《集团办公室网络建设项目解决方案.doc》由会员分享,可在线阅读,更多相关《集团办公室网络建设项目解决方案.doc(35页珍藏版)》请在三一办公上搜索。
1、 Xx集团办公室网络项目技术建议书易阳科技有限公司2010年3月10日 目录第一章 网络总体设计31.1 网络总体拓扑图31.2 网络层次化设计51.2.1. 核心层61.2.2 汇聚层71.2.3 接入层81.3 核心层设计91.4 接入层设计101.5 内联接入10第二章 路由设计112.1 路由协议选择112.2 路由规划拓扑图112.2 IP地址规划12第三章 网络安全解决方案143.1 网络边界安全威胁分析143.2 网络内部安全威胁分析163.3 安全产品选型原则173.4 网络常用技术介绍18PPP协议18Vtp19HSRP 协议20VLAN 技术20Trunk 技术21SPT协
2、议23OSPF协议24Qos技术24第四章 产品简介25二层交换机26三层交换27工程部专用电脑28五、打印系统28六、文件服务器33系统磁盘管理:34工程报价35第一章 网络总体设计1.1 网络总体拓扑图由于考虑到总公司的实际需求,我们给贵公司设计的方案是采用两台路由双线接入负载均衡,都在路由端口上做nat转换节约ip地址。四台CISCO WS-C3750G-24TS-S 做双机热备(两台总部两台分部,可扩展),根据当前贵公司的人数需求,我们用四台WS-C2960-48TT-L二层交换机(可扩展)做vlan划分。用Cisco 专有热备份路由协议技术,根据需求配置成多组HSRP;同时双机还可以
3、做负载均衡。这样设计不但保证网络的高可用性和稳定性,还能够充分利用现有设备的资源,以避免单台核心设备的负载太重而导致的网络性能问题。如上图所示,这是总部内网的架构,整体网络可以根据功能划分为总部核心网络、内联接入包括办公网络,各部门相对独立,通过核心网络进行数据的交互。各部门可以各自建立相互通讯,各部门的网络安全体系,可以有独立的安全策略、数据流量控制等个体的特性,而需要和其他区域的设备进行通讯的时候,则必须遵守核心网络区的策略。在这里,我们对总公司的实际情况考虑,在总公司和分公司之间建立PPP专线连接,让分公司和总司可以进行安全的数据交换,对于虚拟分部(可扩展),我们根据距离和施工的情况建立
4、PPP专线或者VPN,来进行对数据的保护和有效传输,对于在外出差员工我们用easy-VPN的方式来让外部员工进行内部连接1.2 网络层次化设计随着网络技术的迅速发展和网络需求量的不断增长,分布式的网络服务和交换已经移至用户级,由此形成了一个新的、更适应现代的高速大型网络的分层设计模型。我们将采用层次化网络设计,构建高效、可靠、安全的网络。多层网络系统设计能最有效地利用多种业务,包括负载分担和故障恢复等。在多层网络中运用智能多业务可以大大减少因配置不当或故障设备引起的一般问题。多层模式使网络的移植更为简单易行,因为它保留了基于路由器和交换机的网络原有的寻址方案,对以往的网络有很好的兼容性。另外分
5、层结构也能够对网络的故障进行很好的隔离。1.2.1. 核心层为网络提供骨干组件或高速交换组件,高效速度传输是核心层的目标。核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。核心层具有如下几个特性:高可靠性、提供冗余、提供容错、能够迅速适应网络变化、低延时、可管理性良好、网络直径限定和网络直径一致。当网络中使用路由器时,从网络中的一个终端到另一个终端经过的路由器的数目称为网络的“直径”。在一个层次化网络中,应该具有一致的网络直径。也就是说,通过网络主干从任意一个终端到另一个终端经过的路由器的数目是一样的,从网络上任一终端到主干上的服务器的距离也
6、应该是一样的。限定网络的直径,能够提供可预见的性能,排除故障也容易一些。分布层路由器和相连接的局域网可以在不增加网络直径的前提下加入网络,因为它们不影响原有的站点的通信。在核心层中,网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者,所以我们对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。我们将采用高带宽的千兆级交换机,充当核心层设备。因为核心层是网络的枢纽部分,网络流量最大,因此需要提供高带宽。1.2.2 汇聚层是核心层和终端用户接入层的分界面,访问层的汇接点,用于分隔访问层的不同网络拓扑,并实现网络的聚合与流量的收敛。汇聚层完成网
