【文章內(nèi)容簡介】 了穩(wěn)定和快速的要求。如果宕機(jī),后果是技術(shù)是保障計算機(jī)系統(tǒng)的可靠性是重中之重。為此，我們采用的是雙機(jī)熱備技術(shù) ，此技術(shù)能夠有效的滿足核心服務(wù)器高效，穩(wěn)定的高要求。 具體技術(shù)實現(xiàn)：每個核心服務(wù)器均具有兩個以太網(wǎng)接口（可以通過安裝雙網(wǎng)卡實現(xiàn)），在此基礎(chǔ)上，以上圖為例，DB服務(wù)器A與DB服務(wù)器B先分別利用自己的一個以太網(wǎng)接口實現(xiàn)兩個服務(wù)器之間的直連，每個服務(wù)器另外的一個接口則與服務(wù)器區(qū)的網(wǎng)絡(luò)實現(xiàn)互連，以達(dá)到雙機(jī)熱備的目的。因此增加服務(wù)器的穩(wěn)定性與高效性。本網(wǎng)絡(luò)中應(yīng)具有多臺服務(wù)器設(shè)備，包括DB SERVER數(shù)據(jù)庫服務(wù)器，WEB,CATALOG等應(yīng)用服務(wù)器，NEWS,MAIL等通訊服務(wù)器及多媒體服務(wù)器等。 IP地址規(guī)劃原則IP地址構(gòu)成了整個Internet的基礎(chǔ)，IP地址資源是整個Internet的基本核心資源，IP地址資源的合理分配和有效利用是整個Internet發(fā)展過程中持續(xù)有效的一個極具分量的研究課題。我們在對企業(yè)園區(qū)網(wǎng)IP地址編址設(shè)計和分配利用時，遵循了以下幾個原則：1）、自治：整個園區(qū)網(wǎng)絡(luò)網(wǎng)絡(luò)被劃分成幾個大的自治區(qū)域，每個大自治區(qū)域中又被劃分成幾個小的自治區(qū)域。 2）、有序：我們按照自治原則將網(wǎng)絡(luò)進(jìn)行邏輯劃分后，就根據(jù)地域、設(shè)備分布及區(qū)域內(nèi)用戶數(shù)量來進(jìn)行子網(wǎng)規(guī)劃。同時，我們將IP地址規(guī)劃和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。在進(jìn)行地址分配時，為了提高地址分配效率和地址利用率，我們在編址設(shè)計時按照了一定的順序進(jìn)行。選擇的順序是自上而下的順序，即采用了業(yè)界領(lǐng)先的自頂向下網(wǎng)絡(luò)設(shè)計（TopDown Network Design）方法。 3）、可持續(xù)性：考慮到園區(qū)內(nèi)網(wǎng)絡(luò)用戶數(shù)將持續(xù)高速增長，網(wǎng)絡(luò)所要承載的業(yè)務(wù)量和業(yè)務(wù)種類越來越多，這使得網(wǎng)絡(luò)需要頻頻進(jìn)行技術(shù)升級、改造和擴(kuò)容。所以，在進(jìn)行地址分配時本方案充分考慮到了這些因素，為網(wǎng)絡(luò)的每個部分留有部分地址冗余，這樣保證網(wǎng)絡(luò)的可持續(xù)發(fā)展。 4）、可聚合：互聯(lián)網(wǎng)日新月異的發(fā)展和日益龐大的規(guī)模令當(dāng)初設(shè)計互聯(lián)網(wǎng)絡(luò)的專家始料不及，在路由表急劇膨脹情況下，可聚合原則是網(wǎng)絡(luò)地址分配時所必須遵守的最高原則，可聚合原則要求在進(jìn)行地址規(guī)劃時，應(yīng)提供足夠的路由冗余功能。 5）、盡量節(jié)約IPv4地址：由于IPv4地址越來越少，所以對于IPv4地址的使用需要格外節(jié)約。IPv4地址的節(jié)約可以通過動態(tài)編址技術(shù)和NAT技術(shù)等來實現(xiàn)。 6）、閑置IP地址回收利用：對于已分配出去的靜態(tài)IP地址進(jìn)行定期追蹤管理，對長時間閑置的IP地址可經(jīng)過確認(rèn)后回收重復(fù)利用。此次方案的設(shè)計，我們決定采用一個內(nèi)部私有A類地址（）對企業(yè)園區(qū)的網(wǎng)絡(luò)設(shè)備編址。由于從方案本身的網(wǎng)絡(luò)拓?fù)鋱D采用了典型的層次化設(shè)計，所以對ip地址的編址設(shè)計也應(yīng)采取層次化的設(shè)計來完成，并采用VLSM來拓展有限的IP地址。