1、大型企業(yè)網(wǎng)間網(wǎng)設(shè)計(jì)與實(shí)現(xiàn) 一、 引言：在網(wǎng)絡(luò)技術(shù)不斷發(fā)展的今天，大型企業(yè)網(wǎng)絡(luò)建設(shè)面臨多種網(wǎng)絡(luò)技術(shù)的選擇。選擇怎樣的網(wǎng)絡(luò)技術(shù)來滿足企業(yè)未來發(fā)展的需要，是擺在各大企業(yè)面前的一個(gè)課題。雖然網(wǎng)絡(luò)技術(shù)在飛速發(fā)展，但企業(yè)網(wǎng)絡(luò)建設(shè)有其內(nèi)在規(guī)律，把握這些內(nèi)在的規(guī)律，將有助于指導(dǎo)大型企業(yè)的網(wǎng)絡(luò)建設(shè)。 本文定義的大型企業(yè)網(wǎng)絡(luò)是跨地域和有層次的網(wǎng)絡(luò)。企業(yè)的網(wǎng)絡(luò)層次和行政結(jié)構(gòu)相對(duì)應(yīng)，網(wǎng)絡(luò)層次在二層或三層以上，網(wǎng)絡(luò)連接可能是跨地市、跨省的，也可能是全國(guó)范圍的。例如，銀行、國(guó)稅系統(tǒng)，民航、鐵路、政府辦公系統(tǒng)等都是跨地域，多層次系統(tǒng)，在網(wǎng)絡(luò)建設(shè)上都有其共同的特點(diǎn)。從總體上說，企業(yè)網(wǎng)絡(luò)涉及到系統(tǒng)軟件平臺(tái)、硬件平臺(tái)，布線系統(tǒng)，

2、局域網(wǎng)建設(shè)，廣域網(wǎng)建設(shè)，應(yīng)用軟件（包括業(yè)務(wù)應(yīng)用和WWW服務(wù)等）、網(wǎng)絡(luò)安全，網(wǎng)絡(luò)管理等方方面面。一、 企業(yè)網(wǎng)絡(luò)建設(shè)過程的幾個(gè)階段企業(yè)網(wǎng)絡(luò)建設(shè)總體上分為設(shè)計(jì)階段、實(shí)施階段和網(wǎng)絡(luò)管理維護(hù)階段。從網(wǎng)絡(luò)設(shè)計(jì)的角度來講，分為應(yīng)用驅(qū)動(dòng)法和基礎(chǔ)設(shè)施法。應(yīng)用驅(qū)動(dòng)法是采用根據(jù)應(yīng)用需求，從工作組網(wǎng)絡(luò)、樓宇網(wǎng)絡(luò)、園區(qū)網(wǎng)絡(luò)到廣域網(wǎng)絡(luò)的由近到遠(yuǎn)的設(shè)計(jì)方法?；A(chǔ)設(shè)施法是根據(jù)基本的網(wǎng)絡(luò)規(guī)劃，采用從廣域網(wǎng)絡(luò)、園區(qū)網(wǎng)絡(luò)到樓宇網(wǎng)絡(luò)的由遠(yuǎn)及近的設(shè)計(jì)方法。企業(yè)網(wǎng)絡(luò)建設(shè)過程分為如下幾個(gè)階段： 1、需求分析階段。通常大型企業(yè)在網(wǎng)絡(luò)建設(shè)中已有部分的網(wǎng)絡(luò)環(huán)境，這些網(wǎng)絡(luò)環(huán)境能滿足當(dāng)時(shí)網(wǎng)絡(luò)應(yīng)用的需要。但網(wǎng)絡(luò)可能是一個(gè)個(gè)孤立的小島，只能在局部范圍內(nèi)

3、實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用及資源共享，企業(yè)網(wǎng)絡(luò)沒有形成一個(gè)整體。企業(yè)網(wǎng)絡(luò)規(guī)劃時(shí)，要考慮網(wǎng)絡(luò)建設(shè)的整體性，既要保護(hù)原有的投資，又要在網(wǎng)絡(luò)技術(shù)的選型上有前瞻性。網(wǎng)絡(luò)需求分析主要是根據(jù)企業(yè)業(yè)務(wù)發(fā)展需求和企業(yè)信息技術(shù)應(yīng)用需求，提出企業(yè)網(wǎng)絡(luò)建設(shè)的總體目標(biāo)和關(guān)鍵技術(shù)指標(biāo)。 企業(yè)網(wǎng)絡(luò)需求分析包含如下幾方面：n 網(wǎng)絡(luò)標(biāo)準(zhǔn)和協(xié)議要求。n 全網(wǎng)絡(luò)信息點(diǎn)分布需求，包括局域網(wǎng)布線結(jié)構(gòu)要求，廣域網(wǎng)傳輸介質(zhì)要求。n 網(wǎng)絡(luò)層次劃分及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)要求。n 結(jié)合應(yīng)用的網(wǎng)絡(luò)設(shè)備處理能力和帶寬要求。n 局域網(wǎng)和廣域網(wǎng)要求。n Internet接入，外網(wǎng)接入，防火墻技術(shù)要求。n 企業(yè)網(wǎng)絡(luò)應(yīng)用要求。 n 網(wǎng)絡(luò)設(shè)備選型要求。n 網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)技術(shù)的關(guān)

