中小型网络架构设计(中小型网络架构设计方案)
本篇文章给大家谈谈中小型网络架构设计,以及中小型网络架构设计方案对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
本文目录一览:
中小型公司网的组建网络设备选型
按照子系统布线,当然并不在意硬要刻意的去完全按那样的操作,如果是中小企业不需要路由设备就直接上个NAT设备就OK,其实这都是次要的,关键是要保证网络组好之后整个内网的安全和稳定是必须要考虑的。。。。因为并不是网络组好之后就算结束了,还得保证局域网的安全应用,如果你需要边界安全那么你就上防火墙,如果需要桌面和系统安全那你就要安装杀软,但是这些都解决不了局域网的底层安全,诸如ARP攻击、DDOS攻击、SYN攻击,解决这些的话你就要上免疫墙了,目前国内能解决这攻击的夜只有免疫墙了。。
小型企业网络构建
1、网络需求分析
1、网络总体需求分析,根据应用软件的类型不同,可以分为3类:
(1)MIS/OA/Web类应用,数据交换频繁,数据流量不大
(2)FTP/CAD类应用,数据交换不频繁,数据流量大
(3)多媒体数据流文件,数据交换频繁,数据流量大
2、结构化布线需求分析
通过对结点分布的实地考察,结合建筑物内部结构与建筑物之间的关系,连接的难易程度,确定中心机房、楼内各层的设备间、楼间连接技术、以及施工的造价,确定中心机房及各网段设备间的位置和用户结点的分布,确定结构化布线的需求、造价与方案。
3、网络可用性与可靠性分析
4、网络安全性需求分析
5、网络工程造价估算
2、网络规划设计
一、网络工程建设总体目标与设计原则
网络工程建设必须首先明确用户的实际需求,统一规划,分期建设,选择适合的技术,确保网络工程建设的选进性、可用性、可靠性、可扩展性与安全性。因此网络系统设计的原则是实用性、开放性、高可靠性、安全性、先进性与可扩展性。
二、网络结构与拓扑构型设计方法
大型和中型网络系统必须***用分层的设计思想,这是解决网络系统规模、结构和技术的复杂性的最有效方法。
其中,核心层网络用于连接服务器集群、各建筑物子网交换路由器,以及与城域网连接的出口;汇聚层网络用于将分布在不同位置的子网连接到核心层网络,实现路由汇聚的功能;接入层网络将终端用户计算机接入到网络之中。核心路由器之间、路由器与汇聚路由器直接使用具有冗余链路的光纤连接。汇聚路由器与接入路由器,接入路由器与用户计算机之间可以使用非屏蔽双绞线(UTP)连接。
三、核心层网络结构设计
核心层网络是整个网络系统的主干部分,应该是设计与建设的重点。主要技术标准是GE/10GE,核心设备是高性能交换路由器,连接路由器是具有冗余链路的光纤。
四、汇聚层网络与接入层网络结构设计
汇聚层网络用于将分布在不同位置的子网连接到核心层网络,实现路由汇聚的功能。
接入层网络用于将终端用户计算机接入到网络之中。
3、网络设备与选型
一、设备选型的基本原则
1、产品系列与厂商的选择
2、网络的可扩展性考虑
3、网络技术先进性考虑
二、路由器选型的依据
1、路由器的分类
高端:背板交换能力40Gbps
中低端:背板交换能力40Gbps
高端:多个高速光端口,支持多协议标记交换(MPLS)协议
中端:支持IP协议的同时,支持IPX、Vines等多种协议,支持防火墙、QoS、安全与***策略
低端:支持局域网、ADSL、接入与PPP接入方式与协议
2、路由器的关键技术指标
(1)吞吐量,是指路由器的包转发能力。
(2)背板能力,是路由器输入端与输出端之间的物理通道。传统的路由器***用的是共享背板的结构,高性能路由器一般***用交换式结构,背板能力决定吞吐量。
(3)丢包率,是指在稳定的持续负荷情况下,由于包转发能力的限制而造成包丢失的概率。
(4)延时与延时抖动,是指数据包的第一个比特进入路由器,到该帧的最后一个比特离开路由器所经历的时间,该时间间隔标志着路由器转发包的处理时间。
(5)突发处理能力,是以最小帧间隔发送数据包而不引起丢失的最***送速率来衡量的。
(6)路由表容量,路由器的一个重要任务就是建立和维护一个与当前网络链路状态与结点状态相适应的路由表。路由表容量指标标志着该路由器可以存储的最多的路由表项的数量。
(7)服务质量,主要表现在列队管理机制、端口硬件队列管理和支持QoS协议上。
(8)网管能力,表现在网络管理员可以通过网络管理程序和通用的网络管理协议SNMPv2等,对网络***进行集中的管理与操作。
(9)可靠性与可用性,表现在:设备的冗余、热拔插组件、无故障工作时间、内部时钟精度等方面。
三、交换机分类与主要技术指标
1、交换机的分类
(1)从所支持的技术类型分类,可以分为10Mbps Ethernet交换机、Fast Ethernet交换机与1Gbps的GE交换机。
(2)从内部结构分类,可以分为固定端***换机与模块交换机。
(3)从应用规模分类,可以分为:企业级交换机、部门级交换机与工作组级交换机。
2、交换机主要的技术指标
(1)背板带宽,是交换机输入端与输出端之间的物理通道。
(2)全双工端口带宽,其计算方法:端口数*端口速率*2。背板带宽应该大于此值。
(3)帧转发速率,是指交换机每秒钟能够转发的帧的最大数量。
(4)机箱式交换机的扩张能力,可以选取不同类型的控制模块来达到支持不同类型的协议与不同端口带宽的目的。(GE模块,FE模块,FDDI模块,ATM模块,Token Ring模块等)
(5)支持VLAN能力,是用户需要关注的重要指标之一,大部分交换机支持802.1Q协议,有的则支持Cisco专用的组管理协议CGMP。VLAN的划分可以是基于端口的,也可以是基于MAC地址或IP地址的。
2、交换机配置选择
(1)机架插槽数,是指模块式交换机所能够安插的最大的模块数
(2)扩展槽数,是指固定端口式交换机所带的扩展槽最多可以安插的模块数。
(3)最大可堆叠数,是指一个堆叠单元中可以堆叠的最大的交换机数量。
(4)端口密度与端口类型,密度是指一台交换机所能够支持的最小/最大的端口数,类型是指全双工端口/单工端口。
(5)最小/最大GE端口数,是指一台交换机所能够支持的最小/最大的1000Mbps 速率的端口数量。
(6)支持的网络协议类型,固定配置的交换机只有一种协议(Ethernet协议),机架式交换机与带有扩展槽的交换机一般支持多种协议(如:GE/FE/FDDI/ATM等)
(7)缓冲区大小,是来协调不同端口之间的速率匹配。
(8)MAC地址表大小,用来存储连接在不同端口上的主机或设备的MAC地址。
(9)可管理性,主要的网络管理协议与软件包括:IBM NetView/HP OPENVIEW/SNMP
(10)设备冗余,对于管理卡、交换结构、接口单元、电源需要考虑冗余。
中小型企业网络组网
IP协议是网络发展的一个重要推动力,它已经有很长的历史,是与Internet同步成长起来的网络协议。在过去,IP协议并非主导的网络协议。但是进入八十年代末和九十年代,特别是进入九十年代,随着Internet的爆炸性增长,IP协议得到了广泛的应用。越来越多的应用程序,例如万维网技术,电子邮件,文件传输,等等。所以,IP协议成为主导协议已经不可能逆转,这是市场的选择,也是用户的选择。以IP技术为核心的金融网络,将为基于数据、语音、***业务的广泛应用提供坚实的基础。
