A. 菜鸟请教``如何组建小型企业的局域网
一、局域网概述
目前,我国各企业大都建立了自己的计算机网络,网络应用颇具规模,特别在数值计算、信息管理、办公事务、工程(产品)设计、加工制造等方面基本实现了计算机应用,计算机、网络和数据库正在成为企业日常运行的基石。局域网是由一组相互连接具有通信能力的计算机组成的,并分布在较小地理范围内的计算机网络。企业的组网技术存在多种选择,但比较实用的是以太网(Ethernet)。以太网较早进入网络应用领域,技术成熟,性能稳定,伸缩性强,性价比好,是企业局域网的首选技术。高速以太网(1000Mbps及以上传输速率)甚至可承担实时和多媒体网络业务。企业局域网一般由内部网和外网两部分组成。内部网又分成主网和各个相对独立的子网。外网把企业内部网和Internet网连接起来。在企业局域网上,通常的网络应用有:通过服务器实现文件服务和打印机(绘图机)资源共享,数据库应用,MIS及CAD应用,Internet 及Intranet应用,办公自动化应用等等。
对局域网进行分类经常采用以下方法:按拓扑结构分类、按传输介质分类、按访问介质分类和按网络操作系统分类。
(1)按拓扑结构分类
局域网经常采用总线型、环型、星型和混和型拓扑结构,因此可以把局域网分为总线型局域网、环型局域网、星型局域和混和型局域网等类型。这种分类方法反映的是网络采用的哪种拓扑结构,是最常用的分类方法。
(2)按传输介质分类
局域网上常用的传输介质有同轴电缆、双绞线、光缆等,因此可以氢局域网分为同轴电缆局域网、双绞线局域和光纤局域网。若采用无线电波,微波,则可以称为无线局域网。
(3)按访问传输介质的方法分类
传输介质提供了二台或多台计算机互连并进行信息传输的通道。在局域网上,经常是在一条传输介质上连有多台计算机,如总线型和环型局域网,大家共享使用一条传输介质,而一条传输介质在某一时间内只能被一台计算机所使用,那么在某一时刻到底谁能使用或访问传输介质呢?这就需要有一个共同遵守的方法或原则来控制、协调各计算机对传输介质的同时访问,这种方法,这种方法就是协议或称为介质访问控制方法。目前,在局域网中常用的传输介质访问方法有:以太(Ethernet)方法、令牌(Token Ring)、FDDE方法、异步传输模式(ATM)方法等,因此可以把局域网分为以太网(Ethernet)、令牌网(Token Ring)、FDDE网、ATM网等。
(4)按网络操作系统分类
局域网的工作是局域网操作系统控制之下进行的。正如微机上的DOS、UNIX、WINDOWS、OS/2、等不同操作系统一样,局域网上也有多种网络操作系统。网络操作系统决定网络的功能、服务性能等,因此可以把局域网按其所使用的网络操作系统进行分类,如Novell公司的Netware网,3COM公司的3+OPEN网,Microsoft公司的Windows NT网,IBM公司的LAN Manager网,BANYAN公司的VINES网等。
(5)其他分类方法
按数据的传输速度分类,可分为10Mbps局域网、100Mbps局域网、155Mbps局域网、千兆局域网等,按信息的交换方式分类,可分为交换式局域网、共享式局域网等。
二、企业内网的实现
1、Intranet(企业内部网)建设
Intranet即企业内部网。是企业内部日常运作的重要保证。通过intranet可实现企业内部办公自动化,财务电算化,数据共享,上网链路共享,打印共享,内部电子邮件传输等一系列功能。
(1)根据具体情况,设计网络模型
根据企业的具体情况,建议整个网络系统采用多服务器的“主干—星型”混合拓扑结构。采用光纤和5类双绞线连接UTP加上百兆交换机,实现真正的百兆连接(到桌面)。其中服务器和交换机放置在专用计算机房,并配置网络UPS。
这种网络结构的优势在于非常灵活,网络中任何一台机器出现故障,对网络整体都不会构成很大影响。另外由于财务系统的封闭性,可以在网络中建立分支结构,既便于财务人员从主干获取信息,也保证财务信息的安全。
(2)工程布线标准
网络系统布线工程标准参照 EIA/TIA 568A、EIA/TIA 569 、EIA/TIA 、TSB36/40工业、国际商务建筑布线标准及相应国家电信通信标准。
(3)网络的保修
(4)企业内部网站的建立
Intranet与传统的企业内部办公网络的主要区别即在于,在先进的网络设备和接入带宽的保证下,有一套运行在企业内部局域网上的,与企业Intranet网站相关连又有所区别的企业内部网站。
2、Intranet上网共享的实现
通过局域网,可使全体员工共享上网资源。根据人员情况和上网需求量的大小,可采用以下三种方式:
(1)ADSL上网
非对称数字用户环路,可以在普通的电话铜缆上提供1.5~8mbit/s的下行和10~64kbit/s的上行传输,可进行视频会议和影视节目传输,非常适合中、小企业。
(2)ISDN上网
目前在国内迅速普及,价格大幅度下降,有的地方甚至是免初装费用。两个信道128kbit/s的速率,快速的连接以及比较可靠的线路,可以满足中小型企业浏览以及收发电子邮件的需求。而且还可以通过ISDN和Internet组建企业VPN。这种方法的性能价格比很高,在国内大多数的城市都有ISDN接入服务。
(3)DDN专线上网
这种方式适合对带宽要求比较高的应用,如企业网站。它的特点也是速率比较高,范围从64kbit/s~2Mbit/s。但是,由于整个链路被企业独占,所以费用很高,其优势在于速度极快,在满足内部上网需求的同时可以用于发布网站。这样就节省了网站发布所须的线路费用。
三、企业Internet(外网)实现
1、认识组建企业网站应具备的功能及意义
企业的网站应包括以下主要功能:
(1)公司企业形象宣传;
(2)公司产品及服务的发布;
(3)在线产品发布:企业只要在网站进行注册,就可以在网站上分门别类的发布产品信息,如果客户感兴趣,就可以进入专门的洽谈室与厂商进行商谈,并最终成交。
(4)客户在线发布信息;
(5)信息反馈系统,用于收集客户资料;
(6)电子邮件管理;
(7)电子公告牌;
(8)网站广告管理系统(可选)。
2、线路资源
线路资源即网站采取何种方式进行对外发布。目前主要有如下三种方式:
(1)虚拟主机方式
即租用ISP服务商的服务器空间用于发布网站。价格便宜,但是可操控性非常差,保密性差,网络速度慢。不利于网站的长期发展。
(2)主机托管方式
将网站服务器放在ISP的专业机房内,利用ISP的带宽资源,进行网站发布。价格比虚拟主机稍贵,但是可控制性强,保密性强,自由度高,网络速度快。
(3)专线方式
即把专线接到公司内部,把网站服务器直接放在公司,用来进行网站信息发布。价格相对高一些,但更容易控制,保密性强,非常容易更新。如果公司内部上网要求比较大的情况下,建议采用此方式。
3、 网站建设的步骤
(1)域名申请;
(2)网站规划;
(3)应用程序开发;
(4)网站风格设计创意、
(5)网站页面制作;
(6)网站软、硬件调试;
(7)网站线路调试;
(8)网站试运行;
(9)根据反馈信息进行错误修正;
(10)网站正式发布。
4、 网站的日常维护
日常维护内容包括网站数据收集并及时发送给有关部门,应用程序维护,硬件设备定期维护、线路保障、网站内容及时更新。综合企业内部Intranet和Internet网站的日常维护工作,其中有许多相重合的部分,归纳起来主要有以下内容:
(1)硬件设备的维护保养
比较小的问题可以及时处理,属于销售商的问题及时联系解决;
(2)各种应用软件的熟练掌握;
