大型園區(qū)網(wǎng)絡(luò)系統(tǒng)集成方案

旭日集團(tuán)股份公司網(wǎng)絡(luò)系統(tǒng)集成方案8888售后服務(wù)內(nèi)容.88保證售后服務(wù)質(zhì)量的措施………………89一、前言TOC\o"1-5"\h\z．集團(tuán)綜合信息系統(tǒng)建設(shè)目標(biāo)3.用戶具體需求4．集團(tuán)綜合信息系統(tǒng)建設(shè)原則4先進(jìn)性5標(biāo)準(zhǔn)性5兼容性51.3.4可升級(jí)和可擴(kuò)展性.5安全性…………………..6可靠性…………………..6易操作性.7可管理性..…………….7二．綜合布線方案8需求分析8綜合布線系統(tǒng)的結(jié)構(gòu)9系統(tǒng)總體設(shè)計(jì)10系統(tǒng)結(jié)構(gòu)設(shè)計(jì)描述……11在施工中注意事項(xiàng)……12三．網(wǎng)絡(luò)設(shè)計(jì)方案13網(wǎng)絡(luò)設(shè)計(jì)需求……………..13總體方案設(shè)計(jì)策略…………14旭日集團(tuán)園區(qū)結(jié)構(gòu)示意圖…………………15網(wǎng)絡(luò)設(shè)備選型………………15TOC\o"1-5"\h\z3.4.1選型原則...153.4.2核心層交換機(jī)...173.4.3匯聚層交換機(jī)..183.4.4接入層交換機(jī).19主干網(wǎng)絡(luò)技術(shù)選型…………20路由交換技術(shù)部分設(shè)計(jì)……………………25網(wǎng)絡(luò)安全設(shè)計(jì)………………35四．網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)…………………37系統(tǒng)設(shè)計(jì)總體需求………...37系統(tǒng)設(shè)計(jì)原則……………..38

系統(tǒng)設(shè)計(jì)方案……………..39TOC\o"1-5"\h\z4.3.1系統(tǒng)構(gòu)架設(shè)計(jì)..394.3.2系統(tǒng)管理設(shè)計(jì)414.3.2系統(tǒng)安全設(shè)計(jì)42五Windows服務(wù)器解決方案45服務(wù)器…………………45FTP服務(wù)器角色：配置文件服務(wù)器60ExchangeServer2003產(chǎn)品概述.71六．工程實(shí)施與項(xiàng)目測(cè)試87七．項(xiàng)目費(fèi)用86八．技術(shù)支持服務(wù)一．前言“功欲善其事，必先利其器”，旭日集團(tuán)深刻認(rèn)識(shí)到業(yè)務(wù)要發(fā)展、必須提高企業(yè)內(nèi)部核心競(jìng)爭(zhēng)力、而建立一個(gè)方便快捷安全的通信網(wǎng)絡(luò)綜合信息支撐系統(tǒng)，已迫在眉睫，旭日公司作為一個(gè)致力于企業(yè)信息化和系統(tǒng)集成的高科技公司非常榮幸參與旭日集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)，希望能盡自己的全力來(lái)施展我們的專長(zhǎng)來(lái)實(shí)現(xiàn)旭日集團(tuán)網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)。．集團(tuán)綜合信息系統(tǒng)建設(shè)目標(biāo)旭日集團(tuán)信息系統(tǒng)主要建設(shè)一個(gè)企業(yè)信息系統(tǒng)，它以管理信息為主體，連接生產(chǎn)、銷售、維護(hù)、運(yùn)營(yíng)子系統(tǒng)，是一個(gè)面向集團(tuán)的日常業(yè)務(wù)、立足生產(chǎn)、面向社會(huì)，輔助領(lǐng)導(dǎo)決策的計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)。本期項(xiàng)目的目標(biāo)是建立如下系統(tǒng)：1．構(gòu)造一個(gè)既能覆蓋本地又能與外界進(jìn)行網(wǎng)絡(luò)互通、共享信息、展示企業(yè)的計(jì)算機(jī)企業(yè)網(wǎng)。2．選用技術(shù)先進(jìn)、具有容錯(cuò)能力的網(wǎng)絡(luò)產(chǎn)品，在投資和條件允許的情況下也可采用結(jié)構(gòu)容錯(cuò)的方法3．完全符合開放性規(guī)范，將業(yè)界優(yōu)秀的產(chǎn)品集成于該綜合網(wǎng)絡(luò)平臺(tái)之中；4．具有較好的可擴(kuò)展性，為今后的網(wǎng)絡(luò)擴(kuò)容作好準(zhǔn)備5．采用OA辦公，做到集數(shù)據(jù)、圖像、聲音三位一體，提高企業(yè)管理效率、降低企業(yè)信息傳遞成本6.整個(gè)公司計(jì)劃采用10M光纖接入到運(yùn)營(yíng)商提供的Internet。集團(tuán)統(tǒng)一一個(gè)出口，便于控制網(wǎng)絡(luò)安全7．設(shè)備選型上必須在技術(shù)上具有先進(jìn)性，通用性，且必須便于管理，維護(hù)。應(yīng)具備未來(lái)良好的可擴(kuò)展性，可升級(jí)性，保護(hù)公司的投資。設(shè)備要在滿足該項(xiàng)目的功能和性能上還具有良好的性價(jià)比。設(shè)備在選型上要是擁有足夠?qū)嵙褪袌?chǎng)份額的主流產(chǎn)品，同時(shí)也要有好的售后服務(wù)具體用戶需求：1．網(wǎng)絡(luò)設(shè)備配置配備網(wǎng)絡(luò)交換設(shè)備，實(shí)現(xiàn)樓宇間的千兆光纖連接，保證未來(lái)各應(yīng)用系統(tǒng)的實(shí)施以及滿足集團(tuán)各種計(jì)算機(jī)應(yīng)用系統(tǒng)的大信息量的傳輸。2．網(wǎng)管系統(tǒng)設(shè)計(jì)提供可以對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理的中文圖形界面工具，使系統(tǒng)維護(hù)人員可以集中控制網(wǎng)絡(luò)的所有設(shè)備。3．內(nèi)、外網(wǎng)隔離過硬盤隔離卡及雙布線系統(tǒng)、雙網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)辦公內(nèi)網(wǎng)與外網(wǎng)隔離。集團(tuán)綜合信息系統(tǒng)建設(shè)原則多業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)方案以實(shí)現(xiàn)以上功能為基本要求，在設(shè)計(jì)上力求做到既要采用國(guó)際上先進(jìn)的技術(shù)，又要保證系統(tǒng)的安全可靠性和實(shí)用性。具體來(lái)講，其設(shè)計(jì)遵循以下原則：1.3.1先進(jìn)性系統(tǒng)的主機(jī)系統(tǒng)、網(wǎng)絡(luò)平臺(tái)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用軟件均應(yīng)使用目前國(guó)際上較先進(jìn)、較成熟的技術(shù)，符合國(guó)際標(biāo)準(zhǔn)和規(guī)范；1.3.2標(biāo)準(zhǔn)性所采用技術(shù)的標(biāo)準(zhǔn)化，可以保證網(wǎng)絡(luò)發(fā)展的一致性，增強(qiáng)網(wǎng)絡(luò)的兼容性，以達(dá)到網(wǎng)絡(luò)的互連與開放。為確保將來(lái)不同廠家設(shè)備、不同應(yīng)用、不同協(xié)議連接，整個(gè)網(wǎng)絡(luò)從設(shè)計(jì)、技術(shù)和設(shè)備的選擇，必須支持國(guó)際標(biāo)準(zhǔn)的網(wǎng)絡(luò)接口和協(xié)議，以提供高度的開放性。全面支持IEEE工業(yè)標(biāo)準(zhǔn)：，，，，,支持路由協(xié)議：IP的RIPV1/2,OSPF,BGP-4；信令標(biāo)準(zhǔn)：，RTP/CRTP.支持：IPsec、L2TP、GRE、MPLS-VPN規(guī)范。支持多址廣播協(xié)議：IGMP，DVMRP，PIM-DM，PIM-SM；網(wǎng)絡(luò)管理協(xié)議：SNMP,RMON,RM0N2；兼容性跟蹤世界科技發(fā)展動(dòng)態(tài)，網(wǎng)絡(luò)規(guī)劃與現(xiàn)有光纖傳輸網(wǎng)及將要改造的分配網(wǎng)有良好的兼容，在采用先進(jìn)技術(shù)的前提下，最大可能地保護(hù)已有投資，并能在已有的網(wǎng)絡(luò)上擴(kuò)展多種業(yè)務(wù)?？缮?jí)和可擴(kuò)展性隨著技術(shù)不斷發(fā)展，新的標(biāo)準(zhǔn)和功能不斷增加，網(wǎng)絡(luò)設(shè)備必須可以通過網(wǎng)絡(luò)進(jìn)行升級(jí)，以提供更先進(jìn)、更多的功能。在網(wǎng)絡(luò)建成后，隨著應(yīng)用和用戶的增加，核心骨干網(wǎng)絡(luò)設(shè)備的交換能力和容量必須能作出線性的增長(zhǎng)。設(shè)備應(yīng)能提供高端口密度、模塊化的設(shè)計(jì)以及多種類接口、技術(shù)的選擇，以方便未來(lái)更靈活的擴(kuò)展。安全性網(wǎng)絡(luò)的安全性對(duì)網(wǎng)絡(luò)設(shè)計(jì)是非常重要的，合理的網(wǎng)絡(luò)安全控制，可以使應(yīng)用環(huán)境中的信息資源得到有效的保護(hù)可以有效的控制網(wǎng)絡(luò)的訪問，靈活的實(shí)施網(wǎng)絡(luò)的安全控制策略。在企業(yè)園區(qū)網(wǎng)絡(luò)中，關(guān)鍵應(yīng)用服務(wù)器、核心網(wǎng)絡(luò)設(shè)備，只有系統(tǒng)管理人員才有操作、控制的權(quán)力。應(yīng)用客戶端只有訪問共享資源的權(quán)限，網(wǎng)絡(luò)應(yīng)該能夠阻止任何的非法操作。在園區(qū)網(wǎng)絡(luò)設(shè)備上應(yīng)該可以進(jìn)行基于協(xié)議、基于Mac地址、基于IP地址的包過濾控制功能。在大規(guī)模園區(qū)網(wǎng)絡(luò)的設(shè)計(jì)上，劃分虛擬子網(wǎng)，一方面可以有效的隔離子網(wǎng)內(nèi)的大量廣播，另一方面隔離網(wǎng)絡(luò)子網(wǎng)間的通訊，控制了資源的訪問權(quán)限，提高了網(wǎng)絡(luò)的安全性。在設(shè)計(jì)園區(qū)網(wǎng)的原則上必須強(qiáng)調(diào)網(wǎng)絡(luò)安全控制能力，使網(wǎng)絡(luò)可以任意連接，又可以從第二層、第三層控制網(wǎng)絡(luò)的訪問?？晒芾硇钥煽啃员鞠到y(tǒng)是7x24小時(shí)連續(xù)運(yùn)行系統(tǒng)，從硬件和軟件兩方面來(lái)保證系統(tǒng)的高可靠性。硬件可靠性系統(tǒng)的主要部件采用冗余結(jié)構(gòu)，如：傳輸方式的備份，提供備份組網(wǎng)結(jié)構(gòu)；主要的計(jì)算機(jī)設(shè)備（如數(shù)據(jù)庫(kù)服務(wù)器），采用CLUSTER技術(shù),支持雙機(jī)或多機(jī)高可用結(jié)構(gòu)；配備不間斷電源等。軟件可靠性充分考慮異常情況的處理，具有強(qiáng)的容錯(cuò)能力、錯(cuò)誤恢復(fù)能力、錯(cuò)誤記錄及預(yù)警能力并給用戶以提示；并具有進(jìn)程監(jiān)控管理功能，保證各進(jìn)程的可靠運(yùn)行數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)。網(wǎng)絡(luò)結(jié)構(gòu)穩(wěn)定性當(dāng)增加/擴(kuò)充應(yīng)用子系統(tǒng)時(shí)，不影響網(wǎng)絡(luò)的整體結(jié)構(gòu)以及整體性能，對(duì)關(guān)鍵的網(wǎng)絡(luò)連接采用主備方式，已保證數(shù)據(jù)的傳輸?shù)目煽啃?。本系統(tǒng)應(yīng)具有較強(qiáng)的容災(zāi)容錯(cuò)能力，具有完善的系統(tǒng)恢復(fù)和安全機(jī)制；易操作性提供中文方式的圖形用戶界面，簡(jiǎn)單易學(xué)，方便實(shí)用。優(yōu)良的性能價(jià)格比。系統(tǒng)應(yīng)著重考慮和滿足以上的設(shè)計(jì)要求。