畢業(yè)論文- 大型企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

1、大型企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)PAGE PAGE 0 PAGE 1 大型企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)摘 要迅速發(fā)展的Internet正在對全世界的信息產(chǎn)業(yè)帶來巨大的變革和深遠(yuǎn)的影響。市場的全球化競爭已成為趨勢。對于大型企業(yè)來說，在調(diào)整發(fā)展戰(zhàn)略時，必須考慮到市場的全球競爭戰(zhàn)略，而這一切也將以信息化平臺為基礎(chǔ)，借助計(jì)算機(jī)網(wǎng)絡(luò)原理及網(wǎng)絡(luò)規(guī)劃技術(shù)，以網(wǎng)絡(luò)通暢為保證。企業(yè)內(nèi)部網(wǎng)（Intranet）是國際互連網(wǎng)（Internet）技術(shù)在企業(yè)內(nèi)部或封閉的用戶群內(nèi)的應(yīng)用。Intranet是使用Internet技術(shù),特別是TCP/IP協(xié)議而建成的企業(yè)內(nèi)部網(wǎng)絡(luò)。這種技術(shù)允許不同計(jì)算機(jī)平臺進(jìn)行互通,且不用考慮其位置。也就是所說的用戶

2、可以對任何一臺進(jìn)行訪問或從任何一臺計(jì)算機(jī)進(jìn)行訪問。本文從企業(yè)網(wǎng)絡(luò)需求開始分析，根據(jù)現(xiàn)階段cisco公司主流網(wǎng)絡(luò)設(shè)備進(jìn)行選材,規(guī)劃最適用于目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),建設(shè)合理的網(wǎng)絡(luò)設(shè)計(jì)方案。本課題實(shí)施部分由GNS3模擬器來搭建網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，利用cisco設(shè)備操作系統(tǒng)unzip-c2691-advsecurityk9-mz.124-11.T2作為拓?fù)鋬?nèi)所有設(shè)備核心IOS，然后用SecureCRT進(jìn)行路由器交換機(jī)的相關(guān)配置，并測試其結(jié)果最終驗(yàn)證網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì)符合大型企業(yè)的需求。關(guān)鍵詞：企業(yè)網(wǎng)絡(luò)，拓?fù)浣Y(jié)構(gòu)，冗余，路由，交換Large Enterprise Network Planning and Desig

3、nAbstractThe rapid development of the Internet is all over the world information industry of enormous change and far-reaching consequences. Market competition has become the trend of globalization. For large enterprises, in adjusting the development strategy, must take into account the markets globa

4、l competitiveness strategy, and all this information platform will also be based on the principle of the use of computer networks and network planning technology to the network in order to ensure patency. Intranet is an international Internet technology in the enterprise or within a closed user grou

5、p applications. Intranet is the use of Internet technologies, especially TCP / IP protocol and the completion of the enterprise internal network. This technology allows interoperability of different computer platforms, and do not have to consider its position. That is what the user can visit any or

6、from any computer access. From the start the whole enterprise class network needs analysis, based on the mainstream stage cisco network equipment company selection, with the goal to build the most suitable network topology, designed with network technology. As part of this implementation to build th

7、e simulator GNS3 network topology, the use of cisco device operating systems unzip-c2691-advsecurityk9-mz.124-11.T2 for all equipment within the core topology IOS, routers and switches using SecureCRT for the configuration, and view the experimental results to verify that the network meets business

8、needs.Keywords：Enterprise networks, Topology, Redundancy, Routing, Switching目錄TOC o 1-3 h u HYPERLINK l _Toc18917 第1章 緒論 PAGEREF _Toc18917 1 HYPERLINK l _Toc11159 1.1研究背景 PAGEREF _Toc11159 1 HYPERLINK l _Toc32226 1.2目的和意義 PAGEREF _Toc32226 2 HYPERLINK l _Toc21833 第2章 關(guān)鍵的網(wǎng)絡(luò)技術(shù)原理 PAGEREF _Toc21833 3 HY

9、PERLINK l _Toc1769 2.1 大型企業(yè)網(wǎng)絡(luò)的定位 PAGEREF _Toc1769 3 HYPERLINK l _Toc8826 2.2 關(guān)鍵技術(shù)研究 PAGEREF _Toc8826 3 HYPERLINK l _Toc30375 2.2.1路由技術(shù) PAGEREF _Toc30375 3 HYPERLINK l _Toc7410 2.2.2交換技術(shù) PAGEREF _Toc7410 4 HYPERLINK l _Toc15178 2.2.3 遠(yuǎn)程訪問技術(shù) PAGEREF _Toc15178 4 HYPERLINK l _Toc32649 2.2.4 VLAN PAGEREF

10、 _Toc32649 4 HYPERLINK l _Toc7203 2.2.5 DHCP PAGEREF _Toc7203 5 HYPERLINK l _Toc29886 2.2.6 GRE PAGEREF _Toc29886 5 HYPERLINK l _Toc24676 2.2.7 VPN PAGEREF _Toc24676 6 HYPERLINK l _Toc31487 2.2.8 PVST PAGEREF _Toc31487 6 HYPERLINK l _Toc6330 2.2.9 HSRP PAGEREF _Toc6330 7 HYPERLINK l _Toc9300 2.2.10

11、AAA認(rèn)證 PAGEREF _Toc9300 7 HYPERLINK l _Toc2774 第3章 大型企業(yè)網(wǎng)絡(luò)需求分析 PAGEREF _Toc2774 9 HYPERLINK l _Toc21582 3.1 案例分析 PAGEREF _Toc21582 9 HYPERLINK l _Toc30242 3.2 大型企業(yè)網(wǎng)絡(luò)分析 PAGEREF _Toc30242 11 HYPERLINK l _Toc30301 3.2.1 寬帶性能需求 PAGEREF _Toc30301 11 HYPERLINK l _Toc25397 3.2.2 穩(wěn)定可靠需求 PAGEREF _Toc25397 11 H

12、YPERLINK l _Toc14342 3.2.3 服務(wù)質(zhì)量需求 PAGEREF _Toc14342 12 HYPERLINK l _Toc31677 3.2.4 網(wǎng)絡(luò)安全需求 PAGEREF _Toc31677 12 HYPERLINK l _Toc28040 3.2.5 應(yīng)用服務(wù)需求 PAGEREF _Toc28040 12 HYPERLINK l _Toc5889 3.3 本課題系統(tǒng)需求分析 PAGEREF _Toc5889 13 HYPERLINK l _Toc15607 第4章 網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn) PAGEREF _Toc15607 14 HYPERLINK l _Toc18214 4.

