【文章內容簡介】 。 軟硬件功能分析 路由器 一個作用是連通不同的網(wǎng)絡，另一個作用是選擇信息傳送的線路。選擇通暢快捷的近路，能大大提高通信速度，減輕網(wǎng)絡系統(tǒng)通信負荷，節(jié)約網(wǎng)絡系統(tǒng)資源，提高網(wǎng)絡系統(tǒng)暢通率，從而讓網(wǎng)絡系統(tǒng)發(fā)揮出更大的效益來。就企業(yè)局域網(wǎng)網(wǎng)絡而言，由于大量的數(shù)據(jù)都發(fā)生在局域網(wǎng)內部，對路由器的性能要求不高，因此，可以選用中低端路由器。低端路由器主要適用中小辦公網(wǎng)絡的應用，考慮的一個主要因素是端口數(shù)量，另外還要看包交換能力和 NAT 轉換能力。中端路由器適用大 中型辦公網(wǎng)絡，選用的原則也是考慮端口支持能力、包交換能力和 NAT 轉換能力。在這里值得進一步說明的是，如果讓內部計算機直接通過路由器訪問外部網(wǎng)絡， 必須做 NAT 轉換，當并發(fā)連接較大時，做 NAT 轉換非常占資源，最好考慮有帶 NAT 模塊的路由器或專門的 NAT 設備。 交換機 工作組交換機采用可網(wǎng)管交換機，實現(xiàn)對每臺接入計算機的控制，實現(xiàn) VLAN（虛擬網(wǎng)）的劃分，確保最大限度的網(wǎng)絡訪問安全。 接入層 交換機 采用擁有千兆端口的可網(wǎng)管交換機實現(xiàn)與 核心路由器 的高速連接，避免可能產生的網(wǎng)絡瓶頸。匯聚層 交換機 采用三層交換機， 實現(xiàn) 接入層的告訴匯聚功能以及 VLAN 間 路由實現(xiàn)。 防火墻 是一項協(xié)助確保信息安全的設備，會依照特定的規(guī)則，允許或是限制傳輸?shù)? 12 數(shù)據(jù)通過。防火墻可以是一臺專屬的硬件也可以是架設在一般硬件上的一套軟件 。 防火墻有軟件防火墻和硬件防火墻兩種 ， 并且對軟硬件的特殊要求使硬件防火墻的實際帶寬與理論值基本一致，有著高吞吐量、安全與速度兼顧的優(yōu)點。 服務器 服務器應該具備速度高、存儲容量大、吞吐能力強、 穩(wěn)定安全 、擴展性強 和管理功能強 等特 點。 WWW 服務器：是網(wǎng)絡運行的核心服務器，通常兼作 DNS 服務器、 FTP 服務器。訪問量大，根據(jù)企業(yè)規(guī)模大小，采用適合自己規(guī)模的服務器。一般對于 200 個信息點以下的企業(yè)，通?？刹捎弥С侄?CPU 的頂級 PC 服務器和低端專業(yè)服務器。 FTP 服務器 ： 實 現(xiàn)信息共享，文件傳輸是信息共享 ， 通常中小企業(yè)可由 WEB服 等 服務 器兼用。 公網(wǎng) IP 地址數(shù) 由于 對外服務器 要求有固定的公網(wǎng) IP 地址，路由器也要求有固定的公網(wǎng) IP地址，以及 NAT 地址池 也需要有固定的公網(wǎng) IP 地址，因此，必須向 ISP 提供商申請一定數(shù)量的公網(wǎng) IP 地址，對于 中、 小型網(wǎng)絡來講， 8 個勉強可以，對于大型局域網(wǎng)來說，要求 16 個以上 才能夠用。 VLAN 技術分析 、 VLAN 技術概述 VLAN(Virtual Local Area Network)也就是虛擬局域網(wǎng)，是一種建立在交換技術基礎之上的，通過將局域網(wǎng)內的機器設備 邏輯地而不是物理地 劃分成一個個不同的網(wǎng)段，以軟件方式實現(xiàn)邏輯工作組的劃分與管理的技術。 IEEE 于 1999 年頒布了用以標準化 VLAN 實現(xiàn)方案的 IEEE 協(xié)議標準草案。 