【正文】 ............ 11 第三層交換技術(shù)設(shè)計方案 .......................................... 12 IP MULTICAST 技術(shù)方案設(shè)計 .......................................... 12 訪問控制列表（ ACL）設(shè)計方案 ..................................... 15 IP 地址規(guī)劃與路由設(shè)計方案 ....................................... 16 IP 地址規(guī)劃方案 ............................................. 16 路由協(xié)議的選擇 .............................................. 17 路由協(xié)議設(shè)計方案 ............................................ 19 HSRP： 熱備份路由器協(xié)議 .......................................... 20 HSRP 協(xié)議概述 ............................................... 20 HSRP 的工作原理 ............................................. 21 本方案的特點 ................................................ 21 5. 設(shè)備清單 ........................................................... 23 結(jié)論 .................................................................. 24 參考文 獻(xiàn) .............................................................. 24 緒論 選題的背景 企業(yè)網(wǎng)最原始的網(wǎng)絡(luò)需求來自于對 LAN 上共享資源 、 業(yè)務(wù)的開展需要 ， 最小規(guī)模的局域網(wǎng)可能就要算通過 1 臺共享式集線器來連接打印機(jī) 、 文件服務(wù)器的組建模式了 ， 但是 ， 在信息科技日益發(fā)展的今天 ， 基于共享式技術(shù)的網(wǎng)絡(luò)已經(jīng)不能符合當(dāng)前 1 企業(yè) IT 發(fā)展的需求 ， 更高速 、 更可靠 、 更安全以及更方便的網(wǎng)絡(luò)和業(yè)務(wù)管理已經(jīng)成為新時期企業(yè)局域網(wǎng)的關(guān)注重點 。 選題的目的和意義 企業(yè) 電子商務(wù)網(wǎng)絡(luò)系統(tǒng)應(yīng)是一個統(tǒng)一、可靠、安全的專用信息通信平臺，支持話音、數(shù)據(jù)和圖像的交換與傳輸，實現(xiàn)計算機(jī)數(shù)據(jù)、話音、電視會議、圖片傳輸?shù)榷喾N信息通信業(yè)務(wù)，并具有完備的網(wǎng)絡(luò)管理系統(tǒng)。 可行性分析 根據(jù) 企業(yè) 的實際情況，總結(jié)出該計算機(jī)網(wǎng)絡(luò)有如下需求： 企業(yè) 網(wǎng)絡(luò)系統(tǒng)本著實用、經(jīng)濟(jì)可靠的原則，采用交換式以太網(wǎng)方案。網(wǎng)絡(luò)采用兩極交換結(jié)構(gòu)，中心交換機(jī)采用三層交換機(jī)，構(gòu)成千兆主干，中心交換機(jī)應(yīng)有足夠的插槽用于以后的擴(kuò)展，至少有 24 個 10/100M 自適應(yīng)端口用于連接服務(wù)器，光纖端口依實際應(yīng)用提供，電源應(yīng)有冗余；每個分配線間各放置若干臺 24 口交換機(jī)作為二級交換機(jī)，用千兆光纖口用于上連，可以為用戶提供交換式 100Mbps帶寬，彼此間采用堆疊連接。 