【正文】 的基礎(chǔ) 系統(tǒng)要求 廣泛的設(shè)備支持 ：所有操作系統(tǒng)及選擇的服務(wù)應(yīng)盡量廣泛的支持各種硬件設(shè)備 ； 穩(wěn)定性 ：系統(tǒng)的運(yùn)行應(yīng)具有高穩(wěn)定性，保障 7*24 的高性能無故障運(yùn)行。 主干網(wǎng)負(fù)責(zé)各個(gè)子網(wǎng)和應(yīng)用服務(wù)的連接，網(wǎng)絡(luò)協(xié)議采用 TCP/IP 協(xié)議，整個(gè)網(wǎng)絡(luò)應(yīng)考慮語音、視頻、數(shù)據(jù)等的綜合應(yīng)用。 作為 一個(gè) 企業(yè)，對(duì)內(nèi)構(gòu)建企業(yè)局域網(wǎng)，對(duì)外應(yīng)能聯(lián)入各分公司的網(wǎng)絡(luò) ，這兩點(diǎn)在 網(wǎng)絡(luò)規(guī)劃時(shí)都應(yīng)考慮到。此外，還可以通過這個(gè)網(wǎng)絡(luò)連接到世界上其它計(jì)算機(jī)，使得企業(yè)方便地實(shí)現(xiàn)與外部的交流。通過信息化提高企業(yè)的競(jìng)爭(zhēng)力已成為大多數(shù)中小企業(yè)的共識(shí)，但尚有不少企業(yè)的管理 者往往認(rèn)為買了電腦就萬事大吉，卻不知來建立企業(yè)內(nèi)部的局域網(wǎng)并聯(lián) 接 Inter。 信息化能夠有效重復(fù)和加強(qiáng)協(xié)作，從而提高效率。 企業(yè)網(wǎng)的建設(shè)是一項(xiàng)非常復(fù)雜的系統(tǒng)工程，企業(yè)作為一個(gè)特殊的網(wǎng)絡(luò)應(yīng)用環(huán)境，它的建設(shè)與使用都有其自身的特點(diǎn)。 根據(jù)中小企業(yè)的規(guī)模、網(wǎng)絡(luò)系統(tǒng)的復(fù)雜程度、網(wǎng)絡(luò)應(yīng)用的程度，用戶對(duì)于網(wǎng)絡(luò)的需求也各不相同 ，對(duì)于中小企業(yè)內(nèi)部網(wǎng) ,主要實(shí)現(xiàn)資源共享功能 ,通信服務(wù)功能 ,多媒體功能 ,遠(yuǎn)程 VPN撥入服務(wù)功能等等。 交換機(jī) 要求采用主流、成熟、信譽(yù)和售后服務(wù)均佳的產(chǎn)品，核心交換機(jī)采用三層交換機(jī)，支持 VLAN 等功能， 能較好解決突發(fā)數(shù)據(jù)量和密集服務(wù)請(qǐng)求的實(shí)時(shí)響應(yīng)問題， 在內(nèi)部用戶終端進(jìn)行視頻信號(hào)、數(shù)據(jù)交換時(shí)交換引擎不會(huì)出現(xiàn)過載現(xiàn)象和數(shù)據(jù)包碰撞、丟失的現(xiàn)象，還要考慮預(yù)防瓶頸出現(xiàn)和補(bǔ)救的相應(yīng)措施。 可管理性 ：系統(tǒng)中應(yīng)提供盡量多的管理方式和管理工具，便于系統(tǒng)管理員在任何位置方便的對(duì)整個(gè)系統(tǒng)進(jìn)行管理 ； 更低的 成本 ：系統(tǒng)設(shè)計(jì)應(yīng)盡量降低整個(gè)系統(tǒng) 的 成本 ； 安全性 及可靠性 ：在系統(tǒng)的設(shè)計(jì)、實(shí)現(xiàn)及應(yīng)用上應(yīng)采用多種安全手段保障網(wǎng)絡(luò)安全 ； 網(wǎng)絡(luò) 還應(yīng)具有開放性、可擴(kuò)展性及兼容性 ，全部系統(tǒng)的設(shè)計(jì)要求 采用開放的技術(shù)和標(biāo)準(zhǔn) 選擇主流的操作系 統(tǒng)及應(yīng)用軟件，保障系統(tǒng)能夠適應(yīng)未來幾 十 年公司的業(yè)務(wù)發(fā)展需求，便于網(wǎng)絡(luò)的擴(kuò)展和 公司 的結(jié)構(gòu)變更。