1、摘要計(jì)算機(jī)網(wǎng)絡(luò)自從20世紀(jì)60年代未誕生以來，僅在幾十年間的時(shí)間里，即以異常迅猛的速度發(fā)展起來，被越來越廣泛地應(yīng)用于政治、經(jīng)濟(jì)、軍事、生產(chǎn)及科學(xué)技術(shù)的各個(gè)領(lǐng)域。在當(dāng)今社會(huì)及未來，誰更快獲得信息資源，誰就能更有效的使用信息資源，誰就能在各種競爭上占據(jù)主導(dǎo)地位，隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展和寬帶接入的普及，各種網(wǎng)絡(luò)應(yīng)用將層出不窮，計(jì)算機(jī)在社會(huì)各個(gè)領(lǐng)域的應(yīng)用和影響也早已滲透到了人們工作和生活的各個(gè)方面。目前在中國國民經(jīng)濟(jì)和社會(huì)發(fā)展中一直占據(jù)至關(guān)重要的戰(zhàn)略地位的中小型企業(yè)，由于對(duì)網(wǎng)絡(luò)技術(shù)的不了解，通常廠商一般都會(huì)采用價(jià)格最貴化、設(shè)備最好化、高度冗余化去做項(xiàng)目的設(shè)計(jì)，整體的方案將以追求利潤為目的，設(shè)計(jì)的方案經(jīng)常

2、出現(xiàn)大量設(shè)備閑置，而企業(yè)出于需求與成本控制等各種因素的綜合考慮，希望方案能滿足需求的同時(shí)控制成本，同時(shí)盡量做到冗余且提供投資保護(hù)，方便后續(xù)的需求擴(kuò)展，廠商提供的方案與企業(yè)的需求就此產(chǎn)生了矛盾，如何設(shè)計(jì)一個(gè)性價(jià)比更高、更適合于中小型企業(yè)的網(wǎng)絡(luò)方案是勢在必行的課題，此方案的設(shè)計(jì)使所有的中小型企業(yè)在當(dāng)今及未來的網(wǎng)絡(luò)建設(shè)有著得要的指導(dǎo)及參考意義，也是本次畢業(yè)設(shè)計(jì)方案的主要目的與價(jià)值。本文通過東莞某企業(yè)的具體案例來說明中小型企業(yè)資金能力及對(duì)企業(yè)網(wǎng)絡(luò)的需求進(jìn)行分析，設(shè)計(jì)適用于中小型企業(yè)的組網(wǎng)方案。組建一個(gè)基本能覆蓋整個(gè)企業(yè)園區(qū)、廣域網(wǎng)接入、遠(yuǎn)程訪問、數(shù)據(jù)服務(wù)器群等范圍的互聯(lián)網(wǎng)絡(luò)，將企業(yè)內(nèi)各種計(jì)算機(jī)、服務(wù)器

3、、終端設(shè)備連接起來，并通過一定接口連接到廣域網(wǎng)。關(guān)鍵字：網(wǎng)絡(luò)中小型企業(yè)組網(wǎng)路由交換局域網(wǎng)廣域網(wǎng)1 緒論11.1 從企業(yè)對(duì)信息的需求來看11.2 從企業(yè)管理和業(yè)務(wù)發(fā)展的角度出發(fā)12 企業(yè)建網(wǎng)涉及的主要網(wǎng)絡(luò)技術(shù)介紹32.1 CISCO企業(yè)網(wǎng)絡(luò)概述32.1.1 CISCOHk架構(gòu)32.1.2 CISCOS業(yè)復(fù)合網(wǎng)絡(luò)模型42.2 園區(qū)網(wǎng)絡(luò)技術(shù)42.2.1 路由技術(shù)42.2.2 交換技術(shù)52.2.3 遠(yuǎn)程訪問技術(shù)92.2.4 熱備份路由協(xié)議（HSRP102.3 本章小結(jié)113 中小企業(yè)網(wǎng)絡(luò)的建設(shè)目標(biāo)123.1 建設(shè)目標(biāo)123.2 設(shè)計(jì)原則123.3 本章小結(jié)134 中小企業(yè)網(wǎng)絡(luò)需求分析144.1 目標(biāo)需

4、求144.2 應(yīng)用需求144.2.1 息信流分析144.2.2 應(yīng)用業(yè)務(wù)分析144.3 業(yè)務(wù)需求154.4 外部需求154.5 用戶需求調(diào)查164.6 網(wǎng)絡(luò)需求分析164.7 本章小結(jié)175 企業(yè)網(wǎng)絡(luò)的總體設(shè)計(jì)185.1 網(wǎng)絡(luò)拓樸設(shè)計(jì)185.2 IP編址方案及VLAN劃分205.3 核心層設(shè)計(jì)及設(shè)備選型215.3.1 園區(qū)主干交換機(jī)215.3.2 出口路由器225.3.3 服務(wù)器群組225.4 接入層設(shè)計(jì)及設(shè)備選型225.5 安全體系設(shè)計(jì)及設(shè)備選型235.5.1 物理層安全235.5.2 系統(tǒng)安全245.5.3 網(wǎng)絡(luò)層安全245.5.4 應(yīng)用層安全245.5.5 管理層安全245.6 設(shè)計(jì)方案

5、優(yōu)勢255.6.1 高帶寬、高性能255.6.2 網(wǎng)絡(luò)管理255.6.3 完善的安全機(jī)制265.6.4 易維護(hù)265.6.5 高可靠性275.6.6 低成本、可擴(kuò)展性強(qiáng)275.7 本章小結(jié)27結(jié)束語28參考文獻(xiàn)291緒論隨著Internet在全球的發(fā)展與普及，企業(yè)網(wǎng)絡(luò)技術(shù)的發(fā)展以及企業(yè)生存和發(fā)展需要促成了企業(yè)網(wǎng)的形成。自20世紀(jì)90年代以來，企業(yè)網(wǎng)絡(luò)已經(jīng)成為連接企業(yè)、事業(yè)單位各部門與外界交流信息的重要基礎(chǔ)設(shè)施?；诰钟蚓W(wǎng)和廣域網(wǎng)技術(shù)發(fā)展起來的企業(yè)網(wǎng)絡(luò)技術(shù)得到迅速的發(fā)展。為了適應(yīng)網(wǎng)絡(luò)經(jīng)濟(jì)的飛速發(fā)展，擴(kuò)大企業(yè)經(jīng)營的規(guī)模和范圍，方便企業(yè)內(nèi)部和企業(yè)之間的交流，節(jié)省辦公開銷，提高企業(yè)的管理水平，企業(yè)發(fā)展

6、Intranet（企業(yè)內(nèi)部網(wǎng)）已經(jīng)是刻不容緩。另外，我國中小型數(shù)量已經(jīng)超過2000萬家以上，在國民經(jīng)濟(jì)中，60%的總產(chǎn)來自于中小企業(yè)，并為社會(huì)提供了60%以上的就業(yè)機(jī)會(huì)。然而，在中國國民經(jīng)濟(jì)和社會(huì)發(fā)展中一直占據(jù)著至關(guān)重要的戰(zhàn)略地位的小中企業(yè)，具信息化程度卻比較落后。今后如何應(yīng)對(duì)瞬息萬變、競爭激烈的國內(nèi)外市場環(huán)境以及如何利用網(wǎng)絡(luò)技術(shù)迅速提升企業(yè)核心競爭力就是成為企業(yè)成敗的關(guān)鍵所在。1.1 從企業(yè)對(duì)信息的需求來看面對(duì)著激烈的市場競爭，公司對(duì)信息的收集、傳輸、加工、存儲(chǔ)、查詢、預(yù)測、決策及即時(shí)的交流、溝通等工作量越來越大，原來的電腦出于網(wǎng)絡(luò)技術(shù)或是安全性等因素考慮，一直只是停留在單機(jī)工作的模式，各部

7、門及科室間的數(shù)據(jù)不能實(shí)現(xiàn)共享，致使工作效率大大下降，純粹手工管理方式和手段已經(jīng)不能適應(yīng)企業(yè)的需要，這將嚴(yán)重妨礙公司的生存和發(fā)展。社會(huì)進(jìn)行要求企業(yè)必須改變現(xiàn)有的落后管理體制、管理方法和手段，建立現(xiàn)代企業(yè)的新形象，建立本企業(yè)的辦公自動(dòng)化管理信息系統(tǒng)（即公司局域網(wǎng)），以提高管理水平，增加經(jīng)濟(jì)和社會(huì)效益。1.2 從企業(yè)管理和業(yè)務(wù)發(fā)展的角度出發(fā)通過網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)資源的共用來改善企業(yè)內(nèi)部和企業(yè)與客戶之間的信息交流方式，滿足業(yè)務(wù)部門對(duì)信息存儲(chǔ)、檢索、處理和共享需求，使企業(yè)能迅速掌握瞬息萬變的市場行情，使企業(yè)信息更有效地發(fā)揮效力；提高辦公自動(dòng)化水平，提高工作效率，降低管理成本，提高企業(yè)在市場上的競爭力；通過對(duì)每項(xiàng)

