企業(yè)辦公網(wǎng)網(wǎng)絡(luò)規(guī)劃設(shè)計說明書

.../企業(yè)辦公網(wǎng)網(wǎng)絡(luò)規(guī)劃設(shè)計...目錄TOC\o"1-3"\h\u1.網(wǎng)絡(luò)系統(tǒng)設(shè)計概述11.1項目背景11.2項目流程11.3項目調(diào)查與分析2總體目標2具體調(diào)查與分析22.需求分析42.1設(shè)計網(wǎng)絡(luò)需求42.2網(wǎng)絡(luò)功能42.3企業(yè)辦公網(wǎng)主干和信息點需求及分布52.4投資預算53.網(wǎng)絡(luò)系統(tǒng)設(shè)計63.1網(wǎng)絡(luò)設(shè)計依據(jù)63.2設(shè)計要求63.3設(shè)計目標63.4設(shè)備分析73.5網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計73.6內(nèi)部網(wǎng)絡(luò)設(shè)計9核心層交換機的設(shè)計9匯聚層交換機的設(shè)計10接入層交換機的設(shè)計11路由協(xié)議的設(shè)計123.7IP地址的設(shè)計13IP地址規(guī)劃和分配原則13網(wǎng)絡(luò)地址分配143.8VLAN的設(shè)計14VLAN的劃分的作用及原則14VLAN劃分14VLAN之間安全控制153.9網(wǎng)管系統(tǒng)的設(shè)計153.10外部網(wǎng)絡(luò)設(shè)計153.11綜合布線16網(wǎng)絡(luò)系統(tǒng)設(shè)計概述項目背景隨著網(wǎng)絡(luò)的逐步普及,中小型企業(yè)的建設(shè)是企業(yè)向信息化發(fā)展的必然選擇,企業(yè)網(wǎng)絡(luò)系統(tǒng)是一個非常龐大而復雜的系統(tǒng),它不僅為企業(yè)現(xiàn)代化、綜合信息管理和辦公自動化等一系列應用提供基本操作平臺,而且能提供多種應用服務(wù),使信息能及時、準確地傳送給各個系統(tǒng)。而中小型企業(yè)工程建設(shè)中主要應用了網(wǎng)絡(luò)技術(shù)中的重要分支局域網(wǎng)技術(shù)來建設(shè)與管理的,因此本畢業(yè)設(shè)計課題將主要以中小型局域網(wǎng)絡(luò)建設(shè)過程可能用到的各種技術(shù)及實施方案為設(shè)計方向,為中小型企業(yè)的建設(shè)提供理論依據(jù)和實踐指導。項目流程網(wǎng)絡(luò)項目施工一般可以分成三個階段：項目調(diào)查與分析、項目實施、項目驗收。對不同類型的網(wǎng)絡(luò)項目施工,這三個階段地具體內(nèi)容可能會有所不同。制定項目計劃時,要針對網(wǎng)絡(luò)項目施工類型制定完整、準確的項目流程,為后續(xù)工作做好充分的準備。本項目包括IP地址、交換機和路由器配置,項目流程如圖1所示。圖1項目流程圖本項目是針對企業(yè)局域網(wǎng)的項目,首先,要對工程項目進行總體目標分析,再根據(jù)項目實施原則,對項目進行具體的調(diào)查與分析,畫出網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。然后,對設(shè)備命名與用途進行規(guī)范,并列出設(shè)備清單,可根據(jù)本項目的特點,進行IP地址的分配、交換機的配置、路由器的配置和系統(tǒng)擴展和優(yōu)化,最后,對設(shè)備正常與否方面進行驗收,對網(wǎng)絡(luò)整體性能進行驗收。項目調(diào)查與分析總體目標因為本項目是企業(yè)局域網(wǎng),目的要求,要求企業(yè)內(nèi)部主機和部分局域網(wǎng)用戶能同時上INTERNET,并要求財務(wù)部和研發(fā)部只有總經(jīng)理有權(quán)訪問,其它部門可以相互訪問,企劃部和人事部上班時間不能訪問外網(wǎng),各部門均有流量限制,樓內(nèi)有OA辦公系統(tǒng)、財務(wù)管理系統(tǒng)、FTP服務(wù)器、DNS服務(wù)器、WEB服務(wù)器,故要有路由,防火墻,核心交換,二層交換,服務(wù)器等。具體調(diào)查與分析圖2辦公室一樓平面圖圖3辦公室二樓平面圖公司辦公大樓有兩層,為了方便用戶接入和擴展,路由、三層、匯聚層設(shè)備都安置在網(wǎng)絡(luò)中心,接入層設(shè)備安置在辦公室。為了使網(wǎng)絡(luò)通信時安全可以使用劃分VLAN并在三層交換上做訪問控制列表以使不同VLAN之間不能互相訪問,為了做到上網(wǎng)時間的控制,在三層交換上會使用到訪問控制列表。