第一篇:網絡規劃方案
XXXX工程 網絡規劃方案
XXXX公司 XXXX年XX月
目錄
第一章 項目概述 3 第二章 技術介紹 4 第三章 原有網絡改造建議 5 3.1 原有網絡拓撲結構 5 3.2 原有網絡分析 5 第四章 解決方案 6 4.1 新建網絡拓撲結構 6 4.2 新建網絡分析 6 4.3 設備命名規則 6 4.4 接口描述規則 6 4.5 IP地址規劃 7 4.5.1設備管理地址(Loopback地址)4.5.2 互聯接口地址 7 4.5.3用戶地址 8 4.6 VLAN規劃 8 4.7 路由協議規劃 8 4.7.1 靜態路由 8 4.7.2 OSPF協議規劃 9 Router id 9 區域的規劃 9 cost值的規劃 9 OSPF中需要引入的路由 9 4.7.2 ISIS協議規劃 9 NET 9 網絡層次的規劃 10 Metric值的規劃 10 ISIS中需要引入的路由 10 4.7.3 BGP規劃 10 自治系統的規劃 11 反射器的規劃 11 BGP屬性規劃 11 路由策略的規劃 12 4.8 MPLS-VPN規劃 12 4.9 Qos的規劃 13 4.10 NTP的規劃 13 4.12 網絡管理 14 4.13 網絡安全 14 4.13.1 網絡安全概述 14 4.13.1 本期工程安全建議 15 第五章 配置舉例 16
第一章 項目概述
主要描述整個項目的背景,通過項目的建設所要達到的目標。可以從市場的文檔中摘取。要求,寫明項目的背景,工程結束后,整個網絡所要達到的要求,對于工程的要求,項目中所使用的設備。
第二章 技術介紹
主要是整個項目中應用的一些技術原理的介紹,主要介紹項目中使用的新技術或關鍵技術。介紹清楚技術的原理即可,篇幅不用太長,不用介紹項目中使用的所有技術,只用選關鍵的重要的技術進行介紹即可。如果項目中沒有值得介紹的技術,該章可以省去。
第三章 原有網絡改造建議
3.1 原有網絡拓撲結構
如果涉及到網絡整改,畫出原有網絡的拓撲結構。如果只是新建網絡,該部分可以省去。
3.2 原有網絡分析
分析原有網絡的數據流向以及網絡結構,路由協議運行情況,指出原有網絡存在的不足,提出改進建議。如果不涉及網絡改造,該部分可以省去。
第四章 解決方案
4.1 新建網絡拓撲結構
畫出新建網絡的拓撲結構。
4.2 新建網絡分析
分析新建網絡的網絡結構和數據流向。指出新建網絡可以達到的功能(如:負載分擔,路由備份等)。
4.3 設備命名規則
為了標識網絡設備、便于管理網絡設備,應該為網絡中每一臺設備賦予名稱標識,設備命名的基本原則為:
1、能表示出網絡設備的類型
2、能表示出網絡設備的物理位置
3、能表示出網絡設備所屬的網絡層次
4、相同物理位置和網絡層次的網絡設備由不同序號區分
5、能反映出該設備的業務屬性和網元功能
本次工程的設備命名規范如下:
對設備的hostname命名進行統一的規劃,如客戶有自己的命名規范,應和客戶協商確定;如客戶沒有自己的命名規范,按照公司軟件質量檢查標準進行設置
舉例說明: 舉例說明設備命名
4.4 接口描述規則
為了標識設備端口,便于后期維護,應為沒一個接口設置接口描述,接口描述的基本規則為:
1、能表示出端口的對端網元設備
2、能表示出端口的類型
3、能反映出對端端口所在板卡的物理槽位
本次工程的接口描述規范如下:
對設備接口的description進行統一的規劃,如客戶有自己的命名規范,應和客戶協商確定;如客戶沒有自己的命名規范,按照公司軟件質量檢查標準進行設置
舉例說明: 舉例說明接口描述
4.5 IP地址規劃
IP地址規劃的結果直接影響到網絡運行的質量,以下是幾點IP地址規劃的基本原則:
唯一性:
一個IP網絡中不能有兩個主機采用相同的IP地址。即使使用了支持地址重疊的MPLS/VPN技術,也盡量不要規劃為相同的地址。連續性:
連續地址在層次結構網絡中易于進行路徑疊合,大大縮減路由表,提高路由算法的效率。擴展性:
地址分配在每一層次上都要留有余量,在網絡規模擴展時能保證地址疊合所需的連續性。實意性:
“望址生義”,好的IP地址規劃使每個地址具有實際含義,看到一個地址就可以大至判斷出該地址所屬的設備。這是IP地址規劃中最具技巧型和藝術性的部分。最完美的方式是得出一個IP地址公式,以及一些參數及系數,通過計算得出每一個需要用到的IP地址。
對于IP地址的規劃,一般可以分為以下幾個部分:Loopback地址、設備互聯地址、用戶地址,下面就對這幾個部分進行詳細設計。
對ip地址進行統一的規劃,具體規劃可以分為以下幾個部分(根據情況不同,可以進行增減)
4.5.1設備管理地址(Loopback地址)
對設備的管理地址進行統一的規劃,列出所有設備的管理地址。Loopback地址盡量采用單獨的一段連續地址,便于維護,掩碼使用32位
4.5.2 互聯接口地址
對于設備間的接口地址進行統一的規劃,列出所有設備之間的互連地址。互聯地址也盡量采用一段連續地址,便于維護,掩碼使用30位
4.5.3用戶地址
對最終用戶使用地址進行統一的規劃,需要給出不同的用戶所使用的網段的詳細列表。
4.6 VLAN規劃
對于涉及到交換機需要劃分vlan的,對vlan的劃分規則進行統一的規劃,盡量將VLAN段和具體業務相關聯
4.7 路由協議規劃
路由規劃時有一些基本原則,見下:
最短距離:盡量使得IGP最短路徑是傳輸最短距離,因為在 骨干網中,端到端時延主要來自于傳輸時延。進一步,備份路徑應盡量通過次短的傳輸距離,以減少主備切換帶來的時延抖動
快速收斂:快速發現故障并作出響應,使得系統從故障中盡快恢復,避免路由黑洞和路由循環
路由可控、可預測,采用清晰、明確、簡單的路由策略,擯棄過于復雜和精細的設計,避免給運營部署帶來的困難
提高穩定性,正確判斷網絡故障,避免頻繁的路由計算和刷新
負載分擔,提高網絡資源利用率和系統可靠性
路由協議的規劃從IGP、EGP兩個方面來進行設計。
對網絡中使用的路由協議進行規劃,說明在整個網絡中所要使用的路由協議,以及各個路由協議如何使用。
4.7.1 靜態路由
對靜態路由進行規劃,說明在網絡中的什么地方要使用靜態路由,配置哪些靜態路由。
4.7.2 OSPF協議規劃
對OSPF路由協議進行規劃,其中包括在什么設備上運行OSPF路由協議,一共使用了哪幾個區域,各個鏈路的COST值定為多少,要向OSPF協議中引入哪些路由等等。如果不使用OSPF協議,此節略去。
Router id 確定OSPF路由器的Router id,一般采用設備的Loopback地址。
區域的規劃
標出使用幾個區域,每個區域都包括哪些路由器。需要考慮區域的可擴展性,如首先使用Area0,另外需要劃分分支區域時,可以考慮將地域位置做為劃分參考。在規劃區域時,可以同時考慮區域的特性,如屬于stub區域、NSSA區域等等
cost值的規劃
規劃各條鏈路的花費值,以保證整個路由的選擇能夠按照預先設想的進行。可以采用兩種方式確定:一是根據鏈路帶寬,選擇一個參考帶寬,然后和實際帶寬進行比較得出得值確定;另外一個根據設計得流量模型直接指定Cost值,明確路由走向
OSPF中需要引入的路由
規劃出都有哪些路由需要引入OSPF協議中。在引入路由的時候,需要采用什么樣的控制訪問列表。
4.7.2 ISIS協議規劃
對ISIS路由協議進行規劃,其中包括在什么設備上運行ISIS路由協議,該設備屬于哪個Level,各個鏈路的Metric值定為多少,要向ISIS協議中引入哪些路由等等。如果不使用ISIS協議,此節略去。
NET ISIS協議中的NET值,相當于OSPF中的Router id的概念,它是由NSAP通過設置NSEL字段為0轉化而來的,用來標識一臺運行ISIS的路由設備。其組成結構如下圖所示:
AFI:可以官方申請,或者使用私有的49,這個值在目前的IP網絡中只起到標識的作用
AREA ID:預先統一規劃的區域號,對于骨干網來說,可以采用當地的電話號碼區號,也可以使用本系統AS號,建議采用電話號碼區號,便于記憶維護
System ID:某臺設備在一個區域中的標識,在一個區域中保持唯一性,通常的使用MAC地址或者IP地址做為設備的System ID,建議采用設備的Loopback接口地址,便 于維護和習慣記憶
通過Loopback地址具體演化為SystemID的舉例如下:
某點Loopback地址如下:10.0.0.1 ?
