《网络过程毕业设计论文3改.doc》由会员分享,可在线阅读,更多相关《网络过程毕业设计论文3改.doc(49页珍藏版)》请在三一办公上搜索。
1、江 西 理 工 大 学本 科 毕 业 设 计(论文)题 目:福临门有限公司的网络规划与设计学 院:信息工程学院专 业:网络工程班 级:071班学 生:汪贵平学 号:26指导教师: 涂燕琼 职称:讲师江 西 理 工 大 学本 科 毕 业 设 计(论文)任 务 书信息工程 学院 网络工程 专业 2007 级(2011届) 1 班 学生 汪贵平题 目: 福临门有限公司的网络规划与设计专题题目(若无专题则不填):原始依据(包括设计(论文)的工作基础、研究条件、应用环境、工作目的等):基础及条件:学过网络工程原理与实践、组网工程等基础课程,培训了H3CNE。应用环境:通过在实验室组建该企业的虚拟网络,模
2、拟各项基本配置及安全配置,以达到安全通信的目的。工作目的:本课题预计为该企业设计一个信息安全网络,在满足该企业在可预见的未来发展的需求下保证网络的高可靠性、稳定性及安全性,使企业内部成员能够高效率工作。主要内容和要求:(包括设计(研究)内容、主要指标与技术参数,并根据课题性质对学生提出具体要求):主要内容:此次设计主要通过对企业进行实地考察研究,做好网络布局的合理规划与需求分析,网络拓扑结构的设计,网络设备选择,综合布线设计,VLAN、VPN和防火墙和访问控制列表的设计与配置,WWW、FTP、DNS与DHCP服务器的安装与配置等,掌握中小企业网的系统集成方法。要求:通过对企业网的规划设计,掌握
3、中小企业网的系统集成方法,掌握网络工程规划设计、组建、管理和维护技术。要求网络应具备如下特点:1.开放性和标准化性,在企业内采用统一的网络体系结构,统一的网络协议。2.技术可行性,应该采用符合企业实际情况的网络设备,技术应用上要求应用成熟稳定的技术。3.先进性,选择代表先进水平的技术和设备,不使投资的设备在短时间内落伍。但也要考虑,技术的成熟性、标准性,不采用还未成为标准的技术及设备接口。4.经济性,网络设备的价格不能太高,与设备配套使用的器件、设备及线路的维护费用不能过高。5.安全性,对人员、设备的安全有所考虑;对网络系统安全的考虑。日程安排:第35周:系统调研和需求分析。第67周: 学习和
4、掌握企业网的系统集成方法及在组网中涉及到的各种安全技术,包括防火墙技术,访问控制列表,虚拟专用网,网络管理。第811周:在实验室组建企业网络,包括网络拓扑结构的设计,网络设备选择,综合布线系统的设计,虚拟局域网的划分与配置,访问控制列表的配置,防火墙的安全策略与配置,虚拟专用网配置等。第1213周:网络操作系统的的安全管理。 第1415周:整理文档及撰写毕业设计论文。第16周:毕业设计论文答辩。主要参考文献和书目:蔡建新. Cisco CCNP/CCIP网络工程师. 清华大学出版社2杨志姝等.Cisco实用教程(第3版). 清华大学出版社,2004.73华为认证高级网络工程师系列教程(HCSE
5、).构建企业级交换网络. 华为技术有限公司4华为认证高级网络工程师系列教程(HCSE). 企业级网络方案设计. 华为技术有限公司5夏靖波.网络工程设计与实践. 西安电子科技大学出版社6雷锐生.综合布线系统方案设计. 西安电子科技大学出版社(7) 陈向阳网络工程规划与设计清华大学出版社。(8)夏静波网络工程设计与实践西安电子科技大学出版社。(9)张传福CDMA移动通信网络规划设计与优化人民邮电出版社。(10) 周友丹企业网络组建与应用科学出版社。(11)李欢计算机网络基础人民邮电出版社。(12)李宝会中小型企业网络组建与管理人民邮电出版社指导教师签字: 2010 年 月 日教研室主任签字: 20
6、10 年 月 日注:本表可自主延伸,各专业根据需调整 江 西 理 工 大 学本科毕业设计(论文)开题报告(综述)信息工程 学院 网络工程 专业 2007 级(2011届) 1 班 学生 题 目:福临门有限公司的网络规划与设计本课题来源及研究现状:企业信息化已成为企业的重要资源和重要的竞争条件。随着时代的发展,企业的信息化要求越来越重要,企业的操作越来越依赖网络,企业对网络的组建和规范的要求日益突出。随着计算机及通讯技术的飞跃开展,企业内部管理的网络及信息化成为一种肯定的开展趋向。福临门有限公司尚未建立自己的企业局域网,通过这次课题对企业网的系统集成将很好的解决该企业信息化的难题。使得企业局域网
