《高速局域网的设计与安装》毕业论文设计.doc

毕业设计学生姓名 学 号 200902081235 专 业 计算机网络技术 班 级 网络200902班 指导教师 开题时间 2011年5月30日 电子信息学院高速局域网的设计与安装概述： 随着个人计算机处理能力的增强，计算机网络应用的普及，用户对计算机网络的需求日益增加，现在常规局域网已经远远不能满足要求，于是高速局域网（High Speed Local Network）便应运而生。高速局域网的传输速率大于等于100Mbit/s，常见的高速局域网有FDDI光纤环网、100BASE-T高速以太网、千兆位以太网、10Gbit/s以太网等。目前，在建设企业局域网时都会把高速局域网技术作为首选的网络技术，随着中国加入WTO，Internet的推广，集散控制系统DCS在生产中的广泛应用，信息技术给现代社会带来了根本性变革，信息已成为当今世界经济的战略资源和独特的生产要素。分析比较现有组网技术，确定适合企业信息建设发展需要的组网规划，采用100 Mbit/s快速以太网构建集价格、性能优异、配置灵活于一体的局域网，使企业能充分应用信息技术，运用当代先进的管理理论、管理技术、管理手段，提高企业的综合素质和竞争能力，使企业的发展不断迈上新的台阶。【关键词】：局域网 规划 设计1 引言12 需求分析12.1 企业在信息建设方面应用的现状12.2 设计原则23 网络规划23.1 网络结构技术分析23.1.1 交换以太网技术23.1.2 快速以太网技术33.1.3 千兆以太网技术34 综合布线34.1 布线系统标准的比较34.2 综合布线系统的优点35 网络可靠性安全性设计和容错451 网络安全和防火墙45.2 网络容错45.3 安全备份及灾难恢复45.4 安全管理的两个方面46 企业局域网具体设计实施方案56.1 技术规划56.1.1 网络层次划分56.1.2 网络IP子网划分56.1.3 网络流量规划66.1.4 以太网交换技术86.1.5 虚拟交换技术116.2硬件系统结构硬件选择126.3软件系统结构156.4安全策略166.4.1病毒防治166.4.2建立防火墙176.4.3网络的保密措施176.4.4数据安全性和完整性措施187 此方案的系统特点207.1 合理的系统结构207.2 可靠的安全防护207.3 充分的扩充余地207.4 稳定的系统性能20结束语21参考资料221 引言 在国民经济信息化进程中，企业如何提高自身竞争力，怎样利用Internet/Intranet技术带来的机遇和挑战，来提高工作效率和管理科学水平，是亟待解决的问题。近年来，大部分企业单位的大部分部门微机还是报表处理、单机作业为主。日常通信也是简单地文件传送，显然越来越不能满足业务民展和现代管理的需要，Internet及相关技术的出现和高速发展，为企业提供了利用网络进行信息交流和管理的极好机遇。随着中国加入WTO，Internet的推广，集散控制系统DCS在管理生产中的广泛应用，信息技术给现代社会带来了根本性变革，信息已成为当今世界经济的战略资源和独特的生产要素。随着中国经济迅猛发展，企业要不断的保持并加强自己的管理优势，不断推出适合中国经济发展的需求之外，还要不断寻求和创造更大的发展空间。充分应用信息技术，运用当代先进的管理理论、管理技术、管理手段，为企业的发展注入强劲的科技动力和应变能力，全面创新，提高企业的综合素质，使企业的发民不断迈上新的台阶，成为一流企业。因此，企业单位迫切需要建立基于Intranet的企业信息系统，在提高企业管理效率、降低成本，为实现企业在21世纪成为市场的赢家，在信息化方面奠定了坚实的基础。2 需求分析建成一个高效率的开放式计算机企业网，覆盖公司经营管理、质量管理、领导信息查询等业务所涉及到的主要业务处理部门和综合管理机构，提供广泛的软、硬件资源共享，分布式数据库存取，结构化与非结构化数据（如多媒体图形、图像、行政公文、电子邮件等）传输功能。充分利用Internet/Intranet技术进行增值通信，与企业内部（开发商）以及外部合作伙伴交流信息，为建立企业间动态联盟和虚拟企业提供支持。