網(wǎng)絡(luò)工程設(shè)計(jì)方案網(wǎng)絡(luò)構(gòu)架

摘要中小企業(yè)在一國的經(jīng)濟(jì)中發(fā)揮的作用具有不可替代性，但其進(jìn)一步的發(fā)展卻受到許多因素制約，這些因素中最突出的表現(xiàn)就是融資難。中小企業(yè)融資難是一個(gè)普遍性的問題，包括融資渠道不暢、融資結(jié)構(gòu)失衡、融資成本高等一系列融資難的問題已經(jīng)對(duì)我國中小企業(yè)的進(jìn)一步發(fā)展構(gòu)成了瓶頸制約。中小企業(yè)在融資方面的“營養(yǎng)”不良以及由此帶來的“健康”狀況上的每況愈下正引起人們的廣泛關(guān)注。本文立足企業(yè)和銀行，著眼于整個(gè)社會(huì)信用環(huán)境和政府職能，遵循提出問題、分析問題依據(jù)國情并借鑒其他國家做法解決問題的基本思路，對(duì)我國中小企業(yè)融資問題的現(xiàn)狀、成因和解決辦法進(jìn)行了深入的分析和探討，力圖做到系統(tǒng)綜合，標(biāo)本兼治。目錄TOC\o"1-3"\u摘要 3ABSTRACT 3目錄 4引言 2第一章項(xiàng)目需求分析 21.1. 項(xiàng)目背景 31.2需求分析 4第二章網(wǎng)絡(luò)總體建設(shè)目標(biāo) 52.1 網(wǎng)絡(luò)建設(shè)目標(biāo) 52.2 網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容及要求 62.3 網(wǎng)絡(luò)設(shè)計(jì)原則 8第三章網(wǎng)絡(luò)總體設(shè)計(jì) 93.1網(wǎng)絡(luò)總體拓?fù)鋱D 93.2網(wǎng)絡(luò)層次化設(shè)計(jì) 103.3核心層設(shè)計(jì) 113.4接入層設(shè)計(jì) 123.5內(nèi)聯(lián)接入 13第四章路由設(shè)計(jì) 134.1路由協(xié)議選擇 134.1.1OSPF協(xié)議主要優(yōu)點(diǎn)： 134.1.2SPF算法 134.1.3OSPF規(guī)定有層次的網(wǎng)路結(jié)構(gòu)，OSPF將網(wǎng)絡(luò)分為若干區(qū)域： 144.1.4OSPF路由器在完全鄰接之前,所經(jīng)過的幾個(gè)狀態(tài): 144.1.5虛鏈路(VirtualLink) 154.2路由規(guī)劃拓?fù)鋱D 154.3IP地址規(guī)劃 15第五章網(wǎng)絡(luò)安全解決方案 175.1網(wǎng)絡(luò)邊界安全威脅分析 175.2網(wǎng)絡(luò)內(nèi)部安全威脅分析 195.3安全產(chǎn)品選型原則 195.4網(wǎng)絡(luò)常用技術(shù)介紹 20第六章產(chǎn)品簡介 246.1Cisco2800系列集成多業(yè)務(wù)路由器 246.2CiscoCatalyst3560系列集成交換機(jī) 246.3CiscoCatalyst2960系列集成交換機(jī) 25第七章項(xiàng)目實(shí)施計(jì)劃 277.1項(xiàng)目組織結(jié)構(gòu) 277.2項(xiàng)目人員分工 277.3項(xiàng)目實(shí)施前的準(zhǔn)備工作 297.4安裝前的場地準(zhǔn)備 297.5核心及各網(wǎng)點(diǎn)的安裝調(diào)試 31第八章網(wǎng)絡(luò)測試 328.1網(wǎng)絡(luò)測試目的 328.2測試文檔 32第九章網(wǎng)絡(luò)架構(gòu) 37第十章網(wǎng)絡(luò)設(shè)備基本配置（內(nèi)部） 4910.1網(wǎng)絡(luò)描述 4910.2基本配置 4910.2.1交換機(jī)Cisco3560的基本配置 4910.2IP地址配置 5210.3檢查設(shè)備的連通性 5310.4Windows服務(wù)器的安裝： 5410.5安裝DNS、DC、WEB、FTP等服務(wù)器，配置如下 6710.5.1安裝DNS 6710.5.2安裝域控制器（DC） 7510.5.3安裝WEB 8510.5.4安裝FTP 92第十一章網(wǎng)絡(luò)配置的基本配置（分部） 9811.1網(wǎng)絡(luò)描述 9811.2基本配置 9911.2.1交換機(jī)Catalyst3560的基本配置 9911.2.2IP地址配置 10211.3檢查設(shè)備的連通性 10311.4Windows服務(wù)器的安裝： 10411.5安裝DNS、DC、WEB、FTP等服務(wù)器，配置如下 11811.5.1安裝DNS 11811.5.2安裝域控制器（DC） 12611.5.4安裝FTP 148第十二章項(xiàng)目測試 154致謝 156引言跨入21世紀(jì)的今天，世界繼新技術(shù)革命以后，又掀起了一場以加速社會(huì)信息化為宗旨的信息高速公路建設(shè)的浪潮，信息正以其前所未有的迅猛態(tài)勢(shì)滲透于社會(huì)的方面，改變著人們?cè)械纳鐣?huì)空間，信息已日益成為社會(huì)各領(lǐng)域中最活躍、最具有決定意義的因素，而作為基礎(chǔ)學(xué)科之一的信息教學(xué)，它既是應(yīng)用科學(xué)的基礎(chǔ)，又兼有了科學(xué)與技術(shù)的雙重身份，它更是培養(yǎng)創(chuàng)新型人才的重要陣地。那么，如何在信息教學(xué)中培養(yǎng)學(xué)生的信息素養(yǎng)，提高他們的信息感悟、信息實(shí)踐能力，以促進(jìn)他們的身心發(fā)展，為進(jìn)一步培養(yǎng)創(chuàng)新型人才奠定基礎(chǔ)呢？

一、投石探路——認(rèn)識(shí)信息

同樣重要的信息，有的人善于抓住，有的人卻漠然視之，這正是由于各人的信息意識(shí)強(qiáng)弱不同所致。信息，指的是當(dāng)人們與外界接觸時(shí)，有意無意所接受到的一些事物材料，有數(shù)字、文字、影像、數(shù)量關(guān)系等。如果能使學(xué)生對(duì)接受到的這些信息源加以分析、整理，主動(dòng)獲取自己所需的信息，或找到對(duì)自己有利的信息而后加以利用，則將促使他們關(guān)注周圍的事物，溝通數(shù)學(xué)與生活的聯(lián)系，大大提高他們的信息意識(shí)。二、找頻看球——感受信息一個(gè)球迷，只要找到自己想看的球賽頻道，便會(huì)津津有味地看下去，甚至于不吃不睡。信息教學(xué)時(shí)，就應(yīng)盡可能增強(qiáng)學(xué)生的信息情感，培養(yǎng)他們類似于“看球”的熱衷情感，當(dāng)他們多次從多方面感受信息時(shí)，便能形成某種持久、穩(wěn)定的、反映心底需求關(guān)系的內(nèi)心體驗(yàn)，這便是信息情感。當(dāng)學(xué)生形成較穩(wěn)定的信息情感時(shí)，便能產(chǎn)生巨大的信息熱情，這將大大提高他們對(duì)信息的敏感性與興趣性。三、點(diǎn)石成金——利用信息

在信息時(shí)代，靜態(tài)的知識(shí)不具有情報(bào)信息價(jià)值，只有對(duì)知識(shí)的新認(rèn)識(shí)和深入挖掘，并進(jìn)行動(dòng)態(tài)處理，才能使其產(chǎn)生推動(dòng)社會(huì)進(jìn)步的巨大能量。認(rèn)識(shí)和挖掘出知識(shí)的現(xiàn)實(shí)價(jià)值，并利用好它，這才是信息素質(zhì)的最好體現(xiàn)。只有具有利用信息能力的人，才知識(shí)怎樣組織知識(shí)，發(fā)現(xiàn)和使用信息，他們也才具有終身學(xué)習(xí)的能力。當(dāng)代社會(huì)，信息是最主要的資源，對(duì)整個(gè)社會(huì)的發(fā)展具有決定性的作用，在數(shù)學(xué)教學(xué)中培養(yǎng)學(xué)生的信息素養(yǎng)是學(xué)生接受終身教育的前提條件，更是培養(yǎng)創(chuàng)新人才的先決條件，只有把“培養(yǎng)學(xué)生的信息素養(yǎng)”植根于數(shù)學(xué)教學(xué)的方面，才能真正提高學(xué)生的信息意識(shí)、信息能力，成為可持續(xù)發(fā)展的人。

第一章項(xiàng)目需求分析項(xiàng)目背景河北承德露露股份有限公司坐落于承德市高新技術(shù)產(chǎn)業(yè)開發(fā)區(qū)，現(xiàn)為萬向三農(nóng)有限公司控股的上市公司。公司于1997年年底在深交所上市，成為國內(nèi)飲料行業(yè)首批上市公司之一。企業(yè)的法律代表人：管大源先生，1963年12月出生，浙江蕭山人，研究生學(xué)歷，高級(jí)經(jīng)濟(jì)師，中共黨員。以6000萬注冊(cè)此公司。其總公司人數(shù)600人，分公司400人，公司以發(fā)展民族飲料為目標(biāo)，堅(jiān)持走科技興廠的道路，本著“高起點(diǎn)引進(jìn)、高速度發(fā)展、創(chuàng)造高效益”的原則，使技術(shù)裝備水平居國內(nèi)領(lǐng)先地位，從而使公司的生產(chǎn)能力、科技含量有了更大的提高。公司發(fā)展穩(wěn)健，成長性良好，連續(xù)多年名列深市排行榜前列。公司堅(jiān)持用優(yōu)質(zhì)的產(chǎn)品回報(bào)消費(fèi)者，用良好的信譽(yù)、投資回報(bào)率答謝支持露露的廣大投資者。公司理念為：視品質(zhì)為生命堅(jiān)持質(zhì)量第一，生產(chǎn)高品質(zhì)產(chǎn)品是露露企業(yè)的信念。露露嚴(yán)格把控產(chǎn)品質(zhì)量關(guān)，從不在質(zhì)量上投機(jī)取巧，因?yàn)槁堵秷?jiān)信只有真正為消費(fèi)者提供高品質(zhì)產(chǎn)品，才能使消費(fèi)者享受到健康營養(yǎng)，企業(yè)也因此才能立于不敗之地。所以本項(xiàng)目的目標(biāo)是：建立一個(gè)世紀(jì)規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴(kuò)展性與可用性并且具備可管理易維護(hù)的網(wǎng)絡(luò)及系統(tǒng)平臺(tái)，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率”。1.2需求分析隨著公司經(jīng)濟(jì)效益不斷的提高，人員的擴(kuò)展，要求網(wǎng)絡(luò)設(shè)備集成的安全性（本方案設(shè)計(jì)中可以涉及專門的防火墻、VPN等，但是實(shí)驗(yàn)配置時(shí)安全是指交換機(jī)、路由器等網(wǎng)絡(luò)基礎(chǔ)設(shè)施產(chǎn)品中的集成安全，不涉及其他產(chǎn)品），網(wǎng)絡(luò)平臺(tái)需要提供防止非法的ARP攻擊、dos攻擊、非法的DHCPserver的能力實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)按用戶、功能進(jìn)行VLAN劃分分布式三層架構(gòu)，啟用三層路由功能及相應(yīng)訪問控制病毒攻擊防護(hù)，出口實(shí)現(xiàn)NAT地址轉(zhuǎn)換，發(fā)布對(duì)外的WEB服務(wù)支持10GE或?qū)砥交^渡到10GE要求對(duì)網(wǎng)絡(luò)主干進(jìn)行流量監(jiān)控第二章網(wǎng)絡(luò)總體建設(shè)目標(biāo)網(wǎng)絡(luò)建設(shè)目標(biāo)網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容及要求骨干核心層網(wǎng)絡(luò)設(shè)計(jì)企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的核心網(wǎng)主要完成整個(gè)企業(yè)集團(tuán)內(nèi)部不同地域企業(yè)之間的高速數(shù)據(jù)路由轉(zhuǎn)發(fā)，以及維護(hù)全網(wǎng)路由的計(jì)算。