【正文】 性。在本工程案例設(shè)計中，也將采用這三層進行分開設(shè)計、配置[3]。VLAN將廣播域限制在單個VLAN內(nèi)部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。路由器是外網(wǎng)進入企業(yè)網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。因此電子商務(wù)公司企業(yè)網(wǎng)的定位應(yīng)是為企業(yè)網(wǎng)應(yīng)用提供多業(yè)務(wù)傳送的綜合解決方案。我們的網(wǎng)絡(luò)要具有一定的靈活性。當然，企業(yè)也會對一些細節(jié)問題提出要求。而有些大型企業(yè)根據(jù)其自身性質(zhì)等對于網(wǎng)絡(luò)有著更多的需求。市場的全球化競爭已成為趨勢。企業(yè)內(nèi)部網(wǎng)（Intranet）是國際互連網(wǎng)（Internet）技術(shù)在企業(yè)內(nèi)部或封閉的用戶群內(nèi)的應(yīng)用。Intranet是使用Internet技術(shù),特別是TCP/IP協(xié)議而建成的企業(yè)內(nèi)部網(wǎng)絡(luò)。21世紀的中國正在向市場多元化、全球化的方向發(fā)展。比如中國電信、中國網(wǎng)通、中國銀行，它們對網(wǎng)絡(luò)有一點十分重要的需求，那就是網(wǎng)路通路，流量不可斷。比如市場部門可以上網(wǎng)查閱資料而技術(shù)部門不可；或者從周一上午九點到周五下午五點可以上網(wǎng)，而其他時間段網(wǎng)絡(luò)無流量；再或者高層領(lǐng)導組可以監(jiān)控財務(wù)部門的檔案文件而其
他部門則沒有這樣的權(quán)限。當企業(yè)發(fā)展到一定規(guī)模,企業(yè)在外地設(shè)有許多分支機構(gòu)。 關(guān)鍵技術(shù)研究 本設(shè)計方案采用的是全部Cisco的網(wǎng)絡(luò)設(shè)備，全網(wǎng)使用統(tǒng)一廠家得設(shè)備以實現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補充。路由器上的訪問控制列表（Access Control List，ACL）是保護內(nèi)網(wǎng)安全的有效手段。在VLAN間需要通信的時候，可以利用VLAN間路由技術(shù)來實現(xiàn)?！?遠程訪問技術(shù)遠程訪問也是企業(yè)網(wǎng)絡(luò)必須提供的服務(wù)之一。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。比較起 BOOTP ，DHCP 透過 租約 的概念，有效且動態(tài)的分配客戶端的 TCP/IP 設(shè)定，而且，作為兼容考慮，DHCP 的分配形式 首先，必須至少有一臺 DHCP 工作在網(wǎng)絡(luò)上面，它會監(jiān)聽網(wǎng)絡(luò)的 DHCP 請求，并與客戶端磋商 TCP/IP 的設(shè)定環(huán)境。在大多數(shù)常規(guī)情況下，系統(tǒng)擁有一個有效載荷（或負載）包，需要將它封裝并發(fā)送至某個目的地。GRE 下的網(wǎng)絡(luò)安全與常規(guī)的 IPv4 網(wǎng)絡(luò)安全是較為相似的，GRE 下的路由采用 IPv4 原本使用的路由，但路由過濾保持不變 。虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。 HSRPHSRP：熱備份路由器協(xié)議（HSRP：Hot Standby Router Protocol）熱備份路由器協(xié)議（HSRP）的設(shè)計目標是支持特定情況下 IP 流量失敗轉(zhuǎn)移不會引起混亂、并允許主機使用單路由器，以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。如果主動路由器出現(xiàn)故障，備份路由器（Standby Routers）承接主動路由器的所有任務(wù)，并且不會導致主機連通中斷現(xiàn)象?！∈紫龋J證部分提供了對用戶的認證。簡單而言，授權(quán)過程是一系列強迫策略的組合，包括：確定活動的種類或質(zhì)量、資源或者用戶被允許的服務(wù)有哪些。當前同AAA服務(wù)器協(xié)作的網(wǎng)絡(luò)連接服務(wù)器接口是“遠程身份驗證撥入用戶服務(wù) (RADIUS)”[10]。