办公楼网络规划方案.doc
计科系办公楼网络系统集成
系别:计科系
班级:08级1班
组员:20081041005刘认
20081041024刘勤
二零一一年六月
目录
1网络集成系统需求分析.............................................................................. 错误!未指定书签。
1.1.网络现状............................................................................................. 错误!未指定书签。
1.2需求分析............................................................................................. 错误!未指定书签。
1.3.应用需求............................................................................................. 错误!未指定书签。
1.4用户性能分析.................................................................................... 错误!未指定书签。
1.4.1.楼层结构分析:........................................................................ 错误!未指定书签。
1.4.
2.楼层使用分析............................................................................ 错误!未指定书签。
1.4.3.环境分析.................................................................................... 错误!未指定书签。
1.4.4.网络分析.................................................................................... 错误!未指定书签。
1.4.5.接点分析.................................................................................... 错误!未指定书签。
1.5网络管理需求..................................................................................... 错误!未指定书签。
2.网络系统设计 ............................................................................................. 错误!未指定书签。
2.1网络设计原则..................................................................................... 错误!未指定书签。
2.2网络拓扑图及相关命令..................................................................... 错误!未指定书签。
2.3 地址规划和设计............................................................................... 错误!未指定书签。
2.3.1 规划........................................................................................... 错误!未指定书签。
2.3.2 设计........................................................................................... 错误!未指定书签。
2.4.办公楼网络专项设计......................................................................... 错误!未指定书签。
2.4.1网络管理.................................................................................... 错误!未指定书签。
2.4.2网络安全性................................................................................ 错误!未指定书签。
2.4.3网络扩展性设计........................................................................ 错误!未指定书签。
2.5网络操作系统选择............................................................................. 错误!未指定书签。
2.6应用系统选型..................................................................................... 错误!未指定书签。
3.网络系统集成使用的主要设备.................................................................. 错误!未指定书签。
1网络集成系统需求分析
1.1.网络现状
我院许多实验室和党政领导部门都使用着计算机进行大量计算、统计、分析、管理和文字处理等工作。为了适应教学、科研和管理工作的需要,加强我院内各部门之间的信息交流和共享,提高工作效率和水平,有必要为学院建立一个更加广泛、实用、安全的网络环境。
1.2需求分析
1.了解用户的基本情况
计算机科学学院办公大楼目前有办公室6间、实验室1-间、计算机中心室1间、资料室2间、会议室1间。
我院网络主要应用于学校内部教职工的教学和学生生活管理,多数区域能够接入;学校有关教职工教学及学生生活的区域都已连成局域网
同时我院开启的网络教学平台,进行网上教学(交流)、生活管理等服务等。
2.确定用户需求
我院网络建设的主要目的是:
能充分利用网络资源,提高学生的自学能力;同时开启网络教学平台,方便学生下载资源及解决疑难,从而提高了教学质量。
能够覆盖我院的各个教学、科研、生活和管理区域,在各方面提供高效的网络服务。
具有较高的安全性。
1.3.应用需求
1)网络功能相对齐全。
2)各子网相对独立齐全
3)各子网相对独立。
4)网络覆盖范围大。
5)支持接入。
1.4用户性能分析
1.4.1.楼层结构分析:
计科系大楼共分四层。其中各层中教室或办公室数量如下表所示。计算机科学学院系办楼总共有4层,第一层由办公室和会议室组成,有50左右用户,第2-4层均由机房和办公室组成,每层楼有两到三个机房,机房总共有电脑100台左右。办公室总有电脑50台左右。所以这三层分别有150个左右用户。
1.4.
