畢業(yè)設(shè)計(jì)-中小企業(yè)局域網(wǎng)組網(wǎng)設(shè)計(jì)

摘要計(jì)算機(jī)網(wǎng)絡(luò)自從20世紀(jì)60年代未誕生以來，僅在幾十年間的時(shí)間里，即以異常迅猛的速度發(fā)展起來，被越來越廣泛地應(yīng)用于政治、經(jīng)濟(jì)、軍事、生產(chǎn)及科學(xué)技術(shù)的各個領(lǐng)域。在當(dāng)今社會及未來，誰更快獲得信息資源，誰就能更有效的使用信息資源，誰就能在各種競爭上占據(jù)主導(dǎo)地位，隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展和寬帶接入的普及，各種網(wǎng)絡(luò)應(yīng)用將層出不窮，計(jì)算機(jī)在社會各個領(lǐng)域的應(yīng)用和影響也早已滲透到了人們工作和生活的各個方面。目前在中國國民經(jīng)濟(jì)和社會發(fā)展中一直占據(jù)至關(guān)重要的戰(zhàn)略地位的中小型企業(yè)，由于對網(wǎng)絡(luò)技術(shù)的不了解，通常廠商一般都會采用價(jià)格最貴化、設(shè)備最好化、高度冗余化去做項(xiàng)目的設(shè)計(jì)，整體的方案將以追求利潤為目的，設(shè)計(jì)的方案經(jīng)常出現(xiàn)大量設(shè)備閑置，而企業(yè)出于需求與成本控制等各種因素的綜合考慮，希望方案能滿足需求的同時(shí)控制成本，同時(shí)盡量做到冗余且提供投資保護(hù)，方便后續(xù)的需求擴(kuò)展，廠商提供的方案與企業(yè)的需求就此產(chǎn)生了矛盾，如何設(shè)計(jì)一個性價(jià)比更高、更適合于中小型企業(yè)的網(wǎng)絡(luò)方案是勢在必行的課題，此方案的設(shè)計(jì)使所有的中小型企業(yè)在當(dāng)今及未來的網(wǎng)絡(luò)建設(shè)有著得要的指導(dǎo)及參考意義，也是本次畢業(yè)設(shè)計(jì)方案的主要目的與價(jià)值。本文通過東莞某企業(yè)的具體案例來說明中小型企業(yè)資金能力及對企業(yè)網(wǎng)絡(luò)的需求進(jìn)行分析，設(shè)計(jì)適用于中小型企業(yè)的組網(wǎng)方案。組建一個基本能覆蓋整個企業(yè)園區(qū)、廣域網(wǎng)接入、遠(yuǎn)程訪問、數(shù)據(jù)服務(wù)器群等范圍的互聯(lián)網(wǎng)絡(luò)，將企業(yè)內(nèi)各種計(jì)算機(jī)、服務(wù)器、終端設(shè)備連接起來，并通過一定接口連接到廣域網(wǎng)。關(guān)鍵字：網(wǎng)絡(luò)中小型企業(yè)組網(wǎng)路由交換局域網(wǎng)廣域網(wǎng)

目錄1 緒論 11.1 從企業(yè)對信息的需求來看 11.2 從企業(yè)管理和業(yè)務(wù)發(fā)展的角度出發(fā) 12 企業(yè)建網(wǎng)涉及的主要網(wǎng)絡(luò)技術(shù)介紹 32.1 CISCO企業(yè)網(wǎng)絡(luò)概述 32.1.1 CISCO企業(yè)架構(gòu) 32.1.2 CISCO企業(yè)復(fù)合網(wǎng)絡(luò)模型 42.2 園區(qū)網(wǎng)絡(luò)技術(shù) 42.2.1 路由技術(shù) 42.2.2 交換技術(shù) 52.2.3 遠(yuǎn)程訪問技術(shù) 92.2.4 熱備份路由協(xié)議（HSRP） 102.3 本章小結(jié) 113 中小企業(yè)網(wǎng)絡(luò)的建設(shè)目標(biāo) 123.1 建設(shè)目標(biāo) 123.2 設(shè)計(jì)原則 123.3 本章小結(jié) 134 中小企業(yè)網(wǎng)絡(luò)需求分析 144.1 目標(biāo)需求 144.2 應(yīng)用需求 144.2.1 息信流分析 144.2.2 應(yīng)用業(yè)務(wù)分析 144.3 業(yè)務(wù)需求 154.4 外部需求 154.5 用戶需求調(diào)查 164.6 網(wǎng)絡(luò)需求分析 164.7 本章小結(jié) 175 企業(yè)網(wǎng)絡(luò)的總體設(shè)計(jì) 185.1 網(wǎng)絡(luò)拓樸設(shè)計(jì) 185.2 IP編址方案及VLAN劃分 205.3 核心層設(shè)計(jì)及設(shè)備選型 215.3.1 園區(qū)主干交換機(jī) 215.3.2 出口路由器 225.3.3 服務(wù)器群組 225.4 接入層設(shè)計(jì)及設(shè)備選型 225.5 安全體系設(shè)計(jì)及設(shè)備選型 235.5.1物理層安全 235.5.2系統(tǒng)安全 245.5.3網(wǎng)絡(luò)層安全 245.5.4應(yīng)用層安全 245.5.5管理層安全 245.6 設(shè)計(jì)方案優(yōu)勢 255.6.1高帶寬、高性能 255.6.2網(wǎng)絡(luò)管理 255.6.3完善的安全機(jī)制 265.6.4易維護(hù) 265.6.5高可靠性 275.6.6低成本、可擴(kuò)展性強(qiáng) 275.7 本章小結(jié) 27結(jié)束語 28參考文獻(xiàn) 29第31頁第1頁緒論隨著Internet在全球的發(fā)展與普及，企業(yè)網(wǎng)絡(luò)技術(shù)的發(fā)展以及企業(yè)生存和發(fā)展需要促成了企業(yè)網(wǎng)的形成。自20世紀(jì)90年代以來，企業(yè)網(wǎng)絡(luò)已經(jīng)成為連接企業(yè)、事業(yè)單位各部門與外界交流信息的重要基礎(chǔ)設(shè)施。基于局域網(wǎng)和廣域網(wǎng)技術(shù)發(fā)展起來的企業(yè)網(wǎng)絡(luò)技術(shù)得到迅速的發(fā)展。為了適應(yīng)網(wǎng)絡(luò)經(jīng)濟(jì)的飛速發(fā)展，擴(kuò)大企業(yè)經(jīng)營的規(guī)模和范圍，方便企業(yè)內(nèi)部和企業(yè)之間的交流，節(jié)省辦公開銷，提高企業(yè)的管理水平，企業(yè)發(fā)展Intranet（企業(yè)內(nèi)部網(wǎng)）已經(jīng)是刻不容緩。另外，我國中小型數(shù)量已經(jīng)超過2000萬家以上，在國民經(jīng)濟(jì)中，60%的總產(chǎn)來自于中小企業(yè)，并為社會提供了60%以上的就業(yè)機(jī)會。然而，在中國國民經(jīng)濟(jì)和社會發(fā)展中一直占據(jù)著至關(guān)重要的戰(zhàn)略地位的小中企業(yè)，其信息化程度卻比較落后。今后如何應(yīng)對瞬息萬變、競爭激烈的國內(nèi)外市場環(huán)境以及如何利用網(wǎng)絡(luò)技術(shù)迅速提升企業(yè)核心競爭力就是成為企業(yè)成敗的關(guān)鍵所在。從企業(yè)對信息的需求來看面對著激烈的市場競爭，公司對信息的收集、傳輸、加工、存儲、查詢、預(yù)測、決策及即時(shí)的交流、溝通等工作量越來越大，原來的電腦出于網(wǎng)絡(luò)技術(shù)或是安全性等因素考慮，一直只是停留在單機(jī)工作的模式，各部門及科室間的數(shù)據(jù)不能實(shí)現(xiàn)共享，致使工作效率大大下降，純粹手工管理方式和手段已經(jīng)不能適應(yīng)企業(yè)的需要，這將嚴(yán)重妨礙公司的生存和發(fā)展。社會進(jìn)行要求企業(yè)必須改變現(xiàn)有的落后管理體制、管理方法和手段，建立現(xiàn)代企業(yè)的新形象，建立本企業(yè)的辦公自動化管理信息系統(tǒng)（即公司局域網(wǎng)），以提高管理水平，增加經(jīng)濟(jì)和社會效益。從企業(yè)管理和業(yè)務(wù)發(fā)展的角度出發(fā)通過網(wǎng)絡(luò)對網(wǎng)絡(luò)資源的共用來改善企業(yè)內(nèi)部和企業(yè)與客戶之間的信息交流方式，滿足業(yè)務(wù)部門對信息存儲、檢索、處理和共享需求，使企業(yè)能迅速掌握瞬息萬變的市場行情，使企業(yè)信息更有效地發(fā)揮效力；提高辦公自動化水平，提高工作效率，降低管理成本，提高企業(yè)在市場上的競爭力；通過對每項(xiàng)業(yè)務(wù)的跟蹤，企業(yè)管理者可以了解業(yè)務(wù)進(jìn)展情況，掌握第一手資料，及時(shí)掌握市場動態(tài)，為企業(yè)提供投資導(dǎo)向，為領(lǐng)導(dǎo)決策提供數(shù)據(jù)支持；通過企業(yè)內(nèi)部網(wǎng)建立，企業(yè)各業(yè)務(wù)部門可以有更方便的交流溝通，管理者可隨時(shí)了解每一位員工的情況，并加強(qiáng)以企業(yè)人力資源合理調(diào)度，切實(shí)做到系統(tǒng)的集成化設(shè)計(jì)，使原有的設(shè)備、投資得到有效利用。因此，有必要建設(shè)好中小型企業(yè)建設(shè)信息網(wǎng)絡(luò)，以達(dá)到最大限度地實(shí)現(xiàn)信息資源共享，并使用電子信息的傳遞取代紙面文件、材料的傳送，逐步實(shí)現(xiàn)無紙辦公，改變傳統(tǒng)的工作方式，進(jìn)一步提高工作效率。同時(shí)，利用各種業(yè)務(wù)信息的綜合分析，為各級領(lǐng)導(dǎo)提供決策支持，更好地組織生產(chǎn)和經(jīng)營。