網(wǎng)絡設備集成技術方案模板

北京畫中畫印刷有限公司網(wǎng)絡設備集成技術方案北京同邁科技有限公司2010-10-26北京畫中畫印刷有限公司網(wǎng)絡設備集成技術方案北京同邁科技有限公司目錄第1章 概述 4第2章 網(wǎng)絡總體建設目標 52.1 網(wǎng)絡總體目標 52.2 設計原則 52.2.1 先進性： 52.2.2 可靠性、穩(wěn)定性： 52.2.3 實用性： 52.2.4 合理性： 52.2.5 安全性： 62.2.6 可擴展性： 62.3 設計依據(jù) 6第3章 網(wǎng)絡設計技術選型 73.1 網(wǎng)絡設計的技術需求 73.1.1 核心層網(wǎng)絡承載能力 73.1.2 匯聚層節(jié)點承載能力 73.1.3 接入層節(jié)點接入能力 83.1.4 通信協(xié)議的支持 83.1.5 網(wǎng)絡管理與安全體系 83.2 設備選型考慮 83.3 網(wǎng)絡產(chǎn)品選型 93.4 網(wǎng)絡技術選型設計 103.4.1 介質擁擠問題 103.4.2 協(xié)議擁擠問題 113.4.3 骨干擁擠問題 123.4.4 技術選型總結 133.5 VLAN（虛擬局域網(wǎng)）技術簡介 13第4章 網(wǎng)絡方案設計 154.1 網(wǎng)絡配置 154.2 網(wǎng)絡拓撲圖 154.3 網(wǎng)絡地址規(guī)劃 164.3.1 IP地址的分配應遵循以下幾個原則： 164.3.2 IP地址的劃分： 164.3.3 內部網(wǎng)絡地址分配 164.4 VLAN的設計 174.4.1 VLAN劃分 174.4.2 VLAN間路由 184.5 本地互切技術：STP（生成樹協(xié)議） 184.6 交換機安全技術 19第5章 網(wǎng)絡設備介紹 205.1 CISCO3800路由器 205.4 CISCO3560系列以太網(wǎng)交換機 23CISCO2918系列以太網(wǎng)交換機…………………..25CISCO2960系列以太網(wǎng)交換機……29第4頁共29頁概述計算機網(wǎng)絡系統(tǒng)是北京畫中畫印刷有限公司基礎設施的重要組成部分，是以綜合布線為基礎的現(xiàn)代化的網(wǎng)絡系統(tǒng)，本次設計中實現(xiàn)的是有線網(wǎng)絡。本系統(tǒng)主要是以綜合布線為基礎，為有線網(wǎng)絡及其他網(wǎng)絡提供基礎服務的。整個網(wǎng)絡的建設將為北京畫中畫印刷有限公司的數(shù)據(jù)、語音、視頻的綜合應用構建完善的基礎傳輸平臺。北京畫中畫印刷有限公司的計算機網(wǎng)絡系統(tǒng)應建設成為一套現(xiàn)代化的計算機系統(tǒng)，使北京畫中畫印刷有限公司工作人員能享有其應有的信息資源（包括數(shù)據(jù)、文本、語音、圖像、視像等）。將OA等系統(tǒng)進行有機的結合并且實現(xiàn)內部辦公自動化的應用和信息的發(fā)布、公共設備管理、視頻數(shù)據(jù)的傳輸、軟件硬件資源共享、物業(yè)管理系統(tǒng)的運行以及內外部網(wǎng)站的建設等功能。同時實現(xiàn)INTERNET接入，建立與外部信息資源的互通。真正實現(xiàn)一個安全、方便、舒適、通訊快捷的智能化工作環(huán)境。網(wǎng)絡總體建設目標網(wǎng)絡總體目標北京畫中畫印刷有限公司的網(wǎng)絡結構要求采用交換式寬帶千兆網(wǎng)，保證骨干節(jié)點之間千兆的傳輸速度，到桌面速率為100M以上。要求實現(xiàn)網(wǎng)絡流量隔離和控制以及網(wǎng)絡安全的需求。網(wǎng)絡設備要考慮核心交換機、接入交換機等。要求計算機網(wǎng)絡系統(tǒng)滿足本次系統(tǒng)集成的網(wǎng)絡平臺需求，并考慮未來幾年設計原則先進性：采用國際上先進而成熟的網(wǎng)絡技術產(chǎn)品，服務器產(chǎn)品及其完善的應用軟件系統(tǒng)，保證信息系統(tǒng)的通信速度，適應大量的數(shù)據(jù)和多媒體信息傳輸、處理、交換的需要，應有一定的擴充與發(fā)展空間，使整個網(wǎng)絡系統(tǒng)具有較強的生命力。保證各種信息（數(shù)據(jù)、語音、圖象）的高質量傳輸，才能使網(wǎng)絡不成為網(wǎng)絡業(yè)務開展的瓶頸。可靠性、穩(wěn)定性：計算機網(wǎng)絡作為辦公樓的基礎設施，穩(wěn)定性和可靠性、安全性是網(wǎng)絡建設的非常重要的指標。在設計方案中，在充分體現(xiàn)方案技術先進性的同時，并能保證技術的成熟性。在網(wǎng)絡設備及結構等方面均應達到國際和國家相應的標準指標和要求，并滿足需要。