010.000.000.001 ?
0100.0000.0001 示例最后的NET值為:86.0010.0100.0000.0001.00
本次工程的NET規則如下 : 確定本次工程NET值設定規則,列出設備節點具體的NET值。
網絡層次的規劃
ISIS協議和OSPF協議一樣,同樣采用層次結構,ISIS協議的層次結構通過LEVEL1和LEVEL2兩個層次表示。LEVEL1區域比較特殊,類型于OSPF中的Stub區域,該類區域中只有該區域內路由,訪問區域外部采用缺省路由的方式,在組網使用時有一些限制。LEVEL2區域相當于OSPF中的骨干區域,規劃時需注意LEVEL2的連續性。根據具體組網環境及業務確定網絡層次的劃分,Metric值的規劃
規劃各條鏈路的花費值,以保證整個路由的選擇能夠按照預先設想的進行。可以采用兩種方式確定:一是根據鏈路帶寬,選擇一個參考帶寬,然后和實際帶寬進行比較得出得值確定;另外一個根據設計得流量模型直接指定Metric值,明確路由走向
ISIS中需要引入的路由
規劃出都有哪些路由需要引入ISIS協議中。在引入路由的時候,需要采用什么樣的控制訪問列表。
4.7.3 BGP規劃
對BGP協議進行一下規劃,包括在哪些路由器上運行BGP路由協議,網絡中存在哪些AS,是否使用路由反射器,聯盟等屬性。需要向BGP中注入哪些路由信息。
自治系統的規劃
網絡中使用幾個AS,各個AS的都包括哪些路由器,這些路由器之間的鄰居關系是什么樣的。可以使用的私有AS:64512-65535
反射器的規劃
在一個AS內部,IBGP鄰居必須是全連接的,由于IBGP鄰居通常數量較多,如果全連接會造成N平方問題,為了解決這個問題,可以網絡中使用RR(路由反射器)的形式解決。
1、盡量選取獨立的RR,保持RR的穩定性
2、如不能選取獨立RR,盡量選取核心位置路由器做為RR,且保證性能上能夠承受
3、盡量采用RR的冗余配置,即在一個cluster中配置兩臺RR,Client雙上行到兩個RR,實現出口備份
4、如果網絡規模較大,且層次結構呈現比較規則的兩層結構,可采用多級RR的形式實現
地點 Cluster-id RR路由器 Client路由器 備注
根據工程的組網結構和具體的設備類型,確定網絡采用幾級路由反射器,確定網絡中哪些路由器作為路由反射器,哪些設備作為它的客戶機。
BGP屬性規劃
BGP可以通過大量的屬性設置控制路由的選擇和走向,常用的屬性有LocalPre、MED、AS-Path、團體屬性。
對本次工程的流量模型進行描述,將流量模型與進行這些屬性的設置相對應,如相關屬性無涉及可將該段刪除。
LocalPref:
LocalPref是BGP的一個知名任選屬性,其可以用來確定AS的出口流量的走向,其值缺省為100,數值越大越優先,本次工程的LocalPref配置為:
LocalPref設定條件 LocalPref值
MED:
MED是BGP的一個可選非傳遞屬性,其只傳播到相鄰的AS,其可以用來確定AS的入口流量的走向,其值缺省為0,數值越小越優先,本次工程的MED配置為:
MED設定條件 MED值
AS-Path:
AS-Path屬性是BGP的必遵屬性,其為一個途經AS的列表,它主要作用為消除路由環路,但是其同時可以用來進行選路,即通過在AS-Path中附加AS號的方式改變AS-Path 的長度。
AS-Path設定條件 AS-Path附加值
團體屬性:
團體屬性可以對一組具有相同特征的路由進行標記,從而在路由選擇和控制的過程中做為依據。
團體屬性設定條件 團體屬性值
路由策略的規劃
指出需要將哪些路由引入BGP,使用什么方法引入,如何使用路由進行備份。
4.8 MPLS-VPN規劃
MPLS是多協議標簽交換協議的簡稱。采用MPLS VPN技術可以把物理上單一的IP網絡分解成邏輯上隔離的網絡,并且每個VPN單獨構成一個獨立的地址空間,即VPN之間可以重用地址,在分配地址時不必考慮是否會與其他的VPN發生沖突,只需要考慮在本VPN之內不沖突即可,這樣可以解決IP網絡地址不足的問題,也方便網絡的擴展和變更。
MPLS VPN的網絡構造由服務提供商來完成。在這種網絡構造中,由服務提供商向用戶提供VPN服務,用戶感覺不到公共網絡的存在,就好像擁有獨立的網絡資源一樣。
為了實現MPLS VPN功能,除了新建網絡之外,更多的需求是在已有的傳統IP網絡上實現MPLS VPN的功能。這樣,既保護了原有網絡投資,又適應了企業用戶的新的需求,實現業務的增值。MPLS VPN網絡中,有三種設備:CE、PE和P路由器,CE是用戶直接與服務提供商相連的邊緣設備,可以是路由器、交換機或者終端;PE是骨干網中的邊緣設備,它直接與用戶的CE相連;P 路由器是骨干網中不與CE直接相連的設備。P 路由器并也不知道有VPN的存在,僅僅負責骨干網內部的數據傳輸,但其必須能夠支持MPLS協議,并使能該協議;PE位于服務提供商網絡的邊緣,所有的VPN的構建、連接和管理工作都是在PE上進行的。
對網絡中使用的MPLS的參數進行規劃。包括哪些路由器運行MPLS協議,哪些設備做PE,哪些設備做CE,網絡中存在幾個VPN,這些VPN的互通需求有什么樣的。
4.9 Qos的規劃
IP QoS(Quality of Service)是指IP網絡的一種能力,即在跨越多種底層網絡技術(FR、ATM、Ethernet、SDH等)的IP網絡上,為特定的業務提供其所需要的服務。衡量IP QoS的技術指標包括:
1)帶寬/吞吐量指數據包在網絡的兩個節點之間傳送的平均往返時間; 3)抖動指在網絡傳輸過程中丟失報文的百分比,用來衡量網絡正確轉發用戶數據的能力; 5)可用性-指網絡可以為用戶提供服務的時間的百分比。
不同的用戶及業務對IP QoS技術指標的要求是不同的,通過有效地實施各項IP QoS技術,使得網絡運營商能夠有效地控制網絡資源及其使用,能夠在單一IP網絡平臺上融合語音、視頻及數據等多種業務,能夠在現有網絡上細分客戶、針對不同的客戶需求提供特色的差別業務、以便能迅速獲得利益回報、從而進一步擴大市場占有率、提高市場競爭力。
DiffServ(包括IP和MPLS)是目前成熟可行的QoS保證機制,可擴展性好,便于大規模部署,建議本期工程采用
對網絡中業務類型按照QOS要求進行描述分類。
4.10 NTP的規劃
在運營電信業務的網絡中,需要采用網絡時間協議NTP對網絡設備進行時間同步(或稱為“授時”)。網絡時間協議(NTP)用來使網絡內所有的路由器和主機同步。由于各節點認證、計費或其他審計信息中包含的時間信息必須統一相對于同一時間標準,因此全網設備必須統一到同一時間標準上。
NTP協議采用服務器-客戶端模型。首先需要設立一個具有精確時鐘源的網絡時間服務器,然后網絡中的路由器設備作為這個網絡時間服務器的客戶端,他們之間運行NTP協議,從而校對和調整路由器的時間,達到全網時間同步的目的。
本次工程的NTP方案如下:
如果網絡中需要使用NTP,對NTP進行規劃。否則刪除本節
4.12 網絡管理
對整個網絡的網絡管理方案進行規劃,使用什么網管,設置哪些節點為種子節點。SNMP團體名的規劃。對于比較大的網絡,規劃一、二級網管都是哪些。
4.13 網絡安全 4.13.1 網絡安全概述
網絡安全包括業務安全、設備安全和數據安全等幾個方面。
業務安全指用戶業務流不被非法截獲、破壞、假冒等。由于不同的用戶有不同的安全要求,一般用戶的上網業務和政府機關公文傳遞以及軍事機密的傳遞都有著完全不同的安全要求。一般由用戶設備實現端到端的加密來實現用戶業務的安全。設備安全指網絡設備包括網管系統應當防止網絡管理員之外的任何人或組織對網絡設備和網管系統配置、資源、診斷系統的有意或無意的訪問、破壞和假冒和攻擊。要求網絡設備和網管系統應提供有效的認證措施,拒絕并記錄非法的入侵,采取有效的手段防止其他攻擊。
設備安全還包括在常見的自然現象對設備的破壞。設備應當滿足國家標準規定的防雷擊、防靜電,并能夠在正常的機房溫度、濕度等條件下長期穩定的運行。
數據安全指設備和網管系統的配置數據、統計信息、診斷信息、歷史記錄、文檔以及軟件版本、補丁等不會丟失、錯漏。數據安全一般主要管理手段來實現,比如,對數據的定期備份等。隨著網絡應用的日益普及,尤其是在一些特別場合的應用,網絡安全成為日益迫切的需求。網絡安全包括兩層含義:其一是內部局域網的安全,其二是外部數據交換的安全。路由器作為內部網絡與外部網絡之間通訊的關鍵設備,有必要提供充分的安全保護功能。
