計算機畢業(yè)論文--網(wǎng)絡(luò)公司構(gòu)架之淺談

1、<p><b>　　本科生畢業(yè)設(shè)計 </b></p><p><b>　　網(wǎng)絡(luò)公司構(gòu)架之淺談</b></p><p>　　院 系　計算機科學(xué)與技術(shù)學(xué)院 </p><p>　　專 業(yè)　計算機科學(xué)與技術(shù) 　 </p><p><b>　　摘 要</b

2、></p><p>　　隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。網(wǎng)絡(luò)的安全性、保密性、可靠穩(wěn)定性，對于企業(yè)和一些跨區(qū)域?qū)ｉT從事特定業(yè)務(wù)的部門，非常重要。所以有一個良好的網(wǎng)絡(luò)構(gòu)架那是必須的。</p><p>　　關(guān)鍵字：網(wǎng)絡(luò)規(guī)劃，路由，交換機</p><p><b>　　Abstract</b></p>&l

3、t;p>　　With the rapid development of the Internet, network security has become a potential huge problems. Network security, privacy, reliable stability, for enterprises and some cross area to specialize in particular b

4、usiness department, is very important. So there's a good network structure that is a must. </p><p>　　Keyboard：The network planning, routing, switches </p><p><b>　　目 錄</b></p&

5、gt;<p>　　緒 論- 1 -</p><p>　　第一章項目需求分析- 1 -</p><p>　　項目背景- 1 -</p><p>　　1.1.需求分析- 2 -</p><p>　　第二章 網(wǎng)絡(luò)總體建設(shè)目標(biāo)- 3 -</p><p>　　2.1網(wǎng)絡(luò)建設(shè)目標(biāo)- 3 -<

6、/p><p>　　2.2網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容及要求- 3 -</p><p>　　2.3網(wǎng)絡(luò)設(shè)計原則- 4 -</p><p>　　第三章 網(wǎng)絡(luò)總體設(shè)計- 5 -</p><p>　　3.1 網(wǎng)絡(luò)總體拓?fù)鋱D- 5 -</p><p>　　3.2 網(wǎng)絡(luò)層次化設(shè)計- 6 -</p><p>

7、　　第四章 路由設(shè)計- 7 -</p><p>　　4.1 路由協(xié)議選擇- 7 -</p><p>　　4.2 路由規(guī)劃拓?fù)鋱D- 9 -</p><p>　　4.3 IP地址規(guī)劃- 9 -</p><p>　　第五章 網(wǎng)絡(luò)安全解決方案- 11 -</p><p>　　5.1 網(wǎng)絡(luò)邊界安全威脅分析- 11 -

8、</p><p>　　5.2 網(wǎng)絡(luò)內(nèi)部安全威脅分析- 13 -</p><p>　　5.3 安全產(chǎn)品選型原則- 13 -</p><p>　　5.4 網(wǎng)絡(luò)常用技術(shù)介紹- 13 -</p><p>　　第六章 產(chǎn)品簡介- 16 -</p><p>　　第七章 項目實施計劃- 17 -</p>&l

9、t;p>　　7.1 項目組織結(jié)構(gòu)- 17 -</p><p>　　7.2 項目人員分工- 18 -</p><p>　　7.3 項目實施前的準(zhǔn)備工作- 18 -</p><p>　　7.4 安裝前的場地準(zhǔn)備- 19 -</p><p>　　7.5 核心及各網(wǎng)點的安裝調(diào)試- 20 -</p><p>　　

10、第八章 網(wǎng)絡(luò)測試- 20 -</p><p>　　8.1 網(wǎng)絡(luò)測試目的- 20 -</p><p>　　8.2 測試文檔- 21 -</p><p>　　第九章 總部實驗文檔- 23 -</p><p>　　一、實驗拓?fù)? 23 -</p><p>　　二、實驗配置- 24 -</p>&l

11、t;p>　　第十章 服務(wù)器配置- 45 -</p><p>　　一、DNS- 45 -</p><p>　　二、AD- 48 -</p><p>　　三、MAIL- 57 -</p><p>　　四、web- 60 -</p><p>　　五、FTP- 65 -</p><p&g

12、t;　　六、FILE- 69 -</p><p>　　七、ISA- 76 -</p><p><b>　　結(jié) 束 語2</b></p><p>　　參 考 文 獻77</p><p><b>　　附 錄78</b></p><p><b>　　致 謝3

13、</b></p><p><b>　　緒 論</b></p><p>　　網(wǎng)絡(luò)發(fā)展存在的幾個方面的差異，將會在中小型企業(yè)中特別是偏遠和經(jīng)濟相對落后的企業(yè)，網(wǎng)絡(luò)發(fā)展建設(shè)迫在眉睫，網(wǎng)絡(luò)建設(shè)隨后帶來的安全性問題就成為一個艱巨而又長期的問題。而在目前網(wǎng)絡(luò)管理安全技術(shù)人員短缺、安全意識相對淡薄的情況下，如何能夠在網(wǎng)絡(luò)建設(shè)初期或正在建設(shè)過程中盡早的建立起網(wǎng)絡(luò)安全意識

14、，了解網(wǎng)絡(luò)安全存在的威脅，選拔和培養(yǎng)自己的安全人才，新的安全人員能夠了解和掌握基本安全防范措施，制定適合本單位網(wǎng)絡(luò)安全的安全實施計劃，最大限度的避免和減少網(wǎng)絡(luò)威脅給企業(yè)帶來不必要的損失。本課題研究的目的和意義就是:在以上這些方面，為中小型企業(yè)網(wǎng)絡(luò)建設(shè)及網(wǎng)絡(luò)安全管理提供參考指導(dǎo)和幫助，同時，在一些安全技術(shù)上，給出分析和經(jīng)過具體實踐的解決方案。 國內(nèi)的目前情況是網(wǎng)絡(luò)建設(shè)工程通常由網(wǎng)絡(luò)服務(wù)提供商(ISP)或者網(wǎng)絡(luò)工程公司根據(jù)用戶需求提

15、供設(shè)計方案，往往是公司方面的意見占上風(fēng)，而企業(yè)方因為對網(wǎng)絡(luò)建設(shè)了解較少并且缺乏這一方面的技術(shù)人員，從而變成了單方面的策略模式;其二，公司方面為方便日后的維護等工作，在安全等方面更多注重設(shè)備的選型。但是，網(wǎng)絡(luò)運行、應(yīng)用和安全的主要工作在于建設(shè)之后，存在許多動態(tài)可變的因素。除了工程</p><p><b>　　一章項目需求分析</b></p><p><b>　

16、　項目背景</b></p><p>　　河北承德露露股份有限公司坐落于承德市高新技術(shù)產(chǎn)業(yè)開發(fā)區(qū)，注冊資金為2億人民幣，現(xiàn)為萬向三農(nóng)有限公司（法人）控股的上市公司。公司于1997年年底在深交所上市，成為國內(nèi)飲料行業(yè)首批上市公司之一。其總公司人數(shù)600人，分公司400人，公司以發(fā)展民族飲料為目標(biāo)，堅持走科技興廠的道路，本著“高起點引進、高速度發(fā)展、創(chuàng)造高效益”的原則，使技術(shù)裝備水平居國內(nèi)領(lǐng)先地位，從而使公

17、司的生產(chǎn)能力、科技含量有了更大的提高。 </p><p>　　公司發(fā)展穩(wěn)健，成長性良好，連續(xù)多年名列深市排行榜前列。公司堅持用優(yōu)質(zhì)的產(chǎn)品回報消費者，用良好的信譽、投資回報率答謝支持露露的廣大投資者。 </p><p>　　公司理念為：視品質(zhì)為生命堅持質(zhì)量第一，生產(chǎn)高品質(zhì)產(chǎn)品是露露企業(yè)的信念。露露嚴(yán)格把控產(chǎn)品質(zhì)量關(guān)，從不在質(zhì)量上投機取巧，因為露露堅信只有真正為消費者提供高品質(zhì)產(chǎn)品，才能使消費

18、者享受到健康營養(yǎng)，企業(yè)也因此才能立于不敗之地。</p><p>　　所以本項目的目標(biāo)是：建立一個世紀(jì)規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴展性與可用性并且具備可管理易維護的網(wǎng)絡(luò)及系統(tǒng)平臺，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率”。</p><p><b>　　需求分析</b></p><p>　　項目建設(shè)關(guān)鍵因素

