（模式识别与智能系统专业论文）基于web服务的网络管理的研究与实现.pdf

摘要 摘要 随着近年来我国企业信息化建设的发展，计算机网络逐步融入到企业的运作 中。通过搭建信息网络平台，可以实现企业内部资源共享，降低经营成本，提高 运作效率。对于一般的中小企业来说，依据信息资源规划的有关要点并借鉴诺兰 模型，可将企业信息化平台建设规划调整为3 个阶段：一期基础建设阶段物 理平台及主导业务管理系统建设；二期发展阶段信息资源网建设；三期完善 阶段电子商务平台建设。 依据一期基础建设阶段，许多中小企业架设了自己的局域网，如何管好现 有的网络，有效地调度、合理地配置资源并使现有的企业信息网络效益最大化 已经成了各个企业普遍关注的问题，这就对网络管理系统提出了新的要求。目 前流行的一些的网络管理产品，一类由于功能过于简单、单一，不适合目前企 业网的实际规模；另一类大型的企业级管理系统，则由于价格昂贵，而且附带 的各种成本太高，也不太适合在企业网中应用。因此，产生了对企业网信息化 建设过程中开发的一些具有独立功能的网络管理系统进行集成的需求。 w e b 服务的出现是w e b 技术发展的一次革命，它使得w e b 上的交互方式从 以信息为中心转化为以服务为中心，从而使各种应用集成更有效地被实现。 以前信息系统整合因为各个系统所采用的平台、编程语言及中间件的不同 而变得非常复杂和困难。随着w e b 服务的推出，通过将数据或应用进行封装、 整理成符合通用标准的w e b 服务；并通过网络动态地发现和集成，可以将分布 式的、异构的系统进行横向整合，实现各个应用之间无缝的链接。 课题中给出了企业内部网的构建方案，在搭建好网络硬件平台后，为了保 证企业内部网内信息运行顺畅，需要实时监测网络性能。于是本文探讨了开发 企业网络管理软件迫切性，其次对开发过程中涉及的t c p i p 协议进行了深入的 剖析，在此基础上，结合所要研究的目标，通过基于w i n p c a p 函数库实现了高 效的数据包捕获引擎，构造了合理的h a s h 函数，通过h a s h 算法建立t c p 联接 控制块，提高了i p 数据包跟踪的效率，而且实现了i p 数据包重组算法以及 h t t p 、f t p 、s m t p 等应用层数据的还原。基于以上网络监测关键技术本课题开 发了网络管理软件主要包括网络主机管理软件、网络流量监控软件、内部网用 户上网行为监控软件。最后将开发的网络主机管理软件、网络流量监控软件、 内部网用户上网行为监控软件与企业信息管理系统结合起来，即通过w e b 应用 系统来读取多个内部网管理应用系统里的信息，实现数据在多个系统的查询。 关键字：企业信息化；内部网络管理；w i n p c a p ；企业应用集成；w e b 服务； a b s t r a c t a b s t r a c t w i t ht h e d e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g yc o n s t r u c t i o ni no u rc o u n t r y ， c o m p u t e rn e t w o r kh a sb e e nm o r ea n dm o r ew i d e l yu t i l i z e di ne n t e r p r i s eo p e r a t i o n i n g e n e r a l ，a c c o r d i n gt oi n f o r m a t i o nr e s o u r c e sp l a n n i n ga n dt h er e l e v a n tp o i n t sf r o m n o l a nm o d e l ，e n t e r p r i s ei n f o r m a t i o np l a t f o r mc o n s t r u c t i o np l a nb ea d j u s t e dt ot h r e e s t e p s ：s t e po n ei n f r a s t r u c t u r e t h ep h y s i c a lp l a t f o r ma n dt h e l e a d i n g b u s i n e s s m a n a g e m e n ts y s t e m t h es e c o n ds t a g e - - c o n s t r u c t i o no fi n f o r m a t i o nn e t w o r k t h e t h i r ds t e p ：b u i l d i n ge - c o m m e r c ep l a t f o r m w i t ht h er a p i dd e v e l o p m e n to fi n f o r m a f i o n i z a t i o n ，a n dt h ee x p a n s i o no ft h en e t w o r k i ns i z e ，i ti sa r e q u i r e m e n tf o rn e t w o r km a