【正文】 4．通過(guò)在交換機(jī)上設(shè)置 VLAN，有效的控制了兩個(gè)子網(wǎng)間的安全。如果活動(dòng)路由器失效，備份路由器將接管成為活動(dòng)路由器。支持 VLSM：OSPF LSA(Link State Advertisement)中包含子網(wǎng)掩碼。開(kāi)放式最短路徑優(yōu)先路由選擇協(xié)議(OSPF)是于 20 世紀(jì) 80 年代后期發(fā)展起來(lái),并且早在 90 年代初就由互聯(lián)網(wǎng)組織實(shí)現(xiàn)成為一個(gè)現(xiàn)代的與提供方無(wú)關(guān)的協(xié)議。該名稱(chēng)是根據(jù)此訪問(wèn)表的類(lèi)型得來(lái)的。用戶(hù)通過(guò)運(yùn)行組播客戶(hù)端軟件的 PC 運(yùn)行 IGMP 協(xié)議，用戶(hù)可通過(guò) IGMP 協(xié)議加入某個(gè)組播組，建立成員關(guān)系。在這種通信方式下，源 IP 主機(jī)向指定的目標(biāo) IP 主機(jī)發(fā)送信息包。VLAN 技術(shù)不需要特殊的設(shè)備，目前第二層交換機(jī)均支持 VLAN 技術(shù)。(2)匯聚層：接入層交換機(jī)使用 100M 雙絞線匯聚到一臺(tái)或者多臺(tái)匯聚層設(shè)備，匯聚層設(shè)備在接入層交換機(jī)之間提供第二層連接，作為接入層交換機(jī)的集中連接點(diǎn)及接入層和核心層之間的分界點(diǎn)，匯聚層在提供接入層接入的同時(shí)，還能夠做到廣播域的隔離、不同網(wǎng)段之間的路由、介質(zhì)轉(zhuǎn)換、安全控制。在大規(guī)模網(wǎng)絡(luò)的設(shè)計(jì)上，劃分虛擬子網(wǎng)，一方面可以有效的隔離子網(wǎng)內(nèi)的大量廣播，另一方面隔離網(wǎng)絡(luò)子網(wǎng)間的通訊，控制了資源的訪問(wèn)權(quán)限，提高了網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)設(shè)備的選擇，尤其是核心機(jī)箱式設(shè)備，應(yīng)該可以配置冗余部件，關(guān)鍵部件不存在單一故障點(diǎn)，也就是說(shuō)，像交換機(jī)的電源、風(fēng)扇、交換引擎、管理模塊這些部件可以冗余備份，其中之一任何部件的損壞，不會(huì)影響設(shè)備的正常運(yùn)行，不會(huì)影響網(wǎng)絡(luò)的連通。 網(wǎng)絡(luò)管理需求此次建設(shè)的企業(yè)網(wǎng)絡(luò)系統(tǒng)是一個(gè)相當(dāng)復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)，包含多種設(shè)備和技術(shù)。采用輻射干擾機(jī)，防止電磁輻射泄漏機(jī)密信息。本方案針對(duì)網(wǎng)絡(luò)系統(tǒng)應(yīng)用場(chǎng)合對(duì)安全提出了很高的要求，因此網(wǎng)絡(luò)設(shè)計(jì)充分考慮網(wǎng)絡(luò)上敏感數(shù)據(jù)傳輸?shù)陌踩?，一方面需要充分利用網(wǎng)絡(luò)設(shè)備提供的安全策略（VLAN 劃分等） ，另一方面為了保障內(nèi)部數(shù)據(jù)傳輸?shù)陌踩裕捎酶鞣N安全技術(shù)（防火墻、入侵檢測(cè)、防病毒體系等） ，并且盡量不影響到整個(gè)網(wǎng)絡(luò)的運(yùn)行效率。作為電子商務(wù)基石的網(wǎng)絡(luò)系統(tǒng)已經(jīng)成為現(xiàn)代企業(yè)的“神經(jīng)” ，而“神經(jīng)”是否工作正常，是否高速高效，直接關(guān)系到“生存死亡” 。設(shè)置策略或設(shè)備的冗余，保證企業(yè)網(wǎng)絡(luò)在遭遇突發(fā)故障時(shí)能順利切換線路，保障數(shù)據(jù)的完整性，避免重要信息的丟失，增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性。