【文章內(nèi)容簡介】 。 軟硬件功能分析 路由器 一個(gè)作用是連通不同的網(wǎng)絡(luò)，另一個(gè)作用是選擇信息傳送的線路。選擇通暢快捷的近路，能大大提高通信速度，減輕網(wǎng)絡(luò)系統(tǒng)通信負(fù)荷，節(jié)約網(wǎng)絡(luò)系統(tǒng)資源，提高網(wǎng)絡(luò)系統(tǒng)暢通率，從而讓網(wǎng)絡(luò)系統(tǒng)發(fā)揮出更大的效益來。就企業(yè)局域網(wǎng)網(wǎng)絡(luò)而言，由于大量的數(shù)據(jù)都發(fā)生在局域網(wǎng)內(nèi)部，對(duì)路由器的性能要求不高，因此，可以選用中低端路由器。低端路由器主要適用中小辦公網(wǎng)絡(luò)的應(yīng)用，考慮的一個(gè)主要因素是端口數(shù)量，另外還要看包交換能力和 NAT 轉(zhuǎn)換能力。中端路由器適用大 中型辦公網(wǎng)絡(luò)，選用的原則也是考慮端口支持能力、包交換能力和 NAT 轉(zhuǎn)換能力。在這里值得進(jìn)一步說明的是，如果讓內(nèi)部計(jì)算機(jī)直接通過路由器訪問外部網(wǎng)絡(luò)， 必須做 NAT 轉(zhuǎn)換，當(dāng)并發(fā)連接較大時(shí)，做 NAT 轉(zhuǎn)換非常占資源，最好考慮有帶 NAT 模塊的路由器或?qū)ｉT的 NAT 設(shè)備。 交換機(jī) 工作組交換機(jī)采用可網(wǎng)管交換機(jī)，實(shí)現(xiàn)對(duì)每臺(tái)接入計(jì)算機(jī)的控制，實(shí)現(xiàn) VLAN（虛擬網(wǎng)）的劃分，確保最大限度的網(wǎng)絡(luò)訪問安全。 接入層 交換機(jī) 采用擁有千兆端口的可網(wǎng)管交換機(jī)實(shí)現(xiàn)與 核心路由器 的高速連接，避免可能產(chǎn)生的網(wǎng)絡(luò)瓶頸。匯聚層 交換機(jī) 采用三層交換機(jī)， 實(shí)現(xiàn) 接入層的告訴匯聚功能以及 VLAN 間 路由實(shí)現(xiàn)。 防火墻 是一項(xiàng)協(xié)助確保信息安全的設(shè)備，會(huì)依照特定的規(guī)則，允許或是限制傳輸?shù)? 12 數(shù)據(jù)通過。防火墻可以是一臺(tái)專屬的硬件也可以是架設(shè)在一般硬件上的一套軟件 。 防火墻有軟件防火墻和硬件防火墻兩種 ， 并且對(duì)軟硬件的特殊要求使硬件防火墻的實(shí)際帶寬與理論值基本一致，有著高吞吐量、安全與速度兼顧的優(yōu)點(diǎn)。 服務(wù)器 服務(wù)器應(yīng)該具備速度高、存儲(chǔ)容量大、吞吐能力強(qiáng)、 穩(wěn)定安全 、擴(kuò)展性強(qiáng) 和管理功能強(qiáng) 等特 點(diǎn)。 WWW 服務(wù)器：是網(wǎng)絡(luò)運(yùn)行的核心服務(wù)器，通常兼作 DNS 服務(wù)器、 FTP 服務(wù)器。訪問量大，根據(jù)企業(yè)規(guī)模大小，采用適合自己規(guī)模的服務(wù)器。一般對(duì)于 200 個(gè)信息點(diǎn)以下的企業(yè)，通?？刹捎弥С侄?CPU 的頂級(jí) PC 服務(wù)器和低端專業(yè)服務(wù)器。 FTP 服務(wù)器 ： 實(shí) 現(xiàn)信息共享，文件傳輸是信息共享 ， 通常中小企業(yè)可由 WEB服 等 服務(wù) 器兼用。 公網(wǎng) IP 地址數(shù) 由于 對(duì)外服務(wù)器 要求有固定的公網(wǎng) IP 地址，路由器也要求有固定的公網(wǎng) IP地址，以及 NAT 地址池 也需要有固定的公網(wǎng) IP 地址，因此，必須向 ISP 提供商申請(qǐng)一定數(shù)量的公網(wǎng) IP 地址，對(duì)于 中、 小型網(wǎng)絡(luò)來講， 8 個(gè)勉強(qiáng)可以，對(duì)于大型局域網(wǎng)來說，要求 16 個(gè)以上 才能夠用。 