目 录
随着信息技术的飞速发展,数字化浪潮和网络革新正在深刻地改变着社会面貌,人们对信息核心价值的认识也日益加深。信息的传递与共享已成为当代社会的热点话题。本次课程设计的核心目标是探讨企业内部网络系统的构建,重点学习如何利用交换机、路由器和服务器等关键设备搭建高效的网络架构。通过合理设计和划分局域网,优化企业内部的网络资源与数据流转,确保网络的高效运行和稳定性。在具体实施中,用户设备通过接入层网络与核心层网络相连接,形成分层的网络架构。同时,通过使用Visio软件绘制网络拓扑图,直观展示网络设计方案及其逻辑结构。本课程设计不仅有助于深入理解企业网络系统的构建原理和技术,还能提升网络规划、管理和可视化设计的实践能力,为未来的信息化管理奠定坚实基础。
关键词:数字化;网络构建;核心层;局域网;Visio
1.1课程设计题目
大型连锁酒店内部网络系统设计
1.2设计要求
某大型企业为跨省企业。该企业在省外有分支机构。主要机构为财务部,人事部,行政管理部门,党务部门,业务部门及省外分支机构。请为该公司设计一个公司内网,要求如下:
首先,公司财务处,人事处,业务部门内部要有一定的安全性,保密性。这三个部门之间要有相对独立的通信渠道。其次,人事处有工作人员10人,通过固定设备连接网络。业务部有工作人员50人,业务部人员可通过固定设备与移动设备同时上网。财务部分有6人,通过固定设备连接网络。第三,省外分支机构可以设为一个子网,该子网要通过5G网络与总公司通信。第四,公司在中国移动5G核心网有专门服务器处理省外机构与总公司之间的通信业务。
1.3课程设计目的和意义
通过本课程的学习,我们已对网络配置与路由交换有了一定程度的掌握。局域网作为一种小范围的网络,是网络体系的基础单元,因此其重要性不言而喻。在完成局域网的配置后,通过接入网与核心网的连接,信息得以通过交换技术进行高效传递与交互。经过一周的课程设计,我们不仅加深了对网络配置知识的理解,还通过实践进一步巩固了理论知识。通过设计并配置一个小型局域网,再逐步扩展到交换网络的配置,我们将课堂所学的理论应用于实际操作中,强化了实践能力。总之,这次课程设计的目的在于温故知新,理论结合实践,全面提升对网络配置相关知识的理解和应用能力。
1.4设计原则
局域网采用星型拓扑结构,这是一种目前较为流行的网络架构形式。其核心特点是以中心设备(如交换机或路由器)为核心节点,其余设备通过直接的物理链路与该中心节点相连接。中心节点通过分时或轮询的方式为接入设备提供服务,所有数据的传输和处理均需经过中心节点。
星型拓扑结构的特点:
优点:结构简单,易于维护:中心化管理使得网络管理和故障排查更为高效。故障隔离能力强:单个设备的故障不会影响其他设备或整个网络的正常运行。
技术支持广泛:大多数设备厂商为这种结构提供了良好的技术支持和兼容性。
缺点:中心节点性能要求高:中心设备需要处理所有数据的传输任务,因此对其性能和可靠性要求较高。线路利用率低:每台设备需要独立的物理链路与中心节点相连,导致线路利用率较低。中心节点负载大:所有设备之间的信息交换必须通过中心节点,易导致其负载过重。在星型拓扑结构中,局域网内的所有工作节点通过双绞线与中心交换机连接,构成高效的星型网络。这种结构在实际应用中以其简单可靠的特性,成为局域网建设的常见选择。
2.设计原则
实用性和经济性:
网络建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则,建设的万兆骨干网络平台,保护用户的投资。
先进性和成熟性:
网络建设设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证企业网络建设的领先地位,采用万兆以太网技术来构建网络主干线路。
可靠性和稳定性:
在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间,锐捷网络作为国内知名品牌,网络领导厂商,其产品的可靠性和稳定性是一流的。为了保证骨干网络平台的健壮性和链路冗余性,建议网络实施时在学校启用千兆备份线路。在学校启用物理链路冗余机制,保证任何一条线路出现故障后骨干网络平台的可用性。
安全性和保密性:
在网络设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等,锐捷网络充分考虑安全性,针对的各种应用,有多种的保护机制,如划分VLAN、IP/MAC地址绑定(过滤)、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。
可扩展性和可管理性:
先进的设备必须配合先进的管理和维护方法,才能够发挥最大的作用。全线采用基于SNMP标准的可网管产品,达到全程网管,降低了人力资源的费用,提高网络的易用性、可管理性,同时又具有很好的可扩充性。
二、技术分析
2.1 局域网提供功能
(1)连接酒店办公楼中的所有PC。
(2)同时支持100个以上用户浏览Internet。
