1、淺析中小型園區網的設計與實現摘要:現代企業網已經從早期的簡單的數據共享開展到全方位的內部共享,從過去單一地理位置的網絡開展到全球各個分支網絡的互聯。中小型園區網絡的設計與實現對技術的要求越來越高。在此從網絡建立各個方面的需求分析入手,在深化領悟并運用vlan精華的根底上,利用科學的ip規劃方案,提出了現代中小型園區網的建立思路。該網絡具有高平安性、高可靠性、可擴展、易維護等一系列優點。關鍵詞:網絡;ip;vlan;園區網designandipleentatinfsallapusnetrkguxin-yan1,engqing-ei2(1.ityllege,xianjiatnguniversity

2、,xian710016,hina;2.zterpratin,xian710065,hina)對于現代辦公的場所,智能化必不可少,包括綜合布線、視頻監控、會議電視、智能門禁、一卡通消費、安防報警、自動a等弱電集成,而信息化業務正是智能建筑的要素之一,本方案主要就在辦公大樓內部署信息化網絡的方案進展描繪。擬訂某公司的新建辦公大樓作為局域網建立的模型。設定大樓共5層高,每層建立有弱電間一個,整個大樓設中心機房一間,規劃信息接入點共150個(即150臺計算機終端)。大樓的局域網建立自己的內網,辦公業務內網是新大樓及后勤效勞配套設施內各單位數據通信的主要平臺,為各種辦公應用系統提供高效、可靠、平安的通信

3、途徑。向樓內用戶提供內部辦公、內部辦公商務、部署各類內網效勞器等,同時,可靈敏設置大樓內用戶權限,限定用戶訪問互聯網的權限。假設此辦公大樓的內部網絡又可按照所屬的部門、職能、平安重要程度分為許多子網(即vlan),包括:財務子網、指導子網、辦公室子網、市場部子網、各類效勞器子網等。通過vlan技術的應用可以將這些用戶區分開來。1建立效果1.1先進性新建辦公樓的信息網絡必須滿足日新月異的信息化開展及新業務的開展,要求所用設備支持所有國際通用標準,良好的售后效勞。數據網絡設備須選用具有國際的的先進程度,均為業界領先并且應用廣泛的高性能交換機。1.2平安性由于以太網的播送特性,某臺計算機感染病毒后會

4、在局域網中散播,因此在設備選擇上須重視設備對病毒包的抑制過濾才能、al才能、對用戶終端的控制手段等。所選用的數據網絡設備均支持豐富的al訪問控制列表,對用戶進展線速的數據包過濾。此外,根據客戶需求還可以在用戶側進展prt-a地址捆綁、a地址-ip地址捆綁等功能,有效得對網絡內部的用戶、地址進展控制和管理。1.3高可用性/可靠性網絡設備具有良好的可靠性保證,可熱插拔的模塊,快速的恢復機制,冗余及負載平衡的電源系統,控制模塊的冗余等。通過vrrp與stp技術實現網絡構造的冗余,確保不因為單條線路的故障而導致整個網絡系統的失效,并且確保在某條線路故障時對系統性能的影響也能最校1.4可擴展性和可晉級性

5、施行的網絡具有良好的擴展性(拓撲構造、線卡等),整個網絡可以在各層擴大設備,并通過網管系統進展統一管理。為今后的網絡擴展留有足夠的空間,必須具有高度的可擴大性,可有效地對用戶提供投資保護。1.5易管理和易維護性通過網管軟件的安裝對整個網絡提供實時端口級的管理,拓撲管理、lan的配置和管理,并提供各種管理策略,有效地對整個網絡進展管理、控制和維護。為網絡提供完善的管理、配置、故障、性能、統計管理。可選擇結合業界領先的集群管理技術,做到交換機即插即用,大大簡化了配置過程,為日后擴容提供了便利。2建立方案2.1方案概述既然內部網絡可按照所屬的部門、職能、平安重要程度分為許多vlan子網,包括:財務子

6、網、指導子網、辦公室子網、市場部子網、各類效勞器子網等。在方案設計中,基于平安的重要程度和要保護的對象,可以在交換機上劃分為4個虛擬局域網(vlan),即:各類效勞器子網、財務子網、指導子網、其他子網。不同的局域網分屬不同的播送域,由于財務子網、指導子網、中心效勞器子網屬于重要網段,因此在中心交換機上將這些網段各自劃分為一個獨立的播送域,而將其他的工作站劃分在一個一樣的網段。2.2設計思想設計思想為:采用高速、高性能的網絡主干;網絡根據需要劃分不同的虛擬網;虛擬網之間的數據交換通過集中的路由功能實現;網絡主干應有極強的擴大才能,網絡性能不會因為網絡的擴大而降低;與廣域的路由器和主機配合實現廣域

