【正文】 少企業(yè)的經(jīng)濟損失。大型企業(yè)網(wǎng)絡(luò)承載的業(yè)務(wù)不斷增多，單純的提高帶寬并不能夠有效地保障數(shù)據(jù)交換的暢通無阻，所以今天的大型企業(yè)網(wǎng)絡(luò)建設(shè)必須要考慮到網(wǎng)絡(luò)應(yīng)能夠智能識別應(yīng)用事件的緊急和重要程度，如視頻、音頻、數(shù)據(jù)流（MIS、ERP、OA、備份數(shù)據(jù)）。鏈路的可靠性設(shè)計：以太網(wǎng)的鏈路安全來自于多路徑選擇，所以在企業(yè)網(wǎng)絡(luò)建設(shè)時，要考慮網(wǎng)絡(luò)設(shè)備是否能夠提供有效的鏈路自愈手段，以及快速重路由協(xié)議的支持[7]。設(shè)備的可靠性設(shè)計：不僅要考察網(wǎng)絡(luò)設(shè)備是否實現(xiàn)了關(guān)鍵部件的冗余備份，還要從網(wǎng)絡(luò)設(shè)備整體設(shè)計架構(gòu)、處理引擎種類等多方面去考察。隨著企業(yè)各種業(yè)務(wù)應(yīng)用逐漸轉(zhuǎn)移到計算機網(wǎng)絡(luò)上來，網(wǎng)絡(luò)通信的無中斷運行已經(jīng)成為保證企業(yè)正常生產(chǎn)運營的關(guān)鍵。所以，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)不能再用百兆位到桌面千兆位骨干來作為建網(wǎng)的標(biāo)準(zhǔn)，核心層及骨干層必須具有萬兆位級帶寬和處理性能，才能構(gòu)筑一個暢通無阻的高品質(zhì)大型企業(yè)網(wǎng)，從而適應(yīng)網(wǎng)絡(luò)規(guī)模擴大，業(yè)務(wù)量日益增長的需要[7]。另外，隨著千兆位端口成本的持續(xù)下降，千兆位到桌面的應(yīng)用會在不久的將來成為企業(yè)網(wǎng)的主流。不僅要繼續(xù)承載企業(yè)的辦公自動化，Web瀏覽等簡單的數(shù)據(jù)業(yè)務(wù)，還要承載涉及企業(yè)生產(chǎn)運營的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及帶寬和時延都要求很高的IP電話、視頻會議等多媒體業(yè)務(wù)。 寬帶性能需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強大的性能，以滿足用戶日益增長的通信需求。由于采用的網(wǎng)絡(luò)設(shè)備自身已具備較為完善的網(wǎng)絡(luò)管理、監(jiān)控和維護功能，因此采用建立一個管理工具齊全的集中的網(wǎng)絡(luò)管理中心即可實現(xiàn)全網(wǎng)絡(luò)的系統(tǒng)管理和監(jiān)控[11]。網(wǎng)絡(luò)管理人員只需在規(guī)劃好的網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)提供各個接入網(wǎng)絡(luò)的接入控制即能實行各種網(wǎng)絡(luò)服務(wù)。 易管理維護的網(wǎng)絡(luò)：由于采用了IP骨干技術(shù)、DHCP技術(shù)和MPLS技術(shù)，使得網(wǎng)絡(luò)的管理簡單化。 2) 網(wǎng)絡(luò)管理系統(tǒng)的安全控制：由于本網(wǎng)絡(luò)中網(wǎng)絡(luò)管理系統(tǒng)采用標(biāo)準(zhǔn)的SNMP網(wǎng)絡(luò)管理技術(shù)，因此網(wǎng)絡(luò)設(shè)備的網(wǎng)管可能出現(xiàn)漏洞。網(wǎng)絡(luò)設(shè)備本身具有多種訪問控制安全策略： 1) 多級訪問控制密碼：網(wǎng)絡(luò)中各設(shè)備訪問控制可通過15級不同的訪問權(quán)限，網(wǎng)管人員可設(shè)置不同的訪問權(quán)限。 5) 網(wǎng)絡(luò)系統(tǒng)告警(Syslog)：網(wǎng)絡(luò)中采用的設(shè)備可對監(jiān)控到的網(wǎng)絡(luò)攻擊和各種非正常訪問發(fā)出告警，提醒網(wǎng)絡(luò)管理人員及時發(fā)現(xiàn)問題并采取相應(yīng)安全策略。 3) 基于網(wǎng)絡(luò)層的加密：網(wǎng)絡(luò)設(shè)備可提供基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)層加密技術(shù)：IPSec ，可以提供高可靠的網(wǎng)絡(luò)訪問安全機制。 2) 網(wǎng)絡(luò)服務(wù)安全控制：包含標(biāo)準(zhǔn)訪問控制列表(ACL)，擴展的訪問控制列表(Extend ACL)，動態(tài)訪問控制列表(Refliex ACL)，按數(shù)據(jù)流的訪問統(tǒng)計和監(jiān)控(Netflow)，網(wǎng)絡(luò)資源訪問用戶認(rèn)證/授權(quán)和記帳(lock amp。