計算機網(wǎng)絡系統(tǒng)概述前景信息時代的來臨，使得智能化大樓越來越受到歡迎?？梢哉f，網(wǎng)絡不僅是大樓傳播信息的工具，也是提高辦公效率的有效手段。無線網(wǎng)絡其移動性、便利性和靈活性等特點，更是得以在大樓中大顯身手。網(wǎng)絡一方面提升了現(xiàn)代化大樓的服務與管理水平。同時，也為大樓經(jīng)營者帶來了相應的利益。建設的目標與規(guī)模設計方案的目標是通過計算機網(wǎng)絡軟件、硬件設備和相關的技術服務，建立服務中心大樓的計算機網(wǎng)絡系統(tǒng)（內(nèi)外網(wǎng)）。服務中心大樓局域網(wǎng)網(wǎng)絡系統(tǒng)建設主要包括如下幾個方面內(nèi)容：服務中心大樓主機房安裝一臺主干交換機，主干交換機配有多個多模光纖千兆端口（根據(jù)用戶需要），連接下面二級交換機；服務中心大樓共可有多個分設備間，根據(jù)用戶需求來設定。網(wǎng)絡設計思想先進性以先進、成熟的網(wǎng)絡通信技術進行組網(wǎng)，所選擇的設備應該是先進的產(chǎn)品，支持目前所有主流的技術，同時應該能夠非常容易的升級，為以后的擴展提供良好的支持。標準化和開放性網(wǎng)絡協(xié)議采用符合ISO及其他標準，如：IEEE、ITUT、ANSI等制定的協(xié)議，采用遵從國際和國家標準的網(wǎng)絡設備?？煽啃院涂捎眯赃x用高可靠的產(chǎn)品和技術，充分考慮系統(tǒng)在程序運行時的應變能力和容錯能力，確保整個系統(tǒng)的安全與可靠。實用性和經(jīng)濟性網(wǎng)絡的性能網(wǎng)絡立足現(xiàn)狀，從實用性和經(jīng)濟性出發(fā)，著眼于近期目標和長期的發(fā)展，充分利用有限的投資，適度超前，在保證網(wǎng)絡先進性的前提下，選用性能價格比最好的設備。安全性計算機網(wǎng)絡系統(tǒng)用戶量大，網(wǎng)絡使用頻繁，需要確保網(wǎng)絡的安全，只有經(jīng)過授權的訪問才是允許的。管理性局域網(wǎng)可管理，能夠支持標準的網(wǎng)絡管理協(xié)議，同時通過開放的網(wǎng)絡管理平臺，對全網(wǎng)設備進行管理。網(wǎng)絡技術分析以太網(wǎng)技術以太網(wǎng)技術的發(fā)展以太網(wǎng)是當前局域網(wǎng)絡中使用最普遍的網(wǎng)絡技術，也是目前聯(lián)網(wǎng)成本最低、技術發(fā)展最為迅猛的網(wǎng)絡技術。1998年9月，頒布了千兆以太網(wǎng)標準，而傳輸速度更快的10Gbps以太網(wǎng)也在實驗室中試驗成功。迄今，以太網(wǎng)技術已經(jīng)發(fā)展為以太、快速以太、千兆以太、交換以太等幾種，下面分別予以簡述。以太網(wǎng)以太網(wǎng)的傳輸速度為10Mbps，所使用的傳輸介質(zhì)有：粗同軸電纜、細同軸電纜、非屏蔽雙絞線。以太網(wǎng)以連接簡便、成本低廉的特點，迅速占領了早期的計算機局域網(wǎng)絡市場?？焖僖蕴W(wǎng)快速以太網(wǎng)標準頒布于1993年，其傳輸速度為100Mbps，所使用的傳輸介質(zhì)為非屏蔽雙絞線或光纖，其中非屏蔽雙絞線的傳輸距離為100米，多模光纖的傳輸距離為2公里?？焖僖蕴W(wǎng)采用星形布線，成本低廉、結(jié)構(gòu)簡單、故障率較低，它沿用以太網(wǎng)的幀格式，可以從以太網(wǎng)進行無縫升級且可與以太網(wǎng)混合使用，有效地保護了以太網(wǎng)用戶原有的投資。在1993年之后，快速以太網(wǎng)逐漸取代FDDI，成為局域網(wǎng)絡主干的主流產(chǎn)品。千兆以太網(wǎng)1998年9月千兆以太網(wǎng)標準IEEE802.3z頒布，其傳輸速度為1000Mbps，所使用的傳輸介質(zhì)及傳輸距離如下：62.5微米多模光纖260米--440米50微米多模光纖550米單模光纖傳輸達3公里以上，在有的環(huán)境中甚至可達幾十公里千兆以太網(wǎng)與快速以太網(wǎng)的特點相同，成本相對較低，也沿用了以太網(wǎng)幀格式，可以與快速以太網(wǎng)及以太網(wǎng)很好地融合。在千兆以太網(wǎng)標準頒布后，它取代ATM技術，成為局域網(wǎng)主干的首選技術。以太網(wǎng)交換技術交換技術是當今以太網(wǎng)技術的又一重要組成部分，它改變了原來以太網(wǎng)共享信道帶寬的狀況，使每個網(wǎng)口可以獨占帶寬。使用交換技術，不僅可以有效地提高以太網(wǎng)的帶寬，而且許多以太網(wǎng)中的新技術都是建立于交換技術基礎之上的，這些技術主要有：10M/100M/1000M自適應全雙工傳輸虛擬網(wǎng)絡(VLAN)技術第三層交換及高層交換SpanningTree技術虛擬網(wǎng)（VLAN）技術計算機局域網(wǎng)正在從傳統(tǒng)的基于集線器和路由器的結(jié)構(gòu)，轉(zhuǎn)向基于第三層路由交換機的結(jié)構(gòu)。傳統(tǒng)的局域網(wǎng)使用的共享式HUB對MAC地址不加分析地向所有端口傳播導致有效的帶寬被浪費，從而限制了用集線器組網(wǎng)時一個網(wǎng)段上的站點數(shù)。另外，傳統(tǒng)的以太網(wǎng)是面向非連接的，這樣一個網(wǎng)段必然有大量的廣播信息要傳輸，當廣播信息大到一定程度時交換機的效率必然降低。交換機上的虛擬局域網(wǎng)（VLAN）技術的出現(xiàn)，將交換機的端口劃分為不同的虛擬網(wǎng)段，因此可將廣播信息限制在不同的虛擬局限網(wǎng)內(nèi)，從而提高了網(wǎng)絡的傳輸效率。VLAN的劃分可以跨越快速以太網(wǎng)，千兆以太網(wǎng)ATM等骨干網(wǎng)而實現(xiàn)，劃分的方式所基于交換機端口、工作站的MAC地址，第三層協(xié)議類型和網(wǎng)絡地址、多些廣播方式、策略來完成?；诙嘀窂V播方式劃分VLAN特別適合于開展視頻會議。VLAN的出現(xiàn)為網(wǎng)絡設計、擴展、變動提供了很大靈活性，主要特點有：提高網(wǎng)絡組網(wǎng)的靈活性。處于不同物理位置的工作站可根據(jù)其應用需求劃分到同一個虛擬網(wǎng)中，從邏輯上把應用主體有機的統(tǒng)一。方便網(wǎng)絡中工作站的增減、移動等變化。在傳統(tǒng)網(wǎng)絡中，一個工作站從一個網(wǎng)段移到另一個網(wǎng)段時，用戶需要對站點的IP地址、缺省網(wǎng)關進行重新配置后才能上網(wǎng)。如果采用基于MAC地址的VLAN劃分技術，用戶作任何個性后可在網(wǎng)上的任意位置上網(wǎng)。