大型企業(yè)信息化建設(shè)方案精

1、大型企業(yè)網(wǎng)間網(wǎng)設(shè)計與實現(xiàn) 一、 引言：在網(wǎng)絡(luò)技術(shù)不斷發(fā)展的今天，大型企業(yè)網(wǎng)絡(luò)建設(shè)面臨多種網(wǎng)絡(luò)技術(shù)的選擇。選擇怎樣的網(wǎng)絡(luò)技術(shù)來滿足企業(yè)未來發(fā)展的需要，是擺在各大企業(yè)面前的一個課題。雖然網(wǎng)絡(luò)技術(shù)在飛速發(fā)展，但企業(yè)網(wǎng)絡(luò)建設(shè)有其內(nèi)在規(guī)律，把握這些內(nèi)在的規(guī)律，將有助于指導大型企業(yè)的網(wǎng)絡(luò)建設(shè)。 本文定義的大型企業(yè)網(wǎng)絡(luò)是跨地域和有層次的網(wǎng)絡(luò)。企業(yè)的網(wǎng)絡(luò)層次和行政結(jié)構(gòu)相對應(yīng)，網(wǎng)絡(luò)層次在二層或三層以上，網(wǎng)絡(luò)連接可能是跨地市、跨省的，也可能是全國范圍的。例如，銀行、國稅系統(tǒng)，民航、鐵路、政府辦公系統(tǒng)等都是跨地域，多層次系統(tǒng)，在網(wǎng)絡(luò)建設(shè)上都有其共同的特點。從總體上說，企業(yè)網(wǎng)絡(luò)涉及到系統(tǒng)軟件平臺、硬件平臺，布線系統(tǒng)，

2、局域網(wǎng)建設(shè)，廣域網(wǎng)建設(shè)，應(yīng)用軟件（包括業(yè)務(wù)應(yīng)用和WWW服務(wù)等）、網(wǎng)絡(luò)安全，網(wǎng)絡(luò)管理等方方面面。 本文從大型企業(yè)網(wǎng)絡(luò)設(shè)計的角度介紹大型企業(yè)網(wǎng)絡(luò)的設(shè)計和實現(xiàn)方法。一、 企業(yè)網(wǎng)絡(luò)建設(shè)過程的幾個階段企業(yè)網(wǎng)絡(luò)建設(shè)總體上分為設(shè)計階段、實施階段和網(wǎng)絡(luò)管理維護階段。從網(wǎng)絡(luò)設(shè)計的角度來講，分為應(yīng)用驅(qū)動法和基礎(chǔ)設(shè)施法。應(yīng)用驅(qū)動法是采用根據(jù)應(yīng)用需求，從工作組網(wǎng)絡(luò)、樓宇網(wǎng)絡(luò)、園區(qū)網(wǎng)絡(luò)到廣域網(wǎng)絡(luò)的由近到遠的設(shè)計方法?；A(chǔ)設(shè)施法是根據(jù)基本的網(wǎng)絡(luò)規(guī)劃，采用從廣域網(wǎng)絡(luò)、園區(qū)網(wǎng)絡(luò)到樓宇網(wǎng)絡(luò)的由遠及近的設(shè)計方法。企業(yè)網(wǎng)絡(luò)建設(shè)過程分為如下幾個階段： 1、需求分析階段。通常大型企業(yè)在網(wǎng)絡(luò)建設(shè)中已有部分的網(wǎng)絡(luò)環(huán)境，這些網(wǎng)絡(luò)環(huán)境能滿足當

3、時網(wǎng)絡(luò)應(yīng)用的需要。但網(wǎng)絡(luò)可能是一個個孤立的小島，只能在局部范圍內(nèi)實現(xiàn)網(wǎng)絡(luò)應(yīng)用及資源共享，企業(yè)網(wǎng)絡(luò)沒有形成一個整體。企業(yè)網(wǎng)絡(luò)規(guī)劃時，要考慮網(wǎng)絡(luò)建設(shè)的整體性，既要保護原有的投資，又要在網(wǎng)絡(luò)技術(shù)的選型上有前瞻性。網(wǎng)絡(luò)需求分析主要是根據(jù)企業(yè)業(yè)務(wù)發(fā)展需求和企業(yè)信息技術(shù)應(yīng)用需求，提出企業(yè)網(wǎng)絡(luò)建設(shè)的總體目標和關(guān)鍵技術(shù)指標。 企業(yè)網(wǎng)絡(luò)需求分析包含如下幾方面：n 網(wǎng)絡(luò)標準和協(xié)議要求。n 全網(wǎng)絡(luò)信息點分布需求，包括局域網(wǎng)布線結(jié)構(gòu)要求，廣域網(wǎng)傳輸介質(zhì)要求。n 網(wǎng)絡(luò)層次劃分及網(wǎng)絡(luò)拓撲結(jié)構(gòu)要求。n 結(jié)合應(yīng)用的網(wǎng)絡(luò)設(shè)備處理能力和帶寬要求。n 局域網(wǎng)和廣域網(wǎng)要求。n Internet接入，外網(wǎng)接入，防火墻技術(shù)要求。n 企業(yè)

4、網(wǎng)絡(luò)應(yīng)用要求。 n 網(wǎng)絡(luò)設(shè)備選型要求。n 網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)技術(shù)的關(guān)系（如多媒體、IP話音和網(wǎng)絡(luò)結(jié)構(gòu)的要求）。n 網(wǎng)絡(luò)可靠性、擴展性和安全性要求。n 網(wǎng)絡(luò)管理要求。2、網(wǎng)絡(luò)規(guī)劃階段。企業(yè)網(wǎng)絡(luò)規(guī)劃是從企業(yè)網(wǎng)絡(luò)需求分析到企業(yè)網(wǎng)邏輯設(shè)計中間必經(jīng)階段，主要根據(jù)企業(yè)網(wǎng)絡(luò)需求分析得出分離的、外在的技術(shù)指標（如用戶數(shù)、桌面微機的站點數(shù)、最大響應(yīng)時間要求等等）。運用企業(yè)網(wǎng)絡(luò)本身內(nèi)在的規(guī)律和關(guān)聯(lián)算法，得出整個企業(yè)網(wǎng)絡(luò)內(nèi)在的技術(shù)框架和技術(shù)指標（如桌面帶寬要求、主干帶寬要求、服務(wù)器處理性能要求等等）。3、網(wǎng)絡(luò)邏輯設(shè)計階段。 網(wǎng)絡(luò)邏輯設(shè)計階段主要根據(jù)企業(yè)網(wǎng)絡(luò)需求分析結(jié)果，根據(jù)企業(yè)網(wǎng)絡(luò)規(guī)劃的內(nèi)在技術(shù)指標，按照計算機網(wǎng)絡(luò)設(shè)計

5、的經(jīng)驗和方法，在現(xiàn)有的可行的網(wǎng)絡(luò)技術(shù)范圍內(nèi)，設(shè)計企業(yè)網(wǎng)絡(luò)的連接結(jié)構(gòu)、協(xié)議結(jié)構(gòu)以及每個網(wǎng)絡(luò)的功能結(jié)構(gòu)。企業(yè)網(wǎng)絡(luò)設(shè)計主要確定網(wǎng)絡(luò)的連接結(jié)構(gòu)，網(wǎng)絡(luò)節(jié)點的類型、 功能和容量。網(wǎng)絡(luò)傳輸鏈路的類型和容量，以及網(wǎng)絡(luò)安全控制結(jié)構(gòu)和網(wǎng)絡(luò)管理結(jié)構(gòu)。4、 網(wǎng)絡(luò)物理設(shè)計階段。網(wǎng)絡(luò)物理設(shè)計主要確定實施網(wǎng)絡(luò)邏輯設(shè)計方案的廠家產(chǎn)品的類型、數(shù)量和具體配置，以及與網(wǎng)絡(luò)邏輯設(shè)計方案中連接結(jié)構(gòu)相吻合的物理拓撲結(jié)構(gòu)。5、 網(wǎng)絡(luò)實施階段。網(wǎng)絡(luò)實施階段主要是采購所需的硬件設(shè)備和軟件系統(tǒng)，以及安裝、調(diào)試和測試網(wǎng)絡(luò)系統(tǒng)。6、 網(wǎng)絡(luò)維護和擴展階段。 在企業(yè)網(wǎng)絡(luò)通過測試之后，網(wǎng)絡(luò)就進入了運行、維護和擴展階段。企業(yè)網(wǎng)絡(luò)的運行維護階段的主要工作是對

