【正文】 揮設備效益。采用成熟的先進技術，兼顧未來的發(fā)展趨勢，即量力而行，又適當超前，留有發(fā)展余地。（4）安全可靠性：確保網(wǎng)絡可靠運行，在網(wǎng)絡的關鍵部分應具有容錯能力，提供公共網(wǎng)絡連接、通信鏈路、服務器等全方位的安全管理系統(tǒng)。（6）可擴展性：系統(tǒng)便于擴展，保證前期的投資的有效性與后期投資的連續(xù)性（7）安全保密性：為了保證網(wǎng)上信息的安全和各種應用系統(tǒng)的安全，在規(guī)劃時就要為局域網(wǎng)考慮一個周全的安全保密方案。網(wǎng)絡系統(tǒng)應實現(xiàn)虛擬局域網(wǎng)（VLAN）的功能，以保證全網(wǎng)的良好性能及網(wǎng)絡安全性。主干網(wǎng)絡應該采用成熟的、可靠的千兆以太網(wǎng)技術作為網(wǎng)絡系統(tǒng)主干。根據(jù)對網(wǎng)絡需求的考察，根據(jù)合理性、實用性和節(jié)約費用等原則進行設備選擇：(1) 基于路由器和交換機的局部網(wǎng)間的互聯(lián)是最好的解決方案。(2) 在主干網(wǎng)建設時，選擇3Com和Cisco系統(tǒng)產品，它能夠以極具競爭力的價格提供所有技術，為我們提供一個集成化、高性能、靈活、可伸縮、安全和高性能價格比的解決方案的標準。 CISCO設備和TPLINK方案提供了可伸縮的結構和高性能的設備，能夠高速傳輸數(shù)據(jù)，同時通過它們Secure技術保證了安全地接入Internet和一體化的網(wǎng)絡解決方案。同時，也考慮局部子網(wǎng)對硬件和信息流量的要求，必須能夠提供專用的高速帶寬，以處理日常數(shù)據(jù)信息和峰值操作，并能夠支持各種新技術和新增用戶。在用戶的網(wǎng)絡結構設計中，我們建議采用層次化的結構設計。采用這樣的結構所建設的網(wǎng)絡具有良好的擴充性、管理性，因為新的子網(wǎng)模塊和新的網(wǎng)絡技術能被更容易集成到整個系統(tǒng)中，而不破壞已存在的骨干網(wǎng)。層次性結構如下圖所示。內部網(wǎng)絡拓撲圖：網(wǎng)絡邏輯拓撲結構如圖所示。簡要說明如下：整個網(wǎng)絡由核心層、匯聚層和接入層兩大部分組成。匯聚層由CISCO WSC356024TSS路由交換機組成。 主要網(wǎng)絡設備列表： 拓撲結構設備型號數(shù)量（臺）核心層路由交換機CISCO WSC356048TSS2匯聚層路由交換機CISCO WSC356024TSS3接入層樓層交換機CISCO WSC291824TCC26以行政樓中心機房為中心，下屬部門為接入點的星型連接方式。 各樓層的辦公網(wǎng)是以星型的方式千兆直接連接到各匯聚機房的匯聚交換機上后，由匯聚交換機通過千兆接到核心交換機。 核心層交換機與服務器群的相連是以千兆以太網(wǎng)的方式。 (2) 網(wǎng)絡拓撲結構層次清楚，易于擴充和升級（后面有升級的拓撲方案），同時體現(xiàn)了開放式的體系結構。 (4) 大大減少網(wǎng)絡瓶頸和由于鏈路、路由而導致的故障。核心層主要功能是給下層各業(yè)務匯聚節(jié)點提供 IP 業(yè)務平面高速承載和交換通道，負責進行數(shù)據(jù)的高速轉發(fā)，同時核心層是局域網(wǎng)的骨干，是局域網(wǎng)互連的關鍵。 基于對核心層的功能及作用，根據(jù)用戶的實際需求，本方案中對網(wǎng)絡系統(tǒng)中核心層由CISCO系列的企業(yè)級核心交換機WSC356048TSS組成。