園區(qū)網(wǎng)絡(luò)規(guī)劃與設(shè)計管理 畢業(yè)設(shè)計

1、畢業(yè)設(shè)計（論文）任務(wù)書題目： 園區(qū)網(wǎng)絡(luò)規(guī)劃與設(shè)計管理 任務(wù)與要求：在本方案中采用的技術(shù)和產(chǎn)品充分考慮到了網(wǎng)絡(luò)未來的升級與發(fā)展，無論從企業(yè)網(wǎng)的擴(kuò)展到廣域網(wǎng)的建設(shè)都做了周密的考慮。系統(tǒng)選擇的是最成熟與標(biāo)準(zhǔn)的快速的以太網(wǎng)技術(shù)，把網(wǎng)絡(luò)已構(gòu)筑了高速和堅固的信息高速公路，面對未來的發(fā)展將處于非常有利的境界。 時間： 2012 年 2 月 20 日 至 2012 年 3 月 18 日 共 4 周專 業(yè)： 專業(yè)代碼： 考生姓名： 準(zhǔn)考證號： 單位： 電子科技大學(xué)網(wǎng)絡(luò)教育學(xué)院（西區(qū)） 指導(dǎo)單位或教研室：電子科技大學(xué)網(wǎng)絡(luò)教育學(xué)院（西區(qū)） 指導(dǎo)老師（簽名）： 職稱： 2012 年3月18日【中文摘要】隨著inter

2、net的逐步普及，企業(yè)網(wǎng)絡(luò)的建設(shè)是企業(yè)向信息化發(fā)展的必然選擇。隨著計算機(jī)不斷地發(fā)展。網(wǎng)絡(luò)技術(shù)的不斷提高，很多企業(yè)網(wǎng)路的性能已經(jīng)跟不上現(xiàn)代信息的變化了，對于很多企業(yè)來說升級現(xiàn)有網(wǎng)絡(luò)是必不可少的辦法，企業(yè)對新建的網(wǎng)路的向后的兼容性的要求也越來越高。企業(yè)網(wǎng)網(wǎng)絡(luò)系統(tǒng)是一個龐大而復(fù)雜的系統(tǒng)，它不僅為現(xiàn)代化發(fā)展。綜合信息管理和辦公自動化等一系列應(yīng)用提供基本操作平臺，而且能提供多種應(yīng)用服務(wù)，使信息能及時、準(zhǔn)確地傳送給各個系統(tǒng)，在企業(yè)網(wǎng)絡(luò)方案設(shè)計的過程中，服務(wù)器和網(wǎng)絡(luò)設(shè)備的選擇一定要充分考慮企業(yè)的需求、擴(kuò)展性以及向后的兼容性。在配置網(wǎng)絡(luò)設(shè)備和服務(wù)器的時候一定要依據(jù)用戶的要求和技術(shù)支持文檔。而企業(yè)網(wǎng)工程建設(shè)中主

3、要應(yīng)用了網(wǎng)絡(luò)技術(shù)中的重要分支局域網(wǎng)技術(shù)來建設(shè)與管理的，因此本畢業(yè)設(shè)計課題主要以企業(yè)網(wǎng)絡(luò)規(guī)劃建設(shè)過程可能用到的各種技術(shù)實(shí)施方案為設(shè)計方向，為企業(yè)網(wǎng)的建設(shè)提供理論依據(jù)和實(shí)踐指導(dǎo)?！娟P(guān)鍵詞】局域網(wǎng) internet企業(yè)網(wǎng)絡(luò) 網(wǎng)絡(luò)設(shè)計【英文對照】 abstract as the internet and corporate network gradually spread of the building of enterprise development of information is the inevitable choice. as computers and development. net

4、work technology to improve their corporate network, many of the performance of our modern information has been changed for many enterprises and upgrade the existing network is essential for the new method of the road backward compatibility requirement is also high. the enterprise network network sys

5、tem is a vast and complex systems, it is not only in modern of development. the comprehensive information management and office automation and a number of applications to provide basic operating platform, and can provide multiple applications and information may be timely, accurately transmitted to

6、the system, the enterprise network design process, the server and network equipment chosen must fully consider the needs and extensibility and backward compatibility. the network equipment and the server must be based on the users demands and technical support documents. in enterprise networks proje

7、ct built is the main application for internet technology is an important branch of the lan technology for development and management. this graduation design of the main subject to your enterprise network development process may be made to implement the various technical solutions for the design dire

8、ction, enterprise networks provide for the construction of theory on practice and guidelines.【keywords】lan internet enterprise network network design目 錄前言1正文2第一章 功能需求分析21.1 工程項(xiàng)目概況21.2 信息點(diǎn)分布31.3 需求分析4第二章 方案設(shè)計原理62.1 構(gòu)建中小型企業(yè)網(wǎng)絡(luò)6第三章 網(wǎng)絡(luò)方案設(shè)計83.1 網(wǎng)絡(luò)拓?fù)浣榻B83.2 網(wǎng)絡(luò)設(shè)計83.3 核心層網(wǎng)絡(luò)設(shè)計93.4 冗余/負(fù)載均衡設(shè)計103.5 網(wǎng)絡(luò)設(shè)備冗余/負(fù)載均衡設(shè)計1

9、13.6 地址規(guī)劃原則123.7 方案特點(diǎn)13第四章 網(wǎng)絡(luò)技術(shù)選型154.1 路由協(xié)議ospf154.2 端口安全與認(rèn)證154.3 vrrp（虛擬路由冗余協(xié)議）原理164.4 rstp、mstp原理164.5 nat的描述及策略路由的實(shí)現(xiàn)174.6 acl（訪問控制列表）174.7 鏈路聚合ec(ethernet channel)184.8 vlan （虛擬局域網(wǎng)）184.9 wlan無線局域網(wǎng)19第五章 網(wǎng)絡(luò)安全及管理機(jī)構(gòu)205.1 完善的安全機(jī)構(gòu)205.2 vpn（虛擬專用網(wǎng)）20第六章 綜合布線226.1 采用綜合布線的優(yōu)點(diǎn)226.2 工作間子系統(tǒng)236.3 設(shè)備間子系統(tǒng)24致謝25參考

10、文獻(xiàn)26【前 言】在當(dāng)今信息產(chǎn)業(yè)蓬勃發(fā)展的今天，信息已經(jīng)成為一種關(guān)鍵性的戰(zhàn)略資源，計算機(jī)技術(shù)在人們的生活中已經(jīng)起到了越來越重要的作用。校園作為知識基地和人才基地，它理應(yīng)成為代表信息產(chǎn)業(yè)應(yīng)用最成功的典范。一所成功的學(xué)校不僅在學(xué)術(shù)上、教育上要力爭上游，更應(yīng)在管理上上一個臺階。利用各種成熟的技術(shù)帶動學(xué)校各單位、各部門的電腦化管理，通過校園信息網(wǎng)，將各處的電腦聯(lián)成一個數(shù)據(jù)網(wǎng)，實(shí)現(xiàn)各類數(shù)據(jù)的統(tǒng)一性和規(guī)范性；教職員工和學(xué)生可共享各種信息，極易進(jìn)行各種信息的教流、經(jīng)驗(yàn)的分享、討論、消息的發(fā)布、工作流的自動實(shí)現(xiàn)和協(xié)同工作等，從而有效地提高學(xué)校的現(xiàn)代化管理水平和教學(xué)質(zhì)量，增強(qiáng)學(xué)生學(xué)習(xí)的積極性、主動性，為信息時代

