計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案

1、民航西南地區(qū)管理局搬遷辦公區(qū)工程、成都民用航空醫(yī)學(xué)中心等業(yè)務(wù)用房及配套工程弱電系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案目 錄一、項(xiàng)目概述3二、網(wǎng)絡(luò)系統(tǒng)實(shí)施目標(biāo)3三、網(wǎng)絡(luò)設(shè)計(jì)原則3四、網(wǎng)絡(luò)系統(tǒng)主要任務(wù)6五、系統(tǒng)網(wǎng)絡(luò)建設(shè)基本要求6六、網(wǎng)絡(luò)總體規(guī)劃76、1辦公區(qū)外網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)86、2 辦公區(qū)外網(wǎng)信息點(diǎn)86、3辦公區(qū)內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)106、4辦公區(qū)內(nèi)網(wǎng)信息點(diǎn)10七、網(wǎng)絡(luò)邏輯設(shè)計(jì)127、1 IP地址規(guī)劃的范圍127、2 IP地址規(guī)劃的原則127、3 IP地址分配建議127、4具體IP地址分配13l網(wǎng)絡(luò)設(shè)備IP地址13l鏈路IP地址13l用戶主機(jī)IP地址137、5 VLAN 規(guī)劃147、6 網(wǎng)絡(luò)設(shè)備命名規(guī)則147、7 設(shè)備密

2、碼編碼規(guī)則15八、路由規(guī)劃158、1 路由協(xié)議選擇158、2 路由協(xié)議介紹168、3 路由設(shè)計(jì)19九、網(wǎng)絡(luò)可靠性設(shè)計(jì)209、1設(shè)備的可靠性209、2網(wǎng)絡(luò)結(jié)構(gòu)的可靠性21十、網(wǎng)絡(luò)安全性設(shè)計(jì)2910、1系統(tǒng)安全概述2910、2安全風(fēng)險(xiǎn)分析29物理安全風(fēng)險(xiǎn)29鏈路傳輸風(fēng)險(xiǎn)29網(wǎng)絡(luò)結(jié)構(gòu)安全風(fēng)險(xiǎn)分析30系統(tǒng)的安全風(fēng)險(xiǎn)分析30應(yīng)用的安全風(fēng)險(xiǎn)分析31管理的安全風(fēng)險(xiǎn)分析3210、3安全技術(shù)手段32交換和虛擬網(wǎng)技術(shù)33訪問控制與可靠路由33Port Security技術(shù)34DHCP Snooping技術(shù)35Dynamic ARP Inspection技術(shù)36IP Source Guard技術(shù)36802.1x技術(shù)

3、37防火墻技術(shù)39入侵檢測(cè)技術(shù)43網(wǎng)絡(luò)分析技術(shù)45AAA認(rèn)證技術(shù)47十一、服務(wù)質(zhì)量(QOS)設(shè)計(jì)48十二、網(wǎng)絡(luò)管理設(shè)計(jì)50十三、相關(guān)設(shè)備簡(jiǎn)介5113、1 Cisco Catalyst 6500和6500-E系列交換機(jī)產(chǎn)品簡(jiǎn)介5113、2 Cisco Catalyst 4500系列交換機(jī)6113、3 Catalyst 3560系列交換機(jī)6813、4 Cisco Catalyst 2960系列交換機(jī)83一、項(xiàng)目概述民航西南地區(qū)管理局網(wǎng)絡(luò)系統(tǒng)建設(shè)項(xiàng)目由辦公區(qū)辦公區(qū)由1、2、3、4、5號(hào)樓宇及辦公區(qū)室外道路、庭院組成,總建筑面積約0.9萬(wàn)平方米，均為三類多層建筑。1號(hào)樓1層局部為汽車庫(kù),2號(hào)樓地下層為

4、汽車庫(kù)及設(shè)備用房,其余均為辦公等用房。民航西南地區(qū)管理局轄管3省1區(qū)1市（四川省、云南省、貴州省、西藏自治區(qū)和重慶直轄市）的民航行業(yè)管理，管轄區(qū)域廣，信息量大，各類業(yè)務(wù)應(yīng)用較多，是民航西南地區(qū)行業(yè)管理的數(shù)據(jù)交換、存儲(chǔ)中心。本工程是集辦公、科研、會(huì)議、培訓(xùn)等功能于一體的綜合工程，將建成為全國(guó)同行業(yè)的標(biāo)志性智能化辦公區(qū)，要求智能化系統(tǒng)的設(shè)計(jì)和建設(shè)達(dá)到國(guó)家智能化樓宇，力求達(dá)到甲級(jí)設(shè)計(jì)和施工的相關(guān)標(biāo)準(zhǔn)。二、網(wǎng)絡(luò)系統(tǒng)實(shí)施目標(biāo)根據(jù)中國(guó)民航總局規(guī)定，辦公區(qū)計(jì)算機(jī)網(wǎng)絡(luò)分為內(nèi)網(wǎng)、外網(wǎng)兩套網(wǎng)絡(luò)，要求做到物理隔離。即線路、設(shè)備和設(shè)備機(jī)柜均要求物理隔離，并有明顯的標(biāo)志。辦公區(qū)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的實(shí)施目標(biāo)是：建成支撐辦公區(qū)

5、和業(yè)務(wù)的信息網(wǎng)絡(luò)系統(tǒng)，實(shí)現(xiàn)辦公自動(dòng)化、信息共享化、樓宇控制網(wǎng)絡(luò)化和管理科學(xué)化，外網(wǎng)與互聯(lián)網(wǎng)進(jìn)行安全聯(lián)接，內(nèi)網(wǎng)與民航總局通過ATM連接。公安專網(wǎng)；民航公安局與四川省公安廳通過專線聯(lián)接，構(gòu)成公安專網(wǎng)。三、網(wǎng)絡(luò)設(shè)計(jì)原則信息網(wǎng)絡(luò)系統(tǒng)質(zhì)量的好壞，直接影響到西南民航管理局網(wǎng)絡(luò)的各項(xiàng)功能及各項(xiàng)業(yè)務(wù)的開展。因此，在網(wǎng)絡(luò)設(shè)備的選擇上，既要考慮采用符合國(guó)際標(biāo)準(zhǔn)的先進(jìn)、成熟的技術(shù)和產(chǎn)品，又要考慮與原有系統(tǒng)整合的因素、人員的培訓(xùn)狀況。本方案建議書將嚴(yán)格遵循以下網(wǎng)絡(luò)設(shè)計(jì)原則：(1) 模塊化設(shè)計(jì)：在本次網(wǎng)絡(luò)設(shè)計(jì)中，采用模塊化的設(shè)計(jì)思路。整個(gè)網(wǎng)絡(luò)系統(tǒng)從邏輯上分為三個(gè)層次：核心層(Core)、分布層(Distribution

6、)和訪問層（Access）每個(gè)層次都有其獨(dú)特的功能。 核心層是整個(gè)網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵連接點(diǎn)，所有設(shè)備必須提供冗余部件。核心層必須是高可靠和適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的快速變化。分布層提供基于統(tǒng)一策略的互連性，它是核心層和訪問層的分界點(diǎn)，定義了網(wǎng)絡(luò)的邊界，對(duì)數(shù)據(jù)包進(jìn)行復(fù)雜的運(yùn)算。訪問層的主要功能是為工作組用戶提供對(duì)企業(yè)網(wǎng)絡(luò)訪問的途徑。另外，為保證網(wǎng)絡(luò)的可靠性，在網(wǎng)絡(luò)的拓樸中需采用冗余鏈路，應(yīng)能充分利用這些冗余鏈路，既保證了網(wǎng)絡(luò)的可靠性又增加了網(wǎng)絡(luò)負(fù)載均衡能力。(2) 可靠性設(shè)計(jì)：為確保系統(tǒng)高可靠性，設(shè)計(jì)的網(wǎng)絡(luò)系統(tǒng)必須提供設(shè)備級(jí)、鏈路級(jí)和網(wǎng)絡(luò)層的可靠性。網(wǎng)絡(luò)系統(tǒng)的設(shè)備級(jí)可靠性：1+1冗余交換引擎冗余、負(fù)載均衡電源（

7、AC和DC）冗余共享風(fēng)扇冗余系統(tǒng)時(shí)鐘冗余上行鏈路冗余交換矩陣包括電源、風(fēng)扇、引擎、線路板模塊、交換背板在內(nèi)的所有系統(tǒng)單元都可熱插拔，如元件增加、轉(zhuǎn)移或替換，而不會(huì)導(dǎo)致相關(guān)業(yè)務(wù)中斷。在雙重交換引擎配置中，為了保護(hù)關(guān)鍵應(yīng)用，需要在最短的時(shí)間內(nèi)將交換機(jī)控制轉(zhuǎn)換到冗余交換引擎上。所有系統(tǒng)單元都可現(xiàn)場(chǎng)替換，從而實(shí)現(xiàn)了最大服務(wù)性和最少的網(wǎng)絡(luò)停機(jī)時(shí)間。網(wǎng)絡(luò)鏈路級(jí)和網(wǎng)絡(luò)層可靠性：網(wǎng)絡(luò)應(yīng)能承受元件、鏈路、電源以及其它類型的故障。網(wǎng)絡(luò)必須圍繞這些故障收斂，自愈，而不干擾網(wǎng)絡(luò)運(yùn)行并使網(wǎng)絡(luò)業(yè)務(wù)的中斷最小化。一方面，網(wǎng)絡(luò)應(yīng)該能夠完成所有這些任務(wù)，另一方面，它還要十分簡(jiǎn)單，以使一般網(wǎng)絡(luò)管理人員都能配置、監(jiān)視并管理網(wǎng)絡(luò)環(huán)境

