局域網(wǎng)組建典型案例

局域網(wǎng)組網(wǎng)方案設(shè)計(jì)的一般方法1.1

網(wǎng)絡(luò)需求分析局域網(wǎng)通常是在企事業(yè)單位內(nèi)部組建的網(wǎng)絡(luò)，以實(shí)現(xiàn)內(nèi)部基于網(wǎng)絡(luò)的辦公和文件共享。相對(duì)于廣域網(wǎng)，局域網(wǎng)具有高速、覆蓋范圍較小等特點(diǎn)。局域網(wǎng)要實(shí)現(xiàn)與外部的通信，可以通過光纖或ADSL等方式接入廣域網(wǎng)。組建一個(gè)局域網(wǎng)之前，需要考慮用戶的網(wǎng)絡(luò)需求，包括以下幾個(gè)方面。（1）用戶所屬行業(yè)。（2）用戶所在單位的布局。（3）用戶的員工人數(shù)。（4）數(shù)據(jù)存儲(chǔ)和備份。（5）用戶的投資預(yù)算。（6）網(wǎng)絡(luò)安全級(jí)別的定位。（7）用戶的其他要求。1.2

網(wǎng)絡(luò)系統(tǒng)方案設(shè)計(jì)對(duì)用戶的地理位置、樓宇分布、用戶數(shù)、運(yùn)行的應(yīng)用系統(tǒng)以及性能要求、安全級(jí)別要求等進(jìn)行需求分析后，結(jié)合行業(yè)特點(diǎn)和網(wǎng)絡(luò)的發(fā)展前景，制定適合用戶需求的解決方案。設(shè)計(jì)方案時(shí)，可以從以下幾個(gè)方面考慮。1．樓宇內(nèi)部的布線2．企業(yè)內(nèi)部不同區(qū)域的互連3．應(yīng)用系統(tǒng)的建設(shè)4．安全保障5．局域網(wǎng)與Internet的互連案例：校園網(wǎng)建設(shè)方案校園網(wǎng)需求分析某高職高專院校在校師生大約5000人，分兩個(gè)校區(qū)：主校區(qū)和西校區(qū)。學(xué)校用戶需要訪問教育科研網(wǎng)和ChiaNet，西校區(qū)網(wǎng)絡(luò)連接主校區(qū)接入外網(wǎng)。學(xué)校主要有教學(xué)樓、辦公樓、信息樓、航海樓、圖書館、學(xué)生宿舍、學(xué)生食堂等樓宇，所有樓宇均采用鋪設(shè)光纜的方式連接到信息樓的網(wǎng)絡(luò)中心，并接入Internet。應(yīng)用系統(tǒng)包含辦公系統(tǒng)、教學(xué)系統(tǒng)、人事工資檔案等，所有應(yīng)用系統(tǒng)和數(shù)據(jù)均存儲(chǔ)在網(wǎng)絡(luò)中心。學(xué)校對(duì)外部用戶提供的服務(wù)有門戶網(wǎng)站、郵件系統(tǒng)等應(yīng)用系統(tǒng)，對(duì)內(nèi)部用戶提供的服務(wù)有OA系統(tǒng)、FTP應(yīng)用系統(tǒng)、選課系統(tǒng)、課件制作系統(tǒng)、視頻點(diǎn)播系統(tǒng)等，并對(duì)內(nèi)部用戶提供DNS服務(wù)、DHCP服務(wù)。要使用的操作系統(tǒng)有Windows、UNIX、Linux等，數(shù)據(jù)庫有SQLServer、Oracle、MySql、access等。通過建立校園內(nèi)部的局域網(wǎng)并接入廣域網(wǎng)，可以實(shí)現(xiàn)內(nèi)部辦公及學(xué)生在線學(xué)習(xí)，并能訪問Internet。2

校園網(wǎng)解決方案為實(shí)現(xiàn)以上目標(biāo)，需要首先制定網(wǎng)絡(luò)建設(shè)方案，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖所示3

主要設(shè)備選型組建一個(gè)局域網(wǎng)時(shí)，用到的基本網(wǎng)絡(luò)設(shè)備有交換機(jī)；為了把局域網(wǎng)接入廣域網(wǎng)，還需要使用路由器和防火墻。選購這些網(wǎng)絡(luò)設(shè)備前，需要熟悉設(shè)備的技術(shù)參數(shù)。1．交換機(jī)（1）端口類型和端口數(shù)目。（2）背板帶寬。一個(gè)交換機(jī)的背板帶寬是否夠用，可從兩個(gè)方面考慮。①所有端口容量乘以端口數(shù)量之和的2倍，應(yīng)該小于交換容量，這樣可實(shí)現(xiàn)全雙工無阻塞交換。實(shí)踐證明，這是交換機(jī)發(fā)揮最大數(shù)據(jù)交換性能的條件。②滿配置吞吐量（Mpps）＝滿配置端口數(shù)×1.488Mpps。其中，1個(gè)千兆端口在包長(zhǎng)為64字節(jié)時(shí)的理論吞吐量為1.488Mpps，即每秒鐘能轉(zhuǎn)發(fā)1.488M個(gè)64字節(jié)的數(shù)據(jù)包。（3）交換引擎的轉(zhuǎn)發(fā)性能。（4）MAC地址表的大小。（5）更高的安全要求。主要設(shè)備選型2．路由器（1）接口類型。（2）CPU。（3）內(nèi)存。（4）支持的協(xié)議類型。（5）全雙工線速轉(zhuǎn)發(fā)能力。（6）設(shè)備吞吐量。（7）端口吞吐量。（8）路由表能力。3．防火墻（1）硬件參數(shù)。（2）防火墻類型。（3）并發(fā)連接數(shù)。（4）吞吐量。（5）輔助功能。主要設(shè)備選型本案例中，核心交換機(jī)選用CiscoCatalyst4506

