1、毕业论文题 目 _质监局局域网的建设_专业名称 计算机科学与技术 学生姓名 指导教师 毕业时间 摘 要随着网络的逐步普及,办公网络的建设是各企业单位、事业单位、政府机关向信息化发展的必然选择。本毕业设计中质监局局域网系统是一个非常庞大而复杂的系统,它不仅为综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能提供多种应用服务,使信息能及时、准确地传送给各个系统。而质监局局域网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的,因此本毕业设计课题将主要以质监局局域网建设过程可能用到的各种技术及实施方案为设计方向,为质监局局域网的建设提供理论依据和实践指导。关键字:局域网、In
2、ternet、计算机网络、网络协议、服务器、防火墙目录前 言1第一章 计算机局域网概述2一.计算机局域网21.计算机网络的分类22.计算机网络的拓扑结构3二.计算机网络的相关技术41.网络结构层次42.IP地址和MAC地址53.网络协议74.IEEE局域网系列标准8三.传输介质及网络设备91.网卡92.交换机93.路由器104.传输介质10第二章 质监局局域网的建设12一.项目背景12二.需求分析12三.设计思路131.总体设计原则132.总体功能14四.网络建设141.网络拓扑图142.网络层次153.交换机的具体部署164.局域网中其他设备及软件175.VLAN划分186.IP地址规划18
3、7.设备选型19结 论26参考文献27致 谢2827前 言当今时代是一个以信息技术(Information Technology,简称IT)为代表的知识经济时代,计算机技术和信息科技的发展更是日新月异,从各个方面影响和改变着我们的生活,而其中的计算机网络技术的发展更为迅速,已经渗透到了我们生活的各个方面,人们已经离不开计算机网络,并且随着因特网的迅速普及,给我们的学习与生活条件带来更大的方便,我们与外部世界的联系将更加的紧密和快速。随着人们对于信息资源共享以及信息交流的迫切需求,促使网络技术的产生和快速发展,计算机网络的产生和使用为人类信息文明的发展带来了革命性的变化。随着计算机网络管理功能的
4、强化,计算机硬件技术和软件技术都与网络技术融合到一起,近几年来应用程序的开发更发展到以WEB门户网站为界面,以与后台网络分布式数据库和实时交互操作的程序库,共同组成网络环境下的三层架构模式,这成了计算机应用程序开发模式的主流趋势。本次质监局网络建设项目是以局域网为依托,架构办公自动化、信息传播和有关智能化系统等运行平台,为用户提供先进的办公、数据共享、信息传播和学术交流手段,实现各系统之间的信息交流和信息资源共享,实现内部局域网与Internet以及区卫生所专网的连接。第一章 计算机局域网概述系统的理解网络理论对于掌握网络技术是十分必要的,本论文中仅对于相关技术作简单的介绍,便于读者阅读。一.
5、 计算机局域网“网络就是计算机”,计算机网络已经在企业、事业、学校、政府机关等地方成为不可缺少的工具。对网络的进一步定义是:“至少有两个具有共享需求的个体;至少有一种方法或通路使其个体互连;至少有一种规则使两个或两个以上个体相互传信。”个体指计算机硬件和软件、方法或通路指连接与传输媒介、规则指网络通信协议。网络在不同的阶段有不同的含义,定义也会被修改,但几十年的变迁有一点始终不改,那就是“资源”的共享,包括软件资源、硬件资源、数据和服务资源的共享,它是组网的原始动力。1. 计算机网络的分类网络按照传输距离可以分为一下3种:1) 局域网(Local Area Networks,简称LAN)。局域
6、网的传输距离较短一般从几米到几公里,往往用于一个单位,比如一个公司、一个政府部门等。局域网的优点是传输速率高,往往可以达到百兆或千兆,局域网的另一个优点是传输信号质量高,误码率低,传输时延小。2) 广域网(Wide Area Networks,简称WAN)。广域网也成为远程网,传输距离为几百公里甚至更远,一般跨城市甚至国家。广域网往往会用多种通信介质,比如光纤、微波中继、卫星通信与电力载波等。如何在广域网上保证网络访问的安全,是目前网络技术的关键和核心技术领域之一。3) 城域网(Metropolitan Area Network,简称MAN)。城域网介于LAN和WAN之间,传输距离由几公里到十
