【正文】 揮設(shè)備效益。采用成熟的先進(jìn)技術(shù)，兼顧未來的發(fā)展趨勢(shì)，即量力而行，又適當(dāng)超前，留有發(fā)展余地。（4）安全可靠性：確保網(wǎng)絡(luò)可靠運(yùn)行，在網(wǎng)絡(luò)的關(guān)鍵部分應(yīng)具有容錯(cuò)能力，提供公共網(wǎng)絡(luò)連接、通信鏈路、服務(wù)器等全方位的安全管理系統(tǒng)。（6）可擴(kuò)展性：系統(tǒng)便于擴(kuò)展，保證前期的投資的有效性與后期投資的連續(xù)性（7）安全保密性：為了保證網(wǎng)上信息的安全和各種應(yīng)用系統(tǒng)的安全，在規(guī)劃時(shí)就要為局域網(wǎng)考慮一個(gè)周全的安全保密方案。網(wǎng)絡(luò)系統(tǒng)應(yīng)實(shí)現(xiàn)虛擬局域網(wǎng)（VLAN）的功能，以保證全網(wǎng)的良好性能及網(wǎng)絡(luò)安全性。主干網(wǎng)絡(luò)應(yīng)該采用成熟的、可靠的千兆以太網(wǎng)技術(shù)作為網(wǎng)絡(luò)系統(tǒng)主干。根據(jù)對(duì)網(wǎng)絡(luò)需求的考察，根據(jù)合理性、實(shí)用性和節(jié)約費(fèi)用等原則進(jìn)行設(shè)備選擇：(1) 基于路由器和交換機(jī)的局部網(wǎng)間的互聯(lián)是最好的解決方案。(2) 在主干網(wǎng)建設(shè)時(shí)，選擇3Com和Cisco系統(tǒng)產(chǎn)品，它能夠以極具競(jìng)爭(zhēng)力的價(jià)格提供所有技術(shù)，為我們提供一個(gè)集成化、高性能、靈活、可伸縮、安全和高性能價(jià)格比的解決方案的標(biāo)準(zhǔn)。 CISCO設(shè)備和TPLINK方案提供了可伸縮的結(jié)構(gòu)和高性能的設(shè)備，能夠高速傳輸數(shù)據(jù)，同時(shí)通過它們Secure技術(shù)保證了安全地接入Internet和一體化的網(wǎng)絡(luò)解決方案。同時(shí)，也考慮局部子網(wǎng)對(duì)硬件和信息流量的要求，必須能夠提供專用的高速帶寬，以處理日常數(shù)據(jù)信息和峰值操作，并能夠支持各種新技術(shù)和新增用戶。在用戶的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)中，我們建議采用層次化的結(jié)構(gòu)設(shè)計(jì)。采用這樣的結(jié)構(gòu)所建設(shè)的網(wǎng)絡(luò)具有良好的擴(kuò)充性、管理性，因?yàn)樾碌淖泳W(wǎng)模塊和新的網(wǎng)絡(luò)技術(shù)能被更容易集成到整個(gè)系統(tǒng)中，而不破壞已存在的骨干網(wǎng)。層次性結(jié)構(gòu)如下圖所示。內(nèi)部網(wǎng)絡(luò)拓?fù)鋱D：網(wǎng)絡(luò)邏輯拓?fù)浣Y(jié)構(gòu)如圖所示。簡(jiǎn)要說明如下：整個(gè)網(wǎng)絡(luò)由核心層、匯聚層和接入層兩大部分組成。匯聚層由CISCO WSC356024TSS路由交換機(jī)組成。 主要網(wǎng)絡(luò)設(shè)備列表： 拓?fù)浣Y(jié)構(gòu)設(shè)備型號(hào)數(shù)量（臺(tái)）核心層路由交換機(jī)CISCO WSC356048TSS2匯聚層路由交換機(jī)CISCO WSC356024TSS3接入層樓層交換機(jī)CISCO WSC291824TCC26以行政樓中心機(jī)房為中心，下屬部門為接入點(diǎn)的星型連接方式。 