【正文】 RP）的設(shè)計(jì)目標(biāo)是支持特定情況下 IP 流量失敗轉(zhuǎn)移不會(huì)引起混亂、并允許主機(jī)使用單路由器，以及即使在實(shí)際第一跳路由器使用失敗的情形下仍能維護(hù)路由器間的連通性。 本科 畢業(yè)設(shè)計(jì)（論文） _______________________________________________________________________________ 10 PVST PVST: PerVLAN Spanning Tree（每 VLAN 生成樹） PVST 是解決在虛擬局域網(wǎng)上處理生成樹的 CISCO 特有解決方案． PVST為每個(gè)虛擬局域網(wǎng)運(yùn)行單獨(dú)的生成樹實(shí)例．一般情況下 PVST 要求在交換機(jī)之間的中繼鏈路上運(yùn)行 CISCO 的 ISL。 虛擬專用網(wǎng)（ VPN）被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。 GRE 下的網(wǎng)絡(luò)安全與常規(guī)的 IPv4 網(wǎng)絡(luò)安全是較為相似的， GRE 下的路由采用 IPv4 原本使用的路由，但路由過濾保持不變 。當(dāng)一個(gè)隧道終點(diǎn)拆封此含有 IPv4 包作為有效載荷的 GRE 包時(shí)， IPv4 包頭中的目的地址必須用來轉(zhuǎn)發(fā)包，并且需要減少有效載荷包的 TTL。 在大多數(shù)常規(guī)情況下，系統(tǒng)擁有一個(gè)有效載荷（或負(fù)載）包，需要將它封裝并發(fā)送至某個(gè)目的地。DHCP 服務(wù)器自動(dòng)為客戶機(jī)指定 IP 地址，指定的配置參數(shù)有些和 IP 協(xié)議并不相關(guān)，但這必沒有關(guān)系，它的配置參數(shù)使得網(wǎng)絡(luò)上的計(jì)算機(jī)通信變得方便而容易實(shí)現(xiàn)了。所有的 IP 網(wǎng)絡(luò) 設(shè)定數(shù)據(jù)都由 DHCP 服務(wù)器集中管理，并負(fù)責(zé)處理客戶端的 DHCP 要求；而客戶端則會(huì)使用從服務(wù)器分配下來的 IP 環(huán)境數(shù)據(jù)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò)。 VLAN 技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的 LAN 邏輯地劃分成不同的 廣播域（或稱虛擬 LAN，即 VLAN），每一個(gè) VLAN 都包含 一組有著相同需求的計(jì)算本科 畢業(yè)設(shè)計(jì)（論文） _______________________________________________________________________________ 8 機(jī)工作站，與物理上形成的 LAN 有著相同的屬性。企業(yè)用戶可以根據(jù)所需帶寬、本地服務(wù)可用性、花費(fèi)等因素綜合考慮，選擇一 種適合企業(yè)自身需要的廣域網(wǎng)接入方案。 遠(yuǎn)程訪問技術(shù) 遠(yuǎn)程訪問也是 企業(yè) 網(wǎng)絡(luò)必須提供的服務(wù)之一。為了簡化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，在 企業(yè) 網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)行的。在 VLAN 間需要通信 的時(shí)候，可以利用 VLAN 間路由技術(shù)來實(shí)現(xiàn)?，F(xiàn)代交換技術(shù)還實(shí)現(xiàn)了第3 層交換和多層交換。路由器上的訪問控制列表（ Access Control List， ACL）是保護(hù)內(nèi)網(wǎng) 安全 的有效手段。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時(shí)選擇最佳路徑的能力。 相關(guān)技術(shù) 本 設(shè)計(jì)方案采用的是全部 Cisco 的網(wǎng)絡(luò)設(shè)備， 全網(wǎng)使用統(tǒng)一廠家得設(shè)備 以實(shí)現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。 