【正文】 備和供應(yīng)商的時(shí)候，要擦亮眼睛看看供應(yīng)商的 QoS 能做到什么程度。 2） 安全性： 應(yīng)能在可靠性的前提下，抵擋來自內(nèi)部和外部的攻擊；采用的安全措施有效、可信，能夠在多層次上、以多種方式實(shí)現(xiàn)安全的控制。 網(wǎng)絡(luò)必須是可靠的， 包括網(wǎng)元級(jí)的可靠性，如引擎、風(fēng)扇、單板、總計(jì)等；以及網(wǎng)絡(luò)級(jí)的可靠性，如路由、交換的匯聚，鏈路冗余，負(fù)載均衡等。 具有容錯(cuò)功能，能滿足 企業(yè) 所在地環(huán)境、氣候條件，抗干擾能力強(qiáng)，對(duì)網(wǎng)絡(luò)的設(shè)計(jì)、選型、安裝、調(diào)試等各環(huán)節(jié)進(jìn)行統(tǒng)一規(guī)劃和分析，確保系統(tǒng)運(yùn)行可靠。 5） 先進(jìn)性： 在系統(tǒng)的選擇與開發(fā)過程中，既能滿足當(dāng)前網(wǎng)絡(luò)的應(yīng)用需求，又可以在將來需要擴(kuò)展的時(shí)候，能方便地?cái)U(kuò)展，保護(hù)目前的所有投資；設(shè)計(jì)的配置可以靈活變 通，以便適應(yīng)客戶的其他要求。著眼于近期目標(biāo)和長(zhǎng)期的發(fā)展，選用先進(jìn)的設(shè)備進(jìn)行最佳性能組合，利用有限的投資構(gòu)造一個(gè)性能最佳的網(wǎng)絡(luò)系統(tǒng)。 8） 標(biāo)準(zhǔn)化： 網(wǎng)絡(luò)系統(tǒng)應(yīng)符合 IEEE 、 IEEE 、 IEEE 等以太網(wǎng)標(biāo)準(zhǔn)和 IEEE 、 IEEE 、 WBM 等網(wǎng)絡(luò)管理標(biāo)準(zhǔn)。所謂“ 層次化 ” 模型，就是將復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)分成幾個(gè)層次，每個(gè)層次著重于某些特定的功能，這樣就能夠使一個(gè)復(fù)雜的大問題變成許多簡(jiǎn)單的小問題。層次模型模塊化的特性使網(wǎng)絡(luò)中的每一層都能夠很好地利用帶寬，減少了對(duì)系統(tǒng)資源的浪費(fèi)。 ? 易于擴(kuò)展 ： 在網(wǎng)絡(luò)設(shè)計(jì)中，模塊化具有的特性使得網(wǎng)絡(luò)增長(zhǎng)時(shí)網(wǎng)絡(luò)的復(fù)雜性能夠限制在子網(wǎng)中，而不會(huì)蔓延到網(wǎng)絡(luò)的其他地方。 ? 易于排錯(cuò) ： 層次化設(shè)計(jì)能夠使網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分解為易于理解的子網(wǎng)，網(wǎng)絡(luò)管理者能夠輕易地確定網(wǎng)絡(luò)故障的范圍，從而簡(jiǎn)化了排錯(cuò)過程。 園區(qū)網(wǎng)的核心層連接所有的分布層設(shè)備，必須能夠盡可能高效地交換數(shù)據(jù)流。 應(yīng)對(duì)園區(qū)網(wǎng)核心層中的設(shè)備進(jìn)行優(yōu)化，以提供高性能的第 2層或第 3層交換。 在 本設(shè)計(jì)的 核心層中，采用兩臺(tái) Cisco Catalyst 4006 交換機(jī) 組成雙機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案。對(duì)于各個(gè)業(yè)務(wù) VLAN 4 可以指向這個(gè)虛擬的 IP 地址作為網(wǎng)關(guān)，因此應(yīng)用 VRRP 技術(shù)為核心交換機(jī)提供一個(gè)可靠的網(wǎng)關(guān)地址，以實(shí)現(xiàn)在核心層核心交換機(jī)之間進(jìn)行設(shè)備的硬件冗余，一主兩備，共用一個(gè)虛擬的 IP 地址和 MAC 地址，通過內(nèi)部的協(xié)議傳輸機(jī)制可以自動(dòng)進(jìn)行工作角色的切換。 分布 層 分布層將園區(qū)網(wǎng)的接入層和核心層連接起來。 在分布層中，來自接入層設(shè)備的上行鏈路被聚合在一起。這些交換機(jī)必須擁有能提供高速鏈路的端口密度，以支持所有接入層交換機(jī)。