大型企業(yè)網(wǎng)絡規(guī)劃畢業(yè)設計

1、<p>　　大型企業(yè)網(wǎng)絡規(guī)劃與設計</p><p><b>　　摘 要</b></p><p>　　迅速發(fā)展的Internet正在對全世界的信息產(chǎn)業(yè)帶來巨大的變革和深遠的影響。市場的全球化競爭已成為趨勢。對于大型企業(yè)來說，在調(diào)整發(fā)展戰(zhàn)略時，必須考慮到市場的全球競爭戰(zhàn)略，而這一切也將以信息化平臺為基礎，借助計算機網(wǎng)絡原理及網(wǎng)絡規(guī)劃技術，以網(wǎng)絡通暢為保證。&l

2、t;/p><p>　　企業(yè)內(nèi)部網(wǎng)（Intranet）是國際互連網(wǎng)（Internet）技術在企業(yè)內(nèi)部或封閉的用戶群內(nèi)的應用。Intranet是使用Internet技術,特別是TCP/IP協(xié)議而建成的企業(yè)內(nèi)部網(wǎng)絡。這種技術允許不同計算機平臺進行互通,且不用考慮其位置。也就是所說的用戶可以對任何一臺進行訪問或從任何一臺計算機進行訪問。</p><p>　　本文從企業(yè)網(wǎng)絡需求開始分析，根據(jù)現(xiàn)階段cis

3、co公司主流網(wǎng)絡設備進行選材,規(guī)劃最適用于目標網(wǎng)絡的拓撲結構,建設合理的網(wǎng)絡設計方案。本課題實施部分由GNS3模擬器來搭建網(wǎng)絡拓撲結構，利用cisco設備操作系統(tǒng)unzip-c2691-advsecurityk9-mz.124-11.T2作為拓撲內(nèi)所有設備核心IOS，然后用SecureCRT進行路由器交換機的相關配置，并測試其結果最終驗證網(wǎng)絡的規(guī)劃與設計符合大型企業(yè)的需求。</p><p>　　關鍵詞：企業(yè)網(wǎng)絡，

4、拓撲結構，冗余，路由，交換</p><p>　　Large Enterprise Network Planning and Design</p><p><b>　　Abstract</b></p><p>　　The rapid development of the Internet is all over the world informa

5、tion industry of enormous change and far-reaching consequences. Market competition has become the trend of globalization. For large enterprises, in adjusting the development strategy, must take into account the market

6、9;s global competitiveness strategy, and all this information platform will also be based on the principle of the use of computer networks and network planning technology to the network in order to ensure patency. </p

7、><p>　　Intranet is an international Internet technology in the enterprise or within a closed user group applications. Intranet is the use of Internet technologies, especially TCP / IP protocol and the completio

8、n of the enterprise internal network. This technology allows interoperability of different computer platforms, and do not have to consider its position. That is what the user can visit any or from any computer access. &l

9、t;/p><p>　　From the start the whole enterprise class network needs analysis, based on the mainstream stage cisco network equipment company selection, with the goal to build the most suitable network topology, d

10、esigned with network technology. As part of this implementation to build the simulator GNS3 network topology, the use of cisco device operating systems unzip-c2691-advsecurityk9-mz.124-11.T2 for all equipment within the

11、core topology IOS, routers and switches using SecureCRT for the configuration, an</p><p>　　Keywords：Enterprise networks, Topology, Redundancy, Routing, Switching</p><p><b>　　目錄</b>&l

12、t;/p><p><b>　　第1章 緒論1</b></p><p><b>　　1.1研究背景1</b></p><p>　　1.2目的和意義2</p><p>　　第2章 關鍵的網(wǎng)絡技術原理3</p><p>　　2.1 大型企業(yè)網(wǎng)絡的定位3</p>

13、<p>　　2.2 關鍵技術研究3</p><p>　　2.2.1路由技術3</p><p>　　2.2.2交換技術4</p><p>　　2.2.3 遠程訪問技術4</p><p>　　2.2.4 VLAN4</p><p>　　2.2.5 DHCP5</p><p>　

14、　2.2.6 GRE5</p><p>　　2.2.7 VPN6</p><p>　　2.2.8 PVST6</p><p>　　2.2.9 HSRP7</p><p>　　2.2.10 AAA認證7</p><p>　　第3章 大型企業(yè)網(wǎng)絡需求分析9</p><p>　　3.1 案

15、例分析9</p><p>　　3.2 大型企業(yè)網(wǎng)絡分析11</p><p>　　3.2.1 寬帶性能需求11</p><p>　　3.2.2 穩(wěn)定可靠需求11</p><p>　　3.2.3 服務質(zhì)量需求12</p><p>　　3.2.4 網(wǎng)絡安全需求12</p><p>　　3.

16、2.5 應用服務需求12</p><p>　　3.3 本課題系統(tǒng)需求分析13</p><p>　　第4章 網(wǎng)絡系統(tǒng)實現(xiàn)14</p><p>　　4.1 大型企業(yè)網(wǎng)絡拓撲圖14</p><p>　　4.2 VLAN及IP地址的規(guī)劃14</p><p>　　4.3 關鍵網(wǎng)絡設備及數(shù)量15</p>

17、<p>　　4.4 關鍵網(wǎng)絡設備介紹16</p><p>　　4.5網(wǎng)絡設備配置18</p><p>　　4.5.1 基礎配置18</p><p>　　4.5.2 使用VTP19</p><p>　　4.5.3 劃分VLAN21</p><p>　　4.5.4 交換鏈路封裝22</p>

18、;<p>　　4.5.5 PVST技術23</p><p>　　4.5.6 PVST的三個FAST23</p><p>　　4.5.7 DHCP24</p><p>　　4.5.8 HSRP26</p><p>　　4.5.9 根防護27</p><p>　　4.5.10 路由協(xié)議27<

19、/p><p>　　4.5.11 GRE-VPN29</p><p>　　4.5.12 AAA服務器31</p><p>　　4.5.13 PBR 20M專線31</p><p>　　4.5.14 網(wǎng)管控制32</p><p>　　4.5.15其他配置33</p><p>　　4.6 施工管

20、理34</p><p>　　4.6.1 施工前準備34</p><p>　　4.6.2 設備及材料34</p><p>　　4.6.3 施工過程管理34</p><p>　　4.6.4 施工完成后質(zhì)量的檢查和驗收34</p><p>　　4.6.5 施工步驟35</p><p>　　

21、第5章 網(wǎng)絡效果驗證36</p><p>　　5.1 關鍵三層設備路由表36</p><p>　　5.1.1 接入路由器R1路由表36</p><p>　　5.1.2 核心層交換機HX1路由表37</p><p>　　5.1.3 匯聚層交換機FB1路由表38</p><p>　　5.2網(wǎng)絡連通性驗證39&l