需求分析為實現(xiàn)上述目標,可以把整個系統(tǒng)建設(shè)分成兩個部分,即：網(wǎng)絡(luò)平臺建設(shè)和Internet/Intranet平臺建設(shè)?！? 網(wǎng)絡(luò)平臺是建立在結(jié)構(gòu)化布線基礎(chǔ)上的最基本的平臺?？煽康木W(wǎng)絡(luò)平臺是Internet/Intranet系統(tǒng)及應用系統(tǒng)正常運行的基礎(chǔ)。網(wǎng)絡(luò)平臺的設(shè)計應包括局域網(wǎng)的設(shè)計、廣域網(wǎng)的設(shè)計?！? Internet/Intranet平臺包括Intranet、Internet和Extranet。三者的關(guān)系如圖4所示。圖4Intranet、Internet和Extranet三者關(guān)系Internet/Intranet系統(tǒng)具有客戶端單一界面、易于使用的特點。在中中國港灣建設(shè)總公司的平臺建設(shè)中,Extranet部分對應于與各合作伙伴信息交流的相關(guān)部分。網(wǎng)絡(luò)系統(tǒng)主要是以光纖作為傳輸媒介、以IP和Intranet技術(shù)為技術(shù)主體、以核心交換機為交換中心、下屬部門信息網(wǎng)絡(luò)系統(tǒng)為分節(jié)點的多層結(jié)構(gòu)、提供與各種職能相關(guān)的、功能齊全、技術(shù)先進、資源統(tǒng)一的網(wǎng)上應用系統(tǒng),進一步可擴展成為多功能網(wǎng)絡(luò)平臺?？傮w目標是建立該企業(yè)的辦公業(yè)務(wù)信息網(wǎng)絡(luò)交換平臺,集成下屬各部門信息網(wǎng)絡(luò)系統(tǒng),功能齊全、技術(shù)先進、集成化的網(wǎng)絡(luò)系統(tǒng)。設(shè)計網(wǎng)絡(luò)需求<1> 信息的共享；<2> 公司管理；<3> 辦公自動化；<4> 高速Internet沖浪。網(wǎng)絡(luò)功能〔1建立公司自己的網(wǎng)站,可向外界發(fā)布信息,并進行網(wǎng)絡(luò)上的業(yè)務(wù)。〔2要求供銷部可以連接Internet,與各企業(yè)保持聯(lián)絡(luò),接受訂單及發(fā)布本公司產(chǎn)品信息。其他部門都不能連接Internet,但要求公司內(nèi)部由網(wǎng)絡(luò)連接?！?公司內(nèi)部網(wǎng)絡(luò)實現(xiàn)資源共享,以提高工作效率?！?建立網(wǎng)絡(luò)時應注意網(wǎng)絡(luò)的擴展性,以方便日后的網(wǎng)絡(luò)升級和增加計算機。〔5在公司內(nèi)部建立公司的數(shù)據(jù)庫,如員工檔案,業(yè)務(wù)計劃,會議日程等。企業(yè)辦公網(wǎng)主干和信息點需求及分布擬建的企業(yè)網(wǎng)絡(luò)主要涉及到四幢建筑物：行政樓〔含附近的門衛(wèi)、 生產(chǎn)車間〔含附近的廠區(qū)辦、運輸樓〔含附近的工段辦。這四幢建筑物之間擬通過光纜連接。網(wǎng)絡(luò)中心和機房設(shè)在行政樓內(nèi)。信息點需求為：行政樓：801個〔含門衛(wèi)1個生產(chǎn)車間：364個〔含廠區(qū)辦4個運輸樓：20個〔全為工段辦主干網(wǎng)接入全球互聯(lián)信息網(wǎng)外接〔Internet,各子網(wǎng)再接入主干通信網(wǎng)。主干網(wǎng)接入Internet的方式可是有線綜合寬帶網(wǎng),速率可在100Mbps左右。主干為千兆光纖線路,其它線路為超五類雙絞線。投資預算要求投資在20萬元以內(nèi),包括局域網(wǎng)設(shè)計〔可利用原有寬帶設(shè)備,交換機設(shè)備,綜合布線等。網(wǎng)絡(luò)系統(tǒng)設(shè)計本系統(tǒng)設(shè)計主要進行節(jié)點網(wǎng)絡(luò)拓撲、路由組織、IP地址、網(wǎng)絡(luò)安全設(shè)計、VLAN劃分和設(shè)備的具體配置等設(shè)計,詳細描述所采用的設(shè)備及性能參數(shù)、網(wǎng)絡(luò)管理。網(wǎng)絡(luò)設(shè)計依據(jù)<1> 遵循《中國公眾多媒體通信網(wǎng)技術(shù)體制》、《中國公眾多媒體通信網(wǎng)工程實施技術(shù)要求》以及其它國家相關(guān)標準和技術(shù)體制。<2> 采用層次化設(shè)計,網(wǎng)絡(luò)結(jié)構(gòu)的不同部分有不同的功能,使網(wǎng)絡(luò)具有優(yōu)良的結(jié)構(gòu)。