中小型企業(yè)局域網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)畢業(yè)設(shè)計(jì)

1、中小型企業(yè)局域網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)畢業(yè)設(shè)計(jì)（論文）原創(chuàng)性聲明和使用授權(quán)說(shuō)明原創(chuàng)性聲明本人鄭重承諾：所呈交的畢業(yè)設(shè)計(jì)（論文），是我個(gè)人在指導(dǎo)教師的指導(dǎo)下進(jìn)行的研究工作及取得的成果。盡我所知，除文中特別加以標(biāo)注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過(guò)的研究成果，也不包含我為獲得及其它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過(guò)的材料。對(duì)本研究提供過(guò)幫助和做出過(guò)貢獻(xiàn)的個(gè)人或集體，均已在文中作了明確的說(shuō)明并表示了謝意。作者簽名：日期：指導(dǎo)教師簽名：日期：使用授權(quán)說(shuō)明本人完全了解大學(xué)關(guān)于收集、保存、使用畢業(yè)設(shè)計(jì)（論文）的規(guī)定，即：按照學(xué)校要求提交畢業(yè)設(shè)計(jì)（論文）的印刷本和電子版本；學(xué)校有權(quán)保存畢業(yè)設(shè)計(jì)（論文）的印刷

2、本和電子版，并提供目錄檢索與閱覽服務(wù)；學(xué)?？梢圆捎糜坝?、縮印、數(shù)字化或其它復(fù)制手段保存論文；在不以贏利為目的前提下，學(xué)?？梢怨颊撐牡牟糠只蛉?jī)?nèi)容。作者簽名：日期：學(xué)位論文原創(chuàng)性聲明本人鄭重聲明：所呈交的論文是本人在導(dǎo)師的指導(dǎo)下獨(dú)立進(jìn)行研究所取得的研究成果。除了文中特別加以標(biāo)注引用的內(nèi)容外，本論文不包含任何其他個(gè)人或集體已經(jīng)發(fā)表或撰寫(xiě)的成果作品。對(duì)本文的研究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中以明確方式標(biāo)明。本人完全意識(shí)到本聲明的法律后果由本人承擔(dān)。作者簽名：日期：年月日學(xué)位論文版權(quán)使用授權(quán)書(shū)本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定，同意學(xué)校保留并向國(guó)家有關(guān)部門(mén)或機(jī)構(gòu)送交論文的

3、復(fù)印件和電子版，允許論文被查閱和借閱。本人授權(quán)大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫(kù)進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。涉密論文按學(xué)校規(guī)定處理。作者簽名：日期：年月日導(dǎo)師簽名：日期：年月日II摘要隨著網(wǎng)絡(luò)技術(shù)新系統(tǒng)、新領(lǐng)域的長(zhǎng)足發(fā)展，傳統(tǒng)企業(yè)也正利用其行業(yè)的特點(diǎn)，融合網(wǎng)絡(luò)技術(shù)的優(yōu)勢(shì)，發(fā)展自身。在信息化生產(chǎn)逐步普及的今天，組建企業(yè)內(nèi)部網(wǎng)絡(luò)已經(jīng)是企業(yè)必不可少的一部分，建立高速、穩(wěn)定、安全、智能的辦公網(wǎng)，是組建中小型企業(yè)局域網(wǎng)的核心。本論文所闡述的網(wǎng)絡(luò)是使用業(yè)界流行的核心層一匯聚層一分布層三層結(jié)構(gòu)設(shè)計(jì)的中小型企業(yè)網(wǎng)，結(jié)合廣為使用的虛擬局域網(wǎng)（VLAN）,熱備

4、份路由（HSRP）,訪問(wèn)控制列表（ACL）,網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）等技術(shù)，增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性和安全性。設(shè)計(jì)中采用虛擬局域網(wǎng)來(lái)隔離不同部門(mén)，以達(dá)到增強(qiáng)企業(yè)網(wǎng)絡(luò)安全性的目的；在規(guī)劃好的VLAN的基礎(chǔ)上，采用訪問(wèn)控制列表（ACL）,設(shè)置策略，來(lái)限制部門(mén)之間以及服務(wù)器區(qū)的訪問(wèn)，進(jìn)一步提高企業(yè)網(wǎng)絡(luò)內(nèi)部的安全性；并在核心層交換機(jī)上采用熱備份路由（HSRP）技術(shù)，增加網(wǎng)絡(luò)的冗余，提高企業(yè)網(wǎng)絡(luò)的整體穩(wěn)定性；采用路由器硬件的動(dòng)態(tài)主機(jī)分配協(xié)議（DHCP）功能，保證各部門(mén)IP地址的獲?。辉谶吔缏酚善魃显O(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）,將企業(yè)內(nèi)部私有地址轉(zhuǎn)換為公網(wǎng)地址，實(shí)現(xiàn)了多個(gè)用戶(hù)同時(shí)公用一個(gè)合法IP與外部Internet

5、進(jìn)行通信，解決IP地址短缺的問(wèn)題。目錄緒論iii1 .網(wǎng)絡(luò)建設(shè)背景和必要性22 .組建局域網(wǎng)的需求分析32.1 總體需求分析32.2 網(wǎng)絡(luò)平臺(tái)需求42.3 網(wǎng)絡(luò)安全需求42.3.1 外網(wǎng)安全： 物理安全需求 數(shù)據(jù)鏈路層需求 入侵檢測(cè)系統(tǒng)需求 防病毒系統(tǒng)需求 安全管理體制52.3.2 內(nèi)網(wǎng)安全： VLANK：置需求 防病毒系統(tǒng)需求 網(wǎng)絡(luò)管理需求 網(wǎng)絡(luò)系統(tǒng)管理63 .組建局域網(wǎng)的設(shè)計(jì)目標(biāo)和原則63.1 核心交換機(jī)的高數(shù)據(jù)處理性能63.2 核心交換機(jī)的高可靠

6、性73.3 核心交換機(jī)的靈活擴(kuò)充性73.4 網(wǎng)絡(luò)的安全性83.5 網(wǎng)絡(luò)的可管理性84 .局域網(wǎng)設(shè)計(jì)方案94.1 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)方案94.2 虛擬局域網(wǎng)（vlaM設(shè)計(jì)方案104.2.1 VLAN#術(shù)簡(jiǎn)介104.2.2 VLANPJ案設(shè)計(jì)114.3 第三層交換技術(shù)設(shè)計(jì)方案124.4 IPMULTICAS破術(shù)方案設(shè)計(jì)124.5 訪問(wèn)控制列表（ACL設(shè)計(jì)方案154.6 IP地址規(guī)劃與路由設(shè)計(jì)方案164.6.1 IP地址規(guī)劃方案164.6.2 路由協(xié)議的選擇174.6.3 路由協(xié)議設(shè)計(jì)方案194.7 HSRP熱備份路由器協(xié)議204.7.1 HSRFW議概述204.7.2 HSRP勺工作原理214.7.3

7、本方案的特點(diǎn)215 .設(shè)備清單23結(jié)論24參考文獻(xiàn)24緒論0.1選題的背景企業(yè)網(wǎng)最原始的網(wǎng)絡(luò)需求來(lái)自于對(duì)LAN上共享資源、業(yè)務(wù)的開(kāi)展需要，最小規(guī)模的局域網(wǎng)可能就要算通過(guò)1臺(tái)共享式集線器來(lái)連接打印機(jī)、文件服務(wù)器的組建模式了，但是，在信息科技日益發(fā)展的今天，基于共享式技術(shù)的網(wǎng)絡(luò)已經(jīng)不能符合當(dāng)前企業(yè)IT發(fā)展的需求，更高速、更可靠、更安全以及更方便的網(wǎng)絡(luò)和業(yè)務(wù)管理已經(jīng)成為新時(shí)期企業(yè)局域網(wǎng)的關(guān)注重點(diǎn)。如何最大程度的滿(mǎn)足企業(yè)的這些需求正是本文最關(guān)心的問(wèn)題。0.2選題的目的和意義企業(yè)電子商務(wù)網(wǎng)絡(luò)系統(tǒng)應(yīng)是一個(gè)統(tǒng)一、可靠、安全的專(zhuān)用信息通信平臺(tái)，支持話(huà)音、數(shù)據(jù)和圖像的交換與傳輸，實(shí)現(xiàn)計(jì)算機(jī)數(shù)據(jù)、話(huà)音、電視會(huì)議、

