畢業(yè)論文---企業(yè)網(wǎng)的規(guī)劃與設計

1、<p>　　畢業(yè)設計說明書(論文）</p><p>　　作 者： 學 號： </p><p>　　系 部： </p><p>　　專 業(yè)： 計算機科學與技術 </p>

2、;<p>　　題 目： 企業(yè)網(wǎng)的設計與規(guī)劃 </p><p>　　指導者： 　 </p><p>　　(姓 名) (專業(yè)技術職務)</p><p>　　評閱者： </p>

3、<p>　　(姓 名) (專業(yè)技術職務)</p><p>　　畢業(yè)設計說明書（論文）中文摘要</p><p><b>　　摘 要</b></p><p>　　企業(yè)不斷發(fā)展的同時其網(wǎng)絡規(guī)模也在不斷擴大，復雜的網(wǎng)絡面臨更多的安全問題。</p><p>　　面對日益龐大的網(wǎng)絡系統(tǒng)，如何做到高

4、效長期穩(wěn)定地進行通信是我們所追求的目標。對于工作或者私人客戶端的不同網(wǎng)絡需求，我們需要通過運用不同的相關技術去實現(xiàn)。隨著時代的進步，安全也成為一個迫在眉睫的關鍵所在，于是便有了VLAN和冗余等技術的出現(xiàn)。通過最少的配置量來達到最好的效果，并進行相應的優(yōu)化，仔細規(guī)劃配置方案，確保做到首尾兼顧。然后還要考慮到成本的問題，“性價比”這個名詞的出現(xiàn)代表著人們已經(jīng)走出盲從消費的怪圈，因此我們需要仔細思考該項目的帶來的收益值得我們投入多少，才能使得

5、該項目的性價比最高，并確定方案是否可行，進行項目實施時我們需要步步為營，避免不必要的配置錯誤或者環(huán)路，一勞永逸。</p><p>　　關鍵詞 規(guī)模 安全 成本 穩(wěn)定</p><p>　　畢業(yè)設計說明書（論文）外文摘要</p><p>　　Title Based on the formation of enterprise network desig

6、n</p><p><b>　　Abstract</b></p><p>　　enterprise constant development, but also its network scale is expanding continually, complicated network face more safety problems.</p>&l

7、t;p>　　Facing the increasingly extensive network system, how to accomplish efficient long-term stability to communicate is our goal. For work or private client demand, we need different network by using different relat

8、ed technologies to achieve. With the progress of The Times, safety has become a looming key, so they have a VLAN and redundancy technique appears. Through the least amount of configuration to achieve the best effect, and

9、 carries on the corresponding optimization, careful planning scheme, </p><p>　　Keywords: scale， security, cost， stability</p><p><b>　　目 錄</b></p><p><b>　　摘 要2

10、</b></p><p><b>　　前言1</b></p><p>　　第一章 企業(yè)網(wǎng)組建設計與需求分析2</p><p>　　1.1網(wǎng)絡設計原則2</p><p>　　1.2網(wǎng)絡系統(tǒng)結構初步規(guī)劃3</p><p>　　1.3網(wǎng)絡安全系統(tǒng)需求3</p>&l

11、t;p>　　1.4 總體需求4</p><p>　　第二章 網(wǎng)絡系統(tǒng)設計方案7</p><p>　　2.1 企業(yè)網(wǎng)分層架構設計7</p><p>　　2.2 網(wǎng)絡搭建設備7</p><p>　　2.3網(wǎng)絡管理、接入控制、日志審計系統(tǒng)9</p><p>　　第三章 網(wǎng)絡技術設計分析11</p>

12、;<p>　　3.1網(wǎng)絡IP地址規(guī)劃11</p><p>　　3.2企業(yè)網(wǎng)絡技術分類12</p><p>　　3.3路由協(xié)議選擇15</p><p>　　第四章 網(wǎng)絡拓撲具體配置17</p><p>　　4.1網(wǎng)絡的配置規(guī)劃17</p><p>　　4.2 網(wǎng)路的ACL配置18</p&g

13、t;<p>　　第五章 網(wǎng)絡故障應急方案21</p><p>　　5.1 故障預防21</p><p>　　5.2 系統(tǒng)應急21</p><p>　　5.3 其他突發(fā)事件應急23</p><p><b>　　結束語24</b></p><p><b>　　致 謝

14、25</b></p><p><b>　　參考文獻26</b></p><p><b>　　附錄A27</b></p><p><b>　　附錄B28</b></p><p>　　附錄：英文技術資料翻譯36</p><p><

15、b>　　前言</b></p><p>　　如今，應用將網(wǎng)絡用作一種資源，這種方式促使以太網(wǎng)不斷發(fā)展，數(shù)據(jù)中心網(wǎng)絡不斷演進。對于網(wǎng)絡的要求已經(jīng)改變，它不再僅僅用于傳統(tǒng)的客戶機-服務器交易。例如，服務器集群的部署不斷增加，導致服務間流量隨之不斷增長。同時，網(wǎng)格計算也進一步增加了服務器間流量。如今，數(shù)據(jù)流量要在多方之間進行轉(zhuǎn)移，包括從客戶機到服務器、服務器到服務器、服務器到存儲設備、以及存儲設備到存儲

16、設備等。 </p><p>　　這些趨勢顯著增加了總體流量，同時流量模式的變更也導致更加依賴于網(wǎng)絡來提供支持服務器集群應用所需的吞吐率?，F(xiàn)在，應用性能和網(wǎng)絡性能均為企業(yè)測量的目標，這意味著帶寬和延遲都非常重要。同時，所發(fā)送流量的類型也存在區(qū)別?？蛻魴C到服務器和服務器到服務器交涉及短暫的突發(fā)性傳輸。而大多數(shù)服務器到存儲設備和純存儲應用要求長期、穩(wěn)定的訊息流。這就要求網(wǎng)絡架構非常靈活，并且具備出色網(wǎng)絡智能，以支持、發(fā)

17、現(xiàn)和響應網(wǎng)絡情況的變化。 </p><p>　　應用處理丟包的能力也存在差異。丟包對不同協(xié)議的影響有所不同，應用會以不同的方式做出響應：一些應用可以容忍這一情況，通過重新發(fā)送所丟數(shù)據(jù)包得以恢復。以太網(wǎng)能夠支持這些情況，但其它應用不能容忍任何丟包情況，要求保證端到端傳輸沒有丟包。通過以太網(wǎng)傳輸?shù)墓饫w通道流量就是要求無丟包服務的一個典型示例。為了使以太網(wǎng)能夠滿足應用的無丟包要求，企業(yè)需要制定一種方法來通過以太網(wǎng)提供無

18、損服務。IEEE數(shù)據(jù)中心橋接的流量管理擴展提供了這一能力。 </p><p>　　網(wǎng)絡還必須能夠支持大型的平面設計。隨著中心網(wǎng)絡不斷擴展，以及客戶增添越來越多的服務器和交換機，原本已經(jīng)非常龐大的現(xiàn)有扁平式第二層網(wǎng)絡正在變得更加龐大，并且這一趨勢已成為一種普遍現(xiàn)象。</p><p>　　本文從公司對信息的需求對和該工程給公司帶來的效益來敘述了本論文的開端，來構建一個企業(yè)局域網(wǎng)，從主流組網(wǎng)技術

