1、大型企業網間網設計與實現 引言：在網絡技術不斷斷發展的今天天，大型企業業網絡建設面面臨多種網絡絡技術的選擇。選選擇怎樣的網網絡技術來滿滿足企業未來來發展的需要要，是擺在各各大企業面前前的一個課題題。雖然網絡絡技術在飛速速發展，但企企業網絡建設設有其內在規規律，把握這這些內在的規規律，將有助助于指導大型型企業的網絡絡建設。 本文定定義的大型企企業網絡是跨跨地域和有層層次的網絡。企企業的網絡層層次和行政結結構相對應，網網絡層次在二二層或三層以以上，網絡連連接可能是跨跨地市、跨省的，也也可能是全國國范圍的。例例如，銀行、國稅系統，民民航、鐵路、政府辦公系系統等都是跨跨地域，多層層次系統，在在網絡建設

2、上上都有其共同同的特點。從從總體上說，企企業網絡涉及及到系統軟件件平臺、硬件平臺，布布線系統，局局域網建設，廣廣域網建設，應應用軟件（包包括業務應用用和WWW服服務等）、網絡安全，網網絡管理等方方方面面。 本文從大型企業業網絡設計的的角度介紹大大型企業網絡絡的設計和實實現方法。企業網絡建設過過程的幾個階階段企業網絡建設總總體上分為設設計階段、實施階段和和網絡管理維維護階段。從網絡設設計的角度來來講，分為應應用驅動法和和基礎設施法法。應用驅動動法是采用根根據應用需求求，從工作組組網絡、樓宇網絡、園區網絡到到廣域網絡的的由近到遠的的設計方法。基基礎設施法是是根據基本的的網絡規劃，采采用從廣域網網絡

3、、園區網絡到到樓宇網絡的的由遠及近的的設計方法。企業網絡建設過過程分為如下下幾個階段： 1、需需求分析階段段。通常大型企業在在網絡建設中中已有部分的的網絡環境，這這些網絡環境能滿足當時網網絡應用的需需要。但網絡絡可能是一個個個孤立的小小島，只能在在局部范圍內內實現網絡應應用及資源共共享，企業網網絡沒有形成成一個整體。企企業網絡規劃劃時，要考慮慮網絡建設的的整體性，既既要保護原有有的投資，又又要在網絡技技術的選型上上有前瞻性。網絡需求分析主要是根據企業業務發展需求和企業信息技術應用需求，提出企業網絡建設的總體目標和關鍵技術指標。 企業網網絡需求分析析包含如下幾幾方面：網絡標準和協議議要求。全網絡

4、信息點分分布需求，包包括局域網布布線結構要求求，廣域網傳傳輸介質要求求。網絡層次劃分及及網絡拓撲結結構要求。結合應用的網絡絡設備處理能能力和帶寬要要求。局域網和廣域網網要求。Interneet接入，外外網接入，防防火墻技術要要求。企業網絡應用要要求。 網絡設備選型要要求。網絡應用和網絡絡技術的關系系（如多媒體體、IP話音和和網絡結構的的要求）。網絡可靠性、擴擴展性和安全全性要求。網絡管理要求。2、網絡規劃階階段。企業網絡規劃是是從企業網絡絡需求分析到到企業網邏輯輯設計中間必必經階段，主主要根據企業業網絡需求分分析得出分離離的、外在的技術術指標（如用用戶數、桌面微機的的站點數、最大響應時時間要求

5、等等等）。運用企企業網絡本身身內在的規律律和關聯算法法，得出整個個企業網絡內內在的技術框框架和技術指指標（如桌面面帶寬要求、主干帶寬要要求、服務器處理理性能要求等等等）。3、網絡邏輯設設計階段。 網絡邏邏輯設計階段段主要根據企企業網絡需求求分析結果，根根據企業網絡絡規劃的內在在技術指標，按按照計算機網網絡設計的經經驗和方法，在在現有的可行行的網絡技術術范圍內，設設計企業網絡絡的連接結構構、協議結構以以及每個網絡絡的功能結構構。企業網絡設計主主要確定網絡絡的連接結構構，網絡節點點的類型、 功能和容容量。網絡傳傳輸鏈路的類類型和容量，以以及網絡安全全控制結構和和網絡管理結結構。網絡物理設計階階段。

6、網絡物理設計主主要確定實施施網絡邏輯設設計方案的廠廠家產品的類類型、數量和具體體配置，以及及與網絡邏輯輯設計方案中中連接結構相相吻合的物理理拓撲結構。網絡實施階段。網絡實施階段主主要是采購所所需的硬件設設備和軟件系系統，以及安安裝、調試和測試試網絡系統。網絡維護和擴展展階段。 在企企業網絡通過過測試之后，網網絡就進入了了運行、維護和擴展展階段。企業業網絡的運行行維護階段的的主要工作是是對企業網絡絡的日常維護護和管理，包包括網絡配置置管理、性能管理、故障管理、安全管理和和用戶帳戶管管理，對企業業網絡的預防防性測試和容容量的規劃。企 業 網 絡絡 層 次 結 構 分分 析 及 其 模 塊塊 化 設

7、 計 思 想想大型企業網絡層層次結構與企企業的行政結結構相對應，一一般至少有二層，也有三層層和四層結構構。多于四層層的結構作為為遠程訪問服服務層看待。我我們從網絡的的層次劃分上上分析探討多多層網絡模塊塊化設計思想想。 大多數數企業網絡都都可以被層次次性劃分為三三個邏輯服務務單元(Baackbonne)、區域域網(Disstribuute)和訪訪問網(Loocalaccesss)。骨干干網的主要目目的在于完成成分布于不同同區域或邏輯輯組的路由最最優化通信；區域網主要要是完成網絡絡流量的安全全控制機制，以以使骨干網和和訪問網環境境隔離開來；訪問網主要要是支持客戶戶機對服務器器的訪問。2.1 模塊化