22、t;/p><p>　　5.2.1 本部接入層交換機SW1訪問服務器39</p><p>　　5.2.2 外地分公司R4訪問服務器39</p><p>　　5.2.3 外地分公司SW10訪問本部接入交換機39</p><p>　　5.3 VPN效果驗證40</p><p>　　第6章 結束語41</p>

23、<p><b>　　致謝42</b></p><p><b>　　參考文獻43</b></p><p><b>　　附錄44</b></p><p><b>　　第1章 緒論</b></p><p><b>　　1.1研究背景

24、</b></p><p>　　今天，迅速發(fā)展的Internet正在對全世界的信息產(chǎn)業(yè)帶來巨大的變革和深遠的影響。市場的全球化競爭已成為趨勢。21世紀的中國正在向市場多元化、全球化的方向發(fā)展。對于大型企業(yè)來說，在調(diào)整發(fā)展戰(zhàn)略時，必須考慮到市場的全球競爭戰(zhàn)略，而這一切也將以信息化平臺為基礎，借助計算機網(wǎng)絡原理及網(wǎng)絡規(guī)劃技術，以網(wǎng)絡通暢為保證。國內(nèi)越來越多的企業(yè)也已經(jīng)或正在考慮使用Internet/Intr

25、anet技術,以建設企業(yè)規(guī)劃化的信息處理系統(tǒng)。因為現(xiàn)代企業(yè)的信息大多都來自于互連網(wǎng)，通過網(wǎng)絡，企業(yè)可以更快速的接收到來自全球的市場信息；通過Internet與外部世界交換信息，企業(yè)規(guī)劃者可以更快地對企業(yè)作出正確的宏觀調(diào)控與決策，以適應市場趨勢。企業(yè)與全世界聯(lián)系起來,極大地提高了信息收集的能力和效率。</p><p>　　隨著Intranet技術的不斷發(fā)展,計算機已經(jīng)逐漸應用到企業(yè)中的各個關鍵部分,極大的提高了企業(yè)

26、的工作效率。對于規(guī)模較大的企業(yè)來說，這一點尤為重要。</p><p>　　而有些大型企業(yè)根據(jù)其自身性質(zhì)等對于網(wǎng)絡有著更多的需求。比如中國電信、中國網(wǎng)通、中國銀行，它們對網(wǎng)絡有一點十分重要的需求，那就是網(wǎng)路通路，流量不可斷。因為全中國大部分的金融和通信都經(jīng)過這些企業(yè)，他們的網(wǎng)絡的穩(wěn)定性直接關系到國家的政治經(jīng)濟基礎等各個方面。所以對于這些大型企業(yè)的網(wǎng)絡設計必須考慮到流量等細節(jié)問題。</p><p&

27、gt;　　當今中國網(wǎng)絡的另一個重大問題就是安全。由于中國的網(wǎng)絡發(fā)展較晚，網(wǎng)絡的安全沒有作到非常完善。而且很多早期起用的網(wǎng)絡無論從結構還是技術上都有很多設計不合理的問題，這也導致了網(wǎng)絡的安全性差。在企業(yè)的某些關鍵部門（如財務科等），如果有不法分子利用網(wǎng)絡中的漏洞修改或者竊取商業(yè)機密文件，也會對企業(yè)自身造成不可挽回的甚至是毀滅性的危害。</p><p>　　當然，企業(yè)也會對一些細節(jié)問題提出要求。比如市場部門可以上網(wǎng)查

28、閱資料而技術部門不可；或者從周一上午九點到周五下午五點可以上網(wǎng)，而其他時間段網(wǎng)絡無流量；再或者高層領導組可以監(jiān)控財務部門的檔案文件而其他部門則沒有這樣的權限。這些都是網(wǎng)絡設計者需要考慮的問題。</p><p><b>　　1.2目的和意義</b></p><p>　　企業(yè)內(nèi)部網(wǎng)（Intranet）是國際互連網(wǎng)（Internet）技術在企業(yè)內(nèi)部或封閉的用戶群內(nèi)的應用。

29、簡單地說,Intranet是使用Internet技術,特別是TCP/IP協(xié)議而建成的企業(yè)內(nèi)部網(wǎng)絡。這種技術允許不同計算機平臺進行互通,且不用考慮其位置。也就是所說的用戶可以對任何一臺進行訪問或從任何一臺計算機進行訪問[1]。</p><p>　　基于這種種的現(xiàn)實問題，企業(yè)必須從企業(yè)局域網(wǎng)的概念及相關計算機網(wǎng)絡技術入手，詳細地設計企業(yè)網(wǎng)建設的實施方案及建設規(guī)劃,以達到先進、安全、實用、可靠的目標.對該企業(yè)的組網(wǎng)需求

30、進行分析，比較各種組網(wǎng)技術，從實用角度論述局域網(wǎng)主干網(wǎng)選擇，綜合布線，各種設備選擇，網(wǎng)絡安全，網(wǎng)絡管理等方面。</p><p>　　我們的網(wǎng)絡要具有一定的靈活性。當企業(yè)發(fā)展到一定規(guī)模,企業(yè)在外地設有許多分支機構。這時,為加快企業(yè)內(nèi)部的信息流通,企業(yè)需要將總部和各分支機構連接起來。遠程企業(yè)對網(wǎng)絡的需求是：通過internet接入, 在整個公司實現(xiàn)數(shù)據(jù)快速傳輸、辦公自動化,最終實現(xiàn)企業(yè)無紙化辦公；企業(yè)擁有自己的ip地

31、址和域名,在公司主機上建立網(wǎng)站,向外界宣傳企業(yè)形象、公司各項業(yè)務、活動及最新成果等；以ip電話方式節(jié)省企業(yè)大部分的長途話費,亦可通過ip網(wǎng)絡來實現(xiàn)視頻會議；整個公司需要一個運行可靠、費用合理的通信系統(tǒng)；實現(xiàn)telnet等網(wǎng)絡服務；建立一個功能全面、使用方便的管理信息系統(tǒng),使總公司與各地分支機構之間的業(yè)務審批電子化,各項工作能夠協(xié)同完成。實現(xiàn)結構化布線、網(wǎng)絡的設計與規(guī)劃、資源共享、專線接入Internet、WWW服務器、軟硬件配置、劃分企

