内网方案.doc

内网方案 内网方案篇一：办公局域网方案 企业办公 局域网组建方案 一、项目要求 1、主服务器控制多个客户端的上网行为； 2、客户端之间互不访问； 3、客户端所需的重要资料由主服务器分配； 4、突然断电，保证其中的几台重要服务器仍正常工作； 5、保证整个系统的安全性，限制U盘等外插设备的部分功能； 6、其他相关要求。 二、实施方案 方案一：普通化局域网办公 2.1 .1方案架构图2.1.2 企业办公架构图 2.1.2 方案描述 架构包括一台域控服务器，一台文件服务器，网康上网行为管理 NI3000-10，网康防火墙NGFW S320-A，加密软件。 用户所有的PC全部加入域，通过账户管理对用户做权限划分。在文件服务器中，根据用户账户名划分文件夹，用户只能访问对应用户名的文件夹。用户人数按照50人估算，每个用户的存储空间大约50G。 通过网康上网行为管理对用户的上网行为进行约束。 利用相关加密软件，对U盘等外插设备进行限制，保证计算机内的重要文件的安全性。 2.1.3方案所需重要设备 表2.1.3 方案二：桌面虚拟化方案 2.2.1方案架构 2.2.2 方案描述 1、方物虚拟化基础架构：方物虚拟化基础架构由方物FDP桌面虚拟化产品构成，包括vAccess、vServer和vCenter三个组件。它允许将每台物理服务器分成多个共享资源的虚拟机，并进行统一的调度和管理。同时FDP还提供方物虚拟化交付网关,它提供以下功能：对后台对各虚拟桌面进行统一调度和管理；与用户进行交互和认证，根据用户授权将相应的虚拟桌面交付给用户；进行数据访问控制等。 2、方物虚拟化终端：方物支持2种终端接入。一种是vClient方式，可以运行在PC或瘦客户机上安装方物vClient客户端；另一种是云终端方式，通过内嵌的方物终端系统来访问虚拟桌面。桌面虚拟化系统用于OA办公和其它画图工具，方物建议采用升腾的瘦客户端作为终端设备，完全满足需求，并且节省投资。 三、方案对比 方案二较方案一来说，更加符合当前的办公趋向，有界面友好易用性好、安全性和可靠性更好、用户体验更好、功能更加丰富、细节更加完善等优势，所有重要数据都在服务器中运行，不需借助第三方的加密软件就十分安全。 但是方案二与方案一相比也有自身一定的弱势。比如说，实施起来相对复杂，实施周期相对较长，用户投入费用相比方案一较高等。 方案一与方案二相比，在5年之内的相对于方案一实施更加优惠，但是从长远出发，用户使用5年以上，方案二不管是从性能上还是花费上，都较方案一有明显的优势，用户工作一次到位，直接升级到日后的趋向，日后用户不需要再有更大的优化工作，维护起来也相对方便。 综合对比，我们更加推崇于方案二的选择，用户也可以根据个人实际情况选择具体的方案。内网方案篇二：内网网络设计方案 *网络方案 技术建议书 IToIP解决方案专家 *网络技术开发有限公司 2011年11月 目 录 第一章 用户需求分析 . 2 1.1 网络建设目标 . 2 1.2 计算机网络系统设计要求 . 3 第二章 网络整体设计概述 . 3 2.1 总体网络设计原则 . 3 2.2 总体组网方案概述 . 4 第三章 内部局域网设计 . 7 3.1 内网核心层设计 . 7 3.2 内网汇聚层设计 . 8 3.3 内网接入层设计 . 9 3.4 专网连接 . 11 3.5 数据中心（内网服务器） . 11 第四章 外部局域网设计 . 13 4.1 外网层次结构设计 . 13 4.2 外网INTERNET连接 . 13 4.3 数据中心（外网服务器） . 13 第五章 网络安全设计 . 14 5.1 网络安全概述 . 14 5.2 H3C网络安全解决方案概述 . 14 5.3 *内部局域网安全设计 . 15 5.4 *外部局域网安全设计 . 20 5.5 局域网终端安全 . 21 5.6 网络流量分析解决方案 . 