【正文】 使以太網(wǎng)仍成為未來的主流。在許多的快速以太網(wǎng)占有極大的比率，因而從10BASET升級至100BASETX非常容易，而且可以做到完全無縫式的升級，所以在千兆以太網(wǎng)的標(biāo)準(zhǔn)已經(jīng)基本制定的今天，千兆以太網(wǎng)已成為各個企業(yè)主干的首選。ATM和千兆以太網(wǎng)的高速網(wǎng)絡(luò)相容性見下表：性能千兆以太網(wǎng)快速以太網(wǎng)ATMIP相容性YESYESIPOA/LANE/MPOA以太分組YESYES LANE多媒體YESYES YESQoSYESRSVP/YESRSVP/ SVC/RSVP 網(wǎng)絡(luò)拓?fù)鋱D 圖1： 圖2：網(wǎng)絡(luò)設(shè)計 根據(jù)以上的分析，網(wǎng)絡(luò)應(yīng)包括核心層、匯聚層、網(wǎng)絡(luò)接入層三個層次，網(wǎng)絡(luò)設(shè)備推薦配置如下：核心層由智能萬兆以太網(wǎng)路由交換設(shè)備組成，匯聚層采用智能的三層交換機(jī)，接入層都使用智能快速的以太網(wǎng)設(shè)備。 核心層是網(wǎng)絡(luò)互聯(lián)的最高層次，應(yīng)具有如下能力：l 核心設(shè)備之間應(yīng)該具有最高速的鏈路。l 比較粗的QoS控制粒度。l 最高的路由前綴。l 為網(wǎng)絡(luò)其他模塊提供互聯(lián)。 企業(yè)網(wǎng)的核心層是一個數(shù)據(jù)交換樞紐，提供高速、有效地數(shù)據(jù)交換。鑒于其重要性和必要性，核心層的可用性也在設(shè)計中得到了充分的體現(xiàn)。核心節(jié)點之間的互聯(lián)采用千兆以太網(wǎng)或千兆以太網(wǎng)的捆綁技術(shù)。通過在核心層配置動態(tài)路由協(xié)議，提供數(shù)據(jù)的路由和路由的迂回。 核心層使用萬兆骨干智能路由交換機(jī)來完成永輝集團(tuán)總部的各種業(yè)務(wù)的轉(zhuǎn)發(fā)及全網(wǎng)的路由與交換。該核心交換機(jī)應(yīng)支持10G以太網(wǎng)和10G廣域網(wǎng)接口，采用分布式體系結(jié)構(gòu)，、交換容量500Gbps，包轉(zhuǎn)發(fā)率200Mpps。并可提供高密度接口板，支持線速轉(zhuǎn)發(fā)。為保證核心層的安全性、穩(wěn)定性、高帶寬、建議使用2臺核心層交換機(jī)來實現(xiàn)校園網(wǎng)內(nèi)部的流量分?jǐn)?。設(shè)備間采用千兆以太網(wǎng)鏈路作為主用連接，采用千兆以太網(wǎng)鏈路作為備用鏈接，兩臺核心交換機(jī)通過千兆鏈路鏈接防火墻的千兆端口，實現(xiàn)整個永輝總部的地址翻譯、VPN、ACL等功能。 匯聚層匯聚層是核心層和接入層的連接模塊，主要功能如下：l 細(xì)到粗QoS粒度的轉(zhuǎn)換。l 提供到核心的路由合并。l 提供到訪問層的路由過濾。 匯聚層網(wǎng)絡(luò)主要提供了用戶的匯聚功能和服務(wù)質(zhì)量保證的功能。在匯聚層能夠真正做到通過識別用戶及應(yīng)用提供不同的服務(wù)質(zhì)量保證。匯聚層設(shè)備使用可擴(kuò)展千兆多層路由交換機(jī)，在保證網(wǎng)絡(luò)的安全性和穩(wěn)定性的前提下，可以支持將匯聚節(jié)點分別以雙歸屬性上聯(lián)到核心設(shè)備，設(shè)備互聯(lián)采用1000M以太網(wǎng)接口。 接入層 接入層是面向最終用戶的設(shè)備，主要功能如下：l 提供高密度的用戶端口。l 提供許可控制，包括：（安全控制、QoS控制）。 接入層網(wǎng)絡(luò)是純二層交換網(wǎng)絡(luò)，提供用戶的網(wǎng)絡(luò)接入。由于接入層設(shè)備需要部署在樓層，因此要求這些設(shè)備容易管理并且投資成本少。 在接入層用戶較為集中的樓層，使用具備鏈路捆綁功能的交換機(jī)或堆疊式的交換機(jī)，便于今后上聯(lián)鏈路帶寬的擴(kuò)展以及鏈路的冗余。 