【正文】 對于企業(yè)而言，網(wǎng)絡的構建 是企業(yè)不可缺少的一部分。路由器之間的包傳輸對網(wǎng)絡上的所有主機來說都是透明的。每個熱備份組模仿一個虛擬路由器工作，它有一個 Well－ known－ MAC 地址和一個 IP 地址。 對于接入層的用戶分兩種情況來考慮： VLAN 直接接入的用戶通過二層轉發(fā)來實現(xiàn)；需要路由轉發(fā)的用戶通過靜態(tài)路由來實現(xiàn)。 支持路由總結 (Route Summary)： OSPF ABR（連接多個區(qū)域的設備）具有路由總結的功能，如果連續(xù)地分配 IP 地址空間，則 ABR 僅向主 干域廣播總結后的路由信息，抑制那些具體的路由信息的廣播，從而大大減小了其它域中路由器 LSDB 及路由表的大小。 目前，雖然距離向量算法已經(jīng)有了一定的改進，如 EIGRP 的 DUAL 算法。 OSPF 協(xié)議的發(fā)展借鑒了許多其他路由選擇協(xié)議的思想：包括最初的 ARPANET鏈路的狀態(tài)協(xié)議和 OSI 協(xié)議。 靜態(tài)路由方式適用于網(wǎng)絡拓撲結構確定并且結構簡單， IP 地址規(guī)劃完善，網(wǎng)絡規(guī)模較小的場合。路由組織應根據(jù)網(wǎng)絡對路由信息的需求，設計網(wǎng)絡中路由信息的分布。如果路由器接口配置成為支持三種協(xié)議（ IP、AppleTalk 以及 IPX）的情況，那么，用戶必須定義三種 ACL 來分別控制這三種協(xié)議的數(shù)據(jù)包。 PIMSM 采用樹形投遞結構，被設計成限制組播報文只發(fā)給那些希望接收它的路由器， PIMSM 圍繞一個稱為匯聚點 (RP， Rendezvous Point)的路由器來設計組廣播投遞樹； RP 在 PIMSM 中充當廣播樹的樹根，所有報文首先被封裝后從發(fā)送者采用單播的方式送往 RP，然后由 RP 解封后送往所有接收者。稠密分布模型假定組播成員在網(wǎng)絡中稠密分布，并且它們之間的網(wǎng)絡帶寬資源往往隨時可用；而稀疏分布模型假定組播成員在網(wǎng)絡中稀疏分布，而且它們之間帶寬資源往往比較緊張。在源主機和目標主機之間的路徑上的每一個路由器都維護由單播路由協(xié)議生成的單播路由信息庫，并根據(jù)數(shù)據(jù)包中的 IP 目標地址在單播路由信息庫中查找單播包轉發(fā)路徑。使用第二層交換器使網(wǎng)絡速度提升，可是在網(wǎng)絡中使用過多的交換器，所有交換 器所架構的網(wǎng)絡可能會形成廣播風暴，所以需要路由器來隔離可能會形成的廣播風暴，為了使路由器不會形成網(wǎng)絡的瓶頸，就形成了第三層交換。 VLAN方案設計 目前， VLAN 技術可以使用以下方式組建：基于交換機端口的 VLAN、基于 MAC地址的 VLAN 和基于應用協(xié)議的 VLAN： 基于端口的 VLAN，即靜態(tài) VLAN，特點是技術簡單，容易配置且維護工作量小，缺點是終端設備移動時需要更改設備配置。 另一方面，接入網(wǎng)需要保障用戶數(shù)據(jù)（單播地址的幀）的安全性，隔離攜帶有用戶信息的廣播消息（如 ARP、 DHCP 消息等），防止關鍵設備受到攻擊。 核心區(qū)塊 由核心層構成，包含 一個或一組用來連接多個交換區(qū)塊的交換機 。 局域網(wǎng)的設備要求具有可互操作性，設備的技術采用開放技術，協(xié)議標準，支持跨平臺之間的相互連接與通訊。 在設計局域網(wǎng)時，選擇先進的網(wǎng)絡管理軟件是必不可少的。 8 網(wǎng)絡的安全性 可以有效的控制網(wǎng)絡的訪問，靈活的實施網(wǎng)絡的安全控制策略。 核心交換機的靈活擴充性 核心交換機應該具備靈活的端口擴充能力，模塊擴充能力，滿足網(wǎng)絡規(guī)模的擴充。 通過 cisco 專有的 HSRP 技術可以配置雙核心交換，在發(fā)生故障時自動切換到備用交換機，確保數(shù)據(jù)不發(fā)生丟包。