题 目 企业网络的组建与管理
英文题目 The establishment and management
of enterprise network
院 系 电子工程学院
专 业 通信工程
姓 名
年 级
指导教师
实训地点
2011年6月6—2011年6月11
摘 要
作为即将参与高科技竞争的公司企业,如何面对网络时代带来的冲击,如何利用网络技术提高公司的管理水平和服务质量,是很多企业面临的重要课题。在公司企业内部的网络建设中,我采用中国电信作为ISP提供的成熟的千兆以太网技术,内部采用三层结构,即核心层、汇聚层和接入层,所选的网络拓扑结构是星型,通过连接路由器、防火墙、交换机、服务器等设备来构架网络。在实施中同时以网络软件系统和三层交换机实现VLAN管理各科室、部门、机房接入网络管理中心,通过防火墙接入骨干网络,更好更快的获取外界的信心,加强与同行的交流和竞争,运用C/S的工作模式,有效的管理了员工使用计算机的时间、访问权限等,在设计中我们利用VPN技术,以满足有关员工外出差时及时与公司总部取得联系。这样,可以组建具有宽带通路和交互功能的专业性局域网应用于学术研究、管理和通讯三大功能。在核心层主要采用硬件与软件技术相结合来实现其功能,而并不仅仅采用较贵的硬件来实现网络功能,充分利用现有的资源,不浪费,不盲目追求设备的高端化,对现有的计算机资源进行降级再使用。同时考虑到公司的应用环境,建设了丰富的应用服务器,以满足信息共享的需求。同时考虑到公司今后的发展壮大,采用开放式的结构和技术,使网络具有良好的扩充能力和开放性,以满足今后网络发展要求.
关键词:企业网络;路由器;防火墙;交换机;VLAN;布线系统
Abstract
The network has gradually taken into all walks of life, its important role is revealed. As soon participated in the competition of enterprise, high-tech company how to deal with the impact of the network times, how to use the network technology improve the company's management level and the quality of service, is a lot of enterprises are facing an important issue. In the company of the construction of enterprise internal network, I use the China telecom as ISP of mature QianZhao provide Ethernet technology, using the three layer structure internal, namely the core layer, exchange layer and access layer, the selected the network topology structure is, by connecting the routers, star of the firewall, switch, server, and workstations to formulate the network equipment. In the implementation of network at the same time to software system and layer 3 switches to realize the VLAN management departments, and departments, the engine room access network management center, through the firewall access network, the backbone of the better and faster for the confidence of the outside world, strengthen the communication with our colleagues and competition, using C/S work mode, the effective management of the staff use the computer access time, such as in the design, we use VPN technology to meet the relevant employees on a business trip with the company headquarters in contact. Such, can form have broadband access and interactive function of professional LAN used in academic research, management and communication 3 big functions. In the core mainly USES the hardware and software technologies combining to realize its function, not just the more expensive hardware to realize network function, make full use of the existing resources, waste not, not blind pursuit of high-end equipment, the existing computer resources for relegation to use. Moreover, considering that the company's application environment, the construction of rich application servers to meet the demand of information sharing. Moreover, considering that the development of the future, the open structure and technology, and to make the network has good ability and the expansion of the open, to meet the requirements in the future development of network.