19、的分析與比較，來選擇一個最適合一個中小型企業(yè)局域網(wǎng)的組網(wǎng)分析，來實現(xiàn)企業(yè)網(wǎng)帶來的經(jīng)濟效益，在這個發(fā)展迅速的時代，網(wǎng)絡的快速發(fā)展是必然的，所以企業(yè)局域網(wǎng)也是必然的發(fā)展才能展現(xiàn)出一個企業(yè)現(xiàn)代化的實力，才能更方便快捷的和時代接軌，利用最前沿的普遍的網(wǎng)絡來來推進公司的發(fā)展。 </p><p>　　第一章 企業(yè)網(wǎng)組建設計與需求分析</p><p><b>　　1.1網(wǎng)絡設計原則</

20、b></p><p>　　新建網(wǎng)絡必須滿足公司未來3～5年內(nèi)的研究、生產(chǎn)、辦公需求，遵循“可靠性、實用性、安全保密性、先進性、經(jīng)濟性、開放性”的設計原則，以系統(tǒng)生命周期長、管理維護方便、系統(tǒng)集成度高和保護投資為主要技術特色，適應XX公司當前應用及后續(xù)不斷發(fā)展。</p><p>　　該企業(yè)網(wǎng)絡是具有高密度用戶群的網(wǎng)絡，為了保障全網(wǎng)的高速轉(zhuǎn)發(fā)，企業(yè)網(wǎng)網(wǎng)全網(wǎng)的組網(wǎng)設計的無瓶頸性，要求方案設

21、計的階段就要充分考慮到，同時要交換機具有高性能、高帶寬的特性，整網(wǎng)的核心交換要求能夠提供無瓶頸的數(shù)據(jù)交換。 </p><p>　　1）可管理:該企業(yè)網(wǎng)絡是一個龐大而且復雜的網(wǎng)絡，為了保障網(wǎng)絡的正常使用以及設備的良好維護需要一個功能強大，具有分級、分權管理能力的網(wǎng)管系統(tǒng)，實現(xiàn)統(tǒng)一的網(wǎng)絡業(yè)務調(diào)度和管理，降低網(wǎng)絡運營成本。同時由于企業(yè)網(wǎng)絡的使用者數(shù)量較多，跨網(wǎng)絡開展的業(yè)務眾多，因此需要能夠提供用戶的高效管理，以確企業(yè)網(wǎng)

22、絡的信息安全。</p><p>　　2）可增值:企業(yè)網(wǎng)絡的建設、使用和維護需要投入大量的人力、物力，因此網(wǎng)絡的增值性是網(wǎng)絡持續(xù)發(fā)展基礎。所以在建設時要充分考慮業(yè)務的擴展能力，能提供豐富的寬帶增值業(yè)務（如VoIP，IPV6等），全網(wǎng)支持IPV6，使網(wǎng)絡能適應未來需求，節(jié)約各類費用。確保新建網(wǎng)絡在3～5年內(nèi)的使用價值。</p><p>　　3）安全保密性:充分考慮整個網(wǎng)絡的穩(wěn)定性，支持網(wǎng)絡節(jié)點

23、的備份和線路保護，提供網(wǎng)絡安全防范措施。能有效通過軟硬件相互聯(lián)動，有效保證企業(yè)網(wǎng)的安全；選擇設備必須具有較高的安全特性，如蠕蟲病毒防御、ARP欺騙防御、防代理、防攻擊掃描、防私設DHCP等功能，系統(tǒng)采用數(shù)字簽名,安全認證,密碼技術以及超級防火墻軟件,代理服務器和VPN(虛擬隧道網(wǎng)絡技術)等來確保網(wǎng)內(nèi)安全。對員工的上網(wǎng)行為進行實時記錄，并保存到日志服務器。</p><p>　　4）可擴展與成熟性:企業(yè)網(wǎng)絡要建設成完

24、整統(tǒng)一、組網(wǎng)靈活、易擴充的彈性網(wǎng)絡平臺，要具有可擴展性和可升級性。隨著業(yè)務的增長和應用水平的提高，網(wǎng)絡中的數(shù)據(jù)和信息流將按指數(shù)增長，需要網(wǎng)絡有很好的可擴展性，并能隨著技術的發(fā)展不斷升級。</p><p>　　5）經(jīng)濟性:在滿足高性能價格比(高性價比)的前提下,選用物廉價美,經(jīng)濟實用的產(chǎn)品,以減少開支。</p><p>　　6）開放性：技術選擇必須符合相關國際標準及國內(nèi)標準，避免個別廠家的私

25、有標準或內(nèi)部協(xié)議，確保網(wǎng)絡的開放性和互連互通，滿足信息準確、安全、可靠、優(yōu)良交換傳送的需要；開放的接口，支持良好的維護、測量和管理手段，提供網(wǎng)絡統(tǒng)一實時監(jiān)控的遙測、遙控的信息處理功能，實現(xiàn)網(wǎng)絡設備的統(tǒng)一管理。</p><p>　　1.2網(wǎng)絡系統(tǒng)結構初步規(guī)劃</p><p>　　首先根據(jù)需求構建網(wǎng)絡拓撲，考慮到數(shù)據(jù)傳輸?shù)姆€(wěn)定及安全性，這里采用三層架構體系，劃分為核心層、匯聚層、接入層。各部分

26、需求如下：</p><p>　　1）核心層：主干網(wǎng)絡設備采用交換機進行組網(wǎng)，配置兩臺高性能核心三層交換機，完成各匯聚節(jié)點與核心節(jié)點以及各匯聚節(jié)點之間的數(shù)據(jù)高速路由轉(zhuǎn)發(fā)以及各節(jié)點園區(qū)網(wǎng)的業(yè)務匯聚，并在整個骨干網(wǎng)上啟用HSRP進行冗余，進行容災處理。</p><p>　　核心層為下兩層提供優(yōu)化的數(shù)據(jù)傳輸功能，它是一個高速的路由交換骨干，其作用是盡可能快地交換數(shù)據(jù)包，滿足匯聚節(jié)點與核心節(jié)點之間高

27、速通信的需要。核心交換機應具備盡可能強大的性能、業(yè)務支持和端口接入的擴展能力。</p><p>　　2）匯聚層：每個匯聚節(jié)點的匯聚交換機通過2個快速以太口與企業(yè)數(shù)據(jù)中心的2臺核心交換機相聯(lián)，構成雙核心，雙歸屬的骨干網(wǎng)絡。</p><p>　　匯聚層提供基于統(tǒng)一策略的互連性，它是核心層和接入層的分界點，定義了網(wǎng)絡的邊界，對數(shù)據(jù)包進行復雜的運算。在整個網(wǎng)絡環(huán)境中，匯聚層主要提供如下功能：部門和

28、工作組的接入和匯聚，VLAN的路由，HSRP的封裝，實現(xiàn)冗余等。 </p><p>　　3）接入層：接入層節(jié)點采用百兆三層接入交換機，千兆光/電接口上聯(lián)匯聚交換機，支持802.1x接入，做到面向端點的安全控制能力。</p><p>　　拓撲圖如圖1-1所示。</p><p>　　1.3網(wǎng)絡安全系統(tǒng)需求</p><p>　　信息化網(wǎng)絡建設，涉及

29、與Internet的連接，涉及到與多個下屬部分單位的連接。WWW應用、FTP應用等等需要針對不同的部門、不同的人員服務，對網(wǎng)絡的安全提出了以下的需求：</p><p>　　采用安全控制措施，實現(xiàn)人員的集中管理和控制。</p><p>　　采用安全措施，加強對核心服務器系統(tǒng)的保護。</p><p>　　采用安全措施，實現(xiàn)與Internet的安全連接，同時對外提供服務。