1.3.8可管理性絡(luò)的可管理性要求：網(wǎng)絡(luò)中的任何設(shè)備均可以通過網(wǎng)絡(luò)管理平臺(tái)進(jìn)行控制，網(wǎng)絡(luò)的設(shè)備狀態(tài)，故障報(bào)警等都可以通過網(wǎng)管平臺(tái)進(jìn)行監(jiān)控，通過網(wǎng)絡(luò)管理平臺(tái)簡(jiǎn)化管理工作，提高網(wǎng)絡(luò)管理的效率。在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)時(shí)，選擇先進(jìn)的網(wǎng)絡(luò)管理軟件是必不可少的。網(wǎng)絡(luò)管理軟件應(yīng)用于網(wǎng)絡(luò)的設(shè)備配置，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)表示，網(wǎng)絡(luò)設(shè)備的狀態(tài)顯示，網(wǎng)絡(luò)設(shè)備的故障事件報(bào)警，網(wǎng)絡(luò)流量統(tǒng)計(jì)分析以及計(jì)費(fèi)等。網(wǎng)管軟件的應(yīng)用可以提高網(wǎng)絡(luò)管理的效率，減輕網(wǎng)絡(luò)管理人員的負(fù)擔(dān)。網(wǎng)絡(luò)管理的目標(biāo)是實(shí)現(xiàn)零管理，基于策略的管理方式，網(wǎng)絡(luò)管理是通過制定統(tǒng)一的策略，由管理策略服務(wù)器進(jìn)行全局控制的?；赪eb的網(wǎng)管界面，是網(wǎng)管軟件的發(fā)展趨勢(shì)，靈活的操作方式簡(jiǎn)化了管理人員的工作。在設(shè)計(jì)園區(qū)網(wǎng)的設(shè)備選擇上，要求網(wǎng)絡(luò)設(shè)備支持標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理協(xié)議SNMP，同時(shí)支持RMON/RMONII協(xié)議，核心設(shè)備要求支持RAP（遠(yuǎn)程分析端口）協(xié)議，實(shí)施充分的網(wǎng)絡(luò)管理功能。在設(shè)計(jì)園區(qū)網(wǎng)的原則上應(yīng)該要求設(shè)備的可管理性，同時(shí)先進(jìn)的網(wǎng)管軟件可以支持網(wǎng)絡(luò)維護(hù)、監(jiān)控、配置等功能。二.綜合布線方案、需求分析集團(tuán)公司園區(qū)內(nèi)包括集團(tuán)總部辦公樓和分部及分公司等七幢建筑，武漢總部和武漢分公司它們之間的距離已超過雙絞線布線的技術(shù)要求，因此采用光纖進(jìn)行布線。由于涉及的建筑物較多，規(guī)模較大，應(yīng)此將其定位為智能化園區(qū)綜合布線系統(tǒng)。園區(qū)的綜合布線系統(tǒng)是一個(gè)高標(biāo)準(zhǔn)的布線系統(tǒng)，水平系統(tǒng)和工作區(qū)采用超五類元件，主干采用光纖，構(gòu)成主干千兆以太網(wǎng)。不僅能滿足現(xiàn)有數(shù)據(jù)、語(yǔ)音、圖像等信息傳輸?shù)囊?，也為今后的發(fā)展奠定基礎(chǔ)。整個(gè)園區(qū)一共有5000左右個(gè)信息點(diǎn)，即武漢總部有3200左右，每分公司各有300左右個(gè)。針對(duì)以上要求，對(duì)計(jì)算機(jī)內(nèi)網(wǎng)綜合布線系統(tǒng)提出自己的解決方案。建筑群間的光纜采用上海的OT—T多模光纖系統(tǒng)，大樓內(nèi)的布線采用AVAYA的超五類雙絞線結(jié)構(gòu)化布線系統(tǒng)。、綜合布線系統(tǒng)的結(jié)構(gòu)綜合布線系統(tǒng)部分結(jié)構(gòu)如下圖所示：根據(jù)綜合布線國(guó)際標(biāo)準(zhǔn)ISO11801的定義，綜合布線系統(tǒng)可由以下子系統(tǒng)組成：工作區(qū)子系統(tǒng)(WorkAreaSubsystem)工作區(qū)子系統(tǒng)由信息插座延伸至用戶終端設(shè)備的布線組成，包括信息插座和相應(yīng)的連接軟線。用戶能方便地把計(jì)算機(jī)、電話、傳真等不同的終端設(shè)備接入大樓的通信網(wǎng)絡(luò)系統(tǒng)。水平布線子系統(tǒng)(HorizontalSubsystem)水平布線子系統(tǒng)由樓層配線間延伸至信息插座的布線組成，通?？刹捎贸孱愲p絞線，我們這里采用的是超五類雙絞線，也可采用光纜以滿足高傳輸帶寬應(yīng)用或長(zhǎng)傳輸距離的要求。水平布線提供大樓網(wǎng)絡(luò)通信系統(tǒng)到用戶終端設(shè)備的信息傳輸。建筑物主干子系統(tǒng)(BuildingBackboneSubsystem)建筑物主干子系統(tǒng)由大樓配線間延伸至各樓層配線間的布線組成。該子系統(tǒng)亦包括各配線間的配線架，跳接線等。采用的線纜是超五類雙絞線。大樓配線間和樓層配線間通常也用于放置網(wǎng)絡(luò)設(shè)備和其他有源設(shè)備。建筑物主干子系統(tǒng)提供大樓內(nèi)通信網(wǎng)絡(luò)信息交換的主干通道。建筑群布線子系統(tǒng)(CampusCablingSubsystem)建筑群布線子系統(tǒng)由建筑群配線間延伸至各大樓配線間的布線組成。采用的線纜為光纖，。建筑群配線間通常也用于放置電信接入設(shè)備和廣域網(wǎng)連接設(shè)備。建筑群布線子系統(tǒng)提供了各建筑物間通信網(wǎng)絡(luò)連接和信息交換的通道。系統(tǒng)總體設(shè)計(jì)以上就是布線的國(guó)際標(biāo)準(zhǔn)，因此采用高速大容量光纖主干建設(shè)集團(tuán)公司的園區(qū)網(wǎng)絡(luò)主干為了滿足集團(tuán)公司將來(lái)靈活組網(wǎng)的需要，在集團(tuán)總部辦公樓、分公司等建筑物內(nèi)各設(shè)有配線間。整個(gè)園區(qū)設(shè)備間機(jī)房安置在總部大樓的10樓，各分公司的設(shè)備間機(jī)放安置在各分公司的一樓。為充分滿足集團(tuán)公司內(nèi)部及對(duì)外高速高容量信息通信的需要，系統(tǒng)采用高速高容量的多模光纖作為園區(qū)的網(wǎng)絡(luò)主干。建筑物內(nèi)采用先進(jìn)的超五類非屏蔽布線系統(tǒng)根據(jù)技術(shù)規(guī)范，選用高性能UTP非屏蔽系統(tǒng)，傳輸參數(shù)可達(dá)到200MHz，通道傳輸性能在200MHz時(shí)ACR〉3dB,250MHz時(shí)ACR>0dB，通道傳輸性能不低于招標(biāo)技術(shù)要求所附性能參數(shù)表的要求。因此，本方案建議采用AVAYA超五類UTP產(chǎn)品，其傳輸帶寬可達(dá)200MHZ以上,可靠支持新的千兆以太網(wǎng)、ATM及高達(dá)550MHZ的寬帶語(yǔ)音應(yīng)用，為今后新的高速網(wǎng)絡(luò)應(yīng)用留有充足的性能余量。系統(tǒng)結(jié)構(gòu)設(shè)計(jì)描述整個(gè)結(jié)構(gòu)化布線系統(tǒng)由工作區(qū)子系統(tǒng)、水平干線子系統(tǒng)、管理子系統(tǒng)、主干子系統(tǒng)、設(shè)備間子系統(tǒng)及建筑群子系統(tǒng)等六個(gè)子系統(tǒng)構(gòu)成，方案設(shè)計(jì)時(shí)充分考慮了高度的可靠性、先進(jìn)性、靈活性、可擴(kuò)充性、易管理性及性能價(jià)格比高等優(yōu)點(diǎn)。布線系統(tǒng)結(jié)構(gòu)如下：、在施工中注意事項(xiàng)⑴仔細(xì)查閱其它專業(yè)的施工圖紙?jiān)谑┕で?，必須仔?xì)查閱其他專業(yè)的施工圖紙，尤其是土建結(jié)構(gòu)施工圖、水、電、通風(fēng)施工圖。因?yàn)樗铰酚傻拈L(zhǎng)短將會(huì)對(duì)設(shè)計(jì)的等級(jí)有一定的影響，而土建結(jié)構(gòu)施工圖、水、電、通風(fēng)施工圖對(duì)水平布線子系統(tǒng)管線路由的走向影響最大。在審圖時(shí)，建議用比例尺在圖紙上認(rèn)真測(cè)量，為水平布線子系統(tǒng)找出最合理的路由走向，這樣既節(jié)省水平線纜的長(zhǎng)度，又避免與其他專業(yè)管路發(fā)生沖突，由于電氣專業(yè)管線不可避免的要與其他各專業(yè)管路交叉重疊，發(fā)生矛盾的現(xiàn)象，給土建專業(yè)帶來(lái)地面超高等問題。綜合布線一般由專業(yè)公司負(fù)責(zé)安裝調(diào)試，施工方僅做管路預(yù)埋、線纜敷設(shè)，如果在施工中敷衍了事，不遵循“管線路由最短”的原則，就會(huì)增加水平布線子系統(tǒng)管線的長(zhǎng)度，不利于提高綜合布線系統(tǒng)的通信能力、不利于通信系統(tǒng)的穩(wěn)定性、不利于通信傳輸速率的提高。⑵建議在施工中應(yīng)滿足設(shè)計(jì)裕量。因?yàn)樵趯?shí)際施工中，不可能使水平線纜一直保持直線路由，所以實(shí)際安裝中，需要的線纜總會(huì)比圖紙上統(tǒng)計(jì)的量大的多，這就需要電氣工程師考慮一定的裕量。裕量的計(jì)算方法是將一張平面圖紙上離配線架最遠(yuǎn)的信息點(diǎn)的線纜圖紙長(zhǎng)度（圖紙上用比例尺量出的長(zhǎng)度），和最近的信息點(diǎn)的線纜圖紙長(zhǎng)度相加，除以2，得出得數(shù)值為信息點(diǎn)的平均圖紙長(zhǎng)度，取平均長(zhǎng)度的30%作為裕量。否則就會(huì)造成不必要的材料浪費(fèi)或不足。⑶采用質(zhì)量可靠的管路和線纜，以避免日后的麻煩在大多數(shù)設(shè)計(jì)中，水平布線子系統(tǒng)是被設(shè)計(jì)在吊頂、墻體或底板內(nèi)的，所以可以認(rèn)為水平子系統(tǒng)是不可更改、永久的系統(tǒng)。在安裝中，應(yīng)盡量使用性能優(yōu)良、質(zhì)量可靠的管路和線纜，保證用戶日后不破壞建筑結(jié)構(gòu)。⑷嚴(yán)格遵守綜合布線系統(tǒng)規(guī)范良好的安裝質(zhì)量，可以使水平布線子系統(tǒng)在其工作周期內(nèi)，始終保證良好工作狀態(tài)和穩(wěn)定的工作性能，尤其對(duì)于高性能的通信線纜和光纖，安裝質(zhì)量的好壞對(duì)系統(tǒng)的開通影響尤其顯著，因此在安裝線纜中，要嚴(yán)格遵守EIA/TIA569規(guī)范標(biāo)準(zhǔn)。⑸選材標(biāo)準(zhǔn)必須一致綜合布線系統(tǒng)所選用的線纜、信息插座、跳線、連接線等部件，必須與選擇的類型一致，如選用超5類標(biāo)準(zhǔn)，則線纜、信息插座、跳線、連接線等部件必須為超5類；如系統(tǒng)采用屏蔽措施，則系統(tǒng)選用的所有部件均為屏蔽部件，只有這樣才能保證系統(tǒng)屏蔽效果，達(dá)到整個(gè)系統(tǒng)的設(shè)計(jì)性能指標(biāo)。三．網(wǎng)絡(luò)設(shè)計(jì)方案網(wǎng)絡(luò)設(shè)計(jì)需求六個(gè)分公司有四個(gè)分公司在武漢旭日工業(yè)園內(nèi)各的建筑物里面，公司為38層的主樓，六個(gè)分公司都是7層樓。第一分公司與主樓相距50米，第二分公司與主樓相距也是50米，第三分公司與主樓相距5公里，第四分公司與主樓相距8公里，另兩個(gè)分公司在北京和上海各自有自己的辦公樓。示意圖見《園區(qū)結(jié)構(gòu)示意圖》）各子公司部門結(jié)構(gòu)：這六個(gè)分公司都有各自的微機(jī)室（10人），財(cái)務(wù)部（20人），行政部（20人），生產(chǎn)部（100人），研發(fā)部（30人），后勤部（10人），業(yè)務(wù)部（80人），人力資源部（10人）總公司行政劃分也是如此，人數(shù)比例大致類似六個(gè)分公司體方案設(shè)計(jì)策略為了實(shí)現(xiàn)以上網(wǎng)絡(luò)設(shè)計(jì)原則，使旭日集團(tuán)園區(qū)網(wǎng)絡(luò)具有良好的擴(kuò)展性能力和靈活的便于管理，易于維護(hù)，在網(wǎng)絡(luò)設(shè)計(jì)上采用了一下策略。因特網(wǎng)接入和園區(qū)網(wǎng)分離。將因特網(wǎng)接入部分和園區(qū)網(wǎng)主體部分分離，每部分完成其自身的功能，可以減少兩者之間的相互影響。因特網(wǎng)接入的變化，只影響接入的變化，對(duì)園區(qū)網(wǎng)絡(luò)沒有影響；而園區(qū)網(wǎng)絡(luò)的變化對(duì)因特網(wǎng)接入部分影響較小。.這樣可以增強(qiáng)網(wǎng)絡(luò)的擴(kuò)展能力。保持網(wǎng)絡(luò)層次結(jié)構(gòu)清晰，便于管理和維護(hù)。降低各個(gè)子公司之間的網(wǎng)絡(luò)關(guān)聯(lián)度。將各個(gè)子公司之間的網(wǎng)絡(luò)的關(guān)聯(lián)度降低到最低的策略，可以最大限度的減少各個(gè)子公司網(wǎng)絡(luò)之間的相互影響，便于分別管理，或者在不同子公司擴(kuò)展網(wǎng)絡(luò)的新應(yīng)用。