新闻中心 
网络建设项目解决方案pdf
2024-10-15
浏览次数:
次
返回列表第一 章 网 络总 目录 体设 Xx 集团办公室网络 计 . 项目技术建议书 1.1 网络 总体 拓 图. 1.2 网络 层次 易 阳科 技 化设 计 . 1.2.1. 2010 年 3 月 10 日 核心 层 5 1.2.2 汇聚层 6 1.2.3 接入层 7 1.3 核心层设计 8 1.4 接入层设计 9 第 1 页 1.5 内联接入 9 第二章 路由设计 10 2.1 路由协议选择 10 2.2 路由规划拓扑图 10 2.2 IP 地址规划 10 第三章 网络安全解决方案 12 3.1 网络边界安全威胁分析 12 3.2 网络内部安全威胁分析 14 3.3 安全产品选型原则 15 3.4 网络常用技术介绍 16 PPP 协议 16 Vtp 17 HSRP 协议 18 VLAN 技术 18 Trunk 技术 19 SPT 协议 21 OSPF协议 22 Qos技术 22 第四章 产品简介 23 二层交换机 24 三层交换 24 第 2 页 工程部专用电脑 25 五、打印系统 25 六、文件服务器 29 系统磁盘管理: 30 工程报价 32 第一章 网络总体设计 1.1 网络总体拓扑图 由于考虑到总公司的实际需求,我们给贵公司设计的方案是采 用两台路由双线接入负载均衡,都在路由端口上做nat转换节约ip地 址。四台CISCO WS-C3750G-24TS-S 做双机热备 (两台总部两台 分部,可扩展),根据当前贵公司的人数需求,我们用四台 WS-C2960-48TT-L二层交换机 (可扩展)做vlan划分。用Cisc 专 有热备份路由协议技术,根据需求配置成多组HSRP ;同时双机还可 以做负载均衡。这样设计不但保证网络的高可用性与稳定性,还能够 充分利用现有设备的资源,以避免单台核心设备的负载太重而导致的 网络性能问题。 如上图所示,,这是总部内网的架构,整体网络可以根据功能划 分为总部核心网络、内联接入包括办公网络,各部门相对独立,通过 核心网络进行数据的交互。各部门可以各自建立相互通讯,各部门的 网络安全体系,可以有独立的安全策略、数据流量控制等个体的特性, 而需要与其他区域的设备进行通讯的时候,则必须遵守核心网络区的 策略。 第 3 页 在这里,我们对总公司的实际情况考虑,在总公司与分公司之间 建立PPP专线连接,让分公司与总司可以进行安全的数据交换,对于 虚拟分部(可扩展),我们根据距离与施工的情况建立PPP专线或者 VPN,来进行对数据的保护与有效传输,对于在外出差员工我们用 easy-VPN的方式来让外部员工进行内部连接 1.2 网络层次化设计 随着网络技术的迅速发展与网络需求量的不断增长,分布式的网 络服务与交换已经移至用户级,由此形成了一个新的、更适应现代的 高速大型网络的分层设计模型。我们将采用层次化网络设计,构建高 第 4 页 效、可靠、安全的网络。 多层网络系统设计能最有效地利用多种业务,包括负载分担与故 障恢复等。在多层网络中运用智能多业务可以大大减少因配置不当或 故障设备引起的一般问题。多层模式使网络的移植更为简单易行,因 为它保留了基于路由器与交换机的网络原有的寻址方案,对以往的网 络有很好的兼容性。另外分层结构也能够对网络的故障进行很好的隔 离。 . 核心层 为网络提供骨干组件或高速交换组件,高效速度传输是核心层 的目标。核心层的功能主要是实现骨干网络之间的优化传输,骨干层 设计任务的重点通常是冗余能力、可靠性与高速的传输。核心层具有 如下几个特性:高可靠性、提供冗余、提供容错、能够迅速适应网络 变化、低延时、可管理性良好、网络直径限定与网络直径一致。 当网络中使用路由器时,从网络中的一个终端到另一个终端经过 的路由器的数目称为网络的“直径”。在一个层次化网络中,应该具 有一致的网络直径。也就是说,通过网络主干从任意一个终端到另一 个终端经过的路由器的数目是一样的,从网络上任一终端到主干上的 服务器的距离也应该是一样的。限定网络的直径,能够提供可预见的 性能,排除故障也容易一些。分布层路由器与相连接的局域网可以在 不增加网络直径的前提下加入网络,因为它们不影响原有的站点的通 信。 在核心层中,网络的控制功能最好尽量少在骨干层上实施。核心 第 5 页 层一直被认为是所有流量的最终承受者与汇聚者,所以我们对核心层 的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部 分。我们将采用高带宽的千兆级交换机,充当核心层设备。