網(wǎng)絡(luò)建設(shè)方案

1、XX公司網(wǎng)絡(luò)建設(shè)設(shè)計方案前言企業(yè)局域網(wǎng)伴隨著Internet的成長而高速的發(fā)展，到現(xiàn)在已經(jīng)形成了完整的體系結(jié)構(gòu)和解決方案。但要設(shè)計一個完善和健壯的企業(yè)網(wǎng)絡(luò)是非常不容易的，因為這涉及到很多復(fù)雜的細(xì)節(jié)問題。首先是收集企業(yè)的網(wǎng)絡(luò)辦公需求，然后根據(jù)需求來設(shè)計企業(yè)網(wǎng)絡(luò)，本設(shè)計是針對中型企業(yè)的網(wǎng)絡(luò)，所以辦公需求并不復(fù)雜。在分析完整需求后，根據(jù)網(wǎng)絡(luò)的特點分成硬件和軟件的設(shè)計。硬件設(shè)計整個網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)，其中分成三個模塊的設(shè)計：交換機(jī)模塊、防火墻模塊和服務(wù)器模塊的設(shè)計，重點是交換機(jī)模塊的設(shè)計。軟件設(shè)計就是在這些硬件的基礎(chǔ)上實施各種高級的應(yīng)用服務(wù)如DNS、DHCP、WEB、FTP和各種企業(yè)應(yīng)用軟件和數(shù)據(jù)庫系統(tǒng)。

2、全球性的國際計算機(jī)互聯(lián)網(wǎng)Internet的迅速發(fā)展和普及，改變了整個信息產(chǎn)業(yè)的面貌，使信息技術(shù)產(chǎn)業(yè)從以計算機(jī)為中心發(fā)展到以網(wǎng)絡(luò)為中心，并為計算機(jī)技術(shù)在工業(yè)、商業(yè)、教育及科研等領(lǐng)域中的應(yīng)用提供了一個全新的網(wǎng)絡(luò)通信環(huán)境，也從根本上加強(qiáng)并促進(jìn)了群體工作成員之間的信息交流、資源共享、科學(xué)計算及技術(shù)合作等，進(jìn)而推動了教育事業(yè)、科研及生產(chǎn)的發(fā)展。Internet是一個全球性的開放的信息互連網(wǎng)絡(luò)，它是以一系列關(guān)鍵支撐技術(shù)為核心發(fā)展起來的新興領(lǐng)域，為人們提供了嶄新的網(wǎng)絡(luò)計算環(huán)境。隨著互聯(lián)網(wǎng)的蓬勃發(fā)展，其巨大的潛力已經(jīng)逐漸體現(xiàn)出來，一些互聯(lián)網(wǎng)企業(yè)涉足傳統(tǒng)產(chǎn)業(yè)已經(jīng)取得了不菲的業(yè)績，如運用網(wǎng)絡(luò)概念多次融資，并利用網(wǎng)

3、絡(luò)優(yōu)勢通過并購的方式切入旅行服務(wù)行業(yè)的攜程；其次，就是互聯(lián)網(wǎng)在傳播和獲取信息上的優(yōu)勢；再者，就是企業(yè)想利用內(nèi)外部網(wǎng)絡(luò)進(jìn)行有效的管理，提高管理效率：上述三大因素可以看作企業(yè)建網(wǎng)的主要的原因。因此，可以這樣講，企業(yè)建網(wǎng)的最終目的和它的經(jīng)營策略是吻合的，就是通過網(wǎng)絡(luò)來降低企業(yè)的管理成本和交易成本以及通過開展電子商務(wù)活動來獲得更多的利潤。目錄第一章 網(wǎng)絡(luò)設(shè)計原則與需求分析41.1 網(wǎng)絡(luò)設(shè)計原則41.2 網(wǎng)絡(luò)設(shè)計需求分析5第二章 網(wǎng)絡(luò)設(shè)計解決方案62.1 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃62.2 網(wǎng)絡(luò)拓?fù)湓O(shè)計72.3 網(wǎng)絡(luò)設(shè)備選型72.4 網(wǎng)絡(luò)IP地址規(guī)劃142.5網(wǎng)絡(luò)設(shè)計技術(shù)方案特點16第三章 網(wǎng)絡(luò)設(shè)計技術(shù)分析173

4、.1企業(yè)網(wǎng)絡(luò)技術(shù)分類173.2 企業(yè)網(wǎng)中的路由技術(shù)183.3 企業(yè)網(wǎng)中的交換技術(shù)193.4 企業(yè)網(wǎng)中的遠(yuǎn)程接入技術(shù)21第四章 網(wǎng)絡(luò)實施方案234.1 項目實施步驟234.2 項目實施管理234.3 測試與驗收說明23第五章 配置舉例255.1 網(wǎng)絡(luò)拓?fù)?55.2 設(shè)備配置信息（NGAF、AC）25第一章 網(wǎng)絡(luò)設(shè)計原則與需求分析1.1 網(wǎng)絡(luò)設(shè)計原則XX公司網(wǎng)絡(luò)主要用于公司內(nèi)部日常辦公需求和通信，網(wǎng)絡(luò)建設(shè)可參考以下原則：1、 高效性公司內(nèi)部在進(jìn)行日常辦公和通信時網(wǎng)絡(luò)一定要及時高效。業(yè)務(wù)的處理。2、 可靠性公司內(nèi)部通信辦公都需要一個可靠的網(wǎng)絡(luò)來支持，可靠的網(wǎng)絡(luò)是確保公司日常業(yè)務(wù)正常發(fā)展的關(guān)3、 獨立

