畢業(yè)設(shè)計(jì)---企業(yè)的網(wǎng)絡(luò)管理模式方案設(shè)計(jì)

1、<p><b>　　XXXX學(xué)　院</b></p><p>　　畢　業(yè)　設(shè)　計(jì)　(論　文)</p><p>　　中小型企業(yè)的網(wǎng)絡(luò)管理模式方案設(shè)計(jì)</p><p>　　系 別：＿＿＿計(jì)算機(jī)工程系＿＿＿＿＿</p><p>　　年　　 級(jí)：＿＿＿＿XXX級(jí)＿＿＿＿＿＿＿</p><p&

2、gt;　　?！　?業(yè)：＿＿＿XXXXXXXXXXXX＿＿＿＿＿</p><p>　　學(xué) 號(hào)：＿＿ XXXXXXXXXXXXX＿＿＿＿</p><p>　　學(xué)生姓名：＿＿＿ XXXXXX＿＿＿＿＿＿＿＿</p><p>　　指導(dǎo)教師：＿＿＿ XXXXXXX＿＿＿＿＿＿＿</p><p>　　目 錄<

3、/p><p><b>　　前言3</b></p><p>　　第一章、需求分析4</p><p>　　1.1 網(wǎng)絡(luò)要求4</p><p>　　1.2 系統(tǒng)要求4</p><p>　　1.3 用戶要求4</p><p>　　1.4 設(shè)備要求5</p>&

4、lt;p>　　第2章、設(shè)計(jì)方案分析5</p><p>　　2.1局域網(wǎng)技術(shù)5</p><p>　　2.2、網(wǎng)絡(luò)的體系結(jié)構(gòu)6</p><p>　　2.3、網(wǎng)絡(luò)協(xié)議6</p><p>　　2.3.1 TCP/IP協(xié)議6</p><p>　　2.3.2超文本傳輸協(xié)議(HTTP)7</p>&l

5、t;p>　　2.3.3文件傳輸協(xié)議(FTP)7</p><p>　　2.3.4遠(yuǎn)程登錄協(xié)議（Telnet）7</p><p>　　2.4 設(shè)計(jì)原則8</p><p>　　2.4.1 先進(jìn)性8</p><p>　　2.4.2 安全可靠性8</p><p>　　2.4.3 實(shí)用性8</p>

6、<p>　　2.4.4 可擴(kuò)展性9</p><p>　　2.4.5 開放性9</p><p>　　2.4.6 靈活性9</p><p><b>　　2.5安全分析9</b></p><p>　　2.5.1企業(yè)互聯(lián)網(wǎng)接入模塊9</p><p>　　2.5.2 企業(yè)內(nèi)部局域網(wǎng)模塊

7、10</p><p>　　2.6軟硬件功能分析10</p><p>　　2.6.1 路由器10</p><p>　　2.6.2交換機(jī)10</p><p>　　2.6.3防火墻11</p><p>　　2.6.4服務(wù)器11</p><p>　　2.6.5 公網(wǎng)IP地址數(shù)11</p

8、><p>　　2.7 VLAN技術(shù)分析11</p><p>　　2.7.1、 VLAN技術(shù)概述11</p><p>　　2.7.2、使用VLAN技術(shù)的優(yōu)點(diǎn)12</p><p>　　2.7.3、 VLAN的劃分方法13</p><p>　　2.8、網(wǎng)絡(luò)設(shè)備選型原則14</p><p>　　2

9、.8.1設(shè)備選型原則14</p><p>　　2.8.2、常用網(wǎng)絡(luò)設(shè)備14</p><p>　　2.9網(wǎng)絡(luò)地址轉(zhuǎn)化（NAT）技術(shù)分析17</p><p>　　第三章、局域網(wǎng)規(guī)劃設(shè)計(jì)方案17</p><p>　　3.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)選擇17</p><p>　　3.2 VLAN及IP地址規(guī)劃19</p&g

10、t;<p>　　3.3 網(wǎng)絡(luò)安全設(shè)計(jì)21</p><p>　　第四章、路由交換部分的設(shè)計(jì)22</p><p>　　4.1．VLAN設(shè)計(jì)規(guī)范22</p><p>　　4.2 冗余電源22</p><p>　　4.6 等價(jià)路由（ECMP）24</p><p>　　4.8 VPN26</p

11、><p><b>　　總 結(jié)26</b></p><p>　　主要參考文獻(xiàn)資料:26</p><p><b>　　致 謝27</b></p><p>　　課題內(nèi)容:中小型企業(yè)網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)</p><p><b>　　前言</b></p>

12、<p>　　二十一世紀(jì)是知識(shí)經(jīng)濟(jì)時(shí)代。隨著現(xiàn)代科學(xué)技術(shù)的飛速發(fā)展，全球信息化浪潮勢(shì)不可擋，已經(jīng)迅速延伸至國(guó)防、科研、經(jīng)濟(jì)、教育等各個(gè)領(lǐng)域，也不可避免地改變著傳統(tǒng)的企業(yè)人事的工作模式，利用當(dāng)前蓬勃發(fā)展的以計(jì)算機(jī)和網(wǎng)絡(luò)為主導(dǎo)的現(xiàn)代信息技術(shù)則是企業(yè)實(shí)現(xiàn)現(xiàn)代化工作的必不可少的技術(shù)基礎(chǔ)。</p><p>　　在現(xiàn)今的網(wǎng)絡(luò)建設(shè)中，企業(yè)網(wǎng)的建設(shè)是非常重要的，企業(yè)網(wǎng)內(nèi)部各種不同業(yè)務(wù)的開展是企業(yè)網(wǎng)發(fā)展迅速的最主要原因。

13、從早期的企業(yè)網(wǎng)主要是簡(jiǎn)單的數(shù)據(jù)共享，簡(jiǎn)單數(shù)據(jù)庫(kù)的共享到現(xiàn)在內(nèi)部全方位的數(shù)據(jù)共享，從過去單一的企業(yè)到現(xiàn)在多個(gè)分支公司的全部互連，因而對(duì)網(wǎng)絡(luò)的覆蓋面要求越來越廣。這一要求最早還只局限于各分支企業(yè)內(nèi)部，現(xiàn)在則已是整個(gè)企業(yè)、整個(gè)行業(yè)，甚至整個(gè)Internet的共同要求。</p><p><b>　　第一章、需求分析</b></p><p><b>　　1.1 網(wǎng)絡(luò)要

14、求</b></p><p>　　滿足公司信息化的要求,為各類應(yīng)用系統(tǒng)提供方便、快捷的信息通路；具有良好的性能，能夠支持大容量和實(shí)時(shí)性的各類應(yīng)用；能夠可靠運(yùn)行，具有較低的故障率和維護(hù)要求。提供網(wǎng)絡(luò)安全機(jī)制，滿足公司信息安全的要求，具有較高的性價(jià)比，未來升級(jí)擴(kuò)展容易，保護(hù)用戶投資；用戶使用簡(jiǎn)單、維護(hù)容易，為用戶提供良好的售后服務(wù)。</p><p>　　主干網(wǎng)負(fù)責(zé)各個(gè)子網(wǎng)和應(yīng)用服務(wù)的

15、連接，網(wǎng)絡(luò)協(xié)議采用TCP/IP協(xié)議，整個(gè)網(wǎng)絡(luò)應(yīng)考慮語(yǔ)音、視頻、數(shù)據(jù)等的綜合應(yīng)用。交換機(jī)要求采用主流、成熟、信譽(yù)和售后服務(wù)均佳的產(chǎn)品，核心交換機(jī)采用三層交換機(jī)，支持VLAN等功能，能較好解決突發(fā)數(shù)據(jù)量和密集服務(wù)請(qǐng)求的實(shí)時(shí)響應(yīng)問題，在內(nèi)部用戶終端進(jìn)行視頻信號(hào)、數(shù)據(jù)交換時(shí)交換引擎不會(huì)出現(xiàn)過載現(xiàn)象和數(shù)據(jù)包碰撞、丟失的現(xiàn)象，還要考慮預(yù)防瓶頸出現(xiàn)和補(bǔ)救的相應(yīng)措施。下屬單位接入交換機(jī)可采用相對(duì)低一檔的產(chǎn)品；本系統(tǒng)處理的信息包括數(shù)據(jù)、語(yǔ)音和圖像等，因此

16、要考慮實(shí)時(shí)性問題，特別要考慮包括視頻會(huì)議在內(nèi)的信息共享等方面的實(shí)時(shí)性要求。；UPS電源的配備，配置要保證網(wǎng)絡(luò)中所有的服務(wù)器、交換機(jī)、路由器、集線器等設(shè)備的連續(xù)、正常地運(yùn)轉(zhuǎn)；網(wǎng)絡(luò)帶寬的分配：應(yīng)根據(jù)所屬單位網(wǎng)絡(luò)的信息流量情況合理分配網(wǎng)段，以充分利用網(wǎng)絡(luò)帶寬，提高網(wǎng)絡(luò)的運(yùn)行效率。網(wǎng)絡(luò)需要需要具有多主機(jī)跨平臺(tái)主機(jī)連接能力,數(shù)據(jù)集中存放、集中管理、數(shù)據(jù)有效共享、存儲(chǔ)空間共享、統(tǒng)一安全備份，可實(shí)現(xiàn)無人值守、自動(dòng)實(shí)施備份策略，備份LANFREE、SE

17、RVERLESS等功能，為全面集中管理和數(shù)據(jù)倉(cāng)庫(kù)的建設(shè)奠定堅(jiān)實(shí)的基礎(chǔ)</p><p><b>　　1.2 系統(tǒng)要求</b></p><p>　　配置簡(jiǎn)單方便：所有的客戶端和服務(wù)器系統(tǒng)應(yīng)該是易于配置和管理的，并保障客戶端的方便使用;廣泛的設(shè)備支持：所有操作系統(tǒng)及選擇的服務(wù)應(yīng)盡量廣泛的支持各種硬件設(shè)備;穩(wěn)定性及可靠性：系統(tǒng)的運(yùn)行應(yīng)具有高穩(wěn)定性，保障7*24的高性能無故障運(yùn)

