浅析企业局域网的合理规划.doc

1、浅析企业局域网的合理规划 摘要：文章通过对局域网的分类、拓扑结构、布线原则、设备选型等方面阐述了如何对局域网进行合理规划，另外还简要分析了如何对于IP地址进行合理管理。 关键词：拓扑结构；整体设计；设备选型；远程控制；DHCP；IP地址管理 Abstract：This paper explains how to program the Local Area Network of corporation from the type of Local Area Network、topological structure、rules of distributing reticle、rules

2、of choosing area equipments. It also expounds how to managing the internet protocol address. Key words: Topological structure; design of the Local Area Network; The rules of choosing area equipments; remote control; Dynamic Host Configuration Protocol; The management of internet protocol address

3、引言 随着计算机信息产业技术的普及和发展，计算机应用越来越广泛。想提高企业的竞争力，就要实现企业的信息化管理，而企业要实现信息化管理，首要的条件就是建立企业局域网，企业网络化以后才可以有效地实现内部的资源共享、信息发布、技术交流、生产组织等。此外，通过网络还可以连接世界各地，使企业方便与外部交流，掌握世界各地的最新消息，确定企业的方针目标。那么如何合理规划局域网，必将成为一个重要的问题。 1 局域网的分类及整体设计理念 我们习惯上所说的局域网、城域网、广域网是把计算机网络按照传输距离来划分的，它还有很多其他的划分方法，比如：按照网络逻辑结构（对等网络、基于服务器的网络）、按照所用的操作系

4、统（Windows NT系统、Novell NetWare、UNIX /Linux）等。局域网按照规模的大小，可以分为小型局域网，中型局域网和大型局域网。 1.1 局域网的分类 1.1.1 小型局域网 小型局域网主要是用来实现网内用户信息资源的共享，例如实现文件共享、打印共享、收发电子邮件、Web发布、财务管理以及人事管理等功能。由于此类局域网往往接入的计算机节点比较少，一般在20台--50台之间，而且各节点相对集中，每个站点与集线器或交换机之间的距离不超过100米，故此小型局域网，我们可以采用双绞线进行结构化布线（如下图）。 图1 小型局域网模型 1.1.2 中型局域网

5、中型局域网需要连接计算机节点一般在60台以上，并且各节点之间的距离也较远，一般都会超过100m甚至更远，利用双绞线作为传输介质已经远远不够。此时企业办公环境对网络的性能要求较高，对网络的传输速度也有一定的要求，这样企业往往需要较多的资金投入，使用光纤介质来连接整个企业的主干网络，因为光纤的有效传输距离可以达到两公里（多模光纤）或更长（单模光纤）。 中型局域网可以采用两层结构，即中心交换机层和供各个节点连入的桌面交换机层。中心交换机需要采用一台高档的交换机（比如：可网管交换机），提供多个千兆网络端口。各个节点的桌面交换机连接到中心交换机上，这些桌面交换机内部也相当于一个小型局域网。 中心交换

6、机为了适应整体性能要求，采用千兆服务器网卡。这种方案需要大量的资金，不过相对于企业来说，可以提供优质的服务和得到较高的数据传送速度，性价比（即性能价格比）还是比较高的。 图2 中型局域网 1.1.3 大型局域网 大型局域网覆盖范围极广，必须采用性能优良、功能强大的设备才能保证整个系统稳定、安全、可靠地运行。大型局域网应该把高性能的网络通信作为性能需求的第一位，一般采用千兆以太网，中心交换机可选用高密度中心交换机。适宜采用两层结构或者三层结构。针对企业和公司局域网常用的连接方式有两种：集中式网络连接和分布式网络连接。 集中式网络连接 大多数中小型企业都采用较为集中的办公方式，即所有

7、部门和人员都在同一座建筑内办公。由于网络的整体规模有限，局域网的覆盖范围不广，所以比较适合采用集中式网络，如星型网和总线网。集中式中小型办公网中各个节点之间的连接距离通常小于100m，因此可以全部采用5类UTP双绞线进行布线，集中式网络通常包括网络中心和楼层设备间的两层结构。 图3 集中式企业局域网 分布式网络连接 分布式办公是指企业在一个较大的范围内具有多处办公地点，适合采用分布式网络连接方式。由于各个办公点间的连接距离通常大于100m，所以需要采用同轴电缆或光纤进行布线。分布式网络通常具有网络中心及楼宇接入节点两个层次，如果楼宇规模较大，还可能出现第三个层次----楼层间接入设备