Keywords: enterprise network ;router ;firewall ;switches ;VLAN ;wiring system
第一章 绪论
1.1 企业网络设计的背景
目前随着信息化技术的迅速普及和广泛应用,大量各行各业工作人员开始利用网络这种媒体获得所需的资料和对外界的联系,需要与外界保持最高小的通讯与部门内的资料共享,信息化能够有效承担重复劳动并能加强协作,从而提高工作效率。
1.2企业网络的特性
在知识经济时代,各集团为了加快集团信息化建设,需要以现代网络技术为平台,建设一个以集团业务综合管理、办公自动化、电子商务、多媒体视频会议、远程通讯、Web信息发布为核心的企业网络。将集团的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来,实现内、外互联的现代化计算机网络系统。该网络系统是支持办公自动化、供应链管理以及各应用系统运行的基础设施,为了确保这些关键应用系统的正常运行、安全和发展,系统具备如下的特性:
1、 完成集团企业网的构建,加快企业信息化建设;
2、 在整个企业集团内实现所有部门的办公自动化,实现无纸化办公,提高工作效率、办公质量和管理服务水平;
3、 在集团企业网内实现资源共享、Web产品信息共享、实时新闻发布;
4、 在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系统的
第二章 网络的设计原则及需求分析
2.1 设计原则
在本系统设计中采用以下原则:
(1)实用性 从保护各系统的设备投资和能够完全满足现实需求的角度出发,充分集成现有的各种计算机和网络设备,使建设的系统适用、安全、可靠且易管理、维护和扩展,具有最高的性价比。
(2)开放性 构造一个开放的网络系统,是当前世界计算机技术发展的潮流,因此我们在整个系统的设计中采用的规范、设备与厂商无关,具有较强的兼容性,便于与外界异种机平滑互联。
(3)先进性 当今的计算机网络技术发展日新月异,把握不准的方向则可能导致在很短的时间内技术落伍,从而面临被淘汰的危险。因此在坚持实用性的前提下尽量采用国际先进成熟的网络技术和设备,适合未来的发展,做到一次规划长期受益。
(4)可扩充性 选择的联网方案及设备要能适应网络规划的不断扩大的要求,以便于将来设备的扩充;要能适应信息技术不断发展的要求,平稳地向未来新技术过渡。
(5)可靠性 系统设计除采用信誉好,质量高的设备外,还采用一系列容错、冗余技术、提高整个系统的可靠性
(6)安全性 安全性包括两个方面:一、网络用户级的安全性;二、数据传输级的安全性。网络用户级的安全性应在网络的操作系统中予考虑,而数据传输的安全性则必须在网络传输时解决。
2.2 网络项目背景
公司是一家中型企业,员工人数超过500人。公司建筑是楼层建筑,共有500多个信息点,包括可拓展点。
随着公司业务的发展,人员壮大,办公信息化以及自动化的需求,为提高公司各个部门间办公信息化,需要建立一个完善和稳定的企业网络。
企业网要保证整个企业信息点的互联、高效、安全,可支持上百个用户同时并发使用。而且要求企业网具有可拓展性,支持未来的发展,高速的、冗余的、基于标准的网络。
公司部门繁多,主要有网络中心、后勤中心、销售部、会议中心、财务中心、行政楼、职工宿舍信息点分布如表2.1:
表2.1 用户数量分布表
| 网段描述 | 所需的IP地址数 |
| 网络中心 | 10 |
| 后勤中心 | 100 |
| 销售中心 | 60 |
| 财务中心 | 50 |
| 行政楼 | 50 |
| 职工宿舍 | 150 |
| 网络管理系统 | 10 |
| 服务器群 | 10(公网IP) |
一、公司为中型企业,对网络带宽的要求较高,为保证网络视频、语音、图像等信息的传输顺畅,因此以1000Mb/s光纤作为主干和垂直布线,以百兆超五类双绞线作为水平布线,一次构建该企业网络。
二、一个完善的网络设计方案,应该考虑网络的拓展性。因为随着企业的发展,规模增大,网络用户不断增加,从而保证网络的可拓展性则尤为关键。在设计时应充分考虑未来的企业网拓展,保证设计的网络在未来随时拓展。
三、网络的安全性对于企业的发展至关重要,它包括网络安全漏洞的弥补,防攻击,信息传输安全,内部安全防范,网络防病毒,抵制无用信息,以及网络冗余能力、数据备份域灾难恢复等等。
第三章 网络的组建规划设计
3.1网络拓扑结构介绍
我们将公司总部和分部的内部网络设计为两级层级:
(1) 核心层
(2) 汇聚层
(3) 接入层
这样规划一是能够有良好的层次感,利于实现较为复杂的网络功能要求;二是这样分层能够使每层的功能较容易实现也较清楚;三是采用这种分层方式可以支持较大的网络规模便于企业网的升级扩大。
层次化模型的好处:
1、节省成本
在采用层次模型之后,各层次各司其职,不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽,减少了对系统资源的浪费。
2、易于理解
层次化设计使得网络结构清晰明了,可以在不同的层次实施不同难度的管理,降低了管理成本。
3、易于扩展
在网络设计中,模块化具有的特性使得网络增长时网络的复杂性能够在子网中,而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计,任何一个节点的变动都将对整个网络产生很大影响。