6、企業(yè)網(wǎng)絡(luò)的日常維護和管理，包括網(wǎng)絡(luò)配置管理、性能管理、故障管理、安全管理和用戶帳戶管理，對企業(yè)網(wǎng)絡(luò)的預(yù)防性測試和容量的規(guī)劃。二、 企 業(yè) 網(wǎng) 絡(luò) 層 次 結(jié) 構(gòu) 分 析 及 其 模 塊 化 設(shè) 計 思 想大型企業(yè)網(wǎng)絡(luò)層次結(jié)構(gòu)與企業(yè)的行政結(jié)構(gòu)相對應(yīng)，一般至少有二層，也有三層和四層結(jié)構(gòu)。多于四層的結(jié)構(gòu)作為遠程訪問服務(wù)層看待。我們從網(wǎng)絡(luò)的層次劃分上分析探討多層網(wǎng)絡(luò)模塊化設(shè)計思想。 大多數(shù)企業(yè)網(wǎng)絡(luò)都可以被層次性劃分為三個邏輯服務(wù)單元(Backbone)、區(qū)域網(wǎng)(Distribute)和訪問網(wǎng)(Localaccess)。骨干網(wǎng)的主要目的在于完成分布于不同區(qū)域或邏輯組的路由最優(yōu)化通信；區(qū)域網(wǎng)主要是完成網(wǎng)絡(luò)

7、流量的安全控制機制，以使骨干網(wǎng)和訪問網(wǎng)環(huán)境隔離開來；訪問網(wǎng)主要是支持客戶機對服務(wù)器的訪問。2.1 模塊化網(wǎng)絡(luò)設(shè)計方法模塊化網(wǎng)絡(luò)設(shè)計方法的目標在于把一個大型的網(wǎng)絡(luò)元素劃分成一個個互連的網(wǎng)絡(luò)層次。實質(zhì)上，模塊化方式把網(wǎng)絡(luò)劃分為一個個子網(wǎng)，因此網(wǎng)絡(luò)節(jié)點和流量變得更容易管理。層次化的設(shè)計方法同時也使網(wǎng)絡(luò)的擴展更容易處理，因為新的子網(wǎng)模塊和新的網(wǎng)絡(luò)技術(shù)能被更容易集成進整個系統(tǒng)中，而不破壞已存在的骨干網(wǎng)。層次設(shè)計方法可為網(wǎng)絡(luò)帶來以下三個優(yōu)點：1、層次性網(wǎng)絡(luò)的可擴展性可擴展性是在包交換網(wǎng)絡(luò)連接中使用層次性設(shè)計的主要優(yōu)點。層次性網(wǎng)絡(luò)具有更多的可擴展性是因為它可以讓你用模塊化方式擴展網(wǎng)絡(luò)，而不會遇到非層次性網(wǎng)絡(luò)

8、或平面性網(wǎng)絡(luò)很快所遇上的問題。但是，層次性網(wǎng)絡(luò)同時也提出了一定的問題需要仔細考慮。這些問題包括：虛電路的費用，層次設(shè)計（尤其是網(wǎng)狀拓撲的內(nèi)在復雜聯(lián)系，以及需要額外的路由器接口來劃分網(wǎng)絡(luò)層次。為了獲得層次性網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點，你必須使你的網(wǎng)絡(luò)層次結(jié)構(gòu)充分與你所在地區(qū)的拓撲相符合。設(shè)計取決于你所使用的包交換模式，以及你所想要的容錯能力、網(wǎng)絡(luò)性能和網(wǎng)絡(luò)造價。2、層次性網(wǎng)絡(luò)的可管理性 使網(wǎng)絡(luò)簡單化通過把網(wǎng)絡(luò)元素劃分為小單元、層次化，降低了整個網(wǎng)絡(luò)的復雜性。這種網(wǎng)絡(luò)單元的劃分使故障診斷變得清晰和簡單了，同時還可以提供防止廣播風暴、路由循環(huán)等其他潛在問題的內(nèi)在保護機制。 使設(shè)計更靈活層次化設(shè)計使得骨干網(wǎng)和區(qū)域

9、網(wǎng)之間的包交換形式更具靈活性。很多網(wǎng)絡(luò)都得益于使用混合方式來構(gòu)造整個網(wǎng)絡(luò)架構(gòu)。在大多數(shù)情況下，可在骨干網(wǎng)部分使用專線而在區(qū)域網(wǎng)或本地網(wǎng)接入部分使用包交換服務(wù)。 使路由器管理更容易由于層次化網(wǎng)絡(luò)結(jié)構(gòu)使網(wǎng)絡(luò)分層，相對縮小的網(wǎng)絡(luò)區(qū)域使路由器的鄰居或?qū)Φ韧ㄐ哦藬?shù)量減少，因此路由器的配置變得簡單化。3、優(yōu)化廣播和多點廣播的流量控制在包交換網(wǎng)絡(luò)中，減少路由器之間廣播信息量的最直接方法就是使用更少數(shù)目的路由器組，通過層次化模塊設(shè)計可以較好地控制網(wǎng)絡(luò)中的廣播。通常在包交換網(wǎng)絡(luò)中最常見的路由器之間的廣播信息流量是路由更新信息，如果在一個區(qū)域或一個層次中有太多的路由器，那么就會因為廣播的原因而造成網(wǎng)絡(luò)瓶頸。層次化

10、的網(wǎng)絡(luò)結(jié)構(gòu)使你可以對區(qū)域網(wǎng)向骨干網(wǎng)的廣播作出限制。 根據(jù)這種層次化網(wǎng)絡(luò)設(shè)計思想的原則，我們可以把企業(yè)Intranet網(wǎng)絡(luò)工程的整個網(wǎng)絡(luò)體系結(jié)構(gòu)分為以下三層或四層結(jié)構(gòu)二級或三級網(wǎng)絡(luò)主干：即由企業(yè)中心節(jié)點與二級節(jié)點組成一級主干網(wǎng)絡(luò)，由二級節(jié)點和三級節(jié)點構(gòu)成二級網(wǎng)絡(luò)，三級節(jié)點和四級節(jié)點構(gòu)成三級網(wǎng)絡(luò)。如下圖2.1所示： 圖2.12.2 評估一級主干網(wǎng)絡(luò)的服務(wù) 如圖2.1所示的一級主干網(wǎng)絡(luò)所能提供的功能特性包括如下幾個部分： 主干網(wǎng)絡(luò)帶寬管理： 為了優(yōu)化主干網(wǎng)絡(luò)的操作，路由器提供幾種性能調(diào)節(jié)方法，如優(yōu)先權(quán)隊列管理和數(shù)據(jù)壓縮，動態(tài)路由協(xié)議權(quán)值定義，動態(tài)路由協(xié)議發(fā)包時間間隔優(yōu)化，協(xié)議本地確認等優(yōu)化和節(jié)省廣域