<3> 優(yōu)化網(wǎng)絡(luò)和系統(tǒng)結(jié)構(gòu),并在各個層面考慮冗余和備份,使系統(tǒng)具有較高的容錯能力和應變能力,以保證系統(tǒng)的可靠和有效運作。<4> 選用的技術(shù)確保開放性、可移植性、兼容性和可擴展性。<5> 采用通用的國際標準和協(xié)議,不采用有礙網(wǎng)絡(luò)互通的廠家特有性能。<6> 提供有效的安全保密措施,確保整個網(wǎng)絡(luò)的安全。重要網(wǎng)絡(luò)設(shè)備應有適當?shù)娜哂鄠浞荨?lt;7> 盡量詳細準確,減低工程的復雜程度,使系統(tǒng)建設(shè)和改造的工作量減至最少,以保證工程的順利和有效完成。設(shè)計要求〔1實用性：網(wǎng)絡(luò)建設(shè)從應用實際需求出發(fā),堅持為領(lǐng)導決策服務(wù),為經(jīng)營管理服務(wù),為生產(chǎn)建設(shè)服務(wù)。另外,如果是對現(xiàn)有網(wǎng)絡(luò)升級改造,還應該充分考慮如何利用現(xiàn)有資源,盡量發(fā)揮設(shè)備效益?！?適度先進性：規(guī)劃局域網(wǎng),不但要滿足用戶當前的需要,還應該有一定技術(shù)前瞻性和用戶需求預見性,考慮到能夠滿足未來幾年內(nèi)用戶對網(wǎng)絡(luò)功能和帶寬的需要。采用成熟的先進技術(shù),兼顧未來的發(fā)展趨勢,即量力而行,又適當超前,留有發(fā)展余地?！?經(jīng)濟性：要求價格適中,設(shè)備及耗材要求采用質(zhì)量過硬,物美價廉,投資預算不超過20萬?！?安全可靠性：確保網(wǎng)絡(luò)可靠運行,在網(wǎng)絡(luò)的關(guān)鍵部分應具有容錯能力,提供公共網(wǎng)絡(luò)連接、通信鏈路、服務(wù)器等全方位的安全管理系統(tǒng)?！?開放性：采用國際標準通信協(xié)議、標準操作系統(tǒng)、標準網(wǎng)管軟件、采用符合標準的設(shè)備,保證整個系統(tǒng)具有開放特點,增強與異機種、異構(gòu)網(wǎng)的互聯(lián)能力。〔6可擴展性：系統(tǒng)便于擴展,保證前期的投資的有效性與后期投資的連續(xù)性〔7安全保密性：為了保證網(wǎng)上信息的安全和各種應用系統(tǒng)的安全,在規(guī)劃時就要為局域網(wǎng)考慮一個周全的安全保密方案。設(shè)計目標該企業(yè)網(wǎng)絡(luò)系統(tǒng)應是一個以寬帶IP網(wǎng)為目標,建立數(shù)據(jù)、語音、視頻三網(wǎng)合一的一體化內(nèi)部辦公網(wǎng)絡(luò)和外部寬帶。網(wǎng)絡(luò)系統(tǒng)應實現(xiàn)虛擬局域網(wǎng)〔VLAN的功能,以保證全網(wǎng)的良好性能及網(wǎng)絡(luò)安全性。主干網(wǎng)交換機應具有很高的包交換速度,整個網(wǎng)絡(luò)應具有高速的三層交換功能。主干網(wǎng)絡(luò)應該采用成熟的、可靠的千兆以太網(wǎng)技術(shù)作為網(wǎng)絡(luò)系統(tǒng)主干。同時該網(wǎng)應選用先進的網(wǎng)管軟件,建立完善的網(wǎng)絡(luò)管理體系；在設(shè)備方面,應選擇有成功案例的網(wǎng)絡(luò)廠商的設(shè)備,同時為Intranet、撥號用戶和移動用戶提供接口,網(wǎng)絡(luò)還應具有良好的擴展性。設(shè)備分析根據(jù)對網(wǎng)絡(luò)需求的考察,根據(jù)合理性、實用性和節(jié)約費用等原則進行設(shè)備選擇：〔1基于路由器和交換機的局部網(wǎng)間的互聯(lián)是最好的解決方案。網(wǎng)絡(luò)協(xié)議方面,以網(wǎng)際協(xié)議〔IP作為校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)的公用網(wǎng)絡(luò)協(xié)議實行標準化,使用IP作為標準傳輸協(xié)議,在以后對網(wǎng)絡(luò)進行擴充以與其它的網(wǎng)絡(luò)互連時,可以跨越多個平臺自然而然地提供互操作能力和無縫連接功能。〔2在主干網(wǎng)建設(shè)時,選擇3Com和Cisco系統(tǒng)產(chǎn)品,它能夠以極具競爭力的價格提供所有技術(shù),為我們提供一個集成化、高性能、靈活、可伸縮、安全和高性能價格比的解決方案的標準?！?在局部網(wǎng)建設(shè)方面,選擇使用CISCO設(shè)備和TP-LINK產(chǎn)品作為骨干網(wǎng)基礎(chǔ)設(shè)施的基礎(chǔ)。