基于Cisco IOS的多功能網(wǎng)絡(luò)平臺：網(wǎng)絡(luò)中采用的網(wǎng)絡(luò)設(shè)備均采用Cisco IOS (Internetworking Operation System互聯(lián)網(wǎng)絡(luò)操作系統(tǒng))為核心功能軟件。 3) 基于網(wǎng)絡(luò)層的加密：網(wǎng)絡(luò)設(shè)備可提供基于標準的網(wǎng)絡(luò)層加密技術(shù)：IPSec ，可以提供高可靠的網(wǎng)絡(luò)訪問安全機制。 易管理維護的網(wǎng)絡(luò)：由于采用了IP骨干技術(shù)、DHCP技術(shù)和MPLS技術(shù)，使得網(wǎng)絡(luò)的管理簡單化。不僅要繼續(xù)承載企業(yè)的辦公自動化，Web瀏覽等簡單的數(shù)據(jù)業(yè)務(wù)，還要承載涉及企業(yè)生產(chǎn)運營的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及帶寬和時延都要求很高的IP電話、視頻會議等多媒體業(yè)務(wù)。設(shè)備的可靠性設(shè)計：不僅要考察網(wǎng)絡(luò)設(shè)備是否實現(xiàn)了關(guān)鍵部件的冗余備份，還要從網(wǎng)絡(luò)設(shè)備整體設(shè)計架構(gòu)、處理引擎種類等多方面去考察。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運營的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接入控制，病毒報文識別到主動抑制的一系列安全控制手段，這樣才能有效地保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運行[7]。辦公樓2個，行政樓1個1．劃分VLAN （見表1）2．VTP 動態(tài)學習VLAN3．PVST(選根，二層冗余)4．SVI（VLAN間路由）5．HSRP（三層冗余）6．DHCP7．根防護8．3個FAST9．靜態(tài)路由10．SITETOSITE VPN（連接分公司，固定IP）11．AAA12．PBR（20M專線）13．網(wǎng)管控制第4章 網(wǎng)絡(luò)系統(tǒng)實現(xiàn) 大型企業(yè)網(wǎng)絡(luò)拓撲圖圖 41 網(wǎng)絡(luò)拓撲圖 VLAN及IP地址的規(guī)劃 表 1 VLAN劃分VLAN號VLAN名稱IP網(wǎng)段默認網(wǎng)關(guān)說明VLAN 1GL VLAN管理VLANVLAN 10GLB 管理部VLANVLAN 20SCB 市場部VLANVLAN 30CWB 財務(wù)部VLANVLAN 40XSB 銷售部VLANVLAN 50RLZY人力資源部VLANVLAN 60WLB網(wǎng)絡(luò)部VLAN路由器R1與電信連接的接口F0/，與HX1連接的接口F1/，與HX2連接的接口F1/,與R2連接的接口F1/。Supervisor Engine 720支持Catalyst 6500系列的第三代模塊，能夠為企業(yè)和電信運營商網(wǎng)絡(luò)提供先進的IP服務(wù)，并提高端口密度，因而非常適合部署在高性能的核心層、數(shù)據(jù)中心和城域網(wǎng)中。可用性高的融合語音/視頻/數(shù)據(jù)網(wǎng)絡(luò)能夠為正在部署基于互聯(lián)網(wǎng)企業(yè)應(yīng)用的企業(yè)和城域以太網(wǎng)客戶提供業(yè)務(wù)彈性。憑借一系列快速以太網(wǎng)和千兆位以太網(wǎng)配置，Cisco Catalyst 3550系列堪稱一款適用于企業(yè)和城域接入應(yīng)用的強大選擇。將分布層FB1設(shè)置成為VTP服務(wù)器，其他交換機設(shè)置成為VTP客戶機。Pruning switched ONFB1(vlan)apply 應(yīng)用以上配置APPLY pleted.FB1(vlan)exit退出VLAN配置模式進入特權(quán)模式APPLY pleted.Exiting....在其他所有的交換機上都要做VTP配置，我們以FB2為例（見圖3）圖3 分布層設(shè)備FB2FB2vlan daFB2(vlan)vtp domain ciscoChanging VTP domain name from NULL to ciscoFB2(vlan)vtp client將FB2設(shè)置為客戶端，客戶端可以學習到服務(wù)端的所有VLAN信息。