計算機網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計--網(wǎng)絡(luò)設(shè)計與規(guī)劃

1、<p>　　編號 </p><p><b>　　****學(xué)院</b></p><p><b>　　畢業(yè)論文</b></p><p><b>　　二〇一五年十月</b></p><p>　題 目**科技網(wǎng)絡(luò)設(shè)計與規(guī)劃</p><p

2、><b>　　摘 要</b></p><p>　　信息化爆炸式發(fā)展的今天，以計算機網(wǎng)絡(luò)迅猛發(fā)展而形成的網(wǎng)絡(luò)化是推動信息化、數(shù)字化和全球化的綜合信息系統(tǒng)，基于計算機網(wǎng)絡(luò)的各種網(wǎng)絡(luò)應(yīng)用系統(tǒng)通過在網(wǎng)絡(luò)中對數(shù)字信息的綜合采集、存儲、傳輸、處理和利用而在全球范圍把人類社會更緊密地聯(lián)系起來，并以不可抗拒之勢影響和沖擊著人類社會政治、經(jīng)濟、和日常工作、生活的各個方面。企業(yè)局域網(wǎng)建設(shè)的應(yīng)用也越來越多

3、，因此企業(yè)局域網(wǎng)也越來越被重視，成為企業(yè)核心競爭力的關(guān)鍵因素。利用網(wǎng)絡(luò)技術(shù)，現(xiàn)代企業(yè)可以在供應(yīng)商、客戶、合作伙伴、員工之間實現(xiàn)優(yōu)化的信息溝通，這直接關(guān)系到企業(yè)能否獲得關(guān)鍵的競爭優(yōu)勢。近年來越來越多的企業(yè)都在加快構(gòu)建自身的信息網(wǎng)絡(luò)，而其中絕大多數(shù)都是中小企業(yè)，加上很多移動終端的使用，使得網(wǎng)絡(luò)多元化，更智能。</p><p>　　本次論文，主要深入研究分析了企業(yè)局域網(wǎng)的構(gòu)建及其相關(guān)安全管理技術(shù)措施，探索了局域網(wǎng)在企業(yè)

4、網(wǎng)絡(luò)中基本應(yīng)用，運用多種網(wǎng)絡(luò)常用技術(shù)使網(wǎng)絡(luò)更加安全、可靠、實用。結(jié)合志誠科技有限公司企業(yè)網(wǎng)構(gòu)建的實際需求，構(gòu)建了一個實用、安全的企業(yè)局域網(wǎng)的解決方案。本方案針對中小企業(yè)的局域網(wǎng)建設(shè)，為企業(yè)信息平臺的建設(shè)提供一個行之有效的方案。</p><p>　　關(guān)鍵詞：企業(yè)網(wǎng) 端口聚合 訪問控制 VLAN 網(wǎng)絡(luò)安全</p><p><b>　　Abstract</b><

5、;/p><p>　　The explosive growth of information technology today, the network and the rapid development of computer network is to promote the formation of information technology, digitization and globalization of

6、 integrated information system, a variety of network-based applications through the computer network of integrated digital information network collection, storage, transmission, processing and utilization of the human so

7、ciety on a global scale more closely together, and with irresistible trend influ</p><p>　　This paper mainly depth research and analysis of the Construction and related measures for security management techno

8、logy enterprise LAN, explore the basic LAN application in enterprise networks, using a variety of common network technology makes the network more secure, reliable, and practical. Combined with the actual needs of the en

9、terprise network to build Zhicheng Technology Co., Ltd. to construct a practical, secure enterprise LAN solutions. The program for the construction of small and me</p><p>　　Keywords: Enterprise Network Port

10、 Aggregation Access control VLAN Cyber Security</p><p><b>　　目 錄</b></p><p><b>　　摘 要I</b></p><p>　　AbstractII</p><p>　　第一章 系統(tǒng)設(shè)計需求與分析1<

11、/p><p>　　1.1志誠科技網(wǎng)絡(luò)建設(shè)背景1</p><p>　　1.2志誠科技網(wǎng)絡(luò)基本需求1</p><p>　　1.3志誠科技網(wǎng)絡(luò)安全需求2</p><p>　　第二章 企業(yè)網(wǎng)絡(luò)總體設(shè)計方案3</p><p>　　2.1網(wǎng)絡(luò)設(shè)計原則3</p><p>　　2.2網(wǎng)絡(luò)建設(shè)目標(biāo)4<

12、;/p><p>　　2.3志誠科技網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖5</p><p>　　2.4志誠科技網(wǎng)絡(luò)地址規(guī)劃6</p><p>　　第三章 企業(yè)網(wǎng)絡(luò)設(shè)備選型7</p><p>　　3.1出口設(shè)備選型7</p><p>　　3.2核心設(shè)備選型9</p><p>　　3.3匯聚設(shè)備選型12</p

13、><p>　　3.4接入設(shè)備選型16</p><p>　　3.5無線接入點設(shè)備選型19</p><p>　　第四章 網(wǎng)絡(luò)技術(shù)應(yīng)用與配置23</p><p>　　4.1虛擬局域網(wǎng)技術(shù)23</p><p>　　4.2端口聚合技術(shù)24</p><p>　　4.3生成樹技術(shù)24</p>

14、;<p>　　4.4 OSPF路由協(xié)議24</p><p>　　4.5 VRRP+MSTP技術(shù)25</p><p>　　4.6訪問控制技術(shù)26</p><p>　　第五章 總結(jié)與展望29</p><p>　　5.1論文總結(jié)29</p><p>　　5.2展望未來29</p>&l

15、t;p><b>　　致 謝30</b></p><p><b>　　參考文獻(xiàn)31</b></p><p>　　第一章 系統(tǒng)設(shè)計需求與分析</p><p>　　1.1志誠科技網(wǎng)絡(luò)建設(shè)背景</p><p>　　志誠科技有限公司是一家成立不久的公司，該公司有所有員工在同一棟樓里，該樓四層，一層

16、樓中包括財務(wù)部和倉庫，二樓和三樓為辦公層，核機房在三樓，四樓為老板和主任辦公室，還有兩個會議室。</p><p>　　1.2志誠科技網(wǎng)絡(luò)基本需求</p><p>　　滿足志誠科技公司高速的要求,主干網(wǎng)負(fù)責(zé)各個子網(wǎng)和應(yīng)用服務(wù)的連接，為信息交換提供有效的高速通道。系統(tǒng)主干采用萬兆以太網(wǎng)1000M交換，下屬子網(wǎng)采用千兆以太網(wǎng)，網(wǎng)絡(luò)協(xié)議采用TCP/IP協(xié)議，整個網(wǎng)絡(luò)應(yīng)考慮語音、視頻、數(shù)據(jù)等的綜合應(yīng)

17、用。交換機要求采用主流、成熟、信譽和售后服務(wù)均佳的產(chǎn)品，核心交換機采用三層交換機，支持VLAN等功能，能較好解決突發(fā)數(shù)據(jù)量和密集服務(wù)請求的實時響應(yīng)問題，在內(nèi)部用戶終端進行視頻信號、數(shù)據(jù)交換時交換引擎不會出現(xiàn)過載現(xiàn)象和數(shù)據(jù)包碰撞、丟失的現(xiàn)象，還要考慮預(yù)防瓶頸出現(xiàn)和補救的相應(yīng)措施。下屬單位接入交換機可采用相對低一檔的產(chǎn)品；本系統(tǒng)處理的信息包括數(shù)據(jù)、語音和圖像等，因此要考慮實時性問題，特別要考慮包括視頻會議在內(nèi)的信息共享等方面的實時性要求。；

