单位组网实施方案设计.doc

单位组网方案设计 i i 摘摘 要要 随着计算机技术和互联网技术的不断发展 网络对单位显得越来越 重要 单位用网络实现办公的网络化和信息处理的同步化 单位组网的 出发点是 高效 实用 灵活 可扩展 安全 基于这些原因和单位实际条件 网络拓扑采取星型 硬件采取中档 次 以兼顾以后的网络扩展 由于单位用户比较多 带宽要求高 因此 采取光纤接入 Internet 内网的机器上网采用 NAT 技术 对路由器进 行 NAT 配置后 内网的所有机器通过这种方法上网 在外网看来都使用 同一个 IP 地址 这样有利于保护内网用户的安全 内网各部门通过与 中心交换机相连上网 另外 在单位内部架设 WEB 服务器 FTP 服务器 EMAIL 服务器 DNS 服务器 并且通过路由器的端口映射使得外网的计 算机可以登录该单位的网站进行访问 从而实现单位办公的网络化 在 安全方面 考虑使用专门的防火墙成本太高 我选择带有防火墙和防止 DOS 攻击功能的路由器 配置之后明显较安全 另外每个机子都装有杀 毒软件 这样基本上能实现单位所有机器的互连和访问 并且所有机器 都连入 Internet 达到单位的要求 但是由于技术和条件的限制 设 计不够完美 有待该进 关键词关键词 路由器 服务器 交换机 网络安全 防火墙 双向 NAT 单位组网方案设计 i ii 目目 录录 摘 要 i 目 录 ii 第一章 绪 论 1 第二章 系统设计原则和需求分析 2 2 1 系统需求分析 2 2 2 系统设计原则 3 第三章 系统设计总述 6 3 1 可扩充性和易维护性 6 3 2 开放性 6 3 3 采用 INTRANET技术 6 3 3 1 功能 7 3 3 2 特点 8 3 3 3 设计与实现 9 3 4 采用 VLAN 技术 11 第四章 单位网络规划及建设 14 4 1 主干网网络技术选型 14 4 2 网络产品选型 14 4 2 1 核心交换器 14 4 2 2 路由器的选择 16 4 2 3 二层交换器的选择 17 4 2 4 网卡的选择 18 4 2 5 服务器的选择 18 4 3 某单位网络方案叙述 单位组网方案设计 i iii 21 第五章 配置及运行 25 5 1 路由器配置清单 25 5 2 核心交换机及基层交换机的 VLAN 划分 25 5 3 客户端配置清单 26 5 4 路由器的 NAT 及端口映射配置 26 5 5 单位路由器与核心交换机连通性测试 27 5 6 远程客户机与服务器的连通性测试 27 5 7 内部用户之间连通性测试 28 5 8 Vlan 之间互访 29 第六章 方案分析 30 第七章 总 结 31 致 谢 32 参考文献 33 单位组网方案设计 i iv 第一章第一章 绪绪 论论 随着计算机技术 网络技术的迅猛发展 计算机网络与人们工作和 生活的联系越来越紧密 特别是随着以 INTERNET 为代表的全球性信息化 浪潮的日益高涨 网络技术的应用研究正日益普及和深入 应用领域从传 统的小型业务系统逐渐向大型的关键业务系统扩展 电子邮件 IP 电话 网络查询和浏览 以及电子商务技术的迅速 发展 网络正在成为现代社会正常运转不可或缺的部分 然而 网络在 给人们带来种种益处的同时 也向人们提出了挑战 这就是网络安全的 问题 电子邮件可能被偷看 商业机密可能被窃取 政府网站可能被恶 意修改等 安全日益成为影响网络效能的重要因素 而 INTERNET 所具 有的开放性 国际性和自由性在增加应用自由度的同时 对网络安全提 出了更高的要求 Internet 自身协议的开放性极大地方便了各种计算 机连网 拓宽了共享资源 但是 由于在早期网络协议设计上对安全问 题的忽视 以及在管理和使用上的无政府状态 逐渐使 Internet 自身 安全受到严重威胁 与它有关的安全事故屡有发生 网络安全的威胁主要为 非授权访问 冒充合法用户 破坏数据完 整性 干扰系统正常运行 利用网络传播病毒 线路窃听等方面 所有 这些都是网络存在的安全隐患 Internet 不但具有丰富的信息资源 而且为了方便信息的访问 传输和共享 已经研究并开发了各种技术 设计与实现了各种信息访问 的工具 为用户的网络访问和信息交流提供了最简便的方式 除此之外 越来越多的新技术不断出现在 Internet 上 如 基于 WWW 的搜索技术 语音通信技术 视频点播技术 三维动画技术与 VRML Java 技术 网络安全技术等 本文只是以单位内部规模为蓝图 所设计的网络组网方案只针对单 位的实际情况而设计的 是从网络组网安全方面着手规划设计组网 单位组网方案设计 i v 第二章第二章 系统设计原则和需求分析系统设计原则和需求分析 2 12 1 系统需求分析系统需求分析 设计一个网络 首先要确定用户对网络的真正需求 其中包括分析 原有网络现在面临的主要问题 并找出新的用户需求和未来的发展可能 