《企业网络的组建与管理.doc》由会员分享,可在线阅读,更多相关《企业网络的组建与管理.doc(31页珍藏版)》请在三一办公上搜索。
1、通信网络课程设计题 目 企业网络的组建与管理 英文题目 The establishment and management of enterprise network院 系 电子工程学院 专 业 通信工程 姓 名 年 级 指导教师 实训地点 2011年6月62011年6月11 摘 要作为即将参与高科技竞争的公司企业,如何面对网络时代带来的冲击,如何利用网络技术提高公司的管理水平和服务质量,是很多企业面临的重要课题。在公司企业内部的网络建设中,我采用中国电信作为ISP提供的成熟的千兆以太网技术,内部采用三层结构,即核心层、汇聚层和接入层,所选的网络拓扑结构是星型,通过连接路由器、防火墙、交换机、服
2、务器等设备来构架网络。在实施中同时以网络软件系统和三层交换机实现VLAN管理各科室、部门、机房接入网络管理中心,通过防火墙接入骨干网络,更好更快的获取外界的信心,加强与同行的交流和竞争,运用C/S的工作模式,有效的管理了员工使用计算机的时间、访问权限等,在设计中我们利用VPN技术,以满足有关员工外出差时及时与公司总部取得联系。这样,可以组建具有宽带通路和交互功能的专业性局域网应用于学术研究、管理和通讯三大功能。在核心层主要采用硬件与软件技术相结合来实现其功能,而并不仅仅采用较贵的硬件来实现网络功能,充分利用现有的资源,不浪费,不盲目追求设备的高端化,对现有的计算机资源进行降级再使用。同时考虑到
3、公司的应用环境,建设了丰富的应用服务器,以满足信息共享的需求。同时考虑到公司今后的发展壮大,采用开放式的结构和技术,使网络具有良好的扩充能力和开放性,以满足今后网络发展要求.关键词:企业网络;路由器;防火墙;交换机;VLAN;布线系统AbstractThe network has gradually taken into all walks of life, its important role is revealed. As soon participated in the competition of enterprise, high-tech company how to deal wi
4、th the impact of the network times, how to use the network technology improve the companys management level and the quality of service, is a lot of enterprises are facing an important issue. In the company of the construction of enterprise internal network, I use the China telecom as ISP of mature Q
5、ianZhao provide Ethernet technology, using the three layer structure internal, namely the core layer, exchange layer and access layer, the selected the network topology structure is, by connecting the routers, star of the firewall, switch, server, and workstations to formulate the network equipment.
6、 In the implementation of network at the same time to software system and layer 3 switches to realize the VLAN management departments, and departments, the engine room access network management center, through the firewall access network, the backbone of the better and faster for the confidence of t