企業(yè)建網(wǎng)涉及的主要網(wǎng)絡(luò)技術(shù)介紹談到網(wǎng)絡(luò)技術(shù)，我們不能不想到全球行業(yè)的龍頭老大—CISCO（思科），它是1984年由斯坦福大學(xué)的一對教授夫婦創(chuàng)辦，自1986年生產(chǎn)第一臺路由器開始，讓不同類型的網(wǎng)絡(luò)可以可靠地互相聯(lián)接并實(shí)現(xiàn)通信，從此掀起了一場通信革命，思科公司每年投入40多億美元進(jìn)行技術(shù)研發(fā)，過去20多年，思科幾乎成為了“互聯(lián)網(wǎng)、網(wǎng)絡(luò)應(yīng)用、生產(chǎn)力”的同義詞，思科公司在其進(jìn)入的每一個領(lǐng)域都成為市場的領(lǐng)導(dǎo)者，同時(shí)，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展與成熟，出現(xiàn)了更多的市場競爭者，比如：國外有Juniper、Netcore、阿爾法及LINKSYS等，國內(nèi)有華為、中興、TP-Link及D-Link等，本次方案的討論與設(shè)計(jì)主要以CISCO（思科）產(chǎn)品為基礎(chǔ)設(shè)施進(jìn)行搭建。CISCO企業(yè)網(wǎng)絡(luò)概述CISCO企業(yè)架構(gòu)CISCO開發(fā)了一個企業(yè)架構(gòu)，以幫助公司保護(hù)、優(yōu)化和擴(kuò)展支持業(yè)務(wù)流程的基礎(chǔ)設(shè)施，該架構(gòu)可用于集成整個網(wǎng)絡(luò)—園區(qū)、數(shù)據(jù)中心、分布機(jī)構(gòu)、遠(yuǎn)程工作人員和廣域網(wǎng)，讓員工能夠安全地訪問所需的工具、流程和服務(wù)。CISCO企業(yè)園區(qū)架構(gòu)將智能交換和路由選擇的核心基礎(chǔ)設(shè)施與緊密集成的效率改善技術(shù)結(jié)合在一起，該架構(gòu)通過采用富有彈性的多層設(shè)計(jì)、冗余的硬件和軟件功能以及在出現(xiàn)故障時(shí)自動重新配置網(wǎng)絡(luò)路徑，向企業(yè)提供了高可用性。CISCO企業(yè)數(shù)據(jù)中心架構(gòu)是一種內(nèi)聚的自適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)，在滿足整合、業(yè)務(wù)持續(xù)和安全需求的同時(shí)，它還支持新出現(xiàn)的面向服務(wù)的架構(gòu)、虛擬化和按需計(jì)算，讓職員、供應(yīng)商和客戶能夠安全地訪問應(yīng)用程序和資源。這樣能夠簡化管理工作并提高效率，同時(shí)極大地降低開銷。冗余的數(shù)據(jù)中以同步和異步的方式復(fù)制數(shù)據(jù)和應(yīng)用程序，以提供備份。CISCO企業(yè)分支機(jī)構(gòu)架構(gòu)讓企業(yè)能夠擴(kuò)展總部的應(yīng)用程序和服務(wù)（如安全性、IP通信和高級應(yīng)用）的覆蓋范圍，以覆蓋數(shù)千個遠(yuǎn)程賣點(diǎn)和用戶或少量的分支機(jī)構(gòu)。CISCO在分支機(jī)構(gòu)中的一系列集成服務(wù)路由器集成了安全性、交換、網(wǎng)絡(luò)分析和緩存功能，以及融合的語音和視頻服務(wù)，讓企業(yè)無需購買新的路由器就能部署新的服務(wù)。這種架構(gòu)讓用戶能夠隨時(shí)隨地安全地訪問語音、關(guān)鍵任務(wù)數(shù)據(jù)和視頻應(yīng)用。CISCO企業(yè)遠(yuǎn)程工作人員架構(gòu)讓企業(yè)能夠通過標(biāo)準(zhǔn)的寬帶接入服務(wù)，向遠(yuǎn)程小型或家庭辦公室安全地提供語音和數(shù)據(jù)服務(wù)，從而為企業(yè)提供彈性的上班時(shí)間解決方案，為員工提供靈活的工作時(shí)間。通過集中管理，最大限度地降低了IT支持費(fèi)用。集成的安全和基于身份的網(wǎng)絡(luò)服務(wù)讓企業(yè)能夠?qū)@區(qū)安全策略延伸到遠(yuǎn)程工作人員。員工通過始終可用的VPN安全地登錄網(wǎng)絡(luò)，并從單個平臺訪問得到授權(quán)的應(yīng)用程序和服務(wù)。CISCO企業(yè)WAN架構(gòu)通過單個CISCO統(tǒng)一通信網(wǎng)提供語音、視頻和數(shù)據(jù)服務(wù)，讓企業(yè)能夠以更蔓延的方式擴(kuò)大其跨越的地理區(qū)域。QoS、細(xì)粒度的服務(wù)等級和廣泛的加密方案有助于確保安全地將高質(zhì)量的語音、視頻和數(shù)據(jù)服務(wù)提供給公司的各個場點(diǎn)，讓員工不管身處何地都能高效地工作。通過使用中央—分支或全互聯(lián)拓?fù)?，在第二層或第三層WAN上建立多服務(wù)VPN確保了數(shù)據(jù)流傳輸?shù)陌踩?。CISCO企業(yè)復(fù)合網(wǎng)絡(luò)模型CISCO制定了一套有關(guān)安全的最佳實(shí)踐，向網(wǎng)絡(luò)設(shè)計(jì)人員和員工支持網(wǎng)絡(luò)應(yīng)用和已有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施正確地部署安全解決方案提供了藍(lán)圖。該藍(lán)圖名為SAFE，其中包括企業(yè)復(fù)合網(wǎng)絡(luò)模型，網(wǎng)絡(luò)專業(yè)人員可以使用它來分析和描述任何現(xiàn)代企業(yè)網(wǎng)。企業(yè)復(fù)合網(wǎng)絡(luò)模型首先將網(wǎng)絡(luò)劃分成三個功能區(qū)域，如下：企業(yè)園區(qū)：該功能區(qū)包含組建層次園區(qū)網(wǎng)所需的模塊，接入、集散和核心原則也適用于這些模塊。企業(yè)邊緣：該功能區(qū)域聚合了企業(yè)網(wǎng)邊緣上各種網(wǎng)絡(luò)元件的連接性，包括到遠(yuǎn)程賣點(diǎn)、Internet和遠(yuǎn)程用戶的連接性。服務(wù)提供商邊緣：該區(qū)域并不是由組織實(shí)現(xiàn)的，它用于提供到服務(wù)提供商的連接性，如Internet服務(wù)提供商（ISP），WAN提供商和公共交換電話網(wǎng)（PSTN）。這些功能區(qū)域包含各種網(wǎng)絡(luò)模塊，而這些模塊可以包含層次模型中的核心層、匯聚層和接入層的功能。園區(qū)網(wǎng)絡(luò)技術(shù)企業(yè)園區(qū)定義了企業(yè)復(fù)合網(wǎng)絡(luò)模型的一個功能區(qū)域，它包括以下企業(yè)復(fù)合模塊：園區(qū)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)管理、邊緣分布。其中園區(qū)基礎(chǔ)設(shè)施模塊包括建筑拉入、建筑物布和園區(qū)主干了模塊。建立一個完整的園區(qū)網(wǎng)絡(luò)需要涉及到路由、交換與遠(yuǎn)程訪問技術(shù)。它們是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域中三大支撐技術(shù)體系。路由技術(shù)路由協(xié)議工作在OSI參考模型的第三層，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時(shí)選擇最佳路徑的能力，除了可以完成主要的路由任務(wù)，利用訪問控制列表（AccessControlList，ACL），路由器還可以用來完成路由器為中心的流量控制和過濾功能。在本組網(wǎng)方案中，內(nèi)網(wǎng)用戶不僅通過路由接入Internet、內(nèi)網(wǎng)用戶之間也通過三層交換機(jī)上的路由功能進(jìn)行數(shù)據(jù)包交換。交換技術(shù)傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第二層，現(xiàn)在交換技術(shù)還實(shí)現(xiàn)了第三層交換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了園區(qū)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要?，F(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（VirtualLocalAreaNetwork，VLAN）的概念。VLAN技術(shù)的出現(xiàn)，主要為了解決交換機(jī)在進(jìn)行局域網(wǎng)互連時(shí)無法限制廣播的問題。這種技術(shù)可以把一個LAN劃分成多個邏輯的LANVLAN，在每個VLAN是一個廣播域，VLAN內(nèi)的主機(jī)間通信就和在一個LAN內(nèi)一樣，而VLAN間則不能直接互通，這樣，廣播報(bào)文被限制在一個VLAN內(nèi)，如下圖2-1VLAN劃分原理所示：一圖2-1VLAN劃分原理下面是對VLAN各種特性的討論：VLAN的主要特性有：限制廣播廣播域被限制在一個VLAN內(nèi)，節(jié)省了帶寬，提高了網(wǎng)絡(luò)處理能力。增強(qiáng)局域網(wǎng)的安全性不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備。靈活構(gòu)建虛擬工作組用VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡(luò)構(gòu)建和維護(hù)更方便靈活，如下圖2-2虛擬工作組所示：圖2-2虛擬工作組VLAN是在數(shù)據(jù)鏈路層的，劃分子網(wǎng)是在網(wǎng)絡(luò)層的，所以不同子網(wǎng)之間的VLAN即使是同名也不可以相互通信。VLAN的劃分依據(jù)從技術(shù)角度講，VLAN的劃分可以依據(jù)不同原則，一般以下三種劃分方法：基于端口的VLAN劃分這種劃分是把一個或多個交換機(jī)上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法，該方法只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備?