大型企業(yè)網(wǎng)絡(luò)規(guī)劃畢業(yè)設(shè)計(jì)

1、<p>　　大型企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)</p><p><b>　　摘 要</b></p><p>　　迅速發(fā)展的Internet正在對(duì)全世界的信息產(chǎn)業(yè)帶來(lái)巨大的變革和深遠(yuǎn)的影響。市場(chǎng)的全球化競(jìng)爭(zhēng)已成為趨勢(shì)。對(duì)于大型企業(yè)來(lái)說(shuō)，在調(diào)整發(fā)展戰(zhàn)略時(shí)，必須考慮到市場(chǎng)的全球競(jìng)爭(zhēng)戰(zhàn)略，而這一切也將以信息化平臺(tái)為基礎(chǔ)，借助計(jì)算機(jī)網(wǎng)絡(luò)原理及網(wǎng)絡(luò)規(guī)劃技術(shù)，以網(wǎng)絡(luò)通暢為保證。&l

2、t;/p><p>　　企業(yè)內(nèi)部網(wǎng)（Intranet）是國(guó)際互連網(wǎng)（Internet）技術(shù)在企業(yè)內(nèi)部或封閉的用戶群內(nèi)的應(yīng)用。Intranet是使用Internet技術(shù),特別是TCP/IP協(xié)議而建成的企業(yè)內(nèi)部網(wǎng)絡(luò)。這種技術(shù)允許不同計(jì)算機(jī)平臺(tái)進(jìn)行互通,且不用考慮其位置。也就是所說(shuō)的用戶可以對(duì)任何一臺(tái)進(jìn)行訪問(wèn)或從任何一臺(tái)計(jì)算機(jī)進(jìn)行訪問(wèn)。</p><p>　　本文從企業(yè)網(wǎng)絡(luò)需求開(kāi)始分析，根據(jù)現(xiàn)階段cis

3、co公司主流網(wǎng)絡(luò)設(shè)備進(jìn)行選材,規(guī)劃最適用于目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),建設(shè)合理的網(wǎng)絡(luò)設(shè)計(jì)方案。本課題實(shí)施部分由GNS3模擬器來(lái)搭建網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，利用cisco設(shè)備操作系統(tǒng)unzip-c2691-advsecurityk9-mz.124-11.T2作為拓?fù)鋬?nèi)所有設(shè)備核心IOS，然后用SecureCRT進(jìn)行路由器交換機(jī)的相關(guān)配置，并測(cè)試其結(jié)果最終驗(yàn)證網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì)符合大型企業(yè)的需求。</p><p>　　關(guān)鍵詞：企業(yè)網(wǎng)絡(luò)，

4、拓?fù)浣Y(jié)構(gòu)，冗余，路由，交換</p><p>　　Large Enterprise Network Planning and Design</p><p><b>　　Abstract</b></p><p>　　The rapid development of the Internet is all over the world informa

5、tion industry of enormous change and far-reaching consequences. Market competition has become the trend of globalization. For large enterprises, in adjusting the development strategy, must take into account the market

6、9;s global competitiveness strategy, and all this information platform will also be based on the principle of the use of computer networks and network planning technology to the network in order to ensure patency. </p

7、><p>　　Intranet is an international Internet technology in the enterprise or within a closed user group applications. Intranet is the use of Internet technologies, especially TCP / IP protocol and the completio

8、n of the enterprise internal network. This technology allows interoperability of different computer platforms, and do not have to consider its position. That is what the user can visit any or from any computer access. &l

9、t;/p><p>　　From the start the whole enterprise class network needs analysis, based on the mainstream stage cisco network equipment company selection, with the goal to build the most suitable network topology, d

10、esigned with network technology. As part of this implementation to build the simulator GNS3 network topology, the use of cisco device operating systems unzip-c2691-advsecurityk9-mz.124-11.T2 for all equipment within the

11、core topology IOS, routers and switches using SecureCRT for the configuration, an</p><p>　　Keywords：Enterprise networks, Topology, Redundancy, Routing, Switching</p><p><b>　　目錄</b>&l

12、t;/p><p><b>　　第1章 緒論1</b></p><p><b>　　1.1研究背景1</b></p><p>　　1.2目的和意義2</p><p>　　第2章 關(guān)鍵的網(wǎng)絡(luò)技術(shù)原理3</p><p>　　2.1 大型企業(yè)網(wǎng)絡(luò)的定位3</p>

13、<p>　　2.2 關(guān)鍵技術(shù)研究3</p><p>　　2.2.1路由技術(shù)3</p><p>　　2.2.2交換技術(shù)4</p><p>　　2.2.3 遠(yuǎn)程訪問(wèn)技術(shù)4</p><p>　　2.2.4 VLAN4</p><p>　　2.2.5 DHCP5</p><p>　

14、　2.2.6 GRE5</p><p>　　2.2.7 VPN6</p><p>　　2.2.8 PVST6</p><p>　　2.2.9 HSRP7</p><p>　　2.2.10 AAA認(rèn)證7</p><p>　　第3章 大型企業(yè)網(wǎng)絡(luò)需求分析9</p><p>　　3.1 案

15、例分析9</p><p>　　3.2 大型企業(yè)網(wǎng)絡(luò)分析11</p><p>　　3.2.1 寬帶性能需求11</p><p>　　3.2.2 穩(wěn)定可靠需求11</p><p>　　3.2.3 服務(wù)質(zhì)量需求12</p><p>　　3.2.4 網(wǎng)絡(luò)安全需求12</p><p>　　3.

16、2.5 應(yīng)用服務(wù)需求12</p><p>　　3.3 本課題系統(tǒng)需求分析13</p><p>　　第4章 網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)14</p><p>　　4.1 大型企業(yè)網(wǎng)絡(luò)拓?fù)鋱D14</p><p>　　4.2 VLAN及IP地址的規(guī)劃14</p><p>　　4.3 關(guān)鍵網(wǎng)絡(luò)設(shè)備及數(shù)量15</p>

17、<p>　　4.4 關(guān)鍵網(wǎng)絡(luò)設(shè)備介紹16</p><p>　　4.5網(wǎng)絡(luò)設(shè)備配置18</p><p>　　4.5.1 基礎(chǔ)配置18</p><p>　　4.5.2 使用VTP19</p><p>　　4.5.3 劃分VLAN21</p><p>　　4.5.4 交換鏈路封裝22</p>

18、;<p>　　4.5.5 PVST技術(shù)23</p><p>　　4.5.6 PVST的三個(gè)FAST23</p><p>　　4.5.7 DHCP24</p><p>　　4.5.8 HSRP26</p><p>　　4.5.9 根防護(hù)27</p><p>　　4.5.10 路由協(xié)議27<

19、/p><p>　　4.5.11 GRE-VPN29</p><p>　　4.5.12 AAA服務(wù)器31</p><p>　　4.5.13 PBR 20M專線31</p><p>　　4.5.14 網(wǎng)管控制32</p><p>　　4.5.15其他配置33</p><p>　　4.6 施工管

20、理34</p><p>　　4.6.1 施工前準(zhǔn)備34</p><p>　　4.6.2 設(shè)備及材料34</p><p>　　4.6.3 施工過(guò)程管理34</p><p>　　4.6.4 施工完成后質(zhì)量的檢查和驗(yàn)收34</p><p>　　4.6.5 施工步驟35</p><p>　　

21、第5章 網(wǎng)絡(luò)效果驗(yàn)證36</p><p>　　5.1 關(guān)鍵三層設(shè)備路由表36</p><p>　　5.1.1 接入路由器R1路由表36</p><p>　　5.1.2 核心層交換機(jī)HX1路由表37</p><p>　　5.1.3 匯聚層交換機(jī)FB1路由表38</p><p>　　5.2網(wǎng)絡(luò)連通性驗(yàn)證39&l

22、t;/p><p>　　5.2.1 本部接入層交換機(jī)SW1訪問(wèn)服務(wù)器39</p><p>　　5.2.2 外地分公司R4訪問(wèn)服務(wù)器39</p><p>　　5.2.3 外地分公司SW10訪問(wèn)本部接入交換機(jī)39</p><p>　　5.3 VPN效果驗(yàn)證40</p><p>　　第6章 結(jié)束語(yǔ)41</p>

