【正文】 安全等諸多原因 將自己公司網(wǎng)絡(luò)建設(shè)承包給專門的公司去做。這樣可以在節(jié)省企業(yè)組網(wǎng)投入、提高網(wǎng)絡(luò)安全性的基礎(chǔ)上兼顧以后公司發(fā)展后網(wǎng)絡(luò)的擴(kuò)展性。所以在網(wǎng)絡(luò)建設(shè)施工之前我們要做好需求分析，拓?fù)溥x型、設(shè)備選購(gòu)等前期準(zhǔn)備。只有這樣才能是組建的網(wǎng)絡(luò)滿足各方面的要求。 公司組建企業(yè)網(wǎng)的 一般應(yīng)有 下幾點(diǎn) 基 本要求 ： 2 VLAN（虛擬局域網(wǎng)）隔離技術(shù) 是 為了 防止當(dāng) 網(wǎng)絡(luò)系統(tǒng)的設(shè)備數(shù)量增加到一定規(guī)模后， 無用的 廣播報(bào)文 會(huì)會(huì)占用大量的網(wǎng)絡(luò)資源消耗帶寬 ， 從而影響有效數(shù)據(jù) 傳輸效率 ；另一方面 劃分相互隔離子網(wǎng) VLAN 和 ACL 合用 的方法 可以 確保部分安全性 要求較高 的部門不被隨意訪問瀏覽。目前，基于 VLAN 隔離技術(shù)的訪問控制方法在一些中小型企業(yè)和校園網(wǎng)中得到廣泛的應(yīng)用。 VLAN 的劃分有多種方式，一般采用的 是 基于 第二層交換機(jī)端口的 邏輯分段。 VLAN 的劃分 不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè) VLAN 可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。 信息共享指不同層次、不同部門信息系統(tǒng)間，信息和信息產(chǎn)品的交流與共用 。 在互聯(lián)網(wǎng)時(shí)代信息的重要性越來越明顯，實(shí)現(xiàn)信息共享可以使 資源配置更加合理節(jié)約社會(huì)成本，創(chuàng)造更多的財(cái)富。是提高信息 資源利用率， 節(jié)約社會(huì)成本提高信息 資源利用率，避免在信息采集、存貯和管理上重復(fù)浪費(fèi)的一個(gè)重要手段 。 通過配置路由器或三層交換機(jī)即可實(shí)現(xiàn)不同 VLAN 間的相互通信，從而實(shí)現(xiàn)三層信息的共享。 通過使用 VLAN，將交換 機(jī) 某個(gè) 端口 賦予 某一個(gè)特定的 VLAN，該 VLAN組可以在一個(gè) 廣播域 中 實(shí)現(xiàn) 跨接多個(gè)交換機(jī) 傳遞信息。 在一個(gè) VLAN 中的廣播數(shù)據(jù)報(bào)文 不會(huì)送到 其他廣播域中 。這大大提高了網(wǎng)絡(luò)的利用率，確保了網(wǎng)絡(luò)的安全保密性。 防火墻技術(shù)將其內(nèi)部假定為安全區(qū)域，外部是 非安全區(qū)域。通過設(shè)置內(nèi)部和外部接口的安全級(jí)別，及檢測(cè)策略已達(dá)到確保網(wǎng)絡(luò)安全的目的。 此外還可以通過 ACL(訪問控制列表 )技術(shù)及 AAA 認(rèn)證阻止某些網(wǎng)內(nèi)或者企業(yè)網(wǎng)外用戶的非法訪問。 主要網(wǎng)絡(luò)技術(shù) 概述 Vlan 技術(shù)可以實(shí)現(xiàn)不同廣播域之間的數(shù)據(jù)隔離，確保網(wǎng)絡(luò)安全的同時(shí) 縮小了物理廣播域的范圍防范廣播風(fēng)暴。此外 成本高昂 的網(wǎng)絡(luò)升級(jí)需求減少，現(xiàn)有帶寬和上行鏈路的利用率更高，因此可節(jié)約成本 ，增加網(wǎng)絡(luò)的靈活性 。 Trunk 是一種封裝技術(shù)，它是一條點(diǎn)到點(diǎn)的鏈路，可以是交換機(jī) 與交換機(jī)相連 ，也可以是交換機(jī)和路由器 相連 ，還可以是主機(jī)和交換機(jī)或路由器 3 相連 。基于端口匯聚（ Trunk）功能，允許交換機(jī)與交換機(jī)、交換機(jī)與路由器、主機(jī)與交換機(jī)或路由器之間通過兩個(gè)或多個(gè)端口并行連接同時(shí)傳輸以提供更高帶寬、更大吞吐量， 大幅度提供整個(gè)網(wǎng)絡(luò)能力。