单位局域网的建设计算机科学与技术毕业论文


     XX大学 计算机科学与技术专业毕业论文 题 目 __单位局域网的建设___ 专业名称 计算机科学与技术 学生姓名 指导教师 毕业时间 2014 论文摘要 随着信息化的不断发展,网络的运用越来越普遍,办公自动化、工作无纸化在各个单位越来越普及。为响应低碳环保,公文无纸化已成为一个趋势,随着这个趋势发展各单位都需建立自己的局域网,在局域网内传输信息、公文,做到信息高速传输共享保密。本毕业设计就是为检察院建立一个独立的局域网系统,它包含办公自动化系统、案件管理系统、实时审讯系统、视频会话系统、保密系统等,为各工作人员日常办公办案提供便捷的服务。本毕业设计主要依据网络管理技术、综合布线技术、计算机通信技术等开展实施,为检察院的综合楼布线及网络通信管理提供理论依据和设计方案。 关键字:局域网、计算机网络、服务器、防火墙 ABSTRACT With the continuous development of information technology, network isused more and more widely, the paper more popular in various units andoffice automation, no work. In response to a low carbon environmental protection, official business without paper has become a trend, with thetrend of the development of each unit are required to establish their ownlocal area network, the transmission of information, document in the local area network, to achieve high-speed transmission of information sharingconfidential. This graduation design is to establish an independent networksystem for the procuratorate, including office automation system, case management system, real-time interrogation system, video conversation system, security system, to provide convenient services for daily officestaff. This graduation design is mainly based on the network management technology, integrated wiring technology, computer communication technology to carry out the implementation, provides the theory basis and the design scheme for the procuratorate building wiring and networkcommunication management. Keywords: LAN, computer network, server, firewall。 目录 前 言 1 第一章 计算机局域网概述 2 一. 计算机局域网 2 1. 计算机网络的分类 2 2. 计算机网络的拓扑结构 3 二. 计算机网络的相关技术 4 1. 网络结构层次 4 2. IP地址和MAC地址 5 3. 网络协议 7 4. IEEE局域网系列标准 8 三. 传输介质及网络设备 9 1. 网卡 9 2. 交换机 9 3. 路由器 10 4. 传输介质 10 第二章 检察院局域网的建设 12 一. 项目背景 12 二. 需求分析 12 三. 设计思路 13 1. 总体设计原则 13 2. 总体功能 14 四. 网络建设 14 1. 网络拓扑图 14 2. 网络层次 15 3. 交换机的具体部署 16 4. 局域网中其他设备及软件 17 5. VLAN划分 18 6. IP地址规划 18 7. 设备选型 19 结 论 26 参考文献 27 致 谢 28 前 言 现今是一个互联网的时代,计算机的发展日新月异,随着计算机的发展网络已经慢慢溶入我们的生活,无论在工作、交友、信息传输等各个方面网络都做着突出的贡献,网络充斥着我们的周围,现在的我们已经离不开网络。 随着网络的发展,信息化的进展,互联网在资源共享,信息的实时传输,人与人异地交流都起到重要作用。局域网的区域独立性,高传输效率,保密性无疑在单位的工作中起到很好的效果。将单位的各个独立的计算机通过互联设备连接起来,在物理与软件上与互联网相隔离,起到单位内部的信息保密,不外传;同时单位内部各计算机之间能起到很好的信息传输与共享功能。 本次检察院网络建设项目以局域网为基础,结合计算机软硬件技术架设的,能与上下院相连且相对独立。能为院内各工作人员提供先进的办公及办案自动化、资源共享、实时传输、公文传阅、数字签名等功能。 第一章 计算机局域网概述 计算机网络分广域网、城域网、局域网。本论文主要运用的是局域网技术,为方便读者更系统的了解,对网络做简要概述。 一. 计算机局域网 网络由各个计算机互联而成,计算机网络已经在企业、事业、学校、政府机关等地方成为不可缺少的工具。网络的定义是: “一些相互连接的、以共享资源为目的的、自治的计算机的集合。