(如何写毕业论文文求助大神)本人太渣,求助各位大神。导师让设计一个基于OSPF协议的园区网络逻辑结构图。
点击联系发帖人
时间:2017-04-28 01:30
当前位置:
企业网络设计组建与维护
来源: 联系QQ: 作者: 网学
发布时间: 09/06/28
企业网络拓扑图+设计+组建与维护目& 录第一章、需求分析&……...31.1&工程项目概况&31.2&信息点分布&31.3&&&& 需求分析&4第二章、&方案设计原则&6第三章、&网络方案设计&83.1网络拓扑结构介绍&83.2网络拓扑图&83.3.1骨干核心层网络设计&9.3.2核心层网络设计&93.3.3汇聚层网络设计&103.3.4接入层网络设计&103.3.5广域网互联设计&103.3.6冗余/负载均衡设计&113.3.7线路冗余&113.3.8网络设备冗余/负载均衡设计&123.3.9服务器冗余设计&133.310 IP地址规划原则&143.4 方案特点&16第四章、&网络技术选型&174.1&路由协议――OSPF&174.2&端口安全与认证(基于 802.1X)&17第五章、&网络安全及管理机制&235.1&完善的安全机制&235.2&解决安全威胁&245.3&VPN& (虚拟专用网)&24第六章、&网络设备选型&25总& 结&&&&291&集团企业网设计与建设 需求分析1.1&工程项目概况问题:1、格式存在问题;2、存在书写,见红色字;知识经济时代,××集团为了加快集团信息化建设,以现代网络技术为平台,建设一个以集团业务综合管理、办公自动化、电子商务、多媒体视频会议、远程通讯、Web信息发布为核心的企业网络Intranet。将集团的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来,实现内、外互联的现代化计算机网络系统。该网络系统是支持办公自动化、供应链管理、ERP以及各应用系统运行的基础设施,为了确保这些关键应用系统的正常运行、安全和发展,系统具备如下的特性:1、&完成集团企业网的构建,加快企业信息化建设;2、&在整个企业集团内实现所有部门的办公自动化,实现无纸化办公,提高工作效率、办公质量和管理服务水平;3、&在集团企业网内实现资源共享、Web产品信息共享、实时新闻发布;4、&在集团企业网内实现ERP管理;5、&在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系统的Extranet网络;具体要求:(1)Internet的主要应用Internet是浏览器/服务器(Browers/Server)工作摸式,数据在网络中传输遵循TCP/IP 协议,通过调制解调器将接收和发送的数据进行模拟和数字之间的转换,再由电话线路、光纤、卫星等介质传输。其功能有如下几点:①E-mail (Electronic Mail)电子邮件服务E-mail 是网络用户之间现实快速、简便、高效、廉价的通信工具。与国内、国际长途电话的费用相比,电子邮件可以大大降低用户国际间的通信费用。E-ail也成为Internet使用频率最高的一个服务。通过它可以方便企业与外部的联系,为企业节省时间,赢取更多的商机。②WWW访问服务通过HTTP,人们使用各自的浏览器便可以轻松地访问和浏览五彩缤纷的因特网世界。企业员工可以在最短的时间了解到最新新闻、最新技术,最新产品等一切新鲜的事物,有助于视野的开拓,激发灵感与创新精神。③FTP(File Transfer Protocol) 文件传送协议服务能提供视频点播服务,FTP是由文件传送协议支持的,用于在Internet上的两台之间文件的互传。FTP几乎可以传送任何类型文件。目前网络中公共的FTP站点都支持匿名访问。(2)Intranet的主要功能Intranet是Internet在企业内部信息系统的应用和延伸。其服务对象原则上是企业内部员工,并以联系企业内部员工的工作为主,促进企业内部的沟通,提高工作效率,强化企业管理。其主要功能如下:①企业内部信息发布利用Intranet企业内部信息,如日常新闻、年度报告、产品价格信息、公司机构等,可通过如同Internet上的Web站点一样的Web服务器向分散在全国乃至世界各地的雇员发布,这样企业内部网就变成了全球性的信息网络。②充分利用现有的数据库资源集团内行政管理,现代企业普遍建立了管理信息系统来管理其业务,已有大量地各种数据库,有了Intranet以后,Web技术使一般的工作人员通过浏览器来访问各种复杂的数据库。CGI(公共网关界面)和ASP(动态服务器页)技术使访问数据库变得十分简单。③实现企业的电子商务利用Intranet,营销人员不管身在何处,都可使用浏览器来查阅企业内部网上的各种多媒体信息,同时营销人员收集的信息可及时反馈到公司。企业利用Intranet,可实现网上销售、网上支付、网上服务等,在全球经济一体化的今天,电子商务已成为时代发展的潮流。④协同工作环境现代企业的集团性质,使企业(公司)内的工作群体往往在分散的环境下协同工作,必须使用具有交互性质的工具采完成群体各成员间的信息交流。使用Intranet,WWW页面和动态Web技术就会成为工作群体之间进行协同工作的理想环境。&
1.2&信息点分布主要信息点集中在生产部、账务部、网络中心、职工宿舍与医疗卫生等部门。详细分布如表1所示。地点&信息点&备注网络中心&50&需保证速度、流量和可靠性生产部&120&需保证速度、流量和可靠性人力资源部&100&需保证速度和流量销售部&100&需保证速度和流量账务部&120&需保证速度、流量和安全性职工宿舍&1000&需保证速度和流量后勤部&10&需保证速度和可靠性
表1 主要信息点分布1.3需求分析为适应企业信息化的发展,满足日益增长的通讯需求和网络的稳定运行,今天的大型企业网络建设比传统企业网络建设提出更高的要求,主要表现在如下几个方面:1)现代大型企业网络应具有更高的带宽,支持10GB或将来平滑过渡到10GB,更强大的性能,以满足用户日益增长的通讯需求;随着计算机技术的高速发展,基于网络的各种应用日益增多,今天的企业网络已经发展成为一个多业务承载平台,它不仅要继续承载企业的办公自动化和WEB浏览等简单的数据业务,还要承载涉及企业生产运营的各种业务应用系统数据,以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务,因此数据流量将大大增加,尤其是对核心网络的数据交换能力提出前所未有的要求。另外,随着千兆端口的成本持续下降,千兆到桌面的应用已成为企业网的主流。从2007年全球交换机市场分析可以看到,增长最迅速的就是10G级别机箱式交换机,由此可见,万兆的大规模应用已经真正开始。所以今天的企业网络已经不能再用百兆到桌面千兆骨干来作为建网的标准,它的核心层及骨干层必须具有万兆级带宽和处理性能,才能构筑一个畅通无阻的“高品质”大型企业网,从而适应网络规模扩大,业务量日益增长的需要。2)现代大型企业网络应具有更全面的可靠性设计,以实现网络通讯的实时畅通,保障企业生产运营的正常进行;随着企业各种业务应用逐渐转移到网络上来,网络通讯的无中断运行已经成为保证企业正常的生产运营的关键。现代大型企业网络在可靠性设计方面主要应从三方面考虑:首先是设备级可靠性设计,这里不仅要考察网络设备是否实现了关键部件的冗余备份,还要从网络设备整体设计架构、处理引擎种类等多方面去考察;其次是业务的可靠性设计,这里要注意网络设备在故障更换过程中 是否对业务的正常运行有影响;再次是链路的可靠性设计,以太网的链路安全来自于它的多路径选择,所以在企业网络建设时要考虑网络设备是否能够提供有效的链路自愈手段和快速重路由协议的支持。3)现代大型企业网络需要提供完善的端到端QOS保障,以满足企业网多业务承载的需求;大型企业网络承载业务的不断增多,单纯的提高带宽并不能够有效的保障数据交换的畅通无阻。大型企业网络建设必须要考虑到网络应能够智能的识别应用事件的紧急和重要程度,如视频、音频、数据流(MIS、ERP、OA、备份数据),同时能够调度网络中的资源,保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送,实现对业务的合理调度才是一个大型企业网络提供“高品质”服务的保障。 4)现代大型企业网络应提供更完善的网络安全解决方案,以阻击病毒和黑客的攻击,减少企业的经济损失;传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对于病毒和黑客攻击的防御,但实践证明这些被动的防御措施并不能有效的解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,才能有效的保证企业网络的稳定运行。&5)现代大型企业网络应具备更智能的网络管理解决方案,以适应网络规模日益扩大,维护工作更加复杂的需要;当前的网络已经发展成为“以应用为中心”的信息基础平台,网络管理能力的要求已经上升到了业务层次,传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如,网络调试期间最消耗人力与物力的线缆故障定位工作,网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作,由于受网络设备功能本身的限制,都还属于费时、费力,有时甚至是不可能的任务,所以现代的大型企业网络迫切需要网络设备具备支撑“以应用为中心”的智能网络运营维护的能力,并能够有一套智能化的管理软件,将网络管理人员从繁重的工作中。&构建中小企业网络第二章、&方案设计原则本方案的设计将在追求性能优越、经济实用的前提下,本着严谨、慎重的态度,从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计,力图使该系统真正成为符合该集团的网络系统。从技术措施角度来讲,在网络的设计和实现中,本方案严格遵守了以下原则:&实用性和集成性系统的软硬件设计、还是集成,均以适用为第一宗旨,在系统充分适应企业信息化的需求的基础上进而再来考虑其他的性能。该系统所包含的内容很多,必须能将各种先进的软硬件设备有效地集成在一起,使系统的各个组成部分能充分发挥作用,协调一致的进行高效工作。&标准性和开放性只有支持标准性和开放性的系统,才能支持与其它开放型系统一起协同工作,在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准,以便能和不同厂家的开放性产品在同一网络中同时共存。通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。&先进性和安全性系统所有的组成要素均应充分地考虑其先进性。不能一味地追求实用而忽略先进,只有将当今最先进的技术和我们的实际应用要求紧密结合,才能获得最大的系统性能和效益。网络的安全是事关重要的,在某些情况下,宁可牺牲系统的部分功能也必须保证系统的安全。&成熟性和高可靠性作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。网络硬件体系结构在实际应用中能经过较长时间的考验,在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案,并通到较多的第三方开发商和用户在全球的广泛支持和使用。同时,应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品,以适应系统未来的发展需要。可靠性也是衡量一个应用系统的重要标准之一。在确保系统网络环境中单独设备稳定、可靠运行的前提下,还需要考虑网络整体的容错能力、安全性及稳定性,使系统出现问题和故障时能迅速地修复。因此需要采取一定的预防措施,如对关键应用的主干设备考虑有适当的冗余。应急处理信息系统能够全天候工作,达到每周7*24小时工作的要求。一个高可用性的系统才能使用户的投资真正得到回报。&可维护性和可管理性整个信息网络系统中的互连设备,应是使用方便、操作简单易学,并便于维护。对复杂和庞大的网络,要求有强有力的网络管理手段,以便合理的管理网络资源,监视网络状态及控制网络的运行,因此,网络所选的网络设备应支持多种协议,管理员能方便进行网络管理、维护甚至修复。在设计和实现时,必须充分考虑整个系统的便于维护性,以使系统万一发生故障时能提供有效手段及时进行恢复,尽量减少损失。&可扩充性和兼容性网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、物理接连、产品支持等方面具有扩充与升级换代的可能,采用的产品要遵循通用的工业标准,以便不同的设备能方便灵活地接连入网并满足系统规模扩充的要求。为了使所实现系统能够在应用发生变化的情况下保护原有的开发投资,在设计系统时,应将系统按功能做成模块化的,可根据需要增加和删除功能模块&企业网络拓扑图+设计+组建与维护第三章、&网络方案设计3.1网络拓扑结构介绍 在此次××集团大型企业网的设计中,我们采用层次化模型来设计网络拓扑结构。所谓“层次化”模型,就是将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计,也能够应用于广域网的设计。 层次化模型的好处:在大型企业网设计中,使用层次化模型有许多好处,列举如下:1、节省成本在采用层次模型之后,各层次各司其职,不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽,减少了对系统资源的浪费。2、易于理解层次化设计使得网络结构清晰明了,可以在不同的层次实施不同难度的管理,降低了管理成本。3、易于扩展 在网络设计中,模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中,而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计,任何一个节点的变动都将对整个网络产生很大影响。4、易于排错层次化设计能够使网络拓扑结构分解为易于理解的子网,网络管理者能够轻易地确定网络故障的范围,从而简化了排错过程。3.2网络拓扑图网络拓扑图如图1所示。&
