企業網絡組網分析

 D公司組網簡述：

D公司是一個全國性的大型企業，現計劃重新規劃和設計企業網絡,公司在全國擁有15家分公司，每個分公司的員工數量在200-2000人之間。基本上每個員工都有PC機。公司希望提供一套完善的管理方法，對員工和計算機進行管理。整個企業只能通過位於北京的總公司的防火牆訪問到互聯網，分公司和總公司之間使用的是站點到站點之間的***，帶寬基本都是10mbps-100mbps之間。

公司有自己的郵件服務器，要考慮到99.999%的可用性，並且要保證郵件服務器的安全性，和速度。對外部提供安全的訪問方法，需要在外部實現全部的Exchange的功能。公司有自己的Web服務器和FTP服務器，需要99.999%的可用性。選用適當的防火牆，要確保郵件，和Web服務的安全。

企業有內部的辦公網站，能夠提供內部的辦公管理，能夠提供任務管理、通知、論壇、電子文檔審批。內部辦公站點要求99.999%的可用性。公司內部的電子郵件必須是安全，必須是加密和完整，在財務部和財務服務器之間的通訊數據必須是加密的。

員工經常會被偷筆記本，要保證公司的機密數據不會被泄露掉。提供適當的服務器的管理和維護方案。

需求分析：

根據公司背景所描述可以看出D公司是一家大型企業，其所跨範圍覆蓋了大半個中國。同時員工數量也是龐大的，由此可見分公司與總公司之間的信息往來是頻繁並且流量也是相當巨大。因此從一下幾個方面對網絡的需求進行分析：

1.分公司的員工對總公司的內部的訪問。如此大的一個員工基數光設置***客戶端的訪問是遠遠不夠的，在這裏還需要架構點對點的站點連接，減小***服務器的壓力。

2.公司之間信息的流量需要保證其高可靠性，高完整性，高安全性。所以在數據傳輸過程中將要運用到加密的手法。而方案中對於總公司與分公司之間的信息傳輸保證其安全性採用的方法是使用PPTP 與 MS-CHAP2 組合

3文件文檔的保密性，比如內部的電子郵件必須是安全，必須是加密和完整，在財務部和財務服務器之間的通訊數據必須是加密的。這就涉及到OFFICE辦公軟件的應用，文檔，圖表。電子郵件的加密，在域環境中還能實現針對某一用戶設置使用權限的功能。這在後面將會更加具體的講敘。

4.使用EFS加密手法保證在員工丟失筆記本後仍能夠使公司機密信息不被外泄。這也需要域環境作爲依撐。

5．公司的各項服務都要保證99.999%的可用性。這對服務器來說是一個很大的挑戰。在實現硬件冗餘的同時結合羣集服務，使其達到要求。

6. 企業有內部的辦公網站，能夠提供內部的辦公管理，能夠提供任務管理、通知、論壇、電子文檔審批。這個要求便已經指定了要使用微軟的SHAREPOINT服務，方便員工們的日常工作與相互交流。

7.對於意外事故的承受能力，即災難恢復的強度。這裏將採用基於磁盤到磁盤再到磁帶的備份與恢復方法。組織快捷高效的備份與恢復數據。

8.客戶端文件的保存。使用卷影副本，重定向文件夾，漫遊配置文件相結合。將重要數據保存到文件服務器上。

公司網絡整體部署簡述：

通過上述對公司背景以及需求的介紹其設計方案對公司網絡大體部署如下：

單域多站點環境，每個分公司爲一個獨立的站點；

1.每個分公司人數在200-2000之間，以及爲未來發展前景考慮每個分公司部署獨立的郵件服務器，並且採用羣集服務提高其高可用性；

2.站點與站點之間實現***連接，遠程用戶使用客戶端到站點間連接；

3.署統一的協作服務，使用微軟sharepoint；.

