畢業(yè)設(shè)計(jì)：小型企業(yè)網(wǎng)絡(luò)建設(shè)與規(guī)劃的項(xiàng)目設(shè)計(jì)_圖文

1、 ?？粕厴I(yè)設(shè)計(jì) 中小型企業(yè)網(wǎng)絡(luò)建設(shè)與規(guī)劃的項(xiàng)目設(shè)計(jì) Small and medium-sized enterprise network construction and planning project design院 系計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 專 業(yè) 網(wǎng)絡(luò)技術(shù) 班 級?？凭W(wǎng)絡(luò)技術(shù)一班 學(xué) 號1601090114 學(xué) 生 姓 名 聯(lián) 系 方 式 指 導(dǎo) 教 師 老師職稱：講師 2011 年 5 月獨(dú) 創(chuàng) 性 聲 明本人鄭重聲明：所呈交的畢業(yè)論文（設(shè)計(jì)）是本人在指導(dǎo)老師指導(dǎo)下取得的研究成果。除了文中特別加以注釋和致謝的地方外，論文（設(shè)計(jì)）中不包含其他人已經(jīng)發(fā)表或撰寫的研究成果。與本研究成果相關(guān)的

2、所有人所做出的任何貢獻(xiàn)均已在論文（設(shè)計(jì)）中作了明確的說明并表示了謝意。簽名： 年月日授權(quán)聲明本人完全了解許昌學(xué)院有關(guān)保留、使用本科生畢業(yè)論文（設(shè)計(jì)）的規(guī)定，即：有權(quán)保留并向國家有關(guān)部門或機(jī)構(gòu)送交畢業(yè)論文（設(shè)計(jì)）的復(fù)印件和磁盤，允許畢業(yè)論文（設(shè)計(jì)）被查閱和借閱。本人授權(quán)許昌學(xué)院可以將畢業(yè)論文（設(shè)計(jì)）的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存、匯編論文（設(shè)計(jì)）。本人論文（設(shè)計(jì)）中有原創(chuàng)性數(shù)據(jù)需要保密的部分為：。簽名： 年月日指導(dǎo)教師簽名： 年月日摘 要隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)組建、管理和維護(hù)技術(shù)已經(jīng)廣泛在我們身邊獲得了應(yīng)用。為了使高校學(xué)生能夠掌握相關(guān)

3、網(wǎng)絡(luò)知識以及提高實(shí)踐動手能力，本設(shè)計(jì)編制了五章內(nèi)容，通過對網(wǎng)絡(luò)基礎(chǔ)的介紹和網(wǎng)絡(luò)設(shè)備的配置來引導(dǎo)學(xué)生掌握最基本的網(wǎng)絡(luò)知識，以及對網(wǎng)絡(luò)設(shè)備的實(shí)踐應(yīng)用。設(shè)計(jì)中通過“拓?fù)鋱D的設(shè)計(jì)、IP地址規(guī)劃、檢測網(wǎng)線、連接并配置網(wǎng)絡(luò)設(shè)備、檢測驗(yàn)證網(wǎng)絡(luò)連通性”的設(shè)計(jì)步驟，以及介紹在具體操作過程中遇到的設(shè)備和配置問題，來闡述整個(gè)設(shè)計(jì)過程。其中所應(yīng)用、配置的具體協(xié)議在實(shí)際使用中是很常見的，因此學(xué)生必須掌握并能夠在實(shí)際生活中充分利用所學(xué)的網(wǎng)絡(luò)知識。本設(shè)計(jì)通過對交換機(jī)、路由器、服務(wù)器等設(shè)備的配置，概括了高校所要學(xué)習(xí)的多數(shù)網(wǎng)絡(luò)知識和操作應(yīng)用，可以作為學(xué)習(xí)網(wǎng)絡(luò)知識的參考資料，但為了有更多的提高，讀者還應(yīng)通過其它途徑不斷加強(qiáng)學(xué)習(xí)，

4、以增強(qiáng)自己的網(wǎng)絡(luò)知識水平。另外通過相關(guān)知識的應(yīng)用，主要使學(xué)生了解數(shù)據(jù)通信中數(shù)據(jù)傳輸介質(zhì)的相關(guān)知識，掌握了此次工程的施工技術(shù)、施工工程管理技術(shù)、網(wǎng)絡(luò)測試技術(shù)、工程驗(yàn)收和管理維護(hù)等內(nèi)容。使得學(xué)生通過自己的親身經(jīng)歷和實(shí)驗(yàn)實(shí)踐，提高自己對整個(gè)項(xiàng)目的認(rèn)識以及對整個(gè)項(xiàng)目系統(tǒng)的把控能力。關(guān)鍵詞：網(wǎng)絡(luò)協(xié)議；拓?fù)浣Y(jié)構(gòu)；路由器；交換機(jī)；ABSTRACTThe set-up, mananement and maintenance of the net have found widespread use in many fields due to the development of computer science

5、 and net work technology. There are five chapters in this dissertation: introduction of network, configuration of the network device and application. Besides these, this dissertation also contains a practical design of a network, which includes the design of topology, configuration of IP address, ca

6、ble test, connection and configuration of network device and test of this network. In this practical case all the common problems are elucidared. This will rebound to the graduates to apply their knowledge in practical work.This dissertation focuses on the configuration of switch , router and server

7、, covering the theory and application of network. It can be a reference for a learner of network. Also through the application of knowledge, mainly to enable students to understand the data communications medium of data transmission of knowledge, mastered the works of construction technology, constr

8、uction engineering management technology, network testing technology, engineering, inspection and management and maintenance and so on. Makes the students through their own personal experiences and experimental practice, to improve their understanding of the entire project and the entire projects ab

9、ility to control the system. 朗顯示對應(yīng)的拉丁字符的拼音Key words：Network Protocol；Topology；Router；Switch；目 錄第一章 項(xiàng)目需求分析 21.1 項(xiàng)目背景 21.2 需求析 3第二章 網(wǎng)絡(luò)總體建設(shè)目標(biāo) 42.1 網(wǎng)絡(luò)建設(shè)目標(biāo) 42.2 網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容及要求 52.2.1 骨干核心層網(wǎng)絡(luò)設(shè)計(jì) 52.2.2 核心層網(wǎng)絡(luò)設(shè)計(jì) 52.2.3 匯聚層網(wǎng)絡(luò)設(shè)計(jì) 62.2.4 接入層網(wǎng)絡(luò)設(shè)計(jì) 62.2.5 冗余/負(fù)載均衡設(shè)計(jì) 62.2.6 服務(wù)器冗余設(shè)計(jì) 62.3 網(wǎng)絡(luò)設(shè)計(jì)原則 7第三章 網(wǎng)絡(luò)總體設(shè)計(jì) 83.1 網(wǎng)絡(luò)總體拓?fù)鋱D

10、83.2 網(wǎng)絡(luò)層次化設(shè)計(jì) 93.2.1 核心層設(shè)計(jì) 103.2.2 接入層設(shè)計(jì) 103.2.3 內(nèi)聯(lián)接入 10第四章 路由設(shè)計(jì) 114.1 路由協(xié)議選擇 114.2 路由規(guī)劃拓?fù)鋱D 134.3 IP地址規(guī)劃 13第五章 網(wǎng)絡(luò)安全解決方案 155.1 網(wǎng)絡(luò)邊界安全威脅分析 155.2 網(wǎng)絡(luò)內(nèi)部安全威脅分析 165.3 安全產(chǎn)品選型原則 165.4 網(wǎng)絡(luò)常用技術(shù)介紹 175.4.1 HSRP 協(xié)議 175.4.2 VLAN 技術(shù) 175.4.3 Trunk 技術(shù) 175.4.4 Spanning-Tree 協(xié)議 185.4.5 QOS技術(shù) 18第六章 產(chǎn)品簡介 196.1 Cisco 2800 系

