论文格式实例2016版.docVIP

天津农学院毕 业 设 计中文题目: 赛斯特科技有限公司局域网的组建 英文题目: Formation of Seth technology Ltd. LAN 学生姓名 无名氏 二级学院 计算机与信息工程学院 专业班级 2013级 XXXX专业01班 指导教师 甄爱军 成绩评定 2016年月目录目 录1 前 言12 企业网建设规划22.1企业内部资料、组织架构22.2 企业局域网的作用32.3网络的体系结构32.4 网络协议43 网络布局和综合布线63.1 技术规划63.1.1 网络体系结构563.1.2 网络层次划分63.1.3 网络IP子网划分73.1.4 网络流量规划83.1.5 以太网交换技术103.2.1VLAN技术的概述及其优点133.2.2 VLAN的实现144 企业网硬件软件选择及安装154.1 常用网络设备154.1.1 网卡154.1.2 交换机154.1.3 路由器164.1.4 传输介质164.2 服务器184.3硬件系统结构硬件选择184.3.1网络接入层184.3.2网络会聚层194.3.3 网络核心层204.4软件系统结构214.4.1服务器管理软件214.4.2网络服务管理215 局域网的安全控制与病毒防治245.1局域网安全威胁分析245.2局域网安全控制与病毒防治策略25总结与展望29致谢30参考文献3131摘要摘 要如今，许多公司或企业因为日常办公或经营业务的需要都购买了为数不少的电脑。随着公司或企业发展，一些单位的领导开始意识到内部构建局域网的现实必要性。但因为经费短缺等关键因素的制约，许多领导都要求本单位的电脑管理人员承担起构建局域网的工作任务。 随着网络的逐步普及，企业网络的建设是企业向信息化发展的必然选择，企业网络系统是一个非常庞大而复杂的系统，它不仅为现代化企业综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。而企业网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本毕业设计课题将主要通过对小型企业局域网络建设过程可能用到的各种技术及实施方案的介绍和分析，为企业网的建设提供理论依据和实践指导。关键词：企业网；网络协议；服务器；防火墙AbstractABSTRACTToday, many companies or enterprises because of the need of daily office or business to buy a lot of computer. With the development of the company or enterprise, some units of the leadership began to realize the necessity of the internal construction of lan. But because of the key factor restricting the shortage of fund, many leaders are required to the units computer management personnel to assume the construction of LAN task.With the gradual popularization of the network, enterprise network system is a very huge and complicated system, it not only provides the basic platform for a series of application of modern enterprise integrated information management and office automation, but also provides a wide range of applications, so that information can be transmitted in a timely manner for each system, accurately. But the enterprise network construction in the main application is an important branch of network technology in LAN technology to the construction and management, therefore this graduation design topic will be mainly through the introduction and analysis