中小型企业局域网络的组建与规划.docx
《中小型企业局域网络的组建与规划.docx》由会员分享,可在线阅读,更多相关《中小型企业局域网络的组建与规划.docx(25页珍藏版)》请在冰豆网上搜索。
中小型企业局域网络的组建与规划
摘要
局域网(LAN)的名字本身就隐含了这种网络地理范围的局域性。
由于较小的地理范围的局限性。
我们对它进行安全规划。
本文就是从构建LAN的策略与安全规划两个方面进行分析与总结。
首先我们介绍了什么是LAN。
从LAN的发展史、基本组成、网络拓扑结构、网络操作系统及结构类型多方面对LAN进行了概述。
尤其是LAN的网络拓扑结构从星型、环型、总线型三方面讲述了LAN的拓扑。
然后从局域网的构建、构建方案、以及构建无线企业局域网来充实构建局域网络的策略。
其中构建一个小型网络利用实例让我们对局域网的构建有了一个初步的了解;局域网的构建方案从理论上让我们对局域网有了一个深入的了解;而无线企业局域网的构建则充实了我们对构建局域网的进一步了解。
从局域网的安全策略、解决方案两方面论述局域网的安全规划。
其中安全策略从路由包过滤、防火墙两方面详细介绍了局域网的安全策略;而局域网的解决方案则从物理安全、设置安全两个方面进行介绍。
最后则从局域网的展望对我们了解的局域网进行进一步的扩充,其中符合802.11b标准的无线局域网为市场上无线网络的发展搭建了稳定的平台。
关键词:
局域网;计算机网络;无线局域网;防火墙
Abstract
LAN(LAN)nameitselfimpliestheofficelandofthegeographicalrangeofthiskindofnetwork.Limitationbecauseofsmallergeographicalrange.Wecarryonsafeplanningtoit.ThistextplanstoanalyseandsummarizeintworespectsfromthetacticsandsecurityofstructuringLAN.
WehaverecommendedatfirstwhatisLAN.Fromdevelopmenthistory,makeupbasically,networktopologicalstructure,networkoperatingsystemandtypeinmanyaspectstogoonthesummarytoLANstructureofLAN.NetworkofLANtopologicalstructurefromstartype,ringtype,bustypethreerespecttellLANtopologicalespecially.Structurefromconstruction,schemeofstructuringofLANwirelessenterpriseLANisitisitisitfoundthebureautactics,landofnetworktoconstructtosubstantiatetocome.Amongthemstructureasmall-scalenetworkandutilizetheinstancetoletushaveapreliminaryunderstandingtotheliterarycompositionoftheLAN;TheconstructionschemeoftheLANletsushaveadeepunderstandingtotheLANtheoretically;Theconstructionofthewirelessenterprise'sLANhassubstantiatedourfurtherunderstandingtoLANofstructuring.DescribethesecurityplanningoftheLANfromtworespectsofsecuritytactics,solutionoftheLAN.Safetacticsbagfilter,firewalltworespectintroducesecuritytacticsofLANindetailfromrouteamongthem;SolutionofLANfromsafesettingupsafetwomakeanintroductionphysicshave.CarryonfurtherexpansiontotheLANthatweunderstoodfromtheprospectoftheLANfinally,amongthemaccordwith802.WirelessLAN,11bofstandardwirelessdevelopmentofnetworkputupthesteadyplatformformarket.
