大型企业信息化建设方案62173114

1、大型企业网间网设计与实现 引言：在网络技术不断断发展的今天天，大型企业业网络建设面面临多种网络络技术的选择。选选择怎样的网网络技术来满满足企业未来来发展的需要要，是摆在各各大企业面前前的一个课题题。虽然网络络技术在飞速速发展，但企企业网络建设设有其内在规规律，把握这这些内在的规规律，将有助助于指导大型型企业的网络络建设。 本文定定义的大型企企业网络是跨跨地域和有层层次的网络。企企业的网络层层次和行政结结构相对应，网网络层次在二二层或三层以以上，网络连连接可能是跨跨地市、跨省的，也也可能是全国国范围的。例例如，银行、国税系统，民民航、铁路、政府办公系系统等都是跨跨地域，多层层次系统，在在网络建设

2、上上都有其共同同的特点。从从总体上说，企企业网络涉及及到系统软件件平台、硬件平台，布布线系统，局局域网建设，广广域网建设，应应用软件（包包括业务应用用和WWW服服务等）、网络安全，网网络管理等方方方面面。 本文从大型企业业网络设计的的角度介绍大大型企业网络络的设计和实实现方法。企业网络建设过过程的几个阶阶段企业网络建设总总体上分为设设计阶段、实施阶段和和网络管理维维护阶段。从网络设设计的角度来来讲，分为应应用驱动法和和基础设施法法。应用驱动动法是采用根根据应用需求求，从工作组组网络、楼宇网络、园区网络到到广域网络的的由近到远的的设计方法。基基础设施法是是根据基本的的网络规划，采采用从广域网网络

3、、园区网络到到楼宇网络的的由远及近的的设计方法。企业网络建设过过程分为如下下几个阶段： 1、需需求分析阶段段。通常大型企业在在网络建设中中已有部分的的网络环境，这这些网络环境能满足当时网网络应用的需需要。但网络络可能是一个个个孤立的小小岛，只能在在局部范围内内实现网络应应用及资源共共享，企业网网络没有形成成一个整体。企企业网络规划划时，要考虑虑网络建设的的整体性，既既要保护原有有的投资，又又要在网络技技术的选型上上有前瞻性。网络需求分析主要是根据企业业务发展需求和企业信息技术应用需求，提出企业网络建设的总体目标和关键技术指标。 企业网网络需求分析析包含如下几几方面：网络标准和协议议要求。全网络

4、信息点分分布需求，包包括局域网布布线结构要求求，广域网传传输介质要求求。网络层次划分及及网络拓扑结结构要求。结合应用的网络络设备处理能能力和带宽要要求。局域网和广域网网要求。Interneet接入，外外网接入，防防火墙技术要要求。企业网络应用要要求。 网络设备选型要要求。网络应用和网络络技术的关系系（如多媒体体、IP话音和和网络结构的的要求）。网络可靠性、扩扩展性和安全全性要求。网络管理要求。2、网络规划阶阶段。企业网络规划是是从企业网络络需求分析到到企业网逻辑辑设计中间必必经阶段，主主要根据企业业网络需求分分析得出分离离的、外在的技术术指标（如用用户数、桌面微机的的站点数、最大响应时时间要求

5、等等等）。运用企企业网络本身身内在的规律律和关联算法法，得出整个个企业网络内内在的技术框框架和技术指指标（如桌面面带宽要求、主干带宽要要求、服务器处理理性能要求等等等）。3、网络逻辑设设计阶段。 网络逻逻辑设计阶段段主要根据企企业网络需求求分析结果，根根据企业网络络规划的内在在技术指标，按按照计算机网网络设计的经经验和方法，在在现有的可行行的网络技术术范围内，设设计企业网络络的连接结构构、协议结构以以及每个网络络的功能结构构。企业网络设计主主要确定网络络的连接结构构，网络节点点的类型、 功能和容容量。网络传传输链路的类类型和容量，以以及网络安全全控制结构和和网络管理结结构。网络物理设计阶阶段。

