【導(dǎo)讀】第一章綜合布線系統(tǒng)設(shè)計(jì)規(guī)范與標(biāo)準(zhǔn)································································6. 第三章綜合布線選型·······························&#1

　　

【正文】 1 個(gè) Console 口 光纖擴(kuò)展槽 0 1 個(gè) SFP 接口（需配 SFP 光模塊） 擴(kuò)展接口模塊種類 無 100BaseFX 多 模 模 塊 、100BaseFX 單 模 模 塊 、100BaseFX 單模中距模塊 網(wǎng)線類型 10BaseT/100BaseTx： 3/4/5 類非屏蔽雙絞線，支持100m 傳輸距離 5 類屏蔽雙絞線，支持 100m 傳輸距離 10BaseT/100BaseTx： 3/4/5 類非屏蔽雙絞線，支持 100m傳輸距離 5 類屏蔽雙絞線，支持 100m 傳輸距離 100BaseFX 多模： ，支持 2km傳輸距離 100BaseFX 單模： 9/125mm 單模光纖，支持 15km 傳輸距離 100BaseFX 單模中距： 9/125mm 單模光纖，支持 40km 傳輸距離 電源 AC： 額定電壓范圍： 100240V . ； 50/60Hz 項(xiàng)目 S2108 S2126 最大電壓范圍： 90264V . ； 50/60Hz 功耗 9W 18W 工作環(huán)境溫度 0～ 45℃ 工作環(huán)境濕度（非凝露） 5%－ 95% 線速二層交 換 所有端口支持線速轉(zhuǎn)發(fā) 包轉(zhuǎn)發(fā)率： S2108 為 ， S2126 為 交換模式 存儲(chǔ)轉(zhuǎn)發(fā)模式（ Store and Forward） VLAN 支持符合 IEEE VLAN（ Virtual Local Area Network），最多支持 512 個(gè) VLAN 支持基于端口的 VLAN 組播 IGMP Snooping（ Inter Group Management Protocol Snooping） 端口匯聚 支持整機(jī)最多 4組匯聚組，每組最多 8個(gè)端口 支持整機(jī)最多 3 組匯聚組，上行端口支持單獨(dú)匯聚，其他端口每組最多 4 個(gè)端口 廣播風(fēng)暴抑制 所有端口上支持基于帶寬百分比的廣播風(fēng)暴抑制 端口鏡像 支持多對(duì)一的端口鏡像，對(duì)被鏡像端口的數(shù)量沒有限制，只有一個(gè)鏡像端口 MAC 地址表 地址自學(xué)習(xí) IEEE 標(biāo)準(zhǔn) H3C S2126 最多支持 8K 個(gè) MAC 地址 H3C S2108 最多支持 4K 個(gè) MAC 地址 流控 支持 IEEE 流控（全雙工） 支持 Backpressure based flow control（背壓式流控）（半雙工） 加載與升級(jí) 支持 XModem 協(xié)議實(shí)現(xiàn)加載升級(jí) 支持 HTTP 升級(jí) 項(xiàng)目 S2108 S2126 管理 支持通過 Console 口的命令行配置 支持 SNMP V1/V2 管理 支持 HGMP V2 集群管理（作為成員交換機(jī)） 支持 HGMP 網(wǎng)管系統(tǒng) 支持 WEB 網(wǎng)管 維護(hù) 支持調(diào)試信息輸出 安全特性 用戶分級(jí)管理和口令保護(hù) 接入 層交換機(jī)介紹 S1224產(chǎn)品外觀 S1216 產(chǎn)品外觀 產(chǎn)品特點(diǎn)： 1)符合 、 、 標(biāo)準(zhǔn)； 2)提供 1 24 個(gè) 10/100/1000M 自適應(yīng)以太網(wǎng)端口； 3) 每個(gè)端口都支持 AutoMDI/MDIX 功能； 4)每個(gè)端口都提供 Speed 和 Link/Act 指示燈，顯示端口的工作狀態(tài)； S1200 系列 系統(tǒng)特性 