企业需求分析

第一章企业需求分析11兆隆计算机学院网络需求概述北大青鸟APTECH（西安兆隆）授权培训中心成立于2001年10月，是经西安市碑林区教育局审批、西安市碑林区民政局注册的事业法人单位。现有软件工程师、网络工程师、软件测试工程师三大主流IT培训项目。目前兆隆中心在西安设立有交大、南郊、高新，省图、双鱼、雁塔和宝鸡兆嵘七家分校，每家分校都由一栋七层的大楼构成，总部设在交大分校，覆盖了西安市的东、西、南郊和宝鸡及周边地区。七家分校现有教学面积36万平方米，在校生近5000余名，教职工3000余人。兆隆计算机学院的组织架构如图11所示。图11兆隆计算机学院的组织架构兆隆计算机学院的信息点分布如表11所示。图11兆隆计算机学院的信息点分布兆隆计算机学院各分校所从事的业务对网络系统有极大的依赖性，内部办公等都需要网络支持。公司建设初期已经实施了简单的网络系统，但随着公司规模的不断扩大和业务的不断拓展，员工数量的不断增多和信息应用系统的不断增加，现有的网络系统逐渐不能满足企业信息化建设的要求，因此需要对兆隆七家网络分校之间以及分校内部的网络体系进行重新规划和部署，目前兆隆计算机七家网络分校在一期工程时土建工程已基本完成，整个办公楼的网络具体建设目前也正待实施中。暗管已经走好，信息节点已经确定。本项目属于二期工程，只针对网络互联部分进行分析和设计。为了使兆隆计算机学院的信息网络系统能够在未来几年的时间内保持技术上的先进性和实用性，公司要求在项目的规划和实施中采用先进的计算机、服务器、网络设备以及系统管理模式，实现公司内部所有资源的合理应用和完善管理，使所有员工都能方便地使用公司内部网络，并能够安全高效地访问公司内的网络应用服务和因特网。111网络总体要求满足企业信息化的要求，为各类应用系统提供方便、快捷的信息通路。良好的性能，能够支持大容量和实时性的各类应用。能够可靠地运行，实现高可用性。易于维护管理。提高安全机制，满足保护企业信息安全的要求。具有较高的性价比。未来升级扩展容易，保护用户投资。使用简单、维护容易。良好的售后服务支持。112项目设计指导思想此次兆隆计算机学院网络建设将将采用先进的计算机、网络设备和软件，实现一个高效的办公网络系统。网络中的各类服务器设备和网络设备以及各种操作系统和应用软件必须考虑技术上的先进性，国内外及各行业的通用性，并且要有良好的市场形象与售后技术支持，便于维护和升级。总体来讲，为了使项目的实施顺利进行，并使系统规划能够满足兆隆计算机学院的应用和发展的需求，在项目规划中应满足以下要求开放性采用开放标准、开放技术、开放结构。实用性网络系统设计以实用、满足应用为主，不追求最高、最新。先进性计算机网络技术、软硬件技术的发展迅速，网路的设计要立足于较高的起点，保证系统有较长的生命力。安全可靠性同时考虑应用系统的设计、网络系统设计、硬件设备的选项配置几个方面，以确保数据的安全。兼容与可扩展性尽量采用成熟的技术，保证软硬件的兼容性，同时需考虑设备的更新于升级的能力。经济性在满足功能与性能的基础上实现性能/价格比最优。可管理性随着网络规模和复杂程度的增加，网络系统的管理和故障排除将成为较难的事情，针对各种设备都要提供一定的网络管理功能。主要依据原则如下工程实施依照国家有关标准完成。项目设计应满足兆隆计算机学院未来发展的要求，即在公司规模扩大、成立新的分校、分校合并时，本设计仍然能够满足公司运营的要求或方便的变更和升级。采用先进的、成熟的、业界标准的、在市场上有着广泛应用的技术。项目设计应遵循实用的原则，避免不切实际贪大求全。所有操作系统及应用采用正版软件。所有网络设备应是主流产品，保证所有设备均为新品并能提供良好的技术支持服务。工程实施严格按照同规格日期完成并保证质量。工程实施需要提供详细的文档资料及配置手册。应提供完整的培训及售后服务。12兆隆计算机学院网络建设要求兆隆计算机学校此次的网络建设是对七家分校进行全新的规划设计，原有的网络设备不应用于其中，以便能够避免原有网络的性能不能满足应用要求、安全性和可靠性差的问题。121现有网络现状分析兆隆计算机学院各分校土建工程已基本完成，整个办公楼的网络具体建设目前也正待设施中。暗管已经走好，信息节点已经确定。本次项目的网络建设需要实现两个方面一、各个分校之间的网络连接，要求实现安全、高效的网络互联。二、办公楼各个楼层的网络连接，要求提供良好的网络系统应用平台，实现借助网络系统进行VOIP通话、设备共享和管理、利用无线AP进行WLAN上网等。该网络的建设将为我处大楼进入网络化运营与管理、网络教学与培训等多元化网络应用阶段打好基础，为大楼提供工作效率、丰富经营模式、提升教学、科研和学术水平提供有力支撑。122网络建设要求本次兆隆计算机学院对新建办公楼宇网络建设要求充分考虑兆隆计算机学院总网络的接入，使内部网络与外部的其它楼宇局域网有机的结合。根据实际应用情况实现部分用户可以通过静态IP地址或无线网卡访问外部网络资源，部分用户只访问所建网络内部资源。整个网络建设方案应本着实用性、安全性和经济性的设计原则，根据前面的所提供的集中汇集接入兆隆计算机学院机关办公楼的方式来设计，具体需求如下建设一个通畅、高效、安全、稳定、可扩展的企业内联网，支撑兆隆计算机学院内各类信息系统的运行，共享各种资源，提高企业的办公效率，降低企业网络的总体运行费用。