交換機(jī)。該交換機(jī)是模塊化交換機(jī)，有6個(gè)插槽，可以插不同類型的線卡。通過線卡提供的GBIC光纖口，使光纖能夠與辦公樓、教學(xué)樓、圖書館等樓宇的匯聚交換機(jī)互連。西校區(qū)可以采用TRUNK模式或路由模式，把西校區(qū)的交換機(jī)通過租用的數(shù)字鏈路直接連接到核心交換機(jī)，最終實(shí)現(xiàn)所有樓宇、所有校區(qū)均通過光纖接入網(wǎng)絡(luò)中心，并通過統(tǒng)一出口訪問廣域網(wǎng)。

背板帶寬100Gbps包轉(zhuǎn)發(fā)率75Mpps是否支持VLAN支持網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.3、10BASE-T,IEEE802.3u、100BASE-TX,IEEE802.3、10BASE-FX,IEEE802.3z、IEEE802.3x、IEEE802.3ab,10BASE-X（GBIC）傳輸速度10/100/1000/10000Mbps端口類型10/100/1000Base-T,1000Base-FX端口數(shù)240口模塊化插槽有，6個(gè)支持全雙工是管理方式SNMP管理信息庫(MIB)II，SNMPMIB擴(kuò)展，橋接MIB(RFC1493)CiscoCatalyst4506交換機(jī)的基本參數(shù)主要設(shè)備選型本案例匯聚交換機(jī)選用CiscoCatalyst3560。各個(gè)匯聚交換機(jī)通過光纖接口與CiscoCatalyst4506核心交換機(jī)互連，并為各接入交換機(jī)或直接接入用戶提供10M、100M或1000M接入。背板帶寬32Gbps內(nèi)存/閃存32Mb端口類型10/100端口|SFP吉比特（千兆）以太網(wǎng)端口|1RU支持速率10Mbps/100Mbps/1000Mbps是否支持全雙工支持是否支持VLAN支持MAC地址表12k交換機(jī)CiscoCatalyst3560的基本參數(shù)主要設(shè)備選型本案例防火墻選擇速通3500。防火墻部署在路由器和核心交換機(jī)之間，一則對(duì)整個(gè)內(nèi)網(wǎng)的用戶提供安全保障，二則實(shí)施NAT轉(zhuǎn)換（解決IP地址匱乏）。另外，當(dāng)IDS檢測(cè)到攻擊時(shí)，防火墻應(yīng)能夠接收到IDS指令，并對(duì)來自外部的攻擊進(jìn)行阻攔，對(duì)防火墻的規(guī)則進(jìn)行動(dòng)態(tài)調(diào)整。因此，防火墻應(yīng)能與用戶的IDS設(shè)備聯(lián)動(dòng)。

帶寬100M并發(fā)連接數(shù)50萬策略數(shù)1200網(wǎng)口數(shù)外口*1，交換口*4，擴(kuò)展口*2部署模式支持路由、透明、混合模式，支持NAT過濾方式支持狀態(tài)包檢測(cè)，支持基于時(shí)間的過濾，基于用戶認(rèn)證的過濾，基于內(nèi)容的過濾VPN功能支持IPSec協(xié)議，PPTP協(xié)議，AES加密、DES/3DES加密高可靠性雙擊熱備，鏈路備份，軟件升級(jí)速通防火墻3500的基本參數(shù)

4

組網(wǎng)技術(shù)的選用1．接入設(shè)計(jì)2．應(yīng)用系統(tǒng)的部署3．安全管理機(jī)制4．設(shè)備的配置案例：網(wǎng)吧建設(shè)方案1

網(wǎng)吧需求分析建設(shè)網(wǎng)吧時(shí)，應(yīng)考慮以下幾個(gè)關(guān)鍵因素。（1）穩(wěn)定高速的需求。（2）管理的需求。（3）易擴(kuò)充的需求。（4）接入方式。2

