畢業(yè)設(shè)計(jì)企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)

1、院 年 班 企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)目 錄目 錄 . II第一章 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)概述 .11.1 項(xiàng)目背景.11.2 需求分析.11.3 編制依據(jù).2第二章 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì) .32.1 網(wǎng)絡(luò)設(shè)計(jì)原則.32.2 設(shè)計(jì)要求.32.3 設(shè)計(jì)目標(biāo).42.3 設(shè)備分析.42.4 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì).52.5 內(nèi)部網(wǎng)絡(luò)設(shè)計(jì).72.5.1 核心層交換機(jī)的設(shè)計(jì).72.5.2 匯聚層交換機(jī)的設(shè)計(jì).82.5.3 接入層交換機(jī)的設(shè)計(jì).92.5.4 路由協(xié)議的設(shè)計(jì).102.5.5 IP地址的設(shè)計(jì).112.5.6 VLAN的設(shè)計(jì) .122.5.7 網(wǎng)管系統(tǒng)的設(shè)計(jì).142.6 外部網(wǎng)絡(luò)設(shè)計(jì).142.7 綜合布線.15第三章 網(wǎng)絡(luò)系統(tǒng)

2、安全性設(shè)計(jì)分析 .173.1 網(wǎng)絡(luò)安全設(shè)計(jì).173.1.1 人員角色劃分.173.1.2 路由認(rèn)證和保護(hù).173.1.3 關(guān)閉 IP功能服務(wù).183.1.4 用戶的安全防護(hù).183.2 網(wǎng)絡(luò)的 VLAN的安全管理設(shè)計(jì)分析 .193.3 Internet安全訪問(wèn)設(shè)計(jì)分析 .19第四章 項(xiàng)目管理 .204.1 項(xiàng)目管理目標(biāo).204.2 項(xiàng)目組織機(jī)構(gòu).204.3 項(xiàng)目進(jìn)度計(jì)劃.204.3.1 項(xiàng)目總體進(jìn)度計(jì)劃.204.3.2 項(xiàng)目進(jìn)度 Gantt圖（甘特圖）.214.3.3 項(xiàng)目進(jìn)度詳細(xì)說(shuō)明.21第五章 工程預(yù)算 .245.1 項(xiàng)目總體預(yù)算 .245.2 網(wǎng)絡(luò)設(shè)備 .255.3 服務(wù)器 .27II

3、/ 37企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)5.4 安全系統(tǒng) .285.5 系統(tǒng)軟件 .285.6 機(jī)房建設(shè) .285.7 綜合布線 .295.8 光纖設(shè)備 .305.9 培訓(xùn) .33III / 37企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)第一章 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)概述1.1項(xiàng)目背景為了適應(yīng)業(yè)務(wù)的發(fā)展和國(guó)際化的需要，積極參與國(guó)家信息化進(jìn)程，提高管理水平，展現(xiàn)全新的形象，某廠準(zhǔn)備建立一個(gè)現(xiàn)代化的機(jī)構(gòu)內(nèi)部網(wǎng)，實(shí)現(xiàn)信息的共享、協(xié)作和通訊，并和屬下個(gè)部門(mén)互連，并在此基礎(chǔ)上開(kāi)發(fā)建設(shè)現(xiàn)代化的企業(yè)應(yīng)用系統(tǒng)，實(shí)現(xiàn)智能型、信息化、快節(jié)奏、高效率的管理模式。在本方案中，我們借鑒了大型高端網(wǎng)絡(luò)系統(tǒng)集成的經(jīng)驗(yàn)，充分利用當(dāng)今最成熟、最先進(jìn)的網(wǎng)絡(luò)技術(shù)，對(duì)該信息網(wǎng)絡(luò)系

4、統(tǒng)的建設(shè)與實(shí)施提出方案。1.2需求分析為實(shí)現(xiàn)上述目標(biāo)，可以把整個(gè)系統(tǒng)建設(shè)分成兩個(gè)部分，即：網(wǎng)絡(luò)平臺(tái)建設(shè)和 Internet/Intranet平臺(tái)建設(shè)。（1） 網(wǎng)絡(luò)平臺(tái)是建立在結(jié)構(gòu)化布線基礎(chǔ)上的最基本的平臺(tái)。可靠的網(wǎng)絡(luò)平臺(tái)是 Internet/Intranet系統(tǒng)及應(yīng)用系統(tǒng)正常運(yùn)行的基礎(chǔ)。網(wǎng)絡(luò)平臺(tái)的設(shè)計(jì)應(yīng)包括局域網(wǎng)的設(shè)計(jì)、廣域網(wǎng)的設(shè)計(jì)。（2） Internet/Intranet平臺(tái)包括 Internet和 Extranet。三者的關(guān)系如圖：Internet/Intranet系統(tǒng)具有客戶端單一界面、易于使用的特點(diǎn)。在中中國(guó)港灣建設(shè)總公司的平臺(tái)建設(shè)中，Extranet 部分對(duì)應(yīng)于與各合作伙伴信息交流

5、的相關(guān)部分。網(wǎng)絡(luò)系統(tǒng)主要是以光纖作為傳輸媒介、以 IP 和 Intranet技術(shù)為技術(shù)主體、以核心交換機(jī)為交換中心、下屬部門(mén)信息網(wǎng)絡(luò)系統(tǒng)為分節(jié)點(diǎn)的多層結(jié)構(gòu)、提供與各種職能相關(guān)的、功能齊全、技術(shù)先進(jìn)、資源統(tǒng)一的網(wǎng)上應(yīng)用系統(tǒng)，進(jìn)一步可擴(kuò)展成為多功能網(wǎng)絡(luò)平臺(tái)。總體目標(biāo)是建立該企業(yè)的辦公業(yè)務(wù)信息網(wǎng)絡(luò)交換平臺(tái)，集成下屬各部門(mén)信第1頁(yè) 共37頁(yè)企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)息網(wǎng)絡(luò)系統(tǒng)，功能齊全、技術(shù)先進(jìn)、集成化的網(wǎng)絡(luò)系統(tǒng)。（一）設(shè)計(jì)網(wǎng)絡(luò)需求如下：(1) 信息的共享；(2) 公司管理；(3) 辦公自動(dòng)化；(4) 高速 Internet 沖浪。（二）企業(yè)辦公網(wǎng)主干和信息點(diǎn)需求及分布擬建的企業(yè)網(wǎng)絡(luò)主要涉及到四幢建筑物：行政