網(wǎng)段描述所需的IP地址數(shù)骨干核心層鏈路5（2個用于拓展備份）集團(tuán)總部1000生產(chǎn)部500職工宿舍1000大型機(jī)/服務(wù)器群500企業(yè)VOIP語音系統(tǒng)2000VLSM是可變長子網(wǎng)掩碼的英文縮寫，它提供了一個主類（A類、B類、C類）網(wǎng)絡(luò)內(nèi)包含多個子網(wǎng)掩碼的能力，可以對一個子網(wǎng)再進(jìn)行子網(wǎng)劃分。VLSM的優(yōu)點?對IP地址更為有效的使用?應(yīng)用路由歸納的能力更強(qiáng)所以我們采取vlsm對網(wǎng)絡(luò)進(jìn)行編址，以達(dá)到節(jié)約ip地址，能夠使用路由匯總的目的。首先采用一個A類網(wǎng)址對園區(qū)網(wǎng)主體結(jié)構(gòu)進(jìn)行編址，至上而下的設(shè)計思路有利于設(shè)計的最后成型和網(wǎng)絡(luò)的健壯性。其次，在語音電話系統(tǒng)中，每一個ip電話需要一個ip地址以及諸如子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等的相關(guān)信息。事實上，這意味著一個組織需要指派兩倍于ip電話的ip地址給當(dāng)前所有的pc用戶，這個由DHCP提供。我們使用私有遍址的IP電話作為語音電話遍址方案。私有遍址IP電話： 最后經(jīng)過我們的計算，將各部門ip地址分配如下表：IP地址網(wǎng)段VLAN編號默認(rèn)網(wǎng)關(guān)財務(wù)部10生產(chǎn)部20銷售部30行政部40用戶地址與VLAN劃分Web服務(wù)器IP地址： FTP服務(wù)器IP地址： 路由器出口IP地址： 方案特點本方案很好地解決了用戶要求的四個問題，即帶寬問題、安全問題、管理計費問題、靈活擴(kuò)展問題。帶寬問題：使用萬兆互連雙核心結(jié)構(gòu)，使網(wǎng)絡(luò)核心設(shè)備不但可以互相備份，而且有效的減輕流量負(fù)荷，使設(shè)備時刻保持穩(wěn)定和高效。安全問題：企業(yè)網(wǎng)核心層、匯聚層、樓層匯聚層所使用的產(chǎn)品全部具有網(wǎng)絡(luò)病毒和攻擊的防護(hù)能力，并且防DOS/DDOS攻擊，因而可以在不同的環(huán)境中做到安全防護(hù)，足以應(yīng)對突發(fā)事件，保持網(wǎng)絡(luò)穩(wěn)定、通暢。l管理計費問題：統(tǒng)一認(rèn)證，針對企業(yè)網(wǎng)開放式的信息點造成的安全隱患，全網(wǎng)接入采用統(tǒng)一認(rèn)證技術(shù)（可以進(jìn)行賬號、IP，MAC、LAVN ID、交換機(jī)IP和交換機(jī)端口六要素靈活捆綁），保證了只有合法授權(quán)的用戶才能使用網(wǎng)絡(luò)或外部網(wǎng)絡(luò)，而且還能對網(wǎng)絡(luò)的使用情況進(jìn)行審計。靈活擴(kuò)展問題：核心層使用的路由交換機(jī)DCRS7508有良好的擴(kuò)展性，可以為將來的網(wǎng)絡(luò)實現(xiàn)輕松擴(kuò)展。第四章、網(wǎng)絡(luò)技術(shù)選型路由協(xié)議——OSPF在網(wǎng)絡(luò)骨干核心層和核心層以及匯聚層上需要使用三層設(shè)備為網(wǎng)絡(luò)內(nèi)部不同的網(wǎng)段的數(shù)據(jù)和不同vlan間的數(shù)據(jù)轉(zhuǎn)發(fā)而需要路由協(xié)議時，我們采用OSPF協(xié)議作為路由協(xié)議。OSPF是一種典型的鏈路狀態(tài)路由協(xié)議。采用OSPF的路由器彼此交換并保存整個網(wǎng)絡(luò)的鏈路信息，從而掌握全網(wǎng)的拓?fù)浣Y(jié)構(gòu)，獨立計算路由。因為RIP路由協(xié)議不能服務(wù)于大型網(wǎng)絡(luò)，所以，IETF的IGP工作組特別開發(fā)出鏈路狀態(tài)協(xié)議——OSPF。目前廣為使用的是OSPF第二版，最新標(biāo)準(zhǔn)為RFC2328。 OSPF作為一種內(nèi)部網(wǎng)關(guān)協(xié)議（Interior Gateway Protocol，IGP），用于在同一個自治域（AS）中的路由器之間發(fā)布路由信息。