報社網(wǎng)絡(luò)改造方案項目

報社網(wǎng)絡(luò)改造建議書Xxxx二〇〇九年八月目錄第一章方案概述 21.1工程背景 21.2用戶需求 31.3整體方案設(shè)計 4第二章網(wǎng)絡(luò)改造建議 62.1網(wǎng)絡(luò)改造原那么 62.2網(wǎng)絡(luò)結(jié)構(gòu)化設(shè)計 72.3網(wǎng)絡(luò)系統(tǒng)冗余設(shè)計 9解決方案 102.3.2IP地址規(guī)劃原那么 142.3.3VLAN設(shè)計 16地址翻譯NAT 222.4網(wǎng)絡(luò)管理的設(shè)計 23第三章網(wǎng)絡(luò)平安解決方案 303.1活動目錄的設(shè)計 303.1.1WindowsServer活動目錄的優(yōu)點 31活動目錄組成結(jié)構(gòu) 33活動目錄的優(yōu)勢 333.2防火墻系統(tǒng)設(shè)計 35設(shè)備選型設(shè)計 35平安策略設(shè)計 403.3入侵防御系統(tǒng)設(shè)計 423.3.1IDS與IPS的比擬 43入侵防御設(shè)備的選型 463.4終端平安系統(tǒng)設(shè)計 513.5補丁修補系統(tǒng)設(shè)計 55第四章機房搬遷方案 574.1需求 574.2總體要求 574.3用戶配合條件 57搬遷工作的準(zhǔn)備 58系統(tǒng)評估要求 594.4總體遷移方案 594.5域的遷移 60第一步評估目錄效勞環(huán)境 60第二步升級WindowsNT4.0域 66第三步遷移后的工作 954.6應(yīng)急措施 984.7系統(tǒng)網(wǎng)絡(luò)參數(shù)調(diào)整及性能優(yōu)化 99方案概述工程背景整合一年多的傳媒集團及屬下各媒體，近期作出與高校合作、改版等一系列產(chǎn)業(yè)升級新“動作”。新一輪的強勢出擊，樁樁件件都令人感受到集團的實力，品出多種媒體融合的新滋味。一喜，集團屬下的報業(yè)、電臺、電視臺集中宣傳了近期在產(chǎn)業(yè)升級方面所做的各種努力和創(chuàng)新，展示整合一年來形成的實力。來自各界的500多名嘉賓共同見證了本市傳媒產(chǎn)業(yè)邁入整合升級的新里程。二喜，傳媒集團與XX大學(xué)、XXXX大學(xué)簽訂了全面合作協(xié)議書。就跨媒體的開展以及在本市實現(xiàn)媒體融合，尋求全國知名高校的理論支撐，并希望使本市傳媒團隊的素質(zhì)快速提升。三喜，傳媒集團與韓國HSHoldings公司簽訂協(xié)議，進軍電視購物行業(yè)。表示今年集團將以品牌和版權(quán)為核心，積極實施相關(guān)多元化戰(zhàn)略，提升集團的核心競爭力。四喜，新聞中心大樓啟用。23層的大樓為集團各媒體及相關(guān)單位更好地效勞當(dāng)?shù)攸h委政府提供了很好的平臺。在過去的一年里，本市傳媒集團通過資源橫向整合，強化了集團在媒體市場的優(yōu)勢地位。集團董事長分析說，這支優(yōu)勢互補的跨媒體聯(lián)合團隊，得以做出這些舉動，取得這些成績，乘的就是市委市政府支持，國家提出文化體制改革及廣東要建第一傳媒大省與文化大省的東風(fēng)，就是本市經(jīng)濟建設(shè)2005年GDP突破2000億元的春風(fēng)。本市傳媒集團有信心與條件在接下來的時間里乘風(fēng)而上，實現(xiàn)全面產(chǎn)業(yè)化升級。市委副書記那么再次表達了市委市政府對本市傳媒開展所寄予的厚望，希望本市媒體要在構(gòu)建和諧本市中有所作為，更好地為五區(qū)基層效勞，更緊密地與企業(yè)結(jié)合，更廣泛地與市內(nèi)外媒體合作。乘風(fēng)而上、趁勢而為，把傳媒做大做強?！鞍亵锤偘l(fā)，列陣揚帆”、“乘風(fēng)而上”——這兩句高掛在昨日推介會現(xiàn)場的標(biāo)語，描述的正是本市傳媒集團的開展?fàn)顟B(tài)和對未來的期待。而掛在新聞中心大樓上的“立足外鄉(xiāng)、效勞外鄉(xiāng)”，那么是本市傳媒集團的宗旨“立足本市、效勞本市”的縮影。在過去一年中，本市傳媒集團產(chǎn)業(yè)競爭力和媒體影響力正是在市委、市政府、各區(qū)、各鎮(zhèn)街以及企業(yè)和社會各界的厚愛與支持下，逐步擴大的。今后也必將壯大于這片沃土。本市傳媒集團經(jīng)過一年磨合已經(jīng)初步表達了規(guī)模，每一個新動作都令人感受到集團的強勁實力和活力。傳媒產(chǎn)業(yè)的不斷升級，不僅將傳媒本身置于更大平臺之上，也會更好地促進傳媒與政府、企業(yè)的合作，未來令人期待。用戶需求報社即將搬入新大樓，以新的姿態(tài)來迎接新的工作。搬入新大樓以后由原來的200員工突增到400員工，如此大的變化，這給企業(yè)的管理帶來了巨大的挑戰(zhàn)。原有的設(shè)備已經(jīng)不能滿足新辦公環(huán)境的需求，急待進行網(wǎng)絡(luò)改造與升級，急需規(guī)劃網(wǎng)絡(luò)平安?，F(xiàn)在用戶需要解決的問題如下：1、現(xiàn)有效勞由于種種限制不能進行補丁更新，而其他桌面機器感染了網(wǎng)絡(luò)病毒后繼而感染效勞器，給效勞器帶來很大的壓力。2、日報社原來網(wǎng)路規(guī)劃的是A類地址，合作伙伴通過光纖接入到了日報社的內(nèi)網(wǎng)來訪問效勞器資源，而他們?yōu)榱苏ＴL問內(nèi)網(wǎng)資源也都相繼定義了同類地址，這樣就造成了A類地址壓力，A類地址的大量使用對日報社網(wǎng)絡(luò)的擴展性受到了限制。3、合作伙伴是直接通過光纖接入到內(nèi)網(wǎng)，沒有做任何的平安措施。4、日報社還在使用微軟最老版本的PROXY2.0，功能簡單，性能低下，急需改變這種上網(wǎng)管理的方式。5、日報社桌面用戶較多，各人IT水平參差不齊，用戶也不及時打系統(tǒng)補丁、更新病毒定義碼。也有可能利用工作時間下載與工作無關(guān)的軟件或其他軟件，占用了大量的帶寬，降低了工作效率等等。用戶急待有種解決方案將所有的桌面系統(tǒng)管理起來。6、日報社現(xiàn)在還在使用很老式的3COM網(wǎng)絡(luò)交換機，由一臺3層交換機來管理整個網(wǎng)絡(luò)，沒有規(guī)劃核心交換機。搬到新大樓后，要考慮新的核心交換機，提高整個網(wǎng)絡(luò)運行效率。7、日報社現(xiàn)使用Symantec9.0的網(wǎng)絡(luò)防病毒軟件，希望能升級到最新的Symantec10.0，以得到最新的防病毒解決方案。8、日報社正先正使用天融信4000系列防火墻作為邊界平安設(shè)備，搬入新大樓后，4000的性能無法滿足新的辦公需求，用戶想考慮防火墻雙機及增加其他平安設(shè)備的整體平安解決方案。9、日報社此次涉及到機房搬遷的事宜，由于搬遷中涉及到關(guān)鍵應(yīng)用效勞器的搬遷、網(wǎng)絡(luò)切割及新老網(wǎng)絡(luò)設(shè)備的融合，技術(shù)難度高，風(fēng)險大。10、平安是個永恒的話題，也是一個持續(xù)漸進的過程，日報社需要有一套適宜于自己業(yè)務(wù)特點的平安管理、運維管理制度來維持企業(yè)的運作，且這套制度是從上至下開始實施的。整體方案設(shè)計根據(jù)我公司對用戶網(wǎng)絡(luò)工程的理解，我公司提供了一套詳細的設(shè)計方案。系統(tǒng)的整體結(jié)構(gòu)如下列圖所示?！伯嫵鲂麓髽堑木W(wǎng)絡(luò)規(guī)劃圖需求：該網(wǎng)絡(luò)規(guī)劃圖是以報社搬遷后的新大樓為拓撲規(guī)劃的中心，報社大局部部門都在新大樓辦公，新大樓是六層的大樓，有的樓層有多個部門，有的分布在不同樓層，但他們都在同一個局域網(wǎng)內(nèi)；機房設(shè)在三樓的網(wǎng)絡(luò)部，里面存放著報社的效勞器，包括兩臺外部效勞器，四臺內(nèi)部效勞器；舊的報社大樓仍然使用，主要是廣告部門駐點，舊報社大樓用戶需方便快速地訪問報社的內(nèi)部效勞器；報社與印刷廠需高速冗余專線相連，保證每天日報大樣能通過網(wǎng)絡(luò)傳送到印刷廠；分布在其他區(qū)域的記者站和在外地工作的記者能通過VPN訪問新報社大樓內(nèi)的效勞器；傳媒集團域新報社大樓亦可通過VPN訪問新報社大樓內(nèi)的效勞器?！硡⒖即鸢妇W(wǎng)絡(luò)改造建議網(wǎng)絡(luò)改造原那么要求：結(jié)合報社的實際情況，補充完整報社網(wǎng)絡(luò)改造的根本原那么根據(jù)用戶網(wǎng)絡(luò)工程工程的任務(wù)和需求，網(wǎng)絡(luò)改造及升級的技術(shù)方案本著以下原那么進行設(shè)計：〔1〕先進性與實用性原那么采用先進、成熟、實用的技術(shù)、設(shè)備、材料，設(shè)計和建設(shè)新辦公樓網(wǎng)絡(luò)平臺，同時在滿足當(dāng)前辦公需求的前提下，兼顧未來業(yè)務(wù)開展，使整個網(wǎng)絡(luò)系統(tǒng)在今后五年內(nèi)能保持技術(shù)的先進性，并具有良好的開放性和開展?jié)摿?，以適應(yīng)未來各類業(yè)務(wù)應(yīng)用開展需要。核心層交換機應(yīng)考慮10G等先進傳輸和接口技術(shù)，為滿足將來業(yè)務(wù)系統(tǒng)的開展留下充分彈性。〔2〕平安性與可靠性原那么為保證日報社新大樓各項關(guān)鍵業(yè)務(wù)的平安、可靠應(yīng)用，網(wǎng)絡(luò)設(shè)計必須具有高可靠性，決不能出現(xiàn)單點故障或者因為末端的故障導(dǎo)致整個系統(tǒng)崩潰?！?〕經(jīng)濟性與投資保護原那么在保證網(wǎng)絡(luò)系統(tǒng)的先進性和高可靠性的同時，應(yīng)能以較高的性能/價格比構(gòu)建該工程，使資金的產(chǎn)出/投入比到達最大值；建成后應(yīng)能以較低的本錢、較少的人員投入維持系統(tǒng)正常運轉(zhuǎn)，保證系統(tǒng)的高效能與高效益；同時在系統(tǒng)設(shè)計時應(yīng)充分考慮各入駐單位以往在資金與技術(shù)方面的投入，盡可能保存并利用其既有的網(wǎng)絡(luò)及平安系統(tǒng)設(shè)備。〔4〕靈活性與可擴展性原那么工程設(shè)計必須具有良好的靈活性與可擴展性，能夠根據(jù)業(yè)務(wù)不斷深入開展的需要，提供擴大設(shè)備容量、增加用戶數(shù)量、提高效勞質(zhì)量的功能，具備支持多種網(wǎng)絡(luò)傳輸協(xié)議、多種物理接口的能力，提供技術(shù)升級、設(shè)備更新的靈活性。