8、圖片傳輸?shù)榷喾N信息通信業(yè)務(wù)，并具有完備的網(wǎng)絡(luò)管理系統(tǒng)。在先進(jìn)成熟的計(jì)算機(jī)和通信技術(shù)基礎(chǔ)上，企業(yè)要建設(shè)成光纖網(wǎng)絡(luò)，使企業(yè)各部門(mén)實(shí)現(xiàn)宏觀決策科學(xué)化，辦公自動(dòng)化，信息交換網(wǎng)絡(luò)化，提高宏觀決策和調(diào)控能力，促進(jìn)企業(yè)信息化，同時(shí)有助于加快信息經(jīng)濟(jì)建設(shè)。0.3可行性分析根據(jù)企業(yè)的實(shí)際情況，總結(jié)出該計(jì)算機(jī)網(wǎng)絡(luò)有如下需求：企業(yè)網(wǎng)絡(luò)系統(tǒng)本著實(shí)用、經(jīng)濟(jì)可靠的原則，采用交換式以太網(wǎng)方案。采用內(nèi)部IP地址。網(wǎng)絡(luò)采用兩極交換結(jié)構(gòu)，中心交換機(jī)采用三層交換機(jī)，構(gòu)成千兆主干，中心交換機(jī)應(yīng)有足夠的插槽用于以后的擴(kuò)展，至少有24個(gè)10/100M自適應(yīng)端口用于連接服務(wù)器，光纖端口依實(shí)際應(yīng)用提供，電源應(yīng)有冗余；每個(gè)分配線間各放置若干臺(tái)

9、24口交換機(jī)作為二級(jí)交換機(jī)，用千兆光纖口用于上連，可以為用戶(hù)提供交換式100Mbps帶寬，彼此間采用堆疊連接。是為入住企業(yè)的單位提供寬帶國(guó)際互聯(lián)網(wǎng)絡(luò)接入服務(wù)、內(nèi)部網(wǎng)絡(luò)通訊平臺(tái)、計(jì)算機(jī)應(yīng)用服務(wù)的綜合性專(zhuān)用計(jì)算機(jī)數(shù)據(jù)通信網(wǎng)絡(luò)。為了使本網(wǎng)絡(luò)設(shè)計(jì)向統(tǒng)一管理、高速寬帶、復(fù)雜應(yīng)用方向發(fā)展，本設(shè)計(jì)所建設(shè)的網(wǎng)絡(luò)將為各入住單位系統(tǒng)內(nèi)部互聯(lián)網(wǎng)絡(luò)系統(tǒng)提供一個(gè)統(tǒng)一的數(shù)據(jù)通信網(wǎng)絡(luò)平臺(tái)，各網(wǎng)絡(luò)系統(tǒng)的信息都可在此數(shù)據(jù)通信網(wǎng)上傳遞，并可通過(guò)統(tǒng)一的網(wǎng)管系統(tǒng)提供統(tǒng)一的管理功能，將各專(zhuān)業(yè)內(nèi)部網(wǎng)絡(luò)網(wǎng)管的報(bào)警信息等一并顯示，同時(shí)為未來(lái)的網(wǎng)絡(luò)發(fā)展奠定必要的基礎(chǔ)。0.4研究的基本思路根據(jù)對(duì)所選題目背景、目的、意義和可行性的分析，總結(jié)出設(shè)計(jì)

10、思路如下：選擇合適的網(wǎng)絡(luò)層次模型規(guī)劃企業(yè)網(wǎng)絡(luò)架構(gòu)，合理分配企業(yè)內(nèi)部的IP地址。采用穩(wěn)定高效的路由協(xié)議連通企業(yè)內(nèi)部網(wǎng)，并在此基礎(chǔ)上設(shè)計(jì)安全策略，增強(qiáng)企業(yè)數(shù)據(jù)的保密性，保證商業(yè)機(jī)密的安全。設(shè)置策略或設(shè)備的冗余，保證企業(yè)網(wǎng)絡(luò)在遭遇突發(fā)故障時(shí)能順利切換線路，保障數(shù)據(jù)的完整性，避免重要信息的丟失，增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性。最后，選擇合適的網(wǎng)絡(luò)設(shè)備，在顧及網(wǎng)絡(luò)性能的前提下，優(yōu)化企業(yè)的資源配置1 .網(wǎng)絡(luò)建設(shè)背景和必要性格羅莫夫(GregoryGromov)曾經(jīng)說(shuō)過(guò)：“網(wǎng)絡(luò)本身就是一種計(jì)算機(jī)科學(xué)概念。”不過(guò)，現(xiàn)在有了更豐富的內(nèi)涵，注解之一就是，網(wǎng)絡(luò)本身更具有經(jīng)濟(jì)學(xué)內(nèi)涵。在現(xiàn)代經(jīng)濟(jì)學(xué)中有“規(guī)模效益”理論，就是通過(guò)擴(kuò)大經(jīng)

11、濟(jì)規(guī)模，來(lái)降低單位成本。雖然“擴(kuò)大規(guī)?！比匀皇墙档统杀镜母就緩?，但是伴隨經(jīng)濟(jì)規(guī)模的擴(kuò)大也增加了“協(xié)調(diào)成本”，既與企業(yè)相關(guān)的信息交流的代價(jià)。在很多情況下，企業(yè)的生產(chǎn)經(jīng)營(yíng)并不是孤立進(jìn)行的，其需要在內(nèi)部生產(chǎn)部門(mén)之間與外部市場(chǎng)之間達(dá)到充分的信息交流，才能維系正常的生產(chǎn)經(jīng)營(yíng)，尤其是在規(guī)模不斷擴(kuò)大的情況下，如果仍然延續(xù)傳統(tǒng)的信息交流手段，則信息交流代價(jià)急劇增長(zhǎng)。由此造成單位生產(chǎn)成本不降反升，從而制約著現(xiàn)代經(jīng)濟(jì)規(guī)模。隨著科技進(jìn)步，網(wǎng)絡(luò)技術(shù)成為信息溝通的重要手段，世界正因?yàn)橛辛嘶ヂ?lián)網(wǎng)而變得越來(lái)越小，世界級(jí)的企業(yè)也越來(lái)越依賴(lài)于網(wǎng)絡(luò)技術(shù)，擴(kuò)大和鞏固其市場(chǎng)地位。從網(wǎng)絡(luò)在企業(yè)生產(chǎn)、流通、服務(wù)等關(guān)鍵環(huán)節(jié)起的重要作用來(lái)

12、看，其更多超出了技術(shù)領(lǐng)域，而深具經(jīng)濟(jì)學(xué)內(nèi)涵。隨著網(wǎng)絡(luò)技術(shù)，新系統(tǒng)新領(lǐng)域的長(zhǎng)足發(fā)展，網(wǎng)絡(luò)經(jīng)濟(jì)，知識(shí)經(jīng)濟(jì)再不是IT等高科技行業(yè)的專(zhuān)利，傳統(tǒng)企業(yè)正利用其行業(yè)特點(diǎn)，汲取網(wǎng)絡(luò)技術(shù)精華，努力創(chuàng)造著傳統(tǒng)行業(yè)的又一個(gè)春天。未來(lái)是美好的，但現(xiàn)實(shí)不可回避。大多數(shù)企業(yè)對(duì)電子商務(wù)的一般認(rèn)識(shí)是電子商務(wù)能幫助企業(yè)進(jìn)行網(wǎng)上購(gòu)物、網(wǎng)上交易，僅是一種新興的企業(yè)運(yùn)作模式，比較適用于商業(yè)貿(mào)易公司，殊不知電子商務(wù)已經(jīng)對(duì)傳統(tǒng)的企業(yè)造成的了巨大的沖擊。制造業(yè)傳統(tǒng)運(yùn)作模式效率低，成本過(guò)高，已不適于新經(jīng)濟(jì)的需要。隨著企業(yè)間競(jìng)爭(zhēng)的日趨激烈，以及全球經(jīng)濟(jì)一體化，市場(chǎng)向企業(yè)提出了更高的要求，要求企業(yè)能及時(shí)提供高品質(zhì)、低價(jià)格，具有個(gè)性化的產(chǎn)品。而企

13、業(yè)在商業(yè)運(yùn)作過(guò)程中比較重視控制生產(chǎn)成本，對(duì)于采購(gòu)成本，銷(xiāo)售成本的控制無(wú)論從意識(shí)上、管理上還是從執(zhí)行上都比較薄弱，如何減少采購(gòu)和銷(xiāo)售過(guò)程中的環(huán)節(jié)，直接控制供應(yīng)商的價(jià)格、品質(zhì)、交貨期以及批發(fā)商和經(jīng)營(yíng)商的進(jìn)貨、出貨、倉(cāng)儲(chǔ)情況是企業(yè)在電子商務(wù)時(shí)代所面臨的第一個(gè)問(wèn)題，這種情況在集團(tuán)公司的運(yùn)作中尤為明顯。通過(guò)實(shí)施電子商務(wù)，可以實(shí)現(xiàn)企業(yè)對(duì)產(chǎn)品、原材料、非生產(chǎn)性產(chǎn)品、服務(wù)類(lèi)等的電子化、網(wǎng)絡(luò)化采購(gòu)，總公司與下屬子公司幾個(gè)職能部門(mén)有組織、有計(jì)劃的統(tǒng)一管理，減少流通環(huán)節(jié)，降低成本，提高效率，使企業(yè)在管理上通過(guò)電子商務(wù)的實(shí)施達(dá)到更高水品。作為電子商務(wù)基石的網(wǎng)絡(luò)系統(tǒng)已經(jīng)成為現(xiàn)代企業(yè)的“神經(jīng)”，而“神經(jīng)”是否工作正常，是