在此基础上设计选择合适的网络结构和网络技术 建设满足需求的网络 我模拟的是一个集研发与销售为一体的单位 图 2 1 是该单位各部 门地理分布图 图 2 1 单位建筑分布图 该单位具有网络中心 策划部 行政部及研发中心 并且各个部门 分散在不同的办公楼内 其中行政部分布在行政楼和办公楼两个建筑内 其中网络中心大概有 60 台客户机 其他各部门的客户机数量均在 20 台 左右 随着该单位业务量的不断提高 对网络的要求也越来越高 单位 领导对新建的网络有以下要求 单位组网方案设计 i vi 1 光纤千兆主干连接办公楼 网络中心 行政楼 策划部及研发中心 2 采用超 5 类双绞线系统连接各楼楼层网间设备与用户信息设备 使 计算机信息传输时达到千兆速率 3 各布线系统符合交互式网络环境需求 支持多媒体传输及局部科研 应用 4 光缆铺设利用现有管道直埋式铺设 楼内信息干线采用 PVC 线槽 线管铺设 5 整个网络采用先进的网络结构 以满足传输 存储和分散办公的需 要 6 和 Internet 接通 7 满足网上的集成系统和业务系统的需求 8 完整统一的系统管理平台 9 经济实用性 设备的选型应有最优的性能价格比 以最省的投资实 现尽可能多的功能 2 22 2 系统设计原则系统设计原则 设计一个网络 首先要确定用户对网络的真正需求 其中包括分析 原有网络现在面临的主要问题 并找出新的用户需求和未来的发展可能 在此基础上设计选择合适的网络结构和网络技术 建设满足需求的网络 随着该单位管理水平的不断提高 网络会发挥越来越重要的作用 此外 未来的一些新的应用也对网络提出了支持多点广播的要求 为确 保该单位网建设和应用的成功 对网络方案的设计大致可归纳出以下的 需求 1 高带宽 为了确保某单位网络既要满足目前的业务需求 又要充分考虑未来 的发展 为此应选用高带宽的先进技术 单位组网方案设计 i vii 2 高可靠性 网络系统应具有高可靠性 高安全性 具体到本项目中 要求采用 可靠性较高的产品和网络架构 在物理层 数据链路层和网络层等多个 层次都有相应的技术 以最大程度的保证网络的正常运转 3 Qos 保证 当今网络中多媒体的应用越来越多 这类应用对服务质量的要求较 高 新的网络系统应能保证 QoS 以支持这类应用 4 多协议支持 由于网络将要存在不同的业务和办公应用系统 并基于不同的网络 协议 所以网络系统应能支持多种协议 TCP IP SNA Netbios 等 是一个开放型的网络 支持各种协议的互连 5 易管理 易维护 由于该单位网的网络系统比较分散 需要网络系统具有良好的可管 理性 网管系统具有监测 故障诊断 故障隔离 过滤设置等功能 以 便于系统的管理和维护 同时应尽可能选取集成度高 模块可通用的产 品 以便于管理和维护 6 安全性 网络系统应具有良好的安全性 要充分的保证网络的安全性 应该 根据相应的管理制度和网络策略制定一套完善的安全政策 基于此安全 政策 采用合适的技术手段 以达成目标 保证系统的安全性 7 可扩展性和可升级性 系统要有可扩展性和可升级性 随着业务的增长和应用水平的提高 网络中的数据和信息流将按指数增长 需要网络有很好的可扩展性 并 能随着技术的发展不断升级 8 符合国际标准 选用符合国际标准的系统和产品 可以保证系统具有较长的生命力 和扩展能力 满足将来系统升级的要求 单位组网方案设计 i viii 9 另外 还有如下几个方面的需求 1 整个网络系统分布相对较广泛 2 整个网络采用先进的网络结构 以满足传输 存储和分散办 公的需要 3 满足网上的集成系统和业务系统的需求 4 完整统一的系统管理平台 单位组网方案设计 i ix 第三章第三章 系统设计总述系统设计总述 该单位网是一个比较复杂的网络系统 它具有计算机节点分散特点 所以对于计算机系统的处理能力 网络通讯能力及系统可靠性要求也就 很高 该单位网的建设方案中 我采用了许多国际上最先进的网络技术 和设备 能为该单位网的建设提供最完善的解决方案 3 13 1 可扩充性和易维护性可扩充性和易维护性 网络建设是一个连续的过程 要有良好的可扩充性和易维护性 为了适应该单位规模的不断发展 网上应用需求的日益增多 系统 除预留的较充裕的性能余量外 还要拥有简单易行的扩充升级能力 满 足未来的应用需要 系统可扩充性包括硬件系统的可扩充性和应用软件系统的可扩充性 两个部分 1 硬件系统的可扩充性 可以保证系统将来可以连接更多的计算机用户提供更多的网上服务 以及保证将来规模和应用量显著增加时 设备能平滑地适应系统操作要 求 或能够通过设备升级方式保证系统的正常运行 2 软件可扩充性 是指应用软件系统可以适应将来的系统的扩展和信息量的扩大 如 历史数据的累加 数据资料的增多等 3 23 2 开放性开放性 选用开放的硬件和软件平台 以满足与其它系统互联 目前和今后 单位规模扩大的需求 由于系统互连全部采用国际标准的网络层通讯 协议 TCP IP 