网络课程设计企业网络规划书4

⑶ 冗余电源
     Cisco6509系列以太网交换机提供了RPS电源备份接口，可以对设备提供一对一的电源备份和保护，也可以以一路直流电源对多台支持RPS接口的设备进行备份和保护。
⑷ 生成树（STP/RSTP/MSTP）
Cisco6509系列以太网交换机支持STP/RSTP/MSTP生成树协议。
生成树协议主要用来建立和维护局域网的拓扑，消除循环连接导致的网络广播风暴，并且提供网络的拓扑的冗余备份功能，平时作为备份的路径被阻塞，当主用路径网络设备出现故障时，能够及时调整端口状态，调整网络拓扑。
   生成树协议的工作原理：网络中的桥接设备根据设定的优先值和MAC地址，确定最优先的设备为网络的根桥，根桥向外定时发送Config BPDU报文，每个收到该报文的交换机将报文内容根据自身的配置和所掌握的网络拓扑结构进行更新下发到其他端口，当一个交换机从两个或两个以上端口接收到Config BPDU的时候就表明网络中存在循环，保留其中一个端口为转发状态，设置其余端口为阻塞状态。
   除了支持传统的生成树协议外，Cisco6509系列以太网交换机还支持IEEE 802.1w快速生成树协议(RSTP)，以及802.1s多生成树协议（MSTP）。快速生成树协议是生成树协议的改进，在原有功能的基础上提高了网络保护的性能。传统生成树倒换时间为42s，从发现链路断裂、数据中断到数据恢复至少需要三十多秒的时间，而快速生成树协议只需6～8秒的时间就可以将数据流切换到备份链路上。
802.1s多生成树协议（MSTP）可以通过支持一个网络内的多个生成树，这使管理员可以把VLAN流量分配给唯一的通路。网络管理员只要为VLAN分配独立的生成树拓扑，就可以确保两个VLAN都能在网上顺畅传输。这就可以起到均衡网络流量，提高可靠性的作用。Cisco6509系列以太网交换机最大可以支持17个或者33个STP实例。
⑸ 链路聚合（Link Aggregation ）
   为了在以太网上获得更高的数据传输带宽，Cisco6509系列以太网交换机提供了二层的端口链路聚合功能（基于标准IEEE 802.3ad）。这样在生成树协议（STP）和其他二层协议上看，作了链路聚合的所有物理端口被视为同一个端口。在作了链路聚合的端口之间可以做冗余备份和负载分担。
   在实际应用中，进行聚合处理的端口等同于一个端口，任何转发到聚合的端口上的报文会通过对源、目的地址的逻辑运算来分布到聚合的不同端口上。即使是多播和广播报文也不会被复制多份，也要通过对地址的逻辑计算，将流量平衡分配到不同的端口上。Cisco6509系列以太网交换机系统在二层和三层对硬件查表未命中的新地址进行监控。如果新地址是在聚合的端口上时，根据二层和三层的不同，使用MAC地址或IP地址进行逻辑计算，根据逻辑的结果选择相应端口为转发端口，发往该目的地址的帧将按照计算负载均衡后的结果进行转发，实现端口之间负载均衡和冗余保护，保证数据流不出现乱序现象。
⑹ HSRP
   HSRP是CISCO公司是所特有的。HSRP向主机提供了缺省网关的冗余性，减少了主机维护路由表的任务。当网络边缘设备或接入电路出现故障时，HSRP提供了一个较好的解决方案，它能够确保用户通信迅速并透明地恢复，以此为IP网络提供冗余性、容错和增强的路由选择功能。通过使用热备份路由份协议（HSRP），可使网络对最终用户的可用性得到充分的保证。另外，通过多个热备份组，路由器可以提供冗余备份，并在不同的IP子网上实现负载分担。

公司园区网的IP地址规范中规定：网关的地址统一使用子网的最后一个可用地址。启用HSRP协议之后，这个地址就是HSRP的虚拟地址。

在成对的两台汇聚层多层交换机上，具体的HSRP配置规范如下：

1． 接口的IP地址：在第一台多层交换机上，某个VLAN虚拟接口的IP地址是子网的最后第三个可用地址，在第二台多层交换机上，某个VLAN虚拟接口的IP地址是子网的最后第二个可用地址。

