《华康医药计算机网络改造项目设计方案.docx》由会员分享,可在线阅读,更多相关《华康医药计算机网络改造项目设计方案.docx(53页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、华康医药计算机网络改造项目华康医药计算机网络改造项目设设计计方方案案20032003 年年 5 5 月月编号:时间:2021 年 x 月 x 日书山有路勤为径,学海无涯苦作舟书山有路勤为径,学海无涯苦作舟页码:第2页 共53页第 2 页 共 53 页目目录录第一章第一章 前前言言.4第二章第二章 需求分析需求分析.52.1 网络系统设计的原则.52.2 系统需求归纳.62.3 系统设计目标.6第三章第三章 总体方案设计总体方案设计.73.1 核心技术介绍.73.1.1局域网技术选型.73.1.2虚拟网络的划分.93.1.3第三层交换与路由.123.2 总体方案设计概述.193.2.1总体方案设
2、计目标.193.2.2总体方案设计原则.203.1.3网络平台的设计.203.1.4主机选型概述.213.1.5网络设备选型概述.21第四章第四章 网络系统设计网络系统设计.234.1 网络拓扑结构.234.2 整体网络结构.244.3 企业内部局域网.254.4 INTERNET接入.254.5 VPN 组建.254.6 方案特点.29第五章第五章 主机系统设计主机系统设计.305.1 服务器发展趋势.305.2 服务器选型和配置.325.3 WIN2000 操作系统.36第六章第六章 网络安全设计网络安全设计.386.1 系统安全策略设计原则.386.2 系统安全模式设计.386.3 ST
3、OPHACKER守护神防火墙.416.3.1 StopHacker守护神防火墙的优点.416.3.2 StopHacker守护神防火墙功能.426.3.3 StopHacker守护神防火墙性能、参数.45第七章第七章 UPS 电源方案设计电源方案设计.47编号:时间:2021 年 x 月 x 日书山有路勤为径,学海无涯苦作舟书山有路勤为径,学海无涯苦作舟页码:第3页 共53页第 3 页 共 53 页第八章第八章 产品介绍产品介绍.508.1 IBM X370 高性能服务器.50编号:时间:2021 年 x 月 x 日书山有路勤为径,学海无涯苦作舟书山有路勤为径,学海无涯苦作舟页码:第4页 共5
4、3页第 4 页 共 53 页第一章第一章 前前言言21 世纪世界竞争的焦点将是信息的竞争,社会和经济的发展对信息资源、信息技术和信息产业的依赖程度越来越大,信息技术的发展对政治、经济、科技、教育、军事等诸多方面的发展产生了重大的影响,信息化是世界各国发展经济的共同选择,信息化程度已成为衡量一个国家,一个行业现代化的重要标志。我公司是从事计算机系统集成和软件开发的高科技信息产业公司。主营业务为计算机系统集成,包括信息管理系统及软件开发、网络与通讯、网络安全、安全监控、智能大楼综合布线工程等。公司在承接大中型工程项目上有着坚实的技术基础和丰富的实践经验。工程涉及政府、企业、部队、公安、金融、税务、
5、邮电、电力等各个行业,承接了几十项规模大、技术先进的重点工程。公司在计算机系列产品及网络系统产品上与国内外多家先进厂家进行了密切的合作,并建立了良好的销售及代理渠道,使公司能以最先进的技术、最快捷的服务为各类大、中型项目提供良好的支持。华康医药公司计算机网络系统集成项目作为 ERP 系统重要组成部分,在其设计和建设中应充分考虑当前和未来信息系统的发展需要,采用合理的技术,选用先进的设备和软件,以最大限度地满足当前应用系统的需要。其系统总体目标是根据华康医药公司的现状与需求,建立先进、实用、安全、可靠、开放的计算机网络环境,利用先进的技术和手段实现网络互联,建成企业内部信息网络系统,以实现各个部
6、门的连接及信息共享,最大限度提高企业内部信息系统的的效率。因此,根据华康医药公司网络的需求,并在充分理解华康医药公司 ERP 信息化系统实际需求的基础上,结合我公司技术人员多年的计算机系统集成经验和最新的计算机网络技术,本着“先进性先进性、可靠性可靠性、安全性安全性、实用实用性、开放性、可扩展性、易操作性、易管理维护性性、开放性、可扩展性、易操作性、易管理维护性”的原则,给出我公司的设计方案。编号:时间:2021 年 x 月 x 日书山有路勤为径,学海无涯苦作舟书山有路勤为径,学海无涯苦作舟页码:第5页 共53页第 5 页 共 53 页第二章第二章 需求分析需求分析2 2.1.1 网络系统设计
