大型企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計

大型企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計摘要迅速發(fā)展的Internet正在對全世界的信息產(chǎn)業(yè)帶來巨大的變革和深遠(yuǎn)的影響。市場的全球化競爭已成為趨勢。對于大型企業(yè)來說,在調(diào)整發(fā)展戰(zhàn)略時，必須考慮到市場的全球競爭戰(zhàn)略，而這一切也將以信息化平臺為基礎(chǔ)，借助計算機(jī)網(wǎng)絡(luò)原理及網(wǎng)絡(luò)規(guī)劃技術(shù)，以網(wǎng)絡(luò)通暢為保證。企業(yè)內(nèi)部網(wǎng)（Intｒanet）是國際互連網(wǎng)（Iｎterneｔ)技術(shù)在企業(yè)內(nèi)部或封閉的用戶群內(nèi)的應(yīng)用。Ｉntrａnｅt是使用Ｉnternｅt技術(shù),特別是TCP/IＰ協(xié)議而建成的企業(yè)內(nèi)部網(wǎng)絡(luò)。這種技術(shù)允許不同計算機(jī)平臺進(jìn)行互通,且不用考慮其位置。也就是所說的用戶可以對任何一臺進(jìn)行訪問或從任何一臺計算機(jī)進(jìn)行訪問。本文從企業(yè)網(wǎng)絡(luò)需求開始分析，根據(jù)現(xiàn)階段ｃｉsco公司主流網(wǎng)絡(luò)設(shè)備進(jìn)行選材,規(guī)劃最適用于目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，建設(shè)合理的網(wǎng)絡(luò)設(shè)計方案。本課題實施部分由GNS3模擬器來搭建網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，利用ciscｏ設(shè)備操作系統(tǒng)ｕnzip-ｃ2691-advseｃuｒiｔyｋ9-ｍz．1２４－11．T2作為拓?fù)鋬?nèi)所有設(shè)備核心ＩOS，然后用SecureCRT進(jìn)行路由器交換機(jī)的相關(guān)配置，并測試其結(jié)果最終驗證網(wǎng)絡(luò)的規(guī)劃與設(shè)計符合大型企業(yè)的需求。關(guān)鍵詞：企業(yè)網(wǎng)絡(luò),拓?fù)浣Y(jié)構(gòu),冗余,路由,交換LａrgeEnterpriseNetworkPlannｉngaｎｄDesignAｂstractTｈerapiddｅvｅlopmenｔoftheIntｅrnｅtｉsalloverthewｏrldinｆormａt(yī)ioninｄｕstryofenoｒmouscｈaｎｇeandfａr－reａchingcｏｎsequences.Marketcomｐｅｔitionhaｓbｅｃometｈｅtreｎdofglobalizaｔｉｏn.Ｆorlaｒgｅｅｎteｒpriseｓ,inadjustｉｎgｔhｅdeveloｐｍentstｒａt(yī)eｇy,mｕsｔｔakeintoaccountthemarket＇sgｌobalｃompetitivｅｎeｓsｓtrategy,andaｌlthisinｆormatiｏｎplａｔfｏrmwillａlｓｏbebasedontｈeｐｒincipｌeoftｈeuseofｃoｍworkｓａｎdnetworkplanningteｃhnolｏgytｏｔhenｅtwｏrｋinordertoｅnsurepaｔency.Iｎtraneｔisanintｅｒnａt(yī)ionalInterneｔtｅｃｈnoloｇｙinｔheenｔerｐｒｉseorwithiｎａｃｌoｓedusergrｏupapplｉｃａｔｉons.InｔraｎetistheuseofInternettechnoｌogies，espｅciallyＴCP/IPpｒotｏcoｌａndtheｃｏmpletｉonoｆtheentｅｒpriseiｎternaｌnｅtwork.Thistecｈnologyallowsintｅｒｏperaｂiｌiｔyoｆdｉfｆerentcｏmputerｐlａt(yī)ｆoｒｍs，aｎdｄonothaｖetoconsideritsｐoｓitｉon.Thａt(yī)ｉswhａｔtｈeusercanvisｉtａnｙorfromanycompuｔeｒaccess.Fromｔhestarttheｗhoｌeenterprisecｌassnetworkneeｄsａｎalｙsｉｓ,bａsｅdonthemainsｔrｅａmstagｅciｓconｅtwoｒkequｉpmenｔcｏmpaｎyseｌectioｎ,ｗiththegoaｌtoｂuilｄtｈeｍostsuitａblenetworktopｏlｏgy，desiｇｎedwｉthnetwoｒkｔechnologｙ．AｓpaｒtｏｆthisｉmplemeｎtatｉontｏbuiｌｄｔheｓｉmulatoｒGNS３ｎetwｏrｋｔopｏlogy,theuseofciscodeｖiceopｅｒaｔingｓyｓｔemｓｕnｚｉｐ－ｃ２691-aｄｖsecuｒiｔyｋ9-mｚ．124－１１.T２foｒallｅquipmｅntwitｈｉｎthｅcoretｏｐologyＩOS,rｏuｔersandswitcｈeｓusiｎgSecuｒeCＲＴｆorthecｏnfiguratｉon，andviewtheexperｉmｅｎtalresultsｔｏverifythattｈenｅｔwoｒkmeetｓbusiｎessneeds.Ｋｅｙwords:Enｔerpｒiseｎeｔworｋs,Ｔopoｌｏgy,Reｄunｄaｎｃy,Routiｎｇ,Ｓｗｉtcｈinｇ目錄TOC\ｏ"1-3"＼h\z\uＨＹＰＥＲLINＫ＼l＂_Toc29４1６52０６"第1章緒論?PAGEＲEF_Ｔｏc29416５2０６\h１HYＰＥＲLINK1.1研究背景 PAGEＲEＦ_Toc29416５207\ｈ1ＨＹPＥRＬIＮK2.２關(guān)鍵技術(shù)研究 PAGＥREＦ＿Ｔoｃ2９４1652１1\h3ＨＹPＥRLINK＼l"_Ｔoc2941６5212"2.２.1路由技術(shù) PAGERＥF_Toｃ2９41６5212＼h3ＨYＰERLINK\ｌ"_Toc2９４16５213"2.２.２交換技術(shù) PAGEREＦ_Toc29416５２13\h４ＨYPERLＩNK\l"_Toc２9４16５214"2.2.３遠(yuǎn)程訪問技術(shù)?PAGEＲEF_Ｔoｃ294165214\h4HYＰEＲLINK2.2.5ＤＨCP?PＡGERＥF_Tｏｃ２9４１65２16＼h５HYPＥRLＩNK2.2.6GRE PAGERＥＦ＿Ｔoc2941６5217\h5ＨYPERＬIＮK2.２.8PVST?ＰAＧEREＦ_Toｃ２9416521９\h6HYPERLＩＮK＼ｌ"＿Ｔoc29４１6522０"2.2.9ＨSRP ＰAGEREＦ＿Toc2941652２0＼h7HYＰERLＩＮＫ\ｌ"＿Ｔoc294165221"2.2.1０AAA認(rèn)證 PAGEREF_Ｔoc２94165221\ｈ7ＨYPERLIＮＫ＼ｌ"_Ｔoc２94165222＂第3章大型企業(yè)網(wǎng)絡(luò)需求分析 PAGEREＦ_Ｔoc2941652２2\h9ＨYPＥRLＩNK\l＂_Ｔoc２941６５223"3.1案例分析 ＰAGEREF_Ｔｏｃ29４165223\h9HYPEＲＬINＫ＼ｌ"_Toc２94165２24＂3.2大型企業(yè)網(wǎng)絡(luò)分析 PＡＧEＲEF_Ｔｏc29416５２２4\h11HYPEＲLINK\l＂_Toｃ294１6522５"3.2.１寬帶性能需求 PAGERＥＦ_Toc２9４1６52２5\h１1HＹPERＬINK3.２.２穩(wěn)定可靠需求?PAＧEＲEF_Tｏc２9４165２26\h11HＹＰＥRLＩNK3.２.3服務(wù)質(zhì)量需求?PAGEＲEＦ_Toc294１65２27＼h１2ＨYPERＬINK＼l"_Toc２9416５228"3.２.4網(wǎng)絡(luò)安全需求?ＰAGＥREF_Toc294165228＼ｈ12HＹPERＬＩNK＼ｌ＂＿Toｃ２9416522９"３.2.４應(yīng)用服務(wù)需求?PAGERＥF_Toc29４16５２２9\h１23.３本課題系統(tǒng)需求分析?ＰAＧEREF_Toｃ294165２3０\h1３第４章網(wǎng)絡(luò)系統(tǒng)實現(xiàn)?PＡGＥREF＿Toｃ294１６５231\h14HYPERLＩNＫ＼l＂＿Ｔoｃ294１６52３２"4.1大型企業(yè)網(wǎng)絡(luò)拓?fù)鋱D?PＡGEREF_Ｔoｃ29４１6５２32\h1４HＹPＥＲＬＩＮK\ｌ＂_Toc2９416523３"４.2VLAＮ及IＰ地址的規(guī)劃 PAＧERＥＦ_Tｏc294165２３3\h14HYＰERLIＮK4.３關(guān)鍵網(wǎng)絡(luò)設(shè)備及數(shù)量?PAGERＥＦ_Ｔｏc2941６523４\h15HYPERＬINK＼l＂_Toc294165235＂4.4關(guān)鍵網(wǎng)絡(luò)設(shè)備介紹?PAGEREF＿Ｔoｃ29４16５235\h１6HYＰEＲLINK\ｌ"_Ｔoｃ2941６５236"4.5網(wǎng)絡(luò)設(shè)備配置?PAGERＥＦ_Toc２94１6５2３6\h18HＹPERLINK\ｌ＂_Toｃ29４165237"４.5.1基礎(chǔ)配置?PＡGEＲＥF_Toc2941６523７\ｈ1８HYPERLIＮK\l＂_Toｃ2941６5238"4.5.２使用VTＰ PAＧＥREF＿Toｃ2９4165238\h１9HYPＥRＬINK\l＂_Ｔoc29416523９＂4.5．3劃分ＶＬAN?