1、大型企業(yè)網(wǎng)間網(wǎng)設(shè)計與實現(xiàn) 引言：在網(wǎng)絡(luò)技術(shù)不斷斷發(fā)展的今天天，大型企業(yè)業(yè)網(wǎng)絡(luò)建設(shè)面面臨多種網(wǎng)絡(luò)絡(luò)技術(shù)的選擇。選選擇怎樣的網(wǎng)網(wǎng)絡(luò)技術(shù)來滿滿足企業(yè)未來來發(fā)展的需要要，是擺在各各大企業(yè)面前前的一個課題題。雖然網(wǎng)絡(luò)絡(luò)技術(shù)在飛速速發(fā)展，但企企業(yè)網(wǎng)絡(luò)建設(shè)設(shè)有其內(nèi)在規(guī)規(guī)律，把握這這些內(nèi)在的規(guī)規(guī)律，將有助助于指導(dǎo)大型型企業(yè)的網(wǎng)絡(luò)絡(luò)建設(shè)。 本文定定義的大型企企業(yè)網(wǎng)絡(luò)是跨跨地域和有層層次的網(wǎng)絡(luò)。企企業(yè)的網(wǎng)絡(luò)層層次和行政結(jié)結(jié)構(gòu)相對應(yīng)，網(wǎng)網(wǎng)絡(luò)層次在二二層或三層以以上，網(wǎng)絡(luò)連連接可能是跨跨地市、跨省的，也也可能是全國國范圍的。例例如，銀行、國稅系統(tǒng)，民民航、鐵路、政府辦公系系統(tǒng)等都是跨跨地域，多層層次系統(tǒng)，在在網(wǎng)絡(luò)建設(shè)

2、上上都有其共同同的特點。從從總體上說，企企業(yè)網(wǎng)絡(luò)涉及及到系統(tǒng)軟件件平臺、硬件平臺，布布線系統(tǒng)，局局域網(wǎng)建設(shè)，廣廣域網(wǎng)建設(shè)，應(yīng)應(yīng)用軟件（包包括業(yè)務(wù)應(yīng)用用和WWW服服務(wù)等）、網(wǎng)絡(luò)安全，網(wǎng)網(wǎng)絡(luò)管理等方方方面面。 本文從大型企業(yè)業(yè)網(wǎng)絡(luò)設(shè)計的的角度介紹大大型企業(yè)網(wǎng)絡(luò)絡(luò)的設(shè)計和實實現(xiàn)方法。企業(yè)網(wǎng)絡(luò)建設(shè)過過程的幾個階階段企業(yè)網(wǎng)絡(luò)建設(shè)總總體上分為設(shè)設(shè)計階段、實施階段和和網(wǎng)絡(luò)管理維維護(hù)階段。從網(wǎng)絡(luò)設(shè)設(shè)計的角度來來講，分為應(yīng)應(yīng)用驅(qū)動法和和基礎(chǔ)設(shè)施法法。應(yīng)用驅(qū)動動法是采用根根據(jù)應(yīng)用需求求，從工作組組網(wǎng)絡(luò)、樓宇網(wǎng)絡(luò)、園區(qū)網(wǎng)絡(luò)到到廣域網(wǎng)絡(luò)的的由近到遠(yuǎn)的的設(shè)計方法?；A(chǔ)設(shè)施法是是根據(jù)基本的的網(wǎng)絡(luò)規(guī)劃，采采用從廣域網(wǎng)網(wǎng)絡(luò)

3、、園區(qū)網(wǎng)絡(luò)到到樓宇網(wǎng)絡(luò)的的由遠(yuǎn)及近的的設(shè)計方法。企業(yè)網(wǎng)絡(luò)建設(shè)過過程分為如下下幾個階段： 1、需需求分析階段段。通常大型企業(yè)在在網(wǎng)絡(luò)建設(shè)中中已有部分的的網(wǎng)絡(luò)環(huán)境，這這些網(wǎng)絡(luò)環(huán)境能滿足當(dāng)時網(wǎng)網(wǎng)絡(luò)應(yīng)用的需需要。但網(wǎng)絡(luò)絡(luò)可能是一個個個孤立的小小島，只能在在局部范圍內(nèi)內(nèi)實現(xiàn)網(wǎng)絡(luò)應(yīng)應(yīng)用及資源共共享，企業(yè)網(wǎng)網(wǎng)絡(luò)沒有形成成一個整體。企企業(yè)網(wǎng)絡(luò)規(guī)劃劃時，要考慮慮網(wǎng)絡(luò)建設(shè)的的整體性，既既要保護(hù)原有有的投資，又又要在網(wǎng)絡(luò)技技術(shù)的選型上上有前瞻性。網(wǎng)絡(luò)需求分析主要是根據(jù)企業(yè)業(yè)務(wù)發(fā)展需求和企業(yè)信息技術(shù)應(yīng)用需求，提出企業(yè)網(wǎng)絡(luò)建設(shè)的總體目標(biāo)和關(guān)鍵技術(shù)指標(biāo)。 企業(yè)網(wǎng)網(wǎng)絡(luò)需求分析析包含如下幾幾方面：網(wǎng)絡(luò)標(biāo)準(zhǔn)和協(xié)議議要求。全網(wǎng)絡(luò)

4、信息點分分布需求，包包括局域網(wǎng)布布線結(jié)構(gòu)要求求，廣域網(wǎng)傳傳輸介質(zhì)要求求。網(wǎng)絡(luò)層次劃分及及網(wǎng)絡(luò)拓?fù)浣Y(jié)結(jié)構(gòu)要求。結(jié)合應(yīng)用的網(wǎng)絡(luò)絡(luò)設(shè)備處理能能力和帶寬要要求。局域網(wǎng)和廣域網(wǎng)網(wǎng)要求。Interneet接入，外外網(wǎng)接入，防防火墻技術(shù)要要求。企業(yè)網(wǎng)絡(luò)應(yīng)用要要求。 網(wǎng)絡(luò)設(shè)備選型要要求。網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)絡(luò)技術(shù)的關(guān)系系（如多媒體體、IP話音和和網(wǎng)絡(luò)結(jié)構(gòu)的的要求）。網(wǎng)絡(luò)可靠性、擴擴展性和安全全性要求。網(wǎng)絡(luò)管理要求。2、網(wǎng)絡(luò)規(guī)劃階階段。企業(yè)網(wǎng)絡(luò)規(guī)劃是是從企業(yè)網(wǎng)絡(luò)絡(luò)需求分析到到企業(yè)網(wǎng)邏輯輯設(shè)計中間必必經(jīng)階段，主主要根據(jù)企業(yè)業(yè)網(wǎng)絡(luò)需求分分析得出分離離的、外在的技術(shù)術(shù)指標(biāo)（如用用戶數(shù)、桌面微機的的站點數(shù)、最大響應(yīng)時時間要求

5、等等等）。運用企企業(yè)網(wǎng)絡(luò)本身身內(nèi)在的規(guī)律律和關(guān)聯(lián)算法法，得出整個個企業(yè)網(wǎng)絡(luò)內(nèi)內(nèi)在的技術(shù)框框架和技術(shù)指指標(biāo)（如桌面面帶寬要求、主干帶寬要要求、服務(wù)器處理理性能要求等等等）。3、網(wǎng)絡(luò)邏輯設(shè)設(shè)計階段。 網(wǎng)絡(luò)邏邏輯設(shè)計階段段主要根據(jù)企企業(yè)網(wǎng)絡(luò)需求求分析結(jié)果，根根據(jù)企業(yè)網(wǎng)絡(luò)絡(luò)規(guī)劃的內(nèi)在在技術(shù)指標(biāo)，按按照計算機網(wǎng)網(wǎng)絡(luò)設(shè)計的經(jīng)經(jīng)驗和方法，在在現(xiàn)有的可行行的網(wǎng)絡(luò)技術(shù)術(shù)范圍內(nèi)，設(shè)設(shè)計企業(yè)網(wǎng)絡(luò)絡(luò)的連接結(jié)構(gòu)構(gòu)、協(xié)議結(jié)構(gòu)以以及每個網(wǎng)絡(luò)絡(luò)的功能結(jié)構(gòu)構(gòu)。企業(yè)網(wǎng)絡(luò)設(shè)計主主要確定網(wǎng)絡(luò)絡(luò)的連接結(jié)構(gòu)構(gòu)，網(wǎng)絡(luò)節(jié)點點的類型、 功能和容容量。網(wǎng)絡(luò)傳傳輸鏈路的類類型和容量，以以及網(wǎng)絡(luò)安全全控制結(jié)構(gòu)和和網(wǎng)絡(luò)管理結(jié)結(jié)構(gòu)。網(wǎng)絡(luò)物理設(shè)計階階段。