18、UPS電源的配備，配置要保證網(wǎng)絡(luò)中所有的服務(wù)器、交換機、路由器、集線器等設(shè)備的連續(xù)、正常地運轉(zhuǎn)；網(wǎng)絡(luò)帶寬的分配：應(yīng)根據(jù)所屬單位網(wǎng)絡(luò)的信息流量情況合理分配網(wǎng)段，以充分利用網(wǎng)絡(luò)帶寬，提高網(wǎng)絡(luò)的運行效率。網(wǎng)絡(luò)需要需要具有多主機跨平臺主機連接能力,數(shù)據(jù)集中存放、集中管理、數(shù)據(jù)有效共享、存儲空間共享、統(tǒng)一安全備份，可實現(xiàn)無人值守、自動實施備份</p><p>　　滿足用戶使用網(wǎng)絡(luò)系統(tǒng)的運行質(zhì)量，提高網(wǎng)絡(luò)運行速度；要求采用千

19、兆以太網(wǎng)作為主干的網(wǎng)絡(luò)技術(shù)，提供標(biāo)準(zhǔn)化的高速度主干網(wǎng)連接，并在未來可以升級到IP，可以在同一個網(wǎng)絡(luò)中支持多種服務(wù)質(zhì)量，以支持目前和未來的應(yīng)用和服務(wù)為標(biāo)準(zhǔn)。允許網(wǎng)絡(luò)集成，使用三層交換來代替路由，能實現(xiàn)與廣域網(wǎng)的集成功能；網(wǎng)絡(luò)中使用的設(shè)備、技術(shù)和協(xié)議完全符合國際通用的標(biāo)準(zhǔn)，兼容現(xiàn)有的網(wǎng)絡(luò)環(huán)境，提供良好的互聯(lián)性；要求網(wǎng)絡(luò)提供足夠的帶寬，豐富的接口形式，滿足用戶對應(yīng)用帶寬的基本要求，并保留一定的余量供擴展使用，最大可能地降低網(wǎng)絡(luò)傳輸延遲；要求網(wǎng)

20、絡(luò)有很高的可靠性、穩(wěn)定性及冗余，網(wǎng)絡(luò)能夠提供良好的安全性策略，能避免內(nèi)部操作失誤造成的損害和來自外部的惡意攻擊。</p><p>　　1.3志誠科技網(wǎng)絡(luò)安全需求</p><p>　　（1）硬件平臺安全性：當(dāng)計算機的元器件突然發(fā)生故障，或計算機系統(tǒng)工作環(huán)境設(shè)備突然發(fā)生故障時，計算機系統(tǒng)能繼續(xù)工作或迅速恢復(fù)。</p><p>　?。?）網(wǎng)絡(luò)通迅系統(tǒng)安全性：網(wǎng)絡(luò)的安全性主

21、要包括采取以下安全措施：認(rèn)證措施，包括網(wǎng)點認(rèn)證和人員認(rèn)證；數(shù)據(jù)保密措施如傳輸加密；存取控制措施如防止非法操作。</p><p>　?。?）操作系統(tǒng)安全性：操作系統(tǒng)安全性要達(dá)到C2級，即通過注冊、安全事件審計、資源隔離等方式使用戶的行為具有個體可查性，實施存取限制，保護數(shù)據(jù)防止被別的用戶讀取或破壞。</p><p>　　（4）數(shù)據(jù)庫安全性：數(shù)據(jù)庫要有以下安全機制：磁盤鏡像、數(shù)據(jù)備份、恢復(fù)機制

22、、事務(wù)日志、內(nèi)部一致性檢查、鎖機制以及審計機制等安全保障體制，確保數(shù)據(jù)庫的安全。</p><p>　　（5）認(rèn)同用戶和鑒別，確認(rèn)用戶的真實身份，防止非法用戶進入系統(tǒng)。</p><p>　　（6）采用殺毒軟件，或在對網(wǎng)絡(luò)服務(wù)器中的文件頻率的掃描和監(jiān)測，也可以在工作站上用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限。</p><p>　?。?）采用了路由器帶防火墻模塊里面集

23、成內(nèi)容過濾、郵件過濾，為了防止非法信息、惡意腳本及垃圾郵件；集成防范拒絕服務(wù)網(wǎng)關(guān)，提供攻擊檢測及攻擊抵御。</p><p>　?。?）安全性內(nèi)部網(wǎng)絡(luò)之間、內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)之間的互聯(lián)，利用VLAN、ACL等對訪問進行控制，確保網(wǎng)絡(luò)的安全。</p><p>　　第二章 企業(yè)網(wǎng)絡(luò)總體設(shè)計方案</p><p><b>　　2.1網(wǎng)絡(luò)設(shè)計原則</b>

24、</p><p>　　該企業(yè)網(wǎng)絡(luò)是中小型用戶群的網(wǎng)絡(luò)，上班時信息流量大，為了保障全網(wǎng)的高速轉(zhuǎn)發(fā)，企業(yè)網(wǎng)全網(wǎng)的組網(wǎng)設(shè)計的無瓶頸性，要求方案設(shè)計的階段就要充分考慮到，同時要交換機具有高性能、高帶寬的特性，整網(wǎng)的核心交換要求能夠提供無瓶頸的數(shù)據(jù)交換。 </p><p>　　（1）可管理性是指該企業(yè)網(wǎng)絡(luò)是一個龐大而且復(fù)雜的網(wǎng)絡(luò)，為了保障網(wǎng)絡(luò)的正常使用以及設(shè)備的良好維護需要一個功能強大，具有分級、分

25、權(quán)管理能力的網(wǎng)管系統(tǒng)，實現(xiàn)統(tǒng)一的網(wǎng)絡(luò)業(yè)務(wù)調(diào)度和管理，降低網(wǎng)絡(luò)運營成本。同時由于企業(yè)網(wǎng)絡(luò)的使用者數(shù)量較多，跨網(wǎng)絡(luò)開展的業(yè)務(wù)眾多，因此需要能夠提供用戶的高效管理，以確保企業(yè)網(wǎng)絡(luò)的信息安全。</p><p>　　（2）可增值是指企業(yè)網(wǎng)絡(luò)的建設(shè)、使用和維護需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。所以在建設(shè)時要充分考慮業(yè)務(wù)的擴展能力，能提供豐富的寬帶增值業(yè)務(wù)（如VoIP，IPV6等），全網(wǎng)支持IPV6

26、，使網(wǎng)絡(luò)能適應(yīng)未來需求，節(jié)約各類費用。確保新建網(wǎng)絡(luò)在3～5年內(nèi)的使用價值。</p><p>　　（3）安全保密性是指充分考慮整個網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點的備份和線路保護，提供網(wǎng)絡(luò)安全防范措施。能有效通過軟硬件相互聯(lián)動，有效保證企業(yè)網(wǎng)的安全；選擇設(shè)備必須具有較高的安全特性，如蠕蟲病毒防御、ARP欺騙防御、防代理、防攻擊掃描、防私設(shè)DHCP等功能，系統(tǒng)采用數(shù)字簽名,安全認(rèn)證,密碼技術(shù)以及超級防火墻軟件,代理服務(wù)器和

27、VPN(虛擬隧道網(wǎng)絡(luò)技術(shù))等來確保網(wǎng)內(nèi)安全。對員工的上網(wǎng)行為進行實時記錄，并保存到日志服務(wù)器。</p><p>　?。?）可擴展與成熟性是指企業(yè)網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴充的彈性網(wǎng)絡(luò)平臺，要具有可擴展性和可升級性。隨著業(yè)務(wù)的增長和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長，需要網(wǎng)絡(luò)有很好的可擴展性，并能隨著技術(shù)的發(fā)展不斷升級。</p><p>　?。?）經(jīng)濟性是指在滿足高性