11、列集成多業(yè)務(wù)路由器 196.2 Cisco Catalyst 3560 系列集成交換機(jī) 206.3 Cisco Catalyst 2960 系列集成交換機(jī) 216.4 PIX 525防火墻 216.5 ISA防火墻 226.6 操作系統(tǒng) 226.7 網(wǎng)管軟件選擇 23第七章設(shè)備清單及報(bào)價(jià) 23第八章 項(xiàng)目實(shí)施計(jì)劃 338.1 項(xiàng)目組織結(jié)構(gòu) 338.2 項(xiàng)目人員分工 348.3 項(xiàng)目實(shí)施前的準(zhǔn)備工作 358.3.1 技術(shù)準(zhǔn)備工作 358.3.2 施工前的環(huán)境檢查 368.3.3 施工前的器材檢查 368.4 安裝前的場地準(zhǔn)備 368.5 核心及各網(wǎng)點(diǎn)的安裝調(diào)試 38第九章 網(wǎng)絡(luò)測試 389.1

12、網(wǎng)絡(luò)測試目的 389.2 測試文檔 39第十章 網(wǎng)絡(luò)設(shè)備基本配置 4110.1 網(wǎng)絡(luò)描述 4210.2 設(shè)備基本配置 4310.2.1 設(shè)備訪問 4310.2.2 基本配置格式 44更改設(shè)備名 44 設(shè)備口令 44 設(shè)置特權(quán)用戶口令 44 關(guān)閉DNS查找功能 (默認(rèn)時(shí)打開 44 啟用控制臺信息同步 44 設(shè)置控制臺永不超時(shí) 45 配置console口訪問不需要密碼 45關(guān)閉vtp同步 45 二層交換配置管理IP 450 配置路由器IP 4510.2.3 IP地址配置

13、4610.2.4 檢查設(shè)備的連通性 47第十一章 網(wǎng)絡(luò)設(shè)備的技術(shù)實(shí)施方案 4811.1 TRUNK配置 4811.2 VTP配置 4811.3 VLAN配置 5011.4 STP配置 5111.5 HSRP配置 5211.6 OSPF配置 53默認(rèn)路由重發(fā)布 5411.8 NAT詳細(xì)配置 5411.9 IPSEC VPN配置 5511.10 PPP配置 5711.11 DHCP配置 5811.12 端口安全配置 5911.13 輪訓(xùn)配置 6011.14 訪問控制列表配置 6111.15 NAT-T配置 62第十二章 項(xiàng)目測試 6212.1 測試物理鏈路 6212.2 測試數(shù)據(jù)鏈路 6312.3

14、 VLAN測試 6412.4 trunk測試 6512.5 STP生成樹測試 6512.6 HSRP的測試 6612.6.1 測試HSRP信息 6612.6.2 測試交換機(jī)的搶占機(jī)制 6612.7 DNS測試 67 67 6712.8.2 查看連通性 6812.9 DHCP測試 6812.10 MAIL服務(wù)器測試 6912.10.1 查看域名能否正常解析 6912.10.2 查看服務(wù)是否正常啟動，重啟，停止 6912.11 AD測試 6912.11.1 查看域名能否正常解析 6912.11.2 用PC機(jī)測試能否正常加入域 6912.11.3 客戶機(jī)能否正常接受域的策略 7012.12 WEB服

15、務(wù)器測試 7012.13 FTP測試 7012.14 文件備份測試 7112.14.1 查看文件備份的時(shí)間 7112.14.2 測試文件是否能夠正常的進(jìn)行備份 7112.15 服務(wù)器測試 7112.15.1 文件服務(wù)器上RAID 5驗(yàn)證 7112.15.2 查看其它服務(wù)器能否正常映射文件服務(wù)器 7212.16 NAT&ACL測試 7212.17 PPP測試 7212.18 IPSEC VPN測試 7212.19 輪訓(xùn)測試 73 7412.21 tunnel分割測試 75結(jié) 束 語 76參 考 文 獻(xiàn) 77附 錄 78致 謝 80緒 論隨著網(wǎng)絡(luò)和信息技術(shù)的高速發(fā)展和普及，信息化已經(jīng)成為現(xiàn)代企業(yè)和

16、組織生存發(fā)展的必備條件，計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用幾乎遍及人類活動的各個(gè)領(lǐng)域，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已被譽(yù)為是“近代最深刻的技術(shù)革命”。社會的信息化、數(shù)據(jù)的分布式處理、各種計(jì)算機(jī)資源的共享等應(yīng)用需求，推動著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展。計(jì)算機(jī)網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)與通信技術(shù)密切結(jié)合的學(xué)科，也是計(jì)算機(jī)應(yīng)用中一個(gè)空前活躍的領(lǐng)域。該課程不僅是計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)的主干課程，也是電子與通信專業(yè)學(xué)生及廣大從事計(jì)算機(jī)應(yīng)用和信息管理的科技人員都必須學(xué)習(xí)的課程。同時(shí)，該課程不單是要加強(qiáng)理論知識的學(xué)習(xí)，同時(shí)也是一門實(shí)踐性很強(qiáng)的課程。本設(shè)計(jì)是基于Cisco思科網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)布線工程知識的簡單應(yīng)用，提供給高校學(xué)生進(jìn)行網(wǎng)絡(luò)模擬實(shí)驗(yàn)，可以作為學(xué)生的實(shí)

17、驗(yàn)指導(dǎo)書。此外，學(xué)生不僅要加強(qiáng)網(wǎng)絡(luò)理論學(xué)習(xí)，同時(shí)也要增強(qiáng)實(shí)踐能力，通過系統(tǒng)的實(shí)踐訓(xùn)練，幫助學(xué)生深入了解并真正掌握計(jì)算機(jī)網(wǎng)絡(luò)的基本概念、協(xié)議以及常用的組網(wǎng)方法和網(wǎng)絡(luò)管理維護(hù)技術(shù)。本設(shè)計(jì)介紹了計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)的相關(guān)知識和應(yīng)用組網(wǎng)技術(shù)，也介紹了項(xiàng)目工程的一些知識。通過“總體設(shè)計(jì)、詳細(xì)設(shè)計(jì)、系統(tǒng)測試以及故障排除”這三章，在基礎(chǔ)理論上，以精煉、夠用為原則，介紹與實(shí)驗(yàn)比較緊密的理論知識；在實(shí)踐上，通過模擬內(nèi)外網(wǎng)設(shè)計(jì)方法來舉例介紹網(wǎng)絡(luò)組建的應(yīng)用知識。通過對項(xiàng)目工程知識的應(yīng)用，以及自己的親生經(jīng)歷和實(shí)驗(yàn)實(shí)踐，使學(xué)生了解數(shù)據(jù)通信中數(shù)據(jù)傳輸介質(zhì)的相關(guān)知識，提高學(xué)生動手能力。在編寫本設(shè)計(jì)過程中，作者參閱了大量網(wǎng)絡(luò)組網(wǎng)、

18、網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)布線工程的書籍和網(wǎng)上資料，獲得了老師和同學(xué)的大力幫助，并融合了許多自己的觀點(diǎn)和見解，但由于作者水平和經(jīng)驗(yàn)有限，不足之處在所難免，敬請讀者批評指正。第一章 項(xiàng)目需求分析1.1 項(xiàng)目背景當(dāng)今信息時(shí)代，科技迅猛發(fā)展，知識更新越來越快，隨著技術(shù)的進(jìn)步和經(jīng)濟(jì)的發(fā)展，人類社會總是在不斷地發(fā)生著巨大的變化，網(wǎng)絡(luò)已成為傳遞信息和進(jìn)行交流的有效紐帶和橋梁。Internet網(wǎng)絡(luò)技術(shù)給人們提出了新的生活和工作方式，信息技術(shù)已引起了全面而深刻的社會變革，因此一個(gè)企業(yè)為了能跟上時(shí)代的步伐在競爭處立于不敗之地，需要積極籌建或擴(kuò)建各類信息網(wǎng)絡(luò)系統(tǒng)，這對提高員工的工作效率改善工作環(huán)境，節(jié)約成本提高社會競爭實(shí)力有