8、。提供網(wǎng)絡(luò)冗余的設(shè)備在網(wǎng)絡(luò)正常運(yùn)行狀態(tài)下還要對(duì)網(wǎng)絡(luò)有其他好處，比如負(fù)載均衡等。核心層和分布層的設(shè)備都支持第三層交換機(jī)技術(shù)即路由技術(shù)，因此，核心層和分布層的鏈路備份采用OSPF等高級(jí)路由協(xié)議，支持相同成本(equal cost)的負(fù)載均衡技術(shù)。要求訪問層和分布層的第三層交換機(jī)采用熱備份路由協(xié)議，在出現(xiàn)災(zāi)難性故障時(shí)，快速切換到備份系統(tǒng)。同時(shí)通過對(duì)備份優(yōu)先級(jí)的控制，實(shí)現(xiàn)多臺(tái)第三層交換機(jī)的負(fù)載均衡，即在正常運(yùn)轉(zhuǎn)情況下，每臺(tái)第三層交換機(jī)同時(shí)各自為同一VLAN中不同的主機(jī)提供網(wǎng)關(guān)負(fù)載均衡服務(wù)。(3) 局域網(wǎng)的安全設(shè)計(jì)：網(wǎng)絡(luò)設(shè)備應(yīng)該通過VLAN劃分來(lái)隔離不同的業(yè)務(wù)系統(tǒng)，在網(wǎng)絡(luò)第三層設(shè)備上要在不同的VLAN間

9、設(shè)置訪問控制列表，以實(shí)現(xiàn)VLAN之間的訪問控制。并且網(wǎng)絡(luò)中需要部署IDS入侵檢測(cè)系統(tǒng)，用于快速發(fā)現(xiàn)并定位內(nèi)部的威脅源。為了保護(hù)網(wǎng)絡(luò)的安全，在互聯(lián)網(wǎng)的出入口設(shè)置高性能的硬件千兆級(jí)防火墻。(4) 服務(wù)質(zhì)量的保證（QoS）要求網(wǎng)絡(luò)設(shè)備(尤其是中心交換機(jī))應(yīng)該具備以下指出的一些數(shù)據(jù)包級(jí)別區(qū)分、標(biāo)識(shí)、帶寬控制、隊(duì)列管理等功能。802.1p分級(jí)與識(shí)別；IP Precedence分級(jí)與識(shí)別(此條針對(duì)第三層交換機(jī))；擁塞避免丟包機(jī)制；帶寬分配機(jī)制。(5) 局域網(wǎng)的網(wǎng)絡(luò)管理：網(wǎng)絡(luò)管理提供的不只是一個(gè)網(wǎng)絡(luò)管理平臺(tái)，而是基于全線網(wǎng)絡(luò)設(shè)備的一系列系統(tǒng)管理軟件。網(wǎng)絡(luò)管理系統(tǒng)必須實(shí)現(xiàn)比如設(shè)備面板監(jiān)控、配置管理、設(shè)備軟件升

10、級(jí)管理、QoS服務(wù)質(zhì)量管理、安全管理、規(guī)劃管理等，以及許多現(xiàn)代網(wǎng)絡(luò)中必備的技術(shù)管理，如VLAN管理、訪問控制管理等功能。為用戶提供強(qiáng)大的網(wǎng)絡(luò)管理、分析和規(guī)劃手段。(6) 多點(diǎn)廣播的支持：隨著網(wǎng)上培訓(xùn)、網(wǎng)上廣播等應(yīng)用的普及，網(wǎng)絡(luò)中將越來(lái)越多地應(yīng)用到多點(diǎn)廣播技術(shù)，如果局域網(wǎng)設(shè)備不支持多點(diǎn)廣播的相關(guān)協(xié)議和流量控制機(jī)制的話，就會(huì)造成網(wǎng)絡(luò)中傳輸了大量無(wú)用的廣播信息，浪費(fèi)網(wǎng)絡(luò)帶寬，造成擁塞，影響網(wǎng)絡(luò)效率。規(guī)模越大的網(wǎng)絡(luò)，后果會(huì)越嚴(yán)重。設(shè)計(jì)的局域網(wǎng)網(wǎng)絡(luò)交換設(shè)備應(yīng)支持以下協(xié)議和功能： IGMP；流量?jī)?yōu)化機(jī)制(CGMP或 IGMP snooping)；Protocol Independent Multicast

11、 (PIM)等(針對(duì)第三層交換機(jī)或路由器)。四、網(wǎng)絡(luò)系統(tǒng)主要任務(wù)（1）建成穩(wěn)定可靠、高速快捷的局域網(wǎng)。（2）整個(gè)網(wǎng)絡(luò)可按行政分布、應(yīng)用需求安全形成子網(wǎng)。（3）與公用網(wǎng)的互連，寬帶接入國(guó)際互聯(lián)網(wǎng)。（外網(wǎng)）（4）與民航總局ATM專網(wǎng)互聯(lián)。（內(nèi)網(wǎng)）（5）與本地公安專網(wǎng)互聯(lián)。（公安專網(wǎng)）（6）互聯(lián)網(wǎng)接口處有防火墻和入侵檢測(cè)功能。（7）能夠通過VPN接入提供移動(dòng)辦公。（外網(wǎng)）（8）建立安全分區(qū)，按照應(yīng)用需求設(shè)立區(qū)間過濾規(guī)則。（9）建立域結(jié)構(gòu)體制，實(shí)施域策略機(jī)制。（10）全面實(shí)施網(wǎng)絡(luò)管理，對(duì)服務(wù)器、交換機(jī)等實(shí)施實(shí)事監(jiān)控。五、系統(tǒng)網(wǎng)絡(luò)建設(shè)基本要求計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)是一個(gè)面向本系統(tǒng)提供信息管理及辦公自動(dòng)化服務(wù)

12、的網(wǎng)絡(luò)系統(tǒng)，能有效地與國(guó)內(nèi)公用網(wǎng)、相關(guān)專用網(wǎng)、國(guó)際互聯(lián)網(wǎng)互連。網(wǎng)絡(luò)主干采用千兆速率，百兆交換到桌面。因此，建網(wǎng)設(shè)計(jì)時(shí)應(yīng)充分考慮到：保證網(wǎng)絡(luò)的可靠性、安全性，以適應(yīng)網(wǎng)絡(luò)應(yīng)用的實(shí)時(shí)效應(yīng)、數(shù)據(jù)安全和應(yīng)急備份的要求。實(shí)現(xiàn)網(wǎng)絡(luò)的互連性、開放性，采用國(guó)際標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議和國(guó)際通用技術(shù)設(shè)備。體現(xiàn)網(wǎng)絡(luò)的先進(jìn)性，在滿足較佳的性能價(jià)格比的前提下，力求采用當(dāng)前國(guó)際先進(jìn)而又成熟的技術(shù)和設(shè)備。網(wǎng)絡(luò)的總體結(jié)構(gòu)要先進(jìn)，支持WWW瀏覽器、QOS、客戶服務(wù)器及分布式數(shù)據(jù)庫(kù)計(jì)算方式。考慮網(wǎng)絡(luò)的可擴(kuò)展性，以適應(yīng)網(wǎng)絡(luò)功能擴(kuò)充、新技術(shù)應(yīng)用和網(wǎng)絡(luò)系統(tǒng)的升級(jí)。網(wǎng)絡(luò)具備支持TCPIP等多種協(xié)議的能力。六、網(wǎng)絡(luò)總體規(guī)劃辦公區(qū)計(jì)算機(jī)信息網(wǎng)絡(luò)（包括內(nèi)

13、、外和專網(wǎng)）的拓?fù)浣Y(jié)構(gòu)采用星型結(jié)構(gòu)的以太網(wǎng)，計(jì)算機(jī)網(wǎng)絡(luò)中心設(shè)立在1號(hào)樓，整個(gè)網(wǎng)絡(luò)支持VLAN管理，千兆到樓宇，百兆到桌面。子網(wǎng)與子網(wǎng)之間的安全互連考慮與相關(guān)業(yè)務(wù)的往來(lái)，辦公區(qū)內(nèi)網(wǎng)應(yīng)為智能化管理設(shè)立獨(dú)立的通信子網(wǎng)；建立BAS數(shù)據(jù)通信子網(wǎng)。建立消防廣播、背景音樂數(shù)據(jù)通信子網(wǎng)。建立視頻監(jiān)控?cái)?shù)據(jù)通信子網(wǎng)。建立門禁系統(tǒng)、停車場(chǎng)系統(tǒng)管理數(shù)據(jù)通信子網(wǎng)。周界防范通信子網(wǎng)。住宅小區(qū)網(wǎng)絡(luò)為智能化管理設(shè)立獨(dú)立的通信子網(wǎng)；建立BAS數(shù)據(jù)通信子網(wǎng)。建立消防廣播、背景音樂數(shù)據(jù)通信子網(wǎng)。建立視頻監(jiān)控?cái)?shù)據(jù)通信子網(wǎng)。周界防范通信子網(wǎng)。6、1辦公區(qū)外網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)從圖上可以看到，辦公區(qū)外網(wǎng)拓?fù)浣Y(jié)構(gòu)采用星型結(jié)構(gòu)的以太網(wǎng)，網(wǎng)絡(luò)從應(yīng)用層面