鑒于集團(tuán)企業(yè)的用戶數(shù)量眾多，業(yè)務(wù)復(fù)雜，數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)難免遇到擁塞、阻塞等情況，所以需要用到QOS技術(shù)。在骨干核心層中，我們采用核心路由交換機(jī)組成一個(gè)環(huán)形多機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案。為提高核心網(wǎng)絡(luò)的健壯性，防止單臺(tái)設(shè)備失效造成的網(wǎng)絡(luò)中斷，實(shí)現(xiàn)鏈路的安全保障，本方案骨干核心層環(huán)網(wǎng)中可以采用HSRP（熱備份路由協(xié)議）技術(shù)。對(duì)于各個(gè)業(yè)務(wù)VLAN可以指向這個(gè)虛擬的IP地址作為網(wǎng)關(guān)，因此應(yīng)用HSRP技術(shù)為核心交換機(jī)提供了一個(gè)可靠的網(wǎng)關(guān)地址，以實(shí)現(xiàn)在核心層核心交換機(jī)之間進(jìn)行設(shè)備的冗余，一主兩備，共用一個(gè)虛擬的IP地址和MAC地址，通過內(nèi)部的協(xié)議傳輸機(jī)制可以自動(dòng)進(jìn)行工作角色的切換。進(jìn)而雙引擎、雙電源的設(shè)計(jì)為網(wǎng)絡(luò)高效處理集中數(shù)據(jù)提供了可靠的保障。另外，我們還采用CHANNEL（鏈路捆綁技術(shù)）技術(shù)，提高鏈路的高效利用,可以把兩條物理鏈路捆綁成一條虛擬的鏈路,可以避免環(huán)路。鏈路捆綁技術(shù)是把多條鏈路捆綁起來，為了提高帶寬，出入流量可以在多個(gè)成員接口之間分擔(dān)，也可以加大鏈路的利用率。而且鏈路捆綁技術(shù)用來做冗余，將兩條物理鏈路捆綁成一條，可以使同時(shí)使用的帶寬變?yōu)閮杀叮瑪?shù)據(jù)在兩條鏈路上同時(shí)發(fā)送數(shù)據(jù)。當(dāng)某個(gè)成員接口出現(xiàn)故障時(shí)，流量會(huì)自動(dòng)切換到其他可用的成員接口上，并且進(jìn)行無縫切換，不會(huì)影響到數(shù)據(jù)的傳輸，從而提高整個(gè)捆綁鏈路的連接可靠性。假如貴公司正在傳輸一份合同，卻因?yàn)榫W(wǎng)絡(luò)中斷而失去了這一次機(jī)會(huì)，繼而損失的不只是財(cái)富，名譽(yù)也會(huì)有所影響。所以這個(gè)技術(shù)會(huì)幫助貴公司進(jìn)一步完善網(wǎng)絡(luò)。核心層網(wǎng)絡(luò)設(shè)計(jì)企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的核心層網(wǎng)絡(luò)主要完成園區(qū)內(nèi)各個(gè)匯集層設(shè)備之間的數(shù)據(jù)交換和與骨干核心層網(wǎng)絡(luò)之間的路由轉(zhuǎn)發(fā)。本層采用CISCOWS-C3560G-24TS-S核心路由交換機(jī)作為企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的園區(qū)核心路由交換設(shè)備，CISCOWS-C3560G-24TS-S具有強(qiáng)大的業(yè)務(wù)和路由交換的處理能力，能提供VPN、Qos、策略路由、NAT、PPPOE/WEB/802.1X/L2TP認(rèn)證等豐富業(yè)務(wù)能力，并可通過內(nèi)置防火墻模塊實(shí)現(xiàn)各種強(qiáng)大的網(wǎng)絡(luò)安全策略，可以充分滿足企業(yè)不同園區(qū)網(wǎng)絡(luò)的高速數(shù)據(jù)交換和支持多業(yè)務(wù)功能的要求，并能夠提供完善的安全防御策略，保障企業(yè)園區(qū)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。CISCOWS-C3560G-24TS-SCISCOWS-C3560G-24TS-S匯聚層網(wǎng)絡(luò)設(shè)計(jì)匯聚層網(wǎng)絡(luò)主要完成企業(yè)各園區(qū)內(nèi)辦公樓和相關(guān)單位的內(nèi)接入交換機(jī)的匯聚及數(shù)據(jù)交換和VLAN終結(jié)，在本方案中采用CISCOWS-C3560G-24TS-S交換機(jī)多層交換機(jī)作為匯聚層的交換機(jī)。CISCOWS-C3560G-24TS-S交換機(jī)在提供高密度千兆端口接入的同時(shí)還能夠滿足匯聚層智能高速處理的需要，并能夠靈活的部署在網(wǎng)絡(luò)邊緣的各個(gè)位置。能夠同時(shí)提供多個(gè)高速專用堆疊端口和百兆光口/電口。這些交換機(jī)都具備較強(qiáng)的多業(yè)務(wù)提供的能力。為用戶提供豐富、高性能價(jià)比的組網(wǎng)選擇接入層網(wǎng)絡(luò)設(shè)計(jì)以往傳統(tǒng)企業(yè)網(wǎng)絡(luò)接入層的建設(shè)中并不關(guān)注于安全控制和QOS提供的能力，而將網(wǎng)絡(luò)的安全防御措施和QOS保障依賴于網(wǎng)絡(luò)的匯聚層或骨干層設(shè)備，這給匯聚層和骨干層設(shè)備帶來了巨大的壓力，往往內(nèi)網(wǎng)病毒泛濫成災(zāi)后導(dǎo)致骨干層設(shè)備癱瘓，使網(wǎng)絡(luò)沒有QOS服務(wù)質(zhì)量的保障。 冗余/負(fù)載均衡設(shè)計(jì)冗余和負(fù)載均衡的設(shè)計(jì)是網(wǎng)絡(luò)設(shè)計(jì)的重要部分，是保證網(wǎng)絡(luò)整體可靠性能的重要手段。但是投資也將增加。部分企業(yè)網(wǎng)在早期的建設(shè)中由于成本的原因并未在設(shè)計(jì)中考慮到冗余的問題，而在優(yōu)化工作中則需從網(wǎng)絡(luò)鏈路和網(wǎng)絡(luò)設(shè)備兩方面著手。冗余和負(fù)載均衡設(shè)計(jì)可以貫穿整個(gè)層次化結(jié)構(gòu)。我們采用了PVST（每vlan生成樹協(xié)議）技術(shù)，它為每個(gè)在網(wǎng)絡(luò)中配置的VLAN維護(hù)一個(gè)生成樹實(shí)例，減少了生成樹拓?fù)涞目偡秶?，增?qiáng)了可擴(kuò)張性并減少了收斂時(shí)間，提供快速回復(fù)和更好的可靠性。并且防止了環(huán)路，實(shí)現(xiàn)了負(fù)載均衡，數(shù)據(jù)的備份和冗余。萬一網(wǎng)絡(luò)中某條路徑失效時(shí)，冗余鏈路可以提供另一條路徑，使網(wǎng)絡(luò)能夠及時(shí)的正常運(yùn)行，高效合理的利用好網(wǎng)絡(luò)當(dāng)中的每條可用鏈路。服務(wù)器冗余設(shè)計(jì)企業(yè)網(wǎng)中服務(wù)器、大型機(jī)，如網(wǎng)絡(luò)存儲(chǔ)服務(wù)器，SQLServer服務(wù)器，其存儲(chǔ)的數(shù)據(jù)對(duì)于企業(yè)來說至關(guān)重要，一些核心數(shù)據(jù)被視為企業(yè)的生命。一方面它對(duì)企業(yè)的重要性毋庸置疑，另一方面，由于這些數(shù)據(jù)的性質(zhì)決定了其較大的被訪問量，這個(gè)對(duì)服務(wù)器提出了穩(wěn)定和快速的要求。為此，我們采用的是輪詢的方法，輪詢是基站為終端分配帶寬的一種處理流程，這種分配可以是針對(duì)單個(gè)終端或是一組終端的。輪詢是基于終端的，帶寬的請(qǐng)求總是基于CID，而分配則是基于終端。為一組終端和連接分配帶寬實(shí)際上是定義帶寬請(qǐng)求競爭機(jī)制，這種分配不是使用一個(gè)單獨(dú)的消息，而是上行鏈路映射消息中包含的一系列分配機(jī)制，這樣使得每個(gè)服務(wù)器都能夠更好、更快的工作，提高了工作效率，更充分的利用了每個(gè)服務(wù)器。 本網(wǎng)絡(luò)中應(yīng)具備有多臺(tái)服務(wù)器設(shè)備，包括DBSERVER數(shù)據(jù)庫服務(wù)器，WEB等應(yīng)用服務(wù)器，NEWS，MALL等通訊服務(wù)器以及多媒體服務(wù)器等。網(wǎng)絡(luò)設(shè)計(jì)原則1.綜合性、整體性原則應(yīng)運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度以及專業(yè)技術(shù)措施即訪問控制、加密技術(shù)、認(rèn)證技術(shù)、攻出檢測技術(shù)、容錯(cuò)、防病毒等。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。2.一致性原則一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)及實(shí)施計(jì)劃、網(wǎng)絡(luò)驗(yàn)證、驗(yàn)收、運(yùn)行等，都要有安全的內(nèi)容及措施。實(shí)際上，在網(wǎng)絡(luò)建設(shè)的開始就考慮網(wǎng)絡(luò)安全對(duì)策，比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施，不但容易，且花費(fèi)也少得多。3.適應(yīng)性及靈活性原則安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改和升級(jí)。4.合理利用資金，性價(jià)比高，要考慮到設(shè)備價(jià)格等問題第三章網(wǎng)絡(luò)總體設(shè)計(jì)3.1網(wǎng)絡(luò)總體拓?fù)鋱D考慮到總公司的實(shí)際需求，建議采用兩臺(tái)CiscoCatalyst3560做雙機(jī)熱備，用Cisco專有熱備份路由協(xié)議技術(shù)（HSRP），根據(jù)需求配置成多組HSRP；同時(shí)雙機(jī)還可以做負(fù)載均衡。這樣設(shè)計(jì)不但保證網(wǎng)絡(luò)的高可用性和穩(wěn)定性，還能夠充分利用現(xiàn)有設(shè)備的資源，以避免單臺(tái)核心設(shè)備的負(fù)載太重而導(dǎo)致的網(wǎng)絡(luò)性能問題。如上圖所示，整體網(wǎng)絡(luò)可以根據(jù)功能劃分為總部核心網(wǎng)絡(luò)、內(nèi)聯(lián)接入包括辦公網(wǎng)絡(luò)、數(shù)據(jù)中心、分公司接入等，各區(qū)域相對(duì)獨(dú)立，通過核心網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的交互。