8、業(yè)務(wù)的跟蹤，企業(yè)管理者可以了解業(yè)務(wù)進(jìn)展情況，掌握第一手資料，及時(shí)掌握市場動(dòng)態(tài)，為企業(yè)提供投資導(dǎo)向，為領(lǐng)導(dǎo)決策提供數(shù)據(jù)支持；通過企業(yè)內(nèi)部網(wǎng)建立，企業(yè)各業(yè)務(wù)部門可以有更方便的交流溝通，管理者可隨時(shí)了解每一位員工的情況，并加強(qiáng)以企業(yè)人力資源合理調(diào)度，切實(shí)做到系統(tǒng)的集成化設(shè)計(jì)，使原有的設(shè)備、投資得到有效利用。因此，有必要建設(shè)好中小型企業(yè)建設(shè)信息網(wǎng)絡(luò)，以達(dá)到最大限度地實(shí)現(xiàn)信息資源共享，并使用電子信息的傳遞取代紙面文件、材料的傳送，逐步實(shí)現(xiàn)無紙辦公，改變傳統(tǒng)的工作方式，進(jìn)一步提高工作效率。同時(shí)，利用各種業(yè)務(wù)信息的綜合分析，為各級(jí)領(lǐng)導(dǎo)提供決策支持，更好地組織生產(chǎn)和經(jīng)營。2企業(yè)建網(wǎng)涉及的主要網(wǎng)絡(luò)技術(shù)介紹談到網(wǎng)

9、絡(luò)技術(shù)，我們不能不想到全球行業(yè)的龍頭老大一CISCO（思科）,它是1984年由斯坦福大學(xué)的一對(duì)教授夫婦創(chuàng)辦，自1986年生產(chǎn)第一臺(tái)路由器開始，讓不同類型的網(wǎng)絡(luò)可以可靠地互相聯(lián)接并實(shí)現(xiàn)通信，從此掀起了一場通信革命，思科公司每年投入40多億美元進(jìn)行技術(shù)研發(fā)，過去20多年，思科幾乎成為了“互聯(lián)網(wǎng)、網(wǎng)絡(luò)應(yīng)用、生產(chǎn)力”的同義詞，思科公司在其進(jìn)入的每一個(gè)領(lǐng)域都成為市場的領(lǐng)導(dǎo)者，同時(shí)，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展與成熟，出現(xiàn)了更多的市場競爭者，比如：國外有Juniper、Netcore、阿爾法及LINKSYS等，國內(nèi)有華為、中興、TP-Link及D-Link等，本次方案的討論與設(shè)計(jì)主要以CISCO（思科）產(chǎn)品為基礎(chǔ)設(shè)

10、施進(jìn)行搭建。2.1 CISCO企業(yè)網(wǎng)絡(luò)概述2.1.1 CISCO企業(yè)架構(gòu)CISCO開發(fā)了一個(gè)企業(yè)架構(gòu)，以幫助公司保護(hù)、優(yōu)化和擴(kuò)展支持業(yè)務(wù)流程的基礎(chǔ)設(shè)施，該架構(gòu)可用于集成整個(gè)網(wǎng)絡(luò)一園區(qū)、數(shù)據(jù)中心、分布機(jī)構(gòu)、遠(yuǎn)程工作人員和廣域網(wǎng)，讓員工能夠安全地訪問所需的工具、流程和服務(wù)。CISCO企業(yè)園區(qū)架構(gòu)將智能交換和路由選擇的核心基礎(chǔ)設(shè)施與緊密集成的效率改善技術(shù)結(jié)合在一起，該架構(gòu)通過采用富有彈性的多層設(shè)計(jì)、冗余的硬件和軟件功能以及在出現(xiàn)故障時(shí)自動(dòng)重新配置網(wǎng)絡(luò)路徑，向企業(yè)提供了高可用性。CISCO企業(yè)數(shù)據(jù)中心架構(gòu)是一種內(nèi)聚的自適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)，在滿足整合、業(yè)務(wù)持續(xù)和安全需求的同時(shí)，它還支持新出現(xiàn)的面向服務(wù)的架構(gòu)、

11、虛擬化和按需計(jì)算，讓職員、供應(yīng)商和客戶能夠安全地訪問應(yīng)用程序和資源。這樣能夠簡化管理工作并提高效率，同時(shí)極大地降低開銷。冗余的數(shù)據(jù)中以同步和異步的方式復(fù)制數(shù)據(jù)和應(yīng)用程序，以提供備份。CISCO企業(yè)分支機(jī)構(gòu)架構(gòu)讓企業(yè)能夠擴(kuò)展總部的應(yīng)用程序和服務(wù)（如安全性、IP通信和高級(jí)應(yīng)用）的覆蓋范圍，以覆蓋數(shù)千個(gè)遠(yuǎn)程賣點(diǎn)和用戶或少量的分支機(jī)構(gòu)。CISCO在分支機(jī)構(gòu)中的一系列集成服務(wù)路由器集成了安全性、交換、網(wǎng)絡(luò)分析和緩存功能，以及融合的語音和視頻服務(wù)，讓企業(yè)無需購買新的路由器就能部署新的服務(wù)。這種架構(gòu)讓用戶能夠隨時(shí)隨地安全地訪問語音、關(guān)鍵任務(wù)數(shù)據(jù)和視頻應(yīng)用。CISCO企業(yè)遠(yuǎn)程工作人員架構(gòu)讓企業(yè)能夠通過標(biāo)準(zhǔn)的寬

12、帶接入服務(wù)，向遠(yuǎn)程小型或家庭辦公室安全地提供語音和數(shù)據(jù)服務(wù)，從而為企業(yè)提供彈性的上班時(shí)間解決方案，為員工提供靈活的工作時(shí)間。通過集中管理，最大限度地降低了IT支持費(fèi)用。集成的安全和基于身份的網(wǎng)絡(luò)服務(wù)讓企業(yè)能夠?qū)@區(qū)安全策略延伸到遠(yuǎn)程工作人員。員工通過始終可用的VPN安全地登錄網(wǎng)絡(luò)，并從單個(gè)平臺(tái)訪問得到授權(quán)的應(yīng)用程序和服務(wù)。CISCO企業(yè)WAN架構(gòu)通過單個(gè)CISCO統(tǒng)一通信網(wǎng)提供語音、視頻和數(shù)據(jù)服務(wù)，讓企業(yè)能夠以更蔓延的方式擴(kuò)大其跨越的地理區(qū)域。QoS、細(xì)粒度的服務(wù)等級(jí)和廣泛的加密方案有助于確保安全地將高質(zhì)量的語音、視頻和數(shù)據(jù)服務(wù)提供給公司的各個(gè)場點(diǎn)，讓員工不管身處何地都能高效地工作。通過使用中

13、央一分支或全互聯(lián)拓?fù)洌诘诙踊虻谌龑覹AN上建立多服務(wù)VPN確保了數(shù)據(jù)流傳輸?shù)陌踩浴?.1.2 CISC攤業(yè)復(fù)合網(wǎng)絡(luò)模型CISCO制定了一套有關(guān)安全的最佳實(shí)踐，向網(wǎng)絡(luò)設(shè)計(jì)人員和員工支持網(wǎng)絡(luò)應(yīng)用和已有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施正確地部署安全解決方案提供了藍(lán)圖。該藍(lán)圖名為SAFE,其中包括企業(yè)復(fù)合網(wǎng)絡(luò)模型，網(wǎng)絡(luò)專業(yè)人員可以使用它來分析和描述任何現(xiàn)代企業(yè)網(wǎng)。企業(yè)復(fù)合網(wǎng)絡(luò)模型首先將網(wǎng)絡(luò)劃分成三個(gè)功能區(qū)域，如下：企業(yè)園區(qū)：該功能區(qū)包含組建層次園區(qū)網(wǎng)所需的模塊，接入、集散和核心原則也適用于這些模塊。企業(yè)邊緣：該功能區(qū)域聚合了企業(yè)網(wǎng)邊緣上各種網(wǎng)絡(luò)元件的連接性，包括到遠(yuǎn)程賣點(diǎn)、Internet和遠(yuǎn)程用戶的連接性。服務(wù)

