中小型企業(yè)局域網(wǎng)的設(shè)計與實現(xiàn)

年4月19日中小型企業(yè)局域網(wǎng)的設(shè)計與實現(xiàn)文檔僅供參考，不當之處，請聯(lián)系改正。中小型企業(yè)局域網(wǎng)的設(shè)計與實現(xiàn)課題名稱中小型企業(yè)網(wǎng)絡(luò)的設(shè)計與實現(xiàn)學(xué)院中國農(nóng)業(yè)大學(xué)東校區(qū)專業(yè)計算機專業(yè)班級14級專升本班姓名張濤指導(dǎo)老師劉德福摘要隨著網(wǎng)絡(luò)技術(shù)新系統(tǒng)、新領(lǐng)域的長足發(fā)展，傳統(tǒng)企業(yè)也正利用其行業(yè)的特點，融合網(wǎng)絡(luò)技術(shù)的優(yōu)勢，發(fā)展自身。在信息化生產(chǎn)逐步普及的今天，組建企業(yè)內(nèi)部網(wǎng)絡(luò)已經(jīng)是企業(yè)必不可少的一部分，建立高速、穩(wěn)定、安全、智能的辦公網(wǎng)，是組建中小型企業(yè)局域網(wǎng)的核心。本論文所闡述的網(wǎng)絡(luò)是使用業(yè)界流行的核心層—匯聚層—分布層三層結(jié)構(gòu)設(shè)計的中小型企業(yè)網(wǎng)，結(jié)合廣為使用的虛擬局域網(wǎng)（VLAN），熱備份路由（HSRP），訪問控制列表（ACL），網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）等技術(shù)，增強網(wǎng)絡(luò)的穩(wěn)定性和安全性。設(shè)計中采用虛擬局域網(wǎng)來隔離不同部門，以達到增強企業(yè)網(wǎng)絡(luò)安全性的目的；在規(guī)劃好的VLAN的基礎(chǔ)上，采用訪問控制列表（ACL），設(shè)置策略，來限制部門之間以及服務(wù)器區(qū)的訪問，進一步提高企業(yè)網(wǎng)絡(luò)內(nèi)部的安全性；并在核心層交換機上采用熱備份路由（HSRP）技術(shù)，增加網(wǎng)絡(luò)的冗余，提高企業(yè)網(wǎng)絡(luò)的整體穩(wěn)定性；采用路由器硬件的動態(tài)主機分配協(xié)議（DHCP）功能，保證各部門IP地址的獲??；在邊界路由器上設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），將企業(yè)內(nèi)部私有地址轉(zhuǎn)換為公網(wǎng)地址，實現(xiàn)了多個用戶同時公用一個合法IP與外部Internet進行通信，解決IP地址短缺的問題。

目錄緒論 11.網(wǎng)絡(luò)建設(shè)背景和必要性 32.組建局域網(wǎng)的需求分析 52.1總體需求分析 52.2網(wǎng)絡(luò)平臺需求 52.3網(wǎng)絡(luò)安全需求 62.3.1外網(wǎng)安全： 6物理安全需求 6數(shù)據(jù)鏈路層需求 6入侵檢測系統(tǒng)需求 6防病毒系統(tǒng)需求 6安全管理體制 72.3.2內(nèi)網(wǎng)安全： 7VLAN設(shè)置需求 7防病毒系統(tǒng)需求 7網(wǎng)絡(luò)管理需求 7網(wǎng)絡(luò)系統(tǒng)管理 73.組建局域網(wǎng)的設(shè)計目標和原則 93.1核心交換機的高數(shù)據(jù)處理性能 93.2核心交換機的高可靠性 93.3核心交換機的靈活擴充性 103.4網(wǎng)絡(luò)的安全性 103.5網(wǎng)絡(luò)的可管理性 104.局域網(wǎng)設(shè)計方案 124.1網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計方案 124.2虛擬局域網(wǎng)（vlan）設(shè)計方案 134.2.1VLAN技術(shù)簡介 134.2.2VLAN方案設(shè)計 144.3第三層交換技術(shù)設(shè)計方案 154.4IPmulticast技術(shù)方案設(shè)計 164.5訪問控制列表（ACL）設(shè)計方案 184.6IP地址規(guī)劃與路由設(shè)計方案 194.6.1IP地址規(guī)劃方案 194.6.2路由協(xié)議的選擇 204.6.3路由協(xié)議設(shè)計方案 224.7HSRP：熱備份路由器協(xié)議 234.7.1HSRP協(xié)議概述 234.7.2HSRP的工作原理 244.7.3本方案的特點 245.設(shè)備清單 27結(jié)論 28參考文獻 29緒論0.1選題的背景企業(yè)網(wǎng)最原始的網(wǎng)絡(luò)需求來自于對LAN上共享資源、業(yè)務(wù)的開展需要，最小規(guī)模的局域網(wǎng)可能就要算經(jīng)過1臺共享式集線器來連接打印機、文件服務(wù)器的組建模式了，可是，在信息科技日益發(fā)展的今天，基于共享式技術(shù)的網(wǎng)絡(luò)已經(jīng)不能符合當前企業(yè)IT發(fā)展的需求，更高速、更可靠、更安全以及更方便的網(wǎng)絡(luò)和業(yè)務(wù)管理已經(jīng)成為新時期企業(yè)局域網(wǎng)的關(guān)注重點。如何最大程度的滿足企業(yè)的這些需求正是本文最關(guān)心的問題。0.2選題的目的和意義企業(yè)電子商務(wù)網(wǎng)絡(luò)系統(tǒng)應(yīng)是一個統(tǒng)一、可靠、安全的專用信息通信平臺，支持話音、數(shù)據(jù)和圖像的交換與傳輸，實現(xiàn)計算機數(shù)據(jù)、話音、電視會議、圖片傳輸?shù)榷喾N信息通信業(yè)務(wù)，并具有完備的網(wǎng)絡(luò)管理系統(tǒng)。在先進成熟的計算機和通信技術(shù)基礎(chǔ)上，企業(yè)要建設(shè)成光纖網(wǎng)絡(luò)，使企業(yè)各部門實現(xiàn)宏觀決策科學(xué)化，辦公自動化，信息交換網(wǎng)絡(luò)化，提高宏觀決策和調(diào)控能力，促進企業(yè)信息化，同時有助于加快信息經(jīng)濟建設(shè)。0.3可行性分析根據(jù)企業(yè)的實際情況，總結(jié)出該計算機網(wǎng)絡(luò)有如下需求：企業(yè)網(wǎng)絡(luò)系統(tǒng)本著實用、經(jīng)濟可靠的原則，采用交換式以太網(wǎng)方案。采用內(nèi)部IP地址。網(wǎng)絡(luò)采用兩極交換結(jié)構(gòu)，中心交換機采用三層交換機，構(gòu)成千兆主干，中心交換機應(yīng)有足夠的插槽用于以后的擴展，至少有24個10/100M自適應(yīng)端口用于連接服務(wù)器，光纖端口依實際應(yīng)用提供，電源應(yīng)有冗余；每個分配線間各放置若干臺24口交換機作為二級交換機，用千兆光纖口用于上連，能夠為用戶提供交換式100Mbps帶寬，彼此間采用堆疊連接。是為入住企業(yè)的單位提供寬帶國際互聯(lián)網(wǎng)絡(luò)接入服務(wù)、內(nèi)部網(wǎng)絡(luò)通訊平臺、計算機應(yīng)用服務(wù)的綜合性專用計算機數(shù)據(jù)通信網(wǎng)絡(luò)。為了使本網(wǎng)絡(luò)設(shè)計向統(tǒng)一管理、高速寬帶、復(fù)雜應(yīng)用方向發(fā)展，本設(shè)計所建設(shè)的網(wǎng)絡(luò)將為各入住單位系統(tǒng)內(nèi)部互聯(lián)網(wǎng)絡(luò)系統(tǒng)提供一個統(tǒng)一的數(shù)據(jù)通信網(wǎng)絡(luò)平臺，各網(wǎng)絡(luò)系統(tǒng)的信息都可在此數(shù)據(jù)通信網(wǎng)上傳遞，并可經(jīng)過統(tǒng)一的網(wǎng)管系統(tǒng)提供統(tǒng)一的管理功能，將各專業(yè)內(nèi)部網(wǎng)絡(luò)網(wǎng)管的報警信息等一并顯示，同時為未來的網(wǎng)絡(luò)發(fā)展奠定必要的基礎(chǔ)。0.4研究的基本思路根據(jù)對所選題目背景、目的、意義和可行性的分析，總結(jié)出設(shè)計思路如下：選擇合適的網(wǎng)絡(luò)層次模型規(guī)劃企業(yè)網(wǎng)絡(luò)架構(gòu)，合理分配企業(yè)內(nèi)部的IP地址。采用穩(wěn)定高效的路由協(xié)議連通企業(yè)內(nèi)部網(wǎng)，并在此基礎(chǔ)上設(shè)計安全策略，增強企業(yè)數(shù)據(jù)的保密性，保證商業(yè)機密的安全。設(shè)置策略或設(shè)備的冗余，保證企業(yè)網(wǎng)絡(luò)在遭遇突發(fā)故障時能順利切換線路，保障數(shù)據(jù)的完整性，避免重要信息的丟失，增強網(wǎng)絡(luò)的穩(wěn)定性。最后，選擇合適的網(wǎng)絡(luò)設(shè)備，在顧及網(wǎng)絡(luò)性能的前提下，優(yōu)化企業(yè)的資源配置