图1 网络拓扑图3.3 网络设计
3.3.1骨干核心层网络设计 大型企业生产办公网络的核心网主要完成整个企业集团内部不同地域企业之间的高速数据路由转发,以及维护全网路由的计算。鉴于大型集团企业的用户数量众多,业务复杂,QOS要求较高的特点,在本方案中采用神州数码的CRS-7508高密度多业务核心路由交换机组建高性能的核心网络平台。神州数码 DCRS-7500系列交换机是具有运营商级容错能力的高性能大型网络核心交换机,可为高校和运营商提供基于领先技术的卓越性能和可靠性。DCRS-7500系列交换机专为发挥万兆、千兆以太网潜在的强大交换能力而设计,超大容量的交换背板使得包括万兆端口在内的每个端口具备全线速交换能力,确保在巨大的网络通信负载下始终能够轻松实现线速的第二层和第三层交换,是城域网、数据中心、智能大厦及企业网络骨干级核心路由交换机的理想选择。DCRS-7500系列交换机具有三种型号,包括15插槽的DCRS-7515、8插槽的DCRS-7508和4插槽的DCRS-7504,除DCRS-7515专用的大功率电源模块外,该系列交换机的所有管理模块、交换模块以及电源模块都可互换使用,而且管理模块、电源模块、风扇等还可实现冗余备份,温度传感器可以随时监控各个部件的工作温度, 从而提供运营商级的可靠性。 DCRS-7500系列交换机的一大特色是管理模块均带有业务接口,使得所有的插槽均为有效的业务插槽,从而大大提高了端口密度和插槽利用率。在骨干核心层中,采用两台神州数码DCRS-7508核心路由交换机组成双机热备份的核心交换机系统解决方案。为提高核心网络的健壮性,实现链路的安全保障,本方案骨干核心层中可以采用VRRP(虚拟路由器冗余协议)。对于各个业务VLAN可以指向这个虚拟的IP地址作为网关,因此应用VRRP技术为核心交换机提供一个可靠的网关地址,以实现在核心层核心交换机之间进行设备的硬件冗余,一主两备,共用一个虚拟的IP地址和MAC地址,通过内部的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网络高效处理大集中数据提供了可靠的保障。.3.2核心层网络设计 大型企业生产办公网络的核心层网络主要完成园区内各汇聚层设备之间的数据交换和与骨干核心层网络之间的路由转发。传统解决方案一般采用骨干路由器+核心交换机来组建,但这种方式受限于交换机的性能,在提供MPLS VPN的业务能力方面较弱,不适合大型企业网络的建设需求,同时现在的大型企业办公网络具有城域网的特点,网络发展具有网络扁平化的发展方向,因此本方案骨干层网络设备采用DCRS-7508核心路由交换机作为大型企业生产办公网络的园区核心路由交换设备,DCRS-7508具有强大的业务和路由处交换理能力,能提供如MPLS VPN、QoS、策略路由、NAT、PPPoE/Web/802.1x/L2TP认证等丰富业务能力,并可通过内置防火墙模块实现各种强大的网络安全策略,可以充分满足大型企业不同园区网络的高速数据交换和支持多业务功能的要求,并能够提供完善的安全防御策略,保障企业园区网络的稳定运行。3.3.3汇聚层网络设计汇聚层网络主要完成企业各园区内办公楼宇和相关单位的内接入交换机的汇聚及数据交换和VLAN划分。在本方案中采用神州数码的DCRS-7504交换机多层交换机作为汇聚层面的交换机。DCRS-7504交换机在提供高密度千兆端口接入的同时还能够满足汇聚层智能高速处理的需要,并能够加灵活的部署在网络边缘的各个位置。能够同时提供多个高速专用堆叠端口和百兆、千兆光口/电口。这些交换机都具备较强的多业务提供能力,可支持包括智能的CCL、MPLS、组播在内的各种业务。为用户提供丰富、高性价比的组网选择。3.3.4接入层网络设计 以往传统企业网络接入层的建设中并不关注于安全控制和QOS提供能力,而将网络的安全防御措施和QOS保障依赖于网络的汇聚层或骨干层设备,这给汇聚层和骨干层设备带来了巨大的压力,往往内网病毒泛滥成灾后导致骨干层设备瘫机,使网络没有QOS服务质量保障。DCRS-2026B智能宽带接入交换机是能满足高安全、多业务承载、高性能的网络环境智能交换机,具备传统二层交换机大容量、高性能等优点,同时还具有领先的安全特性,进一步加强了企业网络对边缘接入层面的安全控制能力。 用户可以根据需要来订制自身的安全策略并部署在此交换机上。该产品具备的端口带宽限制、端口镜像、QoS、端口安全、广播风暴抑制等功能可以很好的协助用户实现网络的管理和维护。除此之外,此交换机还具备多个专用堆叠接口,可以满足楼层,楼宇内多个交换机高性能汇聚的需要。3.3.5广域网互联设计针对于大型企业需要良好的出口网关设备,我们建议用户选用神州数码DCFW-1800S-L。神州数码DCFW-1800E-G2防火墙专为千兆位流量的网络服务运营商,大型数据中心等骨干网络而设计, 采用2U专用千兆安全平台,完全模块化可扩展结构,具有热插拔特性的冗余部件为您提供最大的不间断运行时间。神州数码DCFW-1800E-G防火墙内置2个10/100/1000M自适应以太网电口,具备6个SFP扩展插槽,最多可扩展至8个千兆接口,接口模块类型支持单模、多模光纤,千兆电口,充分满足您的定制需求。3.3.6冗余/负载均衡设计 冗余设计是网络设计的重要部分,是保证网络整体可靠性能的重要手段。但是投资也将增加。部分企业园区网在早期的建设中由于成本的原因并未在设计中考虑冗余问题,而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计可以贯穿整个层次化结构,每个冗余设计都有针对性,可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时,冗余链路可以提供另一条物理路径。可采用GEC链路聚合(IEEE802.3ad)实现端口级冗余,以克服某个端口或线路引起的故障。也可采用生成树协议(IEEE802.1d)提供设备级的冗余连接。此外,我们在设计中提供不同物理方向的双归属、双路由保护。3.3.7线路冗余 在企业网骨干核心层,企业网络边界拓扑结构由于采用了环形多机热备份的核心交换机系统解决方案,所以在线路冗余方面的要求较高,对于线路的冗余要求,我们采用10GB线路对三台企业网骨干核心层设备进行环行双向备份,并使用业界领先的VRRP(虚拟路由器冗余协议)来对其作为冗余线路的协议保障。以GEC作为N*1000M主干链路,通过这个链路连接骨干网交换机,具备万兆扩展能力;接入交换机采用10/100M自适应端口连接桌面系统,多千兆链路连接到汇聚层。GEC路具有链路聚合和冗余保证两大特性,下面我们将对它们依次进行介绍链路聚合:可使用一条物理链路在不同品牌交换机之间、交换机和服务器间提供聚合的高速通道,在不增加投资的情况下,扩大交换带宽,使关键连接的传输效率更高冗余保证:&&&&&&&&&&&&&&&&&&&&&&&&& 链路聚合中,成员互相动态备份。当某一链路中断时,其它成员能够迅速接替其工作。与生成树协议不同,链路聚合启用备份的过程对聚合之外是不可见的,而且启用备份过程只在聚合链路内,与其它链路无关,切换可在数毫秒内完成。综合分析以上各主流方案的优缺点,从性能与成本及拓展性等方面的综合考虑出发,我们决定采用GEC骨干核心网络10GE拓展的方式作为其链路选择及备份选择。在企业网汇聚层及接入层出于成本及性价比的考虑,我们决定采用千兆汇聚,万兆拓展;百兆到桌面的链路选择。3.3.8网络设备冗余/负载均衡设计 当前,无论在企业网、园区网还是在广域网如Internet上,业务量的发展都超出了过去最乐观的估计,上网热潮风起云涌,新的应用层出不穷,即使按照当时最优配置建设的网络,也很快会感到吃不消。尤其是各个网络的核心部分,其数据流量和计算强度之大,使得单一设备根本无法承担。负载均衡建立在现有网络结构之上,它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题,服务就近提供,实现地理位置无关性 ;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失效。在此方案中,在网络的每个关键结点,我们在设计时都做到了对其有效的冗余备份和负载均衡。在网络的骨干核心层上。我们采用了两台神州数码的DCRS-7508高密度多业务IPV6核心路由交换机组建高性能的核心网络平台,在对骨干核心层提供足够的网络接点和接入需求的同时最大限度的为网络提供了有效的冗余保障和负载均衡。在核心层的每个区块,我们都采用了两台神州数码的DCRS-7508多业务IPV6核心路由交换机做到冗余与负载均衡。双核心拓扑结构提供了两条等代价路径和双倍的带宽。每个核心交换机连接着数目相同的子网到第三层汇聚设备上。3.3.9服务器冗余设计 企业网中服务器、大型机,如网络存储服务器,SQL Server服务器,其存储的数据对于企业来说致关重要,一些核心数据被视为企业的生命。一方面它对企业的企业的重要性毋庸质疑,另一方面,由于这些数据的性质决定了其较大的被访问量,这个对服务器提出了稳定和快速的要求。如果宕机,后果是技术是保障系统的可靠性是重中之重。为此,我们采用的是双机热备技术 ,此技术能够有效的满足核心服务器高效,稳定的高要求。而且相对于其它成本技术来说,这是比较有经济价成效的技术&企业网络拓扑图+设计+组建与维护& 服务器双机热备技术
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 具体技术实现:每个核心服务器均具有两个以太网接口(可以通过安装双网卡实现),在此基础上,以上图为例,DB服务器A与DB服务器B先分别利用自己的一个以太网接口实现两个服务器之间的直连,每个服务器另外的一个接口则与服务器区的网络实现互连,以达到双机热备的目的。因此增加服务器的稳定性与高效性。本网络中应具有多台服务器设备,包括DB SERVER数据库服务器,WEB,CATALOG等应用服务器,NEWS,MAIL等通讯服务器及多媒体服务器等。
3.3.10 IP地址规划原则
IP地址构成了整个Internet的基础,IP地址资源是整个Internet的基本核心资源,IP地址资源的合理分配和有效利用是整个Internet发展过程中持续有效的一个极具分量的研究课题。我们在对企业园区网IP地址编址设计和分配利用时,遵循了以下几个原则:1)、自治:整个园区网络网络被划分成几个大的自治区域,每个大自治区域中又被划分成几个小的自治区域。 2)、有序:我们按照自治原则将网络进行逻辑划分后,就根据地域、设备分布及区域内用户数量来进行子网规划。同时,我们将IP地址规划和网络层次规划、路由协议规划、流量规划等结合起来考虑。在进行地址分配时,为了提高地址分配效率和地址利用率,我们在编址设计时按照了一定的顺序进行。选择的顺序是自上而下的顺序,即采用了业界领先的自顶向下网络设计(Top-Down Network Design)方法。 3)、可持续性:考虑到园区内网络用户数将持续高速增长,网络所要承载的业务量和业务种类越来越多,这使得网络需要频频进行技术升级、改造和扩容。所以,在进行地址分配时本方案充分考虑到了这些因素,为网络的每个部分留有部分地址冗余,这样保证网络的可持续发展。 4)、可聚合:互联网日新月异的发展和日益庞大的规模令当初设计互联网络的专家始料不及,在路由表急剧膨胀情况下,可聚合原则是网络地址分配时所必须遵守的最高原则,可聚合原则要求在进行地址规划时,应提供足够的路由冗余功能。 5)、尽量节约IPv4地址:由于IPv4地址越来越少,所以对于IPv4地址的使用需要格外节约。IPv4地址的节约可以通过动态编址技术和NAT技术等来实现。 6)、闲置IP地址回收利用:对于已分配出去的静态IP地址进行定期追踪管理,对长时间闲置的IP地址可经过确认后回收重复利用。此次方案的设计,我们决定采用一个内部私有A类地址(10.0.0.0)对企业园区的网络设备编址。由于从方案本身的网络拓扑图采用了典型的层次化设计,所以对ip地址的编址设计也应采取层次化的设计来完成,并采用VLSM来拓展有限的IP地址。网段描述&所需的IP地址数骨干核心层链路&5(2个用于拓展备份)集团总部&1000生产部&500职工宿舍&1000大型机/服务器群&500企业VOIP语音系统&2000