30、</p><p>　　實現(xiàn)集中統(tǒng)一的全網(wǎng)安全管理，減輕管理的負擔。</p><p><b>　　圖1-1 拓撲圖</b></p><p><b>　　1.4 總體需求</b></p><p>　　1)系統(tǒng)建設的總體需求有：</p><p><b>　　(1) 高帶寬

31、</b></p><p>　　為了支持數(shù)據(jù)、話音、視像多媒體的傳輸能力，在技術上要到達當前的國際先進水平。要采用比較先進的網(wǎng)絡技術，以適應大量數(shù)據(jù)和多媒體信息的傳輸，既要滿足目前的業(yè)務需求，又要充分考慮未來的發(fā)展。為此應選用高帶寬的先進技術。</p><p><b>　　(2) 高可靠性</b></p><p>　　網(wǎng)絡系統(tǒng)應具有高

32、可靠性、高安全性，具體到本項目中，要求采用可靠性較高的產(chǎn)品和網(wǎng)絡架構，在物理層、數(shù)據(jù)鏈路層和網(wǎng)絡層等多個層次都有相應的技術，以最大程度的保證網(wǎng)絡的正常運轉(zhuǎn)。</p><p><b>　　(3) QoS保證</b></p><p>　　當今網(wǎng)絡中多媒體的應用越來越多，這類應用對服務質(zhì)量的要求較高，新的網(wǎng)絡系統(tǒng)應能保證QoS，以支持這類應用。</p><

33、;p><b>　　(4) 多協(xié)議支持</b></p><p>　　由于網(wǎng)絡將要存在不同的業(yè)務和辦公應用系統(tǒng)，并基于不同的網(wǎng)絡協(xié)議，所以網(wǎng)絡系統(tǒng)應能支持多種協(xié)議（IP、SNA、Netbios等），是一個開放型的網(wǎng)絡，支持各種協(xié)議的互連。</p><p>　　(5) 易管理、易維護</p><p>　　由于企業(yè)的網(wǎng)絡系統(tǒng)規(guī)模龐大，需要網(wǎng)絡系統(tǒng)

34、具有良好的可管理性，網(wǎng)管系統(tǒng)具有監(jiān)測、故障診斷、故障隔離、過濾設置等功能，以便于系統(tǒng)的管理和維護。同時應盡可能選取集成度高、模塊可通用的產(chǎn)品，以便于管理和維護。</p><p><b>　　(6) 安全性</b></p><p>　　網(wǎng)絡系統(tǒng)應具有良好的安全性，要充分的保證網(wǎng)絡的安全性，應該根據(jù)相應的管理制度和網(wǎng)絡策略制定一套完善的安全政策，基于此安全政策，采用合適的

35、技術手段，以達成目標，保證系統(tǒng)的安全性。</p><p>　　(7) 可擴展性和可升級性</p><p>　　系統(tǒng)要有可擴展性和可升級性，隨著業(yè)務的增長和應用水平的提高，網(wǎng)絡中的數(shù)據(jù)和信息流將按指數(shù)增長，需要網(wǎng)絡有很好的可擴展性，并能隨著技術的發(fā)展不斷升級。</p><p>　　1.4.1企業(yè)對業(yè)務的需求情況</p><p>　　網(wǎng)絡事支撐企

36、業(yè)各種業(yè)務的基礎設施。所以在規(guī)劃設計網(wǎng)絡之前，應該清楚它的使用。使他能夠隨著公司的發(fā)展而擴大，預計該企業(yè)在以后3-5年內(nèi)計劃聘用的人數(shù)、業(yè)務規(guī)?；蚓W(wǎng)絡數(shù)據(jù)流量的預計增長情況來估計公司的增長率確定公司在可靠性和有效性方面的需求，包括網(wǎng)絡故障帶來的嚴重后果，當然網(wǎng)絡修復的費用，網(wǎng)絡的安全性，web站點和Internet連接性，遠程訪問等的實現(xiàn)都對于網(wǎng)絡的規(guī)劃有至關重要的地位。</p><p>　　經(jīng)過我們對該企業(yè)的研

37、究，預計企業(yè)在未來幾年企業(yè)將進一步擴大，我們將預留一定的升級空間方便新用戶的接入，其中包括網(wǎng)絡設備支持升級其他應用設備的接入，全面實現(xiàn)計算機資源共享：對于局域網(wǎng)中的各種資源,通過設置網(wǎng)絡用戶的共享權限,讓他成為網(wǎng)絡共享資源。（如計算機硬盤、軟驅(qū)、光驅(qū)、刻錄機,各類軟件和文本文件、打印機、 掃描儀、調(diào)制解調(diào)器等I/O設備）當然隨著網(wǎng)絡設計過程的接入，我們的設計也許會有一定的調(diào)整。</p><p>　　1.4.2用戶

38、需求分析</p><p>　　對于一個企業(yè)網(wǎng)絡而言用戶的需求是基礎，經(jīng)營想到應用、計算機平臺甚至網(wǎng)絡。用戶需求主要包括可靠性、可用性、可升級性、安全性、及時性以及響應時間。</p><p>　　企業(yè)的用戶群包括管理層，普通用戶群的也用代表，在與用戶群的適當?shù)慕涣靼▎柧碚{(diào)查，集中訪談，個人采訪中我們發(fā)現(xiàn)，“快”是多數(shù)用戶對網(wǎng)絡響應的要求了，其中包括下載速度、連接速度等，我們將為核心設備提供

39、冗余，以盡量保障系統(tǒng)的99.95%的可靠性，同時我們將根據(jù)企業(yè)的需求，為用戶停工遠程登錄，文件傳輸服務，在年底企業(yè)統(tǒng)計全年信息時候會出現(xiàn)企業(yè)通訊高峰時間，我們的服務器將以滿足高峰期通訊為基礎選型的。當然我們將提供防火墻等安全設備，保障用戶信息，物理資源的機密性，網(wǎng)整性和確實性，提供一定的數(shù)據(jù)加密、自動備份、發(fā)生問題的恢復等。當然也包括網(wǎng)絡應提供的服務資源共享、辦公自動化、遠程控制、電子郵件、www應用等。</p><

40、p>　　1.4.3企業(yè)對網(wǎng)絡的需求</p><p>　　對于一個企業(yè)網(wǎng)絡而言用戶的需求是基礎，經(jīng)營想到應用、計算機平臺甚至網(wǎng)絡。用戶需求主要包括可靠性、可用性、可升級性、安全性、及時性以及響應時間。</p><p>　　企業(yè)的用戶群包括管理層，普通用戶群的也用代表，在與用戶群的適當?shù)慕涣靼▎柧碚{(diào)查，集中訪談，個人采訪中我們發(fā)現(xiàn)，“快”是多數(shù)用戶對網(wǎng)絡響應的要求了，其中包括下載速度、

41、連接速度等，我們將為核心設備提供冗余，以盡量保障系統(tǒng)的99.95%的可靠性，同時我們將根據(jù)企業(yè)的需求，為用戶停工遠程登錄，文件傳輸服務，在年底企業(yè)統(tǒng)計全年信息時候會出現(xiàn)企業(yè)通訊高峰時間，我們的服務器將以滿足高峰期通訊為基礎選型的。當然我們將提供防火墻等安全設備，保障用戶信息，物理資源的機密性，網(wǎng)整性和確實性，提供一定的數(shù)據(jù)加密、自動備份、發(fā)生問題的恢復等。當然也包括網(wǎng)絡應提供的服務資源共享、辦公自動化、遠程控制、電子郵件、www應用等。