統(tǒng)一標(biāo)準(zhǔn)，統(tǒng)一網(wǎng)絡(luò)統(tǒng)一的IP應(yīng)用標(biāo)準(zhǔn)（IP地址，路由協(xié)議），安全標(biāo)準(zhǔn)，接入標(biāo)準(zhǔn)和網(wǎng)絡(luò)管理平臺(tái)，才能實(shí)現(xiàn)真正的統(tǒng)一管理，便于集團(tuán)的管理和網(wǎng)絡(luò)策略的實(shí)施。旭日集團(tuán)園區(qū)結(jié)構(gòu)示意圖網(wǎng)絡(luò)設(shè)備選型3?4.1選型原則我們?cè)诰W(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)時(shí)考慮如下特點(diǎn)：穩(wěn)定可靠的網(wǎng)絡(luò)只有運(yùn)行穩(wěn)定的網(wǎng)絡(luò)才是可靠的網(wǎng)絡(luò)，而網(wǎng)絡(luò)的可靠運(yùn)行取決于諸多因素，如網(wǎng)絡(luò)的設(shè)計(jì)，產(chǎn)品的可靠，而選擇一個(gè)具有運(yùn)營(yíng)此類網(wǎng)絡(luò)規(guī)模經(jīng)驗(yàn)的網(wǎng)絡(luò)合作廠商則更為重要。要求有物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的備份技術(shù)。高帶寬為了支持?jǐn)?shù)據(jù)、話音、視像多媒體的傳輸能力，在技術(shù)上要到達(dá)當(dāng)前的國(guó)際先進(jìn)水平。要采用最先進(jìn)的網(wǎng)絡(luò)技術(shù)，以適應(yīng)大量數(shù)據(jù)和多媒體信息的傳輸，既要滿足目前的業(yè)務(wù)需求，又要充分考慮未來(lái)的發(fā)展。為此應(yīng)選用高帶寬的先進(jìn)技術(shù)。易擴(kuò)展的網(wǎng)絡(luò)系統(tǒng)要有可擴(kuò)展性和可升級(jí)性，隨著業(yè)務(wù)的增長(zhǎng)和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長(zhǎng)，需要網(wǎng)絡(luò)有很好的可擴(kuò)展性，并能隨著技術(shù)的發(fā)展不斷升級(jí)。易擴(kuò)展不僅僅指設(shè)備端口的擴(kuò)展，還指網(wǎng)絡(luò)結(jié)構(gòu)的易擴(kuò)展性：即只有在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)合理的情況下，新的網(wǎng)絡(luò)節(jié)點(diǎn)才能方便地加入已有網(wǎng)絡(luò)；網(wǎng)絡(luò)協(xié)議的易擴(kuò)展：無(wú)論是選擇第三層網(wǎng)絡(luò)路由協(xié)議，還是規(guī)劃第二層虛擬網(wǎng)的劃分，都應(yīng)注意其擴(kuò)展能力。QoS（英文全稱為"QualityofService",中文名為〃服務(wù)質(zhì)量〃°）QoS是網(wǎng)絡(luò)的一種安全機(jī)制，是用來(lái)解決網(wǎng)絡(luò)延遲和阻塞等問題的一種技術(shù)。保證隨著網(wǎng)絡(luò)中多媒體的應(yīng)用越來(lái)越多，這類應(yīng)用對(duì)服務(wù)質(zhì)量的要求較高，本網(wǎng)絡(luò)系統(tǒng)應(yīng)能保證QoS，以支持這類應(yīng)用。安全性網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性，由于網(wǎng)絡(luò)連接園區(qū)內(nèi)部所有用戶，安全管理十分重要。應(yīng)支持VLAN的劃分，并能在VLAN之間進(jìn)行第三層交換時(shí)進(jìn)行有效的安全控制，以保證系統(tǒng)的安全性。容易控制管理因?yàn)樯暇W(wǎng)用戶很多，如何管理好他們的通信，做到既保證一定的用戶通信質(zhì)量，又合理的利用網(wǎng)絡(luò)資源，是建好一個(gè)網(wǎng)絡(luò)所面臨的首要問題。符合IP發(fā)展趨勢(shì)的網(wǎng)絡(luò)在當(dāng)前任何一個(gè)提供服務(wù)的網(wǎng)絡(luò)中，對(duì)IP的支持服務(wù)是最普遍的，而IP技術(shù)本身又處在發(fā)展變化中，如IpV6，IPQoS，IPOverSONET等等新興的技術(shù)不斷出現(xiàn)，旭日集團(tuán)園區(qū)網(wǎng)網(wǎng)絡(luò)絡(luò)必須跟緊IP發(fā)展的步伐，也就是必須選擇處于IP發(fā)展領(lǐng)導(dǎo)地位的網(wǎng)絡(luò)廠商。3.4.2核心層設(shè)備由于旭日集團(tuán)園區(qū)網(wǎng)網(wǎng)絡(luò)發(fā)展規(guī)模較大，未來(lái)需提供多媒體辦公、辦公自動(dòng)化、圖書資料檢索、遠(yuǎn)程互聯(lián)、視頻會(huì)議等復(fù)雜的網(wǎng)絡(luò)應(yīng)用，為便于管理，我們建議選用的交換機(jī)作為網(wǎng)絡(luò)組建交換設(shè)備。選用1臺(tái)Cisco6509交換機(jī)作為主干交換機(jī)實(shí)現(xiàn)1000M做主干100M到桌面的需求。（具體產(chǎn)品介紹見附錄二）Cisco6509系列交換機(jī)支持堆疊技術(shù)，將來(lái)擴(kuò)充端口極為靈活方便，不必改變?cè)芯W(wǎng)絡(luò)的任何配置。通過增加堆疊交換機(jī)數(shù)量或做PortTrunking（端口干路）兩種辦法均可擴(kuò)充網(wǎng)絡(luò)規(guī)模；并且實(shí)現(xiàn)了本地化交換，改善了整個(gè)網(wǎng)絡(luò)，使整個(gè)網(wǎng)絡(luò)的性能發(fā)生了質(zhì)的變化。選用千兆光纖模塊，與主干上聯(lián)，實(shí)現(xiàn)主干的千兆傳輸。Cisco6509系列交換機(jī)支持網(wǎng)管和堆疊，可以很容易地根據(jù)需要，通過堆疊擴(kuò)充端口數(shù)量。另外，Cisco6509系列交換機(jī)建立在一個(gè)功能強(qiáng)大且絕對(duì)無(wú)阻塞的32G交換背板上，可以保證堆疊中的所有端口間實(shí)現(xiàn)無(wú)阻塞的線速交換。此外，Cisco6509交換機(jī)，在安裝千兆光纖模塊的同時(shí)，還可以安裝百兆光纖模塊，完全可以適應(yīng)現(xiàn)在或?qū)?lái)的樓內(nèi)光纖布線，靈活性很強(qiáng)。3.4.3匯聚層設(shè)備考慮到集團(tuán)要求沒個(gè)子公司的網(wǎng)絡(luò)自成體系，單個(gè)子公司的局域網(wǎng)廣播數(shù)據(jù)流不能擴(kuò)展到全網(wǎng)，單個(gè)子公司的網(wǎng)絡(luò)故障不應(yīng)該擴(kuò)展到全網(wǎng)，匯聚層交換機(jī)也應(yīng)該采用具有路由功能的多層交換機(jī)，以達(dá)到網(wǎng)絡(luò)隔離和分段的目的。子公司的主交換機(jī)負(fù)責(zé)子公司內(nèi)部的網(wǎng)絡(luò)數(shù)據(jù)交換和旭日集團(tuán)園區(qū)網(wǎng)的其他路由。匯聚層設(shè)備選擇CISCO公司的Catalyst3550系列的交換機(jī)，每個(gè)子公司的主交換機(jī)選擇WS-C3550-48-EMI交換機(jī)。Catalyst3550交換機(jī)智能以太網(wǎng)交換機(jī)是一個(gè)新型的可堆疊的，多層次級(jí)交換機(jī)系列，可以提高水平的可用性，可擴(kuò)展性，服務(wù)質(zhì)量QoS），安全性和可改進(jìn)網(wǎng)絡(luò)運(yùn)營(yíng)的管理能力，從而提高網(wǎng)絡(luò)的運(yùn)行效率。Catalyst3550系列包括一系列快速以太網(wǎng)和千兆位以太網(wǎng)配置，可以用全套千兆位接口轉(zhuǎn)換器GBIC）設(shè)備提供強(qiáng)大的千兆位以太網(wǎng)連接；并將CISCOIOS軟件中的一套第2-4層功能——IP路由、QoS、限速、訪問控制列表（ACL）和多播服務(wù)擴(kuò)展到邊緣，堪稱一款適用于企業(yè)和城域應(yīng)用的強(qiáng)大選擇。用戶第一次可以在整個(gè)網(wǎng)絡(luò)中部署智能化的服務(wù)，例如先進(jìn)的服務(wù)質(zhì)量、速度限制、CISCO安全訪問控制列表、多播管理和高性能的IP路由，并與引同時(shí)保持了傳統(tǒng)LAN交換的簡(jiǎn)便性。通過高性能的IP路由實(shí)現(xiàn)了網(wǎng)絡(luò)的可擴(kuò)展性，利用基于硬件的IP路由和增強(qiáng)型多層軟件鏡像，Catalyst3550系列交換機(jī)可以在所有端口上提供高達(dá)17Mpps的線速路由；基于CISCO快速轉(zhuǎn)發(fā)（CEF）的路由架構(gòu)有助于提高可擴(kuò)展性和性能，該體系結(jié)構(gòu)扶持極高速的搜索功能，并可確保必要的穩(wěn)定性和可擴(kuò)展性，以滿足未來(lái)的需求。憑借內(nèi)置CISCO集群管理套件，Catalyst3550系列交換機(jī)可簡(jiǎn)化網(wǎng)絡(luò)的部署。WS-C3550-48-EMI交換機(jī)，有48個(gè)10/100和2個(gè)基于GBIC的1000BaseX端口，通過使用多層軟件鏡像（EMI），可以提供路由和多層交換功能，滿足三層交換需求?？梢詽M足服務(wù)器群的高密度，高速率的接入需要，也可以滿足因特網(wǎng)接入的需求。3.4.4接入層交換機(jī)接入層交換機(jī)放置于樓層的設(shè)備間，用于終端用戶的接入。應(yīng)該能夠提供高密度的接入，對(duì)環(huán)境的適應(yīng)能力強(qiáng)，運(yùn)行穩(wěn)定。樓層接入設(shè)備選擇CISCO公司的WS-C2950-48-EI智能以太網(wǎng)交換機(jī)。WS-C2950-48-EI交換機(jī)屬于Catalyst2950系列智能交換機(jī)。Catalyst2950系列是固定的配置，可堆疊的獨(dú)立設(shè)備系列，提供了線速快速以太網(wǎng)和千兆位以太網(wǎng)連接。Catalyst2950系列是有款最廉價(jià)的CISCO交換機(jī)產(chǎn)品系列，為中型網(wǎng)絡(luò)和城域接入應(yīng)用邊緣提供了智能服務(wù)，可以為局域網(wǎng)提供極佳的性能和功能。這些獨(dú)立的。10/100自適應(yīng)交換機(jī)能夠提供增強(qiáng)的服務(wù)質(zhì)量（QoS）和組播管理特性，所有的這些都由易用，基于WEB的CISCO集群管理套件（CMS），和集成CISCOIOS軟件來(lái)進(jìn)行管理。帶有100BASE上行鏈路的Catalyst2950交換機(jī)，可為中等規(guī)模的公司和企業(yè)分支機(jī)構(gòu)辦公室提供理想的解決方案，以使他們能夠擁有更高性能的千兆以太網(wǎng)主干。WS-C2950-48-E交換機(jī)，有48個(gè)10/100端口，2個(gè)基于千兆接口轉(zhuǎn)換器（GBIC）的1000BaseX端口，能夠?yàn)橛脩籼峁┣д椎墓饫w骨干和高密度度的接入端口；具有高達(dá)的背板帶寬，能夠提供的轉(zhuǎn)發(fā)速率；增強(qiáng)型的IOS,能夠支持250個(gè)VLAN，提供安全，QoS，管理等各方面的智能交換服務(wù)。主干網(wǎng)絡(luò)技術(shù)選型在旭日集團(tuán)園區(qū)網(wǎng)網(wǎng)絡(luò)的建設(shè)中，主干網(wǎng)選擇何種網(wǎng)絡(luò)技術(shù)對(duì)網(wǎng)絡(luò)建設(shè)的成功與否起著決定性的作用。選擇適合旭日集團(tuán)園區(qū)網(wǎng)網(wǎng)絡(luò)需求特點(diǎn)的主流網(wǎng)絡(luò)技術(shù)，不但能保證網(wǎng)絡(luò)的高性能，還能保證網(wǎng)絡(luò)的先進(jìn)性和擴(kuò)展性，能夠在未來(lái)向更新技術(shù)平滑過渡，保護(hù)用戶的投資。根據(jù)招用戶要求，我們主干網(wǎng)絡(luò)可選用千兆以太網(wǎng)技術(shù)目前流行的局域網(wǎng)、城域網(wǎng)技術(shù)主要包括以太網(wǎng)、快速以太網(wǎng)、ATM（異步傳輸模式）、FDDI、CDDI、千兆以太網(wǎng)等。在這些技術(shù)中，千兆以太網(wǎng)以其在局域網(wǎng)領(lǐng)域中支持高帶寬、多傳輸介質(zhì)、多種服務(wù)、保證QoS等特點(diǎn)正逐漸占據(jù)主流位置。