建成的网络用户大楼机关办公部分可以访问外部网络资源，也可以访问内部网络资源，另外一部分只允许实用本大楼内部网络资源。网络整体具有良好的可扩展性，减轻维护人员的工作量，提高网络系统的运行质量。、实现和因特网的高速可靠连接，要求网络连接高效、运行稳定、同时进行必要的安全访问控制。具备良好的可扩展性，能够满足兆隆计算机学院未来发展的需求，保护对该学院的投资。由于网络中保存了办公、会议资料等众多数据，而且部分内容涉及大楼机密，因此该网络建设要充分的考虑安全的因素，全面保障学院网络系统和内部数据免受恶意攻击和破坏，同时可以有效的阻止内部网络病毒的传播，建成的网络需要提供全面而完善的安全特性。在项目实施完毕后，工程实施方要对兆隆计算机学院的相关人员进行培训，并移交全部的项目工程资料，保证网络的正常运行和管理维护。新建的网络支持视频会议、等多媒体的应用。需要扩展网络与服务器有机结合，为内部网络系统提供良好的应用平台，服务器位置预设在四楼会议室，搭建的平台要求畅通、实用，避免由于数据交换频繁、数据量大而引起的网络拥塞、广播包泛滥问题，并解决大楼主机访问的安全性问题。123详细建设要求新规划实施的兆隆计算机学院网络将覆盖交大、南郊、高新，省图、双鱼、雁塔和宝鸡兆嵘七家分校，其网络建设需求如下施工方需自行组织光纤施工（光纤熔接工作）。各个分校的内部网络全部采用全冗余的结构来保障网络的高可靠性，避免出现多级连接。学院内所有的信息服务应用均由总公司提供，服务器均放置在交大分校总部，其它分校通过网络远程访问。出于网络安全的考虑，兆隆计算机学院仅有单一的因特网访问出口，七家分校要访问因特网必须通过交大分校总部。布线要求整齐、直观、简洁、明了，端口及线的两端需要有标注，配线架处需配有书面主交换机端口及对应线去向明细表。施工方需提供施工设计方案及施工结束后的相关资料的书面和电子文档VLAN划分明细、网络拓扑图、IP地址明细表。网络设计为模块化的拓扑结构，总公司统一进行规划和管理，全网采用统一的网络方案和策略。每个分校的网络自成体系，单个分公司的局域网广播数据流和网络故障不能扩展到全网。所有分校的局域网规划使用VLAN、VTP、PVST等交换技术，提高网络运行的稳定性和可靠性。兆隆计算机学院七家分校网络互联的路由协议，要求使用收敛速度快、效率高的动态路由协议，保证七家分校网络之间的可达性和稳定性。出于安全的考虑，七家分校的员工只允许访问交大总部的服务器，而不能直接访问交大总部员工和其它分校员工的计算机。考虑业务的需要，外出办公以及家庭办公的用户能够通过安全的隧道随时访问交大分校总部的资源。各个分校之间能够进行免费的语音互通。所有分校里的员工能够在允许的范围内通过无线网络连接到公司内部，并能够访问交大分校总部的网络资源。124网络设备选型要求为了实现网络设备的统一，也出于兼容性的考虑，此次网络建设计划在交换机和路由器选型方面全部采用思科公司的产品。全网使用同一厂商设备的主要好处在于可以实现各种不同网络设备功能的互相配合和补充。此外，思科公司是全球领先的网络设备提供商，技术先进产品齐全，能够提供完善的支持与服务。125安全性和可靠性保证为了保证兆隆计算机学院的办公和生产经营，网络需要安全可靠地运行。因此在项目设计开始时就要采用统一的安全规则，以保证重要信息和网络系统本身的安全，采用的技术包括网络设备的冗余备份和线路与设备的切换机制等。在网络中也会购买和安装防火墙、入侵检测等安全设备，以增加网络的安全性。13工程组织、测试与验收项目工程实施方必须提供所有的硬件、软件和系统集成服务。工程实施应在设备到货、安装及系统集成的过程中对兆隆计算机学院的技术人员进行必要的技术培训，具体培训要求见134小节。131施工组织工程的实施方应成立专门的项目组，负责工程的实施，并在规定的日期前完成。在项目施工之前就需要制定完善的施工流程和施工计划，对施工的工期和进度安排进行规划。兆隆计算机学院负责组织验收。实施方和兆隆计算机学院共同组成验收小组，对施工方提供的产品和集成系统进行检验。实施方交付的系统必须符合兆隆计算机学院提出的要求。兆隆计算机学院此次网络建设的项目必须进行最少72小时的连续测试，测试中如果有任何部分发生故障，则重新开始测试。如果7天内测试通不过，兆隆计算机学院有权停止验收并拒绝该系统。任何测试必须整个系统完成通过，不允许部分验收。系统交付验收是在完成安装、运行、测试和集成并通过验收后。系统交付文档应按照合同中和实施方案中写明的提交时间分阶段提交相应文档，包括项目方案书。工程实施报告。项目终验报告。132工程实施实施方在施工之前需要和兆隆计算机学院进行相信的沟通，确定项目的实施方案，制定详细的实施计划。工程实施过程主要可以分为下面连个阶段设备的到货和验收。系统的具体实施。项目中使用的原有路由交换设备要进行一定的检测，如有必要需要对IOS版本进行升级，而后方能在本次项目中使用。项目中新购买的设备到货之后，将保持原包装的密封状态，由实施方的售后工程师和兆隆计算机学院的有关授权人员共同拆开包装进行设备的验收。验收工作包括对设备进行加电验收，对于有异议的地方要及时解决。在设备无误，双方一致同意的情况下，参与验收的双方人员在一式两份的设备验收单上签字并加盖兆隆计算机学院公章。设备验收完成后，根据项目的进度安排，开始系统的安装实施工作。作为实施方的售后工程师，应该有项目设备的发货清单，包括设备的数量、型号、序列号、配置等详细情况。