8、 图4 分布式企业局域网 1.2 局域网的整体规划 对于企业的局域网而言，能否满足企业的要求，其整体结构设计及设备的性能是至关重要的，应遵循以下原则： 1、高性能，网络作为企业信息运行的承载平台，涉及到众多不同的应用及众多用户。一些实时性强的交互业务应用（如语音、图像等），势必对网络的性能提出更高的要求。因此，设计时首先要考虑有足够的骨干带宽、合理的网络拓扑结构、先进适用的技术，同时还要努力实现网络的无阻塞性，不能使网络成为业务应用的瓶颈。 2、高可靠性，网络系统的稳定可靠是应用系统正常运行的关键保证。在网络设计时，应选用高可靠性的网络产品、合理的网络架构，制定可靠的网络备份策

9、略，保证网络具有较好的故障自愈能力，以减少网络中断时间。 3、安全性，解决安全性问题需要制定统一的网络安全策略和过滤机制，充分使用各种网络技术，如虚拟局域网（VLAN）、代理、防火墙等。从数据安全的角度来讲，还应将重要的数据服务器集中放置，构成服务器群，以方便采取措施集中保护，并对重要数据进行备份。 4、可管理性，企业网络一般分布较大的区域内，日常管理及维护的工作量较大，为了尽可能提高工作效率，减少网络停顿时间，同时为未来网络的发展打下基础，必须使网络具有良好的可管理性：第一、对网络进行集中检测，分权管理并统一分配资源；第二、选用先进的网络管理平台，可以集中对全网设备实施具体到端口的管理能

10、力，并可以提供及时的故障报警和日志；第三、选用的网络设备及其他连接网络上的重要设备都应支持远程管理；第四、设计时需充分考虑运行维护的问题。 1.2.1 网络拓扑结构 所谓拓扑是一个音译外来词，在英文中写作Topology，它指的是网络中各个节点相互连接的方法和形式。局域网的拓扑结构有很多种，也很复杂，但只有环形、星型、总线型三种最基本的结构，其他复杂拓扑结构都是这些基本结构的衍生。 图5 环型拓扑结构 图6 星型拓扑结构 图7 总线型拓扑结构 各种拓扑结构都各有优缺点：环形拓扑结构，所需电缆少，但可

11、靠性差，诊断故障困难，对于节点要求高；星型拓扑结构，可靠性高，诊断故障容易，但是所需电缆多，对于中央节点要求特别的高；总线型拓扑结构，所需电缆少，单点可靠性高，但是故障诊断困难。 局域网的设计必须要遵循易于网络故障诊断和网络升级两个方面。介于此，大型的局域网通常采用树型拓扑, 树形拓扑事实上是星形拓扑的扩展。由于树形拓扑具有非常好的可扩展性，并可通过更换集线设备使网络性能迅速得以升级，极大地保护了用户的布线投资，因此非常适宜于作为网络布线系统的网络拓扑。 首先，树型拓扑结构的局域网集线设备居于网络或子网络的中心，这里可以放置网络故障诊断设备，这样可以使网络故障的诊断变的简单而快速有效。其次

12、计算机与集线设备之间分别通过各自独立的缆线进行连接，因此，多台计算机之间可以并行的同时进行通信而互不干扰，从而成倍地提高了网络传输效率。另外，由于网络带宽主要受集线设备的影响，只需简单地更换高速率的集线设备，即可平滑地从l0Mbit/s升级至100Mbit/s、1000Mbit/s甚至10000 Mbit/s，实现网络的升级。 1.2.2 局域网综合布线的设计原则 企业的整体布线可以理解为企业综合布线系统，由工作区子系统、建筑群子系统、管理子系统、水平布线子系统和垂直布线子系统组成。在设计时应该遵循以下原则： 1、开放性，严格按照IEEE802、EIA/TIA 568等工业及建筑布线标