2.楼层使用分析
办公室:处理各种教学及一些其他事物,主要由教师及计科系主任使用,所需网络带宽较少小型实验室:主要由上课试验操作需要,几乎不涉及上网查找资料等需要网络资源任务,故只需考虑教师临时需要,对网络带宽需求极少
机房:主要由计科系上机实验时使用,课程中可能涉及到各种软件及系统配置的需要偶尔需要用到网络资源,对网络带宽有一定的需求
1.4.3.环境分析
通过对该栋大楼的网络环境的分析,该栋大楼的网络节点需要分配到各个需要用到网络资源的教室或办公室之中,其用户数目、分布和使用情况如表所示
名称节点数用户数目备注
一楼
计科系系办公室 2 少量处理各种院系事务,所需网络资源不大书记办公室 1 1 计科系书记办公室
资料室0 极少存放各种书籍资料,无需网络
学生会办公室0 极少主要处理系上事务,但无需网络会议室 1 极少主要用于系上各种会议只用,几乎不使用网络院长办公室 1 1 计科系院长办公室
档案室 1 极少用于存放系上学生档案资料
二楼
教学办公室 2 2 处理系上公务
副院长办公室 2 少量计科系副院长办公室
网络和计算机中
未知…
心室
网络教研室
数电模电实验室
工程网络室
三楼
未划分教室
单片机接口原理
实验室
计算机组装原理
实验室
软件硬件教研室
组装与维护实验
室
四楼
未划分教室
实验室
破换性实验室
综合布线
网络应用
通信原理实验室
总计
1.4.4.网络分析
考虑到教师和学生对网络的需求,所以我院带宽接入我考虑使用100M带宽。本校园网主要采用快速以太交换网作为主干网的组网技术,快速以太交换网是性能较高的组网方式。它具有以下优点:技术成熟稳定;对传统的局域网及其应用有很好的支持。
由于各个机房配有大量电脑,故对需求量比较大,可考虑使用地址转换,每个机房均设置一台路由器及交换机若干。整栋大楼可使用一个C类地址即可(地址具体划分可考虑使用协议或使用固定)
1.4.5.接点分析
办公室:可根据具体办公的人数和需要对各个办公室的接点数进行具体设置,只需在每个办公室做好冗余接口即可。
机房:由于只有路由器使用,故只需2个接口即可
实验室:平时使用频率不高的教室课考虑只分配1个接口
整栋楼课先选择一个房间作为每层楼各个接点的汇聚点,然后再在一楼汇总后,每层楼大约有8~12个网络接口。
1.5网络管理需求
1)虚拟网的划分:在内部主干网上要求作到能够划分跨越物理子网的虚拟网,以便使各种网段(尤其是办公网)的划分不受地理区域的限制,并有效地限制网间广播,控制网间访问;
2)虚拟网管理:对虚拟网的配置可以进行集中的控制管理,以便随时进行扩充、迁移等调整;
3)设备及端口管理:对主干网上所有网络设备及连接局域网的所有端口可以进行集中的控制管理;
4)网络检测:对主干网的运行状态和故障进行集中检测、报警、统计。
2.网络系统设计
2.1网络设计原则
1.以满足校园内目前主要的网络应用项目为基本设计目标,为未来可能的应用项目保留充分的扩充余地;
2.采用目前通用的技术路线,但要充分考虑能够适应未来可能的技术发展;
3.布线工程一次性连通学校内所有主要建筑物,根据应用项目的实际需要分期分批配置网络设备;
4.充分注意保证网络的安全性,可靠性和可维护性。
2.2网络拓扑图及相关命令
Fa0/0: 192.168.1.1/24Fa0/0.10:192.168.2.1/24Fa0/0.20:192.168.3.1/24Fa0/0.30:192.168.4.1/24
四楼
三楼
二楼
一楼
1000
1000
1000
1-VLAN1
1-VLAN30
1楼主交换机 S12楼主交换机 S2
3楼主交换机 S3
4楼主交换机 S4
2-VLAN1
2-VLAN30
2-VLAN20
2-VLAN10
3-VLAN1
3-VLAN20
3-VLAN30
3-VLAN10
4-VLAN20
4-VLAN30
4-VLAN1
接入Internet
配置命令:
t () 0/0
() 192.168.1.1 255.255.255.0 ()