n a g e m e n ts y s t e mt h a th o wt oa d m i n i s t r a t e n e t w o r kw e l l ，a r r a n g er e s o u r c e se f f i c i e n t l ya n dm a x i m i z eb e n e f i t s t h e r ea r et w ok i n d s o fp o p u l a rn e t w o r km a n a g e m e n tp r o d u e t s n o w a d a y s o n ek i n di sn o tf i tf o rt h e c a m p u sn e t w o r kb e c a u s eo fi t ss i m p l ef u n c t i o n ，t h eo t h e ro n ei sl a r g ee n t e r p r i s el e v e l n e t w o r km a n a g e m e n ts y s t e m d u et o h i g hc o s t ，i ti s n o ts u i t e df o rt h ec a m p u s n e t w o r k t h e r e f o r ei n t e g r a t i n gs o m ei n d e p e n d e n tf u n c t i o n so fn e t w o r km a n a g e m e n t s y s t e m si sn e e d e du r g e n t l yd u r i n gt h ep r o c e s so fc a m p u sn e t w o r ki n f o r m a t i o n i z a t i o n t h ea p p e a r a n c eo fw e bs e r v i c ei sar e v o l u t i o no fw e b t e c h n o l o g y i tc h a n g e st h ew a y o fi n t e r a c t i o no ft h ew e bf r o mi n f o r m a t i o n - o r i e n t e dt os e r v i c e o r i e n t e d ，t h u sf a c i l i t a t e s t h ee a ia m o n gd i f f e r e n ta p p l i c a t i o n s b e c a u s ea p p l i c a t i o np l a t f o r ma n dp r o g r a m m i n gl a n g u a g ea m o n ge n t e r p r i s e s a r e d i f f e r e n t ，a p p l i c a t i o ni n t e g r a t i o ni ne n t e r p r i s ei su s u a l l yc o m p l e xa n dd i f f i c u l t i ti s s u i t a b l ef o rw e bs e r v i c e s w ec a i lp a c k a g ek i n d so fa p p l i c a t i o n sa sw e b s e r v i c e s ，a n d t h e nd e p l o yt h e mi n t oi n t r a n e t n t e m e tw h e r et h e yc a nb ef o u n da n di n t e g r a t e d d y n a m i c l y , s oa st oi m p l e m e n tt h ei n t e r o p e r a b i l i t yb e t w e e np l a t f o r m sa n do p e r a t i o n s y s t e m s t h i st h e s i sg i v e st h ec o n s t r u c t i o no fe n t e r p r i s el a n p r o g r a m ，b u i l d i n gan e t w o r k w i t ht h eh a r d w a r e ，i no r d e rt oe n s u r ee n t e r p r i s ei n f o r m a t i o nn e t w o r kt oi u 1 1s m o o t h l y , i i i 北京工业大学工学硕士学位论文 w en e e dt od or e a l - t i m em o n i t o r i n go fn e t w o r kp e r f o r m a n c e f i r s t l yt h i st h e s i sp o i n t