24 第六章 网络管理设计 . 27 第一章 用户需求分析 1.1 网络建设目标 根据*的使用性质，其计算机网络系统的设计与建设应当符合当前及今后一段时间的管理及运行要求。根据当前管理与应用的需求，选择性能价格比较高的设备。将*计算机网络系统建设成实用、经济、先进、开放、高效、安全、节能与管理融为一体的现代化办公系统。1.2 计算机网络系统设计要求 本工程计算机网络系统采用内部局域网（以下简称内网）和外部局域网（以下简称外网）物理隔离方式。要求采用二级星型拓扑结构，在办公楼5层控制机房内设置万兆位核心层网络交换机，在各个单位的网络机柜设置10/100/1000M接入层交换机，构成千兆到各单位，百兆到用户端点。中心机房设置光纤点，光纤采用千兆直接到中心机房。独立采用1台高性能路由交换机作为中心机房交换机。12台接入层交换机分别连接到各个单位的网络机柜。要求各个区域的网络即可以单独构成独立的网络，也可以实现与核心交换机形成统一的网络，共同接入互联网。接入层内外网需分开配置。 本工程计算机网络系统采用内部局域网将更换生产部、氨加工分厂库房、动力分厂办公楼、新区总控、合成氨分厂、供应部库房、设按公司、仪表、供应销售处的多模光缆更换成单模光缆。把以前的生产部的二级机房取消，所有光缆由中心机房直接敷设至接入层交换机。 无线扩容：将来也可以在各层走廊设无线AP。网络可提供大楼内无线局域网功能及IP电话功能。IP电话用户可根据需要通过网络信息点灵活配置，网络交换机自带在线电源。 本次设计用现有的防火墙及上网行为管理，不考虑系统应从防火墙、入侵检测、漏洞扫描、VPN、AAA、CA、安全审计、安全恢复和备份、防病毒、物理隔离等多个角度综合全面考虑本工程的网络安全设计。 第二章 网络整体设计概述 2.1 总体网络设计原则 计算机网络系统设计必须适应当前智能办公系统的各项应用，又可面向未来信息化发展的需要，因此必须是高质量的。在设计网络时，需要遵循以下原则： （一） 实用性和先进性 采用先进成熟的技术满足综合智能化办公业务需求，兼顾其他相关的管理需求，尽可能采用先进的网络技术以适应更高的数据、语音、视频（多媒体）的传输需要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化的发展的需要。 （二） 安全可靠性 为保证各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上，采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。 （三） 灵活性和可扩展性 计算机网络系统是一个不断发展的系统，所以它必须具有良好的灵活性和可扩展性，能够根据合肥新化化肥厂不断深入发展的需要，方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力，提供技术升级、设备更新的灵活性。 （四） 开放性和互连性 具备与多种协议计算机通信网络互连互通的特性，确保本计算机网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，包括各种局域网、广域网、计算机等，坚持统一规范的原则，从而为未来的发展奠定基础。 （五） 经济性和投资保护 应以较高的性能价格比构建本计算机网络系统，使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益。 （六） 可管理性 由于系统本身具有一定复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重。所以在网络设计中，必须建立一套全面的网络管理解决方案。网络设备必须采用智能化，可管理的设备，同时采用先进的网络管理软件，实现先进的分布式管理。