這里使用 Trunk技術(shù)利用它允許多個(gè) VLAN 數(shù)據(jù)包通過的 特性 實(shí)現(xiàn)不同 VLAN 間的通信。不同 VLAN 間的數(shù)據(jù)通 信是通過在數(shù)據(jù)包頭部打標(biāo)記識(shí)別的。所以 Trunk技術(shù)需封裝 dot1q 等其他協(xié)議。 隨著 Inter 的日益 普及，人們對(duì)網(wǎng)絡(luò)的依賴性也越來越強(qiáng)。路由器是整個(gè)網(wǎng)絡(luò)的核心 ， 它在數(shù)據(jù)傳輸中主要擔(dān)當(dāng)路由選擇和存儲(chǔ)轉(zhuǎn)發(fā)的角色。如果路由器發(fā) 出現(xiàn) 故障，將導(dǎo)致本地網(wǎng)絡(luò)的癱瘓，如果是骨干路由器，影響的范圍將更大。 所以應(yīng)在實(shí)現(xiàn)基本要求的基礎(chǔ)上實(shí)現(xiàn)路由器冗余備份 。HSRP(熱備份路由協(xié)議 )中含有多種路由器，對(duì)應(yīng)一個(gè)虛擬路由器 充當(dāng)虛擬網(wǎng)關(guān) 。 其中一個(gè)為活動(dòng)路由，其余的為備份路由。活動(dòng)路由器的選舉是通過優(yōu)先級(jí)為參考項(xiàng)，優(yōu)先級(jí)最高的為活 動(dòng)路由器。 開放最短路徑協(xié)議 (OSPF)協(xié)議 ，屬于內(nèi)部網(wǎng)關(guān)協(xié)議的一種。它能通過完整的全網(wǎng)鏈路狀態(tài)數(shù)據(jù)庫(kù) 和 SPF 算法生產(chǎn)一張路由表，供全局路由表選擇。 OSPF 并非只根據(jù) 兩個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)之間的最短路徑 生成路由表，而是通過計(jì)算通信費(fèi)用， 根據(jù)網(wǎng)絡(luò)用戶的要求來平衡費(fèi)用和性能，以選擇相應(yīng)的路由。在一個(gè)自治系統(tǒng)內(nèi)可劃分出若干個(gè)區(qū)域，每個(gè)區(qū)域根據(jù)自己的拓?fù)浣Y(jié)構(gòu)計(jì)算最短路徑，這 縮小了數(shù)據(jù)庫(kù)同步時(shí)信息傳遞范圍，節(jié)約網(wǎng)絡(luò)資源提高資源有效利用率 ； OSPF 屬動(dòng)態(tài)的自適應(yīng)協(xié)議，對(duì)于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變化可以迅速地做出反應(yīng)，進(jìn)行相應(yīng)調(diào)整，提供短 的收斂期，使路由表盡快穩(wěn)定化。每個(gè)路由器 在生成路由表 時(shí) 都 以自己為根，構(gòu)造最短路徑樹，然后再根據(jù) 網(wǎng)絡(luò)最小開銷構(gòu) 造路由表。路由器彼此交換，并保存整個(gè)網(wǎng)絡(luò)的鏈路信息，從而掌握全網(wǎng)的拓?fù)浣Y(jié)構(gòu)，并獨(dú)立計(jì)算路由。 作為 另 一種內(nèi)部網(wǎng)關(guān)協(xié)議（ IGP），路由 信息 協(xié)議 （ RIP） 應(yīng)用于 AS 系統(tǒng) 內(nèi)部 。連接 AS 系統(tǒng)有專門的協(xié)議，其中最早的這樣的協(xié)議是“ EGP”（外部網(wǎng)關(guān)協(xié)議），目前仍然應(yīng)用于因特網(wǎng) 。 RIP 主要 用在網(wǎng)絡(luò)規(guī)模較小的企業(yè)網(wǎng)中，因?yàn)?RIP 協(xié)議規(guī)定他的最大跳數(shù)為 15， 16 即為網(wǎng)絡(luò)不可達(dá) 。 又因?yàn)镽IP 協(xié)議好消息傳得快壞 消息傳的慢這一特性，所以 RIP 比較適用于簡(jiǎn)單 4 的校園網(wǎng)和區(qū)域網(wǎng)。 經(jīng)過對(duì)比得出 OSPF 協(xié)議比 RIP 更適用于此項(xiàng)目 。 浮動(dòng)路由技術(shù)可增加 網(wǎng)絡(luò)鏈路的冗余，當(dāng)一條鏈路出現(xiàn)故障時(shí)可使用備用鏈路。