(3)网站内容的及时更新;
(4)网站资料的及时反馈并进行基本管理;
(5)与产品销售商或集成商进行协调。
四、中小企业的网络实际应用
根据企业规模、网络系统的复杂程度、网络应用的程度,用户对于网络的需求各不相同,从简单的文件共享、办公自动化,到复杂的电子商务、ERP等等,在此对中小企业的一般应用做一些探讨。
1、最简配置
对于网络最简单的应用,就是将若干个计算机连接起来,组成对等的网络,计算机之间可以相互之间共享资源,如果其中一台计算机安装了打印机、MODEM等,其余计算机可以通过网络系统,共享打印机和MODEM,进行文件打印、上网查询等,利用相应的软件,可以完成定单管理、信息查询、数据统计等。其网络拓扑图可以表示为,在PC服务器上,可以安装PROXY、防火墙等网络管理软件,用以防范外部的攻击、对内部员工进行授权等,而用户数量的增加只是体现端口的增加,可以采用堆叠、级联、使用高密度端口网络节点设备来实现。如果在工作中需要大量或者实时的数据通讯,可以用以太网交换机替代集线器,例如在工作中需要处理多媒体或进行图形设计等场合。
对于更进一步,在安全、互联网接入方式上有更多要求,可以使用路由器作为连接互联网的设备,具体的拓扑图是在这个方案中,可以使用路由器通过DDN专线连接到特定的网络(如互联网、行业内部网)中,提供更高速、安全的连接,也可以使用ISDN/MODEM,通过拨号连接到互联网中。路由器和集线器之间,可以设置一台安装了两个网卡的服务器,分别连接在路由器和集线器上,作为网关,运行防火墙软件等,进行网络管理和安全防范。
在此方案中,用ISDN/MODEM作为统一的出口,避免每台Pc配一个Modem,减少了购买费用,并且容易管理;而使用一台服务器加上网络管理的方法,在一定程度上节约了费用,但可能造成系统不稳定,在维护和管理上也比较困难,所以在经费可以承担的基础上,最好使用路由器作为连接广域网的接口。
2、一般性应用
对于已经上了一定规模,在内部已经有了几个部门的企业,如果所有部门的用户无差别地处于对等网中,不仅使许多敏感数据容易被无关人员获取,而且部门内的大量通讯,也会占用大量的网络资源,使整个网络的效率变低,甚至引起崩溃。为了克服这个问题,需要将经常进行通讯(通常在同一个部门内)的计算机组成一个子网,使大量的内部数据局限在子网内传播,然后将各个子网连接在一起,形成局域网。
对于比较大的应用场合,除了网管服务器外,推荐采用专门的服务器进行数据库管理、文件管理,同时作为网络管理主机,可以进行权限限定、子网划分等,也可以将MIS、ERP,甚至网页等系统放入服务器。如果采用DDN与广域网连接,还可以装载电子邮件服务程序。这样做的最大优点在于可以方便地进行管理、维护。
在中心使用交换机,以提高整个网络的性能和速度,各个子网中的计算机用集线器连接。对于比较重要、日常数据比较敏感的部门,例如财务部门,可以考虑使用部门服务器,存放重要数据,并运行防火墙程序,屏蔽非法的访问。而普通部门的集线器可以直接与中心的交换机连接。对于打印机、绘图仪等外部设备,可以根据需要放置在中心或相应部门;而在内部需要大量数据传输的部门,可以采用交换机替代集线器作为部门的网络节点。
http://publish.it168.com/2004/0812/images/228163.jpg
3、分支机构
当企业进一步发展,可能需要建立分支机构,在地理上具有一定距离的分公司,依然需要在企业内部进行信息共享,实现办公自动化。分支机构与总部连接有许多方式,但形式基本相似,以下图举例说明。
http://publish.it168.com/2004/0812/images/228176.jpg
在方案中,分支机构通过路由器,与总部的路由器建立点到点的连接,连接方式可以采用DDN,也可以采用ISDN/MODEM通过拨号连接,此时总部的路由器作为拨入端使用。如果分支机构采用DDN与总部连接,虽然两个网在地理上有距离,但在网络中可以看成是一个网络,同时分支机构也可以通过ISDN/MODEM直接访问互联网;如果采用ISDN/MODEM与总部连接,则无法同时通过ISDN/MODEM连接互联网。总部的路由器除使用一个广域网端口或备份接口与分支机构连接外,还可以同时使用另一个广域网接口连接广域网,为整个企业提供对外接口。
如果分支结构与总部在一个城市,则采用ISDN/MODM,甚至DDN,都可以为许多企业所接受;如果分布在两个城市,则分支机构也可以连到互联网上,与总部通过VPN方式进行连接,可以节省许多费用,也能保证安全性,但在实时性上有所降低。
总之,对于中小企业,组网的方式、网络的结构、网络设备可以千差万别,重要的是根据企业的实际需求,确定网络的应用和功能,同时良好的网络拓扑结构、优秀的产品可以为数据传输提供坚实的保障。
五、结束语
我们组建中小型企业网络,首先要做好网络的规划与设计。在构建企业的内部局域网时重点涉及到交换机或集线器等网络设备的选型,办公大楼(区域)的网络布线,网络拓扑结构的规划,内部网络地址的分配以及文件服务器和打印机的共享等工作;在构建企业的外网时重点涉及到 Internet共享上网电信线路的选择,如果要做企业的Web、MAIL或者 FTP网站,还涉及到申请域名的解析,电信给予企业固定的一个或几个Internet IP地址,以及和域名映射的关系;要考虑企业路由器(或防火墙)的选型,为了网络的安全运行,还要做NAT地址转;换等工作。
其次在设备的选型阶段,要考虑能满足企业未来几年的发展要求。再深一层就是服务器操作系统和数据库等应用系统的选购,服务器和PC机的防病毒软件的实施;在具体的企业网站的内容设计可根据每个企业的特点来做,实现社会名望和经济效益双丰收;在实现企业内部办公自动化、会计电算化等方面应用时,可根据企业的规模和实际需求而定;最后就是要做好企业的网络管理、运行维护;做好企业的数据备份和恢复等工作。随着无线网络的快速发展,在适当的时候,企业引进无线网络应当是对有线网络的更好的完善,也是将来组建中小型企业网络一个亮点。
B. 中小型企业网络如何组建
1、设置硬件环境
将所有电脑网线插入路由器的LAN口,使路由器与电脑相连。
2、配置电脑IP地址
对所有电脑分别按如下提示操作:网上邻居右键属性-本地连接右键属性-双击“internet协议(TCP/IP)”,在出现界面里都选自动获得。
C. 小型企业办公室如何组建网络
家庭或小型办公室,如果有两台或更多的计算机,很自然地希望将他们组成一个网络。为方便叙述,以下约定将其称为局域网。在家庭环境下,可用这个网络来共享资源、玩那些需要多人参与的游戏、共用一个调制解调器享用Internet连接等等。办公室中,利用这样的网络,主要解决共享外设如打印机等,此外,办公室局域网也是多人协作工作的基础设施。
别看这样小的网络工程,在过去也是需要专业人员来进行组网配置的。那时,大部分操作的都是手工的,一般的用户都不具备相应的知识和经验。正好属于"高不成低不就"的情况,自然限制了它的发展。Windows XP的出现,打破了这种局面,这依赖它内建有强大的网络支持功能和方便的向导。用户完成物理连接后,运行连接向导,可以自己探测出网络硬件、安装相应的驱动程序或协议,并指导用户,完成所有的配置步骤。
本文介绍两种在Windows XP操作系统下的组网方案,并介绍Windows XP用于局域网中的各种很有特色的功能。
一. 目标:
组成家庭局域网:对外,可以连接Internet,允许局域网内的各个计算机共享连接。对内,可以共享网络资源和设备。
二. 采用什么网络形式?