7、内部的信息能迅速、有效地传输,局域网中的各种资源,通过网络可以非常方便的共享。企业的沟通、应用、财务、决策、会议等都要在企业网络上传输,网络是对各项业务正常稳定进行通信的保证,信息化网络的建设必须遵循功能性、实用性、兼容性、前瞻性、安全性、可扩展性和经济性等原则。课题研究目标、内容、方法和手段:构建企业园区网的主要目的是为了使企业信息化,从而更快地了解当时的市场信息和更好地实现资源共享,更好地调整企业的政策和方针,实现企业利益的最大化。同时使得学生将网络系统集成的基础理论知识和实践联系起来,使学生掌握中小企业网的系统集成方法,掌握网络工程规划设计、组建、管理和维护技术。对构成一个完整的、积极防
8、御的安全体系平台有一个全面的认识。本毕业设计从实地考察出发,根据企业的网络需求,对该企业的背景需求、环境需求、安全需求等进行需求分析,继而设计企业的网络拓扑图,再依据网络拓扑图和需求分析进行网络的综合布线设计、网络安全及防护技术和企业网的管理策略等工作,以建设一个高效、可靠、安全的网络系统,从而实现公司办公和管理的信息化。设计(论文)提纲及进度安排:提纲:1. 需求分析2. 规划方案设计概要3. 逻辑结构设计4. 网络安全设计5. 物理设计与网络设备选型6. 综合布线设计方案进度安排第12周:毕业实习:系统调研和需求分析等;第3周:学习和掌握企业网的系统集成方法;第45周:企业网规划设计,包括
9、网络拓扑结构的设计,网络技术选型等;第69周:网络设备选择,VLAN和防火墙的配置,综合布线设计等;第1012周:完成WWW、FTP、DNS与DHCP服务器的安装与配置; 第1314周:整理文档及撰写毕业设计论文;第1516周:毕业设计论文答辩。主要参考文献和书目:1 蔡建新. Cisco CCNP/CCIP网络工程师. 清华大学出版社2杨志姝等.Cisco实用教程(第3版). 清华大学出版社,2004.73华为认证高级网络工程师系列教程(HCSE).构建企业级交换网络. 华为技术有限公司4华为认证高级网络工程师系列教程(HCSE). 企业级网络方案设计. 华为技术有限公司5夏靖波.网络工程设
10、计与实践. 西安电子科技大学出版社6雷锐生.综合布线系统方案设计. 西安电子科技大学出版社(7) 陈向阳 网络工程规划与设计清华大学出版社。(8)夏静波 网络工程设计与实践西安电子科技大学出版社。(9)张传福 CDMA移动通信网络规划设计与优化人民邮电出版社。(10) 周友丹 企业网络组建与应用科学出版社。(11)李欢 计算机网络基础人民邮电出版社。(12)李宝会中小型企业网络组建与管理人民邮电出版社指导教师审核意见:教研室主任签字: 2010年 月 日注:本表可自主延伸江西理工大学信息工程学院 2010 届学生毕业设计(论文)选题、审题表学生姓名、学号汪贵平 26选题教师姓 名涂燕琼所 在
11、专 业网络工程071班专业技术职 务正高副高中级申报课题名称福临门有限公司的网络规划与设计课题性质ABCDE课题来源ABCDE课题简介福临门有限公司根据公司发展和现今网络的广泛应用前景,要构建企业网络。课题主要内容是对实地调研与需求分析,设计好网络拓扑结构图,然后再进行网络设备选择,通过实验完成综合布线设计,VLAN、VPN和防火墙的配置,WWW、FTP、DNS与DHCP服务器的安装与配置等。设计(论文)要 求(包括应具备的条件)实地调研与需求分析,网络拓扑结构的设计,网络设备选型,综合布线设计,代理服务器的安装与配置,虚拟局域网的划分与配置,防火墙和路由器的设计与配置。在学校综合布线实验室、
12、路由交换实验室做好实验,进行VLAN、VPN和防火墙的配置,WWW、FTP、DNS与DHCP服务器的安装与配置等。课题预计工作量大小大适中小课题预计难易程度难一般易教研室审定意见:课题难度适中,符合本科毕业论文要求,同意开题。 负责人(签名): 2010 年 月 日注:1该表为毕业生毕业设计(论文)课题申报时专用,由选题教师填写,教研室讨论、负责人签名后生效;2 有关内容的填写见填表说明,并在表中相应栏内打“”;3 课题一旦被学生选定,此表须放在学生“毕业设计(论文)资料袋”中存档。4 各学院可根据具体情况自拟表格。目 录第一章 系统分析论文提纲6网络需求分析6网络性能需求7第二章 企业网络系