所以具有很好的开放性 因为所有的主机系统生产厂商 都努力使自己的产品遵循 TCP IP 标准 所以可以很方便地实现多种主 机的互连 单位组网方案设计 i x 3 33 3 采用采用IntranetIntranet技术技术 下面我们大致来了解一下 Intranet 技术 计算机网络技术的发展大体上经历了三个阶段 一是以 Mainframe 为中心的集中处理式网络 即主机 终端模式 二是以 Client Server 模式为中心的分布式计算处理网络系统 即客户 服务器模式 三是目前 正兴起的 Intranet 模式 它是以基于 Internet 的技术为特征的 企业内部网 Intranet 不是一种产品 而是一种思想和概念 它利用 业已成熟而广泛采用的 Internet 技术 以 TCP IP 协议为基础 以 Web 为 核心应用 构成统一和便利的信息交换平台 用户通过 WWW 的工具能方 便地浏览企业内部和 Internet 上丰富的信息资源 并且可将电子邮件 电子新闻 电子表格和各种数据库应用等系统集成到浏览器界面中 同 时又 能够较好地与传统的 C S 系统相融合 使传统应用平滑地过渡到 Intranet Intranet 自近几年出现以来 受到了广泛关注 取得了迅速发展 给 企业带来众多益处 它与传统的企业管理信息系统相比有很多优点 其 最大的好处在于企业内外部的信息交流 不仅减少了通信联络费用 还加 强了管理 提高了工作效率和质量 改进了客户服务质量 提供了新的商 业机会 改进了决策手段 使得 Intranet 大有取代传统的企业内部管理 系统之势 3 3 13 3 1 功能功能 Intranet 的功能有许多 但最基本的可归纳为以下几种 1 文件传送功能 该功能是基于 FTP File Transfer Protocol 协议的 网络上的两 台计算机无论地理位置如何 只要它们都支持 FTP 则网上用户可将需要 的文件在两台计算机之间进行传送 使用 FTP 几乎可以传送任何类型的 正文文件 二进制文件 图像文件 声音文件和数据压缩文件等 单位组网方案设计 i xi 2 信息发布功能 企业信息的发布 如电话号码 企业法规 工作计划和有关文件等 可以存储在 Web 服务器上供企业内部客户或授权的外部客户 通过浏览 器方便地查询 这些信息是以 HTML 页面方式发布的 3 电子邮件 E mail E mail 是一种通过计算机网络与其它用户进行联系的快速 简便 高效和廉价的现代化通信手段 在世界范围内得以普遍采用 它采用 存 储转发 方式传送电子信件 邮件服务器充当 电子邮箱 在网上建有账 号的 PC 机通过 电子邮箱 收发电子信件 非常方便 4 用户与安全管理 根据具体情况建立用户组 用户组由若干个用户组成 可以对不同的 用户组或用户设置不同的访问权限 以达到对各种信息的访问权限进行 控制的目的 对于需要在传输中保密的信息 还可以采用加密技术和手段 保 护信息提供者的利益 5 网络新闻服务 运用新闻讨论组 广告栏或群组讨论软件 企业内部的网络用户可以就 共同关心的问题相互交换意见 充分沟通 每个用户可以自由地向网上 发送自己的文章或信息 阐明自己的观点或提出问题 在信息社会中 这 种交流有利于企业获得更多的商业机会和商品信息 也有利于促进企业 管理 提高生产力和增强竞争能力 6 数据处理与查询 通过 WWW 的某些技术 实现 Web 服务器与数据库系统的连接 完成对 数据的处理与查询 用户可以通过操作简单易用的浏览器来查询所需要 的数据 声音和图像信息 3 3 23 3 2 特点特点 Intranet 之所以在世界范围内为众多用户接纳 是因为它有一系列 优势 与传统的管理信息系统相比有许多不同之处 归纳起来其主要特点 单位组网方案设计 i xii 如下 1 它的协议和标准是公开的 它不局限于任何硬件平台和操作系统 用 HTML Java 和 JavaScript 开发的应用 可以简单地移植到任何平台 上 所以跨平台性是 Intranet 最重要的特性 2 支持多媒体信息 数据 声音 图形和图像等多种信息 通过标 准浏览器显示出来 界面统一 友好且简单易用 从而减轻了培训的工作 量 减少了培训费用 3 由于 HTML 简单易用 因此客户通过浏览器存取信息 文件容易共 享 传递信息快速 准确 4 由于 Intranet 的建立 维护和教育培训费用相对低廉 因此采用 Internet 技术来发展企业 Intranet 可以降低企业的营运成本 5 Intranet 开发简单 传统管理信息系统的开发是复杂的 除了要 在服务器端进行大量开发外 还要在客户端进行大量开发 对不同的功能 都 要重新开发用户界面 而对于 Intranet 开发者只需做服务器端开发 客户端只要安装一个通用的浏览器即可 不需做任何开发 6 在现有网络中建立 Intranet 只是改变目前企业网的应用方式 