【正文】 域網(wǎng)口 down，都會(huì)迅速切換到另外一臺(tái)。路由器的缺省優(yōu)先級(jí)是 100，所以如果只設(shè)置一個(gè)路由器的優(yōu)先級(jí)高于 100，則該路由器將成為主動(dòng)路由器。該 IP地址、組內(nèi)路由器的接口地址、主機(jī)在同一個(gè)子網(wǎng)內(nèi)，但是不能一樣。如果活動(dòng)路由器失效，備份路由器將接管成為活動(dòng)路由器。 在 PIX 上配置 OSPF 協(xié)議如下： router ospf 1 logadjacencychanges work area 0 work area 0 20 work area 0 work area 0 work area 0 在核心交換上配置 OSPF 協(xié)議如下： router ospf 1 logadjacencychanges work area 0 work area 0 work area 0 work area 0 work area 0 在邊緣交換機(jī) Router 1 上配置 OSPF 協(xié)議如下（ NBMA 類型，手工指定鄰居，分支機(jī)構(gòu)路由器 Router2 配置類似于 Router1）： interface Serial2/1 ip address ip nat inside ip virtualreassembly encapsulation framerelay serial restartdelay 0 clock rate 64000 framerelay map ip 101 no framerelay inversearp router ospf 1 logadjacencychanges work area 0 work area 0 neighbor HSRP：熱備份路由器協(xié)議 HSRP協(xié)議概述 實(shí)現(xiàn) HSRP（ Hot Standby Router Protocol） 的條件是系統(tǒng)中有多臺(tái)路由器，它們組成一個(gè) “熱備份組 ”，這個(gè)組形成一個(gè)虛擬路由器。 在核心層設(shè)備上進(jìn)行配置，對(duì)相應(yīng)的非 0 區(qū)域的路由表進(jìn)行匯聚。 沒(méi)有路由跳數(shù)限制： OSFF 路由表是基于 LSDB 運(yùn)行 Dijkstra 算法計(jì)算出來(lái)的，沒(méi)有跳數(shù)限制。 支持 VLSM： OSPF LSA(Link State Advertisement)中包含子網(wǎng)掩碼。但仍然不及 OSPF 的鏈路狀態(tài)算法成功。在 OSPF 中，鏈路狀態(tài)數(shù)據(jù)庫(kù)列出了鏈路狀態(tài)路由域中特定區(qū)域的所有鏈路。大規(guī)模地運(yùn)用 OSPF 協(xié)議的網(wǎng)絡(luò)必須使用分層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。 開(kāi)放式最短路徑優(yōu)先路由選擇協(xié)議 (OSPF)是于 20 世紀(jì) 80 年代后期發(fā)展起來(lái) ,并且早在 90 年代初就由互聯(lián)網(wǎng)組織實(shí)現(xiàn)成為一個(gè)現(xiàn)代的與提供方無(wú)關(guān)的協(xié)議。靜態(tài)路由配置簡(jiǎn)單，調(diào)試方便，但由于靜態(tài)路由在網(wǎng)絡(luò)上每增加一個(gè)點(diǎn)時(shí)，都需要在網(wǎng)絡(luò)上所有現(xiàn)有路由器中增加路由，這樣使得靜態(tài)路由不適合于網(wǎng)絡(luò)規(guī)模較大，網(wǎng)絡(luò)不斷發(fā)展的場(chǎng)合，而動(dòng)態(tài)路由因?yàn)樵诰W(wǎng)絡(luò)上的路由器之間相互交換 18 路由信息，增加一個(gè)節(jié)點(diǎn)時(shí)，網(wǎng)絡(luò)上的其他路由器的配置可以不作任何修改，非常便于網(wǎng)絡(luò)的擴(kuò)展，根據(jù) 企業(yè) 網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)規(guī)模、結(jié)構(gòu)和 將來(lái)的擴(kuò)展能力 ， 使用動(dòng)態(tài)路由協(xié)議。 