模块2：网络布线的规划、设计、施工与测试.ppt

模块二 网络布线的 规划、设计 施工与测试 2009-7-201苏州市职业大学计算机工程系 网络组建规划 网络组建是一项系统工程 ，它涉及到网络技术、网络应 用及网络维护与管理等方方面 面。所以，在正式实施网络组 建工程前，必须做好各方面的 计划，也就是本模块所要介绍 的“网络规划”。 2苏州市职业大学计算机工程系 网络规划在新网络组建和旧网络 改造中是一项非常关键的准备工作。 网络规划要做的工作也非常多，它需 要考虑到整个网络部署的方方面面， 而不仅是简单地描绘网络拓扑结构。 从大的方面来讲，包括原有网络应用 评估(仅适用于网络改造情况)、网络 应用需求、网络规模、网络拓扑结构 、网络技术应用、操作系统选择、投 资预算、设备选购、应用软件配置、 网络访问量、外网连接方式及网络安 全需求等。 3苏州市职业大学计算机工程系 从细的方面分析的话，还可 以考虑到诸如网络用户的远程接 入(包括互联网接入)方式所需的访 问控制技术、网络的管理方式、 主要网络数据传输类型及是否需 要语音和视频的接入等。在此主 要是从大的方面进行介绍，细节 方面不同网络间的区分较大，很 难有统一的规则，故在此不进行 介绍。 4苏州市职业大学计算机工程系 重点内容 网络规划的考虑； 网络设计原则； 子网与IP地址的规划； 网络通信协议的选择原则； 网络操作系统的选择考虑和 发展现状。 5苏州市职业大学计算机工程系 1.1 网络规划的综合考虑和设 计原则 网络规划是网络组建的第一步，也是 最为关键的一步。规划不好，轻则组建起 来的网络很难全面满足单位的实际的网络 应用、管理以及未来发展需要；重则整个 网络可能无法正常工作，造成巨大的投资 浪费，特别是在大型网络中。本节要向大 家介绍的是，企业局域网组建前网络规划 应综合考虑的方面和设计原则，具体的各 部分规划将在本章后面详细介绍。 6苏州市职业大学计算机工程系 1.1.1 网络规划综合考虑 从宏观方面来说，企业局域网组建首先需要考虑以下几个 主要方面。 1. 网络规模 网络规模在相当大程度上决定了以后具体网络设计中所采 取的技术和设备，因为不同规模的网络对网络技术的采用、网 络拓扑结构的配置、IP地址的分配和设备的选择都有不同要求 。如只有几十个用户以内的小型网络，可以只选用普通的快速 以太网，普通的C类局域网专用IP地址网段 (192168.255.255)，两层结构的星型以太网拓扑 结构，以及普通的二层快速以太网设备即可，如图1-1所示。 这样，一方面可以满足网络应用需求，另一方面可以节省大笔 的网络组建投资。 7苏州市职业大学计算机工程系 图1-1 典型的小型办公室网络 拓扑结构 8苏州市职业大学计算机工程系 而如果用户数在100254之间(属中 小型网络)，在技术上就要提升一个档次 。至少要在核心层采用千兆以太网技术， 以确保总体网络性能；网络拓扑结构也要 达到3层；网络设备中的核心交换机也最 好要采用支持千兆以太网技术，并且是可 管理的网管型交换机，最好是3层交换机 。典型网络拓扑结构如图1-2所示。IP地 址也可采用单网段的上述C类局域网专用 地址。当然在需要时，也可以根据子网掩 码重新划分子网。 9苏州市职业大学计算机工程系 图1-2 典型的中小型网络拓扑结构 10苏州市职业大学计算机工程系 如果网络用户数在254个以上(属大中型网 络)，单个C类局域网专用IP地址网段不能满足 用户的需求了。此时就有多种选择了，既可以 仍采用免费的C类局域网专用IP地址网段的地 址，此时就需要用到多个不同网段了，中间用 路由器或三层交换机连接；也可以向IP地址管 理机构申请本来属于广域网用户使用的B类， 甚至A类IP地址网段了。当然如果局域网不与 外部网络连接，则可不必申请。此时的拓扑结 构就会更复杂了，虽然网络层次可能仍只有3 层，但每一层所用的交换机设备可能非常多。 网络设备肯定要有千兆或者千兆以上的核心设 备，大型网络中的核心交换机还可以采用万兆 交换机。 11苏州市职业大学计算机工程系 2. 网络应用需求 虽然总体来说，网络性能需求是由网 络规划决定的，但在具体的网络应用环境 中，单位的网络应用需求同样左右着网络 中所采用的技术和设备档次，即使是只有 几十个用户小型网络。如在一个多媒体教 室中，虽然用户数可能就几十个，但由于 要运行多媒体教学软件，这类数据传输需 要较高的网络带宽，所以在这类网络中所 采用的技术通常也比较高，一般都选择千 兆以太网技术和支持千兆以太网技术的交 换机设备。 12苏州市职业大学计算机工程系 在网络应用方面，主要考虑到在 网络中传输的数据类型，以及网络传 输实时性的要求。一般的网络文件共 享没有额外的要求，但如果网络中主 要传输的是图片(如图片FTP站点等) 、图像(如视频点播、多媒体教学等) 、动画(如多媒体企业网站、动画教学 等)且没有足够的带宽保证，就无法保 证上述任务正常工作，可能出现停滞 、不连续，甚至死机的现象。 13苏州市职业大学计算机工程系 在企业网络应用方面，还有 一种比较普遍的现象，那就是现 在各种信息化数据库软件(如进销 存软件、财会软件及ERP软件等) 的使用。