1、LOGO第一第一 章章LOGO目录目录项目项目1 网络规划与设计知识网络规划与设计知识1项目项目2 网络网络IP地址规划与分配地址规划与分配2项目项目3 网络规划与设计实训项目网络规划与设计实训项目3项目项目4 网络规划设计项目训练网络规划设计项目训练4LOGO1.1 项目项目背景背景 某公司为了实现对内部员工的上网行为进行管理,在公司内部架设一台Cisco安全访问控制服务器,它可以在用户访问 Internet时对用户进行认证和授权,并通过路由器的IOS 认证代理功能控制员工访问 Internet。LOGO一一 网络规划与设计网络规划与设计 1.1 网络规划与设计知识网络规划与设计知识1.1.
2、1 对网络规划与设计的理解对网络规划与设计的理解 随着计算机网络的发展,越来越多的人对网络的依赖程度逐步增加。而网络组建的规划与设计的相关知识是计算机网络组建的基础,关系到计算机网络各个方面的应用。网络工程是一项复杂的系统工程,涉及技术问题、管理问题等,必须遵守一定的系统分析和设计方法。实施网络工程的首要工作就是要进行规划,深入细致的规划是成功构建网络的一半。缺乏规划的网络必然是失败的网络。其稳定性、扩展性、安全性、可管理性没有保证。通过科学合理的规划能够用最低的成本建立最佳的网络,达到最高的性能,提供最优的服务。Page 4LOGO1.1.2 网络结构规划与设计的原则与方法网络结构规划与设计
3、的原则与方法 一般来说,在工程设计前对主要设计原则进行选择和平衡,并排在其他设计方案中的优先级,对网络工程的设计和规划具有指导意义。网络建设原则要体现对用户网络技术和服务上的全面支持。这些原则应该以用户为中心,包括下面几个方面。1、可靠性原则 2、可扩展性原则 3、可运营性原则 4、可管理原则 5、实用性原则 6、安全性原则 7、先进性Page 5LOGO1.1.3 网络结构规划与设计相关理论知识网络结构规划与设计相关理论知识1、网络规划的主要步骤、网络规划的主要步骤实施网络工程的首要工作就是要进行规划,深入细致的规划是成功构建网络的一半。缺乏规划的网络必然是失败的网络,其稳定性、扩展性、安全
4、性、可管理性没有保证。通过科学合理的规划能够用最低的成本建立最佳的网络,达到最高的性能,提供最优的服务,对业务需求、网络规模、网络结构、管理需要、增长预测、安全要求、网络互联等指标给出尽可能明确的定量或定性分析和估计。(1)需求分析需求分析是从软件工程和管理信息系统引入的概念,是任何一个工程实施的第一个环节,也是关系到一个网络工程成功与否的最重要砝码。综合布线系统综合布线系统是网络工程的基础工程,它是一种模块化的、灵活性极高的建筑物内或建筑群之间的信息传输通道。综合布线符合楼宇管理自动化、办公自动化、通信自动化和计算机网络化等多种需要,能支持文本、语音、图形、图像、安全监控、传感等各种数据的传
5、输,支持光纤、UTP、STP、同轴电缆等各种传输介质,支持多用户多类型产品的应用,支持高速网络的应用。有关这方面的内容将在第4章详述。设备选型在完成需求分析、网络设计与规划之后,就可以结合网络的设计功能要求选择合适的传输介质、集线器、路由器、服务器、网卡、配套设备等各种硬件设备。硬件设备选型应遵从以下原则:必须综合考虑网络的先进合理性、扩展性和可管理性等要素;设备要既具有先进性,又具有可扩展性和技术成熟性。Page 6LOGO 系统软件及应用系统目前国内流行的网络操作系统有Windows Server 2019/2019、Linux(Red Hat、Ubuntu)、UNIX等,它们的应用层次各
6、有不同。UNIX主要应用于高端服务器环境,其操作系统的安全性能级别高于其他操作系统。UNIX 通常被用在系统集成的后台,用于管理数据服务。系统集成前台或者一般的局域网环境可采用Linux和Windows Server 2019/2019等网络操作系统,选用哪种操作系统,还要根据用户的应用环境来确定。另外,还要根据网络操作系统及相关应用环境来选择数据库系统等系统软件。投资预算网络投资预算包括硬件设备、软件购置、网络工程材料、网络工程施工、安装调试、人员培训、网络运行维护等所需的费用。需要仔细分析预算成本,考虑如何满足应用需求,又要把成本降到最低。工程实施步骤根据用户的网络应用需求和用户投资情况,
7、分期分批制定网络基础设施建设和应用系统开发的工作安排。培训方案计算机网络是高新技术,建设单位不一定有足够的技术人员。为了让用户能够管理好、使用好计算机网络系统,在设计方案时,必须列出详细的网络管理与维护人员的技术培训计划。测试与验收网络系统的测试与验收是保证工程质量的关键步骤。测试与验收包括开工前的检查、施工过程中的测试与验收以及竣工测试与验收3个阶段。通过各个阶段的测试与验收,可以及时发现工程中存在的问题,并由施工方立即纠正。测试与验收一般由用户方、设计方、施工方和第三方人员组织。Page 7LOGO2、系统集成的含义、系统集成的含义计算机网络系统集成(Computer Network Sy