7、he outside world, strengthen the communication with our colleagues and competition, using C/S work mode, the effective management of the staff use the computer access time, such as in the design, we use VPN technology to meet the relevant employees on a business trip with the company headquarters in
8、 contact. Such, can form have broadband access and interactive function of professional LAN used in academic research, management and communication 3 big functions. In the core mainly USES the hardware and software technologies combining to realize its function, not just the more expensive hardware
9、to realize network function, make full use of the existing resources, waste not, not blind pursuit of high-end equipment, the existing computer resources for relegation to use. Moreover, considering that the companys application environment, the construction of rich application servers to meet the d
10、emand of information sharing. Moreover, considering that the development of the future, the open structure and technology, and to make the network has good ability and the expansion of the open, to meet the requirements in the future development of network.Keywords: enterprise network ;router ;firew
11、all ;switches ;VLAN ;wiring system 目 录摘 要IIAbstractIII第一章 绪论11.1 企业网络设计的背景11.2企业网络的特性1第二章 网络的设计原则及需求分析22.1 设计原则22.2 网络项目背景22.3 网络系统需求分析3第三章 网络的组建规划设计43.1网络拓扑结构介绍43.2网络拓扑图53.3 IP地址规划63.4 网络设计73.5 出口路由器选型12第四章 网络技术选型144.1 路由协议-OSPF144.2 VRRP(虚拟路由冗余协议)原理144.3 RSTP、MSTP原理144.4 NAT的策略路由实现154.5 VLAN虚拟局域网的
12、划分164.6 ACL访问控制策略164.7 链路聚合16第五章 结构化综合布线185.1 结构化综合布线概述185.2 设计依据195.3 传输线缆选型195.4 系统设计20第六章 网络的后期安全维护管理236.1 网络安全236.2 网络管理24第七章 总结26参考文献26致 谢27第一章 绪论1.1 企业网络设计的背景目前随着信息化技术的迅速普及和广泛应用,大量各行各业工作人员开始利用网络这种媒体获得所需的资料和对外界的联系,需要与外界保持最高小的通讯与部门内的资料共享,信息化能够有效承担重复劳动并能加强协作,从而提高工作效率。1.2企业网络的特性在知识经济时代,各集团为了加快集团信息
13、化建设,需要以现代网络技术为平台,建设一个以集团业务综合管理、办公自动化、电子商务、多媒体视频会议、远程通讯、Web信息发布为核心的企业网络。将集团的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来,实现内、外互联的现代化计算机网络系统。该网络系统是支持办公自动化、供应链管理以及各应用系统运行的基础设施,为了确保这些关键应用系统的正常运行、安全和发展,系统具备如下的特性: 1、 完成集团企业网的构建,加快企业信息化建设; 2、 在整个企业集团内实现所有部门的办公自动化,实现无纸化办公,提高工作效率、办公质量和管理服务水平; 3、 在集团企业网内实现资源共享、Web产品信息共享、
