企业局域网的设计与实现_第1页
企业局域网的设计与实现_第2页
企业局域网的设计与实现_第3页
企业局域网的设计与实现_第4页
企业局域网的设计与实现_第5页
已阅读5页,还剩31页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

精选优质文档-----倾情为你奉上精选优质文档-----倾情为你奉上专心---专注---专业专心---专注---专业精选优质文档-----倾情为你奉上专心---专注---专业某公司局域网的设计与实现[摘要]计算机网络是公司信息化的基础,要提高一个公司的信息化程度,首要的是要有一个运行良好可管理的计算机网络,本文以某公司的公司局域网升级改造项目为背景,研究如何根据公司的需求,进行逻辑网络设计、物理网络设计及网络安装,实现了一个运行良好的公司局域网,具有重要的实践价值。[关键词]:局域网;设计;实现

目录绪论课题背景局域网的发展始于20世纪70年代,从20世纪90年代开始,网络步入办公应用阶段,公司局域网已经历近10年的发展。以太网自诞生的以来的20年间,其速率和距离不断取得突飞猛进的发展:10Mb/s以太网最终淘汰了16Mb/s的令牌环,100Mb/s的快速以太网也使得曾经最快的光纤数字数据接口(FDDI)变成了历史。吉比特以太网和10Gb/s以太网的问世,使以太网的市场占有率进一步得到提高,使得ATM在城域网和广域网中的地位受到更加严峻的挑战。10Gb/s以太网是IEEE802.3标准在速率和距离方面的自然演进。随着IEEE802.ae标准的发布,为以太网注入了新的活力,10吉比特以太网不但能满足数据通信高性能的要求,而且还解决了以往以太网不能提供高质量的多媒体应用所需的QoS的问题,作用距离较传统以太网也大大提高;并且性能优良,传输容量大,安装简单;同时网络管理功能简单,减少了培训和管理的费用,因此有着广泛的应用前景。本文致力于用已学过的局域网理论和技术对某公司(以下简称公司)的办公局域网进行研究,在此基础上设计并升级公司现有的办公局域网。公司是美国嘉吉公司和台湾统一公司合资成立的一家外资独资公司,主要从事大豆产品的加工和销售业务。现有局域网为2002年建成,在上面运行有公司的各种应用和业务软件(如Oracle数据库系统,用友ERPNC系统等)。随着公司业务发展的需要,公司现有局域网提供的服务能力已显得力不从心,升级势在必行,公司拟对现有网络进行大规模的升级改造。本文就是以此项目为背景,重点从局域网的逻辑网络设计(含网络安全设计)、局域网的物理设计以及局域网安装、测试和管理三个方面对公司局域网进行深入的研究。课题意义公司局域网的发展和应用水平,从基础上决定着公司信息化建设进程。特别是近几年,我国公司局域网的建设和应用大规模普及。各类各级企事业单位纷纷建设自己的局域网,公司局域网已经成为公司资源共享、信息传递、公司协作以及与外界沟通的强有力工具。建设公司局域网并不是简单的将网络设备与计算机用网线连接起来,而是一个系统的工程,要确保公司局域网的建设达到高效、安全、实用和具有前瞻性原则,必须按照“方案设计,工程施工,构建应用平台以及网络配置与管理”这样一条主线来进行。在平时工作中,经常遇到网络故障,例如,某公司网络刚从4M升级到8M,但升级后,上网更困难了,职工上网聊天玩游戏,甚至经常开着BT下载东西,造成路由器经常“死机”,网络系统瘫痪,网管需要经常“疏通”网络。除此以外,网管还得经常性给Microsoft系统打补丁。于是,网管几乎天天做着这种“低水平”的重复劳动。又例如某个公司的计算机很多,仅办公计算机就达300多台,管理这么多计算机,仅仅靠一两个人的力量根本不行。实际上,只要充分利用现有资源,使用专业网络管理软件与工具,就可以轻松管理公司局域网。本文将基础理论、网络技术,工程案例恰当的融合在一起,试图来回答这个问题:如何设计和管理好公司局域网。课题的主要工作本文的主要研究工作包括:第一,进行需求分析,包括业务需求、应用需求、以及网络需求,现有网络状况,升级的具体需求分析。第二,设计网络逻辑结构,在逻辑网络设计阶段,利用前面获得的需求分析结果和局域网中的通信规范来指导具体的网络逻辑结构设计,即选择能实现网络需求的相关网络技术。第三,进行网络安全设计,根据需求提出相应的网络安全解决方案。