大型企業(yè)網(wǎng)間網(wǎng)設(shè)計與實現(xiàn)

1、大型企業(yè)網(wǎng)間網(wǎng)設(shè)計與實現(xiàn) 一、 引言：在網(wǎng)絡(luò)技術(shù)不斷發(fā)展的今天，大型企業(yè)網(wǎng)絡(luò)建設(shè)面臨多種網(wǎng)絡(luò)技術(shù)的選擇。選擇怎樣的網(wǎng)絡(luò)技術(shù)來滿足企業(yè)未來發(fā)展的需要，是擺在各大企業(yè)面前的一個課題。雖然網(wǎng)絡(luò)技術(shù)在飛速發(fā)展，但企業(yè)網(wǎng)絡(luò)建設(shè)有其內(nèi)在規(guī)律，把握這些內(nèi)在的規(guī)律，將有助于指導(dǎo)大型企業(yè)的網(wǎng)絡(luò)建設(shè)。 本文定義的大型企業(yè)網(wǎng)絡(luò)是跨地域和有層次的網(wǎng)絡(luò)。企業(yè)的網(wǎng)絡(luò)層次和行政結(jié)構(gòu)相對應(yīng)，網(wǎng)絡(luò)層次在二層或三層以上，網(wǎng)絡(luò)連接可能是跨地市、跨省的，也可能是全國范圍的。例如，銀行、國稅系統(tǒng)，民航、鐵路、政府辦公系統(tǒng)等都是跨地域，多層次系統(tǒng)，在網(wǎng)絡(luò)建設(shè)上都有其共同的特點。從總體上說，企業(yè)網(wǎng)絡(luò)涉及到系統(tǒng)軟件平臺、硬件平臺，布線系統(tǒng)，

2、局域網(wǎng)建設(shè)，廣域網(wǎng)建設(shè)，應(yīng)用軟件（包括業(yè)務(wù)應(yīng)用和WWW服務(wù)等）、網(wǎng)絡(luò)安全，網(wǎng)絡(luò)管理等方方面面。一、 企業(yè)網(wǎng)絡(luò)建設(shè)過程的幾個階段企業(yè)網(wǎng)絡(luò)建設(shè)總體上分為設(shè)計階段、實施階段和網(wǎng)絡(luò)管理維護(hù)階段。從網(wǎng)絡(luò)設(shè)計的角度來講，分為應(yīng)用驅(qū)動法和基礎(chǔ)設(shè)施法。應(yīng)用驅(qū)動法是采用根據(jù)應(yīng)用需求，從工作組網(wǎng)絡(luò)、樓宇網(wǎng)絡(luò)、園區(qū)網(wǎng)絡(luò)到廣域網(wǎng)絡(luò)的由近到遠(yuǎn)的設(shè)計方法?；A(chǔ)設(shè)施法是根據(jù)基本的網(wǎng)絡(luò)規(guī)劃，采用從廣域網(wǎng)絡(luò)、園區(qū)網(wǎng)絡(luò)到樓宇網(wǎng)絡(luò)的由遠(yuǎn)及近的設(shè)計方法。企業(yè)網(wǎng)絡(luò)建設(shè)過程分為如下幾個階段： 1、需求分析階段。通常大型企業(yè)在網(wǎng)絡(luò)建設(shè)中已有部分的網(wǎng)絡(luò)環(huán)境，這些網(wǎng)絡(luò)環(huán)境能滿足當(dāng)時網(wǎng)絡(luò)應(yīng)用的需要。但網(wǎng)絡(luò)可能是一個個孤立的小島，只能在局部范圍內(nèi)

3、實現(xiàn)網(wǎng)絡(luò)應(yīng)用及資源共享，企業(yè)網(wǎng)絡(luò)沒有形成一個整體。企業(yè)網(wǎng)絡(luò)規(guī)劃時，要考慮網(wǎng)絡(luò)建設(shè)的整體性，既要保護(hù)原有的投資，又要在網(wǎng)絡(luò)技術(shù)的選型上有前瞻性。網(wǎng)絡(luò)需求分析主要是根據(jù)企業(yè)業(yè)務(wù)發(fā)展需求和企業(yè)信息技術(shù)應(yīng)用需求，提出企業(yè)網(wǎng)絡(luò)建設(shè)的總體目標(biāo)和關(guān)鍵技術(shù)指標(biāo)。 企業(yè)網(wǎng)絡(luò)需求分析包含如下幾方面：n 網(wǎng)絡(luò)標(biāo)準(zhǔn)和協(xié)議要求。n 全網(wǎng)絡(luò)信息點分布需求，包括局域網(wǎng)布線結(jié)構(gòu)要求，廣域網(wǎng)傳輸介質(zhì)要求。n 網(wǎng)絡(luò)層次劃分及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)要求。n 結(jié)合應(yīng)用的網(wǎng)絡(luò)設(shè)備處理能力和帶寬要求。n 局域網(wǎng)和廣域網(wǎng)要求。n Internet接入，外網(wǎng)接入，防火墻技術(shù)要求。n 企業(yè)網(wǎng)絡(luò)應(yīng)用要求。 n 網(wǎng)絡(luò)設(shè)備選型要求。n 網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)技術(shù)的關(guān)