7、几公里,“城域网”可以理解为一个城市范围内的网络,事实上目前的城域网通常以高速环网为核心架构一个城市的主干高速通信网。2. 计算机网络的拓扑结构网络拓扑就是网络中计算机、缆线以及其他通信部件构成的几何布局。计算机网络的拓扑有多种类型,并且是随着网络技术的不断发展而不断涌现与完善。1) 总线型(Bus)将各节点的设备用同一根网线连接起来,所有主机共享同一通信介质,拓扑结构如图1.1。在总线电缆上任何一处的松动和脱离都会引起网络无法运行,且由于布线问题故障的定位及修复比较困难,维护比较困难图1.1 总线型网络拓扑结构2) 星形(Star)星型拓扑网络以中央节点为中心,由中央节点与其他节点相连接组成
8、,如图1.2所示。中央节点机一般为集线器或交换机,除了中心节点之外的任何节点故障或节点的增减都不影响网络中的其他节点工作,从而实现了网络便于维护、便于管理的优越性。图1.2 星型网络拓扑结构3) 树形(Tree)当一台集线器或交换机的端口数量不足以连接所有的计算机或者需要联网的计算机分布比较分散,可以再串联第二级星型网络,如图1.3所示,这就是树形拓扑结构。图1.3 树形网络拓扑结构4) 环形(Ring)网络中各节点通过环路接口,链接到一条首尾相连的闭合环形通信线路中,如图1.4所示。环网上的任何一个节点的故障都会影响整个网络传输。图1.4 环形网络拓扑结构二. 计算机网络的相关技术1. 网络
9、结构层次国际标准化组织未来连接不同设备的网络体系结构,于1984年提出开放系统互联参考模型OSI(Open System Interconnection)。它被分成7层,这7个层次分别定义了不同的功能。几乎所有的网络都是基于这种体系结构的模型进行改进并定义的,这些层次从上到下分别是应用层、表示层、会话层、运输层、网络层,数据链路层和物理层,其中物理层是位于体系结构的最低层,它定义了OSI网络中的物理特性和电气特性。OSI参考模型及工作过程如图1.5所示。图1.5 OSI七层体系结构及数据流说明TCP/IP(Transmission Control Protocol/Internet Proto
10、col,传输控制协议和互连网协议)缩写,TCP/IP体系结构是当前应用于Internet网络中的体系结构,它是由OSI结构演变来的,它没有表示层,只有应用层、运输层,互联层和网络接口层。2. IP地址和MAC地址2.1 IP地址1) IP地址网络地址唯一指定了每一个网络,同一网络中的每台计算机都共享相同的网络地址,并用它作为自己IP地址的一部分。例如,在IP地址172.16.30.56中,172.16就是这个网络地址。主机地址是在一个网络中用来标识每台计算机的,它是一个唯一的标识符。在IP地址为172.16.30.56的这个例子中,30.56就是这个主机的地址。IP地址分为A、B、C、D、E五
11、类,图1.6解释了这5个网络的类别关系,表1.1说明了这几类地址的范围及掩码。图1.6 IP地址分类IP地址范围掩码A类0.0.0.0-126.255.255.255255.0.0.0B类128.0.0.0-191.255.255.255255.255.0.0C类192.0.0.0.-223.255.255.255255.255.255.0D类224.0.0.0-239.255.255.255E类240.0.0.0-255.255.255.255表1.1 IP地址范围2) 私有IP地址私有地址可以被用于私有网络,只是它们不可以路由通过Internet,这个设计主要是为了满足广泛需要的安全目的,