(3)提供丰富的网络服务,实现广泛的软件,硬件资源共享,包括:提供基本的Internet网络服务功能:如电子邮件、文件传输、远程登录、新闻组讨论、电子公告牌、域名服务等。
2.2 5G核心网架构
图2.1 5G网络架构图
Access and Mobility Management Function (AMF) :接入与移动性管理功能
Session Management Function (SMF):会话管理功能
User plane Function (UPF):用户数据转发功能
Network Exposure Function (NEF):网络业务呈现功能
NF Repository Function (NRF):注册发现新功能
Unified Data Management (UDM):统一数据管理功能
Authentication Server Function (AUSF):认证服务器功能
Policy Control function (PCF):策略控制功能
2.3 路由技术
分布式设计:路由选择是分布式处理的,节点间协作完成路由更新。
分层次结构:路由选择协议分为自治系统内部的协议和自治系统之间的协议。
内部网关协议 (IGP):用于自治系统内部的路由选择,常见协议包括 RIP 和 OSPF。
外部网关协议 (EGP):用于自治系统之间的路由选择,其中最广泛使用的协议是 BGP。
2.4 VLAN
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户不受物理位置的限制,可以根据功能、部门等因素灵活组织起来,相互之间的通信就像处于同一个网段中。虚拟局域网的优点是能够降低网络设备移动、添加和修改时的管理开销,同时可以有效控制广播活动,并提高网络的安全性。专用虚拟局域网(PVLAN, Private VLAN)采用两层 VLAN 隔离技术,其特点是上层 VLAN 全局可见,而下层 VLAN 之间相互隔离。例如,将交换机的每个端口划分为一个独立的下层 VLAN,就可以实现所有端口的隔离。
静态 VLAN 是基于交换机端口划分的 VLAN,这种方式也是最常见的。在基于端口的 VLAN 中,端口与 VLAN 的映射关系需要手动配置,明确指定哪些端口与特定的 VLAN 关联。这种映射关系仅在本地交换机中有效,交换机之间不会共享相关信息。动态 VLAN 则是根据终端用户的 MAC 地址来决定其所属的 VLAN。VLAN 管理策略服务器(VMPS)中包含一个文本文件,该文件存储了 VLAN 和 MAC 地址的对应表。交换机通过下载该文件并校验 MAC 地址,自动完成 VLAN 分配,无需手动逐一配置。
2.5交换技术
现代交换网络还引入了虚拟局域网(Virtual LAN,VLAN)的概念。VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候,可以利用 VLAN 间路由技术来实现。当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(Vlan Trunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN。
三、设备选型
接入层交换机:
采用二层以太网交换机,选用型号为华为S1730SS48T4SA1,此交换机有48个以太网端口,可以满足公司各部门的最低需求,总公司共配置七台二层交换机。
| 产品类型 | 千兆以太网交换机 |
| 应用层级 | 二层 |
| 传输速率 | 10/100/1000BASET Mbps |
| 交换方式 | 存储转发 |
| 背板带宽 | 交换容量:432Gbps |
| 包转发率 | 78Mpps |
| 端口结构 | 非模块化 |
| 端口数量 | 52个 |
| 端口描述 | 48个10/100/1000/BASET以太网端口 |
| 堆叠功能 | 可堆叠 |
| VLAN | 支持 |
| QOS | 支持流量监管、支持入端口流暈限速、支持端 |
| 组播管理 | 支持 IGMP V1V2/V3 Snooping、支持MLD |
| 网络管理 | 支持4 K VLAN、支持 Access/ Trunk/ Hybrid/ |
| 安全管理 | 支持端口安全;支持广播、组播、未知单播风 |
| 电源电压 | 额定电压: 100240V AC,50/60Hz |
表1 接入层交换机参数
核心层交换机:
核心层交换机采用三层交换机,型号选型为华为S5735SL48T4SA,此交换机兼有路由转发功能,有48个以太网端口,且转发速度快,支持4K VLAN。能满足公司的需求。
| 产品类型 | 千兆以太网交换机 |
| 应用层级 | 三层 |
| 传输速率 | 10/100/1000Mbps |
| 交换方式 | 存储转发 |
| 背板带宽 | 432Gbps/4.32Tbps |
| 包转发率 | 87/166Mpps |
| 端口结构 | 非模块化 |