整個網(wǎng)絡(luò)與國際互聯(lián)網(wǎng)絡(luò)平滑連接，因此網(wǎng)絡(luò)的安全性尤其重要。CiscoIOS系統(tǒng)支持今天的絕大多數(shù)網(wǎng)絡(luò)應(yīng)用系統(tǒng)，同時Cisco IOS系統(tǒng)可提供從數(shù)據(jù)鏈路層到應(yīng)用層的多種網(wǎng)絡(luò)服務(wù)，如：L2/L3VPN(虛擬專網(wǎng))，VPDN(虛擬撥號專網(wǎng))，以及對MPLS技術(shù)的支持允許提供各種網(wǎng)絡(luò)增值服務(wù)?；贑isco IOS的多功能網(wǎng)絡(luò)平臺：網(wǎng)絡(luò)中采用的網(wǎng)絡(luò)設(shè)備均采用Cisco IOS (Internetworking Operation System互聯(lián)網(wǎng)絡(luò)操作系統(tǒng))為核心功能軟件。在各個核心節(jié)點分別配置Cisco公司在國際上多次獲獎的千兆位路由交換機 GSR 12000系列中的 12016和12012作為核心傳輸設(shè)備，節(jié)點間使用裸光纖配合POS ，以提供物理層、鏈路層及IP層的冗余連接能力。這一網(wǎng)絡(luò)基于分層設(shè)計分為三層：骨干傳輸網(wǎng)、城域網(wǎng)、接入網(wǎng)，采用三級管理模式：省網(wǎng)絡(luò)中心、地市網(wǎng)絡(luò)中心、校園網(wǎng)，連接省內(nèi)各大中專院校、各中小學(xué)校、各級教育主管部門和其他教育科研單位，未來更將延伸到每一個需要教育培訓(xùn)的公眾面前。河南省教育科研寬帶IP網(wǎng)絡(luò)全面采用Cisco公司的AVVID網(wǎng)絡(luò)體系結(jié)構(gòu)，一期工程總共采用了10臺Cisco GSR 12016和GSR12012，近20臺Cisco OSR 6509，其他各類交換機和路由器數(shù)百臺。當(dāng)前同AAA服務(wù)器協(xié)作的網(wǎng)絡(luò)連接服務(wù)器接口是“遠(yuǎn)程身份驗證撥入用戶服務(wù) (RADIUS)”[10]。驗證授權(quán)和帳戶由AAA服務(wù)器來提供。這些資源包括連接時間或者用戶在連接過程中的收發(fā)流量等等。一旦用戶通過了認(rèn)證，他們也就被授予了相應(yīng)的權(quán)限。簡單而言，授權(quán)過程是一系列強迫策略的組合，包括：確定活動的種類或質(zhì)量、資源或者用戶被允許的服務(wù)有哪些。接下來，用戶還要通過授權(quán)來獲得操作相應(yīng)任務(wù)的權(quán)限。如果符合，那么對用戶認(rèn)證通過。認(rèn)證的原理是每個用戶都有一個唯一的權(quán)限獲得標(biāo)準(zhǔn)?！∈紫?，認(rèn)證部分提供了對用戶的認(rèn)證。計帳(Accounting)：記錄用戶對各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計費系統(tǒng)。AAA ，認(rèn)證(Authentication)：驗證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù)。路由器轉(zhuǎn)發(fā)協(xié)議數(shù)據(jù)包的源地址使用的是實際 IP 地址，而并非虛擬地址，正是基于這一點，HSRP 路由器間能相互識別[10]。如果主動路由器出現(xiàn)故障，備份路由器（Standby Routers）承接主動路由器的所有任務(wù)，并且不會導(dǎo)致主機連通中斷現(xiàn)象。一旦主動路由器出現(xiàn)故障，HSRP 將激活備份路由器（Standby Routers）取代主動路由器。終端主機將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬路由器上。該協(xié)議中含有多種路由器，對應(yīng)一個虛擬路由器。 HSRPHSRP：熱備份路由器協(xié)議（HSRP：Hot Standby Router Protocol）熱備份路由器協(xié)議（HSRP）的設(shè)計目標(biāo)是支持特定情況下 IP 流量失敗轉(zhuǎn)移不會引起混亂、并允許主機使用單路由器，以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。它使用ISL中繼和允許一個VLAN中繼當(dāng)被其它VLANs的阻塞時將一些VLANs轉(zhuǎn)發(fā)。 PVSTPVST: PerVLAN Spanning Tree（每VLAN生成樹） PVST是解決在虛擬局域網(wǎng)上處理生成樹的CISCO特有解決方案．PVST為每個虛擬局域網(wǎng)運行單獨的生成樹實例．一般情況下PVST要求在交換機之間的中繼鏈路上運行CISCO的ISL。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費用，也不用購買路由器等硬件設(shè)備。