CISCO設(shè)備和TP-LINK方案提供了可伸縮的結(jié)構(gòu)和高性能的設(shè)備,能夠高速傳輸數(shù)據(jù),同時通過它們Secure技術(shù)保證了安全地接入Internet和一體化的網(wǎng)絡(luò)解決方案。〔4計算機終端設(shè)備的選型既考慮性能、價格比、設(shè)備的運行維護費用,也考慮設(shè)備的可擴充性,確保系統(tǒng)主要設(shè)備的投入在整個系統(tǒng)的生命周期內(nèi)能得到充分利用并具有強健靈活的體系結(jié)構(gòu)。同時,也考慮局部子網(wǎng)對硬件和信息流量的要求,必須能夠提供專用的高速帶寬,以處理日常數(shù)據(jù)信息和峰值操作,并能夠支持各種新技術(shù)和新增用戶?！?安全性是另一個關(guān)鍵要求,要保證能夠安全地接入Internet。網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計在用戶的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計中,我們建議采用層次化的結(jié)構(gòu)設(shè)計。對于用戶即將建設(shè)的網(wǎng)絡(luò)系統(tǒng)來說,想要建設(shè)成為一個覆蓋范圍廣、網(wǎng)絡(luò)性能優(yōu)良、具有很強擴展能力和升級能力的網(wǎng)絡(luò),在起初的設(shè)計中就必須采用層次化的網(wǎng)絡(luò)設(shè)計原則。采用這樣的結(jié)構(gòu)所建設(shè)的網(wǎng)絡(luò)具有良好的擴充性、管理性,因為新的子網(wǎng)模塊和新的網(wǎng)絡(luò)技術(shù)能被更容易集成到整個系統(tǒng)中,而不破壞已存在的骨干網(wǎng)。大多數(shù)的網(wǎng)絡(luò)都可以被層次性劃分為三個邏輯服務(wù)單元：核心骨干網(wǎng)<Backbone>、匯聚網(wǎng)<Distribute>和接入網(wǎng)<Local－access>,模塊化網(wǎng)絡(luò)設(shè)計方法的目標在于把一個大型的網(wǎng)絡(luò)元素劃分成一個個互連的網(wǎng)絡(luò)層次。層次性結(jié)構(gòu)如圖5所示。圖5層次性結(jié)構(gòu)圖根據(jù)項目的具體需求及現(xiàn)有的光纖結(jié)構(gòu),結(jié)合網(wǎng)絡(luò)建設(shè)的基本理論和原則,各入網(wǎng)部門的實際情況,應用需求,資金條件和遠,近目標等各方面的要求,設(shè)計出該網(wǎng)絡(luò)為拓撲結(jié)構(gòu)為分層的集中式結(jié)構(gòu)或稱星型分級拓撲,如圖6所示。圖6內(nèi)部網(wǎng)絡(luò)拓撲網(wǎng)絡(luò)邏輯拓撲結(jié)構(gòu)如圖所示。它是在基于高端路由交換機的基礎(chǔ)之上而設(shè)計的新的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。簡要說明如下：整個網(wǎng)絡(luò)由核心層、匯聚層和接入層兩大部分組成。核心層是由CISCOWS-C3560-48TS-S企業(yè)級核心路由交換機組成。匯聚層由CISCOWS-C3560-24TS-S路由交換機組成。接入層是由接入層樓層交換機CISCOWS-C2918-24TC-C組成,主要設(shè)備清單如表1所示。表1主要網(wǎng)絡(luò)設(shè)備列表拓撲結(jié)構(gòu)設(shè)備型號數(shù)量〔臺核心層路由交換機CISCOWS-C3560-48TS-S2匯聚層路由交換機CISCOWS-C3560-24TS-S3接入層樓層交換機CISCOWS-C2918-24TC-C26以行政樓中心機房為中心,下屬部門為接入點的星型連接方式?，F(xiàn)階段出于用戶的應用和先進性考慮,通過千兆光纖連接。各樓層的辦公網(wǎng)是以星型的方式千兆直接連接到各匯聚機房的匯聚交換機上后,由匯聚交換機通過千兆接到核心交換機。我們可采用千兆路由交換機與各LAN網(wǎng)段的交換機〔Switch連接而組成星型網(wǎng)絡(luò),實現(xiàn)千兆核心網(wǎng)絡(luò)到各樓層,百兆到桌面,滿足各種應用的需要。核心層交換機與服務(wù)器群的相連是以千兆以太網(wǎng)的方式。以上拓撲結(jié)構(gòu)設(shè)計有以下特點：它充分利用網(wǎng)絡(luò)資源,把交換路由模塊分開成第二層交換和第三層路由,這樣做對網(wǎng)絡(luò)的性能大有改善。網(wǎng)絡(luò)拓撲結(jié)構(gòu)層次清楚,易于擴充和升級〔后面有升級的拓撲方案,同時體現(xiàn)了開放式的體系結(jié)構(gòu)。