兆隆计算机学院将在此之前准备好设备安装的场地，包括场地的供电、空调、防尘等。实施方的售后工程师应该在设备安装前进行场地的检查。系统实施可以按照设计方案中的模块中的模块划分和项目施工安全进行。各个部分的安装完成之后，进行系统的联调。系统实施过程中需要按时提交有关的施工文档。实施方的项目经理、售后工程师，以及兆隆计算机学院的相关人员，在系统的实施过程中应该保持良好的沟通。133工程测试验收系统测试根据系统实施分三个阶段进行。第一阶段在系统每个模块实施完成后进行，要对各个模块进行基本的测试。主要包括交换设备的安装、配置及线路的连接，主要检查是否按照实施工艺的规范实施，各个部分能否正常工作。第二阶段在整个系统安装联调完毕后进行，要对整个系统的所有功能模块进行相应的测试。系统要满足兆隆计算机学院在需求中提出的各项要求，重点检查路由部分能否正常工作，预先设计的对因特网的访问控制策略是否能够正常工作，运行是否稳定。第三阶段在整个系统试运行中进行，要对整个系统的故障切换机制进行演练。模拟各种可能出现的故障情况，检验系统是否能够自动切换，是否打到了项目方案设计的目标。134系统运行、维护与人员培训所有的网络设备在验收之后都必须提供至少1年的保证期，其间的维护服务不得收取任何费用。在保证期内，实施方的系统集成工程师必须在兆隆计算机学院提出维护要求后的2小时内提出可行的解决方案，重大问题4小时内解决。工程结束后半月内提供所有工程建设相关资料的书面材料与电子文档，全面结束完成之后提供3年的免费上面软硬件售后服务。培训要求为了使兆隆计算机学院网络建成后能顺利投入运行，在项目建设的各个时期，应及时组织公司人员进行各类培训，例如前期的技术培训，实施过程中的系统调试培训，后期的管理维护培训等。培训人员兆隆计算机学院各分校负责网络管理与维护的技术人员。培训内容网络设备的维护，网络系统的管理与维护。培训方式集中授课或在施工现场培训指导技术人员。培训时间按照兆隆计算机学院的进度要求，实施方需列出集中授课的时间表。综合来看，投标方需充分考虑到地产行业特殊的网络应用需求，结合自身多年在行业网络领域的丰富经验，采用业界领先的网络通信技术，在保证大楼网络卓越性能的同时，更加突出网络应用的稳定性和安全性，为我学院网络建设提供一套完善的解决方案，全面满足我学院对所建网络的要求，为大楼提高工作效率、丰富经营模式，部署先进办公设施。为科研和学术水平提供有力支撑，促进兆隆计算机学院紧跟时代步伐、实现办公信息化。第二章方案设计21总体设计无论是VOIP、IP视频网络，还是各种应用系统（例如办公自动化、电子商务等），都需要构建在有效、可靠及安全的网络基础之上。就像盖房子，如果不大好地基，房屋很容易倒塌，最终将以失败告终。同样，如果企业网络的基础服务并不可靠，则VOIP、IP视频及电子商务等依赖网络服务的应用最终都将遭遇性能及可靠性问题。下面，我们将开始逐步讨论如何为兆隆计算机学院构建一个高可用性的网络。211网络总体设计按照兆隆计算机学院的网络建设规划和总体要求，我们计划对兆隆计算机学院的网络在利用原有综合布线系统和设备的基础上，重新规划实施，建设兆隆计算机学院的企业内联网，以满足网络整体性能的要求，并为各种网络服务和信息系统的使用提供运行良好的网络平台。兆隆计算机学院的网络整体结构将按照图21所示规划实施。图21兆隆计算机学院新建大楼拓扑图从图中可以看到，兆隆七家分校的局域网络将通过路由器连接成一个统一的企业内联网，满足兆隆计算机学院对网络统一管理的要求。这7部分通过路由器相连，计划使用OSPF（开发最短路径优先协议）作为路由协议。选用OSPF的好处在于OSPF作为链路状态协议已成为业界标准，在各厂商中具有广泛的支持基础，并且具有路由信息传输的可控性和路由链路负载均衡的能力。OSPF与RIP（路由信息协议）等距离矢量路由协议相比，具有快速收敛的优势，能够支持更大型的互联网络，并且不容易受到有害路由选择信息的影响。同时OSPF协议使用子区域的概念，可以有效减少路由选择协议对路由器的CPU和内存的占用，还能降低路由选择协议的通信量，这使得构建一个层次化的互联网络拓扑成为可能。在兆隆计算机学院的内联网设计中，我们也将采用区域划分的OSPF设计。交大分校总部属于AREA0（及骨干区域），宝鸡兆嵘分校在AREA1，南郊分校在AREA2，高新分校在AREA3，陕图分校在AREA4，双鱼分校在AREA5，雁塔校区在AREA6。这样，如果兆隆计算机学院业务扩展，成立了新的分校，只需将新的分公司划分到AREA7、AREA8直到AREAN插槽，可以在需要时扩充更多端口，使网络路由的骨干部分具有良好的可扩展性。南郊分校、高新分校、陕图分校、双鱼分校和雁塔分校通过帧中继虚链路连接到交大分校总部，宝鸡兆嵘分校离交大分校总部距离比较远，使用廉价的VPN通过公网连接到交大分校总部。使用交大分校总部的单一出口访问因特网，以提高网络的安全性，而且学院的所有服务器都在交大分校总部实现，分校只使用总部提供的应用服务，不需要自己建设。由于所有的分校都通过交大分校总部的出口访问因特网，同时兆隆计算机学院作为一家新型IT企业，对于因特网的访问又非常频繁，所有此次申请了一条10M带宽的宽带接入链路作为整个网络的出口，以满足公司内对于访问因特网速度和带宽的要求。