1、 毕业实践论文中小型企业网络升级改造项目实施方案姓 名 班 级 导 师 专 业 年 月 日目录摘要. 3第一章 概述31.可靠性和自愈能力32.拥塞控制与服务质量保障43.网络的扩展能力5第二章 改造后网络拓扑结构图5第三章 实施方案63.1报社本部核心局域网实施方案63.2 报社本部访问层实施方法113.3 报社本部访问层无线接入方案123.4 印务二级中心局域网方案153.5 广告二级中心局域网方案17第四章 网络管理规划19第五章 络设备命名规范205.1设备安装地点代码编排205.2设备命名规则20第六章 总结22摘要 随着计算机网络通讯的飞速发展和应用的不断普及,充分利用各种信息正成
2、为一种世界性行为,尽早尽快地建设企业网络好处将是显著的和长远的。然而,如何管理和建设以及如何用好企业网络成为网络建设的关键。在原有的网络基础上对企业网络做出最合理的整改已成为大多数企业所要面对的问题。本文着重论述了中小型企业网络升级改造过程中所要面对的问题,网络改造所要达到的要求以及网络改造的设计方案和实施方案。 关键词:企业 网络升级 实施方案第一章 概述 网络发展日新月异,原有的设备配置已经满足不了现有企业的日常业务的需要。网络升级迫在眉睫。在原有的网络基础上如何对网络进行改造从满足企业日常业务需求成为很多企业所要面对的问题。面对现有网络存在的各种问题,建设一个具有可靠性和自愈能力以及扩展
3、能力的是每一个企业所要求的。XX日报报业集团整体网络实施将采用三层结构与二层结构相结合的方式进行,保证数据的负载均衡,提高网络结构的合理性,尽可能减小网络通信时延。整个网络设置核心节点,核心节点位于技术处网络中心,它是整个网络的核心,其主要功能是可靠、快捷地进行大量数据的传输。网络设备既做到双机热备份,又同时进行负载均衡。二级中心节点主要功能是为各个二级局域网接入节点提供高速、可靠的接入,同时它还能对系统的资源进行访问控制,确定数据传输的最优路径。二级中心的中心交换机采用三层交换机,并配置了足够的千兆接口,提供高速可靠的接入能力。核心层采用两台高性能S9512核心交换机做双机热备,两台交换机之
4、间通过千兆光纤连接,二者互为备份,提供具有冗余性网络核心。二级中心分别采用2台S7506交换机,分别通过千兆冗余链路和百兆冗余连接到核心层的两台S9512核心交换机;各中心接入层交换机通过千兆链路分别连接到各自二级中心交换机。三级中心使用S5600交换机。在集团中心的新闻中心部署一台S5600交换机,通过千兆冗余链路连接到核心两台S9500交换机;在印务中心大洋网部署两台S5600交换机,通过千兆冗余链路连接到二级中心S7500交换机。接入层交换机通过百兆冗余链路分别连接到各自的三级中心交换机.接入层根据需要采用S5100交换机。网络项目实施后必须满足和实现如下目的:1.可靠性和自愈能力包括链
5、路冗余、模块冗余、设备冗余、路由冗余等要求。链路冗余 在主干连接(主干设备之间及其与汇接设备之间的连接)具备可靠的线路冗余方式。建议采用负载均衡的冗余方式,即通常情况下两条连接均提供数据传输,并互为备份。主线路切换到备份线路的时间应小于50ms,以充分体现采用光纤技术的优越性。这种高速的网络自愈特性应可以保证不会引起IP路由的重新计算,不会引起业务的瞬间质量恶化,更不会引起业务的中断。模块冗余 主干设备(核心层设备和汇聚层设备)的核心模块和环境部件应具备1+1或1:N热备份的功能,切换时间小于2秒,所有模块具备热插拔的功能,系统具备99.999%以上的可用性。设备冗余 提供由两台或两台以上设备
6、组成一个虚拟设备的能力。当其中一个设备因故障停止工作时,另一台设备自动接替其工作,并且不引起其他节点的路由表重新计算,从而提高网络的稳定性。切换时间小于2秒,以保证大部分IP应用不会出现超时错误。路由冗余 网络的结构设计应提供足够的路由冗余功能,在上述冗余特性仍不能解决问题时,数据流应能寻找其他路径到达目的地址。在一个足够复杂的网络环境中,网络连接发生变化时,路由表的收敛时间应小于20秒。2拥塞控制与服务质量保障拥塞控制和服务质量保障(QoS)是衡量网络的重要品质。由于应用方式、数据性质的丰富多样,网络的数据流量突发是不可避免的,因此,网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。