；贛AC地址的VLAN劃分MAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng)卡的MAC地址都是唯一且固化在網(wǎng)卡上的，MAC地址由12位16進(jìn)制數(shù)表示，前6位為網(wǎng)卡的廠商標(biāo)識（OUI），后6位為網(wǎng)卡的標(biāo)識（NIC），網(wǎng)絡(luò)管理員可以按MAC地址把一些站點(diǎn)劃分為一個邏輯子網(wǎng)?；诼酚傻腣LAN劃分路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（卻三層交換機(jī)），該方式允許一個VLAN跨越多個交換機(jī)，或一個端口位于多個VLAN中。目前來說，對于VLAN的劃分主要采取上述1、3種方式，第2種方式為輔助性的方案。不同VLAN間的通信在不同VLAN間不通過路由是無法通信的，在VLAN內(nèi)的通信，必須在數(shù)據(jù)幀頭中指定通信目標(biāo)的MAC地址，而為了獲取MAC地址，TCP/IP協(xié)議下使用的是ARP，ARP解析MAC地址的方法，則是通過廣播，也就是說，如果廣播報(bào)文無法到達(dá)，那么就無從解析MAC地址，亦即無法直接通信。計(jì)算機(jī)分屬不同的VLAN，也主意味著分屬不同的廣播域，自然收不到彼此的廣播報(bào)文，因此，屬于不同VLAN的計(jì)算機(jī)之間無法直接互相通信，為了能夠在VLAN間通信，需要利用OSI參照模型中更高一層網(wǎng)絡(luò)層的信息（IP地址）來進(jìn)行路由。因此，在VLAN間需要通信的時(shí)候，可以利用VLAN間路由技術(shù)來實(shí)現(xiàn)，如下圖圖2-3VLAN間路由所示：圖2-3VLAN間路由VTP協(xié)議當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時(shí)，可以使用VLAN中繼協(xié)議（VlanTrunkingProtocol，VTP）簡化管理，它只需在單獨(dú)一臺交換機(jī)上定義所有VLAN，然后通過VTP協(xié)議將VLAN定義傳播到本征管理域中的所有交換機(jī)上，這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。VTP（VlanTrunkingProtocol）：是VLAN中繼協(xié)議，也被稱為虛擬局域網(wǎng)干道協(xié)議。它是一個OSI參考模型第二層的通信協(xié)議，主要用于管理在同一個域的網(wǎng)絡(luò)范圍內(nèi)VLANs的建立、刪除和重命名，在一臺VTPServer上配置一個新的VLAN時(shí)，該VLAN的配置信息將自動傳播到本域內(nèi)的其他所有交換機(jī)，這些交換機(jī)會自動地接收這些配置信息，使其VLAN的配置與VTPServer保持一致，從而減少在釣魚臺設(shè)備上配置同一個VLAN信息的工作量，而且保持了VLAN配置的統(tǒng)一性。VTP通過網(wǎng)絡(luò)（ISL幀或cisco私有DTP幀）保持VLAN配置統(tǒng)一性，VTP在系統(tǒng)級管理增加、刪除，調(diào)整的VLAN，自動地將信息向網(wǎng)絡(luò)中其它的交換機(jī)廣播，此外，VTP減小了那些可能導(dǎo)致安全問題的配置，使用BTP便于管理，只要在VTPServer做相應(yīng)設(shè)備，VTPClient會自動學(xué)習(xí)VTPServer上的VLAN信息。VTP有三種工作模式：VTPServer、VTPClient和VTPTransparent，如下圖所示，一般，一個VTP域內(nèi)的整個網(wǎng)絡(luò)只設(shè)一個VTPServer，VTPServer維護(hù)該VTP域中所有VLAN信息列表，VTPServer要吧建立、刪除或修改VLAN，VTPClient雖然也維護(hù)所有VLAN信息列表，但其VLAN的配置信息是從VTPServer學(xué)到的，VTPClient不能建立、刪除或修改VLAN，VTPTransparent相當(dāng)于是上獨(dú)立的交換機(jī)，它不參與VTP工作，不從VTPServer學(xué)習(xí)VLAN的配置信息，而只擁有本設(shè)備上自己維護(hù)的VLAN信息。VTPTransparent可以建立、刪除和修改本機(jī)上的VLAN信息，所下圖2-4VTP模式所示：圖2-4VTP模式STP（SpanningTreeProtocol，生成樹協(xié)議）企業(yè)網(wǎng)絡(luò)首要關(guān)心的就是高可用性，它在很大程度上依賴于處理業(yè)務(wù)的多層交換網(wǎng)絡(luò)，確保高可用性的方法之一就是在整個網(wǎng)絡(luò)中提供設(shè)備、模塊和鏈路的冗余，但是，第二層的網(wǎng)絡(luò)冗余可能傳導(dǎo)致潛在的橋接環(huán)路，數(shù)據(jù)包將在設(shè)備之間無休止地循環(huán)，進(jìn)而破壞網(wǎng)絡(luò)的正常工作能力。STP能夠識別并防止這種第二層環(huán)路，STP使用根網(wǎng)橋、要端口和指定端口等概念建立網(wǎng)絡(luò)的無環(huán)路徑。STP能夠克服冗余網(wǎng)絡(luò)中透明度橋接的問題，通過采用無環(huán)路徑，STP能夠避免和消除網(wǎng)絡(luò)中的環(huán)路，STP可以通過判斷網(wǎng)絡(luò)中存在環(huán)路的地方并阻斷冗余鏈路，從而達(dá)到上述目的，確保到每個目標(biāo)都只有一條路徑，所以永遠(yuǎn)不會產(chǎn)生環(huán)路，如果發(fā)生某條鏈路失效情況，那么網(wǎng)橋就會將接口從阻塞狀態(tài)過渡到轉(zhuǎn)發(fā)狀態(tài)。園區(qū)網(wǎng)內(nèi)部部署方式為了簡化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)行的，園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次：接入層、分布層、核心層。接入層為所有的終端用戶提供一個接入點(diǎn)；分布層除了將接入層交換機(jī)進(jìn)行匯集外，還為整個交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能；核心層將各分布層交換機(jī)互連起來進(jìn)行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。遠(yuǎn)程訪問技術(shù)遠(yuǎn)程訪問也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一，它可以為家庭辦公用戶和出差在外的員工提供移動接入服務(wù)，下面對各種遠(yuǎn)程接入方式進(jìn)行比較：各種遠(yuǎn)程接入方式的比較遠(yuǎn)程撥號采用遠(yuǎn)程撥號方式，必須申請電話線，用戶多時(shí)，需申請中繼電話線，而且需要ModemPool將模擬信號轉(zhuǎn)換成數(shù)字信號，撥號訪問服務(wù)器將串行數(shù)據(jù)轉(zhuǎn)換為網(wǎng)絡(luò)上傳輸?shù)腎P數(shù)據(jù)包，同時(shí)多數(shù)企業(yè)較難接入設(shè)備提供理想的工作環(huán)境，不能確保信息傳輸?shù)馁|(zhì)量和安全。2）、租用專用線路在過去的數(shù)十年間，許多企業(yè)花費(fèi)大量資金租用專用線路，將其主要分支機(jī)構(gòu)連接起來組成該企業(yè)的私有通信網(wǎng)絡(luò)，以達(dá)到信息在企業(yè)內(nèi)部的快速溝通和共享，這樣企業(yè)在獲得高效率的同時(shí)，也為租用專用線路付出了較高的成本。3）、VPN遠(yuǎn)程接入VPN（VirtualPrivateNetwork）即虛擬專用網(wǎng)是在公共網(wǎng)絡(luò)上建立的專用網(wǎng)絡(luò)，但其任意2個結(jié)點(diǎn)間的連接并沒有傳統(tǒng)專用網(wǎng)絡(luò)所需的點(diǎn)到點(diǎn)的物理鏈路，而是架構(gòu)在公共網(wǎng)絡(luò)（Internet）服務(wù)商（ISP）所提供網(wǎng)絡(luò)平臺上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)通過ISP在公共網(wǎng)絡(luò)中建立的邏輯隧道（Tunnel），即點(diǎn)到點(diǎn)的虛擬專線進(jìn)行傳輸，通過加密技術(shù)和認(rèn)證技術(shù)，確保企業(yè)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)在公共網(wǎng)絡(luò)上安全傳輸，真正實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的專有性。VPN遠(yuǎn)程接入方式最適用于企業(yè)經(jīng)常有人員出差需實(shí)現(xiàn)遠(yuǎn)程辦公的情況，出差員工利用當(dāng)?shù)豂SP提供的上網(wǎng)服務(wù)，即可與企業(yè)VPN網(wǎng)關(guān)建立私有隧道連接。VPN遠(yuǎn)程接入方式有以下主要優(yōu)勢：簡化網(wǎng)絡(luò)：只需要接入1臺VPN網(wǎng)關(guān)設(shè)備，即可解決幾十到幾千人的遠(yuǎn)程接入問題。節(jié)省費(fèi)用：利用本地?fù)芴柦尤肴〈h(yuǎn)距離接入或800電話接入，顯著降低長途通信費(fèi)用，減少了用于購置調(diào)制解調(diào)器和終端服務(wù)設(shè)備的費(fèi)用。