6、樓（含附近的門(mén)衛(wèi)）、生產(chǎn)車間（含附近的廠區(qū)辦）、運(yùn)輸樓（含附近的工段辦）。這四幢建筑物之間擬通過(guò)光纜連接。網(wǎng)絡(luò)中心和機(jī)房設(shè)在行政樓內(nèi)。信息點(diǎn)需求為：行政樓： 801 個(gè)（含門(mén)衛(wèi) 1 個(gè)）生產(chǎn)車間：364 個(gè)（含廠區(qū)辦 4 個(gè)）運(yùn)輸樓： 20 個(gè)（全為工段辦）主干網(wǎng)接入全球互聯(lián)信息網(wǎng)外接（），各子網(wǎng)再接入主干通信網(wǎng)。主干網(wǎng)接入 Internet的方式可是有線綜合寬帶網(wǎng)，速率可在 100Mbps 左右。主干為千兆光纖線路，其它線路為超五類雙絞線。（三）投資預(yù)算要求投資在 20 萬(wàn)元以內(nèi)，包括局域網(wǎng)設(shè)計(jì)（可利用原有寬帶設(shè)備），交換機(jī)設(shè)備，綜合布線等。1.3編制依據(jù) 1988 年 2 月 26 日印發(fā)

7、）1999 年 12 月 29日印發(fā)）中國(guó)公眾多媒體通信網(wǎng)技術(shù)體制中國(guó)公眾多媒體通信網(wǎng)工程實(shí)施技術(shù)要求IEEE 802.1d802.1p802.1q802.1x802.3u802.3z支持路由協(xié)議：IP 的 RIP ，OSPF，BGP-4；IPX 的 RIP多址廣播協(xié)議：，DVMRP，PIM-DM，PIM-SM網(wǎng)絡(luò)管理協(xié)議：SNMP，RMON，RMON2第2頁(yè) 共37頁(yè)企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)第二章 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)本系統(tǒng)設(shè)計(jì)主要進(jìn)行節(jié)點(diǎn)網(wǎng)絡(luò)拓?fù)?、路由組織、IP 地址、網(wǎng)絡(luò)安全設(shè)計(jì)、VLAN 劃分和設(shè)備的具體配置等設(shè)計(jì)，詳細(xì)描述所采用的設(shè)備及性能參數(shù)、網(wǎng)絡(luò)管理。2.1網(wǎng)絡(luò)設(shè)計(jì)原則(1) 程實(shí)施技術(shù)要求以

8、及其它國(guó)家相關(guān)標(biāo)準(zhǔn)和技術(shù)體制。(2) 的結(jié)構(gòu)。(3) 的容錯(cuò)能力和應(yīng)變能力，以保證系統(tǒng)的可靠和有效運(yùn)作。(4) 選用的技術(shù)確保開(kāi)放性、可移植性、兼容性和可擴(kuò)展性。(5) 采用通用的國(guó)際標(biāo)準(zhǔn)和協(xié)議，不采用有礙網(wǎng)絡(luò)互通的廠家特有性能。(6) 當(dāng)?shù)娜哂鄠浞荨?7) 最少，以保證工程的順利和有效完成。2.2設(shè)計(jì)要求（1）實(shí)用性：網(wǎng)絡(luò)建設(shè)從應(yīng)用實(shí)際需求出發(fā)，堅(jiān)持為領(lǐng)導(dǎo)決策服務(wù)，為經(jīng)營(yíng)管理服務(wù)，為生產(chǎn)建設(shè)服務(wù)。另外，如果是對(duì)現(xiàn)有網(wǎng)絡(luò)升級(jí)改造，還應(yīng)該充分考慮如何利用現(xiàn)有資源，盡量發(fā)揮設(shè)備效益。（2）適度先進(jìn)性：規(guī)劃局域網(wǎng)，不但要滿足用戶當(dāng)前的需要，還應(yīng)該有一定技術(shù)前瞻性和用戶需求預(yù)見(jiàn)性，考慮到能夠滿足未來(lái)幾

9、年內(nèi)用戶對(duì)網(wǎng)絡(luò)功能和帶寬的需要。采用成熟的先進(jìn)技術(shù)，兼顧未來(lái)的發(fā)展趨勢(shì)，即量力而行，又適當(dāng)超前，留有發(fā)展余地。（3）經(jīng)濟(jì)性：要求價(jià)格適中，設(shè)備及耗材要求采用質(zhì)量過(guò)硬，物美價(jià)廉，投資預(yù)算不超過(guò) 20 萬(wàn)。（4第3頁(yè) 共37頁(yè)企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)提供公共網(wǎng)絡(luò)連接、通信鏈路、服務(wù)器等全方位的安全管理系統(tǒng)。（5）開(kāi)放性：采用國(guó)際標(biāo)準(zhǔn)通信協(xié)議、標(biāo)準(zhǔn)操作系統(tǒng)、標(biāo)準(zhǔn)網(wǎng)管軟件、采用符合標(biāo)準(zhǔn)的設(shè)備，保證整個(gè)系統(tǒng)具有開(kāi)放特點(diǎn)，增強(qiáng)與異機(jī)種、異構(gòu)網(wǎng)的互聯(lián)能力。（6續(xù)性（7劃時(shí)就要為局域網(wǎng)考慮一個(gè)周全的安全保密方案。2.3設(shè)計(jì)目標(biāo)該企業(yè)網(wǎng)絡(luò)系統(tǒng)應(yīng)是一個(gè)以寬帶 IP網(wǎng)為目標(biāo)，建立數(shù)據(jù)、語(yǔ)音、視頻三網(wǎng)）的功能，以保證全網(wǎng)的

10、良好性能及網(wǎng)絡(luò)安全性。主干網(wǎng)交換機(jī)應(yīng)具有很高的包交換速度，整個(gè)網(wǎng)絡(luò)應(yīng)具有高速的三層交換功能。主干網(wǎng)絡(luò)應(yīng)該采用成熟的、可靠的千兆以太網(wǎng)技術(shù)作為網(wǎng)絡(luò)系統(tǒng)主干。同時(shí)該網(wǎng)應(yīng)選用先進(jìn)的網(wǎng)管軟件，同時(shí)為 、撥號(hào)用戶和移動(dòng)用戶提供接口，網(wǎng)絡(luò)還應(yīng)具有良好的擴(kuò)展性。2.3設(shè)備分析根據(jù)對(duì)網(wǎng)絡(luò)需求的考察，根據(jù)合理性、實(shí)用性和節(jié)約費(fèi)用等原則進(jìn)行設(shè)備選擇：(1) 面，以網(wǎng)際協(xié)議（）作為校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)的公用網(wǎng)絡(luò)協(xié)議實(shí)行標(biāo)準(zhǔn)化，使用IP作為標(biāo)準(zhǔn)傳輸協(xié)議，在以后對(duì)網(wǎng)絡(luò)進(jìn)行擴(kuò)充以與其它的網(wǎng)絡(luò)互連時(shí)，可以跨越多個(gè)平臺(tái)自然而然地提供互操作能力和無(wú)縫連接功能。(2) 在主干網(wǎng)建設(shè)時(shí)，選擇3Com 和 Cisco 系統(tǒng)產(chǎn)品，它能夠以極