42、</p><p>　　第二章 網(wǎng)絡系統(tǒng)設計方案</p><p>　　2.1 企業(yè)網(wǎng)分層架構設計</p><p>　　依據(jù)企業(yè)網(wǎng)的分層架構：核心層、匯聚層、接入層,Internet接入、網(wǎng)絡管理、接入控制、日志審計系統(tǒng)。按照需求分層設計。</p><p>　　2.2 網(wǎng)絡搭建設備 </p><p>　　選擇CISCO及

43、Juniper的設備及技術來組建企業(yè)網(wǎng)。</p><p>　　2.2.1 核心層設計</p><p>　　作為全網(wǎng)數(shù)據(jù)和業(yè)務的核心，網(wǎng)絡上所有業(yè)務的數(shù)據(jù)流都要經(jīng)過核心交換機進行交換，因此它的安全性、可靠性和高性能對于全網(wǎng)數(shù)據(jù)和業(yè)務應用的正常開展至關重要。我們采用的思科網(wǎng)絡公司萬兆核心路由交換機C3750G系列，基于新一代核心交換機的設計理念，在本項目中具備如下特色：</p>

44、<p>　　3750系列交換機是一個創(chuàng)新的產(chǎn)品系列，它結合業(yè)界領先的易用性和最高的冗余性，里程碑地提升了堆疊式交換機在局域網(wǎng)中的工作效率。這個產(chǎn)品系列采用了最新的思科StackWise智能堆疊技術，不但實現(xiàn)高達32Gbps的堆疊互聯(lián)，還從物理上到邏輯上使若干獨立交換機在堆疊時集成在一起，便于用戶建立一個統(tǒng)一、高度靈活的交換系統(tǒng) -- 就好像是一整臺交換機一樣。這代表了堆疊式交換機新的工業(yè)技術水平和標準。</p>

45、<p>　　3750系列最多可以將9個交換機堆疊在一起，構成一個統(tǒng)一的邏輯單元，其中總共包含468個以太網(wǎng)10/100端口或者252個以太網(wǎng)10/100/1000端口。各個10/100和10/100/1000單元可以根據(jù)網(wǎng)絡的需要任意組合。 </p><p>　　3750系列可以使用標準多層軟件鏡像（SMI）或者增強多層軟件鏡像（EMI）。SMI功能集包括先進的服務質(zhì)量（QoS）、速率限制、訪問控制列表

46、（ACL）和基本的靜態(tài)和路由信息協(xié)議（RIP）路由功能。EMI可以提供一組更加豐富的企業(yè)級功能，包括先進的、基于硬件的IP單播和組播路由。</p><p><b>　　具體見附錄B。</b></p><p>　　2.2.2 匯聚層設計</p><p>　　匯聚層在骨干網(wǎng)絡中起到承上啟下的作用，應具備可靠性、高性能和多業(yè)務兼顧的特點?？梢宰鳛槠髽I(yè)

47、以后拓展用，不過我們依然采用的思科網(wǎng)絡公司萬兆核心路由交換機C3750G系列，在本項目中具備如下特色：</p><p><b>　　多協(xié)議支持</b></p><p>　　支持服務質(zhì)量（QOS）</p><p>　　支持訪問控制列表（ACL）</p><p><b>　　。</b></p>

48、;<p>　　2.2.3 接入層設計</p><p>　　在一個企業(yè)網(wǎng)絡里，接入交換機具有數(shù)量多，部署分散的特點，且直接負責終端的接入，應具備可管理性強、端口控制能力強、性價比高的特點。我們選用的思科C2960-24TC-L系列二層接入交換機，具備如下優(yōu)勢：</p><p>　　1、支持創(chuàng)新的堆疊技術-IRF，，使堆疊組完全可看作一個設備，使可管理性大幅度提高。</p&

49、gt;<p>　　2、具有良好的端點控制能力，支持豐富的MAC、IP、端口的靈活綁定。</p><p>　　3、VLAN能力強，支持最高的4096個VLAN；</p><p><b>　　具體見附錄B。</b></p><p>　　2.2.4 Internet接入設計 </p><p>　　對外訪問區(qū)負責全

50、網(wǎng)對INTERNET的訪問，同時承載太重門戶網(wǎng)站的對外發(fā)布和EMAIL系統(tǒng)。</p><p>　　雖然現(xiàn)在網(wǎng)絡上80%的安全隱患都在內(nèi)網(wǎng)，但互聯(lián)網(wǎng)出口的安全問題仍然是對企業(yè)網(wǎng)絡最具威脅的區(qū)域，黑客入侵、企業(yè)機密數(shù)據(jù)外泄、新病毒的導入都幾乎全部發(fā)生在這里，所以互聯(lián)網(wǎng)接入設計中，安全設計仍然放在首位。</p><p>　　我們采用路由器+防火墻+入侵防御系統(tǒng)（IPS）的方式來構建對外訪問區(qū)。&

51、lt;/p><p>　　1) 路由器：路由器是連接內(nèi)外網(wǎng)的紐帶，路由器的性能直接影響對于寶貴帶寬的使用率，此外對于中小型企業(yè)網(wǎng)出口，由于內(nèi)部網(wǎng)絡用戶數(shù)量有一定的數(shù)量，路由器應該具備高性能的NAT轉(zhuǎn)發(fā)能力。我們采用思科的CISCO 1841高性能路由器，部署在太重網(wǎng)絡的互聯(lián)網(wǎng)出口。該設備在本項目中的技術優(yōu)勢如下：</p><p>　　(1) 高性能：具備4.5Mpps的包轉(zhuǎn)發(fā)性能，滿足未來三條千

52、兆線路（千兆鏈路線速轉(zhuǎn)發(fā)理論值1.488Mpps）的全線速轉(zhuǎn)發(fā)。</p><p>　　(2) 強大的NAT能力：CISCO 1841設備具備并發(fā)NAT連接的能力，且支持豐富的NAT特性，提供NAT日志的輸出，可配合日志審計系統(tǒng)，做到對于對外訪問的紀錄和跟蹤。</p><p>　　(3) 深度業(yè)務感知：CISCO 1841路由器具備思科專利特色的深度業(yè)務感知功能，可以根據(jù)流量的協(xié)議類型對其加

53、以識別、分類、限制或阻斷。可將常規(guī)應用協(xié)議流量限制，BT等帶寬濫用流量或其他非常規(guī)流量由IPS進行限制。</p><p>　　2) 防火墻：使用原有Juniper防火墻，劃分DMZ（非軍事區(qū)域）區(qū)域，通過原有華為5000千兆交換機，連接門戶服務器及EMAIL服務器等。配置策略偏重安全區(qū)劃分，安全抵御由入侵防御系統(tǒng)著重完成。</p><p>　　3) 入侵防御系統(tǒng)：配置TippingPoin

54、t X505，具備100M吞吐量，滿足當前接入帶寬。重點配置對于黑客入侵、蠕蟲病毒、木馬程序的防范。</p><p>　　2.3網(wǎng)絡管理、接入控制、日志審計系統(tǒng)</p><p>　　1) CiscoWorks LMS網(wǎng)絡管理軟件</p><p>　　CiscoWorks是思科公司推出的網(wǎng)絡管理產(chǎn)品，LMS(LAN Management Solution)是定位于局域

