淺析中小型園區(qū)網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)

1、淺析中小型園區(qū)網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)摘要:現(xiàn)代企業(yè)網(wǎng)已經(jīng)從早期的簡單的數(shù)據(jù)共享開展到全方位的內(nèi)部共享,從過去單一地理位置的網(wǎng)絡(luò)開展到全球各個(gè)分支網(wǎng)絡(luò)的互聯(lián)。中小型園區(qū)網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)現(xiàn)對技術(shù)的要求越來越高。在此從網(wǎng)絡(luò)建立各個(gè)方面的需求分析入手,在深化領(lǐng)悟并運(yùn)用vlan精華的根底上,利用科學(xué)的ip規(guī)劃方案,提出了現(xiàn)代中小型園區(qū)網(wǎng)的建立思路。該網(wǎng)絡(luò)具有高平安性、高可靠性、可擴(kuò)展、易維護(hù)等一系列優(yōu)點(diǎn)。關(guān)鍵詞:網(wǎng)絡(luò);ip;vlan;園區(qū)網(wǎng)designandipleentatinfsallapusnetrkguxin-yan1,engqing-ei2(1.ityllege,xianjiatnguniversity

2、,xian710016,hina;2.zterpratin,xian710065,hina)對于現(xiàn)代辦公的場所,智能化必不可少,包括綜合布線、視頻監(jiān)控、會議電視、智能門禁、一卡通消費(fèi)、安防報(bào)警、自動(dòng)a等弱電集成,而信息化業(yè)務(wù)正是智能建筑的要素之一,本方案主要就在辦公大樓內(nèi)部署信息化網(wǎng)絡(luò)的方案進(jìn)展描繪。擬訂某公司的新建辦公大樓作為局域網(wǎng)建立的模型。設(shè)定大樓共5層高,每層建立有弱電間一個(gè),整個(gè)大樓設(shè)中心機(jī)房一間,規(guī)劃信息接入點(diǎn)共150個(gè)(即150臺計(jì)算機(jī)終端)。大樓的局域網(wǎng)建立自己的內(nèi)網(wǎng),辦公業(yè)務(wù)內(nèi)網(wǎng)是新大樓及后勤效勞配套設(shè)施內(nèi)各單位數(shù)據(jù)通信的主要平臺,為各種辦公應(yīng)用系統(tǒng)提供高效、可靠、平安的通信

3、途徑。向樓內(nèi)用戶提供內(nèi)部辦公、內(nèi)部辦公商務(wù)、部署各類內(nèi)網(wǎng)效勞器等,同時(shí),可靈敏設(shè)置大樓內(nèi)用戶權(quán)限,限定用戶訪問互聯(lián)網(wǎng)的權(quán)限。假設(shè)此辦公大樓的內(nèi)部網(wǎng)絡(luò)又可按照所屬的部門、職能、平安重要程度分為許多子網(wǎng)(即vlan),包括:財(cái)務(wù)子網(wǎng)、指導(dǎo)子網(wǎng)、辦公室子網(wǎng)、市場部子網(wǎng)、各類效勞器子網(wǎng)等。通過vlan技術(shù)的應(yīng)用可以將這些用戶區(qū)分開來。1建立效果1.1先進(jìn)性新建辦公樓的信息網(wǎng)絡(luò)必須滿足日新月異的信息化開展及新業(yè)務(wù)的開展,要求所用設(shè)備支持所有國際通用標(biāo)準(zhǔn),良好的售后效勞。數(shù)據(jù)網(wǎng)絡(luò)設(shè)備須選用具有國際的的先進(jìn)程度,均為業(yè)界領(lǐng)先并且應(yīng)用廣泛的高性能交換機(jī)。1.2平安性由于以太網(wǎng)的播送特性,某臺計(jì)算機(jī)感染病毒后會

4、在局域網(wǎng)中散播,因此在設(shè)備選擇上須重視設(shè)備對病毒包的抑制過濾才能、al才能、對用戶終端的控制手段等。所選用的數(shù)據(jù)網(wǎng)絡(luò)設(shè)備均支持豐富的al訪問控制列表,對用戶進(jìn)展線速的數(shù)據(jù)包過濾。此外,根據(jù)客戶需求還可以在用戶側(cè)進(jìn)展prt-a地址捆綁、a地址-ip地址捆綁等功能,有效得對網(wǎng)絡(luò)內(nèi)部的用戶、地址進(jìn)展控制和管理。1.3高可用性/可靠性網(wǎng)絡(luò)設(shè)備具有良好的可靠性保證,可熱插拔的模塊,快速的恢復(fù)機(jī)制,冗余及負(fù)載平衡的電源系統(tǒng),控制模塊的冗余等。通過vrrp與stp技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)構(gòu)造的冗余,確保不因?yàn)閱螚l線路的故障而導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)的失效,并且確保在某條線路故障時(shí)對系統(tǒng)性能的影響也能最校1.4可擴(kuò)展性和可晉級性