of various technical and implementation options may be used for small enterprise local area network construction process, providing the theory basis and the practice instruction for the enterprise network construction.Key words：Enterprise network; network protocol; server; firewall1前言赛斯特科技有限公司局域网的组建无名氏（天津农学院 计算机科学与信息工程学院）1 前 言企业想增强竞争实力，必须随时改进和更新系统和网络，但是机会增加常伴随着安全风险的增加，尤其是机构的数据对更多用户开放的时候因为技术越先进，安全管理就越复杂。所以企业为了消除安全隐患，下一步就需要对现有的网络、系统、应用进行相应的风险评估，确定在企业的具体环境下到底存在哪些安全漏洞和安全隐患。再次是在此基础上，制定并实施安全策略，完成安全策略的责任分配，设立安全标准：几乎所有企业目前都有信息安全策略，只不过许多策略都没有书面化，只作为完成任务的一种手段。恰当的信息安全策略必须与机构的所有业务需求直接相关。毋庸置疑，在互联网时代，有效的公司信息安全管理对企业的良好运作至关重要，但在具体的实施过程中，企业安全管理需要从前期安全策略的具体制定、中期信息安全解决方案的选择与实施、后续的安全服务的跟进等多方面、全方位予以重视，并作周到细致的考虑。这既涉及到企业系统如何在应用中实现安全管理，同时又涉及到安全厂商如何提供全方位安全咨询及后续安全服务等方面的问题。信息技术的迅猛发展极大地促进了网络在企业的普及应用，当今的企业必须采用能够充分利用结合优秀的传统方法及连网计算的新业务模式，来获得竞争优势。对许多企业来讲，问题不在于数据安全是否必要，而在于怎样在预算范围内以安全的方式管理复杂计算机环境、多种计算机平台和众多集成式计算机网络上的数据。各企业必须独立确定需要多高级别的安全，以及哪种安全能最有效地满足其特殊业务需求。这些问题仅靠安全解决方案是无法完成的，而是企业安全管理必须解决的问题。 2 企业网建设规划2 企业网建设规划2.1企业内部资料、组织架构 本企业是生产射频接插件的科技技术型企业。企业由4个生产中心组成。每个生产中心由办公楼和生产、装配中心大楼组成。如图1所示：企业办公楼生产、装配中心办公楼生产、装配中生产中心1生产中心2 图1 企业组织结构图按管理方的要求，一般一个生产中心局域网信息点共有222个。其中办公楼60个，分别分布在3个楼层、生产、装配中心136个分布于5层楼层，平房的26个信息点用于一层的阶梯教室和企业辅助管理部门。各楼之间以光缆连接，构成企业局域网。企业局域网的中心机房设在办公楼的三层西侧。生产、装配中心的配线间设在三楼东侧的北面。根据企业安排，信息点的具体分布是：表1 信息点分布表办公楼生产、装配中心平房合计一层二层三层一层二层三层四层22201830303028262046011826204为适应企业将来对各种网络应用的需求，另外随着技术和工艺的进步，考虑到目前各类布线材料在价格方面比较接近，因此拟对所有信息点都按超五类UTP标准布线，每个信息点可实现不低于100Mb的带宽，这样不仅可支持一般的企业信息管理应用对网络传输带宽的要求，而且完全支持MPEG-2等格式的多媒体信息传输。此布线方案只考虑数据信息点布线，不涉及语音信息点及其设备。2.2 企业局域网的作用(1)简化作业管理流程,相对达到无纸办公本企业是生产射频接插件的科技技术型企业，生产全部使用ERP系统21。输入由电脑和鼠标完成。输出则基本由联网打印机完成。基本达到了无纸办公。(2)支持决策,能在短时间内获得信息 高速的内部网各个信息点，及时的传递业务信息，供应信息，生产信息，管理信息。供管理层及时决策。(3)外出人员与公司沟通WWW应用是Intranet的标志性应用，最核心的应用服务集中在WWW服务器上完成。因而对于WWW服务器的设计首要考虑的就是服务器性能问题，另外考虑到将来在Intranet平台上做应用开发的可能，对于WWW服务器同数据库互联的问题也应作为重点考虑。(4)企业网的建设原则 企业网建设是一项综合性非常强的系统工程，它包括了网络系统的总体规划、硬件的选型配置、系统管理软件的应用以及人员培训等诸多方面。因此在企业网的建设工作中必须处理好实用与发展、建设与管理、使用与培训等关系，从而使企业网的建设工作健康稳定地开展。首先，企业网的建设是一个为企业运营活动长期服务的工作，因此在企业网的规划建设过程中，必须从企业长远发展规划出发，以服务于工业为基本点，结合企业当前办公的实际需要，做出科学的规划部署。在企业网的规划建设中，一般企业应遵循“统一规划、整体设计、分步实施”的原则。