5、性公司某些部門之間有不同的業(yè)務(wù)，各自獨立于其他部門，像公司財務(wù)部就應(yīng)該獨立出來，其他部門在沒有授權(quán)的情況下無法訪問財務(wù)部的業(yè)務(wù)網(wǎng)絡(luò)。4、 實用性網(wǎng)絡(luò)設(shè)計一定要充分保護(hù)網(wǎng)絡(luò)系統(tǒng)現(xiàn)有資源。同時要根據(jù)實際情況，采用新技術(shù)和新裝備，還需要考慮組網(wǎng)過程要與平臺建設(shè)及開發(fā)同步進(jìn)行，建立一個實用的網(wǎng)絡(luò)。力求使網(wǎng)絡(luò)既滿足目前需要，又能適應(yīng)未來發(fā)展，同時達(dá)到較好的性能/價格比。5、 網(wǎng)絡(luò)的可管理網(wǎng)絡(luò)系統(tǒng)有限公司的網(wǎng)絡(luò)是一條信息公路，設(shè)計時必須提供足夠的手段對信息公路進(jìn)行方便的管理，以確保其始終保持在最佳狀態(tài)下運行。沒有網(wǎng)絡(luò)管理功能將很難保證系統(tǒng)的正常運行。1.2 網(wǎng)絡(luò)設(shè)計需求分析為確保XX公司企業(yè)網(wǎng)絡(luò)建設(shè)和應(yīng)用

6、的成功，對網(wǎng)絡(luò)方案的設(shè)計大致可歸納出哪些的需求。1、在公司內(nèi)部的局域網(wǎng)范圍內(nèi)，采用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，結(jié)合應(yīng)用需求，實現(xiàn)內(nèi)部用戶訪問公網(wǎng)的目的。2、在部門局域網(wǎng)中，實現(xiàn)文件共享，打印共享等功能。3、對內(nèi)網(wǎng)應(yīng)用實現(xiàn)MAC過濾，ACL規(guī)則過濾，VLAN劃分等。4、系統(tǒng)應(yīng)有高可靠性、安全性、可維護(hù)性和可擴(kuò)充性，要具有良好的用戶界面。第二章 網(wǎng)絡(luò)設(shè)計解決方案2.1 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃 我們將XX公司的內(nèi)部網(wǎng)絡(luò)設(shè)計為兩級層級： 接入層 核心層 這樣規(guī)劃一是能夠有良好的層次感，利于實現(xiàn)較為復(fù)雜的網(wǎng)絡(luò)功能要求；二是這樣分層能夠使每層的功能較容易實現(xiàn)也較清楚；三是采用這種分層方式可以支持較大的網(wǎng)絡(luò)規(guī)模便于企業(yè)網(wǎng)的升級

7、擴(kuò)大。2.1.1 接入層 接入層主要作用是使各個信息節(jié)點接入內(nèi)部網(wǎng)絡(luò)，實現(xiàn)互聯(lián)。 接入層部署在各個樓層，為使各終端更方便連接網(wǎng)絡(luò)，接入層應(yīng)具有和節(jié)點距離短易操作，可擴(kuò)展等特點。2.1.2 核心層核心層主要作用是連接各個局域網(wǎng)，連接各接入層的通信。核心層的特點是使整個網(wǎng)絡(luò)穩(wěn)定高效的運行。 2.2 網(wǎng)絡(luò)拓?fù)湓O(shè)計2.3 網(wǎng)絡(luò)設(shè)備選型2.3.1 設(shè)備選型原則l 代表目前網(wǎng)絡(luò)系統(tǒng)設(shè)備的先進(jìn)水平。l 具備較強(qiáng)的安全性。l 具備優(yōu)良的RAS性能-可靠性、可用性、可維護(hù)性。l 具備優(yōu)良的可擴(kuò)充性和升級能力。l 具備優(yōu)良的性能價格比，根據(jù)現(xiàn)在的需求和可以預(yù)見的需求增長情況設(shè)計網(wǎng)絡(luò)，不追求空洞的技術(shù)先進(jìn)性，避免追