14、上分為核心層，匯聚層和接入層，辦公區(qū)外網(wǎng)獨(dú)立布線，與辦公區(qū)內(nèi)網(wǎng)物理隔離。其中，核心層設(shè)備設(shè)立在1號(hào)樓網(wǎng)絡(luò)中心，匯聚層分布在1，2，3，4，5號(hào)樓接點(diǎn)機(jī)房，接入層分布在1，2，3，4，5號(hào)樓各個(gè)樓層。核心層和匯聚層設(shè)備之間通過千兆光纖連接，匯聚層同接入層之間通過千兆雙絞線連接。在辦公區(qū)外網(wǎng)1號(hào)樓網(wǎng)絡(luò)中心中配置了兩臺(tái)cisco6509核心交換機(jī)，兩臺(tái)兩臺(tái)cisco6509核心交換機(jī)之間做雙機(jī)冗余，在辦公區(qū)外網(wǎng)1，2，3號(hào)樓接點(diǎn)機(jī)房各配置了兩臺(tái)cisco3560G匯聚交換機(jī)，每?jī)膳_(tái)cisco3560G匯聚交換機(jī)之間做雙機(jī)冗余，在辦公區(qū)外網(wǎng)4，5號(hào)樓接點(diǎn)機(jī)房各配置一臺(tái)cisco3560G匯聚交換機(jī)做樓

15、層接入交換機(jī)的匯聚。在辦公區(qū)外網(wǎng)1，2，3號(hào)樓接入層交換機(jī)采用cisco2960接入交換機(jī)，4、5號(hào)樓接入層交換機(jī)采用相應(yīng)搬遷網(wǎng)絡(luò)設(shè)備。接入層交換機(jī)實(shí)現(xiàn)百兆到用戶桌面。6、2 辦公區(qū)外網(wǎng)信息點(diǎn)辦公區(qū)外網(wǎng)網(wǎng)絡(luò)信息點(diǎn)如下表所示：樓號(hào)層號(hào)外網(wǎng)口數(shù)11222513311號(hào)樓合計(jì)：104201611622833842號(hào)樓合計(jì)：34531242393號(hào)樓合計(jì)：6341172764號(hào)樓合計(jì)：935091385號(hào)樓合計(jì)：47共計(jì)：6436、3辦公區(qū)內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)從圖上可以看到，辦公區(qū)內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)同樣采用星型結(jié)構(gòu)的以太網(wǎng)，網(wǎng)絡(luò)從應(yīng)用層面上分為核心層，匯聚層和接入層。辦公區(qū)內(nèi)網(wǎng)獨(dú)立布線，與辦公區(qū)外網(wǎng)物理隔離。其中，

16、核心層設(shè)備設(shè)立在1號(hào)樓網(wǎng)絡(luò)中心，匯聚層分布在1，2，3，4，5號(hào)樓接點(diǎn)機(jī)房，接入層分布在1，2，3，4，5號(hào)樓各個(gè)樓層。核心層和匯聚層設(shè)備之間通過千兆光纖連接，匯聚層同接入層之間通過千兆雙絞線連接。在辦公區(qū)內(nèi)網(wǎng)1號(hào)樓網(wǎng)絡(luò)中心中配置了兩臺(tái)cisco4506核心交換機(jī)，兩臺(tái)兩臺(tái)cisco4506核心交換機(jī)之間做雙機(jī)冗余，在辦公區(qū)內(nèi)網(wǎng)1，2，3號(hào)樓接點(diǎn)機(jī)房各配置了兩臺(tái)cisco3560G匯聚交換機(jī)，每?jī)膳_(tái)cisco3560G匯聚交換機(jī)之間做雙機(jī)冗余，在辦公區(qū)內(nèi)網(wǎng)4，5號(hào)樓接點(diǎn)機(jī)房各配置一臺(tái)cisco3560G匯聚交換機(jī)做樓層接入交換機(jī)的匯聚。在辦公區(qū)內(nèi)網(wǎng)1，2，3號(hào)樓接入層交換機(jī)采用cisco296

17、0接入交換機(jī)，4、5號(hào)樓接入層交換機(jī)采用相應(yīng)搬遷網(wǎng)絡(luò)設(shè)備。接入層交換機(jī)實(shí)現(xiàn)百兆到用戶桌面。6、4辦公區(qū)內(nèi)網(wǎng)信息點(diǎn)辦公區(qū)內(nèi)網(wǎng)網(wǎng)絡(luò)信息點(diǎn)如下表所示：樓號(hào)層號(hào)內(nèi)網(wǎng)口數(shù)11 182 473 271號(hào)樓合計(jì)：9220 1 1582 793 802號(hào)樓合計(jì)：31731 222 373號(hào)樓合計(jì)：5941 42 4號(hào)樓合計(jì)：450 11 85號(hào)樓合計(jì)：9共計(jì)：480七、網(wǎng)絡(luò)邏輯設(shè)計(jì)7、1 IP地址規(guī)劃的范圍西南民航地區(qū)管理局IP網(wǎng)全網(wǎng)的網(wǎng)絡(luò)設(shè)備IP地址分配、鏈路IP地址分配、用戶主機(jī)的IP地址分配、預(yù)留地址空間等（需要根據(jù)工程實(shí)施前的網(wǎng)絡(luò)調(diào)研來(lái)進(jìn)行具體確定）。7、2 IP地址規(guī)劃的原則IP地址規(guī)劃遵循以下原則

18、：IP地址的規(guī)劃與劃分應(yīng)該考慮到未來(lái)業(yè)務(wù)的飛速發(fā)展，能夠滿足未來(lái)發(fā)展的需要，充分考慮未來(lái)業(yè)務(wù)發(fā)展，預(yù)留相應(yīng)的地址段，制定較為寬松的IP地址使用空間，申請(qǐng)較多的IP地址來(lái)適應(yīng)網(wǎng)絡(luò)發(fā)展的需要。IP地址的分配需要有足夠的靈活性，能夠滿足各種網(wǎng)絡(luò)接入的需要；地址分配是由業(yè)務(wù)驅(qū)動(dòng)，按照先業(yè)務(wù)后區(qū)域的矩陣方式分配地址段；IP地址的分配必須采用VLSM技術(shù)，保證IP地址的利用效率；采用CIDR技術(shù)，這樣可以減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大??；7、3 IP地址分配建議我們建議網(wǎng)絡(luò)設(shè)備IP地址，鏈路IP地址，用戶主機(jī)IP地址分為連續(xù)的三塊地址段，每塊地址段按2

19、0的預(yù)留地址空間進(jìn)行IP段預(yù)留。對(duì)辦公網(wǎng)外網(wǎng)，內(nèi)網(wǎng)以及小區(qū)網(wǎng)絡(luò)而言，我們建議網(wǎng)絡(luò)設(shè)備IP地址，鏈路IP地址，用戶主機(jī)IP地址盡量采用私有IP地址，以節(jié)約相應(yīng)的公網(wǎng)IP地址資源，僅僅在對(duì)外互連的部分，保留原有的IP地址的分配?？紤]到手工IP地址管理的復(fù)雜性，我們建議在用戶主機(jī)IP分配的時(shí)候，在可能的情況下，盡量對(duì)用戶主機(jī)IP地址進(jìn)行DHCP自動(dòng)非配，以緩解網(wǎng)絡(luò)管理的工作壓力。7、4具體IP地址分配l 網(wǎng)絡(luò)設(shè)備IP地址網(wǎng)絡(luò)設(shè)備的Loopback地址，是保證OSPF內(nèi)部路由協(xié)議的正常運(yùn)行的重要條件。各網(wǎng)絡(luò)設(shè)備的Loopback地址，對(duì)于整個(gè)網(wǎng)絡(luò)的正常運(yùn)行，有著至關(guān)重要的作用，因而對(duì)于各個(gè)網(wǎng)絡(luò)設(shè)備的L

20、oopback的分配和管理，應(yīng)當(dāng)采取統(tǒng)一的專有地址空間。通過為所有的網(wǎng)絡(luò)設(shè)備分配一個(gè)專有的地址空間，能夠更為有效地進(jìn)行路由器的路由配置和管理，以及方便今后的故障的診斷和排除。所有網(wǎng)絡(luò)設(shè)備全部使用靜態(tài)公網(wǎng)地址（Lookback管理地址）；l 鏈路IP地址網(wǎng)絡(luò)設(shè)備間鏈路的IP地址，從業(yè)務(wù)的相關(guān)性上，他們一般不具有全局的功能，而只是提供完成兩個(gè)網(wǎng)絡(luò)之間的連接。因而從這個(gè)角度上講，這部分的地址空間的分配應(yīng)當(dāng)考慮以下的方面：盡可能以分層次的方式為他們分配地址。由于鏈路地址空間不具有全局性，因而并不需要在全網(wǎng)范圍內(nèi)為每個(gè)鏈路保持精確路由。而采取分層次的地址分配方式，能夠?qū)㈡溌返刂分鸺?jí)匯總，從而使得這些地址