整个企业网的规划设计应有足够的弹性，能够根据公司的需要和发展步骤，逐步实施和扩展升级。2.1 企业在信息建设方面应用的现状一般企业信息化建设目前存在以下几个弊端：（1）低水平重复建设且成本高昂：各部门拥有相对独立的信息系统，资源分散于各部门之中，容易形成信息孤岛。（2）安全漏洞和系统风险大：各部门拥有相对独立的信息系统，不但系统复杂度高，而且核心数据全部分布于本地，对系统的安全性提出了较高的要求。（3）管理信息和反馈信息不能迅速传递：随着企业的发展，数据信息流不断增大，对部门管理提出了快速响应的要求。2.2 设计原则（1）实用性：网络建设从应用实际出发，坚持为领导决策服务，为经营管理服务，为生产建设服务，建立一个具有现代化管理、通讯手段的信息系统，实现信息收集、查询、统计、分析、辅助决策等功能。（2）先进性：采用成熟的先进技术，兼顾来来的发展趋势，即量力而行，又适当超前，留有发挥余地，全面准确地体现用户的管理思想、管理模式及操作运行方式。（3）可靠性：确保网络可靠运行，在网络的关键部分应用容错能力，要在硬件选型、网络设计、支撑环境和应用系统的建设中充分体现这一原则。（4）安全性：提供公共网络连接、内部网络连接、服务器等全方位安全管理。（5）开放性：采用国际标准通信协议、标准操作系统、标准网管软件，采用符合标准的设备，保证整个系统具有开放特点，增强与异机种、异构网的互联能力。（6）可扩展性：系统便于扩展，保证前期投资的有效性与后期投资的连续性，充分考虑到目前的业务需求和今后较长时间内业务发展的需要。（7）可管理性：从系统设计、设备选型都必须考虑到整个系统的可管理性和可维护性。3 网络规划3.1 网络结构技术分析3.1.1 交换以太网技术 新的以太网是新近发展起来的先进技术。它在保证与以太网协议兼容的前提下，提高网络利用率，减少网络资源争夺造成的冲突，使网络性能大幅度提高，以满足各类数据信息传输的要求。3.1.2 快速以太网技术快速以太网的运行速度要比10Mbps以太网快10倍。快速以太网相对其他高速网络技术更容易被掌握和接受，它可以应用在共享式和主干环境下，提供高带宽的共享式网络和主干连接，现时也可以应用在交换式环境下，提供优异的服务质量（Qos）。3.1.3 千兆以太网技术千兆以太网技术采用了与10M以太网相同的帧格式、帧结构、网络协议、全/半双工工作方式 、流控模式以及布线系统。可与10M或100M的以太网很好的配合工作，可以实现主干和各网段及桌面已实现了无缝结合，千兆以及网技术有两个标准：IEEE802.3z和IEEE802.3ab，千兆以太网现日益成为当前主流的主干技术，为城域网建设提供了思想。4 综合布线4.1 布线系统标准的比较综合布线系统概述： 在信息社会中，一个现代化的大楼内，除了具有电话、传真、空调、消防、动力电线、照明电线外，计算机网络线路也是不可缺少的。布线系统的对象是建筑物或楼宇内的传输网络，以使话音和数据通信设备、交换设备和其他信息系统彼此相连，并使这些设备与外部通信网络连接。4.2 综合布线系统的优点 （1）结构清晰，便于管理维护。传统的布线方法是各种不同的设施的布线分别进行设计和施工，如电话系统、消防与安全报警系统、能源管理系统等都是独立进行的。一个自动化程度较高的大楼内，各种线路如麻，接线时又免不了在墙上打洞，在室外挖沟，造成一种难堪的局面，而且还造成难以管理，布线成本高、功能不足的不适应形势发展的需要。（2）材料统一先进，适应今后的发展需要。综合布线系统采用了先进的材料，如五类非屏蔽双绞线，传输的速率在100Mbps以上，完全能够满足未来510年的发展需要。（3）灵活性强，适应各种不同的需求，使综合布线系统使用起来非常灵活。一个标准的插座，既可接入电话，又可用来连接计算机终端，实现语音/数据点交换，可适应各种不同拓扑结构的局域网。5 网络可靠性安全性设计和容错由于连入Internet为用户提供各种信息服务。资源共享和开放是Internet特点，因而Internet的安全机制很松散；而公司的网络信息系统要求有较高的安全性，其内部的许多数据和文件严禁未经授权的访问。51 网络安全和防火墙除了关注全球互联网对企业业务的积极影响之外，同时也要充分考虑到将因特网作为企业内部计算机网络的延伸后的安全问题。