【正文】 AN） 連接性。這些交換機(jī)必須擁有能提供高速鏈路的端口密度，以支持所有接入層交換機(jī)。 分布 層 分布層將園區(qū)網(wǎng)的接入層和核心層連接起來(lái)。 在 本設(shè)計(jì)的 核心層中，采用兩臺(tái) Cisco Catalyst 4006 交換機(jī) 組成雙機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案。 園區(qū)網(wǎng)的核心層連接所有的分布層設(shè)備，必須能夠盡可能高效地交換數(shù)據(jù)流。 ? 易于擴(kuò)展 ： 在網(wǎng)絡(luò)設(shè)計(jì)中，模塊化具有的特性使得網(wǎng)絡(luò)增長(zhǎng)時(shí)網(wǎng)絡(luò)的復(fù)雜性能夠限制在子網(wǎng)中，而不會(huì)蔓延到網(wǎng)絡(luò)的其他地方。所謂“ 層次化 ” 模型，就是將復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)分成幾個(gè)層次，每個(gè)層次著重于某些特定的功能，這樣就能夠使一個(gè)復(fù)雜的大問(wèn)題變成許多簡(jiǎn)單的小問(wèn)題。著眼于近期目標(biāo)和長(zhǎng)期的發(fā)展，選用先進(jìn)的設(shè)備進(jìn)行最佳性能組合，利用有限的投資構(gòu)造一個(gè)性能最佳的網(wǎng)絡(luò)系統(tǒng)。 具有容錯(cuò)功能，能滿足 企業(yè) 所在地環(huán)境、氣候條件，抗干擾能力強(qiáng)，對(duì)網(wǎng)絡(luò)的設(shè)計(jì)、選型、安裝、調(diào)試等各環(huán)節(jié)進(jìn)行統(tǒng)一規(guī)劃和分析，確保 系統(tǒng)運(yùn)行可靠。 2） 安全性： 應(yīng)能在可靠性的前提下，抵擋來(lái)自內(nèi)部和外部的攻擊；采用的安全措施有效、可信，能夠在多層次上、以多種方式實(shí)現(xiàn)安全的控制。在網(wǎng)絡(luò)應(yīng)用日趨復(fù)雜的環(huán)境下，如何在有限的網(wǎng)絡(luò)資源里充分保障各類應(yīng)用的實(shí)施，是一個(gè)非常復(fù)雜的問(wèn)題，實(shí)施 QoS，是端到端的概念，不是 單個(gè)設(shè)備的問(wèn)題，而是涉及整個(gè)園區(qū)網(wǎng)、甚至跨廣域網(wǎng)的問(wèn)題。如果不同設(shè)備采用不同的軟件系統(tǒng)，兼容性、開(kāi)放性和可擴(kuò)展性都會(huì)受到影響。 網(wǎng)絡(luò)平臺(tái)的特點(diǎn) 網(wǎng)絡(luò)平臺(tái)是企業(yè)信息化的核心，要求具有高可靠性、高性能、良好可擴(kuò)展性以及端到端的 QoS 服務(wù)質(zhì)量保證。 Inter，共享網(wǎng)絡(luò)資源。 II Abstract With the development of modern technology and puter technology and munication technology bined with, the puter seems to have bee essential equipment for each enterprise. More than half of enterprises have their own work. Enterprise work can not only provide us with a modern, efficient, fast and safe office environment, but also highspeed data transfer and production automation. According to the construction principles, the hardware and software of posing small and mediumsized enterprises works are analyzed from the aspects such as technological base, Scheme selection and construction method. On the basis of above, the work topology is constructed. And carried out detailed design and configuration. It can be the reference pattern for similar instances. Finally, the practical experience in the process of work construction is summarized and discussed. Key words: work。