家庭网中的计算机可能有桌面机或便携机,例如掌上电脑或笔记本机等,也可能出现各种传输介质的接口,所以网络形式上,不宜都采用有线网络,无线接口是必须考虑的。但如果可以明确定位在纯粹的有线网上,也可不设无线接口。所以,这里提供两种方案:
1. 有线与无线混合。
2. 有线。
三. 网络硬件选择
网络适配器(网卡)可采用PCI、PC或PCMCIA接口的卡(后两者多用在便携式机或笔记本机上),Windows XP也支持用USB接口的网络适配器。究竟采用那种适配器,取决于接入网络中的计算机。无论那种适配器,都需要注意与现有计算机的接口以及HUB的协调一致,USB接口的适配器可能适应性更强一些,但对于较旧的计算机,又需要注意它是否支持USB接口。
网络连接线,常用的有同轴电缆和双绞线,这都是大家熟悉的东西,不多解释。究竟采用哪一种,就看你怎么想了。
四. 可采用的网络结构和介质
以太结构:这种结构在办公室或商业用户中最为流行,熟悉的人也很多,技术资料和维护人员也容易找到,所以不多赘述。
电话线连接:这种形式主要的特色是成本很低,物理连接也很简单,适用于大部分的家庭用户。
无线电波:利用电磁波信号来传输信号,可以不用任何连线来进行通讯,并可以在移动中使用。但需要在每台计算机上加装无线适配器,成本高是肯定了。在我国,无线形式用在计算机网络通讯的还较少。在美国,用于无线网络的是一个称为IEEE 802.11b的标准协议,用于计算机近距离网络通讯。在该协议支持下,可达到的网速是11 Mbps。
五. 方案之一
这是一个有线、无线混合方案,具体结构可以参看图1。这个例子中,用4台计算机组成了一个混合网络,PC1是主机,它与外部连接有3个通路:
1. 与Internet接连的调制解调器:用于整个网络的各个计算机共享上网之用。
2. 无线适配器:用于和本网络内的无线设备之间的通讯。
3. HUB:用于"带动"本网络内的下游计算机。
该方案中的PC1、PC2机,必须用Windows XP操作系统,有线部分采用的是以太网结构连接。图中的HPNA是home phoneline network adaptor的缩写,表示家庭电话线网络适配器。图中的PC3和移动计算机,并不要求非使用Windows XP操作系统不可,别的windows版本也行。移动计算机和主机之间的网络连接利用的是无线形式。
如果希望建立混合网络,这种方案已经具备典型的功能,并且不需要花费很大就可以扩充网络规模。
关于连通操作:
图1显示的结构只能表示物理连接关系,物理连接完成后,还需要进行连通操作,网络才可真正投入使用。连通操作包括局域网内部各个计算机之间的连通,和局域网与Internet之间的连通。前者连通建立的步骤如下:
1. 鼠标点击 开始,进入控制面板,点击"Network and Internet Connections网络和Internet连接",选择网络连接( Network Connections),进行下一步。
2. 选择进行"两个或多个LAN的连接"
3. 右键点击一个连接.
4. 确定完成连接任务.
局域网之内的连通操作就完成了。
再说局域网与Internet之间的连通,这种情况主要考虑速度与成本两方面的兼顾。多机上网,最省事的办法是每个机器占据一条独立的电话线,但这不是一般用户能承受起的,资源的浪费也太大。另一个办法,可以使用住宅网关,但这样成本需要增加,不是最佳途径。比较好的方法是使用一个计算机作为主机服务器。这不仅技术上可行,还有很多别的优点,如:
①:由于Windows XP有内建的防火墙,主机介于Internet和终端机之间,可以利用主机的防火墙保护局域网中的分机免受来自Internet的攻击。
②:主机是"隐匿在" Internet和局域网之间的,充当了网关的脚色,在分机上,用户感觉好像自己是直接连在Interne上一样,察觉不到中间还有主机存在。特别是可以使局域网中的每台计算机同时上网。大大减少了设备投资。
③:除主机必须使用Windows XP操作系统之外,局域网内的计算机可使用早期的windows版本。
④:如果局域网中需要使用不同的媒体(例如有线和无线混合),可以利用Windows XP作为过渡的网桥。
⑤:虽然有网络资源和设备的共享功能,但也可以限制别人对私有文件和数据的访问,特别是将文件存放在主机上的时候,更具有这种优势可用。
⑥:利用"万能即插即用"功能,可以随时扩充局域网的规模。
六. 方案之二
下面是这种方案的结构示意图。该方案适用于小型办公室。与上一个方案比较,主要是去掉了无线部分,主机与分机之间不采用电话线连接,而是采用了电缆或双绞线连接。所有分机都通过一个HUB与主机连接到Internet上,并可以支持打印机共享。这其实就是最常见的那种局域网的结构。
该方案完成物理连接之后,还需要进行下列操作:
1. 打开网络连接文件夹或找到网络连接的图标.
2. 右键点击"connection to the Internet you want to share(共享Internet连接)"然后再右键点击"Properties(属性)"
3. 选择"Advanced(高级)"任务条。
4. 选择"Allow other network users to connect through this computer′s Internet connection(允许另外用户通过这个计算机连接到Internet)"检查框,并选定。
5. 点击 OK.结束操作。
启用Windows XP的防火墙,必须进行设置,不设置是不起作用的。设置过程:
1.打开网络连接文件夹或找到网络连接的图标.