14、实时新闻发布; 4、 在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系统的第二章 网络的设计原则及需求分析2.1 设计原则 在本系统设计中采用以下原则:(1)实用性 从保护各系统的设备投资和能够完全满足现实需求的角度出发,充分集成现有的各种计算机和网络设备,使建设的系统适用、安全、可靠且易管理、维护和扩展,具有最高的性价比。(2)开放性 构造一个开放的网络系统,是当前世界计算机技术发展的潮流,因此我们在整个系统的设计中采用的规范、设备与厂商无关,具有较强的兼容性,便于与外界异种机平滑互联。(3)先进性 当今的计算机网络技术发展日新月异,把握不准的方向则可能导致在很短的时间内技术落
15、伍,从而面临被淘汰的危险。因此在坚持实用性的前提下尽量采用国际先进成熟的网络技术和设备,适合未来的发展,做到一次规划长期受益。(4)可扩充性 选择的联网方案及设备要能适应网络规划的不断扩大的要求,以便于将来设备的扩充;要能适应信息技术不断发展的要求,平稳地向未来新技术过渡。(5)可靠性 系统设计除采用信誉好,质量高的设备外,还采用一系列容错、冗余技术、提高整个系统的可靠性(6)安全性 安全性包括两个方面:一、网络用户级的安全性;二、数据传输级的安全性。网络用户级的安全性应在网络的操作系统中予考虑,而数据传输的安全性则必须在网络传输时解决。2.2 网络项目背景公司是一家中型企业,员工人数超过50
16、0人。公司建筑是楼层建筑,共有500多个信息点,包括可拓展点。随着公司业务的发展,人员壮大,办公信息化以及自动化的需求,为提高公司各个部门间办公信息化,需要建立一个完善和稳定的企业网络。企业网要保证整个企业信息点的互联、高效、安全,可支持上百个用户同时并发使用。而且要求企业网具有可拓展性,支持未来的发展,高速的、冗余的、基于标准的网络。公司部门繁多,主要有网络中心、后勤中心、销售部、会议中心、财务中心、行政楼、职工宿舍信息点分布如表2.1: 表2.1 用户数量分布表网段描述所需的IP地址数网络中心10后勤中心100销售中心60财务中心50行政楼50职工宿舍150网络管理系统10服务器群10(公
17、网IP)2.3 网络系统需求分析一、公司为中型企业,对网络带宽的要求较高,为保证网络视频、语音、图像等信息的传输顺畅,因此以1000Mb/s光纤作为主干和垂直布线,以百兆超五类双绞线作为水平布线,一次构建该企业网络。二、一个完善的网络设计方案,应该考虑网络的拓展性。因为随着企业的发展,规模增大,网络用户不断增加,从而保证网络的可拓展性则尤为关键。在设计时应充分考虑未来的企业网拓展,保证设计的网络在未来随时拓展。三、网络的安全性对于企业的发展至关重要,它包括网络安全漏洞的弥补,防攻击,信息传输安全,内部安全防范,网络防病毒,抵制无用信息,以及网络冗余能力、数据备份域灾难恢复等等。第三章 网络的组
18、建规划设计3.1网络拓扑结构介绍 我们将公司总部和分部的内部网络设计为两级层级:(1) 核心层(2) 汇聚层(3) 接入层 这样规划一是能够有良好的层次感,利于实现较为复杂的网络功能要求;二是这样分层能够使每层的功能较容易实现也较清楚;三是采用这种分层方式可以支持较大的网络规模便于企业网的升级扩大。层次化模型的好处:1、节省成本在采用层次模型之后,各层次各司其职,不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽,减少了对系统资源的浪费。2、易于理解层次化设计使得网络结构清晰明了,可以在不同的层次实施不同难度的管理,降低了管理成本。3、易于扩展 在网络设
19、计中,模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中,而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计,任何一个节点的变动都将对整个网络产生很大影响。4、易于排错层次化设计能够使网络拓扑结构分解为易于理解的子网,网络管理者能够轻易地确定网络故障的范围,从而简化了排错过程。3.2网络拓扑图 图3.1 逻辑拓扑图 图3.2 网络拓扑图3.3 IP地址规划IP地址的合理是保证网络顺利运行和网络资源有效利用的关键。企业网IP地址的分配应该尽可能地利用申请到的地址空间,充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。具体地来说IP地址的合理规划有如下的意
