第十八讲 网络技术综合应用.

Presentation on theme: "第十八讲 网络技术综合应用."— Presentation transcript:

1 第十八讲 网络技术综合应用

2 本讲主要内容 网络案例设计与分析 交换三级网 路由三级网 无线局域网 室内无线网络 室外无线网络

3 14.1交换三级网 某中型企业拥有500台以上的计算机，并且有两个异地的分支机构。该企业希望建设自己的一个园区网，现已向Inter NIC提出申请并注册了一个C类网段地址 /24及 ， ， 等几个公用IP。

4 具体建设目标如下： 企业各部门信息能够及时准确地传输到集团公司决策部门和管理部门；
异地分支机构能够与企业总部中心网络互连起来，以便下载、上传业务数据，以及使用电子邮件。 各部门、分支机构可以相互独立，互不干扰； 网管中心提供统一的外部互连接口，能够保证集团公司企业内部网的信息安全。 提供集团公司内部的信息服务。 企业有扩展的需要，要预留接口。

5 针对上面的建设需求，我们可分析得到以下内容：
1．园区化分布 这类大中型网络通常不再是同一楼层，或者少数一两栋楼可以承载的，而是分布在一个园区中。正是因为这种分布特点，所以这种网络中，不同建筑物之间可能相距较远，而且基本上都不会在同一交换网中，而是采用多个子网的方式，子网之间通过高性能的三层交换机进行连接。可以把总体网络结构规划为核心层、分布层和接入层三层。

6 2．高性能，全交换 为了确保上所有网络节点都能充分发挥自己的性能优势，要求各交换层有充分的可用带宽保证。在核心层、分布层通常是光纤或双绞千兆位连接，对于需要高宽带的节点同样需采用GE链路聚合技术连接。一般工作站用户仍可以采用10/100Mbps连接，如需要可预留千兆位连接的桌面用户接口。

7 3．灵活分配IP地址 该企业500台以上计算机，只有一个C类IP地址段。针对这种IP地址不足的情况，可只将注册的IP地址用于主干网、主要服务器及交换机路由器等网络设备，而其它节点使用Internet为企业专用网保留的A类地址 *.*，将其分隔成不同的子网段。另外，对于规模较大的子网来说，可采用动态IP地址分配方式，以减轻管理上的压力。

8 4．高安全性 为保障各部门间相互独立，互不干扰，可对整个网络按部门及应用需求划分VLAN；在异地分支机构与企业总部中心网络互连方式上，可选择VPN技术。应用多重网络防护机制，如在内外网间设置防火墙，在路由器上设置ACL（access control list，访问控制列表）实现对流经路由器或交换机的数据包根据一定的规则进行过滤。对关键网络设备进行保护，建立完善的网络设备安全登录和管理规定。

9 5．高性能的信息服务 基于集团公司内部的信息服务要求，可建立一服务器群，提供HTTP、FTP、电子邮件及域名查询等信息服务。服务器群直接与核心层交换机相连，以保证整个网络的访问速度。如部门内部有建立服务器的需求，则可将部门服务器放置在自己的内部子网上，仅供部门内部人员访问。

10 6．高扩展性 这类大型网络的可扩展性要求非常高，因为可能会在短时间内添加大量的节点。这种网络的扩展性可以通过如下方式保障：核心层通常采用多插槽的机箱式结构，这样可以安装许多种模块和提供更多的各种接口；在骨干层通常采用模块化结构的交换机；在分布层和接入层通常采用堆叠方式，一方面可以提高每个端口实际可用的带宽，另一方面，同样为可扩展性提供了保障。

11 网络拓扑 综合以上考虑，为该企业设计网络规划图如图14-1所示。

12 IP地址分配 针对该网络IP地址不足的情况，只将注册的IP地址 /24用于主干网、主要服务器及交换机路由器等网络设备，而其它节点使用Internet为企业专用网保留的C类地址 *.*，将其分隔成不同的子网段。 针对网络现有情况，将 /24进行子网划分，取主机号的前三位为子网号，这样，去掉全0，全1两种情况，共可将该网段分为六个新的子网。再加上在接入层的子网，在网络内部共存在着如表14-1中所示的子网：