14、否高速高效，直接關(guān)系到“生存死亡”。傳統(tǒng)企業(yè)對(duì)市場(chǎng)的反應(yīng)速度取決于自身的信息網(wǎng)絡(luò)水平。在電子商務(wù)時(shí)代，產(chǎn)品的個(gè)性化情況非常普遍，比如服裝，時(shí)尚和潮流總是千變?nèi)f化，捉摸不定。生產(chǎn)商要在短時(shí)間內(nèi)捕獲市場(chǎng)信息并作出適宜反饋，確實(shí)有難度。傳統(tǒng)企業(yè)在對(duì)市場(chǎng)的反饋速度上明顯過(guò)慢。究其主要原因是企業(yè)沒(méi)有將供應(yīng)商和客戶(hù)那到企業(yè)自身的供應(yīng)鏈中，沒(méi)能及時(shí)知道下游客戶(hù)的庫(kù)存情況、市場(chǎng)情況，沒(méi)有讓上有的供應(yīng)商及時(shí)了解企業(yè)原材料的庫(kù)存情況、成套情況。在供應(yīng)商、商家、客戶(hù)三者之間沒(méi)有形成一個(gè)有效的環(huán)路，有次造成了商家隨市場(chǎng)的反應(yīng)遲緩，導(dǎo)致了商業(yè)損失。有了網(wǎng)絡(luò)的協(xié)助，企業(yè)從原材料的采購(gòu)、產(chǎn)品設(shè)計(jì)、到訂單處理和產(chǎn)品的發(fā)送，均

15、可用小時(shí)為單位來(lái)追蹤。同時(shí)利用互聯(lián)網(wǎng)技術(shù)不僅可以全面監(jiān)控下游客戶(hù)每日的進(jìn)銷(xiāo)存情況，及時(shí)進(jìn)行補(bǔ)貨，而且可以讓上有的供應(yīng)商及時(shí)知道企業(yè)原料的庫(kù)存情況，及時(shí)補(bǔ)充，將存貨量保持在最低水品。企業(yè)受限于內(nèi)部龐雜的關(guān)系管理，拓展外部市場(chǎng)是如果還用一成不變的業(yè)務(wù)服務(wù)方式，很可能在提取激烈的市場(chǎng)競(jìng)爭(zhēng)中處于尷尬的境地。為了擺脫可能出現(xiàn)的窘境必須依賴(lài)可靠、安全、高效、可擴(kuò)充、可管理的網(wǎng)絡(luò)產(chǎn)品和技術(shù)，為企業(yè)提供流暢的信息傳遞和資源共享，優(yōu)化資源配置，并開(kāi)拓新市場(chǎng)，吸引更多客戶(hù)，擴(kuò)展市場(chǎng)影響力，產(chǎn)生業(yè)務(wù)增值，降低生產(chǎn)成本成為可能。綜上所述，傳統(tǒng)企業(yè)如果希望在市場(chǎng)的天空中飛的更高更遠(yuǎn)，那么必須插上網(wǎng)絡(luò)化生產(chǎn)、經(jīng)營(yíng)和服務(wù)的

16、翅膀。在選取“飛”的翅膀時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)解決方案的選取是關(guān)鍵。只有綜合考慮了網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理、可靠性、可管理性、可擴(kuò)展性和高性能的需要，精選出適合企業(yè)網(wǎng)絡(luò)需要的網(wǎng)絡(luò)解決方案，才能對(duì)企業(yè)高效，科學(xué)的管理，控制企業(yè)的運(yùn)營(yíng)成本，為企業(yè)的騰飛助跑。2 .組建局域網(wǎng)的需求分析2.1 總體需求分析總體需求是將企業(yè)網(wǎng)絡(luò)建成以辦公自動(dòng)化為主的硬件平臺(tái)系統(tǒng)。企業(yè)網(wǎng)絡(luò)系統(tǒng)的需求包括以下幾點(diǎn)：適應(yīng)桌面計(jì)算機(jī)處理、I/O能力大幅度提高的現(xiàn)狀，發(fā)揮桌面機(jī)的網(wǎng)絡(luò)性能，提高桌面機(jī)的訪問(wèn)帶寬；適應(yīng)連網(wǎng)規(guī)模大、總流量大的情況，合理分布流量，實(shí)現(xiàn)流量隔離和控制；適應(yīng)部門(mén)多、層次復(fù)雜的特點(diǎn)，合理進(jìn)行網(wǎng)絡(luò)劃分，實(shí)現(xiàn)有效的安全訪問(wèn)控制

17、和運(yùn)行管理；能夠向未來(lái)的高速網(wǎng)絡(luò)技術(shù)和不斷出現(xiàn)的新應(yīng)用過(guò)渡；實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)，解決互聯(lián)網(wǎng)絡(luò)帶來(lái)的安全問(wèn)題和管理問(wèn)題；適應(yīng)數(shù)據(jù)集中型應(yīng)用的發(fā)展趨勢(shì)，為客戶(hù)/服務(wù)器的應(yīng)用環(huán)境提供支撐；增加網(wǎng)絡(luò)系統(tǒng)的運(yùn)行可靠性，降低故障隱患，提高系統(tǒng)的可管理性。本方案針對(duì)網(wǎng)絡(luò)系統(tǒng)應(yīng)用場(chǎng)合對(duì)安全提出了很高的要求，因此網(wǎng)絡(luò)設(shè)計(jì)充分考慮網(wǎng)絡(luò)上敏感數(shù)據(jù)傳輸?shù)陌踩?，一方面需要充分?用網(wǎng)絡(luò)設(shè)備提供的安全策略（VLAN劃分等），另一方面為了保障內(nèi)部數(shù)據(jù)傳輸?shù)陌踩?，采用各種安全技術(shù)（防火墻、入侵檢測(cè)、防病毒體系等），并且盡量不影響到整個(gè)網(wǎng)絡(luò)的運(yùn)行效率。為了更好的保證網(wǎng)絡(luò)的正常運(yùn)行，設(shè)計(jì)的網(wǎng)絡(luò)系統(tǒng)還考慮到網(wǎng)絡(luò)管理，實(shí)現(xiàn)網(wǎng)絡(luò)的統(tǒng)一管

18、理。2.2 網(wǎng)絡(luò)平臺(tái)需求利用目前最流行的千兆以太網(wǎng)技術(shù)實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)為千兆主干、百兆交換到桌面，全方位支持企業(yè)的信息處理與交換的傳輸、操作和策略服務(wù)。網(wǎng)絡(luò)總體結(jié)構(gòu)分為網(wǎng)絡(luò)互連、核心節(jié)點(diǎn)、樓層交換三個(gè)層面。一般采用交換，必要時(shí)實(shí)現(xiàn)路由隔離。網(wǎng)絡(luò)根據(jù)業(yè)務(wù)用戶(hù)分布和數(shù)據(jù)的流向，合理的進(jìn)行網(wǎng)段劃分。允許采用虛擬網(wǎng)技術(shù)（VLAN）。實(shí)現(xiàn)各計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的互聯(lián)，形成公共信息的交換環(huán)境，為企業(yè)用戶(hù)提供網(wǎng)絡(luò)服務(wù)平臺(tái)。實(shí)現(xiàn)信息資源和軟硬件資源共享，提供豐富的網(wǎng)絡(luò)信息服務(wù)，以推動(dòng)辦公自動(dòng)化。根據(jù)樓宇辦公場(chǎng)合不同，網(wǎng)絡(luò)平臺(tái)分別設(shè)計(jì)出內(nèi)網(wǎng)和外網(wǎng)平臺(tái)，兩網(wǎng)之間采用物理隔離的技術(shù)手段實(shí)現(xiàn)涉密問(wèn)題。2.3 網(wǎng)絡(luò)安全需求隨著網(wǎng)

19、絡(luò)的建成，基于網(wǎng)絡(luò)的應(yīng)用日漸增多，網(wǎng)絡(luò)用戶(hù)也會(huì)越來(lái)越多，網(wǎng)絡(luò)的安全成為了系統(tǒng)建設(shè)的主要問(wèn)題。在局域網(wǎng)中安全系統(tǒng)建設(shè)主要設(shè)計(jì)包括外網(wǎng)安全和內(nèi)網(wǎng)安全。2.3.1 外網(wǎng)安全：由于外網(wǎng)主要運(yùn)行企業(yè)各部門(mén)非涉密的內(nèi)部辦公業(yè)務(wù)以及運(yùn)行面向客戶(hù)的公開(kāi)信息，所以必須采取過(guò)硬的安全技術(shù)來(lái)實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)系統(tǒng)不受Internet的“黑客”、病毒等攻擊。外網(wǎng)對(duì)安全的需求包括物理安全需求、數(shù)據(jù)鏈路層需求、入侵檢測(cè)系統(tǒng)需求、防病毒系統(tǒng)需求和安全管理體制等。 物理安全需求針對(duì)重要信息可能通過(guò)電磁輻射或線路干擾等泄漏。需要對(duì)存放機(jī)密信息的機(jī)房進(jìn)行必要的設(shè)計(jì)，如構(gòu)建屏蔽室。采用輻射干擾機(jī)，防止電磁輻射泄漏機(jī)密信息

