【文章內(nèi)容簡介】 采用 千 兆核心及核心設(shè)備的冗余，主要骨干鏈路采用 千 兆鏈 路， 百兆 到桌面。 (2) 煙草專賣局 局域網(wǎng)應(yīng)將不同部門劃分到不同的 VLAN中進(jìn)行隔離，以保證網(wǎng)絡(luò)安全。 (3) 應(yīng)保證網(wǎng)絡(luò)能夠滿足各種業(yè)務(wù)的需要，如： 財(cái)務(wù) 信息系統(tǒng)、 日常工作安排 系統(tǒng) 、工作人員信息管理系統(tǒng) 等。 (4) 隨著技術(shù)的發(fā)展和業(yè)務(wù)的增長，可以通過更換或增加模塊，使網(wǎng)絡(luò)升級(jí)，網(wǎng)絡(luò)規(guī)模和容量可以平滑增長。 (5) 要求整個(gè)網(wǎng)絡(luò)具有高可靠性的總體設(shè)計(jì)，采用的技術(shù)是相對成熟的技術(shù)；所選用的設(shè)備具有高可靠性； 采用具有高安全級(jí)別的系統(tǒng)軟件；可以實(shí)現(xiàn)網(wǎng)絡(luò)自愈。 (6) 系統(tǒng)的性能指標(biāo)能夠完全滿足網(wǎng)絡(luò)內(nèi)各項(xiàng)業(yè)務(wù)對處理能力的要求，且便于維護(hù)與管理。 (7) 網(wǎng)絡(luò)和主機(jī)應(yīng)支持符合國際和業(yè)界標(biāo)準(zhǔn)的相關(guān)結(jié)構(gòu)，能夠與相關(guān)系統(tǒng)和網(wǎng)絡(luò)可靠互聯(lián)；系統(tǒng)軟硬件平臺(tái)應(yīng)具有良好的移植能力；應(yīng)選擇廣泛應(yīng)用的標(biāo)準(zhǔn)協(xié)議，支持局域網(wǎng)內(nèi)部的其它協(xié)議。 技術(shù)選擇分析 7 3 技術(shù)選擇分析 VLAN 技術(shù) VLAN(虛擬局域網(wǎng) )是對連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè) VLAN可以在一個(gè)交換機(jī)或者跨 交換機(jī)實(shí)現(xiàn)。 VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的 應(yīng)用程序 和協(xié)議來進(jìn)行分組?；诮粨Q機(jī)的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬問題。 傳統(tǒng)的共享介質(zhì)的以太網(wǎng)和交換式的以太網(wǎng)中，所有的用戶在同一個(gè)廣播域中，會(huì)引起網(wǎng)絡(luò)性能的下降，浪費(fèi)可貴的帶寬 ， 而且對 廣播風(fēng)暴 的控制和網(wǎng)絡(luò)安全只能在第三層的路由器上實(shí)現(xiàn) [5]。 VLAN相當(dāng)于 OSI參考模型的第二層的廣播域，能夠?qū)V播風(fēng)暴控制在一個(gè) VLAN內(nèi)部，劃分 VLAN后，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。不同的 VLAN之間的數(shù)據(jù)傳輸是通過第三層 (網(wǎng)絡(luò)層 )的路由來實(shí)現(xiàn)的，因此使用 VLAN技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備可搭建安全可靠的網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員通過控制交換機(jī)的每一個(gè)端口來控制網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)資源的訪問，同時(shí) VLAN和第三 層第四層的交換結(jié)合使用能夠?yàn)榫W(wǎng)絡(luò)提供較好的安全措施。 