() 0/0.10 () 1Q 10
() 192.168.2.1 255.255.255.0 () 0/0.20 () 1Q 20
() 192.168.3.1 255.255.255.0 () 0/0.30 () 1Q 30
() 192.168.4.1 255.255.255.0 ()
2.3 地址规划和设计
2.3.1 规划
简单性:地址的分配应该简单,避免在主干上采用复杂的掩码方式;
连续性:为同一个网络区域分配连续的网络地址,便于采用路由收敛()及( )技术缩减路由表的表项,提高路由器的处理效率;
可扩充性:为一个网络区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍然能够保持地址的连续性,网络系统的编址方案利用和可变长子网掩码技术,并支持6,为了满足不断增长的地址需求,并实现与其他网络互联和内部子网互联的有效控制和管理,建议企业网采用内部保留地址,给将来的网络发展留下充分的余地;
灵活性:地址分配不应该基于某个网络路由策略的优化方案,应该便于多数路由策略在该地址分配方案上实现优化;
唯一性:在整个网络环境中必须保持地址的唯一性;
可管理性:地址的分配应该有层次,某个局部的变动不要影响上层、全局。
安全性:网络内应按工作内容划分成不同网段即子网以便进行管理。
2.3.2 设计
在此我们主要采用的是技术:
是交换环境中为了克服网络物理分段的限制而建立的逻辑网络段。在物理网络的基础上,能根据需要灵活的划出许多逻辑网络,从而摆脱了建筑物、楼层、地址空间等物理地域限制,以及因为位于布线柜或路由器地理位置的固定而造成的对用户组的限制,能根据用户实际需要灵活地建立逻辑的专用网络,使网络更安全,更便于管理,更畅通和带宽更有保证。
技术为网络设计带来了实质性变化:
1)碰撞域缩小,广播隔离;
2)交换端口智能化;
3)物理边界不复存在;
4)用户按逻辑关系分组;
5)更有力地控制带宽,有在链路拥护时配置和重新分配流量;
6)简化了用户移动时配置和重新布线的过程;
7)集中式管理,提供关于流量和广播状态的详细报告以及组大小和组成的统
计数据;
8)用于跨通讯的路由功能等。
的主要技术特点包括:
1.有基于网络协议类型、网络交换机端口、网络链路层地址和网络层地址定义等多种形式:
1)基于网络协议的
基于网络协议的主要有跨越快速以太网主干的、跨越的802.10和跨越的。这些协议可在那些与快速以太网、、主干网相连接的交换机、路由器和服务器之间传送配置后的信息。
2)基于网络交换机端口的
基于交换机端口的是大多数网络交换机厂家都能提供性能。依据端口草分网络成员关系,扩大了交换机的传输性能,便于通过进行管理和网络控制,能确保数据包不会漏入其它区域增强了之间的安全性。
3)基于网络链路层地址的
基于链路层(第二层)地址的,是依据地址划分网络中的成员关系,能把划分的更细、更灵活,但是增加一些开销。它是在第2层上的分段采用了一种包标识处理(包标志)。数据包在经过整个交换网络时都携带这一标识。从而使得唯一标识的数据包从每一个交换端口到组的处理具有极小的时延。这种方法不需要对终端站应用进行任何修改。可以直接进行配置和管理,并可对现有的介质类型和千兆骨干网进行扩展。当交换机接收到来自任何相连终端站设备的数据包后,在每个包头部都会加上一个唯一的包标识符。该头部信息指定了每个包的属性(即属于哪一个)。然后,根据标识符与地址,将数据包传递给相应交换机和路由器,在到达最终日的站点时,数据包在相邻的交换机中去除头部信息,并以原来的形式传递至相连的设备。这种方法为在不干扰网络和应用的情况下控制广播和应用的信息流动提供了一种强有力的机制。目前,绝大多数网络设备厂商还不能提供基于网络层地址定义的。
4)基于网络层地址定义的
1.基于网络层的通过基于协议类型和网络地址的分段,可在网络层(第3层)上得到进一步定义。这种类型的分段需要子网地址与组映射。交换机将终端站的地址和基于子网地址的对应连接起来,同时选定在同一中的其它站的相应网络端口。这种方法的优点在于网络管理员可根据每个包中的网络层信息对网络进行分段。这