20、义:(1)减少对各种资源(内存、CPU的处理能力以及网络带宽等)的需求IP地址的合理规划有利于网络中路由的汇聚,因而可以使得核心交换机中的路由表数目以及链路状态数据库等占用的内存减少,同时更新所占用的网络带宽也降低了;(2)有利于IP地址空间的合理使用;(3)优化业务流量的分布;(4)有利于故障诊断。根据国际互联网络技术发展的趋势,结合企业和分部的现实情况,我们建议IP地址规划遵循如下原则来设计:(1)网络出口、对外服务器群采用公网IP地址;(2)企业网所有网络设备均配置内部管理IP地址,防止非法用户登录。(3)各接入点根据现有信息点数,并预留30-40的扩容率,分配连续IP地址段;(4)各核
21、心节点下联各接入点分配连续IP地址段,统一在核心节点提供IP路由,并做路由聚合。(5)各核心节点内部根据用户群体地理位置划分VLAN,并将VLAN网关IP设置在各核心节点交换机上。 经过我们的计算,将各部门IP地址分配如下表3.1:表3.1 IP地址规划表部门IP地址网段默认网关后勤中心172.16.0.0/24172.16.0.254/24销售中心172.16.1.0/24172.16.1.254/24财务中心172.16.2.0/24172.16.2.254/24行政楼172.16.3.0/24172.16.3.254/24职工宿舍172.16.4.0/24172.16.4.254/24网
22、络管理系统172.16.5.0/24172.16.5.254/24Web服务器IP地址: 202.102.58.10/30FTP服务器IP地址: 192.168.100.2/24路由器出口IP地址: 222.18.44.3/24以上部门的网关地址均为核心层连接端口地址,因为所采用的ip地址不在同一网段,所以vlan 的配置可以省略,需要配置的有:职工宿舍交换机、会议中心交换机、销售部交换机。由于只有一台连接外网的线路,因此在此我们可以设置静态路由,但这种配置会冒极大的风险,一旦该线路出现故障,整个内网与外界的通讯将陷入瘫痪,所以在此我们需要设置备用网关,即与外网设置两条或多条线路,在多条线路间
23、做负载均衡,详细在下面介绍。3.4 网络设计 3.4.1核心层网络设计核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。在设计核心层结构时,还应该充分考虑到以下几点因素:(1)汇聚层交换机要有充足的带宽。(2)必须具有冗余和流量均衡的功能。(3)能够实现各种安全策略以保证网络的安全和数据包转发的合理,置多层交换机最佳,以方便网络的扩展。核心层交换机选用WS-C3750-24T-s,
24、它结合业界领先的易用性和最高的冗余性,提升了堆叠式交换机在局域网中的工作效率。这个产品系列采用了最新的思科StackWise智能堆叠技术,不但实现高达32Gbps的堆叠互联,还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起,便于用户建立一个统一、高度灵活的交换系统 - 就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。3750系列最多可以将9个交换机堆叠在一起,构成一个统一的逻辑单元,其中总共包含468个以太网或以太网供电10/100端口或者252个以太网10/100/1000端口、或9个10GB以太网端口。各个10/100、10/100/1000和10Gb以太网单元可
25、以根据网络的需要任意组合。3750系列可以使用标准多层软件镜像(SMI)或者增强多层软件镜像(EMI)。SMI功能集包括先进的服务质量(QoS)、速率限制、访问控制列表(ACL)和基本的静态和路由信息协议(RIP)路由功能。EMI可以提供一组更加丰富的企业级功能,包括先进的、基于硬件的IP单播和组播路由。 表3.2 核心交换机参数表主要参数应用类型企业级交换机应用层级三层交换方式存储-转发背板带宽(Gbps)100GbpsVLAN支持支持网络标准IEEE 802.3、10BASE-T,IEEE 802.3u、100BASE-TX,IEEE 802.3、10BASE-FX,IEEE802.3z、
26、IEEE 802.3x、IEEE 802.3ab,10BASE-X传输速率(Mbps)10/100/1000Mbps端口类型10/100/1000Base-T,1000Base-FX端口结构非模块化模块化插槽数2是否支持全双工全双工网管支持网管型网管功能SNMP, CLI, Web, 管理软件堆叠支持(创新的堆叠技术)MAC地址表12K尺寸(mm)参数纠错445*301*44额定电压(V)220V3.4.2 汇聚层网络设计汇聚层主要承担的基本功能有: 1 汇接接入层的用户流量,进行数据分组传输的汇聚、转发和交换; 2 根据接入层的用户流量,进行本地路由、过滤、流量均衡、QoS优先级管理,以及安