Keywords:
LAN;topologicalstructure,;wirelessLAN
第1章绪论
背景及意义
在计算机网络日益成为生活中不可或缺的工具时,计算机网络中的入侵活动已经引起了公众的高度重视。
非法入侵一直危害着网络安全,计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面。
网络的安全威胁方向也分为外部和内部。
黑客攻击早在主机终端时代就已经出现,随着因特网的发展,现代黑客则从以系统为主的攻击转变到以网络为主的攻击。
自从1977年第1个民用局域网系统ARCnet投入运行以来,局域网以其广泛的适用性和技术价格方面的优势,获得了成功和迅速的发展,已成为数据网络领域中基于宿主机的最流行的网络连接形式。
随着社会对计算机依赖性的迅速增加,用户要求互连的计算机数量更多,类型也更为复杂。
现代固态电子技术的发展,使人们可以根据不同的要求选择不同的网络方案,但传统有线网络由于受设计或环境条件的制约,在物理、逻辑和资金方面普遍存在着一系列问题,特别是当涉及到网络移动和重新布局时,所以发展一种可行的无线通信网络技术作为现有数据连接的扩充已成为一种需要。
进入90年代以来,随着个人数据通信的发展,功能强大的便携式数据终端以及多媒体终端的广泛应用,为了实现任何人在任何时间、任何地点均能实现数据通信的目标,要求传统的计算机网络由有线向无线,由固定向移动,由单一业务向多媒体发展,更进一步推动了无线局域网(WirelessLAN,以下简称无线LAN)的发展。
无线LAN和个人通信网(PCN)代表了90年代通信网络技术的发展方向。
PCN主要用于支持速率小于56kbit/s的语音/数据通信,而无线LAN大多用于传输率大于1Mbit/s的局域和室内数据通信,同时为未来多媒体应用(语音、数据和图像)提供了一种潜在的手段。
无线LAN既可满足各类便携机的入网要求,也可作为传统有线LAN的补充手段。
当然,局域网技术应用于无线信道之所以成为可能,还在于相关技术的发展解决了某些关键性问题:
(1)天线设计技术的发展,使得在无线LAN中,每个节点在保证信号强度的同时,实现整个区域的覆盖。
(2)高性能、高集成度的CMOS和GaAs半导体技术的发展,以及多芯片模块技术(MCM)的出现,使得在一块低功耗、低成本专用集成电路(ASIC)芯片上可同时实现信号的调制解调,完成在微波以上频段的收发信功能。
(3)网络软硬件设计技术的进展,使芯片实现高速数据处理和复杂协议成为可能
第2章
局域网概述
什么是LAN
为了完整地给出LAN的定义,必须使用两种方式:
一种是功能性定义,另一种是技术性定义。
前一种将LAN定义为一组台式计算机和其它设备,在物理地址上彼此相隔不远,以允许用户相互通信和共享诸如打印机和存储设备之类的计算资源的方式互连在一起的系统。
这种定义适用于办公环境下的LAN、工厂和研究机构中使用的LAN。
就LAN的技术性定义而言,它定义为由特定类型的传输媒体(如电缆、光缆和无线媒体)和网络适配器(亦称为网卡)互连在一起的计算机,并受网络操作系统监控的网络系统。
功能性和技术性定义之间的差别是很明显的,功能性定义强调的是外界行为和服务;技术性定义强调的则是构成LAN所需的物质基础和构成的方法。
局域网(LAN)的名字本身就隐含了这种网络地理范围的局域性。
由于较小的地理范围的局限性。
由于较小的地理范围,LAN通常要比广域网(WAN)具有高的多的传输速率,例如,目前LAN的传输速率为10Mb/s,FDDI的传输速率为100Mb/s,而WAN的主干线速率国内目前仅为64kbps或2.048Mbps,最终用户的上线速率通常为14.4kbps。
LAN的拓扑结构目前常用的是总线型和环行。
这是由于有限地理范围决定的。
这两种结构很少在广域网环境下使用。
LAN还有诸如高可靠性、易扩缩和易于管理及安全等多种特性。
LAN的发展史
在计算机应用的初期,人们使用的都是大中型计算机,通常简称为主机。
需要使用计算机的人必须向计算机操作人员提交请求,而且在获准上机后,必须等待数小时或几天才能得到结果。
后来,随着电子技术的发展,通过终端连到了主机上,从而人们不必进入机房,只需从办公室的终端上便可提交请求。
再后来又出现了中小型计算机,操作系统也随之出现。
这时用户已经能够以交互操作方式向中心机提交请求。
然而,计算机的普及使用只是在70年代出现了个人计算机(PC)后才得以实现的。
1981年出现的IBMPC机的处理能力和存储能力已经可同早几年的大型机相媲美。
