第9章企業網路基礎建設

Download Report

Transcript 第9章企業網路基礎建設 

企業網路架構
企業園區實體佈線
大樓實體佈線
企業網路拓撲
光纖介面 和傳輸距離
GBIC
UTP
GBIC
Mini
GBIC
GBIC
波長 (nm)
光纖
傳輸距離
1000BASE-SX
850
MMF
550 m
1000BASE-LX
1310
MMF
550 m
1000BASE-LX
1310
SMF
5 ~ 10 Km
1000BASE-ZX
1550
SMF
40 ~ 70 Km
L1, L2 設施
水平線
交換器
配線盤
水平線規範
核心層設備
評估
轉送率(forwarding rate)、
背板頻寬(backplane bandwidth)
交換結構(switch fabric)
IPS
 入侵防範系統(Intrusion Prevention System, IPS)具有
自動辨識型樣(pattern),以及行為模式的功能,以便
阻擋惡意的入侵攻擊。將IPS置於企業的門口以偵測、
過濾、防禦病毒、蠕蟲、木馬程式和駭客。
伺服器配置位置
分佈層
 分佈層實施的策略包括ACL、QoS、NAT等,這些策
略都需要密集的運算,當然不適於在核心層實施,以
免影響封包的快速傳送。
L3交換器
路由器存與取控制清單
Y
路由表檢查
2
決定傳出之連接埠
(介面)
N
是否有存取清單
3
1
接收
封包
送出
封包
Y
N
4
依清單政策比對
不符
相符
5
政策規範
拒絕
(deny)
允許
(permit)
access-list 102 permit tcp any 163.27.9.0 0.0.0.255 eq 80
存取層:實體連線
L2交換器
企業的WAN
 企業連外線路的接取方式很多,要考量的有企業對外
的傳輸量、速度、頻寬、經濟效益(成本考量)、延遲
的容忍度等。
 對稱數位用戶網路(SDSL)、FTTH
FTTH 實施的架構
乙太被動光纖網路
 PON(Passive Optical Network)的光纖網路使用被動的
裝置(不需電力),利用調變技術將一條光纖訊號(電力)
分配到多條光纖上,目前常用的為1:32,EPON是在
PON上面跑乙太網路,相對於FTTH,除了節省光纖外
也節省訊號收發器。
企業FTTH + VPN
在家上班
建置紀錄:園區光纖佈纜圖
大樓設施登錄資料
A棟樓層
1
2
3
4
5
L2交換器
2
2
2
2
1
資訊插座
48
44
50
48
40
43
40
46
44
36
1
1
L3交換器
電腦
B1
1
1
伺服器
MDF/IDF
1
1
1
A-1-L2
一樓交換器
xx 2948-1
xx 2948-2
預設VLAN IP
172.16.0.125 / 25
預設閘道
172.16.0.126 / 25
其他
1000BASE-SX上鏈L3
1000BASE-SX上鏈L2
各樓層設施資料登錄
使用者
A-2-host
IP
OS
VLAN
Rm 201
Jack
172.16.0.51 / 25
Windows XP
10
Rm 202
John
172.16.0.52 / 25
Mac
10
Rm 204
Cindy
172.16.0.53 / 25
Linux
10
Ken
172.16.0.98 / 25
Windows 7
10
二樓電腦
…
Rm 248
A-1-Server
一樓伺服器
Rm 107
IP
172.16.0.99 / 25
OS
Linux
App
FTP
CPU
HD
i7-2410
3*700GB
VLAN
10
IP規劃表
A-VLAN
可用IP範圍
網路遮罩
閘道IP
VLAN 10
172.16.0.0 ~126
255.255.255.128
172.16.0.126
VLAN 20
172.16.0.128 ~254
255.255.255.128
172.16.0.254
VLAN 30
172.16.1.0~62
255.255.255.192
172.16.1.62
大樓實體邏輯圖
線路驗收
 建置完成後,必須對每一條線路(光纖、UTP、WAN)
測試,光纖可使用光時域反射儀(Optical Time
Domain Reflectometer, OTDR)來測量光纖長度、傳輸
和接頭的衰減,以及故障定位等;UTP可使用雙絞線
測試器量測傳輸頻率、近端串音和纜線長度等參數。
MRTG 流量監測
NTOP工具
監測數據
 藉由以上兩種監控軟體為新建啟動的企業網路做出步的體
檢,維運網路系統需要時間的觀察,藉由統計資料的變化
來了解網路的效能,以為管理的參考資訊。
 網管人員須確實對下列幾點基本的資訊做監控:
 核心層、分佈層的交換器進出流量,以了解頻寬的使用
率
 主要設備的CPU負載,以了解設備的負荷
 伺服器的服務相關訊務統計,以了解其服務效能
 來源和目的地端的資料流,以發現是否有攻擊的跡象
 監控的統計資料必須定期保存,以便觀察企業網路訊務的
變化,做為管理維護的依據