s o u tt h a td e v e l o p i n gn e t w o r kc o n t e n tm o n i t o rs y s t e mi sv e r yu r g e n t ；d oad e e p a n a l y s i so nt c p f l pp r o t o c 0 1 b a s e do nt h e s e ，l i n k i n go u rr e s e a r c ho b j e c t i v e s ，w ed e s i g n r e a s o n a b l es y s t e ms t r u c t u r ea n dp r o v i d e dk e yt e c h n o l o g i e su s e dd u r i n gs y s t e m r e a l i z a t i o n i tm o r ee f f e c t i v e l yr e a l i z e dd a t ap a c k e tc a p t u r ee n g i n eb yl i b p c a pb a s e d o nb p f , c o n s t r u c tl o g i c a lh a s hf u n c t i o n ，a n dr e s t a b l i s ht c pc o n t r o lb l o c kb yh a s h a r i t h m e t i c , w h i c hi n c r e a s et h et r a c k i n ge f f i c i e n c yo fi pd a t ap a c k e t f u r t h e r m o r ei t r e a l i z ei pd a t a p a c k e t r e c o m b i n a t i o n a l g o r i t h m a n d a p p l i c a t i o nl a y e r d a t a r e v i v i f i c a t i o no fh t t p 、f t p 、s m t p ；b a s e do nt h ea b o v en e t w o r km o n i t o r i n gk e y t e c h n o l o g i e st od e v e l o pn e t w o r km a n a g e m e n ts o t h v a r e ，i n c l u d i n gh o s t sm a n a g e m e n t s o f t w a r e ，n e t w o r kt r a f f i cm o n i t o r i n gs y s t e m ，m o n i t o rs y s t e ma b o u th o s t si nl a n a c c e s s i n gn e t w o r k f i n a l l y , i n t e g r a t i n gt h ei n f o r m a t i o no ft h et h r e el a n m o n i t o r s y s t e ma n di n f o r m a t i o nm a n a g e m e n ts y s t e m ，w ec a nr e a da n ds e a r c hd a t af r o ms u c h d e s k t o ps y s t e m st h r o u g ho n ew e bs y s t e mn o w k e yw o r d s ：e n t e r p r i s ei n f o r m m i o n ；i n t e r n a ln e t w o r km a n a g e m e n t ；w i n p c a p ； e n t e r p r i s ea p p l i c a t i o ni n t e g r a t i o n ；w e bs e r v i c e ； i v 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 签名：踔豇 日期：冱盟：趋 关于论文使用授权的说明 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 虢啦新虢塑趟嗍逻2 ：罗 第1 章绪论 第1 章绪论 由于计算机和信息技术的飞速发展，很多企业陆续开展了信息化建设，根据 企业中计算机应用现状和实际需求，建设信息化平台能够大大加强企业内部信息 沟通，提高工作效率。 1 1 课题背景及意义 当今社会上，信息化建设已逐渐成为企业塑造核心竞争力的关键因素之一。 一个企业若想在激烈的市场竞争中站稳脚跟谋求进一步发展，就应该充分地利用 信息技术。市场环境瞬息万变，当企业迅速收集有效信息后，只有将其系统化地 组织为信息资源流，传递给适当的部门或人员，处理分析后供相关部门做出恰当 的决策，最后才能将决策转换为有效企业产品在第一时间推入市场。