各區(qū)域可以各自建立交換網(wǎng)絡(luò)、路由接入、網(wǎng)絡(luò)安全體系，可以有獨(dú)立的安全策略、數(shù)據(jù)流量控制等個(gè)體的特性，而需要和其他區(qū)域的設(shè)備進(jìn)行通訊的時(shí)候，則必須遵守核心網(wǎng)絡(luò)區(qū)的策略。CiscoCatalyst35603.2網(wǎng)絡(luò)層次化設(shè)計(jì)隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長，分布式的網(wǎng)絡(luò)服務(wù)和交換已經(jīng)移至用戶級(jí)，由此形成了一個(gè)新的、更適應(yīng)現(xiàn)代的高速大型網(wǎng)絡(luò)的分層設(shè)計(jì)模型。這種分級(jí)方法被稱為“多層設(shè)計(jì)”。多層設(shè)計(jì)有以下一些好處：多層設(shè)計(jì)是模塊化的，網(wǎng)絡(luò)容量可隨著日后網(wǎng)絡(luò)節(jié)點(diǎn)的增加而不斷增大。多層網(wǎng)絡(luò)有很大的確定性，因此在運(yùn)行和擴(kuò)展過程中進(jìn)行故障查找和排除非常簡單。多層網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)最有效地利用多種第3層業(yè)務(wù)，包括分段﹑負(fù)載分擔(dān)和故障恢復(fù)等。在分層網(wǎng)絡(luò)中運(yùn)用智能第3層業(yè)務(wù)可以大大減少因配置不當(dāng)或故障設(shè)備引起的一般問題。多層模式使網(wǎng)絡(luò)的移植更為簡單易行，因?yàn)樗Ａ袅嘶诼酚善骱徒粨Q機(jī)的網(wǎng)絡(luò)原有的尋址方案，對(duì)以往的網(wǎng)絡(luò)有很好的兼容性。另外分層結(jié)構(gòu)也能夠?qū)W(wǎng)絡(luò)的故障進(jìn)行很好的隔離。針對(duì)實(shí)際情況我們可以采用三層結(jié)構(gòu)模型。三層結(jié)構(gòu)模型劃分為三個(gè)層次，即核心層、分布層、接入層。每個(gè)層次完成不同的功能。核心層核心層作為整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心，其主要功能是高速、可靠的進(jìn)行數(shù)據(jù)交換。分布層分布層主要進(jìn)行接入層的數(shù)據(jù)流量匯聚，并對(duì)數(shù)據(jù)流量進(jìn)行訪問控制。包括訪問控制列表、VLAN路由等等。接入層接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。主要是進(jìn)行VLAN的劃分、與分布層的連接等等。3.3核心層設(shè)計(jì)核心交換區(qū)的作用是盡快地提供所有的區(qū)域間的數(shù)據(jù)交換。我們推薦使用兩臺(tái)CiscoCatalyst3560交換機(jī)完成此項(xiàng)功能。兩臺(tái)3560交換機(jī)高性能、可靠性、可用性是我們主要考慮的因素。本區(qū)的安全性可以由邊界防火墻提供，如有需要在3560上面可以部署安全策略，使得核心交換區(qū)的安全性進(jìn)一步地增強(qiáng)。CiscoCatalyst3560系列憑借眾多智能服務(wù)將控制擴(kuò)展到網(wǎng)絡(luò)邊緣，其中包括先進(jìn)的服務(wù)質(zhì)量(QOS)、可預(yù)測性能、高級(jí)安全性和全面的管理。它提供帶集成永續(xù)性的出色控制，將永續(xù)性集成到硬件和軟件中，縮短了網(wǎng)絡(luò)停運(yùn)時(shí)間。CiscoCatalyst3560系列的模塊化架構(gòu)、介質(zhì)靈活性和可擴(kuò)展性減少了重復(fù)運(yùn)營開支，提高了投資回報(bào)（ROI），從而在延長部署壽命的同時(shí)降低了擁有成本。3.4接入層設(shè)計(jì)接入層交換機(jī)采用思科的WS-C2960以千兆以太鏈路和匯聚交換機(jī)相連接，并為用戶終端提供10/100M自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。辦公系統(tǒng)所需的各種服務(wù)器如辦公自動(dòng)化服務(wù)器、郵件服務(wù)器、DHCP服務(wù)器等組成服務(wù)器群，數(shù)據(jù)中心的多種金融系統(tǒng)應(yīng)用服務(wù)器,連接到匯聚交換機(jī)的千兆模塊上面,因此，內(nèi)部的局域網(wǎng)是采用三層結(jié)構(gòu)組建。WS-C29603.5內(nèi)聯(lián)接入內(nèi)聯(lián)接入的作用是用于連接上海期貨機(jī)房和北京辦公網(wǎng)絡(luò)。我們推薦使用兩臺(tái)Cisco2800系列路由器通過SDH/DDN線路完成此項(xiàng)功能。由于總部網(wǎng)絡(luò)和分部機(jī)房屬于公司的內(nèi)部網(wǎng)絡(luò)的一部分，因此可信度很高；接入時(shí)主要作用是生產(chǎn)運(yùn)營系統(tǒng)的數(shù)據(jù)交換，查詢等等和管理以及監(jiān)控?？偨Y(jié)以上的原因，內(nèi)聯(lián)路由器與核心交換網(wǎng)絡(luò)間不需要配置額外的防火墻。第四章路由設(shè)計(jì)4.1路由協(xié)議選擇開放式最短路徑優(yōu)先（OpenShortestPathFirst，OSPF）協(xié)議是一種為IP網(wǎng)絡(luò)開發(fā)的內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議，由IETF開發(fā)并推薦使用。OSPF定義了5種分組：Hello分組用于建立和維護(hù)連接；數(shù)據(jù)庫描述分組初始化路由器的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫；當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫中的某部分信息已經(jīng)過時(shí)后，路由器發(fā)送鏈路狀態(tài)請(qǐng)求分組，請(qǐng)求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來主動(dòng)擴(kuò)散自己的鏈路狀態(tài)數(shù)據(jù)庫或?qū)︽溌窢顟B(tài)請(qǐng)求分組進(jìn)行響應(yīng)；由于OSPF直接運(yùn)行在IP層，協(xié)議本身要提供確認(rèn)機(jī)制，鏈路狀態(tài)應(yīng)答分組是對(duì)鏈路狀態(tài)更新分組進(jìn)行確認(rèn)。OSPF協(xié)議由三個(gè)子協(xié)議組成：Hello協(xié)議、交換協(xié)議和擴(kuò)散協(xié)議。其中Hello協(xié)議負(fù)責(zé)檢查鏈路是否可用，并完成指定路由器及備份指定路由器；交換協(xié)議完成“主”、“從”路由器的指定并交換各自的路由數(shù)據(jù)庫信息；擴(kuò)散協(xié)議完成各路由器中路由數(shù)據(jù)庫的同步維護(hù)。4.1.1OSPF協(xié)議主要優(yōu)點(diǎn)：為了克服距離矢量路由選擇協(xié)議的缺點(diǎn)，開發(fā)了鏈路狀態(tài)選擇協(xié)議。鏈路狀態(tài)路由選擇協(xié)議僅在網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)才生成路由選擇更新。鏈路狀態(tài)路由選擇協(xié)議具體如下特征：快速響應(yīng)網(wǎng)絡(luò)變化.在網(wǎng)絡(luò)變化時(shí)發(fā)送觸發(fā)更新.以較低的頻率發(fā)送定期更新，被稱為鏈路狀態(tài)刷新（LSU）.4.1.2SPF算法最短路徑優(yōu)先（SPF）路由算法，又稱Dijkstra算法，所有的OSPF路由器并執(zhí)行SPF算法，根據(jù)路由器的拓?fù)鋽?shù)據(jù)庫構(gòu)造出來以他自己為根結(jié)點(diǎn)的最短路徑樹。這個(gè)最短路徑樹就生成了路由表。4.1.3OSPF規(guī)定有層次的網(wǎng)路結(jié)構(gòu)，OSPF將網(wǎng)絡(luò)分為若干區(qū)域：傳輸區(qū)域（骨干區(qū)域）：主要的功能為快速高效的傳輸IP分組的OSPF區(qū)域，中轉(zhuǎn)區(qū)域?qū)⑵渌愋偷腛SPF區(qū)域連接起來。常規(guī)區(qū)域（非骨干區(qū)域）：主要功能是為了連接用戶和資源的OSPF區(qū)域骨干區(qū)域的區(qū)域號(hào)必須為0。所以的常規(guī)區(qū)域必須與骨干區(qū)域相連。層次化區(qū)域的優(yōu)點(diǎn)：便于管理。最小化路由表將拓?fù)渥兏绊懴拗圃趨^(qū)域內(nèi)將LSA變更泛洪限制在范圍內(nèi)4.1.4OSPF路由器在完全鄰接之前,所經(jīng)過的幾個(gè)狀態(tài):Down:此狀態(tài)還沒有與其他路由器交換信息。首先從其ospf接口向外發(fā)送hello分組，還并不知道DR(若為廣播網(wǎng)絡(luò))和任何其他路由器。發(fā)送hello分組使用組播地址。Attempt:只適于NBMA網(wǎng)絡(luò),在NBMA網(wǎng)絡(luò)中鄰居是手動(dòng)指定的,在該狀態(tài)下,路由器將使用HelloInterval取代PollInterval來發(fā)送Hello包。Init:表明在DeadInterval里收到了Hello包,但是2-Way通信仍然沒有建立起來。two-way:雙向會(huì)話建立,而RID彼此出現(xiàn)在對(duì)方的鄰居列表中。(若為廣播網(wǎng)絡(luò)：例如：以太網(wǎng)。在這個(gè)時(shí)候應(yīng)該選舉DR,BDR)。ExStart:信息交換初始狀態(tài)，在這個(gè)狀態(tài)下,本地路由器和鄰居將建立Master/Slave關(guān)系,并確定DDSequenceNumber,路由器ID大的的成為Master.Exchange:信息交換狀態(tài)，本地路由器和鄰居交換一個(gè)或多個(gè)DBD分組（也叫DDP)。DBD包含有關(guān)LSDB中LSA條目的摘要信息)。Loading:信息加載狀態(tài)：收到DBD后,將收到的信息同LSDB中的信息進(jìn)行比較。如果DBD中有更新的鏈路狀態(tài)條目，則向?qū)Ψ桨l(fā)送一個(gè)LSR，用于請(qǐng)求新的LSA。Full:完全鄰接狀態(tài),鄰接間的鏈路狀態(tài)數(shù)據(jù)庫同步完成，通過鄰居鏈路狀態(tài)請(qǐng)求列表為空且鄰居狀態(tài)為Loading判斷。另外OSPF還有自己的自制系統(tǒng)即AS自治系統(tǒng)（autonomoussystem）：一組相互管理下的網(wǎng)絡(luò)，它們共享同一個(gè)路由選擇方法，自治系統(tǒng)由地區(qū)再劃分并必須由IANA分配一個(gè)單獨(dú)的16位數(shù)字。