32、業(yè)子網(wǎng)等技術實施。</p><p>　　第2章 關鍵的網(wǎng)絡技術原理 </p><p>　　2.1 大型企業(yè)網(wǎng)絡的定位</p><p>　　企業(yè)網(wǎng)是指覆蓋企業(yè)和企業(yè)與分公司之間的網(wǎng)絡，為企業(yè)的多種通信協(xié)議提供綜合傳送平臺的網(wǎng)絡。企業(yè)網(wǎng)應以多業(yè)務光傳輸網(wǎng)絡為基礎，實現(xiàn)語音、數(shù)據(jù)、圖像、多媒體等的接入。</p><p>　　企業(yè)網(wǎng)是企業(yè)內(nèi)各部門的橋

33、接區(qū)，主要完成接入網(wǎng)中的子公司和工作人員與企業(yè)骨干業(yè)務網(wǎng)絡之間全方位的互通。因此電子商務公司企業(yè)網(wǎng)的定位應是為企業(yè)網(wǎng)應用提供多業(yè)務傳送的綜合解決方案。</p><p>　　2.2 關鍵技術研究 </p><p>　　本設計方案采用的是全部Cisco的網(wǎng)絡設備，全網(wǎng)使用統(tǒng)一廠家得設備以實現(xiàn)各種不同網(wǎng)絡設備功能的互相配合和補充。還有就是一些網(wǎng)絡協(xié)議都是一些廠家私有的，如EIGRP、HDLC等。

34、因為每個廠家都有屬于自己的EIGRP、HDLC所以不同廠家的設備就不能使用這些網(wǎng)絡協(xié)議。</p><p><b>　　2.2.1路由技術</b></p><p>　　路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡中傳遞數(shù)據(jù)時選擇最佳路徑的能力。除了可以完成主要的路由任務，利用訪問控制列表，路由器還可以用來完成以路由器為

35、中心的流量控制和過濾功能。在本工程案例設計中，內(nèi)網(wǎng)用戶不僅通過路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過3層交換機上的路由功能進行數(shù)據(jù)包交換。</p><p>　　路由器是外網(wǎng)進入企業(yè)網(wǎng)內(nèi)網(wǎng)的第一道關卡，是網(wǎng)絡防御的前沿陣地。路由器上的訪問控制列表（Access Control List，ACL）是保護內(nèi)網(wǎng)安全的有效手段。一個設計良好的訪問控制列表不僅可以起到控制網(wǎng)絡流量、流向的作用，還可以在不增加網(wǎng)絡系統(tǒng)軟、硬件投資

36、的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進行通信時的第一道屏障，所以即使在網(wǎng)絡系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進行縝密的設計，來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實施保護[2]。</p><p><b>　　2.2.2交換技術</b></p><p>　　傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層?，F(xiàn)代交

37、換技術還實現(xiàn)了第3層交換和多層交換。高層交換技術的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強了企業(yè)網(wǎng)數(shù)據(jù)交換服務質(zhì)量，滿足了不同類型網(wǎng)絡應用程序的需要?，F(xiàn)代交換網(wǎng)絡還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN）的概念。VLAN將廣播域限制在單個VLAN內(nèi)部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術來實現(xiàn)。當網(wǎng)絡管理人員需要管理的交換機數(shù)量眾多時，可以使用VL

38、AN中繼協(xié)議（Vlan Trunking Protocol，VTP）簡化管理，它只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網(wǎng)絡管理人員的工作負擔和工作強度。為了簡化交換網(wǎng)絡設計、提高交換網(wǎng)絡的可擴展性，在企業(yè)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進行的。企業(yè)網(wǎng)數(shù)據(jù)交換設備可以劃分為三個層次：接入層、分布層、核心層。接入層為所有的終端用戶提供一個接入點；分布層除了負責將訪問

39、層交換機進行匯集外，還為整個交換網(wǎng)絡提供VLAN間的路由選擇功能；核</p><p>　　2.2.3 遠程訪問技術</p><p>　　遠程訪問也是企業(yè)網(wǎng)絡必須提供的服務之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務。遠程訪問有三種可選的服務類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務質(zhì)量不同，花費也不相同。企業(yè)用戶可以根據(jù)所需帶寬、本地服務可用性、花費等因

40、素綜合考慮，選擇一種適合企業(yè)自身需要的廣域網(wǎng)接入方案。在本工程案例設計中，分別采用專線連接的VPN和PBR兩種方式實現(xiàn)遠程訪問需求[4]?！?lt;/p><p>　　2.2.4 VLAN</p><p>　　VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術。IEEE于1999年

41、頒布了用以標準化VLAN實現(xiàn)方案的802.1Q協(xié)議標準草案。 </p><p>　　VLAN技術允許網(wǎng)絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個

42、VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，即使是兩臺計算機有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設備投資、簡化網(wǎng)絡管理、提高網(wǎng)絡的安全性。 </p><p>　　VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就

43、是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡。 </p><p>　　既然VLAN隔離了廣播風暴，同時也隔離了各個不同的VLAN之間的通訊，所以不同的VLAN之間的通訊是需要有路由來完成的[5]。</p><p>　　2.2.5 DHCP</p><p>　　DHCP 是 Dynamic Host Configuratio

44、n Protocol(動態(tài)主機分配協(xié)議)縮寫。它分為兩個部份：一個是服務器端，而另一個是客戶端。所有的 IP 網(wǎng)絡設定數(shù)據(jù)都由 DHCP 服務器集中管理，并負責處理客戶端的 DHCP 要求；而客戶端則會使用從服務器分配下來的IP環(huán)境數(shù)據(jù)。比較起 BOOTP ，DHCP 透過 "租約" 的概念，有效且動態(tài)的分配客戶端的 TCP/IP 設定，而且，作為兼容考慮，DHCP 的分配形式 首先，必須至少有一臺 DHCP 工作在

45、網(wǎng)絡上面，它會監(jiān)聽網(wǎng)絡的 DHCP 請求，并與客戶端磋商 TCP/IP 的設定環(huán)境。</p><p>　　DHCP是BOOTP的擴展，是基于C/S模式的，它提供了一種動態(tài)指定IP地址和配置參數(shù)的機制。這主要用于大型網(wǎng)絡環(huán)境和配置比較困難的地方。DHCP服務器自動為客戶機指定IP地址，指定的配置參數(shù)有些和IP協(xié)議并不相關，但這必沒有關系，它的配置參數(shù)使得網(wǎng)絡上的計算機通信變得方便而容易實現(xiàn)了。DHCP使IP地址的可

46、以租用，對于許多擁有許多臺計算機的大型網(wǎng)絡來說，每臺計算機擁有一個IP地址有時候可能是不必要的。租期從1分鐘到100年不定，當租期到了的時候，服務器可以把這個IP地址分配給別的機器使用?？蛻粢部梢哉埱笫褂米约合矚g的網(wǎng)絡地址及相應的配置參數(shù)[6]。</p><p>　　2.2.6 GRE </p><p>　　通用路由封裝（GRE: Generic Routing Encapsulation