23、<p><b>　　致謝42</b></p><p><b>　　參考文獻(xiàn)43</b></p><p><b>　　附錄44</b></p><p><b>　　第1章 緒論</b></p><p><b>　　1.1研究背景

24、</b></p><p>　　今天，迅速發(fā)展的Internet正在對(duì)全世界的信息產(chǎn)業(yè)帶來(lái)巨大的變革和深遠(yuǎn)的影響。市場(chǎng)的全球化競(jìng)爭(zhēng)已成為趨勢(shì)。21世紀(jì)的中國(guó)正在向市場(chǎng)多元化、全球化的方向發(fā)展。對(duì)于大型企業(yè)來(lái)說(shuō)，在調(diào)整發(fā)展戰(zhàn)略時(shí)，必須考慮到市場(chǎng)的全球競(jìng)爭(zhēng)戰(zhàn)略，而這一切也將以信息化平臺(tái)為基礎(chǔ)，借助計(jì)算機(jī)網(wǎng)絡(luò)原理及網(wǎng)絡(luò)規(guī)劃技術(shù)，以網(wǎng)絡(luò)通暢為保證。國(guó)內(nèi)越來(lái)越多的企業(yè)也已經(jīng)或正在考慮使用Internet/Intr

25、anet技術(shù),以建設(shè)企業(yè)規(guī)劃化的信息處理系統(tǒng)。因?yàn)楝F(xiàn)代企業(yè)的信息大多都來(lái)自于互連網(wǎng)，通過(guò)網(wǎng)絡(luò)，企業(yè)可以更快速的接收到來(lái)自全球的市場(chǎng)信息；通過(guò)Internet與外部世界交換信息，企業(yè)規(guī)劃者可以更快地對(duì)企業(yè)作出正確的宏觀調(diào)控與決策，以適應(yīng)市場(chǎng)趨勢(shì)。企業(yè)與全世界聯(lián)系起來(lái),極大地提高了信息收集的能力和效率。</p><p>　　隨著Intranet技術(shù)的不斷發(fā)展,計(jì)算機(jī)已經(jīng)逐漸應(yīng)用到企業(yè)中的各個(gè)關(guān)鍵部分,極大的提高了企業(yè)

26、的工作效率。對(duì)于規(guī)模較大的企業(yè)來(lái)說(shuō)，這一點(diǎn)尤為重要。</p><p>　　而有些大型企業(yè)根據(jù)其自身性質(zhì)等對(duì)于網(wǎng)絡(luò)有著更多的需求。比如中國(guó)電信、中國(guó)網(wǎng)通、中國(guó)銀行，它們對(duì)網(wǎng)絡(luò)有一點(diǎn)十分重要的需求，那就是網(wǎng)路通路，流量不可斷。因?yàn)槿袊?guó)大部分的金融和通信都經(jīng)過(guò)這些企業(yè)，他們的網(wǎng)絡(luò)的穩(wěn)定性直接關(guān)系到國(guó)家的政治經(jīng)濟(jì)基礎(chǔ)等各個(gè)方面。所以對(duì)于這些大型企業(yè)的網(wǎng)絡(luò)設(shè)計(jì)必須考慮到流量等細(xì)節(jié)問(wèn)題。</p><p&

27、gt;　　當(dāng)今中國(guó)網(wǎng)絡(luò)的另一個(gè)重大問(wèn)題就是安全。由于中國(guó)的網(wǎng)絡(luò)發(fā)展較晚，網(wǎng)絡(luò)的安全沒(méi)有作到非常完善。而且很多早期起用的網(wǎng)絡(luò)無(wú)論從結(jié)構(gòu)還是技術(shù)上都有很多設(shè)計(jì)不合理的問(wèn)題，這也導(dǎo)致了網(wǎng)絡(luò)的安全性差。在企業(yè)的某些關(guān)鍵部門（如財(cái)務(wù)科等），如果有不法分子利用網(wǎng)絡(luò)中的漏洞修改或者竊取商業(yè)機(jī)密文件，也會(huì)對(duì)企業(yè)自身造成不可挽回的甚至是毀滅性的危害。</p><p>　　當(dāng)然，企業(yè)也會(huì)對(duì)一些細(xì)節(jié)問(wèn)題提出要求。比如市場(chǎng)部門可以上網(wǎng)查

28、閱資料而技術(shù)部門不可；或者從周一上午九點(diǎn)到周五下午五點(diǎn)可以上網(wǎng)，而其他時(shí)間段網(wǎng)絡(luò)無(wú)流量；再或者高層領(lǐng)導(dǎo)組可以監(jiān)控財(cái)務(wù)部門的檔案文件而其他部門則沒(méi)有這樣的權(quán)限。這些都是網(wǎng)絡(luò)設(shè)計(jì)者需要考慮的問(wèn)題。</p><p><b>　　1.2目的和意義</b></p><p>　　企業(yè)內(nèi)部網(wǎng)（Intranet）是國(guó)際互連網(wǎng)（Internet）技術(shù)在企業(yè)內(nèi)部或封閉的用戶群內(nèi)的應(yīng)用。

29、簡(jiǎn)單地說(shuō),Intranet是使用Internet技術(shù),特別是TCP/IP協(xié)議而建成的企業(yè)內(nèi)部網(wǎng)絡(luò)。這種技術(shù)允許不同計(jì)算機(jī)平臺(tái)進(jìn)行互通,且不用考慮其位置。也就是所說(shuō)的用戶可以對(duì)任何一臺(tái)進(jìn)行訪問(wèn)或從任何一臺(tái)計(jì)算機(jī)進(jìn)行訪問(wèn)[1]。</p><p>　　基于這種種的現(xiàn)實(shí)問(wèn)題，企業(yè)必須從企業(yè)局域網(wǎng)的概念及相關(guān)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)入手，詳細(xì)地設(shè)計(jì)企業(yè)網(wǎng)建設(shè)的實(shí)施方案及建設(shè)規(guī)劃,以達(dá)到先進(jìn)、安全、實(shí)用、可靠的目標(biāo).對(duì)該企業(yè)的組網(wǎng)需求

30、進(jìn)行分析，比較各種組網(wǎng)技術(shù)，從實(shí)用角度論述局域網(wǎng)主干網(wǎng)選擇，綜合布線，各種設(shè)備選擇，網(wǎng)絡(luò)安全，網(wǎng)絡(luò)管理等方面。</p><p>　　我們的網(wǎng)絡(luò)要具有一定的靈活性。當(dāng)企業(yè)發(fā)展到一定規(guī)模,企業(yè)在外地設(shè)有許多分支機(jī)構(gòu)。這時(shí),為加快企業(yè)內(nèi)部的信息流通,企業(yè)需要將總部和各分支機(jī)構(gòu)連接起來(lái)。遠(yuǎn)程企業(yè)對(duì)網(wǎng)絡(luò)的需求是：通過(guò)internet接入, 在整個(gè)公司實(shí)現(xiàn)數(shù)據(jù)快速傳輸、辦公自動(dòng)化,最終實(shí)現(xiàn)企業(yè)無(wú)紙化辦公；企業(yè)擁有自己的ip地

31、址和域名,在公司主機(jī)上建立網(wǎng)站,向外界宣傳企業(yè)形象、公司各項(xiàng)業(yè)務(wù)、活動(dòng)及最新成果等；以ip電話方式節(jié)省企業(yè)大部分的長(zhǎng)途話費(fèi),亦可通過(guò)ip網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)視頻會(huì)議；整個(gè)公司需要一個(gè)運(yùn)行可靠、費(fèi)用合理的通信系統(tǒng)；實(shí)現(xiàn)telnet等網(wǎng)絡(luò)服務(wù)；建立一個(gè)功能全面、使用方便的管理信息系統(tǒng),使總公司與各地分支機(jī)構(gòu)之間的業(yè)務(wù)審批電子化,各項(xiàng)工作能夠協(xié)同完成。實(shí)現(xiàn)結(jié)構(gòu)化布線、網(wǎng)絡(luò)的設(shè)計(jì)與規(guī)劃、資源共享、專線接入Internet、WWW服務(wù)器、軟硬件配置、劃分企

