大中型企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計研究

大中型企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計【摘要】：園區(qū)網(wǎng)是現(xiàn)今階段大中型企業(yè)最常用的組網(wǎng)形式，一個企業(yè)的園區(qū)網(wǎng)、醫(yī)院園區(qū)網(wǎng)、校園網(wǎng)、圖書館網(wǎng)絡(luò)、酒店網(wǎng)絡(luò)等等都是園區(qū)網(wǎng)的具體實現(xiàn)。本文簡約討論大中型企業(yè)網(wǎng)絡(luò)的發(fā)展、網(wǎng)絡(luò)中使用的網(wǎng)絡(luò)協(xié)議，子網(wǎng)的設(shè)計方案，IP地址劃分，構(gòu)建企業(yè)網(wǎng)絡(luò)所需要的廣域網(wǎng)技術(shù)和局域網(wǎng)技術(shù)和設(shè)計方案的原則，組網(wǎng)實施的方案及方案的成本核算，網(wǎng)絡(luò)安全實施解決方案，組網(wǎng)實施方案圖和邏輯拓?fù)鋱D，最后通過仿真調(diào)試運行，旨在組建一個高速、穩(wěn)定、可靠、可擴(kuò)展性、易維護(hù)、層次化、可管理的企業(yè)網(wǎng)，為大中型企業(yè)提供組網(wǎng)一個參考解決方案。【關(guān)鍵詞】：園區(qū)網(wǎng)、拓?fù)鋱D、IP、協(xié)議

目錄一、相關(guān)概述 5（一）網(wǎng)絡(luò)規(guī)劃 5（二）網(wǎng)絡(luò)設(shè)計的基本原則 5（三）廣域網(wǎng)技術(shù)和局域網(wǎng)技術(shù) 51.廣域網(wǎng)技術(shù) 52.局域網(wǎng)技術(shù) 5二、網(wǎng)絡(luò)規(guī)劃的需求分析 6（一）業(yè)務(wù)需求 6（二）市場需求 6三、A公司網(wǎng)絡(luò)規(guī)劃設(shè)計方案 7（一）用戶需求分析 71.覆蓋區(qū)域 72.信息點估算 7（二）公司網(wǎng)絡(luò)需求分析 71.寬帶性能需求 72.穩(wěn)定可靠需求 73.服務(wù)質(zhì)量需求 8（三）設(shè)備選型 8（四）子網(wǎng)及VLAN的劃分 8（五）IP地址規(guī)劃 9四、A公司網(wǎng)絡(luò)規(guī)劃 10（一）設(shè)計原則 10（二）網(wǎng)絡(luò)總體設(shè)計 10（三）網(wǎng)絡(luò)管理的設(shè)計 10（四）設(shè)備配置 111.基礎(chǔ)配置 112.使用VTP 123.創(chuàng)建VLAN 134.交換鏈路封裝 145.NAT 146.DHCP/DNS 167.ACL 188.PVST 199.路由協(xié)議 2010.網(wǎng)管控制 2211.其他配置 23（五）網(wǎng)絡(luò)安全的設(shè)計 24第六章總結(jié) 25參考文獻(xiàn) 26【正文】：信息化高速發(fā)展的今天，企業(yè)網(wǎng)的組建已經(jīng)成為提升企業(yè)核心競爭力的關(guān)鍵因素。近年來，企業(yè)紛紛建立自己的信息網(wǎng)絡(luò)。目前，我國企業(yè)特別是大中型企業(yè)的網(wǎng)絡(luò)建設(shè)正如火如荼地進(jìn)行，但隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大。網(wǎng)絡(luò)的發(fā)展概述（一）計算機(jī)網(wǎng)絡(luò)概念計算機(jī)網(wǎng)絡(luò)是一個具有獨立功能的分散式計算機(jī)系統(tǒng)。它將通信設(shè)備與線路連接起來，通過功能完善的軟件實現(xiàn)資源共享。簡單地說明計算機(jī)網(wǎng)絡(luò)的幾個應(yīng)用方向?qū)Ψ稚⒌男畔⑦M(jìn)行集中、實時處理。比如航空訂票系統(tǒng)、工業(yè)控制系統(tǒng)、軍事系統(tǒng)等眾多的系統(tǒng)，離開了計算機(jī)網(wǎng)絡(luò)，將無法進(jìn)行。當(dāng)今社會，就連到商場購物、餐館吃飯這樣的日常事務(wù)都離不開計算機(jī)網(wǎng)絡(luò)，利用計算機(jī)網(wǎng)絡(luò)進(jìn)行網(wǎng)上購物，更加方便、廉價。通信電子郵件、即時通信系統(tǒng)等眾多的通信功能，極大地方便了人與人之間的信息交往，既快速又廉價。遠(yuǎn)程教育，利用網(wǎng)絡(luò)可以提供遠(yuǎn)程教育平臺，借助豐富的知識管理系統(tǒng)，學(xué)生可以更加方便地自學(xué)提高學(xué)習(xí)效率。娛樂，娛樂是人的天性，對于大多數(shù)人來說，工作之余都需要娛樂活動來豐富自己的生活，利用網(wǎng)絡(luò)提供各種各樣的娛樂內(nèi)容，既滿足了社會的需要，同時也具有巨大的經(jīng)濟(jì)效益。（二）計算機(jī)網(wǎng)絡(luò)發(fā)展史隨著1946年世界上第一臺電子計算機(jī)問世后的十多年時間內(nèi)，由于價格很昂貴。電腦數(shù)量極少，早期所謂的計算機(jī)網(wǎng)絡(luò)主要是為了解決這一矛盾而產(chǎn)生的。它的形式是通過通信線路將一臺計算機(jī)直接與多個終端相連。我們也可以認(rèn)為這是最簡單的局域網(wǎng)原型。最早的網(wǎng)絡(luò)，是由美國國防部高級研究計劃局（ARPA）建立的。現(xiàn)代計算機(jī)網(wǎng)絡(luò)的許多概念和方法，如分組交換技術(shù)都來自ARPAnet。ARPAnet不僅進(jìn)行了租用線互聯(lián)的分組交換技術(shù)研究，而且做了無線、衛(wèi)星網(wǎng)的分組交換技術(shù)研究-其結(jié)果導(dǎo)致了TCP/IP[2]問世。1977-1979年，ARPAnet推出了目前形式的TCP/IP體系結(jié)構(gòu)和協(xié)議。1980年前后，ARPAnet上的所有計算機(jī)開始了TCP/IP協(xié)議的轉(zhuǎn)換工作，并以ARPAnet為主干網(wǎng)建立了初期的Internet。1983年，ARPAnet的全部計算機(jī)完成了向TCP/IP的轉(zhuǎn)換，并在UNIX（BSD4.1）上實現(xiàn)了TCP/IP。ARPAnet在技術(shù)上最大的貢獻(xiàn)就是TCP/IP協(xié)議的開發(fā)和應(yīng)用。2個著名的科學(xué)教育網(wǎng)CSNET和BITNET先后建立。1984年，美國國家科學(xué)基金會NSF規(guī)劃建立了13個國家超級計算中心及國家教育科技網(wǎng)。隨后替代了ARPANET的骨干地位。1988年Internet開始對外開放。1991年6月，商業(yè)用戶首次超過學(xué)術(shù)用戶，成為互聯(lián)網(wǎng)發(fā)展史上的里程碑。此后，互聯(lián)網(wǎng)以不可逆轉(zhuǎn)的速度發(fā)展。（三）中國的網(wǎng)絡(luò)發(fā)展史Internet的階段性發(fā)展，我國的INTERNET的發(fā)展以1987年通過中國學(xué)術(shù)網(wǎng)CANET向世界發(fā)出第一封E-mail為標(biāo)志。經(jīng)過幾十年的發(fā)展，形成了四大主流網(wǎng)絡(luò)體系。即：中科院的科學(xué)技術(shù)網(wǎng)CSTNET；國家教育部的教育和科研網(wǎng)CERNET；原郵電部的CHINANET和原電子部的金橋網(wǎng)CHINAGBN。Internet在中國的發(fā)展歷程可以大略地劃分為三個階段：第一階段：為1987—1993年，也是研究試驗階段。在此期間，我國一些科研部門和高校開始研究互聯(lián)網(wǎng)技術(shù)，開展科研項目和科技合作。