18、行。可管理性：系統(tǒng)中應(yīng)提供盡量多的管理方式和管理工具，便于系統(tǒng)管理員在任何位置方便的對(duì)整個(gè)系統(tǒng)進(jìn)行管理;更低的成本：系統(tǒng)設(shè)計(jì)應(yīng)盡量降低整個(gè)系統(tǒng)的成本；安全性：在系統(tǒng)的設(shè)計(jì)、實(shí)現(xiàn)及應(yīng)用上應(yīng)采用多種安全手段保障網(wǎng)絡(luò)安全；提供良好的售后服務(wù)。網(wǎng)絡(luò)還應(yīng)具有開放性、可擴(kuò)展性及兼容性，全部系統(tǒng)的設(shè)計(jì)要求采用開放的技術(shù)和標(biāo)準(zhǔn)選擇主流的操作系統(tǒng)及應(yīng)用軟件，保障系統(tǒng)能夠適應(yīng)未來幾年公司的業(yè)務(wù)發(fā)展需求，便于網(wǎng)絡(luò)的擴(kuò)展和公司的結(jié)構(gòu)變更。</p>

19、<p><b>　　1.3 用戶要求</b></p><p>　　要求計(jì)算機(jī)應(yīng)用系統(tǒng)能處理大信息量的傳輸和計(jì)算；要求易于用戶管理、界面簡(jiǎn)單、邏輯清晰；滿足用戶使用網(wǎng)絡(luò)系統(tǒng)的運(yùn)行質(zhì)量，提高網(wǎng)絡(luò)運(yùn)行速度；要求采用千兆以太網(wǎng)作為主干的網(wǎng)絡(luò)技術(shù)，提供標(biāo)準(zhǔn)化的高速度主干網(wǎng)連接，并在未來可以升級(jí)到IP，可以在同一個(gè)網(wǎng)絡(luò)中支持多種服務(wù)質(zhì)量，以支持目前和未來的應(yīng)用和服務(wù)為標(biāo)準(zhǔn)。允許網(wǎng)絡(luò)集成，使用

20、三層交換來代替路由，能實(shí)現(xiàn)與廣域網(wǎng)的集成功能；網(wǎng)絡(luò)中使用的設(shè)備、技術(shù)和協(xié)議完全符合國(guó)際通用的標(biāo)準(zhǔn)，兼容現(xiàn)有的網(wǎng)絡(luò)環(huán)境，提供良好的互聯(lián)性；要求網(wǎng)絡(luò)提供足夠的帶寬，豐富的接口形式，滿足用戶對(duì)應(yīng)用帶寬的基本要求，并保留一定的余量供擴(kuò)展使用，最大可能地降低網(wǎng)絡(luò)傳輸延遲；要求網(wǎng)絡(luò)有很高的可靠性、穩(wěn)定性及冗余，網(wǎng)絡(luò)能夠提供良好的安全性策略，能避免內(nèi)部操作失誤造成的損害和來自外部的惡意攻擊。</p><p><b>

21、　　1.4 設(shè)備要求</b></p><p>　　根據(jù)公司的網(wǎng)絡(luò)功能需求和實(shí)際的布線系統(tǒng)情況，樓層接入設(shè)備需要選擇同一型號(hào)的設(shè)備;子公司主交換機(jī)可以根據(jù)需要通過堆疊方式進(jìn)行靈活的升級(jí)擴(kuò)容;網(wǎng)絡(luò)設(shè)備必須在技術(shù)上具有先進(jìn)性、通用性，必須便于管理、維護(hù)，應(yīng)該滿足公司現(xiàn)有計(jì)算機(jī)設(shè)備的高速接入，應(yīng)該具備良好的可擴(kuò)展性、可升級(jí)性，保護(hù)用戶的投資。網(wǎng)絡(luò)設(shè)備在滿足功能與性能的基礎(chǔ)上必須具有良好的性價(jià)比。網(wǎng)絡(luò)設(shè)備應(yīng)該選

22、擇擁有足夠?qū)嵙褪袌?chǎng)份額的廠商的主流產(chǎn)品，同時(shí)設(shè)備廠商必須要有良好的市場(chǎng)形象與售后技術(shù)支持。</p><p>　　第2章、設(shè)計(jì)方案分析 </p><p><b>　　2.1局域網(wǎng)技術(shù)</b></p><p>　　局域網(wǎng)是同一建筑、同一企業(yè)、方圓幾公里遠(yuǎn)的地域內(nèi)的專用網(wǎng)絡(luò)。局域網(wǎng)通常用來連接公司辦公室或企業(yè)內(nèi)部的個(gè)人計(jì)算機(jī)和工作站，以共享軟、硬

23、件資源。美國(guó)電氣和電子工程師協(xié)會(huì)（IEEE）局域網(wǎng)標(biāo)準(zhǔn)委員會(huì)員會(huì)曾提出局域網(wǎng)的一些具體特征：</p><p>　　局域網(wǎng)在通信距離有一定的限制，一般在1~2Km的地域范圍內(nèi)。比如在一個(gè)辦公樓內(nèi)、一個(gè)學(xué)校等。</p><p>　　較高傳輸率的物理通信信道也是局域網(wǎng)的一個(gè)主要特征，在廣域網(wǎng)中用電話線連接的計(jì)算機(jī)一般也只有20~40Kpbs的速率。因?yàn)檫B接線路都比較短，中間幾乎不會(huì)愛任何干擾，所

24、以局域網(wǎng)還具有始終一致的低誤碼率。</p><p>　　局域網(wǎng)一般是一個(gè)單位或部門專用的，所以管理起很方便。</p><p>　　另外局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)比較簡(jiǎn)單，所支持連接的計(jì)算機(jī)數(shù)量也是有限的。組網(wǎng)時(shí)也就相對(duì)很容易連接。</p><p>　　2.2、網(wǎng)絡(luò)的體系結(jié)構(gòu) </p><p>　　網(wǎng)絡(luò)通常按層或級(jí)的方式來組織，每一層都建立在它的下層之上

25、。不同的網(wǎng)絡(luò)，層的名字、數(shù)量、內(nèi)容和功能都不盡相同。但是每一層的目的都是向它的上一層提供服務(wù)，這一點(diǎn)是相同的。層和協(xié)議的集合被稱為網(wǎng)絡(luò)體系結(jié)構(gòu)。作為具體的網(wǎng)絡(luò)體系結(jié)構(gòu)，當(dāng)前重要的和使用廣泛的網(wǎng)絡(luò)體結(jié)構(gòu)有OSI體系結(jié)構(gòu)和TCP/IP體系結(jié)構(gòu)。</p><p>　　OSI是開放系統(tǒng)互連基本參考模型OSI/RM（Open System Interconnection Reference Model）縮寫，它被分成7層，

26、這7個(gè)層次分別定義了不同的功能。幾乎所有的網(wǎng)絡(luò)都是基于這種體系結(jié)構(gòu)的模型進(jìn)行改進(jìn)并定義的，這些層次從上到下分別是應(yīng)用層、表示層、會(huì)話層、傳輸層、網(wǎng)絡(luò)層，數(shù)據(jù)鏈路層和物理層，其中物理層是位于體系結(jié)構(gòu)的最低層，它定義了OSI網(wǎng)絡(luò)中的物理特性和電氣特性。</p><p>　　TCP/IP（Transmission Control Protocol/Internet Protocol,傳輸控制協(xié)議和互連網(wǎng)協(xié)議）縮寫，TC

27、P/IP體系結(jié)構(gòu)是當(dāng)前應(yīng)用于Internet網(wǎng)絡(luò)中的體系結(jié)構(gòu)，它是由OSI結(jié)構(gòu)演變來的，它沒有表示層，只有應(yīng)用層、運(yùn)輸層，網(wǎng)際層和網(wǎng)絡(luò)接口層。</p><p><b>　　2.3、網(wǎng)絡(luò)協(xié)議 </b></p><p>　　網(wǎng)絡(luò)協(xié)議是通信雙方共同遵守的約定和規(guī)范，網(wǎng)絡(luò)設(shè)備必須安裝或設(shè)置各種網(wǎng)絡(luò)協(xié)議之后才能完成數(shù)據(jù)的傳輸和發(fā)送，在校園局域網(wǎng)上用到的協(xié)議主要有，ICP/IP協(xié)

28、議、IPX/SPX協(xié)議等。</p><p>　　2.3.1 TCP/IP協(xié)議</p><p>　　TCP/IP協(xié)議是目前在網(wǎng)絡(luò)中應(yīng)用得最廣泛的協(xié)議，ICP/IP實(shí)際上是一個(gè)關(guān)于Internet的標(biāo)準(zhǔn)，并隨著的Internet廣泛應(yīng)用而風(fēng)靡全球，它也成為局域網(wǎng)的首選協(xié)議。TCP/IP是一種分層協(xié)議，它共被分為個(gè)4層次，大約包含近期100個(gè)非專有協(xié)議，通過這些協(xié)議，可以高效和可靠地實(shí)現(xiàn)計(jì)算機(jī)系

29、統(tǒng)之間的互連。TCP/IP協(xié)議中的核心協(xié)議有TCP（傳輸控制協(xié)議）、UDP（用戶數(shù)據(jù)報(bào)協(xié)議）和IP（因特網(wǎng)協(xié)議）</p><p>　　TCP協(xié)議可以在網(wǎng)絡(luò)用戶啟動(dòng)的軟件應(yīng)用進(jìn)程之間建立通信會(huì)話，并實(shí)現(xiàn)數(shù)據(jù)流量控制和錯(cuò)誤檢測(cè)，這樣就可以在不可靠的網(wǎng)絡(luò)上提供可靠的端到端數(shù)據(jù)傳輸。UDP協(xié)議是一種無連接的協(xié)議，它在傳輸數(shù)據(jù)之前不建立連接，也不提供良好的可靠性和差錯(cuò)檢查，只僅僅依賴于校驗(yàn)來保證可靠性。UDP不進(jìn)行流量控制

