計算機網(wǎng)絡系統(tǒng)設(shè)計方案

1、民航西南地區(qū)管理局搬遷辦公區(qū)工程、成都民用航空醫(yī)學中心等業(yè)務用房及配套工程弱電系統(tǒng)計算機網(wǎng)絡系統(tǒng)設(shè)計方案目 錄一、項目概述3二、網(wǎng)絡系統(tǒng)實施目標3三、網(wǎng)絡設(shè)計原則3四、網(wǎng)絡系統(tǒng)主要任務6五、系統(tǒng)網(wǎng)絡建設(shè)基本要求6六、網(wǎng)絡總體規(guī)劃76、1辦公區(qū)外網(wǎng)網(wǎng)絡設(shè)計86、2 辦公區(qū)外網(wǎng)信息點86、3辦公區(qū)內(nèi)網(wǎng)網(wǎng)絡設(shè)計106、4辦公區(qū)內(nèi)網(wǎng)信息點10七、網(wǎng)絡邏輯設(shè)計127、1 IP地址規(guī)劃的范圍127、2 IP地址規(guī)劃的原則127、3 IP地址分配建議127、4具體IP地址分配13l網(wǎng)絡設(shè)備IP地址13l鏈路IP地址13l用戶主機IP地址137、5 VLAN 規(guī)劃147、6 網(wǎng)絡設(shè)備命名規(guī)則147、7 設(shè)備密

2、碼編碼規(guī)則15八、路由規(guī)劃158、1 路由協(xié)議選擇158、2 路由協(xié)議介紹168、3 路由設(shè)計19九、網(wǎng)絡可靠性設(shè)計209、1設(shè)備的可靠性209、2網(wǎng)絡結(jié)構(gòu)的可靠性21十、網(wǎng)絡安全性設(shè)計2910、1系統(tǒng)安全概述2910、2安全風險分析29物理安全風險29鏈路傳輸風險29網(wǎng)絡結(jié)構(gòu)安全風險分析30系統(tǒng)的安全風險分析30應用的安全風險分析31管理的安全風險分析3210、3安全技術(shù)手段32交換和虛擬網(wǎng)技術(shù)33訪問控制與可靠路由33Port Security技術(shù)34DHCP Snooping技術(shù)35Dynamic ARP Inspection技術(shù)36IP Source Guard技術(shù)36802.1x技術(shù)

3、37防火墻技術(shù)39入侵檢測技術(shù)43網(wǎng)絡分析技術(shù)45AAA認證技術(shù)47十一、服務質(zhì)量(QOS)設(shè)計48十二、網(wǎng)絡管理設(shè)計50十三、相關(guān)設(shè)備簡介5113、1 Cisco Catalyst 6500和6500-E系列交換機產(chǎn)品簡介5113、2 Cisco Catalyst 4500系列交換機6113、3 Catalyst 3560系列交換機6813、4 Cisco Catalyst 2960系列交換機83一、項目概述民航西南地區(qū)管理局網(wǎng)絡系統(tǒng)建設(shè)項目由辦公區(qū)辦公區(qū)由1、2、3、4、5號樓宇及辦公區(qū)室外道路、庭院組成,總建筑面積約0.9萬平方米，均為三類多層建筑。1號樓1層局部為汽車庫,2號樓地下層為

4、汽車庫及設(shè)備用房,其余均為辦公等用房。民航西南地區(qū)管理局轄管3省1區(qū)1市（四川省、云南省、貴州省、西藏自治區(qū)和重慶直轄市）的民航行業(yè)管理，管轄區(qū)域廣，信息量大，各類業(yè)務應用較多，是民航西南地區(qū)行業(yè)管理的數(shù)據(jù)交換、存儲中心。本工程是集辦公、科研、會議、培訓等功能于一體的綜合工程，將建成為全國同行業(yè)的標志性智能化辦公區(qū)，要求智能化系統(tǒng)的設(shè)計和建設(shè)達到國家智能化樓宇，力求達到甲級設(shè)計和施工的相關(guān)標準。二、網(wǎng)絡系統(tǒng)實施目標根據(jù)中國民航總局規(guī)定，辦公區(qū)計算機網(wǎng)絡分為內(nèi)網(wǎng)、外網(wǎng)兩套網(wǎng)絡，要求做到物理隔離。即線路、設(shè)備和設(shè)備機柜均要求物理隔離，并有明顯的標志。辦公區(qū)計算機網(wǎng)絡系統(tǒng)的實施目標是：建成支撐辦公區(qū)

5、和業(yè)務的信息網(wǎng)絡系統(tǒng)，實現(xiàn)辦公自動化、信息共享化、樓宇控制網(wǎng)絡化和管理科學化，外網(wǎng)與互聯(lián)網(wǎng)進行安全聯(lián)接，內(nèi)網(wǎng)與民航總局通過ATM連接。公安專網(wǎng)；民航公安局與四川省公安廳通過專線聯(lián)接，構(gòu)成公安專網(wǎng)。三、網(wǎng)絡設(shè)計原則信息網(wǎng)絡系統(tǒng)質(zhì)量的好壞，直接影響到西南民航管理局網(wǎng)絡的各項功能及各項業(yè)務的開展。因此，在網(wǎng)絡設(shè)備的選擇上，既要考慮采用符合國際標準的先進、成熟的技術(shù)和產(chǎn)品，又要考慮與原有系統(tǒng)整合的因素、人員的培訓狀況。本方案建議書將嚴格遵循以下網(wǎng)絡設(shè)計原則：(1) 模塊化設(shè)計：在本次網(wǎng)絡設(shè)計中，采用模塊化的設(shè)計思路。整個網(wǎng)絡系統(tǒng)從邏輯上分為三個層次：核心層(Core)、分布層(Distribution

6、)和訪問層（Access）每個層次都有其獨特的功能。 核心層是整個網(wǎng)絡系統(tǒng)的關(guān)鍵連接點，所有設(shè)備必須提供冗余部件。核心層必須是高可靠和適應網(wǎng)絡結(jié)構(gòu)的快速變化。分布層提供基于統(tǒng)一策略的互連性，它是核心層和訪問層的分界點，定義了網(wǎng)絡的邊界，對數(shù)據(jù)包進行復雜的運算。訪問層的主要功能是為工作組用戶提供對企業(yè)網(wǎng)絡訪問的途徑。另外，為保證網(wǎng)絡的可靠性，在網(wǎng)絡的拓樸中需采用冗余鏈路，應能充分利用這些冗余鏈路，既保證了網(wǎng)絡的可靠性又增加了網(wǎng)絡負載均衡能力。(2) 可靠性設(shè)計：為確保系統(tǒng)高可靠性，設(shè)計的網(wǎng)絡系統(tǒng)必須提供設(shè)備級、鏈路級和網(wǎng)絡層的可靠性。網(wǎng)絡系統(tǒng)的設(shè)備級可靠性：1+1冗余交換引擎冗余、負載均衡電源（

7、AC和DC）冗余共享風扇冗余系統(tǒng)時鐘冗余上行鏈路冗余交換矩陣包括電源、風扇、引擎、線路板模塊、交換背板在內(nèi)的所有系統(tǒng)單元都可熱插拔，如元件增加、轉(zhuǎn)移或替換，而不會導致相關(guān)業(yè)務中斷。在雙重交換引擎配置中，為了保護關(guān)鍵應用，需要在最短的時間內(nèi)將交換機控制轉(zhuǎn)換到冗余交換引擎上。所有系統(tǒng)單元都可現(xiàn)場替換，從而實現(xiàn)了最大服務性和最少的網(wǎng)絡停機時間。網(wǎng)絡鏈路級和網(wǎng)絡層可靠性：網(wǎng)絡應能承受元件、鏈路、電源以及其它類型的故障。網(wǎng)絡必須圍繞這些故障收斂，自愈，而不干擾網(wǎng)絡運行并使網(wǎng)絡業(yè)務的中斷最小化。一方面，網(wǎng)絡應該能夠完成所有這些任務，另一方面，它還要十分簡單，以使一般網(wǎng)絡管理人員都能配置、監(jiān)視并管理網(wǎng)絡環(huán)境

