企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案

企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案網(wǎng)絡(luò)工程設(shè)計(jì)方案目錄一、 需求分析………..41.1 工程項(xiàng)目概況………41.2 信息點(diǎn)分布…………51.3 需求分析……………5二、方案設(shè)計(jì)原則……………………..8三、網(wǎng)絡(luò)方案設(shè)計(jì)……………………..103.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)介紹…………………103.2網(wǎng)絡(luò)拓?fù)鋱D…………113.3.1骨干核心層網(wǎng)絡(luò)設(shè)計(jì)…………….123.3.2核心層網(wǎng)絡(luò)設(shè)計(jì)………………….133.3.3匯聚層網(wǎng)絡(luò)設(shè)計(jì)………………….143.3.4接入層網(wǎng)絡(luò)設(shè)計(jì)………………….143.3.5廣域網(wǎng)互聯(lián)設(shè)計(jì)………………….153.3.6冗余/負(fù)載均衡設(shè)計(jì)………………153.3.7線路冗余………….163.3.8網(wǎng)絡(luò)設(shè)備冗余/負(fù)載均衡設(shè)計(jì)……173.3.9服務(wù)器冗余設(shè)計(jì)………………….193.310IP地址規(guī)劃原則…………………203.4方案特點(diǎn)…………...23企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共1頁，當(dāng)前為第1頁。四、網(wǎng)絡(luò)技術(shù)選型……………………..24企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共1頁，當(dāng)前為第1頁。4.1 路由協(xié)議——OSPF………………..244.2 端口安全與認(rèn)證（基于802.1X）………………..244.3VRRP（虛擬路由冗余協(xié)議）原理………………..254.5NAT的描述及策略路由的實(shí)現(xiàn)…………………..274.6ACL(訪問控制列表)…………..284.7鏈路聚合EC(EthernetChannel)………………284.8VLAN(虛擬局域網(wǎng))…………...294.9 WLAN無線局域網(wǎng)………………..30五、網(wǎng)絡(luò)安全及管理機(jī)制……………..305.1 完善的安全機(jī)制…………………....305.2 解決安全威脅………325.3 VPN(虛擬專用網(wǎng))……………….32六、網(wǎng)絡(luò)設(shè)備選型……………………..33七、方案的擴(kuò)展性考慮………………..34企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共2頁，當(dāng)前為第2頁。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共2頁，當(dāng)前為第2頁。前言當(dāng)今社會(huì)已步入信息社會(huì)，信息成為社會(huì)經(jīng)濟(jì)發(fā)展的核心因素，信息化已成為當(dāng)今世界潮流。而現(xiàn)在，信息化程度已成為衡量一個(gè)國家現(xiàn)代化水平和綜合國力強(qiáng)弱的重要標(biāo)志。信息技術(shù)作為新技術(shù)革命的核心.不僅具有高增值性、成為最具經(jīng)濟(jì)活力的經(jīng)濟(jì)增長點(diǎn),而且具有高滲透性,以極強(qiáng)的親和力和擴(kuò)散速度向經(jīng)濟(jì)各部門滲透，使其結(jié)構(gòu)和效益發(fā)生根本性改變。信息化已成為當(dāng)代經(jīng)濟(jì)發(fā)展與社會(huì)進(jìn)步的巨大推力，尤其是作為國民經(jīng)濟(jì)信息化基礎(chǔ)的企業(yè)信息化，當(dāng)前更顯得尤為重要，信息化建設(shè)已成為企業(yè)發(fā)展的必由之路。信息化是企業(yè)加快實(shí)現(xiàn)現(xiàn)代化的必然選擇!隨著信息時(shí)代的到來，企業(yè)的生存和競爭環(huán)境發(fā)生了根本性的變化。對于大型企業(yè)而言，信息化無論是作為戰(zhàn)略手段還是戰(zhàn)術(shù)手段，在企業(yè)經(jīng)營中發(fā)揮著舉足輕重的作用。隨著近年來企業(yè)信息化建設(shè)的深入，企業(yè)的運(yùn)作越來越融入計(jì)算機(jī)網(wǎng)絡(luò)，企業(yè)的溝通、應(yīng)用、財(cái)務(wù)、決策、會(huì)議等等數(shù)據(jù)流都在企業(yè)網(wǎng)絡(luò)上傳輸，構(gòu)建一個(gè)“安全可靠、性能卓越、管理方便”的“高品質(zhì)”大型企業(yè)網(wǎng)絡(luò)已經(jīng)成為企業(yè)信息化建設(shè)成功的關(guān)鍵基石。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共3頁，當(dāng)前為第3頁。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共3頁，當(dāng)前為第3頁。一、需求分析1.1 工程項(xiàng)目概況紅塔木業(yè)集團(tuán)為了加快信息化建設(shè)，新的集團(tuán)企業(yè)網(wǎng)將建設(shè)一個(gè)以集團(tuán)辦公自動(dòng)化、電子商務(wù)、業(yè)務(wù)綜合管理、多媒體視頻會(huì)議、遠(yuǎn)程通訊、信息發(fā)布及查詢?yōu)楹诵?，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)，將集團(tuán)的各種辦公室、多媒體會(huì)議室、PC終端設(shè)備、應(yīng)用系統(tǒng)通過網(wǎng)絡(luò)連接起來，實(shí)現(xiàn)內(nèi)、外溝通的現(xiàn)代化計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。該網(wǎng)絡(luò)系統(tǒng)是支持辦公自動(dòng)化、供應(yīng)鏈管理、ERP以及各應(yīng)用系統(tǒng)運(yùn)行的基礎(chǔ)設(shè)施，為了確保這些關(guān)鍵應(yīng)用系統(tǒng)的正常運(yùn)行、安全和發(fā)展，系統(tǒng)必須具備如下的特性：1、采用先進(jìn)的網(wǎng)絡(luò)通信技術(shù)完成集團(tuán)企業(yè)網(wǎng)的建設(shè)，實(shí)現(xiàn)各分公司的信息化；2、在整個(gè)企業(yè)集團(tuán)內(nèi)實(shí)現(xiàn)所有部門的辦公自動(dòng)化，提高工作效率和管理服務(wù)水平；3、在整個(gè)企業(yè)集團(tuán)內(nèi)實(shí)現(xiàn)資源共享、產(chǎn)品信息共享、實(shí)時(shí)新聞發(fā)布；4、在整個(gè)企業(yè)集團(tuán)內(nèi)實(shí)現(xiàn)財(cái)務(wù)電算化；5、在整個(gè)企業(yè)集團(tuán)內(nèi)實(shí)現(xiàn)集中式的供應(yīng)鏈管理系統(tǒng)和客戶服務(wù)關(guān)系管理系統(tǒng)；具體要求： ●WWW服務(wù) ●E-mail、FTP服務(wù)企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共4頁，當(dāng)前為第4頁。 ●網(wǎng)上多媒體教學(xué)，能提供視頻點(diǎn)播服務(wù)企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共4頁，當(dāng)前為第4頁。 ●集團(tuán)內(nèi)行政管理 ●撥號(hào)上網(wǎng)服務(wù)1.2 信息點(diǎn)分布主要信息點(diǎn)集中在生產(chǎn)部、賬務(wù)部、網(wǎng)絡(luò)中心、職工宿舍等部門。詳細(xì)分布如表1所示。