項(xiàng)目 描述 外形尺寸（寬深高） 330mm 230mm 44mm 固定端口 24個(gè) 10/100/1000Mbps自適應(yīng)以太網(wǎng)端口 網(wǎng)線類型 10BaseT： 3/4/5類雙絞線，支持最大傳輸距離 200m 100BaseTX： 5類雙絞線，支持最大傳輸距離 100m 1000BaseT： 5類雙絞線，支持最大傳輸距離 100m MAC 4K 緩存 2Mbits 包轉(zhuǎn)發(fā)率 36Mbps 交換容量 48Gbps 輸入電壓 220V AC 功耗 30W 工作環(huán)境溫度 0℃～ 40℃ 工作環(huán)境濕度 10%～ 85% 存儲(chǔ)溫度 10℃～ 70℃ 存儲(chǔ)濕度 10%～ 90% 散熱方式 1個(gè)風(fēng)扇 第三章 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 根據(jù)網(wǎng)絡(luò)布線結(jié)構(gòu)，設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如下： 說明： 1. 整個(gè)網(wǎng)絡(luò)采用 S2108 交換機(jī)作核心； 2. 在商場(chǎng) 三 層 、 四層、 五層 各設(shè)置 分配線間 分 別 有 16 口交換機(jī) 兩臺(tái)、 16 口交換機(jī)兩臺(tái) ， 24 口交換機(jī)兩臺(tái)。 分別負(fù)擔(dān)各 樓 層 信息點(diǎn)的接入， 接入層 交換機(jī)與核心交換機(jī)之間采用 100M 連接； 3. 各接入層根據(jù)接入信息點(diǎn)的數(shù)量，分別配置不同數(shù)量的接入層交換堆； 第四章 網(wǎng)絡(luò) VLAN設(shè)計(jì) VLAN（ Virtual Local Area Network）是虛擬局域網(wǎng)的英文縮寫，它最簡明的描述就是可以實(shí)現(xiàn)將連接在同一個(gè)物理網(wǎng)絡(luò)上面的主機(jī)分組，使它們看起來就象連接在不同的網(wǎng)絡(luò)上一樣。 VLAN 出現(xiàn)之前，人們通過劃分網(wǎng)段來提高局域網(wǎng)性能或者限制網(wǎng)上的計(jì)算機(jī)互訪問權(quán)限等等。當(dāng)時(shí)每一個(gè)網(wǎng)段都 必須單獨(dú)擁有一套網(wǎng)絡(luò)硬件，各個(gè)網(wǎng)段之間不能共享同一套連網(wǎng)設(shè)備，而且當(dāng)計(jì)算機(jī)從一個(gè)網(wǎng)段遷移到另外一個(gè)網(wǎng)段的時(shí)候，所做的變動(dòng)相對(duì)是比較大的，尤其是計(jì)算機(jī)的連接必須更換到另外一個(gè)網(wǎng)絡(luò)上面。 VLAN 出現(xiàn)之后，人們可以通過 VLAN 為網(wǎng)絡(luò)分段，各個(gè)網(wǎng)段可以共用同一套網(wǎng)絡(luò)設(shè)備，節(jié)約了網(wǎng)絡(luò)硬件的開銷，同時(shí)在遷移中所需的工作量也大幅度降低了，從而降低了連網(wǎng)成本。 在大型局域網(wǎng)絡(luò)組建中， VLAN 技術(shù)是不可缺少的關(guān)鍵技術(shù)，科學(xué)的 VLAN 設(shè)計(jì)可以為局域網(wǎng)絡(luò)帶來一系列的優(yōu)點(diǎn)： ? 在同一個(gè)物理網(wǎng)絡(luò)實(shí)現(xiàn)第二層工作組劃分，實(shí)現(xiàn)不同工作組之間 第二層的完全隔離，同時(shí)，組員可以處在物理網(wǎng)絡(luò)中的任何位置，不受同一臺(tái)設(shè)備限制； ? 隔離廣播，提高效率，避免不相關(guān)的廣播幀在全網(wǎng)擴(kuò)散，浪費(fèi)有效帶寬資源； 在 VLAN 的概念最早出現(xiàn)時(shí)，各個(gè)廠商紛紛推出自己的解決方案，互不兼容，各個(gè)廠商的交換機(jī)互相不能識(shí)別其他交換機(jī)的 VLAN。 