企業(yè)網(wǎng)絡(luò)不僅可以提供給我們一個(gè)現(xiàn)代化的高效、快捷、安全的辦公環(huán)境，還可以進(jìn)行高速的數(shù)據(jù)傳輸和實(shí)現(xiàn)生產(chǎn)自動(dòng)化。 本文根據(jù)網(wǎng)絡(luò)構(gòu)建的原則，從技術(shù)基礎(chǔ)、方案選擇、構(gòu)建方法等方面對(duì)組建一個(gè)中小型企業(yè)網(wǎng)絡(luò)進(jìn)行了分析，在此基礎(chǔ)上構(gòu)建了網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，并 進(jìn)行了詳細(xì)的設(shè)計(jì)及配置，為一些類似的企業(yè)公司的網(wǎng)絡(luò)建設(shè)提供了一個(gè)可供參考的模板。 switch hub。 IP 地址和域名。 高可用性必須是一個(gè)端到端的網(wǎng)絡(luò)目標(biāo)。 QoS(服務(wù)質(zhì)量保證 )是保證向網(wǎng)絡(luò)業(yè)務(wù)提供有品質(zhì)的服務(wù)。 QoS 的管理和部署可能需要涉及到不同城市、不同廠區(qū)、不同大樓的每一臺(tái)網(wǎng)絡(luò)設(shè)備，甚至每一個(gè)端口。 3） 可靠性： 系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜，同時(shí)在部分子系統(tǒng)中存在較高的技術(shù)性，因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運(yùn)行，具有很高的MTBF(平均無(wú)故障工作時(shí)間 )和極低 的 MTBR(平均無(wú)故障率 )，提高容錯(cuò)設(shè)計(jì)，支持故障檢測(cè)和恢復(fù)，可管理性強(qiáng)。 4） 統(tǒng)一性： 在系統(tǒng)的設(shè)計(jì)過(guò)程中，堅(jiān)持 “ 三統(tǒng)一 ” ，即統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一出口。 7） 實(shí)用性： 實(shí)用性設(shè)計(jì)應(yīng)能滿足目前對(duì)網(wǎng)絡(luò)應(yīng)用 的要求，充分實(shí)現(xiàn)內(nèi)部管理、信息化等要求，使網(wǎng)絡(luò)的整體性能盡快得到充分的發(fā)揮，并且便于掌握。 “ 核心層 分布層 接入層 ” 層次化網(wǎng) 絡(luò)設(shè)計(jì)模型有如下優(yōu)點(diǎn)： ? 節(jié)省成本 ： 在采用層次模型之后，各層次各司其職，不再在同一個(gè)平臺(tái)上考慮所有的事情。而如果采用扁平化和網(wǎng)狀設(shè)計(jì)，任何一個(gè)節(jié)點(diǎn)的變動(dòng)都將對(duì)整個(gè)網(wǎng)絡(luò)產(chǎn)生很大影響。應(yīng)具有如下特征： ? 第 2 層和第 3 層的吞吐量非常高； ? 不執(zhí)行高成本或不必要的分組處理（訪問(wèn)列表、分組過(guò)濾）； ? 支持高可用性的冗余和彈性； ? 高級(jí) QoS 功能。為提高核心 網(wǎng)絡(luò)的健壯性，實(shí)現(xiàn)鏈路的安全保障，本方案骨干核心層中可以采用 VRRP（ 熱備用路由器協(xié)議 ）。必須具備下述的功能： ? 聚集多臺(tái)接入層設(shè)備； ? 較高的第 3 層分組處理吞吐量； ? 使用訪問(wèn)列表和分組過(guò)濾器提供安全和基于策略的連接； ? QoS 功能； ? 連接到核心層和接入層的高速鏈接具有可擴(kuò)展性和彈性。 VLAN 和廣播域在分布層聚合在一起，需要支持路由選擇、過(guò)濾和安全 。該層設(shè)備有時(shí)被稱為大樓介入交換機(jī)，必須具備下述功能： ? 低交換機(jī)端口成本； ? 高端口密度； ? 