1.網(wǎng)絡(luò)建設(shè)背景和必要性格羅莫夫（GregoryGromov）曾經(jīng)說過：“網(wǎng)絡(luò)本身就是一種計算機科學(xué)概念?！辈贿^，現(xiàn)在有了更豐富的內(nèi)涵，注解之一就是，網(wǎng)絡(luò)本身更具有經(jīng)濟學(xué)內(nèi)涵。在現(xiàn)代經(jīng)濟學(xué)中有“規(guī)模效益”理論，就是經(jīng)過擴大經(jīng)濟規(guī)模，來降低單位成本。雖然“擴大規(guī)模”依然是降低成本的根本途徑，可是伴隨經(jīng)濟規(guī)模的擴大也增加了“協(xié)調(diào)成本”，既與企業(yè)相關(guān)的信息交流的代價。在很多情況下，企業(yè)的生產(chǎn)經(jīng)營并不是孤立進行的，其需要在內(nèi)部生產(chǎn)部門之間與外部市場之間達到充分的信息交流，才能維系正常的生產(chǎn)經(jīng)營，特別是在規(guī)模不斷擴大的情況下，如果依然延續(xù)傳統(tǒng)的信息交流手段，則信息交流代價急劇增長。由此造成單位生產(chǎn)成本不降反升，從而制約著現(xiàn)代經(jīng)濟規(guī)模。隨著科技進步，網(wǎng)絡(luò)技術(shù)成為信息溝通的重要手段，世界正因為有了互聯(lián)網(wǎng)而變得越來越小，世界級的企業(yè)也越來越依賴于網(wǎng)絡(luò)技術(shù)，擴大和鞏固其市場地位。從網(wǎng)絡(luò)在企業(yè)生產(chǎn)、流通、服務(wù)等關(guān)鍵環(huán)節(jié)起的重要作用來看，其更多超出了技術(shù)領(lǐng)域，而深具經(jīng)濟學(xué)內(nèi)涵。隨著網(wǎng)絡(luò)技術(shù)，新系統(tǒng)新領(lǐng)域的長足發(fā)展，網(wǎng)絡(luò)經(jīng)濟，知識經(jīng)濟再不是IT等高科技行業(yè)的專利，傳統(tǒng)企業(yè)正利用其行業(yè)特點，汲取網(wǎng)絡(luò)技術(shù)精華，努力創(chuàng)造著傳統(tǒng)行業(yè)的又一個春天。未來是美好的，但現(xiàn)實不可回避。大多數(shù)企業(yè)對電子商務(wù)的一般認識是電子商務(wù)能幫助企業(yè)進行網(wǎng)上購物、網(wǎng)上交易，僅是一種新興的企業(yè)運作模式，比較適用于商業(yè)貿(mào)易公司，殊不知電子商務(wù)已經(jīng)對傳統(tǒng)的企業(yè)造成的了巨大的沖擊。制造業(yè)傳統(tǒng)運作模式效率低，成本過高，已不適于新經(jīng)濟的需要。隨著企業(yè)間競爭的日趨激烈，以及全球經(jīng)濟一體化，市場向企業(yè)提出了更高的要求，要求企業(yè)能及時提供高品質(zhì)、低價格，具有個性化的產(chǎn)品。而企業(yè)在商業(yè)運作過程中比較重視控制生產(chǎn)成本，對于采購成本，銷售成本的控制無論從意識上、管理上還是從執(zhí)行上都比較薄弱，如何減少采購和銷售過程中的環(huán)節(jié)，直接控制供應(yīng)商的價格、品質(zhì)、交貨期以及批發(fā)商和經(jīng)營商的進貨、出貨、倉儲情況是企業(yè)在電子商務(wù)時代所面臨的第一個問題，這種情況在集團公司的運作中尤為明顯。經(jīng)過實施電子商務(wù)，能夠?qū)崿F(xiàn)企業(yè)對產(chǎn)品、原材料、非生產(chǎn)性產(chǎn)品、服務(wù)類等的電子化、網(wǎng)絡(luò)化采購，總公司與下屬子公司幾個職能部門有組織、有計劃的統(tǒng)一管理，減少流通環(huán)節(jié)，降低成本，提高效率，使企業(yè)在管理上經(jīng)過電子商務(wù)的實施達到更高水品。作為電子商務(wù)基石的網(wǎng)絡(luò)系統(tǒng)已經(jīng)成為現(xiàn)代企業(yè)的“神經(jīng)”，而“神經(jīng)”是否工作正常，是否高速高效，直接關(guān)系到“生存死亡”。傳統(tǒng)企業(yè)對市場的反應(yīng)速度取決于自身的信息網(wǎng)絡(luò)水平。在電子商務(wù)時代，產(chǎn)品的個性化情況非常普遍，比如服裝，時尚和潮流總是千變?nèi)f化，捉摸不定。生產(chǎn)商要在短時間內(nèi)捕獲市場信息并作出適宜反饋，確實有難度。傳統(tǒng)企業(yè)在對市場的反饋速度上明顯過慢。究其主要原因是企業(yè)沒有將供應(yīng)商和客戶那到企業(yè)自身的供應(yīng)鏈中，沒能及時知道下游客戶的庫存情況、市場情況，沒有讓上有的供應(yīng)商及時了解企業(yè)原材料的庫存情況、成套情況。在供應(yīng)商、商家、客戶三者之間沒有形成一個有效的環(huán)路，有次造成了商家隨市場的反應(yīng)遲緩，導(dǎo)致了商業(yè)損失。有了網(wǎng)絡(luò)的協(xié)助，企業(yè)從原材料的采購、產(chǎn)品設(shè)計、到訂單處理和產(chǎn)品的發(fā)送，均可用小時為單位來追蹤。同時利用互聯(lián)網(wǎng)技術(shù)不但能夠全面監(jiān)控下游客戶每日的進銷存情況，及時進行補貨，而且能夠讓上有的供應(yīng)商及時知道企業(yè)原料的庫存情況，及時補充，將存貨量保持在最低水品。企業(yè)受限于內(nèi)部龐雜的關(guān)系管理，拓展外部市場是如果還用一成不變的業(yè)務(wù)服務(wù)方式，很可能在提取激烈的市場競爭中處于尷尬的境地。為了擺脫可能出現(xiàn)的窘境必須依賴可靠、安全、高效、可擴充、可管理的網(wǎng)絡(luò)產(chǎn)品和技術(shù)，為企業(yè)提供流暢的信息傳遞和資源共享，優(yōu)化資源配置，并開拓新市場，吸引更多客戶，擴展市場影響力，產(chǎn)生業(yè)務(wù)增值，降低生產(chǎn)成本成為可能。綜上所述，傳統(tǒng)企業(yè)如果希望在市場的天空中飛的更高更遠，那么必須插上網(wǎng)絡(luò)化生產(chǎn)、經(jīng)營和服務(wù)的翅膀。在選取“飛”的翅膀時，計算機網(wǎng)絡(luò)解決方案的選取是關(guān)鍵。只有綜合考慮了網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理、可靠性、可管理性、可擴展性和高性能的需要，精選出適合企業(yè)網(wǎng)絡(luò)需要的網(wǎng)絡(luò)解決方案，才能對企業(yè)高效，科學(xué)的管理，控制企業(yè)的運營成本，為企業(yè)的騰飛助跑。

2.組建局域網(wǎng)的需求分析2.1總體需求分析總體需求是將企業(yè)網(wǎng)絡(luò)建成以辦公自動化為主的硬件平臺系統(tǒng)。企業(yè)網(wǎng)絡(luò)系統(tǒng)的需求包括以下幾點：適應(yīng)桌面計算機處理、I/O能力大幅度提高的現(xiàn)狀，發(fā)揮桌面機的網(wǎng)絡(luò)性能，提高桌面機的訪問帶寬；適應(yīng)連網(wǎng)規(guī)模大、總流量大的情況，合理分布流量，實現(xiàn)流量隔離和控制；適應(yīng)部門多、層次復(fù)雜的特點，合理進行網(wǎng)絡(luò)劃分，實現(xiàn)有效的安全訪問控制和運行管理；能夠向未來的高速網(wǎng)絡(luò)技術(shù)和不斷出現(xiàn)的新應(yīng)用過渡；實現(xiàn)網(wǎng)絡(luò)互聯(lián)，解決互聯(lián)網(wǎng)絡(luò)帶來的安全問題和管理問題；適應(yīng)數(shù)據(jù)集中型應(yīng)用的發(fā)展趨勢，為客戶/服務(wù)器的應(yīng)用環(huán)境提供支撐；增加網(wǎng)絡(luò)系統(tǒng)的運行可靠性，降低故障隱患，提高系統(tǒng)的可管理性。本方案針對網(wǎng)絡(luò)系統(tǒng)應(yīng)用場合對安全提出了很高的要求，因此網(wǎng)絡(luò)設(shè)計充分考慮網(wǎng)絡(luò)上敏感數(shù)據(jù)傳輸?shù)陌踩?