32、業(yè)子網(wǎng)等技術(shù)實(shí)施。</p><p>　　第2章 關(guān)鍵的網(wǎng)絡(luò)技術(shù)原理 </p><p>　　2.1 大型企業(yè)網(wǎng)絡(luò)的定位</p><p>　　企業(yè)網(wǎng)是指覆蓋企業(yè)和企業(yè)與分公司之間的網(wǎng)絡(luò)，為企業(yè)的多種通信協(xié)議提供綜合傳送平臺(tái)的網(wǎng)絡(luò)。企業(yè)網(wǎng)應(yīng)以多業(yè)務(wù)光傳輸網(wǎng)絡(luò)為基礎(chǔ)，實(shí)現(xiàn)語(yǔ)音、數(shù)據(jù)、圖像、多媒體等的接入。</p><p>　　企業(yè)網(wǎng)是企業(yè)內(nèi)各部門的橋

33、接區(qū)，主要完成接入網(wǎng)中的子公司和工作人員與企業(yè)骨干業(yè)務(wù)網(wǎng)絡(luò)之間全方位的互通。因此電子商務(wù)公司企業(yè)網(wǎng)的定位應(yīng)是為企業(yè)網(wǎng)應(yīng)用提供多業(yè)務(wù)傳送的綜合解決方案。</p><p>　　2.2 關(guān)鍵技術(shù)研究 </p><p>　　本設(shè)計(jì)方案采用的是全部Cisco的網(wǎng)絡(luò)設(shè)備，全網(wǎng)使用統(tǒng)一廠家得設(shè)備以實(shí)現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。還有就是一些網(wǎng)絡(luò)協(xié)議都是一些廠家私有的，如EIGRP、HDLC等。

34、因?yàn)槊總€(gè)廠家都有屬于自己的EIGRP、HDLC所以不同廠家的設(shè)備就不能使用這些網(wǎng)絡(luò)協(xié)議。</p><p><b>　　2.2.1路由技術(shù)</b></p><p>　　路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時(shí)選擇最佳路徑的能力。除了可以完成主要的路由任務(wù)，利用訪問(wèn)控制列表，路由器還可以用來(lái)完成以路由器為

35、中心的流量控制和過(guò)濾功能。在本工程案例設(shè)計(jì)中，內(nèi)網(wǎng)用戶不僅通過(guò)路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過(guò)3層交換機(jī)上的路由功能進(jìn)行數(shù)據(jù)包交換。</p><p>　　路由器是外網(wǎng)進(jìn)入企業(yè)網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問(wèn)控制列表（Access Control List，ACL）是保護(hù)內(nèi)網(wǎng)安全的有效手段。一個(gè)設(shè)計(jì)良好的訪問(wèn)控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資

36、的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時(shí)的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對(duì)路由器的訪問(wèn)控制列表進(jìn)行縝密的設(shè)計(jì)，來(lái)對(duì)企業(yè)內(nèi)網(wǎng)包括防火墻本身實(shí)施保護(hù)[2]。</p><p><b>　　2.2.2交換技術(shù)</b></p><p>　　傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層?，F(xiàn)代交

37、換技術(shù)還實(shí)現(xiàn)了第3層交換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了企業(yè)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要?，F(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN）的概念。VLAN將廣播域限制在單個(gè)VLAN內(nèi)部，減小了各VLAN間主機(jī)的廣播通信對(duì)其他VLAN的影響。在VLAN間需要通信的時(shí)候，可以利用VLAN間路由技術(shù)來(lái)實(shí)現(xiàn)。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時(shí)，可以使用VL

38、AN中繼協(xié)議（Vlan Trunking Protocol，VTP）簡(jiǎn)化管理，它只需在單獨(dú)一臺(tái)交換機(jī)上定義所有VLAN。然后通過(guò)VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。為了簡(jiǎn)化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，在企業(yè)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)行的。企業(yè)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個(gè)層次：接入層、分布層、核心層。接入層為所有的終端用戶提供一個(gè)接入點(diǎn)；分布層除了負(fù)責(zé)將訪問(wèn)

39、層交換機(jī)進(jìn)行匯集外，還為整個(gè)交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能；核</p><p>　　2.2.3 遠(yuǎn)程訪問(wèn)技術(shù)</p><p>　　遠(yuǎn)程訪問(wèn)也是企業(yè)網(wǎng)絡(luò)必須提供的服務(wù)之一。它可以為家庭辦公用戶和出差在外的員工提供移動(dòng)接入服務(wù)。遠(yuǎn)程訪問(wèn)有三種可選的服務(wù)類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同，花費(fèi)也不相同。企業(yè)用戶可以根據(jù)所需帶寬、本地服務(wù)可用性、花費(fèi)等因

40、素綜合考慮，選擇一種適合企業(yè)自身需要的廣域網(wǎng)接入方案。在本工程案例設(shè)計(jì)中，分別采用專線連接的VPN和PBR兩種方式實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)需求[4]?！?lt;/p><p>　　2.2.4 VLAN</p><p>　　VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。IEEE于1999年

41、頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。 </p><p>　　VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站無(wú)須被放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)

42、VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，即使是兩臺(tái)計(jì)算機(jī)有著同樣的網(wǎng)段，但是它們卻沒(méi)有相同的VLAN號(hào)，它們各自的廣播流也不會(huì)相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 </p><p>　　VLAN是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個(gè)工作組就

43、是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò)。 </p><p>　　既然VLAN隔離了廣播風(fēng)暴，同時(shí)也隔離了各個(gè)不同的VLAN之間的通訊，所以不同的VLAN之間的通訊是需要有路由來(lái)完成的[5]。</p><p>　　2.2.5 DHCP</p><p>　　DHCP 是 Dynamic Host Configuratio

44、n Protocol(動(dòng)態(tài)主機(jī)分配協(xié)議)縮寫(xiě)。它分為兩個(gè)部份：一個(gè)是服務(wù)器端，而另一個(gè)是客戶端。所有的 IP 網(wǎng)絡(luò)設(shè)定數(shù)據(jù)都由 DHCP 服務(wù)器集中管理，并負(fù)責(zé)處理客戶端的 DHCP 要求；而客戶端則會(huì)使用從服務(wù)器分配下來(lái)的IP環(huán)境數(shù)據(jù)。比較起 BOOTP ，DHCP 透過(guò) "租約" 的概念，有效且動(dòng)態(tài)的分配客戶端的 TCP/IP 設(shè)定，而且，作為兼容考慮，DHCP 的分配形式 首先，必須至少有一臺(tái) DHCP 工作在

45、網(wǎng)絡(luò)上面，它會(huì)監(jiān)聽(tīng)網(wǎng)絡(luò)的 DHCP 請(qǐng)求，并與客戶端磋商 TCP/IP 的設(shè)定環(huán)境。</p><p>　　DHCP是BOOTP的擴(kuò)展，是基于C/S模式的，它提供了一種動(dòng)態(tài)指定IP地址和配置參數(shù)的機(jī)制。這主要用于大型網(wǎng)絡(luò)環(huán)境和配置比較困難的地方。DHCP服務(wù)器自動(dòng)為客戶機(jī)指定IP地址，指定的配置參數(shù)有些和IP協(xié)議并不相關(guān)，但這必沒(méi)有關(guān)系，它的配置參數(shù)使得網(wǎng)絡(luò)上的計(jì)算機(jī)通信變得方便而容易實(shí)現(xiàn)了。DHCP使IP地址的可

46、以租用，對(duì)于許多擁有許多臺(tái)計(jì)算機(jī)的大型網(wǎng)絡(luò)來(lái)說(shuō)，每臺(tái)計(jì)算機(jī)擁有一個(gè)IP地址有時(shí)候可能是不必要的。租期從1分鐘到100年不定，當(dāng)租期到了的時(shí)候，服務(wù)器可以把這個(gè)IP地址分配給別的機(jī)器使用。客戶也可以請(qǐng)求使用自己喜歡的網(wǎng)絡(luò)地址及相應(yīng)的配置參數(shù)[6]。</p><p>　　2.2.6 GRE </p><p>　　通用路由封裝（GRE: Generic Routing Encapsulation