和界面 并不需要改动现有企业网的物理结构 而且与现有管理信息系统 可以有机地集成 平滑过渡到 Intranet 3 3 33 3 3 设计与实现设计与实现 一个企业要建立 Intranet 必须进行严格而周密的规划和设计 要 从系统工程的角度去考虑其先进性 实用性 高效性和安全可靠性 从 而建立起一个有效的 尽可能完善的企业内部网 以下就二个主要的问 题进行阐述和分析 1 Intranet 的基本结构 图 3 1 给出了 Intranet 的基本框架结构 一个构建 Intranet 的基 本模型 模型中对于服务器 开发端 客户端 网管及防火墙等软件系 统给出了几种选择 用户可以根据企业内部的具体情况选定 单位组网方案设计 i xiii 图 3 1 Intranet 的基本框架结构 2 Intranet 的安全性 由于 Intranet 迟早要与 Internet 或社会化公众网或其它外部网络 相连接 因此安全问题是建立 Intranet 者必须考虑的 目前主要是采用 防火墙 技术来保证 Intranet 的安全性 所谓防 火墙是一种运行特定安全软件的计算机系统 它在内部网与外部网之间 构筑一个保护层 只有被授权的通信才能通过保护层 防止未授权访问 非法入侵和破坏行为 防火墙产品大体上分两种类型 一种是包过滤型 它是一种具有特殊功能的路由器 它使用报文动态过滤技术 动态检查流 过的 TCP IP 报文头 根据用户定义的规则 决定允许或禁止哪些报文流 过 另一种是应用网关型 它使用代理技术 在内部网与外部网之间设置 了一个物理屏障 对于外部用户的 telnet ftp 等高层网络协议的服务 请求 代理服务机制将对用户的身份进行合法性检查 决定接受还是拒绝 从应用情况看 企业的防火墙多采用代理服务方式 因为它的安全性更高 能 进行严格的用户身份认证 从而能进行基于用户的网络访问控制 此外 它可解决企业 IP 地址不够的问题 企业可把申请到的 IP 地址分配给代 单位组网方案设计 i xiv 理服务器 Proxy Server 内部网络使用虚拟的 IP 地址 对外访问通过 代理服务器实现 代理服务器可以直接安装在对外提供服务的 Web 服 务器上 3 43 4 采用采用 VLANVLAN 技术技术 1 什么是 虚拟局域网 VLAN VLAN 是一种用逻辑的定义方法 把两个或更多的连在交换网络上的终端规划在一起 这种逻辑定义方法 可以延伸到多个交换机 被规划在一起的终端 可以通过几种网络设置 来规划 好像任何一种网络技术一样 了解在您的网络上存在的 VLAN 的特性 是有效地管理网络一个非常重要的一节 这可令您更精确的设 定 VLAN 并在事故发生时减少故障诊断的时间 2 为什么要用 VLAN 呢 采用 VLAN 的主要原因有几个 如控制广播域的范围 网络安全 第三 层地址的管理 和网络资源的集中管理 3 控制广播域的范围 当一个广播域内的设备增加时 在广播域内设备的广播频率便会相对增 加 广播率的提高 对设备的效率会有很大的影响 因为每一个设备都 必须中断其 CPU 正在处理的业务 来处理收到的广播包 以决定是否需 要对包内的数据作进一步处理 这种中断降低了 CPU 处理正常业务的效 率 增长了完成这些业务的时间 VLAN 一个非常重要的好处是在一个 VLAN 内的广播包不会跑到别的 VLAN 上去 通过限制一个 VLAN 上的设备数目 在一个 VLAN 上的广播 率便可受到控制 一个正常的广播率应该平均每秒不超过 30 个广播包 虽然还没有正式的文档宣称 但通过现场性能监测 建议广播不应该超 出 30 个 秒 4 网络安全 有很多时候 网管人员需要限制对本地网络中一个或多个特别设备 的接入 如果所有的设备都在同一个广播域内 便很难执行这种限制 单位组网方案设计 i xv 通过建立多个广播域 可以通过地址过滤和建立连接认可地址表来实现 该限制 数据包要跨越一个 VLAN 必须通过一个 3 层路由设备 这种路由设 备让网管人员可以定义设备间的接入 这种接入控制功能的使用 可以 控制和监视对敏感资源设备的接入 5 第 3 层地址管理 一个很常见的设计 是把同类型的设备 规划在同一个 IP 子网 例如把打印机安排在同一个 IP 子网上 属于会计部的工作站和服务器 却在另一个子网 在逻辑上这样好像很合理 但在一个大型企业网络上 这种构想没有 VLAN 是无法实现的 6 网络资源的集中管理 假定我们把所有的打印机都规划在一个子网上 而每一个打印机都必须 在同一个广播域里 这样等于需要在每一个楼层上 分别安装交换机 这些交换机都需要光缆和铜缆的连接 而这些打印机子网都需要连接到 自己的专用路由器端口上 利用 VLAN 可以让打印机和网络中的其他设备连接到同一个交换 机 分享同一条互联的电缆或光纤链路 同一个路由器端口 VLAN 的挑战 采用 VLAN 的一个最大挑战就是文档备案 当您把一个设备连接到 