7、的原则网络系统设计的原则“先进性先进性”原则,计算机网络系统的基础结构要立足于目前相关领域国际先进的技术和标准,以 Intranet 为核心,选用具有代表性和先进性的技术和设备,建成技术先进、性能优良、功能齐全、运行可靠的计算机网络系统。“可靠性可靠性”原则运行可靠是计算机网络系统建设的一个先决条件,各种服务器和计算机系统应具有长期的重负荷稳定运行和相对较强的抗干扰能力,必须采用多方面的措施,如尽量采用成熟而通用的技术和产品、在系统设计和软硬件选配中尽量简化及优化、对系统关键部分做适当的冗余考虑等,使系统具有良好的可靠性。“安全性安全性”原则,计算机网络系统必须按照多重保护、多层次实现、多个安
8、全单元以及动态发展等安全性策略,在服务器平台方案和部署设计上,应体现较为完善的网内安全隔离和网间互联安全保护等原则,在设备及软件的选型配置上,应对其所具备的安全技术和保护能力等加以充分考虑,形成安全系统机制,并提供有效的备份应急措施,为进行严格的信息安全管理提供技术基础和手段。“实用性实用性”原则,在网络系统的设计和建设过程中,要尽量采取成熟的、有成功先例的技术,合理选用系统设备和系统软件,优化系统性能价格比,精心设计、科学施工,避免采用过高和华而不实的技术、设备和软件,避免失误,避免重复劳动,求的资金投入的最大效益。“开放性开放性”原则,网络系统设计过程中,要坚持标准化和开放的原则,采用广为
9、流行的国家标准和国际标准,使不同生产厂商的硬件、软件产品能融为一体,为信息系统开发提供良好的开发平台。“扩展性扩展性”原则,随着企业信息化的不断发展,企业计算机局域网信息系统及应用的规模和水平将会不断发展变化,这就要求计算机网络系统能够适应这些发展变化。另一方面,计算机网络和通信技术发展迅速,新的技术不断涌现,新的需求不断增加。因此,建成的计算机网络系统应具备良好的可升级性、可扩展性,以适应不断发展的应用编号:时间:2021 年 x 月 x 日书山有路勤为径,学海无涯苦作舟书山有路勤为径,学海无涯苦作舟页码:第6页 共53页第 6 页 共 53 页需要、跟上不断进步的技术水平。“可管理性可管理
10、性”原则,系统应支持先进有效的管理策略,提供良好的管理工具或手段能够实时监视服务器各种设备的工作情况,并在安全和系统故障方面进行预警,提交日志和分析报告,及时发现故障点,为平衡负载、优化服务、排除故障提供手段和依据。2.22.2 系统需求归纳系统需求归纳华康医药公司各业务部门信息点主要分布在旧办公大楼,未来新大楼建成使用之后,中心机房将搬迁到新大楼。需求归纳如下:1.局域网主干采用千兆以太网技术,100M 交换到桌面,采用 InternetIntranet应用模式;2.网络必须采用 VLAN 和第三层交换技术,控制和管理;3.广域网采用多种技术,实现各个信息点通信的要求(包括 IP 电话);4
11、.操作系统采用 Windows2000AdvancedServer;5.采用防火墙技术和可靠的防火墙产品,保证整个网络的安全;6.主机系统采用 IBM 服务器和磁盘阵列组成,要具有高可靠性,数据库系统建议采用大型数据库系统(Oracle)。2 2.3.3 系统设计目标系统设计目标1.实现华康医药公司各科室及科室内部以及各连锁药房的信息交换和资源共享,满足每个桌面的计算机均能入网的要求;2.建立远程传输系统,实现在外人员与各部门及时有效的信息交换和移动办公;3.以网络硬件和各服务器平台为基础,形成 IntranetIntemet 技术为核心的企业级网络环境,建立 ERP 系统;4.未来实现和社保
12、等单位的网络互连编号:时间:2021 年 x 月 x 日书山有路勤为径,学海无涯苦作舟书山有路勤为径,学海无涯苦作舟页码:第7页 共53页第 7 页 共 53 页第三章第三章 总体方案设计总体方案设计3.13.1 核心技术介绍核心技术介绍3.1.1 局域网技术选型局域网技术选型随着信息产业的发展,台式机系统的能力火箭般上升,各种新的图形应用和多媒体应用在网上运行,联网用户急剧增加,网络规模和复杂性不断增长。另外,IntranetInternet 应用模式的采用,使得网络流量更加难以预测。这一切都对网络通信性能提出了更高的要求。采用高速网络技术势在必行。目前可供选择的有 100Base-T、AT