地點(diǎn)信息點(diǎn)備注網(wǎng)絡(luò)中心40需保證速度、流量和可靠性生產(chǎn)部150需保證速度、流量和可靠性賬務(wù)部120需保證速度、流量和安全性職工宿舍1000需保證速度和流量銷售部100需要保證速度和可靠性綜合設(shè)計(jì)30需保證速度和流量表1主要信息點(diǎn)分布1.3 需求分析為適應(yīng)企業(yè)信息化的發(fā)展，滿足日益增長的通訊需求和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，今天的大型企業(yè)網(wǎng)絡(luò)建設(shè)比傳統(tǒng)企業(yè)網(wǎng)絡(luò)建設(shè)提出更高的要求，主要表現(xiàn)在如下幾個(gè)方面：1）現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，支持10GE或?qū)砥交^渡到10GE，更強(qiáng)大的性能，以滿足用戶日益增長的通訊需求。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共5頁，當(dāng)前為第5頁。隨著計(jì)算機(jī)技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個(gè)多業(yè)務(wù)承載平臺(tái)，它不僅要繼續(xù)承載企業(yè)的辦公自動(dòng)化和WEB瀏覽等簡單的數(shù)據(jù)業(yè)務(wù)，還要承載涉及企業(yè)生產(chǎn)運(yùn)營的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及帶寬和時(shí)延都要求很高的IP電話、視頻會(huì)議等多媒體業(yè)務(wù)，因此數(shù)據(jù)流量將大大增加，尤其是對核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出前所未有的要求。另外，隨著千兆端口的成本持續(xù)下降，千兆到桌面的應(yīng)用會(huì)在不久的將來成為企業(yè)網(wǎng)的主流。所以今天的企業(yè)網(wǎng)絡(luò)已經(jīng)不能再用百兆到桌面千兆骨干來作為建網(wǎng)的標(biāo)準(zhǔn)，它的核心層及骨干層必須具有萬兆級(jí)帶寬和處理性能，才能構(gòu)筑一個(gè)暢通無阻的“高品質(zhì)”大型企業(yè)網(wǎng)，從而適應(yīng)網(wǎng)絡(luò)規(guī)模擴(kuò)大，業(yè)務(wù)量日益增長的需要。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共5頁，當(dāng)前為第5頁。2）現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更全面的可靠性設(shè)計(jì)，以實(shí)現(xiàn)網(wǎng)絡(luò)通訊的實(shí)時(shí)暢通，保障企業(yè)生產(chǎn)運(yùn)營的正常進(jìn)行。隨著企業(yè)各種業(yè)務(wù)應(yīng)用逐漸轉(zhuǎn)移到計(jì)算機(jī)網(wǎng)絡(luò)上來，網(wǎng)絡(luò)通訊的無中斷運(yùn)行已經(jīng)成為保證企業(yè)正常的生產(chǎn)運(yùn)營的關(guān)鍵。現(xiàn)代大型企業(yè)網(wǎng)絡(luò)在可靠性設(shè)計(jì)方面主要應(yīng)從三方面考慮：首先是設(shè)備級(jí)可靠性設(shè)計(jì)，這里不僅要考察網(wǎng)絡(luò)設(shè)備是否實(shí)現(xiàn)了關(guān)鍵部件的冗余備份，還要從網(wǎng)絡(luò)設(shè)備整體設(shè)計(jì)架構(gòu)、處理引擎種類等多方面去考察；其次是業(yè)務(wù)的可靠性設(shè)計(jì)，這里要注意網(wǎng)絡(luò)設(shè)備在故障倒換過程中是否對業(yè)務(wù)的正常運(yùn)行有影響；再次是鏈路的可靠性設(shè)計(jì)，以太網(wǎng)的鏈路安全來自于它的多路徑選擇，所以在企業(yè)網(wǎng)絡(luò)建設(shè)時(shí)要考慮網(wǎng)絡(luò)設(shè)備是否能夠提供有效的鏈路自愈手段和快速重路由協(xié)議的支持。3）現(xiàn)代大型企業(yè)網(wǎng)絡(luò)需要提供完善的端到端QOS保障，以滿足企業(yè)網(wǎng)多業(yè)務(wù)承載的需求。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共6頁，當(dāng)前為第6頁。大型企業(yè)網(wǎng)絡(luò)承載業(yè)務(wù)的不斷增多，單純的提高帶寬并不能夠有效的保障數(shù)據(jù)交換的暢通無阻，而必須要考慮到網(wǎng)絡(luò)應(yīng)能夠智能的識(shí)別應(yīng)用事件的緊急和重要程度，如視頻、音頻、數(shù)據(jù)流(MIS、ERP、OA、備份數(shù)據(jù))，同時(shí)能夠調(diào)度網(wǎng)絡(luò)中的資源，保證重要和緊急業(yè)務(wù)的帶寬、時(shí)延、優(yōu)先級(jí)和無阻塞的傳送，實(shí)現(xiàn)對業(yè)務(wù)的合理調(diào)度才是一個(gè)大型企業(yè)網(wǎng)絡(luò)提供“高品質(zhì)”服務(wù)的保障。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共6頁，當(dāng)前為第6頁。4）現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)安全解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟(jì)損失。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全措施主要是通過部署防火墻、IDS、殺毒軟件以及配合交換機(jī)或路由器的ACL來實(shí)現(xiàn)對于病毒和黑客攻擊的防御，但實(shí)踐證明這些被動(dòng)的防御措施并不能有效的解決企業(yè)網(wǎng)絡(luò)的安全問題。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運(yùn)營的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接入控制，病毒報(bào)文識(shí)別到主動(dòng)抑制的一系列安全控制手段，才能有效的保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。5）現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具備更智能的網(wǎng)絡(luò)管理解決方案，以適應(yīng)網(wǎng)絡(luò)規(guī)模日益擴(kuò)大，維護(hù)工作更加復(fù)雜的需要。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共7頁，當(dāng)前為第7頁。當(dāng)前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為“以應(yīng)用為中心”的信息基礎(chǔ)平臺(tái)，網(wǎng)絡(luò)管理能力的要求已經(jīng)上升到了業(yè)務(wù)層次，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的智能已經(jīng)不能有效支持網(wǎng)絡(luò)管理需求的發(fā)展。比如，網(wǎng)絡(luò)調(diào)試期間最消耗人力與物力的線纜故障定位工作，網(wǎng)絡(luò)運(yùn)行期間對不同用戶靈活的服務(wù)策略部署、訪問權(quán)限控制、以及網(wǎng)絡(luò)日志審計(jì)和病毒控制能力等方面的管理工作，由于受網(wǎng)絡(luò)設(shè)備功能本身的限制，都還屬于費(fèi)時(shí)、費(fèi)力，有時(shí)甚至是不可能的任務(wù)，所以現(xiàn)代的大型企業(yè)網(wǎng)絡(luò)迫切需要網(wǎng)絡(luò)設(shè)備具備支撐“以應(yīng)用為中心”的智能網(wǎng)絡(luò)運(yùn)營維護(hù)的能力，并能夠有一套智能化的管理軟件，將網(wǎng)絡(luò)管理人員從繁重的工作中解脫出來。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共7頁，當(dāng)前為第7頁。二、方案設(shè)計(jì)原則本方案的設(shè)計(jì)將在追求性能優(yōu)越、經(jīng)濟(jì)實(shí)用的前提下，本著嚴(yán)謹(jǐn)、慎重的態(tài)度，從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備選擇、系統(tǒng)應(yīng)用、技術(shù)服務(wù)和實(shí)施過程等方面綜合進(jìn)行系統(tǒng)的總體設(shè)計(jì)，力圖使該系統(tǒng)真正成為符合該中學(xué)的網(wǎng)絡(luò)系統(tǒng)。