14、提供商邊緣：該區(qū)域并不是由組織實(shí)現(xiàn)的，它用于提供到服務(wù)提供商的連接性，如Internet服務(wù)提供商（ISP）,WAN提供商和公共交換電話網(wǎng)（PSTN）。這些功能區(qū)域包含各種網(wǎng)絡(luò)模塊，而這些模塊可以包含層次模型中的核心層、匯聚層和接入層的功能。2.2 園區(qū)網(wǎng)絡(luò)技術(shù)企業(yè)園區(qū)定義了企業(yè)復(fù)合網(wǎng)絡(luò)模型的一個(gè)功能區(qū)域，它包括以下企業(yè)復(fù)合模塊：園區(qū)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)管理、邊緣分布。其中園區(qū)基礎(chǔ)設(shè)施模塊包括建筑拉入、建筑物布和園區(qū)主干了模塊。建立一個(gè)完整的園區(qū)網(wǎng)絡(luò)需要涉及到路由、交換與遠(yuǎn)程訪問技術(shù)。它們是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域中三大支撐技術(shù)體系。2.2.1 路由技術(shù)路由協(xié)議工作在OSI參考模型的第三層，因此它的作用主

15、要是在通信子網(wǎng)問路由數(shù)據(jù)包。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時(shí)選擇最佳路徑的能力，除了可以完成主要的路由任務(wù)，利用訪問控制列表（AccessControlList,ACL）,路由器還可以用來完成路由器為中心的流量控制和過濾功能。在本組網(wǎng)方案中，內(nèi)網(wǎng)用戶不僅通過路由接入Internet、內(nèi)網(wǎng)用戶之間也通過三層交換機(jī)上的路由功能進(jìn)行數(shù)據(jù)包交換。2.2.2 交換技術(shù)傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第二層，現(xiàn)在交換技術(shù)還實(shí)現(xiàn)了第三層交換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了園區(qū)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要?，F(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)(Vi

16、rtualLocalAreaNetwork,VLAN)的概念。VLAN技術(shù)的出現(xiàn)，主要為了解決交換機(jī)在進(jìn)行局域網(wǎng)互連時(shí)無法限制廣播的問題。這種技術(shù)可以把一個(gè)LAN劃分成多個(gè)邏輯的LAN-VLAN,在每個(gè)VLAN是一個(gè)廣播域,VLAN內(nèi)的主機(jī)問通信就和在一個(gè)LAN內(nèi)一樣，而VLAN問則不能直接互通，這樣，廣播報(bào)文被限制在一個(gè)VLAN內(nèi)，如下圖2-1VLAN劃分原理所示：建筑投入房速就分桶整國區(qū)核心層VLAN101.ANIILAN20VLAN2110,0.10,010I)11010,0,2(1010,0,2：,0圖2-1VLAN劃分原理下面是對(duì)VLAN各種特性的討論：VLAN的主要特性有：1、限制

17、廣播廣播域被限制在一個(gè)VLAN內(nèi)，節(jié)省了帶寬，提高了網(wǎng)絡(luò)處理能力。2、增強(qiáng)局域網(wǎng)的安全性不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè)VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備。3、靈活構(gòu)建虛擬工作組用VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡(luò)構(gòu)建和維護(hù)更方便靈活，如下圖2-2虛擬工作組所示：圖2-2虛擬工作組De4、VLAN是在數(shù)據(jù)鏈路層的，劃分子網(wǎng)是在網(wǎng)絡(luò)層的，所以不同子網(wǎng)之間的VLAN即使是同名也不可以相互通信。VLAN的劃分依據(jù)從技術(shù)角度講，VLAN的劃分可

18、以依據(jù)不同原則，一般以下三種劃分方法：1、基于端口的VLAN劃分這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分一個(gè)邏輯組，這是最簡單、最有效的劃分方法，該方法只需網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。2、基于MAC地址的VLAN劃分MAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的MAC地址都是唯一且固化在網(wǎng)卡上的，MAC地址由12位16進(jìn)制數(shù)表示，前6位為網(wǎng)卡的廠商標(biāo)識(shí)（OUI）,后6位為網(wǎng)卡的標(biāo)識(shí)（NIC）,網(wǎng)絡(luò)管理員可以按MAC地址把一些站點(diǎn)劃分為一個(gè)邏輯子網(wǎng)。3、基于品&由的VLAN劃分路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（卻三層交換

19、機(jī)），該方式允許一個(gè)VLAN跨越多個(gè)交換機(jī)，或一個(gè)端口位于多個(gè)VLAN中。目前來說，對(duì)于VLAN的劃分主要采取上述1、3種方式，第2種方式為輔助性的方案。不同VLAN間的通信在不同VLAN問不通過路由是無法通信的，在VLAN內(nèi)的通信，必須在數(shù)據(jù)幀頭中指定通信目標(biāo)的MAC地址，而為了獲取MAC地址，TCP/IP協(xié)議下使用的是ARP,ARP解析MAC地址的方法，則是通過廣播，也就是說，如果廣播報(bào)文無法到達(dá)，那么就無從解析MAC地址，亦即無法直接通信。計(jì)算機(jī)分屬不同的VLAN,也主意味著分屬不同的廣播域，自然收不到彼此的廣播報(bào)文，因此，屬于不同VLAN的計(jì)算機(jī)之間無法直接互相通信，為了能夠在VLAN

20、問通信，需要利用OSI參照模型中更高一層-網(wǎng)絡(luò)層的信息(IP地址)來進(jìn)行路由。因此，在VLAN間需要通信的時(shí)候，可以利用VLAN問路由技術(shù)來實(shí)現(xiàn)，如下圖圖2-3VLAN問路由所示：圖2-3VLAN間路由VTP協(xié)議當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時(shí)，可以使用VLAN中繼協(xié)議(VlanTrunkingProtocol,VTP)簡化管理，它只需在單獨(dú)一臺(tái)交換機(jī)上定義所有VLAN,然后通過VTP協(xié)議將VLAN定義傳播到本征管理域中的所有交換機(jī)上，這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。VTP(VlanTrunkingProtocol)：是VLAN中繼協(xié)議，也被稱為虛擬局域網(wǎng)干道協(xié)議。它

21、是一個(gè)OSI參考模型第二層的通信協(xié)議，主要用于管理在同一個(gè)域的網(wǎng)絡(luò)范圍內(nèi)VLANs的建立、刪除和重命名，在一臺(tái)VTPServer上配置一個(gè)新的VLAN時(shí)，該VLAN的配置信息將自動(dòng)傳播到本域內(nèi)的其他所有交換機(jī)，這些交換機(jī)會(huì)自動(dòng)地接收這些配置信息，使其VLAN的配置與VTPServer保持一致，從而減少在釣魚臺(tái)設(shè)備上配置同一個(gè)VLAN信息的工作量，而且保持了VLAN配置的統(tǒng)一性。VTP通過網(wǎng)絡(luò)(ISL幀或cisco私有DTP幀)保持VLAN配置統(tǒng)一性，VTP在系統(tǒng)級(jí)管理增加、刪除，調(diào)整的VLAN,自動(dòng)地將信息向網(wǎng)絡(luò)中其它的交換機(jī)廣播，此外，VTP減小了那些可能導(dǎo)致安全問題的配置，使用BTP便于管

22、理，只要在VTPServer做相應(yīng)設(shè)備，VTPClient會(huì)自動(dòng)學(xué)習(xí)VTPServer上的VLAN信息。VTP有三種工作模式：VTPServer、VTPClient和VTPTransparent如下圖所示，一般，一個(gè)VTP域內(nèi)的整個(gè)網(wǎng)絡(luò)只設(shè)一個(gè)VTPServer,VTPServer維護(hù)該VTP域中所有VLAN信息列表，VTPServer要吧建立、刪除或修改VLAN,VTPClient雖然也維護(hù)所有VLAN信息列表，但其VLAN的配置信息是從VTPServer學(xué)到的，VTPClient不能建立、刪除或修改VLAN,VTPTransparent相當(dāng)于是-上獨(dú)立的交換機(jī)，它不參與VTP工作，不從VT