13 表14-1 子网分配情况 子网 网络ID 服务器地址 网关地址 客户机网段 子网1 子网2 子网3 子网4 子网5 子网6 子网7 子网8
表14-1 子网分配情况 子网 网络ID 服务器地址 网关地址 客户机网段 子网1 /24 ～ ～ 子网2 /24 ～ ～ 子网3 /24 ～ ～ 子网4 /24 ～ ～ 子网5 /24 ～ ～ 子网6 /24 ～ ～ 子网7 /24 ～ ～ 子网8 /24 ～ ～

14 表14-1 子网分配情况(续) 子网 网络ID 服务器地址 网关地址 客户机网段 子网9 子网10 子网11 子网12 子网13 子网14
表14-1 子网分配情况(续) 子网 网络ID 服务器地址 网关地址 客户机网段 子网9 /24 ～ ～ 子网10 /27 ～ 无 子网11 /27 ～ 子网12 /27 ～ 子网13 /27 ～ 子网14 /24 ～ 子网15 /27 ～

15 各设备端口的IP地址分配情况如表14-2所示：
设备名称 端口名称 IP地址 端口连接状况 S1 F1/0 /27 服务器群交换机 F1/1 /27 接防火墙 F1/4 /27 S2-F1/24 F1/5 /27 S3-F1/24 F1/6 /27 S4-F1/24 F1/7 /27 S5-F1/24 S2 /24 接入层交换机 /24 F1/24 /27 S1-F1/4 S3 /24 /24 /27 S1-F1/5

16 各设备端口的IP地址分配情况如表14-2所示（续）：
设备名称 端口名称 IP地址 端口连接状况 S4 F1/0 /24 接入层交换机 F1/1 /24 F1/24 /27 S1-F1/6 S5 /24 /24 /27 S1-F1/7 R1 /27 接防火墙 S1/2 /24 接外网 R2 /24 接分支机构内网 /24 R3 /24 /24

17 IP地址的分配 在部门子网当中，IP地址的分配可采用静态分配，也可采用动态分配。一般来说，服务器等供别人访问的设备采用静态地址分配，而其它客户机可采用DHCP动态地址分配，以减少工作量。需要注意的是，如果采用动态分配方式，则要在该子网内配置至少一台DHCP服务器。

18 VLAN划分 在现今的企业网络或园区网中，对VLAN技术的应用也更加重要，通过对VLAN的划分可使管理更方便，同时也提高了网络安全性。 在上一节中我们可以看到，在C类网中划分子网时，计算比较复杂，分配上不够直观，同时也减少了实际IP地址数。其实，我们可以用划分VLAN的方式来替代主干网上的子网划分。即将S1-S5等交换机端口的子网掩码设为 ，这样，在默认情况下，相关端口都属于 *这一网段。我们再对这一网段进行基于端口的VLAN划分，即把S1的每一端口或部分端口划分到一个VLAN当中，以此实现隔离的目的。

19 14.4 安全设计 为保障网络的安全，许多安全措施被提出并被应用。但对于大多数网络来说，安全防护并未成为一个完整的体系，所以，因蠕虫病毒泛滥而导致的网络缓慢，因IP地址盗用而导致的频繁掉线，因外来恶意的DoS攻击而造成的网络服务瘫痪等现象在局域网中处处可见。 一个完善的网络防御体系应当包含以下防护手段：病毒防护、网络设备接入端口安全、ACL过滤机制、网络防火墙、入侵检测系统以及VPN安全。在网络中因为有远程子网的互连，所以应用VPN技术是必不可少的。其它可根据实际情况设置。

20 要保证服务器安全，除了要安装杀毒软件，个人防火墙等安全工具之外，还可从以下方面着手：
帐户信息加密，入侵者在很多情况下是通过信息扫描，信息截获等非法手段来获得帐户信息的，为了保证信息在链路上的安全，可采用信息加密的方法，使入侵者即使截获信息也不能识别信息，从而达到安全目的； 限制IP访问，大多数入侵者都是外部用户，其主机的IP地址区别于内网用户，所以可通过限制IP的方法来减少资源的非法访问； 增强操作系统的安全性，可采用UNIX、LINUX等操作系统，相对于Windows服务器操作系统来讲，这些系统的漏洞少，安全性较高。