47、）定義了在任意一種網(wǎng)絡層協(xié)議上封裝任意一個其它網(wǎng)絡層協(xié)議的協(xié)議。</p><p>　　在大多數(shù)常規(guī)情況下，系統(tǒng)擁有一個有效載荷（或負載）包，需要將它封裝并發(fā)送至某個目的地。首先將有效載荷封裝在一個 GRE 包中，然后將此 GRE 包封裝在其它某協(xié)議中并進行轉(zhuǎn)發(fā)。此外發(fā)協(xié)議即為發(fā)送協(xié)議。當 IPv4 被作為 GRE 有效載荷傳輸時，協(xié)議類型字段必須被設置為 0x800。當一個隧道終點拆封此含有 IPv4 包作為有效

48、載荷的 GRE 包時，IPv4 包頭中的目的地址必須用來轉(zhuǎn)發(fā)包，并且需要減少有效載荷包的 TTL。值得注意的是，在轉(zhuǎn)發(fā)這樣一個包時，如果有效載荷包的目的地址就是包的封裝器（也就是隧道另一端），就會出現(xiàn)回路現(xiàn)象。在此情形下，必須丟棄該包。當 GRE 包被封裝在 IPv4 中時，需要使用 IPv4 協(xié)議 47。</p><p>　　GRE 下的網(wǎng)絡安全與常規(guī)的 IPv4 網(wǎng)絡安全是較為相似的，GRE 下的路由采用 I

49、Pv4 原本使用的路由，但路由過濾保持不變 。包過濾要求防火墻檢查 GRE 包，或者在 GRE 隧道終點完成過濾過程。在那些這被看作是安全問題的環(huán)境下，可以在防火墻上終止隧道[4]。</p><p><b>　　2.2.7 VPN</b></p><p>　　VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網(wǎng)絡”。顧名思義，

50、虛擬專用網(wǎng)絡我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一，目前在交換機，防火墻設備或WINDOWS2000等軟件里也都支持VPN

51、功能，一句話，VPN的核心就是在利用公共網(wǎng)絡建立虛擬私有網(wǎng)。</p><p>　　虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實

52、現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)[4]。</p><p>　　2.2.8 PVST</p><p>　　PVST: Per-VLAN Spanning Tree（每VLAN生成樹） </p><p>　　PVST是解決在虛擬局域網(wǎng)上處理生成樹的CISCO特有解決方案．PVST為每個虛擬

53、局域網(wǎng)運行單獨的生成樹實例．一般情況下PVST要求在交換機之間的中繼鏈路上運行CISCO的ISL。 </p><p>　　每VLAN生成樹 (PVST)為每個在網(wǎng)絡中配置的VLAN維護一個生成樹實例。它使用ISL中繼和允許一個VLAN中繼當被其它VLANs的阻塞時將一些VLANs轉(zhuǎn)發(fā)。盡管PVST對待每個VLAN作為一個單獨的網(wǎng)絡，它有能力(在第2層)通過一些在主干和其它在另一個主干中的不引起生成樹循環(huán)的Vlan

54、s中的一些VLANs來負載平衡通信[7]。</p><p>　　2.2.9 HSRP</p><p>　　HSRP：熱備份路由器協(xié)議（HSRP：Hot Standby Router Protocol）</p><p>　　熱備份路由器協(xié)議（HSRP）的設計目標是支持特定情況下 IP 流量失敗轉(zhuǎn)移不會引起混亂、并允許主機使用單路由器，以及即使在實際第一跳路由器使用失敗

55、的情形下仍能維護路由器間的連通性。換句話說，當源主機不能動態(tài)知道第一跳路由器的 IP 地址時，HSRP 協(xié)議能夠保護第一跳路由器不出故障。該協(xié)議中含有多種路由器，對應一個虛擬路由器。HSRP 協(xié)議只支持一個路由器代表虛擬路由器實現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過程。終端主機將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬路由器上。</p><p>　　負責轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動路由器（Active Router）。一旦主動路由器出現(xiàn)故障，HSR

56、P 將激活備份路由器（Standby Routers）取代主動路由器。HSRP 協(xié)議提供了一種決定使用主動路由器還是備份路由器的機制，并指定一個虛擬的 IP 地址作為網(wǎng)絡系統(tǒng)的缺省網(wǎng)關地址。如果主動路由器出現(xiàn)故障，備份路由器（Standby Routers）承接主動路由器的所有任務，并且不會導致主機連通中斷現(xiàn)象。</p><p>　　HSRP 運行在 UDP 上，采用端口號1985。路由器轉(zhuǎn)發(fā)協(xié)議數(shù)據(jù)包的源地址使

57、用的是實際 IP 地址，而并非虛擬地址，正是基于這一點，HSRP 路由器間能相互識別[10]。</p><p>　　2.2.10 AAA認證</p><p>　　AAA-----身份驗證 (Authentication)、授權 (Authorization)和統(tǒng)計 (Accounting)Cisco開發(fā)的一個提供網(wǎng)絡安全的系統(tǒng)。</p><p>　　AAA ，認證(

58、Authentication)：驗證用戶的身份與可使用的網(wǎng)絡服務;授權(Authorization)：依據(jù)認證結果開放網(wǎng)絡服務給用戶;計帳(Accounting)：記錄用戶對各種網(wǎng)絡服務的用量，并提供給計費系統(tǒng)。整個系統(tǒng)在網(wǎng)絡管理與安全問題中十分有效。</p><p>　　首先，認證部分提供了對用戶的認證。整個認證通常是采用用戶輸入用戶名與密碼來進行權限審核。認證的原理是每個用戶都有一個唯一的權限獲得標準。由AA

59、A服務器將用戶的標準同數(shù)據(jù)庫中每個用戶的標準一一核對。如果符合，那么對用戶認證通過。如果不符合，則拒絕提供網(wǎng)絡連接。</p><p>　　接下來，用戶還要通過授權來獲得操作相應任務的權限。比如，登陸系統(tǒng)后，用戶可能會執(zhí)行一些命令來進行操作，這時，授權過程會檢測用戶是否擁有執(zhí)行這些命令的權限。簡單而言，授權過程是一系列強迫策略的組合，包括：確定活動的種類或質(zhì)量、資源或者用戶被允許的服務有哪些。授權過程發(fā)生在認證上下

60、文中。一旦用戶通過了認證，他們也就被授予了相應的權限?！∽詈笠徊绞菐?，這一過程將會計算用戶在連接過程中消耗的資源數(shù)目。這些資源包括連接時間或者用戶在連接過程中的收發(fā)流量等等?？梢愿鶕?jù)連接過程的統(tǒng)計日志以及用戶信息，還有授權控制、賬單、趨勢分析、資源利用以及容量計劃活動來執(zhí)行帳戶過程。</p><p>　　驗證授權和帳戶由AAA服務器來提供。AAA服務器是一個能夠提供這三項服務的程序。當前同AAA服務器協(xié)作的網(wǎng)絡