I中 小 型 企 業(yè) 局 域 網(wǎng) 的 設(shè) 計(jì) 與 實(shí) 現(xiàn)課題名稱(chēng)中小型企業(yè)網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)現(xiàn)學(xué) 院 中國(guó)農(nóng)業(yè)大學(xué)東校區(qū) 專(zhuān) 業(yè) 計(jì)算機(jī)專(zhuān)業(yè) 班 級(jí) 14 級(jí)專(zhuān)升本班 姓 名 張濤 指導(dǎo)老師 劉德福 II摘 要隨著網(wǎng)絡(luò)技術(shù)新系統(tǒng)、新領(lǐng)域的長(zhǎng)足發(fā)展，傳統(tǒng)企業(yè)也正利用其行業(yè)的特點(diǎn)，融合網(wǎng)絡(luò)技術(shù)的優(yōu)勢(shì)，發(fā)展自身。最后，選擇合適的網(wǎng)絡(luò)設(shè)備，在顧及網(wǎng)絡(luò)性能的前提下，優(yōu)化企業(yè)的資源配置31. 網(wǎng)絡(luò)建設(shè)背景和必要性格羅莫夫（Gregory Gromov）曾經(jīng)說(shuō)過(guò)：“網(wǎng)絡(luò)本身就是一種計(jì)算機(jī)科學(xué)概念。4傳統(tǒng)企業(yè)對(duì)市場(chǎng)的反應(yīng)速度取決于自身的信息網(wǎng)絡(luò)水平。為了更好的保證網(wǎng)絡(luò)的正常運(yùn)行，設(shè)計(jì)的網(wǎng)絡(luò)系統(tǒng)還考慮到網(wǎng)絡(luò)管理，實(shí)現(xiàn)網(wǎng)絡(luò)的統(tǒng)一管理。對(duì)重要的設(shè)備進(jìn)行冗余配置；對(duì)重要系統(tǒng)進(jìn)行備份等安全保護(hù)。隨著系統(tǒng)復(fù)雜度的增加，會(huì)給系統(tǒng)管理帶來(lái)成指數(shù)增加的管理工作量。提供網(wǎng)絡(luò)設(shè)備的可靠性，容錯(cuò)性的另一個(gè)要求是設(shè)備損壞部件更換時(shí)，不需要停機(jī)，更換部件后不需要重新啟動(dòng)，也就是說(shuō)部件的更換可以進(jìn)行在線操作，這樣可以使停機(jī)的時(shí)間降低到最小。在設(shè)計(jì)局域網(wǎng)的原則上必須強(qiáng)調(diào)網(wǎng)絡(luò)安全控制能力，使網(wǎng)絡(luò)可以任意連接，又可以從第二層、第三層控制網(wǎng)絡(luò)的訪問(wèn)。匯聚層需要提供第三層功能，即支持路由選擇和網(wǎng)絡(luò)層服務(wù)，以保護(hù)交換區(qū)塊不受網(wǎng)絡(luò)其他部分失效的影響，并防止本交換區(qū)塊故障對(duì)網(wǎng)絡(luò)其他部分的影響，如果交換區(qū)塊發(fā)生了廣播風(fēng)暴，分布層設(shè)備可以防止該廣播風(fēng)暴擴(kuò)散到核心和網(wǎng)絡(luò)的其他部分。通過(guò)在一個(gè)物理網(wǎng)段上劃分出多個(gè)邏輯網(wǎng)段，由每一個(gè)邏輯網(wǎng)段構(gòu)成一個(gè) VLAN，其內(nèi)部采用交換機(jī)連接，所有的廣播信息只限制在本 VLAN 內(nèi)，而之間的連接則采用路由實(shí)現(xiàn)，具體實(shí)施時(shí)可以外加路由器，或者直接使用第三層交換設(shè)備。IP 信息包中的目標(biāo)地址就是 IP 網(wǎng)絡(luò)中惟一的主機(jī)地址。對(duì)于組播業(yè)務(wù)的具體實(shí)施及管理需根據(jù)不同的業(yè)務(wù)類(lèi)型及廠家提供設(shè)備的特點(diǎn)具體進(jìn)行分析。在 I O S 版本 11 . 3中引入了自反訪問(wèn)表，并且它可用在所有的路由器平臺(tái)上。在同一時(shí)期，RIP 協(xié)議已成為最主要的協(xié)議，但它隨著網(wǎng)絡(luò)規(guī)模的增長(zhǎng)，已逐漸暴露出一些問(wèn)題。