4、易于排错
层次化设计能够使网络拓扑结构分解为易于理解的子网,网络管理者能够轻易地确定网络故障的范围,从而简化了排错过程。
3.2网络拓扑图
图3.1 逻辑拓扑图
图3.2 网络拓扑图
3.3 IP地址规划
IP地址的合理是保证网络顺利运行和网络资源有效利用的关键。企业网IP地址的分配应该尽可能地利用申请到的地址空间,充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。具体地来说IP地址的合理规划有如下的意义:
(1)减少对各种资源(内存、CPU的处理能力以及网络带宽等)的需求——IP地址的合理规划有利于网络中路由的汇聚,因而可以使得核心交换机中的路由表数目以及链路状态数据库等占用的内存减少,同时更新所占用的网络带宽也降低了;
(2)有利于IP地址空间的合理使用;
(3)优化业务流量的分布;
(4)有利于故障诊断。
根据国际互联网络技术发展的趋势,结合企业和分部的现实情况,我们建议IP地址规划遵循如下原则来设计:
(1)网络出口、对外服务器群采用公网IP地址;
(2)企业网所有网络设备均配置内部管理IP地址,防止非法用户登录。
(3)各接入点根据现有信息点数,并预留30-40%的扩容率,分配连续IP地址段;
(4)各核心节点下联各接入点分配连续IP地址段,统一在核心节点提供IP路由,并做路由聚合。
(5)各核心节点内部根据用户群体地理位置划分VLAN,并将VLAN网关IP设置在各核心节点交换机上。
经过我们的计算,将各部门IP地址分配如下表3.1:
表3.1 IP地址规划表
| 部门 | IP地址网段 | 默认网关 |
| 后勤中心 | 172.16.0.0/24 | 172.16.0.254/24 |
| 销售中心 | 172.16.1.0/24 | 172.16.1.254/24 |
| 财务中心 | 172.16.2.0/24 | 172.16.2.254/24 |
| 行政楼 | 172.16.3.0/24 | 172.16.3.254/24 |
| 职工宿舍 | 172.16.4.0/24 | 172.16.4.254/24 |
| 网络管理系统 | 172.16.5.0/24 | 172.16.5.254/24 |
FTP服务器IP地址: 192.168.100.2/24
路由器出口IP地址: 222.18.44.3/24
以上部门的网关地址均为核心层连接端口地址,因为所采用的ip地址不在同一网段,所以vlan 的配置可以省略,需要配置的有:职工宿舍交换机、会议中心交换机、销售部交换机。
由于只有一台连接的线路,因此在此我们可以设置静态路由,但这种配置会冒极大的风险,一旦该线路出现故障,整个内网与外界的通讯将陷入瘫痪,所以在此我们需要设置备用网关,即与设置两条或多条线路,在多条线路间做负载均衡,详细在下面介绍。
3.4 网络设计
3.4.1核心层网络设计
核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。
在设计核心层结构时,还应该充分考虑到以下几点因素:
(1)汇聚层交换机要有充足的带宽。
(2)必须具有冗余和流量均衡的功能。
(3)能够实现各种安全策略以保证网络的安全和数据包转发的合理,置多层交换机最佳,以方便网络的扩展。
核心层交换机选用WS-C3750-24T-s,它结合业界领先的易用性和最高的冗余性,提升了堆叠式交换机在局域网中的工作效率。这个产品系列采用了最新的思科StackWise智能堆叠技术,不但实现高达32Gbps的堆叠互联,还从物理上到逻辑上使若干交换机在堆叠时集成在一起,便于用户建立一个统一、高度灵活的交换系统 -- 就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。
3750系列最多可以将9个交换机堆叠在一起,构成一个统一的逻辑单元,其中总共包含468个以太网或以太网供电10/100端口或者252个以太网10/100/1000端口、或9个10GB以太网端口。各个10/100、10/100/1000和10Gb以太网单元可以根据网络的需要任意组合。
3750系列可以使用标准多层软件镜像(SMI)或者增强多层软件镜像(EMI)。SMI功能集包括先进的服务质量(QoS)、速率、访问控制列表(ACL)和基本的静态和路由信息协议(RIP)路由功能。EMI可以提供一组更加丰富的企业级功能,包括先进的、基于硬件的IP单播和组播路由。
表3.2 核心交换机参数表
| 主要参数 | |
| 应用类型 | 企业级交换机 |
| 应用层级 | 三层 |
| 交换方式 | 存储-转发 |
| 背板带宽(Gbps) | 100Gbps |
| VLAN支持 | 支持 |
| 网络标准 | IEEE 802.3、10BASE-T,IEEE 802.3u、100BASE-TX,IEEE 802.3、10BASE-FX,IEEE802.3z、IEEE 802.3x、IEEE 802.3ab,10BASE-X |
| 传输速率(Mbps) | 10/100/1000Mbps |
| 端口类型 | 10/100/1000Base-T,1000Base-FX |
| 端口结构 | 非模块化 |
| 模块化插槽数 | 2 |
| 是否支持全双工 | 全双工 |
| 网管支持 | 网管型 |
| 网管功能 | SNMP, CLI, Web, 管理软件 |
| 堆叠 | 支持(创新的堆叠技术) |
| MAC地址表 | 12K |
| 尺寸(mm) | 参数纠错445*301*44 |
| 额定电压(V) | 220V |
汇聚层主要承担的基本功能有:
1 汇接接入层的用户流量,进行数据分组传输的汇聚、转发和交换;
2 根据接入层的用户流量,进行本地路由、过滤、流量均衡、QoS优先级管理,以及安全机制,IP地址转换、流量整形、组播管理等处理;
3 根据处理结果将用户流量转发到核心交换层或在本地进行路由处理;
4 完成各种协议的转换(如路由的汇总和重新发布等),以保证核心层连接运行不同的协议的区域。