交换机时 没有一个好办法知道设备所连的交换机端口究竟是被设定到 哪一个 VLAN 或是否被设定成 VLAN 骨干 Trunk 端口 在大多数的 情况下 确定端口的 VLAN 设置只可以通过 Telnet 登录到交换机的控机 台这种过程需要用户口令并对交换机的设置管理指令有比较深刻的了解 当您对网络作扩容 移动或改变时 以上的挑战便更加明显 例如在一 个企业里 安装交换机时一般的策略是把头 12 个端口设成 VLAN23 但 是实际上 网管人员可能是因为后来端口不足或是因为企业的政策推行 不完善而把设定更改 无论如何 当一个设备连接到交换器的头 12 个 单位组网方案设计 i xvi 端口时 无法保证他会在 VLAN23 这个 VLAN 上 7 通过 VLAN 透视来解决 VLAN 透视选件是一个附加在 OptiView 集成式网络分析仪上的选件 这个选件可以帮助网管人员应对对交换机的 VLAN 设定作文档备案的挑 战 VLAN 透视选件通过 SNMP 来询问交换机的每一个端口的 VLAN 设置 这些讯息可以直接显示在 OptiView 集成式网络分析仪的显示屏上或通 过遥控界面来观看 交换机支持的每一个 VLAN 号都会列在显示屏的左 边 在右边显示出对应的每一个 VLAN 号的交换机端口 除了显示 VLAN 和端口的相关性 VLAN 透视选件还会显示每个端口 的 VLAN 配置 这对确定哪些端口被配置成骨干端口 哪些端口被配置 成接入端口是非常有用的 对骨干端口 VLAN 协议标记那些显示的帧 这对解决两台交换机通过 VLAN 骨干连接产生的连通问题是非常有帮助 的 显示 VLAN 配置信息的能力 不仅仅对分析仪所在广播域的 VLAN 有效 只要是综合分析仪通过 IP 可达的任何交换机都有效 这表明 VLAN 透视 可以显示综合分析仪经过很多路由器跳数以后达到的交换机 VLAN 配置 信息 除了可以显示 VLAN 配置 VLAN 透视可以生成基于每一个交换机 的 HTML 浏览器格式 报告 该报告描叙交换机的现有 VALN 和每个 VLAN 的包含的交换机端口 除了显示信息 还可以生成远端 IP 子网的 交换机报告 单位组网方案设计 i xvii 第四章第四章 单位网络规划及建设单位网络规划及建设 4 14 1 主干网网络技术选型 主干网网络技术选型 该单位网络的建设中 主干网选择何种网络技术对网络建设的成功 与否起着决定性的作用 选择适合某单位网络需求特点的主流网络技术 不但能保证网络的高性能 还能保证网络的先进性和扩展性 能够在未 来向更新技术平滑过渡 保护用户的投资 选择以太网 Ethernet 它的技术成熟 既能满足单位当前的实际需求 又便于今后网络的扩展 升级 4 24 2 网络产品选型网络产品选型 4 2 14 2 1 核心交换机核心交换机 我们在核心交换机的选择上 选择了图 4 1 所示的 TAR S2800 L3 全模块化三层交换机 图 4 1 STAR S2800 L3 全模块化三层交换机 1 产品特点 1 采用国际著名的专用 ASIC 硬件转发引擎 保证系统所有业务 端口均可同时达到线速转发 2 采用业界先进的交换矩阵结构 克服共享式总线交换结构的 弱点 使整个系统的交换容量具有很强的伸缩扩展能力 单位组网方案设计 i xviii 3 支持 802 1p 端口优先级等 QOS 策略 避免和减缓端口阻塞 提供严格的质量保证 4 支持生成树协议 802 1d 802 1w 802 1s 保证快速收敛 提高容错能力 保证网络的稳定运行 5 支持各种传统的认证计费流程 同时支持先进的 802 1x 安全 认证控制协议 认证流和应用流分开 与 Radius 协议配合 简化认证计费过程 认证通过后可根据用户属性控制用户接入 端口行为 6 高安全性 采用地址绑定 用户接入数目控制 安全端口设 定等多种措施 7 7 可实现集群管理 保护网络资源 降低网络管理成本 并实 现更高效的统一管理和规模扩展 8 支持业界领先的 EAPS 功能 实现网络的高可用性 9 支持各种 QOS 技术 支持基于交换机物理端口 MAC 地址 VLAN 号 IP 地址 TCP UDP 端口号来区分同的业务流 支持基 于 802 1p DSCP 值的流分类 支持数据流的硬件队列分配和 调度 SP WRR 等 基于流的速率限制 Commit Access Rate 等 2 三层交换技术 三层交换技术就是 二层交换技术 三层转发技术 它解决了局 域网中划分网段之后 网段间的通信必须依赖传统路由器进行网段间数 据转发的问题 和传统路由器的基于软件算法的转发操作 所造成固有 的低速而造成网络瓶颈的问题 三层交换的优势 通过 IP 路由还能提 高网络的整体性能 传统的交换机工作在网络七层模型的第二层 数据链路层 只能识别该层以下的信息 三层交换是指网络设备可以判 别第三层的 IP 