實用性：計算機網(wǎng)絡建設強調網(wǎng)絡系統(tǒng)與網(wǎng)絡應用并重，先進實用，具有較強的可操作性；易于管理維護、便于擴充發(fā)展。支持國際上通用標準的網(wǎng)絡協(xié)議、國際標準的大型的動態(tài)路由協(xié)議等開放協(xié)議，有利于保證與其它網(wǎng)絡(如公共數(shù)據(jù)網(wǎng)、互聯(lián)網(wǎng))之間的平滑連接互通，以及將來網(wǎng)絡的擴展。合理性：網(wǎng)絡建設必須考慮技術與經(jīng)濟上的合理性，應具有較高的性能價格比。必須考慮網(wǎng)絡系統(tǒng)在全壽命期內的全部建設維持費用的合理及可承受性。安全性：所有設備的選型以及操作系統(tǒng)、應用軟件系統(tǒng)的選擇應該滿足防止設備損壞、數(shù)據(jù)和其他資源的丟失和破壞，防止對網(wǎng)絡的非授權使用?？蓴U展性：在網(wǎng)絡設計中還應考慮網(wǎng)絡今后的擴充能力，所采用的設備應全部為生產(chǎn)廠家的主流產(chǎn)品，使今后網(wǎng)絡節(jié)點的增加、向一些新技術的過渡能平滑進行，不會對現(xiàn)有網(wǎng)絡結構作重大調整或是淘汰已有的設備，最大程度保證用戶的投資回報率。設計依據(jù)相關專業(yè)的設計應符合國家現(xiàn)行設計規(guī)范，并參考地方相應規(guī)范包括：國際標準協(xié)會的ISO11081設計規(guī)范ITU-T國際電聯(lián)聯(lián)盟–電信標準委員會IEEE802.3、IEEE802.3u、IEEE802.3ab、IEEE802.3z以太網(wǎng)標準國際電子產(chǎn)品標準協(xié)會的IEEE568A設計規(guī)范中華人民共和國建設部《智能建筑設計標準》中華人民共和國安全部《計算機網(wǎng)絡安全條例》《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》《智能建筑設計標準》GB／T50314-2000《民用建筑電氣設計規(guī)范》JGJ／T16-92網(wǎng)絡設計技術選型北京畫中畫印刷有限公司網(wǎng)絡系統(tǒng)主要在以下幾點作重點說明：總體網(wǎng)絡技術選型設計、網(wǎng)絡產(chǎn)品選型、千兆以太網(wǎng)關鍵技術分析，骨干網(wǎng)絡設計、VLAN技術設計等。網(wǎng)絡設計的技術需求整個網(wǎng)絡在技術上定位為IP優(yōu)化傳輸網(wǎng)絡，以雙絞線為主要傳輸介質，以IP為主要通信協(xié)議。IP優(yōu)化包括如下幾個要素：網(wǎng)絡結構：網(wǎng)絡體系結構以IP為設計基礎，體現(xiàn)在網(wǎng)絡層的層次化體系結構，可以減少對傳統(tǒng)傳輸體系的依賴。IP包轉發(fā)的優(yōu)化：適合大型、高速、高帶寬網(wǎng)絡和下一代因特網(wǎng)的特征，提供高速路由查找和包轉發(fā)機制。帶寬優(yōu)化：在合理的QoS控制下，最大限度的利用傳輸介質的帶寬。穩(wěn)定性優(yōu)化：最大限度的利用網(wǎng)絡設備在故障恢復方面快速切換的能力，快速恢復網(wǎng)絡連接，避免路由表顫動引起的整網(wǎng)震蕩，提供符合高速、高帶寬網(wǎng)絡要求的可靠性和穩(wěn)定性。下面從核心層、接入層、可靠性、通信協(xié)議、網(wǎng)管與安全等方面論述北京畫中畫印刷有限公司網(wǎng)絡的技術要求。核心層網(wǎng)絡承載能力核心設備的無阻塞交換容量具備足夠的能力滿足高速端口之間的無丟包線速交換。核心設備的交換模塊或接口模塊應提供足夠的緩存和擁塞控制機制，避免前向擁塞時的丟包。核心層設備實現(xiàn)的關鍵是：高速、冗余。匯聚層節(jié)點承載能力匯聚層設備的無阻塞交換容量具備足夠的能力滿足高速端口之間的無丟包線速交換。匯聚層設備提供千兆端口上聯(lián)核心層，下聯(lián)接入層設備。由于是接入層設備的合并點，同時也就是物理位置的合并點，即流量的合并點，所以匯聚層設備可能存在瓶頸，故而需要實現(xiàn)更好的QOS（服務質量）機制。同時，由于需要實現(xiàn)不同VLAN之間的路由選擇，所以匯聚層設備也需要支持路由功能。接入層節(jié)點接入能力接入層結點是具有交換結構的交換機，與核心交換機采用1G速率連接。接入層結點向下與接入層設備高速互聯(lián)。接入層結點具有百兆位端口具有充分的擴展能力。接入層結點設備具備充分的線速交換能力。接入層設備體現(xiàn)的是用戶的入口點。通信協(xié)議的支持可路由協(xié)議以支持TCP/IP協(xié)議為主。支持OSPF、IS-IS等多種國際標準的路由協(xié)議。支持BGPV4等標準的域間路由協(xié)議，保證與其他IP網(wǎng)絡的可靠互聯(lián)。