【文章內(nèi)容簡介】 司規(guī)模的擴大 2）分公司的建立 3）出口帶寬的增加 4）信息點的增加（已預留了 53 個信息點） 局域網(wǎng)設(shè)計方案 — 1 12 第 3 章 網(wǎng)絡(luò)結(jié)構(gòu)改進方案 邏輯網(wǎng)絡(luò)設(shè)計 根據(jù)對該公司的實際需求分析及對網(wǎng)絡(luò)系統(tǒng)集成專業(yè)知識的調(diào)研后，為 其設(shè)計的網(wǎng)絡(luò)方案拓撲圖如 圖 31： 圖 31 公司網(wǎng)絡(luò)設(shè)計拓撲 注： 該方案的設(shè)計思路是層次化，模塊化，安全性和冗余。 層次化：在拓撲可以看出，該方案設(shè)計模型分為 3個層次（核心層，匯聚層和接入層），每一層都有特定的功能 。 核心層 ： 由兩臺核心交換機及中心機房組成，并考慮冗余設(shè)計 。 匯聚層 ： 由三臺 3層交換機組成，分別放置在 3幢大樓中，負責匯聚 3幢樓中所有的接入層交換機 。 局域網(wǎng)設(shè)計方案 — 1 13 接入層 ： 由連接用戶的 2層交換機或者無線接入點（ AP）組成，在該拓撲中，設(shè)計為連接到公司的不同部門 。 冗余：為保證網(wǎng)絡(luò)的可用性，要有適當 的冗余。在公司關(guān)鍵的網(wǎng)絡(luò)節(jié)點設(shè)計了冗余，如核心層的交換機和服務(wù)器。同時，在路由器連接到外網(wǎng)的鏈路上，也設(shè)計了冗余，包含兩條鏈路（ ISDN 和光纖） 。 模塊化：根據(jù)該拓撲的 3個層次，每個層中都有不同的模塊，如核心層中的服務(wù)器群模塊 。 安全性：中心機房內(nèi)配有 AntiVirus 服務(wù)器端 +ISA2020，起到內(nèi)網(wǎng)防火墻作用；公司內(nèi)網(wǎng)連接外網(wǎng)的出口處，設(shè)置防火墻，保障公司全網(wǎng)安全。兩道防火墻（“硬件外部防火墻”和“軟件內(nèi)部防火墻”之間的建立區(qū)域，以更好的保護內(nèi)部網(wǎng)絡(luò)的資源免于受到外部網(wǎng)絡(luò)攻擊） 。 三層結(jié)構(gòu)分 析 核心層的任務(wù)是高速傳輸、冗余能力及可靠性。核心層一般都是由高端的路由器或第三層交換機實現(xiàn)。 本方案中核心層選用了兩臺 CISCO 的核心路由交換機 WSC4948S，兩者通過光纖聚合鏈路，并放在將中心 機房 內(nèi)，位于 2號樓 1樓。中心機房中還包括 1 臺路由器， 1 臺防火墻， 2臺核心交換機， 1臺匯聚層交換機 4臺接入層交換機， 5臺應(yīng)用服務(wù)器及 2 臺部門應(yīng)用服務(wù)器（人事部，財務(wù)部），這些設(shè)備分別放置在三個機柜中。 中心機房的 5臺服務(wù)器分別與兩臺核心路由交換機通過多模光纖連接；匯聚層交換機也通過單模光纖連接到兩臺核心路由交換 機；防火墻通過單模光纖分別連接到兩臺核心路由交換機。真正實現(xiàn)了鏈路 冗余 和核心設(shè)備的冗余，從而保證了公司網(wǎng)絡(luò)的健壯性和自愈性。 匯聚層是網(wǎng)絡(luò)核心層與接入層之間的分界點，主要任務(wù)是提供與流量控制，安全及路由相關(guān)的策略。從物理上看，匯聚層交換機屬于樓層交換機，或者說是樓層的核心交換機。從邏輯上看，它可以是應(yīng)用系統(tǒng)的匯聚，匯聚層可以通過兩條上行線路連接到核心層，以保證線路的冗余。 在該方案中， 匯聚 層采用 3臺三層交換機，型號為 CISCO 的 WSC3750G12SE，局域網(wǎng)設(shè)計方案 — 1 14 分別位于 3 幢樓的 1層樓中。 