【文章內(nèi)容簡介】 ccess Rate）功能 每個端口支持 8 個輸出隊列 支持端口隊列調(diào)度 支持報文的 和 DSCP 優(yōu)先級重新標記 組播管理 ：支持 IGMP Snooping/MLD Snooping 支持組播 VLAN 支持未知組播丟棄 網(wǎng)絡管理：支持 XModem/FTP/TFTP 加載升級 支持命令行接口（ CLI）， Tel， Console 口進行配置 支持 SNMPv1/v2/v3， WEB 網(wǎng)管 支持 RMON（ Remote Monitoring）告警、事件、歷史記錄 支持 iMC 智能管理中心 支持系統(tǒng)日志，分級告警，調(diào)試信息輸出 支持 HGMPv2 支持 NTP 支持電源的告警功能，風扇、溫度告警 支持 Ping、 Tracert 支持 VCT（ Virtual Cable Test）電纜檢測功能 支持 DLDP（ Device Link Detection Protocol）單向鏈路檢測協(xié)議 支持 Loopbackdetection 端口環(huán)回檢測 糾錯 安全管理：支持用戶分級管理和口令保護 支持 認證 /集中式 MAC 地址認證 支持 Guest VLAN 支持 RADIUS 認證 支持 SSH 支持端口隔離 支持端口安全 支持 EAD ? H3C S5024FSI：表 34 表 34 H3C S5024FSI 參數(shù)表 主要參數(shù) 產(chǎn)品類型：千兆以太網(wǎng)交換 機 應用層級：三層 傳輸速率： 10/100/1000Mbps 交換方式：存儲 轉(zhuǎn)發(fā) MAC 地址表： 8K 端口參數(shù) 端口結(jié)構(gòu)：非模塊化 端口數(shù)量： 24 個 端口描述： 8 個 10/100/1000BASET 自適應以太網(wǎng)端口， 16個獨立 100Mbps/1000Mbps SFP 光口 控制端口： 1 個 Console 端口 功能特性 網(wǎng)絡標準： IEEE ， IEEE ， IEEE ， IEEE ， ANSI/IEEE NWay， IEEE VLAN：最多支持 512 個符合 IEEE 標準的 VLAN 最多支持 24 個基于端口的 VLAN（ Portbased VLAN） QOS：支持 、 DSCP 優(yōu)先級 支持每端口 4 個優(yōu)先級隊列 支持 WRR、 HQWRR 隊列調(diào)度 組播管理：支持 IGMP Snooping 最多支持 256 個組播組 網(wǎng)絡管理：支持 Web 網(wǎng)管 支持通過 Console 口進行管理 支持 Tel 遠程管理 支持 DHCPclient 支持 SNMP v2c，支持 RMON 支持 H3C iMC 智能網(wǎng)管系統(tǒng) 安全管理：支持管理 VLAN 支持兩級用戶管理，支持高級用戶密碼保護 支持黑洞地址 支持防 MAC 地址泛濫攻擊 支持基于端口及基于 MAC 的 支持端口隔離 支持 AAA，支持 Radius 認證 超市辦公網(wǎng)絡方案規(guī)劃 IP 地址規(guī)劃 隨著這些年網(wǎng)絡的發(fā)展，越來越多的企業(yè)都組建了內(nèi)部局域網(wǎng)，來實現(xiàn)自動化無紙辦公等高效率、低成本的運營和管理。很多新成立的中小企業(yè)以及一些以前沒有組網(wǎng)的老企業(yè)，現(xiàn)在也都紛紛組建企業(yè)局域網(wǎng)，企業(yè)中 “ 無網(wǎng)不利 ” 已經(jīng)成為大勢所趨。但是這些企業(yè)由于原來并沒有網(wǎng)絡管理和規(guī)劃的經(jīng)驗 ，很多新上任的網(wǎng)管對 IP 地址的規(guī)劃管理不夠重視，以在以后需要擴展網(wǎng)絡或增加服務時造成很多不便，而且隨著時間的推移，沒有結(jié)構(gòu)化的編制對日常的維護管理也會逐漸增加難度。