同时随着IP网络发展越来越庞大、IP应用越来越多样化,在银行交换机也由以前的单纯的局域网应用逐渐向城域及广域发展,导致其应用也越来越复杂化。目前,单靠产品已经不能很好的满足银行的实际需求,更重要的是提出完善的解决方案。迈普公司具有多年来从事数据通信和网络技术的开发和服务经验,基于银行的实际应用环境,开发了一系列贴近于用户的产品,同样,我们的宗旨是贴近客户、贴近应用。
本方案书从技术层面就如何为金融企业构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络做一阐述。本方案内容组织如下:
第一部分银行网络发展趋势及需求分析,对银行发展趋势及网络需求进行分析;
第二部分提出金融行业以太网建设总体方案设计,介绍各个技术层面的设计原则;
第三部分金融行业以太网建设的详细设计,针对银行的特点和实际情况对详细解决方案进行剖析。
1.银行网络发展趋势及需求分析
在这里,我们根据迈普公司多年来的经验,对银行网络的发展趋势进行分析。
1.1.银行网络发展中设备以及通信带宽的发展
追溯根源,银行从最初的电子化到现在,都是由业务拉动网络的发展,随着网络的发展,网络对带宽、设备的要求越来越高,可以从以下发展图示中看到银行网络发展的轨道:
银行互联网络的发展大致经过了三个阶段,目前正处在由串行通信互联到IP网络化阶段过渡的时期,目前大多的广域网通信带宽在64K到2M之间,网络的互联以传统路由器和低性能交换机、HUB为主。
可以看到,下一代网络将向交换机发展,目前在东南沿海等经济相对发达、应用相对多样的地区已经有少数银行开始***用基于宽带的广域网互联,从储蓄所到中心全部***用光纤接入。在该网络上可以方便的实现宽带的***应用,但这种方案的推广需要完善解决交换机的安全以及QoS策略。
1.2.目前银行网络发展趋势纵向划分
前面已经提到,银行网络是由业务的发展来带动的。目前的网络早已不仅仅为传统的储蓄和对公业务提供支撑,网上银行、电话银行、中间业务等等不同业务共用一个企业网络。细化起来,可以将银行目前的发展方向细化为几个方面
可以看到,主要有5个方面的发展:
管理集中
管理集中是网络规模扩大的必要管理手段,先进的网络管理平台、设备的集中管理、集群管理成为网络设备的重要功能指标。
多业务集成
多种不同的业务共用同一个物理的网络平台,对网络设备的服务质量、安全控制提出的更高的要求。
宽带化
银行业务的特殊性导致宽带化的进程受安全性要求的限制,但宽带化仍然是必然的趋势。
数据和应用集中
这与管理集中是相辅相成的,是企业网络向系统性整体性发展的体现。
网络化
这里所说的网络化,指的是网络逐渐向边缘延伸,同时与外部网络的联系越来越紧密。
在这五个方面发展的同时,网络的安全性、可靠性等性能指标也成为网络的重要一环。
1.3.需求分析
金融网络最原始的需求来自于业务的开展和***共享的需要,随着金融企业业务范围的扩大和业务产品的增多,更高速、更可靠、更安全以及更方便的网络和业务管理已经成为新时期金融企业网络的关注重点。
银行联网应用分为:业务应用和办公应用。业务应用包括零售、会计、***、国际结算、电子联行、收付清算等对银行至关重要的核心应用系统;办公应用主要是基于邮件系统、办公自动化系统、依赖此种机制的各种报表系统和管理系统,以及未来可能发展的数字电话、***网络、以及其它新型的满足办公管理需求的联网应用。
局域网络的建设主要涉及到不同业务之间的VLAN划分、VLAN之间的互通需求,以及与广域网络的无缝连接。
本方案考虑了以上的网络情况,并***用了迈普以太网交换机,实现千兆到楼层、百兆到桌面的全网解决方案。并增加了如MAC地址绑定、端口镜像、包过滤等内网安全技术,支持802.1x内部网络管理认证、用户分级管理的管理功能。
2.总体方案设计
2.1.总体设计原则
省级分行数据中心局域网,一方面作为整个银行网络系统一级网上的一个节点,另一方面又是省内网络系统的中心汇聚点,从全国银行网络系统的角度来看起到承上启下的作用。针对金融企业业务数据通信量和办公数据通信量大的情况,***用适当的经济型的迈普网络通信产品实现完善的网络接入解决方案,在网络设计构建中,应始终坚持以下建网原则:
高可靠性
网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,设备充分考虑冗余、容错能力和备份,同时合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的正常运行。主干网络设备的主要部件必须支持带电热插拔,在万一出现局部故障时应不影响网络其它部分的运行,并且故障便于诊断和排除。充分体现计算机网络的高可靠性。
技术先进性和实用性
保证满足金融核心业务应用系统业务的同时,又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑网络应用的现状和未来发展趋势。
高性能
骨干网络性能是整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、图象)的高质量传输,才能使网络不成为业务开展的瓶颈。
标准开放性
支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议,有利于以保证与其它网络(如Internet、友商企业等其它网络)之间的平滑连接互通,以及将来网络的扩展。
灵活性及可扩展性
根据未来业务的增长和变化,网络可以平滑地扩充和升级,减少最大程度的减少对网络架构和现有设备的调整。
可管理性
对网络实行集中监测、分权管理,并统一分配带宽***。选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。
安全性
制订统一的网络安全策略,整体考虑网络平台的安全性。
兼容性和经济性
兼容性,能够最大限度地保证金融企业现有各种计算机软、硬件***的可用性和连续性,为不同的现存网络提供互联和升级的手段,保证各种在用计算机系统,包括工作站、服务器和微机等设备的互连入网,充分利用现有计算机***,发挥主干网的优势。经济性,就是在充分利用现有***的情况下,最大限度地降低网络系统的总体投资。有***、有步骤地实施,在保证网络整体性能的前提下,充分利用现有的网络设备或做必要的升级。
2.2.技术策略及原则
为切实达到以上的网络设计原则,使金融网络系统具有良好的扩展性和灵活的接入能力,并易于管理,易于维护,在网络设计及构建中始终应遵循如下方面技术策略及原则:
统一标准
网络的互联及互通关键是对相同标准的遵循,要实现网络业务能融合到一起,实现数据、语音、***业务的融合,就必须统一标准。
统一平台
从开放性、发展性、成熟性等方面来看,只有IP技术才能成为统一平台网络构建的标准。而在具体实施中,必须统一规划IP地址及各种应用,***用开放的技术及国际标准,如路由协议、安全标准、接入标准和网络管理平台等,才能保证实现网络的统一,并确保网络的可扩展性。