2.右键点击"connection to the Internet you want to share(共享Internet连接)"然后再右键点击"Properties(属性)"
3.选择"Advanced(高级)"任务条。
4. 选择"Protect my computer and network by limiting or preventing access to this computer from the Internet(利用这个计算机限制从Internet进入的访问并保护我的计算机和网络" ,在其下面有一个Internet连接防火墙的检查框,鼠标点击选定。
5. 点击 OK.结束操作。
七. 几点说明
A.主机必须采用Windows XP操作系统,局域网内的计算机可以使用早一些的windows版本,如:windows98、windows ME、windows2000等等。
B.这里提供的是典型的情况,想扩充网络规模基本上可以照此叠加。
C.本文是依据英文测试版本进行的试验,不能保证将来的正式版本。特别是中文正式版本的性能与此完全一致。
D. 中小型企业网络组网
IP协议是网络发展的一个重要推动力,它已经有很长的历史,是与Internet同步成长起来的网络协议。在过去,IP协议并非主导的网络协议。但是进入八十年代末和九十年代,特别是进入九十年代,随着Internet的爆炸性增长,IP协议得到了广泛的应用。越来越多的应用程序,例如万维网技术,电子邮件,文件传输,等等。所以,IP协议成为主导协议已经不可能逆转,这是市场的选择,也是用户的选择。以IP技术为核心的金融网络,将为基于数据、语音、视频业务的广泛应用提供坚实的基础。
同时随着IP网络发展越来越庞大、IP应用越来越多样化,在银行交换机也由以前的单纯的局域网应用逐渐向城域及广域发展,导致其应用也越来越复杂化。目前,单靠产品已经不能很好的满足银行的实际需求,更重要的是提出完善的解决方案。迈普公司具有多年来从事数据通信和网络技术的开发和服务经验,基于银行的实际应用环境,开发了一系列贴近于用户的产品,同样,我们的宗旨是贴近客户、贴近应用。
本方案书从技术层面就如何为金融企业构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络做一阐述。本方案内容组织如下:
第一部分银行网络发展趋势及需求分析,对银行发展趋势及网络需求进行分析;
第二部分提出金融行业以太网建设总体方案设计,介绍各个技术层面的设计原则;
第三部分金融行业以太网建设的详细设计,针对银行的特点和实际情况对详细解决方案进行剖析。
1.银行网络发展趋势及需求分析
在这里,我们根据迈普公司多年来的经验,对银行网络的发展趋势进行分析。
1.1.银行网络发展中设备以及通信带宽的发展
追溯根源,银行从最初的电子化到现在,都是由业务拉动网络的发展,随着网络的发展,网络对带宽、设备的要求越来越高,可以从以下发展图示中看到银行网络发展的轨道:
银行互联网络的发展大致经过了三个阶段,目前正处在由串行通信互联到IP网络化阶段过渡的时期,目前大多的广域网通信带宽在64K到2M之间,网络的互联以传统路由器和低性能交换机、HUB为主。
可以看到,下一代网络将向交换机发展,目前在东南沿海等经济相对发达、应用相对多样的地区已经有少数银行开始采用基于宽带的广域网互联,从储蓄所到中心全部采用光纤接入。在该网络上可以方便的实现宽带的视频应用,但这种方案的推广需要完善解决交换机的安全以及QoS策略。
1.2.目前银行网络发展趋势纵向划分
前面已经提到,银行网络是由业务的发展来带动的。目前的网络早已不仅仅为传统的储蓄和对公业务提供支撑,网上银行、电话银行、中间业务等等不同业务共用一个企业网络。细化起来,可以将银行目前的发展方向细化为几个方面
可以看到,主要有5个方面的发展:
管理集中
管理集中是网络规模扩大的必要管理手段,先进的网络管理平台、设备的集中管理、集群管理成为网络设备的重要功能指标。
多业务集成
多种不同的业务共用同一个物理的网络平台,对网络设备的服务质量、安全控制提出的更高的要求。
宽带化
银行业务的特殊性导致宽带化的进程受安全性要求的限制,但宽带化仍然是必然的趋势。
数据和应用集中
这与管理集中是相辅相成的,是企业网络向系统性整体性发展的体现。
网络化
这里所说的网络化,指的是网络逐渐向边缘延伸,同时与外部网络的联系越来越紧密。
在这五个方面发展的同时,网络的安全性、可靠性等性能指标也成为网络的重要一环。
1.3.需求分析
金融网络最原始的需求来自于业务的开展和资源共享的需要,随着金融企业业务范围的扩大和业务产品的增多,更高速、更可靠、更安全以及更方便的网络和业务管理已经成为新时期金融企业网络的关注重点。
银行联网应用分为:业务应用和办公应用。业务应用包括零售、会计、信用卡、国际结算、电子联行、收付清算等对银行至关重要的核心应用系统;办公应用主要是基于邮件系统、办公自动化系统、依赖此种机制的各种报表系统和管理系统,以及未来可能发展的数字电话、视频网络、以及其它新型的满足办公管理需求的联网应用。
局域网络的建设主要涉及到不同业务之间的VLAN划分、VLAN之间的互通需求,以及与广域网络的无缝连接。
本方案考虑了以上的网络情况,并采用了迈普以太网交换机,实现千兆到楼层、百兆到桌面的全网解决方案。并增加了如MAC地址绑定、端口镜像、包过滤等内网安全技术,支持802.1x内部网络管理认证、用户分级管理的管理功能。
2.总体方案设计
2.1.总体设计原则
省级分行数据中心局域网,一方面作为整个银行网络系统一级网上的一个节点,另一方面又是省内网络系统的中心汇聚点,从全国银行网络系统的角度来看起到承上启下的作用。针对金融企业业务数据通信量和办公数据通信量大的情况,采用适当的经济型的迈普网络通信产品实现完善的网络接入解决方案,在网络设计构建中,应始终坚持以下建网原则:
高可靠性
网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,设备充分考虑冗余、容错能力和备份,同时合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的正常运行。主干网络设备的主要部件必须支持带电热插拔,在万一出现局部故障时应不影响网络其它部分的运行,并且故障便于诊断和排除。充分体现计算机网络的高可靠性。
技术先进性和实用性
保证满足金融核心业务应用系统业务的同时,又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑网络应用的现状和未来发展趋势。
高性能
骨干网络性能是整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、图象)的高质量传输,才能使网络不成为业务开展的瓶颈。
标准开放性
支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议,有利于以保证与其它网络(如Internet、友商企业等其它网络)之间的平滑连接互通,以及将来网络的扩展。
灵活性及可扩展性
根据未来业务的增长和变化,网络可以平滑地扩充和升级,减少最大程度的减少对网络架构和现有设备的调整。
可管理性
对网络实行集中监测、分权管理,并统一分配带宽资源。选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。
安全性
制订统一的网络安全策略,整体考虑网络平台的安全性。
兼容性和经济性
兼容性,能够最大限度地保证金融企业现有各种计算机软、硬件资源的可用性和连续性,为不同的现存网络提供互联和升级的手段,保证各种在用计算机系统,包括工作站、服务器和微机等设备的互连入网,充分利用现有计算机资源,发挥主干网的优势。经济性,就是在充分利用现有资源的情况下,最大限度地降低网络系统的总体投资。有计划、有步骤地实施,在保证网络整体性能的前提下,充分利用现有的网络设备或做必要的升级。
2.2.技术策略及原则
为切实达到以上的网络设计原则,使金融网络系统具有良好的扩展性和灵活的接入能力,并易于管理,易于维护,在网络设计及构建中始终应遵循如下方面技术策略及原则:
统一标准
网络的互联及互通关键是对相同标准的遵循,要实现网络业务能融合到一起,实现数据、语音、视频业务的融合,就必须统一标准。
统一平台
从开放性、发展性、成熟性等方面来看,只有IP技术才能成为统一平台网络构建的标准。而在具体实施中,必须统一规划IP地址及各种应用,采用开放的技术及国际标准,如路由协议、安全标准、接入标准和网络管理平台等,才能保证实现网络的统一,并确保网络的可扩展性。
2.3.网络分层的原则
为减少网络中各部分的相关性,便于网络的实施及管理,在网络的构建中,从整体上可以将网络划分为核心层、汇聚层、接入层等三个层次。
1、核心层
负责完成网络各汇聚节点之间的互联及完成高效的数据传输、交换、转发及路由分发。
2、汇聚层
负责将各种接入业务集中起来,除了进行局部数据的交换、转发以外,通过高速接口将数据输送到核心层去,在更大的范围内进行数据的路由以及处理。