區(qū)別于距離矢量協(xié)議(RIP)，OSPF具有支持大型網(wǎng)絡(luò)、路由收斂快、占用網(wǎng)絡(luò)資源少等優(yōu)點，在目前應(yīng)用的路由協(xié)議中占有相當(dāng)重要的地位。端口安全與認(rèn)證（基于 ）交換設(shè)備定義了對端口保護(hù)的功能，我們能定義允許的最大 MAC 地址訪 問數(shù)，或者靜態(tài)的定義特定的 MAC 地址。遇到不合法的 MAC 地址交換機(jī)采取的策 略。配置舉例端口安全性： enable configure terminal (config)interface f0/1 if)swithport portsecurity if)swithport portsecurity maximum ４ if)swithport portsecurity macaddress (該端口的mac地址 ) if)swithport portsecurity violation shutdown (遇到其他端口則關(guān)閉，但可以人工打開) 　保護(hù)端口：將接入層交換機(jī)各宿舍接口設(shè)置為保護(hù)口，保護(hù)口之間間互相無法通迅，保護(hù)口與非保護(hù)口之間可以正常通迅：　　　　　　Switch(config)interface Ethernet 0/1 Switch(config)switchport protected 的端口認(rèn)證基于端口的認(rèn)證就是將 AAA 認(rèn)證與端口保護(hù)相結(jié)合，默認(rèn)情況下。 的交換機(jī)端口處于未授權(quán)狀態(tài)，除了和 有關(guān)的數(shù)據(jù)，其他數(shù)據(jù)都不能通過該端口，只有客戶的交換機(jī)創(chuàng)建了一個 的會話，客戶被授權(quán)訪EAPOL：Extensible Authentication Protocol OVER LAN 局域網(wǎng)上的可擴(kuò)展身 份認(rèn)證。在端口處于未授權(quán)狀態(tài)下，客戶端只能使用 EAPOL 與交換機(jī)通信。 VRRP（虛擬路由冗余協(xié)議）原理VRRP給路由器組提供了一個冗余網(wǎng)關(guān)地址，它是一種容錯協(xié)議，通過定義 不同的組，不同優(yōu)先級的路由器，它保證網(wǎng)絡(luò)的主路由器失效時，可以及時的由 備分來實現(xiàn)路由器來替代，從而保持通訊的連續(xù)性和可靠性。并可以在該協(xié)議上 實現(xiàn)負(fù)載均衡等高級交換特性。VRRP 技術(shù)的實現(xiàn)： 匯聚到核心冗余連接及 VRRP 的實現(xiàn)通過 VRRP 技術(shù)將多個設(shè)備虛擬成為一臺邏輯設(shè)備，實現(xiàn)匯聚/接入鏈路冗余。如下例：if)vrrp 5 ip if) vrrp 6 ip A: if)vrrp 5 priority 200 B: if)vrrp 6 priority 200 if)vrrp 5 authen name if)vrrp 6 authen name： RSTP、MSTP原理RSTP 協(xié)議完全向下兼容 STP 協(xié)議，除了和傳統(tǒng)的 STP 協(xié)議一樣具有避免回路、提供冗余鏈路的功能 外，最主要的特點就是“快”。如果一個局域網(wǎng)內(nèi)的網(wǎng)橋都支持 RSTP 協(xié)議且管理員配置得當(dāng)，一旦網(wǎng)絡(luò)拓樸改變而 要重新生成拓樸樹只需要不超過 1 秒的時間（傳統(tǒng)的 STP 需要大約 50 秒）。本交換機(jī)支持 MSTP，MSTP 是在傳統(tǒng)的 STP、RSTP 的基礎(chǔ)上發(fā)展而來的新的生成樹協(xié)議，本身就包含了 RSTP的快速 FORWARDING 機(jī)制。由于傳統(tǒng)的生成樹協(xié)議與 vlan 沒有任何聯(lián)系，因此在特定網(wǎng)絡(luò)拓樸下就會產(chǎn)生以下問題： 如下圖 所示，交換機(jī) A、B 在 vlan1 內(nèi)，交換機(jī) C、D 在 vlan2 內(nèi)，然后連成環(huán)路。