【正文】 或者變成了活動(dòng)路由器，將有另外的路由器被選為備份路由器。在網(wǎng)絡(luò)需擴(kuò)展時(shí)，沿用現(xiàn)在的路由機(jī)制，保證系統(tǒng)的擴(kuò)展性，即以核心交換機(jī)作為 ABR 和 ASBR，連接區(qū)域 0 和非 0 區(qū)域，并進(jìn)行路由匯總。支持層次化的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)：網(wǎng)絡(luò)設(shè)計(jì)人員可以把一個(gè)大型 OSPF 網(wǎng)絡(luò)分成若干域(Area)，其中一個(gè)是主干域(Backbone Area, Area ID )，其它非主干域均與主干域相連，并通過(guò)主干域交換 LSDB。鏈路狀態(tài)路由域或區(qū)域中的每一個(gè)路由器，其鏈路狀態(tài)數(shù)據(jù)庫(kù)的內(nèi)容都是一致的。在同一時(shí)期，RIP 協(xié)議已成為最主要的協(xié)議，但它隨著網(wǎng)絡(luò)規(guī)模的增長(zhǎng)，已逐漸暴露出一些問(wèn)題。在劃分這些網(wǎng)段時(shí)，需要20注意所有單位應(yīng)該統(tǒng)一規(guī)劃，以使地址分段全網(wǎng)統(tǒng)一，便于維護(hù)，其 IP 地址詳細(xì)規(guī)劃如表 1：表 1 IP 地址規(guī)劃表設(shè)備名 接口 地址 說(shuō)明PC1 F0/0 PC11 F0/0 PC2 F0/0 PC21 F0/0 PC3 F0/0 PC31 F0/0 File F0/0 Admin F0/0 Core SW1e0/ 　 e0/ 　 e0/ 　 e0/ 　 e0/ 　 e0/ 　 f1/0 Core SW2e0/ 　 e0/ 　 e0/ 　 e0/ 　 e0/ 　 e0/ 　 f1/0 PIX f0/0 　 f1/0 　 f3/ 　 f3/ 　 s2/0 Router 1s2/0 　 s2/1 　 s2/2 Router 2s2/1 　 f0/0 Cloud s1/0 21 路由協(xié)議的選擇路由器上指明去另一點(diǎn)需要走的具體路徑。在 I O S 版本 11 . 3中引入了自反訪問(wèn)表，并且它可用在所有的路由器平臺(tái)上。ACL 適用于所有的被路由協(xié)議，如 IP、IPX、AppleTalk 等。對(duì)于組播業(yè)務(wù)的具體實(shí)施及管理需根據(jù)不同的業(yè)務(wù)類型及廠家提供設(shè)備的特點(diǎn)具體進(jìn)行分析。 組播路由與 IP 單播路由有一個(gè)本質(zhì)的區(qū)別就是， IP 單播路由是根據(jù)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)而不是實(shí)際的會(huì)話來(lái)建立路徑，而 IP 組播路由則是根據(jù)網(wǎng)絡(luò)的會(huì)話來(lái)動(dòng)態(tài)地建立投遞路徑；因此，IP 組播路由比 IP 單播路由更具有動(dòng)態(tài)性。IP 信息包中的目標(biāo)地址就是 IP 網(wǎng)絡(luò)中惟一的主機(jī)地址。 圖 2 Vlan 及 IP 地址規(guī)劃圖 第三層交換技術(shù)設(shè)計(jì)方案顧名思義，第三層交換器就是將第二層的交換器與第三層的路由器合二為一，使路由器根據(jù)第二層的地址轉(zhuǎn)發(fā)數(shù)據(jù)包以達(dá)到快速通訊，這就形成了第三層交換器。通過(guò)在一個(gè)物理網(wǎng)段上劃分出多個(gè)邏輯網(wǎng)段，由每一個(gè)邏輯網(wǎng)段構(gòu)成一個(gè) VLAN，其內(nèi)部采用交換機(jī)連接，所有的廣播信息只限制在本 VLAN 內(nèi)，而之間的連接則采用路由實(shí)現(xiàn)，具體實(shí)施時(shí)可以外加路由器，或者直接使用第三層交換設(shè)備。