A. 菜鳥請教``如何組建小型企業的區域網
一、區域網概述
目前,我國各企業大都建立了自己的計算機網路,網路應用頗具規模,特別在數值計算、信息管理、辦公事務、工程(產品)設計、加工製造等方面基本實現了計算機應用,計算機、網路和資料庫正在成為企業日常運行的基石。區域網是由一組相互連接具有通信能力的計算機組成的,並分布在較小地理范圍內的計算機網路。企業的組網技術存在多種選擇,但比較實用的是乙太網(Ethernet)。乙太網較早進入網路應用領域,技術成熟,性能穩定,伸縮性強,性價比好,是企業區域網的首選技術。高速乙太網(1000Mbps及以上傳輸速率)甚至可承擔實時和多媒體網路業務。企業區域網一般由內部網和外網兩部分組成。內部網又分成主網和各個相對獨立的子網。外網把企業內部網和Internet網連接起來。在企業區域網上,通常的網路應用有:通過伺服器實現文件服務和列印機(繪圖機)資源共享,資料庫應用,MIS及CAD應用,Internet 及Intranet應用,辦公自動化應用等等。
對區域網進行分類經常採用以下方法:按拓撲結構分類、按傳輸介質分類、按訪問介質分類和按網路操作系統分類。
(1)按拓撲結構分類
區域網經常採用匯流排型、環型、星型和混和型拓撲結構,因此可以把區域網分為匯流排型區域網、環型區域網、星型局域和混和型區域網等類型。這種分類方法反映的是網路採用的哪種拓撲結構,是最常用的分類方法。
(2)按傳輸介質分類
區域網上常用的傳輸介質有同軸電纜、雙絞線、光纜等,因此可以氫區域網分為同軸電纜區域網、雙絞線局域和光纖區域網。若採用無線電波,微波,則可以稱為無線區域網。
(3)按訪問傳輸介質的方法分類
傳輸介質提供了二台或多台計算機互連並進行信息傳輸的通道。在區域網上,經常是在一條傳輸介質上連有多台計算機,如匯流排型和環型區域網,大家共享使用一條傳輸介質,而一條傳輸介質在某一時間內只能被一台計算機所使用,那麼在某一時刻到底誰能使用或訪問傳輸介質呢?這就需要有一個共同遵守的方法或原則來控制、協調各計算機對傳輸介質的同時訪問,這種方法,這種方法就是協議或稱為介質訪問控制方法。目前,在區域網中常用的傳輸介質訪問方法有:以太(Ethernet)方法、令牌(Token Ring)、FDDE方法、非同步傳輸模式(ATM)方法等,因此可以把區域網分為乙太網(Ethernet)、令牌網(Token Ring)、FDDE網、ATM網等。
(4)按網路操作系統分類
區域網的工作是區域網操作系統控制之下進行的。正如微機上的DOS、UNIX、WINDOWS、OS/2、等不同操作系統一樣,區域網上也有多種網路操作系統。網路操作系統決定網路的功能、服務性能等,因此可以把區域網按其所使用的網路操作系統進行分類,如Novell公司的Netware網,3COM公司的3+OPEN網,Microsoft公司的Windows NT網,IBM公司的LAN Manager網,BANYAN公司的VINES網等。
(5)其他分類方法
按數據的傳輸速度分類,可分為10Mbps區域網、100Mbps區域網、155Mbps區域網、千兆區域網等,按信息的交換方式分類,可分為交換式區域網、共享式區域網等。
二、企業內網的實現
1、Intranet(企業內部網)建設
Intranet即企業內部網。是企業內部日常運作的重要保證。通過intranet可實現企業內部辦公自動化,財務電算化,數據共享,上網鏈路共享,列印共享,內部電子郵件傳輸等一系列功能。
(1)根據具體情況,設計網路模型
根據企業的具體情況,建議整個網路系統採用多伺服器的「主幹—星型」混合拓撲結構。採用光纖和5類雙絞線連接UTP加上百兆交換機,實現真正的百兆連接(到桌面)。其中伺服器和交換機放置在專用計算機房,並配置網路UPS。
這種網路結構的優勢在於非常靈活,網路中任何一台機器出現故障,對網路整體都不會構成很大影響。另外由於財務系統的封閉性,可以在網路中建立分支結構,既便於財務人員從主幹獲取信息,也保證財務信息的安全。
(2)工程布線標准
網路系統布線工程標准參照 EIA/TIA 568A、EIA/TIA 569 、EIA/TIA 、TSB36/40工業、國際商務建築布線標准及相應國家電信通信標准。
(3)網路的保修
(4)企業內部網站的建立
Intranet與傳統的企業內部辦公網路的主要區別即在於,在先進的網路設備和接入帶寬的保證下,有一套運行在企業內部區域網上的,與企業Intranet網站相關連又有所區別的企業內部網站。
2、Intranet上網共享的實現
通過區域網,可使全體員工共享上網資源。根據人員情況和上網需求量的大小,可採用以下三種方式:
(1)ADSL上網
非對稱數字用戶環路,可以在普通的電話銅纜上提供1.5~8mbit/s的下行和10~64kbit/s的上行傳輸,可進行視頻會議和影視節目傳輸,非常適合中、小企業。
(2)ISDN上網
目前在國內迅速普及,價格大幅度下降,有的地方甚至是免初裝費用。兩個信道128kbit/s的速率,快速的連接以及比較可靠的線路,可以滿足中小型企業瀏覽以及收發電子郵件的需求。而且還可以通過ISDN和Internet組建企業VPN。這種方法的性能價格比很高,在國內大多數的城市都有ISDN接入服務。
(3)DDN專線上網
這種方式適合對帶寬要求比較高的應用,如企業網站。它的特點也是速率比較高,范圍從64kbit/s~2Mbit/s。但是,由於整個鏈路被企業獨占,所以費用很高,其優勢在於速度極快,在滿足內部上網需求的同時可以用於發布網站。這樣就節省了網站發布所須的線路費用。
三、企業Internet(外網)實現
1、認識組建企業網站應具備的功能及意義
企業的網站應包括以下主要功能:
(1)公司企業形象宣傳;
(2)公司產品及服務的發布;
(3)在線產品發布:企業只要在網站進行注冊,就可以在網站上分門別類的發布產品信息,如果客戶感興趣,就可以進入專門的洽談室與廠商進行商談,並最終成交。
(4)客戶在線發布信息;
(5)信息反饋系統,用於收集客戶資料;
(6)電子郵件管理;
(7)電子公告牌;
(8)網站廣告管理系統(可選)。
2、線路資源
線路資源即網站採取何種方式進行對外發布。目前主要有如下三種方式:
(1)虛擬主機方式
即租用ISP服務商的伺服器空間用於發布網站。價格便宜,但是可操控性非常差,保密性差,網路速度慢。不利於網站的長期發展。
(2)主機託管方式
將網站伺服器放在ISP的專業機房內,利用ISP的帶寬資源,進行網站發布。價格比虛擬主機稍貴,但是可控制性強,保密性強,自由度高,網路速度快。
(3)專線方式
即把專線接到公司內部,把網站伺服器直接放在公司,用來進行網站信息發布。價格相對高一些,但更容易控制,保密性強,非常容易更新。如果公司內部上網要求比較大的情況下,建議採用此方式。
3、 網站建設的步驟
(1)域名申請;
(2)網站規劃;
(3)應用程序開發;
(4)網站風格設計創意、
(5)網站頁面製作;
(6)網站軟、硬體調試;
(7)網站線路調試;
(8)網站試運行;
(9)根據反饋信息進行錯誤修正;
(10)網站正式發布。
4、 網站的日常維護
日常維護內容包括網站數據收集並及時發送給有關部門,應用程序維護,硬體設備定期維護、線路保障、網站內容及時更新。綜合企業內部Intranet和Internet網站的日常維護工作,其中有許多相重合的部分,歸納起來主要有以下內容:
(1)硬體設備的維護保養
比較小的問題可以及時處理,屬於銷售商的問題及時聯系解決;
(2)各種應用軟體的熟練掌握;