21、在各路由器的路由表中占有較少的空間。以降低對(duì)路由器的要求，并保證網(wǎng)絡(luò)設(shè)備的處理效率。提供足夠的預(yù)留空間，以滿足今后新增鏈路的需要。采用上面的分層次的鏈路地址分配結(jié)構(gòu)，能夠保證路由處理的高效性。而在實(shí)施的過程中，應(yīng)當(dāng)考慮到在根據(jù)業(yè)務(wù)需要新增鏈路的時(shí)候，這種分層次的結(jié)構(gòu)盡量不會(huì)被打破。那么，就需要在初期分配的時(shí)候，考慮到不遠(yuǎn)的將來(lái)可能進(jìn)行的擴(kuò)容，從而進(jìn)行相應(yīng)的預(yù)留。所有網(wǎng)絡(luò)鏈路（設(shè)備接口）地址全部使用靜態(tài)公網(wǎng)地址（互聯(lián)地址）；l 用戶主機(jī)IP地址用戶主機(jī)的IP地址建議在可能的情況下采用DHCP方式進(jìn)行地址的分配；我們建議按下表進(jìn)行相應(yīng)的地址分配，需要注意這僅僅是我們的建議，具體IP地址分配需要在項(xiàng)

22、目實(shí)施調(diào)研開始后進(jìn)行更正。地址分類對(duì)應(yīng)網(wǎng)段子網(wǎng)掩碼備注網(wǎng)絡(luò)設(shè)備IP地址辦公內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)備loopback地址鏈路IP地址辦公內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)備互連地址服務(wù)器IP地址辦公內(nèi)網(wǎng)服務(wù)IP地址用戶主機(jī)IP地址辦公內(nèi)網(wǎng)主機(jī)IP地址網(wǎng)絡(luò)設(shè)備IP地址辦公外網(wǎng)網(wǎng)絡(luò)設(shè)備loopback地址鏈路IP地址辦公外網(wǎng)網(wǎng)絡(luò)設(shè)備互連地址服務(wù)器IP地址255.255.2

23、48.0辦公外網(wǎng)服務(wù)IP地址用戶主機(jī)IP地址辦公外網(wǎng)主機(jī)IP地址7、5 VLAN 規(guī)劃Vlan編號(hào)用途備注1網(wǎng)絡(luò)設(shè)備管理內(nèi)外網(wǎng)均用此號(hào)100服務(wù)器vlan內(nèi)外網(wǎng)均用此號(hào)105-125用戶vlan內(nèi)外網(wǎng)均用此號(hào)125-130預(yù)留vlan內(nèi)外網(wǎng)均用此號(hào)7、6 網(wǎng)絡(luò)設(shè)備命名規(guī)則網(wǎng)絡(luò)設(shè)備的命名對(duì)于遠(yuǎn)程操作而言非常重要，好的命名不但可以識(shí)別設(shè)備，還能知道相應(yīng)的設(shè)備型號(hào)和地址，我們建議按以下原則進(jìn)行網(wǎng)絡(luò)設(shè)備的命名設(shè)備地址_設(shè)備型號(hào)_設(shè)備編號(hào)設(shè)備地址：設(shè)備地址必須能夠清楚標(biāo)明地址，具體為OAOUTSIDE (辦公外網(wǎng))，OAINSIDE(辦公內(nèi)網(wǎng))，GAZW（公安專

24、網(wǎng)）和XQWL(小區(qū)網(wǎng)絡(luò))。設(shè)備型號(hào)：設(shè)備型號(hào)應(yīng)當(dāng)具體標(biāo)明設(shè)備類型和具體型號(hào)，具體為S6509,S4507，S3560,S2960等。設(shè)備編號(hào)作為全網(wǎng)所有網(wǎng)絡(luò)設(shè)備的數(shù)量的一個(gè)計(jì)數(shù)，我們一般建議全網(wǎng)的計(jì)數(shù)編號(hào)應(yīng)當(dāng)統(tǒng)一。7、7 設(shè)備密碼編碼規(guī)則網(wǎng)絡(luò)設(shè)備密碼編碼如果有規(guī)律可尋，雖然對(duì)管理人員來(lái)講容易記憶且方便運(yùn)維，但是這從而也增加了網(wǎng)絡(luò)安全漏洞。如果設(shè)置的密碼有規(guī)律，就有可能被別人猜出密碼。為了安全起見，不建議采用有規(guī)則的密碼方式，這樣對(duì)網(wǎng)絡(luò)安全有幫助。為此我們建議：不要在密碼中使用您能夠認(rèn)識(shí)的常用單詞例如像是您的名字或家庭成員的名字。請(qǐng)使用大小寫字母混合的密碼。它可以有效地讓您的密碼變得比現(xiàn)在更穩(wěn)

25、當(dāng)，因?yàn)槟?52 個(gè)字母可以選擇。您不用擔(dān)心文法。使用最少含有 6 個(gè)字符的密碼，并依據(jù)本清單上其它的建議，由字母和符號(hào)加以組成。 在每個(gè)網(wǎng)絡(luò)設(shè)備使用不同的密碼。定期修改密碼。八、路由規(guī)劃8、1 路由協(xié)議選擇當(dāng)跨網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸前，傳送方需要“知道”數(shù)據(jù)發(fā)送的路徑或方向，這通過路由來(lái)完成。路由包括兩個(gè)基本的活動(dòng)：決定路由路徑和通過網(wǎng)絡(luò)傳送數(shù)據(jù)。后一活動(dòng)通常是指封包交換，相對(duì)比較簡(jiǎn)單明晰，而且對(duì)于大多數(shù)路由協(xié)議來(lái)說(shuō)基本相同，相反決定路由路徑要復(fù)雜得多。靜態(tài)路由選擇的路由表映射（由源到目的地或?qū)?yīng)網(wǎng)關(guān)路徑）由系統(tǒng)管理員在路由器或計(jì)算機(jī)開始工作前設(shè)定。除非網(wǎng)絡(luò)管理員加以重新配置，否則他們將無(wú)法自動(dòng)

26、改變。由于靜態(tài)路由簡(jiǎn)單和易于實(shí)現(xiàn)的，所以對(duì)于小型的、數(shù)據(jù)傳輸可以預(yù)見的網(wǎng)絡(luò)是一個(gè)好的選擇。由于靜態(tài)路由不能對(duì)網(wǎng)絡(luò)的變化做出相應(yīng)的改變，所以它們不能適用于今天的大型、一直處于變化中的網(wǎng)絡(luò)，在這些系統(tǒng)中所采用的將是動(dòng)態(tài)路由。動(dòng)態(tài)路由選擇采用動(dòng)態(tài)路由算法，它由路由器或計(jì)算機(jī)根據(jù)所收到的路由更新信息，自動(dòng)地通過實(shí)時(shí)的調(diào)整來(lái)改變網(wǎng)絡(luò)上數(shù)據(jù)的傳輸路線。如果網(wǎng)絡(luò)的鏈路情況發(fā)生了改變，相連的設(shè)備上的路由軟件將重新計(jì)算路由，并把該信息作為新的路由更新信息發(fā)送出去。這些路由更新信息將到達(dá)網(wǎng)絡(luò)的每個(gè)角落，從而使相關(guān)的路由器重新計(jì)算路由，并對(duì)它們的路由表進(jìn)行更新。動(dòng)態(tài)路由算法可以作為靜態(tài)路由算法的適當(dāng)?shù)难a(bǔ)充。即在計(jì)算

27、機(jī)上采用靜態(tài)路由，指明到達(dá)相應(yīng)目的地的網(wǎng)關(guān)（路由器），而在網(wǎng)關(guān)（路由器）之間采用動(dòng)態(tài)路由。這樣做的好處是可以避免把計(jì)算機(jī)資源用于對(duì)動(dòng)態(tài)路由的計(jì)算，而該計(jì)算由“善于此道”的路由器來(lái)完成。8、2 路由協(xié)議介紹動(dòng)態(tài)路由原理動(dòng)態(tài)路由選擇協(xié)議通過大量的控制消息傳輸來(lái)維護(hù)它們路由表，路由刷新信息是其中的重要控制消息。路由刷新信息通常可以構(gòu)造出部分或全部的路由表，通過分析來(lái)自所有路由器的刷新消息，路由表可以構(gòu)造出非常詳細(xì)的完整網(wǎng)絡(luò)拓?fù)潢P(guān)系。鏈路狀態(tài)廣播是另外一種重要的控制消息，鏈路狀態(tài)廣播通知其它的路由器有關(guān)發(fā)送者的鏈路狀態(tài)，可以被路由器用來(lái)構(gòu)造網(wǎng)絡(luò)拓?fù)潢P(guān)系。一旦網(wǎng)絡(luò)拓?fù)潢P(guān)系清楚明朗了之后，動(dòng)態(tài)路由協(xié)議就能