由于这类软件一般同时 有非常多用户在持续使用，所以 对网络带宽的要求也较高，在网 络设计时要充分考虑这些用户的 网络应用对所连的网络带宽的需 求。 14苏州市职业大学计算机工程系 3. 可升级性 网络技术的发展，虽然不能用一日千里来 形容，但发展速度也是相当快的，不仅原有技 术在不断升级换代，而且还不断有新的技术在 涌现。再加上，单位网络应用需求也在不断提 升，这一切都对网络升级提出了迫切需求。而 企业网络设计之初又不可能有很全面的前瞻性 ，在网络中部署所有未来的技术和应用接口。 即使有前瞻，也只能是暂时的。而单位网络经 常重建的可能非常小，一般都是采取升级的方 式来提高网络的性能。这就要求网络设计之初 的网络规划就要充分考虑到这一点。 15苏州市职业大学计算机工程系 网络的可升级性主要体现 在综合布线、网络拓扑结构、 网络设备、网络操作系统及数 据库系统等多个方面。 在综合布线方面，在设计 之初就要考虑到各部门在未来 人员都有可能大幅增加，就必 须在最初布线时留下一定量的 网络接口。 16苏州市职业大学计算机工程系 网络拓扑结构的可升级性考虑就是要能在 网络用户增加时，能灵活拓展，添加网络设备 ，改变网络层次结构。我们知道，局域网中的 网络拓扑结构有多种，其中包括使用双绞线、 光纤电缆的星型以太网结构，使用同轴电缆、 光纤的环型结构和总线型结构，还有一种是由 星型结构和总线型结构混合组成的混合型结构 。这4种主要拓扑结构的可扩展性能不一样， 总体上来说是混合型的可扩展性能最好，适用 于大型、地理位置比较分散(如分布在多栋建筑 物之间，不同楼层之间)的网络；星型网络次之 ，适用于在同一楼层的小型以太网。单纯总线 型和环型网络已很少在企业局域网中使用。 17苏州市职业大学计算机工程系 网络设备方面，可扩展性主要 体现在网络设备是否是模块化结构， 是否可以灵活地通过添加模块来扩展 网络用户接口。一般因为模块化结构 的网络设备价格昂贵，所以不必所有 网络设备都支持模块化，而只是对处 于核心层的网络设备有这方面的需求 。汇聚和接入两声能的网络设备一般 可直接通过添加设备数接在核心层设 备上来扩展。 18苏州市职业大学计算机工程系 在网络设备中，一个最为关 键的设备就是网络服务器，它在 相当大程度上影响着整个网络的 性能和可扩展性。现在的部门级 以上的服务器都在可扩展性方面 有了明显的要求，如IBM的按需扩 展理念，就是在需要时，可随时 通过扩展服务器中的CPU数量、 扩展插槽数量和磁盘数量来提升 服务器性能。 19苏州市职业大学计算机工程系 在网络设备的可升级方面还有一个重 要方面需要充分考虑，那就是在网络升级 后，原有设备的可用性。这就涉及到技术 问题了。在设计网络之初，应尽可能在相 应网络层次上应用当前最主流的网络技术 ，如核心层则需要考虑千兆位以太网技术 ，汇聚、接入两层至少要考虑百兆位快速 以太网技术，而根本不要考虑早已过时的 10Mb/s网络设备了。这样在网络升级后 ，原有网络设备就不至于全部被淘汰。 20苏州市职业大学计算机工程系 如在一个企业网络中，网络升级后新 添加了核心层交换机，则原来担当核心交 换机的就要下降到汇聚层，甚至接入层。 而原网络中的汇聚层，或者接入层设备性 能太差(如10Mb/s的交换机，或集线器)， 就可能不能满足升级后网络的应用需求， 就可能被淘汰。所以，在组建网络选择设 备时就要考虑到日后的升级，不要贪一时 便宜，选择太低档的网络设备，否则网络 升级后所承受的投资浪费就可能更大。 21苏州市职业大学计算机工程系 在操作系统方面，最好能选 择升级方式更新版本的，如 Windows的网络操作系统，以保 证网络中的数据在系统升级时不 丢失。数据库系统中方面，最好 也是能支持版本升级的，不要选 择经常更换核心技术，经常更换 核心技术的数据库系统无法通过 版本升级实现数据库的平滑升级 。 22苏州市职业大学计算机工程系 4. 性能均衡性 许多网管朋友喜欢特别注重像服 务器、核心交换机之类的关键设备， 购买这类设备时非常大方，专门选高 档的，可在汇聚层和以下的网络设备 就非常随意了，有的则沿用早几年淘 汰下来的网卡，或者10Mb/s集线器。 甚至也不舍得购买好一点的网线，总 是贪便宜，结果购买的全是假的五类 双绞线。 23苏州市职业大学计算机工程系 这样做的结果是很明显的，整个网络 性能非常不均衡，瓶颈无处不在，大多数 客户端无法享受到服务器、核心交换机所 带来的高能性。因为它们的网卡、所连的 交换机、集线器带宽本身就服务器等主要 设备的非常窄，即使带宽再宽也没有任何 意义。 网络性能与网络安全都遵循一个“木桶 ”原则，也就是说性能取其最差的。如某 一支路上层带宽虽然可达到千兆位，可连 接到客户机的网卡带宽只是10Mb/s，这 样客户机上的带宽最高也只能是10Mb/s 。 24苏州市职业大学计算机工程系 鉴于这一因素，要求我们在设计网络 中，一定要对整个网络性能综合考虑，上 层的是要好些，但下层的也不能太差，通 常是按“千-千-百”、“千-百-百”，或者是“万 -千-千”、“万-千-百”的原则来设计，也就 是在核心层如果是千兆以太网，则汇聚和 接入两层至少应该是百兆位的快速以太网 ；如果核心层达到了万兆位，则汇聚层至 少应该是千兆位的快速以太网，接入层至 少是百兆的快速以太网。