【正文】 ）地址，計(jì)算機(jī)在連入網(wǎng)絡(luò)之后，就是依靠這個(gè) ID 號(hào)才能實(shí)現(xiàn)在不同計(jì)算機(jī)之間的通信和信息交換。如根據(jù)帶寬來(lái)分的話，有 10Mbit/s 網(wǎng)卡、 10/100Mit/s 自適應(yīng)網(wǎng)卡和 1000Mbit/s 網(wǎng)卡；如按總線分，有 ISA 總線、 PCI 總線、 PCMCIA 總線網(wǎng)卡等。 17 交換機(jī) 交換機(jī)，也稱交換式集線器，是 使各計(jì)算機(jī)能夠相互高速通信的獨(dú)享帶寬的網(wǎng)絡(luò)設(shè)備。由交換機(jī)構(gòu)建的交換式網(wǎng)絡(luò)系統(tǒng)不僅擁有高速的傳輸速 率，而且交換延時(shí)很小，使得信息的傳輸效率大大提高，適合于大數(shù)據(jù)量并且使用非常頻繁的網(wǎng)絡(luò)通信，被廣泛應(yīng)用于各種類型的多媒體和數(shù)據(jù)傳輸網(wǎng)絡(luò)。 路由器 路由器除了有連接不同的網(wǎng)絡(luò)物理分支和不同的通信媒介、過(guò)濾和隔離網(wǎng)絡(luò)數(shù)據(jù)流及建立路由表，還有控制和管理復(fù)雜的路徑、控制流量、分組分段、防止網(wǎng)絡(luò)風(fēng)暴及在網(wǎng)絡(luò)分支之間提供安全屏障層等到功能。根據(jù)路由表的 設(shè)置方式可以將路由器分為靜態(tài)的和動(dòng)態(tài)的。當(dāng)數(shù)據(jù)幀到達(dá)路由器后，路由器查看數(shù)據(jù)幀的目標(biāo)地址，并在路由表查看到達(dá)目標(biāo)地址的路徑，根據(jù)路徑的代價(jià)，選擇一條最佳的路徑，然后把數(shù)據(jù)幀沿這條路徑發(fā)送給目標(biāo)地址。常用的有線介質(zhì)主要有以下幾類 ： 同軸電纜 可分為基帶同軸電纜和寬帶同軸電纜（即網(wǎng)絡(luò)同軸電纜和視頻同軸電纜）。基帶電纜又分細(xì)同軸電纜和粗同軸電纜。 同軸電纜是由中心導(dǎo)體、絕緣材料層、網(wǎng)狀織物構(gòu)成的屏蔽層以及外部隔離材料層組成。雙絞線由兩根具有絕緣保護(hù)層的銅導(dǎo)線組成。雙絞線過(guò)去主要是用來(lái)傳輸模擬信號(hào)的，但現(xiàn)在同樣適用于 數(shù)字信號(hào) 的傳輸。 目前，雙絞線可分為非屏蔽雙絞線和屏蔽雙絞線 。 光纖分為：傳輸點(diǎn)模數(shù)類分單模光纖 (Single Mode Fiber)和多模光纖 (Multi Mode Fiber)。多模光纖是在給定的工作波長(zhǎng)上，能以多個(gè)模式同時(shí)傳輸?shù)墓饫w， 與單模光纖相比，多模光纖的傳輸性能較差。 故而本方案把 WEB 服務(wù)器和 Email服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器和 FTP 服務(wù)器兼做使用。原因很簡(jiǎn)單， NAT 不僅完美地解決了 lP 地址不足的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。 系統(tǒng)將外出的源地址和源 端口映射為一個(gè)偽裝的地址和端口 ， 讓這個(gè)偽裝的地址和端口通過(guò)非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接 ,這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址 。 OLM 防火墻 根據(jù)預(yù)先定義好的映射規(guī)則來(lái)判斷這個(gè)訪問(wèn)是否安全 。 