另外， VLAN具有靈活性和可擴(kuò)張性等特點(diǎn)，方便于網(wǎng)絡(luò)維護(hù)和管理，這兩個(gè)特點(diǎn)正是現(xiàn)代局域網(wǎng)設(shè)計(jì)必須實(shí)現(xiàn)的兩個(gè)基本目標(biāo)，在局域網(wǎng)中有效利用虛擬局域網(wǎng)技術(shù)能夠提高網(wǎng)絡(luò)運(yùn)行效率。 OSPF 協(xié)議 OSPF 是開放最短路徑優(yōu)先協(xié)議，是一種常用的動(dòng)態(tài)路由協(xié)議，區(qū)別于距離矢量協(xié)議 (RIP)，在目前應(yīng)用的路由協(xié)議中占有相當(dāng)重要的地位，主要用在路由器或路由交換機(jī)之間發(fā)布路由信息 [6]。 MSTP 生成樹協(xié)議 多生成樹 (MST)使用修正的快速生成樹 (RSTP)協(xié)議 ，叫做多生成樹協(xié)議 (MSTP)。 MSTP將環(huán)路網(wǎng)絡(luò)修剪成為一個(gè)無環(huán)的樹型網(wǎng)絡(luò)，避免報(bào)文在環(huán)路網(wǎng)絡(luò)中的增生和無限循環(huán)，同時(shí)還提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個(gè)冗余路徑，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實(shí)現(xiàn) VLAN數(shù)據(jù)的負(fù)載均衡。 MSTP兼容 STP和 RSTP，并且可以彌補(bǔ) STP和 RSTP的缺陷。它既可以快速收斂，技術(shù)選擇分析 8 也能使不同 VLAN的流量沿各自的路徑分發(fā)，從而為冗余鏈路提供了更好的負(fù)載分擔(dān)機(jī)制 [7]。 MSTP使用靈活，適用于任意復(fù)雜組網(wǎng)，配置相對也比較簡單，最簡單的情況下只需要將 MSTP協(xié)議開啟即可，還可以通過設(shè)置橋優(yōu)先級(jí)、域信息以及端口路 徑開銷來選擇任意 VLAN的任意一條通路來實(shí)現(xiàn)流量轉(zhuǎn)發(fā)。 ACL 訪問列表 控制 訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。 訪問控制列表 (ACL)是應(yīng)用在 路由器 接口的指令列表。這些指令列表用來告訴路由器 哪能些數(shù)據(jù)包可以收、哪能數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地址、目的地址、端口號(hào)等的特定指示條件來決定。 訪問控制列表不但可以起到控制網(wǎng)絡(luò)流量、流向的作用，而且在很大程度上起到保護(hù)網(wǎng)絡(luò)設(shè)備、服務(wù)器的關(guān)鍵作用。作為外網(wǎng)進(jìn)入 南陽市煙草專賣局 內(nèi)網(wǎng)的第一道關(guān)卡，路由器上的訪問控制列表成為保護(hù)內(nèi)網(wǎng)安全的有效手段。 VRRP 協(xié)議 虛擬路由器冗余協(xié)議 (VRRP)是一種選擇協(xié)議，它可以把一個(gè)虛擬路由器的責(zé)任動(dòng)態(tài)分配到局域網(wǎng)上的 VRRP 路由器中的一臺(tái)。控制虛擬路由器 IP 地址的 VRRP 路由器稱為 主路由器，它負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包到這些虛擬 IP 地址。一旦主路由器不可用，這種選擇過程就提供了動(dòng)態(tài)的故障轉(zhuǎn)移機(jī)制，這就允許虛擬路由器的 IP 地址可以作為終端主機(jī)的默認(rèn)第一跳路由器。使用 VRRP 的好處是有更高的默認(rèn)路徑的可用性而無需在每個(gè)終端主機(jī)上配置動(dòng)態(tài)路由或路由發(fā)現(xiàn)協(xié)議 ， VRRP 包封裝在 IP 包中發(fā)送。 