【正文】 OSPF、IP 組播、IPX 路由。 匯聚路由交換機(jī)CISCO WSC356024TSS的性能特性及技術(shù)指標(biāo)如下：? 交換機(jī)類(lèi)：企業(yè)級(jí)交換機(jī)? 應(yīng)用層級(jí)：三層? 接口介質(zhì)：10/100 BASET/ 100FX? 傳輸速率：10Mbps/100Mbps? 端口數(shù)量：24? 背板帶寬：32Gbps? VLAN支持：支持? 網(wǎng)管功能：SNMP, CLI, Web, 管理接入層主要用來(lái)支撐客戶端機(jī)器對(duì)服務(wù)器的訪問(wèn)，主要是指接入路由器、交換機(jī)、終端訪問(wèn)用戶。它利用多種接入技術(shù)，迅速覆蓋至用戶節(jié)點(diǎn)，將不同地理分布的用戶快速有效地接入到信息網(wǎng)的匯聚。對(duì)上連接至匯聚層和核心層，對(duì)下進(jìn)行帶寬和業(yè)務(wù)分配，實(shí)現(xiàn)用戶的接入。 根據(jù)我們所借鑒的項(xiàng)目設(shè)計(jì)經(jīng)驗(yàn)，匯聚層節(jié)點(diǎn)與接入層節(jié)點(diǎn)可考慮采用星形連接，每個(gè)接入層節(jié)點(diǎn)與兩個(gè)匯聚層節(jié)點(diǎn)連接。當(dāng)接入層采用其它結(jié)構(gòu)（如環(huán)行）連接到匯聚層時(shí)，建議提供兩條不同路由通道。 根據(jù)接入層處在網(wǎng)絡(luò)系統(tǒng)中所起的作用以及用戶的實(shí)際需求，本方案中接入層部分由CISCO公司的WSC291824TCC交換機(jī)構(gòu)成。其主要功能是為該區(qū)域下屬各部門(mén)的網(wǎng)絡(luò)用戶提供大量性?xún)r(jià)比極高的10/100 兆網(wǎng)絡(luò)接口，并與信息中心的核心交換機(jī)通過(guò) 1000 兆光纖鏈路互聯(lián)為接入的用戶提供高速上聯(lián)。接入層樓層交換機(jī)CISCO WSC291824TCC的性能特性及技術(shù)指標(biāo)情況如下：? 交換機(jī)類(lèi)：快速以太網(wǎng)交換機(jī)? 應(yīng)用層級(jí)：二層? 傳輸速率：10Mbps/100Mbps/1000M? 端口數(shù)量：24? 背板帶寬：16Gbps? VLAN支持：支持? 網(wǎng)管功能：Cisco IOS CLI,Web瀏? 包轉(zhuǎn)發(fā)率：? MAC地址：8K? 網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE ,IEEE 802? 端口結(jié)構(gòu)：非模塊化? 交換方式：存儲(chǔ)轉(zhuǎn)發(fā)? 產(chǎn)品內(nèi)存：64MB? 傳輸模式：支持全雙工? 網(wǎng)管支持：支持? 模塊化插：2如果網(wǎng)絡(luò)中只有一個(gè)路由器或路由交換機(jī)，不需要使用路由協(xié)議；只有當(dāng)網(wǎng)絡(luò)中具有多個(gè)路由器時(shí)，才有必要讓它們?nèi)ス蚕硇畔?。但如果僅有小型網(wǎng)絡(luò)，完全可以通過(guò)靜態(tài)路由手動(dòng)地更新路由表?，F(xiàn)使用較多的路由協(xié)議，主要以下幾種： （1）RIP RIP（Route information protocol，即路由信息協(xié)議）是基于 DV算法（距離向量算法）的內(nèi)部動(dòng)態(tài)路由協(xié)議。