55、網(wǎng)的網(wǎng)絡管理產(chǎn)品，它可以對LAN環(huán)境中的設備進行維護、監(jiān)測、排錯，也可以讓網(wǎng)絡管理員通過自己的網(wǎng)絡瀏覽器有效的管理整個網(wǎng)絡及其設備。它采用了基于Web的客戶端/服務器模式，也可以與其它廠商的網(wǎng)絡管理工具集成使用。</p><p>　　思科公司的網(wǎng)管產(chǎn)品是按照不同的使用環(huán)境分類的。比如，我們介紹的LMS是在局域網(wǎng)環(huán)境中使用的；在廣域網(wǎng)環(huán)境中使用的是RWAN(CiscoWorks Routed WAN Managem

56、ent), 它主要適應廣域網(wǎng)中對響應時間和訪問控制的管理需要；在IP語音環(huán)境中是ITEM(IP Telephony Environment Monitor), 它主要適用于管理傳輸IP語音流量網(wǎng)絡；在VPN環(huán)境中是VMS(VPN/Security Management Solution), 它用于管理和監(jiān)測VPN及其安全措施。</p><p>　　CiscoWorks LMS包括一組應用程序和工具對局域網(wǎng)進行配置

57、、監(jiān)測和排錯。這些工具包括錯誤管理，網(wǎng)絡拓撲的察看，設備配置的管理，二層/三層路由分析，語音路由追蹤，流量監(jiān)測，端站點的流量追蹤，設備的排錯等等。</p><p><b>　　2) 接入認證系統(tǒng)</b></p><p>　　思科® 安全訪問控制服務器為思科智能信息網(wǎng)絡提供基于身份的全面的訪問控制解決方案。它是用于管理企業(yè)網(wǎng)絡用戶、管理員和網(wǎng)絡基礎設施資源的集

58、成和控制層。 </p><p>　　思科® 安全訪問控制服務器為思科智能信息網(wǎng)絡提供基于身份的全面的訪問控制解決方案。它是用于管理企業(yè)網(wǎng)絡用戶、管理員和網(wǎng)絡基礎設施資源的集成和控制層。 </p><p>　　SecureCisco® ACS (ACS)是具高可擴展性的高性能訪問控制服務器，可作為集中的RADIUS 和 TACACS+ 服務器運行。Cisco Secur

59、e ACS將驗證、用戶訪問和管理員訪問與策略控制結合在一個集中的身份識別網(wǎng)絡解決方案中，因此提高了靈活性、移動性、安全性和用戶生產(chǎn)率， 從而進一步增強了訪問安全性。它針對所有用戶執(zhí)行統(tǒng)一安全策略，不受用戶網(wǎng)絡訪問方式的影響。它減輕了與擴展用戶和網(wǎng)絡管理員訪問權限相關的管理負擔。通過對所有用戶帳戶使用一個集中數(shù)據(jù)庫，Cisco Secure ACS可集中控制所有的用戶權限并將他們分配到網(wǎng)絡中的幾百甚至幾千個接入點。對于記帳服務，Cisco

60、 Secure ACS針對網(wǎng)絡用戶的行為提供具體的報告和監(jiān)控功能，并記錄整個網(wǎng)絡上每次的訪問連接和設備配置變化。這個特性對于企業(yè)遵守Sarbanes Oxley法規(guī)尤其重要。Cisco Secure ACS支持廣泛的訪問連接，包括有線和無線局域網(wǎng)、寬帶、內(nèi)容、存儲、IP上的語音(VoIP)、防火墻和VPN等。 </p><p>　　Cisco Secure ACS是思科基于身份的網(wǎng)絡服務(IBNS)架構的重要組件

61、。Cisco IBNS基于802.1x (用于基于端口的網(wǎng)絡訪問控制的IEEE標準)和可擴展驗證協(xié)議(EAP)等端口安全標準，并將安全驗證、授權和記帳(AAA)從網(wǎng)絡外圍擴展到了LAN中的每個連接點。您可在這個全新架構中部署新的策略控制工具(如每個用戶的配額、VLAN分配和訪問控制列表[ACL])，這是因為思科交換機和無線接入點的擴展功能可用于在RADIUS協(xié)議上查詢Cisco Secure ACS。 </p><p

62、>　　3) CS-MARS日志審計系統(tǒng)</p><p>　　思科® 安全監(jiān)控分析和響應系統(tǒng)(MARS)是一個高性能、可擴展的威脅管理、監(jiān)控和防御設備系列，將傳統(tǒng)安全事件監(jiān)控與網(wǎng)絡智能、上下文關聯(lián)、因素分析</p><p>　　異常流量檢測、熱點識別和自動防御功能相結合，可幫助客戶更為高效地使用</p><p>　　絡和安全設備。通過結合這些功能，思科

63、安全MARS可幫助公司準確識別和消除</p><p>　　網(wǎng)絡攻擊，且保持網(wǎng)絡的安全策略符合性。</p><p>　　第三章 網(wǎng)絡技術設計分析</p><p>　　3.1網(wǎng)絡IP地址規(guī)劃</p><p>　　1）IP地址合理規(guī)劃的意義</p><p>　　在企業(yè)網(wǎng)網(wǎng)絡規(guī)劃中，IP地址方案的設計至關重要，好的IP地址方案

64、不僅可以減少網(wǎng)絡負荷，還能為以后的網(wǎng)絡擴展打下良好的基礎。</p><p>　　IP地址的合理是保證網(wǎng)絡順利運行和網(wǎng)絡資源有效利用的關鍵。企業(yè)網(wǎng)IP地址的分配應該盡可能地利用申請到的地址空間，充分考慮到地址空間的合理使用，保證實現(xiàn)最佳的網(wǎng)絡內(nèi)地址分配及業(yè)務流量的均勻分布。具體地來說IP地址的合理規(guī)劃有如下的意義：</p><p>　　減少對各種資源（內(nèi)存、CPU的處理能力以及網(wǎng)絡帶寬等）的

65、需求——IP地址的合理規(guī)劃有利于網(wǎng)絡中路由的匯聚，因而可以使得核心交換機中的路由表數(shù)目以及鏈路狀態(tài)數(shù)據(jù)庫等占用的內(nèi)存減少，同時更新所占用的網(wǎng)絡帶寬也降低了；</p><p>　　有利于IP地址空間的合理使用；</p><p>　　優(yōu)化業(yè)務流量的分布；</p><p><b>　　有利于故障診斷。</b></p><p>

66、　　IP地址空間的分配與合理使用與網(wǎng)絡拓撲結構、網(wǎng)絡組織及路由政策有非常密切的關系，將對校園網(wǎng)的可用性、可靠性與有效性產(chǎn)生顯著影響，應充分考慮本地網(wǎng)對IP地址的需求，以滿足未來業(yè)務發(fā)展對IP地址的需求。</p><p><b>　　2）IP地址規(guī)劃</b></p><p>　　根據(jù)國際互聯(lián)網(wǎng)絡技術發(fā)展的趨勢，結合當今企業(yè)的現(xiàn)實情況，我們建議IP地址規(guī)劃遵循如下原則來設

67、計：</p><p>　　網(wǎng)絡出口、對外服務器群采用電信/cernet公網(wǎng)IP地址；</p><p>　　企業(yè)網(wǎng)采用先地區(qū)后業(yè)務劃分方法進行IP地址分配。</p><p>　　地區(qū)位（8位）. 業(yè)務功能位（8位）. 子網(wǎng)位 主機位</p><p>　　資源中心公共服務器盡量采用合法IP地址；</p><p>　　企業(yè)網(wǎng)

