【正文】 行速度；要求采用千兆以太網(wǎng)作為主干的網(wǎng)絡(luò)技術(shù)，提供標(biāo)準(zhǔn)化的高速度主干網(wǎng)連接，可以在同一個網(wǎng)絡(luò)中支持多種服務(wù)質(zhì)量，以支持目前和未來的應(yīng)用和服務(wù) 5 為標(biāo)準(zhǔn)。 設(shè)備要求 根據(jù) 企業(yè) 的網(wǎng)絡(luò)功能需求和實際的布線系統(tǒng)情況， 樓層接入 設(shè)備需要選擇同一型號的設(shè)備 。網(wǎng)絡(luò)設(shè)備在滿足功能與性能的基礎(chǔ)上必須具有良好的 性價比 。 第 2 章、設(shè)計方案 分析 局域網(wǎng)技術(shù) 局域網(wǎng)是同一建筑、同一 企業(yè) 、方圓幾公里遠(yuǎn)的地域內(nèi)的專用網(wǎng)絡(luò)。美國電氣和電子工程師協(xié)會（ IEEE）局域網(wǎng)標(biāo)準(zhǔn)委員會員會曾提出局域網(wǎng)的一些具體特征： ，一般在 12Km 的地域范圍內(nèi)。 ，在廣域網(wǎng)中用電話線連接的計算機(jī)一般也只有 2040Kpbs 的速率。 ，所以管理起很方便。組網(wǎng)時也就相對很容易連接。不同的網(wǎng)絡(luò)，層的名字、數(shù)量、內(nèi)容和功能都不盡相同 ， 但是每一層的目的都是向它的上一層提供服務(wù)，這一點是相同的。作為具體的網(wǎng)絡(luò)體系結(jié)構(gòu)，當(dāng)前重要的和使用廣泛的網(wǎng)絡(luò)體結(jié)構(gòu)有 OSI 體系結(jié)構(gòu) 和TCP/IP 體系結(jié)構(gòu) 。幾乎所有的網(wǎng)絡(luò)都是基于這種體系結(jié)構(gòu)的模 型進(jìn) 行改進(jìn)并定義的，這些層次從上到下分別是應(yīng)用層、表示層、會話層、 傳 輸層、網(wǎng)絡(luò)層 、 數(shù)據(jù)鏈路層和物理層 。 TCP/IP（ Transmission Control Protocol/Inter Protocol,傳輸控制協(xié)議和互連網(wǎng)協(xié)議） 體系結(jié)構(gòu) ， TCP/IP 體系結(jié)構(gòu)是當(dāng)前應(yīng)用于 Inter 網(wǎng)絡(luò)中的體系結(jié)構(gòu)，它是由 OSI 結(jié)構(gòu)演變來的，它只有應(yīng)用層、運輸層，網(wǎng)際層和網(wǎng)絡(luò)接口層。 不同的計算機(jī)之間必須使用相同的網(wǎng)絡(luò)協(xié)議才能進(jìn)行通信 ， 常見的協(xié)議有： TCP/IP 協(xié)議 、 IPX/SPX 協(xié)議、 NetBEUI 協(xié)議等。 是 Inter 最基本的協(xié)議 ， 簡單地說，就是由網(wǎng)絡(luò)層的 IP 協(xié)議和傳輸層的 TCP 協(xié)議組成的。 TCP/IP 協(xié)議中的核心協(xié)議有 TCP（傳輸控制協(xié)議）、 UDP（用戶數(shù)據(jù)報協(xié)議）和 IP（因特網(wǎng)協(xié)議） TCP 協(xié)議 是一種面向連接（連接導(dǎo)向）的、可靠的、基于字節(jié)流的運輸層（ Transport layer）通信協(xié)議，由 IETF 的 RFC 793 說明（ specified）。 UDP 協(xié)議是一種無連接的協(xié)議，它在傳輸數(shù)據(jù)之前不建立連接，也不提供良好的可靠性和差錯檢查 ，只僅僅依賴于校驗來保證可靠性。 