VLSM是可变长子网掩码的英文缩写,它提供了一个主类(A类、B类、C类)网络内包含多个子网掩码的能力,可以对一个子网再进行子网划分。VLSM的优点•对IP地址更为有效的使用•应用路由归纳的能力更强所以我们采取vlsm对网络进行编址,以达到节约ip地址,能够使用路由汇总的目的。首先采用一个A类网址对园区网主体结构进行编址,至上而下的设计思路有利于设计的最后成型和网络的健壮性。其次,在语音电话系统中,每一个ip电话需要一个ip地址以及诸如子网掩码、默认网关等的相关信息。事实上,这意味着一个组织需要指派两倍于ip电话的ip地址给当前所有的pc用户,这个由DHCP提供。我们使用私有遍址的IP电话作为语音电话遍址方案。私有遍址IP电话:10.2.8.3&&&&&&&&&& 172.16.8.5&&&&&&&& IP电话使用172.16.0.0网络&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&――――― ――――――&&&&&&&&&&& IP电话+PC在同一交换机端口上&&&&&&&&&&&& /&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /&――――― ――――-&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
最后经过我们的计算,将各部门ip地址分配如下表:&IP地址网段&VLAN编号&默认网关财务部&192.168.10.0/24&10&192.168.0.254/24生产部&192.168.20.0/24&20&192.168.0.254/24销售部&192.168.30.0/24&30&192.168.0.254/24行政部&192.168.40.0/24&40&192.168.0.254/24用户地址与VLAN划分Web服务器IP地址:& 192.168.100.1/24FTP服务器IP地址:& 192.168.100.2/24路由器出口IP地址: 222.18.44.3/243.4 方案特点本方案很好地解决了用户要求的四个问题,即带宽问题、安全问题、管理计费问题、灵活扩展问题。&带宽问题:使用万兆互连双核心结构,使网络核心设备不但可以互相备份,而且有效的减轻流量负荷,使设备时刻保持稳定和高效。&安全问题:企业网核心层、汇聚层、楼层汇聚层所使用的产品全部具有网络病毒和攻击的防护能力,并且防DOS/DDOS攻击,因而可以在不同的环境中做到安全防护,足以应对突发事件,保持网络稳定、通畅。&管理计费问题: 统一认证,针对企业网开放式的信息点造成的安全隐患,全网接入采用统一认证技术(可以进行账号、IP,MAC、LAVN ID、交换机IP和交换机端口六要素灵活捆绑),保证了只有合法授权的用户才能使用网络或外部网络,而且还能对网络的使用情况进行审计。&灵活扩展问题:核心层使用的路由交换机DCRS-7508有良好的扩展性,可以为将来的网络实现轻松扩展。&构建中小企业网络第四章、&网络技术选型4.1&路由协议――OSPF在网络骨干核心层和核心层以及汇聚层上需要使用三层设备为网络内部不同的网段的数据和不同vlan间的数据转发而需要路由协议时,我们采用OSPF协议作为路由协议。OSPF是一种典型的链路状态路由协议。采用OSPF的路由器彼此交换并保存整个网络的链路信息,从而掌握全网的拓扑结构,独立计算路由。因为RIP路由协议不能服务于大型网络,所以,IETF的IGP工作组特别开发出链路状态协议――OSPF。目前广为使用的是OSPF第二版,最新标准为RFC2328。 OSPF作为一种内部网关协议(Interior Gateway Protocol,IGP),用于在同一个自治域(AS)中的路由器之间发布路由信息。区别于距离矢量协议(RIP),OSPF具有支持大型网络、路由收敛快、占用网络资源少等优点,在目前应用的路由协议中占有相当重要的地位。4.2&端口安全与认证(基于 802.1X)a.端口安全交换设备定义了对端口保护的功能,我们能定义允许的最大 MAC 地址访 问数,或者静态的定义特定的 MAC 地址。遇到不合法的 MAC 地址交换机采取的策 略。配置举例端口安全性:&&&&&&&&&&& >enable #configure terminal (config)#interface f0/1&&&&&&&&&& -if)#swithport port-security&&&&&&&&&& -if)#swithport port-security maximum 4&&&&&&&&&& -if)#swithport port-security mac-address&& x.x.x.x&& (该端口的mac地址 )&&&&&&&&&& -if)#swithport port-security violation shutdown&& (遇到其他端口则关闭,但可以人工打开)& 保护端口:将接入层交换机各宿舍接口设置为保护口,保护口之间间互相无法通迅,保护口与非保护口之间可以正常通迅: Switch(config)#interface Ethernet 0/1&&&&&&&&&&& Switch(config)#switchport protected
b.基于 802.1x 的端口认证
基于端口的认证就是将& AAA& 认证与端口保护相结合,默认情况下。一个支持802.1x 的交换机端口处于未授权状态,除了和 802.1x 有关的数据,其他数据都不能通过该端口,只有客户的交换机创建了一个 802.1x 的会话,客户被授权访EAPOL:Extensible& Authentication& Protocol& OVER& LAN& 局域网上的可扩展身 份认证。在端口处于未授权状态下,客户端只能使用 EAPOL 与交换机通信。
4.3 VRRP(虚拟路由冗余协议)原理
VRRP给路由器组提供了一个冗余网关地址,它是一种容错协议,通过定义 不同的组,不同优先级的路由器,它保证网络的主路由器失效时,可以及时的由 备分来实现路由器来替代,从而保持通讯的连续性和可靠性。并可以在该协议上 实现负载均衡等高级交换特性。VRRP 技术的实现: 汇聚到核心冗余连接及 VRRP 的实现通过 VRRP 技术将多个设备虚拟成为一台逻辑设备,实现汇聚/接入链路冗余。如下例:-if)#vrrp 5 ip 192.168.2.5&&&&&&&&&& -if)# vrrp 6 ip 192.168.2.6&&&&&&&&&&& A: -if)#vrrp 5 priority 200&&&&&&&&&&& B: -if)#vrrp 6 priority 200&&&&&&&&&&&&&& -if)#vrrp 5 authen&& name&&&&&&&&&&&&&& -if)#vrrp 6 authen&& name见图如下:&&&&&&& 4.4& RSTP、MSTP原理RSTP 协议完全向下兼容 802.1D STP 协议,除了和传统的 STP 协议一样具有避免回路、提供冗余链路的功能 外,最主要的特点就是“快”。如果一个局域网内的网桥都支持 RSTP 协议且管理员配置得当,一旦网络拓朴改变而 要重新生成拓朴树只需要不超过 1 秒的时间(传统的 STP 需要大约 50 秒)。本交换机支持 MSTP,MSTP 是在传统的 STP、RSTP 的基础上发展而来的新的生成树协议,本身就包含了 RSTP的快速 FORWARDING 机制。由于传统的生成树协议与 vlan 没有任何联系,因此在特定网络拓朴下就会产生以下问题: 如下图 所示,交换机 A、B 在 vlan1 内,交换机 C、D 在 vlan2 内,然后连成环路。
在某种情况的配置下,会造成把交换机 A 和 B 间的链路给 DISCARDING.由于交换机 C、D 不包含 vlan1,无法转发 vlan1 的数据包,这样交换机 A 的 vlan1 就无法与交换机 B 的 vlan1 进行通讯。在网络末梢,连接到单个工作站的时候,是不可能形成桥接环路的。在接口 上启用了 portfast 特性,可以使交换机端口立即变为转发状态,提高了网络的 响应速度及收敛时间。 基于 RSTP 的交换机高级特性 Uplinkfast 在网络中的应用考虑到有冗余上行连接的网络,使用冗余连接到上层交换机,通常情况下一 个上行连接处于转发状态,另一个处于阻塞状态,如果主上行连接断开,在使用 冗余连接之前所经历的时间高达 50S在使用 Uplinkfast 之后,使的具有冗余上行连接的交换机具有根端口失效 时,另一个阻塞的上行连接能够立即使用,这个时间大大缩小到 1-5S 之间,在 集团 网 的 特 殊 环 境 之 下 , 能 大 大 增 强 网 络 的 稳 定 性 , 加 快 网 络 收 敛 。
4.5&& NAT 的描述及策略路由的实现在组建网络时,为了节约地址,我们在内部使用保留的私有地址段中的地 址,但是使用私有地址不能访问 Internet,所以必须申请多个公开地址配置在和 Internet 相连的局域网边缘设备上。应用 NAT 进行地址转换。NAT 是网络地址翻译技术,在路由器上起用 NAT 之后,可以在部私有地址和 外部公网地址之间做转换。比如我们可以把网络内部使用的 IP 翻 译成外部公网的 IP。配置基于策略的路由选择时,可使用路由映射表来指定基于 IP 地址,应用 ,协议或者分组长度的条件。基于策略的路由选择命令对中选的路由实现策 略。基于策略的路由和静态路由有很多共同之处。然而,静态路由根据目标网络 地址来转换分组,而策略路由根据源地址来转发分组。在路由选择表中使用访问 列表时,可根据诸如目标地址,分组长度,IP& 协议字段,优先级或端口号来转发数据流。这样可以指定范围更广泛,更细致的条件,并根据这些条件来决定下 一跳路由器。4.6& ACL& (访问控制列表)访问列表为我们提供了一种对网络访问进行有效管理的方法,通过访问列 表,我们可以设置允许或拒绝数据包通过路由器,或者允许或者拒绝具体的某些 端口进行访问和使用,如果满足条件则执行相应的操作,放行这个包或者放弃这 个包。我们通过这些设置来满足实际网络的灵活需求,从而达到设置网络安全策 略,防止网络中的敏感设备受到非授权访问的情况。在具体实现过程中从技术上来说我们需要了解到 ACL 分为两种类型,他们分 别是标准访问列表(Standard access lists)和扩展访问列表(Extends access lists) 前者在过滤网络的时候只使用 IP 数据报的源地址,那么在使用这种访问列表的 情况下它做出允许或者拒绝这个决定完全是依赖于源 IP 地址,它无法区分具体 的流量类型。而扩展访问列表则可以提供更细的决定,它可以具体到端口,从而 精确到某一个服务,比如对 WEB,FTP 的访问等,给我们网络的策略提供了更细 的控制手段。我们利用这种访问列表进行协议级的控制以达到对网络一个有效的 管理。标准访问控制列表一般放在靠近目标的路由器上,而扩展访问控制列表一 般放于近源端的路由上器。
4.7 链路聚合 EC(Ethernet& Channel)
以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的 伸缩性,比如可以把多个千兆的链路绑定在一起,使链路的带宽成倍增长。链路聚合技术可以实现不同端口的负载均衡,同时也能够互为备份,保 证链路的冗余性。在神州数码千兆以太网交换机中,最多可以支持 4 组链路聚合,每组中最大 4 个端口。链路聚合一般是不允许跨芯片设置的。生成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路,并用生成树协议让备份链路阻塞,在逻辑上不形成环路。而一旦出现故障,启用备份链路。