若没有合适的防火墙解决方案，系统就会成为网络黑客们的众知之的。5.2 网络容错 计算机网络系统是整个业务运行的平台，服务器是整个网络运行的心脏，它能否可靠运行直接影响到日常业务的动作。 在主服务器发生故障的情况下，备用机能自动启动为主服务器。全面代替服务器响应全部的网络服务请求，直至主服务器被恢复。由于采用了双机模式，备份服务器和主服务器的数据和程序完全一致，不会出现丢失的情况。5.3 安全备份及灾难恢复企业最重要的资产不是网络硬件，而是网络运行的数据。如果不能保证数据的安全，对网络进行的大量投资就失去了意义。5.4 安全管理的两个方面（1）内部安全管理：主要是建立内部安全管理制度，如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等，并采取切实有效的措施保证制度的执行。内部安全管理主要采取行政手段和技术手段相结合的方法。（2）网络安全管理：在网络上设置防病毒安全检测系统后，必须保证防病毒系统的设置正确，且其配置不允许被随便修改。采用用户和口令认证机制加强对用户的管理，可以通过财务软件本身和一些网络层的管理工具来实现。6 企业局域网具体设计实施方案6.1 技术规划6.1.1 网络层次划分 核心层：核心层配置设备承担的任务主要是通过核心层设备与汇聚层间信息的交流、分发与管理，因此核心层设备是整个网络的中心枢纽，应具有强大的交换能力，保证不会发生信息拥塞；强大的安全防护能力，保证不会因单点故障而影响整个系统的正常运行；有效的故障恢复能力,保证任何一种单点故障都能在短时间内迅速予以恢复。汇聚层：汇聚层设备承担的任务，一是构造本地网络核心，二是通过核心设备实现与其他部分大量信息交换。汇聚层设备具备较高的吞吐能力和上连带宽，同时还具备强有力的用户访问控制能力（即三、四层交换能力、虚网功能）。接入层：接入层的功能在于将各种媒体、各种速度、任何地方的最终用户接入IP网络。这一层主要实现各单位终端节点设备的接入，并上连到网络汇聚层。这一层网络建设可以根据各节点的具体情况分期分批建设。6.1.2 网络IP子网划分根据企业安排，信息点的具体分布是： 办公楼生产、装配中心平房合计一层二层三层一层二层三层四层22201830303028262046011826204把一个大网缩小为若干小网，叫子网（作动词），而要把一个或几个小网扩大为一个大网，叫超网，后者一般应用于电信等其它领域，我们不作讨论。划分IP子网，有利于我们搞好系统维护，合理配置系统资源，减少资源浪费，企业信息点以楼层划分。根据192.168.0.0的保留地址划分企业内部局域网，属于C类地址，子网掩码255.255.255.0。根据结构分析，生产、装配中心一层，数量最大，30台，为每个楼层划分单独的网段公式：2的N次方-2=Hosts2的N次方-2=30 N=5N代表掩码中0的个数，5个零则意味着二进制掩码为11100000，即十进制的224加上前面24个1，1 的总数为27个。子网掩码255.255.255.224确定掩码规则以后，就要确认每一个子网的具体地址段。当前的IP地址192.168.1.0的最后一位是0，二进制表示为00000000；而我们已经算出的掩码255.255.255.224的最后一位是224，二进制表示为11100000000000001110000000000000与结果：0001000001110000000100000与结果：32去除网络回环地址与广播地址依次类推办公楼一层 192.168.1.32办公楼二层 192.168.1.64办公楼三层 192.168.1.96生产、装配中心一层 192.168.1.128生产、装配中心二层 192.168.1.160生产、装配中心三层 192.168.1.192生产、装配中心四层 192.168.1.2246.1.3 网络流量规划一个设计成功的企业网，其网络流量合理，系统各部分负载均衡。那么什么是网络流量呢？网络流量简而言之就是网络上传输的数据量。就像要根据来往车辆的多少和流向来设计道路的宽度和连接方式一样，根据网络流量设计企业网络是十分必要的。