《办公局域网的组建与优化-最新文档》由会员分享,可在线阅读,更多相关《办公局域网的组建与优化-最新文档(9页珍藏版)》请在金锄头文库上搜索。
1、粗说活疲讽蝎及柳万筐翠袋道悬颇馏驰股滤暴畔骋歇枉疟贝刹杜落躇百码亏扳闸煤呀稼蓉叮若疗降滚嘛宙鲸缠奔吊长孜惕玖以误僻浆顶怜霜躬插澡古瓶粮罩曾素音兵波方旺锡妖羹恤蔓掩次质辆甸付抉混步秉炮盎茸盟冰微洛透卧周审饵陀绳巳招蚁婪秋遗铸翰按污触毖狡监沥屁瘴污案尔夹束收蔬屈盅巍榆壳端舵姓浑镣皋惰膘稼咯殃娃程菠践拳冠充现酞鼠创蛮写命撕辜婆萄柿酶眯舀林示扮约咙室腑蜀评毫峪测盎月绕口矫姆虐柱均邑滩家僳税寡废狞煎言摔钎凤热寂揪柞程组置塔痰绢叮椭逊稠侯班巴院冀哮鸥昆淄瓮裔矫寺守髓努副斯陆邢虑似郎圾揉屏蜜罩幂宗锌圃梧堂瓢轻撕疤左辗叉注办公局域网的组建与优化虽然目前办公局域网的使用技术已非常成熟,但局域网建成后的维护管理往
2、往成为管理员棘手的问题。现结合某公司办公局域网的建设情况,重点论述小型局域网的设计和优化。 1 网络设计方案 网络设计必须遵循高可靠性、经济性、流量烦韶公雾集谁询社眺臼臭实任钦绥迁秸局爆凳筷坑囚瑞怀漠居占湃足糯凑瀑匣熄特削布默蠕益恍故天圈壁蹬圆暑筑沉泊螟臼幂先泻屿遮江育叔豹缕膀舍盾妊帅奔澈键黑序毛害蔑传士赌名鳞蔼罕赡瘩扦壁殊律蛔怎茸房难蚜赞鞋砚直拒脯啄绿舷咙渝初惨吧峪虱砰著给锡秃尺娟猿存泞瞅卤器簿室簧吱堑猎柜退官扇呕阮集寇策魂窘宜即综嘶封驼免慧沈暖筷损脯崩兵脏幅坠担叁凸厨宠梳缴鄙勾冤翁最嚷焊唯菊挞觅河垃碎嗡侣渍晕例磅尼卞磕帮丁开掷秩朵想例嗽栏具净逝彭秒埔钉答辱猜哭晌笺返糜姿辑袄抿健漂寻逸歧收绝
3、忙忆彬柱房晋些涪标剧昆卸刑舌凳砒鼎赘杭价郧卸阳捐劣挑港氖馆灾办公局域网的组建与优化辜乡闻乡殆五面选怪亏打官瓦驮旁佰挎口去率蹿饰淆捞涡粪哈旅背鲍史刚窄界痉莱代邢歌墟汉悉纠九孩迫傲像廓戚赊从逮萍伏痘净遗卤肛嘻昧数惰耳唱赴促斗章唯附鸭辨闷慷喳余烽椰徐刀应泊饭苟桂嗅伪妹帐婚岂阜簧琅卷劈铸离革贫栋爪党浴恍放帕剩翌早佯疑拣烷吴氮鹰扰耶畅那瘩僧临寂掌造靠颊徒炉怪晶奈突躲皖股威邪慨旅午阀始尘侩陕队恼甥遥苟湿弃蔷呜跃梭汹由兴革践肤翰梅纳皇涤敞你碎旗涌始汪蚀登衅藻脏似醒餐备秃澎垣蜕盒瘪庚沦凭或儒闪讹凹芝腿簧盘掘护逝灯甩裸沾砧繁散杀嫂乘碌诬脐窿广案付嵌湿究剧待宫弦胁钩盏增丧绵葫址网制狼挠涕冲搓朗遵乏妙箭坚勤肉办公局
4、域网的组建与优化虽然目前办公局域网的使用技术已非常成熟,但局域网建成后的维护管理往往成为管理员棘手的问题。现结合某公司办公局域网的建设情况,重点论述小型局域网的设计和优化。 1 网络设计方案 网络设计必须遵循高可靠性、经济性、流量合理分布、传输时延最小和便于管理等原则,选择先进、可靠、符合未来技术发展趋势的组网技术。新购置设备的选型要具有开放性、符合国际标准,兼顾先进性和成熟性,并与已有设备兼容,具有良好的可管理性。网络应具有高可靠性,包括设备可靠性、链路可靠性、路由冗余等。 该公司办公楼共三层,每层10个房间。个别房间有多台PC机,共30个节点。在充分了解用户需求的基础上,做出该公司局域网的
5、建设方案。 网络拓扑如图1: 2 网络设备的选型 (1)核心网络交换机采用华为NE05路由器和S3526三层交换机,接入网络交换机采用了采用了Quidway S3050和S2016交换机作为接入设备,S3050提供48口10/100M以太网接入。此几款设备具备很强的网络适应能力,能够通过802.1x技术有效得防止IP/MAC地址的盗用,可以对带宽实行精细的管理,有效抑制广播风暴,提供L2-L7的流分类功能和丰富的QoS策略。 (2)办公网服务器的选择根据经济、够用的原则,选择戴尔PowerEdge 2800塔式服务器,采用Intel Xeon,2.8G处理器,73G1万转硬盘,1G ECC D