7、业务分类 网络设备应支持68种业务分类(COS)。当用户终端不提供业务分类信息时,网络设备应根据用户所在网段、应用类型、流量大小等自动对业务进行分类。接入速率控制 接入本网络的业务应遵守其接入速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。队列机制 具有先进的队列机制进行拥塞控制,对不同等级的业务进行不同的处理,包括时延的不同和丢包率的不同。先期拥塞控制 当网络出现真正的拥塞时,瞬间大量的丢包会引起大量TCP数据同时重发,加剧网络拥塞的程度并引起网络的不稳定。网络设备应具备先进的技术,在网路出现拥塞前就自动采取适当的措施,进行先期拥塞控制,避免瞬间大量的丢包现象。资源预留对非常重要的特
8、殊应用,应可以采用保留带宽资源的方式保证其QoS。3网络的扩展能力网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展,以及网络规模的扩展能力。l 交换容量扩展 交换容量应具备在满足现有数据流量的基础上继续扩充4倍左右l 容量的能力,以适应IP类业务急速膨胀的现实。l 端口密度扩展 设备的端口密度应能满足网络扩容时设备间互联的需要。l 主干带宽扩展 主干带宽应具备48倍甚至更高的带宽扩展能力,以适应IP类业务急速膨胀的现实。l 网络规模扩展 网络体系、路由协议的规划和设备的CPU路由处理能力。第二章、改造后网络拓扑结构图本拓扑图包括XX日报报业集团中心局域网、印务二级中
9、心局域网、广告二级中心局域网等网络的规划和设计。整网结构可归纳为一个核心交换区和各个业务功能模块,业务功能模块包括有服务器区、Internet接入区块、下属各单位网络互联等。 服务器区 NOKIA防火墙 F5负载均衡 DMZ服务器 Internet接入区 楼层交换机 H3C S5100-48P集团本部接入核心交换区印务中心VLAN VPN 100M旭日大厦信息时报社九阳印厂广告中心H3C S7506R 运营商MPLS VPN20M100M10M内置防火墙模块 802.1X认证客户端 总体结构图100MH3C AR2831楼层交换机H3C S5100-48PH3C S9512 20M10M地铁报
10、H3C S5600 大洋网H3C S5600 新闻中心第三章、实施方案3.1报社本部核心局域网实施方案核心层主要考虑到网络高可用性、高性能、冗余的结构,提供网络高速的数据转发和出现故障时防止单点故障及快速的网络恢复,因此核心节点设备采用模块结构,容量和端口均具有够的扩展空间,同时部件支持热拔插,软件在线升级等功能。基于上述以上方面的考虑,核心交换区配备2台S9512核心路由交换机,组成双机互为负分担和冗余备份的核心节点。两台S9512之间采用双千兆链路互联,与服务器区、Internet区、集团办公接入和各单位网络之间采用高速链路互联。核心交换区与服务器之间的链路具有高度的冗余、备份;核心交换区
11、通过MSR路由器与广告中心、印刷中心、旭日大厦、信息时报社等网络互连,使用OSPF动态路由协议实现链路间自动备份和切换。Internet区采用静态路由方式与核心交换区互联,两台S9512之间运行VRRP协议,Nokia防火墙往内部网络的下一跳为虚拟网关,来实现系统的冗余备份。核心交换区还连接集团本部楼层交换机,楼层交换机通过光纤链路与S9512互联,之间的链路为二层链路,通过划分VLAN的方法实现各办公用户的管理,通过 802.1Q实现多VLAN的通信,通过MSTP生成树协议实现各VLAN业务在两条链路的负载分担和冗余备份,并可实现快速的链路切换,S9512之间通过VRRP协议为办公用户终端提