47、）定義了在任意一種網(wǎng)絡(luò)層協(xié)議上封裝任意一個(gè)其它網(wǎng)絡(luò)層協(xié)議的協(xié)議。</p><p>　　在大多數(shù)常規(guī)情況下，系統(tǒng)擁有一個(gè)有效載荷（或負(fù)載）包，需要將它封裝并發(fā)送至某個(gè)目的地。首先將有效載荷封裝在一個(gè) GRE 包中，然后將此 GRE 包封裝在其它某協(xié)議中并進(jìn)行轉(zhuǎn)發(fā)。此外發(fā)協(xié)議即為發(fā)送協(xié)議。當(dāng) IPv4 被作為 GRE 有效載荷傳輸時(shí)，協(xié)議類型字段必須被設(shè)置為 0x800。當(dāng)一個(gè)隧道終點(diǎn)拆封此含有 IPv4 包作為有效

48、載荷的 GRE 包時(shí)，IPv4 包頭中的目的地址必須用來(lái)轉(zhuǎn)發(fā)包，并且需要減少有效載荷包的 TTL。值得注意的是，在轉(zhuǎn)發(fā)這樣一個(gè)包時(shí)，如果有效載荷包的目的地址就是包的封裝器（也就是隧道另一端），就會(huì)出現(xiàn)回路現(xiàn)象。在此情形下，必須丟棄該包。當(dāng) GRE 包被封裝在 IPv4 中時(shí)，需要使用 IPv4 協(xié)議 47。</p><p>　　GRE 下的網(wǎng)絡(luò)安全與常規(guī)的 IPv4 網(wǎng)絡(luò)安全是較為相似的，GRE 下的路由采用 I

49、Pv4 原本使用的路由，但路由過(guò)濾保持不變 。包過(guò)濾要求防火墻檢查 GRE 包，或者在 GRE 隧道終點(diǎn)完成過(guò)濾過(guò)程。在那些這被看作是安全問(wèn)題的環(huán)境下，可以在防火墻上終止隧道[4]。</p><p><b>　　2.2.7 VPN</b></p><p>　　VPN的英文全稱是“Virtual Private Network”，翻譯過(guò)來(lái)就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，

50、虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來(lái)的企業(yè)內(nèi)部專線。它可以通過(guò)特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請(qǐng)專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購(gòu)買路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機(jī)，防火墻設(shè)備或WINDOWS2000等軟件里也都支持VPN

51、功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。</p><p>　　虛擬專用網(wǎng)（VPN）被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)

52、現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)[4]。</p><p>　　2.2.8 PVST</p><p>　　PVST: Per-VLAN Spanning Tree（每VLAN生成樹(shù)） </p><p>　　PVST是解決在虛擬局域網(wǎng)上處理生成樹(shù)的CISCO特有解決方案．PVST為每個(gè)虛擬

53、局域網(wǎng)運(yùn)行單獨(dú)的生成樹(shù)實(shí)例．一般情況下PVST要求在交換機(jī)之間的中繼鏈路上運(yùn)行CISCO的ISL。 </p><p>　　每VLAN生成樹(shù) (PVST)為每個(gè)在網(wǎng)絡(luò)中配置的VLAN維護(hù)一個(gè)生成樹(shù)實(shí)例。它使用ISL中繼和允許一個(gè)VLAN中繼當(dāng)被其它VLANs的阻塞時(shí)將一些VLANs轉(zhuǎn)發(fā)。盡管PVST對(duì)待每個(gè)VLAN作為一個(gè)單獨(dú)的網(wǎng)絡(luò)，它有能力(在第2層)通過(guò)一些在主干和其它在另一個(gè)主干中的不引起生成樹(shù)循環(huán)的Vlan

54、s中的一些VLANs來(lái)負(fù)載平衡通信[7]。</p><p>　　2.2.9 HSRP</p><p>　　HSRP：熱備份路由器協(xié)議（HSRP：Hot Standby Router Protocol）</p><p>　　熱備份路由器協(xié)議（HSRP）的設(shè)計(jì)目標(biāo)是支持特定情況下 IP 流量失敗轉(zhuǎn)移不會(huì)引起混亂、并允許主機(jī)使用單路由器，以及即使在實(shí)際第一跳路由器使用失敗

55、的情形下仍能維護(hù)路由器間的連通性。換句話說(shuō)，當(dāng)源主機(jī)不能動(dòng)態(tài)知道第一跳路由器的 IP 地址時(shí)，HSRP 協(xié)議能夠保護(hù)第一跳路由器不出故障。該協(xié)議中含有多種路由器，對(duì)應(yīng)一個(gè)虛擬路由器。HSRP 協(xié)議只支持一個(gè)路由器代表虛擬路由器實(shí)現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過(guò)程。終端主機(jī)將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬路由器上。</p><p>　　負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動(dòng)路由器（Active Router）。一旦主動(dòng)路由器出現(xiàn)故障，HSR

56、P 將激活備份路由器（Standby Routers）取代主動(dòng)路由器。HSRP 協(xié)議提供了一種決定使用主動(dòng)路由器還是備份路由器的機(jī)制，并指定一個(gè)虛擬的 IP 地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。如果主動(dòng)路由器出現(xiàn)故障，備份路由器（Standby Routers）承接主動(dòng)路由器的所有任務(wù)，并且不會(huì)導(dǎo)致主機(jī)連通中斷現(xiàn)象。</p><p>　　HSRP 運(yùn)行在 UDP 上，采用端口號(hào)1985。路由器轉(zhuǎn)發(fā)協(xié)議數(shù)據(jù)包的源地址使

57、用的是實(shí)際 IP 地址，而并非虛擬地址，正是基于這一點(diǎn)，HSRP 路由器間能相互識(shí)別[10]。</p><p>　　2.2.10 AAA認(rèn)證</p><p>　　AAA-----身份驗(yàn)證 (Authentication)、授權(quán) (Authorization)和統(tǒng)計(jì) (Accounting)Cisco開(kāi)發(fā)的一個(gè)提供網(wǎng)絡(luò)安全的系統(tǒng)。</p><p>　　AAA ，認(rèn)證(

58、Authentication)：驗(yàn)證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù);授權(quán)(Authorization)：依據(jù)認(rèn)證結(jié)果開(kāi)放網(wǎng)絡(luò)服務(wù)給用戶;計(jì)帳(Accounting)：記錄用戶對(duì)各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計(jì)費(fèi)系統(tǒng)。整個(gè)系統(tǒng)在網(wǎng)絡(luò)管理與安全問(wèn)題中十分有效。</p><p>　　首先，認(rèn)證部分提供了對(duì)用戶的認(rèn)證。整個(gè)認(rèn)證通常是采用用戶輸入用戶名與密碼來(lái)進(jìn)行權(quán)限審核。認(rèn)證的原理是每個(gè)用戶都有一個(gè)唯一的權(quán)限獲得標(biāo)準(zhǔn)。由AA

59、A服務(wù)器將用戶的標(biāo)準(zhǔn)同數(shù)據(jù)庫(kù)中每個(gè)用戶的標(biāo)準(zhǔn)一一核對(duì)。如果符合，那么對(duì)用戶認(rèn)證通過(guò)。如果不符合，則拒絕提供網(wǎng)絡(luò)連接。</p><p>　　接下來(lái)，用戶還要通過(guò)授權(quán)來(lái)獲得操作相應(yīng)任務(wù)的權(quán)限。比如，登陸系統(tǒng)后，用戶可能會(huì)執(zhí)行一些命令來(lái)進(jìn)行操作，這時(shí)，授權(quán)過(guò)程會(huì)檢測(cè)用戶是否擁有執(zhí)行這些命令的權(quán)限。簡(jiǎn)單而言，授權(quán)過(guò)程是一系列強(qiáng)迫策略的組合，包括：確定活動(dòng)的種類或質(zhì)量、資源或者用戶被允許的服務(wù)有哪些。授權(quán)過(guò)程發(fā)生在認(rèn)證上下