RIP 協(xié)議的標(biāo)準(zhǔn)主要有 RFC1058（版本 1）和 RFC1723（版本2）。 （2）OSPF OSPF（Open Shortest Path First，即最短路徑優(yōu)先協(xié)議）是一種基于鏈路狀態(tài)的內(nèi)部動(dòng)態(tài)路由協(xié)議。目前 OSPF 的主要標(biāo)準(zhǔn)是 RFC2328（版本 2）。完整的OSPF 功能包括支持廣播、NBMA、點(diǎn)到多點(diǎn)、點(diǎn)到點(diǎn)四種接口類(lèi)型，以及MD5 驗(yàn)證、區(qū)域劃分、區(qū)域間路由聚合、虛連接、STUB 區(qū)域等特性。 （3）ISIS ISIS（Intermediate System Intermediate System，中間系統(tǒng)到中間系統(tǒng)協(xié)議）是由國(guó)際標(biāo)準(zhǔn)化組織（ISO）制訂的路由協(xié)議，屬于開(kāi)放系統(tǒng)互聯(lián)協(xié)議簇。ISIS 對(duì)應(yīng)的標(biāo)準(zhǔn)是 ISO 10589 和 RFC1195。 在 IGP 路由協(xié)議的選擇上，盡量不要采用擴(kuò)展性差的（RIP）和廠家的私有路由協(xié)議（IGRP和 EIGRP），盡量采用 OSPF 或 ISIS。 對(duì)于 OSPF 和 ISIS 的選擇依據(jù)為：基本原理相同（基于鏈路狀態(tài)算法），OSPF 用于 IP， ISIS 用于 ISO 的 CLNP，也支持 IP（“集成 ISIS” ）；ISIS 結(jié)構(gòu)嚴(yán)謹(jǐn)，OSPF 更加靈活，OSPF協(xié)議是基于接口的，而ISIS 路由器只能屬于一個(gè) Area，并且不支持 NBMA 網(wǎng)絡(luò)； ISIS 占用網(wǎng)絡(luò)資源相對(duì)較少，支持網(wǎng)絡(luò)規(guī)模大于OSPF，在網(wǎng)絡(luò)相當(dāng)龐大時(shí)能體現(xiàn)出優(yōu)勢(shì)；一個(gè) IGP 域運(yùn)行的三層交換機(jī)及路由器的數(shù)量一般不會(huì)超過(guò)200 臺(tái)，因此從實(shí)際情況來(lái)看，運(yùn)行OSPF 和 ISIS 對(duì) IP 城域網(wǎng)/承載網(wǎng)的建設(shè)不會(huì)有差異；對(duì)于網(wǎng)絡(luò)的穩(wěn)定性、可擴(kuò)充性，兩種協(xié)議都能很好地支持；在大型 ISP 上，ISIS 與 OSPF 二者均獲得普遍應(yīng)用； 從 MPLS 草案及現(xiàn)實(shí)運(yùn)行來(lái)看，如果要運(yùn)行 MPLS 網(wǎng)絡(luò)的話，OSPF 經(jīng)常被選用做內(nèi)部 IGP，當(dāng)然 ISIS 也有，但是 MPLS 草案中認(rèn)為在 MPLS 環(huán)境中運(yùn)行 OSPF 更合適；使用 MPLS TE 的時(shí)候，采用 ISIS 擴(kuò)展的較多； 從目前很多廠商的設(shè)備來(lái)看，存在這樣一個(gè)問(wèn)題，不少?gòu)S商的中低端路由器及三層交換機(jī)不支持 ISIS，從這個(gè)角度講 OSPF 比 ISIS 有優(yōu)勢(shì)，所有的主流路由器及三層交換機(jī)都支持OSPF。 OSPF 路由協(xié)議相應(yīng)的配置策略為： ? AS內(nèi)部節(jié)點(diǎn)均運(yùn)行OSPFv2路由協(xié)議； ? 