20、。對(duì)重要的設(shè)備進(jìn)行冗余配置；對(duì)重要系統(tǒng)進(jìn)行備份等安全保護(hù)。 數(shù)據(jù)鏈路層需求信息的泄漏很多都是在鏈路上被搭線竊取，數(shù)據(jù)也可能因?yàn)樵阪溌飞媳唤孬@、被篡改后傳輸給對(duì)方，造成數(shù)據(jù)真實(shí)性、完整性得不到保證。如果利用加密設(shè)備對(duì)傳輸數(shù)據(jù)進(jìn)行加密，使得在網(wǎng)上傳輸?shù)臄?shù)據(jù)以密文傳輸。因?yàn)閿?shù)據(jù)是密文，所以，即使在傳輸過(guò)程中被截獲，入侵者也讀不懂，而且加密機(jī)還能通過(guò)先進(jìn)行技術(shù)手段，對(duì)數(shù)據(jù)傳輸過(guò)程中的完整性、真實(shí)性進(jìn)行鑒別。可以保證數(shù)據(jù)的保密性、完整性及可靠性。因此，可能需要配備加密設(shè)備對(duì)數(shù)據(jù)進(jìn)行傳輸加密。 入侵檢測(cè)系統(tǒng)需求網(wǎng)絡(luò)安全是整體的、動(dòng)態(tài)的，不是單一產(chǎn)品能夠完全實(shí)現(xiàn)的，所以為了確保網(wǎng)

21、絡(luò)更加安全必須配備入侵檢測(cè)系統(tǒng)，對(duì)透過(guò)防火墻的攻擊進(jìn)行檢測(cè)并做相應(yīng)反應(yīng)（記錄、報(bào)警、阻斷）。 防病毒系統(tǒng)需求針對(duì)防病毒危害性極大并且傳播極為迅速，必須配備從單機(jī)到服務(wù)器的整套防病毒軟件，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)。 安全管理體制安全系統(tǒng)只能提供技術(shù)手段和措施，但人為的因素不可忽略，只有確立健全的安全管理體制，設(shè)立相應(yīng)的安全管理崗位，從制度上加以嚴(yán)格管理。2.3.2 內(nèi)網(wǎng)安全：運(yùn)用多種技術(shù)，如VLAN、防病毒體系等，對(duì)各個(gè)部門(mén)、系所訪問(wèn)進(jìn)行控制，各單位之間在未授權(quán)的情況下不能互相訪問(wèn)，保證系統(tǒng)內(nèi)部的安全。內(nèi)網(wǎng)對(duì)安全的需求包括VLAN設(shè)置需求、防病毒系統(tǒng)需求、網(wǎng)絡(luò)管理需求和

22、網(wǎng)絡(luò)系統(tǒng)管理等。 VLAN設(shè)置需求企業(yè)網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布區(qū)域廣，網(wǎng)絡(luò)用戶(hù)多，因此，內(nèi)部網(wǎng)絡(luò)用戶(hù)的可靠性并不能得到完全的保證。特別是對(duì)于存放敏感數(shù)據(jù)的主機(jī)的攻擊往往發(fā)自?xún)?nèi)部用戶(hù)，如何對(duì)內(nèi)部用戶(hù)進(jìn)行訪問(wèn)控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運(yùn)行的可靠性和安全性，必須要對(duì)它進(jìn)行詳盡的設(shè)計(jì)，盡可能防護(hù)到網(wǎng)絡(luò)的每一節(jié)點(diǎn)。 防病毒系統(tǒng)需求針對(duì)防病毒危害性極大并且傳播極為迅速，必須配備從單機(jī)到服務(wù)器的整套防病毒軟件，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)。 網(wǎng)絡(luò)管理需求此次建設(shè)的企業(yè)網(wǎng)絡(luò)系統(tǒng)是一個(gè)相當(dāng)復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)，包含多種設(shè)備和技術(shù)。隨著系統(tǒng)復(fù)雜度

23、的增加，會(huì)給系統(tǒng)管理帶來(lái)成指數(shù)增加的管理工作量。為此必須要設(shè)計(jì)一套健全的管理系統(tǒng)。針對(duì)系統(tǒng)的功能采取相應(yīng)的管理措施。 網(wǎng)絡(luò)系統(tǒng)管理系統(tǒng)中包含大量的網(wǎng)絡(luò)設(shè)備，必須為其配置功能強(qiáng)大的管理系統(tǒng)，該系統(tǒng)應(yīng)具有以下功能：(1)虛擬網(wǎng)管理、分配；(2)對(duì)所有網(wǎng)絡(luò)設(shè)備端口的監(jiān)視和管理；(3)對(duì)網(wǎng)絡(luò)流量的監(jiān)測(cè)和管理；(4)對(duì)所有網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理和控制，包括網(wǎng)絡(luò)端口設(shè)備的開(kāi)放和關(guān)閉；(5)整個(gè)網(wǎng)絡(luò)的故障監(jiān)測(cè)，故障自動(dòng)報(bào)警功能；(6)整個(gè)網(wǎng)絡(luò)性能的統(tǒng)計(jì)和分析報(bào)告。3 .組建局域網(wǎng)的設(shè)計(jì)目標(biāo)和原則3.1 核心交換機(jī)的高數(shù)據(jù)處理性能核心交換機(jī)滿(mǎn)足網(wǎng)絡(luò)中心海量數(shù)據(jù)交換的要求，連接中心的通訊鏈路帶寬滿(mǎn)足應(yīng)

24、用的性能要求。在Intranet網(wǎng)絡(luò)應(yīng)用環(huán)境中心，WWW服務(wù)器，F(xiàn)TP服務(wù)器，E-Mail服務(wù)器，EDI服務(wù)器，LotusNotes群件應(yīng)用服務(wù)器，NovellServer等服務(wù)器群支撐著整個(gè)企業(yè)的應(yīng)用服務(wù)。各部門(mén)用戶(hù)客戶(hù)端軟件，透過(guò)網(wǎng)絡(luò)訪問(wèn)中心服務(wù)器，請(qǐng)求應(yīng)用，查詢(xún)數(shù)據(jù)庫(kù)。網(wǎng)絡(luò)的負(fù)載流量主要是從邊緣設(shè)備到核心的數(shù)據(jù)交換，隨著業(yè)務(wù)的發(fā)展，網(wǎng)絡(luò)規(guī)模的擴(kuò)展，以及應(yīng)用的信息交換量增加，使得網(wǎng)絡(luò)通常會(huì)在核心發(fā)生通訊瓶頸現(xiàn)象，改善局域網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)交換性能，往往是首先擴(kuò)充核心交換機(jī)的交換性能，增加邊緣設(shè)備到核心的數(shù)據(jù)通訊帶寬，以減輕整個(gè)網(wǎng)絡(luò)的瓶頸，使得應(yīng)用軟件的性能和效率得到提高。因此在設(shè)計(jì)局域網(wǎng)的原則上

25、，首先應(yīng)該考慮滿(mǎn)足網(wǎng)絡(luò)規(guī)模所要求的核心設(shè)備數(shù)據(jù)交換處理能力，以及邊緣設(shè)備到核心的鏈路帶寬。3.2 核心交換機(jī)的高可靠性核心交換機(jī)關(guān)鍵部件可以實(shí)現(xiàn)冗余工作，可以在線更換（熱插拔），故障的恢復(fù)時(shí)間在秒級(jí)間隔內(nèi)完。通過(guò)cisco專(zhuān)有的HSRP技術(shù)可以配置雙核心交換，在發(fā)生故障時(shí)自動(dòng)切換到備用交換機(jī)，確保數(shù)據(jù)不發(fā)生丟包。隨著信息化社會(huì)的飛速發(fā)展，普遍采用了Intranet應(yīng)用模式，實(shí)現(xiàn)管理和生產(chǎn)自動(dòng)化，提高管理效率，管理水平。支持單位應(yīng)用的基礎(chǔ)設(shè)施是網(wǎng)絡(luò)。它直接影響到辦公應(yīng)用環(huán)境，交易、生產(chǎn)、開(kāi)發(fā)、設(shè)計(jì)等業(yè)務(wù)環(huán)境，財(cái)務(wù)管理，部品管理等環(huán)境，信息檢索、數(shù)據(jù)庫(kù)查詢(xún)、Internet瀏覽等支持正常運(yùn)行的必要