4、系（如多媒體、IP話音和網(wǎng)絡(luò)結(jié)構(gòu)的要求）。n 網(wǎng)絡(luò)可靠性、擴展性和安全性要求。n 網(wǎng)絡(luò)管理要求。2、網(wǎng)絡(luò)規(guī)劃階段。企業(yè)網(wǎng)絡(luò)規(guī)劃是從企業(yè)網(wǎng)絡(luò)需求分析到企業(yè)網(wǎng)邏輯設(shè)計中間必經(jīng)階段，主要根據(jù)企業(yè)網(wǎng)絡(luò)需求分析得出分離的、外在的技術(shù)指標(biāo)（如用戶數(shù)、桌面微機的站點數(shù)、最大響應(yīng)時間要求等等）。運用企業(yè)網(wǎng)絡(luò)本身內(nèi)在的規(guī)律和關(guān)聯(lián)算法，得出整個企業(yè)網(wǎng)絡(luò)內(nèi)在的技術(shù)框架和技術(shù)指標(biāo)（如桌面帶寬要求、主干帶寬要求、服務(wù)器處理性能要求等等）。3、網(wǎng)絡(luò)邏輯設(shè)計階段。 網(wǎng)絡(luò)邏輯設(shè)計階段主要根據(jù)企業(yè)網(wǎng)絡(luò)需求分析結(jié)果，根據(jù)企業(yè)網(wǎng)絡(luò)規(guī)劃的內(nèi)在技術(shù)指標(biāo)，按照計算機網(wǎng)絡(luò)設(shè)計的經(jīng)驗和方法，在現(xiàn)有的可行的網(wǎng)絡(luò)技術(shù)范圍內(nèi)，設(shè)計企業(yè)網(wǎng)絡(luò)的連接結(jié)

5、構(gòu)、協(xié)議結(jié)構(gòu)以及每個網(wǎng)絡(luò)的功能結(jié)構(gòu)。企業(yè)網(wǎng)絡(luò)設(shè)計主要確定網(wǎng)絡(luò)的連接結(jié)構(gòu)，網(wǎng)絡(luò)節(jié)點的類型、 功能和容量。網(wǎng)絡(luò)傳輸鏈路的類型和容量，以及網(wǎng)絡(luò)安全控制結(jié)構(gòu)和網(wǎng)絡(luò)管理結(jié)構(gòu)。4、網(wǎng)絡(luò)物理設(shè)計階段。網(wǎng)絡(luò)物理設(shè)計主要確定實施網(wǎng)絡(luò)邏輯設(shè)計方案的廠家產(chǎn)品的類型、數(shù)量和具體配置，以及與網(wǎng)絡(luò)邏輯設(shè)計方案中連接結(jié)構(gòu)相吻合的物理拓?fù)浣Y(jié)構(gòu)。5、 絡(luò)實施階段。網(wǎng)絡(luò)實施階段主要是采購所需的硬件設(shè)備和軟件系統(tǒng)，以及安裝、調(diào)試和測試網(wǎng)絡(luò)系統(tǒng)。6、 絡(luò)維護(hù)和擴展階段。在企業(yè)網(wǎng)絡(luò)通過測試之后，網(wǎng)絡(luò)就進(jìn)入了運行、維護(hù)和擴展階段。企業(yè)網(wǎng)絡(luò)的運行維護(hù)階段的主要工作是對企業(yè)網(wǎng)絡(luò)的日常維護(hù)和管理，包括網(wǎng)絡(luò)配置管理、性能管理、故障管理、安全管理

6、和用戶帳戶管理，對企業(yè)網(wǎng)絡(luò)的預(yù)防性測試和容量的規(guī)劃。二、企業(yè)網(wǎng)絡(luò)層次結(jié)構(gòu)分析及其模塊化設(shè)計思想大型企業(yè)網(wǎng)絡(luò)層次結(jié)構(gòu)與企業(yè)的行政結(jié)構(gòu)相對應(yīng)，一般至少有二層，也有三層和四層結(jié)構(gòu)。多于四層的結(jié)構(gòu)作為遠(yuǎn)程訪問服務(wù)層看待。我們從網(wǎng)絡(luò)的層次劃分上分析探討多層網(wǎng)絡(luò)模塊化設(shè)計思想。 大多數(shù)企業(yè)網(wǎng)絡(luò)都可以被層次性劃分為三個邏輯服務(wù)單元(Backbone)、區(qū)域網(wǎng)(Distribute)和訪問網(wǎng)(Localaccess)。骨干網(wǎng)的主要目的在于完成分布于不同區(qū)域或邏輯組的路由最優(yōu)化通信；區(qū)域網(wǎng)主要是完成網(wǎng)絡(luò)流量的安全控制機制，以使骨干網(wǎng)和訪問網(wǎng)環(huán)境隔離開來；訪問網(wǎng)主要是支持客戶機對服務(wù)器的訪問。2.1 模塊化網(wǎng)絡(luò)設(shè)