第四,确定网络物理结构,这一阶段是如何实现给定的逻辑网络结构,要确定具体的软硬件、连接设备、布线和服务。第五,安装测试和管理网络,在安装之前,所有的软硬件必须准备完毕,并对其进行严格测试,网络安装完成后,接受用户的反馈意见,进行网络的监控和管理工作。局域网相关技术综述局域网(LAN-LocalAreaNetwork)是将分散在有限地理范围内(如一栋大楼,一个部门)的多台计算机通过传输媒体连接起来的通信网络,通过功能完善的网络软件,实现计算机之间的相互通信和共享资源。美国电气和电子工程协会(IEEE)于1980年2月成立局域网标准化委员会(简称802委员会)专门对局域网的标准进行研究,并提出了LAN的定义。LAN是允许中等地域内的众多独立设备通过中等速率的物理信道直接互连通信的数据通信系统[2]。充分了解和掌握现有局域网相关技术是设计和管理好局域网的重要提前和基础。局域网的拓扑结构网络中的计算机等设备要实现互联,就需要以一定的结构方式进行连接,这种连接方式就叫做“拓扑结构”,通俗地讲这些网络设备如何连接在一起的。目前常见的网络拓扑结构主要有以下四大类:1.星型结构这种结构是目前在局域网中应用得最为普遍的一种,在公司网络中几乎都是采用一方式。星型网络几乎是Ethernet(以太网)网络专用,它是因网络中的各工作站节点设备通过一个网络集中设备(如集线器或者交换机)连接在一起,各节点呈星状分布而得名。这类网络目前用的最多的传输介质是双绞线,如常见的五类线、超五类双绞线等。这种拓扑结构网络的基本特点主要有如下几点:(1)容易实现:它所采用的传输介质一般都是采用通用的双绞线,这种传输介质相对来说比较便宜。这种拓扑结构主要应用于IEEE802.2、IEEE802.3标准的以太局域网中;(2)节点扩展、移动方便:节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可,而要移动一个节点只需要把相应节点设备移到新节点即可,而不会像环型网络那样“牵其一而动全局”;(3)维护容易:一个节点出现故障不会影响其它节点的连接,可任意拆走故障节点;(4)采用广播信息传送方式:任何一个节点发送信息在整个网中的节点都可以收到,这在网络方面存在一定的隐患,但这在局域网中使用影响不大;(5)网络传输数据快:这一点可以从目前最新的1000Mbps到10G以太网接入速度可以看出。2.环型结构这种结构的网络形式主要应用于令牌网中,在这种网络结构中各设备是直接通过电缆来串接的,最后形成一个闭环,整个网络发送的信息就是在这个环中传递,通常把这类网络称之为“令牌环网”。实际上大多数情况下这种拓扑结构的网络不会是所有计算机真的要连接成物理上的环型,一般情况下,环的两端是通过一个阻抗匹配器来实现环的封闭的,因为在实际组网过程中因地理位置的限制不方便真的做到环的两端物理连接。这种拓扑结构的网络主要有如下几个特点:(1)这种网络结构一般仅适用于IEEE802.5的令牌网(Tokenringnetwork),在这种网络中,“令牌”是在环型连接中依次传递。所用的传输介质一般是同轴电缆。(2)这种网络实现也非常简单,投资最小。(3)维护困难:从其网络结构可以看到,整个网络各节点间是直接串联,这样任何一个节点出了故障都会造成整个网络的中断、瘫痪,维护起来非常不便。(4)扩展性能差:也是因为它的环型结构,决定了它的扩展性能远不如星型结构的好,如果要新添加或移动节点,就必须中断整个网络,在环的两端作好连接器才能连接。3.总线型结构这种网络拓扑结构中所有设备都直接与总线相连,它所采用的介质一般也是同轴电缆(包括粗缆和细缆),不过现在也有采用光缆作为总线型传输介质的。这种结构具有以下几个方面的特点:(1)组网费用低:这样的结构根本不需要另外的互联设备,是直接通过一条总线进行连接,所以组网费用较低;(2)这种网络因为各节点是共用总线带宽的,所以在传输速度上会随着接入网络的用户的增多而下降;(3)网络用户扩展较灵活:需要扩展用户时只需要添加一个接线器即可,但所能连接的用户数量有限;(4)维护较容易:单个节点失效不影响整个网络的正常通信。但是如果总线一断,则整个网络或者相应主干网段就断了。(5)这种网络拓扑结构的缺点是一次仅能一个端用户发送数据,其它端用户必须等待到获得发送权。4.