VLAN 的作用是使得同一 VLAN 中的成員間能夠互相通信，而不同 VLAN 之間則是相互隔離的， 從而達到減少廣播風暴的發(fā)生， 不同的 VLAN 間的如果要通信就要通過必要的路由設備。 13 、 使用 VLAN 技術 的優(yōu)點 VLAN 的優(yōu)點主要體現(xiàn)在以下 3 個方面： 控制廣播風暴 網(wǎng)絡管理必須解決因大量廣播信息帶來帶寬消耗的問題。 VLAN 作為一種網(wǎng)絡分段技術，可將廣播風暴限制在一個 VLAN 內部，避免影響其他網(wǎng)段。與傳統(tǒng)局域網(wǎng)相比， VLAN 能夠更加有效地利用帶寬。在 VLAN中，網(wǎng)絡被邏輯地分割成廣播域，由 VLAN 成員所發(fā)送的信息幀或數(shù)據(jù)包僅在 VLAN 內的成員之間傳送，而不是向網(wǎng)上的所有工作站發(fā)送。這樣可減少主干網(wǎng)的流量，提高網(wǎng)絡速度。 增強網(wǎng)絡的 安全性 共享式 LAN 上的廣播必然會產生安全性問題，因為網(wǎng)絡上的所有用戶都能監(jiān)測到流經(jīng)的業(yè)務，用戶只要插入任一活動端口就可訪問網(wǎng)段上的廣播包。采用 VLAN 提供的安全機制，可以限制特定用戶的訪問，控制廣播組的大小和位置，甚至鎖定網(wǎng)絡成員的 MAC 地址，這樣，就限制了未經(jīng)安全許可的用戶和網(wǎng)絡成員對網(wǎng)絡的使用。 增強網(wǎng)絡管理 采用 VLAN 技術，使用 VLAN 管理程序可對整個網(wǎng)絡進行集中管理，能夠更容易地實現(xiàn)網(wǎng)絡的管理性。用戶可以根據(jù)業(yè)務需要快速組建和調整 VLAN。當鏈路擁擠時，利用管理程序能夠重新分配業(yè)務。管理程序還能夠提供有關工作組的業(yè)務量、廣播行為以及統(tǒng)計特性等的詳盡報告。對于網(wǎng)絡管理員來說，所有這些網(wǎng)絡配置和管理工作都是透明的。 VLAN 變動時，用戶無需了解網(wǎng)絡的接線情況和協(xié)議是如何重新設置的。 VLAN 還能減少因網(wǎng)絡成員變化所帶來的開銷。在添加、刪除和移動網(wǎng)絡成員時，不用重新布線，也不用直接對成員進行配置。若采用傳統(tǒng)局域網(wǎng)技術，那么當網(wǎng)絡達到一定規(guī)模時，此類開銷往往會成為管理員的沉重負擔。 、 VLAN 的劃分方法 VLAN 技術對工作組的劃分方法有兩 種一種是基于端口的劃分方法另外一種是基于 MAC 地址的劃分方法。 基于端口的劃分方法 將交換機中的某些端口定義為一個單獨的區(qū)域，從而形成一個 VLAN。同一 VLAN 中的計算機屬于同一個網(wǎng)段，不同 VLAN 之間進行通信需要通過路由器?；诙丝诘?VLAN 的優(yōu)點是配置起來非常方便，只要在交換機上進行相關的設置就可以了，適用于網(wǎng)絡環(huán)境比較固定的情況。不足之處是不夠靈活，當一臺計算 14 機需要從一個端口移動到另一個新的端口，而新端口與舊端口不屬于同一個 VLAN 時，要修改端口的 VLAN設置，或在用戶計算機上重新配置網(wǎng)絡地址，這 樣才能加入到新的 VLAN 中。否則，這臺計算機將無法進行網(wǎng)絡通信。 基于端口的劃分方式是最簡單也是最常用的。采用這種方式， 將屬于不同交換機端口的物理網(wǎng)段 分在一個VLAN 中，通過網(wǎng)絡管理軟件，根據(jù) VLAN 標識符將不同的端口分到相應的分組（ VLAN）中。例如，一個交換機的 7 端口被定義為 VLAN A，同一交換機的 5 端口組成 VLAN 8，這樣劃分，允許各端口之間的通信，并允許共享型網(wǎng)絡的升級。