2.3.网络分层的原则
为减少网络中各部分的相关性,便于网络的实施及管理,在网络的构建中,从整体上可以将网络划分为核心层、汇聚层、接入层等三个层次。
1、核心层
负责完成网络各汇聚节点之间的互联及完成高效的数据传输、交换、转发及路由分发。
2、汇聚层
负责将各种接入业务集中起来,除了进行局部数据的交换、转发以外,通过高速接口将数据输送到核心层去,在更大的范围内进行数据的路由以及处理。
3、接入层
设备提供各种标准接口将数据接入到网络中,完成基本的业务系统之间的隔离和安全性控制、认证管理等功能。
3.详细方案设计
3.1.大型金融机构办公大楼局域网解决方案
3.1.1.网络拓扑图
3.1.2.方案分析
本解决方案把网络分为***网络:核心层、汇聚层、接入层。
对于规模大的大型金融机构办公大楼局域网络,需要建立一个核心的交换平台,使用两台MyPower S4196B三层交换机作为网络的中心核心层,通过千兆链路汇聚来自楼层的MyPower S4196B上行数据。两台MyPower S4196B通过多个千兆GE链路TRUNK互相作为冗余备份,共同作为网络的核心交换。
在汇聚层选择MyPower S4196B产品进行楼层汇聚,最大可提供96个100M端口接入,作为相邻3个楼层的楼层汇聚,使用2路千兆上行连接到核心交换的两台MyPower S4196B上。用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等。
在接入层选择MyPower S3026G系列产品进行房间内信息点的接入,实现100兆到桌面。
迈普系列数据通信产品支持统一的网管平台,通过迈普的DeviceMaster网管软件(NT/2000平台),应用标准网管协议SNMP,可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术,只需设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配。同时,整个方案中的各系列交换机都内置了802.1x本地认证功能,能对各信息点的接入用户进行认证并对其流量进行限制;通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术,能为整个大楼构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络。
3.1.3.方案特点
集群化管理
可以***用迈普DeviceMaster管理软件对MyPower S4196B、MyPower S3026G进行集群化的图形管理,只需要设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配;初始化时从交换机无须做任何参数配置,整个网络拓扑由主交换机自动发现,大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成,实现管理集中。
划分多工作组群
MyPower S4196B交换路由器提供VLAN与VLAN之间的数据转发,通过它,可以将办公大楼的接入用户划分为多个工作组群,组与组之间可以通过二层交换机进行连接。同时,MyPower S3026G进行对工作组群之间的交互控制。
安全性高
目前作为应用在局域网中的设备,MyPower S4196B支持802.1x、用户分级管理,可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制、MAC地址绑定,防止非授权访问以及授权的越区访问。还可配合迈普加密体系,保证网络机密性。
性价比高
在大楼核心***用高性价比的MyPower S4196B路由交换机,最大提供96个100M以太口,提供全线速三层交换,是组建大型金融机构办公网络的最佳网络设备。
可靠性好
MyPower S4196B和MyPower S3026G***用双电源冗余供电,还可根据需要进行网络链路的冗余备份,保证系统的不间断运行。
易维护
MyPower S4196B和MyPower S3026G提供中文和英文双语集成的基于Web配置方式,只需要对网络有简单的了解就可以对它进行方便的配置,同时,它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别,无须技术人员考虑网线是直连网线还是交叉。
3.2.中型金融机构办公大楼局域网解决方案
3.2.2.方案分析
本解决方案把网络分为***网络:核心层、汇聚层、接入层。
对于中小型金融机构办公大楼局域网络,也需要建立一个核心的交换平台,使用一台MyPower S4196B系列产品作为网络的中心核心层,通过千兆链路集中来自MyPower S4126G汇聚的上行数据。MyPower S4196B系列产品是迈普线速交换网络产品系列定位于中型核心节点的代表产品系列,属千兆交换路由产品,当前的MyPower S4196B提供全线速的二三层交换。在中型规模金融企业网中,两台通过TRUNK连接的MyPower S4196B产品可以被设计作为网络的核心交换、业务控制和冗余控制平台。
在汇聚层选择MyPower S4126G产品进行楼层汇聚,提供24个100M接入,同时2路千兆上行。用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等。
在接入层选择MyPower S3026G系列产品进行房间内信息点的接入,实现100兆到桌面。
迈普系列数据通信产品支持统一的网管平台,通过迈普的DeviceMaster网管软件(NT/2000平台),应用标准网管协议SNMP,可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术,只需设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配。同时,整个方案中的各系列交换机都内置了802.1x本地认证功能,能对各信息点的接入用户进行认证并对其流量进行限制;通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术,能为整个大楼构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络。
3.2.3.方案特点
集群化管理
可以***用迈普DeviceMaster管理软件对MyPower S4196B、MyPower S4126G、MyPower S3026G进行集群化的图形管理,只需要设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配;初始化时从交换机无须做任何参数配置,整个网络拓扑由主交换机自动发现,大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成,实现管理集中。