充分利用企 业信息化的平台能够使企业敏捷的处理市场信息，提高企业核心竞争力。 1 1 1 建设信息化平台的背景及意义 企业规模效益理论和信息资源管理的实质内容决定了应当建立起一套完整 的信息化平台和企业的发展、变革相结合起来。 根据企业规模效益理论，企业达到一定规模程度后，其经济效益随着规模的 增大而增加必须满足专业化程度的提高、分工与管理的发展、新技术的运用等条 件。当企业规模的不断扩大，而运营组合受到运营技术或模式的限制时，内部机 制就会难以协调业务和管理活动，造成效率下降、成本增加，企业经济效益呈现 递减。 企业信息资源管理是企业信息的采集、处理、传输和使用的全面管理。信息 资源与人力、资金、物料、设备、场所等一样，都是重要的企业资源。信息资源 管理的目的是通过建立企业内、外信息流的沟通渠道和合理开发、利用信息资源， 来优化配置其它经济资源，提高企业的效益和竞争力。 我们认为现代信息网是通信网、计算机网、信息资源网的组合。通过搭建用 于信息网络平台的计算机通信网，可以实现企业内部资源共享，有效管理信息资 源，解决由于企业规模增大而带来的经济效益递减等问题，降低经营成本，提高 运作效率。 1 1 2 企业信息化平台建设的主要依据及完整规划 诺兰阶段理论【1 1 是美国哈佛大学教授理查德诺兰( r i c h a r dn o l a n ) 创立的， 是第一个描述信息系统发展阶段的抽象化模型。n o l a n 模型能够帮助组织识别其 所处的阶段，从而确立相应的发展战略，是战略信息管理的重要理论工具。诺兰 北京工业大学工学硕士学位论文 阶段理论认为，信息技术需要一定的时间和实践才能为企业所学习和吸收。 根据企业信息化演进的诺兰( n o l a n ) 模型，企业信息化过程分为六个阶段： 初装、扩展、控制、集成、数据处理和成熟。这是一种波浪式的发展历程，所以， 企业应采取滚动规划、逐步推进的原则，从个别部门的应用开始，待大部分部门 信息化比较成熟后，再考虑开展电子商务活动，从而实现全面信息化。 对于一般的中等企业来说，依据信息资源规划的有关要点并借鉴诺兰模型， 可将信息平台建设规划调整为3 个阶段： 一期基础建设阶段物理平台及主导业务管理系统建设。设计、改造与搭 建作为先导工程的通信网与计算机网，建立起信息平台的基础设施。 二期发展阶段信息资源网建设。信息资源网建立在计算机通信网之上， 同时又是各种应用系统的统一的信息平台，目的是实现企业内各部门的信息共 享，以及与公司外部客户、供应商和业务伙伴之间的信息互换。这一阶段的重点 是数据仓库的设计与建设。 三期完善阶段：电子商务平台建设。 1 2 问题提出 1 2 1 企业目前的现状 我国很多企业信息化水平一直还处在非常初级的阶段，有关统计表明，真正 实现了计算机较高应用的企业在全国1 0 0 0 多万中小企业中所占的比例还不足 1 0 幢3 。大多数企业还停留在利用互联网进行网上查询( 7 2 9 ) 、发布信息( 7 1 4 ) 阶段。然而，随着我国市场条件下企业竞争压力的不断加剧、企业组织管理观念 的变革以及业务流程标准化的不断完善，企业信息化建设的热情近几年来有了显 著的提高。企业要跟上信息化的步伐，要通过网络化支持和实现新的工作组织和 管理方式，实现信息资源的共享，首先要根据企业内部用户规模由单机环境发展 为多机环境，实现全部信息资源在机运行，其次应根据业务需求在应用上由一般 的文件处理发展到多任务和成为处理核心业务的工具，系统平台方面则要由主机 计算模式实现向网络计算的跨越。同时，在企业漫长的发展过程中，由于计算机 技术发展过程和企业其他客观条件的限制，多种c s 架构的系统在企业中同时并 存，采用的编程语言从v i s u a lf o xp o r 到v i s u a lb a s i c 到d e l p h i ，采用的数 据库从a c c e s s 数据库到v f p 数据库到s q ls e r v e r 数据库及o r a c l e 数据库等等。 同时随着互联网技术的飞速发展，基于b s 架构的系统也正被企业广泛地应用起 来了。这样在企业里就形成了多种架构系统同时并存但却各自为政的、信息不能 互通的尴尬局面。 第l 章绪论 1 2 2 目前网管软件现状 现在最流行的网络管理系统是h p 的o p e n v i e w 、i b m 的n e t v i e w 和c a b l e t r o n 的s p e c t r u m 。根据各自的面向对象和管理肿i z t ：厶匕i j v , 可将其分为三类口1 ： 第一类是简单系统。这些系统是针对一个具体问题的针对性解决方案，如在 多校区间实现i p 地址的统一管理或对某特定机机器的i p 地址绑定等。 第二类是l a n 管理系统。这些系统提供范围较广的功能性，它包括网络管理 系统和系统管理系统。这类管理系统的产品包括h p 的o p e n v i e w 、n o v e l l 的 m a n a g e w i s e 和m i c r o s o f t 的s y s t e m sm a n a g e m e n ts u i t s 。这类系统一般适用于 一个机房或在一个校区内的网络管理，如可以对用户的上网时间、权限控制、计 费管理等。 