【文章內(nèi)容簡(jiǎn)介】 纖，千兆電口，充分滿足您的定制需求。冗余設(shè)計(jì)是網(wǎng)絡(luò)設(shè)計(jì)的重要部分，是保證網(wǎng)絡(luò)整體可靠性能的重要手段。但是投資也將增加。部分企業(yè)園區(qū)網(wǎng)在早期的建設(shè)中由于成本的原因并未在設(shè)計(jì)中考慮冗余問題，而在優(yōu)化工作中則需從網(wǎng)絡(luò)鏈路和網(wǎng)絡(luò)設(shè)備兩方面著手。冗余設(shè)計(jì)可以貫穿整個(gè)層次化結(jié)構(gòu)，每個(gè)冗余設(shè)計(jì)都有針對(duì)性，可以選擇其中一部分或幾部分應(yīng)用到網(wǎng)絡(luò)中以針對(duì)重要的應(yīng)用。萬(wàn)一網(wǎng)絡(luò)中某條路徑失效時(shí)，冗余鏈路可以提供另一條物理路徑?？刹捎肎EC鏈路聚合（）實(shí)現(xiàn)端口級(jí)冗余，以克服某個(gè)端口或線路引起的故障。也可采用生成樹協(xié)議（）提供設(shè)備級(jí)的冗余連接。此外，我們?cè)谠O(shè)計(jì)中提供不同物理方向的雙歸屬、雙路由保護(hù)。在企業(yè)網(wǎng)骨干核心層，企業(yè)網(wǎng)絡(luò)邊界拓?fù)浣Y(jié)構(gòu)由于采用了環(huán)形多機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案，所以在線路冗余方面的要求較高，對(duì)于線路的冗余要求，我們采用10GB線路對(duì)三臺(tái)企業(yè)網(wǎng)骨干核心層設(shè)備進(jìn)行環(huán)行雙向備份，并使用業(yè)界領(lǐng)先的VRRP（虛擬路由器冗余協(xié)議）來(lái)對(duì)其作為冗余線路的協(xié)議保障。以GEC作為N*1000M主干鏈路，通過這個(gè)鏈路連接骨干網(wǎng)交換機(jī)，具備萬(wàn)兆擴(kuò)展能力；接入交換機(jī)采用10/100M自適應(yīng)端口連接桌面系統(tǒng)，多千兆鏈路連接到匯聚層。GEC路具有鏈路聚合和冗余保證兩大特性，下面我們將對(duì)它們依次進(jìn)行介紹鏈路聚合：可使用一條物理鏈路在不同品牌交換機(jī)之間、交換機(jī)和服務(wù)器間提供聚合的高速通道，在不增加投資的情況下，擴(kuò)大交換帶寬，使關(guān)鍵連接的傳輸效率更高冗余保證： 鏈路聚合中，成員互相動(dòng)態(tài)備份。當(dāng)某一鏈路中斷時(shí)，其它成員能夠迅速接替其工作。與生成樹協(xié)議不同，鏈路聚合啟用備份的過程對(duì)聚合之外是不可見的，而且啟用備份過程只在聚合鏈路內(nèi)，與其它鏈路無(wú)關(guān)，切換可在數(shù)毫秒內(nèi)完成。綜合分析以上各主流方案的優(yōu)缺點(diǎn)，從性能與成本及拓展性等方面的綜合考慮出發(fā)，我們決定采用GEC骨干核心網(wǎng)絡(luò)10GE拓展的方式作為其鏈路選擇及備份選擇。在企業(yè)網(wǎng)匯聚層及接入層出于成本及性價(jià)比的考慮，我們決定采用千兆匯聚，萬(wàn)兆拓展；百兆到桌面的鏈路選擇。當(dāng)前，無(wú)論在企業(yè)網(wǎng)、園區(qū)網(wǎng)還是在廣域網(wǎng)如Internet上，業(yè)務(wù)量的發(fā)展都超出了過去最樂觀的估計(jì)，上網(wǎng)熱潮風(fēng)起云涌，新的應(yīng)用層出不窮，即使按照當(dāng)時(shí)最優(yōu)配置建設(shè)的網(wǎng)絡(luò)，也很快會(huì)感到吃不消。尤其是各個(gè)網(wǎng)絡(luò)的核心部分，其數(shù)據(jù)流量和計(jì)算強(qiáng)度之大，使得單一設(shè)備根本無(wú)法承擔(dān)。