11、網(wǎng)帶寬。 數(shù)據(jù)傳輸路徑優(yōu)化 路由器最主要的特點之一是在邏輯網(wǎng)絡(luò)環(huán)境內(nèi)，自動選擇最優(yōu)路徑傳輸信息。 路由器依靠路由協(xié)議（靜態(tài)和各類動態(tài)路由協(xié)議）完成最優(yōu)路徑查找工作。路由協(xié)議是在網(wǎng)絡(luò)第三層上操作，并且各類網(wǎng)絡(luò)協(xié)議有相應(yīng)路由協(xié)議支持。如，在IP網(wǎng)絡(luò)環(huán)境中，Cisco公司的所有路由器支持所有路由協(xié)議，如OSPF Routing,RIP Routing,IGRP Routing,E-IGRP Routing,BGP Routing,EGP Routing and HELLO Packet。 路由收斂問題：路徑選擇涉及的相關(guān)問題是路由收斂。當網(wǎng)絡(luò)發(fā)生變化時，如主干網(wǎng)上路由器關(guān)機或故障，或通信線路的故障，

12、或主干網(wǎng)上路由器配置變化等，都會引起路由表的改變，這種改變過程引起網(wǎng)絡(luò)不能正常工作。因此，選擇收斂速度快的動態(tài)路由協(xié)議和避免路由慢收斂問題是網(wǎng)絡(luò)設(shè)計的關(guān)鍵問題之一。 優(yōu)化傳輸隊列 主干網(wǎng)上信息傳輸可以分成不同的優(yōu)先級別，將重要的信息定為高優(yōu)先級別，優(yōu)先傳輸。路由器可以對諸如不同協(xié)議類型，不同傳輸層協(xié)議，不同的應(yīng)用類型設(shè)定不同的傳輸優(yōu)先級。對IP協(xié)議來講，在網(wǎng)絡(luò)應(yīng)用層，可對諸如TELNET,FTP,SMTP,WWW等應(yīng)用進行傳輸隊列優(yōu)先權(quán)的設(shè)定，以確保重要數(shù)據(jù)優(yōu)先傳輸。對傳輸隊列的優(yōu)化是在各類協(xié)議及子協(xié)議基礎(chǔ)上進行，如下圖所示： 負載均衡 路由器支持多鏈路的負載均衡，最多可支持四條負載均衡鏈路，

13、每條鏈路的負載閥值可以調(diào)整。 路徑備份 一級主干網(wǎng)上傳輸?shù)亩际侵匾畔?，一級主干網(wǎng)的路徑備份就特別重要?？紤]到投資成本，不要求主干網(wǎng)上所有路由器都雙鏈路連接，而只考慮主干網(wǎng)上各中間節(jié)點到中心節(jié)點的雙鏈路連接，各中間節(jié)點之間可以無鏈路連接。各中間節(jié)點之間的通信都跨越全國中心的路由器實現(xiàn)。因此，全國中心路由器必須具備強大的處理能力。2.3 評估二級主干網(wǎng)絡(luò)的服務(wù) 如圖2.1所示，我們對二級主干網(wǎng)絡(luò)作如下評估。 區(qū)域和服務(wù)過濾 信息流的過濾是建立在區(qū)域的劃分和服務(wù)類型上。來自區(qū)域內(nèi)部的信息不必要跨越廣域網(wǎng)一級主干網(wǎng)絡(luò)，這樣可以減緩一級主干網(wǎng)絡(luò)的通信壓力。同時，在區(qū)域內(nèi)部可以針對網(wǎng)絡(luò)服務(wù)類型（如TEL

14、NET,FTP,SMTP等）和網(wǎng)段地址作訪問控制，這樣可確保重要數(shù)據(jù)的訪問安全性。在路由器中，設(shè)置access-list，路由器判定滿足條件的信息包通過網(wǎng)絡(luò)。 基于策略的信息分發(fā)基于策略的信息分發(fā)的目的是確保傳輸性能和信息的完整性。在網(wǎng)間網(wǎng)中，這種策略可以定義成一個規(guī)則或一組規(guī)則，以此來控制跨越廣域主干的端對端的數(shù)據(jù)傳輸。例如一個部門，它可能有三種網(wǎng)絡(luò)協(xié)議要跨越主干，但只希望攜帶重要應(yīng)用的一種特殊的協(xié)議快速通過主干。另一部門，由于主干網(wǎng)絡(luò)過于繁忙，此時只允許e-mail跨越主干等。 路由協(xié)議的一致性 我們建議一級和二級廣域網(wǎng)主干動態(tài)路由協(xié)議應(yīng)是一致的，并采用開放的路由協(xié)議如ISIS或BGP4或

15、OSPF。采用那種動態(tài)路由協(xié)議，要根據(jù)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)和部門間的隸屬關(guān)系確定。 介質(zhì)轉(zhuǎn)換 介質(zhì)轉(zhuǎn)換技術(shù)是將不同網(wǎng)絡(luò)鏈路層上的幀的格式轉(zhuǎn)換為另一網(wǎng)絡(luò)幀的格式，例如以態(tài)網(wǎng)與令牌環(huán)網(wǎng)的轉(zhuǎn)換。由于區(qū)域內(nèi)網(wǎng)絡(luò)環(huán)境較為復雜，廠家必須有相應(yīng)的設(shè)備支持。2.4評估接入訪問服務(wù) 接入訪問服務(wù)包含如下內(nèi)容： 網(wǎng)絡(luò)增值地址網(wǎng)絡(luò)增值地址（helper network address）是用來解決一些特殊的信息傳輸，使得原來是廣播方式的傳輸變?yōu)槎帱c傳輸。這樣，可以減少網(wǎng)絡(luò)的廣播壓力和路由器的負載。例如，Novell客戶端原來通過廣播方式查找它的服務(wù)器，而如果服務(wù)器不在本網(wǎng)段，廣播信息必須通過路由器。使用helper add

16、ress后，就允許在一個網(wǎng)絡(luò)上的節(jié)點直接向另一個網(wǎng)絡(luò)上的服務(wù)器發(fā)送信息，而不用經(jīng)過路由器。 網(wǎng)段 局部訪問服務(wù)的基本要求是將網(wǎng)絡(luò)分成若干網(wǎng)段，每個網(wǎng)段實施各自的信息傳輸策略，通過路由器從而實現(xiàn)各網(wǎng)段廣播信息的相互隔離，減少主干網(wǎng)絡(luò)的擁塞。確定網(wǎng)段，是通過子網(wǎng)掩碼實現(xiàn)的。靈活的網(wǎng)段劃分，通過路由器access-list網(wǎng)段地址過濾，可以實現(xiàn)靈活的網(wǎng)絡(luò)安全訪問控制策略。 廣播和多點廣播 如上所說，路由器能隔離網(wǎng)段的廣播信息。然而，如果需要，路由器可以中繼廣播。通過路由器中繼某些廣播以達到一定的目的。 IP的多點廣播是從一個站點向指定的多個目的站點發(fā)布信息，而不是向每個站點發(fā)布信息。IP的多點廣播為

17、視頻會議，股票交易等提供出色的服務(wù)。參與多點廣播的計算機，必須運行IGMP協(xié)議。路由器配置IGMP(Internet Group Management Protocol) 后，可以實現(xiàn)位于不同網(wǎng)段內(nèi)的計算機的多點廣播。 安全策略 如果所有信息被所有員工隨意訪問得到，那么安全侵犯和不正當?shù)奈募L問就不可避免。為了避免這些問題，路由器要做如下工作： 防止局部網(wǎng)絡(luò)信息不正當?shù)剡M入網(wǎng)絡(luò)主干 防止網(wǎng)絡(luò)主干的信息不正當進入部門或工作組 實現(xiàn)這兩大功能的手段是路由的包過濾。一方面，包過濾能控制未受權(quán)的用戶訪問，增加安全性，同時能減少網(wǎng)絡(luò)的擁塞，減少網(wǎng)絡(luò)問題的發(fā)生。 路由器有一整套信息過濾策略。如對地址的訪問