6、网络物理设计主主要确定实施施网络逻辑设设计方案的厂厂家产品的类类型、数量和具体体配置，以及及与网络逻辑辑设计方案中中连接结构相相吻合的物理理拓扑结构。网络实施阶段。网络实施阶段主主要是采购所所需的硬件设设备和软件系系统，以及安安装、调试和测试试网络系统。网络维护和扩展展阶段。 在企企业网络通过过测试之后，网网络就进入了了运行、维护和扩展展阶段。企业业网络的运行行维护阶段的的主要工作是是对企业网络络的日常维护护和管理，包包括网络配置置管理、性能管理、故障管理、安全管理和和用户帐户管管理，对企业业网络的预防防性测试和容容量的规划。企 业 网 络络 层 次 结 构 分分 析 及 其 模 块块 化 设

7、 计 思 想想大型企业网络层层次结构与企企业的行政结结构相对应，一一般至少有二层，也有三层层和四层结构构。多于四层层的结构作为为远程访问服服务层看待。我我们从网络的的层次划分上上分析探讨多多层网络模块块化设计思想想。 大多数数企业网络都都可以被层次次性划分为三三个逻辑服务务单元(Baackbonne)、区域域网(Disstribuute)和访访问网(Loocalaccesss)。骨干干网的主要目目的在于完成成分布于不同同区域或逻辑辑组的路由最最优化通信；区域网主要要是完成网络络流量的安全全控制机制，以以使骨干网和和访问网环境境隔离开来；访问网主要要是支持客户户机对服务器器的访问。2.1 模块化

8、化网络设计方方法模块化网络设计计方法的目标标在于把一个个大型的网络络元素划分成成一个个互连连的网络层次次。实质上，模模块化方式把把网络划分为为一个个子网网，因此网络络节点和流量量变得更容易易管理。层次次化的设计方方法同时也使使网络的扩展展更容易处理理，因为新的的子网模块和和新的网络技技术能被更容容易集成进整整个系统中，而而不破坏已存存在的骨干网网。层次设计方法可可为网络带来来以下三个优优点：1、层次性网络络的可扩展性性可扩展性是在包包交换网络连连接中使用层层次性设计的的主要优点。层层次性网络具具有更多的可可扩展性是因因为它可以让让你用模块化化方式扩展网网络，而不会会遇到非层次次性网络或平平面性

9、网络很很快所遇上的的问题。但是是，层次性网网络同时也提提出了一定的的问题需要仔仔细考虑。这这些问题包括括：虚电路的的费用，层次次设计（尤其其是网状拓扑扑的内在复复杂联系，以以及需要额外外的路由器接接口来划分网网络层次。为了获得层次性性网络结构的的优点，你必必须使你的网网络层次结构构充分与你所所在地区的拓拓扑相符合。设设计取决于你你所使用的包包交换模式，以以及你所想要要的容错能力力、网络性能能和网络造价价。2、层次性网络络的可管理性性使网络简单化通过把网网络元素划分分为小单元、层层次化，降低低了整个网络络的复杂性。这这种网络单元元的划分使故故障诊断变得得清晰和简单单了，同时还还可以提供防防止广播

10、风暴暴、路由循环环等其他潜在在问题的内在在保护机制。使设计更灵活层次化设设计使得骨干干网和区域网网之间的包交交换形式更具具灵活性。很很多网络都得得益于使用混混合方式来构构造整个网络络架构。在大大多数情况下下，可在骨干干网部分使用用专线而在区区域网或本地地网接入部分分使用包交换换服务。使路由器管理更更容易由由于层次化网网络结构使网网络分层，相相对缩小的网网络区域使路路由器的邻居居或对等通信信端数量减少少，因此路由由器的配置变变得简单化。3、优化广播和和多点广播的的流量控制在包交换网络中中，减少路由由器之间广播播信息量的最最直接方法就就是使用更少少数目的路由由器组，通过过层次化模块块设计可以较较好