然而，這個階段的網(wǎng)絡(luò)應(yīng)用僅限于一小部分電子郵件服務(wù)。第二階段：為1994年至1996年，同樣是起步階段。1994年4月，中關(guān)村地區(qū)教育與科研示范網(wǎng)絡(luò)工程進(jìn)入Internet，從此中國被國際上正式承認(rèn)為有Internet的國家。之后，Chinanet、CERnet、CSTnet、Chinagbnet等多個Internet絡(luò)項目在全國范圍相繼啟動。Internet開始進(jìn)入公眾生活，并在中國得到了迅速的發(fā)展。至1996年底，中國Internet用戶數(shù)已達(dá)20萬，利用Internet開展的業(yè)務(wù)與應(yīng)用逐步增多。第三階段：從1997年至今，是Internet在我國發(fā)展最為快速的階段。國內(nèi)Internet用戶數(shù)97年以后基本保持每半年翻一番的增長速度。增長到今天，上網(wǎng)用戶已超過1000萬。（四）網(wǎng)絡(luò)協(xié)議網(wǎng)絡(luò)協(xié)議為\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"計算機(jī)網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)交換而建立的規(guī)則、標(biāo)準(zhǔn)或約定的集合。網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)上所有設(shè)備（網(wǎng)絡(luò)服務(wù)器、計算機(jī)和交換機(jī)、路由器、防火墻等）之間的一組通信規(guī)則。它規(guī)定了信息在交流時必須采用的格式以及這些格式的含義。大多數(shù)網(wǎng)絡(luò)采用分層結(jié)構(gòu)，每一層都建立在其下層，為上層提供一定的服務(wù)，并將如何實現(xiàn)該服務(wù)的細(xì)節(jié)屏蔽到上層。一臺設(shè)備上的第n層與另一臺設(shè)備上的第n層進(jìn)行通信的規(guī)則就是第n層協(xié)議。在網(wǎng)絡(luò)的各層中存在著許多協(xié)議，接收方和發(fā)送方同層的協(xié)議必須一致，否則一方將無法識別另一方發(fā)出的信息。\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"網(wǎng)絡(luò)協(xié)議使網(wǎng)絡(luò)上各種設(shè)備能夠相互交換信息。常見的協(xié)議有：\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"TCP/IP協(xié)議、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"IPX/SPX協(xié)議、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"NetBEUI協(xié)議等，目前我們普遍采用的互聯(lián)網(wǎng)協(xié)議是\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"TCP/IP協(xié)議。為了使不同計算機(jī)制造商生產(chǎn)的計算機(jī)能夠相互通信，以便在更大范圍內(nèi)建立計算機(jī)網(wǎng)絡(luò)，國際標(biāo)準(zhǔn)化組織（iso）于1978年提出了開放系統(tǒng)互連參考模型。即著名的\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"OSI/RM模型（OpenSystemInterconnection/ReferenceModel）。它將\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"計算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)的\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"通信協(xié)議劃分為七層，自下而上依次為：\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"物理層（PhysicsLayer）、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"數(shù)據(jù)鏈路層（DataLinkLayer）、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"網(wǎng)絡(luò)層（NetworkLayer）、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"傳輸層（TransportLayer）、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"會話層（SessionLayer）、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"表示層（PresentationLayer）、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"應(yīng)用層（ApplicationLayer）。1、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"物理層（PhysicsLayer）：物理層是\t"/item/%E7%89%A9%E7%90%86%E5%B1%82/_blank"OSI的第一層，處于最底層，是整個開放系統(tǒng)的基礎(chǔ)。物理層為設(shè)備之間的\t"/item/%E7%89%A9%E7%90%86%E5%B1%82/_blank"數(shù)據(jù)通信提供傳輸媒體及互連設(shè)備，為\t"/item/%E7%89%A9%E7%90%86%E5%B1%82/_blank"數(shù)據(jù)傳輸提供可靠的環(huán)境。提供具有機(jī)械的，電子的，功能的和規(guī)范的特性，物理層確保原始的\t"/item/%E7%89%A9%E7%90%86%E5%B1%82/_blank"數(shù)據(jù)可在各種物理媒體上傳輸。二層交換機(jī)、各種插頭、插座。局域網(wǎng)中的各種同軸電纜、T形連接、接收機(jī)、發(fā)射機(jī)、中繼器、網(wǎng)卡光纖、五類線（RJ-45連接器）、集線器、串行口、并行口等，都屬于物理層的介質(zhì)和連接器。協(xié)議的范圍從ieee802.1aeee802.2到ieee802.11。2、數(shù)據(jù)鏈路層：數(shù)據(jù)鏈路層包括llc邏輯鏈路層和mac介質(zhì)訪問控制層，定義了如何在單個鏈路上傳輸數(shù)據(jù)。這些協(xié)議與所討論的各種媒體有關(guān)，如ATM、FDDI等。通過幀同步、錯誤控制、流量控制和鏈路管理，數(shù)據(jù)鏈路層提供了在網(wǎng)絡(luò)實體之間建立、維護(hù)和釋放數(shù)據(jù)鏈路的功能和編程方法保證傳輸數(shù)據(jù)的正確性。數(shù)據(jù)鏈路層的最基本的功能是向該層用戶提供透明的和可靠的數(shù)據(jù)傳送基本服務(wù)。透明性是指該層上傳輸?shù)臄?shù)據(jù)的內(nèi)容、格式及編碼沒有限制，也沒有必要解釋信息結(jié)構(gòu)的意義；可靠的傳輸使用戶免去對丟失信息、干擾信息及順序不正確等的擔(dān)心。在物理層中這些情況都可能發(fā)生，在數(shù)據(jù)鏈路層中必須用糾錯碼來檢錯與糾錯。數(shù)據(jù)鏈路層（dll）增強(qiáng)了物理層傳輸原始比特流的能力。它將物理層提供的物理連接轉(zhuǎn)換為邏輯上無錯誤的數(shù)據(jù)鏈路，使之成為到網(wǎng)絡(luò)層的無錯誤線路。