如果與別的IP網(wǎng)絡(luò)互通，建議配置EBGP路由協(xié)議，并且配置OSPF引入BGP路由； 為減少處理開(kāi)銷(xiāo)和網(wǎng)絡(luò)開(kāi)銷(xiāo)，可將網(wǎng)絡(luò)的主干部分劃分為 OSPF 主干區(qū)域（區(qū)域號(hào)為 0）， 在邊緣的支局子網(wǎng)配置成為OSPF 子區(qū)域，從而分散路由處理，減少網(wǎng)絡(luò)帶寬占用。通過(guò)配置區(qū)域，使 OSPF 可以分層次管理大型網(wǎng)絡(luò)，實(shí)現(xiàn)可擴(kuò)展性。使用 OSPF 協(xié)議必須考慮到骨干區(qū)域的連通性，即使某條鏈路斷掉后能保證骨干區(qū)域不會(huì)分離；另外，還需要考慮網(wǎng)絡(luò)邊緣層設(shè)備的動(dòng)蕩對(duì)于核心網(wǎng)絡(luò)的影響。 對(duì)于本次方案，根據(jù)初期階段實(shí)現(xiàn)目標(biāo)：實(shí)現(xiàn)信息點(diǎn)最優(yōu)連通，建議采用OSPF 路由協(xié)議使路由全網(wǎng)可達(dá)。具體設(shè)計(jì)如下： 核心交換機(jī)與匯聚交換機(jī)都為三層路由交換機(jī)，相互間使用 OSPF 路由協(xié)議，并運(yùn)行在 AREAR 0區(qū)域上。 核心交換機(jī)為三層交換機(jī)，與防火墻連接通過(guò)采用 IP 靜態(tài)路由的方式，防火墻通過(guò)配置缺省路由使網(wǎng)絡(luò)用戶對(duì)Internet進(jìn)行訪問(wèn)。 IP地址的設(shè)計(jì) IP地址規(guī)劃和分配原則（1）根據(jù)目前網(wǎng)絡(luò)結(jié)構(gòu)和以后擴(kuò)展，遵循以下原則進(jìn)行IP 地址分配。 u 唯一性：IP 地址必須唯一，一個(gè) IP 地址對(duì)應(yīng)一臺(tái)數(shù)據(jù)通訊設(shè)備； u 連續(xù)性：為同一網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于規(guī)劃，同時(shí)提高路由器尋徑效率； u 可管理性：地址的分配應(yīng)該有層次性，某個(gè)局部的變動(dòng)不影響網(wǎng)絡(luò)的其它部分； u 高效性：采用可變長(zhǎng)子網(wǎng)掩碼技術(shù)，要求采用支持可變長(zhǎng)子網(wǎng)掩碼技術(shù)的 TCP/IP 協(xié)議族； u 可匯聚性：方便路由匯總，縮減路由表?xiàng)l目，提高路由器處理效率。 u 可擴(kuò)展性：既要考慮到 IP 地址的使用現(xiàn)狀，又要考慮到未來(lái)信息網(wǎng)絡(luò)的發(fā)展，為各單位分配合理的地址空間，在網(wǎng)絡(luò)上盡可能少地做 NAT，減少網(wǎng)絡(luò)設(shè)備 CPU 處理負(fù)擔(dān)和加快網(wǎng)絡(luò)訪問(wèn)速度。 （2）業(yè)務(wù)地址的劃分可以按照兩個(gè)原則來(lái)分配： u 按照部門(mén)規(guī)劃，每個(gè)部門(mén)一個(gè)獨(dú)立的網(wǎng)段；這種方案適合業(yè)務(wù)種類(lèi)單一的情況，管理方便。 u 按照業(yè)務(wù)規(guī)劃，每種業(yè)務(wù)一個(gè)網(wǎng)段，所有的地市同一業(yè)務(wù)使用同一網(wǎng)段，這種方案適合業(yè)務(wù)之間互訪的控制。 