并以此为依据实现数据的跨网段转发 交换机的三层 交换可以实现原来路由器才能完成的路由功能 而数据处理的延迟却又 单位组网方案设计 i xix 远远低于路由器 因为交换机的路由功能是基于硬件实现 这完全不同 于传统路由器的软件实现 它达到第二层交换机才有的高效率 另外随 着网络中数据 语音和视频等多业务传输需要的逐渐增加 传统的二层 交换的局限性就日益暴露出来 在整个完全部署二层交换机的局域网环 境里 数据交换所产生的广播到处漫延 影响了用户数据的正常通信 三层交换具备的路由功能可抑制网络广播的扩散 同一网段内的广播被 限制在自己的广播域里 这样就能大大提高数据的安全性 一般我们在 网络管理中 都会把相同部门的主机划归同一个广播域 基于 VLAN 的 实现 这样同个部门间主机通信时产生的广播将被限制在本部门的广 播域里 有效地保证了网络的保密性和安全性 当数据要跨越网段通信 时 就要用到路由来进行转发 三层交换 路由功能 就像是网络的一 道闸门 它使网段内的通信广播被限制在里面 要出去则由它来代劳 因此广播被限制 广播风暴不会产生 网间路由是它的特点 这样就能 实现网络通信的保密性和安全性 提高网络整体性能 当今的企业网络需要在网络边缘满足新的业务需求 比如需要占用 大量夺带的应用 这些新的需求将与现有的关键业务争夺带宽资源 所以需要交换机具有三层交换的功能 阻断网络广播跨网段传播 4 2 24 2 2 路由器的选择路由器的选择 结合本论文的组网需求 我们需要一个能够支持现有的传统数据访 问应用和新兴数据 WAN 服务的平台 包括 VPN 和宽带技术 ADSL G shdsl 和有线电缆 为了将来打算在 WANA 上将语音 传真 流量和数据集成到一起 结合需求 我们选用图 4 1 所示华为 3Com Quidway R2621 模块化路由器 华为 3Com Quidway R2621 模块化路由器 处理器为 Motorola MPC8240 200MHz 支持 VPN 支持 QOS 内置防火墙功能 路由器网管 协议 SNMP 单位组网方案设计 i xx 图 4 2 华为 3Com Quidway R2621 4 2 34 2 3 二层交换机选择二层交换机选择 二层交换机我们选择了图 4 3 所示的 D LINK DGS 1024D 它非常 适应用户日益增加的网络负载需要 它配置了 24 个千兆端口的小型桌 面交换机可提供与服务器之间的快速连接 由于支持即插即用 具有可 连接现有 5 类双绞线的千兆铜缆端口 所以无需安装昂贵的光纤或进行 复杂的重新配置即可立即增强工作组的性能 所有端口均支持 10 100 1000Mbps 网络速率自动判断和自动识别 全双工 半双工 它还具有 IEEE802 3x 流量控制功能 这项功能支持服务器直接连 接至交换机 进行快速 可靠的数据传输 在 2000Mbps 全双工传输模 式下 交换机至服务器以最小的数据传输损失获取最大的高速数据通道 所有端口均支持 MDI MDIX 交叉线自适应 无需在上行链路中使用专用 的交叉线 使用普通直连双绞线 任意端口均可连接至服务器 集线器 或交换机 由于支持 10 100 1000Mbps 自适应 端口自动识别等技术和可以连 接已有的 5 类线等特性 网络安装变得非常简便 只需将交换机接上网 线 网络在一分钟之内即可运行 该交换机可与现有网络设备无缝集成 在一起工作 无论是在以太网 快速以太网或千兆以太网中 无需替换 硬件或软件 单位组网方案设计 i xxi 图 4 3 D LINK DGS 1024D 4 2 44 2 4 网卡的选择网卡的选择 图 4 4 所示 TP LINK TG 3201 是一款高集成度 高性价比的 10 100 1000M 自适应千兆以太网卡 完全遵循 IEEE 802 3 10Base T 以太网标准 IEEE 802 3u 100Base TX 快速以太网标准和 IEEE 802 3ab 1000Base T 千兆以太网标准 支持 IEEE 802 3x 全双工流控 TG 3201 是实现千兆网络到桌面的最简单方法 支持 10Mbps 100Mbps 1000Mbps 三种传输速度 支持自动协商 自动侦测 全双工 半双工模式 自动匹配网络速度 使用极其方便 消除了用户 使用上的障碍 单位组网方案设计 i xxii 图 4 4 TP LINK TG 3201 4 2 54 2 5 服务器选择服务器选择 1 服务器的选择标准 1 服务器性能指标 运行的稳定性和可靠性 运行速度 内存大 小 硬盘存储量 不容忽视的售后服务 选用服务器的特点和选构原则 适用性 必须能满足单位需要 可 靠性 服务器运行必须稳定可靠 否则会影响公司运转 前瞻性 必须 考虑到形势的发展 未来 5 年设置不会被淘汰 且能适应企业发展的需 要 但不能为了追求时髦购买过高档次的服务器 这会导致浪费 再过 几年 