8、stem Integration)通过结构化的综合布线系统和计算机网络技术,将各个分离的设备(如个人计算机)、功能和信息等集成到相互关联的、统一和协调的系统之中,使资源达到充分共享,实现集中、高效、便利的管理。系统集成应采用功能集成、网络集成、软件界面集成等多种集成技术。系统集成,从字面上讲就是将各功能部分综合、整合为统一的系统。系统集成的应用含义要远远大于字面上的含义。系统集成包含以下5大要素:(1)客户行业知识要求对客户所在行业的业务、组织结构、现状、发展,有较好的理解和掌握。(2)应用系统模式和技术解决方案以系统的高度为客户需求提供应用的系统模式,以及实现该系统模式的具体技术解决方案和运
9、作方案,即为用户提供一个全面的系统解决方案。(3)产品技术对原始厂商提供的产品的技术掌握系统集成商自有研发产品,包括应用系统软件的开发。(4)项目管理对项目销售、售前、工程、售后服务过程的统一的进程和质量的管理。(5)服务随着行业的健康发展和规范化,系统服务的质量已逐渐成为重要参考点。Page 8LOGO3、系统集成的重要内涵、系统集成的重要内涵 应用集成系统集成首先要做到的是应用集成。应用集成就是系统集成商要深入地了解用户的实际需求,协助用户进行系统可行性分析、需求分析、总体方案设计、数据库组织管理等,对用户的需求重点、历史情况、行业特点及投资预算都需有一个完整的了解,并将这些信息有机地体现
10、在系统集成方案中。产品功能集成在应用集成的基础上,为保证用户的应用在有限资金预算内得以顺利实现,系统集成商需给出一个完整的软硬件产品清单,从型号、功能、价格到选择理由都需有清楚的说明,并且最好是有过使用该类产品的实际经验。系统集成商会有很多的选择,但不管如何配置,必须遵循两条原则,下限是用户的需求完全满足,上限是在有限的资金预算内。在这个范围内系统集成商之间就设备及价格的竞争才是有意义的。技术集成一张设备采购清单不等于系统集成。对用户的需求及设备的技术支持,是技术集成。一个系统集成商真正的技术也就是技术集成。用户最终需要的不是看设备的陈列,而是看系统的良好运转。因此,一个好的系统集成商应该能向
11、用户提供全面的应用集成、产品功能集成及技术集成服务。Page 9LOGO1.1.4 网络结构规划与设计相关实践知识1、局域网设计以太网技术是目前局域网设计的主要选择。当然在一些特殊场合还可能用到FDDI、ATM或者几种技术的混合应用。网络技术的发展比较迅速,所以,在进行局域网设计时要注重以后网络升级时还能够使用现有的网络技术和产品,否则将会带来极大的资金浪费。以太网技术就实现了技术的平滑升级。目前使用的有10Mb/s、100 Mb/s、1Gb/s、10Gb/s的以太网4种。一般来说,目前连接桌面的网络大多是100 Mb/s以太网,关键是网络主干的选择,应根据用户的计算机及网络的应用水平、业务需
12、求、技术条件和费用预算等,选择合理的以太网技术,目前校园网络的主干技术大多已选择10Gb/s以太网技术,从而形成10Gb/s-1Gb/s-100Mb/s的分层网络结构。Page 10LOGO2、网络的层次化结构设计大型网络的设计是把整个计算机网络划分为核心层、汇聚层、接入层。图1 网络层次划分Page 11LOGO接入层:通常将网络中直接面向用户连接或访问网络的部分称为接入层。接入层目的是允许终端用户连接到网络,提供了带宽共享、交换带宽、MAC层过滤和网段划分等功能。同时优先级设定和带宽交换、接入控制等优化网络资源的设置也在接入层完成。汇聚层:位于接入层和核心层之间的部分称为分布层或汇聚层。汇
13、聚层网络组件完成了数据包处理、过滤、寻址、策略增强和其他数据处理的任务。核心层:网络主干部分称为核心层。核心层的主要目的在于通过高速转发通信,提供可靠的骨干传输结构,因此核心层交换机应拥有更高的可靠性,更快速率的链路连接技术,并且能快速适应网络的变化。Page 12LOGO3、地址分配设计在网络规划中,IP地址方案的设计至关重要,好的IP地址方案不仅可以减少网络负荷,还能为以后的网络扩展打下良好的基础。具体内容我们在“网络IP地址规划与分配”中有详细介绍。(1)IP地址分配和管理应遵循的原则 唯一性 可记录性 可聚集性 节约性 公平性 可扩展性(2)IP地址的划分方法 根据地理范围进行划分,为
