【正文】 Classifying，確保將網(wǎng)絡(luò)交通流劃分成以DSCP值來標(biāo)識(shí)的各個(gè)數(shù)據(jù)流。交換機(jī)或路由器根據(jù)報(bào)文所攜帶的類別信息，可以為各種交通流提供不同的傳輸優(yōu)先級(jí)，或者為某種交通流預(yù)留帶寬，或者適當(dāng)?shù)膩G棄一些重要性較低的報(bào)文、或者采取其他一些操作等等。在遵循DiffServ體系的網(wǎng)絡(luò)中，各交換機(jī)和路由器對(duì)包含同樣分類信息的報(bào)文采取同樣的傳輸服務(wù)策略，對(duì)包含不同分類信息的報(bào)文采取不同的傳輸服務(wù)策略。目前局域網(wǎng)QOS實(shí)現(xiàn)一般是遵循DiffServ體系標(biāo)準(zhǔn)。1. 高帶寬同時(shí)也需要QOS。我們建立了一套企業(yè)網(wǎng)絡(luò)安全管理模式，制定了詳細(xì)的安全管理制度，如機(jī)房管理制度、病毒防范制度等，并采取切實(shí)有效的措施，保證了制度的執(zhí)行。安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。同時(shí)，支持易實(shí)現(xiàn)對(duì)用戶離線信息的檢測(cè)，對(duì)于后續(xù)開展基于按時(shí)計(jì)費(fèi)的增值服務(wù)有利。非受控端口始終關(guān)閉，只允許認(rèn)證流上來；受控端口走業(yè)務(wù)流，始終打開，只有通過認(rèn)證才能關(guān)閉，用戶的業(yè)務(wù)才能上來。1. 一次同時(shí)認(rèn)證用戶名、MAC：，客戶端同時(shí)提交用戶名、MAC，一次認(rèn)證即同時(shí)完成用戶名和MAC的認(rèn)證。，缺省情況下，所有用戶都處在未認(rèn)證狀態(tài)。 安裝完殺毒軟件網(wǎng)絡(luò)版后，在管理員控制臺(tái)對(duì)網(wǎng)絡(luò)中所有客戶端進(jìn)行定時(shí)查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對(duì)本機(jī)的查殺毒。 殺毒產(chǎn)品部署為了實(shí)現(xiàn)在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作，我們應(yīng)該在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。通過這些端口，黑客可以穿過防火墻攻擊服務(wù)器。防火墻是一種主要的周邊安全解決方案。4. 定期查看防火墻訪問日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良的上網(wǎng)記錄。在防火墻設(shè)置上我們按照以下原則配置來提高網(wǎng)絡(luò)安全性：1. 根據(jù)企業(yè)網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容，包括協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來自外網(wǎng)的對(duì)企業(yè)內(nèi)網(wǎng)的不必要的、非法的訪問。以確保企業(yè)網(wǎng)正常安全運(yùn)行和朝著健康有序方向發(fā)展。為了提高網(wǎng)絡(luò)的安全性，采取了劃分VLAN并利用網(wǎng)關(guān)保證信息的有效過濾，機(jī)房處于一個(gè)相對(duì)安全與過濾型的網(wǎng)絡(luò)狀況下運(yùn)行。 解決方案 以太網(wǎng)是一種基于廣播機(jī)制的共享型技術(shù)，任何一個(gè)位于以太網(wǎng)上的用戶均可以向網(wǎng)上發(fā)送信息，在以太網(wǎng)的技術(shù)中沒有具體帶寬控制的機(jī)理。目前使用的操作系統(tǒng)存在安全漏洞，對(duì)網(wǎng)絡(luò)安全構(gòu)成了威脅。企業(yè)網(wǎng)絡(luò)與Internet網(wǎng)相連后具有“防火墻”過濾功能，以防止網(wǎng)絡(luò)黑客入侵網(wǎng)絡(luò)系統(tǒng)。 l 網(wǎng)管服務(wù)器：對(duì)企業(yè)網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)行綜合管理。 l FTP、文件服務(wù)器：提供文件傳輸、共享服務(wù)。 服務(wù)器模塊用來對(duì)企業(yè)網(wǎng)的接入用戶提供各種服務(wù)。