8、。提供網(wǎng)絡冗余的設(shè)備在網(wǎng)絡正常運行狀態(tài)下還要對網(wǎng)絡有其他好處，比如負載均衡等。核心層和分布層的設(shè)備都支持第三層交換機技術(shù)即路由技術(shù)，因此，核心層和分布層的鏈路備份采用OSPF等高級路由協(xié)議，支持相同成本(equal cost)的負載均衡技術(shù)。要求訪問層和分布層的第三層交換機采用熱備份路由協(xié)議，在出現(xiàn)災難性故障時，快速切換到備份系統(tǒng)。同時通過對備份優(yōu)先級的控制，實現(xiàn)多臺第三層交換機的負載均衡，即在正常運轉(zhuǎn)情況下，每臺第三層交換機同時各自為同一VLAN中不同的主機提供網(wǎng)關(guān)負載均衡服務。(3) 局域網(wǎng)的安全設(shè)計：網(wǎng)絡設(shè)備應該通過VLAN劃分來隔離不同的業(yè)務系統(tǒng)，在網(wǎng)絡第三層設(shè)備上要在不同的VLAN間

9、設(shè)置訪問控制列表，以實現(xiàn)VLAN之間的訪問控制。并且網(wǎng)絡中需要部署IDS入侵檢測系統(tǒng)，用于快速發(fā)現(xiàn)并定位內(nèi)部的威脅源。為了保護網(wǎng)絡的安全，在互聯(lián)網(wǎng)的出入口設(shè)置高性能的硬件千兆級防火墻。(4) 服務質(zhì)量的保證（QoS）要求網(wǎng)絡設(shè)備(尤其是中心交換機)應該具備以下指出的一些數(shù)據(jù)包級別區(qū)分、標識、帶寬控制、隊列管理等功能。802.1p分級與識別；IP Precedence分級與識別(此條針對第三層交換機)；擁塞避免丟包機制；帶寬分配機制。(5) 局域網(wǎng)的網(wǎng)絡管理：網(wǎng)絡管理提供的不只是一個網(wǎng)絡管理平臺，而是基于全線網(wǎng)絡設(shè)備的一系列系統(tǒng)管理軟件。網(wǎng)絡管理系統(tǒng)必須實現(xiàn)比如設(shè)備面板監(jiān)控、配置管理、設(shè)備軟件升

10、級管理、QoS服務質(zhì)量管理、安全管理、規(guī)劃管理等，以及許多現(xiàn)代網(wǎng)絡中必備的技術(shù)管理，如VLAN管理、訪問控制管理等功能。為用戶提供強大的網(wǎng)絡管理、分析和規(guī)劃手段。(6) 多點廣播的支持：隨著網(wǎng)上培訓、網(wǎng)上廣播等應用的普及，網(wǎng)絡中將越來越多地應用到多點廣播技術(shù)，如果局域網(wǎng)設(shè)備不支持多點廣播的相關(guān)協(xié)議和流量控制機制的話，就會造成網(wǎng)絡中傳輸了大量無用的廣播信息，浪費網(wǎng)絡帶寬，造成擁塞，影響網(wǎng)絡效率。規(guī)模越大的網(wǎng)絡，后果會越嚴重。設(shè)計的局域網(wǎng)網(wǎng)絡交換設(shè)備應支持以下協(xié)議和功能： IGMP；流量優(yōu)化機制(CGMP或 IGMP snooping)；Protocol Independent Multicast

11、 (PIM)等(針對第三層交換機或路由器)。四、網(wǎng)絡系統(tǒng)主要任務（1）建成穩(wěn)定可靠、高速快捷的局域網(wǎng)。（2）整個網(wǎng)絡可按行政分布、應用需求安全形成子網(wǎng)。（3）與公用網(wǎng)的互連，寬帶接入國際互聯(lián)網(wǎng)。（外網(wǎng)）（4）與民航總局ATM專網(wǎng)互聯(lián)。（內(nèi)網(wǎng)）（5）與本地公安專網(wǎng)互聯(lián)。（公安專網(wǎng)）（6）互聯(lián)網(wǎng)接口處有防火墻和入侵檢測功能。（7）能夠通過VPN接入提供移動辦公。（外網(wǎng)）（8）建立安全分區(qū)，按照應用需求設(shè)立區(qū)間過濾規(guī)則。（9）建立域結(jié)構(gòu)體制，實施域策略機制。（10）全面實施網(wǎng)絡管理，對服務器、交換機等實施實事監(jiān)控。五、系統(tǒng)網(wǎng)絡建設(shè)基本要求計算機信息網(wǎng)絡系統(tǒng)是一個面向本系統(tǒng)提供信息管理及辦公自動化服務

12、的網(wǎng)絡系統(tǒng)，能有效地與國內(nèi)公用網(wǎng)、相關(guān)專用網(wǎng)、國際互聯(lián)網(wǎng)互連。網(wǎng)絡主干采用千兆速率，百兆交換到桌面。因此，建網(wǎng)設(shè)計時應充分考慮到：保證網(wǎng)絡的可靠性、安全性，以適應網(wǎng)絡應用的實時效應、數(shù)據(jù)安全和應急備份的要求。實現(xiàn)網(wǎng)絡的互連性、開放性，采用國際標準網(wǎng)絡協(xié)議和國際通用技術(shù)設(shè)備。體現(xiàn)網(wǎng)絡的先進性，在滿足較佳的性能價格比的前提下，力求采用當前國際先進而又成熟的技術(shù)和設(shè)備。網(wǎng)絡的總體結(jié)構(gòu)要先進，支持WWW瀏覽器、QOS、客戶服務器及分布式數(shù)據(jù)庫計算方式。考慮網(wǎng)絡的可擴展性，以適應網(wǎng)絡功能擴充、新技術(shù)應用和網(wǎng)絡系統(tǒng)的升級。網(wǎng)絡具備支持TCPIP等多種協(xié)議的能力。六、網(wǎng)絡總體規(guī)劃辦公區(qū)計算機信息網(wǎng)絡（包括內(nèi)

13、、外和專網(wǎng)）的拓撲結(jié)構(gòu)采用星型結(jié)構(gòu)的以太網(wǎng)，計算機網(wǎng)絡中心設(shè)立在1號樓，整個網(wǎng)絡支持VLAN管理，千兆到樓宇，百兆到桌面。子網(wǎng)與子網(wǎng)之間的安全互連考慮與相關(guān)業(yè)務的往來，辦公區(qū)內(nèi)網(wǎng)應為智能化管理設(shè)立獨立的通信子網(wǎng)；建立BAS數(shù)據(jù)通信子網(wǎng)。建立消防廣播、背景音樂數(shù)據(jù)通信子網(wǎng)。建立視頻監(jiān)控數(shù)據(jù)通信子網(wǎng)。建立門禁系統(tǒng)、停車場系統(tǒng)管理數(shù)據(jù)通信子網(wǎng)。周界防范通信子網(wǎng)。住宅小區(qū)網(wǎng)絡為智能化管理設(shè)立獨立的通信子網(wǎng)；建立BAS數(shù)據(jù)通信子網(wǎng)。建立消防廣播、背景音樂數(shù)據(jù)通信子網(wǎng)。建立視頻監(jiān)控數(shù)據(jù)通信子網(wǎng)。周界防范通信子網(wǎng)。6、1辦公區(qū)外網(wǎng)網(wǎng)絡設(shè)計從圖上可以看到，辦公區(qū)外網(wǎng)拓撲結(jié)構(gòu)采用星型結(jié)構(gòu)的以太網(wǎng)，網(wǎng)絡從應用層面