8、化網絡設計方方法模塊化網絡設計計方法的目標標在于把一個個大型的網絡絡元素劃分成成一個個互連連的網絡層次次。實質上，模模塊化方式把把網絡劃分為為一個個子網網，因此網絡絡節點和流量量變得更容易易管理。層次次化的設計方方法同時也使使網絡的擴展展更容易處理理，因為新的的子網模塊和和新的網絡技技術能被更容容易集成進整整個系統中，而而不破壞已存存在的骨干網網。層次設計方法可可為網絡帶來來以下三個優優點：1、層次性網絡絡的可擴展性性可擴展性是在包包交換網絡連連接中使用層層次性設計的的主要優點。層層次性網絡具具有更多的可可擴展性是因因為它可以讓讓你用模塊化化方式擴展網網絡，而不會會遇到非層次次性網絡或平平面性

9、網絡很很快所遇上的的問題。但是是，層次性網網絡同時也提提出了一定的的問題需要仔仔細考慮。這這些問題包括括：虛電路的的費用，層次次設計（尤其其是網狀拓撲撲的內在復復雜聯系，以以及需要額外外的路由器接接口來劃分網網絡層次。為了獲得層次性性網絡結構的的優點，你必必須使你的網網絡層次結構構充分與你所所在地區的拓拓撲相符合。設設計取決于你你所使用的包包交換模式，以以及你所想要要的容錯能力力、網絡性能能和網絡造價價。2、層次性網絡絡的可管理性性使網絡簡單化通過把網網絡元素劃分分為小單元、層層次化，降低低了整個網絡絡的復雜性。這這種網絡單元元的劃分使故故障診斷變得得清晰和簡單單了，同時還還可以提供防防止廣播

10、風暴暴、路由循環環等其他潛在在問題的內在在保護機制。使設計更靈活層次化設設計使得骨干干網和區域網網之間的包交交換形式更具具靈活性。很很多網絡都得得益于使用混混合方式來構構造整個網絡絡架構。在大大多數情況下下，可在骨干干網部分使用用專線而在區區域網或本地地網接入部分分使用包交換換服務。使路由器管理更更容易由由于層次化網網絡結構使網網絡分層，相相對縮小的網網絡區域使路路由器的鄰居居或對等通信信端數量減少少，因此路由由器的配置變變得簡單化。3、優化廣播和和多點廣播的的流量控制在包交換網絡中中，減少路由由器之間廣播播信息量的最最直接方法就就是使用更少少數目的路由由器組，通過過層次化模塊塊設計可以較較好

11、地控制網網絡中的廣播播。通常在包包交換網絡中中最常見的路路由器之間的的廣播信息流流量是路由更更新信息，如如果在一個區區域或一個層層次中有太多多的路由器，那那么就會因為為廣播的原因因而造成網絡絡瓶頸。層次次化的網絡結結構使你可以以對區域網向向骨干網的廣廣播作出限制制。 根據這種種層次化網絡絡設計思想的的原則，我們們可以把企業業Intraanet網絡絡工程的整個個網絡體系結結構分為以下下三層或四層層結構二級或或三級網絡主主干：即由企企業中心節點點與二級節點點組成一級主主干網絡，由由二級節點和和三級節點構構成二級網絡絡，三級節點點和四級節點點構成三級網網絡。如下圖圖2.1所示： 圖2.1評估一級主干

12、網網絡的服務 如圖2.1所示的一一級主干網絡絡所能提供的的功能特性包包括如下幾個個部分：主干網絡帶寬管管理： 為了優化化主干網絡的的操作，路由由器提供幾種種性能調節方方法，如優先先權隊列管理理和數據壓縮縮，動態路由由協議權值定定義，動態路路由協議發包包時間間隔優優化，協議本本地確認等優優化和節省廣廣域網帶寬。數據傳輸路徑優優化 路由器最最主要的特點點之一是在邏邏輯網絡環境境內，自動選選擇最優路徑徑傳輸信息。 路由器依依靠路由協議議（靜態和各各類動態路由由協議）完成成最優路徑查查找工作。路路由協議是在在網絡第三層層上操作，并并且各類網絡絡協議有相應應路由協議支支持。如，在在IP網絡環境境中，Ci

13、ssco公司的的所有路由器器支持所有路路由協議，如如OSPF Routiing,RIIP Rouuting,IGRP Routiing,E-IGRP Routiing,BGGP Rouuting,EGP RRoutinng andd HELLLO Paccket。 路由收收斂問題：路路徑選擇涉及及的相關問題題是路由收斂斂。當網絡發發生變化時，如如主干網上路路由器關機或或故障，或通通信線路的故故障，或主干干網上路由器器配置變化等等，都會引起起路由表的改改變，這種改改變過程引起起網絡不能正正常工作。因因此，選擇收收斂速度快的的動態路由協協議和避免路路由慢收斂問問題是網絡設設計的關鍵問問題之一。優化

14、傳輸隊列 主干網上上信息傳輸可可以分成不同同的優先級別別，將重要的的信息定為高高優先級別，優優先傳輸。路路由器可以對對諸如不同協協議類型，不不同傳輸層協協議，不同的的應用類型設設定不同的傳傳輸優先級。對對IP協議來講講，在網絡應應用層，可對對諸如TELLNET,FFTP,SMMTP,WWWW等應用進進行傳輸隊列列優先權的設設定，以確保保重要數據優優先傳輸。對對傳輸隊列的的優化是在各各類協議及子子協議基礎上上進行，如下下圖所示：負載均衡 路由器支持持多鏈路的負負載均衡，最最多可支持四四條負載均衡衡鏈路，每條鏈路的負載載閥值可以調調整。路徑備份 一級主主干網上傳輸輸的都是重要要信息，一級級主干網的

15、路路徑備份就特別重要。考慮慮到投資成本本，不要求主主干網上所有有路由器都雙雙鏈路連接，而只考慮慮主干網上各各中間節點到到中心節點的的雙鏈路連接接，各中間節點之間可可以無鏈路連連接。各中間間節點之間的的通信都跨越越全國中心的路由器實實現。因此，全全國中心路由由器必須具備備強大的處理理能力。2.3 評估估二級主干網網絡的服務 如圖2.11所示，我們們對二級主干干網絡作如下下評估。區域和服務過濾濾 信息流的的過濾是建立立在區域的劃劃分和服務類類型上。來自自區域內部的信息不必要跨跨越廣域網一一級主干網絡絡，這樣可以以減緩一級主主干網絡的通信壓力。同同時，在區域域內部可以針針對網絡服務務類型（如TELN