接入層為用戶提供在本 地網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)絡(luò)的能力，它是最終用戶的網(wǎng)絡(luò)接入點。接入層通過接入交換機的上行端口連接到匯聚層，一般通過 2 層交換機實現(xiàn)。 在該方案中，公司各個部門的網(wǎng)絡(luò)屬于接入層，共選用了 10 臺接入層交換機，型號為 CISCO WSC296048TCL。 在財務(wù)部，配一臺小型文件服務(wù)器，獨立管理財務(wù)數(shù)據(jù)和資料。人事部中，配 EHR（電子化 人力資源 管理系統(tǒng)）服務(wù)器，統(tǒng)一管理人事部門的數(shù)據(jù)。該層中的 2 層交換機與 PC 間的連接采用百兆雙絞線。 接入層的生產(chǎn)車間由于特殊的工作要求，需要配備無線網(wǎng)絡(luò)。因此，在接入層交換機下連接幾個 AP（ 無線接入 點） Cisco Airo 1200，覆蓋整個生產(chǎn)車間。 外連接入層作為公司內(nèi)網(wǎng)和外網(wǎng)的連接點，選用 Cisco 的防火墻 CISCO PIX252RBUN， 路由器選用 Cisco 2821，通過兩條線路（光纖和 ISDN）連接到INTERNET，其中 ISDN 僅用做備份 鏈路 。 Cisco 2821 支持 VPN 功能，奉賢分部對嘉定總公司的訪問通過 VPN 來實現(xiàn)。 無線網(wǎng)絡(luò)覆蓋 連接方式 本次部署無線網(wǎng)絡(luò)全部在室內(nèi)進行，在已有局域網(wǎng)的基礎(chǔ)上再安裝無線局域網(wǎng)，在本方案中，將部門所需的 AP 點直接連在對應(yīng)的接入層交換機上。 信息點分布 依據(jù)公司對無線網(wǎng)絡(luò)的需求，為公司會議室配置 2個無線接入點，制造部配置 9個無線接入點，物流部和質(zhì)量部各配 1個無線接入點，共計 13 個 AP 點。其中，2個點位于 1號樓 1樓，其余的點都位于 3號樓 1樓。將這些接入點連接到大樓管理配線間接入層的交換機上，使之接入公司網(wǎng)絡(luò)，并劃分在同一個 VLAN 內(nèi)。 網(wǎng)絡(luò)拓撲 為該公司設(shè)計的無線網(wǎng)絡(luò)拓撲如 圖 32： 局域網(wǎng)設(shè)計方案 — 1 15 圖 32 公司無線網(wǎng)絡(luò)拓撲 設(shè)備選型 在設(shè)備方面采用 Cisco 的 Airo 1200 系列。 Cisco Airo 1200 系列的模塊化設(shè)計可以在 和 5GHz 這兩個無須申請許可的頻段使用單頻和雙頻操作，并可以進行現(xiàn)場升級，以便在用戶需求發(fā)生變化或者行業(yè)進一步發(fā)展時更改這些配置。目前， Cisco Airo 1200 系列的標準版本可以通過一個 無線收發(fā)模塊支持 WiFi 客戶端。 Cisco Airo 1200 系列 AP還為一個 無線收發(fā)模塊準備了一個專門的插槽。客戶可以作為出廠安裝選件購買這兩種無線收發(fā)模塊，也可以單獨購買這些模塊進行現(xiàn)場安 裝。這些無線收發(fā)模塊還可以通過升級為將來的技術(shù)提供支持，例如 。 覆蓋范圍及信號強弱 以制造部的 AP 點為例，其分布方式如 圖 33： 局域網(wǎng)設(shè)計方案 — 1 16 圖 33 無線信號覆蓋范圍 AP的部署采用如上圖方式，將 AP 放置于房間的墻面周圍，保證整個房間的區(qū)域都能接收到無線信號。 AP 點中心信號最強，邊緣處較弱。 