(3)網站內容的及時更新;
(4)網站資料的及時反饋並進行基本管理;
(5)與產品銷售商或集成商進行協調。
四、中小企業的網路實際應用
根據企業規模、網路系統的復雜程度、網路應用的程度,用戶對於網路的需求各不相同,從簡單的文件共享、辦公自動化,到復雜的電子商務、ERP等等,在此對中小企業的一般應用做一些探討。
1、最簡配置
對於網路最簡單的應用,就是將若干個計算機連接起來,組成對等的網路,計算機之間可以相互之間共享資源,如果其中一台計算機安裝了列印機、MODEM等,其餘計算機可以通過網路系統,共享列印機和MODEM,進行文件列印、上網查詢等,利用相應的軟體,可以完成定單管理、信息查詢、數據統計等。其網路拓撲圖可以表示為,在PC伺服器上,可以安裝PROXY、防火牆等網路管理軟體,用以防範外部的攻擊、對內部員工進行授權等,而用戶數量的增加只是體現埠的增加,可以採用堆疊、級聯、使用高密度埠網路節點設備來實現。如果在工作中需要大量或者實時的數據通訊,可以用乙太網交換機替代集線器,例如在工作中需要處理多媒體或進行圖形設計等場合。
對於更進一步,在安全、互聯網接入方式上有更多要求,可以使用路由器作為連接互聯網的設備,具體的拓撲圖是在這個方案中,可以使用路由器通過DDN專線連接到特定的網路(如互聯網、行業內部網)中,提供更高速、安全的連接,也可以使用ISDN/MODEM,通過撥號連接到互聯網中。路由器和集線器之間,可以設置一台安裝了兩個網卡的伺服器,分別連接在路由器和集線器上,作為網關,運行防火牆軟體等,進行網路管理和安全防範。
在此方案中,用ISDN/MODEM作為統一的出口,避免每台Pc配一個Modem,減少了購買費用,並且容易管理;而使用一台伺服器加上網路管理的方法,在一定程度上節約了費用,但可能造成系統不穩定,在維護和管理上也比較困難,所以在經費可以承擔的基礎上,最好使用路由器作為連接廣域網的介面。
2、一般性應用
對於已經上了一定規模,在內部已經有了幾個部門的企業,如果所有部門的用戶無差別地處於對等網中,不僅使許多敏感數據容易被無關人員獲取,而且部門內的大量通訊,也會佔用大量的網路資源,使整個網路的效率變低,甚至引起崩潰。為了克服這個問題,需要將經常進行通訊(通常在同一個部門內)的計算機組成一個子網,使大量的內部數據局限在子網內傳播,然後將各個子網連接在一起,形成區域網。
對於比較大的應用場合,除了網管伺服器外,推薦採用專門的伺服器進行資料庫管理、文件管理,同時作為網路管理主機,可以進行許可權限定、子網劃分等,也可以將MIS、ERP,甚至網頁等系統放入伺服器。如果採用DDN與廣域網連接,還可以裝載電子郵件服務程序。這樣做的最大優點在於可以方便地進行管理、維護。
在中心使用交換機,以提高整個網路的性能和速度,各個子網中的計算機用集線器連接。對於比較重要、日常數據比較敏感的部門,例如財務部門,可以考慮使用部門伺服器,存放重要數據,並運行防火牆程序,屏蔽非法的訪問。而普通部門的集線器可以直接與中心的交換機連接。對於列印機、繪圖儀等外部設備,可以根據需要放置在中心或相應部門;而在內部需要大量數據傳輸的部門,可以採用交換機替代集線器作為部門的網路節點。
http://publish.it168.com/2004/0812/images/228163.jpg
3、分支機構
當企業進一步發展,可能需要建立分支機構,在地理上具有一定距離的分公司,依然需要在企業內部進行信息共享,實現辦公自動化。分支機構與總部連接有許多方式,但形式基本相似,以下圖舉例說明。
http://publish.it168.com/2004/0812/images/228176.jpg
在方案中,分支機構通過路由器,與總部的路由器建立點到點的連接,連接方式可以採用DDN,也可以採用ISDN/MODEM通過撥號連接,此時總部的路由器作為撥入端使用。如果分支機構採用DDN與總部連接,雖然兩個網在地理上有距離,但在網路中可以看成是一個網路,同時分支機構也可以通過ISDN/MODEM直接訪問互聯網;如果採用ISDN/MODEM與總部連接,則無法同時通過ISDN/MODEM連接互聯網。總部的路由器除使用一個廣域網埠或備份介面與分支機構連接外,還可以同時使用另一個廣域網介面連接廣域網,為整個企業提供對外介面。
如果分支結構與總部在一個城市,則採用ISDN/MODM,甚至DDN,都可以為許多企業所接受;如果分布在兩個城市,則分支機構也可以連到互聯網上,與總部通過VPN方式進行連接,可以節省許多費用,也能保證安全性,但在實時性上有所降低。
總之,對於中小企業,組網的方式、網路的結構、網路設備可以千差萬別,重要的是根據企業的實際需求,確定網路的應用和功能,同時良好的網路拓撲結構、優秀的產品可以為數據傳輸提供堅實的保障。
五、結束語
我們組建中小型企業網路,首先要做好網路的規劃與設計。在構建企業的內部區域網時重點涉及到交換機或集線器等網路設備的選型,辦公大樓(區域)的網路布線,網路拓撲結構的規劃,內部網路地址的分配以及文件伺服器和列印機的共享等工作;在構建企業的外網時重點涉及到 Internet共享上網電信線路的選擇,如果要做企業的Web、MAIL或者 FTP網站,還涉及到申請域名的解析,電信給予企業固定的一個或幾個Internet IP地址,以及和域名映射的關系;要考慮企業路由器(或防火牆)的選型,為了網路的安全運行,還要做NAT地址轉;換等工作。
其次在設備的選型階段,要考慮能滿足企業未來幾年的發展要求。再深一層就是伺服器操作系統和資料庫等應用系統的選購,伺服器和PC機的防病毒軟體的實施;在具體的企業網站的內容設計可根據每個企業的特點來做,實現社會名望和經濟效益雙豐收;在實現企業內部辦公自動化、會計電算化等方面應用時,可根據企業的規模和實際需求而定;最後就是要做好企業的網路管理、運行維護;做好企業的數據備份和恢復等工作。隨著無線網路的快速發展,在適當的時候,企業引進無線網路應當是對有線網路的更好的完善,也是將來組建中小型企業網路一個亮點。
B. 中小型企業網路如何組建
1、設置硬體環境
將所有電腦網線插入路由器的LAN口,使路由器與電腦相連。
2、配置電腦IP地址
對所有電腦分別按如下提示操作:網上鄰居右鍵屬性-本地連接右鍵屬性-雙擊「internet協議(TCP/IP)」,在出現界面里都選自動獲得。
C. 小型企業辦公室如何組建網路
家庭或小型辦公室,如果有兩台或更多的計算機,很自然地希望將他們組成一個網路。為方便敘述,以下約定將其稱為區域網。在家庭環境下,可用這個網路來共享資源、玩那些需要多人參與的游戲、共用一個數據機享用Internet連接等等。辦公室中,利用這樣的網路,主要解決共享外設如列印機等,此外,辦公室區域網也是多人協作工作的基礎設施。
別看這樣小的網路工程,在過去也是需要專業人員來進行組網配置的。那時,大部分操作的都是手工的,一般的用戶都不具備相應的知識和經驗。正好屬於"高不成低不就"的情況,自然限制了它的發展。Windows XP的出現,打破了這種局面,這依賴它內建有強大的網路支持功能和方便的向導。用戶完成物理連接後,運行連接向導,可以自己探測出網路硬體、安裝相應的驅動程序或協議,並指導用戶,完成所有的配置步驟。
本文介紹兩種在Windows XP操作系統下的組網方案,並介紹Windows XP用於區域網中的各種很有特色的功能。
一. 目標:
組成家庭區域網:對外,可以連接Internet,允許區域網內的各個計算機共享連接。對內,可以共享網路資源和設備。
二. 採用什麼網路形式?