其次在企业网的建设中必须坚持硬件建设与组织管理协调发展的原则，在重视硬件建设的同时，加强网络的组织管理水平，不断开发网络的功能，从而充分发挥企业网络的功效，提高企业网对企业的服务水平12。2.3网络的体系结构 网络通常按层或级的方式来组织，每一层都建立在它的下层之上。不同的网络，层的名字、数量、内容和功能都不尽相同。但是每一层的目的都是向它的上一层提供服务，这一点是相同的。层和协议的集合被称为网络体系结构。作为具体的网络体系结构，当前重要的和使用广泛的网络体结构有OSI体系结构17和TCP/IP体系结构1。OSI是开放系统互连基本参考模型OSI/RM（Open SysteM Interconnection Reference Model）缩写，它被分成7层，这7个层次分别定义了不同的功能。几乎所有的网络都是基于这种体系结构的模型进行改进并定义的，这些层次从上到下分别是应用层、表示层、会话层、运输层、网络层，数据链路层和物理层，其中物理层是位于体系结构的最低层，它定义了OSI网络中的物理特性和电气特性。TCP/IP（TransMission Control Protocol/Internet Protocol,传输控制协议和互连网协议）缩写，TCP/IP体系结构是当前应用于Internet网络中的体系结构，它是由OSI结构演变来的，它没有表示层，只有应用层、运输层，网际层和网络接口层。2.4 网络协议 网络协议是通信双方共同遵守的约定和规范，网络设备必须安装或设置各种网络协议之后才能完成数据的传输和发送，在企业局域网上用到的协议主要有，ICP/IP协议、IPX/SPX协议等。(1) TCP/IP协议TCP/IP协议是目前在网络中应用得最广泛的协议，ICP/IP实际上是一个关于Internet的标准，并随着的Internet广泛应用而风靡全球，它也成为局域网的首选协议。TCP/IP是一种分层协议，它共被分为个4层次，大约包含近期100个非专有协议，通过这些协议，可以高效和可靠地实现计算机系统之间的互连。TCP/IP协议中的核心协议有TCP（传输控制协议）、UDP（用户数据报协议）和IP（因特网协议）6。TCP协议可以在网络用户启动的软件应用进程之间建立通信会话，并实现数据流量控制和错误检测，这样就可以在不可靠的网络上提供可靠的端到端数据传输。UDP协议是一种无连接的协议，它在传输数据之前不建立连接，也不提供良好的可靠性和差错检查，只仅仅依赖于校验来保证可靠性。IP协议的基本功能是提供数据传输、数据包编址、数据包路由，分段等。通过IP编址约定，可以成功地将数据通过路由传输到正确的网络或者子网。每个网络站点具有一个32位的IP地址，它和48位MAC地址一起协作，完成网络通信，IP协议也是一种无连接的协议。（2）超文本传输协议(HTTP)HTTP(HyperText Transfer Protocol ),超文本传输协议)是WWW浏览器和WWW服务器之间的应用层协议，是用于分布式协作超文本信息系统的、通用的、面向对象的协议，HTTP协议还是基于TCP/IP协议之上的应用层协7。（3）文件传输协议(FTP)FTP(File Transfer Protocol ,文件传输协议)是由支持Internet文件传输的各种规则所组成的集合。这些规则能使网络用户把文件从一个主机拷贝到另一个主机上，FTP是采客户/服务器方式服务的8。（4）远程登录协议（Telnet）18 远程登录协议的目的是提供一个全面的、双向的、面向8个比特字节的通信工具，其主要目标是提供终端设备与面向进程接口的标准方法，Telnet是应用层的协议，采用客户/服务器模式工作的，Telnet不仅允许用户登录到远端主机上，还允许用执行远端主机的命令，这样用户就能以极小的网络资源代价完成大型的网络应用。3网络布局和综合布线3 网络布局和综合布线3.1 技术规划3.1.1 网络体系结构5图2 办公大楼总拓扑图3.1.2 网络层次划分 核心层20：核心层配置设备承担的任务主要是通过核心层设备与汇聚层间信息的交流、分发与管理，因此核心层设备是整个网络的中心枢纽，应具有强大的交换能力，保证不会发生信息拥塞；强大的安全防护能力，保证不会因单点故障而影响整个系统的正常运行；有效的故障恢复能力,保证任何一种单点故障都能在短时间内迅速予以恢复。汇聚层20：汇聚层设备承担的任务，一是构造本地网络核心，二是通过核心设备实现与其他部分大量信息交换。汇聚层设备具备较高的吞吐能力和上连带宽，同时还具备强有力的用户访问控制能力（即三、四层交换能力、虚网功能）。接入层20：接入层的功能在于将各种媒体、各种速度、任何地方的最终用户接入IP网络。这一层主要实现各单位终端节点设备的接入，并上连到网络汇聚层。这一层网络建设可以根据各节点的具体情况分期分批建设。