┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 装 ┊ ┊ ┊ ┊ ┊ 订 ┊ ┊ ┊ ┊ ┊ 线 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊
安徽工业大学 毕业设计(论文)说明书
第二章 需求分析
本章结合企业背景,应用需求,安全设计原则对网络进行详细的需求分析
2.1企业背景
该企业是一家生产研发型企业,主楼是一座四层办公大楼,办公大楼后方是一栋较大的生产车间。整个办公楼有信息点大概100个,企业中心机房设在办公大楼三楼中间。
2.2应用需求
2.2.1 带宽性能需求
现代大型企业网络应具有更高的带宽,更强大的性能,以满足用户日益增长的通信需求。随着计算机技术的高速发展,基于网络的各种应用日益增多,今天的企业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化,Web浏览等简单的数据业务,还要承载涉及企业生产运营的各种业务应用系统数据,以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务。因此,数据流量将大大增加,尤其是对核心网络的数据交换能力提出了前所未有的要求。另外,随着千兆位端口成本的持续下降,千兆位到桌面的应用会在不久的将来成为企业网的主流。从2004年全球交换机市场分析可以看到,增长最迅速的就是10Gbps级别机箱式交换机,可见,万兆位的大规模应用已经真正开始。所以,今天的企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网的标准,核心层及骨干层必须具有万兆位级带宽和处理性能,才能构筑一个畅通无阻的\高品质\大型企业网,从而适应网络规模扩大,业务量日益增长的需要。
2.2.2稳定可靠需求
现代大型企业的网络应具有更全面的可靠性设计,以实现网络通信的实时畅通,保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来,网络通信的无中断运行已经成为保证企业正常生产运营的关键。现代大型企业网络在可靠性设计方面主要应从以下3个方面考虑。
设备的可靠性设计:不仅要考察网络设备是否实现了关键部件的冗余备份,还要从网络设备整体设计架构、处理引擎种类等多方面去考察。
业务的可靠性设计:网络设备在故障倒换过程中,是否对业务的正常运行有影响。
第2页 共49页
┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 装 ┊ ┊ ┊ ┊ ┊ 订 ┊ ┊ ┊ ┊ ┊ 线 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊
安徽工业大学 毕业设计(论文)说明书
链路的可靠性设计:以太网的链路安全来自于多路径选择,所以在企业网络建设时,要考虑网络设备是否能够提供有效的链路自愈手段,以及快速重路由协议的支持。
2.2.3服务质量需求
现代大型企业网络需要提供完善的端到端QoS保障,以满足企业网多业务承载的需求。大型企业网络承载的业务不断增多,单纯的提高带宽并不能够有效地保障数据交换的畅通无阻,所以今天的大型企业网络建设必须要考虑到网络应能够智能识别应用事件的紧急和重要程度,如视频、音频、数据流(MIS、ERP、OA、备份数据)。同时能够调度网络中的资源,保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送,实现对业务的合理调度才是一个大型企业网络提供\高品质\服务的保障。
2.2.4网络安全需求
现代大型企业网络应提供更完善的网络安全解决方案,以阻击病毒和黑客的攻击,减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件,以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御,但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,这样才能有效地保证企业网络的稳定运行。
2.2.5应用服务需求
现代大型企业网络应具备更智能的网络管理解决方案,以适应网络规模日益扩大,维护工作更加复杂的需要。当前的网络已经发展成为\以应用为中心\的信息基础平台,网络管理能力的要求已经上升到了业务层次,传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如,网络调试期间最消耗人力与物力的线缆故障定位工作,网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作,由于受网络设备功能本身的限制,都还属于费时、费力的任务。所以现代的大型企业网络迫切需要网络设备具备支撑\以应用为中心\的智能网络运营维护的能力,并能够有一套智能化的管理软件,将网络管理人员从繁重的工作中解脱出来。
2.3网络安全系统设计原则
虽然任何人都不可能设计出绝对安全和保密的网络信息系统,但是,如果在设计之初就遵从一些合理的原则,那么相应的网络系统的安全和保密就会更加有
第3页 共49页
┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 装 ┊ ┊ ┊ ┊ ┊ 订 ┊ ┊ ┊ ┊ ┊ 线 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊
安徽工业大学 毕业设计(论文)说明书
保障。如果设计时考虑不全面,消极地将安全和保密措施寄托在事后“打补丁”的思路是非常危险的。从工程技术角度,应遵循的原则如图2.1所示。
图2.1 网络安全设计原则
木桶原则:对信息均衡、全面地进行保护。 整体性原则:进行安全防护、监测和应急恢复。
实用性原则:不影响系统的正常运行和合法用户的操作。 等级性原则:区分安全层次和安全级别。 动态化原则:安全需要不断更新。
设计为本原则:安全设计与网络设计同步进行。
第4页 共49页
┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 装 ┊ ┊ ┊ ┊ ┊ 订 ┊ ┊ ┊ ┊ ┊ 线 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊
安徽工业大学 毕业设计(论文)说明书
第三章 网络技术与拓扑结构
本章结合企业的需求分析,对企业的网络架构进行搭建,并对该企业架构所用到的技术进行分析,以及对拓扑结构的设计进行分析。
3.1网络设计原则
实用性和经济性:系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则,建设企业的网络系统。
先进性和成熟性:系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内企业网络仍占领先地位。
可靠性和稳定性:在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。
安全性和保密性:在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制。
可扩展性和易维护性:为了适应系统变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护,采用可网管产品,降低了人力资源的费用,提高网络的易用性。
3.2网络技术选择
网路技术的选择对影响网络性能,网络的维护,网络的安全指数有着重大的联系,因此对网络技术的选择必须高度重视。
3.2.1快速以太网
以太网(Ethernet)是一种计算机局域网组网技术。IEEE制定的IEEE 802.3标准给出了以太网的技术标准。它规定了包括物理层的连线、电信号和介质访问层协议的内容。以太网是当前应用最普遍的局域网技术。它很大程度上取代了其他局域网标准,如令牌环网(token ring)、FDDI和ARCNET。以太网的标准拓扑结构为总线型拓扑,但目前的快速以太网(100BASE-T、1000BASE-T标准)为了最大程度的减少冲突,最大程度的提高网络速度和使用效率,使用交换机(Switch hub)来进行网络连接和组织,这样,以太网的拓扑结构就成了星型,但在逻辑上,以太网仍然使用总线型拓扑和CSMA/CD(Carrier Sense Multiple Access/Collision Detect 即带冲突检测的载波监听多路访问)的总线争用技术。
第5页 共49页
┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 装 ┊ ┊ ┊ ┊ ┊ 订 ┊ ┊ ┊ ┊ ┊ 线 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊
安徽工业大学 毕业设计(论文)说明书
快速以太网是世界上应用最广泛的组网技术,其强大的灵活性,简便性,传输介质的多样性,拓扑结构的灵活性,符合中小企业的设计要求
以太网基于网络上无线电系统多个节点发送信息的想法实现,每个节点必须取得电缆或者信道的才能传送信息,有时也叫做以太(Ether)。(这个名字来源于19世纪的物理学家假设的电磁辐射媒体-光以太。后来的研究证明光以太不存在。) 每一个节点有全球唯一的48位地址也就是制造商分配给网卡的MAC地址,以保证以太网上所有系统能互相鉴别。由于以太网十分普遍,许多制造商把以太网卡直接集成进计算机主板。
3.2.2 VLAN
为实现交换机以太网路的广播隔离,一种理想的解决方案就是采用虚拟局域网技术。这种对连接到第2层交换机端口的网络使用者的逻辑分段技术实现非常灵活,它可以不受使用者物理位置限制,根据使用者需求进行VLAN划分;可在一个交换机上实现,也可跨交换机实现;可以根据网络使用者的位置、作用、部门或根据使用的应用程序、上层协议或者以太网路连接硬件地址来进行划分。
一个VLAN相当于OSI模型第2层的广播域,它能将广播控制在一个VLAN内部。而不同 VLAN 之间或 VLAN 与 LAN / WAN 的数据通讯必须通过第3层(网络层)完成。否则,即便是同一交换机上的连接,假如它们不处于同一个VLAN,正常情况下也无法进行数据通讯 为了解决资讯安全议题,1995年IEEE 802委员会发表了 802.1Q VLAN 技术的实作标准与讯框结构,希望能透过设定逻辑位址(TPID、TCI),对实体局域网区隔成独立虚拟网段,以规范封包广播时的最大范围。
如下图,VLAN解决了物理位置的限制
图3.1 VLAN示意图
VLAN的标准有两种,Cisco公司的ISL,以及IEEE 802.1Q 由于后者是国际化标准,而且其传输效率更高,所以更适合网络需求。
第6页 共49页