【正文】 IP電話+PC在同一交換機(jī)端口上 —————————－最后經(jīng)過我們的計(jì)算，將各部門IP地址分配如下表：IP地址網(wǎng)段VLAN編號(hào)默認(rèn)網(wǎng)關(guān)財(cái)務(wù)部10生產(chǎn)部20銷售部30行政部40用戶地址與VLAN劃分Web服務(wù)器IP地址： FTP服務(wù)器IP地址： 路由器出口IP地址： 方案特點(diǎn)本方案很好地解決了用戶要求的四個(gè)問題，即帶寬問題、安全問題、管理計(jì)費(fèi)問題、靈活擴(kuò)展問題。l 安全問題：校園網(wǎng)核心層、匯聚層、樓層匯聚層所使用的產(chǎn)品全部具有網(wǎng)絡(luò)病毒和攻擊的防護(hù)能力，并且防DOS/DDOS攻擊，因而可以在不同的環(huán)境中做到安全防護(hù)，足以應(yīng)對(duì)突發(fā)事件，保持網(wǎng)絡(luò)穩(wěn)定、通暢。l 靈活擴(kuò)展問題：核心層使用的路由交換機(jī)DCRS7508有良好的擴(kuò)展性，可以為將來的網(wǎng)絡(luò)實(shí)現(xiàn)輕松擴(kuò)展。OSPF是一種典型的鏈路狀態(tài)路由協(xié)議。因?yàn)镽IP路由協(xié)議不能服務(wù)于大型網(wǎng)絡(luò)，所以，IETF的IGP工作組特別開發(fā)出鏈路狀態(tài)協(xié)議——OSPF。 OSPF作為一種內(nèi)部網(wǎng)關(guān)協(xié)議（Interior Gateway Protocol，IGP），用于在同一個(gè)自治域（AS）中的路由器之間發(fā)布路由信息。 端口安全與認(rèn)證（基于 ）交換設(shè)備定義了對(duì)端口保護(hù)的功能，我們能定義允許的最大 MAC 地址訪問數(shù)，或者靜態(tài)的定義特定的 MAC 地址。 的交換機(jī)端口處于未授權(quán)狀態(tài)，除了和 有關(guān)的數(shù)據(jù)，其他數(shù)據(jù)都不能通過該端口，只有客戶的交換機(jī)創(chuàng)建了一個(gè) 的會(huì)話，客戶被授權(quán)訪EAPOL：Extensible Authentication Protocol OVER LAN 局域網(wǎng)上的可擴(kuò)展身份認(rèn)證。 VRRP（虛擬路由冗余協(xié)議）原理VRRP給路由器組提供了一個(gè)冗余網(wǎng)關(guān)地址，它是一種容錯(cuò)協(xié)議，通過定義 不同的組，不同優(yōu)先級(jí)的路由器，它保證網(wǎng)絡(luò)的主路由器失效時(shí)，可以及時(shí)的由 備分來實(shí)現(xiàn)路由器來替代，從而保持通訊的連續(xù)性和可靠性。VRRP 技術(shù)的實(shí)現(xiàn)： 匯聚到核心冗余連接及 VRRP 的實(shí)現(xiàn)通過 VRRP 技術(shù)將多個(gè)設(shè)備虛擬成為一臺(tái)邏輯設(shè)備，實(shí)現(xiàn)匯聚/接入鏈路冗余。如果一個(gè)局域網(wǎng)內(nèi)的網(wǎng)橋都支持 RSTP 協(xié)議且管理員配置得當(dāng)，一旦網(wǎng)絡(luò)拓樸改變而 要重新生成拓樸樹只需要不超過 1 秒的時(shí)間（傳統(tǒng)的 STP 需要大約 50 秒）。由于傳統(tǒng)的生成樹協(xié)議與 VLAN沒有任何聯(lián)系，因此在特定網(wǎng)絡(luò)拓樸下就會(huì)產(chǎn)生以下問題： 如下圖 所示，交換機(jī) A、B 在 vlan1 內(nèi)，交換機(jī) C、D 在 vlan2 內(nèi)，然后連成環(huán)路。在網(wǎng)絡(luò)末梢，連接到單個(gè)工作站的時(shí)候，是不可能形成橋接環(huán)路的。 