家庭網中的計算機可能有桌面機或便攜機,例如掌上電腦或筆記本機等,也可能出現各種傳輸介質的介面,所以網路形式上,不宜都採用有線網路,無線介面是必須考慮的。但如果可以明確定位在純粹的有線網上,也可不設無線介面。所以,這里提供兩種方案:
1. 有線與無線混合。
2. 有線。
三. 網路硬體選擇
網路適配器(網卡)可採用PCI、PC或PCMCIA介面的卡(後兩者多用在攜帶型機或筆記本機上),Windows XP也支持用USB介面的網路適配器。究竟採用那種適配器,取決於接入網路中的計算機。無論那種適配器,都需要注意與現有計算機的介面以及HUB的協調一致,USB介面的適配器可能適應性更強一些,但對於較舊的計算機,又需要注意它是否支持USB介面。
網路連接線,常用的有同軸電纜和雙絞線,這都是大家熟悉的東西,不多解釋。究竟採用哪一種,就看你怎麼想了。
四. 可採用的網路結構和介質
以太結構:這種結構在辦公室或商業用戶中最為流行,熟悉的人也很多,技術資料和維護人員也容易找到,所以不多贅述。
電話線連接:這種形式主要的特色是成本很低,物理連接也很簡單,適用於大部分的家庭用戶。
無線電波:利用電磁波信號來傳輸信號,可以不用任何連線來進行通訊,並可以在移動中使用。但需要在每台計算機上加裝無線適配器,成本高是肯定了。在我國,無線形式用在計算機網路通訊的還較少。在美國,用於無線網路的是一個稱為IEEE 802.11b的標准協議,用於計算機近距離網路通訊。在該協議支持下,可達到的網速是11 Mbps。
五. 方案之一
這是一個有線、無線混合方案,具體結構可以參看圖1。這個例子中,用4台計算機組成了一個混合網路,PC1是主機,它與外部連接有3個通路:
1. 與Internet接連的數據機:用於整個網路的各個計算機共享上網之用。
2. 無線適配器:用於和本網路內的無線設備之間的通訊。
3. HUB:用於"帶動"本網路內的下游計算機。
該方案中的PC1、PC2機,必須用Windows XP操作系統,有線部分採用的是乙太網結構連接。圖中的HPNA是home phoneline network adaptor的縮寫,表示家庭電話線網路適配器。圖中的PC3和移動計算機,並不要求非使用Windows XP操作系統不可,別的windows版本也行。移動計算機和主機之間的網路連接利用的是無線形式。
如果希望建立混合網路,這種方案已經具備典型的功能,並且不需要花費很大就可以擴充網路規模。
關於連通操作:
圖1顯示的結構只能表示物理連接關系,物理連接完成後,還需要進行連通操作,網路才可真正投入使用。連通操作包括區域網內部各個計算機之間的連通,和區域網與Internet之間的連通。前者連通建立的步驟如下:
1. 滑鼠點擊 開始,進入控制面板,點擊"Network and Internet Connections網路和Internet連接",選擇網路連接( Network Connections),進行下一步。
2. 選擇進行"兩個或多個LAN的連接"
3. 右鍵點擊一個連接.
4. 確定完成連接任務.
區域網之內的連通操作就完成了。
再說區域網與Internet之間的連通,這種情況主要考慮速度與成本兩方面的兼顧。多機上網,最省事的辦法是每個機器占據一條獨立的電話線,但這不是一般用戶能承受起的,資源的浪費也太大。另一個辦法,可以使用住宅網關,但這樣成本需要增加,不是最佳途徑。比較好的方法是使用一個計算機作為主機伺服器。這不僅技術上可行,還有很多別的優點,如:
①:由於Windows XP有內建的防火牆,主機介於Internet和終端機之間,可以利用主機的防火牆保護區域網中的分機免受來自Internet的攻擊。
②:主機是"隱匿在" Internet和區域網之間的,充當了網關的腳色,在分機上,用戶感覺好像自己是直接連在Interne上一樣,察覺不到中間還有主機存在。特別是可以使區域網中的每台計算機同時上網。大大減少了設備投資。
③:除主機必須使用Windows XP操作系統之外,區域網內的計算機可使用早期的windows版本。
④:如果區域網中需要使用不同的媒體(例如有線和無線混合),可以利用Windows XP作為過渡的網橋。
⑤:雖然有網路資源和設備的共享功能,但也可以限制別人對私有文件和數據的訪問,特別是將文件存放在主機上的時候,更具有這種優勢可用。
⑥:利用"萬能即插即用"功能,可以隨時擴充區域網的規模。
六. 方案之二
下面是這種方案的結構示意圖。該方案適用於小型辦公室。與上一個方案比較,主要是去掉了無線部分,主機與分機之間不採用電話線連接,而是採用了電纜或雙絞線連接。所有分機都通過一個HUB與主機連接到Internet上,並可以支持列印機共享。這其實就是最常見的那種區域網的結構。
該方案完成物理連接之後,還需要進行下列操作:
1. 打開網路連接文件夾或找到網路連接的圖標.
2. 右鍵點擊"connection to the Internet you want to share(共享Internet連接)"然後再右鍵點擊"Properties(屬性)"
3. 選擇"Advanced(高級)"任務條。
4. 選擇"Allow other network users to connect through this computer′s Internet connection(允許另外用戶通過這個計算機連接到Internet)"檢查框,並選定。
5. 點擊 OK.結束操作。
啟用Windows XP的防火牆,必須進行設置,不設置是不起作用的。設置過程:
1.打開網路連接文件夾或找到網路連接的圖標.
2.右鍵點擊"connection to the Internet you want to share(共享Internet連接)"然後再右鍵點擊"Properties(屬性)"
3.選擇"Advanced(高級)"任務條。
4. 選擇"Protect my computer and network by limiting or preventing access to this computer from the Internet(利用這個計算機限制從Internet進入的訪問並保護我的計算機和網路" ,在其下面有一個Internet連接防火牆的檢查框,滑鼠點擊選定。
5. 點擊 OK.結束操作。
七. 幾點說明
A.主機必須採用Windows XP操作系統,區域網內的計算機可以使用早一些的windows版本,如:windows98、windows ME、windows2000等等。
B.這里提供的是典型的情況,想擴充網路規模基本上可以照此疊加。
C.本文是依據英文測試版本進行的試驗,不能保證將來的正式版本。特別是中文正式版本的性能與此完全一致。
D. 中小型企業網路組網
IP協議是網路發展的一個重要推動力,它已經有很長的歷史,是與Internet同步成長起來的網路協議。在過去,IP協議並非主導的網路協議。但是進入八十年代末和九十年代,特別是進入九十年代,隨著Internet的爆炸性增長,IP協議得到了廣泛的應用。越來越多的應用程序,例如萬維網技術,電子郵件,文件傳輸,等等。所以,IP協議成為主導協議已經不可能逆轉,這是市場的選擇,也是用戶的選擇。以IP技術為核心的金融網路,將為基於數據、語音、視頻業務的廣泛應用提供堅實的基礎。
同時隨著IP網路發展越來越龐大、IP應用越來越多樣化,在銀行交換機也由以前的單純的區域網應用逐漸向城域及廣域發展,導致其應用也越來越復雜化。目前,單靠產品已經不能很好的滿足銀行的實際需求,更重要的是提出完善的解決方案。邁普公司具有多年來從事數據通信和網路技術的開發和服務經驗,基於銀行的實際應用環境,開發了一系列貼近於用戶的產品,同樣,我們的宗旨是貼近客戶、貼近應用。
本方案書從技術層面就如何為金融企業構建一個千兆到樓層、百兆到桌面、便於管理的、可控的、高性能的智能網路做一闡述。本方案內容組織如下:
第一部分銀行網路發展趨勢及需求分析,對銀行發展趨勢及網路需求進行分析;
第二部分提出金融行業乙太網建設總體方案設計,介紹各個技術層面的設計原則;
第三部分金融行業乙太網建設的詳細設計,針對銀行的特點和實際情況對詳細解決方案進行剖析。
1.銀行網路發展趨勢及需求分析
在這里,我們根據邁普公司多年來的經驗,對銀行網路的發展趨勢進行分析。
1.1.銀行網路發展中設備以及通信帶寬的發展
追溯根源,銀行從最初的電子化到現在,都是由業務拉動網路的發展,隨著網路的發展,網路對帶寬、設備的要求越來越高,可以從以下發展圖示中看到銀行網路發展的軌道:
