【正文】 絡(luò)分段組成的網(wǎng)絡(luò)發(fā)生變化是難免的，因此路由器將會接收到區(qū)域內(nèi)新產(chǎn)生的每個(gè)路由選擇的更新，從而使得每一個(gè)路由器必須要用非常多的CPU周期來重新計(jì)算路由表，這無疑占用了網(wǎng)絡(luò)資源、降低了路由器使用的效率。企業(yè)網(wǎng)網(wǎng)絡(luò)系統(tǒng)是一個(gè)非常龐大而復(fù)雜的系統(tǒng)，它不僅為現(xiàn)代化發(fā)展、綜合信息管理和辦公自動化等一系列應(yīng)用提供基本操作平臺，而且能提供多種應(yīng)用服務(wù)，使信息能及時(shí)、準(zhǔn)確地傳送給各個(gè)系統(tǒng)。企業(yè)網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)施方案1. 緒論 企業(yè)網(wǎng)的建設(shè)意義企業(yè)網(wǎng)行業(yè)是21世紀(jì)的朝陽行業(yè)，是目前乃至以后發(fā)展?jié)摿ψ畲蟮男袠I(yè)之一。這種基于信息技術(shù)的分布式網(wǎng)絡(luò)化企業(yè)，當(dāng)一個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)增加到一定數(shù)目時(shí)，而采用OSPF單區(qū)域規(guī)劃將會導(dǎo)致一些難處理的麻煩，因此如何科學(xué)的設(shè)計(jì)一個(gè)OSPF多區(qū)域規(guī)劃企業(yè)網(wǎng)絡(luò)系統(tǒng)是以后中小型企業(yè)的發(fā)展方向，OSPF的這種將一個(gè)大型網(wǎng)絡(luò)分成多個(gè)區(qū)域的的小網(wǎng)絡(luò)，在單個(gè)區(qū)域內(nèi)運(yùn)行SPF計(jì)算，有效的降低了計(jì)算頻率，整個(gè)鏈路狀態(tài)更新(LSU)負(fù)荷也相應(yīng)的得到降低，從而讓企業(yè)進(jìn)行更好的信息交互。(2)大型路由表的出現(xiàn)——每臺路由器需要為每個(gè)網(wǎng)絡(luò)維持至少一個(gè)路由條目，比如說在一個(gè)擁有400個(gè)網(wǎng)絡(luò)的企業(yè)中，建設(shè)存在其他可選擇路徑的情況占這400個(gè)網(wǎng)絡(luò)的25%，路由表就至少會增加額外的100個(gè)條目[2]。(2)企業(yè)網(wǎng)關(guān)鍵技術(shù)分析 介紹在本方案設(shè)計(jì)中所涉及的技術(shù)。2. 企業(yè)網(wǎng)關(guān)鍵技術(shù)分析 企業(yè)網(wǎng)技術(shù)分類 企業(yè)網(wǎng)是園區(qū)網(wǎng)絡(luò)的一種，所用到的技術(shù)也是園區(qū)網(wǎng)中的技術(shù)，我們將這些實(shí)用的技術(shù)分為交換技術(shù)，路由技術(shù)，企業(yè)網(wǎng)絡(luò)遠(yuǎn)程接入技術(shù)。其實(shí)，路由和交換之間的主要區(qū)別就是交換發(fā)生在OSI參考模型的第二層(數(shù)據(jù)鏈路層)，而路由發(fā)生在第三層，即網(wǎng)絡(luò)層。VPN接入利用的是ISP公網(wǎng)，通過VPN自身的安全性來保證數(shù)據(jù)傳輸?shù)陌踩?，與專線接入相比價(jià)格相對較低廉。(1)VLAN 技術(shù) VLAN(Virtual Local Area Network)即虛擬局域網(wǎng)，是一種邏輯廣播域，它能將處于不同物理網(wǎng)段的主機(jī)聚集到同一個(gè)廣播域中，廣播不會在VLAN之間轉(zhuǎn)發(fā)，而是被限制在各自的VLAN中。TRUNK主要功能就是僅通過一條鏈路就可以連接多個(gè)VLAN。 