最终能够实现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作，从而为办公、管理提供最有力的保障。 2.2 总体组网方案概述 根据*计算机网络系统的具体需求，经过合理，总体网络设计分为内部办公局域网。网络互联出口分为Internet接入和新化化肥厂专网接入。网络建设目标实现内部局域网和Internet互联互通，方便快捷的信息交换，同时健全安全保障体系，确保网络与信息的安全。 （一） 内部局域网： 内网网络拓扑图如下： 层次设计： 内部局域网采用标准的三层结构设计。核心层采用高端多业务路由交换机，通过双万兆链路连接各汇聚层交换机；汇聚层采用全千兆三层交换机，通过双千兆链路连接各接入层交换机；接入层采用三层智能交换机，通过智能弹性堆叠，提供高密度百兆到桌面，双千兆上行。并通过百兆连接增强型无线AP，提供楼层无线宽带接入。 数据中心（内网服务器）： 数据中心（内网服务器）采用全千兆智能三层交换机作为汇聚，通过双千兆捆绑高速链路连接内网方案篇三：局域网建设方案 局域网建设方案 局域网背景资料 随着Internet网的迅猛发展，信息在网络的带动下高度共享，用户在享受这些外部数据共享的同时也希望内部数据高度共享，同时在今天的信息技术时代，用户需要开展电子商务、ERP、自动化生产网络控制等诸多业务，并考虑到单一网络上集成声音、视频图象和数据服务，这就离不开网络基础设施这块基石。从网络的划分上来讲，任意一个网络都由三个基本元素组成：本地局域网、internet访问、远程访问。同时更具用户需求的不同或行业特性的差异，辅助以网络安全、网络存储、网络管理的模块共同搭建成完整的网络解决方案。 组建企业局域网如同在为企业的信息化铺设公路，他是整个信息化建设的基石，将关系到后期整个信息化建设的质量，是一项重要的工程。因此我们下面对局域网的基本知识做简单的介绍。 1.1 以太网（Ethernet） 以太网是应用最为广泛的网络技术，它基于CSMA/CD（冲突检测媒体访问/载波侦听）机制，采用共享介质的方式实现计算机之间的通讯，带宽为10Mbps。 CSMA/CD技术采用总线控制技术及退避算法。当一个站点要发送时，首先需监听总线以决定介质上是否存在其它站的发送信号。如果介质是空闲的，则可以发送，如果介质是繁忙的，则隔一次间隔后重发，即采用某种退避算法。 早期的以太网由于它介质共享的特性，当网络中站点增加时，网络的性能会迅速下降，另外缺乏对多种服务和QoS的支持。随着网络技术的发展，现在的以太网技术已经从共享技术发展到交换技术，交换以太网的出现使传统的共享式以太网技术得到极大改进。共享式局域网上的所有节点（如主机、工作站）共同分享同一带宽，当网上两个任意节点交换数据时，其他节点只能等待。交换以太网则利用网络交换机在不同网段之间建立多个独享连接(就象电话交换机可同时为众多的用户建立对话通道一样)，采用按目的地址的定向传输，为每个单独的网段提供专用的频带（即带宽独享），增大了网络的传输吞吐量，提高了传输速率，其主干网上无碰撞问题。虚拟网技术与交换技术相结合，有效地解决了广播问题，使网络设计更加灵活，网络的管理和维护更加方便。交换式以太网克服了共享式以太网的缺点，并借助于IP技术的新发展，如IP Multicast、IP QoS等技术的推出使得交换以太网可以支持多媒体技术等多种业务服务。 1.2 快速以太网（Fast Ethernet） 快速以太网技术仍然是以太网，也是总线或星型结构的网络，快速以太网仍支持共享模式，在共享模式下仍采用的是广播模式（CSMA/CD竞争方式访问，IEEE 802.3），所以在共享模式下的快速以太网继承了传统共享以太网的所有特点，但是带宽增大了10倍。快速以太网的应用主要是基于它的交换模式。