16、ET,FTP,SSMTP等）和和網段地址作作訪問控制，這這樣可確保重重要數據的訪問安全性。在在路由器中，設設置acceess-liist，路由由器判定滿足足條件的信息包通過過網絡。基于策略的信息息分發基于策略的信息息分發的目的的是確保傳輸輸性能和信息息的完整性。在網間網中中，這種策略略可以定義成成一個規則或或一組規則，以以此來控制跨跨越廣域主干干的端對端的的數據傳輸。例例如一個部門門，它可能有有三種網絡協協議要跨越主主干，但只希希望攜帶重要要應用的一種種特殊的協議議快速通過主主干。另一部部門，由于主主干網絡過于于繁忙，此時時只允許e-mail跨跨越主干等。路由協議的一致致性 我們建議一級級和二

17、級廣域域網主干動態態路由協議應應是一致的，并并采用開放的的路由協議如如ISIS或BBGP4或OOSPF。采采用那種動態態路由協議，要要根據企業的的網絡結構和和部門間的隸隸屬關系確定定。介質轉換 介質轉換換技術是將不不同網絡鏈路路層上的幀的的格式轉換為為另一網絡幀幀的格式，例例如以態網與與令牌環網的的轉換。由于于區域內網絡絡環境較為復復雜，廠家必必須有相應的的設備支持。2.4評估接入入訪問服務 接入訪訪問服務包含含如下內容：網絡增值地址網絡增值地址（helper network address）是用來解決一些特殊的信息傳輸，使得原來是廣播方式的傳輸變為多點傳輸。這樣，可以減少網絡的廣播壓力和路由

18、器的負載。例如，Novell客戶端原來通過廣播方式查找它的服務器，而如果服務器不在本網段，廣播信息必須通過路由器。使用helper address后，就允許在一個網絡上的節點直接向另一個網絡上的服務器發送信息，而不用經過路由器。網段 局部訪問服務務的基本要求求是將網絡分分成若干網段段，每個網段段實施各自的的信息傳輸策策略，通過路路由器從而實實現各網段廣廣播信息的相相互隔離，減減少主干網絡絡的擁塞。確確定網段，是是通過子網掩掩碼實現的。靈靈活的網段劃劃分，通過路路由器acccess-llist網段段地址過濾，可可以實現靈活活的網絡安全全訪問控制策策略。廣播和多點廣播播 如上所說說，路由器能能隔離

19、網段的的廣播信息。然然而，如果需需要，路由器器可以中繼廣廣播。通過路路由器中繼某某些廣播以達達到一定的目目的。 IPP的多點廣播播是從一個站站點向指定的的多個目的站站點發布信息息，而不是向向每個站點發發布信息。IIP的多點廣廣播為視頻會會議，股票交交易等提供出出色的服務。參參與多點廣播播的計算機，必必須運行IGGMP協議。路路由器配置IIGMP(IInternnet Grroup MManageement Protoocol) 后，可以實實現位于不同同網段內的計計算機的多點點廣播。 安全策略 如果所有有信息被所有有員工隨意訪訪問得到，那那么安全侵犯犯和不正當的文件訪問就不不可避免。為為了避免這

20、些些問題，路由由器要做如下下工作：防止局部網絡信信息不正當地地進入網絡主主干防止網絡主干的的信息不正當當進入部門或或工作組 實現這兩兩大功能的手手段是路由的的包過濾。一一方面，包過過濾能控制未未受權的用戶戶訪問，增加加安全性，同同時能減少網網絡的擁塞，減減少網絡問題題的發生。 路由器有一一整套信息過過濾策略。如如對地址的訪訪問過濾，對對協議的訪問問過濾，對應應用層的訪問問過濾。具體體地說，在以太網環境下下，有一臺主主機能Tellnet到Interrnet的某某一臺主機，不不允許Intternett上該主機Teelnet到到這臺主機上上，但可以作作SMTP的訪訪問。只允許一個網段段通過OSPPF

21、動態路由由協議，其它它網段OSPPF被禁止。限止某些主機訪訪問某些網段段。限止某些網段訪訪問另一些網網段。 上上述訪問控制制手段是常用用的方法。另另外還有遠程程訪問控制，通通常采用認證證機制。對于于MODEMM訪問方式的的站點，可采采用TACAACS(Teerminaal Acccess CControoller Accesss Conntrol Systeem) 認證機機制。對電話話撥號站點，運運行ppp協議，可可采用chaap或pap 認證證機制。路由器查找 主機必必須知道其網網關地址才能能通過路由器器訪問別的網網段。可以用人工或動態路路由的方式配配置主機的網網關地址。主主機至少有一一個路

22、由器局域網端口地地址作為其網網關地址。但但是，當有多多個路由器時時，主機如何確定其網關關地址呢?一般來說，主主機選擇那臺臺能到達目的的站點最佳路徑的路由器器作為其網關關，這種情況況涉及路由器器的查找。支支持這種查找的相關協議議有以下幾種：End Sysstem-tto-Inttermeddiate Systeem(ES-IS)協議議ICMP Rooutingg Disccoveryy Prottocol(IRDP)協議Proxy AAddresss Ressolutiion Prrotocool(ARPP)協議OSPF和RIIP協議 通過過對上述網絡絡分層服務的的分析，我們們得出結論：對于大型