18、過濾，對協(xié)議的訪問過濾，對應(yīng)用層的訪問過濾。具體地說， 在以太網(wǎng)環(huán)境下，有一臺主機能Telnet到Internet的某一臺主機，不允許Internet上該主機Telnet到這臺主機上，但可以作SMTP的訪問。 只允許一個網(wǎng)段通過OSPF動態(tài)路由協(xié)議，其它網(wǎng)段OSPF被禁止。 限止某些主機訪問某些網(wǎng)段。 限止某些網(wǎng)段訪問另一些網(wǎng)段。 上述訪問控制手段是常用的方法。另外還有遠程訪問控制，通常采用認證機制。對于MODEM訪問方式的站點，可采用TACACS(Terminal Access Controller Access Control System) 認證機制。對電話撥號站點，運行ppp協(xié)議，可采

19、用chap或pap 認證機制。 路由器查找 主機必須知道其網(wǎng)關(guān)地址才能通過路由器訪問別的網(wǎng)段?？梢杂萌斯せ騽討B(tài)路由的方式配置主機的網(wǎng)關(guān)地址。主機至少有一個路由器局域網(wǎng)端口地址作為其網(wǎng)關(guān)地址。但是，當有多個路由器時，主機如何確定其網(wǎng)關(guān)地址呢?一般來說，主機選擇那臺能到達目的站點最佳路徑的路由器作為其網(wǎng)關(guān)，這種情況涉及路由器的查找。支持這種查找的相關(guān)協(xié)議有以下幾種： End System-to-Intermediate System(ES-IS)協(xié)議 ICMP Routing Discovery Protocol(IRDP)協(xié)議 Proxy Address Resolution Protocol(

20、ARP)協(xié)議 OSPF和RIP協(xié)議 通過對上述網(wǎng)絡(luò)分層服務(wù)的分析，我們得出結(jié)論：對于大型企業(yè)Intranet網(wǎng)絡(luò)工程來說，要想建設(shè)成為一個全國性的、網(wǎng)絡(luò)性能優(yōu)良的、網(wǎng)絡(luò)控制極為靈活的、具有很強擴展能力和升級能力的大型企業(yè)綜合性網(wǎng)絡(luò)，那么在網(wǎng)絡(luò)設(shè)計中就必須采用層次化的網(wǎng)絡(luò)設(shè)計思想。三、 企 業(yè) 網(wǎng) 間 網(wǎng) 路 由 協(xié) 議 我們對企業(yè)網(wǎng)絡(luò)的層次結(jié)構(gòu)及相應(yīng)的網(wǎng)絡(luò)服務(wù)作了系統(tǒng)的分析，各層次的網(wǎng)絡(luò)服務(wù)是建立在網(wǎng)絡(luò)協(xié)議第三層動態(tài)路由或靜態(tài)路由基礎(chǔ)上。由于各類網(wǎng)絡(luò)動態(tài)路由協(xié)議都存在算法上的缺陷，沒有一種全優(yōu)的網(wǎng)絡(luò)動態(tài)路由協(xié)議能完全滿足企業(yè)網(wǎng)絡(luò)運行的需要。因此，網(wǎng)絡(luò)動態(tài)路由的選擇必須和整體網(wǎng)絡(luò)結(jié)構(gòu)相協(xié)調(diào)，同時

21、和企業(yè)網(wǎng)絡(luò)的運行方式、運營成本相協(xié)調(diào)。 為此，我們簡單介紹幾種路由協(xié)議：3.1、RIP（Route Information Protocol） 路 由 信 息 協(xié) 議 RIP路由協(xié)議與UNIX和TCP/IP緊緊地聯(lián)系在一起的。在互連網(wǎng)中RIP是最常用的路由協(xié)議。 作為廣泛使用的一種距離矢量（Distance Vector）路由協(xié)議，RIP路由協(xié)議有如下特 點：n 基于距離矢量路由協(xié)議路由器根據(jù)距離選擇使用路由。當計算的那條路徑為最短路徑 時，路由器確定這條路徑為最佳路徑并維持這條最佳路徑。當新的路由比 原路由更佳時，由新路由將替代老的路由。n 具有學習功能 路由器定時向每個鄰近網(wǎng)絡(luò)廣播報文，通

22、過路由器間相互學習， 不斷更新自己的路由。n 僅以跳數(shù)（hop count）作為距離度量在路由器的路由決策中，要考慮的因素可以很多（ 例如：帶寬、 延遲、可靠性、路由等），如果參加決策的因素越多，路由策略的最佳路由更加趨于合理，對網(wǎng)絡(luò)的描述更加精確。所以RIP路由協(xié)議僅將跳數(shù)作為距離度量有缺陷的。n 最大站點數(shù)為15 RIP 協(xié)議允許最大站點數(shù)為15，任何超過15個站點的目的地均認為不可達到的。RIP最大站數(shù)大大限制了大型網(wǎng)間網(wǎng)環(huán)境的應(yīng)用。n 每30秒向相鄰路由器廣播一次路由信息 RIP路由協(xié)議采用了不少計數(shù)器，路由新計數(shù)器通常被設(shè)計為30 秒。保證每個路由器在每30 秒向其鄰接路由器發(fā)送一次

23、路由表。3.2、OSPF（Open Shortest Path First）開放式最短路徑優(yōu)先協(xié)議 80 年代中期，由于RIP 路由器協(xié)議越來越不適應(yīng)大規(guī)模異構(gòu)網(wǎng)絡(luò)互連。OSPF作為IETF（網(wǎng)間工程任務(wù)組織）為IP 網(wǎng)絡(luò)開發(fā)的一種IGP（內(nèi)部網(wǎng)關(guān)協(xié)議）協(xié)議，克服了RIP 路由協(xié)議的缺點。其采用SPF（Shortest Path First）算法，基于鏈路狀態(tài)路由協(xié)議。OSPF路由協(xié)議有如下特點：n 需要每臺路由器向同域（Area）的所有其它路由器發(fā)送鏈路狀態(tài)廣播（LSA）信息。路由器收集有關(guān)的鏈路狀態(tài)信息，并根據(jù)SPF的算法計算出到每個結(jié)點的最短路徑。同域內(nèi)的路由器共享 相同的拓撲信息。n

24、路由選擇的分級 與RIP 路由協(xié)議不同，OSPF可在一個域（Area）內(nèi)進行路由選擇。域的最大集合是自治域（AS）。AS 是共享同一路由選擇策略的網(wǎng)絡(luò)集合。 一個自治域AS可分為多個域（Area），域是由相鄰的網(wǎng)絡(luò)和連接的主機組成，如圖3.2.a所示。 根據(jù)源點和目的地是否在同一域內(nèi),OSPF有兩種類型的路由 選擇方式： 當源和目的在同一區(qū)域時，采用域內(nèi)路由選擇。 當源和目的不在同區(qū)域時，采用域間路由選擇。 由于有域的概念，OSPF路由協(xié)議比那些不將AS分區(qū)的情況下 所需傳送的路由信息少得多。n 支持VLSM（Vanable Length Subnet Mask）可變長度子網(wǎng)掩碼技術(shù)。 由于每

25、個發(fā)布的目的地均包括IP子網(wǎng)的掩碼，從而可利用子網(wǎng)掩碼將IP網(wǎng)絡(luò)分為不同大小的子網(wǎng)，這種方法可節(jié)省IP 地址空 間并給網(wǎng)絡(luò)管理員管理帶來靈活性。 n 對帶寬和CPU等資源消耗 這個SPF 算法占用了CPU 的資源，一般來說與運算量與網(wǎng)內(nèi)鏈路數(shù)目與路由器數(shù)目乘積成正比。另外當SPF 路由器通電， 初始的鏈路狀態(tài)包泛濫（Floodting）占用網(wǎng)絡(luò)帶寬，這些情況都是在網(wǎng)絡(luò)設(shè)計中要考慮的。3.3、EIGRP（enchansed Interior Gateway Routing Protocol） EIGRP 即為CISCO公司所提出的IGRP路由協(xié)議的增強版。它 是 一種混合型的路由選擇協(xié)議，它結(jié)合