11、具競(jìng)爭(zhēng)力的價(jià)格提供所有技術(shù)，為我們提供一個(gè)集成化、高性能、靈活、可伸縮、安全和高性能價(jià)格比的解決方案的標(biāo)準(zhǔn)。(3) CISCO設(shè)備和 TP-LINK產(chǎn)品作為骨干網(wǎng)基礎(chǔ)設(shè)施的基礎(chǔ)。 CISCO 設(shè)備和 TP-LINK方案提供了可伸縮的結(jié)構(gòu)和高性能的設(shè)備，能夠高速傳輸數(shù)據(jù)，同時(shí)通過(guò)它們 Secure技術(shù)保證了安全地接入Internet和一體化的網(wǎng)絡(luò)解決方案。(4) 第4頁(yè) 共37頁(yè)企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)考慮設(shè)備的可擴(kuò)充性，確保系統(tǒng)主要設(shè)備的投入在整個(gè)系統(tǒng)的生命周期內(nèi)能得到充分利用并具有強(qiáng)健靈活的體系結(jié)構(gòu)。同時(shí)，也考慮局部子網(wǎng)對(duì)硬件和信息并能夠支持各種新技術(shù)和新增用戶。(5) 安全性是另一個(gè)關(guān)鍵要求，要

12、保證能夠安全地接入 。2.4網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)在用戶的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)中，我們建議采用層次化的結(jié)構(gòu)設(shè)計(jì)。對(duì)于用戶即將建設(shè)的網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)，想要建設(shè)成為一個(gè)覆蓋范圍廣、網(wǎng)絡(luò)性能優(yōu)良、具有很強(qiáng)擴(kuò)展能力和升級(jí)能力的網(wǎng)絡(luò)，在起初的設(shè)計(jì)中就必須采用層次化的網(wǎng)絡(luò)設(shè)計(jì)原則。采用這樣的結(jié)構(gòu)所建設(shè)的網(wǎng)絡(luò)具有良好的擴(kuò)充性、管理性，因?yàn)樾碌淖泳W(wǎng)模塊和新的網(wǎng)絡(luò)技術(shù)能被更容易集成到整個(gè)系統(tǒng)中，而不破壞已存在的骨干網(wǎng)。大多數(shù)的網(wǎng)絡(luò)都可以被層次性劃分為三個(gè)邏輯服務(wù)單元：核心骨干網(wǎng)、匯聚網(wǎng)(Distribute)和接入網(wǎng)(Localaccess)，模塊化網(wǎng)絡(luò)設(shè)計(jì)方法的目標(biāo)在于把一個(gè)大型的網(wǎng)絡(luò)元素劃分成一個(gè)個(gè)互連的網(wǎng)絡(luò)層次。層次性結(jié)構(gòu)

13、如下圖所示。核心層匯聚層接入層第5頁(yè) 共37頁(yè)企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)各入網(wǎng)部門(mén)的實(shí)際情況，應(yīng)用需求，資金條件和遠(yuǎn)，近目標(biāo)等各方面的要求，設(shè)計(jì)出該網(wǎng)絡(luò)為拓?fù)浣Y(jié)構(gòu)為分層的集中式結(jié)構(gòu)或稱星型分級(jí)拓?fù)洹?nèi)部網(wǎng)絡(luò)拓?fù)鋱D：網(wǎng)絡(luò)邏輯拓?fù)浣Y(jié)構(gòu)如圖所示。它是在基于高端路由交換機(jī)的基礎(chǔ)之上而設(shè)計(jì)的新的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。簡(jiǎn)要說(shuō)明如下：整個(gè)網(wǎng)絡(luò)由核心層、匯聚層和接入層兩大部分組成。核心層是由CISCO WS-C3560-48TS-S 企業(yè)級(jí)核心路由交換機(jī)組成。匯聚層由CISCO WS-C3560-24TS-S 路由交換機(jī)組成。接入層是由接入層樓層交換機(jī)CISCO WS-C2918-24TC-C 組成。主要網(wǎng)絡(luò)設(shè)備列表：拓?fù)浣Y(jié)

14、構(gòu)設(shè)備型號(hào)數(shù)量（臺(tái)）核心層路由交換機(jī)匯聚層路由交換機(jī)接入層樓層交換機(jī)CISCO WS-C3560-48TS-SCISCO WS-C3560-24TS-SCISCO WS-C2918-24TC-C26以行政樓中心機(jī)房為中心，下屬部門(mén)為接入點(diǎn)的星型連接方式?，F(xiàn)階段出于用戶的應(yīng)用和先進(jìn)性考慮，通過(guò)千兆光纖連接。第6頁(yè) 共37頁(yè)企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)各樓層的辦公網(wǎng)是以星型的方式千兆直接連接到各匯聚機(jī)房的匯聚交換機(jī)上后，由匯聚交換機(jī)通過(guò)千兆接到核心交換機(jī)。我們可采用千兆路由交換機(jī)與各 LAN 網(wǎng)段的交換機(jī)（Switch）連接而組成星型網(wǎng)絡(luò)，實(shí)現(xiàn)千兆核心網(wǎng)絡(luò)到各樓層，百兆到桌面，滿足各種應(yīng)用的需要。核心層交換

15、機(jī)與服務(wù)器群的相連是以千兆以太網(wǎng)的方式。以上拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)有以下特點(diǎn)：(1) 它充分利用網(wǎng)絡(luò)資源，把交換路由模塊分開(kāi)成第二層交換和第三層路由，這樣做對(duì)網(wǎng)絡(luò)的性能大有改善。(2) 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)層次清楚，易于擴(kuò)充和升級(jí)（后面有升級(jí)的拓?fù)浞桨福?，同時(shí)體現(xiàn)了開(kāi)放式的體系結(jié)構(gòu)。(3) 了網(wǎng)絡(luò)整體的可靠性，對(duì)用戶的 QoS 從網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化上得到了保證。(4) 大大減少網(wǎng)絡(luò)瓶頸和由于鏈路、路由而導(dǎo)致的故障。(5) 通過(guò)在網(wǎng)內(nèi)劃分 VLAN 的技術(shù)來(lái)確保網(wǎng)絡(luò)內(nèi)部的安全性。2.5內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)2.5.1核心層交換機(jī)的設(shè)計(jì)核心層主要功能是給下層各業(yè)務(wù)匯聚節(jié)點(diǎn)提供 IP 業(yè)務(wù)平面高速承載和交換通道，負(fù)責(zé)進(jìn)行數(shù)據(jù)的高速

16、轉(zhuǎn)發(fā)，同時(shí)核心層是局域網(wǎng)的骨干，是局域網(wǎng)互連的關(guān)鍵。對(duì)核心骨干網(wǎng)絡(luò)設(shè)備的部署應(yīng)為能夠提供高帶寬、大容量的核心路由交換設(shè)備，同時(shí)應(yīng)具備極高的可靠性，能夠保證 24 小時(shí)全天候不間斷運(yùn)行，也就必須考慮設(shè)備及鏈路的冗余性、安全性，而且核心骨干設(shè)備同時(shí)還應(yīng)擁有非常好的擴(kuò)展能力，以便隨著網(wǎng)絡(luò)的發(fā)展而發(fā)展?；趯?duì)核心層的功能及作用，根據(jù)用戶的實(shí)際需求，本方案中對(duì)網(wǎng)絡(luò)系統(tǒng)中核心層由 CISCO系列的企業(yè)級(jí)核心交換機(jī) WS-C3560-48TS-S 組成。其主要任務(wù)是提供高性能、高安全性的核心數(shù)據(jù)交換、QoS 和為接入層提供高密度的上聯(lián)端口。為整個(gè)大樓寬帶辦公網(wǎng)提供交換和路由的核心，完成各個(gè)部分?jǐn)?shù)據(jù)流的中央?yún)R