26、服務(wù)設(shè)施功能。網(wǎng)絡(luò)的可靠性要求是保障應(yīng)用環(huán)境正常運(yùn)行的首要條件，網(wǎng)絡(luò)要求可靠性的同時(shí)，要求網(wǎng)絡(luò)具有高可用性。網(wǎng)絡(luò)設(shè)備的選擇，尤其是核心機(jī)箱式設(shè)備，應(yīng)該可以配置冗余部件，關(guān)鍵部件不存在單一故障點(diǎn)，也就是說(shuō)，像交換機(jī)的電源、風(fēng)扇、交換引擎、管理模塊這些部件可以冗余備份，其中之一任何部件的損壞，不會(huì)影響設(shè)備的正常運(yùn)行，不會(huì)影響網(wǎng)絡(luò)的連通。提供網(wǎng)絡(luò)設(shè)備的可靠性，容錯(cuò)性的另一個(gè)要求是設(shè)備損壞部件更換時(shí)，不需要停機(jī)，更換部件后不需要重新啟動(dòng)，也就是說(shuō)部件的更換可以進(jìn)行在線操作，這樣可以使停機(jī)的時(shí)間降低到最小。在設(shè)計(jì)局域網(wǎng)的原則上提高網(wǎng)絡(luò)的高可靠性、高可用性原則是至關(guān)重要的，不僅要求設(shè)備的部件冗余，同時(shí)要求

27、網(wǎng)絡(luò)的鏈路冗余，以保證網(wǎng)絡(luò)可以在任何時(shí)間、任何地點(diǎn)提供信息訪問(wèn)服務(wù)。3.3 核心交換機(jī)的靈活擴(kuò)充性核心交換機(jī)應(yīng)該具備靈活的端口擴(kuò)充能力，模塊擴(kuò)充能力，滿(mǎn)足網(wǎng)絡(luò)規(guī)模的擴(kuò)充。同時(shí)提高性能，滿(mǎn)足更高性能的要求。在設(shè)計(jì)局域網(wǎng)的方案上，首先是滿(mǎn)足現(xiàn)有規(guī)模的網(wǎng)絡(luò)用戶(hù)的需求，同時(shí)考慮到業(yè)務(wù)發(fā)展、規(guī)模的擴(kuò)大，應(yīng)該設(shè)計(jì)網(wǎng)絡(luò)具有用戶(hù)端口的擴(kuò)充能力。核心設(shè)備是整個(gè)網(wǎng)絡(luò)的樞紐，用戶(hù)端口數(shù)的擴(kuò)充，需要增加配線間邊緣工作組的設(shè)備，增加邊緣設(shè)備的同時(shí)，要求連接核心骨干設(shè)備的端口數(shù)相應(yīng)增加，因此核心設(shè)備應(yīng)該可以通過(guò)增加模塊來(lái)靈活地增加端口數(shù)。核心設(shè)備的機(jī)箱設(shè)計(jì)應(yīng)該具備強(qiáng)大的背板帶寬，足夠多的負(fù)載插槽容量。對(duì)于交換機(jī)來(lái)說(shuō)，核心

28、交換引擎應(yīng)該可以滿(mǎn)足最大配置下，無(wú)阻塞的進(jìn)行端口數(shù)據(jù)包交換，模塊的擴(kuò)充不影響交換性能。采用分布式交換結(jié)構(gòu)是實(shí)現(xiàn)這一原則的最佳方案，分布式交換機(jī)結(jié)構(gòu)實(shí)現(xiàn)了交換機(jī)的并行數(shù)據(jù)交換處理，優(yōu)化了網(wǎng)絡(luò)的性能，本地交換和全局交換相結(jié)合的分布式結(jié)構(gòu)減少了交換引擎的壓力。因此在設(shè)計(jì)大規(guī)模網(wǎng)絡(luò)的原則上普遍采用分布式交換機(jī)實(shí)現(xiàn)靈活的模塊、端口擴(kuò)充能力3.4 網(wǎng)絡(luò)的安全性可以有效的控制網(wǎng)絡(luò)的訪問(wèn)，靈活的實(shí)施網(wǎng)絡(luò)的安全控制策略。網(wǎng)絡(luò)的安全性對(duì)局域網(wǎng)的設(shè)計(jì)是非常重要的，合理的網(wǎng)絡(luò)安全控制，可以使應(yīng)用環(huán)境中的資源得到有效的保護(hù)。在網(wǎng)絡(luò)中，關(guān)鍵應(yīng)用服務(wù)器、核心網(wǎng)絡(luò)設(shè)備，只有系統(tǒng)管理人員才有操作、控制的權(quán)力。應(yīng)用客戶(hù)端只有應(yīng)用

29、訪問(wèn)的權(quán)限，網(wǎng)絡(luò)應(yīng)該能夠阻止黑客的任何非法操作。在網(wǎng)絡(luò)設(shè)備上應(yīng)該可以進(jìn)行基于協(xié)議、基于Mac地址、基于IP地址的包過(guò)濾控制功能。在大規(guī)模網(wǎng)絡(luò)的設(shè)計(jì)上，劃分虛擬子網(wǎng)，一方面可以有效的隔離子網(wǎng)內(nèi)的大量廣播，另一方面隔離網(wǎng)絡(luò)子網(wǎng)間的通訊，控制了資源的訪問(wèn)權(quán)限，提高了網(wǎng)絡(luò)的安全性。在設(shè)計(jì)局域網(wǎng)的原則上必須強(qiáng)調(diào)網(wǎng)絡(luò)安全控制能力，使網(wǎng)絡(luò)可以任意連接，又可以從第二層、第三層控制網(wǎng)絡(luò)的訪問(wèn)。3.5 網(wǎng)絡(luò)的可管理性網(wǎng)絡(luò)中的任何設(shè)備均可以通過(guò)網(wǎng)絡(luò)管理平臺(tái)進(jìn)行控制，網(wǎng)絡(luò)的設(shè)備狀態(tài)，故障報(bào)警等都可以通過(guò)網(wǎng)管平臺(tái)進(jìn)行監(jiān)控，通過(guò)網(wǎng)絡(luò)管理平臺(tái)簡(jiǎn)化管理工作，提高網(wǎng)絡(luò)管理的效率。在設(shè)計(jì)局域網(wǎng)時(shí)，選擇先進(jìn)的網(wǎng)絡(luò)管理軟件是必不可少

30、的。網(wǎng)絡(luò)管理軟件應(yīng)用于網(wǎng)絡(luò)的設(shè)備配置，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)表示，網(wǎng)絡(luò)設(shè)備的狀態(tài)的顯示，網(wǎng)絡(luò)設(shè)備的故障事件報(bào)警，網(wǎng)絡(luò)流量統(tǒng)計(jì)分析以及計(jì)費(fèi)等等。網(wǎng)管軟件的應(yīng)用可以提高網(wǎng)絡(luò)管理的效率，減輕網(wǎng)絡(luò)管理人員的負(fù)擔(dān)。網(wǎng)絡(luò)管理的目標(biāo)是實(shí)現(xiàn)零管理，基于策略的管理方式，網(wǎng)絡(luò)管理是通過(guò)制定統(tǒng)一的策略，由管理策略服務(wù)器進(jìn)行全局控制的。基于Web的網(wǎng)管界面，是網(wǎng)管軟件的發(fā)展趨勢(shì)，靈活的操作方式簡(jiǎn)化了管理人員的工作。在設(shè)計(jì)局域網(wǎng)的設(shè)備選擇上，要求網(wǎng)絡(luò)設(shè)備支持標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理協(xié)議SNMP,同時(shí)支持RMON/RMONII協(xié)議，核心設(shè)備要求支持RAP（遠(yuǎn)程分析端口）協(xié)議，實(shí)施充分的網(wǎng)絡(luò)管理功能。在設(shè)計(jì)局域網(wǎng)的原則上應(yīng)該要求設(shè)備的可管理性

31、，同時(shí)先進(jìn)的網(wǎng)管軟件可以支持網(wǎng)絡(luò)維護(hù)、監(jiān)控、配置等功能。網(wǎng)絡(luò)設(shè)備采用開(kāi)放技術(shù)、支持標(biāo)準(zhǔn)協(xié)議：采用標(biāo)準(zhǔn)的協(xié)議保護(hù)用戶(hù)的投資，提高設(shè)備的互操作性。局域網(wǎng)的設(shè)備要求具有可互操作性，設(shè)備的技術(shù)采用開(kāi)放技術(shù)，協(xié)議標(biāo)準(zhǔn)，支持跨平臺(tái)之間的相互連接與通訊。在設(shè)計(jì)網(wǎng)絡(luò)的原則上，發(fā)揮不同廠商產(chǎn)品的專(zhuān)用先進(jìn)技術(shù)同時(shí)，必須強(qiáng)調(diào)考察設(shè)備的技術(shù)、協(xié)議的標(biāo)準(zhǔn)性。4 .局域網(wǎng)設(shè)計(jì)方案4.1 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)方案對(duì)于網(wǎng)絡(luò)平臺(tái)的網(wǎng)絡(luò)結(jié)構(gòu)，建議采用模塊化的設(shè)計(jì)思想，按照功能劃分為以下區(qū)塊：交換區(qū)塊和核心區(qū)塊。對(duì)于由交換區(qū)塊和核心區(qū)塊構(gòu)成的局域網(wǎng)再按照目前流行的層次化的設(shè)計(jì)思想，劃分為接入層、匯聚層和核心層。1、交換區(qū)塊的主要功能是提供