ＰAGEＲＥF_Toc294１６５239\h２1HYＰＥRＬＩNK\l＂_Ｔoc294１65２40"4.5.4交換鏈路封裝 PAＧEREF_Ｔoc294１652４0＼ｈ22HYPERＬINK4．5.６ＰVSＴ的三個FAST PAGERＥF_Toc２9４1６5242\h2３HYＰERＬＩNK\ｌ＂_Toc2９41６5243"4.5.7ＤHＣP PＡＧEＲEＦ_Toc２94165243\h24HYPERLINK＼l"_Toc29４１６5244"4．5.８HSRP PAＧEREF_Toc２94165244\h26HYPERＬINK＼l＂_Toc2９４１６5２45＂4.5.9根防護(hù) PAＧEREF_Toc294１6５２4５\h27HYPERＬIＮＫ4.５.1０路由協(xié)議 PＡＧEREＦ＿Toc2９4165246＼h2７HYＰEＲLINＫ4.５．11ＧRＥ-ＶPＮ?PAＧERＥF_Toc294１6５2４7\h2８HYPERＬＩNＫ\ｌ"_Ｔｏc294１65２48"4.5.12ＡＡA服務(wù)器?PAGＥＲEF_Toc29４165２48\h31HYPERLＩNK4.５.1３PBR20M專線?PAＧEREＦ_Tｏc29４1652４9\ｈ31HYPＥRLINK４.5.14網(wǎng)管控制 １65250\h３2HYPEＲLIＮK\ｌ＂_Toc２9４16５251"４．５.15其他配置 PAGEＲＥＦ_Ｔoｃ29416525１\h33HYPERLIＮＫ\ｌ＂_Ｔoｃ2９41652５2"4．6施工管理 ＰAＧEREF_Tｏｃ294１6５２5２＼h34HＹPＥRLＩＮK4．6.1施工前準(zhǔn)備 PＡGEREＦ_Toc２9416５2５３＼ｈ３4HYＰＥＲＬINK\ｌ"_Toc２9４1６5254"4.6.２設(shè)備及材料 PAGEREF＿Ｔoc2９41652５４\h34ＨＹＰERLINK4．6．3施工過程管理 PAＧＥREF_Tｏc2９４１６５255\h34HYPERLINK\l＂＿Toc２9４165256"４.6.４施工完成后質(zhì)量的檢查和驗收?ＰAGＥREF_Toc294165２56＼ｈ34HYPEＲLINK\l＂_Toc２９４165257"４.6.５施工步驟 PＡGＥREF_Tｏc2９4１6525７\h34HYＰＥRLINＫ\ｌ"＿Ｔｏc２９4165２５８"第5章網(wǎng)絡(luò)效果驗證 PAGＥREF＿Ｔoc29416525８\h36HYPERＬIＮK\ｌ"_Toc294165259"５.1關(guān)鍵三層設(shè)備路由表 ＰＡGEREF＿Toc２９416525９\h36HYPＥRＬINK＼l"_Toc2941６526０"5.1.1接入路由器Ｒ1路由表?PＡＧEＲEF_Ｔoc2９416526０\h36HＹPEＲLINK\l＂_Toc29４１6５261＂５．1.2核心層交換機(jī)HX１路由表?ＰAGERＥＦ_Ｔoｃ29４1652６１\ｈ3７HYPＥRLIＮＫ\ｌ＂＿Toc294165262"５.1.３匯聚層交換機(jī)FB1路由表 PＡGEＲEF_Tｏｃ2９41６５262\h３8HYＰERLＩNK5.２網(wǎng)絡(luò)連通性驗證?PAＧEＲEF_Toc29416５263\h３9HYPERLＩNK\l"_Ｔoｃ２9416５２6４"５．2.1本部接入層交換機(jī)SW1訪問服務(wù)器 PＡGEREF_Tｏｃ２94165264\ｈ39HＹPＥRLＩNK\l＂＿Toc２9416526５"５.2.2外地分公司R4訪問服務(wù)器?PＡGＥREF_Toc2941６526５\h39HYＰERLIＮK\l＂_Toc29416５266"5.2.3外地分公司ＳW10訪問本部接入交換機(jī)?PAＧEREF_Tｏc29416526６\h39HYPEＲLINK＼ｌ"_Ｔoｃ2９４１652６7"5.3VPN效果驗證 PAGEREF＿Toc2９4１６52６７\ｈ４0HYＰERＬIＮＫ\l＂_Toc2９4165２68＂第６章結(jié)束語 PAＧＥREF＿Tｏｃ２９4１65２６8\h41HYPERLINK＼l"＿Ｔoc２9416５2６9"致謝 PＡGEREＦ_Toc29４1652６9＼ｈ42HYPＥRLＩNK\l＂_Toc２941６5270"參考文獻(xiàn) PAGEＲEＦ_Ｔoc２941６５2７0\ｈ４3HYPERLＩＮＫ\l＂_Toc29４1６5271＂附錄?PＡGEREF_Ｔoc2９4１652７1\h４4第1章緒論1.1研究背景今天，迅速發(fā)展的Inｔernｅt正在對全世界的信息產(chǎn)業(yè)帶來巨大的變革和深遠(yuǎn)的影響。市場的全球化競爭已成為趨勢。2１世紀(jì)的中國正在向市場多元化、全球化的方向發(fā)展。對于大型企業(yè)來說，在調(diào)整發(fā)展戰(zhàn)略時,必須考慮到市場的全球競爭戰(zhàn)略,而這一切也將以信息化平臺為基礎(chǔ),借助計算機(jī)網(wǎng)絡(luò)原理及網(wǎng)絡(luò)規(guī)劃技術(shù)，以網(wǎng)絡(luò)通暢為保證。國內(nèi)越來越多的企業(yè)也已經(jīng)或正在考慮使用Ｉntｅrnｅｔ/Iｎｔrａnet技術(shù),以建設(shè)企業(yè)規(guī)劃化的信息處理系統(tǒng)。因為現(xiàn)代企業(yè)的信息大多都來自于互連網(wǎng),通過網(wǎng)絡(luò),企業(yè)可以更快速的接收到來自全球的市場信息；通過Inｔeｒnet與外部世界交換信息,企業(yè)規(guī)劃者可以更快地對企業(yè)作出正確的宏觀調(diào)控與決策,以適應(yīng)市場趨勢。企業(yè)與全世界聯(lián)系起來,極大地提高了信息收集的能力和效率。隨著Iｎｔranet技術(shù)的不斷發(fā)展,計算機(jī)已經(jīng)逐漸應(yīng)用到企業(yè)中的各個關(guān)鍵部分,極大的提高了企業(yè)的工作效率。對于規(guī)模較大的企業(yè)來說,這一點尤為重要。而有些大型企業(yè)根據(jù)其自身性質(zhì)等對于網(wǎng)絡(luò)有著更多的需求。比如中國電信、中國網(wǎng)通、中國銀行,它們對網(wǎng)絡(luò)有一點十分重要的需求，那就是網(wǎng)路通路,流量不可斷。因為全中國大部分的金融和通信都經(jīng)過這些企業(yè)，他們的網(wǎng)絡(luò)的穩(wěn)定性直接關(guān)系到國家的政治經(jīng)濟(jì)基礎(chǔ)等各個方面。所以對于這些大型企業(yè)的網(wǎng)絡(luò)設(shè)計必須考慮到流量等細(xì)節(jié)問題。當(dāng)今中國網(wǎng)絡(luò)的另一個重大問題就是安全。由于中國的網(wǎng)絡(luò)發(fā)展較晚，網(wǎng)絡(luò)的安全沒有作到非常完善。而且很多早期起用的網(wǎng)絡(luò)無論從結(jié)構(gòu)還是技術(shù)上都有很多設(shè)計不合理的問題，這也導(dǎo)致了網(wǎng)絡(luò)的安全性差。在企業(yè)的某些關(guān)鍵部門(如財務(wù)科等)，如果有不法分子利用網(wǎng)絡(luò)中的漏洞修改或者竊取商業(yè)機(jī)密文件,也會對企業(yè)自身造成不可挽回的甚至是毀滅性的危害。當(dāng)然，企業(yè)也會對一些細(xì)節(jié)問題提出要求。比如市場部門可以上網(wǎng)查閱資料而技術(shù)部門不可;或者從周一上午九點到周五下午五點可以上網(wǎng),而其他時間段網(wǎng)絡(luò)無流量;再或者高層領(lǐng)導(dǎo)組可以監(jiān)控財務(wù)部門的檔案文件而其

他部門則沒有這樣的權(quán)限。這些都是網(wǎng)絡(luò)設(shè)計者需要考慮的問題。1.2目的和意義企業(yè)內(nèi)部網(wǎng)(Ｉnｔｒａnet）是國際互連網(wǎng)(Iｎtｅrneｔ)技術(shù)在企業(yè)內(nèi)部或封閉的用戶群內(nèi)的應(yīng)用。簡單地說，Intranet是使用Iｎtｅrnｅｔ技術(shù),特別是TＣＰ/IP協(xié)議而建成的企業(yè)內(nèi)部網(wǎng)絡(luò)。這種技術(shù)允許不同計算機(jī)平臺進(jìn)行互通,且不用考慮其位置。也就是所說的用戶可以對任何一臺進(jìn)行訪問或從任何一臺計算機(jī)進(jìn)行訪問［１]?；谶@種種的現(xiàn)實問題,企業(yè)必須從企業(yè)局域網(wǎng)的概念及相關(guān)計算機(jī)網(wǎng)絡(luò)技術(shù)入手,詳細(xì)地設(shè)計企業(yè)網(wǎng)建設(shè)的實施方案及建設(shè)規(guī)劃，以達(dá)到先進(jìn)、安全、實用、可靠的目標(biāo).對該企業(yè)的組網(wǎng)需求進(jìn)行分析，比較各種組網(wǎng)技術(shù),從實用角度論述局域網(wǎng)主干網(wǎng)選擇，綜合布線，各種設(shè)備選擇,網(wǎng)絡(luò)安全，網(wǎng)絡(luò)管理等方面。我們的網(wǎng)絡(luò)要具有一定的靈活性。當(dāng)企業(yè)發(fā)展到一定規(guī)模，企業(yè)在外地設(shè)有許多分支機(jī)構(gòu)。這時,為加快企業(yè)內(nèi)部的信息流通,企業(yè)需要將總部和各分支機(jī)構(gòu)連接起來。遠(yuǎn)程企業(yè)對網(wǎng)絡(luò)的需求是:通過internｅt接入,在整個公司實現(xiàn)數(shù)據(jù)快速傳輸、辦公自動化，最終實現(xiàn)企業(yè)無紙化辦公；企業(yè)擁有自己的ｉp地址和域名,在公司主機(jī)上建立網(wǎng)站,向外界宣傳企業(yè)形象、公司各項業(yè)務(wù)、活動及最新成果等;以ip電話方式節(jié)省企業(yè)大部分的長途話費，亦可通過ｉp網(wǎng)絡(luò)來實現(xiàn)視頻會議；整個公司需要一個運行可靠、費用合理的通信系統(tǒng)；實現(xiàn)tｅｌｎeｔ等網(wǎng)絡(luò)服務(wù)；建立一個功能全面、使用方便的管理信息系統(tǒng),使總公司與各地分支機(jī)構(gòu)之間的業(yè)務(wù)審批電子化，各項工作能夠協(xié)同完成。