《(2020年){生产管理知识}主题互联网技术》由会员分享,可在线阅读,更多相关《(2020年){生产管理知识}主题互联网技术(10页珍藏版)》请在金锄头文库上搜索。
1、生产管理知识主题互联网技术小型局域网的建设与优化赵志刚(铁通洛阳铁道通信中心洛阳市陇海街7号邮编:471002)摘要:本文结合某公司办公局域网的建设,对小型局域网的建设做一说明,重点介绍如何对网络做进一步优化,针对网络流量监测、出口的策略路由、病毒防治提出了解决方案,并简单介绍了无线局域网的应用。关键字:局域网、VLAN、MRTG、策略路由、NAT、ACL、无线局域网主题:互联网技术办公局域网的使用已经越来越多,技术已非常成熟,但局域网建成后的维护管理往往成为管理员很头疼的问题,为了建设简单高效易于管理的局域网,本文结合某公司办公局域网的建设情况,对小型局域网的设计和优化做一论述。第一部分:局
2、域网的设计一、网络设计方案:网络设计必须遵循高可靠性、经济性、流量合理分布、传输时延最小和便于管理等原则,选择先进、可靠、符合未来技术发展趋势的组网技术。新购置设备的选型要具有开放性、符合国际标准,兼顾先进性和成熟性,并与已有设备兼容,具有良好的可管理性。网络应具有高可靠性,包括设备可靠性、链路可靠性、路由冗余等。该公司办公楼共四层,一至三层每层11个房间,四层共四个房间。个别房间有多台PC机。办公楼为旧楼,已有电话系统,余留有PVC管道便于布线。共34个节点。在充分了解用户需求的基础上,做出该公司局域网的建设方案。二、设备的选型:1、核心网络交换机采用华为NE05路由器和S3526三层交换机
3、,接入网络交换机采用了采用了QuidwayS3050和S2016交换机作为接入设备,S3050提供48口10/100M以太网接入。此几款设备具备很强的网络适应能力,能够通过802.1x技术有效得防止IP/MAC地址的盗用,可以对带宽实行精细的管理,有效抑制广播风暴,提供L2-L7的流分类功能和丰富的QoS策略。2、办公网服务器的选择根据经济、够用的原则,选择戴尔PowerEdge2800塔式服务器,采用IntelXeon,2.8G处理器,73G1万转硬盘,1GECCDDR2内存,保证了办公服务系统的良好运行。三、网络拓扑图如下:四、网络说明:1、IP地址的分配:办公网PC采用固定分配IP地址,
4、IP地址使用私网地址,地址段为172.16.1.362,掩码为255.255.255.128,网关地址为172.16.1.1。办公网服务器分配固定的公网IP地址,S3050的网管地址为172.16.1.2。2、在NE05上启用NAT功能,通过NAT对私网地址段172.16.1.0/27网段进行地址转换后访问互联网。3、在办公网交换机S3050上根据端口划分VLAN,将相同部门的端口设为同一个VLAN,利用VLAN的划分实现了不同部门之间PC的隔离,并减小了广播域。4、网络特点:简单的网络结构,高密度的接入端口简化了网络结构,减少了网络数据传输的时延,简化了路由交换模型,是一个小型高效的办公网。
5、冗余的链路设计:简单的网络并不意味着不安全的网络。在出口路由器设两个网络出口,不仅提高了网络的可靠性,即使出现问题,依然可以保证损失被控制在最小范围。高性能的网络设备:无论是核心,汇聚还是接入都从转发性能,业务提供能力方面进行了充分认证和考虑,使整网保持一致的服务质量,构成端到端安全的办公网。第二部分:局域网的优化经过以上设计方案并实施,该办公网网已初步形成,为了使网络更加完善、稳定,对该局域网做如下优化:使用MRTG网管软件布署网络的流量监测;网络出口的路由选择优化;网络的防病毒设计;网络增加无线接入设备,提高接入的灵活性;下面分别说明。一、使用MRTG软件对网络流量进行监测。在一个网络中,