為整個大樓寬帶辦公網(wǎng)提供交換和路由的核心，完成各個部分數(shù)據(jù)流的中央?yún)R集和分流。 根據(jù)該企業(yè)的建筑分布及網(wǎng)絡規(guī)模，以行政樓的中心機房作為整個網(wǎng)絡系統(tǒng)的核心節(jié)點。2臺網(wǎng)絡核心交換機作為整個網(wǎng)絡的核心層設備，為各個匯聚層和接入層交換機提供上聯(lián)。 由于WSC356048TSS是路由交換機，也即同時具有第二層和第三層的交換能力，為了充分利用資源，將WWW服務器、 E－mail服務器、數(shù)據(jù)庫服務器、文件VOD服務器、認證的服務器（Radius server）以及網(wǎng)管設備等通過千兆直接連人核心交換機，以解決帶寬瓶頸，充分利用核心交換機的交換能力。在設備的選型上必須考慮到有足夠的背板帶寬，包交換能力，是否支持設備的冗余，安全性，擴展性等各種性能。企業(yè)級核心路由交換機WSC356048TSS的性能特性及技術指標如下：? 交換機類：企業(yè)級交換機? 應用層級：三層? 接口介質：10/100 BASET/ 100FX? 傳輸速率：10Mbps/100Mbps? 端口數(shù)量：48? 背板帶寬：32Gbps? VLAN支持：支持? 網(wǎng)管功能：網(wǎng)管功能 SNMP, CLI,? 包轉發(fā)率：? MAC地址：12k? 網(wǎng)絡標準：IEEE , ,? 端口結構：非模塊化匯聚層主要完成的任務是對各業(yè)務接入節(jié)點的業(yè)務匯聚、管理和分發(fā)處理，是完成網(wǎng)絡流量的安全控制機制，以使核心網(wǎng)和接入訪問層環(huán)境隔離開來；同時匯聚層起著承上啟下的作用，對上連接至核心層，對下將各種寬帶數(shù)據(jù)業(yè)務分配到各個接入層的業(yè)務節(jié)點，匯聚層位于中心機房或下聯(lián)單位的分配線間，主要用于匯聚接入路由器以及接入交換機。而且規(guī)劃匯聚層時建議匯聚層節(jié)點的數(shù)量和位置應根據(jù)業(yè)務和光纖資源情況來選擇；匯聚層節(jié)點可采用星形連接，每個匯聚層節(jié)點保證與兩個不同的核心層節(jié)點連接。 匯聚層網(wǎng)絡設備全部采用了CISCO WSC356024TSS交換機。 匯聚路由交換機CISCO WSC356024TSS的性能特性及技術指標如下：? 交換機類：企業(yè)級交換機? 應用層級：三層? 接口介質：10/100 BASET/ 100FX? 傳輸速率：10Mbps/100Mbps? 端口數(shù)量：24? 背板帶寬：32Gbps? VLAN支持：支持? 網(wǎng)管功能：SNMP, CLI, Web, 管理接入層主要用來支撐客戶端機器對服務器的訪問，主要是指接入路由器、交換機、終端訪問用戶。對上連接至匯聚層和核心層，對下進行帶寬和業(yè)務分配，實現(xiàn)用戶的接入。當接入層采用其它結構（如環(huán)行）連接到匯聚層時，建議提供兩條不同路由通道。其主要功能是為該區(qū)域下屬各部門的網(wǎng)絡用戶提供大量性價比極高的10/100 兆網(wǎng)絡接口，并與信息中心的核心交換機通過 1000 兆光纖鏈路互聯(lián)為接入的用戶提供高速上聯(lián)。但如果僅有小型網(wǎng)絡，完全可以通過靜態(tài)路由手動地更新路由表。RIP 協(xié)議的標準主要有 RFC1058（版本 1）和 RFC1723（版本2）。