第三类是企业级管理系统，这类系统的典型代表是i b m 的n e t v i e w 和 c a b l e t r o n 的s p e c t r u m 。这些管理系统能在统一管理平台上实现包括应用管理在 内的网络、操作系统、数据库等多方面的管理。这类系统适用于多分支机构的大 型企业，可以对各校区的中心网络设备和重要的服务器进行全面的监控：如主要 网络接口的i p 地址管理，流量监控：重要服务器的内容控制，邮件过滤，防病毒 措施：实现网络负载平衡，通过网络管理冗余保证可靠性：网络故障的监控、响应 和处理方法等。 第一类系统功能过于简单，不适合于目前中小企业信息网络的规模。 第二类系统但作用范围相对扩大了，但是对于目前企业网对网络管理的需求 来看功能仍显单一。 第三类系统功能比较全面，适合于大型企业的网络管理，可以基本满足方方 面面的需求。但是，如果将它应用在目前的企业网，也会带来很多问题。首先， 就是费用问题，像这样的大系统，动辄几十万元，对小型企业的承受能力是一个 考验。其次，作为一个成熟的产品，它的安装和使用必然有它自己的规范，比如 机器的配置，还有配套的软件平台这又将是一笔不小的开销。而且，一旦采用了 新系统，必将抛弃原来花费了大量人力物力开发的一些具有独立功能的网管软 件，这也造成了极大的浪费。而且还需要时间和精力去培训管理人员熟悉新的系 统，等等诸如此类的问题，因此，在企业网中全面采用大型网管系统，无异于削 足适履，造成极大的浪费。 又如某企业现有网络管理软件包括企业内部网络管理软件：网络主机管理系 统、网络流量监测系统、内部网上网行为监控系统共3 个业务系统。网络主机管 理系统可以对i p 地址资源的合理分配、合法使用、违规制裁等方面进行有效管 理。可以对物理网段或任意划定的地址范围内的i p 地址资源进行全面监控。网 络流量监测系统是监测网络上的i p 流信息。利用采集到的流量信息进行网络规 划，网络管理，流量计费和病毒检测等等。内部网上网行为监控系统主要监控员 北京工业大学工学硕士学位论文 工的上网行为，包括浏览网站监控，f t p 监控等。虽然这些系统都有相对独立的 功能，但是对于一个网络管理员来说，如果他想查看某台p c 机价格，出厂日期、 它目前的实时信息以及发现问题后通知相应的负责人。首先他必须登陆到网络主 机管理系统查看这台p c 机的静态信息，然后根据静态信息中的i p 地址信息再登 陆到网络流量管理系统中查找相关设备的实时信息，最后必须登录到企业的企业 信息管理系统，找到此设备的维护负责人，通知他进行维护。这样，感觉不是信 息为用户提供服务，而是用户为了找信息而手忙脚乱。这个问题，其实提出的就 是“信息集成”的需求。多个系统数据的交叉使用，很容易造成数据的不一致性， 为了减少甚至避免这个问题，需要一个能实现规范化业务管理、进行数据整合和 数据挖掘、在信息安全和应用集成上满足需要的数字化平台，从而需要利用此平 台进行数据交换，实现信息资源共享。 1 。2 3 多种应用系统的集成 企业应用集成( e a i ) 是近年来信息技术发展的一个主要方向之一，在国内也 得到一个集成的开放的，面向企业网用户的具有柔性的i t 支持系统，因此普遍 需要考虑应用系统的整合问题。特别是现在大部分企业网应用系统开始w e b 化和 面向过程化，需要一个开放的应用集成系统，把原有的一些应用低代价，方便高 效的连接起来。目前国际上一些成熟的e a i 产品有m i c r o s o f tb i zt a l k s e r v e r ， b e aw e b l o g i ci n t e g r a t i o n ，以及i b mm q s e r i e s 等，这些产品的高成本和专有 特性决定了他们不适合在企业网级别的管理系统的集成中应用。 w e b 服务是一种构建面向服务架构的分布式计算技术皿刳。本质上，w e b 服务 是一种自描述、模块化、自包含的应用程序，采用基于开放的标准，支持基于 x m l 接口定义、发布和发现。开放标准的采用使得w e b 服务具有很好的互操作性， 允许任何企业采用任何编程语言在任何平台上开发松耦合的应用部件，从而通过 适当的服务组合支持i n t e r n e t 上异构的企业应用集成( e n t e r p r i s ea p p l i c a t i o n i n t e g r a t i o n ，e a i ) 。但是，对于目前已经存在的一些组合w e b 服务的方法，总 是存在这样或者那样的不足，并不能在实际应用领域中得到广泛的应用。在电子 商务日益发达的今天，如何最大化企业的效益是一个非常严峻的问题。作为一个 崭新的分布式计算模型，w e b 服务成为电子商务的有效解决方案，是w e b 上数据 和信息集成的有效机制。在现有技术条件下，最大程度上利用w e b 服务的优势来 提升企业的核心竞争力，已经成为一个非常热点的研究课题。 1 3 本文研究内容 根据典型企业网络建设需求，建设企业内部信息网络物理平台结构图。对数 据包捕获驱动w i n p c a p 进行了深入的研究，主要包括对b p f 、l i b p c a p 体系结构、 n p f 、w i n p c a p 的体系结构、包捕获驱动机制、数据的过滤以及读写进程等进行 第1 章绪论 了深入的研究。