出口处配置防火墙（兆隆计算机学院使用ISA防火墙），出入因特网的通信流量都必须通过防火墙的过滤，通过防火墙对兆隆计算机学院的网络加以保护，并实现安全的控制。同时网络中也部署了入侵检测系统，与防火墙共同实现网络的安全防护。各个校区的LAN部分为了保证网络的健壮和可靠性，将采用全冗余结构（如图21所示，实际上各个分校内交换机数量为28台）。两台核心交换机采用三层交换机，利用三层交换技术实现VLAN之间的路由，同时两台核心交换机之间使用HSRP进行备份，以保障网络的健壮性和可靠性。各个分校的LAN部分在网络结构上分为2层，核心层和接入层，接入层交换机全部冗余上行链路，分别上联到2台核心交换机，也保证了网络的健壮性和可靠性。同时，LAN部分会启用VTP和STP，实现VLAN的统一配置管理和环路避免。此次网络建设，兆隆计算机学院会增加大量服务器提供各种网络和应用服务，所以在交大分校总部的LAN中将所有服务器都分配在核心层交换机上并单独划分一个VLAN作为服务器的区块，放置系统中所有的服务器，包括DC、DNS服务器、WEB服务器、FTP服务器、邮件服务器等。212设备清单兆隆计算机学院网络建设项目中使用的路由、交换设备计划全部采用CISCO公司的产品，具体参数见表21。其它六家分校出口路由器路由器只用于连接总部，性能方面要求不高。表21设备清单22设备命名规范和连接规范网络设备的命名和连接规范如同综合布线中线缆的标识、记录一样，都非常重要的。良好的设备命名和连接，可以使网络的结构清晰，帮助网络管理员更方便地管理网络，提高网络的可维护性。然而，在实际工作中，这项工作尽管简单却不容易做好，需要格外注意。221设备命名规范设置路由器和交换机的名称，也就是设置路由器和交换机出现在CLI提示符中的名字。一般以地理位置、型号或者用途来为交换机命名。当需要TELNET登陆到若干台设备上以维护一个大型网络时，通过设备名称提示符提示自己所调试的设备是位于哪里的哪一台设备，使很有必要的。从上一节的设备清单中可以看出，兆隆计算机学院此次网络建设中使用的网络设备主要包括3种类型路由器、二层交换机和三层交换机，设备放置的地点分别在七家分校，每家分校设备的数量基本相同，因此，为了便于管理，我们提出设备的命名统一使用如下格式地点缩写设别类型编号，其中名称全部由大写英文字母、数字和横线组成。交大、南郊、高新，省图、双鱼、雁塔和宝鸡兆嵘七家分校的缩写分别为JD、NJ、GX、ST、SY、YT、BJ。路由器、二层交换机、三层交换机的类型代码分别为R、S、RS。设备编号从1开始，有几台设备就编号到几。例如，南郊分校使用的第12台二层交换机就命名为NJR12，宝鸡兆嵘使用的路由器命名为BJR1。222设备连接规范设备连接设计要求统一实施标准的、严格的连接规范，便于工程的实施和运行管理。其基本原则如下交大分校总部路由器各端口按顺序连接OSPF的不同区域，即S0/0端口连接AREA1，S0/1端口的子接口连接AREA2、AREA3、AREA4、AREA5。其它分校路由器的S0/1端口分别连接对应的区域。交大分校路由器的快速以太网端口按顺序连接核心交换机，即F0/0端口连接JDRS1的1号端口，F0/1端口连接JDRS2的1号端口，其它分校连接方式相同。交大分校路由器的第一个以太网端口（E0/0端口）连接ISA防火墙，其它分校不连。交大分校路由器的每种端口类型（例如串口和以太网口）优先从0端口开始使用，其它分校相同。交大分校核心交换机的第一个端口连接路由器，第二个端口用于备份，其它分校相同交大分校核心交换机的第3、4端口连接另一台核心交换机。516端口连接接入交换机，1720端口连接服务器，2124端口用于连接扩充的接入交换机，其它分校不需要连接服务器，剩余的端口用于扩充的接入交换机或者快速以太网通道。各分校接入交换机的第一个端口连接第一台核心交换机。各分校接入交换机的第二个端口连接第二台核心交换机。各分校接入交换机的第324端口连接用户计算机、服务器等。按照这样的原则，我们可以确定兆隆计算机学院内联网的路由器端口使用如图22所示。注意兆隆计算机学院路由器连接其它分校的路由器使用的总接口是S0/1，对应的子接口分别为S0/11、S0/12、S0/13、S0/14、S0/15。图22路由器端口连接图所有分校核心交换机CISCOCATALYST3750的端口使用如图23所示。接入交换机的端口连接比较简单，这里就不再进行图示了。图23核心交换机端口使用图23VLAN划分与IP地址规划兆隆计算机学院此次对七家分校的局域网进行全新的规划，所有的子网都将遵循标准划分。规划的同时要考虑到未来网络的升级。231网段细分在企业网络刚刚兴起时，由于企业网络规模小、应用范围存在局限性、对因特网接入的认识程度较浅、网络安全及管理的贫乏等原因，使得企业网络仅限于交换模式的状态。在这种交换模式下，LAN交换机的每个端口均为自己独立的冲突域，但对于所有处于同一个IP网段的网络设备来说，却同在一个广播域中，当工作站的数量较多、信息流较大的时候，容易形成广播风暴，甚者造成网络的瘫痪。我们建议兆隆计算机学院各分校网络的细分遵循3个依据地点、部门和功能。这样可以使网络结构清晰，各个公司和智能部门的隔离也更加安全，降低了日后维护的工作量。按照地点划分，七家分校将划分不同的网段。按照部门划分，七家分校内部的局域网，将继续按照部门划分更细致的、不同的网段。