【正文】 靜態(tài)路由配置簡單，調(diào)試方便，但由于靜態(tài)路由在網(wǎng)絡(luò)上每增加一個(gè)點(diǎn)時(shí)，都需要在網(wǎng)絡(luò)上所有現(xiàn)有路由器中增加路由，這樣使得靜態(tài)路由不適合于網(wǎng)絡(luò)規(guī)模較大，網(wǎng)絡(luò)不斷發(fā)展的場合，而動態(tài)路由因?yàn)樵诰W(wǎng)絡(luò)上的路由器之間相互交換 18 路由信息，增加一個(gè)節(jié)點(diǎn)時(shí)，網(wǎng)絡(luò)上的其他路由器的配置可以不作任何修改，非常便于網(wǎng)絡(luò)的擴(kuò)展，根據(jù) 企業(yè) 網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)規(guī)模、結(jié)構(gòu)和 將來的擴(kuò)展能力 ， 使用動態(tài)路由協(xié)議。動 態(tài)路由是網(wǎng)絡(luò)上的所有路由器互相通告自己所連的網(wǎng)段，各路由器根據(jù)某種算法計(jì)算出到每一點(diǎn)的最佳路徑。 使用 VLSM 技術(shù)，在劃分 IP 地址時(shí)應(yīng)該盡可能的減少 IP 地址浪費(fèi)： 三層交換設(shè)備之間的互聯(lián) IP 地址使用 30 位子網(wǎng)掩碼（ ），以 節(jié)約 IP 地址； 網(wǎng)絡(luò)設(shè)備管理接口使用 32 位子網(wǎng)掩碼（ ）； 在訪問 Inter 時(shí)，使用 NAT 或者 PAT 技術(shù)通過防火墻設(shè)備進(jìn)行地址或者端口翻譯，把私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址，以獲得對 Inter 的訪問； 各局域網(wǎng)內(nèi)，根據(jù)業(yè)務(wù)情況，本著滿足需求和擴(kuò)展性的要求，劃分并預(yù)留出以下地址段：網(wǎng)絡(luò)設(shè)備地址段、服務(wù)器地址段、辦公網(wǎng)段。因此需要對 企業(yè) 網(wǎng)絡(luò)系統(tǒng)的 IP 地址進(jìn)行統(tǒng)一規(guī)劃， IP 地址規(guī)劃方案如下： 在整個(gè)網(wǎng)絡(luò)環(huán)境中必須保持 IP 地址的唯一性； 根據(jù)業(yè)務(wù)情況，為每個(gè)單位局域網(wǎng)分配一個(gè)或多個(gè) C 類地址段（指掩碼為 的地址段），或者使用 VLSM 技術(shù)進(jìn)一步進(jìn)行細(xì)化，如分配 64 個(gè)（掩碼 ） 或者 32 個(gè)（掩碼 ）地址，滿足當(dāng)前要求，并留有一定的擴(kuò)充余地（如 23 倍），便于將來增加節(jié)點(diǎn)。 因?yàn)?IP 地址的規(guī)劃與路由策略息息相關(guān)，所以在 以 IP 地址 規(guī)劃 的基礎(chǔ)上 ， 選擇企業(yè) 網(wǎng)絡(luò)平臺中 最優(yōu) 的路由設(shè)計(jì) 方案 ，以下詳細(xì)論述了 IP 地址規(guī)劃與路由設(shè)計(jì)方案。 在核心層交換機(jī)上配置訪問列表如下 （由于各個(gè)端口配置相似，故只列出 核心交換機(jī) SW1 上的 e0/） ： ip accesslist extended e0/ evaluate admin deny ip deny ip deny ip deny ip deny ip deny ip permit ip any any exit ip accesslist extended eout permit ip any any reflect admin int e0/ ip accessgroup eout out ip accessgroup e0/ in exit 16 IP地址規(guī)劃與路由設(shè)計(jì)方案 路由組織及其方案是 IP 網(wǎng)絡(luò)中的基本問題之一，涉及網(wǎng)絡(luò)的連通性、可達(dá)性、穩(wěn)定性、精確性和易管理性，其設(shè)計(jì)的好壞直接影響著網(wǎng)絡(luò)性能。