“80 /20”规则在传统网络中，一般将使用相同应用程序的用户放到同一工作组中，他们经常使用的服务器也放在一起。工作组位于同一物理网段或VLAN（虚拟局域网）中。这样做的目的是将网络上客户机与服务器之间产生的数据流量限制在同一网段中。在同一网段，可以使用带宽相对高的交换机连接客户机和服务器，而不必使用带宽相对较低的路由器。将大部分网络流量控制在本地的这种网络设计模式，被称为“80/20规则”，即80%的网络流量是本地流量（采用交换机交换数据），在同一网段中传输；只有20%的网络流量才需要通过网络主干（路由器或三层交换机）。“80/20”规则中的“80”和“20”不能简单地理解为数字，应该理解为网络流量分布的方式，即大部分网络流量局限在本地工作组，小部分流量通过网络主干。因此在实际网络设计中，只要大部分网络流量在本地、小部分网络流量通过主干，就认为它符合了“80/20”规则，而不管实际的数字比例是多少。后面谈及的“20/80”规则也是如此。按照“80/20”规则，分支交换机可以使用不支持VLAN的交换机，如全向的QS-6924交换机，这样能够大大降低不必要的开支。当然使用支持VLAN的交换机产品就更好了，如果以后想划分子网也比较方便，全向系列交换机中，带有“V”的型号具有VLAN功能，如QS-532V交换机、QS-516V交换机等。“20/80”规则随着网络应用的逐渐丰富，“80/20”规则已经不能完全满足网络设计的需要。而一种被称为“集中存储、分布计算”的模式逐渐得到推广。集中存储，就是数据集中在网络中心存储，如已经得到普遍使用的Web服务、电子邮件系统和逐渐流行的VOD（视频点播）、多媒体资源库等；分布计算，就是数据被下载到各个工作站上处理，如使用网络上的多媒体资源库制作多媒体课件等。在“集中存储、分布计算”的网络应用模式下，对网络流量的要求已经大大偏离了“80/20”规则，一种新的规则应运而生，这就是“20/80”规则。在符合“20/80”规则的网络中，只有大约20%的网络流量局限在本地工作组，而大约80%网络流量经过网络主干传输。这种网络流量模式的转变，给企业网主干交换机带来了很大的负荷。因此理想状态下主干交换机应该能够提供与下面连接的支干交换机相匹配的性能，即提供线速三层交换，也就是说，下面的支干交换机能够跑多快，上面的主干交换机也应该能够跑多快。同样，如果网络中有许多按功能划分的VLAN，这些VLAN也很难管理。在以往的“80/20”规则中，服务器往往分布在VLAN中，因此对于各工作组来说，访问起来比较快。但是在“20/80”规则中，服务器往往集中在网络中心，因此对于各工作组，必须实现跨VLAN的访问。没有三层交换机，VLAN之间无法通信，VLAN类似于硬盘的逻辑分区，可以简单地理解为把同一硬盘划分成不同的硬盘盘符。但是与逻辑盘不同的是，VLAN之间通信可不像把文件从一个逻辑盘复制到另一个逻辑盘那样简单，而是必须依靠路由器才能使VLAN之间相互通信。因此符合“20/80”规则的大中型网络必须使用三层交换机，如神州数码D-Link的 DES-6706交换机。企业网适用哪一条规则？在企业网络环境中，有的地方“80/20”规则适用，数据流量一般局限在本地子网中，如果将专用的服务器架设在网络中心，必将大大增加网络主干的负担。有的地方“20/80”规则适用，比如电子邮件服务器、Web服务器等，是任何网络用户都会使用的，就应当放置在网络主干上，如果放在某一个子网中，不仅增加该子网的负担，其他子网的用户访问起来也会很慢。6.1.4 以太网交换技术以太网交换技术具有许多类型，各自宣传其具有不同的优点；通过简单的鼠标即可增加、移动和改变往来落的结构；比网桥和路由器更为有效地进行网络分段；为高性能工作站或服务器提供高宽带。网络管理者渴望采用这些技术，但是首先他们想了解各种以太网交换技术。当前有两种以太网交换技术：静态以太网交换和动态以太网交换。一、静态以太网交换静态以太网交换是为网络管理者通过软件来完成网络配置的增加、移动及改变而设计的。静态以太网交换工作与传统的共享式网络环境。所以称为“静态”是由于需要网络管理员的人工干预，既每次网络节点的移动和增加，网络管理员必须通过网络管理软件进行操作。