19、著直接的影響和意義。河北承德露露股份有限公司坐落于承德市高新技術(shù)產(chǎn)業(yè)開發(fā)區(qū)，現(xiàn)為萬向三農(nóng)有限公司控股的上市公司。公司于1997年年底在深交所上市，成為國內(nèi)飲料行業(yè)首批上市公司之一。其主導(dǎo)產(chǎn)品露露牌杏仁露是獲國家專利產(chǎn)品，深受廣大消費(fèi)者喜愛，在國內(nèi)杏仁露市場占有90%以上的市場份額。其中注冊資金有二億，董事會成員有王寶林、王秋敏、陳躍鵬、張淑玲、魏繼平、楊兆林、馬印訪名同志，總公司有800人，分公司有200人。公司建立了符合ISO9001:2000標(biāo)準(zhǔn)的質(zhì)量管理體系，“露露”商標(biāo)被認(rèn)定為中國馳名商標(biāo)，露露杏仁露也獲得中國名牌產(chǎn)品的榮譽(yù)稱號。 公司發(fā)展穩(wěn)健，成長性良好，連續(xù)多年名列深市排行榜前列。

20、公司堅(jiān)持用優(yōu)質(zhì)的產(chǎn)品回報(bào)消費(fèi)者，用良好的信譽(yù)、投資回報(bào)率答謝支持露露的廣大投資者。 公司理念為：視品質(zhì)為生命堅(jiān)持質(zhì)量第一，生產(chǎn)高品質(zhì)產(chǎn)品是露露企業(yè)的信念。露露嚴(yán)格把控產(chǎn)品質(zhì)量關(guān)，從不在質(zhì)量上投機(jī)取巧，因?yàn)槁堵秷?jiān)信只有真正為消費(fèi)者提供高品質(zhì)產(chǎn)品，才能使消費(fèi)者享受到健康營養(yǎng)，企業(yè)也因此才能立于不敗之地。公司主要包括以下幾個(gè)部門：高層管理部20人，研發(fā)部15人，財(cái)務(wù)部18人，生產(chǎn)部25人，銷售部30人，人力資源部20人。為了加快信息化建設(shè)，適應(yīng)企業(yè)信息化的需求，將企業(yè)全部生產(chǎn)過程中有關(guān)人，技術(shù)，設(shè)備和經(jīng)營管理四要素以及信息流，物流，價(jià)值流有機(jī)集成，加強(qiáng)管理，實(shí)現(xiàn)企業(yè)整體優(yōu)化，提高企業(yè)市場快速反應(yīng)能力

21、和競爭力，提高企業(yè)經(jīng)濟(jì)效益。建立一個(gè)設(shè)計(jì)規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴(kuò)展性與可用性并且具備可管理、易維護(hù)的網(wǎng)絡(luò)及系統(tǒng)平臺，最終以高效率，高速度，低成本的方式來提高公司員工的工作效率與執(zhí)行效率。1.2 需求析目前公司由北京總公司和上海分公司組成。隨著業(yè)務(wù)的不斷擴(kuò)大，以前的網(wǎng)絡(luò)及應(yīng)用環(huán)境已經(jīng)不能適應(yīng)實(shí)際的需求，所以要求對其進(jìn)行改造。公司總共由500臺計(jì)算機(jī)組成，其公司對網(wǎng)絡(luò)依賴性強(qiáng)，企業(yè)采用的是簡單的網(wǎng)絡(luò)系統(tǒng)，部分局域網(wǎng)只是通過因特網(wǎng)互聯(lián)，不能滿足企業(yè)發(fā)展的需求。需要建設(shè)企業(yè)的內(nèi)聯(lián)網(wǎng)，將北京和上海做成統(tǒng)一網(wǎng)絡(luò)系統(tǒng)，使用北京總公司統(tǒng)一出口訪問因特網(wǎng)。上海分公司網(wǎng)絡(luò)規(guī)模下，不需要重建。

22、北京總公司需要重新規(guī)劃重建，進(jìn)行擴(kuò)容升級。并且要求網(wǎng)絡(luò)有可用性、安全性、可靠性、擴(kuò)展性和網(wǎng)絡(luò)系統(tǒng)不間斷等特點(diǎn)。網(wǎng)絡(luò)部分的總體要求：滿足企業(yè)信息化的要求、性能良好、安全可靠、易于升級、使用簡單、維護(hù)容易、良好的售后服務(wù)支持。系統(tǒng)部分的總體要求：易于配置、可管理、更廣泛的設(shè)備支持、穩(wěn)定性及安全可靠性、更低的成本。項(xiàng)目整體規(guī)劃指導(dǎo)思想：開放性、實(shí)用性、先進(jìn)性、安全可靠性、兼容與可擴(kuò)充性、經(jīng)濟(jì)性、可管理性。在此次露露集團(tuán)的企業(yè)網(wǎng)設(shè)計(jì)中，我們采用層次化模型來設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。所謂“層次化”模型，就是將復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)分成幾個(gè)層次，每個(gè)層次著重于某些特定的功能，這樣就能夠使一個(gè)復(fù)雜的大問題變成許多簡單的小問

23、題。層次模型既能夠應(yīng)用于局域網(wǎng)的設(shè)計(jì)，也能夠應(yīng)用于廣域網(wǎng)的設(shè)計(jì)。層次化模型的好處：在采用層次模型之后，各層次各司其職，不再在同一個(gè)平臺上考慮所有的事情。層次模型模塊化的特性使網(wǎng)絡(luò)中的每一層都能夠很好地利用寬帶，減少了對系統(tǒng)資源的浪費(fèi)。層次化設(shè)計(jì)使得網(wǎng)絡(luò)結(jié)構(gòu)清晰明了，可以在不同的層次實(shí)施不同難度的管理，降低了管理成本。在網(wǎng)絡(luò)設(shè)計(jì)中，模塊化具有的特性使得網(wǎng)絡(luò)增長時(shí)網(wǎng)絡(luò)的復(fù)雜性能夠限制在子網(wǎng)中，而不會蔓延到網(wǎng)絡(luò)的其他地方。而如果采用扁平化和網(wǎng)狀設(shè)計(jì)，任何一個(gè)節(jié)點(diǎn)的變動都對整個(gè)網(wǎng)絡(luò)產(chǎn)生很大影響。層次化設(shè)計(jì)能夠使網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分解為易于理解的子網(wǎng)，網(wǎng)絡(luò)管理者能夠輕易地確定網(wǎng)絡(luò)故障的范圍，從而簡化了排錯(cuò)的過

24、程。為了確保這些關(guān)鍵應(yīng)用系統(tǒng)的正常運(yùn)行，系統(tǒng)必須具備以下的特性：采用先進(jìn)的網(wǎng)絡(luò)通信技術(shù)完成集團(tuán)企業(yè)網(wǎng)的建設(shè)，實(shí)現(xiàn)各分公司的信息化；在整個(gè)企業(yè)集團(tuán)內(nèi)實(shí)現(xiàn)所有部門的辦公自動化，提高工作效率和管理服務(wù)水平；在整個(gè)企業(yè)集團(tuán)內(nèi)實(shí)現(xiàn)資源共享、實(shí)時(shí)新聞發(fā)布；在整個(gè)企業(yè)集團(tuán)內(nèi)實(shí)現(xiàn)集中式的供應(yīng)管理系統(tǒng)和客戶服務(wù)關(guān)系管理系統(tǒng)。第二章 網(wǎng)絡(luò)總體建設(shè)目標(biāo)2.1 網(wǎng)絡(luò)建設(shè)目標(biāo)為了建立一個(gè)世紀(jì)規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴(kuò)展性與可用性并且具備可管理易維護(hù)的網(wǎng)絡(luò)及系統(tǒng)平臺，更好的完善公司的網(wǎng)絡(luò)。我們的網(wǎng)絡(luò)建設(shè)目標(biāo)為以下幾點(diǎn)： 1.建立覆蓋公司的各數(shù)據(jù)信息點(diǎn)的高速以太網(wǎng)；2.實(shí)現(xiàn)公司管理的網(wǎng)絡(luò)化和現(xiàn)代化，提高