19、分析</p><p>　　通過對整個項目建設(shè)的理解和分析，我們認(rèn)為整個項目建設(shè)需要考慮一下幾個關(guān)鍵因素</p><p>　　所選擇產(chǎn)品設(shè)備的成熟度</p><p>　　對于露露集團的客戶來說，信息化程度高，客戶較多，所以對于設(shè)備的選擇，一定要是世界知名的、設(shè)計先進的、技術(shù)理念成熟的產(chǎn)品。</p><p>　　建立和維護需要的人力成本</

20、p><p>　　知識管理時代需要處理海量信息的時代，僅僅依靠人工的操作時無法滿足用戶需求的，系統(tǒng)應(yīng)該擁有高度的自動化，給員工的操作和維護負(fù)擔(dān)就越少，從另一層面也節(jié)省了投資。</p><p>　　易用性及實用性的考慮</p><p>　　建設(shè)項目的系統(tǒng)使用性、可維護性是首要考慮問題，如果一個系統(tǒng)搭建起來，實用性差、維護不方便，不能滿足項目建設(shè)目標(biāo)，不能發(fā)揮信息服務(wù)和支撐的

21、作用。從這個角度看，只是管理平臺需要具有非常優(yōu)秀的易用性和實用性。</p><p>　　系統(tǒng)穩(wěn)定性及高性能考慮</p><p>　　系統(tǒng)需要支持長時間的不間斷工作，能夠支持多客戶的并發(fā)訪問，在客戶和信息不斷增長的情況下，系統(tǒng)應(yīng)該提供高性能穩(wěn)定的服務(wù)。</p><p><b>　　安全性</b></p><p>　　安全性

22、是任何一個大企業(yè)的關(guān)心的問題，所以整個系統(tǒng)需要具有非常周密的安全性考慮。</p><p><b>　　擴展性</b></p><p>　　對于一個系統(tǒng)，一定要考慮到系統(tǒng)今后的擴展和升級，所以整個系統(tǒng)應(yīng)該有良好的構(gòu)架，具有良好的擴展能力。</p><p>　　具體項目建設(shè)因素分析</p><p>　　我們本次的項目建設(shè)范圍

23、為總部和分部。</p><p><b>　　總部：</b></p><p>　　本地區(qū)具有本公司重要信息，分為幾個重要區(qū)域：數(shù)據(jù)中心，服務(wù)器，核心交換區(qū)。數(shù)據(jù)中心區(qū)域存儲本公司機密，其需要性能好，穩(wěn)定性好，安全可靠；核心交換區(qū)能高速安全可靠的交換數(shù)據(jù)，它需要性能佳，穩(wěn)定性好，冗余性好，可擴展性好。因此我們在設(shè)計時會著重考慮這些因素。</p><p&

24、gt;<b>　　分部：</b></p><p>　　本地區(qū)相當(dāng)于總部的子區(qū)域，因此總部可以知道其內(nèi)部的網(wǎng)絡(luò)構(gòu)架，并合理利用其資源。相對來講，為了防止機密流失，我們會防止其分部進入總部的骨干區(qū)域。</p><p>　　在當(dāng)今的市場，對于以上的技術(shù)分析，都有相應(yīng)的設(shè)備對其進行完善，對公司的網(wǎng)絡(luò)運營有很大幫助。</p><p>　　第二章 網(wǎng)絡(luò)總體

25、建設(shè)目標(biāo)</p><p><b>　　網(wǎng)絡(luò)建設(shè)目標(biāo)</b></p><p>　　貴公司目前網(wǎng)絡(luò)尚不完善，我們的建設(shè)目標(biāo)是：完善公司的高層核心網(wǎng)絡(luò)和服務(wù)器，使其內(nèi)部員工在工作時間內(nèi)僅可以訪問共享資源，上網(wǎng)查資料，收發(fā)郵件，絕對杜絕員工于工作時間玩游戲，聊天等。建設(shè)一個具有高可用性、高可靠性、先進、開放、可擴展的智能信息化網(wǎng)絡(luò)系統(tǒng)。</p><p>

26、;　　網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容及要求</p><p><b>　　骨干核心層網(wǎng)絡(luò)設(shè)計</b></p><p>　　企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的核心網(wǎng)主要完成整個企業(yè)集團內(nèi)部不同地域企業(yè)之間的高速數(shù)據(jù)路由轉(zhuǎn)發(fā)，以及維護全網(wǎng)路由的計算。鑒于集團企業(yè)的用戶數(shù)量眾多，業(yè)務(wù)復(fù)雜，數(shù)據(jù)轉(zhuǎn)發(fā)時難免遇到擁塞、阻塞等情況，所以需要用到QOS技術(shù)。</p><p>　　在骨干核心

27、層中，我們采用核心路由交換機組成一個環(huán)形多機熱備份的核心交換機系統(tǒng)解決方案。為提高核心網(wǎng)絡(luò)的健壯性，防止單臺設(shè)備失效造成的網(wǎng)絡(luò)中斷，實現(xiàn)鏈路的安全保障，本方案骨干核心層環(huán)網(wǎng)中可以采用HSRP（熱備份路由協(xié)議）技術(shù)。對于各個業(yè)務(wù)VLAN可以指向這個虛擬的IP地址作為網(wǎng)關(guān)，因此應(yīng)用HSRP技術(shù)為核心交換機提供了一個可靠的網(wǎng)關(guān)地址，以實現(xiàn)在核心層核心交換機之間進行設(shè)備的冗余，一主兩備，共用一個虛擬的IP地址和MAC地址，通過內(nèi)部的協(xié)議傳輸機制

28、可以自動進行工作角色的切換。進而雙引擎、雙電源的設(shè)計為網(wǎng)絡(luò)高效處理集中數(shù)據(jù)提供了可靠的保障。另外，我們還采用CHANNEL（鏈路捆綁技術(shù)）技術(shù)，提高鏈路的高效利用,可以把兩條物理鏈路捆綁成一條虛擬的鏈路,可以避免環(huán)路。鏈路捆綁技術(shù)是把多條鏈路捆綁起來，為了提高帶寬，出入流量可以在多個成員接口之間分擔(dān)，也可以加大鏈路的利用率。而且鏈路捆綁技術(shù)用來做冗余，將兩條物理鏈路捆綁成一條，可以使同時使用的帶寬變?yōu)閮杀?，?shù)據(jù)在兩條鏈路上同時發(fā)送數(shù)據(jù)。

29、當(dāng)某個成員接口出現(xiàn)故障時，流量會自動切換到其他可用的成員接口上，并且進行無縫切換，不會影響到數(shù)據(jù)的傳輸，從而提</p><p><b>　　核心層網(wǎng)絡(luò)設(shè)計</b></p><p>　　企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的核心層網(wǎng)絡(luò)主要完成園區(qū)內(nèi)各個匯集層設(shè)備之間的數(shù)據(jù)交換和與骨干核心層網(wǎng)絡(luò)之間的路由轉(zhuǎn)發(fā)。本層采用CISCO WS-C3560G-24TS-S 核心路由交換機作為企業(yè)生產(chǎn)辦

30、公網(wǎng)絡(luò)的園區(qū)核心路由交換設(shè)備，CISCO WS-C3560G-24TS-S 具有強大的業(yè)務(wù)和路由交換的處理能力，能提供 VPN 、Qos、策略路由、NAT、PPPOE/WEB/802.1X/L2TP 認(rèn)證等豐富業(yè)務(wù)能力，并可通過內(nèi)置防火墻模塊實現(xiàn)各種強大的網(wǎng)絡(luò)安全策略，可以充分滿足企業(yè)不同園區(qū)網(wǎng)絡(luò)的高速數(shù)據(jù)交換和支持多業(yè)務(wù)功能的要求，并能夠提供完善的安全防御策略，保障企業(yè)園區(qū)網(wǎng)絡(luò)的穩(wěn)定運行。 </p><p>

