企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計(H3C)

1、 畢 業(yè) 設(shè) 計（論 文） 企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計系別：計算機(jī)信息工程系專業(yè)名稱：計算機(jī)網(wǎng)絡(luò)技術(shù)學(xué)生姓名：指導(dǎo)教師姓名：完成日期 xxxx年xx月 xx 日20畢業(yè)設(shè)計論文摘要 隨著Internet技術(shù)的日益普及，網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，企業(yè)信息化工作越來越受到重視，進(jìn)入二十一世紀(jì)后，企業(yè)信息化不再滿足于個人或單個部門的少量計算機(jī)應(yīng)用，而逐步過渡到多部門、整個企業(yè)甚至跨企業(yè)跨地域的大量計算機(jī)的協(xié)同工作，因此我們需要把這些計算機(jī)用網(wǎng)絡(luò)聯(lián)系起來，這也就是我們所說的企業(yè)網(wǎng)。本文是對某IT企業(yè)的一個企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計的解決方案，文章首先分析了企業(yè)網(wǎng)絡(luò)的設(shè)計需求，根據(jù)需求提出了設(shè)計原則與設(shè)計目標(biāo)，制定了總體的規(guī)劃

2、設(shè)計方案，然后再分層次具體地對該企業(yè)的局域網(wǎng)和廣域網(wǎng)進(jìn)行設(shè)計，在該方案中，我們采用了VLAN、三層交換、千兆交換等先進(jìn)網(wǎng)絡(luò)技術(shù)，基本滿足了該企業(yè)的需求，并留有足夠的擴(kuò)充空間，以適應(yīng)今后發(fā)展。關(guān)鍵詞 企業(yè)網(wǎng)絡(luò) 規(guī)劃設(shè)計 VLAN 目 錄1 引言22 概述42.1企業(yè)概況分析52.2企業(yè)網(wǎng)絡(luò)設(shè)計需求分析53網(wǎng)絡(luò)總體規(guī)劃63.1企業(yè)網(wǎng)絡(luò)設(shè)計目標(biāo)63.2企業(yè)網(wǎng)絡(luò)設(shè)計原則63.3網(wǎng)絡(luò)設(shè)計相關(guān)協(xié)議說明74網(wǎng)絡(luò)具體規(guī)劃與設(shè)計94.1企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計94.2 應(yīng)用到的五個技術(shù)104.3設(shè)備選型16致謝19參考文獻(xiàn)201 引言目前，對于國內(nèi)的部分企業(yè)而言，計算機(jī)技術(shù)的應(yīng)用很大程度上還只是停留在單機(jī)應(yīng)用的水平

3、上，應(yīng)用軟件也只是辦公軟件和簡單的數(shù)據(jù)庫應(yīng)用。但是，隨著計算機(jī)網(wǎng)絡(luò)技術(shù)不斷發(fā)展與普及、企業(yè)信息化的逐步深入和企業(yè)自身發(fā)展需求日益增大，在充分利用現(xiàn)有資源、不需要很大投資的基礎(chǔ)上，構(gòu)建適合自身情況、滿足實際需求的網(wǎng)絡(luò)系統(tǒng)是非常必要的，也是切實可行的社會進(jìn)入信息時代后，要求企業(yè)用信息技術(shù)來強(qiáng)化企業(yè)的管理、生產(chǎn)和經(jīng)營，而企業(yè)要創(chuàng)造更多的經(jīng)濟(jì)效益就必須借助信息技術(shù)來提高企業(yè)的生產(chǎn)效率和管理水平，這不但適用于大型企業(yè)，對占相當(dāng)比重的中小企業(yè)同樣適用。網(wǎng)絡(luò)技術(shù)的發(fā)展使得網(wǎng)絡(luò)建設(shè)從基礎(chǔ)架構(gòu)到維護(hù)和管理都變得十分簡單和智能，豐富的網(wǎng)絡(luò)產(chǎn)品線和不斷降低的價格，可以讓中小企業(yè)根據(jù)自身的情況，按照實際的經(jīng)濟(jì)條件來構(gòu)

4、建自己的網(wǎng)絡(luò)，用于網(wǎng)絡(luò)建設(shè)的投資對于企業(yè)而言不再成為一個負(fù)擔(dān)。各自為戰(zhàn)的單機(jī)應(yīng)用逐步暴露出現(xiàn)有資源利用率低、信息冗余大等問題，而解決這些問題的惟一途徑就是建設(shè)一個滿足應(yīng)用需求的網(wǎng)絡(luò)系統(tǒng)來實現(xiàn)資源的共享。一個成功的企業(yè)不僅要了解世界，還要讓世界知道自己。實現(xiàn)這個目標(biāo)的最佳途徑就是要利用Internet。通過Internet，企業(yè)不僅可以獲得大量的有價值的信息，同時也可以將企業(yè)的信息通過Internet發(fā)布到世界各地。因此，企業(yè)進(jìn)行計算機(jī)網(wǎng)絡(luò)的建設(shè)，不僅是信息社會發(fā)展的要求，也是自身發(fā)展所必須的。2 概述企業(yè)網(wǎng)絡(luò)指的是具有一定規(guī)模的網(wǎng)絡(luò)系統(tǒng)，它可以是單座建筑物內(nèi)的局域網(wǎng)，可以是覆蓋一個園區(qū)的園區(qū)網(wǎng)