負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種廉價(jià)有效的方法擴(kuò)展服務(wù)器帶寬和增加吞吐量，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力，提高網(wǎng)絡(luò)的靈活性和可用性。它主要完成以下任務(wù):解決網(wǎng)絡(luò)擁塞問題，服務(wù)就近提供，實(shí)現(xiàn)地理位置無(wú)關(guān)性 。為用戶提供更好的訪問質(zhì)量。提高服務(wù)器響應(yīng)速度。提高服務(wù)器及其他資源的利用效率。避免了網(wǎng)絡(luò)關(guān)鍵部位出現(xiàn)單點(diǎn)失效。在此方案中，在網(wǎng)絡(luò)的每個(gè)關(guān)鍵結(jié)點(diǎn)，我們?cè)谠O(shè)計(jì)時(shí)都做到了對(duì)其有效的冗余備份和負(fù)載均衡。在網(wǎng)絡(luò)的骨干核心層上。我們采用了兩臺(tái)神州數(shù)碼的DCRS7508高密度多業(yè)務(wù)IPV6核心路由交換機(jī)組建高性能的核心網(wǎng)絡(luò)平臺(tái)，在對(duì)骨干核心層提供足夠的網(wǎng)絡(luò)接點(diǎn)和接入需求的同時(shí)最大限度的為網(wǎng)絡(luò)提供了有效的冗余保障和負(fù)載均衡。在核心層的每個(gè)區(qū)塊，我們都采用了兩臺(tái)神州數(shù)碼的DCRS7508多業(yè)務(wù)IPV6核心路由交換機(jī)做到冗余與負(fù)載均衡。雙核心拓?fù)浣Y(jié)構(gòu)提供了兩條等代價(jià)路徑和雙倍的帶寬。每個(gè)核心交換機(jī)連接著數(shù)目相同的子網(wǎng)到第三層匯聚設(shè)備上。 企業(yè)網(wǎng)中服務(wù)器、大型機(jī)，如網(wǎng)絡(luò)存儲(chǔ)服務(wù)器，SQL Server服務(wù)器，其存儲(chǔ)的數(shù)據(jù)對(duì)于企業(yè)來(lái)說致關(guān)重要，一些核心數(shù)據(jù)被視為企業(yè)的生命。一方面它對(duì)企業(yè)的企業(yè)的重要性毋庸質(zhì)疑，另一方面，由于這些數(shù)據(jù)的性質(zhì)決定了其較大的被訪問量，這個(gè)對(duì)服務(wù)器提出了穩(wěn)定和快速的要求。如果宕機(jī),后果是技術(shù)是保障計(jì)算機(jī)系統(tǒng)的可靠性是重中之重。為此，我們采用的是雙機(jī)熱備技術(shù) ，此技術(shù)能夠有效的滿足核心服務(wù)器高效，穩(wěn)定的高要求。 具體技術(shù)實(shí)現(xiàn)：每個(gè)核心服務(wù)器均具有兩個(gè)以太網(wǎng)接口（可以通過安裝雙網(wǎng)卡實(shí)現(xiàn)），在此基礎(chǔ)上，以上圖為例，DB服務(wù)器A與DB服務(wù)器B先分別利用自己的一個(gè)以太網(wǎng)接口實(shí)現(xiàn)兩個(gè)服務(wù)器之間的直連，每個(gè)服務(wù)器另外的一個(gè)接口則與服務(wù)器區(qū)的網(wǎng)絡(luò)實(shí)現(xiàn)互連，以達(dá)到雙機(jī)熱備的目的。因此增加服務(wù)器的穩(wěn)定性與高效性。本網(wǎng)絡(luò)中應(yīng)具有多臺(tái)服務(wù)器設(shè)備，包括DB SERVER數(shù)據(jù)庫(kù)服務(wù)器，WEB,CATALOG等應(yīng)用服務(wù)器，NEWS,MAIL等通訊服務(wù)器及多媒體服務(wù)器等。 IP地址規(guī)劃原則IP地址構(gòu)成了整個(gè)Internet的基礎(chǔ)，IP地址資源是整個(gè)Internet的基本核心資源，IP地址資源的合理分配和有效利用是整個(gè)Internet發(fā)展過程中持續(xù)有效的一個(gè)極具分量的研究課題。