支持層次化的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)：網(wǎng)絡(luò)設(shè)計(jì)人員可以把一個(gè)大型 OSPF 網(wǎng)絡(luò)分成若干域(Area)，其中一個(gè)是主干域(Backbone Area, Area ID )，其它非主干域均與主干域相連，并通過(guò)主干域交換 LSDB。如果備份路由器失效或者變成了活動(dòng)路由器，將有另外的路由器被選為備份路由器。5．不存在單點(diǎn)故障問(wèn)題。 3．充分利用了多以太口路由器在劃分多業(yè)務(wù)網(wǎng)段上的功能，也只有多以太口路由器在 HSRP 應(yīng)用中才能實(shí)現(xiàn)兩個(gè)路由器間的負(fù)載分擔(dān)，這是具有四個(gè)以太口路由器的極大的優(yōu)點(diǎn)。 為了減少網(wǎng)絡(luò)的數(shù)據(jù)流量，在設(shè)置完活動(dòng)路由器和備份路由器之后，只有活動(dòng)路由器和備份路由器定時(shí)發(fā)送 HSRP 報(bào)文?？偟膩?lái)說(shuō) OSPF 路由協(xié)議具有以下優(yōu)點(diǎn)：節(jié)省網(wǎng)絡(luò)帶寬：OSPF 屬于鏈路狀態(tài)協(xié)議，只有當(dāng)網(wǎng)絡(luò)連接狀態(tài)發(fā)生變化時(shí)才彼此更新變化了的拓?fù)湫畔?，而并非整個(gè)網(wǎng)絡(luò)的 LSDB，從而大大節(jié)省了網(wǎng)絡(luò)帶寬，這對(duì)于大型的廣域網(wǎng)來(lái)說(shuō)很重要。因此，在整個(gè)企業(yè)網(wǎng)絡(luò)中建議使用適合大型網(wǎng)絡(luò)運(yùn)行的內(nèi)部網(wǎng)關(guān)協(xié)議：OSPF，OSPF 由于其快速的收斂速度，較低的帶寬開(kāi)銷(xiāo)和極大的應(yīng)用普遍性成為大型網(wǎng)絡(luò) IGP 的不二選擇，目前中國(guó)公眾多媒體網(wǎng)骨干網(wǎng)部分所運(yùn)行的協(xié)議就是OSPF，而且 China（163 ）電信寬帶網(wǎng)也大都運(yùn)行 OSPF 路由協(xié)議。在該過(guò)程中，訪問(wèn)表執(zhí)行的動(dòng)作稱(chēng)為自反向過(guò)濾（ reflexive filtering） 。關(guān)于組播路由設(shè)計(jì)，在企業(yè)網(wǎng)絡(luò)核心交換機(jī)和匯聚交換機(jī)上運(yùn)行 PIMDM 組播協(xié)議對(duì)業(yè)務(wù)及服務(wù)進(jìn)行支持，并提供優(yōu)秀的可擴(kuò)展性；在邊緣交換機(jī)上運(yùn)行 IGMP Snooping 組播管理協(xié)議對(duì)業(yè)務(wù)及服務(wù)進(jìn)行支持。傳統(tǒng)的點(diǎn)對(duì)點(diǎn)單播通信，在發(fā)送方和每一接收方需要單獨(dú)的數(shù)據(jù)通道。使用路由器時(shí)可以將網(wǎng)絡(luò)劃分多個(gè)物理網(wǎng)段，這些物理網(wǎng)段可以連接到路由器的多個(gè)端口，多個(gè)物理網(wǎng)段間通過(guò)路由器進(jìn)行通信，但是路由器的端口價(jià)格遠(yuǎn)遠(yuǎn)高出交換機(jī)的端口價(jià)格，所以這種方式將增加設(shè)備投資，在物理網(wǎng)段增多時(shí)就更為嚴(yán)重，而且只有使用高端設(shè)備才能滿(mǎn)足高端口密度的要求，所以不推薦這種方式。交換區(qū)塊的主要功能是提供用戶(hù)的接入點(diǎn)，并防止廣播數(shù)據(jù)流和網(wǎng)絡(luò)問(wèn)題到達(dá)核心區(qū)塊或者其他區(qū)塊，交換區(qū)塊由接入層交換機(jī)和匯聚層交換機(jī)構(gòu)成：(1)接入層：接入層設(shè)備作為最終用戶(hù)的網(wǎng)絡(luò)接入點(diǎn)，使用 100M 雙絞線連接各層桌面終端，為每個(gè)用戶(hù)提供專(zhuān)用的帶寬，并可基于端口或 MAC 地址的 VLAN 成員資格和流量進(jìn)行過(guò)濾，接入層主要的設(shè)計(jì)原則是能夠通過(guò)低成本、高端口密度的設(shè)備提供這些功能。