4、系（如多媒體、IP話音和網(wǎng)絡(luò)結(jié)構(gòu)的要求）。n 網(wǎng)絡(luò)可靠性、擴(kuò)展性和安全性要求。n 網(wǎng)絡(luò)管理要求。2、網(wǎng)絡(luò)規(guī)劃階段。企業(yè)網(wǎng)絡(luò)規(guī)劃是從企業(yè)網(wǎng)絡(luò)需求分析到企業(yè)網(wǎng)邏輯設(shè)計(jì)中間必經(jīng)階段，主要根據(jù)企業(yè)網(wǎng)絡(luò)需求分析得出分離的、外在的技術(shù)指標(biāo)（如用戶數(shù)、桌面微機(jī)的站點(diǎn)數(shù)、最大響應(yīng)時(shí)間要求等等）。運(yùn)用企業(yè)網(wǎng)絡(luò)本身內(nèi)在的規(guī)律和關(guān)聯(lián)算法，得出整個(gè)企業(yè)網(wǎng)絡(luò)內(nèi)在的技術(shù)框架和技術(shù)指標(biāo)（如桌面帶寬要求、主干帶寬要求、服務(wù)器處理性能要求等等）。3、網(wǎng)絡(luò)邏輯設(shè)計(jì)階段。 網(wǎng)絡(luò)邏輯設(shè)計(jì)階段主要根據(jù)企業(yè)網(wǎng)絡(luò)需求分析結(jié)果，根據(jù)企業(yè)網(wǎng)絡(luò)規(guī)劃的內(nèi)在技術(shù)指標(biāo)，按照計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)的經(jīng)驗(yàn)和方法，在現(xiàn)有的可行的網(wǎng)絡(luò)技術(shù)范圍內(nèi)，設(shè)計(jì)企業(yè)網(wǎng)絡(luò)的連接結(jié)

5、構(gòu)、協(xié)議結(jié)構(gòu)以及每個(gè)網(wǎng)絡(luò)的功能結(jié)構(gòu)。企業(yè)網(wǎng)絡(luò)設(shè)計(jì)主要確定網(wǎng)絡(luò)的連接結(jié)構(gòu)，網(wǎng)絡(luò)節(jié)點(diǎn)的類型、 功能和容量。網(wǎng)絡(luò)傳輸鏈路的類型和容量，以及網(wǎng)絡(luò)安全控制結(jié)構(gòu)和網(wǎng)絡(luò)管理結(jié)構(gòu)。4、網(wǎng)絡(luò)物理設(shè)計(jì)階段。網(wǎng)絡(luò)物理設(shè)計(jì)主要確定實(shí)施網(wǎng)絡(luò)邏輯設(shè)計(jì)方案的廠家產(chǎn)品的類型、數(shù)量和具體配置，以及與網(wǎng)絡(luò)邏輯設(shè)計(jì)方案中連接結(jié)構(gòu)相吻合的物理拓?fù)浣Y(jié)構(gòu)。5、 絡(luò)實(shí)施階段。網(wǎng)絡(luò)實(shí)施階段主要是采購所需的硬件設(shè)備和軟件系統(tǒng)，以及安裝、調(diào)試和測(cè)試網(wǎng)絡(luò)系統(tǒng)。6、 絡(luò)維護(hù)和擴(kuò)展階段。在企業(yè)網(wǎng)絡(luò)通過測(cè)試之后，網(wǎng)絡(luò)就進(jìn)入了運(yùn)行、維護(hù)和擴(kuò)展階段。企業(yè)網(wǎng)絡(luò)的運(yùn)行維護(hù)階段的主要工作是對(duì)企業(yè)網(wǎng)絡(luò)的日常維護(hù)和管理，包括網(wǎng)絡(luò)配置管理、性能管理、故障管理、安全管理

6、和用戶帳戶管理，對(duì)企業(yè)網(wǎng)絡(luò)的預(yù)防性測(cè)試和容量的規(guī)劃。二、企業(yè)網(wǎng)絡(luò)層次結(jié)構(gòu)分析及其模塊化設(shè)計(jì)思想大型企業(yè)網(wǎng)絡(luò)層次結(jié)構(gòu)與企業(yè)的行政結(jié)構(gòu)相對(duì)應(yīng)，一般至少有二層，也有三層和四層結(jié)構(gòu)。多于四層的結(jié)構(gòu)作為遠(yuǎn)程訪問服務(wù)層看待。我們從網(wǎng)絡(luò)的層次劃分上分析探討多層網(wǎng)絡(luò)模塊化設(shè)計(jì)思想。 大多數(shù)企業(yè)網(wǎng)絡(luò)都可以被層次性劃分為三個(gè)邏輯服務(wù)單元(Backbone)、區(qū)域網(wǎng)(Distribute)和訪問網(wǎng)(Localaccess)。骨干網(wǎng)的主要目的在于完成分布于不同區(qū)域或邏輯組的路由最優(yōu)化通信；區(qū)域網(wǎng)主要是完成網(wǎng)絡(luò)流量的安全控制機(jī)制，以使骨干網(wǎng)和訪問網(wǎng)環(huán)境隔離開來；訪問網(wǎng)主要是支持客戶機(jī)對(duì)服務(wù)器的訪問。2.1 模塊化網(wǎng)絡(luò)設(shè)