按照功能划分，交大分校总部的服务器将全部划分在一个网段，而路由、交换设备以及他们的端口将划分在另一个完全不同的网段。不同网段之间的连通通过路由方式来实现，并可以在路由器上加以控制。各分校的子网的规划见表22。表22子网的规划表如果兆隆计算机学院增加新的分校，只需在网络总体结构中连接一个新的网段即可。232VLAN划分在一个大、中型网络中，VLAN（虚拟专用网）的划分时必不可少的步骤之一。划分虚拟子网可以隔离VLAN内的广播，解决以太网LAN内广播包过多的问题，提高网络的性能。一个VLAN可以根据部门职能、对象组或者应用来将不同地理位置的网络用户划分为一个逻辑网络。对于局域网交换机，其每一个端口只能标记一个VLAN，一个VLAN中的所有端口拥有一个广播域，而处于不同VLAN的端口则共享不同的广播域，这样就避免了广播风暴的产生。可以说，在一个交换网络中，VLAN提供了网段和机构的弹性组合机制。在兆隆计算机学院的网络建设中，必然要划分VLAN。按照上一小节中我们提出的网段细分方法，将每个网段对应到VLAN中，可以得到VLAN划分规划见表23。其中，各分校VLAN命名的规范为地点的拼音缩写部门的拼音缩写/功能的缩写。需要注意的是，由于VLAN1是管理VLAN的，路由和交换使用的管理信息多在此VLAN中传输，具有一定特殊性，所以最好不要用于最终用户的使用。VLAN59是为日后添加新的部门使用的。各个分校所有部门对应的VLAN以及IP地址都保持一致的原则，从全网的规划设计的角度上讲，这样划分可以使网络的架构更加明晰，所以在本方案中采用了一致的规划原则。233IP地址规划考虑到兆隆计算机学院的实际情况和网络改建的要求，此处讲对兆隆计算机学院的IP地址使用情况统一进行规划和设计。兆隆计算机学院此次计划采用C类似有地址，在上一节中提出的每个子网将规划使用1个C类私有地址，初步规划见表24。表24兆隆计算机学院IP地址规划表兆隆计算机学院现有员工3000余人，在按照地点、部门和功能划分以后，目前每个子网使用的IP地址都远远超出了现在用户和设备数量的需求，能够满足未来人员增长、设备增加的需求。同时，如果兆隆计算机学院增加新的分公司，只需继续使用后续的C类地址即可，不会对网络IP地址的结构造成影响。234IP地址分配有了IP的规划和VLAN的划分之后，可以确定具体在路由和交换设备上，端口的IP地址、交换机的管理IP、VLAN的网关等应该如何分配。按照前面介绍的设备连接规划，在兆隆计算机学院中，可以确定设备上端口和IP地址的具体使用情况见表25。注表25只列出了交大总部的交换路由设备使用的IP地址表，其它分校的IP地址表见附件。表25兆隆计算机学院路由交换设备使用IP地址表24交换部分设计本方案中，交换部分的设计只介绍交大分校总部的方案设计，其它分校的设计大致一样。其中，三层交换机的路由功能设计，将在后面的路由部分和安全可靠性部分进行描述。241交换部分总体设计此次兆隆计算机学院的网络改造，将对所有校区的局域网进行规划。为了兆隆计算机学院网络能够高效、稳定地运行，便于管理与维护，此次兆隆计算机学院对各个分校的局域网交换技术的相关方面进行了规划设计，包括VLAN、VTP、STP、TRUNK、ETHERNETCHANNEL、三层交换等。VLAN将广播限制在单个VLAN内部，较少了各VLAN间主机的广播通信对其它VLAN的影响。在VLAN间需要通信的时候，可以利用三层交换技术实现。当网络管理员需要管理的交换机数量较多时，可以使用VLAN中继协议（VTP）简化管理，它只需在单独一台交换机上定义所有VLAN，然后通过VTP协议将VLAN的定义传播到本管理域中的所有交换机上，这样，大大减少了网络管理员的工作负担和工作强度。当网络内交换机数量增多或交换机链路增加时，都有可能因交换网络的复杂性提高而造成交换环路，或者为了提高网络冗余度而有意设置了交换环路，这就需要通过在各个交换机上运行生成树协议（STP）来解决。此外，按照网络建设要求，各个分校将建设一个双核心、全冗余的交换网络，其拓扑结构如图24所示。（注下面只画出了交大分校总部的局域网交换部分拓扑图，其它分校的局域网交换部分拓扑图基本相同）图24交大分校总部的局域网交换部分拓扑图其中所有的接入交换机采用购买的二层交换设备，核心层交换机采用购买的两台三层交换机。全网交换机配置VTP，以对VLAN的设计统一管理。两台核心交换机之间采用2条链路组成以太网通道，以提高核心交换机之间的带宽。所有的接入交换机都使用2条上行链路（设置为TRUNK），分别连接到2台核心交换机，采用STP对这样的交换环路进行阻塞，在保证上行链路冗余性的同时，避免了可能造成的广播风暴、桥表震荡等问题。交换机的端口使用情况见表26（注主要是交大分校交换机的端口规划，其它分校的接法相同）。图26交换机的端口使用规划表由于VLAN的规划设计已经在上一节中讨论过了，所以从下面开始，我们将逐步详细介绍各个分校的局域网交换部分所使用的其它技术以及规划设计的方法。注以交大分校的局域网交换部分进行讨论，其它分校所用的技术基本相同。242VTP设计当网络中交换机数量较多时，需要分别在每台交换机上创建很多重复的VLAN。工作量大、过程繁琐，并且容易出错。由于兆隆计算机学院网络中使用的全部交换机都为CISCO的产品，所以将使用CISCO的专有协议VLAN中继协议（VTP）来解决这个问题。