【正文】 工作，提高網(wǎng)絡(luò)管理的效率。網(wǎng)絡(luò)管理軟件應(yīng)用于網(wǎng)絡(luò)的設(shè)備配置，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)表示，網(wǎng)絡(luò)設(shè)備的狀態(tài)的顯示，網(wǎng)絡(luò)設(shè)備的故障事件報(bào)警，網(wǎng)絡(luò)流量統(tǒng)計(jì)分析以及計(jì)費(fèi)等等。網(wǎng)絡(luò)管理的目標(biāo)是實(shí)現(xiàn)零管理，基于策略的管理方式，網(wǎng)絡(luò)管理是通過制定統(tǒng)一的策略，由管理策略服務(wù)器進(jìn)行全局控制的。在設(shè)計(jì)局域網(wǎng)的設(shè)備選擇上，要求網(wǎng)絡(luò)設(shè)備支持標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理協(xié)議 SNMP，同時支持 RMON/RMONII 協(xié)議，核心設(shè)備要求支持 RAP(遠(yuǎn)程分析端口)協(xié)議，實(shí)施充分的網(wǎng)絡(luò)管理功能。網(wǎng)絡(luò)設(shè)備采用開放技術(shù)、支持標(biāo)準(zhǔn)協(xié)議：采用標(biāo)準(zhǔn)的協(xié)議保護(hù)用戶的投資，提高設(shè)備的互操作性。在設(shè)計(jì)網(wǎng)絡(luò)的原則上，發(fā)揮不同廠商產(chǎn)品的專用先進(jìn)技術(shù)同時，必須強(qiáng)調(diào)考察設(shè)備的技術(shù)、協(xié)議的標(biāo)準(zhǔn)性。對于由交換區(qū)塊和核心區(qū)塊構(gòu)成的局域網(wǎng)再按照目前流行的層次化的設(shè)計(jì)思想，劃分為接入層、匯聚層和核心層。(2)匯聚層：接入層交換機(jī)使用 100M 雙絞線匯聚到一臺或者多臺匯聚層設(shè)備，匯聚層設(shè)備在接入層交換機(jī)之間提供第二層連接，作為接入層交換機(jī)的集中連接點(diǎn)及接入層和核心層之間的分界點(diǎn)，匯聚層在提供接入層接入的同時，還能夠做到廣播域的隔離、不同網(wǎng)段之間的路由、介質(zhì)轉(zhuǎn)換、安全控制。核心區(qū)塊是園區(qū)網(wǎng)絡(luò)的主干，主要功能是在交換區(qū)塊之間用最小的時延傳輸數(shù)據(jù)，盡可能快的將交換數(shù)據(jù)提供到其他區(qū)塊（比如交換區(qū)塊） 。核心層：核心層交換機(jī)負(fù)責(zé)所有交換區(qū)塊設(shè)備和廣域網(wǎng)設(shè)備的接入，因此需要高速的數(shù)據(jù)轉(zhuǎn)發(fā)能力。作為企業(yè)網(wǎng)絡(luò)的心臟，核心層也是路由協(xié)議最優(yōu)選路和運(yùn)行穩(wěn)定的保證，需要合理的配置路由協(xié)議，并添加冗余處理器或者應(yīng)用冗余協(xié)議來保障網(wǎng)絡(luò)核心的穩(wěn)定，使企業(yè)數(shù)據(jù)流正常運(yùn)作。企業(yè)網(wǎng)絡(luò)內(nèi)部的環(huán)境復(fù)雜、分布區(qū)域廣、網(wǎng)絡(luò)用戶多，以至于企業(yè)內(nèi)部網(wǎng)絡(luò)用戶的可靠性得不到完全的保證。 VLAN 技術(shù)簡介以太網(wǎng)基本上是以廣播為基礎(chǔ)的，如最初包的尋址等，交換機(jī)雖然能夠通過建立地址映射表減少不必要的廣播，但是地址映射表的建立過程仍然是基于廣播的，網(wǎng)絡(luò)節(jié)點(diǎn)（如 PC 機(jī)）在處理廣播時浪費(fèi)了 CPU 處理時間，降低了處理性能，根據(jù)14統(tǒng)計(jì)，當(dāng)網(wǎng)絡(luò)上存在 15000 個廣播包時，將耗盡 CPU 資源；在傳統(tǒng)的網(wǎng)絡(luò)里，節(jié)點(diǎn)的吞吐量都會隨著節(jié)點(diǎn)的增多而下降，交換式以太網(wǎng)雖然能夠隔離沖突域及第二層廣播，但是無法隔離第三層網(wǎng)絡(luò)。