26、了鏈路狀態(tài)協(xié)議及距離矢量協(xié) 議的優(yōu)點，包括以下特點：n 快速聚合增強IGRP使用擴散更新算法（DUAL Diffusing Update Algorithm）來快速達到聚合，運行EIGRP 的路由器存儲有相鄰路由器的路由選擇表,因此能快速地適應(yīng)路由的變化， 若不存在合適的路由，EIGRP 查詢其相鄰的路由器，以發(fā)現(xiàn)一個不同的路由，這種查詢傳播一直持續(xù)到新的路由發(fā)現(xiàn)為止。n 變長子網(wǎng)掩碼EIGRP包括全支持變長子網(wǎng)掩碼，子網(wǎng)路由 自動匯集到一個網(wǎng)絡(luò)號邊境上，除此之外，EIGRP 能被配置集中在任意接口的任意位邊界上。n 部分、界限修改EIGRP路由并不周期性地作修改，只是當 某路由的計量發(fā)生變化

27、時，才發(fā)送部分更新。自動更新的信息是自動定義其邊界，所以只有那些需要這類信息的路由器才修 改其路由表，因為EIGRP 具有這兩種功能，因此它比IGRP、OSPF 消耗的頻寬更少。n 支持多種網(wǎng)絡(luò)層EIGRP 支持Appletalk、IP以及NOVELL 等 多種協(xié)議。 3.4、 靜 態(tài) 路 由 協(xié) 議 以上我們介紹的均為動態(tài)路由協(xié)議，當然還有另外一種路由 協(xié)議便是靜態(tài)路由協(xié)議。靜態(tài)路由協(xié)議是由網(wǎng)絡(luò)系統(tǒng)管理員人工定 制的，需要制出一切所需的路由。其優(yōu)點為不會產(chǎn)生動態(tài)路由所特 有的路由信息廣播或路由信息、更新或HELLO 從而不會在系統(tǒng)資 源：內(nèi)存、CPU、帶寬等方面制成額外的開銷。但其缺點為會給

28、系統(tǒng)管理員的管理工作帶來大量的工作，其次，由于路由是靜態(tài)的因 而不能適應(yīng)網(wǎng)絡(luò)的動態(tài)變化的需要而改變路由。 在上面的介紹中我們可以看出，作為一個大型綜合企業(yè)網(wǎng)的內(nèi) 部路由協(xié)議可供選擇的實際上有靜態(tài)路由、IGRP、EIGRP和OSPF。而當我們進行一個大型網(wǎng)絡(luò)IP協(xié)議的選取時，需考慮以下兩方面的因素： 網(wǎng)絡(luò)路由聚合時間 網(wǎng)絡(luò)路由環(huán)境的可維護性3.5 動態(tài)路由比較EIGRP是Cisco公司開發(fā)的一種先進的路由技術(shù)，它結(jié)合了距 離向量( DV )協(xié)議和連接狀態(tài)( LS )協(xié)議的優(yōu)點，采用了擴散更新算法（DUAL Diffusing Update Algorithm）達到網(wǎng)絡(luò)的快速收斂。EIGRP 支持

29、層次化和平面網(wǎng)絡(luò)結(jié)構(gòu)，支持VLSM 網(wǎng)絡(luò)地址分配，可在任意位邊界對直接相連的網(wǎng)絡(luò)進行路徑疊合，只有在網(wǎng)絡(luò)變化時 EIGRP才發(fā)送路由表更新信息，因此廣域網(wǎng)帶寬浪費很少，DUAL Diffusing Update 算法使其具有最好的收斂性，EIGRP 采用五維參數(shù)來決定最佳路徑：帶寬、時延、可靠性、線路負載和最大數(shù)據(jù)包尺寸，不同帶寬的平行線路可負載平衡地同時傳輸數(shù)據(jù) 。它采用模塊化軟件支持IP、IPX 和AT 協(xié)議。OSPF是標準的、基于最短路徑優(yōu)先( 連接狀態(tài)) 的、能快速收斂的路由協(xié)議，它只適用于IP 協(xié)議。 OSPF 的網(wǎng)絡(luò)拓樸必須是層次結(jié)構(gòu)的，分骨干域和邊緣域，在設(shè)計OSPF網(wǎng)絡(luò)時最重要

30、的是域邊界的定義地址分配，域邊界的定義決定了哪些路由器和連接包 括在骨干域中，哪些包括在每一個下連的域中。OSPF 支持VLSM 地址分配，其路徑疊合能力有限，必須在路由器中手工設(shè)置。在大型企業(yè)網(wǎng)絡(luò)中，RIP 由于其固有的局限性，它已被淘汰，最常見的路由協(xié)議是OSPF 和EIGRP，它們的比較如下： OSPF EIGRP 快速收斂 是 是 帶寬利用率 高 高 內(nèi)存使用 兩 者 差 不 多 CPU使用 兩 者 差 不 多 路由算法 dyjkstra DUAL 傳輸類型 Link State Distance Vector 路徑疊合 有 限 任意邊界 協(xié)議過濾 非常有限 非常強 rtg協(xié)議速率調(diào)節(jié)

31、 無 有 多個缺省路徑 無 有 區(qū)域拓樸層次 必須要 不要 開放標準 是 不是 用戶端可用 是 不是 保持鄰居狀態(tài) 是 是 改變只傳播 不是 是 到 相 關(guān) 網(wǎng) 絡(luò) 可用于多種 不是 是 L3 協(xié) 議 負載平衡傳輸 非常有限 很強 網(wǎng)絡(luò)可擴性 好 很好 從以上比較可看出，EIGRP 凝聚了距離矢量和鏈路狀態(tài)兩種 算法的精華，避免了兩種算法各自的缺點，因而可達到最快速度的 聚合。由于其采用DUAL 算法，而且只有網(wǎng)絡(luò)拓撲變化影響到的路由器才參與路由的計算，僅只有拓撲變化影響到的路由才進行廣 播，因此EIGRP對CPU及網(wǎng)絡(luò)帶寬的消耗都將低于OSPF、IGRP、RIP 等路由協(xié)議。 在大型企業(yè)網(wǎng)絡(luò)

32、的設(shè)計中，除考慮線路的帶寬、延遲、可靠性等因素外，路由表的大小、網(wǎng)絡(luò)的延展性、路由的快速收斂同樣是影響網(wǎng)絡(luò)功能的重要因素。3.5 動態(tài)路由協(xié)議的選擇對于大型企業(yè)網(wǎng)，平面結(jié)構(gòu)的路由協(xié)議（如RIP，IGRP）不能滿足網(wǎng)絡(luò)性能的要求。我們推薦采用E-IGRP,OSPF路由協(xié)議,多于三層結(jié)構(gòu)的網(wǎng)絡(luò)需采用BGP4網(wǎng)間網(wǎng)協(xié)議。OSPF協(xié)議是一層次化結(jié)構(gòu)的路由協(xié)議，可將大型網(wǎng)絡(luò)分成若干區(qū)域。如下圖： 區(qū)域劃分可減少各路由器的路由表尺寸；利于網(wǎng)絡(luò)擴展；支持 VLSM，可通過路徑的疊合（ summarization）優(yōu)化地址的設(shè)計和路由的計算。 在OSPF協(xié)議中，Backbone 區(qū)域是中心主干區(qū)域（Area

