【文章內(nèi)容簡介】 都要求很高的 IP電話，視頻會議等多媒體業(yè)務(wù)。因此，數(shù)據(jù)流量將大大增加，尤其是對核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了前所未有的要求。另外，隨著千兆位端口成本的持續(xù)下 降，千兆位到桌面的應(yīng)用會在不久的將來成為集團的主流。 穩(wěn)定可靠需求 RT 集團 企業(yè)的網(wǎng)絡(luò)應(yīng)具有更全面的可靠性設(shè)計，以實現(xiàn)網(wǎng)絡(luò)通信的實時暢通，保障企業(yè)生產(chǎn)運營的正常進行。隨著企業(yè)各種業(yè)務(wù)應(yīng)用逐漸轉(zhuǎn)移到計算機網(wǎng)絡(luò)上來，網(wǎng)絡(luò)通信的無中斷運行已經(jīng)成為保證企業(yè)正常生產(chǎn)運營的關(guān)鍵。 RT 集團 網(wǎng)絡(luò)在可靠性設(shè)計方面主要應(yīng)從以下 3 個方面考慮。 1）設(shè)備的可靠性設(shè)計：不僅要考慮網(wǎng)絡(luò)設(shè)備是否實現(xiàn)了關(guān)鍵部件的冗余備份，還要從網(wǎng)絡(luò)設(shè)備整體設(shè)計架構(gòu)、處理引擎種類等多方面去考察。 2）業(yè)務(wù)的可靠性設(shè)計：網(wǎng)絡(luò)設(shè)備在故障倒換過程中，是 否對業(yè)務(wù)的正常運行有影響。 3）鏈路的可靠性設(shè)計：以太網(wǎng)的鏈路安全來自于多路徑選擇，所以在集團絡(luò)建設(shè)時，要考慮網(wǎng)絡(luò)設(shè)備是否能夠提供有效的鏈路自愈手段 ，以及快速路由協(xié)議 的支持。 4 網(wǎng)絡(luò)安全需求 大多數(shù)的攻擊在 RT 集團 網(wǎng)內(nèi)，主要威脅和攻擊方法包括 ARP 攻擊，計算機病毒，拒絕服務(wù)攻擊，根據(jù)網(wǎng)絡(luò)服務(wù)器發(fā)起的攻擊，基于緩沖區(qū)溢出攻擊以及相關(guān)協(xié)議的漏洞進行攻擊。因此，在規(guī)劃和設(shè)計集團絡(luò)時應(yīng)考慮使用各種安全技術(shù)和安全設(shè)備。虛擬局域網(wǎng) (VLAN， Virtual Local Area Network)技術(shù)、網(wǎng)絡(luò)地址 轉(zhuǎn)換 (NAT， Network Address Translation)技術(shù)、訪問控制列表 (ACL， Access Control List)技術(shù)、網(wǎng)絡(luò)防病毒軟件是常用的集團絡(luò)安全措施。網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)準(zhǔn)入控制 (NAC)、虛擬專用網(wǎng) (VPN)等。 5 3 RT 集團網(wǎng)絡(luò)整體方案設(shè)計 根據(jù)前文的對 RT 集團的網(wǎng)絡(luò)建設(shè)進行調(diào)研和分析， RT 集團重點是建設(shè)一個穩(wěn)定性強、可靠性高的網(wǎng)絡(luò)，在此基礎(chǔ)之上能夠?qū)崿F(xiàn)集團內(nèi)部文件的共享和部門之間的溝通，以及實現(xiàn)部分部門能夠訪問互聯(lián)網(wǎng)，對 于那些數(shù)據(jù)安全性要求較高的部門不允許訪問互聯(lián)網(wǎng)，以免重要數(shù)據(jù)在互聯(lián)網(wǎng)上傳播；關(guān)于 RT 集團網(wǎng)絡(luò) IP 地址的重新規(guī)劃要盡量有規(guī)可循，方便后期的網(wǎng)絡(luò)擴展和路由調(diào)整；網(wǎng)絡(luò)的設(shè)計要做到把復(fù)雜簡單化層次化，方面后期的管理和維護，模塊化的網(wǎng)絡(luò)拓撲設(shè)計及時其中一個區(qū)域一個模塊出現(xiàn)網(wǎng)絡(luò)故障，不會對整體網(wǎng)絡(luò)造成影響?