Cisco Catalyst 4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性,因而能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。4500系列中提供的集成式弹性增强包括1+1超级引擎冗余(只对Cisco Catalyst 4507R)、集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间,从而提高生产率、利润率和客户成功率。
表3.3 汇聚交换机参数表
| 主要参数 | |
| 交换机类型 | 企业级交换机 |
| 应用层级 | 三层 |
| 内存 | -MB DRAM, 32-MB flash memory |
| 传输速率 | 10Mbps/100Mbps/1000Mbps |
| 网络标准 | IEEE 802.3、IEEE 802.3u、IEEE 802.3z、IEEE 802.3x、IEEE 802.3ab、IEEE 802.1Q、IEEE 802.1D、IEEE 802.1w、IEEE 802.1s、IEEE 802.1x、IEEE 802.3af |
| 端口结构 | 模块化 |
| 端口数量 | 240 |
| 接口介质 | 10/100Base-T,10/100Base-Tx/SFP |
| 传输模式 | 全双工/半双工自适应 |
| 交换方式 | 存储-转发 |
| 背板带宽 | 100Gbps |
| VLAN支持 | 支持 |
| QOS支持 | 支持 |
| 网管支持 | 支持 |
| 网管功能 | SNMP ,MIB |
| MAC地址表 | 32K |
| 模块化插槽数 | 7 |
| 重量(Kg) | 20.07 |
接入层为用户提供对本地网段的访问,它的主要作用是将工作组计算机与汇聚层连接起来,主要完成逻辑网络分段,给予工作组或LAN隔离广播通信以及在多个CPU之间分布服务。其特点有以下几点:
(1)提供不同数量的100M端口到用户,提供1000M上行链路端口到汇聚层交换机。
(2)成本低,所有端口支持全线速二层交换。
(3)网络设备扩展性好,可平滑升级。
总部和分部接入层交换机均选用CISCO WS-C2960-24-S,该款交换机具有24个10/100Mbps以太网上行链路端口,LAN基本镜像。可提供集成安全性,包括网络准入控制 (NAC)、高级服务质量 (QoS) 和为网络边缘提供智能服务的永续性。
表3.4 接入交换机参数表
| 主要参数 | |
| 交换机类型 | 智能交换机 |
| 应用层级 | 二层 |
| 内存 | -MB DRAM, 32-MB flash memory |
| 传输速率 | 10Mbps/100Mbps |
| 网络标准 | IEEE 802.1D, IEEE 802.1p, IEEE 802.1Q, IEEE 802.1s, IEEE 802.1w, IEEE 802.1x, IEEE 802.1AB (LLDP), IEEE 802.3ad, IEEE 802.3ah, IEEE 802.3x, IEEE 802.3, IEEE 802.3u, IEEE 802.3ab |
| 端口结构 | 非模块化 |
| 端口数量 | 24 |
| 接口介质 | 10/100Base-T,10/100Base-Tx/SFP |
| 传输模式 | 全双工/半双工自适应 |
| 交换方式 | 存储-转发 |
| 背板带宽 | 16Gbps |
| 包转发率 | 3.6Mpps |
| VLAN支持 | 支持 |
| QOS支持 | 支持 |
| 网管支持 | 支持 |
| 网管功能 | SNMPv1, SNMPv2c, and SNMPv3 |
| MAC地址表 | 8K |
| 模块化插槽数 | 2 |
| 指示面板 | 每端口状态:连接完整性、禁用、活动、速度、全双工,系统状态:系统、RPS、链路状态、链路双工、链路速度 |
| 电源 | 100–240 VAC |
| 环境标准 | 工作温度:0℃-45℃、工作湿度:10%-85%(非冷凝)、存储温度:-25℃-70℃、存储湿度:10%-85%(非冷凝) |
| 尺寸(mm) | 参数纠错44×445×236 |
| 重量(Kg) | 3.6 |
出口路由器选用CISCO 2821模块化路由器。这款路由与相似价位的前几代思科路由器相比,Cisco 2800系列的性能提高了五倍、安全性和话音性能提高了十倍、具有全新内嵌服务选项,且大大提高了插槽性能和密度,同时保持了对目前Cisco 1700系列和Cisco 2600系列中现有90多种模块中大多数模块的支持,从而提供了极大的性能优势。
Cisco 2800系列能以线速为多条T1/E1/xDSL连接提供多种高质量并发服务。这些路由器提供了内嵌加密加速和主板话音数字信号处理器(DSP)插槽;入侵保护和防火墙功能;集成化呼叫处理和语音留言;用于多种连接需求的高密度接口;以及充足的性能和插槽密度,以用于未来网络扩展和高级应用。
表3.5 出口路由器参数表
| 主要参数 | |
| 产品类型 | 多业务路由器 |
| 包转发率 | 0.04Mpps |
| 外形尺寸 | 416.6*438.2*88.9mm |
| 重量 | 11.4Kg |
| DRAM内存 | 1024MB |
| Flash内存 | 256MB |
| 固定广域网接口 | 可选广域接口WIC卡 |
| 固定局域网接口 | 2 个千兆位以太网 |
| 控制端口 | RS-232 |
| 网络管理 | 支持SNMP管理,Cisco ClickStart |
| VPN | 支持 |
| QoS | 支持 |
| 内置防火墙 | 有内置防火墙 |
| 网络管理 | 参数纠错网管协议 Cisco ClickStart,SNMP |
| 电源电压 | 100to 240 VAC,47-63 Hz |
| 适用环境 | 工作温度:0℃-40℃、工作湿度:5%–95% 无凝结、存储温度:20℃-65℃ |
