第14章网络技术综合应用.ppt

《第14章网络技术综合应用.ppt》由会员分享，可在线阅读，更多相关《第14章网络技术综合应用.ppt（44页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第14章 网络技术综合应用计算机网络原理及应用14.1交换三级网n某中型企业拥有500台以上的计算机，并且有两个异地的分支机构。该企业希望建设自己的一个园区网，现已向Inter NIC提出申请并注册了一个C类网段地址200.16.2.0/24及200.17.1.1，200.17.1.2，200.17.1.3等几个公用IP。 具体建设目标如下：n（1）企业各部门信息能够及时准确地传输到集团公司决策部门和管理部门；n（2）异地分支机构能够与企业总部中心网络互连起来，以便下载、上传业务数据，以及使用电子邮件。n（3）各部门、分支机构可以相互独立，互不干扰；n（4）网管中心提供统一的外部互连接口，能够

2、保证集团公司企业内部网的信息安全。n（5）提供集团公司内部的信息服务。n（6）企业有扩展的需要，要预留接口。针对上面的建设需求，我们可分析得到以下内容： n1园区化分布n这类大中型网络通常不再是同一楼层，或者少数一两栋楼可以承载的，而是分布在一个园区中。正是因为这种分布特点，所以这种网络中，不同建筑物之间可能相距较远，而且基本上都不会在同一交换网中，而是采用多个子网的方式，子网之间通过高性能的三层交换机进行连接。可以把总体网络结构规划为核心层、分布层和接入层三层。n2高性能，全交换n为了确保上所有网络节点都能充分发挥自己的性能优势，要求各交换层有充分的可用带宽保证。在核心层、分布层通常是光纤或

3、双绞千兆位连接，对于需要高宽带的节点同样需采用GE链路聚合技术连接。一般工作站用户仍可以采用10/100Mbps连接，如需要可预留千兆位连接的桌面用户接口。n3灵活分配IP地址n该企业500台以上计算机，只有一个C类IP地址段。针对这种IP地址不足的情况，可只将注册的IP地址用于主干网、主要服务器及交换机路由器等网络设备，而其它节点使用Internet为企业专用网保留的A类地址192.168.*.*，将其分隔成不同的子网段。另外，对于规模较大的子网来说，可采用动态IP地址分配方式，以减轻管理上的压力。n4高安全性n为保障各部门间相互独立，互不干扰，可对整个网络按部门及应用需求划分VLAN；在异

4、地分支机构与企业总部中心网络互连方式上，可选择VPN技术。应用多重网络防护机制，如在内外网间设置防火墙，在路由器上设置ACL（access control list，访问控制列表）实现对流经路由器或交换机的数据包根据一定的规则进行过滤。对关键网络设备进行保护，建立完善的网络设备安全登录和管理规定。n5高性能的信息服务n基于集团公司内部的信息服务要求，可建立一服务器群，提供HTTP、FTP、电子邮件及域名查询等信息服务。服务器群直接与核心层交换机相连，以保证整个网络的访问速度。如部门内部有建立服务器的需求，则可将部门服务器放置在自己的内部子网上，仅供部门内部人员访问。n6高扩展性n这类大型网络的

5、可扩展性要求非常高，因为可能会在短时间内添加大量的节点。这种网络的扩展性可以通过如下方式保障：核心层通常采用多插槽的机箱式结构，这样可以安装许多种模块和提供更多的各种接口；在骨干层通常采用模块化结构的交换机；在分布层和接入层通常采用堆叠方式，一方面可以提高每个端口实际可用的带宽，另一方面，同样为可扩展性提供了保障。14.1.1 网络拓扑n综合以上考虑，为该企业设计网络规划图如图14-1所示。 14.1.2 IP地址分配n针对该网络IP地址不足的情况，只将注册的IP地址200.16.2.0/24用于主干网、主要服务器及交换机路由器等网络设备，而其它节点使用Internet为企业专用网保留的C类地

6、址192.168.*.*，将其分隔成不同的子网段。n针对网络现有情况，将200.16.2.0/24进行子网划分，取主机号的前三位为子网号，这样，去掉全0，全1两种情况，共可将该网段分为六个新的子网。再加上在接入层的子网，在网络内部共存在着如表14-1中所示的子网：表14-1 子网分配情况子网网络ID服务器地址网关地址客户机网段子网1192.168.1.0/24192.168.1.2192.168.1.10192.168.1.1192.168.1.11192.168.1.254子网2192.168.2.0/24192.168.2.2192.168.2.10192.168.2.1192.168.2