14、在地理上属于同一范围的所有子网分配共同的网络前缀。根据组织范围进行划分,为属于同一组织的所有团体分配共同的网络前缀。根据服务类型进行划分,为预定义好的服务(如:VoIP,QoS等)分配特定的网络前缀。Page 13LOGO4、网络性能设计网络性能设计的目标是使网络系统能够满足用户应用对网络各个方面的需求。为了避免网络建成后可能出现的各种性能问题,网络的可靠性和冗余在设计中都要考虑周到。冗余设计有以下几种方法:(1)增加线路、设备、部件,形成备份硬件容错方法之一是硬件堆积冗余,在物理级可通过元件的重复而获得。另一个硬件容错的方法叫待命储备冗余。该系统中共有M1个模块,其中只有一块处于工作状态,其
15、余M块都处于待命接替状态。一旦工作模块出了故障,立刻切换到一个待命模块,当换上的储备模块发生故障时,又切换到另一储备模块,直到资源枯竭。(2)数据备份为了更有效地利用信息,通常把常用的信息放在联机的硬盘或磁盘阵列等设备上,组成联机的资料库,把不常用的、但有时又要检索的信息,放在联机的后备设备如磁带库、光盘库上。而大量的长时间不使用的信息,则保存在脱机介质上脱机备份。(3)双机容错系统系统的容错结构能够提供系统连续运行的能力,任何单点故障不会引起系统停机。双机容错系统的一个CPU板出现故障时,其他CPU板保持继续运行,这个过程对用户是透明的,系统没有受到丝毫影响,更不会引起交易的丢失,充分保证数
16、据的一致性和完整性。(4)三机表决系统在三机表决系统中,3台主机同时运行,由表决器根据3台机器的运行结果进行表决,有两个以上的机器运行结果相同,则认定该结果为正确。现在三机系统中较多采用的是将双机备份和三机表决两者结合起来的方式,当三机中坏掉一台后就当作双机备份系统来用。(5)集群系统均衡负载的双机或多机系统就是集群系统(Clusting)。多服务器集群系统的主要目的是使用户的应用获得更高的速度、更好的平衡和通信能力,而不仅仅是数据可靠性很好的备份系统。Page 14LOGO5、网络安全设计网络安全设计主要体现在4个方面:重要信息的保密性设计、网络系统的安全性设计、数据安全设计、病毒防护设计。
17、图2 计算机群集管理系统 Page 15LOGO 信息保密设计在网络操作系统或防火墙中建立网络CA系统,构建基于PKI的鉴别及证书系统,为应用安全系统提供鉴别和证书及密钥分发等基本安全服务,设置口令加密传输和对重要数据进行链路层数据加密措施。在服务器设置监测和自动恢复功能,并建立审计记录,提供针对用户网络操作的监视和统计,对用户身份和活动进行审计,对信息资源的访问进行控制及计费等。在网络交换及路由设备中设置三层交换协议,即路由功能,对不同网络区域的用户和不同网段的用户进行身份和权限设置,对信息资源的访问进行级别控制。网络系统的安全设计要解决外部网的用户对系统的威胁,内部网用户对系统的泄密等问题
18、。可以进行如下安全设计:安全策略的制定、实施及修改抵御非法用户对局域网的攻击控制内部用户对外部的访问对网络传输的信息内容的检查软硬件防火墙的设置远程用户帐号和数据加密传输,以防外人窃取 数据安全设计网络控制中心服务器的性能好坏直接关系到网络信息访问速度及数据文件的安全。对数据安全部分采用双机热备份、磁盘冗余阵列(RAID)、磁带机备份等多种手段,确保数据的安全。双机热备份可采用双机双控的服务器集群技术,保障操作系统及数据系统平台的高可靠性、高安全性、高可用性、抗灾难性。病毒防护设计为了防止病毒对系统安全的威胁,选用性能优越的网络版杀毒软件负责内部网络系统服务器及单机的病毒防护、查杀工作。同时利
19、用防火墙的设置对病毒的入侵进行有效的防范。Page 16LOGO6、网络操作系统的选择在选择网络操作系统需要较为严格的安全保密等。下面给出几种网络操时,首先要分析系统未来运行的应用程序:是简单短小的,还是庞大复杂的;系统是否作系统的特点:Banyan System公司的VINES(Virtual NetWorking Systems)美国Banyan System公司的产品,其特点是安装及管理简单,可靠性高。支持对称多处理技术,充分利用硬件处理能力,速度快。对于一台服务器上的并发用户和打开文件的数目没有限制,支持多服务器,与WAN具有极强的联网能力。VINES的技术特色已得到广大用户的认可,但
20、还存在一定的局限性:多种平台的可移植性差、容错能力不足、与其他PC操作系统的集成能力较低、所占市场份额较小。Microsoft的Windows Server 2019/2019Windows Server 2019/2019的特点是:硬件的独立性较强,网络操作系统能在不同的硬件平台上运行;具有强大的管理特性,如系统备份、容错性能控制等。Windows Server 2019/2019是一个高性能的客户/服务器应用平台,支持多种网络协议,具有Cz级安全性,具有目录服务功能;通过域(domain)的概念来对用户资源进行控制,并提供简单的方法来控制用户对网络的访问;具有良好的用户界面,支持多窗口操作