網(wǎng)絡(luò)地址分配 IP 地址規(guī)劃和分配包括以下內(nèi)容： （1）設(shè)備及互連鏈路地址規(guī)劃與分配 （2）業(yè)務(wù)地址規(guī)劃與分配 （3）服務(wù)器地址規(guī)劃與分配 根據(jù)以上 IP 地址的劃分原則，本方案建議 IP 的設(shè)計(jì)如下：A段（行政樓、門(mén)衛(wèi)）： ~B段（生產(chǎn)車(chē)間、產(chǎn)區(qū)辦）：~C段（運(yùn)輸樓、工段辦）： ~ VLAN的設(shè)計(jì) VLAN的劃分的作用及原則VLAN（Virtual Local Area Network）是虛擬局域網(wǎng)的英文縮寫(xiě)，它最簡(jiǎn)明的描述就是可以實(shí)現(xiàn)將連接在同一個(gè)物理網(wǎng)絡(luò)上面的主機(jī)分組，使它們看起來(lái)就象連接在不同的網(wǎng)絡(luò)上一樣。我們可以通過(guò) VLAN 為網(wǎng)絡(luò)分段，各個(gè)網(wǎng)段可以共用同一套網(wǎng)絡(luò)設(shè)備，節(jié)約了網(wǎng)絡(luò)硬件的開(kāi)銷(xiāo)，同時(shí)在遷移中所需的工作量也大幅度降低了，從而降低了連網(wǎng)成本。在用戶的企業(yè)局域網(wǎng)系統(tǒng)中，我們建議基于IEEE 標(biāo)準(zhǔn)實(shí)現(xiàn) VLAN，在 VLAN 設(shè)計(jì)中，我們使用 VLAN 達(dá)到兩個(gè)目的： 第一，不同業(yè)務(wù)部門(mén)之間的隔離和通信控制； 第二，廣播范圍抑制。 VLAN 劃分我們建議根據(jù)各個(gè)辦公室的地理位置來(lái)劃分VLAN， 如果同一棟樓內(nèi)包含很多部門(mén)，而這些部門(mén)的職能和工作內(nèi)容又有很大的區(qū)別，我們就可以在樓內(nèi)按照部門(mén)來(lái)劃分VLAN。 另外，如果某個(gè)部門(mén)需要跨越很多建筑物，分布范圍比較廣，例如部門(mén)A 分布的很散，在很多交換機(jī)上都預(yù)留了部門(mén) A 的信息點(diǎn)，我們則可以按照交換機(jī)的位置來(lái)設(shè)置 VLAN，這樣，部門(mén)A就可能對(duì)應(yīng)多個(gè)VLAN，如果部門(mén)A所對(duì)應(yīng)的VLAN之間需要通信的話，我們可以通過(guò)VLAN間的路由來(lái)實(shí)現(xiàn)。這樣做的好處是：可以減少?gòu)V播數(shù)據(jù)包對(duì)網(wǎng)絡(luò)主干的影響。因?yàn)槿绻麑⒉块T(mén)A 全部劃分到一個(gè) VLAN 中，而這些 VLAN 又跨越了網(wǎng)絡(luò)主干，分布在眾多不同的交換機(jī)上，這樣如果有廣播包時(shí)，這些廣播包必然會(huì)在網(wǎng)絡(luò)的主干上傳輸，然后到達(dá)相應(yīng)的交換機(jī)上，也就占用了網(wǎng)絡(luò)主干的帶寬，容易造成其他業(yè)務(wù)的時(shí)延。 為了減少傳輸沖突，提高系統(tǒng)整體性能和網(wǎng)絡(luò)處理能力，另外，還考慮到網(wǎng)絡(luò)良好的管理性，易于維護(hù)和安全策略的實(shí)施，針對(duì)用戶網(wǎng)絡(luò)系統(tǒng)的實(shí)際情況，可以把功能（應(yīng)用）相近的設(shè)備群組劃分到同一VLAN，不同部門(mén)的設(shè)備劃分到不同VLAN 中去，這樣就能夠通過(guò)訪問(wèn)控制列表技術(shù)實(shí)施安全策略。限制未授權(quán)的用戶訪問(wèn)重要的服務(wù)器和數(shù)據(jù)庫(kù)。