遺憾的是，這種劃分模式將虛擬網(wǎng)限制在了一臺交換機上。 第二代端口 VLAN 技術 允許跨越多個交換機 的多個不同端 口劃分 VLAN，不同交換機上的若干個端口可以組成同一個 VLAN。分配到同一個 VLAN 的各網(wǎng)段上的所有站點都在同一個廣播域中，可以直接通信；不同 VLAN 地點間的通信則通過路由器或三層交換機。 交換機端口來劃分 VLAN，其配置過程簡單明了。迄今為止，這仍然是最常用的一種方式，但是這種方式不允許多個 VLAN 共享一個物理網(wǎng)段或交換機端口。如果某一個用戶從一個端口所在的 VLAN 移動到另一個端口所在的 VLAN，網(wǎng)絡管理員需要重新進行配置，這對于擁有眾多移動用戶的網(wǎng)絡來說是不可想象的。 基于 MAC 地址的劃分方法 每塊網(wǎng)卡都有一個獨一無二的硬件物理地址，這個地址就是 MAC 地址，俗稱為 “網(wǎng)卡號 ”。在Windows 中可用 “ipconfig/all”命令來查看這一地址。 MAC 地址是連接在網(wǎng)絡中的每個設備網(wǎng)卡的物理地址，由 IEEE 控制，全球找不到兩塊具有相同 MAC 地址的網(wǎng)卡。 MAC 地址屬于數(shù)據(jù)鏈路層，以此作為劃分 VLAN 的依據(jù)，能很好地獨立于網(wǎng)絡層上的各種應用。用 此種方式構成的 VLAN 就是一些 MAC 地址的集合 ，它解決了網(wǎng)絡處理站點的移動問題。對于連接于交換機端口的工作站來說，在它們初始化時，相應的交換機要在 VLAN 的管理 信息庫中檢查 MAC 地址，從而動態(tài)地匹配該端口到相應的 VLAN 中。 按 MAC 地址劃分的 VLAN 允許網(wǎng)絡用戶從一個物理位置移動到另一個物理位置，并且自動保留其所屬VLAN 網(wǎng)段的成員身份。同時，這種方式獨立于網(wǎng)絡的高層協(xié)議（如 TCP/IP、 IP 和 IPX 等）。從某種意義上講，利用 MAC 地址定義 VLAN 可以看成是一種基于用戶的網(wǎng)絡劃分手段。 這種方法的一個缺點是所有的用戶必須被明確地分配給一個 VLAN。在這種初始化工作完成之后，對用戶的自動跟蹤才成為可能。在一個擁有大量節(jié)點的大型網(wǎng)絡中，如果要求管理員將每個用戶都一一 劃分到某一個 VLAN，實在是太困難了。 15 基于網(wǎng)絡協(xié)議的劃分 VLAN 按 網(wǎng)絡層協(xié)議 來劃分 ,可分為 IP、 IPX、 DEC、 AppleTalk、 Banyan等 VLAN 網(wǎng)絡。這種按網(wǎng)絡層協(xié)議來組成的 VLAN，可使廣播域 跨越多個 VLAN 交換機。這對于希望針對具體應用和服務來組織用戶的網(wǎng)絡管理員來說是非常具有吸引力的。而且，用戶可以在網(wǎng)絡內部自由移動，但其 VLAN 成員身份仍然保留不變。 這種方法的 優(yōu)點 是用戶的物理位置改變了，不需要重新配置所屬的 VLAN，而且可以根據(jù)協(xié)議類型來劃分 VLAN，這對網(wǎng)絡管理 者來說很重要，還有，這種方法不需要附加的幀標簽來識別 VLAN，這樣可以減少網(wǎng)絡的通信量。這種方法的缺點是效率低，因為檢查每一個數(shù)據(jù)包的網(wǎng)絡層地址是需要消耗處理時間的(相對于前面兩種方法 )。 綜上所分析 本設計 采用劃分 VLAN 的方式是 基于端口的方法 。 、 在 企業(yè) 網(wǎng)中 VLAN 的劃分 企業(yè)局域 網(wǎng) 采用三層網(wǎng)絡架構設計 ，分為 核心層、匯聚層、接入層 三個層次， 企業(yè) 主干網(wǎng)技術選擇千兆以太網(wǎng)技術 ，主要在接入層的端口上實施基于端口的 VLAN劃分 、網(wǎng)絡設備選型 原則 設備選型原則 在確定了網(wǎng)絡系統(tǒng)的設計方 案后，需要進行網(wǎng)絡設備選型。