划分多工作组群
MyPower S4196B交换路由器提供VLAN与VLAN之间的数据转发,通过它,可以将办公大楼的接入用户划分为多个工作组群,组与组之间可以通过二层交换机进行连接。同时,MyPower S4126G进行对工作组群之间的交互控制和路由。
安全性高
目前作为应用在局域网中的设备,MyPower S4196B、MyPower S4126G支持802.1x、用户分级管理,可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制、MAC地址绑定,防止非授权访问以及授权的越区访问。还可配合迈普加密体系,保证网络机密性。
可靠性好
MyPower S4196B、MyPower S4126G、MyPower S3026G***用双电源冗余供电,还可根据需要进行网络链路的冗余备份,保证系统的不间断运行。
性价比高
在大楼核心***用高性价比的MyPower S4196B和MyPower S4126G路由交换机,提供全线速三层交换,是组建中型金融机构办公网络的最佳网络设备。
易维护
MyPower S4196B、MyPower S4126G和MyPower S3026G提供中文和英文双语集成的基于Web配置方式,只需要对网络有简单的了解就可以对它进行方便的配置,同时,它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别,无须技术人员考虑网线是直连网线还是交叉。
3.3.小型金融机构办公大楼局域网解决方案
3.3.2.方案分析
对于小型金融机构办公大楼局域网络,也需要建立一个核心的交换平台,使用一台MyPower S4126G系列产品作为网络的中心核心层,通过百兆链路汇聚来自各楼层MyPower S3026G的上行数据。在小规模金融企业网中,单台MyPower S4126G产品可以被设计作为网络的核心交换、业务控制和冗余控制平台。
在接入层选择MyPower S3026G系列产品进行房间内信息点的接入,实现100兆到桌面,可划分VLAN对业务进行隔离。
迈普系列数据通信产品支持统一的网管平台,通过迈普的DeviceMaster网管软件(NT/2000平台),应用标准网管协议SNMP,可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术,只需设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配。同时,整个方案中的各系列交换机都内置了802.1x本地认证功能,能对各信息点的接入用户进行认证并对其流量进行限制;通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术,能为整个大楼构建一个便于管理的、可控的、高性能的智能网络。
3.3.3.方案特点
集群化管理
可以***用迈普DeviceMaster管理软件对MyPower S4126G和MyPower S3026G进行集群化的图形管理,只需要设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配;初始化时从交换机无须做任何参数配置,整个网络拓扑由主交换机自动发现,大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成,实现管理集中。
划分多工作组群
MyPower S4126G交换路由器提供VLAN与VLAN之间的数据转发,通过它,可以将办公大楼的接入用户划分为多个工作组群,组与组之间可以通过二层交换机进行连接。同时,MyPowerMyPower S3026G进行对工作组群之间的交互控制。
安全性高
目前作为应用在局域网中的设备,MyPower S4126G支持802.1x、用户分级管理,可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制、MAC地址绑定,防止非授权访问以及授权的越区访问。还可配合迈普加密体系,保证网络机密性。
可靠性好
MyPower S4126G、MyPower S3026G***用双电源冗余供电,还可根据需要进行网络链路的冗余备份,保证系统的不间断运行。
性价比高
在大楼核心***用高性价比的MyPower S4126G路由交换机和MyPower S3026G二层网管型交换机,MyPower S4126G提供全线速三层交换,MyPower S3026G支持二层的所有网管协议,是组建中小型金融机构办公网络的最佳网络设备。
易维护
MyPower S4126G和MyPower S3026G提供中文和英文双语集成的基于Web配置方式,只需要对网络有简单的了解就可以对它进行方便的配置,同时,它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别,无须技术人员考虑网线是直连网线还是交叉。
3.4.同城金融机构办公大楼间城域网解决方案
3.4.2.方案分析
上图显示了典型金融企业网的组网应用情况。在该类网络中存在下列需求:大量不同规模工作组的接入;楼层(楼间)宽带互联;分部互联;综合服务环境提供(邮件系统、文件系统、数据库等);对外服务提供以及业务隔离等。
当前,随着企业IT进程的迅速推进,千兆骨干,百兆到桌面已经成为企业LAN建设的标准配置,按照这种思路组建金融企业网络的物理平台架构,在用户接入层可以选用MyPower S3026G系列接入交换机,提供百兆到桌面的同时再以100M/1000M上行到汇聚层;在汇聚层则可以选用MyPower S4196B和MyPower S4126G,向下提供百兆接入,同时向上提供千兆链路上行。MyPower S4196B和MyPower S4126G可以提供2条千兆上行链路,用户可以根据自身需求以及光纤***情况进行灵活的选择。用MyPower S4196B做大楼中心汇聚,向下提供千兆接入,同时向上提供N×1000M链路上行。
对于远端的办公节点,例如另一栋办公大楼或者一个拥有可达光纤***的金融分支机构,远端办公节点的MyPower S4196B支持扩展光纤接口模块,可以方便的实施远程光纤互联。在各办公节点间用MyPower S4112A进行各点的核心汇聚,MyPower S4112A最大能提供12个千兆光口。
在业务部门众多,网络用户密集、结构复杂的中型企业,纯二层产品组建的网络往往会出现广播报文急剧增多而导致的网络转发效率降低的现象,同时,不同的部门处在同一个网络中,也可能产生安全漏洞,所以,有必要使用相应的网络技术来控制不同子网的广播范围,使用VLAN(虚拟私有网)技术可以有效的隔离广播,控制不同网络用户的互访,但同时也产生了新的问题:彻底的二层隔离使得原有的公用***可能不再能同时为各个相互隔离的子网服务了,另外,为了隔离广播造成了部分需要互访的用户的隔离――解决不同VLAN之间的互访需求需使用网络更高逻辑层的支持技术――路由技术(第三层)。在大型企业的部门级网络或者中型企业的分部LAN中心都可以选用MyPower S4100系列产品解决上述问题。MyPower S4100系列可以提供全线速的二三层交换,保证了即使在网络流量子网网间达到流量高峰时,该网络节点处理依然不会成为瓶颈。