7、络访问的策略控制、广播域的定义、VLAN间的路由、数据包处理、过滤寻址及其他数据处理的任务。一般采用中端设备。 汇聚层是连接接入层和核心层的网络设备,为接入层提供数据的汇聚传输管理分发处理.汇聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由服务,认证管理等.通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层.汇聚层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定。汇聚层设计为连接本地的逻辑中心,仍需要较高的性能和比较丰富的功能。 汇聚层设备一般采用可管理的三层交换机或堆叠式交换机以达到带宽和传输性能的要求。其设备性
8、能较好,但价格高于接入层设备,而且对环境的要求也较高,对电磁辐射、温度、湿度和空气洁净度等都有一定的要求。汇聚层设备之间以及汇聚层设备与核心层设备之间多采用光纤互联,以提高系统的传输性能和吞吐量。一般来说,用户访问控制会安排在接入层,但这并非绝对,也可以安排在汇聚层进行。在汇聚层实现安全控制和身份认证时,采用的是集中式的管理模式。 当网络规模较大时,可以设计综合安全管理策略,例如在接入层实现身份认证和MAC地址绑定,在汇聚层实现流量控制和访问权限约束。1.2.3 接入层向本地网段提供用户接入、主要提供网络分段、广播能力、多播能力、介质访问的安全性、MAC地址的过滤和路由发现等任务。接入层通常指
9、网络中直接面向用户连接或访问的部分。接入层目的是允许终端用户连接到网络,因此在接入层我们将采用具有低成本和高端口密度特性的交换机。接入交换机是最常见的交换机,它直接与外网联系,使用最广泛,尤其是在一般办公室、小型机房和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心等部门。在传输速度上,现代接入交换机大都提供多个具有10M/100M/1000M自适应能力的端口。 在接入层是最终用户(员工) 与网络的接口,它应该提供即插即用的特性,同时应该非常易于使用和维护。当然我们也应该考虑端口密度的问题接入层由无线网卡、AP和L2Switch组成,按照宽带网络的定义,接入层的主要功能是完成用户流量的
10、接入和隔离。对于无线局域网WLAN用户,用户终端通过无线网卡和无线接入点AP完成用户接入。接入层交换机一般用于直接连接电脑,具有低成本和高端口密度特性。接入层交换机端口的input 指服务器向交换机端口发送的数据,即是服务器发送出去的数据。接入层交换机端口的output 指交换机端口向服务器传输的数据,即是服务器收到的数据。1.3 核心层设计核心交换区的作用是高效速度传输数据,是所有流量的最终承受者和汇聚者,推荐使用高端设备。我们推荐使用Cisco Catalyst 3750三台三层交换机为网络提供可靠、高速、安全的服务。3750系列交换机是一个创新的产品系列,它结合业界领先的易用性和最高的冗
11、余性,里程碑地提升了堆叠式交换机在局域网中的工作效率。这个产品系列采用了最新的思科StackWise智能堆叠技术,不但实现高达32Gbps的堆叠互联,还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起,便于用户建立一个统一、高度灵活的交换系统 - 就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。3750系列最多可以将9个交换机堆叠在一起,构成一个统一的逻辑单元,其中总共包含468个以太网或以太网供电10/100端口或者252个以太网10/100/1000端口、或9个10GB以太网端口。各个10/100、10/100/1000和10Gb以太网单元可以根据网络的需要任意组合