这不仅要求各层 的交换机端口达到这个要求，而且还要求 用户端的网卡，以及传输介质都达到这个 要求。 25苏州市职业大学计算机工程系 5. 性价比 现在什么都讲究性价比， 性价比越高，实用性越强。在 组建网络时也一样，特别是在 组建大型网络时。搞不好，虽 然网络性能足够了，但企业目 前或者未来相当长一段时间内 都不可能用得上太高的性能， 造成网络投资浪费。 26苏州市职业大学计算机工程系 如只有几十人的小型办公室网络 ，也没有什么在性能上有特别需求的 网络应用，却配置了全部为千兆位网 络的可网管型交换机，这显然是没有 必要了。如一般的24口二层快速以太 网交换机也就2000元以内，但如果选 择的是网管型交换机则至少要3000元 以上，如果是三层千兆位的交换机， 则至少要5000元以上，通常是上万元 。 27苏州市职业大学计算机工程系 6. 成本考虑 俗话说得好：有多大的脚，穿多大的鞋。 这就要求我们量力而行。还有一句俗话是：有 多少钱，做多少事。道理一样，在组建网络时 ，我们必须与企业的经济承受能力结合起来考 虑，尽可能用最少的钱，办最多、最好的事。 一般来说，网络设备投资中，重中之重的 是服务器、核心交换机、路由器和防火墙这4 类。而这几类设备中，除了服务器外，其他的 一般只有一台设备。这4类设备的总成本要占 到总成本的80%左右。 28苏州市职业大学计算机工程系 另外，影响投资成本的另一个重 要因素就是设备所采用的网络技术。 同样的交换机，采用不同技术的价格 相差很远。如10Gb/s 24口三层交换 机与1Gb/s 24口交换机的价格就相差 5000元以上。而百兆位24口快速以太 网交换机与千兆位24口以太网交换机 的价格又相差千元以上。服务器更是 这样，部门级与工作组级的服务器价 格相差在3万元左右，企业级与部门 级的则相差在5万元以上。 29苏州市职业大学计算机工程系 还有就是设备的品牌，同一档次的设 备，不同厂家的也可能相差很远。如路由 器，Cisco的肯定比其他品牌的要贵许多 ；而3COM、Cisco的交换机比其他品牌 的要贵许多。即使同是国内品牌，一线的 比二线，或以下的也要贵许多，如华为的 交换机、路由器，就比一般的实达、港湾 和茶山设备要贵许多。服务器当然是IBM 、HP和SUN的最贵，国内的就要属浪潮 、联想、曙光等3个品牌的贵了。当然这 些品牌的设备之所以贵，除了产品性能更 好之外，还有就是服务更周到。这就要权 衡考虑了。 30苏州市职业大学计算机工程系 1.1.2 网络设计原则 网络无论从规模上、结构上，还 是从应用上都是千差万别的，不可能 有放之四海而皆准的方案。网络设计 的总体原则其实只有一个，就是一切 要结合实际应用需求和经济承受能力 而定。任何脱离实际的设计都是不科 学的。无论是传统的有线网络，还是 新型的无线局域网，在网络设计时都 应当遵循以下网络设计原则。 31苏州市职业大学计算机工程系 1. 实用性原则 系统的性能指标应能够满足网络内各项业务对处 理能力的要求。整个系统的性能应当是可靠的，便于 管理的；所采用的设备应当是易于配置维护的。在现 在企业网络中，会存在多种不同的应用系统，如电子 教学、Web浏览、电子邮件、网络游戏、电子图书馆 、教学管理、办公自动化、视频点播、会议电视及文 件传输服务等。对于网络的拓扑结构，最理想的组网 形式应是建立一个层次化的、负载均衡的、冗余和高 效路由的网络，能支持多种不同的应用。这样就需要 尽量减少网络的连接复杂度，提高网络的利用率，增 加网络的冗余度以确保网络的高可靠性，通过简单的 网络管理，减少专业人员培训的难度和网络管理的压 力。 32苏州市职业大学计算机工程系 2. 性能超前原则 网络作为企业信息运行的承载平台，涉及 到众多不同的应用及众多用户。众多的用户、 不同类型的应用，包括一些实时性强的交互业 务应用(如语音、图像等)，势必对网络的性能 提出更高的要求。因此，设计时首先要考虑有 足够的骨干带宽、合理的网络拓扑结构和先进 适用的技术，同时还要努力实现网络的无阻塞 性，而不能使网络成为业务应用的瓶颈。另外 ，不要仅看到眼前的应用需求水平，还应着眼 于未来，确保网络设备满足未来35年内的技 术及网络应用发展对网络带宽的需求。 33苏州市职业大学计算机工程系 这里所说的“超前”主要体现在网络设 备技术的选择上，尽可能采用当前主流的 网络技术。如网络不要再选用虽然廉价， 但不实用的集线器设备，也不要贪图便宜 ，购买全部的二层低档设备，这样的设备 可能在很短时间内遭到淘汰。目前主流的 交换机技术体现在三层、智能网管、模块 化、千兆位，甚至万兆位以太网支持上。 当然这些最主流的网络技术主要体现在核 心层网络设备(如网络服务器、核心交换 机、边缘路由器和防火墙)上，不要求在 各层次上采用。 34苏州市职业大学计算机工程系 在无线局域网方面，就目前 来说最好选择具有54Mb/s连接速 率、可工作在免费频道的IEEE 802.11g标准设备，这样一方面可 以保证与其他WLAN网络设备最 大的兼容；另一方面，在性能、 成本上可以得到更好的保证和控 制。况且目前IEEE 802.11g标准 设备的价格与其他标准的价格相 差无几，没有成本上的压力。 35苏州市职业大学计算机工程系 3. 