VLAN 技術(shù)分析 、 VLAN 技術(shù)概述 VLAN(Virtual Local Area Network)也就是虛擬局域網(wǎng)，是一種建立在交換技術(shù)基礎(chǔ)之上的，通過將局域網(wǎng)內(nèi)的機(jī)器設(shè)備 邏輯地而不是物理地 劃分成一個(gè)個(gè)不同的網(wǎng)段，以軟件方式實(shí)現(xiàn)邏輯工作組的劃分與管理的技術(shù)。 IEEE 于 1999 年頒布了用以標(biāo)準(zhǔn)化 VLAN 實(shí)現(xiàn)方案的 IEEE 協(xié)議標(biāo)準(zhǔn)草案。 VLAN 的作用是使得同一 VLAN 中的成員間能夠互相通信，而不同 VLAN 之間則是相互隔離的， 從而達(dá)到減少廣播風(fēng)暴的發(fā)生， 不同的 VLAN 間的如果要通信就要通過必要的路由設(shè)備。 13 、 使用 VLAN 技術(shù) 的優(yōu)點(diǎn) VLAN 的優(yōu)點(diǎn)主要體現(xiàn)在以下 3 個(gè)方面： 控制廣播風(fēng)暴 網(wǎng)絡(luò)管理必須解決因大量廣播信息帶來帶寬消耗的問題。 VLAN 作為一種網(wǎng)絡(luò)分段技術(shù)，可將廣播風(fēng)暴限制在一個(gè) VLAN 內(nèi)部，避免影響其他網(wǎng)段。與傳統(tǒng)局域網(wǎng)相比， VLAN 能夠更加有效地利用帶寬。在 VLAN中，網(wǎng)絡(luò)被邏輯地分割成廣播域，由 VLAN 成員所發(fā)送的信息幀或數(shù)據(jù)包僅在 VLAN 內(nèi)的成員之間傳送，而不是向網(wǎng)上的所有工作站發(fā)送。這樣可減少主干網(wǎng)的流量，提高網(wǎng)絡(luò)速度。 增強(qiáng)網(wǎng)絡(luò)的 安全性 共享式 LAN 上的廣播必然會(huì)產(chǎn)生安全性問題，因?yàn)榫W(wǎng)絡(luò)上的所有用戶都能監(jiān)測(cè)到流經(jīng)的業(yè)務(wù)，用戶只要插入任一活動(dòng)端口就可訪問網(wǎng)段上的廣播包。采用 VLAN 提供的安全機(jī)制，可以限制特定用戶的訪問，控制廣播組的大小和位置，甚至鎖定網(wǎng)絡(luò)成員的 MAC 地址，這樣，就限制了未經(jīng)安全許可的用戶和網(wǎng)絡(luò)成員對(duì)網(wǎng)絡(luò)的使用。 增強(qiáng)網(wǎng)絡(luò)管理 采用 VLAN 技術(shù)，使用 VLAN 管理程序可對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行集中管理，能夠更容易地實(shí)現(xiàn)網(wǎng)絡(luò)的管理性。用戶可以根據(jù)業(yè)務(wù)需要快速組建和調(diào)整 VLAN。當(dāng)鏈路擁擠時(shí)，利用管理程序能夠重新分配業(yè)務(wù)。管理程序還能夠提供有關(guān)工作組的業(yè)務(wù)量、廣播行為以及統(tǒng)計(jì)特性等的詳盡報(bào)告。對(duì)于網(wǎng)絡(luò)管理員來說，所有這些網(wǎng)絡(luò)配置和管理工作都是透明的。 VLAN 變動(dòng)時(shí)，用戶無需了解網(wǎng)絡(luò)的接線情況和協(xié)議是如何重新設(shè)置的。 VLAN 還能減少因網(wǎng)絡(luò)成員變化所帶來的開銷。在添加、刪除和移動(dòng)網(wǎng)絡(luò)成員時(shí)，不用重新布線，也不用直接對(duì)成員進(jìn)行配置。若采用傳統(tǒng)局域網(wǎng)技術(shù)，那么當(dāng)網(wǎng)絡(luò)達(dá)到一定規(guī)模時(shí)，此類開銷往往會(huì)成為管理員的沉重負(fù)擔(dān)。 