總體而言:全網的安全策略包括網絡安全策略,節點安全策略,數據安全策略,和持續安全策略。網絡安全策略:主要保證網絡拓撲機構的合理性,全網各個節點之間的連接線路的可用性。節點安全策略:主要保證各個節點內的設備不受攻擊,保證服務不中斷。
數據安全策略:保證系統重要數據得到及時有效的備份保護,并避免受到非法使用者的篡改等。持續安全策略:能夠從發展的角度,對系統的安全缺陷進行及時跟蹤和修正,保證網絡的長期安全性。
4.13.1 本期工程安全建議
對本次工程中整個網絡中所采用的安全策略進行規劃。
第五章 配置舉例
如果用戶要求,給出一些設備的典型配置
第二篇:中小企業網絡規劃方案
小型企業網絡改進方案
第一、小型企業網絡規劃分析
隨著信息技術的快速發展,小型企業的業務將進一步的電子化,與Internet的聯系將更加緊密。他們也需要信息基礎平臺去支撐業務高速發展。這樣沒有信息技術背景的企業也將會對網絡建設有主動訴求。任何決策的科學性和可靠性都是以信息為基礎的,信息和決策是同一管理過程中的兩個方面,因此行業信息化也就成了人們所討論并實踐著的重要課題,眾多行業巨擘紛紛上馬各種應用方案且取得了巨大的成功,使信息化建設更具吸引力。
相對于大型應用群體而言,中小型企業的信息化建設工程通常有規模較小,結構簡單的特點,綜合資金投入、專業人才以及未來發展等因素,網絡的實用性、安全性與拓展性(升級改造能力)是中小企業實現信息化建設的主要要求,因此,成本低廉、操作簡易、便于維護并能滿足業務運作需要的網絡辦公環境是這一領域的真正需求。針對絕大多數中小型企業集中辦公這一現實特點,我們設計的中小企業信息化常用解決方案,能夠較好地發揮企業網的使用效果和水平,具有很強的代表性。
應用場景: 小型局域網需要什么樣的網絡,通常它們的建網需求也大部分還停留在能上網,共享辦公設備資源,共享文件資源,能運行OA(辦公自動化)軟件協同工作上;只有少部分將業務流程移植到INTERNET上來運行(這得有能力開發自己的WEB后臺程序)。但還有一些有敏感數據的電腦(如:財務,合同方案文檔,發展戰略計劃),這些公司是拒絕它們連入網絡,而寧愿這些電腦成為信息孤島。一個原因是實現安全的成本過高,企業無法承受;一個原因是對安全措施不信任。
對于網絡應用單純,結構相對簡單的小型局域網絡。有些用戶可能還不需要高性能的網絡,但對網絡有較多了解的IT型小企業可能就喜歡接受最新的網絡技術,但都尋求成本較低。一般應用于小型的IT公司,廣告、裝飾設計公司,咨詢公司,會計師、律師事務所,小型商業流通企業等應用環境。
小型企業網絡方案:
本文針對目前國內最常見的兩種寬帶接入類型——ADSL,光纖以太網來展開。
我們都知道最容易實現而且帶寬可以接受的接入類型是ADSL,分別有中國電信,中國網通,中國鐵通提供。普遍是1M--4M的出口速率,資費會越來越低。而光纖以太網針對于小區,寫字樓等集團用戶,采用的模式是光纖到小區或建筑物,然后以太網至用戶。用戶內部局域網出去的還是營運商的本地局域網,這段的速度是10-100M,但從營運商的局域網接光纖至營運商的城域網(中心機房)可能是2-10M。所以會常有一個現象,當同時上網用戶數較少時,網絡速度會飛快,但較多時又會慢下來。這種方式開戶時會比ADSL貴,而資費差不多。用戶應因地制宜選擇合適的接入類型,但若想在本地建自己企業的網站和FTP,實現語音和視頻,方便INTERNET上用戶訪問,建議還是選擇ADSL。因為若選擇光纖以太網方式,您的局域網將處在運營商的內網之內(因為絕大多數的運營商給它的內網分配的是“私有地址”),無法實現INTERNET的訪問。
兩種較低成本的共享上網方案類型:寬帶路由器共享代理,代理服務器共享代理。下面分別介紹: 方案一:ADSL / 光纖以太網+寬帶路由器+交換機
本方案最關鍵的設備是寬帶路由器,處于小型企業局域網的核心。寬帶路由器是針對家庭級、SOHO級及小型企業應用的網關設備。它集成了路由、交換、安全防火墻等功能于一體,針對于小型用戶簡單而又實用的需求特點,價格遠遠低于用作網關的服務器和傳統路由器,完全可以在家用到小型企業的應用中代替這些網關設備。
寬帶路由器一般特性:
·廣域網端口(WAN):標準是提供1個10/100M的自適應WAN端口。少數產品甚至有2個WAN口。有兩個WAN口的寬帶路由器能接兩路寬帶,如兩路512K的ADSL,或兩條寬帶運營商的LAN,這樣的連接將成倍地接高接入的速率,實現接入的相互備份和負載均衡,使小企業局域網與外面網絡的連接更穩健。
·共享Internet訪問:所有局域網計算機可以通過地址翻譯(NAT)共享一條寬帶線路連接上互聯網。
·支持LAN接入:支持在使用以太網接入(FTTx+LAN)時,使用固定或動態的IP地址。
·支持DSL:持在使用ADSL時,使用固定或動態的IP地址(PPPoE撥號方式)。
·支持路由:靜態和動態路由(RIP I,RIP II)
·局域網端口(LAN):集成了4端口交換機,每個端口10/100M自適應。
·DHCP服務器:可以作為局域網的DHCP服務器為網內計算機提供DHCP服務。DHCP(動態主機分配協議)可以給局域網中的計算機動態分配IP地址以及網關地址、DNS服務器等信息。
寬帶路由器高級特性: ·虛擬服務器(DMZ):支持虛擬服務器設置,既方便了Internet用戶訪問內部開放的計算機,如對外的www.tmdps.cnm IP518H等。
圖
(一)本方案的另一網絡設備是交換機,我們采用全交換星形網絡拓樸結構,所以可以選購快速以太網24口交換機。現在市面上見到的這類交換機的牌子是最多的了,技術已經非常成熟。所以一般都能勝任方案的需要。本案例中我們選擇在低端交換機市場較有名氣的D-LINK 的產品DES-1024D交換機(見圖2)。背板帶寬4.8Gbps,百兆包轉發率148,800 pps,VLAN支持。
圖
(二)方案一的網絡拓樸圖如下:(見圖3 ADSL方式,圖4 LAN方式)。
圖
(三)圖
(四)我們可以看到除了寬帶接入類型不同外(一個是ADSL,另一個是LAN),也就是廣域網部分不同,企業的局域網部分完全相同。在這里我們把提供WEB、FTP等互聯網服務的服務器接到Netgear RP614寬帶路由器的LAN口上,并設置相應的虛擬服務器(DMZ)。其他大部分的企業內網計算機(包括OA服務器)則連至D-Link DES-1024D交換機,并通過交換機連至Netgear RP614寬帶路由器的其他LAN口。另外就是根據手冊的指示在寬帶路由器上做ADSL撥號用戶密碼的設置或者LAN的動態或者靜態IP設置;進行訪問控制、安全防火墻設置。
方案二:ADSL / 光纖以太網+代理服務器+交換機
用代理服務器來作為網關設備執行INTERNET代理共享在以前一直是小型企業普遍采用的方案。因為可以輕易地用網關軟件(WINGATE,SYSGATE,WINROUTE)來實現這一點。但這里我們介紹利用WINDOWS SERVER 2000 的系統所帶的代理軟件來實現。這樣我們既可以實現共享代理,又可在代理服務器上實現WEB,FTP,MAIL服務器的功能。這種方案的安全性較低,您可能還需要在這個服務器上安裝防火墻軟件(比如:Microsoft ISA)。本方案的網絡拓樸圖如下:(圖5 ADSL方式和圖6 LAN方式)
圖
(五)圖
(六)用 Windows 2000來實現Internet 連接共享(ICS)功能,可以按以下步驟設置: 1.在控制面板中,雙擊網絡和撥號連接。
2.右鍵單擊要共享的連接(也就是接入外線路的那張網卡),然后單擊屬性。3.在共享選項卡上,單擊選中啟用此連接的 Internet 連接共享復選框。Internet 連接共享功能,專用于小型辦公網絡或家庭網絡,在這些網絡中,網絡配置和 Internet 連接由共享連接由所在的 Windows 2000 計算機進行管理。此計算機是唯一的 Internet 連接、唯一的 Internet 網關,并由它建立所有內部網絡地址。在啟用 ICS 之后,不要修改默認網絡配置。包括分發的專用 IP 地址范圍(DHCP 分配符)、啟用或禁用 DNS、配置公用 IP 地址的范圍,以及配置入站映射等項目。連接向外的那張網卡要配置網絡提供商分配的IP地址,所以這種共享方式不適合于ADSL撥號寬帶接入,而只適合有固定IP的寬帶接入類型。另外Windows Server 2000中GUEST用戶必須有,而且“帳號永不過期”,要不然,客戶機就無法訪問服務器的共享資源。
