小区网络设计.docx
《小区网络设计.docx》由会员分享,可在线阅读,更多相关《小区网络设计.docx(18页珍藏版)》请在冰豆网上搜索。
小区网络设计
新小区网络设计
摘要:
随着信息技术的高速发展,人们生活质量的不断提高,生活的多元化,越来越多的人已经离不开网络,无论是工作、学习、休闲娱乐,都已经和网络息息相关:
人们可以足不出户了解世界上每个角落在发生什么,买到自己心仪的物品,可以在通过网络进行视频会议,远程控制完成一些工作任务。
然而这些如何构建高效安全的网络是本文主要阐述的问题
关键词:
高效;安全;网络
Abstract:
withtherapiddevelopmentofmoderninformationtechnology,peoplelifequalityriseceaselessly,thediversificationoflife,moreandmorepeoplehavewithoutnetwork,whetherwork,studyandentertainment,havebeenlinkedwithnetwork:
peoplecanunderstandeverycorneroftheworld,whathappenedinhisrighttobuythegoodsinthroughthenetwork,videoconference,remotecontroltopletesometasks.Yettheseonhowtoconstructtheefficiencyandsecurityofnetworkisthemainproblemofthis
Keywords:
highefficiency;safety;network
1前言选题背景
1.1新园区简介:
新小区用地面积114.37亩,新园区按1000名居民规模设计,小区网及信息化基础设施建设能充分体现21世纪高等小区建设水平,包括行政办公室大楼、群住宿楼、中心机房等建筑,建筑面积超过1.5万平方米,是一座舒适、现代化、综合性的综合园区。
图1
图2
1.2小区网络构建的意义
生活节奏的加速,生活质量的提高,人们需要能更快的信息传输平台,所以构建一个高效、安全的网络是不可或缺的。
信息技术的应用与普及,将改变传统的住宿模式并大幅度提高信息流动速率,数字化园区、网上小区已被人们熟悉,信息化小区正在走向全面的信息化。
在普兴新小区建设中应推动园区信息化基础设施建设,其最终建设目标是将新园区建设成为一个信息化时代下的高水平的智能化、数字化小区,更好的进行管理
2网络结构的介绍
2.1网络的软件协议构成
计算机网络传输被分为7层:
物理层
数据链路层
网络层
传输层
会话层
表示层
应用层
应用层
表示层
会话层
传输层
网络层
数据链路层
物理层
应用层
表示层
会话层
传输层
网络层
数据链路层
物理层
图3
2种不同区域的网络通过线路连接运用相同的网络协议互相连接。
2.2网络的硬件构成
网络硬件一般有:
服务器、路由器、交换机、防火墙、PC
A服务器:
服务器指一个管理资源并为用户提供服务的计算机软件,通常分为文件服务器、数据库服务器和应用程序服务器。
运行以上软件的计算机或计算机系统也被称为服务器。
相对于普通PC来说,服务器在稳定性、安全性、性能等方面都要求更高,因此CPU、芯片组、内存、磁盘系统、网络等硬件和普通PC有所不同。
图4
1服务器根据用途不同还分为:
Web服务器、服务器、ftp服务器
2按网络规模划分,服务器分为工作组级服务器、部门级服务器、企业级服务器。
3按照服务器的结构,可以分为CISC架构的服务器和RISC架构的服务器。
4按照使用的用途,服务器又可以分为通用型服务器和专用型(或称“功能型”)服务器。
5按照服务器的外观,可以分为台式服务器和机架式服务器。
B路由器:
路由器(Router),顾名思义,是一种智能选择数据传输的网络设备。
图5
路由器的功能
简单的讲,路由器主要有以下几种功能:
第一,网络互连,路由器支持各种局域网和广域网接口,主要用于互连局域网和广域网,实现不同网络互相通信;
第二,数据处理,提供包括分组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能;
第三,网络管理,路由器提供包括配置管理、性能管理、容错管理和流量控制等功能。
