浅析中小型园区网的设计与实现

1、浅析中小型园区网的设计与实现摘要:现代企业网已经从早期的简单的数据共享开展到全方位的内部共享,从过去单一地理位置的网络开展到全球各个分支网络的互联。中小型园区网络的设计与实现对技术的要求越来越高。在此从网络建立各个方面的需求分析入手,在深化领悟并运用vlan精华的根底上,利用科学的ip规划方案,提出了现代中小型园区网的建立思路。该网络具有高平安性、高可靠性、可扩展、易维护等一系列优点。关键词:网络;ip;vlan;园区网designandipleentatinfsallapusnetrkguxin-yan1,engqing-ei2(1.ityllege,xianjiatnguniversity

2、,xian710016,hina;2.zterpratin,xian710065,hina)对于现代办公的场所,智能化必不可少,包括综合布线、视频监控、会议电视、智能门禁、一卡通消费、安防报警、自动a等弱电集成,而信息化业务正是智能建筑的要素之一,本方案主要就在办公大楼内部署信息化网络的方案进展描绘。拟订某公司的新建办公大楼作为局域网建立的模型。设定大楼共5层高,每层建立有弱电间一个,整个大楼设中心机房一间,规划信息接入点共150个(即150台计算机终端)。大楼的局域网建立自己的内网,办公业务内网是新大楼及后勤效劳配套设施内各单位数据通信的主要平台,为各种办公应用系统提供高效、可靠、平安的通信

3、途径。向楼内用户提供内部办公、内部办公商务、部署各类内网效劳器等,同时,可灵敏设置大楼内用户权限,限定用户访问互联网的权限。假设此办公大楼的内部网络又可按照所属的部门、职能、平安重要程度分为许多子网(即vlan),包括:财务子网、指导子网、办公室子网、市场部子网、各类效劳器子网等。通过vlan技术的应用可以将这些用户区分开来。1建立效果1.1先进性新建办公楼的信息网络必须满足日新月异的信息化开展及新业务的开展,要求所用设备支持所有国际通用标准,良好的售后效劳。数据网络设备须选用具有国际的的先进程度,均为业界领先并且应用广泛的高性能交换机。1.2平安性由于以太网的播送特性,某台计算机感染病毒后会

4、在局域网中散播,因此在设备选择上须重视设备对病毒包的抑制过滤才能、al才能、对用户终端的控制手段等。所选用的数据网络设备均支持丰富的al访问控制列表,对用户进展线速的数据包过滤。此外,根据客户需求还可以在用户侧进展prt-a地址捆绑、a地址-ip地址捆绑等功能,有效得对网络内部的用户、地址进展控制和管理。1.3高可用性/可靠性网络设备具有良好的可靠性保证,可热插拔的模块,快速的恢复机制,冗余及负载平衡的电源系统,控制模块的冗余等。通过vrrp与stp技术实现网络构造的冗余,确保不因为单条线路的故障而导致整个网络系统的失效,并且确保在某条线路故障时对系统性能的影响也能最校1.4可扩展性和可晋级性

5、施行的网络具有良好的扩展性(拓扑构造、线卡等),整个网络可以在各层扩大设备,并通过网管系统进展统一管理。为今后的网络扩展留有足够的空间,必须具有高度的可扩大性,可有效地对用户提供投资保护。1.5易管理和易维护性通过网管软件的安装对整个网络提供实时端口级的管理,拓扑管理、lan的配置和管理,并提供各种管理策略,有效地对整个网络进展管理、控制和维护。为网络提供完善的管理、配置、故障、性能、统计管理。可选择结合业界领先的集群管理技术,做到交换机即插即用,大大简化了配置过程,为日后扩容提供了便利。2建立方案2.1方案概述既然内部网络可按照所属的部门、职能、平安重要程度分为许多vlan子网,包括:财务子

6、网、指导子网、办公室子网、市场部子网、各类效劳器子网等。在方案设计中,基于平安的重要程度和要保护的对象,可以在交换机上划分为4个虚拟局域网(vlan),即:各类效劳器子网、财务子网、指导子网、其他子网。不同的局域网分属不同的播送域,由于财务子网、指导子网、中心效劳器子网属于重要网段,因此在中心交换机上将这些网段各自划分为一个独立的播送域,而将其他的工作站划分在一个一样的网段。2.2设计思想设计思想为:采用高速、高性能的网络主干;网络根据需要划分不同的虚拟网;虚拟网之间的数据交换通过集中的路由功能实现;网络主干应有极强的扩大才能,网络性能不会因为网络的扩大而降低;与广域的路由器和主机配合实现广域

