【文章內(nèi)容簡介】 建筑接入層匯聚了終端用戶，并為終端用戶提供與分布層相連的上行鏈路。那么接入層應(yīng)該擁有以下優(yōu)勢： （ 1）高可用性 可以選擇合適的交換機(jī)型號，來為用戶提供系統(tǒng)級的冗余，如提供冗余的supervisor 引擎、冗余電源甚至是提供冗余鏈路 。 （ 2）網(wǎng)絡(luò)融合 部署在接入層的交換機(jī)可以為 IP 電話和無線接入點(diǎn)提供在線以太網(wǎng)（ PoE）技 13 術(shù)，這使客戶能夠?qū)⒄Z音數(shù)據(jù)融合到數(shù)據(jù)網(wǎng)絡(luò)中，并為用戶提供漫游 WAN 接入功能。 （ 3）安全性 部署在接入層的交換機(jī)可以提供一些安全功能，主要是通過對交換機(jī)的一些配置，如端口安全、 DHCP 欺騙、動(dòng)態(tài) ARP 監(jiān)控和 IP 源防護(hù)來防止未經(jīng)授權(quán)的用戶對網(wǎng)絡(luò)進(jìn)行訪問。 （ 4）技術(shù)方案 接入層交換機(jī)具有低成本和高端口密度特性。接入交換機(jī)是最常見的交換機(jī)，它直接與外網(wǎng)聯(lián)系，使用最廣泛，尤其是在一般辦公室、小型機(jī)房和業(yè)務(wù)受理較為集中的業(yè)務(wù)部門、多媒體制作中心、網(wǎng)站管理中心等部門 在接入層交換機(jī)到分布層交換機(jī)之間，可以設(shè)計(jì)成全 互聯(lián)。同時(shí)在必要時(shí)，可以選擇以太網(wǎng)通道技術(shù)（ etherchannel）對雙鏈路進(jìn)行捆綁，不但能夠增加雙倍帶寬，而且還能提供冗余性。可以對交換機(jī)配置其端口安全，阻止其他人員的隨意接入。另外，考慮到接入層客戶眾多，應(yīng)考慮交換機(jī)間的堆疊；啟用 STP 避免二層環(huán)路 在這里接入層我們選擇 Cisco Catalyst 3560 系列的交換機(jī)，它具有低成本，卻能夠支持非常多的叫交換機(jī)特性，其中包括 QoS、安全、 IP 路由選擇和訪問控制等。同時(shí)這些交換機(jī)具有固定端口配置，可用的端口類型有 10/100BASTT 快速以太網(wǎng)（ 48） 、 10/100/1000BASTT（ 28）吉比特以太網(wǎng)、光纖接口吉比特以太網(wǎng)。 分布層 分布層網(wǎng)絡(luò)主要完成企業(yè)網(wǎng)絡(luò)接入層數(shù)據(jù)流的匯聚、交換以及 VLAN 中繼。部署分布層需要考慮的問題主要是網(wǎng)絡(luò)的可用性、快速路徑恢復(fù) 負(fù)載分擔(dān)和 QOS。 （ 1）分布層特點(diǎn)： ① 匯集接入層交換機(jī) ② 為簡化起見而分隔接入層 ③ 匯總?cè)ネ尤雽拥穆酚? ④ 總是兩條鏈路來連接上游核心路由器 （ 2） 技術(shù)方案 從分布層到核心層采用千兆端口進(jìn)行鏈路的全互聯(lián)，同時(shí)還應(yīng)該能夠提供百兆、 14 千兆的光 /電端口。分布 層為接入層提供基于策略的連接 ,如地址 合并 ,協(xié)議過濾 ,路由服務(wù) ,認(rèn)證管理等 .通過網(wǎng)段劃分 (如 VLAN)與網(wǎng)絡(luò)隔離可以防止某些網(wǎng)段的問題蔓延和影響到核心層 .分布 層同時(shí)也可以提供接入層虛擬網(wǎng)之間的互連 ,控制和限制接入層對核心層的訪問 ,保證核心層的安全和穩(wěn)定 ；啟用 STP生成樹協(xié)議；配置 ACL，進(jìn)一步限制非法數(shù)據(jù)流的流向。 在匯聚層我們選擇 Cisco Catalyst 4900 系列交換機(jī)作為接入層數(shù)據(jù)流量的匯聚。