11、地控制网网络中的广播播。通常在包包交换网络中中最常见的路路由器之间的的广播信息流流量是路由更更新信息，如如果在一个区区域或一个层层次中有太多多的路由器，那那么就会因为为广播的原因因而造成网络络瓶颈。层次次化的网络结结构使你可以以对区域网向向骨干网的广广播作出限制制。 根据这种种层次化网络络设计思想的的原则，我们们可以把企业业Intraanet网络络工程的整个个网络体系结结构分为以下下三层或四层层结构二级或或三级网络主主干：即由企企业中心节点点与二级节点点组成一级主主干网络，由由二级节点和和三级节点构构成二级网络络，三级节点点和四级节点点构成三级网网络。如下图图2.1所示： 图2.1评估一级主干

12、网网络的服务 如图2.1所示的一一级主干网络络所能提供的的功能特性包包括如下几个个部分：主干网络带宽管管理： 为了优化化主干网络的的操作，路由由器提供几种种性能调节方方法，如优先先权队列管理理和数据压缩缩，动态路由由协议权值定定义，动态路路由协议发包包时间间隔优优化，协议本本地确认等优优化和节省广广域网带宽。数据传输路径优优化 路由器最最主要的特点点之一是在逻逻辑网络环境境内，自动选选择最优路径径传输信息。 路由器依依靠路由协议议（静态和各各类动态路由由协议）完成成最优路径查查找工作。路路由协议是在在网络第三层层上操作，并并且各类网络络协议有相应应路由协议支支持。如，在在IP网络环境境中，Ci

13、ssco公司的的所有路由器器支持所有路路由协议，如如OSPF Routiing,RIIP Rouuting,IGRP Routiing,E-IGRP Routiing,BGGP Rouuting,EGP RRoutinng andd HELLLO Paccket。 路由收收敛问题：路路径选择涉及及的相关问题题是路由收敛敛。当网络发发生变化时，如如主干网上路路由器关机或或故障，或通通信线路的故故障，或主干干网上路由器器配置变化等等，都会引起起路由表的改改变，这种改改变过程引起起网络不能正正常工作。因因此，选择收收敛速度快的的动态路由协协议和避免路路由慢收敛问问题是网络设设计的关键问问题之一。优化

14、传输队列 主干网上上信息传输可可以分成不同同的优先级别别，将重要的的信息定为高高优先级别，优优先传输。路路由器可以对对诸如不同协协议类型，不不同传输层协协议，不同的的应用类型设设定不同的传传输优先级。对对IP协议来讲讲，在网络应应用层，可对对诸如TELLNET,FFTP,SMMTP,WWWW等应用进进行传输队列列优先权的设设定，以确保保重要数据优优先传输。对对传输队列的的优化是在各各类协议及子子协议基础上上进行，如下下图所示：负载均衡 路由器支持持多链路的负负载均衡，最最多可支持四四条负载均衡衡链路，每条链路的负载载阀值可以调调整。路径备份 一级主主干网上传输输的都是重要要信息，一级级主干网的

15、路路径备份就特别重要。考虑虑到投资成本本，不要求主主干网上所有有路由器都双双链路连接，而只考虑虑主干网上各各中间节点到到中心节点的的双链路连接接，各中间节点之间可可以无链路连连接。各中间间节点之间的的通信都跨越越全国中心的路由器实实现。因此，全全国中心路由由器必须具备备强大的处理理能力。2.3 评估估二级主干网网络的服务 如图2.11所示，我们们对二级主干干网络作如下下评估。区域和服务过滤滤 信息流的的过滤是建立立在区域的划划分和服务类类型上。来自自区域内部的信息不必要跨跨越广域网一一级主干网络络，这样可以以减缓一级主主干网络的通信压力。同同时，在区域域内部可以针针对网络服务务类型（如TELN

