中小型企业互联网络接入方案(毕业论文).doc

资源描述

中小型企业互联网络接入方案 *****学院毕业设计（论文）论文题目：中小型企业互联网络接入方案学生： ******** 指导教师： ******* 学院： ********* 专业： ********************** 中小型企业互联网络接入方案摘要随着全球经济一体化趋势的来临，商业流通企业的经营环境发生了巨大的变化:①.由卖方市场转向买方市场；②.由全面市场转向一对一市场；③.由共性消费转向个性消费；④.由以产品为中心转向以顾客为中心；⑤.由批量生产转向快速生产；⑥.由规模经济转向时效经济。这就要求企业的管理实现适时化、数字化和敏捷化，信息化、网络化和智能化就成为企业提高竞争能力的必由之路。同时，随着市场竞争的加剧，企业的经营难度愈来愈大，管理愈来愈复杂，加上技术进步加速，技术手段升级，单靠企业本身的力量难以应付这日益复杂的环境，“不识庐山真面目，只缘身在此山中”，网络化办公就成为当前企业的迫切愿望。中小型企业必须越来越依赖网络才能实现其主要目标随着企业开展的互联网项目的增多。例如电子商务客户支持供应链管理和外部网协作等这些网络面临的风险也随之升高。目前网络易遭受的攻击包括分组监听IP电子欺骗拒绝服务邮件洪流病毒木马和各种其它威胁它们都会严重影响企业的收入声誉和客户满意度。网络安全问题将给企业带来巨大的危害企业将蒙受巨大的经济损失降低生产率并丧失业务机会。为抵御这些危险各机构需要部署统一可扩展能够帮助他们连续保护公司网络的安全解决方案随着计算机网络的迅猛发展，Internet已经延伸到全球的各个角落，渗透到了人类社会的每个领域以及人们日常生活的方方面面。目前，Internetr的 WWW（网络信息服务）服务更是得到了广泛应用。许多企业建立网站，通Internet来展示企业形象、发布产品资讯、提供服务以及开展电子商务。各级政府部门也积极开展电子政务，网上办公。【关键词】： Internet、ADSL、VPN、局域网、路由器、交换机目录 1 概述 3 1．1 企业网络现状 3 1．2 网络建设目标 3 2 网络需求分析 4 2．1 应用特点及需求分析 4 2．2 需求特点和组网原则 5 3 网络建设方案 7 3．1 网络拓朴结构设计 7 3. 2 广域网接入方案 10 3．3 主干网设计 14 3．4 部门级网络设计 14 3．5 网络可靠性及安全性设计 15 4 综合布线 19 4．1 网络的综合布线系统 19 4. 2 管线的概述 20 4．3 互联设备 21 4. 4 测试及验收 22 5 网络应用系统 24 5．1 办公自动化系统建设 24 5．2 内部站点建设 25 6 网络管理 28 6．1 网络设备管理及监控 28 6．2 网络管理系统构成 29 参考文献 29 致谢 30 一概述 1．1 企业网络现状有关专家指出，目前国内的许多企业对网络的作用尚缺乏足够认识，在互联网上建立起自己网站的企业为数甚少，即使已建立了网站的企业，也未充分运用好网络。一些网站内容贫乏、粗糙简单，只有企业介绍和产品简介，丝毫看不出企业的独特风格和完善的企业功能，既难以形成固定的网络受众，更无法借此而促进销售并产生品牌效应。这种状况是和当今社会信息技术带来的产业秩序变革不相称的。要迎接21世纪的挑战，企业必须学会网上生存，注重利用互联网宣传企业形象，销售自己的产品，开展网络消费心理研究。要想成功地开展网络营销，需要做的事情还很多，诸如网站能否及时了解和掌握消费者及市场的最新需要，网站的消费信用是否令人信赖，网站是否在多家搜索引擎上作了链接以使客户可以方便快捷地进入等等。目前，全球有9000万用户联在网上，而且每月都以10%以上的速度在增长。据权威机构预测，到2000年全球将有2亿以上用户上网，国际互联网已成为一个全世界亿万人日夜光顾的大市场。在中国随着电脑网络的普及应用，上网客户也日益增多，无论你从事什么事业，都无法忽略9000万用户的存在。一旦您在互联网上建立了自己的网站，便可以向全世界提供24小时全天信息发布。在网站上，您可以让客户非常方便地看到公司的介绍、产品说明、服务方式、联系地址，而且公司的介绍、产品的说明可以加入声音、图片、动画和影像信息，达到真正声情并茂，您可以让客户非常方便地明白与您合作的原因和好处。