61、連接服務器接口是“遠程身份驗證撥入用戶服務 (RADIUS)”[10]。</p><p>　　第3章 大型企業(yè)網(wǎng)絡需求分析</p><p><b>　　3.1 案例分析</b></p><p>　　Cisco公司已經(jīng)成功地在中國實踐了前述的教育網(wǎng)絡設計思想，特別是河南省教育科研寬帶IP骨干網(wǎng)絡全部采用了先進的高速寬帶 光傳輸網(wǎng)絡技術，已經(jīng)成為這

62、類新型教育網(wǎng)絡的典范。</p><p>　　河南省教育科研寬帶IP網(wǎng)絡全面采用Cisco公司的AVVID網(wǎng)絡體系結構，一期工程總共采用了10臺Cisco GSR 12016和GSR12012，近20臺Cisco OSR 6509，其他各類交換機和路由器數(shù)百臺。該網(wǎng)絡集成了遠程教學等多種多媒體應用，特別是采用了550部Cisco的新型7940 IP電話和4套CallManager組建了我國第一個省級IP Telep

63、hony網(wǎng)絡，并結合Cisco視頻產(chǎn)品IPTV系列建立了許多新的教育模式。這一網(wǎng)絡基于分層設計分為三層：骨干傳輸網(wǎng)、城域網(wǎng)、接入網(wǎng)，采用三級管理模式：省網(wǎng)絡中心、地市網(wǎng)絡中心、校園網(wǎng)，連接省內(nèi)各大中專院校、各中小學校、各級教育主管部門和其他教育科研單位，未來更將延伸到每一個需要教育培訓的公眾面前。</p><p>　　骨干網(wǎng)絡由分布在17個地市的核心節(jié)點組成，與河南省廣電合作利用其光纖資源，全省形成環(huán)網(wǎng)狀冗余拓撲

64、結構。在各個核心節(jié)點分別配置Cisco公司在國際上多次獲獎的千兆位路由交換機 GSR 12000系列中的 12016和12012作為核心傳輸設備，節(jié)點間使用裸光纖配合POS 技術實現(xiàn)OC-482.48G鏈路互連并采用HSRP技術，以提供物理層、鏈路層及IP層的冗余連接能力。根據(jù)各地市的具體情況，可以建設城域教育網(wǎng)絡也可以在核心節(jié)點配置匯接設備直接解決接入網(wǎng)絡的接入問題，匯接設備可選用Cisco 12012或6509，采用POS、DPT或

65、千兆以太技術，傳輸速率可達1～2.48Gbps，具體設計可以非常靈活。</p><p>　　基于Cisco IOS的多功能網(wǎng)絡平臺：網(wǎng)絡中采用的網(wǎng)絡設備均采用Cisco IOS (Internetworking Operation System互聯(lián)網(wǎng)絡操作系統(tǒng))為核心功能軟件。Cisco IOS集成了路由技術，局域網(wǎng)交換技術，ATM交換技術，各種移動遠程訪問接入技術，廣域網(wǎng)互連技術等超過15,000個網(wǎng)絡互連功能

66、，已經(jīng)成為網(wǎng)絡互連的標準。CiscoIOS系統(tǒng)支持今天的絕大多數(shù)網(wǎng)絡應用系統(tǒng)，同時Cisco IOS系統(tǒng)可提供從數(shù)據(jù)鏈路層到應用層的多種網(wǎng)絡服務，如：L2/L3VPN(虛擬專網(wǎng))，VPDN(虛擬撥號專網(wǎng))，以及對MPLS技術的支持允許提供各種網(wǎng)絡增值服務。</p><p>　　豐富的網(wǎng)絡安全機制：網(wǎng)絡設計是按照標準ISP(國際互聯(lián)網(wǎng)絡服務商)方式設計的IP交換網(wǎng)絡平臺。整個網(wǎng)絡與國際互聯(lián)網(wǎng)絡平滑連接，因此網(wǎng)絡的安

67、全性尤其重要。方案中采用Cisco IOS多種安全策略： </p><p>　　1) 網(wǎng)絡路由信息交換安全策略：包含路由器的認證，路由信息過濾，多種動態(tài)路由協(xié)議信息交換控制等。 </p><p>　　2) 網(wǎng)絡服務安全控制：包含標準訪問控制列表(ACL)，擴展的訪問控制列表(Extend ACL)，動態(tài)訪問控制列表(Refliex ACL)，按數(shù)據(jù)流的訪問統(tǒng)計和監(jiān)控(Netflow)，網(wǎng)絡

68、資源訪問用戶認證/授權和記帳(lock & key)。 </p><p>　　3) 基于網(wǎng)絡層的加密：網(wǎng)絡設備可提供基于標準的網(wǎng)絡層加密技術：IPSec ，可以提供高可靠的網(wǎng)絡訪問安全機制。 </p><p>　　4) 網(wǎng)絡攻擊防范：Cisco IOS可通過對網(wǎng)絡訪問連接的監(jiān)控和分析，發(fā)現(xiàn)可能出現(xiàn)的網(wǎng)絡攻擊，如Sync Attack 等，并采取相應的的控制手段保護網(wǎng)絡資源。 <

69、;/p><p>　　5) 網(wǎng)絡系統(tǒng)告警(Syslog)：網(wǎng)絡中采用的設備可對監(jiān)控到的網(wǎng)絡攻擊和各種非正常訪問發(fā)出告警，提醒網(wǎng)絡管理人員及時發(fā)現(xiàn)問題并采取相應安全策略。 </p><p>　　設備安全：網(wǎng)絡的各種安全策略的實現(xiàn)均基于網(wǎng)絡設備的安全設置，這使得網(wǎng)絡設備本身的安全控制顯得尤其重要。網(wǎng)絡設備本身具有多種訪問控制安全策略： </p><p>　　1) 多級訪問控制

70、密碼：網(wǎng)絡中各設備訪問控制可通過15級不同的訪問權限，網(wǎng)管人員可設置不同的訪問權限。如：普通操作員只能監(jiān)視設備運行，不可進行其他操作；高級的管理員可做故障診斷，不可修改設備配置文件；系統(tǒng)管理員可具有所有功能權限等。 </p><p>　　2) 網(wǎng)絡管理系統(tǒng)的安全控制：由于本網(wǎng)絡中網(wǎng)絡管理系統(tǒng)采用標準的SNMP網(wǎng)絡管理技術，因此網(wǎng)絡設備的網(wǎng)管可能出現(xiàn)漏洞。本網(wǎng)絡中的網(wǎng)絡設備可提供多種保護手段，如：特別的網(wǎng)管訪問密碼