5、施行的網(wǎng)絡(luò)具有良好的擴(kuò)展性(拓?fù)錁?gòu)造、線卡等),整個(gè)網(wǎng)絡(luò)可以在各層擴(kuò)大設(shè)備,并通過網(wǎng)管系統(tǒng)進(jìn)展統(tǒng)一管理。為今后的網(wǎng)絡(luò)擴(kuò)展留有足夠的空間,必須具有高度的可擴(kuò)大性,可有效地對用戶提供投資保護(hù)。1.5易管理和易維護(hù)性通過網(wǎng)管軟件的安裝對整個(gè)網(wǎng)絡(luò)提供實(shí)時(shí)端口級的管理,拓?fù)涔芾?、lan的配置和管理,并提供各種管理策略,有效地對整個(gè)網(wǎng)絡(luò)進(jìn)展管理、控制和維護(hù)。為網(wǎng)絡(luò)提供完善的管理、配置、故障、性能、統(tǒng)計(jì)管理?？蛇x擇結(jié)合業(yè)界領(lǐng)先的集群管理技術(shù),做到交換機(jī)即插即用,大大簡化了配置過程,為日后擴(kuò)容提供了便利。2建立方案2.1方案概述既然內(nèi)部網(wǎng)絡(luò)可按照所屬的部門、職能、平安重要程度分為許多vlan子網(wǎng),包括:財(cái)務(wù)子

6、網(wǎng)、指導(dǎo)子網(wǎng)、辦公室子網(wǎng)、市場部子網(wǎng)、各類效勞器子網(wǎng)等。在方案設(shè)計(jì)中,基于平安的重要程度和要保護(hù)的對象,可以在交換機(jī)上劃分為4個(gè)虛擬局域網(wǎng)(vlan),即:各類效勞器子網(wǎng)、財(cái)務(wù)子網(wǎng)、指導(dǎo)子網(wǎng)、其他子網(wǎng)。不同的局域網(wǎng)分屬不同的播送域,由于財(cái)務(wù)子網(wǎng)、指導(dǎo)子網(wǎng)、中心效勞器子網(wǎng)屬于重要網(wǎng)段,因此在中心交換機(jī)上將這些網(wǎng)段各自劃分為一個(gè)獨(dú)立的播送域,而將其他的工作站劃分在一個(gè)一樣的網(wǎng)段。2.2設(shè)計(jì)思想設(shè)計(jì)思想為:采用高速、高性能的網(wǎng)絡(luò)主干;網(wǎng)絡(luò)根據(jù)需要?jiǎng)澐植煌奶摂M網(wǎng);虛擬網(wǎng)之間的數(shù)據(jù)交換通過集中的路由功能實(shí)現(xiàn);網(wǎng)絡(luò)主干應(yīng)有極強(qiáng)的擴(kuò)大才能,網(wǎng)絡(luò)性能不會因?yàn)榫W(wǎng)絡(luò)的擴(kuò)大而降低;與廣域的路由器和主機(jī)配合實(shí)現(xiàn)廣域

7、上網(wǎng)絡(luò)資源的備份和數(shù)據(jù)分流;保障局域網(wǎng)上的平安性;2.3方案描繪由于局域網(wǎng)中存在多個(gè)不同平安級別的網(wǎng)絡(luò)用戶,例如財(cái)務(wù)系統(tǒng)和普通的一般工作機(jī)器,因此從平安的角度看應(yīng)該將這些用戶進(jìn)展隔離。一個(gè)最根本的工具就是vlan,對不同的網(wǎng)絡(luò)用戶進(jìn)展隔離。更復(fù)雜一些的方案是通過vpn等。在目前的技術(shù)情況下,一般是使用vlan進(jìn)展隔離居多。為使得用戶可以訪問公司內(nèi)部,或者外部的一些公共資源,雖然通過vlan可以進(jìn)展物理層面的隔離,但是希望他們在ip層是互通的,為此需要對不同的用戶/主機(jī)分配ip地址。對大型網(wǎng)絡(luò),可以通過不同的樓層為單位進(jìn)展ip地址的分配,這樣可以獲得比較好的地址會聚才能,可以減少對路由表的需求。