使用 VLSM 技術(shù)，在劃分 IP 地址時(shí)應(yīng)該盡可能的減少 IP 地址浪費(fèi)： 三層交換設(shè)備之間的互聯(lián) IP 地址使用 30 位子網(wǎng)掩碼（ ），以 節(jié)約 IP 地址； 網(wǎng)絡(luò)設(shè)備管理接口使用 32 位子網(wǎng)掩碼（ ）； 在訪問(wèn) Inter 時(shí)，使用 NAT 或者 PAT 技術(shù)通過(guò)防火墻設(shè)備進(jìn)行地址或者端口翻譯，把私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址，以獲得對(duì) Inter 的訪問(wèn)； 各局域網(wǎng)內(nèi)，根據(jù)業(yè)務(wù)情況，本著滿足需求和擴(kuò)展性的要求，劃分并預(yù)留出以下地址段：網(wǎng)絡(luò)設(shè)備地址段、服務(wù)器地址段、辦公網(wǎng)段。 因?yàn)?IP 地址的規(guī)劃與路由策略息息相關(guān)，所以在 以 IP 地址 規(guī)劃 的基礎(chǔ)上 ， 選擇企業(yè) 網(wǎng)絡(luò)平臺(tái)中 最優(yōu) 的路由設(shè)計(jì) 方案 ，以下詳細(xì)論述了 IP 地址規(guī)劃與路由設(shè)計(jì)方案。該名稱是根據(jù)此訪問(wèn)表的類型得來(lái)的。 自反訪問(wèn)表在路由器的一邊創(chuàng)建 I P 流量的動(dòng)態(tài)開(kāi)啟，該過(guò)程是基于來(lái)自路由器另一邊的會(huì)話進(jìn)行的。 每個(gè)部門(mén) VLAN 劃入一個(gè)多播地址： Vlan10： Vlan11： Vlan20： Vlan21： Vlan30： Vlan31： 在核心交換機(jī)和 PIX 上啟用多播，命令如下： ip multicastrouting int interface ip pim sparsedensemode ip igmp joingroup 配置 PIX 為 RP 的命令如下： ip pim sendrpannounce Loopback0 scope 3 grouplist 50 ip pim sendrpdiscovery Loopback0 scope 3 accesslist 50 permit accesslist 50 permit accesslist 50 permit accesslist 50 permit 15 accesslist 50 permit accesslist 50 permit ip pim rpaddress 訪問(wèn)控制列表（ ACL） 設(shè)計(jì)方案 訪問(wèn)控制列表（ Access Control List， ACL） 是路由器接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。但是，在 PIMSM 中，某個(gè)廣播組接受者可以根據(jù)一定條件選擇從以 RP為根的 RPT樹(shù)切換到以發(fā)送者為根的所謂 SPT 樹(shù)； RPT 樹(shù)和 SPT 樹(shù)各有其優(yōu)點(diǎn)， RPT 樹(shù)易于構(gòu)造，并且可以減少路由器中所要維護(hù)的組播狀態(tài)；如果廣播組會(huì)話由大量低帶寬多目的廣播流構(gòu)成， RPT 還可以節(jié)省網(wǎng)絡(luò)資源，而 SPT 樹(shù)則可以采用最優(yōu)路徑，并消除封裝和解封裝過(guò)程，提供更好的性能。 用戶通過(guò)運(yùn)行組播客戶端軟件的 PC 運(yùn)行 IGMP 協(xié)議，用戶可通過(guò) IGMP 協(xié)議加入某個(gè)組播組，建立成員關(guān)系。 組播和傳統(tǒng) 的單播數(shù)據(jù)傳送方式如 圖 3 所示 ： 圖 3 組播示意圖 從圖中可以清楚的看出，單播傳送發(fā)送數(shù)據(jù)的多個(gè)拷貝，每個(gè)拷貝發(fā)送到一個(gè)接收者，主機(jī)輪流發(fā)送數(shù)據(jù)的拷貝，網(wǎng)絡(luò)分別將它們轉(zhuǎn)發(fā)至每個(gè)接收者，主機(jī)一次只能發(fā)送至一個(gè)接收者。