12、同时也很有效地节省了宝贵的IP地址空间,表1.2是被保留的私有IP地址列表。地址类被保留的地址空间A类10.0.0.0-10.255.255.255B类172.16.0.0-172.31.255.255C类192.168.0.0-192.168.255.255表1.2 私有地址列表3) 特殊IP地址在IP地址中除了定义了私有IP地址外,还定义了如下IP地址在网络通信时所表示的特殊意义,这些地址不可用于一般的IP地址配置。0.0.0.0:表示所有网络,在路由表中指向默认网关。255.255.255.255:在路由表中表明IP广播地址。127.0.0.1:本地回送地址,既指向本机。2.2 MAC地
13、址每块网卡出厂时,就被赋予唯一的物理地址作为标识,这样的物理地址称为MAC地址。MAC地址由6个字节组成,用16进制数表示,6个字节中前3个为制造网卡厂商的标识,后3个字节为网卡序列号,因此每一个网卡的MAC地址在全球是独一无二的。3. 网络协议网络协议是通信双方共同遵守的约定和规范,网络设备必须安装或设置各种网络协议之后才能完成数据的传输和发送,在校园局域网上用到的协议主要有,ICP/IP协议、IPX/SPX协议等。3.1 TCP/IP协议TCP/IP协议是目前在网络中应用得最广泛的协议,ICP/IP实际上是一个关于Internet的标准,并随着的Internet广泛应用而风靡全球,它也成为
14、局域网的首选协议。TCP/IP是一种分层协议,它共被分为个4层次,大约包含近期100个非专有协议,通过这些协议,可以高效和可靠地实现计算机系统之间的互连。TCP/IP协议中的核心协议有TCP(传输控制协议)、UDP(用户数据报协议)和IP(因特网协议)。TCP/IP协议组模型如图1.7:图1.7 TCP/IP协议组1) TCP协议TCP协议可以在网络用户启动的软件应用进程之间建立通信会话,并实现数据流量控制和错误检测,这样就可以在不可靠的网络上提供可靠的端到端数据传输。UDP协议是一种无连接的协议,它在传输数据之前不建立连接,也不提供良好的可靠性和差错检查,只仅仅依赖于校验来保证可靠性。UDP
15、不进行流量控制,没有序列或者确认,因此它处理和传输数据的速度快,还被用来传输关键的网络状态消息。2) IP协议IP协议的基本功能是提供数据传输、数据包编址、数据包路由,分段等。通过IP编址约定,可以成功地将数据通过路由传输到正确的网络或者子网。每个网络站点具有一个32位的IP地址,它和48位MAC地址一起协作,完成网络通信,IP协议也是一种无连接的协议。3) Telnet协议Telnet协议允许一个用户在远程客户端采用虚拟终端的方式访问另一台机器上的资源。4) FTP协议文件传输协议(FTP)实际上就是传输文件的协议,它可以应用在任意两台主机之间,它不仅仅是一个协议,它同时也是一个程序。FTP
16、允许执行对目录和文件的访问,并且可以完成特定类型的目录操作,例如将文件重新定位到不同的目录中。5) SMTP协议简单邮件传输协议(wsmtp)对应于我们普遍使用的被称为E-mail的应用,它描述了邮件投递中的假脱机、排列及方法。SMTP用来发送邮件,POP3用来接收邮件。6) DNS协议域名解析服务(DNS)将计算机域名与其IP地址一一对应,从而建立起具有严密逻辑关系的域名服务系统,就是把人工输入的计算机网络和主机的名字翻译为IP地址,然后利用网络软件根据IP地址实线各种网络功能。7) DHCP协议动态主机配置协议(DHCP)可以为接入网络的客户计算机动态分配IP地址,它可以工作在小型甚至超大
17、型网络环境中,并使得对这些网络的管理和操作更为简单、更为容易。4. IEEE局域网系列标准IEEE802系列标准是由美国电子和电器工程师学会(IEEE)制定的,这个标准的大部分内容已经成为计算机网络技术的国际标准。随着局域网技术的发展,IEEE802系列标准在不断的扩大和发展,目前已经定义并发布如下标准。IEEE802.1标准:定义了局域网体系结构和网络互联,网络管理和性能测量。IEEE802.2标准:定义了OSI的数据链路层的两个子层的功能。IEEE802.3标准:定义了CDMA/CD总线MAC子层和物理层规范。IEEE802.4标准:定义了令牌总线MAC子层和物理层规范。IEEE802.5