7、計方法模塊化網(wǎng)絡(luò)設(shè)計方法的目標(biāo)在于把一個大型的網(wǎng)絡(luò)元素劃分成一個個互連的網(wǎng)絡(luò)層次。實質(zhì)上，模塊化方式把網(wǎng)絡(luò)劃分為一個個子網(wǎng)，因此網(wǎng)絡(luò)節(jié)點和流量變得更容易管理。層次化的設(shè)計方法同時也使網(wǎng)絡(luò)的擴展更容易處理，因為新的子網(wǎng)模塊和新的網(wǎng)絡(luò)技術(shù)能被更容易集成進(jìn)整個系統(tǒng)中，而不破壞已存在的骨干網(wǎng)。層次設(shè)計方法可為網(wǎng)絡(luò)帶來以下三個優(yōu)點：1、層次性網(wǎng)絡(luò)的可擴展性可擴展性是在包交換網(wǎng)絡(luò)連接中使用層次性設(shè)計的主要優(yōu)點。層次性網(wǎng)絡(luò)具有更多的可擴展性是因為它可以讓你用模塊化方式擴展網(wǎng)絡(luò)，而不會遇到非層次性網(wǎng)絡(luò)或平面性網(wǎng)絡(luò)很快所遇上的問題。但是，層次性網(wǎng)絡(luò)同時也提出了一定的問題需要仔細(xì)考慮。這些問題包括：虛電路的費用，

8、層次設(shè)計（尤其是網(wǎng)狀拓?fù)涞膬?nèi)在復(fù)雜聯(lián)系，以及需要額外的路由器接口來劃分網(wǎng)絡(luò)層次。為了獲得層次性網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點，你必須使你的網(wǎng)絡(luò)層次結(jié)構(gòu)充分與你所在地區(qū)的拓?fù)湎喾稀ＴO(shè)計取決于你所使用的包交換模式，以及你所想要的容錯能力、網(wǎng)絡(luò)性能和網(wǎng)絡(luò)造價。2、層次性網(wǎng)絡(luò)的可管理性· 使網(wǎng)絡(luò)簡單化通過把網(wǎng)絡(luò)元素劃分為小單元、層次化，降低了整個網(wǎng)絡(luò)的復(fù)雜性。這種網(wǎng)絡(luò)單元的劃分使故障診斷變得清晰和簡單了，同時還可以提供防止廣播風(fēng)暴、路由循環(huán)等其他潛在問題的內(nèi)在保護(hù)機制。· 使設(shè)計更靈活層次化設(shè)計使得骨干網(wǎng)和區(qū)域網(wǎng)之間的包交換形式更具靈活性。很多網(wǎng)絡(luò)都得益于使用混合方式來構(gòu)造整個網(wǎng)絡(luò)架構(gòu)。在大多數(shù)

9、情況下，可在骨干網(wǎng)部分使用專線而在區(qū)域網(wǎng)或本地網(wǎng)接入部分使用包交換服務(wù)。· 使路由器管理更容易由于層次化網(wǎng)絡(luò)結(jié)構(gòu)使網(wǎng)絡(luò)分層，相對縮小的網(wǎng)絡(luò)區(qū)域使路由器的鄰居或?qū)Φ韧ㄐ哦藬?shù)量減少，因此路由器的配置變得簡單化。3、優(yōu)化廣播和多點廣播的流量控制在包交換網(wǎng)絡(luò)中，減少路由器之間廣播信息量的最直接方法就是使用更少數(shù)目的路由器組，通過層次化模塊設(shè)計可以較好地控制網(wǎng)絡(luò)中的廣播。通常在包交換網(wǎng)絡(luò)中最常見的路由器之間的廣播信息流量是路由更新信息，如果在一個區(qū)域或一個層次中有太多的路由器，那么就會因為廣播的原因而造成網(wǎng)絡(luò)瓶頸。層次化的網(wǎng)絡(luò)結(jié)構(gòu)使你可以對區(qū)域網(wǎng)向骨干網(wǎng)的廣播作出限制。 根據(jù)這種層次化網(wǎng)絡(luò)設(shè)計

10、思想的原則，我們可以把企業(yè)Intranet網(wǎng)絡(luò)工程的整個網(wǎng)絡(luò)體系結(jié)構(gòu)分為以下三層或四層結(jié)構(gòu)二級或三級網(wǎng)絡(luò)主干：即由企業(yè)中心節(jié)點與二級節(jié)點組成一級主干網(wǎng)絡(luò)，由二級節(jié)點和三級節(jié)點構(gòu)成二級網(wǎng)絡(luò)，三級節(jié)點和四級節(jié)點構(gòu)成三級網(wǎng)絡(luò)。如下圖2.1所示： 圖2.12.2 評估一級主干網(wǎng)絡(luò)的服務(wù) 如圖2.1所示的一級主干網(wǎng)絡(luò)所能提供的功能特性包括如下幾個部分： 主干網(wǎng)絡(luò)帶寬管理： 為了優(yōu)化主干網(wǎng)絡(luò)的操作，路由器提供幾種性能調(diào)節(jié)方法，如優(yōu)先權(quán)隊列管理和數(shù)據(jù)壓縮，動態(tài)路由協(xié)議權(quán)值定義，動態(tài)路由協(xié)議發(fā)包時間間隔優(yōu)化，協(xié)議本地確認(rèn)等優(yōu)化和節(jié)省廣域網(wǎng)帶寬。 數(shù)據(jù)傳輸路徑優(yōu)化 路由器最主要的特點之一是在邏輯網(wǎng)絡(luò)環(huán)境內(nèi)，自動

