網(wǎng)絡工程設計方案目錄TOC\o"1-5"\h\z一、需求分析..4工程項目概況4信息點分布5需求分析5二、方案設計原那么..8三、網(wǎng)絡方案設計..10網(wǎng)絡拓撲結(jié)構(gòu)介紹10網(wǎng)絡拓撲圖11骨干核心層網(wǎng)絡設計.12核心層網(wǎng)絡設計.13匯聚層網(wǎng)絡設計.14接入層網(wǎng)絡設計.14廣域網(wǎng)互聯(lián)設

TOC\o"1-5"\h\z計.15冗余/負載均衡設計15線路冗余.16網(wǎng)絡設備冗余/負載均衡設計17服務器冗余設計.193.310IP地址規(guī)劃原貝U203.4方案特點...23四、網(wǎng)絡技術(shù)選型..24路由協(xié)議一一OSPF..24端口安全與認證〔基于802.1X〕..24VRRP虛擬路由冗余協(xié)議〕原理..25NAT的描述及策略路由的實現(xiàn)..274.64.6ACL訪問控制列表〕..28鏈路聚合EC〔EthernetChannel〕28VLAN〔虛擬局域網(wǎng)〕...29WLAN無線局域網(wǎng)..30五、網(wǎng)絡平安及治理機制..30完善的安全機制....30解決安全威脅32VPN〔虛擬專用網(wǎng)〕.32六、網(wǎng)絡設備選型..33七、方案的擴展性考慮..34、乙刖百當今社會已步入信息社會,信息成為社會經(jīng)濟開展的核心因素,信息化已成為當今世界潮流.而現(xiàn)在,信息化程度已成為衡量一個國家現(xiàn)代化水平和綜合國力強弱的重要標志.信息技術(shù)作為新技術(shù)革命的核心.不僅具有高增值性、成為最具經(jīng)濟活力的經(jīng)濟增長點,而且具有高滲透性,以極強的親和力和擴散速度向經(jīng)濟各部門滲透,使其結(jié)構(gòu)和效益發(fā)生根本性改變.信息化已成為當代經(jīng)濟開展與社會進步的巨大推力,尤其是作為國民經(jīng)濟信息化根底的企業(yè)信息化,當前更顯得尤為重要,信息化建設已成為企業(yè)開展的必由之路.信息化是企業(yè)加快實現(xiàn)現(xiàn)代化的必然選擇！隨著信息時代的到來,企業(yè)的生存和競爭環(huán)境發(fā)生了根本性的變化.對于大型企業(yè)而言,信息化無論是作為戰(zhàn)略手段還是戰(zhàn)術(shù)手段,在企業(yè)經(jīng)營中發(fā)揮著舉足輕重的作用.隨著近年來企業(yè)信息化建設的深入,企業(yè)的運作越來越融入計算機網(wǎng)絡,企業(yè)的溝通、應用、財務、決策、會議等等數(shù)據(jù)流都在企業(yè)網(wǎng)絡上傳輸,構(gòu)建一個“平安可靠、性能卓越、治理方便〞的“高品質(zhì)〞大型企業(yè)網(wǎng)絡已經(jīng)成為企業(yè)信息化建設成功的關(guān)鍵基石.一、需求分析1.1工程工程概況紅塔木業(yè)集團為了加快信息化建設,新的集團企業(yè)網(wǎng)將建設一個以集團辦公自動化、電子商務、業(yè)務綜合治理、多媒體視頻會議、遠程通訊、信息發(fā)布及查詢?yōu)楹诵?以現(xiàn)代網(wǎng)絡技術(shù)為依托,技術(shù)先進、擴展性強,將集團的各種辦公室、多媒體會議室、PC終端設備、應用系統(tǒng)通過網(wǎng)絡連接起來,實現(xiàn)內(nèi)、外溝通的現(xiàn)代化計算機網(wǎng)絡系統(tǒng).該網(wǎng)絡系統(tǒng)是支持辦公自動化、供給鏈治理、ER叫及各應用系統(tǒng)運行的根底設施,為了保證這些關(guān)鍵應用系統(tǒng)的正常運行、平安和開展,系統(tǒng)必須具備如下的特性：1、采用先進的網(wǎng)絡通信技術(shù)完成集團企業(yè)網(wǎng)的建設,實現(xiàn)各分公司的信息化；2、在整個企業(yè)集團內(nèi)實現(xiàn)所有部門的辦公自動化,提升工作效率和治理效勞水平；3、在整個企業(yè)集團內(nèi)實現(xiàn)資源共享、產(chǎn)品信息共享、實時新聞發(fā)布；4、在整個企業(yè)集團內(nèi)實現(xiàn)財務電算化；5、在整個企業(yè)集團內(nèi)實現(xiàn)集中式的供給鏈治理系統(tǒng)和客戶效勞關(guān)系治理系統(tǒng)；具體要求：?wwW務?E-mail、FTP月艮務?網(wǎng)上多媒體教學,能提供視頻點播效勞?集團內(nèi)行政治理?撥號上網(wǎng)效勞信息點分布主要信息點集中在生產(chǎn)部、賬務部、網(wǎng)絡中央、職工宿舍等部門.詳細分布如表1所示.地點信息點備注網(wǎng)絡中央40需保證速度、流量不T可靠性生產(chǎn)部150需保證速度、流量不T可靠性賬務部120需保證速度、流量和平安性職工宿舍1000需保證速度和流量銷售部100需要保證速度和可靠性綜合設計30需保證速度和流量表1主要信息點分布需求分析為適應企業(yè)信息化的開展,滿足日益增長的通訊需求和網(wǎng)絡的穩(wěn)定運行,今天的大型企業(yè)網(wǎng)絡建設比傳統(tǒng)企業(yè)網(wǎng)絡建設提出更高的要求,主要表現(xiàn)在如下幾個方面：1〕現(xiàn)代大型企業(yè)網(wǎng)絡應具有更高的帶寬,支持10GE^將來平滑過渡到10GE更強大的性能,以滿足用戶日益增長的通訊需求.隨著計算機技術(shù)的高速開展,基于網(wǎng)絡的各種應用日益增多,今天的企業(yè)網(wǎng)絡已經(jīng)開展成為一個多業(yè)務承載平臺,它不僅要繼續(xù)承載企業(yè)的辦公自動化和WEE^U覽等簡單的數(shù)據(jù)業(yè)務,還要承載涉及企業(yè)生產(chǎn)運營的各種業(yè)務應用系統(tǒng)數(shù)據(jù),以及帶寬和時延都要求很高的IP、視頻會議等多媒體業(yè)務,因此數(shù)據(jù)流量將大大增加,尤其是對核心網(wǎng)絡的數(shù)據(jù)交換水平提出前所未有的要求.