網(wǎng)絡(luò)建設(shè)方案

1、XX公司網(wǎng)絡(luò)建設(shè)設(shè)計(jì)方案前言企業(yè)局域網(wǎng)伴隨著Internet的成長(zhǎng)而高速的發(fā)展，到現(xiàn)在已經(jīng)形成了完整的體系結(jié)構(gòu)和解決方案。但要設(shè)計(jì)一個(gè)完善和健壯的企業(yè)網(wǎng)絡(luò)是非常不容易的，因?yàn)檫@涉及到很多復(fù)雜的細(xì)節(jié)問(wèn)題。首先是收集企業(yè)的網(wǎng)絡(luò)辦公需求，然后根據(jù)需求來(lái)設(shè)計(jì)企業(yè)網(wǎng)絡(luò)，本設(shè)計(jì)是針對(duì)中型企業(yè)的網(wǎng)絡(luò)，所以辦公需求并不復(fù)雜。在分析完整需求后，根據(jù)網(wǎng)絡(luò)的特點(diǎn)分成硬件和軟件的設(shè)計(jì)。硬件設(shè)計(jì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)，其中分成三個(gè)模塊的設(shè)計(jì)：交換機(jī)模塊、防火墻模塊和服務(wù)器模塊的設(shè)計(jì)，重點(diǎn)是交換機(jī)模塊的設(shè)計(jì)。軟件設(shè)計(jì)就是在這些硬件的基礎(chǔ)上實(shí)施各種高級(jí)的應(yīng)用服務(wù)如DNS、DHCP、WEB、FTP和各種企業(yè)應(yīng)用軟件和數(shù)據(jù)庫(kù)系統(tǒng)。

2、全球性的國(guó)際計(jì)算機(jī)互聯(lián)網(wǎng)Internet的迅速發(fā)展和普及，改變了整個(gè)信息產(chǎn)業(yè)的面貌，使信息技術(shù)產(chǎn)業(yè)從以計(jì)算機(jī)為中心發(fā)展到以網(wǎng)絡(luò)為中心，并為計(jì)算機(jī)技術(shù)在工業(yè)、商業(yè)、教育及科研等領(lǐng)域中的應(yīng)用提供了一個(gè)全新的網(wǎng)絡(luò)通信環(huán)境，也從根本上加強(qiáng)并促進(jìn)了群體工作成員之間的信息交流、資源共享、科學(xué)計(jì)算及技術(shù)合作等，進(jìn)而推動(dòng)了教育事業(yè)、科研及生產(chǎn)的發(fā)展。Internet是一個(gè)全球性的開(kāi)放的信息互連網(wǎng)絡(luò)，它是以一系列關(guān)鍵支撐技術(shù)為核心發(fā)展起來(lái)的新興領(lǐng)域，為人們提供了嶄新的網(wǎng)絡(luò)計(jì)算環(huán)境。隨著互聯(lián)網(wǎng)的蓬勃發(fā)展，其巨大的潛力已經(jīng)逐漸體現(xiàn)出來(lái)，一些互聯(lián)網(wǎng)企業(yè)涉足傳統(tǒng)產(chǎn)業(yè)已經(jīng)取得了不菲的業(yè)績(jī)，如運(yùn)用網(wǎng)絡(luò)概念多次融資，并利用網(wǎng)

3、絡(luò)優(yōu)勢(shì)通過(guò)并購(gòu)的方式切入旅行服務(wù)行業(yè)的攜程；其次，就是互聯(lián)網(wǎng)在傳播和獲取信息上的優(yōu)勢(shì)；再者，就是企業(yè)想利用內(nèi)外部網(wǎng)絡(luò)進(jìn)行有效的管理，提高管理效率：上述三大因素可以看作企業(yè)建網(wǎng)的主要的原因。因此，可以這樣講，企業(yè)建網(wǎng)的最終目的和它的經(jīng)營(yíng)策略是吻合的，就是通過(guò)網(wǎng)絡(luò)來(lái)降低企業(yè)的管理成本和交易成本以及通過(guò)開(kāi)展電子商務(wù)活動(dòng)來(lái)獲得更多的利潤(rùn)。目錄第一章 網(wǎng)絡(luò)設(shè)計(jì)原則與需求分析41.1 網(wǎng)絡(luò)設(shè)計(jì)原則41.2 網(wǎng)絡(luò)設(shè)計(jì)需求分析5第二章 網(wǎng)絡(luò)設(shè)計(jì)解決方案62.1 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃62.2 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)72.3 網(wǎng)絡(luò)設(shè)備選型72.4 網(wǎng)絡(luò)IP地址規(guī)劃142.5網(wǎng)絡(luò)設(shè)計(jì)技術(shù)方案特點(diǎn)16第三章 網(wǎng)絡(luò)設(shè)計(jì)技術(shù)分析173