由于核心交換機所承載的流量相應減少,從另一個角度來說,也即提高了網(wǎng)絡(luò)整體的可靠性,對用戶的QoS從網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化上得到了保證。大大減少網(wǎng)絡(luò)瓶頸和由于鏈路、路由而導致的故障。通過在網(wǎng)內(nèi)劃分VLAN的技術(shù)來確保網(wǎng)絡(luò)內(nèi)部的安全性。內(nèi)部網(wǎng)絡(luò)設(shè)計核心層交換機的設(shè)計核心層主要功能是給下層各業(yè)務(wù)匯聚節(jié)點提供IP業(yè)務(wù)平面高速承載和交換通道,負責進行數(shù)據(jù)的高速轉(zhuǎn)發(fā),同時核心層是局域網(wǎng)的骨干,是局域網(wǎng)互連的關(guān)鍵。對核心骨干網(wǎng)絡(luò)設(shè)備的部署應為能夠提供高帶寬、大容量的核心路由交換設(shè)備,同時應具備極高的可靠性,能夠保證24小時全天候不間斷運行,也就必須考慮設(shè)備及鏈路的冗余性、安全性,而且核心骨干設(shè)備同時還應擁有非常好的擴展能力,以便隨著網(wǎng)絡(luò)的發(fā)展而發(fā)展?；趯诵膶拥墓δ芗白饔?根據(jù)用戶的實際需求,本方案中對網(wǎng)絡(luò)系統(tǒng)中核心層由CISCO系列的企業(yè)級核心交換機WS-C3560-48TS-S組成。其主要任務(wù)是提供高性能、高安全性的核心數(shù)據(jù)交換、QoS和為接入層提供高密度的上聯(lián)端口。為整個大樓寬帶辦公網(wǎng)提供交換和路由的核心,完成各個部分數(shù)據(jù)流的中央?yún)R集和分流。同時為數(shù)據(jù)中心的服務(wù)器提供千兆高速連接。根據(jù)該企業(yè)的建筑分布及網(wǎng)絡(luò)規(guī)模,以行政樓的中心機房作為整個網(wǎng)絡(luò)系統(tǒng)的核心節(jié)點。核心節(jié)點由2臺同檔次的網(wǎng)絡(luò)核心設(shè)備構(gòu)成,它們互為備份且流量負載均衡。2臺網(wǎng)絡(luò)核心交換機作為整個網(wǎng)絡(luò)的核心層設(shè)備,為各個匯聚層和接入層交換機提供上聯(lián)。同時提供了各個服務(wù)器的可靠接入。由于WS-C3560-48TS-S是路由交換機,也即同時具有第二層和第三層的交換能力,為了充分利用資源,將WWW服務(wù)器、E－mail服務(wù)器、數(shù)據(jù)庫服務(wù)器、文件VOD服務(wù)器、認證的服務(wù)器〔Radiusserver以及網(wǎng)管設(shè)備等通過千兆直接連人核心交換機,以解決帶寬瓶頸,充分利用核心交換機的交換能力。核心交換機作為信息網(wǎng)絡(luò)的核心設(shè)備,性能的優(yōu)劣直接影響到整個網(wǎng)絡(luò)運行。在設(shè)備的選型上必須考慮到有足夠的背板帶寬,包交換能力,是否支持設(shè)備的冗余,安全性,擴展性等各種性能。企業(yè)級核心交換機WS-C3560-48TS-S完全滿足上述的各項要求。企業(yè)級核心路由交換機WS-C3560-48TS-S的性能特性及技術(shù)指標如下：? 交換機類：企業(yè)級交換機? 應用層級：三層? 接口介質(zhì)：10/100BASE-T/100FX? 傳輸速率：10Mbps/100Mbps? 端口數(shù)量：48? 背板帶寬：32Gbps? VLAN支持：支持? 網(wǎng)管功能：網(wǎng)管功能SNMP,CLI,? 包轉(zhuǎn)發(fā)率：13.1Mpps? MAC地址：12k? 網(wǎng)絡(luò)標準：IEEE802.3,802.3u,? 端口結(jié)構(gòu)：非模塊化匯聚層交換機的設(shè)計匯聚層主要完成的任務(wù)是對各業(yè)務(wù)接入節(jié)點的業(yè)務(wù)匯聚、管理和分發(fā)處理,是完成網(wǎng)絡(luò)流量的安全控制機制,以使核心網(wǎng)和接入訪問層環(huán)境隔離開來；同時匯聚層起著承上啟下的作用,對上連接至核心層,對下將各種寬帶數(shù)據(jù)業(yè)務(wù)分配到各個接入層的業(yè)務(wù)節(jié)點,匯聚層位于中心機房或下聯(lián)單位的分配線間,主要用于匯聚接入路由器以及接入交換機。因此對匯聚層的交換機部署時必須考慮交換機必須具有足夠的可靠性和冗余度,防止網(wǎng)絡(luò)中部分接入層變成孤島；還必須具有高處理能力,以便完成網(wǎng)絡(luò)數(shù)據(jù)會聚、轉(zhuǎn)發(fā)處理；具有靈活、優(yōu)化的網(wǎng)絡(luò)路由處理能力,實現(xiàn)網(wǎng)絡(luò)匯聚的優(yōu)化。