銀行互聯網路的發展大致經過了三個階段,目前正處在由串列通信互聯到IP網路化階段過渡的時期,目前大多的廣域網通信帶寬在64K到2M之間,網路的互聯以傳統路由器和低性能交換機、HUB為主。
可以看到,下一代網路將向交換機發展,目前在東南沿海等經濟相對發達、應用相對多樣的地區已經有少數銀行開始採用基於寬頻的廣域網互聯,從儲蓄所到中心全部採用光纖接入。在該網路上可以方便的實現寬頻的視頻應用,但這種方案的推廣需要完善解決交換機的安全以及QoS策略。
1.2.目前銀行網路發展趨勢縱向劃分
前面已經提到,銀行網路是由業務的發展來帶動的。目前的網路早已不僅僅為傳統的儲蓄和對公業務提供支撐,網上銀行、電話銀行、中間業務等等不同業務共用一個企業網路。細化起來,可以將銀行目前的發展方向細化為幾個方面
可以看到,主要有5個方面的發展:
管理集中
管理集中是網路規模擴大的必要管理手段,先進的網路管理平台、設備的集中管理、集群管理成為網路設備的重要功能指標。
多業務集成
多種不同的業務共用同一個物理的網路平台,對網路設備的服務質量、安全控制提出的更高的要求。
寬頻化
銀行業務的特殊性導致寬頻化的進程受安全性要求的限制,但寬頻化仍然是必然的趨勢。
數據和應用集中
這與管理集中是相輔相成的,是企業網路向系統性整體性發展的體現。
網路化
這里所說的網路化,指的是網路逐漸向邊緣延伸,同時與外部網路的聯系越來越緊密。
在這五個方面發展的同時,網路的安全性、可靠性等性能指標也成為網路的重要一環。
1.3.需求分析
金融網路最原始的需求來自於業務的開展和資源共享的需要,隨著金融企業業務范圍的擴大和業務產品的增多,更高速、更可靠、更安全以及更方便的網路和業務管理已經成為新時期金融企業網路的關注重點。
銀行聯網應用分為:業務應用和辦公應用。業務應用包括零售、會計、信用卡、國際結算、電子聯行、收付清算等對銀行至關重要的核心應用系統;辦公應用主要是基於郵件系統、辦公自動化系統、依賴此種機制的各種報表系統和管理系統,以及未來可能發展的數字電話、視頻網路、以及其它新型的滿足辦公管理需求的聯網應用。
區域網絡的建設主要涉及到不同業務之間的VLAN劃分、VLAN之間的互通需求,以及與廣域網路的無縫連接。
本方案考慮了以上的網路情況,並採用了邁普乙太網交換機,實現千兆到樓層、百兆到桌面的全網解決方案。並增加了如MAC地址綁定、埠鏡像、包過濾等內網安全技術,支持802.1x內部網路管理認證、用戶分級管理的管理功能。
2.總體方案設計
2.1.總體設計原則
省級分行數據中心區域網,一方面作為整個銀行網路系統一級網上的一個節點,另一方面又是省內網路系統的中心匯聚點,從全國銀行網路系統的角度來看起到承上啟下的作用。針對金融企業業務數據通信量和辦公數據通信量大的情況,採用適當的經濟型的邁普網路通信產品實現完善的網路接入解決方案,在網路設計構建中,應始終堅持以下建網原則:
高可靠性
網路系統的穩定可靠是應用系統正常運行的關鍵保證,在網路設計中選用高可靠性網路產品,設備充分考慮冗餘、容錯能力和備份,同時合理設計網路架構,制訂可靠的網路備份策略,保證網路具有故障自愈的能力,最大限度地支持系統的正常運行。主幹網路設備的主要部件必須支持帶電熱插拔,在萬一出現局部故障時應不影響網路其它部分的運行,並且故障便於診斷和排除。充分體現計算機網路的高可靠性。
技術先進性和實用性
保證滿足金融核心業務應用系統業務的同時,又要體現出網路系統的先進性。在網路設計中要把先進的技術與現有的成熟技術和標准結合起來,充分考慮網路應用的現狀和未來發展趨勢。
高性能
骨幹網路性能是整個網路良好運行的基礎,設計中必須保障網路及設備的高吞吐能力,保證各種信息(數據、語音、圖象)的高質量傳輸,才能使網路不成為業務開展的瓶頸。
標准開放性
支持國際上通用標準的網路協議、國際標準的大型的動態路由協議等開放協議,有利於以保證與其它網路(如Internet、友商企業等其它網路)之間的平滑連接互通,以及將來網路的擴展。
靈活性及可擴展性
根據未來業務的增長和變化,網路可以平滑地擴充和升級,減少最大程度的減少對網路架構和現有設備的調整。
可管理性
對網路實行集中監測、分權管理,並統一分配帶寬資源。選用先進的網路管理平台,具有對設備、埠等的管理、流量統計分析,及可提供故障自動報警。
安全性
制訂統一的網路安全策略,整體考慮網路平台的安全性。
兼容性和經濟性
兼容性,能夠最大限度地保證金融企業現有各種計算機軟、硬體資源的可用性和連續性,為不同的現存網路提供互聯和升級的手段,保證各種在用計算機系統,包括工作站、伺服器和微機等設備的互連入網,充分利用現有計算機資源,發揮主幹網的優勢。經濟性,就是在充分利用現有資源的情況下,最大限度地降低網路系統的總體投資。有計劃、有步驟地實施,在保證網路整體性能的前提下,充分利用現有的網路設備或做必要的升級。
2.2.技術策略及原則
為切實達到以上的網路設計原則,使金融網路系統具有良好的擴展性和靈活的接入能力,並易於管理,易於維護,在網路設計及構建中始終應遵循如下方面技術策略及原則:
統一標准
網路的互聯及互通關鍵是對相同標準的遵循,要實現網路業務能融合到一起,實現數據、語音、視頻業務的融合,就必須統一標准。
統一平台
從開放性、發展性、成熟性等方面來看,只有IP技術才能成為統一平台網路構建的標准。而在具體實施中,必須統一規劃IP地址及各種應用,採用開放的技術及國際標准,如路由協議、安全標准、接入標准和網路管理平台等,才能保證實現網路的統一,並確保網路的可擴展性。
2.3.網路分層的原則
為減少網路中各部分的相關性,便於網路的實施及管理,在網路的構建中,從整體上可以將網路劃分為核心層、匯聚層、接入層等三個層次。
1、核心層
負責完成網路各匯聚節點之間的互聯及完成高效的數據傳輸、交換、轉發及路由分發。
2、匯聚層
負責將各種接入業務集中起來,除了進行局部數據的交換、轉發以外,通過高速介面將數據輸送到核心層去,在更大的范圍內進行數據的路由以及處理。
3、接入層
設備提供各種標准介面將數據接入到網路中,完成基本的業務系統之間的隔離和安全性控制、認證管理等功能。
3.詳細方案設計
3.1.大型金融機構辦公大樓區域網解決方案
3.1.1.網路拓撲圖
3.1.2.方案分析
本解決方案把網路分為三級網路:核心層、匯聚層、接入層。
對於規模大的大型金融機構辦公大樓區域網絡,需要建立一個核心的交換平台,使用兩台MyPower S4196B三層交換機作為網路的中心核心層,通過千兆鏈路匯聚來自樓層的MyPower S4196B上行數據。兩台MyPower S4196B通過多個千兆GE鏈路TRUNK互相作為冗餘備份,共同作為網路的核心交換。
在匯聚層選擇MyPower S4196B產品進行樓層匯聚,最大可提供96個100M埠接入,作為相鄰3個樓層的樓層匯聚,使用2路千兆上行連接到核心交換的兩台MyPower S4196B上。用以實現極為復雜的VLAN業務隔離、互通控制以及流分類等。
在接入層選擇MyPower S3026G系列產品進行房間內信息點的接入,實現100兆到桌面。
邁普系列數據通信產品支持統一的網管平台,通過邁普的DeviceMaster網管軟體(NT/2000平台),應用標准網管協議SNMP,可以對全網設備實施從網元到拓撲、故障等系列特性實施及時、專業的管理。應用集群管理技術,只需設定一台主交換機作為代理管理節點,就可以對互聯的所有邁普交換機進行統一管理;整個集群只需使用一個管理IP地址,大大節約管理地址的分配。同時,整個方案中的各系列交換機都內置了802.1x本地認證功能,能對各信息點的接入用戶進行認證並對其流量進行限制;通過MAC地址的綁定能對接入設備進行認證。結合以上提及的設備和技術,能為整個大樓構建一個千兆到樓層、百兆到桌面、便於管理的、可控的、高性能的智能網路。
3.1.3.方案特點
集群化管理
可以採用邁普DeviceMaster管理軟體對MyPower S4196B、MyPower S3026G進行集群化的圖形管理,只需要設定一台主交換機作為代理管理節點,就可以對互聯的所有邁普交換機進行統一管理;整個集群只需使用一個管理IP地址,大大節約管理地址的分配;初始化時從交換機無須做任何參數配置,整個網路拓撲由主交換機自動發現,大大的減少了網路維護人員的工作量。同時DeviceMaster支持與HP OpenView、IBM NetView網路管理平台的集成,實現管理集中。