13、准和中国建筑电气设计/工业企业通信设计规范。 2、实用性，适应企业现在和将来发展的需要，具备数据通信、语音通信和图像通信等功能。 3、灵活性，布线系统中任一信息点能够很方便地与多种类型设备（如电话、个人pc、检测器件及传真等）进行连接。 4、可扩展性，布线系统具有较强的可扩展性，在将来需要时可以很容易地将所扩充的设备连接系统中来，实现各种网络服务与应用。 5、经济性，综合布线系统需具有良好的初期投资特性，并且在今后若干年中不增加新的投资情况下仍能保持建筑物的先进性。通常情况下，综合布线系统的使用寿命应在15年左右。 6、可靠性，综合布线系统采用高品质的材料和组合压接方式构成一套高标准

14、的信息通道。每条通道都采用专用仪器校核线路衰减、串音、信噪比，以保证其性能不会造成交叉干扰。 7、易于故障的诊断性，当客户端出现网络故障，应该可以明确的查出端口到达交换机的通道，以便分段排除故障。 8、易于设备的保护性，由于工业用电的电压浮动较大，因此大型交换机、服务器及其他重要设备的供电应该有稳压措施。 1.2.3 网络设备的选型 对于一个完整的局域网而言，其主要的硬件设备有：路由器、交换机、防火墙、服务器等，硬件的选择合适与否将直接影响到整个局域网的性能。 1、路由器 对于一般企业局域网而言，大量的数据都是发生在局 域网内部，对路由器的性能要求不是太高，因此，可以选用中低端路

15、由器。低端路由器主要适用中小办公网络的应用，考虑的一个主要因素是端口数量，另外还要看交换能力。中端路由器适用大中型办公网络，选用的原则也是考虑端口支持能力、交换能力及可网关能力。 2、交换机 工作组交换机应尽量采用可网关交换机，实现对每台接入计算机的控制，实现VLAN（虚拟网）的划分，确保最大限度的网络访问安全。骨干交换机（二层交换机）采用拥有千兆端口的可网关交换机实现与中心交换机的高速连接，避免可能产生的网络瓶颈。中心交换机采用三层交换机，实现VLAN间的线速转发，并借助访问列表控制计算机接入和网络服务，搭建高安全性和可用性网络。 3、防火墙 防火墙有软件防火墙和硬件防火墙两种。软件

16、防火墙是安装在计算机平台的软件产品，它通过在操作系统底层工作来实现网络管理和防御功能的优化。硬件防火墙的硬件和软件都单独进行设计，有专用网络芯片处理数据报。同时，采用专门的操作系统平台，从而避免通用操作系统的安全漏洞。并且对软硬件的特殊要求使硬件防火墙的实际带宽与理论值基本一致，有着高吞吐量、安全与速度兼顾的优点。另外，硬件防火墙又可分为过滤防火墙、应用网关防火器和规则检查防火器。对于企业网络而言，通常应当选择包过滤防火墙。 4、服务器 对于企业办公OA或数据库之类的服务器，应当现在高性能服务器，并且要有备份服务器，以免出现工作中断现象。如果没有专门的服务器，可以将两台甚至多台工作组机器制

17、作为群集，提高网络服务性能。当服务器的性能不能满足网络访问需要时，可以利用已有的多台低配置服务器构建服务器群集，或者利用软件、硬件等方式实现服务器的负载均衡，既可以提高服务器的整体处理能力，又可以有效地延长服务器的使用寿命。若企业需要数据库软件，则数据库平台的选择应考虑到： 性能：响应时间和吞吐量。 事务处理：保证数据的完整性和一致性。 查询优化：提高系统处理能力和降低网络流量。 复制机制：透明地支持分布数据处理。 联机备份和恢复：保证系统的安全性、完整性和可恢复性。 2 IP地址的规划及安全管理 2.1 IP地址的规划 在IP地址规划时，我们知道IP地址包括公网和专用（私有）