4.8&& VLAN& (虚拟局域网)VLAN(Virtual Local Area Network)的中文名为"虚拟局域网", VLAN是一种将局域网设备从逻辑上划分(注意,不是从物理上划分)成一个个网段,从而实现虚拟工作组的新兴数据交换技术。VLAN 虚拟局域网是一种在二层设备上隔离和划分广播域的技术,通过这种划分,我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播域,或者把物理位置上邻近的网络设备划为不同的广播域,从而更方便我们管理和做一个逻辑层次的划分。从技术上说 VLAN 可以分为静态 VLAN 和动态 VLAN,那么静 态的 VLAN 是基于交换机端口进行划分,根据网络设备连接不同的交换机端口, 则进入相应的 VLAN。动态 VLAN 则更灵活,它可以根据接入计算机的 IP 地址, MAC地址,甚至是用户的登陆账号做出相应的处理,把划分进相应的 VLAN 中,这样就为我们实际的网络管理带来了比较大的方便性和灵活性。 那么在我们的企业网方案中,我们希望通过使用VLAN技术进行划分达到以下目的:VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。4.9&WLAN 无线局域网无线局域网有 4 大特点: 移动性:不受时间限制,空间限制,用户可以在网络中漫游; 灵活性:不受线缆的限制,可以随意增加和配置工作站; 低成本:无线网络不再需要大量的工程布线,同时节省了线路的维护费用; 易安装:对于有线网络来说,无线网络的组建、配置和维护更为容易。无线客户端可以通 过无线接入器 AP(Access Point)接入以太网共享网络资源,多个 AP 分布在相邻 的区域可以实现无线客户端的移动漫游。&企业网络安全网络安全及管理机制5.1&完善的安全机制企业楼宇交换机通过内在的多种安全机制可有效防止和控制病毒传播和网络流 量攻击, 控制非法用户使用网络,保证合法用户合理化使用网络,如端口安全、端口隔离、ACL、端口 ARP& 报文合法性检查、基于数据流的带宽限速、六元素绑定等等, 满足企业网加强对访问者进行控制、限制非授权用户通信的需求;在汇聚、核心交 换设备设置由硬件实现& ACL,对病毒进行过滤,我们选用的汇聚、 核心交换设备都支持SPOH,所以在使用ACL 时将不会影响整个交换机的性能。1.防火墙技术。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警。 &2. 通过 Private VLAN 可以在交换机的同一 VLAN 中提供端口之间的通讯 或安全隔离,确保数据流进入有效端口,而不会被发送到其它端口,即解决了因 传统& 802.1QVLAN造成全网 VID& 资源不够的问题,同时又无需利用安全规则 资源即能达到隔离不同用户以及不同组用户之间通讯的功能,充分保护用户隐私;3. 可实现用户账号、MAC 地址、IP 地址、交换机 IP、 交换机端口等六大元素之间的灵活任意绑定,有效确认用户合法性和唯一性;4.& 支持业界特有的IGMP 源端口检查,有效杜绝非法组播源播放和大量占用大量网络带宽,提高网络安全性;5.& 提供极为有效的Port& Blocking 功能,避免端口受到其它端口发送的广播包、多播包等报文的干扰,有效减轻端口负载负担,提高端口带宽,保护用户 PC& 更高效安全 地运行;6. 基于源 IP 地址控制的 Telnet 和 Web 设备访问控制,增强了设备网管 的安全性,避免黑客恶意攻击和控制设备;7.& 提供加密传输Secure& Shell(SSH),保证管理设备信息的安全性,防止黑客攻击和控制设备;8.硬件实现端口与 MAC 地址和用户IP 地址的绑定,严格限定端口上用户接入;
解决安全威胁在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,才能有效的保证企业网络的稳定运行。1.防冲击波病毒随着蠕虫病毒等的攻击手段呈多元化发展,单一的防护措施已经无能为力保 卫企业网络安全。IDS 只能根据预先定义的策略进行检测,对新的攻击方式无能 为力,或者当 IDS 侦测到某终端用户感染病毒后,只能将相关信息形成报告通知 网管人员,等待处理。然而,此时受感染的用户可能已经通过网络散播到了企业 网络的各个角落。2.来自网络内部的恶意或误操作攻击据相关数字显示,目前,网络遭受的恶意攻击& 90%以上是来自于内部, 诸如窃取他人密码等重要信息、盗打 IP& 电话、企业一卡通金额被盗等事件时 有发生。对此,如果仅仅& 倚靠被动的监测方式,就给事后追查“嫌疑人”的网 管人员制造了难以逾越的瓶颈。5.2& VPN& (虚拟专用网)虚拟专用网(virtual private network)是一种在公用网络上通过创建隧道,封装 数据模拟的一种私有专用链路。隧道起一个提供逻辑上点对点连接的作用,从隧 道的一端到另外一端支持数据身份验证和加密。由于数据本身也要进行加密,所 以即使通过公共网络,它仍然是安全的,因为即便数据包在通过网络结点时被拦截(如经过服务器时)但只要拦截者没有密钥。就无法查看包的内容。从内容上来说 VPN 的连接主要可以分为两个部分,即隧道的建立和数据的 加密,在第 2 层上常见的隧道协议包括 PPTP(Point to Point Tunneling Protocol) 点对点隧道协议,还有 L2TP(Layer2& Tunneling& Protocol)第二层隧道协议,L2TP 隧道能够提供 ATM 和 FRAME& RELAY 上的隧道,而且由于不依赖 IP 协议,它 还可以支持不止一个连接,那么一般的网络设备如路由器等大多支持这个协议。 在第三层上创建的隧道是基于 IP 的虚拟连接,这些连接通过收发 IP 数据包实现, 这个抱被封装在由 IETF(Internet Engineering Task Force)指定的协议包装之内。 包装使用 IP sec,IKE,以及身份验证和加密方法,如 MD5,DES,以及 SHA。 数据加密使用的加密数据协议有 MPPE,IPsec,VPNd,SSH..& IP& sec 可以与 L2TP 一 起使用,这个时候 L2TP 建立隧道,IPsec 加密数据,这种形式下 IP sec 运行于传 输模式&构建中小企业网络第六章、&网络设备选型企业网网络系统从结构上分为核心层、汇聚层和接入层。核心层主要是实现骨干网络之间的优化传输,骨干层设计的重点是冗余能力、可靠性和高速的传输。因为学校存在大量的语音和视频传输。据此,考虑汇聚层对 QoS 有良好的支持并且能提供大的带宽。接入层设备是最终用户的最直接上联的设备,它应该具备即插即用特性以及易于维护的特点。在接入层面,通过定义相应的访问策略,实现访问控制,内外隔离。&第七章、&综合布线7.1采用综合布线方案的优点1.综合布线系统的定义国家于1997年9月发布的YD/T 926.1-1997通信行业标准《大楼通信综合布线系统第一部分:总规范》中,对综合布线系统的定义为:“通信电缆、光缆、各种软电缆及有关连接硬件构成的通用布线系统,它能支持多种应用系统。即使用户尚未确定具体的应用系统,也可进行布线系统的设计和安装。综合布线系统中不包括应用的各种设备。”目前所说的建筑物与建筑群综合布线系统,简称综合布线系统。它是指一幢建筑物内(或综合性建筑物)或建筑群体中的信息传输媒质系统。它将相同或相似的缆线(如对绞线、同轴电缆或光缆)、连接硬件组合在一套标准的且通用的、按一定秩序和内部关系而集成为整体。今后随着科学技术的发展,会逐步提高和完善,形成能真正充分满足智能化建筑所需的要求。2.综合布线系统的特点综合布线系统是目前国内外推广使用的比较先进的综合布线方式,具有以下特点:(1)综合性、兼容性好传统的专业布线方式需要使用不同的电缆、电线、接续设备和其它器材,技术性能差别极大,难以互相通用,彼此不能兼容。综合布线系统具有综合所有系统和互相兼容的特点,采用光缆或高质量的布线部件和连接硬件,能满足不同生产厂家终端设备传输信号的需要。(2)灵活性、适应性强采用传统的专业布线系统时,如需改变终端设备的位置和数量,必须敷设新的缆线和安装新的设备,且在施工中有可能发生传送信号中断或质量下降,增加工程投资和施工时间,因此,传统的专业布线系统的灵活性和适应性差。在综合布线系统中任何信息点都能连接不同类型的终端设备,当设备数量和位置发生变化时,只需采用简单的插接工序,实用方便,其灵活性和适应性都强、且节省工程投资。(3)便于今后扩建和维护管理综合布线系统的网络结构一般采用星型结构,各条线路自成独立系统,在改建或扩建时互相不会影响。综合布线系统的所有布线部件采用积木式的标准件和模块化设计。因此,部件容易更换,便于排除障碍,且采用集中管理方式,有利于分析、检查、测试和维修,节约维护费用和提高工作效率。(4)技术经济合理综合布线系统各个部分都采用高质量材料和标准化部件,并按照标准施工和严格检测,保证系统技术性能优良可靠,满足目前和今后通信需要,且在维护管理中减少维修工作,节省管理费用。采用综合布线系统虽然初次投资较多,但从总体上看是符合技术先进、经济合理的要求的。3.综合布线系统的范围综合布线系统的范围应根据建筑工程项目范围来定,一般有两种范围,即单幢建筑和建筑群体。单幢建筑中的综合布线系统范围,一般指在整幢建筑内部敷设的管槽系统、电缆竖井、专用房间(如设备间等)和通信缆线及连接硬件等。建筑群体因建筑幢数不一、规模不同,有时可能扩大成为街坊式的范围(如高等学校校园式),其范围难以统一划分,但不论其规模如何,综合布线系统的工程范围除上述每幢建筑内的通信线路和其它辅助设施外,还需包括各幢建筑物之间相互连接的通信管道和线路,这时,综合布线系统较为庞大而复杂。我国通信行业标准《大楼通信综合布线系统》(YD/T 926)的适用范围规定是跨越距离不超过3000m、建筑总面积不超过100万m2的布线区域,其人数为50人~50万人。如布线区域超出上述范围时可参照使用。上述范围是从基建工程管理的要求考虑的,与今后的业务管理和维护职责等的划分范围有可能是不同的。因此,综合布线系统的具体范围应根据网络结构、设备布置和维护办法等因素来划分相应范围。7.2工作区子系统一个独立的需要设置终端设备的区域宜划分为一个工作区,工作区子系统应由配线(水平)布线系统的信息插座延伸到工作站终端设备处的连接电缆及适配器组成。(如图所示)&7.3水平区子系统水平子系统由工作区的信息插座、每层配线设备至信息插座的水平电缆等组成。(如图所示)&7.4管理子系统管理子系统设置在每层配线设备的房间内。管理子系统应由交接间的配线设备,输入/输出设备等组成。也可应用于设备间子系统。管理子系统提供了与其他子系统连接的手段。(如图所示)&7.5垂直主干线子系统干线子系统应由设备间的配线设备和跳线以及设备间至各楼层配线间的连接电缆组成。(如于所示)&企业网络拓扑图+设计+组建与维护7.6设备间子系统设备间是在每幢大楼的适当地点设置进线设备,进行网络管理以及管理人员值班的场所。设备间子系统应由综合布线系统的建筑物进线设备,电话、数据、计算机等各种主机设及其保安配线设备等组成。设备间子系统的电话、数据、计算机主机设备及其保安配线设备宜集中设在一个房间内。必要时,可以分别设置,但程控电话交换机及计算机主机房离设备间的距离不宜太远。(如图所示)&7.7建筑群子系统建筑群子系统是指主建筑中的主配线架延伸到另一建筑物中的主配线架上的连接系统。总结本方案中所采取的技术与产品充分考虑到了网络未来的升级与发展,无论从企业网的扩展到广域网的建设都作了周密的考虑。再是由于系统选择的是最成熟与标准的快速以太网技术,把网络已构筑了高速和坚固的信息高速公路,面对未来的发展将处于非常有利的境界
上一篇资讯:
下一篇资讯:
文章排行榜}
企业网络设计组建与维护
来源: 联系QQ: 作者: 网学
发布时间: 09/06/28