協(xié)議包括fddi以太網(wǎng)arpanetpdnslipppp。3、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"網(wǎng)絡(luò)層（NetworkLayer）：網(wǎng)絡(luò)層是\t"/item/%E7%BD%91%E7%BB%9C%E5%B1%82/_blank"OSI參考模型中的第三層，介于\t"/item/%E7%BD%91%E7%BB%9C%E5%B1%82/_blank"傳輸層和\t"/item/%E7%BD%91%E7%BB%9C%E5%B1%82/_blank"數(shù)據(jù)鏈路層之間，它通過在數(shù)據(jù)鏈路層提供的兩個相鄰端點之間傳輸數(shù)據(jù)幀來進(jìn)一步管理網(wǎng)絡(luò)中的數(shù)據(jù)通信，并嘗試通過多個中間節(jié)點將數(shù)據(jù)從源節(jié)點傳輸?shù)侥繕?biāo)節(jié)點，從而為傳輸層提供最基本的IC端到端數(shù)據(jù)傳輸服務(wù)。4、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"傳輸層（TransportLayer）：傳輸層（TransportLayer）是ISOOSI協(xié)議的第四層協(xié)議，實現(xiàn)端到端的數(shù)據(jù)傳輸。這一層是兩臺計算機(jī)通過網(wǎng)絡(luò)相互通信時的第一個端到端層。它具有數(shù)據(jù)分割和重組、端口號尋址、連接管理、差錯控制和流量控制、糾錯等功能。傳輸層應(yīng)向會話層提供通信服務(wù)的可靠性，以避免消息錯誤、丟失和延遲。如無序、重復(fù)、無序等錯誤。當(dāng)網(wǎng)絡(luò)層的服務(wù)質(zhì)量不能滿足要求時，它會提高服務(wù)的緩沖作用，以滿足高層次的要求；當(dāng)網(wǎng)絡(luò)層的服務(wù)質(zhì)量較好時，它只使用很少的工作。傳輸層也可以通過在單個網(wǎng)絡(luò)連接上創(chuàng)建多個邏輯連接來進(jìn)行多路復(fù)用。協(xié)議有tcp-udp。5、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"會話層（SessionLayer）：會話層（Session）是建立在傳輸層之上，利用傳輸層提供的服務(wù)，使應(yīng)用建立和維持會話，并能使會話獲得同步。會話層使用校驗點可使通信會話在通信失效時從校驗點繼續(xù)恢復(fù)通信。協(xié)議有：SMIP、DNS。6、表示層位于OSI分層結(jié)構(gòu)的第六層，它的主要作用之一是為異種機(jī)通信提供一種公共語言，提供格式化的表示和轉(zhuǎn)換數(shù)據(jù)服務(wù)。數(shù)據(jù)的壓縮、解壓、加密、解密，例如，IBM主機(jī)使用EBCDIC編碼，而大部分PC機(jī)使用的是ASCII碼。在這種情況下，便需要表示層來完成這種轉(zhuǎn)換。協(xié)議有：TELNETRLOGINSNMPGOPHER。7、\t"/item/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/_blank"應(yīng)用層（ApplicationLayer）：應(yīng)用層位于物聯(lián)網(wǎng)三層結(jié)構(gòu)中的最頂層，其功能為“處理”，即通過云計算平臺進(jìn)行信息處理。應(yīng)用層也稱為\t"/item/%E5%BA%94%E7%94%A8%E5%B1%82/_blank"應(yīng)用實體（AE），它由若干個特定應(yīng)用服務(wù)元素（SASE）和一個或多個公用應(yīng)用服務(wù)元素（CASE）組成。每個SASE提供特定的應(yīng)用服務(wù)，例如文件運輸訪問和管理（FTAM）、電子文電處理（MHS）、\t"/item/%E5%BA%94%E7%94%A8%E5%B1%82/_blank"虛擬終端協(xié)議（VAP）等。CASE提供一組公用的應(yīng)用服務(wù)，例如聯(lián)系控制服務(wù)元素（ACSE）、可靠運輸服務(wù)元素（RTSE）和遠(yuǎn)程操作服務(wù)元素（ROSE）等。協(xié)議有：TFTP、FTP、NFS、WAIS。tcp/ip模型只有四層。網(wǎng)絡(luò)接口層（數(shù)據(jù)鏈路層/網(wǎng)絡(luò)接口層）、網(wǎng)絡(luò)層（互聯(lián)網(wǎng)層）、傳輸層和應(yīng)用層。tcp/ip與osi最大的區(qū)別在于osi是一種理論上的網(wǎng)絡(luò)通信模型，而tcp/ip是一種實用的網(wǎng)絡(luò)協(xié)議。一、相關(guān)概述（一）網(wǎng)絡(luò)規(guī)劃網(wǎng)絡(luò)集成布線是一種模塊化、高度靈活的建筑物內(nèi)部或建筑物之間的信息傳輸通道。通過它，語音設(shè)備、數(shù)據(jù)設(shè)備、交換設(shè)備和各種控制設(shè)備可以與信息管理系統(tǒng)連接。同時，這些設(shè)備還可以與外部通信網(wǎng)絡(luò)連接，進(jìn)行網(wǎng)絡(luò)規(guī)劃。它還包括建筑物外部網(wǎng)絡(luò)或網(wǎng)絡(luò)線路的連接點與應(yīng)用系統(tǒng)設(shè)備之間的所有電纜和相關(guān)組件。網(wǎng)絡(luò)規(guī)劃由不同系列和規(guī)格的元件組成，包括：傳輸介質(zhì)、相關(guān)連接硬件（如配線架、連接器、插座、插頭、適配器）和電氣保護(hù)設(shè)備。這些組件可用于構(gòu)建各種子系統(tǒng)。它們有自己的特殊用途。它們不僅易于實施，而且可以隨著需求的變化而順利升級。Internet的最早起源于美國國防部高級研究計劃署DARPA（DefenceAdvancedResearchProjectsAgency）的前身ARPAnet，該網(wǎng)于1969年投入使用。由此，ARPAnet成為現(xiàn)代計算機(jī)網(wǎng)絡(luò)誕生的標(biāo)志。從六十年代起，由ARPA提供經(jīng)費，聯(lián)合計算機(jī)公司和大學(xué)共同研制而發(fā)展起來的ARPAnet網(wǎng)絡(luò)。起初，arpanet主要用于軍事研究。這主要是基于網(wǎng)絡(luò)必須經(jīng)受住失敗的考驗，保持正常工作的指導(dǎo)思想。一旦發(fā)生戰(zhàn)爭，當(dāng)一些網(wǎng)絡(luò)由于攻擊而失去工作能力時，其他網(wǎng)絡(luò)應(yīng)該能夠維持正常的通信工作者。ARPAnet在技術(shù)上的另一個重大貢獻(xiàn)是TCP/IP協(xié)議簇的開發(fā)和利用。作為Internet的早期骨干網(wǎng)，ARPAnet的試驗并奠定了Internet存在和發(fā)展的基礎(chǔ)，較好地解決了異種機(jī)網(wǎng)絡(luò)互聯(lián)的一系列理論和技術(shù)問題。1983年，ARPAnet分裂為兩部分，ARPAnet和純軍事用的MILNET。同時，局域網(wǎng)和廣域網(wǎng)的產(chǎn)生和逢勃發(fā)展對Internet的進(jìn)一步發(fā)展起了重要的作用。其中最引人注目的是美國國家科學(xué)基金會ASF（NationalScienceFoundation）建立的NSFnet。NSF在全美國建立了按地區(qū)劃分的計算機(jī)廣域網(wǎng)并將這些地區(qū)網(wǎng)絡(luò)和超級計算機(jī)中心互聯(lián)起來。（二）網(wǎng)絡(luò)設(shè)計的基本原則1.實用性和集成性系統(tǒng)的軟硬件集成應(yīng)以應(yīng)用為第一目的。在充分適應(yīng)企業(yè)信息化需求的基礎(chǔ)上，還應(yīng)考慮其他性能。這個系統(tǒng)包含很多內(nèi)容。