網(wǎng)吧解決方案本方案如圖所示。其中，出口采用NBR2000網(wǎng)吧專用路由器，核心采用S5750系列三層交換機(jī)，S2700系列安全交換機(jī)作為接入。用戶只需要將S5750、S2700交換機(jī)和NBR路由器的局域網(wǎng)接口接到一起，NBR路由器就能夠自動(dòng)識(shí)交換機(jī)設(shè)備，并且由NBR路由器把最優(yōu)化配置下發(fā)到安全交換機(jī)上，實(shí)現(xiàn)統(tǒng)一的智能聯(lián)動(dòng)管理。網(wǎng)吧拓?fù)鋱D該方案具有智能聯(lián)動(dòng)的特點(diǎn)，具體特點(diǎn)如下。（1）自動(dòng)發(fā)現(xiàn)。（2）自動(dòng)綁定。（3）定時(shí)更新。（4）統(tǒng)一配置。主要設(shè)備選型1．路由器NBR2000RG-NBR2000是銳捷星網(wǎng)公司針對(duì)大型網(wǎng)吧推出的吉比特（千兆）核心寬帶路由器，采用64位高性能MotorolaPowerPC8540RISCCPU，主頻高達(dá)833M，固化有1個(gè)吉比特（千兆）和1個(gè)百兆以太網(wǎng)WAN口、1個(gè)吉比特（千兆）以太網(wǎng)LAN口、一個(gè)Console配置口，最大支持50萬條的超大容量NAT并發(fā)會(huì)話。2．RG-S5750系列安全智能萬兆多層交換機(jī)RG-S5750系列是銳捷星網(wǎng)公司推出的融合了高性能、高安全、多智能、易用性的新一代10吉比特機(jī)架式多層交換機(jī)。該系列交換機(jī)提供的接口形式和組合非常靈活，可以提供24個(gè)10/100/1000M自適應(yīng)的吉比特（千兆）電口，或12個(gè)SFP吉比特（千兆）光口，還能提供PoE遠(yuǎn)程供電的接口。RG-S5750提供240G的背板帶寬，特別適合高帶寬、高性能和靈活擴(kuò)展的大型網(wǎng)絡(luò)匯聚層、中型網(wǎng)絡(luò)核心，以及數(shù)據(jù)中心服務(wù)器群的接入使用。主要設(shè)備選型3．RG-S2724G安全交換機(jī)RG-S2724G是銳捷星網(wǎng)公司推出的新一代高性價(jià)比全吉比特（千兆）網(wǎng)管交換機(jī)，具有20個(gè)10/100/1000MRJ-45端口和4個(gè)Combo(RJ-45+SFP)吉比特（千兆）上連端口，極大地方便了使用。RG-S2724G可以根據(jù)網(wǎng)絡(luò)的實(shí)際使用環(huán)境，實(shí)施靈活多樣的安全策略，有效防止和控制非法用戶接入和使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)資源，充分保障網(wǎng)絡(luò)的高效安全以及網(wǎng)絡(luò)合理化使用和運(yùn)營。RG-S2724G支持巨型幀，具有智能流分類，能提供完善的服務(wù)質(zhì)量（QoS）保證，QoS策略能根據(jù)定義對(duì)每臺(tái)主機(jī)的數(shù)據(jù)流進(jìn)行調(diào)度，提供整體化的服務(wù)等級(jí)設(shè)置，有效保證高優(yōu)先級(jí)數(shù)據(jù)的轉(zhuǎn)發(fā)與帶寬。RG-S2724G可以提供端口聚合、VLAN、組播等應(yīng)用，最大化滿足高速、高效、安全、智能的網(wǎng)吧新需求。組網(wǎng)技術(shù)的分析與選用本方案用RG-NBR2000作為出口路由器，核心交換機(jī)采用S5750，各個(gè)用戶區(qū)域采用RG-S2724G作為接入交換機(jī)，各接入交換機(jī)通過1000M光纖匯聚到核心交換機(jī)。在NBR的Web界面上可對(duì)全網(wǎng)交換機(jī)（銳捷系列安全交換機(jī)）進(jìn)行統(tǒng)一管理配置。NBR2000是構(gòu)建該網(wǎng)吧的網(wǎng)絡(luò)基礎(chǔ)平臺(tái)，可確保網(wǎng)吧具有高速、安全、穩(wěn)定、智能的特點(diǎn)。采用NBR2000作為大型出口，可以同時(shí)連接2條ISP寬帶線路，實(shí)現(xiàn)負(fù)載均衡和線路備份。NBR2000支持防ARP地址欺騙、抗網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)流量分析。人性化的Web管理和監(jiān)控界面，輕松實(shí)現(xiàn)基于IP地址的限速功能，為內(nèi)部計(jì)算機(jī)靈活分配帶寬，使BT下載、在線視頻不再影響其他人正常使用，徹底解決集線器所造成的網(wǎng)絡(luò)廣播風(fēng)暴和網(wǎng)速下降問題。內(nèi)置高性能防火墻，彈性帶寬和游戲加速，為高速安全的寬