17、集和分流。同時(shí)為數(shù)據(jù)中心的服務(wù)器提供千兆高速連接。根據(jù)該企業(yè)的建筑分布及網(wǎng)絡(luò)規(guī)模，以行政樓的中心機(jī)房作為整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心節(jié)點(diǎn)。核心節(jié)點(diǎn)由 2 臺(tái)同檔次的網(wǎng)絡(luò)核心設(shè)備構(gòu)成，它們互為備份且流量負(fù)載均衡。2 臺(tái)網(wǎng)絡(luò)核心交換機(jī)作為整個(gè)網(wǎng)絡(luò)的核心層設(shè)備，為各個(gè)匯聚層和接入層交換機(jī)提供上聯(lián)。同時(shí)提供了各個(gè)服務(wù)器的可靠接入。第7頁(yè) 共37頁(yè)企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)由于 WS-C3560-48TS-S 換能力，為了充分利用資源，將WWW 服務(wù)器、 Email 服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、文件 VOD服務(wù)器、認(rèn)證的服務(wù)器（Radius ）以及網(wǎng)管設(shè)備等通過(guò)千兆直接連人核心交換機(jī)，以解決帶寬瓶頸，充分利用核心交換機(jī)的交換能

18、力。核心交換機(jī)作為信息網(wǎng)絡(luò)的核心設(shè)備，性能的優(yōu)劣直接影響到整個(gè)網(wǎng)絡(luò)運(yùn)行。在設(shè)備的選型上必須考慮到有足夠的背板帶寬，包交換能力，是否支持設(shè)備的冗余，安全性，擴(kuò)展性等各種性能。企業(yè)級(jí)核心交換機(jī)WS-C3560-48TS-S完全滿足上述的各項(xiàng)要求。企業(yè)級(jí)核心路由交換機(jī) WS-C3560-48TS-S 的性能特性及技術(shù)指標(biāo)如下： 交換機(jī)類：企業(yè)級(jí)交換機(jī) 應(yīng)用層級(jí)：三層 接口介質(zhì)：10/100 BASE-T/ 100FX 傳輸速率：10Mbps/100Mbps 端口數(shù)量：48 背板帶寬：32Gbps VLAN支持：支持 網(wǎng)管功能：網(wǎng)管功能 SNMP, CLI, 包轉(zhuǎn)發(fā)率：13.1Mpps MAC 地址：

19、12k 網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE 802.3, 802.3u, 端口結(jié)構(gòu)：非模塊化2.5.2匯聚層交換機(jī)的設(shè)計(jì)是完成網(wǎng)絡(luò)流量的安全控制機(jī)制，以使核心網(wǎng)和接入訪問(wèn)層環(huán)境隔離開(kāi)來(lái)；同時(shí)匯聚層起著承上啟下的作用，對(duì)上連接至核心層，對(duì)下將各種寬帶數(shù)據(jù)業(yè)務(wù)分配到各個(gè)接入層的業(yè)務(wù)節(jié)點(diǎn)，匯聚層位于中心機(jī)房或下聯(lián)單位的分配線間，主要用于匯聚接入路由器以及接入交換機(jī)。因此對(duì)匯聚層的交換機(jī)部署時(shí)必須考慮交換機(jī)必須具有足夠的可靠性和冗余度，防止網(wǎng)絡(luò)中部分接入層變成孤島；還必須具有高處理能力，以便完成網(wǎng)絡(luò)數(shù)據(jù)會(huì)聚、轉(zhuǎn)發(fā)處理；具有靈活、優(yōu)化的網(wǎng)絡(luò)路由處理能力，實(shí)現(xiàn)網(wǎng)絡(luò)匯聚的優(yōu)化。而且規(guī)劃匯聚層時(shí)建議匯聚層節(jié)點(diǎn)的數(shù)量和位置應(yīng)根

20、據(jù)業(yè)務(wù)和光纖資源情況來(lái)選擇；匯聚層節(jié)點(diǎn)可采用星形連接，每個(gè)匯聚層節(jié)點(diǎn)保證與兩個(gè)不同的核心層節(jié)點(diǎn)連接。第8頁(yè) 共37頁(yè)企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)根據(jù)匯聚層在整個(gè)網(wǎng)絡(luò)中的作用以及用戶的實(shí)際需求，本方案中匯聚層共設(shè)計(jì)了 3 個(gè)節(jié)點(diǎn)，即：行政樓、生產(chǎn)車間和運(yùn)輸樓（工段辦）。匯聚層網(wǎng)絡(luò)設(shè)備全部采用了 CISCO WS-C3560-24TS-S RIPV1RIPv2VRRPOSPFIP 組播、IPX路由。匯聚路由交換機(jī) CISCO WS-C3560-24TS-S的性能特性及技術(shù)指標(biāo)如下： 交換機(jī)類：企業(yè)級(jí)交換機(jī) 應(yīng)用層級(jí)：三層 接口介質(zhì)：10/100 BASE-T/ 100FX 傳輸速率：10Mbps/100Mb

21、ps 端口數(shù)量：24 背板帶寬：32Gbps VLAN支持：支持 網(wǎng)管功能：SNMP, CLI, Web, 管理2.5.3接入層交換機(jī)的設(shè)計(jì)接入層主要用來(lái)支撐客戶端機(jī)器對(duì)服務(wù)器的訪問(wèn)，主要是指接入路由器、交換機(jī)、終端訪問(wèn)用戶。它利用多種接入技術(shù)，迅速覆蓋至用戶節(jié)點(diǎn)，將不同對(duì)下進(jìn)行帶寬和業(yè)務(wù)分配，實(shí)現(xiàn)用戶的接入。根據(jù)我們所借鑒的項(xiàng)目設(shè)計(jì)經(jīng)驗(yàn)，匯聚層節(jié)點(diǎn)與接入層節(jié)點(diǎn)可考慮采用星形連接，每個(gè)接入層節(jié)點(diǎn)與兩個(gè)匯聚層節(jié)點(diǎn)連接。當(dāng)接入層采用其它結(jié)構(gòu)（如環(huán)行）連接到匯聚層時(shí)，建議提供兩條不同路由通道。根據(jù)接入層處在網(wǎng)絡(luò)系統(tǒng)中所起的作用以及用戶的實(shí)際需求，本方案中接入層部分由 CISCO公司的 WS-C291