可扩展性原则 随着今后企业用户业务的不断发 展，网络系统必然随之不断扩大。因 此，目前的网络设计必须为今后的扩 充留有足够的余地，以确保企业今后 35的网络扩充升级能力。从网络设 计角度考虑，网络的设计超前于应用 ，网络的更新要比应用的更新缓慢， 随着网络技术的不断发展，网络必须 能够平滑地过渡到新的主干技术上， 保证企业现有的投资。 36苏州市职业大学计算机工程系 扩展性主要是通过网络 设备的模块化结构(可以是 支持不同技术的模块)、服 务器的可扩展性能(如服务 器CPU、磁盘架数量、扩展 插槽数量等)来保证，要求 核心层设备具备这些基本的 扩展能力。 37苏州市职业大学计算机工程系 4. 高可靠性原则 网络系统的稳定可靠是应用系统正常 运行的关键保证。在网络投入运营后，企 业和用户会对网络产生依赖性，一旦网络 中断，将造成巨大的影响和损失。从企业 应用的角度来看，此时再考虑网络的可靠 性问题，无疑是一种投资浪费。所以，在 进行网络设计时，应选用高可靠性的网络 设备和软件系统；配置合理的网络架构； 制订可靠的网络备份策略，保证网络具有 较好的故障自愈能力，以减少网络中断时 间。 38苏州市职业大学计算机工程系 当然，任何性能的取得都可能要付出代价 ，如可能要购买品牌好的产品以确保网络的高 可靠性，部署完善的可靠性保障措施。不同品 牌、不同档次的设备和不同级别的可靠性保护 措施等的代价相差甚远，这就要求我们在价格 和可靠性等方面做出均衡选择，但绝对不能忽 视产品的可靠性，因为它是保持网络持久正常 运行的基础。 网络的高可靠性主要靠网络设备的可靠性 来保证。如在中心网络设备应当具有：冗余电 源、配置软件的备份、模块支持带电热插拔、 在线重新启动、重新配置，以及冷备份部件与 模块。 39苏州市职业大学计算机工程系 5. 高安全性原则 建网不是目的，如何更好地高效 发挥网络的性能使其能发挥最大的作 用，并给网络的使用者带来更大的收 益才是建网的最终目的。因此只有充 分利用网络设备自身的资源以及网络 设备之间的链路，才能最高效地利用 网络，而不要过于相信单个网络产品 的指标对网络性能的影响，要考虑整 网的解决方案。 40苏州市职业大学计算机工程系 现在许多网管朋友在为企业设计 网络时仍像早期那样，只是想到如何 用交换机设备连接服务器和工作站， 如何布线，但却很少，甚至根本没有 考虑到网络中的安全需求。虽然说， 许多安全防护措施可以在组建网络后 再部署，但这样可能会受网络结构的 限制变得非常被动，所以，建议在网 络设计之初就全面、充分考虑网络应 用后的安全需求。 41苏州市职业大学计算机工程系 网络安全性保障主要考虑网络设 备的安全性，包括数据包过滤、防火 墙等功能；用户接入的控制，可以用 ACL、VLAN划分等技术有效地对不 同的用户进行隔离，网络中应采取多 种技术从内部和外部同时控制用户对 网络资源的访问。同时保证信息传送 是安全可靠的，例如，通过划分 VLAN，在VLAN之间的访问通过访问 控制列表来实施安全控制并采用一切 手段防止非法访问。 42苏州市职业大学计算机工程系 安全保障措施同样可以有多种可选策略，这同样 要根据企业实际应用需求和经济承受能力而定。如从 网络访问安全方面来说，我们可以部署虚拟局域网络 (VLAN)、代理、防火墙、入侵检测产品和网络隔离系 统等。从数据安全方面来讲，还可以部署各种数据备 份、复制系统。不同的技术和容灾策略代价相差也非 常大，不必追求大而全，而要有针对性地根据自身企 业的实际应用需求来制定安全策略。对于小型企业来 说，硬件防火墙和入侵检测产品的价格确实太高，我 们可以选择软件类型的；如果没有必要划分多个不同 安全级别的部门或子网，也就没有必要采用支持 VLAN的交换机设备，也没有必要专门对某个部门或 网段进行网络隔离，因为这些代价都非常大，对于小 型网络可能意义不大。另外，像防毒系统也一样，网 络版的防病毒系统比单机版的要贵许多，如果企业网 络规模非常小，在每台机上安装单机版的防病毒系统 也未尝不可。 43苏州市职业大学计算机工程系 6. 易管理性原则 随着网络规模和复杂程度的增加 ，管理和故障排除就越来越困难。在 网络设计中，应尽可能提供先进而完 善的网络管理的软、硬件系统。灵活 设置用户对Internet的访问功能，能 够对用户实行管理；并且支持QoS， 保证多媒体网络应用，网络系统需具 有服务质量的控制机制，以保证多媒 体业务在网络传输时具有较高优先级 。 44苏州市职业大学计算机工程系 之所以充分考虑网络的可管理性，这不仅 是为了把网管员从繁杂的网络管理琐事中解脱 出来，更重要的是为了便于日后的网络维护与 管理、提高网络的维护和管理效率，使企业网 络发挥最充分的性能和效率。网络的易管理性 是必不可少的，否则请再多的管理员也可能无 济于事。 一般来说，一个中小型局域网只有一个网 络管理员，大一些的通常也只有3个左右。面 对几百、甚至几千个用户，日常维护量非常之 大，少数几个网络管理员有时显得非常力不从 心。究其原因就是网络缺乏可管理性，事事都 得手动去分析、而且每一次维护都要到实地操 作，非常耗时。 45苏州市职业大学计算机工程系 为了尽可能提高工作效率，减少网络停顿时间， 同时为未来网络的发展打下基础，必须在企业网络设 计之初就把良好的可管理性充分考虑进去。