【正文】 1分鐘到100年不定，當租期到了的時候，服務器可以把這個IP地址分配給別的機器使用。DHCP是BOOTP的擴展，是基于C/S模式的，它提供了一種動態(tài)指定IP地址和配置參數(shù)的機制。 DHCPDHCP 是 Dynamic Host Configuration Protocol(動態(tài)主機分配協(xié)議)縮寫。這一技術主要應用于交換機和路由器中，但主流應用還是在三層交換機之中。企業(yè)用戶可以根據(jù)所需帶寬、本地服務可用性、花費等因素綜合考慮，選擇一種適合企業(yè)自身需要的廣域網(wǎng)接入方案。　 遠程訪問技術遠程訪問也是企業(yè)網(wǎng)絡必須提供的服務之一。為了簡化交換網(wǎng)絡設計、提高交換網(wǎng)絡的可擴展性，在企業(yè)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進行的。在VLAN間需要通信的時候，可以利用VLAN間路由技術來實現(xiàn)?，F(xiàn)代交換技術還實現(xiàn)了第3層交換和多層交換。路由器上的訪問控制列表（Access Control List，ACL）是保護內(nèi)網(wǎng)安全的有效手段。路由器具有在網(wǎng)絡中傳遞數(shù)據(jù)時選擇最佳路徑的能力?！?*****”************項目，將企業(yè)搬遷至新廠區(qū)。結合實際需求，通過對網(wǎng)絡架構組建方案的設計、基于安全的網(wǎng)絡配置方案設計、服務器架設方案設計、企業(yè)網(wǎng)絡高級服務設計等方面的研究，詳盡的探討了對該網(wǎng)絡進行規(guī)劃設計時遇到的關鍵性問題，以及網(wǎng)絡相關的服務，給出了網(wǎng)絡規(guī)劃設計解決方案。本論文敘述了通過對關鍵技術的應用，結合相關網(wǎng)絡知識對一家大型****企業(yè)的網(wǎng)絡進行了整體規(guī)劃設計。項目將充分響應國家**********“努力將項目建成國內(nèi)一流水平”的指示，發(fā)揚“敢想敢拼、善謀善為”的企業(yè)精神，打造“國內(nèi)一流、國際先進”的****制造基地，使公司成為中國****工業(yè)少數(shù)幾個強勢企業(yè)之一奠定基礎。2 網(wǎng)絡技術原理 路由技術路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器是外網(wǎng)進入企業(yè)網(wǎng)內(nèi)網(wǎng)的第一道關卡，是網(wǎng)絡防御的前沿陣地。 交換技術傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層。VLAN將廣播域限制在單個VLAN內(nèi)部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。這樣，大大減輕了網(wǎng)絡管理人員的工作負擔和工作強度。在本工程案例設計中，也將采用這三層進行分開設計、配置[2]。不同的廣域網(wǎng)連接類型提供的服務質(zhì)量不同，花費也不相同。VLAN是一種將局域網(wǎng)設備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術。不同的VLAN之間的通訊是需要有路由來完成的[4]。比較起 BOOTP ，DHCP 透過 租約 的概念，有效且動態(tài)的分配客戶端的 TCP/IP 設定，而且，作為兼容考慮，DHCP 的分配形式 首先，必須至少有一臺 DHCP 工作在網(wǎng)絡上面，它會監(jiān)聽網(wǎng)絡的 DHCP 請求，并與客戶端磋商 TCP/IP 的設定環(huán)境。DHCP使IP地址的可以租用，對于許多擁有許多臺計算機的大型網(wǎng)絡來說，每臺計算機擁有一個IP地址有時候可能是不必要的。顧名思義，虛擬專用網(wǎng)絡我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。 