混合型拓扑结构这种网络拓扑结构是由前面所讲的星型结构和总线型结构的网络结合在一起的网络结构,这样的拓扑结构更能满足较大网络的拓展,解决星型网络在传输距离上的局限,而同时又解决了总线型网络在连接用户数量的限制。这种网络拓扑结构同时兼顾了星型网与总线型网络的优点,在缺点方面得到了一定的弥补。局域网的信道访问协议信道访问协议的分类,按常用网络拓扑结构分类:(1)IEEE802.3:CSMA/CD。(2)IEEE802.4:TokenBus。(3)IEEE802.5:TokenRing。按使用通信线路的访问方式分类:(1)争用型。(2)定时型。这里主要介绍以太网中最常用的CSMA/CD访问协议。CSMA/CD(CarrierSenseMultipleAccesswithCollisionDetection),即载波监听多路访问/冲突检测,是一种争用型的介质访问控制协议。网中各节点都能独立地决定数据帧的发送与接收。每个节点在发送数据帧之前。首先要进行载波监听。只有介质空闲时,才允许发送帧。这时,如果两个以上的节点同时监听到介质空闲并发送帧,则会产生冲突现象。每个节点必须有能力随时检测冲突是否发生,一旦发生冲突,则应停止发送,然后随机延时一段时间后,再重新争用介质,重发该帧,把检查信道上有无数据信号传输称为“载波监听”,而把同时有多个节点在监听信道是否空闲和发送数据,称为“多路访问”。代理服务器技术代理服务器英文全称是ProxyServer,其功能就是代理网络用户去取得网络信息。形象的说:它是网络信息的中转站。在一般情况下,使用网络浏览器直接去连接其他Internet站点取得网络信息时,是直接联系到目的站点服务器,然后由目的站点服务器把信息传送回来。代理服务器是介于浏览器和Web服务器之间的另一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。目前市场上的主流代理服务器产品为微软公司的MicrosoftInternetSecurity&AccelerationServer(以下简称ISA)。ISA拥有国际权威机构ICSA和中国公安部CNACL安全产品认证的、集高级应用层状态过滤防火墙、虚拟专用网络服务和高效Web缓存服务为一身的防火墙解决方案。它在保护公司网络免受黑客入侵和恶意蠕虫侵害、数据包过滤和状态数据包检测、应用层过滤以及代理体系结构等方面具有出色的功能。可以极大地提高网络性能和安全性,保护现有公司内部网络,同时利用ISA的代理服务器功能对内网用户访问互联网进行控制,确保公司网络不受攻击,避免员工访问不适当的网站[3]。代理服务器的主要作用:(1)设置用户验证和记账功能,可按用户进行记账,没有登记的用户无权通过代理服务器访问Internet网。并对用户的访问时间、访问地点、信息流量进行统计。(2)对用户进行分级管理,设置不同用户的访问权限,对外界或内部的Internet地址进行过滤,设置不同的访问权限。(3)增加缓冲器(Cache),提高访问速度,对经常访问的地址创建缓冲区,大大提高热门站点的访问效率。通常代理服务器都设置一个较大的硬盘缓冲区(可能高达几个GB或更大),当有外界的信息通过时,同时也将其保存到缓冲区中,当其他用户再访问相同的信息时,则直接由缓冲区中取出信息,传给用户,以提高访问速度。(4)连接内网与Internet,充当防火墙(Firewall):因为所有内部网的用户通过代理服务器访问外界时,只映射为一个IP地址,所以外界不能直接访问到内部网;同时可以设置IP地址过滤,限制内部网对外部的访问权限。(5)节省IP开销:代理服务器允许使用大量的伪IP地址,节约网上资源,即用代理服务器可以减少对IP地址的需求,对于使用局域网方式接入Internet,如果为局域网(LAN)内的每一个用户都申请一个IP地址,其费用可想而知。但使用代理服务器后,只需代理服务器上有一个合法的IP地址,LAN内其他用户可以使用10.*.*.*这样的私有IP地址,这样可以节约大量的IP,降低网络的维护成本。公司局域网需求分析公司网络现状公司现有局域网是2002年建成投入使用。目前拥有8台IBMxSeries335服务器,其中包含2台windowsserver2003域控制器,1台exchangeserver2003邮件服务器,1台文件服务器,1台oracle数据库服务器,1台ERPNC应用服务器,1台传真服务器,1台打印服务器。