其中的 Cisco Catalyst 494910GE 交換機(jī)提供多達(dá) 48 個(gè) 10/100/1000BASET以太網(wǎng)端口和 2 個(gè)線速 10吉比特以太 網(wǎng)端口。在對核心網(wǎng)的上行鏈路中能夠進(jìn)行更快速的數(shù)據(jù)轉(zhuǎn)發(fā)。 核心層 核心層是園區(qū)網(wǎng)連接的骨干，他是企業(yè)網(wǎng)另外幾層的匯聚點(diǎn)。 核心層的主要目的在于通過高速轉(zhuǎn)發(fā)通信，提供優(yōu)化，可靠的骨干傳輸結(jié)構(gòu)，因此核心層交換機(jī)應(yīng)擁有更高的可靠性，性能和吞吐量。 核心層必須提供高級的冗余特性并且能夠更快的適應(yīng)變化。核心層設(shè)備是最可靠的設(shè)備，它們可以在網(wǎng)絡(luò)中出現(xiàn)故障時(shí)重新路由流量，也可以對網(wǎng)絡(luò)拓?fù)涞淖兓龀隹焖俜磻?yīng)。核心層設(shè)備必須能夠?qū)嵤┛蓴U(kuò)展的協(xié)議和技術(shù)，可替代的路徑以及負(fù)載分擔(dān)特性。在未來有必要對網(wǎng)絡(luò)擴(kuò)展時(shí)，核心層有助 于管理員擴(kuò)展網(wǎng)絡(luò)。 （ 1）技術(shù)方案 核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者 。因此，在設(shè)計(jì)上 重點(diǎn)通常是冗余能力、可靠性和高速的傳輸 。 在這里選擇三套核心層交換機(jī)，用萬兆線路對三臺企業(yè)網(wǎng)骨干核心層設(shè)備進(jìn)行環(huán)行雙向備份，可以使用以太網(wǎng)通道技術(shù)進(jìn)行捆綁，增加帶寬，提供冗余；兩臺設(shè)備同時(shí)接入到 router，啟用 GLBP，實(shí)現(xiàn)虛擬網(wǎng)關(guān)的冗余，還能進(jìn)行流量的負(fù)載；使用 QOS 機(jī)制，根據(jù)需要為不同的數(shù)據(jù)流分配不同的優(yōu)先級；同時(shí)啟用 IP 路由協(xié)議，如 OSPF、 EIGRP 等，進(jìn)行路由學(xué)習(xí) 。 在核心層，我們選擇使用 Cisco Catalyst 6500 系列的交換機(jī)。 6500 平臺使用模塊化的機(jī)箱，能夠利用線路模塊。端口類型包括有 10/100/1000BASET 以太網(wǎng)、 15 吉比特以太網(wǎng)和 10吉比特以太網(wǎng)類型。根據(jù) supervisior engine 和線路卡型號的不同，第 2 層和第 4 層的數(shù)據(jù)包和幀的交換速率可達(dá)每秒數(shù)億數(shù)據(jù)包，可完全承擔(dān)起核心層的數(shù)據(jù)轉(zhuǎn)發(fā)工作。密集的 T1/E1 和 FXS（外部交換站） VoIP 網(wǎng)關(guān)接口，可用于 PSTN 接入和傳統(tǒng)的電話、傳真和 PBX（專用分支交換）連接。 服務(wù)器群設(shè)計(jì) 在這里我們把服務(wù)器綜合到防 火墻的 DMZ 區(qū)域，通過使用萬兆電纜進(jìn)行連接，能夠?yàn)橐院笤鲩L的應(yīng)用服務(wù)提供擴(kuò)展性。同時(shí)在服務(wù)器上可以在應(yīng)用兩塊以上的網(wǎng)卡，進(jìn)行捆綁后，不但可以增加帶寬，還可進(jìn)行鏈路冗余以及負(fù)載均衡。