会有性价比更好的服务器出产 经济性 在考虑性价比时 选择 最优惠的产品 2 服务器的主流技术 目前应用于服务器产品的主流技术较多 主要包括双核技术与多核技术 虚拟技术 RAID 技术 PCI Express 技 术 内存镜像技术 SCSI320 与 SAS 技术 冗余技术 服务器静音技术 服务器低功耗产品设计技术等 2 服务器参数对照表 单位组网方案设计 i xxiii 表表 4 14 1 不同服务器对照表不同服务器对照表 IBMIBM SystemSystem x3500 x3500 797712C797712C 联想万全联想万全 T220T220 G5BG5B S3 0GX8S3 0GX8 512 160SN512 160SN 浪潮浪潮 英信英信 NP370DHRNP370DHR 服务器服务器 类型类型 塔式塔式塔式 CPUCPU Intel Xeon 5050 3GHZ Intel Xeon 3GHZ Xeon 3 2GHz 处理器处理器 二级缓二级缓 存存 4MB2MB2MB 内存内存 最最 大内存大内存 ECC DDRII 1GB 48GB DDR 512 MB 16GB DDRII 1GB 16GB 硬盘硬盘 最最 大容量大容量 SAS SATA 146GB 2 4TB SCSI 160 GB 2 4TB 无 需要单独配 置 网络网络 10 100 1000 以太 网卡 2 块 10 100 1000 以太网卡 2 块 10 100 1000 以 太网卡 1 块 单位组网方案设计 i xxiv 价格价格2250022500 元元1550015500 元元2200022000 元元 续表续表 4 14 1 不同服务器对照表不同服务器对照表 3 服务器选定 基于以上的分析比较 从机器性能和扩展能力方面考虑 选择图 4 5 所示 IBM System x3500 这款工作组级服务器作为企业的主服务器 图 4 5 IBMIBM SystemSystem x3500 x3500 4 34 3 某单位网络方案叙述某单位网络方案叙述 1 局域网技术选型解决方案 单位建立局域网的主要目的是单位内部的资源共享 同时实现 Internet访问 对网络带宽的要求不是特别苛刻 因此方案采用已得到普 遍应用的交换式快速以太网 2 布线解决方案 由于单位的办公环境比较集中 基本上处于半径 100 米的范围内 正好适合组建基于五类双绞线的以太网 星型布线具有连接简单 维护 方便 稳定性好 故障隔离的优点 非屏蔽双绞线 UTP 价格低廉 性 能优良 因此方案采用星型非屏蔽双绞线布线方式 3 服务器解决方案 单位组网方案设计 i xxv 根据网络的规模 至少要选用 1 台部门级服务器作为主域控制器和 数据库服务器 2 台工作组级服务器分别作为备份用服务器和代理服务 器 Windows2003 的活动目录 Active Directory 技术已经基本成熟 而且易于实现和维护 因此采用 Windows 2003 Server 作为服务器的操 作系统 4 客户端解决方案 现有的计算机均使用 Windows XP 操作系统 虽然 Windows 2000 Professional 更适合用于单位工作站 但是考虑到更换操作系统会造 成相当大的麻烦 而且用户已经习惯使用 Windows XP 因此客户端继 续使用 Windows XP 操作系统 5 数据安全解决方案 公司对数据的安全性要求较高 而且数据量较大 因此需要 1 台备 份用服务器对数据库服务器和文件服务器的数据进行周期性的备份 另 外需要给数据库服务器和备份服务器提供 UPS 以防止因电力问题造成 的数据损失 6 解决单位上网 通过路由器与外网连接 将路由器的 S0 口的 IP 设为 202 204 60 11 设 f0 口的 IP 为 192 168 0 255 f0 口与核心交换机 连接 然后配置路由器为动态路由 使用 RIP 协议配置路由 并在路由 器上配置 NAT 网络地址转换 启用路由器的 NAT 功能 这样所有部 门上的机器能够访问 Internet 将各个部门上的机器的默认网关设为 192 168 0 255 这样一来 所有机器都能够上网 并实现了单位所有 机器的互连 可以在服务器上继续架设 WEB 服务器 FTP 服务器和 DNS 服务器 这样单位的所有机器都可以访问到该 WEB 服务器 进行信息的 交流 另外 通过对路由器进行端口映射配置 使得外网的机器可以访 问到该单位的 WEB 服务器 通过 FTP 服务器进行文件的互传 从而实现 单位组网方案设计 i xxvi 现代化的互联网办公 从而提高单位的工作效率 为了加强网络安全 可以在路由器上配置防火墙 最大可能的确保上网的安全 使有 NAT 技 术后 对外所有的机器都使用的是同一个外网 IP 也有利于网络的维 护与安全 由于以太网的技术成熟 成本较低 互操作性强 易于使用和管理 可扩充性强 