；谝陨系恼w需求， RT 集團整體拓撲設(shè)計如圖 31 所示： 圖 31 RT集團整體網(wǎng)絡(luò)拓撲結(jié)構(gòu) 集團區(qū)域設(shè)計 RT 集團的整體設(shè)計如圖 所示，整體網(wǎng)絡(luò)拓撲結(jié)構(gòu)采用分層模塊化設(shè)計，分層模塊化設(shè)計的主要好處就是 對于網(wǎng)絡(luò)架構(gòu)的更改和擴展不會影響到其他區(qū)域，部門的增加和整合只會影響到本部門，不影響企業(yè)內(nèi)部整體的辦公，保證網(wǎng)絡(luò) 7*24 小時不中斷。該RT 集團網(wǎng)整體網(wǎng)絡(luò)拓撲結(jié)構(gòu)分為三大模塊，分別是連接互聯(lián)網(wǎng)的出口區(qū)域，即集團網(wǎng)邊界區(qū)域；承載內(nèi)部網(wǎng)絡(luò)的三層網(wǎng)絡(luò)架構(gòu)，即內(nèi)網(wǎng)核心區(qū)、內(nèi)網(wǎng)接入?yún)^(qū)；存儲集團內(nèi)部所有數(shù)據(jù)和存儲交換的服務(wù)器集群，即服務(wù)器區(qū)域。三大區(qū)域模塊組成了集團網(wǎng)整體網(wǎng)絡(luò)拓撲結(jié)構(gòu)，實現(xiàn)集團內(nèi)部互訪、訪問服務(wù)器、訪問互聯(lián)網(wǎng)、遠程訪問等集團需要的功能。 6 集團邊界區(qū)域 集團邊界區(qū)域作為企業(yè)內(nèi)部與互聯(lián)網(wǎng)連接的出口 區(qū)域，即企業(yè)和運營商網(wǎng)絡(luò)的對接，根據(jù)集團建設(shè)的成本和集團的規(guī)模，這里選擇單出口區(qū)域，集團邊界區(qū)域的設(shè)計對集團來說至關(guān)重要，因為所有訪問互聯(lián)網(wǎng)的數(shù)據(jù)和互聯(lián)網(wǎng)的回包數(shù)據(jù)都要經(jīng)過這個區(qū)域，集團內(nèi)部經(jīng)常遭到攻擊多數(shù)都是來自互聯(lián)網(wǎng)，因此邊界區(qū)域的主要設(shè)計就是安全方面的設(shè)計，具體區(qū)域邊界的設(shè)計結(jié)構(gòu)如圖 32 所示： 圖 32 集團邊界區(qū)域拓撲結(jié)構(gòu) 集團邊界區(qū)域設(shè)計這里采用單出口的設(shè)計方案，使用一臺路由器連接運營商的網(wǎng)絡(luò)，邊界路由器一端連接集團內(nèi)網(wǎng)防火墻，用來對訪問外網(wǎng)的數(shù)據(jù)和外部訪問內(nèi)網(wǎng)的數(shù)據(jù)進行包檢測和訪問控制，防火 墻連接內(nèi)網(wǎng)核心模塊的核心交換機。很早以前的典型的集團絡(luò)拓撲結(jié)構(gòu)多數(shù)都是使用一臺出口路由器一端連接運營商網(wǎng)絡(luò)，一端連接核心交換機；或者直接使用防火墻一端連接運營商網(wǎng)絡(luò)，一端連接核心交換機，但是隨著伴隨著互聯(lián)網(wǎng)的普及和發(fā)展，這種網(wǎng)絡(luò)設(shè)計的弊端越來越多，固然這總設(shè)計可以節(jié)約成本，但是網(wǎng)絡(luò)健壯性不高，很容易被黑客攻擊，結(jié)合兩總傳統(tǒng)的邊界區(qū)域設(shè)計優(yōu)點，在互聯(lián)網(wǎng)區(qū)域流量流經(jīng)地添加一臺防火墻，用來檢測穿越內(nèi)外網(wǎng)的報文，統(tǒng)一進行訪問控制。