25、公司職員的工作效率；3.實(shí)現(xiàn)居民生活的信息化，滿足居民對信息的需求及相關(guān)服務(wù)；4.開展電視會議、遠(yuǎn)程辦公等多種延伸性應(yīng)用；5.接入互聯(lián)網(wǎng)，可以在Internet上開拓眼界和接觸更多的信息，真正做到天涯若比鄰，使企業(yè)與國際、國內(nèi)的最新動態(tài)保持同步，從而隨時(shí)發(fā)現(xiàn)新的科研動態(tài)、業(yè)務(wù)信息、最新技術(shù)、最新資料以及潛在的其他信息；6.各公司用戶能夠進(jìn)行資源共享，使得員工能夠進(jìn)行上網(wǎng)查資料，電子郵件，對外發(fā)布網(wǎng)站等等。建立WEB網(wǎng)站，加強(qiáng)公司對外宣傳，在國際、國內(nèi)樹立良好的形象。因此，網(wǎng)絡(luò)化系統(tǒng)公司的以太網(wǎng)建設(shè)對公司的長遠(yuǎn)發(fā)展，以及對整個(gè)管理方式和工作方式的改變影響都有著深遠(yuǎn)的意義和影響。我們要求計(jì)算機(jī)網(wǎng)絡(luò)

26、系統(tǒng)滿足系統(tǒng)集成的網(wǎng)絡(luò)平臺需求，并且考慮對設(shè)備投資保護(hù)，保證未來幾年的系統(tǒng)擴(kuò)展。最終組建一個(gè)高效、穩(wěn)定、可靠、易管理、安全的企業(yè)網(wǎng)。2.2 網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容及要求2.2.1 骨干核心層網(wǎng)絡(luò)設(shè)計(jì)企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的核心網(wǎng)主要完成整個(gè)企業(yè)集團(tuán)內(nèi)部不同地域企業(yè)之間的高速數(shù)據(jù)路由轉(zhuǎn)發(fā)，以及維護(hù)全網(wǎng)路由的計(jì)算。鑒于集團(tuán)企業(yè)的用戶數(shù)量眾多，業(yè)務(wù)復(fù)雜，數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)難免遇到擁塞、阻塞等情況，所以需要用到QOS技術(shù)。在骨干核心層中，我們采用核心路由交換機(jī)組成一個(gè)環(huán)形多機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案。為提高核心網(wǎng)絡(luò)的健壯性，防止單臺設(shè)備失效造成的網(wǎng)絡(luò)中斷，實(shí)現(xiàn)鏈路的安全保障，本方案骨干核心層環(huán)網(wǎng)中可以采用HSRP

27、（熱備份路由協(xié)議）技術(shù)。對于各個(gè)業(yè)務(wù)VLAN可指向這個(gè)虛擬的IP地址作為網(wǎng)關(guān)，因此應(yīng)用HSRP技術(shù)為核心交換機(jī)提供了一個(gè)可靠的網(wǎng)關(guān)地址，以實(shí)現(xiàn)在核心層核心交換機(jī)之間進(jìn)行設(shè)備的冗余，一主兩備，共用一個(gè)虛擬的IP地址和MAC地址，通過內(nèi)部的協(xié)議傳輸機(jī)制可以自動進(jìn)行工作角色的切換。進(jìn)而雙引擎、雙電源的設(shè)計(jì)為網(wǎng)絡(luò)高效處理集中數(shù)據(jù)提供了可靠的保障。另外，我們還采用CHANNEL（鏈路捆綁技術(shù)）技術(shù)，提高鏈路的高效利用,可以把兩條物理鏈路捆綁成一條虛擬的鏈路,可以避免環(huán)路。鏈路捆綁技術(shù)是把多條鏈路捆綁起來，為了提高帶寬，出入流量可以在多個(gè)成員接口之間分擔(dān)，也可以加大鏈路的利用率。而且鏈路捆綁技術(shù)用來做冗余

28、，將兩條物理鏈路捆綁成一條，可以使同時(shí)使用的帶寬變?yōu)閮杀?，?shù)據(jù)在兩條鏈路上同時(shí)發(fā)送數(shù)據(jù)。當(dāng)某個(gè)成員接口出現(xiàn)故障時(shí)，流量會自動切換到其他可用的成員接口上，并且進(jìn)行無縫切換，不會影響到數(shù)據(jù)的傳輸，從而提高整個(gè)捆綁鏈路的連接可靠性。假如貴公司正在傳輸一份合同，卻因?yàn)榫W(wǎng)絡(luò)中斷而失去了這一次機(jī)會，繼而損失的不只是財(cái)富，名譽(yù)也會有所影響。所以這個(gè)技術(shù)會幫助貴公司進(jìn)一步完善網(wǎng)絡(luò)。2.2.2 核心層網(wǎng)絡(luò)設(shè)計(jì)企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的核心層網(wǎng)絡(luò)主要完成園區(qū)內(nèi)各個(gè)匯集層設(shè)備之間的數(shù)據(jù)交換和與骨干核心層網(wǎng)絡(luò)之間的路由轉(zhuǎn)發(fā)。本層采用CISCO WS-C3560G-24TS-S 核心路由交換機(jī)作為企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的園區(qū)核心路由

29、交換設(shè)備，CISCO WS-C3560G-24TS-S 具有強(qiáng)大的業(yè)務(wù)和路由交換的處理能力，能提供 VPN 、Qos、策略路由、NAT、PPPOE/WEB/802.1X/L2TP 認(rèn)證等豐富業(yè)務(wù)能力，并可通過內(nèi)置防火墻模塊實(shí)現(xiàn)各種強(qiáng)大的網(wǎng)絡(luò)安全策略，可以充分滿足企業(yè)不同園區(qū)網(wǎng)絡(luò)的高速數(shù)據(jù)交換和支持多業(yè)務(wù)功能的要求，并能夠提供完善的安全防御策略，保障企業(yè)園區(qū)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。2.2.3 匯聚層網(wǎng)絡(luò)設(shè)計(jì)匯聚層網(wǎng)絡(luò)主要完成企業(yè)各園區(qū)內(nèi)辦公樓和相關(guān)單位的內(nèi)接入交換機(jī)的匯聚及數(shù)據(jù)交換和VLAN終結(jié)，在本方案中采用CISCO WS-C3560G-24TS-S 交換機(jī)多層交換機(jī)作為匯聚層的交換機(jī)。CISCO

30、WS-C3560G-24TS-S 交換機(jī)在提供高密度千兆端口接入的同時(shí)還能夠滿足匯聚層智能高速處理的需要，并能夠靈活的部署在網(wǎng)絡(luò)邊緣的各個(gè)位置。能夠同時(shí)提供多個(gè)高速專用堆疊端口和百兆光口/電口。這些交換機(jī)都具備較強(qiáng)的多業(yè)務(wù)提供的能力。為用戶提供豐富、高性能價(jià)比的組網(wǎng)選擇。2.2.4 接入層網(wǎng)絡(luò)設(shè)計(jì)以往傳統(tǒng)企業(yè)網(wǎng)絡(luò)接入層的建設(shè)中并不關(guān)注于安全控制和QOS提供的能力，而將網(wǎng)絡(luò)的安全防御措施和QOS保障依賴于網(wǎng)絡(luò)的匯聚層或骨干層設(shè)備，這給匯聚層和骨干層設(shè)備帶來了巨大的壓力，往往內(nèi)網(wǎng)病毒泛濫成災(zāi)后導(dǎo)致骨干層設(shè)備癱瘓，使網(wǎng)絡(luò)沒有QOS服務(wù)質(zhì)量的保障。Cisco WS-C2918-48TC-C(思科二層交