14、上分為核心層，匯聚層和接入層，辦公區(qū)外網(wǎng)獨立布線，與辦公區(qū)內(nèi)網(wǎng)物理隔離。其中，核心層設(shè)備設(shè)立在1號樓網(wǎng)絡中心，匯聚層分布在1，2，3，4，5號樓接點機房，接入層分布在1，2，3，4，5號樓各個樓層。核心層和匯聚層設(shè)備之間通過千兆光纖連接，匯聚層同接入層之間通過千兆雙絞線連接。在辦公區(qū)外網(wǎng)1號樓網(wǎng)絡中心中配置了兩臺cisco6509核心交換機，兩臺兩臺cisco6509核心交換機之間做雙機冗余，在辦公區(qū)外網(wǎng)1，2，3號樓接點機房各配置了兩臺cisco3560G匯聚交換機，每兩臺cisco3560G匯聚交換機之間做雙機冗余，在辦公區(qū)外網(wǎng)4，5號樓接點機房各配置一臺cisco3560G匯聚交換機做樓

15、層接入交換機的匯聚。在辦公區(qū)外網(wǎng)1，2，3號樓接入層交換機采用cisco2960接入交換機，4、5號樓接入層交換機采用相應搬遷網(wǎng)絡設(shè)備。接入層交換機實現(xiàn)百兆到用戶桌面。6、2 辦公區(qū)外網(wǎng)信息點辦公區(qū)外網(wǎng)網(wǎng)絡信息點如下表所示：樓號層號外網(wǎng)口數(shù)11222513311號樓合計：104201611622833842號樓合計：34531242393號樓合計：6341172764號樓合計：935091385號樓合計：47共計：6436、3辦公區(qū)內(nèi)網(wǎng)網(wǎng)絡設(shè)計從圖上可以看到，辦公區(qū)內(nèi)網(wǎng)拓撲結(jié)構(gòu)同樣采用星型結(jié)構(gòu)的以太網(wǎng)，網(wǎng)絡從應用層面上分為核心層，匯聚層和接入層。辦公區(qū)內(nèi)網(wǎng)獨立布線，與辦公區(qū)外網(wǎng)物理隔離。其中，

16、核心層設(shè)備設(shè)立在1號樓網(wǎng)絡中心，匯聚層分布在1，2，3，4，5號樓接點機房，接入層分布在1，2，3，4，5號樓各個樓層。核心層和匯聚層設(shè)備之間通過千兆光纖連接，匯聚層同接入層之間通過千兆雙絞線連接。在辦公區(qū)內(nèi)網(wǎng)1號樓網(wǎng)絡中心中配置了兩臺cisco4506核心交換機，兩臺兩臺cisco4506核心交換機之間做雙機冗余，在辦公區(qū)內(nèi)網(wǎng)1，2，3號樓接點機房各配置了兩臺cisco3560G匯聚交換機，每兩臺cisco3560G匯聚交換機之間做雙機冗余，在辦公區(qū)內(nèi)網(wǎng)4，5號樓接點機房各配置一臺cisco3560G匯聚交換機做樓層接入交換機的匯聚。在辦公區(qū)內(nèi)網(wǎng)1，2，3號樓接入層交換機采用cisco296

17、0接入交換機，4、5號樓接入層交換機采用相應搬遷網(wǎng)絡設(shè)備。接入層交換機實現(xiàn)百兆到用戶桌面。6、4辦公區(qū)內(nèi)網(wǎng)信息點辦公區(qū)內(nèi)網(wǎng)網(wǎng)絡信息點如下表所示：樓號層號內(nèi)網(wǎng)口數(shù)11 182 473 271號樓合計：9220 1 1582 793 802號樓合計：31731 222 373號樓合計：5941 42 4號樓合計：450 11 85號樓合計：9共計：480七、網(wǎng)絡邏輯設(shè)計7、1 IP地址規(guī)劃的范圍西南民航地區(qū)管理局IP網(wǎng)全網(wǎng)的網(wǎng)絡設(shè)備IP地址分配、鏈路IP地址分配、用戶主機的IP地址分配、預留地址空間等（需要根據(jù)工程實施前的網(wǎng)絡調(diào)研來進行具體確定）。7、2 IP地址規(guī)劃的原則IP地址規(guī)劃遵循以下原則

18、：IP地址的規(guī)劃與劃分應該考慮到未來業(yè)務的飛速發(fā)展，能夠滿足未來發(fā)展的需要，充分考慮未來業(yè)務發(fā)展，預留相應的地址段，制定較為寬松的IP地址使用空間，申請較多的IP地址來適應網(wǎng)絡發(fā)展的需要。IP地址的分配需要有足夠的靈活性，能夠滿足各種網(wǎng)絡接入的需要；地址分配是由業(yè)務驅(qū)動，按照先業(yè)務后區(qū)域的矩陣方式分配地址段；IP地址的分配必須采用VLSM技術(shù)，保證IP地址的利用效率；采用CIDR技術(shù)，這樣可以減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡中廣播的路由信息的大??；7、3 IP地址分配建議我們建議網(wǎng)絡設(shè)備IP地址，鏈路IP地址，用戶主機IP地址分為連續(xù)的三塊地址段，每塊地址段按2

19、0的預留地址空間進行IP段預留。對辦公網(wǎng)外網(wǎng)，內(nèi)網(wǎng)以及小區(qū)網(wǎng)絡而言，我們建議網(wǎng)絡設(shè)備IP地址，鏈路IP地址，用戶主機IP地址盡量采用私有IP地址，以節(jié)約相應的公網(wǎng)IP地址資源，僅僅在對外互連的部分，保留原有的IP地址的分配?？紤]到手工IP地址管理的復雜性，我們建議在用戶主機IP分配的時候，在可能的情況下，盡量對用戶主機IP地址進行DHCP自動非配，以緩解網(wǎng)絡管理的工作壓力。7、4具體IP地址分配l 網(wǎng)絡設(shè)備IP地址網(wǎng)絡設(shè)備的Loopback地址，是保證OSPF內(nèi)部路由協(xié)議的正常運行的重要條件。各網(wǎng)絡設(shè)備的Loopback地址，對于整個網(wǎng)絡的正常運行，有著至關(guān)重要的作用，因而對于各個網(wǎng)絡設(shè)備的L

20、oopback的分配和管理，應當采取統(tǒng)一的專有地址空間。通過為所有的網(wǎng)絡設(shè)備分配一個專有的地址空間，能夠更為有效地進行路由器的路由配置和管理，以及方便今后的故障的診斷和排除。所有網(wǎng)絡設(shè)備全部使用靜態(tài)公網(wǎng)地址（Lookback管理地址）；l 鏈路IP地址網(wǎng)絡設(shè)備間鏈路的IP地址，從業(yè)務的相關(guān)性上，他們一般不具有全局的功能，而只是提供完成兩個網(wǎng)絡之間的連接。因而從這個角度上講，這部分的地址空間的分配應當考慮以下的方面：盡可能以分層次的方式為他們分配地址。由于鏈路地址空間不具有全局性，因而并不需要在全網(wǎng)范圍內(nèi)為每個鏈路保持精確路由。而采取分層次的地址分配方式，能夠?qū)㈡溌返刂分鸺墔R總，從而使得這些地址

