【正文】 。主控模塊、交換網(wǎng)板、路由引擎、電源等主要部件都有冗余備份，不會因為某模塊的局部故障，造成整機的癱瘓。從高端產(chǎn)品到低端產(chǎn)品，從路由器到交換機，思科公司的全線產(chǎn)品在硬件設計，軟件開發(fā)，以及故障檢測及報警等諸多方面都在為提高設備可用性而不斷努力。CISCO在可靠性設計，產(chǎn)品性能和質(zhì)量保證體系三方面保障設備的穩(wěn)定性和可靠性。3．7方案的特點總結(jié)3．7．1穩(wěn)定性、可靠性解決方案網(wǎng)絡設備必須具備高度的可靠性和穩(wěn)定性，思科公司生產(chǎn)的所有交換機均采用高可靠性設計，CAT4506系列平均無故障時間50000小時。組播技術(shù)為多媒體業(yè)務的開展提供了基礎傳送技術(shù)。系統(tǒng)最大同時并發(fā)支持1024個不同組播節(jié)目，每個用戶同時最大加入64個組播節(jié)目。1．支持多個組播源同時提供組播服務，用戶在二/三層應用模式下的混合點播方式。這個設計使得某些組播數(shù)據(jù)報可能被不是其組播群組成員的主機錯誤的接收了，因此必須仔細地檢查所有到達的數(shù)據(jù)報的地址，以便丟棄那些不需要的數(shù)據(jù)報。例如，IP組播地址224．0．0．1就被映射為相應的以太網(wǎng)組播地址01．00．5E．00．00，0116。特別是，群組字段并不標出群組的來源，也不會像A，B和 C類地址那樣包含一個網(wǎng)絡地址。其余的28比特標識了特殊的組播地址。IP組播使用了D類地址。因此，組播允許進行資源發(fā)現(xiàn)，使網(wǎng)絡負載減到最小，在網(wǎng)上實現(xiàn)數(shù)據(jù)的有效傳輸。它在主機和直接鄰接的組播三層交換機間運行，這個協(xié)議的機制允許主機通知本地三層交換機，它希望接收到發(fā)往某個特定組播組的信息。IGMP（Internet Group Management Protocol ）網(wǎng)絡組管理協(xié)議是IP協(xié)議組中的一部分，用來支持和管理主機與組播三層交換機之間的IP組播。思科智能接入交換機上主要采用的是IGMP snooping模塊來實現(xiàn)組播功能，IGMP snooping 是用來監(jiān)聽主機與三層交換機之間的的IGMP報文的。3．6．6網(wǎng)絡視頻流平臺支撐規(guī)劃工院網(wǎng)絡完成后將會大量使用視頻信息用于教學、管理等工作，但是作為視頻流數(shù)據(jù)會占用大量網(wǎng)絡資源，因此需要將組播功能在全網(wǎng)中部署，組播技術(shù)能夠?qū)崿F(xiàn)數(shù)據(jù)的一路發(fā)送多點接受，這樣可以極大的減少網(wǎng)絡負擔。支持帶寬控制功能，流量限速的粒度為8Kbit/s，滿足精品寬帶網(wǎng)絡的要求。IP地址規(guī)劃建議本方案建議使用INTERNET保留私有IP地址作為園區(qū)網(wǎng)內(nèi)部地址，考慮到方便網(wǎng)絡管理，使用標準的C類地址，每一個C類地址段歸于一個VLAN。原則上，可根據(jù)服務器的應用種類和關(guān)聯(lián)關(guān)系，分割成不同的子網(wǎng)網(wǎng)段，防止因同一廣播域內(nèi)，因主機的數(shù)量增多而導致的局域網(wǎng)效率的下降。但用戶地址網(wǎng)段應當易于匯聚，以便跨OSPF域通告匯總路由，減少其他子域路由器的路由開銷。鑒于此次工程的的組網(wǎng)規(guī)模， IP地址的分配可以根據(jù)以下幾個層次考慮：三層路由網(wǎng)關(guān)：此次核心交換機采用的是CAT4506系列交換機，對于每一個網(wǎng)段都需要一個地址分配給路由模塊，作為每個VLAN的虛擬網(wǎng)關(guān)。3．6．4 IP規(guī)劃IP地址規(guī)劃要注意統(tǒng)一考慮的原則，全網(wǎng)要有一個一致的規(guī)劃方案，要考慮易于管理和分配的原則，為各個部門節(jié)點制定統(tǒng)一的劃分原則。另外由于目前網(wǎng)絡中有著大量的病毒及掃描程序，一直在不停試圖對網(wǎng)絡中的計算機等進行攻擊、控制、傳播病毒等，因此我們還要在路由器上實現(xiàn)對這些行為的屏蔽。