【正文】 OSPF、IP 組播、IPX 路由。 匯聚路由交換機CISCO WSC356024TSS的性能特性及技術(shù)指標(biāo)如下：? 交換機類：企業(yè)級交換機? 應(yīng)用層級：三層? 接口介質(zhì)：10/100 BASET/ 100FX? 傳輸速率：10Mbps/100Mbps? 端口數(shù)量：24? 背板帶寬：32Gbps? VLAN支持：支持? 網(wǎng)管功能：SNMP, CLI, Web, 管理接入層主要用來支撐客戶端機器對服務(wù)器的訪問，主要是指接入路由器、交換機、終端訪問用戶。它利用多種接入技術(shù)，迅速覆蓋至用戶節(jié)點，將不同地理分布的用戶快速有效地接入到信息網(wǎng)的匯聚。對上連接至匯聚層和核心層，對下進行帶寬和業(yè)務(wù)分配，實現(xiàn)用戶的接入。 根據(jù)我們所借鑒的項目設(shè)計經(jīng)驗，匯聚層節(jié)點與接入層節(jié)點可考慮采用星形連接，每個接入層節(jié)點與兩個匯聚層節(jié)點連接。當(dāng)接入層采用其它結(jié)構(gòu)（如環(huán)行）連接到匯聚層時，建議提供兩條不同路由通道。 根據(jù)接入層處在網(wǎng)絡(luò)系統(tǒng)中所起的作用以及用戶的實際需求，本方案中接入層部分由CISCO公司的WSC291824TCC交換機構(gòu)成。其主要功能是為該區(qū)域下屬各部門的網(wǎng)絡(luò)用戶提供大量性價比極高的10/100 兆網(wǎng)絡(luò)接口，并與信息中心的核心交換機通過 1000 兆光纖鏈路互聯(lián)為接入的用戶提供高速上聯(lián)。接入層樓層交換機CISCO WSC291824TCC的性能特性及技術(shù)指標(biāo)情況如下：? 交換機類：快速以太網(wǎng)交換機? 應(yīng)用層級：二層? 傳輸速率：10Mbps/100Mbps/1000M? 端口數(shù)量：24? 背板帶寬：16Gbps? VLAN支持：支持? 網(wǎng)管功能：Cisco IOS CLI,Web瀏? 包轉(zhuǎn)發(fā)率：? MAC地址：8K? 網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE ,IEEE 802? 端口結(jié)構(gòu)：非模塊化? 交換方式：存儲轉(zhuǎn)發(fā)? 產(chǎn)品內(nèi)存：64MB? 傳輸模式：支持全雙工? 網(wǎng)管支持：支持? 模塊化插：2如果網(wǎng)絡(luò)中只有一個路由器或路由交換機，不需要使用路由協(xié)議；只有當(dāng)網(wǎng)絡(luò)中具有多個路由器時，才有必要讓它們?nèi)ス蚕硇畔?。但如果僅有小型網(wǎng)絡(luò)，完全可以通過靜態(tài)路由手動地更新路由表?，F(xiàn)使用較多的路由協(xié)議，主要以下幾種： （1）RIP RIP（Route information protocol，即路由信息協(xié)議）是基于 DV算法（距離向量算法）的內(nèi)部動態(tài)路由協(xié)議。RIP 協(xié)議的標(biāo)準(zhǔn)主要有 RFC1058（版本 1）和 RFC1723（版本2）。 （2）OSPF OSPF（Open Shortest Path First，即最短路徑優(yōu)先協(xié)議）是一種基于鏈路狀態(tài)的內(nèi)部動態(tài)路由協(xié)議。目前 OSPF 的主要標(biāo)準(zhǔn)是 RFC2328（版本 2）。完整的OSPF 功能包括支持廣播、NBMA、點到多點、點到點四種接口類型，以及MD5 驗證、區(qū)域劃分、區(qū)域間路由聚合、虛連接、STUB 區(qū)域等特性。 （3）ISIS ISIS（Intermediate System Intermediate System，中間系統(tǒng)到中間系統(tǒng)協(xié)議）是由國際標(biāo)準(zhǔn)化組織（ISO）制訂的路由協(xié)議，屬于開放系統(tǒng)互聯(lián)協(xié)議簇。ISIS 對應(yīng)的標(biāo)準(zhǔn)是 ISO 10589 和 RFC1195。 在 IGP 路由協(xié)議的選擇上，盡量不要采用擴展性差的（RIP）和廠家的私有路由協(xié)議（IGRP和 EIGRP），盡量采用 OSPF 或 ISIS。 對于 OSPF 和 ISIS 的選擇依據(jù)為：基本原理相同（基于鏈路狀態(tài)算法），OSPF 用于 IP， ISIS 用于 ISO 的 CLNP，也支持 IP（“集成 ISIS” ）；ISIS 結(jié)構(gòu)嚴(yán)謹(jǐn)，OSPF 更加靈活，OSPF協(xié)議是基于接口的，而ISIS 路由器只能屬于一個 Area，并且不支持 NBMA 網(wǎng)絡(luò)； ISIS 占用網(wǎng)絡(luò)資源相對較少，支持網(wǎng)絡(luò)規(guī)模大于OSPF，在網(wǎng)絡(luò)相當(dāng)龐大時能體現(xiàn)出優(yōu)勢；一個 IGP 域運行的三層交換機及路由器的數(shù)量一般不會超過200 臺，因此從實際情況來看，運行OSPF 和 ISIS 對 IP 城域網(wǎng)/承載網(wǎng)的建設(shè)不會有差異；對于網(wǎng)絡(luò)的穩(wěn)定性、可擴充性，兩種協(xié)議都能很好地支持；在大型 ISP 上，ISIS 與 OSPF 二者均獲得普遍應(yīng)用； 從 MPLS 草案及現(xiàn)實運行來看，如果要運行 MPLS 網(wǎng)絡(luò)的話，OSPF 經(jīng)常被選用做內(nèi)部 IGP，當(dāng)然 ISIS 也有，但是 MPLS 草案中認(rèn)為在 MPLS 環(huán)境中運行 OSPF 更合適；使用 MPLS TE 的時候，采用 ISIS 擴展的較多； 從目前很多廠商的設(shè)備來看，存在這樣一個問題，不少廠商的中低端路由器及三層交換機不支持 ISIS，從這個角度講 OSPF 比 ISIS 有優(yōu)勢，所有的主流路由器及三層交換機都支持OSPF。 OSPF 路由協(xié)議相應(yīng)的配置策略為： ? AS內(nèi)部節(jié)點均運行OSPFv2路由協(xié)議； ? 如果與別的IP網(wǎng)絡(luò)互通，建議配置EBGP路由協(xié)議，并且配置OSPF引入BGP路由； 為減少處理開銷和網(wǎng)絡(luò)開銷，可將網(wǎng)絡(luò)的主干部分劃分為 OSPF 主干區(qū)域（區(qū)域號為 0）， 在邊緣的支局子網(wǎng)配置成為OSPF 子區(qū)域，從而分散路由處理，減少網(wǎng)絡(luò)帶寬占用。通過配置區(qū)域，使 OSPF 可以分層次管理大型網(wǎng)絡(luò)，實現(xiàn)可擴展性。使用 OSPF 協(xié)議必須考慮到骨干區(qū)域的連通性，即使某條鏈路斷掉后能保證骨干區(qū)域不會分離；另外，還需要考慮網(wǎng)絡(luò)邊緣層設(shè)備的動蕩對于核心網(wǎng)絡(luò)的影響。 對于本次方案，根據(jù)初期階段實現(xiàn)目標(biāo)：實現(xiàn)信息點最優(yōu)連通，建議采用OSPF 路由協(xié)議使路由全網(wǎng)可達。具體設(shè)計如下： 核心交換機與匯聚交換機都為三層路由交換機，相互間使用 OSPF 路由協(xié)議，并運行在 AREAR 0區(qū)域上。 