在更好的控制广播扩散以及不同部门之间数据流的三层互通的同时,MyPower S4100还能实现线速的多层策略过滤,即:MyPower S4100可以基于硬件的2~7层包过滤等设置安全策略,用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等。
迈普系列数据通信产品支持统一的网管平台,通过迈普的DeviceMaster网管软件(NT/2000平台),应用标准网管协议SNMP,可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术,只需设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配。同时,整个方案中的各系列交换机都内置了802.1x本地认证功能,能对各信息点的接入用户进行认证并对其流量进行限制;通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术,能为同城各办公机构间构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络。
3.4.3.方案特点
集群管理
可以***用迈普DeviceMaster管理软件对MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G进行集群化的图形管理,只需要设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配;初始化时从交换机无须做任何参数配置,整个网络拓扑由主交换机自动发现,大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成,实现管理集中。
划分多工作组群
MyPower S4112A、MyPower S4196B和MyPower S4126G交换路由器提供VLAN与VLAN之间的数据转发,通过它,可以将办公大楼的接入用户划分为多个工作组群,组与组之间可以通过二层交换机进行连接。同时,MyPower S3026G进行对工作组群之间的交互控制。
安全性高
目前作为应用在局域网中的设备,MyPower S4112A、MyPower S4196B和MyPower S4126G支持802.1x、用户分级管理、基于硬件的2~7层包过滤等安全策略,可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制,防止非授权访问以及授权的越区访问。还可配合迈普加密体系,保证网络机密性。
可靠性好
MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G***用双电源冗余供电,还可根据需要进行网络链路的冗余备份,保证系统的不间断运行。
性价比高
在大楼核心***用高性价比的MyPower S4112A和MyPower S4196B路由交换机,最大能提供12个千兆光口,提供全线速三层交换,是组建中小型金融机构办公网络的最佳网络设备。
易维护
MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G提供中文和英文双语集成的基于Web配置方式,只需要对网络有简单的了解就可以对它进行方便的配置,同时,它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别,无须技术人员考虑网线是直连网线还是交叉。
结束语
无论是金融系统原有的数据网络***系统、中间业务网络还是OA、金融企业***系统,在充满竞争和机会的金融市场环境下都需要更加技术先进、开放、安全可靠的网络基础。把这些零散的业务网络有机的整合在一起,这意味着要构筑打造一个高性能、高效、可控、易维护的全新智能信息网络。
面向全新的金融网络,迈普依靠多年来在金融行业积累下的网络建设经验,对省行到网点机构进行详细分析和精心设计,帮助客户提供了面向业务、面向办公自动化网络高性价比的局域网建设综合解决方案,全面满足大集中的背景下产生的业务对网络的众多需求。
中小型企业网络组建设计方案(毕业设计论文)
方案一WindowsNT ( Windows 2000 server ) + Proxy + Exchange+WinRoute(或Checkpoint)
上述软件组合能够实现和TL-100互联网功能服务器网络解决方案相同的包过滤防火墙、邮件服务器、Web浏览代理、Ftp服务代理等功能。但是由于WindowsNT(或Windows2000 server)对于计算机硬件要求比较高,正版软件的价格也比较高,更为重要的是:从技术上来说,上面的方案需要固定的IP地址,这意味着企业每时每刻还需缴纳一笔额外的费用。另外,上述软件还需要专业的系统管理员来维护。(微软的产品有无数的补丁需要你“补上”)
上面的解决方案明显的不太符合目前国内中小企业对于信息化的“性能价格比”要求和维护成本要求。
方案二Windows98(WindowsNT)+Wingate
这种方案能够实现Web代理和数据包过滤的部分功能,另外,新版本的Wingate还提供网络地址转化功能(NAT)功能和防火墙功能。这个方案的缺点是:系统硬件要求比较高(如果你系统整个系统运行稳定),应用软件和操作系统软件整体成本太高。安全的规则需要专业人士的配置。没有很好的解决企业电子邮件系统的使用需求。另外,部分“高级”功能的实现需要安装“客户端软件”。加重了网络系统的维护负担。
方案三Windows98(WindowsNT) + dns2go
这种方案,在Windows操作系统上安装相应的客户端软件,和dns2go站点的DNS服务器协调工作,达到动态域名解析的目的。这种方案能够完成中小企业一站式INTRANET/INTERNET解决方案中从TL-100互联网功能服务器到互连网之间的DNS通讯问题,但这种方案对于用户的域名只能在dns2go.net下选择。如果将自己企业的域名转到dns2go上的域名服务器授权解析的工作,dns2go的域名服务器也只做域名解析的工作,不提供其它和域名相关的服务(如电子邮件服务器不在线的邮件接收问题)。另外,这种方案的运行稳定性在通讯线路不佳,造成用户的机器频繁拨号连接ISP而造成的IP地址变动的情况发生时,用户域的主机域名纪录的频繁变动。但是这些变动数据和在互联网上其它DNS服务器缓存中的数据不会随时同,这种情况会造成WEB和E-Mail等需要固定IP的互联网服务无***常提供服务。(例如:在域名和IP地址变动时,可能造成互联网上用户向本域E-mail投递失败,或将E-mail投递到其它恰巧使用相同解决方案且恰巧有SMTP服务器上)
