毕业设计（论文）-企业网络规划与设计.doc

毕业设计 企业网络规划与设计 （共 33 页） 姓 名： 专 业：计算机网络 学 号： 指导教师： 完成时间：2010-01-04 2 目录 第一章 绪论 3 第二章 设计前的分析4 2.1 企业概况分析 4 2.2 企业网络设计的需求分析 4 2.3 企业网络设计中要考虑的因素 4 第三章 企业网络的总体规划.5 3.1 企业网络方案的设计目标 .5 3.2 企业网络方案的设计原则 .5 3.3 局域网的总体设计说明 6 3.3.1 局域网主要拓扑图的设计.6 3.3.2 构建局域网需要考虑的主要问题8 3.3.3 局域网网络互联分析8 3.4 internet的接入 9 3.4.1 internet 的连接方式9 3.4.2 接入后需要考虑的问题11 3.5 企业网络技术的要求 11 3.5.1 vlan11 3.5.2 三层交换.13 3.5.3 stp .15 第四章 网络产品简介及其功能介绍 16 4.1 路由器.16 4.2 交换机.18 4.3 防火墙.19 4.4 服务器21 4.5 ups23 4.6 显示器25 第五章 网络方案总结25 5.1 网络方案的施工 25 5.2 对于网络的几点建议和日常维护方法 25 第六章 设备选购及其清单报价 27 参考文献.33 3 第一章 绪论 随着 internet 技术的普及，中国大步跨入了信息化社会，人们的工作、生 活与通信、信息的关系日益紧密， 信息化社会不但改变了我们的生活方式，同 时也改变了我们的工作方式，也对传统的工作方式提出了挑战。而这一切离不 开网络，正是网络将我们的生活、工作连接起来，而网络技术却受到了空前的 考验，网络技术的飞速发展，网络技术的不断更新，网络技术的不断淘汰，现 在的网络已经应用到了各行各业，几乎全部的行业都已经享受到网络所带来的 先进。目前企业信息化工作越来越来得到重视，进入二十一世纪后，企业信息 化不在满足于个人或单个部门的少量计算机应用，而逐步过度到多部门、多企 业甚至跨企业跨地域的大量计算机的协同工作。因此我们需要把这些计算机与 整个网络联接起来，因此就形成了我们所说的企业网。 本文是对某个中型企业的一个企业网络规划与设计的解决方案，文章首先 分析了企业构建网络的目的和设计网络的要求，从目的出发，根据企业网络的 需求提出了网络设计原则与设计目标，制定了总体的网络规划与设计方案，然 后再分层次具体的对该企业的局域网的和广域网进行设计，在该方案中，我们 还考虑到构建网络需要的成本、所要采用的技术，并预测了构建网络之后将要 遇到的问题。综合考虑，根据实际情况，在达到企业要求的情况下，并相应对 一些新兴的网络技术考虑到该方案中，以便在以后企业扩大规模、增加人数和 升级网络性能时，企业不会再重新对网络进行规划与设计。该方案要设计具有 前瞻性、科学性、实用性、扩展性等要求。 【摘要】根据企业的需求设计一个新型、先进、安全的网络，具有可扩展性、 高效性、灵活性等特点。 【关键字】局域网、路由器、交换机、vlan、internet、防火墙等。 4 第二章 设计前的分析 2.1 企业概况分析 设计一个销售企业的网络，该企业共有员工 105 人，分 7 个部门，包括人 事部，财务部，商务部，业务部，销售部，网络部，经理部。人事部 21 人，财 务部 8 人，商务部 13 人，业务部 16 人，销售部 40 人，网络部 2 人，经理部 5 人。除销售部外每人都有一台电脑，该公司的业务很多，业绩很好，为了提高 管理水平、工作效率及公司效益，而且在以后公司有可能扩大规模、增加人数 等。 2.2 企业网络设计的需求分析 企业的需求是根据企业信息技术的应用要求和企业的发展需求，结合企业 的人员数目和人员素质，全面地调查和分析企业在信息技术方面的技术需求， 然后经过专业人士的设计，将这些需求转换成网络技术能够提供的服务。 在对该公司的各个部门的需求分析、大概的了解，将企业需求概况为以下 几点： 1）在公司内的员工能够实现资源共享，例如：文件共享、打印机共享、软 件共享等。 2）在公司内能够连接到 internet，收发电子邮件，浏览网页、查找资料， 联系业务，订购货物等，而且有企业的网页的发布到 internet 上，为公司做到对 外宣传的作用。 3）各个部门之间不能互相通信，但各个部门经理能够相互访问，并且总经 理能够和部门经理相互通信，财务部和业务部内的所有员工不能互相通信，但 每个部门的所有员工能和部门经理通信。 4）限制访问权限，防止非法访问，防止计算机病毒、木马程序的入侵，使 用防火墙，防止互联网的入侵，保护企业免受外界的威胁。 5）提高人员管理水平，禁止员工做与工作无关的事项。 6）考虑到公司的业务需要，提高企业网络升级与优化的空间，企业规模的 扩张，人数的增加等问题。 2.3 企业网络设计中要考虑的因素 网络设计是对企业的整体需求的一个整体的设计，就像给小孩子做衣服， 不能太小，不能刚刚合身，也不能太大，要考虑到小孩子是在不断的长高，同 时他会发胖或者很瘦等可变的因素。网络设计也不例外，就是根据企业的需求， 5 在满足需求的基础上作相应的调整。有以下几点值得考虑： 1）构建该网络的成本。 2）设计网络方案的实用性。 3）网络设备的选材及硬件的可扩展性。 4）服务器、核心路由器及交换设备的冗余。 5）在该网络方案中要应用到的网络技术有哪些。 6）所涉及的网络技术在实际应用过程中的实用性、安全性、技术的成熟状况 等。 