具体针对企业网络现状、需求及设计目标 1．2 网络建设目标 1. 树立企业形象在自己的网站上，您可以将公司介绍、产品说明、服务设施、公司形象向全世界客户展示。在发达国家90%以上著名企业和产品品牌，都在网上建立了自己的站点，许多不出名的中小企业都在上网建站后，树立了企业形象，使更多的客户了解企业，从而取得了巨大的收获。在全球市经济场日趋一体化的当今社会，在互联网上设立站点是现代企业的必然选择。在美国，90%以上的企业都把信息放在网上，有没有上网建站已经成为衡量一个企业是否具有实力和信誉的重要标志。 2. 沟通客户在您自己网站上，你可以让自己的客户获得必要的商业信息，你的公司规模？你的营运状况？你的营业时间？你的服务项目？你的联系方式？你的地址？今天的特价品是什么？这周的销售优惠是什么？一旦您在互联网上建立了自己的网站，便可以提供24小时全天服务。当你的客户想起你时，就能随时查阅你的各种信息。在您自己的网站上，可以及时得到客户反馈的信息。教科书上说："想知道你的客户需要什么，你应该不断与客户联系，最终会找到答案。"但这只有有钱、有人的大公司才做得到。如果你既没钱，又没时间，怎么办？建了您自己的网站后，你可以通过电子邮件得到反馈信息，及时获知客户的意见。回答客户关心的问题。几乎每个公司，每个职员都会告诉你，他们的时间被消耗在一遍又一遍回答同一个问题上了。而这些问题，正是现在的用户和潜在的用户都应弄懂的问题。现在，把这些问题的答案，放在互联网上，客户想什么时间得到答案都可以，你可轻松了。二网络需求分析 2．1 应用特点及需求分析随着计算机网络的迅猛发展、信息时代企业之间的竞争越来越激烈，对通过Internet/Intranet网络进行信息交流的需求越来越迫切，为促进效益、方便管理和进一步发挥企业的创造力，企业网络建设已成为必然的选择。中小型企业网以园区局域网为主，一个基本的企业网具有以下的特点：高速的局域网连接——企业网的核心为面向企业内部员工的网络，因此园区局域网是该系统的建设重点，由于参与网络应用的企业员工数量多，而且包含各种信息，故大容量、高速率的数据传输是网络的一项基本要求；信息结构多样化——企业网应用分为：办公管理（不同部门使用不同的网络）和远程通讯(远程维护、互联网接入)两大部分内容。办公管理以数据库为主，远程通讯则多为WWW方式，因此数据成分复杂，不同类型数据对网络传输有不同的质量需求；安全可靠——企业网中同样有大量关于企业资料和档案管理的重要数据，不论是被损坏、丢失还是被窃取，都将给公司带来极大的损失；操作方便，易于管理——企业网面向不同知识层次的员工，应用和管理应简便易行，界面友好；经济实用——中小型企业对网络建设的投入有限，因此要求建成的网络应经济实用，具备很高的性能价格比。根据网络设计模型可以将企业网分为三层结构：以公司内的网络控制中心为核心；与公司内各建筑互连形成园区主干；各建筑物内再扩展面向用户的局域网。园区主干连接为100M/1000Mbps，建筑物内部的用户局域网提供到桌面的10/100Mbps网络带宽。核心层汇聚层接入层图2.1 2．2 需求特点和组网原则中小企业通常是指规模在500人以下的企业，如果进一步细分，又可分为100人以下的小型企业、100～250人的中小型企业，以及250人以上的中型企业。从广义的角度，又可以将同等规模的政府、科研及教育等单位也作为中小企业来看待。相对于中小企业的人数，中小企业网络是指节点数小于500个的网络。企业的网络规模以及现状目前看来，中小规模局域网的需求特点和建网策略有以下几点： 1、高性能的百兆网络核心随着网络用户数量和应用种类的不断增加，10/100M网络成本的不断下降，目前大部分用户的桌面系统均已采用百兆到桌面，网络主干则为百兆以太网络。与以前的局域网络技术相比，百兆网络具备简单、高效、建设成本低等显著优势。尤其是基于铜缆双绞线的百兆以太网络技术产品的推出，使百兆网络的建设成本进一步降低，百兆网络无疑已经成为建设企业网络核心的最佳之选。 