接入層、會聚層和核心層交換機均能夠支持通過增加板卡或進行堆疊提高端口密度。在擴容過程中對已經(jīng)接入網(wǎng)中的用戶不應(yīng)產(chǎn)生影響，且當(dāng)會聚層或核心層交換機進行軟件升級時不應(yīng)影響用戶的工作?！?〕標(biāo)準(zhǔn)化與標(biāo)準(zhǔn)化原那么工程的整體設(shè)計要求基于國際標(biāo)準(zhǔn)和國家公布的有關(guān)標(biāo)準(zhǔn)，堅持統(tǒng)一、標(biāo)準(zhǔn)、標(biāo)準(zhǔn)的原那么，為未來業(yè)務(wù)開展及設(shè)備平滑增容奠定良好的根底?！?〕可管理性與易維護性原那么隨著信息業(yè)務(wù)的不斷開展，管理任務(wù)必定會日益繁重，因此工程的設(shè)計必須有良好的可管理性和易維護性。首先，工程所選用的設(shè)備和材料應(yīng)盡可能統(tǒng)一，以有效簡化網(wǎng)絡(luò)管理人員的日常維護工作，為整個物理層網(wǎng)絡(luò)的平安、可靠運行提供有力保障。其次，網(wǎng)絡(luò)設(shè)備的網(wǎng)管系統(tǒng)能夠統(tǒng)一管理接入層及核心層的交換機、路由器等網(wǎng)絡(luò)設(shè)備，對用戶和業(yè)務(wù)制定的QoS策略應(yīng)能夠在網(wǎng)管平臺上統(tǒng)一配置并方便地加載到網(wǎng)絡(luò)設(shè)備中去，而無需對設(shè)備及端口一一配置。網(wǎng)絡(luò)結(jié)構(gòu)化設(shè)計要求：結(jié)合報社的實際情況，補充完整在用戶的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計中，我們建議采用層次化的結(jié)構(gòu)設(shè)計。對于用戶即將建設(shè)的網(wǎng)絡(luò)系統(tǒng)來說，想要建設(shè)成為一個覆蓋范圍廣、網(wǎng)絡(luò)性能優(yōu)良、具有很強擴展能力和升級能力的網(wǎng)絡(luò)，在起初的設(shè)計中就必須采用層次化的網(wǎng)絡(luò)設(shè)計原那么。采用這樣的結(jié)構(gòu)所建設(shè)的網(wǎng)絡(luò)具有良好的擴充性、管理性，因為新的子網(wǎng)模塊和新的網(wǎng)絡(luò)技術(shù)能被更容易集成到整個系統(tǒng)中，而不破壞已存在的骨干網(wǎng)。大多數(shù)的網(wǎng)絡(luò)都可以被層次性劃分為三個邏輯效勞單元：骨干網(wǎng)(Backbone)、分布網(wǎng)(Distribute)和訪問網(wǎng)(Local－access)，模塊化網(wǎng)絡(luò)設(shè)計方法的目標(biāo)在于把一個大型的網(wǎng)絡(luò)元素劃分成一個個互連的網(wǎng)絡(luò)層次。層次性結(jié)構(gòu)如下列圖所示。根據(jù)這種層次化網(wǎng)絡(luò)設(shè)計思想的原那么，結(jié)合用戶的需求，本方案采用了層次化的設(shè)計方法，并提出了相應(yīng)的解決方案。我們把用戶網(wǎng)絡(luò)工程結(jié)構(gòu)分為以下三個層次：〔列出各個層次交換機的主要功能，所處邏輯和物理位置，與其他層相連用什么光纖還是雙絞線〔雙絞線分哪幾類〕，到達什么速率〕核心層：會聚層：接入訪問層：〔選擇什么局域網(wǎng)組網(wǎng)技術(shù)？選擇的原因〕〔組網(wǎng)技術(shù)的向后兼容性，能否兼容未來開展的新技術(shù)〕〔選擇哪種網(wǎng)絡(luò)拓撲：總線型？星型？環(huán)型？樹型還是網(wǎng)狀型，選擇的原因〕核心層：核心層的主要目的在于完成分布于不同區(qū)域或邏輯組的路由最優(yōu)化通信；骨干層位于網(wǎng)絡(luò)中心，由核心交換機與核心路由器組成。會聚層：主要是完成網(wǎng)絡(luò)流量的平安控制機制，以使核心網(wǎng)和接入訪問層環(huán)境隔離開來。會聚層位于中心機房或分配線間，主要用于會聚接入路由器以及接入交換機。接入訪問層：我們經(jīng)常稱之為訪問網(wǎng)。訪問網(wǎng)主要用來支撐客戶端機器對效勞器的訪問，主要是指接入路由器、交換機、終端訪問用戶。根據(jù)本工程的實際情況，建議用戶網(wǎng)絡(luò)中采用以太網(wǎng)技術(shù)組網(wǎng)。在過去的25年間，以太網(wǎng)已經(jīng)成為被廣泛應(yīng)用的企業(yè)級局域網(wǎng)技術(shù)，90%以上的數(shù)據(jù)流量的發(fā)送和接收是通過以太網(wǎng)端口實現(xiàn)的。如此簡單、靈活、物美價廉，或者說如此廣泛普及的數(shù)據(jù)技術(shù)，很難再找到第二種了。由于以太網(wǎng)的市場統(tǒng)治地位，人們還在繼續(xù)研究高速以太網(wǎng)技術(shù)，10G以太網(wǎng)的標(biāo)準(zhǔn)在2003年已經(jīng)發(fā)布，我們建議用戶在核心層采用兼容或是支持10G以太網(wǎng)技術(shù)的設(shè)備，以備將來升級時使用，下一代更高速的以太網(wǎng)標(biāo)準(zhǔn)已經(jīng)在研究制定中。在實際連接中，我們采用高靈活性的星型網(wǎng)絡(luò)拓撲，星型網(wǎng)絡(luò)拓撲結(jié)構(gòu)具有維護管理簡單、擴展容易等優(yōu)點，并且有利于構(gòu)建合理的網(wǎng)絡(luò)結(jié)構(gòu)，同時也便于將來網(wǎng)絡(luò)規(guī)模的擴展。網(wǎng)絡(luò)系統(tǒng)冗余設(shè)計網(wǎng)絡(luò)系統(tǒng)冗余，包括了：網(wǎng)絡(luò)鏈路的冗余；網(wǎng)絡(luò)設(shè)備的冗余；網(wǎng)絡(luò)設(shè)備結(jié)構(gòu)的冗余。〔介紹什么是網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)設(shè)備結(jié)構(gòu)的冗余，這些冗余結(jié)合在這次網(wǎng)絡(luò)方案具體怎么實施〕網(wǎng)絡(luò)鏈路的冗余是指設(shè)置鏈路冗余的位置包括：設(shè)備的冗余是指需要做冗余和負載均衡的設(shè)備有：網(wǎng)絡(luò)設(shè)備結(jié)構(gòu)的冗余是指需要設(shè)備結(jié)構(gòu)冗余的設(shè)備有：網(wǎng)絡(luò)系統(tǒng)冗余，包括了：網(wǎng)絡(luò)鏈路的冗余；網(wǎng)絡(luò)設(shè)備的冗余；網(wǎng)絡(luò)設(shè)備結(jié)構(gòu)的冗余。網(wǎng)絡(luò)鏈路的冗余是指到在兩個網(wǎng)絡(luò)節(jié)點間的網(wǎng)絡(luò)鏈路，為了防止由于網(wǎng)絡(luò)鏈路中斷導(dǎo)致網(wǎng)絡(luò)通訊故障的發(fā)生，而分別采用兩條網(wǎng)絡(luò)鏈路。當(dāng)其中一條鏈路發(fā)生中斷時，另外一條鏈路仍然能夠繼續(xù)保證網(wǎng)絡(luò)的數(shù)據(jù)能夠正常通信。通常情況下，在某些非常重要的核心節(jié)點間采用雙鏈路的方式進行互連，但是由于采用雙鏈路會導(dǎo)致物理鏈路的資費增加，因此需要根據(jù)網(wǎng)絡(luò)情況綜合考慮。但是，在局域網(wǎng)中，由于局域網(wǎng)的地理距離比擬近，且局域網(wǎng)線不存在租用問題，因此，在局域網(wǎng)中的核心節(jié)點通常都會采用雙鏈路的方式進行互連。設(shè)置鏈路冗余的位置包括：核心交換機與各防火墻之間的鏈路，核心交換機與分布層交換機之間、舊報社還有印刷廠之間的鏈路。設(shè)備的冗余是指在兩個物理節(jié)點間的網(wǎng)絡(luò)設(shè)備，為了防止由于網(wǎng)絡(luò)設(shè)備的故障導(dǎo)致網(wǎng)絡(luò)通信故障的發(fā)生，而在節(jié)點間采用冗余設(shè)備。這樣當(dāng)其中一臺設(shè)備發(fā)生故障時，另外一臺設(shè)備會自動負擔(dān)其故障設(shè)備的工作，從而保障了通信的正常。但是由于設(shè)備的冗余，必須考慮到物理鏈路的租用和設(shè)備的購置等問題，因此網(wǎng)絡(luò)的投資會比擬大。因此通常會在網(wǎng)絡(luò)的核心節(jié)點上采用設(shè)備的冗余，來保證網(wǎng)絡(luò)的冗余，提供核心網(wǎng)絡(luò)的可靠性。需要做冗余和負載均衡的設(shè)備有：劃分報社內(nèi)網(wǎng)、DMZ區(qū)、互聯(lián)網(wǎng)的千兆防火墻，核心交換機，關(guān)鍵效勞器網(wǎng)絡(luò)設(shè)備結(jié)構(gòu)的冗余是指在設(shè)備硬件結(jié)構(gòu)上，充分考慮了由于設(shè)備上的某些關(guān)鍵部件發(fā)生故障而導(dǎo)致網(wǎng)絡(luò)通信故障的因素，在這些關(guān)鍵部件上采用了冗余的設(shè)計，保證了由于某些原因，這些部件發(fā)生故障時網(wǎng)絡(luò)設(shè)備仍然能夠正常的工作。從而提高了設(shè)備的工作彈性，但是由于網(wǎng)絡(luò)設(shè)備的關(guān)鍵部件采用了冗余的設(shè)計，因此會導(dǎo)致網(wǎng)絡(luò)設(shè)備的硬件本錢大大增加了，從而提高了網(wǎng)絡(luò)設(shè)備的采購價。通常情況下，設(shè)備關(guān)鍵部件冗余，一般指引擎、電源的冗余。但是冗余設(shè)計只會在關(guān)鍵的核心設(shè)備上采用冗余設(shè)計，在一些低端的設(shè)備上一般不會采用此設(shè)計。因此，在網(wǎng)絡(luò)的核心節(jié)點上建議采用較高端的設(shè)備，從而通過網(wǎng)絡(luò)設(shè)備的冗余也提高了網(wǎng)絡(luò)系統(tǒng)的冗余和彈性。需要設(shè)備結(jié)構(gòu)冗余的設(shè)備有：核心交換機提供交換背板、交換引擎模塊、電源、I/O模塊、鏈路等關(guān)鍵部件的冗余；防火墻、IDS、效勞器使用雙電源、雙中央處理模塊等解決方案預(yù)習(xí)，了解交換機的根本屬性，為設(shè)備選型做準(zhǔn)備