合理的地址分配有幾個基本規(guī)則： 規(guī)則 一 ：體系化編址 。 體系化其實就是結(jié)構(gòu)化、組織化，根據(jù)企業(yè)的具體需求和組織結(jié)構(gòu)為原則對整個網(wǎng)絡地址進行有條理的規(guī)劃。一般這個規(guī)劃的過程是由大局、整體著眼，然后逐級由大到小分割、劃分的。這其實跟實際的物理地址分配原則是一樣的，肯定是先劃分省市、再細分割出縣區(qū)、再細分出道路、再來是街巷，最后是門牌。從網(wǎng)絡總體來說，體 系化編制由于相鄰或者具有相同服務性質(zhì)的主機或辦公群落都在 IP 地址上也是連續(xù)的，這樣在各個區(qū)塊的邊界路由設備上便于進行有效的路由匯總，使整個網(wǎng)絡的結(jié)構(gòu)清晰，路由信息明確，也能減小路由器中的路由表。而每個區(qū)域的地址與其他的區(qū)域地址相對獨立， 也便于獨立的靈活管理。 規(guī)則二：可持續(xù)擴展性 。 其實就是在初期規(guī)劃時為將來的網(wǎng)絡拓展考慮，眼光要放得長遠一些，在將來很可能增大規(guī)模的區(qū)塊中要留出較大的余地。 IP 地址最開始是按有類劃分的， A、 B、 C 各類標準網(wǎng)段都只能嚴格按照規(guī)定使用地址。但現(xiàn)在發(fā)展到了無類階段，由于可以自由 規(guī)劃子網(wǎng)的大小和實際的主機數(shù)，所以使得地址資源分配的更加合理，無形中就增大了網(wǎng)絡的可拓展性。雖然在網(wǎng)絡初期的一段可能很長的時間里，未合理考慮余量的 IP 地址規(guī)劃也能滿足需要，但是當一個局部區(qū)域出現(xiàn)高增長，或者整體的網(wǎng)絡規(guī)模不斷增大，這時不合理的規(guī)劃很可能必須重新部署局部甚至整體的 IP 地址，這在一個中、大型網(wǎng)絡中就絕不是一個輕松的工作了。 規(guī)則三：按需分配公網(wǎng) IP。 相對于私有 IP 而言，公網(wǎng) IP 是不能由自己完全做主要求的，而是 ISP等機構(gòu)統(tǒng)一分配和租用的。這就造成了公網(wǎng) IP 要稀缺的多，所以對公網(wǎng) IP必須按 實際需求來分配。如：對外提供服務的服務器群組區(qū)域，不僅要夠用，還得預留出余量；而員工部門等僅需要瀏覽 Inter 等基本需求的區(qū)域，可以通過 NAT（網(wǎng)絡地址轉(zhuǎn)換）來多個節(jié)點共享一個或幾個公網(wǎng) IP；最后，那些只對內(nèi)部提供服務，或只限于內(nèi)部通訊的主機自然不用分配公網(wǎng) IP 了。公網(wǎng)IP 具體的分配，必須根據(jù)實際的需求，進行合理的規(guī)劃。 遵循以上的規(guī)則本此設計將 IP 做如下的劃分： 表 35 表 35 公司 IP 地址規(guī)劃 部門名稱 所屬 VLAN IP 地址范圍 產(chǎn)品客戶部 10 行政部 20 財務部 30 庫房 40 設計部 50 經(jīng)理辦公室 60 公司服務器 70 與路由器相連的端口 100 設備的管理 VLAN 1000 VLAN 技術(shù)及規(guī)劃 VLAN（虛擬局域網(wǎng)）是對連接到的第二層交換機端口的網(wǎng)絡用戶的邏輯分段，不受網(wǎng)絡用戶的物理位置限制而根據(jù)用戶需求進 行網(wǎng)絡分段。一個VLAN 可以在一個交換機或者跨交換機實現(xiàn)。 VLAN 可以根據(jù)網(wǎng)絡用戶的位置、作用、部門或者根據(jù)網(wǎng)絡用戶所使用的應用程序和協(xié)議來進行分組?；诮粨Q機的虛擬局域網(wǎng)能夠為局域網(wǎng)解決沖突域、廣播域、帶寬問題。