網(wǎng)絡公司構架之淺談畢業(yè)論文

1、<p><b>　　本科生畢業(yè)設計</b></p><p><b>　　網(wǎng)絡公司構架之淺談</b></p><p>　　院 系　計算機科學與技術學院 </p><p>　　專 業(yè)　計算機科學與技術 　 </p><p><b>　　獨 創(chuàng) 性 聲 明&l

2、t;/b></p><p>　　本人鄭重聲明：所呈交的畢業(yè)論文（設計）是本人在指導老師指導下取得的研究成果。除了文中特別加以注釋和致謝的地方外，論文（設計）中不包含其他人已經(jīng)發(fā)表或撰寫的研究成果。與本研究成果相關的所有人所做出的任何貢獻均已在論文（設計）中作了明確的說明并表示了謝意。</p><p>　　簽名： 　</p><p>

3、<b>　　年　　月　　日</b></p><p><b>　　授權聲明</b></p><p>　　本人完全了解許昌學院有關保留、使用本科生畢業(yè)論文（設計）的規(guī)定，即：有權保留并向國家有關部門或機構送交畢業(yè)論文（設計）的復印件和磁盤，允許畢業(yè)論文（設計）被查閱和借閱。本人授權許昌學院可以將畢業(yè)論文（設計）的全部或部分內(nèi)容編入有關數(shù)據(jù)庫進行檢索，

4、可以采用影印、縮印或掃描等復制手段保存、匯編論文（設計）。</p><p>　　本人論文（設計）中有原創(chuàng)性數(shù)據(jù)需要保密的部分為：　　。</p><p>　　簽名： </p><p><b>　　年　　月　　日</b></p><p>　　指導教師簽名： </p>

5、<p><b>　　年　　月　　日</b></p><p><b>　　摘 要</b></p><p>　　隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡安全逐漸成為一個潛在的巨大問題。網(wǎng)絡的安全性、保密性、可靠穩(wěn)定性，對于企業(yè)和一些跨區(qū)域專門從事特定業(yè)務的部門，非常重要。所以有一個良好的網(wǎng)絡構架那是必須的。</p><p>　　

6、關鍵字：網(wǎng)絡規(guī)劃，路由，交換機</p><p><b>　　Abstract</b></p><p>　　With the rapid development of the Internet, network security has become a potential huge problems. Network security, privacy, reliab

7、le stability, for enterprises and some cross area to specialize in particular business department, is very important. So there's a good network structure that is a must. </p><p>　　Keyboard：The network pl

8、anning, routing, switches </p><p><b>　　目 錄</b></p><p>　　緒 論- 1 -</p><p>　　第一章項目需求分析- 1 -</p><p>　　項目背景- 1 -</p><p>　　1.1.需求分析- 2 -</

9、p><p>　　第二章 網(wǎng)絡總體建設目標- 3 -</p><p>　　2.1網(wǎng)絡建設目標- 3 -</p><p>　　2.2網(wǎng)絡及系統(tǒng)建設內(nèi)容及要求- 3 -</p><p>　　2.3網(wǎng)絡設計原則- 4 -</p><p>　　第三章 網(wǎng)絡總體設計- 5 -</p><p>　

10、　3.1 網(wǎng)絡總體拓撲圖- 5 -</p><p>　　3.2 網(wǎng)絡層次化設計- 6 -</p><p>　　第四章 路由設計- 7 -</p><p>　　4.1 路由協(xié)議選擇- 7 -</p><p>　　4.2 路由規(guī)劃拓撲圖- 9 -</p><p>　　4.3 IP地址規(guī)劃- 9 -</p&

11、gt;<p>　　第五章 網(wǎng)絡安全解決方案- 11 -</p><p>　　5.1 網(wǎng)絡邊界安全威脅分析- 11 -</p><p>　　5.2 網(wǎng)絡內(nèi)部安全威脅分析- 13 -</p><p>　　5.3 安全產(chǎn)品選型原則- 13 -</p><p>　　5.4 網(wǎng)絡常用技術介紹- 13 -</p>&

12、lt;p>　　第六章 產(chǎn)品簡介- 16 -</p><p>　　第七章 項目實施計劃- 17 -</p><p>　　7.1 項目組織結構- 17 -</p><p>　　7.2 項目人員分工- 18 -</p><p>　　7.3 項目實施前的準備工作- 18 -</p><p>　　7.4 安裝前的

13、場地準備- 19 -</p><p>　　7.5 核心及各網(wǎng)點的安裝調(diào)試- 20 -</p><p>　　第八章 網(wǎng)絡測試- 20 -</p><p>　　8.1 網(wǎng)絡測試目的- 20 -</p><p>　　8.2 測試文檔- 21 -</p><p>　　第九章 總部實驗文檔- 23 -</p&

14、gt;<p>　　一、實驗拓撲- 23 -</p><p>　　二、實驗配置- 24 -</p><p>　　第十章 服務器配置- 45 -</p><p>　　一、DNS- 45 -</p><p>　　二、AD- 48 -</p><p>　　三、MAIL- 57 -</p>

15、<p>　　四、web- 60 -</p><p>　　五、FTP- 65 -</p><p>　　六、FILE- 69 -</p><p>　　七、ISA- 76 -</p><p><b>　　結 束 語2</b></p><p>　　參 考 文 獻77</p&

16、gt;<p><b>　　附 錄78</b></p><p><b>　　致 謝3</b></p><p><b>　　緒 論</b></p><p>　　網(wǎng)絡發(fā)展存在的幾個方面的差異，將會在中小型企業(yè)中特別是偏遠和經(jīng)濟相對落后的企業(yè)，網(wǎng)絡發(fā)展建設迫在眉睫，網(wǎng)絡建設隨后帶來的安全

17、性問題就成為一個艱巨而又長期的問題。而在目前網(wǎng)絡管理安全技術人員短缺、安全意識相對淡薄的情況下，如何能夠在網(wǎng)絡建設初期或正在建設過程中盡早的建立起網(wǎng)絡安全意識，了解網(wǎng)絡安全存在的威脅，選拔和培養(yǎng)自己的安全人才，新的安全人員能夠了解和掌握基本安全防范措施，制定適合本單位網(wǎng)絡安全的安全實施計劃，最大限度的避免和減少網(wǎng)絡威脅給企業(yè)帶來不必要的損失。本課題研究的目的和意義就是:在以上這些方面，為中小型企業(yè)網(wǎng)絡建設及網(wǎng)絡安全管理提供參考指導和幫助

18、，同時，在一些安全技術上，給出分析和經(jīng)過具體實踐的解決方案。 國內(nèi)的目前情況是網(wǎng)絡建設工程通常由網(wǎng)絡服務提供商(ISP)或者網(wǎng)絡工程公司根據(jù)用戶需求提供設計方案，往往是公司方面的意見占上風，而企業(yè)方因為對網(wǎng)絡建設了解較少并且缺乏這一方面的技術人員，從而變成了單方面的策略模式;其二，公司方面為方便日后的維護等工作，在安全等方面更多注重設備的選型。但是，網(wǎng)絡運行、應用和安全的主要工作在于建設之后，存在許多動態(tài)可變的因素。除了工程&l

19、t;/p><p><b>　　一章項目需求分析</b></p><p><b>　　項目背景</b></p><p>　　河北承德露露股份有限公司坐落于承德市高新技術產(chǎn)業(yè)開發(fā)區(qū)，注冊資金為2億人民幣，現(xiàn)為萬向三農(nóng)有限公司（法人）控股的上市公司。公司于1997年年底在深交所上市，成為國內(nèi)飲料行業(yè)首批上市公司之一。其總公司人數(shù)60