，一方面需要充分利用網(wǎng)絡(luò)設(shè)備提供的安全策略（VLAN劃分等），另一方面為了保障內(nèi)部數(shù)據(jù)傳輸?shù)陌踩?，采用各種安全技術(shù)（防火墻、入侵檢測、防病毒體系等），而且盡量不影響到整個網(wǎng)絡(luò)的運行效率。為了更好的保證網(wǎng)絡(luò)的正常運行，設(shè)計的網(wǎng)絡(luò)系統(tǒng)還考慮到網(wǎng)絡(luò)管理，實現(xiàn)網(wǎng)絡(luò)的統(tǒng)一管理。2.2網(wǎng)絡(luò)平臺需求利用當前最流行的千兆以太網(wǎng)技術(shù)實現(xiàn)企業(yè)網(wǎng)絡(luò)為千兆主干、百兆交換到桌面，全方位支持企業(yè)的信息處理與交換的傳輸、操作和策略服務(wù)。網(wǎng)絡(luò)總體結(jié)構(gòu)分為網(wǎng)絡(luò)互連、核心節(jié)點、樓層交換三個層面。一般采用交換，必要時實現(xiàn)路由隔離。網(wǎng)絡(luò)根據(jù)業(yè)務(wù)用戶分布和數(shù)據(jù)的流向，合理的進行網(wǎng)段劃分。允許采用虛擬網(wǎng)技術(shù)（VLAN）。實現(xiàn)各計算機網(wǎng)絡(luò)系統(tǒng)的互聯(lián)，形成公共信息的交換環(huán)境，為企業(yè)用戶提供網(wǎng)絡(luò)服務(wù)平臺。實現(xiàn)信息資源和軟硬件資源共享，提供豐富的網(wǎng)絡(luò)信息服務(wù)，以推動辦公自動化。根據(jù)樓宇辦公場合不同，網(wǎng)絡(luò)平臺分別設(shè)計出內(nèi)網(wǎng)和外網(wǎng)平臺，兩網(wǎng)之間采用物理隔離的技術(shù)手段實現(xiàn)涉密問題。2.3網(wǎng)絡(luò)安全需求隨著網(wǎng)絡(luò)的建成，基于網(wǎng)絡(luò)的應(yīng)用日漸增多，網(wǎng)絡(luò)用戶也會越來越多，網(wǎng)絡(luò)的安全成為了系統(tǒng)建設(shè)的主要問題。在局域網(wǎng)中安全系統(tǒng)建設(shè)主要設(shè)計包括外網(wǎng)安全和內(nèi)網(wǎng)安全。2.3.1外網(wǎng)安全：由于外網(wǎng)主要運行企業(yè)各部門非涉密的內(nèi)部辦公業(yè)務(wù)以及運行面向客戶的公開信息，因此必須采取過硬的安全技術(shù)來實現(xiàn)企業(yè)的網(wǎng)絡(luò)系統(tǒng)不受Internet的“黑客”、病毒等攻擊。外網(wǎng)對安全的需求包括物理安全需求、數(shù)據(jù)鏈路層需求、入侵檢測系統(tǒng)需求、防病毒系統(tǒng)需求和安全管理體制等。物理安全需求針對重要信息可能經(jīng)過電磁輻射或線路干擾等泄漏。需要對存放機密信息的機房進行必要的設(shè)計，如構(gòu)建屏蔽室。采用輻射干擾機，防止電磁輻射泄漏機密信息。對重要的設(shè)備進行冗余配置；對重要系統(tǒng)進行備份等安全保護。數(shù)據(jù)鏈路層需求信息的泄漏很多都是在鏈路上被搭線竊取，數(shù)據(jù)也可能因為在鏈路上被截獲、被篡改后傳輸給對方，造成數(shù)據(jù)真實性、完整性得不到保證。如果利用加密設(shè)備對傳輸數(shù)據(jù)進行加密，使得在網(wǎng)上傳輸?shù)臄?shù)據(jù)以密文傳輸。因為數(shù)據(jù)是密文，因此，即使在傳輸過程中被截獲，入侵者也讀不懂，而且加密機還能經(jīng)過先進行技術(shù)手段，對數(shù)據(jù)傳輸過程中的完整性、真實性進行鑒別。能夠保證數(shù)據(jù)的保密性、完整性及可靠性。因此，可能需要配備加密設(shè)備對數(shù)據(jù)進行傳輸加密。入侵檢測系統(tǒng)需求網(wǎng)絡(luò)安全是整體的、動態(tài)的，不是單一產(chǎn)品能夠完全實現(xiàn)的，因此為了確保網(wǎng)絡(luò)更加安全必須配備入侵檢測系統(tǒng)，對透過防火墻的攻擊進行檢測并做相應(yīng)反應(yīng)（記錄、報警、阻斷）。防病毒系統(tǒng)需求針對防病毒危害性極大而且傳播極為迅速，必須配備從單機到服務(wù)器的整套防病毒軟件，實現(xiàn)全網(wǎng)的病毒安全防護。安全管理體制安全系統(tǒng)只能提供技術(shù)手段和措施，但人為的因素不可忽略，只有確立健全的安全管理體制，設(shè)立相應(yīng)的安全管理崗位，從制度上加以嚴格管理。2.3.2內(nèi)網(wǎng)安全：運用多種技術(shù)，如VLAN、防病毒體系等，對各個部門、系所訪問進行控制，各單位之間在未授權(quán)的情況下不能互相訪問，保證系統(tǒng)內(nèi)部的安全。內(nèi)網(wǎng)對安全的需求包括VLAN設(shè)置需求、防病毒系統(tǒng)需求、網(wǎng)絡(luò)管理需求和網(wǎng)絡(luò)系統(tǒng)管理等。VLAN設(shè)置需求企業(yè)網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布區(qū)域廣，網(wǎng)絡(luò)用戶多，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對于存放敏感數(shù)據(jù)的主機的攻擊往往發(fā)自內(nèi)部用戶，如何對內(nèi)部用戶進行訪問控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運行的可靠性和安全性，必須要對它進行詳盡的設(shè)計，盡可能防護到網(wǎng)絡(luò)的每一節(jié)點。防病毒系統(tǒng)需求針對防病毒危害性極大而且傳播極為迅速，必須配備從單機到服務(wù)器的整套防病毒軟件，實現(xiàn)全網(wǎng)的病毒安全防護。網(wǎng)絡(luò)管理需求此次建設(shè)的企業(yè)網(wǎng)絡(luò)系統(tǒng)是一個相當復(fù)雜的計算機網(wǎng)絡(luò)，包含多種設(shè)備和技術(shù)。隨著系統(tǒng)復(fù)雜度的增加，會給系統(tǒng)管理帶來成指數(shù)增加的管理工作量。為此必須要設(shè)計一套健全的管理系統(tǒng)。針對系統(tǒng)的功能采取相應(yīng)的管理措施。網(wǎng)絡(luò)系統(tǒng)管理系統(tǒng)中包含大量的網(wǎng)絡(luò)設(shè)備，必須為其配置功能強大的管理系統(tǒng)，該系統(tǒng)應(yīng)具有以下功能：(1)虛擬網(wǎng)管理、分配；(2)對所有網(wǎng)絡(luò)設(shè)備端口的監(jiān)視和管理；(3)對網(wǎng)絡(luò)流量的監(jiān)測和管理；(4)對所有網(wǎng)絡(luò)設(shè)備的遠程管理和控制，包括網(wǎng)絡(luò)端口設(shè)備的開放和關(guān)閉；(5)整個網(wǎng)絡(luò)的故障監(jiān)測，故障自動報警功能；(6)整個網(wǎng)絡(luò)性能的統(tǒng)計和分析報告。

3.組建局域網(wǎng)的設(shè)計目標和原則3.1核心交換機的高數(shù)據(jù)處理性能核心交換機滿足網(wǎng)絡(luò)中心海量數(shù)據(jù)交換的要求，連接中心的通訊鏈路帶寬滿足應(yīng)用的性能要求。在Intranet網(wǎng)絡(luò)應(yīng)用環(huán)境中心，WWW服務(wù)器，F(xiàn)TP服務(wù)器，E-Mail服務(wù)器，DHCP服務(wù)器，支撐著整個企業(yè)的應(yīng)用服務(wù)。各部門用戶客戶端軟件，透過網(wǎng)絡(luò)訪問中心服務(wù)器，請求應(yīng)用，查詢數(shù)據(jù)庫。網(wǎng)絡(luò)的負載流量主要是從邊緣設(shè)備到核心的數(shù)據(jù)交換，隨著業(yè)務(wù)的發(fā)展，網(wǎng)絡(luò)規(guī)模的擴展，以及應(yīng)用的信息交換量增加，使得網(wǎng)絡(luò)一般會在核心發(fā)生通訊瓶頸現(xiàn)象，改進局域網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)交換性能，往往是首先擴充核心交換機的交換性能，增加邊緣設(shè)備到核心的數(shù)據(jù)通訊帶寬，以減輕整個網(wǎng)絡(luò)的瓶頸，使得應(yīng)用軟件的性能和效率得到提高。因此在設(shè)計局域網(wǎng)的原則上，首先應(yīng)該考慮滿足網(wǎng)絡(luò)規(guī)模所要求的核心設(shè)備數(shù)據(jù)交換處理能力，以及邊緣設(shè)備到核心的鏈路帶寬。