盡管路由器本身也可以隔離內(nèi)外網(wǎng)和定義訪問控制關(guān)系，但是對于高級的訪問關(guān)系，路由器的安全 機制還是有一定的差距。 服務(wù)器區(qū)域設(shè)計 不管是集團還是校園網(wǎng)或者任何一個有數(shù)據(jù)訪問關(guān)系的局域網(wǎng)，都會有服務(wù)器的存在，服務(wù)器里面存儲著大量的數(shù)據(jù)，記錄著企業(yè)內(nèi)部所有的資料，一旦服務(wù)器里面的資料被泄露或者被更改，輕者會給公司帶來財產(chǎn)上的損失，嚴(yán)重者直接關(guān)系到企業(yè)的生存。 集團內(nèi)部常見的服務(wù)器有 FTP 服務(wù)器、 Email 服務(wù)器、 WEB 服務(wù)器、存儲服務(wù)器等，為了方便統(tǒng)一管理和基于模塊化的設(shè)計原則，將服務(wù)器集群組成一個 DMZ 服務(wù)器區(qū)域，使用一臺防火墻將服務(wù)器和內(nèi)網(wǎng)外網(wǎng)進行隔離，不管數(shù)據(jù)是從企業(yè)內(nèi)部發(fā)起點訪問 還是來自己與互聯(lián)網(wǎng)主機的訪問，都必須經(jīng)過服務(wù)器區(qū)域的防火墻，進行嚴(yán)格的報文檢測和訪問控制，最大程度的保證服務(wù)器區(qū)域的安全，服務(wù)器區(qū)域網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計如圖 33 所示： 7 圖 33 服務(wù)器區(qū)域網(wǎng)絡(luò)拓撲結(jié)構(gòu) 圖 33 為集團服務(wù)器區(qū)域設(shè)計結(jié)構(gòu)，因為集團的服務(wù)器一般不是很多，這里將服務(wù)器全部接到一臺交換機上，劃分一單獨的 vlan，然后交換機上聯(lián)到防火墻，防火墻另外一端連接內(nèi)網(wǎng)區(qū)域核心交換機，對防火墻接口劃分安全級別和定義高級訪問控制列表，對訪問服務(wù)器的端口進行控制。這樣通過直通型防火墻設(shè)計，不管是集團內(nèi)部還是外部數(shù)據(jù) ，只要對服務(wù)器發(fā)起訪問，就必須經(jīng)過防火墻，防火墻允許通過的才能訪問，非法的報文將會被丟棄。 內(nèi)網(wǎng)核心區(qū)、接入?yún)^(qū)設(shè)計 內(nèi)網(wǎng)區(qū)域也是集團設(shè)計的重要組成部門，一個集團可以不去訪問互聯(lián)網(wǎng)，但是集團內(nèi)部部門之間肯定要進行互訪，以及訪問內(nèi)網(wǎng)服務(wù)器，內(nèi)網(wǎng)區(qū)域的合理設(shè)計不僅可以提高網(wǎng)絡(luò)設(shè)備的利用率還可以提高集團的運營效率，集團內(nèi)網(wǎng)的設(shè)計一定要遵循高可用性、穩(wěn)定性，所謂的高可用性就是能夠提高網(wǎng)絡(luò)設(shè)備的利用率，避免資源浪費；穩(wěn)定性就是提高企業(yè)整體網(wǎng)絡(luò)的健壯性，不會因為一個設(shè)備、一條線路的故障而導(dǎo)致全網(wǎng)癱瘓，這就要求 