11、培育出高素質(zhì)的人才。在學(xué)校中建立計算機(jī)網(wǎng)絡(luò)已經(jīng)是十分迫切的需要。 計算機(jī)和網(wǎng)絡(luò)已經(jīng)成為各行各業(yè)在工作中的工具，是否掌握計算機(jī)的技術(shù)和應(yīng)用，已經(jīng)成為衡量一個從業(yè)者是否合格的重要標(biāo)識。作為培養(yǎng)人才的基地，在校園中就讓學(xué)生接觸計算機(jī)、計算機(jī)網(wǎng)絡(luò)，對于培養(yǎng)合格的人才無疑是十分重要的；在現(xiàn)在這個知識爆炸的社會中，對于合格人才的要求越來越多，需要他們掌握大量的各類知識，在教育中需要提高教學(xué)效率?，F(xiàn)在出現(xiàn)了許多新的教學(xué)方法，以各種方式提高學(xué)生對知識的掌握速度，在與前人同樣的時間內(nèi)，掌握比前人更多的知識，而這些教學(xué)方法需要利用計算機(jī)網(wǎng)絡(luò)才能實(shí)現(xiàn)；高等院校除了作為人才培養(yǎng)基地外，也是重要的科研基地，每年有大量的

12、課題在高校中進(jìn)行，研究人員需要收集資料、與同行交流研究心得等，促使研究的進(jìn)展，作為全球最大的信息源和交流方式，計算機(jī)網(wǎng)絡(luò)正是最合適的選擇。 學(xué)校、尤其是高等學(xué)校，作為一個實(shí)體都有比較大的規(guī)模，人員繁多，各類事務(wù)也非常多，但經(jīng)費(fèi)一般比較緊張，比其他行業(yè)更需要提高管理效率，在日常管理中節(jié)約經(jīng)費(fèi)。在校園內(nèi)組建計算機(jī)網(wǎng)絡(luò)，在服務(wù)教學(xué)、科研的同時，也可以大大提高管理水平和效率。雖然在組建時需要花費(fèi)一些費(fèi)用，但與節(jié)省的費(fèi)用相比，依然可以接受。 隨著計算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)設(shè)備的價格不斷下降；同時國家各級政府對于教育的投入不斷增加，大量計算機(jī)進(jìn)入了校園，組建校園網(wǎng)不僅是十分迫切的工作，可行性也非常高

13、?！菊摹繄@區(qū)網(wǎng)絡(luò)規(guī)劃與設(shè)計管理作者：xxxx 指導(dǎo)老師：張 麗第一章 功能需求分析1.1 工程項(xiàng)目概況 知識經(jīng)濟(jì)時代，為了加快集團(tuán)信息化建設(shè)，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為平臺，建設(shè)一個以集團(tuán)業(yè)務(wù)綜合管理、辦公自動化、電子商務(wù)、多媒體視頻會議、遠(yuǎn)程通訊、web信息發(fā)布為核心的企業(yè)網(wǎng)絡(luò)intranet。將集團(tuán)的各種辦公室。、多媒體視頻會議、遠(yuǎn)程通訊、pc終端設(shè)備、應(yīng)用系統(tǒng)通過網(wǎng)絡(luò)連接起來，實(shí)現(xiàn)內(nèi)、外互聯(lián)的現(xiàn)代化計算機(jī)網(wǎng)絡(luò)系統(tǒng)。該網(wǎng)絡(luò)系統(tǒng)是支持辦公自動化、供應(yīng)鏈管理、erp以及各系統(tǒng)運(yùn)行的基礎(chǔ)設(shè)施，為了確保這些關(guān)鍵應(yīng)用系統(tǒng)正常運(yùn)行、安全和發(fā)展，系統(tǒng)具備以下特性：完成集團(tuán)企業(yè)網(wǎng)的構(gòu)建，加快企業(yè)信息化建設(shè)；在整個

14、企業(yè)集團(tuán)內(nèi)實(shí)現(xiàn)所有部門的辦公自動化，實(shí)現(xiàn)無紙化辦公，提高工作效率，辦公質(zhì)量和管理服務(wù)水平；在集團(tuán)企業(yè)內(nèi)實(shí)現(xiàn)資源共享。web產(chǎn)品信息共享、實(shí)時新聞發(fā)布；在集團(tuán)企業(yè)網(wǎng)內(nèi)實(shí)現(xiàn)erp管理；在整個企業(yè)集團(tuán)內(nèi)實(shí)現(xiàn)集中式的供應(yīng)鏈管理系統(tǒng)和客戶服務(wù)關(guān)系管理系統(tǒng)的extranet網(wǎng)絡(luò)；1.1.1 internet的主要應(yīng)用 internet是瀏覽器/服務(wù)器（browers/server)工作模式，數(shù)據(jù)在網(wǎng)絡(luò)中傳輸遵循tcp/ip協(xié)議，通過調(diào)制解調(diào)器將接受和發(fā)送的數(shù)據(jù)進(jìn)行模擬和數(shù)字之間的轉(zhuǎn)換，再由電話線路、光纖、衛(wèi)星等介質(zhì)傳輸。其功能有如下幾點(diǎn)： e-mail(electronic mail)電子郵

15、件服務(wù) e-mail是網(wǎng)絡(luò)用戶之間實(shí)現(xiàn)快速、簡便、高效、廉價的通信工具。與國內(nèi)、外際長途電話的費(fèi)用相比，電子郵件可以大大降低用戶國際間的通信費(fèi)用。e-mail也成為internet使用頻率最高的一個服務(wù)。通過它可以方便企業(yè)與外部的聯(lián)系，為企業(yè)節(jié)省時間，贏取跟多的商機(jī)。 www訪問服務(wù) 通過http，人們使用各自的瀏覽器便可以輕松地訪問和瀏覽五彩繽紛的因特網(wǎng)世界。企業(yè)員工可以在最短的時間了解最新新聞、最新技術(shù)、最新產(chǎn)品等一切新鮮事務(wù)，有助于視野開拓，激發(fā)靈感與創(chuàng)新精神。 ftp（file transfer protocol）文件傳送協(xié)議服務(wù) 提供視頻點(diǎn)播服務(wù)，ftp是

16、由文件傳送協(xié)議支持的，用于在internet上的兩天計算機(jī)之間文件的互傳。ftp幾乎可以傳送任何類型文件，目前網(wǎng)路中公共的ftp站點(diǎn)都支持匿名訪問。1.1.2 internet的主要功能 internet是internet在企業(yè)內(nèi)部信息系統(tǒng)的應(yīng)用和延伸。其服務(wù)對象原則上是企業(yè)內(nèi)部員工，并以聯(lián)系企業(yè)內(nèi)部員工的工作為主，促進(jìn)企業(yè)內(nèi)部的溝通，提高工作效率，強(qiáng)化企業(yè)管理。其主要功能如下：企業(yè)內(nèi)部信息發(fā)布 利用internet企業(yè)內(nèi)部信息，如日常新聞、年度報告、產(chǎn)品價格信息、公司機(jī)構(gòu)等?？赏ㄟ^如同internet上的web站點(diǎn)一樣的web服務(wù)器向分散在全國乃至世界的員工發(fā)布，這樣企業(yè)內(nèi)部網(wǎng)

17、就變成了全球性的信息網(wǎng)絡(luò)。充分利用現(xiàn)有的數(shù)據(jù)庫資源 集團(tuán)內(nèi)行政管理，現(xiàn)代企業(yè)普遍建立了管理信息系統(tǒng)來管理其業(yè)務(wù)，已經(jīng)有大量的各種數(shù)據(jù)庫，有了internet以后，web技術(shù)使一般的工作人員通過瀏覽器來訪問各種復(fù)雜的數(shù)據(jù)庫。公共網(wǎng)關(guān)界面和動態(tài)服務(wù)器頁技術(shù)訪問數(shù)據(jù)庫變得十分簡單。實(shí)現(xiàn)企業(yè)的電子商務(wù) 利用internet，營銷人員不管身在何處，都可以使用瀏覽器來查閱企業(yè)內(nèi)部網(wǎng)上的各種多媒體信息，同時營銷人員收集的信息可及時的反饋到公司。企業(yè)利用internet，可實(shí)現(xiàn)網(wǎng)上銷售、網(wǎng)上支付、網(wǎng)上服務(wù)等。在全球經(jīng)濟(jì)一體化的今天，電子商務(wù)已經(jīng)成為時代發(fā)展的潮流。協(xié)同