33、0），主干區(qū)域路由器保持OSPF的信息，負責各路由區(qū)域間的路由信息分配；跨接多個區(qū)域的路由器為ABR（Area Border Router），其保持所連接的區(qū)域的路由信息，并完成路徑疊合功能 （summarization）；當網(wǎng)絡(luò)大到需分成多個自主系統(tǒng)（AS）時，跨接AS 的路由器為 ASBR，在一個自主系統(tǒng)中可根據(jù)上述方法選擇路 由協(xié)議，而自主系統(tǒng)之間目前最好的辦法是采用BGP協(xié)議進行互 連。BGP的最新標準是BGP4(RFC1654)，它支持CIDR。在每個自主系統(tǒng)中要定義BGP PEER路由器，用于在自主系統(tǒng)之間交換路由信 息。對于OSPF的區(qū)域劃分的原則為： 每個區(qū)域內(nèi)路由器不超過10

34、0個； 每個路由器接口的相鄰路由器不超過60個； 每個路由器所屬區(qū)域不超過3個； 所有區(qū)域必物理地連接到主干區(qū)域；四、 企 業(yè) 廣 域 網(wǎng) 鏈 路 選 擇我們從理論上分析了大型企業(yè)網(wǎng)絡(luò)的層次結(jié)構(gòu)和動態(tài)路由協(xié)議。通常企業(yè)租用ISP的通信線路，按照設(shè)計好的層次結(jié)構(gòu)進行廣域連接。在申請通信線路時要綜合考慮企業(yè)業(yè)務(wù)需求、QOS、運行維護費用等多種因素。ISP提供多種通信鏈路來滿足企業(yè)用戶非實時網(wǎng)絡(luò)應(yīng)用的需求，如X.25,DDN,幀中繼，PSTN等。也可以選擇撥號VPN技術(shù)，專線VPN技術(shù)。也可使用標記交換技術(shù)，MPLS技術(shù)等。選擇通信類型要根據(jù)運營成本和運營效率綜合考慮。對于廣域網(wǎng)上實現(xiàn)語音、圖像等多

35、媒體應(yīng)用的廣域網(wǎng)DDN，F(xiàn)rameRelay和ATM都能實現(xiàn)，但從運行費用和服務(wù)質(zhì)量保證來看，采用ATM作廣域鏈路是較好的選擇。目前，國內(nèi)ISP沒有開放ATM業(yè)務(wù)，但企業(yè)如有需要可以申請ATM服務(wù)。五、 企 業(yè) 園 區(qū) 局 域 網(wǎng) 設(shè) 計 (1)企業(yè)園區(qū)局域網(wǎng)絡(luò)采用虛擬交換網(wǎng)絡(luò) 從網(wǎng)絡(luò)的性價比來看，企業(yè)的局域網(wǎng)絡(luò)邏輯結(jié)構(gòu)采用交換虛擬網(wǎng)技術(shù)已是大勢所趨。交換虛擬網(wǎng)絡(luò)是基于ATM和局域網(wǎng)交換機為平臺的技術(shù)，其目標是真正建立一個可以滿足未來多媒體信息處理時代需要的企業(yè)網(wǎng)絡(luò)。從長遠角度看，采用交換虛擬網(wǎng)絡(luò)技術(shù)可以降低組建企業(yè)網(wǎng)的成本、提高信息技術(shù)與企業(yè)發(fā)展的適應(yīng)能力。交換虛擬網(wǎng)可以滿足企業(yè)網(wǎng)絡(luò)在以下幾

36、個方面對計算機網(wǎng)絡(luò)的需求： 通過交換技術(shù)，向最終用戶提供更高的帶寬。 可以向不同用戶、不同應(yīng)用提供所需的服務(wù)質(zhì)量保證的網(wǎng)絡(luò)服務(wù)。 提供完整的網(wǎng)絡(luò)管理和控制系統(tǒng)，控制網(wǎng)絡(luò)成本，特別是隱含的網(wǎng)絡(luò)成本開銷，例如網(wǎng)絡(luò)管理、網(wǎng)絡(luò)控制等方面的開銷。 在外圍提供前面的網(wǎng)絡(luò)互連和系統(tǒng)集成方案，提供端到端的解決方案，提高網(wǎng)絡(luò)互連性和可靠性，減少網(wǎng)絡(luò)擴展的成本。 構(gòu)造虛擬工作組網(wǎng)絡(luò)以支持虛擬工作組工作。 (2)企業(yè)局域網(wǎng)絡(luò)的主干交換 企業(yè)局域網(wǎng)絡(luò)主干的作用就是互連網(wǎng)絡(luò)的各個部分，傳遞分布到網(wǎng)絡(luò)各個部分的數(shù)據(jù)流。主干網(wǎng)必須具有高效率、高可用性特征，在主干上任何一點不合理的延遲都是災(zāi)難性的！ 采用ATM交換技術(shù)可以提

37、供邊緣交換機之間的高速連通性、可靠性和服務(wù)質(zhì)量保證，以及支持多種數(shù)據(jù)流類型，如IP、IPX、DECnet。利用ATM技術(shù)的高效擁擠控制和流量控制，高可用性和功能全面的網(wǎng)絡(luò)控制，動態(tài)用戶組管理及有效的流量管理，滿足大批量數(shù)據(jù)傳輸對帶寬的需求，同時滿足多媒體應(yīng)用對不同類型信息流和不同服務(wù)質(zhì)量的需求。 采用千兆以太網(wǎng)技術(shù)可以提供極高的網(wǎng)絡(luò)主干帶寬，并融合傳統(tǒng)的以太網(wǎng)技術(shù)和交換技術(shù)，給終端用戶提供滿足應(yīng)用需求的帶寬。雖然在帶寬上滿足終端用戶的需求，但在網(wǎng)絡(luò)的流量管理上和服務(wù)質(zhì)量上不及ATM。 企業(yè)局域網(wǎng)絡(luò)還可以采用第三層或第四層交換技術(shù)，以滿足網(wǎng)絡(luò)主干在性能上的需求。 (3)企業(yè)園區(qū)樓宇網(wǎng)絡(luò)設(shè)計企業(yè)園

38、區(qū)樓宇設(shè)計必須基于建筑物內(nèi)已有的或者可能設(shè)置的布線結(jié)構(gòu)進行設(shè)計，同時要考慮每個樓宇內(nèi)信息資源中心的設(shè)置，局域網(wǎng)之間的數(shù)據(jù)通信類型和可能通信量，局域網(wǎng)之間需要設(shè)置的安全訪問控制策略，確定網(wǎng)絡(luò)互連模式和結(jié)構(gòu)。樓宇內(nèi)設(shè)計采用路由互連技術(shù)、ATM交換互連網(wǎng)技術(shù)和虛擬局域網(wǎng)組網(wǎng)技術(shù)。樓宇網(wǎng)絡(luò)設(shè)計需要考慮如下問題： 樓宇內(nèi)部如果沒有干擾，而且傳輸距離在100米之內(nèi)，一般采用雙絞線作為網(wǎng)絡(luò)的傳輸媒體。如果樓宇內(nèi)部有電磁干擾，可以采用光纖作為傳輸媒體。如果樓宇內(nèi)部的傳輸距離大于100米，可以采用互連設(shè)備的級聯(lián)，也可以采用光纖作為傳輸媒體。 在采用同一局域網(wǎng)技術(shù)的工作組網(wǎng)絡(luò)互連時，如果可以共享帶寬，而且無安全控

39、制需要，只是由于工作組網(wǎng)絡(luò)覆蓋的距離不夠，則可以采用級聯(lián)集線器的方式擴展網(wǎng)絡(luò)。 在采用同一種局域網(wǎng)技術(shù)的工作組網(wǎng)絡(luò)互連時，如果各個工作組需要獨立的傳輸帶寬，則通過局域網(wǎng)交換機連接。 采用不同局域網(wǎng)技術(shù)的工作組網(wǎng)絡(luò)互連時，如果互連的工作組網(wǎng)絡(luò)較少，各個工作組之間無需提供安全訪問控制，而且，各個工作組網(wǎng)絡(luò)之間需要提供快速連接，則采用支持多種局域網(wǎng)接口的交換機。 采用不同的局域網(wǎng)技術(shù)的工作組網(wǎng)絡(luò)互連時，如果互連的工作組網(wǎng)絡(luò)數(shù)量較多，各個工作組網(wǎng)絡(luò)內(nèi)部有較大的廣播報文，或工作組網(wǎng)絡(luò)之間需要有較為嚴格的安全訪問控制，且在工作組之間沒有多媒體應(yīng)用，則采用路由器互連各個工作組網(wǎng)絡(luò)。 如果工作組站點的地理分布

