【正文】 的基礎(chǔ) 系統(tǒng)要求 廣泛的設(shè)備支持 ：所有操作系統(tǒng)及選擇的服務(wù)應(yīng)盡量廣泛的支持各種硬件設(shè)備 ； 穩(wěn)定性 ：系統(tǒng)的運行應(yīng)具有高穩(wěn)定性，保障 7*24 的高性能無故障運行。 主干網(wǎng)負(fù)責(zé)各個子網(wǎng)和應(yīng)用服務(wù)的連接，網(wǎng)絡(luò)協(xié)議采用 TCP/IP 協(xié)議，整個網(wǎng)絡(luò)應(yīng)考慮語音、視頻、數(shù)據(jù)等的綜合應(yīng)用。 作為 一個 企業(yè)，對內(nèi)構(gòu)建企業(yè)局域網(wǎng)，對外應(yīng)能聯(lián)入各分公司的網(wǎng)絡(luò) ，這兩點在 網(wǎng)絡(luò)規(guī)劃時都應(yīng)考慮到。此外，還可以通過這個網(wǎng)絡(luò)連接到世界上其它計算機，使得企業(yè)方便地實現(xiàn)與外部的交流。通過信息化提高企業(yè)的競爭力已成為大多數(shù)中小企業(yè)的共識，但尚有不少企業(yè)的管理 者往往認(rèn)為買了電腦就萬事大吉，卻不知來建立企業(yè)內(nèi)部的局域網(wǎng)并聯(lián) 接 Inter。 信息化能夠有效重復(fù)和加強協(xié)作，從而提高效率。 企業(yè)網(wǎng)的建設(shè)是一項非常復(fù)雜的系統(tǒng)工程，企業(yè)作為一個特殊的網(wǎng)絡(luò)應(yīng)用環(huán)境，它的建設(shè)與使用都有其自身的特點。 根據(jù)中小企業(yè)的規(guī)模、網(wǎng)絡(luò)系統(tǒng)的復(fù)雜程度、網(wǎng)絡(luò)應(yīng)用的程度，用戶對于網(wǎng)絡(luò)的需求也各不相同 ，對于中小企業(yè)內(nèi)部網(wǎng) ,主要實現(xiàn)資源共享功能 ,通信服務(wù)功能 ,多媒體功能 ,遠(yuǎn)程 VPN撥入服務(wù)功能等等。 交換機 要求采用主流、成熟、信譽和售后服務(wù)均佳的產(chǎn)品，核心交換機采用三層交換機，支持 VLAN 等功能， 能較好解決突發(fā)數(shù)據(jù)量和密集服務(wù)請求的實時響應(yīng)問題， 在內(nèi)部用戶終端進行視頻信號、數(shù)據(jù)交換時交換引擎不會出現(xiàn)過載現(xiàn)象和數(shù)據(jù)包碰撞、丟失的現(xiàn)象，還要考慮預(yù)防瓶頸出現(xiàn)和補救的相應(yīng)措施。 可管理性 ：系統(tǒng)中應(yīng)提供盡量多的管理方式和管理工具，便于系統(tǒng)管理員在任何位置方便的對整個系統(tǒng)進行管理 ； 更低的 成本 ：系統(tǒng)設(shè)計應(yīng)盡量降低整個系統(tǒng) 的 成本 ； 安全性 及可靠性 ：在系統(tǒng)的設(shè)計、實現(xiàn)及應(yīng)用上應(yīng)采用多種安全手段保障網(wǎng)絡(luò)安全 ； 網(wǎng)絡(luò) 還應(yīng)具有開放性、可擴展性及兼容性 ，全部系統(tǒng)的設(shè)計要求 采用開放的技術(shù)和標(biāo)準(zhǔn) 選擇主流的操作系 統(tǒng)及應(yīng)用軟件，保障系統(tǒng)能夠適應(yīng)未來幾 十 年公司的業(yè)務(wù)發(fā)展需求，便于網(wǎng)絡(luò)的擴展和 公司 的結(jié)構(gòu)變更。