60、文中。一旦用戶通過(guò)了認(rèn)證，他們也就被授予了相應(yīng)的權(quán)限?！∽詈笠徊绞菐簦@一過(guò)程將會(huì)計(jì)算用戶在連接過(guò)程中消耗的資源數(shù)目。這些資源包括連接時(shí)間或者用戶在連接過(guò)程中的收發(fā)流量等等?？梢愿鶕?jù)連接過(guò)程的統(tǒng)計(jì)日志以及用戶信息，還有授權(quán)控制、賬單、趨勢(shì)分析、資源利用以及容量計(jì)劃活動(dòng)來(lái)執(zhí)行帳戶過(guò)程。</p><p>　　驗(yàn)證授權(quán)和帳戶由AAA服務(wù)器來(lái)提供。AAA服務(wù)器是一個(gè)能夠提供這三項(xiàng)服務(wù)的程序。當(dāng)前同AAA服務(wù)器協(xié)作的網(wǎng)絡(luò)

61、連接服務(wù)器接口是“遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù) (RADIUS)”[10]。</p><p>　　第3章 大型企業(yè)網(wǎng)絡(luò)需求分析</p><p><b>　　3.1 案例分析</b></p><p>　　Cisco公司已經(jīng)成功地在中國(guó)實(shí)踐了前述的教育網(wǎng)絡(luò)設(shè)計(jì)思想，特別是河南省教育科研寬帶IP骨干網(wǎng)絡(luò)全部采用了先進(jìn)的高速寬帶 光傳輸網(wǎng)絡(luò)技術(shù)，已經(jīng)成為這

62、類新型教育網(wǎng)絡(luò)的典范。</p><p>　　河南省教育科研寬帶IP網(wǎng)絡(luò)全面采用Cisco公司的AVVID網(wǎng)絡(luò)體系結(jié)構(gòu)，一期工程總共采用了10臺(tái)Cisco GSR 12016和GSR12012，近20臺(tái)Cisco OSR 6509，其他各類交換機(jī)和路由器數(shù)百臺(tái)。該網(wǎng)絡(luò)集成了遠(yuǎn)程教學(xué)等多種多媒體應(yīng)用，特別是采用了550部Cisco的新型7940 IP電話和4套CallManager組建了我國(guó)第一個(gè)省級(jí)IP Telep

63、hony網(wǎng)絡(luò)，并結(jié)合Cisco視頻產(chǎn)品IPTV系列建立了許多新的教育模式。這一網(wǎng)絡(luò)基于分層設(shè)計(jì)分為三層：骨干傳輸網(wǎng)、城域網(wǎng)、接入網(wǎng)，采用三級(jí)管理模式：省網(wǎng)絡(luò)中心、地市網(wǎng)絡(luò)中心、校園網(wǎng)，連接省內(nèi)各大中專院校、各中小學(xué)校、各級(jí)教育主管部門和其他教育科研單位，未來(lái)更將延伸到每一個(gè)需要教育培訓(xùn)的公眾面前。</p><p>　　骨干網(wǎng)絡(luò)由分布在17個(gè)地市的核心節(jié)點(diǎn)組成，與河南省廣電合作利用其光纖資源，全省形成環(huán)網(wǎng)狀冗余拓?fù)?/p>

64、結(jié)構(gòu)。在各個(gè)核心節(jié)點(diǎn)分別配置Cisco公司在國(guó)際上多次獲獎(jiǎng)的千兆位路由交換機(jī) GSR 12000系列中的 12016和12012作為核心傳輸設(shè)備，節(jié)點(diǎn)間使用裸光纖配合POS 技術(shù)實(shí)現(xiàn)OC-482.48G鏈路互連并采用HSRP技術(shù)，以提供物理層、鏈路層及IP層的冗余連接能力。根據(jù)各地市的具體情況，可以建設(shè)城域教育網(wǎng)絡(luò)也可以在核心節(jié)點(diǎn)配置匯接設(shè)備直接解決接入網(wǎng)絡(luò)的接入問(wèn)題，匯接設(shè)備可選用Cisco 12012或6509，采用POS、DPT或

65、千兆以太技術(shù)，傳輸速率可達(dá)1～2.48Gbps，具體設(shè)計(jì)可以非常靈活。</p><p>　　基于Cisco IOS的多功能網(wǎng)絡(luò)平臺(tái)：網(wǎng)絡(luò)中采用的網(wǎng)絡(luò)設(shè)備均采用Cisco IOS (Internetworking Operation System互聯(lián)網(wǎng)絡(luò)操作系統(tǒng))為核心功能軟件。Cisco IOS集成了路由技術(shù)，局域網(wǎng)交換技術(shù)，ATM交換技術(shù)，各種移動(dòng)遠(yuǎn)程訪問(wèn)接入技術(shù)，廣域網(wǎng)互連技術(shù)等超過(guò)15,000個(gè)網(wǎng)絡(luò)互連功能

66、，已經(jīng)成為網(wǎng)絡(luò)互連的標(biāo)準(zhǔn)。CiscoIOS系統(tǒng)支持今天的絕大多數(shù)網(wǎng)絡(luò)應(yīng)用系統(tǒng)，同時(shí)Cisco IOS系統(tǒng)可提供從數(shù)據(jù)鏈路層到應(yīng)用層的多種網(wǎng)絡(luò)服務(wù)，如：L2/L3VPN(虛擬專網(wǎng))，VPDN(虛擬撥號(hào)專網(wǎng))，以及對(duì)MPLS技術(shù)的支持允許提供各種網(wǎng)絡(luò)增值服務(wù)。</p><p>　　豐富的網(wǎng)絡(luò)安全機(jī)制：網(wǎng)絡(luò)設(shè)計(jì)是按照標(biāo)準(zhǔn)ISP(國(guó)際互聯(lián)網(wǎng)絡(luò)服務(wù)商)方式設(shè)計(jì)的IP交換網(wǎng)絡(luò)平臺(tái)。整個(gè)網(wǎng)絡(luò)與國(guó)際互聯(lián)網(wǎng)絡(luò)平滑連接，因此網(wǎng)絡(luò)的安

67、全性尤其重要。方案中采用Cisco IOS多種安全策略： </p><p>　　1) 網(wǎng)絡(luò)路由信息交換安全策略：包含路由器的認(rèn)證，路由信息過(guò)濾，多種動(dòng)態(tài)路由協(xié)議信息交換控制等。 </p><p>　　2) 網(wǎng)絡(luò)服務(wù)安全控制：包含標(biāo)準(zhǔn)訪問(wèn)控制列表(ACL)，擴(kuò)展的訪問(wèn)控制列表(Extend ACL)，動(dòng)態(tài)訪問(wèn)控制列表(Refliex ACL)，按數(shù)據(jù)流的訪問(wèn)統(tǒng)計(jì)和監(jiān)控(Netflow)，網(wǎng)絡(luò)

68、資源訪問(wèn)用戶認(rèn)證/授權(quán)和記帳(lock & key)。 </p><p>　　3) 基于網(wǎng)絡(luò)層的加密：網(wǎng)絡(luò)設(shè)備可提供基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)層加密技術(shù)：IPSec ，可以提供高可靠的網(wǎng)絡(luò)訪問(wèn)安全機(jī)制。 </p><p>　　4) 網(wǎng)絡(luò)攻擊防范：Cisco IOS可通過(guò)對(duì)網(wǎng)絡(luò)訪問(wèn)連接的監(jiān)控和分析，發(fā)現(xiàn)可能出現(xiàn)的網(wǎng)絡(luò)攻擊，如Sync Attack 等，并采取相應(yīng)的的控制手段保護(hù)網(wǎng)絡(luò)資源。 <

69、;/p><p>　　5) 網(wǎng)絡(luò)系統(tǒng)告警(Syslog)：網(wǎng)絡(luò)中采用的設(shè)備可對(duì)監(jiān)控到的網(wǎng)絡(luò)攻擊和各種非正常訪問(wèn)發(fā)出告警，提醒網(wǎng)絡(luò)管理人員及時(shí)發(fā)現(xiàn)問(wèn)題并采取相應(yīng)安全策略。 </p><p>　　設(shè)備安全：網(wǎng)絡(luò)的各種安全策略的實(shí)現(xiàn)均基于網(wǎng)絡(luò)設(shè)備的安全設(shè)置，這使得網(wǎng)絡(luò)設(shè)備本身的安全控制顯得尤其重要。網(wǎng)絡(luò)設(shè)備本身具有多種訪問(wèn)控制安全策略： </p><p>　　1) 多級(jí)訪問(wèn)控制