71、；由設備指定特別的網(wǎng)絡管理工作站系統(tǒng)等。 </p><p>　　易管理維護的網(wǎng)絡：由于采用了IP骨干技術、DHCP技術和MPLS技術，使得網(wǎng)絡的管理簡單化。這可以使網(wǎng)絡管理人員大為精簡，節(jié)約運行開銷。網(wǎng)絡管理人員只需在規(guī)劃好的網(wǎng)絡結構內(nèi)提供各個接入網(wǎng)絡的接入控制即能實行各種網(wǎng)絡服務。網(wǎng)絡系統(tǒng)的管理工作重點變?yōu)閷τ诠歉删W(wǎng)絡的運行實施系統(tǒng)監(jiān)控。由于采用的網(wǎng)絡設備自身已具備較為完善的網(wǎng)絡管理、監(jiān)控和維護功能，因此采用建

72、立一個管理工具齊全的集中的網(wǎng)絡管理中心即可實現(xiàn)全網(wǎng)絡的系統(tǒng)管理和監(jiān)控[11]。</p><p>　　3.2 大型企業(yè)網(wǎng)絡分析</p><p>　　為適應企業(yè)信息化的發(fā)展，滿足日益增長的通信需求和網(wǎng)絡的穩(wěn)定運行，今天的企業(yè)網(wǎng)絡建設比傳統(tǒng)企業(yè)網(wǎng)絡建設有更高的要求，本文將通過對如下幾個方面的需求分析來規(guī)劃出一套最適用于目標網(wǎng)絡的拓撲結構。</p><p>　　3.2.1

73、寬帶性能需求</p><p>　　現(xiàn)代大型企業(yè)網(wǎng)絡應具有更高的帶寬，更強大的性能，以滿足用戶日益增長的通信需求。隨著計算機技術的高速發(fā)展，基于網(wǎng)絡的各種應用日益增多，今天的企業(yè)網(wǎng)絡已經(jīng)發(fā)展成為一個多業(yè)務承載平臺。不僅要繼續(xù)承載企業(yè)的辦公自動化，Web瀏覽等簡單的數(shù)據(jù)業(yè)務，還要承載涉及企業(yè)生產(chǎn)運營的各種業(yè)務應用系統(tǒng)數(shù)據(jù)，以及帶寬和時延都要求很高的IP電話、視頻會議等多媒體業(yè)務。因此，數(shù)據(jù)流量將大大增加，尤其是對核心

74、網(wǎng)絡的數(shù)據(jù)交換能力提出了前所未有的要求。另外，隨著千兆位端口成本的持續(xù)下降，千兆位到桌面的應用會在不久的將來成為企業(yè)網(wǎng)的主流。從2004年全球交換機市場分析可以看到，增長最迅速的就是10 Gbps級別機箱式交換機，可見，萬兆位的大規(guī)模應用已經(jīng)真正開始。所以，今天的企業(yè)網(wǎng)絡已經(jīng)不能再用百兆位到桌面千兆位骨干來作為建網(wǎng)的標準，核心層及骨干層必須具有萬兆位級帶寬和處理性能，才能構筑一個暢通無阻的"高品質(zhì)"大型企業(yè)網(wǎng)，從而適

75、應網(wǎng)絡規(guī)模擴大，業(yè)務量日益增長的需要[7]。</p><p>　　3.2.2 穩(wěn)定可靠需求</p><p>　　現(xiàn)代大型企業(yè)的網(wǎng)絡應具有更全面的可靠性設計，以實現(xiàn)網(wǎng)絡通信的實時暢通，保障企業(yè)生產(chǎn)運營的正常進行。隨著企業(yè)各種業(yè)務應用逐漸轉(zhuǎn)移到計算機網(wǎng)絡上來，網(wǎng)絡通信的無中斷運行已經(jīng)成為保證企業(yè)正常生產(chǎn)運營的關鍵?，F(xiàn)代大型企業(yè)網(wǎng)絡在可靠性設計方面主要應從以下3個方面考慮。</p>

76、<p>　　設備的可靠性設計：不僅要考察網(wǎng)絡設備是否實現(xiàn)了關鍵部件的冗余備份，還要從網(wǎng)絡設備整體設計架構、處理引擎種類等多方面去考察。</p><p>　　業(yè)務的可靠性設計：網(wǎng)絡設備在故障倒換過程中，是否對業(yè)務的正常運行有影響。</p><p>　　鏈路的可靠性設計：以太網(wǎng)的鏈路安全來自于多路徑選擇，所以在企業(yè)網(wǎng)絡建設時，要考慮網(wǎng)絡設備是否能夠提供有效的鏈路自愈手段，以及快速重

77、路由協(xié)議的支持[7]。</p><p>　　3.2.3 服務質(zhì)量需求</p><p>　　現(xiàn)代大型企業(yè)網(wǎng)絡需要提供完善的端到端QoS保障，以滿足企業(yè)網(wǎng)多業(yè)務承載的需求。大型企業(yè)網(wǎng)絡承載的業(yè)務不斷增多，單純的提高帶寬并不能夠有效地保障數(shù)據(jù)交換的暢通無阻，所以今天的大型企業(yè)網(wǎng)絡建設必須要考慮到網(wǎng)絡應能夠智能識別應用事件的緊急和重要程度，如視頻、音頻、數(shù)據(jù)流（MIS、ERP、OA、備份數(shù)據(jù)）。同

78、時能夠調(diào)度網(wǎng)絡中的資源，保證重要和緊急業(yè)務的帶寬、時延、優(yōu)先級和無阻塞的傳送，實現(xiàn)對業(yè)務的合理調(diào)度才是一個大型企業(yè)網(wǎng)絡提供"高品質(zhì)"服務的保障[7]。</p><p>　　3.2.4 網(wǎng)絡安全需求</p><p>　　現(xiàn)代大型企業(yè)網(wǎng)絡應提供更完善的網(wǎng)絡安全解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟損失。傳統(tǒng)企業(yè)網(wǎng)絡的安全措施主要是通過部署防火墻、IDS、殺毒軟件，

79、以及配合交換機或路由器的ACL來實現(xiàn)對病毒和黑客攻擊的防御，但實踐證明這些被動的防御措施并不能有效地解決企業(yè)網(wǎng)絡的安全問題。在企業(yè)網(wǎng)絡已經(jīng)成為公司生產(chǎn)運營的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡必須要有一整套從用戶接入控制，病毒報文識別到主動抑制的一系列安全控制手段，這樣才能有效地保證企業(yè)網(wǎng)絡的穩(wěn)定運行[7]。</p><p>　　3.2.5 應用服務需求</p><p>　　現(xiàn)代大型企業(yè)網(wǎng)絡應