选择方案 时应考虑以下几个方面： 1对网络实行集中监测，分权管理，并统一分配 资源。 2选用先进的网络管理平台，可以集中对全网设 备(路由器和以太网交换机等)实施具体到端口的管理 能力，并可提供及时的故障报警和日志。 3选用的网络设备及其他连接在网络上的重要设 备都应支持远程管理。 4设计时需充分考虑运行维护的问题，特别在工 程结束时，应要求建设方提供足够的设计及实施文档 。 46苏州市职业大学计算机工程系 其实以上绝大多数功能都可 以通过网络管理系统的软件来完 成，它不仅可集中管理网络中各 支持网管的设备，还可以自动精 确地发现网络中的错误位置，及 时通知网络管理员进行维护、处 理，大大提高了网络维护的水平 。当然，这样一套系统的价格也 是非常惊人的，并不是所有企业 能承受得起的。 47苏州市职业大学计算机工程系 7. 低成本原则 这里所说的“低成本”并不是要求我们在网络组建 上少投资，而是强调用尽可能少的钱来组建一个满足 公司需求，并且尽可能高效、稳定、扩展性良好、易 管理与维护的网络，也就是通常所说的“用最少的钱， 办最多、最好的事”。 另外，这里的“成本”不仅体现在组建成本上，更 多的是要考虑网络建成后的维护和管理成本。网络组 建成本是一次性的，再多也只是那些设备价格和安装 、施工成本，而维护和管理成本则可能是一笔无底数 的投入。少则可以是具体的维护和管理人员工资、材 料，以及支付给服务商的报酬等，是一笔笔有限的数 ；但由于网络的原因导致公司停产、停工，甚至影响 客户下单，这个损失就大了，而且可能是无法估量的 ，特别是电子商务型企业。 48苏州市职业大学计算机工程系 基于上述原因，如果能在网络建 设之初多投入一些资金，而能确保在 今后的维护和管理中带来极大的方便 ，大大降低相应成本，则一定要向企 业提出来并算一下成本总账，而不要 总着眼于当前的网络组建成本。另外 ，如果公司用户对网络的性能、稳定 性和安全性有特别需求，则一定要在 网络设计之初就充分考虑到，该购买 什么软、硬件一定要有详细的方案， 连同之所以要购买这些昂贵的软、硬 件的原因。 49苏州市职业大学计算机工程系 另外还应当注意以下几点 ：多倾听第三方专家的意见， 对由厂商自己介绍的先进技术 必须加以确认；从使用的角度 倾听集成公司或其他用户的意 见；各主流厂商都有其优秀产 品，关键看是否符合自己的实 际需求，性价比是否合理等。 50苏州市职业大学计算机工程系 1.2 需 求 调 查 在部署一个新的局域网， 或者改造一个旧的局域网前， 第一步要进行的就是网络规划 ，而网络规划中的第一步就是 要详尽了解用户的网络应用需 求。只有在详尽了解了用户的 应用需求后，才可能有针对性 地规划以后其他各方面。 51苏州市职业大学计算机工程系 1.2.1 用户应用需求分析 在一定程度上，需求决定一切， 所以在组建新网络或改造原有网络前 一定要详尽了解企业当前，乃至未来 35年内的主要网络应用需求。必须 详细地列出所有可能的应用，找各个 部门具体负责网络应用的人士进行面 对面分析和询问，并做好记录，而不 是简单的口头询问。记录表可以参照 表1-1。 52苏州市职业大学计算机工程系 表1-1 用户应用需求调查表 市场部 工程部 生产部 被调查人签 字 当前及未来35 年的应用需求 被调查人部门日期 53苏州市职业大学计算机工程系 应用需求分析调查主要包括以下几个方面 ： 1习惯或期望使用的操作系统平台。 2熟练或期望使用的办公系统。 3熟练或期望采用的数据库系统。 4主要的内部网络应用。 5是否需要在企业内(外)部Web网站上分 配模块。 6是否需要内(外)部邮件服务。 7经常要与外部网络连接的方式和用户数 。 8与外部网络连接的主要应用。 9其他应用需求。 54苏州市职业大学计算机工程系 不同行业有不同的网络应用需求特点，典型的企 业类型就是制造业。制造业是非常有特点的行业，企 业的物流、资金流、信息流存在复杂的管理问题。正 因如此，所以相应的革新也是最多的， ERP(Enterprise Resource Planning，企业资源计划 系统)、MRP(Materiel Requirements Planning，物料 需求计划系统)、SCM(Supply Chain Management， 供应链管理)、CRM(Customer Relationship Management，客户关系管理)等概念和产品非常流行 。不过，无论是面对哪一种应用模 式，企业都需有一 个网络化环境。越来越多的制造业企业也感受到网络 经济的冲击，意识到建网的重要性。日益更新的网络 技术为制造业网络化生产、经营和服务的特殊需求特 点提供了广阔的发展空间。 55苏州市职业大学计算机工程系 另外，由于视频会议、视频点播及IP电话等多媒 体技术的日趋成熟，网络传输的数据已不再是单一数 据了，多媒体网络传输成为世界网络技术的趋势。企 业着眼于未来，对网络的多媒体支持是有很多需求的 。同时，在网络带宽非常宝贵的情况下，丰富的QoS 机制，如：IP优先、排队、组内广播和链路压缩等优 化技术能使实时的多媒体和关键业务得到有效的保障 。