其次對(duì)路由器和交換機(jī)的性能也提出了更高的要求，管理人員被迫購(gòu)買本來(lái)不必要的硬件和帶寬來(lái)保證一定的服務(wù)質(zhì)量。這種傳送方式稱為單播。在這種通信 方式下，源 IP 主機(jī)向指定的目標(biāo) IP 主機(jī)發(fā)送信息包。 VLAN 將廣播域進(jìn)行分割，但透過(guò) VLAN 進(jìn)行通訊則必須通過(guò)路由器進(jìn)行轉(zhuǎn)發(fā)。 其中 VLAN10~31為部門(mén) VLAN，禁止互訪， VLAN 51 為文件服務(wù)器區(qū)，能被任何部門(mén)訪問(wèn)， VLAN 52為網(wǎng)管區(qū)，能單向訪問(wèn)各個(gè)部門(mén)。 基 于 MAC 地址的 VLAN，即動(dòng)態(tài) VLAN，基于 Vlan 策略服務(wù)組建，特點(diǎn)是終端設(shè)備可以在整個(gè)局域網(wǎng)中移動(dòng)而不用改變配置，適合于移動(dòng)辦公型的網(wǎng)絡(luò)環(huán)境，缺點(diǎn)是配置工作量大、繁瑣。 VLAN 技術(shù)不需要特殊的設(shè)備，目前第二層交換機(jī)均支持 VLAN 技術(shù)。對(duì) 每個(gè)用戶而言，當(dāng)然不希望他的信息被別人利用，因此需要從物理上隔離用戶數(shù)據(jù)（單播地址的幀），保證用戶單播地址的幀只有該用戶可以接收到，不像在局域網(wǎng)中采用共享總線方式，使單播地址的幀能被總線上的所有用戶接收。企業(yè) 網(wǎng)絡(luò)內(nèi)部的環(huán)境復(fù)雜 、 分布 區(qū) 域廣 、 網(wǎng)絡(luò)用戶 多 ， 以至于企業(yè) 內(nèi)部網(wǎng)絡(luò)用戶的可靠性得 不 到完全的保證。 核心層： 核心層交 換機(jī)負(fù)責(zé)所有交換區(qū)塊設(shè)備和廣域網(wǎng)設(shè)備的接入，因此需要高速的數(shù)據(jù)轉(zhuǎn)發(fā)能力 。 (2)匯聚層： 接入層交換機(jī)使用 100M 雙絞線匯聚到一臺(tái)或者多臺(tái)匯聚層設(shè)備，匯聚層設(shè)備在接入層交換機(jī)之間提供第二層連接，作為接入層交換機(jī)的集中連接點(diǎn)及接入層和核心層之間的分界點(diǎn)，匯聚層在提供接入層接 入的同時(shí)，還能夠做到廣播域的隔離、不同網(wǎng)段之間的路由、介質(zhì)轉(zhuǎn)換、安全控制。在設(shè)計(jì)網(wǎng)絡(luò)的原則上，發(fā)揮不同廠商產(chǎn)品的專用先進(jìn)技術(shù)同時(shí)，必須強(qiáng)調(diào)考察設(shè)備的技術(shù)、協(xié)議的標(biāo)準(zhǔn)性。在設(shè)計(jì)局域網(wǎng)的設(shè)備選擇上，要求網(wǎng)絡(luò)設(shè)備支持標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理協(xié)議 SNMP，同時(shí)支持RMON/RMONII 協(xié)議，核心設(shè)備要求支持 RAP(遠(yuǎn)程分析端口 )協(xié)議，實(shí)施充分的網(wǎng)絡(luò)管理功能。網(wǎng)絡(luò)管理軟件應(yīng)用于網(wǎng)絡(luò)的設(shè)備配置，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)表示，網(wǎng)絡(luò)設(shè)備的狀態(tài)的顯示，網(wǎng)絡(luò)設(shè)備的故障事件報(bào)警，網(wǎng)絡(luò)流量統(tǒng)計(jì)分析以及計(jì)費(fèi)等等。在大規(guī)模網(wǎng)絡(luò)的設(shè)計(jì)上，劃分虛擬子網(wǎng)，一方面可以有效的隔離子網(wǎng)內(nèi)的大量廣播，另一方面隔離網(wǎng)絡(luò)子網(wǎng)間的通訊，控制了資源的訪問(wèn)權(quán)限，提高了網(wǎng)絡(luò)的安全性。 網(wǎng) 絡(luò)的安全性對(duì)局域網(wǎng)的設(shè)計(jì)是非常重要的，合理的網(wǎng)絡(luò)安全控制，可以使應(yīng)用環(huán)境中的資源得到有效的保護(hù)。