【正文】 域網(wǎng)口 down，都會迅速切換到另外一臺。路由器的缺省優(yōu)先級是 100，所以如果只設(shè)置一個路由器的優(yōu)先級高于 100，則該路由器將成為主動路由器。該 IP地址、組內(nèi)路由器的接口地址、主機在同一個子網(wǎng)內(nèi)，但是不能一樣。如果活動路由器失效，備份路由器將接管成為活動路由器。 在 PIX 上配置 OSPF 協(xié)議如下： router ospf 1 logadjacencychanges work area 0 work area 0 20 work area 0 work area 0 work area 0 在核心交換上配置 OSPF 協(xié)議如下： router ospf 1 logadjacencychanges work area 0 work area 0 work area 0 work area 0 work area 0 在邊緣交換機 Router 1 上配置 OSPF 協(xié)議如下（ NBMA 類型，手工指定鄰居，分支機構(gòu)路由器 Router2 配置類似于 Router1）： interface Serial2/1 ip address ip nat inside ip virtualreassembly encapsulation framerelay serial restartdelay 0 clock rate 64000 framerelay map ip 101 no framerelay inversearp router ospf 1 logadjacencychanges work area 0 work area 0 neighbor HSRP：熱備份路由器協(xié)議 HSRP協(xié)議概述 實現(xiàn) HSRP（ Hot Standby Router Protocol） 的條件是系統(tǒng)中有多臺路由器，它們組成一個 “熱備份組 ”，這個組形成一個虛擬路由器。 在核心層設(shè)備上進行配置，對相應(yīng)的非 0 區(qū)域的路由表進行匯聚。 沒有路由跳數(shù)限制： OSFF 路由表是基于 LSDB 運行 Dijkstra 算法計算出來的，沒有跳數(shù)限制。 支持 VLSM： OSPF LSA(Link State Advertisement)中包含子網(wǎng)掩碼。但仍然不及 OSPF 的鏈路狀態(tài)算法成功。在 OSPF 中，鏈路狀態(tài)數(shù)據(jù)庫列出了鏈路狀態(tài)路由域中特定區(qū)域的所有鏈路。大規(guī)模地運用 OSPF 協(xié)議的網(wǎng)絡(luò)必須使用分層網(wǎng)絡(luò)拓撲結(jié)構(gòu)。 開放式最短路徑優(yōu)先路由選擇協(xié)議 (OSPF)是于 20 世紀 80 年代后期發(fā)展起來 ,并且早在 90 年代初就由互聯(lián)網(wǎng)組織實現(xiàn)成為一個現(xiàn)代的與提供方無關(guān)的協(xié)議。靜態(tài)路由配置簡單，調(diào)試方便，但由于靜態(tài)路由在網(wǎng)絡(luò)上每增加一個點時，都需要在網(wǎng)絡(luò)上所有現(xiàn)有路由器中增加路由，這樣使得靜態(tài)路由不適合于網(wǎng)絡(luò)規(guī)模較大，網(wǎng)絡(luò)不斷發(fā)展的場合，而動態(tài)路由因為在網(wǎng)絡(luò)上的路由器之間相互交換 18 路由信息，增加一個節(jié)點時，網(wǎng)絡(luò)上的其他路由器的配置可以不作任何修改，非常便于網(wǎng)絡(luò)的擴展，根據(jù) 企業(yè) 網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)規(guī)模、結(jié)構(gòu)和 將來的擴展能力 ， 使用動態(tài)路由協(xié)議。 使用 VLSM 技術(shù)，在劃分 IP 地址時應(yīng)該盡可能的減少 IP 地址浪費： 三層交換設(shè)備之間的互聯(lián) IP 地址使用 30 位子網(wǎng)掩碼（ ），以 節(jié)約 IP 地址； 網(wǎng)絡(luò)設(shè)備管理接口使用 32 位子網(wǎng)掩碼（ ）； 在訪問 Inter 時，使用 NAT 或者 PAT 技術(shù)通過防火墻設(shè)備進行地址或者端口翻譯，把私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址，以獲得對 Inter 的訪問； 各局域網(wǎng)內(nèi)，根據(jù)業(yè)務(wù)情況，本著滿足需求和擴展性的要求，劃分并預(yù)留出以下地址段：網(wǎng)絡(luò)設(shè)備地址段、服務(wù)器地址段、辦公網(wǎng)段。 