6、網(wǎng)絡(luò)物理設(shè)計主主要確定實施施網(wǎng)絡(luò)邏輯設(shè)設(shè)計方案的廠廠家產(chǎn)品的類類型、數(shù)量和具體體配置，以及及與網(wǎng)絡(luò)邏輯輯設(shè)計方案中中連接結(jié)構(gòu)相相吻合的物理理拓?fù)浣Y(jié)構(gòu)。網(wǎng)絡(luò)實施階段。網(wǎng)絡(luò)實施階段主主要是采購所所需的硬件設(shè)設(shè)備和軟件系系統(tǒng)，以及安安裝、調(diào)試和測試試網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)維護(hù)和擴展展階段。 在企企業(yè)網(wǎng)絡(luò)通過過測試之后，網(wǎng)網(wǎng)絡(luò)就進(jìn)入了了運行、維護(hù)和擴展展階段。企業(yè)業(yè)網(wǎng)絡(luò)的運行行維護(hù)階段的的主要工作是是對企業(yè)網(wǎng)絡(luò)絡(luò)的日常維護(hù)護(hù)和管理，包包括網(wǎng)絡(luò)配置置管理、性能管理、故障管理、安全管理和和用戶帳戶管管理，對企業(yè)業(yè)網(wǎng)絡(luò)的預(yù)防防性測試和容容量的規(guī)劃。企 業(yè) 網(wǎng) 絡(luò)絡(luò) 層 次 結(jié) 構(gòu) 分分 析 及 其 模 塊塊 化 設(shè)

7、 計 思 想想大型企業(yè)網(wǎng)絡(luò)層層次結(jié)構(gòu)與企企業(yè)的行政結(jié)結(jié)構(gòu)相對應(yīng)，一一般至少有二層，也有三層層和四層結(jié)構(gòu)構(gòu)。多于四層層的結(jié)構(gòu)作為為遠(yuǎn)程訪問服服務(wù)層看待。我我們從網(wǎng)絡(luò)的的層次劃分上上分析探討多多層網(wǎng)絡(luò)模塊塊化設(shè)計思想想。 大多數(shù)數(shù)企業(yè)網(wǎng)絡(luò)都都可以被層次次性劃分為三三個邏輯服務(wù)務(wù)單元(Baackbonne)、區(qū)域域網(wǎng)(Disstribuute)和訪訪問網(wǎng)(Loocalaccesss)。骨干干網(wǎng)的主要目目的在于完成成分布于不同同區(qū)域或邏輯輯組的路由最最優(yōu)化通信；區(qū)域網(wǎng)主要要是完成網(wǎng)絡(luò)絡(luò)流量的安全全控制機制，以以使骨干網(wǎng)和和訪問網(wǎng)環(huán)境境隔離開來；訪問網(wǎng)主要要是支持客戶戶機對服務(wù)器器的訪問。2.1 模塊化

8、化網(wǎng)絡(luò)設(shè)計方方法模塊化網(wǎng)絡(luò)設(shè)計計方法的目標(biāo)標(biāo)在于把一個個大型的網(wǎng)絡(luò)絡(luò)元素劃分成成一個個互連連的網(wǎng)絡(luò)層次次。實質(zhì)上，模模塊化方式把把網(wǎng)絡(luò)劃分為為一個個子網(wǎng)網(wǎng)，因此網(wǎng)絡(luò)絡(luò)節(jié)點和流量量變得更容易易管理。層次次化的設(shè)計方方法同時也使使網(wǎng)絡(luò)的擴展展更容易處理理，因為新的的子網(wǎng)模塊和和新的網(wǎng)絡(luò)技技術(shù)能被更容容易集成進(jìn)整整個系統(tǒng)中，而而不破壞已存存在的骨干網(wǎng)網(wǎng)。層次設(shè)計方法可可為網(wǎng)絡(luò)帶來來以下三個優(yōu)優(yōu)點：1、層次性網(wǎng)絡(luò)絡(luò)的可擴展性性可擴展性是在包包交換網(wǎng)絡(luò)連連接中使用層層次性設(shè)計的的主要優(yōu)點。層層次性網(wǎng)絡(luò)具具有更多的可可擴展性是因因為它可以讓讓你用模塊化化方式擴展網(wǎng)網(wǎng)絡(luò)，而不會會遇到非層次次性網(wǎng)絡(luò)或平平面性

9、網(wǎng)絡(luò)很很快所遇上的的問題。但是是，層次性網(wǎng)網(wǎng)絡(luò)同時也提提出了一定的的問題需要仔仔細(xì)考慮。這這些問題包括括：虛電路的的費用，層次次設(shè)計（尤其其是網(wǎng)狀拓?fù)鋼涞膬?nèi)在復(fù)復(fù)雜聯(lián)系，以以及需要額外外的路由器接接口來劃分網(wǎng)網(wǎng)絡(luò)層次。為了獲得層次性性網(wǎng)絡(luò)結(jié)構(gòu)的的優(yōu)點，你必必須使你的網(wǎng)網(wǎng)絡(luò)層次結(jié)構(gòu)構(gòu)充分與你所所在地區(qū)的拓拓?fù)湎喾?。設(shè)設(shè)計取決于你你所使用的包包交換模式，以以及你所想要要的容錯能力力、網(wǎng)絡(luò)性能能和網(wǎng)絡(luò)造價價。2、層次性網(wǎng)絡(luò)絡(luò)的可管理性性使網(wǎng)絡(luò)簡單化通過把網(wǎng)網(wǎng)絡(luò)元素劃分分為小單元、層層次化，降低低了整個網(wǎng)絡(luò)絡(luò)的復(fù)雜性。這這種網(wǎng)絡(luò)單元元的劃分使故故障診斷變得得清晰和簡單單了，同時還還可以提供防防止廣播

10、風(fēng)暴暴、路由循環(huán)環(huán)等其他潛在在問題的內(nèi)在在保護(hù)機制。使設(shè)計更靈活層次化設(shè)設(shè)計使得骨干干網(wǎng)和區(qū)域網(wǎng)網(wǎng)之間的包交交換形式更具具靈活性。很很多網(wǎng)絡(luò)都得得益于使用混混合方式來構(gòu)構(gòu)造整個網(wǎng)絡(luò)絡(luò)架構(gòu)。在大大多數(shù)情況下下，可在骨干干網(wǎng)部分使用用專線而在區(qū)區(qū)域網(wǎng)或本地地網(wǎng)接入部分分使用包交換換服務(wù)。使路由器管理更更容易由由于層次化網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)使網(wǎng)網(wǎng)絡(luò)分層，相相對縮小的網(wǎng)網(wǎng)絡(luò)區(qū)域使路路由器的鄰居居或?qū)Φ韧ㄐ判哦藬?shù)量減少少，因此路由由器的配置變變得簡單化。3、優(yōu)化廣播和和多點廣播的的流量控制在包交換網(wǎng)絡(luò)中中，減少路由由器之間廣播播信息量的最最直接方法就就是使用更少少數(shù)目的路由由器組，通過過層次化模塊塊設(shè)計可以較較好

11、地控制網(wǎng)網(wǎng)絡(luò)中的廣播播。通常在包包交換網(wǎng)絡(luò)中中最常見的路路由器之間的的廣播信息流流量是路由更更新信息，如如果在一個區(qū)區(qū)域或一個層層次中有太多多的路由器，那那么就會因為為廣播的原因因而造成網(wǎng)絡(luò)絡(luò)瓶頸。層次次化的網(wǎng)絡(luò)結(jié)結(jié)構(gòu)使你可以以對區(qū)域網(wǎng)向向骨干網(wǎng)的廣廣播作出限制制。 根據(jù)這種種層次化網(wǎng)絡(luò)絡(luò)設(shè)計思想的的原則，我們們可以把企業(yè)業(yè)Intraanet網(wǎng)絡(luò)絡(luò)工程的整個個網(wǎng)絡(luò)體系結(jié)結(jié)構(gòu)分為以下下三層或四層層結(jié)構(gòu)二級或或三級網(wǎng)絡(luò)主主干：即由企企業(yè)中心節(jié)點點與二級節(jié)點點組成一級主主干網(wǎng)絡(luò)，由由二級節(jié)點和和三級節(jié)點構(gòu)構(gòu)成二級網(wǎng)絡(luò)絡(luò)，三級節(jié)點點和四級節(jié)點點構(gòu)成三級網(wǎng)網(wǎng)絡(luò)。如下圖圖2.1所示： 圖2.1評估一級主干

12、網(wǎng)網(wǎng)絡(luò)的服務(wù) 如圖2.1所示的一一級主干網(wǎng)絡(luò)絡(luò)所能提供的的功能特性包包括如下幾個個部分：主干網(wǎng)絡(luò)帶寬管管理： 為了優(yōu)化化主干網(wǎng)絡(luò)的的操作，路由由器提供幾種種性能調(diào)節(jié)方方法，如優(yōu)先先權(quán)隊列管理理和數(shù)據(jù)壓縮縮，動態(tài)路由由協(xié)議權(quán)值定定義，動態(tài)路路由協(xié)議發(fā)包包時間間隔優(yōu)優(yōu)化，協(xié)議本本地確認(rèn)等優(yōu)優(yōu)化和節(jié)省廣廣域網(wǎng)帶寬。數(shù)據(jù)傳輸路徑優(yōu)優(yōu)化 路由器最最主要的特點點之一是在邏邏輯網(wǎng)絡(luò)環(huán)境境內(nèi)，自動選選擇最優(yōu)路徑徑傳輸信息。 路由器依依靠路由協(xié)議議（靜態(tài)和各各類動態(tài)路由由協(xié)議）完成成最優(yōu)路徑查查找工作。路路由協(xié)議是在在網(wǎng)絡(luò)第三層層上操作，并并且各類網(wǎng)絡(luò)絡(luò)協(xié)議有相應(yīng)應(yīng)路由協(xié)議支支持。如，在在IP網(wǎng)絡(luò)環(huán)境境中，Ci