為了使本網(wǎng)絡(luò) 設(shè)計 向統(tǒng)一管理、高速寬帶、復(fù)雜應(yīng)用方向發(fā)展，本 設(shè)計 所建設(shè)的網(wǎng)絡(luò)將為各入住單位系統(tǒng)內(nèi)部互聯(lián)網(wǎng)絡(luò)系統(tǒng)提供一個統(tǒng)一的數(shù)據(jù)通信網(wǎng)絡(luò)平臺，各網(wǎng)絡(luò)系統(tǒng)的信息都可在此數(shù)據(jù)通信網(wǎng)上傳遞，并可通過統(tǒng)一的網(wǎng)管系統(tǒng)提供統(tǒng)一的管理功能，將各專業(yè)內(nèi)部網(wǎng)絡(luò)網(wǎng)管的報警信息等一并顯示，同時為未來的網(wǎng)絡(luò)發(fā)展奠定必要的基礎(chǔ)。采用穩(wěn)定高效的路由協(xié)議連通企業(yè)內(nèi)部網(wǎng) ，并在此基礎(chǔ)上設(shè)計安全策略，增強(qiáng)企業(yè)數(shù)據(jù)的保密性，保證商業(yè)機(jī)密的安全。最后，選擇合適的網(wǎng)絡(luò) 設(shè)備，在顧及網(wǎng)絡(luò)性能的前提下，優(yōu)化企業(yè)的資源配置 2 1. 網(wǎng)絡(luò)建設(shè)背景和必要性 格羅莫夫（ Gregory Gromov）曾經(jīng)說過：“網(wǎng)絡(luò)本身就是一種計算機(jī)科學(xué)概念。 在現(xiàn)代經(jīng)濟(jì)學(xué)中有“規(guī)模效益”理論，就是通過擴(kuò)大經(jīng)濟(jì)規(guī)模，來降低單位 成本。在很多情況下，企業(yè)的生產(chǎn)經(jīng)營并不是孤立進(jìn)行的，其需要在內(nèi)部生產(chǎn)部門之間與外部市場之間達(dá)到充分的信息交流，才能維系正常的生產(chǎn)經(jīng)營，尤其是在規(guī)模不斷擴(kuò)大的情況下，如果仍然延續(xù)傳統(tǒng)的信息交流手段，則信息交流代價急劇增長。隨著科技進(jìn)步，網(wǎng)絡(luò)技術(shù)成為信息溝通的重要手段，世界正因為有了互聯(lián)網(wǎng)而變得越來越小，世界級的企業(yè)也越來越依賴于網(wǎng)絡(luò)技術(shù)，擴(kuò)大 和鞏固其市場地位。 隨著網(wǎng)絡(luò)技術(shù)，新系統(tǒng)新領(lǐng)域的長足發(fā)展，網(wǎng)絡(luò)經(jīng)濟(jì)，知識經(jīng)濟(jì)再不是 IT 等高科技行業(yè)的專利，傳統(tǒng)企業(yè)正利用其行業(yè)特點，汲取網(wǎng)絡(luò)技術(shù)精華，努力創(chuàng)造著傳統(tǒng)行業(yè)的又一個春天。大多數(shù)企業(yè)對電子商務(wù)的一般認(rèn)識是電子商務(wù)能幫助企業(yè)進(jìn)行網(wǎng)上購物、網(wǎng)上交易，僅是一種新興的企業(yè)運(yùn)作模式，比較適用于商業(yè)貿(mào)易公司，殊不知電子商務(wù)已經(jīng)對傳統(tǒng)的企業(yè)造成的了巨大的沖擊。隨著企業(yè)間競爭的日趨激烈，以及全球經(jīng)濟(jì)一體化，市場向企業(yè)提出了更高的要求，要求企業(yè)能及時提供高品質(zhì)、低價格，具有個性化的產(chǎn)品。通過實施電子商務(wù)，可以實現(xiàn)企業(yè)對產(chǎn)品、原材料、非生產(chǎn)性產(chǎn) 品、服務(wù)類等的電子化、網(wǎng)絡(luò)化采購，總公司與下屬子公司幾個職能部門有組織、有計劃的統(tǒng)一管理，減少流通環(huán)節(jié)，降低成本，提高效率，使企業(yè)在管理上通過電子商務(wù)的實施達(dá)到更高水品。 傳統(tǒng)企業(yè)對市場的反應(yīng)速度取決于自身的信息網(wǎng)絡(luò)水平。生產(chǎn)商要 3 在短時間內(nèi)捕獲市場信息并作出適宜反饋，確實有難度。究其主要原因是企業(yè)沒有將供應(yīng)商和客戶那到企業(yè)自身的供應(yīng)鏈中，沒能及時知道下游客戶的庫存情況、市場情況，沒有讓上有的供應(yīng)商及時了解企業(yè)原材料的庫存情況、成套情況。