局域網(wǎng)設(shè)計方案 — 1 17 第 4 章 廣域網(wǎng)接入方案 接入技術(shù) 鑒于公司中型企業(yè)的網(wǎng)絡(luò)規(guī)模，終端設(shè)備很多，為了保證每臺終端使用到一定的帶寬，所以廣域網(wǎng)接 入采用光纖接入的方式。 外連接入層作為公司內(nèi)網(wǎng)和外網(wǎng)的連接點，選用 Cisco 的防火墻 CISCO PIX252RBUN， 路由器選用 Cisco 2821，通過兩條線路（ 2M 光纖和 ISDN）連接到 INTERNET，其中 ISDN 僅用做備份 鏈路 。 Cisco 2821 支持 VPN 功能，奉賢分部對嘉定總公司的訪問通過 VPN 來實現(xiàn)。 圖 41 廣域網(wǎng)接入方案 光纖直接接入方式 ， 是為有獨享光纖高速上網(wǎng)需求的大企事業(yè)單位或集團用戶提供的，傳輸帶寬 2M155M 不等。 業(yè)務(wù)特點：可根據(jù)用戶群體對不同速率的需求，實現(xiàn)高速 上網(wǎng)或企業(yè)局域網(wǎng)間的高速互聯(lián)。同時由于光纖接入方式的上傳和下傳都有很高的帶寬，尤其適合開展遠程教學、遠程醫(yī)療、視頻會議等對外信息發(fā)布量較大的網(wǎng)上應(yīng)用。 適合的用戶群體：居住在已經(jīng)或便于進行綜合布線的住宅、小區(qū)和寫字樓的較集中的用戶；有獨享光纖需求的大企事業(yè)單位或集團用戶。 ISDN（ Integrated Service Digital Network），即綜合業(yè)務(wù)數(shù)字網(wǎng)。它利用公眾電話網(wǎng)向用戶提供了端對端的數(shù)字信道連接，用來承載包括話音和非話音在內(nèi)的各種電信業(yè)務(wù)。 ISDN 是基于公共電話網(wǎng)的全數(shù)字網(wǎng)絡(luò)，利用 普通的電話線，可開展各種業(yè)務(wù)，例如大電話、發(fā)傳真、上網(wǎng)、局域網(wǎng)互聯(lián)、開會議電視、專線備份等。 雖然 ISDN 的速度不快，但價格便宜，作為公司外網(wǎng)連接路由器的備份鏈路，比較合適。 局域網(wǎng)設(shè)計方案 — 1 18 ISP供應(yīng)商 選擇上海電信作為 ISP 供應(yīng)商，具體資費如 圖 42： 圖 42 上海電信寬帶資費 根據(jù)該公司對帶寬的實際需求，決定選用 2M 光纖接入。 局域網(wǎng)設(shè)計方案 — 1 19 第 5 章 VLAN 設(shè)計與 IP 地址規(guī)劃 劃分 VLAN的重要性 在現(xiàn)有的網(wǎng)絡(luò)中，所有部門在網(wǎng)絡(luò)上都是相通的。同時，缺乏管理的公司網(wǎng)絡(luò)，很容易造成廣播風暴。處在同一臺接入層 交換機下的計算機，由于沒有劃分 VLAN，都處在一個廣播域下，所有信息全部暴露在所有終端端口，容易造成數(shù)據(jù)被攔截，監(jiān)聽，截取。所以在改造方案中，必須為公司內(nèi)部劃分 VLAN，更好的管理公司網(wǎng)絡(luò)。 VLAN 的劃分有很多種，常用的劃分方法是將端口和 IP 地址結(jié)合來劃分 VLAN，某幾個端口為一個 VLAN，并為該 VLAN 配置 IP地址，那么該 VLAN 中的計算機就以這個地址為網(wǎng)關(guān)，其它 VLAN 則不能與該 VLAN 處于同一子網(wǎng)。 在該方案設(shè)計中，采用的就是這種方法。 劃分方案 該 公 司從 ISP 供應(yīng) 商那 里申 請到 兩個 IP 地址 ， ，即 。