(5) 保護(hù)路由器自身安全作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護(hù)自身安全的重要性也是不言而喻的。顯示了如何對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議telnet。(2) 對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議首先 ，telnet可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和UNIX服務(wù)器 ，并可以使用相關(guān) 命令完全操縱它們。在絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實(shí)現(xiàn)中它們都是應(yīng)該對(duì)外加以屏蔽的。一個(gè)設(shè)計(jì)良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用 ，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資 的情況下完成一般軟、硬件防火墻產(chǎn)品 的功能。為了接入 Internet，本企業(yè)網(wǎng)向當(dāng)?shù)豂SP申請(qǐng)了2個(gè)IP地址。其中，下一跳指定從本路由器的接口serial 0送出。2. 配置接入路由器IR的各接口參數(shù)對(duì)接入路由器 IR的各接口參數(shù)的配置主要是對(duì)接口FastEthernet 0以及接口 Serial 0的IP地址、子網(wǎng)掩碼的配置。它通過自己的串行接口serial接入Internet。這里，可按csw1的配置方法進(jìn)行配置。同時(shí)，還需要定義通往Internet的路由。此外，為了提供主干道的吞吐量以及實(shí)現(xiàn)冗余設(shè)計(jì)，在本設(shè)計(jì)中，將核心 層交換機(jī)Csw1的千兆端口FF2捆綁在一起實(shí)現(xiàn)20000Mbps的千兆以太網(wǎng)信道，然后再連接到另一臺(tái)核心層交換機(jī) Csw2。 如圖所示，設(shè)置核心層交換機(jī)Csw1成為VTP客戶機(jī)。：(2) 配置核心層交換機(jī)Csw1的管理IP、認(rèn)網(wǎng)關(guān)如圖所示，顯示了為核心層交換機(jī)Csw1設(shè)置管理IP并激活本地VLAN。 本實(shí)例中的核心層交換機(jī)采用的是CISCO 3845交換機(jī)，運(yùn) 行的是Cisco的Integrated IOS 操作系統(tǒng)。為了實(shí)現(xiàn)冗余設(shè)計(jì)，匯聚層交換機(jī)dsw2還通過自己的千兆端口FF2連接到匯聚層交換機(jī)dsw1的FF2。這里使用缺省路由來使路由通往Internet。(6) 配置匯聚層交換機(jī)dsw1的3層交換功能分布層交換機(jī)dsw1需要為網(wǎng)絡(luò)中的各個(gè)VLAN提供路由功能。(5) 配置匯聚層交換機(jī)dsw1個(gè)端口基本參數(shù)分布層交換機(jī)dsw1的端口F0/1～F0/10為服務(wù)器群提供接入服務(wù)，而端口F0/21F0/24分別連到訪問層交換機(jī)asw1的端口F0/23以及訪問層交換機(jī)asw2的端口F0/23。同一VTP域下的所有其他交換機(jī)也將自動(dòng)激活VTP剪裁功能。有時(shí)，交換網(wǎng)絡(luò)中某臺(tái)交換機(jī)的所有端口都屬于同一VLAN的成員，沒有必要接收其他VLAN的用戶數(shù)據(jù)。工作在VTP服務(wù)器模式下的交換機(jī)可以創(chuàng)建、刪除VLAN、修改VLAN參數(shù)。共享相同VLAN定義數(shù)據(jù)庫(kù)的交換機(jī)構(gòu)成一個(gè)VTP管理域。同時(shí)，有關(guān)VLAN的刪除、參數(shù)更改操作均可傳播到其他交換機(jī)。工作量很大、過程很繁瑣，并且容易出錯(cuò)。這里，只給出實(shí)際的配置步驟。這里的匯聚層交換機(jī)采用的是CISCO WSC2960G48TCL交換機(jī)。如圖所示，是在接入層交換機(jī)asw1上啟用Backbonefast特性。同樣的步驟也可以在接入層交換機(jī)asw2上進(jìn)行配置。在生成樹的作用下，其中一條上行鏈路處于轉(zhuǎn)發(fā)狀態(tài)，而另一條上行鏈路處于阻塞狀態(tài)。