8、求高檔和最新技術(shù)花費的巨大代價?；谝陨显瓌t，我們?yōu)閄X公司網(wǎng)絡(luò)建設(shè)選用H3C公司和深信服公司的系列產(chǎn)品，以確保網(wǎng)絡(luò)實用與性價比。2.3.2 接入層交換機(jī)選型XX公司的接入層交換機(jī)均選用S3100-26C-SI，該款交換機(jī)它是一個全新的、固定配置的獨立設(shè)備系列，提供桌面快速以太網(wǎng)和10/100以太網(wǎng)連接，適用于入門級企業(yè)、中型市場和分支機(jī)構(gòu)網(wǎng)絡(luò)，有助于提供增強(qiáng)LAN服務(wù)。H3C S3100-SI千兆以太網(wǎng)交換機(jī)具有千兆上行、可堆疊、無風(fēng)扇靜音設(shè)計、完備的安全和QoS控制策略等特點，滿足企業(yè)用戶多業(yè)務(wù)融合、高安全、可擴(kuò)展、易管理的建網(wǎng)需求，適合行業(yè)、企業(yè)網(wǎng)、寬帶小區(qū)的接入和中小企業(yè)、分支機(jī)構(gòu)匯聚

9、交換機(jī)。該系列還包括一系列針對網(wǎng)絡(luò)管理員所作的硬件改進(jìn)，包括具有集成安全特性，包括支持命令行接口(CLI),Telnet,Console口進(jìn)行配置;支持HGMP v2集群管理;支持SNMP v1/v2/v3，WEB網(wǎng)管;支持RMON 1，2，3，9組MIB;支持H3C iMC智能管理中心。 H3C S3100-SI系列提供了以下優(yōu)勢：為網(wǎng)絡(luò)邊緣提供了智能特性，如先進(jìn)的訪問控制列表 (ACL)和增強(qiáng)安全特性。 雙介質(zhì)上行鏈路端口提供了千兆以太網(wǎng)上行鏈路靈活性，可以使用銅纜或光纖上行鏈路端口。每個雙介質(zhì)上行鏈路端口都有一個10/100以太網(wǎng)端口和一個SFP千兆以太網(wǎng)端口，在使用時其中一個端口激活，

10、但不能同時使用這兩個端口。通過高級QoS、精確速率限制、ACL和組播服務(wù)，實現(xiàn)了網(wǎng)絡(luò)控制和帶寬優(yōu)化。 通過多種驗證方法、數(shù)據(jù)加密技術(shù)和基于用戶、端口和MAC地址的網(wǎng)絡(luò)準(zhǔn)入控制，實現(xiàn)了網(wǎng)絡(luò)安全性。 通過嵌入式設(shè)備管理器，簡化了網(wǎng)絡(luò)配置、升級和故障排除，可作為中型市場或分支機(jī)構(gòu)解決方案的一部分。 主要參數(shù) 端口參數(shù) 功能特性 其它參數(shù) 保修信息主要參數(shù) 產(chǎn)品類型智能交換機(jī) 應(yīng)用層級二層 傳輸速率10Mbps/100Mbps/1000Mbps 交換方式存儲-轉(zhuǎn)發(fā) 背板帶寬19.6Gbps MAC地址表8K端口參數(shù) 端口結(jié)構(gòu)非模塊化 端口數(shù)量24 擴(kuò)展模塊2 接口介質(zhì)10/100BASE-TX 傳輸模

11、式全雙工/半雙工自適應(yīng)功能特性 網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE 802.1Q、IEEE 802.1D、IEEE 802.3x、IEEE 802.1p、IEEE 802.1X 堆疊功能可堆疊 VLAN支持 QOS支持 網(wǎng)絡(luò)管理支持命令行接口(CLI),Telnet,Console口進(jìn)行配置;支持HGMP v2集群管理;支持SNMP v1/v2/v3，WEB網(wǎng)管;支持RMON 1，2，3，9組MIB;支持H3C iMC智能管理中心 安全管理支持其它參數(shù) 電源電壓AC:額定電壓范圍:100V-240V 50/60Hz、最大電壓范圍:90V-264V 47/63Hz 產(chǎn)品尺寸43624042 產(chǎn)品重量小于3.2 環(huán)

12、境標(biāo)準(zhǔn)工作溫度:0-45、工作濕度:10%-90%(非凝露)2.3.3 核心層交換機(jī)選型司核心交換機(jī)選用H3C 5500-28C-EI,該款交換機(jī)產(chǎn)品支持IRF3（Intelligent Resilient Framework 3）縱向虛擬化技術(shù)，通過將接入設(shè)備作為遠(yuǎn)程接口板加入主設(shè)備系統(tǒng)，在縱向維度上將核心層設(shè)備和接入層設(shè)備虛擬為一臺邏輯設(shè)備，以達(dá)到擴(kuò)展I/O端口能力和進(jìn)行集中控制管理的目的。IRF3技術(shù)可以簡化管理，大幅度降低網(wǎng)絡(luò)管理節(jié)點；簡化布線壓縮網(wǎng)絡(luò)層級，最終實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)平面虛擬化。IRF3縱向虛擬化技術(shù)可以為用戶帶來以下好處：統(tǒng)一管理：IRF3架構(gòu)形成之后，連接到主設(shè)備就可以集中配