30、，沒有序列或者確認(rèn)，因此它處理和傳輸數(shù)據(jù)的速度快，還被用來傳輸關(guān)鍵的網(wǎng)絡(luò)狀態(tài)消息。</p><p>　　IP協(xié)議的基本功能是提供數(shù)據(jù)傳輸、數(shù)據(jù)包編址、數(shù)據(jù)包路由，分段等。通過IP編址約定，可以成功地將數(shù)據(jù)通過路由傳輸?shù)秸_的網(wǎng)絡(luò)或者子網(wǎng)。每個(gè)網(wǎng)絡(luò)站點(diǎn)具有一個(gè)32位的IP地址，它和48位MAC地址一起協(xié)作，完成網(wǎng)絡(luò)通信，IP協(xié)議也是一種無連接的協(xié)議。</p><p>　　2.3.2超文本傳輸

31、協(xié)議(HTTP)</p><p>　　HTTP(HyperText Transfer Protocol ),超文本傳輸協(xié)議)是WWW瀏覽器和WWW服務(wù)器之間的應(yīng)用層協(xié)議，是用于分布式協(xié)作超文本信息系統(tǒng)的、通用的、面向?qū)ο蟮膮f(xié)議，HTTP協(xié)議還是基于TCP/IP協(xié)議之上的應(yīng)用層協(xié)。</p><p>　　2.3.3文件傳輸協(xié)議(FTP)</p><p>　　FTP(Fi

32、le Transfer Protocol ,文件傳輸協(xié)議)是由支持Internet文件傳輸?shù)母鞣N規(guī)則所組成的集合。這些規(guī)則能使網(wǎng)絡(luò)用戶把文件從一個(gè)主機(jī)拷貝到另一個(gè)主機(jī)上，F(xiàn)TP是采客戶/服務(wù)器方式服務(wù)的。</p><p>　　2.3.4遠(yuǎn)程登錄協(xié)議（Telnet） </p><p>　　遠(yuǎn)程登錄協(xié)議的目的是提供一個(gè)全面的、雙向的、面向8個(gè)比特字節(jié)的通信工具，其主要目標(biāo)是提供終端設(shè)備與面向進(jìn)

33、程接口的標(biāo)準(zhǔn)方法，Telnet是應(yīng)用層的協(xié)議，采用客戶/服務(wù)器模式工作的，Telnet不僅允許用戶登錄到遠(yuǎn)端主機(jī)上，還允許用執(zhí)行遠(yuǎn)端主機(jī)的命令，這樣用戶就能以極小的網(wǎng)絡(luò)資源代價(jià)完成大型的網(wǎng)絡(luò)應(yīng)用。</p><p><b>　　2.4 設(shè)計(jì)原則 </b></p><p>　　2.4.1 先進(jìn)性：采用主流網(wǎng)絡(luò)體系、運(yùn)行系統(tǒng)和設(shè)備產(chǎn)品</p><

34、;p>　　我們?cè)O(shè)計(jì)的網(wǎng)絡(luò)方案采用三層分布式結(jié)構(gòu)。核心層選用了高性能的思科千兆路由器,可以實(shí)現(xiàn)將全網(wǎng)的數(shù)據(jù)進(jìn)行高速無阻塞的路由到Internet；負(fù)責(zé)路由管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)服務(wù)、核心數(shù)據(jù)處理等。</p><p>　　匯聚層采用思科網(wǎng)絡(luò)Cisco Catalyst 3560E-24PD三層交換機(jī)，全千兆路由交換機(jī)組成,負(fù)責(zé)接入層匯聚,提供高速無阻塞的鏈路到核心層,抑制廣播風(fēng)暴和分流核心數(shù)據(jù)處理壓力等,可實(shí)施V

35、LAN間高速路由,大大提升網(wǎng)絡(luò)性能。</p><p>　　接入層選用思科網(wǎng)絡(luò)Cisco Catalyst 2960-24TT ,充分滿足用戶的高速接入等,并可靈活擴(kuò)展,增加端口密度。</p><p>　　服務(wù)器設(shè)備采用曙光服務(wù)器，網(wǎng)絡(luò)操作系統(tǒng)采用WINDOWS SERVER 2003操作系統(tǒng)；具有很好的安全性。</p><p>　　2.4.2 安全可靠性：采用先進(jìn)可

36、靠的容錯(cuò)技術(shù)和防火墻技術(shù)以及核心層和接入層的鏈路冗余功能</p><p>　　安全性：提供全方位的安全管理系統(tǒng)</p><p>　　內(nèi)部網(wǎng)絡(luò)之間、內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)之間的互聯(lián)，利用防火墻、殺毒軟件等對(duì)訪問進(jìn)行控制，確保網(wǎng)絡(luò)的安全。</p><p>　　可靠性：采用先進(jìn)可靠的容錯(cuò)技術(shù)</p><p>　　對(duì)工作站、服務(wù)器、交換機(jī)及其他主要相關(guān)

37、設(shè)備在廠家、品牌、服務(wù)等方面進(jìn)行充分調(diào)研、論證、選擇,確保硬件設(shè)備的基本品質(zhì)。采用WINDOWS 2003作為網(wǎng)絡(luò)操作系統(tǒng),并以“數(shù)據(jù)庫(kù)”的方式建立各種生產(chǎn)、裝配中心和管理應(yīng)用系統(tǒng),保證網(wǎng)絡(luò)系統(tǒng)和應(yīng)用系統(tǒng)的安全穩(wěn)定。</p><p>　　容錯(cuò)技術(shù)采用：雙工磁盤技術(shù)</p><p>　　在網(wǎng)絡(luò)系統(tǒng)上建立起兩套同樣的且同步工作的文件服務(wù)器,如果其中一個(gè)出現(xiàn)故障,另一個(gè)將立即自動(dòng)投入系統(tǒng),接替發(fā)

38、生故障的文件服務(wù)器的全部工作。</p><p>　　2.4.3 實(shí)用性：性能指標(biāo)能滿足各項(xiàng)業(yè)務(wù)處理能力</p><p>　　企業(yè)組網(wǎng)的方案在接入層交換機(jī)將用MAC地址與端口的捆綁實(shí)現(xiàn)高效的用戶控制。</p><p>　　2.4.4 可擴(kuò)展性：隨業(yè)務(wù)不斷發(fā)展而擴(kuò)展</p><p>　　可擴(kuò)展性：網(wǎng)絡(luò)的核心層采用模塊化路由器Cisco 2811，

39、匯聚層采用模塊化交換機(jī),按照需求靈活配置各種模塊,做到既滿足需求,由留有余地。整個(gè)網(wǎng)絡(luò)架構(gòu)采用三層結(jié)構(gòu),使網(wǎng)絡(luò)具有較好的伸縮性、可以根據(jù)網(wǎng)絡(luò)建設(shè)的不同階段靈活配置和擴(kuò)展,具有能不斷吸收新技術(shù)、新方法的功能。</p><p>　　2.4.5 開放性 </p><p>　　本次設(shè)計(jì)的中央集成管理系統(tǒng)將是一個(gè)完全開放性的系統(tǒng),通過編制系統(tǒng)的接口軟件將解決不同系統(tǒng)和產(chǎn)品間接口協(xié)議的“標(biāo)準(zhǔn)化”,以使

40、他們之間具備“互操作性”。所有接口均基于標(biāo)準(zhǔn)的TCP/IP數(shù)據(jù)接口協(xié)議和內(nèi)容。系統(tǒng)的開放性設(shè)計(jì)完全遵循國(guó)際主流標(biāo)準(zhǔn)以及工業(yè)標(biāo)準(zhǔn)。</p><p>　　2.4.6 靈活性：支持先進(jìn)的虛擬網(wǎng)絡(luò)技術(shù),通過軟件快速轉(zhuǎn)換。</p><p><b>　　2.5安全分析</b></p><p>　　2.5.1企業(yè)互聯(lián)網(wǎng)接入模塊</p><

41、p>　　擁有公共地址的服務(wù)器是最容易被攻擊的。以下是企業(yè)互聯(lián)網(wǎng)模塊潛在的威脅：未授權(quán)訪問、應(yīng)用層攻擊、病毒與特洛伊馬攻擊、密碼攻擊、拒絕服務(wù)、IP電子欺騙、分組竊聽、網(wǎng)絡(luò)偵察、信任關(guān)系利用、端口重定向等。</p><p>　　從ISP的客戶邊緣路由器開始，ISP出口將限制那些超出預(yù)定閾值的次要信息流，以便減少DDoS攻擊。同時(shí)在ISP路由器的入口處，防火墻的過濾功能將防止針對(duì)本地網(wǎng)絡(luò)及專用地址的源地址電子欺

42、騙。</p><p>　　防火墻為通過防火墻發(fā)起的會(huì)話提供了連接狀態(tài)執(zhí)行操作以及詳細(xì)的過濾。擁有公共地址的服務(wù)器通過在防火墻上使用半開放連接限制能夠防止TCP SYN洪水。從過濾的角度講，除了將公共服務(wù)區(qū)域的信息流限定到相關(guān)地址和端口外，在相反的方向上也在進(jìn)行過濾。如果某個(gè)攻擊涉及到一個(gè)公共服務(wù)器（通過規(guī)避防火墻和基于主機(jī)的IDS），那么這個(gè)服務(wù)器應(yīng)該不會(huì)再進(jìn)一步攻擊網(wǎng)絡(luò)。為了緩解這種攻擊，具體的過濾將防止公共服