子公司 主交換機可以根據(jù)需要 通過堆疊方式 進行靈活的升級 擴容 ； 網(wǎng)絡(luò)設(shè)備必須在技術(shù)上具有先進性、通用性，必須便于管理、維護 ， 應(yīng)該滿足 公司 現(xiàn) 有計算機設(shè)備的高速接入，應(yīng)該具備良好的可擴展性、可升級性，保 證企業(yè)的信息安全性 。局域網(wǎng)通常用來連接公司辦公室或 企業(yè) 內(nèi)部的個人計算機和工作站，以共享軟、硬件資源。因為連接線路都比較短，中間幾乎不會愛任何干擾，所以局域網(wǎng)還具有始終一致的低誤碼率。 6 、網(wǎng)絡(luò)的體系結(jié)構(gòu) 網(wǎng)絡(luò)通常 按層或 級的方式 來組織，每一層都建立在 它的下層之上。 OSI 是開放系統(tǒng)互連基本 參 考 模型 OSI/RM（ Open System Interconnection Reference Model）縮寫，它被分成 7 層，這 7 個層次分別定義了不同的功能。 、網(wǎng)絡(luò)協(xié)議 網(wǎng)絡(luò)協(xié)議 是 為 計算機網(wǎng)絡(luò) 中進 行數(shù)據(jù)交換而建立的規(guī)則、標(biāo)準(zhǔn)或約定的集合。 TCP/IP 是一種分層協(xié)議，它共被分為個 4 層 次，大約包含近期 100 個非專有協(xié)議，通過這些協(xié)議，可以高效和可靠地實現(xiàn)計算機系 7 統(tǒng)之間的互連。 UDP 不進行流量控制，沒有序列或者確認(rèn)，因此它處理和傳輸數(shù)據(jù)的 速度快 ，還被用來傳輸關(guān)鍵的網(wǎng)絡(luò)狀態(tài)消息。通過 IP 編址約定，可以成功地將數(shù)據(jù)通過路由傳輸?shù)秸_的網(wǎng)絡(luò)或者子網(wǎng)。設(shè)計 HTTP 最初的目的是為了提供一種發(fā)布和接收 HTML 頁面的方法。 由支持Inter 文件傳輸?shù)母鞣N規(guī)則所組成的集合。 遠(yuǎn)程登錄協(xié)議的目的是提供一個全面的、雙向的、面向 8 個比特字 節(jié)的通信工具，其主要目標(biāo)是 提供終端設(shè)備與面向進程接口的標(biāo)準(zhǔn)方法 。 接入層選用 思科網(wǎng)絡(luò) Cisco Catalyst 296024TT ,充分滿足用戶的高速接入等 ,并可靈活擴展 ,增加端口密度。 可靠性：采用先進可靠的容錯技術(shù) 對工作站、服務(wù)器、交換機及其他主要相關(guān)設(shè)備在廠家、品牌、服務(wù)等方面進行充分調(diào)研、論證、選擇 ,確保硬件設(shè)備的基本品質(zhì)。 可擴展性 ：隨業(yè)務(wù)不斷發(fā)展而擴展 可擴展性： 網(wǎng)絡(luò) 的 核心層 采用模塊化路由器 Cisco 2811， 匯聚層采用模塊化交換機 ,按照 需求靈活配置各種模塊 ,做到既滿足需求 ,由留有余地。適當(dāng)?shù)脑黾有碌挠布O(shè)備時能方便地接入網(wǎng)絡(luò)、網(wǎng)絡(luò)擴容容易實現(xiàn)；軟件上便于更新、維護、升級。系統(tǒng)的開放性設(shè)計完全遵循國際主流標(biāo)準(zhǔn)以及工業(yè)標(biāo)準(zhǔn)。 從 ISP 的客戶邊緣路由器開始， ISP 出口 將限制 那些超出預(yù)定閾值的次要信息流 ，以便減少 DDoS 攻擊。從過濾的角度講，除了將公共服務(wù)區(qū)域的信息流限定到相關(guān)地址和端口外，在相反的方向上也在進行過濾。