《武汉理工组网作业(8页).doc》由会员分享,可在线阅读,更多相关《武汉理工组网作业(8页).doc(7页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、-武汉理工组网作业-第 7 页题目:1.某研究院由研究开发部、行政管理部、信息管理部3个部门组成。每个部门各自在不同的建筑物种办公。这3栋建筑相互的距离在150m左右。每栋建筑内各个房间的最大距离不到80m。研究开发部由3个项目组组成,项目组A、项目组B、项目组C。每个项目组有自己局域网,每个项目组在不同的楼层。每个项目组拥有5个房间。行政管理部由3个科室组成:财务科、人力资源科、后期管理科。每个科室拥有自己的局域网。每个科室在不同的楼层。每个科室拥有5个房间。信息管理部由2个科室组成:档案科和宣传科。这两个科室为其他单位提供公用信息等服务。每个科室在不同楼层。每个科室有5个房间每个科室的人数
2、不超过20人,并且拥有各自的服务器。请为该单位设计网络规划方案。要求:根据每个科室的功能制定需求。给出网络规划方案。给出需要适用的网络设备,及设备部署方案。给出初步的布线方案,并指出使用的传输媒介。1 需求分析:1.1 网络需求调查:该研究院对于网络延时要求高,要保证速度和流量,对于网络的可靠性也有比较高的要求,但是可以选择在节假日的时候停机检修。对于网络的伸缩性要求比较低,因为研究院的布局比较固定。不会经常变动。网络要求高安全性,在外网进行访问的时候应使用VPN用户服务需求需求或服务描述地点研究院用户数量少于160今后3年增长期望值20左右延时/响应时间要求资料传输,人员档案检索2min可靠
3、性/可用性节假日可以停机运行安全性数据安全,链路安全1.2 网络应用分析研究开发部的三个项目组相对独立,但是都需要共享信息管理部的档案。三个项目组需要有自己的局域网,一个项目组内的成员能够方便地与其他成员交换信息,而不同项目组的成员则需要一定的认证机制才能够相互通信。行政管理部的三个科室都需要与整个网络中的其它部门通信,它需要管理各个部门的财务情况,人员分配,后期管理等。所以需要较大的流量。三个科室也需要自己的局域网,通过设置VPN限制外网的访问。信息管理部的档案科保存研究院的案发资料,需要很高的保密性,但又得保证能够让研发人员对资料进行查询,更新等操作。所以设置好防火墙等该研究院网络由研究开
4、发部门网,行政管理部门网,信息管理部门网三个子网组成,网点比较多,而且三个部门分别位于不同的建筑。通过如下表格,我们可以清晰的分析整个公司的信息点。下是对公司信息点的分析,如下表所示:信息点分布:业务部门子属部门信息点信息点合计备注研究开发部项目组A少于20少于60需保证速度、流量和安全性项目组B少于20项目组C少于20行政管理部财务科少于20少于60需保证速度、流量和可靠性人力资源科少于20后期管理科少于20信息管理部档案科少于20少于40需保证速度、流量、可靠性和高安全性宣传科少于20地理布局勘察: 每个部门各自在不同的建筑物种办公。这3栋建筑相互的距离在150m左右。每栋建筑内各个房间的
5、最大距离不到80m。每个项目组有自己局域网,三个项目中每个项目组在不同的楼层且每个项目组拥有5个房间。每个科室拥有自己的局域网。每个科室在不同的楼层。每个科室拥有5个房间。由于信息管理科保存的数据最多,也是需要与其他部门通信最频繁的部门,而且该部门的两个科室都拥有自己的服务器,所以选为网络中心建筑内信息点楼宇层数信息点数距核心网络距离研究开发楼360150m行政管理楼360150m信息管理楼2400设计原则系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术,符合国际标准和规范;l 标准性所采用技术的标准化,可以保证网络发展的一致性,增强网络的兼容性,以达到网络
6、的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接,整个网络从设计、技术和设备的选择,必须支持国际标准的网络接口和协议,以提供高度的开放性。全面支持IEEE工业标准:,;支持路由协议:IP 的RIP V1/2,OSPF,BGP-4;信令标准:H.323,RTP/CRTP.支持:IPsec、L2TP、GRE、MPLS-VPN规范。支持多址广播协议:IGMP,DVMRP,PIM-DM,PIM-SM;网络管理协议:SNMP,RMON,RMON2;端口安全选择Mac地址绑定,防止不是研究院内部网络的主机的非法的访问。在嵌入层和核心层之间使用VRRP技术,可以实现链路的汇聚/接入冗余。网络地址