支持多種標(biāo)準(zhǔn)認(rèn)證機(jī)制如LDAP、RADIUS等。多接接入方式：無論用戶采用那種方式訪問互聯(lián)網(wǎng)，均可建立VPN連接；自由選擇規(guī)模：無論企業(yè)大小，VPN都有相對應(yīng)的產(chǎn)品，用戶數(shù)可為5~5000個；具有高可用性：對于接入用戶較多的企業(yè)，VPN支持遠(yuǎn)程接入的高可用模式，保障用戶服務(wù)的連貫性。EasyVPN方式EasyVPN是CISCO的一種特征,它允許使用CISCOVPN客戶端軟件一類實(shí)施IPSec遠(yuǎn)程訪問設(shè)備。由于可以使用CISCO路由器或者PIX來配置EasyVPN服務(wù)器，而不需要另外增加其他設(shè)備，對于已經(jīng)擁有一臺大容量的邊緣路由，而且僅需要少量的遠(yuǎn)程訪問用戶的企業(yè)來說，這無疑在保證了遠(yuǎn)程訪問的高安全性的前提下，可以在成本控制上有更大的優(yōu)勢。這也是本設(shè)計(jì)方案所采用它作為遠(yuǎn)程訪問方式的原因。熱備份路由協(xié)議（HSRP）隨著Internet的日益普及，人們對網(wǎng)絡(luò)的依賴性也越來越強(qiáng)，這同時(shí)對網(wǎng)絡(luò)的穩(wěn)定性提出了更高的要求，人們自然想到了基于設(shè)備的備份結(jié)構(gòu)，就像在服務(wù)器中為提高數(shù)據(jù)的安全性而采用雙硬盤結(jié)構(gòu)一樣，路由器是整個網(wǎng)絡(luò)的核心和心臟，如果路由器發(fā)生致命性的故障，將導(dǎo)致本地網(wǎng)絡(luò)的癱瘓，如果是骨干路由器，影響的范圍將更大，所造成的損失也是難以估計(jì)的，因此，對路由器采用熱備份是提高網(wǎng)絡(luò)可靠性的必然選擇，在一個路由器完全不能工作的情況下，它的全部功能便被系統(tǒng)中的另一個備份路由器完全接管，直至出現(xiàn)問題的路由器恢復(fù)正常，這就是熱備份路由協(xié)議（HotStandbyRouterProtocal），HSRPRFC2281技術(shù)要解決的問題，如下圖2-5HSRP熱備一所示：圖2-5HSRP熱備一熱備份路由器協(xié)議（HSRP）是思科私有的協(xié)議，它的設(shè)計(jì)目標(biāo)是支持特定情況下IP流量失敗轉(zhuǎn)移不會引起混亂、并允許主機(jī)使用單路由器，以及即使在實(shí)際第一跳路由器使用失敗的情形下仍能維護(hù)路由器間的連通性，負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動路由器（ActiveRouter）。一旦主動路由器出現(xiàn)故障，HSRP將激活備份路由器（StandbyRouters）取代主動路由器，HSRP協(xié)議提供了一種決定使用主動路由器還是備份路由器的機(jī)制，并指定一個虛擬的IP地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。如果主動路由器出現(xiàn)故障，備份路由器（StandbyRouters）承接主動路由器的所有任務(wù)，并且不會導(dǎo)致主機(jī)連通中斷現(xiàn)象，如下圖2-6HSRP熱備二所示：圖2-6HSRP熱備二HSRP運(yùn)行在UDP上，采用端口號1985，路由器轉(zhuǎn)發(fā)協(xié)議數(shù)據(jù)包的源地址使用的是實(shí)際IP地址，而并非虛擬地址，正是基于這一點(diǎn)，HSRP路由器間能相互識別?，F(xiàn)思科公司的第三層交換機(jī)也支持該協(xié)議，HSRP根據(jù)對兩互備份路由器或交換機(jī)的優(yōu)先級設(shè)定，將其中一臺設(shè)備置為活動狀態(tài)，而另一臺設(shè)備置為備用狀態(tài)，當(dāng)主設(shè)備發(fā)生故障時(shí)備用設(shè)備能立即啟用，這就是所謂“熱備”的含義，對網(wǎng)絡(luò)中正常工作的用戶而言，這一切都是透明不可見的，從而保證了網(wǎng)絡(luò)的正常運(yùn)行。本章小結(jié)本章介紹了Cisco對中小型企業(yè)的架構(gòu)、對中小型企業(yè)復(fù)合網(wǎng)絡(luò)模型建設(shè)；還介紹了當(dāng)今組建中小型企業(yè)園區(qū)網(wǎng)絡(luò)的主要技術(shù)，包括了路由技術(shù)、交換技術(shù)、VLAN技術(shù)、遠(yuǎn)程訪問技術(shù)及冗余熱備份技術(shù)等，這些都是在組建一個高可用性企業(yè)網(wǎng)絡(luò)中必須涉及的相關(guān)技術(shù)。中小企業(yè)網(wǎng)絡(luò)的建設(shè)目標(biāo)建設(shè)目標(biāo)企業(yè)建設(shè)一個以辦公自動化、計(jì)算機(jī)輔助生產(chǎn)、控制及管理為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、能覆蓋企業(yè)各樓宇的企業(yè)主干網(wǎng)絡(luò)，將企業(yè)的各種PC機(jī)、工作站、終端設(shè)備和局域網(wǎng)連接起來，并與有關(guān)廣域網(wǎng)相連，在網(wǎng)上宣傳自己和獲取Internet網(wǎng)上的信息資源。形成結(jié)構(gòu)合理、內(nèi)外溝通的企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，在此基礎(chǔ)上建立能滿足生產(chǎn)、研發(fā)和管理工作需要的軟硬件環(huán)境，開發(fā)各類信息庫和應(yīng)用系統(tǒng)，為企業(yè)各類需求提供充分的網(wǎng)絡(luò)信息服務(wù)。即總體目標(biāo)是利用先進(jìn)的計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)，建設(shè)高質(zhì)量、高效率的統(tǒng)一的通信網(wǎng)絡(luò)。其具體目標(biāo)如下：通過建設(shè)一個高速、安全、可靠、可擴(kuò)充的網(wǎng)絡(luò)系統(tǒng)，使各系統(tǒng)互聯(lián)互通，實(shí)現(xiàn)企業(yè)信息的高度共享、傳遞及管理信息化，各領(lǐng)導(dǎo)能及時(shí)、全面、準(zhǔn)確地掌握企業(yè)的研發(fā)、生產(chǎn)、管理、財(cái)務(wù)、人事等各方面情況；建立出口信道，實(shí)現(xiàn)企業(yè)與Internet互聯(lián)，同時(shí)部署企業(yè)各種應(yīng)用服務(wù)器（郵件、文件、網(wǎng)站及各系統(tǒng)服務(wù)器等），實(shí)現(xiàn)企業(yè)信息的發(fā)布，提供各領(lǐng)導(dǎo)和企業(yè)員工的移動撥號接入，進(jìn)行移動辦公和資料查詢；企業(yè)的各通交流，用電子信息的傳遞取代紙面文件、資料的傳送，實(shí)現(xiàn)無紙辦公，改變傳統(tǒng)的工作方式，進(jìn)一步提高工作效率；利用各種業(yè)務(wù)信息的綜合分析，為各級領(lǐng)導(dǎo)提供決策支持，更好地組織生產(chǎn)和經(jīng)營。設(shè)計(jì)原則企業(yè)園區(qū)網(wǎng)可能包含大量的信息點(diǎn)，并會涉及大量的業(yè)務(wù)應(yīng)用，這就要求企業(yè)網(wǎng)必須是一個實(shí)用的、高可靠、高效率、高擴(kuò)展性及高安全性系統(tǒng)。為使企業(yè)園網(wǎng)絡(luò)系統(tǒng)具有良好的擴(kuò)展性和靈活的接入能力，并易于管理，易于維護(hù)，在網(wǎng)絡(luò)設(shè)計(jì)及構(gòu)建中始終應(yīng)遵循統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一平臺及網(wǎng)絡(luò)分層的原則，主要包括如下原則：在網(wǎng)絡(luò)規(guī)劃方面，統(tǒng)一采用IP技術(shù)，統(tǒng)一規(guī)劃IP地址及各種應(yīng)用，采用開放的技術(shù)及國際標(biāo)準(zhǔn)，如路由協(xié)議、安全標(biāo)準(zhǔn)、接入標(biāo)準(zhǔn)和網(wǎng)絡(luò)管理平臺等，才能保證實(shí)現(xiàn)網(wǎng)絡(luò)的統(tǒng)一，并確保網(wǎng)絡(luò)的可擴(kuò)展性，同時(shí)為了減少網(wǎng)絡(luò)中各部分的相關(guān)性，便于網(wǎng)絡(luò)的實(shí)施及管理，在網(wǎng)絡(luò)的構(gòu)建中，從整體上可以將網(wǎng)絡(luò)劃分為核心層、匯聚層和接入層等3個層次；在軟硬件選擇方面，所有選擇的軟、硬件產(chǎn)品都必須遵循標(biāo)準(zhǔn)化原則，采用統(tǒng)一的軟、硬件平臺和基本應(yīng)用軟件，以便進(jìn)行統(tǒng)一的軟件版本的升級及管理；在安全方面，所建設(shè)企業(yè)網(wǎng)應(yīng)具有良好的安全性與保密性，根據(jù)企業(yè)的業(yè)務(wù)應(yīng)用需求，部署合理的網(wǎng)絡(luò)訪問策略，同時(shí)實(shí)現(xiàn)企業(yè)內(nèi)部敏感信息的保護(hù)，在受到攻擊時(shí)具有可追溯性；在投資保護(hù)方面，要做到資源共享與保護(hù)，充分合理地利用現(xiàn)有的資源，最大限度地與原有系統(tǒng)或在建系統(tǒng)互聯(lián)互通，在盡可能利用已有投資的基礎(chǔ)上，解決好經(jīng)費(fèi)的補(bǔ)充和配套資金到位問題。