《办公局域网的组建与优化(共6页).doc》由会员分享,可在线阅读,更多相关《办公局域网的组建与优化(共6页).doc(6页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、精选优质文档-倾情为你奉上办公局域网的组建与优化作者:芦江涛来源:数字技术与应用2010年第10期摘 要:本文结合某公司办公局域网的建设,对小型局域网的设计做一说明,并对网络进一步优化,针对网络流量监测、出口的策略路由、病毒防治提出了解决方案。关键字:办公局域网MRTG策略路由NAT ACL中图分类号:TP393.1 文献标识码:A 文章编号:1007-9416(2010)10-0060-02虽然目前办公局域网的使用技术已非常成熟,但局域网建成后的维护管理往往成为管理员棘手的问题。现结合某公司办公局域网的建设情况,重点论述小型局域网的设计和优化。1 网络设计方案网络设计必须遵循高可靠性、经济性
2、、流量合理分布、传输时延最小和便于管理等原则,选择先进、可靠、符合未来技术发展趋势的组网技术。新购置设备的选型要具有开放性、符合国际标准,兼顾先进性和成熟性,并与已有设备兼容,具有良好的可管理性。网络应具有高可靠性,包括设备可靠性、链路可靠性、路由冗余等。该公司办公楼共三层,每层10个房间。个别房间有多台PC机,共30个节点。在充分了解用户需求的基础上,做出该公司局域网的建设方案。网络拓扑如图1:2 网络设备的选型(1)核心网络交换机采用华为NE05路由器和S3526三层交换机,接入网络交换机采用了采用了Quidway S3050和S2016交换机作为接入设备,S3050提供48口10/100
3、M以太网接入。此几款设备具备很强的网络适应能力,能够通过802.1x技术有效得防止IP/MAC地址的盗用,可以对带宽实行精细的管理,有效抑制广播风暴,提供L2-L7的流分类功能和丰富的QoS策略。(2)办公网服务器的选择根据经济、够用的原则,选择戴尔PowerEdge 2800塔式服务器,采用Intel Xeon,2.8G处理器,73G1万转硬盘,1G ECC DDR2内存,保证了办公服务系统的良好运行。3 网络设计说明(1)IP地址的分配:办公网PC采用固定分配IP地址,IP地址使用私网地址,地址段为172.16.1.3127 ,掩码为255.255.255.128,网关地址为172.16.
4、1.1。办公网服务器分配固定的公网IP地址,S3050的网管地址为172.16.1.2。(2)在NE05上启用NAT功能,通过NAT对私网地址段172.16.1.0/25网段进行地址转换后访问互联网。(3)在办公网交换机S3050上根据端口划分VLAN,将相同部门的端口设为同一个VLAN,利用VLAN的划分实现了不同部门之间PC的隔离,并减小了广播域。(4)网络特点:简单的网络结构,高密度的接入端口简化了网络结构,减少了网络数据传输的时延,简化了路由交换模型,是一个小型高效的办公网。冗余的链路设计:简单的网络并不意味着不安全的网络。在出口路由器设两个网络出口,不仅提高了网络的可靠性,即使出现问
5、题,依然可以保证损失被控制在最小范围。高性能的网络设备:无论是核心,汇聚还是接入都从转发性能,业务提供能力方面进行了充分认证和考虑,使整网保持一致的服务质量,构成端到端安全的办公网。4 网络优化至此,该办公网网已初步形成,为了使网络更加完善、稳定,对该局域网做如下优化:4.1 使用MRTG软件对网络流量进行监测在一个网络中,作为网络工程师或者网络管理员,需要随时了解网络的各种状态,以判断网络是否处于健康状态或者随时了解网络的流量、每个交换机端口的流量。通过流量监测一旦发现某端口流量不正常时(通常为该端口相连的PC机中病毒),可以及时发现并进一步采取措施,流量监测记录的数据还可以供年度报告时向上
6、级领导提供详实的数据及图形报告,作为网络扩容的或调整的参考依据。Mrtg(Multi Router Traffic Grapher,MRTG)是一个监控网络链路流量负载的工具软件,它通过snmp协议从设备得到设备的流量信息,并将流量负载以包含PNG格式的图形的HTML文档方式显示给用户,以非常直观的形式显示流量负载。MRTG具有以下特色:可移植性、源码开放、高可移植性的SNMP支持、支持SNMPv2c、常量大小的日志文件、可定制性生成的web页面等MRTG通常安装在Linux系统下,也可安装在 Windows系统下。Linux因为支持多任务并行,因而执行MRTG软件效率较高,对网管机的硬件要求
7、较低。在Windows系统下,如果管理的设备较多,对网管机的硬件要求较高(CPU及内存)。在本次应用中,考虑到维护人员对Windows系统较为熟悉,管理的设备也较少,采用在Windows2000 Server系统下运行MRTG软件,监测办公楼中心交换机S3050的端口流量。因为监测设备少,可以将MRTG安装在办公网服务器上。网络流量的监控需要涉及到SNMP、PERL、MRTG和一点网页的相关知识。具体安装配置可参考MRTG的说明文档。MRTG正常运行后,会提供每5分钟流量图,每日流量图,每周流量图,每月流量图,每年流量图。4.2 网络出口的路由选择优化网络出口有两个通道,一条是铁通通道,另一条