| 其他性能 | 安全标准 UL 60950:CAN/CSA C22.2 No. 60950,IEC 60950,EN 60950-1,AS/NZS 60950 |
4.1 路由协议---OSPF
OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。在这里,路由域是指一个自治系统(Autonomous System),即AS,它是指一组通过统一的路由或路由协议互相交换路由信息的网络。在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。
作为一种链路状态的路由协议,OSPF将链路状态广播数据包LSA(Link State Advertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。
我们在公司总部和分部的核心层交换机及出口路由器上使用OSPF路由协议,以实现路由的动态更新,确保全网互通。
4.2 VRRP(虚拟路由冗余协议)原理
VRRP给路由器组提供了一个冗余网关地址,它是一种容错协议,通过定义 不同的组,不同优先级的路由器,它保证网络的主路由器失效时,可以及时的由 备分来实现路由器来替代,从而保持通讯的连续性和可靠性。并可以在该协议上 实现负载均衡等高级交换特性。
VRRP 技术的实现: 汇聚到核心冗余连接及 VRRP 的实现通过 VRRP 技术将多个设备虚拟成为一台逻辑设备,实现汇聚/接入链路冗余。
4.3 RSTP、MSTP原理
RSTP 协议完全向下兼容 802.1D STP 协议,除了和传统的 STP 协议一样具有避免回路、提供冗余链路的功能 外,最主要的特点就是“快”。如果一个局域网内的网桥都支持 RSTP 协议且管理员配置得当,一旦网络拓朴改变而 要重新生成拓朴树只需要不超过 1 秒的时间(传统的 STP 需要大约 50 秒)。
本交换机支持 MSTP,MSTP 是在传统的 STP、RSTP 的基础上发展而来的新的生成树协议,本身就包含了 RSTP的快速 FORWARDING 机制。
由于传统的生成树协议与 vlan 没有任何联系,因此在特定网络拓朴下就会产生以下问题: 如图4.1 所示,交换机 A、B 在 vlan1 内,交换机 C、D 在 vlan2 内,然后连成环路。
图4.1
在某种情况的配置下,会造成把交换机 A 和 B 间的链路给 DISCARDING.由于交换机 C、D 不包含 vlan1,无法转发 vlan1 的数据包,这样交换机 A 的 vlan1 就无法与交换机 B 的 vlan1 进行通讯。
在网络末梢,连接到单个工作站的时候,是不可能形成桥接环路的。在接口 上启用了 portfast 特性,可以使交换机端口立即变为转发状态,提高了网络的 响应速度及收敛时间。 基于 RSTP 的交换机高级特性 Uplinkfast 在网络中的应用
考虑到有冗余上行连接的网络,使用冗余连接到上层交换机,通常情况下一 个上行连接处于转发状态,另一个处于阻塞状态,如果主上行连接断开,在使用 冗余连接之前所经历的时间高达 50S
在使用 Uplinkfast 之后,使的具有冗余上行连接的交换机具有根端口失效 时,另一个阻塞的上行连接能够立即使用,这个时间大大缩小到 1-5S 之间,在校园网的特殊环境之下,能大大增强网络的稳定性,加快网络收敛 。
4.4 NAT的策略路由实现
在组建网络时,为了节约地址,我们在内部使用保留的私有地址段中的地 址,但是使用私有地址不能访问 Internet,所以必须申请多个公开地址配置在和 Internet 相连的局域网边缘设备上。应用 NAT 进行地址转换。
NAT 是网络地址翻译技术,在路由器上起用 NAT 之后,可以在部私有地址和 外部公网地址之间做转换。比如我们可以把网络内部使用的 IP 翻 译成外部公网的 IP。
配置基于策略的路由选择时,可使用路由映射表来指定基于 IP 地址,应用 程序,协议或者分组长度的条件。基于策略的路由选择命令对中选的路由实现策 略。
基于策略的路由和静态路由有很多共同之处。然而,静态路由根据目标网络 地址来转换分组,而策略路由根据源地址来转发分组。在路由选择表中使用访问 列表时,可根据诸如目标地址,分组长度,IP 协议字段,优先级或端口号来转发数据流。这样可以指定范围更广泛,更细致的条件,并根据这些条件来决定下 一跳路由器。
4.5 VLAN虚拟局域网的划分
VLAN 虚拟局域网是一种在二层设备上隔离和划分广播域的技术,通过这种 划分,我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播域,或者 把物理位置上邻近的网络设备划为不同的广播域,从而更方便我们管理和做一个 逻辑层次的划分。从技术上说 VLAN 可以分为静态 VLAN 和动态 VLAN,那么静 态的 VLAN 是基于交换机端口进行划分,根据网络设备连接不同的交换机端口, 则进入相应的 VLAN。动态 VLAN 则更灵活,它可以根据接入计算机的 IP 地址, MAC 地址,甚至是用户的登陆账号做出相应的处理,把计算机划分进相应的 VLAN 中,这样就为我们实际的网络管理带来了比较大的方便性和灵活性。 那么在我们的企业网方案中,我们希望通过使用VLAN 技术进行划分达到以下 目的:隔离,划分广播域,减小不必要的广播流量,从而提高整个网络的利用效率。
4.6 ACL访问控制策略
访问列表为我们提供了一种对网络访问进行有效管理的方法,通过访问列 表,我们可以设置允许或拒绝数据包通过路由器,或者允许或者拒绝具体的某些 端口进行访问和使用,如果满足条件则执行相应的操作,放行这个包或者放弃这 个包。我们通过这些设置来满足实际网络的灵活需求,从而达到设置网络安全策 略,防止网络中的敏感设备受到非授权访问的情况。