13、1 大型企業(yè)網(wǎng)絡(luò)拓?fù)鋱D PAGEREF _Toc18214 14 HYPERLINK l _Toc19154 4.2 VLAN及IP地址的規(guī)劃 PAGEREF _Toc19154 14 HYPERLINK l _Toc21975 4.3 關(guān)鍵網(wǎng)絡(luò)設(shè)備及數(shù)量 PAGEREF _Toc21975 15 HYPERLINK l _Toc15514 4.4 關(guān)鍵網(wǎng)絡(luò)設(shè)備介紹 PAGEREF _Toc15514 16 HYPERLINK l _Toc21258 4.5網(wǎng)絡(luò)設(shè)備配置 PAGEREF _Toc21258 18 HYPERLINK l _Toc18692 4.5.1 基礎(chǔ)配置 PAGEREF

14、_Toc18692 18 HYPERLINK l _Toc12009 4.5.2 使用VTP PAGEREF _Toc12009 19 HYPERLINK l _Toc2733 4.5.3 劃分VLAN PAGEREF _Toc2733 21 HYPERLINK l _Toc24633 4.5.4 交換鏈路封裝 PAGEREF _Toc24633 22 HYPERLINK l _Toc12669 4.5.5 PVST技術(shù) PAGEREF _Toc12669 23 HYPERLINK l _Toc25260 4.5.6 PVST的三個FAST PAGEREF _Toc25260 23 HYPER

15、LINK l _Toc20510 4.5.7 DHCP PAGEREF _Toc20510 24 HYPERLINK l _Toc29948 4.5.8 HSRP PAGEREF _Toc29948 26 HYPERLINK l _Toc11825 4.5.9 根防護(hù) PAGEREF _Toc11825 27 HYPERLINK l _Toc31952 4.5.10 路由協(xié)議 PAGEREF _Toc31952 27 HYPERLINK l _Toc3370 4.5.11 GRE-VPN PAGEREF _Toc3370 29 HYPERLINK l _Toc26282 4.5.12 AAA服

16、務(wù)器 PAGEREF _Toc26282 31 HYPERLINK l _Toc31986 4.5.13 PBR 20M專線 PAGEREF _Toc31986 31 HYPERLINK l _Toc19061 4.5.14 網(wǎng)管控制 PAGEREF _Toc19061 32 HYPERLINK l _Toc1734 4.5.15其他配置 PAGEREF _Toc1734 33 HYPERLINK l _Toc8566 4.6 施工管理 PAGEREF _Toc8566 34 HYPERLINK l _Toc26607 4.6.1 施工前準(zhǔn)備 PAGEREF _Toc26607 34 HYPE

17、RLINK l _Toc156 4.6.2 設(shè)備及材料 PAGEREF _Toc156 34 HYPERLINK l _Toc9022 4.6.3 施工過程管理 PAGEREF _Toc9022 34 HYPERLINK l _Toc8843 4.6.4 施工完成后質(zhì)量的檢查和驗(yàn)收 PAGEREF _Toc8843 34 HYPERLINK l _Toc10106 4.6.5 施工步驟 PAGEREF _Toc10106 35 HYPERLINK l _Toc9947 第5章 網(wǎng)絡(luò)效果驗(yàn)證 PAGEREF _Toc9947 36 HYPERLINK l _Toc31260 5.1 關(guān)鍵三層設(shè)備

18、路由表 PAGEREF _Toc31260 36 HYPERLINK l _Toc22619 5.1.1 接入路由器R1路由表 PAGEREF _Toc22619 36 HYPERLINK l _Toc4366 5.1.2 核心層交換機(jī)HX1路由表 PAGEREF _Toc4366 37 HYPERLINK l _Toc6742 5.1.3 匯聚層交換機(jī)FB1路由表 PAGEREF _Toc6742 38 HYPERLINK l _Toc6987 5.2網(wǎng)絡(luò)連通性驗(yàn)證 PAGEREF _Toc6987 39 HYPERLINK l _Toc23859 5.2.1 本部接入層交換機(jī)SW1訪問服務(wù)

19、器 PAGEREF _Toc23859 39 HYPERLINK l _Toc14224 5.2.2 外地分公司R4訪問服務(wù)器 PAGEREF _Toc14224 39 HYPERLINK l _Toc15594 5.2.3 外地分公司SW10訪問本部接入交換機(jī) PAGEREF _Toc15594 39 HYPERLINK l _Toc20860 5.3 VPN效果驗(yàn)證 PAGEREF _Toc20860 40 HYPERLINK l _Toc16403 第6章 結(jié)束語 PAGEREF _Toc16403 41 HYPERLINK l _Toc24789 致謝 PAGEREF _Toc2478

20、9 42 HYPERLINK l _Toc9387 參考文獻(xiàn) PAGEREF _Toc9387 43 HYPERLINK l _Toc25545 附錄 PAGEREF _Toc25545 44第1章 緒論1.1研究背景今天，迅速發(fā)展的Internet正在對全世界的信息產(chǎn)業(yè)帶來巨大的變革和深遠(yuǎn)的影響。市場的全球化競爭已成為趨勢。21世紀(jì)的中國正在向市場多元化、全球化的方向發(fā)展。對于大型企業(yè)來說，在調(diào)整發(fā)展戰(zhàn)略時，必須考慮到市場的全球競爭戰(zhàn)略，而這一切也將以信息化平臺為基礎(chǔ)，借助計(jì)算機(jī)網(wǎng)絡(luò)原理及網(wǎng)絡(luò)規(guī)劃技術(shù)，以網(wǎng)絡(luò)通暢為保證。國內(nèi)越來越多的企業(yè)也已經(jīng)或正在考慮使用Internet/Intranet

21、技術(shù),以建設(shè)企業(yè)規(guī)劃化的信息處理系統(tǒng)。因?yàn)楝F(xiàn)代企業(yè)的信息大多都來自于互連網(wǎng)，通過網(wǎng)絡(luò)，企業(yè)可以更快速的接收到來自全球的市場信息；通過Internet與外部世界交換信息，企業(yè)規(guī)劃者可以更快地對企業(yè)作出正確的宏觀調(diào)控與決策，以適應(yīng)市場趨勢。企業(yè)與全世界聯(lián)系起來,極大地提高了信息收集的能力和效率。隨著Intranet技術(shù)的不斷發(fā)展,計(jì)算機(jī)已經(jīng)逐漸應(yīng)用到企業(yè)中的各個關(guān)鍵部分,極大的提高了企業(yè)的工作效率。對于規(guī)模較大的企業(yè)來說，這一點(diǎn)尤為重要。而有些大型企業(yè)根據(jù)其自身性質(zhì)等對于網(wǎng)絡(luò)有著更多的需求。比如中國電信、中國網(wǎng)通、中國銀行，它們對網(wǎng)絡(luò)有一點(diǎn)十分重要的需求，那就是網(wǎng)路通路，流量不可斷。因?yàn)槿袊蟛?/p>