所以要給核心層交換機做備份做冗余。該配置在連接AAA服務(wù)器的HX2上做。SW1(config)interface range fastethernet0/124SW1(configifrange)speed 100可以設(shè)定某端口根據(jù)對端設(shè)備速度自動調(diào)整本端口速度，也可以強制將端口速度設(shè)為10Mpbs或100Mbps。6絕對保證施工的安全 施工完成后質(zhì)量的檢查和驗收施工完成后，雙方派出有關(guān)人員進行全面的質(zhì)量檢查，進行系統(tǒng)的總驗收。此路由表信息顯示，在路由器R1上，本網(wǎng)絡(luò)所涉及的所有網(wǎng)段均可達。 外地分公司R4訪問服務(wù)器圖55外地分公司接入路由器向服務(wù)器發(fā)送數(shù)據(jù)請求如圖55所示，外地分公司網(wǎng)絡(luò)用戶向本地服務(wù)器發(fā)送數(shù)據(jù)請求，測試結(jié)果暢通。此路由表信息顯示，在交換機FB1上，本網(wǎng)絡(luò)內(nèi)部的所有VLAN均可達。5系統(tǒng)試運行6竣工交驗第5章 網(wǎng)絡(luò)效果驗證 關(guān)鍵三層設(shè)備路由表 接入路由器R1路由表圖51 接入路由器R1路由表路由器R1及R2是本網(wǎng)絡(luò)接入路由器,圖51中,“O(ospf)”路由條目為電信、網(wǎng)通運營商為本網(wǎng)絡(luò)提供的路由信息。選擇質(zhì)量可靠、性能良好的設(shè)備及材料、嚴格按合同進貨、貨到后有雙方工程負責人一同驗收。因為路由器和交換機接口的雙工模式必須匹配才可通信。這需要首先啟用核心層交換機的路由功能。由于4000個結(jié)點的網(wǎng)絡(luò)比較大，為每一臺PC手工配置地址的工作量相當大，所以我們要使用DHCP技術(shù)。　　在一個VTP域下，只需要在VTP服務(wù)器上激活VTP剪裁功能。以上配置為路由器和交換機的基本配置，有方便管理防止出錯的作用，所以每臺設(shè)備上都要配置。由于這種方式能減少重復運作開支，降低擁有成本，因而能提高投資回報（ROI）。6500系列交換機為園區(qū)網(wǎng)提供了高性能、多層交換的解決方案，專門為需要千兆擴展、可用性高、多層交換的應(yīng)用環(huán)境設(shè)計，主要面向園區(qū)骨干連接等場合。 關(guān)鍵網(wǎng)絡(luò)設(shè)備及數(shù)量核心層交換機：Cisco Catalyst 6509 交換機 2臺匯聚層交換機：Cisco Catalyst 4509 交換機 4臺接入層交換機：Cisco Catalyst 2950 24口 交換機 100臺接入路由器： Cisco 3500 路由器 4臺 關(guān)鍵網(wǎng)絡(luò)設(shè)備介紹圖 8 Cisco 6509交換機Catalyst 6509是帶有9個插槽的交換機機箱，它可以加兩個電源，可按需求配置不同功能類型的模塊（如防火墻模塊、入侵檢模塊、VPN 模塊、SSL 加速模塊、網(wǎng)絡(luò)流量分析模塊等），更靈活應(yīng)用在不同需求的網(wǎng)絡(luò)設(shè)計平臺上，提高穩(wěn)定性及安全性。管理部、財務(wù)部和網(wǎng)絡(luò)部在行政樓中；市場部在辦公樓A；銷售部和人力資源部在辦公樓B。 網(wǎng)絡(luò)安全需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)安全解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟損失。隨著企業(yè)各種業(yè)務(wù)應(yīng)用逐漸轉(zhuǎn)移到計算機網(wǎng)絡(luò)上來，網(wǎng)絡(luò)通信的無中斷運行已經(jīng)成為保證企業(yè)正常生產(chǎn)運營的關(guān)鍵。 寬帶性能需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強大的性能，以滿足用戶日益增長的通信需求。 2) 網(wǎng)絡(luò)管理系統(tǒng)的安全控制：由于本網(wǎng)絡(luò)中網(wǎng)絡(luò)管理系統(tǒng)采用標準的SNMP網(wǎng)絡(luò)管理技術(shù)，因此網(wǎng)絡(luò)設(shè)備的網(wǎng)管可能出現(xiàn)漏洞。 