随着PC的大量投入市场,人们发现,每台PC配置一台磁盘驱动器和打印机,当时在费用上实在难以承受。
于是出现了资源共享的方式:
磁盘服务器和共享打印机。
这是一种硬件和软件的组合,它可使几个PC用户很方便地对公共硬盘驱动器进行共享式访问。
第一个磁盘服务器是在CP/M操作系统下运行的。
早期的LAN,用户对硬盘驱动器的共享访问是经过连到共享驱动器的计算机实现的。
计算机中的软件将公享的硬盘驱动器分成称为"卷"的区域,每个用户一个。
在用户看来,用户分得的"卷"犹如他自己的专用盘驱动器。
硬盘通常还包括公用卷,使用户共享信息。
在目前LAN中,磁盘服务器已经由文件服务器取代。
文件服务器无论在使用户共享文件方面,还是帮助用户跟踪他们的文件方面都优于磁盘服务器。
有些LAN能支持多个文件服务器,每个服务器又有多个硬盘驱动器与之相连,从而使LAN很容易扩充。
除硬盘驱动器为PC用户共享外,第二个供PC用户共享的设备是打印机。
目前,每种LAN都能有这种能力,而且在多数情况下,打印服务器已成了整个LAN软件包的一部分,而不是一台独立的计算机。
利用LAN打印服务器,用户仅可使用与一定文件服务器相连的打印机,或使用与网络上任何用户工作站相连的打印机。
LAN管理器可以限制对一定打印机的访问。
用户也可将几个文件发送到同一个打印机。
这些特点和其它特点取决于使用的LAN软件特性。
其它类型的服务器也已出现,如通讯服务器、数据库服务器等,将在以后的专题中介绍。
需要强调的是,LAN是通过将一组PC连接到指定为服务器的机器上来实现的,连接媒体可有多种,如同轴电缆等。
LAN的基本组成
要构成LAN,必须有其基本组成部件。
LAN既然是一种计算机网络,自然少不了计算机,特别是个人计算机(PC)。
几乎没有一种网络只由大型机或小型机构成。
因此,对于LAN而言,个人计算机是一种必不可少的构件。
计算机互连在一起,当然也不可能没有传输媒体,这种媒体可以是同轴电缆、双绞线、光缆或辐射性媒体。
第三个构件是任何一台独立计算机通常都不配备的网卡,也称为网络适配器,但在构成LAN时,则是不可少的部件。
第四个构件是将计算机与传输媒体相连的各种连接设备,如DB-15插头座、RJ-45插头座等。
具备了上述四种网络构件,便可搭成一个基本的LAN硬件平台,如图2.1所示。
图2.1LAN组成
有了LAN硬件环境,还需要控制和管理LAN正常运行的软件,即谓NOS是在每个PC机原有操作系统上增加网络所需的功能。
例如,当需要在LAN上使用字处理程序时,用户的感觉犹如没有组成LAN一样,这正是LAN操作发挥了对字处理程序访问的管理。
在LAN情况下,字处理程序的一个拷贝通常保存在文件服务器中,并由LAN上的任何一个用户共享。
由上面介绍的情况可知,组成LAN需要下述5种基本结构:
①计算机(特别是PC机);
②传输媒体;
③网络适配器;
④网络连接设备;
⑤网络操作系统。
LAN的网络拓扑结构
网络拓扑结构是指用传输媒体互连各种设备的物理布局。
将参与LAN工作的各种设备用媒体互连在一起有多种方法,实际上只有几种方式能适合LAN的工作。
如果一个网络只连接几台设备,最简单的方法是将它们都直接相连在一起,这种连接称为点对点连接。
用这种方式形成的网络称为全互连网络,如图2.2所示。
图中有6个设备,在全互连情况下,需要15条传输线路。
如果要连的设备有n个,所需线路将达到n(n-1)/2条!
显而易见,这种方式只有在涉及地理范围不大,设备数很少的条件下才有使用的可能。
即使属于这种环境,在LAN技术中也不使用。
这里所以给出这种拓扑结构,是因为当需要通过互连设备(如路由器)互连多个LAN时,将有可能遇到这种广域网(WAN)的互连技术。
图2.2网络拓扑结构
目前大多数LAN使用的拓扑结构有3种:
①星行拓扑结构;
②环行拓扑结构;
③总线型拓扑结构。
星型拓扑结构
星型结构是最古老的一种连接方式,大家每天都使用的电话都属于这种结构,如图2.3所示。
其中,图2.3为电话网的星型结构,图2.4为目前使用最普遍的以太网星型结构,处于中心位置的网络设备称为集线器,英文名为Hub。
图2.3电话网的星型结构
图2.4以Hub为重心的结构
这种结构便于集中控制,因为端用户之间的通信必须经过中心站。
由于这一特点,也带来了易于维护和安全等优点。
端用户设备因为故障而停机时也不会影响其它端用户间的通信但这种结构非常不利的一点是,中心系统必须具有极高的可靠性,因为中心系统一旦损坏,整个系统便趋于瘫痪。
对此中心系统通常采用双机热备份,以提高系统的可靠性。