各樓層的辦公網(wǎng)是以星型的方式千兆直接連接到各匯聚機(jī)房的匯聚交換機(jī)上后，由匯聚交換機(jī)通過千兆接到核心交換機(jī)。 核心層交換機(jī)與服務(wù)器群的相連是以千兆以太網(wǎng)的方式。 (2) 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)層次清楚，易于擴(kuò)充和升級(jí)（后面有升級(jí)的拓?fù)浞桨福?，同時(shí)體現(xiàn)了開放式的體系結(jié)構(gòu)。 (4) 大大減少網(wǎng)絡(luò)瓶頸和由于鏈路、路由而導(dǎo)致的故障。核心層主要功能是給下層各業(yè)務(wù)匯聚節(jié)點(diǎn)提供 IP 業(yè)務(wù)平面高速承載和交換通道，負(fù)責(zé)進(jìn)行數(shù)據(jù)的高速轉(zhuǎn)發(fā)，同時(shí)核心層是局域網(wǎng)的骨干，是局域網(wǎng)互連的關(guān)鍵。 基于對(duì)核心層的功能及作用，根據(jù)用戶的實(shí)際需求，本方案中對(duì)網(wǎng)絡(luò)系統(tǒng)中核心層由CISCO系列的企業(yè)級(jí)核心交換機(jī)WSC356048TSS組成。為整個(gè)大樓寬帶辦公網(wǎng)提供交換和路由的核心，完成各個(gè)部分?jǐn)?shù)據(jù)流的中央?yún)R集和分流。 根據(jù)該企業(yè)的建筑分布及網(wǎng)絡(luò)規(guī)模，以行政樓的中心機(jī)房作為整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心節(jié)點(diǎn)。2臺(tái)網(wǎng)絡(luò)核心交換機(jī)作為整個(gè)網(wǎng)絡(luò)的核心層設(shè)備，為各個(gè)匯聚層和接入層交換機(jī)提供上聯(lián)。 由于WSC356048TSS是路由交換機(jī)，也即同時(shí)具有第二層和第三層的交換能力，為了充分利用資源，將WWW服務(wù)器、 E－mail服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、文件VOD服務(wù)器、認(rèn)證的服務(wù)器（Radius server）以及網(wǎng)管設(shè)備等通過千兆直接連人核心交換機(jī)，以解決帶寬瓶頸，充分利用核心交換機(jī)的交換能力。在設(shè)備的選型上必須考慮到有足夠的背板帶寬，包交換能力，是否支持設(shè)備的冗余，安全性，擴(kuò)展性等各種性能。企業(yè)級(jí)核心路由交換機(jī)WSC356048TSS的性能特性及技術(shù)指標(biāo)如下：? 交換機(jī)類：企業(yè)級(jí)交換機(jī)? 應(yīng)用層級(jí)：三層? 接口介質(zhì)：10/100 BASET/ 100FX? 傳輸速率：10Mbps/100Mbps? 端口數(shù)量：48? 背板帶寬：32Gbps? VLAN支持：支持? 網(wǎng)管功能：網(wǎng)管功能 SNMP, CLI,? 包轉(zhuǎn)發(fā)率：? MAC地址：12k? 網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE , ,? 