從技術(shù)措施角度來講，在網(wǎng)絡(luò)的設(shè)計(jì)和實(shí)現(xiàn)中，本方案嚴(yán)格遵守了以下原則：1、實(shí)用性和集成性系統(tǒng)的軟硬件設(shè)計(jì)、還是集成，均以適用為第一宗旨，在系統(tǒng)充分適應(yīng)企業(yè)信息化的需求的基礎(chǔ)上進(jìn)而再來考慮其他的性能。該系統(tǒng)所包含的內(nèi)容很多，必須能將各種先進(jìn)的軟硬件設(shè)備有效地集成在一起，使系統(tǒng)的各個(gè)組成部分能充分發(fā)揮作用，協(xié)調(diào)一致的進(jìn)行高效工作。2、標(biāo)準(zhǔn)性和開往性只有支持標(biāo)準(zhǔn)性和開放性的系統(tǒng)，才能支持與其它開放型系統(tǒng)一起協(xié)同工作，在網(wǎng)絡(luò)中采用的硬件設(shè)備及軟件產(chǎn)品應(yīng)該支持國際工作標(biāo)準(zhǔn)或事實(shí)上的標(biāo)準(zhǔn)，以便能和不同廠家的開放性產(chǎn)品在同一網(wǎng)絡(luò)中同時(shí)共存。通信中應(yīng)采用標(biāo)準(zhǔn)的通信協(xié)議以使不同的操作系統(tǒng)與不同的網(wǎng)絡(luò)系統(tǒng)及不同的網(wǎng)絡(luò)之間順利進(jìn)行通訊。3、先進(jìn)性和安全性企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共8頁，當(dāng)前為第8頁。系統(tǒng)所有的組成要素均應(yīng)充分地考慮其先進(jìn)性。不能一味地追求實(shí)用而忽略先進(jìn)，只有將當(dāng)今最先進(jìn)的技術(shù)和我們的實(shí)際應(yīng)用要求緊密結(jié)合，才能獲得最大的系統(tǒng)性能和效益。網(wǎng)絡(luò)的安全是事關(guān)重要的，在某些情況下，寧可犧牲系統(tǒng)的部分功能也必須保證系統(tǒng)的安全。4、成熟性和高可靠性企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共8頁，當(dāng)前為第8頁。作為信息系統(tǒng)基礎(chǔ)的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備的配置及帶寬應(yīng)能充分地滿足網(wǎng)絡(luò)通信的需要。網(wǎng)絡(luò)硬件體系結(jié)構(gòu)在實(shí)際應(yīng)用中能經(jīng)過較長時(shí)間的考驗(yàn)，在運(yùn)行速度和性能上都應(yīng)是穩(wěn)定可靠的、擁有完善的、實(shí)用的解決方案，并通到較多的第三方開發(fā)商和用戶在全球的廣泛支持和使用。同時(shí)，應(yīng)從長遠(yuǎn)的技術(shù)發(fā)展來選擇具有很好前景的、較為先進(jìn)的技術(shù)和產(chǎn)品，以適應(yīng)系統(tǒng)未來的發(fā)展需要?？煽啃砸彩呛饬恳粋€(gè)計(jì)算機(jī)應(yīng)用系統(tǒng)的重要標(biāo)準(zhǔn)之一。在確保系統(tǒng)網(wǎng)絡(luò)環(huán)境中單獨(dú)設(shè)備穩(wěn)定、可靠運(yùn)行的前提下，還需要考慮網(wǎng)絡(luò)整體的容錯(cuò)能力、安全性及穩(wěn)定性，使系統(tǒng)出現(xiàn)問題和故障時(shí)能迅速地修復(fù)。因此需要采取一定的預(yù)防措施，如對關(guān)鍵應(yīng)用的主干設(shè)備考慮有適當(dāng)?shù)娜哂?。?yīng)急處理信息系統(tǒng)能夠全天候工作，達(dá)到每周7*24小時(shí)工作的要求。一個(gè)高可用性的系統(tǒng)才能使用戶的投資真正得到回報(bào)。5、可維護(hù)性和可管理性企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共9頁，當(dāng)前為第9頁。整個(gè)信息網(wǎng)絡(luò)系統(tǒng)中的互連設(shè)備，應(yīng)是使用方便、操作簡單易學(xué)，并便于維護(hù)。對復(fù)雜和龐大的網(wǎng)絡(luò)，要求有強(qiáng)有力的網(wǎng)絡(luò)管理手段，以便合理的管理網(wǎng)絡(luò)資源，監(jiān)視網(wǎng)絡(luò)狀態(tài)及控制網(wǎng)絡(luò)的運(yùn)行，因此，網(wǎng)絡(luò)所選的網(wǎng)絡(luò)設(shè)備應(yīng)支持多種協(xié)議，管理員能方便進(jìn)行網(wǎng)絡(luò)管理、維護(hù)甚至修復(fù)。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共9頁，當(dāng)前為第9頁。在設(shè)計(jì)和實(shí)現(xiàn)時(shí)，必須充分考慮整個(gè)系統(tǒng)的便于維護(hù)性，以使系統(tǒng)萬一發(fā)生故障時(shí)能提供有效手段及時(shí)進(jìn)行恢復(fù)，盡量減少損失。6、可擴(kuò)充性和兼容性網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)應(yīng)具有可擴(kuò)展性即網(wǎng)絡(luò)聯(lián)結(jié)必須在系統(tǒng)結(jié)構(gòu)、系統(tǒng)容量與處理能力、物理接連、產(chǎn)品支持等方面具有擴(kuò)充與升級(jí)換代的可能，采用的產(chǎn)品要遵循通用的工業(yè)標(biāo)準(zhǔn)，以便不同的設(shè)備能方便靈活地接連入網(wǎng)并滿足系統(tǒng)規(guī)模擴(kuò)充的要求。為了使所實(shí)現(xiàn)系統(tǒng)能夠在應(yīng)用發(fā)生變化的情況下保護(hù)原有的開發(fā)投資，在設(shè)計(jì)系統(tǒng)時(shí)，應(yīng)將系統(tǒng)按功能做成模塊化的，可根據(jù)需要增加和刪除功能模塊。三、網(wǎng)絡(luò)方案設(shè)計(jì)3.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)介紹在此次紅塔木業(yè)集團(tuán)大型企業(yè)網(wǎng)的設(shè)計(jì)中，我們采用層次化模型來設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。所謂“層次化”模型，就是將復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)分成幾個(gè)層次，每個(gè)層次著重于某些特定的功能，這樣就能夠使一個(gè)復(fù)雜的大問題變成許多簡單的小問題。層次模型既能夠應(yīng)用于局域網(wǎng)的設(shè)計(jì)，也能夠應(yīng)用于廣域網(wǎng)的設(shè)計(jì)。層次化模型的好處：在大型企業(yè)網(wǎng)設(shè)計(jì)中，使用層次化模型有許多好處，列舉如下：企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共10頁，當(dāng)前為第10頁。1、節(jié)省成本企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共10頁，當(dāng)前為第10頁。在采用層次模型之后，各層次各司其職，不再在同一個(gè)平臺(tái)上考慮所有的事情。層次模型模塊化的特性使網(wǎng)絡(luò)中的每一層都能夠很好地利用帶寬，減少了對系統(tǒng)資源的浪費(fèi)。2、易于理解層次化設(shè)計(jì)使得網(wǎng)絡(luò)結(jié)構(gòu)清晰明了，可以在不同的層次實(shí)施不同難度的管理，降低了管理成本。3、易于擴(kuò)展在網(wǎng)絡(luò)設(shè)計(jì)中，模塊化具有的特性使得網(wǎng)絡(luò)增長時(shí)網(wǎng)絡(luò)的復(fù)雜性能夠限制在子網(wǎng)中，而不會(huì)蔓延到網(wǎng)絡(luò)的其他地方。而如果采用扁平化和網(wǎng)狀設(shè)計(jì)，任何一個(gè)節(jié)點(diǎn)的變動(dòng)都將對整個(gè)網(wǎng)絡(luò)產(chǎn)生很大影響。4、易于排錯(cuò)層次化設(shè)計(jì)能夠使網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分解為易于理解的子網(wǎng)，網(wǎng)絡(luò)管理者能夠輕易地確定網(wǎng)絡(luò)故障的范圍，從而簡化了排錯(cuò)過程。3.2網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共11頁，當(dāng)前為第11頁。