【文章內(nèi)容簡介】 案） ，同時體現(xiàn)了開放式的體系結(jié)構(gòu)。 (3)由于核心交換機所承載的流量相應(yīng)減少，從另一個角度來說，也即提高了網(wǎng)絡(luò)整體的可靠性，對用戶的QoS 從網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化上得到了保證。 (4)大大減少網(wǎng)絡(luò)瓶頸和由于鏈路、路由而導(dǎo)致的故障。 (5)通過在網(wǎng)內(nèi)劃分 VLAN 的技術(shù)來確保網(wǎng)絡(luò)內(nèi)部的安全性。 內(nèi)部網(wǎng)絡(luò)設(shè)計 核心層交換機的設(shè)計核心層主要功能是給下層各業(yè)務(wù)匯聚節(jié)點提供 IP 業(yè)務(wù)平面高速承載和交換通道，負責(zé)進行數(shù)據(jù)的高速轉(zhuǎn)發(fā)，同時核心層是局域網(wǎng)的骨干，是局域網(wǎng)互連的關(guān)鍵。對核心骨干網(wǎng)絡(luò)設(shè)備的部署應(yīng)為能夠提供高帶寬、大容量的核心路由交換設(shè)備，同時應(yīng)具備極高的可靠性，能夠保證 24 小時全天候不間斷運行，也就必須考慮設(shè)備及鏈路的冗余性、安全性，而且核心骨干設(shè)備同時還應(yīng)擁有非常好的擴展能力，以便隨著網(wǎng)絡(luò)的發(fā)展而發(fā)展。 基于對核心層的功能及作用，根據(jù)用戶的實際需求，本方案中對網(wǎng)絡(luò)系統(tǒng)中核心層由 CISCO 系列的企業(yè)級核心交換機WSC356048TSS 組成。其主要任務(wù)是提供高性能、高安全性的核心數(shù)據(jù)交換、QoS 和為接入層提供高密度的上聯(lián)端口。為整個大樓寬帶辦公網(wǎng)提供交換和路由的核心，完成各個部分數(shù)據(jù)流的中央?yún)R集和分流。同時為數(shù)據(jù)中心的服務(wù)器提供千兆高速連接。 根據(jù)該企業(yè)的建筑分布及網(wǎng)絡(luò)規(guī)模，以行政樓的中心機房作為整個網(wǎng)絡(luò)系統(tǒng)的核心節(jié)點。核心節(jié)點由 2 臺同檔次的網(wǎng)絡(luò)核心設(shè)備構(gòu)成，它們互為備份且流量負載均衡。2 臺網(wǎng)絡(luò)核心交換機作為整個網(wǎng)絡(luò)的核心層設(shè)備，為各個匯聚層和接入層交換機提供上聯(lián)。同時提供了各個服務(wù)器的可靠接入。 由于 WSC356048TSS 是路由交換機，也即同時具有第二層和第三層的交換能力，為了充分利用資源，將 WWW 服務(wù)器、 E－ mail 服務(wù)器、數(shù)據(jù)庫服務(wù)器、文件 VOD 服務(wù)器、認證的服務(wù)器（Radius server）以及網(wǎng)管設(shè)備等通過千兆直接連人核心交換機，以解決帶寬瓶頸，充分利用核心交換機的交換能力。 核心交換機作為信息網(wǎng)絡(luò)的核心設(shè)備，性能的優(yōu)劣直接影響到整個網(wǎng)絡(luò)運行。在設(shè)備的選型上必須考慮到有足夠的背板帶寬，包交換能力，是否支持設(shè)備的冗余，安全性，擴展性等各種性能。企業(yè)級核心交換機 WSC356048TSS 完全滿足上述的各項要求。企業(yè)級核心路由交換機 WSC356048TSS 的性能特性及技術(shù)指標如下：? 