7、計(jì)方法模塊化網(wǎng)絡(luò)設(shè)計(jì)方法的目標(biāo)在于把一個(gè)大型的網(wǎng)絡(luò)元素劃分成一個(gè)個(gè)互連的網(wǎng)絡(luò)層次。實(shí)質(zhì)上，模塊化方式把網(wǎng)絡(luò)劃分為一個(gè)個(gè)子網(wǎng)，因此網(wǎng)絡(luò)節(jié)點(diǎn)和流量變得更容易管理。層次化的設(shè)計(jì)方法同時(shí)也使網(wǎng)絡(luò)的擴(kuò)展更容易處理，因?yàn)樾碌淖泳W(wǎng)模塊和新的網(wǎng)絡(luò)技術(shù)能被更容易集成進(jìn)整個(gè)系統(tǒng)中，而不破壞已存在的骨干網(wǎng)。層次設(shè)計(jì)方法可為網(wǎng)絡(luò)帶來以下三個(gè)優(yōu)點(diǎn)：1、層次性網(wǎng)絡(luò)的可擴(kuò)展性可擴(kuò)展性是在包交換網(wǎng)絡(luò)連接中使用層次性設(shè)計(jì)的主要優(yōu)點(diǎn)。層次性網(wǎng)絡(luò)具有更多的可擴(kuò)展性是因?yàn)樗梢宰屇阌媚K化方式擴(kuò)展網(wǎng)絡(luò)，而不會(huì)遇到非層次性網(wǎng)絡(luò)或平面性網(wǎng)絡(luò)很快所遇上的問題。但是，層次性網(wǎng)絡(luò)同時(shí)也提出了一定的問題需要仔細(xì)考慮。這些問題包括：虛電路的費(fèi)用，

8、層次設(shè)計(jì)（尤其是網(wǎng)狀拓?fù)涞膬?nèi)在復(fù)雜聯(lián)系，以及需要額外的路由器接口來劃分網(wǎng)絡(luò)層次。為了獲得層次性網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)，你必須使你的網(wǎng)絡(luò)層次結(jié)構(gòu)充分與你所在地區(qū)的拓?fù)湎喾稀ＴO(shè)計(jì)取決于你所使用的包交換模式，以及你所想要的容錯(cuò)能力、網(wǎng)絡(luò)性能和網(wǎng)絡(luò)造價(jià)。2、層次性網(wǎng)絡(luò)的可管理性 使網(wǎng)絡(luò)簡(jiǎn)單化通過把網(wǎng)絡(luò)元素劃分為小單元、層次化，降低了整個(gè)網(wǎng)絡(luò)的復(fù)雜性。這種網(wǎng)絡(luò)單元的劃分使故障診斷變得清晰和簡(jiǎn)單了，同時(shí)還可以提供防止廣播風(fēng)暴、路由循環(huán)等其他潛在問題的內(nèi)在保護(hù)機(jī)制。 使設(shè)計(jì)更靈活層次化設(shè)計(jì)使得骨干網(wǎng)和區(qū)域網(wǎng)之間的包交換形式更具靈活性。很多網(wǎng)絡(luò)都得益于使用混合方式來構(gòu)造整個(gè)網(wǎng)絡(luò)架構(gòu)。在大多數(shù)情況下，可在骨干網(wǎng)部分使

9、用專線而在區(qū)域網(wǎng)或本地網(wǎng)接入部分使用包交換服務(wù)。 使路由器管理更容易由于層次化網(wǎng)絡(luò)結(jié)構(gòu)使網(wǎng)絡(luò)分層，相對(duì)縮小的網(wǎng)絡(luò)區(qū)域使路由器的鄰居或?qū)Φ韧ㄐ哦藬?shù)量減少，因此路由器的配置變得簡(jiǎn)單化。3、優(yōu)化廣播和多點(diǎn)廣播的流量控制在包交換網(wǎng)絡(luò)中，減少路由器之間廣播信息量的最直接方法就是使用更少數(shù)目的路由器組，通過層次化模塊設(shè)計(jì)可以較好地控制網(wǎng)絡(luò)中的廣播。通常在包交換網(wǎng)絡(luò)中最常見的路由器之間的廣播信息流量是路由更新信息，如果在一個(gè)區(qū)域或一個(gè)層次中有太多的路由器，那么就會(huì)因?yàn)閺V播的原因而造成網(wǎng)絡(luò)瓶頸。層次化的網(wǎng)絡(luò)結(jié)構(gòu)使你可以對(duì)區(qū)域網(wǎng)向骨干網(wǎng)的廣播作出限制。 根據(jù)這種層次化網(wǎng)絡(luò)設(shè)計(jì)思想的原則，我們可以把企業(yè)Intra

10、net網(wǎng)絡(luò)工程的整個(gè)網(wǎng)絡(luò)體系結(jié)構(gòu)分為以下三層或四層結(jié)構(gòu)二級(jí)或三級(jí)網(wǎng)絡(luò)主干：即由企業(yè)中心節(jié)點(diǎn)與二級(jí)節(jié)點(diǎn)組成一級(jí)主干網(wǎng)絡(luò)，由二級(jí)節(jié)點(diǎn)和三級(jí)節(jié)點(diǎn)構(gòu)成二級(jí)網(wǎng)絡(luò)，三級(jí)節(jié)點(diǎn)和四級(jí)節(jié)點(diǎn)構(gòu)成三級(jí)網(wǎng)絡(luò)。如下圖2.1所示： 圖2.12.2 評(píng)估一級(jí)主干網(wǎng)絡(luò)的服務(wù) 如圖2.1所示的一級(jí)主干網(wǎng)絡(luò)所能提供的功能特性包括如下幾個(gè)部分： 主干網(wǎng)絡(luò)帶寬管理： 為了優(yōu)化主干網(wǎng)絡(luò)的操作，路由器提供幾種性能調(diào)節(jié)方法，如優(yōu)先權(quán)隊(duì)列管理和數(shù)據(jù)壓縮，動(dòng)態(tài)路由協(xié)議權(quán)值定義，動(dòng)態(tài)路由協(xié)議發(fā)包時(shí)間間隔優(yōu)化，協(xié)議本地確認(rèn)等優(yōu)化和節(jié)省廣域網(wǎng)帶寬。 數(shù)據(jù)傳輸路徑優(yōu)化 路由器最主要的特點(diǎn)之一是在邏輯網(wǎng)絡(luò)環(huán)境內(nèi)，自動(dòng)選擇最優(yōu)路徑傳輸信息。 路由器依靠路

