中小型企业的网络管理模式方案设计

中小型企业的网络管理模式方案设计内容摘要：

络的应用，考虑的一个主要因素是端口数量，另外还要看包交换能力和 NAT 转换能力。 中端路由器适用大中型办公网络，选用的原则也是考虑端口支持能力、包交换能力和 NAT 转换能力。 在这里值得进一步说明的是，如 果让内部计算机直接通过路由器访问外部网络，必须做 NAT 转换，当并发连接较大时，做 NAT 转换非常占资源，最好考虑有带 NAT 模块的路由器或专门的 NAT 设备。 工作组交换机采用可网管交换机，实现对每台接入计算机的控制，实现 VLAN（虚拟网）的划分，确保最大限度的网络访问安全。 接入层 交换机采用拥有千兆端口的可网管交换机实现与 核心路由器 的高速连接，避免可能产生的网络瓶颈。 汇聚层 交换机采用三层交换机，实现 接入层的告诉汇聚功能以及 VLAN 间 路由实现。 11 防火墙有软件防火墙和硬件防火墙两种。 软件防火墙是安装在计算机平台的软件产品，它通过在操作系统底层工作来实现网络管理和防御功能的优化。 硬件防火墙的硬件和软件都单独进行设计，有专用网络芯片处理数据包。 同时，采用专门的操作系统平台，从而避免通用操作系统的安全性漏洞。 并且对软硬件的特殊要求使硬件防火墙的实际带宽与理论值基本一致，有着高吞吐量、安全与速度兼顾的优点。 服务器应该具备速度高、存储容量大、吞吐能力强、性能可靠、扩展性强、连网和管理功能强等特点。 WWW 服务器：是网络运行的核心服务器，通常兼作域名服务器、 FTP 服务器。 访问 量大，根据企业规模大小，采用适合自己规模的服务器。 一般对于 200 个信息点以下的企业，通常可采用支持多 CPU 的顶级 PC 服务器和低端专业服务器。 FTP 服务器 ：通常中小企业可由 WEB 服 等 务器兼用。 公网 IP 地址数 由于对外服务器要求有固定的公网 IP 地址，路由器也要求有固定的公网 IP地址，以及 NAT 地址池也需要有固定的公网 IP 地址，因此，必须向 ISP 提供商申请一定数量的公网 IP 地址，对于 中、 小型网络来讲， 8 个勉强可以，对于大型局域网来说，要求 16 个以上才能够用。 VLAN 技术分析 、 VLAN 技术概述 VLAN(Virtual Local Area Network)也就是虚拟局域网，是一种建立在交换技术基础之上的，通过将局域网内的机器设备逻辑地而不是物理地划分成一个个不同 12 的网段，以软件方式实现逻辑工作组的划分与管理的技术。 IEEE 于 1999 年颁布了用以标准化 VLAN 实现方案的 IEEE 协议标准草案。 VLAN 的作用是使得同一 VLAN 中的成员间能够互相通信，而不同 VLAN 之间则是相互隔离的，不同的VLAN 间的如果要通信就要通过必要的路由设备。 、 使用 VLAN 技术 的优 点 可以控制网络广播 在没有应用 VLAN 技术的局域网内的整个网络都是广播域，这样就使得网内的一台设备发出网络广播时，在局域网内的任何一台设备的借口都能接收到广播，因此当网络内的设备越来越多时，网络上的广播也就越来越多，占用的时间和资源也就越来越多，当广播多到一定的数量时，就会影响到正常的信息的传送。 这样就能使得信息延迟，严重的可以造成网络的瘫痪、堵塞，严重的影响了正常的网络应用，这就是所谓的网络风暴。 在应用了 VLAN 技术的局域网中，缩小了广播的广播域，在一个 VLAN 中的广播风暴也不会影响到其他的 VLAN，从而有效地减小了广播风暴对局域网网络的影响。 增强了网络的安全性 在局域网中应用 VLAN 技术可以把互相通信比较频繁的用户划分到同一个 VLAN 中，这样在同一个工作组中的信息传输只在同一个组内广播，从而也减轻了因广播包被截获而引起的信息泄露，增强了网络的安全性。 还有就是在 公司的局域网中各个部门要求的安全等级是不一样的，例如 公司财务处 和 公司其他部门 之间的网络就有着不一样的访问者和用户，因此我们可以应用 VLAN 技术把 财务处和公司的其他 网络分到不同的工作组中。 如果不使用 VLAN 技术就需要两个交换机来实 现同样的功能，但是应用 VLAN 技术节省了 公司 的财力。 简化网络管理员的管理工作 在应用 VLAN 技术后网络管理员就可以轻松的管理网络，例如 公司部门 在物理上并不处在同一个位置，在不同的 装配大 楼和办公楼，但是应用了 VLAN 技术网络管理员就可以在应用了几条指令的同时完成设备在不同物理位置上的相同工作组的配置。 13 、 VLAN 的划分方法 VLAN 技术对工作组的划分方法有两种一种是基于端口的划分方法另外一种是基于 MAC 地址的划分方法。 基于端口的划分方法 这种划分 VLAN 的方法是根据以太网交换机的端口来划分，比如 Cisco 48 口交换机 的 114 端口为 VLAN1， 1527 为 VLAN1， 2848 为 VLAN1，当然，这些属于同一 VLAN 的端口可以不连续，如何配置，如果有多个交换机，例如，可以指定交换机 l 的 l8 端口和交换机 2 的 17 端口为同一 VLAN，即同一 VLAN 可以跨越数个以太网交换机，根据端口划分是目前定义 VLAN 的最广泛应用的方法， IEEE 规定了依据以太网交换机的端口来划分 VLAN 的国际标准。 这种划分方法的优点是定义 VLAN 成员时非常简 单，只要将所有的端口都只定义一下就可以了。 