因为核心 层是网络的枢纽部分,网络流量最大,因此需要提供高带宽。 汇聚层 是核心层与终端用户接入层的分界面,访问层的汇接点,用于分 隔访问层的不同网络拓扑,并实现网络的聚合及流量的收敛。汇聚层 完成网络访问的策略控制、广播域的定义、VLAN间的路由、数据包 处理、过滤寻址及其他数据处理的任务。一般采用中端设备。 汇聚层是连接接入层与核心层的网络设备,为接入层提供数据的 汇聚\传输\管理\分发处理.汇聚层为接入层提供基于策略的连接,如 地址合并,协议过滤,路由服务,认证管理等.通过网段划分(如VLAN)及 网络隔离可以防止某些网段的问题蔓延与影响到核心层.汇聚层同时 也可以提供接入层虚拟网之间的互连,控制与限制接入层对核心层的 访问,保证核心层的安全与稳定。 汇聚层设计为连接本地的逻辑中心,仍需要较高的性能与比较丰 富的功能。 汇聚层设备一般采用可管理的三层交换机或堆叠式交换 机以达到带宽与传输性能的要求。其设备性能较好,但价格高于接入 层设备,而且对环境的要求也较高,对电磁辐射、温度、湿度与空气 洁净度等都有一定的要求。汇聚层设备之间以及汇聚层设备及核心层 设备之间多采用光纤互联,以提高系统的传输性能与吞吐量。一般来 说,用户访问控制会安排在接入层,但这并非绝对,也可以安排在汇 第 6 页 聚层进行。在汇聚层实现安全控制与身份认证时,采用的是集中式的 管理模式。 当网络规模较大时,可以设计综合安全管理策略,例如 在接入层实现身份认证与MAC地址绑定,在汇聚层实现流量控制与 访问权限约束。 接入层 向本地网段提供用户接入、主要提供网络分段、广播能力、多播 能力、介质访问的安全性、MAC地址的过滤与路由发现等任务。 接入层通常指网络中直接面向用户连接或访问的部分。接入层目 的是允许终端用户连接到网络,因此在接入层我们将采用具有低成本 与高端口密度特性的交换机。接入交换机是最常见的交换机,它直接 及外网联系,使用最广泛,尤其是在一般办公室、小型机房与业务受 理较为集中的业务部门、多媒体制作中心、网站管理中心等部门。在 传输速度上,现代接入交换机大都提供多个具有 10M/100M/1000M自适应能力的端口。 在接入层是最终用户(员工) 及网络的接口,它应该提供即插即用 的特性,同时应该非常易于使用与维护。当然我们也应该考虑端口密 度的问题接入层由无线Switch组成,按照宽带网络的 定义,接入层的主要功能是完成用户流量的接入与隔离。对于无线局 域网WLAN用户,用户终端通过无线网卡与无线接入点AP完成用户 接入。 接入层交换机一般用于直接连接电脑,具有低成本与高端口密度 特性。接入层交换机端口的input 指服务器向交换机端口发送的数 第 7 页 据,即是服务器发送出去的数据。接入层交换机端口的output 指交 换机端口向服务器传输的数据,即是服务器收到的数据。 1.3 核心层设计 核心交换区的作用是高效速度传输数据,是所有流量的最终承受 者与汇聚者,推荐使用高端设备。我们推荐使用Cisco Catalyst 3750 三台三层交换机为网络提供可靠、高速、安全的服务。 3750系列交换机是一个创新的产品系列,它结合业界领先的易 用性与最高的冗余性,里程碑地提升了堆叠式交换机在局域网中的工 作效率。这个产品系列采用了最新的思科StackWise智能堆叠技术, 不但实现高达32Gbps的堆叠互联,还从物理上到逻辑上使若干独立 交换机在堆叠时集成在一起,便于用户建立一个统一、高度灵活的交 换系统 -- 就好像是一整台交换机一样。这代表了堆叠式交换机新的 工业技术水平与标准。 3750系列最多可以将9个交换机堆叠在一起,构成一个统一的逻 辑单元,其中总共包含468个以太网或以太网供电10/100端口或者 252个以太网 10/100/1000端口、或9个 10GB以太网端口。各个 10/100、10/100/1000与 10Gb以太网单元可以根据网络的需要任 意组合。 3750系列可以使用标准多层软件镜像(SMI)或者增强多层软 件镜像(EMI)。SMI功能集包括先进的服务质量(QoS)、速率限 制、访问控制列表(ACL)与基本的静态与路由信息协议(RIP)路 由功能。EMI可以提供一组更加丰富的企业级功能,包括先进的、基 第 8 页 于硬件的IP单播与组播路由。 接入层设计 接入层交换机采用思科的 WS-C2960 系列的二层交换机以千 兆以太链路与汇聚交换机相连接,并为员工终端提供 10/100M 自 适应的接入,从而形成千兆为骨干,百兆到桌面的以太网三层结构。 接入层交换机一般用于直接连接办公系统,具有低成本与高端口 密度特性。