本章小結(jié)本章介紹了中小型企業(yè)組建網(wǎng)絡(luò)的建設(shè)目標(biāo)，包括安全性、可靠性、可擴(kuò)充性等，建立互聯(lián)網(wǎng)通訊目標(biāo)，實(shí)現(xiàn)企業(yè)內(nèi)部暢通交流及提供綜合分析數(shù)據(jù)以供領(lǐng)導(dǎo)決策；提出設(shè)計(jì)原則，主要包括網(wǎng)絡(luò)規(guī)劃、軟硬件的選擇、安全性及投資保護(hù)等四方面進(jìn)行討論。中小企業(yè)網(wǎng)絡(luò)需求分析為了便于理論結(jié)合實(shí)踐，以下所有涉及的需求分析及解決方案是以東莞某企業(yè)的真實(shí)情況為設(shè)計(jì)依據(jù)，此方案的設(shè)計(jì)已經(jīng)應(yīng)用于真實(shí)環(huán)境且運(yùn)行二年多以來用戶表示效果良好。目標(biāo)需求企業(yè)：優(yōu)化管理體制，實(shí)現(xiàn)資源合理配置，節(jié)約不必要開支，投入辦公自動化、研發(fā)及信息化設(shè)施；加速企業(yè)研發(fā)成果轉(zhuǎn)化，積極開展對外合作、交流、溝通；進(jìn)行技能培訓(xùn)、考核，提高競爭力；領(lǐng)導(dǎo)：可以訊速獲取各種信息；提高管理能力、業(yè)務(wù)水平及自身素質(zhì)；拓展新項(xiàng)目及項(xiàng)目管理；進(jìn)行各種對外交流；加強(qiáng)與員工的溝通；便利的企業(yè)生活服務(wù)等；員工：獲取信息，拓寬知識面；提高專業(yè)水平，隨時(shí)得到領(lǐng)導(dǎo)指示；廣泛的交流；學(xué)習(xí)與實(shí)踐相結(jié)合；豐富多彩的企業(yè)生活及發(fā)揮才能的機(jī)會；便利的企業(yè)生活服務(wù)。應(yīng)用需求息信流分析1).在該企業(yè)網(wǎng)中發(fā)生的信息流主要包括二個部分：管理過程信息流和Internet信息流；2).管理過程信息流包括：各種生產(chǎn)控制管理信息流和行政辦公信息流；3).各種生產(chǎn)控制管理信息流通過在企業(yè)園區(qū)網(wǎng)上運(yùn)行的綜合信息管理及業(yè)務(wù)系統(tǒng)，包括企業(yè)的生產(chǎn)管理和日常的管理實(shí)現(xiàn)辦公自動化，如企業(yè)ERP系統(tǒng)管理、OA流程管理和人事管理、財(cái)務(wù)管理、固定資產(chǎn)管理等，同時(shí)可在網(wǎng)上進(jìn)行信息發(fā)布；4).Internet信息流主要建立在寬帶、結(jié)構(gòu)簡化、綜合業(yè)務(wù)應(yīng)用齊全的IP基礎(chǔ)網(wǎng)上或企業(yè)園區(qū)DMZ區(qū)域網(wǎng)上，提供企業(yè)園區(qū)網(wǎng)或廣域網(wǎng)資源信息的傳遞和共享。此類數(shù)據(jù)流為載有語音、數(shù)據(jù)和視頻信息的IP流。應(yīng)用業(yè)務(wù)分析根據(jù)國家的相關(guān)規(guī)定與標(biāo)準(zhǔn)，不同行業(yè)的中小型企業(yè)人數(shù)限定是不一樣的，但是根據(jù)行業(yè)的性質(zhì)及所規(guī)定的人數(shù)，一間中小型企業(yè)使用計(jì)算機(jī)的數(shù)量一般在幾百臺左右。因此，小型園區(qū)網(wǎng)絡(luò)設(shè)計(jì)即可滿足。小型園區(qū)網(wǎng)絡(luò)設(shè)計(jì)適于最多只包含幾百臺聯(lián)網(wǎng)設(shè)備的建筑物規(guī)模的網(wǎng)絡(luò)。該企業(yè)目前擁有500臺辦公計(jì)算機(jī)，并且企業(yè)還有如下的各項(xiàng)需求情況，在本方案中，屬于中型企業(yè)，詳細(xì)如下：企業(yè)擁有的500臺辦公計(jì)算機(jī),要求都能訪問到Internet資源；外網(wǎng)通過Internet只能訪問企業(yè)內(nèi)DMZ區(qū)的各種共享服務(wù)器,如FTP、WWW等，不能訪問其它內(nèi)網(wǎng)信息；會議室、會客廳、大廳這三個位置，要實(shí)現(xiàn)wi-fi無線上網(wǎng)，可以實(shí)現(xiàn)多人同時(shí)接入；出差工作人員及在家辦公人員能夠遠(yuǎn)程訪問公司內(nèi)部的共享文件、使用內(nèi)部業(yè)務(wù)系統(tǒng)以及進(jìn)行數(shù)據(jù)傳送；網(wǎng)絡(luò)要是可擴(kuò)展的、高速的、冗余的、安全的，并可滿足為現(xiàn)在或?qū)磉M(jìn)行語音、視頻、圖像等各種服務(wù)的應(yīng)用；要保證企業(yè)內(nèi)部服務(wù)器群可以集中管理以及企業(yè)內(nèi)部信息安全；為了簡化起見，在本方案中設(shè)定公司一共有6個部門：財(cái)務(wù)部、市場部、開發(fā)部、策劃部、客戶中心、采購部。業(yè)務(wù)需求1).數(shù)據(jù)處理及通訊能力強(qiáng)，響應(yīng)速度快；2).網(wǎng)絡(luò)運(yùn)行安全、可靠性高，即使發(fā)生攻擊行為，保證可追溯、可跟蹤；3).系統(tǒng)易擴(kuò)充，易管理，便于用戶的增加；4).主干網(wǎng)支持多媒體、群體、圖象接口應(yīng)用，支持高性能數(shù)據(jù)庫軟件包的持續(xù)增長；5).系統(tǒng)開放性、互連性好；6).局域網(wǎng)既能方便遠(yuǎn)程用戶的撥號接入，又能滿足特殊用戶高效地連入廣域網(wǎng)，使用靈活；7).具有很強(qiáng)的分布式數(shù)據(jù)處理能力。外部需求1).外部需求應(yīng)包括以下幾個：Internet訪問、遠(yuǎn)程訪問、電子郵件、以多媒體方式介紹企業(yè)、討論和交流、WEB信息發(fā)布及FTP文件共享，各項(xiàng)均可通過相應(yīng)的網(wǎng)絡(luò)信息平臺實(shí)現(xiàn)；2).企業(yè)的網(wǎng)絡(luò)化建設(shè)必然會對企業(yè)的信息化建設(shè)起到巨大的推動作用，同時(shí)提供簡單、有效、便捷的理想辦公、管理及生產(chǎn)環(huán)境。用戶需求調(diào)查表4-1用戶需求調(diào)查地址建筑物可靠性/可用性網(wǎng)絡(luò)需求安全性可擴(kuò)展性樓層數(shù)信息點(diǎn)數(shù)主要應(yīng)用辦公樓一1棟4層/棟白天工作狀態(tài)良好，網(wǎng)絡(luò)運(yùn)行正常下載>300KB/s上傳>100KB/s中好4120OA辦公、產(chǎn)品設(shè)計(jì)、資源共享、Internet服務(wù)等辦公樓二1棟4層/棟白天工作狀態(tài)良好，網(wǎng)絡(luò)運(yùn)行正常下載>300KB/s上傳>100KB/s中好4100OA辦公、產(chǎn)品設(shè)計(jì)、資源共享、Internet服務(wù)等研發(fā)樓1棟3層/棟白天工作狀態(tài)良好,網(wǎng)絡(luò)正常運(yùn)行下載>500kB/s上傳>200KB/s高好370系統(tǒng)測試、產(chǎn)品開發(fā)、員工培訓(xùn)、應(yīng)用軟件學(xué)習(xí)、Internet服務(wù)等生產(chǎn)車間1棟4層/棟全日制不停機(jī)工作下載>400KB/s上傳>100KB/s中良好450系統(tǒng)應(yīng)用、資源共享、OA辦公、Internet服務(wù)等職工公寓1~33棟6層/棟白天工作狀態(tài)良好,網(wǎng)絡(luò)正常運(yùn)行下載>200KB/s上傳>50KB/s低良好18130資源共享、員工學(xué)習(xí)及娛樂、應(yīng)用軟件學(xué)習(xí)、Internet服務(wù)等網(wǎng)絡(luò)需求分析根據(jù)該企業(yè)應(yīng)用需求進(jìn)行分析，最終決定采用以下網(wǎng)絡(luò)部署方案解決該企業(yè)的各項(xiàng)需求：1).申請一條15M的帶寬，以滿足500臺計(jì)算機(jī)訪問Internet；2).申請九個公網(wǎng)IP地址：分配給internet接入路由器的串行接口，另外八個IP地址：/29-/29用作NAT；3).購買一臺CISCO路由器CISCO3640以實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)連接到internet，購買一臺防火墻以實(shí)現(xiàn)內(nèi)部與外部的安全過濾；4).企業(yè)目前有500臺計(jì)算機(jī)連入網(wǎng)絡(luò)，考慮到在未來五年內(nèi)可能會有所增加，預(yù)計(jì)增加幅度為100臺，總共有600臺，出于前期一次性設(shè)備投資成本過高但又不失擴(kuò)展性的要求,所以采用了匯聚層與接入層暫時(shí)相合并的設(shè)計(jì)辦法，因此在各棟樓之間按用戶數(shù)量部署適當(dāng)數(shù)據(jù)量的接入層交換機(jī)48口Catalyst2960，設(shè)計(jì)方案共計(jì)13臺設(shè)備，為了方便管理及后續(xù)的擴(kuò)展性，接入層交換機(jī)按需采用堆疊式部署及配置；5).將各個部門劃分在不同的VLAN，包括服務(wù)器群和管理VLAN一共需要7個VLAN；6).將WEB服務(wù)、郵件服務(wù)器、FTP服務(wù)器及業(yè)務(wù)應(yīng)用系統(tǒng)服務(wù)器直接與核心交換機(jī)CISCO4501連接，置于管理機(jī)房，方便管理，同時(shí)配置ACL控制各部門訪問權(quán)限并阻止外網(wǎng)訪問；7).在需要無線上網(wǎng)的會議廳、會客廳、大廳三個地方，采用三臺54M802.11b的無線AP接入，設(shè)定最多30人的數(shù)量，以保證每個人訪問網(wǎng)速不至于過慢；8).在路由器上配置EasyVPN，用以實(shí)現(xiàn)出差工作人員及在家辦公人員遠(yuǎn)程訪問企業(yè)內(nèi)部資源及數(shù)據(jù)交換；9).為實(shí)現(xiàn)網(wǎng)絡(luò)的冗余設(shè)計(jì)，在核心層部署時(shí)，用兩臺三層交換機(jī)實(shí)現(xiàn)HSRP功能。本章小結(jié)本章以一個實(shí)際案例的需求為依據(jù)，分析中小型企業(yè)目標(biāo)需求、應(yīng)用需求、業(yè)務(wù)需求、外部需求、用戶需求及網(wǎng)絡(luò)需求等，詳細(xì)分析了中小型企業(yè)需求的重點(diǎn)及面臨的問題，從而引出了作為中小型企業(yè)一些共性的需求。企業(yè)網(wǎng)絡(luò)的總體設(shè)計(jì)企業(yè)網(wǎng)絡(luò)建設(shè)不只是涉及技術(shù)方面，而是包括了網(wǎng)絡(luò)設(shè)施、應(yīng)用平臺、信息資源、專業(yè)應(yīng)用、人員素質(zhì)等眾多成份的綜合化系統(tǒng)。因此，在總體上如何籌劃、組織網(wǎng)絡(luò)建設(shè)和開發(fā)應(yīng)用的設(shè)計(jì)思想是企業(yè)網(wǎng)建設(shè)中的最重要的問題。