因為 IP 地址的規(guī)劃與路由策略息息相關(guān)，所以在 以 IP 地址 規(guī)劃 的基礎(chǔ)上 ， 選擇企業(yè) 網(wǎng)絡(luò)平臺中 最優(yōu) 的路由設(shè)計 方案 ，以下詳細論述了 IP 地址規(guī)劃與路由設(shè)計方案。該名稱是根據(jù)此訪問表的類型得來的。 自反訪問表在路由器的一邊創(chuàng)建 I P 流量的動態(tài)開啟，該過程是基于來自路由器另一邊的會話進行的。 每個部門 VLAN 劃入一個多播地址： Vlan10： Vlan11： Vlan20： Vlan21： Vlan30： Vlan31： 在核心交換機和 PIX 上啟用多播，命令如下： ip multicastrouting int interface ip pim sparsedensemode ip igmp joingroup 配置 PIX 為 RP 的命令如下： ip pim sendrpannounce Loopback0 scope 3 grouplist 50 ip pim sendrpdiscovery Loopback0 scope 3 accesslist 50 permit accesslist 50 permit accesslist 50 permit accesslist 50 permit 15 accesslist 50 permit accesslist 50 permit ip pim rpaddress 訪問控制列表（ ACL） 設(shè)計方案 訪問控制列表（ Access Control List， ACL） 是路由器接口的指令列表，用來控制端口進出的數(shù)據(jù)包。但是，在 PIMSM 中，某個廣播組接受者可以根據(jù)一定條件選擇從以 RP為根的 RPT樹切換到以發(fā)送者為根的所謂 SPT 樹； RPT 樹和 SPT 樹各有其優(yōu)點， RPT 樹易于構(gòu)造，并且可以減少路由器中所要維護的組播狀態(tài)；如果廣播組會話由大量低帶寬多目的廣播流構(gòu)成， RPT 還可以節(jié)省網(wǎng)絡(luò)資源，而 SPT 樹則可以采用最優(yōu)路徑，并消除封裝和解封裝過程，提供更好的性能。 用戶通過運行組播客戶端軟件的 PC 運行 IGMP 協(xié)議，用戶可通過 IGMP 協(xié)議加入某個組播組，建立成員關(guān)系。 組播和傳統(tǒng) 的單播數(shù)據(jù)傳送方式如 圖 3 所示 ： 圖 3 組播示意圖 從圖中可以清楚的看出，單播傳送發(fā)送數(shù)據(jù)的多個拷貝，每個拷貝發(fā)送到一個接收者，主機輪流發(fā)送數(shù)據(jù)的拷貝，網(wǎng)絡(luò)分別將它們轉(zhuǎn)發(fā)至每個接收者，主機一次只能發(fā)送至一個接收者。其次對路由器和交換機的性能也提出了更高的要求，管理人員被迫購買本來不必要的硬件和帶寬來保證一定的服務(wù)質(zhì)量。這種傳送方式稱為單播。在這種通信 方式下，源 IP 主機向指定的目標 IP 主機發(fā)送信息包。 VLAN 將廣播域進行分割，但透過 VLAN 進行通訊則必須通過路由器進行轉(zhuǎn)發(fā)。 其中 VLAN10~31為部門 VLAN，禁止互訪， VLAN 51 為文件服務(wù)器區(qū)，能被任何部門訪問， VLAN 52為網(wǎng)管區(qū)，能單向訪問各個部門。 基 于 MAC 地址的 VLAN，即動態(tài) VLAN，基于 Vlan 策略服務(wù)組建，特點是終端設(shè)備可以在整個局域網(wǎng)中移動而不用改變配置，適合于移動辦公型的網(wǎng)絡(luò)環(huán)境，缺點是配置工作量大、繁瑣。 VLAN 技術(shù)不需要特殊的設(shè)備，目前第二層交換機均支持 VLAN 技術(shù)。對 每個用戶而言，當然不希望他的信息被別人利用，因此需要從物理上隔離用戶數(shù)據(jù)（單播地址的幀），保證用戶單播地址的幀只有該用戶可以接收到，不像在局域網(wǎng)中采用共享總線方式，使單播地址的幀能被總線上的所有用戶接收。企業(yè) 網(wǎng)絡(luò)內(nèi)部的環(huán)境復(fù)雜 、 分布 區(qū) 域廣 、 網(wǎng)絡(luò)用戶 多 ， 以至于企業(yè) 內(nèi)部網(wǎng)絡(luò)用戶的可靠性得 不 到完全的保證。 