3．6．3出口路由策略規(guī)劃對于出口路由器的對外訪問策略在在網(wǎng)絡結(jié)構(gòu)設計一節(jié)中已經(jīng)進行了說明，這里主要針對出口路由器如何實現(xiàn)數(shù)據(jù)路由以及安全控制等進行規(guī)劃。目前最常用的主要是使用訪問控制列表，通過將功能不同的訪問控制列表加載到不同的VLAN接口中，便可以根據(jù)自己的實際情況設定相應的訪問規(guī)則。由于在局域網(wǎng)中我們劃分VLAN時便已經(jīng)賦予了每一個VLAN屬于不同的功能域，并不是所有VLAN之間或所有計算機之間都可以不作限制隨意訪問。3．6．2VLAN間訪問策略規(guī)劃VLAN劃分是將機器劃歸到不同的管理組，這種分組的目的主要是隔離廣播數(shù)據(jù)、便于網(wǎng)絡管理。支持本地VLAN劃分和跨主干的VLAN劃分方式，可以實現(xiàn)橫向虛網(wǎng)劃分和縱向虛網(wǎng)劃分功能。除能滿足上述基本要求外，以實現(xiàn)不同設備間的虛網(wǎng)互連，虛網(wǎng)數(shù)的要求達到1000個以上，虛網(wǎng)劃分的策略以按端口方式為主，因為端口劃分方式是目前使用最方便、并能提供最好的網(wǎng)絡第二層安全控制及廣播控制的的VLAN劃分方法。從業(yè)務流程和管理特點上來看，要求虛網(wǎng)劃分能夠適應兩個層次的要求：一是二級單位為行政主體進行管理的橫向虛網(wǎng)劃分；二是以專業(yè)應用子系統(tǒng)為主體進行管理的縱向虛網(wǎng)劃分。3．6網(wǎng)絡規(guī)劃設計針對工院網(wǎng)絡網(wǎng)絡系統(tǒng)工程建設的需求，我公司提出總體網(wǎng)絡協(xié)議及路由規(guī)劃。建立的VPN模式如下圖所示：在移動客戶端安裝一套VPN客戶端軟件，該用戶無論通過何種方式接入互聯(lián)網(wǎng)后，均可通過和中心的VPN設備之間建立鏈接，通過VPN設備預先設定的驗證和IPSEC協(xié)議簇，在移動用戶和中心網(wǎng)絡之間建立一條VPN隧道，并有VPN設備為其分配一個內(nèi)網(wǎng)地址，這樣就移動用戶就可以象局域網(wǎng)用戶一樣，實現(xiàn)對內(nèi)部網(wǎng)絡資源的訪問。VPN是用于在非安全的網(wǎng)絡中建立安全隧道的模式來實現(xiàn)網(wǎng)絡的安全訪問技術(shù)，一般建立VPN的方式包括：在兩個網(wǎng)絡之間通過VPN設備建立VPN通道，和在移動或遠端一臺或多臺計算機和中心VPN設備之間建立VPN通道的模式。本方案中我們推薦用戶選擇的是 防火墻設備，該設備具體參數(shù)如下表所示：產(chǎn)品型號 網(wǎng)絡吞吐能力并發(fā)連接數(shù)MTBF網(wǎng)絡接口（小時）10/100BaseT(RJ45)Power V200系列203200Mbps600,00060,0003具體設備的介紹在第六章有詳細相關(guān)介紹。防火墻的部署位置如下圖所示：另外由于我們推薦的該防火墻還具備較強的抗攻擊能力（主要抗拒絕服務攻擊）、VPN的支持以及入侵檢測功能。但是防火墻要通過合理的規(guī)劃和配置，才能夠達到我們預想的安全目標。設備故障管理器簡化了第2層和第3層環(huán)境的管理LoadDirector、Catalyst 4840G和Catalyst 6xxx具有監(jiān)視服務器負載平衡的功能內(nèi)容流量監(jiān)視器實時監(jiān)視來自虛擬網(wǎng)絡和實際網(wǎng)絡負載平衡構(gòu)件的包流量數(shù)據(jù)和負載服務器的負載平衡功能收集來自局域網(wǎng)設備和探測器的RMON/RMON2的數(shù)據(jù)資料NGerius 實時監(jiān)視器監(jiān)視局域網(wǎng)傳輸協(xié)議、應用和接口，以便采用適當?shù)倪^濾器、降低成本與提高設備性能排除局域網(wǎng)網(wǎng)絡與應用包級的故障NGenius實時監(jiān)視器通過提供整個網(wǎng)絡的可視性包括應用層、數(shù)據(jù)鏈路層及現(xiàn)有的虛擬拓撲結(jié)構(gòu)，來幫助解決網(wǎng)絡與應用問題詳細的軟、硬件庫存報告資源管理器要素準確提供Cisco庫存基線信息，包括內(nèi)存、插槽、軟件版本以及網(wǎng)絡決策所需的引導ROM用于設備軟件和配置更改的自動升級引擎資源管理器要素 