23、PServer學(xué)習(xí)VLAN的配置信息，而只擁有本設(shè)備上自己維護(hù)的VLAN信息。VTPTransparent可以建立、刪除和修改本機(jī)上的VLAN信息，所下圖2-4VTP模式所示：TP模式創(chuàng)建VI.AN修&VLAN刪除vrAN發(fā)送、咕發(fā)VLAN信息不能創(chuàng)建VLANs不能忤4VI不能刪除VLAN同步VLAN信息只能創(chuàng)建木地VLANs只能幡改本地VLANs只能刪除本地VLANs轉(zhuǎn)發(fā)接到到的VLAN信圖2-4VTP模式STP（SpanningTreeProtocol生成樹協(xié)議）企業(yè)網(wǎng)絡(luò)首要關(guān)心的就是高可用性，它在很大程度上依賴于處理業(yè)務(wù)的多層交換網(wǎng)絡(luò)，確保高可用性的方法之一就是在整個(gè)網(wǎng)絡(luò)中提供設(shè)備、模塊

24、和鏈路的冗余，但是，第二層的網(wǎng)絡(luò)冗余可能傳導(dǎo)致潛在的橋接環(huán)路，數(shù)據(jù)包將在設(shè)備之間無休止地循環(huán)，進(jìn)而破壞網(wǎng)絡(luò)的正常工作能力。STP能夠識(shí)別并防止這種第二層環(huán)路，STP使用根網(wǎng)橋、要端口和指定端口等概念建立網(wǎng)絡(luò)的無環(huán)路徑。STP能夠克服冗余網(wǎng)絡(luò)中透明度橋接的問題，通過采用無環(huán)路徑，STP能夠避免和消除網(wǎng)絡(luò)中的環(huán)路，STP可以通過判斷網(wǎng)絡(luò)中存在環(huán)路的地方并阻斷冗余鏈路，從而達(dá)到上述目的，確保到每個(gè)目標(biāo)都只有一條路徑，所以永遠(yuǎn)不會(huì)產(chǎn)生環(huán)路，如果發(fā)生某條鏈路失效情況，那么網(wǎng)橋就會(huì)將接口從阻塞狀態(tài)過渡到轉(zhuǎn)發(fā)狀態(tài)。園區(qū)網(wǎng)內(nèi)部部署方式為了簡化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分

25、層進(jìn)行的，園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個(gè)層次：接入層、分布層、核心層。接入層為所有的終端用戶提供一個(gè)接入點(diǎn)；分布層除了將接入層交換機(jī)進(jìn)行匯集外，還為整個(gè)交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能；核心層將各分布層交換機(jī)互連起來進(jìn)行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。2.2.3 遠(yuǎn)程訪問技術(shù)遠(yuǎn)程訪問也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一，它可以為家庭辦公用戶和出差在外的員工提供移動(dòng)接入服務(wù)，下面對(duì)各種遠(yuǎn)程接入方式進(jìn)行比較：各種遠(yuǎn)程接入方式的比較1）遠(yuǎn)程撥號(hào)采用遠(yuǎn)程撥號(hào)方式，必須申請(qǐng)電話線，用戶多時(shí)，需申請(qǐng)中繼電話線，而且需要ModemPool將模擬信號(hào)轉(zhuǎn)換成數(shù)字信號(hào)，撥號(hào)訪問服務(wù)器將串行數(shù)據(jù)轉(zhuǎn)換為網(wǎng)絡(luò)上傳輸?shù)腎P

26、數(shù)據(jù)包，同時(shí)多數(shù)企業(yè)較難接入設(shè)備提供理想的工作環(huán)境，不能確保信息傳輸?shù)馁|(zhì)量和安全。2）、租用專用線路在過去的數(shù)十年間，許多企業(yè)花費(fèi)大量資金租用專用線路，將其主要分支機(jī)構(gòu)連接起來組成該企業(yè)的私有通信網(wǎng)絡(luò)，以達(dá)到信息在企業(yè)內(nèi)部的快速溝通和共享，這樣企業(yè)在獲得高效率的同時(shí)，也為租用專用線路付出了較高的成本。3）、VPN遠(yuǎn)程接入VPN（VirtualPrivateNetwork）即虛擬專用網(wǎng)是在公共網(wǎng)絡(luò)上建立的專用網(wǎng)絡(luò)，但其任意2個(gè)結(jié)點(diǎn)間的連接并沒有傳統(tǒng)專用網(wǎng)絡(luò)所需的點(diǎn)到點(diǎn)的物理鏈路，而是架構(gòu)在公共網(wǎng)絡(luò)（Internet）服務(wù)商（ISP）所提供網(wǎng)絡(luò)平臺(tái)上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)通過ISP在公共網(wǎng)絡(luò)中建立的

27、邏輯隧道（Tunnel）,即點(diǎn)到點(diǎn)的虛擬專線進(jìn)行傳輸，通過加密技術(shù)和認(rèn)證技術(shù)，確保企業(yè)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)在公共網(wǎng)絡(luò)上安全傳輸，真正實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的專有性。VPN遠(yuǎn)程接入方式最適用于企業(yè)經(jīng)常有人員出差需實(shí)現(xiàn)遠(yuǎn)程辦公的情況，出差員工利用當(dāng)?shù)豂SP提供的上網(wǎng)服務(wù)，即可與企業(yè)VPN網(wǎng)關(guān)建立私有隧道連接。VPN遠(yuǎn)程接入方式有以下主要優(yōu)勢：簡化網(wǎng)絡(luò)：只需要接入1臺(tái)VPN網(wǎng)關(guān)設(shè)備，即可解決幾十到幾千人的遠(yuǎn)程接入問題。節(jié)省費(fèi)用：利用本地?fù)芴?hào)接入取代遠(yuǎn)距離接入或800電話接入，顯著降低長途通信費(fèi)用，減少了用于購置調(diào)制解調(diào)器和終端服務(wù)設(shè)備的費(fèi)用。支持多種標(biāo)準(zhǔn)認(rèn)證機(jī)制如LDAP、RADIUS等。多接接入方式：無論用戶采用那

28、種方式訪問互聯(lián)網(wǎng)，均可建立VPN連接；自由選擇規(guī)模：無論企業(yè)大小，VPN都有相對(duì)應(yīng)的產(chǎn)品，用戶數(shù)可為55000個(gè)；具有高可用性：對(duì)于接入用戶較多的企業(yè)，VPN支持遠(yuǎn)程接入的高可用模式，保障用戶服務(wù)的連貫性。EasyVPN方式EasyVPN是CISCO的一種特征，它允許使用CISCOVPN客戶端軟件一類實(shí)施IPSec遠(yuǎn)程訪問設(shè)備由于可以使用CISCO路由器或者PIX來配置EasyVPN服務(wù)器，而不需要另外增加其他設(shè)備，對(duì)于已經(jīng)擁有一臺(tái)大容量的邊緣路由，而且僅需要少量的遠(yuǎn)程訪問用戶的企業(yè)來說，這無疑在保證了遠(yuǎn)程訪問的高安全性的前提下，可以在成本控制上有更大的優(yōu)勢。這也是本設(shè)計(jì)方案所采用它作為遠(yuǎn)程訪

29、問方式的原因。2.2.4 熱備份路由協(xié)議（HSRP隨著Internet的日益普及，人們對(duì)網(wǎng)絡(luò)的依賴性也越來越強(qiáng)，這同時(shí)對(duì)網(wǎng)絡(luò)的穩(wěn)定性提出了更高的要求，人們自然想到了基于設(shè)備的備份結(jié)構(gòu)，就像在服務(wù)器中為提高數(shù)據(jù)的安全性而采用雙硬盤結(jié)構(gòu)一樣，路由器是整個(gè)網(wǎng)絡(luò)的核心和心臟，如果路由器發(fā)生致命性的故障，將導(dǎo)致本地網(wǎng)絡(luò)的癱瘓，如果是骨干路由器，影響的范圍將更大，所造成的損失也是難以估計(jì)的，因此，對(duì)路由器采用熱備份是提高網(wǎng)絡(luò)可靠性的必然選擇，在一個(gè)路由器完全不能工作的情況下，它的全部功能便被系統(tǒng)中的另一個(gè)備份路由器完全接管，直至出現(xiàn)問題的路由器恢復(fù)正常，這就是熱備份路由協(xié)議（HotStandbyRoute

30、rProtocal）,HSRPRFC2281技術(shù)要解決的問題，如下圖2-5HSRP熱備一所示：第份路:圖2-5HSRP熱備一熱備份路由器協(xié)議（HSRP）是思科私有的協(xié)議，它的設(shè)計(jì)目標(biāo)是支持特定情況下IP流量失敗轉(zhuǎn)移不會(huì)引起混亂、并允許主機(jī)使用單路由器，以及即使在實(shí)際第一跳路由器使用失敗的情形下仍能維護(hù)路由器間的連通性，負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動(dòng)路由器（ActiveRouter）。一旦主動(dòng)路由器出現(xiàn)故障，HSRP將激活備份路由器（StandbyRouterS取代主動(dòng)路由器，HSRP協(xié)議提供了一種決定使用主動(dòng)路由器還是備份路由器的機(jī)制，并指定一個(gè)虛擬的IP地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。如果