在具体实现过程中从技术上来说我们需要了解到 ACL 分为两种类型,他们分 别是标准访问列表(Standard access lists)和扩展访问列表(Extends access lists) 前者在过滤网络的时候只使用 IP 数据报的源地址,那么在使用这种访问列表的 情况下它做出允许或者拒绝这个决定完全是依赖于源 IP 地址,它无法区分具体 的流量类型。而扩展访问列表则可以提供更细的决定,它可以具体到端口,从而 精确到某一个服务,比如对 WEB,FTP 的访问等,给我们网络的策略提供了更细 的控制手段。我们利用这种访问列表进行协议级的控制以达到对网络一个有效的 管理。标准访问控制列表一般放在靠近目标的路由器上,而扩展访问控制列表一 般放于近源端的路由器上。
4.7 链路聚合
以太道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的 伸缩性,比如可以把 2 个、3 个、4 个千兆的链路绑定在一起,使链路的带宽成 倍增长。链路聚合技术可以实现不同端口的负载均衡,同时也能够互为备份,保 证链路的冗余性。在这些千兆以太网交换机中,最多可以支持 4 组链路聚合,每 组中最大 4 个端口。链路聚合一般是不允许跨芯片设置的。生成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路,并用生成树协议让备份链路阻塞,在逻辑上不形成环路。而一旦出现故障,启用备份链路。
第五章 结构化综合布线
5.1 结构化综合布线概述
建筑物结构化综合布线系统(SCS)又称开放式布线系统,是一种在建筑物和建筑群中综合数据传输的网络系统。它是把建筑物内部的话音交换、智能数据处理设备及其它广义的数据通信设施相互连接起来,并采用必要的设备同建筑物外部数据网络或电话局线路相连接。结构化布线系统是根据各节点的地理分布情况、网络配置情况和通信要求,安装适当的布线介质和连接设备,使整个网络的连接、维护和管理变得简单易行。
(一)先进性原则
作为一个系统,先进性是系统赖以生存发展的条件。为保证网络工程在一定时期内不落后,及系统互连的方便性,我们在该系统的设计时,尽可能采用先进开放的技术和产品。从国内外的一些系统建设的实际经验和教训来看,先进性如不能保证,则会在系统的使用阶段出现后期投资追加过大,系统维护费用加大等问题。
(二)兼容性
SCS是一套全开放式的布线系统,具有一套全系列的的适配器,可以将不同厂商的设备的不同传输介质全部转换成相同的UTP,通过UTP可传输语音、数据、图象、视频信号、楼宇自控信号等,采用光纤可传输远程高速传输数据,高清晰度图象信号,可支持目前所有数据及语音设备厂商的系统。
(三)可管理性和可维护性原则
作为一个系统,其网络管理和维护十分重要,直接关系到整个网络是否能稳定而可靠地运行。在二龙路医院网络工程中,除了在网络设计时采用了统一等建网模式,利用了结构清晰的网络拓扑,还将提供一整套网络测试或维护方案。采用物理星型布线方式,所有设备的开通及更改均不需改变系统布线,只需增减相应的网络设备及做必要的跳线管理即可。
(四)开放性与标准化
开放性与标准化原则是一个系统赖以生存发展的基础。开放的系统,才能发展,才能体现良好的低投入高产出的投资收益。只有坚持标准化的系统,才能保护用户的投资,才能发展,才能体现良好的可扩展和互操作能力,对于计算机综合管理网络这样一个系统,开放性与标准化原则是十分必要的。从国内外的一些系统建设的实际经验和教训来看,开放性与标准化原则如不能保证,则会在系统的使用阶段出现后期使用和维护的困难,系统维护费用加大,系统发展较困难甚至必须重复投资等问题。所有的设备选型、材料选型、施工工艺、施工流程、工程管理、系统测试、工程文档总结全部严格按照国际、国家相关标准实施。
(五)可靠性原则
网络工程其可靠性和稳定性直接关系到应用得好坏。网络系统的故障可能直接给应用带来灾难性的损失。本网络所采用的主要产品采用可靠性设计,力求系统的安全,可靠,稳定的运行。
SCS系统采用高品质的标准材料,通过组合压接的方式,构成一套高标准信息通道。所有器件均通过UL,CSR认证,系统布线全部采用物理星型拓扑,点到点端接,任何一条线路故障均不影响其他线路的运行,同时为线路的运行,维护及故障检修提供了极大的方便,从而保障了系统的可靠运行,并提供了一定的备用冗余。
(六)经济性原则
必须通过性能价格比才能对工程投资得出科学的结论。设计不当的布线系统会增加网络的运行维护及系统变更费用,采用高品质的布线系统使整个系统的运行维护量大大减少,物理星型拓扑结构又使系统故障的诊断与排除极为方便.简单,同时优质的布线系统使系统每次变更均不需改变系统布线,不再产生额外的布线费用。对原有设备硬件的投资,亦应加以保护,本系统在设计上寻求最佳的性能价格比。
(七)实用性原则
作为一个系统,实用性永远是放在第一位的。实用性是系统赖以生存的基础。
5.2 设计依据
5.2.1设计标准
EIA/TIA 568工业标准及国际商务建筑布线标准;ISO/IECJTC1/SC25/VVG3;ANSI FDDI/CDDI;IEEE 802.3 10-Base-T;IEEE 802.5 TokenRing;CCITT ISDN与ATM标准。
5.2.2设计规范
中国建筑电气设计规范;工业企业通讯设计规范;Nexans结构化综合布线系统设计规范。
5.3 传输线缆选型
现在通用的布线系统所采用的线缆种类很多,包括光纤、同轴电缆和双绞线等。光纤的主要特点是容量大,速率高,抗干扰性好,但价格较贵,适合于只需少量使用的主干缆使用。同轴电缆是八十年代以来局域网使用最多的线缆,适合总线型的连接,具有较高的数据传输率。双绞线最初只用于低带宽的模拟信号传输,现在由于技术和工艺的飞速发展,它能支持很高数据传输率的数字信号和模拟信号。双绞线的速率已达到1000M。双绞线还具有价格便宜,安装容易等特点。
从容量、可靠性、数据类型和环境范围等多方面综合考虑,布线系统采用双绞线与光纤作为布线介质。
5.4 系统设计
总体十撞建筑,从网络中心用十二芯单模光纤与其他九撞建筑的设备间|BD|相连,每个设备间也设用十二芯多模光纤与每层的电信间|FD|,并用五类非屏蔽双绞线从电信间与工作站相连接,集团园区网采用10M的光纤以太网接入到因特网服务提供商的网络,然后接入到因特网中,使集团实现与外界的信息交换和网络通信。集团统一由网络中心的一个出口访问Internet,集团能够控制网络的安全。在服务器和核心交换机间:使用UTP电缆来将服务器连接到核心交换机。