核心層： 核心層交 換機負責(zé)所有交換區(qū)塊設(shè)備和廣域網(wǎng)設(shè)備的接入，因此需要高速的數(shù)據(jù)轉(zhuǎn)發(fā)能力 。 (2)匯聚層： 接入層交換機使用 100M 雙絞線匯聚到一臺或者多臺匯聚層設(shè)備，匯聚層設(shè)備在接入層交換機之間提供第二層連接，作為接入層交換機的集中連接點及接入層和核心層之間的分界點，匯聚層在提供接入層接 入的同時，還能夠做到廣播域的隔離、不同網(wǎng)段之間的路由、介質(zhì)轉(zhuǎn)換、安全控制。在設(shè)計網(wǎng)絡(luò)的原則上，發(fā)揮不同廠商產(chǎn)品的專用先進技術(shù)同時，必須強調(diào)考察設(shè)備的技術(shù)、協(xié)議的標準性。在設(shè)計局域網(wǎng)的設(shè)備選擇上，要求網(wǎng)絡(luò)設(shè)備支持標準的網(wǎng)絡(luò)管理協(xié)議 SNMP，同時支持RMON/RMONII 協(xié)議，核心設(shè)備要求支持 RAP(遠程分析端口 )協(xié)議，實施充分的網(wǎng)絡(luò)管理功能。網(wǎng)絡(luò)管理軟件應(yīng)用于網(wǎng)絡(luò)的設(shè)備配置，網(wǎng)絡(luò)拓撲結(jié)構(gòu)表示，網(wǎng)絡(luò)設(shè)備的狀態(tài)的顯示，網(wǎng)絡(luò)設(shè)備的故障事件報警，網(wǎng)絡(luò)流量統(tǒng)計分析以及計費等等。在大規(guī)模網(wǎng)絡(luò)的設(shè)計上，劃分虛擬子網(wǎng)，一方面可以有效的隔離子網(wǎng)內(nèi)的大量廣播，另一方面隔離網(wǎng)絡(luò)子網(wǎng)間的通訊，控制了資源的訪問權(quán)限，提高了網(wǎng)絡(luò)的安全性。 網(wǎng) 絡(luò)的安全性對局域網(wǎng)的設(shè)計是非常重要的，合理的網(wǎng)絡(luò)安全控制，可以使應(yīng)用環(huán)境中的資源得到有效的保護。對于交換機來說，核心交換引擎應(yīng)該可以滿足最大配置下，無阻塞的進行端口數(shù)據(jù)包交換，模塊的擴充不影響交換性能。同時提高性能，滿足更高性能的要求。網(wǎng)絡(luò)設(shè)備的選擇，尤其是核心機箱式設(shè)備，應(yīng)該可以配置冗余部件，關(guān)鍵部件不存在單一故障點，也就是說，像交換機的電源、風(fēng)扇、交換引擎、管理模塊這些部件可以冗余備份，其中之一任何部件的損壞，不會影響設(shè)備的正常運行，不會影響網(wǎng)絡(luò)的連通。 隨著信息化社會的飛速發(fā)展，普遍采用了 Intra 應(yīng)用模式，實現(xiàn)管理和生產(chǎn)自動化，提高管理效率，管理水平。網(wǎng)絡(luò)的負載流量主要是從邊緣設(shè)備到核心的數(shù)據(jù)交換，隨著業(yè)務(wù)的發(fā)展，網(wǎng)絡(luò)規(guī)模的擴展，以及應(yīng)用的信息交換量增加，使得網(wǎng)絡(luò)通常會在核心發(fā)生通訊瓶頸現(xiàn)象，改善局域網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)交換性能，往往是首先擴充核心交換機的交換性能，增加邊緣設(shè)備到核心的數(shù)據(jù)通訊帶寬，以減輕整個網(wǎng)絡(luò)的瓶頸，使得應(yīng)用軟件的性能和效率得到提 7 高。 網(wǎng)絡(luò)系統(tǒng)管理 系統(tǒng)中包含大量的網(wǎng)絡(luò)設(shè)備，必須為其配置功能強大的管理系統(tǒng)，該系統(tǒng)應(yīng)具有以下功能： (1)虛擬網(wǎng)管理、分配 ； (2)對所有網(wǎng)絡(luò)設(shè)備端口的監(jiān)視和管理 ； (3)對網(wǎng)絡(luò)流量的監(jiān)測和管理 ； (4)對所有網(wǎng)絡(luò)設(shè)備的遠程管理和控制，包括網(wǎng)絡(luò)端口設(shè)備的開放和關(guān)閉 ； (5)整個網(wǎng)絡(luò)的故障監(jiān)測，故障自動報警功能 ； (6)整個網(wǎng)絡(luò)性能的統(tǒng)計和分析報告 。 網(wǎng)絡(luò)管理需求 此次建設(shè)的 企業(yè) 網(wǎng)絡(luò)系統(tǒng)是一個相當復(fù)雜的計算機網(wǎng)絡(luò)，包含多種設(shè)備和技術(shù)。 