| 端口数量 | 52个 |
| 端口描述 | 48个10/100/1000BaseT以太网端口 |
| 堆叠功能 | 可堆叠 |
| VLAN | 支持4K VLAN |
| QOS | 支持对端口速率限制 |
| 组播管理 | 支持PIM DM,PIM SM,PIM SSM |
| 网络管理 | 支持智能堆叠iStack |
| 安全管理 | 用户分级管理和口令保护 |
| 电源电压 | 额定电压:AC 100240V,50/60Hz |
四、网络拓扑结构图与具体方案
1.网络拓扑结构
图4.1 网络拓扑结构图
2.IP划分及VLAN名称
| 部门名称 | 网段 | Vlan |
| 业务部 | 172.168.1.0/50 | VLAN10 |
| 人事处 | 172.168.2.0/25 | VLAN20 |
| 财务处 | 172.168.3.0/25 | VLAN30 |
| 行政管理部门 | 172.168.4.0/25 | VLAN40 |
| 党务部门 | 172.168.5.0/25 | VLAN50 |
表3 IP划分及VLAN名称
3.核心网设计
图4.2 省内核心网设计
核心网网元及其功能
| 5G核心网网元 | 功能描述 | 与EPC网元对应关系 |
| Authentication Server Function (AUSF) | 支持ARPF 支持存储签约信息 支持5G功能增强后的其它签约数据 | 类似于HSS |
| Authentication Server Function (AUSF) | 生成鉴权向量 | 类于HSS的AuC功能 |
| Policy Control function (PCF) | 应用和业务数据流检测 QoS控制、额度管理、基于流的计费背景数据(Background data)传送策略协商 对通过NEF和PFDF从第三方AS配置进来的 PFD(Packet Filter Descriptor)进行管理 数据流分流管理(不同DN) 具备UDR(User Data Repository )前端功能以提供用户签约 信息 提供网络选择和移动性管理相关的策略(比如RFSP检索) UE策略的配置(网络侧须支持向UE提供策略信息,比如:网络发现和选择策略、SSC模式选择策略、网路切片选择策 略) | 类似于PCRF |
| Access and Mobility Management Function (AMF) | NG1接口终止、NG2接口终止 移动性管理、SM消息的路由 接入鉴权、安全锚点功能(SEA) 安全上下文管理功能(SCM) | 类似于MME |
| Session Management Function (SMF) | 会话管理、UP选择和控制 SM NAS消息终止 下行数据通知 | 类似于PGWC |
| User plane Function (UPF) | IntraRAT移动的锚点 数据报文路由、转发、检测及QoS处理 流量统计和上报 | 类似于PGWU |
| Network Exposure Function (NEF) | 网络能力的收集、分析和重组 网络能力的开放 | 类似于SCEF |
| NF Repository Function (NRF) | 业务发现,从NF实例接收NF发现请求,并向 NF实例提供发现的NF实例的信息(被发现) | 全新网元,类似于增 强DNS |
表4 核心网网元及功能
4.公司内部部门设计
图4.3 公司内部部门设计
在现代企业网络建设中,合理配置交换机和VLAN对于确保网络的安全性、稳定性和效率至关重要。业务部门由于需要支持50名员工通过固定设备上网,因此选择了具有50个接口的二层交换机。这种交换机能够在物理层面上实现快速的数据交换,同时保持网络的简单性和易于管理。每个接口都可以直接连接到员工的工作站或其他固定设备,确保每个人都能顺利接入网络。此外,为了进一步优化网络性能和安全性,业务部门的交换机可以配置QoS(服务质量)规则,以优先处理关键业务数据。对于人数较少的人事处、财务处、行政管理部门和党务部门,选择接口数较少的二层交换机可以有效地节约成本,同时满足这些部门的基本网络需求。这些小型交换机可以部署在各自的办公室或工作区域,以提供便捷的网络接入点。
为了实现网络的隔离和通信,各部门通过静态VLAN进行划分。VLAN(虚拟局域网)技术允许在同一个物理网络中创建多个逻辑上的网络,从而实现网络资源的隔离和优化。每个部门都被分配到一个独立的VLAN,通过手动配置端口与VLAN的映射,确保特定端口只与特定VLAN关联,这样可以有效地控制网络流量,防止未授权的访问,并提高网络安全性。 各部门的网络通过汇聚层交换机互联。汇聚层交换机通常采用三层交换机,它们结合了二层交换技术和三层路由技术。三层交换机能够在网络的第三层(网络层)进行数据包的转发,这使得它们能够在保持高速数据交换的同时,实现不同VLAN之间的路由功能。三层交换机的主要优势在于它们能够利用硬件实现数据包转发等规律性流程,这大幅提升了数据处理速度。同时,路由信息更新、路由表维护、路由计算等复杂功能由软件实现,这确保了网络的灵活性和智能性。通过实现一次路由、多次转发,三层交换机优化了局域网内部的数据交换效率,减少了网络延迟。最终,三层交换机通过路由器接入核心层,完成整个网络的高效连接和管理。核心层交换机通常是高性能的设备,它们负责处理大量的数据流量,并确保网络的高可用性和可靠性。通过这种分层的设计,企业能够实现网络的高效管理和扩展,同时保持网络的安全性和稳定性