本次企业网络建设中布线系统采用星形的分布式拓扑结构,分为工作区子系统、水平子系统、管理子系统、垂直干线子系统、建筑群子系统、设备间子系统。
5.4.1 工作区子系统
工作区子系统由终端设备连接到信息插座的联线组成,包括装配软线、连接件和联接所需的扩展软线,并在终端设备和输入/输出设备之间搭接。一个的终端设备需要的区域划分为一个工作区,一个终端设备的服务面积可按5~10平方米设置,也可按用户应用场合要求设置。每个工作区至少配置一个通讯插座盒,信息插座是终端设备与水平子系统连接的接口。每个四对线缆必须都终接在工作区的一个八针模块化插座上,八针模块化信息插座是为所有的综合布线系统推荐的标准I/O插座,在终端一端将带有八针的插头软线插入插座。本次采用双口墙上通讯信息盒,配备两个八针信息模块,跳接软线采用RJ-45——RJ-45迅接跳线。
5.4.2水平子系统
水平子系统由配线间至信息插座的配线电缆和工作区的信息插座组成,水平子系统采用四对双绞线,设计为物理星型拓扑结构,每个工作区的信息插座都要和管理子系统相连。水平子系统的距离不得超过90m。信息插座距离地面30cm。
5.4.3干线子系统
干线子系统由设备间子系统、管理子系统和水平子系统的引入口设备之间的相互连接线缆组成。干线子系统应选择干线电缆较短、安全的路由。宜选择专用的敷设通道,也可与弱电线井和用,干线电缆不应设置在电梯、供水、供暖、强电竖井里。干线电缆采用点对点端接方式,
5.4.4设备间子系统
设备间子系统是在每幢大楼的各层适当的地方安装主配线架,并进行整个布线系统的管理和维护的场所。设备间的标准要求应按GB2887-93《计算机场地技术条件》设计。
表5.1 场地要求
| 项目 | 要求 |
| 面积: | 》=10平方米 |
| 地板: | 等效均布活荷负载>56KG/M² 距天花板>2.3M |
| 三防活动地板 | 强度:15KG/M² 绝缘电阻:>150KΩ 地板高度:2.3m |
| 消防 | 使用防火、防盗及能耐火1小时的防火墙,并防止有害气体的侵入。避免存放易腐蚀、易燃物品 |
| 电源 | 电源稳定,单项:220v 允许变化范围:-10%~+7% 相间不平衡电压:10v 频率:50HZ ±1% |
| 温度 | 18~27°c 变化速度:<7.5°c /30分钟 |
| 地线 | 计算机系统地线接地地阻<1Ω 与避雷地线间距 >15m 通讯系统地线接地电阻<0.5Ω 地线引出线采用25~35mm²铜芯绝缘电缆 铜排与铜棒应埋于地下0.8m位置以下 , 并均匀铺放大盐3KG/M² |
| 干扰 | 磁场干扰<50奥特司 磁场杂讯干扰<0.5v/M 频率范围 14KHZ—1GHZ 电气防护及接地当周围环境超过规定电磁干扰时,必须采用屏蔽防护措施,将线缆放置于金属导管中,形成屏蔽层,抑制外来电磁的干扰,屏蔽层应保持连通并接地,屏蔽接地线应焊接到近处不超 过6m的接地点处 |
主设备间内铜缆系统干线及语音水平线都采用110AB2-300FT型配线架管理,并留有端接空间。干线光缆采用600A1型19英寸标准光纤配线架管理,可端接于主机柜内,通过光纤跳线可灵活的实现光缆配置的改变。
5.4.5管理子系统
管理子系统由配线间、配线硬件、I/O设备组成用于提供设备间与其他子系统的联接。本设计方案根据信息点的分布设置以及网络负载能力设置管理子系统,采用RJ-45端口迅接配线架,并配有一致的标识,方便网络管理员的维护,以及网络系统的灵活变动。综合布线的每条电缆、光缆、配线设备、端节点、安装通道均应给定唯一的标志。电缆、光缆的两端应标明相同的编号。
信息点距离较长且将来信息点变动可能比较灵活,主要是考虑设备易于管理,并且可以降低系统造价;此种方式具有结构紧凑、便于管理的特点。
5.4.6建筑群子系统
建筑群子系统应由连接各建筑物之间的综合布线缆线、建筑群配线设备和跳线组成。
建筑物之间宜采用地下管道或电缆沟的敷设方式,也可架空敷设。建筑群干线电缆、光缆、公用网和专用网电缆、光缆进入建筑物时,都应设置引入设备,并在适当为位置终端转换为室内电缆、光缆。引入设备还包括必要的保护装置。建筑群和建筑物的干线电缆、主干光缆布线的交接不应多于两次,从楼层配线架到建筑群配线架之间只应通过一个建筑物配线架。
第六章 网络的后期安全维护管理
6.1 网络安全
(一) 电源的安全
电源不仅是一个计算机网络能够运行的最基本条件,同时电源的安全也是计算机网络安全运行的最基本要素。这里电源的安全不仅要求为所有的工作站、服务器和网络设备提供一个高质量的电源,同时还要设置良好的接地系统。对于服务器和网络设备还要设置不间断电源(UPS)装置,这不但可以增加网络的连续运行能力,而且可以防止因为突然断电对网络硬件造成的损坏。特别是服务器,如果正在运行的服务器突然断电,不但硬件设备可能出现问题,而且操作系统或应用因为没有正常关闭可能导致数据不能提交或系统不能正常启动,甚至造成服务器或应用的瘫痪。这是任何一个企业都不愿看到的。
在网络建设和维护中,电源是最稳定的一个部分,一般情况下,它不会随着应用的发展频繁地升级,因此,中小企业在构建自己的网络系统时,进行相应的投资建立一个安全的电源系统是非常值得的。
(二) 数据存储的安全
保存在服务器中的数据是网络应用的核心,如果由于服务器磁盘故障造成数据的损坏或丢失,可能会造成无法估量的损失。因此必须采取相应的容错及灾难恢复手段来加强服务器存储系统的可靠性。目前,构建服务器存储系统使用最广泛的技术是RAID。RAID的实现策略主要是用多个磁盘驱动器替换单一的大容量的磁盘驱动器,并将数据在各个磁盘上进行分布存放并支持同时在多个磁盘进行并行读写,同时利用冗余的磁盘空间将数据从错误中恢复。由于服务器中构成RAID的磁盘通常为热插拔磁盘,因此磁盘出现故障时,可以不停机地对故障进行修复,增加了网络系统的连续工作能力。RAID分为好几个级别,每个级别在I/O性能和安全性方面各具特点,其中RAID1和RAID5使用最多。