13、置和管理架構(gòu)內(nèi)的所有成員，而不用物理連接到每臺成員設(shè)備上單獨配置。統(tǒng)一安全策略：整網(wǎng)的安全策略只需在主設(shè)備上進(jìn)行配置，避免了對全網(wǎng)設(shè)備逐一配置所帶來的潛在策略沖突，并大幅降低了安全部署工作量。簡化網(wǎng)絡(luò)層級：支持大規(guī)模的遠(yuǎn)程接口板擴(kuò)展能力，傳統(tǒng)需要三層網(wǎng)絡(luò)架構(gòu)才能實現(xiàn)的組網(wǎng)結(jié)構(gòu)通過IRF3可以簡化為二層組網(wǎng)，網(wǎng)絡(luò)的物理和邏輯層次更為簡化，布線更加簡單。簡化業(yè)務(wù)：IRF3架構(gòu)中的各種業(yè)務(wù)配置基于單一邏輯設(shè)備進(jìn)行配置，這樣可以大幅簡化整網(wǎng)的VLAN、IP、路由、Mpls等規(guī)劃注意事項。方便維護(hù)：所有接入設(shè)備的配置和軟件版本均由主設(shè)備自動分配，新增設(shè)備的加入或離開時可以實現(xiàn)“熱插拔”和零配置，不影響其

14、他設(shè)備的正常運行，整網(wǎng)的故障排除也是單點的。 主要參數(shù) 端口參數(shù) 功能特性 其它參數(shù) 保修信息主要參數(shù) 產(chǎn)品類型企業(yè)級交換機(jī) 應(yīng)用層級三層 傳輸速率10Mbps/100Mbps/1000Mbps/10000Mbps 交換方式存儲-轉(zhuǎn)發(fā) 背板帶寬256Gbps 包轉(zhuǎn)發(fā)率96Mpps MAC地址表32K端口參數(shù) 端口結(jié)構(gòu)非模塊化 端口數(shù)量28個 端口描述24個10/100/1000Base-T以太網(wǎng)端口，4個復(fù)用的1000Base-X千兆SFP端口 控制端口1個Console口 擴(kuò)展模塊2個擴(kuò)展插槽 傳輸模式支持全雙工功能特性 堆疊功能可堆疊 VLAN支持基于端口的VLAN（4K個）支持基于MAC

15、的VLAN基于協(xié)議的VLAN基于IP子網(wǎng)的VLAN支持QinQ，靈活QinQ支持VLAN Mapping支持Voice VLAN支持GVRP QOS支持L2-L4包過濾功能支持時間段ACL支持入方向和出方向的雙向ACL策略支持基于VLAN下發(fā)ACL支持對端口接收報文的速率和發(fā)送報文的速率進(jìn)行限制支持報文重定向支持CAR功能每個端口支持8個輸出隊列支持靈活的隊列調(diào)度算法，可以同時基于端口和隊列進(jìn)行設(shè)置，支持SP、WRR、SP+WRR三種模式支持報文的802.1p和DSCP優(yōu)先級重新標(biāo)記 組播管理支持IGMP Snooping v1/v2/v3，MLD Snooping v1/v2支持組播VLAN

16、支持IGMP v1/v2/v3，MLD v1/v2支持PIM-DM，PIM-SM，PIM-SSM支持MSDP，MSDP for IPv6支持MBGP，MBGP for IPv6 網(wǎng)絡(luò)管理支持XModem/FTP/TFTP加載升級支持命令行接口（CLI），Telnet，Console口進(jìn)行配置支持SNMPv1/v2/v3，WEB網(wǎng)管支持RMON告警、事件、歷史記錄支持iMC智能管理中心支持系統(tǒng)日志，分級告警，調(diào)試信息輸出支持HGMPv2支持NTP支持電源的告警功能，風(fēng)扇、溫度告警支持Ping、Tracert支持VCT電纜檢測功能支持DLDP單向鏈路檢測協(xié)議支持LLDP支持Loopback-det

17、ection端口環(huán)回檢測 安全管理支持用戶分級管理和口令保護(hù)支持802.1X認(rèn)證/集中式MAC地址認(rèn)證支持Guest VLAN支持RADIUS認(rèn)證支持SSH 2.0支持端口隔離支持端口安全支持PORTAL認(rèn)證支持EAD可支持DHCP Snooping，防止欺騙的DHCP服務(wù)器支持動態(tài)ARP檢測，防止中間人攻擊和ARP拒絕服務(wù)支持BPDU guard，Root guard支持uRPF(單播反向路徑檢測)，杜絕IP源地址欺騙，防范病毒和攻擊支持IP/Port/MAC的綁定功能支持OSPF、RIPv2報文的明文及MD5密文認(rèn)證其它參數(shù) 電源電壓AC 100-240V，50-60Hz 產(chǎn)品尺寸4404