當(dāng)不符合規(guī)則時(shí) ，防火墻認(rèn)為該訪問(wèn)是不安全的 ， 不能被接受 ， 防火墻將屏蔽外部的連接請(qǐng)求 。 第 三 章、局域網(wǎng)規(guī)劃設(shè)計(jì)方案 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)選擇 現(xiàn)在應(yīng)用最廣泛的拓?fù)浣Y(jié)構(gòu)有總線型、環(huán)型和星型拓?fù)淙N。 總線型結(jié)構(gòu)： 文件服務(wù)器和所有工作站都連在一條公共的電纜上，各節(jié)點(diǎn)發(fā)出的信息包都帶有目的地址在網(wǎng)絡(luò)中傳輸。 它的優(yōu)點(diǎn)是連接簡(jiǎn)單 ,易布線 ,不用中斷設(shè)備 ,成本較低 ,是最常用的局域網(wǎng)拓補(bǔ)結(jié)構(gòu)之一。采用總線拓補(bǔ)結(jié)構(gòu)的網(wǎng)絡(luò)有 10Base2 以太網(wǎng) ,10Base5 以太網(wǎng) ,以及 ARC 網(wǎng)。星型結(jié)構(gòu)是目前在局域網(wǎng)中應(yīng)用得最為普遍的一種，在企業(yè)網(wǎng)絡(luò)中幾乎都是采用這一方式。 這類網(wǎng)絡(luò)目前用的最多的傳輸介質(zhì)是雙絞線，如常見(jiàn)的五類線、超五類雙絞線等。 采用星型結(jié)構(gòu)的網(wǎng)絡(luò)有 10BaseT 以太網(wǎng) ,100BaseT 以太網(wǎng) ,令牌環(huán)網(wǎng) ,FDDI 網(wǎng)絡(luò) CDDI 網(wǎng)絡(luò) ,ATM 網(wǎng)。是單向的鏈路 ,只能在一個(gè)方向傳輸數(shù)據(jù) ,而且所有鏈路都是按同一個(gè)方向。這種結(jié)構(gòu)的特點(diǎn)是：連接費(fèi)用較低 ,比較適合家庭等小型網(wǎng)絡(luò)的連接；每臺(tái)微機(jī)都相同于一個(gè)中斷器；要新增用戶比較困難；網(wǎng)絡(luò)的可靠性差 ,不易管理 。令牌環(huán)網(wǎng) ,FDDI 網(wǎng)絡(luò) 、 CDDI網(wǎng)絡(luò)。該企業(yè)占有一幢大廈，共有 11 個(gè)部門(mén)，每個(gè)部門(mén)不會(huì)超過(guò) 255 臺(tái)工作站，分別是財(cái)務(wù)部、 人事 部、行政 部、 企管 部、 商務(wù)部、 采購(gòu)部、生產(chǎn)部、 客服中心、研發(fā)中心、 營(yíng)銷中心 、測(cè)試中心， 為了實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，在本設(shè)計(jì)方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即 Cisco 公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。在本企業(yè)網(wǎng)設(shè)計(jì)中，整個(gè)企業(yè)網(wǎng)的 VLAN 及 IP 編址方案如下表所示： 在下面我們需要注意的是： 這樣的 IP 地址是私有 IP 地址，它不能在公共網(wǎng)絡(luò)中使用，但是為什么我們要這樣做呢？因?yàn)? 22 針對(duì)當(dāng)前現(xiàn)狀， IP 地址緊缺，我們不可能也不應(yīng)該為每一臺(tái)工作站申請(qǐng)一個(gè)公有 IP 地址，這樣不僅可以緩解 IP 地址不足的情況，而且也可以為企業(yè)建設(shè)一個(gè)企業(yè)網(wǎng)節(jié)約不少的開(kāi)支，那這樣且不是不能夠訪問(wèn) INTERNET。 