子公司 主交換機(jī)可以根據(jù)需要 通過堆疊方式 進(jìn)行靈活的升級(jí) 擴(kuò)容 ； 網(wǎng)絡(luò)設(shè)備必須在技術(shù)上具有先進(jìn)性、通用性，必須便于管理、維護(hù) ， 應(yīng)該滿足 公司 現(xiàn) 有計(jì)算機(jī)設(shè)備的高速接入，應(yīng)該具備良好的可擴(kuò)展性、可升級(jí)性，保 證企業(yè)的信息安全性 。局域網(wǎng)通常用來連接公司辦公室或 企業(yè) 內(nèi)部的個(gè)人計(jì)算機(jī)和工作站，以共享軟、硬件資源。因?yàn)檫B接線路都比較短，中間幾乎不會(huì)愛任何干擾，所以局域網(wǎng)還具有始終一致的低誤碼率。 6 、網(wǎng)絡(luò)的體系結(jié)構(gòu) 網(wǎng)絡(luò)通常 按層或 級(jí)的方式 來組織，每一層都建立在 它的下層之上。 OSI 是開放系統(tǒng)互連基本 參 考 模型 OSI/RM（ Open System Interconnection Reference Model）縮寫，它被分成 7 層，這 7 個(gè)層次分別定義了不同的功能。 、網(wǎng)絡(luò)協(xié)議 網(wǎng)絡(luò)協(xié)議 是 為 計(jì)算機(jī)網(wǎng)絡(luò) 中進(jìn) 行數(shù)據(jù)交換而建立的規(guī)則、標(biāo)準(zhǔn)或約定的集合。 TCP/IP 是一種分層協(xié)議，它共被分為個(gè) 4 層 次，大約包含近期 100 個(gè)非專有協(xié)議，通過這些協(xié)議，可以高效和可靠地實(shí)現(xiàn)計(jì)算機(jī)系 7 統(tǒng)之間的互連。 UDP 不進(jìn)行流量控制，沒有序列或者確認(rèn)，因此它處理和傳輸數(shù)據(jù)的 速度快 ，還被用來傳輸關(guān)鍵的網(wǎng)絡(luò)狀態(tài)消息。通過 IP 編址約定，可以成功地將數(shù)據(jù)通過路由傳輸?shù)秸_的網(wǎng)絡(luò)或者子網(wǎng)。設(shè)計(jì) HTTP 最初的目的是為了提供一種發(fā)布和接收 HTML 頁面的方法。 由支持Inter 文件傳輸?shù)母鞣N規(guī)則所組成的集合。 遠(yuǎn)程登錄協(xié)議的目的是提供一個(gè)全面的、雙向的、面向 8 個(gè)比特字 節(jié)的通信工具，其主要目標(biāo)是 提供終端設(shè)備與面向進(jìn)程接口的標(biāo)準(zhǔn)方法 。 接入層選用 思科網(wǎng)絡(luò) Cisco Catalyst 296024TT ,充分滿足用戶的高速接入等 ,并可靈活擴(kuò)展 ,增加端口密度。 可靠性：采用先進(jìn)可靠的容錯(cuò)技術(shù) 對(duì)工作站、服務(wù)器、交換機(jī)及其他主要相關(guān)設(shè)備在廠家、品牌、服務(wù)等方面進(jìn)行充分調(diào)研、論證、選擇 ,確保硬件設(shè)備的基本品質(zhì)。 可擴(kuò)展性 ：隨業(yè)務(wù)不斷發(fā)展而擴(kuò)展 可擴(kuò)展性： 網(wǎng)絡(luò) 的 核心層 采用模塊化路由器 Cisco 2811， 匯聚層采用模塊化交換機(jī) ,按照 需求靈活配置各種模塊 ,做到既滿足需求 ,由留有余地。適當(dāng)?shù)脑黾有碌挠布O(shè)備時(shí)能方便地接入網(wǎng)絡(luò)、網(wǎng)絡(luò)擴(kuò)容容易實(shí)現(xiàn)；軟件上便于更新、維護(hù)、升級(jí)。系統(tǒng)的開放性設(shè)計(jì)完全遵循國際主流標(biāo)準(zhǔn)以及工業(yè)標(biāo)準(zhǔn)。 從 ISP 的客戶邊緣路由器開始， ISP 出口 將限制 那些超出預(yù)定閾值的次要信息流 ，以便減少 DDoS 攻擊。從過濾的角度講，除了將公共服務(wù)區(qū)域的信息流限定到相關(guān)地址和端口外，在相反的方向上也在進(jìn)行過濾。