接入层交换机端口的 input 指服务器向交换机端口发送 的数据,即是服务器发送出去的数据。接入层交换机端口的 output 指交换机端口向服务器传输的数据,即是服务器收到的数据。 我们在核心层与汇聚层的设计中主要考虑的是网络性能与功能 性要高,那么我们在接入层设计上主张使用性能价格比高的设备。接 入层是最终用户(员工) 及网络的接口,它应该提供即插即用的特性, 同时应该非常易于使用与维护。当然我们也考虑端口密度的问题。 1.5 内联接入 内联接入的作用是用于连接北京总部与北京分部。我们推荐使用 两台Cisco 2821系列路由器完成此项功能。由于总部网络与分部机 房属于公司的内部网络的一部分,因此我们将着重重视数据的安全 性、可靠性。 Cisco 2821系列具有以下功能: 集成语音留言 范围广泛的话音接口 支持 SRST, 分支机构可利用集中呼叫控制, 并通过SRST冗余 第 9 页 性为IP 经济有效地提供本地 分支机构备份 Cisco 2821还支持QOS,包含网络扩展性,具有内置防火墙功能, 提高内部网络的安全性、可靠性。 第二章 路由设计 2.1 路由协议选择 OSPF全称为开放式最短路径优先协议(Open Shortest-Path First),OSPF采用链路状态协议算法,每个路由器维护一个相同的 链路状态数据库,保存整个AS 的拓扑结构。一旦每个路由器有了完 整的链路状态数据库。对于大型的网络,为了进一步减少路由协议通 信流量,利于管理与计算,OSPF将整个AS划分为若干个区域,区域 内的路由器维护一个相同的链路状态数据库,保存该区域的拓扑结 构。 OSPF支持各种不同鉴别机制,并且允许各个系统或区域采用互不相 同的鉴别机制;提供负载均衡功能;OSPF属动态的自适应协议,对 于网络的拓扑结构变化可以迅速地做出反应,进行相应调整,提供短 的收敛期,使路由表尽快稳定化,并且及其它路由协议相比,OSPF 在对网络拓扑变化的处理过程中仅需要最少的通信流量;OSPF提供 点到多点接口,支持无类型域间路由地址。 2.2 路由规划拓扑图 2.2 IP 地址规划 标识网络中的一个节点。IP 地址空间的分配,要及网络层次结 构相适应,既要有效地利用地址空间,又要表达出网络的可扩展性与 第 10 页 灵活性,同时能满足路由协议的要求,提高路由算法的效率,加快路 由变化的收敛速度。 我们根据以下几个原则来分配IP 地址: 唯一性 :一个IP 网络中不能有两个主机采用相同的IP 地址 简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化 路由表的款项 连续性:连续地址在层次结构网络中易于进行路由总结(Route Summarization),大大缩减路由表,提高路由算法的效 率 可扩展性 :地址分配在每一层次上都要留有余量,在网络规模扩展 时能保证地址总结所需的连续性 灵活性:地址分配应具有灵活性,可借助可变长子网掩码技术 (VLSM Variable-Length Subnet Mask),以满足多种 路由策略的优化,充分利用地址空间。 Vlan 的划分: 总部 Vlan 虚拟i 工程部 Vlan10 销售部 Vlan20 财务部 Vlan30 人事部 Vlan40 网络部 Vlan50 市场部 Vlan60 第 11 页 经理 Vlan70 IP地址的划分 总部 Ip地址 子网 工程部 销售部 财务部 人事部 网络部 市场部 经理 第三章 网络安全解决方案 3.1 网络边界安全威胁分析 把不同安全级别的网络相连接, 就产生了网络边界。防止来 自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。 非安全网络互联带来的安全问题及网络内部的安全问题是截然不 同的,主要的原因是攻击者不可控,攻击是不可溯源的,也没有 办法去“封杀”。 一般来说网络边界上的安全问题主要有下面几 个方面: 1、信息泄密: 网络上的资源是可以共享的,但没有授权的 人得到了他不该得到的资源,信息就泄露了。一般信息泄密有两 种方式: 第 12 页 ◆攻击者(非授权人员)进入了网络,获取了信息,这是从网 络内部的泄密 ◆合法使用者在进行正常业务往来时,信息被外人获得,这 是从网络外部的泄密 2、入侵者的攻击: 互联网是世界级的大众网络,网络上有 各种势力及团体。入侵就是有人通过互联网进入你的网络 (或其他 渠道),篡改数据,或实施破坏行为,造成你网络业务的瘫痪,这 种攻击是主动的、有目的、甚至是有组织的行为。 