1、第六章 网络工程实例,6.1 企业网设计实例 6.2 校园网设计实例,1.某研究所网络业务简介,6.1 企业网设计实例,国内某研究所有一幢四层办公楼,分别设立研发一部和研发二部,每部门30人左右,预计未来5年将增加到每部门60人,另外公司还设有人事部、营销部、企划部、财务部、秘书处和所长办公室等,总体员工人数在300人左右。研究所在其他大城市派驻有7个办事处,负责产品销售、技术支持和产品调研等,需要给研究所获取和反馈最新信息。,为了适应办公信息化的需要,节约办公经费,研究所决定实施网络自动化办公,选择Intranet网络平台,并在原有软硬件基础上开发网络自动化办公系统,实现自动化办公(Offi
2、ce Automation,OA)并在将来有选择地实施EC、CRM(客户关系管理)等。 公司原有一套C/S的财务管理系统,并且在部分部门连接有简单的100Mb/s对等网,为了保护已有的投资,公司希望尽可能地保留可用的设备和软件。,某研究所网络业务简介,2. 需求分析,背景需求说明 该研究所是一家从事电子节能产品研发、生产、销售的机构,长期为国内各大国营企业提供安装、调试、维护和研发等服务,分别在全国7个大城市派驻有办事机构。,随着业务规模的发展,传统的办公模式存在办公效率低下,资源浪费,经费居高不下的问题。研究所领导决定在企业内部推行网络自动化办公系统,提高研究所整体办公效率,压缩办公经费,并
3、最终提高公司效益。网络自动化办公系统初期投资费用较高,包括网络系统建设、软件开发、维护和运行,但正常运行后,维护和升级费用可以控制在较低水平,保证20年内的投资效益稳步增长。,背景需求说明,业务需求分析,研究所目前的局域网应用包括文件共享服务、打印共享服务和财务管理等,未来将实施Intranet应用,主要面向OA,需要新增Web服务、E-mail服务等,还需要采购专门的OA办公软件,添置防火墙等安全设施。研究所广域网包括将本地网络接入Internet,以及对外地办事处提供远程接入,可以考虑的方案有多种,如DDN专线、ISDN、xDSL等。,研究所年内业务增长规模主要在研发部门,需要引进更多的技
4、术人才,但估计不会超过2倍的增长。 OA系统应该提供的功能包括:信息公告、BBS讨论组、电子邮件群发、日程管理、文件交换、短信息服务、资源管理、会议管理、考勤管理、办公物品管理、从事管理和通讯簿等服务,未来还要向视频会议等多媒体业务发展。,网络节点需求与分布,续上页,广域网需求,总部使用宽带接入Internet,带宽约10Mbit/s,可考虑使用xDSL、以太网接入等方案。 各远程连接节点都申请2Mbit/s以内的宽带方案接入Internet,可以申请ISDN、xDSL等,具体方案参考所在城市的资费标准,建议使用ADSL。 为了保证远程连接的安全性,广域网技术还要在接入设备上能支持VPN技术,
5、构建虚拟专用网络。 移动办公用户也通过VPN接入总部网络。,安全性需求,内部网络使用VLAN分段,隔离广播,防止网络内部窃听和非授权的跨网段访问。 使用防火墙分割内部网和外部网,不允许外部用户访问内部Web服务器、财务数据库和OA服务器等,内部网用户都必须经过代理服务器访问Internet。 远程接入用户使用VPN方式访问总部网络,并且限制远程用户可以访问的主机范围。,环境需求分析,研究所分为总部和办事处两大块,7个办事处分布在全国若干个大城市。 总部只有一幢办公楼,共四层,楼层净高3.5m,其他环境状况依据大楼建筑结构图确定。,3. 网络结构设计,网络技术选型根据需求,采用千兆以太网技术进行
6、组网,它的主要特点表现在以下的几个方面。经济、实用且具有较高的性能价格比千兆以太网获得广泛支持千兆以太网的兼容性升级性能,网络拓扑结构设计,网络拓补结构采用树型结构和分层设计思想,优点是能够准确定位网络需求,扩展和升级好,便于网络管理 本网络采用三层结构设计,即核心层、汇聚层、接入层。核心设备及主干网络技术采用1000Base-T技术,汇聚层设备及线路采用100Base-T技术,接入层设备采用共享式以太网技术。这样的带宽足以满足企业当前的各种应用,公司未来即使上多媒体业务应用也不会有问题,因此节约了公司的投资。各层次网络都提供足够的带宽保证网络流量畅通无阻,将丢包率降低到最小,且都属于以太网家