18、两种类型，公网IP地址又称为可全局路由IP地址，是在Internet中使用的IP地址，目前对企业来说主要是ISP提供的一个或几个C类地址；而专用（私有）IP地址则包括A、B和C类三种。 毫无疑问，Internet网络中的每一台计算机都需要一个IP地址，然而，在目前IP地址资源非常紧缺的情况下，想从Internet上获取足够的IP地址简直是不可能的。假如每一个企业用户只能获得1-10个公网IP地址，而自己却是拥有几百台计算机的局域网，那么应该如何合理利用有限的IP地址哪？ 一、 静态分配IP地址 所谓静态分配IP地址，也就是给每台计算机分配一个 固定的公网IP地址。如果网络中每台计算机都

19、采用静态的分配方案，那么很可能是IP地址不够用。所以一般只在下面两种情况下才采用这种方案： 1、IP地址数量大于网络中的计算机数量。 2、网络中存在特殊的计算机，如作为路由的计算机、服务器等，可以增加IP地址数量。 这样我们可以对局域网中的计算机进行手工分配，也就是为网络中的每一台计算机分别设置4项IP地址信息（IP地址、子网掩码、默认网关和DNS服务器地址）。这种情形下机器在没有重新配置IP地址前，计算机将一直拥有给定的IP地址。这样我们就可以通过IP地址访问到局域网中的计算机，并可以判断计算机是否已经开机并接入网络。 二、动态分配IP地址 如果网络中有很多计算机，且又不是

20、所有的计算机都同时使用，那么可以采用动态分配IP地址的方式。为了使TCP/IP协议更加易于管理，微软和几家厂商共同建立一个Internet标准——动态主机配置协议（Dynamic Host configuration Protocol，DHCP协议），由它提供自动的TCP/IP配置。 DHCP分为两个部分：一个是服务器端，另一个是客户端。所有网络中IP 地址的资料都由 DHCP 服务器集中管理，并负责处理客户端的 DHCP 要求，客户端则是使用从服务器分配下来的IP信息。它提供两种 IP 地址分配方式：一种是Automatic Allocation（自动分配），其情形是：一旦 DHCP 客户

21、端第一次成功的从 DHCP 服务器端获得IP地址之后，就永远使用这个地址。另一种是Dynamic Allocation（动态分配），其情形是：当客户端第一次从HDCP服务器端获得IP地址之后，并非永久的使用该地址，只要断开网络，客户端就要释放这个IP 地址。 另外还有自动专用IP寻址（APIPA，Automatic Private IP Addressing）可以为没有DHCP服务器的单网段网络提供自动配置TCP/IP协议的功能。默认情况下，运行Windows 98/Me/2000/XP的计算机首先尝试与网络中的DHCP服务器进行联系，以便从DHCP服务器上获得自己的IP地址等信息，并对TC

22、P/IP协议进行配置。如果无法建立与DHCP服务器的连接，则计算机改为使用APIPA自动寻址方式，并自动配置TCP/IP协议。 使用APIPA时，Windows将在169.254.0.1——169.254.255.254的范围内自动获得一个IP地址，子网掩码为255.255.0.0，并以此配置建立网络连接，直到找到DHCP服务器为止。因为APIPA范围内指定的IP地址是由网络编号机构（IA NA）所保留的，这个范围内的任何IP地址都不用于Internet。因此，APIPA仅用于不连接到Internet的单网段的网络。值得注意的是，APIPA分配的IP地址只适用于一个子网的网络。如果网络需要与

23、其他的私有网通讯，或者需接入Internet时，就不能使用APIPA这种分配方式了。 三、代理服务器分配 所谓代理服务器，它代理网络内的计算机访问Internet，并把访问的结果返回给当初提出该请求的用户，同时，把访问的结果保存在缓存中。当网络用户发出下一Internet请求时，服务器将首先检查缓存中是否保存有该页面的内容，如果有，立即从缓存中调出并返还给请求者；如果没有，则向Internet发送请求，并再次将访问结果保存起来，以备其他用户访问之需。 除此之外，代理服务器还具有部分网络防火墙的功能：可以对外隐藏网络内的计算机，提高网络安全性；可以限制某些计算机对Internet的访问；在

24、带宽较窄的情况下限制Internet流量；可以禁止对某些网站的访问等。 2.2 IP地址的安全管理 在局域网中，往往会遇到由于IP地址被盗用而导致的网络中断阻塞等问题，那么如何可以比较有效的管理好IP地址哪？要想防盗就要先了解一下盗取方法： IP地址的盗用方法多种多样，其常用方法主要有以下几种： 1、 静态修改IP地址 静态分配IP地址时，对于任何一个TCP/IP实现来说，IP地址都是用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是授权机构分配的IP地址，就形成了IP地址盗用。由于IP地址是一个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于IP