一旦一次静态交换操作完成，用户或工作站将被移到一个新的共享网段，并且一直呆在那里直到另一次新的操作。静态交换允许网络管理员在一个内将用户容易地从一个共享局域网总线移到另外一个共享局域网总线。，集线器的以太网总线是由工程部台工作站共享的以太网网段。而以太网总线是由市场部的工作站所共享）的网段，以上两个网段都是传统的共享局域网。当工程部某位工程师调至市场部，希望将其工作站连至市场部局域网段（以太网总线）时，该如何操作？对静态以太网交换，网络管理员只需通过网络管理工作站的集线器图形界面，用鼠标将调离的工程师工作站所对应的端口从总线拉至总线即可。这种改变只需几秒钟的时间。而传统的方法，则需网络管理员通过查线、拨号、重新布线等一系列的工作才能完成。显然，在网络结构需经常改变的场合，静态交换以太网极为适宜。静态交换不能改变带宽(性能), 用户唯一可以提高网络性能的方法是将工作站从拥挤的网段移到空闲的网段。只有动态以太网交换才可以增加标准以太网的带宽(性能)。二、动态以太网交换动态以太网交换最初设计思路来源于电话网, 即在一个系统内同时按需存在许多点-点会话.动态以太网交换可以在不改变标准以太网节点设备的同时( 即工作站和服务器采用标准的以太网卡,驱动程序,电缆和应用程序),极大地提高网络的带宽.其工作过程如下:交换机检查来自PC的数据包; 交换机识别该数据包的源地址和目的地址;交换机动态打开一专用的10Mbps链路,将包由源地址端口传送至目的地址端口。动态交换检查由A工作站发往B工作站的数据包,在A与B 之间动态建立一专用的10Mbps链路.显然,不象传统的共享以太网, 数据包不是发往网络上的所有工作站,而是对每一数据传输产生专用的10Mbps链路.而连接到动态交换上的工作站及服务器仍使用标准的以太网卡,驱动程序,电缆及应用程序。在动态交换的内部,标准以太网的冲突式网络存取机制(CSMA/CD)不再存在, 与以太网相依存的"冲突"显著变小或不复存在, 每一用户昀可独立享受局域网的全部带宽(以太网10Mbps),所有的数据包都通过专用的点对点10Mbps链路进行交换,因此以太网交换为诸如客户机/服务器应用,分布式数据库,图像处理,CAD,甚至多媒体等数据密集型网络应用提供了足够的带宽。因为数据不昌传送到所有的端口,网络也难以被窃听,所以动态交换环境比共享式以太网更加安全。动态交换同时检查所有数据包,同时开辟许多的10Mbps 专用链路以完成并行的数据通信。这样在任何时间内可以存在许多专用的源-目的以太网。 动态交换以太网的这种并行的,点对点特性与电话网相似,同时也与FTM相近。一旦一个独立的端口通信完成,动态交换释放此链路。因此,动态交换的带宽流量是按需的,这种按需带宽特性是ATM网的另一特性.但因动态以太网交换是建立在标准以太网基础上( 标准接口卡,驱动,电缆和应用) , 用户可以保留其在原有以太网上的投资和基础上, 获得像ATM一样的专用带宽及安全保密性。三、以太网交换技术分类上面已讨论了动态交换和静态交换在功能和应用上的基本差异, 下面将着重讨论每种交换技术的两种实现方式:动态端口交换动态段交换静态端口交换静态模块交换对静态交换而言,模块交换和端口交换差别很小,它们可应用于相同的场合, 而对动态交换,段交换与端口交换的应用明显不同.1.动态端口交换动态端口交换的功能已在前面讲述过,每一端口联接到单一的工作站或服务器.因为每一端口可被按需赋予一个独立的 10Mbps专用以太网链路,这样可以赋予每一工作站或服务器更高的网络带宽。2.动态段交换动态段交换与动态端口交换的功能相似,通过交换结构,按需提供专用的端口间10Mbps专用链路.每一动态段交换端口可以连接一个网段(即传统的共享以太网),而不只是一个工作站或服务。动态段交换通过对大量MAC地址的识别来完成此功能。用端口连结整个网段,可以使动态段交换取代现今分段网络中的路由器及网桥。如果网段A的用户在网段内发送数据包, 交换识别数据为本网段数据包而不允许这些数据包进入其它网段.但是如果网络段A的用户发送数据包到网络段B,则交换机识别那些传送至网段B的数据包,分配一专用的10Mbps链路，发送数据包到网段B的目的用户.