3、接入层
设备提供各种标准接口将数据接入到网络中,完成基本的业务系统之间的隔离和安全性控制、认证管理等功能。
3.详细方案设计
3.1.大型金融机构办公大楼局域网解决方案
3.1.1.网络拓扑图
3.1.2.方案分析
本解决方案把网络分为三级网络:核心层、汇聚层、接入层。
对于规模大的大型金融机构办公大楼局域网络,需要建立一个核心的交换平台,使用两台MyPower S4196B三层交换机作为网络的中心核心层,通过千兆链路汇聚来自楼层的MyPower S4196B上行数据。两台MyPower S4196B通过多个千兆GE链路TRUNK互相作为冗余备份,共同作为网络的核心交换。
在汇聚层选择MyPower S4196B产品进行楼层汇聚,最大可提供96个100M端口接入,作为相邻3个楼层的楼层汇聚,使用2路千兆上行连接到核心交换的两台MyPower S4196B上。用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等。
在接入层选择MyPower S3026G系列产品进行房间内信息点的接入,实现100兆到桌面。
迈普系列数据通信产品支持统一的网管平台,通过迈普的DeviceMaster网管软件(NT/2000平台),应用标准网管协议SNMP,可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术,只需设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配。同时,整个方案中的各系列交换机都内置了802.1x本地认证功能,能对各信息点的接入用户进行认证并对其流量进行限制;通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术,能为整个大楼构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络。
3.1.3.方案特点
集群化管理
可以采用迈普DeviceMaster管理软件对MyPower S4196B、MyPower S3026G进行集群化的图形管理,只需要设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配;初始化时从交换机无须做任何参数配置,整个网络拓扑由主交换机自动发现,大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成,实现管理集中。
划分多工作组群
MyPower S4196B交换路由器提供VLAN与VLAN之间的数据转发,通过它,可以将办公大楼的接入用户划分为多个工作组群,组与组之间可以通过二层交换机进行连接。同时,MyPower S3026G进行对工作组群之间的交互控制。
安全性高
目前作为应用在局域网中的设备,MyPower S4196B支持802.1x、用户分级管理,可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制、MAC地址绑定,防止非授权访问以及授权的越区访问。还可配合迈普加密体系,保证网络机密性。
性价比高
在大楼核心采用高性价比的MyPower S4196B路由交换机,最大提供96个100M以太口,提供全线速三层交换,是组建大型金融机构办公网络的最佳网络设备。
可靠性好
MyPower S4196B和MyPower S3026G采用双电源冗余供电,还可根据需要进行网络链路的冗余备份,保证系统的不间断运行。
易维护
MyPower S4196B和MyPower S3026G提供中文和英文双语集成的基于Web配置方式,只需要对网络有简单的了解就可以对它进行方便的配置,同时,它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别,无须技术人员考虑网线是直连网线还是交叉。
3.2.中型金融机构办公大楼局域网解决方案
3.2.2.方案分析
本解决方案把网络分为三级网络:核心层、汇聚层、接入层。
对于中小型金融机构办公大楼局域网络,也需要建立一个核心的交换平台,使用一台MyPower S4196B系列产品作为网络的中心核心层,通过千兆链路集中来自MyPower S4126G汇聚的上行数据。MyPower S4196B系列产品是迈普线速交换网络产品系列定位于中型核心节点的代表产品系列,属千兆交换路由产品,当前的MyPower S4196B提供全线速的二三层交换。在中型规模金融企业网中,两台通过TRUNK连接的MyPower S4196B产品可以被设计作为网络的核心交换、业务控制和冗余控制平台。
在汇聚层选择MyPower S4126G产品进行楼层汇聚,提供24个100M接入,同时2路千兆上行。用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等。
在接入层选择MyPower S3026G系列产品进行房间内信息点的接入,实现100兆到桌面。
迈普系列数据通信产品支持统一的网管平台,通过迈普的DeviceMaster网管软件(NT/2000平台),应用标准网管协议SNMP,可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术,只需设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配。同时,整个方案中的各系列交换机都内置了802.1x本地认证功能,能对各信息点的接入用户进行认证并对其流量进行限制;通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术,能为整个大楼构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络。
3.2.3.方案特点
集群化管理
可以采用迈普DeviceMaster管理软件对MyPower S4196B、MyPower S4126G、MyPower S3026G进行集群化的图形管理,只需要设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配;初始化时从交换机无须做任何参数配置,整个网络拓扑由主交换机自动发现,大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成,实现管理集中。
划分多工作组群
MyPower S4196B交换路由器提供VLAN与VLAN之间的数据转发,通过它,可以将办公大楼的接入用户划分为多个工作组群,组与组之间可以通过二层交换机进行连接。同时,MyPower S4126G进行对工作组群之间的交互控制和路由。
安全性高
目前作为应用在局域网中的设备,MyPower S4196B、MyPower S4126G支持802.1x、用户分级管理,可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制、MAC地址绑定,防止非授权访问以及授权的越区访问。还可配合迈普加密体系,保证网络机密性。
可靠性好
MyPower S4196B、MyPower S4126G、MyPower S3026G采用双电源冗余供电,还可根据需要进行网络链路的冗余备份,保证系统的不间断运行。
性价比高
在大楼核心采用高性价比的MyPower S4196B和MyPower S4126G路由交换机,提供全线速三层交换,是组建中型金融机构办公网络的最佳网络设备。
易维护
MyPower S4196B、MyPower S4126G和MyPower S3026G提供中文和英文双语集成的基于Web配置方式,只需要对网络有简单的了解就可以对它进行方便的配置,同时,它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别,无须技术人员考虑网线是直连网线还是交叉。
3.3.小型金融机构办公大楼局域网解决方案
3.3.2.方案分析
对于小型金融机构办公大楼局域网络,也需要建立一个核心的交换平台,使用一台MyPower S4126G系列产品作为网络的中心核心层,通过百兆链路汇聚来自各楼层MyPower S3026G的上行数据。在小规模金融企业网中,单台MyPower S4126G产品可以被设计作为网络的核心交换、业务控制和冗余控制平台。
在接入层选择MyPower S3026G系列产品进行房间内信息点的接入,实现100兆到桌面,可划分VLAN对业务进行隔离。
迈普系列数据通信产品支持统一的网管平台,通过迈普的DeviceMaster网管软件(NT/2000平台),应用标准网管协议SNMP,可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术,只需设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配。同时,整个方案中的各系列交换机都内置了802.1x本地认证功能,能对各信息点的接入用户进行认证并对其流量进行限制;通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术,能为整个大楼构建一个便于管理的、可控的、高性能的智能网络。
