【文章內(nèi)容簡介】 機(jī)人事勞資處VLAN 19辦公樓1四樓交換機(jī)監(jiān)察處VLAN 20辦公樓1四樓交換機(jī)卷煙銷售管理處辦公室VLAN 21辦公樓1四樓交換機(jī)宣傳部VLAN 22辦公樓1四樓交換機(jī)檔案室VLAN 23辦公樓1五樓交換機(jī)思想政治工作處VLAN 24辦公樓1五樓交換機(jī)專業(yè)部門辦公室主要位于辦公樓2中，辦公樓2共有88個(gè)內(nèi)網(wǎng)信息點(diǎn)，每一個(gè)層樓分配一個(gè)交換機(jī)，每一個(gè)辦公部門劃分為一個(gè)VLAN，每一個(gè)樓層上的VLAN劃分到該樓層對應(yīng)的交換機(jī)上。辦公樓2的IP及VLAN劃分如表42所示。表42 辦公樓2IP地址及VLAN劃分辦公部門分配的IP地址所屬VLAN所屬交換機(jī)安全保衛(wèi)處VLAN 25辦公樓2一樓交換機(jī)機(jī)關(guān)服務(wù)中心VLAN 26辦公樓2一樓交換機(jī)煙草質(zhì)量監(jiān)督檢測站VLAN 27辦公樓2一樓交換機(jī)倉庫VLAN 28辦公樓2一樓交換機(jī)會(huì)議室VLAN 29辦公樓2二樓交換機(jī)離退休人員管理辦公室VLAN 30辦公樓2二樓交換機(jī)物流管理處VLAN 31辦公樓2二樓交換機(jī)職業(yè)技能鑒定站VLAN 32辦公樓2二樓交換機(jī)續(xù)表42辦公部門分配的IP地址所屬VLAN所屬交換機(jī)煙草公司機(jī)關(guān)工會(huì)VLAN 33辦公樓2三樓交換機(jī)煙草學(xué)會(huì)VLAN 34辦公樓2三樓交換機(jī)教育培新中心VLAN 35辦公樓2四樓交換機(jī)服務(wù)器IP地址及VLAN劃分如表43所示。表43 服務(wù)器IP地址及VLAN劃分辦公部門分配的IP地址所屬VLAN服務(wù)器VLAN36 方案設(shè)計(jì)特點(diǎn)(1) 具備三層功能的交換網(wǎng)絡(luò)結(jié)構(gòu)所有產(chǎn)品都支持第二層或第三層(或基本IP交換)功能。不僅可以進(jìn)行VLAN的劃分，還可以進(jìn)行高速的路由轉(zhuǎn)發(fā)[15]。VLAN可以根據(jù)端口、子網(wǎng)和網(wǎng)絡(luò)協(xié)議進(jìn)行劃分。支持各種常用的網(wǎng)絡(luò)協(xié)議和路由協(xié)議。由于每個(gè)設(shè)備都支持無阻塞的第二層或第三層交換，在交換結(jié)構(gòu)中，可以達(dá)到非常好的性能，也意味著可以減少繁瑣的擁塞管理工作。第二層意味著可以支持域網(wǎng)絡(luò)協(xié)議無關(guān)的鏈路服務(wù)，用戶可以是IP網(wǎng)絡(luò)、IPX網(wǎng)絡(luò)或WINDOWS NT網(wǎng)絡(luò)，用戶不需要改變他們已有的網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)地址。第三層意味著可以支持以IP為主要協(xié)議的網(wǎng)絡(luò)應(yīng)用，尤其是需要與其他地域互連時(shí)，由于網(wǎng)絡(luò)鏈路的復(fù)雜性和多樣性，要進(jìn)行網(wǎng)絡(luò)互連，必須采用高層網(wǎng)絡(luò)協(xié)議。第二層服務(wù)可以為網(wǎng)絡(luò)的單個(gè)區(qū)域服務(wù)。第三層則可以為整個(gè)網(wǎng)絡(luò)連接時(shí)提供服務(wù)。(2) 完善的接入安全性由于每個(gè)設(shè)備都可以支持第二層或第三層交換，因此可以提供第二層或第三層的安全控制能力。第二層安全控制能力可以提供端口地址過濾、端口地址鎖定等功能。端口地址過濾允許交換機(jī)根據(jù)預(yù)先設(shè)定的過濾規(guī)則，允許或禁止某些第二層數(shù)據(jù)包進(jìn)出交換機(jī)，也就是對上網(wǎng)用戶的網(wǎng)卡MAC地址進(jìn)行檢查后才能上網(wǎng)，不符合規(guī)則的用戶將被拒絕上網(wǎng)。第三層安全控制能力可以提供訪問控制列表能力，允許交換機(jī)根據(jù)預(yù)先設(shè)定的規(guī)則，允許或者禁止某些第三層數(shù)據(jù)(IP或IPX包)進(jìn)出交換機(jī)。(3) 良好的網(wǎng)絡(luò)隔離能力網(wǎng)絡(luò)較關(guān)心的問題是網(wǎng)絡(luò)的安全性問題，他們不希望內(nèi)部數(shù)據(jù)有被竊取得可能，這就使得網(wǎng)絡(luò)必須提供類似電路的隔離功能。