4、.1企業(yè)網(wǎng)絡(luò)技術(shù)分類173.2 企業(yè)網(wǎng)中的路由技術(shù)183.3 企業(yè)網(wǎng)中的交換技術(shù)193.4 企業(yè)網(wǎng)中的遠(yuǎn)程接入技術(shù)21第四章 網(wǎng)絡(luò)實(shí)施方案234.1 項(xiàng)目實(shí)施步驟234.2 項(xiàng)目實(shí)施管理234.3 測(cè)試與驗(yàn)收說(shuō)明23第五章 配置舉例255.1 網(wǎng)絡(luò)拓?fù)?55.2 設(shè)備配置信息（NGAF、AC）25第一章 網(wǎng)絡(luò)設(shè)計(jì)原則與需求分析1.1 網(wǎng)絡(luò)設(shè)計(jì)原則XX公司網(wǎng)絡(luò)主要用于公司內(nèi)部日常辦公需求和通信，網(wǎng)絡(luò)建設(shè)可參考以下原則：1、 高效性公司內(nèi)部在進(jìn)行日常辦公和通信時(shí)網(wǎng)絡(luò)一定要及時(shí)高效。業(yè)務(wù)的處理。2、 可靠性公司內(nèi)部通信辦公都需要一個(gè)可靠的網(wǎng)絡(luò)來(lái)支持，可靠的網(wǎng)絡(luò)是確保公司日常業(yè)務(wù)正常發(fā)展的關(guān)3、 獨(dú)立

5、性公司某些部門之間有不同的業(yè)務(wù)，各自獨(dú)立于其他部門，像公司財(cái)務(wù)部就應(yīng)該獨(dú)立出來(lái)，其他部門在沒(méi)有授權(quán)的情況下無(wú)法訪問(wèn)財(cái)務(wù)部的業(yè)務(wù)網(wǎng)絡(luò)。4、 實(shí)用性網(wǎng)絡(luò)設(shè)計(jì)一定要充分保護(hù)網(wǎng)絡(luò)系統(tǒng)現(xiàn)有資源。同時(shí)要根據(jù)實(shí)際情況，采用新技術(shù)和新裝備，還需要考慮組網(wǎng)過(guò)程要與平臺(tái)建設(shè)及開(kāi)發(fā)同步進(jìn)行，建立一個(gè)實(shí)用的網(wǎng)絡(luò)。力求使網(wǎng)絡(luò)既滿足目前需要，又能適應(yīng)未來(lái)發(fā)展，同時(shí)達(dá)到較好的性能/價(jià)格比。5、 網(wǎng)絡(luò)的可管理網(wǎng)絡(luò)系統(tǒng)有限公司的網(wǎng)絡(luò)是一條信息公路，設(shè)計(jì)時(shí)必須提供足夠的手段對(duì)信息公路進(jìn)行方便的管理，以確保其始終保持在最佳狀態(tài)下運(yùn)行。沒(méi)有網(wǎng)絡(luò)管理功能將很難保證系統(tǒng)的正常運(yùn)行。1.2 網(wǎng)絡(luò)設(shè)計(jì)需求分析為確保XX公司企業(yè)網(wǎng)絡(luò)建設(shè)和應(yīng)用

6、的成功，對(duì)網(wǎng)絡(luò)方案的設(shè)計(jì)大致可歸納出哪些的需求。1、在公司內(nèi)部的局域網(wǎng)范圍內(nèi)，采用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，結(jié)合應(yīng)用需求，實(shí)現(xiàn)內(nèi)部用戶訪問(wèn)公網(wǎng)的目的。2、在部門局域網(wǎng)中，實(shí)現(xiàn)文件共享，打印共享等功能。3、對(duì)內(nèi)網(wǎng)應(yīng)用實(shí)現(xiàn)MAC過(guò)濾，ACL規(guī)則過(guò)濾，VLAN劃分等。4、系統(tǒng)應(yīng)有高可靠性、安全性、可維護(hù)性和可擴(kuò)充性，要具有良好的用戶界面。第二章 網(wǎng)絡(luò)設(shè)計(jì)解決方案2.1 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃 我們將XX公司的內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)為兩級(jí)層級(jí)： 接入層 核心層 這樣規(guī)劃一是能夠有良好的層次感，利于實(shí)現(xiàn)較為復(fù)雜的網(wǎng)絡(luò)功能要求；二是這樣分層能夠使每層的功能較容易實(shí)現(xiàn)也較清楚；三是采用這種分層方式可以支持較大的網(wǎng)絡(luò)規(guī)模便于企業(yè)網(wǎng)的升級(jí)

7、擴(kuò)大。2.1.1 接入層 接入層主要作用是使各個(gè)信息節(jié)點(diǎn)接入內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)互聯(lián)。 接入層部署在各個(gè)樓層，為使各終端更方便連接網(wǎng)絡(luò)，接入層應(yīng)具有和節(jié)點(diǎn)距離短易操作，可擴(kuò)展等特點(diǎn)。2.1.2 核心層核心層主要作用是連接各個(gè)局域網(wǎng)，連接各接入層的通信。核心層的特點(diǎn)是使整個(gè)網(wǎng)絡(luò)穩(wěn)定高效的運(yùn)行。 2.2 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)2.3 網(wǎng)絡(luò)設(shè)備選型2.3.1 設(shè)備選型原則l 代表目前網(wǎng)絡(luò)系統(tǒng)設(shè)備的先進(jìn)水平。l 具備較強(qiáng)的安全性。l 具備優(yōu)良的RAS性能-可靠性、可用性、可維護(hù)性。l 具備優(yōu)良的可擴(kuò)充性和升級(jí)能力。l 具備優(yōu)良的性能價(jià)格比，根據(jù)現(xiàn)在的需求和可以預(yù)見(jiàn)的需求增長(zhǎng)情況設(shè)計(jì)網(wǎng)絡(luò)，不追求空洞的技術(shù)先進(jìn)性，避免追