28、能價格比(高性價比)的前提下,選用物廉價美,經(jīng)濟實用的產(chǎn)品,以減少開支。</p><p>　?。?）開放性是指技術(shù)選擇必須符合相關(guān)國際標(biāo)準(zhǔn)及國內(nèi)標(biāo)準(zhǔn)，避免個別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開放性和互連互通，滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需要；開放的接口，支持良好的維護、測量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實時監(jiān)控的遙測、遙控的信息處理功能，實現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。</p><p>

29、<b>　　2.2網(wǎng)絡(luò)建設(shè)目標(biāo)</b></p><p>　　志誠科技目前開展的企業(yè)網(wǎng)建設(shè)，旨在推動公司信息化建設(shè)，其最終建設(shè)目標(biāo)是將志誠科技建設(shè)成為一個借助信息化辦公和管理手段的高水平的智能化、數(shù)字化的企業(yè)網(wǎng)絡(luò)，最終完成我公司網(wǎng)絡(luò)和統(tǒng)一軟件資源平臺的構(gòu)建，實現(xiàn)、統(tǒng)一身份認(rèn)證、統(tǒng)一網(wǎng)絡(luò)管理、統(tǒng)一安全策略、統(tǒng)一軟件資源系統(tǒng)，并實現(xiàn)網(wǎng)絡(luò)遠(yuǎn)程辦公、管理、資源共享等各種應(yīng)用；利用現(xiàn)代信息技術(shù)從事成產(chǎn)、

30、辦公、研究和管理等工作。</p><p>　　總體目標(biāo)是建立一個覆蓋該公司所有職工部門高速的信息通道，為公司管理層的決策、管理、業(yè)務(wù)、財務(wù)和后勤工作人員等提供一個良好得計算機網(wǎng)絡(luò)環(huán)境，加強所有各職工部門的合作交流，共享數(shù)據(jù)資源共享，公司內(nèi)外電子化，對外為公司的數(shù)據(jù)傳輸提供保障，提高整個公司的辦公效率，從而真正實現(xiàn)公司內(nèi)各職工部門的“電子化”功能，更好的提高經(jīng)濟效率，提升公司的市場競爭力。為確保我公司企業(yè)網(wǎng)絡(luò)建設(shè)和

31、應(yīng)用的成功，對網(wǎng)絡(luò)方案的設(shè)計大致可歸納出以下的需求：</p><p>　?。?）高帶寬——為了支持?jǐn)?shù)據(jù)、話音、視像多媒體的傳輸能力，在技術(shù)上要到達(dá)當(dāng)前的國際先進水平。要采用比較先進的網(wǎng)絡(luò)技術(shù)，以適應(yīng)大量數(shù)據(jù)和多媒體信息的傳輸，既要滿足目前的業(yè)務(wù)需求，又要充分考慮未來的發(fā)展。為此應(yīng)選用高帶寬的先進技術(shù)。</p><p>　?。?）高可靠性——網(wǎng)絡(luò)系統(tǒng)應(yīng)具有高可靠性、高安全性，具體到本項目中，

32、要求采用可靠性較高的產(chǎn)品和網(wǎng)絡(luò)架構(gòu)，在物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層等多個層次都有相應(yīng)的技術(shù)，以最大程度的保證網(wǎng)絡(luò)的正常運轉(zhuǎn)。</p><p>　?。?）QoS保證——當(dāng)今網(wǎng)絡(luò)中多媒體的應(yīng)用越來越多，這類應(yīng)用對服務(wù)質(zhì)量的要求較高，新的網(wǎng)絡(luò)系統(tǒng)應(yīng)能保證QoS，以支持這類應(yīng)用。</p><p>　?。?）多協(xié)議支持——由于網(wǎng)絡(luò)將要存在不同的業(yè)務(wù)和辦公應(yīng)用系統(tǒng)，并基于不同的網(wǎng)絡(luò)協(xié)議，所以網(wǎng)絡(luò)系統(tǒng)應(yīng)能

33、支持多種協(xié)議（IP、OSPF、NAT等），是一個開放型的網(wǎng)絡(luò)，支持各種協(xié)議的互連。</p><p>　?。?）易管理、易維護——由于我公司的網(wǎng)絡(luò)系統(tǒng)規(guī)模龐大，需要網(wǎng)絡(luò)系統(tǒng)具有良好的可管理性，網(wǎng)管系統(tǒng)具有監(jiān)測、故障診斷、故障隔離、過濾設(shè)置等功能，以便于系統(tǒng)的管理和維護。同時應(yīng)盡可能選取集成度高、模塊可通用的產(chǎn)品，以便于管理和維護。</p><p>　?。?）安全性——網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全

34、性，要充分的保證網(wǎng)絡(luò)的安全性，應(yīng)該根據(jù)相應(yīng)的管理制度和網(wǎng)絡(luò)策略制定一套完善的安全政策，基于此安全政策，采用合適的技術(shù)手段，以達(dá)成目標(biāo)，保證系統(tǒng)的安全性。</p><p>　?。?）符合國際標(biāo)準(zhǔn)——選用符合國際標(biāo)準(zhǔn)的系統(tǒng)和產(chǎn)品，可以保證系統(tǒng)具有較長的生命力和擴展能力，滿足將來系統(tǒng)升級的要求。</p><p>　　（8）其它需求——整個網(wǎng)絡(luò)系統(tǒng)分布相對較廣泛；整個網(wǎng)絡(luò)采用先進的網(wǎng)絡(luò)結(jié)構(gòu)，以滿足

35、傳輸、存儲和處理數(shù)據(jù)、語音及圖象信息的需要；滿足網(wǎng)上的集成系統(tǒng)和業(yè)務(wù)系統(tǒng)的需求；完整統(tǒng)一的系統(tǒng)管理平臺。</p><p>　　2.3志誠科技網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖</p><p>　　本設(shè)計主要目標(biāo)是企業(yè)有線無線結(jié)合網(wǎng)絡(luò)進行設(shè)計，本企業(yè)網(wǎng)網(wǎng)絡(luò)主干采用銳捷RG-S8605E核心交換機，整個網(wǎng)絡(luò)三層結(jié)構(gòu)，保證了數(shù)據(jù)的快速交換，同時，網(wǎng)絡(luò)主干全部使用光纖，桌面接入全部實現(xiàn)百兆接入，保證了企業(yè)網(wǎng)對多媒體數(shù)

36、據(jù)流的需求。企業(yè)的網(wǎng)絡(luò)拓?fù)淙鐖D2-1所示。</p><p>　　圖2-1 志誠科技有限公司網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　2.4志誠科技網(wǎng)絡(luò)地址規(guī)劃</p><p>　　表2.1 網(wǎng)絡(luò)地址規(guī)劃表</p><p>　　第三章 企業(yè)網(wǎng)絡(luò)設(shè)備選型</p><p><b>　　3.1出口設(shè)備選型</b>

37、</p><p>　　出口路由器，即對接ISP的設(shè)備，選擇出口路由器最好選用當(dāng)前商場主流設(shè)備，在這里我們選用銳捷的RG-RSR7704，如圖：</p><p>　　圖3-1 RG-RSR7704</p><p><b>　　該設(shè)備有如下特點：</b></p><p>　?。?）先進的硬件處理技術(shù)</p>&