21、在各路由器的路由表中占有較少的空間。以降低對路由器的要求，并保證網(wǎng)絡設(shè)備的處理效率。提供足夠的預留空間，以滿足今后新增鏈路的需要。采用上面的分層次的鏈路地址分配結(jié)構(gòu)，能夠保證路由處理的高效性。而在實施的過程中，應當考慮到在根據(jù)業(yè)務需要新增鏈路的時候，這種分層次的結(jié)構(gòu)盡量不會被打破。那么，就需要在初期分配的時候，考慮到不遠的將來可能進行的擴容，從而進行相應的預留。所有網(wǎng)絡鏈路（設(shè)備接口）地址全部使用靜態(tài)公網(wǎng)地址（互聯(lián)地址）；l 用戶主機IP地址用戶主機的IP地址建議在可能的情況下采用DHCP方式進行地址的分配；我們建議按下表進行相應的地址分配，需要注意這僅僅是我們的建議，具體IP地址分配需要在項

22、目實施調(diào)研開始后進行更正。地址分類對應網(wǎng)段子網(wǎng)掩碼備注網(wǎng)絡設(shè)備IP地址辦公內(nèi)網(wǎng)網(wǎng)絡設(shè)備loopback地址鏈路IP地址辦公內(nèi)網(wǎng)網(wǎng)絡設(shè)備互連地址服務器IP地址辦公內(nèi)網(wǎng)服務IP地址用戶主機IP地址辦公內(nèi)網(wǎng)主機IP地址網(wǎng)絡設(shè)備IP地址辦公外網(wǎng)網(wǎng)絡設(shè)備loopback地址鏈路IP地址辦公外網(wǎng)網(wǎng)絡設(shè)備互連地址服務器IP地址255.255.2

23、48.0辦公外網(wǎng)服務IP地址用戶主機IP地址辦公外網(wǎng)主機IP地址7、5 VLAN 規(guī)劃Vlan編號用途備注1網(wǎng)絡設(shè)備管理內(nèi)外網(wǎng)均用此號100服務器vlan內(nèi)外網(wǎng)均用此號105-125用戶vlan內(nèi)外網(wǎng)均用此號125-130預留vlan內(nèi)外網(wǎng)均用此號7、6 網(wǎng)絡設(shè)備命名規(guī)則網(wǎng)絡設(shè)備的命名對于遠程操作而言非常重要，好的命名不但可以識別設(shè)備，還能知道相應的設(shè)備型號和地址，我們建議按以下原則進行網(wǎng)絡設(shè)備的命名設(shè)備地址_設(shè)備型號_設(shè)備編號設(shè)備地址：設(shè)備地址必須能夠清楚標明地址，具體為OAOUTSIDE (辦公外網(wǎng))，OAINSIDE(辦公內(nèi)網(wǎng))，GAZW（公安專

24、網(wǎng)）和XQWL(小區(qū)網(wǎng)絡)。設(shè)備型號：設(shè)備型號應當具體標明設(shè)備類型和具體型號，具體為S6509,S4507，S3560,S2960等。設(shè)備編號作為全網(wǎng)所有網(wǎng)絡設(shè)備的數(shù)量的一個計數(shù)，我們一般建議全網(wǎng)的計數(shù)編號應當統(tǒng)一。7、7 設(shè)備密碼編碼規(guī)則網(wǎng)絡設(shè)備密碼編碼如果有規(guī)律可尋，雖然對管理人員來講容易記憶且方便運維，但是這從而也增加了網(wǎng)絡安全漏洞。如果設(shè)置的密碼有規(guī)律，就有可能被別人猜出密碼。為了安全起見，不建議采用有規(guī)則的密碼方式，這樣對網(wǎng)絡安全有幫助。為此我們建議：不要在密碼中使用您能夠認識的常用單詞例如像是您的名字或家庭成員的名字。請使用大小寫字母混合的密碼。它可以有效地讓您的密碼變得比現(xiàn)在更穩(wěn)

25、當，因為您有 52 個字母可以選擇。您不用擔心文法。使用最少含有 6 個字符的密碼，并依據(jù)本清單上其它的建議，由字母和符號加以組成。 在每個網(wǎng)絡設(shè)備使用不同的密碼。定期修改密碼。八、路由規(guī)劃8、1 路由協(xié)議選擇當跨網(wǎng)絡進行數(shù)據(jù)傳輸前，傳送方需要“知道”數(shù)據(jù)發(fā)送的路徑或方向，這通過路由來完成。路由包括兩個基本的活動：決定路由路徑和通過網(wǎng)絡傳送數(shù)據(jù)。后一活動通常是指封包交換，相對比較簡單明晰，而且對于大多數(shù)路由協(xié)議來說基本相同，相反決定路由路徑要復雜得多。靜態(tài)路由選擇的路由表映射（由源到目的地或?qū)W(wǎng)關(guān)路徑）由系統(tǒng)管理員在路由器或計算機開始工作前設(shè)定。除非網(wǎng)絡管理員加以重新配置，否則他們將無法自動

26、改變。由于靜態(tài)路由簡單和易于實現(xiàn)的，所以對于小型的、數(shù)據(jù)傳輸可以預見的網(wǎng)絡是一個好的選擇。由于靜態(tài)路由不能對網(wǎng)絡的變化做出相應的改變，所以它們不能適用于今天的大型、一直處于變化中的網(wǎng)絡，在這些系統(tǒng)中所采用的將是動態(tài)路由。動態(tài)路由選擇采用動態(tài)路由算法，它由路由器或計算機根據(jù)所收到的路由更新信息，自動地通過實時的調(diào)整來改變網(wǎng)絡上數(shù)據(jù)的傳輸路線。如果網(wǎng)絡的鏈路情況發(fā)生了改變，相連的設(shè)備上的路由軟件將重新計算路由，并把該信息作為新的路由更新信息發(fā)送出去。這些路由更新信息將到達網(wǎng)絡的每個角落，從而使相關(guān)的路由器重新計算路由，并對它們的路由表進行更新。動態(tài)路由算法可以作為靜態(tài)路由算法的適當?shù)难a充。即在計算

27、機上采用靜態(tài)路由，指明到達相應目的地的網(wǎng)關(guān)（路由器），而在網(wǎng)關(guān)（路由器）之間采用動態(tài)路由。這樣做的好處是可以避免把計算機資源用于對動態(tài)路由的計算，而該計算由“善于此道”的路由器來完成。8、2 路由協(xié)議介紹動態(tài)路由原理動態(tài)路由選擇協(xié)議通過大量的控制消息傳輸來維護它們路由表，路由刷新信息是其中的重要控制消息。路由刷新信息通?？梢詷?gòu)造出部分或全部的路由表，通過分析來自所有路由器的刷新消息，路由表可以構(gòu)造出非常詳細的完整網(wǎng)絡拓撲關(guān)系。鏈路狀態(tài)廣播是另外一種重要的控制消息，鏈路狀態(tài)廣播通知其它的路由器有關(guān)發(fā)送者的鏈路狀態(tài)，可以被路由器用來構(gòu)造網(wǎng)絡拓撲關(guān)系。一旦網(wǎng)絡拓撲關(guān)系清楚明朗了之后，動態(tài)路由協(xié)議就能

