浅析中小型园区网的设计与实现
摘 要:现代企业网已经从早期的简单的数据共享发展到全方位的内部共享,从过去单一地理位置的网络发展到全球各个分支网络的互联。中小型园区网络的设计与实现对技术的要求越来越高。在此从网络建设各个方面的需求分析入手,在深刻领悟并运用vlan精髓的基础上,利用科学的ip规划方案,提出了现代中小型园区网的建设思路。该网络具有高安全性、高可靠性、可扩展、易维护等一系列优点。关键词:网络; ip; vlan; 园区网
design and implementation of small campus network
gu xin-yan1, meng qing-wei2
(1. city college, xi’an jiaotong university, xi’an 710016, china; 2. zte corporation, xi’an 710065, china)
abstract: the simple data-sharing networks of the enterprises in previous period have been developed into the internal source sharing networks of the modern enterprises. that is, the single location networks have been evolved into interconnect branch networks around the world. therefore, the technology requirements for the design and implementation of small campus networks have become increasingly critical. proceeding from the analysis of the demands of networking in all aspects, based on the use ofthe idea of establishing the modern small campus network is proposed with the scientific ip planning based on the deep comprehension and application of vlan in essence. the network has a number of advantages of high security, high reliability, easy maintenance and scalability.keywords: network; ip; vlan; campus network
对于现代办公的场所,智能化必不可少,包括综合布线、视频监控、会议电视、智能门禁、一卡通消费、安防报警、自动oa等弱电集成,而信息化业务正是智能建筑的要素之一,本方案主要就在办公大楼内部署信息化网络的方案进行描述。WWw.11665.coM
拟订某公司的新建办公大楼作为局域网建设的模型。设定大楼共5层高,每层建设有弱电间一个,整个大楼设中心机房一间,规划信息接入点共150个(即150台计算机终端)。大楼的局域网建设自己的内网,办公业务内网是新大楼及后勤服务配套设施内各单位数据通信的主要平台,为各种办公应用系统提供高效、可靠、安全的通信途径。向楼内用户提供内部办公、内部办公商务、部署各类内网服务器等,同时,可灵活设置大楼内用户权限,限定用户访问互联网的权限。
假设此办公大楼的内部网络又可按照所属的部门、职能、安全重要程度分为许多子网(即vlan),包括:财务子网、领导子网、办公室子网、市场部子网、各类服务器子网等。通过vlan技术的应用可以将这些用户区分开来。
1 建设效果
1.1 先进性
新建办公楼的信息网络必须满足日新月异的信息化发展及新业务的开展,要求所用设备支持所有国际通用标准,良好的售后服务。数据网络设备须选用具有国际的的先进水平,均为业界领先并且应用广泛的高性能交换机。
1.2 安全性
由于以太网的广播特性,某台计算机感染病毒后会在局域网中散播,因此在设备选择上须重视设备对病毒包的抑制过滤能力、acl能力、对用户终端的控制手段等。所选用的数据网络设备均支持丰富的acl访问控制列表,对用户进行线速的数据包过滤。此外,根据客户需求还可以在用户侧进行port-mac地址捆绑、mac地址-ip地址捆绑等功能,有效得对网络内部的用户、地址进行控制和管理。
1.3 高可用性/可靠性
网络设备具有良好的可靠性保证,可热插拔的模块,快速的恢复机制,冗余及负载均衡的电源系统,控制模块的冗余等。
通过vrrp与stp技术实现网络结构的冗余,确保不因为单条线路的故障而导致整个网络系统的失效,并且确保在某条线路故障时对系统性能的影响也能最小。