3.3.3.方案特点
集群化管理
可以采用迈普DeviceMaster管理软件对MyPower S4126G和MyPower S3026G进行集群化的图形管理,只需要设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配;初始化时从交换机无须做任何参数配置,整个网络拓扑由主交换机自动发现,大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成,实现管理集中。
划分多工作组群
MyPower S4126G交换路由器提供VLAN与VLAN之间的数据转发,通过它,可以将办公大楼的接入用户划分为多个工作组群,组与组之间可以通过二层交换机进行连接。同时,MyPowerMyPower S3026G进行对工作组群之间的交互控制。
安全性高
目前作为应用在局域网中的设备,MyPower S4126G支持802.1x、用户分级管理,可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制、MAC地址绑定,防止非授权访问以及授权的越区访问。还可配合迈普加密体系,保证网络机密性。
可靠性好
MyPower S4126G、MyPower S3026G采用双电源冗余供电,还可根据需要进行网络链路的冗余备份,保证系统的不间断运行。
性价比高
在大楼核心采用高性价比的MyPower S4126G路由交换机和MyPower S3026G二层网管型交换机,MyPower S4126G提供全线速三层交换,MyPower S3026G支持二层的所有网管协议,是组建中小型金融机构办公网络的最佳网络设备。
易维护
MyPower S4126G和MyPower S3026G提供中文和英文双语集成的基于Web配置方式,只需要对网络有简单的了解就可以对它进行方便的配置,同时,它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别,无须技术人员考虑网线是直连网线还是交叉。
3.4.同城金融机构办公大楼间城域网解决方案
3.4.2.方案分析
上图显示了典型金融企业网的组网应用情况。在该类网络中存在下列需求:大量不同规模工作组的接入;楼层(楼间)宽带互联;分部互联;综合服务环境提供(邮件系统、文件系统、数据库等);对外服务提供以及业务隔离等。
当前,随着企业IT进程的迅速推进,千兆骨干,百兆到桌面已经成为企业LAN建设的标准配置,按照这种思路组建金融企业网络的物理平台架构,在用户接入层可以选用MyPower S3026G系列接入交换机,提供百兆到桌面的同时再以100M/1000M上行到汇聚层;在汇聚层则可以选用MyPower S4196B和MyPower S4126G,向下提供百兆接入,同时向上提供千兆链路上行。MyPower S4196B和MyPower S4126G可以提供2条千兆上行链路,用户可以根据自身需求以及光纤资源情况进行灵活的选择。用MyPower S4196B做大楼中心汇聚,向下提供千兆接入,同时向上提供N×1000M链路上行。
对于远端的办公节点,例如另一栋办公大楼或者一个拥有可达光纤资源的金融分支机构,远端办公节点的MyPower S4196B支持扩展光纤接口模块,可以方便的实施远程光纤互联。在各办公节点间用MyPower S4112A进行各点的核心汇聚,MyPower S4112A最大能提供12个千兆光口。
在业务部门众多,网络用户密集、结构复杂的中型企业,纯二层产品组建的网络往往会出现广播报文急剧增多而导致的网络转发效率降低的现象,同时,不同的部门处在同一个网络中,也可能产生安全漏洞,所以,有必要使用相应的网络技术来控制不同子网的广播范围,使用VLAN(虚拟私有网)技术可以有效的隔离广播,控制不同网络用户的互访,但同时也产生了新的问题:彻底的二层隔离使得原有的公用资源可能不再能同时为各个相互隔离的子网服务了,另外,为了隔离广播造成了部分需要互访的用户的隔离――解决不同VLAN之间的互访需求需使用网络更高逻辑层的支持技术――路由技术(第三层)。在大型企业的部门级网络或者中型企业的分部LAN中心都可以选用MyPower S4100系列产品解决上述问题。MyPower S4100系列可以提供全线速的二三层交换,保证了即使在网络流量子网网间达到流量高峰时,该网络节点处理依然不会成为瓶颈。
在更好的控制广播扩散以及不同部门之间数据流的三层互通的同时,MyPower S4100还能实现线速的多层策略过滤,即:MyPower S4100可以基于硬件的2~7层包过滤等设置安全策略,用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等。
迈普系列数据通信产品支持统一的网管平台,通过迈普的DeviceMaster网管软件(NT/2000平台),应用标准网管协议SNMP,可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术,只需设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配。同时,整个方案中的各系列交换机都内置了802.1x本地认证功能,能对各信息点的接入用户进行认证并对其流量进行限制;通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术,能为同城各办公机构间构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络。
3.4.3.方案特点
集群管理
可以采用迈普DeviceMaster管理软件对MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G进行集群化的图形管理,只需要设定一台主交换机作为代理管理节点,就可以对互联的所有迈普交换机进行统一管理;整个集群只需使用一个管理IP地址,大大节约管理地址的分配;初始化时从交换机无须做任何参数配置,整个网络拓扑由主交换机自动发现,大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成,实现管理集中。
划分多工作组群
MyPower S4112A、MyPower S4196B和MyPower S4126G交换路由器提供VLAN与VLAN之间的数据转发,通过它,可以将办公大楼的接入用户划分为多个工作组群,组与组之间可以通过二层交换机进行连接。同时,MyPower S3026G进行对工作组群之间的交互控制。
安全性高
目前作为应用在局域网中的设备,MyPower S4112A、MyPower S4196B和MyPower S4126G支持802.1x、用户分级管理、基于硬件的2~7层包过滤等安全策略,可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制,防止非授权访问以及授权的越区访问。还可配合迈普加密体系,保证网络机密性。
可靠性好
MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G采用双电源冗余供电,还可根据需要进行网络链路的冗余备份,保证系统的不间断运行。
性价比高
在大楼核心采用高性价比的MyPower S4112A和MyPower S4196B路由交换机,最大能提供12个千兆光口,提供全线速三层交换,是组建中小型金融机构办公网络的最佳网络设备。
易维护
MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G提供中文和英文双语集成的基于Web配置方式,只需要对网络有简单的了解就可以对它进行方便的配置,同时,它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别,无须技术人员考虑网线是直连网线还是交叉。
结束语
无论是金融系统原有的数据网络资源系统、中间业务网络还是OA、金融企业资源系统,在充满竞争和机会的金融市场环境下都需要更加技术先进、开放、安全可靠的网络基础。把这些零散的业务网络有机的整合在一起,这意味着要构筑打造一个高性能、高效、可控、易维护的全新智能信息网络。
面向全新的金融网络,迈普依靠多年来在金融行业积累下的网络建设经验,对省行到网点机构进行详细分析和精心设计,帮助客户提供了面向业务、面向办公自动化网络高性价比的局域网建设综合解决方案,全面满足大集中的背景下产生的业务对网络的众多需求。
E. 小型局域网的组建20~30人的如何做详细步骤