31、主動(dòng)路由器出現(xiàn)故障，備份路由器（StandbyRouterS承接主動(dòng)路由器的所有任務(wù)，并且不會(huì)導(dǎo)致主機(jī)連通中斷現(xiàn)象，如下圖2-6HSRP熱備二所示：圖2-6HSRP熱備二HSRP運(yùn)行在UDP上，采用端口號(hào)1985,路由器轉(zhuǎn)發(fā)協(xié)議數(shù)據(jù)包的源地址使用的是實(shí)際IP地址，而并非虛擬地址，正是基于這一點(diǎn),HSRP路由器間能相互識(shí)別?，F(xiàn)思科公司的第三層交換機(jī)也支持該協(xié)議，HSRP根據(jù)對(duì)兩互備份路由器或交換機(jī)的優(yōu)先級(jí)設(shè)定，將其中一臺(tái)設(shè)備置為活動(dòng)狀態(tài)，而另一臺(tái)設(shè)備置為備用狀態(tài)，當(dāng)主設(shè)備發(fā)生故障時(shí)備用設(shè)備能立即啟用，這就是所謂“熱備”的含義，對(duì)網(wǎng)絡(luò)中正常工作的用戶而言，這一切都是透明不可見的，從而保證了網(wǎng)絡(luò)的正

32、常運(yùn)行。2.3 本章小結(jié)本章介紹了Cisco對(duì)中小型企業(yè)的架構(gòu)、對(duì)中小型企業(yè)復(fù)合網(wǎng)絡(luò)模型建設(shè)；還介紹了當(dāng)今組建中小型企業(yè)園區(qū)網(wǎng)絡(luò)的主要技術(shù)，包括了路由技術(shù)、交換技術(shù)、VLAN技術(shù)、遠(yuǎn)程訪問技術(shù)及冗余熱備份技術(shù)等，這些都是在組建一個(gè)高可用性企業(yè)網(wǎng)絡(luò)中必須涉及的相關(guān)技術(shù)。3中小企業(yè)網(wǎng)絡(luò)的建設(shè)目標(biāo)3.1 建設(shè)目標(biāo)企業(yè)建設(shè)一個(gè)以辦公自動(dòng)化、計(jì)算機(jī)輔助生產(chǎn)、控制及管理為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、能覆蓋企業(yè)各樓宇的企業(yè)主干網(wǎng)絡(luò)，將企業(yè)的各種PC機(jī)、工作站、終端設(shè)備和局域網(wǎng)連接起來，并與有關(guān)廣域網(wǎng)相連，在網(wǎng)上宣傳自己和獲取Internet網(wǎng)上的信息資源。形成結(jié)構(gòu)合理、內(nèi)外溝通的企業(yè)計(jì)算

33、機(jī)網(wǎng)絡(luò)系統(tǒng)，在此基礎(chǔ)上建立能滿足生產(chǎn)、研發(fā)和管理工作需要的軟硬件環(huán)境，開發(fā)各類信息庫和應(yīng)用系統(tǒng)，為企業(yè)各類需求提供充分的網(wǎng)絡(luò)信息服務(wù)。即總體目標(biāo)是利用先進(jìn)的計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)，建設(shè)高質(zhì)量、高效率的統(tǒng)一的通信網(wǎng)絡(luò)。其具體目標(biāo)如下：1) .通過建設(shè)一個(gè)高速、安全、可靠、可擴(kuò)充的網(wǎng)絡(luò)系統(tǒng)，使各系統(tǒng)互聯(lián)互通，實(shí)現(xiàn)企業(yè)信息的高度共享、傳遞及管理信息化，各領(lǐng)導(dǎo)能及時(shí)、全面、準(zhǔn)確地掌握企業(yè)的研發(fā)、生產(chǎn)、管理、財(cái)務(wù)、人事等各方面情況；2) .建立出口信道，實(shí)現(xiàn)企業(yè)與Internet互聯(lián)，同時(shí)部署企業(yè)各種應(yīng)用服務(wù)器(郵件、文件、網(wǎng)站及各系統(tǒng)服務(wù)器等)，實(shí)現(xiàn)企業(yè)信息的發(fā)布，提供各領(lǐng)導(dǎo)和企業(yè)員工的移動(dòng)撥號(hào)接入

34、，進(jìn)行移動(dòng)辦公和資料查詢；3) .企業(yè)的各通交流，用電子信息的傳遞取代紙面文件、資料的傳送，實(shí)現(xiàn)無紙辦公，改變傳統(tǒng)的工作方式，進(jìn)一步提高工作效率；4) .利用各種業(yè)務(wù)信息的綜合分析，為各級(jí)領(lǐng)導(dǎo)提供決策支持，更好地組織生產(chǎn)和經(jīng)營。3.2 設(shè)計(jì)原則企業(yè)園區(qū)網(wǎng)可能包含大量的信息點(diǎn)，并會(huì)涉及大量的業(yè)務(wù)應(yīng)用，這就要求企業(yè)網(wǎng)必須是一個(gè)實(shí)用的、高可靠、高效率、高擴(kuò)展性及高安全性系統(tǒng)。為使企業(yè)園網(wǎng)絡(luò)系統(tǒng)具有良好的擴(kuò)展性和靈活的接入能力，并易于管理，易于維護(hù)，在網(wǎng)絡(luò)設(shè)計(jì)及構(gòu)建中始終應(yīng)遵循統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一平臺(tái)及網(wǎng)絡(luò)分層的原則，主要包括如下原則：1) .在網(wǎng)絡(luò)規(guī)劃方面，統(tǒng)一采用IP技術(shù)，統(tǒng)一規(guī)劃IP地址及各種應(yīng)用，采

35、用開放的技術(shù)及國際標(biāo)準(zhǔn)，如路由協(xié)議、安全標(biāo)準(zhǔn)、接入標(biāo)準(zhǔn)和網(wǎng)絡(luò)管理平臺(tái)等，才能保證實(shí)現(xiàn)網(wǎng)絡(luò)的統(tǒng)一，并確保網(wǎng)絡(luò)的可擴(kuò)展性，同時(shí)為了減少網(wǎng)絡(luò)中各部分的相關(guān)性，便于網(wǎng)絡(luò)的實(shí)施及管理，在網(wǎng)絡(luò)的構(gòu)建中，從整體上可以將網(wǎng)絡(luò)劃分為核心層、匯聚層和接入層等3個(gè)層次；2) .在軟硬件選擇方面，所有選擇的軟、硬件產(chǎn)品都必須遵循標(biāo)準(zhǔn)化原則，采用統(tǒng)一的軟、硬件平臺(tái)和基本應(yīng)用軟件，以便進(jìn)行統(tǒng)一的軟件版本的升級(jí)及管理；3) .在安全方面，所建設(shè)企業(yè)網(wǎng)應(yīng)具有良好的安全性與保密性，根據(jù)企業(yè)的業(yè)務(wù)應(yīng)第12頁用需求，部署合理的網(wǎng)絡(luò)訪問策略，同時(shí)實(shí)現(xiàn)企業(yè)內(nèi)部敏感信息的保護(hù)，在受到攻擊時(shí)具有可追溯性；4) .在投資保護(hù)方面，要做到資源

36、共享與保護(hù)，充分合理地利用現(xiàn)有的資源，最大限度地與原有系統(tǒng)或在建系統(tǒng)互聯(lián)互通，在盡可能利用已有投資的基礎(chǔ)上，解決好經(jīng)費(fèi)的補(bǔ)充和配套資金到位問題。3.3 本章小結(jié)本章介紹了中小型企業(yè)組建網(wǎng)絡(luò)的建設(shè)目標(biāo)，包括安全性、可靠性、可擴(kuò)充性等，建立互聯(lián)網(wǎng)通訊目標(biāo)，實(shí)現(xiàn)企業(yè)內(nèi)部暢通交流及提供綜合分析數(shù)據(jù)以供領(lǐng)導(dǎo)決策；提出設(shè)計(jì)原則，主要包括網(wǎng)絡(luò)規(guī)劃、軟硬件的選擇、安全性及投資保護(hù)等四方面進(jìn)行討論。4中小企業(yè)網(wǎng)絡(luò)需求分析為了便于理論結(jié)合實(shí)踐，以下所有涉及的需求分析及解決方案是以東莞某企業(yè)的真實(shí)情況為設(shè)計(jì)依據(jù)，此方案的設(shè)計(jì)已經(jīng)應(yīng)用于真實(shí)環(huán)境且運(yùn)行二年多以來用戶表示效果良好。4.1 目標(biāo)需求企業(yè)：優(yōu)化管理體制，實(shí)現(xiàn)