11、由協(xié)議（靜態(tài)和各類動(dòng)態(tài)路由協(xié)議）完成最優(yōu)路徑查找工作。路由協(xié)議是在網(wǎng)絡(luò)第三層上操作，并且各類網(wǎng)絡(luò)協(xié)議有相應(yīng)路由協(xié)議支持。 路由收斂問題：路徑選擇涉及的相關(guān)問題是路由收斂。當(dāng)網(wǎng)絡(luò)發(fā)生變化時(shí)，如主干網(wǎng)上路由器關(guān)機(jī)或故障，或通信線路的故障，或主干網(wǎng)上路由器配置變化等，都會(huì)引起路由表的改變，這種改變過程引起網(wǎng)絡(luò)不能正常工作。因此，選擇收斂速度快的動(dòng)態(tài)路由協(xié)議和避免路由慢收斂問題是網(wǎng)絡(luò)設(shè)計(jì)的關(guān)鍵問題之一。 優(yōu)化傳輸隊(duì)列 主干網(wǎng)上信息傳輸可以分成不同的優(yōu)先級(jí)別，將重要的信息定為高優(yōu)先級(jí)別，優(yōu)先傳輸。路由器可以對(duì)諸如不同協(xié)議類型，不同傳輸層協(xié)議，不同的應(yīng)用類型設(shè)定不同的傳輸優(yōu)先級(jí)。對(duì)IP協(xié)議來講，在網(wǎng)絡(luò)應(yīng)用

12、層，可對(duì)諸如TELNET,等應(yīng)用進(jìn)行傳輸隊(duì)列優(yōu)先權(quán)的設(shè)定，以確保重要數(shù)據(jù)優(yōu)先傳輸。對(duì)傳輸隊(duì)列的優(yōu)化是在各類協(xié)議及子協(xié)議基礎(chǔ)上進(jìn)行，如下圖所示： 負(fù)載均衡 路由器支持多鏈路的負(fù)載均衡，最多可支持四條負(fù)載均衡鏈路，每條鏈路的負(fù)載閥值可以調(diào)整。 路徑備份 一級(jí)主干網(wǎng)上傳輸?shù)亩际侵匾畔?，一?jí)主干網(wǎng)的路徑備份就特別重要。考慮到投資成本，不要求主干網(wǎng)上所有路由器都雙鏈路連接，而只考慮主干網(wǎng)上各中間節(jié)點(diǎn)到中心節(jié)點(diǎn)的雙鏈路連接，各中間節(jié)點(diǎn)之間可以無鏈路連接。各中間節(jié)點(diǎn)之間的通信都跨越全國(guó)中心的路由器實(shí)現(xiàn)。因此，全國(guó)中心路由器必須具備強(qiáng)大的處理能力。2.3 評(píng)估二級(jí)主干網(wǎng)絡(luò)的服務(wù) 如圖2.1所示，我們對(duì)二級(jí)主

13、干網(wǎng)絡(luò)作如下評(píng)估。 區(qū)域和服務(wù)過濾 信息流的過濾是建立在區(qū)域的劃分和服務(wù)類型上。來自區(qū)域內(nèi)部的信息不必要跨越廣域網(wǎng)一級(jí)主干網(wǎng)絡(luò)，這樣可以減緩一級(jí)主干網(wǎng)絡(luò)的通信壓力。同時(shí)，在區(qū)域內(nèi)部可以針對(duì)網(wǎng)絡(luò)服務(wù)類型（如TELNET,等）和網(wǎng)段地址作訪問控制，這樣可確保重要數(shù)據(jù)的訪問安全性。在路由器中，設(shè)置access-list，路由器判定滿足條件的信息包通過網(wǎng)絡(luò)。 基于策略的信息分發(fā)基于策略的信息分發(fā)的目的是確保傳輸性能和信息的完整性。在網(wǎng)間網(wǎng)中，這種策略可以定義成一個(gè)規(guī)則或一組規(guī)則，以此來控制跨越廣域主干的端對(duì)端的數(shù)據(jù)傳輸。例如一個(gè)部門，它可能有三種網(wǎng)絡(luò)協(xié)議要跨越主干，但只希望攜帶重要應(yīng)用的一種特殊的協(xié)議