C 交换机:
(英文:
Switch,意为“开关”)是一种用于电信号转发的网络设备。
它可以为接入交换机的任意两个网络节点提供独享的电信号通路
图6
交换机的传输模式有全双工,半双工,全双工/半双工自适应
交换机的全双工是指交换机在发送数据的同时也能够接收数据,两者同步进行,这好像我们平时打一样,说话的同时也能够听到对方的声音。
目前的交换机都支持全双工。
全双工的好处在于迟延小,速度快。
提到全双工,就不能不提与之密切对应的另一个概念,那就是“半双工”,所谓半双工就是指一个时间段内只有一个动作发生,举个简单例子,一条窄窄的马路,同时只能有一辆车通过,当目前有两量车对开,这种情况下就只能一辆先过,等到头儿后另一辆再开,这个例子就形象的说明了半双工的原理。
D防火墙:
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
图7
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。
例如互联网是不可信任的区域,而内部网络是高度信任的区域。
以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。
它有控制信息基本的任务在不同信任的区域。
典型信任的区域包括互联网(一个没有信任的区域)和一个内部网络(一个高信任的区域)。
最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。
防火墙的优点:
(1)防火墙能强化安全策略。
(2)防火墙能有效地记录Internet上的活动。
(3)防火墙限制暴露用户点。
防火墙能够用来隔开网络中一个网段与另一个网段。
这样,能够防止影响一个网段的问题通过整个网络传播。
(4)防火墙是一个安全策略的检查站。
所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
3网络构建的详细介绍
3.1网络的接入选择
(以太网技术成熟、成本低、结构简单、稳定性、可扩充性好;便于网络升级,同时可实现实时监控、智能化物业管理、小区/大楼/家庭保安、家庭自动化(如远程遥控家电、可视门铃等)、远程抄表等,可提供智能化、信息化的办公与家居环境,满足不同层次的人们对信息化的需求)
具体拓扑图如下:
图8
3.1.1采用3层交换模式:
三层交换技术就是二层交换技术+三层转发技术。
传统的交换技术是在OSI网络标准模型中的第二层——数据链路层进行操作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。
应用第三层交换技术即可实现网络路由的功能,又可以根据不同的网络状况做到最优的网络性能。
使用三层交换机的好处:
除了优秀的性能之外,三层交换机还具有一些传统的二层交换机没有的特性,这些特性可以给校园网和城域教育网的建设带来许多好处,列举如下。
1、高可扩充性
三层交换机在连接多个子网时,子网只是与第三层交换模块建立逻辑连接,不像传统外接路由器那样需要增加端口并满足园区3~5年网络应用快速增长的需要。
2、高性价比
三层交换机具有连接大型网络的能力,功能基本上可以取代某些传统路由器,但是价格却接近二层交换机。
现在一台百兆三层交换机的价格只有几万元,与高端的二层交换机的价格差不多。
3、内置安全机制
三层交换机可以与普通路由器一样,具有访问列表的功能,可以实现不同VLAN间的单向或双向通讯。
如果在访问列表中进行设置,可以限制用户访问特定的IP地址,这样学校就可以禁止学生访问不健康的站点。
访问列表不仅可以用于禁止内部用户访问某些站点,也可以用于防止校园网、城域教育网外部的非法用户访问校园网、城域教育网内部的网络资源,从而提高网络的安全。
4、适合多媒体传输
教育网经常需要传输多媒体信息,这是教育网的一个特色。
三层交换机具有QoS(服务质量)的控制功能,可以给不同的应用程序分配不同的带宽。
3.1.2采用VPN方式接入
VPN可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路
一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
图9
3.2网络设计方案
采用标准的综合布线模式让网络传输更快捷更安全