目前 OSPF 的主要標準是 RFC2328（版本 2）。 （3）ISIS ISIS（Intermediate System Intermediate System，中間系統(tǒng)到中間系統(tǒng)協(xié)議）是由國際標準化組織（ISO）制訂的路由協(xié)議，屬于開放系統(tǒng)互聯(lián)協(xié)議簇。 在 IGP 路由協(xié)議的選擇上，盡量不要采用擴展性差的（RIP）和廠家的私有路由協(xié)議（IGRP和 EIGRP），盡量采用 OSPF 或 ISIS。 OSPF 路由協(xié)議相應的配置策略為： ? AS內部節(jié)點均運行OSPFv2路由協(xié)議； ? 如果與別的IP網(wǎng)絡互通，建議配置EBGP路由協(xié)議，并且配置OSPF引入BGP路由； 為減少處理開銷和網(wǎng)絡開銷，可將網(wǎng)絡的主干部分劃分為 OSPF 主干區(qū)域（區(qū)域號為 0）， 在邊緣的支局子網(wǎng)配置成為OSPF 子區(qū)域，從而分散路由處理，減少網(wǎng)絡帶寬占用。使用 OSPF 協(xié)議必須考慮到骨干區(qū)域的連通性，即使某條鏈路斷掉后能保證骨干區(qū)域不會分離；另外，還需要考慮網(wǎng)絡邊緣層設備的動蕩對于核心網(wǎng)絡的影響。具體設計如下： 核心交換機與匯聚交換機都為三層路由交換機，相互間使用 OSPF 路由協(xié)議，并運行在 AREAR 0區(qū)域上。 IP地址的設計 IP地址規(guī)劃和分配原則（1）根據(jù)目前網(wǎng)絡結構和以后擴展，遵循以下原則進行IP 地址分配。 u 可擴展性：既要考慮到 IP 地址的使用現(xiàn)狀，又要考慮到未來信息網(wǎng)絡的發(fā)展，為各單位分配合理的地址空間，在網(wǎng)絡上盡可能少地做 NAT，減少網(wǎng)絡設備 CPU 處理負擔和加快網(wǎng)絡訪問速度。 u 按照業(yè)務規(guī)劃，每種業(yè)務一個網(wǎng)段，所有的地市同一業(yè)務使用同一網(wǎng)段，這種方案適合業(yè)務之間互訪的控制。我們可以通過 VLAN 為網(wǎng)絡分段，各個網(wǎng)段可以共用同一套網(wǎng)絡設備，節(jié)約了網(wǎng)絡硬件的開銷，同時在遷移中所需的工作量也大幅度降低了，從而降低了連網(wǎng)成本。 VLAN 劃分我們建議根據(jù)各個辦公室的地理位置來劃分VLAN， 如果同一棟樓內包含很多部門，而這些部門的職能和工作內容又有很大的區(qū)別，我們就可以在樓內按照部門來劃分VLAN。這樣做的好處是：可以減少廣播數(shù)據(jù)包對網(wǎng)絡主干的影響。 為了減少傳輸沖突，提高系統(tǒng)整體性能和網(wǎng)絡處理能力，另外，還考慮到網(wǎng)絡良好的管理性，易于維護和安全策略的實施，針對用戶網(wǎng)絡系統(tǒng)的實際情況，可以把功能（應用）相近的設備群組劃分到同一VLAN，不同部門的設備劃分到不同VLAN 中去，這樣就能夠通過訪問控制列表技術實施安全策略。VLAN劃分舉例：VLAN用途命名規(guī)范表Vlan10財務部FINANCIALVlan11市場銷售部MARKETVlan12管理部MANAGING……………… VLAN 之間安全控制在用戶網(wǎng)絡系統(tǒng)中，由于在中心使用了三層核心交換機，因此所有的VLAN 之間的訪問都需要通過三層核心交換機進行，因此可以通過ACL（訪問控制列表）控制VLAN之間的流量，這樣就可以允許高優(yōu)先級的VLAN段訪問低優(yōu)先級的VLAN段，而低優(yōu)先級的VLAN 段不能訪問或有限的訪問高優(yōu)先級 VLAN段。