7）应用到的网络技术在公司员工、网络管理员当中应用状况。 8）网络工程的实施部署、设备购选是否符合实际。 第三章 企业网络的总体规划 3.1 企业网络方案的设计目标 该企业的设计目标，就是接入 internet，进行资源共享、假设简单服务器等， 在网络内部实现统一、高效、安全的网络系统。总体设计目标如下： 1）主干网络通畅接入 internet，达到百兆到桌面， 信息中心采用三层交换 设备，桌面采用二层交换设备接入主干网络。 2）在该网络中，对交换设备划分 vlan，可以利用 nat 技术进行公有 ip 地 址与私有 ip 地址的转换。 3）架构 dhcp 服务器、www 服务器、ftp 服务器、打印机服务器、 email 服务器等，并建立域进行资源的统一管理。 4）在网络安全方面可以配置 acl 对数据包进行控制，代理服务器技术把 内部网与外网隔离起来；防火墙技术、口令加密技术等。 3.2 企业网络方案的设计原则 根据该网络方案设计目标和设计要求，可以指定除以下设计原则： 1）可靠性网络应具备网络诊断、测试和在线故障恢复能力，信息中心 的设备、数据做到备份、冗余，核心设备能够做到自动故障切换。 2）标准化网络技术发展迅速，不能盲目求新，必须以符合国际标准为 准则，选择技术已经成熟、标准化的产品，这是保护投资、易于维护的基础。 3）扩展能力要考虑到目前的业务需求和今后长时间内业务发展的需要， 6 认识网络系统的升级空间。若有新技术出现时，进行网络系统升级时，只需增 加有限的模块和设备，保护原来基本的网络设施。 4）灵活性拓扑结构灵活简单，便于进行网络管理员的管理和调整。方 便进行网络系统的升级。 5）可维护性网络系统便于管理和维护，方便网络管理员的故障排除、 故障检测以及故障恢复等。 6）严密的安全控制和保密性能系统提供必要的安全保护手段，防止由 于操作人员的失误以及系统的意外故障而造成数据丢失或破坏；同时能防止系 统外部的侵入和操作人员的非法操作，造成公司的财产、资源损失。 7）经济性构建该网络要经济，维护费用低，使整体性价比达到最优 8）先进性支持任务优先级的划分，具有适当的多媒体应用支持。 3.3 局域网的总体设计说明 局域网是真正应用在网络系统当中的，一个设计合理的局域网可以为整个 网络系统带来不可忽视作用，局域网的总体设计方案，要从传统局域网的局限 性，传统局域网的技术遇到的技术问题都应考虑在内。 3.3.1 局域网主要拓扑图的设计 网络的拓扑结构是指网络中通信线路和站点（计算机或设备）的几何排列 形式。 网络案网络拓扑分为：星型网络、环型网络、总线型网络 1）星型网络 各站点通过点到点的链路与中心站相连。特点是很容易在网络中增加新的 站点，数据的安全性和优先级容易控制，易实现网络监控，但中心节点的故障 会引起整个网络瘫痪。如下图： 7 2）环形网络 各站点通过通信介质连成一个封闭的环形。环形网容易安装和监控，但容 量有限，网络建成后，难以增加新的站点。 如下图： 3）总线型网络 网络中所有的站点共享一条数据通道。总线型网络安装简单方便，需要铺 设的电缆最短，成本低，某个站点的故障一般不会影响整个网络。但介质的故 障会导致网络瘫痪，总线网安全性低，监控比较困难，增加新站点也不如星型 网容易。如下图： 树型网、网状网等其他类型拓扑结构的网络都是以上述三种拓扑结构为基 础的。 现在网络建设，最长用的是树型网结构，树型结构是分级的集中控制式网 络，与星型相比，它的通信线路总长度短，成本较低，节点易于扩充，寻找路 径比较方便，易诊断、易维护，但除了叶节点及其相连的线路外，任一节点或 其相连的线路故障都会使系统受到影响。在此，我们可根据企业的实际情况， 业务需要可设计拓扑图如下： 8 3.3.2 构建局域网需要考虑的主要问题 局域网是一种可视化的网络，人们可以看得到的，真正应用在身边的网络， 与我们的工作学习日益相关，而在局域网中的有些问题更是让人们棘手，在局 域网中常见的问题有： 1）若经常有员工在公司内移动，为了方便，我们可以就架构 dhcp 服务 器，可以自动化获得 ip 地址，防止 ip 冲突。 2）在局域网内，有可能会有物理连出现问题，在构建局域网是可以考虑增 加多余的物理接口。 3）在核心数据交换中心，要做到数据备份，网络设备冗余。 4）在设备集中的室内要做到防火、防水、防火、防震等非人为的因素。 5）局域网要进行数据共享、资源共享、软件共享，防止病毒、木马的传播， 造成公司财产的损失。 6）加强中心设备数据的访问权限，防止非授权用户的非法操作。 3.3.3 局域网网络互联分析 网络互联就是把网络进行统一的连接，而每个网络都是有若干个局域网连 接而成，往往一个交换机可能划为几个 vlan 即虚拟局域网，也有一个或两个交 换机是一个局域网或者划为多个 vlan，也有一个 vlan 跨几台交换机， 甚至几 个 vlan 之间有时候还要进行资源共享等。所以局域网网络的互联是一个值得分 析问题。一个网络首先由路由器几次有交换机，更甚者有三层交换机和两层交 换机，vlan 已经成为划分局域网不可缺少的技术，而不同 vlan 之间进行通信就 9 必须有路由器提供的 trunk 干道，两个 vlan 之间才能通信，通常有两个技术值 得比较，分别是“三层交换机+二层交换机”个“路由器+二层交换机”两种技 术，下面对两种技术做简单的比较： 1） “三层交换机+二层交换机”是一个具有路由功能的三层交换机和支持 vlan 技术的二层交换机。