在網(wǎng)絡(luò)設(shè)備上應(yīng)該可以進(jìn)行基于協(xié)議、基于 Mac地址、基于 IP 地址的包過(guò)濾控制功能。網(wǎng)絡(luò)的可靠性要求是保障應(yīng)用環(huán)境正常運(yùn)行的首要條件，網(wǎng)絡(luò)要求可靠性的同時(shí)，要求網(wǎng)絡(luò)具有高可用性。 防病毒系統(tǒng)需求針對(duì)防病毒危害性極大并且傳播極為迅速，必須配備從單機(jī)到服務(wù)器的整套防病毒軟件，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)。需要對(duì)存放機(jī)密信息的機(jī)房進(jìn)行必要的設(shè)計(jì)，如構(gòu)建屏蔽室。企業(yè)網(wǎng)絡(luò)系統(tǒng)的需求包括以下幾點(diǎn)：適應(yīng)桌面計(jì)算機(jī)處理、I/O 能力大幅度提高的現(xiàn)狀，發(fā)揮桌面機(jī)的網(wǎng)絡(luò)性能，提高桌面機(jī)的訪問(wèn)帶寬；適應(yīng)連網(wǎng)規(guī)模大、總流量大的情況，合理分布流量，實(shí)現(xiàn)流量隔離和控制；適應(yīng)部門(mén)多、層次復(fù)雜的特點(diǎn)，合理進(jìn)行網(wǎng)絡(luò)劃分，實(shí)現(xiàn)有效的安全訪問(wèn)控制和運(yùn)行管理；能夠向未來(lái)的高速網(wǎng)絡(luò)技術(shù)和不斷出現(xiàn)的新應(yīng)用過(guò)渡；實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)，解決互聯(lián)網(wǎng)絡(luò)帶來(lái)的安全問(wèn)題和管理問(wèn)題；適應(yīng)數(shù)據(jù)集中型應(yīng)用的發(fā)展趨勢(shì)，為客戶(hù)/服務(wù)器的應(yīng)用環(huán)境提供支撐；增加網(wǎng)絡(luò)系統(tǒng)的運(yùn)行可靠性，降低故障隱患，提高系統(tǒng)的可管理性。通過(guò)實(shí)施電子商務(wù)，可以實(shí)現(xiàn)企業(yè)對(duì)產(chǎn)品、原材料、非生產(chǎn)性產(chǎn)品、服務(wù)類(lèi)等的電子化、網(wǎng)絡(luò)化采購(gòu)，總公司與下屬子公司幾個(gè)職能部門(mén)有組織、有計(jì)劃的統(tǒng)一管理，減少流通環(huán)節(jié)，降低成本，提高效率，使企業(yè)在管理上通過(guò)電子商務(wù)的實(shí)施達(dá)到更高水品。采用穩(wěn)定高效的路由協(xié)議連通企業(yè)內(nèi)部網(wǎng)，并在此基礎(chǔ)上設(shè)計(jì)安全策略，增強(qiáng)企業(yè)數(shù)據(jù)的保密性，保證商業(yè)機(jī)密的安全。在信息化生產(chǎn)逐步普及的今天，組建企業(yè)內(nèi)部網(wǎng)絡(luò)已經(jīng)是企業(yè)必不可少的一部分，建立高速、穩(wěn)定、安全、智能的辦公網(wǎng)，是組建中小型企業(yè)局域網(wǎng)的核心?！辈贿^(guò)，現(xiàn)在有了更豐富的內(nèi)涵，注解之一就是，網(wǎng)絡(luò)本身更具有經(jīng)濟(jì)學(xué)內(nèi)涵。在電子商務(wù)時(shí)代，產(chǎn)品的個(gè)性化情況非常普遍，比如服裝，時(shí)尚和潮流總是千變?nèi)f化，捉摸不定。 網(wǎng)絡(luò)平臺(tái)需求利用目前最流行的千兆以太網(wǎng)技術(shù)實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)為千兆主干、百兆交換到桌面，全方位支持企業(yè)的信息處理與交換的傳輸、操作和策略服務(wù)。 