版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領
文檔簡介
1、<p><b> XXXX學 院</b></p><p> 畢 業(yè) 設 計 (論 文)</p><p> 中小型企業(yè)的網(wǎng)絡管理模式方案設計</p><p> 系 別:___計算機工程系_____</p><p> 年 級:____XXX級_______</p><p&
2、gt; ?! ?業(yè):___XXXXXXXXXXXX_____</p><p> 學 號:__ XXXXXXXXXXXXX____</p><p> 學生姓名:___ XXXXXX________</p><p> 指導教師:___ XXXXXXX_______</p><p> 目 錄<
3、/p><p><b> 前言3</b></p><p> 第一章、需求分析4</p><p> 1.1 網(wǎng)絡要求4</p><p> 1.2 系統(tǒng)要求4</p><p> 1.3 用戶要求4</p><p> 1.4 設備要求5</p>&
4、lt;p> 第2章、設計方案分析5</p><p> 2.1局域網(wǎng)技術5</p><p> 2.2、網(wǎng)絡的體系結構6</p><p> 2.3、網(wǎng)絡協(xié)議6</p><p> 2.3.1 TCP/IP協(xié)議6</p><p> 2.3.2超文本傳輸協(xié)議(HTTP)7</p>&l
5、t;p> 2.3.3文件傳輸協(xié)議(FTP)7</p><p> 2.3.4遠程登錄協(xié)議(Telnet)7</p><p> 2.4 設計原則8</p><p> 2.4.1 先進性8</p><p> 2.4.2 安全可靠性8</p><p> 2.4.3 實用性8</p>
6、<p> 2.4.4 可擴展性9</p><p> 2.4.5 開放性9</p><p> 2.4.6 靈活性9</p><p><b> 2.5安全分析9</b></p><p> 2.5.1企業(yè)互聯(lián)網(wǎng)接入模塊9</p><p> 2.5.2 企業(yè)內(nèi)部局域網(wǎng)模塊
7、10</p><p> 2.6軟硬件功能分析10</p><p> 2.6.1 路由器10</p><p> 2.6.2交換機10</p><p> 2.6.3防火墻11</p><p> 2.6.4服務器11</p><p> 2.6.5 公網(wǎng)IP地址數(shù)11</p
8、><p> 2.7 VLAN技術分析11</p><p> 2.7.1、 VLAN技術概述11</p><p> 2.7.2、使用VLAN技術的優(yōu)點12</p><p> 2.7.3、 VLAN的劃分方法13</p><p> 2.8、網(wǎng)絡設備選型原則14</p><p> 2
9、.8.1設備選型原則14</p><p> 2.8.2、常用網(wǎng)絡設備14</p><p> 2.9網(wǎng)絡地址轉化(NAT)技術分析17</p><p> 第三章、局域網(wǎng)規(guī)劃設計方案17</p><p> 3.1網(wǎng)絡拓撲結構選擇17</p><p> 3.2 VLAN及IP地址規(guī)劃19</p&g
10、t;<p> 3.3 網(wǎng)絡安全設計21</p><p> 第四章、路由交換部分的設計22</p><p> 4.1.VLAN設計規(guī)范22</p><p> 4.2 冗余電源22</p><p> 4.6 等價路由(ECMP)24</p><p> 4.8 VPN26</p
11、><p><b> 總 結26</b></p><p> 主要參考文獻資料:26</p><p><b> 致 謝27</b></p><p> 課題內(nèi)容:中小型企業(yè)網(wǎng)的設計與實現(xiàn)</p><p><b> 前言</b></p>
12、<p> 二十一世紀是知識經(jīng)濟時代。隨著現(xiàn)代科學技術的飛速發(fā)展,全球信息化浪潮勢不可擋,已經(jīng)迅速延伸至國防、科研、經(jīng)濟、教育等各個領域,也不可避免地改變著傳統(tǒng)的企業(yè)人事的工作模式,利用當前蓬勃發(fā)展的以計算機和網(wǎng)絡為主導的現(xiàn)代信息技術則是企業(yè)實現(xiàn)現(xiàn)代化工作的必不可少的技術基礎。</p><p> 在現(xiàn)今的網(wǎng)絡建設中,企業(yè)網(wǎng)的建設是非常重要的,企業(yè)網(wǎng)內(nèi)部各種不同業(yè)務的開展是企業(yè)網(wǎng)發(fā)展迅速的最主要原因。
13、從早期的企業(yè)網(wǎng)主要是簡單的數(shù)據(jù)共享,簡單數(shù)據(jù)庫的共享到現(xiàn)在內(nèi)部全方位的數(shù)據(jù)共享,從過去單一的企業(yè)到現(xiàn)在多個分支公司的全部互連,因而對網(wǎng)絡的覆蓋面要求越來越廣。這一要求最早還只局限于各分支企業(yè)內(nèi)部,現(xiàn)在則已是整個企業(yè)、整個行業(yè),甚至整個Internet的共同要求。</p><p><b> 第一章、需求分析</b></p><p><b> 1.1 網(wǎng)絡要
14、求</b></p><p> 滿足公司信息化的要求,為各類應用系統(tǒng)提供方便、快捷的信息通路;具有良好的性能,能夠支持大容量和實時性的各類應用;能夠可靠運行,具有較低的故障率和維護要求。提供網(wǎng)絡安全機制,滿足公司信息安全的要求,具有較高的性價比,未來升級擴展容易,保護用戶投資;用戶使用簡單、維護容易,為用戶提供良好的售后服務。</p><p> 主干網(wǎng)負責各個子網(wǎng)和應用服務的
15、連接,網(wǎng)絡協(xié)議采用TCP/IP協(xié)議,整個網(wǎng)絡應考慮語音、視頻、數(shù)據(jù)等的綜合應用。交換機要求采用主流、成熟、信譽和售后服務均佳的產(chǎn)品,核心交換機采用三層交換機,支持VLAN等功能,能較好解決突發(fā)數(shù)據(jù)量和密集服務請求的實時響應問題,在內(nèi)部用戶終端進行視頻信號、數(shù)據(jù)交換時交換引擎不會出現(xiàn)過載現(xiàn)象和數(shù)據(jù)包碰撞、丟失的現(xiàn)象,還要考慮預防瓶頸出現(xiàn)和補救的相應措施。下屬單位接入交換機可采用相對低一檔的產(chǎn)品;本系統(tǒng)處理的信息包括數(shù)據(jù)、語音和圖像等,因此
16、要考慮實時性問題,特別要考慮包括視頻會議在內(nèi)的信息共享等方面的實時性要求。;UPS電源的配備,配置要保證網(wǎng)絡中所有的服務器、交換機、路由器、集線器等設備的連續(xù)、正常地運轉;網(wǎng)絡帶寬的分配:應根據(jù)所屬單位網(wǎng)絡的信息流量情況合理分配網(wǎng)段,以充分利用網(wǎng)絡帶寬,提高網(wǎng)絡的運行效率。網(wǎng)絡需要需要具有多主機跨平臺主機連接能力,數(shù)據(jù)集中存放、集中管理、數(shù)據(jù)有效共享、存儲空間共享、統(tǒng)一安全備份,可實現(xiàn)無人值守、自動實施備份策略,備份LANFREE、SE
17、RVERLESS等功能,為全面集中管理和數(shù)據(jù)倉庫的建設奠定堅實的基礎</p><p><b> 1.2 系統(tǒng)要求</b></p><p> 配置簡單方便:所有的客戶端和服務器系統(tǒng)應該是易于配置和管理的,并保障客戶端的方便使用;廣泛的設備支持:所有操作系統(tǒng)及選擇的服務應盡量廣泛的支持各種硬件設備;穩(wěn)定性及可靠性:系統(tǒng)的運行應具有高穩(wěn)定性,保障7*24的高性能無故障運