20、0人，分公司400人，公司以發(fā)展民族飲料為目標，堅持走科技興廠的道路，本著“高起點引進、高速度發(fā)展、創(chuàng)造高效益”的原則，使技術裝備水平居國內(nèi)領先地位，從而使公司的生產(chǎn)能力、科技含量有了更大的提高。 </p><p>　　公司發(fā)展穩(wěn)健，成長性良好，連續(xù)多年名列深市排行榜前列。公司堅持用優(yōu)質(zhì)的產(chǎn)品回報消費者，用良好的信譽、投資回報率答謝支持露露的廣大投資者。 </p><p>　　公司理念為：

21、視品質(zhì)為生命堅持質(zhì)量第一，生產(chǎn)高品質(zhì)產(chǎn)品是露露企業(yè)的信念。露露嚴格把控產(chǎn)品質(zhì)量關，從不在質(zhì)量上投機取巧，因為露露堅信只有真正為消費者提供高品質(zhì)產(chǎn)品，才能使消費者享受到健康營養(yǎng)，企業(yè)也因此才能立于不敗之地。</p><p>　　所以本項目的目標是：建立一個世紀規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴展性與可用性并且具備可管理易維護的網(wǎng)絡及系統(tǒng)平臺，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率

22、”。</p><p><b>　　需求分析</b></p><p>　　項目建設關鍵因素分析</p><p>　　通過對整個項目建設的理解和分析，我們認為整個項目建設需要考慮一下幾個關鍵因素</p><p>　　所選擇產(chǎn)品設備的成熟度</p><p>　　對于露露集團的客戶來說，信息化程度高，客戶

23、較多，所以對于設備的選擇，一定要是世界知名的、設計先進的、技術理念成熟的產(chǎn)品。</p><p>　　建立和維護需要的人力成本</p><p>　　知識管理時代需要處理海量信息的時代，僅僅依靠人工的操作時無法滿足用戶需求的，系統(tǒng)應該擁有高度的自動化，給員工的操作和維護負擔就越少，從另一層面也節(jié)省了投資。</p><p>　　易用性及實用性的考慮</p>

24、<p>　　建設項目的系統(tǒng)使用性、可維護性是首要考慮問題，如果一個系統(tǒng)搭建起來，實用性差、維護不方便，不能滿足項目建設目標，不能發(fā)揮信息服務和支撐的作用。從這個角度看，只是管理平臺需要具有非常優(yōu)秀的易用性和實用性。</p><p>　　系統(tǒng)穩(wěn)定性及高性能考慮</p><p>　　系統(tǒng)需要支持長時間的不間斷工作，能夠支持多客戶的并發(fā)訪問，在客戶和信息不斷增長的情況下，系統(tǒng)應該提供高

25、性能穩(wěn)定的服務。</p><p><b>　　安全性</b></p><p>　　安全性是任何一個大企業(yè)的關心的問題，所以整個系統(tǒng)需要具有非常周密的安全性考慮。</p><p><b>　　擴展性</b></p><p>　　對于一個系統(tǒng)，一定要考慮到系統(tǒng)今后的擴展和升級，所以整個系統(tǒng)應該有良好的構

26、架，具有良好的擴展能力。</p><p>　　具體項目建設因素分析</p><p>　　我們本次的項目建設范圍為總部和分部。</p><p><b>　　總部：</b></p><p>　　本地區(qū)具有本公司重要信息，分為幾個重要區(qū)域：數(shù)據(jù)中心，服務器，核心交換區(qū)。數(shù)據(jù)中心區(qū)域存儲本公司機密，其需要性能好，穩(wěn)定性好，安全可

27、靠；核心交換區(qū)能高速安全可靠的交換數(shù)據(jù)，它需要性能佳，穩(wěn)定性好，冗余性好，可擴展性好。因此我們在設計時會著重考慮這些因素。</p><p><b>　　分部：</b></p><p>　　本地區(qū)相當于總部的子區(qū)域，因此總部可以知道其內(nèi)部的網(wǎng)絡構架，并合理利用其資源。相對來講，為了防止機密流失，我們會防止其分部進入總部的骨干區(qū)域。</p><p>

28、;　　在當今的市場，對于以上的技術分析，都有相應的設備對其進行完善，對公司的網(wǎng)絡運營有很大幫助。</p><p>　　第二章 網(wǎng)絡總體建設目標</p><p><b>　　網(wǎng)絡建設目標</b></p><p>　　貴公司目前網(wǎng)絡尚不完善，我們的建設目標是：完善公司的高層核心網(wǎng)絡和服務器，使其內(nèi)部員工在工作時間內(nèi)僅可以訪問共享資源，上網(wǎng)查資料，收

29、發(fā)郵件，絕對杜絕員工于工作時間玩游戲，聊天等。建設一個具有高可用性、高可靠性、先進、開放、可擴展的智能信息化網(wǎng)絡系統(tǒng)。</p><p>　　網(wǎng)絡及系統(tǒng)建設內(nèi)容及要求</p><p><b>　　骨干核心層網(wǎng)絡設計</b></p><p>　　企業(yè)生產(chǎn)辦公網(wǎng)絡的核心網(wǎng)主要完成整個企業(yè)集團內(nèi)部不同地域企業(yè)之間的高速數(shù)據(jù)路由轉發(fā)，以及維護全網(wǎng)路由的計

30、算。鑒于集團企業(yè)的用戶數(shù)量眾多，業(yè)務復雜，數(shù)據(jù)轉發(fā)時難免遇到擁塞、阻塞等情況，所以需要用到QOS技術。</p><p>　　在骨干核心層中，我們采用核心路由交換機組成一個環(huán)形多機熱備份的核心交換機系統(tǒng)解決方案。為提高核心網(wǎng)絡的健壯性，防止單臺設備失效造成的網(wǎng)絡中斷，實現(xiàn)鏈路的安全保障，本方案骨干核心層環(huán)網(wǎng)中可以采用HSRP（熱備份路由協(xié)議）技術。對于各個業(yè)務VLAN可以指向這個虛擬的IP地址作為網(wǎng)關，因此應用HS

31、RP技術為核心交換機提供了一個可靠的網(wǎng)關地址，以實現(xiàn)在核心層核心交換機之間進行設備的冗余，一主兩備，共用一個虛擬的IP地址和MAC地址，通過內(nèi)部的協(xié)議傳輸機制可以自動進行工作角色的切換。進而雙引擎、雙電源的設計為網(wǎng)絡高效處理集中數(shù)據(jù)提供了可靠的保障。另外，我們還采用CHANNEL（鏈路捆綁技術）技術，提高鏈路的高效利用,可以把兩條物理鏈路捆綁成一條虛擬的鏈路,可以避免環(huán)路。鏈路捆綁技術是把多條鏈路捆綁起來，為了提高帶寬，出入流量可以在多

32、個成員接口之間分擔，也可以加大鏈路的利用率。而且鏈路捆綁技術用來做冗余，將兩條物理鏈路捆綁成一條，可以使同時使用的帶寬變?yōu)閮杀?，?shù)據(jù)在兩條鏈路上同時發(fā)送數(shù)據(jù)。當某個成員接口出現(xiàn)故障時，流量會自動切換到其他可用的成員接口上，并且進行無縫切換，不會影響到數(shù)據(jù)的傳輸，從而提</p><p><b>　　核心層網(wǎng)絡設計</b></p><p>　　企業(yè)生產(chǎn)辦公網(wǎng)絡的核心層網(wǎng)絡