22、8-24TC-C 交換機(jī)構(gòu)成。其主要功能是為該區(qū)域下屬各部門(mén)的網(wǎng)絡(luò)用戶提供大量性價(jià)比極高的 10/100 息中心的核心交換機(jī)通過(guò) 1000 兆光纖鏈路互聯(lián)為接入的用戶提供高速上聯(lián)。接入層樓層交換機(jī) CISCO WS-C2918-24TC-C的性能特性及技術(shù)指標(biāo)情況如下： 交換機(jī)類：快速以太網(wǎng)交換機(jī) 應(yīng)用層級(jí)：二層 傳輸速率：10Mbps/100Mbps/1000M 端口數(shù)量：24 背板帶寬：16Gbps第9頁(yè) 共37頁(yè)企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn) VLAN支持：支持 網(wǎng)管功能：Cisco IOS CLI,Web瀏 包轉(zhuǎn)發(fā)率：6.5Mpps MAC 地址：8K 網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE 802.1D,IEEE

23、802 端口結(jié)構(gòu)：非模塊化 交換方式：存儲(chǔ)轉(zhuǎn)發(fā) 產(chǎn)品內(nèi)存：64MB 傳輸模式：支持全雙工 網(wǎng)管支持：支持 模塊化插：22.5.4路由協(xié)議的設(shè)計(jì)如果網(wǎng)絡(luò)中只有一個(gè)路由器或路由交換機(jī)，不需要使用路由協(xié)議；只有當(dāng)完全可以通過(guò)靜態(tài)路由手動(dòng)地更新路由表?，F(xiàn)使用較多的路由協(xié)議，主要以下幾種：（1）RIP（Route information protocol，即路由信息協(xié)議）是基于 D-V算法（距RIP 協(xié)議的標(biāo)準(zhǔn)主要有 RFC1058（版本 1）和 RFC1723（版本 2）。（2）OSPF（Open Shortest Path First，即最短路徑優(yōu)先協(xié)議）是一種基于鏈路狀態(tài)的內(nèi)部動(dòng)態(tài)路由協(xié)議。目前

24、OSPF 的主要標(biāo)準(zhǔn)是 RFC2328（版本 2）。完整的 OSPF 功能包括支持廣播、點(diǎn)到多點(diǎn)、點(diǎn)到點(diǎn)四種接口類型，以及 MD5 驗(yàn)證、區(qū)域劃分、區(qū)域間路由聚合、虛連接、STUB 區(qū)域等特性。（3）IS-ISIS-IS（Intermediate System - Intermediate SystemISOIS-IS對(duì)應(yīng)的標(biāo)準(zhǔn)是 ISO 10589 和 。在 IGP 路由協(xié)議的選擇上，盡量不要采用擴(kuò)展性差的（）和廠家的私有路由協(xié)議（IGRP和 EIGRP），盡量采用 OSPF 或 。對(duì)于 OSPF 和 IS-IS OSPF 用于 ，IS-IS 用于 ISO 的 CLNP IP（集成 IS-I

25、S” IS-IS第10頁(yè) 37頁(yè)企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)結(jié)構(gòu)嚴(yán)謹(jǐn)，OSPF 更加靈活，OSPF 協(xié)議是基于接口的，而IS-IS 路由器只能屬于一個(gè) ，并且不支持 NBMA 網(wǎng)絡(luò)； IS-IS 占用網(wǎng)絡(luò)資源相對(duì)較少，支持網(wǎng)絡(luò)規(guī)模大于 OSPF，在網(wǎng)絡(luò)相當(dāng)龐大時(shí)能體現(xiàn)出優(yōu)勢(shì)；一個(gè) IGP 域運(yùn)行的三層交換機(jī)及路由器的數(shù)量一般不會(huì)超過(guò) 200 臺(tái)，因此從實(shí)際情況來(lái)看，運(yùn)行OSPF 和 IS-IS 對(duì) IP 城域網(wǎng)/承載網(wǎng)的建設(shè)不會(huì)有差異；對(duì)于網(wǎng)絡(luò)的穩(wěn)定性、可擴(kuò)充性，兩種協(xié)議都能很好地支持；在大型 ISP 上，IS-IS 與 OSPF 二者均獲得普遍應(yīng)用；從 MPLS 草案及現(xiàn)實(shí)運(yùn)行來(lái)看，如果要運(yùn)行 MPL

26、S 網(wǎng)絡(luò)的話，OSPF 經(jīng)常被選用做內(nèi)部 IS-IS MPLS 草案中認(rèn)為在 MPLS 環(huán)境中運(yùn)行 OSPF 更合適；使用 MPLS TE 的時(shí)候，采用 IS-IS 擴(kuò)展的較多；從目前很多廠商的設(shè)備來(lái)看，存在這樣一個(gè)問(wèn)題，不少?gòu)S商的中低端路由器及三層交換機(jī)不支持 ，從這個(gè)角度講 OSPF 比 IS-IS 有優(yōu)勢(shì)，所有的主流路由器及三層交換機(jī)都支持 OSPF。OSPF 路由協(xié)議相應(yīng)的配置策略為： AS 內(nèi)部節(jié)點(diǎn)均運(yùn)行 OSPFv2 路由協(xié)議； 如果與別的 IP網(wǎng)絡(luò)互通，建議配置 EBGP 路由協(xié)議，并且配置 OSPF引入 BGP路由； 為減少處理開(kāi)銷和網(wǎng)絡(luò)開(kāi)銷，可將網(wǎng)絡(luò)的主干部分劃分為OSPF

27、主干區(qū)域（區(qū)域號(hào)為 0）， 在邊緣的支局子網(wǎng)配置成為 OSPF 子區(qū)域，從而分散路由處理，減少網(wǎng)絡(luò)帶寬占用。通過(guò)配置區(qū)域，使OSPF 可以分層次 OSPF 協(xié)議必須考慮到骨干區(qū)域的連通性，即使某條鏈路斷掉后能保證骨干區(qū)域不會(huì)分離；另外，還需要考慮網(wǎng)絡(luò)邊緣層設(shè)備的動(dòng)蕩對(duì)于核心網(wǎng)絡(luò)的影響。對(duì)于本次方案，根據(jù)初期階段實(shí)現(xiàn)目標(biāo)：實(shí)現(xiàn)信息點(diǎn)最優(yōu)連通，建議采用OSPF 路由協(xié)議使路由全網(wǎng)可達(dá)。具體設(shè)計(jì)如下： OSPF 路由協(xié)議，并運(yùn)行在 AREAR 0 區(qū)域上。核心交換機(jī)為三層交換機(jī)，與防火墻連接通過(guò)采用 IP 靜態(tài)路由的方式，防火墻通過(guò)配置缺省路由使網(wǎng)絡(luò)用戶對(duì) Internet進(jìn)行訪問(wèn)。2.5.5 IP