IP 協(xié)議 為計算機(jī)網(wǎng)絡(luò)相互連接進(jìn)行通信而設(shè)計的協(xié)議。 最 基本功能是提供數(shù)據(jù)傳輸、數(shù)據(jù)包編址、數(shù)據(jù)包路由，分段等。每個網(wǎng)絡(luò)站點具有一個 32 位的 IP 地址，它和 48 位 MAC 地址一起協(xié)作，完成網(wǎng)絡(luò)通 信， IP 協(xié)議也是一種無連接的協(xié)議。所有的 WWW 文件都必須遵守這個標(biāo)準(zhǔn)。 是用于分布式協(xié)作超文本信息系統(tǒng)的、通用的、面向?qū)ο蟮膮f(xié)議， HTTP 協(xié)議還是基于 TCP/IP 協(xié)議之上的應(yīng)用層協(xié)。它屬于網(wǎng)絡(luò)協(xié)議組的應(yīng)用層。這些規(guī)則能使網(wǎng)絡(luò)用戶把文件從一個主機(jī)拷貝到另一個主機(jī)上， FTP 是采客戶 /服務(wù)器方式服務(wù)的。在終端使用者的電腦上使用 tel 程序，用它連接到服務(wù)器。 設(shè)計原則 先進(jìn)性 ：采用主流網(wǎng)絡(luò)體系、運行系統(tǒng)和設(shè)備產(chǎn)品 我們設(shè)計的網(wǎng)絡(luò)方案采用 三層分布式結(jié)構(gòu) 。 匯聚層 采用思科 網(wǎng)絡(luò) Cisco Catalyst 3560E24PD 三層交換機(jī)， 全千兆路由交換機(jī)組成 ,負(fù)責(zé)接入層匯聚 ,提供高速無阻塞的鏈路到核心層 ,抑制廣播風(fēng)暴和分流核心數(shù)據(jù)處理壓力等 ,可實施 VLAN 間高速路 由 ,大大提升網(wǎng)絡(luò)性能。 服務(wù)器設(shè)備 采用 曙光服務(wù)器，網(wǎng)絡(luò)操作系統(tǒng)采用 WINDOWS SERVER 2021 操作系統(tǒng) ；具有很好的安全性。網(wǎng)絡(luò)的安全性一般包括網(wǎng)絡(luò)上的信息是安全的、相對保密的、具有獨立備份的；不具備權(quán)限的人不能夠 瀏覽、下載的，即使同在企業(yè)內(nèi)部不同權(quán)限的人員在企業(yè)信息網(wǎng)內(nèi)的權(quán)限也是不同的；對于惡意的入侵在一定程度上進(jìn)行防范（絕對安全的網(wǎng)絡(luò)是沒有的）；同時網(wǎng)絡(luò)的安全性還包括網(wǎng)絡(luò)本身是具有高度冗 余 能力的：一個終端的損壞、部分網(wǎng)絡(luò)的損壞不影響整個網(wǎng)絡(luò)的運行、網(wǎng)絡(luò)核心節(jié)點是健壯的；甚至較長時間的停滯外部供電 9 也能夠正常的工作 。采用 WINDOWS 2021 作為網(wǎng)絡(luò)操作系統(tǒng) ,并以 “ 數(shù) 據(jù)庫 ” 的方式建立各種生產(chǎn)、裝配中心和管理應(yīng)用系統(tǒng) ,保證網(wǎng)絡(luò)系統(tǒng)和應(yīng)用系統(tǒng)的安全穩(wěn)定。 實用性 ：性能指標(biāo)能滿足各項業(yè)務(wù)處理能力 企業(yè)組網(wǎng)的方案在 接入 層 交換機(jī) 將用 MAC地址與端口的捆綁實現(xiàn)高效的用戶控制 。整個網(wǎng)絡(luò)架構(gòu)采用三層結(jié)構(gòu) ,使網(wǎng)絡(luò)具有較好的伸縮性、可以根據(jù)網(wǎng)絡(luò)建設(shè)的不同階段靈活配置和擴(kuò)展 ,具有能不斷吸收新技術(shù)、新方法的功能 。