32、用戶(hù)的接入點(diǎn)，并防止廣播數(shù)據(jù)流和網(wǎng)絡(luò)問(wèn)題到達(dá)核心區(qū)塊或者其他區(qū)塊，交換區(qū)塊由接入層交換機(jī)和匯聚層交換機(jī)構(gòu)成：(1)接入層：接入層設(shè)備作為最終用戶(hù)的網(wǎng)絡(luò)接入點(diǎn)，使用100M雙絞線連接各層桌面終端，為每個(gè)用戶(hù)提供專(zhuān)用的帶寬，并可基于端口或MAC地址的VLAN成員資格和流量進(jìn)行過(guò)濾，接入層主要的設(shè)計(jì)原則是能夠通過(guò)低成本、高端口密度的設(shè)備提供這些功能。(2)匯聚層：接入層交換機(jī)使用100M雙絞線匯聚到一臺(tái)或者多臺(tái)匯聚層設(shè)備，匯聚層設(shè)備在接入層交換機(jī)之間提供第二層連接，作為接入層交換機(jī)的集中連接點(diǎn)及接入層和核心層之間的分界點(diǎn)，匯聚層在提供接入層接入的同時(shí)，還能夠做到廣播域的隔離、不同網(wǎng)段之間的路由、介質(zhì)

33、轉(zhuǎn)換、安全控制。匯聚層需要提供第三層功能，即支持路由選擇和網(wǎng)絡(luò)層服務(wù)，以保護(hù)交換區(qū)塊不受網(wǎng)絡(luò)其他部分失效的影響，并防止本交換區(qū)塊故障對(duì)網(wǎng)絡(luò)其他部分的影響，如果交換區(qū)塊發(fā)生了廣播風(fēng)暴，分布層設(shè)備可以防止該廣播風(fēng)暴擴(kuò)散到核心和網(wǎng)絡(luò)的其他部分。2、核心區(qū)塊是園區(qū)網(wǎng)絡(luò)的主干，主要功能是在交換區(qū)塊之間用最小的時(shí)延傳輸數(shù)據(jù)，盡可能快的將交換數(shù)據(jù)提供到其他區(qū)塊(比如交換區(qū)塊)。核心區(qū)塊由核心層構(gòu)成，包含一個(gè)或一組用來(lái)連接多個(gè)交換區(qū)塊的交換機(jī)。核心層：核心層交換機(jī)負(fù)責(zé)所有交換區(qū)塊設(shè)備和廣域網(wǎng)設(shè)備的接入，因此需要高速的數(shù)據(jù)轉(zhuǎn)發(fā)能力。核心層設(shè)備需要支持port-channel鏈路捆綁技術(shù)，來(lái)保證數(shù)據(jù)的轉(zhuǎn)發(fā)能力，防

34、止出現(xiàn)線路瓶頸。作為企業(yè)網(wǎng)絡(luò)的心臟，核心層也是路由協(xié)議最優(yōu)選路和運(yùn)行穩(wěn)定的保證，需要合理的配置路由協(xié)議，并添加冗余處理器或者應(yīng)用冗余協(xié)議來(lái)保障網(wǎng)絡(luò)核心的穩(wěn)定，使企業(yè)數(shù)據(jù)流正常運(yùn)作。網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)是整個(gè)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的基礎(chǔ)，一個(gè)優(yōu)秀的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)方案有利于提高網(wǎng)絡(luò)的性能、可靠性及將來(lái)網(wǎng)絡(luò)的擴(kuò)展能力，并能夠有效的減少維護(hù)難度，本論文設(shè)計(jì)的網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D如圖1:CiscoCatalyst2950圖1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖4.2 虛擬局域網(wǎng)（vlan）設(shè)計(jì)方案劃分虛擬局域網(wǎng)是整個(gè)網(wǎng)絡(luò)系統(tǒng)的重要技術(shù)之一。企業(yè)網(wǎng)絡(luò)內(nèi)部的環(huán)境復(fù)雜、分布區(qū)域廣、網(wǎng)絡(luò)用戶(hù)多，以至于企業(yè)內(nèi)部網(wǎng)絡(luò)用戶(hù)的可靠性得不到完全的保證。通過(guò)劃分虛

35、擬局域網(wǎng)，隔離不同部門(mén)，可以增強(qiáng)企業(yè)網(wǎng)絡(luò)安全性，以下詳細(xì)論述了虛擬局域網(wǎng)的技術(shù)及在網(wǎng)絡(luò)系統(tǒng)中的必要性和設(shè)計(jì)方案。4.2.1 VLAN技術(shù)簡(jiǎn)介以太網(wǎng)基本上是以廣播為基礎(chǔ)的，如最初包的尋址等，交換機(jī)雖然能夠通過(guò)建立地址映射表減少不必要的廣播，但是地址映射表的建立過(guò)程仍然是基于廣播的，網(wǎng)絡(luò)節(jié)點(diǎn)（如PC機(jī)）在處理廣播時(shí)浪費(fèi)了CPU處理時(shí)間，降低了處理性能，根據(jù)統(tǒng)計(jì)，當(dāng)網(wǎng)絡(luò)上存在15000個(gè)廣播包時(shí)，將耗盡CPU資源；在傳統(tǒng)的網(wǎng)絡(luò)里，節(jié)點(diǎn)的吞吐量都會(huì)隨著節(jié)點(diǎn)的增多而下降，交換式以太網(wǎng)雖然能夠隔離沖突域及第二層廣播，但10是無(wú)法隔離第三層網(wǎng)絡(luò)。另一方面，接入網(wǎng)需要保障用戶(hù)數(shù)據(jù)（單播地址的幀）的安全性，隔離

36、攜帶有用戶(hù)信息的廣播消息（如ARP、DHCP消息等），防止關(guān)鍵設(shè)備受到攻擊。對(duì)每個(gè)用戶(hù)而言，當(dāng)然不希望他的信息被別人利用，因此需要從物理上隔離用戶(hù)數(shù)據(jù)（單播地址的幀），保證用戶(hù)單播地址的幀只有該用戶(hù)可以接收到，不像在局域網(wǎng)中采用共享總線方式，使單播地址的幀能被總線上的所有用戶(hù)接收。如果不隔離這些廣播消息而讓其他用戶(hù)接收到，容易發(fā)生MAC/IP地址仿冒，影響設(shè)備的正常運(yùn)行，中斷合法用戶(hù)的通信過(guò)程。為了隔離第三層廣播，增強(qiáng)安全性、提高網(wǎng)絡(luò)性能，可以運(yùn)用VLAN（虛擬局域網(wǎng)）技術(shù)或者使用路由設(shè)備。使用路由器時(shí)可以將網(wǎng)絡(luò)劃分多個(gè)物理網(wǎng)段，這些物理網(wǎng)段可以連接到路由器的多個(gè)端口，多個(gè)物理網(wǎng)段間通過(guò)路由器

37、進(jìn)行通信，但是路由器的端口價(jià)格遠(yuǎn)遠(yuǎn)高出交換機(jī)的端口價(jià)格，所以這種方式將增加設(shè)備投資，在物理網(wǎng)段增多時(shí)就更為嚴(yán)重，而且只有使用高端設(shè)備才能滿(mǎn)足高端口密度的要求，所以不推薦這種方式。VLAN技術(shù)不需要特殊的設(shè)備，目前第二層交換機(jī)均支持VLAN技術(shù)。通過(guò)在一個(gè)物理網(wǎng)段上劃分出多個(gè)邏輯網(wǎng)段，由每一個(gè)邏輯網(wǎng)段構(gòu)成一個(gè)VLAN,其內(nèi)部采用交換機(jī)連接，所有的廣播信息只限制在本VLAN內(nèi)，而之間的連接則采用路由實(shí)現(xiàn)，具體實(shí)施時(shí)可以外加路由器，或者直接使用第三層交換設(shè)備。使用路由器時(shí)，將這些邏輯網(wǎng)段連接到路由器時(shí)可以只使用一條物理鏈路、占用一個(gè)路由器接口，這樣就節(jié)省了設(shè)備的投資，而使用三層交換設(shè)備時(shí)，不需要額外

38、增加設(shè)備，只要交換機(jī)支持三層路由功能即可，由于三層交換設(shè)備的工作效率高于路由器，所以在本論文中推薦采用三層交換設(shè)備實(shí)現(xiàn)VLAN之間的路由。4.2.2 VLAN方案設(shè)計(jì)目前，VLAN技術(shù)可以使用以下方式組建：基于交換機(jī)端口的VLAN、基于MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN:基于端口的VLAN,即靜態(tài)VLAN,特點(diǎn)是技術(shù)簡(jiǎn)單，容易配置且維護(hù)工作量小，缺點(diǎn)是終端設(shè)備移動(dòng)時(shí)需要更改設(shè)備配置。基于MAC地址的VLAN,即動(dòng)態(tài)VLAN,基于Vlan策略服務(wù)組建，特點(diǎn)是終端設(shè)備可以在整個(gè)局域網(wǎng)中移動(dòng)而不用改變配置，適合于移動(dòng)辦公型的網(wǎng)絡(luò)環(huán)境，缺點(diǎn)是配置工作量大、繁瑣。由于交換機(jī)為二層設(shè)備，所以基于

