《計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用(第二版)》第14章__網(wǎng)絡(luò)技術(shù)綜合應(yīng)用.ppt

1、第14章 網(wǎng)絡(luò)技術(shù)綜合應(yīng)用,計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用（第2版）,14.1交換三級網(wǎng),某中型企業(yè)擁有500臺以上的計算機，并且有兩個異地的分支機構(gòu)。該企業(yè)希望建設(shè)自己的一個園區(qū)網(wǎng)，現(xiàn)已向Inter NIC提出申請并注冊了一個C類網(wǎng)段地址/24及，，等幾個公用IP。,具體建設(shè)目標(biāo)如下：,（1）企業(yè)各部門信息能夠及時準(zhǔn)確地傳輸?shù)郊瘓F公司決策部門和管理部門； （2）異地分支機構(gòu)能夠與企業(yè)總部中心網(wǎng)絡(luò)互連起來，以便下載、上傳業(yè)務(wù)數(shù)據(jù)，以及使用電子郵件。 （3）各部門、分支機構(gòu)可以相互獨立，互不干擾； （4）網(wǎng)管中心提供統(tǒng)一的外部

2、互連接口，能夠保證集團公司企業(yè)內(nèi)部網(wǎng)的信息安全。 （5）提供集團公司內(nèi)部的信息服務(wù)。 （6）企業(yè)有擴展的需要，要預(yù)留接口。,針對上面的建設(shè)需求，我們可分析得到以下內(nèi)容：,1園區(qū)化分布 這類大中型網(wǎng)絡(luò)通常不再是同一樓層，或者少數(shù)一兩棟樓可以承載的，而是分布在一個園區(qū)中。正是因為這種分布特點，所以這種網(wǎng)絡(luò)中，不同建筑物之間可能相距較遠(yuǎn)，而且基本上都不會在同一交換網(wǎng)中，而是采用多個子網(wǎng)的方式，子網(wǎng)之間通過高性能的三層交換機進(jìn)行連接。可以把總體網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃為核心層、分布層和接入層三層。,2高性能，全交換 為了確保上所有網(wǎng)絡(luò)節(jié)點都能充分發(fā)揮自己的性能優(yōu)勢，要求各交換層有充分的可用帶寬保證。在核心層、分布

3、層通常是光纖或雙絞千兆位連接，對于需要高寬帶的節(jié)點同樣需采用GE鏈路聚合技術(shù)連接。一般工作站用戶仍可以采用10/100Mbps連接，如需要可預(yù)留千兆位連接的桌面用戶接口。,3靈活分配IP地址 該企業(yè)500臺以上計算機，只有一個C類IP地址段。針對這種IP地址不足的情況，可只將注冊的IP地址用于主干網(wǎng)、主要服務(wù)器及交換機路由器等網(wǎng)絡(luò)設(shè)備，而其它節(jié)點使用Internet為企業(yè)專用網(wǎng)保留的A類地址192.168.*.*，將其分隔成不同的子網(wǎng)段。另外，對于規(guī)模較大的子網(wǎng)來說，可采用動態(tài)IP地址分配方式，以減輕管理上的壓力。,4高安全性 為保障各部門間相互獨立，互不干擾，可對整個網(wǎng)絡(luò)按部門及應(yīng)用需求劃分

4、VLAN；在異地分支機構(gòu)與企業(yè)總部中心網(wǎng)絡(luò)互連方式上，可選擇VPN技術(shù)。應(yīng)用多重網(wǎng)絡(luò)防護(hù)機制，如在內(nèi)外網(wǎng)間設(shè)置防火墻，在路由器上設(shè)置ACL（access control list，訪問控制列表）實現(xiàn)對流經(jīng)路由器或交換機的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行過濾。對關(guān)鍵網(wǎng)絡(luò)設(shè)備進(jìn)行保護(hù)，建立完善的網(wǎng)絡(luò)設(shè)備安全登錄和管理規(guī)定。,5高性能的信息服務(wù) 基于集團公司內(nèi)部的信息服務(wù)要求，可建立一服務(wù)器群，提供HTTP、FTP、電子郵件及域名查詢等信息服務(wù)。服務(wù)器群直接與核心層交換機相連，以保證整個網(wǎng)絡(luò)的訪問速度。如部門內(nèi)部有建立服務(wù)器的需求，則可將部門服務(wù)器放置在自己的內(nèi)部子網(wǎng)上，僅供部門內(nèi)部人員訪問。,6高擴展性