3、网络病毒:及非安全网络的业务互联,难免在通讯中带 来病毒,一旦在你的网络中发作,业务将受到巨大冲击,病毒的 传播及发作一般有不确定的随机特性。这是“无对手”、“无意 识”的攻击行为。 4、木马入侵:木马的发展是一种新型的攻击行为,他在传 播时象病毒一样自由扩散, 没有主动的迹象,但进入你的网络后, 便主动及他的“主子”联络,从而让主子来控制你的机器,既可 以盗用你的网络信息,也可以利用你的系统资源为他工作,比较 典型的就是“僵尸网络”。 来自网络外部的安全问题,重点是防护及监控。来自网络内 部的安全,人员是可控的,可以通过认证、授权、审计的方式追 踪用户的行为轨迹,也就是我们说的行为审计及合轨性审计。 由于有这些安全隐患的存在,在网络边界上,最容易受到的攻击 方式有下面几种: 第 13 页 1、黑客入侵: 入侵的过程是隐秘的,造成的后果是窃取数 据及系统破坏。木马的入侵也属于黑客的一种,只是入侵的方式 采用的病毒传播,达到的效果及黑客一样。 2、病毒入侵:病毒就是网络的蛀虫及垃圾,大量的自我繁 殖,侵占系统及网络资源,导致系统性能下降。病毒对网关没有 影响,就象“走私”团伙,一旦进入网络内部,便成为可怕的“瘟 疫”,病毒的入侵方式就象“水”的渗透一样,看似漫无目的, 实则无孔不入。 3、网络攻击: 网络攻击是针对网络边界设备或系统服务器 的,主要的目的是中断网络及外界的连接,比如 DOS 攻击,虽 然不破坏网络内部的数据,但阻塞了应用的带宽,可以说是一种 公开的攻击,攻击的目的一般是造成你服务的中断 “魔高道高,道高魔高”。网络边界是两者长期博弈的“战 场”,然而安全技术在“不断打补丁”的同时,也逐渐在向“主 动防御、立体防护”的思想上迈进,边界防护的技术也在逐渐成 熟,数据交换网技术就已经不再只是一个防护网关,而是一种边 界安全网络,综合性的安全防护思路。 也许安全的话题是永恒的, 但未来的网络边界一定是越来越安全的, 网络的优势就在于连通。 3.2 网络内部安全威胁分析 内部网络的风险分析主要针对整个内部网的安全风险主要 表现一下几个方面: 内部用户的非授权访问,安博集团的内部资源也不是对任何 第 14 页 的员工开放的,也需要相应的访问权限内部用户的非授权的访问。 更容易造成资源与重要信息的泄露 内部用户的误操作:由于内部用户的计算机造作的水平参差 不齐,对于应用软件的理解也各不相同,如果一部分软件没有相 应的对误操作的防范措施,极容易给服务系统各其他主机造成危 害 内部用户的恶意攻击:就网络安全来说,据统计约有 70%左 右的攻击来自内部用户,相比外部攻击来说,内部用户具有更得 天独厚的的优势,因此对内部用户攻击的防范也很重要。 设备的自身安全行也会直接关系到安博公司网络系统与各种 网络应用的正常运行,例如,路由设备存在路由信息泄露,交换 机与路由器设备配置风险 3.3 安全产品选型原则 公司网络需要在考虑安全性的前提下,综合系统的其它性能, 不影响网络系统运行效率、不影响正常的业务,定下系统综合服务品 质参数,在此基础上,以不降低综合服务品质为原则,对信息安全产 品进行选型。 选型原则包括: 安全性原则:产品系统具有多层次的安全保护措施,可以满足 用户身份鉴别、访问控制、数据完整性、可审核性与保密性传输等要 求; 标准性:网络安全产品选型符合国家标准,产品的质量以及属 第 15 页 性必须达到国家所要求的,符合本产品的性能; 扩展性原则:在业务不断发展的情况下 ,产品系统可以不断 升级与扩充,并保证系统的稳定运行; 性价比:不盲目追求高性能产品,要购买适合自身需求的产品; 产品及服务相结合原则:良好的售后服务,否则买回的产品出现故障 时既没有技术又没有产品服务,使企业蒙受损失 3.4 网络常用技术介绍 PPP协议 PPP协议是在点到点链路上承载网络层数据包的一种链路层协 议,它能够提供用户验证、易于扩充,并且支持同/异步通信它的优 点在于简单、具备用户验证能力、可以解决IP分配等 PPP是一种 多协议成帧机制,它适合于调制解调器、HDLC位序列线路、SONET 与其它的物理层上使用。它支持错误检测、选项协商、头部压缩以及 使用HDLC类型帧格式(可选)的可靠传输 PPP提供了三类功能:1 成帧:他可以毫无歧义的分割出一帧 的起始与结束 2 链路控制:有一个称为LCP的链路控制协议,支持 同步与异步线路,也支持面向字节的与面向位的编码方式,可用于启 动路线、测试线路、协商参数、以及关闭线 网络控制:具有协 商网络层选项的方法,并且协商方法及使用的网络层协议独立 PPP的两种认证方式 一种是PAP,一种是CHAP 相对来说PAP 的认证方式安全性没有CHAP高 PAP在传输password是明文的, 而CHAP在传输过程中不传输密码,取代密码的是hash (哈希值) 第 16 页 PAP认证是通过两次握手实现的,而CHAP则是通过3次握手实现的。 