2．热备份组号：热备份组号与接口的VLAN号相同。

3．热备份地址：热备份地址是子网的最后一个可用地址。

4．热备份优先级：在主用的多层交换机了，某个VLAN虚拟接口的热备份优先级是120。并且主用的汇聚层交换机配置占先权。

⑺ 等价路由（ECMP）
   除了从设备级支持三层转发容错协议VRRP之外，Cisco6509系列以太网路由交换机还支持等价路由（ECMP）。等价路由即为到达同一个目的IP或者目的网段存在多条Cost值相等的不同路由路径，当设备支持等价路由时，发往该目的IP或者目的网段的三层转发流量就可以通过不同的路径分担，实现网络的负载均衡，并在其中某些路径出现故障时，由其它路径代替完成转发处理，实现路由冗余备份功能。
  不仅从软件上，而且从硬件上也支持等价路由是Cisco6509系列以太网路由交换机与业界类似产品相比显著的优点。以前部分路由交换机虽然也宣称支持等价路由，但实际上只是从软件上支持，对软件转发的报文可以使用等价路由，但对于由硬件直接转发的报文，则只能从一条固定路径转发。而Cisco6509系列以太网路由交换机从硬件上也实现了等价路由的支持，真正实现了硬件三层转发流量的负载分担与路由冗余备份。
Cisco6509系列以太网路由交换机最大支持4条等价路由，并且不论RIP、OSPF等路由协议产生的路由，还是静态配置路由，不论是网段路由还是主机路由，甚至缺省路由，都可以支持等价路由。
Cisco6509系列以太网路由交换机在支持等价路由、实现负载均衡的同时，还能很好地保证报文的有序性。通过数据流的目的IP地址和源IP地址进行计算，Cisco6509系列以太网路由交换机可以保证同一个IP转发流都从同一个路由路径被转发出去，从而保证了整个端到端网络的路由报文转发的有序性，避免了TCP全局同步等问题的发生。
⑻ 策略路由（PBR）
     Cisco6509系列以太网路由交换机支持高性能的策略路由。策略路由（Policy-Based Routing，简称PBR）是目前越来越多的路由器或三层交换机设备正在支持的一项路由扩展功能，支持策略路由的设备不仅能以报文的目的IP地址为依据来进行路由选择，还可以以报文的源IP地址、源MAC地址、报文大小、报文进入的端口、报文类型、报文的VLAN属性等等其它扩展条件来选择路由。通过合理的路由策略设计，可以实现网络流量的负载均衡，充分利用路由设备，并实现路由、交换设备之间的冗余备份功能，同时提供各种可以区分的服务等级，为不同用户提供不同的QoS服务。策略路由是设置在接收报文接口而不是发送接口。Cisco6509系列以太网路由交换机可以很好地支持策略路由功能，并且可以将路由下一跳重定向到某个物理端口，或者某个下一跳IP地址。

⑼ VPN

Cisco6509系列以太网路由交换机支持VPN,VPN（虚拟专网）是利用公共网络资源(如公用电信网)为客户组建专用网的一种技术，它通过对网络数据进行封包和加密传输，在公网上传输私有数据，达到私有网络的安全级别，从而利用公网构筑专网（即VPN）。它是一种逻辑上的专用网络，向用户提供专用网络所具有的功能，但本身却不是一个独立的物理网络。

(10) NAT技术类型
    NAT有三种类型：静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT（Port－Level NAT）。
    其中静态NAT设置起来最为简单和最容易实现的一种，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，三种NAT方案各有利弊。
    动态地址NAT只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址，主要应用于拨号，对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后，动态地址NAT就会分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。
    网络地址端口转换NAPT（Network Address Port Translation）是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。

5.6 网络安全设计

  公司网络有1000左右用户，网络规模比较大，并且和因特网存在连接。为了保障网络系统的运行安全，保护集团的信息安全，必须进行网络安全方面的规划和实施。

    一个网络的安全，首先要有严格和有效执行的管理制度。建议公司制定严格的网络安全管理策略，并有效的执行。其次，必须具有一定的技术手段来保障网络的安全。技术和管理手段相结合实施，才能够产生良好的效果。

通过以下几个技术方面的实施，可以在一定程度上保障网络的安全：

⑴ 提高设备的物理安全性

设备的物理安全性是指运行中的设备，未经授权的人员不能直接接触到。提高设备的物理安全性，是最基本的要求。通过将设备安置在独立的设备间中，并增加门禁系统，确保只有授权的管理和维护人员才能接触到物理设备。

⑵ 配置设备的口令

配置设备的口令，是防止非授权的人员更改网络系统的配置的重要手段。 要为所有的设备设置口令。要为每一台设备配置CONSOLE口令，AUX口令，VTY口令，特权口令等。在口令方面，需要制定管理制度并严格执行。口令管理制度包括口令的设置，保管，更改，口令的强度等内容。

⑶ 进行VTP域的认证

进行VTP域的认证，能够保证局域网的VLAN等的安全。

设置了口令之后，除非交换机设置了正确的口令，否则。新交换机不能自动加入到已存在的管理域中。保证了局域网的运行安全，可以避免因为VLAN被错误或者恶意的增加，删除造成的运行事故。

⑷ 园区用户的接入控制

因为一般的安全措施都不是针对网络用户的，严格控制用户的接入，可以避免非法用户接入带来的潜在的安全隐患。园区网系统建设验收完毕之后，确保交换机的所有用户端口处于关闭状态。只有用户使用申请通过批准之后网络管理员才能将端口激活。

⑸ 应用系统的访问限制

可以 根据集团的应用需求，在汇聚层的多层交换机上实施访问控制，限制园区网用户对特定应用系统的访问，或者只允许特定的用户访问某些资源。

六、网络逻辑结构设计

根据以上网络设计方案，公司网络拓扑图如下：

6-1总公司拓扑图

为了您的安全，请只打开来源可靠的网址

打开网站    取消

来自:
http://hi.baidu.com/faithsay/blog/item/e393405843c825db9d8204c1.html