31、換機(jī)是滿足高安全、多業(yè)務(wù)承載、高性能網(wǎng)絡(luò)環(huán)境的換機(jī)，具備傳統(tǒng)二層交換機(jī)大容量、高性能等優(yōu)點(diǎn)，同時(shí)還具有領(lǐng)先的安全特性，進(jìn)一步加強(qiáng)了企業(yè)網(wǎng)絡(luò)對邊緣接入層的安全控制能力。用戶可以根據(jù)需要來訂制自身的安全策略并部署在此交換機(jī)上。該產(chǎn)品具備的端口帶寬限制、端口鏡像、QOS、端口安全、廣播風(fēng)暴抵制等功能可以很好的協(xié)助用戶實(shí)現(xiàn)網(wǎng)絡(luò)的管理和維護(hù)。除此之外，此交換機(jī)還具備多個(gè)專用堆疊接口，可以滿足樓層，樓宇內(nèi)多個(gè)交換機(jī)高性能匯聚的需要。2.2.5 冗余/負(fù)載均衡設(shè)計(jì)冗余和負(fù)載均衡的設(shè)計(jì)是網(wǎng)絡(luò)設(shè)計(jì)的重要部分，是保證網(wǎng)絡(luò)整體可靠性能的重要手段。但是投資也將增加。部分企業(yè)網(wǎng)在早期的建設(shè)中由于成本的原因并未在設(shè)計(jì)中考

32、慮到冗余的問題，而在優(yōu)化工作中則需從網(wǎng)絡(luò)鏈路和網(wǎng)絡(luò)設(shè)備兩方面著手。冗余和負(fù)載均衡設(shè)計(jì)可以貫穿整個(gè)層次化結(jié)構(gòu)。我們采用了PVST（每vlan生成樹協(xié)議）技術(shù)，防止了環(huán)路，實(shí)現(xiàn)了負(fù)載均衡，數(shù)據(jù)的備份和冗余。萬一網(wǎng)絡(luò)中某條路徑失效時(shí)，冗余鏈路可以提供另一條路徑，使網(wǎng)絡(luò)能夠及時(shí)的正常運(yùn)行。2.2.6 服務(wù)器冗余設(shè)計(jì)企業(yè)網(wǎng)中服務(wù)器、大型機(jī)，如網(wǎng)絡(luò)存儲服務(wù)器，SQL Server服務(wù)器，其存儲的數(shù)據(jù)對于企業(yè)來說至關(guān)重要，一些核心數(shù)據(jù)被視為企業(yè)的生命。一方面它對企業(yè)的重要性毋庸置疑，另一方面，由于這些數(shù)據(jù)的性質(zhì)決定了其較大的被訪問量，這個(gè)對服務(wù)器提出了穩(wěn)定和快速的要求。為此，我們采用的是輪詢的方法，輪詢是基

33、站為終端分配帶寬的一種處理流程，這種分配可以是針對單個(gè)終端或是一組終端的。輪詢是基于終端的，帶寬的請求總是基于CID，而分配則是基于終端。為一組終端和連接分配帶寬實(shí)際上是定義帶寬請求競爭機(jī)制，這種分配不是使用一個(gè)單獨(dú)的消息，而是上行鏈路映射消息中包含的一系列分配機(jī)制，這樣使得每個(gè)服務(wù)器都能夠更好、更快的工作，提高了工作效率，更充分的利用了每個(gè)服務(wù)器。本網(wǎng)絡(luò)中應(yīng)具備有多臺服務(wù)器設(shè)備，包括DB SERVER 數(shù)據(jù)庫服務(wù)器，WEB 等應(yīng)用服務(wù)器，NEWS，MALL等通訊服務(wù)器以及多媒體服務(wù)器等。2.3 網(wǎng)絡(luò)設(shè)計(jì)原則作為一家優(yōu)秀的系統(tǒng)集成商，向用戶提供的不僅僅是設(shè)備，而是整套的技術(shù)與服務(wù)。本方案的設(shè)計(jì)

34、將在追求性能優(yōu)越、經(jīng)濟(jì)實(shí)用的前提下，本著嚴(yán)謹(jǐn)、慎重的態(tài)度，從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備選擇、系統(tǒng)應(yīng)用、技術(shù)服務(wù)和實(shí)施過程等方面綜合進(jìn)行系統(tǒng)的總體設(shè)計(jì)，力圖使該系統(tǒng)真正成為符合該集團(tuán)的網(wǎng)絡(luò)系統(tǒng)。在網(wǎng)絡(luò)的設(shè)計(jì)和實(shí)現(xiàn)中，本方案嚴(yán)格遵守以下原則：系統(tǒng)的軟硬件設(shè)計(jì)、還是集成，均以適用為第一宗旨，在系統(tǒng)充分適應(yīng)企業(yè)信息化的需求的基礎(chǔ)上進(jìn)而再來考慮其他的性能。該系統(tǒng)所包含的內(nèi)容很多，必須能將各種先進(jìn)的軟硬件設(shè)備有效地集成在一起，使系統(tǒng)的各個(gè)組成部分能充分發(fā)揮作用，協(xié)調(diào)一致的進(jìn)行高效工作。只有支持標(biāo)準(zhǔn)性和開放性的系統(tǒng)，才能支持與其它開放型系統(tǒng)一起協(xié)同工作，在網(wǎng)絡(luò)中采用的硬件設(shè)備及軟件產(chǎn)品應(yīng)該支持國際工作標(biāo)準(zhǔn)或事

35、實(shí)上的標(biāo)準(zhǔn)，以便能和不同廠家的開放性產(chǎn)品在同一網(wǎng)絡(luò)中同時(shí)存在。通信中采用標(biāo)準(zhǔn)的通信協(xié)議使不同的操作系統(tǒng)與不同的網(wǎng)絡(luò)系統(tǒng)及不同的網(wǎng)絡(luò)之間順利進(jìn)行通訊。系統(tǒng)所有的組成要素均應(yīng)充分地考慮其先進(jìn)性。不能一味地追求實(shí)用而忽略先進(jìn)，只有將當(dāng)今最先進(jìn)的技術(shù)和我們的實(shí)際應(yīng)用要求緊密結(jié)合，才能獲得最大的系統(tǒng)性能和效益。網(wǎng)絡(luò)的安全事關(guān)重要，在某些情況下，寧可犧牲系統(tǒng)的部分功能也必須保證系統(tǒng)安全。作為信息系統(tǒng)基礎(chǔ)的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備的配置及帶寬應(yīng)能充分地滿足網(wǎng)絡(luò)通信的需要。網(wǎng)絡(luò)硬件體系結(jié)構(gòu)在實(shí)際應(yīng)用中能經(jīng)過較長時(shí)間的考驗(yàn)，在運(yùn)行速度和性能上都應(yīng)是穩(wěn)定可靠的、擁有完善的、實(shí)用的解決方案，并通到較多的第三方開發(fā)商和用戶

36、在全球的廣泛支持和使用。同時(shí)，應(yīng)從長遠(yuǎn)的技術(shù)發(fā)展來選擇具有很好前景的、較為先進(jìn)的技術(shù)和產(chǎn)品，以適應(yīng)系統(tǒng)未來的發(fā)展需要?？煽啃砸彩呛饬恳粋€(gè)計(jì)算機(jī)應(yīng)用系統(tǒng)的重要標(biāo)準(zhǔn)之一。在確保系統(tǒng)網(wǎng)絡(luò)環(huán)境中單獨(dú)設(shè)備穩(wěn)定、可靠運(yùn)行的前提下，還需要考慮網(wǎng)絡(luò)整體的容錯(cuò)能力、安全性及穩(wěn)定性，使系統(tǒng)出現(xiàn)問題和故障時(shí)能迅速地修復(fù)。因此需要采取一定的預(yù)防措施，如對關(guān)鍵應(yīng)用的主干設(shè)備考慮有適當(dāng)?shù)娜哂?。?yīng)急處理信息系統(tǒng)能夠全體候工作，達(dá)到每周7*24小時(shí)工作的要求。一個(gè)高可用性的系統(tǒng)才能使用戶的投資真正得到回報(bào)。整個(gè)信息網(wǎng)絡(luò)系統(tǒng)中的互連設(shè)備，應(yīng)是使用方便、操作簡單易學(xué)，并便于維護(hù)。對復(fù)雜和龐大的網(wǎng)絡(luò)，要求有強(qiáng)有力的網(wǎng)絡(luò)管理手段，以