在本次網(wǎng)絡(luò)升級(jí)改造規(guī)劃中，采用的比較多的應(yīng)該是VLAN技術(shù)，即虛擬局域網(wǎng)技術(shù)。在VLAN技術(shù)出現(xiàn)以前，交換技術(shù)域網(wǎng)絡(luò)的第二層，所有的端口到屬于同一個(gè)廣播域，也就是每個(gè)端口都可以收到廣播信息，不管它愿不愿意。在大型的網(wǎng)絡(luò)環(huán)境中，廣播包不可避免地會(huì)引起帶寬的浪費(fèi)，而在TCP/IP，IPX，WINDOWS環(huán)境下，廣播包的使用更是不可或缺。為了解決這個(gè)問題，VLAN技術(shù)應(yīng)運(yùn)而生。VLAN把一部分端口模擬成為一個(gè)虛擬的廣播域，VLAN的所有廣播都只會(huì)在本域內(nèi)發(fā)送，不會(huì)超出廣播域，進(jìn)一步，VLAN內(nèi)的所有數(shù)據(jù)都只能被同一VLAN的成員接收，而不會(huì)被非本VLAN成員接收。不同的VLAN之間不能相互通信，必須通過路由設(shè)備進(jìn)行轉(zhuǎn)發(fā)[16]。如果把每個(gè)區(qū)域網(wǎng)絡(luò)劃到每個(gè)不同的VLAN內(nèi)，網(wǎng)絡(luò)之間就不可能相互通信，這就實(shí)現(xiàn)了邏輯隔離。由于每個(gè)區(qū)域網(wǎng)絡(luò)都可以運(yùn)行內(nèi)部約定的網(wǎng)絡(luò)協(xié)議，設(shè)定內(nèi)部約定的網(wǎng)絡(luò)參數(shù)，只要對網(wǎng)絡(luò)設(shè)備的管理和配置嚴(yán)格一些，區(qū)域網(wǎng)絡(luò)之間是絕對不可能互通的。網(wǎng)絡(luò)只通過某臺(tái)設(shè)備上的一個(gè)特定端口訪問網(wǎng)絡(luò)，因此每個(gè)區(qū)域網(wǎng)絡(luò)的節(jié)點(diǎn)連接到網(wǎng)絡(luò)的路徑可以是獨(dú)立的，相互之間沒有任何關(guān)系。(4) 完善的設(shè)備安全性華為公司的網(wǎng)絡(luò)設(shè)備具有良好的安全性，主要包括以下幾個(gè)方面。1 華為網(wǎng)絡(luò)產(chǎn)品具有多沖擊別的訪問控制，允許系統(tǒng)管理員完成配置管理，同時(shí)保護(hù)系統(tǒng)面授非法的配置修改。用戶分為三種級(jí)別：超級(jí)用戶、只讀用戶、普通用戶。超級(jí)用戶具有最大權(quán)限，普通用戶只能配置接口參數(shù)，并使用顯示參數(shù)命令。只讀用戶只能閱讀配置，沒有任何更改權(quán)利。2 通過訪問控制列表，可以禁止或允許對華為網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理。3 本地用戶遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)或(RADIUS)、終端訪問控制器訪問控制系統(tǒng)(TACACS+)口令認(rèn)證。4 通過身份驗(yàn)證，可以禁止或允許TELNET訪問，必要時(shí)，可以關(guān)閉TELNET服務(wù)。5 通過SYSLOG功能，把系統(tǒng)事件紀(jì)錄并保存下來。(5) 良好的網(wǎng)絡(luò)穩(wěn)定性網(wǎng)絡(luò)的穩(wěn)定性體現(xiàn)在當(dāng)網(wǎng)絡(luò)發(fā)生鏈路或設(shè)備失效時(shí)，網(wǎng)絡(luò)能在短時(shí)間內(nèi)恢復(fù)正常。對于一個(gè)運(yùn)行級(jí)網(wǎng)絡(luò)來說，穩(wěn)定性與性能一樣重要[16]。設(shè)備穩(wěn)定性除設(shè)備的性能指標(biāo)外，主要指設(shè)備的平均無故障時(shí)間(MTBF)。所選用華為多款設(shè)備MTBF指標(biāo)優(yōu)異，優(yōu)于業(yè)內(nèi)同類產(chǎn)品。(6) 良好的網(wǎng)絡(luò)擴(kuò)展性、先進(jìn)性本方案采用的S570024TPSI(AC)具有冗余的插槽及接口，完全能夠滿足未來網(wǎng)絡(luò)擴(kuò)展之需。同時(shí)，S570024TPSI(AC)支持萬兆端口，未來?xiàng)l件具備，只需添加相應(yīng)的萬兆模塊即可實(shí)現(xiàn)主干萬兆帶寬。并且，方案中三層設(shè)備均支持IPV6，符合技術(shù)發(fā)展潮流，利于未來IPV6的應(yīng)用和學(xué)習(xí)。