12、。3750系列可以使用标准多层软件镜像(SMI)或者增强多层软件镜像(EMI)。SMI功能集包括先进的服务质量(QoS)、速率限制、访问控制列表(ACL)和基本的静态和路由信息协议(RIP)路由功能。EMI可以提供一组更加丰富的企业级功能,包括先进的、基于硬件的IP单播和组播路由。1.4 接入层设计接入层交换机采用思科的WS-C2960 系列的二层交换机以千兆以太链路和汇聚交换机相连接,并为员工终端提供10/100M 自适应的接入,从而形成千兆为骨干,百兆到桌面的以太网三层结构。接入层交换机一般用于直接连接办公系统,具有低成本和高端口密度特性。接入层交换机端口的input 指服务器向交换机端口
13、发送的数据,即是服务器发送出去的数据。接入层交换机端口的output 指交换机端口向服务器传输的数据,即是服务器收到的数据。我们在核心层和汇聚层的设计中主要考虑的是网络性能和功能性要高,那么我们在接入层设计上主张使用性能价格比高的设备。接入层是最终用户(员工) 与网络的接口,它应该提供即插即用的特性,同时应该非常易于使用和维护。当然我们也考虑端口密度的问题。1.5 内联接入内联接入的作用是用于连接北京总部和北京分部。我们推荐使用两台Cisco 2821系列路由器完成此项功能。由于总部网络和分部机房属于公司的内部网络的一部分,因此我们将着重重视数据的安全性、可靠性。Cisco 2821系列具有以
14、下功能: 集成语音留言 范围广泛的话音接口 支持 SRST, 分支机构可利用集中呼叫控制, 并通过SRST冗余性为IP电话经济有效地提供本地 分支机构备份Cisco 2821还支持QOS,包含网络扩展性,具有内置防火墙功能,提高内部网络的安全性、可靠性。第二章 路由设计2.1 路由协议选择OSPF全称为开放式最短路径优先协议(Open Shortest-Path First),OSPF采用链路状态协议算法,每个路由器维护一个相同的链路状态数据库,保存整个AS的拓扑结构。一旦每个路由器有了完整的链路状态数据库。对于大型的网络,为了进一步减少路由协议通信流量,利于管理和计算,OSPF将整个AS划分
15、为若干个区域,区域内的路由器维护一个相同的链路状态数据库,保存该区域的拓扑结构。 OSPF支持各种不同鉴别机制,并且允许各个系统或区域采用互不相同的鉴别机制;提供负载均衡功能;OSPF属动态的自适应协议,对于网络的拓扑结构变化可以迅速地做出反应,进行相应调整,提供短的收敛期,使路由表尽快稳定化,并且与其它路由协议相比,OSPF在对网络拓扑变化的处理过程中仅需要最少的通信流量;OSPF提供点到多点接口,支持无类型域间路由地址。2.2 路由规划拓扑图2.2 IP地址规划标识网络中的一个节点。IP 地址空间的分配,要与网络层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时
16、能满足路由协议的要求,提高路由算法的效率,加快路由变化的收敛速度。我们根据以下几个原则来分配IP 地址:唯一性:一个IP 网络中不能有两个主机采用相同的IP 地址简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的款项连续性:连续地址在层次结构网络中易于进行路由总结(RouteSummarization),大大缩减路由表,提高路由算法的效率可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址总结所需的连续性灵活性:地址分配应具有灵活性,可借助可变长子网掩码技术(VLSM Variable-Length Subnet Mask),以满足多种路由策略的优化,充分利用
17、地址空间。Vlan的划分:总部Vlan虚拟ip工程部Vlan10192.168.10.254销售部Vlan20192.168.20.254财务部Vlan30192.168.30.254人事部Vlan40192.168.40.254网络部Vlan50192.168.50.254市场部Vlan60192.168.60.254经理Vlan70192.168.70.254IP地址的划分总部Ip地址子网工程部192.168.1.0255.255.255.0销售部192.168.2.0255.255.255.0财务部192.168.3.0255.255.255.0人事部192.168.4.0255.255