37、便合理的管理網(wǎng)絡(luò)資源，監(jiān)視網(wǎng)絡(luò)狀態(tài)及控制網(wǎng)絡(luò)的運(yùn)行，因此，網(wǎng)絡(luò)所選的網(wǎng)絡(luò)設(shè)備應(yīng)支持多種協(xié)議，管理員能方便進(jìn)行網(wǎng)絡(luò)管理、維護(hù)甚至修復(fù)。在設(shè)計(jì)和實(shí)現(xiàn)時(shí)，必須充分考慮整個(gè)系統(tǒng)的便于維護(hù)性，以使系統(tǒng)萬一發(fā)生故障時(shí)能提供有效手段及時(shí)進(jìn)行恢復(fù)，盡量減少損失。網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)應(yīng)具有可擴(kuò)展性即網(wǎng)絡(luò)聯(lián)結(jié)必須在系統(tǒng)結(jié)構(gòu)、系統(tǒng)容量與處理能力、物理接連、產(chǎn)品支持等方面具有擴(kuò)充與升級換代的可能，采用的產(chǎn)品要遵循通用的工業(yè)標(biāo)準(zhǔn)，以便不同的設(shè)備能方便靈活地接連入網(wǎng)并滿足系統(tǒng)規(guī)模擴(kuò)充的要求。為了使所實(shí)現(xiàn)系統(tǒng)能夠在應(yīng)用發(fā)生變化的情況下保護(hù)原有的開發(fā)投資，在設(shè)計(jì)系統(tǒng)時(shí)，應(yīng)將系統(tǒng)按功能做成模塊化，可根據(jù)需要增加和刪除功能模塊。第三章

38、 網(wǎng)絡(luò)總體設(shè)計(jì)3.1 網(wǎng)絡(luò)總體拓?fù)鋱D考慮到總公司的實(shí)際需求，建議采用兩臺Cisco Catalyst3560 做雙機(jī)熱備，用Cisco 專有熱備份路由協(xié)議技術(shù)（HSRP），根據(jù)需求配置成多組HSRP；同時(shí)雙機(jī)還可以做負(fù)載均衡。這樣設(shè)計(jì)不但保證網(wǎng)絡(luò)的高可用性和穩(wěn)定性，還能夠充分利用現(xiàn)有設(shè)備的資源，以避免單臺核心設(shè)備的負(fù)載太重而導(dǎo)致的網(wǎng)絡(luò)性能問題。如上圖所示，整體網(wǎng)絡(luò)可以根據(jù)功能劃分為總部核心網(wǎng)絡(luò)、內(nèi)聯(lián)接入包括辦公網(wǎng)絡(luò)、數(shù)據(jù)中心、分公司接入等，各區(qū)域相對獨(dú)立，通過核心網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的交互。各區(qū)域可以各自建立交換網(wǎng)絡(luò)、路由接入、網(wǎng)絡(luò)安全體系，可以有獨(dú)立的安策略、數(shù)據(jù)流量控制等個(gè)體的特性，而需要和其他區(qū)

39、域的設(shè)備進(jìn)行通訊的時(shí)候，則必須遵守核心網(wǎng)絡(luò)區(qū)的策略。3.2 網(wǎng)絡(luò)層次化設(shè)計(jì)隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長，分布式的網(wǎng)絡(luò)服務(wù)和交換已經(jīng)移至用戶級，由此形成了一個(gè)新的、更適應(yīng)現(xiàn)代的高速大型網(wǎng)絡(luò)的分層設(shè)計(jì)模型。這種分級方法被稱為“多層設(shè)計(jì)”。多層設(shè)計(jì)有以下一些好處：1.多層設(shè)計(jì)是模塊化的，網(wǎng)絡(luò)容量可隨著日后網(wǎng)絡(luò)節(jié)點(diǎn)的增加而不斷增大。2.多層網(wǎng)絡(luò)有很大的確定性，因此在運(yùn)行和擴(kuò)展過程中進(jìn)行故障查找和排除非常簡單。3.多層網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)最有效地利用多種第3 層業(yè)務(wù)，包括分段負(fù)載分擔(dān)和故障恢復(fù)等。在分層網(wǎng)絡(luò)中運(yùn)用智能第3 層業(yè)務(wù)可以大大減少因配置不當(dāng)或故障設(shè)備引起的一般問題。4.多層模式使網(wǎng)絡(luò)的移植

40、更為簡單易行，因?yàn)樗Ａ袅嘶诼酚善骱徒粨Q機(jī)的網(wǎng)絡(luò)原有的尋址方案，對以往的網(wǎng)絡(luò)有很好的兼容性。另外分層結(jié)構(gòu)也能夠?qū)W(wǎng)絡(luò)的故障進(jìn)行很好的隔離。針對實(shí)際情況我們可以采用三層結(jié)構(gòu)模型。三層結(jié)構(gòu)模型劃分為三個(gè)層次，即核心層、分布層、接入層。每個(gè)層次完成不同的功能。一、核心層核心層作為整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心，其主要功能是高速、可靠的進(jìn)行數(shù)據(jù)交換。二、分布層分布層主要進(jìn)行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進(jìn)行訪問控制。包括訪問控制列表、VLAN 路由等等。三、接入層接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。主要是進(jìn)行VLAN的劃分、與分布層的連接等等。3.2.1 核心層設(shè)計(jì)核心交換區(qū)的作用是盡快地提供所有的區(qū)域間

41、的數(shù)據(jù)交換。我們推薦使用兩臺CiscoCatalyst 3560交換機(jī)完成此項(xiàng)功能。兩臺3560交換機(jī)高性能、可靠性、可用性是我們主要考慮的因素。本區(qū)的安全性可以由邊界防火墻提供，如有需要在3560 上面可以部署安全策略，使得核心交換區(qū)的安全性進(jìn)一步地增強(qiáng)。Cisco Catalyst 3560 系列憑借眾多智能服務(wù)將控制擴(kuò)展到網(wǎng)絡(luò)邊緣，其中包括先進(jìn)的服務(wù)質(zhì)量 (QOS、可預(yù)測性能、高級安全性和全面的管理。它提供帶成永續(xù)性的出色控制，將永續(xù)性集成到硬件和軟件中，縮短了網(wǎng)絡(luò)停運(yùn)時(shí)間。CiscoCatalyst 3560 系列的模塊化架構(gòu)、介質(zhì)靈活性和可擴(kuò)展性減少了重復(fù)營開支，提高了投資回報(bào)（RO

42、I），從而在延長部署壽命的同時(shí)降低了擁有成本。3.2.2 接入層設(shè)計(jì)接入層交換機(jī)采用思科的WS-C2960 以千兆以太鏈路和匯聚交換機(jī)相連接，并為用戶終端提供10/100M 自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。辦公系統(tǒng)所需的各種服務(wù)器如辦公自動化服務(wù)器、郵件服務(wù)器、DHCP 服務(wù)器等組成服務(wù)器群，數(shù)據(jù)中心的多種金融系統(tǒng)應(yīng)用服務(wù)器, 連接到匯聚交換機(jī)的千兆模塊上面,因此，內(nèi)部的局域網(wǎng)是采用三層結(jié)構(gòu)組建。3.2.3 內(nèi)聯(lián)接入內(nèi)聯(lián)接入的作用是用于連接上海期貨機(jī)房和北京辦公網(wǎng)絡(luò)。我們推薦使用兩臺Cisco 2800系列路由器通過SDH/DDN線路完成此項(xiàng)功能。由于總部網(wǎng)絡(luò)和分