在交换模式下，快速以太网完全没有CSMA/CD这种机制的缺陷，除了上面谈到的交换以太网的优点以外，交换模式下的快速以太网可以工作在全双工的状态下，使得网络带宽可以达到200Mbps。因此快速以太网是一种在局域网技术中性能价格比非常好的网络技术，在支持多媒体技术的应用上可以提供很好的网络质量和服务。 1.3 令牌环网（Token Ring） 令牌网使用一种标记数据作为令牌，它始终在环上传输，当无帧发送时，令牌为空闲状态，所有的站点都可以俘获令牌，只有当站点获得空闲令牌后，才将令牌设置成忙状态，并发送数据。数据随令牌至目的站点后，目的站点将数据复制，令牌继续环行返回到发送站点，这时发送站点才将俘获的令牌释放，令牌重新成为空闲状态。 一般令牌网指令牌环网（Token Ring）和令牌总线网（Token Bus）。基于IEEE802.4标准的Token Bus是一种物理上的总线结构，而其站点组成一个逻辑的环形结构，令牌则在逻辑环上运行，其运行原理与Token Ring基本一样。目前Token Bus非常少用；Token Ring是基于IEEE 802.5标准的网络结构，目前说的令牌环网络多是指IBM的令牌传递环形网络的实现，它有4Mb/s和16Mb/s两种传输速率。令牌环网络传输的主要特点是可以保证每个节点设备在可以预定的时间间隔获得对网络的访问，适用于对实时性要求较高的应用。由于这种网络设备的价格较高，不利于普及，另外缺乏对多种服务和QoS的支持。在国内应用的例子较少。 1.4 光纤分步式数据接口（FDDI） 其标准为ANSI3T9.5/ISO9384。相对作反向传输的双环结构网，FDDI是高性能的高速宽带LAN技术，FDDI物理结构是二个平行的、 它采用定时的令牌传送协议。因此，它可以被看作是一个令牌环网协议的高速版本。但与Token Ring技术不同的是当其发送完帧后就立即产生新的令牌帧，故其利用率较高，其运行速度可达100Mbps。其双环结构有非常好的冗余特性。FDDI有两种接入方式：双端口连接站（DAS），单端口连接站（SAS）。DAS方式比较贵，但有冗余功能；SAS需要有源集中器，且无冗余功能。 FDDI有几个通过带宽分配来实现的优先机制，一个是同步带宽分配（SBA）机制，它可以让管理员将一定量的带宽分配给一些确定的工作站，让它们有更多的捕获令牌机会。第二个是异步服务（AS），它占用未通过SBA分配的带宽并将这部分带宽等分给环上的工作站。 铜线分布式数据接口(CDDI)是FDDI的一种变型，可以在不昂贵的铜线电缆上运行而使用相同的协议。 FDDI和CDDI的优点是冗余度、内置的网络管理、有保证的访问和广泛的适用性。但是，FDDI/CDDI是昂贵和复杂的，另外缺乏对多种服务和QoS的支持，始终未成为主流技术，发展速度缓慢，前景不被看好。1.5 异步传输模式（ATM） ATM作为一种全新的交换技术，有其明显的优越性。ATM是将分组交换与电路交换优点相结合的网络技术，采用定长的53字节的小的帧格式，其中48个字节为信息的有效负荷，另有5个字节为信元头部。对于有效负荷在中间节点不作检验，信息的校验在通信的末端设备中进行，以保证高的传输速率和低的时延。 但现在已成了专用网发展的中心，并已经走出实验阶段大量进入市场，这个转变要归功于ATMATM最初是为了在公共网内使用而设计的， 论坛等组织的努力。ATM论坛的迅速发展真实地表明了人们对ATM兴趣的增长。ATM论坛于1991年由Cisco系统公司和另外三家公司设立，目的是为了促进ATM的互操作性，现在ATM论坛已经吸引了来自公用和专用网以及计算机工业的700余家公司参加，领导着众多先进客户机构、电信服务提供商和独立软件厂商。 在广域网、城域网和公用网内，ATM正在被主要采用，因为它既能够将多种服务多路复用到一种基础设施上，满足功能越来越强的台式机对带宽不断增长的需求，又能提供虚拟LAN和多媒体等新的网络服务。 但是，ATM技术也有其缺点。