VLAN劃分舉例：VLAN用途命名規(guī)范表Vlan10財(cái)務(wù)部FINANCIALVlan11市場(chǎng)銷(xiāo)售部MARKETVlan12管理部MANAGING……………… VLAN 之間安全控制在用戶網(wǎng)絡(luò)系統(tǒng)中，由于在中心使用了三層核心交換機(jī)，因此所有的VLAN 之間的訪問(wèn)都需要通過(guò)三層核心交換機(jī)進(jìn)行，因此可以通過(guò)ACL（訪問(wèn)控制列表）控制VLAN之間的流量，這樣就可以允許高優(yōu)先級(jí)的VLAN段訪問(wèn)低優(yōu)先級(jí)的VLAN段，而低優(yōu)先級(jí)的VLAN 段不能訪問(wèn)或有限的訪問(wèn)高優(yōu)先級(jí) VLAN段。網(wǎng)絡(luò)管理系統(tǒng)時(shí)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)視、控制和維護(hù)管理，以提高網(wǎng)絡(luò)的有效性、利用率、安全性和可靠性。網(wǎng)絡(luò)管理系統(tǒng)由網(wǎng)管中心、網(wǎng)管單元、管理信息庫(kù)和網(wǎng)絡(luò)管理協(xié)議四部分組成。 網(wǎng)管中心是網(wǎng)管人員和管理信息系統(tǒng)間的接口，它將網(wǎng)管人員的命令轉(zhuǎn)換為對(duì)實(shí)際網(wǎng)元的監(jiān)視和控制。網(wǎng)管單元在每個(gè)節(jié)點(diǎn)執(zhí)行各項(xiàng)網(wǎng)絡(luò)管理任務(wù)，采集網(wǎng)絡(luò)資源信息，存儲(chǔ)本地相關(guān)數(shù)據(jù)并響應(yīng)網(wǎng)管人員命令。管理信息庫(kù)(MIB)存放各種網(wǎng)絡(luò)管理信息的特征參數(shù)和邏輯結(jié)構(gòu)。網(wǎng)絡(luò)管理協(xié)議按規(guī)約執(zhí)行網(wǎng)管人員與網(wǎng)管單元和管理信息庫(kù)之間的通信。 該企業(yè)網(wǎng)絡(luò)系統(tǒng)設(shè)一個(gè)網(wǎng)管中心，該中心設(shè)在行政樓機(jī)房，負(fù)責(zé)對(duì)全網(wǎng)進(jìn)行管理。該企業(yè)網(wǎng)絡(luò)用戶為對(duì)Internet進(jìn)行訪問(wèn)，而且為了保證其安全性，要求能夠訪問(wèn)Internet的用戶與不能訪問(wèn)Internet的用戶進(jìn)行完全的物理隔離，則需要另建立一套網(wǎng)絡(luò)系統(tǒng)(簡(jiǎn)稱(chēng)為外網(wǎng))。網(wǎng)絡(luò)用戶(即外網(wǎng)用戶) 通過(guò)外網(wǎng)布線系統(tǒng)接至各樓層的交換機(jī)，匯總到外網(wǎng)的主交換機(jī)后，接入到防火墻上，防火墻通過(guò) IP 地址轉(zhuǎn)換功能（NAT），將網(wǎng)絡(luò)用戶(即外網(wǎng)用戶)的私有 IP 地址轉(zhuǎn)換成Internet公網(wǎng) IP 地址，通過(guò)光電轉(zhuǎn)換器與電信相連的方式訪問(wèn)Internet，以使該企業(yè)網(wǎng)絡(luò)內(nèi)外網(wǎng)互相獨(dú)立，達(dá)到完全的物理隔離的目的。與外部網(wǎng)絡(luò)互連的設(shè)備是帶防火墻的路由器，根據(jù)需要選擇企業(yè)級(jí)路由器DLink DI7500的性能特性及技術(shù)指標(biāo)情況如下：? 