2) 網(wǎng)絡(luò)服務(wù)安全控制：包含標準訪問控制列表(ACL)，擴展的訪問控制列表(Extend ACL)，動態(tài)訪問控制列表(Refliex ACL)，按數(shù)據(jù)流的訪問統(tǒng)計和監(jiān)控(Netflow)，網(wǎng)絡(luò)資源訪問用戶認證/授權(quán)和記帳(lock amp。在各個核心節(jié)點分別配置Cisco公司在國際上多次獲獎的千兆位路由交換機 GSR 12000系列中的 12016和12012作為核心傳輸設(shè)備，節(jié)點間使用裸光纖配合POS ，以提供物理層、鏈路層及IP層的冗余連接能力。驗證授權(quán)和帳戶由AAA服務(wù)器來提供。接下來，用戶還要通過授權(quán)來獲得操作相應(yīng)任務(wù)的權(quán)限。計帳(Accounting)：記錄用戶對各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計費系統(tǒng)。一旦主動路由器出現(xiàn)故障，HSRP 將激活備份路由器（Standby Routers）取代主動路由器。它使用ISL中繼和允許一個VLAN中繼當被其它VLANs的阻塞時將一些VLANs轉(zhuǎn)發(fā)。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費用，也不用購買路由器等硬件設(shè)備。在此情形下，必須丟棄該包?？蛻粢部梢哉埱笫褂米约合矚g的網(wǎng)絡(luò)地址及相應(yīng)的配置參數(shù)[6]。它分為兩個部份：一個是服務(wù)器端，而另一個是客戶端?！?VLANVLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。接入層為所有的終端用戶提供一個接入點；分布層除了負責將訪問層交換機進行匯集外，還為整個交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能；核心層將各分布層交換機互連起來進行穿越企業(yè)網(wǎng)骨干的高速數(shù)據(jù)交換?，F(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN）的概念。在本工程案例設(shè)計中，內(nèi)網(wǎng)用戶不僅通過路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過3層交換機上的路由功能進行數(shù)據(jù)包交換。企業(yè)網(wǎng)是企業(yè)內(nèi)各部門的橋接區(qū)，主要完成接入網(wǎng)中的子公司和工作人員與企業(yè)骨干業(yè)務(wù)網(wǎng)絡(luò)之間全方位的互通?；谶@種種的現(xiàn)實問題，企業(yè)必須從企業(yè)局域網(wǎng)的概念及相關(guān)計算機網(wǎng)絡(luò)技術(shù)入手，詳細地設(shè)計企業(yè)網(wǎng)建設(shè)的實施方案及建設(shè)規(guī)劃,以達到先進、安全、實用、比較各種組網(wǎng)技術(shù)，從實用角度論述局域網(wǎng)主干網(wǎng)選擇，綜合布線，各種設(shè)備選擇，網(wǎng)絡(luò)安全，網(wǎng)絡(luò)管理等方面。在企業(yè)的某些關(guān)鍵部門（如財務(wù)科等），如果有不法分子利用網(wǎng)絡(luò)中的漏洞修改或者竊取商業(yè)機密文件，也會對企業(yè)自身造成不可挽回的甚至是毀滅性的危害。對于規(guī)模較大的企業(yè)來說，這一點尤為重要。s global petitiveness strategy, and all this information platform will also be based on the principle of the use of puter networks and network planning technology to the network in order to ensure patency. Intranet is an international Internet technology in the enterprise or within a closed user group applications. Intranet is the use of Internet technologies, especially TCP / IP protocol and th