对比项目中小企业一站式INTRANET解决方案费用传统的接入方案费用计算机硬件平台稳定的工业级硬件平台无需购硬件平台10,000元左右操作系统基于Linux无基于Windows Windows2000 Server(10用户) 12,270元代理服务功能HTTP,FTP,TELNET 无需购专业软件MS Proxy Server12,784元邮件服务功能企业域名邮箱(用户数量不限,邮箱容量不限)无需购专业软件Exchange(25用户) 24,807元WEB功能提供100Mweb空间无需租用web空间1,000元/年防火墙功能有无需购专业软件CHECKPOINT 30,000元 方案价格性价比高18700元实现同样的功能价格几倍于前者90,861元服务及管理WEB,MAIL服务,网络安全管理,根据要求提供网络安全状况日制,上网浏览日制,邮件日制,企业无须专业人员维护2800元/年需专业人员操作维护30,000元/年(专业人员工资)
中小型/成长型企业商业网站(INTERNET)解决方案
上海天傲科技本着“一站式解决”的理念,向中小型/成长型企业提供完整的域名服务,主机服务,企业邮件,网页制作,数据库部署等全系列服务。
网站建设步骤
将您的主页制作资料(包括文字、图片等)邮寄给我们,并列出大概的要求即可。
选择我们提供的企业网站建设方案,或根据您的要求定制。
我们根据您的要求核算主页总数及金额,并交纳预付款(为总金额的50%)。
收到预付款后,我公司将开始制作主页。
主页全部完成后,将上传到我公司的服务器上请您确认,并根据您的意见进行三次小的修改。
如果您认为制作的主页已经达到您的要求,请将剩余款项汇至我公司帐户,并将汇款凭证传真至我公司。
在收到确认传真和汇款凭证后,我们将您的主页上传到我公司提供的虚拟主机上。
虚拟主机方案虚拟主机是使用特殊的软硬件技术,把一台运行在因特网上的服务器主机分成一台台“虚拟”的主机,每一台虚拟主机都具有独立的域名,具有完整的Internet服务器(WWW、FTP、Email等)功能,虚拟主机之间完全独立,并可由用户自行管理,在外界看来,每一台虚拟主机和一***立的主机完全一样。上海天傲科技的一站式解决方案为中小型/成长型企业提供优质的网络环境和服务器,并由高级网管负责监控。你可以选择如下的三个方案之一或者直接和我们联系进行定制服务。
A型虚拟主机150M B型虚拟主机200M C型虚拟主机500M
主机空间/功能·独立Web空间150MB·操作系统:UNIX / Windows2000·支持ASP,Perl,PHP ·FTP管理·支持数据库功能另外收费·ACCESS数据库·MS SQL数据库·MY SQL数据库·独立Web空间200MB·操作系统:UNIX / Windows2000·支持ASP,Perl,PHP·FTP管理·支持数据库功能另外收费·ACCESS数据库·MS SQL数据库·MY SQL数据库·独立Web空间500MB·操作系统:UNIX / Windows2000 ·支持ASP,Perl,PHP·FTP管理·支持数据库功能·Windows2000系统:免费提供一个ODBC数据源·预装50MB SQL SERVER数据库空间·UNIX系统:免费提供50MB MYSQL数据库空间
Email功能·10个Email邮箱·单个信箱平均空间5MB·单个Email大小限制5MB·Web界面管理·自动回复、自动转发·POP3、SMTP方式收发信·20个Email邮箱·单个信箱平均空间5MB·单个Email大小限制5MB·Web界面管理·自动回复、自动转发·POP3、SMTP方式收发信·50个Email邮箱·单个信箱平均空间5MB·单个Email大小限制5MB·Web界面管理·自动回复、自动转发·POP3、SMTP方式收发信
局域网建设规范
如何合理规划局域网
本文将和大家一起探讨局域网的规划所涉及到的内容。
一.需求分析
对于中小型局域网络而言,在规划时应当考虑以下4个方面的问题:
拓扑结构需求分析
在进行网络的总体设计前,应当首先搞清楚给哪些建筑物布线,每座建筑物中的哪些房间布线,每个房间的哪个位置要预留信息插座,建筑物之间的距离、建筑物的垂直高度和水平长度等。只有事先调查好这些情况,才能合理地设计网络拓扑结构,选择适当的位置作为网络管理中心以及作为设备间放置连网设备,有目的地选择组建网络所使用的通信介质和交换机。
O1548;数据传输需求分析
用户对数据传输量的需求决定了网络应当***用何种连网设备和布线产品。就目前情况来看,多媒体已经成为局域网络所必须支持的功能之一。基于这种大传输量的需求,以1000Mb/s光纤作为主干和垂直布线,以100Mb/s超五类双绞线作为水平布线,从而实现100Mb/s交换到桌面的网络,已经成为最普通的网络架构。基于这种大传输量的需求,100Mb/s高性能交换机也已逐步从部门走向工作组。
发展需求分析
网络设计者不仅要考虑到容纳网络中当前的用户,而且还应当为网络保留至少3-5年的可扩展能力,从而使在用户增加时,网络依然能够满足增长的需要。这一点非常重要,因为布线工程一旦完毕,就很难再进行扩充性施工。所以,在埋设网线和信息插座时,一定要有足够的余量,而连网设备则可以在需要时随时购置。
性能需求分析
不同厂家乃至同一厂家不同型号的交换机在性能和功能上都有较大差异,有的安全性高、有的稳定性好、有的转发速率快、有的拥有特殊性能。因此,应当慎重考察和分析本网络对性能的根本需求,以便选择相应品牌和型号的交换机。
网络设计原则
高性能
网络作为企业信息运行的承载平台,涉及到众多不同的应用及众多用户。众多的用户、不同类型的应用,包括一些实时性强的交互业务应用(如语音、图像等),势必对网络的性能提出更高的要求。因此,设计时首先要考虑有足够的骨干带宽、合理的网络拓扑结构、先进适用的技术,同时还要努力实现网络的无阻塞性,而不能使网络成为业务应用的瓶颈。
高可靠性
网络系统的稳定可靠是应用系统正常运行的关键保证。在网络设计时,应选用高可靠性的网络产品、合理的网络架构,制订可靠的网络备份策略,保证网络具有较好的故障自愈能力,以减少网络中断时间。
在网络投入运营后,企业和用户会对网络产生依赖性,一旦网络中断,将造成巨大的影响和损失。从企业应用的角度来看,此时再考虑网络的可靠性问题,无疑是一种投资浪费。
安全性
解决安全性问题需制定统一的网络安全策略和过滤机制,充分使用各种不同的网络技术,如虚拟局域网络(VLAN)、代理、防火墙等。从数据安全的角度来讲,还应将重要的数据服务器集中放置,构成服务器群,以方便***取措施集中保护,并对重要数据进行备份。
可管理性
企业网络作为一种地理范围,分布较大的园区网(甚至是一种多个园区网连接而成的广域网),日常管理及维护的工作量较大。为了尽可能提高工作效率,减少网络停顿时间,同时为未来网络的发展打下基础,必须使园区网具有良好的可管理性。选择方案时应考虑以下几个方面:
第一、对网络实行集中监测,分权管理,并统一分配***;
第二、选用先进的网络管理平台,可以集中对全网设备(路由器,以太网交换机等)实施具体到端口的管理能力,并可提供及时的故障报警和日志;