31、<b>　　匯聚層網(wǎng)絡(luò)設(shè)計</b></p><p>　　匯聚層網(wǎng)絡(luò)主要完成企業(yè)各園區(qū)內(nèi)辦公樓和相關(guān)單位的內(nèi)接入交換機的匯聚及數(shù)據(jù)交換和VLAN終結(jié)，在本方案中采用WS-C2960-24TT-L 交換機多層交換機作為匯聚層的交換機。WS-C2960-24TT-L 交換機在提供高密度千兆端口接入的同時還能夠滿足匯聚層智能高速處理的需要，并能夠靈活的部署在網(wǎng)絡(luò)邊緣的各個位置。能夠同時提供多個高

32、速專用堆疊端口和百兆光口/電口。這些交換機都具備較強的多業(yè)務(wù)提供的能力。為用戶提供豐富、高性能價比的組網(wǎng)選擇。</p><p><b>　　接入層網(wǎng)絡(luò)設(shè)計</b></p><p>　　以往傳統(tǒng)企業(yè)網(wǎng)絡(luò)接入層的建設(shè)中并不關(guān)注于安全控制和QOS提供的能力，而將網(wǎng)絡(luò)的安全防御措施和QOS保障依賴于網(wǎng)絡(luò)的匯聚層或骨干層設(shè)備，這給匯聚層和骨干層設(shè)備帶來了巨大的壓力，往往內(nèi)網(wǎng)病毒

33、泛濫成災(zāi)后導(dǎo)致骨干層設(shè)備癱瘓，使網(wǎng)絡(luò)沒有QOS服務(wù)質(zhì)量的保障。</p><p>　　Cisco WS-C2918-48TC-C(思科二層交換機)是滿足高安全、多業(yè)務(wù)承載、高性能網(wǎng)絡(luò)環(huán)境的換機，具備傳統(tǒng)二層交換機大容量、高性能等優(yōu)點，同時還具有領(lǐng)先的安全特性，進一步加強了企業(yè)網(wǎng)絡(luò)對邊緣接入層的安全控制能力。用戶可以根據(jù)需要來訂制自身的安全策略并部署在此交換機上。該產(chǎn)品具備的端口帶寬限制、端口鏡像、QOS、端口安全、

34、廣播風(fēng)暴抵制等功能可以很好的協(xié)助用戶實現(xiàn)網(wǎng)絡(luò)的管理和維護。除此之外，此交換機還具備多個專用堆疊接口，可以滿足樓層，樓宇內(nèi)多個交換機高性能匯聚的需要。</p><p><b>　　冗余/負(fù)載均衡設(shè)計</b></p><p>　　冗余和負(fù)載均衡的設(shè)計是網(wǎng)絡(luò)設(shè)計的重要部分，是保證網(wǎng)絡(luò)整體可靠性能的重要手段。但是投資也將增加。部分企業(yè)網(wǎng)在早期的建設(shè)中由于成本的原因并未在設(shè)計中

35、考慮到冗余的問題，而在優(yōu)化工作中則需從網(wǎng)絡(luò)鏈路和網(wǎng)絡(luò)設(shè)備兩方面著手。冗余和負(fù)載均衡設(shè)計可以貫穿整個層次化結(jié)構(gòu)。我們采用了PVST（每vlan生成樹協(xié)議）技術(shù)，它為每個在網(wǎng)絡(luò)中配置的VLAN維護一個生成樹實例，減少了生成樹拓?fù)涞目偡秶?，增強了可擴張性并減少了收斂時間，提供快速回復(fù)和更好的可靠性。并且防止了環(huán)路，實現(xiàn)了負(fù)載均衡，數(shù)據(jù)的備份和冗余。萬一網(wǎng)絡(luò)中某條路徑失效時，冗余鏈路可以提供另一條路徑，使網(wǎng)絡(luò)能夠及時的正常運行，高效合理的利用好

36、網(wǎng)絡(luò)當(dāng)中的每條可用鏈路。</p><p><b>　　服務(wù)器冗余設(shè)計</b></p><p>　　企業(yè)網(wǎng)中服務(wù)器、大型機，如網(wǎng)絡(luò)存儲服務(wù)器，SQL Server服務(wù)器，其存儲的數(shù)據(jù)對于企業(yè)來說至關(guān)重要，一些核心數(shù)據(jù)被視為企業(yè)的生命。一方面它對企業(yè)的重要性毋庸置疑，另一方面，由于這些數(shù)據(jù)的性質(zhì)決定了其較大的被訪問量，這個對服務(wù)器提出了穩(wěn)定和快速的要求。為此，我們采用的是

37、輪詢的方法，輪詢是基站為終端分配帶寬的一種處理流程，這種分配可以是針對單個終端或是一組終端的。輪詢是基于終端的，帶寬的請求總是基于CID，而分配則是基于終端。為一組終端和連接分配帶寬實際上是定義帶寬請求競爭機制，這種分配不是使用一個單獨的消息，而是上行鏈路映射消息中包含的一系列分配機制，這樣使得每個服務(wù)器都能夠更好、更快的工作，提高了工作效率，更充分的利用了每個服務(wù)器。</p><p>　　本網(wǎng)絡(luò)中應(yīng)具備有多臺服

38、務(wù)器設(shè)備，包括DB SERVER 數(shù)據(jù)庫服務(wù)器，WEB 等應(yīng)用服務(wù)器，NEWS，MALL等通訊服務(wù)器以及多媒體服務(wù)器等。</p><p><b>　　網(wǎng)絡(luò)設(shè)計原則</b></p><p>　　為構(gòu)建高質(zhì)量的網(wǎng)絡(luò)，再網(wǎng)絡(luò)建設(shè)中要堅持以下原則：</p><p>　　高可靠性：網(wǎng)絡(luò)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運行的關(guān)鍵，保證在網(wǎng)絡(luò)設(shè)計中選用高可靠性的網(wǎng)絡(luò)

39、產(chǎn)品設(shè)備，充分考慮冗余、容錯和備份能力，同時合理設(shè)計網(wǎng)絡(luò)構(gòu)架，制定可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的可靠運行。</p><p>　　技術(shù)先進性：在保證滿足基本業(yè)務(wù)應(yīng)用的同時，又要體現(xiàn)出網(wǎng)絡(luò)的先進性。再網(wǎng)絡(luò)設(shè)計中要把先進的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來，充分考慮到網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來發(fā)展趨勢。</p><p>　　高性能：骨干網(wǎng)絡(luò)的性能是整個網(wǎng)絡(luò)良好運行

40、的基礎(chǔ)，在設(shè)計中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)、語音、圖像）的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為業(yè)務(wù)的擴展。</p><p>　　標(biāo)準(zhǔn)開放性：支持國際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、國際標(biāo)準(zhǔn)的大型的動態(tài)路由協(xié)議等開放協(xié)議，有利于以保證與其他網(wǎng)絡(luò)之間的平滑連接互通，以及將來網(wǎng)絡(luò)的擴展。</p><p>　　可管理性：選用先進的網(wǎng)絡(luò)管理平臺，具有對設(shè)備、端口等的管理及流量統(tǒng)計分析，并可提供

41、保障自動報警。</p><p>　　可擴展性：根據(jù)未來業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)可以平滑地擴充和升級，最大程度的減少對網(wǎng)絡(luò)構(gòu)架和現(xiàn)有設(shè)備的調(diào)整。</p><p>　　安全性：制定統(tǒng)一的網(wǎng)絡(luò)安全策略，整體考慮網(wǎng)絡(luò)平臺的安全性，做到業(yè)務(wù)數(shù)據(jù)的安全傳遞和網(wǎng)絡(luò)設(shè)備不受黑客攻擊。</p><p>　　經(jīng)濟性：在充分利用現(xiàn)有資源的情況下，最大限度地降低網(wǎng)絡(luò)系統(tǒng)的總體投資，有計劃、有

42、步驟地實施，在保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級。</p><p>　　第三章 網(wǎng)絡(luò)總體設(shè)計</p><p>　　3.1 網(wǎng)絡(luò)總體拓?fù)鋱D</p><p>　　考慮到總公司的實際需求，建議采用兩臺Cisco Catalyst3560 做雙機熱備，用Cisco 專有熱備份路由協(xié)議技術(shù)（HSRP），根據(jù)需求配置成多組HSRP；同時雙機還可以做負(fù)