該名稱是根據(jù)此訪問表的類型得來的。這些開啟表項(xiàng)的創(chuàng)建是基于源于設(shè)備的可信方的會話進(jìn)行的，例如以太網(wǎng)或令牌環(huán)網(wǎng)的用戶連接到一個(gè)網(wǎng)段或連接到路由器端口的環(huán)。 自反訪問表在路由器的一邊創(chuàng)建 I P 流量的動態(tài)開啟，該過程是基于來自路由器另一邊的會話進(jìn)行的。 ACL的定義也是基于每一種協(xié)議的。 每個(gè)部門 VLAN 劃入一個(gè)多播地址： Vlan10： Vlan11： Vlan20： Vlan21： Vlan30： Vlan31： 在核心交換機(jī)和 PIX 上啟用多播，命令如下： ip multicastrouting int interface ip pim sparsedensemode ip igmp joingroup 配置 PIX 為 RP 的命令如下： ip pim sendrpannounce Loopback0 scope 3 grouplist 50 ip pim sendrpdiscovery Loopback0 scope 3 accesslist 50 permit accesslist 50 permit accesslist 50 permit accesslist 50 permit 15 accesslist 50 permit accesslist 50 permit ip pim rpaddress 訪問控制列表（ ACL） 設(shè)計(jì)方案 訪問控制列表（ Access Control List， ACL） 是路由器接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。 PIM（ RFC 2362）是 IETF 關(guān)于域內(nèi)組播路由協(xié)議的標(biāo)準(zhǔn)，目前為大多數(shù)組播服務(wù)提供商采用。但是，在 PIMSM 中，某個(gè)廣播組接受者可以根據(jù)一定條件選擇從以 RP為根的 RPT樹切換到以發(fā)送者為根的所謂 SPT 樹； RPT 樹和 SPT 樹各有其優(yōu)點(diǎn)， RPT 樹易于構(gòu)造，并且可以減少路由器中所要維護(hù)的組播狀態(tài)；如果廣播組會話由大量低帶寬多目的廣播流構(gòu)成， RPT 還可以節(jié)省網(wǎng)絡(luò)資源，而 SPT 樹則可以采用最優(yōu)路徑，并消除封裝和解封裝過程，提供更好的性能。 目前經(jīng) 常被采用的稀疏分布模型的域內(nèi)組播路由協(xié)議是 PIMSM，因此，使用PIMSM 作為域內(nèi)組播路由協(xié)議。 用戶通過運(yùn)行組播客戶端軟件的 PC 運(yùn)行 IGMP 協(xié)議，用戶可通過 IGMP 協(xié)議加入某個(gè)組播組，建立成員關(guān)系。網(wǎng)絡(luò)在每個(gè)接收者的最后一個(gè)路由器或主機(jī)復(fù)制它，在一個(gè)給定的網(wǎng)絡(luò)上每一個(gè)包只傳送一次。 組播和傳統(tǒng) 的單播數(shù)據(jù)傳送方式如 圖 3 所示 ： 圖 3 組播示意圖 從圖中可以清楚的看出，單播傳送發(fā)送數(shù)據(jù)的多個(gè)拷貝，每個(gè)拷貝發(fā)送到一個(gè)接收者，主機(jī)輪流發(fā)送數(shù)據(jù)的拷貝，網(wǎng)絡(luò)分別將它們轉(zhuǎn)發(fā)至每個(gè)接收者，主機(jī)一次只能發(fā)送至一個(gè)接收者。 目前可用的組播路由模型有兩種：稠密分布模型和稀疏分布模型。其次對路由器和交換機(jī)的性能也提出了更高的要求，管理人員被迫購買本來不必要的硬件和帶寬來保證一定的服務(wù)質(zhì)量。發(fā)送信息的主機(jī)必須向每個(gè)希望接收此數(shù)據(jù)包的用戶發(fā)送一 份單獨(dú)的數(shù)據(jù)包拷貝。這種傳送方式稱為單播。