一、网络及硬件篇

一般来说，中小企业或者学校不单单会使用局域网提供网络服务，还会基于网络提供其他的一些功能以满足日常工作的需要。而网络是这一切的基础，所以我们首先应该对单位的局域网有比较深入的了解。

我所在的学校（以下都使用“我校”代替）电教设备包含以下几个方面：网络基础建设、监控系统、校园网络服务及校园设备管理。

一、网络及硬件篇

一、网络建设

1.核心网络交换机接口状态：

2.各关键系统网络连接配置：

3.网络接入控制

一、网络建设

网络基础设施是整个单位信息化办公的基础，所以先从这里看起。

局域网一般是少数的核心交换机或路由器及较多的二层交换机由电缆或者是光缆连接组成。这其中，核心交换机或者路由器负责整个局域网信息的对外发送和接收。二层交换机负责核心及桌面的连接。实际上理论上会是核心-汇聚-接入三层，但是对于规模没有那么大的局域网来说两层也是满足需求的。

常见的网络拓扑结构有星形、环网、树状、网状及全连通。一般来说小型局域网采取星形结构，这种结构简单，便于管理。下图是我校的网络拓扑图，是一种星型结构。是由一台核心交换机华为S7703下联每两层楼部署一台共11台二层交换机组成。可以实现全校大概460台终端设备的接入需求，用户可以通过有线及无线的方式接入网络。再通过VLAN等技术划分不同功能的子网以满足实际需求。

如果单位的基础建设比较全面，后续的升级就会比较便捷。我校之前通过千兆光模块或者光纤收发器将核心及二层交换机进行连接，在2020年升级时，没有重新布置而是直接使用原有的布线，更换为万兆光模块实现了核心和二层交换机的万兆互联。依托原有的光纤布线等基础设施，我校现已经实现上行千兆，核心到接入交换机全万兆互联的万兆局域网。11个节点均通过双纤SFP+接口连接，部分为单模1310nm，其余为多模850nm。总体来说距离较远的多为单模模块，较近的多为多模模块。办公室接入点直接连接到二层交换机的千兆电口，虽然原有的布线为五类线，但是在距离较短的情况下大部分接入点仍能实现千兆的速率。当然，如果有条件升级为六类或超六类的网线就更能够保证接入终端的网速。

1.核心网络交换机接口状态：

由于线缆较多，后期维护不便，需要有规划地安排布线及接口，使用记录留存及打标签的方式标注基本配置。如我校核心交换机现有16个万兆SFP+接口，连接情况如下：

0	2	4	6	8	10	12	14
A3	B3	C3	B12	RDY	MWS		R510
1	3	5	7	9	11	13	15
A11	B11	C1	A12	TYG

可以看到物理接口的排布和建筑物的排布有顺序关系，这样在一定程度上方便了后期的工作。

2.各关键系统网络连接配置：

一般来说，除了基础的布线及连接，还需要对部分关键的部分进行另外的部署，减少中间路径，让故障点减少，简单点说就是网络由“核心--二层--设备”变成“核心--设备”，这样就能够在其他部分出现问题时，最大程度保证关键业务正常工作。比如公司的监控系统、数据存储系统等，以及在学校里面安防监控系统、铃声系统等。

以我校为例，有以下系统进行了单独的处理：

a.铃声及广播系统

学校的铃声系统为itc-6700(?)。这个系统通过网络实现广播，其与教室及功能室共用一个VLAN，地址段为192.168.1.0。通过位于A1的播音室进行集中控制，此外可通过门房实现对特定教室的单独播音。为了保证铃声系统不会因上联的二层交换机故障影响业务，所以该网段通过光纤收发器直连到核心交换机（单纤，千兆，tp-link）。

b.监控系统

正常情况下，监控系统自成一套局域网，但是为了访问到实时监控和录像，还需要将录像机接入局域网。这时将监控系统直连核心，避免其他系统的故障影响到监控系统。如我校的安防监控系统和标准化考场系统都是通过光纤直连到核心交换机。

除了保障业务的需要，有时为了提升相关系统的性能，也可以将这部分设备直连到核心交换机。

a.教学机房

由于机房内设备较多，而且一般都是大部分设备同时上线下线，这对于网络的负载能力有较高的要求。所以用于教学的三个多媒体机房均与核心交换机千兆互联，而每一个机房内交换机之间均为链路聚合以提升教学广播的稳定性。