第三、选用的网络设备及其他连接在网络上的重要设备都应支持远程管理;
第四、设计时需充分考虑运行维护的问题,特别在工程结束时,应要求建设方提供足够的设计及实施文档。
技术先进性
先进合理的技术是投资保护的重要方面。网络核心设备应考虑使用国内外主流厂家生产的设备,同时要把先进的技术与国际公认的标准结合起来,使网络支持国际上通用的标准网络协议。
另外我们还应当注意以下几点:注意多倾听第三方专家的意见,对由厂商自己介绍的先进技术必须加以确认;注意从使用的角度倾听集成公司或其他用户的意见;各主流厂商都有其优秀产品,关键看是否符合自己的实际需求,性价比是否合理等。
三.无线局域网组建的规划
无线局域网组网设计规划原则既要考虑保证目前土建装修的效果不被破坏,又要保证足够的网络信息点满足网络联网、扩容和工作实际需求,同时还要保证代价不要过大。我们可以通过深入分析和研究对比,然后考虑决定是否***用无线组网的方式解决原有网络扩容的问题或者还是新建一个无线局域网。
1、无线补充网络规划
所谓无线补充网络规划,是指以原有的综合布线为基础搭建传输的以太网络,并在需要的位置和场所(如办公室、会议室等)配备一定数量的无线AP,充分借助无线网络移动灵活和扩充方便的特点,作为有线网络的补充,弥补单纯由有线所构建的网络的缺陷。规划合理的无线网络布局才能方便我们的应用与日后的扩展。
2、无线局域网设计
在无线局域网中,当用户从一个位置移动到另一个位置以及一个无线AP的信号变弱或者无线AP由子通信量太大而拥塞时,可以连接到新的无线AP,而不中断与网络的连接,这一点与移动电话非常相似。所有无线AP通过双绞线与有线骨干网络相连,形成以固定有线网络为基础,无线覆盖为延伸的大面积服务区域。
多个无线AP的无线信号覆盖区域进行交叉覆盖,实现各覆盖区域之间无缝连接。所有无线终端通过就近的无线AP接入网络,访问整个网络***。蜂窝覆盖方式大大扩展了单个无线AP的覆盖范围,突破了无线网络覆盖半径的限制,用户可以在无线AP群覆盖的范围内漫游,而不会和网络失去联系,通信也不会中断。
本文为大家介绍了局域网在规划过程中所需要注意的问题,下一篇我们将会为大家介绍具体的设计方案。
详解局域网设计过程
来讨论局域网的设计所要考虑的多方面的因素。
网络拓扑的设计
网络拓扑是指企业网络中各节点间相互连接的方式。换句话说,网络中计算机之间如何相互连接的问题就是网络的拓扑结构问题。网络布线中应用最为广泛的是树形拓扑。拓扑结构的选择往往与通信介质的选择和介质访问控制方法的确定紧密相关,并决定着对网络设备的选择。
大中型网络通常***用树形拓扑。树形拓扑的可折叠性非常适用于构建网络主干。由于树形拓扑具有非常好的可扩展性,并可通过更换集线设备使网络性能迅速得以升级,极大地保护了用户的布线投资,因此非常适宜于作为网络布线系统的网络拓扑。与此相适应,集线设备也呈树形拓扑。
树形拓扑事实上是星形拓扑的扩展,该拓扑结构拥有以下优点:
易于故障的诊断
集线设备居于网络或子网络的中心,这也正是放置网络诊断设备的绝好位置。就实际应用来看,利用附加于集线设备中的网络诊断设备,可以使得故障的诊断和定位变得简单而有效。
易于网络的升级
由于计算机与集线设备之间分别通过各自独立的缆线进行连接,因此,多台计算机之间可以并行地同时进行通信而互不干扰,从而成倍地提高了网络传输效率。另外,由于网络带宽主要受集线设备的影响,只需简单地更换高速率的集线设备,即可平滑地从l0Mbit/s升级至100Mbit/s、1000Mbit/s甚至10000 Mbit/s,实现网络的升级。正是由于这两条重要的特点,星型网络才会成为网络布线的当然之选。
企业网络的一般结构
核心层
核心层的功能主要是实现骨干网络之间的优化传输,负责整个网络的网内数据交换。网络的功能控制最好尽量少在骨干层上实施,核心层设计任务的重点通常是冗余能力、可靠性和高速的传输。核心层一直被认为是流量的最终承受者和汇聚者,所以要求核心交换机拥有较高的可靠性和性能。
汇聚层
汇聚层主要负责连接接入层接点和核心层中心,汇集分散的接入点,扩大核心层设备的端口密度和种类,汇聚各区域数据流量,实现骨干网络之间的优化传输。汇聚交换机还负责本区域内的数据交换,汇聚交换机一般与中心交换机同类型,仍需要较高的性能和比较丰富的功能,但吞吐量较低。
接入层
接入层网络作为二层交换网络,提供工作站等设备的网络接入。接入层在整个网络中接入交换机的数量最多,具有即插即用的特性。对此类交换机的要求,一是价格合理;二是可管理性好,易于使用和维护;三是有足够的吞吐量;四是稳定性好,能够在比较恶劣的环境下稳定地工作。
企业综合布线设计原则
企业综合布线系统由工作区子系统、水平布线子系统、垂直干线子系统、管理子系统和建筑群子系统组成。它的设计原则如下:
开放性
严格按照IEEE802、EIA/TIA 568等工业及建筑布线标准和中国建筑电气设计/工业企业通信设计规范。
实用性
适应企业现在和将来发展的需要,具备数据通信、语音通信和图像通信的功能。
灵活性
布线系统中任一信息点能够很方便地与多种类型设备(如电话、计算机、检测器件以及传真等)进行连接。
可扩展性
布线系统具有较强的可扩展性,在将来需要时可以很容易地将所扩充的设备连接到系统中来,实现各种网络服务与应用。
经济性
综合布线系统是一种既具有良好的初期投资特性,即在今后若干年中不增加新的投资情况下仍能保持建筑物的先进性,又是具有极高的性能价格比的高科技产品。通常情况下,综合布线系统的使用寿命为15年。
可靠性
综合布线系统***用高品质的材料和组合压接的方式构成一套高标准的信息通道。每条通道都***用专用仪器校核线路衰减、串音、信噪比,以保证其电气性能不会造成交叉干扰。
网络中心机房规划与设计
考虑到网络中心机房在整个企业网中所处的核心位置,为了保持其长时间运行的可靠性,建议对机房***取以下必要的措施:
防尘、防静电、安装数据地线
对机房铺设防静电地板,以及安装必要的通风和温度调节设备,建议最好安装单独的数据地线。
电源保护
由于市电供应的电压不稳定产生的浪涌及断电,将对各种电脑和网络设备造成不可预知的伤害,所以应在中心机房加设稳压装置,网络中心机房最好***用一台UPS,容量的大小根据网络规模与设备多少而定。
防雷
由于中心机房内摆放了大量贵重的电子设备,南方的雷雨季节应特别注意防雷。雷电的防护可分为直击雷和感应雷的防护两方面。
网络设备的选型
1、路由器
就企业局域网网络而言,由于大量的数据都发生在局域网内部,对路由器的性能要求不高,因此,可以选用中低端路由器。低端路由器主要适用中小办公网络的应用,考虑的一个主要因素是端口数量,另外还要看包交换能力。中端路由器适用大中型办公网络,选用的原则也是考虑端口支持能力和包交换能力。
2、交换机
工作组交换机***用可网管交换机,实现对每台接入计算机的控制,实现VLAN(虚拟网)、的划分,确保最大限度的网络访问安全。骨干交换机***用拥有千兆端口的可网管交换机实现与中心交换机的高速连接,避免可能产生的网络瓶颈。中心交换机***用三层交换机,实现VLAN间的线速转发,并借助访问列表控制计算机接入和网络服务,搭建高安全性和可用性网络。