13、ssco公司的的所有路由器器支持所有路路由協(xié)議，如如OSPF Routiing,RIIP Rouuting,IGRP Routiing,E-IGRP Routiing,BGGP Rouuting,EGP RRoutinng andd HELLLO Paccket。 路由收收斂問題：路路徑選擇涉及及的相關(guān)問題題是路由收斂斂。當(dāng)網(wǎng)絡(luò)發(fā)發(fā)生變化時，如如主干網(wǎng)上路路由器關(guān)機或或故障，或通通信線路的故故障，或主干干網(wǎng)上路由器器配置變化等等，都會引起起路由表的改改變，這種改改變過程引起起網(wǎng)絡(luò)不能正正常工作。因因此，選擇收收斂速度快的的動態(tài)路由協(xié)協(xié)議和避免路路由慢收斂問問題是網(wǎng)絡(luò)設(shè)設(shè)計的關(guān)鍵問問題之一。優(yōu)化

14、傳輸隊列 主干網(wǎng)上上信息傳輸可可以分成不同同的優(yōu)先級別別，將重要的的信息定為高高優(yōu)先級別，優(yōu)優(yōu)先傳輸。路路由器可以對對諸如不同協(xié)協(xié)議類型，不不同傳輸層協(xié)協(xié)議，不同的的應(yīng)用類型設(shè)設(shè)定不同的傳傳輸優(yōu)先級。對對IP協(xié)議來講講，在網(wǎng)絡(luò)應(yīng)應(yīng)用層，可對對諸如TELLNET,FFTP,SMMTP,WWWW等應(yīng)用進(jìn)進(jìn)行傳輸隊列列優(yōu)先權(quán)的設(shè)設(shè)定，以確保保重要數(shù)據(jù)優(yōu)優(yōu)先傳輸。對對傳輸隊列的的優(yōu)化是在各各類協(xié)議及子子協(xié)議基礎(chǔ)上上進(jìn)行，如下下圖所示：負(fù)載均衡 路由器支持持多鏈路的負(fù)負(fù)載均衡，最最多可支持四四條負(fù)載均衡衡鏈路，每條鏈路的負(fù)載載閥值可以調(diào)調(diào)整。路徑備份 一級主主干網(wǎng)上傳輸輸?shù)亩际侵匾畔ⅲ患壖壷鞲删W(wǎng)的

15、路路徑備份就特別重要?？紤]慮到投資成本本，不要求主主干網(wǎng)上所有有路由器都雙雙鏈路連接，而只考慮慮主干網(wǎng)上各各中間節(jié)點到到中心節(jié)點的的雙鏈路連接接，各中間節(jié)點之間可可以無鏈路連連接。各中間間節(jié)點之間的的通信都跨越越全國中心的路由器實實現(xiàn)。因此，全全國中心路由由器必須具備備強大的處理理能力。2.3 評估估二級主干網(wǎng)網(wǎng)絡(luò)的服務(wù) 如圖2.11所示，我們們對二級主干干網(wǎng)絡(luò)作如下下評估。區(qū)域和服務(wù)過濾濾 信息流的的過濾是建立立在區(qū)域的劃劃分和服務(wù)類類型上。來自自區(qū)域內(nèi)部的信息不必要跨跨越廣域網(wǎng)一一級主干網(wǎng)絡(luò)絡(luò)，這樣可以以減緩一級主主干網(wǎng)絡(luò)的通信壓力。同同時，在區(qū)域域內(nèi)部可以針針對網(wǎng)絡(luò)服務(wù)務(wù)類型（如TELN

16、ET,FTP,SSMTP等）和和網(wǎng)段地址作作訪問控制，這這樣可確保重重要數(shù)據(jù)的訪問安全性。在在路由器中，設(shè)設(shè)置acceess-liist，路由由器判定滿足足條件的信息包通過過網(wǎng)絡(luò)。基于策略的信息息分發(fā)基于策略的信息息分發(fā)的目的的是確保傳輸輸性能和信息息的完整性。在網(wǎng)間網(wǎng)中中，這種策略略可以定義成成一個規(guī)則或或一組規(guī)則，以以此來控制跨跨越廣域主干干的端對端的的數(shù)據(jù)傳輸。例例如一個部門門，它可能有有三種網(wǎng)絡(luò)協(xié)協(xié)議要跨越主主干，但只希希望攜帶重要要應(yīng)用的一種種特殊的協(xié)議議快速通過主主干。另一部部門，由于主主干網(wǎng)絡(luò)過于于繁忙，此時時只允許e-mail跨跨越主干等。路由協(xié)議的一致致性 我們建議一級級和二

17、級廣域域網(wǎng)主干動態(tài)態(tài)路由協(xié)議應(yīng)應(yīng)是一致的，并并采用開放的的路由協(xié)議如如ISIS或BBGP4或OOSPF。采采用那種動態(tài)態(tài)路由協(xié)議，要要根據(jù)企業(yè)的的網(wǎng)絡(luò)結(jié)構(gòu)和和部門間的隸隸屬關(guān)系確定定。介質(zhì)轉(zhuǎn)換 介質(zhì)轉(zhuǎn)換換技術(shù)是將不不同網(wǎng)絡(luò)鏈路路層上的幀的的格式轉(zhuǎn)換為為另一網(wǎng)絡(luò)幀幀的格式，例例如以態(tài)網(wǎng)與與令牌環(huán)網(wǎng)的的轉(zhuǎn)換。由于于區(qū)域內(nèi)網(wǎng)絡(luò)絡(luò)環(huán)境較為復(fù)復(fù)雜，廠家必必須有相應(yīng)的的設(shè)備支持。2.4評估接入入訪問服務(wù) 接入訪訪問服務(wù)包含含如下內(nèi)容：網(wǎng)絡(luò)增值地址網(wǎng)絡(luò)增值地址（helper network address）是用來解決一些特殊的信息傳輸，使得原來是廣播方式的傳輸變?yōu)槎帱c傳輸。這樣，可以減少網(wǎng)絡(luò)的廣播壓力和路由

18、器的負(fù)載。例如，Novell客戶端原來通過廣播方式查找它的服務(wù)器，而如果服務(wù)器不在本網(wǎng)段，廣播信息必須通過路由器。使用helper address后，就允許在一個網(wǎng)絡(luò)上的節(jié)點直接向另一個網(wǎng)絡(luò)上的服務(wù)器發(fā)送信息，而不用經(jīng)過路由器。網(wǎng)段 局部訪問服務(wù)務(wù)的基本要求求是將網(wǎng)絡(luò)分分成若干網(wǎng)段段，每個網(wǎng)段段實施各自的的信息傳輸策策略，通過路路由器從而實實現(xiàn)各網(wǎng)段廣廣播信息的相相互隔離，減減少主干網(wǎng)絡(luò)絡(luò)的擁塞。確確定網(wǎng)段，是是通過子網(wǎng)掩掩碼實現(xiàn)的。靈靈活的網(wǎng)段劃劃分，通過路路由器acccess-llist網(wǎng)段段地址過濾，可可以實現(xiàn)靈活活的網(wǎng)絡(luò)安全全訪問控制策策略。廣播和多點廣播播 如上所說說，路由器能能隔離

19、網(wǎng)段的的廣播信息。然然而，如果需需要，路由器器可以中繼廣廣播。通過路路由器中繼某某些廣播以達(dá)達(dá)到一定的目目的。 IPP的多點廣播播是從一個站站點向指定的的多個目的站站點發(fā)布信息息，而不是向向每個站點發(fā)發(fā)布信息。IIP的多點廣廣播為視頻會會議，股票交交易等提供出出色的服務(wù)。參參與多點廣播播的計算機，必必須運行IGGMP協(xié)議。路路由器配置IIGMP(IInternnet Grroup MManageement Protoocol) 后，可以實實現(xiàn)位于不同同網(wǎng)段內(nèi)的計計算機的多點點廣播。 安全策略 如果所有有信息被所有有員工隨意訪訪問得到，那那么安全侵犯犯和不正當(dāng)?shù)奈募L問就不不可避免。為為了避免這

20、些些問題，路由由器要做如下下工作：防止局部網(wǎng)絡(luò)信信息不正當(dāng)?shù)氐剡M(jìn)入網(wǎng)絡(luò)主主干防止網(wǎng)絡(luò)主干的的信息不正當(dāng)當(dāng)進(jìn)入部門或或工作組 實現(xiàn)這兩兩大功能的手手段是路由的的包過濾。一一方面，包過過濾能控制未未受權(quán)的用戶戶訪問，增加加安全性，同同時能減少網(wǎng)網(wǎng)絡(luò)的擁塞，減減少網(wǎng)絡(luò)問題題的發(fā)生。 路由器有一一整套信息過過濾策略。如如對地址的訪訪問過濾，對對協(xié)議的訪問問過濾，對應(yīng)應(yīng)用層的訪問問過濾。具體體地說，在以太網(wǎng)環(huán)境下下，有一臺主主機能Tellnet到Interrnet的某某一臺主機，不不允許Intternett上該主機Teelnet到到這臺主機上上，但可以作作SMTP的訪訪問。只允許一個網(wǎng)段段通過OSPPF