而且規(guī)劃匯聚層時建議匯聚層節(jié)點的數(shù)量和位置應根據(jù)業(yè)務(wù)和光纖資源情況來選擇；匯聚層節(jié)點可采用星形連接,每個匯聚層節(jié)點保證與兩個不同的核心層節(jié)點連接。根據(jù)匯聚層在整個網(wǎng)絡(luò)中的作用以及用戶的實際需求,本方案中匯聚層共設(shè)計了3個節(jié)點,即：行政樓、生產(chǎn)車間和運輸樓〔工段辦。匯聚層網(wǎng)絡(luò)設(shè)備全部采用了CISCOWS-C3560-24TS-S交換機。該交換機支持各種高級路由協(xié)議,如BGP4、RIPV1、RIPv2、VRRP、OSPF、IP組播、IPX路由。匯聚路由交換機CISCOWS-C3560-24TS-S的性能特性及技術(shù)指標如下：? 交換機類：企業(yè)級交換機? 應用層級：三層? 接口介質(zhì)：10/100BASE-T/100FX? 傳輸速率：10Mbps/100Mbps? 端口數(shù)量：24? 背板帶寬：32Gbps? VLAN支持：支持? 網(wǎng)管功能：SNMP,CLI,Web,管理接入層交換機的設(shè)計接入層主要用來支撐客戶端機器對服務(wù)器的訪問,主要是指接入路由器、交換機、終端訪問用戶。它利用多種接入技術(shù),迅速覆蓋至用戶節(jié)點,將不同地理分布的用戶快速有效地接入到信息網(wǎng)的匯聚。對上連接至匯聚層和核心層,對下進行帶寬和業(yè)務(wù)分配,實現(xiàn)用戶的接入。根據(jù)我們所借鑒的項目設(shè)計經(jīng)驗,匯聚層節(jié)點與接入層節(jié)點可考慮采用星形連接,每個接入層節(jié)點與兩個匯聚層節(jié)點連接。當接入層采用其它結(jié)構(gòu)〔如環(huán)行連接到匯聚層時,建議提供兩條不同路由通道。根據(jù)接入層處在網(wǎng)絡(luò)系統(tǒng)中所起的作用以及用戶的實際需求,本方案中接入層部分由CISCO公司的WS-C2918-24TC-C交換機構(gòu)成。其主要功能是為該區(qū)域下屬各部門的網(wǎng)絡(luò)用戶提供大量性價比極高的10/100兆網(wǎng)絡(luò)接口,并與信息中心的核心交換機通過1000兆光纖鏈路互聯(lián)為接入的用戶提供高速上聯(lián)。接入層樓層交換機CISCOWS-C2918-24TC-C的性能特性及技術(shù)指標情況如下：? 交換機類：快速以太網(wǎng)交換機? 應用層級：二層? 傳輸速率：10Mbps/100Mbps/1000M? 端口數(shù)量：24? 背板帶寬：16Gbps? VLAN支持：支持? 網(wǎng)管功能：CiscoIOSCLI,Web瀏? 包轉(zhuǎn)發(fā)率：6.5Mpps? MAC地址：8K? 網(wǎng)絡(luò)標準：IEEE802.1D,IEEE802? 端口結(jié)構(gòu)：非模塊化? 交換方式：存儲-轉(zhuǎn)發(fā)? 產(chǎn)品內(nèi)存：64MB? 傳輸模式：支持全雙工? 網(wǎng)管支持：支持? 模塊化插：2路由協(xié)議的設(shè)計如果網(wǎng)絡(luò)中只有一個路由器或路由交換機,不需要使用路由協(xié)議；只有當網(wǎng)絡(luò)中具有多個路由器時,才有必要讓它們?nèi)ス蚕硇畔?。但如果僅有小型網(wǎng)絡(luò),完全可以通過靜態(tài)路由手動地更新路由表?，F(xiàn)使用較多的路由協(xié)議,主要以下幾種：〔1RIPRIP〔Routeinformationprotocol,即路由信息協(xié)議是基于D-V算法〔距離向量算法的內(nèi)部動態(tài)路由協(xié)議。RIP協(xié)議的標準主要有RFC1058〔版本1和RFC1723〔版本2?！?OSPFOSPF〔OpenShortestPathFirst,即最短路徑優(yōu)先協(xié)議是一種基于鏈路狀態(tài)的內(nèi)部動態(tài)路由協(xié)議。目前OSPF的主要標準是RFC2328〔版本2。完整的OSPF功能包括支持廣播、NBMA、點到多點、點到點四種接口類型,以及MD5驗證、區(qū)域劃分、區(qū)域間路由聚合、虛連接、STUB區(qū)域等特性?！?IS-ISIS-IS〔IntermediateSystem-IntermediateSystem,中間系統(tǒng)到中間系統(tǒng)協(xié)議是由國際標準化組織〔ISO制訂的路由協(xié)議,屬于開放系統(tǒng)互聯(lián)協(xié)議簇。IS-IS對應的標準是ISO10589和RFC1195。在IGP路由協(xié)議的選擇上,盡量不要采用擴展性差的〔RIP和廠家的私有路由協(xié)議〔IGRP和EIGRP,盡量采用OSPF或IS-IS。