PAP认证是被叫提出连接请求,主叫响应。而CHAP则是主叫发出请 求,被叫回复一个数据包,这个包里面有主叫发送的随机的哈希值, 主叫在数据库中确认无误后发送一个连接成功的数据包连接认证阶 段完成之后,PPP将调用在链路创建阶段(阶段 1)选定的各种网络 控制协议(NCP)。选定的NCP解决PPP链路之上的高层协议问题, 经过三个阶段以后,一条完整的PPP链路就建立起来了。 利用以太网 (Ethernet)资源,在以太网上运行PPP来进行用户 认证接入的方式称为PPPoE。PPPoE即保护了用户方的以太网资源, 又完成了ADSL的接入要求,是目前ADSL接入方式中应用最广泛的 技术标准。 。 Vtp VTP :是VLAN 中继协议,也被称为虚拟局域网干道协议。它是思 科私有协议。是十几台交换机在企业网中,配置VLAN工作量大,可 以使用VTP协议,把一台交换机配置成VTP Server, 其余交换机配置 成VTP Client,这样他们可以自动学习到server 上的VLAN 信息。 VTP是一种消息协议,使用第2层帧,在全网的基础上管理VLAN 的 添加、删除与重命名,以实现VLAN配置的一致性。可以用VTP管理 网络中VLAN1到 1005。有了VTP ,建立一个VTP管理域,以使它能 管理网络上当前的VLAN就可以在一台机换上集中过时行配置变更, 所作的变更会被自动传播到网络中所有其他的交换机上。(前提是在 同一个VTP域) 第 17 页 为了实现此功能,VTP模式有3种 服务器模式 (Server)客户机模式 (Client)透明模式(Transparent) HSRP 协议 我们使用HSRP来实现对故障路由器的接管,HSRP中文解释 是热备份路由协议,其含义是系统中有多台路由器,它们组成一个“热 备份组”,这个组形成一个虚拟路由器。在任一时刻,一个组内只有 一个路由器是活动的,并由它来转发数据包,如果活动路由器发生了 故障,将选择一个备份路由器来替代活动路由器,但是在本网络内的 主机看来,虚拟路由器没有改变。所以主机仍然保持连接,没有受到 故障的影响,这样就较好地解决了路由器切换的问题。 VLAN 技术 一般的交换机端口只有属于一个vlan,对于多个vlan需要跨过 多台交换机,就需要用到trunk技术。Trunk是指交换机之间及路 由之间传递,从而可以将vlan 跨越整个网络,而不仅仅是局限在一 台交换机上。 Cisco支持802.1q,isl的技术,其中Iee802.1q 是业界标准协 议,而isl是clsco专用的协议,用于在一条链路上封装多个vlan 的 信息,isl 技术得到了 inter 等厂商的大力支持,tagswitching 被 3co 及caju 支持。对于cisco交换机的trunk端口,既可以指 定它的封装协议为802.1q或isl,也可以通过dtp协议自动协商, 对也不同厂家的交换机相互连时很有帮助,对于 trunk 的定义只能 在快速以太网端口与千兆以太网端口,也可以是快速以太通道或千兆 第 18 页 以太通道,虽然我们采用的思科交换机,但是最为一个标准的,开放, 先进的网络系统,我们推荐时采用ieee802.1q标准协议。 Vlan 即虚拟局域网,是一种通过将局域网内的设备逻辑的而不是物 理的划分成一个一个网段从而实现虚拟工作组的新兴技术, iee 于 1999年颁布了用标准化vlan实现方案的802。1q协议标准草案。 VLAN技术允许网络管理者讲一个物理的lan逻辑的划分成不同 的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包括一组 有着相同需求的计算机工作站,及物理上形成的vlan 有着相同的属 性,但由于它是逻辑的而不是物理的划分,所以同一个vlan 内的各 个工作站无需笨哦放置在同一个物理空间里,即这些工作站不一定属 于同一个物理vlan 网段里,一个vlan 内部的广播与单播流量都不会 转发到其他vlan 中,从而有助于控制流量,减少设备投资,简化网 络管理,提高网络的安全性。 Trunk 技术 TRUNK是端口汇聚,就是通过配置软件的设置,将2个或多个 物理端口组合在一起成为一条逻辑的路径从而增加在交换机与网络 节点之间的带宽,将属于这几个端口的带宽合并,给端口提供一个几 倍于独立端口的独享的高带宽。