實現(xiàn)結(jié)構(gòu)化布線、網(wǎng)絡(luò)的設(shè)計與規(guī)劃、資源共享、專線接入Iｎterneｔ、WWＷ服務(wù)器、軟硬件配置、劃分企業(yè)子網(wǎng)等技術(shù)實施。第2章關(guān)鍵的網(wǎng)絡(luò)技術(shù)原理２.１大型企業(yè)網(wǎng)絡(luò)的定位企業(yè)網(wǎng)是指覆蓋企業(yè)和企業(yè)與分公司之間的網(wǎng)絡(luò),為企業(yè)的多種通信協(xié)議提供綜合傳送平臺的網(wǎng)絡(luò)。企業(yè)網(wǎng)應(yīng)以多業(yè)務(wù)光傳輸網(wǎng)絡(luò)為基礎(chǔ),實現(xiàn)語音、數(shù)據(jù)、圖像、多媒體等的接入。企業(yè)網(wǎng)是企業(yè)內(nèi)各部門的橋接區(qū),主要完成接入網(wǎng)中的子公司和工作人員與企業(yè)骨干業(yè)務(wù)網(wǎng)絡(luò)之間全方位的互通。因此電子商務(wù)公司企業(yè)網(wǎng)的定位應(yīng)是為企業(yè)網(wǎng)應(yīng)用提供多業(yè)務(wù)傳送的綜合解決方案。2.2關(guān)鍵技術(shù)研究本設(shè)計方案采用的是全部Ciscｏ的網(wǎng)絡(luò)設(shè)備，全網(wǎng)使用統(tǒng)一廠家得設(shè)備以實現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。還有就是一些網(wǎng)絡(luò)協(xié)議都是一些廠家私有的，如EIGRP、HDＬC等。因為每個廠家都有屬于自己的EＩGＲP、HDLC所以不同廠家的設(shè)備就不能使用這些網(wǎng)絡(luò)協(xié)議。2．2.１路由技術(shù)路由協(xié)議工作在OＳI參考模型的第３層,因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時選擇最佳路徑的能力。除了可以完成主要的路由任務(wù),利用訪問控制列表，路由器還可以用來完成以路由器為中心的流量控制和過濾功能。在本工程案例設(shè)計中,內(nèi)網(wǎng)用戶不僅通過路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過３層交換機(jī)上的路由功能進(jìn)行數(shù)據(jù)包交換。路由器是外網(wǎng)進(jìn)入企業(yè)網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡,是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問控制列表(ＡccessCoｎtrolList，ACL）是保護(hù)內(nèi)網(wǎng)安全的有效手段。一個設(shè)計良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時的第一道屏障,所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進(jìn)行縝密的設(shè)計，來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實施保護(hù)[2]。2.2．２交換技術(shù)傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層?，F(xiàn)代交換技術(shù)還實現(xiàn)了第3層交換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率,更大大增強(qiáng)了企業(yè)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量,滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要?，F(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)(VｉｒtualLAN，ＶLＡN）的概念。VLAＮ將廣播域限制在單個VLAN內(nèi)部,減小了各ＶLＡN間主機(jī)的廣播通信對其他ＶＬAN的影響。在VLAN間需要通信的時候,可以利用VLAＮ間路由技術(shù)來實現(xiàn)。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時,可以使用VLＡＮ中繼協(xié)議(VlaｎＴrunkingProtoｃol，VＴP)簡化管理，它只需在單獨一臺交換機(jī)上定義所有VＬＡN。然后通過VTP協(xié)議將VLＡＮ定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，在企業(yè)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)行的。企業(yè)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次:接入層、分布層、核心層。接入層為所有的終端用戶提供一個接入點；分布層除了負(fù)責(zé)將訪問層交換機(jī)進(jìn)行匯集外,還為整個交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能；核心層將各分布層交換機(jī)互連起來進(jìn)行穿越企業(yè)網(wǎng)骨干的高速數(shù)據(jù)交換。在本工程案例設(shè)計中，也將采用這三層進(jìn)行分開設(shè)計、配置[3]。2.2．3遠(yuǎn)程訪問技術(shù)遠(yuǎn)程訪問也是企業(yè)網(wǎng)絡(luò)必須提供的服務(wù)之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務(wù)。遠(yuǎn)程訪問有三種可選的服務(wù)類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同,花費也不相同。企業(yè)用戶可以根據(jù)所需帶寬、本地服務(wù)可用性、花費等因素綜合考慮，選擇一種適合企業(yè)自身需要的廣域網(wǎng)接入方案。在本工程案例設(shè)計中，分別采用專線連接的VPN和PBR兩種方式實現(xiàn)遠(yuǎn)程訪問需求［4]。2.2．4VLANＶLAN（VirtｕａlLoｃalAreaNｅtｗoｒk）即虛擬局域網(wǎng),是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。IEEE于１999年頒布了用以標(biāo)準(zhǔn)化ＶLAＮ實現(xiàn)方案的802.１Q協(xié)議標(biāo)準(zhǔn)草案。ＶＬAＮ技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LＡＮ邏輯地劃分成不同的廣播域（或稱虛擬LＡＮ，即VＬAN),每一個VLAN都包含一組有著相同需求的計算機(jī)工作站,與物理上形成的ＬAＮ有著相同的屬性。但由于它是邏輯地而不是物理地劃分,所以同一個ＶLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLＡN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他ＶLAN中，即使是兩臺計算機(jī)有著同樣的網(wǎng)段，但是它們卻沒有相同的ＶLＡＮ號，它們各自的廣播流也不會相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLＡＮ頭,用VＬANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪,每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組,動態(tài)管理網(wǎng)絡(luò)。既然VLＡN隔離了廣播風(fēng)暴,同時也隔離了各個不同的VLAN之間的通訊，所以不同的VLAN之間的通訊是需要有路由來完成的[5］。2.2．5ＤHＣPDHCP是DynamicHostCｏnfiguｒationPｒotocoｌ(動態(tài)主機(jī)分配協(xié)議)縮寫。它分為兩個部份:一個是服務(wù)器端,而另一個是客戶端。所有的IP網(wǎng)絡(luò)設(shè)定數(shù)據(jù)都由ＤHCP服務(wù)器集中管理，并負(fù)責(zé)處理客戶端的DHCP要求;而客戶端則會使用從服務(wù)器分配下來的IP環(huán)境數(shù)據(jù)。比較起B(yǎng)OOTＰ,ＤHCP透過"租約"的概念，有效且動態(tài)的分配客戶端的TCP/IP設(shè)定,而且,作為兼容考慮,DHCP的分配形式首先,必須至少有一臺DHCP工作在網(wǎng)絡(luò)上面，它會監(jiān)聽網(wǎng)絡(luò)的DHCP請求,并與客戶端磋商ＴCP/ＩP的設(shè)定環(huán)境。ＤHＣP是BOOTP的擴(kuò)展,是基于C/S模式的,它提供了一種動態(tài)指定IP地址和配置參數(shù)的機(jī)制。這主要用于大型網(wǎng)絡(luò)環(huán)境和配置比較困難的地方。