另外,隨著千兆端口的本錢持續(xù)下降,千兆到桌面的應用會在不久的將來成為企業(yè)網(wǎng)的主流.所以今天的企業(yè)網(wǎng)絡已經(jīng)不能再用百兆到桌面千兆骨干來作為建網(wǎng)的標準,它的核心層及骨干層必須具有萬兆級帶寬和處理性能,才能構(gòu)筑一個暢通無阻的“高品質(zhì)〞大型企業(yè)網(wǎng),從而適應網(wǎng)絡規(guī)模擴大,業(yè)務量日益增長的需要.2〕現(xiàn)代大型企業(yè)網(wǎng)絡應具有更全面的可靠性設計,以實現(xiàn)網(wǎng)絡通訊的實時暢通,保證企業(yè)生產(chǎn)運營的正常進行.隨著企業(yè)各種業(yè)務應用逐漸轉(zhuǎn)移到計算機網(wǎng)絡上來,網(wǎng)絡通訊的無中斷運行已經(jīng)成為保證企業(yè)正常的生產(chǎn)運營的關(guān)鍵.現(xiàn)代大型企業(yè)網(wǎng)絡在可靠性設計方面主要應從三方面考慮：首先是設備級可靠性設計,這里不僅要考察網(wǎng)絡設備是否實現(xiàn)了關(guān)鍵部件的冗余備份,還要從網(wǎng)絡設備整體設計架構(gòu)、處理引擎種類等多方面去考察；其次是業(yè)務的可靠性設計,這里要注意網(wǎng)絡設備在故障倒換過程中是否對業(yè)務的正常運行有影響；再次是鏈路的可靠性設計,以太網(wǎng)的鏈路平安來自于它的多路徑選擇,所以在企業(yè)網(wǎng)絡建設時要考慮網(wǎng)絡設備是否能夠提供有效的鏈路自愈手段和快速重路由協(xié)議的支持.3〕現(xiàn)代大型企業(yè)網(wǎng)絡需要提供完善的端到端QOS呆障,以滿足企業(yè)網(wǎng)多業(yè)務承載的需求.大型企業(yè)網(wǎng)絡承載業(yè)務的不斷增多,單純的提升帶寬并不能夠有效的保證數(shù)據(jù)交換的暢通無阻,而必須要考慮到網(wǎng)絡應能夠智能的識別應用事件的緊急和重要程度,如視頻、音頻、數(shù)據(jù)流〔MIS、ERROA備份數(shù)據(jù)〕,同時能夠調(diào)度網(wǎng)絡中的資源,保證重要和緊急業(yè)務的帶寬、時延、優(yōu)先級和無阻塞的傳送,實現(xiàn)對業(yè)務的合理調(diào)度才是一個大型企業(yè)網(wǎng)絡提供“高品質(zhì)〞效勞的保證.4〕現(xiàn)代大型企業(yè)網(wǎng)絡應提供更完善的網(wǎng)絡平安解決方案,以阻擊病毒和黑客的攻擊,減少企業(yè)的經(jīng)濟損失.傳統(tǒng)企業(yè)網(wǎng)絡的平安舉措主要是通過部署防火墻、IDS、殺毒軟件以及配合交換機或路由器的ACL來實現(xiàn)對于病毒和黑客攻擊的防御,但實踐證實這些被動的防御舉措并不能有效的解決企業(yè)網(wǎng)絡的安全問題.在企業(yè)網(wǎng)絡已經(jīng)成為公司生產(chǎn)運營的重要組成局部的今天,現(xiàn)代企業(yè)網(wǎng)絡必須要有一整套從用戶接入限制,病毒報文識別到主動抑制的一系列平安限制手段,才能有效的保證企業(yè)網(wǎng)絡的穩(wěn)定運行.5〕現(xiàn)代大型企業(yè)網(wǎng)絡應具備更智能的網(wǎng)絡治理解決方案,以適應網(wǎng)絡規(guī)模日益擴大,維護工作更加復雜的需要.當前的網(wǎng)絡已經(jīng)開展成為“以應用為中央〞的信息根底平臺,網(wǎng)絡治理水平的要求已經(jīng)上升到了業(yè)務層次,傳統(tǒng)的網(wǎng)絡設備的智能已經(jīng)不能有效支持網(wǎng)絡治理需求的開展.比方,網(wǎng)絡調(diào)試期間最消耗人力與物力的線纜故障定位工作,網(wǎng)絡運行期間對不同用戶靈活的效勞策略部署、訪問權(quán)限限制、以及網(wǎng)絡日志審計和病毒限制水平等方面的治理工作,由于受網(wǎng)絡設備功能本身的限制,都還屬于費時、費力,有時甚至是不可能的任務,所以現(xiàn)代的大型企業(yè)網(wǎng)絡迫切需要網(wǎng)絡設備具備支撐“以應用為中央〞的智能網(wǎng)絡運營維護的水平,并能夠有一套智能化的治理軟件,將網(wǎng)絡治理人員從繁重的工作中解脫出來.二、方案設計原那么本方案的設計將在追求性能優(yōu)越、經(jīng)濟實用的前提下,本著嚴謹、慎重的態(tài)度,從系統(tǒng)結(jié)構(gòu)、技術(shù)舉措、設備選擇、系統(tǒng)應用、技術(shù)服務和實施過程等方面綜合進行系統(tǒng)的總體設計,力圖使該系統(tǒng)真正成為符合該中學的網(wǎng)絡系統(tǒng).從技術(shù)舉措角度來講,在網(wǎng)絡的設計和實現(xiàn)中,本方案嚴格遵守了以下原那么：1、實用性和集成性系統(tǒng)的軟硬件設計、還是集成,均以適用為第一宗旨,在系統(tǒng)充分適應企業(yè)信息化的需求的根底上進而再來考慮其他的性能.該系統(tǒng)所包含的內(nèi)容很多,必須能將各種先進的軟硬件設備有效地集成在一起,使系統(tǒng)的各個組成局部能充分發(fā)揮作用,協(xié)調(diào)一致的進行高效工作.2、標準性和開往性只有支持標準性和開放性的系統(tǒng),才能支持與其它開放型系統(tǒng)一起協(xié)同工作,在網(wǎng)絡中采用的硬件設備及軟件產(chǎn)品應該支持國際工作標準或事實上的標準,以便能和不同廠家的開放性產(chǎn)品在同一網(wǎng)絡中同時共存.通信中應采用標準的通信協(xié)議以使不同的操作系統(tǒng)與不同的網(wǎng)絡系統(tǒng)及不同的網(wǎng)絡之間順利進行通訊3、先進性和平安性系統(tǒng)所有的組成要素均應充分地考慮其先進性.