39、應(yīng)用協(xié)議的VLAN對(duì)于交換機(jī)來(lái)說(shuō)沒(méi)有任何意義，反而會(huì)造成交換機(jī)性能的下降?？紤]到本系統(tǒng)的特點(diǎn)，節(jié)點(diǎn)在網(wǎng)絡(luò)中內(nèi)移動(dòng)的可能性較小，基于易維護(hù)、易管理方面的考慮，使用基于交換機(jī)端口的VLAN進(jìn)行配置11vlan10/24FileServer網(wǎng)管中心Vlan51Vlan52VLAN規(guī)劃參照?qǐng)D2,各個(gè)VLAN間由ACL控制，限制互訪。其中VLAN1031為部門(mén)VLAN,禁止互訪，VLAN51為文件服務(wù)器區(qū)，能被任何部門(mén)訪問(wèn)，VLAN52為網(wǎng)管區(qū)，能單向訪問(wèn)各個(gè)部門(mén)。/24/30INTERNETsw1Routervlan20192.168

40、.20.0/24/30Coe/30/24PIX防火墻/24vlan11/24/30Router2/24vlan30/24vlan31/24sw3圖2Vlan及IP地址規(guī)劃圖OSPFBackbone0/244.3 第三層交換技術(shù)設(shè)計(jì)方案顧名思義，第三層交換器就是將第二層的交換器與第三層的路由器合二為一，使路由器根據(jù)第二層的地址轉(zhuǎn)發(fā)數(shù)據(jù)包以達(dá)到快速通訊，這就形成了第三層交換

41、器。第三層交換出現(xiàn)因于ATM與交換器的技術(shù)背景，因?yàn)閭鹘y(tǒng)的網(wǎng)絡(luò)是由路由器作為中心的。使用第二層交換器使網(wǎng)絡(luò)速度提升，可是在網(wǎng)絡(luò)中使用過(guò)多的交換器，所有交換器所架構(gòu)的網(wǎng)絡(luò)可能會(huì)形成廣播風(fēng)暴，所以需要路由器來(lái)隔離可能會(huì)形成的廣播風(fēng)暴，為了使路由器不會(huì)形成網(wǎng)絡(luò)的瓶頸，就形成了第三層交換。VLAN將廣播域進(jìn)行分割，但透過(guò)VLAN進(jìn)行通訊則必須通過(guò)路由器進(jìn)行轉(zhuǎn)發(fā)。所有核心層交換機(jī)均為三層交換，手動(dòng)打開(kāi)iprouting。4.4 IPmulticast技術(shù)方案設(shè)計(jì)為了使企業(yè)網(wǎng)絡(luò)系統(tǒng)成為能夠承載多種應(yīng)用的多媒體網(wǎng)絡(luò)，使網(wǎng)絡(luò)點(diǎn)播和網(wǎng)絡(luò)會(huì)12vlan21/24議成為辦公的有力工具，網(wǎng)絡(luò)對(duì)

42、組播的支持是必不可少的。傳統(tǒng)的點(diǎn)對(duì)點(diǎn)單播通信，在發(fā)送方和每一接收方需要單獨(dú)的數(shù)據(jù)通道。在這種通信方式下，源IP主機(jī)向指定的目標(biāo)IP主機(jī)發(fā)送信息包。IP信息包中的目標(biāo)地址就是IP網(wǎng)絡(luò)中惟一的主機(jī)地址。從一臺(tái)主機(jī)送出的每個(gè)數(shù)據(jù)包只能傳送給一個(gè)目標(biāo)主機(jī)，通過(guò)路由器或交換機(jī)將這些IP信息包從源主機(jī)發(fā)送到目標(biāo)主機(jī)。在源主機(jī)和目標(biāo)主機(jī)之間的路徑上的每一個(gè)路由器都維護(hù)由單播路由協(xié)議生成的單播路由信息庫(kù)，并根據(jù)數(shù)據(jù)包中的IP目標(biāo)地址在單播路由信息庫(kù)中查找單播包轉(zhuǎn)發(fā)路徑。這種傳送方式稱(chēng)為單播。在單播方式下，如果有另外的多個(gè)用戶(hù)希望同時(shí)獲得這個(gè)數(shù)據(jù)包的拷貝是不可能的。發(fā)送信息的主機(jī)必須向每個(gè)希望接收此數(shù)據(jù)包的用戶(hù)

43、發(fā)送一份單獨(dú)的數(shù)據(jù)包拷貝。這種巨大的冗余會(huì)帶來(lái)很大的代價(jià)，首先，會(huì)給發(fā)送數(shù)據(jù)的源主機(jī)帶來(lái)沉重的負(fù)擔(dān)，因?yàn)樗仨殞?duì)每個(gè)要求都做出響應(yīng)，這使得負(fù)擔(dān)過(guò)于沉重主機(jī)的響應(yīng)會(huì)大大延長(zhǎng)。其次對(duì)路由器和交換機(jī)的性能也提出了更高的要求，管理人員被迫購(gòu)買(mǎi)本來(lái)不必要的硬件和帶寬來(lái)保證一定的服務(wù)質(zhì)量。組播路由與IP單播路由有一個(gè)本質(zhì)的區(qū)別就是，IP單播路由是根據(jù)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)而不是實(shí)際的會(huì)話(huà)來(lái)建立路徑，而IP組播路由則是根據(jù)網(wǎng)絡(luò)的會(huì)話(huà)來(lái)動(dòng)態(tài)地建立投遞路徑；因此，IP組播路由比IP單播路由更具有動(dòng)態(tài)性。目前可用的組播路由模型有兩種：稠密分布模型和稀疏分布模型。稠密分布模型假定組播成員在網(wǎng)絡(luò)中稠密分布，并且它們之間的網(wǎng)絡(luò)

44、帶寬資源往往隨時(shí)可用；而稀疏分布模型假定組播成員在網(wǎng)絡(luò)中稀疏分布，而且它們之間帶寬資源往往比較緊張。組播和傳統(tǒng)的單播數(shù)據(jù)傳送方式如圖3所示：圖3組播示意圖從圖中可以清楚的看出，單播傳送發(fā)送數(shù)據(jù)的多個(gè)拷貝，每個(gè)拷貝發(fā)送到一個(gè)接收者，主機(jī)輪流發(fā)送數(shù)據(jù)的拷貝，網(wǎng)絡(luò)分別將它們轉(zhuǎn)發(fā)至每個(gè)接收者，主機(jī)一次只能發(fā)送至一個(gè)接收者。而組播傳送則只把發(fā)送數(shù)據(jù)的一個(gè)拷貝發(fā)送到多個(gè)接收者，主機(jī)發(fā)送數(shù)據(jù)的一個(gè)拷貝，可同時(shí)發(fā)送到多個(gè)接收者。網(wǎng)絡(luò)在每個(gè)接收者的最后一個(gè)路由器或主機(jī)復(fù)制它，在一個(gè)給定的網(wǎng)絡(luò)上每一個(gè)包只傳送一次。關(guān)于組播路由設(shè)計(jì)，在企業(yè)網(wǎng)絡(luò)核心交換機(jī)和匯聚交換機(jī)上運(yùn)行PIM-DM組播13IGMP協(xié)議對(duì)業(yè)務(wù)及服務(wù)

45、進(jìn)行支持，并提供優(yōu)秀的可擴(kuò)展性；在邊緣交換機(jī)上運(yùn)行Snooping組播管理協(xié)議對(duì)業(yè)務(wù)及服務(wù)進(jìn)行支持。用戶(hù)通過(guò)運(yùn)行組播客戶(hù)端軟件的PC運(yùn)行IGMP協(xié)議，用戶(hù)可通過(guò)IGMP協(xié)議加入某個(gè)組播組，建立成員關(guān)系。對(duì)于組播業(yè)務(wù)的具體實(shí)施及管理需根據(jù)不同的業(yè)務(wù)類(lèi)型及廠家提供設(shè)備的特點(diǎn)具體進(jìn)行分析。目前經(jīng)常被采用的稀疏分布模型的域內(nèi)組播路由協(xié)議是PIM-SM,因此，使用PIM-SM作為域內(nèi)組播路由協(xié)議。PIM-SM采用樹(shù)形投遞結(jié)構(gòu)，被設(shè)計(jì)成限制組播報(bào)文只發(fā)給那些希望接收它的路由器，PIM-SM圍繞一個(gè)稱(chēng)為匯聚點(diǎn)(RP,RendezvousPoint)勺路由器來(lái)設(shè)計(jì)組廣播投遞樹(shù)；RP在PIM-SM中充當(dāng)廣播樹(shù)的