18、标准:定义了令牌环网MAC子层和物理层规范。IEEE802.6标准:定义了城域网MAC子层和物理层规范。IEEE802.7标准:定义了宽带网技术。IEEE802.8标准:定义了光纤传输技术。IEEE802.9标准:定义了综合语音和数据局域网技术。IEEE802.10标准:定义了可互操作的局域网安全规范。IEEE802.11标准:定义了无线局域网技术。IEEE802.12标准:定义了新型高速局域网技术。三. 传输介质及网络设备网络设备主要是指硬件系统,各种网络设备之间是有着相互关联而不是相互独立的,每一部分在网络中有着不同的作用,缺一不可,只有把这些设备通过一定的形式连起来才能组成一个完整的网络
19、系统,网络设备主要包括网卡、集线器、交换机、路由器、传输介质等。1. 网卡 网卡(简称NIC),也网络适配卡或网络接口卡,网卡作为计算机与网络连接的接口,是不可缺少的网络设备之一。无论是双绞线网络、同轴电缆网络还是光缆网络,都必须借助于相应类型的网卡才能实现与计算机的连接,是计算机与局域网相互连接的惟一接口。每块网卡上都有一个世界惟一的ID号,也就是MAC(Media Access Control)地址,计算机在连入网络之后,就是依靠这个ID号才能实现在不同计算机之间的通信和信息交换。网卡有很多种,不同类型的网络需要使用不同种类的网卡,不同速度的网络需求也要使用不同的网卡。如根据带宽来分的话,
20、有10Mbit/s网卡、10/100Mit/s自适应网卡和1000Mbit/s网卡;如按总线分,有ISA总线、PCI总线、PCMCIA总线网卡等。2. 交换机 交换机,也称交换式集线器,是专门设计的,使各计算机能够相互高速通信的独享带宽的网络设备。作为高性能的集线设备,随着价格的不断降低,交换机已逐步取代了集线器而成为集线设备的首选。由交换机构建的交换式网络系统不仅拥有高速的传输速率,而且交换延时很小,使得信息的传输效率大大提高,适合于大数据量并且使用非常频繁的网络通信,被广泛应用于各种类型的多媒体和数据传输网络。交换机具有很强的网络管理功能,它能自动根据网络通信的使用情况来动态管理网络,因为
21、交换机采用了独享网络带宽的设计。3. 路由器 路由器除了有连接不同的网络物理分支和不同的通信媒介、过滤和隔离网络数据流及建立路由表,还有控制和管理复杂的路径、控制流量、分组分段、防止网络风暴及在网络分支之间提供安全屏障层等到功能。根据路由设备的组成可以分为软路由和硬路由。根据路由表的设置方式可以将路由器分为静态的和动态的。路由器工作在网络层,因此它可以在网络层交换和路由数据帧,访问的是对方的网络地址。当数据帧到达路由器后,路由器查看数据帧的目标地址,并在路由表查看到达目标地址的路径,根据路径的代价,选择一条最佳的路径,然后把数据帧沿这条路径发送给目标地址。4. 传输介质 网络要求把各个独立的计
22、算机连接起来的,这样就必然要求有一种介质将计算机连接起来,这就是传输介质,局域网的传输介质可分为有线介质和无线介质两种,一般情况下都是用有线介质的,因为它的稳定性高,连接可靠,无线介质只是在特殊环境下才使用的传输方式。常用的有线介质主要有以下几类。4.1 同轴电缆同轴电缆以硬铜线为芯,外包一层绝缘材料。这层绝缘材料用密织的网状导体环绕,网外又覆盖一层保护性材料。同轴电缆有许多种不同的规格,最常用是细同轴电缆和粗同轴电缆。细同轴电缆主要用于建筑物内的网络连接,而粗同轴电缆则常用于建筑物间相连。它们的区别在于粗同轴电缆屏蔽更好,能传输更远的距离。4.2 双绞线双绞线是综合布线工程中最常用的一种传输
23、介质。双绞线由两根具有绝缘保护层的铜导线组成。把两根绝缘的铜导线按一定密度互相绞在一起,可降低信号干扰的程度,每一根导线在传输中辐射的电波会被另一根线上发出的电波抵消,与其他传输介质相比,双绞线在传输距离、信道宽度和数据传输速度等方面均受到一定限制,但价格较为低廉。目前,双绞线可分为非屏蔽双绞线和屏蔽双绞线。 根据电气性能以及产品推出的先后顺序,双绞线分为三类、四类、五类、超五类、六类、七类等,最常用的是五类UTP双绞线,传输速率可达100Mbit/s。 4.3 光纤 光纤是一种直接为50100um的柔软的、能传导光波的介质,一般由玻璃制造。光纤分为:传输点模数类分单模光纤(Single Mo