交換機類：企業(yè)級交換機? 應(yīng)用層級：三層? 接口介質(zhì)：10/100 BASET/ 100FX? 傳輸速率：10Mbps/100Mbps? 端口數(shù)量：48? 背板帶寬：32Gbps? VLAN 支持：支持? 網(wǎng)管功能：網(wǎng)管功能 SNMP, CLI,? 包轉(zhuǎn)發(fā)率：? MAC 地址：12k? 網(wǎng)絡(luò)標準：IEEE , ,? 端口結(jié)構(gòu)：非模塊化 匯聚層交換機的設(shè)計匯聚層主要完成的任務(wù)是對各業(yè)務(wù)接入節(jié)點的業(yè)務(wù)匯聚、管理和分發(fā)處理，是完成網(wǎng)絡(luò)流量的安全控制機制，以使核心網(wǎng)和接入訪問層環(huán)境隔離開來；同時匯聚層起著承上啟下的作用，對上連接至核心層，對下將各種寬帶數(shù)據(jù)業(yè)務(wù)分配到各個接入層的業(yè)務(wù)節(jié)點，匯聚層位于中心機房或下聯(lián)單位的分配線間，主要用于匯聚接入路由器以及接入交換機。 因此對匯聚層的交換機部署時必須考慮交換機必須具有足夠的可靠性和冗余度，防止網(wǎng)絡(luò)中部分接入層變成孤島；還必須具有高處理能力，以便完成網(wǎng)絡(luò)數(shù)據(jù)會聚、轉(zhuǎn)發(fā)處理；具有靈活、優(yōu)化的網(wǎng)絡(luò)路由處理能力，實現(xiàn)網(wǎng)絡(luò)匯聚的優(yōu)化。而且規(guī)劃匯聚層時建議匯聚層節(jié)點的數(shù)量和位置應(yīng)根據(jù)業(yè)務(wù)和光纖資源情況來選擇；匯聚層節(jié)點可采用星形連接，每個匯聚層節(jié)點保證與兩個不同的核心層節(jié)點連接。 根據(jù)匯聚層在整個網(wǎng)絡(luò)中的作用以及用戶的實際需求，本方案中匯聚層共設(shè)計了 3 個節(jié)點，即：行政樓、生產(chǎn)車間和運輸樓（工段辦） 。 匯聚層網(wǎng)絡(luò)設(shè)備全部采用了 CISCO WSC356024TSS 交換機。該交換機支持各種高級路由協(xié)議，如 BGPRIPVRIPvVRRP、OSPF 、IP 組播、IPX 路由。 匯聚路由交換機 CISCO WSC356024TSS 的性能特性及技術(shù)指標如下：? 交換機類：企業(yè)級交換機? 應(yīng)用層級：三層? 接口介質(zhì)：10/100 BASET/ 100FX? 傳輸速率：10Mbps/100Mbps? 端口數(shù)量：24? 背板帶寬：32Gbps? VLAN 支持：支持? 網(wǎng)管功能：SNMP, CLI, Web, 管理 接入層交換機的設(shè)計接入層主要用來支撐客戶端機器對服務(wù)器的訪問，主要是指接入路由器、交換機、終端訪問用戶。它利用多種接入技術(shù)，迅速覆蓋至用戶節(jié)點，將不同地理分布的用戶快速有效地接入到信息網(wǎng)的匯聚。對上連接至匯聚層和核心層，對下進行帶寬和業(yè)務(wù)分配，實現(xiàn)用戶的接入。 根據(jù)我們所借鑒的項目設(shè)計經(jīng)驗，匯聚層節(jié)點與接入層節(jié)點可考慮采用星形連接，每個接入層節(jié)點與兩個匯聚層節(jié)點連接。當接入層采用其它結(jié)構(gòu)（如環(huán)行）連接到匯聚層時，建議提供兩條不同路由通道。 根據(jù)接入層處在網(wǎng)絡(luò)系統(tǒng)中所起的作用以及用戶的實際需求，本方案中接入層部分由 CISCO 公司的 WSC291824TCC交換機構(gòu)成。