對(duì)于交換機(jī)來(lái)說(shuō)，核心交換引擎應(yīng)該可以滿足最大配置下，無(wú)阻塞的進(jìn)行端口數(shù)據(jù)包交換，模塊的擴(kuò)充不影響交換性能。同時(shí)提高性能，滿足更高性能的要求。網(wǎng)絡(luò)設(shè)備的選擇，尤其是核心機(jī)箱式設(shè)備，應(yīng)該可以配置冗余部件，關(guān)鍵部件不存在單一故障點(diǎn)，也就是說(shuō)，像交換機(jī)的電源、風(fēng)扇、交換引擎、管理模塊這些部件可以冗余備份，其中之一任何部件的損壞，不會(huì)影響設(shè)備的正常運(yùn)行，不會(huì)影響網(wǎng)絡(luò)的連通。 隨著信息化社會(huì)的飛速發(fā)展，普遍采用了 Intra 應(yīng)用模式，實(shí)現(xiàn)管理和生產(chǎn)自動(dòng)化，提高管理效率，管理水平。網(wǎng)絡(luò)的負(fù)載流量主要是從邊緣設(shè)備到核心的數(shù)據(jù)交換，隨著業(yè)務(wù)的發(fā)展，網(wǎng)絡(luò)規(guī)模的擴(kuò)展，以及應(yīng)用的信息交換量增加，使得網(wǎng)絡(luò)通常會(huì)在核心發(fā)生通訊瓶頸現(xiàn)象，改善局域網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)交換性能，往往是首先擴(kuò)充核心交換機(jī)的交換性能，增加邊緣設(shè)備到核心的數(shù)據(jù)通訊帶寬，以減輕整個(gè)網(wǎng)絡(luò)的瓶頸，使得應(yīng)用軟件的性能和效率得到提 7 高。 網(wǎng)絡(luò)系統(tǒng)管理 系統(tǒng)中包含大量的網(wǎng)絡(luò)設(shè)備，必須為其配置功能強(qiáng)大的管理系統(tǒng)，該系統(tǒng)應(yīng)具有以下功能： (1)虛擬網(wǎng)管理、分配 ； (2)對(duì)所有網(wǎng)絡(luò)設(shè)備端口的監(jiān)視和管理 ； (3)對(duì)網(wǎng)絡(luò)流量的監(jiān)測(cè)和管理 ； (4)對(duì)所有網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理和控制，包括網(wǎng)絡(luò)端口設(shè)備的開(kāi)放和關(guān)閉 ； (5)整個(gè)網(wǎng)絡(luò)的故障監(jiān)測(cè)，故障自動(dòng)報(bào)警功能 ； (6)整個(gè)網(wǎng)絡(luò)性能的統(tǒng)計(jì)和分析報(bào)告 。 網(wǎng)絡(luò)管理需求 此次建設(shè)的 企業(yè) 網(wǎng)絡(luò)系統(tǒng)是一個(gè)相當(dāng)復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)，包含多種設(shè)備和技術(shù)。 VLAN 設(shè)置需求 企業(yè) 網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布 區(qū) 域廣，網(wǎng)絡(luò)用戶 多 ，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。 防病毒系統(tǒng)需求 針對(duì)防病毒危害性極大并且傳播極為迅速，必須配備從單機(jī)到服務(wù)器的整套防病毒軟件，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)。因?yàn)閿?shù)據(jù)是密文，所以，即使在傳輸過(guò)程中被截獲，入侵者也讀不懂，而且加密機(jī)還能通過(guò)先進(jìn)行技術(shù)手段，對(duì)數(shù)據(jù)傳輸過(guò)程中的完整性、真實(shí)性進(jìn)行鑒別。采用輻射干擾機(jī)，防止電磁輻射泄漏機(jī)密信息。 外網(wǎng)安全： 由于外網(wǎng)主要運(yùn)行 企業(yè) 各部門(mén)非涉密的內(nèi)部辦公業(yè)務(wù)以及運(yùn)行面向 客戶的 公開(kāi)信息 ， 所以必須采取過(guò)硬的安全技術(shù)來(lái)實(shí)現(xiàn) 企業(yè) 的網(wǎng)絡(luò)系統(tǒng)不受 Inter 的“黑客”、病毒等攻擊。 