1.4 可扩展性和可升级性
实施的网络具有良好的扩展性(拓扑结构、线卡等),整个网络可以在各层扩充设备,并通过网管系统进行统一管理。为今后的网络扩展留有足够的空间,必须具有高度的可扩充性,可有效地对用户提供投资保护。
1.5 易管理和易维护性
通过网管软件的安装对整个网络提供实时端口级的管理,拓扑管理、lan的配置和管理,并提供各种管理策略,有效地对整个网络进行管理、控制和维护。为网络提供完善的管理、配置、故障、性能、统计管理。可选择结合业界领先的集群管理技术,做到交换机即插即用,大大简化了配置过程,为日后扩容提供了便利。
2 建设方案
2.1 方案概述
既然内部网络可按照所属的部门、职能、安全重要程度分为许多vlan子网,包括:财务子网、领导子网、办公室子网、市场部子网、各类服务器子网等。在方案设计中,基于安全的重要程度和要保护的对象,可以在交换机上划分为4个虚拟局域网(vlan),即:各类服务器子网、财务子网、领导子网、其他子网。不同的局域网分属不同的广播域,由于财务子网、领导子网、中心服务器子网属于重要网段,因此在中心交换机上将这些网段各自划分为一个独立的广播域,而将其他的工作站划分在一个相同的网段。
2.2 设计思想
设计思想为:采用高速、高性能的网络主干;网络根据需要划分不同的虚拟网;虚拟网之间的数据交换通过集中的路由功能实现;网络主干应有极强的扩充能力,网络性能不会因为网络的扩充而降低;与广域的路由器和主机配合实现广域上网络资源的备份和数据分流;保障局域网上的安全性;
2.3 方案描述
由于局域网中存在多个不同安全级别的网络用户,例如财务系统和普通的一般工作机器,因此从安全的角度看应该将这些用户进行隔离。一个最基本的工具就是vlan,对不同的网络用户进行隔离。更复杂一些的方案是通过vpn等。在目前的技术情况下,一般是使用vlan进行隔离居多。
为使得用户可以访问公司内部,或者外部的一些公共资源,虽然通过vlan可以进行物理层面的隔离,但是希望他们在ip层是互通的,为此需要对不同的用户/主机分配ip地址。
对大型网络,可以通过不同的楼层为单位进行ip地址的分配,这样可以获得比较好的地址汇聚能力,可以减少对路由表的需求。另外一种比较可行的方案是使用dhcp自动地址分配策略,减少网络使用的复杂度。
根据以上对网络的分析以及方便扩容的原则,规划整个网络分为核心层和接入层两级架构:
(1) 在办公楼的中心机房选用配置1台中兴通讯的zxr10 ger02作为出口路由器,上联至防火墙实现百兆接入internet;
(2) 选用1台中兴通讯的zxr10 t40g作为核心层路由交换机,通过高密度的千兆光接口板汇聚接入交换机设备,通过百兆电接口板连接各类服务器;
(3)在每个楼层部署1台中兴通讯zxr10 2852s作为接入层交换机,通过千兆光纤上联至核心交换机,通过百兆双绞线下联用户计算机终端;网络拓扑图如图1所示。
图1 网络拓扑结构
中兴通讯的接入级以太网交换机支持4k个标准vlan,可基于端口、mac地址、各种策略来划分vlan,能提供48个固定的10m/100m 以太网口和2个固定的1 000 m光口和2个固定的10 m/100 m/1 000 m自适应电口。本方案中采用在接入交换机2852s上基于端口划分vlan的方式,使各类用户都可以接入网络,vlan号和vlan名称规划如表1所示。
在核心交换机zxr10 t40g上建立各个子网的vlan网关,各子网内可以相互通信,但子网间的通信必须通过网关实现,网管人员可以通过访问控制列表acl来灵活调整vlan间的互访关系,从而达到限制用户行为的目的。
在给不同的用户群划分完vlan之后,还需要为不同的vlan内的用户分配不同的ip地址,不同的子网ip地址也是不同的,局域网内的ip地址一般选用私网ip(关于ip地址的内容详见后面章节),考虑到以后的扩容,本次为每个网段分配1个c类地址,即每个子网的可用ip地址数为254个。各子网的ip地址规划如表2所示。
出口路由器ger采用先进的crossbar交换结构以及高性能的网络处理器技术,以中小型路由器的体积,提供32 gb/s的大容量交换能力,支持多个2.5 gb/s pos、ge、fe、155m pos等高速端口以及高密度的e1接口,支持灵活的组网方式。可以提供2个用户接口插槽供用户选择,充分满足用户分步建设的需求,zxr10 ger路由器具有良好的扩展性,可充分保护用户的投资。ger采用硬件实现强大的nat功能,nat并发会话数高达1m,可以作为高性能的nat网关产品。
表1 vlan号和vlan名称规划
vlan 编号vlan名实现功能
2server各类服务器子网
3leader领导子网
4finance财务子网
5other其他子网
表2 各子网的ip地址规划
vlan编号vlan名实现功能地址划分掩码网关