28、計(jì)算出通向目的地的最佳路由。動(dòng)態(tài)路由選擇算法通常滿足下面列舉的一個(gè)或多個(gè)要求：最佳性：指路由選擇算法具有選擇最佳路由的能力簡(jiǎn)易性及低開銷：路由選擇算法必須使用最少的軟件和最低的開銷來(lái)高效地實(shí)現(xiàn)其功能。強(qiáng)壯性及穩(wěn)定性：路由選擇算法必須是強(qiáng)壯的，也就是說(shuō)，它們?cè)诋惓：头穷A(yù)期的情況下也能正常地工作，如硬件故障、負(fù)載過高和操作失誤等。迅速收斂性：動(dòng)態(tài)路由選擇算法必須能夠迅速收斂（收斂是所有路由器在最佳路徑上取得一致的過程）。動(dòng)態(tài)路由選擇算法收斂過程緩慢可能導(dǎo)致路由選擇循環(huán)或網(wǎng)絡(luò)出現(xiàn)故障。靈活性：指能夠迅速準(zhǔn)確地適應(yīng)不同的網(wǎng)絡(luò)環(huán)境。能適應(yīng)網(wǎng)絡(luò)的連通情況、網(wǎng)絡(luò)帶寬、路由器隊(duì)列大小、網(wǎng)絡(luò)延遲以及其它參數(shù)的改

29、變。常見的動(dòng)態(tài)路由協(xié)議目前常見的動(dòng)態(tài)路由協(xié)議主要有以下幾種：路由信息協(xié)議（RIP）RIP是一個(gè)標(biāo)準(zhǔn)化的內(nèi)部網(wǎng)關(guān)協(xié)議，也是最早廣泛使用的動(dòng)態(tài)路由選擇協(xié)議。它采用距離向量來(lái)決定路由，RIP的不同版本可以支持除IP協(xié)議以外的其他路由傳輸協(xié)議（如IPX、AppleTalk等）。由于RIP采用周期性的廣播整個(gè)路由表的方式來(lái)實(shí)現(xiàn)路由的更新和發(fā)現(xiàn)，所以它對(duì)通訊資源的占用較大。RIP協(xié)議規(guī)定最大的節(jié)點(diǎn)計(jì)數(shù)為15個(gè)，任何經(jīng)過多于15個(gè)中間節(jié)點(diǎn)才能到達(dá)的目標(biāo)都被認(rèn)為是不可到達(dá)的；RIP不支持層次結(jié)構(gòu)。盡管RIP有著眾多的缺點(diǎn)，但由于它實(shí)現(xiàn)簡(jiǎn)單，并且是可以在UNIX主機(jī)上實(shí)現(xiàn)的動(dòng)態(tài)路由選擇協(xié)議，所以在小型的局域網(wǎng)系

30、統(tǒng)中還是大量采用。開放最短路徑優(yōu)先協(xié)議（OSPF）OSPF也是一個(gè)標(biāo)準(zhǔn)化的協(xié)議，它只支持TCP/IP協(xié)議。OSPF是一種使用鏈路狀態(tài)算法的路由選擇協(xié)議，因此它要求將鏈路狀態(tài)廣告（LSA）發(fā)送給位于同一層次區(qū)域內(nèi)的所有其它路由器。隨著OSPF路由器逐漸地積累鏈路狀態(tài)信息，它們就可以采用SPF算法來(lái)計(jì)算通向每一個(gè)節(jié)點(diǎn)的最短路徑。每臺(tái)OSPF路由器都周期性地發(fā)送一次鏈路狀態(tài)宣告（LSA）信息，當(dāng)路由器的狀態(tài)發(fā)生改變時(shí)也可以發(fā)送LSA信息。通過對(duì)比已建立的鏈路狀態(tài)的鄰接關(guān)系，出現(xiàn)故障的路由器很容易就能被快速地檢測(cè)出來(lái)，因而網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)就能立即做出恰當(dāng)?shù)淖兓?。每臺(tái)OSPF路由器都有自己獨(dú)立的、通過LS

31、A信息構(gòu)造的拓?fù)浣Y(jié)構(gòu)數(shù)據(jù)庫(kù)，所以每臺(tái)路由器都可以獨(dú)立地計(jì)算出一棵最短路徑樹，最短路徑樹的樹根就是路由器本身。進(jìn)一步，最短路徑樹就構(gòu)造成了OSPF路由選擇表。OSPF是一種支持層次結(jié)構(gòu)的路由選擇協(xié)議。層次中的最大實(shí)體是自治系統(tǒng)（AS）。自治系統(tǒng)能夠被劃分成若干個(gè)區(qū)域，每一個(gè)區(qū)域是由一組互相連接的網(wǎng)絡(luò)和與網(wǎng)絡(luò)直接相連的主機(jī)組成。具有多個(gè)接口的路由器可以同時(shí)屬于多個(gè)區(qū)域，這些路由器被命名為區(qū)域邊界路由器，它們?yōu)槊恳粋€(gè)區(qū)域保存單獨(dú)的拓?fù)浣Y(jié)構(gòu)數(shù)據(jù)庫(kù)。將自治系統(tǒng)劃分成一個(gè)個(gè)的區(qū)域的好處是： OSPF會(huì)花較少的網(wǎng)絡(luò)資源用于路由選擇信息的傳輸，從而在一定程度上提高了網(wǎng)絡(luò)的性能。在OSPF中有兩種類型的區(qū)域存在

32、：骨干區(qū)域和非骨干區(qū)域，它們也構(gòu)成了OSPF的兩個(gè)層次。非骨干區(qū)域間的數(shù)據(jù)傳輸要經(jīng)由骨干區(qū)域來(lái)完成。在一個(gè)OSPF自治系統(tǒng)系統(tǒng)中，只允許有一個(gè)骨干區(qū)域，非骨干區(qū)域可以有好多個(gè)。OSPF屬于自治系統(tǒng)內(nèi)部（內(nèi)部網(wǎng)關(guān)）路由選擇協(xié)議，盡管OSPF能接收來(lái)自其它自治系統(tǒng)的路由信息，同時(shí)能向其它自治系統(tǒng)發(fā)送路由信息。運(yùn)行OSPF的自治系統(tǒng)邊界路由器可以通過外部網(wǎng)關(guān)協(xié)議簇或配置信息來(lái)學(xué)習(xí)自治系統(tǒng)外部的路由信息，這些協(xié)議包括外部網(wǎng)關(guān)協(xié)議（EGP）和邊界網(wǎng)關(guān)協(xié)議（BGP）等。OSPF協(xié)議還支持可變長(zhǎng)的子網(wǎng)掩碼。通過使用可變長(zhǎng)的子網(wǎng)掩碼，一個(gè)IP網(wǎng)絡(luò)能夠被劃分成若干大小不等的子網(wǎng)，這樣為網(wǎng)絡(luò)管理人員對(duì)網(wǎng)絡(luò)進(jìn)行配置

33、提供了更大的靈活性，同時(shí)也可以在區(qū)域邊界路由器上實(shí)現(xiàn)對(duì)路由信息的合并。增強(qiáng)型內(nèi)部網(wǎng)關(guān)路由協(xié)議（EIGRP）EIGRP是IGRP協(xié)議的增強(qiáng)版本，也是有CISCO公司獨(dú)立開發(fā)的路由選擇協(xié)議。EIGRP協(xié)議版本組合了鏈路狀態(tài)路由選擇協(xié)議和距離向量路由選擇協(xié)議的長(zhǎng)處，同時(shí)還綜合SRI公司開發(fā)的分散刷新算法（DUAL）的許多新特點(diǎn)。EIGRP協(xié)議主要包括了如下一些新的特征：快速收斂運(yùn)行EIGRP協(xié)議的路由器存儲(chǔ)所有相鄰路由器的路由選擇表，這樣能夠快速地適應(yīng)路由的變化?？勺冮L(zhǎng)子網(wǎng)掩碼EIGRP協(xié)議對(duì)可變長(zhǎng)子網(wǎng)掩碼提供全面的支持，根據(jù)網(wǎng)絡(luò)號(hào)邊界可以自動(dòng)地總結(jié)子網(wǎng)路由，而且EIGRP協(xié)議可以根據(jù)任意二進(jìn)制位邊

34、界總結(jié)局部路由。部分界定刷新EIGRP協(xié)議不提供周期性的路由刷新消息功能，只有那些需要新信息的路由器才被刷新；所以EIGRP協(xié)議于IGRP相比明顯地節(jié)約了網(wǎng)絡(luò)帶寬。多網(wǎng)絡(luò)傳輸協(xié)議支持EIGRP協(xié)議支持的網(wǎng)絡(luò)傳輸協(xié)議包括AppleTalk、IP和NetWare IPX等協(xié)議。EIGRP協(xié)議是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議。運(yùn)行EIGRP協(xié)議的直接相連的網(wǎng)絡(luò)可以認(rèn)為是一個(gè)內(nèi)部路由系統(tǒng)，路由信息可以通過EIGRP協(xié)議自主系統(tǒng)傳播。EIGRP也可學(xué)習(xí)到外部路由，這些路由被單個(gè)地標(biāo)上了與它們有關(guān)的原協(xié)議信息。EIGRP協(xié)議本身不是一個(gè)層次結(jié)構(gòu)的路由選擇協(xié)議，但由于EIGRP支持在人以一個(gè)節(jié)點(diǎn)上的地址合并，所以可以使用