這種設(shè)置有助于防止黑客在實(shí)施最初的攻擊后將更多的應(yīng)用下載到被破壞的機(jī)器。例如，公司用戶可能需要與公司服務(wù)器通信但彼此之間可能沒有必要通信 。就企業(yè)局域網(wǎng)網(wǎng)絡(luò)而言，由于大量的數(shù)據(jù)都發(fā)生在局域網(wǎng)內(nèi)部，對(duì)路由器的性能要求不高，因此，可以選用中低端路由器。 交換機(jī) 工作組交換機(jī)采用可網(wǎng)管交換機(jī)，實(shí)現(xiàn)對(duì)每臺(tái)接入計(jì)算機(jī)的控制，實(shí)現(xiàn) VLAN（虛擬網(wǎng)）的劃分，確保最大限度的網(wǎng)絡(luò)訪問安全。防火墻可以是一臺(tái)專屬的硬件也可以是架設(shè)在一般硬件上的一套軟件 。訪問量大，根據(jù)企業(yè)規(guī)模大小，采用適合自己規(guī)模的服務(wù)器。 VLAN 技術(shù)分析 、 VLAN 技術(shù)概述 VLAN(Virtual Local Area Network)也就是虛擬局域網(wǎng)，是一種建立在交換技術(shù)基礎(chǔ)之上的，通過將局域網(wǎng)內(nèi)的機(jī)器設(shè)備 邏輯地而不是物理地 劃分成一個(gè)個(gè)不同的網(wǎng)段，以軟件方式實(shí)現(xiàn)邏輯工作組的劃分與管理的技術(shù)。 VLAN 作為一種網(wǎng)絡(luò)分段技術(shù)，可將廣播風(fēng)暴限制在一個(gè) VLAN 內(nèi)部，避免影響其他網(wǎng)段。 增強(qiáng)網(wǎng)絡(luò)的 安全性 共享式 LAN 上的廣播必然會(huì)產(chǎn)生安全性問題，因?yàn)榫W(wǎng)絡(luò)上的所有用戶都能監(jiān)測(cè)到流經(jīng)的業(yè)務(wù)，用戶只要插入任一活動(dòng)端口就可訪問網(wǎng)段上的廣播包。當(dāng)鏈路擁擠時(shí)，利用管理程序能夠重新分配業(yè)務(wù)。 VLAN 還能減少因網(wǎng)絡(luò)成員變化所帶來的開銷。 基于端口的劃分方法 將交換機(jī)中的某些端口定義為一個(gè)單獨(dú)的區(qū)域，從而形成一個(gè) VLAN。否則，這臺(tái)計(jì)算機(jī)將無法進(jìn)行網(wǎng)絡(luò)通信。遺憾的是，這種劃分模式將虛擬網(wǎng)限制在了一臺(tái)交換機(jī)上。迄今為止，這仍然是最常用的一種方式，但是這種方式不允許多個(gè) VLAN 共享一個(gè)物理網(wǎng)段或交換機(jī)端口。 MAC 地址是連接在網(wǎng)絡(luò)中的每個(gè)設(shè)備網(wǎng)卡的物理地址，由 IEEE 控制，全球找不到兩塊具有相同 MAC 地址的網(wǎng)卡。 按 MAC 地址劃分的 VLAN 允許網(wǎng)絡(luò)用戶從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置，并且自動(dòng)保留其所屬VLAN 網(wǎng)段的成員身份。在這種初始化工作完成之后，對(duì)用戶的自動(dòng)跟蹤才成為可能。這對(duì)于希望針對(duì)具體應(yīng)用和服務(wù)來組織用戶的網(wǎng)絡(luò)管理員來說是非常具有吸引力的。 綜上所分析 本設(shè)計(jì) 采用劃分 VLAN 的方式是 基于端口的方法 。 （ 1）品牌選擇： 所有網(wǎng)絡(luò)設(shè)備盡可能選取同一廠家的產(chǎn)品，這樣在設(shè)備可互連性、協(xié)議互操作性、技術(shù)支持和價(jià)格等方面都更有優(yōu)勢(shì)。在制定網(wǎng)絡(luò)方案之前，應(yīng)根據(jù)用戶承受能力來確定網(wǎng)絡(luò)設(shè)備的品牌。其軟件應(yīng)具有獨(dú)立知識(shí)產(chǎn)權(quán)，應(yīng)保證其后續(xù)研發(fā)和升級(jí)，以保證對(duì)未來新業(yè)務(wù)的支持。