13、M 和千兆位以太网技术,各种技术又可用集线器、交换机、第三层交换机和路由器进行多样组合。对此,我们必须进行探讨,慎重选择。ATM 技术可说是网络上的一大变革,它所有的观念炯异于以前的网络概念,它是一种面向连接的网络技术。所谓面向连接是指传送一方在送资料时需和接收一方建立连线,就如同我们打电话一般。另外 ATM 的报文大小为固定长度(53 字节)的信元,如此可保证传输过程的低延迟能力。最特别的是,在 ATM 的通讯架构中,早已建置了服务质量(QOS)的功能。由于以上的特征,ATM 将是一种很有发展前途的技术,也是人们所期待的集成语音、影像及数据等多媒体信息的技术。然而就是因为 ATM 集合了这么
14、多的优点,造成规格及标准的制定困难,进度缓慢,同时也因为以前的应用程序均是以 NDIS 及 ODI 作为应用编程接口(APl),若要使用 ATM 的优点,则必须通过 LAN Emulation 或 MPOA 之转换,但经由此等转换后,ATM 的优异性将荡然无存。而在 ATM 到桌面的环境中,由于缺乏能有效利用 ATM 特性的 APl 标准,导致目前在ATM 上的多媒体应用多为厂商专属的解决方案,存在致命的兼容性问题,不利于发挥 ATM的优势,加上管理界面的不同,限制了用户的接受度。为了能与 ATM 分庭抗礼,以太网络的忠实拥护者于数年前推出了 100Mbps 快速以太网络。与此同时,业界还问世
15、了另一标准100VG-AnyLAN,这两者同样是 100Mbps 的传输速度。100VG-AnyLAN 支持优先级调度,平心而论,它确实是很好的通讯协议,但在编号:时间:2021 年 x 月 x 日书山有路勤为径,学海无涯苦作舟书山有路勤为径,学海无涯苦作舟页码:第8页 共53页第 8 页 共 53 页业界及使用者的选择下,100VG-AnyLAN 被淘汰出局,成为叫好不叫座的明星。究其原因,在于快速以太网采用和以以太网相同的技术,传承自以太网的规范,原来的应用可继承。由于在网络市场中,以太网的用户数比例高达 80以上,如此雄厚的用户基础,加上快速以太网良好的性能价格比,使其迅速成为市场主流。
16、快速以太网与交换技术的结合,使其具备如下优点*简单,低成本,可实现原有以太网无缝升级:*众多处于业界依靠的网络厂商、主机厂商、半导体厂商甚至传统通信业厂商的支持。而在快速以太网规范完成的同时,千兆以太网(Gigabit Ethernet)的规范即已着手制定,希望能将以太网络的频宽从 10Mbps、100Mbps 提升到 1000Mbps。干兆以太网仍属于 IEEE 8023 类,仍采用 CSMACD 协议,有着相同的报文格式及长度,同样的管理界面,同样的全双工及半双工操作模式。1EEE8023z 规范于近期完成,市面上已在产品问世。目前在布线上已明确规范上分为 1000Base-SX 和 10
17、00Base-LX。1000Base-SX支持多模光纤(850nm 短波长),传输距离 500m:1000BaseLX(1300 波长),支持多模光纤或单模光纤,多模方式,传输距离不低于 550m,单模方式,传输距离最远可达 70km。千兆以太网的出现,为以太网、快速以太网提供了一个新的升级途径。面对 IEEE 8023 类以太网络在频宽管理能力方面的缺乏,IEEE 在其规范中不断采取它种技术以修正,如在服务质量方面(QOS),积极制定 IEEE8021p 优先权级别,同时利用 RSVP,使用频宽保留的技术提供服务类(Class of Service),供语音及影像等多媒体信息应用。综上所述,
18、就目前来看,ATM 和 IEEE8023 类的以太网(包括 10Mbps、100Mbps 和1000Mbps)这两种技术是比较有前途的,其中后者适用于以数据为主的应用环境中,搭配一些频宽管理的特性,也可使用多媒体。适用环境如:ISP、数据交换中心及企业Intranet 之主干技术。而 ATM 则适用需同时提供语音、视频、数据服务之环境。根据上述当前的技术发展趋势,针对华康医药公司网络的需求,我们建议采用交换技术构筑局域网,为了保护以前的投资,网络主干采用快速以太网,同时具备向千兆以太网升级的能力,而客户机以 100M 以太网接入网。从近年来计算机应用的发展来看,越来越强调各个部门之间的协调、协
19、作与沟通,诸如 Intranet 和分布式协同计算模式编号:时间:2021 年 x 月 x 日书山有路勤为径,学海无涯苦作舟书山有路勤为径,学海无涯苦作舟页码:第9页 共53页第 9 页 共 53 页的应用已日趋广泛,这使得任何用户在任何时间都有可能访问任何服务器的资源。下一个瓶颈将在哪里出现是很难预料的。因此,有必要在网络设计时,考虑配置高速交换机,在主干中建立过量的带宽,以确保每一个应用都可以在它需要的时间内得到它需要的资源。而另一方面,随着网络规模的扩大,如果采用全交换方式,而不具备路由能力时,那么整个局域网将不得不作为一个单一的庞大的广播域来运作,这样会造成任何一个与网络连接的端点发出