系統(tǒng)設(shè)計者必須能夠有效地集成各種先進(jìn)的軟硬件設(shè)備，使系統(tǒng)的各個組成部分能夠充分發(fā)揮作用，協(xié)調(diào)高效地工作。2.標(biāo)準(zhǔn)性和開放性只有支持標(biāo)準(zhǔn)和開放系統(tǒng)才能支持與其他開放系統(tǒng)的協(xié)作。網(wǎng)絡(luò)中使用的硬件和軟件產(chǎn)品應(yīng)支持國際行業(yè)標(biāo)準(zhǔn)或事實上的標(biāo)準(zhǔn)，以便與同一網(wǎng)絡(luò)中不同制造商的開放產(chǎn)品共存。通信應(yīng)采用標(biāo)準(zhǔn)通信協(xié)議，使不同的操作系統(tǒng)和非操作系統(tǒng)可以協(xié)同工作。同一個網(wǎng)絡(luò)系統(tǒng)和不同的網(wǎng)絡(luò)通信順暢。3.先進(jìn)性和安全性系統(tǒng)的所有要素都應(yīng)充分考慮其先進(jìn)性。我們不能盲目追求實用，忽視先進(jìn)技術(shù)。只有將最先進(jìn)的技術(shù)與我們的實際應(yīng)用需求相結(jié)合，我們才能獲得最佳的系統(tǒng)性能和效率。網(wǎng)絡(luò)安全非常重要。在某些情況下，為了確保系統(tǒng)的安全，最好犧牲系統(tǒng)的某些功能。（三）廣域網(wǎng)技術(shù)和局域網(wǎng)技術(shù)1.廣域網(wǎng)技術(shù)廣域網(wǎng)是一種跨地區(qū)的數(shù)據(jù)通訊網(wǎng)絡(luò)，使用電信運營商提供的設(shè)備作為信息傳輸平臺。對照OSI參考模型，廣域網(wǎng)技術(shù)主要位于底層的3個層次，分別是物理層，數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層。廣域網(wǎng)交換機(jī)是在運營商網(wǎng)絡(luò)中使用的多端口網(wǎng)絡(luò)互聯(lián)設(shè)備。廣域網(wǎng)交換機(jī)工作在OSI參考模型的數(shù)據(jù)鏈路層，可以對幀中繼，X.25以及SMDS等數(shù)據(jù)流量進(jìn)行操作。2.局域網(wǎng)技術(shù)傳輸介質(zhì)是網(wǎng)絡(luò)中信息傳輸?shù)拿襟w，是網(wǎng)絡(luò)通信的物質(zhì)基礎(chǔ)之一。傳輸介質(zhì)的性能特點對傳輸速率、通信的距離、可連接的網(wǎng)絡(luò)結(jié)點數(shù)目和數(shù)據(jù)傳輸?shù)目煽啃缘染泻艽蟮挠绊?。因此，必須根?jù)不同的通信要求，合理地選擇傳輸介質(zhì)。目前在局域網(wǎng)中常用的傳輸介質(zhì)有雙絞線、同軸電纜和光導(dǎo)纖維等。二、網(wǎng)絡(luò)規(guī)劃的需求分析（一）業(yè)務(wù)需求（1）數(shù)據(jù)業(yè)務(wù)：在為用戶提供高帶寬數(shù)據(jù)業(yè)務(wù)的同時，利用DBA技術(shù)動態(tài)分配整個系統(tǒng)的帶寬，讓用戶享受更高的峰值帶寬，提高系統(tǒng)的帶寬利用率。（2）語音業(yè)務(wù)：目前應(yīng)用最多的仍然是普通電話業(yè)務(wù)（POTS），其物理接口為RJ11，這是用戶必需的一種基本業(yè)務(wù)。目前，軟交換技術(shù)的引入和普及將改變電話服務(wù)的提供方式，但對用戶來說，這種實現(xiàn)方式的改變將是透明的，接入網(wǎng)應(yīng)靈活適應(yīng)這一變化。從未來的發(fā)展趨勢來看，各種智能終端將逐漸被市場所接受。這些智能終端將通過RJ45接口直接接入，這就要求相應(yīng)的接入網(wǎng)絡(luò)提供具有QoS保證的以太網(wǎng)接入能力。（3）視頻業(yè)務(wù)：當(dāng)前個人用戶所使用的主流視頻業(yè)務(wù)是由廣電部門提供的CATV，但今后將迅速向DTV轉(zhuǎn)移。受限于政策因素，上述業(yè)務(wù)和通信網(wǎng)絡(luò)運營商關(guān)聯(lián)不是很大，因而且前各通信網(wǎng)絡(luò)運營商真正關(guān)注的是IPTV業(yè)務(wù)。對于IPTV業(yè)務(wù)來說，接入網(wǎng)主要負(fù)責(zé)提供業(yè)務(wù)所需的信息通道，因而帶寬問題是開展IPTV業(yè)務(wù)的核心問題。另外，相應(yīng)通道的QoS保證能力也是必須關(guān)注的一個重要方面。（4）TDM專線業(yè)務(wù)：TDM專線業(yè)務(wù)主要是指E1，V.35業(yè)務(wù)。從實際需求看，企業(yè)用戶中存在對這種業(yè)務(wù)的需求，而個人用戶則通常沒有。（二）市場需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬和更強(qiáng)的性能，以滿足用戶日益增長的通信需求。隨著計算機(jī)技術(shù)的飛速發(fā)展，基于網(wǎng)絡(luò)的應(yīng)用越來越多。今天的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個多業(yè)務(wù)承載平臺。我們不僅要繼續(xù)提供辦公自動化、網(wǎng)頁瀏覽等簡單的數(shù)據(jù)服務(wù)，還要提供與企業(yè)生產(chǎn)經(jīng)營有關(guān)的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及IP電話、視頻會議等多媒體服務(wù)，這些業(yè)務(wù)都需要高帶寬和延遲。因此，數(shù)據(jù)流量將大大增加，特別是對核心網(wǎng)的數(shù)據(jù)交換能力提出了前所未有的要求。此外，隨著千兆端口成本的不斷下降，千兆到桌面應(yīng)用將在不久的將來成為企業(yè)網(wǎng)絡(luò)的主流。從2004年全球交換機(jī)市場的分析可以看出，增長最快的是10Gbps級箱式交換機(jī)?？梢?，萬兆的大規(guī)模應(yīng)用已經(jīng)真正開始。因此，今天的企業(yè)網(wǎng)已經(jīng)不能再以100兆到桌面千兆的骨干網(wǎng)為標(biāo)準(zhǔn)進(jìn)行網(wǎng)絡(luò)建設(shè)。核心層和骨干層必須具有10兆位的帶寬和處理性能，才能構(gòu)建一個平滑、暢通無阻的“高品質(zhì)”大型企業(yè)網(wǎng)絡(luò)，以適應(yīng)不斷擴(kuò)大的網(wǎng)絡(luò)規(guī)模和不斷增長的業(yè)務(wù)需求。三、A公司網(wǎng)絡(luò)規(guī)劃設(shè)計方案（一）用戶需求分析1.覆蓋區(qū)域有線覆蓋區(qū)域：管理部、財務(wù)部、網(wǎng)絡(luò)部、市場部、銷售部、人力資源部、研發(fā)部。無線覆蓋區(qū)域：管理部、財務(wù)部、網(wǎng)絡(luò)部、市場部、銷售部、人力資源部、研發(fā)部2.信息點估算公司共有2棟樓，之間相距100米。1號樓：共3層，一層為人力資源部，除大廳外還有4個辦公室，還具有1個廁所和1個設(shè)備間，每個辦公室具有10臺電腦，4個辦公室共需要40臺電腦，大廳有1個電腦。二層為財務(wù)部，有4個辦公室，1個會議室，1個廁所，1個設(shè)備間，分散分布每個辦公室10臺電腦，會議室需要1臺電腦，共需41臺電腦。三層為網(wǎng)絡(luò)部，分布了5個辦公室，1個廁所，1間休息室，1個設(shè)備間，共60臺電腦，平均每間辦公室有12臺電腦。2號樓：共2層，一層為銷售部，4個辦公室，1個會議室，1個廁所，1個設(shè)備間，每個辦公室12臺電腦，會議室需要1臺電腦，共需要49臺電腦，。二層為研發(fā)部，4個辦公室，1個研發(fā)車間，1個廁所，1個設(shè)備間，分散分布每個辦公室10臺電腦，每個車間2臺電腦，共需24臺電腦。如表3-1所示。