80、具備更智能的網(wǎng)絡管理解決方案，以適應網(wǎng)絡規(guī)模日益擴大，維護工作更加復雜的需要。當前的網(wǎng)絡已經(jīng)發(fā)展成為"以應用為中心"的信息基礎平臺，網(wǎng)絡管理能力的要求已經(jīng)上升到了業(yè)務層次，傳統(tǒng)的網(wǎng)絡設備的智能已經(jīng)不能有效支持網(wǎng)絡管理需求的發(fā)展。比如，網(wǎng)絡調(diào)試期間最消耗人力與物力的線纜故障定位工作，網(wǎng)絡運行期間對不同用戶靈活的服務策略部署、訪問權限控制、以及網(wǎng)絡日志審計和病毒控制能力等方面的管理工作，由于受網(wǎng)絡設備功能本身的限制，都還

81、屬于費時、費力的任務。所以現(xiàn)代的大型企業(yè)網(wǎng)絡迫切需要網(wǎng)絡設備具備支撐"以應用為中心"的智能網(wǎng)絡運營維護的能力，并能夠有一套智能化的管理軟件，將網(wǎng)絡管理人員從繁重的工作中解脫出來[7]。</p><p>　　3.3 本課題系統(tǒng)需求分析</p><p>　　本課題設計一個大型的企業(yè)網(wǎng)絡，網(wǎng)絡聯(lián)接的建筑物有三個：兩個辦公樓和一個行政樓。</p><p>

82、;　　管理部、財務部和網(wǎng)絡部在行政樓中；</p><p><b>　　市場部在辦公樓A；</b></p><p>　　銷售部和人力資源部在辦公樓B。</p><p>　　所以我們已建筑物的中心也就是行政樓的三層為網(wǎng)絡的中心，用光纖連接辦公樓A、B，構成電子商務公司網(wǎng)絡光纖主干。</p><p>　　辦公樓2個，行政樓1個

83、</p><p>　　1．劃分VLAN （見表1）</p><p>　　2．VTP 動態(tài)學習VLAN</p><p>　　3．PVST(選根，二層冗余)</p><p>　　4．SVI（VLAN間路由）</p><p>　　5．HSRP（三層冗余）</p><p><b>　　6．DH

84、CP</b></p><p><b>　　7．根防護</b></p><p><b>　　8．3個FAST</b></p><p><b>　　9．靜態(tài)路由</b></p><p>　　10．SITE-TO-SITE VPN（連接分公司，固定IP）</p>

85、;<p><b>　　11．AAA</b></p><p>　　12．PBR（20M專線）</p><p><b>　　13．網(wǎng)管控制</b></p><p>　　第4章 網(wǎng)絡系統(tǒng)實現(xiàn)</p><p>　　4.1 大型企業(yè)網(wǎng)絡拓撲圖</p><p>　　圖 4-

86、1 網(wǎng)絡拓撲圖</p><p>　　4.2 VLAN及IP地址的規(guī)劃</p><p>　　表 1 VLAN劃分</p><p>　　路由器R1與電信連接的接口F0/0IP為202.100.1.10/24，與HX1連接的接口F1/1IP為192.168.1.1/24，與HX2連接的接口F1/2IP為192.168.2.1/24,與R2連接的接口F1/3IP為192.

87、168.3.1/24。</p><p>　　路由器R2與網(wǎng)通連接的接口F0/0IP為202.100.3.10/24，與HX1連接的接口F1/2IP為192.168.4.1/24，與HX2連接的接口F1/1IP為192.168.5.1/24,與R2連接的接口F1/3IP為192.168.3.2/24。</p><p>　　路由器R3與HX1連接的接口F1/1IP為192.168.6.1/24

88、，與HX2連接的接口F1/2IP為192.168.7.1/24，與server連接的接口F1/0IP為192.168.8.1/24 。</p><p>　　路由器R4上與電信連接的接口F1/0IP為202.100.2.10/24，與網(wǎng)通連接的接口F1/1IP為202.100.4.10/24，與SW11連接的接口F1/2IP為10.1.24.1/22。</p><p>　　交換機HX1與R1

89、相連的接口F1/0IP為192.168.1.2/24,與R2相連的接口F1/1IP為192.168.4.2/24,與R3相連的接口F1/2IP為192.168.6.2/24。</p><p>　　交換機HX2與R1相連的接口F1/0IP為192.168.2.2/24,與R2相連的接口F1/1IP為192.168.5.2/24,與R3相連的接口F1/2IP為192.168.7.2/24。</p>&l

90、t;p>　　4.3 關鍵網(wǎng)絡設備及數(shù)量</p><p>　　核心層交換機：Cisco Catalyst 6509 交換機 2臺</p><p>　　匯聚層交換機：Cisco Catalyst 4509 交換機 4臺</p><p>　　接入層交換機：Cisco Catalyst 2950 24口 交換機 100臺</p>

91、<p>　　接入路由器： Cisco 3500 路由器 4臺</p><p>　　4.4 關鍵網(wǎng)絡設備介紹</p><p>　　圖 8 Cisco 6509交換機</p><p>　　Catalyst 6509是帶有9個插槽的交換機機箱，它可以加兩個電源，可按需求配置不同功能類型的模塊（如防火墻模塊、入侵檢模塊、VPN 模

92、塊、SSL 加速模塊、網(wǎng)絡流量分析模塊等），更靈活應用在不同需求的網(wǎng)絡設計平臺上，提高穩(wěn)定性及安全性。</p><p>　　首先，為Catalyst 6509核心交換機配備Cisco Catalyst 6500 Supervisor Engine 720模塊。Supervisor Engine 720支持Catalyst 6500系列的第三代模塊，能夠為企業(yè)和電信運營商網(wǎng)絡提供先進的IP服務，并提高端口密度，因而

93、非常適合部署在高性能的核心層、數(shù)據(jù)中心和城域網(wǎng)中。由于使用同一套接口、操作系統(tǒng)和管理工具，Catalyst 6500系列監(jiān)控引擎(Supervisor Engines)能提供操作一致性——可使用相同的備件，所有模塊都具有可以預測的性能和多種功能。增強型QOS機制、基于硬件的GRE隧道和NAT，以及由硬件加速的基于MPLS的高性能服務；支持基于用戶的Microflow監(jiān)管，對每個用戶實施服務等級協(xié)議；采用分布式轉(zhuǎn)發(fā)模式，提供高達200Mp