最简单的计算机我拿过来就是只有两台计算机和连接它们的一条链路,即两个节点和一条链路。因为没有第三台计算机,因此不存在交换的问题。最庞大的计算机网络就是因特网。它由非常多的计算机网络通过许多路由器互联而成。因此因特网也称为“网络的网络”。另外,从网络媒介的角度来看,计算机网络可以看做是由多台计算机通过特定的设备与软件连接起来的一种新的传播媒介”。 1. 计算机网络的分类 网络按照传输距离可以分为一下3种: 1) 局域网(Local Area Networks,简称LAN)。 指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的,可以由办公室内的两台计算机组成,也可以由一个公司内的上千台计算机组成。 2) 广域网(Wide Area Networks,简称WAN)。 也称远程网(long haul network )。通常跨接很大的物理范围,所覆盖的范围从几十公里到几千公里,它能连接多个城市或国家,或横跨几个洲并能提供远距离通信,形成国际性的远程网络。 3) 城域网(Metropolitan Area Network,简称MAN)。 是在一个城市范围内所建立的计算机通信网,简称MAN。属宽带局域网。由于采用具有有源交换元件的局域网技术,网中传输时延较小,它的传输媒介主要采用光缆,传输速率在l00兆比特/秒以上。MAN的一个重要用途是用作骨干网,通过它将位于同--城市内不同地点的主机、数据库,以及LAN等互相联接起来,这与WAN的作用有相似之处,但两者在实现方法与性能上有很大差别。 2. 计算机网络的拓扑结构 网络拓扑就是网络中计算机、缆线以及其他通信部件构成的几何布局。计算机网络的拓扑有多种类型,并且是随着网络技术的不断发展而不断涌现与完善。 1) 总线型(Bus) 将各节点的设备用同一根网线连接起来,所有主机共享同一通信介质,拓扑结构如图1.1。在总线电缆上任何一处的松动和脱离都会引起网络无法运行,且由于布线问题故障的定位及修复比较困难,维护比较困难 图1.1 总线型网络拓扑结构 2) 星形(Star) 星型拓扑网络以中央节点为中心,由中央节点与其他节点相连接组成,如图1.2所示。中央节点机一般为集线器或交换机,除了中心节点之外的任何节点故障或节点的增减都不影响网络中的其他节点工作,从而实现了网络便于维护、便于管理的优越性。 图1.2 星型网络拓扑结构 3) 树形(Tree) 当一台集线器或交换机的端口数量不足以连接所有的计算机或者需要联网的计算机分布比较分散,可以再串联第二级星型网络,如图1.3所示,这就是树形拓扑结构。 图1.3 树形网络拓扑结构 4) 环形(Ring) 网络中各节点通过环路接口,链接到一条首尾相连的闭合环形通信线路中,如图1.4所示。环网上的任何一个节点的故障都会影响整个网络传输。 图1.4 环形网络拓扑结构 二. 计算机网络的相关技术 1. 网络结构层次 国际标准化组织未来连接不同设备的网络体系结构,于1984年提出开放系统互联参考模型OSI(Open System Interconnection)。它被分成7层,这7个层次分别定义了不同的功能。几乎所有的网络都是基于这种体系结构的模型进行改进并定义的,这些层次从上到下分别是应用层、表示层、会话层、运输层、网络层,数据链路层和物理层,其中物理层是位于体系结构的最低层,它定义了OSI网络中的物理特性和电气特性。OSI参考模型及工作过程如图1.5所示。 图1.5 OSI七层体系结构及数据流说明 TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议和互连网协议)缩写,TCP/IP体系结构是当前应用于Internet网络中的体系结构,它是由OSI结构演变来的,它没有表示层,只有应用层、运输层,互联层和网络接口层。 2. IP地址和MAC地址 2.1 IP地址 1) IP地址 网络地址唯一指定了每一个网络,同一网络中的每台计算机都共享相同的网络地址,并用它作为自己IP地址的一部分。例如,在IP地址172.16.30.56中,172.16就是这个网络地址。 主机地址是在一个网络中用来标识每台计算机的,它是一个唯一的标识符。在IP地址为172.16.30.56的这个例子中,30.56就是这个主机的地址。 IP地址分为A、B、C、D、E五类,图1.6解释了这5个网络的类别关系,表1.1说明了这几类地址的范围及掩码。 图1.6 IP地址分类 IP地址范围 掩码 A类 0.0.0.0-126.255.255.255 255.0.0.0 B类 128.0.0.0-191.255.255.255 255.255.0.0 C类 192.0.0.0.-223.255.255.255 255.255.255.0 D类 224.0.0.0-239.255.255.255 E类 240.0.0.0-255.255.255.255 表1.1 IP地址范围 2) 私有IP地址 私有地址可以被用于私有网络,只是它们不可以路由通过Internet,这个设计主要是为了满足广泛需要的安全目的,同时也很有效地节省了宝贵的IP地址空间,表1.2是被保留的私有IP地址列表。 地址类 被保留的地址空间 A类 10.0.0.0-10.255.255.255 B类 172.16.0.0-172.31.255.255 C类 192.168.0.0-192.168.255.255 表1.2 私有地址列表 3) 特殊IP地址 在IP地址中除了定义了私有IP地址外,还定义了如下IP地址在网络通信时所表示的特殊意义,这些地址不可用于一般的IP地址配置。 0.0.0.0:表示所有网络,在路由表中指向默认网关。 255.255.255.255:在路由表中表明IP广播地址。 