集團的設(shè)計要做到網(wǎng)絡(luò)冗余，網(wǎng)絡(luò)的冗余會犧牲一部分設(shè)備的正常轉(zhuǎn)發(fā)數(shù)據(jù)報文，所以在提高網(wǎng)絡(luò)冗余的同時實現(xiàn)負載分擔(dān)可以保證網(wǎng)絡(luò)穩(wěn)定性的同時提高網(wǎng)絡(luò)設(shè)備的高可用性，對于那些核心設(shè)備，采用性能較高、轉(zhuǎn)發(fā)速率較快的高端設(shè)備，雖然價格昂貴，對于資源有限的集團可以選擇核心網(wǎng)絡(luò)設(shè)備采用雙引擎，雙電源的冗余，即使一個引擎或者一個電源出現(xiàn)故障，不會影響核心設(shè)備的正常轉(zhuǎn)發(fā)數(shù)據(jù)流量，保證集團正常辦公。集團內(nèi)網(wǎng)核心區(qū)、接入?yún)^(qū)整體設(shè)計拓撲如圖 34 所示： 8 圖 34 集團核心區(qū)、接入?yún)^(qū)設(shè)計結(jié)構(gòu) 集團內(nèi)網(wǎng)區(qū)域的設(shè)計一般可以劃分為二層結(jié)構(gòu)和 三層網(wǎng)絡(luò)結(jié)構(gòu)。 二層網(wǎng)絡(luò)結(jié)構(gòu)和三層網(wǎng)絡(luò)結(jié)構(gòu)的主要區(qū)別： 二層網(wǎng)絡(luò)結(jié)構(gòu)適合比較小型的網(wǎng)絡(luò)環(huán)境，即接入層、核心層，接入層一端連接PC，另一端上聯(lián)到核心層，將網(wǎng)關(guān)設(shè)置在核心層上。 三層網(wǎng)絡(luò)結(jié)構(gòu)適合大型網(wǎng)絡(luò)環(huán)境，比如校園網(wǎng)、園區(qū)外、大型集團等網(wǎng)絡(luò)節(jié)點數(shù)較多的網(wǎng)絡(luò)環(huán)境，三層結(jié)構(gòu)即接入層、匯聚層、核心層。接入層只做為接入終端即 PC，上聯(lián)到匯聚層，將網(wǎng)關(guān)和策略配置在匯聚層上，核心層多數(shù)由高性能的網(wǎng)絡(luò)設(shè)備組成，能夠?qū)崿F(xiàn)快速的數(shù)據(jù)包轉(zhuǎn)發(fā)，因此核心層主要用來轉(zhuǎn)發(fā)數(shù)據(jù)。 根據(jù)集團的現(xiàn)狀，和考慮到將來集團的擴展，這里采用三 層的網(wǎng)絡(luò)結(jié)構(gòu)來設(shè)計，即接入層、匯聚層、核心層。 核心層主要用來下連集團網(wǎng)絡(luò)匯聚層、上聯(lián)邊界區(qū)域防火墻，核心層設(shè)備要具有較高的性能，包轉(zhuǎn)發(fā)速率要快，不然會出現(xiàn)單一瓶頸，造成網(wǎng)絡(luò)擁塞。核心層可以使用雙核心和單核心結(jié)構(gòu)，考慮到集團為中小型集團絡(luò)，建網(wǎng)成本有限，這里采用單核心網(wǎng)絡(luò)拓撲結(jié)構(gòu)，但是單核心網(wǎng)絡(luò)拓撲結(jié)構(gòu)有很大的風(fēng)險，一旦此設(shè)備出現(xiàn)故障，將會導(dǎo)致全網(wǎng)不能訪問互聯(lián)網(wǎng)，影響較大，所以這里要在單核心上班上提供自身模塊的冗余，采用雙引擎雙電源的備份冗余模式，即使主引擎出現(xiàn)故障備引擎此時會瞬間成為主引擎，正常轉(zhuǎn)發(fā)數(shù)據(jù)， 采用雙電源的備份，即使一個電源模塊出現(xiàn)故障，不會影響到整體網(wǎng)絡(luò)，這樣既可節(jié)約建網(wǎng)成本，還能起到冗余備份，保證核心網(wǎng)絡(luò)的安全。 