7、上網絡資源的備份和數據分流;保障局域網上的平安性;2.3方案描繪由于局域網中存在多個不同平安級別的網絡用戶,例如財務系統和普通的一般工作機器,因此從平安的角度看應該將這些用戶進展隔離。一個最根本的工具就是vlan,對不同的網絡用戶進展隔離。更復雜一些的方案是通過vpn等。在目前的技術情況下,一般是使用vlan進展隔離居多。為使得用戶可以訪問公司內部,或者外部的一些公共資源,雖然通過vlan可以進展物理層面的隔離,但是希望他們在ip層是互通的,為此需要對不同的用戶/主機分配ip地址。對大型網絡,可以通過不同的樓層為單位進展ip地址的分配,這樣可以獲得比較好的地址會聚才能,可以減少對路由表的需求。

8、另外一種比較可行的方案是使用dhp自動地址分配策略,減少網絡使用的復雜度。根據以上對網絡的分析以及方便擴容的原那么,規劃整個網絡分為核心層和接入層兩級架構:(1)在辦公樓的中心機房選用配置1臺中興通訊的zxr10ger02作為出口路由器,上聯至防火墻實現百兆接入internet;(2)選用1臺中興通訊的zxr10t40g作為核心層路由交換機,通過高密度的千兆光接口板會聚接入交換機設備,通過百兆電接口板連接各類效勞器;圖1網絡拓撲構造在核心交換機zxr10t40g上建立各個子網的vlan網關,各子網內可以互相通信,但子網間的通信必須通過網關實現,網管人員可以通過訪問控制列表al來靈敏調整vlan

9、間的互訪關系,從而到達限制用戶行為的目的。表1vlan號和vlan名稱規劃vlan編號vlan名實現功能2server各類效勞器子網3leader指導子網4finane財務子網5ther其他子網表2各子網的ip地址規劃vlan編號vlan名實現功能地址劃分掩碼網關整個網絡采用了先進的以太交換網絡技術、高速的桌面接入才能實現了網絡數據傳輸的高效性,同時整個網絡具有開放性、標準化的網絡體系,支持各種異構計算機網絡之間的互連。另外,該網絡方案還具有以下特點:(1)整個系統具有較高的性能價格比,并可以很好地保護用戶投資。對于入駐的業主也可以有所選擇,根據業主需求構建內部網絡;(2)具有前瞻性、先進性和

10、可擴展性,要滿足將來10年業務的需求,具備軟件可晉級、端口可支持萬兆、設備支持pls等擴展性;(3)具有開展業務的靈敏性,適應業務形式和業務量的變化要求,網絡設備支持各種路由協議,并具備平滑晉級的才能;(4)具備很高可靠性和平安性,在多個層次上實現平安訪問控制;可以對根據需要對不同用戶、不同應用、不同接入方式統一進展認證;可以對關鍵應用系統進展隔離和訪問控制;對外網(互聯網和合作伙伴)進展隔離和訪問控制;具有ds和dds防護才能等深層防御才能;(5)選擇的軟硬件產品應具有一定的通用性,采用標準的技術、構造、系統組件和用戶接口。3ip地址規劃原那么網絡地址、域名統一規劃:由于ip地址及域名尚未確

11、定,本次方案中只簡要提出ip分配及域名規劃的原那么。域名規劃要注意層次性和一致性。內部域名、外部域名要分別設置,能表達組織構造并易于管理。地址分配要遵循原那么:簡單性。地址的分配應該簡單,防止在主干上采用復雜的掩碼方式;連續性。為同一個網絡區域分配連續的網絡地址,便于采用suarizatin及idr(lasslessinter-dainruting)技術縮減路由表的表項,進步路由器的處理效率;可擴大性。為一個網絡區域分配的網絡地址應該具有一定的容量,便于主機數量增加時仍然可以保持地址的連續性;靈敏性。地址分配不應該基于某個網絡路由策略的優化方案,應該便于多數路由策略在該地址分配方案上實現優化;