150台客户机,由多台D-LinkDES-1024R交换机和一些8端口10兆小型集线器组成一个星形局域网。邮件服务器采用中国电信2M专线通过Cisco2610xm路由器和CiscoPIX501防火墙连接到Internet。员工上网均通过ADSL直接连接到internet。采用Symantec单机版杀毒软件。主要应用服务包括文件共享、文件打印、用友ERPNC系统、地磅系统、邮件收发等功能。现有网络存在问题:服务器响应缓慢、垃圾邮件量多、员工上网没有监控、微软补丁要手工更新、外出职员不能连接到公司网络、没有专业的网络管理软件等,以上因素严重影响了公司办公效率和公司业务拓展。升级现有网络势在必行。现有网络拓扑图如图所示。图表SEQ图表\*ARABIC1现有网络拓扑图业务需求分析1.公司未来网络扩展需求公司现在拥有电脑15000台,考虑到未来3到5年人员增长需求,预计还要增加电脑约15000台,即总共约30000个客户端网络节点的中型局域网规模。2.网络可靠性和可用性需求在网络可靠性方面,公司的地磅系统、ERP系统、邮件系统、文件和打印服务器以及Internet访问可以接受一小时以内的连接中断,但每季度不得超过1次以上。3.网络安全性方面需求在收集需求分析时,大家反映最多的还是对网络安全的需要。总结起来有以下几点:一是要有职员上网的监控记录,包括上网时间、访问了什么网站,并保存上网记录3个月以上。二是保护公司各种服务器安全,包服务器安全访问、服务器防毒。三是客户机要俱备防病毒和防间谍软件功能。四是公司数据和数据库的安全,包括数据存贮、数据备份等。五是对职员的邮件发送和接收要有监控记录,并保存3个月以上的记录。4.远程访问需求对于公司管理层和有远程办公需求的用户,要求在家中能访问公司局域网中的文件服务器和邮件服务器,并确保远程数据传输的安全。网络拓扑结构需求分析根据公司的各栋办公大楼的布局和网络管理的需求,为公司网络设计和选择适当的拓扑结构。当前局域网的拓扑结构主要有总线型拓扑结构、环状拓扑结构、星形拓扑结构和混合性拓扑结构,其中星形拓扑结构在公司网的设计中被广泛采用。星形拓扑结构以一台中心处理机(通信设备)为主而构成的网络,其它入网机器仅与该中心处理机之间有直接的物理链路,中心处理机采用分时或轮询的方法为入网机器服务,所有的数据必须经过中心处理机。星型拓扑结构的每个结点都由一条单独的通信线路与中心结点连结,它的优点是:结构简单、容易实现、便于管理,连接点的故障容易监测和排除,缺点是:中心结点是全网络的可靠瓶颈,中心结点出现故障会导致网络的瘫痪,因此,选择高性能、高可靠的中心节点交换机至关重要[9]。安全性需求分析网络安全包括对物理设备的规划和对过程的操作来保护网络和系统的完整性、可访问性以及可靠性。现代的网络安全性是把基本的安全概念运用到分布式网络环境中。网络安全性的目标是对资源进行保护,但目前还没有彻底完备的解决方案。每个安全的网络应该具有以下3种属性:一是保密性,指数据保密性好,例如对数据进行加密传输。二是完整性,未经授权不得修改数据。可靠性,数据或信息的来源真实可靠[10,30]。对于公司来说,具体要达到以下安全标准。1.公司文件服务器的安全:公司的所有文件都存放在文件服务器上,因此确保文件服务器不被内部和外部用户非法访问是十分重要的。二是确保文件服务器不会受到病毒的攻击。另外,要制定详细的备份计划,一旦数据出现误删除或丢失情况,能够及时恢复。2.Internet访问安全:确保公司员工上网安全,并对上网行为进行监控,禁用QQ、MSN等即时通讯和聊天工具,禁止从因特网上下载软件或文件。另,最好上网时能实现流量分配功能,确保公司的高管理人员上网不受影响。3.邮件服务器安全:确保邮件服务器不会成为垃圾邮件的中转站,有专业的防垃圾邮件系统或软件。4.远程访问:移动用户在公司外部访问公司内部文件服务器和邮件服务器时能实现安全可靠的连接。5.整个局域网安全性:局域网与外部隔离良好,不会受到病毒和木马攻击而引起网络中断,从而影响业务。确保服务器不会受到来自内部和外部用户的攻击和入侵。公司网络架构设计拓扑架构设计由于本网络规模为中小型网络,因此采用二层的网络架构设计,即分为接入层和核心层,省略中间的汇聚层。保留现有公司局域网的星形拓扑结构,更换核心层交换机,原核心层交换机用作接入层交换机。