1、設(shè)計成績艮肌理N犬孝城市學院CITY COLLEGE,KUNMING UNIVERSITY OF SCIENCE AND TECHNOLOGY課程設(shè)計課程名稱設(shè)計題目專業(yè)年級學 號 學生姓名 指導教師年月日昆明理工大學城市學院課程設(shè)計任務(wù)書信息工程系 電氣工程及其自動化 專業(yè) 2010 年級學生姓名 課程設(shè)計題目課程設(shè)計主要內(nèi)容XX企業(yè)網(wǎng)組建目的是實現(xiàn)企業(yè)各個部門各個區(qū)域之間的網(wǎng)絡(luò)化，包括管理 部門，財務(wù)部門，生產(chǎn)單位等各個地點之間都能實現(xiàn)計算機聯(lián)網(wǎng)， 并且整個企業(yè)網(wǎng)絡(luò)接入In ternet互聯(lián)網(wǎng)。XX企業(yè)是分區(qū)域的連鎖 機構(gòu)，且每個區(qū)域又有相應(yīng)的部門，由于沒有企業(yè)專用網(wǎng)絡(luò)，這 些分割多地的設(shè)

2、備基本上分散使用，資源不能共享，相互間及與 外界不能進行信息交流?，F(xiàn)以通用的網(wǎng)絡(luò)方案編制規(guī)范撰寫一個網(wǎng)絡(luò)設(shè)計方案的書面 文檔，在該文檔中要包括（但不限于）需求分析概述、網(wǎng)絡(luò)建設(shè)的目標 與原則、技術(shù)選擇與技術(shù)設(shè)計、網(wǎng)絡(luò)管理與安全、設(shè)備清單等。）指導教師（簽字）系主任（簽字）年 月 日摘要當今世界，隨著信息技術(shù)，特別是網(wǎng)絡(luò)技術(shù)，軟件技術(shù)的高速發(fā) 展，信息化已經(jīng)并正在滲透到經(jīng)濟、社會發(fā)展的各個領(lǐng)域。隨著我國 經(jīng)濟與科技的不斷進步， 企業(yè)信息化管理作為為網(wǎng)絡(luò)時代的產(chǎn)物， 已 經(jīng)成為企業(yè)管理發(fā)展的方向。 加快我國企業(yè)信息化發(fā)展已經(jīng)成為推動 我國經(jīng)濟實現(xiàn)快速健康發(fā)展的戰(zhàn)略選擇?，F(xiàn)在很多公司除了處理本地或地

3、區(qū)性事務(wù)外，還要考慮全國甚至 全球市場和物流的問題，很多公司在全國甚至全球都設(shè)有分支機構(gòu)， 企業(yè)的員工和 IT 網(wǎng)絡(luò)也隨之分布各處， 網(wǎng)絡(luò)管理的形式也以分散的組 織結(jié)構(gòu)為主，即各自為戰(zhàn)，每個分公司或站點都分別管理自己的 IT 資源。分散組織結(jié)構(gòu)的網(wǎng)絡(luò)管理給予了所屬每家分支機構(gòu)充分的決策 靈活性， 但卻給企業(yè)整體管理帶來無窮的管理風險， 并極大的增加了 IT方面的投入，而且不易維護。所以，隨著各企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模的急劇膨脹，企業(yè)業(yè)務(wù)的發(fā)展使 得企業(yè)必須把其本地的信 息系統(tǒng)和外地分支機構(gòu)的信息系統(tǒng)互聯(lián)互通， 以共享信息等資源； 同 時，企業(yè)更注重從戰(zhàn)略目標出發(fā)， 建立一個支持全企業(yè)的集成信息系 統(tǒng)，

4、來實現(xiàn)管理控制上的統(tǒng)一和協(xié)調(diào)。第一章、前言 5第二章、需求分析52.1工程項目概況52.2信息點分布62.3需求分析6第三章、網(wǎng)絡(luò)方案設(shè)計 83.1網(wǎng)絡(luò)拓撲結(jié)構(gòu)介紹 .83.2網(wǎng)絡(luò)拓撲圖9骨干核心層網(wǎng)絡(luò)設(shè)計 9332核心層網(wǎng)絡(luò)設(shè)計10333匯聚層網(wǎng)絡(luò)設(shè)計11接入層網(wǎng)絡(luò)設(shè)計11廣域網(wǎng)互聯(lián)設(shè)計12冗余/負載均衡設(shè)計 12線路冗余12網(wǎng)絡(luò)設(shè)備冗余/負載均衡設(shè)計13服務(wù)器冗余設(shè)計 153.3. 10 IP地址規(guī)劃原則 163.4方案特點.19第四章、工程實施204.1 路由協(xié)議OSPF204.2 端口安全與認證（基于 802.1X） 20第五章、網(wǎng)絡(luò)安全與測試 275.1 完善的安全機制.275.2

5、解決安全威脅 295.3 VPN （虛擬專用網(wǎng)）29總結(jié)與體會 30參考文獻.30第一章、前言信息化是衡量企業(yè)綜合實力的一項重要指標。目前，很多現(xiàn)化化企業(yè)都將信 息化作為企業(yè)發(fā)展的戰(zhàn)略之一， 而企業(yè)信息化戰(zhàn)略規(guī)劃則成為實現(xiàn)這一戰(zhàn)略的藍 圖。那么，什么是企業(yè)信息化戰(zhàn)略規(guī)劃呢 ?它指的是，以整個企業(yè)的中長期發(fā)展目標、發(fā)展戰(zhàn)略和企業(yè)的生產(chǎn)流程、各 部門的業(yè)務(wù)需求為基礎(chǔ)， 結(jié)合行業(yè)信息化方面的實踐和對信息技術(shù)發(fā)展趨勢的掌 握，定義出企業(yè)信息化建設(shè)的遠景、使命、目標和戰(zhàn)略，規(guī)劃出企業(yè)信息化建設(shè) 的未來架構(gòu)。該架構(gòu)主要涵蓋了企業(yè)業(yè)務(wù)架構(gòu)、企業(yè)信息架構(gòu)、企業(yè)應(yīng)用架構(gòu)、 企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施架構(gòu)等， 為信息化建設(shè)

6、的實施提供一副完整的藍圖， 全面系統(tǒng) 地指導企業(yè)信息化建設(shè)的進程。 所以，離開了企業(yè)信息化規(guī)劃來進行企業(yè)的網(wǎng)絡(luò) 設(shè)計是毫無意義的。本文站在企業(yè)信息化戰(zhàn)略規(guī)劃的高度， 詳細闡述了組建企業(yè)集成網(wǎng)絡(luò)系統(tǒng)的 設(shè)計流程、開發(fā)特點和規(guī)范，根據(jù)網(wǎng)絡(luò)設(shè)計的原則，以及網(wǎng)絡(luò)的性能指標特點， 結(jié)合現(xiàn)代較新的網(wǎng)絡(luò)技術(shù)， 萬兆以太網(wǎng)主干技術(shù)， 提出了現(xiàn)代企業(yè)網(wǎng)絡(luò)的設(shè)計所 采用的技術(shù)和方法，本文對于企業(yè)級組網(wǎng)具有一定的技術(shù)意義。第二章、 需求分析2.1 工程項目概況XX集團為了加快信息化建設(shè)，新的集團企業(yè)網(wǎng)將建設(shè)一個以集團辦公自動 化、電子商務(wù)、業(yè)務(wù)綜合管理、多媒體視頻會議、遠程通訊、信息發(fā)布及查詢?yōu)?核心，以現(xiàn)代網(wǎng)絡(luò)技