22、分的金融和通信都經(jīng)過這些企業(yè)，他們的網(wǎng)絡(luò)的穩(wěn)定性直接關(guān)系到國家的政治經(jīng)濟(jì)基礎(chǔ)等各個方面。所以對于這些大型企業(yè)的網(wǎng)絡(luò)設(shè)計(jì)必須考慮到流量等細(xì)節(jié)問題。當(dāng)今中國網(wǎng)絡(luò)的另一個重大問題就是安全。由于中國的網(wǎng)絡(luò)發(fā)展較晚，網(wǎng)絡(luò)的安全沒有作到非常完善。而且很多早期起用的網(wǎng)絡(luò)無論從結(jié)構(gòu)還是技術(shù)上都有很多設(shè)計(jì)不合理的問題，這也導(dǎo)致了網(wǎng)絡(luò)的安全性差。在企業(yè)的某些關(guān)鍵部門（如財(cái)務(wù)科等），如果有不法分子利用網(wǎng)絡(luò)中的漏洞修改或者竊取商業(yè)機(jī)密文件，也會對企業(yè)自身造成不可挽回的甚至是毀滅性的危害。當(dāng)然，企業(yè)也會對一些細(xì)節(jié)問題提出要求。比如市場部門可以上網(wǎng)查閱資料而技術(shù)部門不可；或者從周一上午九點(diǎn)到周五下午五點(diǎn)可以上網(wǎng)，而其他時

23、間段網(wǎng)絡(luò)無流量；再或者高層領(lǐng)導(dǎo)組可以監(jiān)控財(cái)務(wù)部門的檔案文件而其他部門則沒有這樣的權(quán)限。這些都是網(wǎng)絡(luò)設(shè)計(jì)者需要考慮的問題。1.2目的和意義企業(yè)內(nèi)部網(wǎng)（Intranet）是國際互連網(wǎng)（Internet）技術(shù)在企業(yè)內(nèi)部或封閉的用戶群內(nèi)的應(yīng)用。簡單地說,Intranet是使用Internet技術(shù),特別是TCP/IP協(xié)議而建成的企業(yè)內(nèi)部網(wǎng)絡(luò)。這種技術(shù)允許不同計(jì)算機(jī)平臺進(jìn)行互通,且不用考慮其位置。也就是所說的用戶可以對任何一臺進(jìn)行訪問或從任何一臺計(jì)算機(jī)進(jìn)行訪問1?；谶@種種的現(xiàn)實(shí)問題，企業(yè)必須從企業(yè)局域網(wǎng)的概念及相關(guān)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)入手，詳細(xì)地設(shè)計(jì)企業(yè)網(wǎng)建設(shè)的實(shí)施方案及建設(shè)規(guī)劃,以達(dá)到先進(jìn)、安全、實(shí)用、可靠

24、的目標(biāo).對該企業(yè)的組網(wǎng)需求進(jìn)行分析，比較各種組網(wǎng)技術(shù)，從實(shí)用角度論述局域網(wǎng)主干網(wǎng)選擇，綜合布線，各種設(shè)備選擇，網(wǎng)絡(luò)安全，網(wǎng)絡(luò)管理等方面。我們的網(wǎng)絡(luò)要具有一定的靈活性。當(dāng)企業(yè)發(fā)展到一定規(guī)模,企業(yè)在外地設(shè)有許多分支機(jī)構(gòu)。這時,為加快企業(yè)內(nèi)部的信息流通,企業(yè)需要將總部和各分支機(jī)構(gòu)連接起來。遠(yuǎn)程企業(yè)對網(wǎng)絡(luò)的需求是：通過internet接入, 在整個公司實(shí)現(xiàn)數(shù)據(jù)快速傳輸、辦公自動化,最終實(shí)現(xiàn)企業(yè)無紙化辦公；企業(yè)擁有自己的ip地址和域名,在公司主機(jī)上建立網(wǎng)站,向外界宣傳企業(yè)形象、公司各項(xiàng)業(yè)務(wù)、活動及最新成果等；以ip電話方式節(jié)省企業(yè)大部分的長途話費(fèi),亦可通過ip網(wǎng)絡(luò)來實(shí)現(xiàn)視頻會議；整個公司需要一個運(yùn)行可靠

25、、費(fèi)用合理的通信系統(tǒng)；實(shí)現(xiàn)telnet等網(wǎng)絡(luò)服務(wù)；建立一個功能全面、使用方便的管理信息系統(tǒng),使總公司與各地分支機(jī)構(gòu)之間的業(yè)務(wù)審批電子化,各項(xiàng)工作能夠協(xié)同完成。實(shí)現(xiàn)結(jié)構(gòu)化布線、網(wǎng)絡(luò)的設(shè)計(jì)與規(guī)劃、資源共享、專線接入Internet、WWW服務(wù)器、軟硬件配置、劃分企業(yè)子網(wǎng)等技術(shù)實(shí)施。第2章 關(guān)鍵的網(wǎng)絡(luò)技術(shù)原理 2.1 大型企業(yè)網(wǎng)絡(luò)的定位 企業(yè)網(wǎng)是指覆蓋企業(yè)和企業(yè)與分公司之間的網(wǎng)絡(luò)，為企業(yè)的多種通信協(xié)議提供綜合傳送平臺的網(wǎng)絡(luò)。企業(yè)網(wǎng)應(yīng)以多業(yè)務(wù)光傳輸網(wǎng)絡(luò)為基礎(chǔ)，實(shí)現(xiàn)語音、數(shù)據(jù)、圖像、多媒體等的接入。企業(yè)網(wǎng)是企業(yè)內(nèi)各部門的橋接區(qū)，主要完成接入網(wǎng)中的子公司和工作人員與企業(yè)骨干業(yè)務(wù)網(wǎng)絡(luò)之間全方位的互通。因此電

26、子商務(wù)公司企業(yè)網(wǎng)的定位應(yīng)是為企業(yè)網(wǎng)應(yīng)用提供多業(yè)務(wù)傳送的綜合解決方案。2.2 關(guān)鍵技術(shù)研究 本設(shè)計(jì)方案采用的是全部Cisco的網(wǎng)絡(luò)設(shè)備，全網(wǎng)使用統(tǒng)一廠家得設(shè)備以實(shí)現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。還有就是一些網(wǎng)絡(luò)協(xié)議都是一些廠家私有的，如EIGRP、HDLC等。因?yàn)槊總€廠家都有屬于自己的EIGRP、HDLC所以不同廠家的設(shè)備就不能使用這些網(wǎng)絡(luò)協(xié)議。2.2.1路由技術(shù)路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時選擇最佳路徑的能力。除了可以完成主要的路由任務(wù)，利用訪問控制列表，路由器還可以用來完成以路由器為中心的流量控制和過濾功能