這種設(shè)置有助于防止黑客在實施最初的攻擊后將更多的應(yīng)用下載到被破壞的機器。例如，公司用戶可能需要與公司服務(wù)器通信但彼此之間可能沒有必要通信 。就企業(yè)局域網(wǎng)網(wǎng)絡(luò)而言，由于大量的數(shù)據(jù)都發(fā)生在局域網(wǎng)內(nèi)部，對路由器的性能要求不高，因此，可以選用中低端路由器。 交換機 工作組交換機采用可網(wǎng)管交換機，實現(xiàn)對每臺接入計算機的控制，實現(xiàn) VLAN（虛擬網(wǎng)）的劃分，確保最大限度的網(wǎng)絡(luò)訪問安全。防火墻可以是一臺專屬的硬件也可以是架設(shè)在一般硬件上的一套軟件 。訪問量大，根據(jù)企業(yè)規(guī)模大小，采用適合自己規(guī)模的服務(wù)器。 VLAN 技術(shù)分析 、 VLAN 技術(shù)概述 VLAN(Virtual Local Area Network)也就是虛擬局域網(wǎng)，是一種建立在交換技術(shù)基礎(chǔ)之上的，通過將局域網(wǎng)內(nèi)的機器設(shè)備 邏輯地而不是物理地 劃分成一個個不同的網(wǎng)段，以軟件方式實現(xiàn)邏輯工作組的劃分與管理的技術(shù)。 VLAN 作為一種網(wǎng)絡(luò)分段技術(shù)，可將廣播風(fēng)暴限制在一個 VLAN 內(nèi)部，避免影響其他網(wǎng)段。 增強網(wǎng)絡(luò)的 安全性 共享式 LAN 上的廣播必然會產(chǎn)生安全性問題，因為網(wǎng)絡(luò)上的所有用戶都能監(jiān)測到流經(jīng)的業(yè)務(wù)，用戶只要插入任一活動端口就可訪問網(wǎng)段上的廣播包。當(dāng)鏈路擁擠時，利用管理程序能夠重新分配業(yè)務(wù)。 VLAN 還能減少因網(wǎng)絡(luò)成員變化所帶來的開銷。 基于端口的劃分方法 將交換機中的某些端口定義為一個單獨的區(qū)域，從而形成一個 VLAN。否則，這臺計算機將無法進行網(wǎng)絡(luò)通信。遺憾的是，這種劃分模式將虛擬網(wǎng)限制在了一臺交換機上。迄今為止，這仍然是最常用的一種方式，但是這種方式不允許多個 VLAN 共享一個物理網(wǎng)段或交換機端口。 MAC 地址是連接在網(wǎng)絡(luò)中的每個設(shè)備網(wǎng)卡的物理地址，由 IEEE 控制，全球找不到兩塊具有相同 MAC 地址的網(wǎng)卡。 按 MAC 地址劃分的 VLAN 允許網(wǎng)絡(luò)用戶從一個物理位置移動到另一個物理位置，并且自動保留其所屬VLAN 網(wǎng)段的成員身份。在這種初始化工作完成之后，對用戶的自動跟蹤才成為可能。這對于希望針對具體應(yīng)用和服務(wù)來組織用戶的網(wǎng)絡(luò)管理員來說是非常具有吸引力的。 綜上所分析 本設(shè)計 采用劃分 VLAN 的方式是 基于端口的方法 。 （ 1）品牌選擇： 所有網(wǎng)絡(luò)設(shè)備盡可能選取同一廠家的產(chǎn)品，這樣在設(shè)備可互連性、協(xié)議互操作性、技術(shù)支持和價格等方面都更有優(yōu)勢。在制定網(wǎng)絡(luò)方案之前，應(yīng)根據(jù)用戶承受能力來確定網(wǎng)絡(luò)設(shè)備的品牌。其軟件應(yīng)具有獨立知識產(chǎn)權(quán)，應(yīng)保證其后續(xù)研發(fā)和升級，以保證對未來新業(yè)務(wù)的支持。