首先是标准还没有完全制定完成，很多重要标准还在修正之中，这就影响了ATM技术的推广，尤其是在局域网领域内。其次，ATM技术目前主要应用是在专用网络和核心网络的范围内，而延展到外围和用户端均仍采用传统的网络技术(以太网、快速以太网、令牌环网等)，这就使得在ATM网络和传统网络之间要建立一个中间的衔接层，这是一种在ATM信元与传统网络的帧结构之间相互转换的技术，如Classic IP和ATM LANE等技术，这种技术的优点是可以把传统网络接入到ATM网络中，但缺点是带来了很大的资源开销，这在很大程度上增加了ATM网络的复杂性并且降低了网络的总体性能。另外，目前的大部分网络应用主要是基于IP网络的应用，直接针对ATM信元的应用很少，这在很大程度上也增加了ATM网络使用和管理的复杂性。 1.6 千兆以太网（Gigabit Ethernet） 千兆位以太网技术以简单的以太网技术为基础，为网络主干提供1Gbps的带宽。千兆位以太网技术以自然的方法来升级现有的以太网络、工作站、管理工具和管理人员的技能。千兆位以太网与其他速度相当的高速网络技术相比，价格低，同时比较简单，例如保留以太网的帧格式、管理工具和对网络概念上的认识。 千兆以太网是相当成功的10Mbps以太网和100Mbps快速以太网连接标准的扩展。现在千兆位以太网成熟的标准为IEEE 802.3z，IEEE 802.3z的目标是： 使用IEEE 802.3帧格式； 可以使用全双工和半双工； 共享模式下仍使用CSMA/CD； 对安装介质的向后兼容； 传输速度比快速以太网提高十倍，比以太网提高一百倍。 千兆以太网通过载波扩展（Carrier Extension）、采用带中继、交换功能的网络设备以及多种激光器和光纤将连接距离扩展到从500米至3000米。如采用1300nm激光器和50um的单膜光钎传输距离可以达到3km。现在，Cisco的交换机上的千兆以太网接口还支持1000Base-ZX的标准，采用光纤可以支持高达100Km的传输距离。 千兆位以太网能够提供更高的带宽，并且成为有强大伸缩性的以太网家族的第三个成员。利用交换机或路由器可以与现有低速的以太网用户和设备连接起来，因为千兆位以太网的帧格式和帧尺寸大小等都与所有以太网技术相同，不需要对网络做任何改变。这种升级方法使得千兆位以太网相对于其他高速网络技术而言，在和管理性能方面都是较好的选择。 在Intranet应用中，有很多新的应用需求不断出现，包括视频和音频。以前人们认为这些对时延要求高的应用只有在ATM这样的网络上才能实现，然而现在一些新技术（交换技术、视频压缩技术，如MPEG2)、新协议（RTP、RTCP、RSVP等）和新标准（如802.1Q、802.1p等）的出现使得在局域网中千兆位以太网也可以极好地支持视频和音频等多媒体数据应用。 千兆位以太网的设计非常灵活，几乎对网络结构没有限制，可以是交换式、共享式的或基于路由器的。现在正在应用的网络互连技术，例如，特定IP交换技术和第三层的交换技术，都与千兆位以太网完全兼容。千兆位以太网可以通过价格便宜的共享集线器、交换机或路由器来实现。千兆位以太网支持新的交换机之间或交换机工作站之间全双工的连接模式，同时也支持半双工连接模式以便与基于CSMA/CD存取方式的共享集线器连接。 千兆位以太网使用的传输介质有光纤、5类非屏蔽双绞线(UTP)或同轴电缆。目前，千兆以太网支持单模光纤、多模光纤和同轴电缆，支持5类非屏蔽双绞线(UTP)的标准正在制定中。 IEEE已批准千兆位以太网工程IEEE 802.3z Task Force提出的标准。同时正在发展基于UTP、STP的千兆以太网。下表列出了千兆以太网现在支持的距离标准。 