23、企企業Intrranet網網絡工程來說說，要想建設設成為一個全全國性的、網網絡性能優良良的、網絡控控制極為靈活活的、具有很強擴擴展能力和升升級能力的大大型企業綜合合性網絡，那那么在網絡設設計中就必須須采用層次化化的網絡設計計思想。企 業 網網 間 網 路 由 協協 議 我們對企業網絡絡的層次結構構及相應的網網絡服務作了了系統的分析，各層次的網網絡服務是建建立在網絡協協議第三層動動態路由或靜靜態路由基礎礎上。由于各各類網絡動態態路由協議都都存在算法上上的缺陷，沒沒有一種全優優的網絡動態態路由協議能能完全滿足企企業網絡運行行的需要。因因此，網絡動動態路由的選選擇必須和整整體網絡結構構相協調，同同時

24、和企業網網絡的運行方方式、運營成本相相協調。 為此，我我們簡單介紹紹幾種路由協協議：3.1、RIPP（Routee Infoormatiion Prrotocool） 路 由 信 息 協 議 RIPP路由協議與與UNIX和TCP/IIP緊緊地聯聯系在一起的的。在互連網網中RIP是最常常用的路由協協議。 作為廣廣泛使用的一一種距離矢量量（Disttance Vectoor）路由協協議，RIPP路由協議有有如下特 點：基于距離矢量路路由協議路由器根據距離離選擇使用路路由。當計算算的那條路徑徑為最短路徑徑 時，路由器器確定這條路路徑為最佳路路徑并維持這這條最佳路徑徑。當新的路路由比 原路由更佳佳時，

25、由新路路由將替代老老的路由。具有學習功能 路由器定時向向每個鄰近網網絡廣播報文文，通過路由由器間相互學學習， 不斷更新自自己的路由。僅以跳數（hoop couunt）作為為距離度量在路由器的路由由決策中，要要考慮的因素素可以很多（ 例如：帶寬、 延遲、可靠性、路由等），如果參加決策的因素越多，路由策略的最佳路由更加趨于合理，對網絡的描述更加精確。所以RIP路由協議僅將跳數作為距離度量有缺陷的。最大站點數為115 RIP 協議議允許最大站站點數為155，任何超過過15個站點的的目的地均認認為不可達到到的。RIPP最大站數大大大限制了大大型網間網環環境的應用。每30秒向相鄰鄰路由器廣播播一次路由信

26、信息 RIP路由協協議采用了不不少計數器，路路由新計數器器通常被設計計為30 秒。保保證每個路由由器在每300 秒向其鄰鄰接路由器發發送一次路由由表。3.2、OSPPF（Open Shorttest PPath FFirst）開開放式最短路路徑優先協議議 80 年代中期，由由于RIP 路由器協議議越來越不適適應大規模異異構網絡互連連。OSPFF作為IETFF（網間工程程任務組織）為為IP 網絡開開發的一種IIGP（內部部網關協議）協協議，克服了了RIP 路由由協議的缺點點。其采用SSPF（Shorttest PPath FFirst）算算法，基于鏈鏈路狀態路由由協議。OSSPF路由協協議有如下

27、特特點：需要每臺路由器器向同域（AArea）的的所有其它路路由器發送鏈鏈路狀態廣播播（LSA）信息息。路由器收收集有關的鏈鏈路狀態信息息，并根據SSPF的算法法計算出到每每個結點的最最短路徑。同同域內的路由由器共享 相同的拓撲撲信息。路由選擇的分級級 與RIP 路由協議不不同，OSPPF可在一個個域（Areea）內進行行路由選擇。域域的最大集合合是自治域（AS）。AS 是共享同一路由選擇策略的網絡集合。 一個個自治域ASS可分為多個個域（Areea），域是是由相鄰的網網絡和連接的的主機組成，如如圖3.2.a所示。 根據據源點和目的的地是否在同同一域內,OOSPF有兩兩種類型的路路由 選擇方式：

28、 當源源和目的在同同一區域時，采采用域內路由由選擇。 當源源和目的不在在同區域時，采采用域間路由由選擇。 由于于有域的概念念，OSPFF路由協議比比那些不將AAS分區的情情況下 所需傳送的的路由信息少少得多。支持VLSM（Vanabble Leength Subneet Massk）可變長長度子網掩碼碼技術。 由于于每個發布的的目的地均包包括IP子網的掩掩碼，從而可可利用子網掩掩碼將IP網絡分為為不同大小的的子網，這種種方法可節省省IP 地址空空 間并給網絡絡管理員管理理帶來靈活性性。 對帶寬和CPUU等資源消耗耗 這個個SPF 算法法占用了CPPU 的資源源，一般來說說與運算量與與網內鏈路數

29、數目與路由器器數目乘積成成正比。另外外當SPF 路由器通電電， 初始的鏈路路狀態包泛濫濫（Flooodtingg）占用網絡絡帶寬，這些些情況都是在在網絡設計中中要考慮的。3.3、EIGGRP（enchaansed Interrior GGatewaay Rouuting Protoocol） EIIGRP 即即為CISCCO公司所提提出的IGRRP路由協議議的增強版。它它 是 一種混合型型的路由選擇擇協議，它結結合了鏈路狀狀態協議及距距離矢量協 議的優點，包包括以下特點點：快速聚合增強IGRRP使用擴散散更新算法（DUAL Diffusing Update Algorithm）來快速達到聚合，

30、運行EIGRP 的路由器存儲有相鄰路由器的路由選擇表,因此能快速地適應路由的變化， 若不存在合適的路由，EIGRP 查詢其相鄰的路由器，以發現一個不同的路由，這種查詢傳播一直持續到新的路由發現為止。變長子網掩碼EIGGRP包括全全支持變長子子網掩碼，子子網路由 自動匯集到到一個網絡號號邊境上，除除此之外，EEIGRP 能被配置集集中在任意接接口的任意位位邊界上。部分、界限修改改EIIGRP路由由并不周期性性地作修改，只只是當 某路由的計計量發生變化化時，才發送送部分更新。自自動更新的信信息是自動定定義其邊界，所所以只有那些些需要這類信信息的路由器器才修 改其路由表表，因為EIIGRP 具具有這