18、行??晒芾硇裕合到y(tǒng)中應提供盡量多的管理方式和管理工具,便于系統(tǒng)管理員在任何位置方便的對整個系統(tǒng)進行管理;更低的成本:系統(tǒng)設計應盡量降低整個系統(tǒng)的成本;安全性:在系統(tǒng)的設計、實現(xiàn)及應用上應采用多種安全手段保障網(wǎng)絡安全;提供良好的售后服務。網(wǎng)絡還應具有開放性、可擴展性及兼容性,全部系統(tǒng)的設計要求采用開放的技術和標準選擇主流的操作系統(tǒng)及應用軟件,保障系統(tǒng)能夠適應未來幾年公司的業(yè)務發(fā)展需求,便于網(wǎng)絡的擴展和公司的結構變更。</p>
19、<p><b> 1.3 用戶要求</b></p><p> 要求計算機應用系統(tǒng)能處理大信息量的傳輸和計算;要求易于用戶管理、界面簡單、邏輯清晰;滿足用戶使用網(wǎng)絡系統(tǒng)的運行質量,提高網(wǎng)絡運行速度;要求采用千兆以太網(wǎng)作為主干的網(wǎng)絡技術,提供標準化的高速度主干網(wǎng)連接,并在未來可以升級到IP,可以在同一個網(wǎng)絡中支持多種服務質量,以支持目前和未來的應用和服務為標準。允許網(wǎng)絡集成,使用
20、三層交換來代替路由,能實現(xiàn)與廣域網(wǎng)的集成功能;網(wǎng)絡中使用的設備、技術和協(xié)議完全符合國際通用的標準,兼容現(xiàn)有的網(wǎng)絡環(huán)境,提供良好的互聯(lián)性;要求網(wǎng)絡提供足夠的帶寬,豐富的接口形式,滿足用戶對應用帶寬的基本要求,并保留一定的余量供擴展使用,最大可能地降低網(wǎng)絡傳輸延遲;要求網(wǎng)絡有很高的可靠性、穩(wěn)定性及冗余,網(wǎng)絡能夠提供良好的安全性策略,能避免內(nèi)部操作失誤造成的損害和來自外部的惡意攻擊。</p><p><b>
21、 1.4 設備要求</b></p><p> 根據(jù)公司的網(wǎng)絡功能需求和實際的布線系統(tǒng)情況,樓層接入設備需要選擇同一型號的設備;子公司主交換機可以根據(jù)需要通過堆疊方式進行靈活的升級擴容;網(wǎng)絡設備必須在技術上具有先進性、通用性,必須便于管理、維護,應該滿足公司現(xiàn)有計算機設備的高速接入,應該具備良好的可擴展性、可升級性,保護用戶的投資。網(wǎng)絡設備在滿足功能與性能的基礎上必須具有良好的性價比。網(wǎng)絡設備應該選
22、擇擁有足夠實力和市場份額的廠商的主流產(chǎn)品,同時設備廠商必須要有良好的市場形象與售后技術支持。</p><p> 第2章、設計方案分析 </p><p><b> 2.1局域網(wǎng)技術</b></p><p> 局域網(wǎng)是同一建筑、同一企業(yè)、方圓幾公里遠的地域內(nèi)的專用網(wǎng)絡。局域網(wǎng)通常用來連接公司辦公室或企業(yè)內(nèi)部的個人計算機和工作站,以共享軟、硬
23、件資源。美國電氣和電子工程師協(xié)會(IEEE)局域網(wǎng)標準委員會員會曾提出局域網(wǎng)的一些具體特征:</p><p> 局域網(wǎng)在通信距離有一定的限制,一般在1~2Km的地域范圍內(nèi)。比如在一個辦公樓內(nèi)、一個學校等。</p><p> 較高傳輸率的物理通信信道也是局域網(wǎng)的一個主要特征,在廣域網(wǎng)中用電話線連接的計算機一般也只有20~40Kpbs的速率。因為連接線路都比較短,中間幾乎不會愛任何干擾,所
24、以局域網(wǎng)還具有始終一致的低誤碼率。</p><p> 局域網(wǎng)一般是一個單位或部門專用的,所以管理起很方便。</p><p> 另外局域網(wǎng)的拓撲結構比較簡單,所支持連接的計算機數(shù)量也是有限的。組網(wǎng)時也就相對很容易連接。</p><p> 2.2、網(wǎng)絡的體系結構 </p><p> 網(wǎng)絡通常按層或級的方式來組織,每一層都建立在它的下層之上
25、。不同的網(wǎng)絡,層的名字、數(shù)量、內(nèi)容和功能都不盡相同。但是每一層的目的都是向它的上一層提供服務,這一點是相同的。層和協(xié)議的集合被稱為網(wǎng)絡體系結構。作為具體的網(wǎng)絡體系結構,當前重要的和使用廣泛的網(wǎng)絡體結構有OSI體系結構和TCP/IP體系結構。</p><p> OSI是開放系統(tǒng)互連基本參考模型OSI/RM(Open System Interconnection Reference Model)縮寫,它被分成7層,
26、這7個層次分別定義了不同的功能。幾乎所有的網(wǎng)絡都是基于這種體系結構的模型進行改進并定義的,這些層次從上到下分別是應用層、表示層、會話層、傳輸層、網(wǎng)絡層,數(shù)據(jù)鏈路層和物理層,其中物理層是位于體系結構的最低層,它定義了OSI網(wǎng)絡中的物理特性和電氣特性。</p><p> TCP/IP(Transmission Control Protocol/Internet Protocol,傳輸控制協(xié)議和互連網(wǎng)協(xié)議)縮寫,TC
27、P/IP體系結構是當前應用于Internet網(wǎng)絡中的體系結構,它是由OSI結構演變來的,它沒有表示層,只有應用層、運輸層,網(wǎng)際層和網(wǎng)絡接口層。</p><p><b> 2.3、網(wǎng)絡協(xié)議 </b></p><p> 網(wǎng)絡協(xié)議是通信雙方共同遵守的約定和規(guī)范,網(wǎng)絡設備必須安裝或設置各種網(wǎng)絡協(xié)議之后才能完成數(shù)據(jù)的傳輸和發(fā)送,在校園局域網(wǎng)上用到的協(xié)議主要有,ICP/IP協(xié)
28、議、IPX/SPX協(xié)議等。</p><p> 2.3.1 TCP/IP協(xié)議</p><p> TCP/IP協(xié)議是目前在網(wǎng)絡中應用得最廣泛的協(xié)議,ICP/IP實際上是一個關于Internet的標準,并隨著的Internet廣泛應用而風靡全球,它也成為局域網(wǎng)的首選協(xié)議。TCP/IP是一種分層協(xié)議,它共被分為個4層次,大約包含近期100個非專有協(xié)議,通過這些協(xié)議,可以高效和可靠地實現(xiàn)計算機系
29、統(tǒng)之間的互連。TCP/IP協(xié)議中的核心協(xié)議有TCP(傳輸控制協(xié)議)、UDP(用戶數(shù)據(jù)報協(xié)議)和IP(因特網(wǎng)協(xié)議)</p><p> TCP協(xié)議可以在網(wǎng)絡用戶啟動的軟件應用進程之間建立通信會話,并實現(xiàn)數(shù)據(jù)流量控制和錯誤檢測,這樣就可以在不可靠的網(wǎng)絡上提供可靠的端到端數(shù)據(jù)傳輸。UDP協(xié)議是一種無連接的協(xié)議,它在傳輸數(shù)據(jù)之前不建立連接,也不提供良好的可靠性和差錯檢查,只僅僅依賴于校驗來保證可靠性。UDP不進行流量控制