127.0.0.1:本地回送地址,既指向本机。 2.2 MAC地址 每块网卡出厂时,就被赋予唯一的物理地址作为标识,这样的物理地址称为MAC地址。MAC地址由6个字节组成,用16进制数表示,6个字节中前3个为制造网卡厂商的标识,后3个字节为网卡序列号,因此每一个网卡的MAC地址在全球是独一无二的。 3. 网络协议 网络协议是通信双方共同遵守的约定和规范,网络设备必须安装或设置各种网络协议之后才能完成数据的传输和发送,在校园局域网上用到的协议主要有,ICP/IP协议、IPX/SPX协议等。 3.1 TCP/IP协议 TCP/IP协议是目前在网络中应用得最广泛的协议,ICP/IP实际上是一个关于Internet的标准,并随着的Internet广泛应用而风靡全球,它也成为局域网的首选协议。TCP/IP是一种分层协议,它共被分为个4层次,大约包含近期100个非专有协议,通过这些协议,可以高效和可靠地实现计算机系统之间的互连。TCP/IP协议中的核心协议有TCP(传输控制协议)、UDP(用户数据报协议)和IP(因特网协议)。TCP/IP协议组模型如图1.7: 图1.7 TCP/IP协议组 1) TCP协议 TCP协议可以在网络用户启动的软件应用进程之间建立通信会话,并实现数据流量控制和错误检测,这样就可以在不可靠的网络上提供可靠的端到端数据传输。UDP协议是一种无连接的协议,它在传输数据之前不建立连接,也不提供良好的可靠性和差错检查,只仅仅依赖于校验来保证可靠性。UDP不进行流量控制,没有序列或者确认,因此它处理和传输数据的速度快,还被用来传输关键的网络状态消息。 2) IP协议 IP协议的基本功能是提供数据传输、数据包编址、数据包路由,分段等。通过IP编址约定,可以成功地将数据通过路由传输到正确的网络或者子网。每个网络站点具有一个32位的IP地址,它和48位MAC地址一起协作,完成网络通信,IP协议也是一种无连接的协议。 3) Telnet协议 Telnet协议允许一个用户在远程客户端采用虚拟终端的方式访问另一台机器上的资源。 4) FTP协议 文件传输协议(FTP)实际上就是传输文件的协议,它可以应用在任意两台主机之间,它不仅仅是一个协议,它同时也是一个程序。FTP允许执行对目录和文件的访问,并且可以完成特定类型的目录操作,例如将文件重新定位到不同的目录中。 5) SMTP协议 简单邮件传输协议(wsmtp)对应于我们普遍使用的被称为E-mail的应用,它描述了邮件投递中的假脱机、排列及方法。SMTP用来发送邮件,POP3用来接收邮件。 6) DNS协议 域名解析服务(DNS)将计算机域名与其IP地址一一对应,从而建立起具有严密逻辑关系的域名服务系统,就是把人工输入的计算机网络和主机的名字翻译为IP地址,然后利用网络软件根据IP地址实线各种网络功能。 7) DHCP协议 动态主机配置协议(DHCP)可以为接入网络的客户计算机动态分配IP地址,它可以工作在小型甚至超大型网络环境中,并使得对这些网络的管理和操作更为简单、更为容易。 4. IEEE局域网系列标准 IEEE802系列标准是由美国电子和电器工程师学会(IEEE)制定的,这个标准的大部分内容已经成为计算机网络技术的国际标准。随着局域网技术的发展,IEEE802系列标准在不断的扩大和发展,目前已经定义并发布如下标准。 IEEE802.1标准:定义了局域网体系结构和网络互联,网络管理和性能测量。 IEEE802.2标准:定义了OSI的数据链路层的两个子层的功能。 IEEE802.3标准:定义了CDMA/CD总线MAC子层和物理层规范。 IEEE802.4标准:定义了令牌总线MAC子层和物理层规范。 IEEE802.5标准:定义了令牌环网MAC子层和物理层规范。 IEEE802.6标准:定义了城域网MAC子层和物理层规范。 IEEE802.7标准:定义了宽带网技术。 IEEE802.8标准:定义了光纤传输技术。 IEEE802.9标准:定义了综合语音和数据局域网技术。 IEEE802.10标准:定义了可互操作的局域网安全规范。 IEEE802.11标准:定义了无线局域网技术。 IEEE802.12标准:定义了新型高速局域网技术。 三. 传输介质及网络设备 网络设备主要是指硬件系统,各种网络设备之间是有着相互关联而不是相互独立的,每一部分在网络中有着不同的作用,缺一不可,只有把这些设备通过一定的形式连起来才能组成一个完整的网络系统,网络设备主要包括网卡、集线器、交换机、路由器、传输介质等。 1. 网卡 网卡(简称NIC),也网络适配卡或网络接口卡,网卡作为计算机与网络连接的接口,是不可缺少的网络设备之一。无论是双绞线网络、同轴电缆网络还是光缆网络,都必须借助于相应类型的网卡才能实现与计算机的连接,是计算机与局域网相互连接的惟一接口。每块网卡上都有一个世界惟一的ID号,也就是MAC(Media Access Control)地址,计算机在连入网络之后,就是依靠这个ID号才能实现在不同计算机之间的通信和信息交换。网卡有很多种,不同类型的网络需要使用不同种类的网卡,不同速度的网络需求也要使用不同的网卡。如根据带宽来分的话,有10Mbit/s网卡、10/100Mit/s自适应网卡和1000Mbit/s网卡;如按总线分,有ISA总线、PCI总线、PCMCIA总线网卡等。 2. 交换机 交换机,也称交换式集线器,是专门设计的,使各计算机能够相互高速通信的独享带宽的网络设备。作为高性能的集线设备,随着价格的不断降低,交换机已逐步取代了集线器而成为集线设备的首选。由交换机构建的交换式网络系统不仅拥有高速的传输速率,而且交换延时很小,使得信息的传输效率大大提高,适合于大数据量并且使用非常频繁的网络通信,被广泛应用于各种类型的多媒体和数据传输网络。交换机具有很强的网络管理功能,它能自动根据网络通信的使用情况来动态管理网络,因为交换机采用了独享网络带宽的设计。 