6、作为网络工程师或者网络管理员,需要随时了解网络的各种状态,以判断网络是否处于健康状态或者随时了解网络的流量、每个交换机端口的流量。通过流量监测一旦发现某端口流量不正常时(通常为该端口相连的PC机中病毒),可以及时发现并进一步采取措施,流量监测记录的数据还可以供年度报告时向上级领导提供详实的数据及图形报告,作为网络扩容的或调整的参考依据。Mrtg(MultiRouterTrafficGrapher,MRTG)是一个监控网络链路流量负载的工具软件,它通过snmp协议从设备得到设备的流量信息,并将流量负载以包含PNG格式的图形的HTML文档方式显示给用户,以非常直观的形式显示流量负载。MRTG具有以
7、下特色:可移植性、源码开放、高可移植性的SNMP支持、支持SNMPv2c、常量大小的日志文件、可定制性生成的web页面等MRTG通常安装在Linux系统下,也可安装在Windows系统下。网络流量的监控需要涉及到SNMP、PERL、MRTG和一点网页的相关知识。具体安装配置可参考MRTG的说明文档。MRTG正常运行后,会提供每5分钟流量图,每日流量图,每周流量图,每月流量图,每年流量图。如下图所示:日分析图(5分钟平均)最大流入:3283.2kb/s(3.3%)平均流入:1805.6kb/s(1.8%)当前流入:2379.0kb/s(2.4%)最大流出:13.1Mb/s(13.1%)平均流出:
8、5439.8kb/s(5.4%)当前流出:10.1Mb/s(10.1%)二、网络出口的路由选择优化。网络出口有两个通道,一条是铁通通道,另一条是网通通道,两个通道各有优势,利用网通通道访问网通的网内资源较快,但访问电信网内资源较慢,铁通通道不用说访问铁通网内资源较快,而且访问电信网内资源要比网通通道快。结合两条通道的优势,对网络出口的数据包根据不同的目的地址,通过对目的地址的策略路由,使数据包走不同的通道。需要用到策略路由及NAT技术,下面分别介绍。、NAT技术最早出现的NAT(NetworkAddressTranslation,网络地址翻译)技术,是用来解决互联网IP地址耗尽问题的,随着网络
9、技术的发展,安全需求的提升,NAT逐渐演变为隔离内外网络、保障网络安全的基本手段。NAT可以将局域网中的内部地址节点翻译成合法的IP地址在Internet上使用(即把IP包内的地址域用合法的IP地址来替换),或者把一个IP地址转换成某个局域网节点的地址,从而可以帮助网络超越地址的限制。在本次应用中,在NE05上启用NAT功能,使用动态翻译,多对多的地址解析,内网地址(私有IP)为172.16.1.0/25网段。外网地址(公网IP)为61.233.*.1-61.233.*.30。数据配置如下:/*建立一公网地址池natpoolttpool61.233.*.161.233.*.30/*建立一访问控
10、制列表,允许指定的私网地址access-list1permit172.16.1.00.0.0.127access-list1denyany/*在网络出口处启用NATinterfacePos20natinsidelist1poolttpool、策略路由的配置。策略路由是指在决定一个IP包的下一跳转发地址时,不是简单的根据目的或源IP地址来决定,而是综合考虑多种因素决定。可以根据TOS字段、源和目的端口号(高层应用协议)来为数据包选择路径。策略路由可以在一定程度上实现流量工程,使不同服务质量的流或者不同性质的数据走不同的路径。在本应用中NE05有两个出口,铁通出口和网通出口,利用的NE05的策略路