16、ET,FTP,SSMTP等）和和网段地址作作访问控制，这这样可确保重重要数据的访问安全性。在在路由器中，设设置acceess-liist，路由由器判定满足足条件的信息包通过过网络。基于策略的信息息分发基于策略的信息息分发的目的的是确保传输输性能和信息息的完整性。在网间网中中，这种策略略可以定义成成一个规则或或一组规则，以以此来控制跨跨越广域主干干的端对端的的数据传输。例例如一个部门门，它可能有有三种网络协协议要跨越主主干，但只希希望携带重要要应用的一种种特殊的协议议快速通过主主干。另一部部门，由于主主干网络过于于繁忙，此时时只允许e-mail跨跨越主干等。路由协议的一致致性 我们建议一级级和二

17、级广域域网主干动态态路由协议应应是一致的，并并采用开放的的路由协议如如ISIS或BBGP4或OOSPF。采采用那种动态态路由协议，要要根据企业的的网络结构和和部门间的隶隶属关系确定定。介质转换 介质转换换技术是将不不同网络链路路层上的帧的的格式转换为为另一网络帧帧的格式，例例如以态网与与令牌环网的的转换。由于于区域内网络络环境较为复复杂，厂家必必须有相应的的设备支持。2.4评估接入入访问服务 接入访访问服务包含含如下内容：网络增值地址网络增值地址（helper network address）是用来解决一些特殊的信息传输，使得原来是广播方式的传输变为多点传输。这样，可以减少网络的广播压力和路由

18、器的负载。例如，Novell客户端原来通过广播方式查找它的服务器，而如果服务器不在本网段，广播信息必须通过路由器。使用helper address后，就允许在一个网络上的节点直接向另一个网络上的服务器发送信息，而不用经过路由器。网段 局部访问服务务的基本要求求是将网络分分成若干网段段，每个网段段实施各自的的信息传输策策略，通过路路由器从而实实现各网段广广播信息的相相互隔离，减减少主干网络络的拥塞。确确定网段，是是通过子网掩掩码实现的。灵灵活的网段划划分，通过路路由器acccess-llist网段段地址过滤，可可以实现灵活活的网络安全全访问控制策策略。广播和多点广播播 如上所说说，路由器能能隔离

19、网段的的广播信息。然然而，如果需需要，路由器器可以中继广广播。通过路路由器中继某某些广播以达达到一定的目目的。 IPP的多点广播播是从一个站站点向指定的的多个目的站站点发布信息息，而不是向向每个站点发发布信息。IIP的多点广广播为视频会会议，股票交交易等提供出出色的服务。参参与多点广播播的计算机，必必须运行IGGMP协议。路路由器配置IIGMP(IInternnet Grroup MManageement Protoocol) 后，可以实实现位于不同同网段内的计计算机的多点点广播。 安全策略 如果所有有信息被所有有员工随意访访问得到，那那么安全侵犯犯和不正当的文件访问就不不可避免。为为了避免这

20、些些问题，路由由器要做如下下工作：防止局部网络信信息不正当地地进入网络主主干防止网络主干的的信息不正当当进入部门或或工作组 实现这两两大功能的手手段是路由的的包过滤。一一方面，包过过滤能控制未未受权的用户户访问，增加加安全性，同同时能减少网网络的拥塞，减减少网络问题题的发生。 路由器有一一整套信息过过滤策略。如如对地址的访访问过滤，对对协议的访问问过滤，对应应用层的访问问过滤。具体体地说，在以太网环境下下，有一台主主机能Tellnet到Interrnet的某某一台主机，不不允许Intternett上该主机Teelnet到到这台主机上上，但可以作作SMTP的访访问。只允许一个网段段通过OSPPF

