企業(yè)局域網(wǎng)的設計與實現(xiàn)

精選優(yōu)質文檔-----傾情為你奉上精選優(yōu)質文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質文檔-----傾情為你奉上專心---專注---專業(yè)某公司局域網(wǎng)的設計與實現(xiàn)[摘要]計算機網(wǎng)絡是公司信息化的基礎，要提高一個公司的信息化程度，首要的是要有一個運行良好可管理的計算機網(wǎng)絡，本文以某公司的公司局域網(wǎng)升級改造項目為背景，研究如何根據(jù)公司的需求，進行邏輯網(wǎng)絡設計、物理網(wǎng)絡設計及網(wǎng)絡安裝，實現(xiàn)了一個運行良好的公司局域網(wǎng)，具有重要的實踐價值。[關鍵詞]：局域網(wǎng)；設計；實現(xiàn)

目錄緒論課題背景局域網(wǎng)的發(fā)展始于20世紀70年代，從20世紀90年代開始，網(wǎng)絡步入辦公應用階段，公司局域網(wǎng)已經(jīng)歷近10年的發(fā)展。以太網(wǎng)自誕生的以來的20年間，其速率和距離不斷取得突飛猛進的發(fā)展：10Mb/s以太網(wǎng)最終淘汰了16Mb/s的令牌環(huán)，100Mb/s的快速以太網(wǎng)也使得曾經(jīng)最快的光纖數(shù)字數(shù)據(jù)接口（FDDI）變成了歷史。吉比特以太網(wǎng)和10Gb/s以太網(wǎng)的問世，使以太網(wǎng)的市場占有率進一步得到提高，使得ATM在城域網(wǎng)和廣域網(wǎng)中的地位受到更加嚴峻的挑戰(zhàn)。10Gb/s以太網(wǎng)是IEEE802.3標準在速率和距離方面的自然演進。隨著IEEE802.ae標準的發(fā)布，為以太網(wǎng)注入了新的活力，10吉比特以太網(wǎng)不但能滿足數(shù)據(jù)通信高性能的要求，而且還解決了以往以太網(wǎng)不能提供高質量的多媒體應用所需的QoS的問題，作用距離較傳統(tǒng)以太網(wǎng)也大大提高；并且性能優(yōu)良，傳輸容量大，安裝簡單；同時網(wǎng)絡管理功能簡單，減少了培訓和管理的費用，因此有著廣泛的應用前景。本文致力于用已學過的局域網(wǎng)理論和技術對某公司（以下簡稱公司）的辦公局域網(wǎng)進行研究，在此基礎上設計并升級公司現(xiàn)有的辦公局域網(wǎng)。公司是美國嘉吉公司和臺灣統(tǒng)一公司合資成立的一家外資獨資公司，主要從事大豆產(chǎn)品的加工和銷售業(yè)務?，F(xiàn)有局域網(wǎng)為2002年建成，在上面運行有公司的各種應用和業(yè)務軟件（如Oracle數(shù)據(jù)庫系統(tǒng)，用友ERPNC系統(tǒng)等）。隨著公司業(yè)務發(fā)展的需要，公司現(xiàn)有局域網(wǎng)提供的服務能力已顯得力不從心，升級勢在必行，公司擬對現(xiàn)有網(wǎng)絡進行大規(guī)模的升級改造。本文就是以此項目為背景，重點從局域網(wǎng)的邏輯網(wǎng)絡設計（含網(wǎng)絡安全設計）、局域網(wǎng)的物理設計以及局域網(wǎng)安裝、測試和管理三個方面對公司局域網(wǎng)進行深入的研究。課題意義公司局域網(wǎng)的發(fā)展和應用水平，從基礎上決定著公司信息化建設進程。特別是近幾年，我國公司局域網(wǎng)的建設和應用大規(guī)模普及。各類各級企事業(yè)單位紛紛建設自己的局域網(wǎng)，公司局域網(wǎng)已經(jīng)成為公司資源共享、信息傳遞、公司協(xié)作以及與外界溝通的強有力工具。建設公司局域網(wǎng)并不是簡單的將網(wǎng)絡設備與計算機用網(wǎng)線連接起來，而是一個系統(tǒng)的工程，要確保公司局域網(wǎng)的建設達到高效、安全、實用和具有前瞻性原則，必須按照“方案設計，工程施工，構建應用平臺以及網(wǎng)絡配置與管理”這樣一條主線來進行。在平時工作中，經(jīng)常遇到網(wǎng)絡故障，例如，某公司網(wǎng)絡剛從4M升級到8M，但升級后，上網(wǎng)更困難了，職工上網(wǎng)聊天玩游戲，甚至經(jīng)常開著BT下載東西，造成路由器經(jīng)?！八罊C”，網(wǎng)絡系統(tǒng)癱瘓，網(wǎng)管需要經(jīng)?！笆柰ā本W(wǎng)絡。除此以外，網(wǎng)管還得經(jīng)常性給Microsoft系統(tǒng)打補丁。于是，網(wǎng)管幾乎天天做著這種“低水平”的重復勞動。又例如某個公司的計算機很多，僅辦公計算機就達300多臺，管理這么多計算機，僅僅靠一兩個人的力量根本不行。實際上，只要充分利用現(xiàn)有資源，使用專業(yè)網(wǎng)絡管理軟件與工具，就可以輕松管理公司局域網(wǎng)。本文將基礎理論、網(wǎng)絡技術，工程案例恰當?shù)娜诤显谝黄?，試圖來回答這個問題：如何設計和管理好公司局域網(wǎng)。課題的主要工作本文的主要研究工作包括：第一，進行需求分析，包括業(yè)務需求、應用需求、以及網(wǎng)絡需求，現(xiàn)有網(wǎng)絡狀況，升級的具體需求分析。第二，設計網(wǎng)絡邏輯結構，在邏輯網(wǎng)絡設計階段，利用前面獲得的需求分析結果和局域網(wǎng)中的通信規(guī)范來指導具體的網(wǎng)絡邏輯結構設計，即選擇能實現(xiàn)網(wǎng)絡需求的相關網(wǎng)絡技術。