8、求高檔和最新技術(shù)花費(fèi)的巨大代價(jià)。基于以上原則，我們?yōu)閄X公司網(wǎng)絡(luò)建設(shè)選用H3C公司和深信服公司的系列產(chǎn)品，以確保網(wǎng)絡(luò)實(shí)用與性價(jià)比。2.3.2 接入層交換機(jī)選型XX公司的接入層交換機(jī)均選用S3100-26C-SI，該款交換機(jī)它是一個(gè)全新的、固定配置的獨(dú)立設(shè)備系列，提供桌面快速以太網(wǎng)和10/100以太網(wǎng)連接，適用于入門級(jí)企業(yè)、中型市場(chǎng)和分支機(jī)構(gòu)網(wǎng)絡(luò)，有助于提供增強(qiáng)LAN服務(wù)。H3C S3100-SI千兆以太網(wǎng)交換機(jī)具有千兆上行、可堆疊、無(wú)風(fēng)扇靜音設(shè)計(jì)、完備的安全和QoS控制策略等特點(diǎn)，滿足企業(yè)用戶多業(yè)務(wù)融合、高安全、可擴(kuò)展、易管理的建網(wǎng)需求，適合行業(yè)、企業(yè)網(wǎng)、寬帶小區(qū)的接入和中小企業(yè)、分支機(jī)構(gòu)匯聚

9、交換機(jī)。該系列還包括一系列針對(duì)網(wǎng)絡(luò)管理員所作的硬件改進(jìn)，包括具有集成安全特性，包括支持命令行接口(CLI),Telnet,Console口進(jìn)行配置;支持HGMP v2集群管理;支持SNMP v1/v2/v3，WEB網(wǎng)管;支持RMON 1，2，3，9組MIB;支持H3C iMC智能管理中心。 H3C S3100-SI系列提供了以下優(yōu)勢(shì)：為網(wǎng)絡(luò)邊緣提供了智能特性，如先進(jìn)的訪問(wèn)控制列表 (ACL)和增強(qiáng)安全特性。 雙介質(zhì)上行鏈路端口提供了千兆以太網(wǎng)上行鏈路靈活性，可以使用銅纜或光纖上行鏈路端口。每個(gè)雙介質(zhì)上行鏈路端口都有一個(gè)10/100以太網(wǎng)端口和一個(gè)SFP千兆以太網(wǎng)端口，在使用時(shí)其中一個(gè)端口激活，

10、但不能同時(shí)使用這兩個(gè)端口。通過(guò)高級(jí)QoS、精確速率限制、ACL和組播服務(wù)，實(shí)現(xiàn)了網(wǎng)絡(luò)控制和帶寬優(yōu)化。 通過(guò)多種驗(yàn)證方法、數(shù)據(jù)加密技術(shù)和基于用戶、端口和MAC地址的網(wǎng)絡(luò)準(zhǔn)入控制，實(shí)現(xiàn)了網(wǎng)絡(luò)安全性。 通過(guò)嵌入式設(shè)備管理器，簡(jiǎn)化了網(wǎng)絡(luò)配置、升級(jí)和故障排除，可作為中型市場(chǎng)或分支機(jī)構(gòu)解決方案的一部分。 主要參數(shù) 端口參數(shù) 功能特性 其它參數(shù) 保修信息主要參數(shù) 產(chǎn)品類型智能交換機(jī) 應(yīng)用層級(jí)二層 傳輸速率10Mbps/100Mbps/1000Mbps 交換方式存儲(chǔ)-轉(zhuǎn)發(fā) 背板帶寬19.6Gbps MAC地址表8K端口參數(shù) 端口結(jié)構(gòu)非模塊化 端口數(shù)量24 擴(kuò)展模塊2 接口介質(zhì)10/100BASE-TX 傳輸模

11、式全雙工/半雙工自適應(yīng)功能特性 網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE 802.1Q、IEEE 802.1D、IEEE 802.3x、IEEE 802.1p、IEEE 802.1X 堆疊功能可堆疊 VLAN支持 QOS支持 網(wǎng)絡(luò)管理支持命令行接口(CLI),Telnet,Console口進(jìn)行配置;支持HGMP v2集群管理;支持SNMP v1/v2/v3，WEB網(wǎng)管;支持RMON 1，2，3，9組MIB;支持H3C iMC智能管理中心 安全管理支持其它參數(shù) 電源電壓AC:額定電壓范圍:100V-240V 50/60Hz、最大電壓范圍:90V-264V 47/63Hz 產(chǎn)品尺寸43624042 產(chǎn)品重量小于3.2 環(huán)

12、境標(biāo)準(zhǔn)工作溫度:0-45、工作濕度:10%-90%(非凝露)2.3.3 核心層交換機(jī)選型司核心交換機(jī)選用H3C 5500-28C-EI,該款交換機(jī)產(chǎn)品支持IRF3（Intelligent Resilient Framework 3）縱向虛擬化技術(shù)，通過(guò)將接入設(shè)備作為遠(yuǎn)程接口板加入主設(shè)備系統(tǒng)，在縱向維度上將核心層設(shè)備和接入層設(shè)備虛擬為一臺(tái)邏輯設(shè)備，以達(dá)到擴(kuò)展I/O端口能力和進(jìn)行集中控制管理的目的。IRF3技術(shù)可以簡(jiǎn)化管理，大幅度降低網(wǎng)絡(luò)管理節(jié)點(diǎn)；簡(jiǎn)化布線壓縮網(wǎng)絡(luò)層級(jí)，最終實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)平面虛擬化。IRF3縱向虛擬化技術(shù)可以為用戶帶來(lái)以下好處：統(tǒng)一管理：IRF3架構(gòu)形成之后，連接到主設(shè)備就可以集中配