VRRP 協(xié)議主要用在 2 臺(tái)核心交換機(jī)上，本次方案中核心交換機(jī)選型為路由交換機(jī)，具備路由器的功能，通過運(yùn)行 VRRP 協(xié)議可以防止單點(diǎn)故障的發(fā)生，即使其中一臺(tái)交換機(jī)出現(xiàn)故障，也不會(huì)對 煙草專賣局 業(yè)務(wù)造成很大的影響，最大化的保護(hù) 了網(wǎng)絡(luò)的正常運(yùn)行。 FIREWALL 防火墻技術(shù) 防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在 內(nèi)部網(wǎng) 和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障 ,是一種獲取安全性方法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使 Inter與 內(nèi)部網(wǎng) 之間建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)技術(shù)選擇分析 9 內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、 包過濾 和應(yīng)用網(wǎng)關(guān) 4個(gè) 部分 組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有 網(wǎng)絡(luò)通信 和數(shù)據(jù)包均要經(jīng)過此防火墻 [8]。 在網(wǎng)絡(luò)中，所謂 “ 防火墻 ” ，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種 訪問控制 尺度，它能允許你 “ 同意 ” 的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你 “ 不同意 ” 的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的 黑 客 來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻， 專賣局 內(nèi)部的人就無法訪問 Inter， Inter上的人也無法和 專賣局 內(nèi)部的人進(jìn)行通信。南陽市煙草專賣局網(wǎng)絡(luò)設(shè)計(jì)方案 10 4 南陽市煙草專賣局 網(wǎng)絡(luò)設(shè)計(jì)方案 網(wǎng)絡(luò)總體拓?fù)鋱D 南陽市煙草專賣局 網(wǎng)絡(luò)拓?fù)鋱D如 圖 41所示。 圖 41 南陽市煙草專賣局 網(wǎng)絡(luò) 結(jié)構(gòu)拓?fù)?圖 在 南陽市煙草專賣局 的網(wǎng)絡(luò)的建設(shè)中， 主要分為兩個(gè)辦公區(qū)域，分別為辦公樓 1辦公區(qū)和辦公樓 2辦公區(qū)，辦公樓 1辦公區(qū)是一些重要的辦公室所在的區(qū)域，如財(cái)務(wù)科，機(jī)關(guān)黨委處等，這些辦公室是不允許辦公樓 2區(qū) 域的辦公室的未經(jīng)許可訪問，而這兩個(gè)辦公樓區(qū)域?qū)ν饩W(wǎng)和服務(wù)器的連接 是 不受限制的 [9]。 核心層交換設(shè)計(jì) 核心層的主要目的是盡可能快地交換數(shù)據(jù)。在 整個(gè)網(wǎng)絡(luò)區(qū)域 中，匯聚層和核心層在某些地方會(huì)合二為一。當(dāng)匯聚層上有兩個(gè)或更多子網(wǎng)時(shí)，就需要設(shè)計(jì)核心層來連接這些子網(wǎng)。核心層負(fù)責(zé)傳輸穿過 網(wǎng)絡(luò)區(qū)域 的數(shù)據(jù)流，核心層所處理的數(shù)據(jù)流比其它層次要大很多，應(yīng)當(dāng)能盡可能快地傳輸數(shù)據(jù)流 [10]。核心層主要提供以下功能： (1)連接各交換區(qū)段 。 (2)盡可能快地交換數(shù)據(jù)幀或數(shù)據(jù)包 。 