網(wǎng)絡管理與安全體系支持整個網(wǎng)絡系統(tǒng)各種網(wǎng)絡設備的統(tǒng)一網(wǎng)絡管理。支持故障管理、記帳管理、配置管理、性能管理和安全管理五大功能。網(wǎng)絡設備支持多級管理權限，支持RADIUS、TACACS+等認證機制。支持安全監(jiān)控和控制機制，當發(fā)現(xiàn)存在安全漏洞和遭到攻擊時，應及時通知網(wǎng)絡管理人員，并應自動采取適當?shù)拇胧┯枰员Ｗo。設備選型考慮網(wǎng)絡系統(tǒng)硬件平臺是整個工程的物理基礎，設備選型是一個重要而關鍵的問題。根據(jù)我們的工程經(jīng)驗和專家的意見，我們根據(jù)以下標準選擇廠商：1)設備性能價格比設備的性能價格比是選型決策的重要考慮因素。2)售后服務售后服務包括如下內容：設備的保修期；是否在中國有備件庫，這樣一旦發(fā)生硬件故障時可以及時得到更換；是否提供ONLINE服務，以便與原制造廠商及時取得聯(lián)系，獲得技術咨詢和支持；故障報告的響應時間。3)公司的經(jīng)濟、技術實力和市場占有率，這一定程度上反映了該設備的信譽。4)設備的技術先進性，這是選型的首要考慮因素。5)設備對未來新技術的適應能力，反映設備的可擴展性，這是保護用戶投資的一種策略。6)設備的技術性能指標。7)設備使用的方便程度，這體現(xiàn)設備的可維護性。8)設備在大型網(wǎng)絡中的應用情況，它反映設備的適應性和可靠性。9)網(wǎng)絡管理系統(tǒng)的集成性、開放性和功能，它反映網(wǎng)絡管理系統(tǒng)是否能對網(wǎng)絡作全面深入的管理，以及它對異構網(wǎng)絡的適應能力。10)設備的標準化程度和可擴充性，反映對網(wǎng)絡規(guī)模擴展的適應能力。11)是否對行業(yè)有長期穩(wěn)定的優(yōu)惠政策。12)交貨期的時限和信用，這對工程能否如期完成有重大影響。13)系統(tǒng)軟件的升級條件是否優(yōu)惠。14)差錯的檢測與隔離能力，這是網(wǎng)絡可靠性的重要保證。15)手冊與培訓，反映用戶能否較快地掌握設備的使用。網(wǎng)絡產(chǎn)品選型網(wǎng)絡產(chǎn)品選型目前在世界上，提供網(wǎng)絡設備的廠商有多家，在國際國內占市場大份額的國外公司有主要有三家，這也是我們進行選擇的主要廠家：Cisco公司Nortel公司3com公司H3C國內廠家有：深圳華為中興通訊聯(lián)想從產(chǎn)品選型上來講，此項目中主要選用的是H3C的系列網(wǎng)絡設備。網(wǎng)絡中心交換機與樓層交換、邊緣交換機系統(tǒng)我們選用全套H3C公司的系列產(chǎn)品。之所以選用該公司該系列的產(chǎn)品，主要是因為H3C公司是目前在世界上領先的網(wǎng)絡設備制造廠商，它提供的軟、硬件無論從技術上或是服務上都是可靠、可信和領先的。而且由于H3C在網(wǎng)絡界的地位，其它各大廠商的設備均與H3C的設備兼容，因此H3C網(wǎng)絡的兼容性和可擴充性都是非常良好的。世界上各主要金融、郵電、甚至軍事等網(wǎng)絡需求十分高的機構都選用H3C公司產(chǎn)品。根據(jù)我們經(jīng)過幾種世界知名的網(wǎng)絡產(chǎn)品在主交換機上的性能比較，不論何種指標H3C的產(chǎn)品在同檔次的交換機中處于領先地位。我們也本著實事求是的原則推薦這種世界著名品牌。核心交換、接入層交換均選用H3C的設備。網(wǎng)絡技術選型設計網(wǎng)絡的設計、實施、擴容時都會面臨著以下三個問題，尤其是一個大型網(wǎng)絡以下問題尤為突出。這就是：介質擁擠問題；協(xié)議擁擠問題和骨干擁擠問題。為了保證網(wǎng)絡應用水平能充分適應當今日新月異的網(wǎng)絡應用、多媒體應用需求，并滿足未來幾年的網(wǎng)絡升級及擴容需求，則首先應該解決好以上三個問題。介質擁擠問題由于以太網(wǎng)所采用的CSMA/CD技術本身的原因，有可能整個以太網(wǎng)為一個碰撞域，該網(wǎng)絡上的每一臺機器在發(fā)送信息幀之前會對網(wǎng)絡進行偵聽，如網(wǎng)絡已被其它工作站所占用，則其會隨機等待一段時間后，再進行偵聽，如網(wǎng)絡空閑，則進行信息發(fā)送，如網(wǎng)絡仍然繁忙，則其繼續(xù)重復偵聽過程。如果多個站點同時在網(wǎng)絡上進行傳輸，則會產(chǎn)生碰撞，這時各站點則會向網(wǎng)絡上發(fā)送“Jam”包，以強化這種碰撞結果，以便網(wǎng)上的所有站點都能偵聽到網(wǎng)絡碰撞。同時這些站點隨機等待一段時間后又進入下一輪嘗試。由此可見，當網(wǎng)絡上有碰撞時會造成網(wǎng)絡的巨大浪費。例如，針對10M以太網(wǎng)，網(wǎng)絡上僅有2個沖突的節(jié)點，當網(wǎng)絡利用率為100%時，以太網(wǎng)的流通量最大可達7Mbps。