7、上网络资源的备份和数据分流;保障局域网上的平安性;2.3方案描绘由于局域网中存在多个不同平安级别的网络用户,例如财务系统和普通的一般工作机器,因此从平安的角度看应该将这些用户进展隔离。一个最根本的工具就是vlan,对不同的网络用户进展隔离。更复杂一些的方案是通过vpn等。在目前的技术情况下,一般是使用vlan进展隔离居多。为使得用户可以访问公司内部,或者外部的一些公共资源,虽然通过vlan可以进展物理层面的隔离,但是希望他们在ip层是互通的,为此需要对不同的用户/主机分配ip地址。对大型网络,可以通过不同的楼层为单位进展ip地址的分配,这样可以获得比较好的地址会聚才能,可以减少对路由表的需求。

8、另外一种比较可行的方案是使用dhp自动地址分配策略,减少网络使用的复杂度。根据以上对网络的分析以及方便扩容的原那么,规划整个网络分为核心层和接入层两级架构:(1)在办公楼的中心机房选用配置1台中兴通讯的zxr10ger02作为出口路由器,上联至防火墙实现百兆接入internet;(2)选用1台中兴通讯的zxr10t40g作为核心层路由交换机,通过高密度的千兆光接口板会聚接入交换机设备,通过百兆电接口板连接各类效劳器;图1网络拓扑构造在核心交换机zxr10t40g上建立各个子网的vlan网关,各子网内可以互相通信,但子网间的通信必须通过网关实现,网管人员可以通过访问控制列表al来灵敏调整vlan

9、间的互访关系,从而到达限制用户行为的目的。表1vlan号和vlan名称规划vlan编号vlan名实现功能2server各类效劳器子网3leader指导子网4finane财务子网5ther其他子网表2各子网的ip地址规划vlan编号vlan名实现功能地址划分掩码网关整个网络采用了先进的以太交换网络技术、高速的桌面接入才能实现了网络数据传输的高效性,同时整个网络具有开放性、标准化的网络体系,支持各种异构计算机网络之间的互连。另外,该网络方案还具有以下特点:(1)整个系统具有较高的性能价格比,并可以很好地保护用户投资。对于入驻的业主也可以有所选择,根据业主需求构建内部网络;(2)具有前瞻性、先进性和

10、可扩展性,要满足将来10年业务的需求,具备软件可晋级、端口可支持万兆、设备支持pls等扩展性;(3)具有开展业务的灵敏性,适应业务形式和业务量的变化要求,网络设备支持各种路由协议,并具备平滑晋级的才能;(4)具备很高可靠性和平安性,在多个层次上实现平安访问控制;可以对根据需要对不同用户、不同应用、不同接入方式统一进展认证;可以对关键应用系统进展隔离和访问控制;对外网(互联网和合作伙伴)进展隔离和访问控制;具有ds和dds防护才能等深层防御才能;(5)选择的软硬件产品应具有一定的通用性,采用标准的技术、构造、系统组件和用户接口。3ip地址规划原那么网络地址、域名统一规划:由于ip地址及域名尚未确

11、定,本次方案中只简要提出ip分配及域名规划的原那么。域名规划要注意层次性和一致性。内部域名、外部域名要分别设置,能表达组织构造并易于管理。地址分配要遵循原那么:简单性。地址的分配应该简单,防止在主干上采用复杂的掩码方式;连续性。为同一个网络区域分配连续的网络地址,便于采用suarizatin及idr(lasslessinter-dainruting)技术缩减路由表的表项,进步路由器的处理效率;可扩大性。为一个网络区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍然可以保持地址的连续性;灵敏性。地址分配不应该基于某个网络路由策略的优化方案,应该便于多数路由策略在该地址分配方案上实现优化;