當(dāng)企業(yè)不斷的發(fā)展、新的技術(shù)不斷涌現(xiàn)的情況下。如果何奇特的網(wǎng)絡(luò)由連接需求的時候也可以方便實現(xiàn)。所有接口均基于標(biāo)準(zhǔn)的 TCP/IP 數(shù)據(jù)接口協(xié)議和內(nèi)容。 靈活性 ： 支持先進(jìn)的 虛擬網(wǎng)絡(luò)技術(shù) ,通過軟件快速轉(zhuǎn)換 。 擁有公共地址的服務(wù)器是最容易被攻擊的 ，以下是企業(yè)互聯(lián)網(wǎng)模塊潛在的威脅：未授權(quán)訪問、應(yīng)用層攻擊、病毒與特洛伊馬攻擊、密碼攻擊 、拒絕服務(wù)、 IP 電子欺騙、分組竊聽、網(wǎng)絡(luò)偵察、信任關(guān)系利用、端口重定向等。同時在 ISP 路由器的入口處， 防火墻的 過濾功能將防止針對本地網(wǎng)絡(luò)及專用地址的源地址電子欺騙。擁有公共地址的服務(wù)器通過在防火墻上使用半開放連接限制能夠防止 TCP SYN Flooding 洪 ， 該攻擊以多個隨機(jī)的源主機(jī)地址向目的路由器發(fā)送 SYN 包，而在收到目的路由器的 SYN ACK后并不回應(yīng)，這樣，目的路由器就為這些源主機(jī)建立了大量的連接隊列，而且由于沒有收到 ACK 一直維護(hù)著這些隊列，造成了資源的大量消耗而不能向正常請求提供服務(wù) ,甚至導(dǎo)致路由器崩潰 .服務(wù)器要等待超時 (Time Out)才能斷開已分配的資源 。如果某個攻擊涉及到一個公共服務(wù)器（通過規(guī)避防火墻和基于主機(jī)的 IDS），那么這個服務(wù)器應(yīng)該不會再進(jìn)一步攻擊網(wǎng)絡(luò)。例如，應(yīng)該對 Web 服務(wù)器進(jìn)行過濾，以便使其不能自身產(chǎn)生請求，而只能回答來自客戶機(jī)的請求。同時還有助于防止黑客在主攻擊過程中觸發(fā)不受歡迎的會話 。在交換機(jī)內(nèi)部可以實施 VLAN，以減少設(shè)備間的信任關(guān)系利用攻擊。 消除回路：當(dāng)交換機(jī)包括一個冗余回路時，以太網(wǎng)交換機(jī)通過生 成樹協(xié)議避免回路的產(chǎn)生，同時允許存在后備路徑。選擇通暢快捷的近路，能大大提高通信速度，減輕網(wǎng)絡(luò)系統(tǒng)通信負(fù)荷，節(jié)約網(wǎng)絡(luò)系統(tǒng)資源，提高網(wǎng)絡(luò)系統(tǒng)暢通率，從而讓網(wǎng)絡(luò)系統(tǒng)發(fā)揮出更大的效益來。低端路由器主要適用中小辦公網(wǎng)絡(luò)的應(yīng)用，考慮的一個主要因素是端口數(shù)量，另外還要看包交換能力和 NAT 轉(zhuǎn)換能力。在這里值得進(jìn)一步說明的是，如果讓內(nèi)部計算機(jī)直接通過路由器訪問外部網(wǎng)絡(luò)， 必須做 NAT 轉(zhuǎn)換，當(dāng)并發(fā)連接較大時，做 NAT 轉(zhuǎn)換非常占資源，最好考慮有帶 NAT 模塊的路由器或?qū)ｉT的 NAT 設(shè)備。 接入層 交換機(jī) 采用擁有千兆端口的可網(wǎng)管交換機(jī)實現(xiàn)與 核心路由器 的高速連接，避免可能產(chǎn)生的網(wǎng)絡(luò)瓶頸。 防火墻 是一項協(xié)助確保信息安全的設(shè)備，會依照特定的規(guī)則，允許或是限制傳輸?shù)? 12 數(shù)據(jù)通過。 防火墻有軟件防火墻和硬件防火墻兩種 ， 并且對軟硬件的特殊要求使硬件防火墻的實際帶寬與理論值基本一致，有著高吞吐量、安全與速度兼顧的優(yōu)點。 