而當同一以太網(wǎng)上有200個沖突節(jié)點時，則網(wǎng)絡利用率的上限為37%，而實際網(wǎng)絡的流通量僅為2.5Mbps。所以對于一個大部門來說共享式的以太網(wǎng)介質已經(jīng)成為了通信的瓶頸。這種介質擁擠問題可以通過橋接的方式來進行解決。通過二層的橋接器的連接，可以通過對信息幀目標地址（MAC地址）的識別對信息幀進行過濾，從而把一個大的碰撞域劃分為一個一個的小的碰撞域減小網(wǎng)絡的介質碰撞，即對網(wǎng)絡進行微網(wǎng)段化。局域網(wǎng)交換機就好象是多口的高速網(wǎng)橋，它可以具有網(wǎng)橋的所有或部分的功能，另外它還帶有CPU及高速底板，能提供并行的高速交換通道，根據(jù)不同產(chǎn)品可分為存貯轉發(fā)式、直通式等交換方式。這樣，在任一時刻多個數(shù)據(jù)流域就可通過同一臺以太網(wǎng)交換機進行數(shù)據(jù)交互，而相互之間沒有影響。而不象傳統(tǒng)以太網(wǎng)那樣，在任一時刻在同一以太網(wǎng)上只有一個數(shù)據(jù)流能進行傳送。所以通過交換機的快速橋接功能使以往的一個大的共享網(wǎng)段變成了一個個小的獨享網(wǎng)段，從而保證了每個小的獨享網(wǎng)段能獲得足夠的帶寬，從而解決網(wǎng)絡的介質擁擠問題。隨著現(xiàn)在芯片生產(chǎn)技術的進一步發(fā)展，產(chǎn)品規(guī)?；a(chǎn)的進一步發(fā)展，交換機將逐漸在集線間內取代HUB的位置。協(xié)議擁擠問題廣播在網(wǎng)絡中是一種必不可少的信息流量，很多協(xié)議都是運用廣播來進行路由的發(fā)現(xiàn)或進行服務信息廣播。如：IP的站點使用ARP來發(fā)現(xiàn)目的地的MAC地址，NOVELL服務器使用SAP來進行服務廣播，Appletalk運行ZIP（ZoneInformationProtocal）在網(wǎng)絡中傳遞路由信息。此外，諸如網(wǎng)絡管理也是通過SNMP（SimpleNetworkManagementProtocol）對網(wǎng)絡上的設備進行詢問而完成的。網(wǎng)絡上的廣播流量將會影響到網(wǎng)絡上的每一臺機器的運作。當廣播到達時，網(wǎng)絡上的每一臺站點都會花費一定的CPU時間對其進行處理。當網(wǎng)絡上的廣播特別多，產(chǎn)生廣播輻射或廣播風暴時，網(wǎng)絡廣播將嚴重影響到網(wǎng)絡上工作站的CPU性能，嚴重時甚至會造成整個網(wǎng)絡的癱瘓。根據(jù)測試，當網(wǎng)絡廣播為100個/秒時，一臺運行Solaris2.4操作系統(tǒng)的SunSPARC5工作站將丟失3%的CPU性能，而當廣播增加到1000個/秒時，CPU將損失10%的性能，而當廣播增多到3000個/秒時CPU將損失28%性能。為了解決上述協(xié)議上的廣播擁擠問題，我們可采用VLAN技術和第三層交換技術。VLAN可把一個大的IP（或IPX、DECNET等）網(wǎng)絡劃分為一個個小的邏輯IP子網(wǎng)。不同的IP子網(wǎng)采用第三層交換進行聯(lián)接。這樣，交換機不但能起到最佳路徑的選擇功能，同時還能對廣播進行隔離，每個子網(wǎng)即為一個廣播域，從而可對廣播輻射和廣播風暴進行有效控制。此外交換機還能進行流量管理、過濾、安全控制和介質轉換等功能。VLAN能防止某些網(wǎng)段發(fā)生的問題危及其它網(wǎng)段，起到網(wǎng)段間“防火墻”的作用。骨干擁擠問題隨著計算機技術的發(fā)展，計算機運用也發(fā)生了日新月異的變化，從純數(shù)據(jù)業(yè)務到OA系統(tǒng)與生產(chǎn)業(yè)務的結合，現(xiàn)在IP/TV、VOD、遠程教學、可視電話等多媒體技術等越來越多的網(wǎng)上運用對網(wǎng)絡的帶寬產(chǎn)生了巨大要求，一個MPEG-1圖象傳輸需要1.2~2.0Mbps,而一個MPEG-2則需要4-6Mbps的帶寬。網(wǎng)絡的傳輸能力，尤其是網(wǎng)絡骨干的傳輸能力就成為了組網(wǎng)的關鍵問題所在。目前主要的高速網(wǎng)絡傳輸技術主要有FastEthernet、千兆以太網(wǎng)和ATM等。千兆位以太網(wǎng)技術以簡單的以太網(wǎng)技術為基礎，為網(wǎng)絡主干提供1Gbps的帶寬。千兆位以太網(wǎng)技術以自然的方法來升級現(xiàn)有的以太網(wǎng)絡、工作站、管理工具和管理人員的技能。千兆位以太網(wǎng)與其他速度相當?shù)母咚倬W(wǎng)絡技術相比，價格低，同時比較簡單，例如保留以太網(wǎng)的幀格式、管理工具和對網(wǎng)絡概念上的認識。