表3-1信息點需求表區(qū)域信息點需求信息點數(shù)信息點總數(shù)1號樓1層4個辦公室共40個信息點，大廳有1個信息點412352層4個辦公室共40個信息點，會議室有1個信息點413層5個辦公室共60個信息點602號樓1層4個辦公共24個信息點，會議室有1個信息點492層4個辦公室共40臺電腦，1個生產(chǎn)車間共4個信息點44（二）公司網(wǎng)絡(luò)需求分析為適應(yīng)A公司信息化的發(fā)展，滿足日益增長的通信需求和網(wǎng)絡(luò)的穩(wěn)定運行，今天的企業(yè)網(wǎng)絡(luò)建設(shè)比傳統(tǒng)企業(yè)網(wǎng)絡(luò)建設(shè)有更高的要求，本項目將通過對如下幾個方面的需求分析來規(guī)劃出一套最適用于目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。1.寬帶性能需求A公司應(yīng)具有更高的帶寬，更強(qiáng)大的性能，以滿足用戶日益增長的通信需求。隨著計算機(jī)技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個多業(yè)務(wù)承載平臺。公司不僅將繼續(xù)提供辦公自動化、網(wǎng)頁瀏覽等簡單的數(shù)據(jù)服務(wù)，還將繼續(xù)提供與公司生產(chǎn)經(jīng)營相關(guān)的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及IP電話、視頻會議等多媒體服務(wù)，這些業(yè)務(wù)需要高帶寬和延遲。因此，數(shù)據(jù)流量將大大增加，尤其是對核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了前所未有的要求。公司網(wǎng)絡(luò)不能再使用千兆骨干網(wǎng)的100兆位到桌面作為網(wǎng)絡(luò)建設(shè)的標(biāo)準(zhǔn)。核心層和骨干層必須具備千兆帶寬和處理性能，才能構(gòu)建一個順暢、暢通無阻的“高品質(zhì)”大型企業(yè)網(wǎng)絡(luò)，以滿足公司網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大和業(yè)務(wù)量不斷增長的需要。2.穩(wěn)定可靠需求A公司的網(wǎng)絡(luò)應(yīng)具有更全面的可靠性設(shè)計，以實現(xiàn)網(wǎng)絡(luò)通信的實時暢通，保障企業(yè)生產(chǎn)運營的正常進(jìn)行。隨著企業(yè)各種業(yè)務(wù)應(yīng)用逐漸轉(zhuǎn)移到計算機(jī)網(wǎng)絡(luò)上來，網(wǎng)絡(luò)通信的無中斷運行已經(jīng)成為保證企業(yè)正常生產(chǎn)運營的關(guān)鍵。A公司網(wǎng)絡(luò)在可靠性設(shè)計方面主要應(yīng)從以下3個方面考慮。設(shè)備可靠性設(shè)計：不僅要檢查網(wǎng)絡(luò)設(shè)備是否實現(xiàn)了關(guān)鍵部件的冗余備份，還要從網(wǎng)絡(luò)設(shè)備的總體設(shè)計框架、處理引擎的類型等方面進(jìn)行檢查。業(yè)務(wù)的可靠性設(shè)計：網(wǎng)絡(luò)設(shè)備在故障倒換過程中，是否對業(yè)務(wù)的正常運行有影響。鏈路可靠性設(shè)計：以太網(wǎng)的鏈路安全源于多徑選擇，因此在企業(yè)網(wǎng)絡(luò)建設(shè)中，要考慮網(wǎng)絡(luò)設(shè)備是否能提供有效的鏈路自愈手段和快速重路由協(xié)議的支持。3.服務(wù)質(zhì)量需求A公司網(wǎng)絡(luò)需要提供完善的端到端QOS保障，以滿足企業(yè)網(wǎng)多業(yè)務(wù)承載的需求。大型企業(yè)網(wǎng)絡(luò)承載著越來越多的業(yè)務(wù)。單純增加帶寬并不能有效保證數(shù)據(jù)交換的暢通。因此，今天的大型企業(yè)網(wǎng)絡(luò)建設(shè)必須考慮到網(wǎng)絡(luò)應(yīng)該能夠智能地識別應(yīng)用事件的緊迫性和重要性，如視頻、音頻、數(shù)據(jù)流（mis、erp、oa等）。備份數(shù)據(jù)）。同時，它可以調(diào)度網(wǎng)絡(luò)中的資源，保證重要和緊急業(yè)務(wù)的帶寬、延遲、優(yōu)先級和無阻塞傳輸，實現(xiàn)業(yè)務(wù)的合理調(diào)度是為大型企業(yè)網(wǎng)絡(luò)提供“高質(zhì)量”服務(wù)的保證。（三）設(shè)備選型本工程作為某運營商首個EPON試點工程，初期不準(zhǔn)備大規(guī)模地投入資金，因此，本次的OLT設(shè)備采用中興ZXA10C200H，ZXA10C200H為小容量高密度盒式無源光接入局端設(shè)備，設(shè)備高度3U，標(biāo)準(zhǔn)19英寸寬度。單機(jī)框可支持8個PON口，支持1：64分光，最大可以連接512個（采用1：64分光）光網(wǎng)絡(luò)終端（ONT），支持主控板和電源板的主備，支持IEEE802.3ahEPON標(biāo)準(zhǔn)，同時在設(shè)備體系結(jié)構(gòu)上符合ITUG.984GPON線卡的支持能力，支持EPON和GPON線卡混插。最大限度地保護(hù)了運營商的投資并保證業(yè)務(wù)發(fā)展的連續(xù)性。結(jié)合運營商的市場策略，在初期建設(shè)僅考慮高速上網(wǎng)業(yè)務(wù)，根據(jù)用戶需求的不同選用不同的ONU設(shè)備。當(dāng)用戶對帶寬需求較高時，采用FTTH接入方式時選用中興的ZXA10F401，該設(shè)備提供1個PON口（SC/PC，單模），數(shù)據(jù)傳輸速率為1.25Gb/s對稱（上下行），傳輸鏈路距離為0~20km，提供1個10/100/1000Base-T自適應(yīng)接口，支持WEB，支持本地和遠(yuǎn)程管理，該ONU支持802.1p優(yōu)先級：1～8個優(yōu)先級，每端口4個COS隊列，SP、WRR、SP＋WRR優(yōu)先級調(diào)度算法，支持端口速率強(qiáng)制和自適應(yīng)，支持802.1QTagVLAN，支持廣播風(fēng)暴控制，支持端口速率限制，支持端口流量控制，支持端口隔離，支持IGMP監(jiān)聽，支持可控組播，支持MAC地址老化時間設(shè)置，支持端口MAC地址數(shù)限制，支持端口MAC地址綁定和過濾。（四）子網(wǎng)及VLAN的劃分子網(wǎng)劃分定義：Internet組織機(jī)構(gòu)定義了五種IP地址，有A、B、C三類地址。A類網(wǎng)絡(luò)有126個，每個A類網(wǎng)絡(luò)可能有16777214臺主機(jī)，它們處于同一廣播域。而在同一廣播域中有這么多節(jié)點是不可能的，網(wǎng)絡(luò)會因為廣播通信而飽和，結(jié)果造成16777214個地址大部分沒有分配出去?；诿恳活惖膇p網(wǎng)絡(luò)可以進(jìn)一步劃分為更小的網(wǎng)絡(luò)。每個子網(wǎng)由路由器定義并分配一個新的子網(wǎng)地址，該子網(wǎng)地址是根據(jù)每個網(wǎng)絡(luò)地址類別借用主機(jī)部分創(chuàng)建的。劃分子網(wǎng)后，通過使用掩碼，把子網(wǎng)隱藏起來，使得從外部看網(wǎng)絡(luò)沒有變化，這就是子網(wǎng)掩碼。（1）子網(wǎng)的劃分從表4.1我們可以看出，該公司內(nèi)東西區(qū)各有156個戶，總住戶數(shù)為312戶，根據(jù)信息化公司IP地址規(guī)劃原則，對于pppoe用戶，可以劃分為公司的vlan，在城域網(wǎng)通過dhcp服務(wù)器獲取私有ip地址，通過城域網(wǎng)寬帶接入服務(wù)器獲取公共ip地址和安全id號。對于寬帶專線用戶，個劃分單獨一個VLAN并分配一個共有地址段。