11、選擇最優(yōu)路徑傳輸信息。 路由器依靠路由協(xié)議（靜態(tài)和各類動態(tài)路由協(xié)議）完成最優(yōu)路徑查找工作。路由協(xié)議是在網(wǎng)絡(luò)第三層上操作，并且各類網(wǎng)絡(luò)協(xié)議有相應(yīng)路由協(xié)議支持。 路由收斂問題：路徑選擇涉及的相關(guān)問題是路由收斂。當(dāng)網(wǎng)絡(luò)發(fā)生變化時，如主干網(wǎng)上路由器關(guān)機或故障，或通信線路的故障，或主干網(wǎng)上路由器配置變化等，都會引起路由表的改變，這種改變過程引起網(wǎng)絡(luò)不能正常工作。因此，選擇收斂速度快的動態(tài)路由協(xié)議和避免路由慢收斂問題是網(wǎng)絡(luò)設(shè)計的關(guān)鍵問題之一。 優(yōu)化傳輸隊列 主干網(wǎng)上信息傳輸可以分成不同的優(yōu)先級別，將重要的信息定為高優(yōu)先級別，優(yōu)先傳輸。路由器可以對諸如不同協(xié)議類型，不同傳輸層協(xié)議，不同的應(yīng)用類型設(shè)定不同的傳

12、輸優(yōu)先級。對IP協(xié)議來講，在網(wǎng)絡(luò)應(yīng)用層，可對諸如TELNET,FTP,SMTP,WWW等應(yīng)用進(jìn)行傳輸隊列優(yōu)先權(quán)的設(shè)定，以確保重要數(shù)據(jù)優(yōu)先傳輸。對傳輸隊列的優(yōu)化是在各類協(xié)議及子協(xié)議基礎(chǔ)上進(jìn)行，如下圖所示： 負(fù)載均衡 路由器支持多鏈路的負(fù)載均衡，最多可支持四條負(fù)載均衡鏈路，每條鏈路的負(fù)載閥值可以調(diào)整。 路徑備份 一級主干網(wǎng)上傳輸?shù)亩际侵匾畔?，一級主干網(wǎng)的路徑備份就特別重要?？紤]到投資成本，不要求主干網(wǎng)上所有路由器都雙鏈路連接，而只考慮主干網(wǎng)上各中間節(jié)點到中心節(jié)點的雙鏈路連接，各中間節(jié)點之間可以無鏈路連接。各中間節(jié)點之間的通信都跨越全國中心的路由器實現(xiàn)。因此，全國中心路由器必須具備強大的處理能力。

13、2.3 評估二級主干網(wǎng)絡(luò)的服務(wù) 如圖2.1所示，我們對二級主干網(wǎng)絡(luò)作如下評估。 區(qū)域和服務(wù)過濾 信息流的過濾是建立在區(qū)域的劃分和服務(wù)類型上。來自區(qū)域內(nèi)部的信息不必要跨越廣域網(wǎng)一級主干網(wǎng)絡(luò)，這樣可以減緩一級主干網(wǎng)絡(luò)的通信壓力。同時，在區(qū)域內(nèi)部可以針對網(wǎng)絡(luò)服務(wù)類型（如TELNET,FTP,SMTP等）和網(wǎng)段地址作訪問控制，這樣可確保重要數(shù)據(jù)的訪問安全性。在路由器中，設(shè)置access-list，路由器判定滿足條件的信息包通過網(wǎng)絡(luò)。 基于策略的信息分發(fā)基于策略的信息分發(fā)的目的是確保傳輸性能和信息的完整性。在網(wǎng)間網(wǎng)中，這種策略可以定義成一個規(guī)則或一組規(guī)則，以此來控制跨越廣域主干的端對端的數(shù)據(jù)傳輸。例如一