7、的分配是可以用到NAT技术,是外部网络和内部网络地址转换的技术。在对网络的访问控制管理设置访问控制列表可以对网络进行有效的管理,防止网络中的敏感设备受到非授权访问。在不同的层次网络中可以采用链路聚合技术,以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的伸缩性l 安全性网络的安全性对网络设计是非常重要的,合理的网络安全控制,可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问,灵活的实施网络的安全控制策略。在企业园区网络中,关键应用服务器、核心网络设备,只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限,网络应该能够阻止任何的非法操作。在
8、园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模园区网络的设计上,划分虚拟子网,一方面可以有效的隔离子网内的大量广播,另一方面隔离网络子网间的通讯,控制了资源的访问权限,提高了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力,使网络可以任意连接,又可以从第二层、第三层控制网络的访问。为了保证在这个研究院的网络中网络安全,各个部门之间的访问权限的控制,保证合法的用户方便的使用这个网络,防止非法的用户使用这个网络,来自外网的冗余数据,网络攻击病毒等。考虑到以下的安全措施:1硬件实现端口与 MAC 地址和用户IP 地址的绑定,严格限定端口上用户接入
9、;2通过 Private VLAN 可以在交换机的同一 VLAN 中提供端口之间的通讯或安全隔离,确保数据流进入有效端口,而不会被发送到其它端口,即解决了因传统 802.1QVLAN 造成全网 VID 资源不够的问题,同时又无需利用安全规则资源即能达到隔离不同用户以及不同组用户之间通讯的功能,充分保护用户隐私;3可实现用户账号、MAC 地址、IP 地址、交换机 IP、交换机端口等六大元素之间的灵活任意绑定,有效确认用户合法性和唯一性;4支持业界特有的 IGMP 源端口检查,有效杜绝非法组播源播放和大量占用大量网络带宽,提高网络安全性;5提供极为有效的Port Blocking 功能,避免端口受
10、到其它端口发送的广播包、多播包等报文的干扰,有效减轻端口负载负担,提高端口带宽,保护用户PC更高效安全地运行;6基于源 IP 地址控制的 Telnet 和 Web 设备访问控制,增强了设备网管的安全性,避免黑客恶意攻击和控制设备;7提供加密传输Secure Shell(SSH),保证管理设备信息的安全性,防止黑客攻击和控制设备;8可灵活控制 2-7 层数据报文,使得任何一个用户 PC 上的任何一种应用报文通过网络都能得到有效控制,充分保障了网络的安全和合理化使用。l 可靠性在确保系统网络环境中单独设备稳定、可靠运行的前提下,还需要考虑网络整体的容错能力、安全性及稳定性,使系统出现问题和故障时能
11、迅速地修复。因此需要采取一定的预防措施,如对关键应用的主干设备考虑有适当的冗余。应急处理信息系统能够全天候工作,达到每周7*24小时工作的要求。一个高可用性的系统才能使用户的投资真正得到回报。本系统是7x24小时连续运行系统,从硬件和软件两方面来保证系统的高可靠性。系统的主要部件采用冗余结构,如:传输方式的备份,提供备份组网结构;主要的计算机设备(如数据库服务器),采用CLUSTER技术,支持双机或多机高可用结构;配备不间断电源等。充分考虑异常情况的处理,具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示;并具有进程监控管理功能,保证各进程的可靠运行数据库系统应。l 实用性和集成
12、性系统的软硬件设计、还是集成,均以适用为第一宗旨,在系统充分适应信息化的需求的基础上进而再来考虑其他的性能。该系统所包含的内容很多,必须能将各种先进的软硬件设备有效地集成在一起,使系统的各个组成部分能充分发挥作用,协调一致的进行高效工作。l 兼容性跟踪世界科技发展动态,网络规划与现有光纤传输网及将要改造的分配网有良好的兼容,在采用先进技术的前提下,最大可能地保护已有投资,并能在已有的网络上扩展多种业务。为了使所实现系统能够在应用发生变化的情况下保护原有的开发投资,在设计系统时,应将系统按功能做成模块化的,可根据需要增加和删除功能模块。l 可升级和可扩展性随着技术不断发展,新的标准和功能不断增加