千兆位以太網(wǎng)同樣采用CSMA／CD協(xié)議，相同的幀格式和長度，就象10M以太網(wǎng)一樣。對于廣大用戶來說，這意味著他們的網(wǎng)絡投資可以得到保護，并且可以以較低的成本使原有的網(wǎng)絡升級到1Gbps而無需對用戶進行再培訓，也無需為額外的網(wǎng)絡協(xié)議進行投資。由于有這樣的特點和兼有支持全雙工操作的能力，千兆位以太網(wǎng)是局域網(wǎng)中10／100M千兆位以太網(wǎng)能夠提供更高的帶寬，并且成為有強大伸縮性的以太網(wǎng)家族的第三個成員。利用交換機或路由器可以與現(xiàn)有低速的以太網(wǎng)用戶和設備連接起來，因為千兆位以太網(wǎng)的幀格式與現(xiàn)有以太網(wǎng)技術相同，不需要對網(wǎng)絡做任何改變。這種升級方法使得千兆位以太網(wǎng)相對于其他高速網(wǎng)絡技術而言，在經(jīng)濟和管理性能方面都是較好的選擇。在Intranet應用中，有很多新的應用需求不斷出現(xiàn)，包括視頻和音頻。以前人們認為這些對時延要求高的應用只有在ATM這樣的網(wǎng)絡上才能實現(xiàn)，然而現(xiàn)在一些新技術（交換技術、視頻壓縮技術，如MPEG－2）、新協(xié)議（RTP、RTCP、RSVP等）和新標準（如802.1Q、802.1p等）的出現(xiàn)使得在局域網(wǎng)中千兆位以太網(wǎng)也可以較好地支持視頻和音頻等多媒體數(shù)據(jù)應用。千兆位以太網(wǎng)的設計非常靈活，幾乎對網(wǎng)絡結構沒有限制，可以是交換式、共享式的或基于路由器的?，F(xiàn)在正在應用的網(wǎng)絡互連技術，例如，特定IP交換技術和第三層的交換技術，都與千兆位以太網(wǎng)完全兼容。千兆位以太網(wǎng)可以通過共享集線器、交換機或路由器來實現(xiàn)。千兆位以太網(wǎng)支持新的交換機之間或交換機－工作站之間全雙工的連接模式，同時也支持半雙工連接模式以便與基于CSMA／CD存取方式的共享集線器連接。千兆位以太網(wǎng)使用的傳輸介質有光纖、5類非屏蔽雙絞線（UTP）或同軸電纜。IEEE802.3Z千兆位以太網(wǎng)任務小組在其主席CISCO公司的HowardFrazier先生的帶領下，已經(jīng)于1998年6月25日通過了千兆以太網(wǎng)的最終標準802.3Z，這一標準將成為所有千兆位以太網(wǎng)設備廠商共同遵守的基本標準。技術選型總結綜上所述，在網(wǎng)絡建設中所需要解決的3個問題則分別可由：交換技術、VLAN和第三層交換技術解決。對于北京畫中畫印刷有限公司我們建議采用千兆以太網(wǎng)交換技術作為其骨干，采用交換快速以太網(wǎng)技術作為接入層，以充分適應其目前及將來業(yè)務系統(tǒng)、OA系統(tǒng)及多媒體運用的需求，并降低投資規(guī)模，實現(xiàn)最高的性能價格比。VLAN（虛擬局域網(wǎng)）技術簡介虛擬局域網(wǎng)技術是近年來在計算機網(wǎng)絡領域興起的一項新的技術。虛擬局域網(wǎng)在邏輯上等于OSI七層模型上第二層的廣播域，它與具體的物理網(wǎng)及地理位置無關。在傳統(tǒng)的共享局域網(wǎng)或者交換局域網(wǎng)環(huán)境中，整個網(wǎng)絡處于同一個廣播域中（即所謂的同一個LAN），這樣當大量用戶發(fā)送廣播信息時容易形成廣播風暴，使得整個網(wǎng)絡癱瘓。虛擬網(wǎng)技術把傳統(tǒng)的廣播域按需要分割成各個獨立的廣播域（LAN），由于廣播域的縮小，網(wǎng)絡中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡的性能得到顯著的提高。在傳統(tǒng)的網(wǎng)絡技術中，網(wǎng)內用戶的移動、刪除或增加都需要在物理上對網(wǎng)絡設備進行設置。而在虛擬網(wǎng)環(huán)境中，網(wǎng)絡用戶的變更不需要重新對網(wǎng)絡設備進行設置，也就是說虛擬網(wǎng)技術具有自適應功能。我們可以利用虛擬網(wǎng)技術的這些特點將不同的部門或不同的應用系統(tǒng)分配于不同的VLAN之中，實現(xiàn)不同部門或不同應用系統(tǒng)的邏輯隔離。在傳統(tǒng)的網(wǎng)絡技術中，同一物理網(wǎng)段中的用戶在網(wǎng)絡層上很難實施安全措施，而在虛擬網(wǎng)絡環(huán)境中，不同的虛擬網(wǎng)絡間用戶之間的通信控制則可以做到。虛擬網(wǎng)間的安全與虛擬網(wǎng)間的通信方式有關，由于虛擬網(wǎng)間通信是通過路由實現(xiàn)的，路由器使得通信雙方不能直接連接，而路由器的包過濾或防火墻的功能可被用來對不同虛擬局域網(wǎng)間用戶的通信做逐項檢查，通信可以按照網(wǎng)絡管理人員的要求被允許或禁止，從而實現(xiàn)不同部門或不同應用系統(tǒng)間的訪問控制，提高了網(wǎng)絡的安全性。