43、務(wù)器向其他任何地點(diǎn)發(fā)出任何未授權(quán)請(qǐng)求。例如，應(yīng)該對(duì)Web服務(wù)器進(jìn)行過濾，以便使其不能自身產(chǎn)生請(qǐng)求，而只能回答來自客戶機(jī)的請(qǐng)求。這種設(shè)置有助于防止黑客在實(shí)施最初的攻擊后將更多的應(yīng)用下載到被破壞的機(jī)器。同時(shí)還有助于防止黑客在主攻擊過程中觸發(fā)不受歡迎的會(huì)話。</p><p>　　2.5.2 企業(yè)內(nèi)部局域網(wǎng)模塊</p><p>　　交換機(jī)的主要功能是交換生產(chǎn)與管理信息流并為公司和管理服務(wù)器以及用戶

44、提供連接。在交換機(jī)內(nèi)部可以實(shí)施VLAN，以減少設(shè)備間的信任關(guān)系利用攻擊。例如，公司用戶可能需要與公司服務(wù)器通信但彼此之間可能沒有必要通信。</p><p>　　2.6軟硬件功能分析</p><p><b>　　2.6.1 路由器</b></p><p>　　就企業(yè)局域網(wǎng)網(wǎng)絡(luò)而言，由于大量的數(shù)據(jù)都發(fā)生在局域網(wǎng)內(nèi)部，對(duì)路由器的性能要求不高，因此，可

45、以選用中低端路由器。低端路由器主要適用中小辦公網(wǎng)絡(luò)的應(yīng)用，考慮的一個(gè)主要因素是端口數(shù)量，另外還要看包交換能力和NAT轉(zhuǎn)換能力。中端路由器適用大中型辦公網(wǎng)絡(luò)，選用的原則也是考慮端口支持能力、包交換能力和NAT轉(zhuǎn)換能力。</p><p>　　在這里值得進(jìn)一步說明的是，如果讓內(nèi)部計(jì)算機(jī)直接通過路由器訪問外部網(wǎng)絡(luò)，必須做NAT轉(zhuǎn)換，當(dāng)并發(fā)連接較大時(shí)，做NAT轉(zhuǎn)換非常占資源，最好考慮有帶NAT模塊的路由器或?qū)ｉT的NAT設(shè)備

46、。</p><p><b>　　2.6.2交換機(jī)</b></p><p>　　工作組交換機(jī)采用可網(wǎng)管交換機(jī)，實(shí)現(xiàn)對(duì)每臺(tái)接入計(jì)算機(jī)的控制，實(shí)現(xiàn)VLAN（虛擬網(wǎng)）的劃分，確保最大限度的網(wǎng)絡(luò)訪問安全。接入層交換機(jī)采用擁有千兆端口的可網(wǎng)管交換機(jī)實(shí)現(xiàn)與核心路由器的高速連接，避免可能產(chǎn)生的網(wǎng)絡(luò)瓶頸。匯聚層交換機(jī)采用三層交換機(jī)，實(shí)現(xiàn)接入層的告訴匯聚功能以及VLAN間路由實(shí)現(xiàn)。<

47、;/p><p><b>　　2.6.3防火墻</b></p><p>　　防火墻有軟件防火墻和硬件防火墻兩種。軟件防火墻是安裝在計(jì)算機(jī)平臺(tái)的軟件產(chǎn)品，它通過在操作系統(tǒng)底層工作來實(shí)現(xiàn)網(wǎng)絡(luò)管理和防御功能的優(yōu)化。硬件防火墻的硬件和軟件都單獨(dú)進(jìn)行設(shè)計(jì)，有專用網(wǎng)絡(luò)芯片處理數(shù)據(jù)包。同時(shí)，采用專門的操作系統(tǒng)平臺(tái)，從而避免通用操作系統(tǒng)的安全性漏洞。并且對(duì)軟硬件的特殊要求使硬件防火墻的實(shí)際

48、帶寬與理論值基本一致，有著高吞吐量、安全與速度兼顧的優(yōu)點(diǎn)。</p><p><b>　　2.6.4服務(wù)器</b></p><p>　　服務(wù)器應(yīng)該具備速度高、存儲(chǔ)容量大、吞吐能力強(qiáng)、性能可靠、擴(kuò)展性強(qiáng)、連網(wǎng)和管理功能強(qiáng)等特點(diǎn)。</p><p>　　WWW服務(wù)器：是網(wǎng)絡(luò)運(yùn)行的核心服務(wù)器，通常兼作域名服務(wù)器、FTP服務(wù)器。訪問量大，根據(jù)企業(yè)規(guī)模大小，

49、采用適合自己規(guī)模的服務(wù)器。一般對(duì)于200個(gè)信息點(diǎn)以下的企業(yè)，通?？刹捎弥С侄郈PU的頂級(jí)PC服務(wù)器和低端專業(yè)服務(wù)器。 </p><p>　　FTP服務(wù)器：通常中小企業(yè)可由WEB服等務(wù)器兼用。</p><p>　　2.6.5 公網(wǎng)IP地址數(shù)</p><p>　　由于對(duì)外服務(wù)器要求有固定的公網(wǎng)IP地址，路由器也要求有固定的公網(wǎng)IP地址，以及NAT地址池也需要有固定的公網(wǎng)

50、IP地址，因此，必須向ISP提供商申請(qǐng)一定數(shù)量的公網(wǎng)IP地址，對(duì)于中、小型網(wǎng)絡(luò)來講，8個(gè)勉強(qiáng)可以，對(duì)于大型局域網(wǎng)來說，要求16個(gè)以上才能夠用。</p><p>　　2.7 VLAN技術(shù)分析</p><p>　　2.7.1、 VLAN技術(shù)概述</p><p>　　VLAN(Virtual Local Area Network)也就是虛擬局域網(wǎng)，是一種建立在交換技術(shù)基礎(chǔ)

51、之上的，通過將局域網(wǎng)內(nèi)的機(jī)器設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)不同的網(wǎng)段，以軟件方式實(shí)現(xiàn)邏輯工作組的劃分與管理的技術(shù)。IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的IEEE 802.1Q協(xié)議標(biāo)準(zhǔn)草案。VLAN的作用是使得同一VLAN中的成員間能夠互相通信，而不同VLAN之間則是相互隔離的，不同的VLAN間的如果要通信就要通過必要的路由設(shè)備。</p><p>　　2.7.2、使用VLAN技術(shù)的優(yōu)點(diǎn)</

52、p><p>　　1、可以控制網(wǎng)絡(luò)廣播</p><p>　　在沒有應(yīng)用VLAN技術(shù)的局域網(wǎng)內(nèi)的整個(gè)網(wǎng)絡(luò)都是廣播域，這樣就使得網(wǎng)內(nèi)的一臺(tái)設(shè)備發(fā)出網(wǎng)絡(luò)廣播時(shí)，在局域網(wǎng)內(nèi)的任何一臺(tái)設(shè)備的借口都能接收到廣播，因此當(dāng)網(wǎng)絡(luò)內(nèi)的設(shè)備越來越多時(shí)，網(wǎng)絡(luò)上的廣播也就越來越多，占用的時(shí)間和資源也就越來越多，當(dāng)廣播多到一定的數(shù)量時(shí)，就會(huì)影響到正常的信息的傳送。這樣就能使得信息延遲，嚴(yán)重的可以造成網(wǎng)絡(luò)的癱瘓、堵塞，嚴(yán)重的

53、影響了正常的網(wǎng)絡(luò)應(yīng)用，這就是所謂的網(wǎng)絡(luò)風(fēng)暴。</p><p>　　在應(yīng)用了VLAN技術(shù)的局域網(wǎng)中，縮小了廣播的廣播域，在一個(gè)VLAN中的廣播風(fēng)暴也不會(huì)影響到其他的VLAN，從而有效地減小了廣播風(fēng)暴對(duì)局域網(wǎng)網(wǎng)絡(luò)的影響。</p><p>　　2、增強(qiáng)了網(wǎng)絡(luò)的安全性</p><p>　　在局域網(wǎng)中應(yīng)用VLAN技術(shù)可以把互相通信比較頻繁的用戶劃分到同一個(gè)VLAN中，這樣在同

54、一個(gè)工作組中的信息傳輸只在同一個(gè)組內(nèi)廣播，從而也減輕了因廣播包被截獲而引起的信息泄露，增強(qiáng)了網(wǎng)絡(luò)的安全性。還有就是在公司的局域網(wǎng)中各個(gè)部門要求的安全等級(jí)是不一樣的，例如公司財(cái)務(wù)處和公司其他部門之間的網(wǎng)絡(luò)就有著不一樣的訪問者和用戶，因此我們可以應(yīng)用VLAN技術(shù)把財(cái)務(wù)處和公司的其他網(wǎng)絡(luò)分到不同的工作組中。如果不使用VLAN技術(shù)就需要兩個(gè)交換機(jī)來實(shí)現(xiàn)同樣的功能，但是應(yīng)用VLAN技術(shù)節(jié)省了公司的財(cái)力。</p><p>　

55、　3、簡(jiǎn)化網(wǎng)絡(luò)管理員的管理工作</p><p>　　在應(yīng)用VLAN技術(shù)后網(wǎng)絡(luò)管理員就可以輕松的管理網(wǎng)絡(luò)，例如公司部門在物理上并不處在同一個(gè)位置，在不同的裝配大樓和辦公樓，但是應(yīng)用了VLAN技術(shù)網(wǎng)絡(luò)管理員就可以在應(yīng)用了幾條指令的同時(shí)完成設(shè)備在不同物理位置上的相同工作組的配置。</p><p>　　2.7.3、 VLAN的劃分方法</p><p>　　VLAN技術(shù)對(duì)工作