通過(guò)劃分虛擬局域網(wǎng)，隔離不同部門(mén)，可以增強(qiáng)企業(yè)網(wǎng)絡(luò)安全性，以下詳細(xì)論述了虛擬局域網(wǎng)的技術(shù)及在網(wǎng)絡(luò)系統(tǒng)中的必要性和設(shè)計(jì)方案。匯聚層需要提供第三層功能，即支持路由選擇和網(wǎng)絡(luò)層服務(wù)，以保護(hù)交換區(qū)塊不受網(wǎng)絡(luò)其他部分失效的影響，并防止本交換區(qū)塊故障對(duì)網(wǎng)絡(luò)其他部分的影響，如果交換區(qū)塊發(fā)生了廣播風(fēng)暴，分布層設(shè)備可以防止該廣播風(fēng)暴擴(kuò)散到核心和網(wǎng)絡(luò)的其他部分。在設(shè)計(jì)局域網(wǎng)的原則上應(yīng)該要求設(shè)備的可管理性，同時(shí)先進(jìn)的網(wǎng)管軟件可以支持網(wǎng)絡(luò)維護(hù)、監(jiān)控、配置等功能。在設(shè)計(jì)局域網(wǎng)的原則上必須強(qiáng)調(diào)網(wǎng)絡(luò)安全控制能力，使網(wǎng)絡(luò)可以任意連接，又可以從第二層、第三層控制網(wǎng)絡(luò)的訪問(wèn)。采用分布式交換結(jié)構(gòu)是實(shí)現(xiàn)這一原則的最佳方案，分布式交換機(jī)結(jié)構(gòu)實(shí)現(xiàn)了交換機(jī)的并行數(shù)據(jù)交換處理，優(yōu)化了網(wǎng)絡(luò)的性能，本地交換和全局交換相結(jié)合的分布式結(jié)構(gòu)減少了交換引擎的壓力。提供網(wǎng)絡(luò)設(shè)備的可靠性，容錯(cuò)性的另一個(gè)要求是設(shè)備損壞部件更換時(shí)，不需要停機(jī)，更換部件后不需要重新啟動(dòng)，也就是說(shuō)部件的更換可以進(jìn)行在線操作，這樣可以使停機(jī)的時(shí)間降低到最小。因此在設(shè)計(jì)局域網(wǎng)的原則上，首先應(yīng)該考慮滿足網(wǎng)絡(luò)規(guī)模所要求的核心設(shè)備數(shù)據(jù)交換處理能力，以及邊緣設(shè)備到核心的鏈路帶寬。隨著系統(tǒng)復(fù)雜度的增加，會(huì)給系統(tǒng)管理帶來(lái)成指數(shù)增加的管理工作量。7 安全管理體制安全系統(tǒng)只能提供技術(shù)手段和措施，但人為的因素不可忽略，只有確立健全的安全管理體制，設(shè)立相應(yīng)的安全管理崗位，從制度上加以嚴(yán)格管理。對(duì)重要的設(shè)備進(jìn)行冗余配置；對(duì)重要系統(tǒng)進(jìn)行備份等安全保護(hù)。根據(jù)樓宇辦公場(chǎng)合不同，網(wǎng)絡(luò)平臺(tái)分別設(shè)計(jì)出內(nèi)網(wǎng)和外網(wǎng)平臺(tái)，兩網(wǎng)之間采用物理隔離的技術(shù)手段實(shí)現(xiàn)涉密問(wèn)題。為了更好的保證網(wǎng)絡(luò)的正常運(yùn)行，設(shè)計(jì)的網(wǎng)絡(luò)系統(tǒng)還考慮到網(wǎng)絡(luò)管理，實(shí)現(xiàn)網(wǎng)絡(luò)的統(tǒng)一管理。企業(yè)受限于內(nèi)部龐雜的關(guān)系管理，拓展外部市場(chǎng)是如果還用一成不變的業(yè)務(wù)服務(wù)方式，很可能在提取激烈的市場(chǎng)競(jìng)爭(zhēng)中處于尷尬的境地。4傳統(tǒng)企業(yè)對(duì)市場(chǎng)的反應(yīng)速度取決于自身的信息網(wǎng)絡(luò)水平。隨著網(wǎng)絡(luò)技術(shù)，新系統(tǒng)新領(lǐng)域的長(zhǎng)足發(fā)展，網(wǎng)絡(luò)經(jīng)濟(jì)，知識(shí)經(jīng)濟(jì)再不是 IT 等高科技行業(yè)的專利，傳統(tǒng)企業(yè)正利用其行業(yè)特點(diǎn)，汲取網(wǎng)絡(luò)技術(shù)精華，努力創(chuàng)造著傳統(tǒng)行業(yè)的又一個(gè)春天。