7、族技术,保持了良好的兼容性和升级性。,虚拟局域网划分及地址分配方案,在研究所总部划分虚拟局域网,实现逻辑隔离。为了便于配置和管理,采用按部门划分虚拟局域网的方法,并给每一个虚拟网络制定一个子网号。 本网申请的IP地址是一个C类地址,只能满足254台主机接入Internet,对全研究所300个节点而言,略显不足。为了解决地址缺乏的问题同时也是为了安全性的需要,采用NAT技术实现内外地址结合使用。 内部地址使用B类私有地址172.16.0.0,使用掩码255.255.255.0,分别给每一部门分配一个254台主机的地址区间,其中由于研发一部和研发二部主机数目较多,相邻的一个254地址区间也留做备用
8、。 公开IP地址除给防火墙、公共Web服务器和代理服务器外,其余全部作为NAT地址池使用。,虚拟局域网地址分配表,网络服务器规划,财务数据库服务器相对于公司业务非常重要,集中存放在机房,有管理员专人看管,大大降低了其被盗的可能性。 Web服务器经常要被局域网外的用户访问,不属于任何一个部门或网段,所以应该作为公共服务服务设备放置在机房。 研发部内自建的应用服务器和虚拟Web服务器架设在各研发部内部,由各研发部门指派专人管理,实现该部门内部的文件共享服务和Web信息发布。,广域网接入,1)ADSL 10Mb/s接入Internet 结合单位自身的业务特点制定了使用ADSL接入Internet的方
9、案。该方案首先是向本地电信局申请10Mb/s ADSL业务。并且申请一个C类公开网络地址。 2)远程接入ADSL 2M 远程接入仍然申请ADSL连接,但带宽选择2Mb/s就够用了,为了保证安全性,应该使用支持VPN连接的终端设备。,网络拓扑结构图,ADSL10Mbit/s接入Internet 远程接入ADSL 2M,说明,一楼和二楼汇聚层提供100Mb/s带宽基本够用,但为了扩展性的需要,增加一条冗余线路,使用Trunking技术,将带宽提高到200Mb/s,同时保证了汇聚层链路的可用性。 由于研发一部和二部未来节点数量将成倍增长,所以三楼和四楼汇聚层带宽按1Gb/s设计,同样适用Trunki
10、ng技术,既提供了一定的冗余性,又将带宽提高了一倍,硬件开销比较划算。 研究所有4台内网服务器和一台网管工作站,访问Web服务器和财务数据库服务器是网络的主要流量。网络流量符合80/20规律,绝大部分流量需要在核心层交换,因此将服务器直接接入核心交换机。 为了便于集中管理,管理工作站也放置在核心层,直接接入核心交换机的100Mb/s端口。,4. 网络安全措施,VLAN设计为局域网内部提供了最大的安全性 使用公共子网隔离内部网络和外部网络 远程办事处与公司主网络连接均使用支持VPN技术的Officeconnect DSL网关,创建安全的专用网连接。 允许内部用户通过代理主机访问Internet,
11、降低了内部主机的可跟踪性。 3Com Superstack 3防火墙可有效保护网络免遭未经授权访问和其他来自因特网的外部威胁和侵袭。,5. 网络硬件设备与网络软件选型,由于采用ADSL接入方案,远程分支结构接入Internet选用3Com公司的Officeconnect Cable/DSL安全网关。该路由器不仅能够提供分支机构内部的工作站共享带宽的Internet接入,还可以提供VPN连接,与总部公司网络构成虚拟专用网,具有价格低廉、安全性较高、带宽足够等优点。,路由器选型,Officeconnect Cable/DSL安全网关的主要性能,支持缆线或DSL调制解调器,提供配置灵活性。 能让最多
12、253个用户利用ISP单用户定价模式共享Internet。 动态数据包检查防火墙可针对黑客和病毒提供保护。 VPN启动/终止及业界标准IPSec。 带有PPTP的VPN终止,与Microsoft PPTP兼容。 IP功能可提供广域网性能,增强寻址隐私保护和经济性。 黑客模式检测防火墙功能可自动检测和阻塞拒绝服务攻击及其他常见入侵,提供额外的安全。 安装向导和其他功能简化了非技术用户的安装、配置和管理任务。 终身有限保修支持。,交换机选型,核心层交换机3Com Switch4060 工作组交换机Superstack 3 Switch 4900 SX 桌面型交换机BaseLine Switch 1