3.2核心交換機的高可靠性核心交換機關(guān)鍵部件能夠?qū)崿F(xiàn)冗余工作，能夠在線更換(熱插拔)，故障的恢復(fù)時間在秒級間隔內(nèi)完。經(jīng)過H3C專有的VRRP技術(shù)能夠配置雙核心交換，在發(fā)生故障時自動切換到備用交換機，確保數(shù)據(jù)不發(fā)生丟包。隨著信息化社會的飛速發(fā)展，普遍采用了Intranet應(yīng)用模式，實現(xiàn)管理和生產(chǎn)自動化，提高管理效率，管理水平。支持單位應(yīng)用的基礎(chǔ)設(shè)施是網(wǎng)絡(luò)。它直接影響到辦公應(yīng)用環(huán)境，交易、生產(chǎn)、開發(fā)、設(shè)計等業(yè)務(wù)環(huán)境，財務(wù)管理，部品管理等環(huán)境，信息檢索、數(shù)據(jù)庫查詢、Internet瀏覽等支持正常運行的必要服務(wù)設(shè)施功能。網(wǎng)絡(luò)的可靠性要求是保障應(yīng)用環(huán)境正常運行的首要條件，網(wǎng)絡(luò)要求可靠性的同時，要求網(wǎng)絡(luò)具有高可用性。網(wǎng)絡(luò)設(shè)備的選擇，特別是核心機箱式設(shè)備，應(yīng)該能夠配置冗余部件，關(guān)鍵部件不存在單一故障點，也就是說，像交換機的電源、風扇、交換引擎、管理模塊這些部件能夠冗余備份，其中之一任何部件的損壞，不會影響設(shè)備的正常運行，不會影響網(wǎng)絡(luò)的連通。提供網(wǎng)絡(luò)設(shè)備的可靠性，容錯性的另一個要求是設(shè)備損壞部件更換時，不需要停機，更換部件后不需要重新啟動，也就是說部件的更換能夠進行在線操作，這樣能夠使停機的時間降低到最小。在設(shè)計局域網(wǎng)的原則上提高網(wǎng)絡(luò)的高可靠性、高可用性原則是至關(guān)重要的，不但要求設(shè)備的部件冗余，同時要求網(wǎng)絡(luò)的鏈路冗余，以保證網(wǎng)絡(luò)能夠在任何時間、任何地點提供信息訪問服務(wù)。3.3核心交換機的靈活擴充性核心交換機應(yīng)該具備靈活的端口擴充能力，模塊擴充能力，滿足網(wǎng)絡(luò)規(guī)模的擴充。同時提高性能，滿足更高性能的要求。在設(shè)計局域網(wǎng)的方案上，首先是滿足現(xiàn)有規(guī)模的網(wǎng)絡(luò)用戶的需求，同時考慮到業(yè)務(wù)發(fā)展、規(guī)模的擴大，應(yīng)該設(shè)計網(wǎng)絡(luò)具有用戶端口的擴充能力。核心設(shè)備是整個網(wǎng)絡(luò)的樞紐，用戶端口數(shù)的擴充，需要增加配線間邊緣工作組的設(shè)備，增加邊緣設(shè)備的同時，要求連接核心骨干設(shè)備的端口數(shù)相應(yīng)增加，因此核心設(shè)備應(yīng)該能夠經(jīng)過增加模塊來靈活地增加端口數(shù)。核心設(shè)備的機箱設(shè)計應(yīng)該具備強大的背板帶寬，足夠多的負載插槽容量。對于交換機來說，核心交換引擎應(yīng)該能夠滿足最大配置下，無阻塞的進行端口數(shù)據(jù)包交換，模塊的擴充不影響交換性能。采用分布式交換結(jié)構(gòu)是實現(xiàn)這一原則的最佳方案，分布式交換機結(jié)構(gòu)實現(xiàn)了交換機的并行數(shù)據(jù)交換處理，優(yōu)化了網(wǎng)絡(luò)的性能，本地交換和全局交換相結(jié)合的分布式結(jié)構(gòu)減少了交換引擎的壓力。因此在設(shè)計大規(guī)模網(wǎng)絡(luò)的原則上普遍采用分布式交換機實現(xiàn)靈活的模塊、端口擴充能力。3.4網(wǎng)絡(luò)的安全性能夠有效的控制網(wǎng)絡(luò)的訪問，靈活的實施網(wǎng)絡(luò)的安全控制策略。網(wǎng)絡(luò)的安全性對局域網(wǎng)的設(shè)計是非常重要的，合理的網(wǎng)絡(luò)安全控制，能夠使應(yīng)用環(huán)境中的資源得到有效的保護。在網(wǎng)絡(luò)中，關(guān)鍵應(yīng)用服務(wù)器、核心網(wǎng)絡(luò)設(shè)備，只有系統(tǒng)管理人員才有操作、控制的權(quán)力。應(yīng)用客戶端只有應(yīng)用訪問的權(quán)限，網(wǎng)絡(luò)應(yīng)該能夠阻止黑客的任何非法操作。在網(wǎng)絡(luò)設(shè)備上應(yīng)該能夠進行基于協(xié)議、基于Mac地址、基于IP地址的包過濾控制功能。在大規(guī)模網(wǎng)絡(luò)的設(shè)計上，劃分虛擬子網(wǎng)，一方面能夠有效的隔離子網(wǎng)內(nèi)的大量廣播，另一方面隔離網(wǎng)絡(luò)子網(wǎng)間的通訊，控制了資源的訪問權(quán)限，提高了網(wǎng)絡(luò)的安全性。在設(shè)計局域網(wǎng)的原則上必須強調(diào)網(wǎng)絡(luò)安全控制能力，使網(wǎng)絡(luò)能夠任意連接，又能夠從第二層、第三層控制網(wǎng)絡(luò)的訪問。3.5網(wǎng)絡(luò)的可管理性網(wǎng)絡(luò)中的任何設(shè)備均能夠經(jīng)過網(wǎng)絡(luò)管理平臺進行控制，網(wǎng)絡(luò)的設(shè)備狀態(tài)，故障報警等都能夠經(jīng)過網(wǎng)管平臺進行監(jiān)控，經(jīng)過網(wǎng)絡(luò)管理平臺簡化管理工作，提高網(wǎng)絡(luò)管理的效率。在設(shè)計局域網(wǎng)時，選擇先進的網(wǎng)絡(luò)管理軟件是必不可少的。網(wǎng)絡(luò)管理軟件應(yīng)用于網(wǎng)絡(luò)的設(shè)備配置，網(wǎng)絡(luò)拓撲結(jié)構(gòu)表示，網(wǎng)絡(luò)設(shè)備的狀態(tài)的顯示，網(wǎng)絡(luò)設(shè)備的故障事件報警，網(wǎng)絡(luò)流量統(tǒng)計分析以及計費等等。網(wǎng)管軟件的應(yīng)用能夠提高網(wǎng)絡(luò)管理的效率，減輕網(wǎng)絡(luò)管理人員的負擔。網(wǎng)絡(luò)管理的目標是實現(xiàn)零管理，基于策略的管理方式，網(wǎng)絡(luò)管理是經(jīng)過制定統(tǒng)一的策略，由管理策略服務(wù)器進行全局控制的?；赪eb的網(wǎng)管界面，是網(wǎng)管軟件的發(fā)展趨勢，靈活的操作方式簡化了管理人員的工作。在設(shè)計局域網(wǎng)的設(shè)備選擇上，要求網(wǎng)絡(luò)設(shè)備支持標準的網(wǎng)絡(luò)管理協(xié)議SNMP，同時支持RMON/RMONII協(xié)議，核心設(shè)備要求支持RAP(遠程分析端口)協(xié)議，實施充分的網(wǎng)絡(luò)管理功能。在設(shè)計局域網(wǎng)的原則上應(yīng)該要求設(shè)備的可管理性，同時先進的網(wǎng)管軟件能夠支持網(wǎng)絡(luò)維護、監(jiān)控、配置等功能。網(wǎng)絡(luò)設(shè)備采用開放技術(shù)、支持標準協(xié)議：采用標準的協(xié)議保護用戶的投資，提高設(shè)備的互操作性。局域網(wǎng)的設(shè)備要求具有可互操作性，設(shè)備的技術(shù)采用開放技術(shù)，協(xié)議標準，支持跨平臺之間的相互連接與通訊。在設(shè)計網(wǎng)絡(luò)的原則上，發(fā)揮不同廠商產(chǎn)品的專用先進技術(shù)同時，必須強調(diào)考察設(shè)備的技術(shù)、協(xié)議的標準性。