CISCO公司专有的VTP协议能够从一个中心控制点开始，维护整个企业网络上VLAN的添加、删除和重命名工作，确保配置的一致性，可以减少在数量众多的交换机上配置VLAN相关的管理任务，降低认为因素导致的VLAN配置不一致现象（例如，VLAN配置错误、名称不统一等），降低了配置的复杂性。为使网络能够高效稳定地运行，便于管理与维护，兆隆计算机学院内每一个独立的局域网都应当运行VTP协议，下面对交大分校总部局域网中的VTP进行规划VTP域名为JIAODAZHAOLONGCOM。VTP版本为V2。VTP域口令为JIAODAVTP。VTP修剪设为启用。VTPSERVER包括JDRS1、JDRS2。VTPCLIENT包括JDS112。配置VTP修建是为了减少在中继端口上不必要的信息量。VTP通过修剪，来减少没有必要扩散的VLAN广播数据流量，提高中继链路的带宽利用率。VTP的口令是为了保证VTP域的安全。设置了口令之后，除非交换机设置了正确的口令，否则，新交换机不能自动加入到已存在的管理域中，可以避免VLAN被错误或恶意地增加、删除。243STP设计兆隆计算机学院所有的局域网都采用全冗余结构，在交换网络中造成了大量的交换环境，可能会引起网络中的广播风暴和桥表震荡等问题，所以将在网络中启用生产树协议（STP），用来阻塞冗余链路，而在发生链路故障时，迅速启用被阻塞的冗余链路，启到链路备份的作用。所以，此处的交换部分设计中，也将在各个交换机上启用生成树协议，并且我们将通过调整交换机优先级的方式，来指定性能较高的核心交换机（即两台三层交换机JDRS1和JDRS2）为根网桥。并且，CISCO交换机支持每个VLAN的生成树（PVST），在本方案中我们也将采用这种方式，为每一个VLAN启用一个STP实例。根据兆隆计算机学院各个部门的人数调整，最终指定JDRS1为VLAN1、VLAN50、VLAN51的根网桥和VLAN52、VLAN53、VLAN54的备份网桥，JDRS2为VLAN52、VLAN53、VLAN54的根网桥和VLAN1、VLAN50、VLAN51的备份根网桥。其它分校指定RS1为VLAN1、VLAN1、VLAN2的根网桥和VLAN3、VLAN4的备份网桥，RS2为VLAN3、VLAN4的根网桥和VLAN1、VLAN1、VLAN2的备份网桥具体如图25所示，虚线表示被阻塞的冗余链路。图25STP的实现图解VLAN1，50，51之间的流量转发将使用JDRS1，而VLAN52，52，54之间的流量转发将使用JDRS2，如果VLAN1，50，51和VLAN52，53，54之间要互相通信，则两台核心交换机都需要用到。通过这种方式，不同VLAN的流量被分担到了2台不同的核心交换机上，还可以实现一定的负载分担功能。对于JDS112接入交换机来说，我们将在其上启用上行速链路，以减少网络拓扑变化时（例如某一台核心交换机故障）的重新收敛时间，使冗余链路在转发链路故障后能够立即启用，减少用户的断网时间。同时，所有的接入交换机的324端口还将启用速端口，因为这些端口连接的都是计算机等，不会产生交换环路，所以配置成速端口，可以在端口启动时直接进入转发阶段，加快网络收敛的速度。其余的STP参数不需要进行调整，保持默认值即可。244ETHERNETCHANNEL设计从上面各小节的图中可以看到，在两台核心交换机之间设计了一条以太网通道，这也是系统的实际需要。该以太网通道汇聚的是两条核心交换机之间的链路，分别使用了两台核心交换机上的3、4端口，使两台核心交换机之间的链路带宽达到了200MBPS。而且核心交换机上有大量保留端口，随时可以扩充通道的带宽，最大可以汇聚8条链路成为一条以太网通道。同时，这条以太网通道也是两台核心交换机之间的TRUNK链路，按照STP对不同VLAN的根网桥做了指定之后，需用这条TRUNK链路承载不同VLAN之间的流量以及VTP的各种消息。配置以太网通道可以提高冗余功能。因为两台核心交换机之间的连通与否关系到VLAN1、50、51和52、53、54之间是否能够互通，所以是非常关键的链路。使用以太网通道不但可以增加核心交换机之间的带宽，也可以增加这部分网络的安全可靠性。配合以接入交换机的双上行链路，本方案可以实现极高的网络可靠性和健壮性，只要有一台核心交换机以及一半的正常链路，整个网络就可以正常工作。在配置的时候，优先使用标准的协议，如8021Q。245VLAN间路由设计在两台核心交换机上各自为VLAN配置IP地址，启用路由转发功能，各个VLAN内的计算机使用该地址作为网关，之间便可以实现互通了。三层交换机技术在第三层实现了数据包的高速转发，从而解决了传统路由器低速、复杂所造成的网络瓶颈问题。这里需要注意一点是，兆隆计算机学院的局域网中，两台核心交换机启用路由功能，其上给VLAN配置的IP地址将是上面所连计算机的网关地址。而两台交换机上同一个VLAN只能配置不同的IP地址，所以这两台三层交换机还会采用HSRP方式形成互为备份关系，为每个VLAN上形成一个HSRP组，使用HSRP组的虚拟地址作为VLAN的网关。246交换机的其它设置为了更好的管理局域网内所有的交换机，需要增强交换机某些方面的安全设置，具体如下交换机使能口令的配置（建议加密的使能口令）。交换机网关的配置以及线路密码的配置（便于远程管理交换机）。