5、這類大型網(wǎng)絡(luò)的可擴展性要求非常高，因為可能會在短時間內(nèi)添加大量的節(jié)點。這種網(wǎng)絡(luò)的擴展性可以通過如下方式保障：核心層通常采用多插槽的機箱式結(jié)構(gòu)，這樣可以安裝許多種模塊和提供更多的各種接口；在骨干層通常采用模塊化結(jié)構(gòu)的交換機；在分布層和接入層通常采用堆疊方式，一方面可以提高每個端口實際可用的帶寬，另一方面，同樣為可擴展性提供了保障。,14.1.1 網(wǎng)絡(luò)拓?fù)?綜合以上考慮，為該企業(yè)設(shè)計網(wǎng)絡(luò)規(guī)劃圖如圖14-1所示。,14.1.2 IP地址分配,針對該網(wǎng)絡(luò)IP地址不足的情況，只將注冊的IP地址/24用于主干網(wǎng)、主要服務(wù)器及交換機路由器等網(wǎng)絡(luò)設(shè)備，而其它節(jié)點使用Internet為企業(yè)專

6、用網(wǎng)保留的C類地址192.168.*.*，將其分隔成不同的子網(wǎng)段。 針對網(wǎng)絡(luò)現(xiàn)有情況，將/24進(jìn)行子網(wǎng)劃分，取主機號的前三位為子網(wǎng)號，這樣，去掉全0，全1兩種情況，共可將該網(wǎng)段分為六個新的子網(wǎng)。再加上在接入層的子網(wǎng)，在網(wǎng)絡(luò)內(nèi)部共存在著如表14-1中所示的子網(wǎng)：,表14-1 子網(wǎng)分配情況,各設(shè)備端口的IP地址分配情況如表14-2所示：,在部門子網(wǎng)當(dāng)中，IP地址的分配可采用靜態(tài)分配，也可采用動態(tài)分配。一般來說，服務(wù)器等供別人訪問的設(shè)備采用靜態(tài)地址分配，而其它客戶機可采用DHCP動態(tài)地址分配，以減少工作量。需要注意的是，如果采用動態(tài)分配方式，則要在該子網(wǎng)內(nèi)配置至少一臺DHCP服務(wù)

7、器。,14.1.3VLAN劃分,在現(xiàn)今的企業(yè)網(wǎng)絡(luò)或園區(qū)網(wǎng)中，對VLAN技術(shù)的應(yīng)用也更加重要，通過對VLAN的劃分可使管理更方便，同時也提高了網(wǎng)絡(luò)安全性。 在上一節(jié)中我們可以看到，在C類網(wǎng)中劃分子網(wǎng)時，計算比較復(fù)雜，分配上不夠直觀，同時也減少了實際IP地址數(shù)。其實，我們可以用劃分VLAN的方式來替代主干網(wǎng)上的子網(wǎng)劃分。即將S1-S5等交換機端口的子網(wǎng)掩碼設(shè)為，這樣，在默認(rèn)情況下，相關(guān)端口都屬于200.16.2.*這一網(wǎng)段。我們再對這一網(wǎng)段進(jìn)行基于端口的VLAN劃分，即把S1的每一端口或部分端口劃分到一個VLAN當(dāng)中，以此實現(xiàn)隔離的目的。,14. 4安全設(shè)計,為保障網(wǎng)絡(luò)的