、 VLAN 的劃分方法 VLAN 技術(shù)對(duì)工作組的劃分方法有兩 種一種是基于端口的劃分方法另外一種是基于 MAC 地址的劃分方法。 基于端口的劃分方法 將交換機(jī)中的某些端口定義為一個(gè)單獨(dú)的區(qū)域，從而形成一個(gè) VLAN。同一 VLAN 中的計(jì)算機(jī)屬于同一個(gè)網(wǎng)段，不同 VLAN 之間進(jìn)行通信需要通過路由器?；诙丝诘?VLAN 的優(yōu)點(diǎn)是配置起來非常方便，只要在交換機(jī)上進(jìn)行相關(guān)的設(shè)置就可以了，適用于網(wǎng)絡(luò)環(huán)境比較固定的情況。不足之處是不夠靈活，當(dāng)一臺(tái)計(jì)算 14 機(jī)需要從一個(gè)端口移動(dòng)到另一個(gè)新的端口，而新端口與舊端口不屬于同一個(gè) VLAN 時(shí)，要修改端口的 VLAN設(shè)置，或在用戶計(jì)算機(jī)上重新配置網(wǎng)絡(luò)地址，這 樣才能加入到新的 VLAN 中。否則，這臺(tái)計(jì)算機(jī)將無法進(jìn)行網(wǎng)絡(luò)通信。 基于端口的劃分方式是最簡單也是最常用的。采用這種方式， 將屬于不同交換機(jī)端口的物理網(wǎng)段 分在一個(gè)VLAN 中，通過網(wǎng)絡(luò)管理軟件，根據(jù) VLAN 標(biāo)識(shí)符將不同的端口分到相應(yīng)的分組（ VLAN）中。例如，一個(gè)交換機(jī)的 7 端口被定義為 VLAN A，同一交換機(jī)的 5 端口組成 VLAN 8，這樣劃分，允許各端口之間的通信，并允許共享型網(wǎng)絡(luò)的升級(jí)。遺憾的是，這種劃分模式將虛擬網(wǎng)限制在了一臺(tái)交換機(jī)上。 第二代端口 VLAN 技術(shù) 允許跨越多個(gè)交換機(jī) 的多個(gè)不同端 口劃分 VLAN，不同交換機(jī)上的若干個(gè)端口可以組成同一個(gè) VLAN。分配到同一個(gè) VLAN 的各網(wǎng)段上的所有站點(diǎn)都在同一個(gè)廣播域中，可以直接通信；不同 VLAN 地點(diǎn)間的通信則通過路由器或三層交換機(jī)。 交換機(jī)端口來劃分 VLAN，其配置過程簡單明了。迄今為止，這仍然是最常用的一種方式，但是這種方式不允許多個(gè) VLAN 共享一個(gè)物理網(wǎng)段或交換機(jī)端口。如果某一個(gè)用戶從一個(gè)端口所在的 VLAN 移動(dòng)到另一個(gè)端口所在的 VLAN，網(wǎng)絡(luò)管理員需要重新進(jìn)行配置，這對(duì)于擁有眾多移動(dòng)用戶的網(wǎng)絡(luò)來說是不可想象的。 基于 MAC 地址的劃分方法 每塊網(wǎng)卡都有一個(gè)獨(dú)一無二的硬件物理地址，這個(gè)地址就是 MAC 地址，俗稱為 “網(wǎng)卡號(hào) ”。在Windows 中可用 “ipconfig/all”命令來查看這一地址。 MAC 地址是連接在網(wǎng)絡(luò)中的每個(gè)設(shè)備網(wǎng)卡的物理地址，由 IEEE 控制，全球找不到兩塊具有相同 MAC 地址的網(wǎng)卡。 MAC 地址屬于數(shù)據(jù)鏈路層，以此作為劃分 VLAN 的依據(jù)，能很好地獨(dú)立于網(wǎng)絡(luò)層上的各種應(yīng)用。用 此種方式構(gòu)成的 VLAN 就是一些 MAC 地址的集合 ，它解決了網(wǎng)絡(luò)處理站點(diǎn)的移動(dòng)問題。對(duì)于連接于交換機(jī)端口的工作站來說，在它們初始化時(shí)，相應(yīng)的交換機(jī)要在 VLAN 的管理 信息庫中檢查 MAC 地址，從而動(dòng)態(tài)地匹配該端口到相應(yīng)的 VLAN 中。 