12、供虚拟的网关。切换结构示意图如下:核心交换机S9512-B 4GE 服务器区 楼层交换机H3C 5148P用户A VLAN2802.1QMSTP核心交换机S9512-A 用户BVLAN3MST MST Instance 3Vlan 7,9,12,13,14 MST Instance 2Vlan 2,3,4,5,6 Mst instance 3 root primaryMst Instance 2 root secondaryVRRP int vlan 7,9,12,13,14 masterVRRP int vlan 2,3,4,5,6 slave Mst instance 3 root sec
13、ondaryMst Instance 2 root primary VRRP int vlan 7,9,12,13,14 slaveVRRP int vlan 2,3,4,5,6 master图2核心交换机负载均衡图和数据流向图计划将VLAN2,3,4,5,6分配给采编业务。针对采编、印务两种业务,S9512-A做为VRRP组的master;针对广告和其它应用,S9512-B作为VRRP组的master。这样实现业务在两个核心交换机上的负载分担。MSTP保证链路冗余备份。 核心交换机S9512-2 4GE 服务器区 楼层交换机H3C S5100-48P用户A VLAN2802.1QMSTP核心
14、交换机S9512-1 用户BVLAN9MST MST Instance 3Vlan 7,9,12,13,14 MST Instance 2Vlan 2,3,4,5,6Mst instance 3 root primaryMst Instance 2 root primaryVRRP int vlan 7,9,12,13,14 masterVRRP int vlan 2,3,4,5,6 master 图3其中一台主交换机失效数据转发示意图局域网详细结构图如下所示: 图4集团核心局域网拓扑图 将整个核心局域网以楼层划分为A楼、B楼、C楼、D楼、E楼、F楼、G楼等部分。两台S9500安装在技术处机房
15、,设备间用4条1000M链路做聚合互连,聚合链路trunk所有VLAN。 A楼:二、三、四、五楼采编业务部门,三楼电脑车间各配置若干台(见上图所示)S5100交换机。将各楼层的S5100和两台S9500交换机串连起来构成一个回路,在环路上使用MSTP来消除环路、同时实现基于VLAN的负载分担。在S9500上对各个VLAN启用VRRP来防止网关单点故障,提高网络可靠性。VRRP+MSTP既实现了负载分担又实现了冗余备份;七楼专版1交换机通过双绞线做二层级连到五楼采编1交换机;发行公司通过Cisco3550交换单光纤链路上行到S9512-B交换机,发行公司会议室、文化报刊连锁店通过双绞线二层级联到
16、S3550交换机。所有VLAN三层终结在S9500交换机上;无线AP分别挂在二层、三层、五层的交换机上,无线控制器直连在S9500-A上,三层网关终结与S9500-A。B楼,出版社:使用原有的交换机,使用单光纤上连至S9500-A。VLAN网关在S9500-A上。C楼:与A楼互连拓扑类似,将S9500交换机、人事处、计财处、摄影部各交换机串接起来。启用VRRP+MSTP实现负载分担和链路备份。大洋房地产交换机通过双绞线挂在人事处交换机上做二层级联。D楼::配置两台S7506R,设备间用2条GE光纤链路做聚合互连。S7506R与S9500交换机之间通过OSPF路由协议实现三层互连、备份。广告制作