地區(qū)通常連接到其他地區(qū)，使用路由器創(chuàng)建一個(gè)自治系統(tǒng)。為了保持骨干區(qū)域與普通區(qū)域的連通性，需要虛鏈路。4.1.5虛鏈路(VirtualLink)以下兩種情況需要使用到虛鏈路:1.通過一個(gè)非骨干區(qū)域連接到一個(gè)骨干區(qū)域。2.通過一個(gè)非骨干區(qū)域連接一個(gè)分段的骨干區(qū)域兩邊的部分區(qū)域。虛鏈接是一個(gè)邏輯的隧道（Tunnel）,配置虛鏈接的一些規(guī)則:1.虛鏈接必須配置在2個(gè)ABR之間。2.虛鏈接所經(jīng)過的區(qū)域叫TransitArea,它必須擁有完整的路由信息。3.TransitArea不能是StubArea。4.盡可能的避免使用虛鏈接,它增加了網(wǎng)絡(luò)的復(fù)雜程度和加大了排錯(cuò)的難度。4.2路由規(guī)劃拓?fù)鋱D4.3IP地址規(guī)劃標(biāo)識(shí)網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)。IP地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。我們根據(jù)以下幾個(gè)原則來分配IP地址：唯一性：一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表的款項(xiàng)連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路由總結(jié)(RouteSummarization)，大大縮減路由表，提高路由算法的效率可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址總結(jié)所需的連續(xù)性靈活性：地址分配應(yīng)具有靈活性，可借助可變長子網(wǎng)掩碼技術(shù)(VLSMVariable-LengthSubnetMask)，以滿足多種路由策略的優(yōu)化，充分利用地址空間。部門網(wǎng)段子網(wǎng)掩碼網(wǎng)關(guān)地址廣播地址VLAN總部市場部552財(cái)務(wù)部.23營銷部10.1.3554人事部10.1.410.1.45科研部10.1.510.1.56行政部10.1.610.1.6557部門網(wǎng)段子網(wǎng)掩碼子網(wǎng)網(wǎng)段網(wǎng)關(guān)地址廣播地址保留地址VLAN分部市場部24/2716個(gè)2財(cái)務(wù)部486/297031個(gè)3營銷部242/273310個(gè)4人事部404/28594個(gè)5科研部400/2854個(gè)6行政部4804/2905111個(gè)7第五章網(wǎng)絡(luò)安全解決方案5.1網(wǎng)絡(luò)邊界安全威脅分析與非安全網(wǎng)絡(luò)的互聯(lián)面臨的安全問題與網(wǎng)絡(luò)內(nèi)部的安全是不同的，主要的原因是攻擊人是不可控的，攻擊是不可溯源的，也沒有辦法去“封殺”，一般來說網(wǎng)絡(luò)邊界上的安全問題主要有下面幾個(gè)方面：1、信息泄密：網(wǎng)絡(luò)上的資源是可以共享的，但沒有授權(quán)的人得到了他不該得到的資源，信息就泄露了。一般信息泄密有兩種方式：攻擊者(非授權(quán)人員)進(jìn)入了網(wǎng)絡(luò)，獲取了信息，這是從網(wǎng)絡(luò)內(nèi)部的泄密合法使用者在進(jìn)行正常業(yè)務(wù)往來時(shí)，信息被外人獲得，這是從網(wǎng)絡(luò)外部的泄密2、入侵者的攻擊：互聯(lián)網(wǎng)是世界級(jí)的大眾網(wǎng)絡(luò)，網(wǎng)絡(luò)上有各種勢(shì)力與團(tuán)體。入侵就是有人通過互聯(lián)網(wǎng)進(jìn)入你的網(wǎng)絡(luò)(或其他渠道)，篡改數(shù)據(jù)，或?qū)嵤┢茐男袨?，造成你網(wǎng)絡(luò)業(yè)務(wù)的癱瘓，這種攻擊是主動(dòng)的、有目的、甚至是有組織的行為。3、網(wǎng)絡(luò)病毒：與非安全網(wǎng)絡(luò)的業(yè)務(wù)互聯(lián)，難免在通訊中帶來病毒，一旦在你的網(wǎng)絡(luò)中發(fā)作，業(yè)務(wù)將受到巨大沖擊，病毒的傳播與發(fā)作一般有不確定的隨機(jī)特性。這是“無對(duì)手”、“無意識(shí)”的攻擊行為。4、木馬入侵：木馬的發(fā)展是一種新型的攻擊行為，他在傳播時(shí)象病毒一樣自由擴(kuò)散，沒有主動(dòng)的跡象，但進(jìn)入你的網(wǎng)絡(luò)后，便主動(dòng)與他的“主子”聯(lián)絡(luò)，從而讓主子來控制你的機(jī)器，既可以盜用你的網(wǎng)絡(luò)信息，也可以利用你的系統(tǒng)資源為他工作，比較典型的就是“僵尸網(wǎng)絡(luò)”。來自網(wǎng)絡(luò)外部的安全問題，重點(diǎn)是防護(hù)與監(jiān)控。來自網(wǎng)絡(luò)內(nèi)部的安全，人員是可控的，可以通過認(rèn)證、授權(quán)、審計(jì)的方式追蹤用戶的行為軌跡，也就是我們說的行為審計(jì)與合軌性審計(jì)。由于有這些安全隱患的存在，在網(wǎng)絡(luò)邊界上，最容易受到的攻擊方式有下面幾種：1、黑客入侵：入侵的過程是隱秘的，造成的后果是竊取數(shù)據(jù)與系統(tǒng)破壞。木馬的入侵也屬于黑客的一種，只是入侵的方式采用的病毒傳播，達(dá)到的效果與黑客一樣。2、病毒入侵：病毒就是網(wǎng)絡(luò)的蛀蟲與垃圾，大量的自我繁殖，侵占系統(tǒng)與網(wǎng)絡(luò)資源，導(dǎo)致系統(tǒng)性能下降。病毒對(duì)網(wǎng)關(guān)沒有影響，就象“走私”團(tuán)伙，一旦進(jìn)入網(wǎng)絡(luò)內(nèi)部，便成為可怕的“瘟疫”，病毒的入侵方式就象“水”的滲透一樣，看似漫無目的，實(shí)則無孔不入。3、網(wǎng)絡(luò)攻擊：網(wǎng)絡(luò)攻擊是針對(duì)網(wǎng)絡(luò)邊界設(shè)備或系統(tǒng)服務(wù)器的，主要的目的是中斷網(wǎng)絡(luò)與外界的連接，比如DOS攻擊，雖然不破壞網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)，但阻塞了應(yīng)用的帶寬，可以說是一種公開的攻擊，攻擊的目的一般是造成你服務(wù)的中斷。5.2網(wǎng)絡(luò)內(nèi)部安全威脅分析公司內(nèi)部網(wǎng)絡(luò)的風(fēng)險(xiǎn)分析主要針對(duì)整個(gè)內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)，主要表現(xiàn)為以下幾個(gè)方面：1.內(nèi)部用戶的非授權(quán)訪問；內(nèi)部的資源也不是對(duì)任何的員工都開放的，也需要有相應(yīng)的訪問權(quán)限。內(nèi)部用戶的非授權(quán)的訪問，更容易造成資源和重要信息的泄漏。2.內(nèi)部用戶的誤操作；由于內(nèi)部用戶的計(jì)算機(jī)造作的水平參差不齊，對(duì)于應(yīng)用軟件的理解也各不相同，如果一部分軟件沒有相應(yīng)的對(duì)誤操作的防范措施，極容易給服務(wù)系統(tǒng)和其他主機(jī)造成危害。內(nèi)部用戶的惡意攻擊；就網(wǎng)絡(luò)安全來說，據(jù)統(tǒng)計(jì)約有70％左右的攻擊來自內(nèi)部用戶，相比外部攻擊來說，內(nèi)部用戶具有更得天獨(dú)厚的優(yōu)勢(shì)，因此，對(duì)內(nèi)部用戶攻擊的防范也很重要。設(shè)備的自身安全性也會(huì)直接關(guān)系到各種系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。例如，路由設(shè)備存在路由信息泄漏、交換機(jī)和路由器設(shè)備配置風(fēng)險(xiǎn)等。3.重要服務(wù)器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒有及時(shí)的發(fā)現(xiàn)并且進(jìn)行修復(fù)，將會(huì)為網(wǎng)絡(luò)的安全帶來很多不安定的因素。重要服務(wù)器的當(dāng)機(jī)或者重要數(shù)據(jù)的意外丟失，都將會(huì)造成內(nèi)部的業(yè)務(wù)無法正常運(yùn)行。4.安全管理的困難，對(duì)于眾多的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備，安全策略的配置和安全事件管理的難度很大。5.3安全產(chǎn)品選型原則公司網(wǎng)絡(luò)屬于一個(gè)行業(yè)的專用網(wǎng)絡(luò)，因此在安全產(chǎn)品的選型上，必須慎重，選型的原則包括：1.安全保密產(chǎn)品的接入應(yīng)不明顯影響網(wǎng)絡(luò)系統(tǒng)運(yùn)行效率，并且滿足工作的要求，不影響正常的業(yè)務(wù)；2.安全保密產(chǎn)品必須滿足上面提出的安全需求，保證整個(gè)公司企業(yè)網(wǎng)絡(luò)的安全性。3.安全保密產(chǎn)品必須通過國家主管部門指定的測評(píng)機(jī)構(gòu)的檢測；4.安全保密產(chǎn)品必須具備自我保護(hù)能力；5.安全保密產(chǎn)品必須符合國家和國際上的相關(guān)標(biāo)準(zhǔn)；6.安全產(chǎn)品必須操作簡單易用，便于簡單部署和集中管理5.4網(wǎng)絡(luò)常用技術(shù)介紹HSRP協(xié)議我們使用HSRP來實(shí)現(xiàn)對(duì)故障路由器的接管,HSRP中文解釋是熱備份路由協(xié)議，其含義是系統(tǒng)中有多臺(tái)路由器，它們組成一個(gè)“熱備份組”，這個(gè)組形成一個(gè)虛擬路由器。在任一時(shí)刻，一個(gè)組內(nèi)只有一個(gè)路由器是活動(dòng)的，并由它來轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動(dòng)路由器發(fā)生了故障，將選擇一個(gè)備份路由器來替代活動(dòng)路由器，但是在本網(wǎng)絡(luò)內(nèi)的主機(jī)看來，虛擬路由器沒有改變。所以主機(jī)仍然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器切換的問題。VLAN技術(shù)（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站無須被放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。Trunk技術(shù)一般的交換機(jī)端口只能屬于一個(gè)VLAN，對(duì)于多個(gè)VLAN需要跨過多臺(tái)交換機(jī)，就需要用到Trunk技術(shù)。Trunk是指交換機(jī)之間或交換機(jī)與路由器之間VLAN之間的連接，VLAN信息通過Trunk在交換機(jī)之間或路由器之間傳遞，從而可以將VLAN跨越整個(gè)網(wǎng)絡(luò)，而不僅僅是局限在一臺(tái)交換機(jī)上。