本科 畢業(yè)設(shè)計(jì)（論文） _______________________________________________________________________________ 6 2 網(wǎng)絡(luò)原理 大型企業(yè)冗余網(wǎng)絡(luò)的定位 企業(yè)網(wǎng)是指覆蓋企業(yè)和企業(yè)與分公司之間的網(wǎng)絡(luò)，為企業(yè)的多種通信協(xié)議提供綜合傳送平臺(tái)的網(wǎng)絡(luò)。當(dāng)企業(yè)發(fā)展到一定規(guī)模 ,企業(yè)在外地設(shè)有許多分支機(jī)構(gòu)。這種技術(shù)允許不同計(jì)算機(jī)平臺(tái)進(jìn)行互通 ,且不用考慮其位置。比如市場部門可以上網(wǎng)查閱資料而技術(shù)部門不可；或者從周一上午九點(diǎn)到周五下午五點(diǎn)可以上網(wǎng)，而其他時(shí)間段網(wǎng)絡(luò)無流量；再或者高層領(lǐng)導(dǎo)組可以監(jiān)控財(cái)務(wù)部門的檔案文件而其 他部門則沒有這樣的權(quán)限。由于中國的網(wǎng)絡(luò)發(fā)展較晚，網(wǎng)絡(luò)的安全沒有作到非常完善。比如中國電信、中國網(wǎng)通、中國銀行，它們對網(wǎng)絡(luò)有一點(diǎn)十分重要的需求， 那就是網(wǎng)路通路，流量不可斷。企業(yè)與全世界聯(lián)系起來 ,極大地提高了信息收集的能力和效率。 21 世紀(jì)的中國正在向市場多元化、全球化的方向發(fā)展。 Redundancy。 實(shí) 施部分可以用 DynamipsGUI 模擬器來搭建網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，然后用 SecureCRT 來進(jìn)行路由器交換機(jī)的相關(guān)配置，并查看實(shí)驗(yàn)結(jié)果以驗(yàn)證網(wǎng)絡(luò)是否符合企業(yè)需求。 Intra 是使用 Inter 技術(shù) ,特別是 TCP/IP 協(xié)議而建成的企業(yè)內(nèi)部網(wǎng) 絡(luò)。市場的全球化競爭已成為趨勢 。 21 世紀(jì)的中國正在向市場多元化、全球化的方向發(fā)展。這種技術(shù)允許不同計(jì)算機(jī)平臺(tái)進(jìn)行互通 ,且不用考慮其位置。 關(guān)鍵詞 ： 企業(yè)網(wǎng) ； 拓?fù)?； 冗余 ；路由 ； 交換 本科 畢業(yè)設(shè)計(jì)（論文） _______________________________________________________________________________ 2 【 Abstract】 Today, the rapid development of the Inter is all over the world information industry of enormous change and farreaching consequences. Market petition has bee the trend of globalization. . China is the 21st century to market diversification, globalization direction. For large enterprises, in adjusting the development strategy, must take into account the market39。 Routing。對于大型企業(yè)來說，在調(diào)整發(fā)展戰(zhàn)略時(shí)，必須考慮到市場的全球競爭戰(zhàn)略，而這一切也將以信息化平臺(tái)為基礎(chǔ)，借助計(jì)算機(jī)網(wǎng)絡(luò)原理及網(wǎng)絡(luò)規(guī)劃技術(shù)，以網(wǎng)絡(luò)通暢為保證。 隨著 Intra 技術(shù)的不斷發(fā)展 ,計(jì)算機(jī)已經(jīng)逐漸應(yīng)用到企業(yè)中的各個(gè)關(guān)鍵部分 ,極大的提高了企業(yè)的工作效率。因?yàn)槿袊蟛糠值慕鹑诤屯ㄐ哦冀?jīng)過這些企業(yè)，他們的網(wǎng)絡(luò)的穩(wěn)定性直接關(guān)系到國家的政治經(jīng)濟(jì)基礎(chǔ)等各個(gè)方面。而且很多早期起用的網(wǎng)絡(luò)無論從結(jié)構(gòu)還是技術(shù)上都有很多設(shè)計(jì)不合理的問題，這也導(dǎo)致了網(wǎng)絡(luò)的安全性差。這些都是網(wǎng)絡(luò)設(shè)計(jì)者需要考慮的問題。也就是所說的用戶可以對任何一臺(tái)進(jìn)行訪問或從任何一臺(tái)計(jì)算機(jī)進(jìn)行訪問。