种也是大多数厂商不能支持的。
2.之间的通信
之间的通信需要第3层的路由选择。如果没有这个功能,将完全是相互独立的。
在今天的几乎所有网络中,无论所处地点或逻辑网段如何,访问网络所有部分的能
力是至关重要的。这就要求在一个交换机或路由器中跨主干网进行第3层。这样,
在设计配置和管理时,第3层路由选择就成为一个必不可少的组成部分。
3.的负载分布功能
的负载分布功能对局域网来说是十分重要的。能够在两个流量密集的交换机间分布流量负载,同时又能保持这些链路完全冗余性,这对于需要在两个或一系列互
连的交换机间进行大带宽通信的网管员来说是一个非常有效的机制。将用户和流量
分布在不同的中,网管员可以在交换机间添加冗余链路,并利用这些链路来分布流
量。在没布组的情况下,两交换机间的冗余链路(重复路径)并不能被交换机充分
利用,这是因为生成树技术仅允许一条链路传输数据流,而禁止其它链路传输以防
止形成桥接环路。通过把一组分配给一个链路作为主要路径,并把另一个组分配到
冗余链路,仍然作为主要路径,就可以在冗余链路上分布流量。如果使用两条链路
则可以将带宽加倍。而且,可添加的链路数量是不受限制的。通过为每个都提供一
个生成树,可以保持用于负载分配的重复链路冗余功能持续有效工作。当主链路发
生故障时,配置在这个链路的可通过冗余链路重新连接。在主要链路运行中断期间,
冗余链路将担负全部流量(如果仅有两条冗余链路的话),当主链路恢复以后,生成
树会重新将流量引向这一链路。
4.划分
由需要分析极楼层的电脑分布情况,可将网络分为四个,其中,办公室所有电脑共处一个,方便各办公室之间的通信,以及共享打印机等。各实验室各处一个,各实验室之间的数据不相互传播。
5.的地址段分配情况
10共有200个用户,20-40各有100个用户。现使用私有地址192.168.0.0/24划分。同时考虑各网络的扩张性,可得出的分配情况如下:
10:192.168.1.0/24
可用地址:192.168.1.1-192.168.1.254
20:192.168.2.0/25
可用地址:192.168.2.1-192.168.2.127
30:192.168.3.0/25
可用地址:192.168.3.1-192.168.3.127
40:192.168.4.0/25
可用地址:192.168.4.1-192.168.4.127
和地址规划如下表
号地址
10 192.168.1.1 20 192.168.2.1 30 192.168.3.1 1 192.168.4.1
2.4.办公楼网络专项设计
2.4.1网络管理
网络管理是一个复杂网络必须考虑的关键技术问题,这里的网络管理主要指网络设备及其系统的管理,包括网络配置管理,网络性能管理,网络安全管理和网络故障管理。网络管理设计需要在配置每个网络设备时,都选择具有网络管理代理的,驻留有网络管理协议的设备,网络管理设计的另一方面,是配置一个网络管理中心,它一般是一台微机,配置网络管理平台,在平台上运行管理每个网络设备的应用软件。
2.4.2网络安全性
计算机网络的安全可以理解为计算机安全在网络环境下的扩展,以保证业主基于网络的应用安全、可靠。本方案中主要从如下几方面来实现计算机网络的安全问题:
1)内部安全控制
内部访问采取如下步骤以确保安全:
a)身份认证,以识别区分合法用户和非法用户,从而阻止非法用户访问系统;
b)权限控制,通过系统对用户的授权,决定哪些用户有资格访问哪些资源;
c)审计跟踪,它将记录哪个用户在何时访问了哪些资源,用于收费记帐和非法事件发生时
能够有效地追踪;
d)对一些机密文件采用加密数据存放,用户一切合法后方可查阅。
2)主干网关于安全性方面的设计仅仅提供安全控制的方法,具体的安全控制方案需求根据应用需求而定。网络安全性的保证可通过网之间的访问控制功能,限定各个部门之间非授权的网络访问。