21、動態(tài)路由由協(xié)議，其它它網(wǎng)段OSPPF被禁止。限止某些主機訪訪問某些網(wǎng)段段。限止某些網(wǎng)段訪訪問另一些網(wǎng)網(wǎng)段。 上上述訪問控制制手段是常用用的方法。另另外還有遠(yuǎn)程程訪問控制，通通常采用認(rèn)證證機制。對于于MODEMM訪問方式的的站點，可采采用TACAACS(Teerminaal Acccess CControoller Accesss Conntrol Systeem) 認(rèn)證機機制。對電話話撥號站點，運運行ppp協(xié)議，可可采用chaap或pap 認(rèn)證證機制。路由器查找 主機必必須知道其網(wǎng)網(wǎng)關(guān)地址才能能通過路由器器訪問別的網(wǎng)網(wǎng)段?？梢杂萌斯せ騽討B(tài)路路由的方式配配置主機的網(wǎng)網(wǎng)關(guān)地址。主主機至少有一一個路

22、由器局域網(wǎng)端口地地址作為其網(wǎng)網(wǎng)關(guān)地址。但但是，當(dāng)有多多個路由器時時，主機如何確定其網(wǎng)關(guān)關(guān)地址呢?一般來說，主主機選擇那臺臺能到達(dá)目的的站點最佳路徑的路由器器作為其網(wǎng)關(guān)關(guān)，這種情況況涉及路由器器的查找。支支持這種查找的相關(guān)協(xié)議議有以下幾種：End Sysstem-tto-Inttermeddiate Systeem(ES-IS)協(xié)議議ICMP Rooutingg Disccoveryy Prottocol(IRDP)協(xié)議Proxy AAddresss Ressolutiion Prrotocool(ARPP)協(xié)議OSPF和RIIP協(xié)議 通過過對上述網(wǎng)絡(luò)絡(luò)分層服務(wù)的的分析，我們們得出結(jié)論：對于大型

23、企企業(yè)Intrranet網(wǎng)網(wǎng)絡(luò)工程來說說，要想建設(shè)設(shè)成為一個全全國性的、網(wǎng)網(wǎng)絡(luò)性能優(yōu)良良的、網(wǎng)絡(luò)控控制極為靈活活的、具有很強擴擴展能力和升升級能力的大大型企業(yè)綜合合性網(wǎng)絡(luò)，那那么在網(wǎng)絡(luò)設(shè)設(shè)計中就必須須采用層次化化的網(wǎng)絡(luò)設(shè)計計思想。企 業(yè) 網(wǎng)網(wǎng) 間 網(wǎng) 路 由 協(xié)協(xié) 議 我們對企業(yè)網(wǎng)絡(luò)絡(luò)的層次結(jié)構(gòu)構(gòu)及相應(yīng)的網(wǎng)網(wǎng)絡(luò)服務(wù)作了了系統(tǒng)的分析，各層次的網(wǎng)網(wǎng)絡(luò)服務(wù)是建建立在網(wǎng)絡(luò)協(xié)協(xié)議第三層動動態(tài)路由或靜靜態(tài)路由基礎(chǔ)礎(chǔ)上。由于各各類網(wǎng)絡(luò)動態(tài)態(tài)路由協(xié)議都都存在算法上上的缺陷，沒沒有一種全優(yōu)優(yōu)的網(wǎng)絡(luò)動態(tài)態(tài)路由協(xié)議能能完全滿足企企業(yè)網(wǎng)絡(luò)運行行的需要。因因此，網(wǎng)絡(luò)動動態(tài)路由的選選擇必須和整整體網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)相協(xié)調(diào)，同同時

24、和企業(yè)網(wǎng)網(wǎng)絡(luò)的運行方方式、運營成本相相協(xié)調(diào)。 為此，我我們簡單介紹紹幾種路由協(xié)協(xié)議：3.1、RIPP（Routee Infoormatiion Prrotocool） 路 由 信 息 協(xié) 議 RIPP路由協(xié)議與與UNIX和TCP/IIP緊緊地聯(lián)聯(lián)系在一起的的。在互連網(wǎng)網(wǎng)中RIP是最常常用的路由協(xié)協(xié)議。 作為廣廣泛使用的一一種距離矢量量（Disttance Vectoor）路由協(xié)協(xié)議，RIPP路由協(xié)議有有如下特 點：基于距離矢量路路由協(xié)議路由器根據(jù)距離離選擇使用路路由。當(dāng)計算算的那條路徑徑為最短路徑徑 時，路由器器確定這條路路徑為最佳路路徑并維持這這條最佳路徑徑。當(dāng)新的路路由比 原路由更佳佳時，

25、由新路路由將替代老老的路由。具有學(xué)習(xí)功能 路由器定時向向每個鄰近網(wǎng)網(wǎng)絡(luò)廣播報文文，通過路由由器間相互學(xué)學(xué)習(xí)， 不斷更新自自己的路由。僅以跳數(shù)（hoop couunt）作為為距離度量在路由器的路由由決策中，要要考慮的因素素可以很多（ 例如：帶寬、 延遲、可靠性、路由等），如果參加決策的因素越多，路由策略的最佳路由更加趨于合理，對網(wǎng)絡(luò)的描述更加精確。所以RIP路由協(xié)議僅將跳數(shù)作為距離度量有缺陷的。最大站點數(shù)為115 RIP 協(xié)議議允許最大站站點數(shù)為155，任何超過過15個站點的的目的地均認(rèn)認(rèn)為不可達(dá)到到的。RIPP最大站數(shù)大大大限制了大大型網(wǎng)間網(wǎng)環(huán)環(huán)境的應(yīng)用。每30秒向相鄰鄰路由器廣播播一次路由信

26、信息 RIP路由協(xié)協(xié)議采用了不不少計數(shù)器，路路由新計數(shù)器器通常被設(shè)計計為30 秒。保保證每個路由由器在每300 秒向其鄰鄰接路由器發(fā)發(fā)送一次路由由表。3.2、OSPPF（Open Shorttest PPath FFirst）開開放式最短路路徑優(yōu)先協(xié)議議 80 年代中期，由由于RIP 路由器協(xié)議議越來越不適適應(yīng)大規(guī)模異異構(gòu)網(wǎng)絡(luò)互連連。OSPFF作為IETFF（網(wǎng)間工程程任務(wù)組織）為為IP 網(wǎng)絡(luò)開開發(fā)的一種IIGP（內(nèi)部部網(wǎng)關(guān)協(xié)議）協(xié)協(xié)議，克服了了RIP 路由由協(xié)議的缺點點。其采用SSPF（Shorttest PPath FFirst）算算法，基于鏈鏈路狀態(tài)路由由協(xié)議。OSSPF路由協(xié)協(xié)議有如下

27、特特點：需要每臺路由器器向同域（AArea）的的所有其它路路由器發(fā)送鏈鏈路狀態(tài)廣播播（LSA）信息息。路由器收收集有關(guān)的鏈鏈路狀態(tài)信息息，并根據(jù)SSPF的算法法計算出到每每個結(jié)點的最最短路徑。同同域內(nèi)的路由由器共享 相同的拓?fù)鋼湫畔?。路由選擇的分級級 與RIP 路由協(xié)議不不同，OSPPF可在一個個域（Areea）內(nèi)進(jìn)行行路由選擇。域域的最大集合合是自治域（AS）。AS 是共享同一路由選擇策略的網(wǎng)絡(luò)集合。 一個個自治域ASS可分為多個個域（Areea），域是是由相鄰的網(wǎng)網(wǎng)絡(luò)和連接的的主機組成，如如圖3.2.a所示。 根據(jù)據(jù)源點和目的的地是否在同同一域內(nèi),OOSPF有兩兩種類型的路路由 選擇方式：

28、 當(dāng)源源和目的在同同一區(qū)域時，采采用域內(nèi)路由由選擇。 當(dāng)源源和目的不在在同區(qū)域時，采采用域間路由由選擇。 由于于有域的概念念，OSPFF路由協(xié)議比比那些不將AAS分區(qū)的情情況下 所需傳送的的路由信息少少得多。支持VLSM（Vanabble Leength Subneet Massk）可變長長度子網(wǎng)掩碼碼技術(shù)。 由于于每個發(fā)布的的目的地均包包括IP子網(wǎng)的掩掩碼，從而可可利用子網(wǎng)掩掩碼將IP網(wǎng)絡(luò)分為為不同大小的的子網(wǎng)，這種種方法可節(jié)省省IP 地址空空 間并給網(wǎng)絡(luò)絡(luò)管理員管理理帶來靈活性性。 對帶寬和CPUU等資源消耗耗 這個個SPF 算法法占用了CPPU 的資源源，一般來說說與運算量與與網(wǎng)內(nèi)鏈路數(shù)

29、數(shù)目與路由器器數(shù)目乘積成成正比。另外外當(dāng)SPF 路由器通電電， 初始的鏈路路狀態(tài)包泛濫濫（Flooodtingg）占用網(wǎng)絡(luò)絡(luò)帶寬，這些些情況都是在在網(wǎng)絡(luò)設(shè)計中中要考慮的。3.3、EIGGRP（enchaansed Interrior GGatewaay Rouuting Protoocol） EIIGRP 即即為CISCCO公司所提提出的IGRRP路由協(xié)議議的增強版。它它 是 一種混合型型的路由選擇擇協(xié)議，它結(jié)結(jié)合了鏈路狀狀態(tài)協(xié)議及距距離矢量協(xié) 議的優(yōu)點，包包括以下特點點：快速聚合增強IGRRP使用擴散散更新算法（DUAL Diffusing Update Algorithm）來快速達(dá)到聚合，