18、工作環(huán)境 現(xiàn)代企業(yè)的集團(tuán)性質(zhì)，使企業(yè)內(nèi)的工作群體往往在分散的環(huán)境下協(xié)同工作，必須使用具有交換性質(zhì)的工具才完成群體各成員間的信息交流。使用internet，www頁面和動態(tài)web技術(shù)就會成為工作群體之間進(jìn)行協(xié)同工作的理想環(huán)境。1.2 信息點(diǎn)分布 主要信息點(diǎn)集中在生產(chǎn)部、賬務(wù)部、網(wǎng)絡(luò)中心、職工宿舍與醫(yī)療衛(wèi)生等部門。詳細(xì)分布如表1.2.1所示。地點(diǎn)信息點(diǎn)備注網(wǎng)絡(luò)中心50保證速度、流量和可靠性生產(chǎn)部120保證速度、流量和可靠性人力資源部100保證速度、流量和可靠性銷售部100保證速度、流量和可靠性財務(wù)部120保證速度、流量和可靠性職工宿舍1000保證速度、流量和可靠性后勤部10保證速度、流量和可靠性表

19、1.2.1 主要信息點(diǎn)分布1.3 需求分析 為適應(yīng)企業(yè)信息化的發(fā)展，滿足日益增長的通訊需求和網(wǎng)絡(luò)穩(wěn)定運(yùn)行，今天的大型企業(yè)網(wǎng)建設(shè)比傳統(tǒng)企業(yè)網(wǎng)絡(luò)建設(shè)提出跟高的要求，主要表現(xiàn)在以下幾個方面：1.3.1 現(xiàn)代大型企業(yè)網(wǎng)路應(yīng)具有更高的寬帶隨著計算機(jī)技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，今天企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個多業(yè)務(wù)承載平臺，它不僅要繼續(xù)承載企業(yè)的辦公自動化和web瀏覽等簡單的數(shù)據(jù)業(yè)務(wù)，還要承載涉及企業(yè)生產(chǎn)運(yùn)營的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及寬帶和時延都要求很高的ip電話、視頻會議等多媒體業(yè)務(wù)，因此數(shù)據(jù)流量將大大增加，尤其是對核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力前所未有的要求。另外，隨著千兆端口的成本持續(xù)下降，千

20、兆到桌面的應(yīng)用已經(jīng)成為企業(yè)網(wǎng)的主流。從全球交換機(jī)市場分析可以看到，增長最迅速級別機(jī)箱式交換機(jī)，大規(guī)模應(yīng)用已經(jīng)真正開始。所以今天的企業(yè)網(wǎng)絡(luò)已經(jīng)不能再用百兆到桌面千兆到骨干來作為建網(wǎng)的標(biāo)準(zhǔn)，它的核心層到骨干層必須具有萬兆級帶寬和處理性能，才能構(gòu)筑一個暢通無阻的“高品質(zhì)”大型企業(yè)網(wǎng)，從而適應(yīng)網(wǎng)絡(luò)規(guī)模擴(kuò)大，業(yè)務(wù)日益增長的需求。1.3.2 現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更全面的可靠性設(shè)計 隨著企業(yè)各種業(yè)務(wù)應(yīng)用逐漸轉(zhuǎn)移到計算機(jī)網(wǎng)絡(luò)上，網(wǎng)絡(luò)通訊的無中斷運(yùn)行已經(jīng)保證企業(yè)正常的生產(chǎn)運(yùn)營的關(guān)鍵?，F(xiàn)代大型企業(yè)網(wǎng)絡(luò)在可靠性設(shè)計主要應(yīng)從三方面考慮：首先是設(shè)備級可靠性設(shè)計，這里不僅要考察網(wǎng)絡(luò)設(shè)備是否實(shí)現(xiàn)了關(guān)鍵部件的冗余備份，還要

21、從網(wǎng)絡(luò)設(shè)備整體設(shè)計架構(gòu)、處理引擎種類等多方面去考察。其次是業(yè)務(wù)的可靠性設(shè)計，這里要注意網(wǎng)絡(luò)設(shè)備在故障更換過程中是否對業(yè)務(wù)的正常運(yùn)行有影響。再次是鏈路的可靠性設(shè)計，以太網(wǎng)的鏈路安全來自于它的多路徑選擇，所以在企業(yè)網(wǎng)絡(luò)建設(shè)時要考慮網(wǎng)絡(luò)設(shè)備是否能提供有效的鏈路自愈手段和快速重路由協(xié)議的支持。1.3.3 現(xiàn)代大型企業(yè)網(wǎng)絡(luò)需要提供完善的端到端qos保障 大型企業(yè)網(wǎng)路承載業(yè)務(wù)的不斷增多，單純的提高寬帶并不能夠有效的保障數(shù)據(jù)家歡的暢通無阻。大型企業(yè)網(wǎng)絡(luò)建設(shè)必須要考慮到網(wǎng)絡(luò)應(yīng)能夠智能的識別應(yīng)用事件的緊急和重要程度，如;視頻、音頻、數(shù)據(jù)流。同時能夠網(wǎng)網(wǎng)絡(luò)中的資源，保證重要和緊急業(yè)務(wù)的帶寬、時延、優(yōu)先級和無阻塞的

22、傳送，實(shí)現(xiàn)對企業(yè)的合理調(diào)度才是一個大型企業(yè)網(wǎng)絡(luò)提供高品質(zhì)服務(wù)的保障。1.3.4 現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)提供完善的網(wǎng)絡(luò)安全解決方案 傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全措施主要是通過部署防火墻、ids殺毒軟件以及配合交換機(jī)或路由器的acl來實(shí)現(xiàn)對于病毒和黑客攻擊防御，但實(shí)踐證明這些被動的防御措施并不能有效的解決企業(yè)網(wǎng)絡(luò)的安全問題。在企業(yè)網(wǎng)絡(luò)已近成為公司生產(chǎn)運(yùn)營的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一定整套從用戶接入控制，病毒報文識別到主動抑制的一系列安全控制手段，才能有效的保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。1.3.5 現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具備更智能的網(wǎng)絡(luò)管理解決方案 當(dāng)前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為“以應(yīng)用為中心”的信息基礎(chǔ)平臺，網(wǎng)絡(luò)

23、管理能力的要求已經(jīng)上升到了業(yè)務(wù)層次，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的智能已經(jīng)不能有效支持網(wǎng)絡(luò)管理需求的發(fā)展。比如，網(wǎng)絡(luò)調(diào)試器件最消耗人力與物理的線纜故障定位工作，網(wǎng)絡(luò)運(yùn)行期間對不同用戶靈活的服務(wù)策略部署、訪問權(quán)限控制、以及網(wǎng)路日志審核計和病毒控制能力等方面的管理工作，由于受網(wǎng)絡(luò)設(shè)備功能本身的限制，都還屬于費(fèi)時，費(fèi)力，有時甚至是不可能的任務(wù)，所以現(xiàn)代的大型企業(yè)網(wǎng)絡(luò)迫切需要網(wǎng)絡(luò)設(shè)備具備支撐“以應(yīng)用為中心”的智能網(wǎng)絡(luò)運(yùn)營維護(hù)的能力，并能夠有一套智能化的管理軟件，將網(wǎng)絡(luò)管理人員從繁重的工作中。第二章 方案設(shè)計原理2.1 構(gòu)建中小型企業(yè)網(wǎng)絡(luò)本方案的設(shè)計將在追求性能優(yōu)越、經(jīng)濟(jì)實(shí)用的前提下，本著嚴(yán)謹(jǐn)、慎重的態(tài)度，從系統(tǒng)結(jié)構(gòu)