企業(yè)網(wǎng)中的路由技術(shù)路由技術(shù)主要應(yīng)用于核心層或者出口去其他的網(wǎng)絡(luò)，連接出自己的園區(qū)的網(wǎng)絡(luò)，在經(jīng)過接入路由器時(shí)根據(jù)IP包的目的地址，在路由器的路由表中查詢，是否有前往目的地的路由，如果有則根據(jù)路由條目來轉(zhuǎn)發(fā)IP包，由于在企業(yè)網(wǎng)的核心層會使用2臺核心交換機(jī)做備份，則在此時(shí)可以通過路由技術(shù)——HSRP(CISCO專有的協(xié)議)或者VRRP(國際通用的協(xié)議)來實(shí)現(xiàn)流量負(fù)載。在VRRP組內(nèi)，可以分別指定各路由器的選舉優(yōu)先級，當(dāng)VRRP進(jìn)行選舉時(shí)，首先比較選舉優(yōu)先級，優(yōu)先級高者獲勝成為VRRP組的Master,失敗者成為Backup。Internet工程任務(wù)協(xié)會(IETF)在1988年開發(fā)了OSPF。(2)VPN技術(shù) VPN的英文全稱是“Virtual Private Network”即虛擬專用網(wǎng)絡(luò)。3. 概要設(shè)計(jì) 網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)“功欲善其事，必先利其器”，高科通信技術(shù)有限公司深刻認(rèn)識到業(yè)務(wù)要發(fā)展、必須提高企業(yè)內(nèi)部核心競爭力、而建立一個(gè)方便快捷安全的通信網(wǎng)絡(luò)綜合信息支撐系統(tǒng)，已迫在眉睫。(3)完全符合開放性規(guī)范，將業(yè)界優(yōu)秀的產(chǎn)品集成于該綜合網(wǎng)絡(luò)平臺之中。(7)設(shè)備選型上必須在技術(shù)上具有先進(jìn)性，通用性，且必須便于管理，維護(hù)。另外，在武漢有一家分公司，主要為銷售業(yè)務(wù)。核心交換機(jī)，服務(wù)器，遠(yuǎn)程接入路由器，以及Internet接入均屬于總部設(shè)備管理中心，便于統(tǒng)一管理。： 高科通信技術(shù)有限公司信息點(diǎn)統(tǒng)計(jì)部門地點(diǎn)微機(jī)室財(cái)務(wù)部行政部生產(chǎn)部研發(fā)部后勤部業(yè)務(wù)部人力資源部總裁辦總部 10 20 20 100 30 10 80 105分部 2 2 2 20 3 網(wǎng)絡(luò)功能需求分析企業(yè)網(wǎng)為了方便對企業(yè)內(nèi)部辦公的信息交互和業(yè)務(wù)辦理的管理，充分利用企業(yè)內(nèi)部資源，增強(qiáng)網(wǎng)絡(luò)的可靠性和安全性，該網(wǎng)絡(luò)的主要功能需求如下：(1)全網(wǎng)用戶都能通過邊界路由器訪問Internet。(3)總部服務(wù)器和DHCP要求，總部和分部都應(yīng)設(shè)置DHCP服務(wù)器分配IP地址。 可行性分析(1)技術(shù)可行性本設(shè)計(jì)所涉及的技術(shù)都是本人在藍(lán)狐學(xué)習(xí)時(shí)所接觸到的內(nèi)容，其中的每一項(xiàng)技術(shù)經(jīng)過老師的講解、自身的消化、以及反復(fù)的上機(jī)實(shí)驗(yàn)不斷的提出問題，解決問題而得以掌握的，所以我認(rèn)為在技術(shù)上是可行的。(4)安全可行性企業(yè)網(wǎng)的安全問題分為兩個(gè)方面：一是企業(yè)內(nèi)部業(yè)務(wù)分割與企業(yè)職工對某一業(yè)務(wù)的訪問權(quán)；二是接入Internet后企業(yè)內(nèi)部數(shù)據(jù)的安全。下面我們來分析這三種主流技術(shù)的優(yōu)缺點(diǎn)，然后在選擇一種我們認(rèn)為比較合適的企業(yè)網(wǎng)技術(shù)。