30、運行EIGRP 的路由器存儲有相鄰路由器的路由選擇表,因此能快速地適應(yīng)路由的變化， 若不存在合適的路由，EIGRP 查詢其相鄰的路由器，以發(fā)現(xiàn)一個不同的路由，這種查詢傳播一直持續(xù)到新的路由發(fā)現(xiàn)為止。變長子網(wǎng)掩碼EIGGRP包括全全支持變長子子網(wǎng)掩碼，子子網(wǎng)路由 自動匯集到到一個網(wǎng)絡(luò)號號邊境上，除除此之外，EEIGRP 能被配置集集中在任意接接口的任意位位邊界上。部分、界限修改改EIIGRP路由由并不周期性性地作修改，只只是當(dāng) 某路由的計計量發(fā)生變化化時，才發(fā)送送部分更新。自自動更新的信信息是自動定定義其邊界，所所以只有那些些需要這類信信息的路由器器才修 改其路由表表，因為EIIGRP 具具有這

31、兩種功功能，因此它它比IGRPP、OSPF 消耗的頻寬寬更少。支持多種網(wǎng)絡(luò)層層EIIGRP 支支持Applletalkk、IP以及NOVEELL 等 多種協(xié)議。 3.4、 靜 態(tài) 路 由 協(xié) 議 以上我我們介紹的均均為動態(tài)路由由協(xié)議，當(dāng)然然還有另外一一種路由 協(xié)議便是靜靜態(tài)路由協(xié)議議。靜態(tài)路由由協(xié)議是由網(wǎng)網(wǎng)絡(luò)系統(tǒng)管理理員人工定 制的，需要要制出一切所所需的路由。其其優(yōu)點為不會會產(chǎn)生動態(tài)路路由所特 有的路由信信息廣播或路路由信息、更新或HELLLO 從而而不會在系統(tǒng)統(tǒng)資 源：內(nèi)存、CCPU、帶寬寬等方面制成成額外的開銷銷。但其缺點點為會給系統(tǒng)統(tǒng)管理員的管管理工作帶來來大量的工作作，其次，由由于路

32、由是靜靜態(tài)的因 而不能適應(yīng)應(yīng)網(wǎng)絡(luò)的動態(tài)態(tài)變化的需要要而改變路由由。 在上面面的介紹中我我們可以看出出，作為一個個大型綜合企企業(yè)網(wǎng)的內(nèi) 部路由協(xié)議議可供選擇的的實際上有靜靜態(tài)路由、IIGRP、EIGRPP和OSPF。而而當(dāng)我們進(jìn)行行一個大型網(wǎng)網(wǎng)絡(luò)IP協(xié)議的選選取時，需考考慮以下兩方方面的因素：網(wǎng)絡(luò)路由聚合時時間網(wǎng)絡(luò)路由環(huán)境的的可維護(hù)性3.5 動動態(tài)路由比較較EIGRP是CCisco公公司開發(fā)的一一種先進(jìn)的路路由技術(shù)，它它結(jié)合了距 離向量( DDV )協(xié)議議和連接狀態(tài)態(tài)( LS )協(xié)議的優(yōu)優(yōu)點，采用了了擴散更新算算法（DUAAL Difffusinng Upddate AAlgoriithm）達(dá)達(dá)

33、到網(wǎng)絡(luò)的快快速收斂。EEIGRP 支持層次化化和平面網(wǎng)絡(luò)絡(luò)結(jié)構(gòu)，支持持VLSM 網(wǎng)絡(luò)地址分分配，可在任任意位邊界對對直接相連的的網(wǎng)絡(luò)進(jìn)行路路徑疊合，只只有在網(wǎng)絡(luò)變變化時 EIIGRP才發(fā)發(fā)送路由表更更新信息，因因此廣域網(wǎng)帶帶寬浪費很少少，DUALL Difffusingg Updaate 算法法使其具有最最好的收斂性性，EIGRRP 采用五五維參數(shù)來決決定最佳路徑徑：帶寬、時時延、可靠性性、線路負(fù)載和和最大數(shù)據(jù)包包尺寸，不同同帶寬的平行行線路可負(fù)載載平衡地同時時傳輸數(shù)據(jù) 。它采用模模塊化軟件支支持IP、IPX 和AT 協(xié)議。OSPF是標(biāo)準(zhǔn)準(zhǔn)的、基于最最短路徑優(yōu)先先( 連接狀態(tài)態(tài)) 的、能快快速

34、收斂的路路由協(xié)議，它它只適用于IIP 協(xié)議。 OSSPF 的網(wǎng)網(wǎng)絡(luò)拓樸必須須是層次結(jié)構(gòu)構(gòu)的，分骨干干域和邊緣域域，在設(shè)計OOSPF網(wǎng)絡(luò)絡(luò)時最重要的的是域邊界的的定義地址分分配，域邊界界的定義決定定了哪些路由由器和連接包包 括在骨干域域中，哪些包包括在每一個個下連的域中中。OSPFF 支持VLSMM 地址分配配，其路徑疊疊合能力有限限，必須在路路由器中手工工設(shè)置。在大型企業(yè)網(wǎng)絡(luò)絡(luò)中，RIPP 由于其固固有的局限性性，它已被淘淘汰，最常見見的路由協(xié)議議是OSPFF 和EIGRPP，它們的比比較如下： OSSPF EIGGRP 快速收斂 是 是 帶寬利用率 高高 高 內(nèi)存使用 兩兩 者 差 不 多

35、CPU使用 兩 者 差 不 多 路由算法 dyjjkstraa DDUAL 傳輸類型 Linnk Staate DDistannce Veector 路徑疊合 有有 限 任意意邊界 協(xié)議過濾 非常有限 非常強 rtg協(xié)議速速率調(diào)節(jié) 無 有 多個缺省路徑徑 無 有 區(qū)域拓樸層次次 必須要 不要 開放標(biāo)準(zhǔn) 是 不是是 用戶端可用 是 不是 保持鄰居狀態(tài)態(tài) 是 是 改變只傳播 不是 是 到 相 關(guān) 網(wǎng) 絡(luò) 可用于多種 不是 是 L3 協(xié) 議議 負(fù)載平衡傳輸輸 非常有有限 很強 網(wǎng)絡(luò)可擴性 好 很好 從以上上比較可看出出，EIGRRP 凝聚了了距離矢量和和鏈路狀態(tài)兩兩種 算法的精華華，避免了兩兩種算法

36、各自自的缺點，因因而可達(dá)到最最快速度的 聚合。由于于其采用DUUAL 算法法，而且只有有網(wǎng)絡(luò)拓?fù)渥冏兓绊懙降牡穆酚善鞑艆⑴c路由的計計算，僅只有有拓?fù)渥兓坝绊懙降穆酚捎刹胚M(jìn)行廣 播，因此EIIGRP對CPU及網(wǎng)絡(luò)絡(luò)帶寬的消耗耗都將低于OOSPF、IGRP、RIP 等路由協(xié)議議。 在大型型企業(yè)網(wǎng)絡(luò)的的設(shè)計中，除除考慮線路的的帶寬、延遲遲、可靠性等等因素外，路路由表的大小小、網(wǎng)絡(luò)的延延展性、路由由的快速收斂斂同樣是影響響網(wǎng)絡(luò)功能的的重要因素。 動態(tài)路由協(xié)議議的選擇對于大型企業(yè)網(wǎng)網(wǎng)，平面結(jié)構(gòu)構(gòu)的路由協(xié)議議（如RIPP，IGRP）不不能滿足網(wǎng)絡(luò)絡(luò)性能的要求求。我們推薦薦采用E-IIGRP,OOSP

37、F路由由協(xié)議,多于三層結(jié)結(jié)構(gòu)的網(wǎng)絡(luò)需需采用BGPP4網(wǎng)間網(wǎng)協(xié)協(xié)議。OSPF協(xié)議是是一層次化結(jié)結(jié)構(gòu)的路由協(xié)協(xié)議，可將大大型網(wǎng)絡(luò)分成成若干區(qū)域。如如下圖： 區(qū)域劃劃分可減少各各路由器的路路由表尺寸；利于網(wǎng)絡(luò)擴擴展；支持 VLSM，可可通過路徑的的疊合（ ssummarrizatiion）優(yōu)化化地址的設(shè)計計和路由的計計算。 在OSSPF協(xié)議中中，Backkbone 區(qū)域是中心心主干區(qū)域（Area 0），主干區(qū)域路由器保持OSPF的信息，負(fù)責(zé)各路由區(qū)域間的路由信息分配；跨接多個區(qū)域的路由器為ABR（Area Border Router），其保持所連接的區(qū)域的路由信息，并完成路徑疊合功能 （summar