Cisco支持802.1Q、ISL的技術(shù)。其中IEEE802.1q是業(yè)界的標(biāo)準(zhǔn)協(xié)議，而ISL是CISCO專有的協(xié)議，用于在一條鏈路上封裝多個(gè)VLAN的信息。ISL技術(shù)得到了Intel等廠商的大力支持，TagSwitching被3Com及LucentCajun支持。對(duì)于CISCO交換機(jī)的Trunk端口，既可以指定它的封裝協(xié)議為802.1q或ISL，也可以通過DTP協(xié)議（DynamicTrunkingProtocol）自動(dòng)協(xié)商。DTP協(xié)議主要用于處理Trunk端口的802.1q和ISL封裝協(xié)議的自動(dòng)協(xié)商，對(duì)于不同廠家的交換機(jī)互連時(shí)很有幫助。對(duì)Trunk的定義只能在快速以太網(wǎng)端口和千兆以太網(wǎng)端口上進(jìn)行，它既可以是單個(gè)的快速以太網(wǎng)端口或千兆以太網(wǎng)端口，也可以是快速以太網(wǎng)通道（FEC）或千兆以太網(wǎng)通道（GEC）。雖然我們采用的是思科交換機(jī)，但是最為一個(gè)標(biāo)準(zhǔn)的、開放、先進(jìn)的網(wǎng)絡(luò)系統(tǒng)，我們推薦是用IEEE802.1Q標(biāo)準(zhǔn)協(xié)議。Spanning-Tree協(xié)議在局域網(wǎng)中是不允許出現(xiàn)環(huán)路的，而為了實(shí)現(xiàn)冗余和負(fù)載的均衡，通常會(huì)有多條鏈路的連接，這樣就會(huì)引入環(huán)路。為了解決這個(gè)矛盾，推出了STP協(xié)議。STP算法會(huì)將網(wǎng)絡(luò)中的連接生成一個(gè)樹，通過特定的算法自動(dòng)將優(yōu)先權(quán)高的鏈路激活，將優(yōu)先權(quán)低的鏈路阻塞，保證在網(wǎng)絡(luò)中任何時(shí)候都不會(huì)出現(xiàn)環(huán)路。如果網(wǎng)絡(luò)的連接狀況發(fā)生了變化，STP算法會(huì)自動(dòng)地重新計(jì)算新的連接關(guān)系，重新選出新的活動(dòng)的連接。STP算法會(huì)造成網(wǎng)絡(luò)的暫時(shí)的不穩(wěn)定狀態(tài)，該轉(zhuǎn)換時(shí)間在30秒之內(nèi)，亦即在30秒之內(nèi)網(wǎng)絡(luò)會(huì)重新恢復(fù)到穩(wěn)定狀態(tài)。STP對(duì)于終端是透明的，終端感覺不到STP的操作過程。在交換機(jī)上可以通過修改端口的優(yōu)先級(jí)來改變連接的優(yōu)先權(quán)，使得STP算法將高優(yōu)先權(quán)的連接作為活動(dòng)連接，例如：兩個(gè)交換機(jī)之間有兩條鏈路連接，一條是光纖連接，另一條是雙絞線連接，由于光纖連接明顯要比雙絞線連接更穩(wěn)定、更可靠，我們可以將交換機(jī)上的光纖端口的優(yōu)先權(quán)設(shè)定成比雙絞線端口更高的優(yōu)先權(quán)，這樣STP算法就會(huì)將光纖連接作為活動(dòng)連接，而將雙絞線連接阻塞。Cisco交換機(jī)的一個(gè)非常有用的特性就是可以對(duì)每個(gè)VLAN設(shè)置Spanning-Tree,而不是對(duì)整個(gè)網(wǎng)絡(luò)只能屬于一個(gè)Spanning-Tree。這個(gè)特征是很多廠商的設(shè)備所不具備的。在交換機(jī)上對(duì)端口的優(yōu)先權(quán)的設(shè)置可以基于VLAN進(jìn)行，每個(gè)端口對(duì)于不同的VLAN設(shè)置不同的優(yōu)先權(quán)。對(duì)于指定的VLAN，具有該VLAN最高優(yōu)先權(quán)的端口轉(zhuǎn)發(fā)該VLAN的信息，其它VLAN的信息則阻塞。通過這種方法，在具有冗余連接的交換機(jī)端口上分別針對(duì)不同的VLAN設(shè)置不同的優(yōu)先權(quán)，既可以實(shí)現(xiàn)鏈路的冗余，又可以實(shí)現(xiàn)負(fù)載的均衡。CISCO交換機(jī)端口支持每VLAN的生成樹協(xié)議，每個(gè)端口都可設(shè)置基于VLAN的Cost或Priority參數(shù)，從而實(shí)現(xiàn)在多條路徑上的負(fù)載均衡能力。目前多數(shù)廠商都支持STP協(xié)議，但是不允許多個(gè)STP域。采用多個(gè)STP域顯然可以獲得比單個(gè)域高的網(wǎng)絡(luò)可靠性。QOS為了防止數(shù)據(jù)包的傳輸質(zhì)量，為了解決這個(gè)問題，就用到了QOS技術(shù)。服務(wù)質(zhì)量（QualityofService，QOS）是網(wǎng)絡(luò)（互聯(lián)網(wǎng)）傳輸質(zhì)量和服務(wù)可用性的度量。服務(wù)可用性是QOS的重要基礎(chǔ)要素。成功實(shí)現(xiàn)QOS的前提是網(wǎng)絡(luò)基礎(chǔ)構(gòu)造必須高度可靠。它是指網(wǎng)絡(luò)為某特定數(shù)據(jù)流提供優(yōu)良服務(wù)（滿足或超過業(yè)務(wù)要求的服務(wù)質(zhì)量）的能力。承載數(shù)據(jù)流的底層網(wǎng)絡(luò)技術(shù)包括幀中繼、ATM、以太、SONET/SDH和PTN網(wǎng)絡(luò)等。QOS利用以下特性提供優(yōu)良的、更可預(yù)知的網(wǎng)絡(luò)服務(wù)：提供專用帶寬；降低丟包率；管理和避免網(wǎng)絡(luò)擁塞；對(duì)網(wǎng)絡(luò)流量整形（shaping）；設(shè)置數(shù)據(jù)優(yōu)先級(jí)。端到端（end-to-end）QOS是指從網(wǎng)絡(luò)一端到另一端的QOS，這種QOS是全路程的QOS，不是點(diǎn)到點(diǎn)的。端到端（end-to-end）QOS也是指網(wǎng)絡(luò)能夠?yàn)樘囟〝?shù)據(jù)提供所要求服務(wù)質(zhì)量的能力。決定這種能力的因素有以下幾種。（1）帶寬（Bandwidth）--帶寬描述了網(wǎng)絡(luò)設(shè)備的接口或網(wǎng)絡(luò)鏈路在單位時(shí)間（秒）內(nèi)發(fā)送或傳送的比特量。帶寬越大表示單位時(shí)間內(nèi)傳送的數(shù)據(jù)量越大，越能夠保證服務(wù)質(zhì)量。（2）丟包率（Loss）--指未被接收到的數(shù)據(jù)包占總發(fā)送數(shù)據(jù)包的比率。丟包率是網(wǎng)絡(luò)可靠性的一個(gè)參數(shù)。如果網(wǎng)絡(luò)高度可靠，則在非擁塞情況下丟包率應(yīng)該是0。在擁塞情況下，如果使用了QOS，則QOS將決定選擇丟棄哪些數(shù)據(jù)包來緩解擁塞。（3）延遲（Delay）--一個(gè)數(shù)據(jù)包從發(fā)送端被發(fā)送出去到達(dá)接收端所經(jīng)歷的有限時(shí)間。如語音，它的延遲就是指從講話者說出口，到接聽者聽到聲音這段時(shí)間。如果延遲過大，超過了規(guī)定值，就表明網(wǎng)絡(luò)所提供的服務(wù)質(zhì)量低，不能滿足業(yè)務(wù)要求。（4）抖動(dòng)（Jitter）--也稱延遲變量（delayvariation），用來描述不同數(shù)據(jù)包在端到端傳輸中的不同延遲。如一個(gè)數(shù)據(jù)包從源端到目的端用時(shí)100ms，而其后的數(shù)據(jù)包經(jīng)由同一條路徑時(shí)卻花費(fèi)125ms，那么抖動(dòng)就是25ms。終端設(shè)備上的應(yīng)用軟件，如MediaPlayer，可以使用緩沖區(qū)來彌補(bǔ)由抖動(dòng)造成的質(zhì)量下降，但它不能補(bǔ)償數(shù)據(jù)包到達(dá)時(shí)間的瞬時(shí)變化，這也會(huì)造成緩沖區(qū)的過載或欠載運(yùn)行，導(dǎo)致業(yè)務(wù)質(zhì)量降級(jí)。如在網(wǎng)上看電影時(shí)，視頻播放仍然不夠流暢。網(wǎng)絡(luò)對(duì)任何組織都是非常重要的。它承載著大量的應(yīng)用，包括實(shí)時(shí)語音、高質(zhì)量視頻和對(duì)延遲敏感的數(shù)據(jù)等，這就要求網(wǎng)絡(luò)必須能夠通過管理帶寬、延遲、抖動(dòng)和丟包率等參數(shù)提供可預(yù)測、可管理，甚至有時(shí)是可保證的服務(wù)。QOS就是用于達(dá)到這一目標(biāo)的技術(shù)和工具。QOS的目標(biāo)是形成一個(gè)聚合的、對(duì)于用戶來說透明的網(wǎng)絡(luò)，在這個(gè)聚合的網(wǎng)絡(luò)平臺(tái)上，各種數(shù)據(jù)共存且并不公平地競爭網(wǎng)絡(luò)資源，加上重要應(yīng)用的數(shù)據(jù)被網(wǎng)絡(luò)設(shè)備賦予較高的優(yōu)先級(jí)或得到優(yōu)先服務(wù)，這樣這些應(yīng)用的服務(wù)質(zhì)量就不會(huì)降低至不可用的地步了。第六章產(chǎn)品簡介6.1Cisco2800系列集成多業(yè)務(wù)路由器思科系統(tǒng)公司推出了一個(gè)全新的集成多業(yè)務(wù)路由器系列，它進(jìn)?行了專門的優(yōu)化，可安全、線速地同時(shí)提供數(shù)據(jù)、話音和視頻服務(wù)，重新定義了最佳大型企業(yè)和中小型企業(yè)路由。模塊化CiscoPAGEXXX2800系列集成多業(yè)務(wù)路由器.建立在思科20年的領(lǐng)先地位及創(chuàng)新技術(shù)的基礎(chǔ)之上，智能地將數(shù)據(jù)、安全性和話音服務(wù)內(nèi)嵌于單一永續(xù)系統(tǒng)，能快速、可擴(kuò)展地提供關(guān)鍵任務(wù)業(yè)務(wù)應(yīng)用。Cisco2800系列的獨(dú)特集成系統(tǒng)架構(gòu)提供了最高業(yè)務(wù)靈活性和投資保護(hù)。Cisco2800系列由四個(gè)新平臺(tái)組成：Cisco2801、Cisco2811、Cisco2821和Cisco2851。與相似價(jià)位的前幾代思科路由器相比，Cisco2800系列的性能提高了五倍、安全性和話音性能提高了十倍、具有全新內(nèi)嵌服務(wù)選項(xiàng)，且大大提高了插槽性能和密度，同時(shí)保持了對(duì)目前Cisco1700系列和Cisco2600系列中現(xiàn)有90多種模塊中大多數(shù)模塊的支持，從而提供了極大的性能優(yōu)勢(shì)。Cisco2800系列能以線速為多條T1/E1/xDSL連接提供多種高質(zhì)量并發(fā)服務(wù)。這些路由器提供了內(nèi)嵌加密加速和主板話音數(shù)字信號(hào)處理器（DSP）插槽；入侵保護(hù)和防火墻功能；集成化呼叫處理和語音留言；用于多種連接需求的高密度接口；以及充足的性能和插槽密度，以用于未來網(wǎng)絡(luò)擴(kuò)展和高級(jí)應(yīng)用。6.2CiscoCatalyst3560系列集成交換機(jī)思科新推出的CiscoCatalyst3560系列交換機(jī)是一個(gè)創(chuàng)新的產(chǎn)品系列，它結(jié)合業(yè)界領(lǐng)先的易用性和最高的冗余性，里程碑地提升了堆疊式交換機(jī)在局域網(wǎng)中的工作效率。