28、地址的設(shè)計(jì) IP地址規(guī)劃和分配原則（1）根據(jù)目前網(wǎng)絡(luò)結(jié)構(gòu)和以后擴(kuò)展，遵循以下原則進(jìn)行 IP 地址分配。唯一性：IP 地址必須唯一，一個(gè) IP 地址對(duì)應(yīng)一臺(tái)數(shù)據(jù)通訊設(shè)備；第頁(yè) 共37頁(yè)企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn) 由器尋徑效率； 它部分； 的 TCP/IP 協(xié)議族； 可匯聚性：方便路由匯總，縮減路由表?xiàng)l目，提高路由器處理效率。 可擴(kuò)展性：既要考慮到 IP 地址的使用現(xiàn)狀，又要考慮到未來(lái)信息網(wǎng)絡(luò)的發(fā)展，為各單位分配合理的地址空間，在網(wǎng)絡(luò)上盡可能少地做 NAT，減少網(wǎng)絡(luò)設(shè)備 CPU 處理負(fù)擔(dān)和加快網(wǎng)絡(luò)訪問(wèn)速度。（2）業(yè)務(wù)地址的劃分可以按照兩個(gè)原則來(lái)分配： 的情況，管理方便。 這種方案適合業(yè)務(wù)之間互訪的控制。

29、網(wǎng)絡(luò)地址分配IP 地址規(guī)劃和分配包括以下內(nèi)容：（1）設(shè)備及互連鏈路地址規(guī)劃與分配（2）業(yè)務(wù)地址規(guī)劃與分配（3）服務(wù)器地址規(guī)劃與分配根據(jù)以上 IP 地址的劃分原則，本方案建議 IP 的設(shè)計(jì)如下：A段（行政樓、門(mén)衛(wèi)）：55/22B段（生產(chǎn)車間、產(chǎn)區(qū)辦）：55/23C 段（運(yùn)輸樓、工段辦）： 1/272.5.6 VLAN的設(shè)計(jì) VLAN的劃分的作用及原則（Virtual Local Area Network）是虛擬局域網(wǎng)的英文縮寫(xiě)，它最簡(jiǎn)明的描述就是可以實(shí)現(xiàn)將連接在同一個(gè)物理網(wǎng)絡(luò)上面的主機(jī)分組，使它們看起來(lái)就象連接在不同的網(wǎng)絡(luò)上一樣。我們可以通過(guò) VLAN 為網(wǎng)絡(luò)分段，各個(gè)網(wǎng)段可以共用同一套網(wǎng)絡(luò)設(shè)備

30、，節(jié)約了網(wǎng)絡(luò)硬件的開(kāi)銷，同時(shí)在遷移中所需的工作第12頁(yè) 37頁(yè)企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)量也大幅度降低了，從而降低了連網(wǎng)成本。在用戶的企業(yè)局域網(wǎng)系統(tǒng)中，我們建議基于 IEEE 802.1Q 標(biāo)準(zhǔn)實(shí)現(xiàn)，在 VLAN 設(shè)計(jì)中，我們使用 VLAN 達(dá)到兩個(gè)目的：第一，不同業(yè)務(wù)部門(mén)之間的隔離和通信控制；第二，廣播范圍抑制。 VLAN 劃分我們建議根據(jù)各個(gè)辦公室的地理位置來(lái)劃分 ，如果同一棟樓內(nèi)包含很多部門(mén)，而這些部門(mén)的職能和工作內(nèi)容又有很大的區(qū)別，我們就可以在樓內(nèi)按照部門(mén)來(lái)劃分 VLAN。 A 分布的很散，在很多交換機(jī)上都預(yù)留了部門(mén) A 的信息點(diǎn)，我們則可以按照交換機(jī)的位置來(lái)設(shè)置 VLAN，這樣，部門(mén) A就可

31、能對(duì)應(yīng)多個(gè) ，如果部門(mén) A所對(duì)應(yīng)的 VLAN VLAN A 全部劃分到一個(gè) VLAN VLAN 的交換機(jī)上，這樣如果有廣播包時(shí)，這些廣播包必然會(huì)在網(wǎng)絡(luò)的主干上傳輸，然后到達(dá)相應(yīng)的交換機(jī)上，也就占用了網(wǎng)絡(luò)主干的帶寬，容易造成其他業(yè)務(wù)的時(shí)延。為了減少傳輸沖突，提高系統(tǒng)整體性能和網(wǎng)絡(luò)處理能力，另外，還考慮到網(wǎng)絡(luò)良好的管理性，易于維護(hù)和安全策略的實(shí)施，針對(duì)用戶網(wǎng)絡(luò)系統(tǒng)的實(shí)際情況，可以把功能（應(yīng)用）相近的設(shè)備群組劃分到同一 ，不同部門(mén)的設(shè)備劃分到不同 VLAN 制未授權(quán)的用戶訪問(wèn)重要的服務(wù)器和數(shù)據(jù)庫(kù)。VLAN劃分舉例：VLANVlan10Vlan11Vlan12用途財(cái)務(wù)部市場(chǎng)銷售部管理部命名規(guī)范表FIN

32、ANCIALMARKETMANAGING第13頁(yè) 37頁(yè)企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn) VLAN 之間安全控制 VLAN之間的訪問(wèn)都需要通過(guò)三層核心交換機(jī)進(jìn)行，因此可以通過(guò)ACL（訪問(wèn)控制列 VLAN VLAN段訪問(wèn)低優(yōu)先級(jí)的 VLAN段，而低優(yōu)先級(jí)的 VLAN 段不能訪問(wèn)或有限的訪問(wèn)高優(yōu)先級(jí)VLAN段。2.5.7網(wǎng)管系統(tǒng)的設(shè)計(jì)網(wǎng)絡(luò)管理系統(tǒng)時(shí)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)視、控制和維護(hù)管理，以提高網(wǎng)絡(luò)的有效性、利用率、安全性和可靠性。網(wǎng)絡(luò)管理系統(tǒng)由網(wǎng)管中心、網(wǎng)管單元、管理信息庫(kù)和網(wǎng)絡(luò)管理協(xié)議四部分組成。網(wǎng)管中心是網(wǎng)管人員和管理信息系統(tǒng)間的接口，它將網(wǎng)管人員的命令轉(zhuǎn)換為對(duì)實(shí)際網(wǎng)元的監(jiān)視和控制。網(wǎng)管單元在每個(gè)節(jié)點(diǎn)執(zhí)行各項(xiàng)網(wǎng)

33、絡(luò)管理任務(wù)，采集網(wǎng)絡(luò)資源信息，存儲(chǔ)本地相關(guān)數(shù)據(jù)并響應(yīng)網(wǎng)管人員命令。管理信息庫(kù)(MIB)存放各種網(wǎng)絡(luò)管理信息的特征參數(shù)和邏輯結(jié)構(gòu)。網(wǎng)絡(luò)管理協(xié)議按規(guī)約執(zhí)行網(wǎng)管人員與網(wǎng)管單元和管理信息庫(kù)之間的通信。該企業(yè)網(wǎng)絡(luò)系統(tǒng)設(shè)一個(gè)網(wǎng)管中心，該中心設(shè)在行政樓機(jī)房，負(fù)責(zé)對(duì)全網(wǎng)進(jìn)行管理。2.6外部網(wǎng)絡(luò)設(shè)計(jì)該企業(yè)網(wǎng)絡(luò)用戶為對(duì) Internet訪問(wèn) Internet的用戶與不能訪問(wèn) Internet的用戶進(jìn)行完全的物理隔離，則需要另建立一套網(wǎng)絡(luò)系統(tǒng)(簡(jiǎn)稱為外網(wǎng)。網(wǎng)絡(luò)用戶(即外網(wǎng)用戶) 通過(guò)外網(wǎng)布線系統(tǒng)接 IPNAT即外網(wǎng)用戶的私有 IP 地址轉(zhuǎn)換成 Internet公網(wǎng) IP 地址，通過(guò)光電轉(zhuǎn)換器與電信相連的方式訪問(wèn)，以