有了網(wǎng)絡(luò)的協(xié)助，企業(yè)從原材料的采購、產(chǎn)品設(shè)計、到訂單處理和產(chǎn)品的發(fā)送，均可用小時為單位來追蹤。 企業(yè)受限于內(nèi)部龐雜的關(guān)系管理，拓展外部市場是如果還用一成不變的業(yè)務(wù)服務(wù)方式，很可能在提取激烈的市場競爭中處于尷尬的境地。 綜上所述，傳統(tǒng)企業(yè)如果希望在市場的天空中飛的更高更遠(yuǎn)，那么必須插上網(wǎng)絡(luò)化生產(chǎn)、經(jīng)營和服務(wù)的翅膀。只有綜合考慮了網(wǎng)絡(luò) 安全、網(wǎng)絡(luò)管理、可靠性、可管理性、可擴(kuò)展性和高性能的需要，精選出適合企業(yè)網(wǎng)絡(luò)需要的網(wǎng)絡(luò)解決方案，才能對企業(yè)高效，科學(xué)的管理，控制企業(yè)的運(yùn)營成本，為企業(yè)的騰飛助跑。 企業(yè) 網(wǎng)絡(luò)系統(tǒng)的需求包括以下幾點：適應(yīng)桌面計算機(jī)處理、 I/O 能力大幅度提高的現(xiàn)狀，發(fā)揮桌面機(jī)的網(wǎng)絡(luò)性能，提高桌面機(jī)的訪問帶寬；適應(yīng)連網(wǎng)規(guī)模大、總流量大的情況，合理分布流量，實現(xiàn)流量隔離和控制；適應(yīng)部門多、層次復(fù)雜的特點，合理進(jìn)行網(wǎng)絡(luò)劃分，實現(xiàn) 有效的安全訪問控制和運(yùn)行管理；能夠向未來的高速網(wǎng)絡(luò)技術(shù)和不斷出現(xiàn)的新應(yīng)用過渡；實現(xiàn)網(wǎng)絡(luò)互聯(lián)，解決互聯(lián)網(wǎng)絡(luò)帶來的安全問題和管理問題；適應(yīng)數(shù)據(jù)集中型應(yīng)用的發(fā)展趨勢，為客戶 /服務(wù)器的應(yīng)用環(huán)境提供支撐；增加網(wǎng)絡(luò)系統(tǒng)的運(yùn)行可靠性，降低故障隱患，提高系統(tǒng)的可管理性。為了更好的保證網(wǎng)絡(luò)的正常運(yùn)行，設(shè)計的網(wǎng)絡(luò)系統(tǒng)還考慮到網(wǎng)絡(luò)管理，實現(xiàn)網(wǎng)絡(luò)的統(tǒng)一管理。 網(wǎng)絡(luò)總體結(jié)構(gòu)分為網(wǎng)絡(luò)互連、核心節(jié)點、樓層交換三個層面。網(wǎng)絡(luò)根據(jù)業(yè)務(wù)用戶分布和數(shù)據(jù)的流向，合理的進(jìn)行網(wǎng)段劃分。 實現(xiàn)各計算機(jī)網(wǎng)絡(luò)系統(tǒng)的互聯(lián)，形成公共信息的交換環(huán)境，為 企業(yè) 用戶 提供 網(wǎng)絡(luò)服務(wù)平 臺。 根據(jù)樓宇辦公場合不同，網(wǎng)絡(luò)平臺分別設(shè)計出內(nèi)網(wǎng)和外網(wǎng)平臺，兩網(wǎng)之間采用物理隔離的技術(shù)手段實現(xiàn)涉密問題。在 局域網(wǎng)中 安全系統(tǒng)建設(shè)主要設(shè)計 包括外網(wǎng)安全和內(nèi)網(wǎng)安全 。外網(wǎng)對安全的 需求 包括物理安全需求、數(shù)據(jù)鏈路層需求 、 入侵檢測系統(tǒng)需求 、防病毒系統(tǒng)需求和安全管理體制等 。需要對存放機(jī)密信息的機(jī)房進(jìn)行必要的設(shè)計，如構(gòu)建屏蔽室。對重要的設(shè)備進(jìn)行冗余配置；對重要系統(tǒng)進(jìn)行備份等安全保護(hù)。如果利用加密設(shè)備對傳輸數(shù)據(jù)進(jìn)行加密，使得在網(wǎng)上傳輸?shù)臄?shù)據(jù)以密文傳輸?？梢员ＷC數(shù)據(jù)的保密性、完整性及可靠性。 