33、主要完成園區(qū)內(nèi)各個匯集層設備之間的數(shù)據(jù)交換和與骨干核心層網(wǎng)絡之間的路由轉發(fā)。本層采用CISCO WS-C3560G-24TS-S 核心路由交換機作為企業(yè)生產(chǎn)辦公網(wǎng)絡的園區(qū)核心路由交換設備，CISCO WS-C3560G-24TS-S 具有強大的業(yè)務和路由交換的處理能力，能提供 VPN 、Qos、策略路由、NAT、PPPOE/WEB/802.1X/L2TP 認證等豐富業(yè)務能力，并可通過內(nèi)置防火墻模塊實現(xiàn)各種強大的網(wǎng)絡安全策略，可以充分滿足

34、企業(yè)不同園區(qū)網(wǎng)絡的高速數(shù)據(jù)交換和支持多業(yè)務功能的要求，并能夠提供完善的安全防御策略，保障企業(yè)園區(qū)網(wǎng)絡的穩(wěn)定運行。 </p><p><b>　　匯聚層網(wǎng)絡設計</b></p><p>　　匯聚層網(wǎng)絡主要完成企業(yè)各園區(qū)內(nèi)辦公樓和相關單位的內(nèi)接入交換機的匯聚及數(shù)據(jù)交換和VLAN終結，在本方案中采用WS-C2960-24TT-L 交換機多層交換機作為匯聚層的交換機。WS

35、-C2960-24TT-L 交換機在提供高密度千兆端口接入的同時還能夠滿足匯聚層智能高速處理的需要，并能夠靈活的部署在網(wǎng)絡邊緣的各個位置。能夠同時提供多個高速專用堆疊端口和百兆光口/電口。這些交換機都具備較強的多業(yè)務提供的能力。為用戶提供豐富、高性能價比的組網(wǎng)選擇。</p><p><b>　　接入層網(wǎng)絡設計</b></p><p>　　以往傳統(tǒng)企業(yè)網(wǎng)絡接入層的建設

36、中并不關注于安全控制和QOS提供的能力，而將網(wǎng)絡的安全防御措施和QOS保障依賴于網(wǎng)絡的匯聚層或骨干層設備，這給匯聚層和骨干層設備帶來了巨大的壓力，往往內(nèi)網(wǎng)病毒泛濫成災后導致骨干層設備癱瘓，使網(wǎng)絡沒有QOS服務質(zhì)量的保障。</p><p>　　Cisco WS-C2918-48TC-C(思科二層交換機)是滿足高安全、多業(yè)務承載、高性能網(wǎng)絡環(huán)境的換機，具備傳統(tǒng)二層交換機大容量、高性能等優(yōu)點，同時還具有領先的安全特性，

37、進一步加強了企業(yè)網(wǎng)絡對邊緣接入層的安全控制能力。用戶可以根據(jù)需要來訂制自身的安全策略并部署在此交換機上。該產(chǎn)品具備的端口帶寬限制、端口鏡像、QOS、端口安全、廣播風暴抵制等功能可以很好的協(xié)助用戶實現(xiàn)網(wǎng)絡的管理和維護。除此之外，此交換機還具備多個專用堆疊接口，可以滿足樓層，樓宇內(nèi)多個交換機高性能匯聚的需要。</p><p><b>　　冗余/負載均衡設計</b></p><

38、p>　　冗余和負載均衡的設計是網(wǎng)絡設計的重要部分，是保證網(wǎng)絡整體可靠性能的重要手段。但是投資也將增加。部分企業(yè)網(wǎng)在早期的建設中由于成本的原因并未在設計中考慮到冗余的問題，而在優(yōu)化工作中則需從網(wǎng)絡鏈路和網(wǎng)絡設備兩方面著手。冗余和負載均衡設計可以貫穿整個層次化結構。我們采用了PVST（每vlan生成樹協(xié)議）技術，它為每個在網(wǎng)絡中配置的VLAN維護一個生成樹實例，減少了生成樹拓撲的總范圍，增強了可擴張性并減少了收斂時間，提供快速回復和更

39、好的可靠性。并且防止了環(huán)路，實現(xiàn)了負載均衡，數(shù)據(jù)的備份和冗余。萬一網(wǎng)絡中某條路徑失效時，冗余鏈路可以提供另一條路徑，使網(wǎng)絡能夠及時的正常運行，高效合理的利用好網(wǎng)絡當中的每條可用鏈路。</p><p><b>　　服務器冗余設計</b></p><p>　　企業(yè)網(wǎng)中服務器、大型機，如網(wǎng)絡存儲服務器，SQL Server服務器，其存儲的數(shù)據(jù)對于企業(yè)來說至關重要，一些核心數(shù)

40、據(jù)被視為企業(yè)的生命。一方面它對企業(yè)的重要性毋庸置疑，另一方面，由于這些數(shù)據(jù)的性質(zhì)決定了其較大的被訪問量，這個對服務器提出了穩(wěn)定和快速的要求。為此，我們采用的是輪詢的方法，輪詢是基站為終端分配帶寬的一種處理流程，這種分配可以是針對單個終端或是一組終端的。輪詢是基于終端的，帶寬的請求總是基于CID，而分配則是基于終端。為一組終端和連接分配帶寬實際上是定義帶寬請求競爭機制，這種分配不是使用一個單獨的消息，而是上行鏈路映射消息中包含的一系列分配

41、機制，這樣使得每個服務器都能夠更好、更快的工作，提高了工作效率，更充分的利用了每個服務器。</p><p>　　本網(wǎng)絡中應具備有多臺服務器設備，包括DB SERVER 數(shù)據(jù)庫服務器，WEB 等應用服務器，NEWS，MALL等通訊服務器以及多媒體服務器等。</p><p><b>　　網(wǎng)絡設計原則</b></p><p>　　為構建高質(zhì)量的網(wǎng)絡，

42、再網(wǎng)絡建設中要堅持以下原則：</p><p>　　高可靠性：網(wǎng)絡的穩(wěn)定可靠是應用系統(tǒng)正常運行的關鍵，保證在網(wǎng)絡設計中選用高可靠性的網(wǎng)絡產(chǎn)品設備，充分考慮冗余、容錯和備份能力，同時合理設計網(wǎng)絡構架，制定可靠的網(wǎng)絡備份策略，保證網(wǎng)絡具有故障自愈的能力，最大限度地支持系統(tǒng)的可靠運行。</p><p>　　技術先進性：在保證滿足基本業(yè)務應用的同時，又要體現(xiàn)出網(wǎng)絡的先進性。再網(wǎng)絡設計中要把先進的技術

43、與現(xiàn)有的成熟技術和標準結合起來，充分考慮到網(wǎng)絡應用的現(xiàn)狀和未來發(fā)展趨勢。</p><p>　　高性能：骨干網(wǎng)絡的性能是整個網(wǎng)絡良好運行的基礎，在設計中必須保障網(wǎng)絡及設備的高吞吐能力，保證各種信息（數(shù)據(jù)、語音、圖像）的高質(zhì)量傳輸，才能使網(wǎng)絡不成為業(yè)務的擴展。</p><p>　　標準開放性：支持國際上通用標準的網(wǎng)絡協(xié)議、國際標準的大型的動態(tài)路由協(xié)議等開放協(xié)議，有利于以保證與其他網(wǎng)絡之間的平滑