第三，進行網(wǎng)絡安全設計，根據(jù)需求提出相應的網(wǎng)絡安全解決方案。第四，確定網(wǎng)絡物理結構，這一階段是如何實現(xiàn)給定的邏輯網(wǎng)絡結構，要確定具體的軟硬件、連接設備、布線和服務。第五，安裝測試和管理網(wǎng)絡，在安裝之前，所有的軟硬件必須準備完畢，并對其進行嚴格測試，網(wǎng)絡安裝完成后，接受用戶的反饋意見，進行網(wǎng)絡的監(jiān)控和管理工作。局域網(wǎng)相關技術綜述局域網(wǎng)（LAN－LocalAreaNetwork）是將分散在有限地理范圍內（如一棟大樓，一個部門）的多臺計算機通過傳輸媒體連接起來的通信網(wǎng)絡，通過功能完善的網(wǎng)絡軟件，實現(xiàn)計算機之間的相互通信和共享資源。美國電氣和電子工程協(xié)會（IEEE）于1980年2月成立局域網(wǎng)標準化委員會（簡稱802委員會）專門對局域網(wǎng)的標準進行研究，并提出了LAN的定義。LAN是允許中等地域內的眾多獨立設備通過中等速率的物理信道直接互連通信的數(shù)據(jù)通信系統(tǒng)[2]。充分了解和掌握現(xiàn)有局域網(wǎng)相關技術是設計和管理好局域網(wǎng)的重要提前和基礎。局域網(wǎng)的拓撲結構網(wǎng)絡中的計算機等設備要實現(xiàn)互聯(lián)，就需要以一定的結構方式進行連接，這種連接方式就叫做“拓撲結構”，通俗地講這些網(wǎng)絡設備如何連接在一起的。目前常見的網(wǎng)絡拓撲結構主要有以下四大類：1.星型結構這種結構是目前在局域網(wǎng)中應用得最為普遍的一種，在公司網(wǎng)絡中幾乎都是采用一方式。星型網(wǎng)絡幾乎是Ethernet（以太網(wǎng)）網(wǎng)絡專用，它是因網(wǎng)絡中的各工作站節(jié)點設備通過一個網(wǎng)絡集中設備（如集線器或者交換機）連接在一起，各節(jié)點呈星狀分布而得名。這類網(wǎng)絡目前用的最多的傳輸介質是雙絞線，如常見的五類線、超五類雙絞線等。這種拓撲結構網(wǎng)絡的基本特點主要有如下幾點：（1）容易實現(xiàn)：它所采用的傳輸介質一般都是采用通用的雙絞線，這種傳輸介質相對來說比較便宜。這種拓撲結構主要應用于IEEE802.2、IEEE802.3標準的以太局域網(wǎng)中；（2）節(jié)點擴展、移動方便：節(jié)點擴展時只需要從集線器或交換機等集中設備中拉一條線即可，而要移動一個節(jié)點只需要把相應節(jié)點設備移到新節(jié)點即可，而不會像環(huán)型網(wǎng)絡那樣“牽其一而動全局”；（3）維護容易:一個節(jié)點出現(xiàn)故障不會影響其它節(jié)點的連接，可任意拆走故障節(jié)點；（4）采用廣播信息傳送方式：任何一個節(jié)點發(fā)送信息在整個網(wǎng)中的節(jié)點都可以收到，這在網(wǎng)絡方面存在一定的隱患，但這在局域網(wǎng)中使用影響不大；（5）網(wǎng)絡傳輸數(shù)據(jù)快：這一點可以從目前最新的1000Mbps到10G以太網(wǎng)接入速度可以看出。2.環(huán)型結構這種結構的網(wǎng)絡形式主要應用于令牌網(wǎng)中，在這種網(wǎng)絡結構中各設備是直接通過電纜來串接的，最后形成一個閉環(huán)，整個網(wǎng)絡發(fā)送的信息就是在這個環(huán)中傳遞，通常把這類網(wǎng)絡稱之為“令牌環(huán)網(wǎng)”。實際上大多數(shù)情況下這種拓撲結構的網(wǎng)絡不會是所有計算機真的要連接成物理上的環(huán)型，一般情況下，環(huán)的兩端是通過一個阻抗匹配器來實現(xiàn)環(huán)的封閉的，因為在實際組網(wǎng)過程中因地理位置的限制不方便真的做到環(huán)的兩端物理連接。這種拓撲結構的網(wǎng)絡主要有如下幾個特點：（1）這種網(wǎng)絡結構一般僅適用于IEEE802.5的令牌網(wǎng)（Tokenringnetwork），在這種網(wǎng)絡中，“令牌”是在環(huán)型連接中依次傳遞。所用的傳輸介質一般是同軸電纜。（2）這種網(wǎng)絡實現(xiàn)也非常簡單，投資最小。（3）維護困難：從其網(wǎng)絡結構可以看到，整個網(wǎng)絡各節(jié)點間是直接串聯(lián)，這樣任何一個節(jié)點出了故障都會造成整個網(wǎng)絡的中斷、癱瘓，維護起來非常不便。（4）擴展性能差：也是因為它的環(huán)型結構，決定了它的擴展性能遠不如星型結構的好，如果要新添加或移動節(jié)點，就必須中斷整個網(wǎng)絡，在環(huán)的兩端作好連接器才能連接。3.總線型結構這種網(wǎng)絡拓撲結構中所有設備都直接與總線相連，它所采用的介質一般也是同軸電纜（包括粗纜和細纜），不過現(xiàn)在也有采用光纜作為總線型傳輸介質的。這種結構具有以下幾個方面的特點：（1）組網(wǎng)費用低：這樣的結構根本不需要另外的互聯(lián)設備，是直接通過一條總線進行連接，所以組網(wǎng)費用較低；（2）這種網(wǎng)絡因為各節(jié)點是共用總線帶寬的，所以在傳輸速度上會隨著接入網(wǎng)絡的用戶的增多而下降；（3）網(wǎng)絡用戶擴展較靈活：需要擴展用戶時只需要添加一個接線器即可，但所能連接的用戶數(shù)量有限；（4）維護較容易：單個節(jié)點失效不影響整個網(wǎng)絡的正常通信。