18、.255.0网络部192.168.5.0255.255.255.0市场部192.168.6.0255.255.255.0经理192.168.7.0255.255.255.0第三章 网络安全解决方案 3.1 网络边界安全威胁分析把不同安全级别的网络相连接,就产生了网络边界。防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。非安全网络互联带来的安全问题与网络内部的安全问题是截然不同的,主要的原因是攻击者不可控,攻击是不可溯源的,也没有办法去“封杀”。一般来说网络边界上的安全问题主要有下面几个方面: 1、信息泄密:网络上的资源是可以共享的,但没有授权的人得到了他不该得到的资源,信息就泄露
19、了。一般信息泄密有两种方式: 攻击者(非授权人员)进入了网络,获取了信息,这是从网络内部的泄密 合法使用者在进行正常业务往来时,信息被外人获得,这是从网络外部的泄密 2、入侵者的攻击:互联网是世界级的大众网络,网络上有各种势力与团体。入侵就是有人通过互联网进入你的网络(或其他渠道),篡改数据,或实施破坏行为,造成你网络业务的瘫痪,这种攻击是主动的、有目的、甚至是有组织的行为。 3、网络病毒:与非安全网络的业务互联,难免在通讯中带来病毒,一旦在你的网络中发作,业务将受到巨大冲击,病毒的传播与发作一般有不确定的随机特性。这是“无对手”、“无意识”的攻击行为。 4、木马入侵:木马的发展是一种新型的攻
20、击行为,他在传播时象病毒一样自由扩散,没有主动的迹象,但进入你的网络后,便主动与他的“主子”联络,从而让主子来控制你的机器,既可以盗用你的网络信息,也可以利用你的系统资源为他工作,比较典型的就是“僵尸网络”。 来自网络外部的安全问题,重点是防护与监控。来自网络内部的安全,人员是可控的,可以通过认证、授权、审计的方式追踪用户的行为轨迹,也就是我们说的行为审计与合轨性审计。由于有这些安全隐患的存在,在网络边界上,最容易受到的攻击方式有下面几种: 1、黑客入侵:入侵的过程是隐秘的,造成的后果是窃取数据与系统破坏。木马的入侵也属于黑客的一种,只是入侵的方式采用的病毒传播,达到的效果与黑客一样。 2、病
21、毒入侵:病毒就是网络的蛀虫与垃圾,大量的自我繁殖,侵占系统与网络资源,导致系统性能下降。病毒对网关没有影响,就象“走私”团伙,一旦进入网络内部,便成为可怕的“瘟疫”,病毒的入侵方式就象“水”的渗透一样,看似漫无目的,实则无孔不入。 3、网络攻击:网络攻击是针对网络边界设备或系统服务器的,主要的目的是中断网络与外界的连接,比如DOS攻击,虽然不破坏网络内部的数据,但阻塞了应用的带宽,可以说是一种公开的攻击,攻击的目的一般是造成你服务的中断“魔高道高,道高魔高”。网络边界是两者长期博弈的“战场”,然而安全技术在“不断打补丁”的同时,也逐渐在向“主动防御、立体防护”的思想上迈进,边界防护的技术也在逐
22、渐成熟,数据交换网技术就已经不再只是一个防护网关,而是一种边界安全网络,综合性的安全防护思路。也许安全的话题是永恒的,但未来的网络边界一定是越来越安全的,网络的优势就在于连通。3.2 网络内部安全威胁分析内部网络的风险分析主要针对整个内部网的安全风险主要表现一下几个方面:内部用户的非授权访问,安博集团的内部资源也不是对任何的员工开放的,也需要相应的访问权限内部用户的非授权的访问。更容易造成资源和重要信息的泄露内部用户的误操作:由于内部用户的计算机造作的水平参差不齐,对于应用软件的理解也各不相同,如果一部分软件没有相应的对误操作的防范措施,极容易给服务系统各其他主机造成危害内部用户的恶意攻击:就
23、网络安全来说,据统计约有70%左右的攻击来自内部用户,相比外部攻击来说,内部用户具有更得天独厚的的优势,因此对内部用户攻击的防范也很重要。设备的自身安全行也会直接关系到安博公司网络系统和各种网络应用的正常运行,例如,路由设备存在路由信息泄露,交换机和路由器设备配置风险3.3 安全产品选型原则公司网络需要在考虑安全性的前提下,综合系统的其它性能,不影响网络系统运行效率、不影响正常的业务,定下系统综合服务品质参数,在此基础上,以不降低综合服务品质为原则,对信息安全产品进行选型。选型原则包括:安全性原则:产品系统具有多层次的安全保护措施,可以满足用户身份鉴别、访问控制、数据完整性、可审核性和保密性传