這個(gè)新的產(chǎn)品系列采用了最新的思科StackWise技術(shù)，不但實(shí)現(xiàn)高達(dá)32Gbps的堆疊互聯(lián)，還從物理上到邏輯上使若干獨(dú)立交換機(jī)在堆疊時(shí)集成在一起，便于用戶建立一個(gè)統(tǒng)一、高度靈活的交換系統(tǒng)--就好像是一整臺(tái)交換機(jī)一樣。這代表了堆疊式交換機(jī)新的工業(yè)技術(shù)水平和標(biāo)準(zhǔn)。對(duì)于中型組織和企業(yè)分支機(jī)構(gòu)而言，CiscoCatalyst3560系列可以通過提供配置靈活性，支持融合網(wǎng)絡(luò)模式，已經(jīng)自動(dòng)配置智能化網(wǎng)絡(luò)服務(wù)，降低融合應(yīng)用的部署難度，適應(yīng)不斷變化的業(yè)務(wù)需求。此外，CiscoCatalyst3750系列針對(duì)高密度千兆位以太網(wǎng)部署進(jìn)行了專門的優(yōu)化，其中包含多種可以滿足接入、匯聚或者小型網(wǎng)絡(luò)骨干網(wǎng)連接需求的交換機(jī)。CiscoCatalyst3560系列可以使用標(biāo)準(zhǔn)多層軟件鏡像（SMI）或者增強(qiáng)多層軟件鏡像（EMI）。SMI功能集包括先進(jìn)的服務(wù)質(zhì)量（QOS）、速率限制、訪問控制列表（ACL）和基本的靜態(tài)和路由信息協(xié)議（RIP）路由功能。EMI可以提供一組更加豐富的企業(yè)級(jí)功能，包括先進(jìn)的、基于硬件的IP單播和組播路由。思科StackWise技術(shù)是一種針對(duì)千兆位以太網(wǎng)優(yōu)化的、先進(jìn)的堆疊架構(gòu)。該技術(shù)的設(shè)計(jì)目的是及時(shí)地對(duì)設(shè)備添加、移除和重新部署做出反應(yīng)，同時(shí)保持穩(wěn)定的性能。利用特殊的堆疊互聯(lián)電纜和堆疊軟件，思科StackWise技術(shù)最多可以將9臺(tái)單獨(dú)的CiscoCatalyst3750交換機(jī)連接到一個(gè)統(tǒng)一的邏輯單元中。堆疊相當(dāng)于一個(gè)單一的交換單元，由一個(gè)從成員交換機(jī)中選出的主交換機(jī)管理。主交換機(jī)可以自動(dòng)地創(chuàng)建和升級(jí)所有的交換信息和可選的路由表。一個(gè)工作中的堆疊可以在不中斷服務(wù)的情況下，添加新的成員或者移除舊的成員。6.3CiscoCatalyst2960系列集成交換機(jī)CiscoPAGEXXXCatalystPAGEXXX2960系列智能以太網(wǎng)交換機(jī)是一個(gè)全新的、固定配置的獨(dú)立設(shè)備系列，提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，可為入門級(jí)企業(yè)、中型市場和分支機(jī)構(gòu)網(wǎng)絡(luò)提供增強(qiáng)LAN服務(wù)。Catalyst2960系列具有集成安全特性，包括網(wǎng)絡(luò)準(zhǔn)入控制(NAC)、高級(jí)服務(wù)質(zhì)量(QOS)和永續(xù)性，可為網(wǎng)絡(luò)邊緣提供智能服務(wù)。憑借CiscoCatalyst2960系列提供的廣泛安全特性，企業(yè)可保護(hù)重要信息，防止未授權(quán)人員接入網(wǎng)絡(luò)，確保私密性及維持不間斷運(yùn)行。思科基于身份的網(wǎng)絡(luò)服務(wù)(IBNS)解決方案提供了身份驗(yàn)證、訪問控制和安全策略管理，可保護(hù)網(wǎng)絡(luò)連接和資源。Catalyst2960系列中的IBNS可防止未授權(quán)接入，并確保用戶只獲得其指定權(quán)利。它能動(dòng)態(tài)管理網(wǎng)絡(luò)接入的具體層次。使用802.1x標(biāo)準(zhǔn)和思科安全訪問控制服務(wù)器（ACS），無論用戶在何處連接到網(wǎng)絡(luò)中，都可在驗(yàn)證基礎(chǔ)上分配到一個(gè)VLAN。此設(shè)置使IT部門能在不影響用戶移動(dòng)性的情況下，以最低管理開銷實(shí)施強(qiáng)大的安全策略。為防止拒絕服務(wù)攻擊和其他攻擊，可用ACL根據(jù)源和目的地MAC地址、IP地址或TCP/UDP端口來拒絕分組，從而限制對(duì)網(wǎng)絡(luò)敏感部分的訪問。ACL查詢?cè)谟布型瓿桑蚀嗽趯?shí)施基于ACL的安全性時(shí)不會(huì)影響轉(zhuǎn)發(fā)性能。端口安全性可根據(jù)與以太網(wǎng)端口相連的設(shè)備的MAC地址，來限制以太網(wǎng)端口上的訪問。它也可用于限制插入一個(gè)交換機(jī)端口的總設(shè)備數(shù)目，因此可使交換機(jī)免遭MAC泛洪攻擊，降低了惡意無線接入點(diǎn)或集線器接入的風(fēng)險(xiǎn)。憑借動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)監(jiān)聽，可以只允許來自不可信用戶端口的DHCP請(qǐng)求（但不允許響應(yīng)）進(jìn)入網(wǎng)絡(luò)，從而防止DHCP電子欺騙。此外，DHCP接口跟蹤器(選項(xiàng)82)特性可為主機(jī)IP地址請(qǐng)求添加交換機(jī)端口ID，有助于實(shí)現(xiàn)對(duì)于IP地址分配的精確控制。MAC地址通知特性可向管理站發(fā)送報(bào)警，從而監(jiān)控網(wǎng)絡(luò)和跟蹤用戶，以使網(wǎng)絡(luò)管理員知道用戶何時(shí)、從何處進(jìn)入網(wǎng)絡(luò)。SSHv2和SNMPv3對(duì)管理和網(wǎng)絡(luò)管理信息加密，保護(hù)網(wǎng)絡(luò)免遭干擾或竊聽。TACACS+或RADIUS驗(yàn)證實(shí)現(xiàn)了交換機(jī)的集中訪問控制，并限制未授權(quán)用戶改變配置。此外，可在交換機(jī)上配置本地用戶名和密碼數(shù)據(jù)庫。交換機(jī)控制臺(tái)上的15個(gè)授權(quán)級(jí)別和Web管理界面上的2個(gè)級(jí)別提供了向不同管理員分配不同配置功能級(jí)別的能力第七章項(xiàng)目實(shí)施計(jì)劃7.1項(xiàng)目組織結(jié)構(gòu)在項(xiàng)目型組織中，每個(gè)項(xiàng)目就象一個(gè)微型公司那樣運(yùn)行。完成每個(gè)項(xiàng)目目標(biāo)所需的所有資源完全分配給這個(gè)項(xiàng)目，專門為這個(gè)項(xiàng)目服務(wù)。采用項(xiàng)目型組織的公司不生產(chǎn)標(biāo)準(zhǔn)產(chǎn)品，它的經(jīng)營業(yè)務(wù)就是項(xiàng)目。專職的項(xiàng)目經(jīng)理對(duì)項(xiàng)目團(tuán)隊(duì)擁有完全的項(xiàng)目權(quán)力和行政權(quán)力（在職能型組織里，項(xiàng)目經(jīng)理可以有項(xiàng)目權(quán)力，但職能經(jīng)理仍保留對(duì)分配到項(xiàng)目中的手下人員的行政和技術(shù)權(quán)力）。由于每個(gè)項(xiàng)目團(tuán)隊(duì)嚴(yán)格致力于一個(gè)項(xiàng)目，所以，項(xiàng)目型組織的設(shè)置完全是為了迅速、有效地對(duì)項(xiàng)目目標(biāo)和客戶需要做出反應(yīng)。項(xiàng)目型組織無論從單個(gè)項(xiàng)目，還是整個(gè)公司來看，都是成本低效的。每個(gè)項(xiàng)目必須為專門工作的團(tuán)隊(duì)成員提供薪金，即使是在項(xiàng)目某些階段他們工作很輕松，也得如此。在項(xiàng)目型組織中，為了最大限度地利用項(xiàng)目資源，保證在預(yù)算范圍內(nèi)成功地完成項(xiàng)目，需要有詳盡而準(zhǔn)確的計(jì)劃和一個(gè)有效的控制系統(tǒng)。對(duì)整個(gè)公司來講，項(xiàng)目型組織由于在多個(gè)同時(shí)進(jìn)行的項(xiàng)目上存在任務(wù)上的重復(fù)，從而造成大量的重復(fù)勞動(dòng)。由于資源不能共享，某個(gè)項(xiàng)目專用的資源即使閑置不用，也無法應(yīng)用于另一個(gè)同時(shí)進(jìn)行的類似項(xiàng)目。同樣。不同項(xiàng)目團(tuán)隊(duì)的成員也不能共享知識(shí)或?qū)I(yè)技術(shù)技能，因?yàn)槊總€(gè)項(xiàng)目團(tuán)隊(duì)都是獨(dú)立的，團(tuán)隊(duì)成員完全效力于自己的團(tuán)隊(duì)，這種結(jié)構(gòu)沒有職能部門那種讓人們進(jìn)行職業(yè)技能和知識(shí)交流的場所。項(xiàng)目型組織結(jié)構(gòu)適用于那些專職從事項(xiàng)目，不生產(chǎn)標(biāo)準(zhǔn)建筑產(chǎn)品的企業(yè)。7.2項(xiàng)目人員分工從秋葉的飄零中，我們讀出了季節(jié)的變換；從蜂蜜的濃香中，我們讀出了勤勞的甜美；從冰雪的消融中，我們讀出了春天的腳步；從穿石的滴水中，我們讀出了堅(jiān)持的可貴；從歸雁的行列中，我讀出了集體的力量；從優(yōu)秀的工程中，我們讀出了團(tuán)隊(duì)合作的精神。 我們團(tuán)隊(duì)由項(xiàng)目經(jīng)理、項(xiàng)目副經(jīng)理、技術(shù)工程師、實(shí)施工程師、本次項(xiàng)目實(shí)行項(xiàng)目經(jīng)理負(fù)責(zé)制，主持項(xiàng)目部的全部工作。項(xiàng)目經(jīng)理負(fù)責(zé)公司的正常運(yùn)營，，協(xié)，協(xié)調(diào)部門間關(guān)系，使每個(gè)員工都能發(fā)揮最大的能力。其次，項(xiàng)目副經(jīng)理崔路路畢業(yè)于許昌學(xué)院，獲得了本次項(xiàng)目中，項(xiàng)目副經(jīng)理分管生產(chǎn)管理工作，負(fù)責(zé)質(zhì)量、安全、進(jìn)度以及施工成本控制的管理，同時(shí)協(xié)助項(xiàng)目經(jīng)理管理材料、設(shè)備、后勤等。技術(shù)工程師侯偉峰和董政。侯偉峰畢業(yè)于許昌學(xué)院，獲得了董政畢業(yè)于許昌學(xué)院，獲得了在本次項(xiàng)目中，技術(shù)負(fù)責(zé)人分管項(xiàng)目技術(shù)管理工作，，，負(fù)責(zé)方案的編制、技術(shù)交底、技術(shù)處理、內(nèi)業(yè)資料審核等與技術(shù)有關(guān)的工作。然后，實(shí)施工程師劉金彪和楊朝里。劉金彪畢業(yè)于許昌學(xué)院，獲得了等證書。楊朝里畢業(yè)于許昌學(xué)院，獲得了等證書。