⑴現(xiàn)有網(wǎng)絡(luò)技術(shù)介紹以太網(wǎng)（Ethernet）以太網(wǎng)是應(yīng)用最為廣泛的網(wǎng)絡(luò)技術(shù)，它基于CSMA/CD（沖突檢測(cè)媒體訪問/載波偵聽）機(jī)制，采用共享介質(zhì)的方式實(shí)現(xiàn)計(jì)算機(jī)之間的通訊，帶寬為100Mbps。CSMA/CD技術(shù)采用總線控制技術(shù)及退避算法。當(dāng)一個(gè)站點(diǎn)要發(fā)送時(shí)，首先需監(jiān)聽總線以決定介質(zhì)上是否存在其它站的發(fā)送信號(hào)。如果介質(zhì)是空閑的，則可以發(fā)送，如果介質(zhì)是繁忙的，則隔一次間隔后重發(fā)，即采用某種退避算法。早期的以太網(wǎng)由于它介質(zhì)共享的特性，當(dāng)網(wǎng)絡(luò)中站點(diǎn)增加時(shí)，網(wǎng)絡(luò)的性能會(huì)迅速下降，另外缺乏對(duì)多種服務(wù)和QoS的支持。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，現(xiàn)在的以太網(wǎng)技術(shù)已經(jīng)從共享技術(shù)發(fā)展到交換技術(shù)，交換以太網(wǎng)的出現(xiàn)使傳統(tǒng)的共享式以太網(wǎng)技術(shù)得到極大改進(jìn)。共享式局域網(wǎng)上的所有節(jié)點(diǎn)（如主機(jī)、工作站）共同分享同一帶寬，當(dāng)網(wǎng)上兩個(gè)任意節(jié)點(diǎn)交換數(shù)據(jù)時(shí)，其他節(jié)點(diǎn)只能等待。交換以太網(wǎng)則利用網(wǎng)絡(luò)交換機(jī)在不同網(wǎng)段之間建立多個(gè)獨(dú)享連接（就像電話交換機(jī)可同時(shí)為眾多的用戶建立對(duì)話通道一樣），采用按目的地址的定向傳輸，為每個(gè)單獨(dú)的網(wǎng)段提供專用的頻帶（即帶寬獨(dú)享），增大了網(wǎng)絡(luò)的傳輸吞吐量，提高了傳輸速率，其主干網(wǎng)上無(wú)碰撞問題。虛擬網(wǎng)技術(shù)與交換技術(shù)相結(jié)合，有效地解決了廣播問題，使網(wǎng)絡(luò)設(shè)計(jì)更加靈活，網(wǎng)絡(luò)的管理和維護(hù)更加方便。交換式以太網(wǎng)克服了共享式以太網(wǎng)的缺點(diǎn)，并借助于IP技術(shù)的新發(fā)展，如IPMulticast、IPQoS等技術(shù)的推出使得交換以太網(wǎng)可以支持多媒體技術(shù)等多種業(yè)務(wù)服務(wù)。快速以太網(wǎng)(FastEthernet)快速以太網(wǎng)技術(shù)仍然是以太網(wǎng)，也是總線或星型結(jié)構(gòu)的網(wǎng)絡(luò)，快速以太網(wǎng)仍支持共享模式，在共享模式下仍采用的是廣播模式(CSMA/CD競(jìng)爭(zhēng)方式訪問，IEEE)，所以在共享模式下的快速以太網(wǎng)繼承了傳統(tǒng)共享以太網(wǎng)的所有特點(diǎn)，但是帶寬增大了10倍?？焖僖蕴W(wǎng)的應(yīng)用主要是基于它的交換模式。在交換模式下，快速以太網(wǎng)完全沒有CSMA/CD這種機(jī)制的缺陷，除了上面談到的交換以太網(wǎng)的優(yōu)點(diǎn)以外，交換模式下的快速以太網(wǎng)可以工作在全雙工的狀態(tài)下，使得網(wǎng)絡(luò)帶寬可以達(dá)到200Mbps。因此快速以太網(wǎng)是一種在局域網(wǎng)技術(shù)中性能價(jià)格比非常好的網(wǎng)絡(luò)技術(shù)，在支持多媒體技術(shù)的應(yīng)用上可以提供很好的網(wǎng)絡(luò)質(zhì)量和服務(wù)。千兆位以太網(wǎng)技術(shù)(GigabitEthernet)千兆位以太網(wǎng)技術(shù)以簡(jiǎn)單的以太網(wǎng)技術(shù)為基礎(chǔ)，為網(wǎng)絡(luò)主干提供1Gbps的帶寬。千兆位以太網(wǎng)技術(shù)以自然的方法來(lái)升級(jí)現(xiàn)有的以太網(wǎng)絡(luò)、工作站、管理工具和管理人員的技能。千兆位以太網(wǎng)與其他速度相當(dāng)?shù)母咚倬W(wǎng)絡(luò)技術(shù)相比，價(jià)格低，同時(shí)比較簡(jiǎn)單，例如保留以太網(wǎng)的幀格式、管理工具和對(duì)網(wǎng)絡(luò)概念上的認(rèn)識(shí)。千兆以太網(wǎng)是相當(dāng)成功的10Mbps以太網(wǎng)和100Mbps快速以太網(wǎng)連接標(biāo)準(zhǔn)的擴(kuò)展?，F(xiàn)在千兆位以太網(wǎng)成熟的標(biāo)準(zhǔn)為IEEE，IEEE的目標(biāo)是：使用IEEE幀格式；可以使用全雙工和半雙工；共享模式下仍使用CSMA/CD；對(duì)安裝介質(zhì)的向后兼容；傳輸速度比快速以太網(wǎng)提高十倍，比以太網(wǎng)提高一百倍。千兆以太網(wǎng)通過載波擴(kuò)展(CarrierExtension)、采用帶中繼、交換功能的網(wǎng)絡(luò)設(shè)備以及多種激光器和光纖將連接距離擴(kuò)展到從500米至3000米。如采用1300nm激光器和50um的多模光纖傳輸距離可以達(dá)到3km?，F(xiàn)在，某些廠家的交換機(jī)上的千兆以太網(wǎng)接口還支持LongHaul(LH)的標(biāo)準(zhǔn)，采用光纖可以支持高達(dá)60Km的傳輸距離。千兆位以太網(wǎng)能夠提供更高的帶寬，并且成為有強(qiáng)大伸縮性的以太網(wǎng)家族的第三個(gè)成員。利用交換機(jī)或路由器可以與現(xiàn)有低速的以太網(wǎng)用戶和設(shè)備連接起來(lái)，因?yàn)榍д孜灰蕴W(wǎng)的幀格式和幀尺寸大小等都與所有以太網(wǎng)技術(shù)相同，不需要對(duì)網(wǎng)絡(luò)做任何改變。這種升級(jí)方法使得千兆位以太網(wǎng)相對(duì)于其他高速網(wǎng)絡(luò)技術(shù)而言，在經(jīng)濟(jì)和管理性能方面都是較好的選擇。千兆位以太網(wǎng)的設(shè)計(jì)非常靈活，幾乎對(duì)網(wǎng)絡(luò)結(jié)構(gòu)沒有限制，可以是交換式、共享式的或基于路由器的?，F(xiàn)在正在應(yīng)用的網(wǎng)絡(luò)互連技術(shù)，例如，特定IP交換技術(shù)和第三層的交換技術(shù)，都與千兆位以太網(wǎng)完全兼容。千兆位以太網(wǎng)可以通過價(jià)格便宜的共享集線器、交換機(jī)或路由器來(lái)實(shí)現(xiàn)。千兆位以太網(wǎng)支持新的交換機(jī)之間或交換機(jī)－工作站之間全雙工的連接模式，同時(shí)也支持半雙工連接模式以便與基于CSMA/CD存取方式的共享集線器連接。千兆位以太網(wǎng)使用的傳輸介質(zhì)有光纖、5類非屏蔽雙絞線(UTP)或同軸電纜。目前，千兆以太網(wǎng)支持多模光纖、多模光纖和同軸電纜，支持5類非屏蔽雙絞線(UTP)的標(biāo)準(zhǔn)正在制定中。下表列出了千兆以太網(wǎng)現(xiàn)在支持的距離標(biāo)準(zhǔn)。標(biāo)準(zhǔn)名稱媒質(zhì)傳輸距離1000Base-SX波長(zhǎng)850nm微米多模光纖50微米多模光纖275米550米1000Base-LX波長(zhǎng)1300nm微米多模光纖50微米多模光纖9微米或10微米多模光纖275米550米5公里1000Base-CX同軸電纜對(duì)25米1000Base-T4對(duì)5類雙絞線100米千兆位以太網(wǎng)的管理與以前使用和了解的以太網(wǎng)相同，使用千兆以太網(wǎng)，主干和各網(wǎng)段及桌面已實(shí)現(xiàn)了無(wú)縫結(jié)合，網(wǎng)絡(luò)管理變得容易了。千兆以太網(wǎng)技術(shù)的優(yōu)點(diǎn)：技術(shù)簡(jiǎn)單，例如保留以太網(wǎng)的幀格式、管理工具和對(duì)網(wǎng)絡(luò)概念上的認(rèn)識(shí).便于升級(jí)，從現(xiàn)有的傳統(tǒng)以太網(wǎng)和快速以太網(wǎng)可以平滑地過渡到千兆以太網(wǎng)，并不需要掌握新的配置、管理與排除故障技術(shù)；網(wǎng)絡(luò)投資可以得到保護(hù)，無(wú)需對(duì)用戶進(jìn)行再培訓(xùn)，也無(wú)需為額外的網(wǎng)絡(luò)協(xié)議進(jìn)行投資；千兆以太網(wǎng)有良好的互操作性，并具有向后兼容性;端口價(jià)格相對(duì)較低；可以提供10倍于快速以太網(wǎng)的傳輸速度。網(wǎng)絡(luò)技術(shù)選型結(jié)論綜上所述，在選擇旭日集團(tuán)園區(qū)網(wǎng)網(wǎng)絡(luò)技術(shù)時(shí)應(yīng)該考慮如下：(1)、長(zhǎng)遠(yuǎn)來(lái)看如何保護(hù)現(xiàn)有投資。保護(hù)現(xiàn)有投資的有效途徑就是在將來(lái)網(wǎng)絡(luò)技術(shù)升級(jí)時(shí)還能使用現(xiàn)有的網(wǎng)絡(luò)技術(shù)和產(chǎn)品。如同計(jì)算機(jī)的發(fā)展速度一樣，網(wǎng)絡(luò)技術(shù)的發(fā)展也是非常迅速的。如果在現(xiàn)有技術(shù)不能合理保證在將來(lái)網(wǎng)絡(luò)升級(jí)后還能夠使用，那么將會(huì)帶來(lái)極大的資金浪費(fèi)。從目前的趨勢(shì)來(lái)看，采用千兆以太網(wǎng)技術(shù)是最適宜的。⑵性能價(jià)格比。以太網(wǎng)，快速以太網(wǎng)，千兆以太網(wǎng)和ATM網(wǎng)三者性能狀況由低到高，但是價(jià)格也是由低到高的。在建設(shè)旭日集團(tuán)園區(qū)網(wǎng)網(wǎng)絡(luò)時(shí)要充分考慮到辦公的資金有效使用，選擇適用的網(wǎng)絡(luò)技術(shù)是關(guān)鍵，因此選擇華為網(wǎng)絡(luò)產(chǎn)品實(shí)現(xiàn)是最佳選擇。目前滿眼看到的是國(guó)外的技術(shù)和產(chǎn)品，無(wú)形中增加了網(wǎng)絡(luò)造價(jià)成本，這也給網(wǎng)絡(luò)的普及帶來(lái)一定障礙。⑶售后服務(wù)：旭日集團(tuán)園區(qū)網(wǎng)網(wǎng)絡(luò)的使用，從以往經(jīng)驗(yàn)來(lái)看，售后服務(wù)問題比較突出。有很大部分國(guó)內(nèi)外產(chǎn)品目前無(wú)法實(shí)現(xiàn)良好的售前、售后服務(wù)的支持，換修時(shí)間一般在3個(gè)月到6個(gè)月。思科網(wǎng)絡(luò)強(qiáng)大的售后服務(wù)體系可保證全國(guó)范圍內(nèi)72小時(shí)響應(yīng)，武漢等一級(jí)城市可實(shí)現(xiàn)24小時(shí)響應(yīng)；在旭日集團(tuán)園區(qū)網(wǎng)網(wǎng)絡(luò)建設(shè)中，在主干以及接入層的交換設(shè)備選擇上，我們采用思科支持千兆以太網(wǎng)技術(shù)的交換機(jī)充當(dāng)路由交換部分的設(shè)計(jì)為了使旭日集團(tuán)園區(qū)網(wǎng)高效、穩(wěn)定的運(yùn)行，便于管理與維護(hù)，對(duì)局域網(wǎng)交換和路由技術(shù)的相關(guān)方面進(jìn)行了規(guī)范設(shè)計(jì)，包括VTP、VLAN、STP、TRUNK、ETHERCHANNEL,HSRP,VPN等。每一臺(tái)都連接所有的匯聚層交換機(jī)，但相互之間并不連接(提高網(wǎng)絡(luò)的故障收斂速度)。作為二層的核心,只保證數(shù)據(jù)的高速轉(zhuǎn)發(fā)。網(wǎng)絡(luò)的可靠性由匯聚層的路由協(xié)議提供保證。(1).VLAN設(shè)計(jì)規(guī)范旭日集團(tuán)內(nèi)的局域網(wǎng)進(jìn)行VLAN劃分，可以減少網(wǎng)絡(luò)內(nèi)的廣播數(shù)據(jù)包，提高網(wǎng)絡(luò)運(yùn)行效率;可以區(qū)分不同的應(yīng)用和用戶,方便集團(tuán)的管理與維護(hù).建議每棟建筑物內(nèi)的局域網(wǎng)劃分8個(gè)VLAN.應(yīng)用類1指旭日集團(tuán)的OA類應(yīng)用.VLAN用途如表1VLAN劃分用途表VLAN用途VLAN1應(yīng)用類1的微機(jī)室工作人員VLAN2應(yīng)用類1的財(cái)務(wù)部工作人員VLAN3應(yīng)用類1的行政部工作人員VLAN4應(yīng)用類1的研發(fā)部工作人員VLAN5應(yīng)用類1的后勤部工作人員VLAN6應(yīng)用類1的人力資源部工作人員VLAN7應(yīng)用類1的業(yè)務(wù)部工作人員VLAN8應(yīng)用類1的生產(chǎn)部工作人員⑵.IP地址分配方案IPv4的地址結(jié)構(gòu)，各個(gè)位的使用規(guī)劃如圖:0——78--1011--1516-1819--31