17、部、广告业务部机房各自的S5100交换机与S7506R交换机串接,启用VRRPMSTP实现负载分担和链路备份。广告部前台用户属于VLAN10,连在广告业务部机房的S5100交换机上。E楼:新闻中心9楼配置一台S5600交换机,使用OSPF路由协议做三层互连至S9500交换机。在广告客服部4台Cisco2960中选取一台做双光纤链路VRRP(VLAN15)上行(注意:不能在两台S7500交换机的互连接口上permit Vlan15,否则会产生环路),另外3台交换机与光纤上行交换机串接在一起。任何一台交换机故障后,直接将上行两条光纤切换到工作正常的交换机上即可,无需修改配置;舞台与荧屏S5100交
18、换机、求职广场、美食导报两个部门的Cisco2960交换机通过双绞线与S5600交换做二层级联,VLAN三层终结在S5600上;新闻中心22楼的Cisco2960交换机使用单光纤链路上连至S9500交换机,21楼交换机使用双绞线与22楼交换机级联,VLAN三层终结在S9500上。F楼:物业管理中心、记者协会配置一台S5100交换机,双光纤链路上连至S9500交换机,启用VRRP+MSTP。记者协会S5100交换机使用单光纤链路与物业管理中心S5100交换机做二层级联,大洋房地产2、战略策划部各部门的交换机通过双绞线(聚合)与记者协会S5100交换机做二层级联。所有VLAN三层终结在S9500上
19、。3.2 报社本部访问层实施方法集团本部办公用户的接入由配线间楼层交换机实现。设备型号采用华为3COM 的智能接入交换机S5100。集团办公楼层交换机直接上联核心交换区S9512核心设备,不设立汇聚层。楼层交换机采用双1000M光纤链路与核心交换区互联,之间采用802.1Q实现多VLAN的数据传输,通过MSTP快速生成树协议实现两条二层链路的负载分担和冗余备份。网络结构图参见下图: 核心交换机S9512-B 4GE 服务器区 其它楼层交换机H3C S5100-48P 核心交换机S9512-A 采编楼层交换机S5100 802.1QMSTP核心交换区服务器区集团办公接入集团办公接入楼层交换机与核
20、心交换区S9512层之间采用双链路连接,在数据链路层,采用生成树协议实现二层多链路的路径的维护和管理,保证二层拓扑的稳定性。防ARP攻击问题:集团中心局域网目前计划在新闻中心业务VLAN上启用DHCP服务,其它VLAN使用静态IP地址。DHCP服务器放在192.168.0.0/24网段。1:在新闻中心的S5100交换机上启用“DHCP Snooping及arp defend enable”,这样S5100自动将合法IP,MAC以及对应端口绑定,在VLAN11内阻止了ARP攻击。2:其它VLAN内因为不启用DHCP,所以无法在S5100上启用自动防ARP攻击。为了防止ARP攻击,同时避免大量的手
21、工绑定配置,在S9500交换机上启用ARP攻击监测。在ARP攻击出现的情况下,S9500交换机会在日志中记录攻击源MAC,并产生告警。随后我们可以通过逐级排查的方法找到攻击源并消灭攻击源。3.3 报社本部访问层无线接入方案在A楼第三层,部署无线局域网接入点AP2750,通过以太网口与有线网络连接.其连接模式如下:图6:无线连接示意图另外通过适当的部署,用户可以在无线接入点覆盖的范围内自由的实现漫游而不会端开与网络的连接。如下图所示:图7无线客户端漫游示意图无线接入主要部署于A楼第三层,根据A楼第三层的平面结构图,在此部署3个无线局域网接入点AP2750无线接入设备,3个无线接入设备覆盖范围重叠
22、,用户可以实现漫游而不会丢失与网络的连接。三个无线接入设备通过100M以太网连接与大楼局域网相连,提供对网络资源的访问。其布局和结构如下:图8 无线AP布局图A楼3层部署3个AP,使用3网段地址; 二楼部署一个AP,使用2网段地址 ;中南海部署一个AP,使用5网段地址;机务处部署一个AP,使用8网段地址。如图4所示,无线业务单独使用一个VLAN17,AP连在各楼层接入交换机上,无线控制器连在S9500-A上,VLAN17三层终结在S9500-A上。3.4 印务二级中心局域网方案印务中心网络内包括各制版部、发行部、彩印公司、大洋网等单位网络,由于业务系统的数据流量大,实时性要求高,且业务系统服务