2、端到端的智能化网络目前，用户的网络需要承载各种结合数据、语音、视频、图形图像等多种信息载体的应用，而它们对网络传输服务的需求是不同的，比如语音和视频信息的传输需要恒定的网络带宽，同时对网络的延时和延时抖动要求严格，图形图像信息则对网络带宽要求较高，即使传统的数据信息的传输对于不同的业务应用其网络服务要求也是不同的。这样，网络需要能针对不同类型的应用来满足对传输服务质量的要求。同时网络用户也需要能对不同业务应用和网络资源的访问进行安全控制。解决网络服务质量和安全的关键在于网络的智能化，而且是从过去的智能化核心模式向从网络核心（核心交换机）到网络边缘（桌面交换机）端到端的智能化模式迁移。 3、高可靠性的网络现在企业业务的运营与管理都是基于网络业务应用而实现的，网络系统稳定可靠的的运行是关键。用户需要高可靠性的网络。 4、管理简单的网络网络用户数量和规模、网络承载的业务应用、网络技术和产品的采用都在不断的增加，这意味着网络的复杂度在不断增加，网络的管理成本和管理风险也在同步提高，尤其对于中小网络用户，所以他们更需要建设能够简单管理的网络。 5、关注网络安全现在，中小企业不约而同地在建立企业经营信息管理系统，这些系统提供信息是企业核心的机密之一。为保证这些重要信息，很多企业借助于操作系统和数据库口令机制。但由于这些方法无法真正保证安全，会经常发生信息漏露。同时，由于无法跟踪每个员工究竟使用哪些信息，事先无法做到有效的威慑和防范。而就算事后通过其它途径得知时，以往往没有证据而无法举证。这些都严重地影响了企业的正常运营，因此需要在交换机中加强安全模块和安全策略。 6、高投资回报的网络实用性与先进性并举的高投资回报网络市场的竞争日趋激烈，用户将越来越注重网络投资的实效性，并根据企业现在和未来的实际业务需求渐进投入，建设高投资回报的网络。三网络建设方案 3．1 网络拓朴结构设计针对成长型的中小型商业/企业网络，网络的扩展和业务的发展都有着不可预测性。资金的投入成为必须考虑的因素，但同时希望拥有业务传输稳定性和高速，可靠的网络平台。选择千兆智能网管交换机作为核心交换机，10/100M的工作组智能网管交换机作为桌面接入，要比全网管的交换机设计出的方案节省了一大部分资金，同时又具有比非网管交换机更丰富功能，更高速的交换。对于大多数中小型商业/企业网络而言,选择CISCO的千兆线速智能网管交换机作为核心网络中心交换机，就能以接近非网管交换机的价格来获得千兆的网络主干，千兆服务器的连接、并且可提供防火墙和网管工作站的连接。合理的VLAN划分可以简单的提供信息安全隔离，将不同业务的部门进行分割，部门间不能互访，只有共享端口连接的服务器和互联网才能共享访问。另外，合理的 VLAN 划分，可以有效的隔离广播，优化网络的性能，降低网络病毒的传播风险。在接入层，我们采用CISCO工作组交换机2950交换机，提供10/100M桌面接入。在接入层与核心千兆交换机之间，可采用千兆光纤/铜缆进行连接，以实现千兆的主干上连；另外，我们也可通过链路汇聚的方式将2根千兆主干捆绑上连，以实现高速、流量均衡、冗错备份的全双工 4G 的主干连接。图3.1 网拓扑结构图在整体拓扑图中可看到，为实现Internet接入和为在家办公、学习的远程用户提供拨号上网服务，企业网中还设立了位于网控中心内的Internet服务中心，采用Cisco 2621路由器(具1个10M以太网接口，2个WAN接口卡和1个支持多种模块的网络插槽)作远程连接，其10M以太网端口与网控中心的局域网相连，另可选配一块具备1个2M广域网串口的接口卡通过DDN专线连接到Internet；再选配一块NM-16AM网络模块，为远程用户提供16口拨号连接。 3．1．2 网络拓朴结构类型的选择组建一个网络首先要确定这个网络使用哪一种网络拓朴结构。网络拓扑是指网络形状，或是它在物理上的连通性。网络拓扑的主要结构有：星型拓扑、总线拓扑、环形拓扑、树形拓扑、扩展星型拓扑、网型拓扑六种形式。选择网络拓朴结构时要考虑的因素：可靠性、费用、灵活性、响应时间和吞吐量。图3.2 星型拓扑星型拓扑结构是目前在局域网中应用得最为普遍的一种，在企业网络中几乎都是采用这一方式。星型网络几乎是Ethernet（以太网）网络专用，它是因网络中的各工作站节点设备通过一个网络集中设备（如集线器或者交换机）连接在一起，各节点呈星状分布而得名，如图3.2所示。