8、安全，許多安全措施被提出并被應(yīng)用。但對于大多數(shù)網(wǎng)絡(luò)來說，安全防護(hù)并未成為一個完整的體系，所以，因蠕蟲病毒泛濫而導(dǎo)致的網(wǎng)絡(luò)緩慢，因IP地址盜用而導(dǎo)致的頻繁掉線，因外來惡意的DoS攻擊而造成的網(wǎng)絡(luò)服務(wù)癱瘓等現(xiàn)象在局域網(wǎng)中處處可見。一個完善的網(wǎng)絡(luò)防御體系應(yīng)當(dāng)包含以下防護(hù)手段：病毒防護(hù)、網(wǎng)絡(luò)設(shè)備接入端口安全、ACL過濾機制、網(wǎng)絡(luò)防火墻、入侵檢測系統(tǒng)以及VPN安全。在網(wǎng)絡(luò)中因為有遠(yuǎn)程子網(wǎng)的互連，所以應(yīng)用VPN技術(shù)是必不可少的。其它可根據(jù)實際情況設(shè)置。,要保證服務(wù)器安全，除了要安裝殺毒軟件，個人防火墻等安全工具之外，還可從以下方面著手：一、帳戶信息加密，入侵者在很多情況下是通過信息掃描，信息截獲等非法手段

9、來獲得帳戶信息的，為了保證信息在鏈路上的安全，可采用信息加密的方法，使入侵者即使截獲信息也不能識別信息，從而達(dá)到安全目的；二、限制IP訪問，大多數(shù)入侵者都是外部用戶，其主機的IP地址區(qū)別于內(nèi)網(wǎng)用戶，所以可通過限制IP的方法來減少資源的非法訪問；三、增強操作系統(tǒng)的安全性，可采用UNIX、LINUX等操作系統(tǒng)，相對于Windows服務(wù)器操作系統(tǒng)來講，這些系統(tǒng)的漏洞少，安全性較高。,14.1.5網(wǎng)絡(luò)管理,對于一個大規(guī)模的網(wǎng)絡(luò)來說，網(wǎng)絡(luò)管理是必須的。在網(wǎng)絡(luò)中，域名服務(wù)器，DHCP服務(wù)器等服務(wù)都應(yīng)該建立，并能到有效管理。為了保證網(wǎng)絡(luò)更加有效、可靠地運行，可配置一臺網(wǎng)絡(luò)管理工作站，以便更有效地對網(wǎng)絡(luò)進(jìn)行管

10、理。網(wǎng)管工作站上安裝Cisco Works 2000 for Windows NT/98/2000企業(yè)版網(wǎng)管軟件,Cisco Works 2000是該公司基于Web界面的網(wǎng)管產(chǎn)品，該網(wǎng)管軟件的主要功能如下：, 提供網(wǎng)內(nèi)Cisco交換機、路由器的自動識別和自動拓?fù)浣Y(jié)構(gòu)圖。 提供系統(tǒng)級的VLAN拓?fù)浣Y(jié)構(gòu)圖。 通過簡單單擊鼠標(biāo)提供鏈路信息。 VLAN的管理功能（路徑、增/刪/改名稱、故障檢查等）。 性能管理：性能監(jiān)視分析、性能趨勢分析、報警等。 遠(yuǎn)程網(wǎng)絡(luò)配置功能。 網(wǎng)絡(luò)設(shè)備管理：建立維護(hù)網(wǎng)絡(luò)設(shè)備數(shù)據(jù)庫。,總結(jié)：,在本案例當(dāng)中，我們可以學(xué)習(xí)到多種網(wǎng)絡(luò)技術(shù)的應(yīng)用方法，如：交換網(wǎng)組建、IP地址分配（動態(tài)分

11、配與靜態(tài)分配）、子網(wǎng)劃分、VLAN劃分、VPN技術(shù)、網(wǎng)絡(luò)管理等。,14.2 路由三級網(wǎng),某金融機構(gòu)欲建設(shè)自己的網(wǎng)絡(luò)，要求該網(wǎng)絡(luò)覆蓋省、地市及縣行的所有網(wǎng)點，并通過網(wǎng)絡(luò)能夠?qū)崿F(xiàn)與縣級網(wǎng)點的業(yè)務(wù)通訊及語音電話。根據(jù)該機構(gòu)的需求，我們幫其規(guī)劃一個具有三級結(jié)構(gòu)的路由網(wǎng)絡(luò)。,整個網(wǎng)絡(luò)分為省行、地市行、縣級三級結(jié)構(gòu)，跨行連接采用租用DDN專線的方式，根據(jù)需求確定連接速率，如總部與省級網(wǎng)之間采用2M帶寬，地市級間連接采用1M帶寬，縣級間采用128K帶寬，并且采用VoIP技術(shù)實現(xiàn)縣級網(wǎng)點與省行直接通話的功能。網(wǎng)絡(luò)拓?fù)涫疽鈭D所圖14-2所示。,圖14-2 金融機構(gòu)分布圖,該網(wǎng)絡(luò)做為一個跨地區(qū)的自治網(wǎng)絡(luò)，最重要的