4.局域網(wǎng)設(shè)計方案網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計方案對于網(wǎng)絡(luò)平臺的網(wǎng)絡(luò)結(jié)構(gòu)，建議采用模塊化的設(shè)計思想，按照功能劃分為以下區(qū)塊：交換區(qū)塊和核心區(qū)塊。對于由交換區(qū)塊和核心區(qū)塊構(gòu)成的局域網(wǎng)再按照當前流行的層次化的設(shè)計思想，劃分為接入層、匯聚層和核心層。1、交換區(qū)塊的主要功能是提供用戶的接入點，并防止廣播數(shù)據(jù)流和網(wǎng)絡(luò)問題到達核心區(qū)塊或者其它區(qū)塊，交換區(qū)塊由接入層交換機和匯聚層交換機構(gòu)成：(1)接入層：接入層設(shè)備作為最終用戶的網(wǎng)絡(luò)接入點，使用100M雙絞線連接各層桌面終端，為每個用戶提供專用的帶寬，并可基于端口或MAC地址的VLAN成員資格和流量進行過濾，接入層主要的設(shè)計原則是能夠經(jīng)過低成本、高端口密度的設(shè)備提供這些功能。(2)匯聚層：接入層交換機使用100M雙絞線匯聚到一臺或者多臺匯聚層設(shè)備，匯聚層設(shè)備在接入層交換機之間提供第二層連接，作為接入層交換機的集中連接點及接入層和核心層之間的分界點，匯聚層在提供接入層接入的同時，還能夠做到廣播域的隔離、不同網(wǎng)段之間的路由、介質(zhì)轉(zhuǎn)換、安全控制。匯聚層需要提供第三層功能，即支持路由選擇和網(wǎng)絡(luò)層服務(wù)，以保護交換區(qū)塊不受網(wǎng)絡(luò)其它部分失效的影響，并防止本交換區(qū)塊故障對網(wǎng)絡(luò)其它部分的影響，如果交換區(qū)塊發(fā)生了廣播風暴，分布層設(shè)備能夠防止該廣播風暴擴散到核心和網(wǎng)絡(luò)的其它部分。2、核心區(qū)塊是園區(qū)網(wǎng)絡(luò)的主干，主要功能是在交換區(qū)塊之間用最小的時延傳輸數(shù)據(jù)，盡可能快的將交換數(shù)據(jù)提供到其它區(qū)塊（比如交換區(qū)塊）。核心區(qū)塊由核心層構(gòu)成，包含一個或一組用來連接多個交換區(qū)塊的交換機。核心層：核心層交換機負責所有交換區(qū)塊設(shè)備和廣域網(wǎng)設(shè)備的接入，因此需要高速的數(shù)據(jù)轉(zhuǎn)發(fā)能力。核心層設(shè)備需要支持鏈路捆綁技術(shù)，來保證數(shù)據(jù)的轉(zhuǎn)發(fā)能力，防止出現(xiàn)線路瓶頸。作為企業(yè)網(wǎng)絡(luò)的心臟，核心層也是路由協(xié)議最優(yōu)選路和運行穩(wěn)定的保證，需要合理的配置路由協(xié)議，并添加冗余處理器或者應(yīng)用冗余協(xié)議來保障網(wǎng)絡(luò)核心的穩(wěn)定，使企業(yè)數(shù)據(jù)流正常運作。網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計是整個網(wǎng)絡(luò)系統(tǒng)設(shè)計的基礎(chǔ)，一個優(yōu)秀的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計方案有利于提高網(wǎng)絡(luò)的性能、可靠性及將來網(wǎng)絡(luò)的擴展能力，并能夠有效的減少維護難度，本論文設(shè)計的網(wǎng)絡(luò)結(jié)構(gòu)拓撲圖如圖1：圖1網(wǎng)絡(luò)結(jié)構(gòu)拓撲圖4.2虛擬局域網(wǎng)（vlan）設(shè)計方案劃分虛擬局域網(wǎng)是整個網(wǎng)絡(luò)系統(tǒng)的重要技術(shù)之一。企業(yè)網(wǎng)絡(luò)內(nèi)部的環(huán)境復(fù)雜、分布區(qū)域廣、網(wǎng)絡(luò)用戶多，以至于企業(yè)內(nèi)部網(wǎng)絡(luò)用戶的可靠性得不到完全的保證。經(jīng)過劃分虛擬局域網(wǎng)，隔離不同部門，能夠增強企業(yè)網(wǎng)絡(luò)安全性，以下詳細論述了虛擬局域網(wǎng)的技術(shù)及在網(wǎng)絡(luò)系統(tǒng)中的必要性和設(shè)計方案。4.2.1VLAN技術(shù)簡介以太網(wǎng)基本上是以廣播為基礎(chǔ)的，如最初包的尋址等，交換機雖然能夠經(jīng)過建立地址映射表減少不必要的廣播，可是地址映射表的建立過程依然是基于廣播的，網(wǎng)絡(luò)節(jié)點（如PC機）在處理廣播時浪費了CPU處理時間，降低了處理性能，根據(jù)統(tǒng)計，當網(wǎng)絡(luò)上存在15000個廣播包時，將耗盡CPU資源；在傳統(tǒng)的網(wǎng)絡(luò)里，節(jié)點的吞吐量都會隨著節(jié)點的增多而下降，交換式以太網(wǎng)雖然能夠隔離沖突域及第二層廣播，可是無法隔離第三層網(wǎng)絡(luò)。另一方面，接入網(wǎng)需要保障用戶數(shù)據(jù)（單播地址的幀）的安全性，隔離攜帶有用戶信息的廣播消息（如ARP、DHCP消息等），防止關(guān)鍵設(shè)備受到攻擊。對每個用戶而言，當然不希望她的信息被別人利用，因此需要從物理上隔離用戶數(shù)據(jù)（單播地址的幀），保證用戶單播地址的幀只有該用戶能夠接收到，不像在局域網(wǎng)中采用共享總線方式，使單播地址的幀能被總線上的所有用戶接收。如果不隔離這些廣播消息而讓其它用戶接收到，容易發(fā)生MAC/IP地址仿冒，影響設(shè)備的正常運行，中斷合法用戶的通信過程。為了隔離第三層廣播，增強安全性、提高網(wǎng)絡(luò)性能，能夠運用VLAN（虛擬局域網(wǎng)）技術(shù)或者使用路由設(shè)備。使用路由器時能夠?qū)⒕W(wǎng)絡(luò)劃分多個物理網(wǎng)段，這些物理網(wǎng)段能夠連接到路由器的多個端口，多個物理網(wǎng)段間經(jīng)過路由器進行通信，可是路由器的端口價格遠遠高出交換機的端口價格，因此這種方式將增加設(shè)備投資，在物理網(wǎng)段增多時就更為嚴重，而且只有使用高端設(shè)備才能滿足高端口密度的要求，因此不推薦這種方式。VLAN技術(shù)不需要特殊的設(shè)備，當前第二層交換機均支持VLAN技術(shù)。經(jīng)過在一個物理網(wǎng)段上劃分出多個邏輯網(wǎng)段，由每一個邏輯網(wǎng)段構(gòu)成一個VLAN，其內(nèi)部采用交換機連接，所有的廣播信息只限制在本VLAN內(nèi)，而之間的連接則采用路由實現(xiàn)，具體實施時能夠外加路由器，或者直接使用第三層交換設(shè)備。使用路由器時，將這些邏輯網(wǎng)段連接到路由器時能夠只使用一條物理鏈路、占用一個路由器接口，這樣就節(jié)省了設(shè)備的投資，而使用三層交換設(shè)備時，不需要額外增加設(shè)備，只要交換機支持三層路由功能即可，由于三層交換設(shè)備的工作效率高于路由器，因此在本論文中推薦采用三層交換設(shè)備實現(xiàn)VLAN之間的路由。4.2.2VLAN方案設(shè)計當前，VLAN技術(shù)能夠使用以下方式組建：基于交換機端口的VLAN、基于MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN：基于端口的VLAN，即靜態(tài)VLAN，特點是技術(shù)簡單，容易配置且維護工作量小，缺點是終端設(shè)備移動時需要更改設(shè)備配置?；贛AC地址的VLAN，即動態(tài)VLAN，基于Vlan策略服務(wù)組建，特點是終端設(shè)備能夠在整個局域網(wǎng)中移動而不用改變配置，適合于移動辦公型的網(wǎng)絡(luò)環(huán)境，缺點是配置工作量大、繁瑣。由于交換機為二層設(shè)備，因此基于應(yīng)用協(xié)議的VLAN對于交換機來說沒有任何意義，反而會造成交換機性能的下降?？紤]到本系統(tǒng)的特點，節(jié)點在網(wǎng)絡(luò)中內(nèi)移動的可能性較小，基于易維護、易管理方面的考慮，使用基于交換機端口的VLAN進行配置。VLAN規(guī)劃參照圖2，各個VLAN間由ACL控制，限制互訪。其中VLAN10~31為部門VLAN，禁止互訪，VLAN51為文件服務(wù)器區(qū)，能被任何部門訪問，VLAN52為網(wǎng)管區(qū)，能單向訪問各個部門。圖2Vlan及IP地址規(guī)劃圖4.3第三層交換技術(shù)設(shè)計方案顧名思義，第三層交換器就是將第二層的交換器與第三層的路由器合二為一，使路由器根據(jù)第二層的地址轉(zhuǎn)發(fā)數(shù)據(jù)包以達到快速通訊，這就形成了第三層交換器。第三層交換出現(xiàn)因于ATM與交換器的技術(shù)背景，因為傳統(tǒng)的網(wǎng)絡(luò)是由路由器作為中心的。使用第二層交換器使網(wǎng)絡(luò)速度提升，可是在網(wǎng)絡(luò)中使用過多的交換器，所有交換器所架構(gòu)的網(wǎng)絡(luò)可能會形成廣播風暴，因此需要路由器來隔離可能會形成的廣播風暴，為了使路由器不會形成網(wǎng)絡(luò)的瓶頸，就形成了第三層交換。VLAN將廣播域進行分割，但透過VLAN進行通訊則必須經(jīng)過路由器進行轉(zhuǎn)發(fā)。