13、置和管理架構(gòu)內(nèi)的所有成員，而不用物理連接到每臺(tái)成員設(shè)備上單獨(dú)配置。統(tǒng)一安全策略：整網(wǎng)的安全策略只需在主設(shè)備上進(jìn)行配置，避免了對(duì)全網(wǎng)設(shè)備逐一配置所帶來(lái)的潛在策略沖突，并大幅降低了安全部署工作量。簡(jiǎn)化網(wǎng)絡(luò)層級(jí)：支持大規(guī)模的遠(yuǎn)程接口板擴(kuò)展能力，傳統(tǒng)需要三層網(wǎng)絡(luò)架構(gòu)才能實(shí)現(xiàn)的組網(wǎng)結(jié)構(gòu)通過(guò)IRF3可以簡(jiǎn)化為二層組網(wǎng)，網(wǎng)絡(luò)的物理和邏輯層次更為簡(jiǎn)化，布線更加簡(jiǎn)單。簡(jiǎn)化業(yè)務(wù)：IRF3架構(gòu)中的各種業(yè)務(wù)配置基于單一邏輯設(shè)備進(jìn)行配置，這樣可以大幅簡(jiǎn)化整網(wǎng)的VLAN、IP、路由、Mpls等規(guī)劃注意事項(xiàng)。方便維護(hù)：所有接入設(shè)備的配置和軟件版本均由主設(shè)備自動(dòng)分配，新增設(shè)備的加入或離開(kāi)時(shí)可以實(shí)現(xiàn)“熱插拔”和零配置，不影響其

14、他設(shè)備的正常運(yùn)行，整網(wǎng)的故障排除也是單點(diǎn)的。 主要參數(shù) 端口參數(shù) 功能特性 其它參數(shù) 保修信息主要參數(shù) 產(chǎn)品類型企業(yè)級(jí)交換機(jī) 應(yīng)用層級(jí)三層 傳輸速率10Mbps/100Mbps/1000Mbps/10000Mbps 交換方式存儲(chǔ)-轉(zhuǎn)發(fā) 背板帶寬256Gbps 包轉(zhuǎn)發(fā)率96Mpps MAC地址表32K端口參數(shù) 端口結(jié)構(gòu)非模塊化 端口數(shù)量28個(gè) 端口描述24個(gè)10/100/1000Base-T以太網(wǎng)端口，4個(gè)復(fù)用的1000Base-X千兆SFP端口 控制端口1個(gè)Console口 擴(kuò)展模塊2個(gè)擴(kuò)展插槽 傳輸模式支持全雙工功能特性 堆疊功能可堆疊 VLAN支持基于端口的VLAN（4K個(gè)）支持基于MAC

15、的VLAN基于協(xié)議的VLAN基于IP子網(wǎng)的VLAN支持QinQ，靈活QinQ支持VLAN Mapping支持Voice VLAN支持GVRP QOS支持L2-L4包過(guò)濾功能支持時(shí)間段ACL支持入方向和出方向的雙向ACL策略支持基于VLAN下發(fā)ACL支持對(duì)端口接收?qǐng)?bào)文的速率和發(fā)送報(bào)文的速率進(jìn)行限制支持報(bào)文重定向支持CAR功能每個(gè)端口支持8個(gè)輸出隊(duì)列支持靈活的隊(duì)列調(diào)度算法，可以同時(shí)基于端口和隊(duì)列進(jìn)行設(shè)置，支持SP、WRR、SP+WRR三種模式支持報(bào)文的802.1p和DSCP優(yōu)先級(jí)重新標(biāo)記 組播管理支持IGMP Snooping v1/v2/v3，MLD Snooping v1/v2支持組播VLAN

16、支持IGMP v1/v2/v3，MLD v1/v2支持PIM-DM，PIM-SM，PIM-SSM支持MSDP，MSDP for IPv6支持MBGP，MBGP for IPv6 網(wǎng)絡(luò)管理支持XModem/FTP/TFTP加載升級(jí)支持命令行接口（CLI），Telnet，Console口進(jìn)行配置支持SNMPv1/v2/v3，WEB網(wǎng)管支持RMON告警、事件、歷史記錄支持iMC智能管理中心支持系統(tǒng)日志，分級(jí)告警，調(diào)試信息輸出支持HGMPv2支持NTP支持電源的告警功能，風(fēng)扇、溫度告警支持Ping、Tracert支持VCT電纜檢測(cè)功能支持DLDP單向鏈路檢測(cè)協(xié)議支持LLDP支持Loopback-det

17、ection端口環(huán)回檢測(cè) 安全管理支持用戶分級(jí)管理和口令保護(hù)支持802.1X認(rèn)證/集中式MAC地址認(rèn)證支持Guest VLAN支持RADIUS認(rèn)證支持SSH 2.0支持端口隔離支持端口安全支持PORTAL認(rèn)證支持EAD可支持DHCP Snooping，防止欺騙的DHCP服務(wù)器支持動(dòng)態(tài)ARP檢測(cè)，防止中間人攻擊和ARP拒絕服務(wù)支持BPDU guard，Root guard支持uRPF(單播反向路徑檢測(cè))，杜絕IP源地址欺騙，防范病毒和攻擊支持IP/Port/MAC的綁定功能支持OSPF、RIPv2報(bào)文的明文及MD5密文認(rèn)證其它參數(shù) 電源電壓AC 100-240V，50-60Hz 產(chǎn)品尺寸4404