18、2043.6mm 產(chǎn)品重量6kg 環(huán)境標(biāo)準(zhǔn)工作溫度：0-45工作濕度：10%-90%（非凝露）2.3.4 防火墻選型公司出口防火墻選用深信服NGAF下一代防火墻。該防火墻是一款智能防火墻，可識別應(yīng)用層的數(shù)據(jù)。并采用了防應(yīng)用層攻擊、雙向內(nèi)容檢測、應(yīng)用層高性能、涵蓋傳統(tǒng)安全等特點和新技術(shù)。2.3.5 上網(wǎng)行為監(jiān)控選型 公司上網(wǎng)行為監(jiān)控選用深信服上網(wǎng)行為管理（AC），可幫用戶解決以下問題： 1、帶寬濫用，上網(wǎng)速度慢（P2P流量超過一半，訪問網(wǎng)頁，ERP等無法順利進(jìn)行，帶寬無法有效的分配和利用）2、工作效率下降（上班時間網(wǎng)絡(luò)聊天、炒股、網(wǎng)游、看新聞等行為泛濫）3、機(jī)密信息被泄露，信息安全遭威脅（上網(wǎng)授

19、權(quán)缺失，用戶肆意上網(wǎng)，為通過網(wǎng)絡(luò)泄密提供了通道，泄密后無據(jù)可查，責(zé)任難追究)4、違法網(wǎng)絡(luò)行為為企業(yè)帶來法律風(fēng)險（肆意瀏覽色情、反動網(wǎng)站，若無具體日志記錄，無法舉證追蹤）5、安全威脅頻發(fā)、上網(wǎng)環(huán)境惡化（互聯(lián)網(wǎng)威脅越來越多；隱蔽和病毒感染技術(shù)越來越先進(jìn)）2.4 網(wǎng)絡(luò)IP地址規(guī)劃2.4.1 IP地址合理規(guī)劃的意義在企業(yè)網(wǎng)網(wǎng)絡(luò)規(guī)劃中，IP地址方案的設(shè)計至關(guān)重要，好的IP地址方案不僅可以減少網(wǎng)絡(luò)負(fù)荷，還能為以后的網(wǎng)絡(luò)擴(kuò)展打下良好的基礎(chǔ)。IP地址的合理是保證網(wǎng)絡(luò)順利運行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。企業(yè)網(wǎng)IP地址的分配應(yīng)該盡可能地利用申請到的地址空間，充分考慮到地址空間的合理使用，保證實現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配

20、及業(yè)務(wù)流量的均勻分布。具體地來說IP地址的合理規(guī)劃有如下的意義：1、IP 地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計的重要環(huán)節(jié)，大型計算機(jī)網(wǎng)絡(luò)必須對IP地址進(jìn)行統(tǒng)一規(guī)劃并得到有效實施；2、IP 地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率；3、影響到網(wǎng)絡(luò)的性能；4、影響到網(wǎng)絡(luò)的擴(kuò)展；5、影響到網(wǎng)絡(luò)的管理；6、也將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。2.4.2 IP地址規(guī)劃根據(jù)國際互聯(lián)網(wǎng)絡(luò)技術(shù)發(fā)展的趨勢，結(jié)合XX公司的現(xiàn)實情況，我們建議IP地址規(guī)劃遵循如下原則來設(shè)計：1. 唯一性：一個IP網(wǎng)絡(luò)中不能有兩個主機(jī)采用相同的IP地址； 2. 可管理性：地址分配應(yīng)簡單且易于管理，以降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表； 3. 連

21、續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，縮減路由表，提高路由計算的效率；IP地址的分配必須采用VLSM技術(shù)，保證IP地址的利用率；采用CIDR技術(shù)，可減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大小。IP地址分配盡量分配連續(xù)的IP地址空間；相同的業(yè)務(wù)和功能盡量分配連續(xù)的IP地址空間，有利于路由聚合以及安全控制； 4. 可擴(kuò)展性：地址分配在每一層次上都要留有一定余量，以便在網(wǎng)絡(luò)擴(kuò)展時能保證地址疊合所需的連續(xù)性；IP地址分配處理要考慮到連續(xù)外，又要能做到具有可擴(kuò)充性，并為將來的網(wǎng)絡(luò)擴(kuò)展預(yù)留一定的地址空間；充分利用無類別域間路由（CIDR）技術(shù)和變長子網(wǎng)

22、掩碼（VLSM）技術(shù)，合理高效地利用IP地址，同時，對所有各種主機(jī)、服務(wù)器和網(wǎng)絡(luò)設(shè)備，必須分配足夠的地址，劃分獨立的網(wǎng)段，以便能夠?qū)崿F(xiàn)嚴(yán)格的安全策略控制。 5. 靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間； 6. 層次性：IP地址的劃分采用層次化的方法，和層次化的網(wǎng)絡(luò)設(shè)計相應(yīng)，在地址劃分上我們也采用層次化的分配思想，從XXx廳開始規(guī)劃，再規(guī)劃各地州、縣，使地址具有層次性，能夠逐層向上匯聚。 7. 實意性 在公有地址有保證的前提下，盡量使用公有地址，主要包括設(shè)備loopback地址、設(shè)備間互連地址； 8. 節(jié)約性 根據(jù)服務(wù)器、主機(jī)的數(shù)量及業(yè)務(wù)發(fā)展估計，IP地址規(guī)劃盡