（網(wǎng)絡內部訪問的安全性）網(wǎng)絡方案設計網(wǎng)絡配置北京畫中畫印刷有限公司計算機網(wǎng)絡采用三級網(wǎng)絡結構，以滿足主干帶寬千兆、桌面接入達到10/100M的要求。內部網(wǎng)選用兩臺H3CS7506R路由交換機作為核心交換機，H3C3600作為接入層交換機。這種拓撲結構的優(yōu)點在于：網(wǎng)絡結構簡明，將數(shù)據(jù)所流經(jīng)的網(wǎng)絡環(huán)節(jié)降至最低，提高網(wǎng)絡的訪問速度，確保系統(tǒng)安全、有序、協(xié)調運行。網(wǎng)絡拓撲圖網(wǎng)絡地址規(guī)劃H3C支持IPv4和IPv6地址，可根據(jù)用戶數(shù)量，以方便網(wǎng)絡的路由管理，規(guī)劃地址時一定要為將來的發(fā)展留有余地。IP地址的分配應遵循以下幾個原則：唯一性：一個IP網(wǎng)絡中不能有兩個主機采用相同的IP地址簡單性：地址分配應簡單易于管理，降低網(wǎng)絡擴展的復雜性，簡化路由表的款項連續(xù)性：連續(xù)地址在層次結構網(wǎng)絡中易于進行路徑疊合(RouteSummarization)，大大縮減路由表，提高路由算法的效率可擴展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡規(guī)模擴展時能保證地址疊合所需的連續(xù)性靈活性：地址分配應具有靈活性，可借助可變長子網(wǎng)掩碼技術(VLSMVariable-LengthSubnetMask)，以滿足多種路由策略的優(yōu)化，充分利用地址空間。IP地址的劃分：IP地址的選擇方面：方案中我們建議使用保留地址作為IP地址段：在IEEE的標準中共有三段地址為私有地址，他們是：10.0.0.0~10.255.255.255、172.16.0.0~172.31.255.255、192.168.0.0~192.168.255.255,由于這些地址的地址范圍較大可以滿足大型城域網(wǎng)IP地址分配的需要、這些地址為保留地址是在Internet上不能使用的所以安全性較好，我們的地址分配方案選用了192.168.0.0~192.168.255.255這個網(wǎng)段。在防火墻上配置NAT，完成內部地址與外部地址的翻譯。內部網(wǎng)絡地址分配地址分配有兩種方法，分別是靜態(tài)指定和動態(tài)獲取。靜態(tài)指定的缺點是網(wǎng)絡管理開銷大、容易產(chǎn)生地址沖突。故而推薦用動態(tài)獲取的方式。當前動態(tài)獲取的技術主要是DHCP（動態(tài)主機配置協(xié)議），可以用WindowsServer2003實現(xiàn)DHCP服務器，也可以用多層交換機實現(xiàn)。下面簡單介紹該技術。DHCP“動態(tài)主機配置協(xié)議(DHCP)”是一種用于簡化主機IP配置管理的IP標準。通過采用DHCP標準，可以使用DHCP服務器為網(wǎng)絡上啟用了DHCP的客戶端管理動態(tài)IP地址分配和其他相關配置細節(jié)。TCP/IP網(wǎng)絡上的每臺計算機都必須有唯一的IP地址。IP地址（以及與之相關的子網(wǎng)掩碼）標識主機及其連接的子網(wǎng)。在將計算機移動到不同的子網(wǎng)時，必須更改IP地址。DHCP允許您通過本地網(wǎng)絡上的DHCP服務器IP地址數(shù)據(jù)庫為客戶端動態(tài)指派IP地址。對于基于TCP/IP的網(wǎng)絡，DHCP降低了重新配置計算機的難度，減少了涉及的管理工作量。DHCP為管理基于TCP/IP的網(wǎng)絡提供了以下好處：安全而可靠的配置DHCP避免了由于需要手動在每個計算機上鍵入值而引起的配置錯誤。DHCP還有助于防止由于在網(wǎng)絡上配置新的計算機時重新使用以前已分配的IP地址而引起的地址沖突。減少配置管理使用DHCP服務器可以大大降低用于配置和重新配置網(wǎng)上計算機的時間?？梢耘渲梅掌饕栽诜峙涞刂纷饧s時提供全部的其他配置值。這些值是使用DHCP選項分配的。另外，DHCP租約續(xù)訂過程還有助于確?？蛻舳擞嬎銠C配置需要經(jīng)常更新的情況（如使用移動或便攜式計算機頻繁更改位置的用戶），通過客戶端計算機直接與DHCP服務器通訊可以高效、自動地進行這些更改。VLAN的設計VLAN劃分如果網(wǎng)絡是一個平面化的網(wǎng)絡設計思路，所有交換機都工作在二層的狀態(tài)下，整個內部網(wǎng)絡處于一個廣播域中，內部網(wǎng)絡地址的規(guī)劃也只有一個IP子網(wǎng)。