35、EIGRP來(lái)構(gòu)成層次結(jié)構(gòu)。邊界網(wǎng)關(guān)協(xié)議（BGP）與以上四種路由選擇協(xié)議不同的是，上述協(xié)議都是內(nèi)部網(wǎng)關(guān)協(xié)議，而BGP是一個(gè)外部網(wǎng)關(guān)協(xié)議。BGP針對(duì)克服早期的外部網(wǎng)關(guān)協(xié)議（EGP）的問題而開發(fā)的，它是滿足不同自治系統(tǒng)間路由選擇的協(xié)議。與其他路由選擇協(xié)議不同的是：BGP不需要對(duì)路由表進(jìn)行定期的更新。動(dòng)態(tài)路由協(xié)議的選用動(dòng)態(tài)路由協(xié)議的選定需要根據(jù)用戶的具體要求和實(shí)際情況選定。一般需要考慮以下因素來(lái)選定動(dòng)態(tài)路由協(xié)議：（1）適用于大規(guī)模網(wǎng)絡(luò)（2）符合用戶的管理模式和應(yīng)用系統(tǒng)的數(shù)據(jù)流向（3）一個(gè)開放性的協(xié)議隨著現(xiàn)代計(jì)算機(jī)系統(tǒng)的不斷擴(kuò)大，對(duì)不同環(huán)境、不同廠商產(chǎn)品間實(shí)現(xiàn)互連的要求越來(lái)越高，開放性已經(jīng)成為衡量一個(gè)產(chǎn)

36、品的重要依據(jù)。這里的開放性包含了標(biāo)準(zhǔn)的制定、與其他同類產(chǎn)品的接口等因素在內(nèi)。（4）安全性和可靠性路由選擇協(xié)議的安全性和可靠性是整個(gè)計(jì)算機(jī)系統(tǒng)安全性和可靠性的一個(gè)重要環(huán)節(jié)；尤其是對(duì)于民航西南地區(qū)管理局網(wǎng)絡(luò)系統(tǒng)這樣需要常年實(shí)時(shí)運(yùn)作的系統(tǒng)，更是來(lái)不得半點(diǎn)差錯(cuò)。所選擇的路由選擇協(xié)議必須是可靠的和有一定的安全保障的。（5）可以滿足系統(tǒng)未來(lái)發(fā)展的要求隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展和計(jì)算機(jī)應(yīng)用的不斷深入，可以預(yù)見，民航西南地區(qū)管理局網(wǎng)絡(luò)系統(tǒng)是一個(gè)不斷發(fā)展和擴(kuò)充的系統(tǒng)。所以在路由選擇協(xié)議的選定和結(jié)構(gòu)設(shè)計(jì)階段就要考慮未來(lái)系統(tǒng)擴(kuò)展的需要，留下系統(tǒng)擴(kuò)展的充分余地。8、3 路由設(shè)計(jì)根據(jù)前面對(duì)各種動(dòng)態(tài)路由協(xié)議的分析比較，可以

37、看出由于RIP協(xié)議自身的局限性，使它不適合作為層次比較多的大型網(wǎng)絡(luò)的骨干路由協(xié)議。OSPF和EIGRP是兩種比較好的動(dòng)態(tài)路由協(xié)議，它們具有快速的路由收斂速度，在性能上各有特點(diǎn)和長(zhǎng)處，而且目前國(guó)內(nèi)有許多采用上述兩個(gè)協(xié)議建立的大型網(wǎng)絡(luò)運(yùn)行，有很多的經(jīng)驗(yàn)可以參考，應(yīng)該講這兩個(gè)協(xié)議都可以滿足網(wǎng)絡(luò)的需求。但是EIGRP是CISCO專有的路由協(xié)議，因此考慮到系統(tǒng)未來(lái)的擴(kuò)展和與其他網(wǎng)絡(luò)系統(tǒng)連接的問題，所以我們推薦以O(shè)SPF作為民航西南地區(qū)管理局的路由選擇協(xié)議。我們建議的OSPF參數(shù)如下表所示，具體的參數(shù)需要在網(wǎng)絡(luò)實(shí)施時(shí)確定。OSPF進(jìn)程號(hào)OSPF區(qū)域?qū)?yīng)設(shè)備1000辦公內(nèi)網(wǎng)核心交換機(jī)1000辦公內(nèi)網(wǎng)匯聚交換

38、機(jī)1000辦公外網(wǎng)核心交換機(jī)1000辦公外網(wǎng)匯聚交換機(jī)九、網(wǎng)絡(luò)可靠性設(shè)計(jì)9、1設(shè)備的可靠性對(duì)辦公網(wǎng)外網(wǎng)cisco6509核心交換機(jī)而言，今后可以在需要時(shí)通過增加一個(gè)引擎模板實(shí)現(xiàn)1+1引擎冗余，每個(gè)引擎都可以提供100%處理能力。交換引擎之間通過Stateful Switch Over和No Stop Forwarding技術(shù)進(jìn)行切換的時(shí)間<=5秒，完全不影響應(yīng)用程序的運(yùn)行。同時(shí)，辦公網(wǎng)外網(wǎng)cisco6509核心交換機(jī)采用冗余電源、散熱風(fēng)扇等配置，也進(jìn)一步保證了核心交換機(jī)不會(huì)因?yàn)殡娫椿蝻L(fēng)扇故障而產(chǎn)生宕機(jī)。辦公網(wǎng)外網(wǎng)cisco6509核心交換機(jī)電源、風(fēng)扇、引擎、線路板模塊、交換背板在內(nèi)的所有

39、系統(tǒng)單元都可熱插拔，如元件增加、轉(zhuǎn)移或替換，而不會(huì)導(dǎo)致相關(guān)業(yè)務(wù)中斷。對(duì)辦公網(wǎng)內(nèi)網(wǎng)cisco4507R核心交換機(jī)而言，對(duì)辦公網(wǎng)外網(wǎng)cisco6509核心交換機(jī)而言，今后可以在需要時(shí)通過增加一個(gè)引擎模板實(shí)現(xiàn)1+1引擎冗余，每個(gè)引擎都可以提供100%處理能力。交換引擎之間通過Stateful Switch Over和No Stop Forwarding技術(shù)進(jìn)行切換的時(shí)間<=5秒，完全不影響應(yīng)用程序的運(yùn)行。同時(shí)，辦公網(wǎng)內(nèi)網(wǎng)cisco4507R核心交換機(jī)也同樣采用用冗余電源的配置，保證了辦公網(wǎng)內(nèi)網(wǎng)cisco4507R核心交換機(jī)不會(huì)因?yàn)殡娫垂收隙a(chǎn)生宕機(jī)。9、2網(wǎng)絡(luò)結(jié)構(gòu)的可靠性從上圖我們可以看到，無(wú)

40、論是辦公網(wǎng)內(nèi)網(wǎng)還是外網(wǎng)，核心層，匯聚層和接入層在網(wǎng)絡(luò)結(jié)構(gòu)上都采用雙鏈路上聯(lián)的方式來(lái)實(shí)現(xiàn)全網(wǎng)的鏈路冗余，這樣的好處是無(wú)論上一層的設(shè)備出現(xiàn)何種故障，都不會(huì)影響下一層設(shè)備的上聯(lián)鏈路的中斷。具體實(shí)現(xiàn)方法如下在接入層到到匯聚層的鏈路為二層鏈路，其物理鏈路的冗余主要依靠生成樹協(xié)議實(shí)現(xiàn)。在第二層網(wǎng)絡(luò)中，路由協(xié)議不可用，生成樹協(xié)議通過從網(wǎng)格化物理拓?fù)浣Y(jié)構(gòu)而構(gòu)建一個(gè)無(wú)環(huán)路邏輯轉(zhuǎn)發(fā)拓?fù)浣Y(jié)構(gòu)，提供了冗余連接，消除了數(shù)據(jù)流量環(huán)路的威脅。原始生成樹協(xié)議 IEEE 802.1D 通常在 50 秒內(nèi)就可以恢復(fù)一個(gè)鏈接故障 融合時(shí)間 = （ 2xForward_Delay ） +Max_Age 。當(dāng)設(shè)計(jì)此協(xié)議時(shí)，這種停機(jī)還是

41、可接受的，但是當(dāng)前的關(guān)鍵任務(wù)應(yīng)用（如語(yǔ)音和視頻）卻要求更快速的網(wǎng)絡(luò)融合。為加速網(wǎng)絡(luò)融合并解決與生成樹和虛擬 LAN （ VLAN ）交互相關(guān)的地址可擴(kuò)展性限制的問題， IEEE 委員會(huì)開發(fā)了兩種新標(biāo)準(zhǔn)：在 IEEE 802.1w 中定義的快速生成樹協(xié)議（ RSTP ）和在 IEEE 802.1s 中定義的多生成樹協(xié)議（ MST ）IEEE 802.1w 快速生成樹協(xié)議IEEE 意識(shí)到原始 802.1D 生成樹協(xié)議的融合特性與現(xiàn)代化的交換網(wǎng)絡(luò)和應(yīng)用相比是有差距的，為此設(shè)計(jì)了一種全新的 802.1w 快速生成樹協(xié)議（ RSTP ），以解決 802.1D 的融合問題。 IEEE 802.1w RST