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。在那些這被看作是安全問題的環(huán)境下，可以在防火墻上終止隧道[4]。GRE 下的網(wǎng)絡(luò)安全與常規(guī)的 IPv4 網(wǎng)絡(luò)安全是較為相似的，GRE 下的路由采用 IPv4 原本使用的路由，但路由過濾保持不變 。在此情形下，必須丟棄該包。當(dāng)一個隧道終點拆封此含有 IPv4 包作為有效載荷的 GRE 包時，IPv4 包頭中的目的地址必須用來轉(zhuǎn)發(fā)包，并且需要減少有效載荷包的 TTL。此外發(fā)協(xié)議即為發(fā)送協(xié)議。在大多數(shù)常規(guī)情況下，系統(tǒng)擁有一個有效載荷（或負(fù)載）包，需要將它封裝并發(fā)送至某個目的地。客戶也可以請求使用自己喜歡的網(wǎng)絡(luò)地址及相應(yīng)的配置參數(shù)[6]。DHCP使IP地址的可以租用，對于許多擁有許多臺計算機的大型網(wǎng)絡(luò)來說，每臺計算機擁有一個IP地址有時候可能是不必要的。這主要用于大型網(wǎng)絡(luò)環(huán)境和配置比較困難的地方。比較起 BOOTP ，DHCP 透過 租約 的概念，有效且動態(tài)的分配客戶端的 TCP/IP 設(shè)定，而且，作為兼容考慮，DHCP 的分配形式 首先，必須至少有一臺 DHCP 工作在網(wǎng)絡(luò)上面，它會監(jiān)聽網(wǎng)絡(luò)的 DHCP 請求，并與客戶端磋商 TCP/IP 的設(shè)定環(huán)境。它分為兩個部份：一個是服務(wù)器端，而另一個是客戶端。 既然VLAN隔離了廣播風(fēng)暴，同時也隔離了各個不同的VLAN之間的通訊，所以不同的VLAN之間的通訊是需要有路由來完成的[5]。 VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。　 VLANVLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。企業(yè)用戶可以根據(jù)所需帶寬、本地服務(wù)可用性、花費等因素綜合考慮，選擇一種適合企業(yè)自身需要的廣域網(wǎng)接入方案。遠(yuǎn)程訪問有三種可選的服務(wù)類型：專線連接、電路交換和包交換?！?遠(yuǎn)程訪問技術(shù)遠(yuǎn)程訪問也是企業(yè)網(wǎng)絡(luò)必須提供的服務(wù)之一。接入層為所有的終端用戶提供一個接入點；分布層除了負(fù)責(zé)將訪問層交換機進行匯集外，還為整個交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能；核心層將各分布層交換機互連起來進行穿越企業(yè)網(wǎng)骨干的高速數(shù)據(jù)交換。為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴展性，在企業(yè)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進行的。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機上。在VLAN間需要通信的時候，可以利用VLAN間路由技術(shù)來實現(xiàn)。現(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN）的概念?，F(xiàn)代交換技術(shù)還實現(xiàn)了第3層交換和多層交換。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進行通信時的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進行縝密的設(shè)計，來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實施保護[2]。路由器上的訪問控制列表（Access Control List，ACL）是保護內(nèi)網(wǎng)安全的有效手段。在本工程案例設(shè)計中，內(nèi)網(wǎng)用戶不僅通過路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過3層交換機上的路由功能進行數(shù)據(jù)包交換。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時選擇最佳路徑的能力。因為每個廠家都有屬于自己的EIGRP、HDLC所以不同廠家的設(shè)備就不能使用這些網(wǎng)絡(luò)協(xié)議。 關(guān)鍵技術(shù)研究 本設(shè)計方案采用的是全部Cisco的網(wǎng)絡(luò)設(shè)備，全網(wǎng)使用統(tǒng)一廠家得設(shè)備以實現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補充。