24、de Fiber)和多模光纤(Multi Mode Fiber)。单模光纤的纤芯直径很小,在给定的工作波长上只能以单一模式传输,传输频带宽,传输容量大。多模光纤是在给定的工作波长上,能以多个模式同时传输的光纤,与单模光纤相比,多模光纤的传输性能较差。第二章 质监局局域网的建设一. 项目背景质监局新办公楼为多层建筑群,地上5层、地下1层。是以信息传播和质量控制为主的信息交流中心和区内各所的交流的中心。网络系统的基本任务是为用户提供先进的办公、数据共享、信息传播和学术交流手段,实现各系统之间的信息交流和信息资源共享,实现内部局域网与Internet以及区卫生所专网的连接。支持办公自动化、信息传播、
25、质量控制和有关智能化系统等运行平台。二. 需求分析质监局局域网建成后将以局域网为基础,承载质监局内部OA系统、卫生应急指挥系统、质量控制与信息传递系统、视频监控系统、视频会议系统、远程教学系统、IT服务与管理系统及对外网站。该网络建成后需要与互联网连接同时要与政府政务网连接,并下带18个下属机构(下属机构不在本次考虑中)。鉴于以上用户需求,此次局域网建设需达到一下要求:s 确保网络的高可用性、高可靠性和高效率,核心交换机和汇聚层交换机具有高交换速率、大吞吐量,保证质监局的各项工作稳定正常。s 着力于网络的安全性,禁止非法接入,构筑一道全方位的立体安全屏障。s 确保为用户提供针对不同信息系统和网
26、络安全等级需要的综合性企业安全策略和计划。s 确保采用的产品符合中华人民共和国有关信息安全的法律和规范。三. 设计思路1. 总体设计原则网络系统的建设和设计,要从质监局信息化建设的实际需要出发,紧紧围绕质量监督系统的应用需求和发展;采用成熟的先进技术,把握主流技术的发展方向,不仅要考虑到将来的需求,还将为系统的扩充留有余地。这两者的完善结合是在设计本系统方案时的思考和遵循的原则,即:满足用户需求、照顾长远利益、保护用户的投资,以及促进与适应质监局的信息化发展。基于以上考虑我们在网络设计时遵循以下原则:1.1 先进性原则为保证质监局网络建设方案适应信息化的发展,达到规划的预期目的,必须保证技术的
27、先进性,特别是核心交换机和汇聚层交换机具有很高的交换速率和大吞吐量,必须保证质监局的各项工作稳定正常。1.2 实用性原则在保证技术先进的前提下,还应强调系统的应用性和性价比,针对质监局的网络现状和发展趋势,做出最切合实际、最符合的网络建设方案。1.3 安全性原则安全是网络的基础,也是保障正常工作的前提,所以网络建设方案的核心是安全第一,本次网络建设应着力于网络的安全性,如禁止非法接入、双机热备、负载均衡、VLAN的设置等,在网络设计及产品选择上注重安全性,构筑一道全方位的立体安全屏障。1.4 扩展性原则考虑到信息化的发展,此系统应具有很强的开放性与扩展性,选择开放式设计的产品或技术,满足信息交
28、互的需要,同时充分考虑产品的可扩展性,满足不断发展变化的业务和技术需求。2. 总体功能1.网络采用以太网的三级星形拓扑结构。 2.路由器要求支持静态路由、RIP、OSPF等路由协议,支持多条拨号访问、多种接入方式。有接通Internet公网和区卫生系统专网的端口。3.防火墙要求:配置100M防火墙,吞吐量不低于100Mbps,具备NAS、VPN(吞吐量不低于40Mbps),图形化配置方式,有日志管理功能。4.该计算机网络系统应建设成为具有高带宽、具备传输语音、视频、数据的三网合一功能,因此需要较高的QoS性能;5.本网络能支持多媒体教学、会议和学术交流、办公自动化、物业管理、互联网应用(诸如远
29、程教学、流媒体应用、音视频会议、FTP以及远程信息交换)及文体娱乐等方面的应用。6.网络信息中心机房用于放置质监局局域网核心网络设备、服务器、数据、语音总配线架等。涉及的网络功能包括网络运行管理、网络信息管理、网络安全管理、局域网数据中心四个方面。网络中心机房电源由变电所提供两路380V/50Hz电源,在机房经双电源自动切换装置由两路40KVA 在线式UPS不间断电源供给,一路供给核心网络设备及服务器存储集群,另一路专门供给两台一主一备的精密制冷空调。并要预留80kva电源线缆以备日后扩容需要。7网络信息中心机房中服务器存储系统要求加入KVM切换系统,与新加装机柜配套配置KVM切换器,要求带显