14、個部門，它可能有三種網(wǎng)絡(luò)協(xié)議要跨越主干，但只希望攜帶重要應(yīng)用的一種特殊的協(xié)議快速通過主干。另一部門，由于主干網(wǎng)絡(luò)過于繁忙，此時只允許e-mail跨越主干等。 路由協(xié)議的一致性 我們建議一級和二級廣域網(wǎng)主干動態(tài)路由協(xié)議應(yīng)是一致的，并采用開放的路由協(xié)議如ISIS或BGP4或OSPF。采用那種動態(tài)路由協(xié)議，要根據(jù)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)和部門間的隸屬關(guān)系確定。 介質(zhì)轉(zhuǎn)換 介質(zhì)轉(zhuǎn)換技術(shù)是將不同網(wǎng)絡(luò)鏈路層上的幀的格式轉(zhuǎn)換為另一網(wǎng)絡(luò)幀的格式，例如以態(tài)網(wǎng)與令牌環(huán)網(wǎng)的轉(zhuǎn)換。由于區(qū)域內(nèi)網(wǎng)絡(luò)環(huán)境較為復(fù)雜，廠家必須有相應(yīng)的設(shè)備支持。2.4評估接入訪問服務(wù) 接入訪問服務(wù)包含如下內(nèi)容： 網(wǎng)絡(luò)增值地址網(wǎng)絡(luò)增值地址（helper n

15、etwork address）是用來解決一些特殊的信息傳輸，使得原來是廣播方式的傳輸變?yōu)槎帱c傳輸。這樣，可以減少網(wǎng)絡(luò)的廣播壓力和路由器的負(fù)載。例如，Novell客戶端原來通過廣播方式查找它的服務(wù)器，而如果服務(wù)器不在本網(wǎng)段，廣播信息必須通過路由器。使用helper address后，就允許在一個網(wǎng)絡(luò)上的節(jié)點直接向另一個網(wǎng)絡(luò)上的服務(wù)器發(fā)送信息，而不用經(jīng)過路由器。 網(wǎng)段 局部訪問服務(wù)的基本要求是將網(wǎng)絡(luò)分成若干網(wǎng)段，每個網(wǎng)段實施各自的信息傳輸策略，通過路由器從而實現(xiàn)各網(wǎng)段廣播信息的相互隔離，減少主干網(wǎng)絡(luò)的擁塞。確定網(wǎng)段，是通過子網(wǎng)掩碼實現(xiàn)的。靈活的網(wǎng)段劃分，通過路由器access-list網(wǎng)段地址過濾

16、，可以實現(xiàn)靈活的網(wǎng)絡(luò)安全訪問控制策略。 廣播和多點廣播 如上所說，路由器能隔離網(wǎng)段的廣播信息。然而，如果需要，路由器可以中繼廣播。通過路由器中繼某些廣播以達(dá)到一定的目的。 IP的多點廣播是從一個站點向指定的多個目的站點發(fā)布信息，而不是向每個站點發(fā)布信息。IP的多點廣播為視頻會議，股票交易等提供出色的服務(wù)。參與多點廣播的計算機，必須運行IGMP協(xié)議。路由器配置IGMP(Internet Group Management Protocol) 后，可以實現(xiàn)位于不同網(wǎng)段內(nèi)的計算機的多點廣播。 安全策略 如果所有信息被所有員工隨意訪問得到，那么安全侵犯和不正當(dāng)?shù)奈募L問就不可避免。為了避免這些問題，路由

17、器要做如下工作： 防止局部網(wǎng)絡(luò)信息不正當(dāng)?shù)剡M(jìn)入網(wǎng)絡(luò)主干 防止網(wǎng)絡(luò)主干的信息不正當(dāng)進(jìn)入部門或工作組 實現(xiàn)這兩大功能的手段是路由的包過濾。一方面，包過濾能控制未受權(quán)的用戶訪問，增加安全性，同時能減少網(wǎng)絡(luò)的擁塞，減少網(wǎng)絡(luò)問題的發(fā)生。 路由器有一整套信息過濾策略。如對地址的訪問過濾，對協(xié)議的訪問過濾，對應(yīng)用層的訪問過濾。具體地說， 在以太網(wǎng)環(huán)境下，有一臺主機能Telnet到Internet的某一臺主機，不允許Internet上該主機Telnet到這臺主機上，但可以作SMTP的訪問。 只允許一個網(wǎng)段通過OSPF動態(tài)路由協(xié)議，其它網(wǎng)段OSPF被禁止。 限止某些主機訪問某些網(wǎng)段。 限止某些網(wǎng)段訪問另一些網(wǎng)段

18、。 上述訪問控制手段是常用的方法。另外還有遠(yuǎn)程訪問控制，通常采用認(rèn)證機制。對于MODEM訪問方式的站點，可采用TACACS(Terminal Access Controller Access Control System) 認(rèn)證機制。對電話撥號站點，運行ppp協(xié)議，可采用chap或pap 認(rèn)證機制。 路由器查找 主機必須知道其網(wǎng)關(guān)地址才能通過路由器訪問別的網(wǎng)段?？梢杂萌斯せ騽討B(tài)路由的方式配置主機的網(wǎng)關(guān)地址。主機至少有一個路由器局域網(wǎng)端口地址作為其網(wǎng)關(guān)地址。但是，當(dāng)有多個路由器時，主機如何確定其網(wǎng)關(guān)地址呢?一般來說，主機選擇那臺能到達(dá)目的站點最佳路徑的路由器作為其網(wǎng)關(guān)，這種情況涉及路由器的查找。