13、统集成设计概要 企业网的设计原则 企业网的技术特点 企业网的建设模式第三章 逻辑结构设计 网络技术选型 网络拓扑结构设计第四章 网络安全设计 VLAN技术及其规划设计 vPN技术 代理服务器的安装与配置 防火墙的安装与配置第五章 物理设计与网络设备选型 网络物理设计 防火墙选型 服务器选型 路由器选型 交换机选型 设备清单表第六章 综合布线设计方案 综合设计概述 综合布线设计目标 综合布线设计原则 工作区子系统 水平布线子系统 管理子系统 建筑群子系统 设备间子系统 综合布线设备清单致谢参考文献致 谢摘 要本方案的主要目标是根据福临门有限公司的局域网建设需求为背景,以计算机网络技术和综合布线技
14、术以及常用的网络服务器技术为基础,较详细地设计出了该企业的组网建设的规划和实施方案,以达到目前大多数企业对现代化经营办公的要求。本论文对该企业的组网需求进行了分析,参考了各种组网技术,从实用角度论述了分院整体上组网的规划与实现,各种网络设备的选型,以达到企业的设计要求。摘要内容空洞。写你自己做了什么工作,一般不超过400字。主要从三方面讲:1、为什么要对这个学校做规划设计,2、采用什么技术去做网络系统集成。完成了什么功能。3、达到什么性能。关键字: 企业网 VLAN 第一章 系统分析1.1论文提纲:1. 需求分析2. 规划方案设计概要3. 逻辑结构设计4. 网络安全设计5. 物理设计与网络设备
15、选型6. 综合布线设计方案1.2网络需求分析随着计算机及通讯设备的不断发展,企业的信息化和网络化已经成为一种肯定的发展趋势。为了满足企业的信息需求,为各类应用系统提供方便快捷的信息通路,良好的性能。能够支持大容量和各类实施的良好运行。具有较高的安全,可行性和实用性。网络信息交换效率也是信息时代网络评价的重要指标。降低网络的冗余,提高网络传输速度,使网络简单化,节约化是网络设计的主要目的。综合布线系统是一项实践性很强的工程。它是现代社会信息化的必然产物,是多功能、智能型大楼的必然要求。综合布线系统对基于各种系统资源的大楼总体功能的发挥并保持各部门长期、高效率的运转发挥着重要的作用。 所谓系统集成
16、,就是通过计算机网络技术,将各个分离的设备(如个人电脑)、功能和信息等集成到相互关联的、统一和协调的系统之中,使资源达 到充分共享,实现集中、高效、便利的管理。针对宿舍网用户的具体特点,以组建与规划两个大方面具体分析章丘校区宿舍网络的建设。通过软件与硬件配置分析宿舍网络的建设,并对各部分设计进行了详尽的分析,最终达成了一个完整的设计方案。伴随这激烈的竞争各企业不断改进管理模式,加大了在企业信息化和办公自动化方面的投入,使得信息网络产业发展迅速。中小企业网络化能够促进产业的发展,加大工作效率。应用背景需求分析概括了当前网络应用的技术背景,介绍了行业应用的方向和技术趋势,说明本企业网络信息化的必然
17、性. 应用背景需求分析要回答一些为什么要实施网络集成的问题. 业务需求分析的目标是明确企业的业务类型,应用系统软件种类,以及它们对网络功能指标(如带宽,服务质量QoS)的要求.业务需求是企业建网中首要的环节,是进行网络规划与设计的基本依据。,建立企业内部的局域网并与Internet网相连接,这一网络化建设,是实现企业信息化管理和资源大规模共享的发展方向,信息技术作为新技术革命的核心.不仅具有高增值性、成为最具经济活力的经济增长点,而且具有高渗透性,以极强的亲和力和扩散速度向经济各部门渗透,使其结构和效益发生根本性改变。信息化已成为当代经济发展与社会进步的巨大推力,尤其是作为国民经济信息化基础的
18、企业信息化,当前更显得尤为重要,信息化建设已成为企业发展的必由之路。信息化是企业加快实现现代化的必然选择汇聚层设计为连接本地的逻辑中心,仍需要较高的性能和比较丰富的功能。汇聚层的设计中主要考虑的是网络性能和功能性要高。接入层,我们在接入层设计上主张使用性能价格比高的设备。接入层是最终用户与网络的接口,它应该提供即插即用的特性,同时应该非常易于使用和维护该公司可分为两个区域:行政楼,员工宿舍。行政楼需求比较大,速度快,安全性要求高,可多设几个信息点,使用双绞线.每个房间根据大小、人员以及未来扩展性,设置2-6个信息点。部分用户(总工、副总、部门负责人)需同时使用PDM独立网络和厂局域网,通过设置