端口結(jié)構(gòu)：非模塊化匯聚層主要完成的任務(wù)是對(duì)各業(yè)務(wù)接入節(jié)點(diǎn)的業(yè)務(wù)匯聚、管理和分發(fā)處理，是完成網(wǎng)絡(luò)流量的安全控制機(jī)制，以使核心網(wǎng)和接入訪問層環(huán)境隔離開來；同時(shí)匯聚層起著承上啟下的作用，對(duì)上連接至核心層，對(duì)下將各種寬帶數(shù)據(jù)業(yè)務(wù)分配到各個(gè)接入層的業(yè)務(wù)節(jié)點(diǎn)，匯聚層位于中心機(jī)房或下聯(lián)單位的分配線間，主要用于匯聚接入路由器以及接入交換機(jī)。而且規(guī)劃匯聚層時(shí)建議匯聚層節(jié)點(diǎn)的數(shù)量和位置應(yīng)根據(jù)業(yè)務(wù)和光纖資源情況來選擇；匯聚層節(jié)點(diǎn)可采用星形連接，每個(gè)匯聚層節(jié)點(diǎn)保證與兩個(gè)不同的核心層節(jié)點(diǎn)連接。 匯聚層網(wǎng)絡(luò)設(shè)備全部采用了CISCO WSC356024TSS交換機(jī)。 匯聚路由交換機(jī)CISCO WSC356024TSS的性能特性及技術(shù)指標(biāo)如下：? 交換機(jī)類：企業(yè)級(jí)交換機(jī)? 應(yīng)用層級(jí)：三層? 接口介質(zhì)：10/100 BASET/ 100FX? 傳輸速率：10Mbps/100Mbps? 端口數(shù)量：24? 背板帶寬：32Gbps? VLAN支持：支持? 網(wǎng)管功能：SNMP, CLI, Web, 管理接入層主要用來支撐客戶端機(jī)器對(duì)服務(wù)器的訪問，主要是指接入路由器、交換機(jī)、終端訪問用戶。對(duì)上連接至匯聚層和核心層，對(duì)下進(jìn)行帶寬和業(yè)務(wù)分配，實(shí)現(xiàn)用戶的接入。當(dāng)接入層采用其它結(jié)構(gòu)（如環(huán)行）連接到匯聚層時(shí)，建議提供兩條不同路由通道。其主要功能是為該區(qū)域下屬各部門的網(wǎng)絡(luò)用戶提供大量性價(jià)比極高的10/100 兆網(wǎng)絡(luò)接口，并與信息中心的核心交換機(jī)通過 1000 兆光纖鏈路互聯(lián)為接入的用戶提供高速上聯(lián)。但如果僅有小型網(wǎng)絡(luò)，完全可以通過靜態(tài)路由手動(dòng)地更新路由表。RIP 協(xié)議的標(biāo)準(zhǔn)主要有 RFC1058（版本 1）和 RFC1723（版本2）。目前 OSPF 的主要標(biāo)準(zhǔn)是 RFC2328（版本 2）。 （3）ISIS ISIS（Intermediate System Intermediate System，中間系統(tǒng)到中間系統(tǒng)協(xié)議）是由國(guó)際標(biāo)準(zhǔn)化組織（ISO）制訂的路由協(xié)議，屬于開放系統(tǒng)互聯(lián)協(xié)議簇。 在 IGP 路由協(xié)議的選擇上，盡量不要采用擴(kuò)展性差的（RIP）和廠家的私有路由協(xié)議（IGRP和 EIGRP），盡量采用 OSPF 或 ISIS。 OSPF 路由協(xié)議相應(yīng)的配置策略為： ? AS內(nèi)部節(jié)點(diǎn)均運(yùn)行OSPFv2路由協(xié)議； ? 如果與別的IP網(wǎng)絡(luò)互通，建議配置EBGP路由協(xié)議，并且配置OSPF引入BGP路由； 為減少處理開銷和網(wǎng)絡(luò)開銷，可將網(wǎng)絡(luò)的主干部分劃分為 OSPF 主干區(qū)域（區(qū)域號(hào)為 0）， 在邊緣的支局子網(wǎng)配置成為OSPF 子區(qū)域，從而分散路由處理，減少網(wǎng)絡(luò)帶寬占用。使用 OSPF 協(xié)議必須考慮到骨干區(qū)域的連通性，即使某條鏈路斷掉后能保證骨干區(qū)域不會(huì)分離；另外，還需要考慮網(wǎng)絡(luò)邊緣層設(shè)備的動(dòng)蕩對(duì)于核心網(wǎng)絡(luò)的影響。