在以上网络检测技术基础上开发出企业内部网络管理软件：网络 主机管理系统、网络流量监测系统、内部网用户上网行为监控系统共3 个业务系 统。本文还分析了一种基于w e b 服务技术的e a i ( 企业应用集成) 方案，我们充分 研究了企业应用集成的各种传统的实现技术并比较了各种技术的优劣，注意到新 兴的w e b 服务技术和架构为企业应用集成技术注入了新鲜的血液和动力，运用 w e b 服务技术来实现分布式企业应用集成系统将有助于解决在网络中心信息化建 设中的信息孤岛问题，克服传统的企业应用集成技术所带来的新的信息孤岛。为 此，我们研究并实现了一种基于w e b 服务的网络管理集成解决方案，将各个企业 内部网络管理软件集成到企业信息管理系统中。 1 4 本文的组织结构 论文的后续章节按以下方式组织： 论文的第二章就企业内部网络结构进行了分析，设计出企业内部局域网络拓 扑结构，配置了网络环境，同时引入虚拟局域网和网络防火墙等技术手段保证局 域网内信息流通的快速性与安全性。 在构建起网络硬件环境之后，第三章主要设计了企业内部网络管理软件，包 括网络主机管理软件，网络流量监控软件和内部网络行为监控软件。 第四章，对目前典型的四种e a i 技术进行分析研究，并指出它们的不足之处。 第五章，基于w e b 服务的网络管理的集成方案设计与实现。将网络主机管理 软件，网络流量监控软件和内部网络行为监控软件集成到企业信息管理系统中。 实现了对网络主机管理软件，网络流量监控软件和内部网络行为监控软件的集 成。 北京工业大学工学硕士学位论文 第2 章企业内部网络架构方案设计 2 。1 网络规划及需求分析 硬件体系、网络协议及软件是网络发展的基础，也是网络建设的重点。建网 初期，要根据网络建设原则进行网络规划。为使网络规划经得起考验，在规划中 应对软硬件体、网络协议系等核心因素做充分论证。在确定建网方向时，要面向 应用，面向需要，充分利用现有资源，结合应用和需求的变化，设计相应的方案。 2 1 1 网络方案设计的原则 在规划建设企业信息网络平台时，要遵循以下原则： 先进性。技术上的先进性将保证处理数据的高效率、系统工作的灵活性、 网络的可靠性，技术上的先进性也使系统的扩充和维护变得十分简单。 可靠性。采用网络骨干线路和网络新设备的冗余备份，电源冗余备份等冗 余措施，保证信息网络的可靠性。 开放性和可扩充性。主干网络设备的选型及模块、插槽数量、管理软件和 网络整体结构，以及开放性和对相关协议的支持等方面，保证网络系统的 开放性和可扩充性。 管理性。网络管理基于s n m p ，并支持r m o n 标准的m i b 。图形化的管 理界面和简洁的操作方式、合理的网络规划策略，提供了强大的网络管理 功能。一体化的网络管理使网络日常的维护和操作变得直观、便捷和高效。 安全性。内部网络之间、内部网络与外部公共网之间的互联，利用v l a n 、 a c l 、防火墙等访问进行控制，确保网络的安全。 实用性。网络系统的设计在性能价格比方面充分体现系统的实用性，既要 采用先进的技术，又能在经费允许的条件下实现建网目标。 2 1 2 需求分析 中等企业所拥有的员工数量一般在百名以上、千名以下。企业中不同部门的 员工分散在多个办公室内工作，办公室内配有各种数量不同、配置不同的工作终 端。企业需要一个功能完善的局域网用来实现内部信息和资源的共享。 在完成局域网基本功能的同时还需要加强企业网络安全性能，使其具有抵御 局域网来自各方面安全隐患的能力。例如，有些部门内部数据要求极高的保密性， 还有些部门对网络数据存储的依赖较大，因此需要对这些数据做好备份并且科学 合理地设计好网络存储器的冗余设备。 以较低的成本组建局域网对于大多数各种规模的企业都是重点考虑的问题， 第2 章企业内部网络架构方案设计 因此在选择局域网组建方案、选择网络设备时需要多方面考查，在保证网络性能 良好的基础上争取最高的性价比。 最后，有潜力的企业在不久的将来会进一步扩张业务，扩大规模，因此，为 这样的企业设计网络结构时应时刻考虑到将来整个局域网性能的升级，尽量选择 模块化方案及产品，减少升级网络系统时所带来的支出。 现有具体需求描述：企业内部需要联网的节点数为2 0 0 点，信息点分布在1 - 3 楼，网络中心设在一楼，大楼主干采用光纤布线，在1 楼和3 楼设楼层配线架。企 业主要包括技术部、财务部、销售部等，部门间需要划分v l a n 进行隔离，企业 主要应用为内部文件共享、企业信息管理系统，对外提供邮件和网站服务等。企 业总部申请一条d d n 专线，接入当地i s p ，用于i n t e m e t 接入，同时该线路也用于 和总部的v p n 连接；外地分支机构申请一条a d s l 连接，拨号接入i n t e m e t ，同时 该线路也和总部的v p n 连接。 2 1 3 系统目标 根据上述需求，对企业网络信息平台的建设确定了如下目标： 根据计算机分布的实际情况确定性价比最高的网络连接类型，合理布线， 实现所有计算机的联网，并且预留出一定的端口，方便网络的扩充。 建立虚拟局域网( v l a n ) 以加强企业关键部门的安全性能。 建立基于w i n d o w s2 0 0 3s e r v e r 的网络服务器，保证所有计算机网络切换 和资源共享快捷方便。 