24、、技術(shù)措施、設(shè)備選擇、系統(tǒng)應(yīng)用、技術(shù)服務(wù)和實(shí)施過程等方面綜合進(jìn)行系統(tǒng)的總體設(shè)計，使該系統(tǒng)真正成為符合該集團(tuán)的網(wǎng)絡(luò)系統(tǒng)。從技術(shù)措施角度來講，在網(wǎng)絡(luò)設(shè)計和實(shí)現(xiàn)中，本方案嚴(yán)格遵守了以下原則：2.1.1 使用性和集成性系統(tǒng)的軟硬件設(shè)計、還是集成，均以使用為第一宗旨，在系統(tǒng)充分適應(yīng)企業(yè)信息化的需求的基礎(chǔ)上進(jìn)而在來考慮其他的性能。該系統(tǒng)所包含的內(nèi)容很多，必須能將各種先進(jìn)的軟硬件設(shè)備有效的集成在一起，使系統(tǒng)的各個組成部分能充分發(fā)揮作業(yè)，協(xié)調(diào)一致的進(jìn)行高效工作。2.1.2 先進(jìn)性和安全性系統(tǒng)所有的組成要素均應(yīng)充分地考慮其先進(jìn)性。不能一味地追求使用而忽略先進(jìn)，只有將當(dāng)今最先進(jìn)的技術(shù)和我們的實(shí)際應(yīng)用要求緊密結(jié)合，

25、才能獲得最大的系統(tǒng)性能和效益。網(wǎng)絡(luò)的安全是事關(guān)重要的，在某些情況下，寧可犧牲系統(tǒng)的部分功能也必須保證系統(tǒng)的安全。2.1.3成熟性和高可靠性作為信息系統(tǒng)基礎(chǔ)的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備的配置及帶寬應(yīng)能充分地滿足網(wǎng)絡(luò)通信的需求。網(wǎng)絡(luò)硬件體系結(jié)構(gòu)在實(shí)際應(yīng)用中能經(jīng)較長時間的考驗(yàn)，在運(yùn)行速度和性能上都應(yīng)是穩(wěn)定可靠的、擁有完善的、實(shí)用的解決方案，并通到較多的第三方開發(fā)商和用戶在全球的廣泛支持和使用。同時，應(yīng)從長遠(yuǎn)的技術(shù)發(fā)展來選擇具有很好前景的，較為先進(jìn)的技術(shù)和產(chǎn)品，以適應(yīng)系統(tǒng)未來的發(fā)展需求?？煽啃阅芤彩呛饬恳粋€計算機(jī)應(yīng)用系統(tǒng)的重要標(biāo)準(zhǔn)之一。在確保系統(tǒng)網(wǎng)絡(luò)環(huán)境中單獨(dú)設(shè)備穩(wěn)定、可靠運(yùn)行前提下，還需考慮網(wǎng)絡(luò)整體的容錯能

26、力、安全性及穩(wěn)定性，使系統(tǒng)出現(xiàn)問題和故障時能迅速的修復(fù)。因此需要采取一定的預(yù)防措施，如對關(guān)鍵應(yīng)用的主干設(shè)備考慮有適當(dāng)?shù)娜哂?。?yīng)急處理信息系統(tǒng)能夠全天候工作，一個高可用性的系統(tǒng)才嫩使用戶的投資真正得到回報。2.1.4 可維護(hù)性和可管理性整個信息網(wǎng)絡(luò)系統(tǒng)中的互聯(lián)設(shè)備，應(yīng)是使用方便、操作簡單易學(xué)，并便于維護(hù)。對復(fù)雜和龐大的網(wǎng)絡(luò)，要求有強(qiáng)有力的網(wǎng)絡(luò)管理手段，以便合理的管理網(wǎng)絡(luò)資源，監(jiān)視網(wǎng)絡(luò)狀態(tài)及控制網(wǎng)絡(luò)的運(yùn)行，因此，網(wǎng)絡(luò)所選擇的網(wǎng)絡(luò)設(shè)備應(yīng)支持多種協(xié)議，管理員能方便進(jìn)行網(wǎng)絡(luò)管理、維護(hù)甚至修復(fù)。在設(shè)計和實(shí)現(xiàn)時，必須充分考慮整個系統(tǒng)的便于維護(hù)性，以使系統(tǒng)萬一發(fā)生故障時能提供有效手段及時進(jìn)行恢復(fù)，盡量減少損失

27、。2.1.5可擴(kuò)充性和兼容性網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)應(yīng)具有可可擴(kuò)充性即網(wǎng)絡(luò)聯(lián)結(jié)必須在系統(tǒng)結(jié)構(gòu)、系統(tǒng)容量與能力、物理接連、產(chǎn)品支持等方面具有擴(kuò)充與升級換代的可能，采用的產(chǎn)品要遵循通用的工業(yè)標(biāo)準(zhǔn)，以便不同的設(shè)備能方便靈活地連接入網(wǎng)并滿足系統(tǒng)規(guī)模擴(kuò)充的要求。為了使所實(shí)現(xiàn)系統(tǒng)能夠在應(yīng)用發(fā)生變化的情況下保護(hù)原有的開放投資，在設(shè)計系統(tǒng)時，應(yīng)將系統(tǒng)按功能做成模塊化的，可根據(jù)需要增加和刪除功能模塊。第三章 網(wǎng)絡(luò)方案設(shè)計3.1 網(wǎng)絡(luò)拓?fù)浣榻B在此次集團(tuán)大型企業(yè)網(wǎng)的設(shè)計中，我們采用層次化模型來設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。所謂層次化模型，就是將復(fù)雜的網(wǎng)絡(luò)設(shè)計分成幾個層次，每個層次著重于某些特定的功能，這樣就能夠使一個復(fù)雜的大問題變成許多

28、簡單的小問題。層次模型既能夠應(yīng)用于局域網(wǎng)的設(shè)計，也能夠應(yīng)用于廣域網(wǎng)的設(shè)計。層次化模型的好處，在大型企業(yè)網(wǎng)設(shè)計中，使用層次化模型有許多好處，列舉如下：3.1.1節(jié)約成本采用層次模型之后，各層次各司其職，不再在同一個平臺上考慮所有的事情。層次模型模塊化的特性使網(wǎng)絡(luò)中的每一層都能夠很好地利用帶寬，減少了對系統(tǒng)資源的浪費(fèi)。3.1.2 易于理解層次化設(shè)計使得網(wǎng)絡(luò)結(jié)構(gòu)清晰明了，可以在不同的層次實(shí)施不同難度的管理，降低了管理成本。3.1.3 易于擴(kuò)展在網(wǎng)絡(luò)設(shè)計中，模塊化具有的特性使得網(wǎng)絡(luò)增長時網(wǎng)絡(luò)的復(fù)雜性能夠限制在子網(wǎng)中，而不會蔓延到網(wǎng)絡(luò)的其他地方。而如果采用扁平化和網(wǎng)狀設(shè)計，任何一個節(jié)點(diǎn)的變動都將對整個網(wǎng)