随着互联网的发展，上网用户的不断增多，访问和 数据传输量剧增，网络负荷也相应加重；随着企业对 多媒体技术的广泛应用，视频数据、音频数据也越来 越耗费网络带宽。如果没有高性能的网络，会导致系 统反应缓慢，甚至在业务量突增时，发生系统崩溃、 中止和异常等现象。高性能的网络也是一些关键业务 或特殊应用的必备条件。 56苏州市职业大学计算机工程系 如果是要对原有网络进行改造，则还 需要结合当前应用需求对原有网络的应用 进行各方面的评估，其中包括原有网络的 实用性、可用性、有效性和安全性等。实 用性评估方面包括网络的拓扑结构是否适 合当前的网络规模扩展需求；所安装的操 作系统是否可以满足当前网络应用需求； 原有网络所采用的网络技术是否适合新网 络的应用需求，这可能关系到所有软、硬 件，所以在网络技术的选择要仔细权衡； 原有网络设备是否可以满足新网络中的应 用需求，主要就其网络连接技术，吞吐量 和管理性能等方面进行评估。 57苏州市职业大学计算机工程系 1.2.2 网络安全需求分析 除了必须清楚地了解企业网络的 应用需求外，在网络安全隐患无处不 在的今天，网络安全需求也显得格外 重要，成为企业网络组建考虑中必不 可少的重要组成部分。在组建网络前 ，我们应当全面地分析相应网络中可 能存在的安全隐患，以及网络应用所 需的安全需求，并给出相应的解决方 案。 58苏州市职业大学计算机工程系 企业网络安全的部署笔 者将在本系列图书中的网 管员必备宝典网络安全 一书中详细介绍，参照即 可，在此不再赘述。在此仅 说明我们在组建企业局域网 时在网络安全方面应考虑的 几个主要方面。 59苏州市职业大学计算机工程系 1. 病毒感染 病毒是最常见，也是危害 面最广的安全隐患，不仅在个 人计算机中应用存在，在企业 网络中病毒的威胁更是无处不 在。病毒几乎是随着计算机主 流应用的出现而出现的，早在 MS-DOS时代就曾被发现，至 今已有近二十年的时间了。 60苏州市职业大学计算机工程系 在组建企业网络时就需要就病毒 的防范策略进行全面计划，根据企业 自身的应用需求和经济实力，选择采 用单机版杀病毒软件，还是采用安全 性更高的网络版杀病毒系统；如果采 用网络版杀病毒系统，又打算如何部 署整个网络系统的病毒防御系统；采 用哪一个品牌的杀病毒软件或系统等 。另外，还要计划对所有需要应用计 算机的员工进行安全意识培训，从根 本上提高企业网络的安全性。 61苏州市职业大学计算机工程系 2. 黑客入侵和攻击 黑客攻击是随着早些年网络的进一步普及开始出 现和发展的。虽然出现时间较晚，但它的发展非常迅 速，目前几乎也是无处不在。相比病毒来说，黑客攻 击的危害性更大，而且入侵途径和攻击方式更加多样 化，更是难以防御；黑客攻击与病毒入侵的目标选择 对象不一样，企业用户，特别是一些知名企业，一直 以来是黑客攻击的主要目标，所以在企业网络组建时 就应当充分考虑这些方面，采取相应的防御措施。 目前防御黑客攻击的措施主要是通过部署防火墙 系统、入侵检测系统、网络隔离技术等，另外，系统 漏洞扫描和修复技术也非常重要。 62苏州市职业大学计算机工程系 3. 非法访问 有些用户虽然不能被称为“黑客”，但他们 的访问行为却往往不是合法的，同样可能给企 事业网络带来巨大的安全威胁。这些非法用户 在访问网络时可能携带、放置病毒或其他恶意 程序；也可能删除服务器系统文件和数据；还 可能窃取公司机密信息，如人事工资分配、财 务收支、企业营销和竞标标书等。 这类用户有些只是出于好奇，有些则可能 是出于报复心理。因此在组建企业局域网时一 定要进行全面分析，并采取适当的防御措施。 63苏州市职业大学计算机工程系 非法访问的防御措施除了前面介绍的 防火墙系统、入侵检测系统和网络隔离技 术外，更加需要注意的是网络管理工作要 细致，在网络管理中要全面引入安全机制 。如必要时对一些关键部门利用划分子网 或者VLAN网段的方式单独隔离保护；采 取高复杂性的账户密码策略和身份验证策 略；及时注销或删除一些长期不用和已离 开公司的员工账户；对一些重要的数据和 文件进行加密，并部署恢复代理机制等。 对于需要进行远程访问的用户，其权限配 置应特别小心，需要有相应的监测措施。 64苏州市职业大学计算机工程系 4. 数据损坏或丢失 网络数据对于一个依靠计算机网络开展工作的企 业来说，它的重要性是无法比拟的。它不仅关 系着企业日常工作的正常运作，更关系到企业 的生存与发展。最直接、最现实的证明就是美 国的911恐怖事件，几分钟之内，几千家企业 瞬间化为乌有，使得成百上千家有着几年，甚 至几十年的公司在这一天中停止了运作。也有 相当一些企业因没有及时做好数据备份，或者 没妥善保管好备份媒介，使这些公司失去了重 新恢复的可能，成为永远的伤痛。也有一些企 业通过完善的备份系统在非常短的时间内重新 恢复公司的正常运作。这就是数据备份的意义 。 65苏州市职业大学计算机工程系 数据备份是一切安全措施中 最彻底、最有效，也是最后一项 保护措施。因为它可以防范前面 介绍的一些安全措施失效时而造 成的数据损坏或丢失。只要及时 做好备份，再大的损失也只是局 部的，但一旦企业数据损坏或丢 失，则损失将是全面、彻底的， 基本上无法挽回。 66苏州市职业大学计算机工程系 数据备份的目的就是为了数据恢复。