按 MAC 地址劃分的 VLAN 允許網(wǎng)絡(luò)用戶從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置，并且自動(dòng)保留其所屬VLAN 網(wǎng)段的成員身份。同時(shí)，這種方式獨(dú)立于網(wǎng)絡(luò)的高層協(xié)議（如 TCP/IP、 IP 和 IPX 等）。從某種意義上講，利用 MAC 地址定義 VLAN 可以看成是一種基于用戶的網(wǎng)絡(luò)劃分手段。 這種方法的一個(gè)缺點(diǎn)是所有的用戶必須被明確地分配給一個(gè) VLAN。在這種初始化工作完成之后，對(duì)用戶的自動(dòng)跟蹤才成為可能。在一個(gè)擁有大量節(jié)點(diǎn)的大型網(wǎng)絡(luò)中，如果要求管理員將每個(gè)用戶都一一 劃分到某一個(gè) VLAN，實(shí)在是太困難了。 15 基于網(wǎng)絡(luò)協(xié)議的劃分 VLAN 按 網(wǎng)絡(luò)層協(xié)議 來劃分 ,可分為 IP、 IPX、 DEC、 AppleTalk、 Banyan等 VLAN 網(wǎng)絡(luò)。這種按網(wǎng)絡(luò)層協(xié)議來組成的 VLAN，可使廣播域 跨越多個(gè) VLAN 交換機(jī)。這對(duì)于希望針對(duì)具體應(yīng)用和服務(wù)來組織用戶的網(wǎng)絡(luò)管理員來說是非常具有吸引力的。而且，用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動(dòng)，但其 VLAN 成員身份仍然保留不變。 這種方法的 優(yōu)點(diǎn) 是用戶的物理位置改變了，不需要重新配置所屬的 VLAN，而且可以根據(jù)協(xié)議類型來劃分 VLAN，這對(duì)網(wǎng)絡(luò)管理 者來說很重要，還有，這種方法不需要附加的幀標(biāo)簽來識(shí)別 VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點(diǎn)是效率低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的(相對(duì)于前面兩種方法 )。 綜上所分析 本設(shè)計(jì) 采用劃分 VLAN 的方式是 基于端口的方法 。 、 在 企業(yè) 網(wǎng)中 VLAN 的劃分 企業(yè)局域 網(wǎng) 采用三層網(wǎng)絡(luò)架構(gòu)設(shè)計(jì) ，分為 核心層、匯聚層、接入層 三個(gè)層次， 企業(yè) 主干網(wǎng)技術(shù)選擇千兆以太網(wǎng)技術(shù) ，主要在接入層的端口上實(shí)施基于端口的 VLAN劃分 、網(wǎng)絡(luò)設(shè)備選型 原則 設(shè)備選型原則 在確定了網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)方 案后，需要進(jìn)行網(wǎng)絡(luò)設(shè)備選型。設(shè)備選型是網(wǎng)絡(luò)工程中非常重要的一環(huán)，設(shè)備選型的好壞直接影響系統(tǒng)的實(shí)用性、穩(wěn)定性、可靠性和系統(tǒng)的費(fèi)用。 設(shè)備選型依據(jù)主要是根據(jù)選型原則，對(duì)不同廠家的產(chǎn)品的不同型號(hào)進(jìn)行綜合全面的比較，選擇滿足系統(tǒng)需求的、先進(jìn)、性能價(jià)格比高的設(shè)備。 （ 1）品牌選擇： 所有網(wǎng)絡(luò)設(shè)備盡可能選取同一廠家的產(chǎn)品，這樣在設(shè)備可互連性、協(xié)議互操作性、技術(shù)支持和價(jià)格等方面都更有優(yōu)勢(shì)。從這個(gè)角度來看，產(chǎn)品線齊全、技術(shù)認(rèn)證隊(duì)伍力量雄厚、產(chǎn)品市場占有率高的廠商是網(wǎng)絡(luò)設(shè)備品牌的首選 （如本設(shè)計(jì)方案的網(wǎng)絡(luò)設(shè)備就是全部選用國際知名 品牌Cisco 的產(chǎn)品） 。