VLAN 設(shè)置需求 企業(yè) 網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布 區(qū) 域廣，網(wǎng)絡(luò)用戶 多 ，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。 防病毒系統(tǒng)需求 針對防病毒危害性極大并且傳播極為迅速，必須配備從單機到服務(wù)器的整套防病毒軟件，實現(xiàn)全網(wǎng)的病毒安全防護。因為數(shù)據(jù)是密文，所以，即使在傳輸過程中被截獲，入侵者也讀不懂，而且加密機還能通過先進行技術(shù)手段，對數(shù)據(jù)傳輸過程中的完整性、真實性進行鑒別。采用輻射干擾機，防止電磁輻射泄漏機密信息。 外網(wǎng)安全： 由于外網(wǎng)主要運行 企業(yè) 各部門非涉密的內(nèi)部辦公業(yè)務(wù)以及運行面向 客戶的 公開信息 ， 所以必須采取過硬的安全技術(shù)來實現(xiàn) 企業(yè) 的網(wǎng)絡(luò)系統(tǒng)不受 Inter 的“黑客”、病毒等攻擊。 實現(xiàn)信息資源和軟硬件資源共享，提供豐富的網(wǎng)絡(luò)信息服務(wù)，以推動 辦公自動化。一般采用交換，必要時實現(xiàn)路由隔離。本方案針對網(wǎng)絡(luò)系統(tǒng)應(yīng)用場合對安全提出了很高的要求，因此網(wǎng)絡(luò)設(shè)計充分考慮網(wǎng)絡(luò)上敏感數(shù)據(jù)傳輸?shù)陌踩?，一方面需要充分? 4 用網(wǎng)絡(luò)設(shè)備提供的安全策略（ VLAN 劃分等），另一方面為了保障內(nèi)部數(shù)據(jù)傳輸?shù)陌踩?，采用各種安全技術(shù)（防火墻、入侵檢測、防病毒體系等），并且盡量不 影響到整個網(wǎng)絡(luò)的運行效率。 在選取“飛”的翅膀時，計算機網(wǎng)絡(luò)解決方案的選取是關(guān)鍵。同時利用互聯(lián)網(wǎng)技術(shù)不僅可以全面監(jiān)控下游客戶每日的進銷存情況，及時進行補貨，而且可以讓上有的供應(yīng)商及時知道企業(yè)原料的庫存情況，及時補充，將存貨量保持在最低水品。傳統(tǒng)企業(yè)在對市場的反饋速度上明 顯過慢。作為電子商務(wù)基石的網(wǎng)絡(luò)系統(tǒng)已經(jīng)成為現(xiàn)代企業(yè)的“神經(jīng)”，而“神經(jīng)”是否工作正常，是否高速高效，直接關(guān)系到“生存死亡”。 制造業(yè)傳統(tǒng)運作模式效率低， 成本過高，已不適于新經(jīng)濟的需要。從網(wǎng)絡(luò)在企業(yè)生產(chǎn)、流通、服務(wù)等關(guān)鍵環(huán)節(jié)起的重要作用來看，其更多超出了技術(shù)領(lǐng)域，而深具經(jīng)濟學(xué)內(nèi)涵。雖然“擴大規(guī)模”仍然是降低成本的根本途徑，但是伴隨經(jīng)濟規(guī)模的擴大也增加了“協(xié)調(diào)成本”，既與企業(yè)相關(guān)的信息交流的代價。 設(shè)置策略或設(shè)備的冗余，保證企業(yè)網(wǎng)絡(luò)在遭遇突發(fā)故障時能順利切換線路，保障數(shù)據(jù)的完整性，避免重要信息的丟失，增強網(wǎng)絡(luò)的穩(wěn)定性。是為入住 企業(yè) 的單位提供寬帶國際互聯(lián)網(wǎng)絡(luò)接入服務(wù)、內(nèi)部網(wǎng)絡(luò)通訊平臺、計算機應(yīng)用服務(wù)的綜合性專用計算機數(shù)據(jù)通信 網(wǎng)絡(luò)。 在先進成熟的計算機和通信技術(shù)基礎(chǔ)上， 企業(yè) 要建設(shè)成光纖網(wǎng)絡(luò)，使 企業(yè) 各部門實現(xiàn)宏觀決策科學(xué)化，辦公自動化，信息交換網(wǎng)絡(luò)化，提高宏觀決策和調(diào)控能力，促進企業(yè)信息化，同時有助于加快信息經(jīng)濟建設(shè)。 設(shè)計中 采用虛擬局域網(wǎng) 來隔離 不同部門， 以 達到 增強 企業(yè)網(wǎng)絡(luò) 安 全性的目的 ；在規(guī)劃好的 VLAN 的 基礎(chǔ) 上 ， 采用 訪問控制列表（ ACL），設(shè)置策略， 來 限制部門 之 間以及服務(wù)器區(qū)的訪問，進一步提 高 企業(yè)網(wǎng)絡(luò) 內(nèi)部的 安 全