14、快速通過主干。另一部門，由于主干網(wǎng)絡(luò)過于繁忙，此時(shí)只允許e-mail跨越主干等。 路由協(xié)議的一致性 我們建議一級(jí)和二級(jí)廣域網(wǎng)主干動(dòng)態(tài)路由協(xié)議應(yīng)是一致的，并采用開放的路由協(xié)議如ISIS或BGP4或OSPF。采用那種動(dòng)態(tài)路由協(xié)議，要根據(jù)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)和部門間的隸屬關(guān)系確定。 介質(zhì)轉(zhuǎn)換 介質(zhì)轉(zhuǎn)換技術(shù)是將不同網(wǎng)絡(luò)鏈路層上的幀的格式轉(zhuǎn)換為另一網(wǎng)絡(luò)幀的格式，例如以態(tài)網(wǎng)與令牌環(huán)網(wǎng)的轉(zhuǎn)換。由于區(qū)域內(nèi)網(wǎng)絡(luò)環(huán)境較為復(fù)雜，廠家必須有相應(yīng)的設(shè)備支持。2.4評(píng)估接入訪問服務(wù) 接入訪問服務(wù)包含如下內(nèi)容： 網(wǎng)絡(luò)增值地址網(wǎng)絡(luò)增值地址（helper network address）是用來解決一些特殊的信息傳輸，使得原來是廣播方

15、式的傳輸變?yōu)槎帱c(diǎn)傳輸。這樣，可以減少網(wǎng)絡(luò)的廣播壓力和路由器的負(fù)載。例如，Novell客戶端原來通過廣播方式查找它的服務(wù)器，而如果服務(wù)器不在本網(wǎng)段，廣播信息必須通過路由器。使用helper address后，就允許在一個(gè)網(wǎng)絡(luò)上的節(jié)點(diǎn)直接向另一個(gè)網(wǎng)絡(luò)上的服務(wù)器發(fā)送信息，而不用經(jīng)過路由器。 網(wǎng)段 局部訪問服務(wù)的基本要求是將網(wǎng)絡(luò)分成若干網(wǎng)段，每個(gè)網(wǎng)段實(shí)施各自的信息傳輸策略，通過路由器從而實(shí)現(xiàn)各網(wǎng)段廣播信息的相互隔離，減少主干網(wǎng)絡(luò)的擁塞。確定網(wǎng)段，是通過子網(wǎng)掩碼實(shí)現(xiàn)的。靈活的網(wǎng)段劃分，通過路由器access-list網(wǎng)段地址過濾，可以實(shí)現(xiàn)靈活的網(wǎng)絡(luò)安全訪問控制策略。 廣播和多點(diǎn)廣播 如上所說，路由器能隔

16、離網(wǎng)段的廣播信息。然而，如果需要，路由器可以中繼廣播。通過路由器中繼某些廣播以達(dá)到一定的目的。 IP的多點(diǎn)廣播是從一個(gè)站點(diǎn)向指定的多個(gè)目的站點(diǎn)發(fā)布信息，而不是向每個(gè)站點(diǎn)發(fā)布信息。IP的多點(diǎn)廣播為視頻會(huì)議，股票交易等提供出色的服務(wù)。參與多點(diǎn)廣播的計(jì)算機(jī)，必須運(yùn)行IGMP協(xié)議。路由器配置IGMP(Internet Group Management Protocol) 后，可以實(shí)現(xiàn)位于不同網(wǎng)段內(nèi)的計(jì)算機(jī)的多點(diǎn)廣播。 安全策略 如果所有信息被所有員工隨意訪問得到，那么安全侵犯和不正當(dāng)?shù)奈募L問就不可避免。為了避免這些問題，路由器要做如下工作： 防止局部網(wǎng)絡(luò)信息不正當(dāng)?shù)剡M(jìn)入網(wǎng)絡(luò)主干 防止網(wǎng)絡(luò)主干的信息不

17、正當(dāng)進(jìn)入部門或工作組 實(shí)現(xiàn)這兩大功能的手段是路由的包過濾。一方面，包過濾能控制未受權(quán)的用戶訪問，增加安全性，同時(shí)能減少網(wǎng)絡(luò)的擁塞，減少網(wǎng)絡(luò)問題的發(fā)生。 路由器有一整套信息過濾策略。如對(duì)地址的訪問過濾，對(duì)協(xié)議的訪問過濾，對(duì)應(yīng)用層的訪問過濾。具體地說， 在以太網(wǎng)環(huán)境下，有一臺(tái)主機(jī)能Telnet到Internet的某一臺(tái)主機(jī)，不允許Internet上該主機(jī)Telnet到這臺(tái)主機(jī)上，但可以作SMTP的訪問。 只允許一個(gè)網(wǎng)段通過OSPF動(dòng)態(tài)路由協(xié)議，其它網(wǎng)段OSPF被禁止。 限止某些主機(jī)訪問某些網(wǎng)段。 限止某些網(wǎng)段訪問另一些網(wǎng)段。 上述訪問控制手段是常用的方法。另外還有遠(yuǎn)程訪問控制，通常采用認(rèn)證機(jī)制。對(duì)

18、于MODEM訪問方式的站點(diǎn)，可采用TACACS(Terminal Access Controller Access Control System) 認(rèn)證機(jī)制。對(duì)電話撥號(hào)站點(diǎn)，運(yùn)行ppp協(xié)議，可采用chap或pap 認(rèn)證機(jī)制。 路由器查找 主機(jī)必須知道其網(wǎng)關(guān)地址才能通過路由器訪問別的網(wǎng)段?？梢杂萌斯せ騽?dòng)態(tài)路由的方式配置主機(jī)的網(wǎng)關(guān)地址。主機(jī)至少有一個(gè)路由器局域網(wǎng)端口地址作為其網(wǎng)關(guān)地址。但是，當(dāng)有多個(gè)路由器時(shí)，主機(jī)如何確定其網(wǎng)關(guān)地址呢?一般來說，主機(jī)選擇那臺(tái)能到達(dá)目的站點(diǎn)最佳路徑的路由器作為其網(wǎng)關(guān)，這種情況涉及路由器的查找。支持這種查找的相關(guān)協(xié)議有以下幾種： End System-to-Interm