具體設(shè)計(jì)如下： 核心交換機(jī)與匯聚交換機(jī)都為三層路由交換機(jī)，相互間使用 OSPF 路由協(xié)議，并運(yùn)行在 AREAR 0區(qū)域上。 IP地址的設(shè)計(jì) IP地址規(guī)劃和分配原則（1）根據(jù)目前網(wǎng)絡(luò)結(jié)構(gòu)和以后擴(kuò)展，遵循以下原則進(jìn)行IP 地址分配。 u 可擴(kuò)展性：既要考慮到 IP 地址的使用現(xiàn)狀，又要考慮到未來信息網(wǎng)絡(luò)的發(fā)展，為各單位分配合理的地址空間，在網(wǎng)絡(luò)上盡可能少地做 NAT，減少網(wǎng)絡(luò)設(shè)備 CPU 處理負(fù)擔(dān)和加快網(wǎng)絡(luò)訪問速度。 u 按照業(yè)務(wù)規(guī)劃，每種業(yè)務(wù)一個(gè)網(wǎng)段，所有的地市同一業(yè)務(wù)使用同一網(wǎng)段，這種方案適合業(yè)務(wù)之間互訪的控制。我們可以通過 VLAN 為網(wǎng)絡(luò)分段，各個(gè)網(wǎng)段可以共用同一套網(wǎng)絡(luò)設(shè)備，節(jié)約了網(wǎng)絡(luò)硬件的開銷，同時(shí)在遷移中所需的工作量也大幅度降低了，從而降低了連網(wǎng)成本。 VLAN 劃分我們建議根據(jù)各個(gè)辦公室的地理位置來劃分VLAN， 如果同一棟樓內(nèi)包含很多部門，而這些部門的職能和工作內(nèi)容又有很大的區(qū)別，我們就可以在樓內(nèi)按照部門來劃分VLAN。這樣做的好處是：可以減少?gòu)V播數(shù)據(jù)包對(duì)網(wǎng)絡(luò)主干的影響。 為了減少傳輸沖突，提高系統(tǒng)整體性能和網(wǎng)絡(luò)處理能力，另外，還考慮到網(wǎng)絡(luò)良好的管理性，易于維護(hù)和安全策略的實(shí)施，針對(duì)用戶網(wǎng)絡(luò)系統(tǒng)的實(shí)際情況，可以把功能（應(yīng)用）相近的設(shè)備群組劃分到同一VLAN，不同部門的設(shè)備劃分到不同VLAN 中去，這樣就能夠通過訪問控制列表技術(shù)實(shí)施安全策略。VLAN劃分舉例：VLAN用途命名規(guī)范表Vlan10財(cái)務(wù)部FINANCIALVlan11市場(chǎng)銷售部MARKETVlan12管理部MANAGING……………… VLAN 之間安全控制在用戶網(wǎng)絡(luò)系統(tǒng)中，由于在中心使用了三層核心交換機(jī)，因此所有的VLAN 之間的訪問都需要通過三層核心交換機(jī)進(jìn)行，因此可以通過ACL（訪問控制列表）控制VLAN之間的流量，這樣就可以允許高優(yōu)先級(jí)的VLAN段訪問低優(yōu)先級(jí)的VLAN段，而低優(yōu)先級(jí)的VLAN 段不能訪問或有限的訪問高優(yōu)先級(jí) VLAN段。網(wǎng)絡(luò)管理系統(tǒng)由網(wǎng)管中心、網(wǎng)管單元、管理信息庫(kù)和網(wǎng)絡(luò)管理協(xié)議四部分組成。網(wǎng)管單元在每個(gè)節(jié)點(diǎn)執(zhí)行各項(xiàng)網(wǎng)絡(luò)管理任務(wù)，采集網(wǎng)絡(luò)資源信息，存儲(chǔ)本地相關(guān)數(shù)據(jù)并響應(yīng)網(wǎng)管人員命令。網(wǎng)絡(luò)管理協(xié)議按規(guī)約執(zhí)行網(wǎng)管人員與網(wǎng)管單元和管理信息庫(kù)之間的通信。