集團(tuán)標(biāo)識(shí)子公司標(biāo)集團(tuán)標(biāo)識(shí)子公司標(biāo)識(shí)預(yù)留類別標(biāo)識(shí)用戶空間地址其中各個(gè)部分的取值如表：位取值含義備注0—7000001010某某集團(tuán)私有地址8—110000保留0001總部主樓的用戶標(biāo)識(shí)0010子公司1子公司1的用戶標(biāo)識(shí)0011子公司2子公司2的的用戶標(biāo)識(shí)0100子公司3子公司3的用戶標(biāo)識(shí)0101子公司4子公司4的用戶標(biāo)識(shí)0110子公司5子公司5的用戶標(biāo)識(shí)0111子公司6子公司5的用戶標(biāo)識(shí)1000-1111保留12-1300缺省00-11保留14--17000保留001網(wǎng)管類交換機(jī)設(shè)備地址，路由器環(huán)回地址，網(wǎng)管工作站地址010互聯(lián)類交換機(jī)，路由器等設(shè)備之間互相連接用011應(yīng)用類1集團(tuán)0A類用111因特網(wǎng)類集團(tuán)的因特網(wǎng)連接，因特網(wǎng)應(yīng)用。100-110保留18--31任意用戶地址其中，16—18取值011的時(shí)候，對(duì)19—23位的使用進(jìn)行了重新的定義。如圖：0——78--1112--1314-1718--2122--31集團(tuán)標(biāo)識(shí)子公司標(biāo)識(shí)預(yù)留應(yīng)用類1VLAN標(biāo)識(shí)用戶地址空間IP地址分配表：根據(jù)以上的規(guī)定，具體的地址分配表如下圖：機(jī)構(gòu)地址空間用途/8集團(tuán)全部地址空間/13總部全部地址空間總部網(wǎng)管類全部地址總部互聯(lián)類全部地址總部應(yīng)用類全部地址

/17總部因特網(wǎng)全部地址/21總部應(yīng)用類1微機(jī)室工作人員地址空間總部應(yīng)用類1財(cái)務(wù)部工作人員地址空間總部應(yīng)用類1行政部工作人員地址空間總部應(yīng)用類1研發(fā)部工作人員地址空間總部應(yīng)用類1后勤部工作人員地址空間總部應(yīng)用類1人力資源部工作人員地址空間總部應(yīng)用類1業(yè)務(wù)部工作人員地址空間總部應(yīng)用層1生產(chǎn)部工作人員地址空間子公司/13子公司1全部地址空間子公司1網(wǎng)管類全部地址空間子公司1互聯(lián)類全部地址空間子公司1應(yīng)用類全部地址空間/17子公司1因特網(wǎng)全部地址子公司1的應(yīng)用類1微機(jī)室工作人員全部地址空間子公司1的應(yīng)用類1財(cái)務(wù)部工作人員全部地址空間子公司1的應(yīng)用類1行政部工作人員全部地址空間子公司1的應(yīng)用類1研發(fā)部工作人員全部地址空間子公司1的應(yīng)用類1后勤部工作人員全部地址空間子公司1的應(yīng)用類1人力資源部工作人員全部地址空間子公司1的應(yīng)用類1業(yè)務(wù)部工作人員全部地址空間子公司1的應(yīng)用類1生產(chǎn)部工作人員全部地址空間子公司/13子公司2全部地址空間子公司2網(wǎng)管類全部地址空間子公司2互聯(lián)類全部地址空間子公司2應(yīng)用類全部地址空間/17子公司2因特網(wǎng)全部地址子公司1的應(yīng)用類1微機(jī)室工作人員全部地址空間..21子公司2的應(yīng)用類1財(cái)務(wù)部工作人員全部地址空間子公司2的應(yīng)用類1行政部工作人員全部地址空間子公司2的應(yīng)用類1研發(fā)部工作人員全部地址空間子公司2的應(yīng)用類1后勤部工作人員全部地址空間子公司2的應(yīng)用類1人力資源部工作人員全部地址空間子公司2的應(yīng)用類1業(yè)務(wù)部工作人員全部地址空間子公司2的應(yīng)用類1生產(chǎn)部工作人員全部地址空間子公司3子公司3全部地址空間子公司3網(wǎng)管類全部地址空間子公司3互聯(lián)類全部地址空間子公司3應(yīng)用類全部地址空間子公司3因特網(wǎng)全部地址子公司3的應(yīng)用類1微機(jī)室工作人員全部地址空間子公司3的應(yīng)用類1財(cái)務(wù)部工作人員全部地址空間子公司3的應(yīng)用類1行政部工作人員全部地址空間

子公司3的應(yīng)用類1研發(fā)部工作人員全部地址空間子公司3的應(yīng)用類1后勤部工作人員全部地址空間子公司3的應(yīng)用類1人力資源部工作人員全部地址空間子公司3的應(yīng)用類1業(yè)務(wù)部工作人員全部地址空間子公司3的應(yīng)用類1生產(chǎn)部工作人員全部地址空間子公司4子公司4全部地址空間子公司4網(wǎng)管類全部地址空間子公司4互聯(lián)類全部地址空間子公司4應(yīng)用類全部地址空間子公司4因特網(wǎng)全部地址子公司4的應(yīng)用類1微機(jī)室工作人員全部地址空間子公司4的應(yīng)用類1財(cái)務(wù)部工作人員全部地址空間子公司4的應(yīng)用類1行政部工作人員全部地址空間子公司4的應(yīng)用類1研發(fā)部工作人員全部地址空間子公司4的應(yīng)用類1后勤部工作人員全部地址空間子公司4的應(yīng)用類1人力資源部工作人員全部地址空間子公司4的應(yīng)用類1業(yè)務(wù)部工作人員全部地址空間子公司4的應(yīng)用類1生產(chǎn)部工作人員全部地址空間北京分公司(5)子公司5全部地址空間子公司5網(wǎng)管類全部地址空間子公司5互聯(lián)類全部地址空間子公司5應(yīng)用類全部地址空間北京子公司因特網(wǎng)全部地址子公司5的應(yīng)用類1微機(jī)室工作人員全部地址空間子公司5的應(yīng)用類1財(cái)務(wù)部工作人員全部地址空間子公司5的應(yīng)用類1行政部工作人員全部地址空間子公司5的應(yīng)用類1研發(fā)部工作人員全部地址空間子公司5的應(yīng)用類1后勤部工作人員全部地址空間子公司5的應(yīng)用類1人力資源部工作人員全部地址空間子公司5的應(yīng)用類1業(yè)務(wù)部工作人員全部地址空間子公司5的應(yīng)用類1生產(chǎn)部工作人員全部地址空間上海分公司(6)子公司6全部地址空間子公司6網(wǎng)管類全部地址空間子公司6互聯(lián)類全部地址空間子公司6應(yīng)用類全部地址空間上海子公司因特網(wǎng)全部地址子公司6的應(yīng)用類1微機(jī)室工作人員全部地址空間子公司6的應(yīng)用類1財(cái)務(wù)部工作人員全部地址空間子公司6的應(yīng)用類1行政部工作人員全部地址空間子公司6的應(yīng)用類1研發(fā)部工作人員全部地址空間子公司6的應(yīng)用類1后勤部工作人員全部地址空間子公司6的應(yīng)用類1人力資源部工作人員全部地址空間子公司6的應(yīng)用類1業(yè)務(wù)部工作人員全部地址空間子公司6的應(yīng)用類1生產(chǎn)部工作人員全部地址空間其中，在項(xiàng)目實(shí)施的時(shí)候，接入層交換機(jī)的IP地址建議使用網(wǎng)管類地址空間10.*.24，多層交換機(jī)的IP地址的LOOPBACK接口的IP地址建議使用網(wǎng)管類地址10.*.35.*/32；所有匯聚層設(shè)備互聯(lián)IP地址使建議使用互聯(lián)類空間和，相互備份的2臺(tái)匯聚層設(shè)備的IP地址建議使用互聯(lián)類地址空間10.*.29。⑶冗余電源Cisco6509系列以太網(wǎng)交換機(jī)提供了RPS電源備份接口，可以對(duì)設(shè)備提供一對(duì)一的電源備份和保護(hù)，也可以以一路直流電源對(duì)多臺(tái)支持RPS接口的設(shè)備進(jìn)行備份和保護(hù)。⑷生成樹(STP/RSTP/MSTP)Cisco6509系列以太網(wǎng)交換機(jī)支持STP/RSTP/MSTP生成樹協(xié)議。生成樹協(xié)議主要用來(lái)建立和維護(hù)局域網(wǎng)的拓?fù)?，消除循環(huán)連接導(dǎo)致的網(wǎng)絡(luò)廣播風(fēng)暴，并且提供網(wǎng)絡(luò)的拓?fù)涞娜哂鄠浞莨δ?，平時(shí)作為備份的路徑被阻塞，當(dāng)主用路徑網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時(shí)，能夠及時(shí)調(diào)整端口狀態(tài)，調(diào)整網(wǎng)絡(luò)拓?fù)?。生成樹協(xié)議的工作原理：網(wǎng)絡(luò)中的橋接設(shè)備根據(jù)設(shè)定的優(yōu)先值和MAC地址，確定最優(yōu)先的設(shè)備為網(wǎng)絡(luò)的根橋，根橋向外定時(shí)發(fā)送ConfigBPDU報(bào)文，每個(gè)收到該報(bào)文的交換機(jī)將報(bào)文內(nèi)容根據(jù)自身的配置和所掌握的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行更新下發(fā)到其他端口，當(dāng)一個(gè)交換機(jī)從兩個(gè)或兩個(gè)以上端口接收到ConfigBPDU的時(shí)候就表明網(wǎng)絡(luò)中存在循環(huán)，保留其中一個(gè)端口為轉(zhuǎn)發(fā)狀態(tài)，設(shè)置其余端口為阻塞狀態(tài)。除了支持傳統(tǒng)的生成樹協(xié)議外，Cisco6509系列以太網(wǎng)交換機(jī)還支持IEEE快速生成樹協(xié)議(RSTP),以及多生成樹協(xié)議(MSTP)?？焖偕蓸鋮f(xié)議是生成樹協(xié)議的改進(jìn)，在原有功能的基礎(chǔ)上提高了網(wǎng)絡(luò)保護(hù)的性能。傳統(tǒng)生成樹倒換時(shí)間為42s,從發(fā)現(xiàn)鏈路斷裂、數(shù)據(jù)中斷到數(shù)據(jù)恢復(fù)至少需要三十多秒的時(shí)間，而快速生成樹協(xié)議只需6?8秒的時(shí)間就可以將數(shù)據(jù)流切換到備份鏈路上。多生成樹協(xié)議(MSTP)可以通過支持一個(gè)網(wǎng)絡(luò)內(nèi)的多個(gè)生成樹，這使管理員可以把VLAN流量分配給唯一的通路。網(wǎng)絡(luò)管理員只要為VLAN分配獨(dú)立的生成樹拓?fù)?，就可以確保兩個(gè)VLAN都能在網(wǎng)上順暢傳輸。這就可以起到均衡網(wǎng)絡(luò)流量，提高可靠性的作用。Cisco6509系列以太網(wǎng)交換機(jī)最大可以支持17個(gè)或者33個(gè)STP實(shí)例。⑸鏈路聚合(LinkAggregation)為了在以太網(wǎng)上獲得更高的數(shù)據(jù)傳輸帶寬,Cisco6509系列以太網(wǎng)交換機(jī)提供了二層的端口鏈路聚合功能(基于標(biāo)準(zhǔn)IEEE)。這樣在生成樹協(xié)議(STP)和其他二層協(xié)議上看，作了鏈路聚合的所有物理端口被視為同一個(gè)端口。在作了鏈路聚合的端口之間可以做冗余備份和負(fù)載分擔(dān)。在實(shí)際應(yīng)用中，進(jìn)行聚合處理的端口等同于一個(gè)端口，任何轉(zhuǎn)發(fā)到聚合的端口上的報(bào)文會(huì)通過對(duì)源、目的地址的邏輯運(yùn)算來(lái)分布到聚合的不同端口上。即使是多播和廣播報(bào)文也不會(huì)被復(fù)制多份，也要通過對(duì)地址的邏輯計(jì)算，將流量平衡分配到不同的端口上。Cisco6509系列以太網(wǎng)交換機(jī)系統(tǒng)在二層和三層對(duì)硬件查表未命中的新地址進(jìn)行監(jiān)控。如果新地址是在聚合的端口上時(shí)，根據(jù)二層和三層的不同，使用MAC地址或IP地址進(jìn)行邏輯計(jì)算，根據(jù)邏輯的結(jié)果選擇相應(yīng)端口為轉(zhuǎn)發(fā)端口，發(fā)往該目的地址的幀將按照計(jì)算負(fù)載均衡后的結(jié)果進(jìn)行轉(zhuǎn)發(fā)，實(shí)現(xiàn)端口之間負(fù)載均衡和冗余保護(hù)，保證數(shù)據(jù)流不出現(xiàn)亂序現(xiàn)象。⑹HSRPHSRP是CISCO公司是所特有的。HSRP向主機(jī)提供了缺省網(wǎng)關(guān)的冗余性，減少了主機(jī)維護(hù)路由表的任務(wù)。當(dāng)網(wǎng)絡(luò)邊緣設(shè)備或接入電路出現(xiàn)故障時(shí)，HSRP提供了一個(gè)較好的解決方案，它能夠確保用戶通信迅速并透明地恢復(fù)，以此為IP網(wǎng)絡(luò)提供冗余性、容錯(cuò)和增強(qiáng)的路由選擇功能。