7、術(shù)為依托，技術(shù)先進、擴展性強，將集團的各種辦公室、多 媒體會議室、PC終端設(shè)備、應(yīng)用系統(tǒng)通過網(wǎng)絡(luò)連接起來，實現(xiàn)內(nèi)、外溝通的現(xiàn)代 化計算機網(wǎng)絡(luò)系統(tǒng)。該網(wǎng)絡(luò)系統(tǒng)是支持辦公自動化、供應(yīng)鏈管理、ERP以及各應(yīng)用系統(tǒng)運行的基礎(chǔ)設(shè)施，為了確保這些關(guān)鍵應(yīng)用系統(tǒng)的正常運行、安全和發(fā)展， 系統(tǒng)必須具備如下的特性：1、采用先進的網(wǎng)絡(luò)通信技術(shù)完成集團企業(yè)網(wǎng)的建設(shè)，實現(xiàn)各分公司的信息 化；2、在整個企業(yè)集團內(nèi)實現(xiàn)所有部門的辦公自動化，提高工作效率和管理服 務(wù)水平；3、在整個企業(yè)集團內(nèi)實現(xiàn)資源共享、產(chǎn)品信息共享、實時新聞發(fā)布；4、在整個企業(yè)集團內(nèi)實現(xiàn)財務(wù)電算化；5、在整個企業(yè)集團內(nèi)實現(xiàn)集中式的供應(yīng)鏈管理系統(tǒng)和客戶服務(wù)關(guān)

8、系管理系 統(tǒng)；具體要求:WWW務(wù)E-mail、FTP服務(wù)網(wǎng)上多媒體教學，能提供視頻點播服務(wù)集團內(nèi)行政管理撥號上網(wǎng)服務(wù)2.2信息點分布主要信息點集中在生產(chǎn)部、賬務(wù)部、網(wǎng)絡(luò)中心、職工宿舍與醫(yī)療衛(wèi)生等部門。詳 細分布如表1所示。地點信息點備注網(wǎng)絡(luò)中心40需保證速度、流量和可靠性生產(chǎn)部150需保證速度、流量和可靠性賬務(wù)部120需保證速度、流量和安全性職工宿舍1000需保證速度和流量醫(yī)療衛(wèi)生10需保證速度和可靠性銷售部100綜合設(shè)計30表1主要信息點分布2.3需求分析為適應(yīng)企業(yè)信息化的發(fā)展，滿足日益增長的通訊需求和網(wǎng)絡(luò)的穩(wěn)定運行， 今 天的大型企業(yè)網(wǎng)絡(luò)建設(shè)比傳統(tǒng)企業(yè)網(wǎng)絡(luò)建設(shè)提出更高的要求， 主要表現(xiàn)在如

9、下幾 個方面：1）現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，支持10GE 或?qū)砥交^渡到 10GE ，更強大的性能，以滿足用戶日益增長的通訊需求；隨著計算機技術(shù)的高速發(fā)展， 基于網(wǎng)絡(luò)的各種應(yīng)用日益增多， 今天的企業(yè)網(wǎng) 絡(luò)已經(jīng)發(fā)展成為一個多業(yè)務(wù)承載平臺，它不僅要繼續(xù)承載企業(yè)的辦公自動化和 WEB 瀏覽等簡單的數(shù)據(jù)業(yè)務(wù)，還要承載涉及企業(yè)生產(chǎn)運營的各種業(yè)務(wù)應(yīng)用系統(tǒng) 數(shù)據(jù)，以及帶寬和時延都要求很高的 IP 電話、視頻會議等多媒體業(yè)務(wù)，因此數(shù) 據(jù)流量將大大增加， 尤其是對核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出前所未有的要求。 另 外，隨著千兆端口的成本持續(xù)下降， 千兆到桌面的應(yīng)用會在不久的將來成為企業(yè) 網(wǎng)的主流。從200

10、5年全球交換機市場分析可以看到，增長最迅速的就是 10G級 別機箱式交換機，由此可見， 萬兆的大規(guī)模應(yīng)用已經(jīng)真正開始。 所以今天的企業(yè) 網(wǎng)絡(luò)已經(jīng)不能再用百兆到桌面千兆骨干來作為建網(wǎng)的標準， 它的核心層及骨干層 必須具有萬兆級帶寬和處理性能，才能構(gòu)筑一個暢通無阻的 “高品質(zhì) ”大型企業(yè) 網(wǎng)，從而適應(yīng)網(wǎng)絡(luò)規(guī)模擴大，業(yè)務(wù)量日益增長的需要。2）現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更全面的可靠性設(shè)計，以實現(xiàn)網(wǎng)絡(luò)通訊的實時暢通，保障 企業(yè)生產(chǎn)運營的正常進行；隨著企業(yè)各種業(yè)務(wù)應(yīng)用逐漸轉(zhuǎn)移到計算機網(wǎng)絡(luò)上來， 網(wǎng)絡(luò)通訊的無中斷運行 已經(jīng)成為保證企業(yè)正常的生產(chǎn)運營的關(guān)鍵。 現(xiàn)代大型企業(yè)網(wǎng)絡(luò)在可靠性設(shè)計方面 主要應(yīng)從三方面考慮：

11、 首先是設(shè)備級可靠性設(shè)計， 這里不僅要考察網(wǎng)絡(luò)設(shè)備是否 實現(xiàn)了關(guān)鍵部件的冗余備份， 還要從網(wǎng)絡(luò)設(shè)備整體設(shè)計架構(gòu)、 處理引擎種類等多 方面去考察； 其次是業(yè)務(wù)的可靠性設(shè)計， 這里要注意網(wǎng)絡(luò)設(shè)備在故障倒換過程中 是否對業(yè)務(wù)的正常運行有影響； 再次是鏈路的可靠性設(shè)計， 以太網(wǎng)的鏈路安全來 自于它的多路徑選擇， 所以在企業(yè)網(wǎng)絡(luò)建設(shè)時要考慮網(wǎng)絡(luò)設(shè)備是否能夠提供有效 的鏈路自愈手段和快速重路由協(xié)議的支持。3） 現(xiàn)代大型企業(yè)網(wǎng)絡(luò)需要提供完善的端到端QOS 保障，以滿足企業(yè)網(wǎng)多業(yè)務(wù)承載的 需求；大型企業(yè)網(wǎng)絡(luò)承載業(yè)務(wù)的不斷增多， 單純的提高帶寬并不能夠有效的保障數(shù) 據(jù)交換的暢通無阻， 正如八車道的長安街也經(jīng)常堵

12、車一樣， 所以今天的大型企業(yè) 網(wǎng)絡(luò)建設(shè)必須要考慮到網(wǎng)絡(luò)應(yīng)能夠智能的識別應(yīng)用事件的緊急和重要程度， 如視 頻、音頻、數(shù)據(jù)流（MIS、ERP、OA、備份數(shù)據(jù)），同時能夠調(diào)度網(wǎng)絡(luò)中的資源， 保證重要和緊急業(yè)務(wù)的帶寬、時延、 優(yōu)先級和無阻塞的傳送， 實現(xiàn)對業(yè)務(wù)的合理 調(diào)度才是一個大型企業(yè)網(wǎng)絡(luò)提供 “高品質(zhì) ”服務(wù)的保障。4）現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)安全解決方案，以阻擊病毒和黑客的攻擊， 減少企業(yè)的經(jīng)濟損失；傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全措施主要是通過部署防火墻、IDS、殺毒軟件以及配合交換機或路由器的 ACL 來實現(xiàn)對于病毒和黑客攻擊的防御，但實踐證明這些被 動的防御措施并不能有效的解決企業(yè)網(wǎng)絡(luò)的安全問