端口結(jié)構(gòu)：非模塊化? 廣域網(wǎng)接：2個(gè)? 局域網(wǎng)接：4個(gè)? 傳輸速率：10/100/1000Mbps? 網(wǎng)絡(luò)管理：GUI/WEB管理? 用戶數(shù)量：800臺(tái)? 防火墻：內(nèi)置防火墻? Qos支持：支持? VPN支持：支持? 處理器：64位全千兆網(wǎng)絡(luò)芯片? 網(wǎng)絡(luò)安全：支持網(wǎng)站過(guò)濾 上網(wǎng)限制? 狀態(tài)指示：Link/Act，速度，電源，? 電源功率：最大25W? 環(huán)境標(biāo)準(zhǔn)：工作溫度：040℃ 工作? 其它性能：ADSL、光纖、以太網(wǎng)、CA局域網(wǎng)布線設(shè)計(jì)的依據(jù)是網(wǎng)絡(luò)的分布架構(gòu)。網(wǎng)絡(luò)布線必須有較長(zhǎng)遠(yuǎn)的考慮。對(duì)于大型局域網(wǎng)，連接公司院內(nèi)各個(gè)建筑物的網(wǎng)絡(luò)通常選擇光纖，統(tǒng)一規(guī)劃，冗余設(shè)計(jì)，使用線纜保護(hù)管道并且埋入地下。建筑物內(nèi)又分為連接各個(gè)樓層的垂直布線子系統(tǒng)和連接同一樓層各個(gè)房間入網(wǎng)計(jì)算機(jī)的水平布線子系統(tǒng)。如果設(shè)有信息中心網(wǎng)絡(luò)機(jī)房，還應(yīng)該考慮機(jī)房的特殊布線需求。在局域網(wǎng)布線時(shí)，應(yīng)該充分考慮到將來(lái)網(wǎng)絡(luò)擴(kuò)展可能需要的最大接入節(jié)點(diǎn)數(shù)量、接入位置的分布和用戶使用的方便性。若整座建筑物接入局域網(wǎng)的節(jié)點(diǎn)計(jì)算機(jī)不多，可以采用從一個(gè)接入層節(jié)點(diǎn)直接連接所有入網(wǎng)節(jié)點(diǎn)的設(shè)計(jì)。若建筑物的每個(gè)樓層都分布有大量接入節(jié)點(diǎn)，就需要設(shè)計(jì)垂直布線子系統(tǒng)和水平布線子系統(tǒng)，并且在每層樓設(shè)置專(zhuān)門(mén)的配線間，安置該樓層的接入層節(jié)點(diǎn)網(wǎng)絡(luò)設(shè)備和配線裝置。水平布線子系統(tǒng)通常采用非屏蔽雙絞線或屏蔽雙絞線，如何選擇線纜類(lèi)型和帶寬根據(jù)應(yīng)用需求決定。連接各個(gè)樓層交換機(jī)的垂直布線子系統(tǒng)通常采用光纖。企業(yè)綜合布線系統(tǒng)由工作區(qū)子系統(tǒng)、水平布線子系統(tǒng)、垂直干線子系統(tǒng)、管理子系統(tǒng)和建筑群子系統(tǒng)組成。它的設(shè)計(jì)原則如下：（1）開(kāi)放性嚴(yán)格按照IEEE80EIA/TIA 568等工業(yè)及建筑布線標(biāo)準(zhǔn)和中國(guó)建筑電氣設(shè)計(jì)/工業(yè)企業(yè)通信設(shè)計(jì)規(guī)范。（2）實(shí)用性適應(yīng)企業(yè)現(xiàn)在和將來(lái)發(fā)展的需要，具備數(shù)據(jù)通信、語(yǔ)音通信和圖像通信的功能。（3）靈活性布線系統(tǒng)中任一信息點(diǎn)能夠很方便地與多種類(lèi)型設(shè)備（如電話、計(jì)算機(jī)、檢測(cè)器件以及傳真等）進(jìn)行連接。（4）可擴(kuò)展性布線系統(tǒng)具有較強(qiáng)的可擴(kuò)展性，在將來(lái)需要時(shí)可以很