其缺點是廣播流量沒有被有效的隔離，內部網(wǎng)中的任何一臺計算機所發(fā)出的廣播消息會影響網(wǎng)內的所有計算機。如果廣播流量比較大，就會影響網(wǎng)絡的性能。因為如果廣播流量大，就會產(chǎn)生廣播風暴，對計算機網(wǎng)絡主要有兩個負面影響。第一：嚴重消耗計算機處理器的資源；第二：嚴重的浪費帶寬。這次網(wǎng)絡的主要設計思路是突破平面網(wǎng)絡，實現(xiàn)層次化的設計思想。通過VLAN（虛擬局域網(wǎng)）技術的實現(xiàn)，完成廣播域的劃分。一個VLAN就是一個廣播域，一個邏輯子網(wǎng)。實現(xiàn)vlan技術的主要優(yōu)點有三個，第一：隔離廣播，提高網(wǎng)絡性能；第二：相對提高網(wǎng)絡的安全性（不同vlan之間的用戶默認不能相互訪問）；第三：實現(xiàn)用戶的邏輯分組。在接入層和核心交換機上，我們可以根據(jù)業(yè)務需求或部門基于端口或MAC地址劃分不同的VLAN并使其與IP子網(wǎng)相符合。對于與核心交換機相連接的端口，我們將其設為VLAN的Trunk，這樣它將傳遞所有的VLAN信息和數(shù)據(jù)給相同VTP域的其它交換機，實現(xiàn)跨主干的VLAN(即不同樓層交換機的端口都屬于同一個VLAN)VLAN的Trunking技術可以選802.1Q。通過vlan技術的實現(xiàn)，做到了服務器和客戶機的有效隔離，即使客戶機將IP地址靜態(tài)配置為和某臺服務器相同，也不會再產(chǎn)生地址沖突的問題了，結果是客戶機不能聯(lián)網(wǎng)。這在沒有劃分vlan之前是一個比較突出的問題。VLAN間路由默認的情況下，不同vlan的用戶是不能互相訪問的。由于我們這次vlan劃分的主要目的是為了隔離廣播流量，提高網(wǎng)絡性能，但是不同vlan的用戶還要允許訪問，所以要實現(xiàn)vlan間的路由技術。在此我們使用的是SVI（switchvirtualinterface）技術。在匯聚層交換機上創(chuàng)建SVI接口，為每一個vlan創(chuàng)建一個，地址設置為192.168.x.254/24（x是vlan號），這樣在匯聚層交換機上自動生成多條直連路由，由于DHCP給客戶端分配的網(wǎng)關地址就是SVI地址，從而所有不同vlan間的用戶就可以通訊了。本地互切技術：STP（生成樹協(xié)議）生成樹協(xié)議（STP）是為克服冗余網(wǎng)絡中透明橋接的問題而創(chuàng)建的。STP的目的是通過協(xié)商一條到根網(wǎng)橋的無環(huán)路路徑來避免和消除網(wǎng)絡中的環(huán)路，它通過判定網(wǎng)絡中存在環(huán)路的地方并阻斷冗余鏈路來實現(xiàn)這個目的。通過這種方式，它確保到每個目的地都有一個路徑，所以永遠不會產(chǎn)生橋接環(huán)路。如果某條鏈路失效了，因為根網(wǎng)橋知道還存在著冗于鏈路，它就會啟用它先前關掉的這條冗余鏈路。這就是說有些端口需要被關閉或置為非轉發(fā)模式。這些端口仍然知道網(wǎng)絡的拓撲結構，并且，如果正在轉發(fā)數(shù)據(jù)的鏈路失效了，它們就可以被啟用了。生成樹協(xié)議執(zhí)行一種被稱為生成樹算法（STA）的算法。在一個擴展的局域網(wǎng)中參與STP的所有交換都通過數(shù)據(jù)消息的交換來獲取網(wǎng)絡中其他交換機的信息，這些消息被稱為橋接協(xié)議數(shù)據(jù)單元（BPDU）。BPDU在每個端口上每兩秒發(fā)送一次以確保一個穩(wěn)定的，無環(huán)路的拓撲結構。選舉根網(wǎng)橋建立無環(huán)路生成樹的第一步是選舉一個根網(wǎng)橋，它是所有交換機用來決定網(wǎng)絡中是否存在環(huán)路的參考點。在開始啟動時，交換機假設它是根網(wǎng)橋并將網(wǎng)橋ID設置為根ID。當選舉完根網(wǎng)橋之后，每臺交換機必須與根網(wǎng)橋建立關聯(lián)。這是通過偵聽從其各個端口進入的BPDU進行的。如果能在多個端口上接收到同一個BPDU就說明存在著到根網(wǎng)橋的冗余路徑。交換機首先查看路徑開銷以判斷出哪個端口正在接收低開銷的路徑。路徑開銷是根據(jù)鏈路速率和BPDU從根網(wǎng)橋到達本地端口所經(jīng)過的鏈路數(shù)量而計算出來的。路徑開銷由源和目的地之間的鏈路開銷總和確定。如果一個端口有最低的路徑開銷，它將被置于轉發(fā)模式，接收BPDU的所有其他端口將被置于阻斷模式。如果各端口接收到的BPDU的路徑開銷相同，那么交換機將查看網(wǎng)橋ID以決定哪個端口應該進行轉發(fā)，有最低網(wǎng)橋ID的端口將被選為轉發(fā)端口，所有其他端口將被阻斷，如果路徑開銷和網(wǎng)橋ID都相同，端口ID最低的被轉發(fā)所有其他端口被阻斷。