依據(jù)路由的 管理距離 ， 管理距離越大的 的優(yōu)先級(jí)高，手動(dòng)添加的靜態(tài)路由 管理距離 。當(dāng)動(dòng)態(tài)路由出現(xiàn)問題時(shí)，原有的路由會(huì)失效，路由器會(huì)自動(dòng)選擇靜態(tài)路由，保證網(wǎng)絡(luò)不中斷。 此外還用到了 ACL(訪問控制列表 )和 AAA 技術(shù) ， 訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之 一。訪問控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段； AAA ，認(rèn)證 (Authentication)：驗(yàn)證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù) 。 授權(quán) (Authorization) ： 依 據(jù) 認(rèn) 證 結(jié) 果 開 放 網(wǎng) 絡(luò) 服 務(wù) 給 用 戶 。 計(jì)帳(Accounting)：記錄用戶對(duì)各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計(jì)費(fèi)系統(tǒng)。整個(gè)系統(tǒng)在網(wǎng)絡(luò)管理與安全問題中十分有效。 總結(jié) 社會(huì)競(jìng)爭(zhēng)歸根到底是人才和信息的競(jìng)爭(zhēng)。誰能在社會(huì)變革中利用有效信息迅速調(diào)整企業(yè)產(chǎn)業(yè)結(jié)構(gòu)，抓住機(jī)遇迎接挑戰(zhàn)，就能立于不敗之地。 隨著我國(guó) 不斷深化改革開放國(guó)外各種類型的公司將帶著各自的產(chǎn)品、服務(wù)和解決方案進(jìn)入我國(guó)市場(chǎng)。我國(guó)中小企業(yè)將面臨強(qiáng)烈的挑戰(zhàn)和生存危機(jī)，因此應(yīng)盡快提高自身的信息化水平。 隨著現(xiàn)代科技的發(fā)展及計(jì)算機(jī)技術(shù)與通訊技術(shù)的結(jié)合，人們已經(jīng)不再滿足原有的辦公方 式，辦公自動(dòng)化、網(wǎng)絡(luò)化的需求逐日增加。辦公局域網(wǎng)營(yíng)造了一個(gè)現(xiàn)代化的高效、快捷、安 全的辦公環(huán)境，也使計(jì)算機(jī)的功能得到了充分的發(fā)揮 。 5 第 2 章 項(xiàng)目需求分析 企業(yè) 基本需求 及分析 XX 公司由于規(guī)模不斷擴(kuò)大，公司各部門之間及總部和分部之間信息傳遞資源共享等方面出現(xiàn)嚴(yán) 重滯后。為提高彌補(bǔ)之一缺陷提高效率，公司高層決定組建企業(yè)網(wǎng)絡(luò)已協(xié)調(diào)各部門之間的工作。公司具體情況及需求如下： 公司部門 情況 主要部門 職責(zé) 所需設(shè)備數(shù) 董事會(huì)辦公室 組 織辦公、輔助決策、后勤保障、董事會(huì)工作、工會(huì)工作等 50 臺(tái) 人力資源部 員管理、勞動(dòng)工資管理、績(jī)效管理、教育培訓(xùn)等 100 臺(tái) 營(yíng)銷業(yè)務(wù)部 營(yíng)銷渠道企劃培訓(xùn)、品牌宣傳、銷售人員管理、中介管理等 80 臺(tái) 產(chǎn)品研發(fā)部 公共產(chǎn)品開發(fā)、專屬產(chǎn)品開發(fā)、精算管理等 30 臺(tái) 客戶服務(wù)部 電話中心管理、服務(wù)項(xiàng) 目管理、客戶關(guān)系與品質(zhì)管理、服務(wù)網(wǎng)點(diǎn)與人員管理等 60 臺(tái) 網(wǎng)管中心 配置管理公司網(wǎng)絡(luò)的各種服務(wù)器、發(fā)布各部門的對(duì)外信息、協(xié)調(diào)各部門之間的信息共享等 20 臺(tái) 要求： 各 部門可以訪問分部相對(duì)應(yīng)的部門 只能訪問總部相應(yīng)設(shè)備不能訪問分部網(wǎng)管中心 各部門之間不能互訪 部 各 部門可以訪問 總部 部相對(duì)應(yīng)的部門 6 各部門之間不能互訪 高性能、高可擴(kuò)展性、易管理性、經(jīng)濟(jì)性和統(tǒng)一的網(wǎng)管系統(tǒng)為原 則。 