交换机标识以及各个接口的标识的配置（用于更好地管理交换设备）。备份配置信息（便于交换机出故障时恢复）。25路由部分设计对于企业内联网的路由器而言，可以使用一系列路由协议。选择路由器时需同时考虑网络设计和路由协议的选择。最常见的标准路由协议是RIP和OSPF，但RIP并不适合大型网络。考虑到兆隆计算机学院内联网未来扩展的要求，我们将采用OSPF协议作为网络的路由协议。OSPF路由协议是业界标准的网络协议，许多厂商的网络设备都支持它，因此它受到了广泛的应用。OSPF路由协议能够快速收敛，支持无类路由（CLASSLESS）和变长子网掩码（VLSM），可划分区域，适合运行在大中型网络中。设计方案从OSPF区域、指定路由器、路由器ID等方面进行了规划。251OSPF区域规划为了解决最短路由优先（SPF）算法的频繁计算、路由表过大、链路状态数据库过大的问题，OSPF将大型网络分成多个区域。划分区域具有以下优点减少OSPF路由协议的LSA泛洪，减少链路带宽的占用。降低SPF计算频率，减少路由器的资源消耗。具有更小的路由表。降低链路状态更新的负荷。提高网络的稳定性。兆隆计算机学院的内联网OSPF路由协议将采用多区域的方式。兆隆计算机学院中OSPF区域划分的原则如下交大分校总部的路由器内联本地设备的接口属于AREA0。交大分校总部内的三层交换机上的路由器端口属于AREA0。交大分校总部的路由器连接防火墙的端口属于AREA0。交大分校的路由器下联各个分校的的接口属于该分校的AREA。其它六家分校中，宝鸡兆嵘分校在AREA1，南郊分校在AREA2，高新分校在AREA3，陕图分校在AREA4，双鱼分校在AREA5，雁塔校区在AREA6分校路由器只连接末梢网络，所以分校的OSPF区域均为末梢区域，并可设置成完全末梢区域，以减少AREA16中的LSA的泛洪数量。具体的OSPF多区域划分如图26所示。图26OSPF区域划分图按照这个原则，我们可以确定OSPF区域规划和区域内所属端口和网络的规划，见表26。表26OSPF区域规划表主意交换机的管理IP地址也全部发布到了OSPF区域中，可以实现从兆隆计算机学院内的任何地方通过TELNET等远程登录方法实现对设备的管理和维护。252路由器ID规划路由器的ID是在OSPF区域内唯一标识一台路由器的IP地址。路由器首先会选取所有的LOOPBACK接口上数值最高的IP地址作为路由器的ID，如果路由器没有配置LOOPBACK接口的IP地址，那么它将选取自己所有的物理接口上数值最高的IP地址作为它的ROUTERID。用作路由器ID的接口不一定要运行OSPF协议。使用LOOPBACK地址作为路由器ID有两个好处一个是LOOPBACK接口比任何其他的物理接口更稳定，因为只要路由器启动，这个环回接口就处于活动状态，只有路由器失效时它才会失效；另一个就是，这样的网络的设计者将具有更好控制路由器的ID的能力。注由于ROUTERID的选举不具有抢占性，最好在路由模式下指定路由器的ROUTERID为LOOPBACK地址。所以，在兆隆计算机学院的路由网络中，为了提高OSPF路由协议的运行稳定性，在每台启用OSPF的路由器和三层交换机上都将配置一个LOOPBACK接口，使用该接口的IP地址作为OSPF路由器的ID。根据兆隆计算机学院的OSPF规划，我们将采用一些特殊的地址作为LOOPBACK接口地址，具体的使用原则如下每个区域内设备的LOOPBACK地址前两端采用区域号加1的数字（如果该路由器在多个区域内有端口，则由该设备放置的地点决定区域号）。第3段地址用2表示该设备为路由器，用1表示该设备为三层交换机。第4段地址从1开始按照同类型设备数量顺次下排。因此，根据这个原则，可以确定兆隆计算机学院所有启用OSPF路由协议设备的LOOPBACK地址。（即路由器的ID）见表27。表27路由器ID规划表253OSFP指定路由器设计兆隆计算机学院的AREA0是广播型网络；AREA1是运行在GRE隧道上的广播多址网络；AREA2，3，4，5，6是一个由帧中继网络连接起来的非广播型网络，其中有多台路由器，需要考虑OSPF的DR、BDR选举问题。由于路由器的ID已经确定，本方案在采取默认优先级的情况下，所有三层交换机RS2都将成为对应区域的DR，RS1都将成为对应区域的BDR。26广域网部分为了安全，兆隆计算机学院内联网有统一的因特网出口，位于交大分校总部。同时，兆隆计算机学院也是一家在业务上需要频繁访问因特网的新型IT企业，对带宽和访问速度要求较高，所以在此次建设时，申请了一条10MBPS的以太网带宽接入链路来接入因特网，以实现对因特网接入的高带宽、高速度的要求。具体来讲，兆隆计算机学院的广域网接入功能是由防火墙实现的。到达兆隆计算机学院总部的链路首先连接到防火墙（兆隆计算机学院采用的是ISA防火墙），再经由防火墙连接到JDR1上，实现公司内部和因特网的互联。随着这条接入链路的申请，兆隆计算机学院从ISP处申请了一段公网IP地址，以便接入使用。这段地址和使用方法见表28。由于在ISA上可以实现NAT和防火墙的访问控制策略，所以在连接ISA的路由器上（即JDR1）就不再需要配置NAT。261帧中继接入的选择帧中继是基于DDN网或ATM网，提供点到点和点到多点的数据传送服务。帧中继是将流量控制、纠错控制等留给终端去完成，大大简化了节点机之间的协议，缩短了传输时延，提高了传输效率。