樓宇接入設(shè)備推薦選擇智能快速以太網(wǎng)交換機(jī)，支持良好的帶寬線速，代理防范、廣播風(fēng)暴抑制等功能。本方案接入設(shè)備的布置靈活多變，只要根據(jù)用戶數(shù)量配置接入設(shè)備即可。 對于核心路由器可以選用模塊化接入，固定的廣域網(wǎng)接口+可選廣域網(wǎng)接口，固定的局域網(wǎng)接口：100/1000 BaseT/TX。 各個樓宇間物理層布線說明表如下：標(biāo)準(zhǔn)傳輸介質(zhì)最大段長說明1000BaseTX4對5類UTP100m使用阻抗為100∏（或超5類或6類）UTP1000BaseLX550m使用長波激光信號源，波長為1270~1355nm1000BaseSX550m使用短波激光信號源，波長為770~860nm50微米多模光纖525m1000BaseCX兩對STP和9芯D形連接器25m適用于交換機(jī)之間段距離的連接，如千兆主干交換機(jī)和服務(wù)器之間的連接下面針對于不同的技術(shù)，介紹這些技術(shù)的具體應(yīng)用。 VLAN設(shè)計方案虛擬網(wǎng)絡(luò)(VLAN)是將局域網(wǎng)內(nèi)廣播域邏輯地劃分為若干子網(wǎng)。在一個交換局域網(wǎng)中，所有局域網(wǎng)段通過交換機(jī)連接在一起，路由器連在交換機(jī)上(如果是三層交換機(jī)，則不需路由器)，可以按網(wǎng)段和站點的邏輯分組形成廣播域，通過在局域網(wǎng)交換機(jī)內(nèi)過濾廣播包，使得源于特定虛擬局域網(wǎng)的信息包僅傳送到那些也屬于這個虛擬局域網(wǎng)的網(wǎng)段上。虛網(wǎng)之間的尋徑由路由器完成，本方案采用的就是具有路由尋址功能的路由交換機(jī)。 虛網(wǎng)建立以后，能有效地控制網(wǎng)絡(luò)的廣播風(fēng)暴，減少不必要的資源帶寬浪費，并能隨著企業(yè)規(guī)模的發(fā)展和調(diào)整改變通信流的模式。 在主流的交換機(jī)產(chǎn)品中提供多種虛網(wǎng)組織方法： 1)基于端口的虛網(wǎng)劃分。 2)基于網(wǎng)絡(luò)安全要求，可采用MAC 地址方法或用戶自定義方法組織虛網(wǎng)，其它用戶即使接入到網(wǎng)絡(luò)交換機(jī)的端口中，也無法進(jìn)入該虛網(wǎng)。 3)可對每個端口設(shè)置相應(yīng)的安全控制策略，防止非法用戶的侵入。 4)可借助三層交換機(jī)，實現(xiàn)基于IP 子網(wǎng)的虛網(wǎng)。 5)利用VLAN ，可實現(xiàn)跨交換機(jī)的VLAN，通過VLAN生成樹技術(shù)(PerVLANSpanningTree)，可實現(xiàn)各VLAN 之間的負(fù)載均衡，并且當(dāng)網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時，只影響到相關(guān)的VLAN 的生成樹重新計算，使網(wǎng)絡(luò)的收斂時間最短。 6)采用VLANPruning 技術(shù)來優(yōu)化交換網(wǎng)絡(luò)中廣播對網(wǎng)絡(luò)性能的影響，使VLAN 內(nèi)部的廣播包不會擴(kuò)散到?jīng)]有該VLAN 成員的中繼和交換機(jī)上去。 IP/VLAN 規(guī)劃工作1．確定企業(yè)網(wǎng)內(nèi)網(wǎng)IP 地址網(wǎng)段我們對永輝集團(tuán)網(wǎng)的IP 分配一般以RFC1918 中定義的非Internet 連接的網(wǎng)絡(luò)地址，也稱為私有地址。由Internet 地址授權(quán)機(jī)構(gòu)（IANA）控制的IP 地址分配方案中，留出了三類網(wǎng)絡(luò)地址，給不連到Internet 上的專用網(wǎng)使用。它分別是：A類： ~ ；B 類： ~ ；C 類： ~ 。其中的一個私有地址網(wǎng)段是： 分配中最常用的網(wǎng)段。 IANA 保證這些網(wǎng)絡(luò)號不會分配給連到Internet 上的任何網(wǎng)絡(luò)，因此任何人都可以自由地選擇這些網(wǎng)絡(luò)地址作為自己的私有網(wǎng)絡(luò)地址。