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共11頁，當(dāng)前為第11頁。圖1網(wǎng)絡(luò)拓?fù)鋱D3.3網(wǎng)絡(luò)設(shè)計(jì)3.3.1骨干核心層網(wǎng)絡(luò)設(shè)計(jì)大型企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的核心網(wǎng)主要完成整個(gè)企業(yè)集團(tuán)內(nèi)部不同地域企業(yè)之間的高速數(shù)據(jù)路由轉(zhuǎn)發(fā)，以及維護(hù)全網(wǎng)路由的計(jì)算。鑒于大型集團(tuán)企業(yè)的用戶數(shù)量眾多，業(yè)務(wù)復(fù)雜，QOS要求較高的特點(diǎn)，在本方案中采用神州數(shù)碼的DCRS-7508高密度多業(yè)務(wù)核心路由交換機(jī)組建高性能的核心網(wǎng)絡(luò)平臺(tái)。神州數(shù)碼DCRS-7500系列交換機(jī)是具有運(yùn)營商級(jí)容錯(cuò)能力的高性能大型網(wǎng)絡(luò)核心交換機(jī)，可為高校和運(yùn)營商提供基于領(lǐng)先技術(shù)的卓越性能和可靠性。DCRS-7500系列交換機(jī)專為發(fā)揮萬兆、千兆以太網(wǎng)潛在的強(qiáng)大交換能力而設(shè)計(jì)，超大容量的交換背板使得包括萬兆端口在內(nèi)的每個(gè)端口具備全線速交換能力，確保在巨大的網(wǎng)絡(luò)通信負(fù)載下始終能夠輕松實(shí)現(xiàn)線速的第二層和第三層交換，是城域網(wǎng)、數(shù)據(jù)中心、智能大廈及企業(yè)網(wǎng)絡(luò)骨干級(jí)核心路由交換機(jī)的理想選擇。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共12頁，當(dāng)前為第12頁。DCRS-7500系列交換機(jī)具有三種型號(hào)，包括15插槽的DCRS-7515、8插槽的DCRS-7508和4插槽的DCRS-7504，除DCRS-7515專用的大功率電源模塊外，該系列交換機(jī)的所有管理模塊、交換模塊以及電源模塊都可互換使用，而且管理模塊、電源模塊、風(fēng)扇等還可實(shí)現(xiàn)冗余備份，溫度傳感器可以隨時(shí)監(jiān)控各個(gè)部件的工作溫度，從而提供運(yùn)營商級(jí)的可靠性。DCRS-7500系列交換機(jī)的一大特色是管理模塊均帶有業(yè)務(wù)接口，使得所有的插槽均為有效的業(yè)務(wù)插槽，從而大大提高了端口密度和插槽利用率。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共12頁，當(dāng)前為第12頁。在骨干核心層中，我們采用三臺(tái)神州數(shù)碼DCRS-7508核心路由交換機(jī)組成一個(gè)環(huán)形多機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案。為提高核心網(wǎng)絡(luò)的健壯性，實(shí)現(xiàn)鏈路的安全保障，本方案骨干核心層環(huán)網(wǎng)中可以采用VRRP（虛擬路由器冗余協(xié)議）。對于各個(gè)業(yè)務(wù)VLAN可以指向這個(gè)虛擬的IP地址作為網(wǎng)關(guān)，因此應(yīng)用VRRP技術(shù)為核心交換機(jī)提供一個(gè)可靠的網(wǎng)關(guān)地址，以實(shí)現(xiàn)在核心層核心交換機(jī)之間進(jìn)行設(shè)備的硬件冗余，一主兩備，共用一個(gè)虛擬的IP地址和MAC地址，通過內(nèi)部的協(xié)議傳輸機(jī)制可以自動(dòng)進(jìn)行工作角色的切換。進(jìn)而雙引擎、雙電源的設(shè)計(jì)為網(wǎng)絡(luò)高效處理大集中數(shù)據(jù)提供了可靠的保障。3.3.2核心層網(wǎng)絡(luò)設(shè)計(jì)企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共13頁，當(dāng)前為第13頁。大型企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的核心層網(wǎng)絡(luò)主要完成園區(qū)內(nèi)各匯聚層設(shè)備之間的數(shù)據(jù)交換和與骨干核心層網(wǎng)絡(luò)之間的路由轉(zhuǎn)發(fā)。傳統(tǒng)解決方案一般采用骨干路由器＋核心交換機(jī)來組建，但這種方式受限于交換機(jī)的性能，在提供MPLSVPN的業(yè)務(wù)能力方面較弱，不適合大型企業(yè)網(wǎng)絡(luò)的建設(shè)需求，同時(shí)現(xiàn)在的大型企業(yè)辦公網(wǎng)絡(luò)具有城域網(wǎng)的特點(diǎn)，網(wǎng)絡(luò)發(fā)展具有網(wǎng)絡(luò)扁平化的發(fā)展方向，因此本方案骨干層網(wǎng)絡(luò)設(shè)備采用DCRS-7508核心路由交換機(jī)作為大型企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的園區(qū)核心路由交換設(shè)備，DCRS-7508具有強(qiáng)大的業(yè)務(wù)和路由處交換理能力，能提供如MPLSVPN、QOS、策略路由、NAT、PPPoE/Web/802.1x/L2TP認(rèn)證等豐富業(yè)務(wù)能力，并可通過內(nèi)置防火墻模塊實(shí)現(xiàn)各種強(qiáng)大的網(wǎng)絡(luò)安全策略，可以充分滿足大型企業(yè)不同園區(qū)網(wǎng)絡(luò)的高速數(shù)據(jù)交換和支持多業(yè)務(wù)功能的要求，并能夠提供完善的安全防御策略，保障企業(yè)園區(qū)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共13頁，當(dāng)前為第13頁。3.3.3匯聚層網(wǎng)絡(luò)設(shè)計(jì)匯聚層網(wǎng)絡(luò)主要完成企業(yè)各園區(qū)內(nèi)辦公樓宇和相關(guān)單位的內(nèi)接入交換機(jī)的匯聚及數(shù)據(jù)交換和VLAN終結(jié)，在本方案中采用神州數(shù)碼的DCRS-7504交換機(jī)多層交換機(jī)作為匯聚層面的交換機(jī)。DCRS-7504交換機(jī)在提供高密度千兆端口接入的同時(shí)還能夠滿足匯聚層智能高速處理的需要,并能夠加靈活的部署在網(wǎng)絡(luò)邊緣的各個(gè)位置。能夠同時(shí)提供多個(gè)高速專用堆疊端口和百兆、千兆光口/電口。這些交換機(jī)都具備較強(qiáng)的多業(yè)務(wù)提供能力，可支持包括智能的CCL、MPLS、組播在內(nèi)的各種業(yè)務(wù)。為用戶提供豐富、高性價(jià)比的組網(wǎng)選擇。3.3.4接入層網(wǎng)絡(luò)設(shè)計(jì)以往傳統(tǒng)企業(yè)網(wǎng)絡(luò)接入層的建設(shè)中并不關(guān)注于安全控制和QOS提供能力，而將網(wǎng)絡(luò)的安全防御措施和QOS保障依賴于網(wǎng)絡(luò)的匯聚層或骨干層設(shè)備，這給匯聚層和骨干層設(shè)備帶來了巨大的壓力，往往內(nèi)網(wǎng)病毒泛濫成災(zāi)后導(dǎo)致骨干層設(shè)備癱機(jī)，使網(wǎng)絡(luò)沒有QOS服務(wù)質(zhì)量保障。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共14頁，當(dāng)前為第14頁。DCRS-2026B智能寬帶接入交換機(jī)是能滿足高安全、多業(yè)務(wù)承載、高性能的網(wǎng)絡(luò)環(huán)境智能交換機(jī)，具備傳統(tǒng)二層交換機(jī)大容量、高性能等優(yōu)點(diǎn)，同時(shí)還具有領(lǐng)先的安全特性，進(jìn)一步加強(qiáng)了企業(yè)網(wǎng)絡(luò)對邊緣接入層面的安全控制能力。用戶可以根據(jù)需要來訂制自身的安全策略并部署在此交換機(jī)上。該產(chǎn)品具備的端口帶寬限制、端口鏡像、QOS、端口安全、廣播風(fēng)暴抑制等功能可以很好的協(xié)助用戶實(shí)現(xiàn)網(wǎng)絡(luò)的管理和維護(hù)。除此之外，此交換機(jī)還具備多個(gè)專用堆疊接口，可以滿足樓層，樓宇內(nèi)多個(gè)交換機(jī)高性能匯聚的需要。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共14頁，當(dāng)前為第14頁。