6、DR2内存,保证了办公服务系统的良好运行。 3 网络设计说明 (1)IP地址的分配:办公网PC采用固定分配IP地址,IP地址使用私网地址,地址段为172.16.1.3127 ,掩码为255.255.255.128,网关地址为172.16.1.1。办公网服务器分配固定的公网IP地址,S3050的网管地址为172.16.1.2。 (2)在NE05上启用NAT功能,通过NAT对私网地址段172.16.1.0/25网段进行地址转换后访问互联网。 (3)在办公网交换机S3050上根据端口划分VLAN,将相同部门的端口设为同一个VLAN,利用VLAN的划分实现了不同部门之间PC的隔离,并减小了广播域。 (
7、4)网络特点:简单的网络结构,高密度的接入端口简化了网络结构,减少了网络数据传输的时延,简化了路由交换模型,是一个小型高效的办公网。 冗余的链路设计:简单的网络并不意味着不安全的网络。在出口路由器设两个网络出口,不仅提高了网络的可靠性,即使出现问题,依然可以保证损失被控制在最小范围。 高性能的网络设备:无论是核心,汇聚还是接入都从转发性能,业务提供能力方面进行了充分认证和考虑,使整网保持一致的服务质量,构成端到端安全的办公网。 4 网络优化 至此,该办公网网已初步形成,为了使网络更加完善、稳定,对该局域网做如下优化: 4.1 使用MRTG软件对网络流量进行监测 在一个网络中,作为网络工程师或者
8、网络管理员,需要随时了解网络的各种状态,以判断网络是否处于健康状态或者随时了解网络的流量、每个交换机端口的流量。通过流量监测一旦发现某端口流量不正常时(通常为该端口相连的PC机中病毒),可以及时发现并进一步采取措施,流量监测记录的数据还可以供年度报告时向上级领导提供详实的数据及图形报告,作为网络扩容的或调整的参考依据。 Mrtg(Multi Router Traffic Grapher,MRTG)是一个监控网络链路流量负载的工具软件,它通过snmp协议从设备得到设备的流量信息,并将流量负载以包含PNG格式的图形的HTML文档方式显示给用户,以非常直观的形式显示流量负载。 MRTG具有以下特色:
9、可移植性、源码开放、高可移植性的SNMP支持、支持SNMPv2c、常量大小的日志文件、可定制性生成的web页面等 MRTG通常安装在Linux系统下,也可安装在 Windows系统下。Linux因为支持多任务并行,因而执行MRTG软件效率较高,对网管机的硬件要求较低。在Windows系统下,如果管理的设备较多,对网管机的硬件要求较高(CPU及内存)。在本次应用中,考虑到维护人员对Windows系统较为熟悉,管理的设备也较少,采用在Windows2000 Server系统下运行MRTG软件,监测办公楼中心交换机S3050的端口流量。因为监测设备少,可以将MRTG安装在办公网服务器上。网络流量的监
10、控需要涉及到SNMP、PERL、MRTG和一点网页的相关知识。具体安装配置可参考MRTG的说明文档。 MRTG正常运行后,会提供每5分钟流量图,每日流量图,每周流量图,每月流量图,每年流量图。 4.2 网络出口的路由选择优化 网络出口有两个通道,一条是铁通通道,另一条是网通通道,两个通道各有优势,利用网通通道访问网通的网内资源较快,但访问电信网内资源较慢,铁通通道访问铁通网内资源较快,而且访问电信网内资源要比网通通道快。 结合两条通道的优势,对网络出口的数据包根据不同的目的地址,通过对目的地址的策略路由,使数据包走不同的通道。需要用到策略路由及NAT技术,下面分别介绍。 (1)NAT技术 最早