19、支持這種查找的相關(guān)協(xié)議有以下幾種： End System-to-Intermediate System(ES-IS)協(xié)議 ICMP Routing Discovery Protocol(IRDP)協(xié)議 Proxy Address Resolution Protocol(ARP)協(xié)議 OSPF和RIP協(xié)議 通過對上述網(wǎng)絡(luò)分層服務(wù)的分析，我們得出結(jié)論：對于大型企業(yè)Intranet網(wǎng)絡(luò)工程來說，要想建設(shè)成為一個全國性的、網(wǎng)絡(luò)性能優(yōu)良的、網(wǎng)絡(luò)控制極為靈活的、具有很強擴展能力和升級能力的大型企業(yè)綜合性網(wǎng)絡(luò)，那么在網(wǎng)絡(luò)設(shè)計中就必須采用層次化的網(wǎng)絡(luò)設(shè)計思想。二、 企 業(yè) 廣 域 網(wǎng) 鏈 路 選 擇我們從理論

20、上分析了大型企業(yè)網(wǎng)絡(luò)的層次結(jié)構(gòu)和動態(tài)路由協(xié)議。通常企業(yè)租用ISP的通信線路，按照設(shè)計好的層次結(jié)構(gòu)進(jìn)行廣域連接。在申請通信線路時要綜合考慮企業(yè)業(yè)務(wù)需求、QOS、運行維護(hù)費用等多種因素。ISP提供多種通信鏈路來滿足企業(yè)用戶非實時網(wǎng)絡(luò)應(yīng)用的需求，如X.25,DDN,幀中繼，PSTN等。也可以選擇撥號VPN技術(shù)，專線VPN技術(shù)。也可使用標(biāo)記交換技術(shù)，MPLS技術(shù)等。選擇通信類型要根據(jù)運營成本和運營效率綜合考慮。對于廣域網(wǎng)上實現(xiàn)語音、圖像等多媒體應(yīng)用的廣域網(wǎng)DDN，F(xiàn)rameRelay和ATM都能實現(xiàn)，但從運行費用和服務(wù)質(zhì)量保證來看，采用ATM作廣域鏈路是較好的選擇。目前，國內(nèi)ISP沒有開放ATM業(yè)務(wù)，

21、但企業(yè)如有需要可以申請ATM服務(wù)。三、 企 業(yè) 園 區(qū) 局 域 網(wǎng) 設(shè) 計 (1)企業(yè)園區(qū)局域網(wǎng)絡(luò)采用虛擬交換網(wǎng)絡(luò) 從網(wǎng)絡(luò)的性價比來看，企業(yè)的局域網(wǎng)絡(luò)邏輯結(jié)構(gòu)采用交換虛擬網(wǎng)技術(shù)已是大勢所趨。交換虛擬網(wǎng)絡(luò)是基于ATM和局域網(wǎng)交換機為平臺的技術(shù)，其目標(biāo)是真正建立一個可以滿足未來多媒體信息處理時代需要的企業(yè)網(wǎng)絡(luò)。從長遠(yuǎn)角度看，采用交換虛擬網(wǎng)絡(luò)技術(shù)可以降低組建企業(yè)網(wǎng)的成本、提高信息技術(shù)與企業(yè)發(fā)展的適應(yīng)能力。交換虛擬網(wǎng)可以滿足企業(yè)網(wǎng)絡(luò)在以下幾個方面對計算機網(wǎng)絡(luò)的需求：· 通過交換技術(shù)，向最終用戶提供更高的帶寬。· 可以向不同用戶、不同應(yīng)用提供所需的服務(wù)質(zhì)量保證的網(wǎng)絡(luò)服務(wù)。·

22、 提供完整的網(wǎng)絡(luò)管理和控制系統(tǒng)，控制網(wǎng)絡(luò)成本，特別是隱含的網(wǎng)絡(luò)成本開銷，例如網(wǎng)絡(luò)管理、網(wǎng)絡(luò)控制等方面的開銷。· 在外圍提供前面的網(wǎng)絡(luò)互連和系統(tǒng)集成方案，提供端到端的解決方案，提高網(wǎng)絡(luò)互連性和可靠性，減少網(wǎng)絡(luò)擴展的成本。· 構(gòu)造虛擬工作組網(wǎng)絡(luò)以支持虛擬工作組工作。 (2)企業(yè)局域網(wǎng)絡(luò)的主干交換 企業(yè)局域網(wǎng)絡(luò)主干的作用就是互連網(wǎng)絡(luò)的各個部分，傳遞分布到網(wǎng)絡(luò)各個部分的數(shù)據(jù)流。主干網(wǎng)必須具有高效率、高可用性特征，在主干上任何一點不合理的延遲都是災(zāi)難性的！ 采用ATM交換技術(shù)可以提供邊緣交換機之間的高速連通性、可靠性和服務(wù)質(zhì)量保證，以及支持多種數(shù)據(jù)流類型，如IP、IPX、DECnet