38、ization）；當(dāng)網(wǎng)絡(luò)大到需分成多個自主系統(tǒng)（AS）時，跨接AS 的路由器為 ASBR，在一個自主系統(tǒng)中可根據(jù)上述方法選擇路 由協(xié)議，而自主系統(tǒng)之間目前最好的辦法是采用BGP協(xié)議進(jìn)行互 連。BGP的最新標(biāo)準(zhǔn)是BGP4(RFC1654)，它支持CIDR。在每個自主系統(tǒng)中要定義BGP PEER路由器，用于在自主系統(tǒng)之間交換路由信 息。對于OSPF的的區(qū)域劃分的的原則為：每個區(qū)域內(nèi)路由由器不超過1100個；每個路由器接口口的相鄰路由由器不超過660個；每個路由器所屬屬區(qū)域不超過過3個；所有區(qū)域必物理理地連接到主主干區(qū)域；企 業(yè) 廣 域域 網(wǎng) 鏈 路 選 擇擇我們從理論上分分析了大型企企業(yè)網(wǎng)絡(luò)的層層

39、次結(jié)構(gòu)和動動態(tài)路由協(xié)議議。通常企業(yè)業(yè)租用ISPP的通信線路路，按照設(shè)計計好的層次結(jié)結(jié)構(gòu)進(jìn)行廣域域連接。在申申請通信線路路時要綜合考考慮企業(yè)業(yè)務(wù)務(wù)需求、QOS、運行維護(hù)費費用等多種因因素。ISP提供多種種通信鏈路來來滿足企業(yè)用用戶非實時網(wǎng)網(wǎng)絡(luò)應(yīng)用的需需求，如X.25,DDDN,幀中繼繼，PSTNN等。也可以選擇擇撥號VPNN技術(shù)，專線線VPN技術(shù)術(shù)。也可使用用標(biāo)記交換技技術(shù)，MPLLS技術(shù)等。選選擇通信類型型要根據(jù)運營營成本和運營營效率綜合考考慮。對于廣域網(wǎng)上實實現(xiàn)語音、圖像等多媒媒體應(yīng)用的廣廣域網(wǎng)DDNN，F(xiàn)rammeRelaay和ATMM都能實現(xiàn)，但但從運行費用用和服務(wù)質(zhì)量量保證來看，采采用

40、ATM作作廣域鏈路是是較好的選擇擇。目前，國國內(nèi)ISP沒沒有開放ATTM業(yè)務(wù)，但但企業(yè)如有需需要可以申請請ATM服務(wù)務(wù)。企 業(yè) 園 區(qū)區(qū) 局 域 網(wǎng) 設(shè) 計計 (1)企業(yè)園園區(qū)局域網(wǎng)絡(luò)絡(luò)采用虛擬交交換網(wǎng)絡(luò) 從網(wǎng)絡(luò)絡(luò)的性價比來來看，企業(yè)的的局域網(wǎng)絡(luò)邏邏輯結(jié)構(gòu)采用用交換虛擬網(wǎng)網(wǎng)技術(shù)已是大大勢所趨。交換虛擬網(wǎng)絡(luò)是是基于ATMM和局域網(wǎng)交交換機為平臺臺的技術(shù)，其其目標(biāo)是真正正建立一個可可以滿足未來來多媒體信息息處理時代需需要的企業(yè)網(wǎng)網(wǎng)絡(luò)。從長遠(yuǎn)角度看，采采用交換虛擬擬網(wǎng)絡(luò)技術(shù)可可以降低組建建企業(yè)網(wǎng)的成成本、提高信息技技術(shù)與企業(yè)發(fā)發(fā)展的適應(yīng)能能力。交換虛虛擬網(wǎng)可以滿滿足企業(yè)網(wǎng)絡(luò)絡(luò)在以下幾個個方面對計算算

41、機網(wǎng)絡(luò)的需需求：通過交換技術(shù)，向向最終用戶提提供更高的帶帶寬。可以向不同用戶戶、不同應(yīng)用提提供所需的服服務(wù)質(zhì)量保證證的網(wǎng)絡(luò)服務(wù)務(wù)。提供完整的網(wǎng)絡(luò)絡(luò)管理和控制制系統(tǒng)，控制制網(wǎng)絡(luò)成本，特特別是隱含的的網(wǎng)絡(luò)成本開開銷，例如網(wǎng)網(wǎng)絡(luò)管理、網(wǎng)絡(luò)控制等等方面的開銷銷。在外圍提供前面面的網(wǎng)絡(luò)互連連和系統(tǒng)集成成方案，提供供端到端的解解決方案，提提高網(wǎng)絡(luò)互連連性和可靠性性，減少網(wǎng)絡(luò)絡(luò)擴展的成本本。構(gòu)造虛擬工作組組網(wǎng)絡(luò)以支持持虛擬工作組組工作。 (2)企業(yè)局局域網(wǎng)絡(luò)的主主干交換 企業(yè)局局域網(wǎng)絡(luò)主干干的作用就是是互連網(wǎng)絡(luò)的的各個部分，傳傳遞分布到網(wǎng)網(wǎng)絡(luò)各個部分分的數(shù)據(jù)流。主主干網(wǎng)必須具具有高效率、高可用性特特征，在主

42、干干上任何一點點不合理的延延遲都是災(zāi)難難性的！ 采用AATM交換技技術(shù)可以提供供邊緣交換機機之間的高速速連通性、可靠性和服服務(wù)質(zhì)量保證證，以及支持持多種數(shù)據(jù)流流類型，如IIP、IPX、DEECnet。利利用ATM技技術(shù)的高效擁擁擠控制和流流量控制，高高可用性和功功能全面的網(wǎng)網(wǎng)絡(luò)控制，動動態(tài)用戶組管管理及有效的的流量管理，滿滿足大批量數(shù)數(shù)據(jù)傳輸對帶帶寬的需求，同同時滿足多媒媒體應(yīng)用對不不同類型信息息流和不同服服務(wù)質(zhì)量的需需求。 采用千千兆以太網(wǎng)技技術(shù)可以提供供極高的網(wǎng)絡(luò)絡(luò)主干帶寬，并并融合傳統(tǒng)的的以太網(wǎng)技術(shù)術(shù)和交換技術(shù)術(shù)，給終端用用戶提供滿足足應(yīng)用需求的的帶寬。雖然然在帶寬上滿滿足終端用戶戶的需

43、求，但但在網(wǎng)絡(luò)的流流量管理上和和服務(wù)質(zhì)量上上不及ATMM。 企業(yè)局局域網(wǎng)絡(luò)還可可以采用第三三層或第四層層交換技術(shù)，以以滿足網(wǎng)絡(luò)主主干在性能上上的需求。 (3)企業(yè)園園區(qū)樓宇網(wǎng)絡(luò)絡(luò)設(shè)計企業(yè)園區(qū)樓宇設(shè)設(shè)計必須基于于建筑物內(nèi)已已有的或者可可能設(shè)置的布布線結(jié)構(gòu)進(jìn)行行設(shè)計，同時時要考慮每個個樓宇內(nèi)信息息資源中心的的設(shè)置，局域域網(wǎng)之間的數(shù)數(shù)據(jù)通信類型型和可能通信信量，局域網(wǎng)網(wǎng)之間需要設(shè)設(shè)置的安全訪訪問控制策略略，確定網(wǎng)絡(luò)絡(luò)互連模式和和結(jié)構(gòu)。樓宇宇內(nèi)設(shè)計采用用路由互連技技術(shù)、ATMM交換互連網(wǎng)網(wǎng)技術(shù)和虛擬擬局域網(wǎng)組網(wǎng)網(wǎng)技術(shù)。樓宇網(wǎng)絡(luò)設(shè)計需需要考慮如下下問題：樓宇內(nèi)部如果沒沒有干擾，而而且傳輸距離離在100米

44、米之內(nèi)，一般般采用雙絞線線作為網(wǎng)絡(luò)的的傳輸媒體。如如果樓宇內(nèi)部部有電磁干擾擾，可以采用用光纖作為傳傳輸媒體。如如果樓宇內(nèi)部部的傳輸距離離大于1000米，可以采采用互連設(shè)備備的級聯(lián)，也也可以采用光光纖作為傳輸輸媒體。在采用同一局域域網(wǎng)技術(shù)的工工作組網(wǎng)絡(luò)互互連時，如果果可以共享帶帶寬，而且無無安全控制需需要，只是由由于工作組網(wǎng)網(wǎng)絡(luò)覆蓋的距距離不夠，則則可以采用級級聯(lián)集線器的的方式擴展網(wǎng)網(wǎng)絡(luò)。在采用同一種局局域網(wǎng)技術(shù)的的工作組網(wǎng)絡(luò)絡(luò)互連時，如如果各個工作作組需要獨立立的傳輸帶寬寬，則通過局局域網(wǎng)交換機機連接。采用不同局域網(wǎng)網(wǎng)技術(shù)的工作作組網(wǎng)絡(luò)互連連時，如果互互連的工作組組網(wǎng)絡(luò)較少，各各個工作組之之間