19、ediate System(ES-IS)協(xié)議 ICMP Routing Discovery Protocol(IRDP)協(xié)議 Proxy Address Resolution Protocol(ARP)協(xié)議 OSPF和RIP協(xié)議 通過對(duì)上述網(wǎng)絡(luò)分層服務(wù)的分析，我們得出結(jié)論：對(duì)于大型企業(yè)Intranet網(wǎng)絡(luò)工程來說，要想建設(shè)成為一個(gè)全國(guó)性的、網(wǎng)絡(luò)性能優(yōu)良的、網(wǎng)絡(luò)控制極為靈活的、具有很強(qiáng)擴(kuò)展能力和升級(jí)能力的大型企業(yè)綜合性網(wǎng)絡(luò)，那么在網(wǎng)絡(luò)設(shè)計(jì)中就必須采用層次化的網(wǎng)絡(luò)設(shè)計(jì)思想。二、 企 業(yè) 廣 域 網(wǎng) 鏈 路 選 擇我們從理論上分析了大型企業(yè)網(wǎng)絡(luò)的層次結(jié)構(gòu)和動(dòng)態(tài)路由協(xié)議。通常企業(yè)租用ISP的通信線路，

20、按照設(shè)計(jì)好的層次結(jié)構(gòu)進(jìn)行廣域連接。在申請(qǐng)通信線路時(shí)要綜合考慮企業(yè)業(yè)務(wù)需求、QOS、運(yùn)行維護(hù)費(fèi)用等多種因素。ISP提供多種通信鏈路來滿足企業(yè)用戶非實(shí)時(shí)網(wǎng)絡(luò)應(yīng)用的需求，如X.25,DDN,幀中繼，PSTN等。也可以選擇撥號(hào)VPN技術(shù)，專線VPN技術(shù)。也可使用標(biāo)記交換技術(shù)，MPLS技術(shù)等。選擇通信類型要根據(jù)運(yùn)營(yíng)成本和運(yùn)營(yíng)效率綜合考慮。對(duì)于廣域網(wǎng)上實(shí)現(xiàn)語音、圖像等多媒體應(yīng)用的廣域網(wǎng)DDN，F(xiàn)rameRelay和ATM都能實(shí)現(xiàn)，但從運(yùn)行費(fèi)用和服務(wù)質(zhì)量保證來看，采用ATM作廣域鏈路是較好的選擇。目前，國(guó)內(nèi)ISP沒有開放ATM業(yè)務(wù)，但企業(yè)如有需要可以申請(qǐng)ATM服務(wù)。三、 企 業(yè) 園 區(qū) 局 域 網(wǎng) 設(shè) 計(jì)

21、(1)企業(yè)園區(qū)局域網(wǎng)絡(luò)采用虛擬交換網(wǎng)絡(luò) 從網(wǎng)絡(luò)的性價(jià)比來看，企業(yè)的局域網(wǎng)絡(luò)邏輯結(jié)構(gòu)采用交換虛擬網(wǎng)技術(shù)已是大勢(shì)所趨。交換虛擬網(wǎng)絡(luò)是基于ATM和局域網(wǎng)交換機(jī)為平臺(tái)的技術(shù)，其目標(biāo)是真正建立一個(gè)可以滿足未來多媒體信息處理時(shí)代需要的企業(yè)網(wǎng)絡(luò)。從長(zhǎng)遠(yuǎn)角度看，采用交換虛擬網(wǎng)絡(luò)技術(shù)可以降低組建企業(yè)網(wǎng)的成本、提高信息技術(shù)與企業(yè)發(fā)展的適應(yīng)能力。交換虛擬網(wǎng)可以滿足企業(yè)網(wǎng)絡(luò)在以下幾個(gè)方面對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的需求： 通過交換技術(shù)，向最終用戶提供更高的帶寬。 可以向不同用戶、不同應(yīng)用提供所需的服務(wù)質(zhì)量保證的網(wǎng)絡(luò)服務(wù)。 提供完整的網(wǎng)絡(luò)管理和控制系統(tǒng)，控制網(wǎng)絡(luò)成本，特別是隱含的網(wǎng)絡(luò)成本開銷，例如網(wǎng)絡(luò)管理、網(wǎng)絡(luò)控制等方面的開銷。 在

22、外圍提供前面的網(wǎng)絡(luò)互連和系統(tǒng)集成方案，提供端到端的解決方案，提高網(wǎng)絡(luò)互連性和可靠性，減少網(wǎng)絡(luò)擴(kuò)展的成本。 構(gòu)造虛擬工作組網(wǎng)絡(luò)以支持虛擬工作組工作。 (2)企業(yè)局域網(wǎng)絡(luò)的主干交換 企業(yè)局域網(wǎng)絡(luò)主干的作用就是互連網(wǎng)絡(luò)的各個(gè)部分，傳遞分布到網(wǎng)絡(luò)各個(gè)部分的數(shù)據(jù)流。主干網(wǎng)必須具有高效率、高可用性特征，在主干上任何一點(diǎn)不合理的延遲都是災(zāi)難性的！ 采用ATM交換技術(shù)可以提供邊緣交換機(jī)之間的高速連通性、可靠性和服務(wù)質(zhì)量保證，以及支持多種數(shù)據(jù)流類型，如IP、IPX、DECnet。利用ATM技術(shù)的高效擁擠控制和流量控制，高可用性和功能全面的網(wǎng)絡(luò)控制，動(dòng)態(tài)用戶組管理及有效的流量管理，滿足大批量數(shù)據(jù)傳輸對(duì)帶寬的需求，

