计算机组网技术

小型企业网络规划

一、概论

当今信息时代，科技迅猛发展，人类社会总是在不断的发生着巨大的变化。中小企业用户的局域网一般来说网络结构不太复杂，主机数量不太多，服务器提供的服务相对较少。投入成本比较低，普及速度快。目前像h3c、cisco等网络设备厂商专门开发针对中小企业的产品，使得网络投入成本降低。另外，由于互联网的发展迅速，电子商务也随之迅速发展，无论什么企业还是个人都纷纷在网络上寻找能给自己创造价值的信息和资源。尤其是企业想降低生产成本，各企业都知道了网络信息化提高了生产效率。因此也促进了网络产业的网站，尤其是中小企业网络。

中小企业网络主要是企业内部网络建设，包括企业内部计算机节点的分布与整个网络的物理线路连接合理布局，以及门户网站、电子商务平台的搭建。进入21世纪后我国的中小企业大都进入信息化和办公自动化或者半信息半自动化。网络能够提高整个企业的工作效率，加大市场宣传面，增加业务业务量。因此中小企业网络将在20年内得到高速的发展。

为了实现公司内部信息的共享和快速传递，进一步提高信息化的应用水平，迫切要求建设一个快递、可靠的网络运营平台。

组建一个完善的计算机网络并非易事，有诸多相关问题需要考虑。如所建立的网络能否满足当前业务额应用的需求，是否能满足今后业务增长需要，若新增硬件和软件是否能方便的介入网络，采用什么样的网络结构形式与网络技术，选

择什么样的硬件服务平台和软件服务平台，选择什么样的数据库系统才能使网络系统运行稳定、可靠、安全、易于管理，网络建成后的生命周期有多长等等。当然还要考虑当前的有效投入：如何保护投资效益，尽量节省开支；如何充分发挥现有设备的作用与功能等等诸多方面的问题。

二、分析需求，提出网络设计原则

2.1 需求分析

公司有着自身的特殊性，对整个网络性能要求相对较高，组建需满足对数字、语音、图形图象等多媒体技术的广泛应用，以及综合科研信息的传输和处理需求的综合数字网，并能符合多种协议的要求，其体系应当符合国际标准（如TCP/IP 协议，Novell IPX协议等），同时能兼容已有的网络环境。因此设计组网前，应对各方面需求总结归纳并做出细致分析：

（1）内部光缆主干需求：分析综合布线系统及其子系统，主配线间MDF与二及配线间IDF的位置，不同类别的服务器位置等。

（2）应用管理需求：能够让管理人员从繁琐的文字处理中彻底解脱出来，以计算机信息系统交流和日常事物，构建公文系统、日常办公系统、档案系统、电子邮件等功能，且需操作简单、便于使用。满足视频点播、语音教学、多媒体课件等教学需求，具备基本的Internet访问功能等。

（3）网络流量需求：要求网有足够的网络吞吐量来满足教学任务，保证信息的高质高效率传输，网流量涉及到：语音教学、多媒体课件、服务器访问、Web浏览、视频点播等，对带宽需求和时延性要求极高。

（4）网络安全需求：网络必须有完善的安全管理机制，能够确保网络内部可靠运行，还要防止来自外部的和来自内部的非法访问和入侵，保证关键数据库的存储安全。

2.2 提出设计原则

（1）网络可靠性原则：网络设计过程中网络拓扑应采用稳定可靠的形式，如：双路由网络拓扑、环行网络结构。因为它们既可冗余备份，安全性又可以得到保障。核心层交换可采用高端交换设备和光纤技术的主干链路（TRUNK）来实现较高的容错性，这样就可以避免单点故障的出现。网络结构使用双链路，双核心交换设备，双路由备份可靠措施，都可以使网可靠性和实用性得到大大的提高