24、输等要求;标准性:网络安全产品选型符合国家标准,产品的质量以及属性必须达到国家所要求的,符合本产品的性能;扩展性原则:在业务不断发展的情况下 ,产品系统可以不断升级和扩充,并保证系统的稳定运行;性价比:不盲目追求高性能产品,要购买适合自身需求的产品;产品与服务相结合原则:良好的售后服务,否则买回的产品出现故障时既没有技术又没有产品服务,使企业蒙受损失。3.4 网络常用技术介绍PPP协议PPP协议是在点到点链路上承载网络层数据包的一种链路层协议,它能够提供用户验证、易于扩充,并且支持同/异步通信它的优点在于简单、具备用户验证能力、可以解决IP分配等。 PPP是一种多协议成帧机制,它适合于调制解调
25、器、HDLC位序列线路、SONET和其它的物理层上使用。它支持错误检测、选项协商、头部压缩以及使用HDLC类型帧格式(可选)的可靠传输。 PPP提供了三类功能:1 成帧:他可以毫无歧义的分割出一帧的起始和结束。2 链路控制:有一个称为LCP的链路控制协议,支持同步和异步线路,也支持面向字节的和面向位的编码方式,可用于启动路线、测试线路、协商参数、以及关闭线路。3 网络控制:具有协商网络层选项的方法,并且协商方法与使用的网络层协议独立。PPP的两种认证方式一种是PAP,一种是CHAP。相对来说PAP的认证方式安全性没有CHAP高。PAP在传输password是明文的,而CHAP在传输过程中不传输
26、密码,取代密码的是hash(哈希值)。PAP认证是通过两次握手实现的,而CHAP则是通过3次握手实现的。PAP认证是被叫提出连接请求,主叫响应。而CHAP则是主叫发出请求,被叫回复一个数据包,这个包里面有主叫发送的随机的哈希值,主叫在数据库中确认无误后发送一个连接成功的数据包连接认证阶段完成之后,PPP将调用在链路创建阶段(阶段1)选定的各种网络控制协议(NCP)。选定的NCP解决PPP链路之上的高层协议问题,经过三个阶段以后,一条完整的PPP链路就建立起来了。利用以太网(Ethernet)资源,在以太网上运行PPP来进行用户认证接入的方式称为PPPoE。PPPoE即保护了用户方的以太网资源,
27、又完成了ADSL的接入要求,是目前ADSL接入方式中应用最广泛的技术标准。 。VtpVTP:是VLAN中继协议,也被称为虚拟局域网干道协议。它是思科私有协议。是十几台交换机在企业网中,配置VLAN工作量大,可以使用VTP协议,把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样他们可以自动学习到server 上的VLAN 信息。VTP是一种消息协议,使用第2层帧,在全网的基础上管理VLAN的添加、删除和重命名,以实现VLAN配置的一致性。可以用VTP管理网络中VLAN1到1005。有了VTP,建立一个VTP管理域,以使它能管理网络上当前的VLAN就可以在一台机换
28、上集中过时行配置变更,所作的变更会被自动传播到网络中所有其他的交换机上。(前提是在同一个VTP域)为了实现此功能,VTP模式有3种 服务器模式(Server)客户机模式(Client)透明模式(Transparent)HSRP 协议我们使用HSRP来实现对故障路由器的接管,HSRP中文解释是热备份路由协议,其含义是系统中有多台路由器,它们组成一个“热备份组”,这个组形成一个虚拟路由器。在任一时刻,一个组内只有一个路由器是活动的,并由它来转发数据包,如果活动路由器发生了故障,将选择一个备份路由器来替代活动路由器,但是在本网络内的主机看来,虚拟路由器没有改变。所以主机仍然保持连接,没有受到故障的影
29、响,这样就较好地解决了路由器切换的问题。VLAN 技术一般的交换机端口只有属于一个vlan,对于多个vlan需要跨过多台交换机,就需要用到trunk技术。Trunk是指交换机之间与路由之间传递,从而可以将vlan跨越整个网络,而不仅仅是局限在一台交换机上。Cisco支持802.1q,isl的技术,其中Iee802.1q是业界标准协议,而isl是clsco专用的协议,用于在一条链路上封装多个vlan的信息,isl技术得到了inter等厂商的大力支持,tagswitching被3com及cajum支持。对于cisco交换机的trunk端口,既可以指定它的封装协议为802.1q或isl,也可以通过d