從一臺主機(jī)送出的每個(gè)數(shù)據(jù)包只能傳送給一個(gè)目標(biāo)主機(jī)，通過路由器或交換機(jī)將這些 IP 信息包從源主機(jī)發(fā)送到目標(biāo)主機(jī)。在這種通信 方式下，源 IP 主機(jī)向指定的目標(biāo) IP 主機(jī)發(fā)送信息包。 IP multicast 技術(shù)方案設(shè)計(jì) 為了使 企業(yè) 網(wǎng)絡(luò)系統(tǒng)成為能夠承載多種應(yīng)用的多媒體網(wǎng)絡(luò)，使網(wǎng)絡(luò)點(diǎn)播和網(wǎng)絡(luò)會 13 議成為辦公的有力工具，網(wǎng)絡(luò)對組播的支持是必不可少的。 VLAN 將廣播域進(jìn)行分割，但透過 VLAN 進(jìn)行通訊則必須通過路由器進(jìn)行轉(zhuǎn)發(fā)。 第三層交換出現(xiàn)因于 ATM 與交換器的技術(shù)背景，因?yàn)閭鹘y(tǒng)的網(wǎng)絡(luò)是由路由器作為中心的。 其中 VLAN10~31為部門 VLAN，禁止互訪， VLAN 51 為文件服務(wù)器區(qū)，能被任何部門訪問， VLAN 52為網(wǎng)管區(qū)，能單向訪問各個(gè)部門。 考慮到本系統(tǒng)的特點(diǎn)，節(jié)點(diǎn)在網(wǎng)絡(luò)中內(nèi)移動的可能性較小，基于易維護(hù)、易管理方面的考 慮，使用基于交換機(jī)端口 的 VLAN 進(jìn)行配置。 基 于 MAC 地址的 VLAN，即動態(tài) VLAN，基于 Vlan 策略服務(wù)組建，特點(diǎn)是終端設(shè)備可以在整個(gè)局域網(wǎng)中移動而不用改變配置，適合于移動辦公型的網(wǎng)絡(luò)環(huán)境，缺點(diǎn)是配置工作量大、繁瑣。使用路由器時(shí)，將這些邏輯網(wǎng)段連接到路由 器時(shí)可以只使用一條物理鏈路、占用一個(gè)路由器接口，這樣就節(jié)省了設(shè)備的投資，而使用三層交換設(shè)備時(shí)，不需要額外增加設(shè)備，只要交換機(jī)支持三層路由功能即可，由于三層交換設(shè)備的工作效率高于路由器，所以在本 論文 中推薦采用三層交換設(shè)備實(shí)現(xiàn) VLAN 之間的路由。 VLAN 技術(shù)不需要特殊的設(shè)備，目前第二層交換機(jī)均支持 VLAN 技術(shù)。 為了隔離第三層廣播，增強(qiáng)安全性、提高網(wǎng)絡(luò)性能，可以運(yùn)用 VLAN（虛擬局域網(wǎng)）技術(shù)或者使用路由設(shè)備。對 每個(gè)用戶而言，當(dāng)然不希望他的信息被別人利用，因此需要從物理上隔離用戶數(shù)據(jù)（單播地址的幀），保證用戶單播地址的幀只有該用戶可以接收到，不像在局域網(wǎng)中采用共享總線方式，使單播地址的幀能被總線上的所有用戶接收。 VLAN 技術(shù)簡介 以太網(wǎng)基本上是以廣播為基 礎(chǔ)的，如最初包的尋址等，交換機(jī)雖然能夠通過建立地址映射表減少不必要的廣播，但是地址映射表的建立過程仍然是基于廣播的，網(wǎng)絡(luò)節(jié)點(diǎn)（如 PC 機(jī)）在處理廣播時(shí)浪費(fèi)了 CPU 處理時(shí)間，降低了處理性能，根據(jù)統(tǒng)計(jì)，當(dāng)網(wǎng)絡(luò)上存在 15000 個(gè)廣播包時(shí)，將耗盡 CPU 資源；在傳統(tǒng)的網(wǎng)絡(luò)里，節(jié)點(diǎn)的吞吐量都會隨著節(jié)點(diǎn)的增多而下降，交換式以太網(wǎng)雖然能夠隔離沖突域及第二層廣播，但 11 是無法隔離第三層網(wǎng)絡(luò)。企業(yè) 網(wǎng)絡(luò)內(nèi)部的環(huán)境復(fù)雜 、 分布 區(qū) 域廣 、 網(wǎng)絡(luò)用戶 多 ， 以至于企業(yè) 內(nèi)部網(wǎng)絡(luò)用戶的可靠性得 不 到完全的保證。