31、兩種功功能，因此它它比IGRPP、OSPF 消耗的頻寬寬更少。支持多種網絡層層EIIGRP 支支持Applletalkk、IP以及NOVEELL 等 多種協議。 3.4、 靜 態 路 由 協 議 以上我我們介紹的均均為動態路由由協議，當然然還有另外一一種路由 協議便是靜靜態路由協議議。靜態路由由協議是由網網絡系統管理理員人工定 制的，需要要制出一切所所需的路由。其其優點為不會會產生動態路路由所特 有的路由信信息廣播或路路由信息、更新或HELLLO 從而而不會在系統統資 源：內存、CCPU、帶寬寬等方面制成成額外的開銷銷。但其缺點點為會給系統統管理員的管管理工作帶來來大量的工作作，其次，由由于路

32、由是靜靜態的因 而不能適應應網絡的動態態變化的需要要而改變路由由。 在上面面的介紹中我我們可以看出出，作為一個個大型綜合企企業網的內 部路由協議議可供選擇的的實際上有靜靜態路由、IIGRP、EIGRPP和OSPF。而而當我們進行行一個大型網網絡IP協議的選選取時，需考考慮以下兩方方面的因素：網絡路由聚合時時間網絡路由環境的的可維護性3.5 動動態路由比較較EIGRP是CCisco公公司開發的一一種先進的路路由技術，它它結合了距 離向量( DDV )協議議和連接狀態態( LS )協議的優優點，采用了了擴散更新算算法（DUAAL Difffusinng Upddate AAlgoriithm）達達

33、到網絡的快快速收斂。EEIGRP 支持層次化化和平面網絡絡結構，支持持VLSM 網絡地址分分配，可在任任意位邊界對對直接相連的的網絡進行路路徑疊合，只只有在網絡變變化時 EIIGRP才發發送路由表更更新信息，因因此廣域網帶帶寬浪費很少少，DUALL Difffusingg Updaate 算法法使其具有最最好的收斂性性，EIGRRP 采用五五維參數來決決定最佳路徑徑：帶寬、時時延、可靠性性、線路負載和和最大數據包包尺寸，不同同帶寬的平行行線路可負載載平衡地同時時傳輸數據 。它采用模模塊化軟件支支持IP、IPX 和AT 協議。OSPF是標準準的、基于最最短路徑優先先( 連接狀態態) 的、能快快速

34、收斂的路路由協議，它它只適用于IIP 協議。 OSSPF 的網網絡拓樸必須須是層次結構構的，分骨干干域和邊緣域域，在設計OOSPF網絡絡時最重要的的是域邊界的的定義地址分分配，域邊界界的定義決定定了哪些路由由器和連接包包 括在骨干域域中，哪些包包括在每一個個下連的域中中。OSPFF 支持VLSMM 地址分配配，其路徑疊疊合能力有限限，必須在路路由器中手工工設置。在大型企業網絡絡中，RIPP 由于其固固有的局限性性，它已被淘淘汰，最常見見的路由協議議是OSPFF 和EIGRPP，它們的比比較如下： OSSPF EIGGRP 快速收斂 是 是 帶寬利用率 高高 高 內存使用 兩兩 者 差 不 多

35、CPU使用 兩 者 差 不 多 路由算法 dyjjkstraa DDUAL 傳輸類型 Linnk Staate DDistannce Veector 路徑疊合 有有 限 任意意邊界 協議過濾 非常有限 非常強 rtg協議速速率調節 無 有 多個缺省路徑徑 無 有 區域拓樸層次次 必須要 不要 開放標準 是 不是是 用戶端可用 是 不是 保持鄰居狀態態 是 是 改變只傳播 不是 是 到 相 關 網 絡 可用于多種 不是 是 L3 協 議議 負載平衡傳輸輸 非常有有限 很強 網絡可擴性 好 很好 從以上上比較可看出出，EIGRRP 凝聚了了距離矢量和和鏈路狀態兩兩種 算法的精華華，避免了兩兩種算法

36、各自自的缺點，因因而可達到最最快速度的 聚合。由于于其采用DUUAL 算法法，而且只有有網絡拓撲變變化影響到的的路由器才參參與路由的計計算，僅只有有拓撲變化影影響到的路由由才進行廣 播，因此EIIGRP對CPU及網絡絡帶寬的消耗耗都將低于OOSPF、IGRP、RIP 等路由協議議。 在大型型企業網絡的的設計中，除除考慮線路的的帶寬、延遲遲、可靠性等等因素外，路路由表的大小小、網絡的延延展性、路由由的快速收斂斂同樣是影響響網絡功能的的重要因素。 動態路由協議議的選擇對于大型企業網網，平面結構構的路由協議議（如RIPP，IGRP）不不能滿足網絡絡性能的要求求。我們推薦薦采用E-IIGRP,OOSP

37、F路由由協議,多于三層結結構的網絡需需采用BGPP4網間網協協議。OSPF協議是是一層次化結結構的路由協協議，可將大大型網絡分成成若干區域。如如下圖： 區域劃劃分可減少各各路由器的路路由表尺寸；利于網絡擴擴展；支持 VLSM，可可通過路徑的的疊合（ ssummarrizatiion）優化化地址的設計計和路由的計計算。 在OSSPF協議中中，Backkbone 區域是中心心主干區域（Area 0），主干區域路由器保持OSPF的信息，負責各路由區域間的路由信息分配；跨接多個區域的路由器為ABR（Area Border Router），其保持所連接的區域的路由信息，并完成路徑疊合功能 （summar

38、ization）；當網絡大到需分成多個自主系統（AS）時，跨接AS 的路由器為 ASBR，在一個自主系統中可根據上述方法選擇路 由協議，而自主系統之間目前最好的辦法是采用BGP協議進行互 連。BGP的最新標準是BGP4(RFC1654)，它支持CIDR。在每個自主系統中要定義BGP PEER路由器，用于在自主系統之間交換路由信 息。對于OSPF的的區域劃分的的原則為：每個區域內路由由器不超過1100個；每個路由器接口口的相鄰路由由器不超過660個；每個路由器所屬屬區域不超過過3個；所有區域必物理理地連接到主主干區域；企 業 廣 域域 網 鏈 路 選 擇擇我們從理論上分分析了大型企企業網絡的層層

