【文章內(nèi)容簡介】 機人事勞資處VLAN 19辦公樓1四樓交換機監(jiān)察處VLAN 20辦公樓1四樓交換機卷煙銷售管理處辦公室VLAN 21辦公樓1四樓交換機宣傳部VLAN 22辦公樓1四樓交換機檔案室VLAN 23辦公樓1五樓交換機思想政治工作處VLAN 24辦公樓1五樓交換機專業(yè)部門辦公室主要位于辦公樓2中，辦公樓2共有88個內(nèi)網(wǎng)信息點，每一個層樓分配一個交換機，每一個辦公部門劃分為一個VLAN，每一個樓層上的VLAN劃分到該樓層對應的交換機上。辦公樓2的IP及VLAN劃分如表42所示。表42 辦公樓2IP地址及VLAN劃分辦公部門分配的IP地址所屬VLAN所屬交換機安全保衛(wèi)處VLAN 25辦公樓2一樓交換機機關服務中心VLAN 26辦公樓2一樓交換機煙草質(zhì)量監(jiān)督檢測站VLAN 27辦公樓2一樓交換機倉庫VLAN 28辦公樓2一樓交換機會議室VLAN 29辦公樓2二樓交換機離退休人員管理辦公室VLAN 30辦公樓2二樓交換機物流管理處VLAN 31辦公樓2二樓交換機職業(yè)技能鑒定站VLAN 32辦公樓2二樓交換機續(xù)表42辦公部門分配的IP地址所屬VLAN所屬交換機煙草公司機關工會VLAN 33辦公樓2三樓交換機煙草學會VLAN 34辦公樓2三樓交換機教育培新中心VLAN 35辦公樓2四樓交換機服務器IP地址及VLAN劃分如表43所示。表43 服務器IP地址及VLAN劃分辦公部門分配的IP地址所屬VLAN服務器VLAN36 方案設計特點(1) 具備三層功能的交換網(wǎng)絡結構所有產(chǎn)品都支持第二層或第三層(或基本IP交換)功能。不僅可以進行VLAN的劃分，還可以進行高速的路由轉(zhuǎn)發(fā)[15]。VLAN可以根據(jù)端口、子網(wǎng)和網(wǎng)絡協(xié)議進行劃分。支持各種常用的網(wǎng)絡協(xié)議和路由協(xié)議。由于每個設備都支持無阻塞的第二層或第三層交換，在交換結構中，可以達到非常好的性能，也意味著可以減少繁瑣的擁塞管理工作。第二層意味著可以支持域網(wǎng)絡協(xié)議無關的鏈路服務，用戶可以是IP網(wǎng)絡、IPX網(wǎng)絡或WINDOWS NT網(wǎng)絡，用戶不需要改變他們已有的網(wǎng)絡協(xié)議和網(wǎng)絡地址。第三層意味著可以支持以IP為主要協(xié)議的網(wǎng)絡應用，尤其是需要與其他地域互連時，由于網(wǎng)絡鏈路的復雜性和多樣性，要進行網(wǎng)絡互連，必須采用高層網(wǎng)絡協(xié)議。第二層服務可以為網(wǎng)絡的單個區(qū)域服務。第三層則可以為整個網(wǎng)絡連接時提供服務。(2) 完善的接入安全性由于每個設備都可以支持第二層或第三層交換，因此可以提供第二層或第三層的安全控制能力。第二層安全控制能力可以提供端口地址過濾、端口地址鎖定等功能。端口地址過濾允許交換機根據(jù)預先設定的過濾規(guī)則，允許或禁止某些第二層數(shù)據(jù)包進出交換機，也就是對上網(wǎng)用戶的網(wǎng)卡MAC地址進行檢查后才能上網(wǎng)，不符合規(guī)則的用戶將被拒絕上網(wǎng)。第三層安全控制能力可以提供訪問控制列表能力，允許交換機根據(jù)預先設定的規(guī)則，允許或者禁止某些第三層數(shù)據(jù)(IP或IPX包)進出交換機。