Trunk是一种封装技术,它是一条 点到点的链路,链路的两端可以都是交换机,也可以是交换机与路由 器,还可以是主机与交换机或路由器。基于端口汇聚 (Trunk)功能, 允许交换机及交换机、交换机及路由器、主机及交换机或路由器之间 第 19 页 通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐 量, 大幅度提供整个网络能力。 Trunk 的优点: 1、可以在不同的交换机之间连接多个 VLAN ,可以将 VLAN 扩展 到整个网络中。 2、Trunk 可以捆绑任何相关的端口,也可以随时取消设置,这 样提供了很高的灵活性。 3、Trunk 可以提供负载均衡能力以及系统容错。由于 Trunk 实 时平衡各个交换机端口与服务器接口的流量,一旦某个端口出现故 障,它会自动把故障端口从 Trunk 组中撤消,进而重新分配各个 Trunk 端口的流量,从而实现系统容错。 Easy-vpn 技术 移动 VPN 技术: Easy VPN Server 是 Remote -Access VPN 专业设备, 而 Easy VPN Remote 就是专门为了小的分支机构所 设计的,一般情况下,小分支接口的网络管理员的水平没有那么高, 不可能去配置一堆复杂命令来实现 Site-to -Site VPN,这时候, 只需要通过 Easy VPN Remote 这个特性配置几条简单的命令,就 可以 Site-to -Site VPN。所有的配置都在 Server 端来完成,Clien 的 VPN 配置都由 Server 端采用 “推”的方式应用到分支机构的设备 上。这种技术极大地避免了分支机构配置 VPN 失败的问题。但这种 VPN 不支持路由,不支持组播,只能在 IP 协议下工作,不支持状态 第 20 页 故障切换等技术。所以,需要网络管理员在自己的实际工作中留意这 些功能是否需要,再决定是否实施 Easy VPN 技术。 SPT协议 STP是生成树协议可应用于环路网络,通过一定的算法实现路 径冗余,同时将环路网络修剪成无环路的树型网络,从而避免报文在 环路网络中的增生与无限循环。通过在交换机之间传递一种特殊的协 议报文来确定网络的拓扑结构。配置消息中包含了足够的信息来保证 交换机完成生成树计算。Spanning Tree Protocol(STP)是一种二层 链路协议,又称生成树协议,该协议在IEEE802.1D文档中定义。该 协议的原理是按照树的结构来构造网络拓扑,消除网络中的环路,避 免由于环路的存在而造成广播风暴问题。该协议使用BPDU报文传递 生成树信息。 STP的基本思想就是按照’树‘的结构构造网络的拓扑结构, 树的根是一个称为根桥的桥设备,根据设置不同,不同的交换机会被 选为根桥,但任意时刻只能有一个根桥。由根桥开始,逐级形成一棵 树,根桥定时发送配置报文,非根桥接收配置报文,并重新计算配置 信息并转发,如果某台交换机能够从两个以上的端口接收到配置报 文,则说明从该交换机到根有不止一条路径,便构成了循环回路,此 时交换机根据端口的配置选出一个端口并把其他的端口阻塞,消除循 环。当某个端口长时间不能接收到配置报文的时候,交换机认为端口 的配置超时,网络拓扑可能已经改变,此时重新计算网络拓扑,重新 生成一棵树。 第 21 页 生成树协议最主要的应用是为了避免局域网中的单点故障、网络环 回,解决成环以太网网络的“广播风暴”问题, OSPF协议 Ospf链路状态的路由协议,使用及大中型的企业,OSPF将 链路状态广播数据包LSA (Link State Advertisement)传送给在 某一区域内的所有路由器,这一点及距离矢量路由协议不同。运行 距离矢量路由协议的路由器是将部分或全部的路由表传递给及其相 邻的路由器。 OSPF 路由协议支持路由验证,只有互相通过路由验证的路由器之 间才能交换路由信息。并且 OSPF 可以对不同的区域定义不同的验 证方式,提高网络的安全性。OSPF 路由协议对负载分担的支持性能 较好。OSPF 路由协议支持多条 Cost 相同的链路上的负载分担,目 前一些厂家的路由器支持 6 条链路的负载分担。 Qos技术 QoS (Quality of Service )即服务质量。对于网络业务, 服务质量包括传输的带宽、传送的时延、数据的丢包率等。在网 络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢 包率以及时延抖动等措施来提高务质量。