所有核心層交換機均為三層交換，手動打開iprouting。4.4IPmulticast技術(shù)方案設(shè)計為了使企業(yè)網(wǎng)絡(luò)系統(tǒng)成為能夠承載多種應(yīng)用的多媒體網(wǎng)絡(luò)，使網(wǎng)絡(luò)點播和網(wǎng)絡(luò)會議成為辦公的有力工具，網(wǎng)絡(luò)對組播的支持是必不可少的。傳統(tǒng)的點對點單播通信，在發(fā)送方和每一接收方需要單獨的數(shù)據(jù)通道。在這種通信方式下，源IP主機向指定的目標IP主機發(fā)送信息包。IP信息包中的目標地址就是IP網(wǎng)絡(luò)中惟一的主機地址。從一臺主機送出的每個數(shù)據(jù)包只能傳送給一個目標主機，經(jīng)過路由器或交換機將這些IP信息包從源主機發(fā)送到目標主機。在源主機和目標主機之間的路徑上的每一個路由器都維護由單播路由協(xié)議生成的單播路由信息庫，并根據(jù)數(shù)據(jù)包中的IP目標地址在單播路由信息庫中查找單播包轉(zhuǎn)發(fā)路徑。這種傳送方式稱為單播。在單播方式下，如果有另外的多個用戶希望同時獲得這個數(shù)據(jù)包的拷貝是不可能的。發(fā)送信息的主機必須向每個希望接收此數(shù)據(jù)包的用戶發(fā)送一份單獨的數(shù)據(jù)包拷貝。這種巨大的冗余會帶來很大的代價，首先，會給發(fā)送數(shù)據(jù)的源主機帶來沉重的負擔，因為它必須對每個要求都做出響應(yīng)，這使得負擔過于沉重主機的響應(yīng)會大大延長。其次對路由器和交換機的性能也提出了更高的要求，管理人員被迫購買原來不必要的硬件和帶寬來保證一定的服務(wù)質(zhì)量。組播路由與IP單播路由有一個本質(zhì)的區(qū)別就是，IP單播路由是根據(jù)網(wǎng)絡(luò)的拓撲結(jié)構(gòu)而不是實際的會話來建立路徑，而IP組播路由則是根據(jù)網(wǎng)絡(luò)的會話來動態(tài)地建立投遞路徑；因此，IP組播路由比IP單播路由更具有動態(tài)性。當前可用的組播路由模型有兩種：稠密分布模型和稀疏分布模型。稠密分布模型假定組播成員在網(wǎng)絡(luò)中稠密分布，而且它們之間的網(wǎng)絡(luò)帶寬資源往往隨時可用；而稀疏分布模型假定組播成員在網(wǎng)絡(luò)中稀疏分布，而且它們之間帶寬資源往往比較緊張。組播和傳統(tǒng)的單播數(shù)據(jù)傳送方式如圖3所示：圖3組播示意圖從圖中能夠清楚的看出，單播傳送發(fā)送數(shù)據(jù)的多個拷貝，每個拷貝發(fā)送到一個接收者，主機輪流發(fā)送數(shù)據(jù)的拷貝，網(wǎng)絡(luò)分別將它們轉(zhuǎn)發(fā)至每個接收者，主機一次只能發(fā)送至一個接收者。而組播傳送則只把發(fā)送數(shù)據(jù)的一個拷貝發(fā)送到多個接收者，主機發(fā)送數(shù)據(jù)的一個拷貝，可同時發(fā)送到多個接收者。網(wǎng)絡(luò)在每個接收者的最后一個路由器或主機復(fù)制它，在一個給定的網(wǎng)絡(luò)上每一個包只傳送一次。關(guān)于組播路由設(shè)計，在企業(yè)網(wǎng)絡(luò)核心交換機和匯聚交換機上運行PIM-DM組播協(xié)議對業(yè)務(wù)及服務(wù)進行支持，并提供優(yōu)秀的可擴展性；在邊緣交換機上運行IGMPSnooping組播管理協(xié)議對業(yè)務(wù)及服務(wù)進行支持。用戶經(jīng)過運行組播客戶端軟件的PC運行IGMP協(xié)議，用戶可經(jīng)過IGMP協(xié)議加入某個組播組，建立成員關(guān)系。對于組播業(yè)務(wù)的具體實施及管理需根據(jù)不同的業(yè)務(wù)類型及廠家提供設(shè)備的特點具體進行分析。當前經(jīng)常被采用的稀疏分布模型的域內(nèi)組播路由協(xié)議是PIM-SM，因此，使用PIM-SM作為域內(nèi)組播路由協(xié)議。PIM-SM采用樹形投遞結(jié)構(gòu)，被設(shè)計成限制組播報文只發(fā)給那些希望接收它的路由器，PIM-SM圍繞一個稱為匯聚點(RP，RendezvousPoint)的路由器來設(shè)計組廣播投遞樹；RP在PIM-SM中充當廣播樹的樹根，所有報文首先被封裝后從發(fā)送者采用單播的方式送往RP，然后由RP解封后送往所有接收者?？墒牵赑IM-SM中，某個廣播組接受者能夠根據(jù)一定條件選擇從以RP為根的RPT樹切換到以發(fā)送者為根的所謂SPT樹；RPT樹和SPT樹各有其優(yōu)點，RPT樹易于構(gòu)造，而且能夠減少路由器中所要維護的組播狀態(tài)；如果廣播組會話由大量低帶寬多目的廣播流構(gòu)成，RPT還能夠節(jié)省網(wǎng)絡(luò)資源，而SPT樹則能夠采用最優(yōu)路徑，并消除封裝和解封裝過程，提供更好的性能。采用PIMVersion2作為組播路由協(xié)議。PIM（RFC2362）是IETF關(guān)于域內(nèi)組播路由協(xié)議的標準，當前為大多數(shù)組播服務(wù)提供商采用。按照規(guī)劃，選擇核心節(jié)點作為整個企業(yè)網(wǎng)絡(luò)組播系統(tǒng)的RP點，來對整個企業(yè)網(wǎng)絡(luò)的組播進行控制。每個部門VLAN劃入一個多播地址：Vlan10：Vlan11：Vlan20：Vlan21：Vlan30：Vlan31：在核心交換機和PIX上啟用多播，命令如下：ipmulticast-routingintinterface#ippimsparse-dense-modeipigmpjoin-group224.1.1.X配置PIX為RP的命令如下：ippimsend-rp-announceLoopback0scope3group-list50ippimsend-rp-discoveryLoopback0scope3access-list50permitaccess-list50permitaccess-list50permitaccess-list50permitaccess-list50permitaccess-list50permitippimrp-address4.5訪問控制列表（ACL）設(shè)計方案訪問控制列表（AccessControlList，ACL）是路由器接口的指令列表，用來控制端口進出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。ACL的定義也是基于每一種協(xié)議的。如果路由器接口配置成為支持三種協(xié)議（IP、AppleTalk以及IPX）的情況，那么，用戶必須定義三種ACL來分別控制這三種協(xié)議的數(shù)據(jù)包。自反訪問表在路由器的一邊創(chuàng)立IP流量的動態(tài)開啟，該過程是基于來自路由器另一邊的會話進行的。在正常的操作模式下，自反訪問表被配置并用于從路由器的不可信方，例如連接到Internet的串行端口，創(chuàng)立開啟表項。這些開啟表項的創(chuàng)立是基于源于設(shè)備的可信方的會話進行的，例如以太網(wǎng)或令牌環(huán)網(wǎng)的用戶連接到一個網(wǎng)段或連接到路由器端口的環(huán)。在該過程中，訪問表執(zhí)行的動作稱為自反向過濾（reflexivefiltering）。該名稱是根據(jù)此訪問表的類型得來的。在IOS版本11.3中引入了自反訪問表，而且它可用在所有的路由器平臺上。在核心層交換機上配置訪問列表如下（由于各個端口配置相似，故只列出核心交換機SW1上的e0/1.1）：ipaccess-listextendede0/0.1-inevaluateadmindenyip5555denyip5555denyip5555denyip5555denyip5555denyip5555permitipanyanyexitipaccess-listextendede-outpermitipanyanyreflectadmininte0/0.1ipaccess-groupe-outoutipaccess-groupe0/0.1-ininexit4.6IP地址規(guī)劃與路由設(shè)計方案路由組織及其方案是IP網(wǎng)絡(luò)中的基本問題之一，涉及網(wǎng)絡(luò)的連通性、可達性、穩(wěn)定性、精確性和易管理性，其設(shè)計的好壞直接影響著網(wǎng)絡(luò)性能。路由組織應(yīng)根據(jù)網(wǎng)絡(luò)對路由信息的需求，設(shè)計網(wǎng)絡(luò)中路由信息的分布。