综合布线共包括6大子系统:
工作区子系统(WorkLocation)
它是由终端设备连接到信息插座之间的设备组成,包括信息插座、插座盒(或面板)、连接软线、适配器等。
水平子系统(Horizontal)
它的功能是将干线子系统线路延伸到用户工作区。
水平系统是布置在同一楼层上的,一端接在信息插座上,另一端接在层配间的跳线架上。
水平子系统主要采用4对非屏蔽双绞线,它能支持大多数现代通信设备,在某些要求宽带传输时,可采用"光纤到桌面"的方案。
当水平区面积相当大时,在这个区间内可能有一个或多个卫星接线间,水平线除了要端入接设备间之外,还要通过卫星接线间,把终端接到信息出口处。
垂直子系统(Backbone)
通常它是由主设备间(如计算机房、程控交换机房)至各层管理间。
它采用大对数的电缆馈线或光缆,两端分别接在设备间和管理间的跳线架上。
设备间子系统(Equipment)
它是由设备间的电缆、连续跳线架及相关支撑硬件、防雷电保护装置等构成。
比较理想的设置是把计算机房、交换机房等设备间设计在同一楼层中,这样既便于管理、又节省投资。
当然也可根据建筑物的具体情况设计多个设备间。
管理子系统(Administration)
它是干线子系统和水平子系统的桥梁,同时又可为同层组网提供条件。
其中包括双绞线跳线架、跳线(有快接式跳线和简易跳线之分)。
在需要有光纤的布线系统中,还应有光纤跳线架和光纤跳线。
当终端设备位置或局域网的结构变化时,只要改变跳线方式即可解决,而不需要重新布线。
建筑群子系统(Campus)
它是将多个建筑物的数据通信信号连接一体的布线系统。
它采用可架空安装或沿地下电缆管道(或直埋)敷设的铜缆和光缆,以及防止电缆的浪涌电压进入建筑的电气保护装置。
3.2.1IP的详细规划:
楼群中包括:
住宿楼群和管理楼群,其中把住宿楼群分为A、B、C、D、楼群
管理楼群为E,其次根据具体的地点分为A1,A2,A3,A4.....E.楼群,具体如图
图10
根据具体的楼群不同和规格不同,为每栋楼群ABCDE分别放置独立的交换机
采用固定IP模式方便管理,首先要做好整个局域网终端用户计算机的命名,指定IP地址。
我们根据楼层来确定好IP地址。
比如5楼的就采用198.198.198.15×,其中5表示楼层号,×是房间号。
将小区网络划分为5个VLAN,为每个独立的交换机配置固定IP
VLANA交换机:
192.168.0.1
VLANB交换机:
10.1.11.1
VLANC交换机:
210.41.176.1
VLAND交换机:
119.75.213.1
VLANE交换机:
118.123.234.1
每栋楼也采用独立的固定IP根据具体的楼群分配
具体的各区域的IP如下图
图11
在管理过程中举个例子:
一个来自小区内的IP10.1.12.158。
根据他的IP段管理员就可以轻易的获取他的MAC地址从而找到他的楼群和具体的楼层房间号,这样可以方便管理。
考虑到网络中PC机的加入和网络的扩建,为每个IP段分配255台主机的容量,所以默认网关都定义为255.255.255.0
DNS为解析域名服务器的地址,因为统一接入的是电信网络所以备用DNS统一定义为61.139.2.69,主要DNS解析为小区配置的DNS服务器IPX.X.X.X,这样能让用户能在不接入外网的情况下和小区内其他用户进行网络连接。
3.2.2网络传输设备的选择
1光电转换器:
因为小区网络是光纤接入,首先要考虑的问题是如果使光信号转换为电信号,所以就必须在交换传输过程中加入光电转换器,利于光电信号的随意转换。
光电转换器是一种类似于基带MODEM(数字调制解调器)的设备,和基带MODEM不同的是接入的是光纤专线,是光信号。
用于广域网中光电信号的转换和接口协议的转换,接入路由器,是广域网接入。
光电收发器是用局域网中光电信号的转换,而仅仅是信号转换,没有接口协议的转换。
一般用在园区网内较长距离,不适于布双绞线的环境。
现在在远距离传输信号时,都是采用光纤传输的,光纤的传输带宽越宽,稳定越性好。
这就需要把电脑或或传真等产生的电信号(我们知道这些电子设备产生的都是电子信号),转换成光信号才能在光纤里传播,这就是光电转换器,它既可以把电信号转换成光信号,也可以把光信号转换成电信号。
2网络传输线路
综合布线中平均线路的计算
最远距离a,最近距离b,节点数为d.