該企業(yè)網(wǎng)絡(luò)用戶為對(duì)Internet進(jìn)行訪問，而且為了保證其安全性，要求能夠訪問Internet的用戶與不能訪問Internet的用戶進(jìn)行完全的物理隔離，則需要另建立一套網(wǎng)絡(luò)系統(tǒng)(簡(jiǎn)稱為外網(wǎng))。與外部網(wǎng)絡(luò)互連的設(shè)備是帶防火墻的路由器，根據(jù)需要選擇企業(yè)級(jí)路由器DLink DI7500的性能特性及技術(shù)指標(biāo)情況如下：? 端口結(jié)構(gòu)：非模塊化? 廣域網(wǎng)接：2個(gè)? 局域網(wǎng)接：4個(gè)? 傳輸速率：10/100/1000Mbps? 網(wǎng)絡(luò)管理：GUI/WEB管理? 用戶數(shù)量：800臺(tái)? 防火墻：內(nèi)置防火墻? Qos支持：支持? VPN支持：支持? 處理器：64位全千兆網(wǎng)絡(luò)芯片? 網(wǎng)絡(luò)安全：支持網(wǎng)站過濾 上網(wǎng)限制? 狀態(tài)指示：Link/Act，速度，電源，? 電源功率：最大25W? 環(huán)境標(biāo)準(zhǔn)：工作溫度：040℃ 工作? 其它性能：ADSL、光纖、以太網(wǎng)、CA局域網(wǎng)布線設(shè)計(jì)的依據(jù)是網(wǎng)絡(luò)的分布架構(gòu)。對(duì)于大型局域網(wǎng)，連接公司院內(nèi)各個(gè)建筑物的網(wǎng)絡(luò)通常選擇光纖，統(tǒng)一規(guī)劃，冗余設(shè)計(jì)，使用線纜保護(hù)管道并且埋入地下。如果設(shè)有信息中心網(wǎng)絡(luò)機(jī)房，還應(yīng)該考慮機(jī)房的特殊布線需求。若整座建筑物接入局域網(wǎng)的節(jié)點(diǎn)計(jì)算機(jī)不多，可以采用從一個(gè)接入層節(jié)點(diǎn)直接連接所有入網(wǎng)節(jié)點(diǎn)的設(shè)計(jì)。水平布線子系統(tǒng)通常采用非屏蔽雙絞線或屏蔽雙絞線，如何選擇線纜類型和帶寬根據(jù)應(yīng)用需求決定。企業(yè)綜合布線系統(tǒng)由工作區(qū)子系統(tǒng)、水平布線子系統(tǒng)、垂直干線子系統(tǒng)、管理子系統(tǒng)和建筑群子系統(tǒng)組成。（2）實(shí)用性適應(yīng)企業(yè)現(xiàn)在和將來發(fā)展的需要，具備數(shù)據(jù)通信、語音通信和圖像通信的功能。（4）可擴(kuò)展性布線系統(tǒng)具有較強(qiáng)的可擴(kuò)展性，在將來需要時(shí)可以很容易地將所擴(kuò)充的設(shè)備連接到系統(tǒng)中來，實(shí)現(xiàn)各種網(wǎng)絡(luò)服務(wù)與應(yīng)用。通常情況下，綜合布線系統(tǒng)的使用壽命為15年。每條通道都采用專用儀器校核線路衰減、串音、信噪比，以保證其電氣性能不會(huì)造成交叉干擾。第三章 網(wǎng)絡(luò)系統(tǒng)安全性設(shè)計(jì)分析網(wǎng)絡(luò)安全是一種策略及管理，而不僅僅是某一種產(chǎn)品，是一個(gè)系統(tǒng)工程，它包括了物理層、網(wǎng)絡(luò)層、應(yīng)用層等一系列安全措施和策略。 u 機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。 u 可用性：得到授權(quán)的實(shí)體在需要時(shí)可訪問數(shù)據(jù)，即攻擊者不能占用所