網(wǎng)絡管理系統(tǒng)由網(wǎng)管中心、網(wǎng)管單元、管理信息庫和網(wǎng)絡管理協(xié)議四部分組成。網(wǎng)管單元在每個節(jié)點執(zhí)行各項網(wǎng)絡管理任務，采集網(wǎng)絡資源信息，存儲本地相關數(shù)據(jù)并響應網(wǎng)管人員命令。網(wǎng)絡管理協(xié)議按規(guī)約執(zhí)行網(wǎng)管人員與網(wǎng)管單元和管理信息庫之間的通信。該企業(yè)網(wǎng)絡用戶為對Internet進行訪問，而且為了保證其安全性，要求能夠訪問Internet的用戶與不能訪問Internet的用戶進行完全的物理隔離，則需要另建立一套網(wǎng)絡系統(tǒng)(簡稱為外網(wǎng))。與外部網(wǎng)絡互連的設備是帶防火墻的路由器，根據(jù)需要選擇企業(yè)級路由器DLink DI7500的性能特性及技術指標情況如下：? 端口結構：非模塊化? 廣域網(wǎng)接：2個? 局域網(wǎng)接：4個? 傳輸速率：10/100/1000Mbps? 網(wǎng)絡管理：GUI/WEB管理? 用戶數(shù)量：800臺? 防火墻：內置防火墻? Qos支持：支持? VPN支持：支持? 處理器：64位全千兆網(wǎng)絡芯片? 網(wǎng)絡安全：支持網(wǎng)站過濾 上網(wǎng)限制? 狀態(tài)指示：Link/Act，速度，電源，? 電源功率：最大25W? 環(huán)境標準：工作溫度：040℃ 工作? 其它性能：ADSL、光纖、以太網(wǎng)、CA局域網(wǎng)布線設計的依據(jù)是網(wǎng)絡的分布架構。對于大型局域網(wǎng)，連接公司院內各個建筑物的網(wǎng)絡通常選擇光纖，統(tǒng)一規(guī)劃，冗余設計，使用線纜保護管道并且埋入地下。如果設有信息中心網(wǎng)絡機房，還應該考慮機房的特殊布線需求。若整座建筑物接入局域網(wǎng)的節(jié)點計算機不多，可以采用從一個接入層節(jié)點直接連接所有入網(wǎng)節(jié)點的設計。水平布線子系統(tǒng)通常采用非屏蔽雙絞線或屏蔽雙絞線，如何選擇線纜類型和帶寬根據(jù)應用需求決定。企業(yè)綜合布線系統(tǒng)由工作區(qū)子系統(tǒng)、水平布線子系統(tǒng)、垂直干線子系統(tǒng)、管理子系統(tǒng)和建筑群子系統(tǒng)組成。（2）實用性適應企業(yè)現(xiàn)在和將來發(fā)展的需要，具備數(shù)據(jù)通信、語音通信和圖像通信的功能。（4）可擴展性布線系統(tǒng)具有較強的可擴展性，在將來需要時可以很容易地將所擴充的設備連接到系統(tǒng)中來，實現(xiàn)各種網(wǎng)絡服務與應用。通常情況下，綜合布線系統(tǒng)的使用壽命為15年。每條通道都采用專用儀器校核線路衰減、串音、信噪比，以保證其電氣性能不會造成交叉干擾。第三章 網(wǎng)絡系統(tǒng)安全性設計分析網(wǎng)絡安全是一種策略及管理，而不僅僅是某一種產品，是一個系統(tǒng)工程，它包括了物理層、網(wǎng)絡層、應用層等一系列安全措施和策略。 u 機密性：確保信息不暴露給未授權的實體或進程。 u 可用性：得到授權的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所