3.1.3 网络IP子网划分根据企业安排，信息点的具体分布如表1：表2 信息点分布表办公楼生产、装配中心平房合计一层二层三层一层二层三层四层22201830303028262046011826204把一个大网缩小为若干小网，叫子网（作动词），而要把一个或几个小网扩大为一个大网，叫超网，后者一般应用于电信等其它领域16，我们不作讨论。划分IP子网，有利于我们搞好系统维护，合理配置系统资源，减少资源浪费，企业信息点以楼层划分2。根据的保留地址划分企业内部局域网，属于C类地址，子网掩码。根据结构分析，生产、装配中心一层，数量最大，30台，为每个楼层划分单独的网段公式：2N-2=Hosts2N-2=30 N=5N代表掩码中0的个数，5个零则意味着二进制掩码为11100000，即十进制的224加上前面24个1，1 的总数为27个。子网掩码24确定掩码规则以后，就要确认每一个子网的具体地址段16。当前的IP地址的最后一位是0，二进制表示为00000000；而我们已经算出的掩码24的最后一位是224，二进制表示为11100000000000001110000000000000与结果：0001000001110000000100000与结果：32去除网络回环地址，广播地址 依次类推办公楼一层 2办公楼二层 4办公楼三层 6生产、装配中心一层 28生产、装配中心二层 60生产、装配中心三层 92生产、装配中心四层 24 3.1.4 网络流量规划一个设计成功的企业网，其网络流量合理，系统各部分负载均衡。那么什么是网络流量呢？网络流量简而言之就是网络上传输的数据量。就像要根据来往车辆的多少和流向来设计道路的宽度和连接方式一样，根据网络流量设计企业网络是十分必要的。在传统网络中，一般将使用相同应用程序的用户放到同一工作组中，他们经常使用的服务器也放在一起。工作组位于同一物理网段或VLAN（虚拟局域网）中。这样做的目的是将网络上客户机与服务器之间产生的数据流量限制在同一网段中。在同一网段，可以使用带宽相对高的交换机连接客户机和服务器，而不必使用带宽相对较低的路由器12。将大部分网络流量控制在本地的这种网络设计模式，被称为“80/20规则”，即80%的网络流量是本地流量（采用交换机交换数据），在同一网段中传输；只有20%的网络流量才需要通过网络主干（路由器或三层交换机）3。“80/20”规则中的“80”和“20”不能简单地理解为数字，应该理解为网络流量分布的方式，即大部分网络流量局限在本地工作组，小部分流量通过网络主干。因此在实际网络设计中，只要大部分网络流量在本地、小部分网络流量通过主干，就认为它符合了“80/20”规则，而不管实际的数字比例是多少。后面谈及的“20/80”规则也是如此。按照“80/20”规则，分支交换机可以使用不支持VLAN的交换机，如全向的QS-6924交换机，这样能够大大降低不必要的开支。当然使用支持VLAN的交换机产品就更好了，如果以后想划分子网也比较方便，全向系列交换机中，带有“V”的型号具有VLAN功能，如QS-532V交换机、QS-516V交换机等。随着网络应用的逐渐丰富，“80/20”规则已经不能完全满足网络设计的需要。而一种被称为“集中存储、分布计算”的模式逐渐得到推广。集中存储，就是数据集中在网络中心存储，如已经得到普遍使用的Web服务、电子邮件系统和逐渐流行的VOD（视频点播）、多媒体资源库等；分布计算，就是数据被下载到各个工作站上处理，如使用网络上的多媒体资源库制作多媒体课件等。在“集中存储、分布计算”的网络应用模式下，对网络流量的要求已经大大偏离了“80/20”规则，一种新的规则应运而生，这就是“20/80”规则。在符合“20/80”规则的网络中，只有大约20%的网络流量局限在本地工作组，而大约80%网络流量经过网络主干传输。这种网络流量模式的转变，给企业网主干交换机带来了很大的负荷。因此理想状态下主干交换机应该能够提供与下面连接的支干交换机相匹配的性能，即提供线速三层交换20，也就是说，下面的支干交换机能够跑多快，上面的主干交换机也应该能够跑多快。同样，如果网络中有许多按功能划分的VLAN，这些VLAN也很难管理。在以往的“80/20”规则中，服务器往往分布在VLAN中，因此对于各工作组来说，访问起来比较快。但是在“20/80”规则中，服务器往往集中在网络中心，因此对于各工作组，必须实现跨VLAN的访问。没有三层交换机，VLAN之间无法通信，VLAN类似于硬盘的逻辑分区，可以简单地理解为把同一硬盘划分成不同的硬盘盘符。但是与逻辑盘不同的是，VLAN之间通信可不像把文件从一个逻辑盘复制到另一个逻辑盘那样简单，而是必须依靠路由器才能使VLAN之间相互通信。因此符合“20/80”规则的大中型网络必须使用三层交换机，如神州数码D-Link的 DES-6706交换机。在企业网络环境中，有的地方“80/20”规则适用，数据流量一般局限在本地子网中，如果将专用的服务器架设在网络中心，必将大大增加网络主干的负担。