② 快速以太網(wǎng)快速以太網(wǎng)實(shí)際上是10Mbps以太網(wǎng)的100Mbps版本，所以它的運(yùn)行速度要比10M白皮書以太網(wǎng)快10倍?？傊д滓蕴W(wǎng)與以前我們了解的以太網(wǎng)相同，所不同的是僅僅比快速以太網(wǎng)快十倍和它與當(dāng)前的高帶寬需求應(yīng)用程序相協(xié)調(diào)的額外特性。(3)異步傳輸模式(ATM) ATM是目前網(wǎng)絡(luò)發(fā)展的新技術(shù)，它采用基于信元的異步傳輸模式和虛電路結(jié)構(gòu)，根本上解決了多媒體的實(shí)時(shí)性及帶寬問題，實(shí)現(xiàn)面向虛鏈路的點(diǎn)到點(diǎn)傳輸，它通常提供155Mbps的帶寬，它既汲取了話務(wù)通訊中電路交換的“有連接”服務(wù)和服務(wù)質(zhì)量保證，又保持了以太網(wǎng)，F(xiàn)DDI等傳統(tǒng)網(wǎng)絡(luò)中帶寬可變，適于突發(fā)性傳輸?shù)撵`活性，從而成為迄今為止使用范圍最廣，技術(shù)最先進(jìn)，傳輸效果最理想的網(wǎng)絡(luò)互聯(lián)手段[11]。其中，電話網(wǎng)的星形結(jié)構(gòu)，為目前使用最普通的以太網(wǎng)星形結(jié)構(gòu)，處于中心位置的網(wǎng)絡(luò)設(shè)備稱為集線器。(2)環(huán)形拓?fù)浣Y(jié)構(gòu) 環(huán)形拓?fù)洵h(huán)形拓?fù)浣Y(jié)構(gòu)在企業(yè)網(wǎng)中使用較多，這種結(jié)構(gòu)的傳輸媒體從一個(gè)端用戶到另一個(gè)端用戶，直到將所有端用戶連成環(huán)形。使用這種結(jié)構(gòu)必須解決的一個(gè)問題是確保端用戶使用媒體發(fā)送數(shù)據(jù)時(shí)不能出現(xiàn)沖突。然而，在園區(qū)網(wǎng)環(huán)境下，由于所有數(shù)據(jù)站都是平等的，不能采取上述機(jī)制。子網(wǎng)之間的通信，企業(yè)總部與分部之間的通信都要靠主干網(wǎng)來實(shí)現(xiàn)路由轉(zhuǎn)發(fā)。Ospf是一種鏈路狀態(tài)協(xié)議，根據(jù)鏈路的帶寬來選擇到達(dá)目標(biāo)地址的路由，只有在拓?fù)浣Y(jié)構(gòu)發(fā)生變化時(shí)才會發(fā)送鏈路狀態(tài)更新消息，沒有最大跳數(shù)限制，具有區(qū)域的概念。 子網(wǎng)設(shè)計(jì)(1)辦公子網(wǎng)設(shè)計(jì)辦公子網(wǎng)分布在和分部的辦公大樓內(nèi)，接入層交換機(jī)通過trunk鏈路分別與兩臺核心層交換機(jī)相連。(2)宿舍樓子網(wǎng)設(shè)計(jì)宿舍樓子網(wǎng)主要業(yè)務(wù)是對Internet的訪問，由于距離中心機(jī)房較遠(yuǎn)，宿舍樓子網(wǎng)采用三層結(jié)構(gòu)，接入層交換機(jī)接入到匯聚層交換機(jī)上，匯聚層交換機(jī)通過光纖鏈路連接到中心機(jī)房核心層交換機(jī)上，宿舍樓內(nèi)每個(gè)宿舍屬于同一個(gè)vlan，通過匯聚層上SVI接口實(shí)現(xiàn)vlan之間的通信，匯聚層通過三層接口與核心層相連，在匯聚層上有默認(rèn)路由來實(shí)現(xiàn)接入層設(shè)備到核心層從而訪問Internet的路由。在本設(shè)計(jì)方案中為了能對網(wǎng)絡(luò)中所有的設(shè)備進(jìn)行方便統(tǒng)一的管理，所有的設(shè)備均配置網(wǎng)絡(luò)管理地址。 