3. 路由器 路由器除了有连接不同的网络物理分支和不同的通信媒介、过滤和隔离网络数据流及建立路由表,还有控制和管理复杂的路径、控制流量、分组分段、防止网络风暴及在网络分支之间提供安全屏障层等到功能。根据路由设备的组成可以分为软路由和硬路由。根据路由表的设置方式可以将路由器分为静态的和动态的。路由器工作在网络层,因此它可以在网络层交换和路由数据帧,访问的是对方的网络地址。当数据帧到达路由器后,路由器查看数据帧的目标地址,并在路由表查看到达目标地址的路径,根据路径的代价,选择一条最佳的路径,然后把数据帧沿这条路径发送给目标地址。 4. 传输介质 网络要求把各个独立的计算机连接起来的,这样就必然要求有一种介质将计算机连接起来,这就是传输介质,局域网的传输介质可分为有线介质和无线介质两种,一般情况下都是用有线介质的,因为它的稳定性高,连接可靠,无线介质只是在特殊环境下才使用的传输方式。常用的有线介质主要有以下几类。 4.1 同轴电缆 同轴电缆以硬铜线为芯,外包一层绝缘材料。这层绝缘材料用密织的网状导体环绕,网外又覆盖一层保护性材料。同轴电缆有许多种不同的规格,最常用是细同轴电缆和粗同轴电缆。细同轴电缆主要用于建筑物内的网络连接,而粗同轴电缆则常用于建筑物间相连。它们的区别在于粗同轴电缆屏蔽更好,能传输更远的距离。 4.2 双绞线 双绞线是综合布线工程中最常用的一种传输介质。双绞线由两根具有绝缘保护层的铜导线组成。把两根绝缘的铜导线按一定密度互相绞在一起,可降低信号干扰的程度,每一根导线在传输中辐射的电波会被另一根线上发出的电波抵消,与其他传输介质相比,双绞线在传输距离、信道宽度和数据传输速度等方面均受到一定限制,但价格较为低廉。目前,双绞线可分为非屏蔽双绞线和屏蔽双绞线。 根据电气性能以及产品推出的先后顺序,双绞线分为三类、四类、五类、超五类、六类、七类等,最常用的是五类UTP双绞线,传输速率可达100Mbit/s。 4.3 光纤 光纤是一种直接为50~100um的柔软的、能传导光波的介质,一般由玻璃制造。光纤分为:传输点模数类分单模光纤(Single Mode Fiber)和多模光纤(Multi Mode Fiber)。单模光纤的纤芯直径很小,在给定的工作波长上只能以单一模式传输,传输频带宽,传输容量大。多模光纤是在给定的工作波长上,能以多个模式同时传输的光纤,与单模光纤相比,多模光纤的传输性能较差。 第二章 检察院局域网的建设 一. 项目背景 检察院新办公楼为两幢多层建筑,主楼为5层,其中负一层为车库、配电房及办案区,副楼为食堂及控告申诉,案件管理中心,另附有小机房一个用以与主楼光纤连接。网络设计的主要功能是为用户提供同步的网上办公、信息共享、案件管理,实现各部门各人员之间的信息交流和信息资源共享,实现内部局域网与Internet以及上下院的专网连接。支持办公自动化、办案无纸化、资源共享和法律证据查阅等。 二. 需求分析 检察院局域网建成后将以局域网为基础,承载院内部OA系统、办案系统、审讯系统、案件管理系统、视频会议系统、电话专网系统、对外网站等。该网络建成后需要与互联网连接同时要与上级网连接。 鉴于以上用户需求,此次局域网建设需达到一下要求: s 确保网络的高可用性、高可靠性、高效率和高保密性,核心交换机和汇聚层交换机具有高交换速率、大吞吐量,保证院内部的各项工作稳定正常。 s 着力于网络的安全性,禁止非法接入,构筑一道全方位的立体安全屏障。 s 确保为用户提供针对不同信息系统和网络安全等级需要的综合性安全策略和计划。 s 确保采用的产品符合中华人民共和国有关信息安全的法律和规范。 三. 设计思路 1. 总体设计原则 网络系统的建设和设计,要从检察信息化建设的实际需要出发,紧紧围绕检察院办公办案系统的应用需求和发展;采用成熟的先进技术,把握主流技术的发展方向,不仅要考虑到将来的需求,还将为系统的扩充留有余地。这两者的完善结合是在设计本系统方案时的思考和遵循的原则。基于以上考虑我们在网络设计时遵循以下原则: 1.1 网络可靠性原则 网络设计过程中网络拓扑应采用稳定可靠的形式,如:双路由网络拓扑,环行网络结构。因为它们即可冗余备份,安全性又可以得到保障,核心层交换可采用高端交换设备和光纤技术的主干链路(TRUNK)来实现较高的容错性,这样就可以避免单点故障的出现,网络结构使用双链路,双核心交换设备,双路由备份可靠措施,都可以使校园网可靠性和实用性得到大大的提高。 1.2 网络可扩展性原则 检察内网扩展性包含2层意思(一):新的内部科室可以很简单的建立并加入内网 (二):未来软硬件的升级能无缝隙的与现有网络结合 可见,检察内网络设计时不但要适应当下技术需求,还要对未来的硬件设备增加及软件升级做出准确预算和留有空间,以保证未来软硬件的需求,保障网络可靠性。 1.3 网络实用性和可管理性原则 检察内网系统设计在性价格比方面要寻求平衡点,既要实用也得便宜,在预算允许的调节下尽量采购先进的设备以保证一段时间内符合院内部对网络的需求,检察内区网应基于简单网络管理协议(SNMP),可以使用可视化管理界面和操作方式,方便管理,从而真正起到实用性,网络规划要精心合理,做到不浪费,为未来升级留有空间。 1.4 网络安全性原则 对物理层及网络拓扑结构,操作系统及应用软件要求具备相应的安全检测机制,边界网关应该构筑防火墙,安装杀毒软件,对网关路由器进行必要的安全性过滤,如访问控制列表ACL配置,用户身份认证,数据加密,密钥等技术来保障内网的安全。 2. 总体功能 1.网络的设计架构采用以太网的总线形拓扑结构。 2.路由器要求支持静态路由、RIP、OSPF等路由协议,支持多种接入方式。分内接上级院专网,外接内外网。 3.