該層的交換機(jī)還必須能夠執(zhí)行高吞吐量的多層交換。接入層交換機(jī)通常在用戶之間提供第2 層（ VLAN） 連接性。 5 系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu) 為了實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計(jì)方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即Cisco 公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。 該企業(yè)網(wǎng) 設(shè)計(jì)方案主要由以下四大部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪問模塊、服務(wù)器群。以下配置截圖，皆來自該軟件。這里的接入層交換機(jī)采用的是Cisco Catalyst 2950 24 口交換機(jī)（ WSC295024）。 1. 配置接入層交換機(jī) AccessSwitch1 的基本參數(shù) （ 1）設(shè)置交換機(jī)名稱 設(shè)置 交換機(jī)名稱，也就是出現(xiàn)在交換機(jī) CLI 提示符中的名字。當(dāng)我們需要 Tel 登錄到若干臺(tái)交換機(jī)以維護(hù)一個(gè)大型網(wǎng)絡(luò)時(shí)，通過交換機(jī)名稱提示符提示自己當(dāng)前配置交換機(jī)的位置是很有必要的。 （ 2）設(shè)置交換機(jī)的加密使能口令 7 加密口令為： enable secret +密碼。此口令會(huì)以 MD5 的形式加密，因此，當(dāng)用戶查看配置文件 時(shí)，無法看到明文形式的口令。 對(duì)于一個(gè)已經(jīng)運(yùn)行著的交換網(wǎng)絡(luò)來說，交換機(jī)的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理人員提供了很多的方便。 （ 4）設(shè)置終端線超時(shí)時(shí)間 為了安全考慮，可以設(shè)置終端線超時(shí)時(shí)間。 這里設(shè)置的是 5 分 30 秒。利用命令no ip domainlookup。可以使用命令 logging synchronous 設(shè)置交換機(jī)在下一行 CLI 提示符后復(fù)制用戶的輸入。因此，給接入層交換機(jī)的每個(gè)端口設(shè)置 IP 地址是沒意義的。這種情況下，實(shí)際上是將交換機(jī)看成和 PC 機(jī)一樣的主機(jī)。 為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機(jī)，還應(yīng)設(shè)置默認(rèn)網(wǎng)關(guān)地 8 址 . 3. 配置接入層交換機(jī) AccessSwitch1 的 VTP 從提高效率的角度出發(fā)，在本企業(yè)網(wǎng)實(shí)現(xiàn)實(shí)例中使用了 VTP 技術(shù)。 這里接入層交換機(jī) AccessSwitch1 將通過 VTP 獲得在分布層交換機(jī)DistributeSwitch1 中定義的所有 VLAN 的信息。 圖中， ver 是 version 的縮寫。 Vtp mode client命令設(shè)置該交換機(jī)為 vtp 的客戶機(jī)模式， vtp ver 2 命令設(shè)置使用 vtp 的版本號(hào)為 2。在了解對(duì)端設(shè)備速度的情況下，建議手動(dòng)設(shè)置端口速度。 int 是 interface 的縮寫，是進(jìn)入某個(gè)接口的命令； r 為 range 的縮寫， f為 fastether（快速以太網(wǎng)接口）的縮寫， f0/1 24 表示快速以太網(wǎng)的0/10/24 共 24 個(gè)接口。接入層交換機(jī)AccessSwitch1 為 VLAN10 提供接入服務(wù)。用spanningtree portfast 來配置生成樹快速端口。同時(shí)，設(shè)置端口 1～ 端口 22 為 VLAN 10 的成員。