對每個用戶而言，當(dāng)然不希望他的信息被別人利用，因此需要從物理上隔離用戶數(shù)據(jù)（單播地址的幀） ，保證用戶單播地址的幀只有該用戶可以接收到，不像在局域網(wǎng)中采用共享總線方式，使單播地址的幀能被總線上的所有用戶接收。為了隔離第三層廣播，增強(qiáng)安全性、提高網(wǎng)絡(luò)性能，可以運(yùn)用 VLAN（虛擬局域網(wǎng)）技術(shù)或者使用路由設(shè)備。VLAN 技術(shù)不需要特殊的設(shè)備，目前第二層交換機(jī)均支持 VLAN 技術(shù)。使用路由器時，將這些邏輯網(wǎng)段連接到路由器時可以只使用一條物理鏈路、占用一個路由器接口，這樣就節(jié)省了設(shè)備的投資，而使用三層交換設(shè)備時，不需要額外增加設(shè)備，只要交換機(jī)支持三層路由功能即可，由于三層交換設(shè)備的工作效率高于路由器，所以在本論文中推薦采用三層交換設(shè)備實(shí)現(xiàn) VLAN 之間的路由。基于 MAC 地址的 VLAN，即動態(tài) VLAN，基于 Vlan 策略服務(wù)組建，特點(diǎn)是終端設(shè)備可以在整個局域網(wǎng)中移動而不用改變配置，適合于移動辦公型的網(wǎng)絡(luò)環(huán)境，缺點(diǎn)是配置工作量大、繁瑣。15考慮到本系統(tǒng)的特點(diǎn)，節(jié)點(diǎn)在網(wǎng)絡(luò)中內(nèi)移動的可能性較小，基于易維護(hù)、易管理方面的考慮，使用基于交換機(jī)端口的 VLAN 進(jìn)行配置。其中VLAN10~31 為部門 VLAN，禁止互訪，VLAN 51 為文件服務(wù)器區(qū)，能被任何部門訪問，VLAN 52 為網(wǎng)管區(qū)，能單向訪問各個部門。第三層交換出現(xiàn)因于 ATM 與交換器的技術(shù)背景，因?yàn)閭鹘y(tǒng)的網(wǎng)絡(luò)是由路由器作為中心的。VLAN 將廣播域進(jìn)行分割，但透過 VLAN 進(jìn)行通訊則必須通過路由器進(jìn)行轉(zhuǎn)發(fā)。C o r e S w 1s w 1C o r e S w 2s w 2s w 3I N T E R N E TP I X 防 火 墻v l a n 1 0v l a n 2 0v l a n 3 02 0 1 . 1 . 1 4 . 4 / 3 01 9 2 . 1 6 8 . 1 0 . 0 / 2 41 9 2 . 1 6 8 . 2 0 . 0 / 2 41 9 2 . 1 6 8 . 3 0 . 0 / 2 41 9 2 . 1 6 8 . 4 0 . 0 / 2 41 9 2 . 1 6 8 . 5 . 0 / 3 01 9 2 . 1 6 8 . 5 . 4 / 3 01 9 2 . 1 6 8 . 5 . 8 / 3 0R o u t e r 11 9 2 . 1 6 8 . 5 1 . 0 / 2 4O S P F B a c k b o n e 0R o u t e r 2F i l e S e r v e r 網(wǎng) 管 中 心S w 41 9 2 . 1 6 8 . 4 5 . 4 / 2 41 9 2 . 1 6 8 . 4 5 . 5 / 2 4v l a n 1 11 9 2 . 1 6 8 . 1 1 . 0 / 2 4v l a n 2 11 9 2 . 1 6 8 . 2 1 . 0 / 2 4v l a n 3 11 9 2 . 1 6 8 . 3 1 . 0 / 2 4V l a n 5 21 9 2 . 1 6 8 . 5 2 . 0 / 2 4V l a n 5 116 IP multicast 技術(shù)方案設(shè)計(jì)為了使企業(yè)網(wǎng)絡(luò)系統(tǒng)成為能夠承載多種應(yīng)用的多媒體網(wǎng)絡(luò)，使網(wǎng)絡(luò)點(diǎn)播和網(wǎng)絡(luò)會議成為辦公的有力工具，網(wǎng)絡(luò)對組播的支持是必不可少的。在這種通信方式下，源 IP 主機(jī)向指定的目標(biāo) IP 主機(jī)發(fā)送信息包。從一臺主機(jī)送出的每個數(shù)據(jù)包只能傳送給一個目標(biāo)主機(jī)，通過路由器或交換機(jī)將這些 IP 信息包從源主機(jī)發(fā)送到目標(biāo)主機(jī)。