提高網(wǎng)絡的安全性基于HUB的網(wǎng)絡，如果利用一臺PC裝上協(xié)議分析軟件，連接到HUB上就可以攔截該網(wǎng)段的所有數(shù)據(jù)。如果采用交換機并對VLAN內(nèi)的數(shù)據(jù)，從而有效的提高了網(wǎng)絡的安全性。提高網(wǎng)絡的響應速度。將服務器劃分到各個VLAN后，各VLAN的站點可直接訪問服務器，提高了網(wǎng)絡的響應速度。第三層交換及多層交換第二層交換在共享介質(zhì)LAN中消除瓶頸方面取得的巨大的成功，它在易用性、性能價格比等方面較其它技術都明顯的優(yōu)勢，但它有以下兩個方面的局限：第二層交換只有本地不含路由器的工作組中取得性能的提高，而在工作組之間，通過路由器的端到端的性能，會因路由器阻塞而顯著下降。第二層交換對基于網(wǎng)段所遭受的廣播風暴束手無策，且缺乏安全性。第三層交換結(jié)合了第二層交換和第三層路由的功能，可以不將廣播填充包擴散，直接利用動態(tài)建立的MAC地址來通信并能獲取第三層IP地址，ARP等信息，具有多路廣播和虛擬網(wǎng)間基于IP、IPX等協(xié)議的路由功能。第三層交換將傳統(tǒng)的由軟件處理的指令加入專用集成電路（ASIC）芯片中，從而加速了對包的轉(zhuǎn)發(fā)和過濾，使設高速下的線性路由和Qos服務質(zhì)量都有可靠的保證，第三層交換技術解決了工作組間的瓶頸問題，用戶在工作組間獲高100－1000Mb/s的速率，同時維持了網(wǎng)絡整體流量等及負載的均衡。大部分的局域骨干網(wǎng)都是建立在傳統(tǒng)路由器基礎上的，這些路由器過去IT部門設備陣容中最貴和功能最強的網(wǎng)絡設備。但是，曾經(jīng)功能強大的路由器的數(shù)據(jù)通訊能力并不強大，這些桌面和服務器系統(tǒng)運行所產(chǎn)生的網(wǎng)絡層交換程序的數(shù)據(jù)足以充滯網(wǎng)絡中心。傳統(tǒng)的路由器從來就不是為了處理如此大量的(甚至是不可預測的)業(yè)務量，而且同時還要施實如此諸多策略和控制決定而設計的。局域網(wǎng)演進的下一步就是構(gòu)成一種比傳統(tǒng)路由器工作效率大得高的平臺。當網(wǎng)絡核心成為多種技術，多種用戶團體和大量數(shù)據(jù)匯集的一個集合中心時，這種新型平臺提供IT經(jīng)理們所需的容量和控制能力。在新型局域網(wǎng)中，傳統(tǒng)路由器變得更加專業(yè)化。它向WAN移動，使其WAN的配置能力得到較好的利用，而且其性能限制不會降低局域網(wǎng)的速度。LAN的容量和控制能力現(xiàn)在已可以由第三層高性能交換平臺替代。第三層交換機可以用作主干局域網(wǎng)路由設備來提供第三層的轉(zhuǎn)發(fā)功能，從而取代局域網(wǎng)中的傳統(tǒng)路由器，同樣地，它也可以作為接入千兆以太網(wǎng)或ATM網(wǎng)的邊緣設備。優(yōu)先級服務（Cos）和質(zhì)量服務(Qos)以太網(wǎng)的優(yōu)先級服務（Cos）和服務質(zhì)量(Qos)保證相關協(xié)議，如IEEE802.1P，IEEE802.1Q，IEEE802.3X，IEEE802.3AB和資源預留協(xié)議（RSVP）等關鍵協(xié)議保證了網(wǎng)絡上對傳輸要求比較高應用的正常使用，優(yōu)化了網(wǎng)絡的性能。IEEE802.1P使得以太網(wǎng)能夠及時響應獨立端點主機對網(wǎng)絡發(fā)出的某個QoS（服務質(zhì)量）請求，該標準界定了組播（Multicast）分組管理。IEEE802.1P還包括了最新定義的通用分配注冊協(xié)議（GARP），它專用于GARP的特定應用，如GARP組播注冊協(xié)議（GMRP），GARPWAN注冊協(xié)議（GVRP），GMRP為組播MAC地址分組提供了注冊服務。從而保證以太網(wǎng)上的多媒體應用需求。IEEE802.1Q已建立起了基于標準的VLANs，該標準以幀標簽機制為基礎，適合于以太網(wǎng)，快速以太網(wǎng)，令牌環(huán)和FDDI，也為交換機和路由器提供一種使VLAM標簽化的方法。保證了多廠商的VLAN兼容性，GVRP已由IEEE802.1Q支持，它提供了VLAN成員的注冊服務。IEEE802.3X是以太網(wǎng)的一種流控機制。當客戶終端向服務器發(fā)出請求后，自身系統(tǒng)或網(wǎng)絡產(chǎn)生擁塞環(huán)境中，它會向服務器發(fā)出一種暫停幀，以延緩服務器的數(shù)據(jù)傳輸。千兆比特設備對該機制的支持，補充了千兆比以太網(wǎng)的控制功能。IEEE802.3AB的標準支持在5類非屏蔽雙絞線上,傳輸千兆比以太網(wǎng)。RSVP-資源預留協(xié)議,以太網(wǎng)通過在幀位中標記數(shù)據(jù)流類型，使網(wǎng)絡在傳輸中識別其優(yōu)先級別，以保證高優(yōu)先級的數(shù)據(jù)流優(yōu)先占用帶寬資源，彌補以太網(wǎng)對延時敏感的應用支持的不足。網(wǎng)絡管理網(wǎng)絡管理是計算機網(wǎng)絡建設的一項重要內(nèi)容，它對于網(wǎng)絡的正常運行與維護有著非常重要的意義，網(wǎng)絡越大越復雜，網(wǎng)絡管理系統(tǒng)就越重要。網(wǎng)絡管理系統(tǒng)包括以下幾個方面的內(nèi)容：網(wǎng)絡配置管理通過網(wǎng)管系統(tǒng)對各設備進行配置，同時建立以下數(shù)據(jù)庫以供系統(tǒng)維護之用：主要系統(tǒng)設備的設備數(shù)據(jù)庫(ObjectDataBase)；通信和網(wǎng)絡聯(lián)接拓撲結(jié)構(gòu)數(shù)據(jù)庫(TopologyDataBase)；關鍵路由配置文件數(shù)據(jù)庫；用戶名、電子郵件地址、口令字數(shù)據(jù)庫；初始化網(wǎng)絡設備和結(jié)構(gòu)；配置設備，定義工作方式及參數(shù)；作Download或parameterServer；維護/增加/修改網(wǎng)絡配置；選擇網(wǎng)絡通訊協(xié)議。網(wǎng)絡失效管理通過網(wǎng)絡管理的失效管理功能，輔以其它手段，可以對網(wǎng)絡的故障進行有效的管理。要建立書面和聯(lián)機的工作手冊，一切故障按失效管理程序進行。包括書面記錄、電話報告、Email報告、出錯處理等。具體功能有：確定故障節(jié)點隔離故障節(jié)點重新配置/修改配置更換/修復故障節(jié)點恢復網(wǎng)絡初始狀態(tài)網(wǎng)絡安全管理網(wǎng)絡安全對大樓尤其重要。