8、另外一種比較可行的方案是使用dhp自動(dòng)地址分配策略,減少網(wǎng)絡(luò)使用的復(fù)雜度。根據(jù)以上對網(wǎng)絡(luò)的分析以及方便擴(kuò)容的原那么,規(guī)劃整個(gè)網(wǎng)絡(luò)分為核心層和接入層兩級架構(gòu):(1)在辦公樓的中心機(jī)房選用配置1臺中興通訊的zxr10ger02作為出口路由器,上聯(lián)至防火墻實(shí)現(xiàn)百兆接入internet;(2)選用1臺中興通訊的zxr10t40g作為核心層路由交換機(jī),通過高密度的千兆光接口板會聚接入交換機(jī)設(shè)備,通過百兆電接口板連接各類效勞器;圖1網(wǎng)絡(luò)拓?fù)錁?gòu)造在核心交換機(jī)zxr10t40g上建立各個(gè)子網(wǎng)的vlan網(wǎng)關(guān),各子網(wǎng)內(nèi)可以互相通信,但子網(wǎng)間的通信必須通過網(wǎng)關(guān)實(shí)現(xiàn),網(wǎng)管人員可以通過訪問控制列表al來靈敏調(diào)整vlan

9、間的互訪關(guān)系,從而到達(dá)限制用戶行為的目的。表1vlan號和vlan名稱規(guī)劃vlan編號vlan名實(shí)現(xiàn)功能2server各類效勞器子網(wǎng)3leader指導(dǎo)子網(wǎng)4finane財(cái)務(wù)子網(wǎng)5ther其他子網(wǎng)表2各子網(wǎng)的ip地址規(guī)劃vlan編號vlan名實(shí)現(xiàn)功能地址劃分掩碼網(wǎng)關(guān)整個(gè)網(wǎng)絡(luò)采用了先進(jìn)的以太交換網(wǎng)絡(luò)技術(shù)、高速的桌面接入才能實(shí)現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)母咝?同時(shí)整個(gè)網(wǎng)絡(luò)具有開放性、標(biāo)準(zhǔn)化的網(wǎng)絡(luò)體系,支持各種異構(gòu)計(jì)算機(jī)網(wǎng)絡(luò)之間的互連。另外,該網(wǎng)絡(luò)方案還具有以下特點(diǎn):(1)整個(gè)系統(tǒng)具有較高的性能價(jià)格比,并可以很好地保護(hù)用戶投資。對于入駐的業(yè)主也可以有所選擇,根據(jù)業(yè)主需求構(gòu)建內(nèi)部網(wǎng)絡(luò);(2)具有前瞻性、先進(jìn)性和

10、可擴(kuò)展性,要滿足將來10年業(yè)務(wù)的需求,具備軟件可晉級、端口可支持萬兆、設(shè)備支持pls等擴(kuò)展性;(3)具有開展業(yè)務(wù)的靈敏性,適應(yīng)業(yè)務(wù)形式和業(yè)務(wù)量的變化要求,網(wǎng)絡(luò)設(shè)備支持各種路由協(xié)議,并具備平滑晉級的才能;(4)具備很高可靠性和平安性,在多個(gè)層次上實(shí)現(xiàn)平安訪問控制;可以對根據(jù)需要對不同用戶、不同應(yīng)用、不同接入方式統(tǒng)一進(jìn)展認(rèn)證;可以對關(guān)鍵應(yīng)用系統(tǒng)進(jìn)展隔離和訪問控制;對外網(wǎng)(互聯(lián)網(wǎng)和合作伙伴)進(jìn)展隔離和訪問控制;具有ds和dds防護(hù)才能等深層防御才能;(5)選擇的軟硬件產(chǎn)品應(yīng)具有一定的通用性,采用標(biāo)準(zhǔn)的技術(shù)、構(gòu)造、系統(tǒng)組件和用戶接口。3ip地址規(guī)劃原那么網(wǎng)絡(luò)地址、域名統(tǒng)一規(guī)劃:由于ip地址及域名尚未確