入侵檢測系統(tǒng)需求 網(wǎng)絡(luò)安全是整體的、動態(tài)的，不是單一產(chǎn)品能夠完全實現(xiàn)的，所以為了確保網(wǎng)絡(luò)更加安全必須配備入侵檢測系統(tǒng)，對透過防火墻的攻擊進(jìn)行檢測并做相應(yīng)反應(yīng)（記錄、報警、阻斷）。 安全管理體制 安全系統(tǒng)只能提供技術(shù)手段和措施，但人為的因素不可忽略，只有確立健全的安全管理體制，設(shè)立相應(yīng)的安全管理崗位，從制度上加以嚴(yán)格管理。內(nèi)網(wǎng) 對安全的需求包括 VLAN 設(shè)置需求、防病毒系統(tǒng)需求、網(wǎng)絡(luò)管 理需求和網(wǎng)絡(luò)系統(tǒng)管理等。特別是對于存放敏感數(shù)據(jù)的主機(jī)的攻擊往往發(fā)自內(nèi)部用戶，如何對內(nèi)部用戶進(jìn)行訪問控制和安全防范就顯得特別重要。 6 防病毒系統(tǒng)需求 針對防病毒危害性極大并且傳播極為迅速，必須配備從單機(jī)到服務(wù)器的整套防病毒軟件，實現(xiàn)全網(wǎng)的病毒安全防護(hù)。隨著系統(tǒng)復(fù)雜度的增加，會給系統(tǒng)管理帶來成指數(shù)增加的管理工作量。針對系統(tǒng)的功能采取相應(yīng)的管理措施。 3. 組建局域網(wǎng)的設(shè)計目標(biāo)和原則 核心交換機(jī)的高數(shù)據(jù)處理性能 核心交換機(jī)滿足網(wǎng)絡(luò)中心海量數(shù)據(jù)交換的要求，連接中心的通訊鏈路帶寬滿足應(yīng)用的性能要求。各部門用戶客戶端軟件，透過網(wǎng)絡(luò)訪問中心服務(wù)器，請求應(yīng)用，查詢數(shù)據(jù)庫 。因此在設(shè)計局域網(wǎng)的原則上，首先應(yīng)該考慮滿足網(wǎng)絡(luò)規(guī)模所要求的核心設(shè)備數(shù)據(jù)交換處理能力，以及邊緣設(shè)備到核心的鏈路帶寬。 通過 cisco 專有的 HSRP 技術(shù)可以配置雙核心交換，在發(fā)生故障時自動切換到備用交換機(jī)，確保數(shù)據(jù)不發(fā)生丟包。支持單位應(yīng)用的基礎(chǔ)設(shè)施是網(wǎng)絡(luò)。網(wǎng)絡(luò)的可靠性要求是保障應(yīng)用環(huán)境正常運(yùn)行的首要條件，網(wǎng)絡(luò)要求可靠性的同時，要求 網(wǎng)絡(luò)具有高可用性。提供網(wǎng)絡(luò)設(shè)備的可靠性，容錯性的另一個要求是設(shè)備損壞部件更換時，不需要停機(jī)，更換部件后不需要重新啟動，也就是說部件的更換可以進(jìn)行在線操作，這樣可以使停機(jī)的時間降低到最小。 核心交換機(jī)的靈活擴(kuò)充性 核心交換機(jī)應(yīng)該具備靈活的端口擴(kuò)充能力，模塊擴(kuò)充能力，滿足網(wǎng)絡(luò)規(guī)模的擴(kuò)充。 在設(shè)計局域網(wǎng)的方案上，首先是滿足現(xiàn)有規(guī)模的網(wǎng)絡(luò)用戶的需求，同時考慮到業(yè)務(wù)發(fā)展、規(guī)模的擴(kuò)大，應(yīng)該設(shè)計網(wǎng)絡(luò)具有用戶端口的擴(kuò)充能力。核心設(shè)備的機(jī)箱設(shè)計應(yīng)該具備強(qiáng)大的背板帶寬，足夠多的負(fù)載插槽容量。采用分布式交換結(jié)構(gòu)是實現(xiàn)這一原則的最佳方案，分布式交換機(jī)結(jié)構(gòu)實現(xiàn)了交換機(jī)的并行數(shù)據(jù)交換處理，優(yōu)化了網(wǎng)絡(luò)的性能，本地交換和全局交換相結(jié)合的分布式結(jié)構(gòu)減少了交換引擎的壓力。 8 網(wǎng)絡(luò)的安全性 可以有效的控制網(wǎng)絡(luò)的訪問，靈活的實施網(wǎng)絡(luò)的安全控制策略。在網(wǎng)絡(luò)中，關(guān)鍵應(yīng)用服務(wù)器、核心網(wǎng)絡(luò)設(shè)備，只有系統(tǒng)管理人員才有操作、控制的權(quán)力。