12、是解決路由問題?？紤]到該網(wǎng)絡(luò)規(guī)模較大，可選用OSPF做為網(wǎng)絡(luò)的路由選擇協(xié)議，按網(wǎng)點所在地劃分區(qū)域。假定該機構(gòu)已申請到191.16.*.*的B類IP地址。下面我們就為該網(wǎng)絡(luò)做出規(guī)劃。網(wǎng)絡(luò)的區(qū)域劃分情況如圖所示（說明：圖中所示只是整個網(wǎng)絡(luò)的一部分，其它部分類似）。,圖14-3 三級路由網(wǎng)規(guī)劃圖,IP地址分配及線路連接情況列于表14-3 IP地址分配及線路連接情況,總結(jié)：,在本案例當(dāng)中，我們可以學(xué)習(xí)到路由網(wǎng)絡(luò)的構(gòu)建方法、路由選擇協(xié)議OSPF的應(yīng)用方法、IP地址的分配等。,14.3 無線局域網(wǎng),14.3.1室內(nèi)無線網(wǎng)絡(luò) 當(dāng)前無線網(wǎng)絡(luò)在校園網(wǎng)的建設(shè)中得到了廣泛的應(yīng)用，許多學(xué)校的校園網(wǎng)都部分采用無線網(wǎng)絡(luò)方

13、式。無線網(wǎng)絡(luò)在校園網(wǎng)的建設(shè)中有著許多有線網(wǎng)絡(luò)所無法比擬的優(yōu)勢。首先是對于一些不方便布線的場所，采用無線方式可有效地解決布線方面的困難，如禮堂、操場和閱覽室等。另一方面大大節(jié)省了網(wǎng)絡(luò)投資成本，布線是一項復(fù)雜的工程，其成本往往占總投資的30%左右。當(dāng)然這不僅是網(wǎng)線的成本，更重要的是人工布線成本。第三是大大方便了用戶位置的靈活移動。當(dāng)用戶位置改變時，不用重新布線。,對于多媒體教學(xué)系統(tǒng)，現(xiàn)在許多學(xué)校也采用無線方式，同樣具有以上三個方面的優(yōu)勢。在本案例中為某一多媒體教室設(shè)計無線網(wǎng)絡(luò)。在一個教室中通常有4060個座位，教室面積在80平方米左右。盡管在這樣一個面積中，一個基于IEEE802.11b/a/g，

14、任意一個AP都能有效覆蓋，但是此種情況不適用于單AP，因為在此種應(yīng)用中，無線用戶相對集中，況且各用戶所進(jìn)行的是需要高帶寬的多媒體教學(xué)、聽課。針對這種應(yīng)用實際情況，建議選擇高速率標(biāo)準(zhǔn)，并且在一個教室中安排放置三個AP，各AP分區(qū)域覆蓋，其拓?fù)浣Y(jié)構(gòu)如圖14-4所示。,圖14-4 多媒體教室無線網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),在這樣一種應(yīng)用方案中，發(fā)布多媒體教學(xué)內(nèi)容的計算機可以在機房中，也可以在其他任何網(wǎng)絡(luò)位置，并且以有線方式與交換機連接。交換機的端口數(shù)根據(jù)實際需要選擇，但連接各AP的端口帶寬最好都采用10/100Mbps以上的。在多媒體教室中，教師講解所用的計算機也最好通過有線方式直接與有線網(wǎng)絡(luò)交換機的高帶寬端口連