網(wǎng)絡(luò)設(shè)備選型 核心層網(wǎng)絡(luò) 采用 Cisco WSC6509E 分布 網(wǎng)絡(luò) 采用 Cisco WSC355024G（配置 1000M 光電模塊） Cisco Catalyst 3550 系列智 能以太網(wǎng)交換機(jī) 是一個(gè)可堆疊多層交換機(jī)系列，可通過(guò)高可用性、服務(wù)質(zhì)量（ QoS）和安全性來(lái)改進(jìn)網(wǎng)絡(luò)運(yùn)行。 接入層網(wǎng)絡(luò) 采用 Cisco WSC2950G48EI（配置 1000M 光 電模塊） 23 Cisco Catalyst 2950 系列智能 以太網(wǎng)交換機(jī) 是一個(gè)固定配置、可堆疊的獨(dú)立設(shè)備系列，提供了線速快速以太網(wǎng)和千兆位以太網(wǎng)連接。作為思科最為廉價(jià)的交換產(chǎn)品系列， Cisco Catalyst 2950 系列在網(wǎng)絡(luò)或城域接入邊緣實(shí)現(xiàn)了智能服務(wù)。 服務(wù)器采 用 UPS 不間斷電源 可以保護(hù)服務(wù)器免受斷電的困擾，達(dá)到服務(wù)器 7*24 不間斷工作。為了保障網(wǎng)絡(luò)系統(tǒng)的運(yùn)行安全，保護(hù)公司的信息安全， 必須進(jìn)行網(wǎng)絡(luò)安全方面的規(guī)劃和實(shí)施。建議公司制定嚴(yán)格的網(wǎng)絡(luò)安全管理策略，并有效的執(zhí)行。 技術(shù)和管理手段相結(jié)合 實(shí)施，才能夠產(chǎn)生良好的效果。提高設(shè)備的物理安全性， 是最基本的要求。 24 （ 2） 配置設(shè)備的口令 配置設(shè)備的口令，是防止非授權(quán)的人員更改網(wǎng)絡(luò)系統(tǒng)的配置的重要手段。要為每一臺(tái)設(shè)備配置 Console 口令， AUX 口令(?)， VTY 口令，特權(quán)口令等 在口令方面，需要制定管理制度并嚴(yán)格執(zhí)行。 (3) 進(jìn)行 VTP 域的認(rèn)證 進(jìn)行 VTP 域的認(rèn)證，能夠保 證局域網(wǎng)的 VLAN 等的安全。新交換機(jī)不能自動(dòng)加入到已存在的管理域中。 （ 4） 企業(yè)內(nèi)部 用戶的接入控制 因?yàn)橐话愕陌踩胧┒疾皇轻槍?duì)網(wǎng)絡(luò) 內(nèi)部 的用戶的，嚴(yán)格控制用戶的接入，可以避免非法用戶接入帶來(lái)的潛在的安全隱患。只有用戶使用申請(qǐng)通過(guò)批準(zhǔn)之后網(wǎng)絡(luò)管理員才能將端口激活。 （ 6） 因特網(wǎng)的接入安全控制 因特網(wǎng)的接入安全控制是非常重要的，不僅需要布置 防火墻 等安全設(shè)備，還要指定 嚴(yán)格的安全策略 。每一臺(tái)都連接所有的 匯聚層交換機(jī) ， 但相互之間并不連接（提高網(wǎng)絡(luò)的故障收斂速度）。網(wǎng)絡(luò)的可靠性由匯聚層的路由協(xié)議提供保證。 冗余電源 Cisco6509 系列以太網(wǎng) 交換機(jī) 提供了 RPS 電源備份接口，可以對(duì)設(shè)備提供一 25 對(duì)一的電源備份和保護(hù)，也可以 以一路直流電源對(duì)多臺(tái)支持 RPS 接口的設(shè)備進(jìn)行備份和保護(hù) 。 生成樹(shù)協(xié)議 主要用來(lái)建立和維護(hù)局域網(wǎng)的拓?fù)?，消除循環(huán)連接導(dǎo)致的網(wǎng)絡(luò)廣播風(fēng)暴，并且提供 網(wǎng)絡(luò)的拓?fù)涞娜哂鄠浞莨δ?