当一个数据帧进入交换机后，交换机将判断该帧是需 要交换还是需要路由，然后送入相应的引擎中进行处理，或在局部进行交换， 或透过骨干网，到达目的节点。这种方式的优点有：局部转发速度快 、无网络 瓶颈 、不因路由等功能的引入影响骨干的性能 、整体性能随网络的扩展线性增 加，而且性价比高。 2） “路由器+二层交换机”是一个路由器和支持 vlan 的二层交换机，原理 是当数据进入交换机，发现需要经由路由器进行转发时，交换机不仅仅是把数 据送给路由器，在根据返回的数据帧进行交换，而是要经过一次数据包的路由， 学到一些路由信息，在下一次遇到相同情况时，交换机可不经过路由器，独立 完成数据的转发工作。在这种技术中，交换机被赋予了部分的路由功能。它将 保存一张临时路由表，存在高速缓存中，记载从路由器学到的路由信息。在这 一过程中，路由器作为“路由服务器” ，为交换机提供路由信息，交换机作为客 户端学习。但是交换机不能学习到全部的路由表，而且路由器的价格不菲。 因此，三层的交换机+二层交换机比较适合该企业型的网络；而且三层交换 机具有比较大的灵活性和通讯能力；网间通讯的 vlan 的划分在设计大型网络 中比较重要；性价比也高，所以我们使用此种方式进行局域网网络互联。 3.4 internet 的接入 internet 是一个巨大的信息海洋，也是不同地区的人们相互之间沟通的重 要手段，所以企业需要具有 internet 的接入功能，使得公司需要查找信息的员 工能够访问到 internet 上的信息，并且在 internet 上发布企业的网页，可以 增加企业的广告宣传力度，增加企业的效益和知名度。目前，在 internet 的普 及，越来越多的企业都接入 internet，而且 isp 也提出了各种各样的 internet 介入方式，例如：电话接入、cable modem 接入、光纤接入等多种方式。 3.4.1 internet 的连接方式 1）电话接入：电话接入就是利用电话线，把电话上传输的模拟信号经由 modem 转换成数字信号在传输到 internet 上，dsl(数字用户线路)它是铜质电 话线为传输介质的传输技术组合，包括 hdsl、sdsl、vdsl、adsl、radsl 等， 它们主要区别就是在信号传输速度和距离的不同及上行速率和下行速率对称性 的不同。adsl(asymmetrical digital subscriber line，非对称数字用户环路)是 10 一种能 够通过普通电话线提供宽带数据业务的技术，也是目前极具发展前景的一种接 入技术。adsl 素有“网络快车”之美誉，因其下行速率高、频带宽、性能优、 安装方便、不需交纳电话费等特点而深受广大用户喜爱，成为继 modem、isdn 之后的又一种全新的高效接入方式。adsl 方案的最大特点是不需要改造信号传 输线路，完全可以利用普通铜质电话线作为传输介质，配上专用的 modem 即可 实现数据高速传输。adsl 支持上行速率 640kbps1mbps，下行速率 1mbps8mbps，其有效的传输距离在 35 公里范围以内。在 adsl 接入方案中， 有单独的一条线路与 adsl 局端相连，它的结构可以看作是星形结构，数据传输 带宽是看用户需要多大的带宽又 isp 提供。 2）cable-modem 接入：cable modem (线缆调制解调器)是近两年开始试用 的一种超高速 modem，它利用现成的有线电视(catv)网进行数据传输，已是比 较成熟的一种技术。随着有线电视网的发展壮大和人们生活质量的不断提高， 通过 cable modem 利用有线电视网访问 internet 已成为越来越受业界关注的一 种高速接入方式。 由于有线电视网采用的是模拟传输协议，因此网络需要用一个 modem 来协 助完成数字数据的转化。cable-modem 与以往的 modem 在原理上都是将数据进 行调制后在 cable(电缆)的一个频率范围内传输，接收时进行解调，传输机理 与普通 modem 相同，不同之处在于它是通过有线电视 catv 的某个传输频带进行 调制解调的。 cable modem 连接方式可分为两种：即对称速率型和非对称速率型。前者 的 data upload(数据上传)速率和 data download(数据下载)速率相同，都在 500kbps2mbps 之间；后者的数据上传速率在 500kbps10mbps 之间，数据下 载速率为 2mbps40mbps。采用 cable-modem 上网的缺点是由于 cable modem 模式采用的是相对落后的总线型网络结构，这就意味着网络用户共同分享有限 带宽；另外，购买 cable-modem 和初装费也都不算很便宜，这些都阻碍了 cable-modem 接入方式在国内的普及。但是，它的市场潜力是很大的，毕竟中 国 catv 网已成为世界第一大有线电视网，其用户已达到 8000 多万。另外， cable-modem 技术主要是在广电部门原有线电视线路上进行改造时采用，因此， 此种方案属于新兴技术，它的成熟度和社会认可度还不是很理想，我们不建议 一般用户使用。 3) 光纤接入: 光纤方式接入是利用光纤接入，采用高速的传输介质，光线 11 具有：频带宽、损耗低、重量轻、抗干扰能力强、保真度好、工作性能可靠等 优点。但是光线一般多用于远距离传输，若企业成本可以支持，可以接入光 纤，那则需要网络设备有光纤接口及光电转换设备，同时提高了成本。