30、示设备及输入设备,可控制该机柜内所有服务器设备.并将多个KVM连接入环境监测系统,使得我信息中心操作人员可在管理区直接进行服务器操作,而不用进入设备区.四. 网络建设局域网作为网络的数据交互中心,其扩展的重要性、安全性、冗余性、可靠性以及所承载的巨大数据流量的转发性能对网络的拓扑结构、设备选择和技术实施等方面要求非常高,必需全面体现出该网络结构的高可靠性、高扩展性、高安全性,从而确保网络的稳定运转,满足业务处理的需求。1. 网络拓扑图图2.2 网络拓扑图2. 网络层次整个质监局局域网可划分为以下二部分:2.1 核心层选用思科4507交换机作为核心交换机,使用光纤连接到汇聚层交换机,以实现核心设
31、备的高冗余性、高可靠性及网络的高扩展性的需求。核心层功能:核心层是网络的高速骨干必需最大现代的实现数据线性转发并具备高可靠性。设备选择:选用思科4507交换机作为构成局域网的核心,以达到高可靠性的连接,配备11个光纤模块与接入交换机相连。2.2 接入层质监局新楼投入使用后,每个信息点通过相邻的接入交换机接入局域网,各楼层的接入交换机通过汇聚交换机相连形成一个统一的、便于管理的、高速的独立传输单元。接入层功能:承载终端设备所有数据流量的转发及与中心设备的数据交互。设备选择:接入层交换机采用思科2960设备,9台48口交换机,2台24口交换机,每台交换机配备1个光模块,通过光纤与汇聚层交换机连接。
32、3. 交换机的具体部署3.1 信息点分布序号楼层数据信息点实际使用点数光纤点北办公楼14F9446123F9446132F9446141F944615-1F10101南办公楼15F6240124F6240133F6240142F6240151F694016-1F331合计数据点70639711表2.1 信息点分布3.2 交换机部署1) 网络机柜在南楼、北楼每层竖井内各放置一架标准19英寸网络机柜,机柜内放置100端口配线架。2) 接入交换机在北楼1、2、3、4层,南楼1、2、3、4、5层竖井内网络机柜中各安装1台48口思科2960交换机,每台交换机配备1个单模光模块与核心交换机连接,满足每层信
33、息点数量的需求。在南、北楼地下一层竖井内网络机柜中各安装1台24口思科2960交换机,每台交换机配备1个单模光模块与核心交换机连接,满足每层信息点数量的需求。3) 核心交换机在网络机房(位于南楼2层)安装思科4507设备作为核心交换机,选择单模光口,分别与大楼竖井内的二层交换机连接,同时为网络中心的服务器提供接入。4. 局域网中其他设备及软件其他网络设备包括路由器、防火墙、服务器及相关软件等,均放置在南楼2层网络机房内4.1 路由器路由器采用思科2821设备最为局域网的出口,支持静态路由、RIP、OSPF等路由协议,支持多条拨号访问、多种接入方式。配置4各快速以太网接口,与Internet及石
34、景山政务网连接。4.2 防火墙采用ASA5520设备作为网络防火墙,配置100M防火墙,吞吐量不低于100Mbps,具备NAS、VPN(吞吐量不低于40Mbps),图形化配置方式,有日志管理功能。4.3 服务器共设置7台服务器满足石景山局域网内各种业务系统的支撑,分别为DHCP/FTP服务器、WWW/DNS服务器、OA服务器、电子邮件服务器、网络管理服务器、会议录播服务器、防病毒服务器。服务器采用惠普ML150设备。4.4 软件每台服务器上均安装相应的功能软件,操作系统统一采用windows server 2003,杀毒软件采用与石景山政务网统一的KILL系统。5. VLAN划分在网络内进行V