核心交換機為三層交換機，與防火墻連接通過采用 IP 靜態(tài)路由的方式，防火墻通過配置缺省路由使網(wǎng)絡(luò)用戶對Internet進行訪問。 IP地址的設(shè)計 IP地址規(guī)劃和分配原則（1）根據(jù)目前網(wǎng)絡(luò)結(jié)構(gòu)和以后擴展，遵循以下原則進行IP 地址分配。 u 唯一性：IP 地址必須唯一，一個 IP 地址對應(yīng)一臺數(shù)據(jù)通訊設(shè)備； u 連續(xù)性：為同一網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于規(guī)劃，同時提高路由器尋徑效率； u 可管理性：地址的分配應(yīng)該有層次性，某個局部的變動不影響網(wǎng)絡(luò)的其它部分； u 高效性：采用可變長子網(wǎng)掩碼技術(shù)，要求采用支持可變長子網(wǎng)掩碼技術(shù)的 TCP/IP 協(xié)議族； u 可匯聚性：方便路由匯總，縮減路由表條目，提高路由器處理效率。 u 可擴展性：既要考慮到 IP 地址的使用現(xiàn)狀，又要考慮到未來信息網(wǎng)絡(luò)的發(fā)展，為各單位分配合理的地址空間，在網(wǎng)絡(luò)上盡可能少地做 NAT，減少網(wǎng)絡(luò)設(shè)備 CPU 處理負(fù)擔(dān)和加快網(wǎng)絡(luò)訪問速度。 （2）業(yè)務(wù)地址的劃分可以按照兩個原則來分配： u 按照部門規(guī)劃，每個部門一個獨立的網(wǎng)段；這種方案適合業(yè)務(wù)種類單一的情況，管理方便。 u 按照業(yè)務(wù)規(guī)劃，每種業(yè)務(wù)一個網(wǎng)段，所有的地市同一業(yè)務(wù)使用同一網(wǎng)段，這種方案適合業(yè)務(wù)之間互訪的控制。 網(wǎng)絡(luò)地址分配 IP 地址規(guī)劃和分配包括以下內(nèi)容： （1）設(shè)備及互連鏈路地址規(guī)劃與分配 （2）業(yè)務(wù)地址規(guī)劃與分配 （3）服務(wù)器地址規(guī)劃與分配 根據(jù)以上 IP 地址的劃分原則，本方案建議 IP 的設(shè)計如下：A段（行政樓、門衛(wèi)）： ~B段（生產(chǎn)車間、產(chǎn)區(qū)辦）：~C段（運輸樓、工段辦）： ~ VLAN的設(shè)計 VLAN的劃分的作用及原則VLAN（Virtual Local Area Network）是虛擬局域網(wǎng)的英文縮寫，它最簡明的描述就是可以實現(xiàn)將連接在同一個物理網(wǎng)絡(luò)上面的主機分組，使它們看起來就象連接在不同的網(wǎng)絡(luò)上一樣。我們可以通過 VLAN 為網(wǎng)絡(luò)分段，各個網(wǎng)段可以共用同一套網(wǎng)絡(luò)設(shè)備，節(jié)約了網(wǎng)絡(luò)硬件的開銷，同時在遷移中所需的工作量也大幅度降低了，從而降低了連網(wǎng)成本。在用戶的企業(yè)局域網(wǎng)系統(tǒng)中，我們建議基于IEEE 標(biāo)準(zhǔn)實現(xiàn) VLAN，在 VLAN 設(shè)計中，我們使用 VLAN 達到兩個目的： 第一，不同業(yè)務(wù)部門之間的隔離和通信控制； 第二，廣播范圍抑制。 VLAN 劃分我們建議根據(jù)各個辦公室的地理位置來劃分VLAN， 如果同一棟樓內(nèi)包含很多部門，而這些部門的職能和工作內(nèi)容又有很大的區(qū)別，我們就可以在樓內(nèi)按照部門來劃分VLAN。 