有一 些网管员总认为每天重复着一直以来并没有用 上的数据备份没有任何意义，在进行数据备份 工作时也不是很负责，经常出现错漏备份的现 象。对于数据备份驱动介质的保管更是非常随 意地放进自己的工作台抽屉中。这一切对于主 要依靠网络数据进行工作的企业来说是非常危 险的。数据备份的目标不在于需要经常用它们 进行数据恢复，而是在发生灾难性安全事件(如 服务器系统崩溃、存放在服务器上的数据损坏 或误删除；还有如机房发生火灾；本地城市发 生水灾、地震，甚至战争等)后进行数据恢复。 67苏州市职业大学计算机工程系 企业容灾计划根据不同的企业需求有不同 的等级，当然不同的容灾等级的投资成本也非 常大。一般的国内中小企业，基本上只是采取 了普通的磁带备份，备份媒介基本上是保管在 本企业离机房较远的专门保管柜中；对于一些 规模稍大的中型企业，则可能采取磁带库、磁 盘阵列、光盘塔、光盘库之类的高档备份设备 进行数据备份，备份媒介通常是租用安全性更 高的银行保管箱，可能在多个不同城市中保管 多份复制品；对于一些大型企业或者外资企业 ，则往往采取更先进的备份技术，如双机备份 技术和NAS/SAN备份网络等，它们的备份介质 则可以分别在不同国家保管多份复制品。 68苏州市职业大学计算机工程系 最后，同样要用表格的形式进行用户安 全需求调查，以备在网络设计时加以充分考 虑，如表1-2所示。 表1-2 用户安全需求调查表 市 场 部 工 程 部 生 产 部 被调查人 签字 安全需求和措施建 议 曾发生的安全事件 被调查 人 部 门 日 期 69苏州市职业大学计算机工程系 1.2.3 其他需求分析 网络应用和安全需求是两 个最为重要的方面，但在新设 计一个网络或者改造一个旧网 络时，其他方面的需求分析我 们同样需要重视，否则就可能 无法全面落实满足用户的最终 目的。其他方面的需求主要体 现在以下几个方面。 70苏州市职业大学计算机工程系 1. 网络架构及设备连接方式 一般来说局域网架构取决于网络的规模和 主要应用需求，目前主要网络架构有“对等网 ”(Peer-to-Peer，P/P)和“客户/服务器”(Client-to -Server，C/S)两种模式。“对等网”主要适用于 对网络速度要求不高，不需要太多网络服务的 情况。如果一个局域网规模很小(终端工作站在 20台以内)，且没有必要专门配置一台服务器的 ，一般采用对等网架构；而中型以上网络应采 用“客户/服务器”(C/S)模式，这种网络架构能够 提供较快的网络传输速度和很丰富的网络服务 。而企业网络以C/S网络模式应用最广。 71苏州市职业大学计算机工程系 目前一般中型以上的局域网，特别是 有电子商务需求的企业组建局域网时都不 采用“服务器+集线器+工作站”的方式(笔者 在一些老式小型企业还可见到集线器的踪 影)，而是采用“服务器+交换机+工作站”方 式。采用交换机不像集线器那样采用“广 播式”的数据传送，而是事先经过MAC 地 址分析，选中目标地址后直接将数据包发 送到目标节点，其他节点不发送，这样有 效地防止了广播风暴，减轻了服务器的工 作负担，也加快了网络的传输速度。如果 局域网还要与外部互联网进行连接，一般 还得加上“路由器”和“防火墙”这两种设备 。 72苏州市职业大学计算机工程系 2. 拓扑结构需求分析 在进行网络的总体设计前，应当首先 搞清楚哪些建筑物需要布线；每座建筑物 中的哪些房间需要布线；而每个房间的哪 个位置要预留信息插座；建筑物之间的距 离、建筑物的垂直高度和水平长度等。只 有事先调查好这些情况，才能合理地设计 网络拓扑结构，选择适当的位置作为网络 管理中心以及作为设备间放置联网设备； 才能有目的地选择组建网络所使用的通信 介质和交换机等设备。 73苏州市职业大学计算机工程系 3. 数据传输需求分析 用户对数据传输量的需求决定了网络应当 采用何种联网设备和布线产品。就目前的情况 来看，多媒体应用已经成为局域网络所必须支 持的基本功能之一。基于这种大传输量的需求 ，以1000Mb/s光纤作为主干和垂直布线，以 100Mb/s超五类双绞线作为水平布线，从而实 现100Mb/s交换到桌面的网络，已经成为最普 通的企业局域网架构。这就要求我们在选购设 备时充分考虑到这一点，而且必须是综合考虑 ，而不是对某一设备孤立考虑，因为网络性能 也在很大程度上遵循“木桶”规则，就是网络的 整体最佳性能取决于网络中性能最低的设备， 而不是性能最佳的设备。 74苏州市职业大学计算机工程系 4. 发展需求分析 网络设计者在进行网络规划设计时，一定 不要仅考虑当前网络规模和应用需求，还要有 超前意识，使得新组建或改造的网络能满足企 业未来相当一段时期(通常是35年)的发展需求 。当然这里所考虑的就不像当前现实应用那样 具体，而可以是仅就对网络整体性能影响重要 的一些方面，如企业网络用户数、网络服务器 性能、核心和骨干层交换机、各种数据库系统 应用、安全需求和数据备份、容错系统等。在 选择网络技术和设备时，就要充分考虑使用当 前最新的网络技术和产品，在网络负载承受能 力方面，要使各关键网络设备，如服务器，一 、二级交换机及路由器等都至少能满足未来 35年的发展需求。 