21 网络管理 对于一个大规模的网络来说，网络管理是必须的。在网络中，域名服务器，DHCP服务器等服务都应该建立，并能到有效管理。为了保证网络更加有效、可靠地运行，可配置一台网络管理工作站，以便更有效地对网络进行管理。网管工作站上安装Cisco Works 2000 for Windows 2003/2008企业版网管软件。

22 总结： 在本案例当中，我们可以学习到多种网络技术的应用方法，如：交换网组建、IP地址分配（动态分配与静态分配）、子网划分、VLAN划分、VPN技术、网络管理等。

23 14.2 路由三级网 某金融机构欲建设自己的网络，要求该网络覆盖省、地市及县行的所有网点，并通过网络能够实现与县级网点的业务通讯及语音电话。根据该机构的需求，我们帮其规划一个具有三级结构的路由网络。

24 网络概况 整个网络分为省行、地市行、县级三级结构，跨行连接采用租用DDN专线的方式，根据需求确定连接速率，如总部与省级网之间采用2M带宽，地市级间连接采用1M带宽，县级间采用128K带宽，并且采用VoIP技术实现县级网点与省行直接通话的功能。网络拓扑示意图所图14-2所示。

25 图14-2 金融机构分布图

26 网络路由 该网络做为一个跨地区的自治网络，最重要的是解决路由问题。考虑到该网络规模较大，可选用OSPF做为网络的路由选择协议，按网点所在地划分区域。假定该机构已申请到 *.*的B类IP地址。下面我们就为该网络做出规划。网络的区域划分情况如图所示（说明：图中所示只是整个网络的一部分，其它部分类似）。

27 图14-3 三级路由网规划图

28 表14-3 IP地址分配及线路连接情况 设备名称 端口名称 IP地址 端口连接状况 R1 S1/2 191.16.1.1/24
S1/2—R2-S1/2 R2 /24 S1/2—R1-S1/2 S1/3 /24 S1/3—R3-S1/2- S1/4 /24 S1/4—R4-S1/2 F1/0 /24 F0/1—R2-F0/1 R3 /24 S1/2—R2-S1/3 S1/3—R5-S1/2 R4 /24 S1/2—R2-S1/4 /24 S1/3—R6-S1/2 /24 F1/0—S2-F0/1 R5 S1/2—R3-S1/3 /24 F1/0—S3-F0/1

29 表14-3 IP地址分配及线路连接情况（续） 设备名称 端口名称 IP地址 端口连接状况 R5 S1/2 191.16.3.2/24
S1/2—R3-S1/3 F1/0 /24 F1/0—S3-F0/1 R6 /24 S1/2—R4-S1/3 /24 F1/0—S4-F0/1 S1 F0/1 /24 F0/1—R2-F0/1 S2 /24 F0/1—R4-F1/0 S3 /24 F0/1—R5-F1/0 S4 /24 F0/1—R6-F1/0 Voice-port R1-voice-port 号码111111 Port 2/0 R5-voice-port 号码222222

30 总结： 在本案例当中，我们可以学习到路由网络的构建方法、路由选择协议OSPF的应用方法、IP地址的分配等。

31 14.3 无线局域网 14.3.1室内无线网络 当前无线网络在校园网的建设中得到了广泛的应用，许多学校的校园网都部分采用无线网络方式。
无线网络在校园网的建设中有着许多有线网络所无法比拟的优势。 首先是对于一些不方便布线的场所，采用无线方式可有效地解决布线方面的困难，如礼堂、操场和阅览室等。 另一方面大大节省了网络投资成本，布线是一项复杂的工程，其成本往往占总投资的30%左右。当然这不仅是网线的成本，更重要的是人工布线成本。 第三是大大方便了用户位置的灵活移动。当用户位置改变时，不用重新布线。