43、載均衡。</p><p>　　這樣設(shè)計不但保證網(wǎng)絡(luò)的高可用性和穩(wěn)定性，還能夠充分利用現(xiàn)有設(shè)</p><p>　　備的資源，以避免單臺核心設(shè)備的負(fù)載太重而導(dǎo)致的網(wǎng)絡(luò)性能問題。</p><p>　　如上圖所示，整體網(wǎng)絡(luò)可以根據(jù)功能劃分為總部核心網(wǎng)絡(luò)、內(nèi)聯(lián)接入包括辦公網(wǎng)絡(luò)、數(shù)據(jù)中心、分公司接入等，各區(qū)域相對獨立，通過</p><p>　　核心網(wǎng)絡(luò)進

44、行數(shù)據(jù)的交互。</p><p>　　各區(qū)域可以各自建立交換網(wǎng)絡(luò)、路由接入、網(wǎng)絡(luò)安全體系，可</p><p>　　以有獨立的安全策略、數(shù)據(jù)流量控制等個體的特性，而需要和其他區(qū)</p><p>　　域的設(shè)備進行通訊的時候，則必須遵守核心網(wǎng)絡(luò)區(qū)的策略。</p><p>　　3.2 網(wǎng)絡(luò)層次化設(shè)計</p><p>　　隨著網(wǎng)絡(luò)

45、技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長，分布式的網(wǎng)絡(luò)服</p><p>　　務(wù)和交換已經(jīng)移至用戶級，由此形成了一個新的、更適應(yīng)現(xiàn)代的高速</p><p>　　大型網(wǎng)絡(luò)的分層設(shè)計模型。這種分級方法被稱為“多層設(shè)計”。多層</p><p>　　設(shè)計有以下一些好處：</p><p>　　多層設(shè)計是模塊化的，網(wǎng)絡(luò)容量可隨著日后網(wǎng)絡(luò)節(jié)點的增加而不</p

46、><p><b>　　斷增大。</b></p><p>　　多層網(wǎng)絡(luò)有很大的確定性，因此在運行和擴展過程中進行故障查</p><p><b>　　找和排除非常簡單。</b></p><p>　　多層網(wǎng)絡(luò)系統(tǒng)設(shè)計最有效地利用多種第3 層業(yè)務(wù)，包括分段﹑負(fù)</p><p>　　載分擔(dān)

47、和故障恢復(fù)等。</p><p>　　在分層網(wǎng)絡(luò)中運用智能第3 層業(yè)務(wù)可以大大減少因配置不當(dāng)或</p><p>　　故障設(shè)備引起的一般問題。</p><p>　　多層模式使網(wǎng)絡(luò)的移植更為簡單易行，因為它保留了基于路由器</p><p>　　和交換機的網(wǎng)絡(luò)原有的尋址方案，對以往的網(wǎng)絡(luò)有很好的兼容性。</p><p>　　另

48、外分層結(jié)構(gòu)也能夠?qū)W(wǎng)絡(luò)的故障進行很好的隔離。</p><p>　　針對實際情況我們可以采用三層結(jié)構(gòu)模型。 三層結(jié)構(gòu)模型劃分</p><p>　　為三個層次，即核心層、分布層、接入層。每個層次完成不同的功能。</p><p><b>　　核心層</b></p><p>　　核心層作為整個網(wǎng)絡(luò)系統(tǒng)的核心，其主要功能是高速、可

49、靠的進</p><p><b>　　行數(shù)據(jù)交換。</b></p><p><b>　　分布層</b></p><p>　　分布層主要進行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進行訪問</p><p>　　控制。包括訪問控制列表、VLAN 路由等等。</p><p><b&g

50、t;　　接入層</b></p><p>　　接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。主要是進行VLAN</p><p>　　的劃分、與分布層的連接等等。</p><p><b>　　核心層設(shè)計</b></p><p>　　核心交換區(qū)的作用是盡快地提供所有的區(qū)域間的數(shù)據(jù)交換。我們</p><p

51、>　　推薦使用兩臺Cisco Catalyst 3560交換機完成此項功能。兩臺3560</p><p>　　交換機高性能、可靠性、可用性是我們主要考慮的因素。本區(qū)的安全</p><p>　　性可以由邊界防火墻提供，如有需要在3560 上面可以部署安全策略，使得核心交換區(qū)的安全性進一步地增強。</p><p>　　Cisco Catalyst 3560 系列憑

52、借眾多智能服務(wù)將控制擴展到網(wǎng)絡(luò)</p><p>　　邊緣，其中包括先進的服務(wù)質(zhì)量 (QOS)、可預(yù)測性能、高級安全性和全面的管理。它提供帶集成永續(xù)性的出色控制，將永續(xù)性集成到硬件和軟件中，縮短了網(wǎng)絡(luò)停運時間。Cisco Catalyst 3560 系列的模塊化架構(gòu)、介質(zhì)靈活性和可擴展性減少了重復(fù)運營開支，提高了投資回報（ROI），從而在延長部署壽命的同時降低了擁有成本。</p><p>&

53、lt;b>　　接入層設(shè)計</b></p><p>　　接入層交換機采用思科的WS-C2960 以千兆以太鏈路和匯聚交換機相連接，并為用戶終端提供10/100M 自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。辦公系統(tǒng)所需的各種服務(wù)器如辦公自動化服務(wù)器、郵件服務(wù)器、DHCP 服務(wù)器等組成服務(wù)器群，數(shù)據(jù)中心的多種金融系統(tǒng)應(yīng)用服務(wù)器, 連接到匯聚交換機的千兆模塊上面,因此，內(nèi)部的局域網(wǎng)是

54、采用三層結(jié)構(gòu)組建。</p><p><b>　　內(nèi)聯(lián)接入</b></p><p>　　內(nèi)聯(lián)接入的作用是用于連接上海期貨機房和北京辦公網(wǎng)絡(luò)。我們推薦使用兩臺Cisco 2800系列路由器通過SDH/DDN線路完成此項功能。</p><p>　　由于總部網(wǎng)絡(luò)和分部機房屬于公司的內(nèi)部網(wǎng)絡(luò)的一部分，因此可信度很高；接入時主要作用是生產(chǎn)運營系統(tǒng)的數(shù)據(jù)交換

55、，查詢等等和管理以及監(jiān)控?？偨Y(jié)以上的原因，內(nèi)聯(lián)路由器與核心交換網(wǎng)絡(luò)間不需要配置額外的防火墻。</p><p><b>　　第四章 路由設(shè)計</b></p><p>　　4.1 路由協(xié)議選擇</p><p>　　開放式最短路徑優(yōu)先（Open Shortest Path First，OSPF）協(xié)議是一種為IP網(wǎng)絡(luò)開發(fā)的內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議，由IET

56、F開 發(fā)并推薦使用。</p><p>　　OSPF定義了5種分組：Hello分組用于建立和維護連接；數(shù)據(jù)庫描述分組初始化路由器的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫；當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫中的某部分信息已經(jīng)過時后，路由器發(fā)送鏈路狀態(tài)請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來主動擴散自己的鏈路狀態(tài)數(shù)據(jù)庫或?qū)︽溌窢顟B(tài)請求分組進行響應(yīng)；由于OSPF直接運行在IP層，協(xié)議本身要提供確認(rèn)機制，鏈路狀態(tài)應(yīng)答分組是對鏈路狀態(tài)更新分組進行確認(rèn)

57、。</p><p>　　OSPF協(xié)議由三個子協(xié)議組成：Hello協(xié)議、交換協(xié)議和擴散協(xié)議。其中Hello協(xié)議負(fù)責(zé)檢查鏈路是否可用，并完成指定路由器及備份指定路由器；交換協(xié)議完成“主”、“從”路由器的指定并交換各自的路由數(shù)據(jù)庫信息；擴散協(xié)議完成各路由器中路由數(shù)據(jù)庫的同步維護。</p><p>　　OSPF協(xié)議主要優(yōu)點：</p><p>　　為了克服距離矢量路由選擇協(xié)議

58、的缺點，開發(fā)了鏈路狀態(tài)選擇協(xié)議。</p><p>　　鏈路狀態(tài)路由選擇協(xié)議僅在網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時才生成路由選擇更新。</p><p>　　鏈路狀態(tài)路由選擇協(xié)議具體如下特征：</p><p>　　快速響應(yīng)網(wǎng)絡(luò)變化 .</p><p>　　在網(wǎng)絡(luò)變化時發(fā)送觸發(fā)更新 .</p><p>　　以較低的頻率發(fā)送定期更新，被稱為鏈