總部vlan劃分方案部門Vlan號/Vlan名稱信息點(diǎn)數(shù)微機(jī)室2/weijs10財(cái)務(wù)部3/caiwb20行政部4/xingzb20生產(chǎn)部5/shengcb100研發(fā)部6/yanfb30后勤部7/houqb10業(yè)務(wù)部8/yewb80人力資源部9/renlzyb10總裁辦10/zongcb5會議室11/huiys20服務(wù)器20/fuwq10網(wǎng)管55/wangg不占物理接口Ospf互聯(lián)vlan901/hul不占物理接口 分部vlan劃分方案部門Vlan號/vlan名稱信息點(diǎn)數(shù)微機(jī)室2/weijs2財(cái)務(wù)部3/caiwb2行政部4/xingzb2銷售部5/xiaosb20后勤部6/houqb3網(wǎng)管22/wangg 不占用物理接口 網(wǎng)絡(luò)安全設(shè)計(jì) dhcp存在的威脅分析及解決方案(1)dhcp服務(wù)器冒充由于 dhcp服務(wù)器和客戶端之間沒有認(rèn)證機(jī)制，所以如果在網(wǎng)絡(luò)上隨意添加一臺 dhcp服務(wù)器，它就可以為客戶端分配ip地址以及其他網(wǎng)絡(luò)參數(shù)，該安全威脅引起的后果輕則用戶終端獲取到不一致的ip信息，造成終端之間通信的問題，重則用戶終端獲取不到不安全的ip信息，造成中間人攻擊或者網(wǎng)絡(luò)釣魚[13]。同時(shí)，并非所有來自untrust端口的 dhcp請求都被允許通過，交換機(jī)還可以比較封裝 dhcp客戶機(jī)的硬件地址(即CHADDR字段)，只有這兩者相同的請求報(bào)文才會被轉(zhuǎn)發(fā)，否則將被丟棄，這樣就防止了 dhcp地址耗盡攻擊。(2)loopguard在企業(yè)網(wǎng)的接入層和分布層的非指定端口(邊緣端口除外)部署loopguard保護(hù)特性，配置了Loopguard特性的端口在bpdu丟失持續(xù)20秒后變?yōu)長oopinconsistent狀態(tài)，該端口被blocking來防止循環(huán)的形成，并保持在非指定端口角色。 邊界安全設(shè)計(jì)企業(yè)網(wǎng)邊界是企業(yè)網(wǎng)內(nèi)部通向Internet的必經(jīng)之地，同時(shí)Internet上的數(shù)據(jù)也是從企業(yè)網(wǎng)邊界進(jìn)入到企業(yè)網(wǎng)的內(nèi)部，Internet上存在著太多的不安全因素，因此，邊界的安全系數(shù)決定著企業(yè)網(wǎng)的安全性。(1)所有目標(biāo)端口為80的流量 即Internet上訪問企業(yè)網(wǎng)站的流量；(2)分部訪問總部的流量 分部對總部服務(wù)器和相關(guān)業(yè)務(wù)訪問的流量；(3)Ospf流量 包括ospf鏈路更新和Hello消息流量。 設(shè)備選型設(shè)備選型原則：(1)代表目前網(wǎng)絡(luò)系統(tǒng)設(shè)備的先進(jìn)水平；(2)具備較強(qiáng)的安全性；(3)具備優(yōu)良的RAS性能—可靠性、安全性、可維護(hù)性；(4)具備優(yōu)良的可擴(kuò)充性和升級能力；(5)具備優(yōu)良的性價(jià)比。宿舍樓子網(wǎng)通過兩臺匯聚層交換機(jī)連接到公司核心層交換機(jī)上。 ip地址規(guī)劃 ip地址需求分析(1)所有可能接pc的信息點(diǎn)；(2)所有服務(wù)器；(3)網(wǎng)絡(luò)中的所有三層鏈路；(4)所有設(shè)備的網(wǎng)絡(luò)管理地址；(5)。不僅能滿足現(xiàn)有數(shù)據(jù)、語音、圖像等信息傳輸?shù)囊?，也為今后的發(fā)展奠定基礎(chǔ)。大樓內(nèi)布線采用AVAYA的超五類雙絞線結(jié)構(gòu)化布線結(jié)構(gòu)。水平布線提供大樓網(wǎng)絡(luò)通信系統(tǒng)到用戶終端設(shè)備的信息傳輸[