其產(chǎn)品經(jīng)過更多用戶的檢驗(yàn)，產(chǎn)品成熟度高，而且這些廠商 16 出貨頻繁，生產(chǎn)量大 ， 質(zhì)保體系完備。作為系統(tǒng)集成商，不應(yīng)依賴于任何一家的產(chǎn)品，應(yīng)能夠根據(jù)需求和費(fèi)用公正地評(píng)價(jià)各種產(chǎn)品，選擇最優(yōu)的。在制定網(wǎng)絡(luò)方案之前，應(yīng)根據(jù)用戶承受能力來確定網(wǎng)絡(luò)設(shè)備的品牌。 （ 2）擴(kuò)展性考慮 ： 在網(wǎng)絡(luò)的層次結(jié)構(gòu)中，主干設(shè)備選擇應(yīng)預(yù)留一定的能力，以便將來擴(kuò)展，而低端設(shè)備則夠用即可，因?yàn)榈投嗽O(shè)備更新較快，且易于擴(kuò)展。由于企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，需要交換機(jī)能夠接續(xù)全系列接口，例如光口和電口 （？） 、百兆、千兆和萬兆端口，以及多模光纖 接口和 長距離的 單模光纖接口等。其交換結(jié)構(gòu)也應(yīng)能根據(jù)網(wǎng)絡(luò)的擴(kuò)容靈活地?cái)U(kuò)大容量。其軟件應(yīng)具有獨(dú)立知識(shí)產(chǎn)權(quán)，應(yīng)保證其后續(xù)研發(fā)和升級(jí)，以保證對(duì)未來新業(yè)務(wù)的支持。 （ 3）性價(jià)比高 ： 網(wǎng)絡(luò)系統(tǒng)設(shè)備的選擇具有較高的性能價(jià)格比的網(wǎng)絡(luò)設(shè)備以達(dá)到系統(tǒng)整體性能的最優(yōu)。 、常用網(wǎng)絡(luò)設(shè)備 網(wǎng)絡(luò)設(shè)備主要是指硬件系統(tǒng)，各種網(wǎng)絡(luò)設(shè)備之間是有著相互關(guān)聯(lián)而不是相互獨(dú)立的，每一部分在網(wǎng)絡(luò)中有著不同的作用，缺一不可，只有把這些設(shè)備通過一定的形式連起來才能組成一個(gè)完整的網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)設(shè)備主要包括網(wǎng)卡、交換機(jī)、路由器、傳輸介質(zhì)等。 網(wǎng)卡 網(wǎng)卡（簡稱 NIC），也網(wǎng)絡(luò)適配卡或網(wǎng)絡(luò)接口卡，網(wǎng)卡作為計(jì)算機(jī)與網(wǎng)絡(luò)連接的接口，是不可缺少的網(wǎng)絡(luò)設(shè)備之一。無論是雙絞線網(wǎng)絡(luò)、同軸電纜網(wǎng)絡(luò)還是光纜網(wǎng)絡(luò)，都必須借助于相應(yīng)類型的網(wǎng)卡才能實(shí)現(xiàn)與計(jì)算機(jī)的連接，是計(jì)算機(jī)與局域網(wǎng)相互連接的惟一接口。每塊網(wǎng)卡上都有一個(gè)世界惟一的 ID 號(hào)，也就是 MAC（ Media Access Control）地址，計(jì)算機(jī)在連入網(wǎng)絡(luò)之后，就是依靠這個(gè) ID 號(hào)才能實(shí)現(xiàn)在不同計(jì)算機(jī)之間的通信和信息交換。網(wǎng)卡有很多種，不同類型的網(wǎng)絡(luò)需要使用不同種類的網(wǎng)卡，不同速度的網(wǎng)絡(luò)需求也要使用不同 的網(wǎng)卡。如根據(jù)帶寬來分的話，有 10Mbit/s 網(wǎng)卡、 10/100Mit/s 自適應(yīng)網(wǎng)卡和 1000Mbit/s 網(wǎng)卡；如按總線分，有 ISA 總線、 PCI 總線、 PCMCIA 總