有的地方“20/80”规则适用，比如电子邮件服务器、Web服务器等，是任何网络用户都会使用的，就应当放置在网络主干上，如果放在某一个子网中，不仅增加该子网的负担，其他子网的用户访问起来也会很慢。3.1.5 以太网交换技术以太网交换技术具有许多类型，各自宣传其具有不同的优点；通过简单的鼠标即可增加、移动和改变往来落的结构；比网桥和路由器更为有效地进行网络分段；为高性能工作站或服务器提供高宽带。网络管理者渴望采用这些技术，但是首先他们想了解各种以太网交换技术。当前有两种以太网交换技术：静态以太网交换和动态以太网交换3。（1）静态以太网交换静态以太网交换是为网络管理者通过软件来完成网络配置的增加、移动及改变而设计的。静态以太网交换工作与传统的共享式网络环境。所以称为“静态”是由于需要网络管理员的人工干预，既每次网络节点的移动和增加，网络管理员必须通过网络管理软件进行操作11。一旦一次静态交换操作完成，用户或工作站将被移到一个新的共享网段，并且一直呆在那里直到另一次新的操作。静态交换允许网络管理员在一个内将用户容易地从一个共享局域网总线移到另外一个共享局域网总线。集线器的以太网总线是由工程部台工作站共享的以太网网段。而以太网总线是由市场部的工作站所共享）的网段，以上两个网段都是传统的共享局域网。当工程部某位工程师调至市场部，希望将其工作站连至市场部局域网段（以太网总线）时，该如何操作？对静态以太网交换，网络管理员只需通过网络管理工作站的集线器图形界面，用鼠标将调离的工程师工作站所对应的端口从总线拉至总线即可。这种改变只需几秒钟的时间。而传统的方法，则需网络管理员通过查线、拨号、重新布线等一系列的工作才能完成。显然，在网络结构需经常改变的场合，静态交换以太网极为适宜。静态交换不能改变带宽(性能), 用户唯一可以提高网络性能的方法是将工作站从拥挤的网段移到空闲的网段。只有动态以太网交换才可以增加标准以太网的带宽(性能) 20。（2）动态以太网交换动态以太网交换最初设计思路来源于电话网, 即在一个系统内同时按需存在许多点-点会话.动态以太网交换可以在不改变标准以太网节点设备的同时( 即工作站和服务器采用标准的以太网卡,驱动程序,电缆和应用程序),极大地提高网络的带宽.其工作过程如下:交换机检查来自PC的数据包; 交换机识别该数据包的源地址和目的地址;交换机动态打开一专用的10Mbps链路,将包由源地址端口传送至目的地址端口。动态交换检查由A工作站发往B工作站的数据包,在A与B 之间动态建立一专用的10Mbps链路.显然,不象传统的共享以太网, 数据包不是发往网络上的所有工作站,而是对每一数据传输产生专用的10Mbps链路.而连接到动态交换上的工作站及服务器仍使用标准的以太网卡,驱动程序,电缆及应用程序。在动态交换的内部,标准以太网的冲突式网络存取机制(CSMA/CD)不再存在, 与以太网相依存的冲突显著变小或不复存在, 每一用户昀可独立享受局域网的全部带宽(以太网10Mbps),所有的数据包都通过专用的点对点10Mbps链路进行交换,因此以太网交换为诸如客户机/服务器应用,分布式数据库,图像处理,CAD,甚至多媒体等数据密集型网络应用提供了足够的带宽。因为数据不昌传送到所有的端口,网络也难以被窃听,所以动态交换环境比共享式以太网更加安全动态交换同时检查所有数据包,同时开辟许多的10Mbps 专用链路以完成并行的数据通信。这样在任何时间内可以存在许多专用的源-目的以太网。 动态交换以太网的这种并行的,点对点特性与电话网相似,同时也与FTM相近。一旦一个独立的端口通信完成,动态交换释放此链路。因此,动态交换的带宽流量是按需的,这种按需带宽特性是ATM网的另一特性.但因动态以太网交换是建立在标准以太网基础上( 标准接口卡,驱动,电缆和应用) , 用户可以保留其在原有以太网上的投资和基础上, 获得像ATM一样的专用带宽及安全保密性11。（3）以太网交换技术分类上面已讨论了动态交换和静态交换在功能和应用上的基本差异, 下面将着重讨论每种交换技术的两种实现方式:动态端口交换动态段交换静态端口交换静态模块交换对静态交换而言,模块交换和端口交换差别很小,它们可应用于相同的场合, 而对动态交换,段交换与端口交换的应用明显不同。（1）动态端口交换14动态端口交换的功能已在前面讲述过,每一端口联接到单一的工作站或服务器.因为每一端口可被按需赋予一个独立的 10Mbps专用以太网链路,这样可以赋予每一工作站或服务器更高的网络带宽。（2）动态段交换动态段交换与动态端口交换的功能相似,通过交换结构,按需提供专用的端口间10Mbps专用链路.每一动态段交换端口可以连接一个网段(即传统的共享以太网),而不只是一个工作站或服务。动态段交换通过对大量MAC地址的识别来完成此功能。用端口连结整个网段,可以使动态段交换取代现今分段网络中的路由器及网桥。如果网段A的用户在网段内发送数据包, 交换识别数据为本网段数据包而不允许这些数据包进入其它网段.