允許軟件與配置更新信息按計劃傳送到選定的設備，從而節(jié)省了時間和避免了網(wǎng)絡更新過程中出現(xiàn)的錯誤整合的故障排除工具設備中心資源管理器要素廣泛收集的交換機和路由器分析工具，可從單點訪問，設備中心能夠鏈接到第三方的應用上集中管理變化審計記錄資源管理器要素可徹底改變記錄用戶與應用在網(wǎng)上活動的監(jiān)視日志圖形設備管理CiscoView顯示的瀏覽器代表Cisco路由器和交換機設備，彩色編碼代表運行的狀態(tài)及可獲得的配置與監(jiān)視工具應用訪問安全性CiscoWorks2000服務器CiscoWorks2000臺式設備控制用戶獲得的應用，確保合適級別的用戶才能獲得改變網(wǎng)絡參數(shù)的工具，而不符合要求的用戶只能使用只讀工具第三方集成工具（集成的實用性）CiscoWorks2000服務器簡化了Web與第三方及其它Cisco管理工具的集成3．5．7防火墻應用設計防火墻是保護內(nèi)部網(wǎng)絡安全的主要屏障，統(tǒng)計表明防火墻可以防止80％以上的外來攻擊行為，因此部署防火墻系統(tǒng)是非常必要的。 l CiscoWorks 2000管理服務器CiscoWorks 2000系列解決方案提供了基本的管理構(gòu)件、服務和安全性，它也是與其他Cisco產(chǎn)品及第三方應用相集成的基礎。 l CiscoView這種最廣泛使用的Cisco圖形設備管理應用工具現(xiàn)已具備Web能力。 l 資源管理器要素資源管理器要素（RME）具有網(wǎng)絡庫存和設備更換管理能力、網(wǎng)絡配置與軟件圖象管理能力、網(wǎng)絡可用性和系統(tǒng)記錄分析能力。 l NGenius實時監(jiān)視器是一種新型的多用戶傳輸管理工具包，能夠為監(jiān)控網(wǎng)絡、故障排除和維護網(wǎng)絡可用性提供全網(wǎng)絡、實時遠程監(jiān)視信息。監(jiān)視與管理內(nèi)容傳輸?shù)脑O備如LocalDirector或 Catalyst 4840G等是了解并維護網(wǎng)絡中關(guān)鍵任務應用與服務的內(nèi)容流量的關(guān)鍵。這些陷阱能夠在當?shù)仫@示，或者用的方式傳遞給其他常用的事件管理系統(tǒng)。 l 設備故障管理器為Cisco設備提供實時故障分析能力。 CISCO解決方案構(gòu)件 局域網(wǎng)管理解決方案包括以下應用： Cisco nGenius RealTime Monitor、CiscoWorks Device Fault Manager、CiscoWorks Campus Manager、CiscoWorks RME、CiscoViewl 園區(qū)管理器園區(qū)管理器用于新一代CWSI園區(qū)網(wǎng)，是為管理Cisco交換網(wǎng)而設計的基于Web的新型應用工具套件。與局域網(wǎng)管理解決方案結(jié)合，Cisco提供了一系列完整的專用硬件探測器。局域網(wǎng)管理解決方案利用Internet標準來將最先進的工具結(jié)合起來，并通過數(shù)據(jù)和任務集成標準來發(fā)揮這些工具的功能。上述操作能夠從一個或多個應用中獲取信息。譬如，某個抱怨反應時間太長的用戶能夠利用局域網(wǎng)管理解決方案中的第2層路徑工具來自動搜集存儲在某個數(shù)據(jù)庫中的用戶路徑信息，并在拓撲映象中找到所使用的設備，從而能夠快速地進行診斷。 局域網(wǎng)管理解決方案創(chuàng)建在CiscoWorks 2000常用服務器基礎上。其設計體現(xiàn)了當今Cisco的網(wǎng)絡技術(shù)，同時也為管理未來的網(wǎng)絡需要提供了一種靈活的框架。而所有的功能都建構(gòu)在一個便于使用的框架中。盡早發(fā)現(xiàn)網(wǎng)絡狀態(tài)的變化已成為排除潛在故障的關(guān)鍵。