5、，還可以是跨地區(qū)的廣域網(wǎng)，其覆蓋范圍可以是幾公里、幾十公里、幾百公里，甚至更廣。狹義的企業(yè)網(wǎng)主要指大型的工業(yè)、商業(yè)、金融、交通企業(yè)等各類公司和企業(yè)的計算機(jī)網(wǎng)絡(luò)；廣義的企業(yè)網(wǎng)則包括各種科研、教育部門和政府部門專有的信息網(wǎng)絡(luò)。我國的企業(yè)網(wǎng)絡(luò)建設(shè)經(jīng)過了單機(jī)應(yīng)用階段，目前正處在Internet應(yīng)用熱潮中。但從目前情況看國內(nèi)相當(dāng)多的企業(yè)還處于網(wǎng)絡(luò)初步應(yīng)用階段，其具有以下特點：1應(yīng)用水平較低，分散且不一致。企業(yè)網(wǎng)絡(luò)缺乏整體性的設(shè)計，沒有統(tǒng)一的標(biāo)準(zhǔn)，在業(yè)務(wù)互相銜接的應(yīng)用系統(tǒng)之間缺乏一致性；2應(yīng)用者的整體水平比較低，缺乏對計算機(jī)和網(wǎng)絡(luò)全面的認(rèn)識，難以接受將計算機(jī)作為一種工作方式；3信息部門處于邊緣性地位，綜合

6、實力較低，地位較低，給信息技術(shù)的應(yīng)用帶來了相當(dāng)大的難度。2.1企業(yè)概況分析假設(shè)我們要設(shè)計的是一個中型的IT企業(yè)的網(wǎng)絡(luò)，該企業(yè)共有員工290人，分8個部門，包括人事部、開發(fā)部、財務(wù)部、商務(wù)部、工程部、業(yè)務(wù)部、信息中心、經(jīng)理部。人事部40人，開發(fā)部57人，財務(wù)部24人，商務(wù)部42人，工程部61人，業(yè)務(wù)部45人，信息中心16人，經(jīng)理部5人。每人都配有一臺個人電腦。由于公司規(guī)模的擴(kuò)大，為了提高工作效率、公司知名度、公司效益以及管理水平，該企業(yè)決定投資重新建設(shè)完善的企業(yè)網(wǎng)絡(luò)。2.2企業(yè)網(wǎng)絡(luò)設(shè)計需求分析 網(wǎng)絡(luò)需求分析就是根據(jù)企業(yè)信息技術(shù)應(yīng)用要求和企業(yè)的業(yè)務(wù)發(fā)展需求，結(jié)合企業(yè)現(xiàn)有設(shè)備狀況和人員素質(zhì)，較為全面

7、地調(diào)查和分析企業(yè)在信息技術(shù)方面的技術(shù)需求，然后從網(wǎng)絡(luò)建設(shè)的角度，將這些需求轉(zhuǎn)換成構(gòu)造網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)系統(tǒng)能夠提供服務(wù)的需求。在網(wǎng)絡(luò)需求分析過程中，網(wǎng)絡(luò)系統(tǒng)用戶往往從系統(tǒng)外部關(guān)注整個網(wǎng)絡(luò)系統(tǒng)的功能和性能，而網(wǎng)絡(luò)設(shè)計者往往從網(wǎng)絡(luò)系統(tǒng)內(nèi)部關(guān)注整個網(wǎng)絡(luò)系統(tǒng)的技術(shù)和結(jié)構(gòu)。因此，如何正確地將用戶對網(wǎng)絡(luò)系統(tǒng)功能和性能的需求轉(zhuǎn)換成對網(wǎng)絡(luò)系統(tǒng)技術(shù)和結(jié)構(gòu)的需求并給予量化表示是網(wǎng)絡(luò)需求分析的關(guān)鍵。經(jīng)過對該公司各個部門職能的分析以及調(diào)研，將系統(tǒng)需求歸納為如下幾點：1）該網(wǎng)絡(luò)系統(tǒng)能實現(xiàn)資源共享，包括軟件共享，文件共享，打印機(jī)共享。在外工作的員工可以透過internet安全訪問企業(yè)資源，遠(yuǎn)程辦公。2）能高速接入Inter