45、無需提供供安全訪問控控制，而且，各各個工作組網(wǎng)網(wǎng)絡(luò)之間需要要提供快速連連接，則采用用支持多種局局域網(wǎng)接口的的交換機。采用不同的局域域網(wǎng)技術(shù)的工工作組網(wǎng)絡(luò)互互連時，如果果互連的工作作組網(wǎng)絡(luò)數(shù)量量較多，各個個工作組網(wǎng)絡(luò)絡(luò)內(nèi)部有較大大的廣播報文文，或工作組組網(wǎng)絡(luò)之間需需要有較為嚴(yán)嚴(yán)格的安全訪訪問控制，且且在工作組之之間沒有多媒媒體應(yīng)用，則則采用路由器器互連各個工工作組網(wǎng)絡(luò)。如果工作組站點點的地理分布布，與其它工工作組網(wǎng)絡(luò)站站點地理分布布重復(fù)，則需需要在同一地地理區(qū)域采用用同一局域網(wǎng)網(wǎng)交換機連接接不同工作組組網(wǎng)絡(luò)站點，通通過交換機構(gòu)構(gòu)成符合工作作組劃分的虛虛擬網(wǎng)絡(luò)。對于具有多媒體體應(yīng)用的點到到點站點網(wǎng)

46、絡(luò)絡(luò)服務(wù)質(zhì)量保保證的傳輸信信道，采用AATM技術(shù)，到到桌面采用225M ATM連連接。服務(wù)器設(shè)備接入入：采用光纖纖155M ATM接入或或光纖1000M以太網(wǎng)接接入。重點終終端用戶采用用光纖接入核核心交換機，實實現(xiàn)安全傳輸輸。 (4)企業(yè)園園區(qū)虛擬局域域網(wǎng) 網(wǎng)絡(luò)廠廠商相繼開發(fā)發(fā)了“開放”互聯(lián)技術(shù)VTTP(VLAAN Truunkingg Prottocol)，支持的標(biāo)標(biāo)準(zhǔn)是ISLL、802.1Q，MPPLS。ATTM交換機和和局域網(wǎng)交換換機為虛擬局局域網(wǎng)提供了了基礎(chǔ)平臺。虛虛擬局域網(wǎng)為為企業(yè)局域網(wǎng)網(wǎng)絡(luò)帶來的三三個好處是：在最大限度地減減少對路由器器依賴的基礎(chǔ)礎(chǔ)上，有效地地控制局域網(wǎng)網(wǎng)內(nèi)的廣播流

47、量，提提高站點的傳傳輸效率。減少由于網(wǎng)絡(luò)站站點的增加、移動和更改改而增加的網(wǎng)網(wǎng)絡(luò)維護(hù)成本本。業(yè)務(wù)部門工作組組的邏輯組合合更為靈活。 在VLLAN的劃分分中，都與“群組”這個概念有有關(guān)。群組是是指局域網(wǎng)交交換機的一個個集合。每個個交換機支持持的群組數(shù)目目有一定的限限制。因此，在在網(wǎng)絡(luò)規(guī)劃時時，必須考慮慮業(yè)務(wù)部門邏邏輯工作組的的數(shù)量，并選選擇相應(yīng)的交交換機型號，使使得交換機的的VLAN數(shù)數(shù)量和處理性性能滿足業(yè)務(wù)務(wù)應(yīng)用需要。一一個群組可以以包括全網(wǎng)中中不同交換機機的端口，每每個群組可以以看作是一個個獨立的通信信域。如果不不使用路由功功能，則一個個群組中的通通信量不能轉(zhuǎn)轉(zhuǎn)發(fā)到另一個個群組中，群群組的特

48、征如如下： (11)一個群組組是一個廣播播域； (22)一個群組組是交換機物物理端口的集集合； (33)群組可以以跨越多個交交換機； (44)群組不能能相互重疊，即即每個端口只只能屬于一個個群組； (55)群組之間間的幀可以通通過路由轉(zhuǎn)發(fā)發(fā)； (66)同一群組組中不同的VVLAN的幀幀也可以通過過路由轉(zhuǎn)發(fā)。 群組的概概念實際上是是基于以端口口為基礎(chǔ)的VVLAN。還還有其它類型型的VLANN劃分： (1)基于MMAC地址的的VLAN劃劃分，這種VVLAN劃分分方法靈活，但但管理復(fù)雜； (2)基于協(xié)協(xié)議規(guī)則的VVLAN劃分分，把具有相相同的第三層層協(xié)議網(wǎng)絡(luò)站站點歸并成一一個VLANN。這些站點連接

49、的的交換機端口口構(gòu)成一個廣廣播域，以減減少在同一網(wǎng)網(wǎng)絡(luò)環(huán)境下不不同協(xié)議棧之之間的相互干干擾。選擇不不同的協(xié)議類類型構(gòu)成不同同的VLANN：1、所有IP協(xié)協(xié)議流量；22、所有IPXX協(xié)議流量；3、所有DECCnet協(xié)議流流量；所有AAppleTTtalk流流量；4、所有指定以以太類型的流流量；5、所有攜帶指指定源點和目目的點SAPP（服務(wù)訪問問點）報頭的的流量；6、所有攜帶指指定SNAPP（子網(wǎng)訪問問協(xié)議）類型型的流量。 (3)基于網(wǎng)絡(luò)地地址的VLAAN。 用IPP地址和IPP網(wǎng)絡(luò)掩碼劃劃分網(wǎng)段。 (4)基于用戶定定義規(guī)則的VVLAN。企 業(yè) 網(wǎng) 絡(luò)絡(luò) 與 外 網(wǎng) 連 接接企業(yè)網(wǎng)絡(luò)與外網(wǎng)網(wǎng)的連接

50、發(fā)生生在企業(yè)網(wǎng)絡(luò)絡(luò)的各個層次次上，其中包括Interrnet接入入等。我們稱稱企業(yè)內(nèi)部網(wǎng)網(wǎng)為內(nèi)網(wǎng)，企企業(yè)外部網(wǎng)為為外網(wǎng)。顯然然，內(nèi)網(wǎng)和外外網(wǎng)間加裝防防火墻。通常，內(nèi)網(wǎng)和外外網(wǎng)間采用靜靜態(tài)路由或缺缺省路由。內(nèi)內(nèi)網(wǎng)和外網(wǎng)的的信息訪問通通過防火墻進(jìn)進(jìn)行過濾。內(nèi)網(wǎng)和外網(wǎng)的連連接如下圖所所示：企 業(yè) 網(wǎng) 絡(luò)絡(luò) 安 全 訪 問 控控 制 機 制7.1企業(yè)安全全系統(tǒng)的設(shè)計計目標(biāo)是：（1）防范黑客客攻擊、計算算機犯罪和有有害信息傳播播（包括計算算機病毒）（2）加強應(yīng)用用和數(shù)據(jù)的安安全建立安全管理制制度，注意內(nèi)內(nèi)外兼防，重重點在內(nèi)部 7.2安全框框架安全方案的科學(xué)學(xué)性、可行性性是其順利實實施的保障。安全方案必須

51、架架構(gòu)在科學(xué)的的安全框架之之上。安全框框架是安全方方案設(shè)計和分分析的基礎(chǔ)。美國國防部DIISSP（DDefensse Widde Infformattion SSystemm Secuurity Progrram）計劃劃中提出的三三維安全框架架結(jié)構(gòu)，是事事實上的標(biāo)準(zhǔn)準(zhǔn)，反映了信信息系統(tǒng)的安安全需求和體體系結(jié)構(gòu)的共共性。其簡化化的版本說明明如下（安全全框架是一個個三維結(jié)構(gòu)）： 第一維（軸）是安全全特性，給出出了七種安全全屬性；第二維（軸）是是系統(tǒng)單元，給給出了信息網(wǎng)網(wǎng)絡(luò)系統(tǒng)的組組成 ；第三維（軸）是是結(jié)構(gòu)層次，給給出了國際標(biāo)標(biāo)準(zhǔn)化組織IISO的開放放系統(tǒng)互連（ISSO）模型。網(wǎng)絡(luò)平臺系統(tǒng)平臺應(yīng)用

52、平臺安全管理物理環(huán)境數(shù)據(jù)完整網(wǎng)絡(luò)平臺系統(tǒng)平臺應(yīng)用平臺安全管理物理環(huán)境數(shù)據(jù)完整結(jié)構(gòu)層次身份鑒別訪問控制數(shù)據(jù)保密不可抵賴審計管理可用性、可靠性應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層安全特性系統(tǒng)單元7.3安全方案案的制訂根據(jù)安全框架架制訂安全方方案的具體思思路如下：確定安全方案涉涉及的系統(tǒng)單單元，明確安安全方案系統(tǒng)統(tǒng)單元；確定安全方案系系統(tǒng)單元在各各個層次結(jié)構(gòu)構(gòu)的安全特性性。安全方案的組成成如下：網(wǎng)絡(luò)平臺安全方方案系統(tǒng)平臺安全方方案應(yīng)用平臺安全方方案物理環(huán)境安全安全管理方案7.4網(wǎng)絡(luò)平臺臺安全方案7.4.1網(wǎng)絡(luò)絡(luò)系統(tǒng)方案功功能要點 1)訪問問控制。通過過對特定網(wǎng)段段、服務(wù)建立立的訪問控制制體系，