需要指出的是，為了提供主干道的吞吐量，可以采用鏈路捆綁（快速以太網(wǎng)信道）技術(shù)增加可用帶寬。2. 接入層交換機(jī)asw2參數(shù)配置接入層交換機(jī)asw2為VLAN30和VLAN40的用戶提供接入服務(wù)。(8) 配置接入層交換機(jī) Asw1的主干道端口入層交換機(jī)通過端口F 0/23上連到匯聚層交換機(jī)dsw1 的端口F0/23。在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前，某個(gè)端口可能最多要等50秒鐘的時(shí)間（20 秒的阻塞時(shí)間＋15 秒的偵聽延遲時(shí)間＋15 秒的學(xué)習(xí)延遲時(shí)間）。同時(shí)，設(shè)置端口1～端口10為VLAN 10的成員。給交換機(jī)設(shè)置管理用IP地址只能在VLAN1，即本征VLAN中進(jìn)行。(4) 配置接入層交換機(jī)的管理IP、默認(rèn)網(wǎng)關(guān)接入層交換機(jī)是OSI參考模型的第2層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備。，將交換機(jī)的加密使能口令設(shè)置為star。當(dāng)需要Telnet登錄到若干臺(tái)交換機(jī)以維護(hù)一個(gè)大型網(wǎng)絡(luò)時(shí)，通過交換機(jī)名稱提示符提示自己當(dāng)前配置交換機(jī)的位置是很有必要的。該交換機(jī)擁有24個(gè)10/100Mbps自適應(yīng)快速以太網(wǎng)端口，運(yùn)行的是Cisco的IOS操作系統(tǒng)。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。VLAN 將廣播域限制在單個(gè)VLAN內(nèi)部，減小了各VLAN間主機(jī)的廣播通信對(duì)其他VLAN的影響。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層。： 交換模塊設(shè)計(jì)一個(gè)好的企業(yè)網(wǎng)設(shè)計(jì)應(yīng)該是一個(gè)分層的設(shè)計(jì)。 企業(yè)網(wǎng)總體設(shè)計(jì)企業(yè)網(wǎng)絡(luò)是非常典型的綜合網(wǎng)絡(luò)實(shí)例。、通常是將網(wǎng)絡(luò)在物理層和數(shù)據(jù)段鏈路層分為若干網(wǎng)段，各網(wǎng)段相互之間無(wú)法直接通信。 綜合布線的設(shè)計(jì)標(biāo)準(zhǔn)采用以太交換的企業(yè)網(wǎng)絡(luò)，可以用VLAN技術(shù)來加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。 在企業(yè)網(wǎng)局域網(wǎng)中，常用的網(wǎng)絡(luò)協(xié)議有NetBEUI、IPX/SPX和TCP/IP三種，在實(shí)際組網(wǎng)時(shí)，到底選擇哪種網(wǎng)絡(luò)協(xié)議，需要根據(jù)企業(yè)網(wǎng)的實(shí)際規(guī)模、網(wǎng)絡(luò)應(yīng)用需求、網(wǎng)絡(luò)平臺(tái)兼容性和網(wǎng)絡(luò)管理等情況而定。一個(gè)設(shè)計(jì)良好的布線系統(tǒng)應(yīng)具有開放性、靈活性和擴(kuò)展性，并對(duì)其服務(wù)的設(shè)備有一定的獨(dú)立性。在一個(gè)大、中型網(wǎng)絡(luò)里，VLAN單劃分是必不可少的步驟之一。（嵌入式RMON）2）完善的運(yùn)行日志。4. VLAN管理和監(jiān)控。3. 高可靠性及快速的故障恢復(fù)和定位能力。4）可通過GUI快速改變VLAN設(shè)置。2）網(wǎng)絡(luò)節(jié)點(diǎn)可同時(shí)位于多個(gè)VLAN廣播域。各VLAN ID需全局唯一。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。VLAN將廣播域限制在單個(gè)VLAN內(nèi)部，減小了各VLAN間主機(jī)的廣播通信對(duì)其他VLAN的影響。Cisco Catalyst 2918系列通過提供完備的入門級(jí)安全策略、服務(wù)質(zhì)量(QoS)和可用性功能，降低了企業(yè)網(wǎng)絡(luò)總體擁有成本。