3.3.5廣域網(wǎng)互聯(lián)設(shè)計(jì)針對于大型企業(yè)需要良好的出口網(wǎng)關(guān)設(shè)備，我們建議用戶選用神州數(shù)碼DCFW-1800S-L。神州數(shù)碼DCFW-1800E-G2防火墻專為千兆位流量的網(wǎng)絡(luò)服務(wù)運(yùn)營商，大型數(shù)據(jù)中心等骨干網(wǎng)絡(luò)而設(shè)計(jì),采用2U專用千兆安全平臺(tái)，完全模塊化可擴(kuò)展結(jié)構(gòu)，具有熱插拔特性的冗余部件為您提供最大的不間斷運(yùn)行時(shí)間。神州數(shù)碼DCFW-1800E-G防火墻內(nèi)置2個(gè)10/100/1000M自適應(yīng)以太網(wǎng)電口，具備6個(gè)SFP擴(kuò)展插槽，最多可擴(kuò)展至8個(gè)千兆接口，接口模塊類型支持單模、多模光纖，千兆電口，充分滿足您的定制需求。3.3.6冗余/負(fù)載均衡設(shè)計(jì)企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共15頁，當(dāng)前為第15頁。冗余設(shè)計(jì)是網(wǎng)絡(luò)設(shè)計(jì)的重要部分，是保證網(wǎng)絡(luò)整體可靠性能的重要手段。但是投資也將增加。部分企業(yè)園區(qū)網(wǎng)在早期的建設(shè)中由于成本的原因并未在設(shè)計(jì)中考慮冗余問題，而在優(yōu)化工作中則需從網(wǎng)絡(luò)鏈路和網(wǎng)絡(luò)設(shè)備兩方面著手。冗余設(shè)計(jì)可以貫穿整個(gè)層次化結(jié)構(gòu)，每個(gè)冗余設(shè)計(jì)都有針對性，可以選擇其中一部分或幾部分應(yīng)用到網(wǎng)絡(luò)中以針對重要的應(yīng)用。萬一網(wǎng)絡(luò)中某條路徑失效時(shí)，冗余鏈路可以提供另一條物理路徑?？刹捎肎EC鏈路聚合（IEEE802.3ad）實(shí)現(xiàn)端口級(jí)冗余，以克服某個(gè)端口或線路引起的故障。也可采用生成樹協(xié)議（IEEE802.1d）提供設(shè)備級(jí)的冗余連接。此外，我們在設(shè)計(jì)中提供不同物理方向的雙歸屬、雙路由保護(hù)。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共15頁，當(dāng)前為第15頁。3.3.7線路冗余在企業(yè)網(wǎng)骨干核心層，企業(yè)網(wǎng)絡(luò)邊界拓?fù)浣Y(jié)構(gòu)由于采用了環(huán)形多機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案，所以在線路冗余方面的要求較高，對于線路的冗余要求，我們采用10GE線路對三臺(tái)企業(yè)網(wǎng)骨干核心層設(shè)備進(jìn)行環(huán)行雙向備份，并使用業(yè)界領(lǐng)先的VRRP（虛擬路由器冗余協(xié)議）來對其作為冗余線路的協(xié)議保障。以GEC作為N*1000M主干鏈路，通過這個(gè)鏈路連接骨干網(wǎng)交換機(jī)，具備萬兆擴(kuò)展能力；接入交換機(jī)采用10/100M自適應(yīng)端口連接桌面系統(tǒng)，多千兆鏈路連接到匯聚層。GEC路具有鏈路聚合和冗余保證兩大特性，下面我們將對它們依次進(jìn)行介紹。鏈路聚合：可使用一條物理鏈路在不同品牌交換機(jī)之間、交換機(jī)和服務(wù)器間提供聚合的高速通道，在不增加投資的情況下，擴(kuò)大交換帶寬，使關(guān)鍵連接的傳輸效率更高冗余保證：企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共16頁，當(dāng)前為第16頁。鏈路聚合中，成員互相動(dòng)態(tài)備份。當(dāng)某一鏈路中斷時(shí)，其它成員能夠迅速接替其工作。與生成樹協(xié)議不同，鏈路聚合啟用備份的過程對聚合之外是不可見的，而且啟用備份過程只在聚合鏈路內(nèi)，與其它鏈路無關(guān)，切換可在數(shù)毫秒內(nèi)完成。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共16頁，當(dāng)前為第16頁。綜合分析以上各主流方案的優(yōu)缺點(diǎn)，從性能與成本及拓展性等方面的綜合考慮出發(fā)，我們決定采用GEC骨干核心網(wǎng)絡(luò)10GE拓展的方式作為其鏈路選擇及備份選擇。在企業(yè)網(wǎng)匯聚層及接入層出于成本及性價(jià)比的考慮，我們決定采用千兆匯聚，萬兆拓展；百兆到桌面的鏈路選擇。3.3.8網(wǎng)絡(luò)設(shè)備冗余/負(fù)載均衡設(shè)計(jì)當(dāng)前，無論在企業(yè)網(wǎng)、園區(qū)網(wǎng)還是在廣域網(wǎng)如Internet上，業(yè)務(wù)量的發(fā)展都超出了過去最樂觀的估計(jì)，上網(wǎng)熱潮風(fēng)起云涌，新的應(yīng)用層出不窮，即使按照當(dāng)時(shí)最優(yōu)配置建設(shè)的網(wǎng)絡(luò)，也很快會(huì)感到吃不消。尤其是各個(gè)網(wǎng)絡(luò)的核心部分，其數(shù)據(jù)流量和計(jì)算強(qiáng)度之大，使得單一設(shè)備根本無法承擔(dān)。負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種廉價(jià)有效的方法擴(kuò)展服務(wù)器帶寬和增加吞吐量，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力，提高網(wǎng)絡(luò)的靈活性和可用性。它主要完成以下任務(wù):解決網(wǎng)絡(luò)擁塞問題，服務(wù)就近提供，實(shí)現(xiàn)地理位置無關(guān)性;為用戶提供更好的訪問質(zhì)量;提高服務(wù)器響應(yīng)速度;提高服務(wù)器及其他資源的利用效率;避免了網(wǎng)絡(luò)關(guān)鍵部位出現(xiàn)單點(diǎn)失效。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共17頁，當(dāng)前為第17頁。在此方案中，在網(wǎng)絡(luò)的每個(gè)關(guān)鍵結(jié)點(diǎn)，我們在設(shè)計(jì)時(shí)都做到了對其有效的冗余備份和負(fù)載均衡。在網(wǎng)絡(luò)的骨干核心層上。我們采用了三臺(tái)銳捷網(wǎng)絡(luò)的RG-S8610高密度多業(yè)務(wù)IPV6核心路由交換機(jī)組建高性能的核心網(wǎng)絡(luò)平臺(tái)，在對骨干核心層提供足夠的網(wǎng)絡(luò)接點(diǎn)和接入需求的同時(shí)最大限度的為網(wǎng)絡(luò)提供了有效的冗余保障和負(fù)載均衡。在核心層的每個(gè)區(qū)塊，我們都采用了兩臺(tái)銳捷網(wǎng)絡(luò)的RG-S8606度多業(yè)務(wù)IPV6核心路由交換機(jī)做到冗余與負(fù)載均衡。在匯聚層的每個(gè)區(qū)塊，我采用了兩臺(tái)銳捷網(wǎng)絡(luò)的RG-S5750交換機(jī)多層交換機(jī)做到冗余與負(fù)載均衡。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共17頁，當(dāng)前為第17頁。在本方案的設(shè)計(jì)中，出現(xiàn)了兩個(gè)以上的交換區(qū)塊和需要提供冗余連接的時(shí)候，我們采用了雙核心配置。如下圖，我們給出了從接入層到匯聚層再到核心層的雙核心配置。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共18頁，當(dāng)前為第18頁。雙核心拓?fù)浣Y(jié)構(gòu)提供了兩條等代價(jià)路徑和雙倍的帶寬。每個(gè)核心交換機(jī)連接著數(shù)目相同的子網(wǎng)到第三層匯聚設(shè)備上。每個(gè)交換區(qū)塊都有冗余的連接到核心交換機(jī)上，因此形成兩條不同的，但是等代價(jià)的連接。如果一條核心設(shè)備發(fā)生故障，還是能夠收斂，因?yàn)閰R聚層設(shè)備的路由選擇表中還有另一條到核心設(shè)備的路由。第3層路由選擇協(xié)議在核心中起鏈路選擇的作用，VRRP提供快速錯(cuò)誤恢復(fù)。核心層不需要STP，因?yàn)樵诤诵慕粨Q機(jī)間沒有冗余的第2層連接。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共18頁，當(dāng)前為第18頁。