lan 技术接入，lan 方式接入是利用以太网技术，采用光缆+双绞线的方式，以太 网技术成熟、成本低、结构简单、稳定性、可扩充性好; 便于网络升级，同时 可实现实时监控、智能化管理，同时成本也会降低。 因此，电话线接入速度较慢，cable modem 不适合在现代新型企业中使用， 我们建议接入光纤，光纤的传输速率高，抗干扰能力强。接入光纤是一种理想 的选择。 3.4.2 接入后需要考虑的问题 internet 是一把双刃剑，它既能给企业带来利益也能使企业的利益遭受损失， 接入 internet 的同时也对该企业的安全措施提出了挑战，一个没有武装防御措施 的企业是经受不起网络带来的威胁，所以我们在介入 internet 的同时要考虑以下 问题： 1）在企业介入 internet 时，要限制某些部门的上网功能，例如财务部就是 不能上网，同时限制下载、上传的速率。 2）在内部网络架构代理服务器，同时隐藏内网，构建 dmz，保证内网的 安全。若要租用公用 ip 地址，还可以用到 nat 技术，进行公有 ip 地址与私有 ip 地址的转换。 3）设置 internet 使用的时间段，例如在上班期间有些部门不能上 internet， 则在下班或者业余时间可以接入 internet，对公司 internet 的一个限制。 4）控制访问 internet 的内容，例如不能访问有恶意代码、非法插件、暴力、 色情等不良非法网站，不能上 qq，下载超大软件等。 5）架设邮件服务器，www 服务器应考虑到企业内部网络的安全。内部服 务器、pc 机应安装有网络版的杀毒软件、防火墙软件等保障内部网络安全。 3.5 企业网络技术的要求 企业网络技术是指在构建网络时用到的网络技术，因此，对一些网络技术 做简单的介绍并对该网络技术做简单的叙述。所设计的网络技术有：vlan、三 层交换、stp 等 3.5.1 vlan vlan（virtual local area network）虚拟局域网。 vlan 是一种将局 域网设备从 逻辑上划分成一个个的网段， 从而实现虚拟工作组的新兴数据 交换技术。 vlan 技术的出现，使得管理员根据实际应用需求，把同一物理 局域网内的不同用户逻辑地划分成不同 的广播域， 每一个 vlan 都包含一 12 组有着相同需求的计算机工作站，与物理上形成的lan 有着相同的属性。 由于它是从逻辑上划分，而不是从物理上划分，所以同一个vlan 内的各 个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理 lan 网段。由 vlan 的特点可知，一个 vlan 内部的广播和单播 流量都不 会转发到其他 vlan 中，从而有助于控制流量、减少设备投资、简化网络管 理、提高网络的安全性。 vlan 除了能将网络划分为多个广播域，从而有效地控制广播风暴的发 生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中 不同部门、不同站点之间的互相访问。 vlan 是为解决以太网的广播问题 和安全性而提出的一种协议，它在以太网帧的基础上增加了vlan 头，用 vlan id 把用户划分为更小的工作组，限制不同工作组间的用户互访，每个 工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能 够形成虚拟工作组，动态管理网络。 vlan 的优点： 1）限制网络上的广播。 2）增强局域网的安全性。 3）增加了网络连接的灵活性。 vlan 是建立在物理网络基础上 的一种逻辑 的建立虚拟 子网，因此建 立 vlan 需要相应的支持 vlan 技术的网络设备。当网络中的不同vlan 间 进行相互通信时，需要路由的支持，这时就需要增加路由设备要实现 路由功能，既可采用路由器，也可采用三层交换机来完成。vlan 的划分： 1）根据端口来划分 vlan 2）根据 mac 地址划分 vlan 3）根据网络层划分 vlan 4）根据 ip 组播划分 vlan 5）基于规则的 vlan 6）按用户定义、非用户授权划分 vlan 从技术角度讲， vlan 的划分可依据不同原则，一般有以下三种划分方 法： 1）基于端口的 vlan 划分 2）基于 mac 地址的 vlan 划分 3）基于路由的 vlan 划分 13 vlan 技术更加灵活，它具有以下优点： 1）网络设备的移动、添加和修改的管理开销减少 ; 2）可以控制广播活动 ; 3）可提高网络的安全性。 vlan 的分类及优缺点 ： 1）基于端口的 vlan 多交换机端口定义 vlan 单交换机端口定义 vlan 2）基于 mac 地址的 vlan 3）基于路由的 vlan 4）基于策略的 vlan 3.5.2 三层交换 三层交换机就是具有部分路由器功能的交换机，三层交换机的最重要目 的是加快大型局域网内部的数据交换，所具有的路由功能也是为这目的服务 的，能够做到一次路由，多次转发。对于数据包转发等规律性的过程由硬件 高速实现，而 像路由信息更新、路由表维护、路由计算、路由确定等功能， 由软件实现。 三层交换机工作原理 ： 三层交换技术就是二层交换技术三层转发技术。传统的交换技术是 在 osi 网络标准模型中的第二层 数据链路层进行操作的，而三层交换 技术是在网络模型中的第三层实现了数据包的高速转发。应用第三层交换技 术即可实现网络路由的功能，又可以根据不同的网络状况做到最优的网络性 能。 