38、lt;p>　　RG-RSR77系列可信多業(yè)務(wù)路由器基于CLOS分布式無阻塞交換架構(gòu)，采用業(yè)界領(lǐng)先的多核處理器，通過銳捷網(wǎng)絡(luò)特有的vCPU和多線程處理技術(shù)，實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)平面和協(xié)議控制平面分離，并實現(xiàn)多個處理內(nèi)核之間的負(fù)載均衡。另外，不同處理內(nèi)核占用系統(tǒng)的資源可以根據(jù)實際需要來進行調(diào)節(jié)，在設(shè)備需要更多資源處理協(xié)議和控制報文時，可以給負(fù)責(zé)設(shè)備管理的內(nèi)核配置更多的資源；在設(shè)備需要處理更多的報文轉(zhuǎn)發(fā)時，可以給負(fù)責(zé)報文轉(zhuǎn)發(fā)的內(nèi)核分配更多的資源

39、，實現(xiàn)資源的可管理，可支配。通過分布式實現(xiàn)高性能數(shù)據(jù)轉(zhuǎn)發(fā)，支持萬兆性能轉(zhuǎn)發(fā)。</p><p>　　（2）成熟穩(wěn)定的操作系統(tǒng)</p><p>　　?RG-RSR77系列萬兆核心分布式路由器采用銳捷成熟穩(wěn)定的RGOS操作系統(tǒng)，RGOS操作系統(tǒng)具有三大關(guān)鍵特性：完全模塊化、開放性、安全性。</p><p>　　?完全模塊化：模塊化操作系統(tǒng)的優(yōu)勢是各功能和進程各自獨立，

40、可以實現(xiàn)相互故障隔離，極大提升系統(tǒng)穩(wěn)定性，這是模塊化設(shè)計的最大優(yōu)勢；另外完全模塊化設(shè)計，在開發(fā)的新功能不影響原有功能，提升了新功能開發(fā)與測試效率，可以更加快速地提供新功能和新技術(shù)。</p><p>　　?開放性：RGOS擁有一個“硬件抽象層”，因此RGOS可以通過不同的設(shè)備驅(qū)動程序連接不同的硬件設(shè)備，目前銳捷網(wǎng)絡(luò)交換產(chǎn)品和路由產(chǎn)品都統(tǒng)一到了RGOS操作系統(tǒng)平臺，而未來還計劃擴展到無線、存儲、安全等產(chǎn)品線。在軟件

41、設(shè)計方面，RGOS還擁有POSIX可移植操作系統(tǒng)接口，該接口是國際標(biāo)準(zhǔn)接口，通過POSIX，操作系統(tǒng)的內(nèi)核可以和各種符合POSIX接口的軟件功能模塊通信和調(diào)度。</p><p>　　?安全性：銳捷RGOS從操作系統(tǒng)的層面上保證了網(wǎng)絡(luò)的安全，通過RNOS流量管理技術(shù)，設(shè)備防攻擊技術(shù)，狀態(tài)防火墻技術(shù)等保證了設(shè)備在各種復(fù)雜環(huán)境下穩(wěn)定可靠運行。</p><p>　　（3）強大的路由處理能力<

42、;/p><p>　　RG-RSR77系列萬兆核心分布式路由器支持IPv4/IPv6靜態(tài)路由，各種動態(tài)路由協(xié)議，滿足各種組網(wǎng)要求；另外支持策略路由功能，可對網(wǎng)絡(luò)流量進行靈活的控制和調(diào)度，滿足金融、政府、企業(yè)網(wǎng)等用戶的路由特性要求。</p><p>　　依托高性能流表、快速轉(zhuǎn)發(fā)技術(shù)，通過GR、FRR和BFD等功能，改善傳統(tǒng)路由協(xié)議的收斂機制，實現(xiàn)大型網(wǎng)絡(luò)的極速收斂。</p><

43、p>　?。?）電信級可靠性設(shè)計</p><p>　　?關(guān)鍵模塊的冗余：路由引擎冗余、交換網(wǎng)板冗余、電源冗余、雙啟動映像文件、雙配置文件。</p><p>　　?關(guān)鍵部件熱拔插：路由引擎熱撥插、業(yè)務(wù)載板/模塊熱撥插、電源/風(fēng)扇熱拔插。</p><p>　　?模塊化軟件設(shè)計：完全采用模塊化的設(shè)計，各功能模塊互不干擾，大大降底了各功能之間的藕合關(guān)聯(lián)度，大幅度提

44、升了軟件的穩(wěn)定性。</p><p>　　?多種備份機制：支持VRRP，結(jié)合BFD/DLDP故障快速檢測機制，實現(xiàn)快速的VRRP倒換能力；支持鏈路備份機制、支持路由備份。</p><p>　　?所有RSR系列路由器使用同一個RGOS軟件系統(tǒng)，給維護帶來極大的方便。</p><p>　　具體特點見表3.1：RG-RSR7704參數(shù)表</p><p

45、>　　表3.1：RG-RSR7704參數(shù)表</p><p><b>　　3.2核心設(shè)備選型</b></p><p>　　核心設(shè)備是整個網(wǎng)絡(luò)的關(guān)鍵設(shè)備，要性能要強大，這里選擇銳捷RG-S8605E，如圖：</p><p>　　圖3-2 RG-S8600E</p><p><b>　　該設(shè)備有如下特點：<

46、;/b></p><p>　?。?）最高性能滿足未來十年網(wǎng)絡(luò)發(fā)展</p><p>　　?RG-S8600E系列單槽位支持3Tbps帶寬，可平滑擴展到12Tbps，支持高密度40GE、10GE以太網(wǎng)端口，滿足云計算數(shù)據(jù)中心可持續(xù)發(fā)展的需求，滿足未來十年網(wǎng)絡(luò)發(fā)展過程中對核心交換機的要求。</p><p>　　?RG-S8600E系列支持業(yè)界最高性能的小包線速轉(zhuǎn)

47、發(fā)能力，包括最高密度板卡在內(nèi)的所有板卡均可實現(xiàn)64字節(jié)小包線速轉(zhuǎn)發(fā)，從容應(yīng)對大型數(shù)據(jù)中心中業(yè)務(wù)對高速轉(zhuǎn)發(fā)不丟包的苛刻需求。</p><p>　　?面對高性能計算的應(yīng)用場景，RG-S8600E系列支持超低時延技術(shù)，時延最低可達(dá)0.5μs，保證超算中心場景中高速傳輸?shù)臉I(yè)務(wù)需求。</p><p>　　?支持超大表項，ARP資源容量≥170K，確保更多用戶的同時在線。</p>&

48、lt;p>　?。?）虛擬交換設(shè)備VSD</p><p>　　RG-S8600E系列通過VSD（Virtual Switch Device，虛擬交換設(shè)備）技術(shù)可將一臺設(shè)備虛擬化為多臺虛擬設(shè)備，每臺虛擬設(shè)備具有獨立的配置管理界面、獨立硬件資源分配(比如內(nèi)存、TCAM、硬件轉(zhuǎn)發(fā)表)，可以獨立重啟而不影響其它的虛擬交換機。最大程度上為您實現(xiàn)網(wǎng)絡(luò)資源的按需分配，可讓核心交換機資源同時共享給多個區(qū)域或用戶使用。另外，通

49、過同時開啟VSU 3.0和VSD技術(shù)，可以實現(xiàn)網(wǎng)絡(luò)資源的徹底池化。</p><p>　?。?）虛擬以太網(wǎng)端口聚合VEPA</p><p>　　RG-S8600E系列支持IEEE802.1qbg標(biāo)準(zhǔn)定義的VEPA（Virtual Ethernet Port Aggregator，虛擬以太網(wǎng)端口聚合），能將服務(wù)器虛擬機產(chǎn)生的數(shù)據(jù)流牽引到物理網(wǎng)絡(luò)設(shè)備上進行“硬交換”，解決了虛擬機流量無法監(jiān)管、訪