一方面堆疊帶寬比級(jí)聯(lián)帶寬要高；另一方面管理也方便，原來要管理多臺(tái)交換機(jī)，堆疊之后只用管理一臺(tái)就可以了，從而保證了網(wǎng)絡(luò)的高可擴(kuò)展性。(7) 良好的可管理性所有華為網(wǎng)絡(luò)產(chǎn)品都支持兩種網(wǎng)絡(luò)管理方式：命令行、WEB管理。華為網(wǎng)絡(luò)的命令行簡單易用，并有幫助功能，可以進(jìn)行所有的配置工作。WEB瀏覽器管理則采用圖形界面，直觀而簡潔。華為網(wǎng)絡(luò)產(chǎn)品支持標(biāo)準(zhǔn)的網(wǎng)路管理協(xié)議：簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)和遠(yuǎn)程監(jiān)控協(xié)議(RMON)。設(shè)備選型5 設(shè)備選型為保證XX事業(yè)單位的信息系統(tǒng)的穩(wěn)定性和高效運(yùn)行，因此，應(yīng)該采用主流的網(wǎng)絡(luò)產(chǎn)品，在當(dāng)今眾多的網(wǎng)絡(luò)設(shè)備廠商中，知名大有思科(CISCO)、華為(HUAWEI)、北電(NORTEL)、銳捷(REDGIANT)、3COM、IBM、H3C等，綜合考慮各家公司的發(fā)展?fàn)顩r、技術(shù)實(shí)力、市場占有率、產(chǎn)品的豐富完整等各方面因素，其中華為公司是全球領(lǐng)先的互聯(lián)網(wǎng)設(shè)備供應(yīng)商。它的網(wǎng)絡(luò)設(shè)備和應(yīng)用方案將世界各地的人、計(jì)算設(shè)備以及網(wǎng)絡(luò)聯(lián)結(jié)起來，具有較高的穩(wěn)定性和安全性，且使用和維護(hù)都很方便。所以，本項(xiàng)目選擇國內(nèi)知名公司華為公司的網(wǎng)絡(luò)設(shè)備。 交換機(jī)設(shè)備選型 網(wǎng)絡(luò)核心層設(shè)備選型網(wǎng)絡(luò)核心層是網(wǎng)絡(luò)的中心，其功能是實(shí)現(xiàn)高性能的交換和傳輸。因此核心層設(shè)備應(yīng)該是高性能的交換機(jī)，可實(shí)現(xiàn)高速度的交換傳輸，以連接服務(wù)器等核心設(shè)備，并且非常可靠，實(shí)現(xiàn)不間斷工作。本方案為XX事業(yè)單位辦公網(wǎng)絡(luò)核心層選用兩臺(tái)華為S570024TPSI(AC)交換機(jī)作為核心交換機(jī)來連接各級(jí)交換機(jī)。華為S570024TPSI(AC)如圖51所示。圖51 核心層交換機(jī)華為S570024TPSI(AC)華為S570024TPSI(AC)是專為滿足對千兆位密度、數(shù)據(jù)和語音集成、LAN/WAN/MAN集中、可擴(kuò)展性、高可用性、以及主干/分布、服務(wù)器整合和服務(wù)供應(yīng)商環(huán)境中智能多層交換的不斷增長的需求而設(shè)計(jì)的。這些華為產(chǎn)品共同提供了廣泛的智能交換解決方案，使內(nèi)部網(wǎng)和Internet能夠支持多媒體、關(guān)鍵任務(wù)數(shù)據(jù)和語音應(yīng)用。華為S570024TPSI(AC)提供了出色的可擴(kuò)展性和性能/價(jià)格比，能支持廣泛的接口密度、性能以及高可用性選項(xiàng)。作為華為內(nèi)容組網(wǎng)體系結(jié)構(gòu)的關(guān)鍵組成部分，華為S570024TPSI(AC)提供了前所未有的商業(yè)靈活性，使企業(yè)能夠快速部署新的Internet應(yīng)用并因而提高自己的收入和降低運(yùn)營成本。當(dāng)與應(yīng)用智能和安全性功能結(jié)合在一起時(shí)，客戶將能夠在不犧牲網(wǎng)絡(luò)性能的情況下更有效地使用自己的網(wǎng)絡(luò)提供更多的客戶機(jī)服務(wù)，如組播和企業(yè)資源規(guī)劃應(yīng)用。 網(wǎng)絡(luò)匯聚層設(shè)備選型匯聚層交換層是多臺(tái)接入層交換機(jī)的匯聚點(diǎn)，它必須能夠處理來自接入層設(shè)備的所有通信量，并提供到核心層的上行鏈路，因此匯聚層交換機(jī)與接入層交換機(jī)比較，需要更高的性能，更少的接口和更高的交換速率。本方案為XX事業(yè)單位網(wǎng)絡(luò)匯聚層設(shè)備選用兩臺(tái)