20、一个广播报文时,它将穿透所有的交换器而影响整个网络效率,进而引起广播拥塞,导致网络响应时间缓慢到不能接受的地步。网络规模越大,产生这种广播风暴的机会会越高。这就需要采用路由技术将一个大的广播域分割成互连的几个小的广播域。但传统的路由器吞吐量低、延迟大,且价格昂贵,不适应于应用模式的需要。第三层交换机则应运而生,结合了第二层交换的高吞吐量、低延迟的特性,和路由器的安全控制和管理能力。我们建议在华康医药公司网络工程系统中引入第三层交换技术。根据当前的技术发展趋势,针对华康医药公司域网的应用需求,我们建议采用交根据当前的技术发展趋势,针对华康医药公司域网的应用需求,我们建议采用交换技术构筑内部局域网
21、,换技术构筑内部局域网,网络主干采用千兆以太网,而客户机以网络主干采用千兆以太网,而客户机以 100M100M 以太网接入网以太网接入网。3.1.2 虚拟网络的划分虚拟网络的划分在华康医药公司域网中,可以采用虚拟网技术,对华康医药公司不同的部门划分虚拟网。虚拟网(VLAN)是将一组彼此相关的用户和服务器逻辑地分成工作群组,这样的逻辑划分与物理位置无关,用户、工作站或服务器能够在网络网部任意移动,而始终维持通讯上原有的逻辑关系不变。其实,使用 VLAN 技术就是把一组用户分配在一个单一的广播域(VLAN)中,在该广播域上的广播流量只有其成员才能够收到。实际上,VLAN 成员的定义可以分为 4 种
22、:1、根据端口划分 VLAN这种划分 VLAN 的方法是根据以太网交换机的端口来划分,比如 CISCO3550 的 14端口为 VLAN A,517 为 VLAN B,1824 为 VLAN C,当然,这些属于同一 VLAN 的端口可以不连续,如何配置,由管理员决定,如果有多个交换机的话,例如,可以指定交换编号:时间:2021 年 x 月 x 日书山有路勤为径,学海无涯苦作舟书山有路勤为径,学海无涯苦作舟页码:第10页 共53页第 10 页 共 53 页机 1 的 16 端口和交换机 2 的 14 端口为同一 VLAN,即同一 VLAN 可以跨越数个以太网交换机,根据端口划分是目前定义 VLA
23、N 的最常用的方法,IEEE 802.1Q 协议规定的就是如何根据交换机的端口来划分 VLAN。这种划分的方法的优点是定义 VLAN 成员时非常简单,只要将所有的端口都指定义一下就可以了。它的缺点是如果 VLAN A 的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。2、根据 MAC 地址划分 VLAN这种划分 VLAN 的方法是根据每个主机的 MAC 地址来划分,即对每个 MAC 地址的主机都配置他属于哪个组。这种划分 VLAN 的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN 不用重新配置,所以,可以认为这种根据MAC 地址的划分
24、方法是基于用户的 VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN 组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN 就必须不停的配置。3、根据网络层划分 VLAN这种划分 VLAN 的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法可能是根据网络地址,比如 IP 地址,但它不是路由,不要与网络层的路由混淆。它虽然查看每个数据包的 IP 地址,但
25、由于不是路由,所以,没有 RIP,OSPF 等路由协议,而是根据生成树算法进行桥交换。这种方法的优点是用户的物理位置改变了,不需要重新配置他所属的 VLAN,而且可以根据协议类型来划分 VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的桢标签来识别 VLAN,这样可以减少网络的通信量。这种方法的缺点是效率,因为检查每一个数据包的网络层地址是很费时的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网桢头,但要编号:时间:2021 年 x 月 x 日书山有路勤为径,学海无涯苦作舟书山有路勤为径,学海无涯苦作舟页码:第11页 共53页第 11 页 共 53 页让芯