27、。在本工程案例設(shè)計(jì)中，內(nèi)網(wǎng)用戶不僅通過路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過3層交換機(jī)上的路由功能進(jìn)行數(shù)據(jù)包交換。路由器是外網(wǎng)進(jìn)入企業(yè)網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問控制列表（Access Control List，ACL）是保護(hù)內(nèi)網(wǎng)安全的有效手段。一個設(shè)計(jì)良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進(jìn)行縝密的設(shè)計(jì)，來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實(shí)施保

28、護(hù)2。2.2.2交換技術(shù)傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層?，F(xiàn)代交換技術(shù)還實(shí)現(xiàn)了第3層交換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了企業(yè)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要?，F(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN）的概念。VLAN將廣播域限制在單個VLAN內(nèi)部，減小了各VLAN間主機(jī)的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術(shù)來實(shí)現(xiàn)。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時，可以使用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）簡化管理，它只需

29、在單獨(dú)一臺交換機(jī)上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。為了簡化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，在企業(yè)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)行的。企業(yè)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次：接入層、分布層、核心層。接入層為所有的終端用戶提供一個接入點(diǎn)；分布層除了負(fù)責(zé)將訪問層交換機(jī)進(jìn)行匯集外，還為整個交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能；核心層將各分布層交換機(jī)互連起來進(jìn)行穿越企業(yè)網(wǎng)骨干的高速數(shù)據(jù)交換。在本工程案例設(shè)計(jì)中，也將采用這三層進(jìn)行分開設(shè)計(jì)、配置3。2.2.3 遠(yuǎn)程訪問技術(shù)遠(yuǎn)程訪問也是企業(yè)網(wǎng)絡(luò)必須提供的服務(wù)

30、之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務(wù)。遠(yuǎn)程訪問有三種可選的服務(wù)類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同，花費(fèi)也不相同。企業(yè)用戶可以根據(jù)所需帶寬、本地服務(wù)可用性、花費(fèi)等因素綜合考慮，選擇一種適合企業(yè)自身需要的廣域網(wǎng)接入方案。在本工程案例設(shè)計(jì)中，分別采用專線連接的VPN和PBR兩種方式實(shí)現(xiàn)遠(yuǎn)程訪問需求4。2.2.4 VLANVLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的8

31、02.1Q協(xié)議標(biāo)準(zhǔn)草案。 VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，即使是兩臺計(jì)算機(jī)有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 VLAN是為解決以太網(wǎng)

32、的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò)。 既然VLAN隔離了廣播風(fēng)暴，同時也隔離了各個不同的VLAN之間的通訊，所以不同的VLAN之間的通訊是需要有路由來完成的5。2.2.5 DHCPDHCP 是 Dynamic Host Configuration Protocol(動態(tài)主機(jī)分配協(xié)議)縮寫。它分為兩個部份：一個是服務(wù)器端，而另一個是客戶端。所有的 IP 網(wǎng)絡(luò)設(shè)定數(shù)據(jù)都由 DHCP 服務(wù)器集中管

33、理，并負(fù)責(zé)處理客戶端的 DHCP 要求；而客戶端則會使用從服務(wù)器分配下來的IP環(huán)境數(shù)據(jù)。比較起 BOOTP ，DHCP 透過 租約 的概念，有效且動態(tài)的分配客戶端的 TCP/IP 設(shè)定，而且，作為兼容考慮，DHCP 的分配形式 首先，必須至少有一臺 DHCP 工作在網(wǎng)絡(luò)上面，它會監(jiān)聽網(wǎng)絡(luò)的 DHCP 請求，并與客戶端磋商 TCP/IP 的設(shè)定環(huán)境。DHCP是BOOTP的擴(kuò)展，是基于C/S模式的，它提供了一種動態(tài)指定IP地址和配置參數(shù)的機(jī)制。這主要用于大型網(wǎng)絡(luò)環(huán)境和配置比較困難的地方。DHCP服務(wù)器自動為客戶機(jī)指定IP地址，指定的配置參數(shù)有些和IP協(xié)議并不相關(guān)，但這必沒有關(guān)系，它的配置參數(shù)使得網(wǎng)

34、絡(luò)上的計(jì)算機(jī)通信變得方便而容易實(shí)現(xiàn)了。DHCP使IP地址的可以租用，對于許多擁有許多臺計(jì)算機(jī)的大型網(wǎng)絡(luò)來說，每臺計(jì)算機(jī)擁有一個IP地址有時候可能是不必要的。租期從1分鐘到100年不定，當(dāng)租期到了的時候，服務(wù)器可以把這個IP地址分配給別的機(jī)器使用?？蛻粢部梢哉埱笫褂米约合矚g的網(wǎng)絡(luò)地址及相應(yīng)的配置參數(shù)6。2.2.6 GRE 通用路由封裝（GRE: Generic Routing Encapsulation）定義了在任意一種網(wǎng)絡(luò)層協(xié)議上封裝任意一個其它網(wǎng)絡(luò)層協(xié)議的協(xié)議。在大多數(shù)常規(guī)情況下，系統(tǒng)擁有一個有效載荷（或負(fù)載）包，需要將它封裝并發(fā)送至某個目的地。首先將有效載荷封裝在一個 GRE 包中，然后將

35、此 GRE 包封裝在其它某協(xié)議中并進(jìn)行轉(zhuǎn)發(fā)。此外發(fā)協(xié)議即為發(fā)送協(xié)議。當(dāng) IPv4 被作為 GRE 有效載荷傳輸時，協(xié)議類型字段必須被設(shè)置為 0 x800。當(dāng)一個隧道終點(diǎn)拆封此含有 IPv4 包作為有效載荷的 GRE 包時，IPv4 包頭中的目的地址必須用來轉(zhuǎn)發(fā)包，并且需要減少有效載荷包的 TTL。值得注意的是，在轉(zhuǎn)發(fā)這樣一個包時，如果有效載荷包的目的地址就是包的封裝器（也就是隧道另一端），就會出現(xiàn)回路現(xiàn)象。在此情形下，必須丟棄該包。當(dāng) GRE 包被封裝在 IPv4 中時，需要使用 IPv4 協(xié)議 47。GRE 下的網(wǎng)絡(luò)安全與常規(guī)的 IPv4 網(wǎng)絡(luò)安全是較為相似的，GRE 下的路由采用 IPv4