PVSTPVST: PerVLAN Spanning Tree（每VLAN生成樹） PVST是解決在虛擬局域網(wǎng)上處理生成樹的CISCO特有解決方案．PVST為每個虛擬局域網(wǎng)運行單獨的生成樹實例．一般情況下PVST要求在交換機之間的中繼鏈路上運行CISCO的ISL。 HSRPHSRP：熱備份路由器協(xié)議（HSRP：Hot Standby Router Protocol）熱備份路由器協(xié)議（HSRP）的設計目標是支持特定情況下 IP 流量失敗轉(zhuǎn)移不會引起混亂、并允許主機使用單路由器，以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。終端主機將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬路由器上。如果主動路由器出現(xiàn)故障，備份路由器（Standby Routers）承接主動路由器的所有任務，并且不會導致主機連通中斷現(xiàn)象。AAA ，認證(Authentication)：驗證用戶的身份與可使用的網(wǎng)絡服務?！∈紫?，認證部分提供了對用戶的認證。如果符合，那么對用戶認證通過。簡單而言，授權過程是一系列強迫策略的組合，包括：確定活動的種類或質(zhì)量、資源或者用戶被允許的服務有哪些。這些資源包括連接時間或者用戶在連接過程中的收發(fā)流量等等。當前同AAA服務器協(xié)作的網(wǎng)絡連接服務器接口是“遠程身份驗證撥入用戶服務 (RADIUS)”[7]。例如，ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級。ACL允許主機A訪問人力資源網(wǎng)絡，而拒絕主機B訪問。3 網(wǎng)絡技術方案 總體架構************項目整個基礎網(wǎng)絡分為兩大塊，辦公大樓網(wǎng)絡和生產(chǎn)廠區(qū)網(wǎng)絡。網(wǎng)絡拓撲架構如下：針對新廠區(qū)網(wǎng)絡情況分析，我們可以看到業(yè)務系統(tǒng)對于網(wǎng)絡的需求主要由7個部分組成：核心網(wǎng)絡區(qū)域設計：核心網(wǎng)絡區(qū)域的設計主要包括核心交換機、互聯(lián)網(wǎng)區(qū)域、外聯(lián)區(qū)域和網(wǎng)絡安全區(qū)域設計。無線網(wǎng)絡設計：無線網(wǎng)絡設計主要為辦公大樓、技術中心、卷包中控、制絲中控和能源管理中心無線網(wǎng)絡的設計。此處的數(shù)據(jù)轉(zhuǎn)發(fā)性能直接關系到全網(wǎng)的業(yè)務運行。從維護和運行的角度說，冗余拓撲結構可實現(xiàn)絕好的收斂性和可用性。與老廠房互連路由器我司選用一臺Cisco 3945集成多業(yè)務路由器。另一個運營商出口用于互聯(lián)網(wǎng)VPN接入。在互聯(lián)網(wǎng)防火墻的DMZ區(qū)部署一臺思科48口千兆交換機，用于DMZ區(qū)服務器接入，提供互聯(lián)網(wǎng)業(yè)務。本次項目內(nèi)部基礎網(wǎng)絡安全主要包括以下幾個系統(tǒng)：防火墻系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、安全審計系統(tǒng)和身份認證系統(tǒng)?？紤]到上述因素，在滿足標書技術要求的基礎上，我司選用用思科的IPS 4260系列入侵檢測系統(tǒng)。攻擊可能來自于網(wǎng)絡的各個方面。 安全審計系統(tǒng)設計當用戶的計算機網(wǎng)絡擴展到包含了許多主機和應用系統(tǒng)時，管理與安全相關的事件變成越來越復雜的任務。其中主要存在的問題：審計記錄會增大并被覆寫。不能跨平臺分析審計記錄。安全審計系統(tǒng)使電子商務安全信息觸手可及。該系統(tǒng)能提供的基本審計和分析功能，可以幫助客戶明顯地降低受到來自外界和內(nèi)部的惡意侵襲的風險。授權（Authorization）用一些特殊的參數(shù)表明訪問（或存?。