建立邮件服务器，以方便内部人员的沟通、交流和合作。 提供与i n t e r n e t 高速快捷的连接访问。 2 2 网络架构分析与设计 2 2 1 相关设备的概述 为了实现网络设备的统一，本设计方案中完全采用同一厂家的网络产品，即 c i s c o 公司的网络设备构建。对于c i s c o 的产品划分，v l a n 主要是基于两种标 准协议：i s l 和8 0 2 1 q 。在我们这里，因为所采用的均是c i s c o 的网络设备，故 在进行v l a n 间的互连时采用d o t l q 的协议封装，该协议针对c i s c o 网络设备的 硬件平台在信息流的处理、多媒体应用等方面进行了合理有效的优化。在此中小 型企业网中，全网使用同一厂商设备。其好处在于可以实现各种不同网络设备功 能的互相配合和补充。 2 2 2 企业内部网络拓扑结构设计 星型树状的网络拓扑结构是般局域网、园区网、广域网建设的最佳选择。 北京工业大学工学硕士学位论文 星型网络拓扑结构简单，管理集中于网络中心，可以保证网络的安全性和易维护 性，有效地降低网络的建设和管理成本。当前广泛采用的设计模式是：- - 个设计 层次、星形连接、树状结构。网络示意图如图2 1 所示。 图2 - 1 网络示意图 f i g 2 1s k e t c hm a po f n e t w o r k 2 3 应用的主要技术及说明 2 3 1 三层交换及v l a n 技术 在企业网络刚刚兴起之时，由于企业网络规模小、应用范围的局限性、对 i n t e m e t 接入的认识程度、网络安全及管理的贫乏等原因，使得企业网仅仅限于 交换模式的状态。交换技术主要有两种方式：基于以太网的帧交换和基于a t m 的 信元交换，l a n 交换机的每一个端口均为自己独立的冲突域，但同时对于所有 处于一个i p 网段的网络设备来说，却同在一个广播域中，当工作站的数量较多、 信息流很大的时候，就容易形成广播风暴，甚者造成网络的瘫痪。在采用交换技 术的网络模式中，对于网络结构的划分采用的仅仅是物理网段的划分。这样的网 络结构、从效率和安全性的角度来考虑都是有所欠缺的，而且在很大程度上限制 了网络的灵活性，如果需要将一个广播域分开，那么就需要另外购买交换机并且 要人工重新布线。但是，进行虚拟网络设置后就不需要另外购买交换机了。 第2 章企业内部网络架构方案设计 一个好的企业网设计应该是一个分层的设计。为了简化交换网络的设计、提 高网络的可扩展性，在企业网内部数据交换模块的部署是分层进行的。中小型企 业网数据交换设备可以划分为三个层次：接入层、汇聚层、核心层。传统意义上 的数据交换发生在o s i 模型的第二层。随着科技的进一步发展，现代交换技术还 实现了第三层交换和多层交换。高层交换技术的引入不但提高了企业网数据交换 的效率，更大大增加了企业网数据交换服务质量，满足了不同类型网络应用程序 的需要。 在现代的企业网中，大都引入了虚拟局域网( v i r t u a ll a n ，v l a n ) 的概念。 v l a n 将广播域限制在单个v l a n 内部，减少了多个v l a n 间v l a n 主机的广 播通信对其它v l a n 的影响。在v l a n 间需要通信的时候，可以利用v l a n 间 路由技术来实现。随着企业规模的不断扩大，一个企业网的工作站就不断增加。 这时网络管理人员需要的交换机数量就增加，这时我们就可以使用v l a n 中继 协议( v l a nt r t m k i n gp r o t o c o l ，v t p ) 简化管理。通过中继协议，只需在单独一台 交换机上定义所有v l a n 。然后通过v t p 协议将v l a n 定义到本管理域中的所 有交换机上。这样，就可以大大的减轻网络管理人员的工作负担和工作强度。 当企业的规模扩大到大型网络时，即交换机的数量和交换机间的链路增加 时，交换网络的复杂性可能会造成交换网络的环路问题，这需要通过在各交换机 上运行生成树协议( s p a n n i n gt r e ep r o t o c o l ，s t p ) 来解决。在这里就不多做解释了。 在一个规模较大的企业中，其下属有多个二级单位，在各单位的孤立网络进 行互连时，出于对不同职能部门的管理安全和整体网络的稳定运行，我们进行了 v l a n 的划分。 v l a n 对于网络用户来说是完全透明的，用户感觉不到使用中与交换式网络 有任何的差别，但对于网络管理人员则有很大的不同，因为这主要取决于v l a n 的几点优势： 对网络中的广播风暴的控制，提高网络的整体安全性，通过路由访问列表、 m a c 地址分配等v l a n 划分原则，可以控制用户的访问权限和逻辑网段的大小。 对于v l a n 的划分则有以下四种策略： ( 1 ) 基于端口的v l a n 基于端口的v l a n 的划分是最简单、最有效的v l a n 划分方法。该方法只 需网络管理员针对于网络设备的交换端口进行重新分配组合在不同的逻辑网段 中即可。而不用考虑该端口所连接的设备是什么。 ( 2 ) 基于m a c 地址的v l a n m a c 地址其实就是指网卡的标识符，每一块网卡的m a c 地址都是唯一的。 