，平時(shí)作為備份的路徑被阻塞，當(dāng)主用路徑網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時(shí)，能夠及時(shí)調(diào)整端口狀態(tài)，調(diào)整網(wǎng)絡(luò)拓?fù)洹? 除了支持傳統(tǒng)的生成樹(shù)協(xié)議外， Cisco6509 系列以太網(wǎng)交換機(jī)還支持 IEEE 快速生成樹(shù)協(xié)議 (RSTP)，以及 多生成樹(shù)協(xié)議 （ MSTP）。傳統(tǒng)生成樹(shù)倒換時(shí)間為 42s，從發(fā)現(xiàn)鏈路斷裂、數(shù)據(jù)中斷到數(shù)據(jù)恢復(fù) 至少需要三十多秒的時(shí)間，而快速生成樹(shù)協(xié)議 只需 6～ 8 秒的時(shí)間 就可以將數(shù)據(jù)流切換到備份鏈路上。網(wǎng)絡(luò)管理員只要為 VLAN 分配獨(dú)立的生成樹(shù)拓?fù)?， 就可以確保兩個(gè) VLAN 都能在網(wǎng)上順暢傳輸。 Cisco6509 系列以太網(wǎng)交換機(jī)最大可以支持 17 個(gè)或者 33 個(gè) STP 實(shí)例。這樣在生成樹(shù)協(xié)議（ STP）和其 他二層協(xié)議上看，作了鏈路聚合的所有物理端口被視為同一個(gè)端口。 26 在實(shí)際應(yīng)用中， 進(jìn)行聚合處理的端口等同于一個(gè)端口 ，任何轉(zhuǎn)發(fā)到聚合的端口上的報(bào)文會(huì)通過(guò)對(duì)源、目的地址的邏輯運(yùn)算來(lái)分布到聚合的不同端口上。 Cisco6509 系 列以太網(wǎng)交換機(jī)系統(tǒng)在二層和三層對(duì)硬件查表 未命中的新地址進(jìn)行監(jiān)控 （？） 。 HSRP HSRP 是 CISCO 公司是所特有的， HSRP 向主機(jī)提供了缺省網(wǎng)關(guān)的冗余性，減少了主機(jī)維護(hù)路由表的任務(wù)。通過(guò)使用 熱備份路由份協(xié)議 （ HSRP），可使網(wǎng)絡(luò)對(duì)最終用戶的可用性得到充分的保證。 公司 網(wǎng) 絡(luò) 的 IP 地址規(guī)范中規(guī)定 ：網(wǎng)關(guān)的地址統(tǒng)一使用子網(wǎng)的最后一個(gè)可用地址。 在成對(duì)的兩臺(tái)匯聚層多層交換機(jī)上，具體的 HSRP 配置規(guī)范如下： 1． 接口的 IP 地址 ：在第一臺(tái)多層交換機(jī)上，某個(gè) VLAN 虛擬接口的 IP地址是 子網(wǎng)的最后第三個(gè)可用地址 ，在第二臺(tái)多層交換機(jī)上，某個(gè) VLAN 虛擬接口的 IP 地址是 子網(wǎng)的最后第二個(gè)可用地址 。 3． 熱備份地址 ：熱備份地址是子網(wǎng)的 最后一個(gè)可用地址 。并且主用的匯聚層交換機(jī)配置占先權(quán)。 等價(jià)路由即為 到達(dá)同 一個(gè)目的 IP 或者目的網(wǎng)段存在多條 Cost 值相等的不同路由路徑 ，當(dāng)設(shè)備支持等價(jià)路由時(shí)，發(fā)往該目的 IP或者目的網(wǎng)段的三層轉(zhuǎn)發(fā)流量就可以通過(guò)不同的路徑 分擔(dān) ， 實(shí)現(xiàn)網(wǎng)絡(luò)的負(fù)載均衡 ，并在其中某些路徑出現(xiàn)故障時(shí)，由其它路徑代替完成轉(zhuǎn)發(fā)處理，實(shí)現(xiàn) 路由冗余備份功能 。以前部分路由交換機(jī)雖然也宣稱支持等價(jià)路由，但實(shí)際上只是從軟件上支持，對(duì)軟件轉(zhuǎn)發(fā)的報(bào)文可以使用等價(jià)路由，但對(duì)于由硬件直接轉(zhuǎn)發(fā)的報(bào)文，則只能從一條固定 路徑轉(zhuǎn)發(fā)。 