基于 RSTP 的交換機(jī)高級(jí)特性 UPLINKFAST 在網(wǎng)絡(luò)中的應(yīng)用。在使用 UPLINKFAST之后，使的具有冗余上行連接的交換機(jī)具有根端口失效時(shí)，另一個(gè)阻塞的上行連接能夠立即使用，這個(gè)時(shí)間大大縮小到 15S 之間，在校園網(wǎng)的特殊環(huán)境之 下，能大大增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性，加快網(wǎng)絡(luò)收斂。應(yīng)用 NAT 進(jìn)行地址轉(zhuǎn)換。比如我們可以把網(wǎng)絡(luò)內(nèi)部使用的IP 翻 譯成外部公網(wǎng)的 IP?；诓呗缘穆酚蛇x擇命令對(duì)中選的路由實(shí)現(xiàn)策略。然而，靜態(tài)路由根據(jù)目標(biāo)網(wǎng)絡(luò)地址來轉(zhuǎn)換分組，而策略路由根據(jù)源地址來轉(zhuǎn)發(fā)分組。這樣可以指定范圍更廣泛，更細(xì)致的條件，并根據(jù)這些條件來決定下一路由器。我們通過這些設(shè)置來滿足實(shí)際網(wǎng)絡(luò)的靈活需求，從而達(dá)到設(shè)置網(wǎng)絡(luò)安全策略，防止網(wǎng)絡(luò)中的敏感設(shè)備受到非授權(quán)訪問的情況。而擴(kuò)展訪問列表則可以提供更細(xì)的決定，它可以具體到端口，從而 精確到某一個(gè)服務(wù)，比如對(duì) WEB,FTP 的訪問等，給我們網(wǎng)絡(luò)的策略提供了更細(xì) 的控制手段。標(biāo)準(zhǔn)訪問控制列表一般放在靠近目標(biāo)的路由器上,而擴(kuò)展訪問控制列表一般放于近源端的路由器上。鏈路聚合技術(shù)可以實(shí)現(xiàn)不同端口的負(fù)載均衡，同時(shí)也能夠互為備份，保證鏈路的冗余性。鏈路聚合一般是不允許跨芯片設(shè)置的。在一個(gè)網(wǎng)絡(luò)中設(shè)置冗余鏈路，并用生成樹協(xié)議讓備份鏈路阻塞，在邏輯上不形成環(huán)路。 VLAN (虛擬局域網(wǎng))VLAN 虛擬局域網(wǎng)是一種在二層設(shè)備上隔離和劃分廣播域的技術(shù)，通過這種 劃分，我們可以把物理位置上分離的網(wǎng)絡(luò)設(shè)備在邏輯上劃為同一個(gè)廣播域，或者 把物理位置上鄰近的網(wǎng)絡(luò)設(shè)備劃為不同的廣播域，從而更方便我們管理和做一個(gè) 邏輯層次的劃分。動(dòng)態(tài) VLAN 則更靈活，它可以根據(jù)接入計(jì)算機(jī)的 IP 地址， MAC 地址，甚至是用戶的登陸賬號(hào)做出相應(yīng)的處理，把計(jì)算機(jī)劃分進(jìn)相應(yīng)的 VLAN 中，這樣就為我們實(shí)際的網(wǎng)絡(luò)管理帶來了比較大的方便性和靈活性。 WLAN 無線局域網(wǎng)無線局域網(wǎng)有 4 大特點(diǎn)： 移動(dòng)性：不受時(shí)間限制，空間限制，用戶可以在網(wǎng)絡(luò)中漫游； 靈活性：不受線纜的限制，可以隨意增加和配置工作站； 低成本：無線網(wǎng)絡(luò)不再需要大量的工程布線，同時(shí)節(jié)省了線路的維護(hù)費(fèi)用； 易安裝：對(duì)于有線網(wǎng)絡(luò)來說，無線網(wǎng)絡(luò)的組建、配置和維護(hù)更為容易。