59、路狀態(tài)刷新（LSU）.</p><p><b>　　SPF算法</b></p><p>　　最短路徑優(yōu)先（SPF）路由算法，又稱Dijkstra算法，所有的OSPF路由器并執(zhí)行SPF算法，根據(jù)路由器的拓?fù)鋽?shù)據(jù)庫構(gòu)造出來以他自己為根結(jié)點的最短路徑樹。這個最短路徑樹就生成了路由表。</p><p>　　OSPF規(guī)定有層次的網(wǎng)路結(jié)構(gòu)，OSPF將網(wǎng)絡(luò)分

60、為若干區(qū)域：</p><p>　　傳輸區(qū)域（骨干區(qū)域）：主要的功能為快速高效的傳輸IP分組的OSPF區(qū)域，中轉(zhuǎn)區(qū)域?qū)⑵渌愋偷腛SPF區(qū)域連接起來。</p><p>　　常規(guī)區(qū)域（非骨干區(qū)域）：主要功能是為了連接用戶和資源的OSPF區(qū)域</p><p>　　骨干區(qū)域的區(qū)域號必須為0。所以的常規(guī)區(qū)域必須與骨干區(qū)域相連。</p><p>　　層次

61、化區(qū)域的優(yōu)點：便于管理。</p><p><b>　　最小化路由表</b></p><p>　　將拓?fù)渥兏绊懴拗圃趨^(qū)域內(nèi)</p><p>　　將LSA變更泛洪限制在范圍內(nèi) </p><p>　　OSPF路由器在完全鄰接之前,所經(jīng)過的幾個狀態(tài):</p><p>　　Down:此狀態(tài)還沒有與其他路由

62、器交換信息。首先從其ospf接口向外發(fā)送hello分組，還并不知道DR(若為廣播網(wǎng)絡(luò))和任何其他路由器。發(fā)送hello分組使用組播地址224.0.0.5。</p><p>　　Attempt: 只適于NBMA網(wǎng)絡(luò),在NBMA網(wǎng)絡(luò)中鄰居是手動指定的,在該狀態(tài)下,路由器將使用HelloInterval取代PollInterval來發(fā)送Hello包。</p><p>　　Init: 表明在Dea

63、dInterval里收到了Hello包,但是2-Way通信仍然沒有建立起來。</p><p>　　two-way: 雙向會話建立,而RID彼此出現(xiàn)在對方的鄰居列表中。(若為廣播網(wǎng)絡(luò)：例如：以太網(wǎng)。在這個時候應(yīng)該選舉DR,BDR)。</p><p>　　ExStart: 信息交換初始狀態(tài)，在這個狀態(tài)下,本地路由器和鄰居將建立Master/Slave關(guān)系,并確定DD Sequence Numb

64、er,路由器ID大的的成為Master.</p><p>　　Exchange: 信息交換狀態(tài)，本地路由器和鄰居交換一個或多個DBD分組（也叫DDP) 。DBD包含有關(guān)LSDB中LSA條目的摘要信息)。</p><p>　　Loading: 信息加載狀態(tài)：收到DBD后,將收到的信息同LSDB中的信息進行比較。如果DBD中有更新的鏈路狀態(tài)條目，則向?qū)Ψ桨l(fā)送一個LSR，用于請求新的LSA 。&

65、lt;/p><p>　　Full: 完全鄰接狀態(tài),鄰接間的鏈路狀態(tài)數(shù)據(jù)庫同步完成，通過鄰居鏈路狀態(tài)請求列表為空且鄰居狀態(tài)為Loading判斷。</p><p>　　另外OSPF還有自己的自制系統(tǒng)即AS 自治系統(tǒng)（autonomous system）：一組相互管理下的網(wǎng)絡(luò)，它們共享同一個路由選擇方法，自治系統(tǒng)由地區(qū)再劃分并必須由IANA分配一個單獨的16位數(shù)字。地區(qū)通常連接到其他地區(qū)，使用路由器

66、創(chuàng)建一個自治系統(tǒng)。</p><p>　　為了保持骨干區(qū)域與普通區(qū)域的連通性，需要虛鏈路。</p><p>　　虛鏈路(Virtual Link)</p><p>　　以下兩種情況需要使用到虛鏈路:</p><p>　　1. 通過一個非骨干區(qū)域連接到一個骨干區(qū)域。</p><p>　　2. 通過一個非骨干區(qū)域連接一個分段

67、的骨干區(qū)域兩邊的部分區(qū)域。</p><p>　　虛鏈接是一個邏輯的隧道（Tunnel）,配置虛鏈接的一些規(guī)則:</p><p>　　1. 虛鏈接必須配置在2個ABR之間。</p><p>　　2. 虛鏈接所經(jīng)過的區(qū)域叫Transit Area,它必須擁有完整的路由信息。</p><p>　　3. Transit Area不能是Stub Are

68、a。</p><p>　　4. 盡可能的避免使用虛鏈接,它增加了網(wǎng)絡(luò)的復(fù)雜程度和加大了排錯的難度。</p><p>　　4.2 路由規(guī)劃拓?fù)鋱D</p><p>　　4.3 IP地址規(guī)劃</p><p>　　標(biāo)識網(wǎng)絡(luò)中的一個節(jié)點。IP 地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相</p><p>　　適應(yīng)，既要有效地利用地址空間，

69、又要體現(xiàn)出網(wǎng)絡(luò)的可擴展性和靈活</p><p>　　性，同時能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變</p><p><b>　　化的收斂速度。</b></p><p>　　我們根據(jù)以下幾個原則來分配IP 地址：</p><p>　　唯一性：一個IP 網(wǎng)絡(luò)中不能有兩個主機采用相同的IP 地址</p>

70、;<p>　　簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴展的復(fù)雜性，簡化路</p><p><b>　　由表的款項</b></p><p>　　連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進行路由總結(jié)(Route</p><p>　　Summarization)，大大縮減路由表，提高路由算法的效率</p><p>

71、　　可擴展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴展時</p><p>　　能保證地址總結(jié)所需的連續(xù)性</p><p>　　靈活性：地址分配應(yīng)具有靈活性，可借助可變長子網(wǎng)掩碼技術(shù)</p><p>　　(VLSM Variable-Length Subnet Mask)，以滿足多種路由策略的優(yōu)</p><p>　　化，充分利用地址空間

72、。</p><p>　　第五章 網(wǎng)絡(luò)安全解決方案</p><p>　　5.1 網(wǎng)絡(luò)邊界安全威脅分析</p><p>　　與非安全網(wǎng)絡(luò)的互聯(lián)面臨的安全問題與網(wǎng)絡(luò)內(nèi)部的安全是不同的，主要的原因是攻擊人是不可控的，攻擊是不可溯源的，也沒有辦法去“封殺”，一般來說網(wǎng)絡(luò)邊界上的安全問題主要有下面幾個方面：</p><p>　　1、 信息泄密：網(wǎng)絡(luò)上的資

73、源是可以共享的，但沒有授權(quán)的人得到了他不該得到的資源，信息就泄露了。一般信息泄密有兩種方式：</p><p>　　攻擊者(非授權(quán)人員)進入了網(wǎng)絡(luò)，獲取了信息，這是從網(wǎng)絡(luò)內(nèi)部的泄密 </p><p>　　合法使用者在進行正常業(yè)務(wù)往來時，信息被外人獲得，這是從網(wǎng)絡(luò)外部的泄密</p><p>　　2、 入侵者的攻擊：互聯(lián)網(wǎng)是世界級的大眾網(wǎng)絡(luò)，網(wǎng)絡(luò)上有各種勢力與團體。入侵就

74、是有人通過互聯(lián)網(wǎng)進入你的網(wǎng)絡(luò)(或其他渠道)，篡改數(shù)據(jù)，或?qū)嵤┢茐男袨?，造成你網(wǎng)絡(luò)業(yè)務(wù)的癱瘓，這種攻擊是主動的、有目的、甚至是有組織的行為。</p><p>　　3、 網(wǎng)絡(luò)病毒：與非安全網(wǎng)絡(luò)的業(yè)務(wù)互聯(lián)，難免在通訊中帶來病毒，一旦在你的網(wǎng)絡(luò)中發(fā)作，業(yè)務(wù)將受到巨大沖擊，病毒的傳播與發(fā)作一般有不確定的隨機特性。這是“無對手”、“無意識”的攻擊行為。</p><p>　　4、 木馬入侵：木馬的發(fā)展是