8、net進(jìn)行工作，收發(fā)郵件，瀏覽網(wǎng)頁查找資料。建立企業(yè)對外網(wǎng)站，提供一個對外宣傳的平臺，提高企業(yè)知名度。3）網(wǎng)絡(luò)管理：控制不同權(quán)限的員工使用Internet的方式和范圍，限制普通員工利用公司網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)無關(guān)的活動。4）安全性：對不同部門之間的相互訪問作限制，防止非法訪問，保護(hù)商業(yè)機(jī)密。預(yù)防計算機(jī)病毒，盡可能把病毒感染的幾率降到最低。使用防火墻，防止來自互聯(lián)網(wǎng)上的入侵，保障企業(yè)資源的安全。5）可擴(kuò)展性：考慮到企業(yè)的發(fā)展與以后規(guī)模的擴(kuò)大，企業(yè)網(wǎng)絡(luò)設(shè)計需預(yù)留擴(kuò)展空間，以便今后的網(wǎng)絡(luò)改造。3網(wǎng)絡(luò)總體規(guī)劃網(wǎng)絡(luò)規(guī)劃是對擬建網(wǎng)絡(luò)的初步設(shè)計，應(yīng)該遵循網(wǎng)絡(luò)設(shè)計的一般原則和方法，并提出相應(yīng)的解決方案為后續(xù)的設(shè)計和實

9、現(xiàn)工作的依據(jù)。網(wǎng)絡(luò)總體規(guī)劃反映了網(wǎng)絡(luò)設(shè)計“總體規(guī)劃、分布實施”的網(wǎng)絡(luò)建設(shè)原則，是從網(wǎng)絡(luò)需求分析到網(wǎng)絡(luò)具體設(shè)計之間必經(jīng)的階段，網(wǎng)絡(luò)規(guī)劃通過對企業(yè)網(wǎng)絡(luò)需求的調(diào)查、分析、歸納，把企業(yè)現(xiàn)在和未來對網(wǎng)絡(luò)的需求轉(zhuǎn)換成對網(wǎng)絡(luò)結(jié)構(gòu)、功能、性能、協(xié)議等技術(shù)指標(biāo)的具體要求。3.1企業(yè)網(wǎng)絡(luò)設(shè)計目標(biāo) 該IT企業(yè)網(wǎng)絡(luò)建設(shè)的目標(biāo)，將互聯(lián)網(wǎng)技術(shù)引入企業(yè)內(nèi)部網(wǎng)建立起統(tǒng)一、快捷、高效的中型Intranent系統(tǒng)，整個系統(tǒng)在安全、可靠、穩(wěn)定的前提下，符合經(jīng)濟(jì)的原則，即實現(xiàn)合理的投入，最大的產(chǎn)出?？傮w設(shè)計如下： 1）以千兆以太網(wǎng)為主干網(wǎng)，利用第三層交換技術(shù)實現(xiàn)大型局域網(wǎng)的VLAN的劃分。規(guī)劃中服務(wù)器、信息中心采用千兆，與中心主交換

10、機(jī)連接，其他部門采用100M網(wǎng)卡通過其他二級交換機(jī)接入主干網(wǎng)。2）網(wǎng)絡(luò)的安全機(jī)制：（1） 通過對網(wǎng)絡(luò)設(shè)備的配置，控制訪問列表等方式來加強(qiáng)網(wǎng)絡(luò)的安全性措施；（2） 更重要的是，在內(nèi)部網(wǎng)與公眾網(wǎng)的結(jié)合處，采用先進(jìn)的防火墻技術(shù)、代理服務(wù)器技術(shù)、以及 Web 服務(wù)器的口令驗證、數(shù)據(jù)加密等技術(shù)實現(xiàn)網(wǎng)絡(luò)的安全性3）網(wǎng)絡(luò)中心設(shè)立 WEB 應(yīng)用服務(wù)器、E-MAIL 服務(wù)器、DNS 服務(wù)器、數(shù)據(jù)庫服務(wù)器、文件服務(wù)器，實現(xiàn) WEB 訪問、Internet接入、E-MAIL 系統(tǒng)、域名解析、應(yīng)用系統(tǒng)等各種功能。3.2企業(yè)網(wǎng)絡(luò)設(shè)計原則1）實用性原則。計算機(jī)設(shè)備、服務(wù)器設(shè)備和網(wǎng)絡(luò)設(shè)備在技術(shù)性能逐步提升的同時，其價格卻在

11、逐年下降。因此，不可能也沒有必要實現(xiàn)所謂“一步到位”。所以，網(wǎng)絡(luò)方案設(shè)計中應(yīng)把握“夠用”和“實用”原則。網(wǎng)絡(luò)系統(tǒng)應(yīng)采用成熟可靠的技術(shù)和設(shè)備，達(dá)到實用、經(jīng)濟(jì)和有效的目的。2）前瞻性原則。在實用的基礎(chǔ)上還可以具有一定的前瞻性，在網(wǎng)絡(luò)結(jié)構(gòu)上要做到能適應(yīng)較長時期企業(yè)和網(wǎng)絡(luò)技術(shù)的發(fā)展，不要在網(wǎng)絡(luò)剛組建不久就發(fā)現(xiàn)很難實現(xiàn)某些較新的應(yīng)用，或者根本不能應(yīng)用目前的一些主流軟件，這樣勢必造成企業(yè)網(wǎng)絡(luò)資源的浪費。3）開放性原則。網(wǎng)絡(luò)系統(tǒng)應(yīng)采用開放的標(biāo)準(zhǔn)和技術(shù)，如TCP/IP協(xié)議、IEEE802系列標(biāo)準(zhǔn)等。其目標(biāo)首先是要有利于未來網(wǎng)絡(luò)系統(tǒng)的擴(kuò)充，其次還要有利于在需要時與外部網(wǎng)絡(luò)互通。4）可靠性原則。作為一個具有一定規(guī)