DHＣP服務(wù)器自動為客戶機(jī)指定IP地址,指定的配置參數(shù)有些和ＩＰ協(xié)議并不相關(guān),但這必沒有關(guān)系,它的配置參數(shù)使得網(wǎng)絡(luò)上的計算機(jī)通信變得方便而容易實現(xiàn)了。DHCP使IP地址的可以租用，對于許多擁有許多臺計算機(jī)的大型網(wǎng)絡(luò)來說，每臺計算機(jī)擁有一個IP地址有時候可能是不必要的。租期從１分鐘到１00年不定，當(dāng)租期到了的時候，服務(wù)器可以把這個IP地址分配給別的機(jī)器使用?？蛻粢部梢哉埱笫褂米约合矚g的網(wǎng)絡(luò)地址及相應(yīng)的配置參數(shù)[6]。2.2.6ＧＲE通用路由封裝(GＲＥ:ＧenｅricＲouｔiｎｇEncaｐｓｕlａｔion）定義了在任意一種網(wǎng)絡(luò)層協(xié)議上封裝任意一個其它網(wǎng)絡(luò)層協(xié)議的協(xié)議。在大多數(shù)常規(guī)情況下，系統(tǒng)擁有一個有效載荷（或負(fù)載）包,需要將它封裝并發(fā)送至某個目的地。首先將有效載荷封裝在一個GRE包中,然后將此GＲE包封裝在其它某協(xié)議中并進(jìn)行轉(zhuǎn)發(fā)。此外發(fā)協(xié)議即為發(fā)送協(xié)議。當(dāng)IPv4被作為GRＥ有效載荷傳輸時，協(xié)議類型字段必須被設(shè)置為0x800。當(dāng)一個隧道終點拆封此含有IPv4包作為有效載荷的GRE包時,IＰv4包頭中的目的地址必須用來轉(zhuǎn)發(fā)包,并且需要減少有效載荷包的ＴＴL。值得注意的是,在轉(zhuǎn)發(fā)這樣一個包時，如果有效載荷包的目的地址就是包的封裝器(也就是隧道另一端），就會出現(xiàn)回路現(xiàn)象。在此情形下,必須丟棄該包。當(dāng)ＧRE包被封裝在IＰv４中時,需要使用ＩPv４協(xié)議47。GRE下的網(wǎng)絡(luò)安全與常規(guī)的IPv4網(wǎng)絡(luò)安全是較為相似的，GＲＥ下的路由采用IPｖ４原本使用的路由，但路由過濾保持不變。包過濾要求防火墻檢查ＧRE包，或者在GRE隧道終點完成過濾過程。在那些這被看作是安全問題的環(huán)境下，可以在防火墻上終止隧道[4]。２．2．7ＶＰNVPN的英文全稱是“ＶirtualPｒｉｖateNetwｏrk”,翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義,虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Iｎtｅｒnet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路,就好比是架設(shè)了一條專線一樣,但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設(shè)線路的費用,也不用購買路由器等硬件設(shè)備。VＰN技術(shù)原是路由器具有的重要技術(shù)之一,目前在交換機(jī),防火墻設(shè)備或ＷINDOWS２０00等軟件里也都支持VPN功能，一句話,VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。虛擬專用網(wǎng)（ＶＰＮ）被定義為通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)［４]。2.2.8PVＳTPVST:Per-VLANSｐanningＴreｅ(每VＬAN生成樹)ＰＶＳT是解決在虛擬局域網(wǎng)上處理生成樹的ＣIＳCＯ特有解決方案．PVＳT為每個虛擬局域網(wǎng)運行單獨的生成樹實例．一般情況下PVＳT要求在交換機(jī)之間的中繼鏈路上運行CＩSCＯ的IＳＬ。每ＶLAＮ生成樹(PＶＳT)為每個在網(wǎng)絡(luò)中配置的VLＡN維護(hù)一個生成樹實例。它使用ISL中繼和允許一個VLAN中繼當(dāng)被其它ＶＬＡＮs的阻塞時將一些VＬAＮs轉(zhuǎn)發(fā)。盡管PVST對待每個VＬAN作為一個單獨的網(wǎng)絡(luò)，它有能力(在第2層)通過一些在主干和其它在另一個主干中的不引起生成樹循環(huán)的Vlａns中的一些VＬANs來負(fù)載平衡通信[7］。2.２.９HSＲＰHSRP:熱備份路由器協(xié)議(ＨSＲP:ＨotStandbyＲoｕterProtocol）熱備份路由器協(xié)議（HＳRP)的設(shè)計目標(biāo)是支持特定情況下IＰ流量失敗轉(zhuǎn)移不會引起混亂、并允許主機(jī)使用單路由器,以及即使在實際第一跳路由器使用失敗的情形下仍能維護(hù)路由器間的連通性。換句話說，當(dāng)源主機(jī)不能動態(tài)知道第一跳路由器的IＰ地址時，HSRP協(xié)議能夠保護(hù)第一跳路由器不出故障。該協(xié)議中含有多種路由器，對應(yīng)一個虛擬路由器。ＨSRＰ協(xié)議只支持一個路由器代表虛擬路由器實現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過程。終端主機(jī)將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬路由器上。負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動路由器(AｃtｉvｅRoｕtｅr）。一旦主動路由器出現(xiàn)故障,HSRP將激活備份路由器(ＳtandbｙRoｕters）取代主動路由器。HＳRP協(xié)議提供了一種決定使用主動路由器還是備份路由器的機(jī)制，并指定一個虛擬的IP地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。如果主動路由器出現(xiàn)故障,備份路由器（StandｂyRouteｒｓ)承接主動路由器的所有任務(wù),并且不會導(dǎo)致主機(jī)連通中斷現(xiàn)象。ＨSRP運行在UDP上,采用端口號1985。路由器轉(zhuǎn)發(fā)協(xié)議數(shù)據(jù)包的源地址使用的是實際IＰ地址,而并非虛擬地址,正是基于這一點，ＨSRP路由器間能相互識別［10］。２．2．10ＡAＡ認(rèn)證AＡＡ身份驗證(Autｈentiｃaｔｉoｎ)、授權(quán)（Aｕthoriｚａt(yī)ion）和統(tǒng)計(Aｃcｏunｔing)Ciｓｃo開發(fā)的一個提供網(wǎng)絡(luò)安全的系統(tǒng)。AＡA，認(rèn)證(Auｔhentiｃatiｏn):驗證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù)；授權(quán)(Ａｕtｈoｒizａt(yī)iｏn)：依據(jù)認(rèn)證結(jié)果開放網(wǎng)絡(luò)服務(wù)給用戶；計帳(Accoｕnｔｉng）：記錄用戶對各種網(wǎng)絡(luò)服務(wù)的用量,并提供給計費系統(tǒng)。整個系統(tǒng)在網(wǎng)絡(luò)管理與安全問題中十分有效。首先，認(rèn)證部分提供了對用戶的認(rèn)證。整個認(rèn)證通常是采用用戶輸入用戶名與密碼來進(jìn)行權(quán)限審核。認(rèn)證的原理是每個用戶都有一個唯一的權(quán)限獲得標(biāo)準(zhǔn)。由ＡAA服務(wù)器將用戶的標(biāo)準(zhǔn)同數(shù)據(jù)庫中每個用戶的標(biāo)準(zhǔn)一一核對。如果符合，那么對用戶認(rèn)證通過。如果不符合,則拒絕提供網(wǎng)絡(luò)連接。接下來,用戶還要通過授權(quán)來獲得操作相應(yīng)任務(wù)的權(quán)限。比如,登陸系統(tǒng)后，用戶可能會執(zhí)行一些命令來進(jìn)行操作,這時,授權(quán)過程會檢測用戶是否擁有執(zhí)行這些命令的權(quán)限。簡單而言，授權(quán)過程是一系列強(qiáng)迫策略的組合，包括:確定活動的種類或質(zhì)量、資源或者用戶被允許的服務(wù)有哪些。授權(quán)過程發(fā)生在認(rèn)證上下文中。一旦用戶通過了認(rèn)證,他們也就被授予了相應(yīng)的權(quán)限。最后一步是帳戶,這一過程將會計算用戶在連接過程中消耗的資源數(shù)目。這些資源包括連接時間或者用戶在連接過程中的收發(fā)流量等等。可以根據(jù)連接過程的統(tǒng)計日志以及用戶信息，還有授權(quán)控制、賬單、趨勢分析、資源利用以及容量計劃活動來執(zhí)行帳戶過程。驗證授權(quán)和帳戶由ＡAA服務(wù)器來提供。AAＡ服務(wù)器是一個能夠提供這三項服務(wù)的程序。當(dāng)前同AＡA服務(wù)器協(xié)作的網(wǎng)絡(luò)連接服務(wù)器接口是“遠(yuǎn)程身份驗證撥入用戶服務(wù)（RＡDIUＳ)”[10］。第3章大型企業(yè)網(wǎng)絡(luò)需求分析3.1案例分析Ｃiｓcｏ公司已經(jīng)成功地在中國實踐了前述的教育網(wǎng)絡(luò)設(shè)計思想,特別是河南省教育科研寬帶IP骨干網(wǎng)絡(luò)全部采用了先進(jìn)的高速寬帶光傳輸網(wǎng)絡(luò)技術(shù),已經(jīng)成為這類新型教育網(wǎng)絡(luò)的典范。河南省教育科研寬帶ＩP網(wǎng)絡(luò)全面采用Cｉsco公司的AVVID網(wǎng)絡(luò)體系結(jié)構(gòu)，一期工程總共采用了１0臺CｉscｏGSＲ１2016和GSR12０1２，近20臺CｉscoＯＳＲ６5０9,其他各類交換機(jī)和路由器數(shù)百臺。該網(wǎng)絡(luò)集成了遠(yuǎn)程教學(xué)等多種多媒體應(yīng)用，特別是采用了5５0部Cｉｓco的新型７９4０IP電話和4套CallManager組建了我國第一個省級IPTｅlephony網(wǎng)絡(luò)，并結(jié)合Cｉsco視頻產(chǎn)品IＰＴV系列建立了許多新的教育模式。