30、,沒有序列或者確認,因此它處理和傳輸數(shù)據(jù)的速度快,還被用來傳輸關鍵的網(wǎng)絡狀態(tài)消息。</p><p> IP協(xié)議的基本功能是提供數(shù)據(jù)傳輸、數(shù)據(jù)包編址、數(shù)據(jù)包路由,分段等。通過IP編址約定,可以成功地將數(shù)據(jù)通過路由傳輸?shù)秸_的網(wǎng)絡或者子網(wǎng)。每個網(wǎng)絡站點具有一個32位的IP地址,它和48位MAC地址一起協(xié)作,完成網(wǎng)絡通信,IP協(xié)議也是一種無連接的協(xié)議。</p><p> 2.3.2超文本傳輸
31、協(xié)議(HTTP)</p><p> HTTP(HyperText Transfer Protocol ),超文本傳輸協(xié)議)是WWW瀏覽器和WWW服務器之間的應用層協(xié)議,是用于分布式協(xié)作超文本信息系統(tǒng)的、通用的、面向對象的協(xié)議,HTTP協(xié)議還是基于TCP/IP協(xié)議之上的應用層協(xié)。</p><p> 2.3.3文件傳輸協(xié)議(FTP)</p><p> FTP(Fi
32、le Transfer Protocol ,文件傳輸協(xié)議)是由支持Internet文件傳輸?shù)母鞣N規(guī)則所組成的集合。這些規(guī)則能使網(wǎng)絡用戶把文件從一個主機拷貝到另一個主機上,F(xiàn)TP是采客戶/服務器方式服務的。</p><p> 2.3.4遠程登錄協(xié)議(Telnet) </p><p> 遠程登錄協(xié)議的目的是提供一個全面的、雙向的、面向8個比特字節(jié)的通信工具,其主要目標是提供終端設備與面向進
33、程接口的標準方法,Telnet是應用層的協(xié)議,采用客戶/服務器模式工作的,Telnet不僅允許用戶登錄到遠端主機上,還允許用執(zhí)行遠端主機的命令,這樣用戶就能以極小的網(wǎng)絡資源代價完成大型的網(wǎng)絡應用。</p><p><b> 2.4 設計原則 </b></p><p> 2.4.1 先進性:采用主流網(wǎng)絡體系、運行系統(tǒng)和設備產(chǎn)品</p><
34、;p> 我們設計的網(wǎng)絡方案采用三層分布式結構。核心層選用了高性能的思科千兆路由器,可以實現(xiàn)將全網(wǎng)的數(shù)據(jù)進行高速無阻塞的路由到Internet;負責路由管理、網(wǎng)絡管理、網(wǎng)絡服務、核心數(shù)據(jù)處理等。</p><p> 匯聚層采用思科網(wǎng)絡Cisco Catalyst 3560E-24PD三層交換機,全千兆路由交換機組成,負責接入層匯聚,提供高速無阻塞的鏈路到核心層,抑制廣播風暴和分流核心數(shù)據(jù)處理壓力等,可實施V
35、LAN間高速路由,大大提升網(wǎng)絡性能。</p><p> 接入層選用思科網(wǎng)絡Cisco Catalyst 2960-24TT ,充分滿足用戶的高速接入等,并可靈活擴展,增加端口密度。</p><p> 服務器設備采用曙光服務器,網(wǎng)絡操作系統(tǒng)采用WINDOWS SERVER 2003操作系統(tǒng);具有很好的安全性。</p><p> 2.4.2 安全可靠性:采用先進可
36、靠的容錯技術和防火墻技術以及核心層和接入層的鏈路冗余功能</p><p> 安全性:提供全方位的安全管理系統(tǒng)</p><p> 內(nèi)部網(wǎng)絡之間、內(nèi)部網(wǎng)絡與外部公共網(wǎng)之間的互聯(lián),利用防火墻、殺毒軟件等對訪問進行控制,確保網(wǎng)絡的安全。</p><p> 可靠性:采用先進可靠的容錯技術</p><p> 對工作站、服務器、交換機及其他主要相關
37、設備在廠家、品牌、服務等方面進行充分調(diào)研、論證、選擇,確保硬件設備的基本品質。采用WINDOWS 2003作為網(wǎng)絡操作系統(tǒng),并以“數(shù)據(jù)庫”的方式建立各種生產(chǎn)、裝配中心和管理應用系統(tǒng),保證網(wǎng)絡系統(tǒng)和應用系統(tǒng)的安全穩(wěn)定。</p><p> 容錯技術采用:雙工磁盤技術</p><p> 在網(wǎng)絡系統(tǒng)上建立起兩套同樣的且同步工作的文件服務器,如果其中一個出現(xiàn)故障,另一個將立即自動投入系統(tǒng),接替發(fā)
38、生故障的文件服務器的全部工作。</p><p> 2.4.3 實用性:性能指標能滿足各項業(yè)務處理能力</p><p> 企業(yè)組網(wǎng)的方案在接入層交換機將用MAC地址與端口的捆綁實現(xiàn)高效的用戶控制。</p><p> 2.4.4 可擴展性:隨業(yè)務不斷發(fā)展而擴展</p><p> 可擴展性:網(wǎng)絡的核心層采用模塊化路由器Cisco 2811,
39、匯聚層采用模塊化交換機,按照需求靈活配置各種模塊,做到既滿足需求,由留有余地。整個網(wǎng)絡架構采用三層結構,使網(wǎng)絡具有較好的伸縮性、可以根據(jù)網(wǎng)絡建設的不同階段靈活配置和擴展,具有能不斷吸收新技術、新方法的功能。</p><p> 2.4.5 開放性 </p><p> 本次設計的中央集成管理系統(tǒng)將是一個完全開放性的系統(tǒng),通過編制系統(tǒng)的接口軟件將解決不同系統(tǒng)和產(chǎn)品間接口協(xié)議的“標準化”,以使
40、他們之間具備“互操作性”。所有接口均基于標準的TCP/IP數(shù)據(jù)接口協(xié)議和內(nèi)容。系統(tǒng)的開放性設計完全遵循國際主流標準以及工業(yè)標準。</p><p> 2.4.6 靈活性:支持先進的虛擬網(wǎng)絡技術,通過軟件快速轉換。</p><p><b> 2.5安全分析</b></p><p> 2.5.1企業(yè)互聯(lián)網(wǎng)接入模塊</p><
41、p> 擁有公共地址的服務器是最容易被攻擊的。以下是企業(yè)互聯(lián)網(wǎng)模塊潛在的威脅:未授權訪問、應用層攻擊、病毒與特洛伊馬攻擊、密碼攻擊、拒絕服務、IP電子欺騙、分組竊聽、網(wǎng)絡偵察、信任關系利用、端口重定向等。</p><p> 從ISP的客戶邊緣路由器開始,ISP出口將限制那些超出預定閾值的次要信息流,以便減少DDoS攻擊。同時在ISP路由器的入口處,防火墻的過濾功能將防止針對本地網(wǎng)絡及專用地址的源地址電子欺
42、騙。</p><p> 防火墻為通過防火墻發(fā)起的會話提供了連接狀態(tài)執(zhí)行操作以及詳細的過濾。擁有公共地址的服務器通過在防火墻上使用半開放連接限制能夠防止TCP SYN洪水。從過濾的角度講,除了將公共服務區(qū)域的信息流限定到相關地址和端口外,在相反的方向上也在進行過濾。如果某個攻擊涉及到一個公共服務器(通過規(guī)避防火墻和基于主機的IDS),那么這個服務器應該不會再進一步攻擊網(wǎng)絡。為了緩解這種攻擊,具體的過濾將防止公共服
43、務器向其他任何地點發(fā)出任何未授權請求。例如,應該對Web服務器進行過濾,以便使其不能自身產(chǎn)生請求,而只能回答來自客戶機的請求。這種設置有助于防止黑客在實施最初的攻擊后將更多的應用下載到被破壞的機器。同時還有助于防止黑客在主攻擊過程中觸發(fā)不受歡迎的會話。</p><p> 2.5.2 企業(yè)內(nèi)部局域網(wǎng)模塊</p><p> 交換機的主要功能是交換生產(chǎn)與管理信息流并為公司和管理服務器以及用戶
44、提供連接。在交換機內(nèi)部可以實施VLAN,以減少設備間的信任關系利用攻擊。例如,公司用戶可能需要與公司服務器通信但彼此之間可能沒有必要通信。</p><p> 2.6軟硬件功能分析</p><p><b> 2.6.1 路由器</b></p><p> 就企業(yè)局域網(wǎng)網(wǎng)絡而言,由于大量的數(shù)據(jù)都發(fā)生在局域網(wǎng)內(nèi)部,對路由器的性能要求不高,因此,可