23、器主要集在中集团本部数据中心,因此,与集团网络互联的链路压力较大。印务中心网络系统改善主要包括内部网络升级以及至集团本部的带宽扩容。网络规模将随着业务系统升级不断扩大,为满足各单位网络的本地数据交换需求,网络全面进行改造升级,从原来的二层交换升级至具有三层路由交换能力,网络结构参见下图OSPF Routing 核心交换机S9512-2 4GE 服务器区 核心交换机S9512-1 印务中心网络 2GE 中心交换机S7506RMPLS VPN集团本部网络 100M 100M 印务中心办公室(VLAN81) 印务中心会议室(VLAN81) 制版部发行部(VLAN82)彩印公司(VLAN81)大洋网办
24、公VRRPinter-vlan routing QOS/PBR/ACL.Vlan 80 各业务单位原接入交换机VLAN VPNMSR5040MSR5040S5600802.1QMSTP+VRRP图9-1 印务中心网络结构图印务中心网络采用核心接入的两层结构,核心与接入之间采用光纤或UTP实现千兆互联,100M到业务终端。核心层采用双机热备方案,配置2台S7506R交换机,之间通过双GE互联,采用VRRP协议为业务终端提供可靠的网关和数据转发服务。S7506R配置8个千兆光纤端口和20个千兆电接口,用于连接楼层交换机和部分服务器。其它接入层交换机通过多模光纤上联中心交换机S7506R。其中大洋网
25、用2个56做三层核心,8台S5100交换机做接入,划分5个接入用户VLAN,服务器单独使用一个VLAN。在两个S56交换机上为5个业务VLAN配置VRRP实现备份。56通过OSPF协议三层上联到7506R。如下图9-2所示: 图9-2 印务中心大洋网拓扑图升级后的印务中心网络完全实现各个业务单位网络的本地互通和资源访问控制。通过VLAN技术实现本地各业务系统的隔离和控制,中心交换机S7506R实现各VLAN间互访和控制。通过VRRP和MSTP可以实现中心交换机和链路的负载分担和冗余备份,一般情况下,1台S7506R作为印务业务的转发,另外1台可以作为办公室等业务的转发,当其中1台发生故障时,可
26、自动切换到另一台。 使用VRRP主备切换及不同OSPF链路花费值来实现负载分担以及冗余备份。在进行网络实施的过程中会碰到需要更改IP以及新旧IP地址共存的问题,通过在S7500和S5600交换机上配置Secondary IP的方法来实现新旧地址共存。3.5 广告二级中心局域网方案广告二级中心网络现状分析广告中心在日报系统中属于重要且数据量大的部门,其现有的光纤布局图如下:图10 广告二级中心的光纤布线结构图在广告处机房和制作部之间通过双绞线连接,制作部通过光纤到技术处中心机房并通过光配线架直接连接到电脑车间,电脑车间通过光纤上连到3com 4007,广告处客户部通过光纤连接到广告处机房光配线架
27、然后直接连接到技术处中心机房。从逻辑上来看其连接模式如下: 图11从业务关系来看客户部、制作部、业务部和客户部之间应该属于一个网络区域,但实际上数据的流动全部需要通过现有的核心交换机3com 4007作为中转,这样增加了核心交换机的负载。在本次网络改造中我们的指导思想是:在广告各个部门之间的数据交换不需要通过中心机房的核心交换机去完成,而是通过本地交换完成,而去往印务中心的数据流才通过中心机房的核心交换机完成,即满足80/20规则。在网络规划中,广告二级中心局域网的建设我们建议采用双机冗余模式。广告二级中心局域网实施方案XX日报社广告中心业务应用相对独立,且是非常重要的核心业务。因此,广告中心