28、計算出通向目的地的最佳路由。動態(tài)路由選擇算法通常滿足下面列舉的一個或多個要求：最佳性：指路由選擇算法具有選擇最佳路由的能力簡易性及低開銷：路由選擇算法必須使用最少的軟件和最低的開銷來高效地實現(xiàn)其功能。強壯性及穩(wěn)定性：路由選擇算法必須是強壯的，也就是說，它們在異常和非預期的情況下也能正常地工作，如硬件故障、負載過高和操作失誤等。迅速收斂性：動態(tài)路由選擇算法必須能夠迅速收斂（收斂是所有路由器在最佳路徑上取得一致的過程）。動態(tài)路由選擇算法收斂過程緩慢可能導致路由選擇循環(huán)或網(wǎng)絡出現(xiàn)故障。靈活性：指能夠迅速準確地適應不同的網(wǎng)絡環(huán)境。能適應網(wǎng)絡的連通情況、網(wǎng)絡帶寬、路由器隊列大小、網(wǎng)絡延遲以及其它參數(shù)的改

29、變。常見的動態(tài)路由協(xié)議目前常見的動態(tài)路由協(xié)議主要有以下幾種：路由信息協(xié)議（RIP）RIP是一個標準化的內(nèi)部網(wǎng)關(guān)協(xié)議，也是最早廣泛使用的動態(tài)路由選擇協(xié)議。它采用距離向量來決定路由，RIP的不同版本可以支持除IP協(xié)議以外的其他路由傳輸協(xié)議（如IPX、AppleTalk等）。由于RIP采用周期性的廣播整個路由表的方式來實現(xiàn)路由的更新和發(fā)現(xiàn)，所以它對通訊資源的占用較大。RIP協(xié)議規(guī)定最大的節(jié)點計數(shù)為15個，任何經(jīng)過多于15個中間節(jié)點才能到達的目標都被認為是不可到達的；RIP不支持層次結(jié)構(gòu)。盡管RIP有著眾多的缺點，但由于它實現(xiàn)簡單，并且是可以在UNIX主機上實現(xiàn)的動態(tài)路由選擇協(xié)議，所以在小型的局域網(wǎng)系

30、統(tǒng)中還是大量采用。開放最短路徑優(yōu)先協(xié)議（OSPF）OSPF也是一個標準化的協(xié)議，它只支持TCP/IP協(xié)議。OSPF是一種使用鏈路狀態(tài)算法的路由選擇協(xié)議，因此它要求將鏈路狀態(tài)廣告（LSA）發(fā)送給位于同一層次區(qū)域內(nèi)的所有其它路由器。隨著OSPF路由器逐漸地積累鏈路狀態(tài)信息，它們就可以采用SPF算法來計算通向每一個節(jié)點的最短路徑。每臺OSPF路由器都周期性地發(fā)送一次鏈路狀態(tài)宣告（LSA）信息，當路由器的狀態(tài)發(fā)生改變時也可以發(fā)送LSA信息。通過對比已建立的鏈路狀態(tài)的鄰接關(guān)系，出現(xiàn)故障的路由器很容易就能被快速地檢測出來，因而網(wǎng)絡的拓撲結(jié)構(gòu)就能立即做出恰當?shù)淖兓?。每臺OSPF路由器都有自己獨立的、通過LS

31、A信息構(gòu)造的拓撲結(jié)構(gòu)數(shù)據(jù)庫，所以每臺路由器都可以獨立地計算出一棵最短路徑樹，最短路徑樹的樹根就是路由器本身。進一步，最短路徑樹就構(gòu)造成了OSPF路由選擇表。OSPF是一種支持層次結(jié)構(gòu)的路由選擇協(xié)議。層次中的最大實體是自治系統(tǒng)（AS）。自治系統(tǒng)能夠被劃分成若干個區(qū)域，每一個區(qū)域是由一組互相連接的網(wǎng)絡和與網(wǎng)絡直接相連的主機組成。具有多個接口的路由器可以同時屬于多個區(qū)域，這些路由器被命名為區(qū)域邊界路由器，它們?yōu)槊恳粋€區(qū)域保存單獨的拓撲結(jié)構(gòu)數(shù)據(jù)庫。將自治系統(tǒng)劃分成一個個的區(qū)域的好處是： OSPF會花較少的網(wǎng)絡資源用于路由選擇信息的傳輸，從而在一定程度上提高了網(wǎng)絡的性能。在OSPF中有兩種類型的區(qū)域存在

32、：骨干區(qū)域和非骨干區(qū)域，它們也構(gòu)成了OSPF的兩個層次。非骨干區(qū)域間的數(shù)據(jù)傳輸要經(jīng)由骨干區(qū)域來完成。在一個OSPF自治系統(tǒng)系統(tǒng)中，只允許有一個骨干區(qū)域，非骨干區(qū)域可以有好多個。OSPF屬于自治系統(tǒng)內(nèi)部（內(nèi)部網(wǎng)關(guān)）路由選擇協(xié)議，盡管OSPF能接收來自其它自治系統(tǒng)的路由信息，同時能向其它自治系統(tǒng)發(fā)送路由信息。運行OSPF的自治系統(tǒng)邊界路由器可以通過外部網(wǎng)關(guān)協(xié)議簇或配置信息來學習自治系統(tǒng)外部的路由信息，這些協(xié)議包括外部網(wǎng)關(guān)協(xié)議（EGP）和邊界網(wǎng)關(guān)協(xié)議（BGP）等。OSPF協(xié)議還支持可變長的子網(wǎng)掩碼。通過使用可變長的子網(wǎng)掩碼，一個IP網(wǎng)絡能夠被劃分成若干大小不等的子網(wǎng)，這樣為網(wǎng)絡管理人員對網(wǎng)絡進行配置

33、提供了更大的靈活性，同時也可以在區(qū)域邊界路由器上實現(xiàn)對路由信息的合并。增強型內(nèi)部網(wǎng)關(guān)路由協(xié)議（EIGRP）EIGRP是IGRP協(xié)議的增強版本，也是有CISCO公司獨立開發(fā)的路由選擇協(xié)議。EIGRP協(xié)議版本組合了鏈路狀態(tài)路由選擇協(xié)議和距離向量路由選擇協(xié)議的長處，同時還綜合SRI公司開發(fā)的分散刷新算法（DUAL）的許多新特點。EIGRP協(xié)議主要包括了如下一些新的特征：快速收斂運行EIGRP協(xié)議的路由器存儲所有相鄰路由器的路由選擇表，這樣能夠快速地適應路由的變化?？勺冮L子網(wǎng)掩碼EIGRP協(xié)議對可變長子網(wǎng)掩碼提供全面的支持，根據(jù)網(wǎng)絡號邊界可以自動地總結(jié)子網(wǎng)路由，而且EIGRP協(xié)議可以根據(jù)任意二進制位邊

34、界總結(jié)局部路由。部分界定刷新EIGRP協(xié)議不提供周期性的路由刷新消息功能，只有那些需要新信息的路由器才被刷新；所以EIGRP協(xié)議于IGRP相比明顯地節(jié)約了網(wǎng)絡帶寬。多網(wǎng)絡傳輸協(xié)議支持EIGRP協(xié)議支持的網(wǎng)絡傳輸協(xié)議包括AppleTalk、IP和NetWare IPX等協(xié)議。EIGRP協(xié)議是一個內(nèi)部網(wǎng)關(guān)協(xié)議。運行EIGRP協(xié)議的直接相連的網(wǎng)絡可以認為是一個內(nèi)部路由系統(tǒng)，路由信息可以通過EIGRP協(xié)議自主系統(tǒng)傳播。EIGRP也可學習到外部路由，這些路由被單個地標上了與它們有關(guān)的原協(xié)議信息。EIGRP協(xié)議本身不是一個層次結(jié)構(gòu)的路由選擇協(xié)議，但由于EIGRP支持在人以一個節(jié)點上的地址合并，所以可以使用