3.3.9服務(wù)器冗余設(shè)計(jì)企業(yè)網(wǎng)中服務(wù)器、大型機(jī)，如網(wǎng)絡(luò)存儲(chǔ)服務(wù)器，SQLServer服務(wù)器，其存儲(chǔ)的數(shù)據(jù)對于企業(yè)來說致關(guān)重要，一些核心數(shù)據(jù)被視為企業(yè)的生命。一方面它對企業(yè)的企業(yè)的重要性毋庸質(zhì)疑，另一方面，由于這些數(shù)據(jù)的性質(zhì)決定了其較大的被訪問量，這個(gè)對服務(wù)器提出了穩(wěn)定和快速的要求。如果宕機(jī),后果是技術(shù)是保障計(jì)算機(jī)系統(tǒng)的可靠性是重中之重。為此，我們采用的是雙機(jī)熱備技術(shù)，此技術(shù)能夠有效的滿足核心服務(wù)器高效，穩(wěn)定的高要求。而且相對于其它成本技術(shù)來說，這是比較有經(jīng)濟(jì)價(jià)成效的技術(shù)。Server1Server2服務(wù)器雙機(jī)熱備技術(shù)企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共19頁，當(dāng)前為第19頁。具體技術(shù)實(shí)現(xiàn)：每個(gè)核心服務(wù)器均具有兩個(gè)以太網(wǎng)接口（可以通過安裝雙網(wǎng)卡實(shí)現(xiàn)），在此基礎(chǔ)上，以上圖為例，DB服務(wù)器A與DB服務(wù)器B先分別利用自己的一個(gè)以太網(wǎng)接口實(shí)現(xiàn)兩個(gè)服務(wù)器之間的直連，每個(gè)服務(wù)器另外的一個(gè)接口則與服務(wù)器區(qū)的網(wǎng)絡(luò)實(shí)現(xiàn)互連，以達(dá)到雙機(jī)熱備的目的。因此增加服務(wù)器的穩(wěn)定性與高效性。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共19頁，當(dāng)前為第19頁。本網(wǎng)絡(luò)中應(yīng)具有多臺(tái)服務(wù)器設(shè)備，包括DBSERVER數(shù)據(jù)庫服務(wù)器，WEB,CATALOG等應(yīng)用服務(wù)器，NEWS,MAIL等通訊服務(wù)器及多媒體服務(wù)器等。3.310IP地址規(guī)劃原則IP地址構(gòu)成了整個(gè)Internet的基礎(chǔ)，IP地址資源是整個(gè)Internet的基本核心資源，IP地址資源的合理分配和有效利用是整個(gè)Internet發(fā)展過程中持續(xù)有效的一個(gè)極具分量的研究課題。我們在對企業(yè)園區(qū)網(wǎng)IP地址編址設(shè)計(jì)和分配利用時(shí)，遵循了以下幾個(gè)原則：1）、自治：整個(gè)園區(qū)網(wǎng)絡(luò)網(wǎng)絡(luò)被劃分成幾個(gè)大的自治區(qū)域，每個(gè)大自治區(qū)域中又被劃分成幾個(gè)小的自治區(qū)域。2）、有序：我們按照自治原則將網(wǎng)絡(luò)進(jìn)行邏輯劃分后，就根據(jù)地域、設(shè)備分布及區(qū)域內(nèi)用戶數(shù)量來進(jìn)行子網(wǎng)規(guī)劃。同時(shí)，我們將IP地址規(guī)劃和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。在進(jìn)行地址分配時(shí)，為了提高地址分配效率和地址利用率，我們在編址設(shè)計(jì)時(shí)按照了一定的順序進(jìn)行。選擇的順序是自上而下的順序，即采用了業(yè)界領(lǐng)先的自頂向下網(wǎng)絡(luò)設(shè)計(jì)（Top-DownNetworkDesign）方法。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共20頁，當(dāng)前為第20頁。3）、可持續(xù)性：考慮到園區(qū)內(nèi)網(wǎng)絡(luò)用戶數(shù)將持續(xù)高速增長，網(wǎng)絡(luò)所要承載的業(yè)務(wù)量和業(yè)務(wù)種類越來越多，這使得網(wǎng)絡(luò)需要頻頻進(jìn)行技術(shù)升級(jí)、改造和擴(kuò)容。所以，在進(jìn)行地址分配時(shí)本方案充分考慮到了這些因素，為網(wǎng)絡(luò)的每個(gè)部分留有部分地址冗余，這樣保證網(wǎng)絡(luò)的可持續(xù)發(fā)展。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共20頁，當(dāng)前為第20頁。4）、可聚合：互聯(lián)網(wǎng)日新月異的發(fā)展和日益龐大的規(guī)模令當(dāng)初設(shè)計(jì)互聯(lián)網(wǎng)絡(luò)的專家始料不及，在路由表急劇膨脹情況下，可聚合原則是網(wǎng)絡(luò)地址分配時(shí)所必須遵守的最高原則，可聚合原則要求在進(jìn)行地址規(guī)劃時(shí)，應(yīng)提供足夠的路由冗余功能。5）、盡量節(jié)約IPv4地址：由于IPv4地址越來越少，所以對于IPv4地址的使用需要格外節(jié)約。IPv4地址的節(jié)約可以通過動(dòng)態(tài)編址技術(shù)和NAT技術(shù)等來實(shí)現(xiàn)。6）、閑置IP地址回收利用：對于已分配出去的靜態(tài)IP地址進(jìn)行定期追蹤管理，對長時(shí)間閑置的IP地址可經(jīng)過確認(rèn)后回收重復(fù)利用。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共21頁，當(dāng)前為第21頁。此次方案的設(shè)計(jì)，我們決定采用一個(gè)內(nèi)部私有A類地址（）對企業(yè)園區(qū)的網(wǎng)絡(luò)設(shè)備編址。由于從方案本身的網(wǎng)絡(luò)拓?fù)鋱D采用了典型的層次化設(shè)計(jì)，所以對IP地址的編址設(shè)計(jì)也應(yīng)采取層次化的設(shè)計(jì)來完成，并采用VLSM來拓展有限的IP地址。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共21頁，當(dāng)前為第21頁。網(wǎng)段描述所需的IP地址數(shù)骨干核心層鏈路5（2個(gè)用于拓展備份）集團(tuán)總部1000生產(chǎn)部500客戶部500機(jī)械廠1000大型機(jī)/服務(wù)器群500企業(yè)VOIP語音系統(tǒng)2000VLSM是可變長子網(wǎng)掩碼的英文縮寫，它提供了一個(gè)主類（A類、B類、C類）網(wǎng)絡(luò)內(nèi)包含多個(gè)子網(wǎng)掩碼的能力，可以對一個(gè)子網(wǎng)再進(jìn)行子網(wǎng)劃分。VLSM的優(yōu)點(diǎn)1、對IP地址更為有效的使用2、應(yīng)用路由歸納的能力更強(qiáng)所以我們采取VLSM對網(wǎng)絡(luò)進(jìn)行編址，以達(dá)到節(jié)約IP地址，能夠使用路由匯總的目的。首先采用一個(gè)A類網(wǎng)址對園區(qū)網(wǎng)主體結(jié)構(gòu)進(jìn)行編址，至上而下的設(shè)計(jì)思路有利于設(shè)計(jì)的最后成型和網(wǎng)絡(luò)的健壯性。其次，在語音電話系統(tǒng)中，每一個(gè)IP電話需要一個(gè)IP地址以及諸如子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等的相關(guān)信息。事實(shí)上，這意味著一個(gè)組織需要指派兩倍于IP電話的IP地址給當(dāng)前所有的pc用戶，這個(gè)由DHCP提供。我們使用私有遍址的IP電話作為語音電話遍址方案。私有遍址IP電話：IP電話使用網(wǎng)絡(luò)———————————企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共22頁，當(dāng)前為第22頁。IP電話+PC在同一交換機(jī)端口上企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共22頁，當(dāng)前為第22頁?！詈蠼?jīng)過我們的計(jì)算，將各部門IP地址分配如下表：IP地址網(wǎng)段VLAN編號(hào)默認(rèn)網(wǎng)關(guān)財(cái)務(wù)部/241054/24生產(chǎn)部/242054/24銷售部/243054/24行政部/244054/24用戶地址與VLAN劃分Web服務(wù)器IP地址：/24FTP服務(wù)器IP地址：/24路由器出口IP地址：/243.4方案特點(diǎn)本方案很好地解決了用戶要求的四個(gè)問題，即帶寬問題、安全問題、管理計(jì)費(fèi)問題、靈活擴(kuò)展問題。 