12、模的中型企業(yè)。企業(yè)的網(wǎng)絡(luò)不允許有異常情況發(fā)生，因為一旦網(wǎng)絡(luò)發(fā)生異常情況，就會帶來很大的損失。在這樣的網(wǎng)絡(luò)中，就要盡量使用冗余備份，當(dāng)某個網(wǎng)絡(luò)設(shè)備故障時，網(wǎng)絡(luò)還可以零間斷地繼續(xù)工作，這樣就很好的保障了企業(yè)網(wǎng)絡(luò)的可靠性。5）安全性原則。在企業(yè)網(wǎng)的設(shè)計中，安全性的設(shè)計是很重要的。每家企業(yè)都有自己的商業(yè)機(jī)密，如果這些機(jī)密被竊取，后果是不堪設(shè)想的。企業(yè)必須保護(hù)其網(wǎng)絡(luò)系統(tǒng)，以避免受外來惡意性入侵，但也必須保留足夠空間，使其主要經(jīng)營之業(yè)務(wù)能順利運(yùn)作。倘若安全性系統(tǒng)保護(hù)企業(yè)免受病毒及駭客攻擊，但卻阻撓其服務(wù)客戶及邁向電子商務(wù)腳步，那么此系統(tǒng)就已超越其權(quán)限了。網(wǎng)絡(luò)安全應(yīng)是永遠(yuǎn)以能符合企業(yè)經(jīng)營目標(biāo)的最大利益為優(yōu)先

13、考量。6）可管理性原則。網(wǎng)絡(luò)管理員能夠在不改變系統(tǒng)運(yùn)行的情況下對網(wǎng)絡(luò)進(jìn)行調(diào)整，不管網(wǎng)絡(luò)設(shè)備的物理位置在何處，網(wǎng)絡(luò)都應(yīng)該是可以控制的。7）可擴(kuò)展性原則。網(wǎng)絡(luò)總體設(shè)計不僅要考慮到近期目標(biāo)，也要為企業(yè)以及網(wǎng)絡(luò)的進(jìn)一步發(fā)展留有余地。因此，需要統(tǒng)一規(guī)劃和設(shè)計。網(wǎng)絡(luò)系統(tǒng)應(yīng)在規(guī)模和性能兩方面具有良好的可擴(kuò)展性。由于目前網(wǎng)絡(luò)產(chǎn)品標(biāo)準(zhǔn)化程度較高，因此可擴(kuò)展性要求基本不成問題。3.3網(wǎng)絡(luò)設(shè)計相關(guān)協(xié)議說明網(wǎng)絡(luò)協(xié)議是需要通信的計算機(jī)之間共同遵循的數(shù)據(jù)結(jié)構(gòu)、語義和操作規(guī)則。網(wǎng)絡(luò)協(xié)議常采用分層的體系結(jié)構(gòu)。各協(xié)議層互相獨立，下層提供上層某項功能的服務(wù)（一般有面向連接和無連接兩類），上層利用該功能再向上提供更完善的服務(wù)。目前

14、，主要的協(xié)議體系結(jié)構(gòu)有OSI族和TCP/IP族。它們的參考模型及各層的對應(yīng)關(guān)系如圖所示。OSI協(xié)議族OSI（開放系統(tǒng)互聯(lián)參考模型）協(xié)議族是國際標(biāo)準(zhǔn)化組織（ISO）建議并主持制定的有廣泛影響的網(wǎng)絡(luò)互聯(lián)協(xié)議。1）物理層是第一層，它決定設(shè)備之間的物理接口以及在傳輸介質(zhì)上比特傳送的規(guī)則。2）數(shù)據(jù)鏈路層是第二層，它的主要任務(wù)是加強(qiáng)物理層傳輸比特的可靠性。3）網(wǎng)絡(luò)層是第三成，它的主要功能是利用數(shù)據(jù)鏈路層所保證的鄰接節(jié)點之間的無差錯數(shù)據(jù)傳輸功能，通過路由選擇和中繼功能，實現(xiàn)兩個端系統(tǒng)之間的連接。4）傳輸層是第四層，它利用下三層所提供的網(wǎng)絡(luò)服務(wù)向高層提供可靠的端到端的透明數(shù)據(jù)傳輸。5）會話層是第五層，它提供一