RAID1—磁盘镜像。它由磁盘对组成,每一个工作盘都有对应的镜像盘,保存着和工作盘完全相同的数据拷贝。当对逻辑块进行写入操作时,工作盘和镜像盘都进行实时更新。如果磁盘对中任一个磁盘失败,所有的读写请求立刻会转移到另一块磁盘上。因此它具有最高的可靠性,但它的I/O性能和空间利用率不高,只用50%,适用于访问量不大但比较注重数据安全性的应用环境。从性能价格比看,中小企业网络的应用服务器采用RAID1是非常合适的选择。
RAID5—没有校验盘的奇偶校验码磁盘阵列。RAID5采用了存取技术,校验信息分布在阵列内的所有磁盘上,如果阵列中有一个磁盘失败,这个盘中的数据可以通过其他盘中的数据根据校验码进行异或运算获得。RAID5至少需要3块磁盘构成,每一块磁盘上都要占用1/N的空间存放校验信息(N为构成RAID5的磁盘数量)。由于采用了存取技术, RAID5对于大、小批量的数据读写性能都很好,适用于访问量很大的系统。在中小企业构建网络时,可以将Web服务器或数据库服务器的存储系统设置为RAID5。
可以根据RAID的应用级别来选择相应的服务器,这样配置起来更方便一些。
(三)防病毒设置
计算机病毒一直是困扰着计算机和网络系统的最大问题之一。随着计算机技术的不断进步,计算机病毒也不断地向智能化和网络化发展,具有更强大的攻击力和破坏性,从以往的破坏软件系统到现在的攻击硬件系统和网络系统,尤其是借助于发展迅速的Internet和Intranet,计算机病毒可以通过各种渠道迅速地蔓延并实施破坏。如果没有防范措施的话,一个企业的计算机网络很容易因为计算机病毒的攻击而陷入瘫痪。这对于一个企业而言,后果可能是致命的。因此中小企业同样需要采取相应的防病毒措施来保证网络系统不受病毒的侵害。可以采取以下两种措施:
(1)为每台工作站和服务器安装单机版的防病毒软件,每台计算机定时地下载病毒码信息并进行更新。这种方式投资小,但是病毒码信息更新不及时或不同步,不能对最新的病毒做出及时的响应,可能导致网络系统受到病毒的侵害。
(2)安装网络防毒系统。这种方式采用客户机/服务器方式,选择一台微机或应用服务器安装网络防病毒系统的服务器端软件,并通过Internet利用防毒系统的在线更新功能实时地进行病毒码信息的更新。网络中的所有计算机和服务器均安装防毒系统的客户端软件,利用服务器端获得最新的病毒码信息对计算机进行病毒扫描。这种方式虽然投资较大,但是对病毒码信息进行实时的更新,可以保证网络不受到病毒的侵害,控制病毒的大肆传播。
(四)防火墙设置
企业构建了Intranet,实现了与Internet的接轨,虽然为企业业务的开展和日常的工作、学习带来了极大的方便,但是我们不得不面对的一个问题就是实现了与Internet的接入,企业的内部网络就完全地暴露在外界了,也就可能受到各种有意或无意的攻击。因此建立企业的Intranet,必须建立网络的防火墙系统来保证内部网络的安全。
6.2 网络管理
大型企业的网络通常都通过功能完善的专业网管系统对网络进行管理,这个投资对于中小企业来说可能是无法承担的。事实上,由于中小企业的网络结构比较简单,一般不需要对网络的流量、网络设备的状态和端口设置等信息进行实时的控制和检查。网络管理员可能对网络的连通性、IP地址的设置情况和需要时能对设备进行设置更为关心一些,而这些工作利用Windows 系统包含的Ping、Ipconfig、Telnet等实用工具就可以完成。
网络管理采用SNMP网络管理协议:SNMP 用于在 IP 网络管理网络节点(服务器、工作站、路由器、交换机及 HUBS 等)的一种标准协议,它是一种应用层协议。SNMP 使网络管理员能够管理网络效能,发现并解决网络问题以及规划网络增长。通过 SNMP 接收随机消息(及事件报告)网络管理系统获知网络出现问题。
第七章 总结
在这次的课程设计中,我们加深了对所学内容的理解,通过构件一个小型企业的内部网络,真正将网络方面的知识应用到实际的设计中,实现了理论知识与实际的结合;同时也通过查阅书籍和网上搜索,学到了在课程中没有的,在实际中却非常使用的知识。
学到了构件一个企业网络,需要知道一个企业的基本组成,包括网络中心、后勤中心、销售部、会议中心、财务中心、行政楼、职工宿舍等,然后还要理解每个组成的规模,以便给它分配合适的IP。然后还要知道构建网络的原则和需求,网络拓扑结构设计,VLAN的应用,网络核心层,汇聚层,接入层的设计,路由器,交换机的选择等一系列相关的网络知识。
通过这次实习,我们明白了自身的不足,学会了如何利用各种方法去解决问题,如何寻找问题的症结并对症下药,如何与自己的伙伴团结协作,合理分工。更重要的是,我们学到了很多网络方面的知识,对企业网络的实用性、开放性、先进性、可靠性、可扩充性、可靠性和安全性等有了更深一步的了解。
具体分工:吴冕同学负责了网络设计原则及需求分析的相关事宜,陈逢俊同学负责了网络拓扑结构、IP规划及设备选型与网络技术选型的相关事宜,朱鹏飞同学负责了综合布线设计与网络安全的相关事宜。三人共同完成了论文编辑及完善工作。
参考文献
[1] 谢希仁.计算机网络技术. 电子工业出版社.(第一版).2003
[2] 张尧学等编著.计算机网络与Internet教程.(第二版).清华大学出版社.2006.11
[3] (美)Vincent C.Jones .Cisco.高可用性组网技术.(第一版).清华大学出版社.2003.1
[4] 杨卫东.网络系统集成与工程设计.(第一版).科学出版社.2002
[5] 雷震甲.网络工程师教程.(第二版).清华大学出版社.2006.6
[6] 黎连业.网络综合布线系统与施工技术.(第一版).机械工业出版社 .2003
[7] 于静林.办公自动化系统的分析与开发.(第一版).信息技术出版社.2001
致 谢
本次实习是在谢水珍老师的悉心关怀和指导下完成的。谢老师对工作认真负责,有很好的耐心,在学生遇到难题时主动帮助学生解决问题。谢老师严谨的治学精神使我们受益匪浅。无论在日常学习还是课余生活中,老师都给予我们无私的帮助和无微不至的关怀。对于老师的教诲,学生将受益终生。在此,谨对领导及指导老师的辛勤培养和悉心关怀致以最诚挚的谢意!也祝愿老师在今后的生活中身体健康,工作上顺顺利利!
Copyright © 2019-2026 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