3、防火墙
防火墙有软件防火墙和硬件防火墙两种。软件防火墙是安装在计算机平台的软件产品,它通过在操作系统底层工作来实现网络管理和防御功能的优化。硬件防火墙的硬件和软件都单独进行设计,有专用网络芯片处理数据包。同时,***用专门的操作系统平台,从而避免通用操作系统的安全性漏洞。并且对软硬件的特殊要求使硬件防火墙的实际带宽与理论值基本一致,有着高吞吐量、安全与速度兼顾的优点。
硬件防火墙分为包过滤防火墙、应用***防火墙和规则检查防火墙。对于企业网络而言,通常应当选择包过滤防火墙。
4、服务器
对于企业办公OA或数据库之类的服务器,应当选择高性能服务器。如果没有部门级服务器,可以将两台甚至多台工作组服务器制作为群集,提高网络服务性能。
当服务器的性能不能满足网络访问需要时,可以利用已有的多台低配置服务器构建服务器群集,或者利用软件、硬件等方式实现服务器的负载均衡,既可以提高服务器的整体处理性能,又可以有效地延长服务器的使用寿命。
网络操作系统与应用软件的选型
操作系统是整个网络中不可缺少的组成部分之一,我们必须根据企业网络应用规模、应用层次等实际情况选择最合适的操作系统。
常见网络操作系统有:
Windows系列:广泛用于一般的办公网、校园网及教育系统。Windows系列网络操作系统产品包括Windows NT/2000/2003 Server。
UNIX:主要用于大型城域网、移动运营系统、银行系统、证券系统等,它最主要的一个特征是稳定,处理大型数据较快。
NetWare:大量文件服务及打印服务功能,不直观,应用范围较窄。
Linux:2000年前后出现的,与UNIX相似,能提供较稳定的系统,不易受到病毒的攻击。因其安全性、开放性与二次开发能力较好,是目前中国部分地方***部门规定使用的操作系统。
如果企业应用需要数据库软件,则数据库平台选择原则主要考虑如下因素:
性能:响应时间和吞吐量。
事务处理:保证数据的完整性和一致性。
查询优化:提高系统处理能力和降低网络流量。
***机制:透明地支持分布数据处理。
联机备份和恢复:保证系统的安全性、完整性和可恢复性。
对于数据库来说,我们可以根据企业的实际需要,***用免费的如MySQL或商业的Microsoft SQL Server、DB2、Sybase或者Oracle等产品。另外企业局域网可以选择部署一套网络版的防病毒软件,加强企业局域网的安全;
如果资金允许的话,我们也可以选择一些邮件、WEB、FTP、***软件以及网络管理软件等,满足企业日益的不断增长的应用需求。针对这些应用软件的选型,由于篇幅有限,这里就不多说了。
中小型企业网络设计方案
1.选定方案原则
在规划Intranet的网络拓扑结构时,应根据企业规模的大小、分布、对多媒体的需求等实际情况加以确定。一般可按以下原则来确立:
(1)费用低
一般地在选择网络拓扑结构的同时便大致确立了所要选取的传输介质、专用设备、安装方式等。例如选择总线网络拓扑结构时一般选用同轴电缆作为传输介质,选择星形拓扑结构时需要选用集线器产品,因此每一种网络拓扑结构对应的所需初期投资、以后的安装维护费用都是不等的,在满足其它要求的同时,应尽量选择投资费用较低的网络拓扑结构。
(2)良好的灵活性和可扩充性
在选择网络拓扑结构时应考虑企业将来的发展,并且网络中的设备不是一成不变的,对一些设备的更新换代或设备位置的变动,所选取的网络拓扑结构应该能够方便容易地进行配置以满足新的要求。
(3)稳定性高
稳定性对于一个网络拓扑结构是至关重要的。在网络中会经常发生节点故障或传输介质故障,一个稳定性高的网络拓扑结构应具有良好的故障诊断和故障隔离能力,以使这些故障对整个网络的影响减至最小。
(4)因地制宜
选择网络拓扑结构应根据网络中各节点的分布状况,因地制宜地选择不同的网络拓扑结构。例如对于节点比较集中的场合多选用星形拓扑结构,而节点比较分散时则可以选用总线型拓扑结构。另外,若单一的网络拓扑结构不能满足要求,则可选择混合的拓扑结构。例如,***设一个网络中节点主要分布在两个不同的地方,则可以在该两个节点密集的场所选用星型拓扑结构,然后使用总线拓扑结构将这两个地方连接起来。
2.总体结构框架概述
在充分按照网络设计原则的基础上,考虑到组网费用,结合平时学习组网经验,本次小型企业内部组网核心设备由华为Quidway S2352P-EI(AC)系列交换机组成,接入设备由华为Quidway S2326TP-SI系列交换机组成,连接Internet的路由器***用思科CISCO 2811系列路由。
3. 网络拓扑图设计
4. IP地址划分
本次小型企业组网,核心设备由一台华为Quidway S2352P-EI(AC)交换机与一台思科CISCO 2811系列路由器组成,位于综合楼核心机房内,两台设备都***用最基本硬件配置,S2352P-EI(AC)提供48可用端口。5台华为Quidway S2326TP-SI交换机分别位于核心机房或者部分距离较远的办公点处,每台提供26个可用端口。所有设备之间均***用以太网线链接,其中S2352P-EI(AC)与S2326TP-SI之间***用双以太网线连接形成冷备份防止其中一根故障影响用户的使用。客户自己建设的WEB服务器,文件服务器,FTP。
现把根据具体部门需求划分5个VLAN,技术部、财务部、生产部、管理层、网管用各一个VLAN。各VLAN之间只能通过路由发送数据包,也就是说VLAN在第二层是相互隔离的。
其中VLAN规划如下:
VLAN2:172.16.2.0/24 技术部
VLAN3:172.16.3.0/24 财务部
VLAN4:172.16.4.0/24 生产部
VLAN5:172.16.5.0/24 管理层
VLAN6:172.16.6.0/24 网管
其中可以根据需要在路由处做其中几段地址的NAT,其余都可以与外网隔离,实现安全需要。
各个Vlan的IP地址划分如表3.1所示:
表3.1 各Vlan IP地址划分
Vlan ID
IP地址范围
***IP地址
最多可连接主机数
Vlan2
172.16.2.1—172.16.2.254
172.16.2.1
254
Vlan3
172.16.2.1—172.16.2.254
172.16.3.1
254
Vlan4
172.16.2.1—172.16.2.254
172.16.4.1
254
Vlan5
172.16.2.1—172.16.2.254
172.16.5.1
254
Vlan6
172.16.2.1—172.16.2.254
172.16.6.1
254
路由器各端口IP地址配置如表3.2所示:
表3.2 各路由器端口IP地址
路由接口
IP地址
路由器f0/0接口
211.85.1.2
路由器f0/1接口
192.168..1.1
5.测试结果
以VLAN1为例,来测试VLAN1到***的连接情况
中小型网络架构设计的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于中小型网络架构设计方案、中小型网络架构设计的信息别忘了在本站进行查找喔。