因此 本设计选用以太网技术 7 单位网络分布及布线图如图 4 6 所示 图 4 6 单位网络设备分布及布线图 8 网络连接如图 4 7 所示 单位组网方案设计 i xxvii 图 4 7 网络拓扑图 9 网络划分如图 4 8 所示 图 4 8 单位内部 IP 划分 单位组网方案设计 i xxviii 第五章第五章 配置及运行配置及运行 5 15 1 路由器配置清单路由器配置清单 Router enable Router config terminal Router config host name RDW RDW config interface e0 RDW config if ip add 192 168 0 255 255 255 255 0 RDW config if no shut 给端口 E0 配置 IP 地址并激活此端口 RDW config if int s0 RDW config if ip add 202 204 60 255 255 255 255 0 RDW config if no shutdown 给端口 S0 配置 IP 地址并激活此端口 RDW config if exit RDW config ip route 10 0 0 0 255 0 0 0 202 204 60 128 设置静态路由 RDW config ctrl Z 5 25 2 核心交换机及基层交换机的核心交换机及基层交换机的 VLANVLAN 划分划分 Switch enable Switch vlan database Switch vlan vlan 2 name vlan wlzx 创建 vlan 并命名为 vlan wlzx Switch conf t Switch config int f0 1 Switch config if switchport mode access 将端口 f0 1 加入 vlan 2 并激活此端口 Switch config if switchport access vlan 2 单位组网方案设计 i xxix Switch config if no shut Switch config if int f0 12 Switch config if switchport mode trunk 将端口 f0 12 设为 trunk 模式 Switch config if no shut Switch config if ctrl Z 5 35 3 客户端配置清单客户端配置清单 C ipconfig ip 192 168 0 1 255 255 255 0 C ipconfig dg 192 168 0 255 登陆客户端 给客户端机子配置 IP 地址 并设置它的默认网 关 5 45 4 路由器的路由器的 NATNAT 及端口映射配置及端口映射配置 Router enable Router configure terminal Router config interface Ethernet 0 Router config if ip address 192 168 0 255 255 255 255 0 指定内网端口 IP 地址 Router config if ip nat inside 指定内网端口 Router config if interface serial 0 Router config if ip address 202 204 60 128 255 255 255 0 指定外网端口 IP 地址 Router config if ip nat outside 指定外网端口 Router config if exit 单位组网方案设计 i xxx Router config ip nat inside list 1 interface serial 0 overload 启用端口复用地址转换 并直接采用 serial 0 的 IP 地址 Router config ip nat inside source static tcp 192 168 0 200 80 202 205 60 128 80 将 80 端口映射为服务器 192 168 0 200 的 80 端口 WEB 服务 Router config ctrl Z 5 55 5 单位路由器与核心交换机连通性测试单位路由器与核心交换机连通性测试 登陆 client 然后 ping 路由器的各端口 测试路由器与交换机 的连通性 现在测试与 E0 口的连通性 E0 口 IP 地址 192 168 0 255 通过 图 5 1 所示 我们知道测试良好 图 5 1 路由器与核心交换器连通性测试 5 65 6 远程客户机与服务器的连通性测试远程客户机与服务器的连通性测试 登陆任意一台客户端 然后 ping 服务器的 IP 地址 测试连通性 现在测试 Client 与服务器的连