13、題。 在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司 生產(chǎn)運營的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接入控 制，病毒報文識別到主動抑制的一系列安全控制手段， 才能有效的保證企業(yè)網(wǎng)絡(luò) 的穩(wěn)定運行。5）現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具備更智能的網(wǎng)絡(luò)管理解決方案，以適應(yīng)網(wǎng)絡(luò)規(guī)模日益擴大， 維護工作更加復雜的需要；當前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為 “以應(yīng)用為中心 ”的信息基礎(chǔ)平臺， 網(wǎng)絡(luò)管理能力的 要求已經(jīng)上升到了業(yè)務(wù)層次， 傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的智能已經(jīng)不能有效支持網(wǎng)絡(luò)管理 需求的發(fā)展。比如， 網(wǎng)絡(luò)調(diào)試期間最消耗人力與物力的線纜故障定位工作， 網(wǎng)絡(luò) 運行期間對不同用戶靈活的服務(wù)策略部署、 訪問權(quán)限控制、 以及網(wǎng)絡(luò)日志審計和 病毒控制能

14、力等方面的管理工作， 由于受網(wǎng)絡(luò)設(shè)備功能本身的限制， 都還屬于費 時、費力，有時甚至是不可能的任務(wù)， 所以現(xiàn)代的大型企業(yè)網(wǎng)絡(luò)迫切需要網(wǎng)絡(luò)設(shè) 備具備支撐 “以應(yīng)用為中心 ”的智能網(wǎng)絡(luò)運營維護的能力， 并能夠有一套智能化的 管理軟件，將網(wǎng)絡(luò)管理人員從繁重的工作中解脫出來。第三章、 網(wǎng)絡(luò)方案設(shè)計3.1 網(wǎng)絡(luò)拓撲結(jié)構(gòu)介紹在此次XX集團大型企業(yè)網(wǎng)的設(shè)計中，我們采用層次化模型來設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)。所謂“層次化”模型，就是將復雜的網(wǎng)絡(luò)設(shè)計分成幾個層次， 每個層次著 重于某些特定的功能，這樣就能夠使一個復雜的大問題變成許多簡單的小問題。層次模型既能夠應(yīng)用于局域網(wǎng)的設(shè)計，也能夠應(yīng)用于廣域網(wǎng)的設(shè)計。層次化模型的好處

15、：在大型企業(yè)網(wǎng)設(shè)計中，使用層次化模型有許多好處，列舉如下：1、節(jié)省成本在采用層次模型之后， 各層次各司其職， 不再在同一個平臺上考慮所有 的事情。層次模型模塊化的特性使網(wǎng)絡(luò)中的每一層都能夠很好地利用帶寬， 減少 了對系統(tǒng)資源的浪費。2、易于理解層次化設(shè)計使得網(wǎng)絡(luò)結(jié)構(gòu)清晰明了， 可以在不同的層次實施不同難度的管理，降低了管理成本。3、易于擴展在網(wǎng)絡(luò)設(shè)計中， 模塊化具有的特性使得網(wǎng)絡(luò)增長時網(wǎng)絡(luò)的復雜性能夠限制在 子網(wǎng)中， 而不會蔓延到網(wǎng)絡(luò)的其他地方。 而如果采用扁平化和網(wǎng)狀設(shè)計， 任何一 個節(jié)點的變動都將對整個網(wǎng)絡(luò)產(chǎn)生很大影響。4、易于排錯層次化設(shè)計能夠使網(wǎng)絡(luò)拓撲結(jié)構(gòu)分解為易于理解的子網(wǎng)， 網(wǎng)絡(luò)管

16、理者能夠輕易地確定網(wǎng)絡(luò)故障的范圍，從而簡化了排錯過程3.2網(wǎng)絡(luò)拓撲圖網(wǎng)絡(luò)拓撲圖如圖1所示MRS 7SO4DC5«ZbVDCRS-75&8LinklDCRS-750SDCRS-7504 DCR5-7SCISnC52*IlLK3OG 1OOUI 1C/IOOI圖1網(wǎng)絡(luò)拓撲圖3.3網(wǎng)絡(luò)設(shè)計骨干核心層網(wǎng)絡(luò)設(shè)計大型企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的核心網(wǎng)主要完成整個企業(yè)集團內(nèi)部不同地域企業(yè) 之間的高速數(shù)據(jù)路由轉(zhuǎn)發(fā)，以及維護全網(wǎng)路由的計算。鑒于大型集團企業(yè)的用戶 數(shù)量眾多，業(yè)務(wù)復雜，QOS要求較高的特點，在本方案中采用神州數(shù)碼的DCRS-7508高密度多業(yè)務(wù)核心路由交換機組建高性能的核心網(wǎng)絡(luò)平臺。神州數(shù)

17、碼DCRS-7500系列交換機是具有運營商級容錯能力的高性能大型網(wǎng)絡(luò)核心交換機，可為高校和運營商提供基于領(lǐng)先技術(shù)的卓越性能和可靠性。DCRS-750C系列交換機專為發(fā)揮萬兆、千兆以太網(wǎng)潛在的強大交換能力而設(shè)計， 超大容量的交換背板使得包括萬兆端口在內(nèi)的每個端口具備全線速交換能力， 確 保在巨大的網(wǎng)絡(luò)通信負載下始終能夠輕松實現(xiàn)線速的第二層和第三層交換， 是城 域網(wǎng)、數(shù)據(jù)中心、智能大廈及企業(yè)網(wǎng)絡(luò)骨干級核心路由交換機的理想選擇。DCRS-7500系列交換機具有三種型號，包括 15插槽的DCRS-7515 8插 槽的DCRS-7508和4插槽的DCRS-7504除 DCRS-7515專用的大功率電源模

18、塊外， 該系列交換機的所有管理模塊、 交換模塊以及電源模塊都可互換使用， 而且管理 模塊、電源模塊、 風扇等還可實現(xiàn)冗余備份， 溫度傳感器可以隨時監(jiān)控各個部件 的工作溫度，從而提供運營商級的可靠性。DCRS-7500系列交換機的一大特色 是管理模塊均帶有業(yè)務(wù)接口， 使得所有的插槽均為有效的業(yè)務(wù)插槽， 從而大大提 高了端口密度和插槽利用率。在骨干核心層中，我們采用三臺神州數(shù)碼DCRS-7508核心路由交換機組成一 個環(huán)形多機熱備份的核心交換機系統(tǒng)解決方案。 為提高核心網(wǎng)絡(luò)的健壯性， 實現(xiàn) 鏈路的安全保障，本方案骨干核心層環(huán)網(wǎng)中可以采用VRRP（虛擬路由器冗余協(xié)議）。對于各個業(yè)務(wù)VLAN可以指向這

19、個虛擬的IP地址作為網(wǎng)關(guān)，因此應(yīng)用 VRRP 技術(shù)為核心交換機提供一個可靠的網(wǎng)關(guān)地址， 以實現(xiàn)在核心層核心交換機之間進 行設(shè)備的硬件冗余，一主兩備，共用一個虛擬的 IP地址和MAC地址，通過內(nèi)部 的協(xié)議傳輸機制可以自動進行工作角色的切換。 進而雙引擎、 雙電源的設(shè)計為網(wǎng) 絡(luò)高效處理大集中數(shù)據(jù)提供了可靠的保障。3.3.2 核心層網(wǎng)絡(luò)設(shè)計大型企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的核心層網(wǎng)絡(luò)主要完成園區(qū)內(nèi)各匯聚層設(shè)備之間的 數(shù)據(jù)交換和與骨干核心層網(wǎng)絡(luò)之間的路由轉(zhuǎn)發(fā)。 傳統(tǒng)解決方案一般采用骨干路由 器+核心交換機來組建，但這種方式受限于交換機的性能，在提供MPLS VPN勺業(yè)務(wù)能力方面較弱， 不適合大型企業(yè)網(wǎng)絡(luò)的建設(shè)需求