總體設(shè)計(jì)是企業(yè)網(wǎng)建設(shè)的總體思路和工程藍(lán)圖，是搞好企業(yè)網(wǎng)建設(shè)的核心任務(wù)。進(jìn)行企業(yè)網(wǎng)總體設(shè)計(jì)，首先，進(jìn)行對象研究和需求調(diào)查，弄清企業(yè)的性質(zhì)、任務(wù)和改革發(fā)展的特點(diǎn)，對企業(yè)的信息化環(huán)境進(jìn)行準(zhǔn)確的描述，明確系統(tǒng)建設(shè)的需求和條件；其次，在應(yīng)用需求分析的基礎(chǔ)上，確定企業(yè)Intranet服務(wù)類型，進(jìn)而確定系統(tǒng)建設(shè)的具體目標(biāo)，包括網(wǎng)絡(luò)設(shè)施、站點(diǎn)設(shè)置、開發(fā)應(yīng)用和管理等方面的目標(biāo)；第三，確定網(wǎng)絡(luò)拓樸結(jié)構(gòu)和功能，根據(jù)應(yīng)用需求、建設(shè)目標(biāo)和企業(yè)主要建筑分布特點(diǎn)，進(jìn)行系統(tǒng)分析和設(shè)計(jì)；第四，確定技術(shù)設(shè)計(jì)的原則要求，如在技術(shù)選型、布線設(shè)計(jì)、設(shè)備選擇、軟件配置等方面的標(biāo)準(zhǔn)和要求；第五，規(guī)劃安排企業(yè)網(wǎng)建設(shè)的實(shí)施步驟。網(wǎng)絡(luò)拓樸設(shè)計(jì)本次該企業(yè)網(wǎng)絡(luò)設(shè)計(jì)方案主要由以下四大部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪問模塊、服務(wù)器群。整個網(wǎng)絡(luò)系統(tǒng)的拓樸結(jié)構(gòu)圖如圖5-1網(wǎng)絡(luò)拓樸設(shè)計(jì)所示，如下：圖5-1網(wǎng)絡(luò)拓樸設(shè)計(jì)該設(shè)計(jì)符合CISCO中小型局域網(wǎng)模型架構(gòu)。它的園區(qū)主干和建筑物分布子模塊沒有十分明確的三層設(shè)計(jì)區(qū)分，在功能配置基本上是緊縮到一層中去（即CoreSwitch所在層），因?yàn)槿狈γ黠@分開的園區(qū)主干和建筑物分布子模塊，并且園區(qū)主干子模塊中的密度是有限的，所以在每個建筑物分布子模塊中采用多臺二層交換機(jī)（Catalyst2960）進(jìn)行堆疊即可，在此方案中，出于可擴(kuò)展性、一次性投資成本、網(wǎng)絡(luò)的傳輸性能及長遠(yuǎn)規(guī)劃等方面因素考慮，前期先采用堆疊模式即可滿足所有用戶的接入問題，當(dāng)用戶增加到一定的數(shù)量之后，出于交換機(jī)堆疊數(shù)量的限制，可以選擇增加多一臺建筑物分布子模塊來做匯聚的交換設(shè)備，這樣一樣可以做到后續(xù)有很強(qiáng)的擴(kuò)展性，通過這種設(shè)計(jì)，可以使用該企業(yè)達(dá)到滿足現(xiàn)有需求的同時(shí)很好的降低了成本且不失后期的擴(kuò)展性（如上拓樸圖示）。以這個設(shè)計(jì)方案而言，因?yàn)槟芴峁┙粨Q機(jī)和鏈路冗余，所在園區(qū)主干子模塊不包含任何的單點(diǎn)故障。它采用了星形拓樸結(jié)構(gòu)，它相對其他拓樸結(jié)構(gòu)來說，星形拓樸將用戶接入網(wǎng)絡(luò)時(shí)具有更大的靈活性。當(dāng)系統(tǒng)不斷發(fā)展或系統(tǒng)發(fā)生重大變化時(shí)，這種優(yōu)點(diǎn)將變得更加突出。在接入層，Catalyst2960系列交換機(jī)通過生成樹提供第二層冗余。Catalyst2960系列交換機(jī)僅有缺點(diǎn)就是最高只能32Gbit/s交換陣列，并且最多只能支持48個快速以太網(wǎng)端口，但是這對于資金有限的中小型企業(yè)網(wǎng)來說已經(jīng)滿足需求了。在核心層采用三層交換機(jī)Catalyst4506系列部署，可以增加網(wǎng)絡(luò)擴(kuò)展性，提高性能及可用性，增強(qiáng)網(wǎng)絡(luò)安全性。在該設(shè)計(jì)中，利用快速以太網(wǎng)通道化/千兆以太網(wǎng)通道化技術(shù)擴(kuò)展網(wǎng)絡(luò)帶寬，可以滿足內(nèi)部網(wǎng)絡(luò)的大負(fù)荷網(wǎng)絡(luò)運(yùn)行需求。IP編址方案及VLAN劃分IP地址規(guī)劃根據(jù)所分配的公網(wǎng)IP地址和內(nèi)部私有網(wǎng)IP地址分配，地址可分為二大塊，一塊是分配多個C類公網(wǎng)IP地址，作為和國際互聯(lián)網(wǎng)互連的地址，一部分企業(yè)相關(guān)的域名就解析在這片地址上，同時(shí)提供給企業(yè)用戶上網(wǎng)時(shí)的NAT轉(zhuǎn)換用，如果條件允許，可以申請多個運(yùn)營商的線路，關(guān)鍵服務(wù)器及應(yīng)用可以擁有兩條線路的公網(wǎng)IP，分別跨接在不同的運(yùn)營商上進(jìn)行相互備份。當(dāng)前交換技術(shù)的迅速發(fā)展，也加快了虛擬子網(wǎng)技術(shù)(VLAN—VirtualLocalAreaNetwork)的應(yīng)用速度，特別是在當(dāng)前企業(yè)網(wǎng)上的應(yīng)用更廣泛。通過將企業(yè)網(wǎng)絡(luò)劃分為虛擬子網(wǎng)（VLAN），可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。數(shù)據(jù)廣播在網(wǎng)絡(luò)中起著非常重要的作用，隨著企業(yè)網(wǎng)內(nèi)的計(jì)算機(jī)數(shù)量的增加，廣播包的數(shù)量也會急劇增加，當(dāng)廣播包的數(shù)量占到總量的30%時(shí)，網(wǎng)絡(luò)的傳輸效率將會明顯下降。特別是當(dāng)某網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后，會不停地向網(wǎng)絡(luò)發(fā)送廣播，從而導(dǎo)致網(wǎng)絡(luò)風(fēng)暴，使網(wǎng)絡(luò)通信陷于癱瘓。當(dāng)企業(yè)網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)數(shù)超過200臺后，就必須采取措施將網(wǎng)絡(luò)分隔開來，將一個大的廣播域劃分成若干個小的廣播域。該方案IP編址及VLAN劃分如下：表5-1VLAN劃分表VLAN號VLAN名稱IP網(wǎng)段默認(rèn)網(wǎng)關(guān)說明VLAN1-192．168．0．0/24192．168．0．254管理VLANVLAN10CWB192．168．1．0/24192．168．1．254財(cái)務(wù)部VLANVLAN20SCB192．168．2．0/24192．168．2．254市場部VLANVLAN30CHB192．168．3．0/24192．168．3．254策劃部VLANVLAN50KFZX192．168．5．0/24192．168．5．254客服中心VLANVLAN60CGB192．168．6．0/24192．168．6．254采購部VLANVLAN70RFB192．168．7．0/24192．168．7．254研發(fā)部VLANVLAN100SERVER192．168．100．0/24192．168．100．254服務(wù)器組VLAN核心層設(shè)計(jì)及設(shè)備選型企業(yè)網(wǎng)是各種應(yīng)用的統(tǒng)一通信平臺，平均無故障時(shí)間以及故障恢復(fù)時(shí)間要保持在一個可容忍的許可范圍之內(nèi)。在這種前提下，園區(qū)主干設(shè)備應(yīng)有一定的冗余度，這種冗余包括有設(shè)備級及物理線路等方面，數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層以及應(yīng)用層的容錯能力。園區(qū)主干網(wǎng)以企業(yè)網(wǎng)絡(luò)中心的主機(jī)房為中心節(jié)點(diǎn)向外輻射，通過各部門所在的建筑樓節(jié)點(diǎn)構(gòu)成園區(qū)主干網(wǎng)。企業(yè)園物理結(jié)構(gòu)分為三層：核心層、匯聚層、接入層。園區(qū)主干網(wǎng)中心節(jié)點(diǎn)配置核心路由交換機(jī)，該交換機(jī)上配置第三層交換模塊和網(wǎng)絡(luò)監(jiān)控模塊，以實(shí)現(xiàn)網(wǎng)絡(luò)動態(tài)管理和虛擬局域網(wǎng)。