44、連接互通，以及將來網(wǎng)絡的擴展。</p><p>　　可管理性：選用先進的網(wǎng)絡管理平臺，具有對設備、端口等的管理及流量統(tǒng)計分析，并可提供保障自動報警。</p><p>　　可擴展性：根據(jù)未來業(yè)務的增長和變化，網(wǎng)絡可以平滑地擴充和升級，最大程度的減少對網(wǎng)絡構架和現(xiàn)有設備的調(diào)整。</p><p>　　安全性：制定統(tǒng)一的網(wǎng)絡安全策略，整體考慮網(wǎng)絡平臺的安全性，做到業(yè)務數(shù)據(jù)的

45、安全傳遞和網(wǎng)絡設備不受黑客攻擊。</p><p>　　經(jīng)濟性：在充分利用現(xiàn)有資源的情況下，最大限度地降低網(wǎng)絡系統(tǒng)的總體投資，有計劃、有步驟地實施，在保證網(wǎng)絡整體性能的前提下，充分利用現(xiàn)有的網(wǎng)絡設備或做必要的升級。</p><p>　　第三章 網(wǎng)絡總體設計</p><p>　　3.1 網(wǎng)絡總體拓撲圖</p><p>　　考慮到總公司的實際需求，

46、建議采用兩臺Cisco Catalyst3560 做雙機熱備，用Cisco 專有熱備份路由協(xié)議技術（HSRP），根據(jù)需求配置成多組HSRP；同時雙機還可以做負載均衡。</p><p>　　這樣設計不但保證網(wǎng)絡的高可用性和穩(wěn)定性，還能夠充分利用現(xiàn)有設</p><p>　　備的資源，以避免單臺核心設備的負載太重而導致的網(wǎng)絡性能問題。</p><p>　　如上圖所示，整體

47、網(wǎng)絡可以根據(jù)功能劃分為總部核心網(wǎng)絡、內(nèi)聯(lián)接入包括辦公網(wǎng)絡、數(shù)據(jù)中心、分公司接入等，各區(qū)域相對獨立，通過</p><p>　　核心網(wǎng)絡進行數(shù)據(jù)的交互。</p><p>　　各區(qū)域可以各自建立交換網(wǎng)絡、路由接入、網(wǎng)絡安全體系，可</p><p>　　以有獨立的安全策略、數(shù)據(jù)流量控制等個體的特性，而需要和其他區(qū)</p><p>　　域的設備進行通訊

48、的時候，則必須遵守核心網(wǎng)絡區(qū)的策略。</p><p>　　3.2 網(wǎng)絡層次化設計</p><p>　　隨著網(wǎng)絡技術的迅速發(fā)展和網(wǎng)上應用量的增長，分布式的網(wǎng)絡服</p><p>　　務和交換已經(jīng)移至用戶級，由此形成了一個新的、更適應現(xiàn)代的高速</p><p>　　大型網(wǎng)絡的分層設計模型。這種分級方法被稱為“多層設計”。多層</p>

49、<p>　　設計有以下一些好處：</p><p>　　多層設計是模塊化的，網(wǎng)絡容量可隨著日后網(wǎng)絡節(jié)點的增加而不</p><p><b>　　斷增大。</b></p><p>　　多層網(wǎng)絡有很大的確定性，因此在運行和擴展過程中進行故障查</p><p><b>　　找和排除非常簡單。</b>

50、;</p><p>　　多層網(wǎng)絡系統(tǒng)設計最有效地利用多種第3 層業(yè)務，包括分段﹑負</p><p>　　載分擔和故障恢復等。</p><p>　　在分層網(wǎng)絡中運用智能第3 層業(yè)務可以大大減少因配置不當或</p><p>　　故障設備引起的一般問題。</p><p>　　多層模式使網(wǎng)絡的移植更為簡單易行，因為它保留了基于

51、路由器</p><p>　　和交換機的網(wǎng)絡原有的尋址方案，對以往的網(wǎng)絡有很好的兼容性。</p><p>　　另外分層結構也能夠對網(wǎng)絡的故障進行很好的隔離。</p><p>　　針對實際情況我們可以采用三層結構模型。 三層結構模型劃分</p><p>　　為三個層次，即核心層、分布層、接入層。每個層次完成不同的功能。</p>&l

52、t;p><b>　　核心層</b></p><p>　　核心層作為整個網(wǎng)絡系統(tǒng)的核心，其主要功能是高速、可靠的進</p><p><b>　　行數(shù)據(jù)交換。</b></p><p><b>　　分布層</b></p><p>　　分布層主要進行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)

53、流量進行訪問</p><p>　　控制。包括訪問控制列表、VLAN 路由等等。</p><p><b>　　接入層</b></p><p>　　接入層主要提供最終用戶接入網(wǎng)絡的途徑。主要是進行VLAN</p><p>　　的劃分、與分布層的連接等等。</p><p><b>　　核心層設

54、計</b></p><p>　　核心交換區(qū)的作用是盡快地提供所有的區(qū)域間的數(shù)據(jù)交換。我們</p><p>　　推薦使用兩臺Cisco Catalyst 3560交換機完成此項功能。兩臺3560</p><p>　　交換機高性能、可靠性、可用性是我們主要考慮的因素。本區(qū)的安全</p><p>　　性可以由邊界防火墻提供，如有需要在3

55、560 上面可以部署安全策略，使得核心交換區(qū)的安全性進一步地增強。</p><p>　　Cisco Catalyst 3560 系列憑借眾多智能服務將控制擴展到網(wǎng)絡</p><p>　　邊緣，其中包括先進的服務質(zhì)量 (QOS)、可預測性能、高級安全性和全面的管理。它提供帶集成永續(xù)性的出色控制，將永續(xù)性集成到硬件和軟件中，縮短了網(wǎng)絡停運時間。Cisco Catalyst 3560 系列的模塊

56、化架構、介質(zhì)靈活性和可擴展性減少了重復運營開支，提高了投資回報（ROI），從而在延長部署壽命的同時降低了擁有成本。</p><p><b>　　接入層設計</b></p><p>　　接入層交換機采用思科的WS-C2960 以千兆以太鏈路和匯聚交換機相連接，并為用戶終端提供10/100M 自適應的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結構。辦公系統(tǒng)所需的各種

57、服務器如辦公自動化服務器、郵件服務器、DHCP 服務器等組成服務器群，數(shù)據(jù)中心的多種金融系統(tǒng)應用服務器, 連接到匯聚交換機的千兆模塊上面,因此，內(nèi)部的局域網(wǎng)是采用三層結構組建。</p><p><b>　　內(nèi)聯(lián)接入</b></p><p>　　內(nèi)聯(lián)接入的作用是用于連接上海期貨機房和北京辦公網(wǎng)絡。我們推薦使用兩臺Cisco 2800系列路由器通過SDH/DDN線路完成此

58、項功能。</p><p>　　由于總部網(wǎng)絡和分部機房屬于公司的內(nèi)部網(wǎng)絡的一部分，因此可信度很高；接入時主要作用是生產(chǎn)運營系統(tǒng)的數(shù)據(jù)交換，查詢等等和管理以及監(jiān)控?？偨Y以上的原因，內(nèi)聯(lián)路由器與核心交換網(wǎng)絡間不需要配置額外的防火墻。</p><p><b>　　第四章 路由設計</b></p><p>　　4.1 路由協(xié)議選擇</p>