根據(jù)典型大型企業(yè)網(wǎng)配線間的設(shè)計(jì)原則，以提高網(wǎng)絡(luò)的可管理性，可靠性、可擴(kuò)充性為目標(biāo)，采用思科公司W(wǎng)SC291848TTC桌面型二層以太網(wǎng)交換機(jī)作為接入層的交換機(jī)，向下可提供線速的 10/100/1000M端口作為信息點(diǎn)的接入，向上可采用千兆端口與匯聚交換機(jī)進(jìn)行連接。憑借基于Cisco IOS 軟件的VPN、防火墻和IPS，以及可選增強(qiáng)VPN加速、入侵檢測(cè)系統(tǒng)（IDS）和內(nèi)容引擎網(wǎng)絡(luò)模塊 (Cisco 2800 和3800系列)，思科為分支機(jī)構(gòu)路由器提供了業(yè)界最強(qiáng)大、可適應(yīng)的安全解決方案。每臺(tái)3800都帶有在工廠中安裝的思科路由器和安全設(shè)備管理器(SDM)。5. 堅(jiān)持標(biāo)準(zhǔn)原則一切企業(yè)網(wǎng)設(shè)計(jì)和施工，均要嚴(yán)格遵循國(guó)際和國(guó)家標(biāo)準(zhǔn) 產(chǎn)品技術(shù)選型企業(yè)網(wǎng)絡(luò)建設(shè)應(yīng)該以應(yīng)用為核心，在設(shè)計(jì)中充分考慮到企業(yè)管理和企業(yè)產(chǎn)品展示的要求，并且網(wǎng)絡(luò)技術(shù)上應(yīng)該具有一定的先進(jìn)性，同時(shí)還要為以后的擴(kuò)展留有一定的空間。2. 品質(zhì)與成匹配原則選擇品質(zhì)最好的設(shè)備不一定是最佳方案，成本因素也是一個(gè)不容忽視的問題，只有將品質(zhì)與成本實(shí)現(xiàn)最佳匹配，才是一個(gè)最優(yōu)秀的方案。易擴(kuò)展不僅僅指設(shè)備端口的擴(kuò)展，還指網(wǎng)絡(luò)結(jié)構(gòu)的易擴(kuò)展性：即只有在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)合理的情況下，新的網(wǎng)絡(luò)節(jié)點(diǎn)才能方便地加入已有網(wǎng)絡(luò)；網(wǎng)絡(luò)協(xié)議的易擴(kuò)展：無(wú)論是選擇第三層網(wǎng)絡(luò)路由協(xié)議，還是規(guī)劃第二層虛擬網(wǎng)的劃分，都應(yīng)注意其擴(kuò)展能力。這不僅減少了大量管理成本，還為客戶節(jié)省了大量時(shí)間，同時(shí)提高了用戶滿意度。單一的傳輸模式無(wú)法適應(yīng)網(wǎng)絡(luò)化的應(yīng)用，所以如何提供令人滿意的網(wǎng)絡(luò)應(yīng)用服務(wù)質(zhì)量，這是目前解決網(wǎng)絡(luò)化瓶頸中最為關(guān)鍵的一環(huán)。 企業(yè)網(wǎng)建設(shè)規(guī)劃是一項(xiàng)技術(shù)性、系統(tǒng)性很強(qiáng)的工程。最多可將6臺(tái)交換機(jī)堆疊在一起，可網(wǎng)管可堆疊工作組交換機(jī)為企業(yè)網(wǎng)工作組接入提供了最佳的選擇 。對(duì)于匯聚層到網(wǎng)絡(luò)中心的連接，考慮到上行鏈路的負(fù)載，以及網(wǎng)絡(luò)鏈路高可靠性的要求，我們采用兩條千兆以太網(wǎng)的上連方式；每臺(tái)匯聚交換機(jī)采用 2 個(gè)千兆線路連接到網(wǎng)絡(luò)中心的三層中心交換機(jī)。中心交換機(jī)之間可以采用 VRRP ( 虛擬路由冗余協(xié)議 ) ， 進(jìn)行網(wǎng)絡(luò)層的冗余連接能力，通過客戶端 PC 機(jī)缺省網(wǎng)關(guān)指向虛擬的 IP 地址，關(guān)鍵應(yīng)用服務(wù)器配置雙網(wǎng)卡連接到兩臺(tái)交換機(jī)上，實(shí)現(xiàn)網(wǎng)絡(luò)對(duì)客戶端應(yīng)用的透明容錯(cuò)網(wǎng)絡(luò)訪問服務(wù)。 每臺(tái)CISCO 3845核心路由器到每組工作組接入交換機(jī)堆疊設(shè)備的下行鏈路采用1個(gè)1000BASET千兆以太網(wǎng)接口，則其中一個(gè)為主鏈路，另一個(gè)為備用鏈路。采用 NETGEAR 稱為 Trunking 的鏈路聚合(Link Aggregation)技術(shù)，邏輯上交換機(jī)視 2 條物理鏈路為一條邏輯鏈路，這樣交換機(jī)使能的Spanning Tree或者快速生成 樹協(xié)議Rapid Spanning Tree協(xié)議控制不會(huì)將兩臺(tái)橋接的交換機(jī)多條物理鏈路所構(gòu)成的環(huán)路中斷。