對于10-20人的小企業的有線組網,我們仍推薦使用寬帶路由器,因為優點顯而易見。表現在不用傳統路由器或代理網關服務器,節省大筆費用;相對于代理網關服務器而言,網絡更穩定,受網絡病毒侵害的機會較小。
第二、小型企業服務器規劃分析:
小型企業的信息系統通常的情況是:網絡應用不很成熟,規模不大,一般有30人左右的小規模網絡環境。在具體應用中通常以單功能應用為主。這類企業往往僅單一地使用下面的應用,包括財務系統、辦公自動化系統、CAD、庫存管理系統或人事等管理系統等,或者同時使用其中的兩三種應用。這類企業用戶的數量占我國企業總數的60%左右。
造成這種情況的原因是小企業技術力量相對比較薄弱,資金也不夠充分。因此,一些企業的信息系統在應用方面還存在不少問題。其中服務器的選擇特別突出。例如,到某企業有由一個6臺計算機組成的小局域網,其中服務器是一臺裝有兩路Pentium Ⅲ Xeon(內置1MB緩存)并帶有熱插拔硬盤的部門級服務器,用作域控制器和文件共享。
再過了一段時間后,用戶對這臺服務器頗有微詞: 體積很大,噪音不小,每天的開機時間特別漫長,更糟糕的是速度并不快。總之,花錢不少,效果卻非常不理想。
此類小企業用戶不在少數。他們在組建網絡時,在信息系統的設備,尤其是系統的心臟——服務器的選擇方面,通常表現出很大的困惑。而面對小企業用戶的代理商和集成商,在常見的應用與服務器選擇的關系上通常也是一知半解,使得應用更加不理想,不利于中小企業信息化的開展。根據多年的服務經驗,對小型企業選購服務器提出一些建議,供用戶參考。
一、服務器選購策略
選擇一款合適的服務器來滿足用戶的需要,需要對服務器使用有一個正確的理解。在進行服務器選配時,應根據以下3個方面來考慮。
1.網絡環境及應用軟件
是指整個系統主要做什么應用。具體來說就是服務器支持的用戶數量、用戶類型、處理的數據量等方面內容。不同的應用軟件工作機理不同,對服務器選配的要求區別很大,常見的應用可以分為文件服務、Web服務、一般應用和數據庫等。2.可用性
服務器是整個網絡的核心,不但在性能上能夠滿足網絡應用需求,而且還要具有不間斷地向網絡客戶提供服務的能力。實際上,服務器的可靠運行是整個系統穩定發揮功能的基礎。
3.服務器選配
服務器類型,如低端、中端和高端的分類,只是確定了服務器所能支持的最大用戶數。但要用好服務器,還需要優化配置,用最小的代價獲得最佳的性能。
二、常見應用分析 在中小企業環境中,常見應用可以概括為以下幾種,它們對服務器的要求各有所側重。下面為了描述方便,把服務器劃分為4個功能模塊,即CPU、內存、磁盤子系統和網絡子系統。
1.文件服務
這是最基本的應用服務,服務器相當于一個信息系統的大倉庫,保證用戶和服務器磁盤子系統之間快速傳遞數據。在服務器的各個子系統中,對系統性能影響最大的首先是網絡子系統,其次是磁盤子系統,再次是內存容量,而對CPU的要求一般不高。
2.數據庫服務
對系統各方面(除網絡子系統外)性能要求最高的應用,如財務、庫存和人事管理應用等。需要高性能CPU和快速的磁盤子系統來滿足大量的隨機I/O請求及數據傳送。服務器瓶頸依次為:內存、磁盤子系統和CPU。
3.郵件服務
扮演電子郵件路由器和倉庫的角色。服務器瓶頸依次為:網絡子系統、內存、磁盤子系統和CPU。
4.Web服務
服務器的性能是由網站內容來決定的。如果Web站點是靜態的,系統瓶頸依次是:網絡子系統和內存。如果Web服務器主要進行密集計算(例如動態產生Web頁),系統瓶頸依次是:內存、CPU、磁盤子系統和網絡子系統。
5.多媒體服務
負責媒體控制及媒體流在網絡上傳輸的功能,I/O吞吐量對服務器性能起著關鍵的影響。視頻服務器的瓶頸依次是: 網絡子系統、磁盤子系統和內存。音頻服務對服務器硬件配置要求很低,現在的服務器子系統一般不會成為瓶頸。
6.終端服務
執行各種應用程序并把結果傳送給用戶,所有負載均加在服務器上。系統的瓶頸通常依次為: 內存、CPU、網絡子系統。
7.主域控制器 主域控制器是網絡、用戶和計算機的管理中心,負責提供安全的網絡工作環境。主域控制器不但響應用戶的登錄需求,而且在服務器間同步和備份用戶帳號、WINS和DHCP數據庫等,另外,主域控制器還做DNS服務。系統瓶頸是網絡子系統、內存。
三、可用性的影響
一臺經常死機的服務器是不可忍受的,由此所造成的損失不僅僅是時間的浪費,還可能使多日的工作量付之流水。現在越來越多的人已經意識到系統可用性的重要性。
可用性通常用系統的理論正常運行時間和實際使用時間百分比來衡量。例如,我們說一系統提供24×7環境下99%的可用性,也就意味著一年可能要停機88小時,這對大部分用戶來說是都是不能接受的。99.999%的可用性可以保證系統一年停機的時間在5.25分鐘之內,但是這種系統的價格非常昂貴。
服務器的可用性主要取決于2個方面:一個是服務器本身的質量,具體體現在服務器廠商專業的設計、嚴格的質量控制以及市場的長期驗證三點上;另一個是對易損部件采取的保護措施,比如: 采用網卡冗余技術、磁盤陣列技術、電源冗余技術、雙機或集群方案等來保證網絡、磁盤、電源甚至整個主機的在線冗余。
在低檔服務器中,通常采用以下措施來提高單機的可用性。
1.IDE RAID
通過廉價的磁盤陣列提供數據冗余功能。磁盤故障是服務器硬件故障的主體,故障率高達52%。數據丟失的危害也是驚人的,造成大量時間、人力的浪費。目前IDE RAID能夠實現RAID-0、RAID-
1、RAID-0+1共三種方式,其中RAID-0不具備數據冗余功能,但能顯著提高磁盤子系統的性能。
2.ECC技術
可以檢查出兩位內存錯、并能夠糾正一位錯,來保證內存、緩存中數據的高可靠性。
3.服務器專用電源
可以保證系統有一個潔凈的用電環境,減少各種隱性故障的發生,而劣質電源容易引起各種古怪故障,如電路中的高頻串擾會造成系統經常性的崩潰、低頻震蕩則會燒毀電子元器件于無形,這類故障也增加了維修難度。
4.附加措施
如防塵網的設計、多個風扇的散熱(有的服務器還具有自動調節風扇轉速功能),可以幫助服務器在普通環境中也能穩定運行。
四、服務器選擇的多樣性 目前中小企業在選購服務器時,通常在高檔商用PC、偽服務器以及低檔服務器三種產品之間選擇。下面分別對這三種服務器作一簡單分析。
1.高檔商用PC
PC工作在單用戶和單線程環境中,與服務器的多用戶環境有顯著的不同。PC在設計時采用不同部件選型、配置的策略,如增強的顯示性能、相對較差的網絡子系統等。高檔PC的目標是進軍低檔工作站市場。
2.偽服務器
最差勁的是用PC的處理器芯片、服務器的名來充當服務器,稍微好一些的服務器采用部分服務器技術,如專業電源等。
3.低檔服務器
通常兼顧性能、可擴展性、可用性和可管理性等多個性能指標,兼容多種操作系統以支持多種網絡環境。此種產品的缺點(也是辨別方法)是:體積大(通常外形不夠美觀)、噪音大(散熱風扇多)、功率大。
五、操作系統配置
一個性能優良的信息系統除了取決于網絡硬件設備的性能和網絡結構設計外,很大程度地受到局域網中服務器的操作系統性能的影響。作為工作組級服務器的操作系統,在選擇上應考慮系統的可靠性,即是否能負擔大量用戶的服務請求,以較快的速度處理數據,合理地排列服務等問題;系統是否方便使用和管理,在單機和聯機環境中,易用性都是最大化雇員工作效率和滿意度的關鍵因素,與此同時,降低成本也是絕大多數企業優先考慮的問題。
目前,考慮連接局域網與廣域網方面的性能,連入Internet幾乎是目前所有企業用戶的選擇,在選擇服務器操作系統時一定要注意系統在兼容局域網與廣域網連接方面的能力,這樣才能使企業真正地融入世界。在局域網中,用戶一般要實現文件共享、打印機共享、網絡服務共享等功能,因而服務器的操作系統必須能較好地完成上述操作。
目前Microsoft公司推出的Windows 2000就是這樣一款針對局域網客戶機的操作系統軟件,Windows 2000的綜合特性使其很快成為所有企業中工作組級服務器上的主流操作系統。其標準的安全性、可管理性和可靠性等強大功能,是目前小企業用戶首選的操作系統。
另外,對于某些高級用戶,尤其是政府等對安全比較關注的用戶來說,他們本身具備較強的技術實力,可以考慮采用Linux操作系統。
目前,服務器廠商還推出完全方案化的產品——功能服務器,即把操作系統和應用系統直接安裝在服務器中,以實現某些特定功能,如E通教育功能服務器,它主要是采用Linux系統,具有非常好的穩定性和易用性,而且不需要用戶對Linux有深入了解就可以使用。