最后，選擇合適的網(wǎng)絡(luò)設(shè)備，在顧及網(wǎng)絡(luò)性能的前提下，優(yōu)化企業(yè)的資源配置31. 網(wǎng)絡(luò)建設(shè)背景和必要性格羅莫夫（Gregory Gromov）曾經(jīng)說(shuō)過(guò)：“網(wǎng)絡(luò)本身就是一種計(jì)算機(jī)科學(xué)概念。 可行性分析根據(jù)企業(yè)的實(shí)際情況，總結(jié)出該計(jì)算機(jī)網(wǎng)絡(luò)有如下需求：企業(yè)網(wǎng)絡(luò)系統(tǒng)本著實(shí)用、經(jīng)濟(jì)可靠的原則，采用交換式以太網(wǎng)方案。I中 小 型 企 業(yè) 局 域 網(wǎng) 的 設(shè) 計(jì) 與 實(shí) 現(xiàn)課題名稱中小型企業(yè)網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)現(xiàn)學(xué) 院 中國(guó)農(nóng)業(yè)大學(xué)東校區(qū) 專 業(yè) 計(jì)算機(jī)專業(yè) 班 級(jí) 14 級(jí)專升本班 姓 名 張濤 指導(dǎo)老師 劉德福 II摘 要隨著網(wǎng)絡(luò)技術(shù)新系統(tǒng)、新領(lǐng)域的長(zhǎng)足發(fā)展，傳統(tǒng)企業(yè)也正利用其行業(yè)的特點(diǎn)，融合網(wǎng)絡(luò)技術(shù)的優(yōu)勢(shì)，發(fā)展自身。在先進(jìn)成熟的計(jì)算機(jī)和通信技術(shù)基礎(chǔ)上，企業(yè)要建設(shè)成光纖網(wǎng)絡(luò)，使企業(yè)各部門(mén)實(shí)現(xiàn)宏觀決策科學(xué)化，辦公自動(dòng)化，信息交換網(wǎng)絡(luò)化，提高宏觀決策和調(diào)控能力，促進(jìn)企業(yè)信息化，同時(shí)有助于加快信息經(jīng)濟(jì)建設(shè)。設(shè)置策略或設(shè)備的冗余，保證企業(yè)網(wǎng)絡(luò)在遭遇突發(fā)故障時(shí)能順利切換線路，保障數(shù)據(jù)的完整性，避免重要信息的丟失，增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性。從網(wǎng)絡(luò)在企業(yè)生產(chǎn)、流通、服務(wù)等關(guān)鍵環(huán)節(jié)起的重要作用來(lái)看，其更多超出了技術(shù)領(lǐng)域，而深具經(jīng)濟(jì)學(xué)內(nèi)涵。作為電子商務(wù)基石的網(wǎng)絡(luò)系統(tǒng)已經(jīng)成為現(xiàn)代企業(yè)的“神經(jīng)” ，而“神經(jīng)”是否工作正常，是否高速高效，直接關(guān)系到“生存死亡” 。同時(shí)利用互聯(lián)網(wǎng)技術(shù)不僅可以全面監(jiān)控下游客戶每日的進(jìn)銷存情況，及時(shí)進(jìn)行補(bǔ)貨，而且可以讓上有的供應(yīng)商及時(shí)知道企業(yè)原料的庫(kù)存情況，及時(shí)補(bǔ)充，將存貨量保持在最低水品。本方案針對(duì)網(wǎng)絡(luò)系統(tǒng)應(yīng)用場(chǎng)合對(duì)安全提出了很高的要求，因此網(wǎng)絡(luò)設(shè)計(jì)充分考慮網(wǎng)絡(luò)上敏感數(shù)據(jù)傳輸?shù)陌踩?，一方面需要充分利用網(wǎng)絡(luò)設(shè)備提供的安全策略（VLAN 劃分等） ，另一方面為了保障內(nèi)部數(shù)據(jù)傳輸?shù)陌踩?，采用各種安全技術(shù)（防火墻、入侵檢測(cè)、防病毒體系等） ，并且盡量不影響到整個(gè)網(wǎng)絡(luò)的運(yùn)行效率。 