40、，與其它工作組網(wǎng)絡(luò)站點地理分布重復，則需要在同一地理區(qū)域采用同一局域網(wǎng)交換機連接不同工作組網(wǎng)絡(luò)站點，通過交換機構(gòu)成符合工作組劃分的虛擬網(wǎng)絡(luò)。 對于具有多媒體應(yīng)用的點到點站點網(wǎng)絡(luò)服務(wù)質(zhì)量保證的傳輸信道，采用ATM技術(shù)，到桌面采用25M ATM連接。 服務(wù)器設(shè)備接入：采用光纖155M ATM接入或光纖100M以太網(wǎng)接入。重點終端用戶采用光纖接入核心交換機，實現(xiàn)安全傳輸。 (4)企業(yè)園區(qū)虛擬局域網(wǎng) 網(wǎng)絡(luò)廠商相繼開發(fā)了“開放”互聯(lián)技術(shù)VTP(VLAN Trunking Protocol)，支持的標準是ISL、802.1Q，MPLS。ATM交換機和局域網(wǎng)交換機為虛擬局域網(wǎng)提供了基礎(chǔ)平臺。虛擬局域網(wǎng)為企業(yè)

41、局域網(wǎng)絡(luò)帶來的三個好處是： 在最大限度地減少對路由器依賴的基礎(chǔ)上，有效地控制局域網(wǎng)內(nèi)的廣播流量，提高站點的傳輸效率。 減少由于網(wǎng)絡(luò)站點的增加、移動和更改而增加的網(wǎng)絡(luò)維護成本。 業(yè)務(wù)部門工作組的邏輯組合更為靈活。 在VLAN的劃分中，都與“群組”這個概念有關(guān)。群組是指局域網(wǎng)交換機的一個集合。每個交換機支持的群組數(shù)目有一定的限制。因此，在網(wǎng)絡(luò)規(guī)劃時，必須考慮業(yè)務(wù)部門邏輯工作組的數(shù)量，并選擇相應(yīng)的交換機型號，使得交換機的VLAN數(shù)量和處理性能滿足業(yè)務(wù)應(yīng)用需要。一個群組可以包括全網(wǎng)中不同交換機的端口，每個群組可以看作是一個獨立的通信域。如果不使用路由功能，則一個群組中的通信量不能轉(zhuǎn)發(fā)到另一個群組中，群

42、組的特征如下： (1)一個群組是一個廣播域； (2)一個群組是交換機物理端口的集合； (3)群組可以跨越多個交換機； (4)群組不能相互重疊，即每個端口只能屬于一個群組； (5)群組之間的幀可以通過路由轉(zhuǎn)發(fā)； (6)同一群組中不同的VLAN的幀也可以通過路由轉(zhuǎn)發(fā)。 群組的概念實際上是基于以端口為基礎(chǔ)的VLAN。還有其它類型的VLAN劃分： (1)基于MAC地址的VLAN劃分，這種VLAN劃分方法靈活，但管理復雜； (2)基于協(xié)議規(guī)則的VLAN劃分，把具有相同的第三層協(xié)議網(wǎng)絡(luò)站點歸并成一個VLAN。這些站點連接的交換機端口構(gòu)成一個廣播域，以減少在同一網(wǎng)絡(luò)環(huán)境下不同協(xié)議棧之間的相互干擾。選擇不同的

43、協(xié)議類型構(gòu)成不同的VLAN：1、所有IP協(xié)議流量；2、所有IPX協(xié)議流量；3、所有DECnet協(xié)議流量；所有AppleTtalk流量；4、所有指定以太類型的流量；5、所有攜帶指定源點和目的點SAP（服務(wù)訪問點）報頭的流量；6、所有攜帶指定SNAP（子網(wǎng)訪問協(xié)議）類型的流量。 (3)基于網(wǎng)絡(luò)地址的VLAN。 用IP地址和IP網(wǎng)絡(luò)掩碼劃分網(wǎng)段。 (4)基于用戶定義規(guī)則的VLAN。六、 企 業(yè) 網(wǎng) 絡(luò) 與 外 網(wǎng) 連 接企業(yè)網(wǎng)絡(luò)與外網(wǎng)的連接發(fā)生在企業(yè)網(wǎng)絡(luò)的各個層次上，其中包括Internet接入等。我們稱企業(yè)內(nèi)部網(wǎng)為內(nèi)網(wǎng)，企業(yè)外部網(wǎng)為外網(wǎng)。顯然，內(nèi)網(wǎng)和外網(wǎng)間加裝防火墻。通常，內(nèi)網(wǎng)和外網(wǎng)間采用靜態(tài)路由

44、或缺省路由。內(nèi)網(wǎng)和外網(wǎng)的信息訪問通過防火墻進行過濾。內(nèi)網(wǎng)和外網(wǎng)的連接如下圖所示：七、 企 業(yè) 網(wǎng) 絡(luò) 安 全 訪 問 控 制 機 制7.1企業(yè)安全系統(tǒng)的設(shè)計目標是：（1）防范黑客攻擊、計算機犯罪和有害信息傳播（包括計算機病毒）（2）加強應(yīng)用和數(shù)據(jù)的安全建立安全管理制度，注意內(nèi)外兼防，重點在內(nèi)部 7.2安全框架安全方案的科學性、可行性是其順利實施的保障。安全方案必須架構(gòu)在科學的安全框架之上。安全框架是安全方案設(shè)計和分析的基礎(chǔ)。美國國防部DISSP（Defense Wide Information System Security Program）計劃中提出的三維安全框架結(jié)構(gòu)，是事實上的標準，反映了

45、信息系統(tǒng)的安全需求和體系結(jié)構(gòu)的共性。其簡化的版本說明如下（安全框架是一個三維結(jié)構(gòu)）： 第一維（軸）是安全特性，給出了七種安全屬性；第二維（軸）是系統(tǒng)單元，給出了信息網(wǎng)絡(luò)系統(tǒng)的組成 ；第三維（軸）是結(jié)構(gòu)層次，給出了國際標準化組織ISO的開放系統(tǒng)互連（ISO）模型。網(wǎng)絡(luò)平臺系統(tǒng)平臺應(yīng)用平臺安全管理物理環(huán)境數(shù)據(jù)完整結(jié)構(gòu)層次身份鑒別訪問控制數(shù)據(jù)保密不可抵賴審計管理可用性、可靠性應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層安全特性系統(tǒng)單元安全框架的具體模型和介紹如下：7.3安全方案的制訂根據(jù)安全框架制訂安全方案的具體思路如下：確定安全方案涉及的系統(tǒng)單元，明確安全方案系統(tǒng)單元；確定安全方案系統(tǒng)單元在各個層次

46、結(jié)構(gòu)的安全特性。安全方案的組成如下：網(wǎng)絡(luò)平臺安全方案系統(tǒng)平臺安全方案應(yīng)用平臺安全方案物理環(huán)境安全安全管理方案7.4網(wǎng)絡(luò)平臺安全方案7.4.1網(wǎng)絡(luò)系統(tǒng)方案功能要點 1)訪問控制。通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達攻擊目標之前。檢查安全漏洞。通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數(shù)攻擊無效。攻擊監(jiān)控。通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取相應(yīng)的行動（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）。 2)加密通訊。主動的加密通訊，可使攻擊者不能了解、修改敏感信息。 3)認證。良好的認證體系可防止攻擊者假冒合法用戶。