21、;具有自动再连接特性,即当服务器从故障中恢复正常时,能重新建立与工作站的通信。Windows Server 2019/2019对硬件的要求较高,所占的内存较大。Page 17LOGO Novell公司的NetWareNetWare是一个真正的网络操作系统,而不是其他操作系统下的应用程序。它直接对微处理器编程,因而伴随着最新的微处理器一起发展,充分利用微处理器的高性能,从而达到高效的服务。NetWare的特点是支持各种硬件,支持多种网络平台的互联,如DOS、OS/2、Windows、Macintosh等具有广泛的网络互联性能。Novell提供内桥、外桥、远程桥等多种互联选件,从而将具有相同或不同
22、的网络接口卡、不同协议和不同拓扑结构的网络连接起来。另外还具有出色的容错特性,NetWare提供一、二、三级容错。整体系统的保密、安全性好。NetWare 4.0以后的版本提供的目录服务,将更好地支持多服务器网络,实现单一的全局的系统管理。UNIXUNIX是一个多用户、多任务的操作系统。UNIX已发展为两个重要的分支,一分支是AT&T公司的UNIX System V,在微机上主要采用该版本;另一分支是UNIX伯克利版本(BSD),主要运行于大、中型机上。UNIX操作系统可以运行在从PC到超级计算机的非常广泛的服务器平台上,并支持网络文件系统(NFS)和提供数据库应用。局域网操作系统能够运行在U
23、NIX环境的服务器上,许多基于UNIX系统的计算机厂家拥有功能强大、升级方便的服务器系列,随着UNIX厂家的联合,将使UNIX网络服务器平台在今后的市场上更加引人注目。Page 18LOGO1.2 网络网络IP地址规划与分配地址规划与分配1.2.1 教学目标教学目标通过本项目的学习,掌握网络设备配置时IP地址方案的规划、分析与制定。1.2.2 工作任务工作任务某大学IP管理规划案例一个大型网络的IP地址管理结构设计要充分考虑,否则很容易引起整个网络地址重新设计和部署。这不仅会引起长时间的停机,而且还会在重新编址阶段引起不稳定,这会花掉很多的人力和财力。使用子网划分技术,大部分网络能够获得较好的
24、地址规划。但在大型网络中,由于网络的数量与主机的数量比例不平衡,这里就需要可变长的子网掩码(VLSM)技术作为规划的依据。Page 19LOGO1、网络规划需求某职业院校的网络ID为 180.29.0.0/16,此次IP规划分配任务首先需要保留一半的地址空间供将来使用。另外,学校共有15个分学院,每个学院可能包含2 000台主机和不同用途的服务器,为此需要将网络再划分出为子网。当然,不能规范每个学院的分配方案,因此,需要为其中一所学院创建8个可拥有250个主机的子网,其他学院可参照这个模板执行。Page 20LOGO2、VLSM技术分析严格按照TCP/IP中的A、B、C、D定义给 IP 地址分
25、类的环境下,全0和全1网段都不让使用,这种环境叫做基于类的IP。在这种环境下,子网掩码只在所定义的路由器内有效,掩码信息无法传递到其他路由器。如RIP v1版本,它在做路由广播时根本不带掩码信息,收到路由广播的路由器因为无从知道这个网络的掩码,只好照标准TCP/IP的定义赋予它一个掩码。子网划分的原始用途之一是将基于类的网络细分为一系列同等大小的子网。例如,对B类网络进行4位子网划分后,会生成16个同等大小的子网。基于类的网络或无类别的网络中可以存在不同大小的子网,这一规则正好适合现实世界中的环境。因为在现实网络中包含的主机数量不同,所以需要使用不同大小的子网来避免IPv4地址浪费的现象。从I
26、Pv4网络创建和部署不同大小子网的做法叫做可变长度子网划分,这种技术使用可变前缀长度,又叫做可变长度子网掩码(Variable Length Subnet Mask,VLSM)。Page 21LOGO3、任务实施假定你是该学校的网络管理员,网络ID为 180.29.0.0/16,任务如下。保留地址:需要保留一半的地址空间供将来使用。分配各个学院地址:有15个子网供各个学院使用,每个学院可能包含2 000台主机和不同用途的服务器。创建IP地址模板:为其中一所学院创建8个可拥有250个主机的子网,其他学院可参照执行。保留地址任务为了达到保留一半地址空间供将来使用这一要求,应当对网络 180.29.