企业局域网络目前采用的最多的是星型拓扑结构，传输介质采用双绞线，如常见的五类线、超五类双绞线等。这种拓扑结构网络的基本特点主要有如下几点：（1）容易实现：它所采用的传输介质一般都是采用通用的双绞线，这种传输介质相对来说比较便宜，如目前正品五类双绞线每米也仅1.5元左右，而同轴电缆最便宜的也要2.00元左右一米，光缆那更不用说了。这种拓扑结构主要应用于IEEE 802.2、IEEE 802.3标准的以太局域网中；（2）节点扩展、移动方便：节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可，而要移动一个节点只需要把相应节点设备移到新节点即可，而不会像环型网络那样"牵其一而动全局"；（3）维护容易；一个节点出现故障不会影响其它节点的连接，可任意拆走故障节点；（4）采用广播信息传送方式：任何一个节点发送信息在整个网中的节点都可以收到，这在网络方面存在一定的隐患，但这在局域网中使用影响不大；（5）网络传输数据快：这一点可以从目前最新的1000Mbps到10G以太网接入速度可以看出。（6）可以采用分层结构，例如：干网可用千兆，中间层可用百兆，低层可用十兆交换到桌面，可以充分利用网络资源，减少瓶颈。所需设备： RJ45接头（水晶头）,双绞线有三类（符合IEEE802.3 10Base-T,用于10M网），五类、超五类（用于100M网）之分，集线器（HUB），RJ45口网络接口卡（NIC）有10M，100M或10/100M自适应之分。 3. 2 广域网接入方案 3.2.1 Internet连接帧中继（FRAMERELAY）帧中继是综合业务数字网标准化过程中产生的一种重要技术，是在用户--网络接口之间提供用户信息流的双向传送，并保持顺序不变的一种承载业务，用户信息以帧为单位进行传输，并对用户信息进行统计复用。它主要有4个特征：高传输速率、低网络延迟、高连通性、高效带宽利用，帧中继专门针对于采用面向包的技术进行数据传输的网络。它经过特别设计以解决可变长度的突发数据和不可预见信息的高效传输问题。 ——帧中继（Frame Relay）专线接入特点和优点： 1. 高传输速率：以分组容量大的帧为单位而不是以分组进行数据传输，对中间节点不进行误码纠错，目前可提供的传输速率从64Kbps到2Mb ps； 2. 高效带宽利用：面向包的协议提供一种灵活的带宽分配方法，根据用户需要对不同的信息流进行带宽分配。帧中继的有效设计使得节省带宽成为网络不可分割的部分； 3. 低连接费用：更快的响应速度也能降低单位比特的传输费用； 4. 突发传送：即用户若有突发性数据处理要求，在网络允许范围内，可以使用比其申请的CIR （即承诺信息速率）更高的传输率； 5. 传输功能强：可支持数据、图像、语音、传真等多媒体业务的传输； 6. 兼容性高：兼容X.25、SNA、DECENT、 TCP/IP等多种网络协议，可为各种网络提供可为种网络快速、稳定的连接； 7. 通过高速的国际互联网通道，用户可构筑自己的Internet，Web网站、 Email系统； 8. 网络的整体接入----使局域网用户均可共享互联网资源；实现每天24小时全天候的信息发布，专线用户可免费得到多Internet合法的IP 地址及免费域名； 9. 提供详细的记费、网管的支持，通过防火墙等技术保护用户网络免受不良侵害； 10. 采用虚电路技术而不采用存储转发技术，时延小、传输出速率高、数据吞吐量大； 11. 通过VPN（Virtual Private Network）----虚拟私用网络功能利用首创网络综合信息平台，实现安全、可靠的企业网的国际网络互连，从而构建起企业的国际私有互连网络。在帧中继网上具有一个高速端口，用户申请一条帧中继线路连到的端口，即可实现与Internet网的连接。连接方式有如下两种： 1. 用户通过直通电路接入帧中继网连到本公司的帧中继端口，接入Internet网； 2. 用户通过DDN专线接入帧中继网连到本公司的帧中继端口，接入Internet网； 12. 