68、所有網(wǎng)絡設備均配置內(nèi)部管理IP地址，防止非法用戶登錄。</p><p>　　各接入點根據(jù)現(xiàn)有信息點數(shù)，并預留30-40％的擴容率，分配連續(xù)IP地址段；</p><p>　　各核心節(jié)點下聯(lián)各接入點分配連續(xù)IP地址段，統(tǒng)一在核心節(jié)點提供IP路由，并做路由聚合。</p><p>　　各核心節(jié)點內(nèi)部根據(jù)用戶群體地理位置劃分VLAN，并將VLAN網(wǎng)關IP設置在各核心節(jié)點交換機

69、上。</p><p>　　3.2企業(yè)網(wǎng)絡技術分類</p><p>　　在企業(yè)園區(qū)中使用的最多也是最廣泛的技術就是交換技術，交換技術的成熟帶動著這個網(wǎng)絡的發(fā)展。而企業(yè)網(wǎng)是基于這個交換架構的網(wǎng)絡，因此在交換式的網(wǎng)絡中有眾多技術VLAN，VTP，TRUNK，三層交換，STP，HSRP/VRRP，ETHERCHANNEL、DHCP，Multi PPP等。下面將分別介紹這些技術的應用： </p

70、><p>　　1) VLAN技術 </p><p>　　（Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎上，采用網(wǎng)絡管理軟件構建的可跨越不同網(wǎng)段、不同網(wǎng)絡的端到端的邏輯網(wǎng)絡。一個VLAN組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡設備，允許處于不同地理位置的網(wǎng)絡用戶加入到一個邏輯子網(wǎng)中。</p><p>　　從技

71、術角度講，VLAN的劃分可依據(jù)不同原則，一般有以下三種劃分方法：</p><p>　　(1) 基于端口的VLAN劃分 這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡管理員對網(wǎng)絡設備的交換端口進行重新分配即可，不用考慮該端口所連接的設備。</p><p>　　(2) 基于MAC地址的VLAN劃分 MAC地址其實就是指網(wǎng)卡的標識符，每一

72、塊網(wǎng)卡的MAC地址都是惟一且固化在網(wǎng)卡上的。MAC地址由12位16進制數(shù)表示，前8位為廠商標識，后4位為網(wǎng)卡標識。網(wǎng)絡管理員可按MAC地址把一些站點劃分為一個邏輯子網(wǎng)。 </p><p>　　(3) 基于路由協(xié)議的VLAN劃分 路由協(xié)議工作在網(wǎng)絡層，相應的工作設備有路由器和路由交換機（即三層交換機）。該方式允許一個VLAN跨越多個交換機，或一個端口位于多個VLAN中。在XX公司的交換網(wǎng)絡中使用基于端口的VLAN

73、技術，將設備的管理VLAN定義為VLAN1，將辦公業(yè)務劃分為VLAN2和VLAN3，將總部服務器劃入VLAN100，可以控制廣播風暴的范圍，提高網(wǎng)絡整體安全性，并且使得網(wǎng)絡管理簡單、直觀。</p><p>　　2) VTP技術 </p><p>　　VTP（VLAN Trunking Protocol）：是VLAN中繼協(xié)議，也被稱為虛擬局域網(wǎng)干道協(xié)議。它是一個OSI參考模型第二層的通信協(xié)

74、議，主要用于管理在同一個域的網(wǎng)絡范圍內(nèi)VLANs的建立、刪除和重命名。在一臺VTP Server 上配置一個新的VLAN時，該VLAN的配置信息將自動傳播到本域內(nèi)的其他所有交換機。這些交換機會自動地接收這些配置信息，使其VLAN的配置與VTP Server保持一致，從而減少在多臺設備上配置同一個VLAN信息的工作量，而且保持了VLAN配置的統(tǒng)一性。</p><p>　　VTP有三種工作模式：VTP Server、

75、VTP Client 和 VTP Transparent。 一般，一個VTP域內(nèi)的整個網(wǎng)絡只設一個VTP Server。VTP Server維護該VTP域中所有VLAN 信息列表，VTP Server可以建立、刪除或修改VLAN。VTP Client雖然也維護所有VLAN信息列表，但其VLAN的配置信息是從VTP Server學到的，VTP Client不能建立、刪除或修改VLAN。VTP Transparent相當于是一上獨立的交換機

76、，它不參與VTP工作，不從VTP Server學習VLAN的配置信息，而只擁有本設備上自己維護的VLAN信息。VTP Transparent可以建立、刪除和修改本機上的 VLAN信息。</p><p>　　XX公司的VLAN中包含設備管理VLAN，業(yè)務VLAN，服務器VLAN，總部和分部中的交換設備較多，因此選擇VTP技術來簡化VLAN的配置，是一種較好的方案。</p><p>　　3)

77、TRUNK技術 </p><p>　　鏈路聚合（Trunk）是一種封裝技術，它是一條點到點的鏈路，鏈路的兩端可以都是交換機，也可以是交換機和路由器，還可以是主機和交換機或路由器。Trunk的主要功能就是僅通過一條鏈路就可以連接多個VLAN。 </p><p><b>　　4) 三層交換 </b></p><p>　　第三層交換的實質(zhì)是路由，

78、類似于IP子網(wǎng)間的數(shù)據(jù)交換機制。當網(wǎng)絡內(nèi)數(shù)據(jù)流量的分布偏離80/20規(guī)則，而且流量必須大量跨越子網(wǎng)邊界時，傳統(tǒng)的路由器就成了交通中的瓶頸，第三層交換技術的提出就是試圖消除這個瓶頸。第三層交換設備可以保證在不改變IP編址方式和網(wǎng)絡連接方式的前提下消除網(wǎng)絡中的路由瓶徑，并且實現(xiàn)第二層交換無法提供的第三層包轉(zhuǎn)發(fā)和過濾能力。</p><p>　　系統(tǒng)劃分VLAN一方面隔離了廣播，從而有效利用系統(tǒng)帶寬，另一方面也提高了系統(tǒng)

79、的安全性，但劃分了VLAN之后各個子網(wǎng)之間需要路由，用傳統(tǒng)的路由器可以解決這一問題，但即使性能再高的路由器也會成為系統(tǒng)性能的瓶頸，而只有三層交換才能最好的解決這一問題，它以二層交換的性能實現(xiàn)三層交換的功能。</p><p>　　本次方案中選擇的Catalyst3560交換機支持VLAN技術，可以提供Layer3(網(wǎng)絡層)的線速路由（三層交換），使系統(tǒng)性能與安全性獲得最佳平衡。</p><p&g

80、t;　　5) STP技術 </p><p>　　即Spanning-tree protocol ，STP協(xié)議是一個二層的鏈路管理協(xié)議，它在提供鏈路冗余的同時防止網(wǎng)絡產(chǎn)生環(huán)路。定義在IEEE 802.1D 中，是一種鏈路管理協(xié)議，它為網(wǎng)絡提供路徑冗余同時防止產(chǎn)生環(huán)路。一旦二層存在環(huán)路，會產(chǎn)生廣播風暴、MAC表不穩(wěn)定和使終端收到同個幀的多個副本等問題。為使以太網(wǎng)更好地工作，兩個工作站之間只能有一

81、條活動路徑。網(wǎng)絡環(huán)路的發(fā)生有多種原因，最常見的一種是有意生成的冗余，萬一一個鏈路或交換機失敗，會有另一個鏈路或交換機替代。</p><p>　　由于在XX公司總部和分部的核心層均使用了雙機單模塊的設備冗余，存在二層環(huán)路，因此需要在接入層和核心層的交換機上使用STP技術，以便在提供路徑冗余的同時在邏輯上斷開環(huán)路。</p><p>　　6) 幀中繼（FR）技術</p><p