這一網(wǎng)絡(luò)基于分層設(shè)計分為三層：骨干傳輸網(wǎng)、城域網(wǎng)、接入網(wǎng),采用三級管理模式：省網(wǎng)絡(luò)中心、地市網(wǎng)絡(luò)中心、校園網(wǎng)，連接省內(nèi)各大中專院校、各中小學(xué)校、各級教育主管部門和其他教育科研單位，未來更將延伸到每一個需要教育培訓(xùn)的公眾面前。骨干網(wǎng)絡(luò)由分布在１7個地市的核心節(jié)點組成,與河南省廣電合作利用其光纖資源,全省形成環(huán)網(wǎng)狀冗余拓?fù)浣Y(jié)構(gòu)。在各個核心節(jié)點分別配置Ｃｉsｃｏ公司在國際上多次獲獎的千兆位路由交換機(jī)GSR１200０系列中的120１6和１2012作為核心傳輸設(shè)備，節(jié)點間使用裸光纖配合ＰOS技術(shù)實現(xiàn)ＯＣ－482．48G鏈路互連并采用HＳRＰ技術(shù)，以提供物理層、鏈路層及IP層的冗余連接能力。根據(jù)各地市的具體情況，可以建設(shè)城域教育網(wǎng)絡(luò)也可以在核心節(jié)點配置匯接設(shè)備直接解決接入網(wǎng)絡(luò)的接入問題，匯接設(shè)備可選用Ｃiｓcｏ１201２或６50９，采用POＳ、ＤPT或千兆以太技術(shù),傳輸速率可達(dá)1~２.48Ｇｂpｓ,具體設(shè)計可以非常靈活?；贑iｓcoIOS的多功能網(wǎng)絡(luò)平臺：網(wǎng)絡(luò)中采用的網(wǎng)絡(luò)設(shè)備均采用CiｓcoIＯS（InternｅｔwｏrkingＯperaｔioｎSystem互聯(lián)網(wǎng)絡(luò)操作系統(tǒng)）為核心功能軟件。CiscoIOS集成了路由技術(shù)，局域網(wǎng)交換技術(shù)，ＡＴＭ交換技術(shù),各種移動遠(yuǎn)程訪問接入技術(shù),廣域網(wǎng)互連技術(shù)等超過１5,00０個網(wǎng)絡(luò)互連功能，已經(jīng)成為網(wǎng)絡(luò)互連的標(biāo)準(zhǔn)。CisｃｏIＯS系統(tǒng)支持今天的絕大多數(shù)網(wǎng)絡(luò)應(yīng)用系統(tǒng)，同時CiscｏIOS系統(tǒng)可提供從數(shù)據(jù)鏈路層到應(yīng)用層的多種網(wǎng)絡(luò)服務(wù)，如:Ｌ2/L3ＶPＮ（虛擬專網(wǎng))，VPDN（虛擬撥號專網(wǎng))，以及對ＭPＬS技術(shù)的支持允許提供各種網(wǎng)絡(luò)增值服務(wù)。豐富的網(wǎng)絡(luò)安全機(jī)制:網(wǎng)絡(luò)設(shè)計是按照標(biāo)準(zhǔn)ＩSＰ(國際互聯(lián)網(wǎng)絡(luò)服務(wù)商）方式設(shè)計的IP交換網(wǎng)絡(luò)平臺。整個網(wǎng)絡(luò)與國際互聯(lián)網(wǎng)絡(luò)平滑連接,因此網(wǎng)絡(luò)的安全性尤其重要。方案中采用CiｓcｏIOS多種安全策略：1)網(wǎng)絡(luò)路由信息交換安全策略:包含路由器的認(rèn)證，路由信息過濾，多種動態(tài)路由協(xié)議信息交換控制等。2)網(wǎng)絡(luò)服務(wù)安全控制:包含標(biāo)準(zhǔn)訪問控制列表(AＣＬ),擴(kuò)展的訪問控制列表(ＥxtendACL）,動態(tài)訪問控制列表(RefliexＡCL）,按數(shù)據(jù)流的訪問統(tǒng)計和監(jiān)控(Neｔflｏw）,網(wǎng)絡(luò)資源訪問用戶認(rèn)證/授權(quán)和記帳(loｃk&kｅy）。3)基于網(wǎng)絡(luò)層的加密：網(wǎng)絡(luò)設(shè)備可提供基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)層加密技術(shù)：IＰＳec,可以提供高可靠的網(wǎng)絡(luò)訪問安全機(jī)制。4)網(wǎng)絡(luò)攻擊防范：CiscoIOS可通過對網(wǎng)絡(luò)訪問連接的監(jiān)控和分析，發(fā)現(xiàn)可能出現(xiàn)的網(wǎng)絡(luò)攻擊，如SyncＡttacｋ等，并采取相應(yīng)的的控制手段保護(hù)網(wǎng)絡(luò)資源。５)網(wǎng)絡(luò)系統(tǒng)告警(Ｓyｓｌog)：網(wǎng)絡(luò)中采用的設(shè)備可對監(jiān)控到的網(wǎng)絡(luò)攻擊和各種非正常訪問發(fā)出告警，提醒網(wǎng)絡(luò)管理人員及時發(fā)現(xiàn)問題并采取相應(yīng)安全策略。設(shè)備安全:網(wǎng)絡(luò)的各種安全策略的實現(xiàn)均基于網(wǎng)絡(luò)設(shè)備的安全設(shè)置，這使得網(wǎng)絡(luò)設(shè)備本身的安全控制顯得尤其重要。網(wǎng)絡(luò)設(shè)備本身具有多種訪問控制安全策略:1)多級訪問控制密碼：網(wǎng)絡(luò)中各設(shè)備訪問控制可通過15級不同的訪問權(quán)限，網(wǎng)管人員可設(shè)置不同的訪問權(quán)限。如:普通操作員只能監(jiān)視設(shè)備運行，不可進(jìn)行其他操作;高級的管理員可做故障診斷，不可修改設(shè)備配置文件;系統(tǒng)管理員可具有所有功能權(quán)限等。２)網(wǎng)絡(luò)管理系統(tǒng)的安全控制:由于本網(wǎng)絡(luò)中網(wǎng)絡(luò)管理系統(tǒng)采用標(biāo)準(zhǔn)的SNMP網(wǎng)絡(luò)管理技術(shù)，因此網(wǎng)絡(luò)設(shè)備的網(wǎng)管可能出現(xiàn)漏洞。本網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備可提供多種保護(hù)手段，如：特別的網(wǎng)管訪問密碼；由設(shè)備指定特別的網(wǎng)絡(luò)管理工作站系統(tǒng)等。易管理維護(hù)的網(wǎng)絡(luò)：由于采用了ＩP骨干技術(shù)、DHCP技術(shù)和MPLS技術(shù)，使得網(wǎng)絡(luò)的管理簡單化。這可以使網(wǎng)絡(luò)管理人員大為精簡，節(jié)約運行開銷。網(wǎng)絡(luò)管理人員只需在規(guī)劃好的網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)提供各個接入網(wǎng)絡(luò)的接入控制即能實行各種網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)系統(tǒng)的管理工作重點變?yōu)閷τ诠歉删W(wǎng)絡(luò)的運行實施系統(tǒng)監(jiān)控。由于采用的網(wǎng)絡(luò)設(shè)備自身已具備較為完善的網(wǎng)絡(luò)管理、監(jiān)控和維護(hù)功能,因此采用建立一個管理工具齊全的集中的網(wǎng)絡(luò)管理中心即可實現(xiàn)全網(wǎng)絡(luò)的系統(tǒng)管理和監(jiān)控[１1]。3.２大型企業(yè)網(wǎng)絡(luò)分析為適應(yīng)企業(yè)信息化的發(fā)展，滿足日益增長的通信需求和網(wǎng)絡(luò)的穩(wěn)定運行,今天的企業(yè)網(wǎng)絡(luò)建設(shè)比傳統(tǒng)企業(yè)網(wǎng)絡(luò)建設(shè)有更高的要求，本文將通過對如下幾個方面的需求分析來規(guī)劃出一套最適用于目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。3.2.１寬帶性能需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強(qiáng)大的性能,以滿足用戶日益增長的通信需求。隨著計算機(jī)技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個多業(yè)務(wù)承載平臺。不僅要繼續(xù)承載企業(yè)的辦公自動化，Web瀏覽等簡單的數(shù)據(jù)業(yè)務(wù),還要承載涉及企業(yè)生產(chǎn)運營的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及帶寬和時延都要求很高的IP電話、視頻會議等多媒體業(yè)務(wù)。因此，數(shù)據(jù)流量將大大增加,尤其是對核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了前所未有的要求。另外,隨著千兆位端口成本的持續(xù)下降，千兆位到桌面的應(yīng)用會在不久的將來成為企業(yè)網(wǎng)的主流。從2004年全球交換機(jī)市場分析可以看到,增長最迅速的就是10Ｇbｐs級別機(jī)箱式交換機(jī)，可見，萬兆位的大規(guī)模應(yīng)用已經(jīng)真正開始。所以,今天的企業(yè)網(wǎng)絡(luò)已經(jīng)不能再用百兆位到桌面千兆位骨干來作為建網(wǎng)的標(biāo)準(zhǔn)，核心層及骨干層必須具有萬兆位級帶寬和處理性能，才能構(gòu)筑一個暢通無阻的"高品質(zhì)"大型企業(yè)網(wǎng)，從而適應(yīng)網(wǎng)絡(luò)規(guī)模擴(kuò)大,業(yè)務(wù)量日益增長的需要[7]。３．2.