1）网络骨干少不了三层交换 在校园网、城域教育网中，从骨干网、城域网骨干、汇聚层都有三层交 换机的用武之地，尤其是核心骨干网一定要用三层交换机，否则整个网络成 千上万台的计算机都在一个子网中，不仅毫无安全可言，也会因为无法分割 广播域而无法隔离广播风暴。三层交换机通过使用硬件交换机构实现了ip 的路由功能，其优化的路由软件使得路由过程效率提高，解决了传统路由器 软件路由的速度问题。因此可以说，三层交换机具有“路由器的功能、交换 机的性能”。 2）连接子网少不了三层交换 同一网络上的计算机如果超过一定数量（通常在200 台左右，由通信 14 协议而定），就很可能会因为网络上大量的广播而导致网络传输效率低下。 为了避免在大型交换机上进行广播所引起的广播风暴，可将其进一步划分为 多个虚拟网（ vlan）。但是这样做将导致一个问题： vlan 之间的通信必 须通过路由器来实现。但是传统路由器也难以胜任vlan 之间的通信任 务，因为相对于局域网的网络流量来说，传统的普通路由器的路由能力太 弱。 使用三层交换机的好处： 除了优秀的性能之外，三层交换机还具有一些传统的二层交换机没有的 特性，例如： 1）高可扩充性 三层交换机在连接多个子网时，子网只是与第三层交换模块建立逻辑连 接，不像传统外接路由器那样需要增加端口，从而保护了用户对校园网、城 域教育网的投资。并满足学校 35 年网络应用快速增长的需要。 2）高性价比 三层交换机具有连接大型网络的能力，功能基本上可以取代某些传统路 由器，但是价格却接近二层交换机。现在一台百兆三层交换机的价格只有几 万元，与高端的二层交换机的价格差不多。 3）内置安全机制 三层交换机可以与普通路由器一样，具有访问列表的功能，可以实现 不同 vlan 间的单向或双向通讯。如果在访问列表中进行设置，可以限制 用户访问特定的 ip 地址，这样学校就可以禁止学生访问不健康的站点。 4）适合多媒体传输 教育网经常需要传输多媒体信息，这是教育网的一个特色。三层交换机 具有 qos（服务质量）的控制功能，可以给不同的应用程序分配不同的带宽。 另外，视频点播（ vod）也是教育网中经常使用的业务。但是由于有些视频 点播系统使用广播来传输，而广播包是不能实现跨网段的，这样vod 就 不能实现跨网段进行；如果采用单播形式实现vod，虽然可以实现跨网段， 但是支持的同时连接数就非常少，一般几十个连接就占用了全部带宽。而三 层交换机具有组播功能， vod 的数据包以组播的形式发向各个子网，既实 现了跨网段传输，又保证了 vod 的性能。 5）计费功能 在高校校园网及有些地区的城域教育网中，很可能有计费的需求，因为 三层交换机可以识别数据包中的 ip 地址信息，因此可以统计网络中计算机 15 的数据流量，可以按流量计费，也可以统计计算机连接在网络上的时间，按 时间进行计费。而普通的二层交换机就难以同时做到这两点。 三层交换技术已经越来得到业界的认可，同时降低了构建网络的成本。 但不可专注于三层交换，路由器是一个网路部可缺少的硬件，三层交换只是 缓解了路由器而不能代替路由器。希望投资者能酌情考虑。 3.5.3 stp stp（spanning tree protocol）是生成树协议的英文缩写。该协议可 应用于环路网络，通过一定的算法实现路径冗余，同时将环路网络修剪成无 环路的树型网络，从而避免报文在环路网络中的增生和无限循环。生成树协 议最主要的应用是为了避免局域网中的网络环回，解决成环以太网网络的 “广播风暴”问题，从某种意义上说是一种网络保护技术，可以消除由于失误 或者意外带来的循环连接。 stp 也提供了为网络提供备份连接的可能，可 与 sdh 保护配合构成以太环网的双重保护。新型以太单板支持符合ieee 802.1d 标准的生成树协议 stp 及 ieee 802.1w 规定的快速生成树协议 rstp，收敛速度可达到 1s。 vlan 对生成树的影响 1）网络容错能力不强 ; 2）报文在环路网络中容易增生和无限循环； 3）不利在 vlan 中实现流量负载均衡 生成树协议运行生成树算法 (sta).生成树算法很复杂，但是其过程可以 归纳为以下 3 个步骤： 1）选择根网桥 2）选择根端口 3）选择指定端口 生成树协议运行生成树算法（ sta）。生成树算法很复杂，但是其过程 可以归纳为一下三个部分。 1）选择根网桥 2）选项根端口 3）选择指定端口（也有书籍称为转发端口） 选择根网桥的依据是交换机的网桥优先级，网桥优先级是用来衡量网桥 在生成树算法中优先级的十进制数，取值范围是065535.默认值是 32768，网桥 id=网桥优先级+网桥 mac 地址组成的，共有 8 个字节。由 16 于交换机的网桥优先级都是默认，所以在根网桥的选举中比较的一般是网卡 mac 地址的大小，选取 mac 地址小的为根网桥。 选择根端口的依据是 1）到根网桥的最低路径开销。 根路径开销是两个网桥间的路径上所有链路的开销之和，也就是某个桥 网到达根网桥的中间所有链路的路径开销之和。 2）直连的网桥 id 最小 3）端口号最小 选择指定端口的依据是： 1）根路径开销较低 2）所在的交换机网桥 id 值最小 3）端口号最小 stp 的应用可以使核心设备达到冗余，降低提高网络的风险，同时减少 网络的开销。 第四章 网络产品简介及其功能介绍 4.1 路由器 路由器英文名 router，路由器是连接因特网中各局域网、广域网的设 备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发 送信号的设备。 