39、次結構和動動態路由協議議。通常企業業租用ISPP的通信線路路，按照設計計好的層次結結構進行廣域域連接。在申申請通信線路路時要綜合考考慮企業業務務需求、QOS、運行維護費費用等多種因因素。ISP提供多種種通信鏈路來來滿足企業用用戶非實時網網絡應用的需需求，如X.25,DDDN,幀中繼繼，PSTNN等。也可以選擇擇撥號VPNN技術，專線線VPN技術術。也可使用用標記交換技技術，MPLLS技術等。選選擇通信類型型要根據運營營成本和運營營效率綜合考考慮。對于廣域網上實實現語音、圖像等多媒媒體應用的廣廣域網DDNN，FrammeRelaay和ATMM都能實現，但但從運行費用用和服務質量量保證來看，采采用

40、ATM作作廣域鏈路是是較好的選擇擇。目前，國國內ISP沒沒有開放ATTM業務，但但企業如有需需要可以申請請ATM服務務。企 業 園 區區 局 域 網 設 計計 (1)企業園園區局域網絡絡采用虛擬交交換網絡 從網絡絡的性價比來來看，企業的的局域網絡邏邏輯結構采用用交換虛擬網網技術已是大大勢所趨。交換虛擬網絡是是基于ATMM和局域網交交換機為平臺臺的技術，其其目標是真正正建立一個可可以滿足未來來多媒體信息息處理時代需需要的企業網網絡。從長遠角度看，采采用交換虛擬擬網絡技術可可以降低組建建企業網的成成本、提高信息技技術與企業發發展的適應能能力。交換虛虛擬網可以滿滿足企業網絡絡在以下幾個個方面對計算算

41、機網絡的需需求：通過交換技術，向向最終用戶提提供更高的帶帶寬。可以向不同用戶戶、不同應用提提供所需的服服務質量保證證的網絡服務務。提供完整的網絡絡管理和控制制系統，控制制網絡成本，特特別是隱含的的網絡成本開開銷，例如網網絡管理、網絡控制等等方面的開銷銷。在外圍提供前面面的網絡互連連和系統集成成方案，提供供端到端的解解決方案，提提高網絡互連連性和可靠性性，減少網絡絡擴展的成本本。構造虛擬工作組組網絡以支持持虛擬工作組組工作。 (2)企業局局域網絡的主主干交換 企業局局域網絡主干干的作用就是是互連網絡的的各個部分，傳傳遞分布到網網絡各個部分分的數據流。主主干網必須具具有高效率、高可用性特特征，在主

42、干干上任何一點點不合理的延延遲都是災難難性的！ 采用AATM交換技技術可以提供供邊緣交換機機之間的高速速連通性、可靠性和服服務質量保證證，以及支持持多種數據流流類型，如IIP、IPX、DEECnet。利利用ATM技技術的高效擁擁擠控制和流流量控制，高高可用性和功功能全面的網網絡控制，動動態用戶組管管理及有效的的流量管理，滿滿足大批量數數據傳輸對帶帶寬的需求，同同時滿足多媒媒體應用對不不同類型信息息流和不同服服務質量的需需求。 采用千千兆以太網技技術可以提供供極高的網絡絡主干帶寬，并并融合傳統的的以太網技術術和交換技術術，給終端用用戶提供滿足足應用需求的的帶寬。雖然然在帶寬上滿滿足終端用戶戶的需

43、求，但但在網絡的流流量管理上和和服務質量上上不及ATMM。 企業局局域網絡還可可以采用第三三層或第四層層交換技術，以以滿足網絡主主干在性能上上的需求。 (3)企業園園區樓宇網絡絡設計企業園區樓宇設設計必須基于于建筑物內已已有的或者可可能設置的布布線結構進行行設計，同時時要考慮每個個樓宇內信息息資源中心的的設置，局域域網之間的數數據通信類型型和可能通信信量，局域網網之間需要設設置的安全訪訪問控制策略略，確定網絡絡互連模式和和結構。樓宇宇內設計采用用路由互連技技術、ATMM交換互連網網技術和虛擬擬局域網組網網技術。樓宇網絡設計需需要考慮如下下問題：樓宇內部如果沒沒有干擾，而而且傳輸距離離在100米

44、米之內，一般般采用雙絞線線作為網絡的的傳輸媒體。如如果樓宇內部部有電磁干擾擾，可以采用用光纖作為傳傳輸媒體。如如果樓宇內部部的傳輸距離離大于1000米，可以采采用互連設備備的級聯，也也可以采用光光纖作為傳輸輸媒體。在采用同一局域域網技術的工工作組網絡互互連時，如果果可以共享帶帶寬，而且無無安全控制需需要，只是由由于工作組網網絡覆蓋的距距離不夠，則則可以采用級級聯集線器的的方式擴展網網絡。在采用同一種局局域網技術的的工作組網絡絡互連時，如如果各個工作作組需要獨立立的傳輸帶寬寬，則通過局局域網交換機機連接。采用不同局域網網技術的工作作組網絡互連連時，如果互互連的工作組組網絡較少，各各個工作組之之間

45、無需提供供安全訪問控控制，而且，各各個工作組網網絡之間需要要提供快速連連接，則采用用支持多種局局域網接口的的交換機。采用不同的局域域網技術的工工作組網絡互互連時，如果果互連的工作作組網絡數量量較多，各個個工作組網絡絡內部有較大大的廣播報文文，或工作組組網絡之間需需要有較為嚴嚴格的安全訪訪問控制，且且在工作組之之間沒有多媒媒體應用，則則采用路由器器互連各個工工作組網絡。如果工作組站點點的地理分布布，與其它工工作組網絡站站點地理分布布重復，則需需要在同一地地理區域采用用同一局域網網交換機連接接不同工作組組網絡站點，通通過交換機構構成符合工作作組劃分的虛虛擬網絡。對于具有多媒體體應用的點到到點站點網