30、tp协议自动协商,对也不同厂家的交换机相互连时很有帮助,对于trunk的定义只能在快速以太网端口和千兆以太网端口,也可以是快速以太通道或千兆以太通道,虽然我们采用的思科交换机,但是最为一个标准的,开放,先进的网络系统,我们推荐时采用ieee802.1q标准协议。Vlan即虚拟局域网,是一种通过将局域网内的设备逻辑的而不是物理的划分成一个一个网段从而实现虚拟工作组的新兴技术,iee于1999年颁布了用标准化vlan实现方案的802。1q协议标准草案。VLAN技术允许网络管理者讲一个物理的lan逻辑的划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包括一组有着相同需求的计算机工作
31、站,与物理上形成的vlan有着相同的属性,但由于它是逻辑的而不是物理的划分,所以同一个vlan内的各个工作站无需笨哦放置在同一个物理空间里,即这些工作站不一定属于同一个物理vlan网段里,一个vlan内部的广播和单播流量都不会转发到其他vlan中,从而有助于控制流量,减少设备投资,简化网络管理,提高网络的安全性。Trunk 技术TRUNK是端口汇聚,就是通过配置软件的设置,将2个或多个物理端口组合在一起成为一条逻辑的路径从而增加在交换机和网络节点之间的带宽,将属于这几个端口的带宽合并,给端口提供一个几倍于独立端口的独享的高带宽。Trunk是一种封装技术,它是一条点到点的链路,链路的两端可以都是
32、交换机,也可以是交换机和路由器,还可以是主机和交换机或路由器。基于端口汇聚(Trunk)功能,允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量, 大幅度提供整个网络能力。Trunk的优点: 1、可以在不同的交换机之间连接多个VLAN,可以将VLAN扩展到整个网络中。 2、Trunk可以捆绑任何相关的端口,也可以随时取消设置,这样提供了很高的灵活性。 3、Trunk可以提供负载均衡能力以及系统容错。由于Trunk实时平衡各个交换机端口和服务器接口的流量,一旦某个端口出现故障,它会自动把故障端口从Trunk组中撤消,进而重新分
33、配各个Trunk端口的流量,从而实现系统容错。Easy-vpn技术移动VPN技术: Easy VPN Server是RemoteAccess VPN专业设备,而Easy VPN Remote就是专门为了小的分支机构所设计的,一般情况下,小分支接口的网络管理员的水平没有那么高,不可能去配置一堆复杂命令来实现SitetoSite VPN,这时候,只需要通过Easy VPN Remote这个特性配置几条简单的命令,就可以SitetoSite VPN。所有的配置都在Server端来完成,Client的VPN配置都由Server端采用“推”的方式应用到分支机构的设备上。这种技术极大地避免了分支机构配置V
34、PN失败的问题。但这种VPN不支持路由,不支持组播,只能在IP协议下工作,不支持状态故障切换等技术。所以,需要网络管理员在自己的实际工作中留意这些功能是否需要,再决定是否实施Easy VPN技术。SPT协议STP是生成树协议可应用于环路网络,通过一定的算法实现路径冗余,同时将环路网络修剪成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环。通过在交换机之间传递一种特殊的协议报文来确定网络的拓扑结构。配置消息中包含了足够的信息来保证交换机完成生成树计算。Spanning Tree Protocol(STP)是一种二层链路协议,又称生成树协议,该协议在IEEE802.1D文档中定义。该协议
35、的原理是按照树的结构来构造网络拓扑,消除网络中的环路,避免由于环路的存在而造成广播风暴问题。该协议使用BPDU报文传递生成树信息。 STP的基本思想就是按照树的结构构造网络的拓扑结构,树的根是一个称为根桥的桥设备,根据设置不同,不同的交换机会被选为根桥,但任意时刻只能有一个根桥。由根桥开始,逐级形成一棵树,根桥定时发送配置报文,非根桥接收配置报文,并重新计算配置信息并转发,如果某台交换机能够从两个以上的端口接收到配置报文,则说明从该交换机到根有不止一条路径,便构成了循环回路,此时交换机根据端口的配置选出一个端口并把其他的端口阻塞,消除循环。当某个端口长时间不能接收到配置报文的时候,交换机认为端