路由器的作用 路由器的一个作用是连通不同的网络，另一个作用是选择信息传送的线 路。选择通畅快捷的近路，能大大提高通信速度，减轻网络系统通信负荷， 节约网络系统资源，提高网络系统畅通率，从而让网络系统发挥出更大的效 益来。 路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路 径，并将该数据有效地传送到目的站点。由此可见，选择最佳路径的策略即 路由算法是路由器的关键所在。为了完成这项工作，在路由器中保存着各种 传输路径的相关数据路径表（ routing table），供路由选择时使用。 路径表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字 17 等内容。路径表可以是由系统管理员固定设置好的，也可以由系统动态修改 ，可以由路由器自动调整，也可以由主机控制。 1）静态路径表，由系统管理员事先设置好固定的路径表称之为静态（st atic）路径表，一般是在系统安装时就根据网络的配置情况预先设定的，它 不会随未来网络结构的改变而改变。 2）动态路径表，动态（dynamic）路径表是路由器根据网络系统的运行 情况而自动调整的路径表。路由器根据路由选择协议（routing protoco 提 供的功能，自动学习和记忆网络运行情况，在需要时自动计算数据传输的 最佳路径。 路由器的类型 互联网各种级别的网络中随处都可见到路由器。 但在实际应用中路由 器却大致可以分为以下五种： 1）接入路由器，接入路由器连接家庭或 isp 内的小型企业客户。接入 路由器已经开始不只是提供 slip 或 ppp 连接，还支持诸如 pptp 和 ips ec 等虚拟私有网络协议。 2）企业级路由器 ，企业路由器连接许多终端系统，其主要目标是以尽 量便宜的方法实现尽可能多的端点互连，并且进一步要求支持不同的服务质 量。企业路由器的成败就在于是否提供大量端口且每端口的造价很低，是否 容易配置，是否支持 qos。另外还要求企业级路由器有效地支持广播和组 播。企业网络还要处理历史遗留的各种lan 技术，支持多种协议，包括 i p、ipx 和 vine。它们还要支持防火墙、包过滤以及大量的管理和安全策略 以及 vlan。 3）骨干级路由器 ，骨干级路由器实现企业级网络的互联。对它的要求 是速度和可靠性，而代价则处于次要地位。骨干ip 路由器的主要性能瓶颈 是在转发表中查找某个路由所耗的时间。当收到一个包时，输入端口在转发 表中查找该包的目的地址以确定其目的端口，当包越短或者当包要发往许多 目的端口时，势必增加路由查找的代价。因此，将一些常访问的目的端口放 到缓存中能够提高路由查找的效率。不管是输入缓冲还是输出缓冲路由器， 都存在路由查找的瓶颈问题。除了性能瓶颈问题，路由器的稳定性也是一个 常被忽视的问题。 4）太比特路由器 ，在未来核心互联网使用的三种主要技术中，光纤和 dwdm 都已经是很成熟的并且是现成的。如果没有与现有的光纤技术和d wdm 技术提供的原始带宽对应的路由器，新的网络基础设施将无法从根本 18 上得到性能的改善，因此开发高性能的骨干交换 /路由器（太比特路由器） 已经成为一项迫切的要求。太比特路由器技术现在还主要处于开发实验阶段 。 5）多 wan 路由器，多 wan 路由器具有物理上的 2 个 wan 口作为 外网接入，这样内网电脑就可以经过双wan 路由器的负载均衡功能同时使 用 2 条外网接入线路，大幅提高了网络带宽。当前双wan 路由器主要有 “ 带 宽汇聚”和“一网双线”的应用优势，这是传统单 wan 路由器做不到的。 总结：路由器为网络中的核心设备，所以路由器不能太低档，但是高档 的路由器又是价格非常昂贵，并且考虑到网络中要又防火墙，所以购置 路由器时要选购内置防火墙功能的路由器，并且有很高的扩展空间，支持 vpn 等。 4.2 交换机 交换机(英文:switch，意为“开关”)是一种用于电信号转发的网络设备。它可 以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机 是以太网交换机。其他常见的还有电话语音交换机、光纤交换机和以太网交换 机等。 交换机的基本功能 如下： 1）交换机提供了大量可供线缆连接的端口，这样可以采用星型拓扑布 线。 2）交换机转发帧时，会重新产生一个不失真的方形电信号。 3）交换机在每个端口上都使用相同的转发或过滤逻辑。 4）交换机将局域网分为多个冲突域，每个冲突域都是有独立的宽带， 因此大大提高了局域网的带宽。 5）交换机还提供了更先进的功能，如虚拟局域网（ vlan）和更高的 性能。 6）网络交换机还有学习、转发 /过滤、消除回路；此外还有物理编址、 网络拓扑结构、错误校验、帧序列以及流控等功能。 可网管交换机的管理方式 可网管交换机可以通过以下几种途径进行管理：通过rs-232 串行口 （或并行口）管理、通过网络浏览器管理和通过网络管理软件管理。 1）通过串口管理 2）通过 web 管理 3）通过网管软件管理 19 判断交换机的五个标准 交换机的优劣要从总体构架、性能和功能三方面入手。性能方面除了要 满足 rfc2544 建议的基本标准，即吞吐量、时延、丢包率外，还要满足了 一些额外的指标，如 mac 地址数、路由表容量 (三层交换机 )、acl 数目、 lsp 容量、支持 vpn 数量等。