IEEE 是新的虛擬局域網(wǎng)標(biāo)準(zhǔn)，它統(tǒng)一了各個(gè)廠商的 VLAN 實(shí)現(xiàn)方案，使不同廠商的設(shè)備可以同時(shí)在一個(gè)網(wǎng)絡(luò)中使用，各自的 VLAN 設(shè)置可以被其他設(shè)備所識(shí)別，實(shí)現(xiàn)不同廠商之間交換機(jī)的互通。同時(shí)， VLAN 通過 TAG 方式擴(kuò)展了以 太網(wǎng)的幀格式，從而提供了新的 QOS、用戶認(rèn)證等業(yè)務(wù)保障、實(shí)現(xiàn)的途徑。 在局域網(wǎng)系統(tǒng)中，我們建議基于 IEEE 標(biāo)準(zhǔn)實(shí)現(xiàn) VLAN，在分行 VLAN 設(shè)計(jì)中，使用 VLAN 技術(shù)達(dá)到兩個(gè)目的，第一，不同業(yè)務(wù)部門之間的隔離和通信控制；第二，廣播范圍抑制。 VLAN的劃分可以依據(jù)不同的業(yè)務(wù)部門進(jìn)行也可以依據(jù)用戶所處網(wǎng)絡(luò)的物理結(jié)構(gòu)進(jìn)行，后者主要是從網(wǎng)絡(luò)性能角度出發(fā)，而前者還同時(shí)兼顧了網(wǎng)絡(luò)安全性可控性的需要。根據(jù)實(shí)際業(yè)務(wù)部門辦公環(huán)境的分布情況來看，在大部分情況下，兩者實(shí)現(xiàn)了重合，而對(duì)于少數(shù)由于布線結(jié)構(gòu)隔離在不同匯集點(diǎn) 的相同業(yè)務(wù)部門，我們推薦第一種方式，從后面的內(nèi)容可以了解到，基于 網(wǎng)件 公司 Quidway 以太網(wǎng)設(shè)備平臺(tái)的方案在性能的支撐上能夠很大程度上忽略物理位置所可能帶來的性能影響。 從廣播控制角度出發(fā)，為了保障網(wǎng)絡(luò)的高可用和高性能，按照慣例原則，我們?cè)谶M(jìn)行具體 VLAN 規(guī)劃時(shí)，同一個(gè)廣播域內(nèi)（一個(gè) VLAN）的通信主機(jī)一般不超過 50 臺(tái)，最好控制在 30臺(tái)以內(nèi)，對(duì)于主機(jī)數(shù)量超過 50 的業(yè)務(wù)部門，我們通過二層隔離，三層交換的方式來解決?？梢苑判牡氖牵?網(wǎng)件 公司提供的 Quidway S系列路由交換產(chǎn)品提供全線速的二三層交換能力，所以， 對(duì)于分行的 VLAN 解決方案來說，第二層和第三層處理性能可以視為完全相同，這樣，可以實(shí)現(xiàn)兩種設(shè)計(jì)之間的直接融合，從而在同一個(gè)物理結(jié)構(gòu)上的邏輯設(shè)計(jì)可以更加靈活自由。 作為特殊 VLAN 的典型，建議保留 VLAN1 作為管理 VLAN，管理 VLAN 覆蓋到全網(wǎng)的每一臺(tái)交換機(jī)，但在第三層接口上，需要通過控制列表與其他業(yè)務(wù) VLAN 進(jìn)行有效的隔離。網(wǎng)管工作站建議另外設(shè)置一個(gè) VLAN，例如 VLAN ID=4000， VLAN4000與 VLAN1 在第三層上相通，同時(shí)，保證只有部分業(yè)務(wù) VLAN 可以訪問 VLAN4000，從而實(shí)現(xiàn) 網(wǎng)件 iManager 網(wǎng)管的分布式監(jiān)控布局。 VLAN1 和 VLAN4000 的第三層路由接口處設(shè)置訪問控制列表，只有特定的主機(jī)或者只有網(wǎng)管 VLAN 可以直接訪問每一臺(tái)設(shè)備，其他均在過濾之列。 值得一提的是， 網(wǎng)件 iManager 綜合網(wǎng)管系統(tǒng)提供非?？旖莸?VLAN 批量設(shè)置和修改工具，只需要通過圖形化界面對(duì)具體端口標(biāo)識(shí)選取或者非選取，就能輕松設(shè)置其 VLAN 歸屬。 