交換機安全技術端口安全，可以通過限制允許訪問交換機上某個端口的MAC地址以及IP(可選)來實現(xiàn)嚴格控制對該端口的訪問，保證只有合法的用戶才能聯(lián)網(wǎng)。通過動態(tài)主機配置協(xié)議（DHCP）監(jiān)聽，可只允許不信任用戶端口的DHCP請求（但不允許響應）進行傳輸，從而阻止了DHCP電子欺騙。在DHCP監(jiān)聽功能的基礎上，可通過動態(tài)ARP檢測和IP源防護阻止IP地址欺騙，交換機上的這些功能可以更好的實現(xiàn)網(wǎng)絡的安全。網(wǎng)絡設備介紹CISCO3825適用于需要以下特性的公司Cisco3825集成業(yè)務路由器—低密度（最多88個端口），集成10/100交換；最高360W思科饋線電源或以太網(wǎng)供電（PoE）；IPSec集成板載安全加速，用于改進IPSec性能，是思科自防御網(wǎng)絡必不可少的組成部分，支持網(wǎng)絡設備保護、威脅防御、安全連接和終端保護及控制。Cisco3825集成多業(yè)務路由器適用于大中型分支機構和企業(yè)，能以高達一半T3/E3的線速支持并發(fā)數(shù)據(jù)、安全、語音和高級服務。產(chǎn)品特性產(chǎn)品特性特性Cisco3825網(wǎng)絡模塊插槽2高級集成模塊（AIM）插槽2高速廣域網(wǎng)接口卡（HWIC）插槽410/100/1000GE端口2小型可插拔（SFP）端口1板載PVDM插槽4廣域網(wǎng)網(wǎng)絡模塊有ATMAIM模塊有語音/傳真網(wǎng)絡模塊有廣域網(wǎng)接口卡（WIC）模塊有Multi?ex語音/廣域網(wǎng)接口卡有語音接口卡（VIC）模塊有調制解調器模塊有EtherSwitch模塊有，HWIC和網(wǎng)絡模塊服務性能最高14T1/E1VPN/安全高級集成模塊（AIM）有，AIM-VPN/EPII-PLUS內容引擎網(wǎng)絡模塊有閃存（外部）64MB（缺?。?56MB（可選）DRAM內存256MB（缺省）－1024MB（最大）電源AC，AC+POE，DC，外部冗余AC規(guī)格（高×寬×長）3.5x17.1x14.7英寸CISCO3825Cisco3825集成業(yè)務路由器，帶2個千兆以太網(wǎng)接口，1SFP，2NME，4HWIC，2AIM，CiscoIOSIPBase軟件和交流電源CISCO3825-AC-IPCisco3825集成業(yè)務路由器，帶2個千兆以太網(wǎng)接口，1SFP，2NME，4HWIC，2AIM，CiscoIOSIPBase軟件，交流電源和PoECISCO3825-DCCisco3825集成業(yè)務路由器，帶2個千兆以太網(wǎng)接口，1SFP，2NME，4HWIC，2AIM，CiscoIOSIPBase軟件和直流電源CiscoCatalyst3560系列交換機●第二到四層交換和智能服務，支持動態(tài)IP路由和IPv6●快速以太網(wǎng)和千兆以太網(wǎng)連接●最多48個10/100/1000端口和4個小型可插拔（SFP）端口WS-C3560G-24TS-SCiscoCatalyst3560G-2410/100/1000T+4SFP標準鏡像轉發(fā)寬帶32（GBPS）每秒分組數(shù)38.7（MPPS）支持MAC地址12000支持的路由11000板載內存128/32MB千兆以太網(wǎng)410/100/1000密度2410/100密度0測得的100%吞吐74交流/直流支持僅限交流規(guī)格（高×寬×長）1.73×17.5×14.9英寸（4.4×44.5×37.8厘米）設備重量12磅(5.4公斤)CiscoCatalyst2918系列CiscoCatalyst2918系列交換機是面向中國市場中小規(guī)模網(wǎng)絡部署的入門級固定配置交換機。Catalyst2918采用簡體中文的設備面板和圖形化界面，以特優(yōu)的性價比，為入門級配線間和小型分支機構提供桌面快速以太網(wǎng)和千兆上行網(wǎng)絡連接。CiscoCatalyst2918系列通過提供完備的入門級安全策略、服務質量（QoS）和可用性功能，降低了企業(yè)網(wǎng)絡總體擁有成本。該系列交換機還為中國企業(yè)用戶提供了從非智能集線器和不可管理的交換機向便于擴展的可管理網(wǎng)絡遷移的簡便的途徑。CiscoCatalyst2918交換機提供：WS-C2918-48TT-C48個10/100以太網(wǎng)端口●2個10/100/1000BASE-T上行端口●1RU固定配置●兩種千兆上行方式：－基于銅纜和光纖雙重用途的千兆以太網(wǎng)端口，每個雙重用途的上行端口都有一個10/100/1000