無論是雙絞線網(wǎng)絡(luò)、同軸電纜網(wǎng)絡(luò)還是光纜網(wǎng)絡(luò)，都必須借助于相應(yīng)類型的網(wǎng)卡才能實現(xiàn)與計算機的連接，是計算機與局域網(wǎng)相互連接的惟一接口。從目前校園網(wǎng)建設(shè)的實際情況來看， 工作站網(wǎng)卡選擇 PCI 總線的 10M/100Mbit/s 自適應(yīng)網(wǎng)卡最適合。交換機具有很強的網(wǎng)絡(luò)管理功能，它能自動根據(jù)網(wǎng)絡(luò)通信的使用情況來動態(tài)管理網(wǎng)絡(luò)， 因為交換機采用了獨享網(wǎng)絡(luò)帶寬的設(shè)計 。 路由器工作在網(wǎng)絡(luò)層 ，因此它可以在網(wǎng)絡(luò)層交換和路由數(shù)據(jù)幀，訪問的是對方的網(wǎng)絡(luò)地址。同軸電纜分 50Ω 基帶電纜和 75Ω 寬帶電纜兩類。 雙絞線 18 雙絞線是綜合布線工程中最常用的一種傳輸介質(zhì)。 與其他傳輸介質(zhì)相比，雙絞線在傳輸距離、信道寬度和數(shù)據(jù)傳輸速度等方面均受到一定限制，但價格較為低廉。單模光纖的纖芯直徑很小 ，在給定的工作波長上只能以單一模式傳輸，傳輸頻帶寬，傳輸容量大。 網(wǎng)絡(luò)地址轉(zhuǎn)化 （ NAT）技術(shù)分析 NAT屬接入廣域網(wǎng) (WAN)技術(shù) ,是一種將私有 (保留 )地址轉(zhuǎn)化為 公有 (合法 )IP地址 的轉(zhuǎn)換技術(shù) ， 它被廣泛應(yīng)用于各種類型 Inter 接入方式和各種類型的網(wǎng)絡(luò)中。 在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時 ， 它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況 ， 而只是 19 通過一個開放的 IP 地址和端口來請求訪問 。 網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透 明的 ， 不需要用戶進行設(shè)置 ， 用戶只要進行常規(guī)操作即可 。這種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)比較簡單，總線型中所有設(shè)備都直接與采用一條稱為公共總線的傳輸介質(zhì)相連，這種介質(zhì)一般也是同軸電纜（包括粗纜和細(xì)纜），不過現(xiàn)在也有采用光纜作為總線型傳輸介質(zhì) 的， 如 ATM網(wǎng)、 Cable Modem 所采用的網(wǎng)絡(luò)等都屬于總線型網(wǎng)絡(luò)結(jié)構(gòu)。 星型結(jié)構(gòu)： 是用集線器或交換機作為網(wǎng)絡(luò)的中央節(jié)點，網(wǎng)絡(luò)中的每一臺計算機都通過網(wǎng)卡 連接到中央節(jié)點，計算機之間通過中央節(jié)點進行信息交換，各節(jié)點呈星狀分布而得名。 但是星型結(jié)構(gòu)一般使用雙絞線進行連接 ,需要 20 大量的電纜 ,成本較高 ,同時如果 交換機 出現(xiàn)故障 ,整個網(wǎng)絡(luò) 就會 癱瘓。這樣 ,數(shù)據(jù)就在這個環(huán)的一個方向上進行循環(huán)。 在本設(shè)計方案 中主要是對一個企業(yè)進行整體的網(wǎng)絡(luò)設(shè)計。