以下是帧中继与现在其他网络技术的特点比较：项目交换电路租用电路分组交换帧中继高速率较差较好较差较好按需分配带宽无无较好较好一点到多点较差可以较好较好网络灵活性较好较差较好较好费用较低较高较低较低时延较低较低较长较低总之，帧中继指的是通过数字网接口传送"帧"或信息块的技术，该数据网接口采用为每一帧分配的连接编号来区分单个连接。在网络的边界，这个编号可区分信息源的终端目标。实际上，帧中继允许数据信息沿网络"高速公路"快速传输，以最少的处理通过交换网点，因此，它成为当今局域网（LAN）互连、局域网与广域网（WAN）连接等应用的理想解决方案。 3.2.2 远程访问连接企业的远程访问系统包括通过公用电话网和通过CHINANET构成的企业内部虚拟专用网络（VPN）两部分。适用于企业本部以外、市内那些快速以太网无法连接的用户组成。这些部门通过公用电话网和思科公司访问服务器直接访问总局的I ntranet网络。而对于市区以外的部门和单位，则利用CHINANET和Internet网及数据加密技术构成企业的内部虚拟专用网。 ● VPN 概述随着企业网应用的不断发展，企业网的范围也不断扩大，从一个本地网络发展到跨地区跨城市甚至是跨国家的网络。与此同时随着互联网络的迅猛发展，Internet已经遍布世界各地，从物理上讲Internet把世界各地的资源相互连通。正因为Internet是对全世界开放的，如果企业的信息要通过Internet进行传输，在安全性上可能存在着很多问题。但如果采用专用线路构建企业专网，往往需要租用昂贵的跨地区数据专线。如何能够利用现有的Internet来建立企业的安全的专有网络呢？虚拟专用网（VPN）技术就成为一个很好的解决方案。虚拟专用网（VPN）是指在公共网络中建立专用网络，数据通过安全的"加密通道"在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的Internet，各地的机构就可以互相传递信息；同时，企业还可以利用Internet的拨号接入设备，让自己的用户拨号到Internet上，就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等优点，将会成为今后企业网络发展的趋势。虚拟专用网的本质实际上涉及到密码的问题。在无法保证电路安全、信道安全、网络安全、应用安全的情况下，或者也不相信其他安全措施的情况下，一种行之有效的办法就是加密，而加密就是必须考虑加密算法和密码的问题。考虑到我国对密码管理的体制情况，密码是一个单独的领域。对防火墙而言，是否防火墙支持对其他密码体制的支持，支持提供API来调用第三方的加密算法和密码，非常重要。图3.2 3．3 主干网设计 3．3．1 网络系统主干及传输性能需要5个9的可靠性骨干核心路由器的部署位置决定了它需要很高的可靠性和稳定性，这个也是网络运营商最为关注的问题，用户希望用路由器组建的网络可以支持高水平的业务。骨干核心路由器需要提供达到99.999%的可靠性，意味着每年路由器中断时间不超过5分钟。对高可靠性协议的支持也成为骨干核心路由器必备的特质。热备份路由协议HSRP和VRRP协议提供了一种在特殊的网络环境下进行无间断服务的机制，它允许网络在一个路由器失效时，网络中的另一个路由器自动接管失效路由器，从而实现IP路由容错。也有厂商通过MPLS等协议的快速路由保护功能来实现高靠性。关于可靠性的描述（冗余链路）企业网百兆以太网作骨干，10M/100M交换到桌面。在全双工方式下，数据传输速率为200Mbps，主干连接主机房内所有服务器、各栋楼分配线间二级交换机，楼与楼之间选用光纤连接。两栋楼间距离在220米内使用多模光纤（1000Base-SX以太网）、550米内使用1000Base-SX（50/125μm）、5000米内使用1000Base-LX。在中心路由器上添加一个千兆以太网模块来实现千兆的传输。二级交换设备的选型应保证，所有后来增加的上网信息点均能达到交换100兆/10兆到桌面。中心交换设备和服务器都放置于计算机中心机房，便于设备的集中控制与管理。中心交换设备放置于计算机中心机房的主配线柜内，二级网络设备放置于各栋楼分配线间的配线柜内或者各部门的配线柜内。信息点则按照每个部门的实际需要来分布。 3．