46、樹(shù)根，所有報(bào)文首先被封裝后從發(fā)送者采用單播的方式送往RP,然后由RP解封后送往所有接收者。但是，在PIM-SM中，某個(gè)廣播組接受者可以根據(jù)一定條件選擇從以RP為根的RPT樹(shù)切換到以發(fā)送者為根的所謂SPT樹(shù)；RPT樹(shù)和SPT樹(shù)各有其優(yōu)點(diǎn)，RPT樹(shù)易于構(gòu)造，并且可以減少路由器中所要維護(hù)的組播狀態(tài)；如果廣播組會(huì)話(huà)由大量低帶寬多目的廣播流構(gòu)成，RPT還可以節(jié)省網(wǎng)絡(luò)資源，而SPT樹(shù)則可以采用最優(yōu)路徑，并消除封裝和解封裝過(guò)程，提供更好的性能。采用PIMVersion2作為組播路由協(xié)議。PIM(RFC2362)是IETF關(guān)于域內(nèi)組播路由協(xié)議的標(biāo)準(zhǔn)，目前為大多數(shù)組播服務(wù)提供商采用。按照規(guī)劃，選擇核心節(jié)點(diǎn)作為整

47、個(gè)企業(yè)網(wǎng)絡(luò)組播系統(tǒng)的RP點(diǎn)，來(lái)對(duì)整個(gè)企業(yè)網(wǎng)絡(luò)的組播進(jìn)行控制。每個(gè)部門(mén)VLAN劃入一個(gè)多播地址：Vlan10:Vlan11:Vlan20:Vlan21:Vlan30:Vlan31:在核心交換機(jī)和PIX上啟用多播，命令如下：ipmulticast-routingintinterface#ippimsparse-dense-modeipigmpjoin-group224.1.1.X配置PIX為RP的命令如下：ippimsend-rp-announceLoopback0scope3group-l

48、ist50ippimsend-rp-discoveryLoopback0scope3access-list50permitaccess-list50permitaccess-list50permitaccess-list50permit14access-list50permitaccess-list50permitippimrp-address4.5 訪問(wèn)控制列表（ACL）設(shè)計(jì)方案訪問(wèn)控制列表（AccessControlList,ACL）是路由器接口的指令列表，用來(lái)控制端口

49、進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。ACL的定義也是基于每一種協(xié)議的。如果路由器接口配置成為支持三種協(xié)議（IP、AppleTalk以及IPX）的情況，那么，用戶(hù)必須定義三種ACL來(lái)分別控制這三種協(xié)議的數(shù)據(jù)包。自反訪問(wèn)表在路由器的一邊創(chuàng)建IP流量的動(dòng)態(tài)開(kāi)啟，該過(guò)程是基于來(lái)自路由器另一邊的會(huì)話(huà)進(jìn)行的。在正常的操作模式下，自反訪問(wèn)表被配置并用于從路由器的不可信方，例如連接到Internet的串行端口，創(chuàng)建開(kāi)啟表項(xiàng)。這些開(kāi)啟表項(xiàng)的創(chuàng)建是基于源于設(shè)備的可信方的會(huì)話(huà)進(jìn)行的，例如以太網(wǎng)或令牌環(huán)網(wǎng)的用戶(hù)連接到一個(gè)網(wǎng)段或連接到路由器端口的環(huán)。在該過(guò)程中，訪問(wèn)表執(zhí)行的

50、動(dòng)作稱(chēng)為自反向過(guò)濾（reflexivefiltering）。該名稱(chēng)是根據(jù)此訪問(wèn)表的類(lèi)型得來(lái)的。在IOS版本11.3中引入了自反訪問(wèn)表，并且它可用在所有的路由器平臺(tái)上。在核心層交換機(jī)上配置訪問(wèn)列表如下（由于各個(gè)端口配置相似，故只列出核心交換機(jī)SW1上的e0/1.1）:ipaccess-listextendede0/0.1-inevaluateadmindenyip5555denyip5555denyip551

51、55denyip5555denyip5555denyip5555permitipanyanyexitipaccess-listextendede-outpermitipanyanyreflectadmininte0/0.1ipaccess-groupe-outoutipaccess-groupe0/0.1-ininexit154.6

52、IP地址規(guī)劃與路由設(shè)計(jì)方案路由組織及其方案是IP網(wǎng)絡(luò)中的基本問(wèn)題之一，涉及網(wǎng)絡(luò)的連通性、可達(dá)性、穩(wěn)定性、精確性和易管理性，其設(shè)計(jì)的好壞直接影響著網(wǎng)絡(luò)性能。路由組織應(yīng)根據(jù)網(wǎng)絡(luò)對(duì)路由信息的需求，設(shè)計(jì)網(wǎng)絡(luò)中路由信息的分布。因?yàn)镮P地址的規(guī)劃與路由策略息息相關(guān)，所以在以IP地址規(guī)劃的基礎(chǔ)上，選擇企業(yè)網(wǎng)絡(luò)平臺(tái)中最優(yōu)的路由設(shè)計(jì)方案，以下詳細(xì)論述了IP地址規(guī)劃與路由設(shè)計(jì)方案。4.6.1 IP地址規(guī)劃方案IP地址是整個(gè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的基石，IP地址規(guī)劃不僅應(yīng)該滿(mǎn)足當(dāng)前的需求，還應(yīng)該充分的考慮系統(tǒng)將來(lái)的擴(kuò)展性，以滿(mǎn)足將來(lái)發(fā)展的需要。因此需要對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)的IP地址進(jìn)行統(tǒng)一規(guī)劃，IP地址規(guī)劃方案如下：在整個(gè)網(wǎng)絡(luò)環(huán)境

53、中必須保持IP地址的唯一性；根據(jù)業(yè)務(wù)情況，為每個(gè)單位局域網(wǎng)分配一個(gè)或多個(gè)C類(lèi)地址段（指掩碼為的地址段），或者使用VLSM技術(shù)進(jìn)一步進(jìn)行細(xì)化，如分配64個(gè)（掩碼92或者32個(gè)（掩碼24地址，滿(mǎn)足當(dāng)前要求，并留有一定的擴(kuò)充余地（如2-3倍），便于將來(lái)增加節(jié)點(diǎn)。地址分配具有層次性和連續(xù)性，便于管理，即在IP地址規(guī)劃時(shí)應(yīng)該充分的考慮利用路由匯總技術(shù)，減少路由波動(dòng)，使得各局部的變動(dòng)不影響整個(gè)網(wǎng)絡(luò)的其它部分，增加網(wǎng)絡(luò)的穩(wěn)定性，同時(shí)由于路由匯總技術(shù)能夠縮減路由表項(xiàng)數(shù)，所以還能夠提高路由器的處理效率。使用VLSM技術(shù)，在劃分IP地址

54、時(shí)應(yīng)該盡可能的減少I(mǎi)P地址浪費(fèi)：三層交換設(shè)備之間的互聯(lián)IP地址使用30位子網(wǎng)掩碼（52,以節(jié)約IP地址；網(wǎng)絡(luò)設(shè)備管理接口使用32位子網(wǎng)掩碼（55；在訪問(wèn)Internet時(shí)，使用NAT或者PAT技術(shù)通過(guò)防火墻設(shè)備進(jìn)行地址或者端口翻譯，把私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址，以獲得對(duì)Internet的訪問(wèn)；各局域網(wǎng)內(nèi)，根據(jù)業(yè)務(wù)情況，本著滿(mǎn)足需求和擴(kuò)展性的要求，劃分并預(yù)留出以下地址段：網(wǎng)絡(luò)設(shè)備地址段、服務(wù)器地址段、辦公網(wǎng)段。在劃分這些網(wǎng)段時(shí)，需要注意所有單位應(yīng)該統(tǒng)一規(guī)劃，以使地址分段全網(wǎng)統(tǒng)一，便于維護(hù)，其IP地址詳細(xì)規(guī)劃如表1:表1IP地址規(guī)劃表設(shè)備名接口地址說(shuō)

55、明PC1F0/0/241Vlan10PC11F0/0/24Vlan1116PC2F0/0/24Vlan20PC21F0/0/24:Vlan211PC3F0/0/24Vlan30PC31F0/0/24Vlan31FileF0/0/241Vlan511AdminF0/0/24Vlan52CoreSW1e0/0.100/24Vlan10e0/0.200/24Vla

56、n11e0/1.100/24Vlan20e0/1.200/24Vlan21e0/2.100/24:Vlan301e0/2.200/24Vlan31f1/0/30CoreSW1toPIXCoreSW2e0/0.100/24Vlan10e0/0.200/24Vlan11e0/1.100/24Vlan20e0/1.200/24Vlan21e0/2.100/24Vlan30e0/2.200/24Vlan31f1/0/30；CoreSW2toPIX1PIXf0/0/30PIXtoCoreSW1f1/0/30PIXtoCoreSW2f3/0.1/24Vlan51f3/0.2/24Vlan52s2/0/30PIXtoRouter1Router1s2/00/30Router1toPIXs2/1/24Ro