82、>　　幀中繼是在X.25分組交換技術的基礎上發(fā)展起來的一種快速分組交換技術，是改進了的X.25協(xié)議。</p><p>　　它是在用戶與網(wǎng)絡接口之間提供用戶信息流的雙向傳送，并保持順序不變的一種承載業(yè)務。幀中繼是以幀為單位，在網(wǎng)絡上傳輸，并將流量控制、糾錯等功能，全部交由智能終端設備處理的一種新型高速網(wǎng)絡接口技術幀中繼是當前數(shù)據(jù)通信中的一種廣為應用的廣域網(wǎng)技術，作為高速數(shù)據(jù)接口，幀中繼可以實現(xiàn)局域網(wǎng)的（LAN

83、）互聯(lián)等應用。幀中繼業(yè)務是在用戶與網(wǎng)路接口(UNI)之間提供用戶信息流的雙向傳送，并保持原順序不變的一種承載業(yè)務。用戶與網(wǎng)路接口之間以虛電路進行連接，對用戶信息流進行統(tǒng)計復用。幀中繼網(wǎng)路提供基本業(yè)務和用戶選用業(yè)務。</p><p><b>　　7) HSRP </b></p><p>　　熱備份路由器協(xié)議（HSRP）的設計目標是支持特定情況下 IP 流量失敗轉(zhuǎn)移不會引

84、起混亂、并允許主機使用單路由器，以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。換句話說，當源主機不能動態(tài)知道第一跳路由器的 IP 地址時，HSRP 協(xié)議能夠保護第一跳路由器不出故障。該協(xié)議中含有多種路由器，對應一個虛擬路由器。HSRP 協(xié)議只支持一個路由器代表虛擬路由器實現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過程。終端主機將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬路由器上。</p><p>　　負責轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動路

85、由器（Active Router）。一旦主動路由器出現(xiàn)故障，HSRP 將激活備份路由器（Standby Routers）取代主動路由器。HSRP 協(xié)議提供了一種決定使用主動路由器還是備份路由器的機制，并指定一個虛擬的 IP 地址作為網(wǎng)絡系統(tǒng)的缺省網(wǎng)關地址。如果主動路由器出現(xiàn)故障，備份路由器（Standby Routers）承接主動路由器的所有任務，并且不會導致主機連通中斷現(xiàn)象。</p><p>　　由于在2.2節(jié)

86、所示的企業(yè)網(wǎng)絡中的核心層使用了2臺核心交換機做備份，則在此時就可以通過HSRP來實現(xiàn)流量負載。通過這一技術可以大大的緩解核心層中設備使用過于集中而備份設備出現(xiàn)閑置的狀況。</p><p><b>　　8) DHCP </b></p><p>　　動態(tài)主機配置協(xié)議（DHCP）是一種使網(wǎng)絡管理員能夠集中管理和自動分配 IP 網(wǎng)絡地址的通信協(xié)議。在 IP 網(wǎng)絡中，每個連接

87、 Internet 的設備都需要分配唯一的 IP 地址。DHCP 使網(wǎng)絡管理員能從中心結點監(jiān)控和分配 IP 地址。當某臺計算機移到網(wǎng)絡中的其它位置時，能自動收到新的 IP 地址。</p><p>　　DHCP 使用了租約的概念，或稱為計算機 IP 地址的有效期。租用時間是不定的，主要取決于用戶在某地聯(lián)接 Internet 需要多久，這對于教育行業(yè)和其它用戶頻繁改變的環(huán)境是很實用的。通過較短的租期， DHCP 能夠

88、在一個計算機比可用 IP 地址多的環(huán)境中動態(tài)地重新配置網(wǎng)絡。</p><p>　　為了給終端動態(tài)分配IP地址，我們在XX公司總部的二個核心交換機和分部的路由器R7上均配置DHCP服務，以實現(xiàn)IP地址按要求動態(tài)分配和DHCP服務的備份。</p><p><b>　　3.3路由協(xié)議選擇</b></p><p>　　在設計大中型網(wǎng)絡時，由于靜態(tài)路由協(xié)

89、議設置麻煩、對網(wǎng)絡的變化適應性差，一般不予采用，而今作為路由設計的補充?，F(xiàn)在，常用的動態(tài)路由協(xié)議有以下四種：</p><p><b>　　3.3.1 RIP</b></p><p>　　RIP是一種Distance Vector路由協(xié)議，有以下特點：</p><p>　　簡單，廣泛使用，技術成熟，信息源與目的地間限制在15個hops（或路由器）

90、之內(nèi)，超過15hops將認為不可及。</p><p>　　RIPv1不支持VLSM（Variable Length Subnet Mask），不可能有效地利用IP地址。每30秒傳送路由信息將耗費大量的帶寬，在大型網(wǎng)絡及低速鏈路中更明顯。路由收斂較慢，此算法將經(jīng)歷Hold-down(180S)的周期。RIP在計算路徑時，只考慮hop count，不考慮網(wǎng)絡鏈路的延遲和cost。RIP網(wǎng)絡適用于平面結構的網(wǎng)絡。RIP

91、適用于中、小型網(wǎng)絡。一般網(wǎng)絡的路由器數(shù)目少于20個。</p><p>　　3.3.2 OSPF</p><p>　　OSPF是Link State，層次化拓撲的路由協(xié)議。有以下特點：</p><p>　　僅用于IP網(wǎng)絡，無hop count的限制，適于大型網(wǎng)絡，支持VLSM，用hello通知其他路由器本路由器工作正常。通過IP multicast發(fā)送鏈路更新的信息，

92、并且僅在路由發(fā)生變化是進行更新，由此優(yōu)化路由器的資源和帶寬。</p><p>　　路由收斂較快，在路徑的選擇中，metric主要考慮鏈路的延遲，支持相同cost的多條鏈路路由，較好地實現(xiàn)負載均衡。cost=100,000,000/bandwidth in bps。通過劃分區(qū)域更好的規(guī)劃網(wǎng)絡，減少路由更新信息。在網(wǎng)絡設計中推薦每個AS區(qū)域中路由器少于50個。</p><p>　　3.3.3

93、IGRP</p><p>　　IGRP是Distance Vector路由協(xié)議，由CISCO開發(fā)，用于大型IP及OSI網(wǎng)絡，有以下特點：</p><p>　　不支持VLSM（Variable Length Subnet Mask)，不可能有效地利用IP地址。每90秒傳送路由信息將耗費部分的帶寬。在路徑的選擇上采用組合的metrics包括：延遲、帶寬、可靠性、MTU和負載。支持多條路徑路由。

94、</p><p>　　3.3.4 EIGRP</p><p>　　EIGRP是intra-domain，先進的Distance Vector路由協(xié)議，由CISCO開發(fā)和支持：</p><p>　　結合了距離向量(DV)協(xié)議和連接狀態(tài)(LS)協(xié)議的優(yōu)點，采用了DUAL算法達到網(wǎng)絡的快速收斂。支持層次化和平面網(wǎng)絡結構，支持VLSM網(wǎng)絡地址分配，可在任意位邊界對直接相連的