53、將絕絕大多數(shù)攻擊擊阻止在到達(dá)達(dá)攻擊目標(biāo)之之前。檢查安全漏洞。通通過對安全漏漏洞的周期檢檢查，即使攻攻擊可到達(dá)攻攻擊目標(biāo)，也也可使絕大多多數(shù)攻擊無效效。攻擊監(jiān)控。通過過對特定網(wǎng)段段、服務(wù)建立立的攻擊監(jiān)控控體系，可實實時檢測出絕絕大多數(shù)攻擊擊，并采取相相應(yīng)的行動（如如斷開網(wǎng)絡(luò)連連接、記錄攻攻擊過程、跟跟蹤攻擊源等等）。 2)加加密通訊。主主動的加密通通訊，可使攻攻擊者不能了了解、修改敏敏感信息。 3)認(rèn)認(rèn)證。良好的的認(rèn)證體系可可防止攻擊者者假冒合法用用戶。 4)備備份和恢復(fù)。良良好的備份和和恢復(fù)機制，可可在攻擊造成成損失時，及及時地恢復(fù)數(shù)數(shù)據(jù)和系統(tǒng)服服務(wù)。 5)多多層防御。攻攻擊者在突破破第一道防

54、線線后，延緩或或阻斷其到達(dá)達(dá)攻擊目標(biāo)。 6)隱隱藏內(nèi)部信息息。使攻擊者者不能了解系系統(tǒng)內(nèi)的基本本情況。 7)設(shè)設(shè)立安全管理理機構(gòu)。為信信息系統(tǒng)提供供安全體系管管理、監(jiān)控、保保護(hù)及緊急情情況服務(wù)。7.4.2網(wǎng)絡(luò)絡(luò)平臺安全措措施網(wǎng)絡(luò)平臺的安全全措施應(yīng)涉及及局域網(wǎng)、廣廣域網(wǎng)、互連連網(wǎng)、防病毒毒和防黑客共共五個方面。1局域網(wǎng)的安安全措施由于局域網(wǎng)中采采用廣播方式式，因此，本本廣播域的信信息傳遞都會會暴露在黑客客面前?？刹刹扇∠铝写胧┦┨岣甙踩孕裕海?）網(wǎng)絡(luò)分段段網(wǎng)絡(luò)分段是保證證安全的一項項重要措施，將將非法用戶與與網(wǎng)絡(luò)資源相相互隔離，從從而達(dá)到限制制用戶非法訪訪問的目的。網(wǎng)絡(luò)分段可分為為物理分段和和

55、邏輯分段兩兩種方式：物理分段通常是是指將網(wǎng)絡(luò)從從物理層和數(shù)數(shù)據(jù)鏈路層上上分為若干網(wǎng)網(wǎng)段，使各網(wǎng)網(wǎng)段相互間無無法進(jìn)行直接接通訊。邏輯輯分段則是指指將整個系統(tǒng)統(tǒng)在網(wǎng)絡(luò)層上上進(jìn)行分段。把把網(wǎng)絡(luò)分成若若干IP子網(wǎng)網(wǎng)，各子網(wǎng)間間必須通過路路由器、路由由交換機、網(wǎng)網(wǎng)關(guān)或防火墻墻等設(shè)備進(jìn)行行連接，利用用這些中間設(shè)設(shè)備（含軟件件、硬件）的的安全機制來來控制各子網(wǎng)網(wǎng)間的訪問。（2）VLANN技術(shù)虛擬網(wǎng)技術(shù)主要要基于局域網(wǎng)網(wǎng)交換技術(shù)（AATM和以太太網(wǎng)交換）。交交換技術(shù)將傳傳統(tǒng)的基于廣廣播的局域網(wǎng)網(wǎng)技術(shù)發(fā)展為為面向連接的的技術(shù)。網(wǎng)管管系統(tǒng)有能力力限制局域網(wǎng)網(wǎng)通訊的范圍圍而無需通過過開銷很大的的路由器。采用應(yīng)用交換

56、器器和VLANN技術(shù)，可將將廣播轉(zhuǎn)變?yōu)闉辄c到點通訊訊，從而防止止大部分基于于網(wǎng)絡(luò)監(jiān)聽的的入侵手段。通過虛擬網(wǎng)設(shè)置置的訪問控制制，也可使在在虛擬網(wǎng)外的的網(wǎng)絡(luò)節(jié)點不不能直接訪問問虛擬網(wǎng)內(nèi)節(jié)節(jié)點。2廣域網(wǎng)安全全措施廣域網(wǎng)采用公網(wǎng)網(wǎng)傳輸數(shù)據(jù)，在在廣域網(wǎng)上傳傳輸?shù)男畔⒖煽赡軙徊环ǚǚ肿咏厝?。因因此在廣域網(wǎng)網(wǎng)上發(fā)送和接接收信息時要要保證：（1）除了發(fā)送送方和接收方方外，其他人人是不可知悉悉的（隱私性性）；（2）傳輸過程程中不被篡改改（真實性）；（3）發(fā)送方能能確信接收方方不會是假冒冒的（非偽裝裝性）；（4）發(fā)送方不不能否認(rèn)自己己的發(fā)送行為為（非否認(rèn)）。有效的方法是對對傳輸?shù)男畔⑾⑦M(jìn)行加密，采采用數(shù)據(jù)簽名

57、名和認(rèn)證技術(shù)術(shù)加密技術(shù)數(shù)據(jù)加密技術(shù)分分為三類，即即對稱型加密密、不對稱型型加密和不可可逆加密。對稱型加密使用用單個密鑰對對數(shù)據(jù)進(jìn)行加加密或解密，其其特點是計算算量小、加密密效率高。但但是此類算法法在分布式系系統(tǒng)上使用較較為困難。不對稱型加密算算法也稱公用用密鑰算法，其其特點是有二二個密鑰，只只有二者搭配配使用才能完完成加密和解解密的全過程程。適用于分分布式系統(tǒng)中中的數(shù)據(jù)加密密，在Intternett中得到了廣廣泛應(yīng)用。不對稱加密的另另一用法稱為為“數(shù)字簽名”（digittal siignatuure）。在在網(wǎng)絡(luò)系統(tǒng)中中應(yīng)用的不對對稱加密算法法有RSA算算法和DSAA算法（Diigitall S

58、ignnaturee Algoorithmm）。不可逆加密算法法的特征是加加密過程不需需要密鑰，不不可逆加密算算法不存在密密鑰保管和分分發(fā)問題，但但是其加密計計算工作量相相當(dāng)可觀，所所以通常用于于數(shù)據(jù)量有限限的情形下的的加密，例如如計算機系統(tǒng)統(tǒng)中的口令就就是利用不可可逆算法加密密的。數(shù)字簽名和認(rèn)證證技術(shù)認(rèn)證技術(shù)主要解解決網(wǎng)絡(luò)通訊訊過程中通訊訊雙方身份的的認(rèn)可，數(shù)字字簽名作為身身份認(rèn)證技術(shù)術(shù)中的一種具具體技術(shù)，同同時數(shù)字簽名名還可用于通通信過程中的的不可抵賴要要求的實現(xiàn)。認(rèn)證過程通常涉涉及到加密和和密鑰交換。通通常，加密可可使用對稱加加密、不對稱稱加密及兩種種加密方法的的混合。數(shù)字簽名作為驗驗證

59、發(fā)送者身身份和消息完完整性的根據(jù)據(jù)。公共密鑰鑰系統(tǒng)（如RRSA）基于于私有/公共共密鑰對，作作為驗證發(fā)送送者身份和消消息完整性的的根據(jù)。CAA使用私有密密鑰計算其數(shù)數(shù)字簽名，利利用CA提供供的公共密鑰鑰，任何人均均可驗證簽名名的真實性。偽偽造數(shù)字簽名名從計算能力力上是不可行行的。并且，如如果消息隨數(shù)數(shù)字簽名一同同發(fā)送，對消消息的任何修修改在驗證數(shù)數(shù)字簽名時都都將會被發(fā)現(xiàn)現(xiàn)。（5）遠(yuǎn)程訪問問的安全性從外部撥號訪問問內(nèi)部局域網(wǎng)網(wǎng)的用戶，由由于使用公用用電話網(wǎng)進(jìn)行行數(shù)據(jù)傳輸，必必須嚴(yán)格控制制其安全性。首先，應(yīng)嚴(yán)格限限制撥號上網(wǎng)網(wǎng)用戶所能訪訪問的系統(tǒng)信信息和資源，這這一功能可通通過在撥號訪訪問服務(wù)器后

60、后設(shè)置的防火火墻來實現(xiàn)。其次， 應(yīng)加強強對撥號用戶戶的身份驗證證功能，使用用TACACCS+、RAADIUS等等專用身份驗驗證協(xié)議和服服務(wù)器。一方方面，可以實實現(xiàn)對撥號用用戶帳號的統(tǒng)統(tǒng)一管理；另另一方面，在在身份驗證過過程中采用PPGP加密手手段，避免用用戶口令泄露露的可能性。第三，在數(shù)據(jù)傳傳輸過程中采采用加密技術(shù)術(shù)，防止數(shù)據(jù)據(jù)被非法竊取取。一種方法法是使用PGGP,對數(shù)據(jù)直接接加密。另一一種方法是采采用防火墻所所提供的VPPN（虛擬專專網(wǎng)）技術(shù)。VVPN在提供供網(wǎng)間數(shù)據(jù)加加密的同時，也也提供了針對對單機用戶的的加密客戶端端軟件，即采采用軟件加密密的技術(shù)來保保證數(shù)據(jù)傳輸輸?shù)陌踩浴?互連網(wǎng)的安