标 准 名 称 媒 质 传 输 距 离 1000Base-SX 波长850nm 62.5微米多模光纤 50微米多模光纤 260米 525米 1000Base-LX 波长1300nm62.5微米多模光纤 50微米多模光纤 单模光纤 260米 525米 3公里 1000Base-CX 同轴电缆对 25米 千兆位以太网的管理与以前使用和了解的以太网相同，使用千兆以太网，主干和各网段及桌面已实现了无缝结合，网络管理变得容易了。 千兆以太网技术的优点： 技术简单，例如保留以太网的帧格式、管理工具和对网络概念上的认识。 便于升级，从现有的传统以太网和快速以太网可以平滑地过渡到千兆以太网，并不需要掌握新的配置、管理与排除故障技术； 网络投资可以得到保护，无需对用户进行再培训，也无需为额外的网络协议进行投资； 千兆以太网有良好的互操作性，并具有向后兼容性； 端口价格相对较低； 可以提供10倍于快速以太网的传输速度。 1.7 ATM与千兆以太网 当前作为企业网络主干的技术主要有两类，其一为ATM技术，其二为千兆以太网络技术。较ATM技术而言，千兆以太网络交换机已经具备了类似于ATM交换机当中的服务质量保证的机制，同时可以通过RSVP以及SBM（目前正在由IETF制定的在交换机环境当中完成精确服务质量保证任务的协议）等技术完成精确的服务质量保证工作，再加上可以通过服务等级完成相对服务质量保证的工作，可以说千兆以太网络比ATM网络更适合校园主干网络的发展。 下面我们将对这两种技术在企业网中的应用进行一个简单的分析对比。 从传统观点来看，ATM技术具备较多的优势，主要体现在几个方面： 服务质量保证技术； 在交换节点的处理方面具有快速、简单的优势，有利于提高网络整体的吞吐能力； 在宽带综合服务网络的市场领域占有绝对的优势； 再看千兆以太网络的优势主要体现在： 由于千兆以太网络从10M、100M以太网络过渡而来，所以在网络技术方面具有不可比拟的简单性，从而具有升级成本低廉的优势； 同时由于绝大多数的桌面用户以及局域网络用户都采用10/100M以太网络技术，所以千兆以太网络作为骨干升级的选择时，具有平滑升级以及兼容性方面的优势； 从上述的分析中，我们不难看出在传统的观点当中ATM技术具有贵族化的气质，而千兆以太技术则更有平民化的倾向。而且各自的优势分别在功能强大或价格低廉等方面。 随着技术与应用的发展，传统观念中认为ATM技术可以完成很好的服务质量保证已经渐渐弱化，原因就在于多媒体的应用渐渐转到了IP之上。 相比较而言，千兆以太网络由于其自身的技术发展以及与生俱来的简单性，所以在支持IP多媒体传输方面得到了长足的发展。今天人们已经认识到，事实上，IP是所有人都围绕的网络协议，而且完全独立于底层网络技术。它与以太网共同发展起来，也可以运行在令牌环、FDDI上，但是在ATM上让IP工作起来则比较困难。 千兆位以太网比起ATM还有一个固有的优点，就是在网络上的流量在协议方面的开销要ATM少很多，ATM的开销大约是千兆位以太网的两倍。另外，千兆以太网相对ATM技术有着在价格、维护费用、使用方便性、结构灵活性和易管理性上有着一系列的优势。 而且在目前的Internet上，实现未来纯ATM端到端网络的情况已经不符合新的应用要求。出现这种情况的主要问题是由于ATM是面向连接的，而IP是动态链接协议，采用路由器来转发数据包，没有端到端连接的建立。而在Internet上，半数的数据流量是与Web有关的。 总之，千兆以太网络比ATM网络在校园主干网络的发展更具有生命力，更加的物美价廉！ 千兆位以太网与ATM比较 千兆位以太网 ATM 标准 IEEE802.z 尽管已有多项标准出台，但由于ATM技术的复杂性，标准的制定仍在进行中，需要时间完善 带宽 1000Mbps 155Mbps或622Mbps 竞争能力，厂 家提交的交换机数目，各 种NIC服务 几十家，成为技术型公司的新增长点 主要有十几家 每端口的价格 交换机端口与NIC组合一起可达3000多美元。 