13、,网络设备必须可以通过网络进行升级,以提供更先进、更多的功能。在网络建成后,随着应用和用户的增加,核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择,以方便未来更灵活的扩展。l 网络结构稳定性当增加/扩充应用子系统时,不影响网络的整体结构以及整体性能,对关键的网络连接采用主备方式,已保证数据的传输的可靠性。本系统应具有较强的容灾容错能力,具有完善的系统恢复和安全机制;l 易操作性提供中文方式的图形用户界面,简单易学,方便实用。优良的性能价格比。系统应着重考虑和满足以上的设计要求。l 可管理性络的可管理性要求:网络中的任何设备均可
14、以通过网络管理平台进行控制,网络的设备状态,故障报警等都可以通过网管平台进行监控,通过网络管理平台简化管理工作,提高网络管理的效率。在进行网络设计时,选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置,网络拓扑结构表示,网络设备的状态显示,网络设备的故障事件报警,网络流量统计分析以及计费等。网管软件的应用可以提高网络管理的效率,减轻网络管理人员的负担。网络管理的目标是实现零管理,基于策略的管理方式,网络管理是通过制定统一的策略,由管理策略服务器进行全局控制的。基于Web的网管界面,是网管软件的发展趋势,灵活的操作方式简化了管理人员的工作。在设计园区网的设备选择上,要求网络设备
15、支持标准的网络管理协议SNMP,同时支持RMON/RMONII协议,核心设备要求支持 RAP (远程分析端口) 协议,实施充分的网络管理功能。在设计园区网的原则上应该要求设备的可管理性,同时先进的网管软件可以支持网络维护、监控、配置等功能。2 方案设计:由以上分析可知该研究院网络由研究开发部门网,行政管理部门网,信息管理部门网三个子网组成,网点比较多,而且三个部门分别位于不同的建筑,系统主干采用万兆以太网10000M交换,下属子网采用千兆以太网,网络协议采用TCP/IP协议,整个网络应考虑传输各种不同的数据。通过建筑内信息点表格的分析,各建筑的距离超过100米但小于300米,为了加快三个部门之
16、间的通信,可用多模光纤相连通信。交换机要求采用主流、成熟、信誉和售后服务均佳的产品,核心交换机采用三层交换机,支持VLAN等功能,下属单位接入交换机可采用相对低一档的产品,UPS电源的配备,配置要保证网络中所有的服务器、交换机、路由器、集线器等设备的连续、正常地运转;网络带宽的分配:应根据所属单位网络的信息流量情况合理分配网段,以充分利用网络带宽,提高网络的运行效率。网络需要具有多主机跨平台主机连接能力,数据集中存放、集中管理、数据有效共享、存储空间共享、统一安全备份,可实现无人值守、自动实施备份策略,备份LANFREE、SERVERLESS等功能,为全面集中管理和数据仓库的建设奠定坚实的基础
17、。根据研究院的要求,在主干网我们可以选择千兆以太网技术,千兆位以太网技术以简单的以太网技术为基础,为网络主干提供1Gbps的带宽。千兆位以太网技术以自然的方法来升级现有的以太网络、工作站、管理工具和管理人员的技能。千兆位以太网与其他速度相当的高速网络技术相比,价格低,同时比较简单,例如保留以太网的帧格式、管理工具和对网络概念上的认识。在对该研究院的网络的设计的过程中可以用层次化的模型来设计网络拓扑结构,所谓“层次化”模型,就是将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计,也能够应用于广域网的设计。
18、核心层为下两层提供优化的数据交换功能,它是一个高速的交换骨干,其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中(例:ACL,过滤等),否则会降低数据包的交换速度。核心层还包括lP路由配置管理、IP组播、静态VLAN、生成树、设置陷阱和警报,RMON监控管理,以及服务器群的高速连接等。核心层采用两台带有第三层交换模块的千兆或10G以太网交换机。核心交换机之间采用聚合链路(Port Thinking),该技术可使交换机之间连接最多4条负载均衡的冗余连接。当两个交换机之间的一条线路出现故障,传输的数据会快速自动切换到另外一条线路上进行传输,以使网络真正具备高容量、无阻塞、可靠的多媒体传输