企业网络拓扑图+设计+组建与维护目& 录第一章、需求分析&……...31.1&工程项目概况&31.2&信息点分布&31.3&&&& 需求分析&4第二章、&方案设计原则&6第三章、&网络方案设计&83.1网络拓扑结构介绍&83.2网络拓扑图&83.3.1骨干核心层网络设计&9.3.2核心层网络设计&93.3.3汇聚层网络设计&103.3.4接入层网络设计&103.3.5广域网互联设计&103.3.6冗余/负载均衡设计&113.3.7线路冗余&113.3.8网络设备冗余/负载均衡设计&123.3.9服务器冗余设计&133.310 IP地址规划原则&143.4 方案特点&16第四章、&网络技术选型&174.1&路由协议――OSPF&174.2&端口安全与认证(基于 802.1X)&17第五章、&网络安全及管理机制&235.1&完善的安全机制&235.2&解决安全威胁&245.3&VPN& (虚拟专用网)&24第六章、&网络设备选型&25总& 结&&&&291&集团企业网设计与建设 需求分析1.1&工程项目概况问题:1、格式存在问题;2、存在书写,见红色字;知识经济时代,××集团为了加快集团信息化建设,以现代网络技术为平台,建设一个以集团业务综合管理、办公自动化、电子商务、多媒体视频会议、远程通讯、Web信息发布为核心的企业网络Intranet。将集团的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来,实现内、外互联的现代化计算机网络系统。该网络系统是支持办公自动化、供应链管理、ERP以及各应用系统运行的基础设施,为了确保这些关键应用系统的正常运行、安全和发展,系统具备如下的特性:1、&完成集团企业网的构建,加快企业信息化建设;2、&在整个企业集团内实现所有部门的办公自动化,实现无纸化办公,提高工作效率、办公质量和管理服务水平;3、&在集团企业网内实现资源共享、Web产品信息共享、实时新闻发布;4、&在集团企业网内实现ERP管理;5、&在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系统的Extranet网络;具体要求:(1)Internet的主要应用Internet是浏览器/服务器(Browers/Server)工作摸式,数据在网络中传输遵循TCP/IP 协议,通过调制解调器将接收和发送的数据进行模拟和数字之间的转换,再由电话线路、光纤、卫星等介质传输。其功能有如下几点:①E-mail (Electronic Mail)电子邮件服务E-mail 是网络用户之间现实快速、简便、高效、廉价的通信工具。与国内、国际长途电话的费用相比,电子邮件可以大大降低用户国际间的通信费用。E-ail也成为Internet使用频率最高的一个服务。通过它可以方便企业与外部的联系,为企业节省时间,赢取更多的商机。②WWW访问服务通过HTTP,人们使用各自的浏览器便可以轻松地访问和浏览五彩缤纷的因特网世界。企业员工可以在最短的时间了解到最新新闻、最新技术,最新产品等一切新鲜的事物,有助于视野的开拓,激发灵感与创新精神。③FTP(File Transfer Protocol) 文件传送协议服务能提供视频点播服务,FTP是由文件传送协议支持的,用于在Internet上的两台之间文件的互传。FTP几乎可以传送任何类型文件。目前网络中公共的FTP站点都支持匿名访问。(2)Intranet的主要功能Intranet是Internet在企业内部信息系统的应用和延伸。其服务对象原则上是企业内部员工,并以联系企业内部员工的工作为主,促进企业内部的沟通,提高工作效率,强化企业管理。其主要功能如下:①企业内部信息发布利用Intranet企业内部信息,如日常新闻、年度报告、产品价格信息、公司机构等,可通过如同Internet上的Web站点一样的Web服务器向分散在全国乃至世界各地的雇员发布,这样企业内部网就变成了全球性的信息网络。②充分利用现有的数据库资源集团内行政管理,现代企业普遍建立了管理信息系统来管理其业务,已有大量地各种数据库,有了Intranet以后,Web技术使一般的工作人员通过浏览器来访问各种复杂的数据库。CGI(公共网关界面)和ASP(动态服务器页)技术使访问数据库变得十分简单。③实现企业的电子商务利用Intranet,营销人员不管身在何处,都可使用浏览器来查阅企业内部网上的各种多媒体信息,同时营销人员收集的信息可及时反馈到公司。企业利用Intranet,可实现网上销售、网上支付、网上服务等,在全球经济一体化的今天,电子商务已成为时代发展的潮流。④协同工作环境现代企业的集团性质,使企业(公司)内的工作群体往往在分散的环境下协同工作,必须使用具有交互性质的工具采完成群体各成员间的信息交流。使用Intranet,WWW页面和动态Web技术就会成为工作群体之间进行协同工作的理想环境。&
1.2&信息点分布主要信息点集中在生产部、账务部、网络中心、职工宿舍与医疗卫生等部门。详细分布如表1所示。地点&信息点&备注网络中心&50&需保证速度、流量和可靠性生产部&120&需保证速度、流量和可靠性人力资源部&100&需保证速度和流量销售部&100&需保证速度和流量账务部&120&需保证速度、流量和安全性职工宿舍&1000&需保证速度和流量后勤部&10&需保证速度和可靠性
表1 主要信息点分布1.3需求分析为适应企业信息化的发展,满足日益增长的通讯需求和网络的稳定运行,今天的大型企业网络建设比传统企业网络建设提出更高的要求,主要表现在如下几个方面:1)现代大型企业网络应具有更高的带宽,支持10GB或将来平滑过渡到10GB,更强大的性能,以满足用户日益增长的通讯需求;随着计算机技术的高速发展,基于网络的各种应用日益增多,今天的企业网络已经发展成为一个多业务承载平台,它不仅要继续承载企业的办公自动化和WEB浏览等简单的数据业务,还要承载涉及企业生产运营的各种业务应用系统数据,以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务,因此数据流量将大大增加,尤其是对核心网络的数据交换能力提出前所未有的要求。另外,随着千兆端口的成本持续下降,千兆到桌面的应用已成为企业网的主流。从2007年全球交换机市场分析可以看到,增长最迅速的就是10G级别机箱式交换机,由此可见,万兆的大规模应用已经真正开始。所以今天的企业网络已经不能再用百兆到桌面千兆骨干来作为建网的标准,它的核心层及骨干层必须具有万兆级带宽和处理性能,才能构筑一个畅通无阻的“高品质”大型企业网,从而适应网络规模扩大,业务量日益增长的需要。2)现代大型企业网络应具有更全面的可靠性设计,以实现网络通讯的实时畅通,保障企业生产运营的正常进行;随着企业各种业务应用逐渐转移到网络上来,网络通讯的无中断运行已经成为保证企业正常的生产运营的关键。现代大型企业网络在可靠性设计方面主要应从三方面考虑:首先是设备级可靠性设计,这里不仅要考察网络设备是否实现了关键部件的冗余备份,还要从网络设备整体设计架构、处理引擎种类等多方面去考察;其次是业务的可靠性设计,这里要注意网络设备在故障更换过程中 是否对业务的正常运行有影响;再次是链路的可靠性设计,以太网的链路安全来自于它的多路径选择,所以在企业网络建设时要考虑网络设备是否能够提供有效的链路自愈手段和快速重路由协议的支持。3)现代大型企业网络需要提供完善的端到端QOS保障,以满足企业网多业务承载的需求;大型企业网络承载业务的不断增多,单纯的提高带宽并不能够有效的保障数据交换的畅通无阻。大型企业网络建设必须要考虑到网络应能够智能的识别应用事件的紧急和重要程度,如视频、音频、数据流(MIS、ERP、OA、备份数据),同时能够调度网络中的资源,保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送,实现对业务的合理调度才是一个大型企业网络提供“高品质”服务的保障。 4)现代大型企业网络应提供更完善的网络安全解决方案,以阻击病毒和黑客的攻击,减少企业的经济损失;传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对于病毒和黑客攻击的防御,但实践证明这些被动的防御措施并不能有效的解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,才能有效的保证企业网络的稳定运行。&5)现代大型企业网络应具备更智能的网络管理解决方案,以适应网络规模日益扩大,维护工作更加复杂的需要;当前的网络已经发展成为“以应用为中心”的信息基础平台,网络管理能力的要求已经上升到了业务层次,传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如,网络调试期间最消耗人力与物力的线缆故障定位工作,网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作,由于受网络设备功能本身的限制,都还属于费时、费力,有时甚至是不可能的任务,所以现代的大型企业网络迫切需要网络设备具备支撑“以应用为中心”的智能网络运营维护的能力,并能够有一套智能化的管理软件,将网络管理人员从繁重的工作中。&构建中小企业网络第二章、&方案设计原则本方案的设计将在追求性能优越、经济实用的前提下,本着严谨、慎重的态度,从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计,力图使该系统真正成为符合该集团的网络系统。从技术措施角度来讲,在网络的设计和实现中,本方案严格遵守了以下原则:&实用性和集成性系统的软硬件设计、还是集成,均以适用为第一宗旨,在系统充分适应企业信息化的需求的基础上进而再来考虑其他的性能。该系统所包含的内容很多,必须能将各种先进的软硬件设备有效地集成在一起,使系统的各个组成部分能充分发挥作用,协调一致的进行高效工作。&标准性和开放性只有支持标准性和开放性的系统,才能支持与其它开放型系统一起协同工作,在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准,以便能和不同厂家的开放性产品在同一网络中同时共存。通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。&先进性和安全性系统所有的组成要素均应充分地考虑其先进性。不能一味地追求实用而忽略先进,只有将当今最先进的技术和我们的实际应用要求紧密结合,才能获得最大的系统性能和效益。网络的安全是事关重要的,在某些情况下,宁可牺牲系统的部分功能也必须保证系统的安全。&成熟性和高可靠性作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。网络硬件体系结构在实际应用中能经过较长时间的考验,在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案,并通到较多的第三方开发商和用户在全球的广泛支持和使用。同时,应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品,以适应系统未来的发展需要。可靠性也是衡量一个应用系统的重要标准之一。在确保系统网络环境中单独设备稳定、可靠运行的前提下,还需要考虑网络整体的容错能力、安全性及稳定性,使系统出现问题和故障时能迅速地修复。因此需要采取一定的预防措施,如对关键应用的主干设备考虑有适当的冗余。应急处理信息系统能够全天候工作,达到每周7*24小时工作的要求。一个高可用性的系统才能使用户的投资真正得到回报。&可维护性和可管理性整个信息网络系统中的互连设备,应是使用方便、操作简单易学,并便于维护。对复杂和庞大的网络,要求有强有力的网络管理手段,以便合理的管理网络资源,监视网络状态及控制网络的运行,因此,网络所选的网络设备应支持多种协议,管理员能方便进行网络管理、维护甚至修复。在设计和实现时,必须充分考虑整个系统的便于维护性,以使系统万一发生故障时能提供有效手段及时进行恢复,尽量减少损失。&可扩充性和兼容性网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、物理接连、产品支持等方面具有扩充与升级换代的可能,采用的产品要遵循通用的工业标准,以便不同的设备能方便灵活地接连入网并满足系统规模扩充的要求。为了使所实现系统能够在应用发生变化的情况下保护原有的开发投资,在设计系统时,应将系统按功能做成模块化的,可根据需要增加和删除功能模块&企业网络拓扑图+设计+组建与维护第三章、&网络方案设计3.1网络拓扑结构介绍 在此次××集团大型企业网的设计中,我们采用层次化模型来设计网络拓扑结构。所谓“层次化”模型,就是将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计,也能够应用于广域网的设计。 层次化模型的好处:在大型企业网设计中,使用层次化模型有许多好处,列举如下:1、节省成本在采用层次模型之后,各层次各司其职,不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽,减少了对系统资源的浪费。2、易于理解层次化设计使得网络结构清晰明了,可以在不同的层次实施不同难度的管理,降低了管理成本。3、易于扩展 在网络设计中,模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中,而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计,任何一个节点的变动都将对整个网络产生很大影响。4、易于排错层次化设计能够使网络拓扑结构分解为易于理解的子网,网络管理者能够轻易地确定网络故障的范围,从而简化了排错过程。3.2网络拓扑图网络拓扑图如图1所示。&