南陽市煙草專賣局網(wǎng)絡(luò)設(shè)計(jì)方案 11 同時(shí)， 本方案 要求今后的網(wǎng)絡(luò)均按 百 兆到桌面的要 求設(shè)計(jì)的，所以在實(shí)際運(yùn)行的網(wǎng)絡(luò)流量由于網(wǎng)絡(luò)應(yīng)用類型、網(wǎng)絡(luò)結(jié)構(gòu)、主干鏈路速率、網(wǎng)絡(luò)投資等多種因素將遠(yuǎn)不能達(dá)到這種情況下計(jì)算出來的數(shù)值，但在工程上，以上估算數(shù)值可作為網(wǎng)絡(luò)主干或中心的交換容量的參考指標(biāo)。 匯聚層網(wǎng)絡(luò)設(shè)計(jì) 匯聚層位于接入層和核心層之間，匯聚層是接入層和核心層之間的分界點(diǎn)和通信點(diǎn)。這一層進(jìn)行一些復(fù)雜的、消耗系統(tǒng)資源較大的數(shù)據(jù)包操作。接入層設(shè)備匯接到一臺(tái)或者多臺(tái)匯聚層設(shè)備上。匯聚層設(shè)備在接入層交換機(jī)之間提供第二層連接，同時(shí)提供第三層功能，支持路由選擇和網(wǎng)絡(luò)層服務(wù)。如果需要的話，在匯聚層還可 以定義以怎樣的方式對核心層進(jìn)行訪問 [11]。匯聚層必須決定用最快的方式來處理網(wǎng)絡(luò)服務(wù)請求。 匯聚層實(shí)現(xiàn)的主要功能包括 ： (1)VLAN聚合及 VLAN間路由 。 (2)定義廣播域和組播域 。 (3)訪問列表、包過濾和排序、 IP和 MAC的綁定。 接入層交換設(shè)計(jì) 接入層是三層模型中的最下面一層，也是和用戶距離最近第一層。接入層控制用戶和工作組對互聯(lián)網(wǎng)資源的訪問。接入層有時(shí)也稱桌面層，大多數(shù)用戶需要的資源將在本地獲得，其余的遠(yuǎn)程訪問數(shù)據(jù)流將由匯聚層處理。可以在這一層通過過濾或訪問控制列表提供對用戶流量的進(jìn)一 步控制 [12]。接入層主要實(shí)現(xiàn)的功能包括 ： (1)提供到用戶的接口 。 (2)提供數(shù)據(jù)鏈路層服務(wù) 。 (3)隔離沖突域 (即 VLAN的劃分 )。 (4)訪問控制 。 由于到用戶需要較多的物理接口所以接入層主要由接入交換機(jī)實(shí)現(xiàn)。在交換機(jī)上進(jìn)行簡單的配置即可完成接入層的功能。 子網(wǎng)、 IP 地址及 VLAN 規(guī)劃 子網(wǎng)規(guī)劃 根據(jù)第二章 的需求分析， 由于 南陽市煙草專賣局 根據(jù)辦公樓分布和辦公室職能 不同 ，將整個(gè)煙草專賣局劃分為 2 個(gè)子網(wǎng) [13]。 南陽市煙草專賣局網(wǎng)絡(luò)設(shè)計(jì)方案 12 (1)辦公樓 1 職能 辦公區(qū)域子網(wǎng) ：主要是辦公樓 1 內(nèi)的 重要 職能辦公室 的接入。 (2)辦公樓 2 專業(yè) 部門 辦公區(qū)域子網(wǎng) ：主要是辦公樓 2 內(nèi)的專業(yè)部門辦公室和倉庫的接入。 IP 地址 及 VLAN 劃分 職能辦公室主要位于辦公樓 1中，辦公樓 1共有 91個(gè)內(nèi)網(wǎng)信息點(diǎn)， 每一個(gè)層樓分配一個(gè)交換機(jī) ， 每一個(gè)辦公室劃分為一個(gè) VLAN，每一個(gè)樓層上的 VLAN劃分到該樓層對應(yīng)的交換機(jī)上， 而由于辦公樓 1的接待處的 PC較少，可將一樓的辦公室連接到二樓的交換機(jī)，一樓可不 分配 交換機(jī)，為南陽市煙草專賣局節(jié)省一個(gè)交換機(jī) 設(shè)備 [14]。 辦公樓 1的 IP及 VLAN劃分如表 41所示。 