規(guī)格配置

根本規(guī)格

設(shè)備類型企業(yè)級交換機

內(nèi)存BOOTROM:1MB,FLASHMemory:16MB

處理器MPC8245或8260

交換方式存儲-轉(zhuǎn)發(fā)

背板帶寬(Gbps)1638

包轉(zhuǎn)發(fā)率10Mbps:14,880pps，100Mbps:148,810pps，1000Mbps:1,488,100pps

是否支持VLAN支持

MAC地址表32k

網(wǎng)絡(luò)

支持網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.1d、IEEE802.3、IEEE802.3u、IEEE802.3x、IEEE802.3z、IEEE802.1Q、IEEE802.1p、OSPF、RIP1/2、GMRP、GVRP、DVMRP、IGMP、IEEE802.1D/802.1w等

傳輸速率(Mbps)10/100/1000/10000

端口

端口類型10Base-T，100Base-T,1000BASE-X,1000BaseT,10GBase

模塊化插槽數(shù)6

其它

網(wǎng)管功能支持基于SNMP支持RMON,支持Web管理、HGMPV2

是否支持全雙工全雙工

堆疊不支持

電氣規(guī)格

額定電壓(V)-48VDC

額定功率(W)800

外觀特征

重量(Kg)≤80kg

長度(mm)436

寬度(mm)480

高度(mm)530.6

環(huán)境條件

工作溫度(℃)0～45℃

工作濕度10％～90％無凝結(jié)

工作高度(米)3000

存儲溫度(℃)－30～60℃

存儲濕度10％～90％無凝結(jié)