56、組的劃分方法有兩種一種是基于端口的劃分方法另外一種是基于MAC地址的劃分方法。</p><p>　　1、基于端口的劃分方法</p><p>　　這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的端口來劃分，比如Cisco 48口交換機(jī)的1-14端口為VLAN1，15-27為VLAN1，28-48為VLAN1，當(dāng)然，這些屬于同一VLAN的端口可以不連續(xù)，如何配置，如果有多個(gè)交換機(jī)，例如，可以指定交換

57、機(jī)l的l-8端口和交換機(jī)2的1-7端口為同一VLAN，即同一VLAN可以跨越數(shù)個(gè)以太網(wǎng)交換機(jī)，根據(jù)端口劃分是目前定義VLAN的最廣泛應(yīng)用的方法，IEEE 802.1Q規(guī)定了依據(jù)以太網(wǎng)交換機(jī)的端口來劃分VLAN的國(guó)際標(biāo)準(zhǔn)。這種劃分方法的優(yōu)點(diǎn)是定義VLAN成員時(shí)非常簡(jiǎn)單，只要將所有的端口都只定義一下就可以了。</p><p>　　不足之處是不夠靈活，當(dāng)一臺(tái)機(jī)器設(shè)備需要從一個(gè)端口移動(dòng)到另一個(gè)新的端口，但是新端口與舊端口

58、不在同一個(gè)VLAN之中時(shí)，要修改端口的VLAN設(shè)置，或在用戶計(jì)算機(jī)上重新配置網(wǎng)絡(luò)地址，這樣才能使這臺(tái)設(shè)備加入到新的VLAN中。否則，這臺(tái)設(shè)備就無法進(jìn)行網(wǎng)絡(luò)通信。</p><p>　　2、基于MAC地址的劃分方法</p><p>　　這種方法劃分VLAN，要求交換機(jī)對(duì)站點(diǎn)的MAC地址進(jìn)行跟蹤，在新站點(diǎn)入網(wǎng)時(shí)．需要把它添加到相應(yīng)的VLAN中。以后無論這個(gè)站點(diǎn)怎么移動(dòng)。只要MAC地址不變．就無需

59、對(duì)它進(jìn)行重新配置。</p><p>　　不足之處在于不夠便捷，由于在初始化時(shí)，需要所有的在局域網(wǎng)內(nèi)的所有設(shè)備都進(jìn)行配置，因此如果要是有幾百個(gè)用戶時(shí)，配置工作就顯得相當(dāng)?shù)姆爆?，并且由于需要跟蹤站點(diǎn)內(nèi)的MAC地址進(jìn)行跟蹤，使得交換機(jī)的執(zhí)行效率不高。</p><p>　　3、基于網(wǎng)絡(luò)協(xié)議的劃分</p><p>　　VLAN按網(wǎng)絡(luò)層協(xié)議來劃分,可分為IP、IPX、DECne

60、t、AppleTalk、Banyan等VLAN網(wǎng)絡(luò)。這種按網(wǎng)絡(luò)層協(xié)議來組成的VLAN，可使廣播域跨越多個(gè)VLAN交換機(jī)。這對(duì)于希望針對(duì)具體應(yīng)用和服務(wù)來組織用戶的網(wǎng)絡(luò)管理員來說是非常具有吸引力的。而且，用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動(dòng)，但其VLAN成員身份仍然保留不變。</p><p>　　這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對(duì)網(wǎng)絡(luò)管理者來說很重要，還

61、有，這種方法不需要附加的幀標(biāo)簽來識(shí)別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點(diǎn)是效率低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的(相對(duì)于前面兩種方法)。</p><p>　　綜上所分析本設(shè)計(jì)采用劃分VLAN的方式是基于端口的方法。</p><p>　　2.7.4、 在企業(yè)網(wǎng)中VLAN的劃分</p><p>　　企業(yè)局域網(wǎng)采用三層網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，分為

62、核心層、匯聚層、接入層等三個(gè)層次，企業(yè)主干網(wǎng)技術(shù)選擇千兆以太網(wǎng)技術(shù)，主要在接入層的端口上實(shí)施基于端口的VLAN劃分</p><p>　　2.8、網(wǎng)絡(luò)設(shè)備選型原則</p><p>　　2.8.1設(shè)備選型原則</p><p>　　在確定了網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)方案后，需要進(jìn)行網(wǎng)絡(luò)設(shè)備選型。設(shè)備選型是網(wǎng)絡(luò)工程中非常重要的一環(huán)，設(shè)備選型的好壞直接影響系統(tǒng)的實(shí)用性、穩(wěn)定性、可靠性和系

63、統(tǒng)的費(fèi)用。</p><p>　　設(shè)備選型依據(jù)主要是根據(jù)選型原則，對(duì)不同廠家的產(chǎn)品的不同型號(hào)進(jìn)行綜合全面的比較，選擇滿足系統(tǒng)需求的、先進(jìn)、性能價(jià)格比高的設(shè)備。</p><p>　?。?）品牌選擇：所有網(wǎng)絡(luò)設(shè)備盡可能選取同一廠家的產(chǎn)品，以便使用用戶從網(wǎng)絡(luò)通信設(shè)備的整體性能上得到更多的便利和保證。而產(chǎn)品線齊全、技術(shù)認(rèn)證隊(duì)伍力量雄厚、產(chǎn)品市場(chǎng)占有率高的廠商是網(wǎng)絡(luò)設(shè)備品牌的首選（如本設(shè)計(jì)方案的網(wǎng)絡(luò)設(shè)

64、備就是全部選用國(guó)際知名品牌Cisco的產(chǎn)品）。</p><p>　　（2）擴(kuò)展性考慮：在網(wǎng)絡(luò)的層次結(jié)構(gòu)中，主干設(shè)備選擇應(yīng)預(yù)留一定的能力，以便對(duì)系統(tǒng)進(jìn)行擴(kuò)充和改進(jìn)。</p><p>　?。?）性價(jià)比高：網(wǎng)絡(luò)系統(tǒng)設(shè)備的選擇具有較高的性能價(jià)格比的網(wǎng)絡(luò)設(shè)備以達(dá)到系統(tǒng)整體性能的最優(yōu)。</p><p>　　2.8.2、常用網(wǎng)絡(luò)設(shè)備 </p><p>　　

65、網(wǎng)絡(luò)設(shè)備主要是指硬件系統(tǒng)，各種網(wǎng)絡(luò)設(shè)備之間是有著相互關(guān)聯(lián)而不是相互獨(dú)立的，每一部分在網(wǎng)絡(luò)中有著不同的作用，缺一不可，只有把這些設(shè)備通過一定的形式連起來才能組成一個(gè)完整的網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)設(shè)備主要包括網(wǎng)卡、集線器、交換機(jī)、路由器、傳輸介質(zhì)等。</p><p><b>　　1、網(wǎng)卡 </b></p><p>　　網(wǎng)卡（簡(jiǎn)稱NIC），也網(wǎng)絡(luò)適配卡或網(wǎng)絡(luò)接口卡，網(wǎng)卡作為計(jì)算機(jī)與網(wǎng)

66、絡(luò)連接的接口，是不可缺少的網(wǎng)絡(luò)設(shè)備之一。無論是雙絞線網(wǎng)絡(luò)、同軸電纜網(wǎng)絡(luò)還是光纜網(wǎng)絡(luò)，都必須借助于相應(yīng)類型的網(wǎng)卡才能實(shí)現(xiàn)與計(jì)算機(jī)的連接，是計(jì)算機(jī)與局域網(wǎng)相互連接的惟一接口。每塊網(wǎng)卡上都有一個(gè)世界惟一的ID號(hào)，也就是MAC（Media Access Control）地址，計(jì)算機(jī)在連入網(wǎng)絡(luò)之后，就是依靠這個(gè)ID號(hào)才能實(shí)現(xiàn)在不同計(jì)算機(jī)之間的通信和信息交換。網(wǎng)卡有很多種，不同類型的網(wǎng)絡(luò)需要使用不同種類的網(wǎng)卡，不同速度的網(wǎng)絡(luò)需求也要使用不同的網(wǎng)卡。

67、如根據(jù)帶寬來分的話，有10Mbit/s網(wǎng)卡、10/100Mit/s自適應(yīng)網(wǎng)卡和1000Mbit/s網(wǎng)卡；如按總線分，有ISA總線、PCI總線、PCMCIA總線網(wǎng)卡等。從目前校園網(wǎng)建設(shè)的實(shí)際情況來看，工作站網(wǎng)卡選擇PCI總線的10M/100Mbit/s自適應(yīng)網(wǎng)卡最適合。</p><p><b>　　2、交換機(jī) </b></p><p>　　交換機(jī)，也稱交換式集線器，是專

68、門設(shè)計(jì)的，使各計(jì)算機(jī)能夠相互高速通信的獨(dú)享帶寬的網(wǎng)絡(luò)設(shè)備。作為高性能的集線設(shè)備，隨著價(jià)格的不斷降低，交換機(jī)已逐步取代了集線器而成為集線設(shè)備的首選。由交換機(jī)構(gòu)建的交換式網(wǎng)絡(luò)系統(tǒng)不僅擁有高速的傳輸速率，而且交換延時(shí)很小，使得信息的傳輸效率大大提高，適合于大數(shù)據(jù)量并且使用非常頻繁的網(wǎng)絡(luò)通信，被廣泛應(yīng)用于各種類型的多媒體和數(shù)據(jù)傳輸網(wǎng)絡(luò)。交換機(jī)具有很強(qiáng)的網(wǎng)絡(luò)管理功能，它能自動(dòng)根據(jù)網(wǎng)絡(luò)通信的使用情況來動(dòng)態(tài)管理網(wǎng)絡(luò)，因?yàn)榻粨Q機(jī)采用了獨(dú)享網(wǎng)絡(luò)帶寬的設(shè)計(jì)