7、.11192.168.2.254子网3192.168.3.0/24192.168.3.2192.168.3.10192.168.3.1192.168.3.11192.168.3.254子网4192.168.4.0/24192.168.4.2192.168.4.10192.168.4.1192.168.4.11192.168.4.254子网5192.168.5.0/24192.168.5.2192.168.5.10192.168.5.1192.168.5.11192.168.5.254子网6192.168.6.0/24192.168.6.2192.168.6.10192.168.6.1192.1

8、68.6.11192.168.6.254子网7192.168.7.0/24192.168.7.2192.168.7.10192.168.7.1192.168.7.11192.168.7.254子网8192.168.8.0/24192.168.8.2192.168.810192.168.8.1192.168.8.11192.168.8.254子网9192.168.9.0/24192.168.9.2192.168.9.10192.168.9.1192.168.9.11192.168.9.254子网10200.16.2.32/27200.16.2.34200.16.2.62200.16.2.33无子

9、网11200.16.2.64/27无200.16.2.65200.16.2.69200.16.2.94子网12200.16.2.96/27无200.16.2.97200.16.2.97200.16.2.126子网13200.16.2.128/27无200.16.2.129200.16.2.129200.16.2.158子网14200.16.2.160/24无200.16.2.161200.16.2.161200.16.2.192子网15200.16.2.192/27无200.16.2.193200.16.2.193200.16.2.222各设备端口的IP地址分配情况如表14-2所示：设备名称端

10、口名称IP地址端口连接状况S1F1/0200.16.2.33/27服务器群交换机F1/1200.16.2.65/27接防火墙F1/4200.16.2.97/27S2-F1/24F1/5200.16.2.129/27S3-F1/24F1/6200.16.2.161/27S4-F1/24F1/7200.16.2.193/27S5-F1/24S2F1/0192.168.0.1/24接入层交换机F1/1192.168.1.1/24接入层交换机F1/24200.16.2.98/27S1-F1/4S3F1/0192.168.2.1/24接入层交换机F1/1192.168.3.1/24接入层交换机F1/24

11、200.16.2.130/27S1-F1/5S4F1/0192.168.4.1/24接入层交换机F1/1192.168.5.1/24接入层交换机F1/24200.16.2.162/27S1-F1/6S5F1/0192.168.6.1/24接入层交换机F1/1192.168.7.1/24接入层交换机F1/24200.16.2.194/27S1-F1/7R1F1/0200.16.2.254/27接防火墙S1/2200.17.1.1/24接外网R2F1/0192.168.8.1/24接分支机构内网S1/2200.17.1.2/24接外网R3F1/0192.168.9.1/24接分支机构内网S1/22

12、00.17.1.3/24接外网n在部门子网当中，IP地址的分配可采用静态分配，也可采用动态分配。一般来说，服务器等供别人访问的设备采用静态地址分配，而其它客户机可采用DHCP动态地址分配，以减少工作量。需要注意的是，如果采用动态分配方式，则要在该子网内配置至少一台DHCP服务器。14.1.3VLAN划分n在现今的企业网络或园区网中，对VLAN技术的应用也更加重要，通过对VLAN的划分可使管理更方便，同时也提高了网络安全性。 n在上一节中我们可以看到，在C类网中划分子网时，计算比较复杂，分配上不够直观，同时也减少了实际IP地址数。其实，我们可以用划分VLAN的方式来替代主干网上的子网划分。即将S

13、1-S5等交换机端口的子网掩码设为255.255.255.0，这样，在默认情况下，相关端口都属于200.16.2.*这一网段。我们再对这一网段进行基于端口的VLAN划分，即把S1的每一端口或部分端口划分到一个VLAN当中，以此实现隔离的目的。14. 4安全设计n为保障网络的安全，许多安全措施被提出并被应用。但对于大多数网络来说，安全防护并未成为一个完整的体系，所以，因蠕虫病毒泛滥而导致的网络缓慢，因IP地址盗用而导致的频繁掉线，因外来恶意的DoS攻击而造成的网络服务瘫痪等现象在局域网中处处可见。一个完善的网络防御体系应当包含以下防护手段：病毒防护、网络设备接入端口安全、ACL过滤机制、网络防火

14、墙、入侵检测系统以及VPN安全。在网络中因为有远程子网的互连，所以应用VPN技术是必不可少的。其它可根据实际情况设置。n要保证服务器安全，除了要安装杀毒软件，个人防火墙等安全工具之外，还可从以下方面着手：一、帐户信息加密，入侵者在很多情况下是通过信息扫描，信息截获等非法手段来获得帐户信息的，为了保证信息在链路上的安全，可采用信息加密的方法，使入侵者即使截获信息也不能识别信息，从而达到安全目的；二、限制IP访问，大多数入侵者都是外部用户，其主机的IP地址区别于内网用户，所以可通过限制IP的方法来减少资源的非法访问；三、增强操作系统的安全性，可采用UNIX、LINUX等操作系统，相对于Window