12、可管理性。地址的分配應該有層次,某個局部的變動不要影響上層、全局;平安性。網絡內應按工作內容劃分成不同網段即子網以便進展管理。3.1地址規劃ip地址的總體劃分規那么如下:(1)技術方案上講,采用vls變長子網掩碼創立分層的子網,利用idr減少路由器中路由表中路由數量,進步總體網絡性能。(2)根據ip網絡的應用領域不同和網絡層次的位置不同,采用不同的ip地址規劃策略。子網劃分允許系統管理員更好的利用現有的地址空間。例如:有8個網絡,每個網絡有30個主機。原來需要8個lass地址,如今用子網劃分,一個lass地址就夠了。因為子網在internet上是不可見的,所以:路由表會減少,內部網根據需求可以

13、劃分多個子網,不需要浪費地址空間和增加internet路由表;子網的震蕩不會影響internet,ripv1只允許一個子網掩碼,rf1009允許在一個路由域內有多個子網掩碼。當有多個子網掩碼備用,就稱為可變長子網掩碼。沒有vls,一個子網掩碼只能提供給一個網絡。這樣就限制了子網上的主機數。舉一個vls的例子:vls允許設計者為特定的需求分割地址空間。每個站點傳送一個聚合的子網地址到其他的站點。同樣,一個supernet是用一個普通的網絡前綴和掩碼來表示一組網絡。一個supernet的地址是由一對地址/掩碼組成的,前綴指的是相鄰網絡地址組中的第一個ip地址,掩碼是要小于自然掩碼長度。idr允許路

14、由器更充分聚合路由選擇信息。路由表中的一條紀錄可以代表許多網絡。這大大減小路由表的規模,并且直接轉化為地址空間的可擴展性。地址規劃的根本思想:通常合理的地址規劃是使連續的地址盡量集中在一個區域內。因此,整個核心層應象一個區域或一個省一樣,被分配一段連續的地址。更進一步,連接進某一區域的省的ip地址范圍應集中在該區域的地址范圍附近。廣域網連接:假設廣域網連接采用路由協議,那么應使用30位掩碼。點對點的連接只需兩個主機地址,因此不需更大的地址空間。詳細設計施行規那么:第一層:以網絡匯接區域來劃分。根據網絡匯接分布的地理區域來劃分大塊連續的ip地址空間;有利于路由協議的計算和地址會聚。在首期網絡工程

15、內的地址劃分需要考慮網絡的接入層的擴展;需要為網絡的擴展預留地址空間。第二層:在區域接入網內,以網絡功能來劃分?？梢愿鶕煌膽煤途W絡功能來劃分,如:用戶網絡接入地址;數據效勞器地址空間和網絡管理操作?？梢詮奶柎a上識別出應用和功能;根據詳細地址空間,可以給出每個區域和接入層的地址空間。在地址分配中需要的從地址的應用類型上給出規那么:路由器lpbak地址,每臺路由器需要一個30位掩碼的ip地址;點到點的廣域網鏈路,需要30位最小的子網;局域網地址按照主機接入數量和設備數量來分配子網空間;根據網絡ip地址的應用類型,從總體上將可利用的ip地址劃分成如下4種類型,劃分方案如表3所示。表3劃分方案應

16、用類型ip地址子網掩碼(1)網間網互連網絡。(2)帶內管理網絡。(3)數據效勞器網絡。(4)用戶網絡。用戶網絡的ip地址是整個網絡用戶的終端ip地址,是整個網絡ip地址劃分中的核心局部,該局部ip地址要嚴格按照網絡的分層構造劃分出分層子網,同時,要預留網絡的擴展網段,以利于網絡規模的擴展。3.2地址分配在地址分配過程中,各節點的保存ip地址應盡量保持連續性以便于內部路由管理,同樣,整個網絡內部也應盡量保持idr(無級域間路由)地址塊的連續性,保存ip地址的使用應為將來網絡開展留有余地,以便于網絡的統一規劃。ip的地址分配主要考慮:合法的ip地址應由統一的網管中心分配使用;地址分配方案應與原有網絡地址分配方案統一考慮,原有網絡地址分配盡量保持不變;地址分配應本著簡化路由選擇,充分利用地址空間,兼顧今后網絡開展,便于業務管理等原那么進展;地址分配方案可以考慮可變長子網掩碼技術;充分考慮將來在假設干節點的系統可擴大性;充分反映ip網絡的拓撲層次構造;有利于路由協議的配置,地址歸納和自治域的設定;方便網絡管理;在各個層次都預留地址以適應不同層次的擴容。4結語現代辦公形式較傳統辦公室形式