不能一味地追求實用而忽略先進,只有將當今最先進的技術(shù)和我們的實際應用要求緊密結(jié)合,才能獲得最大的系統(tǒng)性能和效益.網(wǎng)絡的平安是事關(guān)重要的,在某些情況下,寧可犧牲系統(tǒng)的局部功能也必須保證系統(tǒng)的平安.4、成熟性和高可靠性作為信息系統(tǒng)根底的網(wǎng)絡結(jié)構(gòu)和網(wǎng)絡設備的配置及帶寬應能充分地滿足網(wǎng)絡通信的需要.網(wǎng)絡硬件體系結(jié)構(gòu)在實際應用中能經(jīng)過較長時間的考驗,在運行速度和性能上都應是穩(wěn)定可靠的、擁有完善的、實用的解決方案,并通到較多的第三方開發(fā)商和用戶在全球的廣泛支持和使用.同時,應從長遠的技術(shù)開展來選擇具有很好前景的、較為先進的技術(shù)和產(chǎn)品,以適應系統(tǒng)未來的開展需要.可靠性也是衡量一個計算機應用系統(tǒng)的重要標準之一.在保證系統(tǒng)網(wǎng)絡環(huán)境中單獨設備穩(wěn)定、可靠運行的前提下,還需要考慮網(wǎng)絡整體的容錯水平、平安性及穩(wěn)定性,使系統(tǒng)出現(xiàn)問題和故障時能迅速地修復.因此需要采取一定的預防舉措,如對關(guān)鍵應用的主干設備考慮有適當?shù)娜哂?應急處理信息系統(tǒng)能夠全天候工作,到達每周7*24小時工作的要求.一個高可用性的系統(tǒng)才能使用戶的投資真正得到回報.5、可維護性和可治理性整個信息網(wǎng)絡系統(tǒng)中的互連設備,應是使用方便、操作簡單易學,并便于維護.對復雜和龐大的網(wǎng)絡,要求有強有力的網(wǎng)絡治理手段,以便合理的治理網(wǎng)絡資源,監(jiān)視網(wǎng)絡狀態(tài)及限制網(wǎng)絡的運行,因此,網(wǎng)絡所選的網(wǎng)絡設備應支持多種協(xié)議,治理員能方便進行網(wǎng)絡治理、維護甚至修復.在設計和實現(xiàn)時,必須充分考慮整個系統(tǒng)的便于維護性,以使系統(tǒng)萬一發(fā)生故障時能提供有效手段及時進行恢復,盡量減少損失.6、可擴充性和兼容性網(wǎng)絡的拓撲結(jié)構(gòu)應具有可擴展性即網(wǎng)絡聯(lián)結(jié)必須在系統(tǒng)結(jié)構(gòu)、系統(tǒng)容量與處理水平、物理接連、產(chǎn)品支持等方面具有擴充與升級換代的可能,采用的產(chǎn)品要遵循通用的工業(yè)標準,以便不同的設備能方便靈活地接連入網(wǎng)并滿足系統(tǒng)規(guī)模擴充的要求.為了使所實現(xiàn)系統(tǒng)能夠在應用發(fā)生變化的情況下保護原有的開發(fā)投資,在設計系統(tǒng)時,應將系統(tǒng)按功能做成模塊化的,可根據(jù)需要增加和刪除功能模塊.三、網(wǎng)絡方案設計3.1網(wǎng)絡拓撲結(jié)構(gòu)介紹在此次紅塔木業(yè)集團大型企業(yè)網(wǎng)的設計中,我們采用層次化模型來設計網(wǎng)絡拓撲結(jié)構(gòu).所謂“層次化〞模型,就是將復雜的網(wǎng)絡設計分成幾個層次,每個層次著重于某些特定的功能,這樣就能夠使一個復雜的大問題變成許多簡單的小問題.層次模型既能夠應用于局域網(wǎng)的設計,也能夠應用于廣域網(wǎng)的設計.層次化模型的好處：在大型企業(yè)網(wǎng)設計中,使用層次化模型有許多好處,列舉如下：1、節(jié)省本錢在采用層次模型之后,各層次各司其職,不再在同一個平臺上考慮所有的事情.層次模型模塊化的特性使網(wǎng)絡中的每一層都能夠很好地利用帶寬,減少了對系統(tǒng)資源的浪費.2、易于理解層次化設計使得網(wǎng)絡結(jié)構(gòu)清楚明了,可以在不同的層次實施不同難度的治理,降低了治理本錢.3、易于擴展在網(wǎng)絡設計中,模塊化具有的特性使得網(wǎng)絡增長時網(wǎng)絡的復雜性能夠限制在子網(wǎng)中,而不會蔓延到網(wǎng)絡的其他地方.而如果采用扁平化和網(wǎng)狀設計,任何一個節(jié)點的變動都將對整個網(wǎng)絡產(chǎn)生很大影響.4、易于排錯層次化設計能夠使網(wǎng)絡拓撲結(jié)構(gòu)分解為易于理解的子網(wǎng),網(wǎng)絡管理者能夠輕易地確定網(wǎng)絡故障的范圍,從而簡化了排錯過程.網(wǎng)絡拓撲圖網(wǎng)絡拓撲圖如圖1所示.圖1網(wǎng)絡拓撲圖網(wǎng)絡設計骨干核心層網(wǎng)絡設計大型企業(yè)生產(chǎn)辦公網(wǎng)絡的核心網(wǎng)主要完成整個企業(yè)集團內(nèi)部不同地域企業(yè)之間的高速數(shù)據(jù)路由轉(zhuǎn)發(fā),以及維護全網(wǎng)路由的計算.鑒于大型集團企業(yè)的用戶數(shù)量眾多,業(yè)務復雜,QO酸求較高的特點,在本方案中采用神州數(shù)碼的DCRS-7508高密度多業(yè)務核心路由交換機組建高性能的核心網(wǎng)絡平臺.神州數(shù)碼DCRS-7500系列交換機是具有運營商級容錯水平的高性能大型網(wǎng)絡核心交換機,可為高校和運營商提供基于領(lǐng)先技術(shù)的卓越性能和可靠性.DCRS-750源列交換機專為發(fā)揮萬兆、千兆以太網(wǎng)潛在的強大交換水平而設計,超大容量的交換背板使得包括萬兆端口在內(nèi)的每個端口具備全線速交換水平,保證在巨大的網(wǎng)絡通信負載下始終能夠輕松實現(xiàn)線速的第二層和第三層交換,是城域網(wǎng)、數(shù)據(jù)中央、智能大廈及企業(yè)網(wǎng)絡骨干級核心路由交換機的理想選擇DCRS-7500系列交換機具有三種型號,包括15插梢的DCRS-75158插梢的DCRS-750部口4插梢的DCRS-7504除DCRS-7515^用的大功率電源模塊外,該系列交換機的所有治理模塊、交換模塊以及電源模塊都可互換使用,而且治理模塊、電源模塊、風扇等還可實現(xiàn)冗余備份,溫度傳感器可以隨時監(jiān)控各個部件的工作溫度,從而提供運營商級的可靠性.DCRS-7500系列交換機的一大特色是治理模塊均帶有業(yè)務接口,使得所有的插梢均為有效的業(yè)務插梢,從而大大提升了端口密度和插梢利用率.