存儲高度(米)6000核心層設(shè)計核心層可以采用兩臺多業(yè)務(wù)高端路由交換機，互為冗余備份，兩臺設(shè)備之間運行VRRP協(xié)議保障核心設(shè)備之間的冗余熱備份，通過鏈路捆綁技術(shù)將兩臺中心交換機相連形成熱備，主干交換機配置雙電源及雙中央處理模塊，保證主干設(shè)備的平安可靠；普通效勞器可以通過1000BASE-TX直接連接到中心交換機上；各接入層交換機也分別通過1000BASE-SX連接兩臺中心交換機，網(wǎng)絡(luò)出口經(jīng)過防火墻以1000BASE-SX的方式連接到中心交換機每臺高端路由交換機通過千兆光纖與各樓層交換機互聯(lián)，這樣從接入層到核心之間就形成了雙核心、雙鏈路的冗余備份的網(wǎng)絡(luò)結(jié)構(gòu)，能夠充分保障網(wǎng)絡(luò)的可靠性。核心層是整個網(wǎng)絡(luò)的主干，核心層的主要目的是盡可能快速地交換全網(wǎng)數(shù)據(jù)，而不應(yīng)該被牽扯到費力的數(shù)據(jù)包操作或者任何減慢數(shù)據(jù)交換的處理事務(wù)中，按照用戶對網(wǎng)絡(luò)性能的要求，核心層網(wǎng)絡(luò)設(shè)計建議采用2臺高性能的核心交換機，以雙核心、雙鏈路、全冗余互連的組網(wǎng)結(jié)構(gòu)來實現(xiàn)用戶對高可靠性的需求?！?〕每臺核心交換機通過配置的多模千兆光纖接口通過多模光纖與各樓層的接入交換機相連，實現(xiàn)接入交換機的雙歸屬上行，可以有效的提高網(wǎng)絡(luò)的帶寬以及網(wǎng)絡(luò)的可靠性和冗余性；〔2〕在核心交換區(qū)的可靠性方面，除了設(shè)備本身可以提供交換背板、交換引擎模塊、電源、I/O模塊、鏈路等關(guān)鍵部件的冗余能力外，同時還可以通過2臺核心交換機之間的互為備份和負載分擔(dān)來提高核心交換層的可靠性。因此本方案建議2臺核心交換機核心交換機之間運行VRRP協(xié)議，同時將用戶劃分到不同的VLAN，這些VLAN內(nèi)用戶的虛擬網(wǎng)關(guān)在核心交換機，通過配置VRRP的優(yōu)先級均衡到兩臺核心交換機，通過MSTP來保證相應(yīng)鏈路處于forwarding狀態(tài)，這樣兩臺核心交換機均衡承當(dāng)了所有用戶的網(wǎng)關(guān)，對用戶而言是透明的；同樣核心交換機連接效勞器的接口也啟動VRRP，兩臺核心交換機同時作為效勞器的網(wǎng)關(guān)，對效勞器而言也是透明的。核心交換機和會聚交換機支持MSTP協(xié)議，MSTP和VRRP配合使用，MSTP可以實現(xiàn)基于VLAN的STP；由于兩臺核心交換機中間鏈路顯得尤為重要，因此核心交換機之間采用多GE端口捆綁；核心交換機之間采用TRUNK方式連接；由于每臺核心交換機需要利用多模光纖分別連接共6臺接入層交換機、舊報社大樓和印刷廠，考慮到今后網(wǎng)絡(luò)擴展的需要，建議配備20口SPF多模光纖接口模塊一塊；考慮到兩核心交換機相連、普通效勞器和其他設(shè)備直接連入核心交換機的需要，建議配備20口1000MRJ45模塊一塊。1、根據(jù)需求選擇適宜的交換機設(shè)備，并列出具體參數(shù),所需模塊可參考該網(wǎng)頁選設(shè)備：/pri_list_brand_4821.html2、核心層交換機的根本配置，如：a、hostnameb、密碼c、管理地址d、啟用telnet……我們推薦使用華為3COM公司的Quidway?S6506R系列核心交換機。單臺S6506R的具體配置：8個可擴展插槽的機箱，標(biāo)配雙電源冗余1塊管理引擎模塊〔提供384G1塊電源模塊1塊20端口10/100/1000MRJ45模塊1塊20端口GigE千兆光纖端口模塊

規(guī)格配置

根本規(guī)格

設(shè)備類型企業(yè)級交換機

內(nèi)存BOOTROM:1MB,FLASHMemory:16MB

處理器MPC8245或8260

交換方式存儲-轉(zhuǎn)發(fā)

背板帶寬(Gbps)1638

包轉(zhuǎn)發(fā)率10Mbps:14,880pps，100Mbps:148,810pps，1000Mbps:1,488,100pps

是否支持VLAN支持

MAC地址表32k

網(wǎng)絡(luò)

支持網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.1d、IEEE802.3、IEEE802.3u、IEEE802.3x、IEEE802.3z、IEEE802.1Q、IEEE802.1p、OSPF、RIP1/2、GMRP、GVRP、DVMRP、IGMP、IEEE802.1D/802.1w等

傳輸速率(Mbps)10/100/1000/10000

端口

端口類型10Base-T，100Base-T,1000BASE-X,1000BaseT,10GBase

模塊化插槽數(shù)6

其它

網(wǎng)管功能支持基于SNMP支持RMON,支持Web管理、HGMPV2

是否支持全雙工全雙工

堆疊不支持

電氣規(guī)格

額定電壓(V)-48VDC

額定功率(W)800

外觀特征

重量(Kg)≤80kg

長度(mm)436

寬度(mm)480

高度(mm)530.6

環(huán)境條件

工作溫度(℃)0～45℃

工作濕度10％～90％無凝結(jié)

工作高度(米)3000

存儲溫度(℃)－30～60℃

存儲濕度10％～90％無凝結(jié)