19、和优质的管理能力,可将千兆以太网交换、快速以太网交换、以及路由构成一套有机的网络主干。分布层提供基于统一策略的互联性,它连接核心层和接入层,对数据包进行复杂的运算。在园区网络环境中,分布层主要提供如下功能:地址的聚集,部门和工作组的接入,广播域/组播传输域的定义,VLAN分割,介质转换,安全控制等。在研究开发楼,行政管理楼等主要楼宇可放置第二层交换机。接入层主要是为最终用户提供对网络访问的途径。应具有带宽共享,交换带宽,MAC层过滤,网段微分等功能。接入层交换机放置于每幢楼的楼层内用于直接接入到信息点。采用可网管、可堆叠的高性能交换机,以便于扩展,交换机应具备扩展槽,以便根据需要加插2口堆叠模
20、块、单口或双口的千兆模块。3 需要的网络设备:服务器两台、交换机若干,路由器,六类线材,脚架,RJ-45头,电脑终端。4 网络拓扑图:5 布线方式:工作区子系统: 工作区子系统由网络终端设备(计算机)和连接信息插座的双绞线(软线)组成,它包括软线、连接器和连接所需的扩展软线,并在终端设备和输入输出(IO)之间连接。一个独立的需要设置终端设备的区域宜划分为一个工作区,工作区子系统应由配线(水平)布线系统的信息插座延伸到工作站终端设备处的连接电缆及适配器组成,一个工作区的服务面积可按510m2估算,每个工作区设置一台计算机终端设备,工作区子系统所采用6类双绞线。水平子系统水平子系统用于连接工作区和
21、管理子系统的配线架。它将干线子系统线路延伸到用户工作区,包括双绞线电缆、信息插座、线缆保护材料(如目前常用的线槽)等。水平子系统采用4对双绞线,因为配线架到信息插座之间的水平电缆长度在90m以内。从工作区的信息插座到配线间的配线架之间的UTP电缆,是水平子系统的主要布线材料。垂直干线子系统 对于较大型建筑物,一般需要两个以上的分配线间和一个主配线间(设备间)。分配线间分布在建筑物的不同楼层,因此,需要采用垂直干线子系统将各分配线间连到主配线间。垂直干线子系统主要由设备间的配线设备和跳线以及设备间至各分配线间的连接电缆(UTP铜缆和光缆)组成。垂直干线子系统借助建筑物通道布线。建筑物有两大类型的
22、通道:封闭型和开放型。封闭型通道是指一连串上下对齐的空间,每层楼都有一间,封闭型通道便于通过电缆竖井、电缆孔、管道电缆、电缆桥架等穿过这些房间的地板层布线。开放型通道是指从建筑物的地下室到楼顶的一个开放空间、中间没有任何楼板隔开,例如,通风通道或电气竖井,开放空间不便于铺设干线子系统电缆。但可采用一些便于固定电缆的设施来补救。干线电缆可采用点对点端接,也可采用分支递减端接以及电缆直接连接方法。管理子系统管理子系统的主体是配线架以及配线架和网络设备之间形成的交叉连接区。管理子系统用于把水平子系统和垂直干线子系统连在一起,或把垂直干线子系统和设备间子系统连在一起。通过它可以灵活地改变布线系统各个子
23、系统之间的连接关系,从而方便地管理网络通信线路。单点管理位于设备间里面的交换机附近,通过线路进行交叉跳线管理,直接连至工作区或另一个交接区。双点管理用于网络中采用二级交接设备的场合。设备间子系统 设备间子系统负责把干线和建筑群骨干线路经设备间管理子系统连接到网络通信系统设备上。由设备间的电缆、连接器和相关支撑硬件组成,它负责把来自网络分布层和接入层的各种不同网络设备(如交换机、HUB等)与位于网管中心的核心网络设备及其他设施 ,进行互联。设备间是在每幢大楼的适当地点设置进线设备,进行网络管理以及管理人员值班的场所。设备间子系统应由综合布线系统的建筑物进线设备,数据通信设备、计算机等各种主机及保安配线设备等组成。宜集中设在一个房间内。设备间子系统的设计要点如下:根据建筑物规模和计算机房的位置,来为设备间定位,以降低网络材料成本设备间内的所有进线终端设备宜采用色标区别各类用途的配线区。设备间位置及大小应根据设备的数量、规模、建筑物位置等内容,综合考虑确定。建筑群(主干)子系统 建筑群子系统由一个建筑物中的电缆延伸到建筑群的另外一些建设物中的通信设备和装置上,它提供楼群之间通信设 施所需的硬件,其中有电缆、光缆和防止电缆的浪涌电压进 入建筑物的电气保护设备。使用多模光纤连接各个建筑。
黑公网安备:91230400333293403D