主要包括網(wǎng)絡設備安全、網(wǎng)絡服務器安全和網(wǎng)絡信息安全。例如：可以將中心節(jié)點的路由器和交換機集中放置在有保安措施的網(wǎng)絡控制室，并在路由器和交換機上做出限制，只允許在控制室從內(nèi)部管理網(wǎng)段的管理主機登錄和配置這些路由器和交換機，并且只允許在授權主機上才能讀取路由器和交換機的狀態(tài)信息，而其余任何主機和用戶均無法侵入路由器系統(tǒng)。網(wǎng)絡性能管理在內(nèi)部網(wǎng)上，對用戶及單位的數(shù)據(jù)流量及流速進行定時采樣記錄，同時記錄各個不同IP地址的通信量。通過分析，可以看到網(wǎng)絡流量的高峰和瓶頸所在，并據(jù)此優(yōu)化網(wǎng)絡性能。通過網(wǎng)絡性能管理，還可以監(jiān)視各用戶IP地址的訪問情況，為以后網(wǎng)絡發(fā)展和安全保障提供依據(jù)。具體的功能有：檢測瓶頸響應時間監(jiān)測網(wǎng)上數(shù)據(jù)分析資源使用情況資源使用控制超量信息控制信息吞吐量控制網(wǎng)絡計費管理大樓網(wǎng)的計費系統(tǒng)是必不可少的，它是網(wǎng)絡管理的重要方面和用戶管理的重要手段?？梢允褂檬袌錾系木W(wǎng)絡計費系統(tǒng)或撥號服務器和網(wǎng)絡設備自帶的計費系統(tǒng)進行計費管理。特別要對撥號用戶進行嚴格的分類記帳管理，以保證服務質(zhì)量，防止非法侵入。用戶可以通過WWW界面方便地了解自己帳號的使用情況。具體的功能有：定義網(wǎng)絡資源計費系統(tǒng)結(jié)構(gòu)定義網(wǎng)絡資源管理系統(tǒng)用戶使用資源控制用戶使用資源進程控制詳細了解資源使用狀況路由協(xié)議RIP路由協(xié)議RIP（RoutingInformationProtocol）是最常使用的內(nèi)部網(wǎng)關協(xié)議(InteriorGatewayProtocol)之一，是一種典型的基于D-V算法的動態(tài)路由協(xié)議。它通過UDP（UserDatagramProtocol）報文交換路由信息，使用跳數(shù)（HopCount）來衡量到達目的地的距離（被稱為路由權－Routingcost）。由于在RIP中大于或等于16的跳數(shù)被定義為無窮大（即目的網(wǎng)絡或主機不可達），所以RIP一般用于采用同類技術的中等規(guī)模的網(wǎng)絡，如校園網(wǎng)及一個地區(qū)范圍內(nèi)的網(wǎng)絡，RIP并非為復雜、大型的網(wǎng)絡而設計。RIP有RIP-1和RIP-2兩個版本，RIP-2支持明文認證和MD5密文認證，并支持可變長子網(wǎng)掩碼。為提高性能，防止產(chǎn)生路由環(huán)，RIP支持水平分割（SplitHorizon）、毒性逆轉(zhuǎn)（PoisonReverse），并采用觸發(fā)更新（TriggeredUpdate）。RIP支持將其它路由協(xié)議發(fā)現(xiàn)的路由信息引入到路由表中。每個運行RIP的路由器管理一個路由數(shù)據(jù)庫，該路由數(shù)據(jù)庫包含了到網(wǎng)絡所有可達目的地的一個路由項，這些路由項包含下列信息：目的地址：主機或網(wǎng)絡的地址。下一跳地址：為到達目的地，本路由器要經(jīng)過的下一個路由器地址。接口：轉(zhuǎn)發(fā)報文的接口。Cost值：本路由器到達目的地的開銷，可取值0～16之間的整數(shù)。定時器：該路由項最后一次被修改的時間。路由標記：區(qū)分該路由為內(nèi)部路由協(xié)議路由還是外部路由協(xié)議路由的標記。RIP啟動和運行的整個過程可描述如下：某路由器剛啟動RIP時，以廣播形式向其相鄰路由器發(fā)送請求報文，相鄰路由器收到請求報文后，響應該請求，并回送包含本地路由信息的響應報文。路由器收到響應報文后，修改本地路由表，同時向相鄰路由器發(fā)送觸發(fā)修改報文，廣播路由修改信息。相鄰路由器收到觸發(fā)修改報文后，又向其各自的相鄰路由器發(fā)送觸發(fā)修改報文。在一連串的觸發(fā)修改廣播后，各路由器都能得到并保持最新的路由信息。同時，RIP每隔30秒向其相鄰路由器廣播本地路由表，相鄰路由器在收到報文后，對本地路由進行維護，選擇一條最佳路由，再向其各自相鄰網(wǎng)絡廣播修改信息，使更新的路由最終能達到全局有效。同時，RIP采用超時機制對過時的路由進行超時處理，以保證路由的實時性和有效性。RIP作為IGP協(xié)議的一種，正是通過這些機制，使路由器能夠了解到整個網(wǎng)絡的路由信息。雖然RIP目前已被大多數(shù)路由器廠商所廣泛使用，但它還是有較大的局限性：支持站點的數(shù)量有限：這就使得RIP只適用于較小的自治系統(tǒng)，如只用于大多數(shù)校園網(wǎng)及結(jié)構(gòu)較簡單的連續(xù)性強的地區(qū)性網(wǎng)絡。依靠固定度量計算路由：RIP不能自動更新度量值來適應網(wǎng)絡發(fā)生的變化，在人為更新之前，由網(wǎng)絡管理員定義的度量值仍是固定不變的。路由表更新信息將占用較大的網(wǎng)絡帶寬：RIP每30秒就向外廣播發(fā)送路由更新信息。在有許多節(jié)點的網(wǎng)絡中，這樣將消耗相當大的網(wǎng)絡帶寬。OSPF路由協(xié)議80年代中期，由于RIP路由協(xié)議越來越不適應大規(guī)模異構(gòu)網(wǎng)絡互連。OSPF作為IETF（網(wǎng)間工程任務組織）為IP網(wǎng)絡開發(fā)的一種IGP（內(nèi)部網(wǎng)關協(xié)議）協(xié)議，克服了RIP路由協(xié)議的缺點，并采用SPF（ShortestPathFirst）算法。OSPF是一種基于鏈路狀態(tài)的動態(tài)路由協(xié)議，協(xié)議的基本思路如下：在自治系統(tǒng)（AS）中每一臺運行OSPF的路由器收集各自的接口/鄰接信息稱為鏈路狀態(tài)，通過Flooding算法在整個系統(tǒng)廣播自己的鏈路狀態(tài)，使得在整個系統(tǒng)內(nèi)部維護一個同步的鏈路狀態(tài)數(shù)據(jù)庫，根據(jù)這一數(shù)據(jù)庫，路由器計算出以自己為根，其它網(wǎng)絡節(jié)點為葉的一根最短的路徑樹，從而計算出自己到達系統(tǒng)內(nèi)部各可定的最佳路由。OSPF是一種內(nèi)部網(wǎng)關協(xié)議（InteriorGatewayProtocol，IGP），它處理在一個自治系統(tǒng)中路由器的網(wǎng)絡路由信息。