在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前，某個(gè)端口可能最多要等 50 秒鐘的時(shí)間（ 20 秒的阻塞時(shí)間＋ 15 秒的偵聽延遲時(shí)間＋ 15 秒的學(xué)習(xí)延遲時(shí)間）。為了加速交換機(jī)端口狀態(tài)轉(zhuǎn)化時(shí)間，可以設(shè)置將某端口設(shè)置成為快速端口（ Portfast）。 6. 配置接入層交換機(jī) AccessSwitch1 的主干道端口 接入層交換機(jī) AccessSwitch1 通過端口 FastEther 0/23 上連到分布層交換機(jī) DistributeSwitch1 的端口 FastEther 0/1。 這兩條上連鏈路將成為主干道鏈路，在這兩條上連鏈路上將運(yùn) 輸多個(gè) VLAN的數(shù)據(jù)。命令為 switchport mode trunk 7. 配置接入層交換機(jī) AccessSwitch 5 10 接入層交換機(jī) AccessSwitch 5 分別 為 VLAN VLAN VLANVLAN50 的用戶提供接入服務(wù)。 對(duì)接入層交換機(jī) AccessSwitch 5 的配置步驟、命令和對(duì)接入層交換機(jī) AccessSwitch1 的配置類似 。 對(duì)分布層交換機(jī) DistributeSwitch1的基本參數(shù)的配置步驟與對(duì)接入層交換機(jī) AccessSwitch1 的基本參數(shù)的配置 類似。 1． 配置分布層交換機(jī) DistributeSwitch1 的管理 IP、默認(rèn)網(wǎng)關(guān) 顯示了為分布層交換機(jī) DistributeSwitch1 設(shè)置管理 IP 并激活本征 VLAN。 11 add 為 address 的縮寫； no sh 即為 no shutdown，開啟端口。工作量很大、過程很繁瑣，并且容易出錯(cuò)。 VTP 允許我們?cè)谝慌_(tái)交換機(jī)上創(chuàng)建所有的 VLAN。同時(shí)，有關(guān) VLAN 的刪除、參數(shù)更改操作均可傳播到其他交換機(jī)。 在本 企業(yè) 網(wǎng)實(shí)現(xiàn)實(shí)例中使用了 VTP 技術(shù)。 （ 1） 配置 VTP 管理域 vtp domain cisco 共享相同 VLAN 定義數(shù)據(jù)庫的交換機(jī)構(gòu)成一個(gè) VTP 管理域。不同 VTP 管理域的交換機(jī)之間不交換 VTP通告信息。 （ 2） 設(shè)置 VTP 服務(wù)器 vtp mode server 工作在 VTP 服務(wù)器模式下的交換機(jī)可以創(chuàng)建、刪除 VLAN、修改 VLAN 參數(shù)。 （ 3） 激活 VTP 剪裁功能 12 vtp pruning 默認(rèn)情況下主干道傳輸所有 VLAN 的用戶數(shù)據(jù)。這時(shí)，可以激活主干道上的 VTP 剪裁功能。 在一個(gè) VTP 域下，只需要在 VTP 服務(wù)器上激活 VTP 剪裁功能。 下圖為該交換機(jī)的配置參數(shù)： 3． 在分布層交換機(jī) DistributeSwitch1 上定義 VLAN 在本企業(yè)網(wǎng)實(shí)現(xiàn)實(shí)例中，除了默認(rèn)的本征 VLAN 外，又定義了 6 個(gè) VLAN。 如圖所示，定義了 6 個(gè) VLAN，同時(shí)為每個(gè) VLAN 命名。此外， 分布層交換機(jī) DistributeSwitch1 還通過自己的千兆端口 GigabitEther 1/1上連到核心交換機(jī) CoreSwitch1 的 GigabitEther 0/1。 給出了對(duì)所有訪問端口、主干道端口的配置步驟和命令。 swi 為 switchport 的縮寫， acc 為 access 的縮寫， gi 為 gigabitEther 的縮寫， 5． 配置分布層交換機(jī) DistributeSwitch1 的 3 層交換功能 分布層交換機(jī) DistributeSwitch1需要為網(wǎng)絡(luò)中的各個(gè) VLAN提供路由功能。 接下來，需要為每個(gè) VLAN 定義自己的默認(rèn)網(wǎng)關(guān)地址， 14 此外，還需要定義通往 Inter 的路由。6． 