26、片能检查 IP 桢头,需要更高的技术,同时也更费时。当然,这也跟各个厂商的实现方法有关。4、IP 组播作为 VLANIP 组播实际上也是一种 VLAN 的定义,即认为一个组播组就是一个 VLAN,这种划分的方法将 VLAN 扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高,对于局域网的组播,有二层组播协议 GMRP。通过上面可以看出,各种不同的 VLAN 定义方法有各自的优缺点,所以,很多厂商的交换机都实现了不只一种方法,这样,网络管理者可以根据自己的实际需要进行选择,另外,许多厂商在实现 VLAN 的时候,考虑到 VLAN
27、 配置的复杂性,还提供了一定程度的自动配置和方便的网络管理工具。以前,各个厂商都声称他们的交换机实现了 VLAN,但各个厂商实现的方法都不相同,所以彼此是无法互连,这样,用户一旦买了某个厂商的交换机,就没法买其他厂商的了。而现在,VLAN 的标准是 IEEE 提出的 802.1Q 协议,只有支持相同的开放标准才能保证网络的互连互通,以及保护网络设备投资。下面讲述一下 VLAN 的优点:1、减少移动和改变的代价减少移动和改变的代价,即所说的动态管理网络,也就是当一个用户从一个位置移动到另一个位置是,他的网络属性不需要重新配置,而是动态的完成,这种动态管理网络给网络管理者和使用者都带来了极大的好处
28、,一个用户,无论他到哪里,他都能不做任何修改地接入网络,这种前景是非常美好的。当然,并不是所有的 VLAN 定义方法都能做到这一点。2、虚拟工作组虚拟工作组,VLAN 的最具雄心的目标就是建立虚拟工作组模型,例如,在校园网中,同一个系的就好象在同一个 LAN 上一样,很容易的互相访问,交流信息,同时,所有的编号:时间:2021 年 x 月 x 日书山有路勤为径,学海无涯苦作舟书山有路勤为径,学海无涯苦作舟页码:第12页 共53页第 12 页 共 53 页广播包也都限制在该虚拟 LAN 上,而不影响其他 VLAN 的人,一个人如果从一个办公地点换到另外一个地点,而他仍然在该系,那么,他的配置无须
29、改变,同时,如果一个人虽然办公地点没有变,但他换了一个系,那么,只需网络管理者那配置一下就行了。这个功能的目标就是建立一个动态的组织环境,当然,这只是一个远大的目标,要实现它,还需要一些其他包括管理等方面的支持。3、限制广播包限制广播包,按照 802.1D 透明网桥的算法,如果一个数据包找不到路由,那么交换机就会将该数据包向所有的其他端口发送,这就是桥的广播方式的转发,这样的结果,毫无疑问极大的浪费了带宽,如果配置了 VLAN,那么,当一个数据包没有路由时,交换机只会将此数据包发送到所有属于该 VLAN 的其他端口,而不是所有的交换机的端口,这样,就将数据包限制到了一个 VLAN 内。在一定程
30、度上可以节省带宽。4、安全性安全性,由于配置了 VLAN 后,一个 VLAN 的数据包不会发送到另一个 VLAN,这样,其他 VLAN 的用户的网络上是收不到任何该 VLAN 的数据包,从而就确保了该 VLAN 的信息不会被其他 VLAN 的人窃听,从而实现了信息的保密。理论上,VLAN 可以扩展到 WAN 上,但是,这是不明智的做法,因为 VLAN 允许广播包发送出去,而且它没有很好的路由算法,经常是以广播的形式转发数据包,这样,毫无疑问,极大地浪费了 WAN 的宝贵的带宽,所以说,将基于端口的,MAC 地址和网络地址的 VLAN 扩展到 WAN,是不合理的,而基于多播的 VLAN 概念则可
31、以灵活有效的扩展到WAN。一般的以太网交换机实现的都是基于端口的 VLAN,个别的会实现基于 MAC 地址和网络层地址的 VLAN,而路由器中可以通过 IGMP 多播协议实现所谓的组播形式的 VLAN。综上所述,建议华康医药公司域网实行华康医药公司域网实行 VLANVLAN 的划分的划分,各个二级节点和关键部门可各个二级节点和关键部门可以划分不同的以划分不同的 VLANVLAN,以保证华康医药公司网络的可靠性能。,以保证华康医药公司网络的可靠性能。3.1.3 第三层交换与路由第三层交换与路由一、交换技术的发展一、交换技术的发展编号:时间:2021 年 x 月 x 日书山有路勤为径,学海无涯苦作