但是如果總線一斷，則整個網(wǎng)絡或者相應主干網(wǎng)段就斷了。（5）這種網(wǎng)絡拓撲結構的缺點是一次僅能一個端用戶發(fā)送數(shù)據(jù)，其它端用戶必須等待到獲得發(fā)送權。4.混合型拓撲結構這種網(wǎng)絡拓撲結構是由前面所講的星型結構和總線型結構的網(wǎng)絡結合在一起的網(wǎng)絡結構，這樣的拓撲結構更能滿足較大網(wǎng)絡的拓展，解決星型網(wǎng)絡在傳輸距離上的局限，而同時又解決了總線型網(wǎng)絡在連接用戶數(shù)量的限制。這種網(wǎng)絡拓撲結構同時兼顧了星型網(wǎng)與總線型網(wǎng)絡的優(yōu)點，在缺點方面得到了一定的彌補。局域網(wǎng)的信道訪問協(xié)議信道訪問協(xié)議的分類，按常用網(wǎng)絡拓撲結構分類：（1）IEEE802.3:CSMA/CD。（2）IEEE802.4:TokenBus。（3）IEEE802.5:TokenRing。按使用通信線路的訪問方式分類：（1）爭用型。（2）定時型。這里主要介紹以太網(wǎng)中最常用的CSMA/CD訪問協(xié)議。CSMA/CD（CarrierSenseMultipleAccesswithCollisionDetection），即載波監(jiān)聽多路訪問/沖突檢測，是一種爭用型的介質訪問控制協(xié)議。網(wǎng)中各節(jié)點都能獨立地決定數(shù)據(jù)幀的發(fā)送與接收。每個節(jié)點在發(fā)送數(shù)據(jù)幀之前。首先要進行載波監(jiān)聽。只有介質空閑時，才允許發(fā)送幀。這時，如果兩個以上的節(jié)點同時監(jiān)聽到介質空閑并發(fā)送幀，則會產(chǎn)生沖突現(xiàn)象。每個節(jié)點必須有能力隨時檢測沖突是否發(fā)生，一旦發(fā)生沖突，則應停止發(fā)送，然后隨機延時一段時間后，再重新爭用介質，重發(fā)該幀，把檢查信道上有無數(shù)據(jù)信號傳輸稱為“載波監(jiān)聽”，而把同時有多個節(jié)點在監(jiān)聽信道是否空閑和發(fā)送數(shù)據(jù)，稱為“多路訪問”。代理服務器技術代理服務器英文全稱是ProxyServer，其功能就是代理網(wǎng)絡用戶去取得網(wǎng)絡信息。形象的說：它是網(wǎng)絡信息的中轉站。在一般情況下，使用網(wǎng)絡瀏覽器直接去連接其他Internet站點取得網(wǎng)絡信息時，是直接聯(lián)系到目的站點服務器，然后由目的站點服務器把信息傳送回來。代理服務器是介于瀏覽器和Web服務器之間的另一臺服務器，有了它之后，瀏覽器不是直接到Web服務器去取回網(wǎng)頁而是向代理服務器發(fā)出請求，信號會先送到代理服務器，由代理服務器來取回瀏覽器所需要的信息并傳送給你的瀏覽器。目前市場上的主流代理服務器產(chǎn)品為微軟公司的MicrosoftInternetSecurity&AccelerationServer(以下簡稱ISA)。ISA擁有國際權威機構ICSA和中國公安部CNACL安全產(chǎn)品認證的、集高級應用層狀態(tài)過濾防火墻、虛擬專用網(wǎng)絡服務和高效Web緩存服務為一身的防火墻解決方案。它在保護公司網(wǎng)絡免受黑客入侵和惡意蠕蟲侵害、數(shù)據(jù)包過濾和狀態(tài)數(shù)據(jù)包檢測、應用層過濾以及代理體系結構等方面具有出色的功能?？梢詷O大地提高網(wǎng)絡性能和安全性,保護現(xiàn)有公司內部網(wǎng)絡,同時利用ISA的代理服務器功能對內網(wǎng)用戶訪問互聯(lián)網(wǎng)進行控制,確保公司網(wǎng)絡不受攻擊,避免員工訪問不適當?shù)木W(wǎng)站[3]。代理服務器的主要作用：（1）設置用戶驗證和記賬功能，可按用戶進行記賬，沒有登記的用戶無權通過代理服務器訪問Internet網(wǎng)。并對用戶的訪問時間、訪問地點、信息流量進行統(tǒng)計。（2）對用戶進行分級管理，設置不同用戶的訪問權限，對外界或內部的Internet地址進行過濾，設置不同的訪問權限。（3）增加緩沖器(Cache)，提高訪問速度，對經(jīng)常訪問的地址創(chuàng)建緩沖區(qū)，大大提高熱門站點的訪問效率。通常代理服務器都設置一個較大的硬盤緩沖區(qū)(可能高達幾個GB或更大)，當有外界的信息通過時，同時也將其保存到緩沖區(qū)中，當其他用戶再訪問相同的信息時，則直接由緩沖區(qū)中取出信息，傳給用戶，以提高訪問速度。（4）連接內網(wǎng)與Internet，充當防火墻(Firewall):因為所有內部網(wǎng)的用戶通過代理服務器訪問外界時，只映射為一個IP地址，所以外界不能直接訪問到內部網(wǎng);同時可以設置IP地址過濾，限制內部網(wǎng)對外部的訪問權限。（5）節(jié)省IP開銷:代理服務器允許使用大量的偽IP地址，節(jié)約網(wǎng)上資源，即用代理服務器可以減少對IP地址的需求，對于使用局域網(wǎng)方式接入Internet，如果為局域網(wǎng)(LAN)內的每一個用戶都申請一個IP地址，其費用可想而知。