對于OSPF和IS-IS的選擇依據(jù)為：基本原理相同〔基于鏈路狀態(tài)算法,OSPF用于IP,IS-IS用于ISO的CLNP,也支持IP〔"集成IS-IS"；IS-IS結(jié)構(gòu)嚴謹,OSPF更加靈活,OSPF協(xié)議是基于接口的,而IS-IS路由器只能屬于一個Area,并且不支持NBMA網(wǎng)絡(luò)；IS-IS占用網(wǎng)絡(luò)資源相對較少,支持網(wǎng)絡(luò)規(guī)模大于OSPF,在網(wǎng)絡(luò)相當龐大時能體現(xiàn)出優(yōu)勢；一個IGP域運行的三層交換機及路由器的數(shù)量一般不會超過200臺,因此從實際情況來看,運行OSPF和IS-IS對IP城域網(wǎng)/承載網(wǎng)的建設(shè)不會有差異；對于網(wǎng)絡(luò)的穩(wěn)定性、可擴充性,兩種協(xié)議都能很好地支持；在大型ISP上,IS-IS與OSPF二者均獲得普遍應用；從MPLS草案及現(xiàn)實運行來看,如果要運行MPLS網(wǎng)絡(luò)的話,OSPF經(jīng)常被選用做內(nèi)部IGP,當然IS-IS也有,但是MPLS草案中認為在MPLS環(huán)境中運行OSPF更合適；使用MPLSTE的時候,采用IS-IS擴展的較多；從目前很多廠商的設(shè)備來看,存在這樣一個問題,不少廠商的中低端路由器及三層交換機不支持IS-IS,從這個角度講OSPF比IS-IS有優(yōu)勢,所有的主流路由器及三層交換機都支持OSPF。OSPF路由協(xié)議相應的配置策略為：?AS內(nèi)部節(jié)點均運行OSPFv2路由協(xié)議；?如果與別的IP網(wǎng)絡(luò)互通,建議配置EBGP路由協(xié)議,并且配置OSPF引入BGP路由；為減少處理開銷和網(wǎng)絡(luò)開銷,可將網(wǎng)絡(luò)的主干部分劃分為OSPF主干區(qū)域〔區(qū)域號為0,在邊緣的支局子網(wǎng)配置成為OSPF子區(qū)域,從而分散路由處理,減少網(wǎng)絡(luò)帶寬占用。通過配置區(qū)域,使OSPF可以分層次管理大型網(wǎng)絡(luò),實現(xiàn)可擴展性。使用OSPF協(xié)議必須考慮到骨干區(qū)域的連通性,即使某條鏈路斷掉后能保證骨干區(qū)域不會分離；另外,還需要考慮網(wǎng)絡(luò)邊緣層設(shè)備的動蕩對于核心網(wǎng)絡(luò)的影響。對于本次方案,根據(jù)初期階段實現(xiàn)目標：實現(xiàn)信息點最優(yōu)連通,建議采用OSPF路由協(xié)議使路由全網(wǎng)可達。具體設(shè)計如下：核心交換機與匯聚交換機都為三層路由交換機,相互間使用OSPF路由協(xié)議,并運行在AREAR0區(qū)域上。核心交換機為三層交換機,與防火墻連接通過采用IP靜態(tài)路由的方式,防火墻通過配置缺省路由使網(wǎng)絡(luò)用戶對Internet進行訪問。IP地址的設(shè)計IP地址規(guī)劃和分配原則〔1根據(jù)目前網(wǎng)絡(luò)結(jié)構(gòu)和以后擴展,遵循以下原則進行IP地址分配。唯一性：IP地址必須唯一,一個IP地址對應一臺數(shù)據(jù)通訊設(shè)備；連續(xù)性：為同一網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址,便于規(guī)劃,同時提高路由器尋徑效率；可管理性：地址的分配應該有層次性,某個局部的變動不影響網(wǎng)絡(luò)的其它部分；高效性：采用可變長子網(wǎng)掩碼技術(shù),要求采用支持可變長子網(wǎng)掩碼技術(shù)的TCP/IP協(xié)議族；可匯聚性：方便路由匯總,縮減路由表條目,提高路由器處理效率。可擴展性：既要考慮到IP地址的使用現(xiàn)狀,又要考慮到未來信息網(wǎng)絡(luò)的發(fā)展,為各單位分配合理的地址空間,在網(wǎng)絡(luò)上盡可能少地做NAT,減少網(wǎng)絡(luò)設(shè)備CPU處理負擔和加快網(wǎng)絡(luò)訪問速度。〔2業(yè)務(wù)地址的劃分可以按照兩個原則來分配：按照部門規(guī)劃,每個部門一個獨立的網(wǎng)段；這種方案適合業(yè)務(wù)種類單一的情況,管理方便。按照業(yè)務(wù)規(guī)劃,每種業(yè)務(wù)一個網(wǎng)段,所有的地市同一業(yè)務(wù)使用同一網(wǎng)段,這種方案適合業(yè)務(wù)之間互訪的控制。