企業(yè)網(wǎng)的各建筑物分布子模塊，可采用三層交換機(jī)與企業(yè)網(wǎng)園區(qū)中心的核心路由交換機(jī)連接，以實(shí)現(xiàn)主干通道信息傳輸?shù)呢?fù)載均衡。辦公司樓、研發(fā)樓、生產(chǎn)間、職工公寓等樓宇采用高性能匯聚層交換機(jī)，以保證建筑樓信息點(diǎn)對交換機(jī)端口密度的要求和網(wǎng)絡(luò)性能與可靠性的要求。園區(qū)主干網(wǎng)核心層交換機(jī)和匯聚層交換機(jī)采用1000Mbps（單模1000BASE-LX、多模1000BASE-SX）連接，服務(wù)器采用1000Mbps(1000BASE-TX)連接。園區(qū)主干交換機(jī)園區(qū)主干交換機(jī)是指連接服務(wù)器及樓與樓之間、層與層之間的數(shù)據(jù)交換設(shè)備。根據(jù)企業(yè)網(wǎng)工程的不同階段中網(wǎng)絡(luò)信息點(diǎn)增加及其間伴隨著的使用需求增長，對主干交換機(jī)基本設(shè)備的選型及其階段性的擴(kuò)展需求進(jìn)行總體的合理規(guī)劃。因此本次方案設(shè)計(jì)采用Catalyst4506交換機(jī)，它采用了SupervisorEngineV-10GE的領(lǐng)先引擎，它的最高性能可以達(dá)到102Mpps和136Gbit/s，在遠(yuǎn)程辦公室環(huán)境中，這類交換機(jī)即可以作為單臺交換機(jī)發(fā)揮作用，也可以作為包含少量交換機(jī)的中小型網(wǎng)絡(luò)的園區(qū)主干交換機(jī)。在ISP網(wǎng)絡(luò)環(huán)境中，因?yàn)檫@個平臺具有CISCO長距離以太網(wǎng)的功能，所以這些交換機(jī)能夠用于匯聚業(yè)務(wù)服務(wù)和用戶的接入。在性能方面，通過使用SupervisorIII或SupervisorII+只支持第二層，但是能夠支持64Gbit/s，同時(shí)具有很強(qiáng)的擴(kuò)展性及多業(yè)務(wù)特性，可以滿足未來企業(yè)豐富的業(yè)務(wù)需求及提供投資保護(hù)。采用交換機(jī)而不使用共享式集線器到桌面是由于企業(yè)實(shí)際使用情況是要求集中突發(fā)性、工作效率、生產(chǎn)效率性以及當(dāng)前網(wǎng)絡(luò)技術(shù)的主流及后續(xù)的擴(kuò)展性及兼容性等的考慮，即職工工作時(shí)間段相對集中的情況比較多且工作效率要求很高，如果使用共享到桌面，網(wǎng)絡(luò)就會產(chǎn)生擁阻而影響速度，因此在企業(yè)網(wǎng)中應(yīng)使用百兆交換到桌面。在十兆與百兆交換機(jī)中應(yīng)選擇百兆交換，因?yàn)?0兆雖然在有些職工的網(wǎng)絡(luò)使用中剛剛能達(dá)到要求，但是已經(jīng)不適應(yīng)功能越來越強(qiáng)的計(jì)算機(jī)與新的應(yīng)用軟件的發(fā)展，更不適應(yīng)更快的計(jì)算機(jī)通訊產(chǎn)品的要求，將成為它們之間最大的瓶頸。出口路由器在此方案中，考慮該企業(yè)Internet出口路由器的配置，采用一臺CISCO3640路由器，因?yàn)镃ISCO3600系列是模塊化設(shè)備，提供了更多的槽和更高的處理能力，它的用途是支持大型分支機(jī)構(gòu)中的復(fù)雜應(yīng)用，或作為中心路由器為多個遠(yuǎn)程站點(diǎn)提供連接，它的網(wǎng)絡(luò)模塊最高可支持OC-3的速度，且對大多數(shù)企業(yè)具有豐富的可提高擴(kuò)展能力。CISCO3640也是CISCO多服務(wù)行列中的一員，它支持連接語音線路、電話和專用分組交換機(jī)（PBX），提供LAN介質(zhì)、串行接口、ISDN連接、語音連接及數(shù)字MODEM等接口，所以選擇CISCO3600系列還是更高系列，取決于所需支持的不同類型的接口的數(shù)目，這些新系列的路由器一般有更強(qiáng)的處理能力、支持更多的可配置接口，然而情況并不總是這樣，一些CISCO早期推向市場的撥號訪問服務(wù)器就不能處理由多個接口同時(shí)提供出的多個連接。服務(wù)器群組服務(wù)器是網(wǎng)絡(luò)服務(wù)器用量最大的地方。服務(wù)器的選擇標(biāo)準(zhǔn)很大程度上取決于中心客戶的類型和應(yīng)用種類。就大部分中小型企業(yè)應(yīng)用而言，Web、ERP應(yīng)用和數(shù)據(jù)庫應(yīng)用仍然占整個數(shù)據(jù)中心的各類應(yīng)用的主要部分。因此對服務(wù)器的網(wǎng)絡(luò)響應(yīng)能力在很大程度上體現(xiàn)了服務(wù)器的硬件體系結(jié)構(gòu)設(shè)計(jì)的合理性、CPU或CPU組（SMP）對操作系統(tǒng)的進(jìn)程或線程的分配能力以及磁盤I/O的性能。以及可行性與穩(wěn)定性，同時(shí)散熱、功耗和易安裝性也是重點(diǎn)考察和評價(jià)的對象?；谝陨峡紤]，所選的服務(wù)器必須具有高可靠性，I/O吞吐能力強(qiáng)，數(shù)據(jù)處理快，可擴(kuò)展性和可管理性良好的特點(diǎn)。接入層設(shè)計(jì)及設(shè)備選型接入層選用Catalyst2960可堆疊交換機(jī)作為用戶的接入，這些交換機(jī)通常作為建筑物接入交換機(jī)而部署，能夠提供固定的端口密度，并且具有與高端交換機(jī)相類似的特性，但其成本更低，但它們卻支持非常多的高級交換特性，其中包括集成安全、NAC、高級Qos和彈性等；同時(shí)這些交換機(jī)具有固定的端口配置，具有24個或48個10/100BASE-T或10/100/1000BASE-T端口，以及雙目標(biāo)特以太網(wǎng)上行鏈路，既可以使用銅或光纖上行鏈路，也可以使用一個10/100/1000以太網(wǎng)端口和一個SFP吉比特以太網(wǎng)端口的組合。使用Catalyst2960作為本方案設(shè)計(jì)的接入交換機(jī)，它支持全線速的二層交換，同時(shí)具備如下特性：完備的安全智能控制策略：支持802.1x認(rèn)證，還可以通過靈活的MAC、IP、VLAN、PORT任意組合綁定，有效的防止非法用戶訪問網(wǎng)絡(luò)。支持多種ACL訪問控制策略：能夠?qū)τ脩粼L問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行設(shè)置，保證網(wǎng)絡(luò)的受控訪問。高可靠性：支持STP/RSTP生成樹協(xié)議。豐富的QOS策略：支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口，支持帶寬控制功能。好的擴(kuò)展性：提供良好的堆疊功能，同時(shí)支持不同設(shè)備的混合堆疊，從而保證了網(wǎng)絡(luò)的平滑升級和降低了擴(kuò)建成本。安全體系設(shè)計(jì)及設(shè)備選型企業(yè)網(wǎng)信息系統(tǒng)是企業(yè)網(wǎng)的數(shù)字神經(jīng)中樞，合理的使用不僅能提高企業(yè)現(xiàn)代化信息化改革、提高工作效率、改善工作模式及流程，同時(shí)通過各企業(yè)之間的信息共享及溝通的方便及順暢，將會極大的提高整體行業(yè)的工作效率及工作業(yè)績。企業(yè)網(wǎng)總體上分為企業(yè)內(nèi)網(wǎng)和企業(yè)外網(wǎng)。企業(yè)內(nèi)網(wǎng)主要包括研發(fā)樓局域網(wǎng)、生產(chǎn)車間局域網(wǎng)、辦公自動化局域網(wǎng)等。企業(yè)外網(wǎng)主要指企業(yè)提供對外服務(wù)的服務(wù)器群、與電信的接入以及遠(yuǎn)程移動辦公用戶的接入等，認(rèn)真分析可以總結(jié)出企業(yè)網(wǎng)面臨著如下的安全威脅：各種操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞帶來的安全威脅；Internet網(wǎng)絡(luò)用戶對企業(yè)網(wǎng)存在非法訪問或惡意入侵的威脅；來自企業(yè)網(wǎng)內(nèi)外的各種病毒的威脅，外部用戶可能通過郵件以及文件傳輸?shù)葘⒉《編肫髽I(yè)內(nèi)網(wǎng)，內(nèi)部職工可能由于使用盜版介質(zhì)將病毒帶入企業(yè)內(nèi)；內(nèi)部用戶對Internet的非法訪問威脅，如瀏覽黃色、暴力、反動等網(wǎng)站，以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入企業(yè)內(nèi)網(wǎng)；內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS/DDOS攻擊，導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用；企業(yè)網(wǎng)內(nèi)的職工即時(shí)通信工具（比如：OICQ），目前針對該類工具的黑客程序隨處可見；可能會因?yàn)槠髽I(yè)網(wǎng)內(nèi)管理人員以及全體職工的安全意識不強(qiáng)、管理制度不健全，帶來企業(yè)網(wǎng)的威脅?；谏厦娴膯栴}，我們將從物理、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用及管理五個層次分析和設(shè)計(jì)適合于企業(yè)網(wǎng)的安全建議方案。5.5.1物理層安全物理層的安全主要包括環(huán)境、設(shè)備及線路的安全。系統(tǒng)中心或機(jī)房的建設(shè)應(yīng)遵照：GB50173-93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、GB2887-89《計(jì)算機(jī)站場地安全要求》及GB2887-89《計(jì)算機(jī)站場地技術(shù)條件》的要求。