企业局域网的设计与实现.docx
《企业局域网的设计与实现.docx》由会员分享,可在线阅读,更多相关《企业局域网的设计与实现.docx(18页珍藏版)》请在冰豆网上搜索。
企业局域网的设计与实现
某公司局域网的设计与实现
[摘要]计算机网络是公司信息化的基础,要提高一个公司的信息化程度,首要的是要有一个运行良好可管理的计算机网络,本文以某公司的公司局域网升级改造项目为背景,研究如何根据公司的需求,进行逻辑网络设计、物理网络设计及网络安装,实现了一个运行良好的公司局域网,具有重要的实践价值。
[关键词]:
局域网;设计;实现
1绪论
1.1课题背景
局域网的发展始于20世纪70年代,从20世纪90年代开始,网络步入办公应用阶段,公司局域网已经历近10年的发展。
以太网自诞生的以来的20年间,其速率和距离不断取得突飞猛进的发展:
10Mb/s以太网最终淘汰了16Mb/s的令牌环,100Mb/s的快速以太网也使得曾经最快的光纤数字数据接口(FDDI)变成了历史.吉比特以太网和10Gb/s以太网的问世,使以太网的市场占有率进一步得到提高,使得ATM在城域网和广域网中的地位受到更加严峻的挑战。
10Gb/s以太网是IEEE802。
3标准在速率和距离方面的自然演进.随着IEEE802.ae标准的发布,为以太网注入了新的活力,10吉比特以太网不但能满足数据通信高性能的要求,而且还解决了以往以太网不能提供高质量的多媒体应用所需的QoS的问题,作用距离较传统以太网也大大提高;并且性能优良,传输容量大,安装简单;同时网络管理功能简单,减少了培训和管理的费用,因此有着广泛的应用前景。
本文致力于用已学过的局域网理论和技术对某公司(以下简称公司)的办公局域网进行研究,在此基础上设计并升级公司现有的办公局域网。
公司是美国嘉吉公司和台湾统一公司合资成立的一家外资独资公司,主要从事大豆产品的加工和销售业务。
现有局域网为2002年建成,在上面运行有公司的各种应用和业务软件(如Oracle数据库系统,用友ERPNC系统等)。
随着公司业务发展的需要,公司现有局域网提供的服务能力已显得力不从心,升级势在必行,公司拟对现有网络进行大规模的升级改造。
本文就是以此项目为背景,重点从局域网的逻辑网络设计(含网络安全设计)、局域网的物理设计以及局域网安装、测试和管理三个方面对公司局域网进行深入的研究。
1.2课题意义
公司局域网的发展和应用水平,从基础上决定着公司信息化建设进程。
特别是近几年,我国公司局域网的建设和应用大规模普及。
各类各级企事业单位纷纷建设自己的局域网,公司局域网已经成为公司资源共享、信息传递、公司协作以及与外界沟通的强有力工具。
建设公司局域网并不是简单的将网络设备与计算机用网线连接起来,而是一个系统的工程,要确保公司局域网的建设达到高效、安全、实用和具有前瞻性原则,必须按照“方案设计,工程施工,构建应用平台以及网络配置与管理”这样一条主线来进行.在平时工作中,经常遇到网络故障,例如,某公司网络刚从4M升级到8M,但升级后,上网更困难了,职工上网聊天玩游戏,甚至经常开着BT下载东西,造成路由器经常“死机”,网络系统瘫痪,网管需要经常“疏通”网络.除此以外,网管还得经常性给Microsoft系统打补丁。
于是,网管几乎天天做着这种“低水平”的重复劳动。
又例如某个公司的计算机很多,仅办公计算机就达300多台,管理这么多计算机,仅仅靠一两个人的力量根本不行。
实际上,只要充分利用现有资源,使用专业网络管理软件与工具,就可以轻松管理公司局域网。
本文将基础理论、网络技术,工程案例恰当的融合在一起,试图来回答这个问题:
如何设计和管理好公司局域网。
1.3课题的主要工作
本文的主要研究工作包括:
第一,进行需求分析,包括业务需求、应用需求、以及网络需求,现有网络状况,升级的具体需求分析。
第二,设计网络逻辑结构,在逻辑网络设计阶段,利用前面获得的需求分析结果和局域网中的通信规范来指导具体的网络逻辑结构设计,即选择能实现网络需求的相关网络技术。
第三,进行网络安全设计,根据需求提出相应的网络安全解决方案。
第四,确定网络物理结构,这一阶段是如何实现给定的逻辑网络结构,要确定具体的软硬件、连接设备、布线和服务.