1、确定网络需求 所谓网络需求,也就是在组建网络之初,要明确此网络环境的用途,主要用来做什么,要实现什么样的网络应用等问题。作为20-30人的小型办公环境来说,最多的就是文件资料的传递和共享访问互联网的应用;网络带宽要求不是很高,联网设备的选择上可以考虑够用就行的原则;而共享互联网,申请ADSL宽带也能足够应付。目前宽带服务提供商针对小型办公网络用户提供了多种资费可供选择,价格也相当实惠。 1.1 计算机网络的出现,使整个世界实现了信息化。使人们的生活、工作产生了巨大变化,工作效率更是提高了许多。越来越多的人依赖着网络,没有联网时,计算机不能真正做到资源的共享和信息的交换,也无法发挥高配置计算机的优势,更无法使计算机的内部系统或工作性能得到更新与提高。 1.2 信息时代,企业的核心竞争力不仅表现在开发、生产和市场上,企业内部的信息化管理同样成为形成核心竞争力的因素。信息化已成为现代企业的一个重要标志和衡量企业综合实力的重要组成部分。为了局域网当前被人们广泛应用于网络办公、信息管理、信息交换、教育、娱乐等方面。而在这些应用领域中,不管出于任何目的其主要的应用目的都是信息资源的共享。当然在全球信息互联网以极快的速度发展起来之后,网络上的通信交流也成为网络应用的另一个价值点。此外局域网还可方便实现在工作组中的内部信息交换,当工作组内某台计算机出现问题或是负荷过重的时候可以及时由别的计算机来接替工作或是分担工作负荷;在单台机器无法进行的大型复杂任务时还可以通过网络来协同处理。总地来说网络的功能主要体现就是信息资源的共享、相互间的信息资源交换、负荷分担协同工作。正是由于这些强大的功能的帮助之下,使我们的信息化产业得以发展至今天的程度,也使网络自身得以飞速发展。 1.3 在我国的计算机网络中,特别是局域网技术发展最为迅速,许多大专院校、科研院所以及银行、公安、邮电、铁路、石油等部门都建立了自己的局域网,但在实际运作中,由于一些网络是没有保密措施的“裸网”,用户不敢在网上处 理涉密信息,使网络的作用得不到充分发挥。因此,开发和运用有效的局域网保密措施,树起坚实的保密防护网,无论现在还是将来都具有十分突出的现实意义。所以不仅要掌握局域网的组成和结构,而且还要熟悉、了解局域网的维护和信息的安全与保密。这一步骤中,主要考虑所有计算机所处位置。因为办公场合的移动性并不是很强,所以这里弃无线而选择有线局域网方式,这样就会涉及到布线的问题;另外,考虑到网络管理的方便,也尽量将局域网控制中心单独放置,不要拿出来公用。 1.4 最后就是具体的组网方式,因为要实现局域网到互联网的共享访问,而且考虑到成本问题,所以这里采用“ADSL Modem+宽带路由器+交换机+客户机”的模式。宽带路由器就相当于一台共享上网服务器,客户机通过这台“共享上网服务器”即可实现互联网共享。 2、确定网络设备。 根据前面确定的网络模式,需要添置的网络设备主要为宽带路由器和交换机。因为ADSL Modem在安装宽带时服务商会免费提供,而网卡一般计算机都已自带,当然还需要支持10/100M自适应适度的网线,来将所有的网络设备与计算机相连。 2.1 宽带路由器。宽带路由器是组网方式中最重要的设备。为了获得良好的共享速度及稳定的性能,大家在选择此种设备时应多参考相关资料, 2.2 交换机。选购交换机时,主要注意应为局域网的升级留有一定的剩余端口。此网络环境规模为20-30台,因此建议最好 选择24口+16口的端口搭配;这样不仅保证了网络的正常使用,也方便调整客户端位置、留有足够的故障调试端口和升级端口。这里同样选择了D-Link的产品。 2.2.1 24口交换机:DES-1024R 。这是一款具有高灵活性的非网管10/100Mbps工作组交换机,能够无缝地集成10BASE-T和100BASE-TX的设备,使之共处于一个网络内而无须更改网络结构;为普通办公网络提供了一种经济、有效的快速以太网解决方案。 2.2.2 16口交换机:DES-1016R 。这款产品跟上面介绍的那款24口的,在性能方面同属一个规格,只是端口有所减少。在连接两台交换机时,选择同一品牌的近似型号,可以获得最好的性能。 3、确定设备的连接。 3.1 连接使用双绞线, 3.2 具体连接上,将ADSL Modem的LAN口和宽带路由器WAN口相连,宽带路由器一般还有4个LAN口,可以分别连接两台交换机,也可直接连接其他计算机。这里注意,在宽带路由器到达交换机这条“路”上有两种连接方式;两台交换机级联,其中一台交换机再与宽带路由器连接。这种连接方式可以方便交换机的管理。 宽带路由器分别与两台交换机连接。在需要设置不同的网段,实现不同的网络应用时可应用此连接方式。
F. 如何组建一个小型局域网
关于如何建立一个小型的局域网具体操作如下:
1、设置硬件环境
将所有电脑网线插入路由器的LAN口,使路由器与电脑相连。
2、配置电脑IP地址
对所有电脑分别按如下提示操作:网上邻居右键属性-本地连接右键属性-双击“internet协议(TCP/IP)”,在出现界面里都选自动获得。
如下图所示:选择红框里的标识。
3、建立了局域网后有必要开通一下网络和打印共享。操作如下:网上邻居右键属性-左键点击“设置家庭或小型家庭网络”,然后根据一直“下一步”,直到完成。
4、网络安装向导的指示图。
5、选择其他网络连接方法。
6、下一步文件和打印机共享的选择。
7、继续,局域网创建成功。
G. 怎样组建小型公司局域网
1、根据物理位置和距离情况,制作若干根网线,并且通过测试确保网线的连通性。在制作网线方面,有两种布线方式,一种是平行布线方式,适合不同种类的设备进行互联时;另一种是交叉布线方式,适合同一类型设备之间的互联。现在大部分设备都能识别平行和交叉布线方式。
(7)计算机网络中小型企业组网扩展阅读:
局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。事实上,Interne如SATAN、ISS、NETCAT等等,都把以太网侦听作为其最基本的手段。
当前,局域网安全的解决办法有以下几种:
网络分段
网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。海关的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。例如:在海关系统中普遍使用的DECMultiSwitch900的入侵检测功能,其实就是一种基于MAC地址的访问控制,也就是上述的基于数据链路层的物理分段。
以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包UnicastPacket)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。
因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播Packet)和多播包(MulticastPacket)。所幸的是,广播包和多播包内的关键信息,要远远少于单播包。
VLAN的划分
为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。
VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显着,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。
在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。大多数的交换机(包括海关内部普遍采用的DEC MultiSwitch 900)都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要,必须使用其他路由协议(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太网口路由器来代替交换机,实现VLAN之间的路由功能。当然,这种情况下,路由转发的效率会有所下降。
无论是交换式集线器还是VLAN交换机,都是以交换技术为核心,它们在控制广播、防止黑客上相当有效,但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此,如果局域网内存在这样的入侵监控设备或协议分析设备,就必须选用特殊的带有SPAN(Switch PortAnalyzer)功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上,提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中,就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机,既得到了交换技术的好处,又使原有的Sniffer协议分析仪“英雄有用武之地”。
H. 设计报告中小型企业的网络及安全方案
你去CSDN吧,这么多字我估计很少有人回答。我简单跟你说一下吧
VPN专用信道肯定要有,服务器前面加防火墙。这部门之间设置vlan,个vlan间用路由链接。每个部门应由独立防火墙,路由设置包过滤。所有系统加密码,邮件和FTP服务器重点保护。