35、LAN划分的目的主要是为了抑制广播风暴,提高网络运行效率,同时还可以根据需求对不同的类型的用户进行隔离,配合相应的地址分配策略,提高网络安全性。为进一步加强网络的安全性和可管理性,需要指定严格的整体网络VLAN划分方案,使网络具有管理、身份认证、控制网络流量、IP地址绑定等功能。5.1 VLAN划分的四种策略1) 基于端口的VLAN划分基于端口的VLAN划分是最简单、最有效的VLAN划分方法。该方法只需要网络管理员针对网络设备的交换端口进行重新分配租户在不同的逻辑网段中即可。2) 基于MAC地址的VLAN基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN组合。适用于较小的网络规模
36、。3) 基于路由的VLAN划分路由协议工作在七层协议的第三层-网络层,即基于IP和IPX协议的转发。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。4) 基于策略的VLAN划分基于策略的VLAN划分是一种比较有效直接的方式。这主要取决于在VLAN划分中所采用的策略。5.2 质监局VLAN划分1) 公共区域,例如图书馆、会客室、教室、会议室、多功能厅等,根据端口进行VLAN划分;2) 办公区域根据不同的部门划入为不同的VLAN;3) 为敏感部门和个人,如财务部、酒店管理人员等划分独立VLAN;4) 核心机房中的服务器等设备根据各自的MAC地址划分VLAN。6. IP地址规划
37、质监局的IP地址分配建议采用动态地址分配(DHCP)方式和静态IP地址分配结合的方式,公共区域部分的网络建议采用DHCP方式,做到即插即用。汇聚交换机起三层功能,可以根据VLAN不同的IP 地址池,这样每个VLAN对应一个IP地址段,不同VLAN的用户IP地址不在同一个子网;也可以多个VLAN共用一个IP地址池。办公区域网络建议采用静态IP地址方式,这种方式便于管理和维护。每个员工分配固定的IP地址和账号/密码,对于固定位置的用户,还可以采用IP地址/MAC地址和交换机端口绑定的方式,提高安全性。办公区域和公共区域采用不同的IP地址段,以便在三层交换机上实现基于IP地址的访问控制,实现不同区域
38、的隔离。7. 设备选型7.1 核心交换机思科4500系列交换机将无阻塞第二到第四层交换与最优控制相集成,有助于部署关键业务应用的大型企业、中小型企业和城域以太网客户提供业务永久性。思科4500系列交换机提供多种智能服务,其中包括先进的服务质量(QOS)、可预测性能、告警安全性和全面的管理。它提供带集成永久性的出色控制,将永续性集成到硬件和软件中,缩短了网络停用时间,有助于确保员工的效率。它的模块化架构、介质灵活性和可扩展性减少了重复运营开支。 图2.3 思科45071) 思科4507设备的优势性能:提供了带宽可随端口的添加二扩展的高级交换解决方案,提供线速第二到第三层10/100/1000M位
39、交换。第二层交换可扩展到136Gbps、102mpps,第三到第四层交换也可扩展到136Gbps、102mpps。端口密度:可达到一个机箱中384个以太网端口,支持10/100/1000自动检测,自动协商千兆以太网连接,可选万兆以太网上行链路接口。高级安全性:支持802.1x、访问控制列表(ACL)、SSH协议、动态ARP检测(DAI)、源IP防护和VLAN等安全特性。功能透明的线卡:只需要添加一个新的交换管理引擎即可轻松地将所有系统端口升级到更高层的交换功能,而无需更换现有线卡和布线。到桌面的千兆连接:采用自动检测技术的10/100/1000BASE-T三速线卡和端口模块,无需更换线卡即可将
40、快速以太网升速到1000M。基于硬件的组播:采用协议独立型组播(PIM)密集和疏松模式、互联网小组管理协议(IGMP)和思科群组管理协议支持基于标准和经思科技术增强的高效多媒体联网,且对性能无影响。Cisco NetFlow服务:用于Supervisor Engine IV和V的Cisco NetFlow服务卡支持硬件中的统计数据获取,用于基于流量和基于VLAN的统计监控。针对关键任务应用的带宽保护:当部署Supervisor Engine IV、V或V-10GE时,在实施Qos或安全特性时不会降低转发性能,继续一全线速转发分组。到桌面的光纤连接:24和48端口线卡提供了光缆设计的安全性和永续