存儲高度(米)6000核心層交換機根本配置：a、hostnameb、密碼c、管理地址〔設(shè)置Loopback地址〕d、啟用telnete、劃分vlan，設(shè)置vlan的網(wǎng)關(guān)f、設(shè)置trunk端口g、配置MSTP保證不產(chǎn)生環(huán)路h、配置VRRP實現(xiàn)負載均衡i、設(shè)置缺省路由和路由協(xié)議接入層設(shè)計我們建議用戶采用高性能模塊化交換機作為用戶會聚層交換機〔即分布層〕，分別通過2條千兆兆鏈路采用雙歸方式與核心交換機互聯(lián)；會聚層交換機與核心層交換機之間形成雙鏈路全冗余連接，以增強整體網(wǎng)絡(luò)的容錯和故障隔離能力。報社的每層樓的信息點最多164個，最少83個，考慮本錢，建議會聚層的交換機同時承當(dāng)接入層交換機的功能。每臺會聚層交換機通過堆疊模塊相連，形成邏輯上的一臺被網(wǎng)管的設(shè)備。在具體的組網(wǎng)上，由于會聚層交換機通過雙歸屬的方式與核心交換機相連，這樣就造成了在局域網(wǎng)中出現(xiàn)了2臺核心交換機和會聚層交換機之間的環(huán)路，這樣就必須在局域網(wǎng)中采用STP/RSTP，阻塞住骨干的雙光纖鏈路中的一條，網(wǎng)絡(luò)正常工作時，其中的一條鏈路和一臺核心交換機做為備份鏈路和備份設(shè)備使用；當(dāng)主用鏈路出現(xiàn)故障時，網(wǎng)絡(luò)通過STP/RSTP能夠很快的將業(yè)務(wù)流量切換到備份鏈路上和備份設(shè)備上；由于用戶的網(wǎng)絡(luò)節(jié)點和規(guī)模不是很大，所以網(wǎng)絡(luò)中STP/RSTP的收斂時間將會非常的短，根本不會造成網(wǎng)絡(luò)的中斷。在網(wǎng)絡(luò)的具體的實施方面，萬兆上聯(lián)鏈路可采用鏈路聚合的方式增加鏈路的帶寬，同時建議采用MSTP技術(shù)，在上聯(lián)鏈路上實現(xiàn)負載均衡，從而充分利用兩條光纖鏈路。每層樓的會聚層交換機通過多模光纖分別連接兩臺核心層交換機，因此每層的會聚層交換機需要兩個多模光纖模塊；同一層樓的會聚層交換機也同時充當(dāng)接入層的功能，同一層樓的多臺交換機之間通過堆疊模塊連接起來。1、根據(jù)需求選擇適宜的交換機設(shè)備，并列出具體參數(shù)，完成下表新聞中心報社大樓網(wǎng)絡(luò)信息點統(tǒng)計地點信息點數(shù)目交換機模塊數(shù)目1樓1302樓1533樓1574樓1585樓1646樓83共計：2、會聚層交換機的根本配置，如：a、hostnameb、密碼c、管理地址d、啟用telnet……鑒于報社新大樓網(wǎng)絡(luò)垂直布線線路是6*6芯光纖，因此選用華為3COM公司的QuidwayS3900系列以太網(wǎng)交換機，配備2塊多模光纖模塊，可完成主樓樓層接入交換機到核心交換機的線路冗余連接，具體配置如下表所示：地點信息點數(shù)目交換機模塊數(shù)目1樓13048口QuidwayS3952P交換機3臺多模光纖模塊2塊堆疊模塊2塊2樓15348口QuidwayS3952P交換機3臺24口QuidwayS3928P交換機1臺多模光纖模塊2塊堆疊模塊3塊3樓15748口QuidwayS3952P交換機3臺24口QuidwayS3928P交換機1臺多模光纖模塊2塊堆疊模塊3塊4樓15848口QuidwayS3952P交換機3臺24口QuidwayS3928P交換機1臺多模光纖模塊2塊堆疊模塊3塊5樓16448口QuidwayS3952P交換機3臺24口QuidwayS3928P交換機1臺多模光纖模塊2塊堆疊模塊3塊6樓8348口QuidwayS3952P交換機2臺多模光纖模塊2塊堆疊模塊1塊共計：48口QuidwayS3952P交換機17臺，24口QuidwayS3928P交換機4臺；多模光纖模塊共12塊，堆疊模塊15塊。其中由于QuidwayS3900系列交換機是用多模光纖模塊進行堆疊的，所以多模光纖模塊共需27塊。接入層交換機根本配置：a、hostnameb、密碼c、管理地址d、啟用telnete、劃分vlan參考命令〔不全〕Switch#configureterminalSwitch(config)#vlan10Switch(config-vlan)#exitSwitch(config)#interfacerangefastEthernet0/1-12Switch(config-if-range)#switchportaccessvlan10Switch(config-if-range)#exitf、設(shè)置trunk端口g、啟用端口平安特性，做mac地址綁定參考命令〔不全〕Switch#configureSwitch(config)#interfacefastEthernet0/1Switch(config)#switchportmodeaccessSwitch(config-if)#switchportport-security手工配置PC1的MAC地址為平安MAC地址配置端口最多允許1個平安MAC地址，即保證只有PC1可以接入到此端口Switch(config-if)#switchportport-securitymaximum1配置當(dāng)產(chǎn)生地址違規(guī)時關(guān)閉端口Switch(config-if)#switchportport-securityviolationshutdownh、啟用arp-check，防止中毒的機器發(fā)起ARP攻擊參考命令Switch(config)#switchportport-securityarp-checki、配置MSTP保證不產(chǎn)生環(huán)路j、ACLa、hostnameb、密碼c、管理地址d、啟用telnete、劃分vlan參考命令〔不全〕Switch#configureterminalSwitch(config)#vlan10Switch(config-vlan)#exitSwitch(config)#interfacerangefastEthernet0/1-12Switch(config-if-range)#switchportaccessvlan10Switch(config-if-range)#exitf、設(shè)置trunk端口g、啟用端口平安特性，做mac地址綁定參考命令〔不全〕Switch#configureSwitch(config)#interfacefastEthernet0/1Switch(config)#switchportmodeaccessSwitch(config-if)#switchportport-security手工配置PC1的MAC地址為平安MAC地址配置端口最多允許1個平安MAC地址，即保證只有PC1可以接入到此端口Switch(config-if)#switchportport-securitymaximum1配置當(dāng)產(chǎn)生地址違規(guī)時關(guān)閉端口Switch(config-if)#switchportport-securityviolationshutdownh、啟用arp-check，防止中毒的機器發(fā)起ARP攻擊參考命令Switch(config)#switchportport-securityarp-checki、配置MSTP保證不產(chǎn)生環(huán)路其他交換機設(shè)備選型用戶所使用的效勞器設(shè)備大體上可以分為兩類，一類屬于對內(nèi)辦公應(yīng)用效勞器，這些效勞器不需要與外網(wǎng)發(fā)生數(shù)據(jù)通信，只為內(nèi)部網(wǎng)絡(luò)用戶提供數(shù)據(jù)傳輸和存儲應(yīng)用，因此我們可以考慮到把它們放置于一個統(tǒng)一的數(shù)據(jù)中心內(nèi)，通過防火墻設(shè)備和IPS設(shè)備提供保護和訪問控制，通過具體應(yīng)用的策略的調(diào)整來對需要訪問數(shù)據(jù)中心的終端和用戶的訪問進行審計和管理。防火墻策略的建議我們將會在防火墻系統(tǒng)設(shè)計章節(jié)中具體提到，另外將所有效勞器進行連接然后統(tǒng)一連入防火墻需要一臺能夠提供1000MRJ45口的交換機設(shè)備，我們建議使用華為3COM公司的QuidwayS5024G交換機。另一類效勞器屬于對外效勞器，它們將直接連接到對外連接防火墻的DMZ區(qū)，如果對外效勞器數(shù)目超出防火墻接口預(yù)想范圍，可以通過添加交換機的方法進行連接。IP地址規(guī)劃原那么IP地址規(guī)劃應(yīng)依據(jù)科學(xué)性、系統(tǒng)性、完整性及可擴展性原那么，采用先進的網(wǎng)絡(luò)編碼技術(shù)，保證信息交換的效率和質(zhì)量，既要在相當(dāng)時期內(nèi)保持技術(shù)的先進性，同時也充分考慮現(xiàn)期工程的可實施性，為了更加便于記憶和管理，在本工程的建設(shè)中，網(wǎng)絡(luò)IP地址規(guī)劃采用統(tǒng)一的IP地址分配方式，保證IP地址的唯一性。