但是如果网络段A的用户发送数据包到网络段B,则交换机识别那些传送至网段B的数据包,分配一专用的10Mbps链路，发送数据包到网段B的目的用户.网络分段,即将一个大的拥挤的网络分成一系列的小型网络,每一网络具有小的用户和小的流量。以前网络分段一般是通过网桥和路由器来实现的, 而采用动态段交换对网络分段比用网桥和路由器更优越,理由如下:价低。易管理,而路由器需要QSI协议中网络层的复杂网络管理。更快速,因为交换只检测其数据包头中的源及目的地址, 而网桥及路由器则需检测整个包,这样交换所产生的时延比网桥及路由器小得多。（3）静态端口交换静态端口交换允许网络管理员通过软件将用户工作站从一条共享以太网总线移到另一条，灵活地对网络进行增加,减少所需的交换模块订货量.例如,在网络上增加8个用户,他们工作于4个不同的部门,在4条不同的以太网总线上。所有这些用户可以采用。一块单一的端口交换模块来实现.与此相比,以前则需购4 块新的模块并连到不同的总线,但每个新的模块的大部分端口是未用的,造成低效及浪费。（4）静态模块交换静态模块交换也是由软件来实现网络的增加,移动和改变.与静态端口交换不同的是,静态模块交换是将整个模块(包括模块上的所有端口) 从一条共享总线移至另一条共享总线3.2 虚拟交换技术。3.2.1VLAN技术的概述及其优点VLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费可贵的带宽；而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。 VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控制在一个VLAN内部，划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层（网络层）的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。另外，VLAN具有灵活性和可扩张性等特点，方便于网络维护和管理，这两个特点正是现代局域网设计必须实现的两个基本目标，在局域网中有效利用虚拟局域网技术能够提高网络运行效率。 3.2.2 VLAN的实现VLAN的实现方式有两种：静态和动态。静态实现是网络管理员将交换机端口分配给某一个VLAN，这是一种最经常使用的配置方式，容易实现和监视，而且比较安全。动态实现方式中，管理员必须先建立一个较复杂的数据库，例如输入要连接的网络设备的MAC地址及相应的VLAN号，这样当网络设备接到交换机端口时交换机自动把这个网络设备所连接的端口分配给相应的VLAN。动态VLAN的配置可以基于网络设备的MAC地址、IP地址、应用或者所使用的协议。实现动态VLAN时候一般情况下使用管理软件来进行管理。在CISCO交换机上可以使用VLAN管理策略服务器（VMPS）实现基于MAC地址的动态VLAN配置。VMPS是MAC地址与VLAN的映射表。这种配置的优点是网络管理员维护管理相应的数据库，而不用关心用户使用哪一个端口，但是每次新用户加入时需要做较复杂的手工配置。基于IP地址的动态配置中，交换机通过查阅网络层的地址自动将用户分配到不同的虚拟局域网。4 企业网硬件软件选择及安装4 企业网硬件软件选择及安装4.1 常用网络设备 网络设备主要是指硬件系统，各种网络设备之间是有着相互关联而不是相互独立的，每一部分在网络中有着不同的作用，缺一不可，只有把这些设备通过一定的形式连起来才能组成一个完整的网络系统，网络设备主要包括网卡、集线器、交换机、路由器、传输介质等。4.1.1 网卡 网卡（简称NIC），也网络适配卡或网络接口卡，网卡作为计算机与网络连接的接口，是不可缺少的网络设备之一。无论是双绞线网络、同轴电缆网络还是光缆网络，都必须借助于相应类型的网卡才能实现与计算机的连接，是计算机与局域网相互连接的惟一接口。每块网卡上都有一个世界惟一的ID号，也就是MAC（Media Access Control）地址，计算机在连入网络之后，就是依靠这个ID号才能实现在不同计算机之间的通信和信息交换。网卡有很多种，不同类型的网络需要使用不同种类的网卡，不同速度的网络需求也要使用不同的网卡。如根据带宽来分的话，有10Mbit/s网卡、10/100Mbit/s自适应网卡和1000Mbit/s网卡；如按总线分，有ISA总线、PCI总线、PCMCIA总线网卡等。从目前企业网建设的实际情况来看，工作站网卡选择PCI总线的10M/100Mbit/s自适应网卡最适合。4.1.2 交换机 交换机，也称交换式集线器，是专门设计的，使各计算机能够相互高速通信的独享带宽的网络设备。作为高性能的集线设备，随着价格的不断降低，交换机已逐步取代了集线器而成为集线设备的首选。由交换机构建的交换式网络系统不仅拥有高速的传输速率，而且交换延时很小，使得信息的传输效率大大提高，适合于大数据量并且使用非常频繁的网络通信，被广泛应用于各种类型的多媒体和数据传输网络。