27、0.0进行1位的子网划分。这种子网划分生成了2个子网180.29.0.0/17和180.29.128.0/17,将地址空间平均分成了两部分。可以选择180.29.0.0/17作为保留的那一部分地址空间的网络,从而满足上述要求。Page 22LOGO 各学院地址分配为了达到拥有15个子网,每个子网有大约2 000个主机这一要求,对子网网络 180.29.128.0/17执行4位子网划分,地址前缀变为21。第2次子网网划分生成了16个子网。180.29.128.0/21、180.29.136.0/21180.29.240.0/21 和180.29.248.0/21,每个子网可拥有多达2046个主机
28、。可以选择15个子网(从180.29.128.0/21180.29.240.0/21)作为分院校的子网,从而完成了第二个任务。表2列出了这 15 个子网网络地址,其中每个子网可拥有多达2046个主机。Page 23LOGO 创建地址分配模板为达到创建8个可拥有250个主机的子网模板要求,需要对子网180.29.248.0/21进行3位的子网划分。第3次子网划分会生成8个子网。180.29.248.0/24、180.29.249.0/24180.29.254.0/24 和 180.29.255.0/24,每个子网可拥有254个主机。可以选择所有8个子网,从180.29.248.0/24180.2
29、9.255.0/24,作为网络地址分配给单个子网,从而完成整个任务。表3列出了8个子网,其中每个子网可拥有254个主机。当然,每个学院的内部还有可能对250台主机再次进行可变长子网掩码的操作,如划分VLAN等。此次IP规划任务完成情况可以根据图3看到这次子网划分的流程图。图3 子网划分流程图 Page 24LOGO1.2.3 相关知识在IP地址规划中有些IP地址是不能被配置到网络设备接口使用的,这些IP地址是网络地址和广播地址。另外,这家公司属于典型的小型网络,机器数量一般在50台以下,我们需要根据网络的规模考虑IP地址的分配与管理。Page 25LOGO1、确定合法地址网络中第一个不能使用的
30、地址就是网络地址。网络地址用于表示网络本身,主机位部分为全“0”的IP地址代表一个特定的网络。网络地址对于网络通信数据量的控制非常重要,位于同一网络中的主机必然具有相同的网络号,它们之间可以直接相互通信。而网络号不同的主机之间则不能直接进行通信,必须经过第3 层网络设备(如路由器)进行转发。Page 26LOGO如图4的示例,上半部分的框架中表示网络198.150.11.0。从局域网外部看,任何发往该网络主机198.150.11.1198.150.11.254的数据,目的网络都是198.150.11.0,只有数据到达上半部分的框架(局域网)时,才能进行主机位的匹配。下半部分的网络编号用198.