59、<p>　　開放式最短路徑優(yōu)先（Open Shortest Path First，OSPF）協(xié)議是一種為IP網(wǎng)絡開發(fā)的內(nèi)部網(wǎng)關路由選擇協(xié)議，由IETF開 發(fā)并推薦使用。</p><p>　　OSPF定義了5種分組：Hello分組用于建立和維護連接；數(shù)據(jù)庫描述分組初始化路由器的網(wǎng)絡拓撲數(shù)據(jù)庫；當發(fā)現(xiàn)數(shù)據(jù)庫中的某部分信息已經(jīng)過時后，路由器發(fā)送鏈路狀態(tài)請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組

60、來主動擴散自己的鏈路狀態(tài)數(shù)據(jù)庫或對鏈路狀態(tài)請求分組進行響應；由于OSPF直接運行在IP層，協(xié)議本身要提供確認機制，鏈路狀態(tài)應答分組是對鏈路狀態(tài)更新分組進行確認。</p><p>　　OSPF協(xié)議由三個子協(xié)議組成：Hello協(xié)議、交換協(xié)議和擴散協(xié)議。其中Hello協(xié)議負責檢查鏈路是否可用，并完成指定路由器及備份指定路由器；交換協(xié)議完成“主”、“從”路由器的指定并交換各自的路由數(shù)據(jù)庫信息；擴散協(xié)議完成各路由器中路由數(shù)

61、據(jù)庫的同步維護。</p><p>　　OSPF協(xié)議主要優(yōu)點：</p><p>　　為了克服距離矢量路由選擇協(xié)議的缺點，開發(fā)了鏈路狀態(tài)選擇協(xié)議。</p><p>　　鏈路狀態(tài)路由選擇協(xié)議僅在網(wǎng)絡拓撲發(fā)生變化時才生成路由選擇更新。</p><p>　　鏈路狀態(tài)路由選擇協(xié)議具體如下特征：</p><p>　　快速響應網(wǎng)絡變化

62、 .</p><p>　　在網(wǎng)絡變化時發(fā)送觸發(fā)更新 .</p><p>　　以較低的頻率發(fā)送定期更新，被稱為鏈路狀態(tài)刷新（LSU）.</p><p><b>　　SPF算法</b></p><p>　　最短路徑優(yōu)先（SPF）路由算法，又稱Dijkstra算法，所有的OSPF路由器并執(zhí)行SPF算法，根據(jù)路由器的拓撲數(shù)據(jù)庫構

63、造出來以他自己為根結點的最短路徑樹。這個最短路徑樹就生成了路由表。</p><p>　　OSPF規(guī)定有層次的網(wǎng)路結構，OSPF將網(wǎng)絡分為若干區(qū)域：</p><p>　　傳輸區(qū)域（骨干區(qū)域）：主要的功能為快速高效的傳輸IP分組的OSPF區(qū)域，中轉區(qū)域將其他類型的OSPF區(qū)域連接起來。</p><p>　　常規(guī)區(qū)域（非骨干區(qū)域）：主要功能是為了連接用戶和資源的OSPF區(qū)

64、域</p><p>　　骨干區(qū)域的區(qū)域號必須為0。所以的常規(guī)區(qū)域必須與骨干區(qū)域相連。</p><p>　　層次化區(qū)域的優(yōu)點：便于管理。</p><p><b>　　最小化路由表</b></p><p>　　將拓撲變更影響限制在區(qū)域內(nèi)</p><p>　　將LSA變更泛洪限制在范圍內(nèi) </p&

65、gt;<p>　　OSPF路由器在完全鄰接之前,所經(jīng)過的幾個狀態(tài):</p><p>　　Down:此狀態(tài)還沒有與其他路由器交換信息。首先從其ospf接口向外發(fā)送hello分組，還并不知道DR(若為廣播網(wǎng)絡)和任何其他路由器。發(fā)送hello分組使用組播地址224.0.0.5。</p><p>　　Attempt: 只適于NBMA網(wǎng)絡,在NBMA網(wǎng)絡中鄰居是手動指定的,在該狀態(tài)下

66、,路由器將使用HelloInterval取代PollInterval來發(fā)送Hello包。</p><p>　　Init: 表明在DeadInterval里收到了Hello包,但是2-Way通信仍然沒有建立起來。</p><p>　　two-way: 雙向會話建立,而RID彼此出現(xiàn)在對方的鄰居列表中。(若為廣播網(wǎng)絡：例如：以太網(wǎng)。在這個時候應該選舉DR,BDR)。</p>&l

67、t;p>　　ExStart: 信息交換初始狀態(tài)，在這個狀態(tài)下,本地路由器和鄰居將建立Master/Slave關系,并確定DD Sequence Number,路由器ID大的的成為Master.</p><p>　　Exchange: 信息交換狀態(tài)，本地路由器和鄰居交換一個或多個DBD分組（也叫DDP) 。DBD包含有關LSDB中LSA條目的摘要信息)。</p><p>　　Loadi

68、ng: 信息加載狀態(tài)：收到DBD后,將收到的信息同LSDB中的信息進行比較。如果DBD中有更新的鏈路狀態(tài)條目，則向對方發(fā)送一個LSR，用于請求新的LSA 。</p><p>　　Full: 完全鄰接狀態(tài),鄰接間的鏈路狀態(tài)數(shù)據(jù)庫同步完成，通過鄰居鏈路狀態(tài)請求列表為空且鄰居狀態(tài)為Loading判斷。</p><p>　　另外OSPF還有自己的自制系統(tǒng)即AS 自治系統(tǒng)（autonomous sy

69、stem）：一組相互管理下的網(wǎng)絡，它們共享同一個路由選擇方法，自治系統(tǒng)由地區(qū)再劃分并必須由IANA分配一個單獨的16位數(shù)字。地區(qū)通常連接到其他地區(qū)，使用路由器創(chuàng)建一個自治系統(tǒng)。</p><p>　　為了保持骨干區(qū)域與普通區(qū)域的連通性，需要虛鏈路。</p><p>　　虛鏈路(Virtual Link)</p><p>　　以下兩種情況需要使用到虛鏈路:</p&

70、gt;<p>　　1. 通過一個非骨干區(qū)域連接到一個骨干區(qū)域。</p><p>　　2. 通過一個非骨干區(qū)域連接一個分段的骨干區(qū)域兩邊的部分區(qū)域。</p><p>　　虛鏈接是一個邏輯的隧道（Tunnel）,配置虛鏈接的一些規(guī)則:</p><p>　　1. 虛鏈接必須配置在2個ABR之間。</p><p>　　2. 虛鏈接所經(jīng)過

71、的區(qū)域叫Transit Area,它必須擁有完整的路由信息。</p><p>　　3. Transit Area不能是Stub Area。</p><p>　　4. 盡可能的避免使用虛鏈接,它增加了網(wǎng)絡的復雜程度和加大了排錯的難度。</p><p>　　4.2 路由規(guī)劃拓撲圖</p><p>　　4.3 IP地址規(guī)劃</p>&

72、lt;p>　　標識網(wǎng)絡中的一個節(jié)點。IP 地址空間的分配，要與網(wǎng)絡層次結構相</p><p>　　適應，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡的可擴展性和靈活</p><p>　　性，同時能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變</p><p><b>　　化的收斂速度。</b></p><p>　　我

73、們根據(jù)以下幾個原則來分配IP 地址：</p><p>　　唯一性：一個IP 網(wǎng)絡中不能有兩個主機采用相同的IP 地址</p><p>　　簡單性：地址分配應簡單易于管理，降低網(wǎng)絡擴展的復雜性，簡化路</p><p><b>　　由表的款項</b></p><p>　　連續(xù)性：連續(xù)地址在層次結構網(wǎng)絡中易于進行路由總結(Ro