35、EIGRP來構(gòu)成層次結(jié)構(gòu)。邊界網(wǎng)關(guān)協(xié)議（BGP）與以上四種路由選擇協(xié)議不同的是，上述協(xié)議都是內(nèi)部網(wǎng)關(guān)協(xié)議，而BGP是一個外部網(wǎng)關(guān)協(xié)議。BGP針對克服早期的外部網(wǎng)關(guān)協(xié)議（EGP）的問題而開發(fā)的，它是滿足不同自治系統(tǒng)間路由選擇的協(xié)議。與其他路由選擇協(xié)議不同的是：BGP不需要對路由表進行定期的更新。動態(tài)路由協(xié)議的選用動態(tài)路由協(xié)議的選定需要根據(jù)用戶的具體要求和實際情況選定。一般需要考慮以下因素來選定動態(tài)路由協(xié)議：（1）適用于大規(guī)模網(wǎng)絡（2）符合用戶的管理模式和應用系統(tǒng)的數(shù)據(jù)流向（3）一個開放性的協(xié)議隨著現(xiàn)代計算機系統(tǒng)的不斷擴大，對不同環(huán)境、不同廠商產(chǎn)品間實現(xiàn)互連的要求越來越高，開放性已經(jīng)成為衡量一個產(chǎn)

36、品的重要依據(jù)。這里的開放性包含了標準的制定、與其他同類產(chǎn)品的接口等因素在內(nèi)。（4）安全性和可靠性路由選擇協(xié)議的安全性和可靠性是整個計算機系統(tǒng)安全性和可靠性的一個重要環(huán)節(jié)；尤其是對于民航西南地區(qū)管理局網(wǎng)絡系統(tǒng)這樣需要常年實時運作的系統(tǒng)，更是來不得半點差錯。所選擇的路由選擇協(xié)議必須是可靠的和有一定的安全保障的。（5）可以滿足系統(tǒng)未來發(fā)展的要求隨著計算機技術(shù)的不斷發(fā)展和計算機應用的不斷深入，可以預見，民航西南地區(qū)管理局網(wǎng)絡系統(tǒng)是一個不斷發(fā)展和擴充的系統(tǒng)。所以在路由選擇協(xié)議的選定和結(jié)構(gòu)設(shè)計階段就要考慮未來系統(tǒng)擴展的需要，留下系統(tǒng)擴展的充分余地。8、3 路由設(shè)計根據(jù)前面對各種動態(tài)路由協(xié)議的分析比較，可以

37、看出由于RIP協(xié)議自身的局限性，使它不適合作為層次比較多的大型網(wǎng)絡的骨干路由協(xié)議。OSPF和EIGRP是兩種比較好的動態(tài)路由協(xié)議，它們具有快速的路由收斂速度，在性能上各有特點和長處，而且目前國內(nèi)有許多采用上述兩個協(xié)議建立的大型網(wǎng)絡運行，有很多的經(jīng)驗可以參考，應該講這兩個協(xié)議都可以滿足網(wǎng)絡的需求。但是EIGRP是CISCO專有的路由協(xié)議，因此考慮到系統(tǒng)未來的擴展和與其他網(wǎng)絡系統(tǒng)連接的問題，所以我們推薦以O(shè)SPF作為民航西南地區(qū)管理局的路由選擇協(xié)議。我們建議的OSPF參數(shù)如下表所示，具體的參數(shù)需要在網(wǎng)絡實施時確定。OSPF進程號OSPF區(qū)域?qū)O(shè)備1000辦公內(nèi)網(wǎng)核心交換機1000辦公內(nèi)網(wǎng)匯聚交換

38、機1000辦公外網(wǎng)核心交換機1000辦公外網(wǎng)匯聚交換機九、網(wǎng)絡可靠性設(shè)計9、1設(shè)備的可靠性對辦公網(wǎng)外網(wǎng)cisco6509核心交換機而言，今后可以在需要時通過增加一個引擎模板實現(xiàn)1+1引擎冗余，每個引擎都可以提供100%處理能力。交換引擎之間通過Stateful Switch Over和No Stop Forwarding技術(shù)進行切換的時間<=5秒，完全不影響應用程序的運行。同時，辦公網(wǎng)外網(wǎng)cisco6509核心交換機采用冗余電源、散熱風扇等配置，也進一步保證了核心交換機不會因為電源或風扇故障而產(chǎn)生宕機。辦公網(wǎng)外網(wǎng)cisco6509核心交換機電源、風扇、引擎、線路板模塊、交換背板在內(nèi)的所有

39、系統(tǒng)單元都可熱插拔，如元件增加、轉(zhuǎn)移或替換，而不會導致相關(guān)業(yè)務中斷。對辦公網(wǎng)內(nèi)網(wǎng)cisco4507R核心交換機而言，對辦公網(wǎng)外網(wǎng)cisco6509核心交換機而言，今后可以在需要時通過增加一個引擎模板實現(xiàn)1+1引擎冗余，每個引擎都可以提供100%處理能力。交換引擎之間通過Stateful Switch Over和No Stop Forwarding技術(shù)進行切換的時間<=5秒，完全不影響應用程序的運行。同時，辦公網(wǎng)內(nèi)網(wǎng)cisco4507R核心交換機也同樣采用用冗余電源的配置，保證了辦公網(wǎng)內(nèi)網(wǎng)cisco4507R核心交換機不會因為電源故障而產(chǎn)生宕機。9、2網(wǎng)絡結(jié)構(gòu)的可靠性從上圖我們可以看到，無

40、論是辦公網(wǎng)內(nèi)網(wǎng)還是外網(wǎng)，核心層，匯聚層和接入層在網(wǎng)絡結(jié)構(gòu)上都采用雙鏈路上聯(lián)的方式來實現(xiàn)全網(wǎng)的鏈路冗余，這樣的好處是無論上一層的設(shè)備出現(xiàn)何種故障，都不會影響下一層設(shè)備的上聯(lián)鏈路的中斷。具體實現(xiàn)方法如下在接入層到到匯聚層的鏈路為二層鏈路，其物理鏈路的冗余主要依靠生成樹協(xié)議實現(xiàn)。在第二層網(wǎng)絡中，路由協(xié)議不可用，生成樹協(xié)議通過從網(wǎng)格化物理拓撲結(jié)構(gòu)而構(gòu)建一個無環(huán)路邏輯轉(zhuǎn)發(fā)拓撲結(jié)構(gòu)，提供了冗余連接，消除了數(shù)據(jù)流量環(huán)路的威脅。原始生成樹協(xié)議 IEEE 802.1D 通常在 50 秒內(nèi)就可以恢復一個鏈接故障 融合時間 = （ 2xForward_Delay ） +Max_Age 。當設(shè)計此協(xié)議時，這種停機還是

41、可接受的，但是當前的關(guān)鍵任務應用（如語音和視頻）卻要求更快速的網(wǎng)絡融合。為加速網(wǎng)絡融合并解決與生成樹和虛擬 LAN （ VLAN ）交互相關(guān)的地址可擴展性限制的問題， IEEE 委員會開發(fā)了兩種新標準：在 IEEE 802.1w 中定義的快速生成樹協(xié)議（ RSTP ）和在 IEEE 802.1s 中定義的多生成樹協(xié)議（ MST ）IEEE 802.1w 快速生成樹協(xié)議IEEE 意識到原始 802.1D 生成樹協(xié)議的融合特性與現(xiàn)代化的交換網(wǎng)絡和應用相比是有差距的，為此設(shè)計了一種全新的 802.1w 快速生成樹協(xié)議（ RSTP ），以解決 802.1D 的融合問題。 IEEE 802.1w RST