46、絡絡服務質量保保證的傳輸信信道，采用AATM技術，到到桌面采用225M ATM連連接。服務器設備接入入：采用光纖纖155M ATM接入或或光纖1000M以太網接接入。重點終終端用戶采用用光纖接入核核心交換機，實實現安全傳輸輸。 (4)企業園園區虛擬局域域網 網絡廠廠商相繼開發發了“開放”互聯技術VTTP(VLAAN Truunkingg Prottocol)，支持的標標準是ISLL、802.1Q，MPPLS。ATTM交換機和和局域網交換換機為虛擬局局域網提供了了基礎平臺。虛虛擬局域網為為企業局域網網絡帶來的三三個好處是：在最大限度地減減少對路由器器依賴的基礎礎上，有效地地控制局域網網內的廣播流

47、量，提提高站點的傳傳輸效率。減少由于網絡站站點的增加、移動和更改改而增加的網網絡維護成本本。業務部門工作組組的邏輯組合合更為靈活。 在VLLAN的劃分分中，都與“群組”這個概念有有關。群組是是指局域網交交換機的一個個集合。每個個交換機支持持的群組數目目有一定的限限制。因此，在在網絡規劃時時，必須考慮慮業務部門邏邏輯工作組的的數量，并選選擇相應的交交換機型號，使使得交換機的的VLAN數數量和處理性性能滿足業務務應用需要。一一個群組可以以包括全網中中不同交換機機的端口，每每個群組可以以看作是一個個獨立的通信信域。如果不不使用路由功功能，則一個個群組中的通通信量不能轉轉發到另一個個群組中，群群組的特

48、征如如下： (11)一個群組組是一個廣播播域； (22)一個群組組是交換機物物理端口的集集合； (33)群組可以以跨越多個交交換機； (44)群組不能能相互重疊，即即每個端口只只能屬于一個個群組； (55)群組之間間的幀可以通通過路由轉發發； (66)同一群組組中不同的VVLAN的幀幀也可以通過過路由轉發。 群組的概概念實際上是是基于以端口口為基礎的VVLAN。還還有其它類型型的VLANN劃分： (1)基于MMAC地址的的VLAN劃劃分，這種VVLAN劃分分方法靈活，但但管理復雜； (2)基于協協議規則的VVLAN劃分分，把具有相相同的第三層層協議網絡站站點歸并成一一個VLANN。這些站點連接

49、的的交換機端口口構成一個廣廣播域，以減減少在同一網網絡環境下不不同協議棧之之間的相互干干擾。選擇不不同的協議類類型構成不同同的VLANN：1、所有IP協協議流量；22、所有IPXX協議流量；3、所有DECCnet協議流流量；所有AAppleTTtalk流流量；4、所有指定以以太類型的流流量；5、所有攜帶指指定源點和目目的點SAPP（服務訪問問點）報頭的的流量；6、所有攜帶指指定SNAPP（子網訪問問協議）類型型的流量。 (3)基于網絡地地址的VLAAN。 用IPP地址和IPP網絡掩碼劃劃分網段。 (4)基于用戶定定義規則的VVLAN。企 業 網 絡絡 與 外 網 連 接接企業網絡與外網網的連接

50、發生生在企業網絡絡的各個層次次上，其中包括Interrnet接入入等。我們稱稱企業內部網網為內網，企企業外部網為為外網。顯然然，內網和外外網間加裝防防火墻。通常，內網和外外網間采用靜靜態路由或缺缺省路由。內內網和外網的的信息訪問通通過防火墻進進行過濾。內網和外網的連連接如下圖所所示：企 業 網 絡絡 安 全 訪 問 控控 制 機 制7.1企業安全全系統的設計計目標是：（1）防范黑客客攻擊、計算算機犯罪和有有害信息傳播播（包括計算算機病毒）（2）加強應用用和數據的安安全建立安全管理制制度，注意內內外兼防，重重點在內部 7.2安全框框架安全方案的科學學性、可行性性是其順利實實施的保障。安全方案必須

51、架架構在科學的的安全框架之之上。安全框框架是安全方方案設計和分分析的基礎。美國國防部DIISSP（DDefensse Widde Infformattion SSystemm Secuurity Progrram）計劃劃中提出的三三維安全框架架結構，是事事實上的標準準，反映了信信息系統的安安全需求和體體系結構的共共性。其簡化化的版本說明明如下（安全全框架是一個個三維結構）： 第一維（軸）是安全全特性，給出出了七種安全全屬性；第二維（軸）是是系統單元，給給出了信息網網絡系統的組組成 ；第三維（軸）是是結構層次，給給出了國際標標準化組織IISO的開放放系統互連（ISSO）模型。網絡平臺系統平臺應用

52、平臺安全管理物理環境數據完整網絡平臺系統平臺應用平臺安全管理物理環境數據完整結構層次身份鑒別訪問控制數據保密不可抵賴審計管理可用性、可靠性應用層表示層會話層傳輸層網絡層鏈路層物理層安全特性系統單元7.3安全方案案的制訂根據安全框架架制訂安全方方案的具體思思路如下：確定安全方案涉涉及的系統單單元，明確安安全方案系統統單元；確定安全方案系系統單元在各各個層次結構構的安全特性性。安全方案的組成成如下：網絡平臺安全方方案系統平臺安全方方案應用平臺安全方方案物理環境安全安全管理方案7.4網絡平臺臺安全方案7.4.1網絡絡系統方案功功能要點 1)訪問問控制。通過過對特定網段段、服務建立立的訪問控制制體系，

53、將絕絕大多數攻擊擊阻止在到達達攻擊目標之之前。檢查安全漏洞。通通過對安全漏漏洞的周期檢檢查，即使攻攻擊可到達攻攻擊目標，也也可使絕大多多數攻擊無效效。攻擊監控。通過過對特定網段段、服務建立立的攻擊監控控體系，可實實時檢測出絕絕大多數攻擊擊，并采取相相應的行動（如如斷開網絡連連接、記錄攻攻擊過程、跟跟蹤攻擊源等等）。 2)加加密通訊。主主動的加密通通訊，可使攻攻擊者不能了了解、修改敏敏感信息。 3)認認證。良好的的認證體系可可防止攻擊者者假冒合法用用戶。 4)備備份和恢復。良良好的備份和和恢復機制，可可在攻擊造成成損失時，及及時地恢復數數據和系統服服務。 5)多多層防御。攻攻擊者在突破破第一道防