43、部機(jī)房屬于公司的內(nèi)部網(wǎng)絡(luò)的一部分，因此可信度很高；接入時(shí)主要作用是生產(chǎn)運(yùn)營系統(tǒng)的數(shù)據(jù)交換，查詢等等和管理以及監(jiān)控?？偨Y(jié)以上的原因，內(nèi)聯(lián)路由器與核心交換網(wǎng)絡(luò)間不需要配置額外的防火墻。第四章 路由設(shè)計(jì)4.1 路由協(xié)議選擇開放式最短路徑優(yōu)先（Open Shortest Path First，OSPF）協(xié)議是一種為IP網(wǎng)絡(luò)開發(fā)的內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議，由IETF開 發(fā)并推薦使用。OSPF定義了5種分組：Hello分組用于建立和維護(hù)連接；數(shù)據(jù)庫描述分組初始化路由器的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫；當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫中的某部分信息已經(jīng)過時(shí)后，路由器發(fā)送鏈路狀態(tài)請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來主動擴(kuò)散自

44、己的鏈路狀態(tài)數(shù)據(jù)庫或?qū)︽溌窢顟B(tài)請求分組進(jìn)行響應(yīng)；由于OSPF直接運(yùn)行在IP層，協(xié)議本身要提供確認(rèn)機(jī)制，鏈路狀態(tài)應(yīng)答分組是對鏈路狀態(tài)更新分組進(jìn)行確認(rèn)。OSPF協(xié)議由三個(gè)子協(xié)議組成：Hello協(xié)議、交換協(xié)議和擴(kuò)散協(xié)議。其中Hello協(xié)議負(fù)責(zé)檢查鏈路是否可用，并完成指定路由器及備份指定路由器；交換協(xié)議完成“主”、“從”路由器的指定并交換各自的路由數(shù)據(jù)庫信息；擴(kuò)散協(xié)議完成各路由器中路由數(shù)據(jù)庫的同步維護(hù)。SPF算法：最短路徑優(yōu)先（SPF）路由算法，又稱Dijkstra算法，是OSPF路由協(xié)議的基礎(chǔ)。所有的OSPF路由器并執(zhí)行SPF算法，根據(jù)路由器的拓?fù)鋽?shù)據(jù)庫構(gòu)造出來以他自己為根結(jié)點(diǎn)的最短路徑樹。這個(gè)最短

45、路徑樹就生成了路由表。OSPF協(xié)議主要優(yōu)點(diǎn)：1.為了克服距離矢量路由選擇協(xié)議的缺點(diǎn)，開發(fā)了鏈路狀態(tài)選擇協(xié)議。2.鏈路狀態(tài)路由選擇協(xié)議僅在網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)才生成路由選擇更新。3.鏈路狀態(tài)路由選擇協(xié)議具體如下特征：（1）快速響應(yīng)網(wǎng)絡(luò)變化；（2）在網(wǎng)絡(luò)變化時(shí)發(fā)送觸發(fā)更新；（3）以較低的頻率發(fā)送定期更新，被稱為鏈路狀態(tài)刷新（LSU）。OSPF規(guī)定有層次的網(wǎng)路結(jié)構(gòu)，OSPF將網(wǎng)絡(luò)分為若干區(qū)域：1.傳輸區(qū)域（骨干區(qū)域）：主要的功能為快速高效的傳輸IP分組的OSPF區(qū)域，中轉(zhuǎn)區(qū)域?qū)⑵渌愋偷腛SPF區(qū)域連接起來。2.常規(guī)區(qū)域（非骨干區(qū)域）：主要功能是為了連接用戶和資源的OSPF區(qū)域3.骨干區(qū)域的區(qū)域號必須

46、為0。所以的常規(guī)區(qū)域必須與骨干區(qū)域相連。層次化區(qū)域的優(yōu)點(diǎn)：便于管理；最小化路由表；將拓?fù)渥兏绊懴拗圃趨^(qū)域內(nèi)；將LSA變更泛洪限制在范圍內(nèi)。OSPF路由器在完全鄰接之前,所經(jīng)過的幾個(gè)狀態(tài)：Down:此狀態(tài)還沒有與其他路由器交換信息。首先從其ospf接口向外發(fā)送hello分組，還并不知道DR(若為廣播網(wǎng)絡(luò)和任何其他路由器。發(fā)送hello分組使用組播地址。Attempt: 只適于NBMA網(wǎng)絡(luò)，在NBMA網(wǎng)絡(luò)中鄰居是手動指定的，在該狀態(tài)下路由器將使用HelloInterval取代PollInterval來發(fā)送Hello包。Init: 表明在DeadInterval里收到了Hello

47、包，但是2-Way通信仍然沒有建立起來。two-way: 雙向會話建立，而RID彼此出現(xiàn)在對方的鄰居列表中。(若為廣播網(wǎng)絡(luò)：例如：以太網(wǎng)，在這個(gè)時(shí)候應(yīng)該選舉DR、BDR。ExStart: 信息交換初始狀態(tài)，在這個(gè)狀態(tài)下，本地路由器和鄰居將建立Master/Slave關(guān)系，并確定DD Sequence Number，路由器ID大的的成為Master。Exchange: 信息交換狀態(tài)，本地路由器和鄰居交換一個(gè)或多個(gè)DBD分組（也叫DDP。DBD包含有關(guān)LSDB中LSA條目的摘要信息。Loading: 信息加載狀態(tài)，收到DBD后，將收到的信息同LSDB中的信息進(jìn)行比較。如果DBD中有更新的鏈路狀態(tài)條

48、目，則向?qū)Ψ桨l(fā)送一個(gè)LSR，用于請求新的LSA 。Full: 完全鄰接狀態(tài)，鄰接間的鏈路狀態(tài)數(shù)據(jù)庫同步完成，通過鄰居鏈路狀態(tài)請求列表為空且鄰居狀態(tài)為Loading判斷。另外OSPF還有自己的自制系統(tǒng)即AS 自治系統(tǒng)（autonomous system）：一組相互管理下的網(wǎng)絡(luò)，它們共享同一個(gè)路由選擇方法，自治系統(tǒng)由地區(qū)再劃分并必須由IANA分配一個(gè)單獨(dú)的16位數(shù)字。地區(qū)通常連接到其他地區(qū)，使用路由器創(chuàng)建一個(gè)自治系統(tǒng)。為了保持骨干區(qū)域與普通區(qū)域的連通性，需要虛鏈路。虛鏈路(Virtual Link以下兩種情況需要使用到虛鏈路:1.通過一個(gè)非骨干區(qū)域連接到一個(gè)骨干區(qū)域。2.通過一個(gè)非骨干區(qū)域連接一個(gè)

49、分段的骨干區(qū)域兩邊的部分區(qū)域。虛鏈接是一個(gè)邏輯的隧道（Tunnel）,配置虛鏈接的一些規(guī)則:1.虛鏈接必須配置在2個(gè)ABR之間。2. 虛鏈接所經(jīng)過的區(qū)域叫Transit Area,它必須擁有完整的路由信息。3.Transit Area不能是Stub Area。,它增加了網(wǎng)絡(luò)的復(fù)雜程度和加大了排錯(cuò)的難度。4.2 路由規(guī)劃拓?fù)鋱D4.3 IP地址規(guī)劃標(biāo)識網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)。IP 地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。我們根據(jù)以下幾個(gè)原則來分配IP 地址：唯一性：一個(gè)IP 網(wǎng)

50、絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP 地址。簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表的款項(xiàng)。連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路由總結(jié)(RouteSummarization，大大縮減路由表，提高路由算法的效率?？蓴U(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址總結(jié)所需的連續(xù)性。靈活性：地址分配應(yīng)具有靈活性，可借助可變長子網(wǎng)掩碼技術(shù)(VLSM Variable-Length Subnet Mask，以滿足多種路由策略的優(yōu)化，充分利用地址空間。部門網(wǎng)段子網(wǎng)掩碼網(wǎng)關(guān)地址廣播地址VLAN總部市場部2財(cái)務(wù)部3營銷部4人事部5科研部6行政部7部門網(wǎng)段子網(wǎng)掩碼子