具体为:采购1台性能优良的千兆交换机替换原来的D-LinkDES-1024R核心交换机,这样服务器到核心交换机的传输速度可达1Gb/s。移除原来的8端口10兆小型集线器,保留原来的6台D-LinkDES-1024R交换机,再增加百兆桌面级48端口和24端口交换机各1台,这样客户机到桌面交换机的传输速度全部可达100Mb/s,并提供总计204个百兆网络接口,完全满足公司未来5年总计约200个网络接口的需求。加上后面服务器设计方案、数据备份设计方案、网络管理及安全设计方案,升级后的网络逻辑拓扑结构如图所示。图表SEQ图表\*ARABIC2网络逻辑拓扑结构整个网络在技术上定位为千兆以太网主干网络,以光纤和双绞线为主要传输介质,因而对网络协议透明,故可以配置成以IP协议为主的高速IP网络。接入互联网设计将原来的2MDDN专线升级到4M。之前公司Internet接入方式有两种,一是中国电信提供的速度为2M的DDN专线,通过Cisco2610xm路由器和CiscoPIX501防火墙连接到局域网,为邮件服务器专用。费用为每月8000元,线路和设备都由电信部门维护。二是ADSL接入,用于公司用户访问因特网,费用为每月600元。由于与中国电信合作良好,专线使用时间已达7年,经与中国电信协商,他们决定免费给公司DDN专线升级到4M带宽,并取消ADSL线路。邮件服务器与访问Internet共用4M专线带宽接入方式。布线设计布线类型选择不合理会导致网络传输速度偏低和传输带宽不足,不能很好满足校园业务需求的数据量传输,形成无法克服的物理层瓶颈;信息点设置不足导致作为学校重要业务数据不能及时或实时记录和保存;网络故障率高网络硬件维护人员疲于奔命。以交换式千兆以太网作为学校的主干网,按10M/100M交换式子网方式接入。校园网布线设计一般采用多级物理星型结构、点到点连接,任何一条线路故障均不影响其他线路的正常运行。网络采用分散式三层交换体系,二级交换机具有第三级交换能力,主干线路压力小,而且全部实现百兆交换入室。三级交换机可以堆叠,能将一个主干和桌面交换机组成一个整体,提供足够的交换口,可扩展性好。主干网选用千兆以太网,其第三层以太网路由器交换机大都满足IEEE802.3Z标准,技术成熟,具有流量优先机制能有效保证多媒体传输时的QoS(QualityofService服务质量)。考虑到在目前通信条件的成熟和对性能要求的提高,可以采用快速以太网技术,网络的主干建议采用华为中心三层交换机连接,思科交换机也提供多个多模光纤端口及多个10/100/1000MUTP端口,这样也就是为以后的扩展做了容余。千兆以太网具有良好的兼容性和可扩展性,在ATM技术成熟时,可平滑集成到ATM网络中,作为ATM网的边缘子网。工作组子网可选用100M交换模式。使用户终端独占100M带宽的数据交换。在核心交换机与工作组交换机之间,采用100Mbps传输带宽,当使用全双工时,传输带宽为200Mbps。综合布线系统可划分为(如图1.2):工作区子系统;水平布线子系统;垂直干线子系统;管理子系统;设备子系统整个系统综合采用统一标准的配线组和模块化结构统一布线、一次完成。它的每一个子系统都是一个相互独立的单元组,改变任何一个子系统、不影响其他子系统的正常运作。图表SEQ图表\*ARABIC3布线系统总体结构综合布线系统要求能支持语音、静态或动态图像及多种计算机数据系统。综合布线系统要求满足以下性能:支持10BASE—T(10M以太网)和100BASE-T、100BAESE-F(100M高速以太网)支持1000BASE—SX;1000BASE-LX千兆以太网支持ISO88025(令牌环网)支持FDDl和CDDl(100MHz)支持155M及622MATM网公司需要布线的地方有两栋楼,分别为行政办公大楼和生产办大楼。电脑主机房设在行政办公大楼一楼,生产办公大楼与行政办公大楼相距800米。其原来的布线系统设计为:行政办公大楼90个节点,一楼和二楼各45个。生产办公大楼45个节点,分布在二楼。所有节点均同时设有三个接口:一个网络接口、一个电话接口和一个电源接口。每个楼层设立一个机柜,配置了两台D-Link1024R交换机,提供了45个10/100Mb网络接口,当每个楼层网络接口实际使用量超过45个时,加接了8端口10M小型集线器。每个楼层布线均采用标准的结构化布线方法:从电脑主机室配线架上铺设2条线缆(一条备用)到楼层的配线柜,再从配线柜直接铺设线路到节点上。