37、資源合理配置，節(jié)約不必要開支，投入辦公自動(dòng)化、研發(fā)及信息化設(shè)施；加速企業(yè)研發(fā)成果轉(zhuǎn)化，積極開展對(duì)外合作、交流、溝通；進(jìn)行技能培訓(xùn)、考核，提高競爭力；領(lǐng)導(dǎo)：可以訊速獲取各種信息；提高管理能力、業(yè)務(wù)水平及自身素質(zhì)；拓展新項(xiàng)目及項(xiàng)目管理；進(jìn)行各種對(duì)外交流；加強(qiáng)與員工的溝通；便利的企業(yè)生活服務(wù)等；員工：獲取信息，拓寬知識(shí)面；提高專業(yè)水平，隨時(shí)得到領(lǐng)導(dǎo)指示；廣泛的交流；學(xué)習(xí)與實(shí)踐相結(jié)合；豐富多彩的企業(yè)生活及發(fā)揮才能的機(jī)會(huì)；便利的企業(yè)生活服務(wù)。4.2 應(yīng)用需求4.2.1 息信流分析1) .在該企業(yè)網(wǎng)中發(fā)生的信息流主要包括二個(gè)部分：管理過程信息流和Internet信息流;2) .管理過程信息流包括：各種生產(chǎn)

38、控制管理信息流和行政辦公信息流；3) .各種生產(chǎn)控制管理信息流通過在企業(yè)園區(qū)網(wǎng)上運(yùn)行的綜合信息管理及業(yè)務(wù)系統(tǒng)，包括企業(yè)的生產(chǎn)管理和日常的管理實(shí)現(xiàn)辦公自動(dòng)化，如企業(yè)ERP系統(tǒng)管理、OA流程管理和人事管理、財(cái)務(wù)管理、固定資產(chǎn)管理等，同時(shí)可在網(wǎng)上進(jìn)行信息發(fā)布；4) .Internet信息流主要建立在寬帶、結(jié)構(gòu)簡化、綜合業(yè)務(wù)應(yīng)用齊全的IP基礎(chǔ)網(wǎng)上或企業(yè)園區(qū)DMZ區(qū)域網(wǎng)上，提供企業(yè)園區(qū)網(wǎng)或廣域網(wǎng)資源信息的傳遞和共享。此類數(shù)據(jù)流為載有語音、數(shù)據(jù)和視頻信息的IP流。4.2.2 應(yīng)用業(yè)務(wù)分析根據(jù)國家的相關(guān)規(guī)定與標(biāo)準(zhǔn)，不同行業(yè)的中小型企業(yè)人數(shù)限定是不一樣的，但是根據(jù)行業(yè)的性質(zhì)及所規(guī)定的人數(shù)，一間中小型企業(yè)使用計(jì)

39、算機(jī)的數(shù)量一般在幾百臺(tái)左右。因此,小型園區(qū)網(wǎng)絡(luò)設(shè)計(jì)即可滿足。小型園區(qū)網(wǎng)絡(luò)設(shè)計(jì)適于最多只包含幾百臺(tái)聯(lián)網(wǎng)設(shè)備的建筑物規(guī)模的網(wǎng)絡(luò)。該企業(yè)目前擁有500臺(tái)辦公計(jì)算機(jī)，并且企業(yè)還有如下的各項(xiàng)需求情況，在本方案中，第14頁屬于中型企業(yè)，詳細(xì)如下：1) .企業(yè)擁有的500臺(tái)辦公計(jì)算機(jī)，要求都能訪問到Internet資源；2) .外網(wǎng)通過Internet只能訪問企業(yè)內(nèi)DM型:的各種共享服務(wù)器,如FTRWWW,不能訪問其它內(nèi)網(wǎng)信息；3) .會(huì)議室、會(huì)客廳、大廳這三個(gè)位置，要實(shí)現(xiàn)wi-fi無線上網(wǎng)，可以實(shí)現(xiàn)多人同時(shí)接入；4) .出差工作人員及在家辦公人員能夠遠(yuǎn)程訪問公司內(nèi)部的共享文件、使用內(nèi)部業(yè)務(wù)系統(tǒng)以及進(jìn)行數(shù)據(jù)

40、傳送；5) .網(wǎng)絡(luò)要是可擴(kuò)展的、高速的、冗余的、安全的，并可滿足為現(xiàn)在或?qū)磉M(jìn)行語音、視頻、圖像等各種服務(wù)的應(yīng)用；6) .要保證企業(yè)內(nèi)部服務(wù)器群可以集中管理以及企業(yè)內(nèi)部信息安全；7) .為了簡化起見，在本方案中設(shè)定公司一共有6個(gè)部門：財(cái)務(wù)部、市場部、開發(fā)部、策劃部、客戶中心、采購部。4.3 業(yè)務(wù)需求1) .數(shù)據(jù)處理及通訊能力強(qiáng)，響應(yīng)速度快；2) .網(wǎng)絡(luò)運(yùn)行安全、可靠性高，即使發(fā)生攻擊行為，保證可追溯、可跟蹤；3) .系統(tǒng)易擴(kuò)充，易管理，便于用戶的增加；4) .主干網(wǎng)支持多媒體、群體、圖象接口應(yīng)用，支持高性能數(shù)據(jù)庫軟件包的持續(xù)增長；5) .系統(tǒng)開放性、互連性好；6) .局域網(wǎng)既能方便遠(yuǎn)程用戶的撥

41、號(hào)接入，又能滿足特殊用戶高效地連入廣域網(wǎng)，使用靈活；7) .具有很強(qiáng)的分布式數(shù)據(jù)處理能力。4.4 外部需求1) .外部需求應(yīng)包括以下幾個(gè)：Internet訪問、遠(yuǎn)程訪問、電子郵件、以多媒體方式介紹企業(yè)、討論和交流、WEB言息發(fā)布及FTP文件共享，各項(xiàng)均可通過相應(yīng)的網(wǎng)絡(luò)信息平臺(tái)實(shí)現(xiàn)；2) .企業(yè)的網(wǎng)絡(luò)化建設(shè)必然會(huì)對(duì)企業(yè)的信息化建設(shè)起到巨大的推動(dòng)作用，同時(shí)提供簡單、有效、便捷的理想辦公、管理及生產(chǎn)環(huán)境。表4-1用戶需求調(diào)查地址建筑物可靠性/可用性網(wǎng)絡(luò)需求安全性可擴(kuò)展性樓層數(shù)信息點(diǎn)數(shù)主要應(yīng)用辦公樓一1棟4層/棟白天工作狀態(tài)良好，網(wǎng)絡(luò)運(yùn)行正常下載300KB/s上傳100KB/s中好4120OA辦公、產(chǎn)

42、品設(shè)計(jì)、資源共享、Internet服務(wù)等辦公樓一1棟4層/棟白天工作狀態(tài)良好，網(wǎng)絡(luò)運(yùn)行正常下載300KB/s上傳100KB/s中好4100OA辦公、產(chǎn)品設(shè)計(jì)、資源共享、Internet服務(wù)等研發(fā)樓1棟3層/棟白天工作狀態(tài)良好，網(wǎng)絡(luò)正常運(yùn)行下載500kB/s上傳200KB/s高好370系統(tǒng)測試、產(chǎn)品開發(fā)、員工培訓(xùn)、應(yīng)用軟件學(xué)習(xí)、Internet服務(wù)等生產(chǎn)車間1棟4層/棟全日制不停機(jī)工作下載400KB/s上傳100KB/s中良好450系統(tǒng)應(yīng)用、資源共享、OA辦公、Internet服務(wù)等職工公寓133棟6層/棟白天工作狀態(tài)良好，網(wǎng)絡(luò)正常運(yùn)行下載200KB/s上傳50KB/s低良好18130資源共享、

43、員工學(xué)習(xí)及娛樂、應(yīng)用軟件學(xué)習(xí)、Internet服務(wù)等4.6 網(wǎng)絡(luò)需求分析根據(jù)該企業(yè)應(yīng)用需求進(jìn)行分析，最終決定采用以下網(wǎng)絡(luò)部署方案解決該企業(yè)的各項(xiàng)需求：1) .申請(qǐng)一條15M的帶寬，以滿足500臺(tái)計(jì)算機(jī)訪問Internet;2) .申請(qǐng)九個(gè)公網(wǎng)IP地址：分配給internet接入路由器的串行接口，另外八個(gè)IP地址：/29-/29用作NAT3) .購買一臺(tái)CISCO路由器CISCO3640以實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)連接到internet,購買一臺(tái)防火墻以實(shí)現(xiàn)內(nèi)部與外部的安全過濾；4) .企業(yè)目前有500臺(tái)計(jì)算機(jī)連入網(wǎng)絡(luò)，考慮到在未來五