20、， 同時現(xiàn)在的大型企業(yè)辦公 網(wǎng)絡(luò)具有城域網(wǎng)的特點， 網(wǎng)絡(luò)發(fā)展具有網(wǎng)絡(luò)扁平化的發(fā)展方向， 因此本方案骨干層網(wǎng)絡(luò)設(shè)備采用DCRS-7508核心路由交換機作為大型企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的園區(qū) 核心路由交換設(shè)備，DCRS-7508具有強大的業(yè)務(wù)和路由處交換理能力，能提供如MPLS/PN QoS策略路由、NAT PPPoE/Web/802.1x/L2TP認證等豐富業(yè)務(wù)能力， 并可通過內(nèi)置防火墻模塊實現(xiàn)各種強大的網(wǎng)絡(luò)安全策略， 可以充分滿足大型企業(yè) 不同園區(qū)網(wǎng)絡(luò)的高速數(shù)據(jù)交換和支持多業(yè)務(wù)功能的要求， 并能夠提供完善的安全 防御策略，保障企業(yè)園區(qū)網(wǎng)絡(luò)的穩(wěn)定運行。3.3.3 匯聚層網(wǎng)絡(luò)設(shè)計匯聚層網(wǎng)絡(luò)主要完成企業(yè)各園

21、區(qū)內(nèi)辦公樓宇和相關(guān)單位的內(nèi)接入交換機的匯聚及數(shù)據(jù)交換和VLAN終結(jié)，在本方案中采用神州數(shù)碼的 DCRS-750較換機多 層交換機作為匯聚層面的交換機。DCRS-750較換機在提供高密度千兆端口接入 的同時還能夠滿足匯聚層智能高速處理的需要 , 并能夠加靈活的部署在網(wǎng)絡(luò)邊緣 的各個位置。能夠同時提供多個高速專用堆疊端口和百兆、千兆光口 /電口。這 些交換機都具備較強的多業(yè)務(wù)提供能力，可支持包括智能的CCL MPLS組播在內(nèi)的各種業(yè)務(wù)。為用戶提供豐富 高性價比的組網(wǎng)選擇。3.3.4 接入層網(wǎng)絡(luò)設(shè)計以往傳統(tǒng)企業(yè)網(wǎng)絡(luò)接入層的建設(shè)中并不關(guān)注于安全控制和QOSI供能力，而將網(wǎng)絡(luò)的安全防御措施和QOS保障依

22、賴于網(wǎng)絡(luò)的匯聚層或骨干層設(shè)備，這給匯聚 層和骨干層設(shè)備帶來了巨大的壓力， 往往內(nèi)網(wǎng)病毒泛濫成災(zāi)后導致骨干層設(shè)備癱 機，使網(wǎng)絡(luò)沒有QOSK務(wù)質(zhì)量保障。DCRS-2026B智能寬帶接入交換機是能滿足高安全、多業(yè)務(wù)承載、高性能的 網(wǎng)絡(luò)環(huán)境智能交換機，具備傳統(tǒng)二層交換機大容量、高性能等優(yōu)點， 同時還具有 領(lǐng)先的安全特性，進一步加強了企業(yè)網(wǎng)絡(luò)對邊緣接入層面的安全控制能力。用戶可以根據(jù)需要來訂制自身的安全策略并部署在此交換機上。 該產(chǎn)品具備的端口 帶寬限制、端口鏡像、QoS端口安全、廣播風暴抑制等功能可以很好的協(xié)助用 戶實現(xiàn)網(wǎng)絡(luò)的管理和維護。除此之外，此交換機還具備多個專用堆疊接口， 可以 滿足樓層，樓宇

23、內(nèi)多個交換機高性能匯聚的需要。3.3.5 廣域網(wǎng)互聯(lián)設(shè)計針對于大型企業(yè)需要良好的出口網(wǎng)關(guān)設(shè)備，我們建議用戶選用神州數(shù)碼DCFW-1800S-L神州數(shù)碼DCFW-1800E-G防火墻專為千兆位流量的網(wǎng)絡(luò)服務(wù)運營商， 大型數(shù) 據(jù)中心等骨干網(wǎng)絡(luò)而設(shè)計，采用2U專用千兆安全平臺，完全模塊化可擴展結(jié)構(gòu)， 具有熱插 拔特 性的冗 余部件為您提供最大 的不間斷運行時間。 神州數(shù)碼 DCFW-1800E-(防火墻內(nèi)置2個10/100/1000M自適應(yīng)以太網(wǎng)電口，具備 6個SFP 擴展插槽，最多可擴展至 8 個千兆接口，接口模塊類型支持單模、多模光纖，千 兆電口，充分滿足您的定制需求。3.3.6 冗余 /負載均

24、衡設(shè)計冗余設(shè)計是網(wǎng)絡(luò)設(shè)計的重要部分， 是保證網(wǎng)絡(luò)整體可靠性能的重要手段。 但 是投資也將增加。部分企業(yè)園區(qū)網(wǎng)在早期的建設(shè)中由于成本的原因并未在設(shè)計中 考慮冗余問題， 而在優(yōu)化工作中則需從網(wǎng)絡(luò)鏈路和網(wǎng)絡(luò)設(shè)備兩方面著手。 冗余設(shè) 計可以貫穿整個層次化結(jié)構(gòu)， 每個冗余設(shè)計都有針對性， 可以選擇其中一部分或 幾部分應(yīng)用到網(wǎng)絡(luò)中以針對重要的應(yīng)用。 萬一網(wǎng)絡(luò)中某條路徑失效時， 冗余鏈路 可以提供另一條物理路徑?？刹捎?GEC鏈路聚合(IEEE802.3ad)實現(xiàn)端口級冗 余，以克服某個端口或線路引起的故障。也可采用生成樹協(xié)議(IEEE802.1d )提 供設(shè)備級的冗余連接。此外，我們在設(shè)計中提供不同物理方

25、向的雙歸屬、 雙路由 保護。在企業(yè)網(wǎng)骨干核心層， 企業(yè)網(wǎng)絡(luò)邊界拓撲結(jié)構(gòu)由于采用了環(huán)形多機熱備份的 核心交換機系統(tǒng)解決方案， 所以在線路冗余方面的要求較高， 對于線路的冗余要 求，我們采用10GE線路對三臺企業(yè)網(wǎng)骨干核心層設(shè)備進行環(huán)行雙向備份，并使 用業(yè)界領(lǐng)先的VRRP（虛擬路由器冗余協(xié)議）來對其作為冗余線路的協(xié)議保障。以GEC乍為N*1000M主干鏈路，通過這個鏈路連接骨干網(wǎng)交換機， 具備萬兆擴展 能力；接入交換機采用 10/100M 自適應(yīng)端口連接桌面系統(tǒng)， 多千兆鏈路連接到匯 聚層。GEC路具有鏈路聚合和冗余保證兩大特性，下面我們將對它們依次進行介紹鏈路聚合：可使用一條物理鏈路在不同品牌交