表 41 辦公樓 1IP地址 及 VLAN劃分 辦公部門 分配的 IP地址 所屬 VLAN 所屬交換機(jī) 接待區(qū) 機(jī)關(guān)黨委 辦公室 財(cái)務(wù)管理處 審計(jì)處 辦公室 綜合計(jì)劃處 專賣監(jiān)督管理處 政策法規(guī)與體制改革處 科技處 辦公室 人事勞資處 監(jiān)察處 卷煙銷售管理處 辦公室 宣傳部 檔案室 思想政治工作處 專業(yè)部門辦公室主要位于辦公樓 2中，辦公樓 2共有 88個(gè)內(nèi)網(wǎng)信息點(diǎn)，每一個(gè)層樓分配一個(gè)交換機(jī)，每一個(gè)辦公部門劃分為一個(gè) VLAN，每一個(gè)樓層上的 VLAN劃分到該樓層對應(yīng)的交換機(jī)上。 辦公樓 2的 IP及 VLAN劃分如表 42所示。 表 42 辦公樓 2IP地址 及 VLAN劃分 辦公部門 分配的 IP地址 所屬 VLAN 所屬交換機(jī) 安全保衛(wèi)處 機(jī)關(guān)服務(wù)中心 煙草質(zhì)量監(jiān)督檢測站 倉庫 會(huì)議室 離退休人員管理辦公室 物流管理處 職業(yè)技能鑒定站 南陽市煙草專賣局網(wǎng)絡(luò)設(shè)計(jì)方案 13 續(xù)表 42 辦公部門 分配的 IP地址 所屬 VLAN 所屬交換機(jī) 煙草公司機(jī)關(guān)工會(huì) 煙草學(xué)會(huì) 教育培新中心 服務(wù)器 IP 地址及 VLAN 劃分如表 43 所示。 表 43 服務(wù)器 IP地址及 VLAN劃分 辦公部門 分配的 IP地址 所屬 VLAN 服務(wù)器 方案設(shè)計(jì)特點(diǎn) (1) 具備三層功能的交換網(wǎng)絡(luò)結(jié)構(gòu) 所有產(chǎn)品都支持第二層或第三層 (或基本 IP 交換 )功能。不僅可以進(jìn)行 VLAN 的劃分，還可以進(jìn)行高速的路由轉(zhuǎn)發(fā) [15]。 VLAN 可以根據(jù)端口、子網(wǎng)和網(wǎng)絡(luò)協(xié)議進(jìn)行劃分。支持各種常用的網(wǎng)絡(luò)協(xié)議和路由協(xié)議。 由于每個(gè)設(shè)備都支持無阻塞的第二層 或第三層交換，在交換結(jié)構(gòu)中，可以達(dá)到非常好的性能 ， 也意味著可以減少繁瑣的擁塞 管理工作。 第二層意味著可以支持域網(wǎng)絡(luò)協(xié)議無關(guān)的鏈路服務(wù)，用戶可以是 IP 網(wǎng)絡(luò)、 IPX 網(wǎng)絡(luò)或 WINDOWS NT 網(wǎng)絡(luò)，用戶不需要改變他們已有的網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)地址。第三層意味著可以支持以 IP 為主要協(xié)議的網(wǎng)絡(luò)應(yīng)用，尤其是需要與其他地域互連時(shí)，由于網(wǎng)絡(luò)鏈路的復(fù)雜性和多樣性，要進(jìn)行網(wǎng)絡(luò)互連，必須采用高層網(wǎng)絡(luò)協(xié)議。 第二層服務(wù)可以為網(wǎng)絡(luò)的單個(gè)區(qū)域服務(wù)。第三層則可以為整個(gè)網(wǎng)絡(luò)連接時(shí)提供服務(wù)。 (2) 完善的接入安全性 由于每個(gè)設(shè)備都可以支持第二層 或第三層交換，因此可以提供第二層或第三層的安全控制能力。 第二層安全控制能力可以提供端口地址過濾、端口地址鎖定等功能。端口地址過濾允許交換機(jī)根據(jù)預(yù)先設(shè)定的過濾規(guī)則，允許或禁止某些第二層數(shù)據(jù)包進(jìn)出交換機(jī)，也就是對上網(wǎng)用戶的網(wǎng)卡 MAC 地址進(jìn)行檢查后才能上網(wǎng)，不符合規(guī)則的用戶將被拒絕上網(wǎng)。第三層安全控制能力可以提供訪問控制列表能力，允許交換機(jī)根據(jù)預(yù)先設(shè)定的規(guī)則，允許或者禁止某些第三層數(shù)據(jù) (IP 或 IPX 包 )進(jìn)出交換機(jī)。 (3) 良好的網(wǎng)絡(luò)隔離能力 網(wǎng)絡(luò)較關(guān)心的問題是網(wǎng)絡(luò)的安全性問題，他們不希