匯聚層作為承上啟下的中間層次設(shè)備，對集團的影響也是非常大的，因為一個匯聚層下連很多接入層設(shè)備，即匯聚層主要匯聚各個部門的數(shù)據(jù)流量，一旦匯聚層出現(xiàn)故障， 9 將會影響下連的幾個辦公部門，雖然不至于全網(wǎng)崩潰，不過產(chǎn)生的影響也是不可彌補的，所以匯聚層的合理設(shè)計將會起著關(guān)鍵性的作用，該企業(yè)內(nèi)網(wǎng)將采用雙匯聚互聯(lián)，使用生成樹技術(shù)實現(xiàn)匯聚層設(shè)備的主備和負載分擔(dān)。 雙設(shè)備互聯(lián)網(wǎng)絡(luò)結(jié)構(gòu)使用至少兩臺以上的網(wǎng)絡(luò) 設(shè)備才能稱為雙匯聚網(wǎng)絡(luò)結(jié)構(gòu)，雙設(shè)備網(wǎng)絡(luò)互聯(lián)正是為了解決單設(shè)備存在的問題而設(shè)計的網(wǎng)絡(luò)結(jié)構(gòu)，即匯聚層設(shè)備之間使用雙線互聯(lián)，增加網(wǎng)絡(luò)的冗余，避免單鏈路中斷導(dǎo)致網(wǎng)絡(luò)流量不能負載分擔(dān)，還可以將匯聚層設(shè)備之間互聯(lián)的兩條鏈路使用鏈路捆綁技術(shù) LACP 將兩條物理鏈路捆綁成為一條邏輯鏈路，不僅可以實現(xiàn)鏈路冗余還能增加鏈路帶寬。 雙設(shè)備互聯(lián)結(jié)構(gòu)的主要優(yōu)缺點： 雙設(shè)備互聯(lián)使用增加設(shè)備啟到冗余的作用來解決單設(shè)備的網(wǎng)絡(luò)隱患，但是同時網(wǎng)絡(luò)成本和網(wǎng)絡(luò)維護難度也將隨之增加，不過相對于網(wǎng)絡(luò)安全性能來說這些將顯得微不足道。 雙設(shè)備互聯(lián)網(wǎng)絡(luò)結(jié)構(gòu)還 能起到負載分擔(dān)的作用。當(dāng)網(wǎng)絡(luò)高峰期上網(wǎng)流量特別大的時候，匯聚層網(wǎng)絡(luò)設(shè)備通過雙線連接到接入層，可以很好的實現(xiàn)流量負載分擔(dān)，即一部分?jǐn)?shù)據(jù)流量由設(shè)備 1 轉(zhuǎn)發(fā)，另一部分?jǐn)?shù)據(jù)流量由設(shè)備 2 轉(zhuǎn)發(fā)，避免了網(wǎng)絡(luò)擁塞的同時增強了網(wǎng)絡(luò)的安全性，解決了單一節(jié)點故障，即使其中一臺設(shè)備出現(xiàn)故障，另外一臺也能正常轉(zhuǎn)發(fā)數(shù)據(jù)。 接入層位于連接到網(wǎng)絡(luò)的最終用戶處。接入層交換機通常在用戶之間提供第 2 層（ VLAN）連接性。必須具備下述功能： 低交換機端口成本； 高端口密度； 連接到高層的可擴展上行鏈路； 用戶接入功能，如 VLAN 成員資格、數(shù)據(jù)流和端 口安全以及上網(wǎng)認(rèn)證。 使用多條上行鏈路提供彈性。 接入層網(wǎng)絡(luò)設(shè)備主要是連接辦公 PC、打印機等終端設(shè)備，作為網(wǎng)絡(luò)層最底層的網(wǎng)絡(luò)設(shè)備，直接連接辦公主機，可以再最底層直接多終端設(shè)備進行安全控制，采用端口安全控制、廣播風(fēng)暴控制，可以很好的避免一部門非法主機的連接和廣播流量泛紅，啟用快速生成樹還能對底層網(wǎng)絡(luò)進行優(yōu)化。 集團 ip 地址規(guī)劃 網(wǎng)絡(luò)規(guī)劃和設(shè)計結(jié)合 VLAN 技術(shù)，及每個部門屬于不同的 VLAN，用來隔離廣播風(fēng)暴和局域網(wǎng)的安全，如果不同 VLAN 間要實現(xiàn)通信可以采取三層交換的轉(zhuǎn)發(fā)功能。為了提高網(wǎng)絡(luò)的可擴展性，這