其中，机房网段分配如下：

机房1

10.112.28.254

255.255.255.128

机房2

10.112.28.126

255.255.255.192

机房3

10.112.28.62

255.255.255.192

b.内网服务器

为了更好的网络连接及统一管理，这些设备通常都部署在核心交换机周围与其直连，除此之外一般还要增加UPS系统保证设备的正常运行。

c.AC

对于部分有无线网络覆盖的单位，多数也是直接将AC控制器直接旁挂在核心交换机上。

3.网络接入控制

想要顺利接入网络访问网络资源，单单物理层面上的连接还是不够的，设备必须能够正常获取IP，能够ping通网关。除了这个基础的条件，有时为了控制终端访问网络资源的权限及便于管理，还会使用VLAN（虚拟局域网）、ACL、上网行为管理等技术。

VLAN是局域网中非常常用的技术，能够从逻辑上将一台机器分为多个小交换机，同样能够将多个交换机连在同一局域网内。一般来说可以将局域网按照功能、地理位置等标准分为多个虚拟局域网。

我校是通过功能划分局域网，如下表：

IP段	VLAN ID	描述
10.112.24.0/23	20	办公
10.112.26.0/24 sub192.168.0.1/24	10	行政班教室及功能室铃声系统
10.112.27.0/24	40	安防监控
10.112.28.0/24	50	多媒体机房，下分三个网段
10.112.254.14/30	100	上联VLAN
172.16.10.1/24	1000	管理VLAN

IP段指的是这个VLAN里面所有设备理论上分配给他们的地址，包含两个参数，第一个参数是用以区分网段（开始的IP），第二个是子网掩码，用于表示这个范围IP数量的多少。具体的细节会在第二部分技术篇中提到。

从上表中可以看出，我校现有6个VLAN，分别用于不同的功能。这些VLAN中大部分主机都是使用固定IP，只有VLAN20办公使用的子网使用了DHCP（动态主机配置协议），简单点说在这个网络中接入设备会自动获取IP地址，不需要手工配置。

因为实际情况的需要，不同的VLAN使用不同的IP分配方式。比如教室或者公共区域的设备，数量固定、位置固定、使用频繁，所以使用固定IP的方式便于管理，出现故障可以快速溯源。而办公区域，会有通过无线接入的设备或者偶尔使用的设备，如果使用固定的方式更新维护起来过于麻烦，而且这个方式与一般家庭使用的方式不同，老师们有时因为不能正确的设置无法上网甚至带回家后又要重新设置（因为一般家庭中绝大多数都使用自动分配IP的方式），这就十分地麻烦。还有一点就是自动分配地址的方式会有IP地址回收重新利用的机制，对于长时间不在线的IP可以分配给其他的用户使用，由于IP（v4）数量是有限的，合理利用十分重要。综上，办公区域的终端使用自动DHCP获取IP地址。

虽然DHCP能够合理利用资源满足大部分人的需求，但是却带来了另一个问题--安全与管控。刚刚提到，固定IP便于管理维护，这是因为前期手工分配IP地址时有着一套分配的逻辑及记录，而DHCP却是随机的，如何定位终端又成了新的问题。这时，我们可以将两种手段结合使用，首先，我们可以吸收固定IP的思想，实际上有一部分设备是固定了，位置及使用的人员都比较稳定，我们可以将这部分设备与IP绑定，这样虽然使用DHCP的方式，但是这些设备每次仍然能够获得同样的IP。这样就能够解决部分设备的定位问题。其次，就是现在十分流行的--上网行为管理器。

众所周知，网络安全形势日益严峻，再加上“提高工作效率”的需要，监控局域网内上网的行为已经成为一个趋势，有众多的常见纷纷开发出不同的产品，而这其中的佼佼者就是深信服。行为管理设备可以监控到局域网内所有访问出口的行为，并且可以对相关的行为进行阻断等一系列设置。而根据相关的法律要求，这些记录都要被留存6个月以上，便于日后的工作。如下图：

结合深信服上网行为管理器，我们就可以对设备上网进行进一步的管控。一些固定的设备，比如说教室内的一体机，可以在后台设置为免认证，即这些设备访问互联网不受限制，而对于办公使用的设备则必须使用密码认证，这样就能够保证出现问题时定位到人。实际上，在部署了行为管理器后，虽然有线或者是无线的方式都可以直接接入网络，但这时只能够访问行为管理器设备管理的网，无法接通互联网，需要通过浏览器登陆1.1.1.3或者10.113.33.33通过账号登陆获取上网权限才能够上网。