第五,安装测试和管理网络,在安装之前,所有的软硬件必须准备完毕,并对其进行严格测试,网络安装完成后,接受用户的反馈意见,进行网络的监控和管理工作。
2局域网相关技术综述
局域网(LAN-LocalAreaNetwork)是将分散在有限地理范围内(如一栋大楼,一个部门)的多台计算机通过传输媒体连接起来的通信网络,通过功能完善的网络软件,实现计算机之间的相互通信和共享资源。
美国电气和电子工程协会(IEEE)于1980年2月成立局域网标准化委员会(简称802委员会)专门对局域网的标准进行研究,并提出了LAN的定义。
LAN是允许中等地域内的众多独立设备通过中等速率的物理信道直接互连通信的数据通信系统[2]。
充分了解和掌握现有局域网相关技术是设计和管理好局域网的重要提前和基础。
2.1局域网的拓扑结构
网络中的计算机等设备要实现互联,就需要以一定的结构方式进行连接,这种连接方式就叫做“拓扑结构”,通俗地讲这些网络设备如何连接在一起的.目前常见的网络拓扑结构主要有以下四大类:
1。
星型结构
这种结构是目前在局域网中应用得最为普遍的一种,在公司网络中几乎都是采用一方式。
星型网络几乎是Ethernet(以太网)网络专用,它是因网络中的各工作站节点设备通过一个网络集中设备(如集线器或者交换机)连接在一起,各节点呈星状分布而得名.这类网络目前用的最多的传输介质是双绞线,如常见的五类线、超五类双绞线等。
这种拓扑结构网络的基本特点主要有如下几点:
(1)容易实现:
它所采用的传输介质一般都是采用通用的双绞线,这种传输介质相对来说比较便宜。
这种拓扑结构主要应用于IEEE802。
2、IEEE802。
3标准的以太局域网中;
(2)节点扩展、移动方便:
节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可,而要移动一个节点只需要把相应节点设备移到新节点即可,而不会像环型网络那样“牵其一而动全局”;(3)维护容易:
一个节点出现故障不会影响其它节点的连接,可任意拆走故障节点;(4)采用广播信息传送方式:
任何一个节点发送信息在整个网中的节点都可以收到,这在网络方面存在一定的隐患,但这在局域网中使用影响不大;(5)网络传输数据快:
这一点可以从目前最新的1000Mbps到10G以太网接入速度可以看出。
2.环型结构
这种结构的网络形式主要应用于令牌网中,在这种网络结构中各设备是直接通过电缆来串接的,最后形成一个闭环,整个网络发送的信息就是在这个环中传递,通常把这类网络称之为“令牌环网"。
实际上大多数情况下这种拓扑结构的网络不会是所有计算机真的要连接成物理上的环型,一般情况下,环的两端是通过一个阻抗匹配器来实现环的封闭的,因为在实际组网过程中因地理位置的限制不方便真的做到环的两端物理连接。
这种拓扑结构的网络主要有如下几个特点:
(1)这种网络结构一般仅适用于IEEE802。
5的令牌网(Tokenringnetwork),在这种网络中,“令牌”是在环型连接中依次传递。
所用的传输介质一般是同轴电缆.