综上所述,这种网络设计方案通过合理配置二层和三层交换机,以及VLAN技术,实现了网络的有效隔离和通信。它不仅提高了网络的运行效率,还增强了网络的安全性和灵活性,是企业网络建设中的常见且有效的实践。通过这种设计,企业能够确保关键业务的连续性和数据的安全性,同时为未来的网络扩展和升级提供了便利。
五 具体安全措施
在设计公司内网时,安全措施的详细规划如下:
1. 网络隔离与VLAN配置:
利用虚拟局域网(VLAN)技术实现网络隔离,为财务部、人事部和业务部门各自配置独立的VLAN,确保部门间的数据隔离和安全性。
在核心交换机上创建不同的VLAN,并将各部门的端口划分到相应的VLAN中,以实现逻辑上的网络隔离。
2. 访问控制列表(ACLs):
对每个VLAN配置ACLs,限制不同部门之间的访问,只允许授权的通信流。
3. 防火墙部署:
在网络边界部署防火墙,监控和控制进出网络的数据流,防止未授权的访问和保护内部网络不受外部攻击。
配置防火墙以实现不同VLAN间的访问控制,确保只有授权的用户和服务可以跨VLAN通信。
4. 入侵检测系统(IDS)和入侵防御系统(IPS):
部署IDS和IPS来监控网络流量,检测和响应潜在的入侵和攻击行为。
5. 虚拟专用网络(VPN):
为远程工作人员提供VPN接入,确保在外部网络与公司内网之间的通信加密和安全。
6. 无线网络安全:
对无线网络实施加密(如WPA2或WPA3),并定期更新无线接入点的固件,以防止无线网络攻击。
7. 物理安全:
确保所有网络设备存放在安全的地点,如上锁的机房,以防止未授权的物理访问。
8. 安全审计和监控:
部署安全信息和事件管理(SIEM)系统,以收集、分析和报告安全事件和日志数据,及时发现和响应安全威胁。
9. 数据加密:
对敏感数据进行加密处理,无论是在传输过程中还是存储在数据库中,以保护数据不被未授权访问。
10. 零信任安全模型:
实施零信任安全模型,确保每次访问都经过验证和授权,无论用户身处内网还是外网。
11. 安全服务链:
部署安全服务链,按需串接各种虚拟安全设备(如防火墙、WAF、IPS、IDS等),对5G网络切片进行安全防护。
12. 5G核心网安全:
利用中国移动5G核心网的专门服务器处理省外机构与总公司之间的通信业务,确保5G网络的安全性。
13. 全流量检测:
实施全流量检测,分析核心网运行过程中产生的流量数据进行异常行为的检测,以识别和响应潜在的安全威胁。
在这次课程设计中,我深刻体会到了通信网与交换原理的精髓,并通过亲手实践,让我对这些理论知识有了更深层次的掌握。我学会了如何为企业构建内部网络并实现信息的有效交换。在整个设计过程中,我遇到了不少挑战,比如数据配置的难题和设备选型的问题,但通过不懈努力,我最终成功解决了这些问题。实践是学习知识的最佳途径。与纯理论学习相比,动手操作更能让我深刻理解和运用所学的知识。因此,我决定在未来的学习中,更加注重实践操作,通过实际应用来加深对知识的理解和掌握。我意识到,仅仅掌握理论知识是不够的,我需要将这些理论应用到实际中去,这样才能检验我的理解是否正确,以及是否能够灵活运用。在实际操作中,我学会了如何分析问题、寻找解决方案,这些经验对我的个人成长至关重要。我也学会了团队合作的重要性。在项目中,我需要与同伴沟通协调,这让我意识到了沟通技巧和团队协作能力的重要性。此外,我还学会了如何编写技术文档,这对于记录项目进度、分享知识和未来回顾都是非常有帮助的。
网络安全的意识也在这次实践中得到了加强。我学会了如何设置防火墙、VPN等安全措施,以保护企业数据不受威胁,这让我更加重视网络安全的重要性。通信技术的发展日新月异,我需要持续学习,跟上技术的步伐。5G、6G、SDN、NFV等新技术的出现,让我意识到了终身学习的必要性,这将帮助我在未来的职业生涯中保持竞争力。我也发现了传统方法的局限性,这激发了我创新思维的火花,鼓励我寻找更高效、更智能的解决方案。这次课程设计让我对自己的职业兴趣和未来发展方向有了更清晰的认识,这对于我的职业生涯规划非常有帮助。最后,我通过这次实践的反馈和总结,识别了自己的强项和弱点,这将指导我在未来的学习中更有针对性地提升自己。我将这次课程设计视为一个宝贵的学习机会,它不仅提升了我的技术能力,还增强了我的问题解决能力、团队合作能力和沟通能力等软技能,为我未来的学术研究或职业生涯打下了坚实的基础。
扫一扫
2637
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