74、ute</p><p>　　Summarization)，大大縮減路由表，提高路由算法的效率</p><p>　　可擴展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡規(guī)模擴展時</p><p>　　能保證地址總結所需的連續(xù)性</p><p>　　靈活性：地址分配應具有靈活性，可借助可變長子網(wǎng)掩碼技術</p><p>　　

75、(VLSM Variable-Length Subnet Mask)，以滿足多種路由策略的優(yōu)</p><p>　　化，充分利用地址空間。</p><p>　　第五章 網(wǎng)絡安全解決方案</p><p>　　5.1 網(wǎng)絡邊界安全威脅分析</p><p>　　與非安全網(wǎng)絡的互聯(lián)面臨的安全問題與網(wǎng)絡內(nèi)部的安全是不同的，主要的原因是攻擊人是不可控的，攻

76、擊是不可溯源的，也沒有辦法去“封殺”，一般來說網(wǎng)絡邊界上的安全問題主要有下面幾個方面：</p><p>　　1、 信息泄密：網(wǎng)絡上的資源是可以共享的，但沒有授權的人得到了他不該得到的資源，信息就泄露了。一般信息泄密有兩種方式：</p><p>　　攻擊者(非授權人員)進入了網(wǎng)絡，獲取了信息，這是從網(wǎng)絡內(nèi)部的泄密 </p><p>　　合法使用者在進行正常業(yè)務往來時，

77、信息被外人獲得，這是從網(wǎng)絡外部的泄密</p><p>　　2、 入侵者的攻擊：互聯(lián)網(wǎng)是世界級的大眾網(wǎng)絡，網(wǎng)絡上有各種勢力與團體。入侵就是有人通過互聯(lián)網(wǎng)進入你的網(wǎng)絡(或其他渠道)，篡改數(shù)據(jù)，或實施破壞行為，造成你網(wǎng)絡業(yè)務的癱瘓，這種攻擊是主動的、有目的、甚至是有組織的行為。</p><p>　　3、 網(wǎng)絡病毒：與非安全網(wǎng)絡的業(yè)務互聯(lián)，難免在通訊中帶來病毒，一旦在你的網(wǎng)絡中發(fā)作，業(yè)務將受到巨大

78、沖擊，病毒的傳播與發(fā)作一般有不確定的隨機特性。這是“無對手”、“無意識”的攻擊行為。</p><p>　　4、 木馬入侵：木馬的發(fā)展是一種新型的攻擊行為，他在傳播時象病毒一樣自由擴散，沒有主動的跡象，但進入你的網(wǎng)絡后，便主動與他的“主子”聯(lián)絡，從而讓主子來控制你的機器，既可以盜用你的網(wǎng)絡信息，也可以利用你的系統(tǒng)資源為他工作，比較典型的就是“僵尸網(wǎng)絡”。</p><p>　　來自網(wǎng)絡外部的安

79、全問題，重點是防護與監(jiān)控。來自網(wǎng)絡內(nèi)部的安全，人員是可控的，可以通過認證、授權、審計的方式追蹤用戶的行為軌跡，也就是我們說的行為審計與合軌性審計。</p><p>　　由于有這些安全隱患的存在，在網(wǎng)絡邊界上，最容易受到的攻擊方式有下面幾種：</p><p>　　1、 黑客入侵：入侵的過程是隱秘的，造成的后果是竊取數(shù)據(jù)與系統(tǒng)破壞。木馬的入侵也屬于黑客的一種，只是入侵的方式采用的病毒傳播，達到

80、的效果與黑客一樣。</p><p>　　2、 病毒入侵：病毒就是網(wǎng)絡的蛀蟲與垃圾，大量的自我繁殖，侵占系統(tǒng)與網(wǎng)絡資源，導致系統(tǒng)性能下降。病毒對網(wǎng)關沒有影響，就象“走私”團伙，一旦進入網(wǎng)絡內(nèi)部，便成為可怕的“瘟疫”，病毒的入侵方式就象“水”的滲透一樣，看似漫無目的，實則無孔不入。</p><p>　　3、 網(wǎng)絡攻擊：網(wǎng)絡攻擊是針對網(wǎng)絡邊界設備或系統(tǒng)服務器的，主要的目的是中斷網(wǎng)絡與外界的連接，

81、比如DOS攻擊，雖然不破壞網(wǎng)絡內(nèi)部的數(shù)據(jù)，但阻塞了應用的帶寬，可以說是一種公開的攻擊，攻擊的目的一般是造成你服務的中斷。</p><p>　　5.2 網(wǎng)絡內(nèi)部安全威脅分析</p><p>　　公司內(nèi)部網(wǎng)絡的風險分析主要針對整個內(nèi)網(wǎng)的安全風險，主要表現(xiàn)為以下幾個方面：</p><p>　　1..內(nèi)部用戶的非授權訪問；內(nèi)部的資源也不是對任何的員工都開放的，也需要有相應的

82、訪問權限。內(nèi)部用戶的非授權的訪問，更容易造成資源和重要信息的泄漏。</p><p>　　2.內(nèi)部用戶的誤操作；由于內(nèi)部用戶的計算機造作的水平參差不</p><p>　　齊，對于應用軟件的理解也各不相同，如果一部分軟件沒有相應的對</p><p>　　誤操作的防范措施，極容易給服務系統(tǒng)和其他主機造成危害。</p><p>　　內(nèi)部用戶的惡意攻擊

83、；就網(wǎng)絡安全來說，據(jù)統(tǒng)計約有70％左右</p><p>　　的攻擊來自內(nèi)部用戶，相比外部攻擊來說，內(nèi)部用戶具有更得天獨厚</p><p>　　的優(yōu)勢，因此，對內(nèi)部用戶攻擊的防范也很重要。</p><p>　　設備的自身安全性也會直接關系到各種系統(tǒng)和各種網(wǎng)絡應用的正常運轉。例如，路由設備存在路由信息泄漏、交換機和路由器設備配置風險等。</p><p

84、>　　3.重要服務器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒有及</p><p>　　時的發(fā)現(xiàn)并且進行修復，將會為網(wǎng)絡的安全帶來很多不安定的因素。</p><p>　　重要服務器的當機或者重要數(shù)據(jù)的意外丟失，都將會造成內(nèi)部的業(yè)務無法正常運行。</p><p>　　4.安全管理的困難，對于眾多的網(wǎng)絡設備和網(wǎng)絡安全設備，安全策</p><p&

85、gt;　　略的配置和安全事件管理的難度很大。</p><p>　　5.3 安全產(chǎn)品選型原則</p><p>　　公司網(wǎng)絡屬于一個行業(yè)的專用網(wǎng)絡，因此在安全產(chǎn)品的選型</p><p>　　上，必須慎重，選型的原則包括：</p><p>　　1.安全保密產(chǎn)品的接入應不明顯影響網(wǎng)絡系統(tǒng)運行效率，并且滿足</p><p>　　

86、工作的要求，不影響正常的業(yè)務；</p><p>　　2.安全保密產(chǎn)品必須滿足上面提出的安全需求，保證整個公司企業(yè)網(wǎng)絡的安全性。</p><p>　　3.安全保密產(chǎn)品必須通過國家主管部門指定的測評機構的檢測；</p><p>　　4.安全保密產(chǎn)品必須具備自我保護能力；</p><p>　　5.安全保密產(chǎn)品必須符合國家和國際上的相關標準；<