26、換機之間、 交換機和服務(wù)器間提供聚合的 高速通道，在不增加投資的情況下， 擴大交換帶寬， 使關(guān)鍵連接的傳輸效率更高冗余保證：鏈路聚合中， 成員互相動態(tài)備份。當某一鏈路中斷時，其它成員能夠迅速接 替其工作。與生成樹協(xié)議不同， 鏈路聚合啟用備份的過程對聚合之外是不可見的， 而且啟用備份過程只在聚合鏈路內(nèi)，與其它鏈路無關(guān)，切換可在數(shù)毫秒內(nèi)完成。綜合分析以上各主流方案的優(yōu)缺點， 從性能與成本及拓展性等方面的綜合考 慮出發(fā)，我們決定采用 GEC骨干核心網(wǎng)絡(luò)10GE拓展的方式作為其鏈路選擇及備 份選擇。在企業(yè)網(wǎng)匯聚層及接入層出于成本及性價比的考慮，我們決定采用千兆匯 聚，萬兆拓展；百兆到桌面的鏈路選擇。3

27、.3.8 網(wǎng)絡(luò)設(shè)備冗余 /負載均衡設(shè)計當前，無論在企業(yè)網(wǎng)、園區(qū)網(wǎng)還是在廣域網(wǎng)如 Internet 上，業(yè)務(wù)量的發(fā)展 都超出了過去最樂觀的估計，上網(wǎng)熱潮風起云涌，新的應(yīng)用層出不窮， 即使按照 當時最優(yōu)配置建設(shè)的網(wǎng)絡(luò)，也很快會感到吃不消。尤其是各個網(wǎng)絡(luò)的核心部分， 其數(shù)據(jù)流量和計算強度之大，使得單一設(shè)備根本無法承擔。負載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上， 它提供了一種廉價有效的方法擴展服務(wù) 器帶寬和增加吞吐量，加強網(wǎng)絡(luò)數(shù)據(jù)處理能力， 提高網(wǎng)絡(luò)的靈活性和可用性。 它 主要完成以下任務(wù) : 解決網(wǎng)絡(luò)擁塞問題，服務(wù)就近提供，實現(xiàn)地理位置無關(guān)性 ; 為用戶提供更好的訪問質(zhì)量 ; 提高服務(wù)器響應(yīng)速度 ; 提高服務(wù)

28、器及其他資源的利 用效率; 避免了網(wǎng)絡(luò)關(guān)鍵部位出現(xiàn)單點失效。在此方案中， 在網(wǎng)絡(luò)的每個關(guān)鍵結(jié)點， 我們在設(shè)計時都做到了對其有效的冗 余備份和負載均衡。在網(wǎng)絡(luò)的骨干核心層上。我們采用了三臺銳捷 網(wǎng)絡(luò)的 RG-S8610高密度多業(yè)務(wù)IPV6核心路由交換機組建高性能的核心網(wǎng)絡(luò)平臺，在對 骨干核心層提供足夠的網(wǎng)絡(luò)接點和接入需求的同時最大限度的為網(wǎng)絡(luò)提供了有 效的冗余保障和負載均衡。 在核心層的每個區(qū)塊， 我們都采用了兩臺銳捷網(wǎng)絡(luò)的 RG-S8606度多業(yè)務(wù)IPV6核心路由交換機做到冗余與負載均衡。在匯聚層的每個 區(qū)塊，我采用了兩臺銳捷網(wǎng)絡(luò)的RG-S5750交換機多層交換機做到冗余與負載均 衡。在本方案

29、的設(shè)計中，出現(xiàn)了兩個以上的交換區(qū)塊和需要提供冗余連接的時 候，我們采用了雙核心配置。 如下圖， 我們給出了從接入層到匯聚層再到核心層 的雙核心配置。瓷換區(qū)塊1燥入層空吸匿塊2接入屬雙核心拓撲結(jié)構(gòu)提供了兩條等代價路徑和雙倍的帶寬。每個核心交換機連接 著數(shù)目相同的子網(wǎng)到第三層匯聚設(shè)備上。 每個交換區(qū)塊都有冗余的連接到核心交 換機上，因此形成兩條不同的，但是等代價的連接。如果一條核心設(shè)備發(fā)生故障， 還是能夠收斂，因為匯聚層設(shè)備的路由選擇表中還有另一條到核心設(shè)備的路由。 第3層路由選擇協(xié)議在核心中起鏈路選擇的作用，VRRP提供快速錯誤恢復。核心層不需要STR因為在核心交換機間沒有冗余的第 2層連接。服

30、務(wù)器冗余設(shè)計企業(yè)網(wǎng)中服務(wù)器、大型機，如網(wǎng)絡(luò)存儲服務(wù)器，SQL Server服務(wù)器，其存儲的數(shù)據(jù)對于企業(yè)來說致關(guān)重要，一些核心數(shù)據(jù)被視為企業(yè)的生命。一方面它對 企業(yè)的企業(yè)的重要性毋庸質(zhì)疑，另一方面，由于這些數(shù)據(jù)的性質(zhì)決定了其較大的 被訪問量，這個對服務(wù)器提出了穩(wěn)定和快速的要求。如果宕機，后果是技術(shù)是保障計算機系統(tǒng)的可靠性是重中之重。為此，我們采用的是雙機熱備技術(shù)，此技術(shù)能夠有效的滿足核心服務(wù)器高效，穩(wěn)定的高要求。而且相對于其它成本技術(shù)來 說，這是比較有經(jīng)濟價成效的技術(shù)。Server 1Server 2服務(wù)器雙機熱備技術(shù)具體技術(shù)實現(xiàn)：每個核心服務(wù)器均具有兩個以太網(wǎng)接口 （可以通過安裝雙網(wǎng) 卡實現(xiàn)）

31、，在此基礎(chǔ)上，以上圖為例，DB服務(wù)器A與DB服務(wù)器B先分別利用自 己的一個以太網(wǎng)接口實現(xiàn)兩個服務(wù)器之間的直連， 每個服務(wù)器另外的一個接口則 與服務(wù)器區(qū)的網(wǎng)絡(luò)實現(xiàn)互連，以達到雙機熱備的目的。因此增加服務(wù)器的穩(wěn)定性 與高效性。本網(wǎng)絡(luò)中應(yīng)具有多臺服務(wù)器設(shè)備，包括DB SERVERS據(jù)庫服務(wù) 器， WEB,CATALOG應(yīng)用服務(wù)器，NEWS,MAI等通訊服務(wù)器及多媒體服務(wù)器等。3.310 IP地址規(guī)劃原則IP地址構(gòu)成了整個In ternet的基礎(chǔ)，IP地址資源是整個In ternet的基本 核心資源，IP地址資源的合理分配和有效利用是整個 In ternet發(fā)展過程中持續(xù) 有效的一個極具分量的研究課題

32、。我們在對企業(yè)園區(qū)網(wǎng)IP地址編址設(shè)計和分配利用時，遵循了以下幾個原則：1）、自治：整個園區(qū)網(wǎng)絡(luò)網(wǎng)絡(luò)被劃分成幾個大的自治區(qū)域， 每個大自治區(qū)域 中又被劃分成幾個小的自治區(qū)域。2）、有序：我們按照自治原則將網(wǎng)絡(luò)進行邏輯劃分后，就根據(jù)地域、設(shè)備分布及區(qū)域內(nèi)用戶數(shù)量來進行子網(wǎng)規(guī)劃。同時，我們將IP地址規(guī)劃和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。在進行地址分配時，為了提高地 址分配效率和地址利用率，我們在編址設(shè)計時按照了一定的順序進行。選擇的順序是自上而下的順序，即采用了業(yè)界領(lǐng)先的自頂向下網(wǎng)絡(luò)設(shè)計（Top-Dow nNetwork Design ）方法。3） 、可持續(xù)性：考慮到園區(qū)內(nèi)網(wǎng)絡(luò)用