無論是雙絞線網(wǎng)絡(luò)、同軸電纜網(wǎng)絡(luò)還是光纜網(wǎng)絡(luò)，都必須借助于相應(yīng)類型的網(wǎng)卡才能實(shí)現(xiàn)與計(jì)算機(jī)的連接，是計(jì)算機(jī)與局域網(wǎng)相互連接的惟一接口。從目前校園網(wǎng)建設(shè)的實(shí)際情況來看， 工作站網(wǎng)卡選擇 PCI 總線的 10M/100Mbit/s 自適應(yīng)網(wǎng)卡最適合。交換機(jī)具有很強(qiáng)的網(wǎng)絡(luò)管理功能，它能自動(dòng)根據(jù)網(wǎng)絡(luò)通信的使用情況來動(dòng)態(tài)管理網(wǎng)絡(luò)， 因?yàn)榻粨Q機(jī)采用了獨(dú)享網(wǎng)絡(luò)帶寬的設(shè)計(jì) 。 路由器工作在網(wǎng)絡(luò)層 ，因此它可以在網(wǎng)絡(luò)層交換和路由數(shù)據(jù)幀，訪問的是對(duì)方的網(wǎng)絡(luò)地址。同軸電纜分 50Ω 基帶電纜和 75Ω 寬帶電纜兩類。 雙絞線 18 雙絞線是綜合布線工程中最常用的一種傳輸介質(zhì)。 與其他傳輸介質(zhì)相比，雙絞線在傳輸距離、信道寬度和數(shù)據(jù)傳輸速度等方面均受到一定限制，但價(jià)格較為低廉。單模光纖的纖芯直徑很小 ，在給定的工作波長(zhǎng)上只能以單一模式傳輸，傳輸頻帶寬，傳輸容量大。 網(wǎng)絡(luò)地址轉(zhuǎn)化 （ NAT）技術(shù)分析 NAT屬接入廣域網(wǎng) (WAN)技術(shù) ,是一種將私有 (保留 )地址轉(zhuǎn)化為 公有 (合法 )IP地址 的轉(zhuǎn)換技術(shù) ， 它被廣泛應(yīng)用于各種類型 Inter 接入方式和各種類型的網(wǎng)絡(luò)中。 在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí) ， 它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況 ， 而只是 19 通過一個(gè)開放的 IP 地址和端口來請(qǐng)求訪問 。 網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來說是透 明的 ， 不需要用戶進(jìn)行設(shè)置 ， 用戶只要進(jìn)行常規(guī)操作即可 。這種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)比較簡(jiǎn)單，總線型中所有設(shè)備都直接與采用一條稱為公共總線的傳輸介質(zhì)相連，這種介質(zhì)一般也是同軸電纜（包括粗纜和細(xì)纜），不過現(xiàn)在也有采用光纜作為總線型傳輸介質(zhì) 的， 如 ATM網(wǎng)、 Cable Modem 所采用的網(wǎng)絡(luò)等都屬于總線型網(wǎng)絡(luò)結(jié)構(gòu)。 星型結(jié)構(gòu)： 是用集線器或交換機(jī)作為網(wǎng)絡(luò)的中央節(jié)點(diǎn)，網(wǎng)絡(luò)中的每一臺(tái)計(jì)算機(jī)都通過網(wǎng)卡 連接到中央節(jié)點(diǎn)，計(jì)算機(jī)之間通過中央節(jié)點(diǎn)進(jìn)行信息交換，各節(jié)點(diǎn)呈星狀分布而得名。 但是星型結(jié)構(gòu)一般使用雙絞線進(jìn)行連接 ,需要 20 大量的電纜 ,成本較高 ,同時(shí)如果 交換機(jī) 出現(xiàn)故障 ,整個(gè)網(wǎng)絡(luò) 就會(huì) 癱瘓。這樣 ,數(shù)據(jù)就在這個(gè)環(huán)的一個(gè)方向上進(jìn)行循環(huán)。 在本設(shè)計(jì)方案 中主要是對(duì)一個(gè)企業(yè)進(jìn)行整體的網(wǎng)絡(luò)設(shè)計(jì)。