29、絡(luò)產(chǎn)生很大影響。3.1.4 易于排錯層次化設(shè)計能夠使網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分解為易于理解的子網(wǎng)，網(wǎng)絡(luò)管理者能夠輕易地確定網(wǎng)絡(luò)故障的范圍，從而簡化了排錯過程。 3.2 網(wǎng)絡(luò)設(shè)計大型企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的核心網(wǎng)主要完成整個企業(yè)集團(tuán)內(nèi)部不同地域企業(yè)之間的高速數(shù)據(jù)路由轉(zhuǎn)發(fā)，以及維護(hù)全網(wǎng)路由的計算。鑒于大型集團(tuán)企業(yè)的用戶數(shù)量眾多，業(yè)務(wù)復(fù)雜，qos要求較高的特點(diǎn)，要求較高的特點(diǎn)，在本方案中采用高密度多業(yè)務(wù)核心路由交換機(jī)組建高性能的核心網(wǎng)絡(luò)平臺。 交換機(jī)是具有運(yùn)營商級容錯能力的高性能大型網(wǎng)絡(luò)核心交換機(jī)，可為高校和運(yùn)行商提供基于領(lǐng)先技術(shù)的卓越性能和可靠性。超大容量的背板使得包括萬兆端口在內(nèi)的每個端口具備全線速交換能力，確保

30、在巨大的網(wǎng)絡(luò)通信負(fù)載下始終能夠輕松實(shí)現(xiàn)線速的第二層和第三層交換，是城域網(wǎng)、數(shù)據(jù)中心、智能大廈及企業(yè)網(wǎng)絡(luò)骨干級核心路由交換機(jī)的理想選擇。 交換機(jī)的所有管理模塊、交換模塊以及電源模塊都可以互換使用，而且管理模塊、電源模塊、風(fēng)扇等還可以實(shí)現(xiàn)冗余備份，溫度傳感器可以隨時監(jiān)控各個部件的工作溫度，從而提供運(yùn)營商級的可靠性。交換機(jī)的一大特色是管理模塊帶有業(yè)務(wù)接口，使得所有的插槽均為有效的業(yè)務(wù)插槽，從而大大提高了端口密度和插槽利用率。 在骨干核心層中，采用核心路由交換機(jī)組成雙機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案。為提高核心網(wǎng)絡(luò)的健壯性，實(shí)現(xiàn)鏈路的安全保障，本方案骨干核心層中可以采用vrrp（虛擬路由器冗余協(xié)議）。

31、對于各個業(yè)務(wù)vlan可以指向這個虛擬的ip地址作為網(wǎng)關(guān)，因此應(yīng)用vrrp技術(shù)為核心交換機(jī)提供一個可靠的網(wǎng)關(guān)地址，以實(shí)現(xiàn)在核心層核心交換機(jī)之間進(jìn)行設(shè)備的硬件冗余，一主兩備，共用一個虛擬的ip地址和mac地址，通過內(nèi)部的協(xié)議傳輸機(jī)制可以自動進(jìn)行工作絕色的切換。進(jìn)而雙引擎、雙電源的設(shè)計為網(wǎng)絡(luò)高效處理大集中數(shù)據(jù)提供了可靠的保障。3.3 核心層網(wǎng)絡(luò)設(shè)計大型企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的核心層網(wǎng)絡(luò)主要完成園區(qū)內(nèi)匯聚層設(shè)備之間的數(shù)據(jù)交換與骨干核心層網(wǎng)絡(luò)之間的路由轉(zhuǎn)發(fā)。傳統(tǒng)解決方案一般采用骨干路由器+核心交換機(jī)來組建，但這種方式受限于交換機(jī)的性能，在提供mpls vpn的業(yè)務(wù)能力方面較弱，不適合大型企業(yè)網(wǎng)絡(luò)的建設(shè)需求，同

32、時現(xiàn)在的大型企業(yè)辦公網(wǎng)絡(luò)具有城域網(wǎng)的特點(diǎn)，網(wǎng)絡(luò)發(fā)張具有網(wǎng)絡(luò)扁平化的發(fā)展方向，因此本方案骨干層網(wǎng)絡(luò)設(shè)備采用核心路由器交換機(jī)作為大型企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的園區(qū)核心路由交換設(shè)備，具有強(qiáng)大的業(yè)務(wù)和路由處交換能力。能提供如：mpls、vpn、qos、策略路由、nat等豐富業(yè)務(wù)能力，并可通過內(nèi)置防火墻模塊實(shí)現(xiàn)各種強(qiáng)大的網(wǎng)絡(luò)安全策略，可以充分滿足大型企業(yè)不同園區(qū)網(wǎng)絡(luò)的高速數(shù)據(jù)交換和支持多業(yè)務(wù)功能的要求，并能夠提供完善的安全防御策略，保障企業(yè)園區(qū)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。匯聚層網(wǎng)絡(luò)主要完成企業(yè)各園區(qū)內(nèi)辦公樓宇和相關(guān)單位的內(nèi)接入交換機(jī)的匯聚及數(shù)據(jù)交換和vlan劃分。本方案中采用的交換機(jī)多層交換機(jī)作為匯聚層面的交換機(jī)。交換機(jī)在

33、提供高密度千兆端口接入的同時還能夠滿足匯聚層智能高速處理的需要，并能夠更加靈活的部署在網(wǎng)絡(luò)邊緣的各個位置。能夠同時提供多個高速堆疊端口和百兆、千兆光口電口。這些交換機(jī)都具備較強(qiáng)的多業(yè)務(wù)提供能力，可支持包括智能的ccl/mpls、組播在內(nèi)的各種業(yè)務(wù)。為用戶提供豐富、高性價比的組網(wǎng)選擇。 以往傳統(tǒng)企業(yè)網(wǎng)絡(luò)接入層的建設(shè)中并不關(guān)注于安全控制和qos提供能力，而將網(wǎng)絡(luò)的安全防御措施和qos保障依賴于網(wǎng)絡(luò)的匯聚層或骨干層設(shè)備，這給匯聚層和骨干層設(shè)備帶來了巨大的壓力，往往內(nèi)網(wǎng)病毒泛濫成災(zāi)后導(dǎo)致骨干層設(shè)備癱機(jī)，使網(wǎng)絡(luò)沒有qos服務(wù)質(zhì)量保障。智能帶寬接入交換機(jī)是能滿足高安全、多業(yè)務(wù)承載、高性能的網(wǎng)絡(luò)環(huán)境智能交換

34、機(jī)，具備傳統(tǒng)二層交換機(jī)大容量、高性能等有點(diǎn)，同時還具有領(lǐng)先的安全特性，進(jìn)一步加強(qiáng)了企業(yè)網(wǎng)絡(luò)對邊緣接入層面的安全控制能力。用戶可以根據(jù)需要來定制自身的安全策略并部署在此交換機(jī)上。該產(chǎn)品具備的端口寬帶限制、端口鏡像、qos、端口安全、廣播風(fēng)暴抑制等功能可以很好的協(xié)助用書實(shí)現(xiàn)網(wǎng)絡(luò)的管理和維護(hù)。除此之外，此交換及還具備多個專用堆層接口，可以滿足樓層，樓宇內(nèi)多個交換機(jī)高性能匯聚的需要。針對于大型企業(yè)需要良好的出口網(wǎng)關(guān)設(shè)備，我們建設(shè)用戶選用神州數(shù)碼dcfw-1800s-l。神州數(shù)碼dcfw-1800e-g2防火墻專為千兆位流量的網(wǎng)絡(luò)服務(wù)運(yùn)營商，大型數(shù)據(jù)中心等骨干網(wǎng)絡(luò)而設(shè)計，采用2u專用千兆安全平臺，完全模

35、塊化可擴(kuò)展結(jié)構(gòu)，具有熱插拔特性的冗余部件為您提供最大的不間斷運(yùn)行時間。神州數(shù)碼dcfw-1800e-g防火墻內(nèi)置2個10/1000m自適應(yīng)以太網(wǎng)電口，具備6個sfp擴(kuò)展插槽，最多可擴(kuò)展至 8個千兆接口，接口模塊類型支持單模、多光纖，千兆電口，充分滿足您的定制需求。3.4 冗余/負(fù)載均衡設(shè)計冗余設(shè)計是網(wǎng)絡(luò)設(shè)計的重要部分，是保證網(wǎng)絡(luò)整體可靠性能的重要手段。但是投資也將增加。部分企業(yè)園區(qū)網(wǎng)在早起的建設(shè)中由于成本的原因并未在設(shè)計中考慮冗余問題，而在優(yōu)化工作中則需從網(wǎng)絡(luò)鏈路和網(wǎng)絡(luò)設(shè)備兩方面著手。冗余設(shè)計可以貫穿整個層次化結(jié)構(gòu)，每個冗余設(shè)計都有針對性，可以選擇其中一部分或幾部分應(yīng)用到網(wǎng)絡(luò)中以針對重要的應(yīng)用