31、150.12.0表示,数据进行比对的情况也是相同。网络中第二个不能使用的地址是广播地址(Broadcast Address)。它用于向网络中的所有设备广播分组,具有正常的网络号部分,主机号部分为全“1”的IP 地址代表一个在指定网络中的广播,被称为广播地址。广播地址对于网络通信同样重要。在计算机网络通信中,经常会出现对某一指定网络中的所有机器发送数据的情形,如果没有广播地址,源主机就要对所有目的主机启动多次IP 分组的封装与发送过程。图4 网络地址的与寻址Page 27LOGO除了网络标识地址和广播地址之外,其他一些包含全“0”和全“1”的地址格式也是保留地址。图5中标明了这些特殊地址的用途。
32、图5 特殊的保留地址Page 28LOGO2、选择专用IP地址Internet的稳定直接取决于网络地址的唯一性。这个工作最初由InterNIC(Internet网络信息中心)来分配IP 地址,现在已被IANA(Internet 地址分配中心)取代。IANA管理着剩余IP 地址的分配,以确保不会发生公用地址重复使用的问题。公用IP地址公用IP地址在Internet上是唯一的,因为公用IP 地址是全局的和标准的,所以没有任何两台连到公共网络的主机拥有相同的IP 地址。所有连接Internet 的主机都遵循此规则,公用IP 地址是从Internet 服务供应商(ISP)或地址注册处获得的。如果需要到
33、Internet的直接(路由)连接,则必须使用公用地址;如果需要到Internet的间接(代理或转换)连接,则可以使用公用地址或专用地址。Page 29LOGO 私有IP地址随着Internet的发展,各个连接到Internet的组织需要为每台设备的每个接口获取一个公用地址。每个网络接口都需要有一个公有IP地址是不可能的,至少在IPv4版本中。这一需求对公用地址池提出了很高的要求,A、B、C类地址的总数满足不了全世界所有网络设备的标识。Internet设计者注意到了这个问题,所以保留了IPv4地址空间的一部分供内部地址使用。IANA提供了一个为专用网际网络保留网络ID地址的方案,以下这些网络I
34、D是内部网络中可任意部署的:10.0.0.0网络地址池,子网掩码为 255.0.0.0。172.16.0.0网络地址池,子网掩码为 255.240.0.0。192.168.0.0网络地址池,子网掩码为 255.255.0.0。Page 30LOGO3、地址转换技术有一种情况需要特别注意,如果公司网络没有以任何方式连接到Internet,则可以使用任何IP地址。但如果这家公司网络需要连接到Internet,所以应当使用公用地址或地址转换技术,以防止非法IP地址暴露在公网之上使得使用私有IP 的计算机也可以接入Internet。为了让使用私有IP地址的计算机能够访问 Internet,必须使用网络
35、地址转换(NAT)和路由。NAT使您能够把使用专用IP地址的客户端计算机连接到使用公共IP地址的Internet。这需要有两个接口来隔离本地网络和Internet网络。这两个接口是必需的,因为两个网络之间的请求必须通过路由器服务或设备进行传送。当路由器接收到请求时,它在两个接口之间转发这些请求。NAT服务帮助从源网络到目标网络,把IP地址转换成正确的地址。Page 31LOGO4、IP地址配置方法 手工分配手工设置的IP地址为静态IP地址,在没有重新配置之前,计算机将一直拥有该IP地址。因此,既可以据此访问网络内的某台计算机,也可以据此判断计算机是否已经开机并接入网络。不过,默认网关必须是计算
36、机所在的网段中的IP地址,而不能填写其他网段中的IP地址。自动分配动态主机配置协议(Dynamic Host configuration Protocol,DHCP)提供了自动的TCP/IP配置。DHCP服务器为其客户端提供IP地址、子网掩码和默认网关地址等各种配置。网络中的计算机可以通过DHCP服务器自动获取IP地址信息。DHCP服务器维护着一个容纳有许多IP地址的地址池,并根据计算机的请求而出租。DHCP是Windows默认采用的地址分配方式。Page 32LOGO5、确定IP规划方案在局域网内部的IP地址分配中,小型网络可以选择192.168.0.0私有地址段,大中型企业由于网络设备众多
37、,有的可以达到上万台,那么则可以选择172.16.0.0或10.0.0.0地址段。有些企业刚刚起步,所以在连接Internet的网络带宽不是很大,而且也没有太多的网络业务往来。因此,可购买一个价格比较低廉的路由器,使用NAT技术将所有客户端共享上网,隐藏内部网络的结构,实现比较简单的安全防火墙作用。IP地址配置要分别对待,文件服务器需要手工配置,这样所有用户都可以随时访问到这个静态IP地址,而其他客户端采用路由器上的DHCP功能,自动获得IP。Page 33LOGO1.3 网络规划与设计实训项目网络规划与设计实训项目1.3.1 校园网校园网1、用户需求分析、用户需求分析校园网的建设目的是给老师