19、两台独立机器或增加网卡方式根据办公需要使用相应的网络解决;员工宿舍为一般用户,用户量多,对网速不做特别要求,可使用单模光钎。公司的平面结构如下图图1.1公司平面图1.2 信息点的分布根据公司的实际建筑图和各层的具体用途,信息点个数。按照规定每5-10平米就应该分配一个信息点。所以小型办公室分配1个信息点,大型的会议厅分配4个信息点。给该公司分配的信息点个数如下: 信息点一楼二楼三楼四楼无线接入点接入设汇聚层信 息楼宇备数量设 备点数销售部40181140宿舍楼16161661148行政楼2020202061180总和1681.3 网络性能需求:经济性实用性稳定行安全性可扩展性 第二章 企业网络
20、系统集成概要2.1企业网的设计原则一般来说,在工程设计前对主要设计原则进行选择和平衡,并排在其他设计方案中的优先级,对网络工程的设计和规划具有指导意义。网络建设原则要体现对用户网络技术和服务上的全面支持。这些原则应该以用户为中心,包括下面几个方面。 1. 可靠性原则具有容错功能,管理、维护方便。对网络的设计、选型、安装和调试等各个环节进行统一的规划和分析,确保系统运行可靠,需从设备本身和网络拓扑两方面考虑。2. 可扩展性原则为了保证用户的已有投资以及用户不断增长的业务需求,网络和布线系统必须具有灵活的结构,并留有合理的扩充余地,既能满足用户数量的扩展,又能满足因技术发展需要而实现低成本的扩展和
21、升级的需求。需从设备性能、可升级的能力和IP地址、路由协议规划等方面考虑。3. 可运营性原则仅仅提供IP级别的连通是远远不够的,网络还应能够提供丰富的业务,足够健壮的安全级别,对关键业务的QoS保证。搭建网络的目的是真正能够给用户带来效益。 4. 可管理原则提供灵活的网络管理平台,利用一个平台实现对系统中各种类型的设备进行统一管理;提供网管对设备进行拓扑管理、配置备份、软件升级、实时监控网络中的流量及异常情况。2.2企业网的技术特点1、网络的稳定性和可用性。在企业信息化应用越来越多的情况下,网络需要保证各种系统的7*24不间断运转。2、网络安全。网络攻击和病毒传播会给信息化应用系统的正常使用带
22、来很多隐患。另外,数据的完整保存和不泄密,是保护企业隐私和技术机密的重要保证。3、网络是否易管理?企业的网络管理人员数量少,且技术水平相对较低,如何让网络管理员轻松管理和维护网络,尽量减少因网络中断或故障带来的损失,是企业关注的问题。4、可扩展性。当前建设的网络,在几年后能否可以继续使用,能否平滑升级,保护已有投资。2.3企业网的建设模式理想的集成项目结构中,企业应当从项目参与者的角色便成为项目的监督和管理者,利用结构上的制衡来实现对项目的控制。在结构中增加了设计和监理角色。各个角色的工作一目了然,设计角色的大部分工作可以由集成商来担当,企业无需担当“相马”的伯乐,只要采用“赛马”的方法,邀请
23、多家集成商为企业提供初期设计方案,当然,对方案的审核、修改和形成招标文件的工作可以交给内行或顾问来完成,在此基础上形成专业的招标文件,在招标文件中明确所有设备的品牌、型号、规格、数量,以确保投标集成商是针对同一套设备进行投标,这样企业无需费力讨价还价,投标制度自动可以将设备的价格降低下来,也可以避免集成商故意模糊产品配置造成不必要的损失。监理方将在此环节担当以上工作。引入工程监理制度,企业可委托专业的第三方监理机构,对工程的全过程,包括工程的合同、质量、进度、资金进行有效的控制和监督管理,使工程建设全过程处于严格的监控之下,以降低工程建设风险,控制建设经费,保证工程进度和质量。对一个信息化建设
24、项目而言,监理工作开展的时机越早,越有利于分析和总结企业信息化的关键要素,越有利于纠正前期规划的不足,越有利于建立标准化、规范化的项目管理体制,从而确保项目建设的顺利进行。第三章 逻辑结构设计3.1网络技术选型在技术选型上,要考虑所采用的技术是否稳定、扩展性是否较好、跨平台的性能等等。在软件选型的时候,不仅要考虑软件的功能,也要考虑其所采用的技术。智能化企业的核心是智能化企业网络的建设,通过企业网络,企业管理员不但可以对企业进行现代化的物业管理,还可以为企业用户提供一些增值服务,比如高速 Internet访问、网上社区、网上超市、网络图书馆、远程医疗、网上学校、股票网上实时交易和视频点播等企业