對(duì)于其他的 NOTES、 DNS、 FTP 以及業(yè)務(wù)應(yīng)用等等服務(wù)器建議單獨(dú)設(shè)置在一個(gè)VLAN 中，通過 S8512 全線速的三層交換和四層過濾機(jī)制實(shí)現(xiàn)可控的用戶服務(wù)。 另外，如果今后 分行開展對(duì)外的 WWW 等服務(wù)的話，建議再單獨(dú)設(shè)置 VLAN，結(jié)合防火墻設(shè)備，通過設(shè)置 DMZ(?；饏^(qū) )的方式實(shí)現(xiàn)與外界的安全互聯(lián)。 第五章 網(wǎng)絡(luò)安全設(shè)計(jì) 網(wǎng)絡(luò)安全設(shè)計(jì)包括兩個(gè)大方面的內(nèi)容，設(shè)備自身的安全機(jī)制和網(wǎng)絡(luò)安全協(xié)議的設(shè)計(jì)使用，目前常見的網(wǎng)絡(luò)安全隱患主要來自以下一些方面： 1．網(wǎng)絡(luò)級(jí)攻擊 ? 竊聽報(bào)文 攻擊者使用報(bào)文獲取設(shè)備，從傳輸?shù)臄?shù)據(jù)流中獲取數(shù)據(jù)并進(jìn)行分析，以獲取用戶名 /口令或者是敏感的數(shù)據(jù)信息。特別是通過 Inter 的數(shù)據(jù)傳輸，存在時(shí)間上的延遲，更存在地理位置上的跨越，要避免數(shù)據(jù)不受竊聽，基本是不可能的 。 ? IP 地址欺騙 攻擊者通過改變自己的 IP 地址來偽裝成內(nèi)部網(wǎng)用戶或可信任的外部網(wǎng)絡(luò)用戶，發(fā)送特定的報(bào)文以擾亂正常的網(wǎng)絡(luò)數(shù)據(jù)傳輸，或者是偽造一些可接受的路由報(bào)文（如發(fā)送 ICMP 的特定報(bào)文）來更改路由信息，以竊取信息。 ? 源路由攻擊 報(bào)文發(fā)送方通過在 IP 報(bào)文的 Option 域中指定該報(bào)文的路由，使報(bào)文有可能被發(fā)往一些受保護(hù)的網(wǎng)絡(luò)。 ? 端口掃描 通過探測(cè)防火墻在偵聽的端口，來發(fā)現(xiàn)系統(tǒng)的漏洞；或者事先知道網(wǎng)絡(luò)設(shè)備操作系統(tǒng)軟件的某個(gè)版本存在漏洞，通過查詢特定端口，判斷是否存在該漏洞。然后利用這些漏洞對(duì)網(wǎng)絡(luò)設(shè) 備進(jìn)行攻擊，使得網(wǎng)絡(luò)設(shè)備DOWN 掉或無法正常運(yùn)行。 ? 拒絕服務(wù)攻擊 攻擊者的目的是阻止合法用戶對(duì)資源的訪問。比如通過發(fā)送大量報(bào)文使得網(wǎng)絡(luò)帶寬資源被消耗。 2．應(yīng)用層攻擊 有多種形式，包括探測(cè)應(yīng)用軟件的漏洞、 特洛依木馬 等； 3．系統(tǒng)級(jí)攻擊 不法分子利用操作系統(tǒng)的安全漏洞對(duì)內(nèi)部網(wǎng)構(gòu)成安全威脅。 另外，網(wǎng)絡(luò)本身的可靠性與線路安全也是值得關(guān)注的問題。 由此可見，完整的安全體系結(jié)構(gòu)應(yīng)由“網(wǎng)絡(luò)級(jí)安全、應(yīng)用級(jí)安全、系統(tǒng)級(jí)安全和中級(jí)安全”四大部分組成。 網(wǎng)絡(luò)級(jí)安全是指在物理層、鏈路層、網(wǎng)絡(luò)層采取各種安全措施來保障 工行網(wǎng)絡(luò)的安全；應(yīng)用級(jí)安全是指采用應(yīng)用層安全產(chǎn)品和利用應(yīng)用系統(tǒng)自身專有的安全機(jī)制，在應(yīng)用層保證對(duì)網(wǎng)絡(luò)各種應(yīng)用系統(tǒng)的信息訪問合法性；系統(tǒng)級(jí)安全主要是通 過對(duì)操作系統(tǒng)（ UNIX、 NT）的安全設(shè)置和主機(jī)監(jiān)控，防止不法分子利用操作系統(tǒng)的安全漏洞對(duì)工商銀行內(nèi)聯(lián)網(wǎng)構(gòu)成安全威脅；中學(xué)級(jí)安全主要是從建設(shè)內(nèi)部安全管理、審計(jì)和計(jì)算機(jī)病毒防范三方面來保障工行網(wǎng)絡(luò)的安全。 