對于網(wǎng)絡(luò)設(shè)備，劃為一個VLAN方便網(wǎng)管，并分配一個IP地址段。PPPoE用戶分配地址段是—27，寬帶專線用戶分配地址段是28—55（2）VLAN的劃分基于端口的VLAN分區(qū)：這種VLAN分區(qū)方法基于以太網(wǎng)交換機(jī)的端口。這些屬于同一vlan的端口可以是不連續(xù)的或不同的以太網(wǎng)交換機(jī)，也就是說，同一vlan可以跨越多個以太網(wǎng)交換機(jī)。端口劃分是目前定義vlan最常用的方法。這種分區(qū)方法的優(yōu)點是，只要指定了所有端口，就很容易定義VLAN成員。它的缺點是，如果VLANA的用戶離開原始端口，轉(zhuǎn)到新交換機(jī)的端口，則必須重新定義它?；贛AC地址劃分VLAN：這種劃分VLAN的方法是根據(jù)每個主機(jī)的MAC地址來劃分，即對每個MAC地址的主機(jī)都配置他屬于哪個組。這種方法的最大優(yōu)點是，當(dāng)用戶的物理位置移動時，即當(dāng)從一個交換機(jī)切換到另一個交換機(jī)時，不需要重新配置VLAN。因此，可以認(rèn)為這種根據(jù)mac地址進(jìn)行分區(qū)的方法是基于用戶的vlan的。這種方法的缺點是初始化時，所有用戶都必須。如果有成百上千的用戶，配置會很累。此外，這種劃分方法還導(dǎo)致交換機(jī)執(zhí)行效率降低，因為每個交換機(jī)端口上可能有許多vlan組成員，這使得無法限制廣播數(shù)據(jù)包。此外，對于使用筆記本電腦的用戶，他們的網(wǎng)卡可能會頻繁更換，因此必須不斷配置VLAN。基于網(wǎng)絡(luò)層劃分VLAN：這種劃分vlan的方法是基于每個主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型。雖然這種劃分vlan的方法是基于網(wǎng)絡(luò)地址，如ip地址，但它不是一種路由，與網(wǎng)絡(luò)層的路由無關(guān)。雖然它查看每個包的IP地址，但它沒有路由協(xié)議，如RIP、OSPF等。它根據(jù)生成樹算法橋接交換。這種方法的優(yōu)點是改變了用戶的物理位置，不需要重新配置vlan，可以根據(jù)協(xié)議類型劃分vlan。這對網(wǎng)絡(luò)管理者來說非常重要。此外，該方法不需要額外的幀標(biāo)簽來識別vlan，從而減少了網(wǎng)絡(luò)流量。這種方法的缺點是效率低，因為檢查每個包的網(wǎng)絡(luò)層地址需要處理時間（與前兩種方法相比）。通用交換芯片可以自動檢測網(wǎng)絡(luò)包的以太網(wǎng)頭，但要使芯片能夠檢測IP幀頭，還需要更高的技術(shù)。這也比較費時。當(dāng)然，這與各個廠商的實現(xiàn)方法有關(guān)。多播分區(qū)vlan：多播也是vlan的定義，即多播組是vlan。這種劃分方法將vlan擴(kuò)展到廣域網(wǎng)，因此具有更大的靈活性，并且易于被路由器擴(kuò)展。當(dāng)然，這種方法不適合局域網(wǎng)、主機(jī)。如果效率不高。運營商級VLAN規(guī)劃涉及業(yè)務(wù)開發(fā)類型和設(shè)備性能支持的影響。vlan規(guī)劃要求維護(hù)部門根據(jù)實際情況制定統(tǒng)一的實施規(guī)則，在匯聚交換機(jī)上部署qinq功能，接入設(shè)備只貼上內(nèi)部標(biāo)簽。匯聚交換機(jī)支持選擇性的svlan功能，可以通過外部標(biāo)簽識別不同的服務(wù)。內(nèi)部VLAN用于識別用戶信息和服務(wù)信息，外部VLAN用于識別用戶服務(wù)信息和訪問設(shè)備位置信息。根據(jù)運營商VLAN規(guī)劃要求，根據(jù)業(yè)務(wù)類型，VLAN1（通用互聯(lián)網(wǎng)接入）、VLAN3（VPN）、VLAN5（IPTV）、VLAN7（NGN預(yù)留）。（五）IP地址規(guī)劃對于運營商級的VLAN規(guī)劃涉及到業(yè)務(wù)開展類型以及設(shè)備性能支持等方面因素的影響，VLAN規(guī)劃需要維護(hù)部門根據(jù)實際情況統(tǒng)一制定實施細(xì)則，統(tǒng)一在匯聚交換機(jī)上部署QinQ功能，接入設(shè)備只打內(nèi)層標(biāo)簽。匯聚交換機(jī)支持選擇性SVLAN功能，且能通過外層標(biāo)簽識別不同業(yè)務(wù)。內(nèi)層VLAN用于標(biāo)識用戶信息和業(yè)務(wù)信息，外層VLAN用于標(biāo)識用戶業(yè)務(wù)信息和接入設(shè)備位置信息。根據(jù)運營商對VLAN規(guī)劃的要求，按業(yè)務(wù)類型可劃分為VLAN1（普通上網(wǎng)）、VLAN3（VPN）、VLAN5（IPTV）、VLAN7（NGN預(yù)留）。VLAN是以分段方式規(guī)劃的。同一接口層設(shè)備下的接入層節(jié)點將分配一段VLANID供使用。對于ip上行的dslam節(jié)點，考慮到網(wǎng)絡(luò)的安全性，宜采用分段近距離接入的原則。如表3-2所示：表3-2VLAN及IP地址規(guī)劃表VLAN號VLAN名稱IP網(wǎng)段默認(rèn)網(wǎng)關(guān)說明VLAN10RLZYB-25554人力資源部VLANVLAN20CWB-25554財務(wù)部VLANVLAN30WLB-25554網(wǎng)絡(luò)部VLANVLAN40XSB-25554銷售部VLANVLAN50YFB-25554研發(fā)部VLANVLAN100FWQ-25554服務(wù)器群四、A公司網(wǎng)絡(luò)規(guī)劃（一）設(shè)計原則（1）組網(wǎng)指導(dǎo)思想現(xiàn)代網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)適應(yīng)當(dāng)前快速增長的多種業(yè)務(wù)需求，承載多種應(yīng)用系統(tǒng)，提供網(wǎng)絡(luò)容量，優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，強(qiáng)化網(wǎng)絡(luò)管理功能，完善支撐系統(tǒng)和業(yè)務(wù)平臺，同時提供基本的c在應(yīng)用程序級保證業(yè)務(wù)發(fā)展。保證網(wǎng)絡(luò)的可靠性和可管理性。（2）組網(wǎng)基本原則寬帶光纖接入網(wǎng)規(guī)劃應(yīng)結(jié)合現(xiàn)有光纜網(wǎng)絡(luò)結(jié)構(gòu)，以近、中期相結(jié)合為原則?，F(xiàn)階段，由于不同地區(qū)、城市發(fā)展不平衡，業(yè)務(wù)需求不同，用戶分散，不確定因素較多，考慮到占領(lǐng)市場和投資的經(jīng)濟(jì)性，形成的原則是逐步實行統(tǒng)一規(guī)劃。（二）網(wǎng)絡(luò)總體設(shè)計根據(jù)A公司的整體網(wǎng)絡(luò)需求，本論文設(shè)計辦公網(wǎng)絡(luò)系統(tǒng)為一套采用局域網(wǎng)設(shè)備得物理網(wǎng)絡(luò)。整個辦公局域網(wǎng)絡(luò)系統(tǒng)設(shè)計由匯聚層、核心層，接入層這3層網(wǎng)絡(luò)結(jié)構(gòu)組成。全網(wǎng)使用的拓?fù)浣Y(jié)構(gòu)為星型結(jié)構(gòu)。A公司主干網(wǎng)絡(luò)設(shè)計如圖4-1所示：圖4-1主干網(wǎng)絡(luò)設(shè)計圖采用上設(shè)計圖優(yōu)點如下：（1）結(jié)構(gòu)整齊，層次清晰，便于管理；（2）采用動態(tài)路由協(xié)議，維護(hù)簡單，擴(kuò)展性好。（三）網(wǎng)絡(luò)管理的設(shè)計面向公司用戶的寬帶接入系統(tǒng)，由于大量用戶的接入需要管理和計費，因此支持認(rèn)證、授權(quán)、計費（AAA）功能也是EPON系統(tǒng)必須考慮的。