13、0/100Mbit/s(24Port),防火墙选型,3Com SuperStack 3防火墙可有效保护网络中的Internet服务器,使其免遭未经授权访问和其他来自因特网的外部威胁和侵袭。该预配置的安全解决方案已获得ICSA实验室的验证,可探测和防止“拒绝服务”以及“分布式拒绝服务”等高级黑客侵袭方式。 3Com SuperStack 3防火墙具有强大的实时状态包过滤功能,还提供NAT功能等。,设备清单报价表,网络软件选型,网络操作系统选择Windows Server 2003企业版,它基于图形界面的管理操作,应用起来简单方便,其中的IIS可轻松地实现WWW、FTP、NAT等服务器的配置。 邮
14、件服务器软件可选用MDaemon mail Server。它由美国 Alt-N 公司开发,提供专业的性能和简便的操作。通过简单的设置,就能自动处理电子邮件,防范垃圾邮件和病毒。 网络管理使用Transcend Enterprise Manager网管软件,3Com Transcend实现从网卡、集线器、交换机、路由器集访问设备等全部网络产品进行统一管理,并提供分布式的网管模式。Transcend不仅可实现网络配置、网络流量数据监测以及VLAN管理等操作管理(Operation Management)功能,还支持更高层次的决策业务管理(Business Management),实现对网络中应用的
15、管理。 网络办公软件选用Lotus Domino办公自动化软件,借助Domino文档数据库管理系统的强大功能,实现全所公文发行,共享,复制,检索,存取控制等校园办公及公文系统。,6.综合布线施工及产品清单,工作区子系统:每个工作区布设两个信息点,实际使用过程中只使用一个信息点,另一个备用。每个办公室配置一台16口的100Mb/s有源集线器,用户电脑直接连接到集线器,集线器Uplink口连接信息插座。 垂直干线子系统:选用2根62.5m6芯室内多模光纤布线和6根超5类UTP双绞线引入楼层交换机。 水平布线子系统:全部选用AMP超5类双绞线,预留15%作备用。,设备间子系统:设置在4楼东侧机房,防
16、盗、通风、湿度合适。设备间离楼梯较近,便于搬运设备。在楼层东侧选择一间通风良好的房间作为小机房。 管理子系统:使用壁挂式机柜即可。,布线产品清单,6.2 校园网设计实例,1. 校园网项目综述,校园网是利用组网技术、网络设备、传输介质、网络协议,以及各种系统管理软件和应用软件将校园内的计算机和各终端设备有机地集成在一起,实现教学、科研、学校管理、信息资源共享和远程教学等功能的计算机局域网。,某学校校园网建设目标是根据学校的实际需求设计,将已有的网络和未建的网络互联,实现校内数据资源共享,并能与Internet相连,使得校内各信息点计算机通过校园网能访问Internet。在此基础上能满足教学、科研
17、和管理工作的需要,并能开发建设各类教学资源库与应用系统,为教师、学生及家长提供充分的网络信息服务。建设好的网络在能满足当前实际需求的基础上,其功能和规模还要能适应未来校园网的升级改造和后期工程的建设。,按照用户的要求,网络系统需实现以下功能: 1)校园网内部功能 在教学方面,能够建立课件、教学信息资料库,实现课件点播、多媒体信息交换、远程教学等功能。教师可以在学校的任意一台计算机上方便地浏览查询网上资源,还可以通过网络对学生的学习进行指导。 在信息管理方面,学校管理人员可以利用MIS软件,方便地对教务、行政事务等进行综合管理,同时各楼办公室的计算机可以进行数据信息交换,初步实现全校计算机辅助管
18、理和办公自动化。 能够利用图书馆计算机管理系统实现图书馆信息自动化管理和快速检索、电子阅览等。 学生可以在计算机实验室、图书馆、教室、电子阅览室、宿舍等地方便地浏览和查询网上资源,通过网络进行网上学习并能和教师进行网上讨论。,2)Internet功能 校园网接入Internet,通过建立Web站点,实现学校信息在Internet上的发布,通过E-mail服务器方便内外联络。 对校内提供FTP服务、视频点播、多媒体教学。 建立远程访问,教师不受任何限制,利用校园网实现在家备课、办公等,但学生只能在规定地点上网。 建设校园网BBS,促进校园文化的健康发展。 对外部资料实现管理,实现VOD服务等。 3)同时,网络必须具备较高的性能和高度的安全性、可靠性、容错性。,