為了讓這些私有IP 地址能夠在公共 INTERNET 使用，讓使用這樣 IP 地址的工作站能夠訪問INTERNET 上的資源，我們必須對(duì)這樣私有 IP 地址作 NAT（ work address translation）即網(wǎng)絡(luò)地址轉(zhuǎn)換。這是一款最廉價(jià)的Cisco 交換產(chǎn)品系列，為中型網(wǎng)絡(luò)和城域接入應(yīng)用提供了智能服務(wù)。 網(wǎng)絡(luò)安全設(shè)計(jì) 公司園區(qū)網(wǎng)有 600 用戶，網(wǎng)絡(luò)規(guī)模 較大，并且和因特網(wǎng)存在連接。其次，必須具有一定的技術(shù)手段來保障網(wǎng)絡(luò)的安全。通過將設(shè)備安置在獨(dú)立的設(shè)備間中，并增加門禁系統(tǒng)，確保只有授權(quán)的管理和維護(hù)人員才能接觸到物理設(shè)備?？诹罟芾碇贫劝诹畹脑O(shè)置，保管，更改，口令的強(qiáng)度等內(nèi)容。保證了局域網(wǎng)的運(yùn)行安全， 可以避免因?yàn)?VLAN 被錯(cuò)誤或者惡意的增加、 刪除造成的運(yùn)行事故。 （ 5） 應(yīng)用 系統(tǒng)的訪問限制 可以 根據(jù)公司的應(yīng)用需求，在 匯聚層 的多層交換機(jī)上 實(shí)施 （ ACL） 訪問控制 ，限制 企業(yè)內(nèi)部網(wǎng) 用戶對(duì)特定應(yīng)用系統(tǒng)的訪問，或者只允許特定的用戶訪問某些資源。 作為二層的核心，只保證數(shù)據(jù)的高速轉(zhuǎn)發(fā)。 生成樹（ STP/RSTP/MSTP） Cisco6509 系列以太網(wǎng)交換機(jī)支持 STP/RSTP/MSTP 生成樹協(xié)議。快速生成樹協(xié)議是生成樹協(xié)議的改進(jìn)，在原有功能的基礎(chǔ)上提高了網(wǎng)絡(luò)保護(hù)的性能。這就可以起到 均衡網(wǎng)絡(luò)流量 ， 提高可靠性的作用。在 做 了鏈路聚合的端口之間可以做冗余備份和負(fù)載分擔(dān)。如果新地址是在聚合的端口上時(shí)，根據(jù)二層和三層的不同，使用 MAC 地址或 IP 地址進(jìn)行邏輯計(jì)算，根據(jù)邏輯的結(jié)果選擇相應(yīng)端口為轉(zhuǎn)發(fā)端口，發(fā)往該目的地址的幀將按照計(jì)算負(fù)載均衡后的結(jié)果進(jìn)行轉(zhuǎn)發(fā)，實(shí)現(xiàn)端口之間負(fù)載均衡和冗余保護(hù)，保證數(shù)據(jù)流不出現(xiàn)亂序現(xiàn)象。另外，通過多個(gè)熱備份組，路由器可以提供冗余備份，并在不同的 IP 子網(wǎng)上實(shí)現(xiàn)負(fù)載分擔(dān)。 2． 熱備份組號(hào) ：熱備份組號(hào)與接口的 VLAN 號(hào)相同。 等價(jià)路由（ ECMP） 除了從設(shè)備級(jí)支持三層轉(zhuǎn)發(fā)容錯(cuò)協(xié)議 VRRP 之外， Cisco6509 系列以太網(wǎng)路由 27 交換機(jī)還支持 等價(jià)路由（ ECMP） 。而 Cisco6509 系列以太網(wǎng)路由交換機(jī)從硬件上也實(shí)現(xiàn)了等價(jià)路由的支持， 真正實(shí)現(xiàn)了硬件三層轉(zhuǎn)發(fā)流量的負(fù)載分擔(dān)與路由冗余備份。 策略路由（ PBR） Cisco6509 系列以太網(wǎng) 路由交換機(jī) 支持高性能的策略路由。 Cisco6509 系列以太網(wǎng)路由交換機(jī)可以很好地支持策略路由功能，并且可以 將路由下一跳重定向到某個(gè)物理端口 ，或者某個(gè)下一跳 IP 地址。限于知識(shí)水平，在此就不再寫了。 《 網(wǎng)絡(luò)綜合布線系統(tǒng)工程技術(shù)實(shí)訓(xùn)教程 》 王公儒編著，機(jī)械工業(yè)出版社。 )