針對系統(tǒng)的功能采取相應的管理措施。內網(wǎng) 對安全的需求包括 VLAN 設置需求、防病毒系統(tǒng)需求、網(wǎng)絡管 理需求和網(wǎng)絡系統(tǒng)管理等。如果利用加密設備對傳輸數(shù)據(jù)進行加密，使得在網(wǎng)上傳輸?shù)臄?shù)據(jù)以密文傳輸。在 局域網(wǎng)中 安全系統(tǒng)建設主要設計 包括外網(wǎng)安全和內網(wǎng)安全 。 網(wǎng)絡總體結構分為網(wǎng)絡互連、核心節(jié)點、樓層交換三個層面。 綜上所述，傳統(tǒng)企業(yè)如果希望在市場的天空中飛的更高更遠，那么必須插上網(wǎng)絡化生產(chǎn)、經(jīng)營和服務的翅膀。生產(chǎn)商要 3 在短時間內捕獲市場信息并作出適宜反饋，確實有難度。大多數(shù)企業(yè)對電子商務的一般認識是電子商務能幫助企業(yè)進行網(wǎng)上購物、網(wǎng)上交易，僅是一種新興的企業(yè)運作模式，比較適用于商業(yè)貿易公司，殊不知電子商務已經(jīng)對傳統(tǒng)的企業(yè)造成的了巨大的沖擊。 在現(xiàn)代經(jīng)濟學中有“規(guī)模效益”理論，就是通過擴大經(jīng)濟規(guī)模，來降低單位 成本。網(wǎng)絡采用兩極交換結構，中心交換機采用三層交換機，構成千兆主干，中心交換機應有足夠的插槽用于以后的擴展，至少有 24 個 10/100M 自適應端口用于連接服務器，光纖端口依實際應用提供，電源應有冗余；每個分配線間各放置若干臺 24 口交換機作為二級交換機，用千兆光纖口用于上連，可以為用戶提供交換式 100Mbps帶寬，彼此間采用堆疊連接。 本 論 文所闡述的網(wǎng)絡是使用業(yè)界流行的核心層 —匯聚層 —分布層三層結構設計的中小型企業(yè)網(wǎng)，結合廣為使用的虛擬局域網(wǎng)（ VLAN），熱備份路由（ HSRP），訪問控制列表（ ACL），網(wǎng)絡地址轉換（ NAT）等技術，增強網(wǎng)絡的穩(wěn)定性和安全性。除了文中特別加以標注引用的內容外，本論文不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫的成果作品。對本研究提供過幫助和做出過貢獻的個人或集體，均已在文中作了明確的說明并表示了謝意。 涉密論文按學校規(guī)定處理。 在先進成熟的計算機和通信技術基礎上， 企業(yè) 要建設成光纖網(wǎng)絡，使 企業(yè) 各部門實現(xiàn)宏觀決策科學化，辦公自動化，信息交換網(wǎng)絡化，提高宏觀決策和調控能力，促進企業(yè)信息化，同時有助于加快信息經(jīng)濟建設。 設置策略或設備的冗余，保證企業(yè)網(wǎng)絡在遭遇突發(fā)故障時能順利切換線路，保障數(shù)據(jù)的完整性，避免重要信息的丟失，增強網(wǎng)絡的穩(wěn)定性。從網(wǎng)絡在企業(yè)生產(chǎn)、流通、服務等關鍵環(huán)節(jié)起的重要作用來看，其更多超出了技術領域，而深具經(jīng)濟學內涵。作為電子商務基石的網(wǎng)絡系統(tǒng)已經(jīng)成為現(xiàn)代企業(yè)的“神經(jīng)”，而“神經(jīng)”是否工作正常，是否高速高效，直接關系到“生存死亡”。同時利用互聯(lián)網(wǎng)技術不僅可以全面監(jiān)控下游客戶每日的進銷存情況，及時進行補貨，而且可以讓上有的供應商及時知道企業(yè)原料的庫存情況，及時補充，將存貨量保持在最低水品。本方案針對網(wǎng)絡系統(tǒng)應用場合對安全提出了很高的要求，因此網(wǎng)絡設計充分考慮網(wǎng)絡上敏感數(shù)據(jù)傳輸?shù)陌踩裕环矫嫘枰浞掷? 