36、。萬一網(wǎng)絡(luò)中的某條路勁失效時，冗余鏈路提供另一條物理路勁。可以采用gec鏈路聚合（ieee802.3ad）實(shí)現(xiàn)端口級冗余，以克服某個端口或線路引起的故障。也可采用生成樹協(xié)議（ieee802.1d）提供設(shè)備級的冗余連接。此外，我們在設(shè)計中提供不同物理方向的雙規(guī)屬、雙路由保護(hù)。 在企業(yè)網(wǎng)骨干核心層，企業(yè)網(wǎng)絡(luò)邊界拓?fù)浣Y(jié)構(gòu)由于采用了多機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案，所以在線路冗余面的要求較高，對于線路的冗余要求，我們采用10gb線路對三臺企業(yè)網(wǎng)骨干核心層設(shè)備進(jìn)行環(huán)行雙向備份，并使用業(yè)界領(lǐng)先的vrrp（虛擬路由器冗余協(xié)議）來對其作為冗余線路的協(xié)議保障。以gec作為n*1000m主干鏈路，通過這個鏈路連

37、接骨干網(wǎng)交換機(jī)，具備萬兆擴(kuò)展能力；接入交換機(jī)采用10/100m自適應(yīng)端口連接桌面系統(tǒng)，多千兆鏈路連接到匯聚層。gec路既有鏈路聚合和冗余保證兩大特性，線面我們將對它們依次進(jìn)行介紹鏈路聚合：可使用一條物理鏈路在不同品牌交換機(jī)之間、交換機(jī)和服務(wù)器間提供聚合的高速通道，在不增加投資的情況下，擴(kuò)大交換帶寬，使關(guān)鍵連接的傳輸效率更高冗余保證：鏈路聚合中，成員互相動態(tài)備份。當(dāng)某一鏈路中斷時，其他成員能夠迅速接替其工作。與生成樹協(xié)議不同，鏈路聚合啟用備份的過程對聚合之外是不可見的，而且啟用備份過程只在聚合鏈路內(nèi)，與其它鏈路無關(guān)，切換可在數(shù)毫秒內(nèi)完成。綜合分析以上各主流方案的優(yōu)缺點(diǎn)，從性能與成本及拓展性等方面

38、的綜合考慮觸發(fā)，我們決定采用gec骨干核心網(wǎng)絡(luò)10ge拓展的方式作為起鏈路選擇及備份選擇。在企業(yè)網(wǎng)匯聚層及接入層處于成本及性價比的考慮，我們決定采用千兆匯聚，萬兆拓展；百兆到桌面的鏈路選擇。3.5 網(wǎng)絡(luò)設(shè)備冗余/負(fù)載均衡設(shè)計當(dāng)前，無論在企業(yè)網(wǎng)、園區(qū)網(wǎng)還是在廣域網(wǎng)如internet上，業(yè)務(wù)兩的發(fā)展都超出了過去最樂觀的估計，上網(wǎng)熱潮風(fēng)起云涌，新的應(yīng)用層出不窮，即使按照當(dāng)前最優(yōu)配置建設(shè)的羅，也很快會感到吃不消。尤其是各個網(wǎng)絡(luò)的核心部分，器數(shù)據(jù)量和計算強(qiáng)度之大，使得單一設(shè)備根本無法承擔(dān)。負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種廉價有效的方法擴(kuò)展服務(wù)器帶寬和增加吞吐量，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力，提高網(wǎng)絡(luò)

39、的靈活性和可用性。它主要完成以下任務(wù)：解決網(wǎng)絡(luò)擁塞問題，服務(wù)就近提供，實(shí)現(xiàn)地理位置無關(guān)性；為用戶提供更好的訪問質(zhì)量；提高服務(wù)器響應(yīng)速度；提高服務(wù)器及其他資源的利用效率；避免了網(wǎng)絡(luò)關(guān)鍵部位出現(xiàn)單點(diǎn)失效。在此方案中，在網(wǎng)絡(luò)的每個關(guān)鍵結(jié)點(diǎn)，我們在設(shè)計時都做到了對其有效的冗余備份和負(fù)載均衡。在網(wǎng)絡(luò)的骨干核心層上。我們采用了兩臺神州數(shù)碼的dcrs-7508高密度多業(yè)務(wù)ipv6核心路由交換機(jī)組建高性能的核心網(wǎng)絡(luò)平臺，在對骨干核心層的每個區(qū)塊，我們都采用了兩臺神州數(shù)碼的dcrs-7508多業(yè)務(wù)ipv6核心路由交換機(jī)做到冗余與負(fù)載均衡。雙核心拓?fù)浣Y(jié)構(gòu)提供了兩條等代價路徑和雙倍的帶寬。每個核心交換機(jī)連接著數(shù)目相

40、同的子網(wǎng)到第三次匯聚設(shè)備上。企業(yè)網(wǎng)中服務(wù)器、大型機(jī)，如網(wǎng)絡(luò)存儲服務(wù)器，sqlserver服務(wù)器，其存儲的數(shù)據(jù)對于企業(yè)來說至關(guān)重要，一些核心數(shù)據(jù)被視為企業(yè)的生命。一方面它對企業(yè)的重要性無庸置疑，另一方面，由于這些數(shù)據(jù)的性質(zhì)決定了其較大的被訪問量，這個對服務(wù)器提出了穩(wěn)定和快速的要求。如果宕機(jī)，后果是技術(shù)保障計算機(jī)系統(tǒng)的可靠性是重中之重。為此，我們采用的是雙機(jī)熱備技術(shù)，此技術(shù)能夠有效的滿足核心服務(wù)器高效，穩(wěn)定的要求。而且相對于其它成本技術(shù)來說，這是比較有經(jīng)濟(jì)價的技術(shù)。3.6 地址規(guī)劃原則ip地址構(gòu)成了整個internet的基礎(chǔ)，ip地址資源是整個internet的基本核心資源，ip地址資源的合理分配

41、和有效的利用是正整個internet發(fā)展過程中持續(xù)有效的一個極具分量的研究課題。我們在對企業(yè)園區(qū)網(wǎng)ip地址編址設(shè)計和分配利用時，遵循了以下幾個原則：3.6.1自治：整個園區(qū)網(wǎng)絡(luò)被劃分成幾個大的自治區(qū)域，每個大自治區(qū)域中又被劃分成幾個小的自治區(qū)域。3.6.2有序：我們按章自治原則將網(wǎng)絡(luò)進(jìn)行邏輯劃分后，就根據(jù)地域、設(shè)備分布及區(qū)域內(nèi)用戶數(shù)量來進(jìn)行子網(wǎng)規(guī)劃。同時，我們將ip地址規(guī)劃和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。在進(jìn)行地址分配時，為了提高地址分配效率和地址利用率，我們在編址設(shè)計時按照了一定的順序進(jìn)行，選擇的順序是自上而下的順序，即采用了頁面領(lǐng)先的自頂向下網(wǎng)絡(luò)設(shè)計方法。3.6.3可