87、/p><p>　　6.安全產(chǎn)品必須操作簡單易用，便于簡單部署和集中管理</p><p>　　5.4 網(wǎng)絡常用技術介紹</p><p><b>　　HSRP 協(xié)議</b></p><p>　　我們使用HSRP來實現(xiàn)對故障路由器的接管,HSRP中文解釋是熱備份路由協(xié)議，其含義是系統(tǒng)中有多臺路由器，它們組成一個“熱備份組”，這個組

88、形成一個虛擬路由器。在任一時刻，一個組內(nèi)只有一個路由器是活動的，并由它來轉發(fā)數(shù)據(jù)包，如果活動路由器發(fā)生了故障，將選擇一個備份路由器來替代活動路由器，但是在本網(wǎng)絡內(nèi)的主機看來，虛擬路由器沒有改變。所以主機仍然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器切換的問題。</p><p><b>　　VLAN 技術</b></p><p>　?。╒irtual Loc

89、al Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術。IEEE 于1999 年頒布了用以標準化VLAN 實現(xiàn)方案的802.1Q 協(xié)議標準草案。</p><p>　　VLAN 技術允許網(wǎng)絡管理者將一個物理的LAN 邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN 都包含一組有著相同需求的計算機工作站，與物理上形成

90、的LAN 有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN 內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉發(fā)到其他VLAN中，從而有助于控制流量、減少設備投資、簡化網(wǎng)絡管理、提高網(wǎng)絡的安全性。</p><p><b>　　Trunk 技術</b></p><p>　　

91、一般的交換機端口只能屬于一個VLAN，對于多個VLAN 需要跨過</p><p>　　多臺交換機，就需要用到Trunk 技術。Trunk 是指交換機之間或交換</p><p>　　機與路由器之間VLAN 之間的連接，VLAN 信息通過Trunk 在交換機之間或路由器之間傳遞，從而可以將VLAN 跨越整個網(wǎng)絡，而不僅僅是局限在一臺交換機上。Cisco 支持802.1Q、ISL 的技術。其中I

92、EEE 802.1q 是業(yè)界的標準協(xié)議，而ISL 是CISCO 專有的協(xié)議，用于在一條鏈路上封裝多個VLAN 的信息。ISL 技術得到了Intel 等廠商的大力支持，TagSwitching 被3Com 及Lucent Cajun 支持。</p><p>　　對于CISCO 交換機的Trunk 端口，既可以指定它的封裝協(xié)議為802.1q 或ISL，也可以通過DTP 協(xié)議（Dynamic Trunking Prot

93、ocol）</p><p>　　自動協(xié)商。DTP 協(xié)議主要用于處理Trunk 端口的802.1q 和ISL 封裝</p><p>　　協(xié)議的自動協(xié)商，對于不同廠家的交換機互連時很有幫助。</p><p>　　對Trunk 的定義只能在快速以太網(wǎng)端口和千兆以太網(wǎng)端口上進行，它既可以是單個的快速以太網(wǎng)端口或千兆以太網(wǎng)端口，也可以是快速以太網(wǎng)通道（FEC）或千兆以太網(wǎng)通道

94、（GEC）。雖然我們采用的是思科交換機，但是最為一個標準的、開放、先進的網(wǎng)絡系統(tǒng)，我們推薦是用IEEE802.1Q 標準協(xié)議。</p><p>　　Spanning-Tree協(xié)議</p><p>　　在局域網(wǎng)中是不允許出現(xiàn)環(huán)路的，而為了實現(xiàn)冗余和負載的均衡，通常會有多條鏈路的連接，這樣就會引入環(huán)路。為了解決這個矛盾，推出了STP 協(xié)議。STP 算法會將網(wǎng)絡中的連接生成一個樹，通過特定的算法

95、自動將優(yōu)先權高的鏈路激活，將優(yōu)先權低的鏈路阻塞，保證在網(wǎng)絡中任何時候都不會出現(xiàn)環(huán)路。如果網(wǎng)絡的連接狀況發(fā)生了變化，STP 算法會自動地重新計算新的連接關系，重新選出新的活動的連接。STP 算法會造成網(wǎng)絡的暫時的不穩(wěn)定狀態(tài)，該轉換時間在30秒之內(nèi)，亦即在30 秒之內(nèi)網(wǎng)絡會重新恢復到穩(wěn)定狀態(tài)。STP 對于終端是透明的，終端感覺不到STP 的操作過程。在交換機上可以通過修改端口的優(yōu)先級來改變連接的優(yōu)先權，使得STP 算法將高優(yōu)先權的連接作為活

96、動連接，例如：兩個交換機之間有兩條鏈路連接，一條是光纖連接，另一條是雙絞線連接，由于光纖連接明顯要比雙絞線連接更穩(wěn)定、更可靠，我們可以將交換機上的光纖端口的優(yōu)先權設定成比雙絞線端口更高的優(yōu)先權，這樣STP 算法就會將光纖連接作為活動連接，而將雙絞線連接阻塞。Cisco 交換機的一個非常有用的特性就是可以對每個VLAN 設置Spanning -Tree ,而不是對整個</p><p>　　CISCO 交換機端口支持

97、每VLAN 的生成樹協(xié)議，每個端口都可設置基于VLAN 的Cost 或Priority 參數(shù)，從而實現(xiàn)在多條路徑上的負載均衡能力。目前多數(shù)廠商都支持STP 協(xié)議，但是不允許多個STP 域。采用多個STP 域顯然可以獲得比單個域高的網(wǎng)絡可靠性。</p><p><b>　　QOS</b></p><p>　　為了防止數(shù)據(jù)包的傳輸質(zhì)量，為了解決這個問題，就用到了QOS技術

98、。</p><p>　　服務質(zhì)量（Quality of Service，QOS）是網(wǎng)絡（互聯(lián)網(wǎng)）傳輸質(zhì)量和服務可用性的度量。服務可用性是QOS的重要基礎要素。成功實現(xiàn)QOS的前提是網(wǎng)絡基礎構造必須高度可靠。它是指網(wǎng)絡為某特定數(shù)據(jù)流提供優(yōu)良服務（滿足或超過業(yè)務要求的服務質(zhì)量）的能力。承載數(shù)據(jù)流的底層網(wǎng)絡技術包括幀中繼、ATM、以太、SONET/SDH和PTN網(wǎng)絡等。QOS利用以下特性提供優(yōu)良的、更可預知的網(wǎng)絡服務：

99、</p><p><b>　　提供專用帶寬；</b></p><p><b>　　降低丟包率；</b></p><p>　　管理和避免網(wǎng)絡擁塞；</p><p>　　對網(wǎng)絡流量整形（shaping）；</p><p><b>　　設置數(shù)據(jù)優(yōu)先級。</b>

100、</p><p><b>　　決定QOS的因素</b></p><p>　　端到端（end-to-end）QOS是指從網(wǎng)絡一端到另一端的QOS，這種QOS是全路程的QOS，不是點到點的。端到端（end-to-end）QOS也是指網(wǎng)絡能夠為特定數(shù)據(jù)提供所要求服務質(zhì)量的能力。決定這種能力的因素有以下幾種。</p><p>　?。?）帶寬（Bandw

101、idth）--帶寬描述了網(wǎng)絡設備的接口或網(wǎng)絡鏈路在單位時間（秒）內(nèi)發(fā)送或傳送的比特量。帶寬越大表示單位時間內(nèi)傳送的數(shù)據(jù)量越大，越能夠保證服務質(zhì)量。</p><p>　?。?）丟包率（Loss）--指未被接收到的數(shù)據(jù)包占總發(fā)送數(shù)據(jù)包的比率。丟包率是網(wǎng)絡可靠性的一個參數(shù)。如果網(wǎng)絡高度可靠，則在非擁塞情況下丟包率應該是0。在擁塞情況下，如果使用了QOS，則QOS將決定選擇丟棄哪些數(shù)據(jù)包來緩解擁塞。</p>