(2)这种网络实现也非常简单,投资最小.(3)维护困难:
从其网络结构可以看到,整个网络各节点间是直接串联,这样任何一个节点出了故障都会造成整个网络的中断、瘫痪,维护起来非常不便。
(4)扩展性能差:
也是因为它的环型结构,决定了它的扩展性能远不如星型结构的好,如果要新添加或移动节点,就必须中断整个网络,在环的两端作好连接器才能连接。
3。
总线型结构
这种网络拓扑结构中所有设备都直接与总线相连,它所采用的介质一般也是同轴电缆(包括粗缆和细缆),不过现在也有采用光缆作为总线型传输介质的.这种结构具有以下几个方面的特点:
(1)组网费用低:
这样的结构根本不需要另外的互联设备,是直接通过一条总线进行连接,所以组网费用较低;
(2)这种网络因为各节点是共用总线带宽的,所以在传输速度上会随着接入网络的用户的增多而下降;(3)网络用户扩展较灵活:
需要扩展用户时只需要添加一个接线器即可,但所能连接的用户数量有限;(4)维护较容易:
单个节点失效不影响整个网络的正常通信.但是如果总线一断,则整个网络或者相应主干网段就断了。
(5)这种网络拓扑结构的缺点是一次仅能一个端用户发送数据,其它端用户必须等待到获得发送权。
4.混合型拓扑结构
这种网络拓扑结构是由前面所讲的星型结构和总线型结构的网络结合在一起的网络结构,这样的拓扑结构更能满足较大网络的拓展,解决星型网络在传输距离上的局限,而同时又解决了总线型网络在连接用户数量的限制.这种网络拓扑结构同时兼顾了星型网与总线型网络的优点,在缺点方面得到了一定的弥补。
2.2局域网的信道访问协议
信道访问协议的分类,按常用网络拓扑结构分类:
(1)IEEE802.3:
CSMA/CD。
(2)IEEE802。
4:
TokenBus。
(3)IEEE802。
5:
TokenRing。
按使用通信线路的访问方式分类:
(1)争用型。
(2)定时型.
这里主要介绍以太网中最常用的CSMA/CD访问协议.CSMA/CD(CarrierSenseMultipleAccesswithCollisionDetection),即载波监听多路访问/冲突检测,是一种争用型的介质访问控制协议.网中各节点都能独立地决定数据帧的发送与接收.每个节点在发送数据帧之前。
首先要进行载波监听.只有介质空闲时,才允许发送帧。
这时,如果两个以上的节点同时监听到介质空闲并发送帧,则会产生冲突现象。
每个节点必须有能力随时检测冲突是否发生,一旦发生冲突,则应停止发送,然后随机延时一段时间后,再重新争用介质,重发该帧,把检查信道上有无数据信号传输称为“载波监听”,而把同时有多个节点在监听信道是否空闲和发送数据,称为“多路访问”.
2.3代理服务器技术
代理服务器英文全称是ProxyServer,其功能就是代理网络用户去取得网络信息。
形象的说:
它是网络信息的中转站.在一般情况下,使用网络浏览器直接去连接其他Internet站点取得网络信息时,是直接联系到目的站点服务器,然后由目的站点服务器把信息传送回来。
代理服务器是介于浏览器和Web服务器之间的另一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。
目前市场上的主流代理服务器产品为微软公司的MicrosoftInternetSecurity&AccelerationServer(以下简称ISA)。
ISA拥有国际权威机构ICSA和中国公安部CNACL安全产品认证的、集高级应用层状态过滤防火墙、虚拟专用网络服务和高效Web缓存服务为一身的防火墙解决方案.它在保护公司网络免受黑客入侵和恶意蠕虫侵害、数据包过滤和状态数据包检测、应用层过滤以及代理体系结构等方面具有出色的功能。
可以极大地提高网络性能和安全性,保护现有公司内部网络,同时利用ISA的代理服务器功能对内网用户访问互联网进行控制,确保公司网络不受攻击,避免员工访问不适当的网站[3]。
代理服务器的主要作用:
(1)设置用户验证和记账功能,可按用户进行记账,没有登记的用户无权通过代理服务器访问Internet网。
并对用户的访问时间、访问地点、信息流量进行统计。
(2)对用户进行分级管理,设置不同用户的访问权限,对外界或内部的Internet地址进行过滤,设置不同的访问权限。