15、s服务器操作系统来讲，这些系统的漏洞少，安全性较高。14.1.5网络管理n对于一个大规模的网络来说，网络管理是必须的。在网络中，域名服务器，DHCP服务器等服务都应该建立，并能到有效管理。为了保证网络更加有效、可靠地运行，可配置一台网络管理工作站，以便更有效地对网络进行管理。网管工作站上安装Cisco Works 2000 for Windows NT/98/2000企业版网管软件 Cisco Works 2000是该公司基于Web界面的网管产品，该网管软件的主要功能如下： 提供网内Cisco交换机、路由器的自动识别和自动拓扑结构图。 提供系统级的VLAN拓扑结构图。 通过简单单击鼠标提供链路

16、信息。 VLAN的管理功能（路径、增/删/改名称、故障检查等）。 性能管理：性能监视分析、性能趋势分析、报警等。 远程网络配置功能。 网络设备管理：建立维护网络设备数据库。总结：总结：n在本案例当中，我们可以学习到多种网络技术的应用方法，如：交换网组建、IP地址分配（动态分配与静态分配）、子网划分、VLAN划分、VPN技术、网络管理等。14.2 路由三级网n某金融机构欲建设自己的网络，要求该网络覆盖省、地市及县行的所有网点，并通过网络能够实现与县级网点的业务通讯及语音电话。根据该机构的需求，我们帮其规划一个具有三级结构的路由网络。n整个网络分为省行、地市行、县级三级结构，跨行连接采用租用DDN

17、专线的方式，根据需求确定连接速率，如总部与省级网之间采用2M带宽，地市级间连接采用1M带宽，县级间采用128K带宽，并且采用VoIP技术实现县级网点与省行直接通话的功能。网络拓扑示意图所图14-2所示。图14-2 金融机构分布图n该网络做为一个跨地区的自治网络，最重要的是解决路由问题。考虑到该网络规模较大，可选用OSPF做为网络的路由选择协议，按网点所在地划分区域。假定该机构已申请到191.16.*.*的B类IP地址。下面我们就为该网络做出规划。网络的区域划分情况如图所示（说明：图中所示只是整个网络的一部分，其它部分类似）。图14-3 三级路由网规划图IP地址分配及线路连接情况列于表14-3

18、IP地址分配及线路连接情况设备名称端口名称IP地址端口连接状况R1S1/2191.16.1.1/24S1/2R2-S1/2R2S1/2191.16.1.2/24S1/2R1-S1/2S1/3191.16.2.1/24S1/3R3-S1/2-S1/4191.16.3.1/24S1/4R4-S1/2F1/0191.16.4.1/24F0/1R2-F0/1R3S1/2191.16.2.2/24S1/2R2-S1/3S1/3191.16.3.1/24S1/3R5-S1/2R4S1/2191.16.3.2/24S1/2R2-S1/4S1/3191.16.5.1/24S1/3R6-S1/2F1/0191.

19、16.6.1/24F1/0S2-F0/1R5S1/2191.16.3.2/24S1/2R3-S1/3F1/0191.16.7.1/24F1/0S3-F0/1R6S1/2191.16.5.2/24S1/2R4-S1/3F1/0191.16.8.1/24F1/0S4-F0/1S1F0/1191.16.4.2/24F0/1R2-F0/1S2F0/1191.16.6.2/24F0/1R4-F1/0S3F0/1191.16.7.2/24F0/1R5-F1/0S4F0/1191.16.8.2/24F0/1R6-F1/0Voice-portR1-voice-port号码111111Port 2/0R5-vo

20、ice-port号码222222Port 2/0总结：总结：n在本案例当中，我们可以学习到路由网络的构建方法、路由选择协议OSPF的应用方法、IP地址的分配等。14.3 无线局域网n14.3.1室内无线网络n当前无线网络在校园网的建设中得到了广泛的应用，许多学校的校园网都部分采用无线网络方式。无线网络在校园网的建设中有着许多有线网络所无法比拟的优势。首先是对于一些不方便布线的场所，采用无线方式可有效地解决布线方面的困难，如礼堂、操场和阅览室等。另一方面大大节省了网络投资成本，布线是一项复杂的工程，其成本往往占总投资的30%左右。当然这不仅是网线的成本，更重要的是人工布线成本。第三是大大方便了用