一般的接入层交换机，简单的qos 保证、 安全机制、支持网管策略、生成树协议和vlan 都是必不可少的功能 。 1）交换机的应用级 qos 保证，交换机的 qos 策略支持多级别的数据 包优先级设置，既可分别针对 mac 地址、vlan、ip 地址、端口进行优先 级设置，给网吧业主在实际应用中为用户提供更大的灵活性。 2）交换机应有 vlan 支持，vlan 即虚拟局域网，通过将局域网划分 为虚拟网络 vlan 网段，可以强化网络管理和网络安全，控制不必要的数 据广播，网络中工作组可以突破共享网络中的地理位置限制，而根据管理 功能来划分子网。 3）交换机应有网管功能 ，网管功能可以使用管理软件来管理、配置交 换机，比如可通过 web 浏览器、telnet、snmp、rmon 等管理。通常， 交换机厂商都提供管理软件或第三方管理软件远程管理交换机。 4）交换机应支持链路聚合 ，链路聚合可以让交换机之间和交换机与服 务器之间的链路带宽有非常好的伸缩性，比如可以把2 个、3 个、4 个千 兆的链路绑定在一起，使链路的带宽成倍增长。链路聚合技术可以实现不同 端口的负载均衡，同时也能够互为备份，保证链路的冗余性。生成树协议和 链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路，并用 生成树协议让备份链路阻塞，在逻辑上不形成环路，而一旦出现故障，启用 备份链路。 5）交换机要支持 vrrp 协议 ，vrrp(虚拟路由冗余协议 )是一种对 共享多存取访问介质上终端 ip 设备的默认网关 (defaultgateway)进行冗余 备 份，从而在其中一台三层交换机设备 出现故障时，备份的设备会及时接管 转发工作，向用户提供透明的切换，提高了网络服务质量。 总结：交换机是网络中的链接设备，但是交换机有二层交换机个三层 交换机，两者 在网络中有着不同的作用 ，并且两者在网络中所处的位置也 是不一样的。所以需要购买比较高端的三层交换机，二层路由器适中就可以 ，但要支持 vlan 和堆叠的设备。 4.3 防火墙 20 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网 之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性 方法的形象说法，它是一种计算机硬件和软件的结合，使internet 与 intra net 之间建立起一个安全网关（ security gateway），从而保护内部网免受 非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网 关 4 个部分组成， 防火墙的类型 一个个人防火墙 , 通常软件应用过滤信息进入或留下。一台电脑和一个 传统防火墙通常 应用在一台专用的网络设备或电脑 上，这样防火墙 就能过 滤所有进、出信息。以下是两个主要类防火墙 : 网络层防火墙和 应用层防 火墙。 1）网络层防火墙 ，网络层防火墙可视为一种 ip 封包过滤器，运 作 底层的 tcp/ip 协议堆栈上。较新的防火墙能利用封包的多样属性来进行 过滤，例如 有源 ip 地址、源端口号、目的 ip 地址和目的端口号、服务 类型。也能经由通信协议、 ttl 值、源目的网域名称或网段 .等属性来进 行过滤。 2）应用层防火墙 ，应用层防火墙是在 tcp/ip 堆栈的“应用层”上运作 ，应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包( 通常是直接将封包丢弃 )。xml 防火墙是一种新型态的应用层防火墙。 防火墙的优点： 1）防火墙能强化安全策略。 2）防火墙能有效地记录 internet 上的活动。 3）防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另 一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。 4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火 墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。 防火墙的功能 防火墙最基本的功能就是控制在 计算机网络 中，不同信任程度区域间 传送的数据流。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些 攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而 且它还能禁止特定端口的流出通信，封锁特洛伊木马。它可以禁止来自特殊 站点的访问，从而防止来自不明入侵者的所有通信。 21 1）防火墙是网络安全的屏障 ，一个防火墙（作为阻塞点、控制点）能 极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。 防火墙同时可以保护网络免受基于路由的攻击，如ip 选项中的源路由攻击 和 icmp 重定向中的重定向路径。 2）防火墙可以强化网络安全策略 ，通过以防火墙为中心的安全方案配 置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙 上。