數(shù)據(jù)鏈路層需求信息的泄漏很多都是在鏈路上被搭線竊取，數(shù)據(jù)也可能因?yàn)樵阪溌飞媳唤孬@、被篡改后傳輸給對(duì)方，造成數(shù)據(jù)真實(shí)性、完整性得不到保證。為此必須要設(shè)計(jì)一套健全的管理系統(tǒng)。在設(shè)計(jì)局域網(wǎng)的原則10上提高網(wǎng)絡(luò)的高可靠性、高可用性原則是至關(guān)重要的，不僅要求設(shè)備的部件冗余，同時(shí)要求網(wǎng)絡(luò)的鏈路冗余，以保證網(wǎng)絡(luò)可以在任何時(shí)間、任何地點(diǎn)提供信息訪問(wèn)服務(wù)。 網(wǎng)絡(luò)的可管理性網(wǎng)絡(luò)中的任何設(shè)備均可以通過(guò)網(wǎng)絡(luò)管理平臺(tái)進(jìn)行控制，網(wǎng)絡(luò)的設(shè)備狀態(tài)，故障報(bào)警等都可以通過(guò)網(wǎng)管平臺(tái)進(jìn)行監(jiān)控，通過(guò)網(wǎng)絡(luò)管理平臺(tái)簡(jiǎn)化管理工作，提高網(wǎng)絡(luò)管理的效率。核心區(qū)塊是園區(qū)網(wǎng)絡(luò)的主干，主要功能是在交換區(qū)塊之間用最小的時(shí)延傳輸數(shù)據(jù)，盡可能快的將交換數(shù)據(jù)提供到其他區(qū)塊（比如交換區(qū)塊） 。使用路由器時(shí)，將這些邏輯網(wǎng)段連接到路由器時(shí)可以只使用一條物理鏈路、占用一個(gè)路由器接口，這樣就節(jié)省了設(shè)備的投資，而使用三層交換設(shè)備時(shí)，不需要額外增加設(shè)備，只要交換機(jī)支持三層路由功能即可，由于三層交換設(shè)備的工作效率高于路由器，所以在本論文中推薦采用三層交換設(shè)備實(shí)現(xiàn) VLAN 之間的路由。從一臺(tái)主機(jī)送出的每個(gè)數(shù)據(jù)包只能傳送給一個(gè)目標(biāo)主機(jī)，通過(guò)路由器或交換機(jī)將這些 IP 信息包從源主機(jī)發(fā)送到目標(biāo)主機(jī)。目前經(jīng)常被采用的稀疏分布模型的域內(nèi)組播路由協(xié)議是 PIMSM，因此，使用PIMSM 作為域內(nèi)組播路由協(xié)議。在核心層交換機(jī)上配置訪問(wèn)列表如下（由于各個(gè)端口配置相似，故只列出核心交換機(jī) SW1 上的 e0/）：ip accesslist extended e0/evaluate admin deny ip deny ip deny ip deny ip deny ip deny ip permit ip any anyexitip accesslist extended eoutpermit ip any any reflect admin19int e0/ip accessgroup eout outip accessgroup e0/ inexit IP 地址規(guī)劃與路由設(shè)計(jì)方案路由組織及其方案是 IP 網(wǎng)絡(luò)中的基本問(wèn)題之一，涉及網(wǎng)絡(luò)的連通性、可達(dá)性、穩(wěn)定性、精確性和易管理性，其設(shè)計(jì)的好壞直接影響著網(wǎng)絡(luò)性能。H3C 的 IGRP 協(xié)議是可用的，并有更優(yōu)秀的路徑選擇特性，但它屬于專(zhuān)門(mén)的公司且收斂時(shí)間太長(zhǎng)。同時(shí) OSPF 還引入了外部路由(External Routes)及 ASBR (Autonomous System Boundary Router)概念，非 OSPF 路由均視為外部路由，由 ASBR 注入到 OSPF 域。在實(shí)際的一個(gè)特定的局域網(wǎng)中，可能有多個(gè)熱備份組并存或重疊。HSRP 設(shè)計(jì)如圖 4 所示：圖 4 HSRP 設(shè)計(jì)示意圖完成核心層交換機(jī)的 HSRP 命令配置后，Core SW1 和 Core SW2 的輸出如表 2和表 3 所示：表 2 Core SW1 上的 HSRP 狀態(tài)表P indicates configured to preempt.C o r e S w