4 部门级网络设计本企业的局域网，物理跨度不大，通过千兆交换机在主干网络上提供1000M的独享带宽，通过下级交换机与各部门的工作站和服务器连结，并为之提供100M的独享带宽。利用与中心交换机连结的Cisco 路由器，所有用户可直接访问Internet。每个部门局域网将按实际需要来分布信息点，全部提供Internet接入。部门局域网实际上是处于电信城域网的末端，要求在本地建立起一个10M到桌面的采用快速以太网技术的局域网，最终实现高稳定性的、高速的数据交换和高速互联网访问，并且要求支持未来音频、视频通信多业务网络。由于这个网络交易中心将承担着重要、敏感、实时的商业交易业务，对网络的健壮性、有效性、可应用性、长时间运行等方面有极高要求。因此局域网要求采用高可靠的网络设备来搭建起这个快速以太网络，并采用合理的网络拓朴设计来达成上述目标的实现。这个最终的网络将是一个高性能的、高可靠、而且经济的快速以太网络系统。在目前，大多数基于交换机的VLAN是专用的。IEEE 802.1P委员会开发出一种多址广播标准，使VLAN成员可以在取消VLAN广播抑制任务的情况下通信。在可互操作的软件和硬件里实现上述标准之前，VLAN配置仍将要求维护单一供应商交换机环境。如果上述问题很严重，就要考虑捕捉多交换机VALN数据的地方只限于中间交换机链路或者主干网。在大型网络里，主干几乎都在100Mbps以上，高速控制器的部署与常见VLAN不一样，而且成本很高。中心交换设备支持VLAN划分和第三层交换，网上用户的服务优先级可进行分配，优先级为：系统管理员级，少量工作站级（分布于不同楼），其余工作站为第三级。在用户数及传输带宽需求增加时，该设备应能方便扩展和升级。 3．5 网络可靠性及安全性设计 3.5.1 网络安全和防火墙除了关注全球连网对企业业务的积极影响之外，同时也要充分考虑到将因特网作为企业内部计算机网络的延伸后的安全问题。若没有合适的防火墙解决方案，您的系统就会成为网络黑客们的众矢之的。恶意闯入来自四面八方，并进行简单的恶意行为，例如：信息偷窃，甚至故意破坏。除了日趋严重的外部威胁以外，企业内部对系统安全构成危害的行为也在不断增加。许多系统侵入者都非常隐蔽，他们给企业系统安全造成潜在的最大损害，而当其所造成的危害被发现时往往已为时过晚。有效的网络安全策略必须包括防火墙的采用，此防火墙具有管理简单、功能先进等特点，并且能够保证对所有系统实施‘防弹’保护。防火墙具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。 3.5.2 虚拟局域网的构建在企业网中，关键应用服务器、核心网络设备，只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限，网络应该能够阻止任何的非法操作。在企业网的设计上，划分虚拟子网，一方面可以有效的隔离子网内的大量广播，另一方面隔离网络子网间的通讯，控制了资源的访问权限，提高了网络的安全性。虚拟局域网（VLAN）对减少网络的广播风暴和提高安全性非常重要。将企业网划分为生产部VLAN、人事部VLAN、财务部VLAN、销售部VLAN、采购部VLAN五个逻辑子网。VLAN之间的通信在CISCO 中心交换机内部即可解决，能够建立跨过多台交换机而在整个网络中起作用的VLAN。网络建成后能通过较灵活的VLAN划分方法设置不同用户对服务器的不同访问权限，要求通过软硬件设置，将企业网设置成多个物理子网。用户对企业网服务器的访问权限由中心系统管理员统一集中控制。当用户调动部门、权限变更及有其它业务部门划分子网需求时，系统管理员可快速、便捷地实现。 3.5.3 网络容错网络应用中任意一环节出现故障都会导致企业的巨大损失，因此总体的解决也应从多方面入手，如数据备份，服务器的硬件冗余、软件容错，以及网络设备的部件冗余和结构(链路)冗余等，以保障整套系统的万无一失。