ATM-155对于交换机 端口及NIC组合为2000美元左右ATM-622为这个价格的数倍， 媒质支持 STP，UTP5，多模光纤，单模光纤 ATM-622M 及更高速的只在 光纤上运行 学习曲线，技术的复杂性 容易 复杂，较难学习 与现存的各 种数据应用 程序及网络 的兼容性 无需作任何改动 与现有的LAN协同工作 技术复杂且效率低Qos保证不同类型应用 RSVP，RTP，RTCP，802.1p等新的技术协议以及Cisco等公司在IP优先级方面的一系列技术 在LANE的情况下，需要SVCs或IETF正在制定的RSVP的复杂映射来解决 多厂家产品的互操作性 基于标准的互联 高层的互操作性，如交换机到交换机信令，经过ATM的多协议仍无保证，标准还在改进 VLAN的支持 与快速以太网一致，但同样的 VLAN连接与组成标准能容易地覆盖以太网快速以太网及千兆位以太网 能映像基于LAN的发布领域，而与ATM的可互操作性是既枯燥又复杂的 1.8 二层交换与三层交换 第三层交换又称路由交换，由交换机完成传统路由器的部分功能。它是应VLAN技术而产生的，用于完成Intranet中虚拟局域网（VLAN）之间的数据包以高速进行转发。 在划分VLAN之后，各VLAN之间是无法互通的。如果要实现可控的跨VLAN访问，就必须采用第三层的路由技术，传统的做法是采用路由器，但传统的路由器基于软件，协议复杂，与局域网速度相比，其数据传输的效率低，通常是这种网络的瓶颈，因而产生了第三层交换技术，它是相对与传统的交换概念提出的。简单地说，第三层交换技术就是：第二层交换技术+第三层转发技术，这是一种利用第三层协议中的信息来加强第二层交换功能的机制。 从硬件的实现上看，第三层交换机中的第三层路由模块插接在高速背板上，这种方式使得路由模块之间可以高速地交换数据；在软件方面，第三层交换机将路由软件进行了界定，其做法是： 对于数据封包的转发等有规律的过程，通过硬件得以实现； 对于第三层路由软件，如路由信息的更新、路由表的维护，路由计算，路由的确定等功能，用优化、高效的软件实现。 总之，第三层交换技术很好地解决了跨VLAN路由和传输速度之间的矛盾，是大中型企业网络中核心技术的首选。 局域网设计思路 优良的拓扑结构是网络稳定、可靠运行的基础。一个大规模的局域网络系统往往被分为几个较小的部分，它们之间既相对独立又互相关联，这种化整为零的做法是分层进行的。通常网络拓扑的分层结构包括三个层次，即核心层、分布层和接入层。如图2-1所示： 2-1 分层网络设计结构 每一层都有其自身的规划目标： ? 核心层处理高速数据流，其主要任务是数据包的交换。 ? 分布层负责聚合路由路径，收敛数据流量。 ? 接入层将流量馈入网络，执行网络访问控制，并且提供相关边缘服务。 目前常见的局域网大都是依照上面的分层原则设计的星型以太网，配合各种最新的技术如VLAN、TRUNK、Qos等，极大地提高了网络的性价。其逻辑结构如图2-2所示： 图2-2 局域网逻辑结构示意图 2.1 说明 在此逻辑拓扑图中，涵盖了当前大多数本地局域网的设计思路，即以核心交换机为中心的星型以太网结构。其特点是网络具有良好的性价比、扩展性、安全性、可管理性、可维护性，同时通过VLAN的合理划分，局域网上的用户可以方便地在网络中移动，而不需要硬件线路地改变，这样可以从逻辑上对用户和其它网络对象进行分组，并设定相应地安全和访问权限，然后，由计算机自动根据配置形成相应地虚拟网络工作组，充分发挥交换网络的优势，体现交换网络高速灵活易于管理等特性。 由此逻辑图可以看出，本地局域网的几个重要组成部分：核心交换机、工作组交换机、服务器群、VLAN。各个部分是相互独立又相互关联，如何根据实际情况去设计局域网、选择网络设备，是设计人员面临的两个主要问题。 2.1.1 核心交换机 核心交换机是整个网络的灵魂，负责高速地对端到端设备、VLAN之间的数据进行交换