AAA的功能不僅可以有效地增強(qiáng)網(wǎng)絡(luò)的安全，防止非法用戶進(jìn)入網(wǎng)絡(luò)，而且是使網(wǎng)絡(luò)具備“可運營、可管理和可增值”能力的重要手段。EPON系統(tǒng)是一個分布式的以太網(wǎng)接入設(shè)備，其基本功能主要包括二層的以太網(wǎng)交換。而802.1x的認(rèn)證體系正是基于端口認(rèn)證的二層協(xié)議，與EPON結(jié)合可以充分發(fā)揮其簡單高效的優(yōu)勢。這是因為802.1x將接入端口上的業(yè)務(wù)流和認(rèn)證流分離，避免了認(rèn)證器處理能力的壓力，使實現(xiàn)更簡單，并消除了可能的性能瓶頸。802.1x利用epon的聚合能力，將多個認(rèn)證點的信息聚合后傳輸?shù)秸J(rèn)證服務(wù)器。在減少身份驗證服務(wù)器的并發(fā)連接數(shù)的同時，還增加了服務(wù)器同時管理的用戶數(shù)。epon采用802.1x認(rèn)證架構(gòu)，可以實現(xiàn)與傳統(tǒng)ppp認(rèn)證架構(gòu)的兼容。同時，由于eap（擴(kuò)展認(rèn)證協(xié)議）的認(rèn)證模式，其可擴(kuò)展性得到了充分的考慮。AAA系統(tǒng)工作原理如下：（1）認(rèn)證（authentication）：驗證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù)。EAP可以允許認(rèn)證者和申請者之間采用靈活的方案進(jìn)行認(rèn)證，并且對將來出現(xiàn)的更先進(jìn)、合理的認(rèn)證技術(shù)具有很好的兼容性。EAP的這些特性主要通過擴(kuò)展EAP中廠家定義的“EAP類型”域?qū)崿F(xiàn)，“EAP類型”域中定義的認(rèn)證類型可以滿足不同層次的安全需要。（2）授權(quán)（authorization）：依據(jù)認(rèn)證結(jié)果向用戶開放網(wǎng)絡(luò)服務(wù)。認(rèn)證成功以后，認(rèn)證服務(wù)器會將該用戶的信息傳遞給認(rèn)證者系統(tǒng)。除了關(guān)閉控制端口和允許用戶數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)等標(biāo)準(zhǔn)功能外，epon的認(rèn)證系統(tǒng)還有一些更重要的事情要做。首先，根據(jù)用戶應(yīng)用的帶寬大小，將初始狀態(tài)的默認(rèn)帶寬改為用戶可以獲得的實際帶寬值。由于EPON的動態(tài)帶寬（DBA）機(jī)制，用戶可以獲得的帶寬是一個保證帶寬加上網(wǎng)絡(luò)相對空閑時的部分剩余帶寬。其次，根據(jù)用戶申請的業(yè)務(wù)種類，為用戶配置業(yè)務(wù)端口，同時根據(jù)協(xié)議類型在ONU處劃分VLAN，以便不同業(yè)務(wù)數(shù)據(jù)的統(tǒng)計和匯聚。再次，根據(jù)用戶的QoS級別，在OLT側(cè)為用戶分配不同的優(yōu)先級隊列。最后，如果運營商需要保證端到端的服務(wù)質(zhì)量，也可以在用戶數(shù)據(jù)離開epon系統(tǒng)時，按照運營商的指定標(biāo)注vlan。（3）計費（accounting）：記錄用戶對各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計費系統(tǒng)。由于OLT集中維護(hù)了每個用戶詳細(xì)的在線信息，并可以統(tǒng)一上報給RADIUS服務(wù)器，所以基于時長的計費粒度可以精確到秒級。而且ONU可以實時統(tǒng)計用戶的業(yè)務(wù)流量，甚至是區(qū)分業(yè)務(wù)類型的業(yè)務(wù)流量，基于流量的計費也易于實現(xiàn)。在此基礎(chǔ)上，運營商可以為用戶提供靈活的計費方案。（四）設(shè)備配置1.基礎(chǔ)配置以接入層交換機(jī)為例：圖4-2接入層交換機(jī)Switch>en進(jìn)入特權(quán)模式Switch#conft進(jìn)入全局模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch（config）#hostnameCW_AL_SW_1修改路由器或者交換機(jī)的名字，方便管理CW_AL_SW_1（config）#noipdomainlookup關(guān)閉域名查詢啟用與禁止DNS服務(wù)器，默認(rèn)配置交換機(jī)時，當(dāng)我們輸入錯誤的switch命令時，交換機(jī)會嘗試將其廣播到網(wǎng)絡(luò)上的dns服務(wù)器，并將其解析為相應(yīng)的ip地址。利用命令noipdomainlookup，可以禁用DNS服務(wù)器，可以減少輸入錯誤命令的等待時間CW_AL_SW_1（config）#lineconsole0進(jìn)入CONCOLE0口線程下，通過CONSOLE線串口直接控制交換機(jī)或路由器接口設(shè)置登錄口令，如下圖：圖4-3交換機(jī)密碼設(shè)置2.使用VTP從提高效率的角度出發(fā)，在企業(yè)網(wǎng)實現(xiàn)實例中使用了VTP技術(shù)。將匯聚層WS_SW設(shè)置成為VTP服務(wù)器，其他交換機(jī)設(shè)置成為VTP客戶機(jī)。這里接入層交換機(jī)SW1將通過VTP獲得在分布層交換機(jī)FB1中定義的所有VLAN的信息。下面是配置截圖：圖4-4行政樓匯聚層交換機(jī)VTP配置截圖WS_SW#vlandatabase特權(quán)模式下進(jìn)入VLAN設(shè)置模式WS_SW（vlan）#vtpdomaincisco定義VTP域名ChangingVTPdomainnamefromNULLtociscoWS_SW（vlan）#vtpserver將該交換機(jī)設(shè)置為VTP的服務(wù)端DevicemodealreadyVTPSERVER.WS_SW（vlan）#vtpv2-mode啟用的VTP版本號為2V2modeenabsled.WS_SW（vlan）#vtppassword123456設(shè)置VTP的密碼為123456，交換機(jī)的VTP必須密碼一致才能同步SettingdeviceVLANdatabasepasswordto123456.WS_SW（vlan）#vtppruning啟用VTP修剪，激活VTP剪裁功能，默認(rèn)情況下主干道傳輸所有VLAN的用戶數(shù)據(jù)。有時，交換網(wǎng)絡(luò)中某臺交換機(jī)的所有端口都屬于同一VLAN的成員，沒有必要接收其他VLAN的用戶數(shù)據(jù)。這時，可以激活主干道上的VTP剪裁功能。當(dāng)激活了VTP剪裁功能以后，交換機(jī)將自動剪裁本交換機(jī)沒有定義的VLAN數(shù)據(jù)。在vtp域中，只需要在vtp服務(wù)器上激活vtp裁剪功能。同一VTP域中的所有其他交換機(jī)也將自動激活VTP裁剪。退出VLAN配置模式進(jìn)入特權(quán)模式APPLYcompleted.Exiting其他設(shè)備配置（配置成用戶端）下面以CW_AL_SW_1為例：圖4-5交換機(jī)VTP客戶模式配置CW_AL_SW_1#vlandaCW_AL_SW_1（vlan）#vtpdomainciscoChangingVTPdomainnamefromNULLtociscoCW_AL_SW_1（vlan）#vtpclient將FB2設(shè)置為客戶端，客戶端可以學(xué)習(xí)到服務(wù)端的所有VLAN信息?？蛻裟Ｊ绞菦]有創(chuàng)建、修改、刪除VLAN得權(quán)利的，它只能接收和轉(zhuǎn)發(fā)信息。而服務(wù)器模式擁有以上的所用功能。