但使用代理服務器后，只需代理服務器上有一個合法的IP地址，LAN內其他用戶可以使用10.*.*.*這樣的私有IP地址，這樣可以節(jié)約大量的IP，降低網(wǎng)絡的維護成本。公司局域網(wǎng)需求分析公司網(wǎng)絡現(xiàn)狀公司現(xiàn)有局域網(wǎng)是2002年建成投入使用。目前擁有8臺IBMxSeries335服務器，其中包含2臺windowsserver2003域控制器，1臺exchangeserver2003郵件服務器，1臺文件服務器，1臺oracle數(shù)據(jù)庫服務器，1臺ERPNC應用服務器，1臺傳真服務器，1臺打印服務器。150臺客戶機，由多臺D-LinkDES-1024R交換機和一些8端口10兆小型集線器組成一個星形局域網(wǎng)。郵件服務器采用中國電信2M專線通過Cisco2610xm路由器和CiscoPIX501防火墻連接到Internet。員工上網(wǎng)均通過ADSL直接連接到internet。采用Symantec單機版殺毒軟件。主要應用服務包括文件共享、文件打印、用友ERPNC系統(tǒng)、地磅系統(tǒng)、郵件收發(fā)等功能?，F(xiàn)有網(wǎng)絡存在問題：服務器響應緩慢、垃圾郵件量多、員工上網(wǎng)沒有監(jiān)控、微軟補丁要手工更新、外出職員不能連接到公司網(wǎng)絡、沒有專業(yè)的網(wǎng)絡管理軟件等，以上因素嚴重影響了公司辦公效率和公司業(yè)務拓展。升級現(xiàn)有網(wǎng)絡勢在必行?，F(xiàn)有網(wǎng)絡拓撲圖如圖所示。圖表SEQ圖表\*ARABIC1現(xiàn)有網(wǎng)絡拓撲圖業(yè)務需求分析1.公司未來網(wǎng)絡擴展需求公司現(xiàn)在擁有電腦15000臺，考慮到未來3到5年人員增長需求，預計還要增加電腦約15000臺，即總共約30000個客戶端網(wǎng)絡節(jié)點的中型局域網(wǎng)規(guī)模。2.網(wǎng)絡可靠性和可用性需求在網(wǎng)絡可靠性方面，公司的地磅系統(tǒng)、ERP系統(tǒng)、郵件系統(tǒng)、文件和打印服務器以及Internet訪問可以接受一小時以內的連接中斷，但每季度不得超過1次以上。3.網(wǎng)絡安全性方面需求在收集需求分析時，大家反映最多的還是對網(wǎng)絡安全的需要?？偨Y起來有以下幾點:一是要有職員上網(wǎng)的監(jiān)控記錄，包括上網(wǎng)時間、訪問了什么網(wǎng)站，并保存上網(wǎng)記錄3個月以上。二是保護公司各種服務器安全，包服務器安全訪問、服務器防毒。三是客戶機要俱備防病毒和防間諜軟件功能。四是公司數(shù)據(jù)和數(shù)據(jù)庫的安全，包括數(shù)據(jù)存貯、數(shù)據(jù)備份等。五是對職員的郵件發(fā)送和接收要有監(jiān)控記錄，并保存3個月以上的記錄。4.遠程訪問需求對于公司管理層和有遠程辦公需求的用戶，要求在家中能訪問公司局域網(wǎng)中的文件服務器和郵件服務器，并確保遠程數(shù)據(jù)傳輸?shù)陌踩?。網(wǎng)絡拓撲結構需求分析根據(jù)公司的各棟辦公大樓的布局和網(wǎng)絡管理的需求，為公司網(wǎng)絡設計和選擇適當?shù)耐負浣Y構。當前局域網(wǎng)的拓撲結構主要有總線型拓撲結構、環(huán)狀拓撲結構、星形拓撲結構和混合性拓撲結構，其中星形拓撲結構在公司網(wǎng)的設計中被廣泛采用。星形拓撲結構以一臺中心處理機（通信設備）為主而構成的網(wǎng)絡，其它入網(wǎng)機器僅與該中心處理機之間有直接的物理鏈路，中心處理機采用分時或輪詢的方法為入網(wǎng)機器服務，所有的數(shù)據(jù)必須經(jīng)過中心處理機。星型拓撲結構的每個結點都由一條單獨的通信線路與中心結點連結，它的優(yōu)點是：結構簡單、容易實現(xiàn)、便于管理，連接點的故障容易監(jiān)測和排除，缺點是：中心結點是全網(wǎng)絡的可靠瓶頸，中心結點出現(xiàn)故障會導致網(wǎng)絡的癱瘓，因此，選擇高性能、高可靠的中心節(jié)點交換機至關重要[9]。安全性需求分析網(wǎng)絡安全包括對物理設備的規(guī)劃和對過程的操作來保護網(wǎng)絡和系統(tǒng)的完整性、可訪問性以及可靠性。現(xiàn)代的網(wǎng)絡安全性是把基本的安全概念運用到分布式網(wǎng)絡環(huán)境中。網(wǎng)絡安全性的目標是對資源進行保護，但目前還沒有徹底完備的解決方案。每個安全的網(wǎng)絡應該具有以下3種屬性：一是保密性，指數(shù)據(jù)保密性好，例如對數(shù)據(jù)進行加密傳輸。二是完整性，未經(jīng)授權不得修改數(shù)據(jù)?？煽啃?，數(shù)據(jù)或信息的來源真實可靠[10,30]。對于公司來說，具體要達到以下安全標準。1.公司文件服務器的安全：公司的所有文件都存放在文件服務器上，因此確保文件服務器不被內部和外部用戶非法訪問是十分重要的。二是確保文件服務器不會受到病毒的攻擊。另外，要制定詳細的備份計劃，一旦數(shù)據(jù)出現(xiàn)誤刪除或丟失情況，能夠及時恢復。2.Internet訪問安全：確保公司員工上網(wǎng)安全，并對上網(wǎng)行為進行監(jiān)控，禁用QQ、MSN等即時通訊和聊天工具，禁止從因特網(wǎng)上下載軟件或文件。