不足之处是不够灵活，当一台机器设备需要从一个端口移动到另一个新的端口，但是新端口与旧端口不在同一个 VLAN 之中时，要修改端口的 VLAN 设置，或在用户计算机上重新配置网络地址，这样才能使这台设备加入到新的 VLAN 中。 否则，这台设备就无法进行网络通信。 基于 MAC 地址的划分方法 这种方法划分 VLAN，要求交换机对站点的 MAC 地址进行跟踪，在新站点入网时．需要把它添加到相应的 VLAN 中。 以后无论这个站点怎么移动。 只要 MAC地址不变．就无需对它进行重新配置。 不足之处在于不够便捷，由于在初始化时，需要所有的在局域网内的所有设备都进行配置，因此如果要是有几百个用户时，配置工作就显得相当的繁琐，并且由于需要跟踪站点内的 MAC 地址进行跟踪，使得交换机的执行效率不高。 基于网络协议的划分 VLAN 按网络层协议来划分 ,可分为 IP、 IPX、 DEC、 AppleTalk、 Banyan等 VLAN 网络。 这种按网络层协议来组成的 VLAN，可使广播域跨越多个 VLAN 交换机。 这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。 而且，用户可以 在网络内部自由移动，但其 VLAN 成员身份仍然保留不变。 这种方法的优点是用户的物理位置改变了，不需要重新配置所属的 VLAN， 14 而且可以根据协议类型来划分 VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别 VLAN，这样可以减少网络的通信量。 这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法 )。 综上所分析本设计采用划分 VLAN 的方式是基于端口的方法。 、 在 企业 网中 VLAN 的划分 企业局域 网采用三层网络架构设计，分为核心层、汇聚层、 接入层等三个层次， 企业 主干网技术选择千兆以太网技术 ，主要在接入层的端口上实施基于端口的 VLAN 划分 、网络设备选型 原则 在确定了网络系统的设计方案后，需要进行网络设备选型。 设备选型是网络工程中非常重要的一环，设备选型的好坏直接影响系统的实用性、稳定性、可靠性和系统的费用。 设备选型依据主要是根据选型原则，对不同厂家的产品的不同型号进行综合全面的比较，选择满足系统需求的、先进、性能价格比高的设备。 （ 1） 品牌选择： 所有网络设备尽可能选取同一厂家的产品，以便使用用户从网络通信设备的 整体性能上得到更多的便利和保证。 而产品线齐全、技术认证队伍力量雄厚、产品市场占有率高的厂商是网络设备品牌的首选（如本设计方案的网络设备 就是全部选用国际知名品牌 Cisco 的 产品）。 （ 2）扩展性考虑 ： 在网络的层次结构中，主干设备选择应预留一定的能力，以便对系统进行扩充和改进。 （ 3）性价比高 ： 网络系统设备的选择具有较高的性能价格比的网络设备以达到系统整体性能的最优。 、常用网络设备 网络设备主要是指硬件系统，各种网络设备之间是有着相互关联而不是相互独立的，每一部分在网络中有着不同的作用，缺一不 可，只有把这些设备通过一 15 定的形式连起来才能组成一个完整的网络系统，网络设备主要包括网卡、集线器、交换机、路由器、传输介质等。 网卡 网卡（简称 NIC），也网络适配卡或网络接口卡，网卡作为计算机与网络连接的接口，是不可缺少的网络设备之一。 无论是双绞线网络、同轴电缆网络还是光缆网络，都必须借助于相应类型的网卡才能实现与计算机的连接，是计算机与局域网相互连接的惟一接口。 每块网卡上都有一个世界惟一的 ID 号，也就是 MAC（ Media Access Control）地址，计算机在连入网络之后，就是依靠这个 ID 号才能实现在不同计算机之间的通信和信息交换。 网卡有很多种，不同类型的网络需要使用不同种类的网卡，不同速度的网络需求也要使用不同的网卡。 如根据带宽来分的话，有 10Mbit/s 网卡、 10/100Mit/s 自适应网卡和 1000Mbit/s 网卡；如按总线分，有 ISA 总线、 PCI 总线、 PCMCIA 总线网卡等。 从目前校园网建设的实际情况来看，工作站网卡选择 PCI 总线的 10M/100Mbit/s 自适应网卡最适合。 交换机 交换机，也称交换式集线器，是专门设计的，使各计算机能够相互高速通信的独享带宽的网络 设备。 作为高性能的集线设备，随着价格的不断降低，交换机已逐步取代了集线器而成为集线设备的首选。 由交换机构建的交换式网络系统不仅拥有高速的传输速率，而且交换延时很小，使得信息的传输效率大大提高，适合于大数据量并且使用非常频繁的网络通信，被广泛应用于各种类型的多媒体和数据传输网络。 交换机具有很强的网络管理功能，它能自动根据网络通信的使用情况来动态管理网络，因为交换机采用了独享网络带宽的设计。 路由器 路由器除了有连接不同的网络物理分支和不同的通信媒介、过滤和隔离网络数据流及建立路由表，还有控制和 管理复杂的路径、控制流量、分组分段、防止网络风暴及在网络分支之间提供安全屏障层等到功能。 根据路由设备的组成可以分为软路由和硬路由。 根据路由表的设置方式可以将路由器分为静态的和动态的。 路由器工作在网络层，因此它可以在网络层交换和路由数据帧，访问的是对方的网络地址。 当数据帧到达路由器后，路由器查看数据帧的目标地址，并在路由表查看到达目标地址的路径，根据路径的代价，选择一条最佳的路径，然后把 16 数据帧沿这条路径发送给目标地址。 传输介质 网络要求把各个独立的计算机连接起来的，这样就必然。