构建高效局域网解决方案
1. 局域网建设的背景
随着 Internet 网的迅猛发展,信息在网络的带动下高度共享,用户在享受这些外部数据共享的同时也希望内部数据高度共享,同时在今天的信息技术时代,用户需要开展电子商务、 ERP 、自动化生产网络控制等诸多业务,并考虑到单一网络上集成声音、视频图象和数据服务,这就离不开网络基础设施这块基石。从网络的划分上来讲,任意一个网络都由三个基本元素组成:本地局域网、 internet 访问、远程访问。同时更具用户需求的不同或行业特性的差异,辅助以网络安全、网络存储、网络管理的模块共同搭建成完整的网络解决方案。
组建企业局域网如同在为企业的信息化铺设公路,他是整个信息化建设的基石,将关系到后期整个信息化建设的质量,是一项重要的工程。
优良的拓扑结构是网络稳定、可靠运行的基础。一个大规模的局域网络系统往往被分为几个较小的部分,它们之间既相对独立又互相关联,这种化整为零的做法是分层进行的。通常网络拓扑的分层结构包括三个层次,即核心层、汇聚层和接入层。
每一层都有其自身的规划目标:
1. 核心层处理高速数据流,其主要任务是数据包的交换。
2. 汇聚层负责聚合路由路径,收敛数据流量。
3. 接入层将流量馈入网络,执行网络访问控制,并且提供相关边缘服务。
目前常见的局域网大都是依照上面的分层原则设计的星型以太网,配合各种最新的技术如 VLAN 、 TRUNK 、 Qos 等,极大地提高了网络的性价。
3. 总体网络拓扑结构图
目前在局域网建设中,由于以太网性能优良、价格低廉、升级和维护方便,通常都将它作为首选。方案以核心交换机为中心的星型以太网结构。其特点是网络具有良好的性价比、扩展性、安全性、可管理性、可维护性,同时通过 VLAN 的合理划分,局域网上的用户可以方便地在网络中移动,而不需要硬件线路地改变,这样可以从逻辑上对用户和其它网络对象进行分组,并设定相应地安全和访问权限,然后,由计算机自动根据配置形成相应地虚拟网络工作组,充分发挥交换网络的优势,体现交换网络高速灵活易于管理等特性。
可以看出,本地局域网有几个重要组成部分:核心交换机、汇聚层交换机、接入层交换机,服务器群,各个部分是相互独立又相互关联。
3.1 核心层网络建设
核心交换机是整个网络的灵魂,负责高速地对端到端设备、 VLAN 之间的数据进行交换,同时进行策略管理,核心层交换机的冗余是很有必要的。随着多媒体技术在网络上的应用越来越多,核心交换机的交换带宽应该可以方便的扩展,并具备 QoS 功能,以满足不断增长的业务需求。同时由于 VLAN 的存在,核心交换机应该具有三层交换的功能,可提供 VLAN 之间的数据传输。
在选择核心交换机时,除了要满足端口的需求外,最为重要的一点是其交换带宽和包转发速率,传统的千兆交换机背板交换技术主要分为:总线型背板交换、矩阵式背板交换、星型背板交换、共享内存式交换。其中总线型和共享内存型由于其交换速度比较慢,常用于中小型企业或者大型网络上实现边缘交换,对于大型网络核心只有矩阵式和星型交换结构才能满足大容量的骨干交换。
3.2 汇聚层网络建设
汇聚层的作用是完成本地业务的区域汇接 , 进行带宽和业务的汇聚、收敛及分发 , 并进行用户管理。当接入层交换机数量较多时,使用汇聚层可以合理利用核心交换机的端口进行网络规划。
汇聚层网络扩展核心层设备的端口密度和端口种类,扩大核心层节点的业务覆盖范围,汇聚接入节点,解决接入节点到核心节点间资源紧张的问题。
汇聚层交换机采用三层或多层交换技术,提供 VLAN 聚合和路由功能,为部门服务器提供百兆或千兆的接入。通过划分 VLAN 将不同部门和不同工作组之间的主机隔离开来,使这些主机实现有条件的访问。
3.3 接入层网络建设
接入层交换机负责将用户的数据馈入网络,并负责本交换机下面连接的用户端之间的数据交换,同时将发送到其它网段的数据送到上层交换机,利用上层交换机的三层交换功能实现各个网段之间的通信。
接入层交换机的逻辑结构有几种方式,可以是单独的一个交换机,下联用户端、上联核心交换机;还可以是多台交换机进行堆叠或者级联;也可以是二级结构组成,高端的交换机上联核心交换机、下联桌面交换,连接介质可以是光纤、双绞线,采用 trunk 技术进行连接。
采用交换式以太网技术,为普通主机提供足够的带宽, VLAN 完成隔离和限制本地流量的功能,将工作内容相近的各部门,经常共享数据的信息点划分为一个工作组并在一个 VLAN 中,网络设备选用成本低,高端口密度的以太网交换机,并应支持网管。
3.4 服务器系统
服务器群的主要功能是为网络上的客户端提供各种网络服务,包括:文件共享、打印共享、 MAIL 、 Web 、用户验证、访问控制等功能。服务器的连接位置可以很灵活,整个网络用户都公用的服务器可以直接连接到核心交换机上,连接方式可以采用光纤或者双绞线,各个部门单独使用的服务器可以连接到部门交换机上,提供该部门特定的网络服务。
网络操作系统上一般都有用户验证的功能,防止对内部网络资源未经授权的访问,也可以利用特定的安全子模块实现访问控制。