15、種經(jīng)過組織的方法在用戶之間交換數(shù)據(jù)。6）表示層是第六層，它把上層交付的信息變換為能夠共同理解的形式，它關(guān)心的是所傳輸?shù)男畔⒌恼Z法和語義，它只對應(yīng)用層信息的形式進(jìn)行變換，但不改變信息內(nèi)容本身。7）應(yīng)用層是第七層，它的功能是提供應(yīng)用進(jìn)程（用戶程序）之間信息交換的基本任務(wù)。TCP/IP協(xié)議族TCP/IP協(xié)議族是廣泛應(yīng)用于計算機(jī)互聯(lián)的業(yè)界標(biāo)準(zhǔn)。該協(xié)議族是一組獨立的協(xié)議的集合，其中最主要的是TCP協(xié)議和IP協(xié)議。TCP/IP協(xié)議族亦采用層次化的結(jié)構(gòu)模型，共包括四個層次1）硬件接口層，TCP/IP協(xié)議族沒有具體定義硬件層，因而它對各種各樣的網(wǎng)絡(luò)硬件具有高度的適應(yīng)性，這正式它的成功之處。2）網(wǎng)絡(luò)層，它的主要

16、功能是定義信息包（IP數(shù)據(jù)包）并處理信息包的路由選擇。該層的主要協(xié)議有：IP、ARP、RARP。3）傳輸層。它提供端到端的數(shù)據(jù)傳輸服務(wù)。該層的主要協(xié)議有：TCP、UDP。4）應(yīng)用層。它由使用網(wǎng)路的應(yīng)用程序和進(jìn)程組成。該層最接近用戶，主要協(xié)議有SMTP、DNS、FTP、TELNET。OSI強(qiáng)調(diào)的是如何把開放式系統(tǒng)連接起來的，它是一個理論上的參考模型。而TCP/IP框架包含了大量的協(xié)議和應(yīng)用，他雖然不是ISO標(biāo)準(zhǔn)，但一致于ISO的OSI參考模型制定，并在不斷發(fā)展過程中吸收了OSI模型中的概念及特征，它的使用已經(jīng)越來越廣泛，幾乎成為“事實上的標(biāo)準(zhǔn)”，著名的Internet就是基于TCP/IP協(xié)議族的

17、。4網(wǎng)絡(luò)具體規(guī)劃與設(shè)計 在總體上規(guī)劃好企業(yè)網(wǎng)絡(luò)之后，就要進(jìn)入具體設(shè)計的階段，這也是網(wǎng)絡(luò)設(shè)計的最重要的環(huán)節(jié)。在這個階段，要對該企業(yè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、VLAN劃分、鏈路聚合等方面進(jìn)行詳細(xì)的規(guī)劃與設(shè)計。4.1企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計所謂拓?fù)涫且环N研究與大小、距離無關(guān)的幾何圖形特性的方法。網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是拋開網(wǎng)絡(luò)物理連接來討論網(wǎng)絡(luò)系統(tǒng)的連接形式，網(wǎng)絡(luò)中各站點相互連接的方法和形式稱為網(wǎng)絡(luò)拓?fù)?。拓?fù)鋱D給出網(wǎng)絡(luò)服務(wù)器、工作站的網(wǎng)絡(luò)配置和相互間的連接，它的結(jié)構(gòu)主要有星型結(jié)構(gòu)、總線結(jié)構(gòu)、樹型結(jié)構(gòu)、網(wǎng)狀結(jié)構(gòu)、蜂窩狀結(jié)構(gòu)、分布式結(jié)構(gòu)等。不同的連接方法網(wǎng)絡(luò)的性能不同，局域網(wǎng)拓?fù)浣Y(jié)構(gòu)通常分為3種，分別是總線型、星型和環(huán)型。該

18、企業(yè)局域網(wǎng)網(wǎng)絡(luò)主要采用了星型的拓?fù)浣Y(jié)構(gòu)，企業(yè)在設(shè)計上劃分了三層來設(shè)計：核心層、匯聚層和接入層。公司的工作站大約為300人，考慮到規(guī)模較大而且該公司的業(yè)務(wù)比較重要，核心層的設(shè)計上采用了一臺千兆三層交換機(jī)，在匯聚層用兩臺三層交換機(jī)之間作鏈路聚合，就算其中一個交換機(jī)當(dāng)機(jī)，也可以保證網(wǎng)絡(luò)的瞬間恢復(fù)，大大增加了網(wǎng)絡(luò)的可靠性。而在接入層的設(shè)計上，使用多臺二層交換機(jī)。 公司拓?fù)鋱D：4.2應(yīng)用到的五個技術(shù)VLAN規(guī)劃VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。IEEE于1999年頒布了用

19、以標(biāo)準(zhǔn)化VLAN實現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。 VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，即使是兩臺計算機(jī)有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全

20、性。 VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò)。我們已經(jīng)為該企業(yè)劃分了子網(wǎng)，不同的部門在不同的子網(wǎng)里，子網(wǎng)與子網(wǎng)之間不能訪問，也控制了廣播域太大的問題。這樣看來好像不必要再劃分VLAN了，其實不然，因為這樣只作子網(wǎng)劃分是存在安全性問題的。局域網(wǎng)內(nèi)的任何用戶只要稍微修改一下IP與子網(wǎng)掩碼就可以訪問到該企業(yè)的任何部門了。所以，我們必須在交換機(jī)上劃分好VLAN，這樣，只要加強(qiáng)對交換