劃分多工作組群
MyPower S4196B交換路由器提供VLAN與VLAN之間的數據轉發,通過它,可以將辦公大樓的接入用戶劃分為多個工作組群,組與組之間可以通過二層交換機進行連接。同時,MyPower S3026G進行對工作組群之間的交互控制。
安全性高
目前作為應用在區域網中的設備,MyPower S4196B支持802.1x、用戶分級管理,可以根據源/目的MAC地址、源/目的IP地址、VLAN ID、應用埠號等多種方式結合對數據流進行訪問控制、MAC地址綁定,防止非授權訪問以及授權的越區訪問。還可配合邁普加密體系,保證網路機密性。
性價比高
在大樓核心採用高性價比的MyPower S4196B路由交換機,最大提供96個100M以太口,提供全線速三層交換,是組建大型金融機構辦公網路的最佳網路設備。
可靠性好
MyPower S4196B和MyPower S3026G採用雙電源冗餘供電,還可根據需要進行網路鏈路的冗餘備份,保證系統的不間斷運行。
易維護
MyPower S4196B和MyPower S3026G提供中文和英文雙語集成的基於Web配置方式,只需要對網路有簡單的了解就可以對它進行方便的配置,同時,它還支持shell、telnet、snmp等多種管理方式。埠支持MDI/MDI-X極性自動識別,無須技術人員考慮網線是直連網線還是交叉。
3.2.中型金融機構辦公大樓區域網解決方案
3.2.2.方案分析
本解決方案把網路分為三級網路:核心層、匯聚層、接入層。
對於中小型金融機構辦公大樓區域網絡,也需要建立一個核心的交換平台,使用一台MyPower S4196B系列產品作為網路的中心核心層,通過千兆鏈路集中來自MyPower S4126G匯聚的上行數據。MyPower S4196B系列產品是邁普線速交換網路產品系列定位於中型核心節點的代表產品系列,屬千兆交換路由產品,當前的MyPower S4196B提供全線速的二三層交換。在中型規模金融企業網中,兩台通過TRUNK連接的MyPower S4196B產品可以被設計作為網路的核心交換、業務控制和冗餘控制平台。
在匯聚層選擇MyPower S4126G產品進行樓層匯聚,提供24個100M接入,同時2路千兆上行。用以實現極為復雜的VLAN業務隔離、互通控制以及流分類等。
在接入層選擇MyPower S3026G系列產品進行房間內信息點的接入,實現100兆到桌面。
邁普系列數據通信產品支持統一的網管平台,通過邁普的DeviceMaster網管軟體(NT/2000平台),應用標准網管協議SNMP,可以對全網設備實施從網元到拓撲、故障等系列特性實施及時、專業的管理。應用集群管理技術,只需設定一台主交換機作為代理管理節點,就可以對互聯的所有邁普交換機進行統一管理;整個集群只需使用一個管理IP地址,大大節約管理地址的分配。同時,整個方案中的各系列交換機都內置了802.1x本地認證功能,能對各信息點的接入用戶進行認證並對其流量進行限制;通過MAC地址的綁定能對接入設備進行認證。結合以上提及的設備和技術,能為整個大樓構建一個千兆到樓層、百兆到桌面、便於管理的、可控的、高性能的智能網路。
3.2.3.方案特點
集群化管理
可以採用邁普DeviceMaster管理軟體對MyPower S4196B、MyPower S4126G、MyPower S3026G進行集群化的圖形管理,只需要設定一台主交換機作為代理管理節點,就可以對互聯的所有邁普交換機進行統一管理;整個集群只需使用一個管理IP地址,大大節約管理地址的分配;初始化時從交換機無須做任何參數配置,整個網路拓撲由主交換機自動發現,大大的減少了網路維護人員的工作量。同時DeviceMaster支持與HP OpenView、IBM NetView網路管理平台的集成,實現管理集中。
劃分多工作組群
MyPower S4196B交換路由器提供VLAN與VLAN之間的數據轉發,通過它,可以將辦公大樓的接入用戶劃分為多個工作組群,組與組之間可以通過二層交換機進行連接。同時,MyPower S4126G進行對工作組群之間的交互控制和路由。
安全性高
目前作為應用在區域網中的設備,MyPower S4196B、MyPower S4126G支持802.1x、用戶分級管理,可以根據源/目的MAC地址、源/目的IP地址、VLAN ID、應用埠號等多種方式結合對數據流進行訪問控制、MAC地址綁定,防止非授權訪問以及授權的越區訪問。還可配合邁普加密體系,保證網路機密性。
可靠性好
MyPower S4196B、MyPower S4126G、MyPower S3026G採用雙電源冗餘供電,還可根據需要進行網路鏈路的冗餘備份,保證系統的不間斷運行。
性價比高
在大樓核心採用高性價比的MyPower S4196B和MyPower S4126G路由交換機,提供全線速三層交換,是組建中型金融機構辦公網路的最佳網路設備。
易維護
MyPower S4196B、MyPower S4126G和MyPower S3026G提供中文和英文雙語集成的基於Web配置方式,只需要對網路有簡單的了解就可以對它進行方便的配置,同時,它還支持shell、telnet、snmp等多種管理方式。埠支持MDI/MDI-X極性自動識別,無須技術人員考慮網線是直連網線還是交叉。
3.3.小型金融機構辦公大樓區域網解決方案
3.3.2.方案分析
對於小型金融機構辦公大樓區域網絡,也需要建立一個核心的交換平台,使用一台MyPower S4126G系列產品作為網路的中心核心層,通過百兆鏈路匯聚來自各樓層MyPower S3026G的上行數據。在小規模金融企業網中,單台MyPower S4126G產品可以被設計作為網路的核心交換、業務控制和冗餘控制平台。
在接入層選擇MyPower S3026G系列產品進行房間內信息點的接入,實現100兆到桌面,可劃分VLAN對業務進行隔離。
邁普系列數據通信產品支持統一的網管平台,通過邁普的DeviceMaster網管軟體(NT/2000平台),應用標准網管協議SNMP,可以對全網設備實施從網元到拓撲、故障等系列特性實施及時、專業的管理。應用集群管理技術,只需設定一台主交換機作為代理管理節點,就可以對互聯的所有邁普交換機進行統一管理;整個集群只需使用一個管理IP地址,大大節約管理地址的分配。同時,整個方案中的各系列交換機都內置了802.1x本地認證功能,能對各信息點的接入用戶進行認證並對其流量進行限制;通過MAC地址的綁定能對接入設備進行認證。結合以上提及的設備和技術,能為整個大樓構建一個便於管理的、可控的、高性能的智能網路。
3.3.3.方案特點
集群化管理
可以採用邁普DeviceMaster管理軟體對MyPower S4126G和MyPower S3026G進行集群化的圖形管理,只需要設定一台主交換機作為代理管理節點,就可以對互聯的所有邁普交換機進行統一管理;整個集群只需使用一個管理IP地址,大大節約管理地址的分配;初始化時從交換機無須做任何參數配置,整個網路拓撲由主交換機自動發現,大大的減少了網路維護人員的工作量。同時DeviceMaster支持與HP OpenView、IBM NetView網路管理平台的集成,實現管理集中。
劃分多工作組群
MyPower S4126G交換路由器提供VLAN與VLAN之間的數據轉發,通過它,可以將辦公大樓的接入用戶劃分為多個工作組群,組與組之間可以通過二層交換機進行連接。同時,MyPowerMyPower S3026G進行對工作組群之間的交互控制。
安全性高
目前作為應用在區域網中的設備,MyPower S4126G支持802.1x、用戶分級管理,可以根據源/目的MAC地址、源/目的IP地址、VLAN ID、應用埠號等多種方式結合對數據流進行訪問控制、MAC地址綁定,防止非授權訪問以及授權的越區訪問。還可配合邁普加密體系,保證網路機密性。
可靠性好
MyPower S4126G、MyPower S3026G採用雙電源冗餘供電,還可根據需要進行網路鏈路的冗餘備份,保證系統的不間斷運行。
性價比高
在大樓核心採用高性價比的MyPower S4126G路由交換機和MyPower S3026G二層網管型交換機,MyPower S4126G提供全線速三層交換,MyPower S3026G支持二層的所有網管協議,是組建中小型金融機構辦公網路的最佳網路設備。
易維護