六、服務器選配方法
國內市場上,服務器廠商多達十幾個,低檔服務器更有幾十款之多。下面結合聯想T220來談談服務器配置問題。
1.磁盤子系統
上面已經提過磁盤的故障概率及危害,不如直接配置雙硬盤做RAID-1,因為現在硬盤的價格已降到了冰點,既提高了磁盤讀取數據的性能,又保護了數據,可使用戶高枕無憂。2.內存
在小型用戶環境中,內存通常得不到重視,用戶往往花費更多的時間關注CPU的性能。由于Windows 2000就要消耗100MB以上的內存,再加上應用,所以系統最少應配置512MB內存,配置到1GB也不為過。請牢牢記住,提高內存容量通常是提高服務器性能的最有效的方法。
3.CPU 通常不會成為系統瓶頸。但對于需要CPU進行密集型的運算,如數據庫類應用,CPU的作用就很巨大。記住:如果再增加一顆CPU,內存容量要同時加倍,才能有效發揮CPU的性能。
4.網卡
低端應用環境中,1000Mbps網卡足夠了。聯想T220支持雙網卡還支持網絡冗余(ALB)功能。既提高網絡子系統的吞吐量,又保證了線路冗余。
下面針對小型企業的常見應用,提供一個服務器的配置推薦方案,見附表。
最后,需要指出的是,小企業非常關心服務器的可擴充性。可擴充性主要體現在計算性能的提升和存儲容量的增長,新出的聯想T220,在價格完全滿足小型網絡用戶需求的情況下,仍然在這兩方面有充分考慮。聯想T220采用雙處理器的系統設計,目前,設計主頻已達到3.2GHz,用戶可以在初期購買單CPU配置,待到企業增長或數據量增大時,可以升級為雙CPU,其運算能力將大大提高,也保護了先前的投資。至聯想T220服務器在存儲方面,采用先進的RAID技術,最大支持160GB×4的硬盤容量和SCSIraid技術,為用戶的業務擴展預留了足夠的空間。
總之,小型企業選購服務器,一定要根據自己的實際應用情況,合理選擇型號和配置,做到既滿足需求,又經濟實惠。
第三、辦公自動化軟件
一.簡介功能: 本方案我們為用戶設計了一整套的辦公自動化的方案參考。其中分為以下幾個子系統:收文管理子系統,發文管理子系統,會議管理子系統,檔案管理子系統,電子公告子系統,個人辦公子系統,今日工作與電子郵件子系統 二.網絡總體方案
1.方案圖:(參考公司網絡拓撲)
2.機器配置:(參見服務器配置可見本方案服務器建議方案)3.軟件架構:(參見公司具體運營框架和流程)三.主要采用的技術 A.按應用分類:
1.事件跟蹤型應用
主要特征:是一些連續變動的主觀信息的組合,與很多介入這些信息的用戶有頻繁的人機交互。2.廣播通知型應用
主要特征:信息相對靜止,時間上較為嚴格,針對各個用戶。3.時間規劃型
主要特征:集成Lotus Organizer,可對時間、活動安排做詳細管理 4.討論型
主要特征:支持結構化和非結構化的組織間通訊。它提供了關于共同感興趣的主題的論壇,組織成員可以提出新的問題或對現有問題提出自己的見解。如意見箱等 5.業務自動化流: 主要特征:這是涵該最廣的一類應用,它可能包含上述的某種應用。業務流應用利用宏自動完成日程任務,如將報表郵寄給各部門,發出提示或催辦函,在特定的時間間隔執行成批文檔的更新。
對本方案的各個子功能進行分析,可以看出每一項子功能都具有上面5種應用類型的特征,因此可以很方便的在LOTES上實現這些功能。下面給出對各子系統的分析:
公文管理子系統-----------------------業務自動化流+事件跟蹤型 檔案管理子系統-----------------------業務自動化流+廣播通知型 政務信息管理------------------------業務自動化流+廣播通知型+事件跟蹤型
會議管理------------------------業務自動化流+時間規劃型 大事記要管理------------------------業務自動化流+廣播通知型 值班管理------------------------業務自動化流+事件跟蹤型 接待管理------------------------業務自動化流+事件跟蹤型 機關考核------------------------業務自動化流+事件跟蹤型 領導活動安排------------------------時間規劃型
領導批示管理------------------------廣播通知型+事件跟蹤型 領導講話管理------------------------廣播通知型+事件跟蹤型 電子郵件------------------------NOTE郵件 文字處理------------------------NOTES文字處理 通訊錄------------------------NOTES文檔管理器 電子公告------------------------討論型+廣播通知型 日程安排------------------------時間規劃型
B:技術特點:
1.安全控制
安全性對于OA系統是至關重要的,沒有安全保障的信息系統可以是一種潛在的威脅,是完全不可取得。
安全性通常包含三個方面的含義:服務器的訪問控制、數據庫的訪問控制、數據的訪問控制。本系統采用NOTES技術,因此我們將系統安全機制分成以下三部分:物理安全性、網絡安全性與NOTES安全性。物理安全性控制誰可以直接操作機器以及能執行和種操作。網絡安全性管理誰可以通過網絡端口訪問操作系統。NOTES安全性
前兩項屬于物理或網絡級的安全管理。對于第三項應用級的安全管理NOTES提供4級安全措施。2.驗證:
通過用戶“身份證”文件和口令證實用戶身份。3.電子簽名:
通過數字簽名來檢驗發送者的可靠性和數據在傳輸過程種是否被修改過。4.加密: 利用RSA算法,通過雙密匙對數據庫、文檔、字段進行加密,無論數據在服務器、工作站還是在傳輸中均可進行。
5.存取控制:用戶在訪問所有網絡資源之前都會被驗證是否有對此資源的訪問權限及何種訪問權限。
6.界面設計:界面在做到友好、美觀的基礎上還要做到統一化,個性化。統一化是指統一人員使用的界面不應有特別大的變化。個性化是指不同的人員根據權限不同,具體工作不同而在界面上有著能體現個性物件。四.各子系統的應用程序簡介:
1.收文管理子系統:
該子系統實現對外單位來文的登記、擬辦、傳閱、辦理結果的登記、整 理和歸檔等操作,處理反饋、催辦、統計、查詢等任務。2.發文管理子系統
本子系統用于保存和處理各級單位發文(如部發文、司發文、局發文、辦公廳發文、公司發文等。)一份發文逐級通過主辦單位的審批,最后提交領導簽發。重要的是,管理員可以使用本單位設計的發文稿紙,根據“人員管理”配制的情況,動態生成匹配的流程定義。3.會議管理子系統:
會議管理子系統主要用于制定會議安排和發會議通知、記錄會議紀要。會議召集人在選擇與會人員時能夠方便地查看這些人員在會議召開期間是否空閑,制定出合理的會議安排,從而確保會議的出席率,提高會議的效率。
4.檔案管理子系統: 檔案工作主要是文件的分類、分卷及查詢。由于以前的文件沒有輸入計算機,所以無法通過計算機系統查找。
在本系統建成后,公文、會議紀要等文件將自動流入相應的檔案庫。系統可以按成文時間、類別、起草單位等方式分類。通過對文件的分類工作,用戶可以通過網絡方便的查詢所要的文件。5.電子公告子系統:
象日常辦公中公告板一樣,本庫提供一個發布各種公共信息如公告、通知、或啟事等的場所。用戶只需要到本系統發布一項消息就可以通告整個單位的有關人員。而用戶只需到本系統查詢就可以獲得單位的所有公告的信息。
6.個人辦公子系統:
用戶可以用它來保存、管理任何有價值的資料。這些資料可以是用戶摘錄自書報雜志的,可以是從其他數據庫拷貝過來的,也可以是用戶起草過的文件副本等等,內容不限。7.今日工作與電子郵件子系統:
本系統是用戶處理日常辦公室事物的主要場所。所有發送給用戶的文件、討論、催辦和會議通知等都是由系統作為郵件的連接對象送來的,用戶只需要使用本系統即可完成傳到用戶處的發文、收文、簽報、傳閱件、請示和報告等各種公文的處理工作,還可參與查看通知用戶參加的會議安排情況。
第三篇:關于公司網絡規劃方案
關于公司網絡規劃方案
一、總體網絡走向
1、外網由光纖專線接入路由器(帶路由功能的三層交換機),路由器3個端口接3個24口子交換機,然后由交換機連接到各個工作區域。1路端口接服務器。