50、問控制策略無法統(tǒng)一部署等問題，又消除傳統(tǒng)“軟交換”對服務(wù)器資源的占用，使下一代數(shù)據(jù)中心網(wǎng)絡(luò)解決方案更好適應(yīng)虛擬化計算環(huán)境。</p><p>　　具體特點見表3.2：RG-S8600E參數(shù)表：</p><p>　　表3.2：RG-S8605E參數(shù)表</p><p><b>　　3.3匯聚設(shè)備選型</b></p><p>　

51、　為了充分融合了網(wǎng)絡(luò)發(fā)展需要的高性能、高安全、多業(yè)務(wù)、易用性特點，為用戶提供全新的技術(shù)特性和解決方案，這們選用銳捷RG-S5750-28GT-S，如圖：</p><p>　　圖3-3 RG-S5750-28GT-S</p><p><b>　　該設(shè)備特點如下：</b></p><p>　?。?）RG-S5750-28GT-S設(shè)備采用無風(fēng)扇設(shè)計，

52、大幅降低設(shè)備功耗，實現(xiàn)設(shè)備運行無噪音，減少機械故障點，同時免除凝露腐蝕和塵土侵害。</p><p>　?。?）全方位立體安全防范</p><p>　　?通過豐富的安全功能，消除安全威脅、攻擊、病毒、ARP欺騙等侵害，還網(wǎng)絡(luò)一片綠色，讓用戶更安心、省心上網(wǎng)；</p><p>　　?產(chǎn)品支持802.1X準(zhǔn)入功能，在啟用這些功能的前提下，交換機能夠有效抵御各種針對交換

53、機的攻擊，能夠防止各種ARP攻擊和欺騙；</p><p>　　?業(yè)界領(lǐng)先的硬件CPU保護機制：特有的CPU保護策略（CPP技術(shù)），對發(fā)往CPU的數(shù)據(jù)流，進行流區(qū)分和優(yōu)先級隊列分級處理，并根據(jù)需要實施帶寬限速，充分保護CPU不被非法流量占用、惡意攻擊和資源消耗，保障了CPU安全，充分保護了交換機的安全；</p><p>　　?硬件實現(xiàn)端口或交換機整機與用戶IP地址和MAC地址的靈活綁定，

54、嚴(yán)格限定端口上的用戶接入或交換機整機上的用戶接入問題；</p><p>　　?支持DHCP snooping，可只允許信任端口的DHCP響應(yīng)，防止私設(shè)DHCP Server的欺騙；并在DHCP監(jiān)聽的基礎(chǔ)上，通過動態(tài)監(jiān)測ARP和檢查用戶的IP，直接丟棄不符合綁定表項的非法報文，有效防范ARP欺騙和用戶源IP地址的欺騙問題；</p><p>　　?基于源IP地址控制的Telnet設(shè)備訪問控

55、制，避免非法人員和黑客惡意攻擊和控制設(shè)備，增強了設(shè)備網(wǎng)管的安全性；</p><p>　　?SSH（Secure Shell）和SNMPv3可以通過在Telnet和SNMP進程中加密管理信息，保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備；</p><p>　　?控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如多元素綁定、端口安全、時間ACL、基于數(shù)據(jù)流的帶寬限速等，滿足企業(yè)網(wǎng)、校

56、園網(wǎng)加強對訪問者進行控制、限制非授權(quán)用戶通信的需求。</p><p>　　?支持NFPP技術(shù)。NFPP (Network Foundation Protection Policy基礎(chǔ)網(wǎng)絡(luò)保護策略)是用來增強交換機安全的一種保護體系，通過對攻擊源頭采取隔離措施，可以使交換機的處理器和信道帶寬資源得到保護，從而保證報文的正常轉(zhuǎn)發(fā)以及協(xié)議狀態(tài)的正常。</p><p><b>　?。?

57、）多業(yè)務(wù)</b></p><p>　　支持組播功能，包含豐富的組播協(xié)議。比如IGMP Snooping、IGMP V1/V2、MLD、MLD Proxy等；</p><p>　　支持豐富的IPv4路由協(xié)議，包括靜態(tài)路由、RIP、OSPF等，滿足不同網(wǎng)絡(luò)環(huán)境中用戶選擇合適的路由協(xié)議靈活組建網(wǎng)絡(luò)；</p><p><b>　?。?）高可靠</

58、b></p><p>　　支持生成樹協(xié)議802.1D、802.1w、802.1s，完全保證快速收斂，提高容錯能力，保證網(wǎng)絡(luò)的穩(wěn)定運行和鏈路的負(fù)載均衡，合理使用網(wǎng)絡(luò)通道，提供冗余鏈路利用率；</p><p>　　支持VRRP虛擬路由器冗余協(xié)議，有效保障網(wǎng)絡(luò)穩(wěn)定；</p><p>　　支持RLDP，可快速檢測鏈路的通斷和光纖鏈路的單向性，并支持端口下的環(huán)路檢測功能

59、，防止端口下因私接Hub等設(shè)備形成的環(huán)路而導(dǎo)致網(wǎng)絡(luò)故障的現(xiàn)象；</p><p><b>　　（5）易管理</b></p><p>　　靈活復(fù)用的多種千兆接口形式，可靈活滿足需要多個千兆銅纜和多個千兆光纖鏈路的連接，方便用戶靈活選擇線纜；</p><p>　　網(wǎng)絡(luò)時間協(xié)議保證交換機時間的準(zhǔn)確性，并與網(wǎng)絡(luò)中時間服務(wù)器時間統(tǒng)一化，方便日志信息和流量信

60、息的分析、故障診斷等管理；</p><p>　　Syslog方便各種日志信息的統(tǒng)一收集、維護、分析、故障定位、備份，便于管理員網(wǎng)絡(luò)維護和管理；</p><p>　　固化USB 2.0高速接口，便于通過USB接口保存日志；</p><p>　　CLI界面和WEB界面，方便高級用戶配置和使用的同時也為普通用戶提供簡單人性化的界面進行配置和使用。 </p>

61、<p>　　具體特點見表3.3：RG-S5750-28GT-S參數(shù)表：</p><p>　　表3.3：RG-S5750-28GT-S參數(shù)</p><p><b>　　3.4接入設(shè)備選型</b></p><p>　　接入設(shè)備使用數(shù)量最多，也是問題出現(xiàn)最多的設(shè)備，我們選用當(dāng)前最主流的設(shè)備，這里使用銳捷的RG-S2600G-S，如圖：<

62、;/p><p>　　圖3-4 RG-S2600G-S</p><p>　　該設(shè)備性能都是相當(dāng)不錯，具體特點如下：</p><p>　　（1）靈活完備的安全控制策略</p><p>　　通過多種內(nèi)在的安全機制可有效防止和控制病毒傳播和網(wǎng)絡(luò)流量攻擊，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如端口靜態(tài)和動態(tài)的安全綁定、端口隔離、多種類型的硬件

63、ACL控制、基于數(shù)據(jù)流的帶寬限速、用戶接入控制的多元素綁定等，滿足企業(yè)網(wǎng)、校園網(wǎng)加強對訪問者進行控制、限制非授權(quán)用戶通信的需求。</p><p>　　支持客戶端的認(rèn)證模式（802.1x），在實現(xiàn)網(wǎng)絡(luò)安全的同時，可通過客戶端深入用戶主機實現(xiàn)主機安全。</p><p>　　ARP檢測功能有效遏制了網(wǎng)絡(luò)中日益泛濫的ARP網(wǎng)關(guān)欺騙和ARP主機欺騙的現(xiàn)象，保障了用戶的正常上網(wǎng)。無論在動態(tài)分配IP環(huán)境