27、全机制,IP地址转换、流量整形、组播管理等处理; 3 根据处理结果将用户流量转发到核心交换层或在本地进行路由处理; 4 完成各种协议的转换(如路由的汇总和重新发布等),以保证核心层连接运行不同的协议的区域。Cisco Catalyst 4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性,因而能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。4500系列中提供的集成式弹性增强包括11超级引擎冗余(只对Cisco Catalyst 4507R)、集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件
28、中的集成式冗余性能够缩短停机时间,从而提高生产率、利润率和客户成功率。 表3.3 汇聚交换机参数表主要参数交换机类型企业级交换机 应用层级三层内存64-MB DRAM, 32-MB flash memory传输速率10Mbps/100Mbps/1000Mbps 网络标准IEEE 802.3、IEEE 802.3u、IEEE 802.3z、IEEE 802.3x、IEEE 802.3ab、IEEE 802.1Q、IEEE 802.1D、IEEE 802.1w、IEEE 802.1s、IEEE 802.1x、IEEE 802.3af 端口结构模块化端口数量240接口介质10/100Base-T,1
29、0/100Base-Tx/SFP传输模式全双工/半双工自适应交换方式存储-转发背板带宽100GbpsVLAN支持支持QOS支持支持网管支持支持网管功能SNMP ,MIBMAC地址表32K模块化插槽数7重量(Kg)20.073.4.3接入层网络设计 接入层为用户提供对本地网段的访问,它的主要作用是将工作组计算机与汇聚层连接起来,主要完成逻辑网络分段,给予工作组或LAN隔离广播通信以及在多个CPU之间分布服务。其特点有以下几点:(1)提供不同数量的100M端口到用户,提供1000M上行链路端口到汇聚层交换机。(2)成本低,所有端口支持全线速二层交换。(3)网络设备扩展性好,可平滑升级。总部和分部接
30、入层交换机均选用CISCO WS-C2960-24-S,该款交换机具有24个10/100Mbps以太网上行链路端口,LAN基本镜像。可提供集成安全性,包括网络准入控制 (NAC)、高级服务质量 (QoS) 和为网络边缘提供智能服务的永续性。表3.4 接入交换机参数表主要参数交换机类型智能交换机应用层级二层内存64-MB DRAM, 32-MB flash memory传输速率10Mbps/100Mbps网络标准IEEE 802.1D, IEEE 802.1p, IEEE 802.1Q, IEEE 802.1s, IEEE 802.1w, IEEE 802.1x, IEEE 802.1AB (L
31、LDP), IEEE 802.3ad, IEEE 802.3ah, IEEE 802.3x, IEEE 802.3, IEEE 802.3u, IEEE 802.3ab端口结构非模块化端口数量24接口介质10/100Base-T,10/100Base-Tx/SFP传输模式全双工/半双工自适应交换方式存储-转发背板带宽16Gbps包转发率3.6MppsVLAN支持支持QOS支持支持网管支持支持网管功能SNMPv1, SNMPv2c, and SNMPv3MAC地址表8K模块化插槽数2指示面板每端口状态:连接完整性、禁用、活动、速度、全双工,系统状态:系统、RPS、链路状态、链路双工、链路速度电源
32、100240 VAC环境标准工作温度:0-45、工作湿度:10%-85%(非冷凝)、存储温度:-25-70、存储湿度:10%-85%(非冷凝)尺寸(mm)参数纠错44445236重量(Kg)3.63.5 出口路由器选型出口路由器选用CISCO 2821模块化路由器。这款路由与相似价位的前几代思科路由器相比,Cisco 2800系列的性能提高了五倍、安全性和话音性能提高了十倍、具有全新内嵌服务选项,且大大提高了插槽性能和密度,同时保持了对目前Cisco 1700系列和Cisco 2600系列中现有90多种模块中大多数模块的支持,从而提供了极大的性能优势。Cisco 2800系列能以线速为多条T1