34、使該企業(yè)網(wǎng)絡(luò)內(nèi)外網(wǎng)互相獨(dú)立，達(dá)到完全的物理隔離的目的。與外部網(wǎng)絡(luò)互連的設(shè)備是帶防火墻的路由器，根據(jù)需要選擇企業(yè)級(jí)路由器D-Link DI-7500的性能特性及技術(shù)指標(biāo)情況如下： 端口結(jié)構(gòu)：非模塊化 廣域網(wǎng)接：2 個(gè) 局域網(wǎng)接：4 個(gè)第14頁(yè) 37頁(yè)企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn) 傳輸速率：10/100/1000Mbps 網(wǎng)絡(luò)管理：GUI/WEB 管理 用戶數(shù)量：800 臺(tái) 防火墻：內(nèi)置防火墻 Qos 支持：支持 VPN 支持：支持 處理器：64 位全千兆網(wǎng)絡(luò)芯片 網(wǎng)絡(luò)安全：支持網(wǎng)站過(guò)濾 上網(wǎng)限制 狀態(tài)指示：，速度，電源， 電源功率：最大 25W 環(huán)境標(biāo)準(zhǔn)：工作溫度：0-40 工作 其它性能：、光纖、以太網(wǎng)

35、、CA2.7綜合布線對(duì)于大型局域網(wǎng)，連接公司院內(nèi)各個(gè)建筑物的網(wǎng)絡(luò)通常選擇光纖，統(tǒng)一規(guī)劃，冗余設(shè)計(jì)，使用線纜保護(hù)管道并且埋入地下。建筑物內(nèi)又分為連接各個(gè)樓層的垂直布線子系統(tǒng)和連接同一樓層各個(gè)房間入網(wǎng)計(jì)算機(jī)的水平布線子系統(tǒng)。如果設(shè)有信息中心網(wǎng)絡(luò)機(jī)房，還應(yīng)該考慮機(jī)房的特殊布線需求。在局域網(wǎng)布線時(shí)，應(yīng)該充分考慮到將來(lái)網(wǎng)絡(luò)擴(kuò)展可能需要的最大接入節(jié)點(diǎn)數(shù)量、接入位置的分布和用戶使用的方便性。若整座建筑物接入局域網(wǎng)的節(jié)點(diǎn)計(jì)算機(jī)不多，可以采用從一個(gè)接入層節(jié)點(diǎn)直接連接所有入網(wǎng)節(jié)點(diǎn)的設(shè)計(jì)。若建筑物的每個(gè)樓層都分布有大量接入節(jié)點(diǎn)，就需要設(shè)計(jì)垂直布線子系統(tǒng)和水平布線子系統(tǒng)，并水平布線子系統(tǒng)通常采用非屏蔽雙絞線或屏蔽雙絞

36、線，如何選擇線纜類型和帶寬根據(jù)應(yīng)用需求決定。連接各個(gè)樓層交換機(jī)的垂直布線子系統(tǒng)通常采用光纖。企業(yè)綜合布線系統(tǒng)由工作區(qū)子系統(tǒng)、水平布線子系統(tǒng)、垂直干線子系統(tǒng)、管理子系統(tǒng)和建筑群子系統(tǒng)組成。它的設(shè)計(jì)原則如下：（1）開(kāi)放性嚴(yán)格按照 EIA/TIA 568等工業(yè)及建筑布線標(biāo)準(zhǔn)和中國(guó)建筑電氣設(shè)計(jì)/工業(yè)企業(yè)通信設(shè)計(jì)規(guī)范。（2）實(shí)用性第15頁(yè) 37頁(yè)企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)適應(yīng)企業(yè)現(xiàn)在和將來(lái)發(fā)展的需要，具備數(shù)據(jù)通信、語(yǔ)音通信和圖像通信的功能。（3）靈活性布線系統(tǒng)中任一信息點(diǎn)能夠很方便地與多種類型設(shè)備（如電話、計(jì)算機(jī)、檢測(cè)器件以及傳真等）進(jìn)行連接。（4）可擴(kuò)展性布線系統(tǒng)具有較強(qiáng)的可擴(kuò)展性，在將來(lái)需要時(shí)可以很容易地將

37、所擴(kuò)充的設(shè)備連接到系統(tǒng)中來(lái)，實(shí)現(xiàn)各種網(wǎng)絡(luò)服務(wù)與應(yīng)用。（5）經(jīng)濟(jì)性綜合布線系統(tǒng)是一種既具有良好的初期投資特性，即在今后若干年中不增加新的投資情況下仍能保持建筑物的先進(jìn)性，又是具有極高的性能價(jià)格比的高科技產(chǎn)品。通常情況下，綜合布線系統(tǒng)的使用壽命為 15 年。（6）可靠性綜合布線系統(tǒng)采用高品質(zhì)的材料和組合壓接的方式構(gòu)成一套高標(biāo)準(zhǔn)的信息通道。每條通道都采用專用儀器校核線路衰減、串音、信噪比，以保證其電氣性能不會(huì)造成交叉干擾。所以，北方公司應(yīng)采用綜合布線系統(tǒng)，才能更好的發(fā)揮千兆局域網(wǎng)的威力。第16頁(yè) 37頁(yè)企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)第三章 網(wǎng)絡(luò)系統(tǒng)安全性設(shè)計(jì)分析網(wǎng)絡(luò)安全是一種策略及管理，而不僅僅是某一種產(chǎn)品，是

38、一個(gè)系統(tǒng)工程，它包括了物理層、網(wǎng)絡(luò)層、應(yīng)用層等一系列安全措施和策略。從外在上安全包括五個(gè)基本要素：機(jī)密性、完整性、可用性、可控性與可審查性。 機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。 被篡改。 的資源而阻礙授權(quán)者的工作。 可控性：可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。 可審查性：對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段。3.1網(wǎng)絡(luò)安全設(shè)計(jì)通常認(rèn)為，安全是三分技術(shù)，七分管理，因此我們建議該企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)措施：3.1.1人員角色劃分要對(duì)用戶網(wǎng)絡(luò)進(jìn)行有效的安全管理，必須對(duì)系統(tǒng)的使用人員和管理人員的不同角色進(jìn)行清晰的劃分，不同的角色擁有不同的權(quán)限和職責(zé)，互相制約，共同保障整個(gè)系統(tǒng)的安全性