┑臋嘞蕖Ｔ谒泄δ苤?，身份認證（Authentication）是最基本最重要的環(huán)節(jié)，即使將授權、保密性、完整性、不可否認等環(huán)節(jié)做得很完善，但如果盜用了合法的帳號和口令登錄系統(tǒng)，系統(tǒng)仍然認為他是合法用戶，給予他相應的訪問權限，使系統(tǒng)處于危險狀態(tài)。綜合網(wǎng)管系統(tǒng)提供如下管理能力： 拓撲管理拓撲管理用于構造并管理整個通信網(wǎng)絡的網(wǎng)絡拓撲結構，通過自動上載網(wǎng)絡設備的拓撲數(shù)據(jù)形成與實際網(wǎng)絡拓撲結構相同的網(wǎng)絡拓撲視圖。其中邏輯視圖中只包含了各自類型的網(wǎng)絡設備，它反映了網(wǎng)絡設備之間的邏輯關系，而物理視圖中的子圖和設備是用戶自己設定的，用戶可以根據(jù)地理位置去創(chuàng)建物理子圖并定義它們之間的連接關系。 物理視圖用于反映網(wǎng)絡設備之間的物理關系和連接，用戶可以自由創(chuàng)建物理子網(wǎng)，在物理子網(wǎng)中加入邏輯子網(wǎng)中已經(jīng)存在的設備，建立它們之間的連接關系。 配置管理網(wǎng)管系統(tǒng)提供全網(wǎng)瀏覽樹和設備面板圖對配置進行維護。本瀏覽樹可裝載并顯示所有路由器，以及其它支持SNMP協(xié)議的設備端口數(shù)據(jù)，在瀏覽樹中的端口顯示數(shù)據(jù)包括：端口狀態(tài)，端口索引，端口類型，IP地址，掩碼設置（如設置有），用戶右鍵點中該端口即可彈出該端口所對應的配置菜單。故障管理系統(tǒng)收集和處理設備告警。故障管理系統(tǒng)包括故障管理后臺、實時告警顯示、歷史告警顯示、Trap規(guī)則定義工具，故障監(jiān)視面板和當前故障窗口。因為Snmp Trap是二進制編碼，Trap規(guī)則定義了該二進制流中各字段的描述信息。它由六個代表不同級別故障的告警燈來顯示設備故障狀態(tài)，當有未恢復且并未被確認的情況下告警燈轉(zhuǎn)亮，在沒有該級別告警或所有該級別告警已經(jīng)被確認的情況下變?yōu)榛疑Ｔ诠收媳O(jiān)視面板中選取當前設備告警明細表功能也可以激活當前告警窗口。折線圖方式在一個窗口內(nèi)可顯示一定時間范圍內(nèi)的各個對象表達式的值；直方圖方式在一個窗口內(nèi)只顯示某一采集時間點的各個對象表達式的值；餅圖方式顯示的是某一數(shù)據(jù)采集點各個對象表達式之間的比例值。動態(tài)的狀態(tài)、統(tǒng)計以及全面的配置信息等可用于 Cisco 路由器、交換機、集線器和訪問服務器。 辦公大樓區(qū)域設計辦公大樓共有12個弱電間，各弱電間信息點位情況如下表：序號區(qū)域中心機房位置弱電間編號電腦信息點+考勤無線AP點LED1一區(qū)上部設備間弱電機柜12E72　2一區(qū)下部設備間弱電機柜12F134　3三區(qū)左上弱電間(一層)11D628　4三區(qū)左上弱電間(四層)14D485　5三區(qū)右上弱電間(一層)11C397　6三區(qū)右上弱電間(四層)14C514　7三區(qū)左下弱電間(一層)11A57818三區(qū)左下弱電間(二層)12A6613　9三區(qū)左下弱電間(五層)15A11212　10三區(qū)右下弱電間(一層)11B405111三區(qū)右下弱電間(二層)12B8314　12三區(qū)右下弱電間(五層)15B11213　根據(jù)辦公大樓信息點，辦公大樓網(wǎng)絡拓撲圖如下：辦公大樓匯聚交換機采用兩臺思科4506互為冗余，匯聚交換機配置14個萬兆接口模塊用于與核心交換機nexus 7000互連和樓層交換機接入。 技術中心區(qū)域設計技術中心區(qū)域包括技術中心和實驗實，其中技術中心有8個弱電間，實驗室有5個弱電間，實驗室弱電間與技術中心弱電間共用，但是設備互為獨立。實驗室樓層交換機同樣選用思科2960S系列可堆疊交換機，通過部署5臺48口千兆交換機和3臺24口千兆交換機用于終端接入。