33、/E1/xDSL连接提供多种高质量并发服务。这些路由器提供了内嵌加密加速和主板话音数字信号处理器(DSP)插槽;入侵保护和防火墙功能;集成化呼叫处理和语音留言;用于多种连接需求的高密度接口;以及充足的性能和插槽密度,以用于未来网络扩展和高级应用。表3.5 出口路由器参数表主要参数产品类型多业务路由器包转发率0.04Mpps外形尺寸416.6*438.2*88.9mm重量11.4KgDRAM内存1024MBFlash内存256MB固定广域网接口可选广域接口WIC卡固定局域网接口2 个千兆位以太网 控制端口RS-232网络管理支持SNMP管理,Cisco ClickStartVPN支持 QoS支持
34、 内置防火墙有内置防火墙网络管理参数纠错网管协议 Cisco ClickStart,SNMP电源电压100to 240 VAC,47-63 Hz适用环境工作温度:0-40、工作湿度:5%95% 无凝结、存储温度:20-65其他性能安全标准 UL 60950:CAN/CSA C22.2 No. 60950,IEC 60950,EN 60950-1,AS/NZS 60950第四章 网络技术选型4.1 路由协议-OSPFOSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。在这里,路由域是指一个自治系统(Autonomous System),即AS,它是指一
35、组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。 作为一种链路状态的路由协议,OSPF将链路状态广播数据包LSA(Link State Advertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。我们在公司总部和分部的核心层交换机及出口路由器上使用OSPF路由协议,以实现路由的动态更新,确保全网互通。4.2
36、VRRP(虚拟路由冗余协议)原理VRRP给路由器组提供了一个冗余网关地址,它是一种容错协议,通过定义 不同的组,不同优先级的路由器,它保证网络的主路由器失效时,可以及时的由 备分来实现路由器来替代,从而保持通讯的连续性和可靠性。并可以在该协议上 实现负载均衡等高级交换特性。VRRP 技术的实现: 汇聚到核心冗余连接及 VRRP 的实现通过 VRRP 技术将多个设备虚拟成为一台逻辑设备,实现汇聚/接入链路冗余。4.3 RSTP、MSTP原理RSTP 协议完全向下兼容 802.1D STP 协议,除了和传统的 STP 协议一样具有避免回路、提供冗余链路的功能 外,最主要的特点就是“快”。如果一个局
37、域网内的网桥都支持 RSTP 协议且管理员配置得当,一旦网络拓朴改变而 要重新生成拓朴树只需要不超过 1 秒的时间(传统的 STP 需要大约 50 秒)。本交换机支持 MSTP,MSTP 是在传统的 STP、RSTP 的基础上发展而来的新的生成树协议,本身就包含了 RSTP的快速 FORWARDING 机制。由于传统的生成树协议与 vlan 没有任何联系,因此在特定网络拓朴下就会产生以下问题: 如图4.1 所示,交换机 A、B 在 vlan1 内,交换机 C、D 在 vlan2 内,然后连成环路。 图4.1在某种情况的配置下,会造成把交换机 A 和 B 间的链路给 DISCARDING.由于交
38、换机 C、D 不包含 vlan1,无法转发 vlan1 的数据包,这样交换机 A 的 vlan1 就无法与交换机 B 的 vlan1 进行通讯。在网络末梢,连接到单个工作站的时候,是不可能形成桥接环路的。在接口 上启用了 portfast 特性,可以使交换机端口立即变为转发状态,提高了网络的 响应速度及收敛时间。 基于 RSTP 的交换机高级特性 Uplinkfast 在网络中的应用考虑到有冗余上行连接的网络,使用冗余连接到上层交换机,通常情况下一 个上行连接处于转发状态,另一个处于阻塞状态,如果主上行连接断开,在使用 冗余连接之前所经历的时间高达 50S在使用 Uplinkfast 之后,使
39、的具有冗余上行连接的交换机具有根端口失效 时,另一个阻塞的上行连接能够立即使用,这个时间大大缩小到 1-5S 之间,在校园网的特殊环境之下,能大大增强网络的稳定性,加快网络收敛 。4.4 NAT的策略路由实现在组建网络时,为了节约地址,我们在内部使用保留的私有地址段中的地 址,但是使用私有地址不能访问 Internet,所以必须申请多个公开地址配置在和 Internet 相连的局域网边缘设备上。应用 NAT 进行地址转换。NAT 是网络地址翻译技术,在路由器上起用 NAT 之后,可以在部私有地址和 外部公网地址之间做转换。比如我们可以把网络内部使用的 IP 翻 译成外部公网的 IP。配置基于策