我們?cè)趯?duì)企業(yè)園區(qū)網(wǎng)IP地址編址設(shè)計(jì)和分配利用時(shí)，遵循了以下幾個(gè)原則：1）、自治：整個(gè)園區(qū)網(wǎng)絡(luò)網(wǎng)絡(luò)被劃分成幾個(gè)大的自治區(qū)域，每個(gè)大自治區(qū)域中又被劃分成幾個(gè)小的自治區(qū)域。 2）、有序：我們按照自治原則將網(wǎng)絡(luò)進(jìn)行邏輯劃分后，就根據(jù)地域、設(shè)備分布及區(qū)域內(nèi)用戶數(shù)量來(lái)進(jìn)行子網(wǎng)規(guī)劃。同時(shí)，我們將IP地址規(guī)劃和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來(lái)考慮。在進(jìn)行地址分配時(shí)，為了提高地址分配效率和地址利用率，我們?cè)诰幹吩O(shè)計(jì)時(shí)按照了一定的順序進(jìn)行。選擇的順序是自上而下的順序，即采用了業(yè)界領(lǐng)先的自頂向下網(wǎng)絡(luò)設(shè)計(jì)（TopDown Network Design）方法。 3）、可持續(xù)性：考慮到園區(qū)內(nèi)網(wǎng)絡(luò)用戶數(shù)將持續(xù)高速增長(zhǎng)，網(wǎng)絡(luò)所要承載的業(yè)務(wù)量和業(yè)務(wù)種類越來(lái)越多，這使得網(wǎng)絡(luò)需要頻頻進(jìn)行技術(shù)升級(jí)、改造和擴(kuò)容。所以，在進(jìn)行地址分配時(shí)本方案充分考慮到了這些因素，為網(wǎng)絡(luò)的每個(gè)部分留有部分地址冗余，這樣保證網(wǎng)絡(luò)的可持續(xù)發(fā)展。 4）、可聚合：互聯(lián)網(wǎng)日新月異的發(fā)展和日益龐大的規(guī)模令當(dāng)初設(shè)計(jì)互聯(lián)網(wǎng)絡(luò)的專家始料不及，在路由表急劇膨脹情況下，可聚合原則是網(wǎng)絡(luò)地址分配時(shí)所必須遵守的最高原則，可聚合原則要求在進(jìn)行地址規(guī)劃時(shí)，應(yīng)提供足夠的路由冗余功能。 5）、盡量節(jié)約IPv4地址：由于IPv4地址越來(lái)越少，所以對(duì)于IPv4地址的使用需要格外節(jié)約。IPv4地址的節(jié)約可以通過動(dòng)態(tài)編址技術(shù)和NAT技術(shù)等來(lái)實(shí)現(xiàn)。 6）、閑置IP地址回收利用：對(duì)于已分配出去的靜態(tài)IP地址進(jìn)行定期追蹤管理，對(duì)長(zhǎng)時(shí)間閑置的IP地址可經(jīng)過確認(rèn)后回收重復(fù)利用。此次方案的設(shè)計(jì)，我們決定采用一個(gè)內(nèi)部私有A類地址（）對(duì)企業(yè)園區(qū)的網(wǎng)絡(luò)設(shè)備編址。由于從方案本身的網(wǎng)絡(luò)拓?fù)鋱D采用了典型的層次化設(shè)計(jì)，所以對(duì)ip地址的編址設(shè)計(jì)也應(yīng)采取層次化的設(shè)計(jì)來(lái)完成，并采用VLSM來(lái)拓展有限的IP地址。網(wǎng)段描述所需的IP地址數(shù)骨干核心層鏈路5（2個(gè)用于拓展備份）集團(tuán)總部1000生產(chǎn)部500職工宿舍1000大型機(jī)/服務(wù)器群500企業(yè)VOIP語(yǔ)音系統(tǒng)2000VLSM是可變長(zhǎng)子網(wǎng)掩碼的英文縮寫，它提供了一個(gè)主類（A類、B類、C類）網(wǎng)絡(luò)內(nèi)包含多個(gè)子網(wǎng)掩碼的能力，可以對(duì)一個(gè)子網(wǎng)再進(jìn)行子網(wǎng)劃分。