由企業(yè)基本需求我們可以知道該企業(yè)屬于中小型企業(yè)，所以網(wǎng)絡(luò)我們可以采用二層結(jié)構(gòu)。在接入層，為了網(wǎng)絡(luò)信息安全和節(jié)約網(wǎng)絡(luò)資源，每個(gè)部門 建一個(gè) VLAN。各 部門之間業(yè)務(wù)隔離可用 ACL 來實(shí)現(xiàn)。 這樣既能滿足公司要求，減少無用的廣播報(bào)文在網(wǎng)絡(luò)上傳播占用資源。核心層和匯聚層合為一層，節(jié)省企業(yè)資金。在該層應(yīng)盡量考慮安全方面的因素。這里的安全不只是協(xié)議上的安全，還包括設(shè)備冗余。 工程總體要求 1. 先進(jìn)性 目前，在企業(yè)局域網(wǎng)的建設(shè)中，主要采用交換以太網(wǎng)技術(shù)。因?yàn)?以太網(wǎng)既是一種十分成熟的技術(shù)，又是不斷向前發(fā)展的技術(shù)。目前，千兆以太網(wǎng)正在普及，萬兆以太網(wǎng)技術(shù)發(fā)展得也很快。隨著多媒體應(yīng)用的發(fā)展，網(wǎng)絡(luò)只有采用交換方式才能滿足需求；同時(shí)，交換機(jī)的價(jià)格和集線器差別已經(jīng)不大，所以，目前企業(yè)紛紛采用交換 以太網(wǎng)技術(shù)。 2. 高性能 隨著業(yè)務(wù)的增加和計(jì)算機(jī)技術(shù)的發(fā)展，接入局域網(wǎng)的用戶將越來越多， pc和工作站的處理能力越來越強(qiáng)，以及圖形圖像和多媒體的應(yīng)用越來越廣泛，要求每個(gè)用戶實(shí)際可用帶寬很高才能使網(wǎng)絡(luò)通信流暢，因此設(shè)計(jì)方案時(shí)應(yīng)充分考慮將來業(yè)務(wù)量的增大，保證當(dāng)前及今后一定時(shí)期內(nèi)網(wǎng)絡(luò)的高 效與通暢。 3. 可伸縮性 網(wǎng)絡(luò)要能滿足用戶當(dāng)前需求以及將來需求的增長(zhǎng)、新技術(shù)發(fā)展等變化。因此在保護(hù)原有的投資同時(shí)，要保證用戶隨時(shí)隨地增加設(shè)備、增加網(wǎng)絡(luò)功能等。隨著應(yīng)用規(guī)模的發(fā)展，系統(tǒng)能靈活方便地進(jìn)行硬件或軟件系統(tǒng)的擴(kuò)展和升級(jí)。 4. 可靠性與安全性 網(wǎng)絡(luò)是企業(yè)信息系統(tǒng)應(yīng)用所依賴的基礎(chǔ)，要求系統(tǒng)連續(xù)安全可靠地運(yùn)行，所以在系統(tǒng)結(jié)構(gòu)設(shè)計(jì)、網(wǎng)絡(luò)型號(hào)選擇、供應(yīng)商技術(shù)、維護(hù)服務(wù)等方面都要嚴(yán)格考察。盡可能利用成熟的技術(shù)，網(wǎng)絡(luò)關(guān)鍵部分要有備份措施，對(duì)于重要的網(wǎng)絡(luò)節(jié)點(diǎn)應(yīng)采用先進(jìn)可靠的容錯(cuò)技術(shù)，以保證網(wǎng)絡(luò)系統(tǒng)的可靠性和安全 性。 7 5. 開放性 網(wǎng)絡(luò)技術(shù)是不斷發(fā)展變化的。建網(wǎng)時(shí)所選產(chǎn)品必須符合國(guó)際標(biāo)準(zhǔn)及流行的工業(yè)標(biāo)準(zhǔn)，這樣才能為網(wǎng)絡(luò)的未來發(fā)展提供保證。 6. 可管理性 網(wǎng)絡(luò)系統(tǒng)將發(fā)展得越來越復(fù)雜。這就要求有強(qiáng)有力的網(wǎng)管手段，合理地調(diào)整網(wǎng)絡(luò)資源、監(jiān)視網(wǎng)絡(luò)狀態(tài)和控制網(wǎng)絡(luò)運(yùn)行。 關(guān)鍵 技術(shù) 選 用 接入層技術(shù) 接入層通常指網(wǎng)絡(luò)中直接面向用戶連接或訪問的部分。接入層目的是允許終端用戶連接到網(wǎng)絡(luò)，因此接入層交換機(jī)具有低成本和高端口密度特性。