在設(shè)備集中的管理間安裝干擾器防止由于設(shè)備輻射造成的信息泄漏。同時(shí)，要注意保護(hù)線路的安全，防止用戶的搭線竊聽行為。5.5.2系統(tǒng)安全系統(tǒng)層主要解決的是由于各種操作系統(tǒng)、數(shù)據(jù)庫、及相關(guān)產(chǎn)品的安全漏洞和病毒造成的威脅。解決的技術(shù)手段主要有以下幾種：(1)加固手段對主機(jī)加固，如升級、打補(bǔ)丁、關(guān)閉不需要的端口等；(2)訪問控制手段加強(qiáng)對主機(jī)的訪問控制。5.5.3網(wǎng)絡(luò)層安全企業(yè)網(wǎng)中局域網(wǎng)數(shù)目較多，根據(jù)需要多個網(wǎng)絡(luò)可能要互相聯(lián)接。正是這種多網(wǎng)的互聯(lián)，使我們對網(wǎng)絡(luò)層的安全要極度重視。定義一個網(wǎng)絡(luò)或各網(wǎng)絡(luò)內(nèi)不同安全等級的部分為不同的安全域。安全域之間的連接處叫網(wǎng)絡(luò)邊界。下面主要討論以下幾方面的網(wǎng)絡(luò)層安全防護(hù)：(1)劃分安全子網(wǎng)。如果同一局域網(wǎng)內(nèi)有不同等級的安全域，可以通過劃分子網(wǎng)及VLAN的方法加以訪問控制；(2)加強(qiáng)網(wǎng)絡(luò)邊界的訪問控制。安全等級差別較大的邊界需要采用防火墻來控制，如企業(yè)內(nèi)網(wǎng)、企業(yè)外網(wǎng)和Internet之間，利用防火墻進(jìn)行訪問控制和內(nèi)容過濾，可有效地解決需求中提到的多種威脅；(3)防止內(nèi)外的攻擊威脅。在每個安全域內(nèi)或多個安全域之間安裝入侵檢測系統(tǒng)（IDS），可有效地防止來自網(wǎng)絡(luò)內(nèi)外的攻擊。5.5.4應(yīng)用層安全(1)應(yīng)用層的安全措施主要有以下幾點(diǎn)：(2)各應(yīng)用系統(tǒng)自身的加固；(3)建立身份認(rèn)證系統(tǒng)；(4)建立安全審計(jì)系統(tǒng)；(5)建立備份系統(tǒng)。5.5.5管理層安全實(shí)現(xiàn)管理層的安全主要注意以下幾點(diǎn)：(1)建立安全管理平臺。主要是指將各種安全系統(tǒng)或設(shè)備集中控管、綜合分析。(2)建立、健全安全管理體制。企業(yè)網(wǎng)用戶較多，一定要建立一套合理可行的安全管理制度，只有制度和設(shè)備的完美結(jié)合才能真正提高企業(yè)網(wǎng)的安全水平。設(shè)計(jì)方案優(yōu)勢5.6.1高帶寬、高性能相比于傳統(tǒng)組網(wǎng)設(shè)計(jì)方案，該企業(yè)網(wǎng)絡(luò)設(shè)計(jì)方案是基于標(biāo)準(zhǔn)的二、三層以太網(wǎng)交換技術(shù)，技術(shù)成熟度非常高。企業(yè)網(wǎng)絡(luò)中心放置路由交換機(jī)上行通過GE接至互聯(lián)網(wǎng)，GE可以是單模或者多模，到時(shí)可以按使用的情況進(jìn)行擴(kuò)展，使出口不會成為企業(yè)網(wǎng)瓶頸。在企業(yè)網(wǎng)絡(luò)中心通過下行使千兆鏈路連接接入層交換機(jī)，百兆交換到桌面，100M的帶寬可充分滿足用戶高速上網(wǎng)、內(nèi)容下載及多媒體等多種寬帶業(yè)務(wù)。核心交換機(jī)擁有1000M出口聯(lián)接企業(yè)網(wǎng)，各層設(shè)備全部支持線速交換，給用戶提供了真正的高帶寬網(wǎng)絡(luò)，對未來高帶寬的寬帶業(yè)務(wù)提供了強(qiáng)大的支撐能力。5.6.2網(wǎng)絡(luò)管理企業(yè)網(wǎng)在為員工提供便捷、高效的學(xué)習(xí)、工作環(huán)境的同時(shí)，也在寬帶管理、權(quán)限控制等方面存在許多問題：對帶寬資源的大量占用導(dǎo)致重要應(yīng)用無法進(jìn)行對于企業(yè)來說，它的帶寬資源都是有限的。由于沒有帶寬限制和優(yōu)先級設(shè)置，一些重要用戶和重要應(yīng)用得不到必要的帶寬保證而影響了工作。訪問權(quán)限難以控制隨著使用互聯(lián)網(wǎng)資源、各部門之間不同員工間的保密資源可以隨意獲取，將導(dǎo)致企業(yè)秘密級資料或是自主知識產(chǎn)權(quán)被競爭對手抄襲，引起經(jīng)濟(jì)損失。異常網(wǎng)絡(luò)事件的審計(jì)和追查當(dāng)異常網(wǎng)絡(luò)事件發(fā)生后，如何盡快的追根溯源，找出幕后“黑手”，防止事件的再次發(fā)生，成了網(wǎng)絡(luò)維護(hù)人員不得不面對的棘手問題。帶寬的限定和業(yè)務(wù)優(yōu)先級的設(shè)定系統(tǒng)能對每個客戶上下行的帶寬上限加以限定，防止個別客戶占用過多網(wǎng)絡(luò)資源。還能對不同的用戶數(shù)據(jù)設(shè)定業(yè)務(wù)優(yōu)先級以保證重要數(shù)據(jù)能得到更好的服務(wù)?？旖輰?shí)現(xiàn)全網(wǎng)管理全網(wǎng)拓?fù)浒l(fā)現(xiàn)功能可以對全網(wǎng)設(shè)備、網(wǎng)絡(luò)節(jié)點(diǎn)以及事件、性能、日志進(jìn)行實(shí)時(shí)監(jiān)控，統(tǒng)一管理。強(qiáng)大的事件追查功能系統(tǒng)中豐富的日志信息和便捷的追查工具能使網(wǎng)絡(luò)管理員在面對異常事件時(shí)，能及時(shí)作出反應(yīng)，迅速找出幕后“黑手”。5.6.3完善的安全機(jī)制該企業(yè)各樓宇交換機(jī)通過內(nèi)在的多種安全機(jī)制可有效防止和控制病毒傳播和網(wǎng)絡(luò)流量攻擊，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如端口安全、端口隔離、專家級ACL、時(shí)間ACL、端口ARP報(bào)文合法性檢查、基于數(shù)據(jù)流的帶寬限速等等，滿足企業(yè)網(wǎng)加強(qiáng)對訪問者進(jìn)行控制、限制非授權(quán)用戶通信的需求；在匯聚、核心交換設(shè)備設(shè)置由硬件實(shí)現(xiàn)ACL，對病毒進(jìn)行過濾。硬件實(shí)現(xiàn)端口與MAC地址和用戶IP地址的綁定，嚴(yán)格限定端口上用戶接入；通過將端口設(shè)為保護(hù)端口即可簡單方便地隔離用戶之間信息互通，不必占用VLAN資源；通過PrivateVLAN可以在交換機(jī)的同一VLAN中提供端口之間的通訊或安全隔離，確保數(shù)據(jù)流進(jìn)入有效端口，而不會被發(fā)送到其它端口，即解決了因傳統(tǒng)802.1QVLAN造成全網(wǎng)VID資源不夠的問題，同時(shí)又無需利用安全規(guī)則資源即能達(dá)到隔離不同用戶以及不同組用戶之間通訊的功能，充分保護(hù)用戶隱私；提供極為有效的PortBlocking功能，避免端口受到其它端口發(fā)送的廣播包、多播包等報(bào)文的干擾，有效減輕端口負(fù)載負(fù)擔(dān)，提高端口帶寬，保護(hù)用戶PC更高效安全地運(yùn)行；基于源IP地址控制的Telnet和Web設(shè)備訪問控制，增強(qiáng)了設(shè)備網(wǎng)管的安全性，避免黑客惡意攻擊和控制設(shè)備；提供加密傳輸?shù)腟ecureShell（SSH），保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備；病毒、蠕蟲等多元化發(fā)展控制網(wǎng)絡(luò)病毒。統(tǒng)一對接入層交換機(jī)做動態(tài)下發(fā)安全策略，輕松有效的控制網(wǎng)絡(luò)病毒，使網(wǎng)絡(luò)保持暢通。5.6.4易維護(hù)CISCO網(wǎng)絡(luò)交換機(jī)都經(jīng)過獨(dú)特設(shè)計(jì)具備防塵、防潮、防靜電等多種適于在樓道安裝和使用的特點(diǎn)。而且具有強(qiáng)大的運(yùn)行維護(hù)能力，能有效降低運(yùn)營商的運(yùn)維成本。支持RS-232本地管理口及Telnet、WEB、SNMP代理，遠(yuǎn)程監(jiān)控（RMON1~3，9組）可根據(jù)運(yùn)營商的不同要求，使用不同的管理方案，支持SNMP協(xié)議的全網(wǎng)集中網(wǎng)管。提供了故障告警和日志功能，可通過機(jī)箱面板上指示燈直觀地了解設(shè)備的運(yùn)行狀態(tài)。5.6.5高可靠性CISCO網(wǎng)絡(luò)產(chǎn)品均使用國際上主流的先進(jìn)ASIC芯片進(jìn)行設(shè)計(jì)，并率先采用ISO9002生產(chǎn)標(biāo)準(zhǔn)進(jìn)行生產(chǎn)，確保了設(shè)備的穩(wěn)定性。5.6.6低成本、可擴(kuò)展性強(qiáng)以太網(wǎng)交換技術(shù)歷經(jīng)長期發(fā)展，得到眾多廠商的支持，以技術(shù)實(shí)現(xiàn)簡單而獲得極大的性能價(jià)格比。CISCO網(wǎng)絡(luò)公司的以太網(wǎng)交換機(jī)全部基于標(biāo)準(zhǔn)的以太網(wǎng)交換技術(shù)，使用專用芯片技術(shù)，具有極高的性價(jià)比，保證了整個網(wǎng)絡(luò)核心部分的穩(wěn)定、可靠和高性能。CISCO中心交換機(jī)采用模塊式設(shè)計(jì)，用戶只需簡單地添加端口模塊即可實(shí)現(xiàn)網(wǎng)絡(luò)的擴(kuò)容，完整保護(hù)用戶投資。CISCO交換機(jī)支持彈性堆疊功能，可根據(jù)需要擴(kuò)展堆疊從機(jī)；這樣