OSPF路由協(xié)議有如下特點：同域內(nèi)路由器共享相同的拓撲信息：每臺路由器向同域（Area）的所有其它路由器發(fā)送鏈路狀態(tài)廣播（LSA）信息。路由器收集有關的鏈路狀態(tài)信息，并根據(jù)SPF的算法計算出到每個結(jié)點的最短路徑。路由選擇的分級：OSPF可在一個域（Area）內(nèi)進行路由選擇。域的最大集合是自治域（AS）。AS是共享同一路由選擇策略的網(wǎng)絡集合。一個自治域AS可分為多個域（Area），域是由相鄰的網(wǎng)絡和連接的主機組成。根據(jù)源點和目的地是否在同一域內(nèi)，OSPF有兩種類型的路由選擇方式：當源點和目的在同一區(qū)域時，采用域內(nèi)路由選擇當源點和目的不在同區(qū)域時，采用域間路由選擇由于有域的概念，OSPF路由協(xié)議比那些不將AS分區(qū)的情況下所需傳送的路由信息少得多。收斂性：OSPF使用泛洪（flooding）技術在一個新的路由區(qū)域中更新鄰居路由器。只有受影響的路由才被更新，而且由于進行路由聚合，如果某路由是到達另一區(qū)域的聚合路由的一部分，則更新操作只局限于受影響的區(qū)域。支持VLSM（VanableLengthSubnetMask）可變長度子網(wǎng)掩碼技術：OSPF支持可變長子網(wǎng)掩碼，使OSPF適合于管理大型IP網(wǎng)絡規(guī)劃。由于每個發(fā)布的目的地均包括IP子網(wǎng)的掩碼，從而可利用子網(wǎng)掩碼將IP網(wǎng)絡分為不同大小的子網(wǎng)，這種方法可節(jié)省IP地址空間并給網(wǎng)絡管理員管理帶來靈活性。帶寬利用效率：由于OSPF基于鏈路狀態(tài)進行利用更新，只有受影響的路由更新報文才被送往鄰居路由器，而不是傳送整個路由表。消耗路由器CPU資源：SPF算法需要占用路由器的CPU資源，一般來說CPU運算量與網(wǎng)內(nèi)鏈路數(shù)目和路由器數(shù)目乘積成正比。當網(wǎng)絡鏈路狀態(tài)不穩(wěn)定時，整個OSPF域內(nèi)進行頻繁的運算以選擇最佳路由，這將大量的消耗路由器的CPU資源，引起網(wǎng)絡性能的急劇下降。基于帶寬的路由選擇：OSPF使用帶寬作為確定兩個網(wǎng)絡間最優(yōu)路徑的決定因素。PIM路由協(xié)議PIM-DM簡簡介PIM-DM（PProtoccolInndepenndentMultiicast——DenseeModee，與協(xié)議無無關的組播——密集模式）主主要適用下列列幾種情況下下：發(fā)送者和接收者彼彼此非常接近近，并且網(wǎng)絡絡中組播組接接收成員的數(shù)數(shù)量很大。組播包的流量很大大。組播包的流量是持持續(xù)的。PIM-DM利利用單播路由由表，從源端端PIM路由器構(gòu)建建一棵到所有有端節(jié)點的組組播轉(zhuǎn)發(fā)樹（DistrributiionTrree）。在發(fā)送送組播包時，PIM-DDM認為網(wǎng)絡上上所有主機都都準備接收組組播包，組播播源一開始將將向網(wǎng)絡所有有下游節(jié)點轉(zhuǎn)轉(zhuǎn)發(fā)組播包，無無組播組成員員的節(jié)點將剪剪枝報文通知知上游路由器器不用再向下下游節(jié)點轉(zhuǎn)發(fā)發(fā)數(shù)據(jù)。當新的成員在剪枝枝區(qū)域中出現(xiàn)現(xiàn)時，PIM-DDM發(fā)送嫁接消消息，使被剪剪枝的路徑重重新變成轉(zhuǎn)發(fā)發(fā)狀態(tài)。該機機制稱為廣播播——剪枝過程，PIM-DDM廣播——剪枝機制將周周期性地不斷斷進行。PIM-DDM在廣播——剪枝過程中中采用了逆向向路徑轉(zhuǎn)發(fā)（ReverrsePaathFoorwardding，RPF）技術：當當一個組播包包到達的時候候，路由器首首先判斷到達達路徑的正確確性。若到達達端點是由單單播路由指示示的通往組播播源的端口，那那么該組播包包被認為是從從正確路徑而而來；否則該該組播包將作作為冗余報文文而被丟棄，不不進行組播轉(zhuǎn)轉(zhuǎn)發(fā)。PIM-DM主要要包括下列幾幾種報文：Hello報文文（PIMHHelloMessaage）：PIMHHello報文由運行PIM-DDM協(xié)議的路由由器接口定期期發(fā)送到同網(wǎng)網(wǎng)段其它鄰居居接口，與PIM-DDM鄰居建立鄰鄰居關系。另另外，由于IGMPvv1中需要使用DR（DesiggnedRRouterr）來發(fā)送主主機查詢報文文（Host--QueryyMesssage），Helloo報文同時負負責為運行IGMPvv1的路由器選選擇DR（每個PIM路由器定期期廣播發(fā)送Helloo報文，IP地址較大的的路由器當選選為DR）。嫁接報文（GraaftMeessagee）：主機通通過IGMP報告報文（MembeershippReporrtMesssage）來通知路路由器它想加加入某個組播播組，此時端端口向上游路路由器發(fā)送Graftt報文，上游游路由器收到到Graftt報文后，就就將該端口加加入到組播組組轉(zhuǎn)發(fā)列表中中。嫁接應答報文（GGraftACKMMessagge）：上游路路由器在收到到Graftt報文后，需需要向發(fā)送此此嫁接報文的的下路由器發(fā)發(fā)送應答報文文。剪枝報文（PruuneMeessagee）：若路由由器的接口轉(zhuǎn)轉(zhuǎn)發(fā)列表為空空，或接口轉(zhuǎn)轉(zhuǎn)發(fā)列表變?yōu)闉榭諘r，就向向上游路由器器發(fā)送Prunee報文，通知知上游路由器器將該路由器器從其接口鄰鄰居列表中刪刪除。斷言報文（AsssertMMessagge）：一個共共享網(wǎng)段可能能同時有兩個個上游路由器器，若它們都都向該網(wǎng)段轉(zhuǎn)轉(zhuǎn)發(fā)組播包的的話，該網(wǎng)段段的下游路由由器可能將收收到兩份相同同的組播包。為為避免這種情情況，PIM-DDM采用Asserrt消息機制：：若路由器在在一個共享局局域網(wǎng)的轉(zhuǎn)發(fā)發(fā)端口收到組組播包，它要要所運行PIM-DDM的所有路由由器（組地址址為224.00.0.133）發(fā)送Asserrt報文，下游游路由器將按按一系列規(guī)則則通過比較Asserrt報文的特定定域來決定獲獲勝者：報文文prefeerencee小的路由器器獲勝；若報報文的prefeerencee相同，報文metriic值小的路由由器獲勝；若若報文的metriic值也相相同，IP地址大的路路由器獲勝。