服务质量是相对网络业 务而言的,在保证某类业务的服务质量的同时,可能就是在损害 其它业务的服务质量。网络管理者需要根据各种业务的特点来对 网络资源进行合理的规划与分配, 从而使网络资源得到高效利用。 第 22 页 目前的Internet 仅提供尽力而为 (best-effort service) 的传 送服务,业务量尽快传送,没有明确的时间与可靠性保障。随着 网络多媒体技术的飞速发展,公司的不断扩展需要 IP 、视 频会议、视频点播 (VOD) 、远程教育等多媒体实时业务、电子商 务。这些不同的应用需要有不同的 Qos(quality of service) 要 求,Qos通常用带宽、时延、时延抖动与分组丢失率来衡量。服 务质量 Qos系指用来表示服务性能之属性的任何组合。 这些星空体育网站 星空体育首页属性 必须是可提供的、可管理的、可验证与计费的,必须是始终如一 的、可预测的、有的属性甚至是起决定性作用的。为了满足各种 用户应用的需要,构建对 IP最优并具备各种服务质量机制的网络 是完全必要的。专线服务、语音、文件传递、存储转发、交互式 视频与广播视频是现有应用的一些例子。 在正常情况下, 如果网 络只用于特定的无时间限制的应用系统,并不需要 QoS ,比如 Web应用,或 E-mail 设置等。但是对关键应用与多媒体应用就 十分必要。当网络过载或拥塞时, QoS 能确保重要业务量不受 延迟或丢弃,同时保证网络的高效运行。 QoS的关键指标主要包括:可用性、吞吐量、时延、时延变 化(包括抖动与漂移)与丢失。 第四章 产品简介 由于网络设备是整个网络的基础。因此采用主流的网络产品, 以保证整个网络的稳定性与持续性。在该项目中。我公司选择美国 cisco公司的网络设备,cisco公司是全球领先的网络设备提供商。拥 第 23 页 有世界领先的技术水平与齐全的产品线,能够提供完善的售前、售后 服务。 路由器:采用的是 cisco2821 系列的产品。该款能满足目前系 统的需求。以及性能指标,也能方便以后的升级与扩展。 Cisco 路由器的简介:属于模块化路由扩展性强,内置防火墙。 能支持 vp ,qos 等功能,转发率是内存 1024mb 够公司办公,有 百兆接口以及千兆接口,作为主干交换机实现 1000M做主干 100M 到桌面的需求,在安装千兆光纤模块的同时,还可以安装百兆光纤模 块,完全可以适应现在或将来的楼内光纤布线,灵活性很强。 (详 见附表) 二层交换机 二层交换采用的 cisco 2960 系列的 WS-C2960-48TT-L ,是一 个企业级可网管型的交换机,建立在一个功能强大且绝对无阻塞的 16G 交换背板上,可以保证堆叠中的所有端口间实现无阻塞的线 以便新的员工的加入,全双工支持 vla 技术,安 全的保证不同 vla 间的不部门不相互访问。(详见附表) 三层交换 三层交换处于汇聚层,要求的采用了可扩展性,。安全性与可改 进网络运营的管理能力,从而提高网络的运行效率。而 CISCO WS-C3750G-24TS-S 就 是 合 适 的 选 择 他 采 用 最 新 的 思 科 StackWise 智能堆叠技术,不但实现高达 32Gbps 的堆叠互联,还 星空体育网站 星空体育首页从物理上到逻辑上使若干独立交换机在堆叠时集成在一起,便于用户 第 24 页 建立一个统一、高度灵活的交换系统 -- 就好像是一整台交换机一 样。可以使用标准多层软件镜像( SMI)或者增强多层软件镜像 (EMI)。SMI 功能集包括先进的服务质量(QoS)、速率限制、 访问控制列表(ACL)与基本的静态与路由信息协议(RIP)路由功 能。EMI 可以提供一组更加丰富的企业级功能,包括先进的、基于 硬件的 IP 单播与组播路由。 设备名称 名称 特 权 模 式 密 码 路由器 2821 123#a 1 号三层交换 CISCO 123#a 机 WS-C3750G-24TS-S 2 号三层交换 CISCO 123#a 机 WS-C3750G-24TS-S 二层交换机 WS-C2960-48TT-L 123#a 工程部专用电脑 工程部要求配置较高的电脑,我们选用苹果 MacBook Pro,采 用 Intel 酷睿 i7 620M 处理器,Intel HM55 板芯片组,,及主内 存共享 256MB DDR3 SDRAM 显存;拥有 4GB 双通道内存、 500GB 硬盘、; 5800 毫安锂电池可提供 7 小时的续航时间; Mac OS X Leopard 操作系统。支持 DVD SuperMulti 双层刻录 五、打印系统 利用 windows 系统提供的打印共享功能,公司全部系统实现网 第 25 页 络打印。