32、舟书山有路勤为径,学海无涯苦作舟页码:第13页 共53页第 13 页 共 53 页-计算机技术与通信技术的结合促进了计算机局域网的飞速发展,从 20 世纪 60 年代末 Aloha 网的出现,到 90 年代后期千兆交换式以太网的登台亮相,短短的 30 年间,经历了从单工到双工、从共享到交换、从低速到高速、从简单到复杂、从昂贵到普及、从第二层交换到多层交换的飞跃。-1 1第二层交换第二层交换-在刚开始组建局域网时,主要局限于主机连接、文件和打印共享,多个用户共享10Mbps 带宽就能满足这些需求。随着网络规模的日益扩大,先前的网络系统已不能胜任,这是因为在局域网中,最早的网络互联设备是集线器,它
33、是第一层(物理层)设备。由于在这种基于 CSMA/CD 物理层协议的网络中,经常发生用户数据的冲突,并由此导致重发数据,使传输的效率大大降低。当时采用了第二层(数据链路层)设备网桥,它起到细化网段和减小冲突域的作用,从而优化了局域网的性能。但网桥是对高层(第三层以上)协议透明的设备,不能有效阻止广播风暴,因此需要采用路由器。路由器在子网间互联、安全控制和广播风暴限制等方面起了关键的作用,但复杂的算法、较低的数据吞吐量使其成为网络的瓶颈。为了解决以上问题,业界对网桥进行了改进,制造出局域网交换机,用它来替代集线器,以提高网络的性能。-局域网交换机是一种第二层网络设备,它在运行过程中不断收集和建立
34、自己的MAC 地址表,并且定时刷新。它的引入使网络各站点之间可独享带宽,消除了无谓的冲突检测和出错重发,提高了传输效率,而且是点对点传送用户数据,其他节点是不可见的。但第二层交换也有其弱点,包括不能有效解决广播风暴、异种网络互联和安全性控制等问题。因此,产生了交换机上的 VLAN(虚拟局域网)技术。-2 2第三层交换第三层交换-第二层交换机工作在 OSI 参考模型的第二层-数据链路层上,主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流量控制等。为了改进交换机的性能,又推出了第三层交换机,它在保留第二层计算机所有功能的前提上,增加了许多新的功能,编号:时间:2021 年 x 月 x 日
35、书山有路勤为径,学海无涯苦作舟书山有路勤为径,学海无涯苦作舟页码:第14页 共53页第 14 页 共 53 页如对 VLAN 的支持、对链路汇聚的支持,甚至具有防火墙的功能等。简单来说,所谓的第三层交换机就是在基于协议的 VLAN 划分时,增加了路由功能。-第三层交换机是 Intranet 应用的关键,它将第二层交换机和第三层路由器两者的优势有机而智能化地结合成一个灵活的解决方案,可在各个层次提供线速性能。这种集成化的结构还引进了策略管理属性,不仅使第二层与第三层相互关联起来,而且还提供流量优先化处理、安全访问机制以及其他多种功能。-第三层交换机分为接口层、交换层和路由层等 3 个部分。接口层
36、包含了所有重要的局域网接口,如 10/100Mbps 以太网、千兆以太网、FDDI 和 ATM 等;交换层集成了多种局域网接口,并辅之以策略管理,同时还提供链路汇聚、VLAN 和标记机制;路由层提供主要的局域网路由协议,包括 IP、IPX 和 AppleTalk 等,并通过策略管理,提供传统路由或直通的第三层转发技术。策略管理和行政管理相结合,使得网络管理员能够根据企业的特定需求调整网络。-一般来说,第三层交换产品都采用可编程可扩展的 ASIC 芯片技术,可以提供以下一些丰富的特性:-(1)在所有端口,针对所有网络接口和协议的无阻塞线速交换和路由;-(2)具有极高的吞吐量,数据包的转发速度(即
37、转发包每秒,pps)通常比中高端路由器还要快 10100 倍;-(3)多种协议的路由选择,如 IP(RIPv1/v2、OSPF)、IP Multicast(DVMRP、PIM)和 IPX 等;-(4)支持多种 VLAN 的划分,能够根据端口/MAC 地址、协议、IP 子网、IEEE 802.1Q或 3COM ISL 等划分;-(5)具有带宽预留(RSVP)及具有服务类别(CoS)和服务质量(QoS)的业务量优先级处理,支持 IEEE 802.1p 和业务分类(DifferServ);编号:时间:2021 年 x 月 x 日书山有路勤为径,学海无涯苦作舟书山有路勤为径,学海无涯苦作舟页码:第15