4.針對公司規模以及以後的發展需求，決定在總公司與分公司各設置獨立的SUS服務器，5.實現對整個公司網絡中三萬多臺客戶機服務器的補丁管理；

6.與合作伙伴，商業客戶建立其相互信任的關係，實現雙方或單方面的內部訪問；

7.統一使用微軟的ISA軟件防火牆承載***服務。總公司第二道防火牆做成ISA陣列，實現NBL，提高安全性；

8.因爲每個公司都有屬於自己的獨立的郵件服務器，根據需要與公司的規模，數據傳輸量的大小，公司決定在分公司也設置獨立的文件存儲服務器，減輕***帶寬壓力的同時給數據提供足夠的保護。

 

 公司網絡結構：

 

根據總公司需求，其網絡拓撲如上圖所示。

整個拓撲設計分爲兩部分，內部網絡和周邊網絡。由兩道防火牆設備隔開。其第一道防火牆設備爲硬件防火牆即思科的PIX525防火牆，第二道防火牆爲軟件防火牆即微軟ISA防火牆。同時在圖示也可以看出，軟件防火牆做了ISA陣列。另外在外接的路由器上也帶有防火牆的功能，可以對外網流入的數據做最簡單的過濾。其詳細信息將在後面會有詳細的講述，在這裏就不做過多介紹。

 

 

作爲企業的分支，做出瞭如上圖的設計。沒有周邊網絡的設計，而且分公司的防火牆也全由軟件防火牆承擔，當然外部路由器也提供了一部分的防火牆更能，爲公司的信息安全做最初步的防護。同時將在上面設置***服務。

架構相對總公司來說相對簡單，這也是由其工作性質與工作量所決定。

 

通過上圖對總公司與分公司的網絡架構的熟悉，現在把總公司與分公司結合起來做一個完整的企業網絡設計拓撲。上圖就簡單的表現了總公司與分公司的相互之間的聯繫。

除總公司，分公司的內部辦公外，整個網絡還涉及到遠程用戶，家庭用戶，以及其他合作伙伴等。藉助互聯網通過***方式連入公司的內部網絡，實現遠程辦公。

 

IP地址規劃：

一個總公司，十五個分公司。

 

每個分公司有200~2000名員工，而且每名員工都有自己的辦公計算機，還要考慮筆記本的接入。

總公司與分公司都擁有自己的服務器，需考慮服務器的IP地址。

總公司與分公司之間是實現站點到站點的***連接，遠程用戶與公司之間是實現客戶端到站點的連接，需要爲總公司和分公司的遠程連入的用戶保留IP地址。

 

內部私有地址劃分：

 

1． 確定子網數量

在公司的背景中沒有給出子網的數量，所以要首先確定子網的數量。

要求中既有總公司也有分公司，還需考慮遠程接入的IP。

根據要求計算，總公司作爲一個子網，十五個分公司需要十五個子網，每個公司的遠程接入需要一個子網，15+1+16=32，按照目前要求需要32個子網，考慮到以後公司的發展，需要提供則夠的冗餘。

 

2.確定子網掩碼

根據用公式2n-2≧32,得出n≧6.再看看每個子網的主機數量，考慮到以後的增長，每個子網的主機數量現在的最高要求是2000，根據公司的發展需求，2k-2≧3000，k≧12.也就是說剩餘的主機地址位數大於或等於12即可。

綜合起來，只要子網位數在6~15之間即可。爲了方便，選取n=8.掩碼爲255.255.0.0。也就是說IP地址的第二個字節表示的是子網，這樣會大大簡化IP地址的分配。之所以選取n=8是因爲這時網絡地址和主機地址的分界剛好在IP地址字節邊界上，非常直觀。規划起來也相對簡單明瞭。這裏實際上是劃分了254個子網，每個子網的主機數量可達65534，已能大大滿足當前和以後的增長了。

 