当交换机结成冗余回路时，若未启用Fast/Gigabit Etherchannel，则Spanning-Tree(生成树)协议将起作用，通过计算自动将优先级较低的连接屏蔽，使其作为备份，只在优先级较高的主线路断线时才激活它，因此在线路容错中Spanning-Tree也是一项有效的技术；但传统的Spanning-Tree在链路切换时经历阻塞-侦听-学习-数据转发等诸多过程，耗时较长，从故障到恢复一般需历时40秒左右，对正在传递大量数据的服务器和工作站而言，这段时间是能明显觉察的，并且极可能导致连接超时而中断应用。而Uplink-Fast技术是对Spanning-Tree的改进，它省却了链路切换过程中的侦听和学习阶段，使备份端口直接由阻塞进入到转发状态，从而使网络收敛时间从40秒大大缩短至5秒以内，这样的延迟是应用程序可以接受的，用户几乎觉察不到这一过程，互联网公司业务不会受到故障影响。 3.5.4 局域网安全 ① 跨越局域网主干直到每一台桌面交换机的端口，通过划分VLAN可以保障不同部门及不同应用彼此的安全性，划分VLAN采用标准的IEEE802.1Q协议来实现。 ② 由于采用SWITCH方式，一般情况下通过聆听方式窃取用户帐号的方法造成的危险区局限在1个SWITCH Port内，广播情况下也不会超出1个VLAN，安全性大大提高。 ③ 在主干交换机CISCO 4003处，提供基于过滤器的保护功能，可以基于协议、网络地址和应用类型施加限制。也可以实现IP-MAC地址-端口-协议的绑定能力，并对侵犯作出日志。 ④ 服务器和重要工作站都设有口令，操作人员要定期更换口令，以防止非法登录。 ⑤ 服务器和重要工作站都要设置操作日志，以便系统管理员能及时查找故障来源及责任者。 3.5.5 网络病毒防范由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力，一次计算机病毒的防范是网络安全性建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和消毒三种技术： 1.预防病毒技术：它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有，加密可执行程序、引导区保护、系统监控与读写控制（如防病毒软件等）。 2.检测病毒技术：它是通过对计算机病毒的特征来进行判断的技术，如自身校验、关键字、文件长度的变化等。 3.清除病毒技术：它通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文件的软件。网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测；在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。所选的防毒软件应该构造全网统一的防病毒体系。主要面向MAIL 、Web服务器，以及办公网段的PC服务器和PC机等。支持对网络、服务器、和工作站的实时病毒监控；能够在中心控制台向多个目标分发新版杀毒软件，并监视多个目标的病毒防治情况；支持多种平台的病毒防范；能够识别广泛的已知和未知病毒，包括宏病毒；支持对Internet/ Intranet服务器的病毒防治，能够阻止恶意的Java或ActiveX小程序的破坏；支持对电子邮件附件的病毒防治，包括WORD、EXCEL中的宏病毒；支持对压缩文件的病毒检测；支持广泛的病毒处理选项，如对染毒文件进行实时杀毒，移出，重新命名等；支持病毒隔离，当客户机试图上载一个染毒文件时，服务器可自动关闭对该工作站的连接；提供对病毒特征信息和检测引擎的定期在线更新服务；支持日志记录功能；支持多种方式的告警功能（声音、图像、电子邮件等）等。 3.5.6 安全备份及灾难恢复企业最重要的资产不是网络硬件，而是网络运行的数据。如果不能保证数据的安全，对网络进行的大量投资就失去了意义。备份方法可以分为硬件备份和软件备份。硬件备份指的是用额外的硬件保证系统的连续运行，例如磁盘双工和双机容错，以及上面提到的用软件实现的硬件备份的S TANDBY SERVER；如果某个硬件损坏。备份硬件立即接替它的工作。但是，这种备份方式不能防止逻辑错误。据有关资料统计，系统错误有80%以上属于人为误操作。发生逻辑错误时，硬件备份只会将错误复制一遍，而不能保护数据。实际上，硬件备份应称为硬件容错。软件备份指的是把数据保存到其他介质里；当系统出错时，备份系统可以把系统恢复到备份时的状态。