(3) 良好的網(wǎng)絡隔離能力網(wǎng)絡較關心的問題是網(wǎng)絡的安全性問題，他們不希望內(nèi)部數(shù)據(jù)有被竊取得可能，這就使得網(wǎng)絡必須提供類似電路的隔離功能。在本次網(wǎng)絡升級改造規(guī)劃中，采用的比較多的應該是VLAN技術，即虛擬局域網(wǎng)技術。在VLAN技術出現(xiàn)以前，交換技術域網(wǎng)絡的第二層，所有的端口到屬于同一個廣播域，也就是每個端口都可以收到廣播信息，不管它愿不愿意。在大型的網(wǎng)絡環(huán)境中，廣播包不可避免地會引起帶寬的浪費，而在TCP/IP，IPX，WINDOWS環(huán)境下，廣播包的使用更是不可或缺。為了解決這個問題，VLAN技術應運而生。VLAN把一部分端口模擬成為一個虛擬的廣播域，VLAN的所有廣播都只會在本域內(nèi)發(fā)送，不會超出廣播域，進一步，VLAN內(nèi)的所有數(shù)據(jù)都只能被同一VLAN的成員接收，而不會被非本VLAN成員接收。不同的VLAN之間不能相互通信，必須通過路由設備進行轉(zhuǎn)發(fā)[16]。如果把每個區(qū)域網(wǎng)絡劃到每個不同的VLAN內(nèi)，網(wǎng)絡之間就不可能相互通信，這就實現(xiàn)了邏輯隔離。由于每個區(qū)域網(wǎng)絡都可以運行內(nèi)部約定的網(wǎng)絡協(xié)議，設定內(nèi)部約定的網(wǎng)絡參數(shù)，只要對網(wǎng)絡設備的管理和配置嚴格一些，區(qū)域網(wǎng)絡之間是絕對不可能互通的。網(wǎng)絡只通過某臺設備上的一個特定端口訪問網(wǎng)絡，因此每個區(qū)域網(wǎng)絡的節(jié)點連接到網(wǎng)絡的路徑可以是獨立的，相互之間沒有任何關系。(4) 完善的設備安全性華為公司的網(wǎng)絡設備具有良好的安全性，主要包括以下幾個方面。1 華為網(wǎng)絡產(chǎn)品具有多沖擊別的訪問控制，允許系統(tǒng)管理員完成配置管理，同時保護系統(tǒng)面授非法的配置修改。用戶分為三種級別：超級用戶、只讀用戶、普通用戶。超級用戶具有最大權限，普通用戶只能配置接口參數(shù)，并使用顯示參數(shù)命令。只讀用戶只能閱讀配置，沒有任何更改權利。2 通過訪問控制列表，可以禁止或允許對華為網(wǎng)絡設備的遠程管理。3 本地用戶遠程用戶撥號認證系統(tǒng)或(RADIUS)、終端訪問控制器訪問控制系統(tǒng)(TACACS+)口令認證。4 通過身份驗證，可以禁止或允許TELNET訪問，必要時，可以關閉TELNET服務。5 通過SYSLOG功能，把系統(tǒng)事件紀錄并保存下來。(5) 良好的網(wǎng)絡穩(wěn)定性網(wǎng)絡的穩(wěn)定性體現(xiàn)在當網(wǎng)絡發(fā)生鏈路或設備失效時，網(wǎng)絡能在短時間內(nèi)恢復正常。對于一個運行級網(wǎng)絡來說，穩(wěn)定性與性能一樣重要[16]。設備穩(wěn)定性除設備的性能指標外，主要指設備的平均無故障時間(MTBF)。所選用華為多款設備MTBF指標優(yōu)異，優(yōu)于業(yè)內(nèi)同類產(chǎn)品。(6) 良好的網(wǎng)絡擴展性、先進性本方案采用的S570024TPSI(AC)具有冗余的插槽及接口，完全能夠滿足未來網(wǎng)絡擴展之需。同時，S570024TPSI(AC)支持萬兆端口，未來條件具備，只需添加相應的萬兆模塊即可實現(xiàn)主干萬兆帶寬。