2.4.3网络扩展性设计
根据业主的信息点需求情况,在网络的整体设计中充分考虑到网络的扩展性,主要从如下两个层次考虑:
1)整个网络结构的扩展性。整个网络主干采用星型拓扑结构,可以很容易地扩展主
干节点。二级以下的节点也采用星型拓扑结构,可以很灵活地接入微机和工作站。
2)网络设备的扩展性。首先在网络主干允许的情况下,可以增加楼层集线器来扩展网络信息点。然后,可以增加二级节点交换机以增加交换的端口。
2.5网络操作系统选择
办公楼选择公司的系统,起特点是:
硬件的独立性较强,网络操作系统能在不同的硬件平台运行,具有强大的管理特性,如系统备份,错误性能控制,支持多种网络协议,级安全性,具有目录服务功能,良好的用户界面,支持多窗口。
2.6应用系统选型
2.6.1.文件服管理系统
这是最基本的应用服务,服务器相当于一个信息系统的大仓库,保证用户和服务器磁盘子系统之间快速传递数据。在服务器的各个子系统中,对系统性能影响最大的首先是网络子系统,其次是磁盘子系统,再次是内存容量。
2.6.2.数据库服务
对系统各方面(除网络子系统外)性能要求最高的应用,如财务、库存和人事管理应用等。需要高性能和快速的磁盘子系统来满足大量的随机请求及数据传送。服务器瓶颈依次为:内存、磁盘子系统和。
2.6.
3.防火墙系统
防火墙作为内部网络与外部网络之间的第一道安全屏障,是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛,是最先受到人们重视的网络安全技术,是实施安全防范的系统,可被认为是一种访问控制机制,用于确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。
对于小型企业的办公楼网络设计建议是用代理防火墙:代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务(如多媒体)。现要较为流行的代理服务器软件是和。防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
1)总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本()不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过
10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
2)防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
2.6.4.邮件服务
扮演电子邮件路由器和仓库的角色。服务器瓶颈依次为:网络子系统、内存、磁盘子系统和。
2.6.5.杀毒软件的选择
个人推荐是使用杀毒王网络版(江民新科技术有限公司)
杀毒王网络版
江民新科技术有限公司(简称江民科技)成立于1996年,是中国主要的杀毒软件生产厂商之一。本次参加测试的杀毒王网络版是江民科技最近新推出的网络杀毒软件,该软件包括控制中心、控制台、杀毒客户端等几个部分:
(1)控制中心:智能识别系统环境,对域用户,自动安装网络版客户端。自动升级系统定时检查新版本,升级包自动分发局域网内的各服务器与客户端,全网版本同步更新。自动报警客户端发现病毒后,自动上报至中央控制中心,第一时间掌握网内安全状况。(2)控制台:是杀毒王网络版集中控制的核心,对整个系统的操作都可以从这里发出,一般控制台会随服务器安装而安装,不过你也可以在定制安装里面进行选择来安装,控制台不是一定要安装在网络版服务器上,你可以选择任意安装一台机器进行安装,这样,可以方便网络管理员从不同的地方来操作管理整个网络的病毒防御系统。
(3)杀毒客户端:是杀毒王网络版的杀毒先锋,直接安装于服务器和各种客户端上,秉承了江民科技以前单机杀毒软件的有点,可以高效的查杀计算机病毒。
安装使用简单方便