【文章內(nèi)容簡介】 采用 千 兆核心及核心設(shè)備的冗余，主要骨干鏈路采用 千 兆鏈 路， 百兆 到桌面。 (2) 煙草專賣局 局域網(wǎng)應將不同部門劃分到不同的 VLAN中進行隔離，以保證網(wǎng)絡安全。 (3) 應保證網(wǎng)絡能夠滿足各種業(yè)務的需要，如： 財務 信息系統(tǒng)、 日常工作安排 系統(tǒng) 、工作人員信息管理系統(tǒng) 等。 (4) 隨著技術(shù)的發(fā)展和業(yè)務的增長，可以通過更換或增加模塊，使網(wǎng)絡升級，網(wǎng)絡規(guī)模和容量可以平滑增長。 (5) 要求整個網(wǎng)絡具有高可靠性的總體設(shè)計，采用的技術(shù)是相對成熟的技術(shù)；所選用的設(shè)備具有高可靠性； 采用具有高安全級別的系統(tǒng)軟件；可以實現(xiàn)網(wǎng)絡自愈。 (6) 系統(tǒng)的性能指標能夠完全滿足網(wǎng)絡內(nèi)各項業(yè)務對處理能力的要求，且便于維護與管理。 (7) 網(wǎng)絡和主機應支持符合國際和業(yè)界標準的相關(guān)結(jié)構(gòu)，能夠與相關(guān)系統(tǒng)和網(wǎng)絡可靠互聯(lián)；系統(tǒng)軟硬件平臺應具有良好的移植能力；應選擇廣泛應用的標準協(xié)議，支持局域網(wǎng)內(nèi)部的其它協(xié)議。 技術(shù)選擇分析 7 3 技術(shù)選擇分析 VLAN 技術(shù) VLAN(虛擬局域網(wǎng) )是對連接到的第二層交換機端口的網(wǎng)絡用戶的邏輯分段，不受網(wǎng)絡用戶的物理位置限制而根據(jù)用戶需求進行網(wǎng)絡分段。一個 VLAN可以在一個交換機或者跨 交換機實現(xiàn)。 VLAN可以根據(jù)網(wǎng)絡用戶的位置、作用、部門或者根據(jù)網(wǎng)絡用戶所使用的 應用程序 和協(xié)議來進行分組?；诮粨Q機的虛擬局域網(wǎng)能夠為局域網(wǎng)解決沖突域、廣播域、帶寬問題。 傳統(tǒng)的共享介質(zhì)的以太網(wǎng)和交換式的以太網(wǎng)中，所有的用戶在同一個廣播域中，會引起網(wǎng)絡性能的下降，浪費可貴的帶寬 ， 而且對 廣播風暴 的控制和網(wǎng)絡安全只能在第三層的路由器上實現(xiàn) [5]。 VLAN相當于 OSI參考模型的第二層的廣播域，能夠?qū)V播風暴控制在一個 VLAN內(nèi)部，劃分 VLAN后，由于廣播域的縮小，網(wǎng)絡中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡的性能得到顯著的提高。不同的 VLAN之間的數(shù)據(jù)傳輸是通過第三層 (網(wǎng)絡層 )的路由來實現(xiàn)的，因此使用 VLAN技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡層的交換設(shè)備可搭建安全可靠的網(wǎng)絡。網(wǎng)絡管理員通過控制交換機的每一個端口來控制網(wǎng)絡用戶對網(wǎng)絡資源的訪問，同時 VLAN和第三 層第四層的交換結(jié)合使用能夠為網(wǎng)絡提供較好的安全措施。 另外， VLAN具有靈活性和可擴張性等特點，方便于網(wǎng)絡維護和管理，這兩個特點正是現(xiàn)代局域網(wǎng)設(shè)計必須實現(xiàn)的兩個基本目標，在局域網(wǎng)中有效利用虛擬局域網(wǎng)技術(shù)能夠提高網(wǎng)絡運行效率。 OSPF 協(xié)議 OSPF 是開放最短路徑優(yōu)先協(xié)議，是一種常用的動態(tài)路由協(xié)議，區(qū)別于距離矢量協(xié)議 (RIP)，在目前應用的路由協(xié)議中占有相當重要的地位，主要用在路由器或路由交換機之間發(fā)布路由信息 [6]。 MSTP 生成樹協(xié)議 多生成樹 (MST)使用修正的快速生成樹 (RSTP)協(xié)議 ，叫做多生成樹協(xié)議 (MSTP)。 