21、动态路由由协议，其它它网段OSPPF被禁止。限止某些主机访访问某些网段段。限止某些网段访访问另一些网网段。 上上述访问控制制手段是常用用的方法。另另外还有远程程访问控制，通通常采用认证证机制。对于于MODEMM访问方式的的站点，可采采用TACAACS(Teerminaal Acccess CControoller Accesss Conntrol Systeem) 认证机机制。对电话话拨号站点，运运行ppp协议，可可采用chaap或pap 认证证机制。路由器查找 主机必必须知道其网网关地址才能能通过路由器器访问别的网网段。可以用人工或动态路路由的方式配配置主机的网网关地址。主主机至少有一一个路

22、由器局域网端口地地址作为其网网关地址。但但是，当有多多个路由器时时，主机如何确定其网关关地址呢?一般来说，主主机选择那台台能到达目的的站点最佳路径的路由器器作为其网关关，这种情况况涉及路由器器的查找。支支持这种查找的相关协议议有以下几种：End Sysstem-tto-Inttermeddiate Systeem(ES-IS)协议议ICMP Rooutingg Disccoveryy Prottocol(IRDP)协议Proxy AAddresss Ressolutiion Prrotocool(ARPP)协议OSPF和RIIP协议 通过过对上述网络络分层服务的的分析，我们们得出结论：对于大型

23、企企业Intrranet网网络工程来说说，要想建设设成为一个全全国性的、网网络性能优良良的、网络控控制极为灵活活的、具有很强扩扩展能力和升升级能力的大大型企业综合合性网络，那那么在网络设设计中就必须须采用层次化化的网络设计计思想。企 业 网网 间 网 路 由 协协 议 我们对企业网络络的层次结构构及相应的网网络服务作了了系统的分析，各层次的网网络服务是建建立在网络协协议第三层动动态路由或静静态路由基础础上。由于各各类网络动态态路由协议都都存在算法上上的缺陷，没没有一种全优优的网络动态态路由协议能能完全满足企企业网络运行行的需要。因因此，网络动动态路由的选选择必须和整整体网络结构构相协调，同同时

24、和企业网网络的运行方方式、运营成本相相协调。 为此，我我们简单介绍绍几种路由协协议：3.1、RIPP（Routee Infoormatiion Prrotocool） 路 由 信 息 协 议 RIPP路由协议与与UNIX和TCP/IIP紧紧地联联系在一起的的。在互连网网中RIP是最常常用的路由协协议。 作为广广泛使用的一一种距离矢量量（Disttance Vectoor）路由协协议，RIPP路由协议有有如下特 点：基于距离矢量路路由协议路由器根据距离离选择使用路路由。当计算算的那条路径径为最短路径径 时，路由器器确定这条路路径为最佳路路径并维持这这条最佳路径径。当新的路路由比 原路由更佳佳时，

25、由新路路由将替代老老的路由。具有学习功能 路由器定时向向每个邻近网网络广播报文文，通过路由由器间相互学学习， 不断更新自自己的路由。仅以跳数（hoop couunt）作为为距离度量在路由器的路由由决策中，要要考虑的因素素可以很多（ 例如：带宽、 延迟、可靠性、路由等），如果参加决策的因素越多，路由策略的最佳路由更加趋于合理，对网络的描述更加精确。所以RIP路由协议仅将跳数作为距离度量有缺陷的。最大站点数为115 RIP 协议议允许最大站站点数为155，任何超过过15个站点的的目的地均认认为不可达到到的。RIPP最大站数大大大限制了大大型网间网环环境的应用。每30秒向相邻邻路由器广播播一次路由信

26、信息 RIP路由协协议采用了不不少计数器，路路由新计数器器通常被设计计为30 秒。保保证每个路由由器在每300 秒向其邻邻接路由器发发送一次路由由表。3.2、OSPPF（Open Shorttest PPath FFirst）开开放式最短路路径优先协议议 80 年代中期，由由于RIP 路由器协议议越来越不适适应大规模异异构网络互连连。OSPFF作为IETFF（网间工程程任务组织）为为IP 网络开开发的一种IIGP（内部部网关协议）协协议，克服了了RIP 路由由协议的缺点点。其采用SSPF（Shorttest PPath FFirst）算算法，基于链链路状态路由由协议。OSSPF路由协协议有如下