36、 原本使用的路由，但路由過濾保持不變 。包過濾要求防火墻檢查 GRE 包，或者在 GRE 隧道終點(diǎn)完成過濾過程。在那些這被看作是安全問題的環(huán)境下，可以在防火墻上終止隧道4。2.2.7 VPNVPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費(fèi)用

37、，也不用購買路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機(jī)，防火墻設(shè)備或WINDOWS2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)

38、有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)4。2.2.8 PVSTPVST: Per-VLAN Spanning Tree（每VLAN生成樹） PVST是解決在虛擬局域網(wǎng)上處理生成樹的CISCO特有解決方案PVST為每個虛擬局域網(wǎng)運(yùn)行單獨(dú)的生成樹實(shí)例一般情況下PVST要求在交換機(jī)之間的中繼鏈路上運(yùn)行CISCO的ISL。 每VLAN生成樹 (PVST)為每個在網(wǎng)絡(luò)中配置的VLAN維護(hù)一個生成樹實(shí)例。它使用ISL中繼和允許一個VLAN中繼當(dāng)被其它VLANs的阻塞時將一些VLANs轉(zhuǎn)發(fā)。盡管PVST對待每個VLAN作為一個單獨(dú)的網(wǎng)絡(luò)，它有能力(在第2層)通過一些在主干和其它在另一個主干中的不引

39、起生成樹循環(huán)的Vlans中的一些VLANs來負(fù)載平衡通信7。2.2.9 HSRPHSRP：熱備份路由器協(xié)議（HSRP：Hot Standby Router Protocol）熱備份路由器協(xié)議（HSRP）的設(shè)計(jì)目標(biāo)是支持特定情況下 IP 流量失敗轉(zhuǎn)移不會引起混亂、并允許主機(jī)使用單路由器，以及即使在實(shí)際第一跳路由器使用失敗的情形下仍能維護(hù)路由器間的連通性。換句話說，當(dāng)源主機(jī)不能動態(tài)知道第一跳路由器的 IP 地址時，HSRP 協(xié)議能夠保護(hù)第一跳路由器不出故障。該協(xié)議中含有多種路由器，對應(yīng)一個虛擬路由器。HSRP 協(xié)議只支持一個路由器代表虛擬路由器實(shí)現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過程。終端主機(jī)將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該

40、虛擬路由器上。負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動路由器（Active Router）。一旦主動路由器出現(xiàn)故障，HSRP 將激活備份路由器（Standby Routers）取代主動路由器。HSRP 協(xié)議提供了一種決定使用主動路由器還是備份路由器的機(jī)制，并指定一個虛擬的 IP 地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。如果主動路由器出現(xiàn)故障，備份路由器（Standby Routers）承接主動路由器的所有任務(wù)，并且不會導(dǎo)致主機(jī)連通中斷現(xiàn)象。HSRP 運(yùn)行在 UDP 上，采用端口號1985。路由器轉(zhuǎn)發(fā)協(xié)議數(shù)據(jù)包的源地址使用的是實(shí)際 IP 地址，而并非虛擬地址，正是基于這一點(diǎn)，HSRP 路由器間能相互識別10。2

41、.2.10 AAA認(rèn)證AAA身份驗(yàn)證 (Authentication)、授權(quán) (Authorization)和統(tǒng)計(jì) (Accounting)Cisco開發(fā)的一個提供網(wǎng)絡(luò)安全的系統(tǒng)。AAA ，認(rèn)證(Authentication)：驗(yàn)證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù);授權(quán)(Authorization)：依據(jù)認(rèn)證結(jié)果開放網(wǎng)絡(luò)服務(wù)給用戶;計(jì)帳(Accounting)：記錄用戶對各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計(jì)費(fèi)系統(tǒng)。整個系統(tǒng)在網(wǎng)絡(luò)管理與安全問題中十分有效。首先，認(rèn)證部分提供了對用戶的認(rèn)證。整個認(rèn)證通常是采用用戶輸入用戶名與密碼來進(jìn)行權(quán)限審核。認(rèn)證的原理是每個用戶都有一個唯一的權(quán)限獲得標(biāo)準(zhǔn)。由AAA服務(wù)器將

42、用戶的標(biāo)準(zhǔn)同數(shù)據(jù)庫中每個用戶的標(biāo)準(zhǔn)一一核對。如果符合，那么對用戶認(rèn)證通過。如果不符合，則拒絕提供網(wǎng)絡(luò)連接。接下來，用戶還要通過授權(quán)來獲得操作相應(yīng)任務(wù)的權(quán)限。比如，登陸系統(tǒng)后，用戶可能會執(zhí)行一些命令來進(jìn)行操作，這時，授權(quán)過程會檢測用戶是否擁有執(zhí)行這些命令的權(quán)限。簡單而言，授權(quán)過程是一系列強(qiáng)迫策略的組合，包括：確定活動的種類或質(zhì)量、資源或者用戶被允許的服務(wù)有哪些。授權(quán)過程發(fā)生在認(rèn)證上下文中。一旦用戶通過了認(rèn)證，他們也就被授予了相應(yīng)的權(quán)限。最后一步是帳戶，這一過程將會計(jì)算用戶在連接過程中消耗的資源數(shù)目。這些資源包括連接時間或者用戶在連接過程中的收發(fā)流量等等?？梢愿鶕?jù)連接過程的統(tǒng)計(jì)日志以及用戶信息，還

43、有授權(quán)控制、賬單、趨勢分析、資源利用以及容量計(jì)劃活動來執(zhí)行帳戶過程。驗(yàn)證授權(quán)和帳戶由AAA服務(wù)器來提供。AAA服務(wù)器是一個能夠提供這三項(xiàng)服務(wù)的程序。當(dāng)前同AAA服務(wù)器協(xié)作的網(wǎng)絡(luò)連接服務(wù)器接口是“遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù) (RADIUS)”10。第3章 大型企業(yè)網(wǎng)絡(luò)需求分析3.1 案例分析Cisco公司已經(jīng)成功地在中國實(shí)踐了前述的教育網(wǎng)絡(luò)設(shè)計(jì)思想，特別是河南省教育科研寬帶IP骨干網(wǎng)絡(luò)全部采用了先進(jìn)的高速寬帶 光傳輸網(wǎng)絡(luò)技術(shù)，已經(jīng)成為這類新型教育網(wǎng)絡(luò)的典范。河南省教育科研寬帶IP網(wǎng)絡(luò)全面采用Cisco公司的AVVID網(wǎng)絡(luò)體系結(jié)構(gòu)，一期工程總共采用了10臺Cisco GSR 12016和GSR120