33、戶數(shù)將持續(xù)高速增長，網(wǎng)絡(luò)所要承載的業(yè)務(wù)量和業(yè)務(wù)種類越來越多，這使得網(wǎng)絡(luò)需要頻頻進行技術(shù)升級、改造和擴容。 所以，在進行地址分配時本方案充分考慮到了這些因素，為網(wǎng)絡(luò)的每個部分留有部分地址冗余，這樣保證網(wǎng)絡(luò)的可持續(xù)發(fā)展。4）、可聚合：互聯(lián)網(wǎng)日新月異的發(fā)展和日益龐大的規(guī)模令當初設(shè)計互聯(lián)網(wǎng)絡(luò) 的專家始料不及，在路由表急劇膨脹情況下，可聚合原則是網(wǎng)絡(luò)地址分配時所必 須遵守的最高原則，可聚合原則要求在進行地址規(guī)劃時， 應(yīng)提供足夠的路由冗余 功能。5）、盡量節(jié)約IPv4地址：由于IPv4地址越來越少，所以對于IPv4地址的 使用需要格外節(jié)約。IPv4地址的節(jié)約可以通過動態(tài)編址技術(shù)和 NAT技術(shù)等來實 現(xiàn)。6

34、） 、閑置IP地址回收利用：對于已分配出去的靜態(tài)IP地址進行定期追蹤管 理，對長時間閑置的IP地址可經(jīng)過確認后回收重復利用。此次方案的設(shè)計，我們決定采用一個內(nèi)部私有 A類地址（ ）對企業(yè)園區(qū)的網(wǎng)絡(luò)設(shè)備編址。由于從方案本身的網(wǎng)絡(luò)拓撲圖采用了典型的層次化設(shè)計， 所以對ip地址的編址設(shè)計也應(yīng)采取層次化的設(shè)計來完成，并采用VLSM來拓展有限的IP地址。網(wǎng)段描述所需的IP地址數(shù)骨干核心層鏈路5（ 2個用于拓展備份）集團總部1000生產(chǎn)礦500建井處500機械廠1000大型機/服務(wù)器群500企業(yè)VOIP語音系統(tǒng)2000VLSM是可變長子網(wǎng)掩碼的英文縮寫，它提供了一個主類（A類、B類、C類）

35、 網(wǎng)絡(luò)內(nèi)包含多個子網(wǎng)掩碼的能力，可以對一個子網(wǎng)再進行子網(wǎng)劃分。VLSM勺優(yōu)點對IP地址更為有效的使用應(yīng)用路由歸納的能力更強所以我們采取vlsm對網(wǎng)絡(luò)進行編址，以達到節(jié)約ip地址，能夠使用路由匯 總的目的。首先采用一個A類網(wǎng)址對園區(qū)網(wǎng)主體結(jié)構(gòu)進行編址，至上而下的設(shè)計思路有 利于設(shè)計的最后成型和網(wǎng)絡(luò)的健壯性。其次，在語音電話系統(tǒng)中，每一個ip電話需要一個ip地址以及諸如子網(wǎng)掩 碼、默認網(wǎng)關(guān)等的相關(guān)信息。事實上，這意味著一個組織需要指派兩倍于ip電話的ip地址給當前所有的pc用戶，這個由DHC提供。我們使用私有遍址的IP 電話作為語音電話遍址方案。私有遍址IP電話：1028.3

36、IP電話使用 網(wǎng)絡(luò)最后經(jīng)過我們的計算，將各部門ip地址分配如下表:IP地址網(wǎng)段VLAN編號默認網(wǎng)關(guān)財務(wù)部10:生產(chǎn)部20銷售部30；行政部40:用戶地址與VLAN劃分/IP電話+PC在同一交換機端口上/Web服務(wù)器 IP 地址：FTP服務(wù)器 IP 地址：路由器出口 IP地址：3.4方案特點本方案很好地解決了用戶要求的四個問題，即帶寬問題、安全問題、管理計 費問題、靈活擴展問題。帶寬問題：使用萬兆互連雙核心結(jié)構(gòu)，使網(wǎng)絡(luò)核心設(shè)備不但可以互相備 份，而且有效的減輕流量負荷，使設(shè)備時刻保持穩(wěn)定和高效。安全問題：校園網(wǎng)核心層、匯聚層、樓層匯聚層所使用的產(chǎn)品全部具有 網(wǎng)絡(luò)病毒和攻擊的

37、防護能力，并且防 DOS/DDO攻擊，因而可以在不同 的環(huán)境中做到安全防護，足以應(yīng)對突發(fā)事件，保持網(wǎng)絡(luò)穩(wěn)定、通暢。 管理計費問題： 統(tǒng)一認證，針對校園網(wǎng)開放式的信息點造成的安全隱 患，全網(wǎng)接入采用統(tǒng)一認證技術(shù)（可以進行賬號、 IP，MAC、LAVN ID、 交換機 IP 和交換機端口六要素靈活捆綁） ，保證了只有合法授權(quán)的用戶 才能使用網(wǎng)絡(luò)或外部網(wǎng)絡(luò)，而且還能對網(wǎng)絡(luò)的使用情況進行審計。靈活擴展問題：核心層使用的路由交換機 DCRS-7508有良好的擴展性， 可以為將來的網(wǎng)絡(luò)實現(xiàn)輕松擴展。第四章、 工程實施4.1 路由協(xié)議 OSPF在網(wǎng)絡(luò)骨干核心層和核心層以及匯聚層上需要使用三層設(shè)備為網(wǎng)絡(luò)內(nèi)部不

38、同的網(wǎng)段的數(shù)據(jù)和不同vian間的數(shù)據(jù)轉(zhuǎn)發(fā)而需要路由協(xié)議時，我們采用OSPF協(xié) 議作為路由協(xié)議。OSPF是一種典型的鏈路狀態(tài)路由協(xié)議。 采用OSPF勺路由器彼此交換并保存 整個網(wǎng)絡(luò)的鏈路信息，從而掌握全網(wǎng)的拓撲結(jié)構(gòu)，獨立計算路由。因為RIP路由協(xié)議不能服務(wù)于大型網(wǎng)絡(luò)，所以， IETF 的 IGP 工作組特別開發(fā)出鏈路狀態(tài)協(xié)議 OSPF 目前廣為使用的是 OSPF第二版，最新標準為 RFC2328OSPF乍為一種內(nèi)部網(wǎng)關(guān)協(xié)議（Interior Gateway Protocol， IGP），用于在同一個自治域（AS）中的路由器之間發(fā)布路由信息。區(qū)別于距離矢量協(xié)議 （RIP）， OSPF具有支持大型網(wǎng)

39、絡(luò)、路由收斂快、占用網(wǎng)絡(luò)資源少等優(yōu)點，在目前應(yīng)用的 路由協(xié)議中占有相當重要的地位。4.2 端口安全與認證（基于 802.1X ）a. 端口安全交換設(shè)備定義了對端口保護的功能， 我們能定義允許的最大 MAC 地址訪 問 數(shù)，或者靜態(tài)的定義特定的 MAC 地址。遇到不合法的 MAC 地址交換機采取的策 略。配置舉例端口安全性：>enable#configure terminal(config)#interface f0/1-if)#swithport port-security-if)#swithport port-security maximum4(該端口的mac地址 )-if)#swit