防火墙要求:配置1000M防火墙,吞吐量不低于100Mbps,具有图形化管理,超强的抗攻击免疫能力,有日志管理功能,防止蠕虫自动侵入,防止局域网内的恶意扫描。 4.本网络需具备人性化的管理功能,具有较高的信息吞吐量,具备语音、视频、加密传输数据的功能; 5.本网络能支持多媒体教学、会议和学术交流、办公自动化、物业管理、互联网应用(诸如远程教学、流媒体应用、音视频会议、FTP以及远程信息交换)及文体娱乐等方面的应用。 6.网络信息中心机房用于放置卫生局局域网核心网络设备、服务器、数据、语音总配线架等。涉及的网络功能包括网络运行管理、网络信息管理、网络安全管理、局域网数据中心四个方面。网络中心机房电源由变电所提供两路380V~/50Hz电源,在机房经双电源自动切换装置由两路40KVA 在线式UPS不间断电源供给,一路供给核心网络设备及服务器存储集群,另一路专门供给两台一主一备的精密制冷空调。并要预留80kva电源线缆以备日后扩容需要。 7.网络信息中心机房中服务器存储系统要求加入KVM切换系统,与新加装机柜配套配置KVM切换器,要求带显示设备及输入设备,可控制该机柜内所有服务器设备.并将多个KVM连接入环境监测系统,使得我信息中心操作人员可在管理区直接进行服务器操作,而不用进入设备区. 四. 网络建设 局域网作为网络的数据交互中心,其扩展的重要性、安全性、冗余性、可靠性以及所承载的巨大数据流量的转发性能对网络的拓扑结构、、设备选择和技术实施等方面要求非常高,必需全面体现出该网络结构的高可靠性、高扩展性、高安全性,从而确保网络的稳定运转,满足业务处理的需求。 1. 网络拓扑图 图2.2 网络拓扑图 2. 网络层次 整个石景山卫生局局域网可划分为以下二部分: 2.1 核心层 选用思科4507交换机作为核心交换机,使用光纤连接到汇聚层交换机,以实现核心设备的高冗余性、高可靠性及网络的高扩展性的需求。 核心层功能:核心层是网络的高速骨干必需最大现代的实现数据线性转发并具备高可靠性。 设备选择:选用思科4507交换机作为构成局域网的核心,以达到高可靠性的连接,配备11个光纤模块与接入交换机相连。 2.2 接入层 石景山卫生局新楼投入使用后,每个信息点通过相邻的接入交换机接入局域网,各楼层的接入交换机通过汇聚交换机相连形成一个统一的、便于管理的、高速的独立传输单元。 接入层功能:承载终端设备所有数据流量的转发及与中心设备的数据交互。 设备选择:接入层交换机采用思科2960设备,9台48口交换机,2台24口交换机,每台交换机配备1个光模块,通过光纤与汇聚层交换机连接。 3. 交换机的具体部署 3.1 信息点分布 序号 楼层 数据信息点 实际使用点数 光纤点 北办公楼 1 4F 94 46 1 2 3F 94 46 1 3 2F 94 46 1 4 1F 94 46 1 5 -1F 10 10 1 南办公楼 1 5F 62 40 1 2 4F 62 40 1 3 3F 62 40 1 4 2F 62 40 1 5 1F 69 40 1 6 -1F 3 3 1 合计数据点 706 397 11 表2.1 信息点分布 3.2 交换机部署 1) 网络机柜 在南楼、北楼每层竖井内各放置一架标准19英寸网络机柜,机柜内放置100端口配线架。 2) 接入交换机 在北楼1、2、3、4层,南楼1、2、3、4、5层竖井内网络机柜中各安装1台48口思科2960交换机,每台交换机配备1个单模光模块与核心交换机连接,满足每层信息点数量的需求。 在南、北楼地下一层竖井内网络机柜中各安装1台24口思科2960交换机,每台交换机配备1个单模光模块与核心交换机连接,满足每层信息点数量的需求。 3) 核心交换机 在网络机房(位于南楼2层)安装思科4507设备作为核心交换机,选择单模光口,分别与大楼竖井内的二层交换机连接,同时为网络中心的服务器提供接入。 4. 局域网中其他设备及软件 其他网络设备包括路由器、防火墙、服务器及相关软件等,均放置在南楼2层网络机房内 4.1 路由器 路由器采用思科2821设备最为局域网的出口,支持静态路由、RIP、OSPF等路由协议,支持多条拨号访问、多种接入方式。配置4各快速以太网接口,与Internet及石景山政务网连接。 4.2 防火墙 采用ASA5520设备作为网络防火墙,配置100M防火墙,吞吐量不低于100Mbps,具备NAS、VPN(吞吐量不低于40Mbps),图形化配置方式,有日志管理功能。 4.3 服务器 共设置7台服务器满足石景山局域网内各种业务系统的支撑,分别为DHCP/FTP服务器、WWW/DNS服务器、OA服务器、电子邮件服务器、网络管理服务器、会议录播服务器、防病毒服务器。服务器采用惠普ML150设备。 4.4 软件 每台服务器上均安装相应的功能软件,操作系统统一采用windows server 2003,杀毒软件采用与石景山政务网统一的KILL系统。 5. VLAN划分 在网络内进行VLAN划分的目的主要是为了抑制广播风暴,提高网络运行效率,同时还可以根据需求对不同的类型的用户进行隔离,配合相应的地址分配策略,提高网络安全性。为进一步加强网络的安全性和可管理性,需要指定严格的整体网络VLAN划分方案,使网络具有管理、身份认证、控制网络流量、IP地址绑定等功能。 5.1 VLAN划分的四种策略 1) 基于端口的VLAN划分 基于端口的VLAN划分是最简单、最有效的VLAN划分方法。该方法只需要网络管理员针对网络设备的交换端口进行重新分配租户在不同的逻辑网段中即可。 2) 基于MAC地址的VLAN 基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN组合。适用于较小的网络规模。 3) 基于路由的VLAN划分 路由协议工作在七层协议的第三层-网络层,即基于IP和IPX协议的转发。