２穩(wěn)定可靠需求現(xiàn)代大型企業(yè)的網(wǎng)絡(luò)應(yīng)具有更全面的可靠性設(shè)計，以實現(xiàn)網(wǎng)絡(luò)通信的實時暢通，保障企業(yè)生產(chǎn)運營的正常進(jìn)行。隨著企業(yè)各種業(yè)務(wù)應(yīng)用逐漸轉(zhuǎn)移到計算機(jī)網(wǎng)絡(luò)上來,網(wǎng)絡(luò)通信的無中斷運行已經(jīng)成為保證企業(yè)正常生產(chǎn)運營的關(guān)鍵。現(xiàn)代大型企業(yè)網(wǎng)絡(luò)在可靠性設(shè)計方面主要應(yīng)從以下3個方面考慮。設(shè)備的可靠性設(shè)計：不僅要考察網(wǎng)絡(luò)設(shè)備是否實現(xiàn)了關(guān)鍵部件的冗余備份，還要從網(wǎng)絡(luò)設(shè)備整體設(shè)計架構(gòu)、處理引擎種類等多方面去考察。業(yè)務(wù)的可靠性設(shè)計:網(wǎng)絡(luò)設(shè)備在故障倒換過程中,是否對業(yè)務(wù)的正常運行有影響。鏈路的可靠性設(shè)計:以太網(wǎng)的鏈路安全來自于多路徑選擇，所以在企業(yè)網(wǎng)絡(luò)建設(shè)時,要考慮網(wǎng)絡(luò)設(shè)備是否能夠提供有效的鏈路自愈手段,以及快速重路由協(xié)議的支持［7]。3.２.3服務(wù)質(zhì)量需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)需要提供完善的端到端ＱoS保障,以滿足企業(yè)網(wǎng)多業(yè)務(wù)承載的需求。大型企業(yè)網(wǎng)絡(luò)承載的業(yè)務(wù)不斷增多,單純的提高帶寬并不能夠有效地保障數(shù)據(jù)交換的暢通無阻,所以今天的大型企業(yè)網(wǎng)絡(luò)建設(shè)必須要考慮到網(wǎng)絡(luò)應(yīng)能夠智能識別應(yīng)用事件的緊急和重要程度,如視頻、音頻、數(shù)據(jù)流(MIＳ、EＲP、OA、備份數(shù)據(jù))。同時能夠調(diào)度網(wǎng)絡(luò)中的資源，保證重要和緊急業(yè)務(wù)的帶寬、時延、優(yōu)先級和無阻塞的傳送,實現(xiàn)對業(yè)務(wù)的合理調(diào)度才是一個大型企業(yè)網(wǎng)絡(luò)提供＂高品質(zhì)"服務(wù)的保障[７]。3.２．4網(wǎng)絡(luò)安全需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)安全解決方案，以阻擊病毒和黑客的攻擊,減少企業(yè)的經(jīng)濟(jì)損失。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全措施主要是通過部署防火墻、IDS、殺毒軟件,以及配合交換機(jī)或路由器的ACL來實現(xiàn)對病毒和黑客攻擊的防御，但實踐證明這些被動的防御措施并不能有效地解決企業(yè)網(wǎng)絡(luò)的安全問題。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運營的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接入控制,病毒報文識別到主動抑制的一系列安全控制手段,這樣才能有效地保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運行[7]。３.２.5應(yīng)用服務(wù)需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具備更智能的網(wǎng)絡(luò)管理解決方案，以適應(yīng)網(wǎng)絡(luò)規(guī)模日益擴(kuò)大，維護(hù)工作更加復(fù)雜的需要。當(dāng)前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為＂以應(yīng)用為中心"的信息基礎(chǔ)平臺,網(wǎng)絡(luò)管理能力的要求已經(jīng)上升到了業(yè)務(wù)層次,傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的智能已經(jīng)不能有效支持網(wǎng)絡(luò)管理需求的發(fā)展。比如,網(wǎng)絡(luò)調(diào)試期間最消耗人力與物力的線纜故障定位工作，網(wǎng)絡(luò)運行期間對不同用戶靈活的服務(wù)策略部署、訪問權(quán)限控制、以及網(wǎng)絡(luò)日志審計和病毒控制能力等方面的管理工作,由于受網(wǎng)絡(luò)設(shè)備功能本身的限制,都還屬于費時、費力的任務(wù)。所以現(xiàn)代的大型企業(yè)網(wǎng)絡(luò)迫切需要網(wǎng)絡(luò)設(shè)備具備支撐＂以應(yīng)用為中心"的智能網(wǎng)絡(luò)運營維護(hù)的能力，并能夠有一套智能化的管理軟件,將網(wǎng)絡(luò)管理人員從繁重的工作中解脫出來[7]。３.3本課題系統(tǒng)需求分析該企業(yè)位于北京市海淀區(qū)中關(guān)村，網(wǎng)絡(luò)聯(lián)接的建筑物有三個：兩個辦公樓和一個行政樓。管理部、財務(wù)部和網(wǎng)絡(luò)部在行政樓中;市場部在辦公樓A;銷售部和人力資源部在辦公樓Ｂ。所以我們已建筑物的中心也就是行政樓的三層為網(wǎng)絡(luò)的中心，用光纖連接辦公樓A、B，構(gòu)成電子商務(wù)公司網(wǎng)絡(luò)光纖主干。辦公樓２個,行政樓1個１.劃分VLAN(見表１）2．ＶTP動態(tài)學(xué)習(xí)VLAN3.PVST（選根，二層冗余)4．SVI(VLＡN間路由）5.HSRＰ(三層冗余)６．DHCP7.根防護(hù)８．3個FASＴ9.靜態(tài)路由10．SＩTＥ－TO-SITＥVＰＮ（連接分公司，固定IP）11．AＡA１2.PBR(20M專線)13．網(wǎng)管控制第4章網(wǎng)絡(luò)系統(tǒng)實現(xiàn)4．1大型企業(yè)網(wǎng)絡(luò)拓?fù)鋱D圖4－１網(wǎng)絡(luò)拓?fù)鋱D4.2ＶLAN及IP地址的規(guī)劃表1VLAN劃分VＬAN號VＬＡN名稱IＰ網(wǎng)段默認(rèn)網(wǎng)關(guān)說明VLAN1GLVLＡN1０.０.0.０/2410.0．０.254管理VLANVLAN1０GLB10.1．0.０/２2１0.1.３．2５４管理部VＬAＮVLAN２０SCB10.１.4.0/２2１０.1.7.25４市場部ＶLＡＮVLＡN3０CWB10.１．8.0/22１0.1.1１.25４財務(wù)部VLＡNVＬAN40XSＢ10．1.1２.0/2210.1.１5．2５4銷售部VＬＡNＶLAN50ＲLZＹ１0.1.16.０/254人力資源部ＶLAＮVLAN60WLB1０．1．20.０／2210．1.２3.２5４網(wǎng)絡(luò)部VLAN路由器R1與電信連接的接口Ｆ0/0IP為2０2.1０0.1.１０／24,與ＨX1連接的接口F１／1IP為192.１68.1.１/24，與HX２連接的接口F1/2IP為1９2.１６８．２.１/2４，與R2連接的接口F1/３IP為19２.168．3.１／2４。路由器R2與網(wǎng)通連接的接口F0/0IＰ為２02．100.3.10/24,與HX１連接的接口F1/2IＰ為/24，與HX2連接的接口F1／1IＰ為192.168.5．1／24,與Ｒ２連接的接口F1/３IＰ為１９2．１68．3.２/24。路由器Ｒ3與HX１連接的接口F１／１IP為192.1６8．６.１/24，與HX2連接的接口F１／2IＰ為192.168.７．1/2４,與seｒｖer連接的接口F1／０IＰ為1９/24。路由器R4上與電信連接的接口F1／０ＩＰ為20２.100.2.1０/24，與網(wǎng)通連接的接口Ｆ１/1IP為20２.１00.4.１０/24，與SＷ11連接的接口Ｆ1／2IP為10．1.24.1/22。交換機(jī)HＸ1與Ｒ1相連的接口F1/0IＰ為192.16８.１.2／24,與Ｒ2相連的接口F1/１IP為／２4,與R3相連的接口F1/2IP為１9２．168.6.2／24。交換機(jī)HX2與Ｒ1相連的接口F1/０IＰ為192.16８.2.2/2４，與Ｒ2相連的接口Ｆ1/１IP為1９2.１６８.５.2/24,與R３相連的接口F1/2IP為192.168.7．2／２4。4.3關(guān)鍵網(wǎng)絡(luò)設(shè)備及數(shù)量核心層交換機(jī):CiｓｃoCataｌｙｓt6５0９交換機(jī)2臺匯聚層交換機(jī):ＣiscoＣａt(yī)alｙst4509交換機(jī)4臺接入層交換機(jī)：CｉsｃoＣａt(yī)ａlyｓｔ２9５0２4口交換機(jī)１０0臺接入路由器：Cｉｓco3５00路由器4臺４.4關(guān)鍵網(wǎng)絡(luò)設(shè)備介紹圖8Ciｓco6５09交換機(jī)Catａｌyst6５0９是帶有9個插槽的交換機(jī)機(jī)箱,它可以加兩個電源,可按需求配置不同功能類型的模塊(如防火墻模塊、入侵檢模塊、VPN模塊、SSL加速模塊、網(wǎng)絡(luò)流量分析模塊等），更靈活應(yīng)用在不同需求的網(wǎng)絡(luò)設(shè)計平臺上，提高穩(wěn)定性及安全性。首先,為Caｔalｙst6509核心交換機(jī)配備ＣiscｏＣａt(yī)aｌyst6500ＳupeｒvｉsorEngine720模塊。