WWW 服務(wù)器：是網(wǎng)絡(luò)運行的核心服務(wù)器，通常兼作 DNS 服務(wù)器、 FTP 服務(wù)器。一般對于 200 個信息點以下的企業(yè)，通?？刹捎弥С侄?CPU 的頂級 PC 服務(wù)器和低端專業(yè)服務(wù)器。 公網(wǎng) IP 地址數(shù) 由于 對外服務(wù)器 要求有固定的公網(wǎng) IP 地址，路由器也要求有固定的公網(wǎng) IP地址，以及 NAT 地址池 也需要有固定的公網(wǎng) IP 地址，因此，必須向 ISP 提供商申請一定數(shù)量的公網(wǎng) IP 地址，對于 中、 小型網(wǎng)絡(luò)來講， 8 個勉強(qiáng)可以，對于大型局域網(wǎng)來說，要求 16 個以上 才能夠用。 IEEE 于 1999 年頒布了用以標(biāo)準(zhǔn)化 VLAN 實現(xiàn)方案的 IEEE 協(xié)議標(biāo)準(zhǔn)草案。 13 、 使用 VLAN 技術(shù) 的優(yōu)點 VLAN 的優(yōu)點主要體現(xiàn)在以下 3 個方面： 控制廣播風(fēng)暴 網(wǎng)絡(luò)管理必須解決因大量廣播信息帶來帶寬消耗的問題。與傳統(tǒng)局域網(wǎng)相比， VLAN 能夠更加有效地利用帶寬。這樣可減少主干網(wǎng)的流量，提高網(wǎng)絡(luò)速度。采用 VLAN 提供的安全機(jī)制，可以限制特定用戶的訪問，控制廣播組的大小和位置，甚至鎖定網(wǎng)絡(luò)成員的 MAC 地址，這樣，就限制了未經(jīng)安全許可的用戶和網(wǎng)絡(luò)成員對網(wǎng)絡(luò)的使用。用戶可以根據(jù)業(yè)務(wù)需要快速組建和調(diào)整 VLAN。管理程序還能夠提供有關(guān)工作組的業(yè)務(wù)量、廣播行為以及統(tǒng)計特性等的詳盡報告。 VLAN 變動時，用戶無需了解網(wǎng)絡(luò)的接線情況和協(xié)議是如何重新設(shè)置的。在添加、刪除和移動網(wǎng)絡(luò)成員時，不用重新布線，也不用直接對成員進(jìn)行配置。 、 VLAN 的劃分方法 VLAN 技術(shù)對工作組的劃分方法有兩 種一種是基于端口的劃分方法另外一種是基于 MAC 地址的劃分方法。同一 VLAN 中的計算機(jī)屬于同一個網(wǎng)段，不同 VLAN 之間進(jìn)行通信需要通過路由器。不足之處是不夠靈活，當(dāng)一臺計算 14 機(jī)需要從一個端口移動到另一個新的端口，而新端口與舊端口不屬于同一個 VLAN 時，要修改端口的 VLAN設(shè)置，或在用戶計算機(jī)上重新配置網(wǎng)絡(luò)地址，這 樣才能加入到新的 VLAN 中。 基于端口的劃分方式是最簡單也是最常用的。例如，一個交換機(jī)的 7 端口被定義為 VLAN A，同一交換機(jī)的 5 端口組成 VLAN 8，這樣劃分，允許各端口之間的通信，并允許共享型網(wǎng)絡(luò)的升級。 第二代端口 VLAN 技術(shù) 允許跨越多個交換機(jī) 的多個不同端 口劃分 VLAN，不同交換機(jī)上的若干個端口可以組成同一個 VLAN。 交換機(jī)端口來劃分 VLAN，其配置過程簡單明了。如果某一個用戶從一個端口所在的 VLAN 移動到另一個端口所在的 VLAN，網(wǎng)絡(luò)管理員需要重新進(jìn)行配置，這對于擁有眾多移動用戶的網(wǎng)絡(luò)來說是不可想象的。在Windows 中可用 “ipconfig/all”命令來查看這一地址。 