3.確定子網的IP地址範圍

由於掩碼採用了255.255.0.0。所以地址範圍非常容易確定。

第一個子網的IP地址範圍：10.1.0.1~10.1.255.254

第二個子網的IP地址範圍：10.2.0.1~10.2.255.254

第三個子網的IP地址範圍：10.3.0.1~10.3.255.254

第四個子網的IP地址範圍：10.4.0.1~10.4.255.254

第五個子網的IP地址範圍：10.5.0.1~10.5.255.254

第六個子網的IP地址範圍：10.6.0.1~10.6.255.254

第七個子網的IP地址範圍：10.7.0.1~10.7.255.254

第八個子網的IP地址範圍：10.8.0.1~10.8.255.254

第九個子網的IP地址範圍：10.9.0.1~10.9.255.254

第十個子網的IP地址範圍：10.10.0.1~10.10.255.254

第十一個子網的IP地址範圍：10.11.0.1~10.11.255.254

第十二個子網的IP地址範圍：10.12.0.1~10.12.255.254

第十三個子網的IP地址範圍：10.13.0.1~10.13.255.254

第十四個子網的IP地址範圍：10.14.0.1~10.14.255.254

第十五個子網的IP地址範圍：10.15.0.1~10.15.255.254

第十六個子網的IP地址範圍：10.16.0.1~10.16.255.254

第十七個子網的IP地址範圍：10.17.0.1~10. 17.255.254

第十八個子網的IP地址範圍：10.18.0.1~10.18.255.254

第十九個子網的IP地址範圍：10.19.0.1~10.19.255.254

第二十個子網的IP地址範圍：10.20.0.1~10.20.255.254

第二十一個子網的IP地址範圍：10.21.0.1~10.21.255.254

第二十二個子網的IP地址範圍：10.22.0.1~10.22.255.254

第二十三個子網的IP地址範圍：10.23.0.1~10.23.255.254

第二十四個子網的IP地址範圍：10.24.0.1~10.24.255.254

第二十五個子網的IP地址範圍：10.25.0.1~10.25.255.254

第二十六個子網的IP地址範圍：10.26.0.1~10.26.255.254

第二十七個子網的IP地址範圍：10.27.0.1~10.27.255.254

第二十八個子網的IP地址範圍：10.28.0.1~10.28.255.254

第二十九個子網的IP地址範圍：10.29.0.1~10.29.255.254

第三十個子網的IP地址範圍：10.30.0.1~10.30.255.254

第三十一個子網的IP地址範圍：10.31.0.1~10.31.255.254

第三十二個子網的IP地址範圍：10.32.0.1~10.32.255.254

 

外部公有地址劃分：

 

爲了公司以後的發展以及更好的部署公司的IP網絡。公司決定申請購買一個B類的地址。

現在根據這個B類地址150.148.0.0來規劃公司的網絡。

 

1.    確定子網數量

15個分公司，1個總公司，就目前狀況來說需要劃分16個子網，同時還需考慮到公司以後的發展，爲未來公司規模的進一步擴大提供足夠的冗餘。

 

2.    子網掩碼的確定

該地址爲B類地址，所以前16位原來就是網絡地址，根據用公式2n-2≧16,得出n≧5.其中又從主機位借了5位作爲子網位，這樣網絡地址公有21位。這裏子網掩碼爲：

11111111 11111111 11111000 00000000

用點分十進制法表示爲255.255.248.0。

 

3.    確定第一個子網的IP地址範圍

由於子網位不能全部爲0，所以第一個子網就是指子網位爲00001的子網，而主機位還剩下11位，從000 00000001變化到111 11111110，如下

10010110 10010100 00001000 00000001 ~ 10010110 10010100 00001111 11111110

用點分十進制法表示爲從150.148.8.1~150.148.15.254。

 

4.    確定網絡地址和廣播地址

主機位全0就是網絡地址，所以第一個子網的網絡地址爲：

10010110 10010100 00001000 00000000

用點分十進制法表示爲150.148.8.0/21

主機位全1就是廣播地址，所以第一個子網的廣播地址爲：

10010110 10010100 00001111 11111111

用點分十進制法表示爲150.148.15.255/21

 

5.    確定其他IP地址範圍

重複步驟3可以確定其他IP地址範圍。

第二個IP地址範圍：150.148.16.0∕21

第三個IP地址範圍：150.148.24.0∕21

第四個IP地址範圍：150.148.32.0∕21

第五個IP地址範圍：150.148.40.0∕21

第六個IP地址範圍：150.148.48.0∕21

第七個IP地址範圍：150.148.56.0∕21

第八個IP地址範圍：150.148.64.0∕21

第九個IP地址範圍：150.148.72.0∕21

第十個IP地址範圍：150.148.80.0∕21

第十一個IP地址範圍：150.148.88.0∕21

第十二個IP地址範圍：150.148.96.0∕21

第十三個IP地址範圍：150.148.104.0∕21

第十四個IP地址範圍：150.148.112.0∕21

第十五個IP地址範圍：150.148.120.0∕21

第十六個IP地址範圍：150.148.128.0∕21

﹕

 

 

﹕

 

 

因文檔涉及內容較多，如需實施過程及相關細節請至51CTO下載中心搜尋D公司網絡設計方案下載查閱。