54、線線后，延緩或或阻斷其到達達攻擊目標。 6)隱隱藏內部信息息。使攻擊者者不能了解系系統內的基本本情況。 7)設設立安全管理理機構。為信信息系統提供供安全體系管管理、監控、保保護及緊急情情況服務。7.4.2網絡絡平臺安全措措施網絡平臺的安全全措施應涉及及局域網、廣廣域網、互連連網、防病毒毒和防黑客共共五個方面。1局域網的安安全措施由于局域網中采采用廣播方式式，因此，本本廣播域的信信息傳遞都會會暴露在黑客客面前。可采采取下列措施施提高安全性性：（1）網絡分段段網絡分段是保證證安全的一項項重要措施，將將非法用戶與與網絡資源相相互隔離，從從而達到限制制用戶非法訪訪問的目的。網絡分段可分為為物理分段和和

55、邏輯分段兩兩種方式：物理分段通常是是指將網絡從從物理層和數數據鏈路層上上分為若干網網段，使各網網段相互間無無法進行直接接通訊。邏輯輯分段則是指指將整個系統統在網絡層上上進行分段。把把網絡分成若若干IP子網網，各子網間間必須通過路路由器、路由由交換機、網網關或防火墻墻等設備進行行連接，利用用這些中間設設備（含軟件件、硬件）的的安全機制來來控制各子網網間的訪問。（2）VLANN技術虛擬網技術主要要基于局域網網交換技術（AATM和以太太網交換）。交交換技術將傳傳統的基于廣廣播的局域網網技術發展為為面向連接的的技術。網管管系統有能力力限制局域網網通訊的范圍圍而無需通過過開銷很大的的路由器。采用應用交換

56、器器和VLANN技術，可將將廣播轉變為為點到點通訊訊，從而防止止大部分基于于網絡監聽的的入侵手段。通過虛擬網設置置的訪問控制制，也可使在在虛擬網外的的網絡節點不不能直接訪問問虛擬網內節節點。2廣域網安全全措施廣域網采用公網網傳輸數據，在在廣域網上傳傳輸的信息可可能會被不法法分子截取。因因此在廣域網網上發送和接接收信息時要要保證：（1）除了發送送方和接收方方外，其他人人是不可知悉悉的（隱私性性）；（2）傳輸過程程中不被篡改改（真實性）；（3）發送方能能確信接收方方不會是假冒冒的（非偽裝裝性）；（4）發送方不不能否認自己己的發送行為為（非否認）。有效的方法是對對傳輸的信息息進行加密，采采用數據簽名

57、名和認證技術術加密技術數據加密技術分分為三類，即即對稱型加密密、不對稱型型加密和不可可逆加密。對稱型加密使用用單個密鑰對對數據進行加加密或解密，其其特點是計算算量小、加密密效率高。但但是此類算法法在分布式系系統上使用較較為困難。不對稱型加密算算法也稱公用用密鑰算法，其其特點是有二二個密鑰，只只有二者搭配配使用才能完完成加密和解解密的全過程程。適用于分分布式系統中中的數據加密密，在Intternett中得到了廣廣泛應用。不對稱加密的另另一用法稱為為“數字簽名”（digittal siignatuure）。在在網絡系統中中應用的不對對稱加密算法法有RSA算算法和DSAA算法（Diigitall S

58、ignnaturee Algoorithmm）。不可逆加密算法法的特征是加加密過程不需需要密鑰，不不可逆加密算算法不存在密密鑰保管和分分發問題，但但是其加密計計算工作量相相當可觀，所所以通常用于于數據量有限限的情形下的的加密，例如如計算機系統統中的口令就就是利用不可可逆算法加密密的。數字簽名和認證證技術認證技術主要解解決網絡通訊訊過程中通訊訊雙方身份的的認可，數字字簽名作為身身份認證技術術中的一種具具體技術，同同時數字簽名名還可用于通通信過程中的的不可抵賴要要求的實現。認證過程通常涉涉及到加密和和密鑰交換。通通常，加密可可使用對稱加加密、不對稱稱加密及兩種種加密方法的的混合。數字簽名作為驗驗證

59、發送者身身份和消息完完整性的根據據。公共密鑰鑰系統（如RRSA）基于于私有/公共共密鑰對，作作為驗證發送送者身份和消消息完整性的的根據。CAA使用私有密密鑰計算其數數字簽名，利利用CA提供供的公共密鑰鑰，任何人均均可驗證簽名名的真實性。偽偽造數字簽名名從計算能力力上是不可行行的。并且，如如果消息隨數數字簽名一同同發送，對消消息的任何修修改在驗證數數字簽名時都都將會被發現現。（5）遠程訪問問的安全性從外部撥號訪問問內部局域網網的用戶，由由于使用公用用電話網進行行數據傳輸，必必須嚴格控制制其安全性。首先，應嚴格限限制撥號上網網用戶所能訪訪問的系統信信息和資源，這這一功能可通通過在撥號訪訪問服務器后

60、后設置的防火火墻來實現。其次， 應加強強對撥號用戶戶的身份驗證證功能，使用用TACACCS+、RAADIUS等等專用身份驗驗證協議和服服務器。一方方面，可以實實現對撥號用用戶帳號的統統一管理；另另一方面，在在身份驗證過過程中采用PPGP加密手手段，避免用用戶口令泄露露的可能性。第三，在數據傳傳輸過程中采采用加密技術術，防止數據據被非法竊取取。一種方法法是使用PGGP,對數據直接接加密。另一一種方法是采采用防火墻所所提供的VPPN（虛擬專專網）技術。VVPN在提供供網間數據加加密的同時，也也提供了針對對單機用戶的的加密客戶端端軟件，即采采用軟件加密密的技術來保保證數據傳輸輸的安全性。3互連網的安