11、定,本次方案中只簡要提出ip分配及域名規(guī)劃的原那么。域名規(guī)劃要注意層次性和一致性。內(nèi)部域名、外部域名要分別設(shè)置,能表達(dá)組織構(gòu)造并易于管理。地址分配要遵循原那么:簡單性。地址的分配應(yīng)該簡單,防止在主干上采用復(fù)雜的掩碼方式;連續(xù)性。為同一個(gè)網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址,便于采用suarizatin及idr(lasslessinter-dainruting)技術(shù)縮減路由表的表項(xiàng),進(jìn)步路由器的處理效率;可擴(kuò)大性。為一個(gè)網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量,便于主機(jī)數(shù)量增加時(shí)仍然可以保持地址的連續(xù)性;靈敏性。地址分配不應(yīng)該基于某個(gè)網(wǎng)絡(luò)路由策略的優(yōu)化方案,應(yīng)該便于多數(shù)路由策略在該地址分配方案上實(shí)現(xiàn)優(yōu)化;

12、可管理性。地址的分配應(yīng)該有層次,某個(gè)局部的變動(dòng)不要影響上層、全局;平安性。網(wǎng)絡(luò)內(nèi)應(yīng)按工作內(nèi)容劃分成不同網(wǎng)段即子網(wǎng)以便進(jìn)展管理。3.1地址規(guī)劃ip地址的總體劃分規(guī)那么如下:(1)技術(shù)方案上講,采用vls變長子網(wǎng)掩碼創(chuàng)立分層的子網(wǎng),利用idr減少路由器中路由表中路由數(shù)量,進(jìn)步總體網(wǎng)絡(luò)性能。(2)根據(jù)ip網(wǎng)絡(luò)的應(yīng)用領(lǐng)域不同和網(wǎng)絡(luò)層次的位置不同,采用不同的ip地址規(guī)劃策略。子網(wǎng)劃分允許系統(tǒng)管理員更好的利用現(xiàn)有的地址空間。例如:有8個(gè)網(wǎng)絡(luò),每個(gè)網(wǎng)絡(luò)有30個(gè)主機(jī)。原來需要8個(gè)lass地址,如今用子網(wǎng)劃分,一個(gè)lass地址就夠了。因?yàn)樽泳W(wǎng)在internet上是不可見的,所以:路由表會減少,內(nèi)部網(wǎng)根據(jù)需求可以

13、劃分多個(gè)子網(wǎng),不需要浪費(fèi)地址空間和增加internet路由表;子網(wǎng)的震蕩不會影響internet,ripv1只允許一個(gè)子網(wǎng)掩碼,rf1009允許在一個(gè)路由域內(nèi)有多個(gè)子網(wǎng)掩碼。當(dāng)有多個(gè)子網(wǎng)掩碼備用,就稱為可變長子網(wǎng)掩碼。沒有vls,一個(gè)子網(wǎng)掩碼只能提供給一個(gè)網(wǎng)絡(luò)。這樣就限制了子網(wǎng)上的主機(jī)數(shù)。舉一個(gè)vls的例子:vls允許設(shè)計(jì)者為特定的需求分割地址空間。每個(gè)站點(diǎn)傳送一個(gè)聚合的子網(wǎng)地址到其他的站點(diǎn)。同樣,一個(gè)supernet是用一個(gè)普通的網(wǎng)絡(luò)前綴和掩碼來表示一組網(wǎng)絡(luò)。一個(gè)supernet的地址是由一對地址/掩碼組成的,前綴指的是相鄰網(wǎng)絡(luò)地址組中的第一個(gè)ip地址,掩碼是要小于自然掩碼長度。idr允許路

14、由器更充分聚合路由選擇信息。路由表中的一條紀(jì)錄可以代表許多網(wǎng)絡(luò)。這大大減小路由表的規(guī)模,并且直接轉(zhuǎn)化為地址空間的可擴(kuò)展性。地址規(guī)劃的根本思想:通常合理的地址規(guī)劃是使連續(xù)的地址盡量集中在一個(gè)區(qū)域內(nèi)。因此,整個(gè)核心層應(yīng)象一個(gè)區(qū)域或一個(gè)省一樣,被分配一段連續(xù)的地址。更進(jìn)一步,連接進(jìn)某一區(qū)域的省的ip地址范圍應(yīng)集中在該區(qū)域的地址范圍附近。廣域網(wǎng)連接:假設(shè)廣域網(wǎng)連接采用路由協(xié)議,那么應(yīng)使用30位掩碼。點(diǎn)對點(diǎn)的連接只需兩個(gè)主機(jī)地址,因此不需更大的地址空間。詳細(xì)設(shè)計(jì)施行規(guī)那么:第一層:以網(wǎng)絡(luò)匯接區(qū)域來劃分。根據(jù)網(wǎng)絡(luò)匯接分布的地理區(qū)域來劃分大塊連續(xù)的ip地址空間;有利于路由協(xié)議的計(jì)算和地址會聚。在首期網(wǎng)絡(luò)工程