在網(wǎng)絡(luò)設(shè)備上應(yīng)該可以進(jìn)行基于協(xié)議、基于 Mac 地址、基于 IP 地址的包過濾控制功能。在設(shè)計局域網(wǎng)的原則上必須強(qiáng)調(diào)網(wǎng)絡(luò)安全控制能力，使網(wǎng)絡(luò)可以任意連接，又可以從第二層、第三層控制網(wǎng)絡(luò)的訪問。 在設(shè)計局域網(wǎng)時，選擇先進(jìn)的網(wǎng)絡(luò)管理軟件是必不可少的。網(wǎng)管軟件的應(yīng)用可以提高網(wǎng)絡(luò)管理的效率，減輕網(wǎng)絡(luò)管理人員的負(fù)擔(dān)?；?Web 的網(wǎng)管界面，是網(wǎng)管軟件的發(fā)展趨勢，靈活的操作方式簡化了管理人員的工作。在設(shè)計局域網(wǎng)的原則上應(yīng)該要求設(shè)備的可管理性，同時先進(jìn)的網(wǎng)管軟件可以支持網(wǎng)絡(luò)維護(hù)、監(jiān)控、配置等功能。 局域網(wǎng)的設(shè)備要求具有可互操作性，設(shè)備的技術(shù)采用開放技術(shù)，協(xié)議標(biāo)準(zhǔn)，支持跨平臺之間的相互連接與通訊。 9 4. 局域網(wǎng)設(shè)計方案 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計方案 對于網(wǎng)絡(luò)平臺的網(wǎng)絡(luò)結(jié)構(gòu)，建議采用模塊化的設(shè)計思想，按照功能劃分 為以下區(qū)塊：交換區(qū)塊 和核心區(qū)塊。 交換區(qū)塊的主要功能是提供用戶的接入點，并防止廣播數(shù)據(jù)流和網(wǎng)絡(luò)問 題到達(dá)核心區(qū)塊或者其他區(qū)塊，交換區(qū)塊由接入層交換機(jī)和匯聚層交換機(jī)構(gòu)成： (1)接入層： 接入層設(shè)備作為最終用戶的網(wǎng)絡(luò)接入點，使用 100M 雙絞線連接各層桌面終端，為每個用戶提供專用的帶寬，并可基于端口或 MAC 地址的 VLAN 成員資格和流量進(jìn)行過濾，接入層主要的設(shè)計原則是能夠通過低成本、高端口密度的設(shè)備提供這些功能。匯聚層需要提供第三層功能，即支持路由選擇和網(wǎng)絡(luò)層服務(wù)，以保護(hù)交換區(qū)塊不受網(wǎng)絡(luò)其他部分失效的影響，并防止本交換區(qū)塊故障對網(wǎng)絡(luò)其他部分的影響，如果交換區(qū)塊發(fā)生了廣播風(fēng)暴，分布層設(shè)備可以防止該廣播風(fēng)暴擴(kuò)散到核心和網(wǎng)絡(luò)的其他部分。 核心區(qū)塊 由核心層構(gòu)成，包含 一個或一組用來連接多個交換區(qū)塊的交換機(jī) 。核心層設(shè)備需要支持 portchannel 鏈路捆綁技術(shù)，來保證數(shù)據(jù)的轉(zhuǎn)發(fā)能力，防止出現(xiàn)線路瓶頸。 網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計是整個網(wǎng)絡(luò)系統(tǒng)設(shè)計的基礎(chǔ)，一個優(yōu)秀的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計方案有利于提高網(wǎng)絡(luò)的性能、可靠性及將來網(wǎng)絡(luò)的擴(kuò)展 能力，并能夠有效的減少維護(hù)難度 ，本論文 設(shè)計 的網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D如圖 1： 10 核 心 層匯 聚 層接 入 層遠(yuǎn) 端 分 支 機(jī) 構(gòu)服 務(wù) 器 區(qū) 域P I X 防 火 墻C i s c o C a t a l y s t 3 6 4 0C i s c o C a t a l y s t 3 5 5 0C i s c o C a t a l y s t 2 9 5 0C i s c o C a t a l y s t 2 9 5 0C i s c o C a t a