局域網(wǎng)的管理也已經(jīng)從以設備為中心轉(zhuǎn)變?yōu)橐怨芾韨鬏敂?shù)據(jù)和語音流的內(nèi)容感知信息系統(tǒng)為中心。計費系統(tǒng)管理上還可以提供其他更多的靈活機制，所有這些不同相關(guān)管理員的權(quán)限設置可以有系統(tǒng)管理員進行統(tǒng)一授權(quán)。對于非法用戶不能通過驗證，系統(tǒng)會阻斷該訪問的進行?；谠?、目標地址的混合控制模式：由于基于源和目標地址直接設定時不能夠完全滿足學校的訪問控制需求，這時我們就需要將2種模式結(jié)合起來，根據(jù)一些預先考慮好的機制，將對外訪問的的類型設定優(yōu)先的級別，保證最有效的帶寬效率和費用控制等。例如：我們可以設定地址屬于 ：，也可設置很多網(wǎng)段或某些特定地址，其余源地址不屬于該網(wǎng)段的數(shù)據(jù)將會被送至出口1。一般情況下我們可以使用3種策略機制，即：l 基于目標地址進行訪問控制l 基于源地址的訪問控制l 基于源目標地址的混合控制模式下面針對不同的策略模式進行簡單說明：基于目標地址進行訪問控制：首先在路由設置時將對某些目標地址訪問時，設定為將數(shù)據(jù)送往特定出口（比如CERNET出口），一般情況下這種策略都會將訪問的地址為教育網(wǎng)地址段（在CERNET網(wǎng)站上可以查到教育網(wǎng)的所有網(wǎng)段地址）的數(shù)據(jù)送至教育網(wǎng)出口，即上圖中端口1；訪問其他不屬于指定網(wǎng)段的地址，都默認送至端口2即公網(wǎng)出口。但是由于CERNET與公網(wǎng)（INTERNET）的路由會接是通過教育網(wǎng)的中心節(jié)點實現(xiàn)的，因此如果只使用一個出口連接時，對INTERNET的訪問會變得相對較慢，當大量訪問發(fā)生時這種現(xiàn)象會更加明顯，所以工院網(wǎng)絡改造后還需要有和公網(wǎng)的出口連接（注：公網(wǎng)的連接一般為包月制，教育網(wǎng)國際流量需單獨付費）。無線接入示意圖：雖然無線接入具備部署靈活等優(yōu)點，但是同時無線網(wǎng)絡也具有很多不足，比如目前的AP設備都為共享式接入，當有大量無線終端用戶接入時會有大量的沖突與廣播數(shù)據(jù)包，導致效率降低，其次雖然具備了一些抗干擾能力但是還是會受到外界電磁干擾影響使用，另外目前無線網(wǎng)絡的訪問安全性控制能力還相對較弱，使用時還受到環(huán)境的限制，當有物體（比如墻體）阻隔時，連通的穩(wěn)定性可能會無法保證。設備清單見下表：產(chǎn)品型號產(chǎn)品描述數(shù)量Linksys SWR 324CISCOLinksys SWR 324交換機,24個10/100端口，2個GBIC插槽4WSG5484多模GBIC接口卡2WSG5486單模GBIC接口卡23．5．3無線網(wǎng)絡部分由于越來越多移動辦公需求，以及在舊建筑中布線的困難現(xiàn)實，無線以太網(wǎng)技術(shù)已經(jīng)得到越來越廣泛的應用，無線網(wǎng)絡部署方便簡單而且目前已經(jīng)克服了原有的帶寬不足，易受外界環(huán)境干擾等因素，并且在訪問的安全性上也得到了很大的加強，所以工院在部分會議室等敞開式的環(huán)境中部署無線網(wǎng)絡是非常明智，非常合理的。設備配置清單見下表：產(chǎn)品型號產(chǎn)品描述數(shù)量WSC4506Catalyst 4500 6插槽機箱1PWRC451000ACCatalyst 4500 1000W交流電源1PWRC451000AC/2Catalyst 4500 1000W冗余交流電源1WSX4513Catalyst 4500超級引擎含2個千兆GBIC插槽1WSX4306GBCatalyst 4500 6端口GBIC接口模塊1WSX4548GBRJ45Catalyst 4500 48口10/100/1000自適應RJ45接口模塊1WSG5484多模GBIC接口卡2WSG5486單模GBIC接口卡3中心設備重要參數(shù)資料：Supervisor Engine IIPlus的性能指標：特性 Supervisor Engine IIPlus 平臺支持 Cisco Catalyst 4004504506和4507R