連接到高層的可擴(kuò)展上行鏈路； ? 用戶接入功能，如 VLAN 成員資格、數(shù)據(jù)流和協(xié)議過(guò)濾以及服務(wù)質(zhì)量（ QoS）； ? 使用多條上行鏈路提供彈性。 網(wǎng)絡(luò)拓?fù)淙缦聢D所示： 6 3 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)及配置 這里我將使用思科的一款虛擬軟件（ cisco packet tracer）完成配置，該軟件功能有限，一些配置并不能在該軟件上實(shí)現(xiàn)。交換機(jī)擁有 24 個(gè) 10/100Mbps自適應(yīng)快速以太網(wǎng)端口，運(yùn)行的是 Cisco 的 IOS 操作系統(tǒng)。 其中 h 是 hostname 的簡(jiǎn)寫(xiě)，（在真實(shí)環(huán)境中也 支持簡(jiǎn)寫(xiě)）可以用該命令實(shí)現(xiàn)設(shè)備的重命名。 （ 3）設(shè)置登錄虛擬終端線時(shí)的口令 Line vty 0 15 Password cisco Login Login 對(duì)這個(gè)配置很重要，沒(méi)有他你就算配了密碼也無(wú)法登陸。在設(shè)置的時(shí)間內(nèi)，如果沒(méi)有檢測(cè)到鍵盤輸入， IOS 將斷開(kāi)用戶和交換機(jī)之間的連接?？梢越眠@個(gè)特性 （ 6）設(shè)置啟用消息同 步特性 有時(shí)，用戶輸入的交換機(jī)配置命令會(huì)被交換機(jī)產(chǎn)生的消息打亂。但是，為了使網(wǎng)絡(luò)管理人員可以從遠(yuǎn)程登錄到接入層交換機(jī)上進(jìn)行管理，必要給接入層交換機(jī)設(shè)置一個(gè)管理用 IP 地址。同時(shí)，將分布層交換機(jī) DistributeSwitch1 設(shè)置成為 VTP 服務(wù)器，其他交換機(jī)設(shè)置成為VTP 客戶機(jī)。以后都將使用這些縮寫(xiě)。 設(shè)置接入層交換機(jī) AccessSwitch1 的所有端口 （ 124） 的速度均為 100Mbps。 9 Swi 為 switchport 的縮寫(xiě)， mo 為 mode 的縮寫(xiě)， acc 為 access 的縮寫(xiě)。 （ 2） 設(shè)置快速端口 默認(rèn)情況下，交換機(jī)在剛加電啟動(dòng)時(shí)，每個(gè)端口都要經(jīng)歷生成樹(shù)的四個(gè)階段：阻塞、偵聽(tīng)、學(xué)習(xí)、轉(zhuǎn)發(fā)。設(shè)置為快速端口的端口當(dāng)交換機(jī)啟動(dòng)或端口有工作站接入時(shí)，將會(huì)直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，而不會(huì)經(jīng)歷阻塞、偵聽(tīng)、學(xué)習(xí)狀態(tài)（假設(shè)橋接表已經(jīng)建立） 。 設(shè)置接入層交換機(jī) AccessSwitch1的端口 FastEther 0/2 FastEther 0/24 為主干道端口 ，即為配置這兩個(gè)端口的中繼。 分布層交換服務(wù)的 實(shí)現(xiàn)－配置分布層交換機(jī) 分布層除了負(fù)責(zé)將接入層交換機(jī)進(jìn)行匯集外，還為整個(gè)交換網(wǎng)絡(luò)提供 VLAN間的路由選擇功能。同時(shí)，還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。我們常采用 VLAN 中繼協(xié)議（ Vlan Trunking Protocol， VTP）來(lái)解決這個(gè)問(wèn)題。從而大大減輕了網(wǎng)絡(luò)管理人員配置交換機(jī)負(fù)擔(dān)。每一個(gè) VTP 管理域都有一個(gè)共同的 VTP 管理域域名。同時(shí)，還有責(zé)任發(fā)送和轉(zhuǎn)發(fā) VLAN 更新消息。當(dāng)激活了 VTP 剪裁功能以后，交換機(jī)將自動(dòng)剪裁本交換機(jī)沒(méi)有定義的 VLAN 數(shù)據(jù)。 由于使用了 VTP 技術(shù)，所以所有 VLAN 的定義只需要在 VTP 服務(wù)器，即分布層交換機(jī) DistributeSwitch1 上進(jìn)行。 