2server各类服务器子网192.168.2.1-192.168.2.254255.255.255.0192.168.2.1
3leader领导子网192.168.3.1-192.168.3.254255.255.255.0192.168.3.1
4finance财务子网192.168.4.1-192.168.4.254255.255.255.0192.168.4.1
5other其他子网192.168.5.1-192.168.5.254255.255.255.0192.168.5.1
整个网络采用了先进的以太交换网络技术、高速的桌面接入能力实现了网络数据传输的高效性,同时整个网络具有开放性、标准化的网络体系,支持各种异构计算机网络之间的互连。另外,该网络方案还具有以下特点:
(1) 整个系统具有较高的性能价格比,并能够很好地保护用户投资。对于入驻的业主也可以有所选择,根据业主需求构建内部网络;
(2) 具有前瞻性、先进性和可扩展性, 要满足未来10年业务的需求,具备软件可升级、端口可支持万兆、设备支持mpls等扩展性;
(3) 具有开展业务的灵活性,适应业务模式和业务量的变化要求,网络设备支持各种路由协议,并具备平滑升级的能力;
(4) 具备很高可靠性和安全性,在多个层次上实现安全访问控制;能够对根据需要对不同用户、不同应用、不同接入方式统一进行认证;可以对关键应用系统进行隔离和访问控制;对外网(互联网和合作伙伴)进行隔离和访问控制;具有dos和ddos防护能力等深层防御能力;
(5) 选择的软硬件产品应具有一定的通用性,采用标准的技术、结构、系统组件和用户接口。
3 ip地址规划原则
网络地址、域名统一规划:由于ip地址及域名尚未确定,本次方案中只简要提出ip分配及域名规划的原则。域名规划要注意层次性和一致性。内部域名、外部域名要分别设置,能体现组织结构并易于管理。
地址分配要遵循原则:简单性。地址的分配应该简单,避免在主干上采用复杂的掩码方式;连续性。为同一个网络区域分配连续的网络地址,便于采用summarization及cidr(classless inter-doma in routing)技术缩减路由表的表项,提高路由器的处理效率;可扩充性。为一个网络区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍然能够保持地址的连续性;灵活性。地址分配不应该基于某个网络路由策略的优化方案,应该便于多数路由策略在该地址分配方案上实现优化;可管理性。地址的分配应该有层次,某个局部的变动不要影响上层、全局;安全性。网络内应按工作内容划分成不同网段即子网以便进行管理。
3.1 地址规划
ip地址的总体划分规则如下:
(1)技术方案上讲,采用vlsm变长子网掩码创建分层的子网,利用cidr减少路由器中路由表中路由数量,提高总体网络性能。
(2)根据ip网络的应用领域不同和网络层次的位置不同,采用不同的ip地址规划策略。
子网划分允许系统管理员更好的利用现有的地址空间。例如:有8个网络,每个网络有30个主机。原来需要8个class c地址,现在用子网划分,一个class c地址就够了。因为子网在internet上是不可见的,所以:路由表会减少,内部网根据需求可以划分多个子网,不需要浪费地址空间和增加internet路由表;子网的震荡不会影响internet,ripv1只允许一个子网掩码,rfc1009允许在一个路由域内有多个子网掩码。当有多个子网掩码备用,就称为可变长子网掩码。
没有vlsm,一个子网掩码只能提供给一个网络。这样就限制了子网上的主机数。举一个vlsm的例子:
① 假设有一个c类地址:192.214.11.0,需要把它分成3个子网,其中一个子网要求有100台主机。另外两个子网各50台主机。
②理论上你可以使用256个地址,从192.214.11.0到192.214.11.255。但是如果没有vlsm,很难完成期望的划分。如果没有vlsm,可有两种选择:使用255.255.255.128把地址划分为各有128台主机的2个子网,或者用掩码255.255.255.192把网络划分成有64台主机的4个子网。难以满足上面提出的需求。
③如果使用vlsm,可以使用掩码128把地址分成128台主机的两个子网,再用掩码192进一步把第2个地址分成各64台主机两个子网。
vlsm允许设计者为特定的需求分割地址空间。每个站点传送一个聚合的子网地址到其他的站点。
同样,一个supernet是用一个普通的网络前缀和掩码来表示一组网络。一个supernet的地址是由一对地址/掩码组成的,前缀指的是相邻网络地址组中的第一个ip地址,掩码是要小于自然掩码长度。