21、機(jī)的保護(hù)，不讓一般員工改變交換機(jī)的配置，就算他們更改自己電腦的IP和子網(wǎng)掩碼也無法訪問到其它部門了。VLAN有幾種不同的劃分方法：1.根據(jù)端口來劃分VLAN。2.根據(jù)MAC地址劃分VLAN。3.根據(jù)網(wǎng)絡(luò)層劃分VLAN。 4.根據(jù)IP組播劃分VLAN。該企業(yè)的VLAN我們采取根據(jù)端口來劃分，這種劃分方式是現(xiàn)在最常用的。只要把同一個部門的端口全部劃分進(jìn)同一個VLAN就行了，而且還可以進(jìn)行跨交換機(jī)的端口VLAN劃分，也就是說不同交換機(jī)上的端口也可以在同一個VLAN里，這樣VLAN的劃分就不必要受到物理空間的限制，具有很好的靈活性。今后如果有人事調(diào)動或者部門擴(kuò)充，只要在交換機(jī)上作相應(yīng)的配置就可以了。處

22、理VLAN時，交換機(jī)端口支持兩種連接類型：接入鏈路（access link）與中繼（trunk）。接入鏈路連接只能與單個VLAN相關(guān)，任何連接到該端口的任何設(shè)備將會在相同的廣播域中。與接入鏈路不同，中繼連接能為多個VLAN傳送流量。中繼鏈路一般在特點的設(shè)備之間，包括交換機(jī)到交換機(jī)，交換機(jī)到路由器，交換機(jī)到文件服務(wù)器等。在該企業(yè)的VLAN端口配置中，各接入層的二層交換機(jī)與核心層的三層交換機(jī)之間的鏈路要配置成trunk鏈路，其他端口配置成access鏈路，這樣VLAN信息就可以在各二層交換機(jī)之間傳遞，不同交換機(jī)但是同一個VLAN的用戶就可以相互訪問了。VLAN部分配置摘錄：interface vl

23、an ip add dhcp server ip-pool network mask gateway-list dns-list dhcp select global interface vlan vlan 2port 三層交換技術(shù)與鏈路聚合的應(yīng)用傳統(tǒng)的以太網(wǎng)交換機(jī)工作在 OSI 模型的第二層上，數(shù)據(jù)流中的每個數(shù)據(jù)包通過源站點和目的站點的 MAC 地址時被識別。傳統(tǒng)局域網(wǎng)交換機(jī)只在介質(zhì)訪問層（mac）處理數(shù)據(jù)包。它可理解網(wǎng)絡(luò)協(xié)議的第二層如 MAC 地址等。交換機(jī)在操作過程中不斷的收集資料去建立它本身的地址表，當(dāng)交換機(jī)接收到一個數(shù)據(jù)包時，它會檢查該包的目的 MAC 地址，核對一下自己的地址表以決

24、定從哪個端口發(fā)送出去。這個工作用 ASIC（專用集成電路）芯片來做速度是非?？斓?，但同時由于它不察看數(shù)據(jù)包里的更多的內(nèi)容，所以無法作出有關(guān)策略方面的判斷，對數(shù)據(jù)流的控制能力不強(qiáng)。傳統(tǒng)路由器工作在第三層上，數(shù)據(jù)流中的每個數(shù)據(jù)包通過源站點和目的站點的網(wǎng)絡(luò)地址時被識別，路由技術(shù)可以有效地控制數(shù)據(jù)包，但轉(zhuǎn)發(fā)包的速度太慢，同時路由器存在價格高等方面缺點。這種狀況促使業(yè)界不得不去尋找一種新的方法,產(chǎn)生了“升級”技術(shù)第三層交換技術(shù)。第三層交換技術(shù)正是為了解決傳統(tǒng)交換技術(shù)和路由器的缺陷而出現(xiàn)的，三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)，第三層交換具有以下特征：1) 執(zhí)行路由處理2) 轉(zhuǎn)發(fā)基于第

25、三層的業(yè)務(wù)流3) 完成交換功能4) 可以完成特殊服務(wù)，如報文過濾或訪問控制該企業(yè)各部門處于不同的VLAN中，某些部門之間是需要互相訪問的，如果用傳統(tǒng)的路由器來完成VLAN間互訪，所有跨VLAN的數(shù)據(jù)必須通過路由器轉(zhuǎn)發(fā)，路由的高延遲會引來用戶對網(wǎng)絡(luò)速度的抱怨，不使用三層交換技術(shù)的話，唯一的解決方法是添置昂貴的路由器，而隨著日后企業(yè)不斷擴(kuò)大部門間的流量會更加增多，到時可能又要投入更多資金更換更貴的路由器，這不符合企業(yè)網(wǎng)絡(luò)設(shè)計的可擴(kuò)展性原則。在該企業(yè)的網(wǎng)絡(luò)核心層使用三層交換機(jī)，大大增快了網(wǎng)絡(luò)的速度，充分利用了現(xiàn)有資源，降低了網(wǎng)絡(luò)成本，增加了網(wǎng)絡(luò)的可擴(kuò)展性。而且，三層交換機(jī)還可以實現(xiàn)部分安全機(jī)制，它的