網(wǎng)絡(luò)地址分配IP地址規(guī)劃和分配包括以下內(nèi)容：〔1設(shè)備及互連鏈路地址規(guī)劃與分配〔2業(yè)務(wù)地址規(guī)劃與分配〔3服務(wù)器地址規(guī)劃與分配根據(jù)以上IP地址的劃分原則,本方案建議IP的設(shè)計如下：A段〔行政樓、門衛(wèi)：~192.1VLAN的設(shè)計VLAN的劃分的作用及原則VLAN〔VirtualLocalAreaNetwork是虛擬局域網(wǎng)的英文縮寫,它最簡明的描述就是可以實現(xiàn)將連接在同一個物理網(wǎng)絡(luò)上面的主機分組,使它們看起來就象連接在不同的網(wǎng)絡(luò)上一樣。我們可以通過VLAN為網(wǎng)絡(luò)分段,各個網(wǎng)段可以共用同一套網(wǎng)絡(luò)設(shè)備,節(jié)約了網(wǎng)絡(luò)硬件的開銷,同時在遷移中所需的工作量也大幅度降低了,從而降低了連網(wǎng)成本。在用戶的企業(yè)局域網(wǎng)系統(tǒng)中,我們建議基于IEEE802.1Q標準實現(xiàn)VLAN,在VLAN設(shè)計中,我們使用VLAN達到兩個目的：第一,不同業(yè)務(wù)部門之間的隔離和通信控制；第二,廣播范圍抑制。VLAN劃分我們建議根據(jù)各個辦公室的地理位置來劃分VLAN,如果同一棟樓內(nèi)包含很多部門,而這些部門的職能和工作內(nèi)容又有很大的區(qū)別,我們就可以在樓內(nèi)按照部門來劃分VLAN。另外,如果某個部門需要跨越很多建筑物,分布范圍比較廣,例如部門A分布的很散,在很多交換機上都預留了部門A的信息點,我們則可以按照交換機的位置來設(shè)置VLAN,這樣,部門A就可能對應多個VLAN,如果部門A所對應的VLAN之間需要通信的話,我們可以通過VLAN間的路由來實現(xiàn)。這樣做的好處是：可以減少廣播數(shù)據(jù)包對網(wǎng)絡(luò)主干的影響。因為如果將部門A全部劃分到一個VLAN中,而這些VLAN又跨越了網(wǎng)絡(luò)主干,分布在眾多不同的交換機上,這樣如果有廣播包時,這些廣播包必然會在網(wǎng)絡(luò)的主干上傳輸,然后到達相應的交換機上,也就占用了網(wǎng)絡(luò)主干的帶寬,容易造成其他業(yè)務(wù)的時延。為了減少傳輸沖突,提高系統(tǒng)整體性能和網(wǎng)絡(luò)處理能力,另外,還考慮到網(wǎng)絡(luò)良好的管理性,易于維護和安全策略的實施,針對用戶網(wǎng)絡(luò)系統(tǒng)的實際情況,可以把功能〔應用相近的設(shè)備群組劃分到同一VLAN,不同部門的設(shè)備劃分到不同VLAN中去,這樣就能夠通過訪問控制列表技術(shù)實施安全策略。限制未授權(quán)的用戶訪問重要的服務(wù)器和數(shù)據(jù)庫。表2VLAN劃分舉例VLAN用途命名規(guī)范表Vlan10財務(wù)部FINANCIALVlan11市場銷售部MARKETVlan12管理部MANAGING………………VLAN之間安全控制在用戶網(wǎng)絡(luò)系統(tǒng)中,由于在中心使用了三層核心交換機,因此所有的VLAN之間的訪問都需要通過三層核心交換機進行,因此可以通過ACL〔訪問控制列表控制VLAN之間的流量,這樣就可以允許高優(yōu)先級的VLAN段訪問低優(yōu)先級的VLAN段,而低優(yōu)先級的VLAN段不能訪問或有限的訪問高優(yōu)先級VLAN段。網(wǎng)管系統(tǒng)的設(shè)計網(wǎng)絡(luò)管理系統(tǒng)時對整個網(wǎng)絡(luò)進行監(jiān)視、控制和維護管理,以提高網(wǎng)絡(luò)的有效性、利用率、安全性和可靠性。網(wǎng)絡(luò)管理系統(tǒng)由網(wǎng)管中心、網(wǎng)管單元、管理信息庫和網(wǎng)絡(luò)管理協(xié)議四部分組成。網(wǎng)管中心是網(wǎng)管人員和管理信息系統(tǒng)間的接口,它將網(wǎng)管人員的命令轉(zhuǎn)換為對實際網(wǎng)元的監(jiān)視和控制。網(wǎng)管單元在每個節(jié)點執(zhí)行各項網(wǎng)絡(luò)管理任務(wù),采集網(wǎng)絡(luò)資源信息,存儲本地相關(guān)數(shù)據(jù)并響應網(wǎng)管人員命令。管理信息庫<MIB>存放各種網(wǎng)絡(luò)管理信息的特征參數(shù)和邏輯結(jié)構(gòu)。網(wǎng)絡(luò)管理協(xié)議按規(guī)約執(zhí)行網(wǎng)管人員與網(wǎng)管單元和管理信息庫之間的通信。該企業(yè)網(wǎng)絡(luò)系統(tǒng)設(shè)一個網(wǎng)管中心,該中心設(shè)在行政樓機房,負責對全網(wǎng)進行管理。外部網(wǎng)絡(luò)設(shè)計