交换机具有很强的网络管理功能，它能自动根据网络通信的使用情况来动态管理网络，因为交换机采用了独享网络带宽的设计。4.1.3 路由器 路由器除了有连接不同的网络物理分支和不同的通信媒介、过滤和隔离网络数据流及建立路由表，还有控制和管理复杂的路径、控制流量、分组分段、防止网络风暴及在网络分支之间提供安全屏障层等到功能。根据路由设备的组成可以分为软路由和硬路由21。根据路由表的设置方式可以将路由器分为静态的和动态的。路由器工作在网络层，因此它可以在网络层交换和路由数据帧，访问的是对方的网络地址。当数据帧到达路由器后，路由器查看数据帧的目标地址，并在路由表查看到达目标地址的路径，根据路径的代价，选择一条最佳的路径，然后把数据帧沿这条路径发送给目标地址。4.1.4 传输介质 网络要求把各个独立的计算机连接起来的，这样就必然要求有一种介质将计算机连接起来，这就是传输介质，局域网的传输介质可分为有线介质和无线介质两种，一般情况下都是用有线介质的，因为它的稳定性高，连接可靠，无线介质只是在特殊环境下才使用的传输方式。常用的有线介质主要有以下几类。(1) 同轴电缆22同轴电缆以硬铜线为芯，外包一层绝缘材料。这层绝缘材料用密织的网状导体环绕，网外又覆盖一层保护性材料。同轴电缆有许多种不同的规格，最常用是细同轴电缆和粗同轴电缆。细同轴电缆主要用于建筑物内的网络连接，而粗同轴电缆则常用于建筑物间相连。它们的区别在于粗同轴电缆屏蔽更好，能传输更远的距离。同轴电缆是由中心导体、绝缘材料层、网状织物构成的屏蔽层以及外部隔离材料层组成，其结构如图3所示。图3 同轴电缆结构示意图 (2) 双绞线22双绞线是综合布线工程中最常用的一种传输介质。双绞线由两根具有绝缘保护层的铜导线组成。把两根绝缘的铜导线按一定密度互相绞在一起，可降低信号干扰的程度，每一根导线在传输中辐射的电波会被另一根线上发出的电波抵消，与其他传输介质相比，双绞线在传输距离、信道宽度和数据传输速度等方面均受到一定限制，但价格较为低廉。目前，双绞线可分为非屏蔽双绞线和屏蔽双绞线。 双绞线的结构如图4如示：图4 五类4对非屏蔽双绞线(3) 光纤22 光纤是一种直接为50100uM的柔软的、能传导光波的介质，一般由玻璃制造。光纤分为：传输点模数类分单模光纤(Single Mode Fiber)和多模光纤(Multi Mode Fiber)。单模光纤的纤芯直径很小，在给定的工作波长上只能以单一模式传输，传输频带宽，传输容量大。多模光纤是在给定的工作波长上，能以多个模式同时传输的光纤，与单模光纤相比，多模光纤的传输性能较差。光纤通信系统的基本构成如图5所示：图5 光纤通信系统的基本结构4.2 服务器 企业网中的服务器主有数据库服务器和代理服务器，数据服务器与代理服务器主要是面向企业网内部用户的服务，对来自Internet的用户服务也很多，主要是对企业网内部用户进行Internet代理服务。目前，绝大多数企业网都要求内部服务用户通过代理访问Internet，这样内部用户就不能直接访问Internet，同时代理服务器保存着内部用户访问Internet的日志，以作为记费的依据。由于用户数量非常大，也非常集口中，所以在选型代理服务器时，主要考虑的是要有较大的容量、较高的处理速度和较高的稳定性，一般来说都选用大型服务器作为代理服务器。4.3硬件系统结构硬件选择4.3.1网络接入层STAR-S210021系列交换机具有高安全特性，有效防御病毒和网络攻击，控制用户非法接入； STAR-S2100系列交换机可提供多种安全机制，如专家级ACL功能（可以对MAC地址IP地址VLAN号传输端口号协议类型时间ACL的任意组合）可以防止红色代码病毒、冲击波病毒；端口和MAC、IP绑定可以控制Synflood攻击；支持IGMP源端口检查，有效控制非法组播源，提高多媒体组播业务的正常运行证。种种安全策略的实施保证了数字图书馆全网的稳定、安全运行。（1）基于流的带宽限制保证网络发挥的最大效能STAR-S2100可以基于VLAN ID、用户ID、IP地址等多种分类方式为不同应用提供不同的接入服务策略。STAR-S2100的用户带宽控制技术采用了类似ATM的CBR方式，利用大容量的缓存为突发数据流整形，不但可以将带宽控制精确到Kbps级别，而且有效防止了突发数据包的丢失。STAR-S2100系列交换机均支持基于流的QoS策略，具备MAC流、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用以及不同应用所需要的服务质量特性提供服务，有效地保障了用户关键业务的高速运行。（2）接入层采用先进的堆叠技术，弹性扩展网络cisco的29系列可以堆叠在一起来使用。堆叠是通过集线器的背板连接起来的，它是一种建立在芯片级上的连接，如2个24口交换机堆叠起来的效果就像是一个48口的交换机，优点是不会产生瓶颈的问题。