11、由功能,做基于目的地址的策略路由,使访问不同的网站走不同的出口。NE05的数据配置如下:/*做访问列表,指定网通IP地址(地址未列全,仅做示例)access-list101permitipany218.0.0.00.31.255.255access-list101permitipany210.75.32.00.0.31.255./*做策略路由映射,下一条为网通出口route-mapto-wangtongpermit10matchipaddress101setipnext-hop218.28.*.2/*在NE05与S3526的互联接口上,应用策略路由Intere30ippolicyroute-m
12、apto-wangtong/*缺省路由为铁通通道,下一条为铁通出口Iprouter0.0.0.00.0.0.061.233.*.218三、网络中病毒的控制。病毒的危害,小到个人,大到全世界,凡是在使用电脑的人无一不在受其困扰。前几年出现的word宏病毒及win95下的CIH病毒的破坏性,使人们至今仍记忆犹新。近几年蠕虫病毒的危害愈演愈烈,尼姆达等蠕虫病毒使使用互联网的用户深受其害。可以看到,随着计算机和因特网的日益普及,计算机病毒导致系统崩溃,重要数据遭到破坏和丢失,造成社会富的巨大浪费,甚至会造成全人类的灾难。本次网络方案中对于病毒的防治从三方面入,一个从网络侧,主要防治网络病毒的扩散,另一
13、个在用户终端,在用户终端安装高效率的防毒软件,一旦感染病毒能及时发现并解毒。第三是指导用户使用好终端,养成良好的习惯。下面分面说明:、防止病毒在网络中的扩散。在网络设备中(NE05,S3526)增加访问控制列表ACL,限制蠕虫病毒传播时所利用的端口号,从而限制蠕虫病毒的扩散,也防止了上行通道被病毒包堵塞的可能。常见病毒利用端口的如下:病毒名称TCP端口UDP端口其它Nachi蠕虫ICMP协议Blaster蠕虫4444,135,139,445,59369,135,139,445,593Slammer蠕虫1434、在用户终端安装杀毒软件。市面上有很多防病毒软件,比如金山毒霸、瑞星、江民、AVP、P
14、CCILIN、MacFee、诺顿防病毒等等。这里我推荐的防病毒软件是诺顿防病毒8.1企业版客户端,提供了强大的病毒防御功能,还能自动修复多种感染,构成了一个易用并可靠的系统安全屏障。作为企业版,它比个人版的诺顿200X更加好用。、指导用户养成良好的使用终端的习惯。给系统打上最新的系统补丁,Windows2000系统一定要打上SP4补丁,WindowsXP系统一定要打上SP2补丁。并下载安装最新的系统补丁。不要轻易打开来历不明的电子邮件、QQ中传递的文件、链接等。浏览网页时提示安装的控件、插件等要小心使用,确认需要时再安装。防病毒软件要及时升级病毒库,最好一周一次。四、在网络中增加无线接入点,提
15、高网络接入的灵活性、适用性。在公司办公网中,经常会有一些技术人员携带笔记本过来,需要使用网络,还有举行讲座时,有时需用多台电脑演示,也需要使用网络。因为每个房间只预留一个接入点,这时就需要找一个HUB,再从上引出网线给他们用,而这种应用又不是很经常,使用完后还要拆线,非常不方便。解决这个问题就需要用到无线局域网,在网络中加入无线接入点,因为大多数较新的笔记本都带有迅驰无线接入功能,可以很方便地与无线接入点相连。为了照顾那些没有无线接入功能的终端,再配备几块USB接口的无线网卡,方便用户使用。一般无线网络所能含盖的范围应视环境的开放与否而定,若不加外接天线而言,在视野所及之处约250M,若属半开放性空间,有隔间之区域,则约3550M左右,当然若加上外接天线,则距离可达更远。在本应用中因在一个办公楼,不加天线基本能满足使用要求。结束语技术在飞快的进步,在这个信息化水平已成为衡量一个国家和地区综合实力重要标志的新经济时代,越来越多的社会机构内部复杂而庞大信息系统的整合,ERP和CRM的运转,语音、视频等新应用需求的提出,大大增加了网络承载业务的复杂性,为保证各业务的可靠稳定,就更需要结合实际情况对网络做全面的规划、设计及优化。参考文献1、沈鑫剡IP交换网