在某種情況的配置下，會造成把交換機(jī) A 和 B 間的鏈路給 C、D 不包含 vlan1，無法轉(zhuǎn)發(fā) vlan1 的數(shù)據(jù)包，這樣交換機(jī) A 的 vlan1 就無法與交換機(jī) B 的 vlan1 進(jìn)行通訊。在網(wǎng)絡(luò)末梢，連接到單個工作站的時候，是不可能形成橋接環(huán)路的。在接口 上啟用了 portfast 特性，可以使交換機(jī)端口立即變?yōu)檗D(zhuǎn)發(fā)狀態(tài)，提高了網(wǎng)絡(luò)的 響應(yīng)速度及收斂時間。 基于 RSTP 的交換機(jī)高級特性 Uplinkfast 在網(wǎng)絡(luò)中的應(yīng)用考慮到有冗余上行連接的網(wǎng)絡(luò)，使用冗余連接到上層交換機(jī)，通常情況下一 個上行連接處于轉(zhuǎn)發(fā)狀態(tài)，另一個處于阻塞狀態(tài)，如果主上行連接斷開，在使用 冗余連接之前所經(jīng)歷的時間高達(dá) 50S。在使用 Uplinkfast 之后，使的具有冗余上行連接的交換機(jī)具有根端口失效 時，另一個阻塞的上行連接能夠立即使用，這個時間大大縮小到 15S 之間，在集團(tuán) 網(wǎng)的特殊環(huán)境之下， 能大大增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性，加快網(wǎng)絡(luò)收斂 。 NAT 的描述及策略路由的實現(xiàn)在組建網(wǎng)絡(luò)時，為了節(jié)約地址，我們在內(nèi)部使用保留的私有地址段中的地 址，但是使用私有地址不能訪問 Internet,所以必須申請多個公開地址配置在和 Internet 相連的局域網(wǎng)邊緣設(shè)備上。應(yīng)用 NAT 進(jìn)行地址轉(zhuǎn)換。NAT 是網(wǎng)絡(luò)地址翻譯技術(shù)，在路由器上起用 NAT 之后，可以在部私有地址和 外部公網(wǎng)地址之間做轉(zhuǎn)換。比如我們可以把網(wǎng)絡(luò)內(nèi)部使用的 IP 翻 譯成外部公網(wǎng)的 IP。配置基于策略的路由選擇時，可使用路由映射表來指定基于 IP 地址，應(yīng)用 程序，協(xié)議或者分組長度的條件?；诓呗缘穆酚蛇x擇命令對中選的路由實現(xiàn)策 略。 基于策略的路由和靜態(tài)路由有很多共同之處。然而，靜態(tài)路由根據(jù)目標(biāo)網(wǎng)絡(luò) 地址來轉(zhuǎn)換分組，而策略路由根據(jù)源地址來轉(zhuǎn)發(fā)分組。在路由選擇表中使用訪問 列表時，可根據(jù)諸如目標(biāo)地址，分組長度，IP 協(xié)議字段，優(yōu)先級或端口號來轉(zhuǎn)發(fā)數(shù)據(jù)流。這樣可以指定范圍更廣泛，更細(xì)致的條件，并根據(jù)這些條件來決定下 一跳路由器。 ACL (訪問控制列表)訪問列表為我們提供了一種對網(wǎng)絡(luò)訪問進(jìn)行有效管理的方法，通過訪問列 表，我們可以設(shè)置允許或拒絕數(shù)據(jù)包通過路由器，或者允許或者拒絕具體的某些 端口進(jìn)行訪問和使用，如果滿足條件則執(zhí)行相應(yīng)的操作，放行這個包或者放棄這 個包。我們通過這些設(shè)置來滿足實際網(wǎng)絡(luò)的靈活需求，從而達(dá)到設(shè)置網(wǎng)絡(luò)安全策 略，防止網(wǎng)絡(luò)中的敏感設(shè)備受到非授權(quán)訪問的情況。在具體實現(xiàn)過程中從技術(shù)上來說我們需要了解到 ACL 分為兩種類型,他們分 別是標(biāo)準(zhǔn)訪問列表(Standard access lists)和擴(kuò)展訪問列表（Extends access lists） 前者在過濾網(wǎng)絡(luò)的時候只使用 IP 數(shù)據(jù)報的源地址，那么在使用這種訪問列表的 情況下它做出允許或者拒絕這個決定完全是依賴于源 IP 地址，它無法區(qū)分具體 的流量類型。而擴(kuò)展訪問列表則可以提供更細(xì)的決定，它可以具體到端口，從而 精確到某一個服務(wù)，比如對 WEB,FTP 的訪問等，給我們網(wǎng)絡(luò)的策略提供了更細(xì) 的控制手段。我們利用這種訪問列表進(jìn)行協(xié)議級的控