實(shí)現(xiàn)信息資源和軟硬件資源共享，提供豐富的網(wǎng)絡(luò)信息服務(wù)，以推動(dòng) 辦公自動(dòng)化。一般采用交換，必要時(shí)實(shí)現(xiàn)路由隔離。本方案針對(duì)網(wǎng)絡(luò)系統(tǒng)應(yīng)用場(chǎng)合對(duì)安全提出了很高的要求，因此網(wǎng)絡(luò)設(shè)計(jì)充分考慮網(wǎng)絡(luò)上敏感數(shù)據(jù)傳輸?shù)陌踩裕环矫嫘枰浞掷? 4 用網(wǎng)絡(luò)設(shè)備提供的安全策略（ VLAN 劃分等），另一方面為了保障內(nèi)部數(shù)據(jù)傳輸?shù)陌踩裕捎酶鞣N安全技術(shù)（防火墻、入侵檢測(cè)、防病毒體系等），并且盡量不 影響到整個(gè)網(wǎng)絡(luò)的運(yùn)行效率。 在選取“飛”的翅膀時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)解決方案的選取是關(guān)鍵。同時(shí)利用互聯(lián)網(wǎng)技術(shù)不僅可以全面監(jiān)控下游客戶每日的進(jìn)銷存情況，及時(shí)進(jìn)行補(bǔ)貨，而且可以讓上有的供應(yīng)商及時(shí)知道企業(yè)原料的庫(kù)存情況，及時(shí)補(bǔ)充，將存貨量保持在最低水品。傳統(tǒng)企業(yè)在對(duì)市場(chǎng)的反饋速度上明 顯過(guò)慢。作為電子商務(wù)基石的網(wǎng)絡(luò)系統(tǒng)已經(jīng)成為現(xiàn)代企業(yè)的“神經(jīng)”，而“神經(jīng)”是否工作正常，是否高速高效，直接關(guān)系到“生存死亡”。 制造業(yè)傳統(tǒng)運(yùn)作模式效率低， 成本過(guò)高，已不適于新經(jīng)濟(jì)的需要。從網(wǎng)絡(luò)在企業(yè)生產(chǎn)、流通、服務(wù)等關(guān)鍵環(huán)節(jié)起的重要作用來(lái)看，其更多超出了技術(shù)領(lǐng)域，而深具經(jīng)濟(jì)學(xué)內(nèi)涵。雖然“擴(kuò)大規(guī)模”仍然是降低成本的根本途徑，但是伴隨經(jīng)濟(jì)規(guī)模的擴(kuò)大也增加了“協(xié)調(diào)成本”，既與企業(yè)相關(guān)的信息交流的代價(jià)。 設(shè)置策略或設(shè)備的冗余，保證企業(yè)網(wǎng)絡(luò)在遭遇突發(fā)故障時(shí)能順利切換線路，保障數(shù)據(jù)的完整性，避免重要信息的丟失，增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性。是為入住 企業(yè) 的單位提供寬帶國(guó)際互聯(lián)網(wǎng)絡(luò)接入服務(wù)、內(nèi)部網(wǎng)絡(luò)通訊平臺(tái)、計(jì)算機(jī)應(yīng)用服務(wù)的綜合性專用計(jì)算機(jī)數(shù)據(jù)通信 網(wǎng)絡(luò)。 在先進(jìn)成熟的計(jì)算機(jī)和通信技術(shù)基礎(chǔ)上， 企業(yè) 要建設(shè)成光纖網(wǎng)絡(luò)，使 企業(yè) 各部門(mén)實(shí)現(xiàn)宏觀決策科學(xué)化，辦公自動(dòng)化，信息交換網(wǎng)絡(luò)化，提高宏觀決策和調(diào)控能力，促進(jìn)企業(yè)信息化，同時(shí)有助于加快信息經(jīng)濟(jì)建設(shè)。 設(shè)計(jì)中 采用虛擬局域網(wǎng) 來(lái)隔離 不同部門(mén)， 以 達(dá)到 增強(qiáng) 企業(yè)網(wǎng)絡(luò) 安 全性的目的 ；在規(guī)劃好的 VLAN 的 基礎(chǔ) 上 ， 采用 訪問(wèn)控制列表（ ACL），設(shè)置策略， 來(lái) 限制部門(mén) 之 間以及服務(wù)器區(qū)的訪問(wèn)，進(jìn)一步提 高 企業(yè)網(wǎng)絡(luò) 內(nèi)部的 安 全