64、下，還是靜態(tài)分配IP環(huán)境下，均可實現(xiàn)自動綁定工作，大大的節(jié)省了人力成本，降低了管理開銷。而配合ARP速率監(jiān)控控制端口ARP報文發(fā)送的速率，防止惡意利用掃描工具進行ARP泛洪占據(jù)網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)擁塞的攻擊行為。</p><p>　　支持DHCP Snooping，只允許信任端口的DHCP響應(yīng)，防止未經(jīng)管理員許可私自架設(shè)DHCP Server，擾亂IP地址的分配和管理，影響用戶的正常上網(wǎng)的行為；并在DHCP監(jiān)聽的基

65、礎(chǔ)上，通過動態(tài)監(jiān)測ARP和檢查源IP，有效防范DHCP動態(tài)分配IP環(huán)境下的ARP主機欺騙和源IP地址的欺騙。</p><p>　　SSH（Secure Shell）和SNMPv3技術(shù)通過在Telnet和SNMP進程中加密管理信息，保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備?；谠碔P地址控制的Telnet訪問控制，更加精細(xì)的提供了設(shè)備管理控制，保證只有管理員配置的IP地址才能登陸交換機，增強了設(shè)備網(wǎng)管的安全

66、性。</p><p><b>　?。?）高可靠性</b></p><p>　　基礎(chǔ)網(wǎng)絡(luò)保護（NFPP）通過將報文分類限速（管理類，轉(zhuǎn)發(fā)類，協(xié)議類），并對報文進行攻擊監(jiān)測，雙重保障保護CPU和信道帶寬資源免受攻擊煩擾，保證報文的正常轉(zhuǎn)發(fā)以及協(xié)議狀態(tài)的正常，維護網(wǎng)絡(luò)的穩(wěn)定。</p><p>　　支持生成樹協(xié)議802.1d、802.1w、802.1s

67、，完全保證快速收斂，提高容錯能力，保證網(wǎng)絡(luò)的穩(wěn)定運行和鏈路的負(fù)載均衡，合理使用網(wǎng)絡(luò)通道，提供冗余鏈路利用率；PortFast大大縮減了標(biāo)準(zhǔn)的30-50秒的生成樹協(xié)議收斂時間，而BPDU Guard功能則避免了生成樹協(xié)議環(huán)路的出現(xiàn)。</p><p>　　支持RLDP，可快速檢測鏈路的通斷和光纖鏈路的單向性，并支持端口下的環(huán)路檢測功能，防止端口下因私接Hub等設(shè)備形成的環(huán)路而導(dǎo)致網(wǎng)絡(luò)故障的現(xiàn)象。</p>

68、<p><b>　　（3）多業(yè)務(wù)支持</b></p><p>　　當(dāng)網(wǎng)絡(luò)上服務(wù)的業(yè)務(wù)越來越多時，帶寬保障就顯得尤為必要。為了避免非緊急業(yè)務(wù)搶占緊急業(yè)務(wù)的帶寬，RG-S2600G-S通過完善的服務(wù)質(zhì)量保證，來支持多業(yè)務(wù)的開展。</p><p>　　支持802.1P、DSCP、IP TOS、二到七層流過濾等QoS策略，具備MAC流、IP流、應(yīng)用流等多層流分類和

69、流控制能力，實現(xiàn)帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級等多種流策略，支持網(wǎng)絡(luò)根據(jù)不同的應(yīng)用、以及不同應(yīng)用所需要的服務(wù)質(zhì)量，提供服務(wù)。</p><p>　　每端口支持8個優(yōu)先級輸出隊列，使網(wǎng)絡(luò)管理員可更精細(xì)的為各種應(yīng)用分配帶寬，從而更好的保證業(yè)務(wù)正常開展。交換機支持SP，WRR等機制確定報文處理順序，比如SP可確保某個隊列中的業(yè)務(wù)總是優(yōu)先傳輸，而WRR則可保證所有隊列中的業(yè)務(wù)都有機會。</p><p>　　極

70、靈活的帶寬控制能力，基于交換機端口、MAC地址、IP地址、VLAN ID、協(xié)議、應(yīng)用組合進行靈活的帶寬限速，限速粒度達(dá)到64Kbps，可根據(jù)網(wǎng)絡(luò)安全需求，設(shè)定不同業(yè)務(wù)應(yīng)用的帶寬流量，滿足網(wǎng)絡(luò)帶寬按需所用。</p><p>　?。?）方便易用易管理</p><p>　　采用靈活的千兆電口+光口（非復(fù)用）的形式，可最靈活滿足雙千兆電/光口上聯(lián)或多個千兆服務(wù)器的連接，方便用戶根據(jù)網(wǎng)絡(luò)架構(gòu)靈活選擇

71、連接形式。</p><p>　　支持設(shè)備間的混合堆疊，通過堆疊不僅能統(tǒng)一管理和使用設(shè)備，降低管理成本，同時可靈活地組合和擴展端口，平滑擴容，保障了網(wǎng)絡(luò)的高度靈活和可擴展，網(wǎng)絡(luò)管理更加簡單。</p><p>　　多端口同步監(jiān)控，通過一個端口即可同時監(jiān)控多個端口的數(shù)據(jù)流，還可只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，大大提高維護效率。</p><p>　　網(wǎng)絡(luò)時間管理協(xié)議/簡

72、單網(wǎng)絡(luò)時間管理協(xié)議（NTP/SNTP）保證交換機時間的準(zhǔn)確性，并與網(wǎng)絡(luò)中時間服務(wù)器的時間統(tǒng)一化，方便日志信息和流量信息的分析、故障診斷。</p><p>　　Syslog方便各種日志信息的統(tǒng)一收集、維護、分析、故障定位、備份，便于管理員進行網(wǎng)絡(luò)維護和管理。</p><p>　　支持使用WEB瀏覽器配置交換機，無需了解復(fù)雜的命令行和終端模擬程序，允許簡單、快速的配置交換機，從而降低部署成本。

73、</p><p>　　具體特點見RG-S2600G-S的性能參數(shù)表，如下：</p><p>　　表3.4 RG-S2600G-S的性能參數(shù)</p><p>　　3.5無線接入點設(shè)備選型</p><p>　　無線AP（Access Point）即無線接入點，它是用于無線網(wǎng)絡(luò)的無線交換機，也是無線網(wǎng)絡(luò)的核心。無線AP是移動計算機用戶進入有線網(wǎng)絡(luò)的

74、接入點，主要用于寬帶家庭、大樓內(nèi)部以及園區(qū)內(nèi)部，典型距離覆蓋幾十米至上百米，采用雙路雙頻設(shè)計，可支持同時工作在802.11a/n和802.11b/g/n模式，且每路射頻均可單獨設(shè)置工作模式，在此我們選用銳捷的RG-AP3220-P，如圖：</p><p>　　圖3-5 RG-AP3220-P</p><p><b>　　該設(shè)備有如下特點</b></p>

75、<p><b>　?。?）靈活雙射頻</b></p><p>　　傳統(tǒng)的雙頻AP的工作模式為：2G+5G。由于AP的工作模式已經(jīng)固定，在實際應(yīng)用上，因為終端類型不一，經(jīng)常出現(xiàn)某張射頻卡超負(fù)荷工作，另一張射頻卡空閑的問題。極端的情況下，在單一模式的客戶端類型密集接入環(huán)境下，工作在另外一個模式的射頻卡完全閑置。</p><p>　　實際上，為了解決這些密集部署的