帶寬問題：使用萬兆互連雙核心結(jié)構(gòu)，使網(wǎng)絡(luò)核心設(shè)備不但可以互相備份，而且有效的減輕流量負(fù)荷，使設(shè)備時(shí)刻保持穩(wěn)定和高效。 安全問題：校園網(wǎng)核心層、匯聚層、樓層匯聚層所使用的產(chǎn)品全部具有網(wǎng)絡(luò)病毒和攻擊的防護(hù)能力，并且防DOS/DDOS攻擊，因而可以在不同的環(huán)境中做到安全防護(hù)，足以應(yīng)對突發(fā)事件，保持網(wǎng)絡(luò)穩(wěn)定、通暢。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共23頁，當(dāng)前為第23頁。 管理計(jì)費(fèi)問題：統(tǒng)一認(rèn)證，針對校園網(wǎng)開放式的信息點(diǎn)造成的安全隱患，全網(wǎng)接入采用統(tǒng)一認(rèn)證技術(shù)（可以進(jìn)行賬號(hào)、IP，MAC、LAVNID、交換機(jī)IP和交換機(jī)端口六要素靈活捆綁），保證了只有合法授權(quán)的用戶才能使用網(wǎng)絡(luò)或外部網(wǎng)絡(luò)，而且還能對網(wǎng)絡(luò)的使用情況進(jìn)行審計(jì)。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共23頁，當(dāng)前為第23頁。 靈活擴(kuò)展問題：核心層使用的路由交換機(jī)DCRS-7508有良好的擴(kuò)展性，可以為將來的網(wǎng)絡(luò)實(shí)現(xiàn)輕松擴(kuò)展。四、網(wǎng)絡(luò)技術(shù)選型4.1 路由協(xié)議——OSPF在網(wǎng)絡(luò)骨干核心層和核心層以及匯聚層上需要使用三層設(shè)備為網(wǎng)絡(luò)內(nèi)部不同的網(wǎng)段的數(shù)據(jù)和不同VLAN間的數(shù)據(jù)轉(zhuǎn)發(fā)而需要路由協(xié)議時(shí)，我們采用OSPF協(xié)議作為路由協(xié)議。OSPF是一種典型的鏈路狀態(tài)路由協(xié)議。采用OSPF的路由器彼此交換并保存整個(gè)網(wǎng)絡(luò)的鏈路信息，從而掌握全網(wǎng)的拓?fù)浣Y(jié)構(gòu)，獨(dú)立計(jì)算路由。因?yàn)镽IP路由協(xié)議不能服務(wù)于大型網(wǎng)絡(luò)，所以，IETF的IGP工作組特別開發(fā)出鏈路狀態(tài)協(xié)議——OSPF。目前廣為使用的是OSPF第二版，最新標(biāo)準(zhǔn)為RFC2328。OSPF作為一種內(nèi)部網(wǎng)關(guān)協(xié)議（InteriorGatewayProtocol，IGP），用于在同一個(gè)自治域（AS）中的路由器之間發(fā)布路由信息。區(qū)別于距離矢量協(xié)議(RIP)，OSPF具有支持大型網(wǎng)絡(luò)、路由收斂快、占用網(wǎng)絡(luò)資源少等優(yōu)點(diǎn)，在目前應(yīng)用的路由協(xié)議中占有相當(dāng)重要的地位。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共24頁，當(dāng)前為第24頁。4.2 端口安全與認(rèn)證（基于802.1X）企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共24頁，當(dāng)前為第24頁。a.端口安全交換設(shè)備定義了對端口保護(hù)的功能，我們能定義允許的最大MAC地址訪問數(shù)，或者靜態(tài)的定義特定的MAC地址。b.基于802.1x的端口認(rèn)證基于端口的認(rèn)證就是將AAA認(rèn)證與端口保護(hù)相結(jié)合，默認(rèn)情況下。一個(gè)支持802.1x的交換機(jī)端口處于未授權(quán)狀態(tài)，除了和802.1x有關(guān)的數(shù)據(jù)，其他數(shù)據(jù)都不能通過該端口，只有客戶的交換機(jī)創(chuàng)建了一個(gè)802.1x的會(huì)話，客戶被授權(quán)訪EAPOL：ExtensibleAuthenticationProtocolOVERLAN局域網(wǎng)上的可擴(kuò)展身份認(rèn)證。在端口處于未授權(quán)狀態(tài)下，客戶端只能使用EAPOL與交換機(jī)通信。4.3VRRP（虛擬路由冗余協(xié)議）原理VRRP給路由器組提供了一個(gè)冗余網(wǎng)關(guān)地址，它是一種容錯(cuò)協(xié)議，通過定義不同的組，不同優(yōu)先級(jí)的路由器，它保證網(wǎng)絡(luò)的主路由器失效時(shí)，可以及時(shí)的由備分來實(shí)現(xiàn)路由器來替代，從而保持通訊的連續(xù)性和可靠性。并可以在該協(xié)議上實(shí)現(xiàn)負(fù)載均衡等高級(jí)交換特性。VRRP技術(shù)的實(shí)現(xiàn)：匯聚到核心冗余連接及VRRP的實(shí)現(xiàn)通過VRRP技術(shù)將多個(gè)設(shè)備虛擬成為一臺(tái)邏輯設(shè)備，實(shí)現(xiàn)匯聚/接入鏈路冗余。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共25頁，當(dāng)前為第25頁。4.4VRRP（虛擬路由冗余協(xié)議）原理企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共25頁，當(dāng)前為第25頁。RSTP協(xié)議完全向下兼容802.1DSTP協(xié)議，除了和傳統(tǒng)的STP協(xié)議一樣具有避免回路、提供冗余鏈路的功能外，最主要的特點(diǎn)就是“快”。如果一個(gè)局域網(wǎng)內(nèi)的網(wǎng)橋都支持RSTP協(xié)議且管理員配置得當(dāng)，一旦網(wǎng)絡(luò)拓樸改變而要重新生成拓樸樹只需要不超過1秒的時(shí)間（傳統(tǒng)的STP需要大約50秒）。本交換機(jī)支持MSTP，MSTP是在傳統(tǒng)的STP、RSTP的基礎(chǔ)上發(fā)展而來的新的生成樹協(xié)議，本身就包含了RSTP的快速FORWARDING機(jī)制。由于傳統(tǒng)的生成樹協(xié)議與VLAN沒有任何聯(lián)系，因此在特定網(wǎng)絡(luò)拓樸下就會(huì)產(chǎn)生以下問題：如下圖所示，交換機(jī)A、B在vlan1內(nèi)，交換機(jī)C、D在vlan2內(nèi)，然后連成環(huán)路。在某種情況的配置下，會(huì)造成把交換機(jī)A和B間的鏈路給DISCARDING.由于交換機(jī)C、D不包含vlan1，無法轉(zhuǎn)發(fā)vlan1的數(shù)據(jù)包，這樣交換機(jī)A的vlan1就無法與交換機(jī)B的vlan1進(jìn)行通訊。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共26頁，當(dāng)前為第26頁。在網(wǎng)絡(luò)末梢，連接到單個(gè)工作站的時(shí)候，是不可能形成橋接環(huán)路的。在接口上啟用了PORTFAST特性，可以使交換機(jī)端口立即變?yōu)檗D(zhuǎn)發(fā)狀態(tài)，提高了網(wǎng)絡(luò)的響應(yīng)速度及收斂時(shí)間?；赗STP的交換機(jī)高級(jí)特性UPLINKFAST在網(wǎng)絡(luò)中的應(yīng)用。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共26頁，當(dāng)前為第26頁?？紤]到有冗余上行連接的網(wǎng)絡(luò)，使用冗余連接到上層交換機(jī)，通常情況下一個(gè)上行連接處于轉(zhuǎn)發(fā)狀態(tài)，另一個(gè)處于阻塞狀態(tài)，如果主上行連接斷開，在使用冗余連接之前所經(jīng)歷的時(shí)間高達(dá)50S。在使用UPLINKFAST之后，使的具有冗余上行連接的交換機(jī)具有根端口失效時(shí)，另一個(gè)阻塞的上行連接能夠立即使用，這個(gè)時(shí)間大大縮小到1-5S之間，在校園網(wǎng)的特殊環(huán)境之下，能大大增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性，加快網(wǎng)絡(luò)收斂。4.5NAT的描述及策略路由的實(shí)現(xiàn)在組建網(wǎng)絡(luò)時(shí)，為了節(jié)約地址，我們在內(nèi)部使用保留的私有地址段中的地址，但是使用私有地址不能訪問Internet,所以必須申請多個(gè)公開地址配置在和Internet相連的局域網(wǎng)邊緣設(shè)備上。應(yīng)用NAT進(jìn)行地址轉(zhuǎn)換。