42、P 的特點是將許多思科增值生成樹擴展特性融入原始 802.1D 中，如 Portfast 、 Uplinkfast 和 Backbonefast 。通過利用一種主動的網(wǎng)橋到網(wǎng)橋握手機制取代 802.1D 根網(wǎng)橋中定義的計時器功能， IEEE 802.1w 協(xié)議提供了交換機（網(wǎng)橋）、交換機端口（網(wǎng)橋端口）或整個 LAN 的快速故障恢復功能。通過將生成樹“ hello ”作為本地鏈接保留的標志， RSTP 改變了拓撲結(jié)構(gòu)的保留方式。這種做法使原始 802.1D fwd-delay 和 max-age 計時器主要成為冗余設(shè)備，目前主要用于備份，以保持協(xié)議的正常運營。 RSTP 引入了新的 BPDU

43、處理和新的拓撲結(jié)構(gòu)變更機制。每個網(wǎng)橋每次“ hello time ”都會生成 BPDU ，即使它不從根網(wǎng)橋接收時也是如此。 BPDU 起著網(wǎng)橋間保留信息的作用。如果一個網(wǎng)橋未能從相鄰網(wǎng)橋收到 BPDU ，它就會認為已與該網(wǎng)橋失去連接，從而實現(xiàn)更快速的故障檢測和融合。在 RSTP 中，拓撲結(jié)構(gòu)變更只在非邊緣端口轉(zhuǎn)入轉(zhuǎn)發(fā)狀態(tài)時發(fā)生。丟失連接例如端口轉(zhuǎn)入阻塞狀態(tài)，不會像 802.1D 一樣引起拓撲結(jié)構(gòu)變更。 802.1w 的拓撲結(jié)構(gòu)變更通知（ TCN ）功能不同于 802.1D ，它減少了數(shù)據(jù)的溢流。在 802.1D 中， TCN 被單播至根網(wǎng)橋，然后組播至所有網(wǎng)橋。 802.1D TCN 的接收使

44、網(wǎng)橋?qū)⑥D(zhuǎn)發(fā)表中的所有內(nèi)容快速失效，而無論網(wǎng)橋轉(zhuǎn)發(fā)拓撲結(jié)構(gòu)是否受到影響。相形之下， RSTP 則通過明確地告知網(wǎng)橋，溢出除了經(jīng)由 TCN 接收端口了解到的內(nèi)容外的所有內(nèi)容，優(yōu)化了該流程。 TCN 行為的這一改變極大地降低了拓撲結(jié)構(gòu)變更過程中， MAC 地址的溢出量。端口作用RSTP 在端口狀態(tài)（轉(zhuǎn)發(fā)或阻塞流量）和端口作用（是否在拓撲結(jié)構(gòu)中發(fā)揮積極作用）間進行了明確的劃分。除了從 802.1D 沿襲下來的根端口和指定端口定義外，還定義了兩種新的作用（見下圖 ）： 備份端口 用于指定端口到生成樹樹葉的路徑的備份，僅在到共享 LAN 網(wǎng)段有 2 個或 2 個以上連接，或 2 個端口通過點到點鏈路連接為

45、環(huán)路時存在 替代端口 提供了替代當前根端口所提供路徑、到根網(wǎng)橋的路徑這些 RSTP 中的新端口實現(xiàn)了在根端口故障時替代端口到轉(zhuǎn)發(fā)端口的快速轉(zhuǎn)換。下面的例子中詳細解釋了此過程。端口狀態(tài)端口的狀態(tài)控制轉(zhuǎn)發(fā)和學習過程的運行。RSTP 定義了 3 種狀態(tài)：放棄、學習和轉(zhuǎn)發(fā)。根或指定端口在拓撲結(jié)構(gòu)中發(fā)揮著積極作用，而替代或備份端口不參與主動拓撲結(jié)構(gòu)。在穩(wěn)定的網(wǎng)絡中，根和指定端口處于轉(zhuǎn)發(fā)狀態(tài)，替代和備份端口則處于放棄狀態(tài)?？焖偃诤细攀鋈缜八?， RSTP 旨在盡快地將根端口和指定端口轉(zhuǎn)成轉(zhuǎn)發(fā)狀態(tài)，以及將替代和備份端口轉(zhuǎn)成阻塞狀態(tài)。為防止生成轉(zhuǎn)發(fā)環(huán)路， RSTP 在網(wǎng)橋間采用了明確的“握手”功能，以確保端口

46、作用在網(wǎng)絡中分配的一致性。上圖介紹了將端口轉(zhuǎn)換成轉(zhuǎn)發(fā)前達成的協(xié)定 / 建議握手。當鏈接激活時，“ P1 ”和“ P2 ”都成為處于放棄狀態(tài)的指定端口。在這種情況下，“ P1 ”將向交換機 A 發(fā)送一個建議 BPDU 。收到新 BPDU 后，交換機 A 將確認根交換機有較優(yōu)根成本。因為 BPDU 包含較高的根優(yōu)先級，交換機 A 在將新的根端口“ P2 ”轉(zhuǎn)入轉(zhuǎn)發(fā)狀態(tài)前，會先啟動同步機制。如果一個端口處于阻塞狀態(tài)或是一個邊緣端口（位于網(wǎng)橋 LAN 邊緣或連接到終端工作站），該端口與根信息同步。端口 3 （“ P3 ”）已滿足上述要求，因為它已經(jīng)是阻塞的。因此，不會對該端口采取任何行動。但是，“ P

47、4 ”是一種指定端口，需要阻塞。一旦交換機 A 上的所有接口處于同步狀態(tài)，“ P2 ”就會承認從前從根接收的建議，并可以安全地轉(zhuǎn)入轉(zhuǎn)發(fā)狀態(tài)。在收到交換機 A 的認可后，根交換機將立即將“ P1 ”轉(zhuǎn)入轉(zhuǎn)發(fā)。建議 / 協(xié)定信息的類似傳送波將從“ P4 ”傳播至網(wǎng)絡枝葉部分。由于這種握手機制不依賴計時器，因此它可以快速地傳播至網(wǎng)絡邊緣，并在拓撲結(jié)構(gòu)變更后迅速恢復連接。如果協(xié)定并未復制建議信息，端口會轉(zhuǎn)換成 802.1D 模式，并通過傳統(tǒng)聽學順序轉(zhuǎn)入轉(zhuǎn)發(fā)狀態(tài)。需要說明的是， 802.1w 協(xié)議只適用于點到點鏈接。在媒體共享的情況下， 802.1w 協(xié)議將轉(zhuǎn)換成 802.1D 運行。多生成樹協(xié)議在 C

48、isco MISTP 多實例生成樹協(xié)議 的推動下， MST 通過將一些基于 VLAN 的生成樹匯聚入不同的實例，并且每實例只運行一個（快速）生成樹，從而改進了 RSTP 的可擴展性。為確定 VLAN 實例的相關(guān)性， 802.1s 引入了 MST 區(qū)域概念。每臺運行 MST 的交換機都擁有單一配置，包括一個字母數(shù)字式配置名、一個配置修訂號和一個 4096 部件表，它與潛在支持某個實例的各 4096 VLAN 相關(guān)聯(lián)。作為公共 MST 區(qū)域的一部分，一組交換機必須共享相同的配置屬性。重要的是請記住，配置屬性不同的交換機會被視為位于不同的區(qū)域。為確保一致的 VLAN 實例映射，協(xié)議需要識別區(qū)域的邊界