在本次項(xiàng)目中，實(shí)施負(fù)責(zé)人是現(xiàn)場施工管理工作的具體實(shí)施者，參與討論、制定項(xiàng)目計(jì)劃，對(duì)項(xiàng)目實(shí)施按項(xiàng)目實(shí)施計(jì)劃提供實(shí)施支持，技術(shù)上按技術(shù)負(fù)責(zé)人的要求以及有關(guān)規(guī)范具體落實(shí)并督促實(shí)施，按項(xiàng)目實(shí)施計(jì)劃提供系統(tǒng)功能培訓(xùn)，制訂指導(dǎo)系統(tǒng)詳細(xì)實(shí)施計(jì)劃和進(jìn)度方案，協(xié)助技術(shù)人員進(jìn)行系統(tǒng)安裝及技術(shù)維護(hù)，完成系統(tǒng)階段實(shí)施目標(biāo)，保證系統(tǒng)按期順利運(yùn)行，生產(chǎn)上按項(xiàng)目（副）經(jīng)理的要求對(duì)工作組進(jìn)行全面管理及成本控制，協(xié)助項(xiàng)目經(jīng)理進(jìn)行階段驗(yàn)收和系統(tǒng)驗(yàn)收。最后，項(xiàng)目一般成員文燕畢業(yè)于許昌學(xué)院，獲得了等證書。在本次項(xiàng)目實(shí)施中，負(fù)責(zé)進(jìn)行業(yè)務(wù)流程及功能需求的整理和詳細(xì)設(shè)計(jì)，制訂必要的數(shù)據(jù)安全管理制度和系統(tǒng)內(nèi)部實(shí)施管理制度，進(jìn)行數(shù)據(jù)的收集、整理和準(zhǔn)備，為設(shè)計(jì)方提供必要的數(shù)據(jù)轉(zhuǎn)換支持，參與項(xiàng)目詳細(xì)實(shí)施計(jì)劃、階段計(jì)劃、培訓(xùn)計(jì)劃的制訂，參與相關(guān)系統(tǒng)的單元及集成測試，負(fù)責(zé)最終操作用戶的培訓(xùn)和使用指導(dǎo)，接受咨詢顧問的知識(shí)轉(zhuǎn)移，提供系統(tǒng)的技術(shù)、運(yùn)行環(huán)境以支持系統(tǒng)培訓(xùn)、實(shí)施、維護(hù)等工作的正常運(yùn)行，根據(jù)項(xiàng)目的需要，在項(xiàng)目負(fù)責(zé)人的統(tǒng)一調(diào)配下，進(jìn)行其它必要的實(shí)施工作。 我們只有一個(gè)理念：相信自己。7.3項(xiàng)目實(shí)施前的準(zhǔn)備工作施工前的準(zhǔn)備工作主要包括技術(shù)準(zhǔn)備、施工前的環(huán)境檢查、施工前設(shè)備器材及施工工具檢查、施工組織準(zhǔn)備等環(huán)節(jié)。在項(xiàng)目開始實(shí)施前，首先要做好項(xiàng)目實(shí)施的整體計(jì)劃，各分項(xiàng)目的實(shí)施都應(yīng)在整體計(jì)劃所劃定的框架內(nèi)進(jìn)行，以保證整個(gè)項(xiàng)目實(shí)施的協(xié)調(diào)一致。

1.技術(shù)準(zhǔn)備工作

確定項(xiàng)目的范圍、目標(biāo)和方法為了保證項(xiàng)目在給定的時(shí)間和成本范圍內(nèi)高質(zhì)量地完成，必須有一整套關(guān)于咨詢服務(wù)、技術(shù)支持和培訓(xùn)的方法和軟件，其中首先要明確的就是項(xiàng)目的范圍、目標(biāo)和方法，本文檔同項(xiàng)目的質(zhì)量管理計(jì)劃相結(jié)合，將成為整個(gè)項(xiàng)目實(shí)施的基礎(chǔ)性文件，并提交給所有項(xiàng)目小組成員。

2.施工前的環(huán)境檢查

3.施工前的器材檢查

公司需要和乙方商定使用何種器材施工，以確保雙方能夠滿意。充分利用企業(yè)現(xiàn)有的軟、硬件資源。在保證項(xiàng)目整體先進(jìn)、合理的前提下，盡量利用企業(yè)現(xiàn)有的軟、硬件資源。并且充分利用現(xiàn)有的數(shù)據(jù)，以避免重復(fù)勞動(dòng)、給企業(yè)帶來不在計(jì)劃中的支出。7.4安裝前的場地準(zhǔn)備規(guī)范最佳運(yùn)行期間存放期間溫度70°F（21°C-73.5°C）（5相對(duì)濕度（RH）45%-50%20%-80%無凝結(jié)5%-95%無凝結(jié)海拔高度0-9,840英尺0-9,840英尺（0-3千米）（0-3千米）（條件規(guī)格交流電源（CU）最大操作電流2.9A@100VAC（90VAC-136VAC范圍），50/60HZ最大操作電流1.5A@240VAC（198VAC-264VAC范圍），50/60HZ交流電源（EXP）最大操作電流3.2A@100VAC（90VAC-136VAC范圍），50/60HZ最大操作電流最大操作電流1.4A@240VAC（198VAC-264VAC范圍），50/60HZ7.5核心及各網(wǎng)點(diǎn)的安裝調(diào)試第八章網(wǎng)絡(luò)測試8.1網(wǎng)絡(luò)測試目的網(wǎng)絡(luò)測試的目的決定了如何去組織測試。如果測試的目的是為了盡可能多地找出錯(cuò)誤，那么測試就應(yīng)該直接針對(duì)網(wǎng)絡(luò)比較復(fù)雜的部分或是以前出錯(cuò)比較多的位置。如果測試目的是為了給最終用戶提供具有一定可信度的質(zhì)量評(píng)價(jià)，那么測試就應(yīng)該直接針對(duì)在實(shí)際應(yīng)用中會(huì)經(jīng)常用到的商業(yè)假設(shè)。不同的機(jī)構(gòu)會(huì)有不同的測試目的；相同的機(jī)構(gòu)也可能有不同測試目的，可能是測試不同區(qū)域或是對(duì)同一區(qū)域的不同層次的測試。①、網(wǎng)絡(luò)測試是為了發(fā)現(xiàn)錯(cuò)誤而執(zhí)行程序的過程；

②、測試是為了證網(wǎng)絡(luò)有時(shí)會(huì)出錯(cuò)，而不是證明網(wǎng)絡(luò)無錯(cuò)誤。

③、一個(gè)好的測試用例是在于它能發(fā)現(xiàn)至今未發(fā)現(xiàn)的錯(cuò)誤；

④、一個(gè)成功的測試是發(fā)現(xiàn)了至今未發(fā)現(xiàn)的錯(cuò)誤的測試。這種觀點(diǎn)可以提醒人們測試要以查找錯(cuò)誤為中心，而不是為了演示網(wǎng)絡(luò)的正確功能。但是僅憑字面意思理解這一觀點(diǎn)可能會(huì)產(chǎn)生誤導(dǎo)，認(rèn)為發(fā)現(xiàn)錯(cuò)誤是網(wǎng)絡(luò)測試的唯一目的，查找不出錯(cuò)誤的測試就是沒有價(jià)值的，事實(shí)并非如此。首先，測試并不僅僅是為了要找出錯(cuò)誤。通過分析錯(cuò)誤產(chǎn)生的原因和錯(cuò)誤的分布特征，可以幫助項(xiàng)目管理者發(fā)現(xiàn)當(dāng)前所采用的網(wǎng)絡(luò)過程的缺陷，以便改進(jìn)。同時(shí)，這種分析也能幫助我們?cè)O(shè)計(jì)出有針對(duì)性地檢測方法，改善測試的有效性。其次，沒有發(fā)現(xiàn)錯(cuò)誤的測試也是有價(jià)值的，完整的測試是評(píng)定測試質(zhì)量的一種方法。詳細(xì)而嚴(yán)謹(jǐn)?shù)目煽啃栽鲩L模型可以證明這。8.2測試文檔 第九章網(wǎng)絡(luò)架構(gòu) 配置前的準(zhǔn)備Sw1—8R1配置IPIntf0/0IpaddNoshuIntf1/0IpaddNoshuSw1.Sw2開啟trunk口SW1Sw2SW1SW2鏈路捆綁SW1SW2在SW1創(chuàng)建VLANVlandatabase 進(jìn)入vlan數(shù)據(jù)庫VPN創(chuàng)建VPN域vtpdomaincll創(chuàng)建VTP服務(wù)器查看vlanSW1intvlan2ipadd vlan網(wǎng)關(guān)noshustandby2ip54 熱備份網(wǎng)關(guān)(HSRP)standby2priority50 優(yōu)先級(jí)50（備用）standby2preemptintvlan3ipadd noshustandby3ip54standby3priority50standby3preemptintvlan4ipadd noshustandby4ip54standby4priority50standby4preemptintvlan5ipadd noshustandby5ip54standby5priority100 優(yōu)先級(jí)100（主用）standby5preemptintvlan6ipadd noshustandby6ip54standby6priority100standby6preemptintvlan7ipadd noshustandby7ip54standby7priority100standby7preemptexitVlan.7與2一樣SW2加入VTP域vtpdomaincll創(chuàng)建VTP客戶端vtpclientconftintvlan2ipadd vlan網(wǎng)關(guān)noshustandby2ip54 熱備份網(wǎng)關(guān)(HSRP) standby2priority100 優(yōu)先級(jí)100（主用） standby2preemptintvlan3ipadd noshustandby3ip54standby3priority100standby3preemptintvlan4ipadd noshustandby4ip54standby4priority100standby4preemptintvlan5ipadd noshustandby5ip54standby5priority50 優(yōu)先級(jí)50（備用） standby5preemptintvlan6ipadd noshustandby6ip54standby6priority50standby6preemptintvlan7ipadd noshustandby7ip54standby7priority50standby7preemptexit生成樹Sw1sw2OSPFSW1SW2在OSPF中通告上行速鏈路第十章網(wǎng)絡(luò)設(shè)備基本配置（內(nèi)部）10.1網(wǎng)絡(luò)描述總部公司網(wǎng)絡(luò)使用兩臺(tái)cisco-3560(sw1和sw2)做為核心層,兩臺(tái)cisco2851（R1和R2）系列路由器做出口。