42、P 的特點(diǎn)是將許多思科增值生成樹擴(kuò)展特性融入原始 802.1D 中，如 Portfast 、 Uplinkfast 和 Backbonefast 。通過利用一種主動(dòng)的網(wǎng)橋到網(wǎng)橋握手機(jī)制取代 802.1D 根網(wǎng)橋中定義的計(jì)時(shí)器功能， IEEE 802.1w 協(xié)議提供了交換機(jī)（網(wǎng)橋）、交換機(jī)端口（網(wǎng)橋端口）或整個(gè) LAN 的快速故障恢復(fù)功能。通過將生成樹“ hello ”作為本地鏈接保留的標(biāo)志， RSTP 改變了拓?fù)浣Y(jié)構(gòu)的保留方式。這種做法使原始 802.1D fwd-delay 和 max-age 計(jì)時(shí)器主要成為冗余設(shè)備，目前主要用于備份，以保持協(xié)議的正常運(yùn)營(yíng)。 RSTP 引入了新的 BPDU

43、處理和新的拓?fù)浣Y(jié)構(gòu)變更機(jī)制。每個(gè)網(wǎng)橋每次“ hello time ”都會(huì)生成 BPDU ，即使它不從根網(wǎng)橋接收時(shí)也是如此。 BPDU 起著網(wǎng)橋間保留信息的作用。如果一個(gè)網(wǎng)橋未能從相鄰網(wǎng)橋收到 BPDU ，它就會(huì)認(rèn)為已與該網(wǎng)橋失去連接，從而實(shí)現(xiàn)更快速的故障檢測(cè)和融合。在 RSTP 中，拓?fù)浣Y(jié)構(gòu)變更只在非邊緣端口轉(zhuǎn)入轉(zhuǎn)發(fā)狀態(tài)時(shí)發(fā)生。丟失連接例如端口轉(zhuǎn)入阻塞狀態(tài)，不會(huì)像 802.1D 一樣引起拓?fù)浣Y(jié)構(gòu)變更。 802.1w 的拓?fù)浣Y(jié)構(gòu)變更通知（ TCN ）功能不同于 802.1D ，它減少了數(shù)據(jù)的溢流。在 802.1D 中， TCN 被單播至根網(wǎng)橋，然后組播至所有網(wǎng)橋。 802.1D TCN 的接收使

44、網(wǎng)橋?qū)⑥D(zhuǎn)發(fā)表中的所有內(nèi)容快速失效，而無(wú)論網(wǎng)橋轉(zhuǎn)發(fā)拓?fù)浣Y(jié)構(gòu)是否受到影響。相形之下， RSTP 則通過明確地告知網(wǎng)橋，溢出除了經(jīng)由 TCN 接收端口了解到的內(nèi)容外的所有內(nèi)容，優(yōu)化了該流程。 TCN 行為的這一改變極大地降低了拓?fù)浣Y(jié)構(gòu)變更過程中， MAC 地址的溢出量。端口作用RSTP 在端口狀態(tài)（轉(zhuǎn)發(fā)或阻塞流量）和端口作用（是否在拓?fù)浣Y(jié)構(gòu)中發(fā)揮積極作用）間進(jìn)行了明確的劃分。除了從 802.1D 沿襲下來(lái)的根端口和指定端口定義外，還定義了兩種新的作用（見下圖 ）： 備份端口 用于指定端口到生成樹樹葉的路徑的備份，僅在到共享 LAN 網(wǎng)段有 2 個(gè)或 2 個(gè)以上連接，或 2 個(gè)端口通過點(diǎn)到點(diǎn)鏈路連接為

45、環(huán)路時(shí)存在 替代端口 提供了替代當(dāng)前根端口所提供路徑、到根網(wǎng)橋的路徑這些 RSTP 中的新端口實(shí)現(xiàn)了在根端口故障時(shí)替代端口到轉(zhuǎn)發(fā)端口的快速轉(zhuǎn)換。下面的例子中詳細(xì)解釋了此過程。端口狀態(tài)端口的狀態(tài)控制轉(zhuǎn)發(fā)和學(xué)習(xí)過程的運(yùn)行。RSTP 定義了 3 種狀態(tài)：放棄、學(xué)習(xí)和轉(zhuǎn)發(fā)。根或指定端口在拓?fù)浣Y(jié)構(gòu)中發(fā)揮著積極作用，而替代或備份端口不參與主動(dòng)拓?fù)浣Y(jié)構(gòu)。在穩(wěn)定的網(wǎng)絡(luò)中，根和指定端口處于轉(zhuǎn)發(fā)狀態(tài)，替代和備份端口則處于放棄狀態(tài)?？焖偃诤细攀鋈缜八?， RSTP 旨在盡快地將根端口和指定端口轉(zhuǎn)成轉(zhuǎn)發(fā)狀態(tài)，以及將替代和備份端口轉(zhuǎn)成阻塞狀態(tài)。為防止生成轉(zhuǎn)發(fā)環(huán)路， RSTP 在網(wǎng)橋間采用了明確的“握手”功能，以確保端口

46、作用在網(wǎng)絡(luò)中分配的一致性。上圖介紹了將端口轉(zhuǎn)換成轉(zhuǎn)發(fā)前達(dá)成的協(xié)定 / 建議握手。當(dāng)鏈接激活時(shí)，“ P1 ”和“ P2 ”都成為處于放棄狀態(tài)的指定端口。在這種情況下，“ P1 ”將向交換機(jī) A 發(fā)送一個(gè)建議 BPDU 。收到新 BPDU 后，交換機(jī) A 將確認(rèn)根交換機(jī)有較優(yōu)根成本。因?yàn)?BPDU 包含較高的根優(yōu)先級(jí)，交換機(jī) A 在將新的根端口“ P2 ”轉(zhuǎn)入轉(zhuǎn)發(fā)狀態(tài)前，會(huì)先啟動(dòng)同步機(jī)制。如果一個(gè)端口處于阻塞狀態(tài)或是一個(gè)邊緣端口（位于網(wǎng)橋 LAN 邊緣或連接到終端工作站），該端口與根信息同步。端口 3 （“ P3 ”）已滿足上述要求，因?yàn)樗呀?jīng)是阻塞的。因此，不會(huì)對(duì)該端口采取任何行動(dòng)。但是，“ P

47、4 ”是一種指定端口，需要阻塞。一旦交換機(jī) A 上的所有接口處于同步狀態(tài)，“ P2 ”就會(huì)承認(rèn)從前從根接收的建議，并可以安全地轉(zhuǎn)入轉(zhuǎn)發(fā)狀態(tài)。在收到交換機(jī) A 的認(rèn)可后，根交換機(jī)將立即將“ P1 ”轉(zhuǎn)入轉(zhuǎn)發(fā)。建議 / 協(xié)定信息的類似傳送波將從“ P4 ”傳播至網(wǎng)絡(luò)枝葉部分。由于這種握手機(jī)制不依賴計(jì)時(shí)器，因此它可以快速地傳播至網(wǎng)絡(luò)邊緣，并在拓?fù)浣Y(jié)構(gòu)變更后迅速恢復(fù)連接。如果協(xié)定并未復(fù)制建議信息，端口會(huì)轉(zhuǎn)換成 802.1D 模式，并通過傳統(tǒng)聽學(xué)順序轉(zhuǎn)入轉(zhuǎn)發(fā)狀態(tài)。需要說(shuō)明的是， 802.1w 協(xié)議只適用于點(diǎn)到點(diǎn)鏈接。在媒體共享的情況下， 802.1w 協(xié)議將轉(zhuǎn)換成 802.1D 運(yùn)行。多生成樹協(xié)議在 C

48、isco MISTP 多實(shí)例生成樹協(xié)議 的推動(dòng)下， MST 通過將一些基于 VLAN 的生成樹匯聚入不同的實(shí)例，并且每實(shí)例只運(yùn)行一個(gè)（快速）生成樹，從而改進(jìn)了 RSTP 的可擴(kuò)展性。為確定 VLAN 實(shí)例的相關(guān)性， 802.1s 引入了 MST 區(qū)域概念。每臺(tái)運(yùn)行 MST 的交換機(jī)都擁有單一配置，包括一個(gè)字母數(shù)字式配置名、一個(gè)配置修訂號(hào)和一個(gè) 4096 部件表，它與潛在支持某個(gè)實(shí)例的各 4096 VLAN 相關(guān)聯(lián)。作為公共 MST 區(qū)域的一部分，一組交換機(jī)必須共享相同的配置屬性。重要的是請(qǐng)記住，配置屬性不同的交換機(jī)會(huì)被視為位于不同的區(qū)域。為確保一致的 VLAN 實(shí)例映射，協(xié)議需要識(shí)別區(qū)域的邊界