MSTP將環(huán)路網(wǎng)絡修剪成為一個無環(huán)的樹型網(wǎng)絡，避免報文在環(huán)路網(wǎng)絡中的增生和無限循環(huán)，同時還提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個冗余路徑，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實現(xiàn) VLAN數(shù)據(jù)的負載均衡。 MSTP兼容 STP和 RSTP，并且可以彌補 STP和 RSTP的缺陷。它既可以快速收斂，技術(shù)選擇分析 8 也能使不同 VLAN的流量沿各自的路徑分發(fā)，從而為冗余鏈路提供了更好的負載分擔機制 [7]。 MSTP使用靈活，適用于任意復雜組網(wǎng)，配置相對也比較簡單，最簡單的情況下只需要將 MSTP協(xié)議開啟即可，還可以通過設(shè)置橋優(yōu)先級、域信息以及端口路 徑開銷來選擇任意 VLAN的任意一條通路來實現(xiàn)流量轉(zhuǎn)發(fā)。 ACL 訪問列表 控制 訪問控制是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和訪問。它是保證網(wǎng)絡安全最重要的核心策略之一。訪問控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡權(quán)限控制、目錄級控制以及屬性控制等多種手段。 訪問控制列表 (ACL)是應用在 路由器 接口的指令列表。這些指令列表用來告訴路由器 哪能些數(shù)據(jù)包可以收、哪能數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地址、目的地址、端口號等的特定指示條件來決定。 訪問控制列表不但可以起到控制網(wǎng)絡流量、流向的作用，而且在很大程度上起到保護網(wǎng)絡設(shè)備、服務器的關(guān)鍵作用。作為外網(wǎng)進入 南陽市煙草專賣局 內(nèi)網(wǎng)的第一道關(guān)卡，路由器上的訪問控制列表成為保護內(nèi)網(wǎng)安全的有效手段。 VRRP 協(xié)議 虛擬路由器冗余協(xié)議 (VRRP)是一種選擇協(xié)議，它可以把一個虛擬路由器的責任動態(tài)分配到局域網(wǎng)上的 VRRP 路由器中的一臺?？刂铺摂M路由器 IP 地址的 VRRP 路由器稱為 主路由器，它負責轉(zhuǎn)發(fā)數(shù)據(jù)包到這些虛擬 IP 地址。一旦主路由器不可用，這種選擇過程就提供了動態(tài)的故障轉(zhuǎn)移機制，這就允許虛擬路由器的 IP 地址可以作為終端主機的默認第一跳路由器。使用 VRRP 的好處是有更高的默認路徑的可用性而無需在每個終端主機上配置動態(tài)路由或路由發(fā)現(xiàn)協(xié)議 ， VRRP 包封裝在 IP 包中發(fā)送。 VRRP 協(xié)議主要用在 2 臺核心交換機上，本次方案中核心交換機選型為路由交換機，具備路由器的功能，通過運行 VRRP 協(xié)議可以防止單點故障的發(fā)生，即使其中一臺交換機出現(xiàn)故障，也不會對 煙草專賣局 業(yè)務造成很大的影響，最大化的保護 了網(wǎng)絡的正常運行。 FIREWALL 防火墻技術(shù) 防火墻指的是一個由軟件和硬件設(shè)備組合而成、在 內(nèi)部網(wǎng) 和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障 ,是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結(jié)合，使 Inter與 內(nèi)部網(wǎng) 之間建立起一個安全網(wǎng)關(guān)，從而保護技術(shù)選擇分析 9 內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務訪問規(guī)則、驗證工具、 包過濾 和應用網(wǎng)關(guān) 4個 部分 組成，防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件或硬件。該計算機流入流出的所有 網(wǎng)絡通信 和數(shù)據(jù)包均要經(jīng)過此防火墻 [8]。 