獲獲勝者將作為為該網(wǎng)段的轉(zhuǎn)轉(zhuǎn)發(fā)者，失敗敗者發(fā)送出接接口剪枝報文文。由于PIM-DM自身身不具備路由由發(fā)現(xiàn)機制，這這使得它不依依賴于特定的的單播路由協(xié)協(xié)議，協(xié)議的的實現(xiàn)也比較較簡單。PIM-SM簡簡介PIM-SM（PProtoccolInndepenndentMultiicast，SparsseModde，與協(xié)議無無關的組播——稀疏模式）主主要適用下列列幾種情況下下：組成員分布相對分分散，范圍較較廣。網(wǎng)絡帶寬資源有限限。PIM-SM不依依賴于特定的的單播路由協(xié)協(xié)議，它假設設所有路由器器除非存在傳傳送的顯式請請求，否則就就不向組播組組發(fā)送組播包包。PIM-SSM通過設置匯匯集點RP（RendeezvoussPoinnt）和引導路路由器BSR（BootsstrapRouteer）向所有PIM-SSM路由器通告告組播信息、并并通過讓路由由器顯式地加加入和退出組組播組來減少少數(shù)據(jù)報文和和控制報文占占用的網(wǎng)絡帶帶寬。PIM-SSM構(gòu)造以RP根的共享樹RPT（RPPaathTrree），使組播播包能沿著共共享樹發(fā)送，當當主機加入一一個組播組時時，直接連接接的路由器便便向匯聚點（RP）發(fā)送PIM加入報文；；發(fā)送者的第第一跳路由器器把發(fā)送者注注冊到RP上；接收者者的DR（直連網(wǎng)絡絡的負責人）將將接收者加入入到共享樹。使使用以RP根的共享樹RPT進行報文轉(zhuǎn)轉(zhuǎn)發(fā)，不但減減少路由器需需要維護的協(xié)協(xié)議狀態(tài)、提提高協(xié)議的可可伸縮性，降降低路由器處處理開銷，還還能支持大量量同時存在的的多點廣播組組。當數(shù)據(jù)流流量達到一定定程度時，數(shù)數(shù)據(jù)可從共享享樹RPT（RPPaathTrree）切換到基基于源的最短短路徑樹SPT（ShorttPathhTreee），以減少少網(wǎng)絡延遲。PIM-SM主要要包括下面幾幾種報文：Hello報文文（PIMHHelloMessaage）：PIMHHello報文由運行PIM-SSM協(xié)議的路由由器接口定期期發(fā)送到同網(wǎng)網(wǎng)段其它鄰居居接口，與鄰鄰居建立鄰居居關系，還同同時為運行IGMPvv1的版本的路路由器選擇DR。注冊報文（ReggisterrMesssage）：當DR收到本地網(wǎng)網(wǎng)絡上主機發(fā)發(fā)出的組播報報文收到組播播報文，要將將該報文封裝裝在注冊報文文中單播發(fā)送送給RP，以便該報報文在RP樹上分發(fā)。注注冊報文的IP頭部中的源源地址為DR的地址，目目的地址是RP的地址。注冊停止報文（RRegistter-SttopMeessagee）：由RP單播給注冊冊報文的發(fā)送送者，用來告告訴注冊報文文的發(fā)送停止止發(fā)送注冊報報文。加入/剪枝報文（Joiin/PruuneMeessagee）：該報文文被沿著源或或RP的方向發(fā)送送上去。加入入消息用來建建立RPT或SPT，當接收者者離開組時用用剪枝消息剪剪枝RPT或SPT。該報文包包含各個組播播路由項加入入和剪枝消息息。加入消息息和剪枝消息息放在一個報報文中，但是是兩種報文中中任何一種都都可以為空。引導報文（BoootstraapMesssage）：路由器器要從除了接接收到這種報報文的接口外外的所有的接接口發(fā)送這種種報文。該種種報文在BSR中產(chǎn)生，并并被所有的路路由器轉(zhuǎn)發(fā)。用用來向所有的的路由器通告告BSR收集到的RP-Seet信息。斷言報文（AsssertMMessagge）：在多路路訪問網(wǎng)絡上上存在多個路路由器，并且且某個路由器器路由項的出出接口收到組組播組報文時時，要使用這這種報文來指指定轉(zhuǎn)發(fā)者。候選RP信息廣播報報文（Candiidate--RP-AddvertiisemenntMesssage）：由候選RP定期單播給BSR，用來通告告該候選RP服務的組地地址集合。交換機技術分析核心交換機網(wǎng)絡主干設備即骨骨干節(jié)點設備備的系統(tǒng)結(jié)構(gòu)構(gòu)直接決定了了設備的性能能和功能水平平。因此，深深入了解設備備的系統(tǒng)結(jié)構(gòu)構(gòu)設計，客觀觀認知設備的的性能和功能能，對正確選選擇設備極有有幫助。交換結(jié)構(gòu)隨著網(wǎng)絡交換技術術不斷的發(fā)展展，交換結(jié)構(gòu)構(gòu)在網(wǎng)絡設備備的體系結(jié)構(gòu)構(gòu)中占據(jù)著極極為重要的地地位。為了便便于理解，這這里僅簡述三三種典型的交交換結(jié)構(gòu)的特特點：共享總線：由于近近年來網(wǎng)絡設設備的總線技技術發(fā)展緩慢慢，所以導致致了共享總線線帶寬低，訪訪問效率不高高；而且，它它不能用來同同時進行多點點訪問。另外外，受CPUU頻率和總線線位數(shù)的限制制，其性能擴擴展困難。它它適用于大部部分流量在模模塊本地進行行交換的網(wǎng)絡絡模式。共享內(nèi)存：其訪問問效率高，適適合同時進行行多點訪問（MULTIICAST）。共享內(nèi)內(nèi)存通常為DDRAM和SRAM兩種種，DRAMM速度慢，造造價低，SRRAM速度快快，造價高。共共享內(nèi)存方式式對內(nèi)存芯片片的性能要求求很高，至少少為整機所有有端口帶寬之之和的兩倍（比比如設備支持持32個千兆以以太網(wǎng)端口，則則要求共享內(nèi)內(nèi)存的性能要要達到64GGbps）。交換矩陣（Croossbaar）：由于于ASIC技術術發(fā)展迅速，目目前ASICC芯片間的轉(zhuǎn)轉(zhuǎn)發(fā)性能通常常可達到幾十十Gbps，甚甚至更高的性性能，于是給給交換矩陣提提供了極好的的物質(zhì)基礎。所所有接口模塊塊（包括控制制模塊）都連連接到一個矩矩陣式背板上上，通過ASSIC芯片到到ASIC芯片片的直接轉(zhuǎn)發(fā)發(fā)，可同時進進行多個模塊塊之間的通信信；每個模塊塊的緩存只處處理本模塊上上的輸入/輸出隊列，因因此對內(nèi)存芯芯片性能的要要求大大低于于共享內(nèi)存方方式?？傊?，交交換矩陣的特特點是訪問效效率高，適合合同時進行多多點訪問，容容易提供非常常高的帶寬，并并且性能擴展展方便，不易易受CPU、總線線以及內(nèi)存技技術的限制。目目前大部分的的專業(yè)網(wǎng)絡廠廠商在其第三三層核心交換換設備中都越越來越多地采采用了這種技技術。