75、一種新型的攻擊行為，他在傳播時象病毒一樣自由擴散，沒有主動的跡象，但進入你的網(wǎng)絡(luò)后，便主動與他的“主子”聯(lián)絡(luò)，從而讓主子來控制你的機器，既可以盜用你的網(wǎng)絡(luò)信息，也可以利用你的系統(tǒng)資源為他工作，比較典型的就是“僵尸網(wǎng)絡(luò)”。</p><p>　　來自網(wǎng)絡(luò)外部的安全問題，重點是防護與監(jiān)控。來自網(wǎng)絡(luò)內(nèi)部的安全，人員是可控的，可以通過認(rèn)證、授權(quán)、審計的方式追蹤用戶的行為軌跡，也就是我們說的行為審計與合軌性審計。</p

76、><p>　　由于有這些安全隱患的存在，在網(wǎng)絡(luò)邊界上，最容易受到的攻擊方式有下面幾種：</p><p>　　1、 黑客入侵：入侵的過程是隱秘的，造成的后果是竊取數(shù)據(jù)與系統(tǒng)破壞。木馬的入侵也屬于黑客的一種，只是入侵的方式采用的病毒傳播，達到的效果與黑客一樣。</p><p>　　2、 病毒入侵：病毒就是網(wǎng)絡(luò)的蛀蟲與垃圾，大量的自我繁殖，侵占系統(tǒng)與網(wǎng)絡(luò)資源，導(dǎo)致系統(tǒng)性能下降

77、。病毒對網(wǎng)關(guān)沒有影響，就象“走私”團伙，一旦進入網(wǎng)絡(luò)內(nèi)部，便成為可怕的“瘟疫”，病毒的入侵方式就象“水”的滲透一樣，看似漫無目的，實則無孔不入。</p><p>　　3、 網(wǎng)絡(luò)攻擊：網(wǎng)絡(luò)攻擊是針對網(wǎng)絡(luò)邊界設(shè)備或系統(tǒng)服務(wù)器的，主要的目的是中斷網(wǎng)絡(luò)與外界的連接，比如DOS攻擊，雖然不破壞網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)，但阻塞了應(yīng)用的帶寬，可以說是一種公開的攻擊，攻擊的目的一般是造成你服務(wù)的中斷。</p><p&g

78、t;　　5.2 網(wǎng)絡(luò)內(nèi)部安全威脅分析</p><p>　　公司內(nèi)部網(wǎng)絡(luò)的風(fēng)險分析主要針對整個內(nèi)網(wǎng)的安全風(fēng)險，主要表現(xiàn)為以下幾個方面：</p><p>　　1..內(nèi)部用戶的非授權(quán)訪問；內(nèi)部的資源也不是對任何的員工都開放的，也需要有相應(yīng)的訪問權(quán)限。內(nèi)部用戶的非授權(quán)的訪問，更容易造成資源和重要信息的泄漏。</p><p>　　2.內(nèi)部用戶的誤操作；由于內(nèi)部用戶的計算機造作

79、的水平參差不</p><p>　　齊，對于應(yīng)用軟件的理解也各不相同，如果一部分軟件沒有相應(yīng)的對</p><p>　　誤操作的防范措施，極容易給服務(wù)系統(tǒng)和其他主機造成危害。</p><p>　　內(nèi)部用戶的惡意攻擊；就網(wǎng)絡(luò)安全來說，據(jù)統(tǒng)計約有70％左右</p><p>　　的攻擊來自內(nèi)部用戶，相比外部攻擊來說，內(nèi)部用戶具有更得天獨厚</p&

80、gt;<p>　　的優(yōu)勢，因此，對內(nèi)部用戶攻擊的防范也很重要。</p><p>　　設(shè)備的自身安全性也會直接關(guān)系到各種系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運轉(zhuǎn)。例如，路由設(shè)備存在路由信息泄漏、交換機和路由器設(shè)備配置風(fēng)險等。</p><p>　　3.重要服務(wù)器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒有及</p><p>　　時的發(fā)現(xiàn)并且進行修復(fù)，將會為網(wǎng)絡(luò)的安全帶

81、來很多不安定的因素。</p><p>　　重要服務(wù)器的當(dāng)機或者重要數(shù)據(jù)的意外丟失，都將會造成內(nèi)部的業(yè)務(wù)無法正常運行。</p><p>　　4.安全管理的困難，對于眾多的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備，安全策</p><p>　　略的配置和安全事件管理的難度很大。</p><p>　　5.3 安全產(chǎn)品選型原則</p><p>　

82、　公司網(wǎng)絡(luò)屬于一個行業(yè)的專用網(wǎng)絡(luò)，因此在安全產(chǎn)品的選型</p><p>　　上，必須慎重，選型的原則包括：</p><p>　　1.安全保密產(chǎn)品的接入應(yīng)不明顯影響網(wǎng)絡(luò)系統(tǒng)運行效率，并且滿足</p><p>　　工作的要求，不影響正常的業(yè)務(wù)；</p><p>　　2.安全保密產(chǎn)品必須滿足上面提出的安全需求，保證整個公司企業(yè)網(wǎng)絡(luò)的安全性。<

83、/p><p>　　3.安全保密產(chǎn)品必須通過國家主管部門指定的測評機構(gòu)的檢測；</p><p>　　4.安全保密產(chǎn)品必須具備自我保護能力；</p><p>　　5.安全保密產(chǎn)品必須符合國家和國際上的相關(guān)標(biāo)準(zhǔn)；</p><p>　　6.安全產(chǎn)品必須操作簡單易用，便于簡單部署和集中管理</p><p>　　5.4 網(wǎng)絡(luò)常用技術(shù)介

84、紹</p><p><b>　　HSRP 協(xié)議</b></p><p>　　我們使用HSRP來實現(xiàn)對故障路由器的接管,HSRP中文解釋是熱備份路由協(xié)議，其含義是系統(tǒng)中有多臺路由器，它們組成一個“熱備份組”，這個組形成一個虛擬路由器。在任一時刻，一個組內(nèi)只有一個路由器是活動的，并由它來轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動路由器發(fā)生了故障，將選擇一個備份路由器來替代活動路由器，但是在本網(wǎng)

85、絡(luò)內(nèi)的主機看來，虛擬路由器沒有改變。所以主機仍然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器切換的問題。</p><p><b>　　VLAN 技術(shù)</b></p><p>　　（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。IEEE 于1999

86、年頒布了用以標(biāo)準(zhǔn)化VLAN 實現(xiàn)方案的802.1Q 協(xié)議標(biāo)準(zhǔn)草案。</p><p>　　VLAN 技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN 邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN 都包含一組有著相同需求的計算機工作站，與物理上形成的LAN 有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN 內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理L

87、AN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。</p><p><b>　　Trunk 技術(shù)</b></p><p>　　一般的交換機端口只能屬于一個VLAN，對于多個VLAN 需要跨過</p><p>　　多臺交換機，就需要用到Trunk 技術(shù)。Trun

88、k 是指交換機之間或交換</p><p>　　機與路由器之間VLAN 之間的連接，VLAN 信息通過Trunk 在交換機之間或路由器之間傳遞，從而可以將VLAN 跨越整個網(wǎng)絡(luò)，而不僅僅是局限在一臺交換機上。Cisco 支持802.1Q、ISL 的技術(shù)。其中IEEE 802.1q 是業(yè)界的標(biāo)準(zhǔn)協(xié)議，而ISL 是CISCO 專有的協(xié)議，用于在一條鏈路上封裝多個VLAN 的信息。ISL 技術(shù)得到了Intel 等廠商的大

89、力支持，TagSwitching 被3Com 及Lucent Cajun 支持。</p><p>　　對于CISCO 交換機的Trunk 端口，既可以指定它的封裝協(xié)議為802.1q 或ISL，也可以通過DTP 協(xié)議（Dynamic Trunking Protocol）</p><p>　　自動協(xié)商。DTP 協(xié)議主要用于處理Trunk 端口的802.1q 和ISL 封裝</p>