另，最好上網(wǎng)時能實現(xiàn)流量分配功能，確保公司的高管理人員上網(wǎng)不受影響。3.郵件服務器安全：確保郵件服務器不會成為垃圾郵件的中轉站，有專業(yè)的防垃圾郵件系統(tǒng)或軟件。4.遠程訪問：移動用戶在公司外部訪問公司內部文件服務器和郵件服務器時能實現(xiàn)安全可靠的連接。5.整個局域網(wǎng)安全性：局域網(wǎng)與外部隔離良好，不會受到病毒和木馬攻擊而引起網(wǎng)絡中斷，從而影響業(yè)務。確保服務器不會受到來自內部和外部用戶的攻擊和入侵。公司網(wǎng)絡架構設計拓撲架構設計由于本網(wǎng)絡規(guī)模為中小型網(wǎng)絡，因此采用二層的網(wǎng)絡架構設計，即分為接入層和核心層，省略中間的匯聚層。保留現(xiàn)有公司局域網(wǎng)的星形拓撲結構，更換核心層交換機，原核心層交換機用作接入層交換機。具體為：采購1臺性能優(yōu)良的千兆交換機替換原來的D-LinkDES-1024R核心交換機，這樣服務器到核心交換機的傳輸速度可達1Gb/s。移除原來的8端口10兆小型集線器,保留原來的6臺D-LinkDES-1024R交換機，再增加百兆桌面級48端口和24端口交換機各1臺，這樣客戶機到桌面交換機的傳輸速度全部可達100Mb/s，并提供總計204個百兆網(wǎng)絡接口，完全滿足公司未來5年總計約200個網(wǎng)絡接口的需求。加上后面服務器設計方案、數(shù)據(jù)備份設計方案、網(wǎng)絡管理及安全設計方案，升級后的網(wǎng)絡邏輯拓撲結構如圖所示。圖表SEQ圖表\*ARABIC2網(wǎng)絡邏輯拓撲結構整個網(wǎng)絡在技術上定位為千兆以太網(wǎng)主干網(wǎng)絡，以光纖和雙絞線為主要傳輸介質，因而對網(wǎng)絡協(xié)議透明，故可以配置成以IP協(xié)議為主的高速IP網(wǎng)絡。接入互聯(lián)網(wǎng)設計將原來的2MDDN專線升級到4M。之前公司Internet接入方式有兩種，一是中國電信提供的速度為2M的DDN專線，通過Cisco2610xm路由器和CiscoPIX501防火墻連接到局域網(wǎng)，為郵件服務器專用。費用為每月8000元，線路和設備都由電信部門維護。二是ADSL接入，用于公司用戶訪問因特網(wǎng)，費用為每月600元。由于與中國電信合作良好，專線使用時間已達7年，經(jīng)與中國電信協(xié)商，他們決定免費給公司DDN專線升級到4M帶寬，并取消ADSL線路。郵件服務器與訪問Internet共用4M專線帶寬接入方式。布線設計布線類型選擇不合理會導致網(wǎng)絡傳輸速度偏低和傳輸帶寬不足，不能很好滿足校園業(yè)務需求的數(shù)據(jù)量傳輸，形成無法克服的物理層瓶頸；信息點設置不足導致作為學校重要業(yè)務數(shù)據(jù)不能及時或實時記錄和保存；網(wǎng)絡故障率高網(wǎng)絡硬件維護人員疲于奔命。以交換式千兆以太網(wǎng)作為學校的主干網(wǎng)，按10M/100M交換式子網(wǎng)方式接入。校園網(wǎng)布線設計一般采用多級物理星型結構、點到點連接，任何一條線路故障均不影響其他線路的正常運行。網(wǎng)絡采用分散式三層交換體系，二級交換機具有第三級交換能力，主干線路壓力小，而且全部實現(xiàn)百兆交換入室。三級交換機可以堆疊，能將一個主干和桌面交換機組成一個整體，提供足夠的交換口，可擴展性好。主干網(wǎng)選用千兆以太網(wǎng)，其第三層以太網(wǎng)路由器交換機大都滿足IEEE802.3Z標準，技術成熟，具有流量優(yōu)先機制能有效保證多媒體傳輸時的QoS(QualityofService服務質量)。考慮到在目前通信條件的成熟和對性能要求的提高，可以采用快速以太網(wǎng)技術，網(wǎng)絡的主干建議采用華為中心三層交換機連接，思科交換機也提供多個多模光纖端口及多個10/100/1000MUTP端口，這樣也就是為以后的擴展做了容余。千兆以太網(wǎng)具有良好的兼容性和可擴展性，在ATM技術成熟時，可平滑集成到ATM網(wǎng)絡中，作為ATM網(wǎng)的邊緣子網(wǎng)。工作組子網(wǎng)可選用100M交換模式。使用戶終端獨占100M帶寬的數(shù)據(jù)交換。在核心交換機與工作組交換機之間，采用100Mbps傳輸帶寬，當使用全雙工時，傳輸帶寬為200Mbps。綜合布線系統(tǒng)可劃分為（如圖1.2）：工作區(qū)子系統(tǒng)；水平布線子系統(tǒng)；垂直干線子系統(tǒng)；管理子系統(tǒng)；設備子系統(tǒng)整個系統(tǒng)綜合采用統(tǒng)一標準的配線組和模塊化結構統(tǒng)一布線、一次完成。它的每一個子系統(tǒng)都是一個相互獨立的單元組，改變任何一個子系統(tǒng)、不影響其他子系統(tǒng)的正常運作。圖表SEQ圖表\*ARABIC3布線系統(tǒng)總體結構綜合布線系統(tǒng)要求能支持語音、靜態(tài)或動態(tài)圖像及多種計算機數(shù)據(jù)系統(tǒng)。綜合布線系統(tǒng)要求滿足以下性能：支持10BASE—T(10M以太網(wǎng))和100BASE-T、100BAESE-F(100M高速以太網(wǎng))支持1000BASE—SX；1000BASE-LX千兆以太網(wǎng)支持ISO88025(令牌環(huán)網(wǎng))支持FDDl和CDDl(100MHz)支持155M及622MATM網(wǎng)公司需要布線的地方有兩棟樓，分別為行政辦公大樓和生產(chǎn)辦大樓。