41、性,使之极适于有距离限制、入侵漏洞或RF干扰的网络。2) 思科4507的主要性能指标传输速率 10Mbps/100Mbps/1000Mbps 网络标准 IEEE 802.3、IEEE 802.3u、IEEE 802.3z、IEEE 802.3x、IEEE 802.3ab、IEEE 802.1Q、IEEE 802.1D、IEEE 802.1w、IEEE 802.1s、IEEE 802.1x、IEEE 802.3af 端口数量 240 接口介质 100BASE-TX、10/100/1000Base-T、1000BASE-SX、1000BASE-LX/LH、1000BASE-ZX 传输模式 支持全双
42、工 背板带宽 100Gbps VLAN支持 支持 MAC地址表 32k 模块化插槽数 7 指示面板 风扇制冷:包含在热插入/热取出单元中;良好:绿色(良好);故障:红色(错误);支持SNMP MIB 尺寸(mm) 439.7317487.4 重量(Kg) 20.07 其他技术参数 7个总插槽数:2个交换管理引擎插槽;超级引擎冗余性(只限Supervisor Engine II-Plus,IV和V);支持的交换管理引擎 Supervisor Engine II-Plus,IV,V;5个线路卡插槽;2个电源机架数量;支持交流输入电源 ;支持直流输入电源;集成PoE(IP电话和无线接入点)支持 ;1
43、个风扇机架;19英寸机架安装位置7.2 接入交换机Cisco Catalyst 2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和10/100/1000千兆以太网连接,可为入门级企业、中型市场和分支机构网络提供增强LAN服务。Cisco Catalyst 2960提供:s 集成安全特性,包括网络准入控制(NAC) s 高级服务质量(QoS)和永续性 s 为网络边缘提供智能服务 图2.4 思科2960Cisco Catalyst 2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和10/100/1000千兆以太网连接,适用于入
44、门级企业、中型市场和分支机构网络,有助于提供增强LAN服务。Catalyst 2960系列具有集成安全特性,包括网络准入控制(NAC)、高级服务质量(QoS)和永续性,可为网络边缘提供智能服务。该系列还包括一系列针对网络管理员所作的硬件改进,包括双介质(或有线)千兆以太网上行链路配置,允许网络管理员使用铜缆端口或光纤上行链路端口。另外,它包括一款24端口千兆以太网交换机,可加速网络中的桌面千兆位(GTTD)传输。特性指标转发带宽(Gbps)13.6每秒分组数(Mpps)10.1支持的MAC地址8000内存64M千兆端口(SFP/GBIC)密度010/100/1000M端口密度210/100M密
45、度48供电模式交流功耗45W设备规格(长宽高)23.644.54.4厘米表2.2 思科2960的主要技术指标7.3思科2821路由器模块化Cisco 2800系列集成多业务路由器建立在思科20年的领先地位及创新技术的基础之上,智能地将数据、安全性和话音服务内嵌于单一永续系统,能快速、可扩展地提供关键任务业务应用。Cisco 2800系列的独特集成系统架构提供了最高业务灵活性和投资保护。Cisco 2800系列能以线速为多条T1/E1/xDSL连接提供多种高质量并发服务。这些路由器提供了内嵌加密加速和主板话音数字信号处理器(DSP)插槽;入侵保护和防火墙功能;集成化呼叫处理和语音留言;用于多种连接需求的高密度接口;以及充足的性能和插槽密度,以用于未来网络扩展和高级应用。 图2.5 思科2821路由器产品架构 DRAM 缺省: 256 MB 最大: 1 GB 固定USB 1.1 端口 2 板载 LAN端口 210/100/1000 板载AIM (内部) 插槽 2 接口卡插槽 4个插槽, 每个插槽可支持 HWIC, WIC, VIC, 或VWIC 模块 网络模块插槽 1个插槽, 支持 NM, NME 和 NME-X 模块 扩展话音模块插槽 1 主板上的PVDM 插槽 3 基于硬件