另外，如果某個部門需要跨越很多建筑物，分布范圍比較廣，例如部門A 分布的很散，在很多交換機上都預(yù)留了部門 A 的信息點，我們則可以按照交換機的位置來設(shè)置 VLAN，這樣，部門A就可能對應(yīng)多個VLAN，如果部門A所對應(yīng)的VLAN之間需要通信的話，我們可以通過VLAN間的路由來實現(xiàn)。這樣做的好處是：可以減少廣播數(shù)據(jù)包對網(wǎng)絡(luò)主干的影響。因為如果將部門A 全部劃分到一個 VLAN 中，而這些 VLAN 又跨越了網(wǎng)絡(luò)主干，分布在眾多不同的交換機上，這樣如果有廣播包時，這些廣播包必然會在網(wǎng)絡(luò)的主干上傳輸，然后到達相應(yīng)的交換機上，也就占用了網(wǎng)絡(luò)主干的帶寬，容易造成其他業(yè)務(wù)的時延。 為了減少傳輸沖突，提高系統(tǒng)整體性能和網(wǎng)絡(luò)處理能力，另外，還考慮到網(wǎng)絡(luò)良好的管理性，易于維護和安全策略的實施，針對用戶網(wǎng)絡(luò)系統(tǒng)的實際情況，可以把功能（應(yīng)用）相近的設(shè)備群組劃分到同一VLAN，不同部門的設(shè)備劃分到不同VLAN 中去，這樣就能夠通過訪問控制列表技術(shù)實施安全策略。限制未授權(quán)的用戶訪問重要的服務(wù)器和數(shù)據(jù)庫。VLAN劃分舉例：VLAN用途命名規(guī)范表Vlan10財務(wù)部FINANCIALVlan11市場銷售部MARKETVlan12管理部MANAGING……………… VLAN 之間安全控制在用戶網(wǎng)絡(luò)系統(tǒng)中，由于在中心使用了三層核心交換機，因此所有的VLAN 之間的訪問都需要通過三層核心交換機進行，因此可以通過ACL（訪問控制列表）控制VLAN之間的流量，這樣就可以允許高優(yōu)先級的VLAN段訪問低優(yōu)先級的VLAN段，而低優(yōu)先級的VLAN 段不能訪問或有限的訪問高優(yōu)先級 VLAN段。網(wǎng)絡(luò)管理系統(tǒng)時對整個網(wǎng)絡(luò)進行監(jiān)視、控制和維護管理，以提高網(wǎng)絡(luò)的有效性、利用率、安全性和可靠性。網(wǎng)絡(luò)管理系統(tǒng)由網(wǎng)管中心、網(wǎng)管單元、管理信息庫和網(wǎng)絡(luò)管理協(xié)議四部分組成。 網(wǎng)管中心是網(wǎng)管人員和管理信息系統(tǒng)間的接口，它將網(wǎng)管人員的命令轉(zhuǎn)換為對實際網(wǎng)元的監(jiān)視和控制。網(wǎng)管單元在每個節(jié)點執(zhí)行各項網(wǎng)絡(luò)管理任務(wù)，采集網(wǎng)絡(luò)資源信息，存儲本地相關(guān)數(shù)據(jù)并響應(yīng)網(wǎng)管人員命令。管理信息庫(MIB)存放各種網(wǎng)絡(luò)管理信息的特征參數(shù)和邏輯結(jié)構(gòu)。網(wǎng)絡(luò)管理協(xié)議按規(guī)約執(zhí)行網(wǎng)管人員與網(wǎng)管單元和管理信息庫之間的通信。 該企業(yè)網(wǎng)絡(luò)系統(tǒng)設(shè)一個網(wǎng)管中心，該中心設(shè)在行政樓機房，負(fù)責(zé)對全網(wǎng)進行管理。該企業(yè)網(wǎng)絡(luò)用戶為對Internet進行訪問，而且為了保證其安全性，要求能夠訪問Internet的用戶與不能訪問Internet的用戶進行完全的物理隔離，則需要另建立一套網(wǎng)絡(luò)系統(tǒng)(簡稱為外網(wǎng))。