70、密碼：網(wǎng)絡(luò)中各設(shè)備訪問(wèn)控制可通過(guò)15級(jí)不同的訪問(wèn)權(quán)限，網(wǎng)管人員可設(shè)置不同的訪問(wèn)權(quán)限。如：普通操作員只能監(jiān)視設(shè)備運(yùn)行，不可進(jìn)行其他操作；高級(jí)的管理員可做故障診斷，不可修改設(shè)備配置文件；系統(tǒng)管理員可具有所有功能權(quán)限等。 </p><p>　　2) 網(wǎng)絡(luò)管理系統(tǒng)的安全控制：由于本網(wǎng)絡(luò)中網(wǎng)絡(luò)管理系統(tǒng)采用標(biāo)準(zhǔn)的SNMP網(wǎng)絡(luò)管理技術(shù)，因此網(wǎng)絡(luò)設(shè)備的網(wǎng)管可能出現(xiàn)漏洞。本網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備可提供多種保護(hù)手段，如：特別的網(wǎng)管訪問(wèn)密碼

71、；由設(shè)備指定特別的網(wǎng)絡(luò)管理工作站系統(tǒng)等。 </p><p>　　易管理維護(hù)的網(wǎng)絡(luò)：由于采用了IP骨干技術(shù)、DHCP技術(shù)和MPLS技術(shù)，使得網(wǎng)絡(luò)的管理簡(jiǎn)單化。這可以使網(wǎng)絡(luò)管理人員大為精簡(jiǎn)，節(jié)約運(yùn)行開(kāi)銷。網(wǎng)絡(luò)管理人員只需在規(guī)劃好的網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)提供各個(gè)接入網(wǎng)絡(luò)的接入控制即能實(shí)行各種網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)系統(tǒng)的管理工作重點(diǎn)變?yōu)閷?duì)于骨干網(wǎng)絡(luò)的運(yùn)行實(shí)施系統(tǒng)監(jiān)控。由于采用的網(wǎng)絡(luò)設(shè)備自身已具備較為完善的網(wǎng)絡(luò)管理、監(jiān)控和維護(hù)功能，因此采用建

72、立一個(gè)管理工具齊全的集中的網(wǎng)絡(luò)管理中心即可實(shí)現(xiàn)全網(wǎng)絡(luò)的系統(tǒng)管理和監(jiān)控[11]。</p><p>　　3.2 大型企業(yè)網(wǎng)絡(luò)分析</p><p>　　為適應(yīng)企業(yè)信息化的發(fā)展，滿足日益增長(zhǎng)的通信需求和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，今天的企業(yè)網(wǎng)絡(luò)建設(shè)比傳統(tǒng)企業(yè)網(wǎng)絡(luò)建設(shè)有更高的要求，本文將通過(guò)對(duì)如下幾個(gè)方面的需求分析來(lái)規(guī)劃出一套最適用于目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。</p><p>　　3.2.1

73、寬帶性能需求</p><p>　　現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強(qiáng)大的性能，以滿足用戶日益增長(zhǎng)的通信需求。隨著計(jì)算機(jī)技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個(gè)多業(yè)務(wù)承載平臺(tái)。不僅要繼續(xù)承載企業(yè)的辦公自動(dòng)化，Web瀏覽等簡(jiǎn)單的數(shù)據(jù)業(yè)務(wù)，還要承載涉及企業(yè)生產(chǎn)運(yùn)營(yíng)的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及帶寬和時(shí)延都要求很高的IP電話、視頻會(huì)議等多媒體業(yè)務(wù)。因此，數(shù)據(jù)流量將大大增加，尤其是對(duì)核心

74、網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了前所未有的要求。另外，隨著千兆位端口成本的持續(xù)下降，千兆位到桌面的應(yīng)用會(huì)在不久的將來(lái)成為企業(yè)網(wǎng)的主流。從2004年全球交換機(jī)市場(chǎng)分析可以看到，增長(zhǎng)最迅速的就是10 Gbps級(jí)別機(jī)箱式交換機(jī)，可見(jiàn)，萬(wàn)兆位的大規(guī)模應(yīng)用已經(jīng)真正開(kāi)始。所以，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)不能再用百兆位到桌面千兆位骨干來(lái)作為建網(wǎng)的標(biāo)準(zhǔn)，核心層及骨干層必須具有萬(wàn)兆位級(jí)帶寬和處理性能，才能構(gòu)筑一個(gè)暢通無(wú)阻的"高品質(zhì)"大型企業(yè)網(wǎng)，從而適

75、應(yīng)網(wǎng)絡(luò)規(guī)模擴(kuò)大，業(yè)務(wù)量日益增長(zhǎng)的需要[7]。</p><p>　　3.2.2 穩(wěn)定可靠需求</p><p>　　現(xiàn)代大型企業(yè)的網(wǎng)絡(luò)應(yīng)具有更全面的可靠性設(shè)計(jì)，以實(shí)現(xiàn)網(wǎng)絡(luò)通信的實(shí)時(shí)暢通，保障企業(yè)生產(chǎn)運(yùn)營(yíng)的正常進(jìn)行。隨著企業(yè)各種業(yè)務(wù)應(yīng)用逐漸轉(zhuǎn)移到計(jì)算機(jī)網(wǎng)絡(luò)上來(lái)，網(wǎng)絡(luò)通信的無(wú)中斷運(yùn)行已經(jīng)成為保證企業(yè)正常生產(chǎn)運(yùn)營(yíng)的關(guān)鍵?，F(xiàn)代大型企業(yè)網(wǎng)絡(luò)在可靠性設(shè)計(jì)方面主要應(yīng)從以下3個(gè)方面考慮。</p>

76、<p>　　設(shè)備的可靠性設(shè)計(jì)：不僅要考察網(wǎng)絡(luò)設(shè)備是否實(shí)現(xiàn)了關(guān)鍵部件的冗余備份，還要從網(wǎng)絡(luò)設(shè)備整體設(shè)計(jì)架構(gòu)、處理引擎種類等多方面去考察。</p><p>　　業(yè)務(wù)的可靠性設(shè)計(jì)：網(wǎng)絡(luò)設(shè)備在故障倒換過(guò)程中，是否對(duì)業(yè)務(wù)的正常運(yùn)行有影響。</p><p>　　鏈路的可靠性設(shè)計(jì)：以太網(wǎng)的鏈路安全來(lái)自于多路徑選擇，所以在企業(yè)網(wǎng)絡(luò)建設(shè)時(shí)，要考慮網(wǎng)絡(luò)設(shè)備是否能夠提供有效的鏈路自愈手段，以及快速重

77、路由協(xié)議的支持[7]。</p><p>　　3.2.3 服務(wù)質(zhì)量需求</p><p>　　現(xiàn)代大型企業(yè)網(wǎng)絡(luò)需要提供完善的端到端QoS保障，以滿足企業(yè)網(wǎng)多業(yè)務(wù)承載的需求。大型企業(yè)網(wǎng)絡(luò)承載的業(yè)務(wù)不斷增多，單純的提高帶寬并不能夠有效地保障數(shù)據(jù)交換的暢通無(wú)阻，所以今天的大型企業(yè)網(wǎng)絡(luò)建設(shè)必須要考慮到網(wǎng)絡(luò)應(yīng)能夠智能識(shí)別應(yīng)用事件的緊急和重要程度，如視頻、音頻、數(shù)據(jù)流（MIS、ERP、OA、備份數(shù)據(jù)）。同

78、時(shí)能夠調(diào)度網(wǎng)絡(luò)中的資源，保證重要和緊急業(yè)務(wù)的帶寬、時(shí)延、優(yōu)先級(jí)和無(wú)阻塞的傳送，實(shí)現(xiàn)對(duì)業(yè)務(wù)的合理調(diào)度才是一個(gè)大型企業(yè)網(wǎng)絡(luò)提供"高品質(zhì)"服務(wù)的保障[7]。</p><p>　　3.2.4 網(wǎng)絡(luò)安全需求</p><p>　　現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)安全解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟(jì)損失。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全措施主要是通過(guò)部署防火墻、IDS、殺毒軟件，