通過使用熱備份路由份協(xié)議（HSRP）,可使網(wǎng)絡(luò)對(duì)最終用戶的可用性得到充分的保證。另外，通過多個(gè)熱備份組，路由器可以提供冗余備份，并在不同的IP子網(wǎng)上實(shí)現(xiàn)負(fù)載分擔(dān)。旭日集團(tuán)園區(qū)網(wǎng)的IP地址規(guī)范中規(guī)定：網(wǎng)關(guān)的地址統(tǒng)一使用子網(wǎng)的最后一個(gè)可用地址。啟用HSRP協(xié)議之后，這個(gè)地址就是HSRP的虛擬地址。在成對(duì)的兩臺(tái)匯聚層多層交換機(jī)上，具體的HSRP配置規(guī)范如下：接口的IP地址：在第一臺(tái)多層交換機(jī)上，某個(gè)VLAN虛擬接口的IP地址是子網(wǎng)的最后第三個(gè)可用地址，在第二臺(tái)多層交換機(jī)上，某個(gè)VLAN虛擬接口的IP地址是子網(wǎng)的最后第二個(gè)可用地址。熱備份組號(hào)：熱備份組號(hào)與接口的VLAN號(hào)相同。熱備份地址：熱備份地址是子網(wǎng)的最后一個(gè)可用地址。熱備份優(yōu)先級(jí)：在主用的多層交換機(jī)了，某個(gè)VLAN虛擬接口的熱備份優(yōu)先級(jí)是120。并且主用的匯聚層交換機(jī)配置占先權(quán)。⑺等價(jià)路由（ECMP）除了從設(shè)備級(jí)支持三層轉(zhuǎn)發(fā)容錯(cuò)協(xié)議VRRP之外，Cisco6509系列以太網(wǎng)路由交換機(jī)還支持等價(jià)路由（ECMP）。等價(jià)路由即為到達(dá)同一個(gè)目的IP或者目的網(wǎng)段存在多條Cost值相等的不同路由路徑，當(dāng)設(shè)備支持等價(jià)路由時(shí)，發(fā)往該目的IP或者目的網(wǎng)段的三層轉(zhuǎn)發(fā)流量就可以通過不同的路徑分擔(dān)，實(shí)現(xiàn)網(wǎng)絡(luò)的負(fù)載均衡，并在其中某些路徑出現(xiàn)故障時(shí)，由其它路徑代替完成轉(zhuǎn)發(fā)處理，實(shí)現(xiàn)路由冗余備份功能。不僅從軟件上，而且從硬件上也支持等價(jià)路由是Cisco6509系列以太網(wǎng)路由交換機(jī)與業(yè)界類似產(chǎn)品相比顯著的優(yōu)點(diǎn)。以前部分路由交換機(jī)雖然也宣稱支持等價(jià)路由，但實(shí)際上只是從軟件上支持，對(duì)軟件轉(zhuǎn)發(fā)的報(bào)文可以使用等價(jià)路由，但對(duì)于由硬件直接轉(zhuǎn)發(fā)的報(bào)文，則只能從一條固定路徑轉(zhuǎn)發(fā)。而Cisco6509系列以太網(wǎng)路由交換機(jī)從硬件上也實(shí)現(xiàn)了等價(jià)路由的支持，真正實(shí)現(xiàn)了硬件三層轉(zhuǎn)發(fā)流量的負(fù)載分擔(dān)與路由冗余備份。Cisco6509系列以太網(wǎng)路由交換機(jī)最大支持4條等價(jià)路由，并且不論RIP、OSPF等路由協(xié)議產(chǎn)生的路由，還是靜態(tài)配置路由，不論是網(wǎng)段路由還是主機(jī)路由，甚至缺省路由，都可以支持等價(jià)路由。Cisco6509系列以太網(wǎng)路由交換機(jī)在支持等價(jià)路由、實(shí)現(xiàn)負(fù)載均衡的同時(shí)，還能很好地保證報(bào)文的有序性。通過數(shù)據(jù)流的目的IP地址和源IP地址進(jìn)行計(jì)算，Cisco6509系列以太網(wǎng)路由交換機(jī)可以保證同一個(gè)IP轉(zhuǎn)發(fā)流都從同一個(gè)路由路徑被轉(zhuǎn)發(fā)出去，從而保證了整個(gè)端到端網(wǎng)絡(luò)的路由報(bào)文轉(zhuǎn)發(fā)的有序性，避免了TCP全局同步等問題的發(fā)生。⑻策略路由（PBR）Cisco6509系列以太網(wǎng)路由交換機(jī)支持高性能的策略路由。策略路由（Policy-BasedRouting，簡(jiǎn)稱PBR）是目前越來(lái)越多的路由器或三層交換機(jī)設(shè)備正在支持的一項(xiàng)路由擴(kuò)展功能，支持策略路由的設(shè)備不僅能以報(bào)文的目的IP地址為依據(jù)來(lái)進(jìn)行路由選擇，還可以以報(bào)文的源IP地址、源MAC地址、報(bào)文大小、報(bào)文進(jìn)入的端口、報(bào)文類型、報(bào)文的VLAN屬性等等其它擴(kuò)展條件來(lái)選擇路由。通過合理的路由策略設(shè)計(jì)，可以實(shí)現(xiàn)網(wǎng)絡(luò)流量的負(fù)載均衡，充分利用路由設(shè)備，并實(shí)現(xiàn)路由、交換設(shè)備之間的冗余備份功能，同時(shí)提供各種可以區(qū)分的服務(wù)等級(jí)，為不同用戶提供不同的QoS服務(wù)。策略路由是設(shè)置在接收?qǐng)?bào)文接口而不是發(fā)送接口。Cisco6509系列以太網(wǎng)路由交換機(jī)可以很好地支持策略路由功能，并且可以將路由下一跳重定向到某個(gè)物理端口，或者某個(gè)下一跳IP地址。⑼VPNCisco6509系列以太網(wǎng)路由交換機(jī)支持VPN,VPN（虛擬專網(wǎng)）是利用公共網(wǎng)絡(luò)資源（如公用電信網(wǎng)）為客戶組建專用網(wǎng)的一種技術(shù)，它通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行封包和加密傳輸，在公網(wǎng)上傳輸私有數(shù)據(jù)，達(dá)到私有網(wǎng)絡(luò)的安全級(jí)別，從而利用公網(wǎng)構(gòu)筑專網(wǎng)（即VPN）。它是一種邏輯上的專用網(wǎng)絡(luò)，向用戶提供專用網(wǎng)絡(luò)所具有的功能，但本身卻不是一個(gè)獨(dú)立的物理網(wǎng)絡(luò)。網(wǎng)絡(luò)安全設(shè)計(jì)旭日集團(tuán)園區(qū)網(wǎng)有5000用戶，網(wǎng)絡(luò)規(guī)模比較大，并且和因特網(wǎng)存在連接。為了保障網(wǎng)絡(luò)系統(tǒng)的運(yùn)行安全，保護(hù)集團(tuán)的信息安全，必須進(jìn)行網(wǎng)絡(luò)安全方面的規(guī)劃和實(shí)施。一個(gè)網(wǎng)絡(luò)的安全，首先要有嚴(yán)格和有效執(zhí)行的管理制度。建議旭日集團(tuán)制定嚴(yán)格的網(wǎng)絡(luò)安全管理策略，并有效的執(zhí)行。其次，必須具有一定的技術(shù)手段來(lái)保障網(wǎng)絡(luò)的安全。技術(shù)和管理手段相結(jié)合實(shí)施，才能夠產(chǎn)生良好的效果。通過以下幾個(gè)技術(shù)方面的實(shí)施，可以在一定程度上保障網(wǎng)絡(luò)的安全：提高設(shè)備的物理安全性配置設(shè)備的口令進(jìn)行VTP域的認(rèn)證園區(qū)網(wǎng)用戶的接入控制應(yīng)用系統(tǒng)的訪問控制因特網(wǎng)的接入安全控制(1)提高設(shè)備的物理安全性設(shè)備的物理安全性是指運(yùn)行中的設(shè)備，未經(jīng)授權(quán)的人員不能直接接觸到。提高設(shè)備的物理安全性，是最基本的要求。通過將設(shè)備安置在獨(dú)立的設(shè)備間中，并增加門禁系統(tǒng)，確保只有授權(quán)的管理和維護(hù)人員才能接觸到物理設(shè)備。⑵配置設(shè)備的口令配置設(shè)備的口令，是防止非授權(quán)的人員更改網(wǎng)絡(luò)系統(tǒng)的配置的重要手段。要為所有的設(shè)備設(shè)置口令。要為每一臺(tái)設(shè)備配置CONSOLE口令，AUX口令，VTY口令，特權(quán)口令等在口令方面，需要制定管理制度并嚴(yán)格執(zhí)行?？诹罟芾碇贫劝诹畹脑O(shè)置，保管，更改，口令的強(qiáng)度等內(nèi)容。⑶進(jìn)行VTP域的認(rèn)證進(jìn)行VTP域的認(rèn)證，能夠保證局域網(wǎng)的VLAN等的安全。設(shè)置了口令之后，除非交換機(jī)設(shè)置了正確的口令，否則。新交換機(jī)不能自動(dòng)加入到已存在的管理域中。保證了局域網(wǎng)的運(yùn)行安全，可以避免因?yàn)閂LAN被錯(cuò)誤或者惡意的增加。刪除造成的運(yùn)行事故。⑷園區(qū)用戶的接入控制因?yàn)橐话愕陌踩胧┒疾皇轻槍?duì)網(wǎng)絡(luò)呢的用戶的，嚴(yán)格控制用戶的接入，可以避免非法用戶接入帶來(lái)的潛在的安全隱患。園區(qū)網(wǎng)系統(tǒng)建設(shè)驗(yàn)收完畢之后，確保交換機(jī)的所有用戶端口處于關(guān)閉狀態(tài)。只有用戶使用申請(qǐng)通過批準(zhǔn)之后網(wǎng)絡(luò)管理員才能將端口激活。⑸應(yīng)用系統(tǒng)的訪問限制可以根據(jù)旭日集團(tuán)的應(yīng)用需求，在匯聚層的多層交換機(jī)上實(shí)施訪問控制，限制園區(qū)網(wǎng)用戶對(duì)特定應(yīng)用系統(tǒng)的訪問，或者只允許特定的用戶訪問某些資源。⑹因特網(wǎng)的接入安全控制因特網(wǎng)的接入安全控制是非常重要的，不僅需要布置防火墻等安全設(shè)備，還要指定嚴(yán)格的安全策略。四．系統(tǒng)設(shè)計(jì)方案系統(tǒng)設(shè)計(jì)總體需求本項(xiàng)目的實(shí)施目的是在旭日集團(tuán)內(nèi)部建立穩(wěn)定，高效的辦公自動(dòng)化網(wǎng)絡(luò)，通過項(xiàng)目的實(shí)施，為所有員工配桌面PC，使所有員工能夠通過總部網(wǎng)絡(luò)進(jìn)入internet,從而提高所有員工的工作效率和加快企業(yè)內(nèi)部信息的傳遞。同時(shí)需要建立WEB服務(wù)器，用于在互聯(lián)網(wǎng)上發(fā)布企業(yè)信息。在總部和子公司均設(shè)立專用發(fā)服務(wù)器，使集團(tuán)內(nèi)所有員工能夠利用服務(wù)器方便的訪問公共文件資源，并能夠完成企業(yè)內(nèi)部郵件的收發(fā)。系統(tǒng)建立完成后，要求能滿足企業(yè)個(gè)方面的應(yīng)用需求，包括辦公自動(dòng)化，郵件收發(fā)，信息共享和發(fā)布，員工帳戶管理，系統(tǒng)安全管理等。系統(tǒng)設(shè)計(jì)原則隨著集團(tuán)近年來(lái)的高速發(fā)展，集團(tuán)的業(yè)務(wù)已經(jīng)涉及到各個(gè)商業(yè)領(lǐng)域，集團(tuán)及公司內(nèi)部的組織結(jié)構(gòu)也日益復(fù)雜，在本項(xiàng)目的設(shè)計(jì)實(shí)施過程中，要求工程實(shí)施方案在規(guī)劃系統(tǒng)設(shè)計(jì)時(shí)充分考慮到企業(yè)管理的需求，設(shè)計(jì)合理的系統(tǒng)管理結(jié)構(gòu)，能夠很大程度的降低集團(tuán)在系統(tǒng)管理上的成本，并能滿足各種商務(wù)工作的需求，具體設(shè)計(jì)應(yīng)依據(jù)以下原則：清晰的邏輯結(jié)構(gòu)：要求集團(tuán)范圍內(nèi)的系統(tǒng)管理結(jié)構(gòu)清晰，層次分明，能夠充分的與集團(tuán)的管理結(jié)構(gòu)相吻合。集團(tuán)總部和各個(gè)分公司應(yīng)是相互獨(dú)立的管理單元，各個(gè)單位在自己公司范圍內(nèi)實(shí)現(xiàn)用戶賬戶及網(wǎng)絡(luò)安全的管理。總部管理員有權(quán)管理各個(gè)子公司的系統(tǒng)便于管理：整個(gè)系統(tǒng)設(shè)計(jì)要便于網(wǎng)絡(luò)管理員的管理，在系統(tǒng)中提供便于管理員管理的各種有效方式。使管理員在任何一個(gè)位置均能對(duì)服務(wù)器進(jìn)行維護(hù)和管理。集團(tuán)總部及各分公司都有專職系統(tǒng)管理員，應(yīng)保障管理員只對(duì)本公司具有管理權(quán)限?？偛抗芾韱T對(duì)集團(tuán)所有系統(tǒng)有管理權(quán)限。簡(jiǎn)單的設(shè)計(jì)：在保障滿足需求的前提下，設(shè)計(jì)方案應(yīng)簡(jiǎn)單為佳，避免由于復(fù)雜的設(shè)計(jì)增加工程實(shí)施難度和增加集團(tuán)系統(tǒng)管理的復(fù)雜性。合理的用戶管理：所有的用戶采用統(tǒng)一的命名規(guī)則，每個(gè)單位對(duì)本單位員工帳戶進(jìn)行獨(dú)立的管理，并按不同部門管理賬號(hào)。系統(tǒng)設(shè)計(jì)方案4.3.1系統(tǒng)的構(gòu)價(jià)⑴根據(jù)集團(tuán)的管理結(jié)構(gòu)。