在網(wǎng)絡中，所謂 “ 防火墻 ” ，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種 訪問控制 尺度，它能允許你 “ 同意 ” 的人和數(shù)據(jù)進入你的網(wǎng)絡，同時將你 “ 不同意 ” 的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的 黑 客 來訪問你的網(wǎng)絡。換句話說，如果不通過防火墻， 專賣局 內(nèi)部的人就無法訪問 Inter， Inter上的人也無法和 專賣局 內(nèi)部的人進行通信。南陽市煙草專賣局網(wǎng)絡設(shè)計方案 10 4 南陽市煙草專賣局 網(wǎng)絡設(shè)計方案 網(wǎng)絡總體拓撲圖 南陽市煙草專賣局 網(wǎng)絡拓撲圖如 圖 41所示。 圖 41 南陽市煙草專賣局 網(wǎng)絡 結(jié)構(gòu)拓撲 圖 在 南陽市煙草專賣局 的網(wǎng)絡的建設(shè)中， 主要分為兩個辦公區(qū)域，分別為辦公樓 1辦公區(qū)和辦公樓 2辦公區(qū)，辦公樓 1辦公區(qū)是一些重要的辦公室所在的區(qū)域，如財務科，機關(guān)黨委處等，這些辦公室是不允許辦公樓 2區(qū) 域的辦公室的未經(jīng)許可訪問，而這兩個辦公樓區(qū)域?qū)ν饩W(wǎng)和服務器的連接 是 不受限制的 [9]。 核心層交換設(shè)計 核心層的主要目的是盡可能快地交換數(shù)據(jù)。在 整個網(wǎng)絡區(qū)域 中，匯聚層和核心層在某些地方會合二為一。當匯聚層上有兩個或更多子網(wǎng)時，就需要設(shè)計核心層來連接這些子網(wǎng)。核心層負責傳輸穿過 網(wǎng)絡區(qū)域 的數(shù)據(jù)流，核心層所處理的數(shù)據(jù)流比其它層次要大很多，應當能盡可能快地傳輸數(shù)據(jù)流 [10]。核心層主要提供以下功能： (1)連接各交換區(qū)段 。 (2)盡可能快地交換數(shù)據(jù)幀或數(shù)據(jù)包 。 南陽市煙草專賣局網(wǎng)絡設(shè)計方案 11 同時， 本方案 要求今后的網(wǎng)絡均按 百 兆到桌面的要 求設(shè)計的，所以在實際運行的網(wǎng)絡流量由于網(wǎng)絡應用類型、網(wǎng)絡結(jié)構(gòu)、主干鏈路速率、網(wǎng)絡投資等多種因素將遠不能達到這種情況下計算出來的數(shù)值，但在工程上，以上估算數(shù)值可作為網(wǎng)絡主干或中心的交換容量的參考指標。 匯聚層網(wǎng)絡設(shè)計 匯聚層位于接入層和核心層之間，匯聚層是接入層和核心層之間的分界點和通信點。這一層進行一些復雜的、消耗系統(tǒng)資源較大的數(shù)據(jù)包操作。接入層設(shè)備匯接到一臺或者多臺匯聚層設(shè)備上。匯聚層設(shè)備在接入層交換機之間提供第二層連接，同時提供第三層功能，支持路由選擇和網(wǎng)絡層服務。如果需要的話，在匯聚層還可 以定義以怎樣的方式對核心層進行訪問 [11]。匯聚層必須決定用最快的方式來處理網(wǎng)絡服務請求。 匯聚層實現(xiàn)的主要功能包括 ： (1)VLAN聚合及 VLAN間路由 。 (2)定義廣播域和組播域 。 (3)訪問列表、包過濾和排序、 IP和 MAC的綁定。 接入層交換設(shè)計 接入層是三層模型中的最下面一層，也是和用戶距離最近第一層。接入層控制用戶和工作組對互聯(lián)網(wǎng)資源的訪問。接入層有時也稱桌面層，大多數(shù)用戶需要的資源將在本地獲得，其余的遠程訪問數(shù)據(jù)流將由匯聚層處理?？梢栽谶@一層通過過濾或訪問控制列表提供對用戶流量的進一 步控制 [12]。接入層主要實現(xiàn)的功能包括 ： (1)提供到用戶的接口 。 (2)提供數(shù)據(jù)鏈路層服務 。 (3)隔離沖突域 (即 VLAN的劃分 )。 (4)訪問控制 。 由于到用戶需要較多的物理接口所以接入層主要由接入交換機實現(xiàn)。在交換機上進行簡單的配置即可完成接入層的功能。 子網(wǎng)、 IP 地址及 VLAN 規(guī)劃 子網(wǎng)規(guī)劃 根據(jù)第二章 的需求分析， 由于 南陽市煙草專賣局 根據(jù)辦公樓分布和辦公室職能 不同 ，將整個煙草專賣局劃分為 2 個子網(wǎng) [13]。 南陽市煙草專賣局網(wǎng)絡設(shè)計方案 12 (1)辦公樓 1 職能 辦公區(qū)域子網(wǎng) ：主要是辦公樓 1 內(nèi)的 重要 職能辦公室 的接入。 (2)辦公樓 2 專業(yè) 部門 辦公區(qū)域子網(wǎng) ：主要是辦公樓 2 內(nèi)的專業(yè)部門辦公室和倉庫的接入。 IP 地址 及 VLAN 劃分 職能辦公室主要位于辦公樓 1中，辦公樓 1共有 91個內(nèi)網(wǎng)信息點， 每一個層樓分配一個交換機 ， 每一個辦公室劃分為一個 VLAN，每一個樓層上的 VLAN劃分到該樓層對應的交換機上， 而由于辦公樓 1的接待處的 PC較少，可將一樓的辦公室連接到二樓的交換機，一樓可不 分配 交換機，為南陽市煙草專賣局節(jié)省一個交換機 設(shè)備 [14]。 辦公樓 1的 IP及 VLAN劃分如表 41所示。 表 41 辦公樓 1IP地址 及 VLAN劃分 辦公部門 分配的 IP地址 所屬 VLAN 所屬交換機 接待區(qū) 機關(guān)黨委 辦公室 財務管理處 審計處 辦公室 綜合計劃處 專賣監(jiān)督管理處 政策法規(guī)與體制改革處 科技處 辦公室 人事勞資處 監(jiān)察處 卷煙銷售管理處 辦公室 宣傳部 檔案室 思想政治工作處 專業(yè)部門辦公室主要位于辦公樓 2中，辦公樓 2共有 88個內(nèi)網(wǎng)信息點，每一個層樓分配一個交換機，每一個辦公部門劃分為一個 VLAN，每一個樓層上的 VLAN劃分到該樓層對應的交換機上。 辦公樓 2的 IP及 VLAN劃分如表 42所示。 表 42 辦公樓 2IP地址 及 VLAN劃分 辦公部門 分配的 IP地址 所屬 VLAN 所屬交換機 安全保衛(wèi)處 機關(guān)服務中心 煙草質(zhì)量監(jiān)督檢測站 倉庫 會議室 離退休人員管理辦公室 物流管理處 職業(yè)技能鑒定站 南陽市煙草專賣局網(wǎng)絡設(shè)計方案 13 續(xù)表 42 辦公部門 分配的 IP地址 所屬 VLAN 所屬交換機 煙草公司機關(guān)工會 煙草學會 教育培新中心 服務器 IP 地址及 VLAN 劃分如表 43 所示。 表 43 服務器 IP地址及 VLAN劃分 辦公部門 分配的 IP地址 所屬 VLAN 服務器 方案設(shè)計特點 (1) 具備三層功能的交換網(wǎng)絡結(jié)構(gòu) 所有產(chǎn)品都支持第二層或第三層 (或基本 IP 交換 )功能。不僅可以進行 VLAN 的劃分，還可以進行高速的路由轉(zhuǎn)發(fā) [15]。 VLAN 可以根據(jù)端口、子網(wǎng)和網(wǎng)絡協(xié)議進行劃分。支持各種常用的網(wǎng)絡協(xié)議和路由協(xié)議。 由于每個設(shè)備都支持無阻塞的第二層 或第三層交換，在交換結(jié)構(gòu)中，可以達到非常好的性能 ， 也意味著可以減少繁瑣的擁塞 管理工作。 第二層意味著可以支持域網(wǎng)絡協(xié)議無關(guān)的鏈路服務，用戶可以是 IP 網(wǎng)絡、 IPX 網(wǎng)絡或 WINDOWS NT 網(wǎng)絡，用戶不需要改變他們已有的網(wǎng)絡協(xié)議和網(wǎng)絡地址。第三層意味著可以支持以 IP 為主要協(xié)議的網(wǎng)絡應用，尤其是需要與其他地域互連時，由于網(wǎng)絡鏈路的復雜性和多樣性，要進行網(wǎng)絡互連，必須采用高層網(wǎng)絡協(xié)議。 第二層服務可以為網(wǎng)絡的單個區(qū)域服務。第三層則可以為整個網(wǎng)絡連接時提供服務。 (2) 完善的接入安全性 由于每個設(shè)備都可以支持第二層 或第三層交換，因此可以提供第二層或第三層的安全控制能力。 第二層安全控制能力可以提供端口地址過濾、端口地址鎖定等功能。端口地址過濾允許交換機根據(jù)預先設(shè)定的過濾規(guī)則，允許或禁止某些第二層數(shù)據(jù)包進出交換機，也就是對上網(wǎng)用戶的網(wǎng)卡 MAC 地址進行檢查后才能上網(wǎng)，不符合規(guī)則的用戶將被拒絕上網(wǎng)。第三層安全控制能力可以提供訪問控制列表能力，允許交換機根據(jù)預先設(shè)定的規(guī)則，允許或者禁止某些第三層數(shù)據(jù) (IP 或 IPX 包 )進出交換機。 (3) 良好的網(wǎng)絡隔離能力 網(wǎng)絡較關(guān)心的問題是網(wǎng)絡的安全性問題，他們不希