在骨干核心層中,我們采用三臺神州數(shù)碼DCRS-750舷心路由交換機組成一個環(huán)形多機熱備份的核心交換機系統(tǒng)解決方案.為提升核心網(wǎng)絡的健壯性,實現(xiàn)鏈路的平安保證,本方案骨干核心層環(huán)網(wǎng)中可以采用VRRP〔虛擬路由器冗余協(xié)議〕.對于各個業(yè)務VLAN可以指向這個虛擬的IP地址作為網(wǎng)關(guān),因此應用VRR豉術(shù)為核心交換機提供一個可靠的網(wǎng)關(guān)地址,以實現(xiàn)在核心層核心交換機之間進行設備的硬件冗余,一主兩備,共用一個虛擬的IP地址和MACt址,通過內(nèi)部的協(xié)議傳輸機制可以自動進行工作角色的切換.進而雙引擎、雙電源的設計為網(wǎng)絡高效處理大集中數(shù)據(jù)提供了可靠的保證.核心層網(wǎng)絡設計大型企業(yè)生產(chǎn)辦公網(wǎng)絡的核心層網(wǎng)絡主要完成園區(qū)內(nèi)各會聚層設備之間的數(shù)據(jù)交換和與骨干核心層網(wǎng)絡之間的路由轉(zhuǎn)發(fā).傳統(tǒng)解決方案一般采用骨干路由器+核心交換機來組建,但這種方式受限于交換機的性能,在提供MPLSVPN勺業(yè)務水平方面較弱,不適合大型企業(yè)網(wǎng)絡的建設需求,同時現(xiàn)在的大型企業(yè)辦公網(wǎng)絡具有城域網(wǎng)的特點,網(wǎng)絡開展具有網(wǎng)絡扁平化的開展方向,因此本方案骨干層網(wǎng)絡設備采用DCRS-7508核心路由交換機作為大型企業(yè)生產(chǎn)辦公網(wǎng)絡的園區(qū)核心路由交換設備,DCRS-7508M有強大的業(yè)務和路由處交換理能力,能提供如MPLS/PNQOS策略路由、NATPPPoE/Web/802.1x/L2TP認證等豐富業(yè)務水平,并可通過內(nèi)置防火墻模塊實現(xiàn)各種強大的網(wǎng)絡平安策略,可以充分滿足大型企業(yè)不同園區(qū)網(wǎng)絡的高速數(shù)據(jù)交換和支持多業(yè)務功能的要求,并能夠提供完善的平安防御策略,保證企業(yè)園區(qū)網(wǎng)絡的穩(wěn)定運行.會聚層網(wǎng)絡設計會聚層網(wǎng)絡主要完成企業(yè)各園區(qū)內(nèi)辦公樓宇和相關(guān)單位的內(nèi)接入交換機的會聚及數(shù)據(jù)交換和VLAN^結(jié),在本方案中采用神州數(shù)碼的DCRS-750較換機多層交換機作為會聚層面的交換機.DCRS-7504交換機在提供高密度千兆端口接入的同時還能夠滿足會聚層智能高速處理的需要,并能夠加靈活的部署在網(wǎng)絡邊緣的各個位置.能夠同時提供多個高速專用堆疊端口和百兆、千兆光口/電口.這些交換機都具備較強的多業(yè)務提供水平,可支持包括智能的CCLMPLS組播在內(nèi)的各種業(yè)務.為用戶提供豐富、高性價比的組網(wǎng)選擇.接入層網(wǎng)絡設計以往傳統(tǒng)企業(yè)網(wǎng)絡接入層的建設中并不關(guān)注于平安限制和QOS提供水平,而將網(wǎng)絡的平安防御舉措和QOS呆障依賴于網(wǎng)絡的會聚層或骨干層設備,這給會聚層和骨干層設備帶來了巨大的壓力,往往內(nèi)網(wǎng)病毒泛濫成災后導致骨干層設備癱機,使網(wǎng)絡沒有QOq艮務質(zhì)量保障.DCRS-2026圉能寬帶接入交換機是能滿足高平安、多業(yè)務承載、高性能的網(wǎng)絡環(huán)境智能交換機,具備傳統(tǒng)二層交換機大容量、高性能等優(yōu)點,同時還具有領(lǐng)先的平安特性,進一步增強了企業(yè)網(wǎng)絡對邊緣接入層面的平安限制水平.用戶可以根據(jù)需要來訂制自身的平安策略并部署在此交換機上.該產(chǎn)品具備的端口帶寬限制、端口鏡像、QOS端口平安、播送風暴抑制等功能可以很好的協(xié)助用戶實現(xiàn)網(wǎng)絡的治理和維護.除此之外,此交換機還具備多個專用堆疊接口,可以滿足樓層,樓宇內(nèi)多個交換機高性能會聚的需要.廣域網(wǎng)互聯(lián)設計針對于大型企業(yè)需要良好的出口網(wǎng)關(guān)設備,我們建議用戶選用神州數(shù)碼DCFW-1800S-L神州數(shù)碼DCFW-1800E-G防火墻專為千兆位流量的網(wǎng)絡效勞運營商,大型數(shù)據(jù)中央等骨干網(wǎng)絡而設計,采用2U專用千兆平安平臺,完全模塊化可擴展結(jié)構(gòu),具有熱插拔特性的冗余部件為您提供最大的不間斷運行時間.神州數(shù)碼DCFW-1800E-GJ火墻內(nèi)置2個10/100/1000M自適應以太網(wǎng)電口,具備6個SFP擴展插梢,最多可擴展至8個千兆接口,接口模塊類型支持單模、多模光纖,千兆電口,充分滿足您的定制需求.冗余/負載均衡設計冗余設計是網(wǎng)絡設計的重要局部,是保證網(wǎng)絡整體可靠性能的重要手段.但是投資也將增加.局部企業(yè)園區(qū)網(wǎng)在早期的建設中由于成本的原因并未在設計中考慮冗余問題,而在優(yōu)化工作中那么需從網(wǎng)絡鏈路和網(wǎng)絡設備兩方面著手.