15、接，以確定連接的穩(wěn)定性和高帶寬。多媒體教室中的用戶劃分為三個區(qū)域，各用一個AP覆蓋，各自與有線網(wǎng)絡(luò)的交換機連接。在配置時要注意這三個AP的所有信道不用重疊，例如可以采用1、6、11這三個信道。如果采用雙絞線連接，注意單段雙絞線的最長長度要在100米以內(nèi)，如果超過這個距離，則應(yīng)采用多個交換機或集線器級聯(lián)擴展。,因為多媒體教學(xué)需要較高的帶寬，并且要求穩(wěn)定性較高，所以在此方案中選用802.11g+標(biāo)準(zhǔn)的無線網(wǎng)絡(luò)方案，因為它們都可以提供108Mbps的超高連接速率。50個用戶平均分為三個AP區(qū)域，則每個AP區(qū)域用戶在17個左右，按總帶寬108Mbps的帶寬計算，平均每個用戶也有6Mbps多的連接速率，

16、即使按理論值的一半計算，也有3Mbps左右的帶寬，足以滿足多媒體教學(xué)使用。,14.2室外無線網(wǎng)絡(luò),在整個企業(yè)網(wǎng)絡(luò)的構(gòu)建中，核心及匯聚層的構(gòu)建是非常重要的，但是，真正實現(xiàn)智能化、靈活性、高帶寬、可運營等特性的網(wǎng)絡(luò)，接入層設(shè)備的功能是支持整網(wǎng)擁有此強大功能的必要條件。WLAN無線局域網(wǎng)技術(shù)隨著近年來的逐步完善和發(fā)展，以其靈活性和與有線以太網(wǎng)絡(luò)的互補性，成為局域網(wǎng)絡(luò)接入層的一種補充手段。無線局域網(wǎng)技術(shù)的日趨成熟可以為此提供更加高效靈活的解決方案，通過無線網(wǎng)絡(luò)，可以在企業(yè)的任何地方方便地訪問企業(yè)內(nèi)網(wǎng)及INTERNET，可以較少的投資獲得空前的應(yīng)用靈活性。這樣大大提高了企業(yè)辦公/生產(chǎn)網(wǎng)絡(luò)的靈活性，節(jié)約了

17、開支降低了成本，進(jìn)而提高了工作效率。,大中型企事業(yè)對于無線網(wǎng)絡(luò)訪問主要關(guān)注在于網(wǎng)絡(luò)的穩(wěn)定覆蓋、帶寬容量的保證、安全準(zhǔn)入的保障、與有線網(wǎng)絡(luò)和軟件系統(tǒng)的協(xié)調(diào)性和兼容性等問題。下面我們就為一中型企業(yè)來構(gòu)建一個有線與無線的混合網(wǎng)絡(luò)。,該企業(yè)占地面積不大，企業(yè)中共有四幢大型建筑物有連網(wǎng)需求，包括辦公大樓，廠房一，廠房二及銷售中心，公司實景圖如圖14-5所示。辦公樓中的會議室及銷售中心有移動辦公的需求，因布線困難原因，希望建筑物間網(wǎng)絡(luò)為無線連接。,圖14-5 企業(yè)實景圖,通過前面的學(xué)習(xí)，我們知道，無線接入設(shè)備大體分為兩種，一種是AP接入點，主要用于室內(nèi)，覆蓋范圍較小；另一種是無線網(wǎng)橋，可用于長距離信號發(fā)送與接收。如果想要在企業(yè)園區(qū)中的不同樓宇之間構(gòu)建無線網(wǎng)絡(luò)，則需要設(shè)置無線網(wǎng)橋。而如果要在會議室、禮堂等地點布置無線網(wǎng)絡(luò)則用AP接入點比較合適。,我們?nèi)园慈龑觿澐志W(wǎng)絡(luò)層次，核心層位于辦公樓內(nèi)，分布層由交換機與無線網(wǎng)橋共同構(gòu)成，交換機連接樓內(nèi)子網(wǎng)，而無線網(wǎng)橋成為其它三幢建筑與辦公樓通信的樞紐。由于該網(wǎng)橋要同時接收與發(fā)送多個方向的數(shù)據(jù)，因此應(yīng)選用全向天線。廠房與銷售中心同樣建立自己的子網(wǎng)，同