VLSM的優(yōu)點(diǎn)?對(duì)IP地址更為有效的使用?應(yīng)用路由歸納的能力更強(qiáng)所以我們采取vlsm對(duì)網(wǎng)絡(luò)進(jìn)行編址，以達(dá)到節(jié)約ip地址，能夠使用路由匯總的目的。首先采用一個(gè)A類網(wǎng)址對(duì)園區(qū)網(wǎng)主體結(jié)構(gòu)進(jìn)行編址，至上而下的設(shè)計(jì)思路有利于設(shè)計(jì)的最后成型和網(wǎng)絡(luò)的健壯性。其次，在語(yǔ)音電話系統(tǒng)中，每一個(gè)ip電話需要一個(gè)ip地址以及諸如子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等的相關(guān)信息。事實(shí)上，這意味著一個(gè)組織需要指派兩倍于ip電話的ip地址給當(dāng)前所有的pc用戶，這個(gè)由DHCP提供。我們使用私有遍址的IP電話作為語(yǔ)音電話遍址方案。私有遍址IP電話： 最后經(jīng)過我們的計(jì)算，將各部門ip地址分配如下表：IP地址網(wǎng)段VLAN編號(hào)默認(rèn)網(wǎng)關(guān)財(cái)務(wù)部10生產(chǎn)部20銷售部30行政部40用戶地址與VLAN劃分Web服務(wù)器IP地址： FTP服務(wù)器IP地址： 路由器出口IP地址： 方案特點(diǎn)本方案很好地解決了用戶要求的四個(gè)問題，即帶寬問題、安全問題、管理計(jì)費(fèi)問題、靈活擴(kuò)展問題。帶寬問題：使用萬(wàn)兆互連雙核心結(jié)構(gòu)，使網(wǎng)絡(luò)核心設(shè)備不但可以互相備份，而且有效的減輕流量負(fù)荷，使設(shè)備時(shí)刻保持穩(wěn)定和高效。安全問題：企業(yè)網(wǎng)核心層、匯聚層、樓層匯聚層所使用的產(chǎn)品全部具有網(wǎng)絡(luò)病毒和攻擊的防護(hù)能力，并且防DOS/DDOS攻擊，因而可以在不同的環(huán)境中做到安全防護(hù)，足以應(yīng)對(duì)突發(fā)事件，保持網(wǎng)絡(luò)穩(wěn)定、通暢。l管理計(jì)費(fèi)問題：統(tǒng)一認(rèn)證，針對(duì)企業(yè)網(wǎng)開放式的信息點(diǎn)造成的安全隱患，全網(wǎng)接入采用統(tǒng)一認(rèn)證技術(shù)（可以進(jìn)行賬號(hào)、IP，MAC、LAVN ID、交換機(jī)IP和交換機(jī)端口六要素靈活捆綁），保證了只有合法授權(quán)的用戶才能使用網(wǎng)絡(luò)或外部網(wǎng)絡(luò)，而且還能對(duì)網(wǎng)絡(luò)的使用情況進(jìn)行審計(jì)。靈活擴(kuò)展問題：核心層使用的路由交換機(jī)DCRS7508有良好的擴(kuò)展性，可以為將來(lái)的網(wǎng)絡(luò)實(shí)現(xiàn)輕松擴(kuò)展。第四章、網(wǎng)絡(luò)技術(shù)選型路由協(xié)議——OSPF在網(wǎng)絡(luò)骨干核心層和核心層以及匯聚層上需要使用三層設(shè)備為網(wǎng)絡(luò)內(nèi)部不同的網(wǎng)段的數(shù)據(jù)和不同vlan間的數(shù)據(jù)轉(zhuǎn)發(fā)而需要路由協(xié)議時(shí)，我們采用OSPF協(xié)議作為路由協(xié)議。OSPF是一種典型的鏈路狀態(tài)路由協(xié)議。采用OSPF的路由器彼此交換并保存整個(gè)網(wǎng)絡(luò)的鏈路信息，從而掌握全網(wǎng)的拓?fù)浣Y(jié)構(gòu)，獨(dú)立計(jì)算路由。