18、2043.6mm 產(chǎn)品重量6kg 環(huán)境標(biāo)準(zhǔn)工作溫度：0-45工作濕度：10%-90%（非凝露）2.3.4 防火墻選型公司出口防火墻選用深信服NGAF下一代防火墻。該防火墻是一款智能防火墻，可識(shí)別應(yīng)用層的數(shù)據(jù)。并采用了防應(yīng)用層攻擊、雙向內(nèi)容檢測(cè)、應(yīng)用層高性能、涵蓋傳統(tǒng)安全等特點(diǎn)和新技術(shù)。2.3.5 上網(wǎng)行為監(jiān)控選型 公司上網(wǎng)行為監(jiān)控選用深信服上網(wǎng)行為管理（AC），可幫用戶解決以下問(wèn)題： 1、帶寬濫用，上網(wǎng)速度慢（P2P流量超過(guò)一半，訪問(wèn)網(wǎng)頁(yè)，ERP等無(wú)法順利進(jìn)行，帶寬無(wú)法有效的分配和利用）2、工作效率下降（上班時(shí)間網(wǎng)絡(luò)聊天、炒股、網(wǎng)游、看新聞等行為泛濫）3、機(jī)密信息被泄露，信息安全遭威脅（上網(wǎng)授

19、權(quán)缺失，用戶肆意上網(wǎng)，為通過(guò)網(wǎng)絡(luò)泄密提供了通道，泄密后無(wú)據(jù)可查，責(zé)任難追究)4、違法網(wǎng)絡(luò)行為為企業(yè)帶來(lái)法律風(fēng)險(xiǎn)（肆意瀏覽色情、反動(dòng)網(wǎng)站，若無(wú)具體日志記錄，無(wú)法舉證追蹤）5、安全威脅頻發(fā)、上網(wǎng)環(huán)境惡化（互聯(lián)網(wǎng)威脅越來(lái)越多；隱蔽和病毒感染技術(shù)越來(lái)越先進(jìn)）2.4 網(wǎng)絡(luò)IP地址規(guī)劃2.4.1 IP地址合理規(guī)劃的意義在企業(yè)網(wǎng)網(wǎng)絡(luò)規(guī)劃中，IP地址方案的設(shè)計(jì)至關(guān)重要，好的IP地址方案不僅可以減少網(wǎng)絡(luò)負(fù)荷，還能為以后的網(wǎng)絡(luò)擴(kuò)展打下良好的基礎(chǔ)。IP地址的合理是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。企業(yè)網(wǎng)IP地址的分配應(yīng)該盡可能地利用申請(qǐng)到的地址空間，充分考慮到地址空間的合理使用，保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配

20、及業(yè)務(wù)流量的均勻分布。具體地來(lái)說(shuō)IP地址的合理規(guī)劃有如下的意義：1、IP 地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)的重要環(huán)節(jié)，大型計(jì)算機(jī)網(wǎng)絡(luò)必須對(duì)IP地址進(jìn)行統(tǒng)一規(guī)劃并得到有效實(shí)施；2、IP 地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率；3、影響到網(wǎng)絡(luò)的性能；4、影響到網(wǎng)絡(luò)的擴(kuò)展；5、影響到網(wǎng)絡(luò)的管理；6、也將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。2.4.2 IP地址規(guī)劃根據(jù)國(guó)際互聯(lián)網(wǎng)絡(luò)技術(shù)發(fā)展的趨勢(shì)，結(jié)合XX公司的現(xiàn)實(shí)情況，我們建議IP地址規(guī)劃遵循如下原則來(lái)設(shè)計(jì)：1. 唯一性：一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址； 2. 可管理性：地址分配應(yīng)簡(jiǎn)單且易于管理，以降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡(jiǎn)化路由表； 3. 連

21、續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，縮減路由表，提高路由計(jì)算的效率；IP地址的分配必須采用VLSM技術(shù)，保證IP地址的利用率；采用CIDR技術(shù)，可減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大小。IP地址分配盡量分配連續(xù)的IP地址空間；相同的業(yè)務(wù)和功能盡量分配連續(xù)的IP地址空間，有利于路由聚合以及安全控制； 4. 可擴(kuò)展性：地址分配在每一層次上都要留有一定余量，以便在網(wǎng)絡(luò)擴(kuò)展時(shí)能保證地址疊合所需的連續(xù)性；IP地址分配處理要考慮到連續(xù)外，又要能做到具有可擴(kuò)充性，并為將來(lái)的網(wǎng)絡(luò)擴(kuò)展預(yù)留一定的地址空間；充分利用無(wú)類別域間路由（CIDR）技術(shù)和變長(zhǎng)子網(wǎng)

22、掩碼（VLSM）技術(shù)，合理高效地利用IP地址，同時(shí)，對(duì)所有各種主機(jī)、服務(wù)器和網(wǎng)絡(luò)設(shè)備，必須分配足夠的地址，劃分獨(dú)立的網(wǎng)段，以便能夠?qū)崿F(xiàn)嚴(yán)格的安全策略控制。 5. 靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間； 6. 層次性：IP地址的劃分采用層次化的方法，和層次化的網(wǎng)絡(luò)設(shè)計(jì)相應(yīng)，在地址劃分上我們也采用層次化的分配思想，從XXx廳開(kāi)始規(guī)劃，再規(guī)劃各地州、縣，使地址具有層次性，能夠逐層向上匯聚。 7. 實(shí)意性 在公有地址有保證的前提下，盡量使用公有地址，主要包括設(shè)備loopback地址、設(shè)備間互連地址； 8. 節(jié)約性 根據(jù)服務(wù)器、主機(jī)的數(shù)量及業(yè)務(wù)發(fā)展估計(jì)，IP地址規(guī)劃盡