对于手机能等需要无线接入网络的设备，一般有两种接入方式，第一就是通过AC+ap的方式接入，这种方式需要部署专门的设备和布线需要一定的成本，但是布置好之后，可以将多个无线信号整合为一个，设备可以在整个楼宇中无缝漫游，不存在到一个地方需要重新登录WLAN的情况，就像是一直接收的是一个信号。对于想体验的小伙伴，可以尝试网络上的免费的方案-集客AC，AC部署在虚拟机上，ap则可以通过刷写固件的方式使用。第二就是将普通路由器关闭DHCP，设置好密码后使用，这种方式不能够使用无线路由器的wan口，当然个别支持ap模式的路由器不存在这个问题。

！！！特别需要注意的是，所有的上网行为都可通过后台实时监控，所以通过局域网连接互联网网时要注意不要做出任何有风险的行为，通过后台可较为方便的取证和定位行为人！！！

菜鸟网管的入门之路-第一章、网络及硬件篇(1)相关推荐

菜鸟网管的入门之路-第一章、网络及硬件篇(4校园设备管理)
四.校园设备管理我校的校园设备管理主要包括两个方面,一是网络流量监控,二是希沃一体机管理.其中第一部分在(三.3.a)中已包含,以下对希沃一体机管理系统进行说明. 我校现已实现大部分行政班教室及部分 ...
菜鸟网管的入门之路-第一章、网络及硬件篇(2安防监控)
二.监控系统监控系统是公司和单位最为常见的安全保障设置,起到及时警示及事后追查的作用.一般来说,监控系统由三部分组成:探头.监控布线及网络.录像机. 国内最大的监控设备提供商是大华.海康,还有很多公 ...
菜鸟网管的入门之路-第一章、网络及硬件篇(5)(6)(7)(8)
五.视频会议系统会议系统是企事业单位中常用的设备,他可以提供较为稳定的视频会议体验.相较于依托软件实现的方案,个人认为更为稳定并且可以方便地接入多种其他的设备. 上级部门在整个城域网各个单位中都部署 ...
菜鸟网管的入门之路-前言
前言参加工作以来,我一直担任学校的网管员,同时负责部分信息技术的教学工作.开玩笑地说,我的工作就是教师.全职的弱电工程师兼职一点点的强电任务,基本上220V以下带电设备出现的问题就需要我们去解决.在 ...
菜鸟haqima的Java学习之路第一天
菜鸟haqima的Java学习之路第一天导读:DOS命令常用快捷键 Java的简单概述 (第一章 Java开发环境的搭建) 1.常用的DOS命令 1.1.怎么打开DOS命令窗口 win键+r(组合 ...
D3.js的v5版本入门教程（第一章）—— 如何在项目中使用D3.js
D3.js的v5版本入门教程(第一章) 1.需要的一些工具这个其实随便!最简单的就是建一个.txt文件就可以敲起代码来!作者本人用的是myeclipse(主要需要安装tomcat),因为写的是前端, ...
Cyclone V SoC FPGA学习之路第一章：综述
Cyclone V SoC FPGA学习之路第一章:总体了解关键词: adaptive logic modules – ALM 自适应逻辑模块 logic array block --LAB 逻辑阵 ...
ArcGIS for Desktop入门教程_第一章_引言 - ArcGIS知乎-新一代ArcGIS问答社区
原文:ArcGIS for Desktop入门教程_第一章_引言 - ArcGIS知乎-新一代ArcGIS问答社区 1 引言 1.1 读者定位我们假设用户在阅读本指南前应已具备以下知识: · 熟悉W ...
交换与路由第一章网络技术基础
交换与路由第一章网络技术基础 1.OSI参考模型(OSI/RM) 1.1 OSI参开模型分为5层,从下至上,每一层完成目标明确的不同的功能. 物理层: 规定了激活.维持和关闭通信端点之间的机械特性. ...
第一章网络介绍计算题及其解析[计算机网络]
总结一下计算机网络学期课程所学,方便以后的复习和补充. 本文主要是第一章网络介绍计算题部分.需要掌握的知识点如下图. 需要手写记录的笔记pdf和课本pdf可私信. 文章目录第 ...

菜鸟网管的入门之路-第一章、网络及硬件篇(1)

一、网络及硬件篇

1.核心网络交换机接口状态：

2.各关键系统网络连接配置：

3.网络接入控制

菜鸟网管的入门之路-第一章、网络及硬件篇(1)相关推荐

最新文章

热门文章