 设备命名对应表 设备类型 设备型号 设备命名 路由器 C2821 R1 防火墙 PIX525RBUN Fw1 局域网设计方案 — 1 21 核心层交换机 C49481 SW11 C49482 SW12 汇聚层交换机 C37501 SW21 C37502 SW22 C37503 SW23 接入层交换机 C29601 SW31 C29602 SW32 C29603 SW33 C29604 SW34 C29605 SW35 C29606 SW36 C29607 SW37 C29608 SW38 C29609 SW39 C296010 SW310 具体 VLAN 划分如图 51所示： 图 51 VLAN 划分图 局域网设计方案 — 1 22 其中，各部门 的 PC 在各幢楼中的具体分布如表 53， 54， 55 所示： 表 53 1 号楼信息点与部门分布 楼名 部门 PC 数 1 号楼 质量部 40 测试部 45 会议室 22 表 54 2 号楼信息点与部门分布 楼名 部门 PC 数 2 号楼 IT 部 +总经办 16 采购部 25 销售部 12 财务部 16 人事部 18 工程部 48 会议室 18 表 55 3 号楼信息点与部门分布 楼名 部门 PC 数 3 号楼 物流部 33 制造部 54 测试部 7 质量部 38 会议室 8 各设备端口连线表如 图 52至 516所示 ： 图 52 SW11 连线图 局域网设计方案 — 1 23 图 53 SW12 连线图 图 54 SW21 连线图。