23、同時(shí)滿足多媒體應(yīng)用對(duì)不同類型信息流和不同服務(wù)質(zhì)量的需求。 采用千兆以太網(wǎng)技術(shù)可以提供極高的網(wǎng)絡(luò)主干帶寬，并融合傳統(tǒng)的以太網(wǎng)技術(shù)和交換技術(shù)，給終端用戶提供滿足應(yīng)用需求的帶寬。雖然在帶寬上滿足終端用戶的需求，但在網(wǎng)絡(luò)的流量管理上和服務(wù)質(zhì)量上不及ATM。 企業(yè)局域網(wǎng)絡(luò)還可以采用第三層或第四層交換技術(shù)，以滿足網(wǎng)絡(luò)主干在性能上的需求。 (3)企業(yè)園區(qū)樓宇網(wǎng)絡(luò)設(shè)計(jì)企業(yè)園區(qū)樓宇設(shè)計(jì)必須基于建筑物內(nèi)已有的或者可能設(shè)置的布線結(jié)構(gòu)進(jìn)行設(shè)計(jì)，同時(shí)要考慮每個(gè)樓宇內(nèi)信息資源中心的設(shè)置，局域網(wǎng)之間的數(shù)據(jù)通信類型和可能通信量，局域網(wǎng)之間需要設(shè)置的安全訪問控制策略，確定網(wǎng)絡(luò)互連模式和結(jié)構(gòu)。樓宇內(nèi)設(shè)計(jì)采用路由互連技術(shù)、ATM交

24、換互連網(wǎng)技術(shù)和虛擬局域網(wǎng)組網(wǎng)技術(shù)。樓宇網(wǎng)絡(luò)設(shè)計(jì)需要考慮如下問題： 樓宇內(nèi)部如果沒有干擾，而且傳輸距離在100米之內(nèi)，一般采用雙絞線作為網(wǎng)絡(luò)的傳輸媒體。如果樓宇內(nèi)部有電磁干擾，可以采用光纖作為傳輸媒體。如果樓宇內(nèi)部的傳輸距離大于100米，可以采用互連設(shè)備的級(jí)聯(lián)，也可以采用光纖作為傳輸媒體。 在采用同一局域網(wǎng)技術(shù)的工作組網(wǎng)絡(luò)互連時(shí)，如果可以共享帶寬，而且無安全控制需要，只是由于工作組網(wǎng)絡(luò)覆蓋的距離不夠，則可以采用級(jí)聯(lián)集線器的方式擴(kuò)展網(wǎng)絡(luò)。 在采用同一種局域網(wǎng)技術(shù)的工作組網(wǎng)絡(luò)互連時(shí)，如果各個(gè)工作組需要獨(dú)立的傳輸帶寬，則通過局域網(wǎng)交換機(jī)連接。 采用不同局域網(wǎng)技術(shù)的工作組網(wǎng)絡(luò)互連時(shí)，如果互連的工作組網(wǎng)絡(luò)

25、較少，各個(gè)工作組之間無需提供安全訪問控制，而且，各個(gè)工作組網(wǎng)絡(luò)之間需要提供快速連接，則采用支持多種局域網(wǎng)接口的交換機(jī)。 采用不同的局域網(wǎng)技術(shù)的工作組網(wǎng)絡(luò)互連時(shí)，如果互連的工作組網(wǎng)絡(luò)數(shù)量較多，各個(gè)工作組網(wǎng)絡(luò)內(nèi)部有較大的廣播報(bào)文，或工作組網(wǎng)絡(luò)之間需要有較為嚴(yán)格的安全訪問控制，且在工作組之間沒有多媒體應(yīng)用，則采用路由器互連各個(gè)工作組網(wǎng)絡(luò)。 如果工作組站點(diǎn)的地理分布，與其它工作組網(wǎng)絡(luò)站點(diǎn)地理分布重復(fù)，則需要在同一地理區(qū)域采用同一局域網(wǎng)交換機(jī)連接不同工作組網(wǎng)絡(luò)站點(diǎn)，通過交換機(jī)構(gòu)成符合工作組劃分的虛擬網(wǎng)絡(luò)。 對(duì)于具有多媒體應(yīng)用的點(diǎn)到點(diǎn)站點(diǎn)網(wǎng)絡(luò)服務(wù)質(zhì)量保證的傳輸信道，采用ATM技術(shù)，到桌面采用25M ATM

26、連接。 服務(wù)器設(shè)備接入：采用光纖155M ATM接入或光纖100M以太網(wǎng)接入。重點(diǎn)終端用戶采用光纖接入核心交換機(jī)，實(shí)現(xiàn)安全傳輸。 (4)企業(yè)園區(qū)虛擬局域網(wǎng) 網(wǎng)絡(luò)廠商相繼開發(fā)了“開放”互聯(lián)技術(shù)VTP(VLAN Trunking Protocol)，支持的標(biāo)準(zhǔn)是ISL、802.1Q，MPLS。ATM交換機(jī)和局域網(wǎng)交換機(jī)為虛擬局域網(wǎng)提供了基礎(chǔ)平臺(tái)。虛擬局域網(wǎng)為企業(yè)局域網(wǎng)絡(luò)帶來的三個(gè)好處是： 在最大限度地減少對(duì)路由器依賴的基礎(chǔ)上，有效地控制局域網(wǎng)內(nèi)的廣播流量，提高站點(diǎn)的傳輸效率。 減少由于網(wǎng)絡(luò)站點(diǎn)的增加、移動(dòng)和更改而增加的網(wǎng)絡(luò)維護(hù)成本。 業(yè)務(wù)部門工作組的邏輯組合更為靈活。 在VLAN的劃分中，都與“群