40、hportport-security violation shutdown (遇到其他端口則關(guān)閉，但可以人工打開 )保護端口：將接入層交換機各宿舍接口設(shè)置為保護口， 保護口之間間互相無法通迅， 保 護口與非保護口之間可以正常通迅：Switch(config)#interface Ethernet 0/1Switch(config)#switchport protectedb. 基于 802.1x 的端口認證基于端口的認證就是將 AAA 認證與端口保護相結(jié)合，默認情況下。一個 支持 802.1x 的交換機端口處于未授權(quán)狀態(tài)，除了和 802.1x 有關(guān)的數(shù)據(jù)，其他 數(shù)據(jù)都不能通過該端口， 只有客戶

41、的交換機創(chuàng)建了一個 802.1x 的會話，客戶被局域網(wǎng)授權(quán)訪 EAPO：L Extensible Authentication Protocol OVER LAN上的可擴展身 份認證。在端口處于未授權(quán)狀態(tài)下，客戶端只能使用 EAPOL 與交換機通信。4.3 VRRP (虛擬路由冗余協(xié)議)原理VRRP合路由器組提供了一個冗余網(wǎng)關(guān)地址，它是一種容錯協(xié)議，通過定義 不同的組，不同優(yōu)先級的路由器， 它保證網(wǎng)絡(luò)的主路由器失效時， 可以及時的由 備分來實現(xiàn)路由器來替代， 從而保持通訊的連續(xù)性和可靠性。 并可以在該協(xié)議上 實現(xiàn)負載均衡等高級交換特性。VRRP技術(shù)的實現(xiàn)： 匯聚到核心冗余連接及 VRRP的實現(xiàn)

42、通過VRRP技術(shù) 將多個設(shè)備虛擬成為一臺邏輯設(shè)備，實現(xiàn)匯聚 / 接入鏈路冗余。如下例：-if)#vrrp 5 ip -if)# vrrp 6 ip A: -if)#vrrp 5 priority 200B: -if)#vrrp 6 priority 200-if)#vrrp 5 authen name-if)#vrrp 6 authen name見圖如下：活動（200）(A)cio.(B)備份（100）192.16825192.16825備份（100）活動（200）4.4 RSTP、MSTP 原理RSTP協(xié)議完全向下兼容802.1D STP協(xié)議，除了和傳統(tǒng)的STP協(xié)議一樣 具有避免回路、提供冗

43、余鏈路的功能夕卜，最主要的特點就是“快”。如果一個局域網(wǎng)內(nèi)的網(wǎng)橋都支持 RSTP協(xié)議且管理員配置得當，一旦網(wǎng)絡(luò)拓樸改變而要重新生成拓樸樹只需要不超過1秒的時間（傳統(tǒng)的STP需要大約50秒）。本交換機支持MSTR MSTP是在傳統(tǒng)的STP、RSTP的基礎(chǔ)上發(fā)展而來的新 的生成樹協(xié)議，本身就包含了 RSTP的快速FORWARDIN機制。由于傳統(tǒng)的生成樹協(xié)議與via n沒有任何聯(lián)系，因此在特定網(wǎng)絡(luò)拓樸下就 會產(chǎn)生以下問題： 如下圖 所示，交換機A、B在vian1內(nèi)，交換機C、D在 vian2內(nèi)，然后連成環(huán)路。在某種情況的配置下，會造成把交換機 A 和 B 間的鏈路給 DISCARDING. 由于交換

44、機 C、D 不包含 vlan1 ，無法轉(zhuǎn)發(fā) vlan1 的數(shù)據(jù)包， 這樣交換機 A 的 vlan1 就無法與交換機 B 的 vlan1 進行通訊。在網(wǎng)絡(luò)末梢，連接到單個工作站的時候，是不可能形成橋接環(huán)路的。在接口 上啟用了 portfast 特性，可以使交換機端口立即變?yōu)檗D(zhuǎn)發(fā)狀態(tài)，提高了網(wǎng) 絡(luò)的 響應(yīng)速度及收斂時間。 基于 RSTP 的交換機高級特性 Uplinkfast 在網(wǎng)絡(luò) 中的應(yīng)用考慮到有冗余上行連接的網(wǎng)絡(luò)，使用冗余連接到上層交換機，通常情況下 一 個上行連接處于轉(zhuǎn)發(fā)狀態(tài)，另一個處于阻塞狀態(tài)，如果主上行連接斷開，在 使用 冗余連接之前所經(jīng)歷的時間高達 50S在使用 Uplinkfast

45、 之后，使的具有冗余上行連接的交換機具有根端口失 效 時，另一個阻塞的上行連接能夠立即使用， 這個時間大大縮小到 1-5S 之間， 在 校 園 網(wǎng) 的 特 殊 環(huán) 境 之 下 ， 能 大 大 增 強 網(wǎng) 絡(luò) 的 穩(wěn) 定 性 ， 加快網(wǎng)絡(luò)收斂。4.5 NAT 的描述及策略路由的實現(xiàn)在組建網(wǎng)絡(luò)時，為了節(jié)約地址，我們在內(nèi)部使用保留的私有地址段中的地 址，但是使用私有地址不能訪問 Internet, 所以必須申請多個公開地址配置在和 Internet 相連的局域網(wǎng)邊緣設(shè)備上。應(yīng)用 NAT 進行地址轉(zhuǎn)換。NAT 是網(wǎng)絡(luò)地址翻譯技術(shù)， 在路由器上起用 NAT 之后，可以在部私有地址 和 外部公網(wǎng)地址之間做

46、轉(zhuǎn)換。 比如我們可以把網(wǎng)絡(luò)內(nèi)部使用的 IP 翻 譯成外部 公網(wǎng)的 IP 。配置基于策略的路由選擇時，可使用路由映射表來指定基于 IP 地址，應(yīng) 用 程序，協(xié)議或者分組長度的條件。基于策略的路由選擇命令對中選的路由實 現(xiàn)策 略?；诓呗缘穆酚珊挽o態(tài)路由有很多共同之處。然而，靜態(tài)路由根據(jù)目標網(wǎng) 絡(luò) 地址來轉(zhuǎn)換分組，而策略路由根據(jù)源地址來轉(zhuǎn)發(fā)分組。在路由選擇表中使用 訪問 列表時，可根據(jù)諸如目標地址，分組長度， IP 協(xié)議字段，優(yōu)先級或端口 號來轉(zhuǎn)發(fā)數(shù)據(jù)流。這樣可以指定范圍更廣泛， 更細致的條件， 并根據(jù)這些條件來 決定下 一跳路由器。4.6 ACL (訪問控制列表 )訪問列表為我們提供了一種對網(wǎng)絡(luò)

47、訪問進行有效管理的方法，通過訪問列 表，我們可以設(shè)置允許或拒絕數(shù)據(jù)包通過路由器， 或者允許或者拒絕具體的某些 端口進行訪問和使用， 如果滿足條件則執(zhí)行相應(yīng)的操作， 放行這個包或者放棄這 個包。我們通過這些設(shè)置來滿足實際網(wǎng)絡(luò)的靈活需求， 從而達到設(shè)置網(wǎng)絡(luò)安全策 略，防止網(wǎng)絡(luò)中的敏感設(shè)備受到非授權(quán)訪問的情況。在具體實現(xiàn)過程中從技術(shù)上來說我們需要了解到 ACL 分為兩種類型 , 他們 分 別是標準訪問列表 (Standard access lists)和擴展訪問列表( Extendsaccess lists ) 前者在過濾網(wǎng)絡(luò)的時候只使用 IP 數(shù)據(jù)報的源地址，那么在使 用這種訪問列表的 情況下它做