69、。</p><p><b>　　3、 路由器 </b></p><p>　　路由器除了有連接不同的網(wǎng)絡(luò)物理分支和不同的通信媒介、過濾和隔離網(wǎng)絡(luò)數(shù)據(jù)流及建立路由表，還有控制和管理復(fù)雜的路徑、控制流量、分組分段、防止網(wǎng)絡(luò)風(fēng)暴及在網(wǎng)絡(luò)分支之間提供安全屏障層等到功能。根據(jù)路由設(shè)備的組成可以分為軟路由和硬路由。根據(jù)路由表的設(shè)置方式可以將路由器分為靜態(tài)的和動(dòng)態(tài)的。路由器工作在網(wǎng)絡(luò)

70、層，因此它可以在網(wǎng)絡(luò)層交換和路由數(shù)據(jù)幀，訪問的是對(duì)方的網(wǎng)絡(luò)地址。當(dāng)數(shù)據(jù)幀到達(dá)路由器后，路由器查看數(shù)據(jù)幀的目標(biāo)地址，并在路由表查看到達(dá)目標(biāo)地址的路徑，根據(jù)路徑的代價(jià)，選擇一條最佳的路徑，然后把數(shù)據(jù)幀沿這條路徑發(fā)送給目標(biāo)地址。</p><p><b>　　4、傳輸介質(zhì) </b></p><p>　　網(wǎng)絡(luò)要求把各個(gè)獨(dú)立的計(jì)算機(jī)連接起來的，這樣就必然要求有一種介質(zhì)將計(jì)算機(jī)連接

71、起來，這就是傳輸介質(zhì)，局域網(wǎng)的傳輸介質(zhì)可分為有線介質(zhì)和無線介質(zhì)兩種，一般情況下都是用有線介質(zhì)的，因?yàn)樗姆€(wěn)定性高，連接可靠，無線介質(zhì)只是在特殊環(huán)境下才使用的傳輸方式。常用的有線介質(zhì)主要有以下幾類。</p><p><b>　　同軸電纜</b></p><p>　　同軸電纜以硬銅線為芯，外包一層絕緣材料。這層絕緣材料用密織的網(wǎng)狀導(dǎo)體環(huán)繞，網(wǎng)外又覆蓋一層保護(hù)性材料。同軸電

72、纜有許多種不同的規(guī)格，最常用是細(xì)同軸電纜和粗同軸電纜。細(xì)同軸電纜主要用于建筑物內(nèi)的網(wǎng)絡(luò)連接，而粗同軸電纜則常用于建筑物間相連。它們的區(qū)別在于粗同軸電纜屏蔽更好，能傳輸更遠(yuǎn)的距離。同軸電纜是由中心導(dǎo)體、絕緣材料層、網(wǎng)狀織物構(gòu)成的屏蔽層以及外部隔離材料層組成。</p><p><b>　　雙絞線</b></p><p>　　雙絞線是綜合布線工程中最常用的一種傳輸介質(zhì)。雙絞

73、線由兩根具有絕緣保護(hù)層的銅導(dǎo)線組成。把兩根絕緣的銅導(dǎo)線按一定密度互相絞在一起，可降低信號(hào)干擾的程度，每一根導(dǎo)線在傳輸中輻射的電波會(huì)被另一根線上發(fā)出的電波抵消，與其他傳輸介質(zhì)相比，雙絞線在傳輸距離、信道寬度和數(shù)據(jù)傳輸速度等方面均受到一定限制，但價(jià)格較為低廉。目前，雙絞線可分為非屏蔽雙絞線和屏蔽雙絞線。</p><p><b>　　光纖 </b></p><p>　　光纖

74、是一種直接為50~100um的柔軟的、能傳導(dǎo)光波的介質(zhì)，一般由玻璃制造。光纖分為：傳輸點(diǎn)模數(shù)類分單模光纖(Single Mode Fiber)和多模光纖(Multi Mode Fiber)。單模光纖的纖芯直徑很小，在給定的工作波長(zhǎng)上只能以單一模式傳輸，傳輸頻帶寬，傳輸容量大。多模光纖是在給定的工作波長(zhǎng)上，能以多個(gè)模式同時(shí)傳輸?shù)墓饫w，與單模光纖相比，多模光纖的傳輸性能較差。</p><p><b>　　5

75、、服務(wù)器 </b></p><p>　　企業(yè)網(wǎng)中的服務(wù)器主有數(shù)據(jù)庫(kù)WEB服務(wù)器和服務(wù)器，數(shù)據(jù)服務(wù)器與WEB服務(wù)器除了面向企業(yè)網(wǎng)內(nèi)部用戶的服務(wù)，也對(duì)來自Internet的用戶服務(wù)也很多，主要是對(duì)企業(yè)網(wǎng)內(nèi)部用戶進(jìn)行信息共享以及文件共享服務(wù)；一般中小型的企業(yè)網(wǎng)絡(luò)都把FTP服務(wù)器以及E-mail服務(wù)器與WEB服務(wù)器或者數(shù)據(jù)服務(wù)器并作使用，以達(dá)到為企業(yè)減少建設(shè)網(wǎng)絡(luò)的開支，也利于管理人員的管理。故而本方案把WEB

76、服務(wù)器和E-mail服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器和FTP服務(wù)器兼做使用。</p><p>　　2.9網(wǎng)絡(luò)地址轉(zhuǎn)化（NAT）技術(shù)分析 </p><p>　　網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的,外部的,注冊(cè)的IP地址標(biāo)準(zhǔn).它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng).它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址. </p><p>　　在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)

77、卡訪問外部網(wǎng)絡(luò)時(shí),將產(chǎn)生一個(gè)映射記錄.系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口,讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址.在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí),它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個(gè)開放的IP地址和端口來請(qǐng)求訪問.OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全.當(dāng)符合規(guī)則時(shí),防火墻認(rèn)為訪問是安全的,可以接受訪問請(qǐng)求,也可以將連接請(qǐng)求映射到不同的

78、內(nèi)部計(jì)算機(jī)中.當(dāng)不符合規(guī)則時(shí),防火墻認(rèn)為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請(qǐng)求.網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來說是透明的,不需要用戶進(jìn)行設(shè)置,用戶只要進(jìn)行常規(guī)操作即可. </p><p>　　第三章、局域網(wǎng)規(guī)劃設(shè)計(jì)方案</p><p>　　3.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)選擇</p><p>　　現(xiàn)在應(yīng)用最廣泛的拓?fù)浣Y(jié)構(gòu)有總線型、環(huán)型和星型拓?fù)淙N。一個(gè)單位需要按

79、照工作目的選擇網(wǎng)絡(luò)類型,而拓?fù)浣Y(jié)構(gòu)必須與所選的網(wǎng)絡(luò)類型相匹配。</p><p>　　總線型結(jié)構(gòu)：網(wǎng)絡(luò)上的所有微機(jī)包括服務(wù)器都連在一條主通信線路上。總線上傳送的信息,通常以基帶形式串行傳送,它的傳送方向從發(fā)送信息的節(jié)點(diǎn)開始向兩端擴(kuò)散,如同廣播電臺(tái)發(fā)射的信息向四周擴(kuò)散一樣,因此這種網(wǎng)絡(luò)也被為廣播式計(jì)算機(jī)網(wǎng)絡(luò)。它的優(yōu)點(diǎn)是連接簡(jiǎn)單,易布線,不用中斷設(shè)備,成本較低,是最常用的局域網(wǎng)拓補(bǔ)結(jié)構(gòu)之一。但是,同軸電纜線的兩端都要安

80、裝終端電阻,穩(wěn)定性較差,如果總線出現(xiàn)故障,那么整個(gè)網(wǎng)絡(luò)都會(huì)癱瘓,并且由于總線網(wǎng)絡(luò)受到信號(hào)損耗的影響,總線長(zhǎng)度受限制,設(shè)備分布的范圍不可能很大,故只適用于小型網(wǎng)絡(luò)。采用總線拓補(bǔ)結(jié)構(gòu)的網(wǎng)絡(luò)有10Base2以太網(wǎng),10Base5以太網(wǎng),以及ARCnet網(wǎng)。</p><p>　　星型結(jié)構(gòu)：星型結(jié)構(gòu)中有一個(gè)中央節(jié)點(diǎn)（集線器或交換機(jī)）和計(jì)算機(jī)連接成網(wǎng)。交換機(jī)是網(wǎng)絡(luò)的中央布線中心,各計(jì)算機(jī)通過交換機(jī)和其它計(jì)算機(jī)通信,星形網(wǎng)絡(luò)也

81、稱為集中式網(wǎng)絡(luò)。這種結(jié)構(gòu)基本上是Ethernet（以太網(wǎng)）雙絞線網(wǎng)絡(luò)專用的。而其它的客戶機(jī)都用單獨(dú)的線路與這個(gè)節(jié)點(diǎn)連接,向四周展開,形成一個(gè)心狀結(jié)構(gòu)。采用這種拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)穩(wěn)定性較高,單個(gè)節(jié)點(diǎn)的故障只會(huì)影響與這個(gè)節(jié)點(diǎn)相連的支路,不會(huì)影響整個(gè)網(wǎng)絡(luò),并且很容易完成對(duì)網(wǎng)絡(luò)設(shè)備的添加、移動(dòng)和改變,當(dāng)網(wǎng)上有一條信息時(shí),網(wǎng)絡(luò)上甩的終端或工作站都能接收到這個(gè)信息,但是星型結(jié)構(gòu)一般使用雙絞線進(jìn)行連接,需要大量的電纜,成本較其他高,同時(shí)如果交換機(jī)出現(xiàn)故障