NAT是網(wǎng)絡(luò)地址翻譯技術(shù)，在路由器上起用NAT之后，可以在部私有地址和外部公網(wǎng)地址之間做轉(zhuǎn)換。比如我們可以把網(wǎng)絡(luò)內(nèi)部使用的IP翻譯成外部公網(wǎng)的IP。配置基于策略的路由選擇時(shí)，可使用路由映射表來指定基于IP地址，應(yīng)用程序，協(xié)議或者分組長度的條件?；诓呗缘穆酚蛇x擇命令對中選的路由實(shí)現(xiàn)策略。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共27頁，當(dāng)前為第27頁?；诓呗缘穆酚珊挽o態(tài)路由有很多共同之處。然而，靜態(tài)路由根據(jù)目標(biāo)網(wǎng)絡(luò)地址來轉(zhuǎn)換分組，而策略路由根據(jù)源地址來轉(zhuǎn)發(fā)分組。在路由選擇表中使用訪問列表時(shí)，可根據(jù)諸如目標(biāo)地址，分組長度，IP協(xié)議字段，優(yōu)先級(jí)或端口號(hào)來轉(zhuǎn)發(fā)數(shù)據(jù)流。這樣可以指定范圍更廣泛，更細(xì)致的條件，并根據(jù)這些條件來決定下一路由器。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共27頁，當(dāng)前為第27頁。4.6ACL(訪問控制列表)訪問列表為我們提供了一種對網(wǎng)絡(luò)訪問進(jìn)行有效管理的方法，通過訪問列表，我們可以設(shè)置允許或拒絕數(shù)據(jù)包通過路由器，或者允許或者拒絕具體的某些端口進(jìn)行訪問和使用，如果滿足條件則執(zhí)行相應(yīng)的操作，放行這個(gè)包或者放棄這個(gè)包。我們通過這些設(shè)置來滿足實(shí)際網(wǎng)絡(luò)的靈活需求，從而達(dá)到設(shè)置網(wǎng)絡(luò)安全策略，防止網(wǎng)絡(luò)中的敏感設(shè)備受到非授權(quán)訪問的情況。在具體實(shí)現(xiàn)過程中從技術(shù)上來說我們需要了解到ACL分為兩種類型,他們分別是標(biāo)準(zhǔn)訪問列表(Standardaccesslists)和擴(kuò)展訪問列表（Extendsaccesslists）前者在過濾網(wǎng)絡(luò)的時(shí)候只使用IP數(shù)據(jù)報(bào)的源地址，那么在使用這種訪問列表的情況下它做出允許或者拒絕這個(gè)決定完全是依賴于源IP地址，它無法區(qū)分具體的流量類型。而擴(kuò)展訪問列表則可以提供更細(xì)的決定，它可以具體到端口，從而精確到某一個(gè)服務(wù)，比如對WEB,FTP的訪問等，給我們網(wǎng)絡(luò)的策略提供了更細(xì)的控制手段。我們利用這種訪問列表進(jìn)行協(xié)議級(jí)的控制以達(dá)到對網(wǎng)絡(luò)一個(gè)有效的管理。標(biāo)準(zhǔn)訪問控制列表一般放在靠近目標(biāo)的路由器上,而擴(kuò)展訪問控制列表一般放于近源端的路由器上。4.7鏈路聚合EC(EthernetChannel)企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共28頁，當(dāng)前為第28頁。以太網(wǎng)信道鏈路聚合可以讓交換機(jī)之間和交換機(jī)與服務(wù)器之間的鏈路帶寬有非常好的伸縮性，比如可以把2個(gè)、3個(gè)、4個(gè)千兆的鏈路綁定在一起，使鏈路的帶寬成倍增長。鏈路聚合技術(shù)可以實(shí)現(xiàn)不同端口的負(fù)載均衡，同時(shí)也能夠互為備份，保證鏈路的冗余性。在這些千兆以太網(wǎng)交換機(jī)中，最多可以支持4組鏈路聚合，每組中最大4個(gè)端口。鏈路聚合一般是不允許跨芯片設(shè)置的。生成樹協(xié)議和鏈路聚合都可以保證一個(gè)網(wǎng)絡(luò)的冗余性。在一個(gè)網(wǎng)絡(luò)中設(shè)置冗余鏈路，并用生成樹協(xié)議讓備份鏈路阻塞，在邏輯上不形成環(huán)路。而一旦出現(xiàn)故障，啟用備份鏈路。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共28頁，當(dāng)前為第28頁。4.8VLAN(虛擬局域網(wǎng))企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共29頁，當(dāng)前為第29頁。VLAN虛擬局域網(wǎng)是一種在二層設(shè)備上隔離和劃分廣播域的技術(shù)，通過這種劃分，我們可以把物理位置上分離的網(wǎng)絡(luò)設(shè)備在邏輯上劃為同一個(gè)廣播域，或者把物理位置上鄰近的網(wǎng)絡(luò)設(shè)備劃為不同的廣播域，從而更方便我們管理和做一個(gè)邏輯層次的劃分。從技術(shù)上說VLAN可以分為靜態(tài)VLAN和動(dòng)態(tài)VLAN,那么靜態(tài)的VLAN是基于交換機(jī)端口進(jìn)行劃分，根據(jù)網(wǎng)絡(luò)設(shè)備連接不同的交換機(jī)端口，則進(jìn)入相應(yīng)的VLAN。動(dòng)態(tài)VLAN則更靈活，它可以根據(jù)接入計(jì)算機(jī)的IP地址，MAC地址，甚至是用戶的登陸賬號(hào)做出相應(yīng)的處理，把計(jì)算機(jī)劃分進(jìn)相應(yīng)的VLAN中，這樣就為我們實(shí)際的網(wǎng)絡(luò)管理帶來了比較大的方便性和靈活性。那么在我們的企業(yè)網(wǎng)方案中，我們希望通過使用VLAN技術(shù)進(jìn)行劃分達(dá)到以下目的：企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共29頁，當(dāng)前為第29頁。隔離，劃分廣播域，減小不必要的廣播流量，從而提高整個(gè)網(wǎng)絡(luò)的利用效率。4.9 WLAN無線局域網(wǎng)無線局域網(wǎng)有4大特點(diǎn)：移動(dòng)性：不受時(shí)間限制，空間限制，用戶可以在網(wǎng)絡(luò)中漫游；靈活性：不受線纜的限制，可以隨意增加和配置工作站；低成本：無線網(wǎng)絡(luò)不再需要大量的工程布線，同時(shí)節(jié)省了線路的維護(hù)費(fèi)用；易安裝：對于有線網(wǎng)絡(luò)來說，無線網(wǎng)絡(luò)的組建、配置和維護(hù)更為容易。結(jié)合以上特點(diǎn)，無線網(wǎng)絡(luò)非常適合圖書館的環(huán)境和要求，我們在圖書管布置無線網(wǎng)絡(luò)，并且采用INFRASTUCTURE這種典型的WLAN工作模式，無線客戶端可以通過無線接入器AP(AccessPoint)接入以太網(wǎng)共享網(wǎng)絡(luò)資源，多個(gè)AP分布在相鄰的區(qū)域可以實(shí)現(xiàn)無線客戶端的移動(dòng)漫游。五、 網(wǎng)絡(luò)安全及管理機(jī)制5.1 完善的安全機(jī)制企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共30頁，當(dāng)前為第30頁。企業(yè)樓宇交換機(jī)通過內(nèi)在的多種安全機(jī)制可有效防止和控制病毒傳播和網(wǎng)絡(luò)流量攻擊，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如端口安全、端口隔離、ACL、端口ARP報(bào)文合法性檢查、基于數(shù)據(jù)流的帶寬限速、六元素綁定等等，滿足企業(yè)網(wǎng)加強(qiáng)對訪問者進(jìn)行控制、限制非授權(quán)用戶通信的需求；在匯聚、核心交換設(shè)備設(shè)置由硬件實(shí)現(xiàn)ACL，對病毒進(jìn)行過濾，我們選用的匯聚、核心交換設(shè)備都支持SPOH，所以在使用ACL時(shí)將不會(huì)影響整個(gè)交換機(jī)的性能。企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案全文共30頁，當(dāng)前為第30頁。1．硬件實(shí)現(xiàn)端口與MAC地址和用戶IP地址的綁定，嚴(yán)格限定端口上用戶接入。2．通過PrivateVLAN可以在交換機(jī)的同一VLAN中提供端口之間的通訊或安全隔離，確保數(shù)據(jù)流進(jìn)入有效端口，而不會(huì)被發(fā)送到其它端口，即解決了因傳統(tǒng)802.1QVLAN造成全網(wǎng)VID資源不夠的問題，同時(shí)又無需利用安全規(guī)則資源即能達(dá)到隔離不同用戶以及不同組用戶之間通訊的功能，充分保護(hù)用戶隱私。3．可實(shí)現(xiàn)用戶賬號(hào)、MAC地址、IP地址、交換機(jī)IP、交換機(jī)端口等六大元素之間的靈活任意綁定，有