阻塞與非阻塞配置置阻塞與非阻塞配置置是兩種截然然不同的設計計思想，它們們各有優(yōu)劣。在在選型時，一一定要根據(jù)實實際需求來選選擇相應的網(wǎng)網(wǎng)絡設備。阻塞配置：該種設設計是指：機機箱中所有交交換端口的總總帶寬，超過過前述交換結(jié)結(jié)構(gòu)的轉(zhuǎn)發(fā)能能力。因此，阻阻塞配置設計計容易導致數(shù)數(shù)據(jù)流從接口口模塊進入交交換結(jié)構(gòu)時，發(fā)發(fā)生阻塞；一一旦發(fā)生阻塞塞，便會降低低系統(tǒng)的交換換性能。例如如，一個交換換接口模塊上上有8個千兆交換換端口，其累累加和為8GGbps，而而該模塊在交交換矩陣的帶帶寬只有2GGbps。當當該模塊滿負負荷工作時，勢勢必發(fā)生阻塞塞。采用阻塞塞設計容易在在千兆/百兆接口模模塊上提高端端口密度，十十分適合連接接服務器集群群（因為服務務器本身受到到操作系統(tǒng)、輸輸入/輸出總線、磁磁盤吞吐能力力，以及應用用軟件等諸多多因素的影響響，通過其網(wǎng)網(wǎng)卡進行交換換的數(shù)據(jù)不可可能達到網(wǎng)卡卡吞吐的標稱稱值）。非阻塞配置：該設設計的目標為為：機箱中全全部交換端口口的總帶寬，低低于或等于交交換結(jié)構(gòu)的轉(zhuǎn)轉(zhuǎn)發(fā)能力，這這就使得在任任何情況下，數(shù)數(shù)據(jù)流進入交交換結(jié)構(gòu)時不不會發(fā)生阻塞塞。因此，非非阻塞設計的的網(wǎng)絡設備適適用于主干連連接。在主干干設備選型時時，只需注意意接口模塊的的端口密度和和交換結(jié)構(gòu)的的轉(zhuǎn)發(fā)能力相相匹配即可。當當要構(gòu)造高性性能的網(wǎng)絡主主干時，必須須選用非阻塞塞配置的主干干設備。L3/L4數(shù)據(jù)流流處理模式眾所周知，每一次次網(wǎng)絡通信都都是在通信的的機器之間產(chǎn)產(chǎn)生一串數(shù)據(jù)據(jù)包。這些數(shù)數(shù)據(jù)包構(gòu)成的的數(shù)據(jù)流可分分別在第3..4層進行識識別。網(wǎng)絡主干交換機的的系統(tǒng)結(jié)構(gòu)在在設計上分成成兩大類：集集中式和分布布式。即便兩兩者都采用了了新的技術，但但就其性能而而言，仍存在在著較大的差差異。集中式：所謂集中中式，顧名思思義，L3//L4數(shù)據(jù)流流的轉(zhuǎn)發(fā)由一一個中央模塊塊控制處理。因因此，L3//L4層轉(zhuǎn)發(fā)發(fā)能力通常為為3M－4Mppss，最多達到到15Mppps，例如cisco的集中轉(zhuǎn)發(fā)發(fā)模式下的catallyst65500。分布式：將L3//L4層數(shù)據(jù)據(jù)流的轉(zhuǎn)發(fā)策策略設置到接接口模塊上，并并且通過專用用的ASICC芯片轉(zhuǎn)發(fā)L3/LL4層數(shù)據(jù)流流，從而實現(xiàn)現(xiàn)相關控制和和服務功能。L3/L4層轉(zhuǎn)發(fā)能力可達幾百Mpps。系統(tǒng)容量由于網(wǎng)絡規(guī)模越來來越大，網(wǎng)絡絡主干交換機機的系統(tǒng)容量量也成為選型型中的重要考考核指標。建建議重點考核核以下兩個方方面：物理容量：各類網(wǎng)網(wǎng)絡協(xié)議的端端口密度，如如千兆以太網(wǎng)網(wǎng)、快速以太太網(wǎng)，尤其是是非阻塞配置置下的端口密密度。邏輯容量：路由表表、MAC地址表表、應用數(shù)據(jù)據(jù)流表、訪問問控制列表（ACL）大小，反映出設備支持網(wǎng)絡規(guī)模大小的能力（先進的主干設備必須支持足夠大的邏輯容量，以及非阻塞配置設計下的高端口密度）。背版帶寬和L2//L3層交換速率率背板帶寬背板帶寬是交換機機的內(nèi)部實現(xiàn)現(xiàn)。背板帶寬寬能夠體現(xiàn)在在交換機吞吐量量上。設備背背板帶寬的設設計通常是根根據(jù)該設備所所要支持的端端口數(shù)量和類類型來決定，一一臺設備，如如果具有24口10/1000M的以太網(wǎng)網(wǎng)和1口1000MM以太網(wǎng)，那那么它所需要要的背板能力力最高需要：：24×0.22G＋1×2G＝6.8G。因此根據(jù)自己的網(wǎng)網(wǎng)絡情況，合合理地選擇背背板帶寬，使使其物盡其用用。L2/L3層交換換速率交換機最基本且最最重要的功能能是數(shù)據(jù)包轉(zhuǎn)轉(zhuǎn)發(fā)吞吐量。在同同樣端口速率率下轉(zhuǎn)發(fā)小包包是交換機包轉(zhuǎn)發(fā)發(fā)能力最大的的考驗。L22/L3層交換速率率是在設備滿滿配置的情況況下，對各端端口測得的吞吞吐量之和。因因此單純的L2/L3層交換速率率并不是設備備性能的關鍵鍵，而每個端端口特殊的硬硬件處理設計計出的高吞吐吐量才是設備備的性能差異異所在。關鍵部件冗余設計計人們已經(jīng)普遍認同同處于關鍵部部位的網(wǎng)絡設設備不應存在在單點故障。為為此，網(wǎng)絡主主干設備應能能實現(xiàn)如下三三方面的冗余余。電源和機箱風扇冗冗余控制模塊冗余控制模塊冗余功能能應提供對主主控制模塊的的“自動切換”支持。如：：備份控制模模塊連續(xù)5次沒有聽到到來自主控制制模塊的匯報報，備份模塊塊將進行初始始化并執(zhí)行硬硬件恢復。另另外，各種模模塊均可熱插插拔。交換結(jié)構(gòu)冗余如果網(wǎng)絡主干設備備忽略交換結(jié)結(jié)構(gòu)的冗余設設計，就無法法達到設備冗冗余的完整性性。因此，要要充分考慮網(wǎng)網(wǎng)絡主干設備備的可靠性，應應該要求該設設備支持交換換結(jié)構(gòu)冗余。此此外，交換結(jié)結(jié)構(gòu)冗余功能能也應具有對對主交換結(jié)構(gòu)構(gòu)“自動切換”的特性。結(jié)構(gòu)的技術壽命所選擇的網(wǎng)絡主干干設備，其系系統(tǒng)結(jié)構(gòu)應能能滿足用戶的的功能需求，并并具有足夠長長的技術生命命周期。換言言之，要避免免通過硬件補補丁的辦法（不不斷增加新的的硬件單元對對系統(tǒng)結(jié)構(gòu)中中存在的不足足進行補償，或或徹底更換新新設備的方式式），才能滿滿足用戶1至5年內(nèi)不斷增增長的功能需需求。業(yè)界有很多設備的的系統(tǒng)結(jié)構(gòu)是是第2層交換的設設計概念，需需要通過增加加第3層的硬件模模塊才能實現(xiàn)現(xiàn)第3層或第3/44層交換的功功能，而且第第3/4層數(shù)據(jù)據(jù)包的轉(zhuǎn)發(fā)能能力遠低于第第2層交換的轉(zhuǎn)轉(zhuǎn)發(fā)能力。