图1 网络拓扑图3.3 网络设计
3.3.1骨干核心层网络设计 大型企业生产办公网络的核心网主要完成整个企业集团内部不同地域企业之间的高速数据路由转发,以及维护全网路由的计算。鉴于大型集团企业的用户数量众多,业务复杂,QOS要求较高的特点,在本方案中采用神州数码的CRS-7508高密度多业务核心路由交换机组建高性能的核心网络平台。神州数码 DCRS-7500系列交换机是具有运营商级容错能力的高性能大型网络核心交换机,可为高校和运营商提供基于领先技术的卓越性能和可靠性。DCRS-7500系列交换机专为发挥万兆、千兆以太网潜在的强大交换能力而设计,超大容量的交换背板使得包括万兆端口在内的每个端口具备全线速交换能力,确保在巨大的网络通信负载下始终能够轻松实现线速的第二层和第三层交换,是城域网、数据中心、智能大厦及企业网络骨干级核心路由交换机的理想选择。DCRS-7500系列交换机具有三种型号,包括15插槽的DCRS-7515、8插槽的DCRS-7508和4插槽的DCRS-7504,除DCRS-7515专用的大功率电源模块外,该系列交换机的所有管理模块、交换模块以及电源模块都可互换使用,而且管理模块、电源模块、风扇等还可实现冗余备份,温度传感器可以随时监控各个部件的工作温度, 从而提供运营商级的可靠性。 DCRS-7500系列交换机的一大特色是管理模块均带有业务接口,使得所有的插槽均为有效的业务插槽,从而大大提高了端口密度和插槽利用率。在骨干核心层中,采用两台神州数码DCRS-7508核心路由交换机组成双机热备份的核心交换机系统解决方案。为提高核心网络的健壮性,实现链路的安全保障,本方案骨干核心层中可以采用VRRP(虚拟路由器冗余协议)。对于各个业务VLAN可以指向这个虚拟的IP地址作为网关,因此应用VRRP技术为核心交换机提供一个可靠的网关地址,以实现在核心层核心交换机之间进行设备的硬件冗余,一主两备,共用一个虚拟的IP地址和MAC地址,通过内部的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网络高效处理大集中数据提供了可靠的保障。.3.2核心层网络设计 大型企业生产办公网络的核心层网络主要完成园区内各汇聚层设备之间的数据交换和与骨干核心层网络之间的路由转发。传统解决方案一般采用骨干路由器+核心交换机来组建,但这种方式受限于交换机的性能,在提供MPLS VPN的业务能力方面较弱,不适合大型企业网络的建设需求,同时现在的大型企业办公网络具有城域网的特点,网络发展具有网络扁平化的发展方向,因此本方案骨干层网络设备采用DCRS-7508核心路由交换机作为大型企业生产办公网络的园区核心路由交换设备,DCRS-7508具有强大的业务和路由处交换理能力,能提供如MPLS VPN、QoS、策略路由、NAT、PPPoE/Web/802.1x/L2TP认证等丰富业务能力,并可通过内置防火墙模块实现各种强大的网络安全策略,可以充分满足大型企业不同园区网络的高速数据交换和支持多业务功能的要求,并能够提供完善的安全防御策略,保障企业园区网络的稳定运行。3.3.3汇聚层网络设计汇聚层网络主要完成企业各园区内办公楼宇和相关单位的内接入交换机的汇聚及数据交换和VLAN划分。在本方案中采用神州数码的DCRS-7504交换机多层交换机作为汇聚层面的交换机。DCRS-7504交换机在提供高密度千兆端口接入的同时还能够满足汇聚层智能高速处理的需要,并能够加灵活的部署在网络边缘的各个位置。能够同时提供多个高速专用堆叠端口和百兆、千兆光口/电口。这些交换机都具备较强的多业务提供能力,可支持包括智能的CCL、MPLS、组播在内的各种业务。为用户提供丰富、高性价比的组网选择。3.3.4接入层网络设计 以往传统企业网络接入层的建设中并不关注于安全控制和QOS提供能力,而将网络的安全防御措施和QOS保障依赖于网络的汇聚层或骨干层设备,这给汇聚层和骨干层设备带来了巨大的压力,往往内网病毒泛滥成灾后导致骨干层设备瘫机,使网络没有QOS服务质量保障。DCRS-2026B智能宽带接入交换机是能满足高安全、多业务承载、高性能的网络环境智能交换机,具备传统二层交换机大容量、高性能等优点,同时还具有领先的安全特性,进一步加强了企业网络对边缘接入层面的安全控制能力。 用户可以根据需要来订制自身的安全策略并部署在此交换机上。该产品具备的端口带宽限制、端口镜像、QoS、端口安全、广播风暴抑制等功能可以很好的协助用户实现网络的管理和维护。除此之外,此交换机还具备多个专用堆叠接口,可以满足楼层,楼宇内多个交换机高性能汇聚的需要。3.3.5广域网互联设计针对于大型企业需要良好的出口网关设备,我们建议用户选用神州数码DCFW-1800S-L。神州数码DCFW-1800E-G2防火墙专为千兆位流量的网络服务运营商,大型数据中心等骨干网络而设计, 采用2U专用千兆安全平台,完全模块化可扩展结构,具有热插拔特性的冗余部件为您提供最大的不间断运行时间。神州数码DCFW-1800E-G防火墙内置2个10/100/1000M自适应以太网电口,具备6个SFP扩展插槽,最多可扩展至8个千兆接口,接口模块类型支持单模、多模光纤,千兆电口,充分满足您的定制需求。3.3.6冗余/负载均衡设计 冗余设计是网络设计的重要部分,是保证网络整体可靠性能的重要手段。但是投资也将增加。部分企业园区网在早期的建设中由于成本的原因并未在设计中考虑冗余问题,而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计可以贯穿整个层次化结构,每个冗余设计都有针对性,可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时,冗余链路可以提供另一条物理路径。可采用GEC链路聚合(IEEE802.3ad)实现端口级冗余,以克服某个端口或线路引起的故障。也可采用生成树协议(IEEE802.1d)提供设备级的冗余连接。此外,我们在设计中提供不同物理方向的双归属、双路由保护。3.3.7线路冗余 在企业网骨干核心层,企业网络边界拓扑结构由于采用了环形多机热备份的核心交换机系统解决方案,所以在线路冗余方面的要求较高,对于线路的冗余要求,我们采用10GB线路对三台企业网骨干核心层设备进行环行双向备份,并使用业界领先的VRRP(虚拟路由器冗余协议)来对其作为冗余线路的协议保障。以GEC作为N*1000M主干链路,通过这个链路连接骨干网交换机,具备万兆扩展能力;接入交换机采用10/100M自适应端口连接桌面系统,多千兆链路连接到汇聚层。GEC路具有链路聚合和冗余保证两大特性,下面我们将对它们依次进行介绍链路聚合:可使用一条物理链路在不同品牌交换机之间、交换机和服务器间提供聚合的高速通道,在不增加投资的情况下,扩大交换带宽,使关键连接的传输效率更高冗余保证:&&&&&&&&&&&&&&&&&&&&&&&&& 链路聚合中,成员互相动态备份。当某一链路中断时,其它成员能够迅速接替其工作。与生成树协议不同,链路聚合启用备份的过程对聚合之外是不可见的,而且启用备份过程只在聚合链路内,与其它链路无关,切换可在数毫秒内完成。综合分析以上各主流方案的优缺点,从性能与成本及拓展性等方面的综合考虑出发,我们决定采用GEC骨干核心网络10GE拓展的方式作为其链路选择及备份选择。在企业网汇聚层及接入层出于成本及性价比的考虑,我们决定采用千兆汇聚,万兆拓展;百兆到桌面的链路选择。3.3.8网络设备冗余/负载均衡设计 当前,无论在企业网、园区网还是在广域网如Internet上,业务量的发展都超出了过去最乐观的估计,上网热潮风起云涌,新的应用层出不穷,即使按照当时最优配置建设的网络,也很快会感到吃不消。尤其是各个网络的核心部分,其数据流量和计算强度之大,使得单一设备根本无法承担。负载均衡建立在现有网络结构之上,它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题,服务就近提供,实现地理位置无关性 ;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失效。在此方案中,在网络的每个关键结点,我们在设计时都做到了对其有效的冗余备份和负载均衡。在网络的骨干核心层上。我们采用了两台神州数码的DCRS-7508高密度多业务IPV6核心路由交换机组建高性能的核心网络平台,在对骨干核心层提供足够的网络接点和接入需求的同时最大限度的为网络提供了有效的冗余保障和负载均衡。在核心层的每个区块,我们都采用了两台神州数码的DCRS-7508多业务IPV6核心路由交换机做到冗余与负载均衡。双核心拓扑结构提供了两条等代价路径和双倍的带宽。每个核心交换机连接着数目相同的子网到第三层汇聚设备上。3.3.9服务器冗余设计 企业网中服务器、大型机,如网络存储服务器,SQL Server服务器,其存储的数据对于企业来说致关重要,一些核心数据被视为企业的生命。一方面它对企业的企业的重要性毋庸质疑,另一方面,由于这些数据的性质决定了其较大的被访问量,这个对服务器提出了稳定和快速的要求。如果宕机,后果是技术是保障系统的可靠性是重中之重。为此,我们采用的是双机热备技术 ,此技术能够有效的满足核心服务器高效,稳定的高要求。而且相对于其它成本技术来说,这是比较有经济价成效的技术&企业网络拓扑图+设计+组建与维护& 服务器双机热备技术
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 具体技术实现:每个核心服务器均具有两个以太网接口(可以通过安装双网卡实现),在此基础上,以上图为例,DB服务器A与DB服务器B先分别利用自己的一个以太网接口实现两个服务器之间的直连,每个服务器另外的一个接口则与服务器区的网络实现互连,以达到双机热备的目的。因此增加服务器的稳定性与高效性。本网络中应具有多台服务器设备,包括DB SERVER数据库服务器,WEB,CATALOG等应用服务器,NEWS,MAIL等通讯服务器及多媒体服务器等。
3.3.10 IP地址规划原则
IP地址构成了整个Internet的基础,IP地址资源是整个Internet的基本核心资源,IP地址资源的合理分配和有效利用是整个Internet发展过程中持续有效的一个极具分量的研究课题。我们在对企业园区网IP地址编址设计和分配利用时,遵循了以下几个原则:1)、自治:整个园区网络网络被划分成几个大的自治区域,每个大自治区域中又被划分成几个小的自治区域。 2)、有序:我们按照自治原则将网络进行逻辑划分后,就根据地域、设备分布及区域内用户数量来进行子网规划。同时,我们将IP地址规划和网络层次规划、路由协议规划、流量规划等结合起来考虑。在进行地址分配时,为了提高地址分配效率和地址利用率,我们在编址设计时按照了一定的顺序进行。选择的顺序是自上而下的顺序,即采用了业界领先的自顶向下网络设计(Top-Down Network Design)方法。 3)、可持续性:考虑到园区内网络用户数将持续高速增长,网络所要承载的业务量和业务种类越来越多,这使得网络需要频频进行技术升级、改造和扩容。所以,在进行地址分配时本方案充分考虑到了这些因素,为网络的每个部分留有部分地址冗余,这样保证网络的可持续发展。 4)、可聚合:互联网日新月异的发展和日益庞大的规模令当初设计互联网络的专家始料不及,在路由表急剧膨胀情况下,可聚合原则是网络地址分配时所必须遵守的最高原则,可聚合原则要求在进行地址规划时,应提供足够的路由冗余功能。 5)、尽量节约IPv4地址:由于IPv4地址越来越少,所以对于IPv4地址的使用需要格外节约。IPv4地址的节约可以通过动态编址技术和NAT技术等来实现。 6)、闲置IP地址回收利用:对于已分配出去的静态IP地址进行定期追踪管理,对长时间闲置的IP地址可经过确认后回收重复利用。此次方案的设计,我们决定采用一个内部私有A类地址(10.0.0.0)对企业园区的网络设备编址。由于从方案本身的网络拓扑图采用了典型的层次化设计,所以对ip地址的编址设计也应采取层次化的设计来完成,并采用VLSM来拓展有限的IP地址。网段描述&所需的IP地址数骨干核心层链路&5(2个用于拓展备份)集团总部&1000生产部&500职工宿舍&1000大型机/服务器群&500企业VOIP语音系统&2000