44、年內(nèi)可能會(huì)有所增加，預(yù)計(jì)增加幅度為100臺(tái)，總共有600臺(tái)，出于前期一次性設(shè)備投資成本過高但又不失擴(kuò)展性的要求,所以采用了匯聚層與接入層暫時(shí)相合并的設(shè)計(jì)辦法，因此在各棟樓之間按用戶數(shù)量部署適當(dāng)數(shù)據(jù)量的接入層交換機(jī)48口Catalyst2960，設(shè)計(jì)方案共計(jì)13臺(tái)設(shè)備，為了方便管理及后續(xù)的擴(kuò)展性，接入層交換機(jī)按需采用堆疊式部署及配置；5) .將各個(gè)部門劃分在不同的VLAN包括服務(wù)器群和管理VLAN-共需要7個(gè)VLAN6) .將WEBK務(wù)、郵件服務(wù)器、FTP服務(wù)器及業(yè)務(wù)應(yīng)用系統(tǒng)服務(wù)器直接與核心交換機(jī)CISCO4501連接，置于管理機(jī)房，方便管理，同時(shí)配置ACLS制各部門訪問權(quán)限并阻止外網(wǎng)訪問；7)

45、 .在需要無線上網(wǎng)的會(huì)議廳、會(huì)客廳、大廳三個(gè)地方，采用三臺(tái)54M802.11b的無線AP接入，設(shè)定最多30人的數(shù)量，以保證每個(gè)人訪問網(wǎng)速不至于過慢；8) .在路由器上配置EasyVPN用以實(shí)現(xiàn)出差工作人員及在家辦公人員遠(yuǎn)程訪問企業(yè)內(nèi)部資源及數(shù)據(jù)交換；9) .為實(shí)現(xiàn)網(wǎng)絡(luò)的冗余設(shè)計(jì)，在核心層部署時(shí)，用兩臺(tái)三層交換機(jī)實(shí)現(xiàn)HSR皿能。4.7 本章小結(jié)本章以一個(gè)實(shí)際案例的需求為依據(jù)，分析中小型企業(yè)目標(biāo)需求、應(yīng)用需求、業(yè)務(wù)需求、外部需求、用戶需求及網(wǎng)絡(luò)需求等，詳細(xì)分析了中小型企業(yè)需求的重點(diǎn)及面臨的問題，從而引出了作為中小型企業(yè)一些共性的需求。5企業(yè)網(wǎng)絡(luò)的總體設(shè)計(jì)企業(yè)網(wǎng)絡(luò)建設(shè)不只是涉及技術(shù)方面，而是包括了網(wǎng)

46、絡(luò)設(shè)施、應(yīng)用平臺(tái)、信息資源、專業(yè)應(yīng)用、人員素質(zhì)等眾多成份的綜合化系統(tǒng)。因此，在總體上如何籌劃、組織網(wǎng)絡(luò)建設(shè)和開發(fā)應(yīng)用的設(shè)計(jì)思想是企業(yè)網(wǎng)建設(shè)中的最重要的問題?？傮w設(shè)計(jì)是企業(yè)網(wǎng)建設(shè)的總體思路和工程藍(lán)圖，是搞好企業(yè)網(wǎng)建設(shè)的核心任務(wù)。進(jìn)行企業(yè)網(wǎng)總體設(shè)計(jì)，首先，進(jìn)行對(duì)象研究和需求調(diào)查，弄清企業(yè)的性質(zhì)、任務(wù)和改革發(fā)展的特點(diǎn)，對(duì)企業(yè)的信息化環(huán)境進(jìn)行準(zhǔn)確的描述，明確系統(tǒng)建設(shè)的需求和條件；其次，在應(yīng)用需求分析的基礎(chǔ)上，確定企業(yè)Intranet服務(wù)類型，進(jìn)而確定系統(tǒng)建設(shè)的具體目標(biāo)，包括網(wǎng)絡(luò)設(shè)施、站點(diǎn)設(shè)置、開發(fā)應(yīng)用和管理等方面的目標(biāo)；第三，確定網(wǎng)絡(luò)拓樸結(jié)構(gòu)和功能，根據(jù)應(yīng)用需求、建設(shè)目標(biāo)和企業(yè)主要建筑分布特點(diǎn)，進(jìn)行系

47、統(tǒng)分析和設(shè)計(jì)；第四，確定技術(shù)設(shè)計(jì)的原則要求，如在技術(shù)選型、布線設(shè)計(jì)、設(shè)備選擇、軟件配置等方面的標(biāo)準(zhǔn)和要求；第五，規(guī)劃安排企業(yè)網(wǎng)建設(shè)的實(shí)施步驟。5.1 網(wǎng)絡(luò)拓樸設(shè)計(jì)本次該企業(yè)網(wǎng)絡(luò)設(shè)計(jì)方案主要由以下四大部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪問模塊、服務(wù)器群。整個(gè)網(wǎng)絡(luò)系統(tǒng)的拓樸結(jié)構(gòu)圖如圖5-1網(wǎng)絡(luò)拓樸設(shè)計(jì)所示，如下：企業(yè)JR苗等部田運(yùn)般接人HiThC阿省中心以入網(wǎng)T0f2*RflaiterJUT隹塔核心尾一禮聚層屎入尾PCI，然Saitchlro?w-j8SwitehT辦公接生產(chǎn)阿會(huì)客打/一一-L圖5-1網(wǎng)絡(luò)拓樸設(shè)計(jì)該設(shè)計(jì)符合CISCO中小型局域網(wǎng)模型架構(gòu)。它的園區(qū)主干和建筑物分布子模塊沒有十分

48、明確的三層設(shè)計(jì)區(qū)分，在功能配置基本上是緊縮到一層中去（即CoreSwitch所在層），因?yàn)槿狈γ黠@分開的園區(qū)主干和建筑物分布子模塊，并且園區(qū)主干子模塊中的密度是有限的，所以在每個(gè)建筑物分布子模塊中采用多臺(tái)二層交換機(jī)（Catalyst296。進(jìn)行堆疊即可，在此方案中，出于可擴(kuò)展性、一次性投資成本、網(wǎng)絡(luò)的傳輸性能及長遠(yuǎn)規(guī)劃等方面因素考慮，前期先采用堆疊模式即可滿足所有用戶的接入問題，當(dāng)用戶增加到一定的數(shù)量之后，出于交換機(jī)堆疊數(shù)量的限制，可以選擇增加多一臺(tái)建筑物分布子模塊來做匯聚的交換設(shè)備，這樣一樣可以做到后續(xù)有很強(qiáng)的擴(kuò)展性，通過這種設(shè)計(jì)，可以使用該企業(yè)達(dá)到滿足現(xiàn)有需求的同時(shí)很好的降低了成本且不失后

49、期的擴(kuò)展性（如上拓樸圖示）。以這個(gè)設(shè)計(jì)方案而言，因?yàn)槟芴峁┙粨Q機(jī)和鏈路冗余，所在園區(qū)主干子模塊不包含任何的單點(diǎn)故障。它采用了星形拓樸結(jié)構(gòu)，它相對(duì)其他拓樸結(jié)構(gòu)來說，星形拓樸將用戶接入網(wǎng)絡(luò)時(shí)具有更大的靈活性。當(dāng)系統(tǒng)不斷發(fā)展或系統(tǒng)發(fā)生重大變化時(shí)，這種優(yōu)點(diǎn)將變得更加突出。在接入層，Catalyst2960系列交換機(jī)通過生成樹提供第二層冗余。Catalyst2960系列交換機(jī)僅有缺點(diǎn)就是最高只能32Gbit/s交換陣列，并且最多只能支持48個(gè)快速以太網(wǎng)端口，但是這對(duì)于資金有限的中小型企業(yè)網(wǎng)來說已經(jīng)滿足需求了。在核心層采用三層交換機(jī)Catalyst4506系列部署，可以增加網(wǎng)絡(luò)擴(kuò)展性，提高性能及可用性，增