在建議中，我們更多的關(guān)注來自工作組隔離和過濾功能支持以及網(wǎng)絡(luò)設(shè)備自身的安全特性。 通過工作組 VLAN 設(shè)計(jì)，我們可以依據(jù)業(yè)務(wù)部門業(yè)務(wù)性質(zhì)的不同將不同工作組劃分到不同 的 VLAN，實(shí)現(xiàn)不同 VLAN 之間第二層的完全隔離， VLAN 之間的互訪需求通過在 S8512 各個(gè) VLAN 路由端口上設(shè)置的策略 ACL 功能實(shí)現(xiàn)逐包控制路由，S8512 可以實(shí)現(xiàn)所有端口全面全線速的三層路由和多層策略 ACL 控制。 用戶嚴(yán)格隔離 方法一：用 Vlan 隔離。在樓道以太網(wǎng)交換機(jī)上按端口劃分 Vlan，每個(gè)用戶占用一個(gè) Vlan。 方法二：利用 PVlan 技術(shù)。在樓道交換機(jī)上劃分 PVlan，使用戶端口之間不能通信，用戶端口只能和 Uplink 口通信。 方法三：使用以太網(wǎng) MUX 設(shè)備。該類設(shè)備將接入層交換機(jī)的端口分為兩類：上行口 Uplink 和用戶端口。用戶端口之間不能通信， Uplink 口可以和所有端口通信。 用戶唯一標(biāo)示 一般的邊緣路由器對(duì)于用戶上行報(bào)文，只根據(jù)目的 IP 地址進(jìn)行轉(zhuǎn)發(fā)，不做源地址檢查，這是出現(xiàn)網(wǎng)絡(luò)和用戶安全性問題的根本原因所在。對(duì)于靜態(tài) IP 地址分配方案， MA5200F 可在操作界面中實(shí)現(xiàn)用戶的 VLAN ID+IP+MAC 綁定關(guān)系的指定；對(duì)于動(dòng)態(tài) IP 地址分配方案，在 IP 地址動(dòng)態(tài)分配后， MA5200F 可實(shí)現(xiàn)用戶的VLAN ID+IP+MAC 的綁定。 VLAN 信息由設(shè)備構(gòu)造，不可仿冒，可作為用戶上網(wǎng)的唯一標(biāo)識(shí)。 MA5200F 支持根據(jù)用戶 VLAN 信息自動(dòng)構(gòu)造用戶名和密碼的功能。MA5200F 對(duì)于上行的所有報(bào)文都由硬件實(shí)現(xiàn)合法性檢查，只有符合條件的報(bào)文才被正常轉(zhuǎn)發(fā)。 防止對(duì) DHCP 服務(wù)器攻擊 使用 DHCP Server 動(dòng)態(tài)分配 IP 地址會(huì)存在兩個(gè)問題：一是 DHCP Server 假冒，用戶將自己的計(jì)算機(jī)設(shè)置成 DHCP Server 后會(huì)與局方的 DHCP Server 沖突；二是用戶 DHCP Smurf，用戶使用軟件變換自己的 MAC 地址，大量申請(qǐng) IP 地址， 很快將 DHCP 的地址池耗光。 由于 DHCP 是通過二層廣播包起作用的，故在二層嚴(yán)格隔 離用戶，可防止 DHCP Server 假冒。為解決 DHCP Smurf，在以太網(wǎng)接入時(shí)，對(duì)用戶劃分 Vlan，由 MA5200F控制一個(gè) Vlan下申請(qǐng)的最大 IP地址數(shù)，當(dāng)該 Vlan的 IP地址數(shù)目達(dá)到限制值后，拒絕新的 DHCP 申請(qǐng)。 Vlan 的劃分可根據(jù)用戶的實(shí)際情況靈活掌握。 惡意用戶追查 對(duì)每個(gè)用戶分配一個(gè) Vlan ID，使用 MA5200F 管理用戶。由 MA5200F 記錄用戶每次上網(wǎng)的用戶名，源 IP 地址，上網(wǎng)開始和結(jié)束時(shí)間。