MyPower S4126G和MyPower S3026G提供中文和英文雙語集成的基於Web配置方式,只需要對網路有簡單的了解就可以對它進行方便的配置,同時,它還支持shell、telnet、snmp等多種管理方式。埠支持MDI/MDI-X極性自動識別,無須技術人員考慮網線是直連網線還是交叉。
3.4.同城金融機構辦公大樓間城域網解決方案
3.4.2.方案分析
上圖顯示了典型金融企業網的組網應用情況。在該類網路中存在下列需求:大量不同規模工作組的接入;樓層(樓間)寬頻互聯;分部互聯;綜合服務環境提供(郵件系統、文件系統、資料庫等);對外服務提供以及業務隔離等。
當前,隨著企業IT進程的迅速推進,千兆骨幹,百兆到桌面已經成為企業LAN建設的標准配置,按照這種思路組建金融企業網路的物理平台架構,在用戶接入層可以選用MyPower S3026G系列接入交換機,提供百兆到桌面的同時再以100M/1000M上行到匯聚層;在匯聚層則可以選用MyPower S4196B和MyPower S4126G,向下提供百兆接入,同時向上提供千兆鏈路上行。MyPower S4196B和MyPower S4126G可以提供2條千兆上行鏈路,用戶可以根據自身需求以及光纖資源情況進行靈活的選擇。用MyPower S4196B做大樓中心匯聚,向下提供千兆接入,同時向上提供N×1000M鏈路上行。
對於遠端的辦公節點,例如另一棟辦公大樓或者一個擁有可達光纖資源的金融分支機構,遠端辦公節點的MyPower S4196B支持擴展光纖介面模塊,可以方便的實施遠程光纖互聯。在各辦公節點間用MyPower S4112A進行各點的核心匯聚,MyPower S4112A最大能提供12個千兆光口。
在業務部門眾多,網路用戶密集、結構復雜的中型企業,純二層產品組建的網路往往會出現廣播報文急劇增多而導致的網路轉發效率降低的現象,同時,不同的部門處在同一個網路中,也可能產生安全漏洞,所以,有必要使用相應的網路技術來控制不同子網的廣播范圍,使用VLAN(虛擬私有網)技術可以有效的隔離廣播,控制不同網路用戶的互訪,但同時也產生了新的問題:徹底的二層隔離使得原有的公用資源可能不再能同時為各個相互隔離的子網服務了,另外,為了隔離廣播造成了部分需要互訪的用戶的隔離――解決不同VLAN之間的互訪需求需使用網路更高邏輯層的支持技術――路由技術(第三層)。在大型企業的部門級網路或者中型企業的分部LAN中心都可以選用MyPower S4100系列產品解決上述問題。MyPower S4100系列可以提供全線速的二三層交換,保證了即使在網路流量子網網間達到流量高峰時,該網路節點處理依然不會成為瓶頸。
在更好的控制廣播擴散以及不同部門之間數據流的三層互通的同時,MyPower S4100還能實現線速的多層策略過濾,即:MyPower S4100可以基於硬體的2~7層包過濾等設置安全策略,用以實現極為復雜的VLAN業務隔離、互通控制以及流分類等。
邁普系列數據通信產品支持統一的網管平台,通過邁普的DeviceMaster網管軟體(NT/2000平台),應用標准網管協議SNMP,可以對全網設備實施從網元到拓撲、故障等系列特性實施及時、專業的管理。應用集群管理技術,只需設定一台主交換機作為代理管理節點,就可以對互聯的所有邁普交換機進行統一管理;整個集群只需使用一個管理IP地址,大大節約管理地址的分配。同時,整個方案中的各系列交換機都內置了802.1x本地認證功能,能對各信息點的接入用戶進行認證並對其流量進行限制;通過MAC地址的綁定能對接入設備進行認證。結合以上提及的設備和技術,能為同城各辦公機構間構建一個千兆到樓層、百兆到桌面、便於管理的、可控的、高性能的智能網路。
3.4.3.方案特點
集群管理
可以採用邁普DeviceMaster管理軟體對MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G進行集群化的圖形管理,只需要設定一台主交換機作為代理管理節點,就可以對互聯的所有邁普交換機進行統一管理;整個集群只需使用一個管理IP地址,大大節約管理地址的分配;初始化時從交換機無須做任何參數配置,整個網路拓撲由主交換機自動發現,大大的減少了網路維護人員的工作量。同時DeviceMaster支持與HP OpenView、IBM NetView網路管理平台的集成,實現管理集中。
劃分多工作組群
MyPower S4112A、MyPower S4196B和MyPower S4126G交換路由器提供VLAN與VLAN之間的數據轉發,通過它,可以將辦公大樓的接入用戶劃分為多個工作組群,組與組之間可以通過二層交換機進行連接。同時,MyPower S3026G進行對工作組群之間的交互控制。
安全性高
目前作為應用在區域網中的設備,MyPower S4112A、MyPower S4196B和MyPower S4126G支持802.1x、用戶分級管理、基於硬體的2~7層包過濾等安全策略,可以根據源/目的MAC地址、源/目的IP地址、VLAN ID、應用埠號等多種方式結合對數據流進行訪問控制,防止非授權訪問以及授權的越區訪問。還可配合邁普加密體系,保證網路機密性。
可靠性好
MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G採用雙電源冗餘供電,還可根據需要進行網路鏈路的冗餘備份,保證系統的不間斷運行。
性價比高
在大樓核心採用高性價比的MyPower S4112A和MyPower S4196B路由交換機,最大能提供12個千兆光口,提供全線速三層交換,是組建中小型金融機構辦公網路的最佳網路設備。
易維護
MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G提供中文和英文雙語集成的基於Web配置方式,只需要對網路有簡單的了解就可以對它進行方便的配置,同時,它還支持shell、telnet、snmp等多種管理方式。埠支持MDI/MDI-X極性自動識別,無須技術人員考慮網線是直連網線還是交叉。
結束語
無論是金融系統原有的數據網路資源系統、中間業務網路還是OA、金融企業資源系統,在充滿競爭和機會的金融市場環境下都需要更加技術先進、開放、安全可靠的網路基礎。把這些零散的業務網路有機的整合在一起,這意味著要構築打造一個高性能、高效、可控、易維護的全新智能信息網路。
面向全新的金融網路,邁普依靠多年來在金融行業積累下的網路建設經驗,對省行到網點機構進行詳細分析和精心設計,幫助客戶提供了面向業務、面向辦公自動化網路高性價比的區域網建設綜合解決方案,全面滿足大集中的背景下產生的業務對網路的眾多需求。
E. 小型區域網的組建20~30人的如何做詳細步驟
1、確定網路需求 所謂網路需求,也就是在組建網路之初,要明確此網路環境的用途,主要用來做什麼,要實現什麼樣的網路應用等問題。作為20-30人的小型辦公環境來說,最多的就是文件資料的傳遞和共享訪問互聯網的應用;網路帶寬要求不是很高,聯網設備的選擇上可以考慮夠用就行的原則;而共享互聯網,申請ADSL寬頻也能足夠應付。目前寬頻服務提供商針對小型辦公網路用戶提供了多種資費可供選擇,價格也相當實惠。 1.1 計算機網路的出現,使整個世界實現了信息化。使人們的生活、工作產生了巨大變化,工作效率更是提高了許多。越來越多的人依賴著網路,沒有聯網時,計算機不能真正做到資源的共享和信息的交換,也無法發揮高配置計算機的優勢,更無法使計算機的內部系統或工作性能得到更新與提高。 1.2 信息時代,企業的核心競爭力不僅表現在開發、生產和市場上,企業內部的信息化管理同樣成為形成核心競爭力的因素。信息化已成為現代企業的一個重要標志和衡量企業綜合實力的重要組成部分。為了區域網當前被人們廣泛應用於網路辦公、信息管理、信息交換、教育、娛樂等方面。而在這些應用領域中,不管出於任何目的其主要的應用目的都是信息資源的共享。當然在全球信息互聯網以極快的速度發展起來之後,網路上的通信交流也成為網路應用的另一個價值點。此外區域網還可方便實現在工作組中的內部信息交換,當工作組內某台計算機出現問題或是負荷過重的時候可以及時由別的計算機來接替工作或是分擔工作負荷;在單台機器無法進行的大型復雜任務時還可以通過網路來協同處理。總地來說網路的功能主要體現就是信息資源的共享、相互間的信息資源交換、負荷分擔協同工作。正是由於這些強大的功能的幫助之下,使我們的信息化產業得以發展至今天的程度,也使網路自身得以飛速發展。 