网络分段,即将一个大的拥挤的网络分成一系列的小型网络,每一网络具有小的用户和小的流量。以前网络分段一般是通过网桥和路由器来实现的, 而采用动态段交换对网络分段比用网桥和路由器更优越,理由如下:(1)价低.(2)易管理,而路由器需要OSI协议中网络层的复杂网络管理.(3)更快速,因为交换只检测其数据包头中的源及目的地址, 而网桥及路由器则需检测整个包,这样交换所产生的时延比网桥及路由器小得多.3.静态端口交换静态端口交换允许网络管理员通过软件将用户工作站从一条共享以太网总线移到另一条，灵活地对网络进行增加,减少所需的交换模块订货量.例如,在网络上增加8个用户,他们工作于4个不同的部门,在4条不同的以太网总线上。所有这些用户可以采用一块单一的端口交换模块来实现.与此相比,以前则需购4 块新的模块并连到不同的总线,但每个新的模块的大部分端口是未用的,造成低效及浪费.4.静态模块交换静态模块交换也是由软件来实现网络的增加,移动和改变.与静态端口交换不同的是,静态模块交换是将整个模块(包括模块上的所有端口) 从一条共享总线移至另一条共享总线.6.1.5 虚拟交换技术一、VLAN技术的概述及其优点VLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费可贵的带宽；而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。 VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控制在一个VLAN内部，划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层（网络层）的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。另外，VLAN具有灵活性和可扩张性等特点，方便于网络维护和管理，这两个特点正是现代局域网设计必须实现的两个基本目标，在局域网中有效利用虚拟局域网技术能够提高网络运行效率。 二、VLAN的实现VLAN的实现方式有两种：静态和动态。静态实现是网络管理员将交换机端口分配给某一个VLAN，这是一种最经常使用的配置方式，容易实现和监视，而且比较安全。动态实现方式中，管理员必须先建立一个较复杂的数据库，例如输入要连接的网络设备的MAC地址及相应的VLAN号，这样当网络设备接到交换机端口时交换机自动把这个网络设备所连接的端口分配给相应的VLAN。动态VLAN的配置可以基于网络设备的MAC地址、IP地址、应用或者所使用的协议。实现动态VLAN时候一般情况下使用管理软件来进行管理。在CISCO交换机上可以使用VLAN管理策略服务器（VMPS）实现基于MAC地址的动态VLAN配置。VMPS是MAC地址与VLAN的映射表。这种配置的优点是网络管理员维护管理相应的数据库，而不用关心用户使用哪一个端口，但是每次新用户加入时需要做较复杂的手工配置。基于IP地址的动态配置中，交换机通过查阅网络层的地址自动将用户分配到不同的虚拟局域网。 6.2硬件系统结构硬件选择网络接入层STAR-S2100系列交换机具有高安全特性，有效防御病毒和网络攻击，控制用户非法接入； STAR-S2100系列交换机可提供多种安全机制，如专家级ACL功能（可以对MAC地址IP地址VLAN号传输端口号协议类型时间ACL的任意组合）可以防止红色代码病毒、冲击波病毒；端口和MAC、IP绑定可以控制Synflood攻击；支持IGMP源端口检查，有效控制非法组播源，提高多媒体组播业务的正常运行证。种种安全策略的实施保证了数字图书馆全网的稳定、安全运行。基于流的带宽限制保证网络发挥的最大效能STAR-S2100可以基于VLAN ID、用户ID、IP地址等多种分类方式为不同应用提供不同的接入服务策略。STAR-S2100的用户带宽控制技术采用了类似ATM的CBR方式，利用大容量的缓存为突发数据流整形，不但可以将带宽控制精确到Kbps级别，而且有效防止了突发数据包的丢失。