90、<p>　　協(xié)議的自動協(xié)商，對于不同廠家的交換機互連時很有幫助。</p><p>　　對Trunk 的定義只能在快速以太網(wǎng)端口和千兆以太網(wǎng)端口上進行，它既可以是單個的快速以太網(wǎng)端口或千兆以太網(wǎng)端口，也可以是快速以太網(wǎng)通道（FEC）或千兆以太網(wǎng)通道（GEC）。雖然我們采用的是思科交換機，但是最為一個標(biāo)準(zhǔn)的、開放、先進的網(wǎng)絡(luò)系統(tǒng)，我們推薦是用IEEE802.1Q 標(biāo)準(zhǔn)協(xié)議。</p><

91、p>　　Spanning-Tree協(xié)議</p><p>　　在局域網(wǎng)中是不允許出現(xiàn)環(huán)路的，而為了實現(xiàn)冗余和負(fù)載的均衡，通常會有多條鏈路的連接，這樣就會引入環(huán)路。為了解決這個矛盾，推出了STP 協(xié)議。STP 算法會將網(wǎng)絡(luò)中的連接生成一個樹，通過特定的算法自動將優(yōu)先權(quán)高的鏈路激活，將優(yōu)先權(quán)低的鏈路阻塞，保證在網(wǎng)絡(luò)中任何時候都不會出現(xiàn)環(huán)路。如果網(wǎng)絡(luò)的連接狀況發(fā)生了變化，STP 算法會自動地重新計算新的連接關(guān)系，重

92、新選出新的活動的連接。STP 算法會造成網(wǎng)絡(luò)的暫時的不穩(wěn)定狀態(tài)，該轉(zhuǎn)換時間在30秒之內(nèi)，亦即在30 秒之內(nèi)網(wǎng)絡(luò)會重新恢復(fù)到穩(wěn)定狀態(tài)。STP 對于終端是透明的，終端感覺不到STP 的操作過程。在交換機上可以通過修改端口的優(yōu)先級來改變連接的優(yōu)先權(quán)，使得STP 算法將高優(yōu)先權(quán)的連接作為活動連接，例如：兩個交換機之間有兩條鏈路連接，一條是光纖連接，另一條是雙絞線連接，由于光纖連接明顯要比雙絞線連接更穩(wěn)定、更可靠，我們可以將交換機上的光纖端口的優(yōu)

93、先權(quán)設(shè)定成比雙絞線端口更高的優(yōu)先權(quán)，這樣STP 算法就會將光纖連接作為活動連接，而將雙絞線連接阻塞。Cisco 交換機的一個非常有用的特性就是可以對每個VLAN 設(shè)置Spanning -Tree ,而不是對整個</p><p>　　CISCO 交換機端口支持每VLAN 的生成樹協(xié)議，每個端口都可設(shè)置基于VLAN 的Cost 或Priority 參數(shù)，從而實現(xiàn)在多條路徑上的負(fù)載均衡能力。目前多數(shù)廠商都支持STP 協(xié)

94、議，但是不允許多個STP 域。采用多個STP 域顯然可以獲得比單個域高的網(wǎng)絡(luò)可靠性。</p><p><b>　　QOS</b></p><p>　　為了防止數(shù)據(jù)包的傳輸質(zhì)量，為了解決這個問題，就用到了QOS技術(shù)。</p><p>　　服務(wù)質(zhì)量（Quality of Service，QOS）是網(wǎng)絡(luò)（互聯(lián)網(wǎng)）傳輸質(zhì)量和服務(wù)可用性的度量。服務(wù)可用性

95、是QOS的重要基礎(chǔ)要素。成功實現(xiàn)QOS的前提是網(wǎng)絡(luò)基礎(chǔ)構(gòu)造必須高度可靠。它是指網(wǎng)絡(luò)為某特定數(shù)據(jù)流提供優(yōu)良服務(wù)（滿足或超過業(yè)務(wù)要求的服務(wù)質(zhì)量）的能力。承載數(shù)據(jù)流的底層網(wǎng)絡(luò)技術(shù)包括幀中繼、ATM、以太、SONET/SDH和PTN網(wǎng)絡(luò)等。QOS利用以下特性提供優(yōu)良的、更可預(yù)知的網(wǎng)絡(luò)服務(wù)：</p><p><b>　　提供專用帶寬；</b></p><p><b>

96、　　降低丟包率；</b></p><p>　　管理和避免網(wǎng)絡(luò)擁塞；</p><p>　　對網(wǎng)絡(luò)流量整形（shaping）；</p><p><b>　　設(shè)置數(shù)據(jù)優(yōu)先級。</b></p><p><b>　　決定QOS的因素</b></p><p>　　端到端（en

97、d-to-end）QOS是指從網(wǎng)絡(luò)一端到另一端的QOS，這種QOS是全路程的QOS，不是點到點的。端到端（end-to-end）QOS也是指網(wǎng)絡(luò)能夠為特定數(shù)據(jù)提供所要求服務(wù)質(zhì)量的能力。決定這種能力的因素有以下幾種。</p><p>　?。?）帶寬（Bandwidth）--帶寬描述了網(wǎng)絡(luò)設(shè)備的接口或網(wǎng)絡(luò)鏈路在單位時間（秒）內(nèi)發(fā)送或傳送的比特量。帶寬越大表示單位時間內(nèi)傳送的數(shù)據(jù)量越大，越能夠保證服務(wù)質(zhì)量。</p

98、><p>　?。?）丟包率（Loss）--指未被接收到的數(shù)據(jù)包占總發(fā)送數(shù)據(jù)包的比率。丟包率是網(wǎng)絡(luò)可靠性的一個參數(shù)。如果網(wǎng)絡(luò)高度可靠，則在非擁塞情況下丟包率應(yīng)該是0。在擁塞情況下，如果使用了QOS，則QOS將決定選擇丟棄哪些數(shù)據(jù)包來緩解擁塞。</p><p>　　（3）延遲（Delay）--一個數(shù)據(jù)包從發(fā)送端被發(fā)送出去到達接收端所經(jīng)歷的有限時間。如語音，它的延遲就是指從講話者說出口，到接聽者聽到

99、聲音這段時間。如果延遲過大，超過了規(guī)定值，就表明網(wǎng)絡(luò)所提供的服務(wù)質(zhì)量低，不能滿足業(yè)務(wù)要求。</p><p>　　（4）抖動（Jitter）--也稱延遲變量（delay variation），用來描述不同數(shù)據(jù)包在端到端傳輸中的不同延遲。如一個數(shù)據(jù)包從源端到目的端用時100ms，而其后的數(shù)據(jù)包經(jīng)由同一條路徑時卻花費125ms，那么抖動就是25ms。終端設(shè)備上的應(yīng)用軟件，如Media Player，可以使用緩沖區(qū)來彌補

100、由抖動造成的質(zhì)量下降，但它不能補償數(shù)據(jù)包到達時間的瞬時變化，這也會造成緩沖區(qū)的過載或欠載運行，導(dǎo)致業(yè)務(wù)質(zhì)量降級。如在網(wǎng)上看電影時，視頻播放仍然不夠流暢。</p><p>　　網(wǎng)絡(luò)對任何組織都是非常重要的。它承載著大量的應(yīng)用，包括實時語音、高質(zhì)量視頻和對延遲敏感的數(shù)據(jù)等，這就要求網(wǎng)絡(luò)必須能夠通過管理帶寬、延遲、抖動和丟包率等參數(shù)提供可預(yù)測、可管理，甚至有時是可保證的服務(wù)。</p><p>　

101、　QOS就是用于達到這一目標(biāo)的技術(shù)和工具。QOS的目標(biāo)是形成一個聚合的、對于用戶來說透明的網(wǎng)絡(luò)，在這個聚合的網(wǎng)絡(luò)平臺上，各種數(shù)據(jù)共存且并不公平地競爭網(wǎng)絡(luò)資源，加上重要應(yīng)用的數(shù)據(jù)被網(wǎng)絡(luò)設(shè)備賦予較高的優(yōu)先級或得到優(yōu)先服務(wù)，這樣這些應(yīng)用的服務(wù)質(zhì)量就不會降低至不可用的地步了。</p><p><b>　　第六章 產(chǎn)品簡介</b></p><p>　　Cisco 2800 系列