核心層拓?fù)淙缦?0.2基本配置10.2.1交換機(jī)Cisco3560的基本配置設(shè)備訪問首先使用隨設(shè)備附帶的配置Console線纜，分別連接管理工作站的Com端口和交換機(jī)的Console端口；啟動(dòng)Windows操作系統(tǒng)下的超級(jí)終端，配置參數(shù)如下；設(shè)備名稱定義設(shè)備名稱為SW3560-1Switch(conf)#hostnameSW3560-設(shè)備口令設(shè)置遠(yuǎn)程訪問用戶口令SW3560-1(config)#linevty015（路由器為linevty04）；015代表允許16個(gè)進(jìn)程同時(shí)遠(yuǎn)程訪問設(shè)備SW3560-1(config-line)#passwordciscoSW3560-1(config-line)#loginSW3560-1(config-line)#exit設(shè)置特權(quán)用戶口令SW3560-1(config)#enablesecretcisco關(guān)閉DNS查找功能(默認(rèn)時(shí)打開)SW3560-1(config)#noipdomainlookup啟用loggingsynchronous阻止控制臺(tái)信息覆蓋命令行上的輸入SW3560-1(config)#lineconsSW3560-1(config)#lineconsole0SW3560-1(config-line)#loggingsynchronousSW3560-1(config-line)#exitSW3560-1(config)#linevty015SW3560-1(config-line)#loggingsynchronousSW3560-1(config-line)#exit將exec-timeout設(shè)置為00為控制臺(tái)連接設(shè)置以秒或分鐘的超時(shí)SW3560-1(config)#lineconsole0SW3560-1(config-line)#exec-timeout00SW3560-1(config-line)#exitSW3560-1(config)#linevtySW3560-1(config)#linevty015SW3560-1(config-line)#exec-timeout00SW3560-1(config-line)#exit配置console口訪問不需要密碼SW3560-1(config)#lineconsole0SW3560-1(config-line)#privilegelevel15SW3560-1(config-line)#nologinSW3560-1(config-line)#exit以下設(shè)備基本配置同上:SW3560-2R2851-1R2851-210.2IP地址配置Cisco2851-1R2851-1(config)#interfacef0/0R2851-1(config-if)#ipaddressR2851-1(config-if)#noshutdownR2851-1(config-if)#interfacef0/1R2851-1(config-if)#ipaddressR2851-1(config-if)#noshutdownR2851-1(config-if)#interfacef0/2R2851-1(config-if)#ipaddressR2851-1(config-if)#noshutdownCisco2851-2R2851-2(config)#interfacef0/0R2851-2(config-if)#ipaddressR2851-2(config-if)#noshutdownR2851-2(config-if)#interfacef0/1R2851-2(config-if)#ipaddressR2851-2(config-if)#noshutdownR2851-2(config-if)#interfacef0/2R2851-2(config-if)#ipaddressR2851-2(config-if)#noshutdownSW3560-1:SW3560-1(config)#interfacef0/1SW3560-1(config-if)#noswitchportSW3560-1(config-if)#ipaddressSW3560-1(config)#interfacef0/2SW3560-1(config-if)#noswitchportSW3560-1(config-if)#ipaddressSW3560-1(config)#interfaceloopback0SW3560-1(config-if)#ipaddress54SW3560-2:SW3560-2(config)#interfacef0/1SW3560-2(config-if)#noswitchportSW3560-2(config-if)#ipaddressSW3560-1(config)#interfacef0/2SW3560-1(config-if)#noswitchportSW3560-1(config-if)#ipaddressSW3560-2(config-if)#noshutdownSW3560-2(config)#interfaceloopback0SW3560-2(config-if)#ipaddress54本項(xiàng)目中的Loopback地址作為設(shè)備的管理地址使用10.3檢查設(shè)備的連通性SW3560-1#showcdpneighbors注：利用showcdpneighbors命令檢查所有設(shè)備是否正確連接,連接端口是否正確.SW3560-2#showcdpneighborsR2851-1#showcdpneighborsR2851-2#showcdpneighbors對(duì)端設(shè)備連接端口對(duì)端設(shè)備型號(hào)對(duì)端設(shè)備連接端口對(duì)端設(shè)備型號(hào)對(duì)端設(shè)備名稱本地連接端口10.4Windows服務(wù)器的安裝：首先，使用系統(tǒng)光碟來給服務(wù)器安裝系統(tǒng)，將光碟放入CD-ROM開機(jī)設(shè)成光驅(qū)啟動(dòng)。按Eenter鍵進(jìn)入下一步Windows授權(quán)協(xié)議，按F8進(jìn)入下一步Windows2003的磁盤分區(qū)，按C鍵進(jìn)行磁盤分區(qū)Windows2003的磁盤分區(qū)完成，按Enter鍵進(jìn)入下一步Windows2003磁盤分區(qū)后進(jìn)行格式化Windows2003正在進(jìn)行磁盤格式化Windows2003安裝程序正在將文件復(fù)制到Windows安裝文件夾Windows2003安裝程序完成后，計(jì)算機(jī)自動(dòng)重新啟動(dòng)計(jì)算機(jī)重啟后，安裝系統(tǒng)文件安裝Windows區(qū)域和語言選項(xiàng)安裝Windows自定義軟件輸入Windows產(chǎn)品密鑰設(shè)置Windows授權(quán)模式設(shè)置計(jì)算機(jī)名稱和管理員密碼設(shè)置Windows日期和時(shí)間安裝Windows網(wǎng)絡(luò)安裝Windows工作組或計(jì)算機(jī)域正在注冊(cè)Windows組件Windows網(wǎng)絡(luò)安裝完成后，自動(dòng)重啟Windows安裝完成10.5安裝DNS、DC、WEB、FTP等服務(wù)器，配置如下10.5.1安裝DNS配置IP地址添加DNS后綴安裝DNS服務(wù)器，開始菜單—設(shè)置—控制面板添加或刪除程序--添加/刪除windows組件—網(wǎng)絡(luò)服務(wù)—詳細(xì)信息—域名系統(tǒng)（DNS）--確定—下一步正在安裝DNS服務(wù)器DNS服務(wù)器安裝完成開始—程序—管理工具—DNS10.5.2安裝域控制器（DC）開始菜單—運(yùn)行—輸入命令（dcpromo）域控制器安裝向?qū)А乱徊街付ㄓ蚩刂破鞯念愋蛣?chuàng)建一個(gè)新域新建域名（）--下一步指定新域的NeBIOS名稱（XC）--下一步指定數(shù)據(jù)庫和日志文件存放的位置指定共享的系統(tǒng)卷存放的位置指定用戶和組的默認(rèn)權(quán)限設(shè)置目錄服務(wù)還原模式的管理員密碼復(fù)查并確認(rèn)選定的選項(xiàng)正在進(jìn)行域控制器的安裝域控制器安裝完成重啟計(jì)算機(jī)安裝的域控制器才能生效開始—程序—管理工具—ActiveDirectory用戶和計(jì)算機(jī)給管理員設(shè)置密碼使用管理員登錄到XC域中已經(jīng)登錄到XC域中10.5.3安裝WEB1.、添加組件安裝程序在下圖位置（internet信息服務(wù)ISS管理器）2、創(chuàng)建網(wǎng)站①配置網(wǎng)站ip地址②配置網(wǎng)站主頁10.5.4安裝FTP1.添加FTP：開始設(shè)置控制面板添加刪除組件雙擊應(yīng)用程序服務(wù)器IISFTP(選擇)2.打開FTP：開始管理工具信息服務(wù)（IIS）管理器默認(rèn)FTP站點(diǎn) 右鍵屬性FTP站點(diǎn)配置FTP站點(diǎn)標(biāo)識(shí)配置FTP站點(diǎn)目錄第十一章網(wǎng)絡(luò)配置的基本配置（分部）11.1網(wǎng)絡(luò)描述分部網(wǎng)絡(luò)使用一臺(tái)cisco3560做為分布層設(shè)備,cisco2960為接入層設(shè)備.Cisco集成多業(yè)務(wù)路由器cisco2811做為廣域網(wǎng)連接邊緣路由器.IP地址按IP地址規(guī)劃表分配,11.2基本配置11.2.1交換機(jī)Catalyst3560的基本配置設(shè)備訪問首先使用隨設(shè)備附帶的配置Console線纜，分別連接管理工作站的Com端口和交換機(jī)的Console端口；啟動(dòng)Windows操作系統(tǒng)下的超級(jí)終端，配置參數(shù)如下；設(shè)備名稱設(shè)備名稱為SW3560Switch(conf)#hostnameSW3560設(shè)備口令設(shè)置遠(yuǎn)程訪問用戶口令SW3560(config)#linevty015（路由器為linevty04）；015代表允許16個(gè)進(jìn)程同時(shí)遠(yuǎn)程訪問設(shè)備SW3560(config-line)#passwordciscoSW3560(config-line)#loginSW3560(config-line)#exit設(shè)置特權(quán)用戶口令SW3560(config)#enablesecretcisco關(guān)閉DNS查找功能(默認(rèn)時(shí)打開)SW3560(config)#noipdomainlookup啟用loggingsynchronous阻止控制臺(tái)信息覆蓋命令行上的輸入SW3560(config)#lineconsSW3560(config)#lineconsole0SW3560(config-line)#loggingsynchronousSW3560(config-line)#exitSW3560(config)#linevty015SW3560(config-line)#loggingsynchronousSW3560(config-line)#exit將exec-timeout設(shè)置為00為控制臺(tái)連接設(shè)置以秒或分鐘的超時(shí)SW3560(config)#lineconsole0SW3560(config-line)#exec-timeout00SW3560(config-line)#exitSW3560(config)#linevtySW3560(config)#linevty015SW3560(config-line)#exec-timeout00SW3560(config-line)#exit配置console口訪問不需要密碼SW3560(config)#lineconsole0SW3560(config-line)#privilegelevel15SW3560(config-line)#nologinSW3560(config-line)#exit以下設(shè)備的基本配置同上:R2800SW296011.2.2IP地址配置R2800(config)#interfacef0/0R2800(config-if)#ipaddressR2800(config-if)#noshuR2800(config-if)#exitR2800(config)#interfacef0/1R2800(config-if)#ipaddressR2800(config-if)#noshuR2800(config-if