2、工作機相互訪問用同一段位IP,包括訪問服務器。特點:整個網絡走向清晰明確,利于管理
二、各設備配置
1、所有工作機分配固定IP地址。分配方式如下:
①ip1-ip10分配給服務器,無線路由器,監控,打印機,打卡機等設備。
②ip11-ip136 分配給辦公樓使用。
③ip141-ip200 分配給車間使用。(每個車間20個IP)
④ip200-ip250 作為動態IP地址。隨機分配給外來客戶使用
⑤ip251-ip254 保留,作為測試以及管理使用。
注:其中ip137,ip138。分配給宿舍給宿舍使用!預留2個IP:分別是IP139,IP140。
2、所有工作電腦需要重新安裝系統分配IP、計算機名、加入域等操作。
3、按照每臺電腦的工作需求分配工作權限。
三、服務器配置
1、域控制器:有效管理電腦以及提高員工的工作效率。
2、服務器上配置域服務器。創建管理用戶。
3、服務器上配置FTP服務器,用于上傳和下載等操作。
4,、服務器上配置文件服務器,用于在局域網共享等操作。
四、日常維護管理
1、固定時間檢查各設備之間的連接,檢查是否有網線松動的現象。
2、固定時間檢查各設備的運行環境是否健康。
3、通過上網行為管理,觀察是否有效的提高計算機的工作效率。
4、整理數據,記錄下來。
五、需要購置設備
企業級路由器或者3層交換機(1臺)、無線路由器(根據實際情況購買)、超五類網線(1箱)、光碟(1盒)、水晶頭(1盒)
六、備用方案
把公司所有工作設備按工作區域分成4個網段,每個網段按照不同的工作需求分配工作權限。
七、方案特點
1、信息共享:做到了信息統一存放、統一管理、各個業務共享。減少重復錄入、避免信息不一致,提高工作效率。
2、系統維護功能強:可以方便地設置、添加和隨時調整各管理部門的相關業務處理,機構的變化,方便地設置各部門、人員的管理權限和業務處理權限增強了系統的通用性和靈活性。
第四篇:網絡規劃方案
創研港1號樓網絡規劃方案
一、項目概述創研港1號樓為大中小企業提供辦公環境,并提供網絡服務,針對各個公司對網絡的要求,對網絡進行合理劃分,網絡規劃方案。
二、技術介紹本次網絡工程主要采用二層和三層交換機的vlan技術,二層交換機與三層交換機的vlan一一對應,這樣可以實現寬帶共享的功能。
三、設備命名規則本工程用到的網絡設備有路由器AR750S,二層交換機AT8000S,三層交換機X916。其中AT8000S作為樓層交換機使用,截止目前共用十四臺。設備名為switch+樓層數+樓編號(主樓為a,副樓為b)。例如交換機名為switch12a,則是主樓十二層交換機;交換機名為switch3b,則是副樓3層交換機。其中X916作為核心交換機使用,截止目前共用一臺。設備名為switchblade。其中AR750S作為防火墻使用,截止目前共用一臺。
四、接口命名規則接口命名規則遵循設備接口命名規則。AT8000S,RJ45接口名稱為eX,X為端口序號。例如:e2,為交換機第二號RJ45接口。光纜接口名稱為gX,X為端口序號。例如g2,為交換機第二號光接口。X916為模塊化設計,接口名稱為portX.Y.Z。X表示堆疊順序,Y表示模塊序號,Z表示模塊上的端口序號。例如,port1.1.1為第一堆交換機的第一個模塊的第一個接口;port2.3.4,為第二堆交換機的第三個模塊的第四個接口。
五、ip地址規劃便于管理維護網絡設備,對ip地址做如下規劃:5.1設備管理地址二層交換機(AT-8000S)的管理ip為192.168.200.X/24,X為樓層交換機所在的樓層數。例如:192.168.200.10/24,則表示該交換機為10樓的樓層交換機。核心交換機(X916)的管理ip為192.168.200.11/24。防火墻(AR750s)的管理ip為172.16.1.254/24 5.2用戶地址&vlan地址因為核心交換機(X916)的vlan與樓層交換機(AT-8000S)的vlan一一對應,所以vlan的ip地址決定了用戶ip的網段、掩碼、網關等信息。用戶ip:172.16.X.Y/24。X為公司進駐的順序+10;Y為大于1的任何數字(公司內部自定),規劃方案《網絡規劃方案》。例如:172.16.11.2/24,這是創研港進住的第一家公司;172.16.25.1/24這是創研港進駐的第15家公司。用戶的網關為vlan的ip。
六、vlan規劃6.1三層交換機vlan規劃vlan的編號以公司進駐的順序+10;vlan的名稱以公司所在的房間號為準;vlan ip:172.16.X.1/24,X為公司進駐的順序+10。6.2二層交換機vlan規劃二層交換機(AT-8000S)不能定義vlan名稱和ip,只能定義vlan編號,所以編號為公司進駐的順序+10。
七、路由協議路由協議為配置在核心交換上的默認路由。
八、網絡安全當確定網絡架構之后要更改二層交換機,核心交換機及防火墻的賬戶、口令。不要讓無關人員接觸到網絡設備。定期進行網絡設備的維護和檢查。
九、配置舉例XX日,一家名為Lenovo的公司進駐創研港一號樓,是第56家進駐公司,在303房間辦公。這家公司需要兩個網口上網。在核心交換機上做如下配置:switch#configure t進入全局模式switch(config)#vlan database進入vlan模式switch(config-vlan)#vlan 66name 303創建66并命名為303 switch(config-vlan)#exit退出switch(config)#interface port2.1.2進入端口2.1.2 switch(config-if)#switchport mode trunk將端口模式改為trunk switch(config-if)#switchport trunk allowed vlan add 66將trunk應用到vlan66 switch(config-if)#exit退出switch(config)#interface vlan66進入vlan66 switch(config-if)#ip add 172.16.66.1/24給vlan201設定ip子網掩碼switch(config-if)#exit退出在二層上也要做出相應設置:switch2a#configure進入全局模式switch2a(config)#vlan database進入vlan模式switch2a(config-vlan)#vlan 66創建vlan201 switch2a(config-vlan)#exit退出switch2a(config)#interface range ethernet e1-2進入e1,e2端口模式switch2a(config-if)#switchport access vlan 66將e1,e2加入vlan201 switch2a(config-if)#exit退出switch2a(config)#interface ethernet g2進入g2口switch2a(config-if)#switchport mode trunk將端口模式改為trunk switch2a(config-if)#switchport trunk allowed vlan add 66將trunk應用到vlan66至此,Lenovo公司就可以上網了。學習的安奈特的。交換機
第五篇:小型企業辦公樓建網絡規劃方案
小型企業辦公樓建網絡規劃方案
1.文件服管理系統
這是最基本的應用服務,服務器相當于一個信息系統的大倉庫,保證用戶和服務器磁盤子系統之間快速傳遞數據。在服務器的各個子系統中,對系統性能影響最大的首先是網絡子系統,其次是磁盤子系統,再次是內存容量。
2.數據庫服務
對系統各方面(除網絡子系統外)性能要求最高的應用,如財務、庫存和人事管理應用等。需要高性能CPU和快速的磁盤子系統來滿足大量的隨機I/O請求及數據傳送。服務器瓶頸依次為:內存、磁盤子系統和CPU。1.防火墻系統
防火墻作為內部網絡與外部網絡之間的第一道安全屏障,是近期發展起來的一種保護計算機網絡安全的技術性措施,它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進/出兩個方向通信的門檻, 是最先受到人們重視的網絡安全技術,是實施安全防范的系統,可被認為是一種訪問控制機制,用于確定哪些內部服務允許外部訪問,以及允許哪些外部服務訪問內部服務。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡,以阻檔外部網絡的侵入。