Cisco6509系列以太網(wǎng)路由交換機(jī) 最大支持 4條等價(jià)路由 ，并且不論 RIP、 OSPF等路由協(xié)議產(chǎn)生的路由，還是靜態(tài)配置路由，不論是 網(wǎng)段路由 還是 主機(jī)路由 ，甚至缺省路由，都可以支持等價(jià)路由。通過(guò)數(shù)據(jù)流的目的 IP地址和源 IP地址進(jìn)行計(jì)算，Cisco6509 系列以 太網(wǎng)路由交換機(jī)可以保證同一個(gè) IP 轉(zhuǎn)發(fā)流都從同一個(gè)路由路徑被轉(zhuǎn)發(fā)出去，從而保證了整個(gè)端到端網(wǎng)絡(luò)的路由報(bào)文轉(zhuǎn)發(fā)的有序性，避免了TCP 全局同步等問(wèn)題的發(fā)生。 策略路由（ PolicyBased Routing，簡(jiǎn)稱 PBR）是目前越來(lái)越多的路由器或三層交換機(jī)設(shè)備正在支持的一項(xiàng)路由擴(kuò)展功能，支持策略路由的設(shè)備不僅能以報(bào)文的目的 IP地址為依據(jù)來(lái)進(jìn)行路由選擇，還可以以報(bào)文的源 IP 地址、源 MAC 地址、報(bào)文大小、報(bào)文進(jìn)入的 端口、報(bào)文類型、報(bào)文的 VLAN 屬性等等其它擴(kuò)展條件來(lái)選擇路由。策略路由是 設(shè)置在接收?qǐng)?bào)文接口 而不是 28 發(fā)送接口。 VPN Cisco6509 系列以太網(wǎng)路由交換機(jī)支持 VPN,VPN（虛擬專網(wǎng)）是利用公共 網(wǎng)絡(luò)資源 (如公用電信網(wǎng) )為客戶組建專用網(wǎng)的一種技術(shù)，它通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行封包和加密傳輸，在公網(wǎng)上傳輸私有數(shù)據(jù)，達(dá)到私有網(wǎng)絡(luò)的安全級(jí)別，從而利用公網(wǎng)構(gòu)筑專網(wǎng)（即 VPN）。 總 結(jié) 需要說(shuō)明的是，一個(gè)完整的企業(yè)網(wǎng)網(wǎng)絡(luò)系統(tǒng)不僅只包含上述的設(shè)備或系統(tǒng)，還包括像入侵檢測(cè)系統(tǒng)等其它的系統(tǒng)組成部分。由于企業(yè)網(wǎng)功能齊全，技術(shù)含量高，接觸面廣，在網(wǎng)絡(luò)設(shè)計(jì)、規(guī)劃和建設(shè)中都非常復(fù)雜，在論述中不可能面面具到， 同時(shí)也由于本人的知識(shí)水平有限，文中的不足和錯(cuò)誤在所難免，敬請(qǐng)各位老師多多指點(diǎn)和更正。 《 路由器配置與管理完全手冊(cè) , Cisco 篇 》 王達(dá)編著，華中科技大學(xué)出版社， 。 《網(wǎng)絡(luò)設(shè)備配置與管理》甘剛主編，清華大學(xué)出版社 。 30 評(píng) 語(yǔ)： (本表由指導(dǎo)老師在畢業(yè)答辯進(jìn)行之前，根據(jù)該生進(jìn)行畢業(yè)設(shè)計(jì) (論文 )情況及畢業(yè)設(shè)計(jì)說(shuō)明書(shū) (論文 )撰寫(xiě)內(nèi)容等填寫(xiě)優(yōu)秀、良好、中等、及格、不及格相應(yīng)等次的評(píng)語(yǔ)。 ) 評(píng) 語(yǔ)： 批閱評(píng)委 ______________（簽字） 答辯委員會(huì)主任 _______________（簽字） ____年 ___月 ___日