75苏州市职业大学计算机工程系 这一点非常重要，因为布 线工程一旦完毕，就很难再进 行扩充性施工。所以，在埋设 网线和信息插座时，一定要有 足够的余量，而网络设备在配 置时就得综合考虑，对于核心 设备，如核心交换机和边界路 由器等最好选择具有模块化的 可扩展结构。 76苏州市职业大学计算机工程系 5. 性能需求分析 不同厂家乃至同一厂家不同型号的交 换机在性能和功能上都有较大差异，有的 安全性高、有的稳定性好、有的转发速率 快、有的拥有特殊性能。因此，应当慎重 考察和分析当前新建网络对性能的根本需 求，以便选择相应品牌和型号的交换机等 设备。通常在新组建网络时，最好选择同 一品牌的产品，至少同一类型的设备最好 选择同一品牌的，如交换机、路由器和防 火墙都可以选择Cisco(思科)、3COM、D- link(友讯)、华为3COM和Netcreen等这样 的大品牌。 77苏州市职业大学计算机工程系 这样做的好处非常明显：一方面这 些大牌产品的质量、性能比较可 靠，选择同一品牌后还可以充分 保证设备间的兼容性；另一方面 可以得到非常周到、及时、全面 的服务，而不会出现不同设备商 间扯皮的现象；最后还可能在价 格上得到实惠，毕竟一次性全部 购买一个品牌的产品，量大应该 有较大优惠的。 78苏州市职业大学计算机工程系 6. 旧设备的重新利用 如果是对旧网络进行改造，则需考虑 实现旧设备的最优利用，当然也不是说一 定要以牺牲应用来迁就旧设备的低档利用 。计算机技术的发展日新月异，一般来说 两年前买的设备到了今天就可能“过时”了 ，但又不能仅看到最新的计算机技术，更 多地还应考虑到公司的实际应用需求。其 实一个企业绝大部分部门工作对计算机软 件、硬件质量需求并不是非常明显，日常 的工作也不过是文字、表格处理，没有必 要去赶时髦。淘汰所有以前的设备会造成 企业大量的资金浪费，是非常不明智的。 79苏州市职业大学计算机工程系 1.3 企业网络IP地址规划 随着这些年网络的发展，越来越多的 企业都组建了内部局域网，来实现自动化 无纸办公等高效率且低成本的运营和管理 。但是这些企业由于原来并没有网络管理 和规划的经验，很多新上任的网管对IP地 址的规划管理不够重视，以至于在以后需 要扩展网络或增加服务时造成很多不便， 而且随着时间的推移，没有结构化的编制 对日常的维护管理也会逐渐增加难度。所 以，本节将对IP地址的分配和管理等方面 做详细的介绍，并介绍一些IP地址分配的 基本规则。 80苏州市职业大学计算机工程系 1. 体系化编址 体系化其实就是结构化、组织化，以 企业的具体需求和组织结构为原则对整个 网络地址进行有条理的规划。这个规划的 一般过程是从大局、整体着眼，然后逐级 由大到小分割、划分。最好在网络组建前 配置一张IP地址分配表，对网络各子网指 出相应的网络ID，对各子网中的主要层次 指出主要设备的网络IP地址，对一般设备 指出所在的网段。各子网之间，最好还列 出与相邻子网的路由表配置，表1-3是一 个示例。 81苏州市职业大学计算机工程系 表1-3 IP地址编址示例 子网网络ID服务器地址路由器地 址 客户机网段静态路由 表 子网101540 0 子网201540 0 子网301540 0 82苏州市职业大学计算机工程系 从网络总体来说，体系化编 制的原则是使相邻或者具有相同 服务性质的主机或办公群落都在 IP地址上连续，这样在各个区块 的边界路由设备上便于进行有效 的路由汇总，使整个网络的结构 清晰，路由信息明确，也能减小 路由器中的路由表。而每个区域 的地址与其他的区域地址相对独 立，也便于独立的灵活管理。 83苏州市职业大学计算机工程系 2. 持续可扩展性 这里所说的可扩展性其实就是在初期规划时为将 来的网络拓展考虑，眼光要放得长远一些，在将来很 可能增大规模的区块中要留出较大的余地。 IP地址最开始是按有类划分的，A、B、C各类标 准网段都只能严格按照规定使用地址。但现在发展到 了无类阶段，由于可以自由规划子网的大小和实际的 主机数，所以使得地址资源分配的更加合理，无形中 就增大了网络的可拓展性。虽然在网络初期的一段可 能很长的时间里，未合理考虑余量的IP地址规划也能 满足需要，但是当一个局部区域出现高增长，或者整 体的网络规模不断增大，这时不合理的规划很可能必 须重新部署局部甚至整体的IP地址，这在一个中、大 型网络中就绝不是一个轻松的工作了。 84苏州市职业大学计算机工程系 我们知道，IPv4仍是现行 的IP协议，其地址通常用以圆 点分隔号的4个十进制数字表示 ，每一个数字对应于8个二进制 的比特串，称为一个位组 (octets)。如某一台主机的IP地 址为：写成二进制 则为 10000000.00001010.0000001 0.00000001。 85苏州市职业大学计算机工程系 网络地址分为A、B、C、D、E五 类。A类地址中4个8位位组中第一个 位组代表网络号，剩下的3个位组代 表主机位，首组号码范围是1127。 B类地址的前两个位组代表网络号， 剩下的两个位组代表主机位，首组号 码范围是128191。C类地址的前3个 位组代表网络号，剩下的1个位组代 表主机位，首组号码范围是192223 。D类地址是多播地址，首组号码范 围是224239。E类地址为保留地址 ，专门供