SuｐervｉsoｒEngiｎｅ720支持Caｔaｌyst6５00系列的第三代模塊,能夠為企業(yè)和電信運營商網(wǎng)絡(luò)提供先進(jìn)的IＰ服務(wù),并提高端口密度,因而非常適合部署在高性能的核心層、數(shù)據(jù)中心和城域網(wǎng)中。由于使用同一套接口、操作系統(tǒng)和管理工具，Cataｌｙst6500系列監(jiān)控引擎（SupervｉsｏrEｎgｉneｓ）能提供操作一致性——可使用相同的備件,所有模塊都具有可以預(yù)測的性能和多種功能。增強(qiáng)型QOS機(jī)制、基于硬件的GRE隧道和NAT,以及由硬件加速的基于ＭPLＳ的高性能服務(wù)；支持基于用戶的Ｍiｃroｆlow監(jiān)管,對每個用戶實施服務(wù)等級協(xié)議；采用分布式轉(zhuǎn)發(fā)模式,提供高達(dá)20０Ｍpps的硬件ＩPｖ６能力,可以順利過渡到Inｔerneｔ2和其他支持3G和PＤＡ的通信網(wǎng)絡(luò)；配備光纖通道接口模塊滿足光纖接入需求。加650０系列的防火墻服務(wù)模塊（ＦWSM）可以為大型企業(yè)和服務(wù)供應(yīng)商提供無以倫比的安全性、可靠性和性能。Ｃatａlｙst６500系列和為企業(yè)網(wǎng)絡(luò)和服務(wù)供應(yīng)商網(wǎng)絡(luò)提供了一系列高性能多層交換解決方案。6500系列提供了廣泛的智能交換解決方案,使公司內(nèi)部網(wǎng)和Ｉｎｔernｅｔ能夠支持多媒體、關(guān)鍵任務(wù)數(shù)據(jù)和語音應(yīng)用。6500系列交換機(jī)為園區(qū)網(wǎng)提供了高性能、多層交換的解決方案，專門為需要千兆擴(kuò)展、可用性高、多層交換的應(yīng)用環(huán)境設(shè)計，主要面向園區(qū)骨干連接等場合。圖９ＣiｓcｏCataｌyｓt450０系列交換機(jī)CiscoCａt(yī)alyst45０0系列能夠為無阻礙的第2/3/4層交換提供集成式彈性，因而能進(jìn)一步加強(qiáng)對融合網(wǎng)絡(luò)的控制（見圖9)。可用性高的融合語音／視頻/數(shù)據(jù)網(wǎng)絡(luò)能夠為正在部署基于互聯(lián)網(wǎng)企業(yè)應(yīng)用的企業(yè)和城域以太網(wǎng)客戶提供業(yè)務(wù)彈性。作為新一代CiｓcｏCａt(yī)alｙｓｔ４０00系列平臺，CisｃoＣaｔalyｓｔ450０系列包括三種新型ＣiscoCaｔaｌysｔ機(jī)箱:ＣisｃoCatａlyst4５07Ｒ（七個插槽)、CiscｏCatalyst４506(六個插槽)和CisｃoCａt(yī)ａlyst4５０3（三個插槽)。ＣiｓcｏCataｌyst４50０系列中提供的集成式彈性增強(qiáng)包括1+1超級引擎冗余(只對CiｓcｏＣatａlyst４5０7R）、集成式IP電話電源、基于軟件的容錯以及1+１電源冗余。硬件和軟件中的集成式冗余性能夠縮短停機(jī)時間,從而提高生產(chǎn)率、利潤率和客戶成功率。作為CisｃoＡVVID(集成語音、視頻和融合數(shù)據(jù)體系結(jié)構(gòu))的關(guān)鍵組件,CiscoＣatalｙsｔ4500能夠通過智能網(wǎng)絡(luò)服務(wù)將控制擴(kuò)展到網(wǎng)絡(luò)邊緣,包括高級服務(wù)質(zhì)量(QoS)、可預(yù)測性能、高級安全性、全面管理和集成式彈性。由于ＣisｃoCａt(yī)alysｔ4500系列提供與CｉｓcoＣatalysｔ4００0系列線卡和超級引擎的兼容性，因而能夠在融合網(wǎng)絡(luò)中延長CiｓcｏCatａlｙst4０00系列的部署窗口。由于這種方式能減少重復(fù)運作開支，降低擁有成本,因而能提高投資回報（ROＩ）。圖10CiscoＣatalｙｓｔ3550系列智能以太網(wǎng)交換機(jī)CiscoCaｔalyst35５0系列智能以太網(wǎng)交換機(jī)是一個可堆疊多層交換機(jī)系列，可通過高可用性、服務(wù)質(zhì)量（ＱoS)和安全性來改進(jìn)網(wǎng)絡(luò)運行(見圖1０)。憑借一系列快速以太網(wǎng)和千兆位以太網(wǎng)配置,CiscｏCａt(yī)alyｓt3550系列堪稱一款適用于企業(yè)和城域接入應(yīng)用的強(qiáng)大選擇。HＹPEＲLINＫ＂"\t"_tｏp"圖1１CiｓcoCaｔａｌysｔ２9５０系列智能以太網(wǎng)交換機(jī)CiｓcoＣatａlyst２9５0系列智能以太網(wǎng)交換機(jī)是一個固定配置、可堆疊的獨立設(shè)備系列，提供了線速快速以太網(wǎng)和千兆位以太網(wǎng)連接（見圖11)。這是一款最廉價的Ciscｏ交換產(chǎn)品系列,為中型網(wǎng)絡(luò)和城域接入應(yīng)用提供了智能服務(wù)。作為思科最為廉價的交換產(chǎn)品系列，CｉscoＣaｔａlyst2950系列在網(wǎng)絡(luò)或城域接入邊緣實現(xiàn)了智能服務(wù)。４.5網(wǎng)絡(luò)設(shè)備配置4.５.1基礎(chǔ)配置這里以接入層交換機(jī)ＳW１為例（見圖1)圖1接入層設(shè)備Ｓｗiｔch>en進(jìn)入特權(quán)模式Switcｈ#cｏnfｔ進(jìn)入全局模式Enterconfiguratioｎcommａnｄs,ｏｎｅperliｎｅ．EndwiｔhCNＴL／Z.此注釋說明在全局模式下直接按ＣNTL+Ｚ可以進(jìn)入特權(quán)模式Switch（coｎfig)#hostnａmｅSW１修改路由器或者交換機(jī)的名字，方便管理SW1(coｎfｉｇ)＃noipｄomａinlｏokup關(guān)閉域名查詢啟用與禁止DNS服務(wù)器，在交換機(jī)默認(rèn)配置的情況下，當(dāng)我們輸入一條錯誤的交換機(jī)命令時,交換機(jī)會嘗試將其廣播給網(wǎng)絡(luò)上的DNＳ服務(wù)器并將其解析成對應(yīng)的IP地址。利用命令nｏipdomainlookｕp,可以禁用DNＳ服務(wù)器，可以減少輸入錯誤命令的等待時間SW1（confｉｇ)#linecoｎｓｏle0進(jìn)入CＯNCOLE0口線程下,通過CＯＮＳOLE線串口直接控制交換機(jī)或路由器接口ＳW1(cｏnfig-ｌiｎe)＃nｏeｘｅc-timｅｏut關(guān)閉超時時間(真實工程中不能用此命令)SW1（cｏnfig-lｉne）#loggingsｙnchｒonoｕs在線路上同步輸出用戶在為交換機(jī)配置命令時，配置命令會被交換機(jī)產(chǎn)生的內(nèi)部信息隔開或打亂以使用命令loggiｎｇｓynchronouｓ設(shè)置交換機(jī)在下一行ＣLI提示符后復(fù)制用戶的輸入。以上配置為路由器和交換機(jī)的基本配置,有方便管理防止出錯的作用,所以每臺設(shè)備上都要配置。4.5．2使用ＶTＰ從提高效率的角度出發(fā)，在企業(yè)網(wǎng)實現(xiàn)實例中使用了ＶTＰ技術(shù)。將分布層FB1設(shè)置成為VTP服務(wù)器，其他交換機(jī)設(shè)置成為ＶＴP客戶機(jī)。這里接入層交換機(jī)ＳW１將通過VＴP獲得在分布層交換機(jī)ＦB1中定義的所有VLＡN的信息。(見圖2)圖2分布層設(shè)備FB1ＦB１#vlａndatabａse特權(quán)模式下進(jìn)入VＬAＮ設(shè)置模式(小凡模擬器特有)ＦB1(vlａn)#vｔpdoｍａincisco定義VTP域名ＣｈangingVTPdｏmaｉnnamefromNULLtocｉsｃoＦB1(vlaｎ)#vtｐserｖeｒ?qū)⒃摻粨Q機(jī)設(shè)置為VＴP的服務(wù)端DeviceｍoｄeａlrｅadyVTPSERVER.FB１（vｌａn)#vtpv2－mode啟用的VTP版本號為2V２modeenabｌed.FB1(vlaｎ)#vｔppasswoｒd123４５6設(shè)置VＴP的密碼為12345６,交換機(jī)的ＶTＰ必須密碼一致才能同步SｅtｔingdeviｃeＶLAＮｄaｔabaｓepａsswｏｒｄto123456.ＦB1(ｖlａn)#vtpprunｉng啟用VTP修剪,激活ＶTＰ剪裁功能,默認(rèn)情況下主干道傳輸所有VLAN的用戶數(shù)據(jù)。有時,交換網(wǎng)絡(luò)中某臺交換機(jī)的所有端口都屬于同一VＬAＮ的成員,沒有必要接收其他VLAN的用戶數(shù)據(jù)。這時，可以激活主干道上的VTＰ剪裁功能。當(dāng)激活了VTP剪裁功能以后,交換機(jī)將自動剪裁本交換機(jī)沒有定義的VLAN數(shù)據(jù)。?在一個VTP域下，只需要在VTＰ服務(wù)器上激活VＴP剪裁功能。同一ＶTＰ域下的所有其他交換機(jī)也將自動激活VTP剪裁功能。PrunｉnｇｓｗitcheｄONＦB1(vｌａｎ）＃aｐply應(yīng)用以上配置APPLYcｏmｐleted.FＢ１(vlan)#exit退出VLAN配置模式進(jìn)入特權(quán)模式APPLYcompleteｄ.Exiting..．.在其他所有的交換機(jī)上都要做VＴP配置,我們以FB2為例(見圖3）圖３分布層設(shè)備FB2FＢ2#ｖlanｄaFB2（ｖｌａn)＃ｖtpdomainciｓcoＣhangｉnｇVＴＰdoｍａinnaｍｅｆｒoｍNＵＬＬtｏｃｉsｃoFＢ２(vlan)#ｖｔpcｌient將FB2設(shè)置為客戶端，客戶端可以學(xué)習(xí)到服務(wù)端的所有ＶLAＮ信息?？蛻裟Ｊ绞菦]有創(chuàng)建、修改、刪除VLAN得權(quán)利的，它只能接收和轉(zhuǎn)發(fā)信息。而服務(wù)器模式擁有以上的所用功能。ＳetｔingdevｉcetoVTPCLIEＮＴｍode.ＦＢ2（vlan)#vtｐv2Ｖ2modeenａblｅｄ.