對于小型企業的辦公樓網絡設計建議是用代理防火墻:代理防火墻又稱應用層網關級防火墻,它由代理服務器和過濾路由器組成,是目前較流行的一種防火墻。它將過濾路由器和軟件代理技術結合在一起。過濾路由器負責網絡互連,并對數據進行嚴格選擇,然后將篩選過的數據傳送給代理服務器。代理服務器起到外部網絡申請訪問內部網絡的中間轉接作用,其功能類似于一個數據轉發器,它主要控制哪些用戶能訪問哪些服務類型。當外部網絡向內部網絡申請某種網絡服務時,代理服務器接受申請,然后它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務,如果接受,它就向內部網絡轉發這項請求。代理防火墻無法快速支持一些新出現的業務(如多媒體)。現要較為流行的代理服務器軟件是WinGate和Proxy Server。防火墻的選擇
選擇防火墻的標準有很多,但最重要的是以下幾條:
1)總擁有成本防火墻產品作為網絡系統的安全屏障,其總擁有成本(TCO)不應該超過受保護網絡系統可能遭受最大損失的成本。以一個非關鍵部門的網絡系統為例,假如其系統中的所有信息及所支持應用的總價值為10萬元,則該部門所配備防火墻的總成本也不應該超過10萬元。當然,對于關鍵部門來說,其所造成的負面影響和連帶損失也應考慮在內。如果僅做粗略估算,非關鍵部門的防火墻購置成本不應該超過網絡系統的建設總成本,關鍵部門則應另當別論。
2)防火墻本身是安全的
作為信息系統安全產品,防火墻本身也應該保證安全,不給外部侵入者以可乘之機。如果像馬其頓防線一樣,正面雖然牢不可破,但進攻者能夠輕易地繞過防線進入系統內部,網絡系統也就沒有任何安全性可言了。通常,防火墻的安全性問題來自兩個方面:其一是防火墻本身的設計是否合理,這類問題一般用戶根本無從入手,只有通過權威認證機構的全面測試才能確定。所以對用戶來說,保守的方法是選擇一個通過多家權威認證機構測試的產品。其二是使用不當。一般來說,防火墻的許多配置需要系統管理員手工修改,如果系統管理員對防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。3.郵件服務
扮演電子郵件路由器和倉庫的角色。服務器瓶頸依次為:網絡子系統、內存、磁盤子系統和CPU。
4.殺毒軟件的選擇這里介紹幾款比較直流的沙土軟件概況 KILL企業版 V6.0
冠群金辰公司推出的KILL企業版是一款優秀的網絡殺毒軟件,包括KILL企業版管理服務器、KILL企業版客戶端、遠程安裝工具組件。這些組件的主要功能是:
(1)KILL企業版管理服務器:可同Windows NT/2000/XP的性能監視器緊密集成,并可在Windows管理臺實現對系統中Unix、Linux和NetWare服務器的病毒掃描管理,利用豐富的圖表形式可以動態實時監視全網中所有關鍵服務器的安全狀況,實現對整個防病毒系統的中央集中控管,并可實時配置全網的殺毒和報警置,分發報警及升級信息等。
2.)KILL企業版客戶端:可以對聯網或未聯網的計算機進行病毒防護,即可獨立配置,也可接受KILL企業版管理服務器的集中管理。
(3)遠程安裝工具:可使KILL企業版管理服務器端一次性在多臺目標機器上安裝KILL企業版客戶端。強大的集中管理
KILL企業版可同Windows NT/2000/XP的性能監視器緊密集成,利用豐富的圖表形式動態實時表現服務器的防病毒軟件運行狀況和病毒活動情況。管理員僅需在管理臺前打開性能監視器就可以動態實時監視全網中所有關鍵服務器的安全狀況。
在大型的網絡中,管理員可以根據現有的網絡管理結構對防病毒系統進行規劃,管理員通過中央控制臺能夠實現對整個防病毒系統的中央集中控管,對客戶端的完全控制。對客戶端的管理時不需要在客戶端駐留任何遠程管理程序,徹底杜絕了由于防病毒遠程管理程序的安全漏洞和后門而導致的整個網絡范圍的安全隱患。
KILL企業版防病毒軟件能夠在企業的所有主流操作系統平臺上安裝運行,并可在Windows管理臺實現對系統中Unix、Linux和NetWare服務器的病毒掃描管理。
先進的病毒掃描技術
KILL企業版采用業界領先的雙引擎掃描方式:InoculateIT和Vet兩大世界著名病毒掃描引擎,幫助企業構建一個多層防范的防病毒體系,這是KILL企業版最主要的一個特性之一。用戶還可以根據實際使用情況調配系統資源占有率,并可利用系統低谷期或空閑期采用多種病毒掃描方式,確保查殺病毒過程不會影響用戶系統的使用。
安全智能的安裝升級方式
KILL企業版可采用服務器端推送方式或者通過在服務器端設置登錄腳本等方式,實現在Windows 95/98/ME/NT/2000/XP等平臺的自動安裝,并且無需重新啟動計算機即可馬上使用。在后續的特征碼、引擎升級時同樣無需重啟。采用增量升級方式可有效減少防毒軟件升級產生的網絡負載,更采用獨一無二的技術,無需指明升級模式,即可自動進行判斷使用全升級還是增量升級。
KILL產品采用數字簽名技術對病毒升級特征碼進行保護,在升級前進行簽名校驗,確認無誤后才進行升級,從而杜絕病毒冒充升級文件侵害用戶系統,并且病毒特征文件可實現從控制臺到客戶端的自動分發和升級。
當然,該軟件在報警日志和殺毒能力上也十分出色。KV殺毒王網絡版
江民新科技術有限公司(簡稱江民科技)成立于1996年,是中國主要的殺毒軟件生產廠商之一。本次參加測試的KV殺毒王網絡版是江民科技最近新推出的網絡殺毒軟件,該軟件包括控制中心、控制臺、殺毒客戶端等幾個部分:(1)控制中心:智能識別系統環境,對Windows域用戶,自動安裝網絡版客戶端。自動升級系統定時檢查新版本,升級包自動分發局域網內的各服務器與客戶端,全網版本同步更新。自動報警客戶端發現病毒后,自動上報至中央控制中心,第一時間掌握網內安全狀況。
(2)控制臺:是殺毒王網絡版集中控制的核心,對整個系統的操作都可以從這里發出,一般控制臺會隨服務器安裝而安裝,不過你也可以在定制安裝里面進行選擇來安裝,控制臺不是一定要安裝在網絡版服務器上,你可以選擇任意安裝一臺機器進行安裝,這樣,可以方便網絡管理員從不同的地方來操作管理整個網絡的病毒防御系統。
(3)殺毒客戶端:是殺毒王網絡版的殺毒先鋒,直接安裝于服務器和各種客戶端上,秉承了江民科技以前單機殺毒軟件的有點,可以高效的查殺計算機病毒。安裝使用簡單方便
殺毒王網絡版的安裝簡單方便,對軟硬件的要求較低,無需數據庫、LDAP、IIS、Apache的支持,極大的減輕了中小型企業的負擔。并且,殺毒王網絡版繼承了單機版殺毒軟件的風格,符合Windows用戶的使用習慣,簡單易用。靈活的功能設置
殺毒王網絡版的組件簡單使用,控制臺可以安裝于網絡中的任何一個位置,管理簡單方便,并且整個網絡殺毒組件的部署與網絡拓撲結構無關,部署靈活。殺毒王網絡版可以自動分析Windows網絡的拓撲結構,能夠有效的規劃部署網絡防毒組件,并且可以自動識別Windows網絡中域控制器,可以自動對域用戶進行安裝部署。另外,殺毒王網絡版還提供了多種輔助工具,如智能升級、病毒隔離、引導區備份、IE修復等功能,可以實現病毒定義和殺毒引擎的升級、數據備份、系統修復等功能。
江民公司提供的殺毒王網絡版,提供了常用的網絡控制管理功能,可以滿足中小型企業的Windows網絡殺毒的需要,可以根據用戶的需求進行定制,并且具有價格低廉的優勢,25用戶版本在千元一下,非常適合中小企業或部門的網絡殺毒。Symantec AntiVirus企業版 V8.0
賽門鐵克公司推出的Symantec AntiVirus企業版是一款優秀的網絡殺毒軟件,包括Symantec服務器、系統中心控制臺、Symantec Client Security、Symantec Packager和Alert Management Server組件構成。這些組件的主要功能是:(1)Symantec系統中心:管理控制臺,在Windows NT/2000/XP Professional計算機上運行。可以執行各種操作,比如向工作站和服務器分發企業版病毒防護,更新病毒定義,管理運行客戶端程序。
(2)Symantec 企業版服務器:可以將配置和病毒定義文件分裝到各個客戶端,并且可以對服務器進行病毒防護。
(3)Symantec企業版客戶端:可以對聯網或未聯網的計算機進行病毒防護,并且可以接受系統中心的集中管理。