另外，很多主干設設備架構(gòu)上不不支持萬兆模模塊，當網(wǎng)絡絡升級到萬兆兆后，必然替替換設備，這這對用戶的投投資保護十分分不利?？啥询B接入層交換換機在一個配線間，當當網(wǎng)絡信息點點較多的時候候，通常采用用交換機堆疊疊來擴展交換換機端口。堆堆疊交換機的的選擇，可以以考慮以下一一些問題。堆疊方式堆疊交換機一般有有兩種堆疊方方式：星型堆堆疊和菊花鏈鏈式堆疊。菊花鏈式堆疊是一一種基于級聯(lián)聯(lián)結(jié)構(gòu)的堆疊疊技術，對交交換機硬件上上沒有特殊的的要求，通過過相對高速的的端口串接和和軟件的支持持，最終實現(xiàn)現(xiàn)構(gòu)建一個多多交換機的層層疊結(jié)構(gòu)，如如果實現(xiàn)了環(huán)環(huán)路，可以在在一定程度上上實現(xiàn)冗余。菊花鏈式堆疊模式式多層次轉(zhuǎn)發(fā)發(fā)時時延極高高，如果堆疊疊8臺，則從第第一臺交換機機把數(shù)據(jù)傳送送到第八臺經(jīng)經(jīng)過的可能是是7跳，性能較較差。而星型型堆疊模式適適用于要求高高效率高密度度端口的單節(jié)節(jié)點LAN，通過提供供高帶寬矩陣陣，克服菊花花鏈式堆疊模模式多層次轉(zhuǎn)轉(zhuǎn)發(fā)時高時延延問題。目前，市場上不少少堆疊交換機機的堆疊數(shù)量量能達到多臺臺，這種高堆堆疊功能可以以實現(xiàn)網(wǎng)絡的的靈活擴展。但但有，在實現(xiàn)現(xiàn)高堆疊的同同時，必須兼兼顧交換機的的性能不受影影響?？晒芾硇栽S多研究證明，在在產(chǎn)品生命期期中涉及到運運行和管理的的費用比產(chǎn)品品的最初購買買費用要更多多。因此，可可管理性成為為評估總體價價值的另一項項關鍵因素。可堆疊交換機固有有的優(yōu)勢，在在于管理單一一邏輯實體比比管理多臺必必須獨立配置置和監(jiān)控的設設備更容易。但但是，這里仍仍有其它一些些需要研究的的因素，包括括用于優(yōu)先數(shù)數(shù)據(jù)流的服務務質(zhì)量（QoS）、執(zhí)行策策略的能力、管管理VLAN傳輸流的能能力以及易于于管理和操作作性。為了簡化管理工作作，可堆疊交交換機要能夠夠提供基于Web的多種管理理方式，以及及能跨交換機機作相應配置置和軟件升級級等。安全性在安全問題上，交交換機最好能能夠提供全面面的安全功能能，包括ACL、身份認證證、端口隔離離、支持802.11x及VLAN功能等，因因為用戶對于于網(wǎng)絡的安全全方面要求越越來越高。而而最佳的網(wǎng)絡絡安全控制應應當從網(wǎng)絡邊邊緣即網(wǎng)絡與與外網(wǎng)或者用用戶接入處開開始，將網(wǎng)絡絡的安全屏蔽蔽及策略執(zhí)行行能力分散到到網(wǎng)絡的邊緣緣。對于大樓網(wǎng)絡來說說，通常要在在用戶訪問不不同的網(wǎng)絡服服務資源時，進進行認證和訪訪問控制。簡簡單的如MAC地址與端口口綁定，限制制特定用戶從從特定端口接接入。另外，接接入認證方面面，目前發(fā)展展較快的是802.11x認證標準，而而且，802.11x認證還可結(jié)結(jié)合動態(tài)VLAN劃分、動態(tài)ACL等。設計根據(jù)用戶的具體需需求，方案的的網(wǎng)絡拓撲結(jié)結(jié)構(gòu)都采用下下圖的兩層交交換網(wǎng)絡結(jié)構(gòu)構(gòu)。地上五層地上五層地上四層地上三層地上二層地下一層地上一層地上四層地上二層地上三層地上一層左側(cè)右側(cè)各配線間接入交換換機采用一條條千兆多模光光纖上聯(lián)到主主機房核心交交換機。配線間接入采用224/48端口交換機機，以滿足對對接入端口的的要求。接入交換機百兆雙雙絞線到桌面面。方案服務中心大樓網(wǎng)絡絡采用兩層結(jié)結(jié)構(gòu)，接入層層交換機通過過單鏈路千兆兆連接到核心心交換機。接入層交換機全部部千兆上連，樓樓層交換機提提供擴展插槽槽，擴展插槽槽之一插千兆兆光模塊，與與核心設備進進行連接。核心交換機提供千千兆光接口，與與接入層交換換機進行連接接。網(wǎng)絡詳細規(guī)劃VLAN設計在方案中，Cissco、3COM、華為等交交換機都支持持多種VLAN功能，包括括基于端口的的VLAN,標準的802.11QVLAAN及SuppeerVLANN功能，同樣樣也都支持基基于協(xié)議的VLAN及動態(tài)VLAN。VLAN的合理劃劃分可以有效效的隔離廣播播，減小沖突突域，提高網(wǎng)網(wǎng)絡效率以及及安全性。VLAN設計在網(wǎng)網(wǎng)絡中起到舉舉足輕重的作作用，目前VLAN的劃分通常?；趦煞N方方式：按照地地理位置來劃劃分vlan，按照用戶戶群來劃分vlan。按照地理位置來劃劃分vlan，可以簡化網(wǎng)網(wǎng)絡的拓樸和和配置，但這這并非一個好好的設計方法法：因為地理理位置相近的的用戶不一定定有資源共享享的需求。按照用戶群來劃分分vlan，使通信最多多的用戶群處處于同一個vlan下，一方面面可以保證通通信最多的用用戶之間使用用二層交換協(xié)協(xié)議，而性質(zhì)質(zhì)不同的用戶戶之間，通信信量較少，采采用三層交換換協(xié)議，無疑疑提高了網(wǎng)絡絡的效率；通通信最多的用用戶群體一般般屬于相同性性質(zhì)用戶如同同一個部門等，相互互之間有信任任關系，網(wǎng)絡絡的安全性能能同樣會提高高。但是，這這種vlan劃分使得網(wǎng)網(wǎng)絡拓樸和配配置變得復雜雜，增加了管管理的難度。因此如何來劃分vvlan，需要我們們從管理上、配配置上、拓樸樸結(jié)構(gòu)上、通通信量上和網(wǎng)網(wǎng)絡安全上來來全盤權衡考考慮。針對大樓網(wǎng)絡來說說，因為涉及及大樓行政辦辦公使用，在在vlan劃分上采用用以下方式：：行政辦公網(wǎng)：使用用第二種方式式按照用戶群群劃分VLAN，因為需要要跨越交換機機，我們采用用802.11q的VLAN方式。管理網(wǎng)的網(wǎng)絡規(guī)模模小，可以讓讓所有端口和和設備處于同同一個Vlan中。地址設計為了合理使用IPP地址，提高高有限的IP地址資源的的使用率，本本網(wǎng)需要根據(jù)據(jù)各節(jié)點用戶戶數(shù)的數(shù)量采采用VLSM技術合理規(guī)規(guī)劃IP地址，同時時還應當結(jié)合合考慮IP地址的分配配應當有利于于路由匯總，減減少路由表的的數(shù)量。大樓網(wǎng)地址規(guī)劃采采用結(jié)構(gòu)化的的方式，分層層劃分。