15、內(nèi)的地址劃分需要考慮網(wǎng)絡(luò)的接入層的擴(kuò)展;需要為網(wǎng)絡(luò)的擴(kuò)展預(yù)留地址空間。第二層:在區(qū)域接入網(wǎng)內(nèi),以網(wǎng)絡(luò)功能來劃分。可以根據(jù)不同的應(yīng)用和網(wǎng)絡(luò)功能來劃分,如:用戶網(wǎng)絡(luò)接入地址;數(shù)據(jù)效勞器地址空間和網(wǎng)絡(luò)管理操作?？梢詮奶柎a上識別出應(yīng)用和功能;根據(jù)詳細(xì)地址空間,可以給出每個(gè)區(qū)域和接入層的地址空間。在地址分配中需要的從地址的應(yīng)用類型上給出規(guī)那么:路由器lpbak地址,每臺路由器需要一個(gè)30位掩碼的ip地址;點(diǎn)到點(diǎn)的廣域網(wǎng)鏈路,需要30位最小的子網(wǎng);局域網(wǎng)地址按照主機(jī)接入數(shù)量和設(shè)備數(shù)量來分配子網(wǎng)空間;根據(jù)網(wǎng)絡(luò)ip地址的應(yīng)用類型,從總體上將可利用的ip地址劃分成如下4種類型,劃分方案如表3所示。表3劃分方案應(yīng)

16、用類型ip地址子網(wǎng)掩碼(1)網(wǎng)間網(wǎng)互連網(wǎng)絡(luò)。(2)帶內(nèi)管理網(wǎng)絡(luò)。(3)數(shù)據(jù)效勞器網(wǎng)絡(luò)。(4)用戶網(wǎng)絡(luò)。用戶網(wǎng)絡(luò)的ip地址是整個(gè)網(wǎng)絡(luò)用戶的終端ip地址,是整個(gè)網(wǎng)絡(luò)ip地址劃分中的核心局部,該局部ip地址要嚴(yán)格按照網(wǎng)絡(luò)的分層構(gòu)造劃分出分層子網(wǎng),同時(shí),要預(yù)留網(wǎng)絡(luò)的擴(kuò)展網(wǎng)段,以利于網(wǎng)絡(luò)規(guī)模的擴(kuò)展。3.2地址分配在地址分配過程中,各節(jié)點(diǎn)的保存ip地址應(yīng)盡量保持連續(xù)性以便于內(nèi)部路由管理,同樣,整個(gè)網(wǎng)絡(luò)內(nèi)部也應(yīng)盡量保持idr(無級域間路由)地址塊的連續(xù)性,保存ip地址的使用應(yīng)為將來網(wǎng)絡(luò)開展留有余地,以便于網(wǎng)絡(luò)的統(tǒng)一規(guī)劃。ip的地址分配主要考慮:合法的ip地址應(yīng)由統(tǒng)一的網(wǎng)管中心分配使用;地址分配方案應(yīng)與原有網(wǎng)絡(luò)地址分配方案統(tǒng)一考慮,原有網(wǎng)絡(luò)地址分配盡量保持不變;地址分配應(yīng)本著簡化路由選擇,充分利用地址空間,兼顧今后網(wǎng)絡(luò)開展,便于業(yè)務(wù)管理等原那么進(jìn)展;地址分配方案可以考慮可變長子網(wǎng)掩碼技術(shù);充分考慮將來在假設(shè)干節(jié)點(diǎn)的系統(tǒng)可擴(kuò)大性;充分反映ip網(wǎng)絡(luò)的拓?fù)鋵哟螛?gòu)造;有利于路由協(xié)議的配置,地址歸納和自治域的設(shè)定;方便網(wǎng)絡(luò)管理;在各個(gè)層次都預(yù)留地址以適應(yīng)不同層次的擴(kuò)容。4結(jié)語現(xiàn)代辦公形式較傳統(tǒng)辦公室形式