冗余設計可以貫穿整個層次化結(jié)構(gòu),每個冗余設計都有針對性,可以選擇其中一局部或幾局部應用到網(wǎng)絡中以針對重要的應用.萬一網(wǎng)絡中某條路徑失效時,冗余鏈路可以提供另一條物理路徑.可采用GECJ路聚合(IEEE802.3ad)實現(xiàn)端口級冗余,以克服某個端口或線路引起的故障.也可采用生成樹協(xié)議(IEEE802.1d)提供設備級的冗余連接.此外,我們在設計中提供不同物理方向的雙歸屬、雙路由保護.線路冗余在企業(yè)網(wǎng)骨干核心層,企業(yè)網(wǎng)絡邊界拓撲結(jié)構(gòu)由于采用了環(huán)形多機熱備份的核心交換機系統(tǒng)解決方案,所以在線路冗余方面的要求較高,對于線路的冗余要求,我們采用10GE線路對三臺企業(yè)網(wǎng)骨干核心層設備進行環(huán)行雙向備份,并使用業(yè)界領(lǐng)先的VRRP(虛擬路由器冗余協(xié)議)來對其作為冗余線路的協(xié)議保證.以GECC乍為N*1000M±干鏈路,通過這個鏈路連接骨干網(wǎng)交換機,具備萬兆擴展水平；接入交換機采用10/100M自適應端口連接桌面系統(tǒng),多千兆鏈路連接到匯聚層.GE密具有鏈路聚合和冗余保證兩大特性,下面我們將對它們依次進行介紹.鏈路聚合：可使用一條物理鏈路在不同品牌交換機之間、交換機和效勞器間提供聚合的高速通道,在不增加投資的情況下,擴大交換帶寬,使關(guān)鍵連接的傳輸效率更高冗余保證：鏈路聚合中,成員互相動態(tài)備份.當某一鏈路中斷時,其它成員能夠迅速接替其工作.與生成樹協(xié)議不同,鏈路聚合啟用備份的過程對聚合之外是不可見的,而且啟用備份過程只在聚合鏈路內(nèi),與其它鏈路無關(guān),切換可在數(shù)毫秒內(nèi)完成.綜合分析以上各主流方案的優(yōu)缺點,從性能與本錢及拓展性等方面的綜合考慮出發(fā),我們決定采用GECt干核心網(wǎng)絡10GE?展的方式作為其鏈路選擇及備份選擇.在企業(yè)網(wǎng)會聚層及接入層出于本錢及性價比的考慮,我們決定采用千兆會聚,萬兆拓展；百兆到桌面的鏈路選擇.網(wǎng)絡設備冗余/負載均衡設計當前,無論在企業(yè)網(wǎng)、園區(qū)網(wǎng)還是在廣域網(wǎng)如Internet上,業(yè)務量的開展都超出了過去最樂觀的估計,上網(wǎng)熱潮風起云涌,新的應用層出不窮,即使根據(jù)當時最優(yōu)配置建設的網(wǎng)絡,也很快會感到吃不消.尤其是各個網(wǎng)絡的核心局部,其數(shù)據(jù)流量和計算強度之大,使得單一設備根本無法承當.負載均衡建立在現(xiàn)有網(wǎng)絡結(jié)構(gòu)之上,它提供了一種廉價有效的方法擴展效勞器帶寬和增加吞吐量,增強網(wǎng)絡數(shù)據(jù)處理水平,提升網(wǎng)絡的靈活性和可用性.它主要完成以下任務：解決網(wǎng)絡擁塞問題,效勞就近提供,實現(xiàn)地理位置無關(guān)性；為用戶提供更好的訪問質(zhì)量；提升效勞器響應速度；提升效勞器及其他資源的利用效率；預防了網(wǎng)絡關(guān)鍵部位出現(xiàn)單點失效.在此方案中,在網(wǎng)絡的每個關(guān)鍵結(jié)點,我們在設計時都做到了對其有效的冗余備份和負載均衡.在網(wǎng)絡的骨干核心層上.我們采用了三臺銳捷網(wǎng)絡的RG-S861cM密度多業(yè)務IPV6核心路由交換機組建高性能的核心網(wǎng)絡平臺,在對骨干核心層提供足夠的網(wǎng)絡接點和接入需求的同時最大限度的為網(wǎng)絡提供了有效的冗余保證和負載均衡.在核心層的每個區(qū)塊,我們都采用了兩臺銳捷網(wǎng)絡的RG-S860渡多業(yè)務IPV6核心路由交換機做到冗余與負載均衡.在會聚層的每個區(qū)塊,我采用了兩臺銳捷網(wǎng)絡的RG-S575餃換機多層交換機做到冗余與負載均衡.在本方案的設計中,出現(xiàn)了兩個以上的交換區(qū)塊和需要提供冗余連接的時候,我們采用了雙核心配置.如下列圖,我們給出了從接入層到會聚層再到核心層的雙核心配置.奏換區(qū)跳?交強區(qū)域2

雙核雙核心拓撲結(jié)構(gòu)提供了兩條等代價路徑和雙倍的帶寬每個核心交換機連接著數(shù)目相同的子網(wǎng)到第三層會聚設備上.每個交換區(qū)塊都有冗余的連接到核心交換機上,因此形成兩條不同的,但是等代價的連接.如果一條核心設備發(fā)生故障,還是能夠收斂,由于會聚層設備的路由選擇表中還有另一條到核心設備的路由.第3層路由選擇協(xié)議在核心中起鏈路選擇的作用,VRRP提供快速錯誤恢復.核心層不需要STP由于在核心交換機間沒有冗余的第2層連接.效勞器冗余設計企業(yè)網(wǎng)中效勞器、大型機,如網(wǎng)絡存儲效勞器,SQLServer效勞器,其存儲的數(shù)據(jù)對于企業(yè)來說致關(guān)重要,一些核心數(shù)據(jù)被視為企業(yè)的生命.一方面它對企業(yè)的企業(yè)的重要性毋庸質(zhì)疑,另一方面,由于這些數(shù)據(jù)的性質(zhì)決定了其較大的被訪問量,這個對效勞器提出了穩(wěn)定和快速的要求.如果宕機,后果是技術(shù)是保證計算機系統(tǒng)的可靠性是重中之重.為此,我們采用的是雙機熱備技術(shù),此技術(shù)能夠有效的滿足核心效勞器高效,穩(wěn)定的高要求.而且相對于其它本錢技術(shù)來說,這是比擬有經(jīng)濟價成效的技術(shù).