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。 4) 基于策略的VLAN划分 基于策略的VLAN划分是一种比较有效直接的方式。这主要取决于在VLAN划分中所采用的策略。 5.2 石景山卫生局VLAN划分 1) 公共区域,例如图书馆、会客室、教室、会议室、多功能厅等,根据端口进行VLAN划分; 2) 办公区域根据不同的部门划入为不同的VLAN; 3) 为敏感部门和个人,如财务部、酒店管理人员等划分独立VLAN; 4) 核心机房中的服务器等设备根据各自的MAC地址划分VLAN。 6. IP地址规划 石景山卫生局的IP地址分配建议采用动态地址分配(DHCP)方式和静态IP地址分配结合的方式,公共区域部分的网络建议采用DHCP方式,做到即插即用。汇聚交换机起三层功能,可以根据VLAN不同的IP 地址池,这样每个VLAN对应一个IP地址段,不同VLAN的用户IP地址不在同一个子网;也可以多个VLAN共用一个IP地址池。 办公区域网络建议采用静态IP地址方式,这种方式便于管理和维护。每个员工分配固定的IP地址和账号/密码,对于固定位置的用户,还可以采用IP地址/MAC地址和交换机端口绑定的方式,提高安全性。 办公区域和公共区域采用不同的IP地址段,以便在三层交换机上实现基于IP地址的访问控制,实现不同区域的隔离。 7. 设备选型 7.1 核心交换机 思科4500系列交换机将无阻塞第二到第四层交换与最优控制相集成,有助于部署关键业务应用的大型企业、中小型企业和城域以太网客户提供业务永久性。思科4500系列交换机提供多种智能服务,其中包括先进的服务质量(QOS)、可预测性能、告警安全性和全面的管理。它提供带集成永久性的出色控制,将永续性集成到硬件和软件中,缩短了网络停用时间,有助于确保员工的效率。它的模块化架构、介质灵活性和可扩展性减少了重复运营开支。 图2.3 思科4507 1) 思科4507设备的优势 性能:提供了带宽可随端口的添加二扩展的高级交换解决方案,提供线速第二到第三层10/100/1000M位交换。第二层交换可扩展到136Gbps、102mpps,第三到第四层交换也可扩展到136Gbps、102mpps。 端口密度:可达到一个机箱中384个以太网端口,支持10/100/1000自动检测,自动协商千兆以太网连接,可选万兆以太网上行链路接口。 高级安全性:支持802.1x、访问控制列表(ACL)、SSH协议、动态ARP检测(DAI)、源IP防护和VLAN等安全特性。 功能透明的线卡:只需要添加一个新的交换管理引擎即可轻松地将所有系统端口升级到更高层的交换功能,而无需更换现有线卡和布线。 到桌面的千兆连接:采用自动检测技术的10/100/1000BASE-T三速线卡和端口模块,无需更换线卡即可将快速以太网升速到1000M。 基于硬件的组播:采用协议独立型组播(PIM)\密集和疏松模式、互联网小组管理协议(IGMP)和思科群组管理协议支持基于标准和经思科技术增强的高效多媒体联网,且对性能无影响。 Cisco NetFlow服务:用于Supervisor Engine IV和V的Cisco NetFlow服务卡支持硬件中的统计数据获取,用于基于流量和基于VLAN的统计监控。 针对关键任务应用的带宽保护:当部署Supervisor Engine IV、V或V-10GE时,在实施Qos或安全特性时不会降低转发性能,继续一全线速转发分组。 到桌面的光纤连接:24和48端口线卡提供了光缆设计的安全性和永续性,使之极适于有距离限制、入侵漏洞或RF干扰的网络。 2) 思科4507的主要性能指标 传输速率 10Mbps/100Mbps/1000Mbps 网络标准 IEEE 802.3、IEEE 802.3u、IEEE 802.3z、IEEE 802.3x、IEEE 802.3ab、IEEE 802.1Q、IEEE 802.1D、IEEE 802.1w、IEEE 802.1s、IEEE 802.1x、IEEE 802.3af 端口数量 240 接口介质 100BASE-TX、10/100/1000Base-T、1000BASE-SX、 1000BASE-LX/LH、1000BASE-ZX 传输模式 支持全双工 背板带宽 100Gbps VLAN支持 支持 MAC地址表 32k 模块化插槽数 7 指示面板 风扇制冷:包含在热插入/热取出单元中;良好:绿色(良好);故障:红色(错误);支持SNMP MIB 尺寸(mm) 439.7×317×487.4 重量(Kg) 20.07 其他技术参数 7个总插槽数:2个交换管理引擎插槽;超级引擎冗余性(只限Supervisor Engine II-Plus,IV和V);支持的交换管理引擎 Supervisor Engine II-Plus,IV,V;5个线路卡插槽;2个电源机架数量;支持交流输入电源 ;支持直流输入电源;集成PoE(IP电话和无线接入点)支持 ;1个风扇机架;19英寸机架安装位置 7.2 接入交换机 Cisco Catalyst 2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和10/100/1000千兆以太网连接,可为入门级企业、中型市场和分支机构网络提供增强LAN服务。 Cisco Catalyst 2960提供: s 集成安全特性,包括网络准入控制(NAC) s 高级服务质量(QoS)和永续性 s 为网络边缘提供智能服务 图2.4 思科2960 Cisco Catalyst 2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和10/100/1000千兆以太网连接,适用于入门级企业、中型市场和分支机构网络,有助于提供增强LAN服务。