23、可能使用較小的子網(wǎng)，既節(jié)約了IP地址，同時(shí)可減少子網(wǎng)內(nèi)網(wǎng)絡(luò)風(fēng)暴，提高網(wǎng)絡(luò)性能。2.5網(wǎng)絡(luò)設(shè)計(jì)技術(shù)方案特點(diǎn)根據(jù)XX公司網(wǎng)絡(luò)建設(shè)的現(xiàn)有需求，并考慮到未來(lái)的發(fā)展趨勢(shì)，需要建立一個(gè)統(tǒng)一的信息傳輸網(wǎng)絡(luò)，滿足數(shù)據(jù)、語(yǔ)音、視頻、圖像、多媒體等相關(guān)企業(yè)信息的傳輸，可以實(shí)現(xiàn)計(jì)算機(jī)管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)、業(yè)務(wù)系統(tǒng)和Internet訪問(wèn)等應(yīng)用。我們提出的解決方案具有如下特點(diǎn)：1、 融合的網(wǎng)絡(luò)平臺(tái)：數(shù)據(jù)、視頻等業(yè)務(wù)應(yīng)用，提供端到端安全網(wǎng)絡(luò)應(yīng)用，靈活的結(jié)構(gòu)部署，實(shí)現(xiàn)網(wǎng)絡(luò)規(guī)模的任意伸縮、彈性應(yīng)用。2、 豐富的網(wǎng)絡(luò)類型：針對(duì)業(yè)務(wù)類型劃分、網(wǎng)絡(luò)應(yīng)用、投資計(jì)劃等融合專線網(wǎng)絡(luò)、VPN、無(wú)線等多種方式的組網(wǎng)，滿足支持豐富的擴(kuò)展類

24、型、擴(kuò)展接口等，適用不同規(guī)模、不同方式的網(wǎng)絡(luò)互聯(lián)、接入，滿足日益豐富的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用。3、 靈活安全的終端接入：網(wǎng)絡(luò)安全、認(rèn)證系統(tǒng)的部署應(yīng)用能夠杜絕非法終端接入網(wǎng)絡(luò)，并且讓合法終端在任意位置接入網(wǎng)絡(luò)均獲得相同的VPN歸屬和訪問(wèn)權(quán)限，甚至可以通過(guò)多次認(rèn)證在不同時(shí)刻獲得不同的VPN歸屬和訪問(wèn)權(quán)限，方便做到靈活辦公和公用辦公，真正實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化；4、 完善的業(yè)務(wù)類型：內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用，互聯(lián)網(wǎng)的安全訪問(wèn)、VPN的安全接入，無(wú)線及3G移動(dòng)終端的應(yīng)用，實(shí)現(xiàn)網(wǎng)絡(luò)跨區(qū)域、跨平臺(tái)的業(yè)務(wù)運(yùn)行，提供基于多種平臺(tái)信息系統(tǒng)應(yīng)用。5、 多樣化的管理手段：應(yīng)用級(jí)別的網(wǎng)絡(luò)安全劃分、帶寬限制、流量控制等豐富的管理手段和安全保障措

25、施，使網(wǎng)絡(luò)穩(wěn)定、快速、健壯，保證業(yè)務(wù)系統(tǒng)的不間斷運(yùn)行。統(tǒng)一規(guī)劃、合理部署：降低網(wǎng)絡(luò)投資、減少重復(fù)建設(shè)。避免了業(yè)務(wù)、數(shù)據(jù)物理隔離需要重復(fù)建設(shè)、應(yīng)用服務(wù)器、安全設(shè)備重復(fù)采購(gòu)的缺點(diǎn)，對(duì)網(wǎng)絡(luò)平臺(tái)進(jìn)行統(tǒng)一規(guī)劃、分步實(shí)施、合理部署，提高整體資源的利用率、降低管理難度、提高管理效率。第三章 網(wǎng)絡(luò)設(shè)計(jì)技術(shù)分析3.1企業(yè)網(wǎng)絡(luò)技術(shù)分類企業(yè)網(wǎng)是園區(qū)網(wǎng)絡(luò)的一種，應(yīng)用于企業(yè)網(wǎng)中的技術(shù)其實(shí)就是當(dāng)今園區(qū)網(wǎng)絡(luò)中的一些實(shí)用技術(shù)，我們將園區(qū)網(wǎng)絡(luò)技術(shù)從總體上劃分為路由技術(shù)，交換技術(shù)和遠(yuǎn)程接入技術(shù)。(1) 路由技術(shù) 所謂路由就是指通過(guò)相互連接的網(wǎng)絡(luò)把信息從源地點(diǎn)移動(dòng)到目標(biāo)地點(diǎn)的活動(dòng)。一般來(lái)說(shuō)，在路由過(guò)程中，信息至少會(huì)經(jīng)過(guò)一個(gè)或多個(gè)中

26、間節(jié)點(diǎn)。(2) 交換技術(shù) 所謂交換技術(shù)是指二層交換技術(shù)三層轉(zhuǎn)發(fā)技術(shù)。傳統(tǒng)的交換技術(shù)是在OSI網(wǎng)絡(luò)標(biāo)準(zhǔn)模型中的第二層數(shù)據(jù)鏈路層進(jìn)行操作的，而三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實(shí)現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)。應(yīng)用第三層交換技術(shù)即可實(shí)現(xiàn)網(wǎng)絡(luò)路由的功能，又可以根據(jù)不同的網(wǎng)絡(luò)狀況做到最優(yōu)的網(wǎng)絡(luò)性能。(3) 遠(yuǎn)程接入技術(shù) 所謂遠(yuǎn)程接入技術(shù)是指在網(wǎng)絡(luò)中部署服務(wù)器集群，在遠(yuǎn)程接入技術(shù)服務(wù)器上安裝并發(fā)布用友通客戶端，所有用戶運(yùn)行遠(yuǎn)程接入技術(shù)服務(wù)器上的用友通客戶端，并通過(guò)內(nèi)部高速網(wǎng)絡(luò)連接用友通服務(wù)器，完成財(cái)務(wù)、供應(yīng)鏈、生產(chǎn)制造、分銷、零售、客戶關(guān)系、服務(wù)管理等功能模塊的使用。如果需要允許用戶跨Internet訪問(wèn)，建議把