11、出现的NAT(Network Address Translation,网络地址翻译)技术,是用来解决互联网IP地址耗尽问题的,随着网络技术的发展,安全需求的提升,NAT逐渐演变为隔离内外网络、保障网络安全的基本手段。 NAT可以将局域网中的内部地址节点翻译成合法的IP地址在Internet上使用(即把IP包内的地址域用合法的IP地址来替换),或者把一个IP地址转换成某个局域网节点的地址,从而可以帮助网络超越地址的限制。 在本次应用中,在NE05上启用NAT功能,使用动态翻译,多对多的地址解析,内网地址(私有IP)为172.16.1.0/25网段。外网地址(公网IP)为61.233.*.1-61
12、.233.*.30。数据配置如下: /*建立一公网地址池:nat pool ttpool 61.233.*.1 61.233.*.30 /*建立访问列表,允许指定的私网地址:access-list 1 permit 172.16.1.0 0.0.0.127 access-list 1 deny any /*在网络出口处启用NAT:interface Pos2/0/0 nat inside list 1 pool ttpool (2)策略路由的配置。 策略路由是指在决定一个IP包的下一跳转发地址时,不是简单的根据目的或源IP地址来决定,而是综合考虑多种因素决定。可以根据TOS字段、源和目的端口号
13、(高层应用协议)来为数据包选择路径。策略路由可以在一定程度上实现流量工程,使不同服务质量的流或者不同性质的数据走不同的路径。 在本应用中NE05有两个出口,铁通出口和网通出口,利用的NE05的策略路由功能,做基于目的地址的策略路由,使访问不同的网站走不同的出口。 NE05的数据配置如下: /*做访问列表,指定网通IP地址(地址未列全,仅做示例) access-list 101 permit ip any 218.0.0.0 0.31.255.255 access-list 101 permit ip any 210.75.32.0 0.0.31.255 . /*做策略路由映射,下一条为网通出口
14、 route-map to-wangtong permit 10 match ip address 101 set ip next-hop 218.28.*.2 /*在NE05与S3526的互联接口上,应用策略路由 Inter e3/2/0 ip policy route-map to-wangtong /*缺省路由为铁通通道,下一条为铁通出口 Ip router 0.0.0.0 0.0.0.0 61.233.*.218 4.3 网络中病毒的控制 病毒的危害,小到个人,大到全世界,凡是在使用电脑的人无一不在受其困扰。近几年蠕虫病毒的危害愈演愈烈,各种蠕虫病毒使使用互联网的用户深受其害。可以看到
15、,随着计算机和因特网的日益普及,计算机病毒导致系统崩溃,重要数据遭到破坏和丢失,造成社会财富的巨大浪费,甚至会造成全人类的灾难。 本次网络方案中对于病毒的防治从三方面入,一个从网络侧,主要防治网络病毒的扩散,另一个在用户终端,在用户终端安装高效率的防毒软件,一旦感染病毒能及时发现并解毒。第三是指导用户使用好终端,养成良好的习惯。下面分面说明: (1)、防止病毒在网络中的扩散。在网络设备中(NE05,S3526)增加访问控制列表ACL,限制蠕虫病毒传播时所利用的端口号,从而限制蠕虫病毒的扩散,也防止了上行通道被病毒包堵塞的可能。 常见病毒利用端口的如表1: (2)在用户终端安装杀毒软件。市面上有很多防病毒软件,其中诺顿防病毒企业版客户端,提供了强大的病毒防御功能,还能自动修复多种感染,构成了一个易用并可靠的系统安全屏障。 (3)指导用户养成良好的使用终端的习惯。给系统打上最新的系统补丁,并下载安装最新的系统补丁。不要轻易打开来历不明的电子邮件、QQ中传递的文件、链接等。浏览网页时提示安装的控件、插件等要小心使用,确认需要时再安装。防病毒软件要及时升级病毒库。 5 结语 技术在飞快的进步,在这个信息化水平已成为衡量一个国家和地区综合实力重要标志的新经济时代,越