4 用網(wǎng)絡設備提供的安全策略（ VLAN 劃分等），另一方面為了保障內部數(shù)據(jù)傳輸?shù)陌踩?，采用各種安全技術（防火墻、入侵檢測、防病毒體系等），并且盡量不 影響到整個網(wǎng)絡的運行效率。 實現(xiàn)信息資源和軟硬件資源共享，提供豐富的網(wǎng)絡信息服務，以推動 辦公自動化。采用輻射干擾機，防止電磁輻射泄漏機密信息。 防病毒系統(tǒng)需求 針對防病毒危害性極大并且傳播極為迅速，必須配備從單機到服務器的整套防病毒軟件，實現(xiàn)全網(wǎng)的病毒安全防護。 網(wǎng)絡管理需求 此次建設的 企業(yè) 網(wǎng)絡系統(tǒng)是一個相當復雜的計算機網(wǎng)絡，包含多種設備和技術。網(wǎng)絡的負載流量主要是從邊緣設備到核心的數(shù)據(jù)交換，隨著業(yè)務的發(fā)展，網(wǎng)絡規(guī)模的擴展，以及應用的信息交換量增加，使得網(wǎng)絡通常會在核心發(fā)生通訊瓶頸現(xiàn)象，改善局域網(wǎng)的網(wǎng)絡數(shù)據(jù)交換性能，往往是首先擴充核心交換機的交換性能，增加邊緣設備到核心的數(shù)據(jù)通訊帶寬，以減輕整個網(wǎng)絡的瓶頸，使得應用軟件的性能和效率得到提 7 高。網(wǎng)絡設備的選擇，尤其是核心機箱式設備，應該可以配置冗余部件，關鍵部件不存在單一故障點，也就是說，像交換機的電源、風扇、交換引擎、管理模塊這些部件可以冗余備份，其中之一任何部件的損壞，不會影響設備的正常運行，不會影響網(wǎng)絡的連通。對于交換機來說，核心交換引擎應該可以滿足最大配置下，無阻塞的進行端口數(shù)據(jù)包交換，模塊的擴充不影響交換性能。在大規(guī)模網(wǎng)絡的設計上，劃分虛擬子網(wǎng)，一方面可以有效的隔離子網(wǎng)內的大量廣播，另一方面隔離網(wǎng)絡子網(wǎng)間的通訊，控制了資源的訪問權限，提高了網(wǎng)絡的安全性。在設計局域網(wǎng)的設備選擇上，要求網(wǎng)絡設備支持標準的網(wǎng)絡管理協(xié)議 SNMP，同時支持RMON/RMONII 協(xié)議，核心設備要求支持 RAP(遠程分析端口 )協(xié)議，實施充分的網(wǎng)絡管理功能。 (2)匯聚層： 接入層交換機使用 100M 雙絞線匯聚到一臺或者多臺匯聚層設備，匯聚層設備在接入層交換機之間提供第二層連接，作為接入層交換機的集中連接點及接入層和核心層之間的分界點，匯聚層在提供接入層接 入的同時，還能夠做到廣播域的隔離、不同網(wǎng)段之間的路由、介質轉換、安全控制。企業(yè) 網(wǎng)絡內部的環(huán)境復雜 、 分布 區(qū) 域廣 、 網(wǎng)絡用戶 多 ， 以至于企業(yè) 內部網(wǎng)絡用戶的可靠性得 不 到完全的保證。 VLAN 技術不需要特殊的設備，目前第二層交換機均支持 VLAN 技術。 其中 VLAN10~31為部門 VLAN，禁止互訪， VLAN 51 為文件服務器區(qū)，能被任何部門訪問， VLAN 52為網(wǎng)管區(qū)，能單向訪問各個部門。在這種通信 方式下，源 IP 主機向指定的目標 IP 主機發(fā)送信息包。其次對路由器和交換機的性能也提出了更高的要求，管理人員被迫購買本來不必要的硬件和帶寬來保證一定的服務質量。 用戶通過運行組播客戶端軟件的 PC 運行 IGMP 協(xié)議，用戶可通過 IGMP 協(xié)議加入某個組播組，建立成員關系。 