12、可管理性。地址的分配应该有层次,某个局部的变动不要影响上层、全局;平安性。网络内应按工作内容划分成不同网段即子网以便进展管理。3.1地址规划ip地址的总体划分规那么如下:(1)技术方案上讲,采用vls变长子网掩码创立分层的子网,利用idr减少路由器中路由表中路由数量,进步总体网络性能。(2)根据ip网络的应用领域不同和网络层次的位置不同,采用不同的ip地址规划策略。子网划分允许系统管理员更好的利用现有的地址空间。例如:有8个网络,每个网络有30个主机。原来需要8个lass地址,如今用子网划分,一个lass地址就够了。因为子网在internet上是不可见的,所以:路由表会减少,内部网根据需求可以

13、划分多个子网,不需要浪费地址空间和增加internet路由表;子网的震荡不会影响internet,ripv1只允许一个子网掩码,rf1009允许在一个路由域内有多个子网掩码。当有多个子网掩码备用,就称为可变长子网掩码。没有vls,一个子网掩码只能提供给一个网络。这样就限制了子网上的主机数。举一个vls的例子:vls允许设计者为特定的需求分割地址空间。每个站点传送一个聚合的子网地址到其他的站点。同样,一个supernet是用一个普通的网络前缀和掩码来表示一组网络。一个supernet的地址是由一对地址/掩码组成的,前缀指的是相邻网络地址组中的第一个ip地址,掩码是要小于自然掩码长度。idr允许路

14、由器更充分聚合路由选择信息。路由表中的一条纪录可以代表许多网络。这大大减小路由表的规模,并且直接转化为地址空间的可扩展性。地址规划的根本思想:通常合理的地址规划是使连续的地址尽量集中在一个区域内。因此,整个核心层应象一个区域或一个省一样,被分配一段连续的地址。更进一步,连接进某一区域的省的ip地址范围应集中在该区域的地址范围附近。广域网连接:假设广域网连接采用路由协议,那么应使用30位掩码。点对点的连接只需两个主机地址,因此不需更大的地址空间。详细设计施行规那么:第一层:以网络汇接区域来划分。根据网络汇接分布的地理区域来划分大块连续的ip地址空间;有利于路由协议的计算和地址会聚。在首期网络工程

15、内的地址划分需要考虑网络的接入层的扩展;需要为网络的扩展预留地址空间。第二层:在区域接入网内,以网络功能来划分。可以根据不同的应用和网络功能来划分,如:用户网络接入地址;数据效劳器地址空间和网络管理操作。可以从号码上识别出应用和功能;根据详细地址空间,可以给出每个区域和接入层的地址空间。在地址分配中需要的从地址的应用类型上给出规那么:路由器lpbak地址,每台路由器需要一个30位掩码的ip地址;点到点的广域网链路,需要30位最小的子网;局域网地址按照主机接入数量和设备数量来分配子网空间;根据网络ip地址的应用类型,从总体上将可利用的ip地址划分成如下4种类型,划分方案如表3所示。表3划分方案应

16、用类型ip地址子网掩码(1)网间网互连网络。(2)带内管理网络。(3)数据效劳器网络。(4)用户网络。用户网络的ip地址是整个网络用户的终端ip地址,是整个网络ip地址划分中的核心局部,该局部ip地址要严格按照网络的分层构造划分出分层子网,同时,要预留网络的扩展网段,以利于网络规模的扩展。3.2地址分配在地址分配过程中,各节点的保存ip地址应尽量保持连续性以便于内部路由管理,同样,整个网络内部也应尽量保持idr(无级域间路由)地址块的连续性,保存ip地址的使用应为将来网络开展留有余地,以便于网络的统一规划。ip的地址分配主要考虑:合法的ip地址应由统一的网管中心分配使用;地址分配方案应与原有网络地址分配方案统一考虑,原有网络地址分配尽量保持不变;地址分配应本着简化路由选择,充分利用地址空间,兼顾今后网络开展,便于业务管理等原那么进展;地址分配方案可以考虑可变长子网掩码技术;充分考虑将来在假设干节点的系统可扩大性;充分反映ip网络的拓扑层次构造;有利于路由协议的配置,地址归纳和自治域的设定;方便网络管理;在各个层次都预留地址以适应不同层次的扩容。4结语现代办公形式较传统办公室形式