95、網(wǎng)絡進行路徑疊合，只有在網(wǎng)絡變化時EIGRP才發(fā)送路由表更新信息，而且只發(fā)給相關路由器，因此廣域網(wǎng)帶寬浪費很少，DUAL算法使其具有最好的收斂性。</p><p>　　采用五維參數(shù)來決定最佳路徑：帶寬、時延、可靠性、線路負載和最大數(shù)據(jù)包尺寸。EIGRP路由算法自動根據(jù)這五項參數(shù)值動態(tài)計算最優(yōu)路徑，隨時更新。它采用模塊化軟件支持IP、IPX和AT協(xié)議。</p><p>　　RIP由于性能和擴

96、展性差而逐漸推出了歷史的舞臺。EIGRP本身的設計定位是取代IGRP的，所以IGRP也逐漸淡出。</p><p>　　3.3.5 綜合的選擇</p><p>　　根據(jù)以上的比較，EIGRP和OSPF都比較適合大型網(wǎng)絡，并且兩者均有很多成功案例。但EIGRP屬于Cisco公司專有的路由協(xié)議，兼容性較差。而OSPF的開放性和對備份線路的特別支持特性，適合作為中大規(guī)模網(wǎng)絡。故建議采用OSPF協(xié)議

97、作為設計廣域網(wǎng)的路由協(xié)議。</p><p>　　路由設計，在核心交換機上啟用三層路由功能，實現(xiàn)各VLAN間的通信，同時在核心路由器上啟用動態(tài)路由協(xié)議OSPF，支持變長子網(wǎng)掩碼，在接入的工作站和服務器上配置缺省網(wǎng)關。同時配合國家數(shù)據(jù)及主控中心、各省及控制中心啟動OSPF動態(tài)路由協(xié)議，并做好相應的路由協(xié)議參數(shù)配置，從而實現(xiàn)全網(wǎng)統(tǒng)一的大的OSPF動態(tài)路由網(wǎng)絡。</p><p>　　將區(qū)域數(shù)據(jù)中心

98、的路由器劃入OSPF的area0內(nèi)，與之相連的下級節(jié)點的設備再分別劃分為不同的OSPF area，可以各級節(jié)點為單位，不同的級別節(jié)點劃分不同的區(qū)域。這將最大限度的利用OSPF的分區(qū)管理優(yōu)勢。</p><p>　　OSPF在路徑的選擇中，metric主要考慮鏈路的延遲。如果不同的路徑有相同cost，那么OSPF可以在這些不同的路徑上實現(xiàn)負載均衡。如果不同的路徑的也cost不同，那么OSPF會有先啟動cost值?。╟

99、ost值越小，則鏈路的延遲越?。┑哪菞l路徑，如果該路徑失效，則OSPF會啟動cost大的其他路徑。OSPF的這點功能可以被用來在主備線路或多條鏈路上實現(xiàn)負載均衡功能或主備線路之間自動切換功能。</p><p>　　為了保證網(wǎng)絡上的工作站和服務器的最大可用性，在核心交換機上對不同的VLAN分別使用HSRP熱備份路由協(xié)議，虛擬出一個缺省網(wǎng)關，在一臺核心交換機失效時，仍可以保證工作站和服務器的正常運行。在最大程度上保證

100、了用戶業(yè)務正常運行。</p><p>　　第四章 網(wǎng)絡拓撲具體配置</p><p>　　4.1網(wǎng)絡的配置規(guī)劃</p><p>　　1) 企業(yè)網(wǎng)劃分為行政中心，財務部，市場銷售部，人力資源部。行政中心IP地址從DHCP服務器中獲取該網(wǎng)段為192.168.10.0/24，財務部IP地址段為192.168.20.1/24，市場銷售部IP地址段為192.168.30.1/2

101、4，人力資源部IP地址段為192.168.40.1/24</p><p>　?。?） 數(shù)據(jù)及DHCP服務器IP地址段為192.168.10.0/24。</p><p>　　（2） 對外路由器IP地址為：201.1.123.1。</p><p>　?。?） 防火墻路由器IP地址為：192.168.12.2,192.168.23.2。</p><p&

102、gt;　?。?） 行政中心能、市場銷售、人力資源能對外訪問，財務部不能。</p><p>　　（5） 最后在核心交換機上創(chuàng)建VLAN 10，VLAN 20,VLAN 30,VLAN 40,行政中心和服務器劃入VLAN 10, 財務部劃入VLAN 20,市場銷售部劃入VLAN 30,人力資源部劃入VLAN 40。</p><p>　　2) 網(wǎng)絡的路由協(xié)議配置，采用OSPF協(xié)議，路由器的配置命

103、令格式：</p><p>　　Router(config)#router ospf 1</p><p>　　Router(config-router)#network A.B.C.D wild mask area 0</p><p><b>　　配置如下：</b></p><p>　　Router(config)#rou

104、ter ospf 110 啟用OSFP協(xié)議</p><p>　　Router(config-router)#router-id 1.1.1.1 路由器標示</p><p>　　Router(config-router)#log-adjacency-changes 打開同步信息</p><p>　　Router(config-router)#netwo

105、rk 192.168.23.2 0.0.0.0 area 0 把該網(wǎng)段宣告進該區(qū)域</p><p>　　Router(config-router)# network 192.168.12.2 0.0.0.0 area 0 同上</p><p>　　4.2 網(wǎng)路的ACL配置</p><p>　　ACL是一系列運用到網(wǎng)絡地址或者上層協(xié)議上的允許或拒絕指令的集合。一個

106、ACL就是一組指令，規(guī)定數(shù)據(jù)報如何進入路由器的某個端口、如何在路由器內(nèi)轉(zhuǎn)送、如何離開路由器的某個端口。ACL允許控制哪些客戶端可以訪問的網(wǎng)絡。在ACL中的條件可以是篩選某些主機允許或者禁止訪問的部分網(wǎng)絡，也可以是允許或者禁止用戶訪問某一類協(xié)議，如FTP，HTTP等。</p><p><b>　　ACL有如下幾種：</b></p><p>　　1) 標準ACL是最早的A

107、CL類型，標準ACL通過對IP數(shù)據(jù)包中源地址和ACL中配置的地址進行比較來控制流量。　</p><p>　　2) 擴展ACL——擴展ACL通過比較IP數(shù)據(jù)包中源地址、目的地址與ACL中配置地址的差別來控制流量?！?lt;/p><p>　　3) IP　ACL——在CISCO軟件中，取代編號，允許對標準ACL和擴展ACL進行命名。</p><p>　　4) 反身ACL——反

108、身ACL允許通過上層會話信息對IP數(shù)據(jù)包進行過濾。主要用來允許出站流量和限制入站流量，從而響應在路由器內(nèi)部創(chuàng)建的會話。</p><p>　　5) 注釋IP ACL目錄——注釋使得ACL更加容易理解并且可以方便地應用于標準或擴展的ACL中。</p><p>　　6) 基于上下文的訪問控制——CBAC，檢查防火墻和管理傳輸協(xié)議TCP和用戶報文UDP會話狀態(tài)信息的流量，將這些狀態(tài)信息用于訪問控制

109、列表中，從而實現(xiàn)網(wǎng)絡安全。</p><p>　　ACL指令的放置順序是很重要的。當路由器在決定是否轉(zhuǎn)發(fā)或者阻止數(shù)據(jù)報的時候，軟件會按照ACL中指令的順序依次檢查數(shù)據(jù)報是否滿足某一個指令條件。當檢測到某個指令條件滿足的時候，就不會再檢測后面的指令條件。</p><p>　　在每一個路由器的端口，可以為每一個支持的Routed Protocols創(chuàng)建ACL。對于某些協(xié)議，可以創(chuàng)建多個ACL：一