76、問題，通常需要部署更多的AP來滿足需求，另外一方面，AP的資源上（另外一個模式的射頻卡）又存在著極大的浪費（空閑）。</p><p>　　RG-AP3220-P靈活的多模支持，則完美解決這些問題。通過硬件軟件上技術(shù)上的突破與創(chuàng)新，RG-AP3220-P能夠支持雙2G、雙5G工作模式，配合傳統(tǒng)的2G+5G模式。RG-AP3220-P是業(yè)界首款能夠支持多種工作模式的AP。RG-AP3220-P能夠靈活的選擇 2G+2

77、G、2G+5G、5G+5G工作模式，根據(jù)實際應(yīng)用上的需求（客戶端類型、數(shù)量），靈活的配置工作模式，提升了AP整體的接入容量和性能。在極端情況下，即純2G或者純5G應(yīng)用下，將RG-AP3220-P配置工作在對應(yīng)的雙2G或者雙5G模式下，單個RG-AP3220-P的接入容量和性能將達(dá)到普通AP的1.8~2.0倍。</p><p>　?。?）X-speed極速無線體驗</p><p>　　RG-

78、AP3220-P在多AP干擾的情況下，有效的縮短了下聯(lián)用戶發(fā)送無線數(shù)據(jù)包的競爭等待時間，讓使用銳捷無線網(wǎng)絡(luò)的用戶在復(fù)雜環(huán)境中仍能體驗極速無線。</p><p>　　RG-AP3220-P同時解決了因終端無線網(wǎng)卡老舊或終端離AP較遠(yuǎn)而導(dǎo)致用戶無線上網(wǎng)延時大、速度慢、AP整機性能低下的問題，為所有類型的終端分配相同的無線鏈路使用時間，不僅提升了AP的整機吞吐性能，并保證了每個終端都能公平高速的訪問無線網(wǎng)絡(luò)。</

79、p><p>　　具體RG-AP3220-P參數(shù)如下表：</p><p>　　表3.5 RG-AP3220-P參數(shù)</p><p>　　由上表可以看出，該設(shè)備可以勝任客戶所有要求。</p><p>　　第四章 網(wǎng)絡(luò)技術(shù)應(yīng)用與配置</p><p>　　4.1虛擬局域網(wǎng)技術(shù)</p><p>　　Vlan劃

80、分的模式有：基于MAC的VLAN；基于IP地址的VLAN；基于組播的VLAN。VLAN的好處主要有三個：</p><p>　　(1)廣播控制通過將一個網(wǎng)絡(luò)劃分成多個VLAN（即多個廣播域）?？梢詫崿F(xiàn)廣播范圍的控制，并能夠有效減少廣播風(fēng)暴、廣播碰撞問題和網(wǎng)絡(luò)帶寬資源的浪費等問題。 </p><p>　　(2)靈活性在公司里，由于公司人員的變更比較頻繁，當(dāng)把一臺計算機從一個子網(wǎng)轉(zhuǎn)移到另一個子網(wǎng)

81、時，假若采用傳統(tǒng)局域網(wǎng)技術(shù)的用戶需要對站點的IP地址、缺省網(wǎng)關(guān)進行修改后才能上網(wǎng)；這種遷移所耗費的精力和時間相當(dāng)可觀的。而采用基于MAC地址VLAN技術(shù)的用戶則可不作任何修改，在網(wǎng)上的任意位置都可上網(wǎng)，因為VLAN成員不是捆綁在某固定工作站上的；反過來，用戶的實際位置不發(fā)生改變卻變更了部門，網(wǎng)絡(luò)管理員也可以通過改變VLAN成員的方式讓用戶與VLAN的邏輯關(guān)系發(fā)生改變。這意味著遷移的工作只是在交換機上重新定義VLAN即可，尤其是采用網(wǎng)卡的

82、MAC地址來劃分VLAN時，交換機能夠自動跟蹤該終端的MAC地址，并自動將其納如定義的VLAN中，對于網(wǎng)絡(luò)管理而言，可以輕松完成變更。</p><p>　　(3)安全性，采用傳統(tǒng)局域網(wǎng)技術(shù)的網(wǎng)絡(luò)，只要利用一臺PC裝上協(xié)議分析軟件，連到集線器上就可攔截該網(wǎng)段上的所有數(shù)據(jù)，采用基于MAC地址的VLAN技術(shù)時就不可能攔截該VLAN的數(shù)據(jù)；VLAN與VLAN間邏輯上是分開的，VLAN成員的數(shù)據(jù)包只能在同一VLAN內(nèi)部傳送

83、，即使處于同一網(wǎng)絡(luò)中，不同VLAN間也不能進行直接通信，有效的避免了廣播風(fēng)暴的傳播；公司局域網(wǎng)中如財務(wù)管理、人事檔案管理及一些不對外公開的科研數(shù)據(jù)資料庫等應(yīng)用系統(tǒng)，網(wǎng)絡(luò)管理員可采用VLAN技術(shù)對廣播域進行邏輯劃分，達(dá)到限制用戶非法訪問的目的，從而確保重要部門的數(shù)據(jù)安全。因此，通過劃分VLAN可以提高網(wǎng)絡(luò)的安全性。</p><p><b>　　基本配置如下：</b></p>&l

84、t;p><b>　　Switch></b></p><p>　　Switch>enable</p><p><b>　　Switch#</b></p><p>　　Switch#configure terminal </p><p>　　Switch(config)# hostna

85、me SW-ZC2-1</p><p>　　SW-ZC2-1 (config)#vlan 10 </p><p>　　SW-ZC2-1 (config-if)#exit</p><p>　　SW-ZC2-1 (config)#vlan 20 </p><p>　　SW-ZC2-1 (config-if)#exit</p><

86、;p>　　SW-ZC2-1 (config)#interface fastEthernet 0/1 </p><p>　　SW-ZC2-1 (config-if)#switchport mode access </p><p>　　SW-ZC2-1 (config-if)#switchport access vlan 10 </p><p>　　SW-

87、ZC2-1 (config-if)#exit</p><p><b>　　4.2端口聚合技術(shù)</b></p><p>　　端口聚合它可將多物理連接當(dāng)作一個單一的邏輯連接來處理，它允許兩個交換器之間通過多個端口并行連接同時傳輸數(shù)據(jù)以提供更高的帶寬、更大的吞吐量和可恢復(fù)性的技術(shù)。這一技術(shù)的優(yōu)點是以較低的成本通過捆綁多端口提高帶寬，而其增加的開銷只是連接用的普通五類網(wǎng)線和多

88、占用的端口，它可以有效地提高子網(wǎng)的上行速度，從而消除網(wǎng)絡(luò)訪問中的瓶頸。另外Trunk還具有自動帶寬平衡，即容錯功能：即使Trunk只有一個連接存在時，仍然會工作，這無形中增加了系統(tǒng)的可靠性。</p><p><b>　　基本配置如下：</b></p><p>　　Ruijie(config)#int range g0/25-26</p><p>

89、;　　Ruijie(config-if-range)#port-group 1</p><p>　　Ruijie(config)#int aggregateport 1</p><p>　　Ruijie(config-AggregatePort 1)#switchport mode trunk</p><p><b>　　4.3生成樹技術(shù)</b>

90、;</p><p>　　生成樹協(xié)議最主要的應(yīng)用是為了避免局域網(wǎng)中的網(wǎng)絡(luò)環(huán)回，解決成環(huán)以太網(wǎng)網(wǎng)絡(luò)的“廣播風(fēng)暴”問題，從某種意義上說是一種網(wǎng)絡(luò)保護技術(shù)，可以消除由于失誤或者意外帶來的循環(huán)連接。STP也提供了為網(wǎng)絡(luò)提供備份連接的可能，可與SDH保護配合構(gòu)成以太環(huán)網(wǎng)的雙重保護。</p><p><b>　　基本配置如下：</b></p><p>　　R