電腦主機房設在行政辦公大樓一樓，生產(chǎn)辦公大樓與行政辦公大樓相距800米。其原來的布線系統(tǒng)設計為：行政辦公大樓90個節(jié)點，一樓和二樓各45個。生產(chǎn)辦公大樓45個節(jié)點，分布在二樓。所有節(jié)點均同時設有三個接口：一個網(wǎng)絡接口、一個電話接口和一個電源接口。每個樓層設立一個機柜，配置了兩臺D-Link1024R交換機，提供了45個10/100Mb網(wǎng)絡接口，當每個樓層網(wǎng)絡接口實際使用量超過45個時，加接了8端口10M小型集線器。每個樓層布線均采用標準的結構化布線方法：從電腦主機室配線架上鋪設2條線纜（一條備用）到樓層的配線柜，再從配線柜直接鋪設線路到節(jié)點上。生產(chǎn)辦公大樓與行政辦公大樓采用光纖連接（走地下鐵槽管道），兩端分別使用D-Link的光電轉換器連接到D-Link交換機上。在此次升級方案中，作以下變動：第一，新增加的50個節(jié)點全部放置在行政辦公大樓三樓，直接按結構化布線方法布線即可。第二，去掉之前所有使用的10M小型集線器，以保證每個樓層的節(jié)點都能使用100M的網(wǎng)絡接口。在行政辦公大樓三樓放置新采購的D-Link1024R以及D-Link1048交換機各1臺。行政辦公大樓第三層的布線工作和電腦主機室的裝修，已與一個網(wǎng)絡系統(tǒng)集成公司談好，由該公司負責施工。說明：每臺服務器都是用1000M以太網(wǎng)卡和超5類非屏蔽雙絞線連接到電腦主機室的接線板上。每臺工作站都是用100M以太網(wǎng)卡和超5類非屏蔽雙絞線連接到桌面交換機，桌面交換機用超5類非屏蔽雙絞線通過配線柜和墻上插座連接到電腦主機室。完成后網(wǎng)絡物理拓樸圖如圖所示。圖表SEQ圖表\*ARABIC4網(wǎng)絡物理拓樸圖安全設計網(wǎng)絡物理安全設計網(wǎng)絡的物理安全是整個網(wǎng)絡系統(tǒng)安全的前提。根據(jù)公司實際情況，綜合考慮成本、安全、可靠等各方面因素，在網(wǎng)絡的物理安全設計方面，提出了以下方案：第一，服務器后備供電問題，為了防止服務器市電供電突然中斷可能引起的硬件損壞和軟件系統(tǒng)故障以及在正常情況下給服務器提供穩(wěn)定安全的供電，給服務器配置UPS是最好的選擇，基于成本的考慮，保留了在原網(wǎng)絡系統(tǒng)中一臺服務器單獨配置一臺1000W小型UPS的設計原則，但對于新采購的三臺新的IBM服務器，采用了一套中型6000W的山特城堡機架式C6KRSUPS一起供電。山特城堡（Castle）系列機架式（Rack）UPS，是純在線式（online）UPS，與在線互動式或后備式UPS相比，在線式UPS能夠為負載提供最佳的電源環(huán)境，無論從穩(wěn)壓輸出范圍、頻率范圍、輸入雜訊的濾除，乃至市電模式與電池模式零轉換時間等方面考慮，RackUPS是最佳的UPS結構。因此，此系列特別針對關鍵設備，如通訊系統(tǒng)和計算機網(wǎng)絡系統(tǒng)，或是對電力環(huán)境要求苛刻的設備提供更加靈活、可靠的電源保護。選用了8塊Panasonic松下電池，后備供電時間達96分鐘。第二，電腦主機室設計，之前的機房除了加裝空調設備外，沒有作防火、防雷等其他方面的考慮。在本次升級方案中，決定對電腦主機室按照《電子信息系統(tǒng)機房設計規(guī)范》C級要求進行重新裝修和設計，增加防火、防雷系統(tǒng)，并安裝了門禁系統(tǒng)，對出入機房進行嚴格的管理和記錄。第三，結構化布線方面，全部采用結構化布線系統(tǒng)，數(shù)據(jù)線（網(wǎng)線與電話線）和電線分開不同的管道鋪設，網(wǎng)絡節(jié)點全部采用鐵盒安裝在地板上，不使用時可以關上鐵盒，不影響地面使用。網(wǎng)絡結構安全設計網(wǎng)絡拓撲結構設計也直接影響到網(wǎng)絡系統(tǒng)的安全性。例如在內部網(wǎng)和外部互聯(lián)網(wǎng)絡進行通信時，內部網(wǎng)絡的機器安全就會受到威脅，同時也影響在同一網(wǎng)絡上的許多其他系統(tǒng)，因此如何很好的隔離內網(wǎng)與互聯(lián)網(wǎng)是網(wǎng)絡結構安全設計的主要考慮。在前面的邏輯設計中提到，公司內網(wǎng)與互聯(lián)網(wǎng)絡的連接是通過中國電信的DDN4M專線來實現(xiàn)的。如何安全可靠的隔離它們呢，在本次升級方案中，采用了兩種方案。第一，完善原來的Cisco路由器和防火墻組成的第一道隔離帶，加強路由器和防火墻的配置，盡量將不安全的因素阻擊在第一道隔離帶。第二，除了第一種方案的所采用的硬件措施外，考慮引入一種代理軟件部署成代理服務器，在內網(wǎng)與互聯(lián)網(wǎng)絡之間形成堅實的第二道隔離帶。目前，代理服務器能實現(xiàn)的主要功能有：(1)設置用戶驗證和記賬功能，可按用戶進行記賬，沒有登記的用戶無權通過代理服務器訪問Internet網(wǎng)。并對用戶的訪問時間、訪問地點、信息流量進行統(tǒng)計。(2)對用戶進行分級管理，設置不同用戶的訪問權限，對外界或內部的Internet地址進行過濾，設置不同的訪問權限。