SettingdevicetoVTPCLIENTmode.CW_AL_SW_1（vlan）#vtpv2 V2modeenabled.CW_AL_SW_1（vlan）#vtppassword123456SettingdeviceVLANdatabasepasswordto123456.CW_AL_SW_1（vlan）#exitAPPLYcompleted.Exiting3.創(chuàng)建VLAN在WS_SW配置VLAN數(shù)據(jù)庫。配置截圖如下：圖4-6VLAN配置4.交換鏈路封裝圖4-7交換鏈路封裝XZ_DL_SW_2（config）#intfa0/4進(jìn)入要封裝的接口XZ_DL_SW_2（config-if）#switchporttrunkencapsulationdot1q進(jìn)行封裝XZ_DL_SW_2（config-if）#switchportmodetrunk指定封裝模式XZ_DL_SW_2（config-if）#noshutdown開啟接口XZ_DL_SW_2（config）#interfacefastEthernet0/0XZ_DL_SW_2（config-if）#switchporttrunkencapsulationdot1qXZ_DL_SW_2（config-if）#switchportmodetrunkXZ_DL_SW_2（config-if）#noshutdown5.NAT圖4-8靜態(tài)nat配置圖4-9動態(tài)nat配置XZ_WL_RT>enPassword:XZ_WL_RT#configConfiguringfromterminal,memory,ornetwork[terminal]?tEnterconfigurationcommands,oneperline.EndwithCNTL/Z. XZ_WL_RT（config）#ipnatpoolnat53netmask配置動態(tài)NAT轉(zhuǎn)換的地址池XZ_WL_RT（config）#ipnatpoolnat54netmaskXZ_WL_RT（config）#ipnatinsidesourcelist1poolnat配置動態(tài)NAT轉(zhuǎn)換的內(nèi)部地址范圍XZ_WL_RT（config）#access-list1permit55XZ_WL_RT（config）#intse2/0XZ_WL_RT（config-if）#ipnatoutsideXZ_WL_RT（config-if）#exXZ_WL_RT（config）#intfa0/0XZ_WL_RT（config-if）#ipnatinsideXZ_WL_RT（config-if）#exXZ_WL_RT（config）#圖4-10查看NAT轉(zhuǎn)換的統(tǒng)計信息6.DHCP/DNS圖4-11配置DHCPXZ_DL_SW（config）#ipdhcpexcluded-addressXZ_DL_SW（config）#ipdhcpexcluded-addressXZ_DL_SW（config）#ipdhcpexcluded-addressXZ_DL_SW（config）#ipdhcpexcluded-addressXZ_DL_SW（config）#ipdhcpexcluded-addressXZ_DL_SW（config）#ipdhcpexcluded-address先配置除去PC機(jī)不能使用的IP地址圖4-12配置DHCP,DNS,默認(rèn)網(wǎng)關(guān)現(xiàn)在需要為路由器接口和所有的PC機(jī)接口配置IP地址。由于幾千個結(jié)點的網(wǎng)絡(luò)比較大，為每一臺PC手工配置地址的工作量相當(dāng)大，所以我們要使用DHCP技術(shù)。XZ_DL_SW（config）#ipdhcppoolVLAN10創(chuàng)建地址池，VLAN10地址池network宣告網(wǎng)段default-router默認(rèn)網(wǎng)關(guān)DNS-SERVERDNS地址ipdhcppoolVLAN20networkdefault-routerDNS-SERVERipdhcppoolVLAN30networkdefault-routerDNS-SERVERipdhcppoolVLAN40networkdefault-routerDNS-SERVERipdhcppoolVLAN50networkdefault-routerDNS-SERVERipdhcppoolVLAN60networkdefault-routerDNS-SERVERipdhcppoolVLAN70networkdefault-routerDNS-SERVER圖4-13DHCP服務(wù)請求成功7.ACL圖4-14配置ACLWS_WL_RT（config）#access-list1permit55WS_WL_RT（config）#linevty04WS_WL_RT（config-line）#access-class1in在vty下應(yīng)用aclWS_WL_RT（config-line）#passwordciscoWS_WL_RT（config-line）#loginWS_WL_RT（config-line）#圖4-15配置ACLWS_SW（config）#access-list6deny55WS_SW（config）#access-list6deny55WS_SW（config）#access-list6deny55WS_SW（config）#access-list6deny55WS_SW（config）#access-list6deny55WS_SW（config）#access-list6deny55WS_SW（config）#access-list6permitanyWS_SW（config）#intvlan20WS_SW（config-if）#ipacc6outWS_SW（config-if）#WS_SW（config-if）#WS_SW（config）#圖4-16配置擴(kuò)展ACL8.PVST圖4-17配置PVST由于網(wǎng)絡(luò)拓?fù)浔容^大，兩兩相連加冗余會出現(xiàn)環(huán)路，所以需要配置二層防環(huán)的PVST首先要選舉根橋，我們這里手工指定XZ_AL_SW為VLAN10的主根，VLAN203060的備份根。Switch>enSwitch#configConfiguringfromterminal,memory,ornetwork[terminal]?tEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch（config）#spanning-treemodepvst開啟PVST生成樹模式Switch（config）#spanning-treevlan20rootprimary設(shè)置為VLAN20的主根Switch（config）#spanning-treevlan10，30rootsecondary設(shè)置為VLAN1030的備份根Switch（config）#9.路由協(xié)議外聯(lián)路由器配置EIGRP，總部外聯(lián)路由配置如下圖：圖4-18總部外聯(lián)路由協(xié)議配置XZ_WL_RT（config）#routereigrp100啟用EIGRP協(xié)議XZ_WL_RT（config-router）#network5把/28網(wǎng)段宣告進(jìn)協(xié)議中XZ_WL_RT（config-router）#network55XZ_WL_RT（config-router）#network55XZ_WL_RT（config-router）#network55圖4-19外省外聯(lián)路由協(xié)議配置WS_WL_RT（config）#routereigrp100啟用EIGRP協(xié)議WS_WL_RT（config-router）#network把/30網(wǎng)段宣告進(jìn)協(xié)議中WS_WL_RT（config-router）#networkEIGRP還有自動匯總的功能，當(dāng)不需要時：WS_WL_RT（config-router）#noauto-summary關(guān)閉自動匯總功能10.網(wǎng)管控制