其主要功能是為該區(qū)域下屬各部門的網(wǎng)絡(luò)用戶提供大量性價比極高的 10/100 兆網(wǎng)絡(luò)接口，并與信息中心的核心交換機通過 1000 兆光纖鏈路互聯(lián)為接入的用戶提供高速上聯(lián)。接入層樓層交換機 CISCO WSC291824TCC 的性能特性及技術(shù)指標情況如下：? 交換機類：快速以太網(wǎng)交換機? 應(yīng)用層級：二層? 傳輸速率：10Mbps/100Mbps/1000M? 端口數(shù)量：24? 背板帶寬：16Gbps? VLAN 支持：支持? 網(wǎng)管功能：Cisco IOS CLI,Web 瀏? 包轉(zhuǎn)發(fā)率：? MAC 地址：8K? 網(wǎng)絡(luò)標準：IEEE ,IEEE 802? 端口結(jié)構(gòu)：非模塊化? 交換方式：存儲轉(zhuǎn)發(fā)? 產(chǎn)品內(nèi)存：64MB? 傳輸模式：支持全雙工? 網(wǎng)管支持：支持? 模塊化插：2 路由協(xié)議的設(shè)計如果網(wǎng)絡(luò)中只有一個路由器或路由交換機，不需要使用路由協(xié)議；只有當網(wǎng)絡(luò)中具有多個路由器時，才有必要讓它們?nèi)ス蚕硇畔?。但如果僅有小型網(wǎng)絡(luò)，完全可以通過靜態(tài)路由手動地更新路由表。現(xiàn)使用較多的路由協(xié)議，主要以下幾種： （1 ）RIP RIP（Route information protocol，即路由信息協(xié)議）是基于 DV 算法（距離向量算法）的內(nèi)部動態(tài)路由協(xié)議。RIP 協(xié)議的標準主要有 RFC1058（版本 1）和 RFC1723（版本 2） 。 （2 ）OSPF OSPF（Open Shortest Path First，即最短路徑優(yōu)先協(xié)議）是一種基于鏈路狀態(tài)的內(nèi)部動態(tài)路由協(xié)議。目前 OSPF 的主要標準是 RFC2328（版本 2） 。完整的 OSPF 功能包括支持廣播、NBMA、點到多點、點到點四種接口類型，以及 MD5 驗證、區(qū)域劃分、區(qū)域間路由聚合、虛連接、STUB 區(qū)域等特性。 （3 ）ISIS ISIS（Intermediate System Intermediate System，中間系統(tǒng)到中間系統(tǒng)協(xié)議）是由國際標準化組織（ISO）制訂的路由協(xié)議，屬于開放系統(tǒng)互聯(lián)協(xié)議簇。ISIS 對應(yīng)的標準是 ISO 10589 和 RFC1195。 在 IGP 路由協(xié)議的選擇上，盡量不要采用擴展性差的（RIP）和廠家的私有路由協(xié)議（ IGRP 和 EIGRP） ，盡量采用 OSPF 或 ISIS。 對于 OSPF 和 ISIS 的選擇依據(jù)為：基本原理相同（基于鏈路狀態(tài)算法） ，OSPF 用于 IP， ISIS 用于 ISO 的 CLNP，也支持 IP（“集成 ISIS” ） ；ISIS 結(jié)構(gòu)嚴謹， OSPF 更加靈活，OSPF 協(xié)議是基于接口的，而 ISIS 路由器只能屬于一個 Area，并且不支持 NBMA 網(wǎng)絡(luò)； ISIS 占用網(wǎng)絡(luò)資源相對較少，支持網(wǎng)絡(luò)規(guī)模大于 