47、 4)備份和恢復。良好的備份和恢復機制，可在攻擊造成損失時，及時地恢復數(shù)據(jù)和系統(tǒng)服務(wù)。 5)多層防御。攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標。 6)隱藏內(nèi)部信息。使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。 7)設(shè)立安全管理機構(gòu)。為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護及緊急情況服務(wù)。7.4.2網(wǎng)絡(luò)平臺安全措施網(wǎng)絡(luò)平臺的安全措施應(yīng)涉及局域網(wǎng)、廣域網(wǎng)、互連網(wǎng)、防病毒和防黑客共五個方面。局域網(wǎng)的安全措施由于局域網(wǎng)中采用廣播方式，因此，本廣播域的信息傳遞都會暴露在黑客面前。可采取下列措施提高安全性：（1）網(wǎng)絡(luò)分段網(wǎng)絡(luò)分段是保證安全的一項重要措施，將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達到限

48、制用戶非法訪問的目的。網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式：物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層上分為若干網(wǎng)段，使各網(wǎng)段相互間無法進行直接通訊。邏輯分段則是指將整個系統(tǒng)在網(wǎng)絡(luò)層上進行分段。把網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)間必須通過路由器、路由交換機、網(wǎng)關(guān)或防火墻等設(shè)備進行連接，利用這些中間設(shè)備（含軟件、硬件）的安全機制來控制各子網(wǎng)間的訪問。（2）VLAN技術(shù)虛擬網(wǎng)技術(shù)主要基于局域網(wǎng)交換技術(shù)（ATM和以太網(wǎng)交換）。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。采用應(yīng)用交換器和VLAN技術(shù)，可將廣播轉(zhuǎn)變?yōu)辄c到點通訊，

49、從而防止大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。通過虛擬網(wǎng)設(shè)置的訪問控制，也可使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點。廣域網(wǎng)安全措施廣域網(wǎng)采用公網(wǎng)傳輸數(shù)據(jù)，在廣域網(wǎng)上傳輸?shù)男畔⒖赡軙徊环ǚ肿咏厝　Ｒ虼嗽趶V域網(wǎng)上發(fā)送和接收信息時要保證：（1）除了發(fā)送方和接收方外，其他人是不可知悉的（隱私性）；（2）傳輸過程中不被篡改（真實性）；（3）發(fā)送方能確信接收方不會是假冒的（非偽裝性）；（4）發(fā)送方不能否認自己的發(fā)送行為（非否認）。有效的方法是對傳輸?shù)男畔⑦M行加密，采用數(shù)據(jù)簽名和認證技術(shù)加密技術(shù)數(shù)據(jù)加密技術(shù)分為三類，即對稱型加密、不對稱型加密和不可逆加密。對稱型加密使用單個密鑰對數(shù)據(jù)進行加密

50、或解密，其特點是計算量小、加密效率高。但是此類算法在分布式系統(tǒng)上使用較為困難。不對稱型加密算法也稱公用密鑰算法，其特點是有二個密鑰，只有二者搭配使用才能完成加密和解密的全過程。適用于分布式系統(tǒng)中的數(shù)據(jù)加密，在Internet中得到了廣泛應(yīng)用。不對稱加密的另一用法稱為“數(shù)字簽名”（digital signature）。在網(wǎng)絡(luò)系統(tǒng)中應(yīng)用的不對稱加密算法有RSA算法和DSA算法（Digital Signature Algorithm）。不可逆加密算法的特征是加密過程不需要密鑰，不可逆加密算法不存在密鑰保管和分發(fā)問題，但是其加密計算工作量相當可觀，所以通常用于數(shù)據(jù)量有限的情形下的加密，例如計算機系統(tǒng)中

51、的口令就是利用不可逆算法加密的。數(shù)字簽名和認證技術(shù)認證技術(shù)主要解決網(wǎng)絡(luò)通訊過程中通訊雙方身份的認可，數(shù)字簽名作為身份認證技術(shù)中的一種具體技術(shù)，同時數(shù)字簽名還可用于通信過程中的不可抵賴要求的實現(xiàn)。認證過程通常涉及到加密和密鑰交換。通常，加密可使用對稱加密、不對稱加密及兩種加密方法的混合。數(shù)字簽名作為驗證發(fā)送者身份和消息完整性的根據(jù)。公共密鑰系統(tǒng)（如RSA）基于私有/公共密鑰對，作為驗證發(fā)送者身份和消息完整性的根據(jù)。CA使用私有密鑰計算其數(shù)字簽名，利用CA提供的公共密鑰，任何人均可驗證簽名的真實性。偽造數(shù)字簽名從計算能力上是不可行的。并且，如果消息隨數(shù)字簽名一同發(fā)送，對消息的任何修改在驗證數(shù)字簽名

52、時都將會被發(fā)現(xiàn)。（5）遠程訪問的安全性從外部撥號訪問內(nèi)部局域網(wǎng)的用戶，由于使用公用電話網(wǎng)進行數(shù)據(jù)傳輸，必須嚴格控制其安全性。首先，應(yīng)嚴格限制撥號上網(wǎng)用戶所能訪問的系統(tǒng)信息和資源，這一功能可通過在撥號訪問服務(wù)器后設(shè)置的防火墻來實現(xiàn)。其次， 應(yīng)加強對撥號用戶的身份驗證功能，使用TACACS+、RADIUS等專用身份驗證協(xié)議和服務(wù)器。一方面，可以實現(xiàn)對撥號用戶帳號的統(tǒng)一管理；另一方面，在身份驗證過程中采用PGP加密手段，避免用戶口令泄露的可能性。第三，在數(shù)據(jù)傳輸過程中采用加密技術(shù)，防止數(shù)據(jù)被非法竊取。一種方法是使用PGP,對數(shù)據(jù)直接加密。另一種方法是采用防火墻所提供的VPN（虛擬專網(wǎng)）技術(shù)。VPN在

53、提供網(wǎng)間數(shù)據(jù)加密的同時，也提供了針對單機用戶的加密客戶端軟件，即采用軟件加密的技術(shù)來保證數(shù)據(jù)傳輸?shù)陌踩??；ミB網(wǎng)的安全措施對網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行、利用網(wǎng)絡(luò)傳播病毒、線路竊聽等方面。這就要求我們對與Internet互連所帶來的安全性問題予以足夠重視。大型網(wǎng)絡(luò)系統(tǒng)與Internet互連的第一道屏障是防火墻。其主要作用是在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通訊，根據(jù)客戶設(shè)定的安全規(guī)則，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊。防火墻能做到：保護脆弱的服務(wù)通過過濾不安全的服務(wù)，可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機的風險?？刂茖ο到y(tǒng)的訪

54、問提供對系統(tǒng)的訪問控制。集中的安全管理對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理，防火墻所定義的安全規(guī)則可以運用于整個內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺機器上分別設(shè)立安全策略。增強的保密性可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)記錄和統(tǒng)計通過防火墻的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計數(shù)據(jù)，還可以提供統(tǒng)計數(shù)據(jù)，用以判斷可能的攻擊。但防火墻做不到：停止所有外部入侵；完全不能阻止內(nèi)部襲擊；防病毒；終止有經(jīng)驗的黑客；提供完全的網(wǎng)絡(luò)安全性。因此，系統(tǒng)還應(yīng)該具備防病毒和防黑客的功能。防病毒的安全措施由于Internet的迅速發(fā)展，將文件附加在電子郵件中的能力不斷提高，使得病毒的擴散速度急驟提高，范圍越來越廣。（1）多層病毒防衛(wèi)體系為了企業(yè)的財產(chǎn)免受損失，多數(shù)企業(yè)都選擇多層的病毒防衛(wèi)體系。多層病毒防衛(wèi)體系，是指在企業(yè)的每個臺式機上要安裝臺式機的反病毒軟件，在服務(wù)器上要安裝基于服務(wù)器的反病毒軟件，在IN