25、服务。智能化企业网络属于园区网络,与传统园区网络相比最大不同点是,智能化企业网络是一个公用的运营网络,其设计应包括以下5个方面: 1企业网络控制中心的设计,包括宽带Internet接入方式、网管技术选择和核心交换路由设备的选择等; 2.基础物理传输网络设计,包括物理线路和传输协议等; 3.网络逻辑设计,包括路由服务和网络流量控制等; 4.网络运营管理平台设计,包括基于用户的认证、计费、网络安全和服务质量等; 5.Internet服务网络平台设计,包括防火墙、WebCache和服务器负载均衡等。除了企业网络控制中心的建立之外,智能化企业网络的建设重点就是物理网络传输技术即企业用户接入技术的选择,
26、目前主要有4种接入技术:以太网技术、无线局域网技术、有线电视网数据传输技术和数字电话线路传输技术。智能化企业网络的建设是围绕着企业用户接入方式这一核心开展的,根据本公司的实际情况考虑,宜使用以太网技术。用以太网技术建设的智能化社区网络,实际上就是建设智能化企业以太园区网。具体方法是,在每个房间添加RJ45接口信息插座作为接入网络的接口,可提供10/100Mbps自适应的网络连接速率。由于采用的以太网技术较为成熟,因此基础网络设计方案和技术实现比较简单,主要包括2方面:即企业内网络结构化布线和以太网设计与实现。企业内网络结构化布线通常采用光纤到楼、双绞线到户的方案,即楼宇之间采用光纤形成网络骨干
27、线路,在单栋建筑物内采用五类双绞线到每户。以太网设计与实现包括网络管理控制中心和企业楼内子网的设计与实现。网络管理控制中心一般采用核心级骨干交换机,企业子网一般采用工作组级交换机。3.2网络拓扑结构设计 计算机网络的拓扑结构是指网络中各个站点相互连接的形式,在局域网中明确一点讲就是文件服务器、工作站和电缆等的连接形式,把网络中的计算机和通信设备抽象为一个点,把传输介质抽象为一条线。网络的拓扑结构反映出网中个实体的结构关系,是建设计算机网络的第一步,是实现各种网络协议的基础,它对网络的性能,系统的可靠性与通信费用都有重大影响。大型网络的设计是把整个计算机网络划分为核心层、汇聚层、接入层。网络的层
28、次化设计具有以下优点。(1) 结构简单:通过网络分成许多小单元,降低了网络的整体复杂性,使故障排除或扩展更容易,能隔离广播风暴的传播、防止路由循环等潜在问题。(2) 升级灵活:网络容易升级到最新的技术,升级任意层的网络不会对其他层造成影响,无需改变整个网络环境。(3) 易于管理:层次结构降低了设备配置的复杂性,使网络更容易管理。通常将网络中直接面向用户连接或访问网络的部分称为接入层。接入层目的是允许终端用户连接到网络,提供了带宽共享、交换带宽、MAC层过滤和网段划分等功能。接入层交换机具有低成本和高端口密度特点,考虑采用可网管、可堆叠的接入级交换机。交换机的高速端口用于上连高速率的汇聚层交换机
29、,普通端口直接与用户计算机相连,以有效地缓解网络骨干的瓶颈。位于接入层和核心层之间的部分称为分布层或汇聚层。汇聚层交换层是多台接入层交换机的汇聚点,它必须能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路,因此汇聚层交换机与接入层交换机比较,需要更高的性能、更少的接口和更高的交换速率。汇聚层的设计要满足核心层、汇聚层交换机和服务器集合环境对千兆端口密度、可扩展性、高可用性以及多层交换的不断增长的需求,支持大用户量、多媒体信息传输等应用。网络主干部分称为核心层。核心层的主要目的在于通过高速转发通信,提供可靠的骨干传输结构,因此核心层交换机应拥有更高的可靠性,更快速率的链路连接技术,并且
30、能快速适应网络的变化。性能和吞吐量应根据不同层次用不同的要求设计网络,并且使用冗余组件来设计,在与汇聚层交换机相连时要考虑采用建立在生成树基础上的多链路冗余连接,以保证与核心层交换机之间存在备份连接和负载均衡,完成高带宽、大容量网络层路由交换功能。图3.2 公司网络拓扑图第三章 网络安全设计4.1VLAN技术及规划设计VLAN(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以
31、太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。虽然VLAN所连接的设备来自不同的网段,但是相互之间可以进行直接通信,好像处于同一网段中一样,由此得名虚拟局域网。相比较传统的局域网布局,VLAN技术更加灵.活。一个VLAN可以在一个交换机或者跨交换机实现。域网vlan主要特点:便于管理,便于错误排除,便于流量控制VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解