SeServer1Server2效勞器雙機熱備技術(shù)具體技術(shù)實現(xiàn)：每個核心效勞器均具有兩個以太網(wǎng)接口〔可以通過安裝雙網(wǎng)卡實現(xiàn)〕,在此根底上,以上圖為例,DB效勞器A與DB效勞器B先分別利用自己的一個以太網(wǎng)接口實現(xiàn)兩個效勞器之間的直連,每個效勞器另外的一個接口那么與效勞器區(qū)的網(wǎng)絡實現(xiàn)互連,以到達雙機熱備的目的.因此增加效勞器的穩(wěn)定性與高效性.本網(wǎng)絡中應具有多臺效勞器設備,包括DBSERVE敷據(jù)庫效勞器,WEB,CATALOG應用效勞器,NEWS,MAI萼通訊效勞器及多媒體效勞器等.3.310IP地址規(guī)劃原那么IP地址構(gòu)成了整個Internet的根底,IP地址資源是整個Internet的根本核心資源,IP地址資源的合理分配和有效利用是整個Internet開展過程中持續(xù)有效的一個極具分量的研究課題.我們在對企業(yè)園區(qū)網(wǎng)IP地址編址設計和分配利用時,遵循了以下幾個原那么：1〕、自治：整個園區(qū)網(wǎng)絡網(wǎng)絡被劃分成幾個大的自治區(qū)域,每個大自治區(qū)域中又被劃分成幾個小的自治區(qū)域.2〕、有序：我們根據(jù)自治原那么將網(wǎng)絡進行邏輯劃分后,就根據(jù)地域、設備分布及區(qū)域內(nèi)用戶數(shù)量來進行子網(wǎng)規(guī)劃.同時,我們將IP地址規(guī)劃和網(wǎng)絡層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮.在進行地址分配時,為了提升地址分配效率和地址利用率,我們在編址設計時根據(jù)了一定的順序進行.選擇的順序是自上而下的順序,即采用了業(yè)界領(lǐng)先的自頂向下網(wǎng)絡設計(Top-DownNetworkDesign)方法.3)、可持續(xù)性：考慮到園區(qū)內(nèi)網(wǎng)絡用戶數(shù)將持續(xù)高速增長,網(wǎng)絡所要承載的業(yè)務量和業(yè)務種類越來越多,這使得網(wǎng)絡需要頻頻進行技術(shù)升級、改造和擴容.所以,在進行地址分配時本方案充分考慮到了這些因素,為網(wǎng)絡的每個局部留有局部地址冗余,這樣保證網(wǎng)絡的可持續(xù)開展.4)、可聚合：互聯(lián)網(wǎng)日新月異的開展和日益龐大的規(guī)模令當初設計互聯(lián)網(wǎng)絡的專家始料不及,在路由表急劇膨脹情況下,可聚合原那么是網(wǎng)絡地址分配時所必須遵守的最高原那么,可聚合原那么要求在進行地址規(guī)劃時,應提供足夠的路由冗余功能.5)、盡量節(jié)約IPv4地址：由于IPv4地址越來越少,所以對于IPv4地址的使用需要格外節(jié)約.IPv4地址的節(jié)約可以通過動態(tài)編址技術(shù)和NAT技術(shù)等來實現(xiàn).6)、閑置IP地址回收利用：對于已分配出去的靜態(tài)IP地址進行定期追蹤治理,對長時間閑置的IP地址可經(jīng)過確認后回收重復利用.此次方案的設計,我們決定采用一個內(nèi)部私有A類地址()對企業(yè)園區(qū)的網(wǎng)絡設備編址.由于從方案本身的網(wǎng)絡拓撲圖采用了典型的層次化設計,所以對IP地址的編址設計也應采取層次化的設計來完成,并采用VLS味拓展有限的IP地址.網(wǎng)段描述所需的IP地址數(shù)骨干核心層鏈路5〔2個用于拓展備份〕集團總部1000生產(chǎn)部500客戶部500機械廠1000大型機/效勞器群500企業(yè)VOIP語音系統(tǒng)2000VLS幅可變長子網(wǎng)掩碼的英文縮寫,它提供了一個主類〔A類、B類、C類〕網(wǎng)絡內(nèi)包含多個子網(wǎng)掩碼的水平,可以對一個子網(wǎng)再進行子網(wǎng)劃分.VLSM勺優(yōu)點1、對IP地址更為有效的使用2、應用路由歸納的水平更強所以我們采取VLSM寸網(wǎng)絡進行編址,以到達節(jié)約IP地址,能夠使用路由匯總的目的.首先采用一個A類網(wǎng)址對園區(qū)網(wǎng)主體結(jié)構(gòu)進行編址,至上而下的設計思路有利于設計的最后成型和網(wǎng)絡的健壯性.其次,在語音系統(tǒng)中,每一個IP需要一個IP地址以及諸如子網(wǎng)掩碼、默認網(wǎng)關(guān)等的相關(guān)信息.事實上,這意味著一個組織需要指派兩倍于IP的IP地址給當前所有的pc用戶,這個由DHC的供.我們使用私有遍址的IP作為語音遍址方案.私有遍址IP：網(wǎng)絡IP使用?□□□□用□□□OOOIP+PC在同一交換機端口上IP地址網(wǎng)段VLAN?號默認網(wǎng)關(guān)財務部/241054/24生產(chǎn)部/242054/24銷售部/243054/24行政部/244054/24IP地址分配如下表:最后經(jīng)過我們的計算,將各部門用戶地址與VLAN^J分Wet?務器IP地址：/24FTP效勞器IP地址：/24路由器出口IP地址：/24方案特點本方案很好地解決了用戶要求的四個問題,即帶寬問題、平安問題、治理計費問題、靈活擴展問題.帶寬問題：使用萬兆互連雙核心結(jié)構(gòu),使網(wǎng)絡核心設備不但可以互相備份,而且有效的減輕流量負荷,使設備時刻保持穩(wěn)定和高效.平安問題：校園網(wǎng)核心層、會聚層、樓層會聚層所使用的產(chǎn)品全部具有網(wǎng)絡病毒和攻擊的防護水平,并且防DOS/DDO攻擊,因而可以在不同的環(huán)境中做到平安防護,足以應對突發(fā)事件,保持網(wǎng)絡穩(wěn)定、通暢.治理計費問題：統(tǒng)一認證,針對校園網(wǎng)開放式的信息點造成的平安隱患,全網(wǎng)接入采用統(tǒng)一認證技術(shù)〔可以進行賬號、IP,MACLAVNID、交換機IP和交換機端口六要素靈活捆綁〕,保證了只有合法授權(quán)的用戶才能使用網(wǎng)絡或外部網(wǎng)絡,而且還能對網(wǎng)絡的使用情況進行審計.