23、可能使用較小的子網(wǎng)，既節(jié)約了IP地址，同時可減少子網(wǎng)內(nèi)網(wǎng)絡(luò)風(fēng)暴，提高網(wǎng)絡(luò)性能。2.5網(wǎng)絡(luò)設(shè)計技術(shù)方案特點根據(jù)XX公司網(wǎng)絡(luò)建設(shè)的現(xiàn)有需求，并考慮到未來的發(fā)展趨勢，需要建立一個統(tǒng)一的信息傳輸網(wǎng)絡(luò)，滿足數(shù)據(jù)、語音、視頻、圖像、多媒體等相關(guān)企業(yè)信息的傳輸，可以實現(xiàn)計算機(jī)管理系統(tǒng)、辦公自動化系統(tǒng)、業(yè)務(wù)系統(tǒng)和Internet訪問等應(yīng)用。我們提出的解決方案具有如下特點：1、 融合的網(wǎng)絡(luò)平臺：數(shù)據(jù)、視頻等業(yè)務(wù)應(yīng)用，提供端到端安全網(wǎng)絡(luò)應(yīng)用，靈活的結(jié)構(gòu)部署，實現(xiàn)網(wǎng)絡(luò)規(guī)模的任意伸縮、彈性應(yīng)用。2、 豐富的網(wǎng)絡(luò)類型：針對業(yè)務(wù)類型劃分、網(wǎng)絡(luò)應(yīng)用、投資計劃等融合專線網(wǎng)絡(luò)、VPN、無線等多種方式的組網(wǎng)，滿足支持豐富的擴(kuò)展類

24、型、擴(kuò)展接口等，適用不同規(guī)模、不同方式的網(wǎng)絡(luò)互聯(lián)、接入，滿足日益豐富的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用。3、 靈活安全的終端接入：網(wǎng)絡(luò)安全、認(rèn)證系統(tǒng)的部署應(yīng)用能夠杜絕非法終端接入網(wǎng)絡(luò)，并且讓合法終端在任意位置接入網(wǎng)絡(luò)均獲得相同的VPN歸屬和訪問權(quán)限，甚至可以通過多次認(rèn)證在不同時刻獲得不同的VPN歸屬和訪問權(quán)限，方便做到靈活辦公和公用辦公，真正實現(xiàn)網(wǎng)絡(luò)虛擬化；4、 完善的業(yè)務(wù)類型：內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用，互聯(lián)網(wǎng)的安全訪問、VPN的安全接入，無線及3G移動終端的應(yīng)用，實現(xiàn)網(wǎng)絡(luò)跨區(qū)域、跨平臺的業(yè)務(wù)運行，提供基于多種平臺信息系統(tǒng)應(yīng)用。5、 多樣化的管理手段：應(yīng)用級別的網(wǎng)絡(luò)安全劃分、帶寬限制、流量控制等豐富的管理手段和安全保障措

25、施，使網(wǎng)絡(luò)穩(wěn)定、快速、健壯，保證業(yè)務(wù)系統(tǒng)的不間斷運行。統(tǒng)一規(guī)劃、合理部署：降低網(wǎng)絡(luò)投資、減少重復(fù)建設(shè)。避免了業(yè)務(wù)、數(shù)據(jù)物理隔離需要重復(fù)建設(shè)、應(yīng)用服務(wù)器、安全設(shè)備重復(fù)采購的缺點，對網(wǎng)絡(luò)平臺進(jìn)行統(tǒng)一規(guī)劃、分步實施、合理部署，提高整體資源的利用率、降低管理難度、提高管理效率。第三章 網(wǎng)絡(luò)設(shè)計技術(shù)分析3.1企業(yè)網(wǎng)絡(luò)技術(shù)分類企業(yè)網(wǎng)是園區(qū)網(wǎng)絡(luò)的一種，應(yīng)用于企業(yè)網(wǎng)中的技術(shù)其實就是當(dāng)今園區(qū)網(wǎng)絡(luò)中的一些實用技術(shù)，我們將園區(qū)網(wǎng)絡(luò)技術(shù)從總體上劃分為路由技術(shù)，交換技術(shù)和遠(yuǎn)程接入技術(shù)。(1) 路由技術(shù) 所謂路由就是指通過相互連接的網(wǎng)絡(luò)把信息從源地點移動到目標(biāo)地點的活動。一般來說，在路由過程中，信息至少會經(jīng)過一個或多個中

26、間節(jié)點。(2) 交換技術(shù) 所謂交換技術(shù)是指二層交換技術(shù)三層轉(zhuǎn)發(fā)技術(shù)。傳統(tǒng)的交換技術(shù)是在OSI網(wǎng)絡(luò)標(biāo)準(zhǔn)模型中的第二層數(shù)據(jù)鏈路層進(jìn)行操作的，而三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)。應(yīng)用第三層交換技術(shù)即可實現(xiàn)網(wǎng)絡(luò)路由的功能，又可以根據(jù)不同的網(wǎng)絡(luò)狀況做到最優(yōu)的網(wǎng)絡(luò)性能。(3) 遠(yuǎn)程接入技術(shù) 所謂遠(yuǎn)程接入技術(shù)是指在網(wǎng)絡(luò)中部署服務(wù)器集群，在遠(yuǎn)程接入技術(shù)服務(wù)器上安裝并發(fā)布用友通客戶端，所有用戶運行遠(yuǎn)程接入技術(shù)服務(wù)器上的用友通客戶端，并通過內(nèi)部高速網(wǎng)絡(luò)連接用友通服務(wù)器，完成財務(wù)、供應(yīng)鏈、生產(chǎn)制造、分銷、零售、客戶關(guān)系、服務(wù)管理等功能模塊的使用。如果需要允許用戶跨Internet訪問，建議把