45、以選用中低端路由器。低端路由器主要適用中小辦公網(wǎng)絡的應用,考慮的一個主要因素是端口數(shù)量,另外還要看包交換能力和NAT轉換能力。中端路由器適用大中型辦公網(wǎng)絡,選用的原則也是考慮端口支持能力、包交換能力和NAT轉換能力。</p><p> 在這里值得進一步說明的是,如果讓內(nèi)部計算機直接通過路由器訪問外部網(wǎng)絡,必須做NAT轉換,當并發(fā)連接較大時,做NAT轉換非常占資源,最好考慮有帶NAT模塊的路由器或專門的NAT設備
46、。</p><p><b> 2.6.2交換機</b></p><p> 工作組交換機采用可網(wǎng)管交換機,實現(xiàn)對每臺接入計算機的控制,實現(xiàn)VLAN(虛擬網(wǎng))的劃分,確保最大限度的網(wǎng)絡訪問安全。接入層交換機采用擁有千兆端口的可網(wǎng)管交換機實現(xiàn)與核心路由器的高速連接,避免可能產(chǎn)生的網(wǎng)絡瓶頸。匯聚層交換機采用三層交換機,實現(xiàn)接入層的告訴匯聚功能以及VLAN間路由實現(xiàn)。<
47、;/p><p><b> 2.6.3防火墻</b></p><p> 防火墻有軟件防火墻和硬件防火墻兩種。軟件防火墻是安裝在計算機平臺的軟件產(chǎn)品,它通過在操作系統(tǒng)底層工作來實現(xiàn)網(wǎng)絡管理和防御功能的優(yōu)化。硬件防火墻的硬件和軟件都單獨進行設計,有專用網(wǎng)絡芯片處理數(shù)據(jù)包。同時,采用專門的操作系統(tǒng)平臺,從而避免通用操作系統(tǒng)的安全性漏洞。并且對軟硬件的特殊要求使硬件防火墻的實際
48、帶寬與理論值基本一致,有著高吞吐量、安全與速度兼顧的優(yōu)點。</p><p><b> 2.6.4服務器</b></p><p> 服務器應該具備速度高、存儲容量大、吞吐能力強、性能可靠、擴展性強、連網(wǎng)和管理功能強等特點。</p><p> WWW服務器:是網(wǎng)絡運行的核心服務器,通常兼作域名服務器、FTP服務器。訪問量大,根據(jù)企業(yè)規(guī)模大小,
49、采用適合自己規(guī)模的服務器。一般對于200個信息點以下的企業(yè),通??刹捎弥С侄郈PU的頂級PC服務器和低端專業(yè)服務器。 </p><p> FTP服務器:通常中小企業(yè)可由WEB服等務器兼用。</p><p> 2.6.5 公網(wǎng)IP地址數(shù)</p><p> 由于對外服務器要求有固定的公網(wǎng)IP地址,路由器也要求有固定的公網(wǎng)IP地址,以及NAT地址池也需要有固定的公網(wǎng)
50、IP地址,因此,必須向ISP提供商申請一定數(shù)量的公網(wǎng)IP地址,對于中、小型網(wǎng)絡來講,8個勉強可以,對于大型局域網(wǎng)來說,要求16個以上才能夠用。</p><p> 2.7 VLAN技術分析</p><p> 2.7.1、 VLAN技術概述</p><p> VLAN(Virtual Local Area Network)也就是虛擬局域網(wǎng),是一種建立在交換技術基礎
51、之上的,通過將局域網(wǎng)內(nèi)的機器設備邏輯地而不是物理地劃分成一個個不同的網(wǎng)段,以軟件方式實現(xiàn)邏輯工作組的劃分與管理的技術。IEEE于1999年頒布了用以標準化VLAN實現(xiàn)方案的IEEE 802.1Q協(xié)議標準草案。VLAN的作用是使得同一VLAN中的成員間能夠互相通信,而不同VLAN之間則是相互隔離的,不同的VLAN間的如果要通信就要通過必要的路由設備。</p><p> 2.7.2、使用VLAN技術的優(yōu)點</
52、p><p> 1、可以控制網(wǎng)絡廣播</p><p> 在沒有應用VLAN技術的局域網(wǎng)內(nèi)的整個網(wǎng)絡都是廣播域,這樣就使得網(wǎng)內(nèi)的一臺設備發(fā)出網(wǎng)絡廣播時,在局域網(wǎng)內(nèi)的任何一臺設備的借口都能接收到廣播,因此當網(wǎng)絡內(nèi)的設備越來越多時,網(wǎng)絡上的廣播也就越來越多,占用的時間和資源也就越來越多,當廣播多到一定的數(shù)量時,就會影響到正常的信息的傳送。這樣就能使得信息延遲,嚴重的可以造成網(wǎng)絡的癱瘓、堵塞,嚴重的
53、影響了正常的網(wǎng)絡應用,這就是所謂的網(wǎng)絡風暴。</p><p> 在應用了VLAN技術的局域網(wǎng)中,縮小了廣播的廣播域,在一個VLAN中的廣播風暴也不會影響到其他的VLAN,從而有效地減小了廣播風暴對局域網(wǎng)網(wǎng)絡的影響。</p><p> 2、增強了網(wǎng)絡的安全性</p><p> 在局域網(wǎng)中應用VLAN技術可以把互相通信比較頻繁的用戶劃分到同一個VLAN中,這樣在同
54、一個工作組中的信息傳輸只在同一個組內(nèi)廣播,從而也減輕了因廣播包被截獲而引起的信息泄露,增強了網(wǎng)絡的安全性。還有就是在公司的局域網(wǎng)中各個部門要求的安全等級是不一樣的,例如公司財務處和公司其他部門之間的網(wǎng)絡就有著不一樣的訪問者和用戶,因此我們可以應用VLAN技術把財務處和公司的其他網(wǎng)絡分到不同的工作組中。如果不使用VLAN技術就需要兩個交換機來實現(xiàn)同樣的功能,但是應用VLAN技術節(jié)省了公司的財力。</p><p>
55、 3、簡化網(wǎng)絡管理員的管理工作</p><p> 在應用VLAN技術后網(wǎng)絡管理員就可以輕松的管理網(wǎng)絡,例如公司部門在物理上并不處在同一個位置,在不同的裝配大樓和辦公樓,但是應用了VLAN技術網(wǎng)絡管理員就可以在應用了幾條指令的同時完成設備在不同物理位置上的相同工作組的配置。</p><p> 2.7.3、 VLAN的劃分方法</p><p> VLAN技術對工作
56、組的劃分方法有兩種一種是基于端口的劃分方法另外一種是基于MAC地址的劃分方法。</p><p> 1、基于端口的劃分方法</p><p> 這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機的端口來劃分,比如Cisco 48口交換機的1-14端口為VLAN1,15-27為VLAN1,28-48為VLAN1,當然,這些屬于同一VLAN的端口可以不連續(xù),如何配置,如果有多個交換機,例如,可以指定交換
57、機l的l-8端口和交換機2的1-7端口為同一VLAN,即同一VLAN可以跨越數(shù)個以太網(wǎng)交換機,根據(jù)端口劃分是目前定義VLAN的最廣泛應用的方法,IEEE 802.1Q規(guī)定了依據(jù)以太網(wǎng)交換機的端口來劃分VLAN的國際標準。這種劃分方法的優(yōu)點是定義VLAN成員時非常簡單,只要將所有的端口都只定義一下就可以了。</p><p> 不足之處是不夠靈活,當一臺機器設備需要從一個端口移動到另一個新的端口,但是新端口與舊端口
58、不在同一個VLAN之中時,要修改端口的VLAN設置,或在用戶計算機上重新配置網(wǎng)絡地址,這樣才能使這臺設備加入到新的VLAN中。否則,這臺設備就無法進行網(wǎng)絡通信。</p><p> 2、基于MAC地址的劃分方法</p><p> 這種方法劃分VLAN,要求交換機對站點的MAC地址進行跟蹤,在新站點入網(wǎng)時.需要把它添加到相應的VLAN中。以后無論這個站點怎么移動。只要MAC地址不變.就無需