1.3 在我國的計算機網路中,特別是區域網技術發展最為迅速,許多大專院校、科研院所以及銀行、公安、郵電、鐵路、石油等部門都建立了自己的區域網,但在實際運作中,由於一些網路是沒有保密措施的「裸網」,用戶不敢在網上處 理涉密信息,使網路的作用得不到充分發揮。因此,開發和運用有效的區域網保密措施,樹起堅實的保密防護網,無論現在還是將來都具有十分突出的現實意義。所以不僅要掌握區域網的組成和結構,而且還要熟悉、了解區域網的維護和信息的安全與保密。這一步驟中,主要考慮所有計算機所處位置。因為辦公場合的移動性並不是很強,所以這里棄無線而選擇有線區域網方式,這樣就會涉及到布線的問題;另外,考慮到網路管理的方便,也盡量將區域網控制中心單獨放置,不要拿出來公用。 1.4 最後就是具體的組網方式,因為要實現區域網到互聯網的共享訪問,而且考慮到成本問題,所以這里採用「ADSL Modem+寬頻路由器+交換機+客戶機」的模式。寬頻路由器就相當於一台共享上網伺服器,客戶機通過這台「共享上網伺服器」即可實現互聯網共享。 2、確定網路設備。 根據前面確定的網路模式,需要添置的網路設備主要為寬頻路由器和交換機。因為ADSL Modem在安裝寬頻時服務商會免費提供,而網卡一般計算機都已自帶,當然還需要支持10/100M自適應適度的網線,來將所有的網路設備與計算機相連。 2.1 寬頻路由器。寬頻路由器是組網方式中最重要的設備。為了獲得良好的共享速度及穩定的性能,大家在選擇此種設備時應多參考相關資料, 2.2 交換機。選購交換機時,主要注意應為區域網的升級留有一定的剩餘埠。此網路環境規模為20-30台,因此建議最好 選擇24口+16口的埠搭配;這樣不僅保證了網路的正常使用,也方便調整客戶端位置、留有足夠的故障調試埠和升級埠。這里同樣選擇了D-Link的產品。 2.2.1 24口交換機:DES-1024R 。這是一款具有高靈活性的非網管10/100Mbps工作組交換機,能夠無縫地集成10BASE-T和100BASE-TX的設備,使之共處於一個網路內而無須更改網路結構;為普通辦公網路提供了一種經濟、有效的快速乙太網解決方案。 2.2.2 16口交換機:DES-1016R 。這款產品跟上面介紹的那款24口的,在性能方面同屬一個規格,只是埠有所減少。在連接兩台交換機時,選擇同一品牌的近似型號,可以獲得最好的性能。 3、確定設備的連接。 3.1 連接使用雙絞線, 3.2 具體連接上,將ADSL Modem的LAN口和寬頻路由器WAN口相連,寬頻路由器一般還有4個LAN口,可以分別連接兩台交換機,也可直接連接其他計算機。這里注意,在寬頻路由器到達交換機這條「路」上有兩種連接方式;兩台交換機級聯,其中一台交換機再與寬頻路由器連接。這種連接方式可以方便交換機的管理。 寬頻路由器分別與兩台交換機連接。在需要設置不同的網段,實現不同的網路應用時可應用此連接方式。
F. 如何組建一個小型區域網
關於如何建立一個小型的區域網具體操作如下:
1、設置硬體環境
將所有電腦網線插入路由器的LAN口,使路由器與電腦相連。
2、配置電腦IP地址
對所有電腦分別按如下提示操作:網上鄰居右鍵屬性-本地連接右鍵屬性-雙擊「internet協議(TCP/IP)」,在出現界面里都選自動獲得。
如下圖所示:選擇紅框里的標識。
3、建立了區域網後有必要開通一下網路和列印共享。操作如下:網上鄰居右鍵屬性-左鍵點擊「設置家庭或小型家庭網路」,然後根據一直「下一步」,直到完成。
4、網路安裝向導的指示圖。
5、選擇其他網路連接方法。
6、下一步文件和列印機共享的選擇。
7、繼續,區域網創建成功。
G. 怎樣組建小型公司區域網
1、根據物理位置和距離情況,製作若干根網線,並且通過測試確保網線的連通性。在製作網線方面,有兩種布線方式,一種是平行布線方式,適合不同種類的設備進行互聯時;另一種是交叉布線方式,適合同一類型設備之間的互聯。現在大部分設備都能識別平行和交叉布線方式。
(7)計算機網路中小型企業組網擴展閱讀:
區域網基本上都採用以廣播為技術基礎的乙太網,任何兩個節點之間的通信數據包,不僅為這兩個節點的網卡所接收,也同時為處在同一乙太網上的任何一個節點的網卡所截取。因此,黑客只要接入乙太網上的任一節點進行偵聽,就可以捕獲發生在這個乙太網上的所有數據包,對其進行解包分析,從而竊取關鍵信息,這就是乙太網所固有的安全隱患。事實上,Interne如SATAN、ISS、NETCAT等等,都把乙太網偵聽作為其最基本的手段。
當前,區域網安全的解決辦法有以下幾種:
網路分段
網路分段通常被認為是控制網路廣播風暴的一種基本手段,但其實也是保證網路安全的一項重要措施。其目的就是將非法用戶與敏感的網路資源相互隔離,從而防止可能的非法偵聽,網路分段可分為物理分段和邏輯分段兩種方式。海關的區域網大多採用以交換機為中心、路由器為邊界的網路格局,應重點挖掘中心交換機的訪問控制功能和三層交換功能,綜合應用物理分段與邏輯分段兩種方法,來實現對區域網的安全控制。例如:在海關系統中普遍使用的DECMultiSwitch900的入侵檢測功能,其實就是一種基於MAC地址的訪問控制,也就是上述的基於數據鏈路層的物理分段。
以交換式集線器代替共享式集線器
對區域網的中心交換機進行網路分段後,乙太網偵聽的危險仍然存在。這是因為網路最終用戶的接入往往是通過分支集線器而不是中心交換機,而使用最廣泛的分支集線器通常是共享式集線器。這樣,當用戶與主機進行數據通信時,兩台機器之間的數據包(稱為單播包UnicastPacket)還是會被同一台集線器上的其他用戶所偵聽。一種很危險的情況是:用戶TELNET到一台主機上,由於TELNET程序本身缺乏加密功能,用戶所鍵入的每一個字元(包括用戶名、密碼等重要信息),都將被明文發送,這就給黑客提供了機會。
因此,應該以交換式集線器代替共享式集線器,使單播包僅在兩個節點之間傳送,從而防止非法偵聽。當然,交換式集線器只能控制單播Packet)和多播包(MulticastPacket)。所幸的是,廣播包和多播包內的關鍵信息,要遠遠少於單播包。
VLAN的劃分
為了克服乙太網的廣播問題,除了上述方法外,還可以運用VLAN(虛擬區域網)技術,將乙太網通信變為點到點通信,防止大部分基於網路偵聽的入侵。
VLAN技術主要有三種:基於交換機埠的VLAN、基於節點MAC地址的VLAN和基於應用協議的VLAN。基於埠的VLAN雖然稍欠靈活,但卻比較成熟,在實際應用中效果顯著,廣受歡迎。基於MAC地址的VLAN為移動計算提供了可能性,但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基於協議的VLAN,理論上非常理想,但實際應用卻尚不成熟。
在集中式網路環境下,我們通常將中心的所有主機系統集中到一個VLAN里,在這個VLAN里不允許有任何用戶節點,從而較好地保護敏感的主機資源。在分布式網路環境下,我們可以按機構或部門的設置來劃分VLAN。各部門內部的所有伺服器和用戶節點都在各自的VLAN內,互不侵擾。
VLAN內部的連接採用交換實現,而VLAN與VLAN之間的連接則採用路由實現。大多數的交換機(包括海關內部普遍採用的DEC MultiSwitch 900)都支持RIP和OSPF這兩種國際標準的路由協議。如果有特殊需要,必須使用其他路由協議(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多乙太網口路由器來代替交換機,實現VLAN之間的路由功能。當然,這種情況下,路由轉發的效率會有所下降。
無論是交換式集線器還是VLAN交換機,都是以交換技術為核心,它們在控制廣播、防止黑客上相當有效,但同時也給一些基於廣播原理的入侵監控技術和協議分析技術帶來了麻煩。因此,如果區域網內存在這樣的入侵監控設備或協議分析設備,就必須選用特殊的帶有SPAN(Switch PortAnalyzer)功能的交換機。這種交換機允許系統管理員將全部或某些交換埠的數據包映射到指定的埠上,提供給接在這一埠上的入侵監控設備或協議分析設備。筆者在廈門海關外部網設計中,就選用了Cisco公司的具備SPAN功能的Catalyst系列交換機,既得到了交換技術的好處,又使原有的Sniffer協議分析儀「英雄有用武之地」。
H. 設計報告中小型企業的網路及安全方案
你去CSDN吧,這么多字我估計很少有人回答。我簡單跟你說一下吧
VPN專用信道肯定要有,伺服器前面加防火牆。這部門之間設置vlan,個vlan間用路由鏈接。每個部門應由獨立防火牆,路由設置包過濾。所有系統加密碼,郵件和FTP伺服器重點保護。