實(shí)現(xiàn)信息資源和軟硬件資源共享，提供豐富的網(wǎng)絡(luò)信息服務(wù)，以推動(dòng)辦公自動(dòng)化。采用輻射干擾機(jī)，防止電磁輻射泄漏機(jī)密信息。 防病毒系統(tǒng)需求針對(duì)防病毒危害性極大并且傳播極為迅速，必須配備從單機(jī)到服務(wù)器的整套防病毒軟件，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)。 網(wǎng)絡(luò)管理需求此次建設(shè)的企業(yè)網(wǎng)絡(luò)系統(tǒng)是一個(gè)相當(dāng)復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)，包含多種設(shè)備和技術(shù)。網(wǎng)絡(luò)的負(fù)載流量主要是從邊緣設(shè)備到核心的數(shù)據(jù)交換，隨著業(yè)務(wù)的發(fā)展，網(wǎng)絡(luò)規(guī)模的擴(kuò)展，以及應(yīng)用的信息交換量增加，使得網(wǎng)絡(luò)通常會(huì)在核心發(fā)生通訊瓶頸現(xiàn)象，改善局域網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)交換性能，往往是首先擴(kuò)充核心交換機(jī)的交換性能，增加邊緣設(shè)備到核心的數(shù)據(jù)通訊帶寬，以減輕整個(gè)網(wǎng)絡(luò)的瓶頸，使得應(yīng)用軟件的性能和效率得到提高。網(wǎng)絡(luò)設(shè)備的選擇，尤其是核心機(jī)箱式設(shè)備，應(yīng)該可以配置冗余部件，關(guān)鍵部件不存在單一故障點(diǎn)，也就是說(shuō)，像交換機(jī)的電源、風(fēng)扇、交換引擎、管理模塊這些部件可以冗余備份，其中之一任何部件的損壞，不會(huì)影響設(shè)備的正常運(yùn)行，不會(huì)影響網(wǎng)絡(luò)的連通。對(duì)于交換機(jī)來(lái)說(shuō)，核心交換引擎應(yīng)該可以滿足最大配置下，無(wú)阻塞的進(jìn)行端口數(shù)據(jù)包交換，模塊的擴(kuò)充不影響交換性能。在大規(guī)模網(wǎng)絡(luò)的設(shè)計(jì)上，劃分虛擬子網(wǎng)，一方面可以有效的隔離子網(wǎng)內(nèi)的大量廣播，另一方面隔離網(wǎng)絡(luò)子網(wǎng)間的通訊，控制了資源的訪問(wèn)權(quán)限，提高了網(wǎng)絡(luò)的安全性。在設(shè)計(jì)局域網(wǎng)的設(shè)備選擇上，要求網(wǎng)絡(luò)設(shè)備支持標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理協(xié)議 SNMP，同時(shí)支持 RMON/RMONII 協(xié)議，核心設(shè)備要求支持 RAP(遠(yuǎn)程分析端口)協(xié)議，實(shí)施充分的網(wǎng)絡(luò)管理功能。(2)匯聚層：接入層交換機(jī)使用 100M 雙絞線匯聚到一臺(tái)或者多臺(tái)匯聚層設(shè)備，匯聚層設(shè)備在接入層交換機(jī)之間提供第二層連接，作為接入層交換機(jī)的集中連接點(diǎn)及接入層和核心層之間的分界點(diǎn)，匯聚層在提供接入層接入的同時(shí)，還能夠做到廣播域的隔離、不同網(wǎng)段之間的路由、介質(zhì)轉(zhuǎn)換、安全控制。企業(yè)網(wǎng)絡(luò)內(nèi)部的環(huán)境復(fù)雜、分布區(qū)域廣、網(wǎng)絡(luò)用戶多，以至于企業(yè)內(nèi)部網(wǎng)絡(luò)用戶的可靠性得不到完全的保證。VLAN 技術(shù)不需要特殊的設(shè)備，目前第二層交換機(jī)均支持 VLAN 技術(shù)。其中VLAN10~31 為部門(mén) VLAN，禁止互訪，VLAN 51 為文件服務(wù)器區(qū)，能被任何部門(mén)訪問(wèn)，VLAN 52 為網(wǎng)管區(qū)，能單向訪問(wèn)各個(gè)部門(mén)。