25、地址的静态修改。 2、成对修改IP-MAC地址 对于静态修改IP地址的问题，现在很多单位都采用静态路由技术加以解决。针对静态路由技术，IP盗用技术又有了新的发展，即成对修改IP-MAC地址。MAC地址是设备的硬件地址，对于我们常用的以太网来说，即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的，它由IEEE分配，是固化在网卡上的，一般不能随意改动。但是，现在的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，那静态路由技术就无用武之地了。 3、动态修改IP地址 对于一些黑

26、客高手来说，直接编写程序在网络上收发数据包，绕过上层网络软件，动态修改自己的IP地址(或IP-MAC地址），达到IP地址的盗用。 针对IP地址盗用的问题，网络专家采用了各种防范技术，现在比较通常的防范技术主要是根据TCP/IP的层次结构，在不同的层次采用不同的方法来防止IP地址的盗用。 1、交换机控制 解决IP地址的最彻底的方法是使用交换机进行控制，即在TCP/IP第二层进行控制：使用交换机提供的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址的主机的访问被拒绝。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入，这在交换机相对昂贵的今天

27、不是一个能够普遍采用的解决方案。 2、路由器隔离 采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球唯一不能改变。其实现方法为通过SNMP协议定期扫描校园网各路由器的ARP表，获得当前IP和MAC的对照关系，和事先合法的IP和MAC地址比较，如不一致，则为非法访问。对于非法访问，我们可以采用以下方法制止： A、使用正确的IP与MAC地址应设覆盖非法的IP—MAC表项； B、向非法访问的主机发送ICMP不可达的欺骗包，干扰其数据发送； C、修改路由器的存取控制列表，禁止非法访问。 路由器隔离的另外一种实现方法是使用静态ARP表，即路由器中IP与MAC地址的映射不通过ARP

28、来获得，而采用静态设置。这样，当非法访问的IP地址和MAC地址不一致时，路由器根据正确的静态设置转发的帧就不会到达非法主机。路由器隔离技术能够较好地解决IP地址的盗用问题，但是如果非法用户针对其理论依据进行破坏，成对修改IP-MAC地址，对这样的IP地址盗用它就无能为力了。 3、防火墙与代理服务器 使用防火墙与代理服务器相结合，也能较好地解决IP地址盗用问题：防火墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行。使用这样的办法是将IP防盗放到应用层来解决，变IP管理为用户身份和口令的管理，因为用户对于网络的使用归根结底是要使用网络应用。这样实现的好处是，盗用IP地址只能在子

29、网内使用，失去盗用的意义；合法用户可以选择任意一台IP主机使用，通过代理服务器访问外部网络资源，而无权用户即使盗用IP，也没有身份和密码，不能使用外部网络。 使用防火墙和代理服务器的缺点也是明显的，由于使用代理服务器访问外部网络对用户不是透明的，增加了用户操作的麻烦；另外，对于大数量的用户群(如高校的学生)来说，用户管理也是一个问题。 总之，IP地址的盗用与防盗是一对矛盾，各自的技术都是在不断的更新进步的，到底如何才能做好IP地址的防盗措施，要针对局域网的具体的情况。 参考文献 [1] 徐 锋.杨锦川,漆辉斌. 电脑硬道理——攻克网络[M]. 重庆:重庆出版社,2001.6-77. [2] 佚 名.集中管理多台远程计算机[EB]. [3] 佚 名.网管成长历程-IP规划篇[EB]. [4] 佚 名.网管成长历程-局域网建设方案分析[EB]. [5] 佚 名.局域网IP地址安全问题[EB]. 作者简介：邢芸，女，1980年出生于甘肃省兰州市，汉族。2004年7月毕业于兰州理工大学计算机科学与应用专业，现工作于兰州石化公司机械厂技术研究中心。 第二作者：武成恩，男，1982年出生，汉族，2004年7月毕业于中国石油大学（华东）信息与计算科学专业，现工作于兰州石化公司通信网络中心。