作為企業(yè)網(wǎng)絡(luò)的心臟，核心層也是路由協(xié)議最優(yōu)選路和運(yùn)行穩(wěn)定的保證，需要合理的配置路由協(xié)議，并添加冗余處理器或者應(yīng)用冗余協(xié)議來保障網(wǎng)絡(luò)核心的穩(wěn)定，使企業(yè)數(shù)據(jù)流正常運(yùn)作。 核心層： 核心層交 換機(jī)負(fù)責(zé)所有交換區(qū)塊設(shè)備和廣域網(wǎng)設(shè)備的接入，因此需要高速的數(shù)據(jù)轉(zhuǎn)發(fā)能力 。 核心區(qū)塊 是園區(qū)網(wǎng)絡(luò)的主干 ， 主要功能是在交換區(qū)塊之間用最小的時(shí)延傳輸數(shù)據(jù) ， 盡可能快的 將 交 換數(shù)據(jù)提供到其他區(qū)塊（比如 交換 區(qū)塊） 。 (2)匯聚層： 接入層交換機(jī)使用 100M 雙絞線匯聚到一臺或者多臺匯聚層設(shè)備，匯聚層設(shè)備在接入層交換機(jī)之間提供第二層連接，作為接入層交換機(jī)的集中連接點(diǎn)及接入層和核心層之間的分界點(diǎn)，匯聚層在提供接入層接 入的同時(shí)，還能夠做到廣播域的隔離、不同網(wǎng)段之間的路由、介質(zhì)轉(zhuǎn)換、安全控制。 對于由交換區(qū)塊和核心區(qū)塊構(gòu)成的局域網(wǎng)再按照目前流行的層次化的設(shè)計(jì)思想，劃分為接入層、匯聚層和核心層。在設(shè)計(jì)網(wǎng)絡(luò)的原則上，發(fā)揮不同廠商產(chǎn)品的專用先進(jìn)技術(shù)同時(shí)，必須強(qiáng)調(diào)考察設(shè)備的技術(shù)、協(xié)議的標(biāo)準(zhǔn)性。 網(wǎng)絡(luò)設(shè)備采用開放技術(shù)、支持標(biāo)準(zhǔn)協(xié)議：采用標(biāo)準(zhǔn)的協(xié)議保護(hù)用戶的投資，提高設(shè)備的互 操作性。在設(shè)計(jì)局域網(wǎng)的設(shè)備選擇上，要求網(wǎng)絡(luò)設(shè)備支持標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理協(xié)議 SNMP，同時(shí)支持RMON/RMONII 協(xié)議，核心設(shè)備要求支持 RAP(遠(yuǎn)程分析端口 )協(xié)議，實(shí)施充分的網(wǎng)絡(luò)管理功能。網(wǎng)絡(luò)管理的目標(biāo)是實(shí)現(xiàn)零管理，基 于策略的管理方式，網(wǎng)絡(luò)管理是通過制定統(tǒng)一的策略，由管理策略服務(wù)器進(jìn)行全局控制的。網(wǎng)絡(luò)管理軟件應(yīng)用于網(wǎng)絡(luò)的設(shè)備配置，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)表示，網(wǎng)絡(luò)設(shè)備的狀態(tài)的顯示，網(wǎng)絡(luò)設(shè)備的故障事件報(bào)警，網(wǎng)絡(luò)流量統(tǒng)計(jì)分析以及計(jì)費(fèi)等等。 網(wǎng)絡(luò)的可管理性 網(wǎng)絡(luò)中的任何設(shè)備均可以通過網(wǎng)絡(luò)管理平臺進(jìn)行控制，網(wǎng)絡(luò)的設(shè)備狀態(tài)，故障報(bào)警等都可以通過網(wǎng)管平臺進(jìn)行監(jiān)控，通過網(wǎng)絡(luò)管理平臺簡化管理工作，提高網(wǎng)絡(luò)管理的效率。在大規(guī)模網(wǎng)絡(luò)的設(shè)計(jì)上，劃分虛擬子網(wǎng)，一方面可以有效的隔離子網(wǎng)內(nèi)的大量廣播，另一方面隔離網(wǎng)絡(luò)子網(wǎng)間的通訊，控制了資源的訪問權(quán)限，提高了網(wǎng)絡(luò)的安全性。應(yīng)用客戶端只有應(yīng)用訪問的權(quán)限，網(wǎng)絡(luò)應(yīng)該能夠阻止黑客的任何非法操作。 