102、<p>　?。?）延遲（Delay）--一個數(shù)據(jù)包從發(fā)送端被發(fā)送出去到達接收端所經(jīng)歷的有限時間。如語音，它的延遲就是指從講話者說出口，到接聽者聽到聲音這段時間。如果延遲過大，超過了規(guī)定值，就表明網(wǎng)絡所提供的服務質(zhì)量低，不能滿足業(yè)務要求。</p><p>　?。?）抖動（Jitter）--也稱延遲變量（delay variation），用來描述不同數(shù)據(jù)包在端到端傳輸中的不同延遲。如一個數(shù)據(jù)包從源端到目的

103、端用時100ms，而其后的數(shù)據(jù)包經(jīng)由同一條路徑時卻花費125ms，那么抖動就是25ms。終端設備上的應用軟件，如Media Player，可以使用緩沖區(qū)來彌補由抖動造成的質(zhì)量下降，但它不能補償數(shù)據(jù)包到達時間的瞬時變化，這也會造成緩沖區(qū)的過載或欠載運行，導致業(yè)務質(zhì)量降級。如在網(wǎng)上看電影時，視頻播放仍然不夠流暢。</p><p>　　網(wǎng)絡對任何組織都是非常重要的。它承載著大量的應用，包括實時語音、高質(zhì)量視頻和對延遲敏

104、感的數(shù)據(jù)等，這就要求網(wǎng)絡必須能夠通過管理帶寬、延遲、抖動和丟包率等參數(shù)提供可預測、可管理，甚至有時是可保證的服務。</p><p>　　QOS就是用于達到這一目標的技術和工具。QOS的目標是形成一個聚合的、對于用戶來說透明的網(wǎng)絡，在這個聚合的網(wǎng)絡平臺上，各種數(shù)據(jù)共存且并不公平地競爭網(wǎng)絡資源，加上重要應用的數(shù)據(jù)被網(wǎng)絡設備賦予較高的優(yōu)先級或得到優(yōu)先服務，這樣這些應用的服務質(zhì)量就不會降低至不可用的地步了。</p&

105、gt;<p><b>　　第六章 產(chǎn)品簡介</b></p><p>　　Cisco 2800 系列集成多業(yè)務路由器</p><p>　　思科系統(tǒng)公司推出了一個全新的集成多業(yè)務路由器系列，它進®行了專門的優(yōu)化，可安全、線速地同時提供數(shù)據(jù)、話音和視頻服務，重新定義了最佳大型企業(yè)和中小型企業(yè)路由。模塊化Cisco 2800 系列集成多業(yè)務路由器. 建

106、立在思科20 年的領先地位及創(chuàng)新技術的基礎之上，智能地將數(shù)據(jù)、安全性和話音服務內(nèi)嵌于單一永續(xù)系統(tǒng)，能快速、可擴展地提供關鍵任務業(yè)務應用。Cisco 2800 系列的獨特集成系統(tǒng)架構提供了最高業(yè)務靈活性和投資保護。</p><p>　　Cisco 2800 系列由四個新平臺組成：Cisco 2801、Cisco 2811、Cisco</p><p>　　2821 和Cisco 2851。與相

107、似價位的前幾代思科路由器相比，Cisco</p><p>　　2800 系列的性能提高了五倍、安全性和話音性能提高了十倍、具有</p><p>　　全新內(nèi)嵌服務選項，且大大提高了插槽性能和密度，同時保持了對目</p><p>　　前Cisco 1700 系列和Cisco 2600 系列中現(xiàn)有90 多種模塊中大多數(shù)</p><p>　　模塊的支

108、持，從而提供了極大的性能優(yōu)勢。</p><p>　　Cisco 2800 系列能以線速為多條T1/E1/xDSL 連接提供多種高質(zhì)量并發(fā)服務。這些路由器提供了內(nèi)嵌加密加速和主板話音數(shù)字信號處理器（DSP）插槽；入侵保護和防火墻功能；集成化呼叫處理和語音留言；用于多種連接需求的高密度接口；以及充足的性能和插槽密度，以用于未來網(wǎng)絡擴展和高級應用。</p><p>　　Cisco Catalys

109、t 3560 系列集成交換機</p><p>　　思科新推出的Cisco Catalyst 3560 系列交換機是一個創(chuàng)新的產(chǎn)品</p><p>　　系列，它結合業(yè)界領先的易用性和最高的冗余性，里程碑地提升了堆</p><p>　　疊式交換機在局域網(wǎng)中的工作效率。這個新的產(chǎn)品系列采用了最新的</p><p>　　思科StackWise 技術，

110、不但實現(xiàn)高達32Gbps 的堆疊互聯(lián)，還從物理</p><p>　　上到邏輯上使若干獨立交換機在堆疊時集成在一起，便于用戶建立一</p><p>　　個統(tǒng)一、高度靈活的交換系統(tǒng)--就好像是一整臺交換機一樣。這代表</p><p>　　了堆疊式交換機新的工業(yè)技術水平和標準。</p><p>　　對于中型組織和企業(yè)分支機構而言，Cisco Cat

111、alyst 3560 系列可以通過提供配置靈活性，支持融合網(wǎng)絡模式，已經(jīng)自動配置智能化網(wǎng)絡服務，降低融合應用的部署難度，適應不斷變化的業(yè)務需求。此外，Cisco Catalyst 3750 系列針對高密度千兆位以太網(wǎng)部署進行了專門的優(yōu)化，其中包含多種可以滿足接入、匯聚或者小型網(wǎng)絡骨干網(wǎng)連接需求的交換機。</p><p>　　Cisco Catalyst 3560 系列可以使用標準多層軟件鏡像（SMI）或者增強多層

112、軟件鏡像（EMI）。SMI 功能集包括先進的服務質(zhì)量（QOS）、速率限制、訪問控制列表（ACL）和基本的靜態(tài)和路由信息協(xié)議（RIP）路由功能。EMI可以提供一組更加豐富的企業(yè)級功能，包括先進的、基于硬件的IP 單播和組播路由。</p><p>　　思科StackWise 技術是一種針對千兆位以太網(wǎng)優(yōu)化的、先進的堆疊架構。該技術的設計目的是及時地對設備添加、移除和重新部署做出反應，同時保持穩(wěn)定的性能。利用特殊的堆疊

113、互聯(lián)電纜和堆疊軟件，思科StackWise 技術最多可以將9 臺單獨的Cisco Catalyst 3750 交換機連接到一個統(tǒng)一的邏輯單元中。堆疊相當于一個單一的交換單元，由一個從成員交換機中選出的主交換機管理。主交換機可以自動地創(chuàng)建和升級所有的交換信息和可選的路由表。一個工作中的堆疊可以在不中斷服務的情況下，添加新的成員或者移除舊的成員。</p><p>　　Cisco Catalyst 2960 系列集成交

114、換機</p><p>　　Cisco Catalyst 2960 系列智能以太網(wǎng)交換機是一個全新的、固定配置的獨立設備系列，提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，可為入門級企業(yè)、中型市場和分支機構網(wǎng)絡提供增強LAN 服務。Catalyst 2960 系列具有集成安全特性，包括網(wǎng)絡準入控制(NAC)、高級服務質(zhì)量(QOS)和永續(xù)性，可為網(wǎng)絡邊緣提供智能服務。憑借Cisco Catalyst 2960 系列提供的廣泛安