另外，可以使用雙機(jī)雙機(jī)熱備份技術(shù)，來增加服務(wù)器的穩(wěn)定性和高效性：每臺服務(wù)器均至少有兩張網(wǎng)卡，其中使用一個(gè)端口進(jìn)行直連，另外的一個(gè)端口連接到網(wǎng)絡(luò)中，以達(dá)到熱備的目的。 在這里我們使用 Cisco Catalyst 4948G10GE 交換機(jī)作為服務(wù)器群組的接入設(shè)備， Cisco Catalyst 494810GE 基于 Cisco Catalyst 4500 系列公認(rèn)的硬件和軟件架構(gòu)，為高性能服務(wù)器和工作站進(jìn)行低密度的多層匯聚提供卓越的性能、帶寬和可靠性。 4948G 提供 48 個(gè) 10/100/1000 端口和 2 個(gè)萬兆以太網(wǎng)端口 ，完全 能夠滿足服務(wù)器群的帶寬需求，并能夠?yàn)樘峁U(kuò)展性 。 Cisco Catalyst 494810GE 通過名為三重內(nèi)容可尋址內(nèi)存（ TCAM）的專用專業(yè)化資源實(shí)現(xiàn)智能網(wǎng)絡(luò)服務(wù)的高性能和可擴(kuò)展性。足夠的 TCAM 資源（ ）實(shí)現(xiàn)了 “ 高特性容量 ” 提供線速的路由/交換性能并允許并行調(diào)配 QoS和安全性等服務(wù)，從而幫 助確保滿足網(wǎng)絡(luò)現(xiàn)在所需的可擴(kuò)展性要求，并為將來的增長提供了足夠的空間。 語音系統(tǒng)設(shè)計(jì) 在組建融合網(wǎng)絡(luò)時(shí)包含 VoIP 能夠更有效的使用帶寬和設(shè)備，能夠降低電話網(wǎng)絡(luò)傳輸?shù)某杀?，整合語音和數(shù)據(jù)網(wǎng)絡(luò)開銷等。 （ 1）拓?fù)浣Y(jié)構(gòu)如下 16 在骨干網(wǎng)絡(luò)增加一臺 Cisco 3800 系列 的多業(yè)務(wù)路由器，通過以太網(wǎng)線路與 PBX接入。 部署多部 IP電 話機(jī)，并注冊到總部的 VOIP 語音系統(tǒng) 上。 （ 2）企業(yè) 園區(qū)網(wǎng)絡(luò) 在核心層上，部署一臺 Cisco 3800 系列 的多業(yè)務(wù)路由器， Cisco 3800 系列擁有廣泛的話音接口，就可以滿 足各種規(guī)模的分支機(jī)構(gòu)對于話音連接密度的需求，支持多達(dá) 24 條 T1/E1 中繼和 88個(gè)外部交換站（ FXS）端口，用于模擬電話、傳真機(jī)、按鍵系統(tǒng)和會議工作站。支持以太網(wǎng)供電（ PoE）。 核心層上的 6500 系列交換機(jī)上加入 NMBFX/O語音模塊，與企業(yè)網(wǎng)語音 IP系統(tǒng)中的總部連接，這樣達(dá)到園區(qū)內(nèi)外都能通話的功能。 （ 3）分支機(jī)構(gòu) 部署多部 VOIP 話機(jī)，并注冊到總部公司的 Cisco VOIP 語音系統(tǒng) 上。 （ 4）優(yōu)點(diǎn) ① 總公司與分公司之間通話免費(fèi) 。 ② 總部與分公司之間的傳真免費(fèi) 。 ③ 不改變原電話使用習(xí)慣，機(jī)構(gòu)間分機(jī)直撥 。 ④ 可隨時(shí)召開電話會議 。 ⑤ 安裝和維護(hù)簡便，可以很方便地遷移 。 ⑥ 出差員工可通過互聯(lián)網(wǎng)與企業(yè)內(nèi)部免費(fèi)通話 。 17 無線區(qū)域設(shè)計(jì) 在一些特殊的辦公地點(diǎn)，要求辦公地點(diǎn)的每一處地方都提供網(wǎng)絡(luò)的接入，如大堂等。然而固定的信息點(diǎn)模塊接入，會使得員工的辦公地點(diǎn)受到限制，從而無法實(shí)現(xiàn)這樣的一種靈活性。