51、網(wǎng)網(wǎng)段網(wǎng)關(guān)地址廣播地址保留地址VLAN分部市場部6個(gè)2財(cái)務(wù)部1個(gè)3營銷部10個(gè)4人事部4個(gè)5科研部4個(gè)6行政部1個(gè)7第五章 網(wǎng)絡(luò)安全解決方案5.1 網(wǎng)絡(luò)邊界安全威脅分析與非安全網(wǎng)絡(luò)的互聯(lián)面臨的安全問題與網(wǎng)絡(luò)內(nèi)部的安全是不同的，主要的原因是攻擊人是不可控的，攻擊是不可溯源的，也沒有辦法去“封殺”。一般來說網(wǎng)絡(luò)邊界上的安全問題主要有下面幾個(gè)方面：1.信息泄密：網(wǎng)絡(luò)上的資源是可以共享的，但沒有授權(quán)的人得到了他不該得到的資源，信息就泄露了。一般信息泄密有兩種方式：攻擊者(非授權(quán)人員進(jìn)入了網(wǎng)絡(luò)，獲取了信息，這是從網(wǎng)絡(luò)內(nèi)部的泄密；合法使用者在進(jìn)行正常業(yè)務(wù)往來時(shí)，信息被外人獲得，這是從網(wǎng)絡(luò)外部的泄密。2.入

52、侵者的攻擊：互聯(lián)網(wǎng)是世界級的大眾網(wǎng)絡(luò)，網(wǎng)絡(luò)上有各種勢力與團(tuán)體。入侵就是有人通過互聯(lián)網(wǎng)進(jìn)入你的網(wǎng)絡(luò)(或其他渠道，篡改數(shù)據(jù)，或?qū)嵤┢茐男袨?，造成你網(wǎng)絡(luò)業(yè)務(wù)的癱瘓，這種攻擊是主動的、有目的、甚至是有組織的行為。3.網(wǎng)絡(luò)病毒：與非安全網(wǎng)絡(luò)的業(yè)務(wù)互聯(lián)，難免在通訊中帶來病毒，一旦在你的網(wǎng)絡(luò)中發(fā)作，業(yè)務(wù)將受到巨大沖擊，病毒的傳播與發(fā)作一般有不確定的隨機(jī)特性。這是“無對手”、“無意識”的攻擊行為。4.木馬入侵：木馬的發(fā)展是一種新型的攻擊行為，他在傳播時(shí)象病毒一樣自由擴(kuò)散，沒有主動的跡象，但進(jìn)入你的網(wǎng)絡(luò)后，便主動與他的“主子”聯(lián)絡(luò)，從而讓主子來控制你的機(jī)器，既可以盜用你的網(wǎng)絡(luò)信息，也可以利用你的系統(tǒng)資源為他工作

53、，比較典型的就是“僵尸網(wǎng)絡(luò)”。來自網(wǎng)絡(luò)外部的安全問題，重點(diǎn)是防護(hù)與監(jiān)控。來自網(wǎng)絡(luò)內(nèi)部的安全，人員是可控的，可以通過認(rèn)證、授權(quán)、審計(jì)的方式追蹤用戶的行為軌跡，也就是我們說的行為審計(jì)與合軌性審計(jì)。由于有這些安全隱患的存在，在網(wǎng)絡(luò)邊界上，最容易受到的攻擊方式有下面幾種：1.黑客入侵：入侵的過程是隱秘的，造成的后果是竊取數(shù)據(jù)與系統(tǒng)破壞。木馬的入侵也屬于黑客的一種，只是入侵的方式采用的病毒傳播，達(dá)到的效果與黑客一樣。2.病毒入侵：病毒就是網(wǎng)絡(luò)的蛀蟲與垃圾，大量的自我繁殖，侵占系統(tǒng)與網(wǎng)絡(luò)資源，導(dǎo)致系統(tǒng)性能下降。病毒對網(wǎng)關(guān)沒有影響，就象“走私”團(tuán)伙，一旦進(jìn)入網(wǎng)絡(luò)內(nèi)部，便成為可怕的“瘟疫”，病毒的入侵方式就象

54、“水”的滲透一樣，看似漫無目的，實(shí)則無孔不入。3.網(wǎng)絡(luò)攻擊：網(wǎng)絡(luò)攻擊是針對網(wǎng)絡(luò)邊界設(shè)備或系統(tǒng)服務(wù)器的，主要的目的是中斷網(wǎng)絡(luò)與外界的連接，比如DOS攻擊，雖然不破壞網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)，但阻塞了應(yīng)用的帶寬，可以說是一種公開的攻擊，攻擊的目的一般是造成你服務(wù)的中斷。5.2 網(wǎng)絡(luò)內(nèi)部安全威脅分析公司內(nèi)部網(wǎng)絡(luò)的風(fēng)險(xiǎn)分析主要針對整個(gè)內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)，主要表現(xiàn)為以下幾個(gè)方面：1.內(nèi)部用戶的非授權(quán)訪問；內(nèi)部的資源也不是對任何的員工都開放的，也需要有相應(yīng)的訪問權(quán)限。內(nèi)部用戶的非授權(quán)的訪問，更容易造成資源和重要信息的泄漏。2.內(nèi)部用戶的誤操作；由于內(nèi)部用戶的計(jì)算機(jī)造作的水平參差不齊，對于應(yīng)用軟件的理解也各不相同，如果一

55、部分軟件沒有相應(yīng)的對誤操作的防范措施，極容易給服務(wù)系統(tǒng)和其他主機(jī)造成危害。內(nèi)部用戶的惡意攻擊；就網(wǎng)絡(luò)安全來說，據(jù)統(tǒng)計(jì)約有70左右的攻擊來自內(nèi)部用戶，相比外部攻擊來說，內(nèi)部用戶具有更得天獨(dú)厚的優(yōu)勢，因此，對內(nèi)部用戶攻擊的防范也很重要。設(shè)備的自身安全性也會直接關(guān)系到各種系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。例如，路由設(shè)備存在路由信息泄漏、交換機(jī)和路由器設(shè)備配置風(fēng)險(xiǎn)等。3.重要服務(wù)器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒有及時(shí)的發(fā)現(xiàn)并且進(jìn)行修復(fù)，將會為網(wǎng)絡(luò)的安全帶來很多不安定的因素。重要服務(wù)器的當(dāng)機(jī)或者重要數(shù)據(jù)的意外丟失，都將會造成內(nèi)部的業(yè)務(wù)無法正常運(yùn)行。4.安全管理的困難，對于眾多的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全

56、設(shè)備，安全策略的配置和安全事件管理的難度很大。5.3 安全產(chǎn)品選型原則公司網(wǎng)絡(luò)屬于一個(gè)行業(yè)的專用網(wǎng)絡(luò)，因此在安全產(chǎn)品的選型上，必須慎重，選型的原則包括：1.安全保密產(chǎn)品的接入應(yīng)不明顯影響網(wǎng)絡(luò)系統(tǒng)運(yùn)行效率，并且滿足工作的要求，不影響正常的業(yè)務(wù)；2.安全保密產(chǎn)品必須滿足上面提出的安全需求，保證整個(gè)公司企業(yè)網(wǎng)絡(luò)的安全性；3.安全保密產(chǎn)品必須通過國家主管部門指定的測評機(jī)構(gòu)的檢測；4.安全保密產(chǎn)品必須具備自我保護(hù)能力；5.安全保密產(chǎn)品必須符合國家和國際上的相關(guān)標(biāo)準(zhǔn)；6.安全產(chǎn)品必須操作簡單易用，便于簡單部署和集中管理。5.4 網(wǎng)絡(luò)常用技術(shù)介紹5.4.1 HSRP 協(xié)議我們使用HSRP來實(shí)現(xiàn)對故障路由器的接管,HSRP中文解釋是熱備份路由協(xié)議，其含義