靈活擴展問題：核心層使用的路由交換機DCRS-7508T良好的擴展性,可以為將來的網(wǎng)絡實現(xiàn)輕松擴展.四、網(wǎng)絡技術(shù)選型路由協(xié)議——OSPF在網(wǎng)絡骨干核心層和核心層以及會聚層上需要使用三層設備為網(wǎng)絡內(nèi)部不同的網(wǎng)段的數(shù)據(jù)和不同VLAN間的數(shù)據(jù)轉(zhuǎn)發(fā)而需要路由協(xié)議時,我們采用OSP前議作為路由協(xié)議.OSP度一種典型的鏈路狀態(tài)路由協(xié)議.采用OSPF勺路由器彼此交換并保存整個網(wǎng)絡的鏈路信息,從而掌握全網(wǎng)的拓撲結(jié)構(gòu),獨立計算路由.由于RIP路由協(xié)議不能效勞于大型網(wǎng)絡,所以,IETF的IGP工作組特別開發(fā)出鏈路狀態(tài)協(xié)議一一OSPF目前廣為使用的是OSP噪二版,最新標準為RFC2328OSPF乍為一種內(nèi)部網(wǎng)關(guān)協(xié)議〔InteriorGatewayProtocol,IGP〕,用于在同一個自治域〔AS〕中的路由器之間發(fā)布路由信息.區(qū)別于距離矢量協(xié)議〔RIP〕,OSPFH有支持大型網(wǎng)絡、路由收斂快、占用網(wǎng)絡資源少等優(yōu)點,在目前應用的路由協(xié)議中占有相當重要的地位.端口平安與認證〔基于802.1X〕a.端口平安交換設備定義了對端口保護的功能,我們能定義允許的最大MAC地址訪問數(shù),或者靜態(tài)的定義特定的MAC地址.b.基于802.1x的端口認證基于端口的認證就是將AAA認證與端口保護相結(jié)合,默認情況下.一個支持802.1x的交換機端口處于未授權(quán)狀態(tài),除了和x有關(guān)的數(shù)據(jù),其他數(shù)據(jù)都不能通過該端口,只有客戶的交換機創(chuàng)立了一個802.1x的會話,客戶被授權(quán)訪EAPOLExtensibleAuthenticationProtocolOVERLAN局域網(wǎng)上的可擴展身份認證.在端口處于未授權(quán)狀態(tài)下,客戶端只能使用EAPOL與交換機通信.VRRP〔虛擬路由冗余協(xié)議〕原理VRRP合路由器組提供了一個冗余網(wǎng)關(guān)地址,它是一種容錯協(xié)議,通過定義不同的組,不同優(yōu)先級的路由器,它保證網(wǎng)絡的主路由器失效時,可以及時的由備分來實現(xiàn)路由器來替代,從而保持通訊的連續(xù)性和可靠性.并可以在該協(xié)議上實現(xiàn)負載均衡等高級交換特性.VRR限術(shù)的實現(xiàn)：會聚到核心冗余連接及VRRP的實現(xiàn)通過VRRP技術(shù)將多個設備虛擬成為一臺邏輯設備,實現(xiàn)會聚/接入鏈路冗余.VRRP〔虛擬路由冗余協(xié)議〕原理RSTP協(xié)議完全向下兼容802.1DSTP協(xié)議,除了和傳統(tǒng)的STP協(xié)議一樣具有預防回路、提供冗余鏈路的功能外,最主要的特點就是“快〞.如果一個局域網(wǎng)內(nèi)的網(wǎng)橋都支持RSTP協(xié)議且治理員配置得當,一旦網(wǎng)絡拓樸改變而要重新生成拓樸樹只需要不超過1秒的時間〔傳統(tǒng)的STP需要大約50秒〕.本交換機支持MSTPMSTP是在傳統(tǒng)的STP、RSTP的根底上發(fā)展而來的新的生成樹協(xié)議,本身就包含了RSTP的快速FORWARDING機制.由于傳統(tǒng)的生成樹協(xié)議與VLAN沒有任何聯(lián)系,因此在特定網(wǎng)絡拓樸下就會產(chǎn)生以下問題：如下列圖所示,交換機A、B在vlan1內(nèi),交換機C、D在vlan2內(nèi),然后連成環(huán)路.A在某種情況的配置下,會造成把交換機A和B間的鏈路給DISCARDIN由于交換機C、D不包含vlan1,無法轉(zhuǎn)發(fā)vlan1的數(shù)據(jù)包,這樣交換機A的vlanl就無法與交換機B的vlanl進行通訊.在網(wǎng)絡末梢,連接到單個工作站的時候,是不可能形成橋接環(huán)路的.在接口上啟用了PORTFAS語性,可以使交換機端口立即變?yōu)檗D(zhuǎn)發(fā)狀態(tài),提升了網(wǎng)絡的響應速度及收斂時間.基于RSTP的交換機高級特性UPLINKFAST在網(wǎng)絡中的應用.考慮到有冗余上行連接的網(wǎng)絡,使用冗余連接到上層交換機,通常情況下一個上行連接處于轉(zhuǎn)發(fā)狀態(tài),另一個處于阻塞狀態(tài),如果主上行連接斷開,在使用冗余連接之前所經(jīng)歷的時間高達50S.在使用UPLINKFAS佗后,使的具有冗余上行連接的交換機具有根端口失效時,另一個阻塞的上行連接能夠立即使用,這個時間大大縮小到1-5S之間,在校園網(wǎng)的特殊環(huán)境之下,能大大增強網(wǎng)絡的穩(wěn)定性,加快網(wǎng)絡收斂.NAT的描述及策略路由的實現(xiàn)在組建網(wǎng)絡時,為了節(jié)約地址,我們在內(nèi)部使用保存的私有地址段中的地址,但是使用私有地址不能訪問Internet,所以必須申請多個公開地址配置在和Internet相連的局域網(wǎng)邊緣設備上.應用NAT進行地址轉(zhuǎn)換.NAT是網(wǎng)絡地址譯技術(shù),在路由器上起用NAT之后,可以在部私有地址和外部公網(wǎng)地址之間做轉(zhuǎn)換.比方我們可以把網(wǎng)絡內(nèi)部使用的IP翻譯成外部公網(wǎng)的IP.IP地配置基于策略的路由選擇時,可使用路由映射表來指定基于址,應用程序,協(xié)議或者分組長度的條件.