27、特特点：需要每台路由器器向同域（AArea）的的所有其它路路由器发送链链路状态广播播（LSA）信息息。路由器收收集有关的链链路状态信息息，并根据SSPF的算法法计算出到每每个结点的最最短路径。同同域内的路由由器共享 相同的拓扑扑信息。路由选择的分级级 与RIP 路由协议不不同，OSPPF可在一个个域（Areea）内进行行路由选择。域域的最大集合合是自治域（AS）。AS 是共享同一路由选择策略的网络集合。 一个个自治域ASS可分为多个个域（Areea），域是是由相邻的网网络和连接的的主机组成，如如图3.2.a所示。 根据据源点和目的的地是否在同同一域内,OOSPF有两两种类型的路路由 选择方式：

28、 当源源和目的在同同一区域时，采采用域内路由由选择。 当源源和目的不在在同区域时，采采用域间路由由选择。 由于于有域的概念念，OSPFF路由协议比比那些不将AAS分区的情情况下 所需传送的的路由信息少少得多。支持VLSM（Vanabble Leength Subneet Massk）可变长长度子网掩码码技术。 由于于每个发布的的目的地均包包括IP子网的掩掩码，从而可可利用子网掩掩码将IP网络分为为不同大小的的子网，这种种方法可节省省IP 地址空空 间并给网络络管理员管理理带来灵活性性。 对带宽和CPUU等资源消耗耗 这个个SPF 算法法占用了CPPU 的资源源，一般来说说与运算量与与网内链路数

29、数目与路由器器数目乘积成成正比。另外外当SPF 路由器通电电， 初始的链路路状态包泛滥滥（Flooodtingg）占用网络络带宽，这些些情况都是在在网络设计中中要考虑的。3.3、EIGGRP（enchaansed Interrior GGatewaay Rouuting Protoocol） EIIGRP 即即为CISCCO公司所提提出的IGRRP路由协议议的增强版。它它 是 一种混合型型的路由选择择协议，它结结合了链路状状态协议及距距离矢量协 议的优点，包包括以下特点点：快速聚合增强IGRRP使用扩散散更新算法（DUAL Diffusing Update Algorithm）来快速达到聚合，

30、运行EIGRP 的路由器存储有相邻路由器的路由选择表,因此能快速地适应路由的变化， 若不存在合适的路由，EIGRP 查询其相邻的路由器，以发现一个不同的路由，这种查询传播一直持续到新的路由发现为止。变长子网掩码EIGGRP包括全全支持变长子子网掩码，子子网路由 自动汇集到到一个网络号号边境上，除除此之外，EEIGRP 能被配置集集中在任意接接口的任意位位边界上。部分、界限修改改EIIGRP路由由并不周期性性地作修改，只只是当 某路由的计计量发生变化化时，才发送送部分更新。自自动更新的信信息是自动定定义其边界，所所以只有那些些需要这类信信息的路由器器才修 改其路由表表，因为EIIGRP 具具有这

31、两种功功能，因此它它比IGRPP、OSPF 消耗的频宽宽更少。支持多种网络层层EIIGRP 支支持Applletalkk、IP以及NOVEELL 等 多种协议。 3.4、 静 态 路 由 协 议 以上我我们介绍的均均为动态路由由协议，当然然还有另外一一种路由 协议便是静静态路由协议议。静态路由由协议是由网网络系统管理理员人工定 制的，需要要制出一切所所需的路由。其其优点为不会会产生动态路路由所特 有的路由信信息广播或路路由信息、更新或HELLLO 从而而不会在系统统资 源：内存、CCPU、带宽宽等方面制成成额外的开销销。但其缺点点为会给系统统管理员的管管理工作带来来大量的工作作，其次，由由于路