8、是网通通道,两个通道各有优势,利用网通通道访问网通的网内资源较快,但访问电信网内资源较慢,铁通通道访问铁通网内资源较快,而且访问电信网内资源要比网通通道快。结合两条通道的优势,对网络出口的数据包根据不同的目的地址,通过对目的地址的策略路由,使数据包走不同的通道。需要用到策略路由及NAT技术,下面分别介绍。(1)NAT技术最早出现的NAT(Network Address Translation,网络地址翻译)技术,是用来解决互联网IP地址耗尽问题的,随着网络技术的发展,安全需求的提升,NAT逐渐演变为隔离内外网络、保障网络安全的基本手段。 NAT可以将局域网中的内部地址节点翻译成合法的IP地址在
9、Internet上使用(即把IP包内的地址域用合法的IP地址来替换),或者把一个IP地址转换成某个局域网节点的地址,从而可以帮助网络超越地址的限制。在本次应用中,在NE05上启用NAT功能,使用动态翻译,多对多的地址解析,内网地址(私有IP)为172.16.1.0/25网段。外网地址(公网IP)为61.233.*.1-61.233.*.30。数据配置如下:/*建立一公网地址池:nat pool ttpool 61.233.*.1 61.233.*.30/*建立访问列表,允许指定的私网地址:access-list 1 permit 172.16.1.0 0.0.0.127access-list
10、1 deny any/*在网络出口处启用NAT:interface Pos2/0/0nat inside list 1 pool ttpool(2)策略路由的配置。策略路由是指在决定一个IP包的下一跳转发地址时,不是简单的根据目的或源IP地址来决定,而是综合考虑多种因素决定。可以根据TOS字段、源和目的端口号(高层应用协议)来为数据包选择路径。策略路由可以在一定程度上实现流量工程,使不同服务质量的流或者不同性质的数据走不同的路径。在本应用中NE05有两个出口,铁通出口和网通出口,利用的NE05的策略路由功能,做基于目的地址的策略路由,使访问不同的网站走不同的出口。NE05的数据配置如下:/*做
11、访问列表,指定网通IP地址(地址未列全,仅做示例)access-list 101 permit ip any 218.0.0.0 0.31.255.255access-list 101 permit ip any 210.75.32.0 0.0.31.255./*做策略路由映射,下一条为网通出口route-map to-wangtong permit 10match ip address 101set ip next-hop 218.28.*.2/*在NE05与S3526的互联接口上,应用策略路由Inter e3/2/0ip policy route-map to-wangtong/*缺省路由
12、为铁通通道,下一条为铁通出口Ip router 0.0.0.0 0.0.0.0 61.233.*.2184.3 网络中病毒的控制病毒的危害,小到个人,大到全世界,凡是在使用电脑的人无一不在受其困扰。近几年蠕虫病毒的危害愈演愈烈,各种蠕虫病毒使使用互联网的用户深受其害。可以看到,随着计算机和因特网的日益普及,计算机病毒导致系统崩溃,重要数据遭到破坏和丢失,造成社会财富的巨大浪费,甚至会造成全人类的灾难。本次网络方案中对于病毒的防治从三方面入,一个从网络侧,主要防治网络病毒的扩散,另一个在用户终端,在用户终端安装高效率的防毒软件,一旦感染病毒能及时发现并解毒。第三是指导用户使用好终端,养成良好的习
13、惯。下面分面说明:(1)、防止病毒在网络中的扩散。在网络设备中(NE05,S3526)增加访问控制列表ACL,限制蠕虫病毒传播时所利用的端口号,从而限制蠕虫病毒的扩散,也防止了上行通道被病毒包堵塞的可能。常见病毒利用端口的如表1:(2)在用户终端安装杀毒软件。市面上有很多防病毒软件,其中诺顿防病毒企业版客户端,提供了强大的病毒防御功能,还能自动修复多种感染,构成了一个易用并可靠的系统安全屏障。(3)指导用户养成良好的使用终端的习惯。给系统打上最新的系统补丁,并下载安装最新的系统补丁。不要轻易打开来历不明的电子邮件、QQ中传递的文件、链接等。浏览网页时提示安装的控件、插件等要小心使用,确认需要时再安装。防病毒软件要及时升级病毒库。5 结语技术在飞快的进步,在这个信息化水平已成为衡量一个国家和地区综合实力重要标志的新经济时代,越来越多的社会机构内部复杂而庞大信息系统的整合,ERP和CRM的运转,语音、视频等新应用需求的提出,大大增加了网络承载业务的复杂性,为保证各业务的可靠稳定,就更需要结合实际情况对网络做全面的规划、设计及优化。参考文献1 李学军,等.宽带IP城域网的优化策略与实践.人民邮电出版社.2 刘晓辉,等.局域网组网技术大全.人民邮电出版社.3 华为公司 Quidway NE05/NE16l路由器操作手册.专心-专注-专业
限制150内