每個部門 VLAN 劃入一個多播地址： Vlan10： Vlan11： Vlan20： Vlan21： Vlan30： Vlan31： 在核心交換機和 PIX 上啟用多播，命令如下： ip multicastrouting int interface ip pim sparsedensemode ip igmp joingroup 配置 PIX 為 RP 的命令如下： ip pim sendrpannounce Loopback0 scope 3 grouplist 50 ip pim sendrpdiscovery Loopback0 scope 3 accesslist 50 permit accesslist 50 permit accesslist 50 permit accesslist 50 permit 15 accesslist 50 permit accesslist 50 permit ip pim rpaddress 訪問控制列表（ ACL） 設計方案 訪問控制列表（ Access Control List， ACL） 是路由器接口的指令列表，用來控制端口進出的數(shù)據(jù)包。該名稱是根據(jù)此訪問表的類型得來的。 使用 VLSM 技術，在劃分 IP 地址時應該盡可能的減少 IP 地址浪費： 三層交換設備之間的互聯(lián) IP 地址使用 30 位子網(wǎng)掩碼（ ），以 節(jié)約 IP 地址； 網(wǎng)絡設備管理接口使用 32 位子網(wǎng)掩碼（ ）； 在訪問 Inter 時，使用 NAT 或者 PAT 技術通過防火墻設備進行地址或者端口翻譯，把私網(wǎng)地址轉換成公網(wǎng)地址，以獲得對 Inter 的訪問； 各局域網(wǎng)內，根據(jù)業(yè)務情況，本著滿足需求和擴展性的要求，劃分并預留出以下地址段：網(wǎng)絡設備地址段、服務器地址段、辦公網(wǎng)段。 開放式最短路徑優(yōu)先路由選擇協(xié)議 (OSPF)是于 20 世紀 80 年代后期發(fā)展起來 ,并且早在 90 年代初就由互聯(lián)網(wǎng)組織實現(xiàn)成為一個現(xiàn)代的與提供方無關的協(xié)議。在 OSPF 中，鏈路狀態(tài)數(shù)據(jù)庫列出了鏈路狀態(tài)路由域中特定區(qū)域的所有鏈路。 支持 VLSM： OSPF LSA(Link State Advertisement)中包含子網(wǎng)掩碼。 在核心層設備上進行配置，對相應的非 0 區(qū)域的路由表進行匯聚。如果活動路由器失效，備份路由器將接管成為活動路由器。路由器的缺省優(yōu)先級是 100，所以如果只設置一個路由器的優(yōu)先級高于 100，則該路由器將成為主動路由器。 4． 通過在交換機上設置 VLAN，有效的控制了兩個子網(wǎng)間的安全。 3） 本方案中 使用的主要技術方法 ： 1采用成熟的 OSPF 協(xié)議規(guī)劃網(wǎng)絡 ； 2VLAN 技術保證部門的隔離和安全， VTP 管理 VLAN 的傳播； 3HSRP 技術增強骨干網(wǎng)的穩(wěn)定性， 4組播技術，保證鏈路帶寬費充分利用，避免浪費； 5ACL 管理， 保證企業(yè)數(shù)據(jù)的安全性 ； 6遠程 專線 接入，保證企業(yè) 遠端數(shù)據(jù)與企業(yè)本部的同時更新 ； 參考文獻 [1] Jeff Doyle. CCIE Professional Development Routing TCP/IP VolumeⅠ .人民郵電出版社 [2] Jeff Doyle .CCIE Professional Development Routing TCP/IP Volume Ⅱ .人民郵電出版社 [3] Brent . [4] . [5] Dinae Teare .CCNP 學習指南：組建可擴展的 Cisco 互聯(lián)網(wǎng)絡（ BSCI）（第三版） .人民郵電出版社 [6] Brian Man Neil Lovering. CCNP ISCW 認證考試指南 .人民郵電出版社 [7] Amir Ranjbar. CCNP ONT 認證考試指南 .人民郵電出版社 [8] Richard Froom, Balaji Sivasubramanian, Erum Frahim. CCNP 學習指南：組建 Cisco 多層交換網(wǎng)絡 (BCMSN)(第4 版 ).人民郵電