基于m a c 地址的v l a n 划分其实就是基于工作站、服务器的v l a n 的组合。 在网络规模较小时，该方案亦不失为一个好的方法，但随着网络规模的扩大，网 络设备、用户的增加，则会在很大程度上加大管理的难度。 北京工业大学工学硕士学位论文 ( 3 ) 基于路由的v l a n 路由协议工作在七层协议的第三层：网络层，即基于p 和i p x 协议的转发。 这类设备包括路由器和路由交换机。该方式允许一个v l a n 跨越多个交换机， 或一个端口位于多个v l a n 中。 ( 4 ) 基于策略的v l a n 基于策略的v l a n 的划分是一种比较有效而直接的方式。这主要取决于在 v l a n 的划分中所采用的策略。就目前来说，对于v l a n 的划分主要采用l 、3 两种模式，对手方案2 则为辅助性的方案。v l a n 的划分设计之后，所涉及的就 是v l a n 划分的最后一步：v l a n 间的互连。在以前对v l a n 的互连主要是通 过路由器来实现的，但随着网络规模的扩大、信息量的增加，路由器无论是从端 口数还是系统性能上来说都已经不堪负荷，因此逐渐形成了产生网络瓶颈的主要 原因。而在现在，因为有了基于交换机上的三层路由的能力，以上的问题就可以 解决。 2 3 2n a t 技术 在此网络设计方案中还采用了n a t 技术。n a t 烈e t w o r ka d d r e s st r a l l s l a t i o n ) 顾名思义就是网络p 地址的转换。n a t 的出现是为了解决i p 日益短缺的问题， 将多个内部地址映射为少数几个甚至一个公网地址。这样，就可以让我们内部网 中的计算机通过伪p 访问1 1 1 t e m e t 的资源。网络地址转换( n a t ) 是一个i m e m e t 工程任务组( n t e m e te n g i n e m n gt a s kf o r c e ，i e t f ) 标准，用于允许专用网络上的 多台p c ( 使用专用地址段，例如1 0 0 x x 、1 9 2 1 6 8 x x 、1 7 2 x x x ) 共享单个、全 局路由的i p v 4 地址。i p v 4 地址日益不足是经常部署n a t 的一个主要原因。 w i n d o w sx p 中的“1 1 1 t e m e t 连接共享 及许多1 1 1 t e m e t 网关设备都使用n a t ，尤 其是在通过d s l 或电缆调制解调器连接宽带网的情况下。除了减少所需的i p v 4 地址外，由于专用网络之外的所有主机都通过一个共享的口地址来监控通信， 因此n a t 还为专用网络提供了一个隐匿层。 在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外 出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通 过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部 网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是 通过一个开放的i p 地址和端口来请求访问。防火墙根据预先定义好的映射规则 来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受 访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防 火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络 地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常 规操作即可。 第2 章企业内部网络架构方案设计 2 3 3 防火墙技术 防火墙是网络的重要安全技术之一，其主要作用是在网络入口点检查网络通 讯，根据客户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通 讯。通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子网中主机 的风险。 防火墙对企业内部网实现集中的安全管理，在防火墙定义的安全规则可以运 用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。如在防 火墙可以定义不同的认证方法，而不需在每台机器上分别安装特定的认证软件。 外部用户也只需要经过一次认证即可访问内部网。 在本设计中主要采用p i x 5 1 5 e 防火墙，将企业内部网和服务器组分别置与 p i x 5 1 5 e 防火墙的i n s i d e 端口和d m z 端口相连接，防火墙的o u t s i d e 端口连接 i s p 的i n t e m e t 接入。在p i x 防火墙上激活网络入侵检测i d s 系统，提供对多个 网络的入侵检测，一旦发现网络中存在攻击行为或非正常数据包，防火墙将会报 警并且在l o g 中留下记录。 主要使用了防火墙的访问控制列表( a c l ) 、配置v p n 服务、