38、页 共53页第 15 页 共 53 页-(6)可设定访问列表控制(Access List Control)的过滤规则,或基于防火墙的安全策略;-(7)支持通过以太网的点到点协议(PPPoE),支持安全用户认证,配合用户计费,增强用户管理特性;-(8)支持以太网带宽单元递增分配服务;-(9)ASIC 的可编程性,支持诸如 IPv6 的技术和其他未来技术,保护用户投资。二、第三层交换与路由器的比较二、第三层交换与路由器的比较-在过去,网络中的数据大都遵守80/20规则,即网络中只有大约 20%的数据包是通过骨干路由器与中央服务器或企业网络的其他部分进行通信,而 80%的网络流量主要仍集中在不同的部
39、门子网内。而现在,情况却发生了根本性的变化,以至形成了20/80规则。为了应付不断增长的数据流量,共享介质型的网络纷纷被交换型网络所替代。这种变化对原来用于网络分段的传统路由器产生了直接的冲击。鉴于大部分的数据流量都跨越 IP 子网,路由器事实上已经成为了网络传输的瓶颈。-传统的路由器主要功能是实现路由选择与网络互联,即通过一定途径获得子网的拓扑信息与各物理线路的网络特性,并通过一定的路由算法获得达到各子网的最佳路径,建立相应路由表,从而将每个 IP 包跳到跳(hop to hop)传到目的地;其次,它必须处理不同的链路协议。IP 包途经每个路由器时,需经过排队、协议处理和寻址选择路由等软件处
40、理环节,造成延时加大。同时路由器采用共享总线方式,总的吞吐量受到限制,当用户数量增加时,每个用户的接入速率降低。路由器更注重对多种介质类型和多种传输速度的支持,而目前数据缓冲和转换能力比线速吞吐能力和低时延更为重要。虽然路由器的性能最近也得到了一定的提高,大约达到 1Mpps,但采用这种路由器的费用也高得惊人。编号:时间:2021 年 x 月 x 日书山有路勤为径,学海无涯苦作舟书山有路勤为径,学海无涯苦作舟页码:第16页 共53页第 16 页 共 53 页-和路由技术相比,交换技术的好处就是速度快,当网络规模很大时,高速、大容量路由器是十分必要的。另一方面,由于现代通信网络大都采用光纤技术,
41、所以现在数据网络的主要瓶颈是节点路由器。现在的第三层交换、路由交换或其他名词都是这种思路的结果。虽然第三层交换最初是为局域网设计的,它采用目的 IP 地址进行交换,但是现在这种技术也已经开始在广域网中使用。-第三层交换在现在的网络建设中起着越来越重要的作用,它不需要将广播封包扩散,而是直接利用动态建立的 MAC 地址来通信,如 IP 地址、ARP 等,具有多路广播和虚拟网间基于 IP 和 IPX 等协议的路由功能,这方面功能的顺利实现,主要依靠专用集成电路(ASIC)。把传统的路由软件处理的指令改为 ASIC 芯片的嵌入式指令,从而加速了对包的转发和过滤,使得高速下的线性路由和服务质量都有了可
42、靠的保证。三、第三层交换的应用三、第三层交换的应用-第三层交换机的应用其实很简单,主要用途是代替传统路由器作为网络的核心。因此,凡是没有广域网连接需求,同时又需要路由器的地方,都可以用第三层交换机来代替。-在企业网和校园网中,一般会将第三层交换机用在网络的核心层,用第三层交换机上的千兆端口或百兆端口连接不同的子网或 VLAN。这样网络结构相对简单,节点数相对较少;另外,其不需要较多的控制功能,并且成本较低。-在目前火爆的宽带网络建设中,第三层交换机一般被放置在小区的中心和多个小区的汇聚层,第三层交换机的出现动摇了企业路由器的地位。正如路由器统治广域网一样,第三层交换机将在今后主宰局域网已成为不
43、争的事实。-从当前国内的情况来看,第三层交换机发展势头良好。可喜的是,许多国内厂商纷纷推出第三层以太网交换机,而且性能良好。第三层交换机在应用方面具有以下特点。-1 1担当骨干交换机担当骨干交换机编号:时间:2021 年 x 月 x 日书山有路勤为径,学海无涯苦作舟书山有路勤为径,学海无涯苦作舟页码:第17页 共53页第 17 页 共 53 页-第三层交换机一般用于网络的骨干交换机和服务器群交换机,也可作为网络节点交换机。在网络中,同其他以太网交换机配合使用,网络管理员能构造无缝的10/100/1000Mbps 以太网交换系统,为整个信息系统提供统一的网络服务。这样的网络系统结构简单,同时还具
44、有可伸缩性和基于策略的 QoS 服务等功能。第三层交换机为网络提供 QoS 服务的内容包括优先级管理、带宽管理、VLAN 交换等。基于策略的 QoS 使得网络管理员能为各种不同类型的网络流量包括 TCP/UDP 会话按优先级分配带宽,而且没有任何交换性能上的损失。-由于应用的需求,骨干交换机多为千兆交换机,所以目前第三层交换机也多为千兆交换机,可以提供 10/100Mbps 自适应端口和千兆端口,既可以连接铜线,也可以连接光纤,并提供高性能的背板通道。这类交换机有机柜式的,也有可堆叠的,可以根据不同的情况选用。-2 2支持支持 TrunkTrunk 协议协议-在应用中,经常有以太网交换机相互连