23、。利用ATM技術(shù)的高效擁擠控制和流量控制，高可用性和功能全面的網(wǎng)絡(luò)控制，動態(tài)用戶組管理及有效的流量管理，滿足大批量數(shù)據(jù)傳輸對帶寬的需求，同時滿足多媒體應(yīng)用對不同類型信息流和不同服務(wù)質(zhì)量的需求。 采用千兆以太網(wǎng)技術(shù)可以提供極高的網(wǎng)絡(luò)主干帶寬，并融合傳統(tǒng)的以太網(wǎng)技術(shù)和交換技術(shù)，給終端用戶提供滿足應(yīng)用需求的帶寬。雖然在帶寬上滿足終端用戶的需求，但在網(wǎng)絡(luò)的流量管理上和服務(wù)質(zhì)量上不及ATM。 企業(yè)局域網(wǎng)絡(luò)還可以采用第三層或第四層交換技術(shù)，以滿足網(wǎng)絡(luò)主干在性能上的需求。 (3)企業(yè)園區(qū)樓宇網(wǎng)絡(luò)設(shè)計企業(yè)園區(qū)樓宇設(shè)計必須基于建筑物內(nèi)已有的或者可能設(shè)置的布線結(jié)構(gòu)進(jìn)行設(shè)計，同時要考慮每個樓宇內(nèi)信息資源中心的設(shè)置，

24、局域網(wǎng)之間的數(shù)據(jù)通信類型和可能通信量，局域網(wǎng)之間需要設(shè)置的安全訪問控制策略，確定網(wǎng)絡(luò)互連模式和結(jié)構(gòu)。樓宇內(nèi)設(shè)計采用路由互連技術(shù)、ATM交換互連網(wǎng)技術(shù)和虛擬局域網(wǎng)組網(wǎng)技術(shù)。樓宇網(wǎng)絡(luò)設(shè)計需要考慮如下問題：· 樓宇內(nèi)部如果沒有干擾，而且傳輸距離在100米之內(nèi)，一般采用雙絞線作為網(wǎng)絡(luò)的傳輸媒體。如果樓宇內(nèi)部有電磁干擾，可以采用光纖作為傳輸媒體。如果樓宇內(nèi)部的傳輸距離大于100米，可以采用互連設(shè)備的級聯(lián)，也可以采用光纖作為傳輸媒體。· 在采用同一局域網(wǎng)技術(shù)的工作組網(wǎng)絡(luò)互連時，如果可以共享帶寬，而且無安全控制需要，只是由于工作組網(wǎng)絡(luò)覆蓋的距離不夠，則可以采用級聯(lián)集線器的方式擴展網(wǎng)絡(luò)。&

25、#183; 在采用同一種局域網(wǎng)技術(shù)的工作組網(wǎng)絡(luò)互連時，如果各個工作組需要獨立的傳輸帶寬，則通過局域網(wǎng)交換機連接。· 采用不同局域網(wǎng)技術(shù)的工作組網(wǎng)絡(luò)互連時，如果互連的工作組網(wǎng)絡(luò)較少，各個工作組之間無需提供安全訪問控制，而且，各個工作組網(wǎng)絡(luò)之間需要提供快速連接，則采用支持多種局域網(wǎng)接口的交換機。· 采用不同的局域網(wǎng)技術(shù)的工作組網(wǎng)絡(luò)互連時，如果互連的工作組網(wǎng)絡(luò)數(shù)量較多，各個工作組網(wǎng)絡(luò)內(nèi)部有較大的廣播報文，或工作組網(wǎng)絡(luò)之間需要有較為嚴(yán)格的安全訪問控制，且在工作組之間沒有多媒體應(yīng)用，則采用路由器互連各個工作組網(wǎng)絡(luò)。· 如果工作組站點的地理分布，與其它工作組網(wǎng)絡(luò)站點地理分布重

26、復(fù)，則需要在同一地理區(qū)域采用同一局域網(wǎng)交換機連接不同工作組網(wǎng)絡(luò)站點，通過交換機構(gòu)成符合工作組劃分的虛擬網(wǎng)絡(luò)。· 對于具有多媒體應(yīng)用的點到點站點網(wǎng)絡(luò)服務(wù)質(zhì)量保證的傳輸信道，采用ATM技術(shù)，到桌面采用25M ATM連接。· 服務(wù)器設(shè)備接入：采用光纖155M ATM接入或光纖100M以太網(wǎng)接入。重點終端用戶采用光纖接入核心交換機，實現(xiàn)安全傳輸。 (4)企業(yè)園區(qū)虛擬局域網(wǎng) 網(wǎng)絡(luò)廠商相繼開發(fā)了“開放”互聯(lián)技術(shù)VTP(VLAN Trunking Protocol)，支持的標(biāo)準(zhǔn)是ISL、802.1Q，MPLS。ATM交換機和局域網(wǎng)交換機為虛擬局域網(wǎng)提供了基礎(chǔ)平臺。虛擬局域網(wǎng)為企業(yè)局域網(wǎng)絡(luò)