具體來說，IP地址規(guī)劃應(yīng)該遵循以下原那么：可擴展性：IP地址的規(guī)劃與劃分應(yīng)該考慮到城域網(wǎng)的業(yè)務(wù)飛速開展，能夠滿足未來開展的需要；即要滿足本期工程對IP地址的需求，同時要充分考慮未來業(yè)務(wù)開展，預(yù)留相應(yīng)的地址段；唯一性：一個IP網(wǎng)絡(luò)中不能有兩個主機采用相同的IP地址；簡單性：地址分配應(yīng)簡單、易于管理，降低網(wǎng)絡(luò)擴展的復(fù)雜性，簡化路由表的款項；靈活性：IP地址的分配需要有足夠的靈活性，能夠滿足用戶不同的聯(lián)網(wǎng)需要；連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進行路徑疊合，大大縮減路由表，提高路由算法的效率。高效性：IP地址的分配必須采用VLSM技術(shù)，充分合理利用已申請的地址空間，保證IP地址的利用效率，采用CIDR技術(shù)，減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中播送的路由信息的大小。在本方案中，我們建議新建的網(wǎng)絡(luò)局部使用RFC1918中規(guī)定的B類保存地址段進行分配〔如果不影響應(yīng)用的情況下〕。日報社新辦公大樓局域網(wǎng)網(wǎng)絡(luò)IP地址的分配可以根據(jù)以下幾個層次考慮：第一層：以網(wǎng)絡(luò)核心交換機匯接區(qū)域來劃分根據(jù)網(wǎng)絡(luò)匯接分布的地理區(qū)域來劃分大塊連續(xù)的IP地址空間，每個局都分配一塊連續(xù)的地址，不僅方便對IP地址的管理和維護，也有利于路由協(xié)議的計算和地址會聚。在地址劃分時需要考慮網(wǎng)絡(luò)的接入層的擴展；需要為網(wǎng)絡(luò)的擴展預(yù)留地址空間。第二層：在各接入層內(nèi)，以網(wǎng)絡(luò)功能來劃分可以根據(jù)不同的應(yīng)用和網(wǎng)絡(luò)功能來劃分，如：用戶網(wǎng)絡(luò)接入地址；數(shù)據(jù)效勞器地址空間和網(wǎng)絡(luò)管理操作。可以從號碼上識別出應(yīng)用和功能；根據(jù)日報社新辦公大樓局域網(wǎng)的具體地址空間，可以給出每個區(qū)域和接入層的地址空間。在地址分配中需要的從地址的應(yīng)用類型上給出以下規(guī)那么：三層交換機loopback地址，每臺三層交換設(shè)備需要一個32位掩碼的IP地址。點到點的廣域網(wǎng)鏈路，需要30位最小的子網(wǎng)用戶端地址根據(jù)需要可以分配不同的掩碼，但對于每一個接入節(jié)點和會聚節(jié)點，地址要求連續(xù)分配。局域網(wǎng)地址按照主機接入數(shù)量和設(shè)備數(shù)量來分配子網(wǎng)空間。對于日報社新辦公大樓局域網(wǎng)網(wǎng)絡(luò)地址的詳細分配，需要確定更多的客戶需求，并根據(jù)實際的客戶需求，調(diào)整VLAN的大小，有待于在工程實施前做詳細設(shè)計。IP地址規(guī)劃建議根據(jù)以上原那么，以下我們按照1個B類私有地址進行地址劃分，事實上上級主管部門會劃定一個ip地址段給用戶，因此具體的地址分配方案需要和用戶進一步探討。這里僅僅說明分配的原那么。我們舉例說明用戶如何對下屬的IP地址進行規(guī)劃。假設(shè)用戶使用172.16.32.X/20之間的IP地址，也就是172.16.32.X—172.16.47.X。如下列圖所示，IP地址中的第17-20位的4個Bit用來標(biāo)示該地址段屬于用戶，21-24位共4個bit用來分配給該用戶接入設(shè)備的地址。其余24-32位作為用戶可用的網(wǎng)絡(luò)地址。這樣一來，用戶可以管理16個下屬節(jié)點，每個節(jié)點可以使用256個IP地址。17216節(jié)點標(biāo)識符〔4Bit〕下屬部門〔4Bit)用戶可用地址范圍10101100000100000010VLAN設(shè)計我們可以通過本次改造新上的核心、接入層交換機對整個網(wǎng)絡(luò)各個部門科室進行VLAN的劃分，所謂“虛擬〔V〕”，就是用軟件的方法，把一些屬于不同網(wǎng)段的終端用戶組合成一個工作群體。使他們就像“集中”在同一個“辦公室”里工作一樣。例如，將所有分屬于各部門的終端用戶組合在一起，使他們在做公共課的作業(yè)時，可以使用相同的效勞器，構(gòu)成一個虛擬的工作組。雖然，用戶的電腦實際上是分別連在各個部門的子網(wǎng)上，現(xiàn)在他們卻如同“集中”在一個虛擬網(wǎng)的工作組里，“實際連接”在一個相同的網(wǎng)段上。又如，將分別屬于各個分公司財務(wù)部門的終端用戶組合在一起，使他們在工作時，使用相同的財務(wù)效勞器，接收總公司有關(guān)財務(wù)的電子郵件播送。向總公司發(fā)送各種財務(wù)報表等。雖然，這些財務(wù)部門的終端用戶，實際上是連接在各自所屬分公司的網(wǎng)絡(luò)上，現(xiàn)在他們卻被“集中”在一個財務(wù)“辦公室”里。如同“實際連接”在一個財務(wù)子網(wǎng)上工作一樣。類似的實例還可舉出許多。上述實例說明：虛擬網(wǎng)技術(shù)是把一組物理上彼此分開的用戶和效勞器邏輯地劃分成工作群組，這樣的邏輯劃分與物理位置無關(guān)?；蛘哒f，虛擬網(wǎng)絡(luò)技術(shù)，就是把一組用戶分配在同一個播送域，在該播送域上的播送流量只有其成員才能收到。通過劃分VLAN一般會帶來以下幾個好處：網(wǎng)絡(luò)性能好交換網(wǎng)絡(luò)可以通過降低網(wǎng)絡(luò)碰撞域的大小，實現(xiàn)提升共享介質(zhì)網(wǎng)絡(luò)性能的目的。此外，通過邏輯網(wǎng)絡(luò)對用戶進行分組可以把功能或應(yīng)用相近的設(shè)備或用戶組合在一起，限制播送流量，提升網(wǎng)絡(luò)性能。另外，交換網(wǎng)絡(luò)降低了路由器的工作符合，縮短了網(wǎng)絡(luò)時延。易于管理和維護VLAN技術(shù)可以根據(jù)變化的網(wǎng)絡(luò)環(huán)境隨時對邏輯分組進行調(diào)節(jié)和改良，簡單，靈活，本錢低廉。此外，VLAN可以對分散在不同地理位置的網(wǎng)絡(luò)設(shè)備進行集中的管理和配置，使大型網(wǎng)絡(luò)更加易于管理和維護。支持多種物理拓撲結(jié)構(gòu)VLAN技術(shù)可以在任何網(wǎng)絡(luò)物理拓撲結(jié)構(gòu)的根底之上，將不同區(qū)域的設(shè)備連接在一起，建立一個虛擬的獨立播送域，而且對網(wǎng)絡(luò)的擴展和升級具有良好的支持功能。網(wǎng)絡(luò)更加平安可靠VLAN技術(shù)可以在共享介質(zhì)網(wǎng)絡(luò)環(huán)境的根底之上，提供附加的平安保障。網(wǎng)絡(luò)管理人員可以通過創(chuàng)立虛擬局域網(wǎng)把需要訪問關(guān)鍵信息的用戶與普通用戶區(qū)別開來組成獨立的虛擬網(wǎng)，使重要數(shù)據(jù)免受外界侵害。VLAN劃分我們建議根據(jù)各個辦公室的地理位置來劃分VLAN，如果同一棟樓內(nèi)包含很多部門，而這些部門的職能和工作內(nèi)容又有很大的區(qū)別，我們就可以在樓內(nèi)按照部門來劃分VLAN。另外，如果某個部門需要跨越很多建筑物，分布范圍比擬廣，例如部門A分布的很散，在很多交換機上都預(yù)留了部門A的信息點，我們那么可以按照交換機的位置來設(shè)置VLAN，這樣，部門A就可能對應(yīng)多個VLAN，如果部門A所對應(yīng)的VLAN之間需要通信的話，我們可以通過VLAN間的路由來實現(xiàn)。這樣做的好處是：可以減少播送數(shù)據(jù)包對網(wǎng)絡(luò)主干的影響。因為如果將部門A全部劃分到一個VLAN中，而這些VLAN又跨越了網(wǎng)絡(luò)主干，分布在眾多不同的交換機上，這樣如果有播送包時，這些播送包必然會在網(wǎng)絡(luò)的主干上傳輸，然后到達相應(yīng)的交換機上，也就占用了網(wǎng)絡(luò)主干的帶寬，容易造成其他業(yè)務(wù)的時延。