39、。對(duì)于用戶網(wǎng)絡(luò)系統(tǒng)涉及的各類人員，我們建議劃分如下角色：(1) 決策專家。(2) 安全管理員。(3) 審計(jì)員。(4) 系統(tǒng)管理員。3.1.2路由認(rèn)證和保護(hù)路由認(rèn)證（Routing ），就是運(yùn)行于不同設(shè)備的相同的動(dòng)態(tài)路由協(xié)議之間，對(duì)相互傳遞的路由刷新報(bào)文進(jìn)行的確認(rèn)，以便使得設(shè)備能夠接受第17頁(yè) 37頁(yè)企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)真正而安全的路由刷新報(bào)文。任何運(yùn)行一個(gè)不支持路由認(rèn)證的路由協(xié)議，都存在著巨大的安全隱患。某由于設(shè)備無(wú)法證實(shí)這些刷新，而使得設(shè)備被欺騙，最終導(dǎo)致網(wǎng)絡(luò)的癱瘓。目前，多數(shù)路由協(xié)議支持路由認(rèn)證，并且實(shí)現(xiàn)的方式大體相同。認(rèn)證過(guò)程有基于明文的，也有基于更安全的 MD5 校驗(yàn)。MD5 傳送。路由

40、器將使用 MD5 算法產(chǎn)生一個(gè)密鑰的消息摘要。這個(gè)消息摘要將代替密鑰本身發(fā)送出去。這樣可以保證沒(méi)有人可以在密鑰傳輸?shù)倪^(guò)程中竊取到密鑰信息。使用 MD5 認(rèn)證算法的路由協(xié)議有：OSPFRIP 版本 2BGP4EIGRP3.1.3關(guān)閉 IP功能服務(wù)有些 IP 特性對(duì)局域網(wǎng)來(lái)說(shuō)是有用的，但對(duì)廣域網(wǎng)或城域網(wǎng)節(jié)點(diǎn)的設(shè)備是不適用的。如果這些特性被惡意攻擊者利用，會(huì)增加網(wǎng)絡(luò)的危險(xiǎn)，因此，網(wǎng)絡(luò)設(shè)備應(yīng)具備關(guān)閉這些 IP 功能的能力。因?yàn)?IP 源路由選項(xiàng)忽略了報(bào)文傳輸路徑中的各個(gè)設(shè)備的中間轉(zhuǎn)發(fā)過(guò)程，而不管轉(zhuǎn)發(fā)接口的工作狀態(tài)，可能被惡意攻擊者利用，刺探網(wǎng)絡(luò)結(jié)構(gòu)。 因此，設(shè)備應(yīng)能關(guān)閉 IP 源路由選項(xiàng)功能。設(shè)備應(yīng)能

41、關(guān)閉 ICMP 重定向報(bào)文的轉(zhuǎn)發(fā)。設(shè)備應(yīng)能關(guān)閉定向廣播報(bào)文的轉(zhuǎn)發(fā)。缺省應(yīng)為關(guān)閉狀態(tài)。3.1.4用戶的安全防護(hù)用戶驗(yàn)證是實(shí)現(xiàn)用戶安全防護(hù)的基礎(chǔ)功能。只有對(duì)用戶進(jìn)行識(shí)別和區(qū)分，才能有效的對(duì)其進(jìn)行保護(hù)。經(jīng)過(guò)驗(yàn)證的用戶可以享受服務(wù)，而未經(jīng)驗(yàn)證的用戶則被拒絕。用戶驗(yàn)證一般都與用戶流量參數(shù)的配置結(jié)合在一起。用戶的流量合同從業(yè)務(wù)服務(wù)器下載到業(yè)務(wù)接入節(jié)點(diǎn)，作為對(duì)用戶提供服務(wù)的依據(jù)。用戶驗(yàn)證的手段包括：PPP WEB 驗(yàn)證和端口驗(yàn)證、以及 802.1x 的驗(yàn)證。第18頁(yè) 37頁(yè)企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)3.2網(wǎng)絡(luò)的 VLAN的安全管理設(shè)計(jì)分析網(wǎng)絡(luò)解決方案中的交換機(jī)可以劃分基于端口的 ACL 的安全特性允許對(duì)所有訪問(wèn)進(jìn)行

42、鑒權(quán)，不只是對(duì)交換機(jī)的管理和配置訪問(wèn)，還包括通過(guò)這些交換機(jī)對(duì)基礎(chǔ)設(shè)施的訪問(wèn)。這個(gè)軟件特性使網(wǎng)絡(luò)訪問(wèn)僅限于授權(quán)的和委托的用戶，同時(shí)它還全程跟蹤網(wǎng)絡(luò)連接。核心及匯聚交換機(jī)通過(guò)數(shù)據(jù)包頭中的數(shù)據(jù)鏈路層(MAC)、網(wǎng)絡(luò)層(IP、IPX)和傳輸層(TCPUDPSock)的信息進(jìn)行訪問(wèn)控制，可以充分的保證各個(gè)VLAN之間的安全性，而且可以防止不必要和不符合訪問(wèn)策略的網(wǎng)絡(luò)訪問(wèn)。對(duì)整個(gè)網(wǎng)絡(luò)運(yùn)作性能、故障、問(wèn)題進(jìn)行分析，定時(shí)產(chǎn)生報(bào)告。訪問(wèn)控制從第二層端口MAC RADIUS、TACACS+驗(yàn)證。3.3 Internet安全訪問(wèn)設(shè)計(jì)分析為了保證用戶上聯(lián) Internet案在 Internet的出口放置防火墻。通過(guò)采

43、用防火墻的安全技術(shù)屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，同時(shí)利用訪問(wèn)控制列表對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，根據(jù)需要封閉存在安全漏洞所用的協(xié)議和端口，保證內(nèi)部網(wǎng)絡(luò)的安全。第19頁(yè) 37頁(yè)企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)4.3.1項(xiàng)目總體進(jìn)度計(jì)劃企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)4.3.3項(xiàng)目進(jìn)度詳細(xì)說(shuō)明(1) 業(yè)務(wù)需求。(2) 用戶需求。(3) 應(yīng)用需求。(4) 計(jì)算機(jī)平臺(tái)需求。(5) 網(wǎng)絡(luò)通信需求。企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn) 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)的分析在這一階段，應(yīng)該給出一份正式的通信規(guī)范說(shuō)明文檔，作為下一階段的輸入。網(wǎng)絡(luò)分析階段應(yīng)該提供的通信規(guī)范說(shuō)明文檔包含下列內(nèi)容：(1) 現(xiàn)有網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)圖。(2) 現(xiàn)有網(wǎng)絡(luò)的容量，以及新網(wǎng)絡(luò)所需的通信量和通信模式。(3) 詳細(xì)的統(tǒng)計(jì)數(shù)據(jù)，直接反應(yīng)現(xiàn)有網(wǎng)絡(luò)性能的測(cè)試量。(4) Int