59、對它進行重新配置。</p><p> 不足之處在于不夠便捷,由于在初始化時,需要所有的在局域網(wǎng)內(nèi)的所有設備都進行配置,因此如果要是有幾百個用戶時,配置工作就顯得相當?shù)姆爆?,并且由于需要跟蹤站點內(nèi)的MAC地址進行跟蹤,使得交換機的執(zhí)行效率不高。</p><p> 3、基于網(wǎng)絡協(xié)議的劃分</p><p> VLAN按網(wǎng)絡層協(xié)議來劃分,可分為IP、IPX、DECne
60、t、AppleTalk、Banyan等VLAN網(wǎng)絡。這種按網(wǎng)絡層協(xié)議來組成的VLAN,可使廣播域跨越多個VLAN交換機。這對于希望針對具體應用和服務來組織用戶的網(wǎng)絡管理員來說是非常具有吸引力的。而且,用戶可以在網(wǎng)絡內(nèi)部自由移動,但其VLAN成員身份仍然保留不變。</p><p> 這種方法的優(yōu)點是用戶的物理位置改變了,不需要重新配置所屬的VLAN,而且可以根據(jù)協(xié)議類型來劃分VLAN,這對網(wǎng)絡管理者來說很重要,還
61、有,這種方法不需要附加的幀標簽來識別VLAN,這樣可以減少網(wǎng)絡的通信量。這種方法的缺點是效率低,因為檢查每一個數(shù)據(jù)包的網(wǎng)絡層地址是需要消耗處理時間的(相對于前面兩種方法)。</p><p> 綜上所分析本設計采用劃分VLAN的方式是基于端口的方法。</p><p> 2.7.4、 在企業(yè)網(wǎng)中VLAN的劃分</p><p> 企業(yè)局域網(wǎng)采用三層網(wǎng)絡架構設計,分為
62、核心層、匯聚層、接入層等三個層次,企業(yè)主干網(wǎng)技術選擇千兆以太網(wǎng)技術,主要在接入層的端口上實施基于端口的VLAN劃分</p><p> 2.8、網(wǎng)絡設備選型原則</p><p> 2.8.1設備選型原則</p><p> 在確定了網(wǎng)絡系統(tǒng)的設計方案后,需要進行網(wǎng)絡設備選型。設備選型是網(wǎng)絡工程中非常重要的一環(huán),設備選型的好壞直接影響系統(tǒng)的實用性、穩(wěn)定性、可靠性和系
63、統(tǒng)的費用。</p><p> 設備選型依據(jù)主要是根據(jù)選型原則,對不同廠家的產(chǎn)品的不同型號進行綜合全面的比較,選擇滿足系統(tǒng)需求的、先進、性能價格比高的設備。</p><p> ?。?)品牌選擇:所有網(wǎng)絡設備盡可能選取同一廠家的產(chǎn)品,以便使用用戶從網(wǎng)絡通信設備的整體性能上得到更多的便利和保證。而產(chǎn)品線齊全、技術認證隊伍力量雄厚、產(chǎn)品市場占有率高的廠商是網(wǎng)絡設備品牌的首選(如本設計方案的網(wǎng)絡設
64、備就是全部選用國際知名品牌Cisco的產(chǎn)品)。</p><p> (2)擴展性考慮:在網(wǎng)絡的層次結構中,主干設備選擇應預留一定的能力,以便對系統(tǒng)進行擴充和改進。</p><p> (3)性價比高:網(wǎng)絡系統(tǒng)設備的選擇具有較高的性能價格比的網(wǎng)絡設備以達到系統(tǒng)整體性能的最優(yōu)。</p><p> 2.8.2、常用網(wǎng)絡設備 </p><p>
65、網(wǎng)絡設備主要是指硬件系統(tǒng),各種網(wǎng)絡設備之間是有著相互關聯(lián)而不是相互獨立的,每一部分在網(wǎng)絡中有著不同的作用,缺一不可,只有把這些設備通過一定的形式連起來才能組成一個完整的網(wǎng)絡系統(tǒng),網(wǎng)絡設備主要包括網(wǎng)卡、集線器、交換機、路由器、傳輸介質等。</p><p><b> 1、網(wǎng)卡 </b></p><p> 網(wǎng)卡(簡稱NIC),也網(wǎng)絡適配卡或網(wǎng)絡接口卡,網(wǎng)卡作為計算機與網(wǎng)
66、絡連接的接口,是不可缺少的網(wǎng)絡設備之一。無論是雙絞線網(wǎng)絡、同軸電纜網(wǎng)絡還是光纜網(wǎng)絡,都必須借助于相應類型的網(wǎng)卡才能實現(xiàn)與計算機的連接,是計算機與局域網(wǎng)相互連接的惟一接口。每塊網(wǎng)卡上都有一個世界惟一的ID號,也就是MAC(Media Access Control)地址,計算機在連入網(wǎng)絡之后,就是依靠這個ID號才能實現(xiàn)在不同計算機之間的通信和信息交換。網(wǎng)卡有很多種,不同類型的網(wǎng)絡需要使用不同種類的網(wǎng)卡,不同速度的網(wǎng)絡需求也要使用不同的網(wǎng)卡。
67、如根據(jù)帶寬來分的話,有10Mbit/s網(wǎng)卡、10/100Mit/s自適應網(wǎng)卡和1000Mbit/s網(wǎng)卡;如按總線分,有ISA總線、PCI總線、PCMCIA總線網(wǎng)卡等。從目前校園網(wǎng)建設的實際情況來看,工作站網(wǎng)卡選擇PCI總線的10M/100Mbit/s自適應網(wǎng)卡最適合。</p><p><b> 2、交換機 </b></p><p> 交換機,也稱交換式集線器,是專
68、門設計的,使各計算機能夠相互高速通信的獨享帶寬的網(wǎng)絡設備。作為高性能的集線設備,隨著價格的不斷降低,交換機已逐步取代了集線器而成為集線設備的首選。由交換機構建的交換式網(wǎng)絡系統(tǒng)不僅擁有高速的傳輸速率,而且交換延時很小,使得信息的傳輸效率大大提高,適合于大數(shù)據(jù)量并且使用非常頻繁的網(wǎng)絡通信,被廣泛應用于各種類型的多媒體和數(shù)據(jù)傳輸網(wǎng)絡。交換機具有很強的網(wǎng)絡管理功能,它能自動根據(jù)網(wǎng)絡通信的使用情況來動態(tài)管理網(wǎng)絡,因為交換機采用了獨享網(wǎng)絡帶寬的設計
69、。</p><p><b> 3、 路由器 </b></p><p> 路由器除了有連接不同的網(wǎng)絡物理分支和不同的通信媒介、過濾和隔離網(wǎng)絡數(shù)據(jù)流及建立路由表,還有控制和管理復雜的路徑、控制流量、分組分段、防止網(wǎng)絡風暴及在網(wǎng)絡分支之間提供安全屏障層等到功能。根據(jù)路由設備的組成可以分為軟路由和硬路由。根據(jù)路由表的設置方式可以將路由器分為靜態(tài)的和動態(tài)的。路由器工作在網(wǎng)絡
70、層,因此它可以在網(wǎng)絡層交換和路由數(shù)據(jù)幀,訪問的是對方的網(wǎng)絡地址。當數(shù)據(jù)幀到達路由器后,路由器查看數(shù)據(jù)幀的目標地址,并在路由表查看到達目標地址的路徑,根據(jù)路徑的代價,選擇一條最佳的路徑,然后把數(shù)據(jù)幀沿這條路徑發(fā)送給目標地址。</p><p><b> 4、傳輸介質 </b></p><p> 網(wǎng)絡要求把各個獨立的計算機連接起來的,這樣就必然要求有一種介質將計算機連接
71、起來,這就是傳輸介質,局域網(wǎng)的傳輸介質可分為有線介質和無線介質兩種,一般情況下都是用有線介質的,因為它的穩(wěn)定性高,連接可靠,無線介質只是在特殊環(huán)境下才使用的傳輸方式。常用的有線介質主要有以下幾類。</p><p><b> 同軸電纜</b></p><p> 同軸電纜以硬銅線為芯,外包一層絕緣材料。這層絕緣材料用密織的網(wǎng)狀導體環(huán)繞,網(wǎng)外又覆蓋一層保護性材料。同軸電