82、,剛整個(gè)網(wǎng)絡(luò)癱瘓。采用星型結(jié)構(gòu)的網(wǎng)絡(luò)有10BaseT以太網(wǎng),100BaseT以太網(wǎng),令牌環(huán)網(wǎng),FDDI網(wǎng)絡(luò)CDDI網(wǎng)絡(luò),ATM網(wǎng)。</p><p>　　環(huán)型結(jié)構(gòu)：環(huán)型結(jié)構(gòu)中的每一個(gè)工作連接成封閉的環(huán)路。是單向的鏈路,只能在一個(gè)方向傳輸數(shù)據(jù),而且所有鏈路都是按同一個(gè)方向輿。這樣,數(shù)據(jù)就在這個(gè)環(huán)的一個(gè)方向上進(jìn)行循環(huán)。這種結(jié)構(gòu)的特點(diǎn)是：連接費(fèi)用較低,比較適合家庭等小型網(wǎng)絡(luò)的連接；每臺(tái)微機(jī)都相同于一個(gè)中斷器；要新增用戶比

83、較困難；網(wǎng)絡(luò)的可靠性差,不易管理采用環(huán)狀拓補(bǔ)結(jié)構(gòu)的網(wǎng)絡(luò)的有。令牌環(huán)網(wǎng),FDDI網(wǎng)絡(luò)CDDI網(wǎng)絡(luò)。</p><p>　　在本設(shè)計(jì)方案中主要是對(duì)一個(gè)企業(yè)進(jìn)行整體的網(wǎng)絡(luò)設(shè)計(jì)。該企業(yè)占有一幢大廈，共有八個(gè)部門，每個(gè)部門不會(huì)超過255臺(tái)工作站，分別是財(cái)務(wù)部、人事部、行政部、企管部、營(yíng)銷中心、科研樓、廠房一、廠房二， 為了實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，在本設(shè)計(jì)方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即Cisco公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。本企業(yè)網(wǎng)設(shè)

84、計(jì)方案主要由以下幾部分組成：交換模塊、廣域網(wǎng)接入模塊、服務(wù)器模塊，整個(gè)網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)圖如下所示：</p><p>　　企業(yè)網(wǎng)整體拓?fù)浣Y(jié)構(gòu)圖</p><p>　　3.2 VLAN及IP地址規(guī)劃</p><p>　　在一個(gè)大、中型網(wǎng)絡(luò)里，VLAN的劃分是必不可少的步驟之一。在本企業(yè)網(wǎng)設(shè)計(jì)中，整個(gè)企業(yè)網(wǎng)的VLAN及IP編址方案如下表所示：</p><

85、;p>　　在下面我們需要注意的是：192.168.0.0-192.168.255.254這樣的IP地址是私有IP地址，它不能在公共網(wǎng)絡(luò)中使用，但是為什么我們要這樣做呢？因?yàn)獒槍?duì)當(dāng)前現(xiàn)狀，IP地址緊缺，我們不可能也不應(yīng)該為每一臺(tái)工作站申請(qǐng)一個(gè)公有IP地址，這樣不僅可以緩解IP地址不足的情況，而且也可以為企業(yè)建設(shè)一個(gè)企業(yè)網(wǎng)節(jié)約不少的開支，那這樣且不是不能夠訪問INTERNET。為了讓這些私有IP地址能夠在公共INTERNET使用，讓使

86、用這樣IP地址的工作站能夠訪問INTERNET上的資源，我們必須對(duì)這樣私有IP地址作NAT（network address translation）即網(wǎng)絡(luò)地址轉(zhuǎn)換。</p><p><b>　　網(wǎng)絡(luò)設(shè)備選型</b></p><p>　　a、核心層網(wǎng)絡(luò)采用CISCO WS-C6509-E</p><p>　　分布網(wǎng)絡(luò)采用CISCO WS-C35

87、50-24G（配置1000M光電模塊）</p><p>　　Cisco Catalyst 3550系列智能以太網(wǎng)交換機(jī)是一個(gè)可堆疊多層交換機(jī)系列，可通過高可用性、服務(wù)質(zhì)量（QoS）和安全性來改進(jìn)網(wǎng)絡(luò)運(yùn)行。憑借一系列快速以太網(wǎng)和千兆位以太網(wǎng)配置，Cisco Catalyst 3550系列堪稱一款適用于企業(yè)接入應(yīng)用的強(qiáng)大選擇。</p><p>　　b、接入層網(wǎng)絡(luò)采用CISCO WS-C2950

88、G-48-EI（配置1000M光電模塊）</p><p>　　Cisco Catalyst 2950系列智能以太網(wǎng)交換機(jī)是一個(gè)固定配置、可堆疊的獨(dú)立設(shè)備系列，提供了線速快速以太網(wǎng)和千兆位以太網(wǎng)連接。這是一款最廉價(jià)的Cisco交換產(chǎn)品系列，為中型網(wǎng)絡(luò)和城域接入應(yīng)用提供了智能服務(wù)。作為思科最為廉價(jià)的交換產(chǎn)品系列，Cisco Catalyst 2950系列在網(wǎng)絡(luò)或城域接入邊緣實(shí)現(xiàn)了智能服務(wù)。</p>&l

89、t;p>　　c、外部訪問網(wǎng)絡(luò)采用CISCO2811路由器和CISCO專用防火墻（配置1000M光電模塊） </p><p>　　路由器采用Cisco 2811路由器，Cisco 2811路由器包含兩個(gè)同步Serial口與2個(gè)以太網(wǎng)接口，支持傳輸速率是10/100Mbps，同時(shí)還包括一個(gè)控制口和一個(gè)輔助端口，用于遠(yuǎn)程和本地管理、軟件的安裝等,支持Qos 接口Console 具有內(nèi)置防火墻功能；采用CISCO專

90、用防火墻。</p><p>　　d、服務(wù)器采用　UPS不間斷電源</p><p>　　可以保護(hù)服務(wù)器免受斷電的困擾，達(dá)到服務(wù)器不間斷工作。</p><p>　　3.3 網(wǎng)絡(luò)安全設(shè)計(jì)</p><p>　　公司園區(qū)網(wǎng)有3000用戶，網(wǎng)絡(luò)規(guī)模比較大，并且和因特網(wǎng)存在連接。為了保障網(wǎng)絡(luò)系統(tǒng)的運(yùn)行安全，保護(hù)公司的信息安全，必須進(jìn)行網(wǎng)絡(luò)安全方面的規(guī)劃和實(shí)

91、施。</p><p>　　一個(gè)網(wǎng)絡(luò)的安全，首先要有嚴(yán)格和有效執(zhí)行的管理制度。建議公司制定嚴(yán)格的網(wǎng)絡(luò)安全管理策略，并有效的執(zhí)行。其次，必須具有一定的技術(shù)手段來保障網(wǎng)絡(luò)的安全。技術(shù)和管理手段相結(jié)合實(shí)施，才能夠產(chǎn)生良好的效果。</p><p>　　通過以下幾個(gè)技術(shù)方面的實(shí)施，可以在一定程度上保障網(wǎng)絡(luò)的安全：</p><p>　　提高設(shè)備的物理安全性</p>

92、<p><b>　　配置設(shè)備的口令</b></p><p><b>　　進(jìn)行VTP域的認(rèn)證</b></p><p>　　園區(qū)網(wǎng)用戶的接入控制</p><p><b>　　應(yīng)用系統(tǒng)的訪問控制</b></p><p>　　因特網(wǎng)的接入安全控制</p><

93、;p>　?、?提高設(shè)備的物理安全性</p><p>　　設(shè)備的物理安全性是指運(yùn)行中的設(shè)備，未經(jīng)授權(quán)的人員不能直接接觸到。提高設(shè)備的物理安全性，是最基本的要求。通過將設(shè)備安置在獨(dú)立的設(shè)備間中，并增加門禁系統(tǒng)，確保只有授權(quán)的管理和維護(hù)人員才能接觸到物理設(shè)備。</p><p><b>　?、?配置設(shè)備的口令</b></p><p>　　配置設(shè)備

94、的口令，是防止非授權(quán)的人員更改網(wǎng)絡(luò)系統(tǒng)的配置的重要手段。</p><p>　　要為所有的設(shè)備設(shè)置口令。要為每一臺(tái)設(shè)備配置CONSOLE口令，AUX口令，VTY口令，特權(quán)口令等</p><p>　　在口令方面，需要制定管理制度并嚴(yán)格執(zhí)行?？诹罟芾碇贫劝诹畹脑O(shè)置，保管，更改，口令的強(qiáng)度等內(nèi)容。</p><p>　?、?進(jìn)行VTP域的認(rèn)證</p><

95、;p>　　進(jìn)行VTP域的認(rèn)證，能夠保證局域網(wǎng)的VLAN等的安全。</p><p>　　設(shè)置了口令之后，除非交換機(jī)設(shè)置了正確的口令，否則。新交換機(jī)不能自動(dòng)加入到已存在的管理域中。保證了局域網(wǎng)的運(yùn)行安全，可以避免因?yàn)閂LAN被錯(cuò)誤或者惡意的增加。刪除造成的運(yùn)行事故。</p><p>　?、?園區(qū)用戶的接入控制</p><p>　　因?yàn)橐话愕陌踩胧┒疾皇轻槍?duì)網(wǎng)絡(luò)呢

96、的用戶的，嚴(yán)格控制用戶的接入，可以避免非法用戶接入帶來的潛在的安全隱患。</p><p>　　園區(qū)網(wǎng)系統(tǒng)建設(shè)驗(yàn)收完畢之后，確保交換機(jī)的所有用戶端口處于關(guān)閉狀態(tài)。只有用戶使用申請(qǐng)通過批準(zhǔn)之后網(wǎng)絡(luò)管理員才能將端口激活。</p><p>　　⑸ 應(yīng)用系統(tǒng)的訪問限制</p><p>　　可以 根據(jù)公司的應(yīng)用需求，在匯聚層的多層交換機(jī)上實(shí)施訪問控制，限制園區(qū)網(wǎng)用戶對(duì)特定應(yīng)用系