(4)Live Update:可以進行病毒和引擎的升級,并可以通過服務器進行分裝。(5)Symantc Packager:可以創建、修改和部署自己的定制安裝包。
(6)Alert Management Server:可以提供病毒警報功能,可以通過多種方式和文本格式向系統管理員進行報警。強大的集中管理
Symantec的Symantec AntiVirus的管理控制臺是使用Windows NT自身提供的Console集成在一起的,使用習慣符合Windows的常用風格,易用性較好,用戶可以對網絡中的服務器客戶端進行分組設置,可以制定單個組的殺毒策略,管理簡單方便,并且可以支持多層次的網絡拓撲結構,可以方便的對網絡防毒的規模進行擴展。另外,Symantec AntiVirus具有中心隔離的設置,管理員可以在網絡中設置統一有效的病毒隔離區,通過“數字免疫系統”對啟發式檢測到的新病毒或不可識別的病毒進行集中管理,并可以將可疑文件自動轉發到“Symantec安全響應中心”進行處理。靈活的可定制性
該系統具有較靈活的定制行,尤其對于客戶端的配置設置上,系統可以根據最終用戶的需要對各個子項進行單獨的鎖定,這是Symantec AntiVirus企業版最主要的一個特性之一,通過這樣的設置,管理員可以靈活的設置對于客戶端的要求,體現了賽門鐵克公司以人為本的設計思想。強大安全的升級模式
LiveUpdate 是 Symantec 公司的一項技術,它能使已經安裝的 Symantec 產品自動連接到 Symantec 服務器,以進行程序和病毒定義的更新。這種連接可以通過 Internet連接或企業內部網絡連接實現。對于企業內部網絡連接方式,本實用程序解決了兩個可能出現的問題,用戶將更新下載到一臺計算機,然后再將其分裝給所有用戶。這種方式十分適合應用于基于屏蔽子網防火墻的網絡,可以通過升級停火區的服務器而升級整個子網的網絡殺毒軟件,在保證網絡安全的基礎上,保證了網絡殺毒軟件的時效性。
另外,該軟件在報警日志和殺毒能力上也十分出色。
朝華·安博士網絡防病毒系統朝華·安博士網絡防病毒系統是朝華公司推出的一款優秀的網絡殺毒軟件,基于策略服務器技術,包括策略代理服務器、策略服務器、策略管理中心和殺毒客戶端模塊組件構成。這些組件的主要功能是:
(1)策略代理服務器:設置于公司內部計算機中,承擔與計算機與策略服務器的通信工作。
(2)策略服務器:是該產品的核心組件進行策略的存儲管理和分發。
(3)策略管理中心:是管理人員進行一系列管理工作的控制臺。可以設置各項防毒、殺毒策略,可以遠程控制殺毒客戶端模塊進行掃描或清除。(4)殺毒客戶端:進行計算機病毒的掃描和清除。靈活的部署和集中式管理
使用策略中心,可以根據用戶具體環境正確地對殺毒模塊進行自動分布和設置。不僅如此,還可以對網絡殺毒客戶端以外的其他軟件一并進行分布安裝和運行,根據分布和運行的程序的種類,通過遠距離服務器可以對站點運行所需要的工作一并進行處理。策略中心軟件提供了以網絡為基礎的簡單的代理程序分布功能。如果已經生成了組群結構,管理人員只要單擊群組,便可以創建分布給組群內部每個單元的具有基本設置的代理程序腳本,將其在朝華·安博士策略中心管理服務器上注冊,便創建了可以供用戶下載的網頁。
策略中心軟件采用了具有超強擴展性和靈活性的LDAP目錄服務進行集中式管理。通過利用OpenLDAP目錄服務,對復雜的用戶及組群信息和產品信息、策略信息提供服務。通過具有擴展性的策略服務器設計,對今后產品的升級及修改設置便可以靈活地加以處理。并可以根據個別或特定組群對網絡殺毒客戶端的防病毒軟件參數配置的要求,可以通過管理員控制臺自由地進行生成、修改和刪除。這里所指的安全策略,是包括網絡殺毒客戶端環境設定在內的,定期自動引擎更新的間隔、更新服務器地址等等,來實現公司內部所要求的整個防病毒安全策略。
另外,該軟件還提供了數據庫和LDAP備份和恢復的工具,可以在數據丟失后進行恢復,有效保障了數據的安全。集中日志管理和統計報告
安裝在各個用戶計算機的客戶端防病毒軟件的病毒掃描記錄,可以通過策略代理程序,儲存于中心的服務器中,這樣就可以實現日志的集中管理。在發生病毒的同時,可以實時地顯示出發生病毒的計算機的信息、病毒名稱,以及發生的時間等信息。該軟件還提供了報告中心的模塊,通過該模塊就可以生成侵入本公司內部的所有種類病毒的有關各種統計及報告。對于集中到中央服務器的數據庫內的病毒的相關記錄信息,管理人員可以根據組群、使用者、日期及病毒的不同,按照所希望得到的形式輕而易舉地獲取相關統計資料。并且可以將這些相關資料以電子表格或HTML的形式顯示或進行編輯。
朝華·安博士網絡防病毒系統在集中管理、網絡部署和日志統計等方面具有較強的能力,適合不同企事業單位的網絡防毒的要求。
相對而言,該軟件的殺毒模塊的功能就略顯單薄,但是也已經可以滿足用戶的殺毒要求。總的來說該產品對于安全性上的考慮是該產品最大的優勢,在保證網絡安全的基礎上進行網絡病毒的防護,這應該也是網絡防毒軟件的發展一個主要的發展方向。
由以前幾款網絡殺毒軟件的介紹,個人推薦是使用KV殺毒王網絡版
(江民新科技術有限公司)4.Web服務
服務器的性能是由網站內容來決定的。如果Web站點是靜態的,系統瓶頸依次是:網絡子系統和內存。如果Web服務器主要進行密集計算(例如動態產生Web頁),系統瓶頸依次是:內存、CPU、磁盤子系統和網絡子系統。UPS不僅是提供斷電保護,而且更注重提供恒穩的電流。對敏感“嬌氣”的電子設備和系統,UPS是必不可少的重要伙伴。
隨著科技的發展和進步,UPS的智能化程度越來越高,市場上的UPS產品也越來越多,用戶如何選擇最適當的UPS產品,請關注行業專家的推薦。目前市場上UPS產品很多,新一代高技術指標的網絡智能型在線式UPS設備,容量從300VA到4800KVA, 采用世界先進的高集成的IGBT技術,具備全數字多微處理器控制系統,同時融合進最新的通信技術與協議,配備電源管理軟件。但是并非每一個用戶都需要這種先進的UPS。針對不同網絡規模的企業、不同應用的用戶,市場上有不同的UPS產品供應。
硬件要求
創建家庭或小型辦公網絡時需要以下幾個基本組件:
1.計算機:要建立網絡需要兩臺或多臺計算機。
2.網絡適配器:通常稱網絡接口卡為網絡適配器,可以將計算機連成網絡,并允許這些計算機之間相互通訊。網絡適配器可以連接在計算機的 USB 端口,也可以安裝在計算機內部某個可用的 PCI 擴展槽中。
3.網絡集線器和電纜:集線器用于在中樞位置連接多臺計算機。集線器通常用于將兩臺或多臺計算機連成以太網網絡。如果要使用家庭電話線網絡適配器(HPNA)通過電話線來連接計算機,或者要使用無線適配器來連接,則不需要集線器。使用以太網或 HPNA 時,需要用電纜將它們連接到集線器或電話線路。還可以使用 IEEE 1394 網絡適配器。
4.調制解調器:這包括 28.8 或 56 Kbps 調制解調器、無線調制解調器、綜合業務數字網絡 ISDN、數字訂戶線路 DSL 以及電纜調制解調器。創建家庭或小型辦公網絡的步驟
步驟 1:
規劃網絡:將包含每臺計算機和打印機的房間或辦公室描繪在一份圖表中。或者,將每臺計算機上的硬件登記在一份表格中。
步驟2:
注意記錄每臺計算機插接的硬件,例如調制解調器和網絡適配器。
步驟3:
選擇“Internet 連接共享”(ICS)主機。建議該計算機運行 Windows XP Home Edition 或 Windows XP Professional 并配備可正常工作的 Internet 連接。
步驟4:
確定家庭或小型辦公網絡所需的網絡適配器類型:以太網、家庭電話線網絡適配器(HPNA),無線適配器或 IEEE 1394 適配器。
步驟5:
列出您需要購買的硬件。這包括調制解調器、網絡適配器、集線器和線纜。
步驟6:
購買硬件。
步驟7:
安裝網絡適配器和調制解調器,以便在每臺計算機上創建網絡連接。
步驟8:
將計算機物理地連接在一起。將線纜插進集線器、電話插孔以及計算機中。
步驟9:
打開所有計算機和打印機。
步驟10:
確保您的 ICS 主機有激活的 Internet 連接。(要建立 Internet 連接,請運行“新建連接向導”)。
步驟11:
在 ICS 主機上運行 Windows XP Professional 網絡安裝向導。
步驟12:
在網絡中的其他計算機上運行“網絡安裝向導”,可以使用軟盤對網絡中的其它計算機進行配置。
網絡拓撲結構圖
點擊咨詢 