72、纜有許多種不同的規(guī)格,最常用是細同軸電纜和粗同軸電纜。細同軸電纜主要用于建筑物內(nèi)的網(wǎng)絡連接,而粗同軸電纜則常用于建筑物間相連。它們的區(qū)別在于粗同軸電纜屏蔽更好,能傳輸更遠的距離。同軸電纜是由中心導體、絕緣材料層、網(wǎng)狀織物構成的屏蔽層以及外部隔離材料層組成。</p><p><b> 雙絞線</b></p><p> 雙絞線是綜合布線工程中最常用的一種傳輸介質。雙絞
73、線由兩根具有絕緣保護層的銅導線組成。把兩根絕緣的銅導線按一定密度互相絞在一起,可降低信號干擾的程度,每一根導線在傳輸中輻射的電波會被另一根線上發(fā)出的電波抵消,與其他傳輸介質相比,雙絞線在傳輸距離、信道寬度和數(shù)據(jù)傳輸速度等方面均受到一定限制,但價格較為低廉。目前,雙絞線可分為非屏蔽雙絞線和屏蔽雙絞線。</p><p><b> 光纖 </b></p><p> 光纖
74、是一種直接為50~100um的柔軟的、能傳導光波的介質,一般由玻璃制造。光纖分為:傳輸點模數(shù)類分單模光纖(Single Mode Fiber)和多模光纖(Multi Mode Fiber)。單模光纖的纖芯直徑很小,在給定的工作波長上只能以單一模式傳輸,傳輸頻帶寬,傳輸容量大。多模光纖是在給定的工作波長上,能以多個模式同時傳輸?shù)墓饫w,與單模光纖相比,多模光纖的傳輸性能較差。</p><p><b> 5
75、、服務器 </b></p><p> 企業(yè)網(wǎng)中的服務器主有數(shù)據(jù)庫WEB服務器和服務器,數(shù)據(jù)服務器與WEB服務器除了面向企業(yè)網(wǎng)內(nèi)部用戶的服務,也對來自Internet的用戶服務也很多,主要是對企業(yè)網(wǎng)內(nèi)部用戶進行信息共享以及文件共享服務;一般中小型的企業(yè)網(wǎng)絡都把FTP服務器以及E-mail服務器與WEB服務器或者數(shù)據(jù)服務器并作使用,以達到為企業(yè)減少建設網(wǎng)絡的開支,也利于管理人員的管理。故而本方案把WEB
76、服務器和E-mail服務器、數(shù)據(jù)庫服務器和FTP服務器兼做使用。</p><p> 2.9網(wǎng)絡地址轉化(NAT)技術分析 </p><p> 網(wǎng)絡地址轉換是一種用于把IP地址轉換成臨時的,外部的,注冊的IP地址標準.它允許具有私有IP地址的內(nèi)部網(wǎng)絡訪問因特網(wǎng).它還意味著用戶不許要為其網(wǎng)絡中每一臺機器取得注冊的IP地址. </p><p> 在內(nèi)部網(wǎng)絡通過安全網(wǎng)
77、卡訪問外部網(wǎng)絡時,將產(chǎn)生一個映射記錄.系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡連接,這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡地址.在外部網(wǎng)絡通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡時,它并不知道內(nèi)部網(wǎng)絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問.OLM防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全.當符合規(guī)則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的
78、內(nèi)部計算機中.當不符合規(guī)則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求.網(wǎng)絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規(guī)操作即可. </p><p> 第三章、局域網(wǎng)規(guī)劃設計方案</p><p> 3.1網(wǎng)絡拓撲結構選擇</p><p> 現(xiàn)在應用最廣泛的拓撲結構有總線型、環(huán)型和星型拓撲三種。一個單位需要按
79、照工作目的選擇網(wǎng)絡類型,而拓撲結構必須與所選的網(wǎng)絡類型相匹配。</p><p> 總線型結構:網(wǎng)絡上的所有微機包括服務器都連在一條主通信線路上。總線上傳送的信息,通常以基帶形式串行傳送,它的傳送方向從發(fā)送信息的節(jié)點開始向兩端擴散,如同廣播電臺發(fā)射的信息向四周擴散一樣,因此這種網(wǎng)絡也被為廣播式計算機網(wǎng)絡。它的優(yōu)點是連接簡單,易布線,不用中斷設備,成本較低,是最常用的局域網(wǎng)拓補結構之一。但是,同軸電纜線的兩端都要安
80、裝終端電阻,穩(wěn)定性較差,如果總線出現(xiàn)故障,那么整個網(wǎng)絡都會癱瘓,并且由于總線網(wǎng)絡受到信號損耗的影響,總線長度受限制,設備分布的范圍不可能很大,故只適用于小型網(wǎng)絡。采用總線拓補結構的網(wǎng)絡有10Base2以太網(wǎng),10Base5以太網(wǎng),以及ARCnet網(wǎng)。</p><p> 星型結構:星型結構中有一個中央節(jié)點(集線器或交換機)和計算機連接成網(wǎng)。交換機是網(wǎng)絡的中央布線中心,各計算機通過交換機和其它計算機通信,星形網(wǎng)絡也
81、稱為集中式網(wǎng)絡。這種結構基本上是Ethernet(以太網(wǎng))雙絞線網(wǎng)絡專用的。而其它的客戶機都用單獨的線路與這個節(jié)點連接,向四周展開,形成一個心狀結構。采用這種拓撲結構的網(wǎng)絡穩(wěn)定性較高,單個節(jié)點的故障只會影響與這個節(jié)點相連的支路,不會影響整個網(wǎng)絡,并且很容易完成對網(wǎng)絡設備的添加、移動和改變,當網(wǎng)上有一條信息時,網(wǎng)絡上甩的終端或工作站都能接收到這個信息,但是星型結構一般使用雙絞線進行連接,需要大量的電纜,成本較其他高,同時如果交換機出現(xiàn)故障
82、,剛整個網(wǎng)絡癱瘓。采用星型結構的網(wǎng)絡有10BaseT以太網(wǎng),100BaseT以太網(wǎng),令牌環(huán)網(wǎng),FDDI網(wǎng)絡CDDI網(wǎng)絡,ATM網(wǎng)。</p><p> 環(huán)型結構:環(huán)型結構中的每一個工作連接成封閉的環(huán)路。是單向的鏈路,只能在一個方向傳輸數(shù)據(jù),而且所有鏈路都是按同一個方向輿。這樣,數(shù)據(jù)就在這個環(huán)的一個方向上進行循環(huán)。這種結構的特點是:連接費用較低,比較適合家庭等小型網(wǎng)絡的連接;每臺微機都相同于一個中斷器;要新增用戶比
83、較困難;網(wǎng)絡的可靠性差,不易管理采用環(huán)狀拓補結構的網(wǎng)絡的有。令牌環(huán)網(wǎng),FDDI網(wǎng)絡CDDI網(wǎng)絡。</p><p> 在本設計方案中主要是對一個企業(yè)進行整體的網(wǎng)絡設計。該企業(yè)占有一幢大廈,共有八個部門,每個部門不會超過255臺工作站,分別是財務部、人事部、行政部、企管部、營銷中心、科研樓、廠房一、廠房二, 為了實現(xiàn)網(wǎng)絡設備的統(tǒng)一,在本設計方案中完全采用同一廠家的網(wǎng)絡產(chǎn)品,即Cisco公司的網(wǎng)絡設備構建。本企業(yè)網(wǎng)設