ＦB２(vｌan)#vtppassworｄ12３４5６SeｔtiｎgdeviceVＬAＮｄaｔabasｅpａssworｄｔo1２3４56.FＢ2（vlan)#exitInCLIENTstaｔｅ，noａppｌyａｔtｅｍpteｄ.Exiｔing..．.４.5．3劃分VLAN現(xiàn)在我們根據(jù)需求在服務(wù)端FB１上配置ＶLＡN信息，創(chuàng)建并命名(見表1）ＦＢ11＃vlａndaFB1（ｖlan）＃vlan10nameGLＢ創(chuàng)建一個VＬＡN１0命名為ＧＬBVＬAＮ１0ｍodified:Name:ＧLBＦB1(vlan)#ｖｌan20naｍｅSCBVLAN20added:Naｍe:SCBFB1(vlan)＃ｖlａn30ｎamｅＣWBVLAN3０aｄded:Naｍe:CWＢFB１(vｌａn)#vlan４0nameXＳBVLAN４0addｅd:Nａme：XSBFB1(vlａn)＃vｌaｎ50nameRLZYVLＡN50added:Name：ＲＬZＹＦB1（vｌan)#vlan60ｎａmeWLBVLAN60aｄdｅd:Naｍe:ＷLＢFB1(vlan)#eｘitAPPLYcｏmpｌeteｄ．Ｅｘitｉnｇ.．..４．5.4交換鏈路封裝所有交換機(jī)之間相連的線都要起封裝協(xié)議，我們以FB1和SＷ1之間的線為例(見圖4)圖4鏈路封裝FＢ1(ｃoｎｆig)＃interfａcｅfastEthernet0/４進(jìn)入要封裝的接口FB1(ｃoｎfiｇ-iｆ)#switｃhpｏｒttruｎkenｃapｓｕｌaｔionｄot1q進(jìn)行封裝FB1(cｏnfig－if)＃switchpｏrｔmodetｒｕnｋ指定封裝模式FＢ1（coｎfｉg-if)#noshutdowｎ開啟接口SW1（ｃonfｉg）#ｉnｔｅrfacefａsｔEtheｒnet０/０SW1(config-if）＃ｓwｉｔchｐorttｒunkｅncapsulatｉondｏｔ1qSＷ1(ｃonfig-iｆ)＃ｓwitｃhpoｒtｍodetrｕｎｋＳW1(cｏｎfig-if)#noshuｔdowｎ封裝交換機(jī)連接終端的接口，并把該接口劃入VLＡＮ,以ＳＷ１為例SW1(cｏnfiｇ）#intf０／2SW1（confiｇ-if）＃sｗｉｔｃhportmodeaccｅss手工指定封裝模式為AＣＣＥSＳ模式ＳＷ1(config-if)#swiｔｃhportａccｅsｓｖlan１０將F０/２口劃入VLAＮ10中SW１(cｏnfig－if)#nｏshutdown4．5．5PVST技術(shù)由于網(wǎng)絡(luò)拓?fù)浔容^大,兩兩相連加冗余會出現(xiàn)環(huán)路，所以需要配置二層防環(huán)的ＰVＳＴ首先要選舉根橋,我們這里手工指定HＸ1為VLＡN10203０的主根,VLAN405060的備份根；ＨX2為VＬAN４05060的主根,VＬＡN１0203０的備份根。HX1(confiｇ)＃ｓｐannｉｎg-treemodepｖst開啟PVST生成樹模式HX1(coｎｆig)#ｓpanninｇ-trｅeｖlan10，20，3０rｏoｔprimary將ＨX１設(shè)置為VLＡN1０2030的主根HX1(config)＃spaｎninｇ-ｔｒeevlan40,50，60ｒootsecondaｒｙ將HX１設(shè)置為ＶＬＡＮ40５060的備份根HＸ2(conｆig)#spａnｎｉｎg-trｅemodepvstＨＸ2(ｃoｎfig)＃spanning－ｔreeｖｌａn4０，50,60ｒooｔｐｒiｍarｙＨＸ2(ｃｏnfｉg)#ｓpａnning-treevlａn10，20，３０rｏoｔｓeｃondａry4.5.６PVＳT的三個FAＳT由于只啟用PVST后根切換時生成樹接口從阻塞狀態(tài)到轉(zhuǎn)發(fā)狀態(tài)速度會很慢,采用POＲTFAＳT,UＰLINKFAST,BACKBＯNEFＡＳT三個FＡＳT會大大縮短狀態(tài)轉(zhuǎn)換的時間,提高效率。Porｔfaｓt在接入層面向終端的接口上做，可減少３０Ｓ的時間SW1(config）#intｆ０/２SW1（ｃonfiｇ－if)#spanning-ｔｒeeportｆastbpｄuguard啟用ｐortfastUpｌiｎkfast在接入層交換機(jī)上做,可減少30S時間SW1(config)＃spannｉnｇ-ｔreeｕplinkfast啟用uplinkfastBackｂｏｎefaｓt在所有交換機(jī)上做，可減少20S時間SＷ１(ｃｏnｆｉg）＃spanning-ｔｒeebackbｏｎefast啟用backbonｅfａsｔ4.5.7DHＣP現(xiàn)在需要為路由器接口和所有的ＰC機(jī)接口配置ＩＰ地址。由于40０0個結(jié)點的網(wǎng)絡(luò)比較大,為每一臺ＰC手工配置地址的工作量相當(dāng)大，所以我們要使用ＤＨCP技術(shù)。ＨX１(cｏnfiｇ）#ipｄhｃpexcluded－ａddrｅsｓ１0.1．0．1HX1(config)#ipｄhcpｅxcｌuded-adｄｒｅsｓ1０.1.０.2HX１（cｏnfｉg）#ipdhcpｅxcｌuded－addｒeｓs1０.1.0.10０ＨX1（ｃonfig）＃ipdｈcｐexclｕded-ａddrｅsｓ10．１.3.254先配置除去ＰC機(jī)不能使用的IＰ地址ＨX1(config)#ipdhcpexcｌuｄed-address10.１.4.1HＸ1（confｉg)＃ipdhｃpeｘcｌudｅd-address１0.1.４.２HX１（config)#ipdhcpexｃluded-addｒess1０．1．４.１0０HX1（conｆｉg)＃ｉpdhcpexｃlｕdｅｄ－ａｄdreｓs１0．１．7.2５4HＸ1（cｏnfiｇ)#ipdｈcpexcluded－aｄdrｅss10.1.８.1HX１(config)#ipdhcpｅxclｕded-adｄrｅss1０.1．8.２HX１（ｃonfig)#ipdhcpexcｌuded-ａddｒess1０.１．８.100HＸ1（confｉｇ)＃iｐｄｈｃpexcluｄed-addｒesｓ１０.１.１１.254HＸ１(ｃonfig)#iｐdhcpexｃluｄed-addｒess10.1.１2.1HX1(coｎfig)#ipdhｃpeｘclｕｄｅd-address１0.1.12.２HX1(ｃonfig）＃ｉpdｈcpexcluded-ａdｄreｓs1０.1．1２.１00HX1（config)#iｐdｈｃpｅxcluｄeｄ-aｄdrｅsｓ10．１.15．25４ＨX1(ｃonfig)#iｐdhcpｅｘcludｅd-address10.1．１6．1HX1(confiｇ)#ｉｐdhcpexｃludｅd-adｄresｓ1０.1.16．２ＨＸ1(ｃonfig)#ipｄhｃpeｘｃlｕｄｅｄ-adｄrｅss10.1.1６.100HX1(confiｇ)#ipｄhcpexｃluded－addreｓs１０.1.19．254ＨX1(cｏnｆig）#ipｄhｃpexcｌuded－aｄdresｓ1０.1.20.1ＨX1(cｏｎfｉg)#ipdhｃpexcｌuｄed-adｄrｅss1０．1.20.2HX1(conｆｉg)#ipdｈｃｐｅxclｕdｅｄ-addreｓs1０．1.20.１０0HX1(cｏnｆig)#ｉpdhｃpexｃludｅｄ-aｄｄress10.1.23.２5４ＨＸ１(config)#ｉpdhcppoｏlcciｅ1創(chuàng)建地址池CCIＥ1,一個ＶLAN一個地址池netｗoｒｋ１０.1.０.025５．２55.248.０宣告網(wǎng)段default－ｒouter10.１.0．10０默認(rèn)網(wǎng)關(guān)leaseinｆｉｎite地址租約時間設(shè)置為無限HX１(confｉｇ)＃ｉpdhｃppooｌcｃie2netｗｏrｋ1０.1.4.0２55．2５５．24８.0deｆａuｌt-rｏutｅr１0.１.4.100ｌeaseｉnfiｎiｔeHX1(ｃonｆig)#ipdｈcｐpoolccｉe3network10．1.8．０2５５.2５５.248.０deｆaulｔ-routｅr１0.１.8.100ｌｅasｅｉnfiniteＨＸ１(config)#ｉｐdhcｐpoｏlccie4ｎetwork10.１.1２.０25５.2５5.２４8.０ｄeｆａult－ｒouter１0．1．12.1０0leasｅinｆiniｔｅＨX1(config)#ipｄｈcppｏoｌcｃｉｅ５netwｏｒｋ１0．1.１6.０25５．255．248．0ｄｅfauｌt-roｕtｅr10.1．１6．100leaseinfiniteＨX1（cｏｎfig)#ipdhｃｐpｏolccie6nｅｔｗｏrk2５5．255．24８.0dｅfａuｌｔ-ｒｏｕter10.１.２0.1０0leaseiｎfiｎiｔｅPC１(confiｇ)＃iｐdｅfａuｌｔ-gatewaｙ10．1．0．100在PC機(jī)上指定默認(rèn)網(wǎng)關(guān),所有的PC都要指和自己對應(yīng)的網(wǎng)關(guān)４．5.８HSＲP核心層交換機(jī)的作用是快速轉(zhuǎn)發(fā),如果它發(fā)生故障,則會導(dǎo)致下層所有網(wǎng)絡(luò)癱瘓。所以要給核心層交換機(jī)做備份做冗余。我們一般使用兩臺核心交換機(jī)。這就用到了三層冗余技術(shù)：熱備份HSRP。HX1（ｃoｎfｉg)#ｉnterfaｃeＶｌan10進(jìn)入VＬAN10的接口下HX1(ｃonｆｉｇ-if）#ipａddreｓs１0.1.0．12５５.２５5.２4８.0給VLAＮ１0配置虛擬IP地址ＨX１(conｆig－iｆ)＃stanｄbｙ１ip10.1.0.１00同步網(wǎng)關(guān)HＸ1(ｃonfｉg-ｉf）#standby1pｒｉority105設(shè)置優(yōu)先級，設(shè)置為主核心ACTIＶERＯUＴEＲHＸ1(coｎｆｉg-if)#standby1preemｐt配置搶占HX1（confｉg－if)#ｓtandｂy1tｒackFａ