因為IP地址的規(guī)劃與路由策略息息相關(guān)，因此在以IP地址規(guī)劃的基礎(chǔ)上，選擇企業(yè)網(wǎng)絡(luò)平臺中最優(yōu)的路由設(shè)計方案，以下詳細論述了IP地址規(guī)劃與路由設(shè)計方案。4.6.1IP地址規(guī)劃方案IP地址是整個網(wǎng)絡(luò)系統(tǒng)運行的基石，IP地址規(guī)劃不但應(yīng)該滿足當前的需求，還應(yīng)該充分的考慮系統(tǒng)將來的擴展性，以滿足將來發(fā)展的需要。因此需要對企業(yè)網(wǎng)絡(luò)系統(tǒng)的IP地址進行統(tǒng)一規(guī)劃，IP地址規(guī)劃方案如下：在整個網(wǎng)絡(luò)環(huán)境中必須保持IP地址的唯一性；根據(jù)業(yè)務(wù)情況，為每個單位局域網(wǎng)分配一個或多個C類地址段（指掩碼為的地址段），或者使用VLSM技術(shù)進一步進行細化，如分配64個（掩碼92）或者32個（掩碼24）地址，滿足當前要求，并留有一定的擴充余地（如2-3倍），便于將來增加節(jié)點。地址分配具有層次性和連續(xù)性，便于管理，即在IP地址規(guī)劃時應(yīng)該充分的考慮利用路由匯總技術(shù)，減少路由波動，使得各局部的變動不影響整個網(wǎng)絡(luò)的其它部分，增加網(wǎng)絡(luò)的穩(wěn)定性，同時由于路由匯總技術(shù)能夠縮減路由表項數(shù)，因此還能夠提高路由器的處理效率。使用VLSM技術(shù)，在劃分IP地址時應(yīng)該盡可能的減少IP地址浪費：三層交換設(shè)備之間的互聯(lián)IP地址使用30位子網(wǎng)掩碼（52），以節(jié)約IP地址；網(wǎng)絡(luò)設(shè)備管理接口使用32位子網(wǎng)掩碼（55）；在訪問Internet時，使用NAT或者PAT技術(shù)經(jīng)過防火墻設(shè)備進行地址或者端口翻譯，把私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址，以獲得對Internet的訪問；各局域網(wǎng)內(nèi)，根據(jù)業(yè)務(wù)情況，本著滿足需求和擴展性的要求，劃分并預(yù)留出以下地址段：網(wǎng)絡(luò)設(shè)備地址段、服務(wù)器地址段、辦公網(wǎng)段。在劃分這些網(wǎng)段時，需要注意所有單位應(yīng)該統(tǒng)一規(guī)劃，以使地址分段全網(wǎng)統(tǒng)一，便于維護，其IP地址詳細規(guī)劃如表1：表1IP地址規(guī)劃表設(shè)備名接口地址說明PC1F0/0/24Vlan10PC11F0/0/24Vlan11PC2F0/0/24Vlan20PC21F0/0/24Vlan21PC3F0/0/24Vlan30PC31F0/0/24Vlan31FileF0/0/24Vlan51AdminF0/0/24Vlan52CoreSW1e0/0.100/24Vlan10e0/0.200/24Vlan11e0/1.100/24Vlan20e0/1.200/24Vlan21e0/2.100/24Vlan30e0/2.200/24Vlan31f1/0/30CoreSW1toPIXCoreSW2e0/0.100/24Vlan10e0/0.200/24Vlan11e0/1.100/24Vlan20e0/1.200/24Vlan21e0/2.100/24Vlan30e0/2.200/24Vlan31f1/0/30CoreSW2toPIXPIXf0/0/30PIXtoCoreSW1f1/0/30PIXtoCoreSW2f3/0.1/24Vlan51f3/0.2/24Vlan52s2/0/30PIXtoRouter1Router1s2/00/30Router1toPIXs2/1/24Router1toFR0s2/2/31Router1toCloudRouter2s2/1/24Router2toFR0f0/000/24Router2toSW5Clouds1/0/31CloudtoRouter14.6.2路由協(xié)議的選擇路由器上指明去另一點需要走的具體路徑。動態(tài)路由是網(wǎng)絡(luò)上的所有路由器互相通告自己所連的網(wǎng)段，各路由器根據(jù)某種算法計算出到每一點的最佳路徑。靜態(tài)路由方式適用于網(wǎng)絡(luò)拓撲結(jié)構(gòu)確定而且結(jié)構(gòu)簡單，IP地址規(guī)劃完善，網(wǎng)絡(luò)規(guī)模較小的場合。靜態(tài)路由配置簡單，調(diào)試方便，但由于靜態(tài)路由在網(wǎng)絡(luò)上每增加一個點時，都需要在網(wǎng)絡(luò)上所有現(xiàn)有路由器中增加路由，這樣使得靜態(tài)路由不適合于網(wǎng)絡(luò)規(guī)模較大，網(wǎng)絡(luò)不斷發(fā)展的場合，而動態(tài)路由因為在網(wǎng)絡(luò)上的路由器之間相互交換路由信息，增加一個節(jié)點時，網(wǎng)絡(luò)上的其它路由器的配置能夠不作任何修改，非常便于網(wǎng)絡(luò)的擴展，根據(jù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)規(guī)模、結(jié)構(gòu)和將來的擴展能力，使用動態(tài)路由協(xié)議。在動態(tài)路由中比較常見的協(xié)議有以下幾種：路由信息協(xié)議(RIP)、增強內(nèi)部網(wǎng)關(guān)路由協(xié)議(EIGRP)和開放式最短路徑優(yōu)先(OSPF)。RIP和EIGRP屬于距離向量協(xié)議，OSPF屬于鏈路狀態(tài)協(xié)議；RIP配置簡單，適合于較小規(guī)模的網(wǎng)絡(luò)，這就限制了網(wǎng)絡(luò)的發(fā)展；EIGRP路由協(xié)議只適用于所有設(shè)備都是H3C產(chǎn)品的情況，這就限制了網(wǎng)絡(luò)產(chǎn)品的選型，降低了網(wǎng)絡(luò)的靈活性，不適于網(wǎng)絡(luò)規(guī)模的擴展；OSPF雖然配置復(fù)雜，可是非常適合于較大規(guī)模的網(wǎng)絡(luò)。因此，在整個企業(yè)網(wǎng)絡(luò)中建議使用適合大型網(wǎng)絡(luò)運行的內(nèi)部網(wǎng)關(guān)協(xié)議：OSPF，OSPF由于其快速的收斂速度，較低的帶寬開銷和極大的應(yīng)用普遍性成為大型網(wǎng)絡(luò)IGP的不二選擇，當前中國公眾多媒體網(wǎng)骨干網(wǎng)部分所運行的協(xié)議就是OSPF，而且Chinanet（163）電信寬帶網(wǎng)也大都運行OSPF路由協(xié)議。開放式最短路徑優(yōu)先路由選擇協(xié)議(OSPF)是于20世紀80年代后期發(fā)展起來,而且早在90年代初就由互聯(lián)網(wǎng)組織實現(xiàn)成為一個現(xiàn)代的與提供方無關(guān)的協(xié)議。在同一時期，RIP協(xié)議已成為最主要的協(xié)議，但它隨著網(wǎng)絡(luò)規(guī)模的增長，已逐漸暴露出一些問題。H3C的IGRP協(xié)議是可用的，并有更優(yōu)秀的路徑選擇特性，但它屬于專門的公司且收斂時間太長。OSPF協(xié)議的發(fā)展借鑒了許多其它路由選擇協(xié)議的思想：包括最初的ARPANET鏈路的狀態(tài)協(xié)議和OSI協(xié)議。大規(guī)模地運用OSPF協(xié)議的網(wǎng)絡(luò)必須使用分層網(wǎng)絡(luò)拓撲結(jié)構(gòu)。這在實現(xiàn)上更容易一些，但發(fā)生協(xié)議變動時，可能會改變拓撲結(jié)構(gòu)。OSPF協(xié)議屬于鏈路狀態(tài)路由協(xié)議，鏈路狀態(tài)路由協(xié)議是經(jīng)過給每個路由器提供足夠的信息，使其能構(gòu)建一張完整的網(wǎng)絡(luò)映射圖從而實現(xiàn)的。該圖中的元素包含在路由器的“鏈路狀態(tài)數(shù)據(jù)庫”中，庫中包含一個詳盡的且易于了解的關(guān)于給定的鏈路狀態(tài)路由域所有鏈路的列表。在OSPF中，鏈路狀態(tài)數(shù)據(jù)庫列出了鏈路狀態(tài)路由域中特定區(qū)域的所有鏈路。鏈路狀態(tài)路由域或區(qū)域中的每一個路由器，其鏈路狀態(tài)數(shù)據(jù)庫的內(nèi)容都是一致的。每個路由器都根據(jù)自己的拓撲數(shù)據(jù)庫來確定它在網(wǎng)絡(luò)中的位置，并以此計算自己的路由表。