27、帶來的三個好處是：· 在最大限度地減少對路由器依賴的基礎(chǔ)上，有效地控制局域網(wǎng)內(nèi)的廣播流量，提高站點的傳輸效率。· 減少由于網(wǎng)絡(luò)站點的增加、移動和更改而增加的網(wǎng)絡(luò)維護(hù)成本。· 業(yè)務(wù)部門工作組的邏輯組合更為靈活。 在VLAN的劃分中，都與“群組”這個概念有關(guān)。群組是指局域網(wǎng)交換機的一個集合。每個交換機支持的群組數(shù)目有一定的限制。因此，在網(wǎng)絡(luò)規(guī)劃時，必須考慮業(yè)務(wù)部門邏輯工作組的數(shù)量，并選擇相應(yīng)的交換機型號，使得交換機的VLAN數(shù)量和處理性能滿足業(yè)務(wù)應(yīng)用需要。一個群組可以包括全網(wǎng)中不同交換機的端口，每個群組可以看作是一個獨立的通信域。如果不使用路由功能，則一個群組中的通信

28、量不能轉(zhuǎn)發(fā)到另一個群組中，群組的特征如下： (1)一個群組是一個廣播域； (2)一個群組是交換機物理端口的集合； (3)群組可以跨越多個交換機； (4)群組不能相互重疊，即每個端口只能屬于一個群組； (5)群組之間的幀可以通過路由轉(zhuǎn)發(fā)； (6)同一群組中不同的VLAN的幀也可以通過路由轉(zhuǎn)發(fā)。 群組的概念實際上是基于以端口為基礎(chǔ)的VLAN。還有其它類型的VLAN劃分： (1)基于MAC地址的VLAN劃分，這種VLAN劃分方法靈活，但管理復(fù)雜； (2)基于協(xié)議規(guī)則的VLAN劃分，把具有相同的第三層協(xié)議網(wǎng)絡(luò)站點歸并成一個VLAN。這些站點連接的交換機端口構(gòu)成一個廣播域，以減少在同一網(wǎng)絡(luò)環(huán)境下不同協(xié)議

29、棧之間的相互干擾。選擇不同的協(xié)議類型構(gòu)成不同的VLAN：1、所有IP協(xié)議流量；2、所有IPX協(xié)議流量；3、所有DECnet協(xié)議流量；所有AppleTtalk流量；4、所有指定以太類型的流量；5、所有攜帶指定源點和目的點SAP（服務(wù)訪問點）報頭的流量；6、所有攜帶指定SNAP（子網(wǎng)訪問協(xié)議）類型的流量。 (3)基于網(wǎng)絡(luò)地址的VLAN。 用IP地址和IP網(wǎng)絡(luò)掩碼劃分網(wǎng)段。 (4)基于用戶定義規(guī)則的VLAN。四、 企 業(yè) 網(wǎng) 絡(luò) 與 外 網(wǎng) 連 接企業(yè)網(wǎng)絡(luò)與外網(wǎng)的連接發(fā)生在企業(yè)網(wǎng)絡(luò)的各個層次上，其中包括Internet接入等。我們稱企業(yè)內(nèi)部網(wǎng)為內(nèi)網(wǎng)，企業(yè)外部網(wǎng)為外網(wǎng)。顯然，內(nèi)網(wǎng)和外網(wǎng)間加裝防火墻。通

30、常，內(nèi)網(wǎng)和外網(wǎng)間采用靜態(tài)路由或缺省路由。內(nèi)網(wǎng)和外網(wǎng)的信息訪問通過防火墻進(jìn)行過濾。內(nèi)網(wǎng)和外網(wǎng)的連接如下圖所示：五、企業(yè)網(wǎng)絡(luò)的可靠性企業(yè)網(wǎng)絡(luò)的可靠性體現(xiàn)在網(wǎng)絡(luò)鏈路備份和設(shè)備的備份上。對可靠性較高的要求意味著有較大的資金投入。由于企業(yè)業(yè)務(wù)運行模式各不相同，可靠性的要求會不同。對于銀行企業(yè)、電信移動通信運營商、電信級長話計費系統(tǒng)、ISP運營商和鐵路客票系統(tǒng)等大型企業(yè)網(wǎng)絡(luò)要求7*24小時服務(wù)。這些大型網(wǎng)絡(luò)要求網(wǎng)絡(luò)中心節(jié)點不但有設(shè)備冗余備份，還要有系統(tǒng)異地容災(zāi)備份。也就是說，在中心節(jié)點發(fā)生災(zāi)難時，不至于導(dǎo)致全網(wǎng)業(yè)務(wù)停頓和關(guān)鍵數(shù)據(jù)的丟失。這就要求網(wǎng)絡(luò)在設(shè)計上要充分考慮備份切換問題，尤其要考慮異地容災(zāi)備份切換問題。對于同一地點的設(shè)備備份，無論是主機設(shè)備和網(wǎng)絡(luò)設(shè)備，各廠商都有解決方案。異地容災(zāi)備份問題，