設備選型是網(wǎng)絡工程中非常重要的一環(huán)，設備選型的好壞直接影響系統(tǒng)的實用性、穩(wěn)定性、可靠性和系統(tǒng)的費用。 設備選型依據(jù)主要是根據(jù)選型原則，對不同廠家的產品的不同型號進行綜合全面的比較，選擇滿足系統(tǒng)需求的、先進、性能價格比高的設備。 （ 1）品牌選擇： 所有網(wǎng)絡設備盡可能選取同一廠家的產品，這樣在設備可互連性、協(xié)議互操作性、技術支持和價格等方面都更有優(yōu)勢。從這個角度來看，產品線齊全、技術認證隊伍力量雄厚、產品市場占有率高的廠商是網(wǎng)絡設備品牌的首選 （如本設計方案的網(wǎng)絡設備就是全部選用國際知名 品牌Cisco 的產品） 。其產品經(jīng)過更多用戶的檢驗，產品成熟度高，而且這些廠商 16 出貨頻繁，生產量大 ， 質保體系完備。作為系統(tǒng)集成商，不應依賴于任何一家的產品，應能夠根據(jù)需求和費用公正地評價各種產品，選擇最優(yōu)的。在制定網(wǎng)絡方案之前，應根據(jù)用戶承受能力來確定網(wǎng)絡設備的品牌。 （ 2）擴展性考慮 ： 在網(wǎng)絡的層次結構中，主干設備選擇應預留一定的能力，以便將來擴展，而低端設備則夠用即可，因為低端設備更新較快，且易于擴展。由于企業(yè)網(wǎng)絡結構復雜，需要交換機能夠接續(xù)全系列接口，例如光口和電口 （？） 、百兆、千兆和萬兆端口，以及多模光纖 接口和 長距離的 單模光纖接口等。其交換結構也應能根據(jù)網(wǎng)絡的擴容靈活地擴大容量。其軟件應具有獨立知識產權，應保證其后續(xù)研發(fā)和升級，以保證對未來新業(yè)務的支持。 （ 3）性價比高 ： 網(wǎng)絡系統(tǒng)設備的選擇具有較高的性能價格比的網(wǎng)絡設備以達到系統(tǒng)整體性能的最優(yōu)。 、常用網(wǎng)絡設備 網(wǎng)絡設備主要是指硬件系統(tǒng)，各種網(wǎng)絡設備之間是有著相互關聯(lián)而不是相互獨立的，每一部分在網(wǎng)絡中有著不同的作用，缺一不可，只有把這些設備通過一定的形式連起來才能組成一個完整的網(wǎng)絡系統(tǒng)，網(wǎng)絡設備主要包括網(wǎng)卡、交換機、路由器、傳輸介質等。 網(wǎng)卡 網(wǎng)卡（簡稱 NIC），也網(wǎng)絡適配卡或網(wǎng)絡接口卡，網(wǎng)卡作為計算機與網(wǎng)絡連接的接口，是不可缺少的網(wǎng)絡設備之一。無論是雙絞線網(wǎng)絡、同軸電纜網(wǎng)絡還是光纜網(wǎng)絡，都必須借助于相應類型的網(wǎng)卡才能實現(xiàn)與計算機的連接，是計算機與局域網(wǎng)相互連接的惟一接口。每塊網(wǎng)卡上都有一個世界惟一的 ID 號，也就是 MAC（ Media Access Control）地址，計算機在連入網(wǎng)絡之后，就是依靠這個 ID 號才能實現(xiàn)在不同計算機之間的通信和信息交換。網(wǎng)卡有很多種，不同類型的網(wǎng)絡需要使用不同種類的網(wǎng)卡，不同速度的網(wǎng)絡需求也要使用不同 的網(wǎng)卡。如根據(jù)帶寬來分的話，有 10Mbit/s 網(wǎng)卡、 10/100Mit/s 自適應網(wǎng)卡和 1000Mbit/s 網(wǎng)卡；如按總線分，有 ISA 總線、 PCI 總線、 PCMCIA 總