VLSM是可变长子网掩码的英文缩写,它提供了一个主类(A类、B类、C类)网络内包含多个子网掩码的能力,可以对一个子网再进行子网划分。VLSM的优点•对IP地址更为有效的使用•应用路由归纳的能力更强所以我们采取vlsm对网络进行编址,以达到节约ip地址,能够使用路由汇总的目的。首先采用一个A类网址对园区网主体结构进行编址,至上而下的设计思路有利于设计的最后成型和网络的健壮性。其次,在语音电话系统中,每一个ip电话需要一个ip地址以及诸如子网掩码、默认网关等的相关信息。事实上,这意味着一个组织需要指派两倍于ip电话的ip地址给当前所有的pc用户,这个由DHCP提供。我们使用私有遍址的IP电话作为语音电话遍址方案。私有遍址IP电话:10.2.8.3&&&&&&&&&& 172.16.8.5&&&&&&&& IP电话使用172.16.0.0网络&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&――――― ――――――&&&&&&&&&&& IP电话+PC在同一交换机端口上&&&&&&&&&&&& /&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /&――――― ――――-&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
最后经过我们的计算,将各部门ip地址分配如下表:&IP地址网段&VLAN编号&默认网关财务部&192.168.10.0/24&10&192.168.0.254/24生产部&192.168.20.0/24&20&192.168.0.254/24销售部&192.168.30.0/24&30&192.168.0.254/24行政部&192.168.40.0/24&40&192.168.0.254/24用户地址与VLAN划分Web服务器IP地址:& 192.168.100.1/24FTP服务器IP地址:& 192.168.100.2/24路由器出口IP地址: 222.18.44.3/243.4 方案特点本方案很好地解决了用户要求的四个问题,即带宽问题、安全问题、管理计费问题、灵活扩展问题。&带宽问题:使用万兆互连双核心结构,使网络核心设备不但可以互相备份,而且有效的减轻流量负荷,使设备时刻保持稳定和高效。&安全问题:企业网核心层、汇聚层、楼层汇聚层所使用的产品全部具有网络病毒和攻击的防护能力,并且防DOS/DDOS攻击,因而可以在不同的环境中做到安全防护,足以应对突发事件,保持网络稳定、通畅。&管理计费问题: 统一认证,针对企业网开放式的信息点造成的安全隐患,全网接入采用统一认证技术(可以进行账号、IP,MAC、LAVN ID、交换机IP和交换机端口六要素灵活捆绑),保证了只有合法授权的用户才能使用网络或外部网络,而且还能对网络的使用情况进行审计。&灵活扩展问题:核心层使用的路由交换机DCRS-7508有良好的扩展性,可以为将来的网络实现轻松扩展。&构建中小企业网络第四章、&网络技术选型4.1&路由协议――OSPF在网络骨干核心层和核心层以及汇聚层上需要使用三层设备为网络内部不同的网段的数据和不同vlan间的数据转发而需要路由协议时,我们采用OSPF协议作为路由协议。OSPF是一种典型的链路状态路由协议。采用OSPF的路由器彼此交换并保存整个网络的链路信息,从而掌握全网的拓扑结构,独立计算路由。因为RIP路由协议不能服务于大型网络,所以,IETF的IGP工作组特别开发出链路状态协议――OSPF。目前广为使用的是OSPF第二版,最新标准为RFC2328。 OSPF作为一种内部网关协议(Interior Gateway Protocol,IGP),用于在同一个自治域(AS)中的路由器之间发布路由信息。区别于距离矢量协议(RIP),OSPF具有支持大型网络、路由收敛快、占用网络资源少等优点,在目前应用的路由协议中占有相当重要的地位。4.2&端口安全与认证(基于 802.1X)a.端口安全交换设备定义了对端口保护的功能,我们能定义允许的最大 MAC 地址访 问数,或者静态的定义特定的 MAC 地址。遇到不合法的 MAC 地址交换机采取的策 略。配置举例端口安全性:&&&&&&&&&&& >enable #configure terminal (config)#interface f0/1&&&&&&&&&& -if)#swithport port-security&&&&&&&&&& -if)#swithport port-security maximum 4&&&&&&&&&& -if)#swithport port-security mac-address&& x.x.x.x&& (该端口的mac地址 )&&&&&&&&&& -if)#swithport port-security violation shutdown&& (遇到其他端口则关闭,但可以人工打开)& 保护端口:将接入层交换机各宿舍接口设置为保护口,保护口之间间互相无法通迅,保护口与非保护口之间可以正常通迅: Switch(config)#interface Ethernet 0/1&&&&&&&&&&& Switch(config)#switchport protected
b.基于 802.1x 的端口认证
基于端口的认证就是将& AAA& 认证与端口保护相结合,默认情况下。一个支持802.1x 的交换机端口处于未授权状态,除了和 802.1x 有关的数据,其他数据都不能通过该端口,只有客户的交换机创建了一个 802.1x 的会话,客户被授权访EAPOL:Extensible& Authentication& Protocol& OVER& LAN& 局域网上的可扩展身 份认证。在端口处于未授权状态下,客户端只能使用 EAPOL 与交换机通信。
4.3 VRRP(虚拟路由冗余协议)原理
VRRP给路由器组提供了一个冗余网关地址,它是一种容错协议,通过定义 不同的组,不同优先级的路由器,它保证网络的主路由器失效时,可以及时的由 备分来实现路由器来替代,从而保持通讯的连续性和可靠性。并可以在该协议上 实现负载均衡等高级交换特性。VRRP 技术的实现: 汇聚到核心冗余连接及 VRRP 的实现通过 VRRP 技术将多个设备虚拟成为一台逻辑设备,实现汇聚/接入链路冗余。如下例:-if)#vrrp 5 ip 192.168.2.5&&&&&&&&&& -if)# vrrp 6 ip 192.168.2.6&&&&&&&&&&& A: -if)#vrrp 5 priority 200&&&&&&&&&&& B: -if)#vrrp 6 priority 200&&&&&&&&&&&&&& -if)#vrrp 5 authen&& name&&&&&&&&&&&&&& -if)#vrrp 6 authen&& name见图如下:&&&&&&& 4.4& RSTP、MSTP原理RSTP 协议完全向下兼容 802.1D STP 协议,除了和传统的 STP 协议一样具有避免回路、提供冗余链路的功能 外,最主要的特点就是“快”。如果一个局域网内的网桥都支持 RSTP 协议且管理员配置得当,一旦网络拓朴改变而 要重新生成拓朴树只需要不超过 1 秒的时间(传统的 STP 需要大约 50 秒)。本交换机支持 MSTP,MSTP 是在传统的 STP、RSTP 的基础上发展而来的新的生成树协议,本身就包含了 RSTP的快速 FORWARDING 机制。由于传统的生成树协议与 vlan 没有任何联系,因此在特定网络拓朴下就会产生以下问题: 如下图 所示,交换机 A、B 在 vlan1 内,交换机 C、D 在 vlan2 内,然后连成环路。
在某种情况的配置下,会造成把交换机 A 和 B 间的链路给 DISCARDING.由于交换机 C、D 不包含 vlan1,无法转发 vlan1 的数据包,这样交换机 A 的 vlan1 就无法与交换机 B 的 vlan1 进行通讯。在网络末梢,连接到单个工作站的时候,是不可能形成桥接环路的。在接口 上启用了 portfast 特性,可以使交换机端口立即变为转发状态,提高了网络的 响应速度及收敛时间。 基于 RSTP 的交换机高级特性 Uplinkfast 在网络中的应用考虑到有冗余上行连接的网络,使用冗余连接到上层交换机,通常情况下一 个上行连接处于转发状态,另一个处于阻塞状态,如果主上行连接断开,在使用 冗余连接之前所经历的时间高达 50S在使用 Uplinkfast 之后,使的具有冗余上行连接的交换机具有根端口失效 时,另一个阻塞的上行连接能够立即使用,这个时间大大缩小到 1-5S 之间,在 集团 网 的 特 殊 环 境 之 下 , 能 大 大 增 强 网 络 的 稳 定 性 , 加 快 网 络 收 敛 。
4.5&& NAT 的描述及策略路由的实现在组建网络时,为了节约地址,我们在内部使用保留的私有地址段中的地 址,但是使用私有地址不能访问 Internet,所以必须申请多个公开地址配置在和 Internet 相连的局域网边缘设备上。应用 NAT 进行地址转换。NAT 是网络地址翻译技术,在路由器上起用 NAT 之后,可以在部私有地址和 外部公网地址之间做转换。比如我们可以把网络内部使用的 IP 翻 译成外部公网的 IP。配置基于策略的路由选择时,可使用路由映射表来指定基于 IP 地址,应用 ,协议或者分组长度的条件。基于策略的路由选择命令对中选的路由实现策 略。基于策略的路由和静态路由有很多共同之处。然而,静态路由根据目标网络 地址来转换分组,而策略路由根据源地址来转发分组。在路由选择表中使用访问 列表时,可根据诸如目标地址,分组长度,IP& 协议字段,优先级或端口号来转发数据流。这样可以指定范围更广泛,更细致的条件,并根据这些条件来决定下 一跳路由器。4.6& ACL& (访问控制列表)访问列表为我们提供了一种对网络访问进行有效管理的方法,通过访问列 表,我们可以设置允许或拒绝数据包通过路由器,或者允许或者拒绝具体的某些 端口进行访问和使用,如果满足条件则执行相应的操作,放行这个包或者放弃这 个包。我们通过这些设置来满足实际网络的灵活需求,从而达到设置网络安全策 略,防止网络中的敏感设备受到非授权访问的情况。在具体实现过程中从技术上来说我们需要了解到 ACL 分为两种类型,他们分 别是标准访问列表(Standard access lists)和扩展访问列表(Extends access lists) 前者在过滤网络的时候只使用 IP 数据报的源地址,那么在使用这种访问列表的 情况下它做出允许或者拒绝这个决定完全是依赖于源 IP 地址,它无法区分具体 的流量类型。而扩展访问列表则可以提供更细的决定,它可以具体到端口,从而 精确到某一个服务,比如对 WEB,FTP 的访问等,给我们网络的策略提供了更细 的控制手段。我们利用这种访问列表进行协议级的控制以达到对网络一个有效的 管理。标准访问控制列表一般放在靠近目标的路由器上,而扩展访问控制列表一 般放于近源端的路由上器。
4.7 链路聚合 EC(Ethernet& Channel)
以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的 伸缩性,比如可以把多个千兆的链路绑定在一起,使链路的带宽成倍增长。链路聚合技术可以实现不同端口的负载均衡,同时也能够互为备份,保 证链路的冗余性。在神州数码千兆以太网交换机中,最多可以支持 4 组链路聚合,每组中最大 4 个端口。链路聚合一般是不允许跨芯片设置的。生成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路,并用生成树协议让备份链路阻塞,在逻辑上不形成环路。而一旦出现故障,启用备份链路。