38、和学生提供相应的网络服务。在公共区域,比如教学楼、宿舍楼等位置为老师和学生提供上网服务。而且在校园网上为学生提供FTP,邮件服务及资讯Web服务;还要方便老师和学生进行学习方面的交流,分享学习资料,老师为学生布置作业,学生上传作业,增加学生的课余时间娱乐方式等。在网络搭建的过程中需要对网络进行VLAN的划分,从而减小广播风暴的影响,保证教室、办公室的网络安全性。为方便IP地址配置,在整个网络中实现IP的自动分配等基本功能。一个基本的校园网具有以下的特点:高速的局域网连接;信息结构多样化;安全可靠;经济实用。校园内各建筑互连形成园区主干;各建筑物内再扩展面向用户的局域网。园区主干连接为1000M
39、bps,建筑物内部的用户局域网提供到桌面的100Mbps网络带宽。Page 34LOGO校园网应以宽带IP网为目标,具有数据、语音、图形、图像等多种信息媒体传递功能,具备性能优越的资源共享功能。校园网主干传输带宽应达到1000Mbps要求,楼宇之间千兆连接。建设校园网的同时必须考虑网络安全、资源共享和带宽的要求。校园网建设的具体需求:(1)学院采用1000Mbps做骨干,100Mbps到桌面。(2)校园网内具有WWW服务器、FTP服务器、DNS服务器,用于提供一些培训中常用的资料下载,网络管理等。(3)校园网采用路由器+防火墙结构进行接入,网络互联设备包括交换机、路由器、线缆、及其他设置。其中
40、防火墙是路由器的内置防火墙。(4)所有教室各自划分VLAN,各系办公室各自划分VLAN,行政办公室为一个VLAN,各宿舍为一个VLAN,服务器组为一个VLAN。(5)做好路由器与防火墙之间的安全通信工作,防止搭线窃听,IP盗用。(6)选择客户机TCP/IP配置的最佳方案,以最大限度的减少IP地址的冲突和管理员的工作量,采用B类私有IP地址进行局域网内部IP地址分配。Page 35LOGO2、拓扑结构设计校园网的拓扑结构基本上是混合型的,它是由星型、总线型等典型拓扑结构组成,在现代网络结构化布线工程中多采用星型结构,主要用于同一楼层,由各个房间的计算机间用者交换机连接产生的,它具有施工简单,扩展
41、性高,成本低和可管理性好等优点;而校园网在分层布线主要采用树型结构;每个房间的计算机连接到本层的交换机,然后每层的交换机在连接到本楼出口的交换机或路由器,各个楼的交换机或路由器再连接到校园网的通信网中,由此构成了校园网的拓扑结构。目前的校园网大多数是纯三层的交换网络。由于交换机都具有三层功能,汇聚层一般已经可以与接入层归纳为一个层次。各楼层和各楼之间的交换设备都直接上连到核心设备上。校园网简明拓扑图如下所示。其中校园局域网以三层交换机为交换核心,即网络中心,下设二层交换机若干,如图中所示两台交换机进行模拟,形成汇聚层。汇聚层交换机用作模拟校园中各个楼宇的网络节点,在同一个楼宇,如教学楼、学生宿
42、舍楼中依据需求划分VLAN,隔离网络风暴,提升网络安全性和效率。Page 36LOGO n 图6 校园网简明拓扑图Page 37LOGO3、IP地址方案IP地址规划如下表所示:Page 38LOGO4、设备选型设备选型如下表所示:Page 39LOGOPage 40LOGO1.3.2 企业网企业网1、用户需求分析、用户需求分析某企业现有300个点,需要建设一个网络以实现该企业内部的相互通信和与外部的联系,通过该网络提高企业的发展和企业内部办公的信息化、办公自动化。该企业有15个部门,则需要让这15个部门能够通过该网络访问互联网,并能实现部门之间信息化的合作。所以该网络的必须体现办公的方便性、迅
43、速性、高效性、可靠性、科技性、资源共享、相互通信、信息发布及查询等功能,以作为支持企业内部办公自动化、供应链管理以及各应用系统运行的基础设施。该网络是一个单核心的网络结构,采用典型的三层结构,核心、汇聚、接入。各部门独立成区域,防止个别区域发生问题,影响整个网的稳定运行,若某汇聚交换机发生问题只会影响到某几个部门,该网络使用vlan进行隔离,方便员工调换部门。核心交换机连接三台汇聚交换机对所有数据进行接收并分流,所以该设备必须是高质量、功能具全,责任重大,通过高速转发通信,提高优化的,可靠的传输结构。核心层应该尽快地交换分组。该设备不承担访问列表检查、数据加密、地址翻译或者其他影响的最快速率分
44、组的任务。汇聚层交换机位于接入层和核心层之间,该网络有三台汇聚层交换机分担15个部门,能帮助定义和分离核心。该层的设备主要目的是提供一个边界的定义,以在其内进行分组处理。该层将网络分段为多个广播域。该问控制列表可以实施策略并过滤分组。汇聚层将网络问题限制在发生问题的工作组内,防止这些问题影响到核心层。该层的交换机运行在第二层和第三层上。接入层为网络提供通信,并且实现网络入口控制。最终用户通过接入层访问网络的。作为网络的“前门”,接入层交换机使用访问列表以阻止非授权的用户进入网络。Page 41LOGO2、拓扑结构设计企业网络拓扑结构图如下:图 7 企业网络拓扑结构Page 42LOGO1.3.
