干部疗养院网络方案.docx

第一章 项目描述1.1 项目说明干部疗养院早期网络接入节点少，对网络应用需求小，管理相对简单。使用家用级别网络设备即可满足日常需要，但随着网络应用不断丰富，数字化办公的推行，局域网不但需要支持越来越多的连网用户，而且更要支持许多新型网络应用以满足应用要求，因此需要改造现有网络结构，并合理规划以建设更强大、更灵活、更智能、更可靠的网络环境。网络现状网络拓扑图1.2.2 网络描述干部疗养院分为三栋办公楼，机房位于酒店一楼。办公南楼与办公北楼经过楼层交换机汇聚后通过光纤接入酒店一楼机房内。网络出口使用D-Link DI-7001 路由器通过6M光纤专线接入互联网。互联网区网络结构没有层次和区域概念。所有二层交换机均为简单交换机，不具备防护和管理功能。交换机连接混乱，性能参差不齐；生活区与办公区没有实现隔离混杂在一起，网络质量无法保障。 局专网系统与互联网实现物理隔离，即每个办公室内有两个网络插口，一个连接局专网系统，另一个连接互联网。网络故障描述此网络环境共瘫痪过三次，详细网络故障描述如下：故障现象：部分节点无法上网，防火墙报ARP攻击。故障原因：疗养院使用路由器默认地址段为192.168.1.0，网关地址为192.168.1.1。有住户私接网关地址同为192.168.1.1的家用路由器进入网络，造成网内存在两个同为192.168.1.1的网关，部分节点获得了错误的网关MAC地址后将数据发送给这个假网关。由于这个假网关并没有出口，则这部分节点将无法访问互联网。同时防火墙侦测到192.168.1.1这个网络地址有两个MAC地址则认为网络出现ARP攻击而报警。故障现象：酒店区由于住客流动性大，使用DHCP动态获取IP地址将极大减少管理员的工作负担。但经常发现有住客不能获取DHCP或获取到错误的DHCP地址而无法上网。故障原因：后经过检查发现网内有部分用户使用路由器当交换机使用，这些路由器默认开启着DHCP功能，这造成网内存在两个DHCP服务器。当住客使用网络向DHCP服务器发送请求时被错误的DHCP服务器所响应分配了错误的IP地址信息而无法上网。故障现象：整个网络系统瘫痪故障原因：办公区南楼四楼早期没有使用，楼层光纤没有接入交换机。早期网络维护人员为了使四楼能使用网络而私自将三楼楼层交换机与四楼楼层交换机串联起来，现在因业务需要将信息科搬至四楼，而将四楼楼层光纤接入交换机。人为的造成网络环路导致数据包在网络中无限循环，最终耗尽网络资源使得所有交换机宕机。由以上故障描述可看出干部疗养院网络结构过于简单安全，网络自身无防护功能，一点出现问题会波及整个网络，而酒店住户无法管控给整个网络系统带来众多隐患。因此有必要升级网络设备以建设相对健硕的网络环境。第二章 网络方案2.1 方案拓扑本方案充分考虑目前干部疗养院网络需求以及今后发展的可扩展性，建议最少需要增加1台三层交换机以及2台网管级二层交换机已达到网络管理的需求，拓扑图如下：2.2 方案描述本方案所使用的技术原理将在备注中说明，本章将不再陈述。通过本方案的设备将建立有层次结构的网络环境，三层交换机作为汇聚层主要负责实现骨干网络之间的可靠高速传输，同时提供接入层VLAN之间的互连,控制和限制接入层的访问,保证网络环境的安全和稳定。两台网管级二层交换机作为接入层，一台负责办公区网络接入，另一台负责生活区网络接入，主要功能是完成用户节点流量的接入和隔离。本方案将采用VLAN技术来实现划分隔离管理区域，每一个楼层将单独划分为一个VLAN，生活区全部划分在一个VLAN里。由于VLAN与VLAN之间隔离，所以一个VLAN内出现网络故障不会影响到其他VLAN内的设备，将产生故障所波及的范围缩减至最小。同时使用STP协议能够使网络核心区域自动避免产生环路，排除潜在环路对网络造成的威胁。为防止下级简易交换机产生环路造成网络问题，所有接入层交换机端口开启RLDP链路协议，一旦检测到此端口下出现环路（例如此端口下的楼层交换机出现环路）该协议将会自动将此端口断开网络30秒， 30秒后会重新开启 如环路仍然存在则继续断开网络，如此往复，直到解决环路问题为止。有效避免下游环路对上游交换机的影响。生活区由于住客混乱网络难于管理需要使用DHCP功能，但非法的DHCP服务器会对生活造成网络故障，因此需要在所有网管交换机开启DHCP snooping功能以增强DHCP服务安全，隔绝非法DHCP服务器的接入。考虑成本问题，本方案只可保证网络故障隔离在接入层交换机之前，及故障范围最小缩小到一个楼层的范围，而由于楼层中的交换机为简易交换机出现环路或广播风暴仍对整个楼层产生影响，出于安全考虑本方案建议将所有楼层交换机也更换成小型网管级交换机以尽可能缩小故障范围。第三章 产品清单1234567序号货物名称品牌型号数量原产地交货单价单项