Catalyst 2960系列具有集成安全特性,包括网络准入控制(NAC)、高级服务质量(QoS)和永续性,可为网络边缘提供智能服务。 该系列还包括一系列针对网络管理员所作的硬件改进,包括双介质(或有线)千兆以太网上行链路配置,允许网络管理员使用铜缆端口或光纤上行链路端口。另外,它包括一款24端口千兆以太网交换机,可加速网络中的桌面千兆位(GTTD)传输。 特性 指标 转发带宽(Gbps) 13.6 每秒分组数(Mpps) 10.1 支持的MAC地址 8000 内存 64M 千兆端口(SFP/GBIC)密度 0 10/100/1000M端口密度 2 10/100M密度 48 供电模式 交流 功耗 45W 设备规格(长×宽×高) 23.6×44.5×4.4厘米 表2.2 思科2960的主要技术指标 7.3思科2821路由器 模块化Cisco® 2800系列集成多业务路由器建立在思科20年的领先地位及创新技术的基础之上,智能地将数据、安全性和话音服务内嵌于单一永续系统,能快速、可扩展地提供关键任务业务应用。Cisco 2800系列的独特集成系统架构提供了最高业务灵活性和投资保护。Cisco 2800系列能以线速为多条T1/E1/xDSL连接提供多种高质量并发服务。这些路由器提供了内嵌加密加速和主板话音数字信号处理器(DSP)插槽;入侵保护和防火墙功能;集成化呼叫处理和语音留言;用于多种连接需求的高密度接口;以及充足的性能和插槽密度,以用于未来网络扩展和高级应用。 图2.5 思科2821路由器 产品架构 DRAM 缺省: 256 MB 最大: 1 GB 固定USB 1.1 端口 2 板载 LAN端口 2–10/100/1000 板载AIM (内部) 插槽 2 接口卡插槽 4个插槽, 每个插槽可支持 HWIC, WIC, VIC, 或VWIC 模块 网络模块插槽 1个插槽, 支持 NM, NME 和 NME-X 模块 扩展话音模块插槽 1 主板上的PVDM 插槽 3 基于硬件的集成加密 有 VPN硬件加速 (在主板上) DES, 3DES, AES 128, AES 192, 和 AES 256 可选集成馈线电源 (PoE) 有,需要AC-IP电源 控制台端口(高达115.2 kbps) 1 辅助端口(高达 115.2 kbps) 1 机架安装 19和23英寸选项 电源要求 交流输入电压 100-240 VAC,自动调节 交流输入频率 47–63 Hz 交流输入电流 3A (110V);2A (230V) 交流输入电涌电流 最大50A,1个周期 (包括–48V电源) AC-IP最大馈线配电 240W AC-IP输入电流 8A (110V);4A (230V) AC-IP输入电涌电流 最大50A,1个周期 (包括–48V电源) 直流输入电压 24-60 VDC, 正负自动调节 直流输入电流 12A (24V);5A (60V);起始电流50A<10 ms 功耗—交流,无IP电话支持 280W (955 BTU/hr) 功耗—直流 300W (1024 BTU/hr) 环境参数 工作温度 32-104°F (0-40°C) 工作湿度 5-95%,非冷凝 非工作温度 –4°-149°F (–20°- 65°C) 工作高度 (每1000 ft降低1.5C) 27.5°C @ 15 kft ;35°C @ 3km/10 kft ;40°C @海平面 尺寸 (H x W x D) 3.5 x 17.25 x 16.4 in. (88.9 x 438.2 x 416.6 mm) 机架高度 2RU 重量 (全配置) 25 lb (11.4 kg) 噪音级别(最低/最高) 44 dBA,正常工作温度(<90°F/32.2°C) 53 dBA (@最大风扇速度) 表2.3 思科2821的主要技术指标 7.4 ASA5520防火墙 Cisco ASA 5200系列自适应安全设备将最佳的安全服务、VPN服务与Cisco创新性的自适应识别和缓解(AIM)架构结合,是一套高度灵活的解决方案。Cisco ASA 5200系列是思科自防御网络技术的关键产品,可以有效防止网络攻击的扩散,控制网络行为和应用流量,并提供灵活的VPN连接。因此,它的出现为用户提供了一个强大的多功能网络安全设备家族,可以有效地保护中小型企业的网络和业务,同时帮助企业缩减总体部署和运营成本,避免全面的安全保障所可能导致的复杂性。 Cisco ASA 5500系列在单一平台上集成了多种主流技术,支持在更多的网络环境中经济可靠地部署广泛的安全服务。它提供多功能的安全配置,帮助用户规避了在平衡强大的安全保护能力和在多个地点运营多个设备所需的成本时所面临的困难和风险。 图2.6 思科ASA5520防火墙 特性 描述 防火墙吞吐量 300 Mbps 并发威胁缓解吞吐量(防火墙+Anti-x服务) AIP-SSM-10情况下为150 Mbps VPN吞吐量 170 Mbps 并发会话 32,000/64,000* IPSec VPN端点数 50/150* WEBVPN端点数 50/150* 安全上下文 不支持 接口 3个快速以太网端口+ 1个管理端口/5个快速以太网端口* 虚拟接口(VLAN) 0/10* 高可用性 不支持/主用/备用* 表2.4 思科ASA5520的主要技术指标 7.5惠普ML150服务器 HP ProLiant ML150 G5 是一款高性能入门级服务器,可轻松满足您 IT 预算的要求,并且可以随着您企业的发展而不断扩展。部署全新的英特尔架构处理器 ML150G5 — 一款具有卓越性价比的立式服务器。拥有远程站点的公司可充分利用可用的 Lights-Out 100c 远程管理卡,以降低服务器/公司的停机时间,提高生产率。 