本方案采用Windows系統(tǒng)提供的域模式來(lái)組織和管理全部系統(tǒng)資源，采用域的模式，不僅可以集中存儲(chǔ)網(wǎng)絡(luò)對(duì)象，并且管理簡(jiǎn)單，即實(shí)現(xiàn)了集中管理，又可以滿足不同公司自身的安全需求。方案中將集團(tuán)按公司單位劃分不同的模塊，集團(tuán)總部作為域林的根，每個(gè)子公司為一個(gè)獨(dú)立的域或者域樹，形成一個(gè)完整的樹狀結(jié)構(gòu)。采用這種結(jié)構(gòu)，可以將網(wǎng)絡(luò)中的全部資源，分散到每個(gè)域的域控制器中存儲(chǔ)，減少了每臺(tái)域控制器的信息存儲(chǔ)，從而減少?gòu)?fù)制流量和網(wǎng)絡(luò)對(duì)象的查詢時(shí)間。具體的實(shí)現(xiàn)如下圖：集團(tuán)總部根域北京分公司:子公司1：子公司2:上海分公司:集團(tuán)總部根域北京分公司:子公司1：子公司2:上海分公司:子公司3:子公司4:森林-_同一個(gè)站占八、、在此構(gòu)架設(shè)計(jì)中，旭日集團(tuán)需要自己的獨(dú)立的域名，所以在設(shè)計(jì)林中樹，武漢的4個(gè)子公司作為總部的子域，北京和上海分公司作為一單獨(dú)的域樹，由于所有的資源都位于園區(qū)網(wǎng)內(nèi)，具有高速的網(wǎng)絡(luò)連接,因此所有的域均在一個(gè)站點(diǎn)內(nèi)。即使域中的一臺(tái)域控制器發(fā)生故障，仍然能保障系統(tǒng)的正常運(yùn)行。并且提高了用戶身份驗(yàn)證的速度。操作主機(jī)分配：操作主機(jī)域中扮演著重要的角色，直接影響到域是否能夠正常工作，在Windows2003的域中，一共有五種操作主機(jī),分別是構(gòu)架主機(jī)，域名主機(jī)，RID主機(jī)，PDC仿真器，結(jié)構(gòu)主機(jī)。其中前面2種在林范圍內(nèi)起作用，后面3種在域范圍內(nèi)起作用，為了使用所有的操作主機(jī)更好的工作，保障正常的工作并且不產(chǎn)生大的復(fù)制流量，方案采用了Windows系統(tǒng)默認(rèn)的設(shè)置，根域中第一臺(tái)DC承擔(dān)了五種操作主機(jī)的角色，每個(gè)子域中的第一臺(tái)DC承擔(dān)了域范圍內(nèi)的三種操作主機(jī)角色。4.3.2系統(tǒng)管理設(shè)計(jì)在系統(tǒng)設(shè)計(jì)時(shí)包括三個(gè)部分，分別是0U，用戶及組的設(shè)計(jì)，為了更好的滿足集團(tuán)的需要，便于系統(tǒng)管理員方便管理企業(yè)中的所有用戶，系統(tǒng)管理結(jié)構(gòu)與集團(tuán)的管理結(jié)構(gòu)相匹配，方案中采用了如下所述的設(shè)計(jì)。OU的設(shè)計(jì)集團(tuán)的0U設(shè)計(jì)目的是為了使用用戶管理更有效率，結(jié)構(gòu)更加清晰，并能夠使系統(tǒng)的管理結(jié)構(gòu)與集團(tuán)的商業(yè)模型相匹配。在本方案中按部門劃分0U的方法，將每個(gè)公司中以部門為單位創(chuàng)建0U，并在部門OU中保存該部門的用戶帳戶，

計(jì)算機(jī)帳戶及組采用這種設(shè)計(jì)的方法，可以在系統(tǒng)管理中清楚的體現(xiàn)公司的管理結(jié)構(gòu)，一般情況下，一個(gè)部門內(nèi)部中的用戶常常有相似的安全需求，利用這樣的設(shè)計(jì)方法，也可以方便的將安全策略應(yīng)用到某個(gè)部門。擁護(hù)管理為了規(guī)范用戶帳戶的管理，系統(tǒng)中所有的用戶采用統(tǒng)一的命名規(guī)范，每個(gè)用戶在網(wǎng)絡(luò)中擁有唯一的登陸名。用戶帳戶在所屬的部門的0U中創(chuàng)建。組的管理為了滿足集團(tuán)用戶管理的需求，更好的在網(wǎng)絡(luò)中管理用戶權(quán)限的分配，使系統(tǒng)的管理得到最大的簡(jiǎn)化，方案中采用AGDLP策略及AGUDLP策略。在每個(gè)域中創(chuàng)建全局組，用與組織本域的帳戶，在沒個(gè)域中創(chuàng)建域本地組，用于完成權(quán)限的指派。在本域內(nèi)的權(quán)限的分配，可以使用AGDLP策略，在域間的權(quán)限分配，使得AGDLP策略，依次將用戶加入全局組，將全局組加入通用組，在將通用組加入域本地組，最后可以根據(jù)需要將權(quán)限授予指定的域本地組，采用這樣的方式，不僅可以使用戶的組織和權(quán)限分配簡(jiǎn)單，也可以減少域間的復(fù)制流量，從而提高系統(tǒng)的性能。如圖所示：4.3.3系統(tǒng)的安全設(shè)計(jì)在設(shè)計(jì)方案中，安全的設(shè)計(jì)主要分2個(gè)部分，首先是ISAServer的應(yīng)用，通過ISAServer的配置，建立軟件防火墻，保護(hù)集團(tuán)內(nèi)部網(wǎng)絡(luò)不受外部用戶的攻擊，同時(shí)利用ISAServer提供的網(wǎng)站過濾功能和服務(wù)器發(fā)布功能，對(duì)企業(yè)內(nèi)部用戶的上網(wǎng)行為進(jìn)行規(guī)范，并能保障服務(wù)器的安全使用。其次，在方案設(shè)計(jì)中，充分應(yīng)用Window系統(tǒng)提供的組策略功能，利用組策略，可以在每個(gè)公司的域中設(shè)計(jì)安全策略。防止用戶進(jìn)行非授權(quán)的訪問，保護(hù)用戶在工作環(huán)境不受破壞。具體的設(shè)計(jì)方案如下：ISAServer：ISAServer是微軟公司出品的軟件防火墻代理服務(wù)器產(chǎn)品，它不僅可以起到代理服務(wù)器的緩存作用，也能實(shí)現(xiàn)防火墻的功能，通過軟件防火墻上設(shè)置過濾規(guī)則，可以控制內(nèi)部用戶對(duì)網(wǎng)站的訪問，同時(shí)利用其提供的服務(wù)器發(fā)布功能，也可以將企業(yè)內(nèi)部的服務(wù)器發(fā)布到Internet上,提供互聯(lián)網(wǎng)的訪問，在本方案的設(shè)計(jì)中，主要利用了網(wǎng)站過濾和服務(wù)器發(fā)布的功能，在集團(tuán)中心即房安裝和配置ISA服務(wù)器，繼承防火墻功能和代理服務(wù)器的功能，將集團(tuán)總部及子公司的WEB服務(wù)器及MAIL服務(wù)器發(fā)布到互聯(lián)網(wǎng)上。集團(tuán)中所有的客戶端做為ISA的客戶端，所有的互聯(lián)網(wǎng)的訪問均通過ISA服務(wù)器轉(zhuǎn)發(fā)，這樣，就可以在ISA服務(wù)器上對(duì)所有網(wǎng)絡(luò)流量進(jìn)行監(jiān)控并對(duì)實(shí)現(xiàn)網(wǎng)絡(luò)訪問的過濾。具體部署如

圖:ISAClientISAClient防火墻功能：ISA服務(wù)器位于企業(yè)網(wǎng)絡(luò)和外網(wǎng)之間，采用三網(wǎng)卡分別連接內(nèi)網(wǎng)和外網(wǎng)和DZM區(qū)，充分利用防火墻的角色，并利用網(wǎng)站和內(nèi)容規(guī)則來(lái)限制用戶能夠訪問的網(wǎng)站服務(wù)器發(fā)布：利用ISA服務(wù)器將企業(yè)中的郵件和WEB服務(wù)器發(fā)布到互聯(lián)網(wǎng)上，保證外部用戶可以訪問公司的WEB服務(wù)器，并將公司用戶可以與外部客戶利用郵件交換信息?？蛻舳耍涸谒杏脩粲?jì)算機(jī)上安裝ISA客戶端軟件，并配置瀏覽器使用ISAServer作為代理服務(wù)器上網(wǎng)。安全策略：在Windows系統(tǒng)中的域模式下，安全策略是保護(hù)系統(tǒng)及用戶在工作環(huán)境不被破壞的重要工具，在本方案中采用了組策略這個(gè)工具對(duì)全部系統(tǒng)提供安全保護(hù)，由于集團(tuán)各個(gè)子公司采用獨(dú)立的管理模式，所以在每個(gè)域中單獨(dú)設(shè)置組策略，并使組策略應(yīng)用到每個(gè)域中的用戶和計(jì)算機(jī)。各個(gè)子公司的系統(tǒng)管理員可以獨(dú)立的管理子公司的域，并可以在以后修改和編輯組策略，以適應(yīng)公司未來(lái)的需求。在本方案中,根據(jù)集團(tuán)的目前的需求，建立了基本的組策略⑴密碼長(zhǎng)度最小值為7⑵密碼最長(zhǎng)存留期為30天⑶密碼過期期限為50天⑷帳戶鎖定閥值為5次無(wú)效登陸(5)啟動(dòng)密碼必須符合復(fù)雜性需求策略五、Windows服務(wù)器解決方案.WEB服務(wù)器微軟WindowsServer2003中的IIS為用戶提供了集成的、可靠的、可擴(kuò)展的、安全的及可管理的內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)和互聯(lián)網(wǎng)Web服務(wù)器解決方案。IIS經(jīng)過改善的結(jié)構(gòu)可以完全滿足全球客戶的需求。優(yōu)點(diǎn)IIS和WindowsServer2003在網(wǎng)絡(luò)應(yīng)用服務(wù)器的管理、可

用性、可靠性、安全性、性能與可擴(kuò)展性方面提供了許多新的功能。IIS同樣增強(qiáng)了網(wǎng)絡(luò)應(yīng)用的開發(fā)與國(guó)際性支持。IIS和WindowsServer2003提供了最可靠的、高效的、連接的、完整的網(wǎng)絡(luò)服務(wù)器解決方案。特點(diǎn)描述可靠性與可伸縮性IIS提供了更智能的、更可靠的Web服務(wù)器環(huán)境，新的環(huán)境包括應(yīng)用程序健康監(jiān)測(cè)、應(yīng)用程序自動(dòng)地循環(huán)利用。其可靠的性能提高了網(wǎng)絡(luò)服務(wù)的可用性并且節(jié)省了管理員用于重新啟動(dòng)網(wǎng)絡(luò)服務(wù)所花費(fèi)的時(shí)間，IIS將提供最佳的擴(kuò)展性和強(qiáng)大的性能從而充分發(fā)揮每一臺(tái)Web服務(wù)器的最大功效。更安全、易于管理IIS在安全與管理方面做出了重大的改進(jìn)。安全性能的增強(qiáng)包括技術(shù)與需求處理變化兩方面。另外，增強(qiáng)了在安全方面的認(rèn)證和授權(quán)。IIS的默認(rèn)安裝是被全面鎖定的，這意味著默認(rèn)系統(tǒng)的安全系數(shù)就被設(shè)為最大，它提供的增強(qiáng)的管理性能改善了XMLmetabase的管理及新的命令行工具。服務(wù)器合并IIS是一個(gè)具有高伸縮性的Web服務(wù)器，它為Web服務(wù)器的合并提供了新的機(jī)遇。通過將可靠的體系結(jié)構(gòu)和內(nèi)核模式驅(qū)動(dòng)程序完美結(jié)合在一起，IIS允許您在單臺(tái)服務(wù)器上托管更多的應(yīng)用程序。服務(wù)器合并還可以降低企業(yè)與人工、硬件以及站點(diǎn)管理相關(guān)的成本。增強(qiáng)的開通過WindowsServer2003與IIS支持的先

發(fā)與國(guó)際化支持進(jìn)功能如內(nèi)核模式緩存，應(yīng)用程序開發(fā)人員將從WindowsServer2003與IIS單一的、完整的應(yīng)用平臺(tái)環(huán)境中受益。基于IIS，WindowsServer2003為開發(fā)者提供高標(biāo)準(zhǔn)的附加功能，包括快速應(yīng)用程序開發(fā)以及廣泛的語(yǔ)言選擇，同時(shí)也提供了國(guó)際化支持和支持最新的Web標(biāo)準(zhǔn)。更高的安全性IIS顯著改進(jìn)了Web服務(wù)器的安全性。IIS在默認(rèn)情況下處于鎖定狀態(tài)，從而減少了暴露在攻擊者面前的攻擊表面積。此外，IIS的身份驗(yàn)證和授權(quán)功能也得到了改進(jìn)。IIS還提供了更多更強(qiáng)大的管理功能，改善了對(duì)XML元數(shù)據(jù)庫(kù)(metabase)的管理，并且提供了新的命令行工具。IIS在降低系統(tǒng)管理成本的同時(shí)，大大提高了信息系統(tǒng)的安全性。Web服務(wù)器更高的可靠性和可用性IIS已經(jīng)經(jīng)過了廣泛的重新設(shè)計(jì)，以提高Web服務(wù)器的可靠性和可用性。新的容錯(cuò)進(jìn)程架構(gòu)和其它功能特性可以幫助用戶減少不必要的停機(jī)時(shí)間，并提高應(yīng)用程序的可用性。功能特性描述容錯(cuò)進(jìn)程架構(gòu)IIS的容錯(cuò)式進(jìn)程架構(gòu)將Web站點(diǎn)和應(yīng)用程序隔離到一個(gè)自包含的單元之中(又稱應(yīng)用程序池)。應(yīng)用程序池為管理員管理一組Web站點(diǎn)和應(yīng)用程序提供了便利，同時(shí)提高了系統(tǒng)的可靠性，因?yàn)橐粋€(gè)應(yīng)用程序池中的錯(cuò)誤不會(huì)引起另外一個(gè)應(yīng)用程序池或者服務(wù)器本身發(fā)生故障。