50、強(qiáng)網(wǎng)絡(luò)安全性。在該設(shè)計(jì)中，利用快速以太網(wǎng)通道化/千兆以太網(wǎng)通道化技術(shù)擴(kuò)展網(wǎng)絡(luò)帶寬，可以滿足內(nèi)部網(wǎng)絡(luò)的大負(fù)荷網(wǎng)絡(luò)運(yùn)行需求。5.2 IP編址方案及VLA破1J分IP地址規(guī)劃根據(jù)所分配的公網(wǎng)IP地址和內(nèi)部私有網(wǎng)IP地址分配，地址可分為二大塊，一塊是分配多個(gè)C類公網(wǎng)IP地址，作為和國際互聯(lián)網(wǎng)互連的地址，一部分企業(yè)相關(guān)的域名就解析在這片地址上，同時(shí)提供給企業(yè)用戶上網(wǎng)時(shí)的NAT轉(zhuǎn)換用，如果條件允許，可以中請(qǐng)多個(gè)運(yùn)營商的線路，關(guān)鍵服務(wù)器及應(yīng)用可以擁有兩條線路的公網(wǎng)IP,分別跨接在不同的運(yùn)營商上進(jìn)行相互備份。當(dāng)前交換技術(shù)的迅速發(fā)展，也加快了虛擬子網(wǎng)技術(shù)(VLANVirtualLocalAreaNetwork)

51、的應(yīng)用速度，特別是在當(dāng)前企業(yè)網(wǎng)上的應(yīng)用更廣泛。通過將企業(yè)網(wǎng)絡(luò)劃分為虛擬子網(wǎng)(VLAN),可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。數(shù)據(jù)廣播在網(wǎng)絡(luò)中起著非常重要的作用，隨著企業(yè)網(wǎng)內(nèi)的計(jì)算機(jī)數(shù)量的增加，廣播包的數(shù)量也會(huì)急劇增加，當(dāng)廣播包的數(shù)量占到總量的30%時(shí)，網(wǎng)絡(luò)的傳輸效率將會(huì)明顯下降。特別是當(dāng)某網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后，會(huì)不停地向網(wǎng)絡(luò)發(fā)送廣播，從而導(dǎo)致網(wǎng)絡(luò)風(fēng)暴，使網(wǎng)絡(luò)通信陷于癱瘓。當(dāng)企業(yè)網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)數(shù)超過200臺(tái)后，就必須采取措施將網(wǎng)絡(luò)分隔開來，將一個(gè)大的廣播域劃分成若干個(gè)小的廣播域。該方案IP編址及VLAN劃分如下:表5-1VLAN劃分表VLAN號(hào)VLAN名稱IP網(wǎng)段默認(rèn)網(wǎng)關(guān)說明VLAN1

52、-/2454管理VLANVLAN10CWB/2454財(cái)務(wù)部VLANVLAN20SCB/2454市場部VLANVLAN30CHB/2454策劃部VLANVLAN50KFZX/2454客服中心VLANVLAN60CGB/2454采購部VLANVLAN70RFB/2454研發(fā)部VLANVLAN10

53、0SERVER/2454服務(wù)器組VLAN5.3 核心層設(shè)計(jì)及設(shè)備選型企業(yè)網(wǎng)是各種應(yīng)用的統(tǒng)一通信平臺(tái)，平均無故障時(shí)間以及故障恢復(fù)時(shí)間要保持在一個(gè)可容忍的許可范圍之內(nèi)。在這種前提下，園區(qū)主干設(shè)備應(yīng)有一定的冗余度，這種冗余包括有設(shè)備級(jí)及物理線路等方面，數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層以及應(yīng)用層的容錯(cuò)能力。園區(qū)主干網(wǎng)以企業(yè)網(wǎng)絡(luò)中心的主機(jī)房為中心節(jié)點(diǎn)向外輻射，通過各部門所在的建筑樓節(jié)點(diǎn)構(gòu)成園區(qū)主干網(wǎng)。企業(yè)園物理結(jié)構(gòu)分為三層：核心層、匯聚層、接入層。園區(qū)主干網(wǎng)中心節(jié)點(diǎn)配置核心路由交換機(jī)，該交換機(jī)上配置第三層交換模塊和網(wǎng)絡(luò)監(jiān)控模塊，以實(shí)現(xiàn)網(wǎng)絡(luò)動(dòng)態(tài)管理和虛擬局域網(wǎng)。企業(yè)網(wǎng)

54、的各建筑物分布子模塊，可采用三層交換機(jī)與企業(yè)網(wǎng)園區(qū)中心的核心路由交換機(jī)連接，以實(shí)現(xiàn)主干通道信息傳輸?shù)呢?fù)載均衡。辦公司樓、研發(fā)樓、生產(chǎn)問、職工公寓等樓宇采用高性能匯聚層交換機(jī)，以保證建筑樓信息點(diǎn)對(duì)交換機(jī)端口密度的要求和網(wǎng)絡(luò)性能與可靠性的要求。園區(qū)主干網(wǎng)核心層交換機(jī)和匯聚層交換機(jī)采用1000Mbps(單模1000BASE-LX、多模1000BASE-SX)連接，服務(wù)器采用1000Mbps(1000BASE-TX)連接。5.3.1 園區(qū)主干交換機(jī)園區(qū)主干交換機(jī)是指連接服務(wù)器及樓與樓之間、層與層之間的數(shù)據(jù)交換設(shè)備。根據(jù)企業(yè)網(wǎng)工程的不同階段中網(wǎng)絡(luò)信息點(diǎn)增加及其間伴隨著的使用需求增長，對(duì)主干交換機(jī)基本設(shè)備

55、的選型及其階段性的擴(kuò)展需求進(jìn)行總體的合理規(guī)劃。因此本次方案設(shè)計(jì)采用Catalyst4506交換機(jī)，它采用了SupervisorEngineV-10GE的領(lǐng)先引擎，它的最高性能可以達(dá)到102Mpps和136Gbit/s,在遠(yuǎn)程辦公室環(huán)境中，這類交換機(jī)即可以作為單臺(tái)交換機(jī)發(fā)揮作用，也可以作為包含少量交換機(jī)的中小型網(wǎng)絡(luò)的園區(qū)主干交換機(jī)。在ISP網(wǎng)絡(luò)環(huán)境中，因?yàn)檫@個(gè)平臺(tái)具有CISCO長距離以太網(wǎng)的功能，所以這些交換機(jī)能夠用于匯聚業(yè)務(wù)服務(wù)和用戶的接入。在性能方面，通過使用SupervisorIII或SupervisorII+只支持第二層，但是能夠支持64Gbit/s,同時(shí)具有很強(qiáng)的擴(kuò)展性及多業(yè)務(wù)特性，可

56、以滿足未來企業(yè)豐富的業(yè)務(wù)需求及提供投資保護(hù)。采用交換機(jī)而不使用共享式集線器到桌面是由于企業(yè)實(shí)際使用情況是要求集中突發(fā)性、工作效率、生產(chǎn)效率性以及當(dāng)前網(wǎng)絡(luò)技術(shù)的主流及后續(xù)的擴(kuò)展性及兼容性等的考慮，即職工工作時(shí)間段相對(duì)集中的情況比較多且工作效率要求很高，如果使用共享到桌面，網(wǎng)絡(luò)就會(huì)產(chǎn)生擁阻而影響速度，因此在企業(yè)網(wǎng)中應(yīng)使用百兆交換到桌面。在十兆與百兆交換機(jī)中應(yīng)選擇百兆交換，因?yàn)?0兆雖然在有些職工的網(wǎng)絡(luò)使用中剛剛能達(dá)到要求，但是已經(jīng)不適應(yīng)功能越來越強(qiáng)的計(jì)算機(jī)與新的應(yīng)用軟件的發(fā)展，更不適應(yīng)更快的計(jì)算機(jī)通訊產(chǎn)品的要求，將成為它們之間最大的瓶頸。5.3.2 出口路由器在此方案中，考慮該企業(yè)Internet出口路由器的配置，采用一臺(tái)CISCO3640路由器，因?yàn)镃ISCO3600系列是模塊化設(shè)備，提供了更多的槽和更高的處理能力，它的用途是支持大型分支機(jī)構(gòu)中的復(fù)雜應(yīng)用，或作為中心路由器為多個(gè)遠(yuǎn)程站點(diǎn)提供連接，它的網(wǎng)絡(luò)模塊最高可支持OC-3的速度，且對(duì)大多數(shù)企業(yè)具有豐富的可提高擴(kuò)展能力。CISCO3640也是CISCO多服務(wù)行列中的一員，它支持連接語音線路、電話和專用分組交換機(jī)（PBX）,提供LAN介質(zhì)、串行接口、