32 多媒体教室无线网络 对于多媒体教学系统，现在许多学校也采用无线方式，同样具有以上三个方面的优势。
在本案例中为某一多媒体教室设计无线网络。在一个教室中通常有40～60个座位，教室面积在80平方米左右。尽管在这样一个面积中，一个基于IEEE802.11b/a/g，任意一个AP都能有效覆盖，但是此种情况不适用于单AP，因为在此种应用中，无线用户相对集中，况且各用户所进行的是需要高带宽的多媒体教学、听课。针对这种应用实际情况，建议选择高速率标准，并且在一个教室中安排放置三个AP，各AP分区域覆盖，其拓扑结构如图14-4所示。

33 图14-4 多媒体教室无线网络拓扑结构

34 网络布局 在这样一种应用方案中，发布多媒体教学内容的计算机可以在机房中，也可以在其他任何网络位置，并且以有线方式与交换机连接。
交换机的端口数根据实际需要选择，但连接各AP的端口带宽最好都采用10/100Mbps以上的。 在多媒体教室中，教师讲解所用的计算机也最好通过有线方式直接与有线网络交换机的高带宽端口连接，以确定连接的稳定性和高带宽。 多媒体教室中的用户划分为三个区域，各用一个AP覆盖，各自与有线网络的交换机连接。在配置时要注意这三个AP的所有信道不用重叠，例如可以采用1、6、11这三个信道。如果采用双绞线连接，注意单段双绞线的最长长度要在100米以内，如果超过这个距离，则应采用多个交换机或集线器级联扩展。

35 网络布局 因为多媒体教学需要较高的带宽，并且要求稳定性较高，所以在此方案中选用802.11g+标准的无线网络方案，因为它们都可以提供108Mbps的超高连接速率。50个用户平均分为三个AP区域，则每个AP区域用户在17个左右，按总带宽108Mbps的带宽计算，平均每个用户也有6Mbps多的连接速率，即使按理论值的一半计算，也有3Mbps左右的带宽，足以满足多媒体教学使用。

36 14.2室外无线网络 在整个企业网络的构建中，核心及汇聚层的构建是非常重要的，但是，真正实现智能化、灵活性、高带宽、可运营等特性的网络，接入层设备的功能是支持整网拥有此强大功能的必要条件。 WLAN无线局域网技术随着近年来的逐步完善和发展，以其灵活性和与有线以太网络的互补性，成为局域网络接入层的一种补充手段。

37 构建企业无线网络 大中型企事业对于无线网络访问主要关注在于网络的稳定覆盖、带宽容量的保证、安全准入的保障、与有线网络和软件系统的协调性和兼容性等问题。下面我们就为一中型企业来构建一个有线与无线的混合网络。 该企业占地面积不大，企业中共有四幢大型建筑物有连网需求，包括办公大楼，厂房一，厂房二及销售中心，公司实景图如图14-5所示。办公楼中的会议室及销售中心有移动办公的需求，因布线困难原因，希望建筑物间网络为无线连接。

38 图14-5 企业实景图

39 无线接入设备选择 通过前面的学习，我们知道，无线接入设备大体分为两种，一种是AP接入点，主要用于室内，覆盖范围较小；另一种是无线网桥，可用于长距离信号发送与接收。如果想要在企业园区中的不同楼宇之间构建无线网络，则需要设置无线网桥。而如果要在会议室、礼堂等地点布置无线网络则用AP接入点比较合适。

40 网络布局 我们仍按三层划分网络层次，核心层位于办公楼内，分布层由交换机与无线网桥共同构成，交换机连接楼内子网，而无线网桥成为其它三幢建筑与办公楼通信的枢纽。由于该网桥要同时接收与发送多个方向的数据，因此应选用全向天线。厂房与销售中心同样建立自己的子网，同时在子网上连接无线网桥，可用定向天线。

41 网络布局 企业会议室位于办公大楼，有无线上网的需求，且会议室面积较大，可在室内设置多个AP接入点。在会议室留出有线接口，使交换机连接到有线网络上，并将AP连接到该交换机上，并进行合理配置，使其信号覆盖整个会议室。考虑到会议室的展示台主机一般需要较高的速度需求，可直接将该主机连接到交换机上。如有视频会议的需求，则在无线网络的标准上，宜选用较高标准，如IEEE802.11g+。

42 企业网络拓扑图如图14-6所示。

43 总结： 无线网络的构建并不复杂，主要是要在合适的场合为用户选择合适的无线接入设备，并根据用户的需要进行合理配置。