根據(jù)源 IP 查詢到用戶的 Vlan ID，通過 Vlan ID 得知用戶的上網(wǎng)地點(diǎn)。 防止用戶 Proxy 代理 通過計(jì)費(fèi)策略進(jìn)行限制：為防止用戶自建 Proxy 服務(wù)器并共享帳號(hào)，可以在計(jì)費(fèi)策略上加以約束。比如，采用時(shí)長加帶寬的方式解決，對(duì)每個(gè)用戶使用的最大帶寬進(jìn)行限制；或者采用時(shí)長加流量的計(jì)費(fèi)策略，即時(shí)間和流量分別計(jì)費(fèi)，然后對(duì)兩者的費(fèi)用求和，得出上網(wǎng)費(fèi)。 設(shè)備限制用戶允許建立的連接數(shù)目：此時(shí)通過硬件限制同一個(gè)用戶可建立的連接數(shù)來限制多用戶的接入。 MA5200F 內(nèi)置 NAT 和 ACL，構(gòu)建防火墻，在 MA5200F出口上 ACL 對(duì)于網(wǎng)段 A 做過濾，不允許建立連接。 NAT 設(shè)備通過限制每個(gè)用戶（對(duì)應(yīng) IP 地址）能建立的連接的數(shù) 量（ TCP 或 UDP），達(dá)到限制用戶通過代理訪問Inter 的目的。 對(duì)于在企業(yè)內(nèi)的 Proxy，可采用定期通過軟件搜索的方式查找相應(yīng)的 Proxy點(diǎn)； 第六章 網(wǎng)絡(luò) IP地址規(guī)劃方案 IP 地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，大型計(jì)算機(jī)網(wǎng)絡(luò)必須對(duì)ＩＰ地址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。 IP 地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。 IP 地址分配原則 IP 地址空間分配，要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng) 絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò) 中的路由聚類，減少路由器中路由表的長度，減少對(duì)路由器 CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時(shí)還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時(shí)要遵循以下原則： ? 唯一性：一個(gè) IP 網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的 IP地址； ? 簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表項(xiàng) ? 連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率 ? 可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保 證地址疊合所需的連續(xù)性 ? 靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。 主流的 IP 地址規(guī)劃方案分為純公網(wǎng)地址、純私網(wǎng)地址和混合網(wǎng)絡(luò)地址三種。 當(dāng)企業(yè)網(wǎng)以私網(wǎng)地址分配或采用混合網(wǎng)絡(luò)地址接入時(shí)，要求企業(yè)網(wǎng)提供地址變換功能，過濾掉私網(wǎng)地址。 