MAC 地址屬于數(shù)據(jù)鏈路層，以此作為劃分 VLAN 的依據(jù)，能很好地獨立于網(wǎng)絡(luò)層上的各種應(yīng)用。對于連接于交換機(jī)端口的工作站來說，在它們初始化時，相應(yīng)的交換機(jī)要在 VLAN 的管理 信息庫中檢查 MAC 地址，從而動態(tài)地匹配該端口到相應(yīng)的 VLAN 中。同時，這種方式獨立于網(wǎng)絡(luò)的高層協(xié)議（如 TCP/IP、 IP 和 IPX 等）。 這種方法的一個缺點是所有的用戶必須被明確地分配給一個 VLAN。在一個擁有大量節(jié)點的大型網(wǎng)絡(luò)中，如果要求管理員將每個用戶都一一 劃分到某一個 VLAN，實在是太困難了。這種按網(wǎng)絡(luò)層協(xié)議來組成的 VLAN，可使廣播域 跨越多個 VLAN 交換機(jī)。而且，用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動，但其 VLAN 成員身份仍然保留不變。這種方法的缺點是效率低，因為檢查每一個數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時間的(相對于前面兩種方法 )。 、 在 企業(yè) 網(wǎng)中 VLAN 的劃分 企業(yè)局域 網(wǎng) 采用三層網(wǎng)絡(luò)架構(gòu)設(shè)計 ，分為 核心層、匯聚層、接入層 三個層次， 企業(yè) 主干網(wǎng)技術(shù)選擇千兆以太網(wǎng)技術(shù) ，主要在接入層的端口上實施基于端口的 VLAN劃分 、網(wǎng)絡(luò)設(shè)備選型 原則 設(shè)備選型原則 在確定了網(wǎng)絡(luò)系統(tǒng)的設(shè)計方 案后，需要進(jìn)行網(wǎng)絡(luò)設(shè)備選型。 設(shè)備選型依據(jù)主要是根據(jù)選型原則，對不同廠家的產(chǎn)品的不同型號進(jìn)行綜合全面的比較，選擇滿足系統(tǒng)需求的、先進(jìn)、性能價格比高的設(shè)備。從這個角度來看，產(chǎn)品線齊全、技術(shù)認(rèn)證隊伍力量雄厚、產(chǎn)品市場占有率高的廠商是網(wǎng)絡(luò)設(shè)備品牌的首選 （如本設(shè)計方案的網(wǎng)絡(luò)設(shè)備就是全部選用國際知名 品牌Cisco 的產(chǎn)品） 。作為系統(tǒng)集成商，不應(yīng)依賴于任何一家的產(chǎn)品，應(yīng)能夠根據(jù)需求和費用公正地評價各種產(chǎn)品，選擇最優(yōu)的。 （ 2）擴(kuò)展性考慮 ： 在網(wǎng)絡(luò)的層次結(jié)構(gòu)中，主干設(shè)備選擇應(yīng)預(yù)留一定的能力，以便將來擴(kuò)展，而低端設(shè)備則夠用即可，因為低端設(shè)備更新較快，且易于擴(kuò)展。其交換結(jié)構(gòu)也應(yīng)能根據(jù)網(wǎng)絡(luò)的擴(kuò)容靈活地擴(kuò)大容量。 （ 3）性價比高 ： 網(wǎng)絡(luò)系統(tǒng)設(shè)備的選擇具有較高的性能價格比的網(wǎng)絡(luò)設(shè)備以達(dá)到系統(tǒng)整體性能的最優(yōu)。 網(wǎng)卡 網(wǎng)卡（簡稱 NIC），也網(wǎng)絡(luò)適配卡或網(wǎng)絡(luò)接口卡，網(wǎng)卡作為計算機(jī)與網(wǎng)絡(luò)連接的接口，是不可缺少的網(wǎng)絡(luò)設(shè)備之一。每塊網(wǎng)卡上都有一個世界惟一的 ID 號，也就是 MAC（ Media Access Control