这种备份方法可以防止逻辑错误，因为备份介质和系统是分开的，错误不会复制到存储到介质里。这意味着只要保存足够长的历史数据，就可以恢复正确的数据。理想的备份系统是在软件备份的基础上增加硬件容错系统，是网络更加安全可靠。实际上，备份不仅仅是文件备份，而是整个网络的一套备份体系。备份应包括文件备份和恢复，数据库备份和恢复、系统灾难恢复和备份任务管理。四综合布线 4．1 网络的综合布线系统计算机网络系统的基础是布线系统，它在整个网络系统投资中只占5%，但因为布线问题而造成的网络故障却占50%以上；另一方面在于布线几乎是永久性的工程，一旦完成再进行改动将十分困难，而且投资将比初期安装高几倍。所以应采用最先进的思想和技术设计布线系统，以满足现阶段以及未来十数年发展的需求；必须统一规划、设计，建设高质量的布线系统，灵活支持环型、总线型、星型以及将来可能出现的网状网，为将来灵活构造校园组网方式在校园网络发展的战略上具有十分重要的意义。采用全星型分级拓扑结构的综合布线系统独立于网络实际拓扑，支持现有的ISO880/IEEE80协议族所定义的拓扑结构，就本校建设经验这是最好的选择。为保障未来15～20年布线系统对网络技术的支持，综合布线水平子系统应尽可能采用目前最新标准定义的系统等级。对具有分院和建筑楼群分散的校园，网络主干应选用光缆，超长距离应考虑单模光缆，以保证支持未来高速IP骨干。对数据流量有特殊要求的场所如：服务器群、视频会议中心等可考虑光缆到桌面。特别注意的是在布线系统设计中，信息点分布尽可能考虑5～10年人员变动、建筑物改造等因素，尽量提高投资效益比。 4.1.1 布线标准 * IEEE802.3 Ethernet 10BASE-T * IEEE802.3u Fastethernet(100BASE-T) * EIA/TIA568 EIA/TIA569EIA/TIA * TSB36/40工业标准及国际商务建筑布线标准 * ISO/IEC IS 11801 * ISO/IECJTC1/SC25/WG3 * ANSI FDDI/TPDDI 100Mbps * ATM Forum 设计目标的确定我们为该网络设计的综合布线系统将基于以下目标： 1) 符合当前和长远的信息传输要求。 2) 布线系统设计遵从国际（ISO/CEI11801）标准。 3) 布线系统采用国际标准建议的星形拓扑结构。 4) 考虑电脑网络的速度向100Mbps，网络主干信息传输向1000兆发展的需要。 5) 布线系统的信息出口采用国际标准的RJ45插座。 6) 布线系统符合综合业务数据网的要求。 7) 布线系统要立足开放原则。 4. 2 管线的概述 4．2．1管线建设水平线子系统完成由接线间到工作区信息出口线路连接的功能。本工程采用轻型装配式槽形线槽的方案，为水平线系统提供机械保护和支持。走廊的吊顶上可安装有线槽，进入房间时，从线槽由墙壁而下到各个信息点。在没有吊项的大楼内布线时，将线槽安排在走廊两边的墙上。水平线缆将干线线缆延伸到用户工作区。在水平子系统的设置上基于以下原则： ① 在工程布线时坚持不破坏公司建筑物整体的格调和美观的原则．所有的管路要达到全封闭，可扩充的要求。 ② 垂直干线的走线设计分为两部分： ● 干线的垂直部分垂直部分的作用是提供弱电井内全支干缆的通道。位置设在靠近支持电缆的墙壁附近，但又不妨碍端接配线架的地方。 ● 水平干线子系统水平通道部分的作用是，提供垂直干缆从主设备间到其所在楼层的弱电井的通路。这部分也应采用走吊顶的轻型装配式槽形电缆线槽的方案。与垂直部分一样，水平通道部分也必须保留一定的空间余量，以确保在今后系统扩充时不致需要安装新的管线。 2、设备电源介绍配线间内至少留有二个为本系统专用的，符合一般办公室照明要求的220V电压，电流10A单相三极电源插座。 3、计算机网络与布线系统的连接计算机与布线系统的连接时，需待铺设布线系统后，在计算机扩展槽上插上网卡。在连接和扩容时，由工程技术人员对插座进行配线，在主、从配线架上进行跳线。 4、布线系统的冗余考虑布线系统由于采取综合布线的方式，对于每一个信息区，均有一定数量的信息点并行地汇总至纵向集线处

展开阅读全文