（2）网络可扩展性原则：园区网扩展性包含两层意思

一：新的部门能简单的接入现有网络；

二：升级新技术的应用能够无逢的在现有网络上运行。

可见，规划网络时不单要分析当前的技术指标，还要对未来的网络增长情况做出估计和预算，以满足新的需求，保证网络的可靠性，从而保证正常的教学秩序。（3）网络实用性和可管理性原则：园区网系统设计在性价比方面要体现系统的实用性。可采用先进的设备，但有要在资金允许的条件下实现建网的目标，园区网应基于简单网络管理协议（SNMP），并支持管理信息库（MIB），利用图形化、可视化管理界面和操作方式。易于管理，这也正体现出了实用性原则。合理的网络规划策略，可提供强大的管理功能，能使管理实现一体化，这就便于日后网的更新与维护。

（4）网络安全性原则

1.对物理层、网络拓扑结构、操作系统及应用软件要求具备相应的安全检测机制，边界网关应该构筑防火墙，安装杀毒软件，对网关路由器进行必要的安全性过滤。如利用访问控制列表ACL配置、用户身份认证、数据加密、密钥等技术来实现园区网的安全化。

2.采用静态虚拟局域网技术（静态VLAN）加强内网的管理。VLAN是基于逻辑划分而非物理地理划分的局域网技术，能有效的控制各个网段的相互访问，从而保证了

内网的安全性，同时VLAN又可抑制不必要的广播，从而节约了带宽，又便于管理。

3.以TCP/IP四层网际模型为框架建立持续过程的网络安全性措施运行机制，做到维护网络、监测网络、测试网络、改进网络四位一体的网络持续性保卫工作，它是网络安全性管理的核心思想。

三、虚拟局域网（vlan）设计方案

划分虚拟局域网是整个网络系统的重要技术之一。企业网络内部的环境复杂、分布区域广、网络用户多，以至于企业内部网络用户的可靠性得不到完全的保证。通过划分虚拟局域网，隔离不同部门，可以增强企业网络安全性，以下详细论述了虚拟局域网的技术及在网络系统中的必要性和设计方案。

以太网基本上是以广播为基础的，如最初包的寻址等，交换机虽然能够通过建立地址映射表减少不必要的广播的，网络节点（如PC机）在处理广播时浪费了CPU处理时间，降低了处理性能，根据统计，当网络上存在15000个广播包时，将耗尽CPU资源；在传统的网络里，节点的吞吐量都会随着节点的增多，但是地址映射表的建立过程仍然是基于广播而下降，交换式以太网虽然能够隔离冲突域及第二层广播，但是无法隔离第三层网络。

另一方面，接入网需要保障用户数据（单播地址的帧）的安全性，隔离携带有用户信息的广播消息（如ARP、DHCP消息等），防止关键设备受到攻击。对每个用户而言，当然不希望他的信息被别人利用，因此需要从物理上隔离用户数据（单播地址的帧），保证用户单播地址的帧只有该用户可以接收到，不像在局域网中采用共享总线方式，使单播地址的帧能被总线上的所有用户接收。如果不隔离这些广播消息而让其他用户接收到，容易发生MAC/IP地址仿冒，影响设备的正常运行，中断合法用户的通信过程。

为了隔离第三层广播，增强安全性、提高网络性能，可以运用VLAN（虚拟局域网）技术或者使用路由设备。

使用路由器时可以将网络划分多个物理网段，这些物理网段可以连接到路由器的多个端口，多个物理网段间通过路由器进行通信，但是路由器的端口价格远远高出交换机的端口价格，所以这种方式将增加设备投资，在物理网段增多时就更为严重，而且只有使用高端设备才能满足高端口密度的要求，所以不推荐这种方式。

VLAN技术不需要特殊的设备，目前第二层交换机均支持VLAN技术。通过在一个物理网段上划分出多个逻辑网段，由每一个逻辑网段构成一个VLAN，其内部采用交换机连接，所有的广播信息只限制在本VLAN内，而之间的连接则采用路由实现，具体实施时可以外加路由器，或者直接使用第三层交换设备。使用路由器时，将这些逻辑网段连接到路由器时可以只使用一条物理链路、占用一个路由器接口，这样就节省了设备的投资，而使用三层交换设备时，不需要额外增加设备，只要交换机支持三层路由功能即可，由于三层交换设备的工作效率高于路由器，所以在本论文中推荐采用三层交换设备实现VLAN之间的路由。