(3)增加缓冲器(Cache),提高访问速度,对经常访问的地址创建缓冲区,大大提高热门站点的访问效率。
通常代理服务器都设置一个较大的硬盘缓冲区(可能高达几个GB或更大),当有外界的信息通过时,同时也将其保存到缓冲区中,当其他用户再访问相同的信息时,则直接由缓冲区中取出信息,传给用户,以提高访问速度。
(4)连接内网与Internet,充当防火墙(Firewall):
因为所有内部网的用户通过代理服务器访问外界时,只映射为一个IP地址,所以外界不能直接访问到内部网;同时可以设置IP地址过滤,限制内部网对外部的访问权限.(5)节省IP开销:
代理服务器允许使用大量的伪IP地址,节约网上资源,即用代理服务器可以减少对IP地址的需求,对于使用局域网方式接入Internet,如果为局域网(LAN)内的每一个用户都申请一个IP地址,其费用可想而知。
但使用代理服务器后,只需代理服务器上有一个合法的IP地址,LAN内其他用户可以使用10.*.*。
*这样的私有IP地址,这样可以节约大量的IP,降低网络的维护成本。
3公司局域网需求分析
3.1公司网络现状
公司现有局域网是2002年建成投入使用.目前拥有8台IBMxSeries335服务器,其中包含2台windowsserver2003域控制器,1台exchangeserver2003邮件服务器,1台文件服务器,1台oracle数据库服务器,1台ERPNC应用服务器,1台传真服务器,1台打印服务器.150台客户机,由多台D—LinkDES—1024R交换机和一些8端口10兆小型集线器组成一个星形局域网。
邮件服务器采用中国电信2M专线通过Cisco2610xm路由器和CiscoPIX501防火墙连接到Internet.员工上网均通过ADSL直接连接到internet。
采用Symantec单机版杀毒软件。
主要应用服务包括文件共享、文件打印、用友ERPNC系统、地磅系统、邮件收发等功能.现有网络存在问题:
服务器响应缓慢、垃圾邮件量多、员工上网没有监控、微软补丁要手工更新、外出职员不能连接到公司网络、没有专业的网络管理软件等,以上因素严重影响了公司办公效率和公司业务拓展。
升级现有网络势在必行。
现有网络拓扑图如图所示。
图表1现有网络拓扑图
3.2业务需求分析
1。
公司未来网络扩展需求
公司现在拥有电脑15000台,考虑到未来3到5年人员增长需求,预计还要增加电脑约15000台,即总共约30000个客户端网络节点的中型局域网规模。
2.网络可靠性和可用性需求
在网络可靠性方面,公司的地磅系统、ERP系统、邮件系统、文件和打印服务器以及Internet访问可以接受一小时以内的连接中断,但每季度不得超过1次以上。
3。
网络安全性方面需求
在收集需求分析时,大家反映最多的还是对网络安全的需要。
总结起来有以下几点:
一是要有职员上网的监控记录,包括上网时间、访问了什么网站,并保存上网记录3个月以上。
二是保护公司各种服务器安全,包服务器安全访问、服务器防毒。
三是客户机要俱备防病毒和防间谍软件功能。
四是公司数据和数据库的安全,包括数据存贮、数据备份等。
五是对职员的邮件发送和接收要有监控记录,并保存3个月以上的记录。
4.远程访问需求
对于公司管理层和有远程办公需求的用户,要求在家中能访问公司局域网中的文件服务器和邮件服务器,并确保远程数据传输的安全。
3.3网络拓扑结构需求分析
根据公司的各栋办公大楼的布局和网络管理的需求,为公司网络设计和选择适当的拓扑结构.当前局域网的拓扑结构主要有总线型拓扑结构、环状拓扑结构、星形拓扑结构和混合性拓扑结构,其中星形拓扑结构在公司网的设计中被广泛采用。
星形拓扑结构以一台中心处理机(通信设备)为主而构成的网络,其它入网机器仅与该中心处理机之间有直接的物理链路,中心处理机采用分时或轮询的方法为入网机器服务,所有的数据必须经过中心处理机.星型拓扑结构的每个结点都由一条单独的通信线路与中心结点连结,它的优点是:
结构简单、容易实现、便于管理,连接点的故障容易监测和排除,缺点是:
中心结点是全网络的可靠瓶颈,中心结点出现故障会导致网络的瘫痪,因此,选择高性能、高可靠的中心节点交换机至关重要[9].