為了讓這些私有IP 地址能夠在公共 INTERNET 使用，讓使用這樣 IP 地址的工作站能夠訪問INTERNET 上的資源，我們必須對這樣私有 IP 地址作 NAT（ work address translation）即網(wǎng)絡(luò)地址轉(zhuǎn)換。這是一款最廉價的Cisco 交換產(chǎn)品系列，為中型網(wǎng)絡(luò)和城域接入應(yīng)用提供了智能服務(wù)。 網(wǎng)絡(luò)安全設(shè)計 公司園區(qū)網(wǎng)有 600 用戶，網(wǎng)絡(luò)規(guī)模 較大，并且和因特網(wǎng)存在連接。其次，必須具有一定的技術(shù)手段來保障網(wǎng)絡(luò)的安全。通過將設(shè)備安置在獨立的設(shè)備間中，并增加門禁系統(tǒng)，確保只有授權(quán)的管理和維護人員才能接觸到物理設(shè)備?？诹罟芾碇贫劝诹畹脑O(shè)置，保管，更改，口令的強度等內(nèi)容。保證了局域網(wǎng)的運行安全， 可以避免因為 VLAN 被錯誤或者惡意的增加、 刪除造成的運行事故。 （ 5） 應(yīng)用 系統(tǒng)的訪問限制 可以 根據(jù)公司的應(yīng)用需求，在 匯聚層 的多層交換機上 實施 （ ACL） 訪問控制 ，限制 企業(yè)內(nèi)部網(wǎng) 用戶對特定應(yīng)用系統(tǒng)的訪問，或者只允許特定的用戶訪問某些資源。 作為二層的核心，只保證數(shù)據(jù)的高速轉(zhuǎn)發(fā)。 生成樹（ STP/RSTP/MSTP） Cisco6509 系列以太網(wǎng)交換機支持 STP/RSTP/MSTP 生成樹協(xié)議?？焖偕蓸鋮f(xié)議是生成樹協(xié)議的改進，在原有功能的基礎(chǔ)上提高了網(wǎng)絡(luò)保護的性能。這就可以起到 均衡網(wǎng)絡(luò)流量 ， 提高可靠性的作用。在 做 了鏈路聚合的端口之間可以做冗余備份和負(fù)載分擔(dān)。如果新地址是在聚合的端口上時，根據(jù)二層和三層的不同，使用 MAC 地址或 IP 地址進行邏輯計算，根據(jù)邏輯的結(jié)果選擇相應(yīng)端口為轉(zhuǎn)發(fā)端口，發(fā)往該目的地址的幀將按照計算負(fù)載均衡后的結(jié)果進行轉(zhuǎn)發(fā)，實現(xiàn)端口之間負(fù)載均衡和冗余保護，保證數(shù)據(jù)流不出現(xiàn)亂序現(xiàn)象。另外，通過多個熱備份組，路由器可以提供冗余備份，并在不同的 IP 子網(wǎng)上實現(xiàn)負(fù)載分擔(dān)。 2． 熱備份組號 ：熱備份組號與接口的 VLAN 號相同。 等價路由（ ECMP） 除了從設(shè)備級支持三層轉(zhuǎn)發(fā)容錯協(xié)議 VRRP 之外， Cisco6509 系列以太網(wǎng)路由 27 交換機還支持 等價路由（ ECMP） 。而 Cisco6509 系列以太網(wǎng)路由交換機從硬件上也實現(xiàn)了等價路由的支持， 真正實現(xiàn)了硬件三層轉(zhuǎn)發(fā)流量的負(fù)載分擔(dān)與路由冗余備份。 策略路由（ PBR） Cisco6509 系列以太網(wǎng) 路由交換機 支持高性能的策略路由。 Cisco6509 系列以太網(wǎng)路由交換機可以很好地支持策略路由功能，并且可以 將路由下一跳重定向到某個物理端口 ，或者某個下一跳 IP 地址。限于知識水平，在此就不再寫了。 《 網(wǎng)絡(luò)綜合布線系統(tǒng)工程技術(shù)實訓(xùn)教程 》 王公儒編著，機械工業(yè)出版社。 )