基于策略的路由選擇命令對中選的路由實現(xiàn)策IP地基于策略的路由和靜態(tài)路由有很多共同之處.然而,靜態(tài)路由根據(jù)目標網(wǎng)絡地址來轉(zhuǎn)換分組,而策略路由根據(jù)源地址來轉(zhuǎn)發(fā)分組.在路由選擇表中使用訪問列表時,可根據(jù)諸如目標地址,分組長度,IP協(xié)議字段,優(yōu)先級或端口號來轉(zhuǎn)發(fā)數(shù)據(jù)流.這樣可以指定范圍更廣泛,更細致的條件,并根據(jù)這些條件來決定下一路由器.ACL(訪問限制列表)訪問列表為我們提供了一種對網(wǎng)絡訪問進行有效治理的方法,通過訪問列表,我們可以設置允許或拒絕數(shù)據(jù)包通過路由器,或者允許或者拒絕具體的某些端口進行訪問和使用,如果滿足條件那么執(zhí)行相應的操作,放行這個包或者放棄這個包.我們通過這些設置來滿足實際網(wǎng)絡的靈活需求,從而到達設置網(wǎng)絡平安策略,預防網(wǎng)絡中的敏感設備受到非授權(quán)訪問的情況.在具體實現(xiàn)過程中從技術(shù)上來說我們需要了解到ACL分為兩種類型,他們分別是標準訪問列表(Standardaccesslists)和擴展訪問列表(Extendsaccesslists)前者在過濾網(wǎng)絡的時候只使用IP數(shù)據(jù)報的源地址,那么在使用這種訪問列表的情況下它做出允許或者拒絕這個決定完全是依賴于源IP地址,它無法區(qū)分具體的流量類型.而擴展訪問列表那么可以提供更細的決定,它可以具體到端口,從而精確到某一個效勞,比方對WEB,FTP的訪問等,給我們網(wǎng)絡的策略提供了更細的限制手段.我們利用這種訪問列表進行協(xié)議級的控制以到達對網(wǎng)絡一個有效的治理.標準訪問限制列表一般放在靠近目標的路由器上,而擴展訪問限制列表一般放于近源端的路由器上.鏈路聚合EC(EthernetChannel)以太網(wǎng)信道鏈路聚合可以讓交換機之間和交換機與效勞器之間的鏈路帶寬有非常好的伸縮性,比方可以把2個、3個、4個千兆的鏈路綁定在一起,使鏈路的帶寬成倍增長.鏈路聚合技術(shù)可以實現(xiàn)不同端口的負載均衡,同時也能夠互為備份,保證鏈路的冗余性.在這些千兆以太網(wǎng)交換機中,最多可以支持4組鏈路聚合,每組中最大4個端口.鏈路聚合一般是不允許跨芯片設置的.生成樹協(xié)議和鏈路聚合都可以保證一個網(wǎng)絡的冗余性.在一個網(wǎng)絡中設置冗余鏈路,并用生成樹協(xié)議讓備份鏈路阻塞,在邏輯上不形成環(huán)路.而一旦4.8VLAN(虛擬局域網(wǎng))VLAN虛擬局域網(wǎng)是一種在二層設備上隔離和劃分播送域的技術(shù),通過這種劃分,我們可以把物理位置上別離的網(wǎng)絡設備在邏輯上劃為同一個播送域,或者把物理位置上鄰近的網(wǎng)絡設備劃為不同的播送域,從而更方便我們治理和做一個邏輯層次的劃分.從技術(shù)上說VLAN可以分為靜態(tài)VLAN和動態(tài)VLAN,那么靜態(tài)的VLAN是基于交換機端口進行劃分,根據(jù)網(wǎng)絡設備連接不同的交換機端口,那么進入相應的VLAN.動態(tài)VLAN那么更靈活,它可以根據(jù)接入計算機的IP地址,MAC地址,甚至是用戶的登陸賬號做出相應的處理,把計算機劃分進相應的VLAN中,這樣就為我們實際的網(wǎng)絡治理帶來了比擬大的方便性和靈活性.那么在我們的企業(yè)網(wǎng)方案中,我們希望通過使用VLAN技術(shù)進行劃分到達以下目的：隔離,劃分播送域,減小不必要的播送流量,從而提升整個網(wǎng)絡的利用效率.4.9WLANB線局域網(wǎng)無線局域網(wǎng)有4大特點：移動性：不受時間限制,空間限制,用戶可以在網(wǎng)絡中漫游；靈活性：不受線纜的限制,可以隨意增加和配置工作站；低本錢：無線網(wǎng)絡不再需要大量的工程布線,同時節(jié)省了線路的維護費用；易安裝：對于有線網(wǎng)絡來說,無線網(wǎng)絡的組建、配置和維護更為容易.結(jié)合以上特點,無線網(wǎng)絡非常適合圖書館的環(huán)境和要求,我們在圖書管布置無線網(wǎng)絡,并且采用INFRASTUCTUR眩種典型的WLAN工作模式,無線客戶端可以通過無線接入器AP(AccessPoint)接入以太網(wǎng)共享網(wǎng)絡資源,多個AP分布在相鄰的區(qū)域可以實現(xiàn)無線客戶端的移動漫游.五、網(wǎng)絡平安及治理機制5.1完善的平安機制企業(yè)樓宇交換機通過內(nèi)在的多種平安機制可有效預防和限制病毒傳播和網(wǎng)絡流量攻擊,限制非法用戶使用網(wǎng)絡,保證合法用戶合理化使用網(wǎng)絡,如端口平安、端口隔離、ACL端口ARP報文合法性檢查、基于數(shù)據(jù)流的帶寬限速、六元素綁定等等,滿足企業(yè)網(wǎng)增強對訪問者進行限制、限制非授權(quán)用戶通信的需求；在會聚、核心交換設備設置由硬件實現(xiàn)ACL,對病毒進行過濾,我們選用的會聚、核心交換設備都支持SPOH所以在使用ACL時將不會影響整個交換機的性能..硬件實現(xiàn)端口與MAC地址和用戶IP地址的綁定,嚴格限定端口上用戶接入..通過PrivateVLAN可以在交換機的同一VLAN中提供端口之間的通訊或平安隔離,保證數(shù)據(jù)流進入有效端口,而不會被發(fā)送到其它端口,即解決了因傳統(tǒng)802.1QVLAN造成全網(wǎng)VID資源不夠的問題,同時又無需利用平安規(guī)那么資源即能到達隔離不同用戶以及不同組用戶之間通訊的功能,充分保護用戶隱私..可實現(xiàn)用戶賬號、MAC地址、IP地址、交換機IP、交換機端口等六大元素之間的靈活任意綁定,有效確認用戶合法性和唯一性..支持業(yè)界特