32、决冲突域、广播域、带宽问题。传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽;而且对广播风暴的控制和网络安全只能在第三层的路由器上实现,VLAN能够将广播风暴控制在一个VLAN内部,划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层第四层的交换结合使用能够为网络
33、提供较好的安全措施。另外,VLAN具有灵活性和可扩张性等特点,方便于网络维护和管理,这两个特点正是现代局域网设计必须实现的两个基本目标,在局域网中有效利用虚拟局域网技术能够提高网络运行效率。对于不同的应用子网,我们在交换机上通常会划到不同的中进行隔离。那么采用VLAN技术究竟有什么样的优点呢?1. 控制网络上的广播风暴,某些应用程序在发起连接的时候会采用广播的方式。客户端较少(几台到10几台设备)时可以忽略这个问题。但是当客户端较多(有上百台设备)时,这种广播流量对网络带宽的影响就不可以忽略不计。假设所有设备都在一个vlan中。那么当某台设备发出一个广播报文,当这个报文到达交换机以后会被交换机
34、复制到除接收该报文的接口外的其余所有接口。如果本来就只应该有一台设备对该广播报文进行处理和回复,那么其余设备接收到该广播报文就是多余的,换句话说就是浪费了其余设备带宽。为了控制网络中由于应用程序本身或者其余某些不可控因素产生的大量广播报文,我们应该将不同的子系统划分到不同的vlan中。在划分vlan之后,我们就能够很好的保证一个vlan中的广播不会送到该vlan外,这样就减少广播流量,释放更多的带宽给用户应用。但是划分的时候有一点我们需要特别注意:由于划分vlan之后,不同vlan中的设备在2层是没有办法直接通信的。需要通过3层路由的方式才能实现彼此的互通。而路由接口是绝对不会转发广播报文的。
35、因此对于那些彼此之间必须通过广播方式建立连接进而实现通信的应用程序,那么他们各自所属的设备应该是划在一个vlan当中。2. 降低环路造成的危害。我们知道交换机在进行2层转发的时候是通过查找MAC地址表来实现的。因此MAC表的正确与否直接关系到数据能否正确的转发到目的地。而环路会造成交换机MAC地址表学习错误。这样直接造成的后果就是交换机上整个数据转发出现问题,与交换机直连的所有设备之间的通信都会中断。后果极其严重。划分vlan之后,环路造成影响的范围会缩小到vlan之内。某一vlan内部形成环路只会造成该vlan内部设备间的通信出现问题而不会影响到其余vlan。因而我们建议将各个子系统划分到不
36、同的vlan之中并且再在各个vlan内部的端口上启用环路检测功能(或生成树协议),这样就在最大限度上缩小了环路造成的危害。3. 增加网络的安全性。因为一个VLAN就是一个单独的广播域,VLAN之间相互隔离,这大大提高了网络的利用率,确保了网络的安全保密性。人们在LAN上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组,网络管理员限VLAN中用户的数量,禁止未经允许的用户访问VLAN中的应用。交换机上的端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性较高的VLAN中。Vlan的划分规则如下,
37、对于行政楼来说,由于每一层的管理的功能不同,所以给每一层划分为一个vlan,其中每层有信息点20个,考虑到扩展性,所以最少要分配6位主机位。所以得出以下的VLAN划分方案:vlan 号子网号掩码主机地址范围分配区域1192.168.252.64255.255.255.192192.168.252.65192.168.252.127行政楼1层2192.168.252.128255.255.255.192192.168.252.129192.168.252.191行政楼2层3192.168.252.192255.255.255.192192.168.252.193192.168.252.254行政