27、遠(yuǎn)程接入技術(shù)服務(wù)器機(jī)群部署在DMZ網(wǎng)絡(luò)中，把用友通服務(wù)器端部署在內(nèi)部網(wǎng)絡(luò)中，在內(nèi)部防火墻上設(shè)置允許用友通客戶端和服務(wù)器端通信的進(jìn)行。遠(yuǎn)程接入技術(shù)實(shí)施的好處：遠(yuǎn)程接入技術(shù)網(wǎng)絡(luò)帶寬的要求非常低遠(yuǎn)程接入技術(shù)解決互聯(lián)網(wǎng)安全問(wèn)題遠(yuǎn)程接入技術(shù)減少IT投資成本，保護(hù)現(xiàn)有IT透支遠(yuǎn)程接入技術(shù)方便管理，降低維護(hù)成本遠(yuǎn)程接入技術(shù)具有高穩(wěn)定性，可擴(kuò)展性遠(yuǎn)程接入技術(shù)性能優(yōu)化，支持更多用戶訪問(wèn)遠(yuǎn)程接入技術(shù)具有優(yōu)秀的虛擬打印功能3.2 企業(yè)網(wǎng)中的路由技術(shù)在園區(qū)網(wǎng)中由于受到自身網(wǎng)絡(luò)的限制，應(yīng)而不需要使用過(guò)多的路由技術(shù)，而路由技術(shù)主要應(yīng)用在核心層或者是出口去往其它網(wǎng)絡(luò)，連接出自己園區(qū)的網(wǎng)絡(luò)。在經(jīng)過(guò)接入路由器時(shí)根據(jù)IP包的目的

28、地址，在路由器的路由表中查詢，是否有前往目的地的路由，如果有則根據(jù)路由條目來(lái)轉(zhuǎn)發(fā)IP包。靜態(tài)路由技術(shù) 靜態(tài)路由是指由網(wǎng)絡(luò)管理員手工配置的路由信息。當(dāng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)或鏈路的狀態(tài)發(fā)生變化時(shí)，網(wǎng)絡(luò)管理員需要手工去修改路由表中相關(guān)的靜態(tài)路由信息。靜態(tài)路由信息在缺省情況下是私有的，不會(huì)傳遞給其他的路由器。當(dāng)然，網(wǎng)管員也可以通過(guò)對(duì)路由器進(jìn)行設(shè)置使之成為共享的。靜態(tài)路由一般適用于比較簡(jiǎn)單的網(wǎng)絡(luò)環(huán)境，在這樣的環(huán)境中，網(wǎng)絡(luò)管理員易于清楚地了解網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，便于設(shè)置正確的路由信息。我們?cè)赬X公司使用靜態(tài)路由技術(shù)，以實(shí)現(xiàn)公司內(nèi)部與互聯(lián)網(wǎng)互通。3.3 企業(yè)網(wǎng)中的交換技術(shù)在企業(yè)網(wǎng)使用的最多也是最廣泛的技術(shù)就是交換技術(shù)

29、，交換技術(shù)的成熟帶動(dòng)著這個(gè)網(wǎng)絡(luò)的發(fā)展。而企業(yè)網(wǎng)是基于這個(gè)交換架構(gòu)的網(wǎng)絡(luò)，因此在交換式的網(wǎng)絡(luò)中有眾多技術(shù)VLAN， TRUNK，三層交換，STP，DHCP等。下面將分別介紹這些技術(shù)的應(yīng)用： (1) VLAN技術(shù) VLAN（Virtual Local Area Network）的中文名為虛擬局域網(wǎng)。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。Vlan分類：1.根據(jù)端口來(lái)劃分VLAN2.根據(jù)MAC地址劃分VLAN3.根據(jù)網(wǎng)絡(luò)層劃分VLAN4.根據(jù)IP組播劃分VLAN5.基于規(guī)則的VLAN6. 按用戶定義、非用戶授權(quán)劃分VLAN(2) TRUNK技術(shù) TR

30、UNK是端口匯聚的意思，就是通過(guò)配置軟件的設(shè)置，將2個(gè)或多個(gè)物理端口組合在一起成為一條邏輯的路徑從而增加在交換機(jī)和網(wǎng)絡(luò)節(jié)點(diǎn)之間的帶寬，將屬于這幾個(gè)端口的帶寬合并，給端口提供一個(gè)幾倍于獨(dú)立端口的獨(dú)享的高帶寬。Trunk是一種封裝技術(shù)，它是一條點(diǎn)到點(diǎn)的鏈路，鏈路的兩端可以都是交換機(jī)，也可以是交換機(jī)和路由器，還可以是主機(jī)和交換機(jī)或路由器?；诙丝趨R聚（Trunk）功能，允許交換機(jī)與交換機(jī)、交換機(jī)與路由器、主機(jī)與交換機(jī)或路由器之間通過(guò)兩個(gè)或多個(gè)端口并行連接同時(shí)傳輸以提供更高帶寬、更大吞吐量， 大幅度提供整個(gè)網(wǎng)絡(luò)能力。(3) 三層交換 三層交換技術(shù)就是：二層交換技術(shù)三層轉(zhuǎn)發(fā)技術(shù)。它解決了局域網(wǎng)中網(wǎng)段劃分