并且，方案中三層設備均支持IPV6，符合技術發(fā)展潮流，利于未來IPV6的應用和學習。一方面堆疊帶寬比級聯(lián)帶寬要高；另一方面管理也方便，原來要管理多臺交換機，堆疊之后只用管理一臺就可以了，從而保證了網(wǎng)絡的高可擴展性。(7) 良好的可管理性所有華為網(wǎng)絡產(chǎn)品都支持兩種網(wǎng)絡管理方式：命令行、WEB管理。華為網(wǎng)絡的命令行簡單易用，并有幫助功能，可以進行所有的配置工作。WEB瀏覽器管理則采用圖形界面，直觀而簡潔。華為網(wǎng)絡產(chǎn)品支持標準的網(wǎng)路管理協(xié)議：簡單網(wǎng)絡管理協(xié)議(SNMP)和遠程監(jiān)控協(xié)議(RMON)。設備選型5 設備選型為保證XX事業(yè)單位的信息系統(tǒng)的穩(wěn)定性和高效運行，因此，應該采用主流的網(wǎng)絡產(chǎn)品，在當今眾多的網(wǎng)絡設備廠商中，知名大有思科(CISCO)、華為(HUAWEI)、北電(NORTEL)、銳捷(REDGIANT)、3COM、IBM、H3C等，綜合考慮各家公司的發(fā)展狀況、技術實力、市場占有率、產(chǎn)品的豐富完整等各方面因素，其中華為公司是全球領先的互聯(lián)網(wǎng)設備供應商。它的網(wǎng)絡設備和應用方案將世界各地的人、計算設備以及網(wǎng)絡聯(lián)結起來，具有較高的穩(wěn)定性和安全性，且使用和維護都很方便。所以，本項目選擇國內(nèi)知名公司華為公司的網(wǎng)絡設備。 交換機設備選型 網(wǎng)絡核心層設備選型網(wǎng)絡核心層是網(wǎng)絡的中心，其功能是實現(xiàn)高性能的交換和傳輸。因此核心層設備應該是高性能的交換機，可實現(xiàn)高速度的交換傳輸，以連接服務器等核心設備，并且非?？煽?，實現(xiàn)不間斷工作。本方案為XX事業(yè)單位辦公網(wǎng)絡核心層選用兩臺華為S570024TPSI(AC)交換機作為核心交換機來連接各級交換機。華為S570024TPSI(AC)如圖51所示。圖51 核心層交換機華為S570024TPSI(AC)華為S570024TPSI(AC)是專為滿足對千兆位密度、數(shù)據(jù)和語音集成、LAN/WAN/MAN集中、可擴展性、高可用性、以及主干/分布、服務器整合和服務供應商環(huán)境中智能多層交換的不斷增長的需求而設計的。這些華為產(chǎn)品共同提供了廣泛的智能交換解決方案，使內(nèi)部網(wǎng)和Internet能夠支持多媒體、關鍵任務數(shù)據(jù)和語音應用。華為S570024TPSI(AC)提供了出色的可擴展性和性能/價格比，能支持廣泛的接口密度、性能以及高可用性選項。作為華為內(nèi)容組網(wǎng)體系結構的關鍵組成部分，華為S570024TPSI(AC)提供了前所未有的商業(yè)靈活性，使企業(yè)能夠快速部署新的Internet應用并因而提高自己的收入和降低運營成本。當與應用智能和安全性功能結合在一起時，客戶將能夠在不犧牲網(wǎng)絡性能的情況下更有效地使用自己的網(wǎng)絡提供更多的客戶機服務，如組播和企業(yè)資源規(guī)劃應用。 網(wǎng)絡匯聚層設備選型匯聚層交換層是多臺接入層交換機的匯聚點，它必須能夠處理來自接入層設備的所有通信量，并提供到核心層的上行鏈路，因此匯聚層交換機與接入層交換機比較，需要更高的性能，更少的接口和更高的交換速率。本方案為XX事業(yè)單位網(wǎng)絡匯聚層設備選用兩臺