為了實(shí)現(xiàn)冗余設(shè)計(jì)，分布層交換機(jī) DistributeSwitch1 還通過(guò)自己的千兆端口 GigabitEther 1/2 連接另一臺(tái)到分布層交換機(jī) DistributeSwitch2 的GigabitEther 1/2。這需要首先啟用分布層交換機(jī)的路由功能。 15 此 外 ，分 布層 交 換機(jī) DistributeSwitch2 還 通過(guò) 自 己的 千兆 端 口GigabitEther1/1 上連到核心交換機(jī) CoreSwitch2 的 GigabitEther 0/1。 2． 配置核心層交換機(jī) CoreSwitch1 的管理 IP、默認(rèn)網(wǎng)關(guān) 如圖所示，顯示了為核心層交換機(jī) CoreSwitch1 設(shè)置管理 IP 并激活本征VLAN。 16 完整命令為： vtp mode client 4． 配置核心層交換機(jī) CoreSwitch1 的端口參數(shù) 核心層交換機(jī) CoreSwitch1 通過(guò)自己的端口 FastEther 0/22 同廣域網(wǎng)接入模塊（ Inter 路由器）相連。 下面 是設(shè)置核心層交換機(jī) CoreSwitch1 的千兆以太網(wǎng)信道的步驟。這里使用了一條缺省路由命令，如圖所示。同時(shí)，對(duì)于配置核心層交換機(jī)CoreSwitch2 下連的一系列交換機(jī)，其連接方法以及配置步驟和命令同核心層交換機(jī) CoreSwitch1 下連的一系列交換機(jī)的連接方法以及配置步驟和命令類似。它通過(guò) 添加 WIC2T 模塊 上帶的 串行接口 serial 0/0使用 DDN（ 128K）技術(shù)接入 Inter。 配置接入路由器 InterRouter 的各接口參數(shù) 對(duì)接入路由器 InterRouter 的各接口參數(shù)的配置主要是對(duì)接口FastEther 0/0 以及接口 Serial 0/0/0 的 IP 地址、子網(wǎng)掩碼的配置。其中，下一跳指定從本路由器的接口 serial 0/0/0 送出。為了解決所有工作站訪問(wèn) Inter的需要，必須使用 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)。 （ 1）定義 NAT 內(nèi)部、外部接口 Ip nat inside 定義端口為內(nèi)部端口； Ip nat outside 定義端口為外部端口。 將除服務(wù)器外的內(nèi)部 IP 隨機(jī)轉(zhuǎn)換為地址池內(nèi)的 的公有地址。一個(gè)設(shè)計(jì)良好的訪問(wèn)控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。主要應(yīng)該做以下的ACL 設(shè)計(jì)： （ 1）對(duì)外屏蔽簡(jiǎn)單網(wǎng)管協(xié)議，即 SNMP。用戶在使用 tel 登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時(shí)所使用 的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?，很容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。可以將針對(duì)以上協(xié)議綜合進(jìn)行設(shè)計(jì)，如圖所 示。 應(yīng)只允許來(lái)自服務(wù)器群的 IP 地址訪問(wèn)并配置路由器。 遠(yuǎn)程訪問(wèn)有三種可選的服務(wù)類型：專線連接、電路交換和包交換。傳統(tǒng) PSTN 提供的服務(wù) 也被稱為簡(jiǎn)易老式電話業(yè)務(wù)（ Plan Old Telephone System， POTS）。其中， PPP 除了提供身份認(rèn)證功能外，還可以提供其他很多可選項(xiàng)配置，包括鏈路壓縮、多鏈路捆綁、回叫等，因此更具優(yōu)勢(shì)。 PAP 認(rèn)證進(jìn)程只在雙方的通信鏈路建立初期進(jìn)行。同時(shí)，身份認(rèn)證可 22 以隨時(shí)進(jìn)行，包括在雙方正常通信過(guò)程中。 PAP 雖然有著用戶名和密碼是明文發(fā)送的弱點(diǎn)，但是認(rèn)證只在鏈路建立初期進(jìn)行，因此節(jié)省了寶貴的鏈