3.4安全性需求分析
网络安全包括对物理设备的规划和对过程的操作来保护网络和系统的完整性、可访问性以及可靠性。
现代的网络安全性是把基本的安全概念运用到分布式网络环境中。
网络安全性的目标是对资源进行保护,但目前还没有彻底完备的解决方案.每个安全的网络应该具有以下3种属性:
一是保密性,指数据保密性好,例如对数据进行加密传输。
二是完整性,XX不得修改数据.可靠性,数据或信息的来源真实可靠[10,30]。
对于公司来说,具体要达到以下安全标准.
1.公司文件服务器的安全:
公司的所有文件都存放在文件服务器上,因此确保文件服务器不被内部和外部用户非法访问是十分重要的。
二是确保文件服务器不会受到病毒的攻击。
另外,要制定详细的备份计划,一旦数据出现误删除或丢失情况,能够及时恢复。
2。
Internet访问安全:
确保公司员工上网安全,并对上网行为进行监控,禁用QQ、MSN等即时通讯和聊天工具,禁止从因特网上下载软件或文件.另,最好上网时能实现流量分配功能,确保公司的高管理人员上网不受影响。
3.邮件服务器安全:
确保邮件服务器不会成为垃圾邮件的中转站,有专业的防垃圾邮件系统或软件.
4.远程访问:
移动用户在公司外部访问公司内部文件服务器和邮件服务器时能实现安全可靠的连接。
5.整个局域网安全性:
局域网与外部隔离良好,不会受到病毒和木马攻击而引起网络中断,从而影响业务。
确保服务器不会受到来自内部和外部用户的攻击和入侵。
4公司网络架构设计
4.1拓扑架构设计
由于本网络规模为中小型网络,因此采用二层的网络架构设计,即分为接入层和核心层,省略中间的汇聚层。
保留现有公司局域网的星形拓扑结构,更换核心层交换机,原核心层交换机用作接入层交换机。
具体为:
采购1台性能优良的千兆交换机替换原来的D—LinkDES—1024R核心交换机,这样服务器到核心交换机的传输速度可达1Gb/s。
移除原来的8端口10兆小型集线器,保留原来的6台D-LinkDES-1024R交换机,再增加百兆桌面级48端口和24端口交换机各1台,这样客户机到桌面交换机的传输速度全部可达100Mb/s,并提供总计204个百兆网络接口,完全满足公司未来5年总计约200个网络接口的需求。
加上后面服务器设计方案、数据备份设计方案、网络管理及安全设计方案,升级后的网络逻辑拓扑结构如图所示。
图表2网络逻辑拓扑结构
整个网络在技术上定位为千兆以太网主干网络,以光纤和双绞线为主要传输介质,因而对网络协议透明,故可以配置成以IP协议为主的高速IP网络。
4.2接入互联网设计
将原来的2MDDN专线升级到4M。
之前公司Internet接入方式有两种,一是中国电信提供的速度为2M的DDN专线,通过Cisco2610xm路由器和CiscoPIX501防火墙连接到局域网,为邮件服务器专用。
费用为每月8000元,线路和设备都由电信部门维护。
二是ADSL接入,用于公司用户访问因特网,费用为每月600元。
由于与中国电信合作良好,专线使用时间已达7年,经与中国电信协商,他们决定免费给公司DDN专线升级到4M带宽,并取消ADSL线路.邮件服务器与访问Internet共用4M专线带宽接入方式.
4.3布线设计
布线类型选择不合理会导致网络传输速度偏低和传输带宽不足,不能很好满足校园业务需求的数据量传输,形成无法克服的物理层瓶颈;信息点设置不足导致作为学校重要业务数据不能及时或实时记录和保存;网络故障率高网络硬件维护人员疲于奔命.