处理器、操作系统和内存 处理器类型 AL559A / AL557A: 英特尔® 至强® E5405 四核处理器 2GHz AL558A: 英特尔® 至强® E5410 四核处理器 2.33GHz 处理器速度 AL558A: 2.33GHz;AL559A / AL557A: 2GHz 处理器数 1 个处理器 处理器升级 可升级至双处理器 可用的处理器核数 四核 内置高速缓存 集成 2 x 6MB 二级高速缓存 系统总线 1333MHz 前端总线 标配内存 1GB 标配内存 最大内存 16GB 内存类型 PC2-5300 寄存式缓冲 DIMM (DDR2-667) 内存插槽 6 个 DIMM 插槽 内置驱动器 内置硬盘驱动器 AL559A: 250GB SATA 非热插拔 3.5 英寸硬盘 AL558A / AL557A: 标配配置不包括硬盘驱动器 硬盘驱动器速度 AL559A: 7200 rpm 硬盘控制器 AL558A / AL557A: HP SC40Ge 4 内置端口 SATA/SAS 主机总线适配器 AL559A: HP 嵌入式 SATA RAID 控制器 内置驱动器机架 AL559A: 4 个非热插拔 SATA 硬盘托架 AL558A / AL557A: 4/8 个热插拔 SAS/SATA 光驱 16 倍速 SATA DVD-ROM 光驱 系统特性 机箱类型 5U 立式 芯片组 英特尔® 5100 芯片组 网络接口 嵌入式 HP NC105i PCI Express 千兆服务器适配器 10/100/1000 WOL(局域网唤醒) 外置 I/O 端口 1 个串口、1 个定位设备(鼠标,PS2)接口、1 个显卡接口、1 个键盘接口 (PS2)、共 8 个 USB 2.0 专用端口(4 个背面、2 个前面板、2 个内置 — 其中 1 个用于 USB 磁带连接);1 个 RJ-45 网络接口(以太网,10/100/1000 Gb/秒);远程管理:1 个通过可选的 HP ProLiant 100 G5 Lights-Out 100c 远程管理卡 (10/100) 接口 扩展槽 6 个扩展插槽:两 (2) 个 PCI-Express x8、三 (3) 个 PCI-Express x4(x8 接口)和一 (1) 个 PCI(32 位/33MHz)。单插槽设计用于可选的 HP ProLiant 100 G5 Lights-Out 100c 远程管理卡 电源类型 1 个 650 瓦非冗余电源,非热插拔;750 瓦冗余电源选件套件,非热拔 电源要求 加载 11.6 安:100 到 127 伏交流电;加载:5.5 安(200 到 240 伏交流电),47 到 66 赫兹 外形尺寸(宽 x 长 x 高) 42.40 x 61.68 x 20.00 厘米 重量 18.55 千克 表2.5 惠普ML150的主要技术指标 结 论 本毕业设计从石景山卫生局局域网的建设思想、目标、可以选用的网络技术以及对络设备的介绍和选择等多方面的论述,使我们对局域网建设工程有了一个比较深入的了解。石景山卫生局局域网的建设作为一项重要的系统工程,它的所用到的各种技术是多方面的,即有网络技术、工程施工技术,也有管理制度等各个方面的知识。网络技术的发展是永无止境的,在前进的过程中必将有更多的知识需要我们去学习与研究,并能将其应用到实际的网络工程建设之中。 由于石景山卫生局局域网的功能齐全,技术含量高,接触面广,在网络设计、规划和建设中都非常复杂,在论述中不可能面面具到,同时也由于本人的知识水平有限,文中的不足和错误在所难免,敬请各位老师多多指点和更正。本设计是在首都师范大学老师的指导下完成的,我在此对传授我知识的各位老师表示崇高的敬意和诚挚的谢意。 参考文献 [1] 谢希仁 计算机网络 (第五版) 北京 电子工业出版社 2008 P10-220 [2] 刘晓辉 网管从业宝典—交换机·路由器·防火墙 重庆 重庆大学出版社 2008 P77-P412 [3] 王达 网管员必读—网络组建(第2版) 北京 电子工业出版社 2007 P1-79 [4] 石硕 交换机/路由器及其配置(第二版)北京 电子工业出版社 2007 P14-159 [5] (美)Todd Lammle CCNA学习指南 北京 电子工业出版社 2008 P1-137 致 谢 作为大学学习的总结,毕业论文能够将我们在大学学到的知识得到充分的展示,为了做好这项重要的工作,指导老师和我的同学、同事都给予我很大的帮助。在整个过程中,我不但了解到自己在知识方面的不足,同时我对资料的积累、搜索的掌握等也有了近一步提高。 在写毕业论文这三个月的时间里,我更加清醒地认识到自己的不足,找到自己应该改进和完善的地方。在今后的日子里,我会努力弥补自己的不足,充分扩展自己的视野和知识层面。 在论文的撰写过程中,我得到了很多人的帮助和支持,让我的论文能够顺利地完成,在此我要衷心地感谢他们。 首先,我要感谢我的指导老师XX老师。刘老师工作繁忙,但总是不辞辛苦地指导着我。有了XX老师悉心的指导和耐心的讲解才使我的论文能够顺利完成, 而老师严谨的治学精神、认真负责的工作态度和深厚的理论水平,和蔼可亲、平易近人的态度,也给我留下了深刻的印象。 同时,我要谢谢XX大学网络学院里所有指导我的的授课老师。如果没有老师的教导,没有这年中的知识积累,我不可能完成论文的写作。而你们的教导也会影响我今后的学习、工作和生活。 还要感谢我的家人、朋友,感谢你们在生活上对我的关心和照顾,使我能够全身心地投入到学习中去。 再一次向所有帮助和关心我的人表示衷心的感谢! 本文档由香当网(https://www.xiangdang.net)用户上传

    下载文档到电脑,查找使用更方便

    文档的实际排版效果,会与网站的显示效果略有不同!!

    需要 5 香币 [ 分享文档获得香币 ]

    下载文档