45、接或以太网交换机与服务器互联的情况,其中互联用的单根连线往往会成为网络的瓶颈。采用 Trunk 技术能将若干条相同的源交换机与目的交换机的以太网连接线从逻辑上看成一条连接线。这样既保证局域网不会出现环路,同时也有效地加大了连接带宽。性能良好的第三层交换机全面支持 Trunk 协议,一些可支持 8 组 Trunk,从而能够有效解决了企业局域网中的连接带宽问题。-3 3实现组播和自学实现组播和自学-一些第三层除了支持动态路由协议 RIP 和 OSPF 外,针对日渐流行的支持多点组播的需求,还能够实施基于标准的多点组播协议,如距离矢量多点组播路由协议(DVMRP)。-第三层交换机还可以支持自学习功能
46、,它能自动发现主机的 IP 地址与连接端口的对应关系,而不使用任何路由协议。一旦把交换机接入网络,它就通过不断地侦听 ARP、RIP 和 ICMP 数据包来学习所有连接的主机的 IP 地址和子网掩码信息。根据学习到的信编号:时间:2021 年 x 月 x 日书山有路勤为径,学海无涯苦作舟书山有路勤为径,学海无涯苦作舟页码:第18页 共53页第 18 页 共 53 页息,交换机将建立和维护路由表中的路由信息,并且自动地为所有 IP 数据包提供路由服务。-4 4提高安全性提高安全性-在网络中,对于所传输数据包,出于安全考虑,需要根据很多规则对数据进行过滤,确保只有符合规定的数据包才能通过第三层交换
47、机。第三层交换机支持内部具有硬件的过滤器,能在不降低系统性能的情况下对所有数据包进行过滤,而且能根据从第二层到第七层的任意内容对数据包进行过滤。-第三层交换机的典型应用如图所示。-在上图中,是一个三级交换结构的局域网,其中骨干交换机是一台第三层交换机,通过它来划分不同功能的逻辑子网(图中有 4 个),并通过网络管理系统对整个网络进行集中式控制和管理,包括监控、调整网络的运行状态、自动分配用户的 IP 地址、统计网上信息流量及用户的使用情况等内容。可直接连到骨干交换机的设备有路由器、各种服务器、中心工作站和二级交换机。二级交换机可选用普通的第二层交换机。第三级交换机可以选用第二层交换机或集线器。
48、综上所述,第三层交换技术是现在解决虚拟网通讯的最成熟的技术,它在路由交换编号:时间:2021 年 x 月 x 日书山有路勤为径,学海无涯苦作舟书山有路勤为径,学海无涯苦作舟页码:第19页 共53页第 19 页 共 53 页机中运行 RIP、OSPF 或 PIM 等路由协议,获得网络拓扑信息,通过监听 IP 信息流,迅速了解与之相连的网络设备端口,直接把第三层信息包(VLAN 之间的信息流)发送到其目的端口,而不必将信息包发送给路由器,从而缩短了等待时间,提高了网络速度,降低了设备成本。所以我们建议华康医药公司网络采用第三层交换机,各华康医药公司网络采用第三层交换机,各 VLANVLAN 之间通
49、过之间通过第三层交换进行通讯。第三层交换进行通讯。3.23.2 总体方案设计概述总体方案设计概述3.2.1 总体方案设计目标总体方案设计目标设计的依据:华康医药公司对局域网的技术要求相关规章国家保密局关于计算机信息系统保密管理暂行规定国家保密局关于计算机信息系统国际联网保密管理规定针对用户的需求和我公司的分析,我公司建议的方案将达到如下的设计目标:应用系统可扩展性强,可根据用户的需求调整。主机系统的处理能力强,可满足用户三年内业务量的增长。系统可用性强,能 24 小时连续工作。网络速度快,在局域网和广域网上都没有瓶颈。网管系统可管理网络设备、监测网络性能、可实现端对端管理。全网安全级高,可防止
50、外部侵扰,网络内部也设有多种访问权限,做到存储文件的保密性。编号:时间:2021 年 x 月 x 日书山有路勤为径,学海无涯苦作舟书山有路勤为径,学海无涯苦作舟页码:第20页 共53页第 20 页 共 53 页3.2.2 总体方案设计原则总体方案设计原则我公司在设计该系统时遵循了如下原则:应用系统建设采用 Internet/Intranet 技术,本着实用的原则,使用成熟先进的应用软件平台应用系统采用分布式的结构,统一采用 Windows2000 Sever 操作系统,便于开发和维护。主机系统采用先进的、高性能的解决方案,保证 24 小时连续工作以上原则决定了网络系统和应用系统的设计和开发的规