28、网络单独形成系统,广告中心业务服务器直接连接到广告中心的中心交换,通过多条高速链路与核心交换区实现互联。广告中心网络结构参见下图:核心交换机S9512-2 4GE 楼层交换机H3C S5100-48P 核心交换机S9512-1 OSPF Routing 原楼层交换机C3550/C2950 802.1QMSTP广告中心网络 核心交换区 服务器区 2GE 中心交换机S7506R 广告中心业务服务器 服务器区 图12 广告中心网络接入结构广告中心交换机采用2台S7506R设备实现双机备份。原网络中,广告中心网络直接连接核心交换区,本次改造升级,广告中心增加汇聚层,在原主干光纤布线不变的情况下,广告中
29、心的中心交换机S7506R和服务器必须放置在广告处房内。广告中心网络与集团核心交换区(S9512交换机)采用双千兆链路实现互联,通过OSPF动态路由协议实现4条千兆链路的负载分担和备份。广告中心的业务服务器将直接连接中心交换机S7506R。广告中心网络接入层交换机分别与2台中心交换机S7506R进行连接,通过MSTP生成树技术实现两条链路的流量分担和冗余备份。广告中心网络内的服务器和用户终端间的数据传输由中心交换机S7506R完成,对用户和服务器的管理采用VLAN技术,通过划分不同的VLAN,将VLAN ID绑定到每台接入层交换机端口,两台S7506R通过VRRP协议为各VLAN提供网关和数据
30、转发功能,并保障网络的高可用性。具体接入层交换机的连接方式参见集团核心局域网拓扑图4。第四章、网络管理规划网络管理主要包括设备管理和流量管理两大部分。采用Quidview管理系统实现全网(设备)的统一管理,实现拓扑、故障、性能和图形化视图管理。同时,为便于印务中心网络的维护,可采用分布式部署方式,在印务中心网络设立网管客户端,以便于网管人员在本地可以通过网管系统进行印务中心网络设备的维护。第五章、网络设备命名规范本次工程均为新增设备,对所有的网络设备进行统一的命名,以方便网络系统管理。核心层和分布层设备的命名规则为:安装地点代码+设备型号+唯一标识;楼层交换机命名规则为:安装地点代码+楼层+用
31、途+设备型号+唯一标识。5.1设备安装地点代码编排安装地点代码是设备所在大楼代码,地点代码如下表:安装地点安装地点代码采编楼A楼A七层楼B楼B门楼C楼C副楼D楼D新闻中心E楼E物业管理F楼F技术处JSC五层楼G5.2设备命名规则 l 核心层和二级中心交换机命名:D_S7506_ A 副楼 设备型号 唯一标识解释:(1)、D代表副楼(2) S交换机、R路由器、F防火墙;S7506R代表H3C的7506R交换机(3)、A代表第一台,B代表第二台AF2-l 楼层交换机命名 A-2FS5100-1 采编楼 楼层 设备型号 唯一标识解释:(1)、A代表采编A楼(2) 2代表第2层(3) S交换机、R路由
32、器、F防火墙;S5100代表H3C的交换机(4)、1代表第一台第六章、总结 在现有的网络基础上对企业网络加以改造升级,使得员工在办公和管理方面更加方便。从网络经济发展对网络产品带来的需求看,新的网络产品正在被广大用户所接受,也逐步成为各大企业日常办公所分不开的一本分。一个好的网络对企业员工来说有一个好的办公环境也在一定程度上提高了企业的办公效率。为企业在激烈的竞争市场中赢得先机。 参考文献网络安全指南 美 Peter Norto Mike Stockkman 编著 潇湘工作室 翻译 人民邮电出版社 2000年11月现代计算机网络教程 张基温 编著 人民电出版社 2001年7月计算机网络教程3版 电子工业出版社 谭浩强 编著网络管理使用技术 清华大学出版社 聂坤华 编著 致谢本文是在*老师的精心指导和帮助下完成的,*老师以严谨的求实的治学态度,高度的敬业精神,兢兢业业,孜孜以求的工作作风和大胆创新的进取精神对我产生重要影响。他以渊博的知识,开阔的视野和敏锐的思维给 我深深的启迪。同时,在此次毕业设计过程中我也学到了很多网络方面的专业知识,实践技能有了很大的提高。另外,我还要特别感谢*有限公司的工程师*对我实习及论文写作的指导,他为我完成这篇论文提供了巨大的帮助。还要感谢*同学对我的帮助。最后,再次对关心,帮助我的老师和同学表示衷心的感谢!第 22 页 共 22 页