45、3 政府上网1、用户需求分析某政府机关总部在市中心某区域,分部在另一区域,分部和总部之间一条线路连接,在总部和分部间运行OSPF。在使用网络过程中经常出现由于线路故障导致网络中断的情况,为了实现分部与总部之间的高可用性,所以希望在分部的网络中通过配置VRRP,实现通过两条线连接到总公司,两条线路互为备份。设计要求:建立总部和分部之间网络高效稳定。链路可实现遇到故障自动切换。具有完善的网络安全机制。Page 43LOGO2、拓扑结构设计拓扑结构如下图所示 图8 政府上网拓扑图Page 44LOGO3、IP地址方案Page 45LOGO4、设备选型路由器宽带路由器:锐捷网络RG-NBR3000传输
46、速率:10/100/1000Mbps 端口结构:非模块化 广域网接口:3个 局域网接口:5个 防火墙:内置防火墙 网络安全:彻底ARP防攻击防机器狗病毒防内网攻击/外网攻击支持安全地址绑定网络管理:中文WEB配置管理和监控支持SNMPv1/v2、CLI、TFTP升级和配置文件管理Page 46LOGO交换机三层智能交换机:锐捷网络RG-S2928G-E传输速率:10/100/1000Mbps 端口数量:28个 背板带宽:208Gbps VLAN:支持4K个802.1Q VLAN网络管理:SNMPv1/v2C/v3 CLI 包转发率:51Mpps 端口结构:非模块化 交换方式:存储-转发 QOS
47、:支持端口流量识别 安全管理:支持IP、MAC、端口 端口描述:24个10/100/1000M自 控制端口:1个USB接口Page 47LOGO1.3.5 无线局域网无线局域网1、用户需求分析、用户需求分析 尽管拥有台式机和笔记本电脑的学生越来越多,但是学生宿舍往往只提供2个信息点,当宿舍内的计算机数量越来愈多时,如果重新实施布线,不仅花费较多,而且连接非常不方便。特别对笔记本电脑,学生要频繁出入教室、图书馆和宿舍,不断插拔网线,非常麻烦,还容易造成网卡接口的损坏。所以,在学生宿舍网实现无线补充就成为最便捷、最节约、最可行的方式。Page 48LOGO2、拓扑结构设计学生宿舍网的拓扑图如下所示
48、:图9 学生宿舍网 Page 49LOGO3、IP地址方案 无线网络控制器服务接口IP地址:192.168.1.1管理地址:10.1.128.101 255.255.255.0管理接口DHCP服务器地址:10.1.32.1AP Manager 地址:10.1.128.103无线AP地址从DHCP服务器获取 Page 50LOGO4、设备选型无线AP室内AP:无线AP必须选择同一厂商、同一标准、同一型号的产品。(不同区域的无线漫游可以选择不同的标准和型号)Aironet 1000系列1130AG 室外AP:Aironet 1240AG无线网络控制器Cisco4400系列的无线局域网控制器适用于大
49、中型机构4402型号:两个千兆位以太网端口,其配置可支持12、25和50个接入点一个扩展插槽支持一个可冗余电源 Page 51LOGO1.4 网络规划与设计项目练习某公司要进行企业网络改造,根据下面介绍的情况,给出网络改造的规划与设计方案。网络情况如下:旧厂网络现状:旧厂核心交换机为 Cisco 4006-S3 三层路由交换机。Cisco 4006-S3 交换机上配置 1 块 WS-X4306-GB 用于连接 Cisco2950 接入交换机;配置 1 块WS-X4232-GB-RJ 模块和 1 块 WS-X4148-RJ 模块用于网络中心及本楼层信息点的接入。Cisco2950 接入交换机通过
50、单路光纤链路与核心 Cisco 4006-S3 交换机进行连接。在用的网络为单星型网络结构。原网络配置 1 台 Cisco 3640 路由器作为广域网接入连接设备。Cisco 3640 上配置了 1 块NM-1FE1W-V2 和 1 块 NM-2FE2W-V2 模块用于各专线的接入。一个仓库与旧厂间采用 HDSL DDN 长途专线进行连接;旧厂与单位所在系统专网间采用光纤+LAN 方式进行连接,通讯采用 EIGRP 动态路由协议。Page 52LOGO新厂网络架构:新厂区是一个全新的在建的园区,包括新的综合办公楼、联合工房和厂房辅区。新的网络中心将定位于综合办公楼 4 层。为了保证生产的顺利进