79、以及配合交換機(jī)或路由器的ACL來(lái)實(shí)現(xiàn)對(duì)病毒和黑客攻擊的防御，但實(shí)踐證明這些被動(dòng)的防御措施并不能有效地解決企業(yè)網(wǎng)絡(luò)的安全問(wèn)題。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運(yùn)營(yíng)的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接入控制，病毒報(bào)文識(shí)別到主動(dòng)抑制的一系列安全控制手段，這樣才能有效地保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行[7]。</p><p>　　3.2.5 應(yīng)用服務(wù)需求</p><p>　　現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)

80、具備更智能的網(wǎng)絡(luò)管理解決方案，以適應(yīng)網(wǎng)絡(luò)規(guī)模日益擴(kuò)大，維護(hù)工作更加復(fù)雜的需要。當(dāng)前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為"以應(yīng)用為中心"的信息基礎(chǔ)平臺(tái)，網(wǎng)絡(luò)管理能力的要求已經(jīng)上升到了業(yè)務(wù)層次，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的智能已經(jīng)不能有效支持網(wǎng)絡(luò)管理需求的發(fā)展。比如，網(wǎng)絡(luò)調(diào)試期間最消耗人力與物力的線纜故障定位工作，網(wǎng)絡(luò)運(yùn)行期間對(duì)不同用戶靈活的服務(wù)策略部署、訪問(wèn)權(quán)限控制、以及網(wǎng)絡(luò)日志審計(jì)和病毒控制能力等方面的管理工作，由于受網(wǎng)絡(luò)設(shè)備功能本身的限制，都還

81、屬于費(fèi)時(shí)、費(fèi)力的任務(wù)。所以現(xiàn)代的大型企業(yè)網(wǎng)絡(luò)迫切需要網(wǎng)絡(luò)設(shè)備具備支撐"以應(yīng)用為中心"的智能網(wǎng)絡(luò)運(yùn)營(yíng)維護(hù)的能力，并能夠有一套智能化的管理軟件，將網(wǎng)絡(luò)管理人員從繁重的工作中解脫出來(lái)[7]。</p><p>　　3.3 本課題系統(tǒng)需求分析</p><p>　　本課題設(shè)計(jì)一個(gè)大型的企業(yè)網(wǎng)絡(luò)，網(wǎng)絡(luò)聯(lián)接的建筑物有三個(gè)：兩個(gè)辦公樓和一個(gè)行政樓。</p><p>

82、;　　管理部、財(cái)務(wù)部和網(wǎng)絡(luò)部在行政樓中；</p><p><b>　　市場(chǎng)部在辦公樓A；</b></p><p>　　銷售部和人力資源部在辦公樓B。</p><p>　　所以我們已建筑物的中心也就是行政樓的三層為網(wǎng)絡(luò)的中心，用光纖連接辦公樓A、B，構(gòu)成電子商務(wù)公司網(wǎng)絡(luò)光纖主干。</p><p>　　辦公樓2個(gè)，行政樓1個(gè)

83、</p><p>　　1．劃分VLAN （見(jiàn)表1）</p><p>　　2．VTP 動(dòng)態(tài)學(xué)習(xí)VLAN</p><p>　　3．PVST(選根，二層冗余)</p><p>　　4．SVI（VLAN間路由）</p><p>　　5．HSRP（三層冗余）</p><p><b>　　6．DH

84、CP</b></p><p><b>　　7．根防護(hù)</b></p><p><b>　　8．3個(gè)FAST</b></p><p><b>　　9．靜態(tài)路由</b></p><p>　　10．SITE-TO-SITE VPN（連接分公司，固定IP）</p>

85、;<p><b>　　11．AAA</b></p><p>　　12．PBR（20M專線）</p><p><b>　　13．網(wǎng)管控制</b></p><p>　　第4章 網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)</p><p>　　4.1 大型企業(yè)網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　圖 4-

86、1 網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　4.2 VLAN及IP地址的規(guī)劃</p><p>　　表 1 VLAN劃分</p><p>　　路由器R1與電信連接的接口F0/0IP為202.100.1.10/24，與HX1連接的接口F1/1IP為192.168.1.1/24，與HX2連接的接口F1/2IP為192.168.2.1/24,與R2連接的接口F1/3IP為192.

87、168.3.1/24。</p><p>　　路由器R2與網(wǎng)通連接的接口F0/0IP為202.100.3.10/24，與HX1連接的接口F1/2IP為192.168.4.1/24，與HX2連接的接口F1/1IP為192.168.5.1/24,與R2連接的接口F1/3IP為192.168.3.2/24。</p><p>　　路由器R3與HX1連接的接口F1/1IP為192.168.6.1/24

88、，與HX2連接的接口F1/2IP為192.168.7.1/24，與server連接的接口F1/0IP為192.168.8.1/24 。</p><p>　　路由器R4上與電信連接的接口F1/0IP為202.100.2.10/24，與網(wǎng)通連接的接口F1/1IP為202.100.4.10/24，與SW11連接的接口F1/2IP為10.1.24.1/22。</p><p>　　交換機(jī)HX1與R1

89、相連的接口F1/0IP為192.168.1.2/24,與R2相連的接口F1/1IP為192.168.4.2/24,與R3相連的接口F1/2IP為192.168.6.2/24。</p><p>　　交換機(jī)HX2與R1相連的接口F1/0IP為192.168.2.2/24,與R2相連的接口F1/1IP為192.168.5.2/24,與R3相連的接口F1/2IP為192.168.7.2/24。</p>&l

90、t;p>　　4.3 關(guān)鍵網(wǎng)絡(luò)設(shè)備及數(shù)量</p><p>　　核心層交換機(jī)：Cisco Catalyst 6509 交換機(jī) 2臺(tái)</p><p>　　匯聚層交換機(jī)：Cisco Catalyst 4509 交換機(jī) 4臺(tái)</p><p>　　接入層交換機(jī)：Cisco Catalyst 2950 24口 交換機(jī) 100臺(tái)</p>

91、<p>　　接入路由器： Cisco 3500 路由器 4臺(tái)</p><p>　　4.4 關(guān)鍵網(wǎng)絡(luò)設(shè)備介紹</p><p>　　圖 8 Cisco 6509交換機(jī)</p><p>　　Catalyst 6509是帶有9個(gè)插槽的交換機(jī)機(jī)箱，它可以加兩個(gè)電源，可按需求配置不同功能類型的模塊（如防火墻模塊、入侵檢模塊、VPN 模

92、塊、SSL 加速模塊、網(wǎng)絡(luò)流量分析模塊等），更靈活應(yīng)用在不同需求的網(wǎng)絡(luò)設(shè)計(jì)平臺(tái)上，提高穩(wěn)定性及安全性。</p><p>　　首先，為Catalyst 6509核心交換機(jī)配備Cisco Catalyst 6500 Supervisor Engine 720模塊。Supervisor Engine 720支持Catalyst 6500系列的第三代模塊，能夠?yàn)槠髽I(yè)和電信運(yùn)營(yíng)商網(wǎng)絡(luò)提供先進(jìn)的IP服務(wù)，并提高端口密度，因而

93、非常適合部署在高性能的核心層、數(shù)據(jù)中心和城域網(wǎng)中。由于使用同一套接口、操作系統(tǒng)和管理工具，Catalyst 6500系列監(jiān)控引擎(Supervisor Engines)能提供操作一致性——可使用相同的備件，所有模塊都具有可以預(yù)測(cè)的性能和多種功能。增強(qiáng)型QOS機(jī)制、基于硬件的GRE隧道和NAT，以及由硬件加速的基于MPLS的高性能服務(wù)；支持基于用戶的Microflow監(jiān)管，對(duì)每個(gè)用戶實(shí)施服務(wù)等級(jí)協(xié)議；采用分布式轉(zhuǎn)發(fā)模式，提供高達(dá)200Mp