84、計方案主要由以下幾部分組成:交換模塊、廣域網(wǎng)接入模塊、服務器模塊,整個網(wǎng)絡系統(tǒng)的拓撲結構圖如下所示:</p><p> 企業(yè)網(wǎng)整體拓撲結構圖</p><p> 3.2 VLAN及IP地址規(guī)劃</p><p> 在一個大、中型網(wǎng)絡里,VLAN的劃分是必不可少的步驟之一。在本企業(yè)網(wǎng)設計中,整個企業(yè)網(wǎng)的VLAN及IP編址方案如下表所示:</p><
85、;p> 在下面我們需要注意的是:192.168.0.0-192.168.255.254這樣的IP地址是私有IP地址,它不能在公共網(wǎng)絡中使用,但是為什么我們要這樣做呢?因為針對當前現(xiàn)狀,IP地址緊缺,我們不可能也不應該為每一臺工作站申請一個公有IP地址,這樣不僅可以緩解IP地址不足的情況,而且也可以為企業(yè)建設一個企業(yè)網(wǎng)節(jié)約不少的開支,那這樣且不是不能夠訪問INTERNET。為了讓這些私有IP地址能夠在公共INTERNET使用,讓使
86、用這樣IP地址的工作站能夠訪問INTERNET上的資源,我們必須對這樣私有IP地址作NAT(network address translation)即網(wǎng)絡地址轉換。</p><p><b> 網(wǎng)絡設備選型</b></p><p> a、核心層網(wǎng)絡采用CISCO WS-C6509-E</p><p> 分布網(wǎng)絡采用CISCO WS-C35
87、50-24G(配置1000M光電模塊)</p><p> Cisco Catalyst 3550系列智能以太網(wǎng)交換機是一個可堆疊多層交換機系列,可通過高可用性、服務質量(QoS)和安全性來改進網(wǎng)絡運行。憑借一系列快速以太網(wǎng)和千兆位以太網(wǎng)配置,Cisco Catalyst 3550系列堪稱一款適用于企業(yè)接入應用的強大選擇。</p><p> b、接入層網(wǎng)絡采用CISCO WS-C2950
88、G-48-EI(配置1000M光電模塊)</p><p> Cisco Catalyst 2950系列智能以太網(wǎng)交換機是一個固定配置、可堆疊的獨立設備系列,提供了線速快速以太網(wǎng)和千兆位以太網(wǎng)連接。這是一款最廉價的Cisco交換產(chǎn)品系列,為中型網(wǎng)絡和城域接入應用提供了智能服務。作為思科最為廉價的交換產(chǎn)品系列,Cisco Catalyst 2950系列在網(wǎng)絡或城域接入邊緣實現(xiàn)了智能服務。</p>&l
89、t;p> c、外部訪問網(wǎng)絡采用CISCO2811路由器和CISCO專用防火墻(配置1000M光電模塊) </p><p> 路由器采用Cisco 2811路由器,Cisco 2811路由器包含兩個同步Serial口與2個以太網(wǎng)接口,支持傳輸速率是10/100Mbps,同時還包括一個控制口和一個輔助端口,用于遠程和本地管理、軟件的安裝等,支持Qos 接口Console 具有內(nèi)置防火墻功能;采用CISCO專
90、用防火墻。</p><p> d、服務器采用 UPS不間斷電源</p><p> 可以保護服務器免受斷電的困擾,達到服務器不間斷工作。</p><p> 3.3 網(wǎng)絡安全設計</p><p> 公司園區(qū)網(wǎng)有3000用戶,網(wǎng)絡規(guī)模比較大,并且和因特網(wǎng)存在連接。為了保障網(wǎng)絡系統(tǒng)的運行安全,保護公司的信息安全,必須進行網(wǎng)絡安全方面的規(guī)劃和實
91、施。</p><p> 一個網(wǎng)絡的安全,首先要有嚴格和有效執(zhí)行的管理制度。建議公司制定嚴格的網(wǎng)絡安全管理策略,并有效的執(zhí)行。其次,必須具有一定的技術手段來保障網(wǎng)絡的安全。技術和管理手段相結合實施,才能夠產(chǎn)生良好的效果。</p><p> 通過以下幾個技術方面的實施,可以在一定程度上保障網(wǎng)絡的安全:</p><p> 提高設備的物理安全性</p>
92、<p><b> 配置設備的口令</b></p><p><b> 進行VTP域的認證</b></p><p> 園區(qū)網(wǎng)用戶的接入控制</p><p><b> 應用系統(tǒng)的訪問控制</b></p><p> 因特網(wǎng)的接入安全控制</p><
93、;p> ?、?提高設備的物理安全性</p><p> 設備的物理安全性是指運行中的設備,未經(jīng)授權的人員不能直接接觸到。提高設備的物理安全性,是最基本的要求。通過將設備安置在獨立的設備間中,并增加門禁系統(tǒng),確保只有授權的管理和維護人員才能接觸到物理設備。</p><p><b> ?、?配置設備的口令</b></p><p> 配置設備
94、的口令,是防止非授權的人員更改網(wǎng)絡系統(tǒng)的配置的重要手段。</p><p> 要為所有的設備設置口令。要為每一臺設備配置CONSOLE口令,AUX口令,VTY口令,特權口令等</p><p> 在口令方面,需要制定管理制度并嚴格執(zhí)行??诹罟芾碇贫劝诹畹脑O置,保管,更改,口令的強度等內(nèi)容。</p><p> ⑶ 進行VTP域的認證</p><
95、;p> 進行VTP域的認證,能夠保證局域網(wǎng)的VLAN等的安全。</p><p> 設置了口令之后,除非交換機設置了正確的口令,否則。新交換機不能自動加入到已存在的管理域中。保證了局域網(wǎng)的運行安全,可以避免因為VLAN被錯誤或者惡意的增加。刪除造成的運行事故。</p><p> ?、?園區(qū)用戶的接入控制</p><p> 因為一般的安全措施都不是針對網(wǎng)絡呢
96、的用戶的,嚴格控制用戶的接入,可以避免非法用戶接入帶來的潛在的安全隱患。</p><p> 園區(qū)網(wǎng)系統(tǒng)建設驗收完畢之后,確保交換機的所有用戶端口處于關閉狀態(tài)。只有用戶使用申請通過批準之后網(wǎng)絡管理員才能將端口激活。</p><p> ?、?應用系統(tǒng)的訪問限制</p><p> 可以 根據(jù)公司的應用需求,在匯聚層的多層交換機上實施訪問控制,限制園區(qū)網(wǎng)用戶對特定應用系
97、統(tǒng)的訪問,或者只允許特定的用戶訪問某些資源。</p><p> ⑹ 因特網(wǎng)的接入安全控制</p><p> 因特網(wǎng)的接入安全控制是非常重要的,不僅需要布置防火墻等安全設備,還要指定嚴格的安全策略。</p><p> 第四章、路由交換部分的設計</p><p> 為了使公司園區(qū)網(wǎng)高效、穩(wěn)定的運行,便于管理與維護,對局域網(wǎng)交換和路由技術的
98、相關方面進行了規(guī)范設計,包括VTP、VLAN、STP、TRUNK、ETHERCHANNEL,HSRP,VPN等。每一臺都連接所有的匯聚層交換機,但相互之間并不連接(提高網(wǎng)絡的故障收斂速度)。作為二層的核心,只保證數(shù)據(jù)的高速轉發(fā)。網(wǎng)絡的可靠性由匯聚層的路由協(xié)議提供保證。</p><p> 4.1.VLAN設計規(guī)范</p><p> 公司內(nèi)的局域網(wǎng)進行VLAN劃分,可以減少網(wǎng)絡內(nèi)的廣播數(shù)據(jù)