42、持續(xù)性：考慮到園區(qū)內(nèi)網(wǎng)絡(luò)用戶數(shù)將持續(xù)增長，網(wǎng)絡(luò)所要承載的業(yè)務(wù)量和業(yè)務(wù)種類越來越多，這使得網(wǎng)絡(luò)需要頻頻進(jìn)行技術(shù)升級、改造和擴(kuò)容。所以，在進(jìn)行地址分配時本方案充分考慮到了這些因素，為網(wǎng)絡(luò)的每個部分留有部分地址冗余，這樣保證網(wǎng)絡(luò)的可持續(xù)發(fā)展。3.6.4可聚合：互聯(lián)網(wǎng)日新月異的發(fā)展和日益龐大的規(guī)模令當(dāng)初設(shè)計互聯(lián)網(wǎng)絡(luò)的專家始料不及，在路由表急劇膨脹情況下，可聚合原則是網(wǎng)絡(luò)地址分配時所必須遵守的最高原則，可聚合原則要求在進(jìn)行地址規(guī)劃時，應(yīng)提供足夠的路由冗余功能。3.6.5盡量節(jié)約ipv4地址：由于ipv4地址越來越少，所以對于ipv4地址的使用需要格外節(jié)約。ipv4地址的節(jié)約可以通過動態(tài)編址技術(shù)和nat技

43、術(shù)等來實(shí)現(xiàn)。3.6.6閑置ip地址回收利用：對于已分配出去的靜態(tài)ip地址進(jìn)行定期追蹤管理，對長時間閑置的ip地址可經(jīng)過確認(rèn)后回收重復(fù)利用。3.7 方案特點(diǎn)本方案很好地解決了用戶要求的四個問題，即帶寬問題、安全問題、管理計費(fèi)問題、靈活擴(kuò)展問題。3.7.1帶寬問題：使用萬兆互連雙核心結(jié)構(gòu)，使網(wǎng)絡(luò)核心設(shè)備不但可以互相備份，而且有效的減輕流量負(fù)荷，使設(shè)備時刻保持穩(wěn)定和高效。3.7.2安全問題：企業(yè)網(wǎng)絡(luò)核心層、匯聚層、樓層匯聚層所使用的產(chǎn)品全部具有網(wǎng)絡(luò)病毒和攻擊的防護(hù)能力，并且放dos/ddos攻擊，因而可以在不同的環(huán)境中做到安全防護(hù)，足以應(yīng)對突發(fā)時間，保持網(wǎng)絡(luò)穩(wěn)定、通暢。3.7.3管理計費(fèi)問題：統(tǒng)一認(rèn)

44、證，針對企業(yè)網(wǎng)開放式的信息點(diǎn)造成的安全隱患，全網(wǎng)接入采用統(tǒng)一認(rèn)證技術(shù)（可以進(jìn)行帳號、ip、mac、lavn id、交換機(jī)ip和交換及端口六要素靈活捆綁），保證了只有合法授權(quán)的用戶才能使用網(wǎng)絡(luò)或外部網(wǎng)絡(luò)，而且還能對網(wǎng)絡(luò)的使用情況進(jìn)行審計。3.7.4靈活擴(kuò)展問題：核心層使用的路由交換機(jī)dcrs/7508有良好的擴(kuò)展性，可以為將來的網(wǎng)絡(luò)實(shí)現(xiàn)輕松擴(kuò)展。第四章 網(wǎng)絡(luò)技術(shù)選型4.1 路由協(xié)議ospf在網(wǎng)絡(luò)骨干核心層和核心層以及匯聚層上的需要使用三層設(shè)備為網(wǎng)絡(luò)內(nèi)部不同的網(wǎng)段的數(shù)據(jù)和不同vlan間的數(shù)據(jù)轉(zhuǎn)發(fā)而需要路由協(xié)議時，我們采用ospf協(xié)議作為路由協(xié)議。ospf是一種典型的鏈路狀態(tài)路由協(xié)議。采用ospf的

45、路由器彼此交換并保存整個網(wǎng)絡(luò)的鏈路信息，從而掌握全網(wǎng)的拓?fù)浣Y(jié)構(gòu)，獨(dú)立計算機(jī)路由。因?yàn)閞ip路由協(xié)議不能服務(wù)于大型網(wǎng)絡(luò)，所以，ietf的igp工作組特別開發(fā)出鏈路狀態(tài)協(xié)議ospf。目前廣為使用的是ospf第二版，最新標(biāo)準(zhǔn)為rfc2328。ospf作為一種內(nèi)部網(wǎng)關(guān)協(xié)議（interior gateway protocol,igp）,用于在同一個自治域中的路由器之間發(fā)布路由信息。區(qū)別于距離矢量協(xié)議，ospf具有支持大型網(wǎng)絡(luò)、羅有收斂快、占用網(wǎng)絡(luò)資源少等優(yōu)點(diǎn)，在目前應(yīng)用的路由協(xié)議中占有相當(dāng)重要地位。4.2 端口安全與認(rèn)證4.2.1端口安全 交換設(shè)備定義了對端口保護(hù)的功能，我們能定義允許的最大mac地址訪

46、問數(shù)，或者靜態(tài)的定義特定的mac地址。遇到不合法的mac地址交換機(jī)采取的策略。配置舉例端口安全性： switch(config-if)enable #configure terminalswitch (config)#interface f0/1 switch(config- if)#swithport port-security switch(config-if)#swithport port-security maximum 4 switch(config-if)#swithport port-security mac-address x.x.x.x switch(config-if)#s

47、withport port-security violation shutdown保護(hù)端口：將接入層交換機(jī)各宿舍接口設(shè)置為保護(hù)口，保護(hù)口之間互相無法通訊，保護(hù)口與非保護(hù)口之間可以正常通訊： switch(config)#interface ethernet 0/1 switch(config)#switchport protected4.2.2基于802.1x的端口認(rèn)證基于端口的認(rèn)證就是將aaa認(rèn)證與端口保護(hù)相結(jié)合，默認(rèn)情況下。一個支持802.1x的交換機(jī)端口處于未授權(quán)狀態(tài)，除了和802.1x有關(guān)的數(shù)據(jù)，其他數(shù)據(jù)都不能通過該端口，只有客戶的交換機(jī)創(chuàng)建了一個802.1x的回話，客戶被授權(quán)訪問ea

48、pol：extensible authentication protocol over lan 局域網(wǎng)上的可擴(kuò)展身份認(rèn)證在端口處于未授權(quán)狀態(tài)下，客戶端智能使用eapol與交換機(jī)通信。 4.3 vrrp（虛擬路由冗余協(xié)議）原理vrrp給路由器組提供了一個冗余網(wǎng)關(guān)地址，它是一種容錯協(xié)議，通過定義不同的組不同優(yōu)先級的路由器，它保證網(wǎng)絡(luò)的主路喲慪氣失效時，可以即使的由備份來限時路由器來替代，從而保持通訊的份額連續(xù)性和靠靠性。并可以在該協(xié)議上實(shí)現(xiàn)負(fù)載均衡等高級交換特性。vrrp即使的實(shí)現(xiàn)：匯聚到核心冗余連接及vrrp的實(shí)現(xiàn)通過vrrp技術(shù)將多個設(shè)備虛擬成為一臺邏輯設(shè)備，實(shí)現(xiàn)匯聚/接入鏈路冗余。如下例：i

49、f)#vrrp 5 ip if)#vrrp 6 ip a: if)#vrrp 5 priority 200b: if)#vrrp 6 priority 200 if)#vrrp 5 authen name if)#vrrp 6 authen name 4.4 rstp、mstp原理rstp協(xié)議完全向下兼容802.1d stp協(xié)議，除了和傳統(tǒng)的stp協(xié)議一樣具有避免回路、提供冗余鏈路的功能外，最主要的特點(diǎn)就是 “快”。如果一個局域網(wǎng)內(nèi)的網(wǎng)橋都支持rstp協(xié)議且管理員配置得當(dāng)，一旦網(wǎng)絡(luò)拓?fù)涓淖兌匦律赏負(fù)錁渲恍枰怀^1秒的時間。本交換機(jī)支持mstp