這時(shí) ,為加快企業(yè)內(nèi)部的信息流通 ,企業(yè)需要將總部和各分支機(jī)構(gòu)連接起 來。企業(yè)網(wǎng)應(yīng)以多業(yè)務(wù)光傳輸網(wǎng)絡(luò)為基礎(chǔ)，實(shí)現(xiàn)語音、數(shù)據(jù)、圖像、多媒體等的接入。 還有就是一些網(wǎng)絡(luò)協(xié)議都是一些廠家私有的，如 EIGRP、 HDLC 等。除了可以完成主要的路由任務(wù)，利用訪問控制列表，路由器還可以用來完成以路由器為中心的流量控制和過濾功能 。一個(gè)設(shè)計(jì)良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件 防火墻 產(chǎn)品的功能。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了 企業(yè) 網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時(shí)，可以使用 VLAN 中繼 協(xié)議 （ Vlan Trunking Protocol， VTP）簡化管理，它只需在單獨(dú)一臺(tái)交換機(jī)上定義所有 VLAN。 企業(yè) 網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個(gè)層次： 接入 層、分布層、核心層。它可以為家庭辦公用戶和出差在外的員工提供移動(dòng)接入服務(wù)。在本工程案例設(shè)計(jì)中，分別采用專線連接的 VPN 和 PBR 兩種方式實(shí)現(xiàn)遠(yuǎn)程訪問需求。但由于它是邏輯地而不是物理地劃分，所以同一個(gè) VLAN 內(nèi)的各個(gè)工作站無須被放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理 LAN 網(wǎng)段。 既然 VLAN 隔離了廣播風(fēng)暴，同時(shí)也隔離了各個(gè)不同的 VLAN 之間的通訊，所以不同的 VLAN 之間的通訊是需要有路由來完成的。比較起 BOOTP ， DHCP 透過 租約 的概念，有效且動(dòng)態(tài)的分配客戶端的 TCP/IP 設(shè)定，而且，作為兼容考慮，DHCP 的分配形式 首先，必須至少有一臺(tái) DHCP 工作在網(wǎng)絡(luò)上面，它會(huì)監(jiān)聽網(wǎng)絡(luò)的 DHCP 請求，并與客戶端 磋商 TCP/IP 的設(shè)定環(huán)境。 DHCP 使 IP 地址的可以租用，對于許多擁有許多臺(tái)計(jì)算機(jī)的大型網(wǎng)絡(luò)來說，每臺(tái)計(jì)算機(jī)擁有一個(gè) IP 地址有時(shí)候可能是不必要的。首先將有效載荷封裝在一個(gè) GRE 包中，然后將此 GRE 包封裝在其它某協(xié)議中并進(jìn)行轉(zhuǎn)發(fā)。值得注意的是，在轉(zhuǎn)發(fā)這樣一個(gè)包時(shí)，如果有效載荷包的目的地址就是包的封裝器（也就是隧道另一端），就會(huì)出現(xiàn)回路現(xiàn)象。包過濾要求防火墻檢查 GRE 包，或者在 GRE 隧道終點(diǎn)完成過濾過程。 它可以通過特殊的加密的通訊協(xié)議在連接在 Inter 上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。 虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。 每 VLAN 生成樹 (PVST)為每個(gè)在網(wǎng)絡(luò)中配置的 VLAN 維護(hù)一個(gè)生成樹實(shí)例。換句話說，當(dāng)源主機(jī)不能動(dòng)態(tài)知道第一跳路由器的 IP 地址時(shí)， HSRP 協(xié)議能 夠保護(hù)第一跳路由器不出故障。 負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動(dòng)路由器（ Active Router）。 HSRP 運(yùn)行在 UDP 上，采用端口號(hào) 1985。計(jì)帳 (Accounting)：記錄用戶對各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計(jì)費(fèi)系統(tǒng)。認(rèn)證的原理是每個(gè)用戶都有一個(gè)唯一的權(quán)限獲得標(biāo)準(zhǔn)。 接下來，用戶還要通過授權(quán)來獲得操作相應(yīng) 任務(wù)的權(quán)限。一旦用戶通過了認(rèn)證，他們也就被授予了相應(yīng)的權(quán)限。 驗(yàn)證授權(quán)和帳戶由 AAA 服務(wù)器來提供。 