91、uijie(config)#spanning-tree </p><p>　　Ruijie(config)#spanning-tree mode rstp</p><p>　　Ruijie(config)#spanning-tree priority ?</p><p>　　<0-61440> Bridge priority in increments

92、 of 4096</p><p>　　Ruijie(config-if-range)#spanning-tree portfast</p><p>　　4.4 OSPF路由協(xié)議</p><p>　　OSPF 是典型的鏈路狀態(tài)型路由協(xié)議。它使用COST（開銷）作為度量，根據(jù)拓?fù)浔硗ㄟ^SPF算法獲得以自己為根的到達(dá)目標(biāo)的最優(yōu)路徑。它使用三張表：鄰居表，拓?fù)浔恚酚杀?，?/p>

93、過這3張表，每個路由器都能獨立的獲得前往每個目標(biāo)的路徑，而不象距離矢量協(xié)議那樣依靠鄰居來發(fā)現(xiàn)路由。確保了路由的真實可靠。本方案中路由器與Internet 網(wǎng)之間用OSPF路由協(xié)議，來實現(xiàn)它們之間的通信。OSPF路由協(xié)議的主要特點有：</p><p>　　(1) 路由器擁有整個網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)信息，路由收斂快速。</p><p>　　(2)用增量方式更新路由表，即只更新變化的路由表項，節(jié)約帶寬

94、資源。</p><p>　　(3)支持可變長子網(wǎng)掩碼。</p><p>　　(4) 支持CIDR以及路由聚合（Routing Summary）。</p><p>　　(5)支持路由信息驗證。</p><p><b>　　基本配置如下：</b></p><p>　　SW-ZC3-1 (config)

95、#router ospf 1 </p><p>　　SW-ZC3-1 (config-router)#network 192.168.1.0 0.0.0.255 area 0,</p><p>　　SW-ZC3-1 (config-router)#network 192.168.2.0 0.0.0.255 area 0,</p><p>　　SW-ZC3-1 (co

96、nfig-router)#network 192.168.10.0 0.0.0.255 area 0,</p><p>　　SW-ZC3-1 (config-router)#exit</p><p>　　4.5 VRRP+MSTP技術(shù)</p><p>　　MSTP（Multi-Service Transfer Platform）（基于SDH 的多業(yè)務(wù)傳送平臺）是指基

97、于SDH 平臺同時實現(xiàn)TDM、ATM、以太網(wǎng)等業(yè)務(wù)的接入、處理和傳送，提供統(tǒng)一網(wǎng)管的多業(yè)務(wù)節(jié)點。</p><p>　　多生成樹（MST）使用修正的快速生成樹（RSTP）協(xié)議，叫做多生成樹協(xié)議（MSTP）多生成樹（MST）使用修正的快速生成樹（RSTP）協(xié)議，叫做多生成樹協(xié)議（MSTP）</p><p>　　多生成樹提出了域的概念，在域的內(nèi)部可以生成多個生成樹實例，并將VLAN關(guān)聯(lián)到相應(yīng)的實

98、例中，每個VLAN只能關(guān)聯(lián)到一個實例中。這樣在域內(nèi)部每個生成樹實例就形成一個邏輯上的樹拓?fù)浣Y(jié)構(gòu)，在域與域之間由CIST實例將各個域連成一個大的生成樹。各個VLAN內(nèi)的數(shù)據(jù)在不同的生成樹實例內(nèi)進行轉(zhuǎn)發(fā)，這樣就提供了負(fù)載均衡功能。</p><p>　　虛擬路由冗余協(xié)議(Virtual Router Redundancy Protocol，簡稱VRRP)是由IETF提出的解決局域網(wǎng)中配置靜態(tài)網(wǎng)關(guān)出現(xiàn)單點失效現(xiàn)象的路由協(xié)

99、議，1998年已推出正式的RFC2338協(xié)議標(biāo)準(zhǔn)。VRRP廣泛應(yīng)用在邊緣網(wǎng)絡(luò)中，它的設(shè)計目標(biāo)是支持特定情況下IP數(shù)據(jù)流量失敗轉(zhuǎn)移不會引起混亂，允許主機使用單路由器，以及及時在實際第一跳路由器使用失敗的情形下仍能夠維護路由器間的連通性。</p><p><b>　　基本配置如下：</b></p><p>　　spanning-tree</p><p&

100、gt;　　spanning-tree mst configuration</p><p>　　instance 0 vlan 5-4094</p><p>　　instance 1 vlan 1, 3</p><p>　　instance 2 vlan 2, 4</p><p>　　spanning-tree mst 0 priority

101、 4096</p><p>　　spanning-tree mst 1 priority 4096</p><p>　　spanning-tree mst 2 priority 8192</p><p>　　interface GigabitEthernet 0/1</p><p>　　Switch mode trunk</p>

102、<p>　　interface GigabitEthernet 0/47</p><p>　　port-group 1</p><p>　　interface GigabitEthernet 0/48</p><p>　　port-group 1</p><p>　　interface AggregatePort 1</p&

103、gt;<p>　　switchport mode trunk </p><p>　　interface VLAN 1</p><p>　　ip address 192.168.1.253 255.255.255.0</p><p>　　vrrp 1 priority 105</p><p>　　vrrp 1 ip 192.16

104、8.1.254</p><p>　　Vrrp 1 track gigabitEthernet 0/46</p><p>　　interface VLAN 2</p><p>　　ip address 192.168.2.253 255.255.255.0</p><p>　　vrrp 2 ip 192.168.2.254</p>

105、<p><b>　　4.6訪問控制技術(shù)</b></p><p>　　訪問控制列表是應(yīng)用在路由器接口的指令列表，這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕。</p><p>　　訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)也比較廣，包括入

106、網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。</p><p><b>　　基本配置如下：</b></p><p>　　SW-ZC3-6 (config)#ip access-list extended 1-ceng </p><p>　　SW-ZC3-6(config-ext-nacl)#permit ip host 192

107、.168.1.10 192.168.3.0 0.0.0.255</p><p>　　SW-ZC3-6(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255</p><p>　　SW-ZC3-6(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 192.168.5.

108、0 0.0.0.255</p><p>　　SW-ZC3-6SW-ZC3-6(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 host 10.0.5.5 eq 80</p><p>　　SW-ZC3-6(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 host 10.0.5.5 </p&

109、gt;<p>　　SW-ZC3-6 (config-ext-nacl)#per ip any any</p><p>　　SW-ZC3-6 (config)#int f0/1</p><p>　　SW-ZC3-6 (config-FastEthernet 0/1)#ip access-group 1-ceng in</p><p>　　SW-ZC3-6

110、 (config)#int vlan 10</p><p>　　SW-ZC3-6 ((config-VLAN 10)#ip access-group 1-ceng out</p><p><b>　　4.6訪問控制技術(shù)</b></p><p>　　AP(Access Point)，即無線接入點，是WLAN網(wǎng)絡(luò)中的重要組成部分，其工作機制類似有線

111、網(wǎng)絡(luò)中的集線器（HUB），無線終端可以通過AP進行終端之間的數(shù)據(jù)傳輸，也可以通過AP的“WAN”口與有線網(wǎng)絡(luò)互通。通常業(yè)界將AP分為胖AP和瘦AP。胖AP普遍應(yīng)用于SOHO家庭網(wǎng)絡(luò)或小型無線局域網(wǎng)，有線網(wǎng)絡(luò)入戶后，可以部署胖AP進行室內(nèi)覆蓋，室內(nèi)無線終端可以通過胖AP訪問INTERNET。</p><p>　　業(yè)界所謂的“胖”AP，其學(xué)名應(yīng)該稱之為無線路由器。無線路由器與純AP不同，除無線接入功能外，一般具備WA