XX 酒店 市場(chǎng)網(wǎng)絡(luò) IP 地址規(guī)劃建議 1）企業(yè)網(wǎng)絡(luò) IP 地址分配總則 IP 地址規(guī)劃根據(jù)所分配的公網(wǎng) IP 地址和內(nèi)部私網(wǎng) IP 地址分配，地址可分為三大塊，一塊是 china 分配多個(gè) C 類公網(wǎng) IP 地址，作為和國際互聯(lián)網(wǎng)互連的地址，域名就解析在這片地址上，主要供 網(wǎng)絡(luò)中心和服務(wù)器專用；普通用戶 ,使用內(nèi)部地址 ，不能和國際互聯(lián)網(wǎng)直接發(fā)生聯(lián)系，不能避開代理和計(jì)費(fèi)系統(tǒng)；同時(shí)還可以申請(qǐng)一塊 ChinaNet 的公網(wǎng) IP 地址，作為接入電信公網(wǎng)和部分關(guān)鍵的服務(wù)器出口備份 ,關(guān)鍵服務(wù)器擁有兩個(gè)公網(wǎng) IP，分別跨接在 Cer和 ChinaNet 上。 2）內(nèi)部私網(wǎng) IP 地址的分配 內(nèi)部地址的分配原則是按建筑物進(jìn)行的，視用戶的數(shù)量， 1/ 1/整個(gè) C的劃分。對(duì)于相對(duì)固定不變的辦公區(qū)采用靜態(tài)分配 IP 地址，假如為防止地址盜用，可采用 IP 地址與 MAC 地址綁定。對(duì)上網(wǎng) 用戶的管理，是基于用戶名、密碼的代理認(rèn)證 WEB 認(rèn)證過程進(jìn)行，網(wǎng)內(nèi)的網(wǎng)絡(luò)資源不需認(rèn)證就可訪問，但訪問網(wǎng)外的資源就必須經(jīng)過認(rèn)證 , 用戶開機(jī)時(shí)，從 DHCP 服務(wù)器獲得 IP 地址，并可以直接訪問INTERNET 資源。 3）中心路由器支持靜態(tài)或動(dòng)態(tài)的 IP 地址分配，并支持動(dòng)態(tài) IP 地址分配方式下 DHCPRelay 功能， DHCP SERVER 可安放在企業(yè)內(nèi)部。 4）對(duì)于固定 IP 地址用戶，需要針對(duì)標(biāo)識(shí)符（ MAC 地址）設(shè)定保留 IP 地址。 網(wǎng)絡(luò)平臺(tái) IP 地址規(guī)劃 網(wǎng)絡(luò)地址主要包括以下幾個(gè)部分： 節(jié)點(diǎn)設(shè)備標(biāo)識(shí)地址 (即 LOOPBACK 地址 )，主要用來標(biāo)識(shí)節(jié)點(diǎn)設(shè)備和開展網(wǎng)絡(luò)管理的需要，通常用單個(gè) IP 地址 (即掩碼為 /32 的 IP 地址 )，為了便于管理，這些地址通常集中到一段單獨(dú)連續(xù)的地址中分配，而不用過多考慮與其他地址的歸總。建議 LOOPBACK 地址分配如下： 網(wǎng)絡(luò)中心路由器一 網(wǎng)絡(luò)核心交換機(jī)一 網(wǎng)絡(luò)接入層交換機(jī)一 網(wǎng)絡(luò)接入層交換機(jī)二 網(wǎng)絡(luò)接入層交換機(jī)三 預(yù)留地址： ～ 設(shè)備互聯(lián)地址，即設(shè)備之間的點(diǎn)對(duì)點(diǎn)地址，通常為每個(gè)點(diǎn)對(duì)點(diǎn)地址分配一個(gè)掩碼為 /30 的 IP 地址段。建議網(wǎng)絡(luò)設(shè)備互聯(lián)地址分配如下： 企業(yè)內(nèi)部網(wǎng)絡(luò) IP地址規(guī)劃 考慮各單位內(nèi)部局域網(wǎng)和服務(wù)器的業(yè)務(wù)模型，建議 IP 地址的管理和分配采用動(dòng)態(tài)及靜態(tài)結(jié)合的方式。普通用戶的 IP 地址由 DHCP 服務(wù)器動(dòng)態(tài)分配；服務(wù)器地址、設(shè)備管理地址、接口互聯(lián)地址等需要固定 IP 地址，在經(jīng)過 NAT 時(shí)采用 NAT與 PAT 方法。具體的地址規(guī)劃方法與內(nèi)網(wǎng)規(guī)劃方法一致，這里不再多述。 用戶分類 用戶分類對(duì)應(yīng)的 Vlan IP 地址規(guī)劃 企業(yè)內(nèi)部部門一 Vlan2 企業(yè)內(nèi)內(nèi)部部門二 Vlan3 ?? ?? ?? 