在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必 分散在各个主机上，而集中在防火墙一身上。 3）对网络存取和访问进行监控审计 ，如果所有的访问都经过防火墙， 那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用 情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网 络是否受到监测和攻击的详细信息。 4）防止内部信息的外泄 ，通过利用防火墙对内部网络的划分，可实现 内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局 网络造成的影响。使用防火墙就可以隐蔽那些透漏内部细节如finger，d n s 等服务。 5）除了安全作用，防火墙还支持具有internet 服务特性的企业内部 网 络技术体系 vpn（虚拟专用网）。 防火墙可以使企业内部局域网 网络与 internet 之间或者与其他外部网络 互相隔离、限制网络互访用来保护内部网络。典型的防火墙具有以下三个方 面的基本特性： 1）内部网络和外部网络之间的所有网络数据流都必须经过防火墙 2）只有符合安全策略的数据流才能通过防火墙 3）防火墙自身应具有非常强的抗攻击免疫力 防火墙是一个很形象的 “名称”，它真的能防止火吗？答案是否定的？ 因为防火墙只是防止网络上攻击，外网对内网的攻击、嗅探等不安全的因素 。一般人认为有了防火墙就不用安装网络版的杀毒软件了，其实是错误的， 因为防火墙并 不能放病毒和木马程序，病毒和木马程序是可以通过防火墙进 入内网的， 这点要明确的提出。 总结：防火是网络中必须有的设备，但是现在好多的厂商有在路由器中 内置了防火墙，所以根据 公司实际情况，就不许购买防火墙，只需购买内置 防火墙的路由器即可，不过 该路由器要比较高端的路由器 ，但是路由器一 22 旦具有路由和防火墙的功能，那么的防火墙功能就不及一台独立的防火墙。 所以建议企业经济许可的情况下可以买一台独立的防火墙 4.4 服务器 从广义上讲，服务器是指网络中能对其它机器提供某些服务的计算机系 统（如果一个 pc 对外提供 ftp 服务，也可以叫服务器）。从狭义上来讲， 服务器是专指某些高性能计算机，能够通过网络，对外提供服务。相对于普 通 pc 来说，在稳定性、安全性、性能等方面都要求更高，因此cpu、芯 片组、内存、磁盘系统、网络等硬件和普通pc 有所不同。服务器作为网 络的节点、存储， 处理网络上 80的数据和信息，因此也被称为网络的灵 魂。它是网络上一种为客户端计算机提供各种服务的高可用性计算机，它在 网络操作系统的控制下，将与其相连的硬盘、磁带、打印机、modem 及 各种专用通讯设备提供给网络上的客户站点共享，也能为网络用户提供集中 计算、信息发表及数据管理等服务。它的高性能主要体现在高速度的运算能 力、长时间的可靠运行、强大的外部数据吞吐能力等方面。 服务器的构成与微机基本相似，有处理器、硬盘 、内存、系统总线等 ，它们是针对具体的网络应用特别制定的，因而服务器与微机在处理能力、 稳定性、可靠性、安全性、可扩展性、可管理性等方面存在差异很大。 服务器分类 ： 1）按网络规模划分 按网络规模划分，服务器分为工作组级服务器、部门级服务器、企业级 服务器。 工作组级服务器用于联网计算机在几十台左右或者对处理速度和系统可 靠性要求不高的小型网络，其硬件配置相对比较低，可靠性不是很高。 部门级服务器用于联网计算机在百台左右、对处理速度和系统可靠性中 等的中型网络，其硬件配置相对较高，其可靠性居于中等水平。 企业级服务器用于 联网计算机在数百台以上、对处理速度和数据安全要 求最高的大型网络，硬件配置最高，系统可靠性要求最高。 2）按架构划分 按照服务器的结构，可以分为 cisc 架构的服务器和 risc 架构的服务 器。 cisc 架构主要指的是采用英特尔架构技术的服务器，即我们常说的“ p c 服务器”；risc 架构的服务器指采用非英特尔架构技术的服务器，如采用 power pc、alpha、pa-risc、sparc 等 risc cpu 的服务器。 23 risc 架构服务器的性能和价格比 cisc 架构的服务器高得多。近几年 来，随着 pc 技术的迅速发展， ia 架构服务器与 risc 架构的服务器之间 的 技术差距已经大大缩小，用户基本上倾向于选择ia 架构服务器，但是 ris c 架构服务器在大型、关键的应用领域中仍然居于非常重要的地位。 3）按用途划分 按照使用的用途，服务器又可以分为通用型服务器和专用型(或称“功 能型”)服务器，如实达的沧海系列功能服务器。 通用型服务器是没有为某种特殊服务专门设计的可以提供各种服务功能 的服务器，当前大多数服务器是通用型服务器。 专用型(或称“功能型”)服务器是专门为某一种或某几种功能专门设计的 服务器，在某些方面具有与通用型服务器有所不同。如光盘镜像服务器是 用来存放光盘镜像的，那么需要配备大容量、高速的硬盘以及光盘镜像软 件。 4）按外观划分 按照服务器的外观，可以分为台式服务器和机架式服务器。 台式服务器有的采用大小与立式 pc 台式机大致相当的机箱，有的采用 大容量的机箱，像一个硕大的柜子一样 。 机架式服务器的外形看起来不像计算机，而是像交换机，有1u(1u=1. 75 英寸)、2u、4u 等规格，图 4 为 1u 机架式服务器。机架式服务器安装