健康狀況監(jiān)視IIS定期檢查應(yīng)用程序池的狀態(tài)，并自動(dòng)重新啟動(dòng)應(yīng)用程序池中發(fā)生故障的Web站點(diǎn)或應(yīng)用程序，從而提高了應(yīng)用程序的可用性。通過自動(dòng)禁用在短時(shí)間內(nèi)頻繁發(fā)生故障的Web站點(diǎn)和應(yīng)用程序，IIS可以保護(hù)服務(wù)器和其它應(yīng)用程序的安全。自動(dòng)進(jìn)程回收IIS可以根據(jù)一組靈活的標(biāo)準(zhǔn)和條件——例如CPU利用率和內(nèi)存占用情況，自動(dòng)停止和重新啟動(dòng)發(fā)生故障的Web站點(diǎn)和應(yīng)用程序，同時(shí)將請(qǐng)求放入隊(duì)列。IIS還可以在回收一個(gè)工作進(jìn)程時(shí)對(duì)客戶機(jī)的TCP/IP連接加以維護(hù)，將Web服務(wù)客戶端應(yīng)用程序與后端不穩(wěn)定的Web應(yīng)用程序隔離開來(lái)?？焖俚墓收媳Ｗo(hù)如果某個(gè)應(yīng)用程序在短時(shí)間內(nèi)頻繁發(fā)生故障，IIS將自動(dòng)禁用該程序，并且向所有新發(fā)出和排入隊(duì)列的針對(duì)該應(yīng)用程序的請(qǐng)求返回一個(gè)“503服務(wù)不可用”錯(cuò)誤信息。例如，此外，還可以觸發(fā)某些定制操作，例如觸發(fā)一個(gè)調(diào)試操作或者向管理員發(fā)出通知?？焖俟收媳Ｗo(hù)可以保護(hù)Web服務(wù)器免遭拒絕服務(wù)攻擊。更加輕松的服務(wù)器管理借助IIS，Web基礎(chǔ)結(jié)構(gòu)的管理工作變得比以往更加輕松和靈活，從而為企業(yè)節(jié)約IT管理成本帶來(lái)了新的機(jī)遇。功能特性描述基于XML的配置文件IIS中XML格式的純文本元數(shù)據(jù)庫(kù)(metabase)為發(fā)生故障的服務(wù)器帶來(lái)了經(jīng)過改進(jìn)的備份和恢復(fù)功能。此外，它還提供了得

到改進(jìn)的故障處理和元數(shù)據(jù)庫(kù)損壞恢復(fù)。使用常見的文本編輯工具對(duì)其進(jìn)行直接編輯提供了更為出色的可管理性。運(yùn)行程序的同時(shí)對(duì)其進(jìn)行編輯在服務(wù)器保持運(yùn)行的同時(shí)，IIS允許管理員對(duì)服務(wù)器配置做出各種修改。例如，管理員可以使用該特性添加一個(gè)新的站點(diǎn)，創(chuàng)建虛擬目錄，或者修改應(yīng)用程序池和工作進(jìn)程的配置——所有這些都是在IIS繼續(xù)處理請(qǐng)求的同時(shí)發(fā)生的，并且無(wú)需進(jìn)行重新編譯或者重新啟動(dòng)服務(wù)器?；诿钚泻湍_本的管理IIS的管理員可以使用WindowsServer2003的命令行工具完成很多常見的管理工作。利用一個(gè)簡(jiǎn)單的命令，管理員即可管理多個(gè)本地或遠(yuǎn)程計(jì)算機(jī)。IIS還提供了一個(gè)完整的腳本環(huán)境，以在不使用圖形用戶界面的情況下，從命令行自動(dòng)完成多種常見的管理任務(wù)。對(duì)WMI的支持IIS全面支持WindowsManagementInstrumentation(Windows管理規(guī)范，WMI)，Web管理員可以通過它獲取重要的企業(yè)管理數(shù)據(jù)，例如性能計(jì)數(shù)器和配置文件。WMI的接口從本質(zhì)上說類似于繼續(xù)享受支持的Micros。ftActiveDirectory?ServiceInterfaces(ADSI)，可以在管理腳本中使用，并且可以用來(lái)修改基于XML的配置元數(shù)據(jù)庫(kù)。服務(wù)器合并和先前版本相比，IIS的性能已經(jīng)得到了極大的提高，現(xiàn)在，單臺(tái)服務(wù)器即可托管更多的站點(diǎn)和應(yīng)用程序。

功能特性描述站點(diǎn)伸縮性IIS改進(jìn)了操作系統(tǒng)使用內(nèi)部資源的方法。例如，在初始化過程中，IIS不會(huì)預(yù)先分配資源。通過運(yùn)行IIS，您可以在單臺(tái)服務(wù)器上管理更多的站點(diǎn)和并發(fā)執(zhí)行更多的工作進(jìn)程。和IIS的先前版本相比，服務(wù)器的啟動(dòng)和關(guān)閉過程更加快捷。所有這些改進(jìn)都使得IIs能夠以更大的伸縮性對(duì)站點(diǎn)進(jìn)行管理.新的內(nèi)核模式驅(qū)動(dòng)程序，WindowsServer2003引入了一種新的內(nèi)核模式驅(qū)動(dòng)程序，即HTTP協(xié)議堆棧()，并使用它進(jìn)行HTTP的解析和緩存，從而大大提高了系統(tǒng)的伸縮性和性能表現(xiàn)。IIS便建立在的基礎(chǔ)之上，并且針對(duì)提高Web服務(wù)器的吞吐量這一目的進(jìn)行了特別的優(yōu)化和調(diào)整。Web園IIS的工作進(jìn)程隔離模式還允許多個(gè)工作進(jìn)程被配置到針對(duì)某個(gè)給定應(yīng)用程序池的服務(wù)請(qǐng)求上，這種配置又被稱作Web園(Webgarden)。處理器關(guān)聯(lián)如果設(shè)置了處理器關(guān)聯(lián)，iis的工作進(jìn)程便可以運(yùn)行在指定的微處理器或CPU上。處理器關(guān)聯(lián)還可以和運(yùn)行在多處理器計(jì)算機(jī)之上的Web園配合使用，在這些計(jì)算機(jī)上，CPU群集專門共指定的應(yīng)用程序池使用。更快捷的應(yīng)用程序開發(fā)通過提供一組全面完善的集成化應(yīng)用程序服務(wù)和領(lǐng)先于業(yè)界的工具，WindowsServer2003應(yīng)用程序環(huán)境大大改善了開發(fā)人員的工作效率和生產(chǎn)力。

和IIs的集成通過將和IIS集成在一起，WindowsServer2003提供了更為美妙的開發(fā)體驗(yàn)。WindowsServer2003的各種增強(qiáng)建立在IIS的基礎(chǔ)之上，為開發(fā)人員提供了高水平的功能特性，例如快速應(yīng)用程序開發(fā)（RAD）和廣泛靈活的語(yǔ)言選擇。在WindowsServer2003中，使用和.NETFramework的得到了進(jìn)一步優(yōu)化，因?yàn)橛脕?lái)處理請(qǐng)求的體系架構(gòu)與和IIs的集成Micros。Micros。ft.NETFrameworkMicros。ft.NETFramework允許開發(fā)人員在和其它技術(shù)的幫助下創(chuàng)建優(yōu)秀的Web應(yīng)用程序。此外，它還可以幫助他們開發(fā)與他們目前正在設(shè)計(jì)和開發(fā)的應(yīng)用程序完全相同的程序。.NETFramework和語(yǔ)言無(wú)關(guān)；實(shí)際上您可以使用任何語(yǔ)言為它開發(fā)程序。開發(fā)人員可以使用各種語(yǔ)言構(gòu)建基于.NET的應(yīng)用程序和服務(wù)，包括：Mier，osoft:VisualC++?.NET、VisualBas;ie?.NET、JScript?以及VisualC#.NET。XMLWeb服務(wù)IIS提供了一個(gè)高性能的XMLWeb服務(wù)平臺(tái)。XMLWeb服務(wù)為用戶遠(yuǎn)程訪問服務(wù)器功能提供了手段。通過使用Web服務(wù)，企業(yè)可以將編程接口暴露給他們的數(shù)據(jù)或業(yè)務(wù)邏輯，也可以通過客戶端和服務(wù)器應(yīng)用程序獲得和操縱這些數(shù)據(jù)和業(yè)務(wù)邏輯?？缭浇M織地理邊跨越組織的地理邊界使用各種語(yǔ)言進(jìn)行界的信息共享信息共享正在經(jīng)濟(jì)全球化浪潮中發(fā)揮越來(lái)越大的作用。過去，HTTP協(xié)議的非Unicode結(jié)構(gòu)將開發(fā)人員限制在系統(tǒng)代碼頁(yè)上?，F(xiàn)在，利用經(jīng)過UTF-8(UCSTransformationFormat8)編碼的URL,Unicode成為了可能，它帶來(lái)的好處之一便是：人們可以支持更復(fù)雜的語(yǔ)言了，例如中文。IIS允許用戶使用Unicode訪問服務(wù)器變量。此外，它還添加了新的服務(wù)器支持函數(shù)，允許開發(fā)人員訪問以Unicode形式表述的URL地址，因此改善了產(chǎn)品的國(guó)際化支持能力。更高的安全性IIS遠(yuǎn)比IIS4x或IIS5x安全，它擁有很多新的功能特性，能夠大大提高您的Web基礎(chǔ)結(jié)構(gòu)的安全性。此外，在默認(rèn)狀況下，IIS即處于“鎖定”狀態(tài)，同時(shí)具有最為可靠的超時(shí)設(shè)置和內(nèi)容限制。功能特性描述鎖定服務(wù)器IIS在安全性方面進(jìn)行了很大的加強(qiáng)。為了減少系統(tǒng)向外界暴露的攻擊表面積，IIS默認(rèn)情況下不會(huì)安裝在WindowsServer2003之中——管理員必須明確地選擇該組件并安裝它。IIS缺省即處于鎖定狀態(tài)下，并僅僅能夠?yàn)橛脩籼峁╈o態(tài)內(nèi)容。通過使用Web服務(wù)擴(kuò)展節(jié)點(diǎn)，Web站點(diǎn)的管理員可以根據(jù)組織的特殊需要，啟用或禁用某些IIS功能。默認(rèn)情況下的IIS安裝不會(huì)編譯、執(zhí)行或者提交任何動(dòng)態(tài)頁(yè)面。為了向用戶提供這些文件，您必須在We；b服務(wù)擴(kuò)展列表中添加每個(gè)允許提交的文件擴(kuò)展名。這種做法可以防止某些人調(diào)用-一一些不夠安全的動(dòng)態(tài)頁(yè)面。Web服務(wù)擴(kuò)展列表默認(rèn)的低所有IIS的工作進(jìn)程默認(rèn)情況下都使用“網(wǎng)權(quán)限賬戶絡(luò)服務(wù)”用戶賬戶運(yùn)行，這個(gè)在WindowsServer2003中新增加的賬戶類型是一種擁有有限操作系統(tǒng)權(quán)限的內(nèi)置賬戶。所有的ASP內(nèi)置功能都使用低權(quán)限賬戶(匿名用戶)在系統(tǒng)中運(yùn)行。IIS對(duì)WindowsServer2003內(nèi)置的新的授權(quán)框架進(jìn)行了進(jìn)一步的擴(kuò)展。此外，Web應(yīng)用程序可以使用URL授權(quán)以及授權(quán)管理器(AuthorizationManager)——對(duì)用戶的訪問加以控制?，F(xiàn)在，受約束的委派授權(quán)使得域管理員只能向特定的計(jì)算機(jī)和服務(wù)進(jìn)行委派操作。web應(yīng)用服務(wù)器集群系統(tǒng)，是由一群同時(shí)運(yùn)行同一個(gè)web應(yīng)用的服務(wù)器組成的集群系統(tǒng)，在外界看來(lái)，就像是一個(gè)服務(wù)器一樣。為了均衡集群服務(wù)器的負(fù)載，達(dá)到優(yōu)化系統(tǒng)性能的目的，集群服務(wù)器將眾多的訪問請(qǐng)求，分散到系統(tǒng)中的不同節(jié)點(diǎn)進(jìn)行處理。從而實(shí)現(xiàn)了更高的有效性和穩(wěn)定性，而這也正是基于Web的企業(yè)應(yīng)用所必須具備的特性。高可靠性可以看作為系統(tǒng)的一種冗余設(shè)定。對(duì)于一個(gè)特定的請(qǐng)求，如果所申請(qǐng)的服務(wù)器不能進(jìn)行處理的話，那么其他的服務(wù)器能不能對(duì)之進(jìn)行有效的處理呢？對(duì)于一個(gè)高效的系統(tǒng)，如果一個(gè)Web服務(wù)器失敗的話，其他的服務(wù)器可以馬上取代它的位置，對(duì)所申請(qǐng)的請(qǐng)求進(jìn)行處理，而且這一過程對(duì)用戶來(lái)說，要盡可能的透明，使用戶察覺不到！穩(wěn)定性決定了應(yīng)用程序能否支持不斷增長(zhǎng)的用戶請(qǐng)求數(shù)量，它是應(yīng)用程序自身的一種能力。穩(wěn)定性是影響系統(tǒng)性能的眾多因素的一種有效的測(cè)量手段，包括機(jī)群系統(tǒng)所能支持的同時(shí)訪問系統(tǒng)的最大用戶數(shù)目以及處理一個(gè)請(qǐng)求所需要的時(shí)間。在現(xiàn)有眾多的均衡服務(wù)器負(fù)載的方法中，廣泛研究并使用的是以下兩個(gè)方法：DNS負(fù)載平衡的方法RR-D