OSPF，在網(wǎng)絡(luò)相當龐大時能體現(xiàn)出優(yōu)勢；一個 IGP 域運行的三層交換機及路由器的數(shù)量一般不會超過 200 臺，因此從實際情況來看，運行 OSPF 和 ISIS 對 IP 城域網(wǎng)/ 承載網(wǎng)的建設(shè)不會有差異；對于網(wǎng)絡(luò)的穩(wěn)定性、可擴充性，兩種協(xié)議都能很好地支持；在大型 ISP 上，ISIS 與 OSPF 二者均獲得普遍應(yīng)用； 從 MPLS 草案及現(xiàn)實運行來看，如果要運行 MPLS 網(wǎng)絡(luò)的話，OSPF 經(jīng)常被選用做內(nèi)部 IGP，當然 ISIS 也有，但是 MPLS 草案中認為在 MPLS 環(huán)境中運行 OSPF 更合適；使用 MPLS TE 的時候，采用 ISIS 擴展的較多； 從目前很多廠商的設(shè)備來看，存在這樣一個問題，不少廠商的中低端路由器及三層交換機不支持 ISIS，從這個角度講 OSPF 比 ISIS 有優(yōu)勢，所有的主流路由器及三層交換機都支持 OSPF。 OSPF 路由協(xié)議相應(yīng)的配置策略為： ? AS 內(nèi)部節(jié)點均運行 OSPFv2 路由協(xié)議； ? 如果與別的 IP 網(wǎng)絡(luò)互通，建議配置 EBGP 路由協(xié)議，并且配置 OSPF 引入 BGP 路由； 為減少處理開銷和網(wǎng)絡(luò)開銷，可將網(wǎng)絡(luò)的主干部分劃分為 OSPF 主干區(qū)域（區(qū)域號為 0） ， 在邊緣的支局子網(wǎng)配置成為 OSPF 子區(qū)域，從而分散路由處理，減少網(wǎng)絡(luò)帶寬占用。通過配置區(qū)域，使 OSPF 可以分層次管理大型網(wǎng)絡(luò)，實現(xiàn)可擴展性。使用 OSPF 協(xié)議必須考慮到骨干區(qū)域的連通性，即使某條鏈路斷掉后能保證骨干區(qū)域不會分離；另外，還需要考慮網(wǎng)絡(luò)邊緣層設(shè)備的動蕩對于核心網(wǎng)絡(luò)的影響。 對于本次方案，根據(jù)初期階段實現(xiàn)目標：實現(xiàn)信息點最優(yōu)連通，建議采用 OSPF 路由協(xié)議使路由全網(wǎng)可達。具體設(shè)計如下： 核心交換機與匯聚交換機都為三層路由交換機，相互間使用 OSPF 路由協(xié)議，并運行在 AREAR 0 區(qū)域上。 核心交換機為三層交換機，與防火墻連接通過采用 IP 靜態(tài)路由的方式，防火墻通過配置缺省路由使網(wǎng)絡(luò)用戶對Inter 進行訪問。 IP 地址的設(shè)計 IP 地址規(guī)劃和分配原則（1 ）根據(jù)目前網(wǎng)絡(luò)結(jié)構(gòu)和以后擴展，遵循以下原則進行 IP 地址分配。 ?唯一性：IP 地址必須唯一，一個 IP 地址對應(yīng)一臺數(shù)據(jù)通訊設(shè)備； ?連續(xù)性：為同一網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于規(guī)劃，同時提高路由器尋徑效率； ?可管理性：地址的分配應(yīng)該有層次性，某個局部的變動不影響網(wǎng)絡(luò)的其它部分； ?高效性：采用可變長子網(wǎng)掩碼技術(shù)，要求采用支持可變長子網(wǎng)掩碼技術(shù)的 TCP/IP 協(xié)議族； ?可匯聚性：方便路由匯總，縮減路由表條目，提高路由器處理效率。 ?