L=(a+b)d/2
假设该楼的交换机放置在楼层1距离最远端80米,最近端10米,节点数24
那么平均线路为1080m。
根据200米/箱的网线规格,那么最终需要6箱
。
3机柜型号选择
在机柜型号中,24个节点为1U。
交换机型号都采用24口交换机,那么可以得到交换机数量配置相应的机柜。
4配线架和理线架
每个交换机和每个配线架都需要配置一个有着相应接口的理线架,所以一个交换机就需要配置2个理线架和1个配线架。
1交换机
1配线架
2理线架
5交换机
交换机的选择遵循最大化传输和成本考虑
由于交换机对多数端口的数据进行同时交换,这就要求具有很宽的交换总线带宽,如果二层交换机有N个端口,每个端口的带宽是M,交换机总线带宽超过N×M
交换机型号型号都采用100m802.3u
设备间材料清单如下
表1
双绞线(200m/箱)
光纤线m
光电转换器(个)
光信号接收器*(个)
配线架(U)
理线架(U)
插线板(U)
跳线(个)
机柜(U)/个
A1
2
200
1
1
1
2
14
14
4
A2
4
200
1
1
2
4
28
28
8
A3
4
200
1
1
2
4
28
28
8
A4
2
200
1
1
1
2
14
14
4
B1
2
200
1
1
1
2
14
14
4
B2
4
200
1
1
2
4
28
28
8
B3
4
200
1
1
2
4
28
28
8
B4
2
200
1
1
1
2
14
14
4
C1
2
200
1
1
1
2
14
14
4
C2
4
200
1
1
2
4
28
28
8
C3
2
200
1
1
1
2
14
14
4
D1
2
200
1
1
1
2
14
14
4
D2
4
200
1
1
2
4
28
28
8
D3
4
200
1
1
2
4
28
28
8
D4
2
200
1
1
1
2
14
14
4
E
1
50
1
1
1
2
8
8
4
总和
45
3050
16
16
23
46
316
316
21
网络设备清单
表2:
千兆路由器
802.3u交换机
集线器
WEB服务器
NET服务器
服务器
FTB服务器
系统服务器
1
23
1
1
1
1
1
1
3.3网络安全的选择
3.3.1服务器数据安全
选择软件的标准是:
1在传输速率上达到最优
2在网络安全和维护达到最安全和简洁
3在产品价格上最廉价
所以最终的选择的产品是:
HeimdallDLP数据泄漏防护系统。
它拥有身份认证系统,安全控制策略,数据备份还原,日志审计等系统。
图12
DLP数据泄密防护系统,拥有完全知识产权的DLP平台产品。
它以内核级加密技术为核心,整合端点控制技术,有效防止任何状态(使用、传输、存储)的内部资料和智慧资产泄漏。
产品特点:
1真正防止数据泄漏:
对数据本身加密,在创建时即是密文,泄漏出去也是乱码,从根本上防止数据泄漏;
2不影响正常工作:
通过权限策略分发,内部有权限用户使用无碍,方便使用和流转,不影响正常工作;
3内部权限划分明晰:
细粒度划分内部用户权限,不同部门和不同职位用户对不同数据有不同的操作权限;
4使用透明:
客户端策略透明执行,不影响用户使用和操作习惯。
3.3.2网络平台安全
标准
1网络数据流量最大化
2VLAN管理轻松化
3用户资料安全
根据以上几点选择的软件为:
综合防御平台V3.2。
网络综合防御平台V3.2是内网安全平台化产品,采用B/S,C/S连接方式,模块化设计,由平台服务器和终端软件两大部分组成。
平台V3.2综合身份认证、策略管理、数据文档防泄漏、网络及终端行为监控审计,构建整体全面的内网安全防护体系;服务器支持linux和windows两大操作系统,适应用户需求,防护更安全,平台更稳定。
产品特点:
稳定性:
通过组件架构实现低耦合结构,保证平台运行的稳定性;
XX性:
领先的数据加密技术,内核级安全加固,实现高强度数据加密,成就IT安全化;
可控性:
高强度身份认证、网络和终端监控技术的应用,实现内网安全管理透明化;
可追溯性:
网络和终端行为审计,使终端和网络历史行为追查有据可依。
更高实效性,更低的成本:
通过提高产品性能、利用率和实效性,规避风险,降低成本;
4结论
本文主要阐述的是如何为普兴新小区构建网络,在设计过程中体会到,读书再多不能用之实际只能是空谈,好刀应用在刀刃上。
在设计过程中发现很多知识的应用还不够熟练,通过本次设计使自己在网络设计方面得到了加强和锻炼,并顺利完成论文
参考文献
[1]交换机介绍.baike.baidu./view/1077.htm.
[2]服务器介绍.baike.baidu./view/899.htm.
[3]防火墙介绍.baike.baidu./view/899.htm.
[4]VPN网络.baike.baidu./view/19735.htm.[5]余红.《关于交互网络的协作》
etc.elec.bnu.edu./ 论文选摘2/关于交互网络的协作.
致谢:
感谢各位领导各位老师在百忙之中抽出时间来查看这篇论文,望点评,指出其中的不足之处。
众所谓:
金无足赤,人无完人;希望能通过这次论文设计得到专业知识方面的加强和锻炼
升级会员 