STAR-S2100系列交换机均支持基于流的QoS策略，具备MAC流、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用以及不同应用所需要的服务质量特性提供服务，有效地保障了用户关键业务的高速运行。接入层采用先进的堆叠技术，弹性扩展网络cisco的29系列可以堆叠在一起来使用。堆叠是通过集线器的背板连接起来的，它是一种建立在芯片级上的连接，如2个24口交换机堆叠起来的效果就像是一个48口的交换机，优点是不会产生瓶颈的问题。堆叠(Stack)和级联(Uplink)是多台交换机或集线器连接在一起的两种方式。它们的主要目的是增加端口密度。但它们的实现方法是不同的。简单地说，级联可通过一根双绞线在任何网络设备厂家的交换机之间，集线器之间，或交换机与集线器之间完成。而堆叠只有在自己厂家的设备之间，且此设备必须具有堆叠功能才可实现。级联只需单做一根双绞线(或其他媒介)，堆叠需要专用的堆叠模块和堆叠线缆，而这些设备可能需要单独购买。交换机的级联在理论上是没有级联个数限制的(注意：集线器级联有个数限制，且10M和100M的要求不同)，而堆叠各个厂家的设备会标明最大堆叠个数。多个设备级联会产生级联瓶颈。两个交换机通过堆叠连接在一起，堆叠线缆将能提供高于1G的背板带宽，极大地减低了瓶颈。在网络接入层选用的是锐捷网络系列千兆智能可堆叠交换机STAR-S2100系列。这个系列的产品都是全线速可堆叠千兆智能交换机，提供智能的流分类和完善的服务质量（QoS）以及组播管理特性，并可以实施灵活多样的ACL访问控制。S2100系列以极高的性价比为各类型网络提供完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足高速、安全、智能的企业网新需求。网络会聚层千兆干线、百兆交换到桌面；彻底解决带宽问题汇聚层由锐捷网络STAR-S4909/S3550-12G全千兆路由交换机组成，负责接入层汇聚，提供高速无阻塞的链路到核心层，抑制广播风暴和分流核心数据处理压力等，可实施分布式三层，大大提升网络性能。强大的组播支持能力组播业务作为未来最具潜力的业务之一，得到了前所未有的重视。随着宽带技术的不断发展，FTP、HTTP、SMTP等传统数据业务已经难以满足人们对信息业务的需求，视频点播、远程教学、新闻发布、网络电视等业务将成为新一轮运营竞争的焦点。这类新型业务的特点是，由一个服务器（媒体流服务器）发布信息，接收端数量很大，可能成千上万个，而且具体数目不固定。强大的组播支持： 视频组播应用是目前高校多媒体教学和数字化企业的应用重点，企业网络对组播的支持能力是企业网建设要考虑的重点。汇聚交换机STAR-S4909提供多种组播支持技术，包括IGMP snooping、IGMP、PIM（SM、DM），DVMRP，保证了网络中提供组播服务时的带宽合理占用。QOS服务质量保障端到端的服务质量保证（Qos）：从核心到汇聚到接入系列智能交换机，能够自动识别数据类型，区别业务重要性，保证关键数据得到更高的网络带宽。提供多种流分类技术和多种QOS技术，包括SP、WRR、WFQ、WRED、CAR、HOL等，为各种应用的带宽保障提供需要的支持技术。网络核心层主干可以升级至万兆万兆以太网采用了IEEE802.3以太网媒体访问控制（MAC）协议、IEEE802.3以太网帧格式，以及IEEE802.3帧的最大和最小尺寸。万兆以太网是以太网在速度和距离方面的进步，采用全双工技术，不需要应用低速的、半双工的CSMA/CD协议。在其他方面，万兆以太网保留了初期以太网模型的精髓，因而可以和现有以太网环境无缝融合，支持客户已有应用。RG-S6800系列交换机提供目前主流的三种万兆局域网传输标准：10GBASE-R、10GBASE-W、10GBASE-LX4，三种传输标准在数据链路层以上都相同，差别在于物理层。10GBASE-R用于传统的以太网环境，而10GBASE-W可与OC-192电路、SONET/SDH设备一起运行，保护传统基础投资，使运营商能够在不同地区通过城域网提供端到端以太网。10GBSE-LX4则使用WDM波分复用技术进行数据传输。用户数据量的大量增加，以及语音、视频多业务应用需求增加，再加上对网络安全性、可扩展性、高QoS保障等方面的日益增强和千兆到桌面的实现。