26、訪問列表的功能，可以實現(xiàn)不同VLAN間的單向或雙向通訊。就像該企業(yè)的財務(wù)部，它既沒有必要訪問別的部門，出于安全考慮別的部門也不能訪問財務(wù)部。而經(jīng)理室應(yīng)該可以訪問所有的部門，但是別的部門是不可以訪問他的基于這些不同的訪問需求，可在三層交換機(jī)上配置ACL語句加以限制。該企業(yè)的三層交換機(jī)位于整個局域網(wǎng)的核心部分，企業(yè)上網(wǎng)的流量、VLAN間的流量、VPN產(chǎn)生的流量全部都要經(jīng)過核心三層交換機(jī)進(jìn)行轉(zhuǎn)發(fā)，所以核心交換機(jī)的速度與穩(wěn)定性非常重要。冗余鏈路是提高網(wǎng)絡(luò)系統(tǒng)可用性的重要方法。目前的技術(shù)中，以鏈路聚合（Link Aggregation）技術(shù)應(yīng)用最為廣泛。鏈路聚合技術(shù)亦稱主干技術(shù)（Trunking）或捆綁

27、技術(shù)（Bonding），其實質(zhì)是將兩臺設(shè)備間的數(shù)條物理鏈路“組合”成邏輯上的一條數(shù)據(jù)通路，稱為一條聚合鏈路，簡單地說就是把多個端口綁定成一個虛擬端口。采用鏈路聚合可以提高數(shù)據(jù)鏈路的帶寬，捆綁起來的鏈路的帶寬相當(dāng)于物理鏈路帶寬之和。鏈路聚合中，成員互相動態(tài)備份，當(dāng)某一鏈路中斷時，其它成員能夠迅速接替其工作，這樣就很好的保障了整個網(wǎng)絡(luò)的穩(wěn)定性。鏈路聚合部分配置摘錄：RTA 配置#/創(chuàng)建手工聚合組RTAlink-aggregation group 1 mode manual/將端口加入聚合組RTA interface ethernet 5/0 RTA Ethernet5/0 port link-ag

28、gregation group 1RTA Ethernet5/0 interface ethernet 5/1RTA Ethernet5/1 port link-aggregation group 1#RTB 配置#/創(chuàng)建手工聚合組RTAlink-aggregation group 1 mode manual/將端口加入聚合組RTA interface ethernet 5/0 RTA Ethernet5/0 port link-aggregation group 1RTA Ethernet5/0 interface ethernet 5/1RTA Ethernet5/1 port link-

29、aggregation group 1#地址轉(zhuǎn)換技術(shù)應(yīng)用地址轉(zhuǎn)換主要分為兩種類型，網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation,NAT）、端口地址轉(zhuǎn)換（Port Address Translation，PAT）。在該企業(yè)的網(wǎng)絡(luò)設(shè)計中，我們主要用到了NAT技術(shù)。在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過NAT把內(nèi)部地址翻譯成合法的IP地址在Internet上使用，其具體的做法是把IP包內(nèi)的地址域用合法的IP地址來替換。 NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設(shè)備中。NAT設(shè)備維護(hù)一個狀態(tài)表，用來把非法的IP地址映射到合法的IP地址上去術(shù)，使得企業(yè)外部可以

30、訪問到該企業(yè)內(nèi)部的WEB服務(wù)器，即可以訪問到該企業(yè)的網(wǎng)站。NAT配置部分摘錄：定義一個地址池nat address-group start-addr end-addr pool-name刪除一個地址池undo nat address-group pool-name每個地址池中的地址必須是連續(xù)的，每個地址池內(nèi)最多可定義64 個地址。增加訪問控制列表和地址池關(guān)聯(lián)nat outbound acl-number address-group pool-name刪除訪問控制列表和地址池關(guān)聯(lián)undo nat outbound acl-number address-group pool-name缺省情況下，訪

31、問控制列表不與任何地址池關(guān)聯(lián)。增加訪問控制列表和接口關(guān)聯(lián) nat outbound acl-number interface刪除訪問控制列表和接口關(guān)聯(lián) undo nat outbound acl-number interface缺省情況下，訪問控制列表不與任何接口關(guān)聯(lián)。STP技術(shù)STP（Spanning Tree Protocol，生成樹協(xié)議）是根據(jù)IEEE協(xié)會制定的802.1D標(biāo)準(zhǔn)建立的，用于在局域網(wǎng)中消除數(shù)據(jù)鏈路層物理環(huán)路的協(xié)議。運(yùn)行該協(xié)議的設(shè)備通過彼此交互報文發(fā)現(xiàn)網(wǎng)絡(luò)中的環(huán)路，并有選擇的對某些端口進(jìn)行阻塞，最終將環(huán)路網(wǎng)絡(luò)結(jié)構(gòu)修剪成無環(huán)路的樹型網(wǎng)絡(luò)結(jié)構(gòu)，從而防止報文在環(huán)路網(wǎng)絡(luò)中不斷增生和無