接入交換機(jī)是最常見的交換機(jī)，它直接與外網(wǎng)聯(lián)系，使用最廣泛，尤其是在一般辦公室、小型機(jī)房 和業(yè)務(wù)受理較為集中的業(yè)務(wù)部門、多媒體制作中心、網(wǎng)站管理中心等部門。在傳輸速度上，現(xiàn)代接入交換機(jī)大都提供多個(gè)具有 10M/100M/1000M 自適應(yīng)能力的端口。 此次工程在實(shí)施過程中將采用以太網(wǎng)技術(shù)，并利用 Vlan 技術(shù)隔離廣播域 VLAN（ Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)不同的網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的技術(shù)。它不受網(wǎng)絡(luò)用戶的物理位置限制，而是根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。 從而減小廣播風(fēng)暴帶來的危害，增加資源利用率。采用 Trunk 技術(shù)實(shí)現(xiàn)不同 Vlan間的通信，當(dāng)數(shù)據(jù)進(jìn)入交換機(jī)時(shí) Access 模式端口會(huì)為數(shù)據(jù)打上該端口所屬 Vlan的標(biāo)記（ PVID），普通交換機(jī)接口只允許該端口所屬 Vlan 數(shù)據(jù)通過。將交換機(jī)的借口定義為 Trunk 模式可以允許不同 Vlan 的數(shù)據(jù)通過。 匯聚及核心層技術(shù) 匯聚層是樓群或小區(qū)的信息匯聚點(diǎn)，是連接接入層和核心層的網(wǎng)絡(luò)設(shè)備。為接入層提供數(shù)據(jù)的匯聚 \傳輸 \管理 \分發(fā)處理。匯聚層為接入層提供基于策略的連接，如地址合并 ,協(xié)議過濾 ,路由服務(wù)，認(rèn)證管理等，通過網(wǎng)段劃分 (如 VLAN)與網(wǎng)絡(luò)隔離可以防止某些網(wǎng)段的問題 蔓延和影響到核心層。匯聚層同時(shí)也可以提供接入層虛擬網(wǎng)之間的互連，控制和限制接入層對(duì)核心層的訪問，保證核心層的安全和穩(wěn)定。核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，骨干層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、可靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能最好盡量少在骨干層上實(shí)施。核心層一直被認(rèn)為 8 是所有流量的最終承受者和匯聚者，所以對(duì)核心層的設(shè)計(jì)以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格。核心層設(shè)備將占投資的主要部分。 接入層數(shù)據(jù)訪問外網(wǎng)時(shí)根據(jù)轉(zhuǎn)發(fā)邏輯需要傳給默認(rèn)網(wǎng)關(guān)，因此默認(rèn)網(wǎng)關(guān)是 Vlan 數(shù)據(jù)的唯一出口。如果網(wǎng)關(guān)設(shè)備出現(xiàn)故障那么數(shù)據(jù)就無法實(shí) 現(xiàn)跨網(wǎng)傳輸。為了確保數(shù)據(jù)傳輸安全這里采用 HSRP 技術(shù)，當(dāng)一個(gè)設(shè)備出現(xiàn)故障時(shí)可以啟用備份網(wǎng)關(guān)設(shè)備。當(dāng)數(shù)據(jù)轉(zhuǎn)交給網(wǎng)關(guān) (一般為路由器 ) 后，路由器需要對(duì)其進(jìn)行轉(zhuǎn)發(fā)。我們知道路由器是依照路由表進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)的，形成內(nèi)部路由表需要 RIP 或者 OSPF 技術(shù)。由上文我們可以看出 OSPF 更加適用此次工程。該公司有總部和分部太遠(yuǎn)，他們之間信息傳輸必須要走外網(wǎng)，同時(shí)為了便于管理我們采用 VPN 技術(shù)使他們 在 邏輯上看 是屬于同一局域網(wǎng)中。 網(wǎng)絡(luò)服務(wù)器的選用 出于便于管理