為了減少傳輸沖突，提高系統(tǒng)整體性能和網(wǎng)絡(luò)處理能力，另外，還考慮到網(wǎng)絡(luò)良好的管理性，易于維護和平安策略的實施，針對用戶網(wǎng)絡(luò)系統(tǒng)的實際情況，可以把功能〔應(yīng)用〕相近的設(shè)備群組劃分到同一VLAN，不同部門的設(shè)備劃分到不同VLAN中去，這樣就能夠通過訪問控制列表技術(shù)實施平安策略。限制未授權(quán)的用戶訪問重要的效勞器和數(shù)據(jù)庫。如下圖，在實際劃分VLAN時可以把不同的部門和VLAN之間的編號進行對應(yīng)。VLAN100VLAN100VLAN101VLAN100VLAN101TrunkTrunkTrunk二層交換機三層交換機VLAN劃分示意圖二層交換機二層交換機VLAN之間路由實現(xiàn)在劃分了VLAN的環(huán)境下，各VLAN成員之間不能直接訪問，不同VLAN之間的流量必須經(jīng)過路由，這一功能可以由三層以太網(wǎng)交換機的多層交換引擎來完成。在用戶網(wǎng)絡(luò)系統(tǒng)設(shè)計中，VLAN的劃分可以在核心交換機、樓層交換機上的端口進行劃分，不同的交換機端口所連接的設(shè)備屬于不同的VLAN，而VLAN之間的路由那么由具有三層功能的核心交換機來完成。下列圖表示的是采用這樣的路由方法的網(wǎng)絡(luò)邏輯結(jié)構(gòu)示意圖。VLAN100VLAN100VLAN101VLAN102VLAN103VLAN200VLAN201VLAN202劃分VLAN后網(wǎng)絡(luò)邏輯結(jié)構(gòu)圖三層交換機二層交換機VLAN之間平安控制在用戶網(wǎng)絡(luò)系統(tǒng)中，由于在中心使用了三層核心交換機，因此所有的VLAN之間的訪問都需要通過三層核心交換機進行，因此可以通過ACL〔訪問控制列表〕控制VLAN之間的流量，這樣就可以允許高優(yōu)先級的VLAN段訪問低優(yōu)先級的VLAN段，而低優(yōu)先級的VLAN段不能訪問或有限的訪問高優(yōu)先級VLAN段。VLANTrunk的建議以上我們提到，采用VLANTRUNK和STP、GEC等技術(shù)可以節(jié)約端口和提供冗余線路，以下通過圖例解釋如何實現(xiàn)。下列圖為兩路虛擬的VLAN通過兩個不同的端口〔即每個VLAN占用單獨的交換機端口在兩臺2750之間〕之間通過。這樣如果存在更多的VLAN就需要占用更多的交換機端口，無疑這種解決方式是需要消耗大量交換機端口資源的。也就是說這種解決方案擴展性很差。如下列圖所示，VLAN1和VLAN2通過兩臺3750之間的一對交換機端口，通過VLANTRUNK技術(shù)〔802.1Q〕，不同的VLAN通過不同的標(biāo)識來區(qū)分，也就是說，在入口交換機〔譬如下面的3750〕上給VLAN打上標(biāo)記，不同的VLAN通過一對交換機端口的一條鏈路到達出口〔譬如上面的3750〕交換機時，在上面的3750交換機上區(qū)分出不同的VLAN〔通過標(biāo)識〕，這種解決方案可以有效的利用交換機的珍貴的端口資源，節(jié)約投資，同樣到達系統(tǒng)要求的效果。在本網(wǎng)絡(luò)系統(tǒng)的主干方案中，上面的3750交換機和下面的交換機之間通過兩條千兆以太網(wǎng)線路相連，也就是兩臺交換機都提供兩對端口用于相互之間的高速連接，這樣在兩條鏈路上通過VLANTRUNK技術(shù)使用每一條鏈路同時運送VLAN1和VLAN2或者更多的VLAN，同時在交換機上通過GEC技術(shù)捆綁兩條物理端口，可以為運送提供更高的帶寬，同時可以做到負載均衡。如下列圖：如下列圖，在本系統(tǒng)網(wǎng)絡(luò)解決方案中，如果兩臺交換機之間的兩條鏈路其中一路失效，通過STP〔生成樹〕技術(shù)和TRUNK技術(shù)可以使網(wǎng)絡(luò)運送和負載轉(zhuǎn)到另外一路良好的鏈路上，可以防止一路失效帶來的網(wǎng)絡(luò)癱瘓。線路能夠做到冗余。從以上對設(shè)備和技術(shù)的描述可以看出，本系統(tǒng)提出的解決方案和采用的設(shè)備技術(shù)和支持的協(xié)議，完全可以作到對網(wǎng)絡(luò)傳送速率的良好保證，同時可以有效的在交換機之間建立VLAN和傳送VLAN，而且可以作到鏈路的冗余，同時可以作到負載均衡。充分了保護了投資和利用了設(shè)備和技術(shù)，充分表達了可靠、可用、高效和平安的網(wǎng)絡(luò)解決方案的特點。地址翻譯NAT為了彌補IP地址的缺乏，大多數(shù)網(wǎng)絡(luò)的IP地址分為兩局部：一是具有全球連通性的IP地址公網(wǎng)地址；二是只能在企業(yè)內(nèi)部用的IP地址--私有地址。具有公網(wǎng)IP地址主機或路由器可以和INTERNET網(wǎng)上的任何節(jié)點相連。其地址是全球唯一的。具有私有地址的主機和路由器只能在企業(yè)內(nèi)部通信，其地址僅在企業(yè)內(nèi)部是唯一的。用這種地址是不可以訪問INTERNET的。業(yè)界提出了一種技術(shù)，使企業(yè)可以從私有地址遷移到全球地址空間，這種技術(shù)就是網(wǎng)絡(luò)地址的轉(zhuǎn)換〔NAT〕。NAT技術(shù)使專用網(wǎng)絡(luò)能夠連接到INTERNET網(wǎng)上。NAT路由器或Web交換機放置在域的邊界上，在向INTERENT網(wǎng)上發(fā)送數(shù)據(jù)包之前，它把私有地址轉(zhuǎn)換為INTERNET上的公網(wǎng)地址。如下列圖所示，企業(yè)內(nèi)部有一主機，其IP地址為.1，該主機要訪問INTERNET上的節(jié)點204.10.10.10，當(dāng)IP數(shù)據(jù)包到達邊界路由器時，路由器將IP地址轉(zhuǎn)為公網(wǎng)的192.69.1.1，然后再送往目的地。NAT技術(shù)不單只可以用在公網(wǎng)與私網(wǎng)之間的IP地址轉(zhuǎn)換，還可以用在不同網(wǎng)段之間的轉(zhuǎn)換，如果日報社用戶內(nèi)網(wǎng)想自己規(guī)劃B類地址〔在不影響應(yīng)用的情況下〕，而合作伙伴〔A類地址〕想訪問內(nèi)網(wǎng)資源，就可以通過NAT技術(shù)來實現(xiàn)，這樣做可以隱藏內(nèi)網(wǎng)IP以保護內(nèi)網(wǎng)資源。網(wǎng)絡(luò)管理的設(shè)計網(wǎng)絡(luò)平安解決方案活動目錄的設(shè)計活動目錄的設(shè)計目錄效勞的一個重大開展趨勢是跨平臺開展和跨應(yīng)用開展。異構(gòu)網(wǎng)絡(luò)操作系統(tǒng)采用同構(gòu)的目錄效勞即網(wǎng)絡(luò)資源管理效勞。未來的多種網(wǎng)絡(luò)系統(tǒng)可能采用同一種事實標(biāo)準(zhǔn)的目錄效勞作為操作系統(tǒng)本身資源管理或是附加的資源管理。異構(gòu)形式的網(wǎng)絡(luò)應(yīng)用，如Email、數(shù)據(jù)庫效勞、Internet/Intranet訪問等,采用同構(gòu)的目錄效勞。多種應(yīng)用共享一套資源信息，防止了管理上的重復(fù)操作和多系統(tǒng)間的不協(xié)調(diào)，提高了應(yīng)用系統(tǒng)的身份驗證平安等級。降低了管理的復(fù)雜度，也方便了用戶的使用?；顒幽夸浭荳indowsServer網(wǎng)絡(luò)體系結(jié)構(gòu)中一個根本且不可分割的局部。它提供了一套為分布式網(wǎng)絡(luò)環(huán)境設(shè)計的目錄效勞，使得組織機構(gòu)可以有效地對有關(guān)網(wǎng)絡(luò)資源和用戶的信息進行共享和管理。另外，目錄效勞在網(wǎng)絡(luò)平安方面也扮演著中心授權(quán)機構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗證用戶身份并控制其對網(wǎng)絡(luò)資源的訪問。目錄效勞的主要功能，如下列圖所示：目錄效勞既是管理工具又是終端用戶工具。當(dāng)網(wǎng)絡(luò)中對象的數(shù)目增加時，目錄效勞變得很重要。目錄效勞是一個大的分布系統(tǒng)的轉(zhuǎn)換中心。WindowsServer活動目錄的優(yōu)點WindowsServer活動目錄產(chǎn)品融合了一些新的技術(shù)特點，使我們有理由相信我們推薦的企業(yè)網(wǎng)目錄管理效勞方案最能適合企業(yè)的應(yīng)用，這些特點包括：DNS集成活動目錄使用域名系統(tǒng)〔DomainNameSystem，簡稱DNS〕。這使得運行在TCP/IP網(wǎng)絡(luò)上的計算機可以識別和連接另一臺計算機。