32、限循環(huán)，避免主機(jī)由于重復(fù)接收相同的報文造成的報文處理能力下降的問題發(fā)生。STP包含了兩個含義，狹義的STP是指IEEE 802.1D中定義的STP協(xié)議，廣義的STP是指包括IEEE 802.1D定義的STP協(xié)議以及各種在它的基礎(chǔ)上經(jīng)過改進(jìn)的生成樹協(xié)議。相關(guān)的協(xié)議規(guī)范有：IEEE 802.1D：Spanning Tree ProtocolIEEE 802.1w：Rapid Spanning Tree ProtocolIEEE 802.1s：Multiple Spanning Tree ProtocolSTP采用的協(xié)議報文是BPDU（Bridge Protocol Data Unit，橋協(xié)議數(shù)據(jù)單

33、元），也稱為配置消息。STP通過在設(shè)備之間傳遞BPDU來確定網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。BPDU中包含了足夠的信息來保證設(shè)備完成生成樹的計算過程。BPDU在STP協(xié)議中分為兩類：配置BPDU（Configuration BPDU）：用于進(jìn)行生成樹計算和維護(hù)生成樹拓?fù)涞膱笪?。TCN BPDU（Topology Change Notification BPDU）：當(dāng)拓?fù)浣Y(jié)構(gòu)發(fā)生變化時，用于通知相關(guān)設(shè)備網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)發(fā)生變化的報文。防火墻技術(shù)一般來說，防火墻具有以下幾種功能：1允許網(wǎng)絡(luò)管理員定義一個中心點來防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。 2可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并報警。3可以作為部署NAT（Network A

34、ddress Translation，網(wǎng)絡(luò)地址變換）的地點，利用NAT技術(shù)，將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應(yīng)起來，用來緩解地址空間短缺的問題。4是審計和記錄Internet使用費用的一個最佳地點。網(wǎng)絡(luò)管理員可以在此向管理部門提供Internet連接的費用情況，查出潛在的帶寬瓶頸位置，并能夠依據(jù)本機(jī)構(gòu)的核算模式提供部門級的計費。5可以連接到一個單獨的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開，并在此部署WWW服務(wù)器和FTP服務(wù)器，將其作為向外部發(fā)布內(nèi)部信息的地點。從技術(shù)角度來講，就是所謂的?；饏^(qū)（DMZ）。4.3設(shè)備選型核心交換機(jī)選型在本企業(yè)網(wǎng)絡(luò)的設(shè)計中，對核心交換機(jī)的要求比較高，基于本網(wǎng)絡(luò)

35、的規(guī)模、用戶當(dāng)前的應(yīng)用、當(dāng)前網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)技術(shù)及應(yīng)用的發(fā)展趨勢，我們對用戶中心交換機(jī)的性能要求作出如下歸納：中心交換機(jī)必須具備足夠的端口，且應(yīng)能夠?qū)崿F(xiàn)多種網(wǎng)絡(luò)帶寬及介質(zhì)的連接能力；必須具備劃分VLAN的功能和三層交換能力，而且要有擴(kuò)展訪問控制列表功能，以保證部門間安全訪問；中心交換機(jī)應(yīng)具備足夠的千兆擴(kuò)展能力，以便能對網(wǎng)絡(luò)主干聯(lián)接及中心交換機(jī)與重要服務(wù)器的聯(lián)接能使用千兆以太網(wǎng)?；谏鲜鰧Ρ揪W(wǎng)絡(luò)中心交換機(jī)性能要求的認(rèn)識，我們推薦 H3C S7500E系列產(chǎn)品是杭州華三通信技術(shù)有限公司（以下簡稱H3C公司）面向融合業(yè)務(wù)網(wǎng)絡(luò)推出的新一代高端多業(yè)務(wù)路由交換機(jī)，該產(chǎn)品基于H3C自主知識產(chǎn)權(quán)的Comware

36、 V5操作系統(tǒng)，融合了MPLS、IPv6、網(wǎng)絡(luò)安全、無線、無源光網(wǎng)絡(luò)等多種業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù)，在提高用戶生產(chǎn)效率的同時，保證了網(wǎng)絡(luò)最大正常運(yùn)行時間，從而降低了客戶的總擁有成本（TCO）。H3C S7500E符合“限制電子設(shè)備有害物質(zhì)標(biāo)準(zhǔn)（RoHS）”，是綠色環(huán)保的路由交換機(jī)。匯聚層換機(jī)選型 同上 接入層交換機(jī)選型為方便跨交換機(jī)的VLAN劃分，優(yōu)化網(wǎng)絡(luò)性能，簡化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，在網(wǎng)絡(luò)設(shè)計中，接入層統(tǒng)一使用 Aolynk S1500E系列數(shù)字電視專用以太網(wǎng)交換機(jī)是H3C公司自主開發(fā)的樓道級二層線速以太網(wǎng)交換機(jī)，全系列產(chǎn)品包括S1508E、S1508E-AC60、S1516E、S1516E-AC60、S1524E，是為要求具備低成本、高性能、高可靠性、高可維護(hù)性且易于安裝而設(shè)計的智能型交換機(jī)。該系列交換機(jī)內(nèi)置AGMP（Aolynk集群管理協(xié)議）受控端，與AG