堆叠(Stack)和级联(Uplink)是多台交换机或集线器连接在一起的两种方式。它们的主要目的是增加端口密度。但它们的实现方法是不同的。简单地说，级联可通过一根双绞线在任何网络设备厂家的交换机之间，集线器之间，或交换机与集线器之间完成。而堆叠只有在自己厂家的设备之间，且此设备必须具有堆叠功能才可实现。级联只需单做一根双绞线(或其他媒介)，堆叠需要专用的堆叠模块和堆叠线缆，而这些设备可能需要单独购买。交换机的级联在理论上是没有级联个数限制的(注意：集线器级联有个数限制，且10M和100M的要求不同)，而堆叠各个厂家的设备会标明最大堆叠个数。多个设备级联会产生级联瓶颈。两个交换机通过堆叠连接在一起，堆叠线缆将能提供高于1G的背板带宽，极大地减低了瓶颈。在网络接入层选用的是锐捷网络系列千兆智能可堆叠交换机STAR-S2100系列。这个系列的产品都是全线速可堆叠千兆智能交换机，提供智能的流分类和完善的服务质量（QoS）以及组播管理特性，并可以实施灵活多样的ACL访问控制。S2100系列以极高的性价比为各类型网络提供完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足高速、安全、智能的企业网新需求。4.3.2网络会聚层（1）千兆干线、百兆交换到桌面；彻底解决带宽问题。汇聚层由锐捷网络STAR-S4909/S3550-12G全千兆路由交换机组成，负责接入层汇聚，提供高速无阻塞的链路到核心层，抑制广播风暴和分流核心数据处理压力等，可实施分布式三层，大大提升网络性能。（2）强大的组播支持能力。组播业务作为未来最具潜力的业务之一，得到了前所未有的重视。随着宽带技术的不断发展，FTP、HTTP、SMTP等传统数据业务已经难以满足人们对信息业务的需求，视频点播、远程教学、新闻发布、网络电视等业务将成为新一轮运营竞争的焦点。这类新型业务的特点是，由一个服务器（媒体流服务器）发布信息，接收端数量很大，可能成千上万个，而且具体数目不固定。强大的组播支持： 视频组播应用是目前高校多媒体教学和数字化企业的应用重点，企业网络对组播的支持能力是企业网建设要考虑的重点。汇聚交换机STAR-S4909提供多种组播支持技术，包括IGMP snooping、IGMP、PIM（SM、DM），DVMRP，保证了网络中提供组播服务时的带宽合理占用。（3）QOS服务质量保障。端到端的服务质量保证（Qos）：从核心到汇聚到接入系列智能交换机，能够自动识别数据类型，区别业务重要性，保证关键数据得到更高的网络带宽。提供多种流分类技术和多种QOS技术，包括SP、WRR、WFQ、WRED、CAR、HOL等，为各种应用的带宽保障提供需要的支持技术。4.3.3 网络核心层（1）主干可以升级至万兆万兆以太网采用了IEEE802.3以太网媒体访问控制（MAC）协议、IEEE802.3以太网帧格式，以及IEEE802.3帧的最大和最小尺寸。万兆以太网是以太网在速度和距离方面的进步，采用全双工技术，不需要应用低速的、半双工的CSMA/CD协议。在其他方面，万兆以太网保留了初期以太网模型的精髓，因而可以和现有以太网环境无缝融合，支持客户已有应用。RG-S6800系列交换机提供目前主流的三种万兆局域网传输标准：10GBASE-R、10GBASE-W、10GBASE-LX4，三种传输标准在数据链路层以上都相同，差别在于物理层。10GBASE-R用于传统的以太网环境，而10GBASE-W可与OC-192电路、SONET/SDH设备一起运行，保护传统基础投资，使运营商能够在不同地区通过城域网提供端到端以太网。10GBSE-LX4则使用WDM波分复用技术进行数据传输。用户数据量的大量增加，以及语音、视频多业务应用需求增加，再加上对网络安全性、可扩展性、高QoS保障等方面的日益增强和千兆到桌面的实现。另外，万兆产品价格的下调也是推动万兆产品成功应用的关键所在。在网络的核心层部署的是锐捷网络万兆核心骨干路由交换机RG-S6806。RG-S6806提供了冗余管理模块、冗余电源模块、各种模块热拔插等高可靠性功能，作为一款万兆骨干核心交换机，其背板宽带为256G，三层包转发速率可达143 Mpps，具备128个快速以太网端口、96个千兆光纤端口和8个万兆端口，为接入层提供高速无阻塞的路由交换。同时，RG-S6806通过千兆双绞线连接服务器集群。（2）协议支持丰富提供多种生成树协议，包括802.1D、802.1W、802.1S等协议，满足客户各种网络环境收敛需求；特色安全技术。（3）复杂功能硬件实现，做到板卡分布式处理19RG-S6806对全网的数据进行高速无阻塞的交换，将原有国外设备主要负责的路由交换任务平移到RG-S6806上，在RG-S6806上实现路由管理、网络管理、网络服务和核心数据处理等，RG-S6806超强的数据处理能力，支持负载均衡、冗于备份、QOS、ACL和策略路由等强大的功能，同