94、ps的硬件IPv6能力，可以順利過(guò)渡到Internet 2和其他支持3G和PDA的通信網(wǎng)絡(luò)；配備光纖通道接口模塊滿足光纖接入需求。加6500系列的防火墻服務(wù)模塊（FWSM）可以為大型企業(yè)和服務(wù)供應(yīng)商提供無(wú)以倫比的安全性、可靠性和性能。</p><p>　　Catalyst 6500系列和為企業(yè)網(wǎng)絡(luò)和服務(wù)供應(yīng)商網(wǎng)絡(luò)提供了一系列高性能多層交換解決方案。6500系列提供了廣泛的智能交換解決方案，使公司內(nèi)部網(wǎng)和Inter

95、net能夠支持多媒體、關(guān)鍵任務(wù)數(shù)據(jù)和語(yǔ)音應(yīng)用。6500系列交換機(jī)為園區(qū)網(wǎng)提供了高性能、多層交換的解決方案，專門為需要千兆擴(kuò)展、可用性高、多層交換的應(yīng)用環(huán)境設(shè)計(jì)，主要面向園區(qū)骨干連接等場(chǎng)合。</p><p>　　圖9 Cisco Catalyst 4500系列交換機(jī)</p><p>　　Cisco Catalyst 4500系列能夠?yàn)闊o(wú)阻礙的第2/3/4層交換提供集成式彈性，因而能進(jìn)一步加強(qiáng)

96、對(duì)融合網(wǎng)絡(luò)的控制（見(jiàn)圖9）?？捎眯愿叩娜诤险Z(yǔ)音/視頻/數(shù)據(jù)網(wǎng)絡(luò)能夠?yàn)檎诓渴鸹诨ヂ?lián)網(wǎng)企業(yè)應(yīng)用的企業(yè)和城域以太網(wǎng)客戶提供業(yè)務(wù)彈性。</p><p>　　作為新一代Cisco Catalyst 4000系列平臺(tái)，Cisco Catalyst 4500系列包括三種新型Cisco Catalyst 機(jī)箱：Cisco Catalyst 4507R（七個(gè)插槽）、Cisco Catalyst 4506（六個(gè)插槽）和Cisco

97、 Catalyst 4503（三個(gè)插槽）。Cisco Catalyst 4500系列中提供的集成式彈性增強(qiáng)包括1＋1超級(jí)引擎冗余（只對(duì)Cisco Catalyst 4507R）、集成式IP電話電源、基于軟件的容錯(cuò)以及1+1電源冗余。硬件和軟件中的集成式冗余性能夠縮短停機(jī)時(shí)間，從而提高生產(chǎn)率、利潤(rùn)率和客戶成功率。</p><p>　　作為Cisco AVVID（集成語(yǔ)音、視頻和融合數(shù)據(jù)體系結(jié)構(gòu)）的關(guān)鍵組件，Cisc

98、o Catalyst 4500能夠通過(guò)智能網(wǎng)絡(luò)服務(wù)將控制擴(kuò)展到網(wǎng)絡(luò)邊緣，包括高級(jí)服務(wù)質(zhì)量（QoS）、可預(yù)測(cè)性能、高級(jí)安全性、全面管理和集成式彈性。由于Cisco Catalyst 4500系列提供與Cisco Catalyst 4000系列線卡和超級(jí)引擎的兼容性，因而能夠在融合網(wǎng)絡(luò)中延長(zhǎng)Cisco Catalyst 4000系列的部署窗口。由于這種方式能減少重復(fù)運(yùn)作開(kāi)支，降低擁有成本，因而能提高投資回報(bào)（ROI）。</p>

99、<p>　　圖10 Cisco Catalyst 3550系列智能以太網(wǎng)交換機(jī)</p><p>　　Cisco Catalyst 3550系列智能以太網(wǎng)交換機(jī)是一個(gè)可堆疊多層交換機(jī)系列，可通過(guò)高可用性、服務(wù)質(zhì)量（QoS）和安全性來(lái)改進(jìn)網(wǎng)絡(luò)運(yùn)行（見(jiàn)圖10）。憑借一系列快速以太網(wǎng)和千兆位以太網(wǎng)配置，Cisco Catalyst 3550系列堪稱一款適用于企業(yè)和城域接入應(yīng)用的強(qiáng)大選擇。</p>

100、<p>　　圖11 Cisco Catalyst 2950系列智能以太網(wǎng)交換機(jī)</p><p>　　Cisco Catalyst 2950系列智能以太網(wǎng)交換機(jī)是一個(gè)固定配置、可堆疊的獨(dú)立設(shè)備系列，提供了線速快速以太網(wǎng)和千兆位以太網(wǎng)連接（見(jiàn)圖11）。這是一款最廉價(jià)的Cisco交換產(chǎn)品系列，為中型網(wǎng)絡(luò)和城域接入應(yīng)用提供了智能服務(wù)。作為思科最為廉價(jià)的交換產(chǎn)品系列，Cisco Catalyst 2950系列在

101、網(wǎng)絡(luò)或城域接入邊緣實(shí)現(xiàn)了智能服務(wù)。</p><p><b>　　4.5網(wǎng)絡(luò)設(shè)備配置</b></p><p>　　4.5.1 基礎(chǔ)配置</p><p>　　這里以接入層交換機(jī)SW1為例（見(jiàn)圖1）</p><p><b>　　圖1 接入層設(shè)備</b></p><p><b&

102、gt;　　Switch>en</b></p><p><b>　　進(jìn)入特權(quán)模式</b></p><p>　　Switch#conf t</p><p><b>　　進(jìn)入全局模式</b></p><p>　　Enter configuration commands, one per

103、line. End with CNTL/Z.</p><p>　　此注釋說(shuō)明在全局模式下直接按CNTL+Z可以進(jìn)入特權(quán)模式</p><p>　　Switch(config)#hostname SW1</p><p>　　修改路由器或者交換機(jī)的名字，方便管理</p><p>　　SW1(config)#no ip domain lookup

104、</p><p>　　關(guān)閉域名查詢 啟用與禁止DNS服務(wù)器，在交換機(jī)默認(rèn)配置的情況下，當(dāng)我們輸入一條錯(cuò)誤的交換機(jī)命令時(shí)，交換機(jī)會(huì)嘗試將其廣播給網(wǎng)絡(luò)上的DNS服務(wù)器并將其解析成對(duì)應(yīng)的IP地址。利用命令no ip domain lookup，可以禁用DNS服務(wù)器，可以減少輸入錯(cuò)誤命令的等待時(shí)間</p><p>　　SW1(config)#line console 0</p>&

105、lt;p>　　進(jìn)入CONCOLE 0口線程下，通過(guò)CONSOLE線串口直接控制交換機(jī)或路由器接口</p><p>　　SW1(config-line)#no exec-timeout </p><p>　　關(guān)閉超時(shí)時(shí)間（真實(shí)工程中不能用此命令）</p><p>　　SW1(config-line)#logging synchronous</p>

106、<p>　　在線路上同步輸出 用戶在為交換機(jī)配置命令時(shí)，配置命令會(huì)被交換機(jī)產(chǎn)生的內(nèi)部信息隔開(kāi)或打亂以 使用命令logging synchronous設(shè)置交換機(jī)在下一行CLI提示符后復(fù)制用戶的輸入。</p><p>　　以上配置為路由器和交換機(jī)的基本配置，有方便管理防止出錯(cuò)的作用，所以每臺(tái)設(shè)備上都要配置。</p><p>　　4.5.2 使用VTP</p><

107、p>　　從提高效率的角度出發(fā)，在企業(yè)網(wǎng)實(shí)現(xiàn)實(shí)例中使用了VTP技術(shù)。將分布層FB1設(shè)置成為VTP服務(wù)器，其他交換機(jī)設(shè)置成為VTP客戶機(jī)。這里接入層交換機(jī)SW1將通過(guò)VTP獲得在分布層交換機(jī)FB1中定義的所有VLAN的信息。（見(jiàn)圖2）</p><p>　　圖2 分布層設(shè)備FB1</p><p>　　FB1#vlan database </p><p>　　特權(quán)模式

108、下進(jìn)入VLAN設(shè)置模式(小凡模擬器特有)</p><p>　　FB1(vlan)#vtp domain cisco</p><p><b>　　定義VTP域名</b></p><p>　　Changing VTP domain name from NULL to cisco</p><p>　　FB1(vlan)#vtp