傳統(tǒng)的共享介質(zhì)的以太網(wǎng)和交換式的以太網(wǎng)中，所有的用戶在同一個廣播域中，會引起網(wǎng)絡性能的下降，浪費可貴的帶寬；而且對廣播風暴的控制和網(wǎng)絡安全只能在第三層的路由器上實現(xiàn) [1]。 VLAN 相當于 OSI 參考模型的第二層的廣播域，能夠?qū)V播風暴控制在一個 VLAN 內(nèi)部，劃分 VLAN 后，由于廣播域的縮小，網(wǎng)絡中 廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡的性能得到顯著的提高。不同的 VLAN 之間的數(shù)據(jù)傳輸是通過第三層（網(wǎng)絡層）的路由來實現(xiàn)的，因此使用 VLAN 技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡層的交換設備可搭建安全可靠的網(wǎng)絡。網(wǎng)絡管理員通過控制交換機的每一個端口來控制網(wǎng)絡用戶對網(wǎng)絡資源的訪問，同時 VLAN和第三層第四層的交換結(jié)合使用能夠為網(wǎng)絡提供較好的安全措施。 另外， VLAN 具有靈活性和可擴張性等特點，方便于網(wǎng)絡維護和管理，這兩個特點正是現(xiàn)代局域網(wǎng)設計必須實現(xiàn)的兩個基本目標，在局域網(wǎng)中有效利用虛擬局域網(wǎng)技術(shù)能夠提高網(wǎng)絡運行效率。 根據(jù)公司的具體要求，先對公司的 VLAN 進行如下劃分： VLAN10：產(chǎn)品客戶部 VLAN20：行政部 VLAN30：財務部 VLAN40：庫房 VLAN50：設計部 VLAN60： 經(jīng)理辦公室 VLAN70：公司服務器 VLAN100：與路由器相連的端口 VLAN1000：設備的管理 VLAN Trunk 技術(shù)及規(guī)劃 Trunk 是端口匯聚的意思，即通過配置軟件的設置，將兩個或多個物理端口組合在一起成為一條邏輯的路徑，從而增加在交換機和網(wǎng)絡節(jié)點之間的帶寬，將屬于這幾個端口的帶寬合并， 給端口提供一個幾倍于獨立端口的獨享的高帶寬。 Trunk 是一種封裝技術(shù)，它是一條點到點的鏈路，鏈路的兩端可以都是交換機，也可以是交換機和路由器，還可以是主機和核心交換機或路由器。基于端口匯聚 (Trunk)功能，允許交換機與交換機、交換機與路由器、主機與交換機或路由器之間通過兩個或多個端口并行連接和同時傳輸，以提供更高帶寬、更大吞吐量，大幅度提高整個網(wǎng)絡的性能 [2]。 VRRP 技術(shù)及規(guī)劃 在基于 TCP/IP 協(xié)議的網(wǎng)絡中，為了保證不直接物理連接的設備之間的通信，必須指定路由。目前 常用的指定路由的方法有兩種：一種是通過路由協(xié)議（比如：內(nèi)部路由協(xié)議 RIP 和 OSPF）動態(tài)學習；另一種是靜態(tài)配置。在每一個終端都運行動態(tài)路由協(xié)議是不現(xiàn)實的，大多客戶端操作系統(tǒng)平臺都不支持動態(tài)路由協(xié)議，即使支持也受到管理開銷、收斂度、安全性等許多問題的限制。因此普遍采用對終端 IP 設備靜態(tài)路由配置，一般是給終端設備指定一個或者多個默認網(wǎng)關 （ Default Gateway） 。靜態(tài)路由的方法簡化了網(wǎng)絡管理的復雜度和減輕了終端設備的通信開銷，但是它仍然有一個缺點：如果作為默認網(wǎng)關的路由器損壞，所有使用該網(wǎng)關為下一跳主機 的通信必然要中斷。即便配置了多個默認網(wǎng)關，如不重新啟動終端設備，也不能切換到新的網(wǎng)關。采用虛擬路由冗余協(xié)議 （ Virtual Router Redundancy Protocol， 簡稱 VRRP） 可以很好的避免靜態(tài)指定網(wǎng)關的缺陷 [3]。 