河南省教育科研寬帶 IP 網(wǎng)絡(luò)全面采用 Cisco 公司的 AVVID 網(wǎng)絡(luò)體系結(jié)構(gòu)，一期工程總共采用了 10 臺(tái) Cisco GSR 12021 和 GSR12021，近 20 臺(tái) Cisco OSR 6509，其他各類交換機(jī)和路由器數(shù)百臺(tái)。在各個(gè)核心節(jié)點(diǎn)分別配置 Cisco 公司在國際上多次獲獎(jiǎng)的千兆位路由交換機(jī) GSR 12021 系列中的 12021 和 12021 作為核心傳輸設(shè)備，節(jié)點(diǎn)間使用裸光纖配合 POS 技術(shù)實(shí)現(xiàn) 鏈路互連 并采用 HSRP 技術(shù) ，以提供物理層、鏈路層及 IP 層的冗余連接能力。CiscoIOS 系統(tǒng)支持今天的絕大多數(shù)網(wǎng)絡(luò)應(yīng)用系統(tǒng)，同時(shí) Cisco IOS 系統(tǒng)可提供從數(shù)據(jù)鏈路層到應(yīng)用層的多種網(wǎng)絡(luò)服務(wù)，如： L2/L3VPN(虛擬專網(wǎng) )， VPDN(虛擬撥號(hào)專網(wǎng) )，以及對 MPLS 技術(shù)的支持允許提供各種網(wǎng)絡(luò)增值服務(wù)。 2) 網(wǎng)絡(luò)服務(wù)安全控制：包含標(biāo)準(zhǔn)訪問控制列表 (ACL)，擴(kuò)展的訪問控制列表(Extend ACL)，動(dòng)態(tài)訪問控制列表 (Refliex ACL)，按數(shù)據(jù)流的訪問統(tǒng)計(jì)和監(jiān)控(Netflow)，網(wǎng)絡(luò)資源訪問用戶認(rèn)證 /授權(quán)和記帳 (lock amp。 5) 網(wǎng)絡(luò)系統(tǒng)告警 (Syslog)：網(wǎng)絡(luò)中采用的設(shè)備可對監(jiān)控到的網(wǎng)絡(luò)攻擊和各種非正常訪問發(fā)出告警，提醒網(wǎng)絡(luò)管理人員及時(shí)發(fā)現(xiàn)問題并采取相應(yīng)安全策略。 2) 網(wǎng)絡(luò)管理系統(tǒng)的安全控制：由于本網(wǎng)絡(luò)中網(wǎng)絡(luò)管理系統(tǒng)采用標(biāo)準(zhǔn)的SNMP 網(wǎng)絡(luò)管理技術(shù)，因此網(wǎng)絡(luò)設(shè)備的網(wǎng)管可能出現(xiàn)漏洞。網(wǎng)絡(luò)管理人員只需在規(guī)劃好的網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)提供各個(gè)接入網(wǎng)絡(luò)的接入控制即能實(shí)行各種網(wǎng)絡(luò)服務(wù)。 首先，為 Catalyst 6509 核心交換機(jī)配備 Cisco Catalyst 6500 Supervisor Engine 720 模塊。加 6500 系列的防火墻服務(wù)模塊（ FWSM）可以為大型企業(yè)和服務(wù)供應(yīng)商提供無以倫 比的安全性、可靠性和性能。 圖 9 Cisco Catalyst 4500 系列 交換機(jī) Cisco Catalyst 4500系列能夠?yàn)闊o阻礙的第 2/3/4層交換提供集成式彈性，因而能進(jìn)一步加強(qiáng)對融合網(wǎng)絡(luò)的控制 （見圖 9） 。硬件和軟件中的集成式冗余性能夠縮短停機(jī)時(shí)間，從而提高生產(chǎn)率、利潤率和客戶成功率。 圖 10 Cisco Catalyst 3550 系列智能以太網(wǎng)交換機(jī) Cisco Catalyst 3550系列智能以太網(wǎng)交換機(jī)是一個(gè)可堆疊多層交換機(jī)系列，可通過高可用性、服務(wù)質(zhì)量（ QoS）和安全性來改進(jìn)網(wǎng)絡(luò)運(yùn)行 （見圖 10） 。作為思科最為廉價(jià)的交換產(chǎn)品系列， Cisco Catalyst 2950 系列在網(wǎng)絡(luò)或城域接入邊緣實(shí)現(xiàn)了智能服務(wù)。 辦公樓 2 個(gè) ， 行政樓 1 個(gè) 1．劃 分 VLAN （ 見表 1） 2． VTP 動(dòng)態(tài)學(xué)習(xí) VLAN 3． PVST(選根，二層冗余 ) 4． SVI（ VLAN 間路由） 5． HSRP（三層冗余） 6． DHCP 7．根防護(hù) 8． 3 個(gè) FAST 9．靜態(tài)路由 10． SITETOSITE VPN（連接分公司，固定 IP） 11． AAA 12． PBR（ 20M 專線）