环形网络拓扑结构
环型结构在LAN中使用较多。
这种结构中的传输媒体从一个端用户到另一个端用户,直到将所有端用户连成环型,如图2.5所示。
这种结构显而易见消除了端用户通信时对中心系统的依赖性。
图2.5环形网络拓扑结构
环行结构的特点是,每个端用户都与两个相临的端用户相连,因而存在着点到点链路,但总是以单向方式操作。
于是,便有上游端用户和下游端用户之称。
例如图2.5中,用户N是用户N+1的上游端用户,N+1是N的下游端用户。
如果N+1端需将数据发送到N端,则几乎要绕环一周才能到达N端。
总线拓扑结构
总线结构是使用同一媒体或电缆连接所有端用户的一种方式,也就是说,连接端用户的物理媒体由所有设备共享,如图2.6所示。
使用这种结构必须解决的一个问题是确保端用户使用媒体发送数据时不能出现冲突。
在点到点链路配置时,这是相当简单的。
如果这条链路是半双工操作,只需使用很简单的机制便可保证两个端用户轮流工作。
在一点到多点方式中,对线路的访问依靠控制端的探询来确定。
然而,在LAN环境下,由于所有数据站都是平等的,不能采取上述机制。
对此,研究了一种在总线共享型网络使用的媒体访问方法:
带有碰撞检测的载波侦听多路访问,英文缩写成CSMA/CD。
图2.6总线拓扑结构
这种结构具有费用低、数据端用户入网灵活、站点或某个端用户失效不影响其它站点或端用户通信的优点。
缺点是一次仅能一个端用户发送数据,其它端用户必须等待到获得发送权。
媒体访问获取机制较复杂。
尽管有上述一些缺点,但由于布线要求简单,扩充容易,端用户失效、增删不影响全网工作,所以是LAN技术中使用最普遍的一种。
网络操作系统
网络操作系统(NOS)是网络的心脏和灵魂,是向网络计算机提供服务的特殊的操作系统它在计算机操作系统下工作,使计算机操作系统增加了网络操作所需要的能力。
例如象前面已谈到的当你在LAN上使用字处理程序时,你的PC机操作系统的行为像在没有构成LAN时一样,这正是LAN操作系统软件管理了你对字处理程序的访问。
网络操作系统运行在称为服务器的计算机上,并由连网的计算机用户共享,这类用户称为客户。
NOS与运行在工作站上的单用户操作系统或多用户操作系统由于提供的服务类型不同而有差别。
一般情况下,NOS是以使网络相关特性最佳为目的的。
如共享数据文件、软件应用以及共享硬盘、打印机、调制解调器、扫描仪和传真机等。
一般计算机的操作系统,如DOS和OS/2等,其目的是让用户与系统及在此操作系统上运行的各种应用之间的交互作用最佳。
为防止一次由一个以上的用户对文件进行访问,一般网络操作系统都具有文件加锁功能。
如果没有这种功能,将不会正常工作。
文件加锁功能可跟踪使用中的每个文件,并确保一次只能一个用户对其进行编辑。
文件也可由用户的口令加锁,以维持专用文件的专用性。
NOS还负责管理LAN用户和LAN打印机之间的连接。
NOS总是跟踪每一个可供使用的打印机以及每个用户的打印请求,并对如何满足这些请求进行管理,使每个端用户的操作系统感到所希望的打印机犹如与其计算机直接相连。
NOS还对每个网络设备之间的通信进行管理,这是通过NOS中的媒体访问法来实现的。
NOS的各种安全特性可用来管理每个用户的访问权利,确保关键数据的安全保密。
因此,NOS从根本上说是一种管理器,用来管理连接、资源和通信量的流向。
LAN的结构类型
LAN的结构主要有三种类型:
以太网(Ethernet)、令牌环(TokenRing)、令牌总线(TokenBus)以及作为这三种网的骨干网光纤分布数据接口(FDDI)。
它们所遵循的标准都以802开头,目前共有11个与局域网有关的标准,它们分别是:
IEEE802.1——通用网络概念及网桥等
IEEE802.2——逻辑链路控制等
IEEE802.3——CSMA/CD访问方法及物理层规定
IEEE802.4——ARCnet总线结构及访问方法,物理层规定
IEEE802.5——TokenRing访问方法及物理层规定等
IEEE802.6——城域网的访问方法及物理层规定
IEEE802.7——宽带局域网
IEEE802.8——光纤局域网(FDDI)
IEEE802.9——ISDN局域网
IEEE802.10——网络的安全
IEEE802.11——无线局域网
上述LAN技术各有自身的敷缆规则与工作站的连接方法,硬件需求以及各种其它部件的连接规定。
网络拓扑结构有两种类型,一个是指相互连接的工作站的物理布局,另一个是网络的工作方式。
前者是人们可以看到的连接结构,后者是逻辑、操作结构,因而是不可见的,并称之为逻辑拓扑结构。