49、。因此，區(qū)域的特征都包括在 BPDU 中。交換機(jī)必須了解它們是否像鄰居一樣位于同一區(qū)域，因此會(huì)發(fā)送一份 VLAN 實(shí)例映射表摘要，以及修訂號(hào)和名稱。當(dāng)交換機(jī)接收到 BPDU 后，它會(huì)提取摘要，并將其與自身的計(jì)算結(jié)果進(jìn)行比較。為避免出現(xiàn)生成樹環(huán)路，如果兩臺(tái)交換機(jī)在 BPDU 中所接收的參數(shù)不一致，負(fù)責(zé)接收 BPDU 的端口就會(huì)被宣布為邊界端口。IEEE 802.1s 引入了 IST （內(nèi)部生成樹）概念和 MST 實(shí)例。 IST 是一種 RSTP 實(shí)例，它擴(kuò)展了 MST 區(qū)域內(nèi)的 802.1D 單一生成樹。 IST 連接所有 MST 網(wǎng)橋，并從邊界端口發(fā)出、作為貫穿整個(gè)網(wǎng)橋域的虛擬網(wǎng)橋。 MST

50、實(shí)例（ MSTI ）是一種僅存在于區(qū)域內(nèi)部的 RSTP 實(shí)例。它可以缺省運(yùn)行 RSTP ，無(wú)須額外配置。不同于 IST 的是， MSTI 在區(qū)域外既不與 BPDU 交互，也不發(fā)送 BPDU 。 MST 可以與傳統(tǒng)和 PVST+ 交換機(jī)互操作。思科實(shí)施定義了 16 種實(shí)例：一個(gè) IST （實(shí)例 0 ）和 15 個(gè) MSTI ，而 802.1s 則支持一個(gè) IST 和 63 個(gè) MSTI 。與傳統(tǒng)生成樹的互操作性RSTP 和 MSTP 都能夠與傳統(tǒng)生成樹協(xié)議互操作。但是，當(dāng)與傳統(tǒng)網(wǎng)橋交互時(shí)， 802.1w 的快速融合優(yōu)勢(shì)就會(huì)失去。為保留與基于 802.1D 網(wǎng)橋的向后兼容性， IEEE 802.1

51、s 網(wǎng)橋在其端口上接聽 802.1D 格式的 BPDU 。如果收到了 802.1D BPDU ，端口會(huì)采用標(biāo)準(zhǔn) 802.1D 行為，以確保兼容性。例如，在圖 3 中，交換機(jī) A 上的“ P4 ”一旦在至少兩倍的“ hello time ”中檢測(cè)到 PVST+ BPDU ，它就會(huì)發(fā)送 PVST+ BPDU 。要說(shuō)明的是，如果 PVST+ 網(wǎng)橋從網(wǎng)絡(luò)中刪除后，交換機(jī) A 就無(wú)法發(fā)現(xiàn)拓?fù)浣Y(jié)構(gòu)變更，需要人工重啟協(xié)議移植。上圖介紹了應(yīng)用于 VLAN 2000 的轉(zhuǎn)發(fā)拓?fù)浣Y(jié)構(gòu)，它映射至 RSTP/MSTP 區(qū)域中的 MST #2 。用于 IST 和 MST #2 的根交換機(jī)駐留于 RSTP/MSTP 區(qū)域

52、內(nèi)。 MSTI BPDU 并未發(fā)送至邊界端口“ P4 ”外，只有 IST BPDU 是如此。通過在 PVST+ 域所有現(xiàn)用 VLAN 上復(fù)制 ISTP BPDU ， MST 區(qū)域模擬了 PVST+ 鄰居。然后， PVST+ 域接收 IST 上發(fā)送的 BPDU ，并選擇交換機(jī) B 作為 VLAN 2000 的根交換機(jī)（注：交換機(jī) B 是 IST 的根。）如果 PVST+ 域中出現(xiàn)拓?fù)浣Y(jié)構(gòu)變更，在傳統(tǒng)云中生成的相應(yīng)的拓?fù)浣Y(jié)構(gòu)變化通知（ TCN ） BPDI 將由 IST 在 MST 域中處理，不致影響 MST 轉(zhuǎn)發(fā)拓?fù)浣Y(jié)構(gòu)。為了避免可能導(dǎo)致環(huán)路的錯(cuò)誤配置，強(qiáng)烈建議為 MST 域中的 PVST+ 實(shí)

53、例（即 IST 根）配置根交換機(jī)。 主要定義IEEE 802.1D IEEE 建議，在整個(gè)第二層域中定義單一無(wú)環(huán)路拓?fù)浣Y(jié)構(gòu)。由于 802.1D 無(wú)虛擬 LAN （ VLAN ）感知功能，因此轉(zhuǎn)發(fā)拓?fù)浣Y(jié)構(gòu)是唯一的，獨(dú)立于網(wǎng)絡(luò)中現(xiàn)用的 VLAN 。這種方案從計(jì)算開支的角度是可擴(kuò)展的，但在配置多個(gè) VLAN 的情況下，無(wú)法為冗余鏈接提供負(fù)載均衡功能 。PVST+ 思科生成樹為每個(gè) VLAN 構(gòu)建了一個(gè)不同的邏輯拓?fù)浣Y(jié)構(gòu)。這種方案通過允許每個(gè) VLAN 擁有不同的轉(zhuǎn)發(fā)鏈接，實(shí)現(xiàn)了負(fù)載均衡，但它卻是 CPU 密集型的網(wǎng)橋協(xié)議數(shù)據(jù)單元（ BPDU ）是根據(jù)各個(gè) VLAN 生成并處理的。通過上述對(duì)生成樹協(xié)議

54、的解釋，我們可以明白，但我們恰當(dāng)?shù)呐渲蒙蓸鋮f(xié)議之后，接入層設(shè)備到匯聚層設(shè)備的冗余上聯(lián)鏈路將能夠在主干鏈路中斷時(shí)快速的切換到備份鏈路，從而完成接入層設(shè)備到匯聚層設(shè)備在二層上的鏈路冗余。在匯聚層上交換機(jī)的vlan網(wǎng)關(guān)的冗余，主要依靠HSRP協(xié)議實(shí)現(xiàn)。隨著Internet的日益普及，人們對(duì)網(wǎng)絡(luò)的依賴性也越來(lái)越強(qiáng)。這同時(shí)對(duì)網(wǎng)絡(luò)的穩(wěn)定性提出了更高的要求，人們自然想到了基于設(shè)備的備份結(jié)構(gòu)，就像在服務(wù)器中為提高數(shù)據(jù)的安全性而采用雙硬盤結(jié)構(gòu)一樣。路由器或三層交換機(jī)是整個(gè)網(wǎng)絡(luò)的核心和心臟，如果路由器或三層交換機(jī)發(fā)生致命性的故障，將導(dǎo)致本地網(wǎng)絡(luò)的癱瘓，如果是骨干路由器或三層交換機(jī)，影響的范圍將更大，所造成的損失

55、也是難以估計(jì)的。因此，對(duì)路由器或三層交換機(jī)采用熱備份是提高網(wǎng)絡(luò)可靠性的必然選擇。在一個(gè)路由器或三層交換機(jī)完全不能工作的情況下，它的全部功能便被系統(tǒng)中的另一個(gè)備份路由器或三層交換機(jī)完全接管，直至出現(xiàn)問題的路由器恢復(fù)正常，這就是熱備份路由協(xié)議（HotStandbyRouterProtocal）。實(shí)現(xiàn)HSRP的條件是系統(tǒng)中有多臺(tái)路由器或三層交換機(jī)，它們組成一個(gè)“熱備份組”，這個(gè)組形成一個(gè)虛擬路由器或三層交換機(jī)。在任一時(shí)刻，一個(gè)組內(nèi)只有一個(gè)路由器是活動(dòng)的，并由它來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動(dòng)路由器或三層交換機(jī)發(fā)生了故障，將選擇一個(gè)備份路由器或三層交換機(jī)來(lái)替代活動(dòng)路由器或三層交換機(jī)，但是在本網(wǎng)絡(luò)內(nèi)的主機(jī)看來(lái)，虛

56、擬路由器沒有改變。所以主機(jī)仍然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器或三層交換機(jī)切換的問題。為了減少網(wǎng)絡(luò)的數(shù)據(jù)流量，在設(shè)置完活動(dòng)路由器或三層交換機(jī)和備份路由器或三層交換機(jī)之后，只有活動(dòng)路由器或三層交換機(jī)和備份路由器或三層交換機(jī)定時(shí)發(fā)送HSRP報(bào)文。如果活動(dòng)路由器或三層交換機(jī)失效，備份路由器或三層交換機(jī)將接管成為活動(dòng)路由器或三層交換機(jī)。如果備份路由器或三層交換機(jī)失效或者變成了活動(dòng)路由器或三層交換機(jī)，將有另外的路由器或三層交換機(jī)被選為備份路由器。在實(shí)際的一個(gè)特定的局域網(wǎng)中，可能有多個(gè)熱備份組并存或重疊。每個(gè)熱備份組模仿一個(gè)虛擬路由器或三層交換機(jī)工作，它有一個(gè)WellknownMAC地址和一個(gè) IP地址。該IP地址、組內(nèi)路由器或三層交換機(jī)的接口地址、主機(jī)在同一個(gè)子網(wǎng)內(nèi)，但是不能一樣。當(dāng)在一個(gè)局域網(wǎng)上有多個(gè)熱備份組存在時(shí)，把主機(jī)分布到不同的熱備份組，可以使負(fù)載得到分擔(dān)。從上述描述我們可以明白，匯聚層交換機(jī)在每個(gè)vlan上啟用HSRP之后，每個(gè)vlan的IP地址