40、略的路由选择时,可使用路由映射表来指定基于 IP 地址,应用 程序,协议或者分组长度的条件。基于策略的路由选择命令对中选的路由实现策 略。基于策略的路由和静态路由有很多共同之处。然而,静态路由根据目标网络 地址来转换分组,而策略路由根据源地址来转发分组。在路由选择表中使用访问 列表时,可根据诸如目标地址,分组长度,IP 协议字段,优先级或端口号来转发数据流。这样可以指定范围更广泛,更细致的条件,并根据这些条件来决定下 一跳路由器。4.5 VLAN虚拟局域网的划分VLAN 虚拟局域网是一种在二层设备上隔离和划分广播域的技术,通过这种 划分,我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播
41、域,或者 把物理位置上邻近的网络设备划为不同的广播域,从而更方便我们管理和做一个 逻辑层次的划分。从技术上说 VLAN 可以分为静态 VLAN 和动态 VLAN,那么静 态的 VLAN 是基于交换机端口进行划分,根据网络设备连接不同的交换机端口, 则进入相应的 VLAN。动态 VLAN 则更灵活,它可以根据接入计算机的 IP 地址, MAC 地址,甚至是用户的登陆账号做出相应的处理,把计算机划分进相应的 VLAN 中,这样就为我们实际的网络管理带来了比较大的方便性和灵活性。 那么在我们的企业网方案中,我们希望通过使用VLAN 技术进行划分达到以下 目的:隔离,划分广播域,减小不必要的广播流量,
42、从而提高整个网络的利用效率。4.6 ACL访问控制策略访问列表为我们提供了一种对网络访问进行有效管理的方法,通过访问列 表,我们可以设置允许或拒绝数据包通过路由器,或者允许或者拒绝具体的某些 端口进行访问和使用,如果满足条件则执行相应的操作,放行这个包或者放弃这 个包。我们通过这些设置来满足实际网络的灵活需求,从而达到设置网络安全策 略,防止网络中的敏感设备受到非授权访问的情况。在具体实现过程中从技术上来说我们需要了解到 ACL 分为两种类型,他们分 别是标准访问列表(Standard access lists)和扩展访问列表(Extends access lists) 前者在过滤网络的时候只
43、使用 IP 数据报的源地址,那么在使用这种访问列表的 情况下它做出允许或者拒绝这个决定完全是依赖于源 IP 地址,它无法区分具体 的流量类型。而扩展访问列表则可以提供更细的决定,它可以具体到端口,从而 精确到某一个服务,比如对 WEB,FTP 的访问等,给我们网络的策略提供了更细 的控制手段。我们利用这种访问列表进行协议级的控制以达到对网络一个有效的 管理。标准访问控制列表一般放在靠近目标的路由器上,而扩展访问控制列表一 般放于近源端的路由器上。4.7 链路聚合以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的 伸缩性,比如可以把 2 个、3 个、4 个千兆的链路绑定在
44、一起,使链路的带宽成 倍增长。链路聚合技术可以实现不同端口的负载均衡,同时也能够互为备份,保 证链路的冗余性。在这些千兆以太网交换机中,最多可以支持 4 组链路聚合,每 组中最大 4 个端口。链路聚合一般是不允许跨芯片设置的。生成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路,并用生成树协议让备份链路阻塞,在逻辑上不形成环路。而一旦出现故障,启用备份链路。第五章 结构化综合布线 5.1 结构化综合布线概述 建筑物结构化综合布线系统(SCS)又称开放式布线系统,是一种在建筑物和建筑群中综合数据传输的网络系统。它是把建筑物内部的话音交换、智能数据处理设备及其它广义的数据通信设
45、施相互连接起来,并采用必要的设备同建筑物外部数据网络或电话局线路相连接。结构化布线系统是根据各节点的地理分布情况、网络配置情况和通信要求,安装适当的布线介质和连接设备,使整个网络的连接、维护和管理变得简单易行。(一)先进性原则 作为一个系统,先进性是系统赖以生存发展的条件。为保证网络工程在一定时期内不落后,及系统互连的方便性,我们在该系统的设计时,尽可能采用先进开放的技术和产品。从国内外的一些系统建设的实际经验和教训来看,先进性如不能保证,则会在系统的使用阶段出现后期投资追加过大,系统维护费用加大等问题。(二)兼容性 SCS是一套全开放式的布线系统,具有一套全系列的的适配器,可以将不同厂商的设备的不同传输