配置分布層交換機(jī) DistributeSwitch2 分布層交換機(jī) DistributeSwitch2 的端口 FastEther 0/15 分別下連到接入層交換機(jī) AccessSwitch15 的端口 FastEther 0/24。 對(duì)分布層交換機(jī) DistributeSwitch2 的配置步驟、命令和對(duì)分布層交換機(jī)DistributeSwitch1 的配置類似。這里，只給出實(shí)際的配置步驟，不再給出 解釋。同時(shí)，還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。 這里核心層交換機(jī) CoreSwitch1 將通過 VTP 獲得在分布層交換機(jī)DistributeSwitch1 中定義的所有 VLAN 的信息。同時(shí)，核心層交換機(jī) CoreSwitch1 的端口GigabitEther 0/1～ GigabitEther 0/2 分 別 下 連到 接入 層交換機(jī)DistributeSwitch1 和 DistributeSwitch2 的端口 GigabitEther 1/1。 此外，為了提供主 干道的吞吐量以及實(shí)現(xiàn)冗余設(shè)計(jì)，在本設(shè)計(jì)中，將核心層交換機(jī) CoreSwitch1 的千兆端口 GigabitEther 2/ GigabitEther 2/2捆綁在一起實(shí)現(xiàn) 2022Mbps 的千兆以太網(wǎng)信道，然后再連接到另一臺(tái)核心層交換機(jī) CoreSwitch2。 5． 配置核心層交換機(jī) CoreSwitch1 的路由功能 核心層交換機(jī) CoreSwitch1 通過端口 FastEther 0/22 同廣域網(wǎng)接入模塊（ Inter 路由器）相連。同時(shí)，還需要定義通往 Inter 的路由。其中，下一跳地址是 Inter 接入路由器的快速以太網(wǎng)接口 FastEther 0/0的 IP 地址。這里，不再詳細(xì)分析。這里，也不再贅述。采用的是 Cisco 的 2811 路由器。它的作用主要是在 Inter和企業(yè)網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。 配置接入路由器 InterRouter 的基本參數(shù) 對(duì)接入路由器 InterRouter 的基本參數(shù)的配置步驟與對(duì)接入層交換機(jī)AccessSwitch1 的基本參數(shù)的配置類似。 如圖 23 所示，顯示了為接入路由器 InterRouter 的各接口設(shè)置 IP 地址、 18 子網(wǎng)掩碼。 到 Inter 上的路由需要定義一條缺省路由，如圖所示。 到企業(yè)網(wǎng)內(nèi)部的路由條目可以經(jīng)過路由匯總后形成兩條路由條目。 配置接入路由器 InterRouter 上的 NAT 由于目前 IP 地址資源非常稀缺，對(duì)不可能給企業(yè)網(wǎng)內(nèi)部的所有工作站都分配一個(gè)公有 IP（ Inter 可路由的）地址。 為了接入 Inter，本企業(yè)網(wǎng)向當(dāng)?shù)?ISP 申請(qǐng)了 9 個(gè) IP 地址。 NAT 的配置可以分為以下幾個(gè)步驟。 （ 2）定義允許進(jìn)行 NAT 的內(nèi)部局部 IP 地址范圍 19 內(nèi)部地址范圍為： ，??， ， 八個(gè)子網(wǎng)。 （ 4） 為其他工作站定義 動(dòng)態(tài) 地址轉(zhuǎn)換 將一個(gè)網(wǎng)絡(luò)中的所有需要轉(zhuǎn)換的私有地址 用一個(gè) ACL 來表示，再?gòu)?ISP 注冊(cè)到的共有地址一個(gè)地址池來表示，最后再將 ACL 與地址池做動(dòng)態(tài)的轉(zhuǎn)換。 Cisco 為地址池名。路由器上的訪問控制列表（ Access Control List， ACL）是保護(hù)內(nèi)網(wǎng)安全的有效手段。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時(shí)的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對(duì)路由器的訪問控制列表進(jìn)行