44、12，近20臺Cisco OSR 6509，其他各類交換機(jī)和路由器數(shù)百臺。該網(wǎng)絡(luò)集成了遠(yuǎn)程教學(xué)等多種多媒體應(yīng)用，特別是采用了550部Cisco的新型7940 IP電話和4套CallManager組建了我國第一個省級IP Telephony網(wǎng)絡(luò)，并結(jié)合Cisco視頻產(chǎn)品IPTV系列建立了許多新的教育模式。這一網(wǎng)絡(luò)基于分層設(shè)計(jì)分為三層：骨干傳輸網(wǎng)、城域網(wǎng)、接入網(wǎng)，采用三級管理模式：省網(wǎng)絡(luò)中心、地市網(wǎng)絡(luò)中心、校園網(wǎng)，連接省內(nèi)各大中專院校、各中小學(xué)校、各級教育主管部門和其他教育科研單位，未來更將延伸到每一個需要教育培訓(xùn)的公眾面前。骨干網(wǎng)絡(luò)由分布在17個地市的核心節(jié)點(diǎn)組成，與河南省廣電合作利用其光纖資源

45、，全省形成環(huán)網(wǎng)狀冗余拓?fù)浣Y(jié)構(gòu)。在各個核心節(jié)點(diǎn)分別配置Cisco公司在國際上多次獲獎的千兆位路由交換機(jī) GSR 12000系列中的 12016和12012作為核心傳輸設(shè)備，節(jié)點(diǎn)間使用裸光纖配合POS 技術(shù)實(shí)現(xiàn)OC-482.48G鏈路互連并采用HSRP技術(shù)，以提供物理層、鏈路層及IP層的冗余連接能力。根據(jù)各地市的具體情況，可以建設(shè)城域教育網(wǎng)絡(luò)也可以在核心節(jié)點(diǎn)配置匯接設(shè)備直接解決接入網(wǎng)絡(luò)的接入問題，匯接設(shè)備可選用Cisco 12012或6509，采用POS、DPT或千兆以太技術(shù)，傳輸速率可達(dá)12.48Gbps，具體設(shè)計(jì)可以非常靈活。基于Cisco IOS的多功能網(wǎng)絡(luò)平臺：網(wǎng)絡(luò)中采用的網(wǎng)絡(luò)設(shè)備均采用C

46、isco IOS (Internetworking Operation System互聯(lián)網(wǎng)絡(luò)操作系統(tǒng))為核心功能軟件。Cisco IOS集成了路由技術(shù)，局域網(wǎng)交換技術(shù)，ATM交換技術(shù)，各種移動遠(yuǎn)程訪問接入技術(shù)，廣域網(wǎng)互連技術(shù)等超過15,000個網(wǎng)絡(luò)互連功能，已經(jīng)成為網(wǎng)絡(luò)互連的標(biāo)準(zhǔn)。CiscoIOS系統(tǒng)支持今天的絕大多數(shù)網(wǎng)絡(luò)應(yīng)用系統(tǒng)，同時Cisco IOS系統(tǒng)可提供從數(shù)據(jù)鏈路層到應(yīng)用層的多種網(wǎng)絡(luò)服務(wù)，如：L2/L3VPN(虛擬專網(wǎng))，VPDN(虛擬撥號專網(wǎng))，以及對MPLS技術(shù)的支持允許提供各種網(wǎng)絡(luò)增值服務(wù)。豐富的網(wǎng)絡(luò)安全機(jī)制：網(wǎng)絡(luò)設(shè)計(jì)是按照標(biāo)準(zhǔn)ISP(國際互聯(lián)網(wǎng)絡(luò)服務(wù)商)方式設(shè)計(jì)的IP交換網(wǎng)絡(luò)

47、平臺。整個網(wǎng)絡(luò)與國際互聯(lián)網(wǎng)絡(luò)平滑連接，因此網(wǎng)絡(luò)的安全性尤其重要。方案中采用Cisco IOS多種安全策略： 1) 網(wǎng)絡(luò)路由信息交換安全策略：包含路由器的認(rèn)證，路由信息過濾，多種動態(tài)路由協(xié)議信息交換控制等。 2) 網(wǎng)絡(luò)服務(wù)安全控制：包含標(biāo)準(zhǔn)訪問控制列表(ACL)，擴(kuò)展的訪問控制列表(Extend ACL)，動態(tài)訪問控制列表(Refliex ACL)，按數(shù)據(jù)流的訪問統(tǒng)計(jì)和監(jiān)控(Netflow)，網(wǎng)絡(luò)資源訪問用戶認(rèn)證/授權(quán)和記帳(lock & key)。 3) 基于網(wǎng)絡(luò)層的加密：網(wǎng)絡(luò)設(shè)備可提供基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)層加密技術(shù)：IPSec ，可以提供高可靠的網(wǎng)絡(luò)訪問安全機(jī)制。 4) 網(wǎng)絡(luò)攻擊防范：Cisco

48、IOS可通過對網(wǎng)絡(luò)訪問連接的監(jiān)控和分析，發(fā)現(xiàn)可能出現(xiàn)的網(wǎng)絡(luò)攻擊，如Sync Attack 等，并采取相應(yīng)的的控制手段保護(hù)網(wǎng)絡(luò)資源。 5) 網(wǎng)絡(luò)系統(tǒng)告警(Syslog)：網(wǎng)絡(luò)中采用的設(shè)備可對監(jiān)控到的網(wǎng)絡(luò)攻擊和各種非正常訪問發(fā)出告警，提醒網(wǎng)絡(luò)管理人員及時發(fā)現(xiàn)問題并采取相應(yīng)安全策略。 設(shè)備安全：網(wǎng)絡(luò)的各種安全策略的實(shí)現(xiàn)均基于網(wǎng)絡(luò)設(shè)備的安全設(shè)置，這使得網(wǎng)絡(luò)設(shè)備本身的安全控制顯得尤其重要。網(wǎng)絡(luò)設(shè)備本身具有多種訪問控制安全策略： 1) 多級訪問控制密碼：網(wǎng)絡(luò)中各設(shè)備訪問控制可通過15級不同的訪問權(quán)限，網(wǎng)管人員可設(shè)置不同的訪問權(quán)限。如：普通操作員只能監(jiān)視設(shè)備運(yùn)行，不可進(jìn)行其他操作；高級的管理員可做故障診斷，