帧中继具有动态分配带宽的特点，适合传送大量突发数据。帧中继的网络技术特征1、高效性由于帧中继使用统计复用技术向用户提供共享的网络资源，大大提高了网络资源的利用率，大大提高了带宽利用率。另一方面，由于帧中继简化了节点机之间的协议处理，因而能向用户提供高速率、低时延的业务。2、经济性因为帧中继技术可以有效地利用网络资源，从网络运营者的角度出发，可以经济地将网络空闲资源分配给用户使用。而作为用户可以经济灵活地接入帧中继网，并在其他用户无突发性数据传送时,共享资源。3、可靠性虽然帧中继节点仅有OSI物理层和链路层的核心功能，无纠错和流量控制，但由于光纤传输线路质量好，终端智能化程度高，前者保证了网络传输不易出错，即使有少量错误也由后者去处理。另外，网络中采取了永久虚电路（PVC）管理和阻塞管理，保证了网络自身的可靠性。4、灵活性帧中继网组建方面由于帧中继的协议十分简单，利用现有数据网上的硬件设备稍加修改，同时进行软件升级就可实现，而且操作简便，所以实现起来灵活方便。用户接入方面帧中继网络能为多种业务类型提供共用的网络传送能力，而且对高层协议保持透明，用户可方便接入，无须担心协议的兼容性。5、长远性与ATM技术相比，帧中继有简便而且技术成熟等优点。另外，两者本质上采用包交换技术，兼容起来也比较容易。帧中继与ATM相辅相成，会成为用户接入ATM网的最佳方式。262站点到站点之间VPN的设计由于兆隆计算机学院交大分校总部和宝鸡兆嵘分校之间距离比较远，采用光纤或者专线接入需要花费大量的成本，因此，在本次项目方案中，综合考虑以上因素，决定采用基于IPSEC的VPN技术实现。所谓虚拟专用网（VIRTUALPRIVATENETWORK,VPN）就是建立在公网上的，由某一组织或某一群用户专用的通信网络，其虚拟性表现在任意一对VPN用户之间没有专用的物理连接，而是通过ISP提供的公共网络来实现通信的，其专用性表现在VPN之外的用户无法访问VPN内部的网络资源，VPN内部用户之间可以实现安全通信。由于INTERNET本质上是一个开放的网络，没有任何的安全措施可言。专线的连接可以实现不同地区之间的互访，但需要支付高额的费用，维护也相当的困难。随着INTERNET应用的扩展，很多要求安全和保密的业务需要通过廉价的INTERNET实现，这一需求促进了VPN技术的发展。广泛地讲，VPN体系结构可以被分为两种常见的情况站点到站点的VPN（企业总部与各个分部之间的互联）和远程访问VPN（远程用户与公司总部之间的互联）。VPN技术实现安全互联有多种方式，如MPLSVPN、SSLVPN等，但IPSECVPN技术是现在企业用的最多的接入方式，本次兆隆计算机学院总部和宝鸡兆嵘分校之间就是通过使用CISCO路由器和预共享密钥建立IPSECVPN实现站点到站点之间的访问。本方案中要求七家分校都运行OSPF路由协议，而单一的IPSECVPN不支持广播链路，所以需要在交大分校总部和宝鸡兆嵘分校之间的路由器上建立一条GRE隧道，然后将IPSECVPN应用在隧道TUNNEL接口之上。263远程访问VPN的设计兆隆计算机学院出差的员工或者家庭办公的人员需要与交大分校总部随时交换机密的商务信息。出差的员工如何能成功远程访问总公司内部的资源并保证这一过程中的安全性如何在局域网上实现一个安全、方便、低成本的远程访问服务呢这就需要远程用户通过拨号或者虚拟专用连接登录总部的VPN服务器。远程客户机一旦得到VPN服务器的确认，就可以访问网络资源，就好像客户机已经直接连接在局域网上一样。拨号的远程访问通过电话线传输数据，虽然效率不高，但是对于那些只有少量数据需要传输的用户，特别是在家庭中办公的用户来说是一个很好的解决方案。使用虚拟专用连接提供了高的传输效率，而且降低了投资成本和维护成本。相对于拨号连接来说，它节约了通信费用，特别是对于外地的分公司来说，解决了一大笔长途电话的费用。此次项目考虑到远程办公人员较多，采用虚拟专用连接进行拨号。此次项目中将VPN服务器和ISA防火墙放置在了同一台服务器上，这样更有利于管理和维护。如果经测试负载过重，可以考虑使用NLB群集技术来增加ISA防火墙以及VPN服务器的可靠性。为了能够让远程访问用户安全访问总部内部的资源，可以在VPN服务器上设置一些策略，比如说时间上的限制以及认证方面需要。264VOIP的设计自从20世纪80年代计算机网络在企业中开始大规模应用以来，利用计算机网络所提供的便捷且廉价的传输和资源共享功能，无数的企业从中获得了巨大的好处。现今，这种专门的企业网以延伸到企业的几乎每一个角落，成为企业内部传输的基本平台。但是，传统的语音传输却似乎一直游离于这股潮流之外，很多拥有先进网络的企业，在语音通信时采用的方式仍同他们几十年前的前辈一样，为每一个分处各地的通信点到当地电话局去申请一部电话，利用电话公司庞大的语音网为其提供服务，同时承受高昂的通信费用。不过，随着新兴的VOIP技术的出现，这种情况终于开始改变。在计算机多媒体化和INTERNET技术的推动下，VOIP技术诞生虽然时间不长，但已经体现处强大的发展潜力，经过了PCTOPC、PCTOPHONE、PHONETOPHONE这几个发转阶段，现已走向市场。随着PSTN和IP网咯的不断融合，从普通用户、企业用户到电信运营商都在从VOIP技术中获得收益。目前，VOIP在运营商一级正发展为大规模、高