打印机选择著名厂商 HP 公司的激光打印机与喷墨打印机产 品,所有打印机速度不低于 14 PPM,可以实现高速的黑白与彩色打 印。全部打印机直接接入网络,培植打印服务器支持全公司员工的打 印需求,同时利用打印权限的设置保障打印机的有效合理使用。所有 打印机共享后发布在目录服务中,保证用户利用打印机的各种属性可 以迅速在网络中查询到所需要的打印机 1)打印服务器配置设计 作为公司的打印服务器,我们采用性能较好的联想天骄 i660 系列品 牌电脑。其主要配置如下: ➢ 处理类型: 64 位 ➢ CPU ➢ 主板芯片组: Intel 946GZ ➢ 内存: DDR2 2G ➢ 硬盘:250GB SATA 接口 7200RPM ➢ 网卡:Realtek RTL8139 Family PCI Fast Ethernet NIC ➢ 操作系统:Windows Server 2003 ➢ 主要服务:打印服务 ➢ 计算机名:printsever ➢ IP 地址:5/30 配置完成后,把打印服务器放置在机房中。连接在交换机上。所 有员工的计算机作为客户机通过安装网络打印机添加相应的打印机 完成打印。 第 26 页 2)打印设备表单 打印 打印机型号 颜色 共享名 位置 用途 机名 HP Color Printer-z 彩色 Hp1 总经理办公室 总经理专用 LaserJet 2605 jl HP LaserJet Printer- 黑白 Hp2 财务部 财务部专用 1020 c HP LaserJet Printer-j 黑白 Hp3 技术部 技术部专用 1020 s HP LaserJet Printer- 所有员工使 黑白 Hp4 大厅 1020 yg1 用 HP LaserJet Printer- 所有员工使 黑白 Hp5 大厅 1020 yg2 用 打印机简介 HP CP1215 HP CP1215 彩色激光打印机,在所有文档中轻松加入鲜明 的色彩,其经济适用性定会让您惊异不已。在您的办公室中惬意 地打印出品质出众、引人注目的文档,让企业发展更进一步,成 就各种全新的可能。此款打印机具有双面打印功能与照片卡插槽, 设计紧凑,占用面积虽小,却能让您享受到便捷的文件传输与出 众的性能。 三星 5637HR 第 27 页 三星5637HR的机身设计非常简洁,是黑白激光多功能一体 机,打印复印扫描 为一体的有限网络打印,标准容量:2000 页,高容量:5000页,内存256mb,高容量5000页 3)打印权限设置 A. 总经理对所有打印具有优先权 B. 部门经理对该部门打印具有优先权 C. 管理员与总经理对所有打印机具有管理权 D. 财务经理对财务部专用打印用具有管理权 设置如下: 打印机权 管理权 优先权 打印权 说明 限 Printer-z 管理员与总经 管理员(99) 管理员与 总经理专用 jl 理 总经理(99) 总经理 管理员(99) 总经理(99) 管理员、总经 管理员、 Printer-c 财务部经理 理、财务部经 总经理财 财务部专用 w (50) 理(赵六) 务部员工 财务部员工 (1) Printer-j 管理员与总经 管理员(99) 管理员、 技术部专用 s 理 总经理(99) 总经理、 第 28 页 技术部经理 技术部员 (50) 工 技术部员工 (1) 管理员(99) Printer-y 管理员与总经 所有员工使 总经理(99) 所有人 g1 理 用 所有员工(1) 管理员(99) Printer-y 管理员与总经 所有员工使 总经理(99) 所有人 g2 理 用 所有员工(1) 六、文件服务器 文件资源是网络中最常使用的资源之一,故需配备一台文件服务 器,用于公司日常的正常文件需求。 1)文件服务器的配置要求 通过设置专用的文件服
东北师大版社劳动实践与评价指导手册一年级上册主题二活动一寻找五彩的树叶课时课件.pptx
外研版英语四年级上册 Module 4 Unit 2 How much is it单元教学设计.docx
《1~5的认识》说课课件(共25张PPT)人教版一年级上册数学.pptx
2024年秋新外研版三年级上册英语教学课件 Unit 3 第1课时 Start up.pptx
原创力文档创建于2008年,本站为文档C2C交易模式,即用户上传的文档直接分享给其他用户(可下载、阅读),本站只是中间服务平台,本站所有文档下载所得的收益归上传人所有。原创力文档是网络服务平台方,若您的权利被侵害,请发链接和相关诉求至 电线) ,上传者