生产办公大楼与行政办公大楼采用光纤连接(走地下铁槽管道),两端分别使用D-Link的光电转换器连接到D-Link交换机上。在此次升级方案中,作以下变动:第一,新增加的50个节点全部放置在行政办公大楼三楼,直接按结构化布线方法布线即可。第二,去掉之前所有使用的10M小型集线器,以保证每个楼层的节点都能使用100M的网络接口。在行政办公大楼三楼放置新采购的D-Link1024R以及D-Link1048交换机各1台。行政办公大楼第三层的布线工作和电脑主机室的装修,已与一个网络系统集成公司谈好,由该公司负责施工。说明:每台服务器都是用1000M以太网卡和超5类非屏蔽双绞线连接到电脑主机室的接线板上。每台工作站都是用100M以太网卡和超5类非屏蔽双绞线连接到桌面交换机,桌面交换机用超5类非屏蔽双绞线通过配线柜和墙上插座连接到电脑主机室。完成后网络物理拓朴图如图所示。图表SEQ图表\*ARABIC4网络物理拓朴图安全设计网络物理安全设计网络的物理安全是整个网络系统安全的前提。根据公司实际情况,综合考虑成本、安全、可靠等各方面因素,在网络的物理安全设计方面,提出了以下方案:第一,服务器后备供电问题,为了防止服务器市电供电突然中断可能引起的硬件损坏和软件系统故障以及在正常情况下给服务器提供稳定安全的供电,给服务器配置UPS是最好的选择,基于成本的考虑,保留了在原网络系统中一台服务器单独配置一台1000W小型UPS的设计原则,但对于新采购的三台新的IBM服务器,采用了一套中型6000W的山特城堡机架式C6KRSUPS一起供电。山特城堡(Castle)系列机架式(Rack)UPS,是纯在线式(online)UPS,与在线互动式或后备式UPS相比,在线式UPS能够为负载提供最佳的电源环境,无论从稳压输出范围、频率范围、输入杂讯的滤除,乃至市电模式与电池模式零转换时间等方面考虑,RackUPS是最佳的UPS结构。因此,此系列特别针对关键设备,如通讯系统和计算机网络系统,或是对电力环境要求苛刻的设备提供更加灵活、可靠的电源保护。选用了8块Panasonic松下电池,后备供电时间达96分钟。第二,电脑主机室设计,之前的机房除了加装空调设备外,没有作防火、防雷等其他方面的考虑。在本次升级方案中,决定对电脑主机室按照《电子信息系统机房设计规范》C级要求进行重新装修和设计,增加防火、防雷系统,并安装了门禁系统,对出入机房进行严格的管理和记录。第三,结构化布线方面,全部采用结构化布线系统,数据线(网线与电话线)和电线分开不同的管道铺设,网络节点全部采用铁盒安装在地板上,不使用时可以关上铁盒,不影响地面使用。网络结构安全设计网络拓扑结构设计也直接影响到网络系统的安全性。例如在内部网和外部互联网络进行通信时,内部网络的机器安全就会受到威胁,同时也影响在同一网络上的许多其他系统,因此如何很好的隔离内网与互联网是网络结构安全设计的主要考虑。在前面的逻辑设计中提到,公司内网与互联网络的连接是通过中国电信的DDN4M专线来实现的。如何安全可靠的隔离它们呢,在本次升级方案中,采用了两种方案。第一,完善原来的Cisco路由器和防火墙组成的第一道隔离带,加强路由器和防火墙的配置,尽量将不安全的因素阻击在第一道隔离带。第二,除了第一种方案的所采用的硬件措施外,考虑引入一种代理软件部署成代理服务器,在内网与互联网络之间形成坚实的第二道隔离带。目前,代理服务器能实现的主要功能有:(1)设置用户验证和记账功能,可按用户进行记账,没有登记的用户无权通过代理服务器访问Internet网。并对用户的访问时间、访问地点、信息流量进行统计。(2)对用户进行分级管理,设置不同用户的访问权限,对外界或内部的Internet地址进行过滤,设置不同的访问权限。(3)增加缓冲器(Cache),提高访问速度,对经常访问的地址创建缓冲区,大大提高热门站点的访问效率。通常代理服务器都设置一个较大的硬盘缓冲区(可能高达几个GB或更大),当有外界的信息通过时,同时也将其保存到缓冲区中,当其他用户再访问相同的信息时,则直接由缓冲区中取出信息,传给用户,以提高访问速度。(4)连接内网与Internet,充当防火墙(Firewall):因为所有内部网的用户通过代理服务器访问外界时,只映射为一个IP地址,所以外界不能直接访问到内部网;同时可以设置IP地址过滤,限制内部网对外部的访问权限。