五、 網(wǎng)絡(luò)安全及管理機(jī)制 完善的安全機(jī)制企業(yè)樓宇交換機(jī)通過內(nèi)在的多種安全機(jī)制可有效防止和控制病毒傳播和網(wǎng)絡(luò)流量攻擊， 控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如端口安全、端口隔離、ACL、端口 ARP 報(bào)文合法性檢查、基于數(shù)據(jù)流的帶寬限速、六元素綁定等等， 滿足企業(yè)網(wǎng)加強(qiáng)對(duì)訪問者進(jìn)行控制、限制非授權(quán)用戶通信的需求；在匯聚、核心交 換設(shè)備設(shè)置由硬件實(shí)現(xiàn) ACL，對(duì)病毒進(jìn)行過濾，我們選用的匯聚、 核心交換設(shè)備都支持SPOH，所以在使用ACL 時(shí)將不會(huì)影響整個(gè)交換機(jī)的性能。2． 通過 Private VLAN 可以在交換機(jī)的同一 VLAN 中提供端口之間的通訊 或安全隔離，確保數(shù)據(jù)流進(jìn)入有效端口，而不會(huì)被發(fā)送到其它端口，即解決了因 傳統(tǒng) 造成 全網(wǎng) VID 資源不夠的問題，同時(shí)又無需利用安全規(guī)則 資源即能達(dá)到隔離不同用戶以及不同 組用戶之間通訊的功能，充分保護(hù)用戶隱私。4．支持業(yè)界特有的 IGMP 源端口檢查，有效杜絕非法組播源播放和大量占用大量網(wǎng)絡(luò)帶 寬，提高網(wǎng)絡(luò)安全性。6．基于源 IP 地址控制的 Telnet 和 Web 設(shè)備訪問控制，增強(qiáng)了設(shè)備網(wǎng)管 的安全性，避免黑客惡意攻擊和控制設(shè)備。8．可靈活控制 27 層數(shù)據(jù)報(bào)文，使得任何一個(gè)用戶 PC 上的任何一種應(yīng)用報(bào)文通過網(wǎng)絡(luò)都能得到有效控制，充分保障了網(wǎng)絡(luò)的安全和合理化使用。隨著蠕蟲病毒等的攻擊手段呈多元化發(fā)展，單一的防護(hù)措施已經(jīng)無能為力保 衛(wèi)校園網(wǎng)絡(luò)安全。然而，此時(shí)受感染的用戶可能已經(jīng)通過網(wǎng)絡(luò)散播到了校園 網(wǎng)絡(luò)的各個(gè)角落。對(duì)此，如果僅僅 倚靠被動(dòng)的監(jiān)測方式，就給事后追查“嫌疑人”的網(wǎng) 管人員制造了難以逾越的瓶頸。隧道起一個(gè)提供邏輯上點(diǎn)對(duì)點(diǎn)連接的作用，從隧 道的一端到另外一端支持?jǐn)?shù)據(jù)身份驗(yàn)證和加密。就無法查看包的內(nèi)容。 在第三層上創(chuàng)建的隧道是基于 IP 的虛擬連接，這些連接通過收發(fā) IP 數(shù)據(jù)包實(shí)現(xiàn)， 這個(gè)抱被封裝在由 IETF（Internet Engineering Task Force）指定的協(xié)議包裝之內(nèi)。 數(shù)據(jù)加密使用的加密數(shù)據(jù)協(xié)議有MPPE,IPSEC,VPND,SSHH IP SEC 可以與 L2TP 一 起使用，這個(gè)時(shí)候 L2TP 建立隧道，IPSEC 加密數(shù)據(jù)，這種形式下 IP SEC 運(yùn)行于傳輸模式。核心層主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,骨干層設(shè)計(jì)的重點(diǎn)是冗余能力、可靠性和高速的傳輸。據(jù)此，考慮匯聚層對(duì) QOS 有良好的支持并且能提供大的帶寬。在接入層面，通過定義相應(yīng)的訪問策略，實(shí)現(xiàn)訪問控制，內(nèi)外隔離。再是由于系統(tǒng)選擇的是最成熟與標(biāo)準(zhǔn)的快速以太網(wǎng)技術(shù)，把網(wǎng)絡(luò)已構(gòu)筑了高速和堅(jiān)固的信息高速公路，面對(duì)未來的發(fā)展將處于非常有利的