27、遠(yuǎn)程接入技術(shù)服務(wù)器機(jī)群部署在DMZ網(wǎng)絡(luò)中，把用友通服務(wù)器端部署在內(nèi)部網(wǎng)絡(luò)中，在內(nèi)部防火墻上設(shè)置允許用友通客戶端和服務(wù)器端通信的進(jìn)行。遠(yuǎn)程接入技術(shù)實施的好處：遠(yuǎn)程接入技術(shù)網(wǎng)絡(luò)帶寬的要求非常低遠(yuǎn)程接入技術(shù)解決互聯(lián)網(wǎng)安全問題遠(yuǎn)程接入技術(shù)減少IT投資成本，保護(hù)現(xiàn)有IT透支遠(yuǎn)程接入技術(shù)方便管理，降低維護(hù)成本遠(yuǎn)程接入技術(shù)具有高穩(wěn)定性，可擴(kuò)展性遠(yuǎn)程接入技術(shù)性能優(yōu)化，支持更多用戶訪問遠(yuǎn)程接入技術(shù)具有優(yōu)秀的虛擬打印功能3.2 企業(yè)網(wǎng)中的路由技術(shù)在園區(qū)網(wǎng)中由于受到自身網(wǎng)絡(luò)的限制，應(yīng)而不需要使用過多的路由技術(shù)，而路由技術(shù)主要應(yīng)用在核心層或者是出口去往其它網(wǎng)絡(luò)，連接出自己園區(qū)的網(wǎng)絡(luò)。在經(jīng)過接入路由器時根據(jù)IP包的目的

28、地址，在路由器的路由表中查詢，是否有前往目的地的路由，如果有則根據(jù)路由條目來轉(zhuǎn)發(fā)IP包。靜態(tài)路由技術(shù) 靜態(tài)路由是指由網(wǎng)絡(luò)管理員手工配置的路由信息。當(dāng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)或鏈路的狀態(tài)發(fā)生變化時，網(wǎng)絡(luò)管理員需要手工去修改路由表中相關(guān)的靜態(tài)路由信息。靜態(tài)路由信息在缺省情況下是私有的，不會傳遞給其他的路由器。當(dāng)然，網(wǎng)管員也可以通過對路由器進(jìn)行設(shè)置使之成為共享的。靜態(tài)路由一般適用于比較簡單的網(wǎng)絡(luò)環(huán)境，在這樣的環(huán)境中，網(wǎng)絡(luò)管理員易于清楚地了解網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，便于設(shè)置正確的路由信息。我們在XX公司使用靜態(tài)路由技術(shù)，以實現(xiàn)公司內(nèi)部與互聯(lián)網(wǎng)互通。3.3 企業(yè)網(wǎng)中的交換技術(shù)在企業(yè)網(wǎng)使用的最多也是最廣泛的技術(shù)就是交換技術(shù)

29、，交換技術(shù)的成熟帶動著這個網(wǎng)絡(luò)的發(fā)展。而企業(yè)網(wǎng)是基于這個交換架構(gòu)的網(wǎng)絡(luò)，因此在交換式的網(wǎng)絡(luò)中有眾多技術(shù)VLAN， TRUNK，三層交換，STP，DHCP等。下面將分別介紹這些技術(shù)的應(yīng)用： (1) VLAN技術(shù) VLAN（Virtual Local Area Network）的中文名為虛擬局域網(wǎng)。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。Vlan分類：1.根據(jù)端口來劃分VLAN2.根據(jù)MAC地址劃分VLAN3.根據(jù)網(wǎng)絡(luò)層劃分VLAN4.根據(jù)IP組播劃分VLAN5.基于規(guī)則的VLAN6. 按用戶定義、非用戶授權(quán)劃分VLAN(2) TRUNK技術(shù) TR

30、UNK是端口匯聚的意思，就是通過配置軟件的設(shè)置，將2個或多個物理端口組合在一起成為一條邏輯的路徑從而增加在交換機(jī)和網(wǎng)絡(luò)節(jié)點之間的帶寬，將屬于這幾個端口的帶寬合并，給端口提供一個幾倍于獨立端口的獨享的高帶寬。Trunk是一種封裝技術(shù)，它是一條點到點的鏈路，鏈路的兩端可以都是交換機(jī)，也可以是交換機(jī)和路由器，還可以是主機(jī)和交換機(jī)或路由器?；诙丝趨R聚（Trunk）功能，允許交換機(jī)與交換機(jī)、交換機(jī)與路由器、主機(jī)與交換機(jī)或路由器之間通過兩個或多個端口并行連接同時傳輸以提供更高帶寬、更大吞吐量， 大幅度提供整個網(wǎng)絡(luò)能力。(3) 三層交換 三層交換技術(shù)就是：二層交換技術(shù)三層轉(zhuǎn)發(fā)技術(shù)。它解決了局域網(wǎng)中網(wǎng)段劃分