與Internet相連接，對(duì)于我們的企業(yè)網(wǎng)絡(luò)安全性是極大的考驗(yàn)。有的企業(yè)花費(fèi)幾百萬(wàn)元采用ATM技術(shù)搭建起來的網(wǎng)絡(luò)，最后只用來進(jìn)行文件共享，沒有合適的網(wǎng)絡(luò)軟件可運(yùn)行。作為企業(yè)網(wǎng)，需要連接多少個(gè)節(jié)點(diǎn)，怎樣利用網(wǎng)絡(luò)設(shè)備使得分布在不同地理位置的節(jié)點(diǎn)連接到一個(gè)統(tǒng)一的網(wǎng)絡(luò)中來，怎樣使得整個(gè)網(wǎng)絡(luò)中的節(jié)點(diǎn)相互連通，這些問題僅僅是企業(yè)網(wǎng)需要解決問題中的一部分。 5. 網(wǎng)管系統(tǒng)可管理網(wǎng)絡(luò)設(shè)備、監(jiān)測(cè)網(wǎng)絡(luò)性能、可實(shí)現(xiàn)端對(duì)端管理。 企業(yè)網(wǎng)設(shè)計(jì)思路針對(duì)企業(yè)實(shí)際需求，方案將達(dá)到如下的設(shè)計(jì)目標(biāo)： 1. 應(yīng)用系統(tǒng)可擴(kuò)展性強(qiáng)，可根據(jù)用戶的需要增加。這樣做的目的主要有3點(diǎn)：1. 全網(wǎng)使用同一廠商設(shè)備的好處是可以實(shí)現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。企業(yè)網(wǎng)主要為企業(yè)提供如下功能：企業(yè)內(nèi)部的網(wǎng)絡(luò)環(huán)境；信息交流傳遞渠道；利用信息化環(huán)境實(shí)施教育過程；實(shí)現(xiàn)信息化管理。 從網(wǎng)絡(luò)的擴(kuò)充性要求來講，它要求考慮日益發(fā)展的網(wǎng)絡(luò)需求，能滿足將來增加主服務(wù)器的數(shù)目和部門網(wǎng)絡(luò)數(shù)目及增設(shè)網(wǎng)絡(luò)設(shè)備，以充分滿足高速率及企業(yè)展示、管理的不斷要求。CISCO WSC2960G48TCL和CISCO WSC291848TTC交換機(jī)還具有劃分VLAN的功能，使各部門的局域網(wǎng)可自成體系，隔離了廣播風(fēng)暴，同時(shí)CISCO WSC2960G48TCL和CISCO WSC291848TTC的第三層交換功能又使不同用戶群之間必要的限制性訪問得到實(shí)現(xiàn)，從而使得應(yīng)用網(wǎng)絡(luò)的設(shè)計(jì)更加自由，更加靈活。該企業(yè)是國(guó)家十二五期間重點(diǎn)扶持建設(shè)企業(yè)。如果終端數(shù)過少，企業(yè)網(wǎng)的資源利用率就太低；終端過多，信息的傳輸速度就會(huì)受到很大限制。FDDI和ATM存在著組網(wǎng)成本高、帶寬利用率較低等因素使得它們都不太適合企業(yè)網(wǎng)的要求。因此，改善網(wǎng)絡(luò)運(yùn)行質(zhì)量，提供優(yōu)質(zhì)網(wǎng)絡(luò)服務(wù)和上網(wǎng)環(huán)境，成為企業(yè)網(wǎng)當(dāng)前考慮的重要問題。為了改善企業(yè)網(wǎng)用戶的上網(wǎng)條件，大多企業(yè)網(wǎng)網(wǎng)絡(luò)建設(shè)是最基礎(chǔ)的工作，在網(wǎng)絡(luò)建設(shè)采用綜合布線建設(shè)，千兆以太網(wǎng)、第三層交換技術(shù)，保證信息的快速傳速，減少瓶頸現(xiàn)象。為此，在應(yīng)用方面我們要采取引進(jìn)與自主開發(fā)相結(jié)合的方式。 總之，信息化和網(wǎng)絡(luò)化的建設(shè)，在提高企業(yè)核心競(jìng)爭(zhēng)力方面的作用已顯露出來。從管理優(yōu)化來看，首先體現(xiàn)在業(yè)務(wù)管理的透明度增加，采購(gòu)業(yè)務(wù)暗箱操作的機(jī)會(huì)減少?，F(xiàn)代化的企業(yè)是非常需要建設(shè)網(wǎng)絡(luò)的。另一種解決方案是ATM，這是一種革命性的方法，用戶可以從未來的ATM 技術(shù)中受益，根據(jù)ATM所承諾的技術(shù)，未來的網(wǎng)絡(luò)將解決現(xiàn)在網(wǎng)絡(luò)存在的所有問題。在這種形式的企