這種傳送方式稱為單播。發(fā)送信息的主機(jī)必須向每個希望接收此數(shù)據(jù)包的用戶發(fā)送一份單獨(dú)的數(shù)據(jù)包拷貝。其次對路由器和交換機(jī)的性能也提出了更高的要求，管理人員被迫購買本來不必要的硬件和帶寬來保證一定的服務(wù)質(zhì)量。目前可用的組播路由模型有兩種：稠密分布模型和稀疏分布模型。組播和傳統(tǒng)的單播數(shù)據(jù)傳送方式如圖 3 所示：圖3 組播示意圖從圖中可以清楚的看出，單播傳送發(fā)送數(shù)據(jù)的多個拷貝，每個拷貝發(fā)送到一個接收者，主機(jī)輪流發(fā)送數(shù)據(jù)的拷貝，網(wǎng)絡(luò)分別將它們轉(zhuǎn)發(fā)至每個接收者，主機(jī)一次17只能發(fā)送至一個接收者。網(wǎng)絡(luò)在每個接收者的最后一個路由器或主機(jī)復(fù)制它，在一個給定的網(wǎng)絡(luò)上每一個包只傳送一次。用戶通過運(yùn)行組播客戶端軟件的 PC 運(yùn)行 IGMP 協(xié)議，用戶可通過 IGMP 協(xié)議加入某個組播組，建立成員關(guān)系。目前經(jīng)常被采用的稀疏分布模型的域內(nèi)組播路由協(xié)議是 PIMSM，因此，使用PIMSM 作為域內(nèi)組播路由協(xié)議。但是，在 PIMSM 中，某個廣播組接受者可以根據(jù)一定條件選擇從以 RP 為根的 RPT 樹切換到以發(fā)送者為根的所謂 SPT 樹；RPT 樹和 SPT 樹各有其優(yōu)點(diǎn)， RPT 樹易于構(gòu)造，并且可以減少路由器中所要維護(hù)的組播狀態(tài)；如果廣播組會話由大量低帶寬多目的廣播流構(gòu)成，RPT 還可以節(jié)省網(wǎng)絡(luò)資源，而 SPT 樹則可以采用最優(yōu)路徑，并消除封裝和解封裝過程，提供更好的性能。PIM（RFC 2362）是 IETF 關(guān)于域內(nèi)組播路由協(xié)議的標(biāo)準(zhǔn)，目前為大多數(shù)組播服務(wù)提供商采用。每個部門 VLAN 劃入一個多播地址：Vlan10： Vlan11：Vlan20： Vlan21：Vlan30： Vlan31：在核心交換機(jī)和 PIX 上啟用多播，命令如下：ip multicastroutingint interface ip pim sparsedensemodeip igmp joingroup 配置 PIX 為 RP 的命令如下：ip pim sendrpannounce Loopback0 scope 3 grouplist 50ip pim sendrpdiscovery Loopback0 scope 318accesslist 50 permit accesslist 50 permit accesslist 50 permit accesslist 50 permit accesslist 50 permit accesslist 50 permit ip pim rpaddress 訪問控制列表（ACL）設(shè)計(jì)方案訪問控制列表（Access Control List，ACL） 是路由器接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。 ACL 的定義也是基于每一種協(xié)議的。自反訪問表在路由器的一邊創(chuàng)建 I P 流量的動態(tài)開啟，該過程是基于來自路由器另一邊的會話進(jìn)行的。這些開啟表項(xiàng)的創(chuàng)建是基于源于設(shè)備的可信方的會話進(jìn)行的，例如以太網(wǎng)或令牌環(huán)網(wǎng)的用戶連接到一個網(wǎng)段或連接到路由器端口的環(huán)。該名稱是根據(jù)此訪問表的類型得來的。在核心層交換機(jī)上配置訪問列表如下（由于各個端口配置相似，故只列出核心交換機(jī) SW1 上的 e0/）：ip accesslist extended e0/evaluate admin deny ip deny ip deny ip deny ip deny ip deny ip permit ip any anyexitip accesslist extended eoutpermit ip any any reflect admin19int e0/ip accessgroup eout outip accessgroup e0/ inexit IP 地址規(guī)劃與路由設(shè)計(jì)方案路由組織及其方案是 IP 網(wǎng)絡(luò)中的基本問題之一，涉及網(wǎng)絡(luò)的連通性、可達(dá)性、穩(wěn)定性、精確性和易管理性，其設(shè)計(jì)的好壞直接影響著網(wǎng)絡(luò)性能。