內(nèi)網(wǎng)子網(wǎng)劃分用保留的C類私有 IP 地址， ，結(jié)果如表 51 所示： 表 51 VLAN 劃分 與 IP 地址規(guī)劃 表 VLAN 部門 辦公室 使用點數(shù) 合計 IP 子網(wǎng) 網(wǎng)關(guān) VLAN20 管理 VLAN(管理所有設(shè)備 ) 20 20 VLAN30 中心機房（服務(wù)器群） 10 10 VLAN2 會議室 1101 12 48 1204 5 1205 5 3203 8 2102 2 2103 2 2203 5 2204 5 2212 4 局域網(wǎng)設(shè)計方案 — 1 20 VLAN3 IT部 2201 8 8 總經(jīng)辦 2206 2 8 2207 2 2208 2 2209 2 VLAN4 測試部 1102 5 52 1103 5 1104 15 1201 20 3103 7 VLAN5 工程部 2211 40 48 2212 8 VLAN6 物流部 3201 30 33 倉庫 3 VLAN7 銷售部 2202 12 12 VLAN8 財務(wù)部 2203 16 16 VLAN9 采購部 2101 25 25 VLAN10 人事部 2104 18 18 VLAN11 質(zhì)量部 1202 20 78 1203 20 3102 5 3202 30 倉庫 3 VLAN12 制造部 3101 5 54 3104 15 3105 15 3106 9 3204 10 總計 430 說明：由于選用的是思科設(shè)備，所以 第一個端口寫法為 f0/0（和 RUIJIE 設(shè)備的第一個端口為 f0/1 寫法不同）。由于設(shè)備型號全名過長，在配置時統(tǒng)一將設(shè)備名寫為“ SWMN”的形式， SW 代表交換機， M代表工作在第幾層， N代表第幾臺設(shè)備。如 SW11 表示核心層的第 1 臺交換機。對應(yīng)表見表 52： 表 52 設(shè)備命名對應(yīng)表 設(shè)備類型 設(shè)備型號 設(shè)備命名 路由器 C2821 R1 防火墻 PIX525RBUN Fw1 局域網(wǎng)設(shè)計方案 — 1 21 核心層交換機 C49481 SW11 C49482 SW12 匯聚層交換機 C37501 SW21 C37502 SW22 C37503 SW23 接入層交換機 C29601 SW31 C29602 SW32 C29603 SW33 C29604 SW34 C29605 SW35 C29606 SW36 C29607 SW37 C29608 SW38 C29609 SW39 C296010 SW310 具體 VLAN 劃分如圖 51所示： 圖 51 VLAN 劃分圖 局域網(wǎng)設(shè)計方案 — 1 22 其中，各部門 的 PC 在各幢樓中的具體分布如表 53， 54， 55 所示： 表 53 1 號樓信息點與部門分布 樓名 部門 PC 數(shù) 1 號樓 質(zhì)量部 40 測試部 45 會議室 22 表 54 2 號樓信息點與部門分布 樓名 部門 PC 數(shù) 2 號樓 IT 部 +總經(jīng)辦 16 采購部 25 銷售部 12 財務(wù)部 16 人事部 18 工程部 48 會議室 18 表 55 3 號樓信息點與部門分布 樓名 部門 PC 數(shù) 3 號樓 物流部 33 制造部 54 測試部 7 質(zhì)量部 38 會議室 8 各設(shè)備端口連線表如 圖 52至 516所示 ： 圖 52 SW11 連線圖 局域網(wǎng)設(shè)計方案 — 1 23 圖 53 SW12 連線圖 圖 54 SW21 連線圖