另外，万兆产品价格的下调也是推动万兆产品成功应用的关键所在。在网络的核心层部署的是锐捷网络万兆核心骨干路由交换机RG-S6806。RG-S6806提供了冗余管理模块、冗余电源模块、各种模块热拔插等高可靠性功能，作为一款万兆骨干核心交换机，其背板宽带为256G，三层包转发速率可达143 Mpps，具备128个快速以太网端口、96个千兆光纤端口和8个万兆端口，为接入层提供高速无阻塞的路由交换。同时，RG-S6806通过千兆双绞线连接服务器集群。协议支持丰富提供多种生成树协议，包括802.1D、802.1W、802.1S等协议，满足客户各种网络环境收敛需求；特色安全技术复杂功能硬件实现，做到板卡分布式处理RG-S6806对全网的数据进行高速无阻塞的交换，将原有国外设备主要负责的路由交换任务平移到RG-S6806上，在RG-S6806上实现路由管理、网络管理、网络服务和核心数据处理等，RG-S6806超强的数据处理能力，支持负载均衡、冗于备份、QOS、ACL和策略路由等强大的功能，同时，板卡支持分布式处理和热插拔。6.3软件系统结构一、服务器管理软件中文图形化网络管理平台：StarView网络管理软件可以提供简单、清晰的设备管理图、拓扑状态图和流量分析图，将企业网管理工作量降到最低程度；网络拓扑查看：StarView可自动生成图形化网络拓扑结构图，并且识别网络内各种网络设备和IP设备，一目了然查看整个企业网的网络拓扑情况；网络设备管理：StarView不仅可以管理锐捷系列网络设备，还可以通过公共接口提供对其他品牌网络设备和服务器的管理； 网络节点监控：StarView可提供实时的网络各节点的网络性能监控，并通过矢量图的形式进行远程查看，当发生网络故障的时候，系统可以自动向网络管理员发出报警信号；二、网络服务管理1、网管工作站设计 网络管理是企业网必须考虑的关键技术，这里的网络管理主要指网络设备及其系统的管理，它包括配置、性能、安全、故障管理等，网络管理设计需要在配置每个网络设备时，都选择具有网络管理代理的、驻留有网络管理协议的设备。 网络管理设计的另一方面，是配置一个网络管理中心，配置网络管理平台，在平台上运行管理每个网络设备的应用软件。网管软件应能够支持对网络进行设备级和系统级的管理，并能支持通用浏览器进行网络设备的管理及配置。2、WWW服务器设计 WWW应用是Intranet的标志性应用，最核心的应用服务集中在WWW服务器上完成。因而对于WWW服务器的设计首要考虑的就是服务器性能问题，另外考虑到将来在Intranet平台上做应用开发的可能，对于WWW服务器同数据库互联的问题也应作为重点考虑。 因为WWW服务器是被大量实时访问的超文本服务器，它要求在支持大量网络实时访问、磁盘空间、I/O吞吐能力、快速处理能力等方面具有较高的要求。IIS服务器的配置IIS是一个信息服务系统，主要是建立在服务器一方。服务器接收从客户发来的请求并处理它们的请求，而客户机的任务是提出与服务器的对话。只有实现了服务器与客户机之间信息的交流与传递，Internet/Intranet的目的才可能实现。在Windows2000中集成了IIS5.0版，这是Windwos2000中最重要的Web技术，同时也使得它成为一个功能强大的Internet/Intranet Web应用服务器。6.4安全策略6.4.1病毒防治1 禁用没用的服务Windows提供了许许多多的服务。 Telnet就是一个非常典型的例子。在Windows2003的服务中是怎么解释的：“允许远程用户登录到系统并且使用命令行运行控制台程序” ，建议禁止该服务。2 打补丁Microsoft公司时不时就会在网上免费提供一些补丁，可以去打补丁。除了可以增强兼容性外，更重要的是堵上已发现的安全漏洞。3 反病毒监控选择一流的反病毒软件。用反病毒软件的根本目的是防病毒。另外，安装反病毒软件后必须对其进行必要的设置和时刻开启反病毒监控。这样才能发挥其最大的威力。6.4.2建立防火墙网络地址转化NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它