97、統(tǒng)的訪問，或者只允許特定的用戶訪問某些資源。</p><p>　　⑹ 因特網(wǎng)的接入安全控制</p><p>　　因特網(wǎng)的接入安全控制是非常重要的，不僅需要布置防火墻等安全設(shè)備，還要指定嚴(yán)格的安全策略。</p><p>　　第四章、路由交換部分的設(shè)計(jì)</p><p>　　為了使公司園區(qū)網(wǎng)高效、穩(wěn)定的運(yùn)行，便于管理與維護(hù)，對(duì)局域網(wǎng)交換和路由技術(shù)的

98、相關(guān)方面進(jìn)行了規(guī)范設(shè)計(jì)，包括VTP、VLAN、STP、TRUNK、ETHERCHANNEL，HSRP，VPN等。每一臺(tái)都連接所有的匯聚層交換機(jī)，但相互之間并不連接（提高網(wǎng)絡(luò)的故障收斂速度）。作為二層的核心，只保證數(shù)據(jù)的高速轉(zhuǎn)發(fā)。網(wǎng)絡(luò)的可靠性由匯聚層的路由協(xié)議提供保證。</p><p>　　4.1．VLAN設(shè)計(jì)規(guī)范</p><p>　　公司內(nèi)的局域網(wǎng)進(jìn)行VLAN劃分,可以減少網(wǎng)絡(luò)內(nèi)的廣播數(shù)據(jù)

99、包,提高網(wǎng)絡(luò)運(yùn)行效率;可以區(qū)分不同的應(yīng)用和用戶,方便集團(tuán)的管理與維護(hù).</p><p>　　4.2 冗余電源 Cisco6509系列以太網(wǎng)交換機(jī)提供了RPS電源備份接口，可以對(duì)設(shè)備提供一對(duì)一的電源備份和保護(hù)，也可以以一路直流電源對(duì)多臺(tái)支持RPS接口的設(shè)備進(jìn)行備份和保護(hù)。 4.3 生成樹（STP/RSTP/MSTP） Cisco6509系列以太網(wǎng)交換機(jī)支持STP/RSTP/MSTP生成樹協(xié)議。 生成樹

100、協(xié)議主要用來建立和維護(hù)局域網(wǎng)的拓?fù)?，消除循環(huán)連接導(dǎo)致的網(wǎng)絡(luò)廣播風(fēng)暴，并且提供網(wǎng)絡(luò)的拓?fù)涞娜哂鄠浞莨δ?，平時(shí)作為備份的路徑被阻塞，當(dāng)主用路徑網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時(shí)，能夠及時(shí)調(diào)整端口狀態(tài)，調(diào)整網(wǎng)絡(luò)拓?fù)洹?生成樹協(xié)議的工作原理：網(wǎng)絡(luò)中的橋接設(shè)備根據(jù)設(shè)定的優(yōu)先值和MAC地址，確定最優(yōu)先的設(shè)備為網(wǎng)絡(luò)的根橋，根橋向外定時(shí)發(fā)送Config BPDU報(bào)文，每個(gè)收到該報(bào)文的交換機(jī)將報(bào)文內(nèi)容根據(jù)自身的配置和所掌握的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行更新下發(fā)到其他端口，當(dāng)

101、一個(gè)交換機(jī)從兩個(gè)或兩個(gè)以上端口接收到Config BPDU的時(shí)候就表明網(wǎng)絡(luò)中存在循環(huán)，保留其中一個(gè)端口為轉(zhuǎn)發(fā)狀態(tài)，設(shè)置其余端口為阻塞狀態(tài)。 除了支持傳統(tǒng)的生成樹協(xié)議外，Cisco6509系列以太網(wǎng)交換機(jī)還支持IEEE 802.1</p><p>　　公司園區(qū)網(wǎng)的IP地址規(guī)范中規(guī)定：網(wǎng)關(guān)的地址統(tǒng)一使用子網(wǎng)的最后一個(gè)可用地址。啟用HSRP協(xié)議之后，這個(gè)地址就是HSRP的虛擬地址。</p><

102、;p>　　在成對(duì)的兩臺(tái)匯聚層多層交換機(jī)上，具體的HSRP配置規(guī)范如下：</p><p>　　1． 接口的IP地址：在第一臺(tái)多層交換機(jī)上，某個(gè)VLAN虛擬接口的IP地址是子網(wǎng)的最后第三個(gè)可用地址，在第二臺(tái)多層交換機(jī)上，某個(gè)VLAN虛擬接口的IP地址是子網(wǎng)的最后第二個(gè)可用地址。</p><p>　　2．熱備份組號(hào)：熱備份組號(hào)與接口的VLAN號(hào)相同。</p><p>

103、;　　3．熱備份地址：熱備份地址是子網(wǎng)的最后一個(gè)可用地址。</p><p>　　4．熱備份優(yōu)先級(jí)：在主用的多層交換機(jī)了，某個(gè)VLAN虛擬接口的熱備份優(yōu)先級(jí)是120。并且主用的匯聚層交換機(jī)配置占先權(quán)。</p><p>　　4.6 等價(jià)路由（ECMP） 除了從設(shè)備級(jí)支持三層轉(zhuǎn)發(fā)容錯(cuò)協(xié)議VRRP之外，Cisco6509系列以太網(wǎng)路由交換機(jī)還支持等價(jià)路由（ECMP）。等價(jià)路由即為到達(dá)同一個(gè)

104、目的IP或者目的網(wǎng)段存在多條Cost值相等的不同路由路徑，當(dāng)設(shè)備支持等價(jià)路由時(shí)，發(fā)往該目的IP或者目的網(wǎng)段的三層轉(zhuǎn)發(fā)流量就可以通過不同的路徑分擔(dān)，實(shí)現(xiàn)網(wǎng)絡(luò)的負(fù)載均衡，并在其中某些路徑出現(xiàn)故障時(shí)，由其它路徑代替完成轉(zhuǎn)發(fā)處理，實(shí)現(xiàn)路由冗余備份功能。 不僅從軟件上，而且從硬件上也支持等價(jià)路由是Cisco6509系列以太網(wǎng)路由交換機(jī)與業(yè)界類似產(chǎn)品相比顯著的優(yōu)點(diǎn)。以前部分路由交換機(jī)雖然也宣稱支持等價(jià)路由，但實(shí)際上只是從軟件上支持，對(duì)軟件轉(zhuǎn)發(fā)

105、的報(bào)文可以使用等價(jià)路由，但對(duì)于由硬件直接轉(zhuǎn)發(fā)的報(bào)文，則只能從一條固定路徑轉(zhuǎn)發(fā)。而Cisco6509系列以太網(wǎng)路由交換機(jī)從硬件上也實(shí)現(xiàn)了等價(jià)路由的支持，真正實(shí)現(xiàn)了硬件三層轉(zhuǎn)發(fā)流量的負(fù)載分擔(dān)與路由冗余備份。 Cisco6509系列以太網(wǎng)路由交換機(jī)最大支持4條等價(jià)路由，并且不論RIP、OSPF等路由協(xié)議產(chǎn)生的路由，還是靜態(tài)配置路由，不論是網(wǎng)段路由還是主機(jī)路由，甚至缺省路由，都可以支持</p><p><b

106、>　　4.8 VPN</b></p><p>　　Cisco6509系列以太網(wǎng)路由交換機(jī)支持VPN,VPN（虛擬專網(wǎng)）是利用公共網(wǎng)絡(luò)資源(如公用電信網(wǎng))為客戶組建專用網(wǎng)的一種技術(shù)，它通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行封包和加密傳輸，在公網(wǎng)上傳輸私有數(shù)據(jù)，達(dá)到私有網(wǎng)絡(luò)的安全級(jí)別，從而利用公網(wǎng)構(gòu)筑專網(wǎng)（即VPN）。它是一種邏輯上的專用網(wǎng)絡(luò)，向用戶提供專用網(wǎng)絡(luò)所具有的功能，但本身卻不是一個(gè)獨(dú)立的物理網(wǎng)絡(luò)。</

107、p><p><b>　　總 結(jié)</b></p><p>　　需要說明的是，一個(gè)完整的企業(yè)網(wǎng)網(wǎng)絡(luò)系統(tǒng)不僅只包含上述的設(shè)備或系統(tǒng)，還包括像入侵檢測(cè)系統(tǒng)等其它的系統(tǒng)組成部分。限于知識(shí)水平，在此就不再寫了。由于企業(yè)網(wǎng)功能齊全，技術(shù)含量高，接觸面廣，在網(wǎng)絡(luò)設(shè)計(jì)、規(guī)劃和建設(shè)中都非常復(fù)雜，在論述中不可能面面具到，同時(shí)也由于本人的知識(shí)水平有限，文中的不足和錯(cuò)誤在所難免，敬請(qǐng)各位老師多多指

108、點(diǎn)和更正。</p><p><b>　　主要參考文獻(xiàn)資料:</b></p><p>　　張立云主編：《計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)教程》清華大學(xué)出版社，2003年4月第一版</p><p>　　Cisco System：《思科網(wǎng)絡(luò)技術(shù)學(xué)院教程》（第一，二學(xué)期）人民郵電出版社，2004年7月第一版</p><p>　　Cisco Sys

109、tem：《思科網(wǎng)絡(luò)技術(shù)學(xué)院教程》（第三，四學(xué)期）人民郵電出版社，2004年7月第一版</p><p>　　Karen Webb主編：《組建Cisco多層交換網(wǎng)絡(luò)》人民郵電出版社，2002年9月第五版</p><p>　　來自INTERNET上的相關(guān)網(wǎng)頁(yè)</p><p><b>　　致 謝</b></p><p>　　本設(shè)