在卷包中控匯聚交換機與物流網(wǎng)絡之間部署兩臺思科ASA5540防火墻用于安全隔離。 制絲中控區(qū)域設計制絲中控區(qū)域包括制絲中控和制絲車間，其中制絲中控有5個弱電間，制絲車間有9個弱電間。制絲車間匯聚交換機通過部署兩臺思科3560 12口千兆光纖交換機作為匯聚交換機提供樓層交換機接入，另外與制絲中控匯聚交換機之間通過兩條光纖鏈路進行互連。能源管理中心樓層交換機選用思科2960S系列可堆疊交換機，部署2臺48口千兆POE交換機和2臺24口千兆POE交換機用于無線AP POE供電接入和終端接入，另外1臺48口千兆交換機和5臺24口千兆交換機用于終端接入。無線終端層主要由筆記本終端，無線手持設備， WIFI話機等組成。無線接入點通過有線傳輸層和無線控制器建立專用隧道進行通信。無線網(wǎng)管則提供一個一體化，高效率的網(wǎng)絡管理平臺。思科提供的網(wǎng)絡控制層可以根據(jù)不同的用戶對象做出不同的控制反應，比如根據(jù)不同用戶群進行不同的安全策略并且返回不同的服務質(zhì)量和服務控制參數(shù)。無線接入點只執(zhí)行第一層和第二層的功能，幀在這兩層進入或離開RF域，無線接入點完全依賴于無線控制器來執(zhí)行其它功能，如用戶認證、安全策略管理以及RF信道和輸出功率的選擇。無線接入點與無線控制器之間的綁定是通過建立一條隧道。 無線網(wǎng)管隨著網(wǎng)絡中的設備數(shù)量不斷增多，不可避免地需要一個網(wǎng)絡管理平臺進行有效地管理和監(jiān)控。WCS運行在Windows或者Linux服務器平臺上，有一個內(nèi)嵌數(shù)據(jù)庫。它可以查看無線網(wǎng)絡中現(xiàn)有設備包括無線控制器，無線AP，以及無線客戶端的現(xiàn)有狀態(tài)及統(tǒng)計信息。此外，思科WCS能快速查看覆蓋盲區(qū)、報警和關鍵的使用統(tǒng)計數(shù)據(jù)，實現(xiàn)了方便的無線局域網(wǎng)監(jiān)控。藉此，網(wǎng)絡管理員能在無線網(wǎng)絡的所有層次隔離和解決問題。該工具包括一個總結頁面，上面列出了所定義的問題和建議采取的故障排除行動，以及日志分析，它從控制器獲取日志消息，提供詳細事件歷史記錄。管理員能先預覽定制頁，然后再激活它并選擇顯示默認訪客屏幕還是定制登錄屏幕。4 主要設備選型 核心交換機CISCO nexus 7000（2臺）產(chǎn)品型號產(chǎn)品描述數(shù)量N7KC701010 Slot Chassis, No Power Supplies, Fans Included2N7KLAN1K9Nexus 7000 LAN Enterprise License (L3 protocols)2N7KADV1K9Nexus 7000 Advanced LAN Enterprise License (VDC, CTS ONLY)2N7KSUP1Nexus 7000 Supervisor, Includes External 8GB Log Flash2N7KC7010FAB1Nexus 7000 10 Slot Chassis 46Gbps/Slot Fabric Module6N7KM132XP12LNexus 7000 32 Port 10GbE with XL Option, 80G Fabric (req.2SFP10GSR10GBASESR SFP Module8SFP10GLR10GBASELR SFP Module12N7KM148GS11LNexus 7000 48 Port GE Module with XL Option (req. SFP)2N7KM148GT11Nexus 7000 48 Port 10/100/1000, RJ452GLCSXMMGE SFP, LC connector SX transceiver24GLCLHSMGE SFP, LC connector LX/LH transceiver2Nexus 7000 AC Power Supply Module6N7KC