LAN的网络拓扑结构广泛采用的主要有总线型和环型。
LAN使用的星型结构主要是指用双绞线构成的网络。
这种使用集线器(Hub)构成的星型网,实质上仍然是总线型网络。
第3章
构建局域网络的策略
构建一个小型网络
要构建一个小型网络,首先要明确用途与网络结构,然后定出网络拓扑、指定协议、分配IP、应用软件等等。
对于宁波网通的一般用户可以采用以下几种网络结构:
1.直接的接入;
2.对等网接入;
3.服务器/客户机(双网卡);
4.服务器/客户机(单网卡);
5.路由设备接入。
直接的接入是最简单的方法,只需将总线接至HUB的上联口即可,但受到小区认证的限制。
对等网可以省去中继设备,但作为服务器的PC需要多添加一块网卡,而且当客户机要求联网时,服务器需要开机;并且对等网只能有两台计算机。
服务器/客户机(双网卡)是比较常见和正规的接入方式,有比较好的扩展性和安全性。
服务器/客户机(单网卡)与双网卡的形式基本相近,但缺少安全性,设置可能更加繁琐。
路由设备接入相当于使用路由器取代了方案3/4的服务器
确定网络结构后,需要选择共享上网的软件(直接的接入的无需考虑,路由设备只需对其配置即可),一般这种小型的局域网共享上网可以采用:
windows自带的网络共享连接
wingate,sygate等第三方代理软件
windows软路由
一般来说windows软路由最稳定;windows自带的网络共享连接设置简单方便,不易与系统产生冲突;第三方代理软件控制功能比较多,但设置项较多,与系统的兼容问题也比较头痛。
组网建议1:
小型局域网(1--3台)
平台需求
普通PC/win2000专业版
硬件需求
4/8口集线器一个/UTPCAT5若干
预算
8口集线器:
200---300
UTPCAT5:
3/米
网络安全性
较优
优缺点
优点:
简便易行,实现成本低,添加的软硬件少,
缺点:
在不使用代理方式时,最多扩展至3台计算机同时连接Intelnet。
实现方法:
进线与集线器相连,PC网卡与集线器相连(直联线)即可。
需安装TCP/IP协议,IP地址与DNS服务均自动获取(默认设置)。
此时每台计算机均能独立与Intelnet相连。
组网建议2:
双网卡共享出口(2台)
平台需求
普通PC/win2000专业版
硬件需求
主机需增加一块网卡/UTPCAT5若干
预算
网卡:
35—120
UTPCAT5:
3/米
网络安全性
主机:
较优
客户机:
优
优缺点
优点:
简便易行,实现成本低,添加的软硬件最少。
缺点:
客户机对主机有依赖,没有可扩展性。
局域网构建方案
在科研所内应建立两种类型的网:
信息网和内部工作网。
信息网侧重于对外宣传、交流、情报调研等。
内部工作网侧重于内部工作交流、学术讨论、软硬件共享、党政行政科研管理与信息查询等。
整顿后的信息网点目前只集中在个别公用上网室,并有专人管理和有效维护。
内部工作网建设方面的工作由以下三部分组成。
(1)内部工作网安全解决方案。
使内部网物理上和外界断开。
将网络在网络层(ISO/OSI模型中的第三层)上进行分段,网络分段是保证安全的一项重要措施,同时也是一项基本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
在链路层进行VLAN(虚拟网)设置,VLAN划分的目的也是保证系统的安全性。
应用交换机和VLAN技术,实际上是将以太网从本质上基于广播机制转变为点到点通讯。
即信息只到达应该到达的地点。
因此防止了大部分基于网络监听的入侵手段。
通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。
实现访问控制,通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击之前,操作上加强管理,进行备份与恢复,良好的备份与恢复机制可在有意或无意造成损失时,尽快地恢复资料和系统服务。
引进网管软件和网络监控设备,对网络进行有效的管理,对流经网络的数据进行检测和分析,捕获网络违规事件和恶意入侵行为,自动生成审计跟踪记录和分析报告,切断非法连接并实时报警,对潜在的网络堵塞、延迟或故障进行识别和清除等。
安装网络防病毒软件,可使系统免受病毒袭击,提高网络安全运行的可靠性。
此外,在某些上网机上安装个人防火墙软件,可加强上网机自身的安全保护,降低上网机受到网络其他用户非法访问的风险。
必要时采用加密通讯。
网络主要设备装入配备的各网络
升级会员 