31、之后，網(wǎng)段中子網(wǎng)必須依賴路由器進(jìn)行管理的局面，解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問(wèn)題。第三層交換提供以下優(yōu)點(diǎn):l 提高了網(wǎng)絡(luò)效率：第三層交換機(jī)通過(guò)允許網(wǎng)絡(luò)管理員在第二層 VLAN 進(jìn)行路由業(yè)務(wù)，確保將第二層廣播控制在一個(gè) VLAN 內(nèi)，降低了業(yè)務(wù)量負(fù)載。l 可持續(xù)發(fā)展：由于 OSI 層模型的分層特點(diǎn)，第三層交換機(jī)能夠創(chuàng)建更加易于擴(kuò)展和維護(hù)的更大規(guī)模的網(wǎng)絡(luò)。l 更加廣泛的拓?fù)溥x擇：基于路由器的網(wǎng)絡(luò)支持任何拓?fù)?，并能更輕易超過(guò)類似第二層交換網(wǎng)絡(luò)的更大規(guī)模和復(fù)雜程度。l 工作組和服務(wù)器安全：第三層設(shè)備能根據(jù)第三層網(wǎng)絡(luò)地址創(chuàng)建接入策略，這允許網(wǎng)絡(luò)管理員控制和阻塞某些 VLAN 到 VLAN 通

32、信，阻塞某些 IP 地址，甚至能防止某些子網(wǎng)訪問(wèn)特定的信息。l 更加優(yōu)異的性能：通過(guò)使用先進(jìn)的 ASIC 技術(shù)，第三層交換機(jī)可提供遠(yuǎn)遠(yuǎn)高于基于軟件的傳統(tǒng)路由器的性能。比如，每秒 4000 萬(wàn)個(gè)數(shù)據(jù)包對(duì)每秒 30 萬(wàn)個(gè)數(shù)據(jù)包。第三層交換機(jī)為千兆網(wǎng)絡(luò)這樣的帶寬密集型基礎(chǔ)架構(gòu)提供了所需的路由性能。因此，第三層交換機(jī)可以部署在網(wǎng)絡(luò)中許多具有更高戰(zhàn)略意義的位置。(4) STP技術(shù) 生成樹協(xié)議最主要的應(yīng)用是為了避免局域網(wǎng)中的網(wǎng)絡(luò)環(huán)回，解決成環(huán)以太網(wǎng)網(wǎng)絡(luò)的“廣播風(fēng)暴”問(wèn)題，從某種意義上說(shuō)是一種網(wǎng)絡(luò)保護(hù)技術(shù)，可以消除由于失誤或者意外帶來(lái)的循環(huán)連接。STP也提供了為網(wǎng)絡(luò)提供備份連接的可能，可與SDH保護(hù)配合構(gòu)成

33、以太環(huán)網(wǎng)的雙重保護(hù)。新型以太單板支持符合IEEE 802.1d標(biāo)準(zhǔn)的生成樹協(xié)議STP及IEEE 802.1w規(guī)定的快速生成樹協(xié)議RSTP，收斂速度可達(dá)到 1s。(5) DHCP 動(dòng)態(tài)主機(jī)設(shè)置協(xié)議（Dynamic Host Configuration Protocol, DHCP）是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作，主要有兩個(gè)用途：一是給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動(dòng)分配IP地址給用戶；二是給內(nèi)部網(wǎng)絡(luò)管理員作為對(duì)所有計(jì)算機(jī)作中央管理的手段。3.4 企業(yè)網(wǎng)中的遠(yuǎn)程接入技術(shù)(1) 訪問(wèn)控制列表（ACL）訪問(wèn)控制列表（Access Control List，ACL） 是路由器和交換機(jī)接口的指令列

34、表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語(yǔ)句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對(duì)某種訪問(wèn)進(jìn)行控制。本設(shè)計(jì)方案使用訪問(wèn)控制列表來(lái)實(shí)現(xiàn)以下需求：n 總部辦公業(yè)務(wù)可以訪問(wèn)全網(wǎng)辦公業(yè)務(wù)，不能訪問(wèn)分部生產(chǎn)業(yè)務(wù)。n 分部辦公業(yè)務(wù)可以訪問(wèn)全網(wǎng)辦公業(yè)務(wù)，不能訪問(wèn)總部或其他分部的生產(chǎn)業(yè)務(wù)。訪問(wèn)控制列表的另外一個(gè)重要作用是區(qū)分?jǐn)?shù)據(jù)流，工程師可以使用訪問(wèn)控制列表來(lái)匹配感興趣的數(shù)據(jù)流量，然后再由其他的網(wǎng)絡(luò)協(xié)議或工具來(lái)對(duì)所匹配的數(shù)據(jù)流執(zhí)行相應(yīng)的動(dòng)作。本設(shè)計(jì)方案中后面提到的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的實(shí)現(xiàn)便需要利用到訪問(wèn)控制列表的此項(xiàng)功能。(2) 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,Network Address Translation)屬接入廣域網(wǎng)(WAN)技術(shù),是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡(jiǎn)單，NAT不僅完美地解決了lP地址不足的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。(3) 通用路由