94、ps的硬件IPv6能力，可以順利過渡到Internet 2和其他支持3G和PDA的通信網(wǎng)絡；配備光纖通道接口模塊滿足光纖接入需求。加6500系列的防火墻服務模塊（FWSM）可以為大型企業(yè)和服務供應商提供無以倫比的安全性、可靠性和性能。</p><p>　　Catalyst 6500系列和為企業(yè)網(wǎng)絡和服務供應商網(wǎng)絡提供了一系列高性能多層交換解決方案。6500系列提供了廣泛的智能交換解決方案，使公司內(nèi)部網(wǎng)和Inter

95、net能夠支持多媒體、關鍵任務數(shù)據(jù)和語音應用。6500系列交換機為園區(qū)網(wǎng)提供了高性能、多層交換的解決方案，專門為需要千兆擴展、可用性高、多層交換的應用環(huán)境設計，主要面向園區(qū)骨干連接等場合。</p><p>　　圖9 Cisco Catalyst 4500系列交換機</p><p>　　Cisco Catalyst 4500系列能夠為無阻礙的第2/3/4層交換提供集成式彈性，因而能進一步加強

96、對融合網(wǎng)絡的控制（見圖9）?？捎眯愿叩娜诤险Z音/視頻/數(shù)據(jù)網(wǎng)絡能夠為正在部署基于互聯(lián)網(wǎng)企業(yè)應用的企業(yè)和城域以太網(wǎng)客戶提供業(yè)務彈性。</p><p>　　作為新一代Cisco Catalyst 4000系列平臺，Cisco Catalyst 4500系列包括三種新型Cisco Catalyst 機箱：Cisco Catalyst 4507R（七個插槽）、Cisco Catalyst 4506（六個插槽）和Cisco

97、 Catalyst 4503（三個插槽）。Cisco Catalyst 4500系列中提供的集成式彈性增強包括1＋1超級引擎冗余（只對Cisco Catalyst 4507R）、集成式IP電話電源、基于軟件的容錯以及1+1電源冗余。硬件和軟件中的集成式冗余性能夠縮短停機時間，從而提高生產(chǎn)率、利潤率和客戶成功率。</p><p>　　作為Cisco AVVID（集成語音、視頻和融合數(shù)據(jù)體系結構）的關鍵組件，Cisc

98、o Catalyst 4500能夠通過智能網(wǎng)絡服務將控制擴展到網(wǎng)絡邊緣，包括高級服務質(zhì)量（QoS）、可預測性能、高級安全性、全面管理和集成式彈性。由于Cisco Catalyst 4500系列提供與Cisco Catalyst 4000系列線卡和超級引擎的兼容性，因而能夠在融合網(wǎng)絡中延長Cisco Catalyst 4000系列的部署窗口。由于這種方式能減少重復運作開支，降低擁有成本，因而能提高投資回報（ROI）。</p>

99、<p>　　圖10 Cisco Catalyst 3550系列智能以太網(wǎng)交換機</p><p>　　Cisco Catalyst 3550系列智能以太網(wǎng)交換機是一個可堆疊多層交換機系列，可通過高可用性、服務質(zhì)量（QoS）和安全性來改進網(wǎng)絡運行（見圖10）。憑借一系列快速以太網(wǎng)和千兆位以太網(wǎng)配置，Cisco Catalyst 3550系列堪稱一款適用于企業(yè)和城域接入應用的強大選擇。</p>

100、<p>　　圖11 Cisco Catalyst 2950系列智能以太網(wǎng)交換機</p><p>　　Cisco Catalyst 2950系列智能以太網(wǎng)交換機是一個固定配置、可堆疊的獨立設備系列，提供了線速快速以太網(wǎng)和千兆位以太網(wǎng)連接（見圖11）。這是一款最廉價的Cisco交換產(chǎn)品系列，為中型網(wǎng)絡和城域接入應用提供了智能服務。作為思科最為廉價的交換產(chǎn)品系列，Cisco Catalyst 2950系列在

101、網(wǎng)絡或城域接入邊緣實現(xiàn)了智能服務。</p><p><b>　　4.5網(wǎng)絡設備配置</b></p><p>　　4.5.1 基礎配置</p><p>　　這里以接入層交換機SW1為例（見圖1）</p><p><b>　　圖1 接入層設備</b></p><p><b&

102、gt;　　Switch>en</b></p><p><b>　　進入特權模式</b></p><p>　　Switch#conf t</p><p><b>　　進入全局模式</b></p><p>　　Enter configuration commands, one per

103、line. End with CNTL/Z.</p><p>　　此注釋說明在全局模式下直接按CNTL+Z可以進入特權模式</p><p>　　Switch(config)#hostname SW1</p><p>　　修改路由器或者交換機的名字，方便管理</p><p>　　SW1(config)#no ip domain lookup

104、</p><p>　　關閉域名查詢 啟用與禁止DNS服務器，在交換機默認配置的情況下，當我們輸入一條錯誤的交換機命令時，交換機會嘗試將其廣播給網(wǎng)絡上的DNS服務器并將其解析成對應的IP地址。利用命令no ip domain lookup，可以禁用DNS服務器，可以減少輸入錯誤命令的等待時間</p><p>　　SW1(config)#line console 0</p>&

105、lt;p>　　進入CONCOLE 0口線程下，通過CONSOLE線串口直接控制交換機或路由器接口</p><p>　　SW1(config-line)#no exec-timeout </p><p>　　關閉超時時間（真實工程中不能用此命令）</p><p>　　SW1(config-line)#logging synchronous</p>

106、<p>　　在線路上同步輸出 用戶在為交換機配置命令時，配置命令會被交換機產(chǎn)生的內(nèi)部信息隔開或打亂以 使用命令logging synchronous設置交換機在下一行CLI提示符后復制用戶的輸入。</p><p>　　以上配置為路由器和交換機的基本配置，有方便管理防止出錯的作用，所以每臺設備上都要配置。</p><p>　　4.5.2 使用VTP</p><

107、p>　　從提高效率的角度出發(fā)，在企業(yè)網(wǎng)實現(xiàn)實例中使用了VTP技術。將分布層FB1設置成為VTP服務器，其他交換機設置成為VTP客戶機。這里接入層交換機SW1將通過VTP獲得在分布層交換機FB1中定義的所有VLAN的信息。（見圖2）</p><p>　　圖2 分布層設備FB1</p><p>　　FB1#vlan database </p><p>　　特權模式

108、下進入VLAN設置模式(小凡模擬器特有)</p><p>　　FB1(vlan)#vtp domain cisco</p><p><b>　　定義VTP域名</b></p><p>　　Changing VTP domain name from NULL to cisco</p><p>　　FB1(vlan)#vtp