102、集成多業(yè)務(wù)路由器</p><p>　　思科系統(tǒng)公司推出了一個全新的集成多業(yè)務(wù)路由器系列，它進®行了專門的優(yōu)化，可安全、線速地同時提供數(shù)據(jù)、話音和視頻服務(wù)，重新定義了最佳大型企業(yè)和中小型企業(yè)路由。模塊化Cisco 2800 系列集成多業(yè)務(wù)路由器. 建立在思科20 年的領(lǐng)先地位及創(chuàng)新技術(shù)的基礎(chǔ)之上，智能地將數(shù)據(jù)、安全性和話音服務(wù)內(nèi)嵌于單一永續(xù)系統(tǒng)，能快速、可擴展地提供關(guān)鍵任務(wù)業(yè)務(wù)應(yīng)用。Cisco 2800

103、系列的獨特集成系統(tǒng)架構(gòu)提供了最高業(yè)務(wù)靈活性和投資保護。</p><p>　　Cisco 2800 系列由四個新平臺組成：Cisco 2801、Cisco 2811、Cisco</p><p>　　2821 和Cisco 2851。與相似價位的前幾代思科路由器相比，Cisco</p><p>　　2800 系列的性能提高了五倍、安全性和話音性能提高了十倍、具有<

104、/p><p>　　全新內(nèi)嵌服務(wù)選項，且大大提高了插槽性能和密度，同時保持了對目</p><p>　　前Cisco 1700 系列和Cisco 2600 系列中現(xiàn)有90 多種模塊中大多數(shù)</p><p>　　模塊的支持，從而提供了極大的性能優(yōu)勢。</p><p>　　Cisco 2800 系列能以線速為多條T1/E1/xDSL 連接提供多種高質(zhì)量并

105、發(fā)服務(wù)。這些路由器提供了內(nèi)嵌加密加速和主板話音數(shù)字信號處理器（DSP）插槽；入侵保護和防火墻功能；集成化呼叫處理和語音留言；用于多種連接需求的高密度接口；以及充足的性能和插槽密度，以用于未來網(wǎng)絡(luò)擴展和高級應(yīng)用。</p><p>　　Cisco Catalyst 3560 系列集成交換機</p><p>　　思科新推出的Cisco Catalyst 3560 系列交換機是一個創(chuàng)新的產(chǎn)品<

106、;/p><p>　　系列，它結(jié)合業(yè)界領(lǐng)先的易用性和最高的冗余性，里程碑地提升了堆</p><p>　　疊式交換機在局域網(wǎng)中的工作效率。這個新的產(chǎn)品系列采用了最新的</p><p>　　思科StackWise 技術(shù)，不但實現(xiàn)高達32Gbps 的堆疊互聯(lián)，還從物理</p><p>　　上到邏輯上使若干獨立交換機在堆疊時集成在一起，便于用戶建立一<

107、;/p><p>　　個統(tǒng)一、高度靈活的交換系統(tǒng)--就好像是一整臺交換機一樣。這代表</p><p>　　了堆疊式交換機新的工業(yè)技術(shù)水平和標(biāo)準(zhǔn)。</p><p>　　對于中型組織和企業(yè)分支機構(gòu)而言，Cisco Catalyst 3560 系列可以通過提供配置靈活性，支持融合網(wǎng)絡(luò)模式，已經(jīng)自動配置智能化網(wǎng)絡(luò)服務(wù)，降低融合應(yīng)用的部署難度，適應(yīng)不斷變化的業(yè)務(wù)需求。此外，Cisc

108、o Catalyst 3750 系列針對高密度千兆位以太網(wǎng)部署進行了專門的優(yōu)化，其中包含多種可以滿足接入、匯聚或者小型網(wǎng)絡(luò)骨干網(wǎng)連接需求的交換機。</p><p>　　Cisco Catalyst 3560 系列可以使用標(biāo)準(zhǔn)多層軟件鏡像（SMI）或者增強多層軟件鏡像（EMI）。SMI 功能集包括先進的服務(wù)質(zhì)量（QOS）、速率限制、訪問控制列表（ACL）和基本的靜態(tài)和路由信息協(xié)議（RIP）路由功能。EMI可以提供一

109、組更加豐富的企業(yè)級功能，包括先進的、基于硬件的IP 單播和組播路由。</p><p>　　思科StackWise 技術(shù)是一種針對千兆位以太網(wǎng)優(yōu)化的、先進的堆疊架構(gòu)。該技術(shù)的設(shè)計目的是及時地對設(shè)備添加、移除和重新部署做出反應(yīng)，同時保持穩(wěn)定的性能。利用特殊的堆疊互聯(lián)電纜和堆疊軟件，思科StackWise 技術(shù)最多可以將9 臺單獨的Cisco Catalyst 3750 交換機連接到一個統(tǒng)一的邏輯單元中。堆疊相當(dāng)于一個

110、單一的交換單元，由一個從成員交換機中選出的主交換機管理。主交換機可以自動地創(chuàng)建和升級所有的交換信息和可選的路由表。一個工作中的堆疊可以在不中斷服務(wù)的情況下，添加新的成員或者移除舊的成員。</p><p>　　Cisco Catalyst 2960 系列集成交換機</p><p>　　Cisco Catalyst 2960 系列智能以太網(wǎng)交換機是一個全新的、固定配置的獨立設(shè)備系列，提供桌面快

111、速以太網(wǎng)和千兆以太網(wǎng)連接，可為入門級企業(yè)、中型市場和分支機構(gòu)網(wǎng)絡(luò)提供增強LAN 服務(wù)。Catalyst 2960 系列具有集成安全特性，包括網(wǎng)絡(luò)準(zhǔn)入控制(NAC)、高級服務(wù)質(zhì)量(QOS)和永續(xù)性，可為網(wǎng)絡(luò)邊緣提供智能服務(wù)。憑借Cisco Catalyst 2960 系列提供的廣泛安全特性，企業(yè)可保護重要信息，防止未授權(quán)人員接入網(wǎng)絡(luò)，確保私密性及維持不間斷運行。</p><p>　　思科基于身份的網(wǎng)絡(luò)服務(wù)(IBNS

112、)解決方案提供了身份驗證、訪問控制和安全策略管理，可保護網(wǎng)絡(luò)連接和資源。Catalyst 2960 系列中的IBNS 可防止未授權(quán)接入，并確保用戶只獲得其指定權(quán)利。它能動態(tài)管理網(wǎng)絡(luò)接入的具體層次。使用802.1x 標(biāo)準(zhǔn)和思科安全訪問控制服務(wù)器（ACS），無論用戶在何處連接到網(wǎng)絡(luò)中，都可在驗證基礎(chǔ)上分配到一個VLAN。此設(shè)置使IT 部門能在不影響用戶移動性的情況下，以最低管理開銷實施強大的安全策略。</p><p>

113、;　　為防止拒絕服務(wù)攻擊和其他攻擊，可用ACL 根據(jù)源和目的地MAC地址、IP 地址或TCP/UDP 端口來拒絕分組，從而限制對網(wǎng)絡(luò)敏感部分的訪問。ACL 查詢在硬件中完成，故此在實施基于ACL 的安全性時不會影響轉(zhuǎn)發(fā)性能。</p><p>　　端口安全性可根據(jù)與以太網(wǎng)端口相連的設(shè)備的MAC 地址，來限制以太網(wǎng)端口上的訪問。它也可用于限制插入一個交換機端口的總設(shè)備數(shù)目，因此可使交換機免遭MAC 泛洪攻擊，降低了惡

114、意無線接入點或集線器接入的風(fēng)險。</p><p>　　憑借動態(tài)主機配置協(xié)議(DHCP)監(jiān)聽，可以只允許來自不可信用戶端口的DHCP 請求（但不允許響應(yīng)）進入網(wǎng)絡(luò)，從而防止DHCP 電子欺騙。此外，DHCP 接口跟蹤器(選項82) 特性可為主機IP 地址請求添加交換機端口ID，有助于實現(xiàn)對于IP 地址分配的精確控制。MAC 地址通知特性可向管理站發(fā)送報警，從而監(jiān)控網(wǎng)絡(luò)和跟蹤用戶，以使網(wǎng)絡(luò)管理員知道用戶何時、從何處進