網(wǎng) 絡(luò)的安全性對局域網(wǎng)的設(shè)計(jì)是非常重要的，合理的網(wǎng)絡(luò)安全控制，可以使應(yīng)用環(huán)境中的資源得到有效的保護(hù)。因此在設(shè)計(jì)大規(guī)模網(wǎng)絡(luò)的原則上普遍采用分布式交換機(jī)實(shí)現(xiàn)靈活的模塊、端口擴(kuò)充能力。對于交換機(jī)來說，核心交換引擎應(yīng)該可以滿足最大配置下，無阻塞的進(jìn)行端口數(shù)據(jù)包交換，模塊的擴(kuò)充不影響交換性能。核心設(shè)備是整個(gè)網(wǎng)絡(luò)的樞紐，用戶端口數(shù)的擴(kuò)充，需要增加配線間邊緣工作組的設(shè)備，增加邊緣設(shè)備的同時(shí)，要求連接核心骨干設(shè)備的端口數(shù)相應(yīng)增加，因此核心設(shè)備應(yīng)該可以通過增加模塊來靈活地增 加端口數(shù)。同時(shí)提高性能，滿足更高性能的要求。在設(shè)計(jì)局域網(wǎng)的原則上提高網(wǎng)絡(luò)的高可靠性、高可用性原則是至關(guān)重要的，不僅要求設(shè)備的部件冗余，同時(shí)要求網(wǎng) 絡(luò)的鏈路冗余，以保證網(wǎng)絡(luò)可以在任何時(shí)間、任何地點(diǎn)提供信息訪問服務(wù)。網(wǎng)絡(luò)設(shè)備的選擇，尤其是核心機(jī)箱式設(shè)備，應(yīng)該可以配置冗余部件，關(guān)鍵部件不存在單一故障點(diǎn)，也就是說，像交換機(jī)的電源、風(fēng)扇、交換引擎、管理模塊這些部件可以冗余備份，其中之一任何部件的損壞，不會影響設(shè)備的正常運(yùn)行，不會影響網(wǎng)絡(luò)的連通。它直接影響到辦公應(yīng)用環(huán)境，交易、生產(chǎn)、開發(fā)、設(shè)計(jì)等業(yè)務(wù)環(huán)境，財(cái)務(wù)管理，部品管理等環(huán)境，信息檢索、數(shù)據(jù)庫查詢、 Inter 瀏覽等支持正常運(yùn)行的必要服務(wù)設(shè)施功能。 隨著信息化社會的飛速發(fā)展，普遍采用了 Intra 應(yīng)用模式，實(shí)現(xiàn)管理和生產(chǎn)自動化，提高管理效率，管理水平。 核心交換機(jī)的高可靠性 核心交換機(jī)關(guān)鍵部件可以實(shí)現(xiàn)冗余工作，可以在線更換 (熱插拔 )，故 障的恢復(fù)時(shí)間在秒級間隔內(nèi)完 。網(wǎng)絡(luò)的負(fù)載流量主要是從邊緣設(shè)備到核心的數(shù)據(jù)交換，隨著業(yè)務(wù)的發(fā)展，網(wǎng)絡(luò)規(guī)模的擴(kuò)展，以及應(yīng)用的信息交換量增加，使得網(wǎng)絡(luò)通常會在核心發(fā)生通訊瓶頸現(xiàn)象，改善局域網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)交換性能，往往是首先擴(kuò)充核心交換機(jī)的交換性能，增加邊緣設(shè)備到核心的數(shù)據(jù)通訊帶寬，以減輕整個(gè)網(wǎng)絡(luò)的瓶頸，使得應(yīng)用軟件的性能和效率得到提 7 高。 在 Intra 網(wǎng)絡(luò)應(yīng)用環(huán)境中心， WWW 服務(wù)器， FTP 服務(wù)器， EMail 服務(wù)器， EDI服務(wù)器， Lotus Notes 群件應(yīng)用服務(wù)器， Novell Server 等服務(wù)器群支撐著整個(gè)企業(yè)的應(yīng)用服務(wù)。 網(wǎng)絡(luò)系統(tǒng)管理 系統(tǒng)中包含大量的網(wǎng)絡(luò)設(shè)備，必須為其配置功能強(qiáng)大的管理系統(tǒng)，該系統(tǒng)應(yīng)具有以下功能： (1)虛擬網(wǎng)管理、分配 ； (2)對所有網(wǎng)絡(luò)設(shè)備端口的監(jiān)視和管理 ；