因此，我們需要在這樣有無線接入的場合部署無線網(wǎng)絡(luò)接入。 （ 1） 網(wǎng)絡(luò)拓?fù)? Cisco Airo 1100 系列無線接入設(shè)備是 Cisco 推出的高增益、高性能無線局域網(wǎng)接入器產(chǎn)品 ，提供了一個(gè)價(jià)格低廉、智能化可升級的 無線 LAN 解決方案。它可以提供企業(yè)級的安全性和可管理性。該產(chǎn)品符合 標(biāo)準(zhǔn)，并且采用了一種可以現(xiàn)場升級的設(shè)計(jì)，因而確保了用戶可以在適當(dāng)?shù)臅r(shí)候，平穩(wěn)的升級到新出現(xiàn)的 標(biāo)準(zhǔn)，能夠沿多種方向迅速、方便的安裝。 同時(shí)，還具備快速實(shí)現(xiàn)漫游切換、廣播風(fēng)暴抑制、實(shí)時(shí)帶寬管理等多項(xiàng)精細(xì)化功能，是用戶組建高速無線局域網(wǎng)絡(luò)的最佳選擇。 廣域網(wǎng)接入設(shè)計(jì) 企業(yè)網(wǎng)絡(luò)邊緣是企業(yè)通向 inter 網(wǎng)的門戶，必須對流進(jìn)的數(shù)據(jù)分組進(jìn)行嚴(yán)格的控制。在這里我們通過同時(shí)租用電信和網(wǎng)通線路接入，做好 廣域網(wǎng)鏈路冗余，同時(shí)也可提供流量負(fù)載均衡。出口采用采用具備路由功能和流量控制策略的防火墻Cisco ASA5550BUNK9，它的網(wǎng)絡(luò)吞吐量可到 1600Mbps，過濾帶寬可達(dá) 425Mpbs，可支持的并發(fā)連接數(shù)達(dá) 650000，主要功能包括支持 IPS、以及 IPSec 和 SSL VPN 和IPSec VPN (750 個(gè)設(shè)備對 ) 軟件 ,支持防垃圾郵件、 URL 阻攔和過濾，以及防網(wǎng)絡(luò)釣魚 等。 18 企業(yè) IP 地址規(guī)劃 IP 地址的合理規(guī)劃有利于管理員進(jìn)行設(shè)備的管理以及網(wǎng)絡(luò)故障的快速排查，能夠減少路由條目的生成，加快數(shù)據(jù)流的路徑搜索和交換、轉(zhuǎn)發(fā)，提高路由協(xié)議算法的效率以及網(wǎng)絡(luò)的性能，保證網(wǎng)絡(luò)能夠正常、穩(wěn)定的運(yùn)行。因此， IP地址的規(guī)劃應(yīng)該遵循以下的一些原則。 IP 地址規(guī)劃原則 在本方案中，企業(yè)內(nèi)部網(wǎng)使用的 OSPF 鏈路狀態(tài)路由協(xié)議。 OSPF屬動(dòng)態(tài)的自適應(yīng)協(xié)議，對于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變化可以迅速地做出反應(yīng)，進(jìn)行相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比， OSPF 在對網(wǎng)絡(luò)拓?fù)渥兓奶幚磉^程中僅需要最 少的通信流量； OSPF 提供點(diǎn)到多點(diǎn)接口，支持 CIDR（無類型域間路由）地址 和 VLSM(可變長子網(wǎng)掩碼 ) （ 1）唯一性 IP 地址是主機(jī)和網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)中的唯一標(biāo)識，因此，在設(shè)計(jì)時(shí)，同一個(gè)子網(wǎng)內(nèi)不應(yīng)該出現(xiàn)相同的兩個(gè) IP 地址，即使是使用了支持地址重疊的 MPLS/VPN技術(shù)。 （ 2）連續(xù)性 分配連續(xù)性的 IP 地址，能夠在邊界上進(jìn)行簡單的匯總，以減小路由表的大小，增強(qiáng)網(wǎng)絡(luò)的轉(zhuǎn)發(fā)速率，同時(shí)也有利于地址管理。 （ 3）擴(kuò)展性 在為每一個(gè)子網(wǎng)分配 IP 地址段時(shí)，應(yīng)該考慮要留有余量，能夠保證在以后的網(wǎng)絡(luò)擴(kuò)展中添加更多的設(shè)備。 （ 4）實(shí)意性 在分配 IP 地址時(shí)應(yīng)盡量使得分配的 IP 地址具有一定的實(shí)際意義，如能夠大致判斷出地址說屬的設(shè)備，以方便記憶、查看和管理。 IP 地址需求 在 IP 地址的規(guī)劃方面，我們可以進(jìn)行更精細(xì)的處理：如，我們可以把連接到同一個(gè)分布層交換機(jī)的多個(gè)不同子網(wǎng)匯匯總一條路由條目，使得在運(yùn)行路由協(xié)議時(shí)只通告匯 19 總路由，使用匯總路由代替多條明細(xì)路由，可減小路由表的大小，同時(shí)可簡化路徑的選擇時(shí)間。但是，需要注意的是，在通告多條的匯總路由中，彼此之間不能有相互重疊的地址段，可能會造成目標(biāo)主機(jī)無法訪問。 建筑物 部門 人數(shù) IP 網(wǎng)段 前綴 VLAN 信息點(diǎn) 東 1 總經(jīng)辦 10 28 10 200 財(cái)務(wù)部 20 27 20 市場部 100 25 30 會議室 20 27 40 服務(wù)器群1 20 27 50 東 2 銷售部 500 23 60 520 西 1 生產(chǎn)部 1000 . 20 70 1100 西 2 項(xiàng)目部 300 23 80 650 技術(shù)部 200 24 90 網(wǎng)管中心 100 24 100 服務(wù)器群2 10 28 150 公有 IP地址 8 28 20 公網(wǎng) IP 規(guī)劃 相對于私有 IP 而言，公網(wǎng) IP 是不能由自己完全做主要求的，而是 ISP 等機(jī)構(gòu)統(tǒng)一分配和租用的。這就造成了公網(wǎng) IP 要稀缺的多，所以對公網(wǎng) IP 必須按實(shí)際需求來分配。如：對外提供服務(wù)的服務(wù)器群組區(qū)域， 不僅要夠用，還得預(yù)留出余量；而 其他 僅需要瀏覽 Inter 等基本需求的部門 ，可以通過 使用 NAT 技術(shù) 來 讓 多個(gè)節(jié)點(diǎn)共享一個(gè)或幾個(gè)公網(wǎng) IP；最后，那些只對內(nèi)部提供服務(wù)，或只限于內(nèi)部通訊的主機(jī)自然不用分配公網(wǎng) IP 了。公網(wǎng) IP 具體的分配，必須根據(jù)實(shí)際的需求，進(jìn)行合理的規(guī)劃。 如上圖，這是園區(qū)網(wǎng)絡(luò)的基本架構(gòu)。通常，內(nèi)部網(wǎng)絡(luò)用戶主機(jī)上并不配置公網(wǎng) IP，而是通過使用 NAT 技術(shù)將內(nèi)部私有地址 動(dòng)態(tài) 轉(zhuǎn)化成外部公有地址，訪問 Inter。因此，需要為外部地址池分配至少一個(gè)公有 IP 地址。 DMZ 區(qū)域放置著對外提供服務(wù)的服務(wù)器群組 ，這部分自然是部署固定的公網(wǎng) IP。 在這里我們?yōu)閮?nèi)網(wǎng)訪問提供四個(gè)公用 IP，在inter 注冊的 DNS 分配 1～ 2 個(gè)，其他分配給 DMZ 區(qū)。 21 第四章 核心技術(shù)需求 etherchannel Eth