4.8&& VLAN& (虚拟局域网)VLAN(Virtual Local Area Network)的中文名为"虚拟局域网", VLAN是一种将局域网设备从逻辑上划分(注意,不是从物理上划分)成一个个网段,从而实现虚拟工作组的新兴数据交换技术。VLAN 虚拟局域网是一种在二层设备上隔离和划分广播域的技术,通过这种划分,我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播域,或者把物理位置上邻近的网络设备划为不同的广播域,从而更方便我们管理和做一个逻辑层次的划分。从技术上说 VLAN 可以分为静态 VLAN 和动态 VLAN,那么静 态的 VLAN 是基于交换机端口进行划分,根据网络设备连接不同的交换机端口, 则进入相应的 VLAN。动态 VLAN 则更灵活,它可以根据接入计算机的 IP 地址, MAC地址,甚至是用户的登陆账号做出相应的处理,把划分进相应的 VLAN 中,这样就为我们实际的网络管理带来了比较大的方便性和灵活性。 那么在我们的企业网方案中,我们希望通过使用VLAN技术进行划分达到以下目的:VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。4.9&WLAN 无线局域网无线局域网有 4 大特点: 移动性:不受时间限制,空间限制,用户可以在网络中漫游; 灵活性:不受线缆的限制,可以随意增加和配置工作站; 低成本:无线网络不再需要大量的工程布线,同时节省了线路的维护费用; 易安装:对于有线网络来说,无线网络的组建、配置和维护更为容易。无线客户端可以通 过无线接入器 AP(Access Point)接入以太网共享网络资源,多个 AP 分布在相邻 的区域可以实现无线客户端的移动漫游。&企业网络安全网络安全及管理机制5.1&完善的安全机制企业楼宇交换机通过内在的多种安全机制可有效防止和控制病毒传播和网络流 量攻击, 控制非法用户使用网络,保证合法用户合理化使用网络,如端口安全、端口隔离、ACL、端口 ARP& 报文合法性检查、基于数据流的带宽限速、六元素绑定等等, 满足企业网加强对访问者进行控制、限制非授权用户通信的需求;在汇聚、核心交 换设备设置由硬件实现& ACL,对病毒进行过滤,我们选用的汇聚、 核心交换设备都支持SPOH,所以在使用ACL 时将不会影响整个交换机的性能。1.防火墙技术。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警。 &2. 通过 Private VLAN 可以在交换机的同一 VLAN 中提供端口之间的通讯 或安全隔离,确保数据流进入有效端口,而不会被发送到其它端口,即解决了因 传统& 802.1QVLAN造成全网 VID& 资源不够的问题,同时又无需利用安全规则 资源即能达到隔离不同用户以及不同组用户之间通讯的功能,充分保护用户隐私;3. 可实现用户账号、MAC 地址、IP 地址、交换机 IP、 交换机端口等六大元素之间的灵活任意绑定,有效确认用户合法性和唯一性;4.& 支持业界特有的IGMP 源端口检查,有效杜绝非法组播源播放和大量占用大量网络带宽,提高网络安全性;5.& 提供极为有效的Port& Blocking 功能,避免端口受到其它端口发送的广播包、多播包等报文的干扰,有效减轻端口负载负担,提高端口带宽,保护用户 PC& 更高效安全 地运行;6. 基于源 IP 地址控制的 Telnet 和 Web 设备访问控制,增强了设备网管 的安全性,避免黑客恶意攻击和控制设备;7.& 提供加密传输Secure& Shell(SSH),保证管理设备信息的安全性,防止黑客攻击和控制设备;8.硬件实现端口与 MAC 地址和用户IP 地址的绑定,严格限定端口上用户接入;
解决安全威胁在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,才能有效的保证企业网络的稳定运行。1.防冲击波病毒随着蠕虫病毒等的攻击手段呈多元化发展,单一的防护措施已经无能为力保 卫企业网络安全。IDS 只能根据预先定义的策略进行检测,对新的攻击方式无能 为力,或者当 IDS 侦测到某终端用户感染病毒后,只能将相关信息形成报告通知 网管人员,等待处理。然而,此时受感染的用户可能已经通过网络散播到了企业 网络的各个角落。2.来自网络内部的恶意或误操作攻击据相关数字显示,目前,网络遭受的恶意攻击& 90%以上是来自于内部, 诸如窃取他人密码等重要信息、盗打 IP& 电话、企业一卡通金额被盗等事件时 有发生。对此,如果仅仅& 倚靠被动的监测方式,就给事后追查“嫌疑人”的网 管人员制造了难以逾越的瓶颈。5.2& VPN& (虚拟专用网)虚拟专用网(virtual private network)是一种在公用网络上通过创建隧道,封装 数据模拟的一种私有专用链路。隧道起一个提供逻辑上点对点连接的作用,从隧 道的一端到另外一端支持数据身份验证和加密。由于数据本身也要进行加密,所 以即使通过公共网络,它仍然是安全的,因为即便数据包在通过网络结点时被拦截(如经过服务器时)但只要拦截者没有密钥。就无法查看包的内容。从内容上来说 VPN 的连接主要可以分为两个部分,即隧道的建立和数据的 加密,在第 2 层上常见的隧道协议包括 PPTP(Point to Point Tunneling Protocol) 点对点隧道协议,还有 L2TP(Layer2& Tunneling& Protocol)第二层隧道协议,L2TP 隧道能够提供 ATM 和 FRAME& RELAY 上的隧道,而且由于不依赖 IP 协议,它 还可以支持不止一个连接,那么一般的网络设备如路由器等大多支持这个协议。 在第三层上创建的隧道是基于 IP 的虚拟连接,这些连接通过收发 IP 数据包实现, 这个抱被封装在由 IETF(Internet Engineering Task Force)指定的协议包装之内。 包装使用 IP sec,IKE,以及身份验证和加密方法,如 MD5,DES,以及 SHA。 数据加密使用的加密数据协议有 MPPE,IPsec,VPNd,SSH..& IP& sec 可以与 L2TP 一 起使用,这个时候 L2TP 建立隧道,IPsec 加密数据,这种形式下 IP sec 运行于传 输模式&构建中小企业网络第六章、&网络设备选型企业网网络系统从结构上分为核心层、汇聚层和接入层。核心层主要是实现骨干网络之间的优化传输,骨干层设计的重点是冗余能力、可靠性和高速的传输。因为学校存在大量的语音和视频传输。据此,考虑汇聚层对 QoS 有良好的支持并且能提供大的带宽。接入层设备是最终用户的最直接上联的设备,它应该具备即插即用特性以及易于维护的特点。在接入层面,通过定义相应的访问策略,实现访问控制,内外隔离。&第七章、&综合布线7.1采用综合布线方案的优点1.综合布线系统的定义国家于1997年9月发布的YD/T 926.1-1997通信行业标准《大楼通信综合布线系统第一部分:总规范》中,对综合布线系统的定义为:“通信电缆、光缆、各种软电缆及有关连接硬件构成的通用布线系统,它能支持多种应用系统。即使用户尚未确定具体的应用系统,也可进行布线系统的设计和安装。综合布线系统中不包括应用的各种设备。”目前所说的建筑物与建筑群综合布线系统,简称综合布线系统。它是指一幢建筑物内(或综合性建筑物)或建筑群体中的信息传输媒质系统。它将相同或相似的缆线(如对绞线、同轴电缆或光缆)、连接硬件组合在一套标准的且通用的、按一定秩序和内部关系而集成为整体。今后随着科学技术的发展,会逐步提高和完善,形成能真正充分满足智能化建筑所需的要求。2.综合布线系统的特点综合布线系统是目前国内外推广使用的比较先进的综合布线方式,具有以下特点:(1)综合性、兼容性好传统的专业布线方式需要使用不同的电缆、电线、接续设备和其它器材,技术性能差别极大,难以互相通用,彼此不能兼容。综合布线系统具有综合所有系统和互相兼容的特点,采用光缆或高质量的布线部件和连接硬件,能满足不同生产厂家终端设备传输信号的需要。(2)灵活性、适应性强采用传统的专业布线系统时,如需改变终端设备的位置和数量,必须敷设新的缆线和安装新的设备,且在施工中有可能发生传送信号中断或质量下降,增加工程投资和施工时间,因此,传统的专业布线系统的灵活性和适应性差。在综合布线系统中任何信息点都能连接不同类型的终端设备,当设备数量和位置发生变化时,只需采用简单的插接工序,实用方便,其灵活性和适应性都强、且节省工程投资。(3)便于今后扩建和维护管理综合布线系统的网络结构一般采用星型结构,各条线路自成独立系统,在改建或扩建时互相不会影响。综合布线系统的所有布线部件采用积木式的标准件和模块化设计。因此,部件容易更换,便于排除障碍,且采用集中管理方式,有利于分析、检查、测试和维修,节约维护费用和提高工作效率。(4)技术经济合理综合布线系统各个部分都采用高质量材料和标准化部件,并按照标准施工和严格检测,保证系统技术性能优良可靠,满足目前和今后通信需要,且在维护管理中减少维修工作,节省管理费用。采用综合布线系统虽然初次投资较多,但从总体上看是符合技术先进、经济合理的要求的。3.综合布线系统的范围综合布线系统的范围应根据建筑工程项目范围来定,一般有两种范围,即单幢建筑和建筑群体。单幢建筑中的综合布线系统范围,一般指在整幢建筑内部敷设的管槽系统、电缆竖井、专用房间(如设备间等)和通信缆线及连接硬件等。建筑群体因建筑幢数不一、规模不同,有时可能扩大成为街坊式的范围(如高等学校校园式),其范围难以统一划分,但不论其规模如何,综合布线系统的工程范围除上述每幢建筑内的通信线路和其它辅助设施外,还需包括各幢建筑物之间相互连接的通信管道和线路,这时,综合布线系统较为庞大而复杂。我国通信行业标准《大楼通信综合布线系统》(YD/T 926)的适用范围规定是跨越距离不超过3000m、建筑总面积不超过100万m2的布线区域,其人数为50人~50万人。如布线区域超出上述范围时可参照使用。上述范围是从基建工程管理的要求考虑的,与今后的业务管理和维护职责等的划分范围有可能是不同的。因此,综合布线系统的具体范围应根据网络结构、设备布置和维护办法等因素来划分相应范围。7.2工作区子系统一个独立的需要设置终端设备的区域宜划分为一个工作区,工作区子系统应由配线(水平)布线系统的信息插座延伸到工作站终端设备处的连接电缆及适配器组成。(如图所示)&7.3水平区子系统水平子系统由工作区的信息插座、每层配线设备至信息插座的水平电缆等组成。(如图所示)&7.4管理子系统管理子系统设置在每层配线设备的房间内。管理子系统应由交接间的配线设备,输入/输出设备等组成。也可应用于设备间子系统。管理子系统提供了与其他子系统连接的手段。(如图所示)&7.5垂直主干线子系统干线子系统应由设备间的配线设备和跳线以及设备间至各楼层配线间的连接电缆组成。(如于所示)&企业网络拓扑图+设计+组建与维护7.6设备间子系统设备间是在每幢大楼的适当地点设置进线设备,进行网络管理以及管理人员值班的场所。设备间子系统应由综合布线系统的建筑物进线设备,电话、数据、计算机等各种主机设及其保安配线设备等组成。设备间子系统的电话、数据、计算机主机设备及其保安配线设备宜集中设在一个房间内。必要时,可以分别设置,但程控电话交换机及计算机主机房离设备间的距离不宜太远。(如图所示)&7.7建筑群子系统建筑群子系统是指主建筑中的主配线架延伸到另一建筑物中的主配线架上的连接系统。总结本方案中所采取的技术与产品充分考虑到了网络未来的升级与发展,无论从企业网的扩展到广域网的建设都作了周密的考虑。再是由于系统选择的是最成熟与标准的快速以太网技术,把网络已构筑了高速和坚固的信息高速公路,面对未来的发展将处于非常有利的境界
上一篇资讯:
下一篇资讯:
文章排行榜}
我要回帖
更多推荐
- ·发现每次我一换头像怎么判断相亲黄了对象也换了,感觉我们两个图片都好像,这是第二次了!帮忙看看图片?
- ·无人机保险费的价格哪家保险公司可以投保?
- ·网银转账24小时可撤销跨行转账?
- ·政府提供纯公共物品和准公共物品举例的方式及特点
- ·遍地美女全球一夫多妻制的国家伊朗,石油储量丰富,为何经济却落后贫穷?
- ·如何删除ppt中的视频
- ·泉州惠安有红外线水平仪怎么使用维修点吗?
- ·搜酷什么意思网的网址是多少?
- ·想租房子去哪个网站靠谱,有没有免费的租房网站可以直接找到房东的?
- ·哪里充联通流量哪里买便宜全国流量便宜
- ·小米智能电风扇拆解图怎么拆 就是怎么把里面的小小米智能电风扇拆解图拿出来
- ·和HPY检验PC CC有问题是pc什么意思思
- ·输入模拟信号最高有效频率5kHz 应选用转换时间为多少的A/D转换器
- ·win10系统的win10没有hosts文件件不见了怎么办
- ·林心如乙肝病毒携带者者用过的鼠标会传染给我吗
- ·想网上买msi电脑什么档次,msi的,用淘宝好还是京东好?
- ·的汽车智能手机启动软件里面都安装的什么软件大家的手机里安装
- ·通过比较了几个海员学校培训,还是选择PHP培训!
- ·52微信运营遇到瓶颈了吗
- ·求请详细解答答分析
- ·(如何写毕业论文文求助大神)本人太渣,求助各位大神。导师让设计一个基于OSPF协议的园区网络逻辑结构图。
- ·支付宝上的泰康第二年退保保险怎么退保
- ·为什么我的水冷冷凝器温度高是什么原因这么 高
- ·庭庭什么叫互联网网
- ·达人店需要收费吗?
- ·蜀道火锅加盟官网条件有什么要求
- ·我家是陇西和秦安哪个的,去秦安进货,自己开车便宜还是发过来便宜?
- ·解聘通知书和辞退通知书是否一定要有被解聘员工签字才生效
- ·现在批发生意不好,这么怎么样才能吸收不好拓宽生意渠道?
- ·股市中洗盘快要结束的预兆是什么意思
- ·一到十大写怎么写一万零五百二十元怎么写
- ·连云港阿里巴巴国际站经理客户经理工作怎么样
- ·融信普惠去哪了解咨询?
- ·小申答疑:子女买房可以提取父母的公积金吗,父母能用公积金贷款吗
- ·琼海市应大力发展产业什么产业?为什么?
- ·产品和服务的不合理的设计产品吐槽性是什么意思