(5)节省IP开销:代理服务器允许使用大量的伪IP地址,节约网上资源,即用代理服务器可以减少对IP地址的需求,对于使用局域网方式接入Internet,如果为局域网(LAN)内的每一个用户都申请一个IP地址,其费用可想而知。但使用代理服务器后,只需代理服务器上有一个合法的IP地址,LAN内其他用户可以使用10.*.*.*这样的私有IP地址,这样可以节约大量的IP,降低网络的维护成本。可见采用代理服务器的好处多多,而在前面公司需求分析中所提出加强员工上网管理功能、很好的隔离内网与外网、发布公司的邮件服务器以及实现用户远程连接公司服务器等需求,均可通过代理服务器实现,因此引入代理服务器是十分必要的。网络管理安全设计管理是网络安全中非常重要的部分。对整个网络和公司用户来讲,就是要建立可操作性的、健全的网络管理制度。对网络管理员来说,有一套功能强大的、专业的网络管理软件会对网络的管理起到事半功倍的作用:当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),能进行实时的检测、监控、报告与预警。同时,当事故发生后,也能提供黑客攻击行为的追踪线索及破案依据,对网络能做到可控性与可审查性。因此,对于网络管理的设计,最可行的做法是建立健全的网络管理制度和使用专业的网络管理软件相结合,以此保障网络的安全运行,使公司的局域网成为一个具有良好的安全性、可扩充性和易管理性的信息网络系统。首先,对于建立网络管理制度,由于这方面也涉及行政管理方面,因此,它的推行必须得到公司高层管理人员和各部门经理的配合和支持。具体的网络管理制度内容由IT部门组织编写,经公司总经理批准后实行。总得编写原则是:第一,网络管理不但要做到“攘外”——防止外部黑客以及病毒的侵袭,还要做到“安内”——管理好公司内部人员的越权操作,所谓是“无规矩不成方圆”,在编写是要严格把握这个建立网络管理制度的目的。第二,要明确规定IT经理、网络管理员和电脑操作用户的职责。第三,要有明确的网络安全管理制度、网络帐号管理制度、电脑操作用户上岗培训制度和病毒防治管理制度。第四,对于备份后的磁带最好异地保存在保险柜里,而不是就地放在电脑主机室中。其次,对于选用什么样的网络管理软件,在前面的逻辑设计章节中有详细的阐述,总之,通过比较和试用,最终选择了广州市溢信科技有限公司的IP-guard网络管理软件。IP-guard基本系统由三个模块组成,客户端模块、服务器模块和控制台模块,用户可根据管理的需要将它们安装在网络中的计算机上。客户端模块用于收集数据和执行系统管理策略,安装在每台需要被管理的计算机上;服务器模块用于存储系统数据和管理规则策略,一般安装在性能较高、存储容量较大的计算机上;控制台模块用于查看系统数据、设定管理策略和进行实时维护,一般安装在公司相关管理人员的计算机上,也可以和服务器模块安装在同一台计算机上。IP-guard基于TCP/IP协议的网络架构,可以灵活地从本地网络扩展到远程网络和异地网络。服务器通过虚拟专用网(VPN)或互联网连接远程的计算机,实现对大规模复杂网络的集中管理。控制台也可以通过互联网连接异地的服务器,实现对分支机构的远程监控。服务器模块基本功能:管理所有客户端计算机,并向其传递相关的规则和指令。收集客户端采集的数据并保存。提供方便灵活的记录管理、查看、归档、搜索等功能。控制台模块基本功能:查看和审计客户端的数据。数据统计,分析和导出。对客户端计算机实时监控和系统维护。设置监控规则和管理策略。客户端模块基本功能:执行系统设定的各种管理策略。采集客户端运行的各项数据。定时将采集的数据传送到服务器。根据控制台发出的指令进行监控操作[18]。公司局域网的实现设备选型一、核心层交换机核心层配置设备承担的任务主要是全校园网间信息的交流、分发与管理,应具备强大的二层和三层交换能力,保证不会发生信息拥塞,应该具有强大的背板吞吐能力和安全防护能力,保证不会因为单点故障而影响整个系统的正常运行;有效的故障恢复能力,保证任何一种单点故障都能在短时间内迅速予以恢复。因此本方案采用由2台高性能的具有多层交换能力的思科Catalyst4507R交换机构成核心交换层,采用开放最短路经优先(OSPF)动态路由协议,保证了网络的健壮性,并配置双引擎、双电源实现高可靠性,交换机内存升级到512M实现高速数据交换。