49、。因此，區(qū)域的特征都包括在 BPDU 中。交換機必須了解它們是否像鄰居一樣位于同一區(qū)域，因此會發(fā)送一份 VLAN 實例映射表摘要，以及修訂號和名稱。當交換機接收到 BPDU 后，它會提取摘要，并將其與自身的計算結(jié)果進行比較。為避免出現(xiàn)生成樹環(huán)路，如果兩臺交換機在 BPDU 中所接收的參數(shù)不一致，負責接收 BPDU 的端口就會被宣布為邊界端口。IEEE 802.1s 引入了 IST （內(nèi)部生成樹）概念和 MST 實例。 IST 是一種 RSTP 實例，它擴展了 MST 區(qū)域內(nèi)的 802.1D 單一生成樹。 IST 連接所有 MST 網(wǎng)橋，并從邊界端口發(fā)出、作為貫穿整個網(wǎng)橋域的虛擬網(wǎng)橋。 MST

50、實例（ MSTI ）是一種僅存在于區(qū)域內(nèi)部的 RSTP 實例。它可以缺省運行 RSTP ，無須額外配置。不同于 IST 的是， MSTI 在區(qū)域外既不與 BPDU 交互，也不發(fā)送 BPDU 。 MST 可以與傳統(tǒng)和 PVST+ 交換機互操作。思科實施定義了 16 種實例：一個 IST （實例 0 ）和 15 個 MSTI ，而 802.1s 則支持一個 IST 和 63 個 MSTI 。與傳統(tǒng)生成樹的互操作性RSTP 和 MSTP 都能夠與傳統(tǒng)生成樹協(xié)議互操作。但是，當與傳統(tǒng)網(wǎng)橋交互時， 802.1w 的快速融合優(yōu)勢就會失去。為保留與基于 802.1D 網(wǎng)橋的向后兼容性， IEEE 802.1

51、s 網(wǎng)橋在其端口上接聽 802.1D 格式的 BPDU 。如果收到了 802.1D BPDU ，端口會采用標準 802.1D 行為，以確保兼容性。例如，在圖 3 中，交換機 A 上的“ P4 ”一旦在至少兩倍的“ hello time ”中檢測到 PVST+ BPDU ，它就會發(fā)送 PVST+ BPDU 。要說明的是，如果 PVST+ 網(wǎng)橋從網(wǎng)絡中刪除后，交換機 A 就無法發(fā)現(xiàn)拓撲結(jié)構(gòu)變更，需要人工重啟協(xié)議移植。上圖介紹了應用于 VLAN 2000 的轉(zhuǎn)發(fā)拓撲結(jié)構(gòu)，它映射至 RSTP/MSTP 區(qū)域中的 MST #2 。用于 IST 和 MST #2 的根交換機駐留于 RSTP/MSTP 區(qū)域

52、內(nèi)。 MSTI BPDU 并未發(fā)送至邊界端口“ P4 ”外，只有 IST BPDU 是如此。通過在 PVST+ 域所有現(xiàn)用 VLAN 上復制 ISTP BPDU ， MST 區(qū)域模擬了 PVST+ 鄰居。然后， PVST+ 域接收 IST 上發(fā)送的 BPDU ，并選擇交換機 B 作為 VLAN 2000 的根交換機（注：交換機 B 是 IST 的根。）如果 PVST+ 域中出現(xiàn)拓撲結(jié)構(gòu)變更，在傳統(tǒng)云中生成的相應的拓撲結(jié)構(gòu)變化通知（ TCN ） BPDI 將由 IST 在 MST 域中處理，不致影響 MST 轉(zhuǎn)發(fā)拓撲結(jié)構(gòu)。為了避免可能導致環(huán)路的錯誤配置，強烈建議為 MST 域中的 PVST+ 實

53、例（即 IST 根）配置根交換機。 主要定義IEEE 802.1D IEEE 建議，在整個第二層域中定義單一無環(huán)路拓撲結(jié)構(gòu)。由于 802.1D 無虛擬 LAN （ VLAN ）感知功能，因此轉(zhuǎn)發(fā)拓撲結(jié)構(gòu)是唯一的，獨立于網(wǎng)絡中現(xiàn)用的 VLAN 。這種方案從計算開支的角度是可擴展的，但在配置多個 VLAN 的情況下，無法為冗余鏈接提供負載均衡功能 。PVST+ 思科生成樹為每個 VLAN 構(gòu)建了一個不同的邏輯拓撲結(jié)構(gòu)。這種方案通過允許每個 VLAN 擁有不同的轉(zhuǎn)發(fā)鏈接，實現(xiàn)了負載均衡，但它卻是 CPU 密集型的網(wǎng)橋協(xié)議數(shù)據(jù)單元（ BPDU ）是根據(jù)各個 VLAN 生成并處理的。通過上述對生成樹協(xié)議

54、的解釋，我們可以明白，但我們恰當?shù)呐渲蒙蓸鋮f(xié)議之后，接入層設(shè)備到匯聚層設(shè)備的冗余上聯(lián)鏈路將能夠在主干鏈路中斷時快速的切換到備份鏈路，從而完成接入層設(shè)備到匯聚層設(shè)備在二層上的鏈路冗余。在匯聚層上交換機的vlan網(wǎng)關(guān)的冗余，主要依靠HSRP協(xié)議實現(xiàn)。隨著Internet的日益普及，人們對網(wǎng)絡的依賴性也越來越強。這同時對網(wǎng)絡的穩(wěn)定性提出了更高的要求，人們自然想到了基于設(shè)備的備份結(jié)構(gòu)，就像在服務器中為提高數(shù)據(jù)的安全性而采用雙硬盤結(jié)構(gòu)一樣。路由器或三層交換機是整個網(wǎng)絡的核心和心臟，如果路由器或三層交換機發(fā)生致命性的故障，將導致本地網(wǎng)絡的癱瘓，如果是骨干路由器或三層交換機，影響的范圍將更大，所造成的損失

55、也是難以估計的。因此，對路由器或三層交換機采用熱備份是提高網(wǎng)絡可靠性的必然選擇。在一個路由器或三層交換機完全不能工作的情況下，它的全部功能便被系統(tǒng)中的另一個備份路由器或三層交換機完全接管，直至出現(xiàn)問題的路由器恢復正常，這就是熱備份路由協(xié)議（HotStandbyRouterProtocal）。實現(xiàn)HSRP的條件是系統(tǒng)中有多臺路由器或三層交換機，它們組成一個“熱備份組”，這個組形成一個虛擬路由器或三層交換機。在任一時刻，一個組內(nèi)只有一個路由器是活動的，并由它來轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動路由器或三層交換機發(fā)生了故障，將選擇一個備份路由器或三層交換機來替代活動路由器或三層交換機，但是在本網(wǎng)絡內(nèi)的主機看來，虛

56、擬路由器沒有改變。所以主機仍然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器或三層交換機切換的問題。為了減少網(wǎng)絡的數(shù)據(jù)流量，在設(shè)置完活動路由器或三層交換機和備份路由器或三層交換機之后，只有活動路由器或三層交換機和備份路由器或三層交換機定時發(fā)送HSRP報文。如果活動路由器或三層交換機失效，備份路由器或三層交換機將接管成為活動路由器或三層交換機。如果備份路由器或三層交換機失效或者變成了活動路由器或三層交換機，將有另外的路由器或三層交換機被選為備份路由器。在實際的一個特定的局域網(wǎng)中，可能有多個熱備份組并存或重疊。每個熱備份組模仿一個虛擬路由器或三層交換機工作，它有一個WellknownMAC地址和一個 IP地址。該IP地址、組內(nèi)路由器或三層交換機的接口地址、主機在同一個子網(wǎng)內(nèi)，但是不能一樣。當在一個局域網(wǎng)上有多個熱備份組存在時，把主機分布到不同的熱備份組，可以使負載得到分擔。從上述描述我們可以明白，匯聚層交換機在每個vlan上啟用HSRP之后，每個vlan的IP地址