(3)增加緩沖器(Cache)，提高訪問速度，對經(jīng)常訪問的地址創(chuàng)建緩沖區(qū)，大大提高熱門站點的訪問效率。通常代理服務器都設置一個較大的硬盤緩沖區(qū)(可能高達幾個GB或更大)，當有外界的信息通過時，同時也將其保存到緩沖區(qū)中，當其他用戶再訪問相同的信息時，則直接由緩沖區(qū)中取出信息，傳給用戶，以提高訪問速度。(4)連接內網(wǎng)與Internet，充當防火墻(Firewall)：因為所有內部網(wǎng)的用戶通過代理服務器訪問外界時，只映射為一個IP地址，所以外界不能直接訪問到內部網(wǎng);同時可以設置IP地址過濾，限制內部網(wǎng)對外部的訪問權限。(5)節(jié)省IP開銷：代理服務器允許使用大量的偽IP地址，節(jié)約網(wǎng)上資源，即用代理服務器可以減少對IP地址的需求，對于使用局域網(wǎng)方式接入Internet，如果為局域網(wǎng)(LAN)內的每一個用戶都申請一個IP地址，其費用可想而知。但使用代理服務器后，只需代理服務器上有一個合法的IP地址，LAN內其他用戶可以使用10.*.*.*這樣的私有IP地址，這樣可以節(jié)約大量的IP，降低網(wǎng)絡的維護成本?？梢姴捎么矸掌鞯暮锰幎喽啵谇懊婀拘枨蠓治鲋兴岢黾訌妴T工上網(wǎng)管理功能、很好的隔離內網(wǎng)與外網(wǎng)、發(fā)布公司的郵件服務器以及實現(xiàn)用戶遠程連接公司服務器等需求，均可通過代理服務器實現(xiàn)，因此引入代理服務器是十分必要的。網(wǎng)絡管理安全設計管理是網(wǎng)絡安全中非常重要的部分。對整個網(wǎng)絡和公司用戶來講，就是要建立可操作性的、健全的網(wǎng)絡管理制度。對網(wǎng)絡管理員來說，有一套功能強大的、專業(yè)的網(wǎng)絡管理軟件會對網(wǎng)絡的管理起到事半功倍的作用：當網(wǎng)絡出現(xiàn)攻擊行為或網(wǎng)絡受到其它一些安全威脅時（如內部人員的違規(guī)操作等），能進行實時的檢測、監(jiān)控、報告與預警。同時，當事故發(fā)生后，也能提供黑客攻擊行為的追蹤線索及破案依據(jù)，對網(wǎng)絡能做到可控性與可審查性。因此，對于網(wǎng)絡管理的設計，最可行的做法是建立健全的網(wǎng)絡管理制度和使用專業(yè)的網(wǎng)絡管理軟件相結合，以此保障網(wǎng)絡的安全運行，使公司的局域網(wǎng)成為一個具有良好的安全性、可擴充性和易管理性的信息網(wǎng)絡系統(tǒng)。首先，對于建立網(wǎng)絡管理制度，由于這方面也涉及行政管理方面，因此，它的推行必須得到公司高層管理人員和各部門經(jīng)理的配合和支持。具體的網(wǎng)絡管理制度內容由IT部門組織編寫，經(jīng)公司總經(jīng)理批準后實行?？偟镁帉懺瓌t是：第一，網(wǎng)絡管理不但要做到“攘外”——防止外部黑客以及病毒的侵襲，還要做到“安內”——管理好公司內部人員的越權操作，所謂是“無規(guī)矩不成方圓”，在編寫是要嚴格把握這個建立網(wǎng)絡管理制度的目的。第二，要明確規(guī)定IT經(jīng)理、網(wǎng)絡管理員和電腦操作用戶的職責。第三，要有明確的網(wǎng)絡安全管理制度、網(wǎng)絡帳號管理制度、電腦操作用戶上崗培訓制度和病毒防治管理制度。第四，對于備份后的磁帶最好異地保存在保險柜里，而不是就地放在電腦主機室中。其次，對于選用什么樣的網(wǎng)絡管理軟件，在前面的邏輯設計章節(jié)中有詳細的闡述，總之，通過比較和試用，最終選擇了廣州市溢信科技有限公司的IP-guard網(wǎng)絡管理軟件。IP-guard基本系統(tǒng)由三個模塊組成，客戶端模塊、服務器模塊和控制臺模塊，用戶可根據(jù)管理的需要將它們安裝在網(wǎng)絡中的計算機上?？蛻舳四K用于收集數(shù)據(jù)和執(zhí)行系統(tǒng)管理策略，安裝在每臺需要被管理的計算機上；服務器模塊用于存儲系統(tǒng)數(shù)據(jù)和管理規(guī)則策略，一般安裝在性能較高、存儲容量較大的計算機上；控制臺模塊用于查看系統(tǒng)數(shù)據(jù)、設定管理策略和進行實時維護，一般安裝在公司相關管理人員的計算機上，也可以和服務器模塊安裝在同一臺計算機上。IP-guard基于TCP/IP協(xié)議的網(wǎng)絡架構，可以靈活地從本地網(wǎng)絡擴展到遠程網(wǎng)絡和異地網(wǎng)絡。服務器通過虛擬專用網(wǎng)（VPN）或互聯(lián)網(wǎng)連接遠程的計算機，實現(xiàn)對大規(guī)模復雜網(wǎng)絡的集中管理?？刂婆_也可以通過互聯(lián)網(wǎng)連接異地的服務器，實現(xiàn)對分支機構的遠程監(jiān)控。服務器模塊基本功能：管理所有客戶端計算機，并向其傳遞相關的規(guī)則和指令。收集客戶端采集的數(shù)據(jù)并保存。提供方便靈活的記錄管理、查看、歸檔、搜索等功能?？刂婆_模塊基本功能：查看和審計客戶端的數(shù)據(jù)。數(shù)據(jù)統(tǒng)計，分析和導出。對客戶端計算機實時監(jiān)控和系統(tǒng)維護。設置監(jiān)控規(guī)則和管理策略?？蛻舳四K基本功能：執(zhí)行系統(tǒng)設定的各種管理策略。采集客戶端運行的各項數(shù)據(jù)。