當前，雖然距離向量算法已經(jīng)有了一定的改進，如EIGRP的DUAL算法。但依然不及OSPF的鏈路狀態(tài)算法成功。部分原因是鏈路狀態(tài)算法本身從根本上改進了路由性能，而且比起EIGRP來，OSPF提供了更多更靈活的路由控制策略，方便復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)的用戶實施路由規(guī)劃。另一方面則在于OSPF的開放性，為用戶網(wǎng)絡(luò)今后的擴展提供了較大的空間和靈活性，從而獲得了廣泛的認可，使之成為內(nèi)部路由協(xié)議的一種較佳選擇?？偟膩碚fOSPF路由協(xié)議具有以下優(yōu)點：節(jié)省網(wǎng)絡(luò)帶寬：OSPF屬于鏈路狀態(tài)協(xié)議，只有當網(wǎng)絡(luò)連接狀態(tài)發(fā)生變化時才彼此更新變化了的拓撲信息，而并非整個網(wǎng)絡(luò)的LSDB，從而大大節(jié)省了網(wǎng)絡(luò)帶寬，這對于大型的廣域網(wǎng)來說很重要。支持VLSM：OSPFLSA(LinkStateAdvertisement)中包含子網(wǎng)掩碼。支持層次化的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計：網(wǎng)絡(luò)設(shè)計人員能夠把一個大型OSPF網(wǎng)絡(luò)分成若干域(Area)，其中一個是主干域(BackboneArea,AreaID)，其它非主干域均與主干域相連，并經(jīng)過主干域交換LSDB。同時OSPF還引入了外部路由(ExternalRoutes)及ASBR(AutonomousSystemBoundaryRouter)概念，非OSPF路由均視為外部路由，由ASBR注入到OSPF域。支持路由總結(jié)(RouteSummary)：OSPFABR（連接多個區(qū)域的設(shè)備）具有路由總結(jié)的功能，如果連續(xù)地分配IP地址空間，則ABR僅向主干域廣播總結(jié)后的路由信息，抑制那些具體的路由信息的廣播，從而大大減小了其它域中路由器LSDB及路由表的大小。沒有路由跳數(shù)限制：OSFF路由表是基于LSDB運行Dijkstra算法計算出來的，沒有跳數(shù)限制。沒有路由環(huán)路問題：OSPF屬于Link-State路由協(xié)議，沒有環(huán)路問題。OSPF其它特性：OSPF定義了StubArea及Not-So-Stubby-Area(NSSA)，為設(shè)計包含多種路由協(xié)議的混合網(wǎng)絡(luò)，以及控制LSDB及路由表的大小提供了手段。4.6.3路由協(xié)議設(shè)計方案整個企業(yè)網(wǎng)絡(luò)的路由結(jié)構(gòu)十分清晰：核心層高性能交換機和路由器為Area0，作為整個OSPF路由系統(tǒng)域的路由主干，并作為自治系統(tǒng)邊界路由器（ASBR）連接各接入層交換機。在核心層設(shè)備上進行配置，對相應(yīng)的非0區(qū)域的路由表進行匯聚。在網(wǎng)絡(luò)需擴展時，沿用現(xiàn)在的路由機制，保證系統(tǒng)的擴展性，即以核心交換機作為ABR和ASBR，連接區(qū)域0和非0區(qū)域，并進行路由匯總。訪問Internet的路由在核心交換設(shè)備上配置指向Internet接入設(shè)備的默認路由，使得內(nèi)網(wǎng)能夠獲得Internet訪問。對于接入層的用戶分兩種情況來考慮：VLAN直接接入的用戶經(jīng)過二層轉(zhuǎn)發(fā)來實現(xiàn)；需要路由轉(zhuǎn)發(fā)的用戶經(jīng)過靜態(tài)路由來實現(xiàn)。在PIX上配置OSPF協(xié)議如下：routerospf1log-adjacency-changesnetworkarea0networkarea0networkarea0network55area0network55area0在核心交換上配置OSPF協(xié)議如下：routerospf1log-adjacency-changesnetworkarea0network55area0network55area0network55area0network55area0在邊緣交換機Router1上配置OSPF協(xié)議如下（NBMA類型，手工指定鄰居，分支機構(gòu)路由器Router2配置類似于Router1）：interfaceSerial2/1ipaddressipnatinsideipvirtual-reassemblyencapsulationframe-relayserialrestart-delay0clockrate64000frame-relaymapip101noframe-relayinverse-arprouterospf1log-adjacency-changesnetworkarea0network55area0neighbor4.7HSRP：熱備份路由器協(xié)議4.7.1HSRP協(xié)議概述實現(xiàn)HSRP（HotStandbyRouterProtocol）的條件是系統(tǒng)中有多臺路由器，它們組成一個“熱備份組”，這個組形成一個虛擬路由器。在任一時刻，一個組內(nèi)只有一個路由器是活動的，并由它來轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動路由器發(fā)生了故障，將選擇一個備份路由器來替代活動路由器，可是在本網(wǎng)絡(luò)內(nèi)的主機看來，虛擬路由器沒有改變。因此主機依然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器切換的問題。為了減少網(wǎng)絡(luò)的數(shù)據(jù)流量，在設(shè)置完活動路由器和備份路由器之后，只有活動路由器和備份路由器定時發(fā)送HSRP報文。如果活動路由器失效，備份路由器將接管成為活動路由器。如果備份路由器失效或者變成了活動路由器，將有另外的路由器被選為備份路由器。在實際的一個特定的局域網(wǎng)中，可能有多個熱備份組并存或重疊。每個熱備份組模仿一個虛擬路由器工作，它有一個Well－known－MAC地址和一個IP地址。該IP地址、組內(nèi)路由器的接口地址、主機在同一個子網(wǎng)內(nèi)，可是不能一樣。當在一個局域網(wǎng)上有多個熱備份組存在時，把主機分布到不同的熱備份組，能夠使負載得到分擔。4.7.2HSRP的工作原理HSRP協(xié)議利用一個優(yōu)先級方案來決定哪個配置了HSRP協(xié)議的路由器成為默認的主動路由器。如果一個路由器的優(yōu)先級設(shè)置的比所有其它路由器的優(yōu)先級高，則該路由器成為主動路由器。路由器的缺省優(yōu)先級是100，因此如果只設(shè)置一個路由器的優(yōu)先級高于100，則該路由器將成為主動路由器。經(jīng)過在設(shè)置了HSRP協(xié)議的路由器之間廣播HSRP優(yōu)先級，HSRP協(xié)議選出當前的主動路由器。當在預(yù)先設(shè)定的一段時間內(nèi)主動路由器不能發(fā)送hello消息時，優(yōu)先級最高的備用路由器變?yōu)橹鲃勇酚善?。路由器之間的包傳輸對網(wǎng)絡(luò)上的所有主機來說都是透明的。4.7.3本方案的特點1．高度的可靠性，兩臺路由器之間采用HSRP（熱備份冗余協(xié)議）協(xié)議，來保證兩臺路由器中的任意一臺down掉，或路由器的廣域網(wǎng)口down，都會迅速切換到另外一臺。2．有效的實現(xiàn)了負載均衡，在核心交換機上劃分出各自的VLAN，VLAN11~Vlan21在CoreSW1上的HSRP的優(yōu)先級較高，VLAN30~VLAN31在CoreSW2上的HSRP的優(yōu)先級較高。充分利用了帶寬資源，而且實現(xiàn)了負載均衡。3．充分利用了多以太口路由器在劃分多業(yè)務(wù)網(wǎng)段上的功能，也只有多以太口路由器在HSRP應(yīng)用中才能實現(xiàn)兩個路由器間的負載分擔，這是具有四個以太口路由器的極大的優(yōu)點。4．經(jīng)過在交換機上設(shè)置VLAN，有效的控制了兩個子網(wǎng)間的安全。5．不存在單點故障問題。HSRP設(shè)計如圖4所示：圖4HSRP設(shè)計示意圖完成核心層交換機的HSRP命令配置后，CoreSW1和CoreSW2的輸出如表2和表3所示：表2CoreSW1上的HSRP狀態(tài)表Pindicatesconfiguredtopreempt.Interfac