在 VRRP 協(xié)議中，有兩組重要的概念： VRRP 路由器和虛擬路由器，主控路由器和備份路由器。 VRRP 路由器是指運行 VRRP 的路由器，是物理實體，虛擬路由器是指 VRRP 協(xié)議創(chuàng)建的，是邏輯概念。一組 VRRP 路由器協(xié)同工作，共同構(gòu)成一臺虛擬路由器。該虛擬路由器對外表現(xiàn)為一個具有唯一固定 IP 地址和 MAC 地址的邏輯路由器。處于同一個 VRRP 組中的路由器具 有兩種互斥的角色：主控路由器和備份路由器，一個 VRRP 組中有且只有一臺處于主控角色的路由器，可以有一個或者多個處于備份角色的路由器。VRRP 協(xié)議使用選擇策略從路由器組中選出一臺作為主控，負責 ARP 相應和轉(zhuǎn)發(fā) IP 數(shù)據(jù)包，組中的其它路由器作為備份的角色處于待命狀態(tài)。當由于某種原因主控路由器發(fā)生故障時，備份路由器能在幾秒鐘的時延后升級為主路由器。由于此切換非常迅速而且不用改變 IP 地址和 MAC 地址，故對終端使用者系統(tǒng)是透明的。 一個 VRRP 路由器有唯一的標識： VRID，范圍為 0— 255。該路由器對外表現(xiàn)為唯一的虛擬 MAC 地址，地址的格式為 00005E0001[VRID]。主控路由器負責對 ARP 請求用該 MAC 地址做應答。這樣，無論如何切換，保證給終端設備的是唯一一致的 IP 和 MAC 地址，減少了切換對終端設備的影響。 VRRP 控制報文只有一種： VRRP 通告 (advertisement)。它使用 IP 多播數(shù)據(jù)包進行封裝，組地址為 ，發(fā)布范圍只限于同一局域網(wǎng)內(nèi)。這保證了 VRID 在不同網(wǎng)絡中可以重復使用。為了減少網(wǎng)絡帶寬 消耗只有主控路由器才可以周期性的發(fā)送 VRRP 通告報文。備份路由器在連續(xù)三個通告間隔內(nèi)收不到 VRRP 或收到優(yōu)先級為 0 的通告后啟動新的一輪 VRRP 選舉 [4]。 在 VRRP 路由器組中，按優(yōu)先級選舉主控路由器， VRRP 協(xié)議中優(yōu)先級范圍是 0— 255。若 VRRP 路由器的 IP 地址和虛擬路由器的接口 IP 地址相同，則稱該虛擬路由器作 VRRP 組中的 IP 地址所有者； IP 地址所有者自動具有最高優(yōu)先級： 255。優(yōu)先級 0 一般用在 IP 地址所有者主動放棄主控者角色時使用。可配置的優(yōu)先級范圍為 1— 254。優(yōu)先級的配置原則可以依據(jù)鏈路的 速度和成本、路由器性能和可靠性以及其它管理策略設定。主控路由器的選舉中，高優(yōu)先級的虛擬路由器獲勝，因此，如果在 VRRP 組中有 IP 地址所有者，則它總是作為主控路由的角色出現(xiàn)。對于相同優(yōu)先級的候選路由器，按照 IP 地址大小順序選舉。 VRRP 還提供了優(yōu)先級搶占策略，如果配置了該策略，高優(yōu)先級的備份路由器便會剝奪當前低優(yōu)先級的主控路由器而成為新的主控路由器。 為了保證 VRRP 協(xié)議的安全性，提供了兩種安全認證措施：明文認證和IP 頭認證。明文認證方式要求：在加入一個 VRRP 路由器組時，必須同時提供相同的 VRID 和明 文密碼。適合于避免在局域網(wǎng)內(nèi)的配置錯誤，但不能防止通過網(wǎng)絡監(jiān)聽方式獲得密碼。 IP 頭認證的方式提供了更高的安全性，能夠 防止報文重放和修改等攻擊。 靜態(tài)路由技術(shù)及規(guī)劃 靜態(tài)路由一般是由管理員手工設置的路由，而動態(tài)路由則是路由器中的動態(tài)路由協(xié)議根據(jù)網(wǎng)絡拓撲情況和特定的要求自動生成的路由條目。 什么