DNS域和WindowsServer的域自然而有機的結(jié)合在一起，使得整個目錄結(jié)構(gòu)成樹型分布，具有了DNS的層次感覺，也使得WindowsServer系統(tǒng)能夠支撐龐大的目錄結(jié)構(gòu)，是的目錄對象涵蓋了整個網(wǎng)絡(luò)元素：用戶，計算機，打印機，共享文件夾，應(yīng)用程序，管理策略等。目錄定位效勞通過DNS效勞中的ServiceResourceRecord〔SRVRR〕記錄公布提供目錄效勞的效勞器地址，SRVRR中的附加信息指出了效勞器的優(yōu)先權(quán)及重要度，使得客戶可以選擇他們所需要的最好的效勞器。DNS記錄也可以集成到目錄中，隨著目錄復(fù)制而到達DNS復(fù)制的目的。全局唯一的用戶名在域內(nèi)一個用戶對象只能有一個用戶主名，而這個用戶名是可以用username@domainname表示的，就好比一個用戶的mail地址一樣。正是具有了這個特性，才能夠?qū)崿F(xiàn)在企業(yè)內(nèi)只要一套用戶認(rèn)證系統(tǒng)就可以實現(xiàn)所有應(yīng)用系統(tǒng)的單一認(rèn)證問題?？蓴U展性活動目錄是可擴展的，就是說管理員可以向模式中添加新的對象類，也可以向已經(jīng)存在的對象類添加新的屬性。模式包括每一個對象類和對象類屬性的定義，它們可以存儲在目錄中。例如，可以向用戶對象添加購置機構(gòu)屬性，然后可以將用戶的購置機構(gòu)范圍做為用戶帳號的一局部進行存儲。靈活的查詢用戶和管理員可以使用"開始"菜單上的"查詢"命令、桌面上的"我的網(wǎng)絡(luò)"圖標(biāo)或者"活動目錄用戶和計算機連接"插件來根據(jù)對象的屬性快速的查找網(wǎng)絡(luò)上的對象?；诓呗缘墓芾斫M策略是在初始化時對計算機或者用戶進行的配置。所有的小組策略設(shè)置都包含在組策略對象〔GroupPolicyObject，簡稱GPO〕中，它可以應(yīng)用與活動目錄站點、域或組織單元中。GPO設(shè)置確定對目錄對象和域資源的訪問、哪些資源域是用戶可以訪問的以及這些資源域應(yīng)該如何使用。在利用企業(yè)網(wǎng)的目錄管理效勞提供單一的用戶身份驗證方面，總的來說，存在兩方面的應(yīng)用連接方式：C/S應(yīng)用的連接方式WEB應(yīng)用的連接方式其中，WEB應(yīng)用的連接方式比擬統(tǒng)一，解決方法也比擬成熟，而C/S應(yīng)用的連接方式就比擬復(fù)雜，需要根據(jù)特定的應(yīng)用具體分析，舉例來說，Domino/Notes系統(tǒng)就是典型的C/S應(yīng)用。在綜合了所有解決方案之后，通過對平安性，用戶使用的方便性，管理要求，實現(xiàn)技術(shù)的成熟性幾方面的比擬，最后推薦使用登錄信息代理方式解決單一用戶登錄，統(tǒng)一認(rèn)證(SSO)的問題。這種方式的實現(xiàn)原理是：應(yīng)用的登錄信息存儲在目錄數(shù)據(jù)庫〔AD〕中，通過AD的用戶認(rèn)證得到保護。在應(yīng)用系統(tǒng)登錄時從AD中獲得相關(guān)信息進行登錄。這個過程通過SSO插件透明進行，從而實現(xiàn)SSO?；顒幽夸浗M成結(jié)構(gòu)企業(yè)網(wǎng)目錄管理效勞的產(chǎn)品構(gòu)成比擬簡單：WindowsServer+ActiveDirectory(活動目錄)+適當(dāng)?shù)募烧J(rèn)證客戶端插件。這張示意圖很好的總結(jié)了目錄效勞用戶端和管理端兩方面的功能活動目錄的優(yōu)勢完全集成到WindowsServer效勞器版中的活動目錄為網(wǎng)絡(luò)管理員、開發(fā)者和用戶提供了訪問目錄效勞的能力，這樣可以：簡化管理任務(wù)集中管理：活動目錄通過單一、穩(wěn)定的管理界面集中管理Windows用戶、客戶端和效勞器，以減少冗余、降低維護本錢。組策略：組策略使管理員能夠定義并控制對由組織內(nèi)部的計算機和用戶組成的群組進行管理的策略。管理員能夠為在活動目錄中的任一站點、域或組織單元設(shè)定組策略。組策略一經(jīng)設(shè)定，系統(tǒng)就將對其自行加以維護，而不需更多的干預(yù)。全局目錄：全局目錄包括來自WindowsServer效勞器目錄中所有域的全部對象，以及每個對象屬性的子集。為獲得良好的效果，全局目錄允許用戶根據(jù)選定的屬性進行搜索，以便輕而易舉地發(fā)現(xiàn)要找的對象，而無須考慮該對象處于目錄結(jié)構(gòu)的什么位置。自動化軟件分發(fā)：通過活動目錄特性，管理員能夠針對用戶在公司中角色為他們自動分發(fā)應(yīng)用程序授權(quán)管理：WindowsServer使管理員能夠?qū)⒁惶滋囟ǖ墓芾韮?yōu)限授予公司中的適當(dāng)人員，并為他們指定在目錄中不同對象集合和對象個體之上享有的特定權(quán)力。加強網(wǎng)絡(luò)平安性Kerberos驗證：對Kerberos5協(xié)議的全面支持為基于WindowsServer的資源及其它支持該協(xié)議的環(huán)境提供了快速、單一的登錄?？蓚鬟f域信任：可傳遞信任委托協(xié)議大大減少了在Windows域之間進行管理信任關(guān)系的數(shù)量。SSL上的LDAP：支持在平安套接字協(xié)議層(SSL)之上的LDAP，平安套接字協(xié)議層是為extranet和電子商務(wù)應(yīng)用程序進行平安性目錄事務(wù)而設(shè)計的。必需的驗證機制：允許管理員要求訪問者進行Kerberos、x.509認(rèn)證或NTLM所需的特定類型的登錄。提高互操性活動目錄連接器〔ADC〕：ADC提供目錄同步和導(dǎo)入/導(dǎo)出工具。它使管理員能夠在MicrosoftExchangeServer5.5目錄與活動目錄間復(fù)制目錄對象的層次。開放的應(yīng)用程序接口：通過LDAP、ADSI和MAPI，所有活動目錄功能均可進行擴展并與其它應(yīng)用程序、目錄及設(shè)備相結(jié)合?？蓴U展模式：活動目錄使開發(fā)者和管理員能夠擴展目錄模式并創(chuàng)立新的屬性和對象。通過將目錄用作一個數(shù)據(jù)庫，開發(fā)者能夠利用可擴展模式來創(chuàng)立他們自己應(yīng)用程序的數(shù)據(jù)結(jié)構(gòu)。此外，網(wǎng)上用戶能夠在該目錄中發(fā)布重要信息，從而使其他用戶能夠輕易地發(fā)現(xiàn)此信息。防火墻系統(tǒng)設(shè)計設(shè)備選型設(shè)計并發(fā)會話數(shù)并發(fā)會話連接數(shù)指的是防火墻或代理效勞器對其業(yè)務(wù)信息流的處理能力，是防火墻能夠同時處理的點對點會話連接的最大數(shù)目，它反映防火墻對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力。這個參數(shù)的大小可以直接影響到防火墻所能支持的最大信息點數(shù)。大多數(shù)人也許不明白，普通會話數(shù)會有幾千到幾十萬不等，那么是不是內(nèi)網(wǎng)中的機器數(shù)量跟會話數(shù)有直接聯(lián)系呢？想到這里，其實答案馬上就能出來了。舉例說明，一個并發(fā)會話數(shù)代表一臺機器翻開的一個窗口或者一個頁面。那么內(nèi)網(wǎng)中一臺機器同時開很多頁面，并且聊天工具或者網(wǎng)絡(luò)游戲同時進行著，那么這一臺機器占用的會話數(shù)就會有幾十到幾百不等。內(nèi)網(wǎng)中同時在線的機器數(shù)量越多，需要的會話數(shù)就越多。所以，根據(jù)防火墻的型號不同，型號越大，并發(fā)會話數(shù)就會越多。在一些防火墻中還有另外一個概念，那就是每秒新建會話數(shù)。假設(shè)在第一時間，已經(jīng)占用了防火墻的全部會話數(shù)，在下一秒，就要等待防火墻處理完之前不需要的會話數(shù)才能讓需要的人繼續(xù)使用剩余的會話數(shù)。那么這個每秒新增會話數(shù)就很重要了。如果每秒新增會話數(shù)不夠的話，剩下的人就要等待有新的會話數(shù)出來。那么就會表達為上網(wǎng)速度很慢。了解了這一情況，選購者就不會承當(dāng)這個防火墻導(dǎo)致網(wǎng)速變慢的黑鍋了。性能防火墻的性能對于一個防火墻來說是至關(guān)重要的，它決定了每秒鐘可能通過防火墻的最大數(shù)據(jù)流量，以bps為單位。從幾十兆到幾百兆不等，千兆防火墻還會到達幾個G的性能。關(guān)于性能的比擬，參看防火墻的彩頁介紹就可以比擬的出來，比擬明了。工作模式目前市面上的防火墻都會具備三種不同的工作模式，路由模式、NAT模式還有透明模式。透明模式時，防火墻過濾通過防火墻的封包，而不會修改數(shù)據(jù)包包頭中的任何源或目的地信息。所有接口運行起來都像