50、,mstp是在傳統(tǒng)的stp、rstp的基礎(chǔ)上發(fā)展而來的新的生產(chǎn)樹協(xié)議，本身就包含了rstp的快速forwarding機(jī)制。在網(wǎng)絡(luò)末梢，連接到單個工作站的時候，是不可能形成橋接環(huán)路的。在接口上啟用了portfast特性，可以使交換機(jī)端口立即變?yōu)檗D(zhuǎn)發(fā)狀態(tài)，提高了網(wǎng)絡(luò)的響應(yīng)速度及收斂時間?；趓stp的交換機(jī)高級特性uplinkfast在網(wǎng)絡(luò)中的應(yīng)用?？紤]到有冗余上行連接的網(wǎng)絡(luò)，使用冗余連接到上層交換機(jī)，通常情況下一個上行連接處于轉(zhuǎn)發(fā)狀態(tài)，另一個處于阻塞狀態(tài)，如果主上行連接斷開，在使用冗余連接之前所經(jīng)歷的是啊見高達(dá)50s在使用uplinkfast之后，使得具有冗余上行連接的交換機(jī)具有端口失效時，另一

51、個阻塞的上行連接能都立即使用，這個時間大大縮小到1-55之間，在集團(tuán)網(wǎng)的特殊環(huán)境之下，能大大增強(qiáng)網(wǎng)絡(luò)穩(wěn)定性，加快網(wǎng)絡(luò)收斂。 4.5 nat的描述及策略路由的實(shí)現(xiàn)在組建網(wǎng)絡(luò)時，為了節(jié)約地址，我們在內(nèi)部使用保留的私有地址段中的地址，但是使用私有地址不能訪問internet，所以必須申請多個公開地址配置在和internet相連的局域網(wǎng)邊緣設(shè)備上。應(yīng)用ant進(jìn)行地址轉(zhuǎn)換。nat是網(wǎng)絡(luò)地址翻譯技術(shù)，在路由器上起用nat之后，可在內(nèi)部私有地址和外部公網(wǎng)地址之間做轉(zhuǎn)換。比如我們可以把網(wǎng)絡(luò)內(nèi)部使用的ip翻譯成外部公網(wǎng)的ip。配置基于策略的路由選擇時，可使用路由映射表來指定基于ip地址，應(yīng)用程序，協(xié)議或者分組長

52、度的條件，基于策略的路由選擇 命令對中選的路由實(shí)現(xiàn)策略?；诓呗缘穆酚珊挽o態(tài)路由有很多共同之處。然而，靜態(tài)路由根據(jù)目標(biāo)網(wǎng)絡(luò)地址來轉(zhuǎn)換分組，而策略路由根基源地址來轉(zhuǎn)發(fā)分組。在路由選擇表中使用訪問列表時，可根據(jù)諸如目標(biāo)地址分組長度，ip協(xié)議字段，優(yōu)先級或端口號來轉(zhuǎn)發(fā)數(shù)據(jù)流。這樣可以更指定范圍更廣泛，更細(xì)致的條件，并根據(jù)這些條件來決定嚇一跳路由器。 4.6 acl（訪問控制列表）訪問列表為我們提供了一種對網(wǎng)絡(luò)訪問鏡像有效管理方法，通過訪問列表，我們可以設(shè)置允許或拒絕數(shù)據(jù)包通過路由器，或者允許或者拒絕具體的某些端口鏡像訪問和使用，入股滿足條件則執(zhí)行相應(yīng)的操作，放行這個包或者放棄這個包。我們通過這些設(shè)置

53、來滿足實(shí)際網(wǎng)絡(luò)的靈活需求，從而達(dá)到設(shè)置網(wǎng)絡(luò)安全策略。防止網(wǎng)絡(luò)中的敏感設(shè)備受到權(quán)限訪問的情況。在具體實(shí)現(xiàn)過程中從技術(shù)上來說我們需要了解到acl分為兩種類型，他們分別是標(biāo)準(zhǔn)訪問列表（standard access lists）和擴(kuò)展訪問列表（extends sccess lists）前者在過濾網(wǎng)絡(luò)的時候只使用ip數(shù)據(jù)報的源地址，那么在使用這種訪問列表的情況下它做出允許或者拒絕這個決定完全依靠于源ip地址，它無法區(qū)分具體的流量類型。而擴(kuò)展訪問列表則可以提供更細(xì)的決定。它可以具體到端口，從而精確到某一個服務(wù)，比如對web、ftp的訪問等，給我們網(wǎng)絡(luò)的策略提供了更細(xì)的控制手段。我們利用這種訪問列表進(jìn)行協(xié)

54、議級的控制以達(dá)到對網(wǎng)絡(luò)一個有效的管理。標(biāo)準(zhǔn)訪問控制列表一般放在靠經(jīng)目標(biāo)的路由器上，而擴(kuò)展訪問列表一般放于近源端的路由器上。4.7 鏈路聚合ec(ethernet channel)以太網(wǎng)信道鏈路聚合可以讓交換機(jī)之間和交換機(jī)與服務(wù)器之間的鏈路帶寬有非常好的伸縮性，比如可以把多個千兆的鏈路綁定在一起，使鏈路的帶寬成倍增長。鏈路聚合技術(shù)可以實(shí)現(xiàn)不同端口的負(fù)載均衡，同時也能夠互為備份，保證鏈路的冗余性。在神州數(shù)碼千兆以太網(wǎng)交換機(jī)中，最多可支持4組鏈路聚合，每組最大4個端口。鏈路聚合一般是不允許跨芯片設(shè)置的，生成樹協(xié)議和鏈路聚合都可以保證一個網(wǎng)絡(luò)的冗余性。在一個網(wǎng)絡(luò)中設(shè)置冗余鏈路，并生成樹協(xié)議讓備份鏈路阻

55、塞，在邏輯上不形成環(huán)路，而一旦出現(xiàn)故障，啟用備份鏈路。4.8 vlan （虛擬局域網(wǎng)）vlan（virtual local area network）虛擬局域網(wǎng)，vlan是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，從而虛擬工作的新興數(shù)據(jù)交換技術(shù)，vlan虛擬局域網(wǎng)是一種在二層設(shè)備上隔離和劃分廣播域的技術(shù)，通過這種劃分，我們可以把物理位置上分離的網(wǎng)絡(luò)設(shè)備在邏輯上劃為同一個廣播域，或者把物理位置上鄰近是網(wǎng)絡(luò)設(shè)備劃分不同的廣播域，從而更方便我們管理和做一個邏輯層次的劃分，從技術(shù)上說vlan可以分為靜態(tài)vlan和動態(tài)vlan那么靜態(tài)的vlan是基于交換機(jī)端口進(jìn)行劃分，根據(jù)網(wǎng)絡(luò)設(shè)備連接不同的交換機(jī)端口，則進(jìn)入相應(yīng)的vlan。動態(tài)vlan則更靈活，它可以根據(jù)接入計算機(jī)的ip地址，mac地址，甚至是用戶的登錄帳號做相應(yīng)的處理，把計算機(jī)劃分進(jìn)相應(yīng)的vlan中，這樣就為我們實(shí)際的網(wǎng)絡(luò)管理帶來了比較大的方便性和靈活性。那么在我們企業(yè)網(wǎng)方案中，我們希望通過使用vlan技術(shù)劃分達(dá)到以下目的：vlam除了能將網(wǎng)絡(luò)劃分多個廣播域，從而有效的控制廣播風(fēng)暴的發(fā)生，以及使用網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點(diǎn)外，還可以用于控制網(wǎng)絡(luò)中的不同部門，不同站點(diǎn)之間的互相訪問。用vlan id把用戶劃分為更小的工作組，限制不同工作組間的用戶互訪，每個工作組就是