一級子網(wǎng)化：分配前綴為24位位的IP地址段，前前綴為24位的IP地址段將提提供超過254個可用的IP地址。二級子網(wǎng)化以27位的掩碼為基準，進進行子網(wǎng)劃分分，即每個子子網(wǎng)有30個可用地址址，中心局域域網(wǎng)采用第一一和第二個子子網(wǎng)，掩碼相相應為26位。核心設設備互連地址址采用最后一一個最后一個個子網(wǎng)，從核核心開始，依依次分配。根根據(jù)VLAN的大小，依依次確定網(wǎng)段段大小。核心層設備與匯聚聚層設備互連連，VLAN地址采用子子網(wǎng)最后一個個IP地址。設備備地址采用子子網(wǎng)第一個IP地址。管理網(wǎng)可以用一個個26位前綴的地地址塊進行分分配。網(wǎng)絡安全設計建設成的網(wǎng)絡，將將服務于大樓樓的對外聯(lián)絡絡和信息交互互。復雜的應應用和多樣的的訪問使得在在進行網(wǎng)絡設設計時，需要要充分考慮網(wǎng)網(wǎng)絡的安全，保保證信息和資資源被合法的的利用。網(wǎng)絡安全從用戶層層、網(wǎng)絡層與與應用層這三三個層次來共共同保證。在網(wǎng)絡方案中我們們只考慮用戶戶層安全和網(wǎng)網(wǎng)絡層安全。用戶層安全采用二種技術保證證用戶層安全全：802.1x認證證：確保網(wǎng)絡絡被授權的人人使用。802.11x的部署，使使得網(wǎng)絡使用用者是誰的問問題得到了解解決。為了進進一步提供安安全性，建議議對交換機端端口、IP地址、Mac地址和用戶戶名進行捆綁綁?；诙丝赩LANN：控制用戶戶行為，禁止止用戶之間的的訪問。網(wǎng)絡層安全設備安全控制、廣廣播攻擊防范范保證網(wǎng)絡層層的安全：設備安全控制：關閉不必要的服務務：關閉所以以路由器上的的不必要的服服務，如Fingeer、Bootp、Http等。設置加密特權秘密密：使用加密密的特權秘密密，注意密碼碼的選擇。不使用登錄名，不不管以何種形形式（如原樣樣或顛倒、大大寫和重復等等）不用名字的第一個個、中間一個個或最后一個個字不要用最親近的家家人的名字不要用其他任何容容易得到的關關于你的信息息不要使用純數(shù)字或或完全同一個個字母組成的的口令不使用英文單詞不使用短于6位的的口令不要把口令告訴任任何人設置NTPservver：為了保證證全網(wǎng)網(wǎng)絡設設備時鐘同步步，必須在網(wǎng)網(wǎng)絡設備上配配置NTP。配置日志：在所有有的路由器上上配置相應的的日志選項。設置LOG和DEBUUG的時間標記記：為了方便便排錯和管理理日志，在Log和DEBUG信息上加上上時間戳。配置Consle，VVty，Aux等的登錄控控制：配置conslle，vty，Aux的登錄控制制，避免非法法訪問。限制遠程登錄的范范圍：缺省情情況下，從任任何地方都可可以登錄網(wǎng)絡絡設備。為了了增加網(wǎng)絡設設備的安全性性，需要對遠遠程登錄的范范圍進行限制制。配置SNMP：設置SSNMP只讀和讀寫寫串，啟用ACL限制可以通通過SNMP的訪問。配置特權等級：合合理設置管理理員的操作權權限。廣播攻擊防范：對對網(wǎng)絡非正常常廣播和攻擊擊進行主動控控制。用戶接入端口綁定與認證交換機支持對maac＋ip＋port的綁定，同同時提供基于于端口的IEEE8802.1xx認證。建議在新網(wǎng)所有ppc進行802.11x的認證，同同時，為某些些特殊的應用用，進行mac+iip＋port的綁定。在網(wǎng)絡管理中心，可可以學習第一一次接入網(wǎng)絡絡的pc的mac地址，因此此網(wǎng)絡管理員員不需要手動動的大量輸入入mac地址。廣播抑制以太網(wǎng)是一個廣播播型網(wǎng)絡，雖雖然VLAN的劃分可以以有效的減小小廣播域，但但是針對終端端惡意的廣播播攻擊，同一一VLAN中的所有用用戶都要受到到廣播風暴的的影響，為了了避免該問題題的發(fā)生，在在端口上進行行廣播抑制。網(wǎng)絡管理系統(tǒng)我們以Ciscoo公司CisccoWorkks20000網(wǎng)管軟件為為例說明。Cisco堅決貫貫徹19977年AssurredNeetworkkServvices倡倡議中規(guī)定的的設計原則，轉(zhuǎn)轉(zhuǎn)變了傳統(tǒng)的的網(wǎng)絡管理模模式。AsssuredNetwoorkSeervicees宣布新推推出的Cissco管理工工具具有以下下特點：Internett式結(jié)構(gòu)良好集成可擴展到迅速變化化的intrranet或或extraanet環(huán)境境中可管理路由器、交交換機及接入入服務器使用一套公用業(yè)務務CiscoWoorks20000應用程程序中包含上上述特性后可可減少管理您您的網(wǎng)絡所需需的時間和與與此相關的錯錯誤，同時提提高工作人員員的工作效率率和網(wǎng)絡可用用性。CiscoWoorks20000系列產(chǎn)產(chǎn)品繼承了CCiscoWorkss、Ciscoo資源管理器器[CRM((CiscooResoourceManagger)]及及CWSI((CiscooWorkssforSwitcchedIInternnetworrks)的的功能。新推推出的管理產(chǎn)產(chǎn)品包括功能能增強的工具具、重要的新新功能及基于于標準的第三三方集成工具具。尤為重要要的是CisscoWoorks20000還包括括：用于關鍵管理工具具和產(chǎn)品的基基于Web接入的的RME((ResouurceMManageerEsssentiaals)管理交換機和網(wǎng)絡絡業(yè)務的CWWSI園區(qū)網(wǎng)網(wǎng)建立管理內(nèi)部網(wǎng)的的Ciscoo管理連接CiscoVieew圖形設備備管理工具將來增加功能時可可插入的模塊塊將網(wǎng)絡作為一個完完整的系統(tǒng)而而非許多零散散的元件或設設備進行管理理－－網(wǎng)絡在在繼續(xù)發(fā)展而而且變得日益益復雜，同時時對商務的作作用也日益重重要，有鑒于于此，網(wǎng)絡管管理應從一系系列與單個設設備相關的任任務演變成一一種更為系統(tǒng)統(tǒng)的方法。CCiscoWorkss2000產(chǎn)產(chǎn)品的發(fā)展趨趨勢也反應這這一需求，CCisco正正將現(xiàn)有設備備管理工具的的豐富特性納納入新產(chǎn)品，使使這些新產(chǎn)品品帶有管理整整個網(wǎng)絡的全全新功能。CCiscoWorkss2000產(chǎn)產(chǎn)品有著通過過諸如庫存、拓拓撲結(jié)構(gòu)及改改變管理等應應用程序?qū)Χ喽喾N設備進行行。管理一體體化的特性。CiscoWorks2000產(chǎn)品以不斷積累