31、之后，網(wǎng)段中子網(wǎng)必須依賴路由器進(jìn)行管理的局面，解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題。第三層交換提供以下優(yōu)點:l 提高了網(wǎng)絡(luò)效率：第三層交換機(jī)通過允許網(wǎng)絡(luò)管理員在第二層 VLAN 進(jìn)行路由業(yè)務(wù)，確保將第二層廣播控制在一個 VLAN 內(nèi)，降低了業(yè)務(wù)量負(fù)載。l 可持續(xù)發(fā)展：由于 OSI 層模型的分層特點，第三層交換機(jī)能夠創(chuàng)建更加易于擴(kuò)展和維護(hù)的更大規(guī)模的網(wǎng)絡(luò)。l 更加廣泛的拓?fù)溥x擇：基于路由器的網(wǎng)絡(luò)支持任何拓?fù)?，并能更輕易超過類似第二層交換網(wǎng)絡(luò)的更大規(guī)模和復(fù)雜程度。l 工作組和服務(wù)器安全：第三層設(shè)備能根據(jù)第三層網(wǎng)絡(luò)地址創(chuàng)建接入策略，這允許網(wǎng)絡(luò)管理員控制和阻塞某些 VLAN 到 VLAN 通

32、信，阻塞某些 IP 地址，甚至能防止某些子網(wǎng)訪問特定的信息。l 更加優(yōu)異的性能：通過使用先進(jìn)的 ASIC 技術(shù)，第三層交換機(jī)可提供遠(yuǎn)遠(yuǎn)高于基于軟件的傳統(tǒng)路由器的性能。比如，每秒 4000 萬個數(shù)據(jù)包對每秒 30 萬個數(shù)據(jù)包。第三層交換機(jī)為千兆網(wǎng)絡(luò)這樣的帶寬密集型基礎(chǔ)架構(gòu)提供了所需的路由性能。因此，第三層交換機(jī)可以部署在網(wǎng)絡(luò)中許多具有更高戰(zhàn)略意義的位置。(4) STP技術(shù) 生成樹協(xié)議最主要的應(yīng)用是為了避免局域網(wǎng)中的網(wǎng)絡(luò)環(huán)回，解決成環(huán)以太網(wǎng)網(wǎng)絡(luò)的“廣播風(fēng)暴”問題，從某種意義上說是一種網(wǎng)絡(luò)保護(hù)技術(shù)，可以消除由于失誤或者意外帶來的循環(huán)連接。STP也提供了為網(wǎng)絡(luò)提供備份連接的可能，可與SDH保護(hù)配合構(gòu)成

33、以太環(huán)網(wǎng)的雙重保護(hù)。新型以太單板支持符合IEEE 802.1d標(biāo)準(zhǔn)的生成樹協(xié)議STP及IEEE 802.1w規(guī)定的快速生成樹協(xié)議RSTP，收斂速度可達(dá)到 1s。(5) DHCP 動態(tài)主機(jī)設(shè)置協(xié)議（Dynamic Host Configuration Protocol, DHCP）是一個局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作，主要有兩個用途：一是給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動分配IP地址給用戶；二是給內(nèi)部網(wǎng)絡(luò)管理員作為對所有計算機(jī)作中央管理的手段。3.4 企業(yè)網(wǎng)中的遠(yuǎn)程接入技術(shù)(1) 訪問控制列表（ACL）訪問控制列表（Access Control List，ACL） 是路由器和交換機(jī)接口的指令列

34、表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個框架結(jié)構(gòu)，其目的是為了對某種訪問進(jìn)行控制。本設(shè)計方案使用訪問控制列表來實現(xiàn)以下需求：n 總部辦公業(yè)務(wù)可以訪問全網(wǎng)辦公業(yè)務(wù)，不能訪問分部生產(chǎn)業(yè)務(wù)。n 分部辦公業(yè)務(wù)可以訪問全網(wǎng)辦公業(yè)務(wù)，不能訪問總部或其他分部的生產(chǎn)業(yè)務(wù)。訪問控制列表的另外一個重要作用是區(qū)分?jǐn)?shù)據(jù)流，工程師可以使用訪問控制列表來匹配感興趣的數(shù)據(jù)流量，然后再由其他的網(wǎng)絡(luò)協(xié)議或工具來對所匹配的數(shù)據(jù)流執(zhí)行相應(yīng)的動作。本設(shè)計方案中后面提到的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的實現(xiàn)便需要利用到訪問控制列表的此項功能。(2) 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,Network Address Translation)屬接入廣域網(wǎng)(WAN)技術(shù),是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計算機(jī)。(3) 通用路由