企業(yè)網(wǎng)是企業(yè)內(nèi)各部門的橋接區(qū)，主要完成接入網(wǎng)中的子公司和工作人員與企業(yè)骨干業(yè)務(wù)網(wǎng)絡(luò)之間全方位的互通。第2章 關(guān)鍵的網(wǎng)絡(luò)技術(shù)原理 大型企業(yè)網(wǎng)絡(luò)的定位 企業(yè)網(wǎng)是指覆蓋企業(yè)和企業(yè)與分公司之間的網(wǎng)絡(luò)，為企業(yè)的多種通信協(xié)議提供綜合傳送平臺的網(wǎng)絡(luò)。遠(yuǎn)程企業(yè)對網(wǎng)絡(luò)的需求是：通過internet接入, 在整個公司實現(xiàn)數(shù)據(jù)快速傳輸、辦公自動化,最終實現(xiàn)企業(yè)無紙化辦公；企業(yè)擁有自己的ip地址和域名,在公司主機上建立網(wǎng)站,向外界宣傳企業(yè)形象、公司各項業(yè)務(wù)、活動及最新成果等；以ip電話方式節(jié)省企業(yè)大部分的長途話費,亦可通過ip網(wǎng)絡(luò)來實現(xiàn)視頻會議；整個公司需要一個運行可靠、費用合理的通信系統(tǒng)；實現(xiàn)telnet等網(wǎng)絡(luò)服務(wù)；建立一個功能全面、使用方便的管理信息系統(tǒng),使總公司與各地分支機構(gòu)之間的業(yè)務(wù)審批電子化,各項工作能夠協(xié)同完成。當(dāng)企業(yè)發(fā)展到一定規(guī)模,企業(yè)在外地設(shè)有許多分支機構(gòu)?；谶@種種的現(xiàn)實問題，企業(yè)必須從企業(yè)局域網(wǎng)的概念及相關(guān)計算機網(wǎng)絡(luò)技術(shù)入手，詳細(xì)地設(shè)計企業(yè)網(wǎng)建設(shè)的實施方案及建設(shè)規(guī)劃,以達(dá)到先進、安全、實用、比較各種組網(wǎng)技術(shù)，從實用角度論述局域網(wǎng)主干網(wǎng)選擇，綜合布線，各種設(shè)備選擇，網(wǎng)絡(luò)安全，網(wǎng)絡(luò)管理等方面。這種技術(shù)允許不同計算機平臺進行互通,且不用考慮其位置。企業(yè)內(nèi)部網(wǎng)（Intranet）是國際互連網(wǎng)（Internet）技術(shù)在企業(yè)內(nèi)部或封閉的用戶群內(nèi)的應(yīng)用。比如市場部門可以上網(wǎng)查閱資料而技術(shù)部門不可；或者從周一上午九點到周五下午五點可以上網(wǎng)，而其他時間段網(wǎng)絡(luò)無流量；再或者高層領(lǐng)導(dǎo)組可以監(jiān)控財務(wù)部門的檔案文件而其
他部門則沒有這樣的權(quán)限。在企業(yè)的某些關(guān)鍵部門（如財務(wù)科等），如果有不法分子利用網(wǎng)絡(luò)中的漏洞修改或者竊取商業(yè)機密文件，也會對企業(yè)自身造成不可挽回的甚至是毀滅性的危害。由于中國的網(wǎng)絡(luò)發(fā)展較晚，網(wǎng)絡(luò)的安全沒有作到非常完善。所以對于這些大型企業(yè)的網(wǎng)絡(luò)設(shè)計必須考慮到流量等細(xì)節(jié)問題。比如中國電信、中國網(wǎng)通、中國銀行，它們對網(wǎng)絡(luò)有一點十分重要的需求，那就是網(wǎng)路通路，流量不可斷。對于規(guī)模較大的企業(yè)來說，這一點尤為重要。企業(yè)與全世界聯(lián)系起來,極大地提高了信息收集的能力和效率。國內(nèi)越來越多的企業(yè)也已經(jīng)或正在考慮使用Internet/Intranet技術(shù),以建設(shè)企業(yè)規(guī)劃化的信息處理系統(tǒng)。21世紀(jì)的中國正在向市場多元化、全球化的方向發(fā)展。s global petitiveness strategy, and all this information platform will also be based on the principle of the use of puter networks and network planning technology to the network in order to ensure patency. Intranet is an international Internet technology in the enterprise or within a closed user group applications. Intranet is the use of Internet technologies, especially TCP / IP protocol and the pletion of the enterprise internal network. This technology allows interoperability of different puter platforms, and do not have to consider its position. That is what the user can visit any