二、汇聚层交换机汇聚层是接入层和核心层的“中介”,在工作站接入核心层前先做汇聚,以减轻核心层设备的负荷。汇聚层交换机必须能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路,因此与接入层交换机比较,汇聚层交换机需要更高的性能,更少的接口和更高的交换速率,设计时也要充分考虑分布层与核心层有冗余的链路。考虑到实际需求,分布层用1000M光纤、1000M多模光纤链路分别连接到核心交换机和接入层交换机上来提高汇聚层到核心层的交换性能和链路的健壮性。交换机采用思科3560系列,WS-C3560-48TS-S。三、接入层接入层的主要功能是为最终用户提供对企业网络访问的途径,直接与桌面计算机接入。实现VLAN划分与安全控制。其设备采用背板带宽为32Gbps的CiscoCatalyst2960系列智能以太网交换机,它是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和10/100/1000千兆以太网连接,四、核心路由器 路由器为关键任务应用提供可伸缩性,它们是获得网络层服务好处的关键,包括安全、服务质量和流量管理。路由器也集成了路由、交换、安全防火墙等功能于一体,针对于企业的需求特点,拟采用Cisco7206VXR。Cisco7206VXR高性能多功能路由器是Cisco7206路由器的一个增强版。Cisco7206VXR系统集成了多服务互换(MIX)功能,提供支持未来数字语音端口适配器的集成化多服务扩展。硬件安装硬件安装工作比较顺利。布线系统由专业的网络集成供应商负责安装,由于主要的工作在新开僻的行政大楼三楼和电脑主机室进行,不会影响到现有网络的运行,布线工作在一个星期内就顺利完成。接下来就是在电脑主机室安装服务器、磁带机、磁盘柜和垃圾邮件防火墙设备,连接好网络跳线到集线架。最后,利用周末时间,根据设计要求,把所有的交换机进行了调配和安装。整个硬件安装工作基本在半个月内完成了。软件系统安装和配置第一:VMware虚拟服务器软件安装和配置在逻辑设计中,选择了VMwareInfrastructure套件作为服务器虚拟化平台,VMwareESXServer安装在新采购的两台IBMx3650服务器上,在这两台服务器上不需要安装任何操作系统,VMwareESXServer安装光盘具有引导功能。VIClient安装在网络管理员的PC上。新采购的另一台IBMx3250M2服务器作为虚拟中心控制服务器,先安装好windowsserver2003操作系统,再在上面安装VirtualCenterServer和ConsolidatedBackup。这样整个VMwareInfrastructure软件就算安装完成了,现在就可以通过VirtualCenterServer来建立和管理虚拟服务器了[25]。保证服务器的可用性和可靠性是本次网络升级项目中的重点,这里详细说明如何配置虚拟服务器的群集功能。第一步:启动新建群集向导,健入群集名称,选中HA(当源主机发生故障时,将在另一个主机上重新开始运行虚拟机)或DRS(自动放置和迁移虚拟主机),或都选。如图所示。图表SEQ图表\*ARABIC5新建群集向导图第二步:选择自动化级别。第三步:选择HA选项,主机故障:指定要保证故障切换的主机故障数,重新启动优先级:确定在主机发生故障时重新启动虚拟机的顺序,隔离响应:确定当HA群中的某个主机失去其控制台网络连接仍在运行时发生的情况,接入控制:决定虚拟机违反可用性限制时是否启动虚拟机。第四步,选择虚拟机交换文件位置。第五步:完成虚拟机的创建并查看群集的摘要信息。第二:服务器操作系统安装通过VirtualCenterServer管理控制台,在安装了ESXServer的IBMx3650服务器上建立了一台虚拟服务器,安装好WindowsServer2003操作系统和SP2补丁。然后将它保存为模版,再以这个模版为向导,创建其他虚拟服务器,将分别用作数据库服务器、域控制器、打印和文件服务器、邮件服务器、ISA服务器等[26]。第三:网络版杀毒软件安装趋势科技防毒墙网络版8.0的安装方法非常简单,先在服务器(安装在虚拟中心软件所在服务器上)上

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论