西北工业大学网络教育学院毕业论文
图2.2 网络拓扑图
2. 网络层次
整个石景山卫生局局域网可划分为以下二部分: 2.1 核心层
选用思科4507交换机作为核心交换机,使用光纤连接到汇聚层交换机,以实现核心设备的高冗余性、高可靠性及网络的高扩展性的需求。
核心层功能:核心层是网络的高速骨干必需最大现代的实现数据线性转发并具备高可靠性。
设备选择:选用思科4507交换机作为构成局域网的核心,以达到高可靠性的连接,配备11个光纤模块与接入交换机相连。
15
西北工业大学网络教育学院毕业论文 2.2 接入层
石景山卫生局新楼投入使用后,每个信息点通过相邻的接入交换机接入局域网,各楼层的接入交换机通过汇聚交换机相连形成一个统一的、便于管理的、高速的独立传输单元。
接入层功能:承载终端设备所有数据流量的转发及与中心设备的数据交互。 设备选择:接入层交换机采用思科2960设备,9台48口交换机,2台24口交换机,每台交换机配备1个光模块,通过光纤与汇聚层交换机连接。
3. 交换机的具体部署
3.1 信息点分布
序号 北办公楼 1 2 3 4 5 南办公楼 1 2 3 4 5 6 合计数据点 5F 4F 3F 2F 1F -1F 62 62 62 62 69 3 706 表2.1 信息点分布
40 40 40 40 40 3 397 1 1 1 1 1 1 11 4F 3F 2F 1F -1F 94 94 94 94 10 46 46 46 46 10 1 1 1 1 1 楼层 数据信息点 实际使用点数 光纤点 3.2 交换机部署
1) 网络机柜
在南楼、北楼每层竖井内各放置一架标准19英寸网络机柜,机柜内放置100端口配线架。
2) 接入交换机
在北楼1、2、3、4层,南楼1、2、3、4、5层竖井内网络机柜中各安装1
16
西北工业大学网络教育学院毕业论文 台48口思科2960交换机,每台交换机配备1个单模光模块与核心交换机连接,满足每层信息点数量的需求。
在南、北楼地下一层竖井内网络机柜中各安装1台24口思科2960交换机,每台交换机配备1个单模光模块与核心交换机连接,满足每层信息点数量的需求。
3) 核心交换机
在网络机房(位于南楼2层)安装思科4507设备作为核心交换机,选择单模光口,分别与大楼竖井内的二层交换机连接,同时为网络中心的服务器提供接入。
4. 局域网中其他设备及软件
其他网络设备包括路由器、防火墙、服务器及相关软件等,均放置在南楼2层网络机房内 4.1 路由器
路由器采用思科2821设备最为局域网的出口,支持静态路由、RIP、OSPF等路由协议,支持多条拨号访问、多种接入方式。配置4各快速以太网接口,与Internet及石景山政务网连接。 4.2 防火墙
采用ASA5520设备作为网络防火墙,配置100M防火墙,吞吐量不低于100Mbps,具备NAS、VPN(吞吐量不低于40Mbps),图形化配置方式,有日志管理功能。 4.3 服务器
共设置7台服务器满足石景山局域网内各种业务系统的支撑,分别为DHCP/FTP服务器、WWW/DNS服务器、OA服务器、电子邮件服务器、网络管理服务器、会议录播服务器、防病毒服务器。服务器采用惠普ML150设备。 4.4 软件
每台服务器上均安装相应的功能软件,操作系统统一采用windows server 2003,杀毒软件采用与石景山政务网统一的KILL系统。
17
西北工业大学网络教育学院毕业论文 5. VLAN划分
在网络内进行VLAN划分的目的主要是为了抑制广播风暴,提高网络运行效率,同时还可以根据需求对不同的类型的用户进行隔离,配合相应的地址分配策略,提高网络安全性。为进一步加强网络的安全性和可管理性,需要指定严格的整体网络VLAN划分方案,使网络具有管理、身份认证、控制网络流量、IP地址绑定等功能。
5.1 VLAN划分的四种策略
1) 基于端口的VLAN划分
基于端口的VLAN划分是最简单、最有效的VLAN划分方法。该方法只需要网络管理员针对网络设备的交换端口进行重新分配租户在不同的逻辑网段中即可。
2) 基于MAC地址的VLAN
基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN组合。适用于较小的网络规模。
3) 基于路由的VLAN划分
路由协议工作在七层协议的第三层-网络层,即基于IP和IPX协议的转发。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
4) 基于策略的VLAN划分
基于策略的VLAN划分是一种比较有效直接的方式。这主要取决于在VLAN划分中所采用的策略。 5.2 石景山卫生局VLAN划分
1) 公共区域,例如图书馆、会客室、教室、会议室、多功能厅等,根据端口进行VLAN划分;
2) 办公区域根据不同的部门划入为不同的VLAN;
3) 为敏感部门和个人,如财务部、酒店管理人员等划分独立VLAN; 4) 核心机房中的服务器等设备根据各自的MAC地址划分VLAN。
6. IP地址规划
18
西北工业大学网络教育学院毕业论文 石景山卫生局的IP地址分配建议采用动态地址分配(DHCP)方式和静态IP地址分配结合的方式,公共区域部分的网络建议采用DHCP方式,做到即插即用。汇聚交换机起三层功能,可以根据VLAN不同的IP 地址池,这样每个VLAN对应一个IP地址段,不同VLAN的用户IP地址不在同一个子网;也可以多个VLAN共用一个IP地址池。
办公区域网络建议采用静态IP地址方式,这种方式便于管理和维护。每个员工分配固定的IP地址和账号/密码,对于固定位置的用户,还可以采用IP地址/MAC地址和交换机端口绑定的方式,提高安全性。
办公区域和公共区域采用不同的IP地址段,以便在三层交换机上实现基于IP地址的访问控制,实现不同区域的隔离。
7. 设备选型
7.1 核心交换机
思科4500系列交换机将无阻塞第二到第四层交换与最优控制相集成,有助于部署关键业务应用的大型企业、中小型企业和城域以太网客户提供业务永久性。思科4500系列交换机提供多种智能服务,其中包括先进的服务质量(QOS)、可预测性能、告警安全性和全面的管理。它提供带集成永久性的出色控制,将永续性集成到硬件和软件中,缩短了网络停用时间,有助于确保员工的效率。它的模块化架构、介质
灵活性和可扩展性减少了重复运营开支。 图2.3 思科4507
1) 思科4507设备的优势
性能:提供了带宽可随端口的添加二扩展的高级交换解决方案,提供线速第二到第三层10/100/1000M位交换。第二层交换可扩展到136Gbps、102mpps,第三到第四层交换也可扩展到136Gbps、102mpps。
端口密度:可达到一个机箱中384个以太网端口,支持10/100/1000自动检测,自动协商千兆以太网连接,可选万兆以太网上行链路接口。
高级安全性:支持802.1x、访问控制列表(ACL)、SSH协议、动态ARP检测(DAI)、源IP防护和VLAN等安全特性。
功能透明的线卡:只需要添加一个新的交换管理引擎即可轻松地将所有系统端口升级到更高层的交换功能,而无需更换现有线卡和布线。
到桌面的千兆连接:采用自动检测技术的10/100/1000BASE-T三速线卡和端
19