在這種通信方式下，源 IP 主機(jī)向指定的目標(biāo) IP 主機(jī)發(fā)送信息包。其次對(duì)路由器和交換機(jī)的性能也提出了更高的要求，管理人員被迫購(gòu)買(mǎi)本來(lái)不必要的硬件和帶寬來(lái)保證一定的服務(wù)質(zhì)量。用戶通過(guò)運(yùn)行組播客戶端軟件的 PC 運(yùn)行 IGMP 協(xié)議，用戶可通過(guò) IGMP 協(xié)議加入某個(gè)組播組，建立成員關(guān)系。每個(gè)部門(mén) VLAN 劃入一個(gè)多播地址：Vlan10： Vlan11：Vlan20： Vlan21：Vlan30： Vlan31：在核心交換機(jī)和 PIX 上啟用多播，命令如下：ip multicastroutingint interface ip pim sparsedensemodeip igmp joingroup 配置 PIX 為 RP 的命令如下：ip pim sendrpannounce Loopback0 scope 3 grouplist 50ip pim sendrpdiscovery Loopback0 scope 318accesslist 50 permit accesslist 50 permit accesslist 50 permit accesslist 50 permit accesslist 50 permit accesslist 50 permit ip pim rpaddress 訪問(wèn)控制列表（ACL）設(shè)計(jì)方案訪問(wèn)控制列表（Access Control List，ACL） 是路由器接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。該名稱是根據(jù)此訪問(wèn)表的類型得來(lái)的。使用 VLSM 技術(shù)，在劃分 IP 地址時(shí)應(yīng)該盡可能的減少 IP 地址浪費(fèi)：三層交換設(shè)備之間的互聯(lián) IP 地址使用 30 位子網(wǎng)掩碼（ ） ，以節(jié)約 IP 地址；網(wǎng)絡(luò)設(shè)備管理接口使用 32 位子網(wǎng)掩碼（） ；在訪問(wèn) Inter 時(shí)，使用 NAT 或者 PAT 技術(shù)通過(guò)防火墻設(shè)備進(jìn)行地址或者端口翻譯，把私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址，以獲得對(duì) Inter 的訪問(wèn)；各局域網(wǎng)內(nèi)，根據(jù)業(yè)務(wù)情況，本著滿足需求和擴(kuò)展性的要求，劃分并預(yù)留出以下地址段：網(wǎng)絡(luò)設(shè)備地址段、服務(wù)器地址段、辦公網(wǎng)段。開(kāi)放式最短路徑優(yōu)先路由選擇協(xié)議(OSPF)是于 20 世紀(jì) 80 年代后期發(fā)展起來(lái),并且早在 90 年代初就由互聯(lián)網(wǎng)組織實(shí)現(xiàn)成為一個(gè)現(xiàn)代的與提供方無(wú)關(guān)的協(xié)議。在 OSPF 中，鏈路狀態(tài)數(shù)據(jù)庫(kù)列出了鏈路狀態(tài)路由域中特定區(qū)域的所有鏈路。支持 VLSM：OSPF LSA(Link State Advertisement)中包含子網(wǎng)掩碼。在核心層設(shè)備上進(jìn)行配置，對(duì)相應(yīng)的非 0 區(qū)域的路由表進(jìn)行匯聚。如果活動(dòng)路由器失效，備份路由器將接管成為活動(dòng)路由器。路由器的缺省優(yōu)先級(jí)是 100，所以如果只設(shè)置一個(gè)路由器的優(yōu)先級(jí)高于 100，則該路由器將成為主動(dòng)路由器。4．通過(guò)在交換機(jī)上設(shè)置 VLAN，有效的控制了兩個(gè)子網(wǎng)