例如,一组连续的地址:192.32.0.0到192.32.3.0。supernet的地址是192.32.0.0(第一个ip地址),掩码是255.255.252.0。在rfc1517-1520文档中,class interdomain routing (cidr)是一种地址规划。cidr脱离了传统的a/b/c类地址。在cidr中,一个ip网络由一个前缀表示,这个前缀是一个ip地址中的最左边的相邻有效位的表示。cidr可以把相邻的具体路由集中在一个通告中,被称为“聚合”。
cidr允许路由器更充分聚合路由选择信息。路由表中的一条纪录可以代表许多网络。这大大减小路由表的规模,并且直接转化为地址空间的可扩展性。
地址规划的基本思想:通常合理的地址规划是使连续的地址尽量集中在一个区域内。因此,整个核心层应象一个区域或一个省一样,被分配一段连续的地址。更进一步,连接进某一区域的省的ip地址范围应集中在该区域的地址范围附近。
广域网连接:如果广域网连接采用路由协议,则应使用30位掩码。点对点的连接只需两个主机地址,因此不需更大的地址空间。具体设计实施规则:
第一层:以网络汇接区域来划分。
根据网络汇接分布的地理区域来划分大块连续的ip地址空间;有利于路由协议的计算和地址汇聚。
在首期网络工程内的地址划分需要考虑网络的接入层的扩展;需要为网络的扩展预留地址空间。
第二层:在区域接入网内,以网络功能来划分。
可以根据不同的应用和网络功能来划分,如:用户网络接入地址;数据服务器地址空间和网络管理操作。可以从号码上识别出应用和功能;
根据具体地址空间,可以给出每个区域和接入层的地址空间。在地址分配中需要的从地址的应用类型上给出规则:路由器 loopback 地址,每台路由器需要一个30位掩码的ip地址;点到点的广域网链路,需要30位最小的子网;局域网地址按照主机接入数量和设备数量来分配子网空间;根据网络ip地址的应用类型,从总体上将可利用的ip地址划分成如下4种类型,划分方案如表3所示。
表3 划分方案
应用类型ip地址子网掩码
网间网互连192.168.x.x255.255. 255.0
带内管理192.168.x.x255.255. 255.0
数据服务器172.16.1.x255.255. 255.0
网络用户10.x. x.x255.255. 0.0
(1) 网间网互连网络。
由于网间网互连网络是负责ip网络核心、汇聚以及接入3层设备的互连,属于机密性的管理网络,所以要和用户ip地址有严格的区分,该部分网络采用192.168.x.x的30位子网掩码的点到点连接的子网,以增加网络的安全性、可管理性和ip地址的利用率。
(2) 带内管理网络。
由于带内管理网络是负责全部网络连接设备的管理,也属于机密性的管理网络,所以要和网间网互连网络一样,要和用户ip地址有严格的区分,该部分网络也采用192.168.x.x的24位子网掩码的c类子网,同时,以结合3层分层结构进行带内管理地址的分配。
(3) 数据服务器网络。
数据服务器网络是全网的应用数据服务核心,所以采用从172.16.x.x中拿出一段作为数据服务器网络地址,该部分的地址规划要和应用的模式和分布情况进一步设计。
(4) 用户网络。
用户网络的ip地址是整个网络用户的终端ip地址,是整个网络ip地址划分中的核心部分,该部分ip地址要严格按照网络的分层结构划分出分层子网,同时,要预留网络的扩展网段,以利于网络规模的扩展。
3.2 地址分配
地址划分是优化路由处理的重要组成部分。在宽带ip网络中,初步设计采用保留的地址(10.x.x.x,172.x.x.x,192.168.x.x),地址按区域划分。
在地址分配过程中,各节点的保留ip地址应尽量保持连续性以便于内部路由管理,同样,整个网络内部也应尽量保持cidr(无级域间路由)地址块的连续性,保留ip地址的使用应为将来网络发展留有余地,以便于网络的统一规划。ip的地址分配主要考虑:合法的ip地址应由统一的网管中心分配使用;地址分配方案应与原有网络地址分配方案统一考虑,原有网络地址分配尽量保持不变; 地址分配应本着简化路由选择,充分利用地址空间,兼顾今后网络发展,便于业务管理等原则进行;地址分配方案可以考虑可变长子网掩码技术;充分考虑未来在若干节点的系统可扩充性;充分反映ip网络的拓扑层次结构;有利于路由协议的配置,地址归纳和自治域的设定;方便网络管理;在各个层次都预留地址以适应不同层次的扩容。
4 结 语
现代办公模式较传统办公室模式的革命性变化促进了企业网的形成。随着经济的飞速发展,中小型企业在整个国民经济中占有越来越重要的地位,但是中小型企业的信息技术水平却相对较弱。本文对中小型园区网建设的各个要素进行分析,提出了一套完整的中小型园区网的建网方案。该方案兼顾了安全性、可靠性、可用性、易维护性等各个方面,很好地满足了现代办公模式对整个企业网的功能需求,并对设备选择和ip地址划分给出了常用分配原则和参考方法。
参考文献
[1]王立春.vlan技术及其在大学校园网中的应用[j].科技资讯,2007(6):155-157.
[2]沈大林.中小型企业网组建与维护[m].北京:
上一篇:厂房租赁合同简单版本
下一篇:私人间借贷标准合同范本
推荐阅读