27、組”這個(gè)概念有關(guān)。群組是指局域網(wǎng)交換機(jī)的一個(gè)集合。每個(gè)交換機(jī)支持的群組數(shù)目有一定的限制。因此，在網(wǎng)絡(luò)規(guī)劃時(shí)，必須考慮業(yè)務(wù)部門邏輯工作組的數(shù)量，并選擇相應(yīng)的交換機(jī)型號(hào)，使得交換機(jī)的VLAN數(shù)量和處理性能滿足業(yè)務(wù)應(yīng)用需要。一個(gè)群組可以包括全網(wǎng)中不同交換機(jī)的端口，每個(gè)群組可以看作是一個(gè)獨(dú)立的通信域。如果不使用路由功能，則一個(gè)群組中的通信量不能轉(zhuǎn)發(fā)到另一個(gè)群組中，群組的特征如下： (1)一個(gè)群組是一個(gè)廣播域； (2)一個(gè)群組是交換機(jī)物理端口的集合； (3)群組可以跨越多個(gè)交換機(jī)； (4)群組不能相互重疊，即每個(gè)端口只能屬于一個(gè)群組； (5)群組之間的幀可以通過路由轉(zhuǎn)發(fā)； (6)同一群組中不同的VLAN

28、的幀也可以通過路由轉(zhuǎn)發(fā)。 群組的概念實(shí)際上是基于以端口為基礎(chǔ)的VLAN。還有其它類型的VLAN劃分： (1)基于MAC地址的VLAN劃分，這種VLAN劃分方法靈活，但管理復(fù)雜； (2)基于協(xié)議規(guī)則的VLAN劃分，把具有相同的第三層協(xié)議網(wǎng)絡(luò)站點(diǎn)歸并成一個(gè)VLAN。這些站點(diǎn)連接的交換機(jī)端口構(gòu)成一個(gè)廣播域，以減少在同一網(wǎng)絡(luò)環(huán)境下不同協(xié)議棧之間的相互干擾。選擇不同的協(xié)議類型構(gòu)成不同的VLAN：1、所有IP協(xié)議流量；2、所有IPX協(xié)議流量；3、所有DECnet協(xié)議流量；所有AppleTtalk流量；4、所有指定以太類型的流量；5、所有攜帶指定源點(diǎn)和目的點(diǎn)SAP（服務(wù)訪問點(diǎn)）報(bào)頭的流量；6、所有攜帶指定S

29、NAP（子網(wǎng)訪問協(xié)議）類型的流量。 (3)基于網(wǎng)絡(luò)地址的VLAN。 用IP地址和IP網(wǎng)絡(luò)掩碼劃分網(wǎng)段。 (4)基于用戶定義規(guī)則的VLAN。四、 企 業(yè) 網(wǎng) 絡(luò) 與 外 網(wǎng) 連 接企業(yè)網(wǎng)絡(luò)與外網(wǎng)的連接發(fā)生在企業(yè)網(wǎng)絡(luò)的各個(gè)層次上，其中包括Internet接入等。我們稱企業(yè)內(nèi)部網(wǎng)為內(nèi)網(wǎng)，企業(yè)外部網(wǎng)為外網(wǎng)。顯然，內(nèi)網(wǎng)和外網(wǎng)間加裝防火墻。通常，內(nèi)網(wǎng)和外網(wǎng)間采用靜態(tài)路由或缺省路由。內(nèi)網(wǎng)和外網(wǎng)的信息訪問通過防火墻進(jìn)行過濾。內(nèi)網(wǎng)和外網(wǎng)的連接如下圖所示：五、企業(yè)網(wǎng)絡(luò)的可靠性企業(yè)網(wǎng)絡(luò)的可靠性體現(xiàn)在網(wǎng)絡(luò)鏈路備份和設(shè)備的備份上。對(duì)可靠性較高的要求意味著有較大的資金投入。由于企業(yè)業(yè)務(wù)運(yùn)行模式各不相同，可靠性的要求會(huì)不同。對(duì)于銀行企業(yè)、電信移動(dòng)通信運(yùn)營(yíng)商、電信級(jí)長(zhǎng)話計(jì)費(fèi)系統(tǒng)、ISP運(yùn)營(yíng)商和鐵路客票系統(tǒng)等大型企業(yè)網(wǎng)絡(luò)要求7*24小時(shí)服務(wù)。這些大型網(wǎng)絡(luò)要求網(wǎng)絡(luò)中心節(jié)點(diǎn)不但有設(shè)備冗余備份，還要有系統(tǒng)異地容災(zāi)備份。也就是說，在中心節(jié)點(diǎn)發(fā)生災(zāi)難時(shí)，不至于導(dǎo)致全網(wǎng)業(yè)務(wù)停頓和關(guān)鍵數(shù)據(jù)的丟失。這就要求網(wǎng)絡(luò)在設(shè)計(jì)上要充分考慮備份切換問題，尤其要考慮異地容災(zāi)備份切換問題。對(duì)于同一地點(diǎn)的設(shè)備備份，無論是主機(jī)設(shè)備和網(wǎng)絡(luò)設(shè)備，各廠商都有解決方案。異地容災(zāi)備份問題，從如下幾個(gè)方面著手：1）建立