定時將采集的數(shù)據(jù)傳送到服務器。根據(jù)控制臺發(fā)出的指令進行監(jiān)控操作[18]。公司局域網(wǎng)的實現(xiàn)設備選型一、核心層交換機核心層配置設備承擔的任務主要是全校園網(wǎng)間信息的交流、分發(fā)與管理，應具備強大的二層和三層交換能力，保證不會發(fā)生信息擁塞，應該具有強大的背板吞吐能力和安全防護能力，保證不會因為單點故障而影響整個系統(tǒng)的正常運行；有效的故障恢復能力，保證任何一種單點故障都能在短時間內迅速予以恢復。因此本方案采用由2臺高性能的具有多層交換能力的思科Catalyst4507R交換機構成核心交換層，采用開放最短路經(jīng)優(yōu)先（OSPF）動態(tài)路由協(xié)議，保證了網(wǎng)絡的健壯性，并配置雙引擎、雙電源實現(xiàn)高可靠性，交換機內存升級到512M實現(xiàn)高速數(shù)據(jù)交換。二、匯聚層交換機匯聚層是接入層和核心層的“中介”，在工作站接入核心層前先做匯聚，以減輕核心層設備的負荷。匯聚層交換機必須能夠處理來自接入層設備的所有通信量，并提供到核心層的上行鏈路，因此與接入層交換機比較，匯聚層交換機需要更高的性能，更少的接口和更高的交換速率，設計時也要充分考慮分布層與核心層有冗余的鏈路?？紤]到實際需求，分布層用1000M光纖、1000M多模光纖鏈路分別連接到核心交換機和接入層交換機上來提高匯聚層到核心層的交換性能和鏈路的健壯性。交換機采用思科3560系列，WS-C3560-48TS-S。三、接入層接入層的主要功能是為最終用戶提供對企業(yè)網(wǎng)絡訪問的途徑，直接與桌面計算機接入。實現(xiàn)VLAN劃分與安全控制。其設備采用背板帶寬為32Gbps的CiscoCatalyst2960系列智能以太網(wǎng)交換機，它是一個全新的、固定配置的獨立設備系列，提供桌面快速以太網(wǎng)和10/100/1000千兆以太網(wǎng)連接，四、核心路由器 路由器為關鍵任務應用提供可伸縮性，它們是獲得網(wǎng)絡層服務好處的關鍵，包括安全、服務質量和流量管理。路由器也集成了路由、交換、安全防火墻等功能于一體，針對于企業(yè)的需求特點，擬采用Cisco7206VXR。Cisco7206VXR高性能多功能路由器是Cisco7206路由器的一個增強版。Cisco7206VXR系統(tǒng)集成了多服務互換(MIX)功能，提供支持未來數(shù)字語音端口適配器的集成化多服務擴展。硬件安裝硬件安裝工作比較順利。布線系統(tǒng)由專業(yè)的網(wǎng)絡集成供應商負責安裝，由于主要的工作在新開僻的行政大樓三樓和電腦主機室進行，不會影響到現(xiàn)有網(wǎng)絡的運行，布線工作在一個星期內就順利完成。接下來就是在電腦主機室安裝服務器、磁帶機、磁盤柜和垃圾郵件防火墻設備，連接好網(wǎng)絡跳線到集線架。最后，利用周末時間，根據(jù)設計要求，把所有的交換機進行了調配和安裝。整個硬件安裝工作基本在半個月內完成了。軟件系統(tǒng)安裝和配置第一：VMware虛擬服務器軟件安裝和配置在邏輯設計中，選擇了VMwareInfrastructure套件作為服務器虛擬化平臺，VMwareESXServer安裝在新采購的兩臺IBMx3650服務器上，在這兩臺服務器上不需要安裝任何操作系統(tǒng)，VMwareESXServer安裝光盤具有引導功能。VIClient安裝在網(wǎng)絡管理員的PC上。新采購的另一臺IBMx3250M2服務器作為虛擬中心控制服務器，先安裝好windowsserver2003操作系統(tǒng)，再在上面安裝VirtualCenterServer和ConsolidatedBackup。這樣整個VMwareInfrastructure軟件就算安裝完成了，現(xiàn)在就可以通過VirtualCenterServer來建立和管理虛擬服務器了[25]。保證服務器的可用性和可靠性是本次網(wǎng)絡升級項目中的重點，這里詳細說明如何配置虛擬服務器的群集功能。第一步：啟動新建群集向導，健入群集名稱，選中HA（當源主機發(fā)生故障時，將在另一個主機上重新開始運行虛擬機）或DRS（自動放置和遷移虛擬主機），或都選。如圖所示。圖表SEQ圖表\*ARABIC5新建群集向導圖第二步：選擇自動化級別。第三步：選擇HA選項，主機故障：指定要保證故障切換的主機故障數(shù)，重新啟動優(yōu)先級：確定在主機發(fā)生故障時重新啟動虛擬機的順序，隔離響應：確定當HA群中的某個主機失去其控制臺網(wǎng)絡連接仍在運行時發(fā)生的情況，接入控制：決定虛擬機違反可用性限制時是否啟動虛擬機。第四步，選擇虛擬機交換文件位置。第五步：完成虛擬機的創(chuàng)建并查看群集的摘要信息。第二：服務器操作系統(tǒng)安裝通過VirtualCenterServer管理控制臺，在安裝了ESXServer的IBMx3650服務器上建立了一臺虛擬服務器，安裝好WindowsServer2003操作系統(tǒng)和SP2補丁。然后將它保存為模版，再以這個模版為向導，創(chuàng)建其他虛擬服務器，將分別用作數(shù)據(jù)庫服務器、域控制器、打印和文件服務器、郵件服務器、ISA服務器等[26]。第三：網(wǎng)絡版殺毒軟件安裝趨勢科技防毒墻網(wǎng)絡版8.0的安裝方法非常簡單，先在服務器（安裝在虛擬中心軟件所在服務器上）上