38、楼3层4192.168.253.0255.255.255.192192.168.253.1192.168.253.63行政楼4层5192.168.253.64255.255.255.192192.168.253.65192.168.253.127宿舍1楼6192.168.253.128255.255.255.192192.168.253.129192.168.253.191宿舍2楼7192.168.253.192255.255.255.192192.168.253.193192.168.253.254销售部1区8192.168.254.0255.255.255.192192.168.254.1
39、192.168.254.63销售部2区同一部门在不同物理网段的结点可被设为同一逻辑子网,实现与物理位置的无关性。对于网络中心,财务部门等要害部门可采用基于传统的MAC地址的VLAN划分技术,以防止非授权结点在该子网中的出现。对于员工宿舍物理子网比较多,难以有效管理的地方可采用混合策略,如在同一端口细分不同的逻辑虚拟子网或基于MAC地址划分子网,以尽量减少IP地址盗用和其它安全问题。4.2 VPN技术VPN 即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN 是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构
40、、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN 可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN 架构中采用了多种安全机制,如隧道技术( Tunneling )、加解密技术( Encryption )、密钥管理技术、身份认证技术( Authentication )等,通过上述的各项网络安全技术,确保资料在公众网络中不被窃取,或是即使被窃取了,对方亦无法读取数据包内所传送的资料。是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”
41、。VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可行性。VPN可分为三大类:(1)企业各部门与远程分支之间的Intranet VPN;(2)企业网与远程(移动)雇员之间的远程访问(Remote Access)VPN;(3)企业与合作伙伴、客户、供应商之间的Extranet VPN功能由于采用了“虚拟专用网”技术,即用户实际上并不存在一个独立专用的网络,用户既不需要建设或租用专线,也不需要装备专用的设备,就能组成一个属于用户自己专用的电信网络。 虚拟专用网是利用公用电信网组建起来的功能性网络。不同类型的公用网络,通过网络内部的软件控制就可以组建不同种类的虚拟专用网。VPN的要求
42、VPN提供用户一种私人专用(Private)的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在Intranet VPN中,要有高强度的加密技术来保护敏感信息;在远程访问VPN中要有对远程用户可*的认证机制。 性能VPN要发展其性能至少不应该低于传统方法。尽管网络速度不断提高,但在Internet时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN性能的稳定带来极大的影响。因此VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台,管理员定义管理政策来激活基于重要性的出入口带宽分配。这样既能确保对
43、数据丢失有严格要求和高优先级应用的性能,又不会“饿死”,低优先级的应用。管理问题由于网络设施、应用不断增加,网络用户所需的IP地址数量持续增长,对越来越复杂的网络管理,网络安全处理能力的大小是VPN解决方案好坏的至关紧要的区分。VPN是公司对外的延伸,因此VPN要有一个固定管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全政策的简单方法,将安全政策进行分布,并管理大量设备间。解决方案针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。 对于很多IPSec VPN用户来说,IPSec VPN的解决方案的高成本和复杂的结构是很头疼的。存在如下事实:在部署和使用软硬件客户端的时候,需要大量的评价、部署、培训、升级和支持,对于用户来说,这些无论是在经济上和