99、包,提高網(wǎng)絡運行效率;可以區(qū)分不同的應用和用戶,方便集團的管理與維護.</p><p> 4.2 冗余電源 Cisco6509系列以太網(wǎng)交換機提供了RPS電源備份接口,可以對設備提供一對一的電源備份和保護,也可以以一路直流電源對多臺支持RPS接口的設備進行備份和保護。 4.3 生成樹(STP/RSTP/MSTP) Cisco6509系列以太網(wǎng)交換機支持STP/RSTP/MSTP生成樹協(xié)議。 生成樹
100、協(xié)議主要用來建立和維護局域網(wǎng)的拓撲,消除循環(huán)連接導致的網(wǎng)絡廣播風暴,并且提供網(wǎng)絡的拓撲的冗余備份功能,平時作為備份的路徑被阻塞,當主用路徑網(wǎng)絡設備出現(xiàn)故障時,能夠及時調(diào)整端口狀態(tài),調(diào)整網(wǎng)絡拓撲。 生成樹協(xié)議的工作原理:網(wǎng)絡中的橋接設備根據(jù)設定的優(yōu)先值和MAC地址,確定最優(yōu)先的設備為網(wǎng)絡的根橋,根橋向外定時發(fā)送Config BPDU報文,每個收到該報文的交換機將報文內(nèi)容根據(jù)自身的配置和所掌握的網(wǎng)絡拓撲結構進行更新下發(fā)到其他端口,當
101、一個交換機從兩個或兩個以上端口接收到Config BPDU的時候就表明網(wǎng)絡中存在循環(huán),保留其中一個端口為轉發(fā)狀態(tài),設置其余端口為阻塞狀態(tài)。 除了支持傳統(tǒng)的生成樹協(xié)議外,Cisco6509系列以太網(wǎng)交換機還支持IEEE 802.1</p><p> 公司園區(qū)網(wǎng)的IP地址規(guī)范中規(guī)定:網(wǎng)關的地址統(tǒng)一使用子網(wǎng)的最后一個可用地址。啟用HSRP協(xié)議之后,這個地址就是HSRP的虛擬地址。</p><
102、;p> 在成對的兩臺匯聚層多層交換機上,具體的HSRP配置規(guī)范如下:</p><p> 1. 接口的IP地址:在第一臺多層交換機上,某個VLAN虛擬接口的IP地址是子網(wǎng)的最后第三個可用地址,在第二臺多層交換機上,某個VLAN虛擬接口的IP地址是子網(wǎng)的最后第二個可用地址。</p><p> 2.熱備份組號:熱備份組號與接口的VLAN號相同。</p><p>
103、; 3.熱備份地址:熱備份地址是子網(wǎng)的最后一個可用地址。</p><p> 4.熱備份優(yōu)先級:在主用的多層交換機了,某個VLAN虛擬接口的熱備份優(yōu)先級是120。并且主用的匯聚層交換機配置占先權。</p><p> 4.6 等價路由(ECMP) 除了從設備級支持三層轉發(fā)容錯協(xié)議VRRP之外,Cisco6509系列以太網(wǎng)路由交換機還支持等價路由(ECMP)。等價路由即為到達同一個
104、目的IP或者目的網(wǎng)段存在多條Cost值相等的不同路由路徑,當設備支持等價路由時,發(fā)往該目的IP或者目的網(wǎng)段的三層轉發(fā)流量就可以通過不同的路徑分擔,實現(xiàn)網(wǎng)絡的負載均衡,并在其中某些路徑出現(xiàn)故障時,由其它路徑代替完成轉發(fā)處理,實現(xiàn)路由冗余備份功能。 不僅從軟件上,而且從硬件上也支持等價路由是Cisco6509系列以太網(wǎng)路由交換機與業(yè)界類似產(chǎn)品相比顯著的優(yōu)點。以前部分路由交換機雖然也宣稱支持等價路由,但實際上只是從軟件上支持,對軟件轉發(fā)
105、的報文可以使用等價路由,但對于由硬件直接轉發(fā)的報文,則只能從一條固定路徑轉發(fā)。而Cisco6509系列以太網(wǎng)路由交換機從硬件上也實現(xiàn)了等價路由的支持,真正實現(xiàn)了硬件三層轉發(fā)流量的負載分擔與路由冗余備份。 Cisco6509系列以太網(wǎng)路由交換機最大支持4條等價路由,并且不論RIP、OSPF等路由協(xié)議產(chǎn)生的路由,還是靜態(tài)配置路由,不論是網(wǎng)段路由還是主機路由,甚至缺省路由,都可以支持</p><p><b
106、> 4.8 VPN</b></p><p> Cisco6509系列以太網(wǎng)路由交換機支持VPN,VPN(虛擬專網(wǎng))是利用公共網(wǎng)絡資源(如公用電信網(wǎng))為客戶組建專用網(wǎng)的一種技術,它通過對網(wǎng)絡數(shù)據(jù)進行封包和加密傳輸,在公網(wǎng)上傳輸私有數(shù)據(jù),達到私有網(wǎng)絡的安全級別,從而利用公網(wǎng)構筑專網(wǎng)(即VPN)。它是一種邏輯上的專用網(wǎng)絡,向用戶提供專用網(wǎng)絡所具有的功能,但本身卻不是一個獨立的物理網(wǎng)絡。</
107、p><p><b> 總 結</b></p><p> 需要說明的是,一個完整的企業(yè)網(wǎng)網(wǎng)絡系統(tǒng)不僅只包含上述的設備或系統(tǒng),還包括像入侵檢測系統(tǒng)等其它的系統(tǒng)組成部分。限于知識水平,在此就不再寫了。由于企業(yè)網(wǎng)功能齊全,技術含量高,接觸面廣,在網(wǎng)絡設計、規(guī)劃和建設中都非常復雜,在論述中不可能面面具到,同時也由于本人的知識水平有限,文中的不足和錯誤在所難免,敬請各位老師多多指
108、點和更正。</p><p><b> 主要參考文獻資料:</b></p><p> 張立云主編:《計算機網(wǎng)絡基礎教程》清華大學出版社,2003年4月第一版</p><p> Cisco System:《思科網(wǎng)絡技術學院教程》(第一,二學期)人民郵電出版社,2004年7月第一版</p><p> Cisco Sys
109、tem:《思科網(wǎng)絡技術學院教程》(第三,四學期)人民郵電出版社,2004年7月第一版</p><p> Karen Webb主編:《組建Cisco多層交換網(wǎng)絡》人民郵電出版社,2002年9月第五版</p><p> 來自INTERNET上的相關網(wǎng)頁</p><p><b> 致 謝</b></p><p> 本設
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 網(wǎng)絡規(guī)劃方案設計畢業(yè)設計
- 集團企業(yè)資金管理模式及方案設計研究.pdf
- 畢業(yè)設計---企業(yè)應收賬款管理方案設計
- 畢業(yè)設計---校園網(wǎng)絡方案設計
- 畢業(yè)設計---資金管理的方案設計
- 企業(yè)集團資金集中管理模式與方案設計.pdf
- 畢業(yè)設計---建筑方案設計
- 集團企業(yè)利潤中心型人力資源管理模式方案設計
- 漁船方案設計【畢業(yè)設計】
- 畢業(yè)設計橋梁加固方案設計
- 涂料促銷方案設計畢業(yè)設計
- 畢業(yè)設計-復合型企業(yè)網(wǎng)路方案設計
- 冷庫畢業(yè)設計-冷庫畢業(yè)設計方案設計.doc
- 計算機安全與管理畢業(yè)設計案例-企業(yè)云環(huán)境方案設計
- 采礦畢業(yè)設計--礦體開采方案設計
- 畢業(yè)設計--物流成本控制方案設計
- 畢業(yè)設計--基坑變形監(jiān)測方案設計
- 畢業(yè)設計--高速公路方案設計
- 冷庫畢業(yè)設計方案設計.doc
- 物流管理專業(yè)畢業(yè)設計(論文)-xx企業(yè)物流管理模式研究
評論
0/150
提交評論