因?yàn)镽IP路由協(xié)議不能服務(wù)于大型網(wǎng)絡(luò)，所以，IETF的IGP工作組特別開發(fā)出鏈路狀態(tài)協(xié)議——OSPF。目前廣為使用的是OSPF第二版，最新標(biāo)準(zhǔn)為RFC2328。 OSPF作為一種內(nèi)部網(wǎng)關(guān)協(xié)議（Interior Gateway Protocol，IGP），用于在同一個(gè)自治域（AS）中的路由器之間發(fā)布路由信息。區(qū)別于距離矢量協(xié)議(RIP)，OSPF具有支持大型網(wǎng)絡(luò)、路由收斂快、占用網(wǎng)絡(luò)資源少等優(yōu)點(diǎn)，在目前應(yīng)用的路由協(xié)議中占有相當(dāng)重要的地位。端口安全與認(rèn)證（基于 ）交換設(shè)備定義了對(duì)端口保護(hù)的功能，我們能定義允許的最大 MAC 地址訪 問數(shù)，或者靜態(tài)的定義特定的 MAC 地址。遇到不合法的 MAC 地址交換機(jī)采取的策 略。配置舉例端口安全性： enable configure terminal (config)interface f0/1 if)swithport portsecurity if)swithport portsecurity maximum ４ if)swithport portsecurity macaddress (該端口的mac地址 ) if)swithport portsecurity violation shutdown (遇到其他端口則關(guān)閉，但可以人工打開) 　保護(hù)端口：將接入層交換機(jī)各宿舍接口設(shè)置為保護(hù)口，保護(hù)口之間間互相無(wú)法通迅，保護(hù)口與非保護(hù)口之間可以正常通迅：　　　　　　Switch(config)interface Ethernet 0/1 Switch(config)switchport protected 的端口認(rèn)證基于端口的認(rèn)證就是將 AAA 認(rèn)證與端口保護(hù)相結(jié)合，默認(rèn)情況下。 的交換機(jī)端口處于未授權(quán)狀態(tài)，除了和 有關(guān)的數(shù)據(jù)，其他數(shù)據(jù)都不能通過該端口，只有客戶的交換機(jī)創(chuàng)建了一個(gè) 的會(huì)話，客戶被授權(quán)訪EAPOL：Extensible Authentication Protocol OVER LAN 局域網(wǎng)上的可擴(kuò)展身 份認(rèn)證。在端口處于未授權(quán)狀態(tài)下，客戶端只能使用 EAPOL 與交換機(jī)通信。 VRRP（虛擬路由冗余協(xié)議）原理VRRP給路由器組提供了一個(gè)冗余網(wǎng)關(guān)地址，它是一種容錯(cuò)協(xié)議，通過定義 不同的組，不同優(yōu)先級(jí)的路由器，它保證網(wǎng)絡(luò)的主路由器失效時(shí)，可以及時(shí)的由 備分來(lái)實(shí)現(xiàn)路由器來(lái)替代，從而保持通訊的連續(xù)性和可靠性。并可以在該協(xié)議上 實(shí)現(xiàn)負(fù)載均衡等高級(jí)交換特性。VRRP 技術(shù)的實(shí)現(xiàn)： 匯聚到核心冗余連接及 VRRP 的實(shí)現(xiàn)通過 VRRP 技術(shù)將多個(gè)設(shè)備虛擬成為一臺(tái)邏輯設(shè)備，實(shí)現(xiàn)匯聚/接入鏈路冗余。如下例：if)vrrp 5 ip if) vrrp 6 ip A: if)vrrp 5 priority 200 B: if)vrrp 6 priority 200 if)vrrp 5 authen name if)vrrp 6 authen name： RSTP、MSTP原理RSTP 協(xié)議完全向下兼容 ST