I. 我公司大概有50台電腦左右,請各位大俠幫助我提供一個組網方案,不剩感激!
這是一百台的你參考參考吧
有人問100台機器的組網方案要怎麼做?100台屬於現在開正規網吧的起碼條件,所有也屬於中小型網吧組網方案,筆者就無盤網路方案為前提和大家一起就100台的網吧方案做個探討,整個網路設計的並不多,主要的還是從軟硬體設置方面闡述如何讓100台的組網方案在應用過程中帶來更優秀的網速體驗。
對於100台機器的網吧需要採用一台伺服器引導50台左右的工作站成立專門以上網沖浪和影視為主的服務區;另一台伺服器引導另外50台工作站成立專門以游戲為主的服務區,在這其中所有PC機皆為無盤啟動方式。
在互聯網接入方面,可以選擇通過兩條ADSL線路接入,每條線路分別作為兩部分工作站的外網訪問出口。對於主幹線路上的交換機,可以採用帶兩個千兆模塊的網管型的交換機,它具有可以劃分基於802.1Q的VLAN和基於埠的VLAN,而此方案在實際的應用中必須要設置VLAN才能實現。對與各工作組的交換機可以選用24口普通型交換機。對於整個網路結構,筆者認為上述整體系統性能穩定可靠、升級空間大並且最大限度地兼顧了上網沖浪和網路游戲兩方面。
主要網路設備: 2個ADSL Modem、 2台普通SOHO 寬頻路由器或雙WAN口寬頻路由器、1台可網管千兆交換機、 5台24口普通型交換機。
100台機器的網吧無盤組網方案的大致組網方式如下:
1.光纖直接接到網吧,然後通過一光纖收發器將光信號轉換成10M/100M電信號。接入採用光纖,速度快、穩定性好、障礙率低、抗干擾性特強。
2.用一路由器作為區域網的網關,此路由器在功能與性能上必須滿足網吧網路的需求,由於它是專門用於路由轉發、地址映射的硬體設備,在工作效率上比電腦主機強百倍,且具有非常優異的穩定性。此路由器需具備雙以太口:一個用與光纖收發器連接、另一個用與交換機連接,連接介質均為網線。路由器作網關,路由轉發能力強、穩定性好、具有很高的安全性,可以確保區域網內部機器安全上網無後顧之憂,而且可以保持長期在線。
3.用一交換機用於區域網內部互連。與集線器的共享匯流排式帶寬相比,交換機使用獨享式帶寬,在功能和性能上遠遠超過集線器。交換機可以大大提高網路利用率,減少區域網內部沖突,提高上網速度。尤其是在較多機器同時運行的情況下,交換機發揮的作用將更大。
100台機器的網吧無盤組網方案之區域網中的相關設置
區域網的組建主要是軟體設置問題,下面燕小6相信的為大家介紹一下。
首先網吧也根據設計好的網路,交換機、路由器的分配情況,組建好網路,組建網路的時候,需要注以下幾點。
100台機器的網吧無盤組網方案正確使用「橋」式設備
「橋」式設備是用於同一網段的網路設備,如果沒有正確的使用好橋設備,會造成伺服器上提示當前網段號應是對方的網段號。所以正確區分「路由」設備和「橋式」設備,在設置網路參數方面是很重要的。
100台機器的網吧無盤組網方案合理設置交換機
光纖接入環境下的交換機,性能要好,兼容性要強,除了網吧里各交換機之間要兼容,還要保證整個網吧網路的兼容與穩定,有效解決了網路系統穩定可靠和性能的矛盾,同時屏蔽了病毒與非法侵入的襲擊。
燕小6建議將交換機的埠與網卡的速率及雙工方式設置為一致,如果不一致可能會造成大量流量負荷數據傳輸時,速度變得極慢。
然後就是設置TCP/IP屬性,如果是機器較多的網吧,不可能每台機器都去設置IP地址,所以一律採用自動獲取IP。
接下來就要配置寬頻路由器,網吧的路由器是十分重要的設備,一旦設備路由器出現了問題,就會造成整個網吧的網路癱瘓。
在IE地址欄中輸入寬頻路由器的WEB配置IP地址(winipcfg中的網關地址),然後輸入用戶名和密碼,初始值為admin,進入寬頻路由器的配置界面,選擇「設置向導」一步步往下設置,遇到「PPPoE」選項的時候,然後輸入ADSL撥號上網時的「用戶名(User Name)」和「密碼(Password)」,一路「Next(下一步)」之後,便可多機共享寬頻路由器上網了。這個只是滿足基本的上網功能,對於網吧來說,更多的還要保證網路的穩定健康。所有就要設置更多的高級功能。
100台機器的網吧無盤組網方案之路由器的高級功能設置
路由器在網路環境中是一個非常重要的設備,在不同的網路應用環境中,如何選擇合適的路由器,往往成為決定網路建設成敗的重要因素。當網吧採用了光纖上網方式,那麼就需要使用可連接光纖的路由器,這樣才能保證光纖接入網吧。
路由器功能之MAC功能:
如果採用的是帶有MAC地址功能的寬頻路由器,將網卡上的MAC地址寫入路由器,方便讓伺服器在接入時驗證MAC地址,獲取寬頻接入認證。MAC地址控主要有兩方面的功能設置。
1、連接控制的設置。可以通過它來設定允許或者禁止哪些計算機能夠訪問路由器或者Internet;
2、MAC地址與IP地址綁定。綁定是為了防止用戶隨便更改IP地址,或者能夠使用某個MAC地址的用戶每次都獲得不相同的IP地址,可能會給網吧網路造成APR攻擊等。
路由器功能之動態主機配置協議(DHCP)功能
動態主機配置協議(DHCP,Dynamic Host Configuration Protocol),是在TCP/IP網路上動態為客戶機分配和配置IP地址的協議。DHCP向TCP/IP網路中的客戶計算機提供的配置參數,由兩個基本部分組成:一部分是向客戶機傳送專用的配置信息,另一部分是給客戶機分配的IP地址。DHCP是基於客戶/伺服器模式工作的。採用DHCP伺服器的話,網路中用於動態分配的IP地址將會被統一管理起來,解決了地址沖突問題,網路管理員就可以避免手工設置和分配IP地址的瑣事。DHCP能自動將IP地址分配給登錄到TCP/IP網路的客戶工作站。
路由器功能之虛擬專用網(VPN)功能
虛擬專用網路,是一門網路新技術,為我們提供了一種通過公用網路安全地對企業內部專用網路進行遠程訪問的連接方式。我們知道一個網路連接通常由三個部分組成:客戶機、傳輸介質和伺服器。VPN同樣也由這三部分組成,不同的是VPN連接使用隧道作為傳輸通道。VPN能利用Internet公用網路建立一個擁有自主權的私有網路,一個安全的VPN包括隧道、加密、認證、訪問控制和審核技術。對於企業用戶來說,這一功能非常重要,不僅可以節約開支,而且能保證企業信息安全。
路由器功能之DMZ功能
DMZ是為了解決安裝防火牆後外部網路不能訪問內部網路伺服器的問題,而設立的一個非安全系統與安全系統之間的緩沖區。可以在這個小網路區域內放置一些必須公開的伺服器設施,如FTP伺服器和論壇等。同時可以更加有效地保護了內部網路,因為他比一般的防火牆方案多了一道關卡。DMZ的主要作用是減少為不信任客戶提供服務而引發的危險。DMZ能將公眾主機和區域網絡設施分離開來。大部分寬頻路由器只可選擇單台PC開啟DMZ功能,也有一些功能較為齊全的寬頻路由器可以設置多台PC提供DMZ功能。
路由器功能之防火牆功能
防火牆可以對流經它的網路數據進行掃描,從而過濾掉一些攻擊信息。防火牆還可以關閉不使用的埠,從而防止黑客攻擊。而且它還能禁止特定埠流出信息,禁止來自特殊站點的訪問。對於網吧來說,防火牆十分的重要,所有在購買路由器的時候要注意路由器的防火牆功能。