在申請的合法IP不足的情況下，企業(yè)網(wǎng)內(nèi)網(wǎng)可以采用私有IP地址的網(wǎng)絡(luò)地址分配方案；企業(yè)網(wǎng)外網(wǎng)接入、DMZ 區(qū)使用合法IP 地址。我們確定了要使用的私有網(wǎng)段以后，進(jìn)一步還要劃分子網(wǎng)段，并與VLAN 號部門相關(guān)聯(lián)，把這做成一個對照表。部門名VLAN號子網(wǎng)段子網(wǎng)網(wǎng)關(guān)（VLAN IP）經(jīng)理辦VLAN1行政辦VLAN2市場辦VLAN3財務(wù)辦VLAN4服務(wù)器組VLAN5其它未定用戶VLAN6網(wǎng)絡(luò)中心VLAN102．規(guī)劃主交換機(jī)端口VLAN 我們一般采用較流行的VLAN 劃分方式：基于端口的VLAN 劃分。因此創(chuàng)建VLAN 號，為主交換機(jī)的端口指定VLAN 號是規(guī)劃整個內(nèi)部VLAN 的關(guān)鍵。另外VLAN 限制了廣播域，跨越VLAN 間的通信要經(jīng)過路由，主交換機(jī)是一臺三層交換機(jī)，需要為它配置路由選擇協(xié)議，以實現(xiàn)VLAN 間的線速路由。3．規(guī)劃防火墻、路由器、服務(wù)器的IP 地址 WWW/MAIL/FTP 服務(wù)器、防火墻的DMZ網(wǎng)卡、防火墻的外網(wǎng)卡、路由器以太網(wǎng)口路由器廣域網(wǎng)口1應(yīng)該使用從ISP申請到的合法IP。4．規(guī)劃企業(yè)網(wǎng)內(nèi)網(wǎng)用戶的IP 地址規(guī)劃完子網(wǎng)與VLAN，接下來就要考慮內(nèi)網(wǎng)用戶IP 的分配方式。針對用戶比較集中、信息點位置相對固定的情況，建議使用靜態(tài)IP。這對于日后的管理、維護(hù)、故障排查非常重要，管理員可以根據(jù)IP 地址迅速確定主機(jī)所在位置。使用靜態(tài)IP，用戶與聯(lián)接交換機(jī)的端口處于同一VLAN。為方便新的用戶IP地址的分配，應(yīng)做好現(xiàn)有用戶IP 地址的記錄。當(dāng)用戶變動較大，信息點數(shù)量無法準(zhǔn)確計算時，建議使用動態(tài)IP。動態(tài)IP的優(yōu)勢在于方便用戶使用，用戶只需要將網(wǎng)絡(luò)屬性中的IP 地址欄設(shè)成自動獲取，用戶的本機(jī)IP、缺省網(wǎng)關(guān)、DNS、WINS 等關(guān)鍵信息，會自動從DHCP 服務(wù)器中得到。5．內(nèi)網(wǎng)NAT共享上網(wǎng) 當(dāng)內(nèi)網(wǎng)的IP / VLAN 規(guī)劃基本完成后，要采用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)，即通過1個外部IP 地址來實現(xiàn)內(nèi)網(wǎng)用戶訪問Internet。目前支持NAT 的硬件產(chǎn)品有路由器、防火墻，本案是防火墻來實現(xiàn)NAT。 實現(xiàn)VLAN間路由的配置技術(shù)說明： 當(dāng)交換機(jī)上的VLAN數(shù)量很多時， 封裝對VLAN間的數(shù)據(jù)進(jìn)行路由。 VPN設(shè)計方案 端到端的加密 網(wǎng)絡(luò)密碼機(jī)安置在企業(yè)各級局域網(wǎng)到互聯(lián)網(wǎng)的入口處，通過加裝密碼機(jī)構(gòu)建安全隧道，使信息經(jīng)過加密后傳輸，防止第三方竊取，且密碼機(jī)之間的機(jī)機(jī)認(rèn)證也有效防范了第三方的非法接入，保證訪問該網(wǎng)絡(luò)的遠(yuǎn)程節(jié)點的合法性，從而在網(wǎng)絡(luò)上構(gòu)造了一個封閉的安全傳輸網(wǎng)絡(luò)。應(yīng)用密碼技術(shù)實現(xiàn)的密碼機(jī)間的加解密和身份認(rèn)證，有效避免了來自傳輸網(wǎng)的攻擊，如圖所示：