企業(yè)內(nèi)對(duì)外單位一 Vlan10 企業(yè)內(nèi)對(duì)外單位二 Vlan11 ?? ?? ?? 第三部分 有線電視布線 系統(tǒng) 第一章 系統(tǒng)設(shè)計(jì)原則、標(biāo)準(zhǔn) 設(shè)計(jì)原則 本系統(tǒng)依據(jù)《電纜電視廣播系統(tǒng)技術(shù)規(guī)范》、《民用電視廣播系統(tǒng)技術(shù)規(guī)范》、《 30MHZ～ 1000MHZ 聲音和電視信號(hào)電纜分配系統(tǒng)技術(shù)標(biāo)準(zhǔn)》并結(jié)合本單位具體情況 進(jìn)行規(guī)劃設(shè)計(jì) ,主要包括： 設(shè)備選材：選擇品質(zhì)優(yōu)良、功能齊全、實(shí)用可靠、價(jià)格合理的系統(tǒng)設(shè)備，通過對(duì)系統(tǒng)及設(shè)備進(jìn)行合理規(guī)劃、配置，做到物盡其用，充份發(fā)揮系統(tǒng)的最佳使用效能。 實(shí)用性：本系統(tǒng)規(guī)劃了足夠數(shù)量的電視頻道以提供選擇。電視頻道包括衛(wèi)星電視以及自辦節(jié)目等多套電視節(jié)目頻道。 先進(jìn)性：為了滿足發(fā)展需要，本系統(tǒng)按雙向傳輸方 式設(shè)計(jì)。網(wǎng)絡(luò)器材采用寬帶產(chǎn)品。其中放大器、分支分配器和用戶終端采用“雙向”產(chǎn)品。 兼容性：本系統(tǒng)可作為獨(dú)立的服務(wù)區(qū)使用，系統(tǒng)網(wǎng)絡(luò)不需作改造，可直接并入有線電視網(wǎng)絡(luò)。 可靠性：為了保證系統(tǒng)運(yùn)行可靠，除了系統(tǒng)前端選擇優(yōu)質(zhì)、可靠的產(chǎn)品設(shè)備外，對(duì)系統(tǒng)傳輸網(wǎng)絡(luò)進(jìn)行合理的規(guī)劃十分重要。為了提高系統(tǒng)網(wǎng)絡(luò)的可靠性，本系統(tǒng)傳輸系統(tǒng)按分區(qū)傳送方式，這種方式可有效地避免因溫度變化而導(dǎo)致系統(tǒng)帶內(nèi)高低端信號(hào)電平出現(xiàn)的不平衡，同時(shí)還可避免由于傳輸網(wǎng)絡(luò)某部分出現(xiàn)故障而影響系統(tǒng)整體運(yùn)作的情況。 此外，本系統(tǒng)在整體布局、方便維護(hù)和操作等方面 均作了綜合的考慮。 本系統(tǒng)網(wǎng)絡(luò)設(shè)計(jì)依據(jù)： A、《 30MHZ1GHZ 聲音和電視信號(hào)電纜分配系統(tǒng)》（ GB651086） B、《有線廣播系統(tǒng)技術(shù)規(guī)范及電纜標(biāo)準(zhǔn)》（ GY/T1061999） C、《有線電視系統(tǒng)工程技術(shù)規(guī)范》 D、《有線廣播電視網(wǎng)電纜分配網(wǎng)設(shè)計(jì)規(guī)范》 E、《電纜分配網(wǎng)絡(luò)施工 工藝要求》 F、《有線電視網(wǎng)絡(luò)入網(wǎng)器材技術(shù)指標(biāo)》 G、《有線電視系統(tǒng)物理發(fā)泡聚乙烯絕緣同軸電纜入網(wǎng)技術(shù)條件和測(cè)量方法》 H、《有線電視 HFC 系統(tǒng)技術(shù)規(guī)范》 第二章 系統(tǒng)規(guī)劃 本系統(tǒng)電視節(jié)目不包括衛(wèi)星電視、自辦節(jié)目兩大類。 系統(tǒng)帶寬 我國 CATV 系統(tǒng)常用 300MHZ、 450MHZ 和 550MHZ 系統(tǒng)帶寬，由于 300MHZ、 450MHZ系統(tǒng)頻帶較窄，故目前很少被采用。 550MHZ 系統(tǒng)可傳送標(biāo)準(zhǔn)電視頻道 22 套，增補(bǔ)頻道 37 套，頻道容量