I. 我公司大概有50台电脑左右,请各位大侠帮助我提供一个组网方案,不剩感激!
这是一百台的你参考参考吧
有人问100台机器的组网方案要怎么做?100台属于现在开正规网吧的起码条件,所有也属于中小型网吧组网方案,笔者就无盘网络方案为前提和大家一起就100台的网吧方案做个探讨,整个网络设计的并不多,主要的还是从软硬件设置方面阐述如何让100台的组网方案在应用过程中带来更优秀的网速体验。
对于100台机器的网吧需要采用一台服务器引导50台左右的工作站成立专门以上网冲浪和影视为主的服务区;另一台服务器引导另外50台工作站成立专门以游戏为主的服务区,在这其中所有PC机皆为无盘启动方式。
在互联网接入方面,可以选择通过两条ADSL线路接入,每条线路分别作为两部分工作站的外网访问出口。对于主干线路上的交换机,可以采用带两个千兆模块的网管型的交换机,它具有可以划分基于802.1Q的VLAN和基于端口的VLAN,而此方案在实际的应用中必须要设置VLAN才能实现。对与各工作组的交换机可以选用24口普通型交换机。对于整个网络结构,笔者认为上述整体系统性能稳定可靠、升级空间大并且最大限度地兼顾了上网冲浪和网络游戏两方面。
主要网络设备: 2个ADSL Modem、 2台普通SOHO 宽带路由器或双WAN口宽带路由器、1台可网管千兆交换机、 5台24口普通型交换机。
100台机器的网吧无盘组网方案的大致组网方式如下:
1.光纤直接接到网吧,然后通过一光纤收发器将光信号转换成10M/100M电信号。接入采用光纤,速度快、稳定性好、障碍率低、抗干扰性特强。
2.用一路由器作为局域网的网关,此路由器在功能与性能上必须满足网吧网络的需求,由于它是专门用于路由转发、地址映射的硬件设备,在工作效率上比电脑主机强百倍,且具有非常优异的稳定性。此路由器需具备双以太口:一个用与光纤收发器连接、另一个用与交换机连接,连接介质均为网线。路由器作网关,路由转发能力强、稳定性好、具有很高的安全性,可以确保局域网内部机器安全上网无后顾之忧,而且可以保持长期在线。
3.用一交换机用于局域网内部互连。与集线器的共享总线式带宽相比,交换机使用独享式带宽,在功能和性能上远远超过集线器。交换机可以大大提高网络利用率,减少局域网内部冲突,提高上网速度。尤其是在较多机器同时运行的情况下,交换机发挥的作用将更大。
100台机器的网吧无盘组网方案之局域网中的相关设置
局域网的组建主要是软件设置问题,下面燕小6相信的为大家介绍一下。
首先网吧也根据设计好的网络,交换机、路由器的分配情况,组建好网络,组建网络的时候,需要注以下几点。
100台机器的网吧无盘组网方案正确使用“桥”式设备
“桥”式设备是用于同一网段的网络设备,如果没有正确的使用好桥设备,会造成服务器上提示当前网段号应是对方的网段号。所以正确区分“路由”设备和“桥式”设备,在设置网络参数方面是很重要的。
100台机器的网吧无盘组网方案合理设置交换机
光纤接入环境下的交换机,性能要好,兼容性要强,除了网吧里各交换机之间要兼容,还要保证整个网吧网络的兼容与稳定,有效解决了网络系统稳定可靠和性能的矛盾,同时屏蔽了病毒与非法侵入的袭击。
燕小6建议将交换机的端口与网卡的速率及双工方式设置为一致,如果不一致可能会造成大量流量负荷数据传输时,速度变得极慢。
然后就是设置TCP/IP属性,如果是机器较多的网吧,不可能每台机器都去设置IP地址,所以一律采用自动获取IP。
接下来就要配置宽带路由器,网吧的路由器是十分重要的设备,一旦设备路由器出现了问题,就会造成整个网吧的网络瘫痪。
在IE地址栏中输入宽带路由器的WEB配置IP地址(winipcfg中的网关地址),然后输入用户名和密码,初始值为admin,进入宽带路由器的配置界面,选择“设置向导”一步步往下设置,遇到“PPPoE”选项的时候,然后输入ADSL拨号上网时的“用户名(User Name)”和“密码(Password)”,一路“Next(下一步)”之后,便可多机共享宽带路由器上网了。这个只是满足基本的上网功能,对于网吧来说,更多的还要保证网络的稳定健康。所有就要设置更多的高级功能。
100台机器的网吧无盘组网方案之路由器的高级功能设置
路由器在网络环境中是一个非常重要的设备,在不同的网络应用环境中,如何选择合适的路由器,往往成为决定网络建设成败的重要因素。当网吧采用了光纤上网方式,那么就需要使用可连接光纤的路由器,这样才能保证光纤接入网吧。
路由器功能之MAC功能:
如果采用的是带有MAC地址功能的宽带路由器,将网卡上的MAC地址写入路由器,方便让服务器在接入时验证MAC地址,获取宽带接入认证。MAC地址控主要有两方面的功能设置。
1、连接控制的设置。可以通过它来设定允许或者禁止哪些计算机能够访问路由器或者Internet;
2、MAC地址与IP地址绑定。绑定是为了防止用户随便更改IP地址,或者能够使用某个MAC地址的用户每次都获得不相同的IP地址,可能会给网吧网络造成APR攻击等。
路由器功能之动态主机配置协议(DHCP)功能
动态主机配置协议(DHCP,Dynamic Host Configuration Protocol),是在TCP/IP网络上动态为客户机分配和配置IP地址的协议。DHCP向TCP/IP网络中的客户计算机提供的配置参数,由两个基本部分组成:一部分是向客户机传送专用的配置信息,另一部分是给客户机分配的IP地址。DHCP是基于客户/服务器模式工作的。采用DHCP服务器的话,网络中用于动态分配的IP地址将会被统一管理起来,解决了地址冲突问题,网络管理员就可以避免手工设置和分配IP地址的琐事。DHCP能自动将IP地址分配给登录到TCP/IP网络的客户工作站。
路由器功能之虚拟专用网(VPN)功能
虚拟专用网络,是一门网络新技术,为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成:客户机、传输介质和服务器。VPN同样也由这三部分组成,不同的是VPN连接使用隧道作为传输通道。VPN能利用Internet公用网络建立一个拥有自主权的私有网络,一个安全的VPN包括隧道、加密、认证、访问控制和审核技术。对于企业用户来说,这一功能非常重要,不仅可以节约开支,而且能保证企业信息安全。
路由器功能之DMZ功能
DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。可以在这个小网络区域内放置一些必须公开的服务器设施,如FTP服务器和论坛等。同时可以更加有效地保护了内部网络,因为他比一般的防火墙方案多了一道关卡。DMZ的主要作用是减少为不信任客户提供服务而引发的危险。DMZ能将公众主机和局域网络设施分离开来。大部分宽带路由器只可选择单台PC开启DMZ功能,也有一些功能较为齐全的宽带路由器可以设置多台PC提供DMZ功能。
路由器功能之防火墙功能
防火墙可以对流经它的网络数据进行扫描,从而过滤掉一些攻击信息。防火墙还可以关闭不使用的端口,从而防止黑客攻击。而且它还能禁止特定端口流出信息,禁止来自特殊站点的访问。对于网吧来说,防火墙十分的重要,所有在购买路由器的时候要注意路由器的防火墙功能。