可擴展性：既要考慮到 IP 地址的使用現(xiàn)狀，又要考慮到未來信息網(wǎng)絡(luò)的發(fā)展，為各單位分配合理的地址空間，在網(wǎng)絡(luò)上盡可能少地做 NAT，減少網(wǎng)絡(luò)設(shè)備 CPU 處理負擔(dān)和加快網(wǎng)絡(luò)訪問速度。 （2 ）業(yè)務(wù)地址的劃分可以按照兩個原則來分配： ?按照部門規(guī)劃，每個部門一個獨立的網(wǎng)段；這種方案適合業(yè)務(wù)種類單一的情況，管理方便。 ?按照業(yè)務(wù)規(guī)劃，每種業(yè)務(wù)一個網(wǎng)段，所有的地市同一業(yè)務(wù)使用同一網(wǎng)段，這種方案適合業(yè)務(wù)之間互訪的控制。 網(wǎng)絡(luò)地址分配 IP 地址規(guī)劃和分配包括以下內(nèi)容： （1 ）設(shè)備及互連鏈路地址規(guī)劃與分配 （2 ）業(yè)務(wù)地址規(guī)劃與分配 （3 ）服務(wù)器地址規(guī)劃與分配 根據(jù)以上 IP 地址的劃分原則，本方案建議 IP 的設(shè)計如下：A 段（行政樓、門衛(wèi)）： ~B 段（生產(chǎn)車間、產(chǎn)區(qū)辦）：~C 段（運輸樓、工段辦）： ~ VLAN 的設(shè)計 VLAN 的劃分的作用及原則VLAN（Virtual Local Area Network）是虛擬局域網(wǎng)的英文縮寫，它最簡明的描述就是可以實現(xiàn)將連接在同一個物理網(wǎng)絡(luò)上面的主機分組，使它們看起來就象連接在不同的網(wǎng)絡(luò)上一樣。我們可以通過 VLAN 為網(wǎng)絡(luò)分段，各個網(wǎng)段可以共用同一套網(wǎng)絡(luò)設(shè)備，節(jié)約了網(wǎng)絡(luò)硬件的開銷，同時在遷移中所需的工作量也大幅度降低了，從而降低了連網(wǎng)成本。在用戶的企業(yè)局域網(wǎng)系統(tǒng)中，我們建議基于 IEEE 標準實現(xiàn) VLAN，在 VLAN 設(shè)計中，我們使用 VLAN 達到兩個目的： 第一，不同業(yè)務(wù)部門之間的隔離和通信控制； 第二，廣播范圍抑制。 VLAN 劃分我們建議根據(jù)各個辦公室的地理位置來劃分 VLAN， 如果同一棟樓內(nèi)包含很多部門，而這些部門的職能和工作內(nèi)容又有很大的區(qū)別，我們就可以在樓內(nèi)按照部門來劃分VLAN。 另外，如果某個部門需要跨越很多建筑物，分布范圍比較廣，例如部門 A 分布的很散，在很多交換機上都預(yù)留了部門 A 的信息點，我們則可以按照交換機的位置來設(shè)置 VLAN，這樣，部門 A 就可能對應(yīng)多個 VLAN，如果部門 A 所對應(yīng)的 VLAN 之間需要通信的話，我們可以通過 VLAN 間的路由來實現(xiàn)。這樣做的好處是：可以減少廣播數(shù)據(jù)包對網(wǎng)絡(luò)主干的影響。因為如果將部門 A 全部劃分到一個 VLAN 中，而這些 VLAN 又跨越了網(wǎng)絡(luò)主干，分布在眾多不同的交換機上，這樣如果有廣播包時，這些廣播包必然會在網(wǎng)絡(luò)的主干上傳輸，然后到達相應(yīng)的交換機上，也就占用了網(wǎng)絡(luò)主干的帶寬，容易造成其他業(yè)務(wù)的時延。 為了減少傳輸沖突，提高系統(tǒng)整體性能和網(wǎng)絡(luò)處理能力，另外，還考慮到網(wǎng)絡(luò)良好的管理性，易于維護和安全策略的實施，