49、不可修改設(shè)備配置文件；系統(tǒng)管理員可具有所有功能權(quán)限等。 2) 網(wǎng)絡(luò)管理系統(tǒng)的安全控制：由于本網(wǎng)絡(luò)中網(wǎng)絡(luò)管理系統(tǒng)采用標(biāo)準(zhǔn)的SNMP網(wǎng)絡(luò)管理技術(shù)，因此網(wǎng)絡(luò)設(shè)備的網(wǎng)管可能出現(xiàn)漏洞。本網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備可提供多種保護(hù)手段，如：特別的網(wǎng)管訪問密碼；由設(shè)備指定特別的網(wǎng)絡(luò)管理工作站系統(tǒng)等。 易管理維護(hù)的網(wǎng)絡(luò)：由于采用了IP骨干技術(shù)、DHCP技術(shù)和MPLS技術(shù)，使得網(wǎng)絡(luò)的管理簡單化。這可以使網(wǎng)絡(luò)管理人員大為精簡，節(jié)約運(yùn)行開銷。網(wǎng)絡(luò)管理人員只需在規(guī)劃好的網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)提供各個接入網(wǎng)絡(luò)的接入控制即能實(shí)行各種網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)系統(tǒng)的管理工作重點(diǎn)變?yōu)閷τ诠歉删W(wǎng)絡(luò)的運(yùn)行實(shí)施系統(tǒng)監(jiān)控。由于采用的網(wǎng)絡(luò)設(shè)備自身已具備較為完善的網(wǎng)絡(luò)管理

50、、監(jiān)控和維護(hù)功能，因此采用建立一個管理工具齊全的集中的網(wǎng)絡(luò)管理中心即可實(shí)現(xiàn)全網(wǎng)絡(luò)的系統(tǒng)管理和監(jiān)控11。3.2 大型企業(yè)網(wǎng)絡(luò)分析為適應(yīng)企業(yè)信息化的發(fā)展，滿足日益增長的通信需求和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，今天的企業(yè)網(wǎng)絡(luò)建設(shè)比傳統(tǒng)企業(yè)網(wǎng)絡(luò)建設(shè)有更高的要求，本文將通過對如下幾個方面的需求分析來規(guī)劃出一套最適用于目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。3.2.1 寬帶性能需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強(qiáng)大的性能，以滿足用戶日益增長的通信需求。隨著計(jì)算機(jī)技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個多業(yè)務(wù)承載平臺。不僅要繼續(xù)承載企業(yè)的辦公自動化，Web瀏覽等簡單的數(shù)據(jù)業(yè)務(wù)，還要承載涉及企業(yè)生產(chǎn)運(yùn)營

51、的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及帶寬和時延都要求很高的IP電話、視頻會議等多媒體業(yè)務(wù)。因此，數(shù)據(jù)流量將大大增加，尤其是對核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了前所未有的要求。另外，隨著千兆位端口成本的持續(xù)下降，千兆位到桌面的應(yīng)用會在不久的將來成為企業(yè)網(wǎng)的主流。從2004年全球交換機(jī)市場分析可以看到，增長最迅速的就是10 Gbps級別機(jī)箱式交換機(jī)，可見，萬兆位的大規(guī)模應(yīng)用已經(jīng)真正開始。所以，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)不能再用百兆位到桌面千兆位骨干來作為建網(wǎng)的標(biāo)準(zhǔn)，核心層及骨干層必須具有萬兆位級帶寬和處理性能，才能構(gòu)筑一個暢通無阻的高品質(zhì)大型企業(yè)網(wǎng)，從而適應(yīng)網(wǎng)絡(luò)規(guī)模擴(kuò)大，業(yè)務(wù)量日益增長的需要7。3.2.2 穩(wěn)定可靠需求

52、現(xiàn)代大型企業(yè)的網(wǎng)絡(luò)應(yīng)具有更全面的可靠性設(shè)計(jì)，以實(shí)現(xiàn)網(wǎng)絡(luò)通信的實(shí)時暢通，保障企業(yè)生產(chǎn)運(yùn)營的正常進(jìn)行。隨著企業(yè)各種業(yè)務(wù)應(yīng)用逐漸轉(zhuǎn)移到計(jì)算機(jī)網(wǎng)絡(luò)上來，網(wǎng)絡(luò)通信的無中斷運(yùn)行已經(jīng)成為保證企業(yè)正常生產(chǎn)運(yùn)營的關(guān)鍵?，F(xiàn)代大型企業(yè)網(wǎng)絡(luò)在可靠性設(shè)計(jì)方面主要應(yīng)從以下3個方面考慮。設(shè)備的可靠性設(shè)計(jì)：不僅要考察網(wǎng)絡(luò)設(shè)備是否實(shí)現(xiàn)了關(guān)鍵部件的冗余備份，還要從網(wǎng)絡(luò)設(shè)備整體設(shè)計(jì)架構(gòu)、處理引擎種類等多方面去考察。業(yè)務(wù)的可靠性設(shè)計(jì)：網(wǎng)絡(luò)設(shè)備在故障倒換過程中，是否對業(yè)務(wù)的正常運(yùn)行有影響。鏈路的可靠性設(shè)計(jì)：以太網(wǎng)的鏈路安全來自于多路徑選擇，所以在企業(yè)網(wǎng)絡(luò)建設(shè)時，要考慮網(wǎng)絡(luò)設(shè)備是否能夠提供有效的鏈路自愈手段，以及快速重路由協(xié)議的支持7。

53、3.2.3 服務(wù)質(zhì)量需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)需要提供完善的端到端QoS保障，以滿足企業(yè)網(wǎng)多業(yè)務(wù)承載的需求。大型企業(yè)網(wǎng)絡(luò)承載的業(yè)務(wù)不斷增多，單純的提高帶寬并不能夠有效地保障數(shù)據(jù)交換的暢通無阻，所以今天的大型企業(yè)網(wǎng)絡(luò)建設(shè)必須要考慮到網(wǎng)絡(luò)應(yīng)能夠智能識別應(yīng)用事件的緊急和重要程度，如視頻、音頻、數(shù)據(jù)流（MIS、ERP、OA、備份數(shù)據(jù)）。同時能夠調(diào)度網(wǎng)絡(luò)中的資源，保證重要和緊急業(yè)務(wù)的帶寬、時延、優(yōu)先級和無阻塞的傳送，實(shí)現(xiàn)對業(yè)務(wù)的合理調(diào)度才是一個大型企業(yè)網(wǎng)絡(luò)提供高品質(zhì)服務(wù)的保障7。3.2.4 網(wǎng)絡(luò)安全需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)安全解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟(jì)損失。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安