36、口的配置超时,网络拓扑可能已经改变,此时重新计算网络拓扑,重新生成一棵树。生成树协议最主要的应用是为了避免局域网中的单点故障、网络环回,解决成环以太网网络的“广播风暴”问题,OSPF协议Ospf链路状态的路由协议,使用与大中型的企业,OSPF将链路状态广播数据包LSA(Link State Advertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。OSPF路由协议支持路由验证,只有互相通过路由验证的路由器之间才能交换路由信息。并且OSPF可以对不同的区域定义不同的验证方式,提高网络的安全性
37、。OSPF路由协议对负载分担的支持性能较好。OSPF路由协议支持多条Cost相同的链路上的负载分担,目前一些厂家的路由器支持6条链路的负载分担。Qos技术 QoS(Quality of Service)即服务质量。对于网络业务,服务质量包括传输的带宽、传送的时延、数据的丢包率等。在网络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高务质量。服务质量是相对网络业务而言的,在保证某类业务的服务质量的同时,可能就是在损害其它业务的服务质量。网络管理者需要根据各种业务的特点来对网络资源进行合理的规划和分配,从而使网络资源得到高效利用。 目前的Internet仅提供尽力
38、而为(best-effort service)的传送服务,业务量尽快传送,没有明确的时间和可靠性保障。随着网络多媒体技术的飞速发展,公司的不断扩展需要 IP电话、视频会议、视频点播(VOD)、远程教育等多媒体实时业务、电子商务。这些不同的应用需要有不同的Qos(quality of service)要求,Qos通常用带宽、时延、时延抖动和分组丢失率来衡量。服务质量Qos系指用来表示服务性能之属性的任何组合。这些属性必须是可提供的、可管理的、可验证和计费的,必须是始终如一的、可预测的、有的属性甚至是起决定性作用的。为了满足各种用户应用的需要,构建对IP最优并具备各种服务质量机制的网络是完全必要的
39、。专线服务、语音、文件传递、存储转发、交互式视频和广播视频是现有应用的一些例子。在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要QoS,比如Web应用,或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时,QoS 能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。 QoS的关键指标主要包括:可用性、吞吐量、时延、时延变化(包括抖动和漂移)和丢失。第四章 产品简介由于网络设备是整个网络的基础。因此采用主流的网络产品,以保证整个网络的稳定性和持续性。在该项目中。我公司选择美国cisco公司的网络设备,cisco公司是全球领先的网络设备提供商。拥有世界
40、领先的技术水平和齐全的产品线,能够提供完善的售前、售后服务。路由器:采用的是cisco2821系列的产品。该款能满足目前系统的需求。以及性能指标,也能方便以后的升级和扩展。Cisco路由器的简介:属于模块化路由扩展性强,内置防火墙。能支持vpn,qos等功能,转发率是0.04Mbps内存1024mb够公司办公,有百兆接口以及千兆接口,作为主干交换机实现1000M做主干100M到桌面的需求,在安装千兆光纤模块的同时,还可以安装百兆光纤模块,完全可以适应现在或将来的楼内光纤布线,灵活性很强。 (详见附表) 二层交换机二层交换采用的cisco 2960系列的WS-C2960-48TT-L,是一个企业
41、级可网管型的交换机,建立在一个功能强大且绝对无阻塞的16G交换背板上,可以保证堆叠中的所有端口间实现无阻塞的线速交换。接口为48以便新的员工的加入,全双工支持vlan技术,安全的保证不同vlan间的不部门不相互访问。(详见附表)三层交换三层交换处于汇聚层,要求的采用了可扩展性,。安全性和可改进网络运营的管理能力,从而提高网络的运行效率。而CISCO WS-C3750G-24TS-S就是合适的选择他采用最新的思科StackWise智能堆叠技术,不但实现高达32Gbps的堆叠互联,还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起,便于用户建立一个统一、高度灵活的交换系统 - 就好像是一整台交换