48、出允許或者拒絕這個決定完全是依賴于源 IP 地 址，它無法區(qū)分具體 的流量類型。而擴展訪問列表則可以提供更細的決定，它 可以具體到端口，從而 精確到某一個服務(wù)，比如對 WEB,FTP 的訪問等， 給我們 網(wǎng)絡(luò)的策略提供了更細 的控制手段。我們利用這種訪問列表進行協(xié)議級的控制 以達到對網(wǎng)絡(luò)一個有效的 管理。標準訪問控制列表一般放在靠近目標的路由器 上, 而擴展訪問控制列表一 般放于近源端的路由器上。4.7 鏈路聚合 EC(Ethernet Channel)以太網(wǎng)信道鏈路聚合可以讓交換機之間和交換機與服務(wù)器之間的鏈路帶寬 有非常好的伸縮性，比如可以把2個、3個、4個千兆的鏈路綁定在一起，使 鏈路的

49、帶寬成倍增長。鏈路聚合技術(shù)可以實現(xiàn)不同端口的負載均衡，同時也能 夠互為備份，保 證鏈路的冗余性。在這些千兆以太網(wǎng)交換機中，最多可以支持4 組鏈路聚合，每 組中最大4個端口。鏈路聚合一般是不允許跨芯片設(shè)置的。 生 成樹協(xié)議和鏈路聚合都可以保證一個網(wǎng)絡(luò)的冗余性。在一個網(wǎng)絡(luò)中設(shè)置冗余鏈 路，并用生成樹協(xié)議讓備份鏈路阻塞，在邏輯上不形成環(huán)路。而一旦出現(xiàn)故障， 啟用備份鏈路。4.8 VLAN（虛擬局域網(wǎng)）VLAN虛擬局域網(wǎng)是一種在二層設(shè)備上隔離和劃分廣播域的技術(shù)，通過這種 劃分，我們可以把物理位置上分離的網(wǎng)絡(luò)設(shè)備在邏輯上劃為同一個廣播域，或者把物理位置上鄰近的網(wǎng)絡(luò)設(shè)備劃為不同的廣播域，從而更方便我們管理

50、和做一個 邏輯層次的劃分。從技術(shù)上說 VLAN可以分為靜態(tài)VLAN和動態(tài)VLAN,那么靜 態(tài)的VLAN是基于交換機端口進行劃分，根據(jù)網(wǎng)絡(luò)設(shè)備連接不同的交換機端口，則進入相應(yīng)的VLAN。動態(tài)VLAN則更靈活，它可以根據(jù)接入計算機的IP地址，MAC 地址，甚至是用戶的登陸賬號做出相應(yīng)的處理，把計算機劃分進相應(yīng)的 VLAN 中，這樣就為我們實際的網(wǎng)絡(luò)管理帶來了比較大的方便性和靈活性。 那么 在我們的企業(yè)網(wǎng)方案中， 我們希望通過使用 VLAN 技術(shù)進行劃分達到以下 目的： 隔離，劃分廣播域，減小不必要的廣播流量，從而提高整個網(wǎng)絡(luò)的利用效 率。4.9 WLAN 無線局域網(wǎng)無線局域網(wǎng)有 4 大特點： 移動

51、性：不受時間限制，空間限制，用戶可以 在網(wǎng)絡(luò)中漫游； 靈活性：不受線纜的限制，可以隨意增加和配置工作站； 低成 本：無線網(wǎng)絡(luò)不再需要大量的工程布線， 同時節(jié)省了線路的維護費用； 易安裝： 對于有線網(wǎng)絡(luò)來說，無線網(wǎng)絡(luò)的組建、配置和維護更為容易。結(jié)合以上特點，無線網(wǎng)絡(luò)非常適合圖書館的環(huán)境和要求，我們在圖書管布 置無線 網(wǎng)絡(luò)，并且采用Infrastucture這種典型的WLAN工作模式，無線客戶端可以通 過無線接入器 AP(Access Point) 接入以太網(wǎng)共享網(wǎng)絡(luò)資源，多個 AP 分布在相鄰 的區(qū)域可以實現(xiàn)無線客戶端的移動漫游。第五章、 網(wǎng)絡(luò)安全與測試5.1 完善的安全機制企業(yè)樓宇交換機通過內(nèi)

52、在的多種安全機制可有效防止和控制病毒傳播和網(wǎng) 絡(luò)流 量攻擊， 控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如端口 安全、端口隔離、ACL端口 ARP報文合法性檢查、基于數(shù)據(jù)流的帶寬限速、 六元素綁定等等， 滿足企業(yè)網(wǎng)加強對訪問者進行控制、限制非授權(quán)用戶通信的需求；在匯聚、核心交 換設(shè)備設(shè)置由硬件實現(xiàn) ACL ，對病毒進行過濾，我們選 用的匯聚、核心交換設(shè)備都支持SPOH所以在使用ACL時將不會影響整個交換 機的性能。1 硬件實現(xiàn)端口與 MAC 地址和用戶 IP 地址的綁定，嚴格限定端口上用 戶接入；2 通過 Private VLAN 可以在交換機的同一 VLAN 中提供端口之間的通 訊

53、或安全隔離，確保數(shù)據(jù)流進入有效端口，而不會被發(fā)送到其它端口，即解決 了因 傳統(tǒng) 802.1QVLAN 造成 全網(wǎng) VID 資源不夠的問題，同時又無需利 用安全規(guī)則 資源即能達到隔離不同用戶以及不同 組用戶之間通訊的功能，充 分保護用戶隱私；3. 可實現(xiàn)用戶賬號、MAC地址、IP地址、交換機IP、交換機端口等六 大元素之間的靈活任意綁定，有效確認用戶合法性和唯一性；4. 支持業(yè)界特有的 IGMP 源端口檢查，有效杜絕非法組播源播放和大量 占用大量網(wǎng)絡(luò)帶 寬，提高網(wǎng)絡(luò)安全性；5. 提供極為有效的 Port Blocking 功能，避免端口受到其它端口發(fā)送 的廣播包、多播包等報文的干擾，有效減輕端口

54、負載負擔，提高端口帶寬，保護 用戶 PC 更高效安全 地運行；6. 基于源 IP 地址控制的 Telnet 和 Web 設(shè)備訪問控制， 增強了設(shè)備網(wǎng) 管 的安全性，避免黑客惡意攻擊和控制設(shè)備；7. 提供加密傳輸Secure Shell (SSH，保證管理設(shè)備信息的安全性， 防止黑客攻擊和控制設(shè)備；8. 可靈活控制 2-7 層數(shù)據(jù)報文， 使得任何一個用戶 PC 上的任何一種應(yīng) 用報文通過網(wǎng)絡(luò)都能得到有效控制，充分保障了網(wǎng)絡(luò)的安全和合理化使用。5.2 解決安全威脅在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運營的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò) 必須要有一整套從用戶接入控制， 病毒報文識別到主動抑制的一系列安全控制手 段，才能有效的保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運行。1. 防沖擊波病毒 隨著蠕蟲病毒等的攻擊手段呈多元化發(fā)展，單一的防護措施已經(jīng)無能為力 保 衛(wèi)校園網(wǎng)絡(luò)安全。 IDS 只能根據(jù)預先定義的策略進行檢測，對新的攻擊方式 無能 為力，或者當 IDS 偵測到某終端用戶感染病毒后， 只能將相關(guān)信息形成報 告通知 網(wǎng)管人員，等待處理。然而，此時受感染的用戶可能已經(jīng)通過網(wǎng)絡(luò)散播 到了校園 網(wǎng)絡(luò)的