54、全措施主要是通過部署防火墻、IDS、殺毒軟件，以及配合交換機(jī)或路由器的ACL來實(shí)現(xiàn)對病毒和黑客攻擊的防御，但實(shí)踐證明這些被動的防御措施并不能有效地解決企業(yè)網(wǎng)絡(luò)的安全問題。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運(yùn)營的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接入控制，病毒報(bào)文識別到主動抑制的一系列安全控制手段，這樣才能有效地保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行7。3.2.5 應(yīng)用服務(wù)需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具備更智能的網(wǎng)絡(luò)管理解決方案，以適應(yīng)網(wǎng)絡(luò)規(guī)模日益擴(kuò)大，維護(hù)工作更加復(fù)雜的需要。當(dāng)前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為以應(yīng)用為中心的信息基礎(chǔ)平臺，網(wǎng)絡(luò)管理能力的要求已經(jīng)上升到了業(yè)務(wù)層次，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的智能已經(jīng)不能有效支持網(wǎng)絡(luò)管

55、理需求的發(fā)展。比如，網(wǎng)絡(luò)調(diào)試期間最消耗人力與物力的線纜故障定位工作，網(wǎng)絡(luò)運(yùn)行期間對不同用戶靈活的服務(wù)策略部署、訪問權(quán)限控制、以及網(wǎng)絡(luò)日志審計(jì)和病毒控制能力等方面的管理工作，由于受網(wǎng)絡(luò)設(shè)備功能本身的限制，都還屬于費(fèi)時、費(fèi)力的任務(wù)。所以現(xiàn)代的大型企業(yè)網(wǎng)絡(luò)迫切需要網(wǎng)絡(luò)設(shè)備具備支撐以應(yīng)用為中心的智能網(wǎng)絡(luò)運(yùn)營維護(hù)的能力，并能夠有一套智能化的管理軟件，將網(wǎng)絡(luò)管理人員從繁重的工作中解脫出來7。3.3 本課題系統(tǒng)需求分析 本課題設(shè)計(jì)一個大型的企業(yè)網(wǎng)絡(luò)，網(wǎng)絡(luò)聯(lián)接的建筑物有三個：兩個辦公樓和一個行政樓。管理部、財(cái)務(wù)部和網(wǎng)絡(luò)部在行政樓中；市場部在辦公樓A；銷售部和人力資源部在辦公樓B。所以我們已建筑物的中心也就是行

56、政樓的三層為網(wǎng)絡(luò)的中心，用光纖連接辦公樓A、B，構(gòu)成電子商務(wù)公司網(wǎng)絡(luò)光纖主干。辦公樓2個，行政樓1個1劃分VLAN （見表1）2VTP 動態(tài)學(xué)習(xí)VLAN3PVST(選根，二層冗余)4SVI（VLAN間路由）5HSRP（三層冗余）6DHCP7根防護(hù)83個FAST9靜態(tài)路由10SITE-TO-SITE VPN（連接分公司，固定IP）11AAA12PBR（20M專線）13網(wǎng)管控制第4章 網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)4.1 大型企業(yè)網(wǎng)絡(luò)拓?fù)鋱D圖 4-1 網(wǎng)絡(luò)拓?fù)鋱D4.2 VLAN及IP地址的規(guī)劃 表 1 VLAN劃分VLAN號VLAN名稱IP網(wǎng)段默認(rèn)網(wǎng)關(guān)說明VLAN 1GL VLAN/2454管理VLANVLAN 1

57、0GLB /254管理部VLANVLAN 20SCB /254市場部VLANVLAN 30CWB /254財(cái)務(wù)部VLANVLAN 40XSB /254銷售部VLANVLAN 50RLZY/254人力資源部VLANVLAN 60WLB/254網(wǎng)絡(luò)部VLAN路由器R1與電信連接的接口F0/0IP為0/24，與HX1連接的接口F1/1IP為/24，與HX2連接的接口F1/2IP為/24,與R2連接的接口F1/3IP為/24。路由器R2與網(wǎng)通連接的接口F0/0IP為0/24，與HX1連接的接口F1/2IP為/24，與HX2連接的接口F1/1IP為/24,與R2連接的接口F1/3IP為/24。路由器R3

58、與HX1連接的接口F1/1IP為/24，與HX2連接的接口F1/2IP為/24，與server連接的接口F1/0IP為/24 。路由器R4上與電信連接的接口F1/0IP為0/24，與網(wǎng)通連接的接口F1/1IP為0/24，與SW11連接的接口F1/2IP為/22。交換機(jī)HX1與R1相連的接口F1/0IP為/24,與R2相連的接口F1/1IP為/24,與R3相連的接口F1/2IP為/24。交換機(jī)HX2與R1相連的接口F1/0IP為/24,與R2相連的接口F1/1IP為/24,與R3相連的接口F1/2IP為/24。4.3 關(guān)鍵網(wǎng)絡(luò)設(shè)備及數(shù)量核心層交換機(jī)：Cisco Catalyst 6509 交換機(jī)

59、 2臺匯聚層交換機(jī)：Cisco Catalyst 4509 交換機(jī) 4臺接入層交換機(jī)：Cisco Catalyst 2950 24口 交換機(jī) 100臺接入路由器： Cisco 3500 路由器 4臺4.4 關(guān)鍵網(wǎng)絡(luò)設(shè)備介紹圖 8 Cisco 6509交換機(jī)Catalyst 6509是帶有9個插槽的交換機(jī)機(jī)箱，它可以加兩個電源，可按需求配置不同功能類型的模塊（如防火墻模塊、入侵檢模塊、VPN 模塊、SSL 加速模塊、網(wǎng)絡(luò)流量分析模塊等），更靈活應(yīng)用在不同需求的網(wǎng)絡(luò)設(shè)計(jì)平臺上，提高穩(wěn)定性及安全性。首先，為Catalyst 6509核心交換機(jī)配備Cisco Catalyst 6500 Supervi

60、sor Engine 720模塊。Supervisor Engine 720支持Catalyst 6500系列的第三代模塊，能夠?yàn)槠髽I(yè)和電信運(yùn)營商網(wǎng)絡(luò)提供先進(jìn)的IP服務(wù)，并提高端口密度，因而非常適合部署在高性能的核心層、數(shù)據(jù)中心和城域網(wǎng)中。由于使用同一套接口、操作系統(tǒng)和管理工具，Catalyst 6500系列監(jiān)控引擎(Supervisor Engines)能提供操作一致性可使用相同的備件，所有模塊都具有可以預(yù)測的性能和多種功能。增強(qiáng)型QOS機(jī)制、基于硬件的GRE隧道和NAT，以及由硬件加速的基于MPLS的高性能服務(wù)；支持基于用戶的Microflow監(jiān)管，對每個用戶實(shí)施服務(wù)等級協(xié)議；采用分布式轉(zhuǎn)