21、户位置的灵活移动。当用户位置改变时，不用重新布线。n对于多媒体教学系统，现在许多学校也采用无线方式，同样具有以上三个方面的优势。在本案例中为某一多媒体教室设计无线网络。在一个教室中通常有4060个座位，教室面积在80平方米左右。尽管在这样一个面积中，一个基于IEEE802.11b/a/g，任意一个AP都能有效覆盖，但是此种情况不适用于单AP，因为在此种应用中，无线用户相对集中，况且各用户所进行的是需要高带宽的多媒体教学、听课。针对这种应用实际情况，建议选择高速率标准，并且在一个教室中安排放置三个AP，各AP分区域覆盖，其拓扑结构如图14-4所示。图14-4 多媒体教室无线网络拓扑结构n在这样一

22、种应用方案中，发布多媒体教学内容的计算机可以在机房中，也可以在其他任何网络位置，并且以有线方式与交换机连接。交换机的端口数根据实际需要选择，但连接各AP的端口带宽最好都采用10/100Mbps以上的。在多媒体教室中，教师讲解所用的计算机也最好通过有线方式直接与有线网络交换机的高带宽端口连接，以确定连接的稳定性和高带宽。多媒体教室中的用户划分为三个区域，各用一个AP覆盖，各自与有线网络的交换机连接。在配置时要注意这三个AP的所有信道不用重叠，例如可以采用1、6、11这三个信道。如果采用双绞线连接，注意单段双绞线的最长长度要在100米以内，如果超过这个距离，则应采用多个交换机或集线器级联扩展。n因

23、为多媒体教学需要较高的带宽，并且要求稳定性较高，所以在此方案中选用802.11g+标准的无线网络方案，因为它们都可以提供108Mbps的超高连接速率。50个用户平均分为三个AP区域，则每个AP区域用户在17个左右，按总带宽108Mbps的带宽计算，平均每个用户也有6Mbps多的连接速率，即使按理论值的一半计算，也有3Mbps左右的带宽，足以满足多媒体教学使用。14.2室外无线网络n在整个企业网络的构建中，核心及汇聚层的构建是非常重要的，但是，真正实现智能化、灵活性、高带宽、可运营等特性的网络，接入层设备的功能是支持整网拥有此强大功能的必要条件。WLAN无线局域网技术随着近年来的逐步完善和发展，

24、以其灵活性和与有线以太网络的互补性，成为局域网络接入层的一种补充手段。无线局域网技术的日趋成熟可以为此提供更加高效灵活的解决方案，通过无线网络，可以在企业的任何地方方便地访问企业内网及INTERNET，可以较少的投资获得空前的应用灵活性。这样大大提高了企业办公/生产网络的灵活性，节约了开支降低了成本，进而提高了工作效率。 n大中型企事业对于无线网络访问主要关注在于网络的稳定覆盖、带宽容量的保证、安全准入的保障、与有线网络和软件系统的协调性和兼容性等问题。下面我们就为一中型企业来构建一个有线与无线的混合网络。n该企业占地面积不大，企业中共有四幢大型建筑物有连网需求，包括办公大楼，厂房一，厂房二及

25、销售中心，公司实景图如图14-5所示。办公楼中的会议室及销售中心有移动办公的需求，因布线困难原因，希望建筑物间网络为无线连接。图14-5 企业实景图n通过前面的学习，我们知道，无线接入设备大体分为两种，一种是AP接入点，主要用于室内，覆盖范围较小；另一种是无线网桥，可用于长距离信号发送与接收。如果想要在企业园区中的不同楼宇之间构建无线网络，则需要设置无线网桥。而如果要在会议室、礼堂等地点布置无线网络则用AP接入点比较合适。n我们仍按三层划分网络层次，核心层位于办公楼内，分布层由交换机与无线网桥共同构成，交换机连接楼内子网，而无线网桥成为其它三幢建筑与办公楼通信的枢纽。由于该网桥要同时接收与发送

26、多个方向的数据，因此应选用全向天线。厂房与销售中心同样建立自己的子网，同时在子网上连接无线网桥，可用定向天线。n企业会议室位于办公大楼，有无线上网的需求，且会议室面积较大，可在室内设置多个AP接入点。在会议室留出有线接口，使交换机连接到有线网络上，并将AP连接到该交换机上，并进行合理配置，使其信号覆盖整个会议室。考虑到会议室的展示台主机一般需要较高的速度需求，可直接将该主机连接到交换机上。如有视频会议的需求，则在无线网络的标准上，宜选用较高标准，如IEEE802.11g+。企业网络拓扑图如图14-6所示。总结：总结：n无线网络的构建并不复杂，主要是要在合适的场合为用户选择合适的无线接入设备，并根据用户的需要进行合理配置。