以交换式千兆以太网作为学校的主干网,按10M/100M交换式子网方式接入.校园网布线设计一般采用多级物理星型结构、点到点连接,任何一条线路故障均不影响其他线路的正常运行。
网络采用分散式三层交换体系,二级交换机具有第三级交换能力,主干线路压力小,而且全部实现百兆交换入室。
三级交换机可以堆叠,能将一个主干和桌面交换机组成一个整体,提供足够的交换口,可扩展性好。
主干网选用千兆以太网,其第三层以太网路由器交换机大都满足IEEE802。
3Z标准,技术成熟,具有流量优先机制能有效保证多媒体传输时的QoS(QualityofService服务质量)。
考虑到在目前通信条件的成熟和对性能要求的提高,可以采用快速以太网技术,网络的主干建议采用华为中心三层交换机连接,思科交换机也提供多个多模光纤端口及多个10/100/1000MUTP端口,这样也就是为以后的扩展做了容余.
千兆以太网具有良好的兼容性和可扩展性,在ATM技术成熟时,可平滑集成到ATM网络中,作为ATM网的边缘子网.
工作组子网可选用100M交换模式.使用户终端独占100M带宽的数据交换。
在核心交换机与工作组交换机之间,采用100Mbps传输带宽,当使用全双工时,传输带宽为200Mbps。
综合布线系统可划分为(如图1。
2):
工作区子系统;水平布线子系统;垂直干线子系统;管理子系统;设备子系统整个系统综合采用统一标准的配线组和模块化结构统一布线、一次完成。
它的每一个子系统都是一个相互独立的单元组,改变任何一个子系统、不影响其他子系统的正常运作。
图表3布线系统总体结构
综合布线系统要求能支持语音、静态或动态图像及多种计算机数据系统.
综合布线系统要求满足以下性能:
支持10BASE—T(10M以太网)和100BASE—T、100BAESE-F(100M高速以太网)
支持1000BASE—SX;1000BASE—LX千兆以太网
支持ISO88025(令牌环网)
支持FDDl和CDDl(100MHz)
支持155M及622MATM网
公司需要布线的地方有两栋楼,分别为行政办公大楼和生产办大楼.电脑主机房设在行政办公大楼一楼,生产办公大楼与行政办公大楼相距800米.其原来的布线系统设计为:
行政办公大楼90个节点,一楼和二楼各45个。
生产办公大楼45个节点,分布在二楼。
所有节点均同时设有三个接口:
一个网络接口、一个电话接口和一个电源接口。
每个楼层设立一个机柜,配置了两台D-Link1024R交换机,提供了45个10/100Mb网络接口,当每个楼层网络接口实际使用量超过45个时,加接了8端口10M小型集线器。
每个楼层布线均采用标准的结构化布线方法:
从电脑主机室配线架上铺设2条线缆(一条备用)到楼层的配线柜,再从配线柜直接铺设线路到节点上。
生产办公大楼与行政办公大楼采用光纤连接(走地下铁槽管道),两端分别使用D-Link的光电转换器连接到D-Link交换机上。
在此次升级方案中,作以下变动:
第一,新增加的50个节点全部放置在行政办公大楼三楼,直接按结构化布线方法布线即可.第二,去掉之前所有使用的10M小型集线器,以保证每个楼层的节点都能使用100M的网络接口.在行政办公大楼三楼放置新采购的D—Link1024R以及D-Link1048交换机各1台.行政办公大楼第三层的布线工作和电脑主机室的装修,已与一个网络系统集成公司谈好,由该公司负责施工。
说明:
每台服务器都是用1000M以太网卡和超5类非屏蔽双绞线连接到电脑主机室的接线板上.每台工作站都是用100M以太网卡和超5类非屏蔽双绞线连接到桌面交换机,桌面交换机用超5类非屏蔽双绞线通过配线柜和墙上插座连接到电脑主机室。
完成后网络物理拓朴图如图所示.
图表4网络物理拓朴图
4.4安全设计
4.4.1网络物理安全设计
网络的物理安全是整个网络系统安全的前提。
根据公司实际情况,综合考虑成本、安全、可靠等各方面因素,在网络的物理安全设计方面,提出了以下方案:
第