網(wǎng)絡(luò)用戶(即外網(wǎng)用戶) 通過外網(wǎng)布線系統(tǒng)接至各樓層的交換機，匯總到外網(wǎng)的主交換機后，接入到防火墻上，防火墻通過 IP 地址轉(zhuǎn)換功能（NAT），將網(wǎng)絡(luò)用戶(即外網(wǎng)用戶)的私有 IP 地址轉(zhuǎn)換成Internet公網(wǎng) IP 地址，通過光電轉(zhuǎn)換器與電信相連的方式訪問Internet，以使該企業(yè)網(wǎng)絡(luò)內(nèi)外網(wǎng)互相獨立，達到完全的物理隔離的目的。與外部網(wǎng)絡(luò)互連的設(shè)備是帶防火墻的路由器，根據(jù)需要選擇企業(yè)級路由器DLink DI7500的性能特性及技術(shù)指標(biāo)情況如下：? 端口結(jié)構(gòu)：非模塊化? 廣域網(wǎng)接：2個? 局域網(wǎng)接：4個? 傳輸速率：10/100/1000Mbps? 網(wǎng)絡(luò)管理：GUI/WEB管理? 用戶數(shù)量：800臺? 防火墻：內(nèi)置防火墻? Qos支持：支持? VPN支持：支持? 處理器：64位全千兆網(wǎng)絡(luò)芯片? 網(wǎng)絡(luò)安全：支持網(wǎng)站過濾 上網(wǎng)限制? 狀態(tài)指示：Link/Act，速度，電源，? 電源功率：最大25W? 環(huán)境標(biāo)準(zhǔn)：工作溫度：040℃ 工作? 其它性能：ADSL、光纖、以太網(wǎng)、CA局域網(wǎng)布線設(shè)計的依據(jù)是網(wǎng)絡(luò)的分布架構(gòu)。網(wǎng)絡(luò)布線必須有較長遠(yuǎn)的考慮。對于大型局域網(wǎng)，連接公司院內(nèi)各個建筑物的網(wǎng)絡(luò)通常選擇光纖，統(tǒng)一規(guī)劃，冗余設(shè)計，使用線纜保護管道并且埋入地下。建筑物內(nèi)又分為連接各個樓層的垂直布線子系統(tǒng)和連接同一樓層各個房間入網(wǎng)計算機的水平布線子系統(tǒng)。如果設(shè)有信息中心網(wǎng)絡(luò)機房，還應(yīng)該考慮機房的特殊布線需求。在局域網(wǎng)布線時，應(yīng)該充分考慮到將來網(wǎng)絡(luò)擴展可能需要的最大接入節(jié)點數(shù)量、接入位置的分布和用戶使用的方便性。若整座建筑物接入局域網(wǎng)的節(jié)點計算機不多，可以采用從一個接入層節(jié)點直接連接所有入網(wǎng)節(jié)點的設(shè)計。若建筑物的每個樓層都分布有大量接入節(jié)點，就需要設(shè)計垂直布線子系統(tǒng)和水平布線子系統(tǒng)，并且在每層樓設(shè)置專門的配線間，安置該樓層的接入層節(jié)點網(wǎng)絡(luò)設(shè)備和配線裝置。水平布線子系統(tǒng)通常采用非屏蔽雙絞線或屏蔽雙絞線，如何選擇線纜類型和帶寬根據(jù)應(yīng)用需求決定。連接各個樓層交換機的垂直布線子系統(tǒng)通常采用光纖。企業(yè)綜合布線系統(tǒng)由工作區(qū)子系統(tǒng)、水平布線子系統(tǒng)、垂直干線子系統(tǒng)、管理子系統(tǒng)和建筑群子系統(tǒng)組成。它的設(shè)計原則如下：（1）開放性嚴(yán)格按照IEEE80EIA/TIA 568等工業(yè)及建筑布線標(biāo)準(zhǔn)和中國建筑電氣設(shè)計/工業(yè)企業(yè)通信設(shè)計規(guī)范。（2）實用性適應(yīng)企業(yè)現(xiàn)在和將來發(fā)展的需要，具備數(shù)據(jù)通信、語音通信和圖像通信的功能。（3）靈活性布線系統(tǒng)中任一信息點能夠很方便地與多種類型設(shè)備（如電話、計算機、檢測器件以及傳真等）進行連接。（4）可擴展性布線系統(tǒng)具有較強的可擴展性，在將來需要時可以很