因?yàn)?IP 地址的規(guī)劃與路由策略息息相關(guān)，所以在以 IP 地址規(guī)劃的基礎(chǔ)上，選擇企業(yè)網(wǎng)絡(luò)平臺中最優(yōu)的路由設(shè)計(jì)方案，以下詳細(xì)論述了 IP 地址規(guī)劃與路由設(shè)計(jì)方案。因此需要對企業(yè)網(wǎng)絡(luò)系統(tǒng)的 IP 地址進(jìn)行統(tǒng)一規(guī)劃， IP 地址規(guī)劃方案如下：在整個網(wǎng)絡(luò)環(huán)境中必須保持 IP 地址的唯一性；根據(jù)業(yè)務(wù)情況，為每個單位局域網(wǎng)分配一個或多個 C 類地址段（指掩碼為 的地址段） ，或者使用 VLSM 技術(shù)進(jìn)一步進(jìn)行細(xì)化，如分配 64 個（掩碼 ）或者 32 個（掩碼 ）地址，滿足當(dāng)前要求，并留有一定的擴(kuò)充余地（如 23 倍） ，便于將來增加節(jié)點(diǎn)。使用 VLSM 技術(shù)，在劃分 IP 地址時應(yīng)該盡可能的減少 IP 地址浪費(fèi)：三層交換設(shè)備之間的互聯(lián) IP 地址使用 30 位子網(wǎng)掩碼（ ） ，以節(jié)約 IP 地址；網(wǎng)絡(luò)設(shè)備管理接口使用 32 位子網(wǎng)掩碼（） ；在訪問 Inter 時，使用 NAT 或者 PAT 技術(shù)通過防火墻設(shè)備進(jìn)行地址或者端口翻譯，把私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址，以獲得對 Inter 的訪問；各局域網(wǎng)內(nèi)，根據(jù)業(yè)務(wù)情況，本著滿足需求和擴(kuò)展性的要求，劃分并預(yù)留出以下地址段：網(wǎng)絡(luò)設(shè)備地址段、服務(wù)器地址段、辦公網(wǎng)段。動態(tài)路由是網(wǎng)絡(luò)上的所有路由器互相通告自己所連的網(wǎng)段，各路由器根據(jù)某種算法計(jì)算出到每一點(diǎn)的最佳路徑。靜態(tài)路由配置簡單，調(diào)試方便，但由于靜態(tài)路由在網(wǎng)絡(luò)上每增加一個點(diǎn)時，都需要在網(wǎng)絡(luò)上所有現(xiàn)有路由器中增加路由，這樣使得靜態(tài)路由不適合于網(wǎng)絡(luò)規(guī)模較大，網(wǎng)絡(luò)不斷發(fā)展的場合，而動態(tài)路由因?yàn)樵诰W(wǎng)絡(luò)上的路由器之間相互交換路由信息，增加一個節(jié)點(diǎn)時，網(wǎng)絡(luò)上的其他路由器的配置可以不作任何修改，非常便于網(wǎng)絡(luò)的擴(kuò)展，根據(jù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)規(guī)模、結(jié)構(gòu)和將來的擴(kuò)展能力，使用動態(tài)路由協(xié)議。RIP 和 EIGRP 屬于距離向量協(xié)議，OSPF 屬于鏈路狀態(tài)協(xié)議； RIP 配置簡單，適合于較小規(guī)模的網(wǎng)絡(luò)，這就限制了網(wǎng)絡(luò)的發(fā)展；EIGRP 路由協(xié)議只適用于所有設(shè)備都是 H3C 產(chǎn)品的情況，這就限制了網(wǎng)絡(luò)產(chǎn)品的選型，降低了網(wǎng)絡(luò)的靈活性，不適于網(wǎng)絡(luò)規(guī)模的擴(kuò)展；OSPF 雖然配置復(fù)雜，但是非常適合于較大規(guī)模的網(wǎng)絡(luò)。開放式最短路徑優(yōu)先路由選擇協(xié)議(OSPF)是于 20 世紀(jì) 80 年代后期發(fā)展起來,并且早在 90 年代初就