42、机一样。可以使用标准多层软件镜像(SMI)或者增强多层软件镜像(EMI)。SMI功能集包括先进的服务质量(QoS)、速率限制、访问控制列表(ACL)和基本的静态和路由信息协议(RIP)路由功能。EMI可以提供一组更加丰富的企业级功能,包括先进的、基于硬件的IP单播和组播路由。设备名称名称特权模式密码路由器2821123#a1号三层交换机CISCO WS-C3750G-24TS-S123#a2号三层交换机CISCO WS-C3750G-24TS-S123#a二层交换机WS-C2960-48TT-L123#a工程部专用电脑工程部要求配置较高的电脑,我们选用苹果MacBook Pro,采用Intel
43、 酷睿i7 620M处理器,Intel HM55板芯片组,与主内存共享256MBDDR3SDRAM显存;拥有4GB双通道内存、500GB硬盘、;5800毫安锂电池可提供7小时的续航时间;MacOSXv10.5Leopard操作系统。支持DVD SuperMulti双层刻录五、打印系统利用windows系统提供的打印共享功能,公司全部系统实现网络打印。打印机选择著名厂商HP公司的激光打印机和喷墨打印机产品,所有打印机速度不低于14 PPM,可以实现高速的黑白和彩色打印。全部打印机直接接入网络,培植打印服务器支持全公司员工的打印需求,同时利用打印权限的设置保障打印机的有效合理使用。所有打印机共享后
44、发布在目录服务中,保证用户利用打印机的各种属性可以迅速在网络中查询到所需要的打印机1) 打印服务器配置设计作为公司的打印服务器,我们采用性能较好的联想天骄i660系列品牌电脑。其主要配置如下: 处理类型:64位 CPU :Intel 酷睿2双核E6320 1.86GHz 主板芯片组:Intel 946GZ 内存:DDR2 2G 硬盘:250GB SATA接口 7200RPM 网卡:Realtek RTL8139 Family PCI Fast Ethernet NIC 操作系统:Windows Server 2003 主要服务:打印服务 计算机名:printsever IP地址:192.168
45、.1.245/30配置完成后,把打印服务器放置在机房中。连接在交换机上。所有员工的计算机作为客户机通过安装网络打印机添加相应的打印机完成打印。2)打印设备表单打印机型号颜色打印机名共享名位置用途HP Color LaserJet 2605彩色Hp1Printer-zjl总经理办公室总经理专用HP LaserJet 1020黑白Hp2Printer-cw财务部财务部专用HP LaserJet 1020黑白Hp3Printer-js技术部技术部专用HP LaserJet 1020黑白Hp4Printer-yg1大厅所有员工使用HP LaserJet 1020黑白Hp5Printer-yg2大厅所有
46、员工使用打印机简介HP CP1215HP CP1215 彩色激光打印机,在所有文档中轻松加入鲜明的色彩,其经济适用性定会让您惊异不已。在您的办公室中惬意地打印出品质出众、引人注目的文档,让企业发展更进一步,成就各种全新的可能。此款打印机具有双面打印功能和照片卡插槽,设计紧凑,占用面积虽小,却能让您享受到便捷的文件传输和出众的性能。三星5637HR三星5637HR的机身设计非常简洁,是黑白激光多功能一体机,打印复印扫描传真为一体的有限网络打印,标准容量:2000页,高容量:5000页,内存256mb,高容量5000页3)打印权限设置A. 总经理对所有打印具有优先权B. 部门经理对该部门打印具有优先权C. 管理员和总经理对所有打印机具有管理权D. 财务经理对财务部专用打印用具有管理权设置如下:打印机权限管理权优先权打印权说明Printer-zjl管理员和总经理管理员(99)总经理(99)管理员和总经理总经理专用Printer-cw管理员、总经理、财务部经理(赵六)管理员(99)总经理(99)财务部经理(50)财务部员工(1)管理员、