32、由是静静态的因 而不能适应应网络的动态态变化的需要要而改变路由由。 在上面面的介绍中我我们可以看出出，作为一个个大型综合企企业网的内 部路由协议议可供选择的的实际上有静静态路由、IIGRP、EIGRPP和OSPF。而而当我们进行行一个大型网网络IP协议的选选取时，需考考虑以下两方方面的因素：网络路由聚合时时间网络路由环境的的可维护性3.5 动动态路由比较较EIGRP是CCisco公公司开发的一一种先进的路路由技术，它它结合了距 离向量( DDV )协议议和连接状态态( LS )协议的优优点，采用了了扩散更新算算法（DUAAL Difffusinng Upddate AAlgoriithm）达达

33、到网络的快快速收敛。EEIGRP 支持层次化化和平面网络络结构，支持持VLSM 网络地址分分配，可在任任意位边界对对直接相连的的网络进行路路径叠合，只只有在网络变变化时 EIIGRP才发发送路由表更更新信息，因因此广域网带带宽浪费很少少，DUALL Difffusingg Updaate 算法法使其具有最最好的收敛性性，EIGRRP 采用五五维参数来决决定最佳路径径：带宽、时时延、可靠性性、线路负载和和最大数据包包尺寸，不同同带宽的平行行线路可负载载平衡地同时时传输数据 。它采用模模块化软件支支持IP、IPX 和AT 协议。OSPF是标准准的、基于最最短路径优先先( 连接状态态) 的、能快快速

34、收敛的路路由协议，它它只适用于IIP 协议。 OSSPF 的网网络拓朴必须须是层次结构构的，分骨干干域和边缘域域，在设计OOSPF网络络时最重要的的是域边界的的定义地址分分配，域边界界的定义决定定了哪些路由由器和连接包包 括在骨干域域中，哪些包包括在每一个个下连的域中中。OSPFF 支持VLSMM 地址分配配，其路径叠叠合能力有限限，必须在路路由器中手工工设置。在大型企业网络络中，RIPP 由于其固固有的局限性性，它已被淘淘汰，最常见见的路由协议议是OSPFF 和EIGRPP，它们的比比较如下： OSSPF EIGGRP 快速收敛 是 是 带宽利用率 高高 高 内存使用 两两 者 差 不 多

35、CPU使用 两 者 差 不 多 路由算法 dyjjkstraa DDUAL 传输类型 Linnk Staate DDistannce Veector 路径叠合 有有 限 任意意边界 协议过滤 非常有限 非常强 rtg协议速速率调节 无 有 多个缺省路径径 无 有 区域拓朴层次次 必须要 不要 开放标准 是 不是是 用户端可用 是 不是 保持邻居状态态 是 是 改变只传播 不是 是 到 相 关 网 络 可用于多种 不是 是 L3 协 议议 负载平衡传输输 非常有有限 很强 网络可扩性 好 很好 从以上上比较可看出出，EIGRRP 凝聚了了距离矢量和和链路状态两两种 算法的精华华，避免了两两种算法

36、各自自的缺点，因因而可达到最最快速度的 聚合。由于于其采用DUUAL 算法法，而且只有有网络拓扑变变化影响到的的路由器才参参与路由的计计算，仅只有有拓扑变化影影响到的路由由才进行广 播，因此EIIGRP对CPU及网络络带宽的消耗耗都将低于OOSPF、IGRP、RIP 等路由协议议。 在大型型企业网络的的设计中，除除考虑线路的的带宽、延迟迟、可靠性等等因素外，路路由表的大小小、网络的延延展性、路由由的快速收敛敛同样是影响响网络功能的的重要因素。 动态路由协议议的选择对于大型企业网网，平面结构构的路由协议议（如RIPP，IGRP）不不能满足网络络性能的要求求。我们推荐荐采用E-IIGRP,OOSP

37、F路由由协议,多于三层结结构的网络需需采用BGPP4网间网协协议。OSPF协议是是一层次化结结构的路由协协议，可将大大型网络分成成若干区域。如如下图： 区域划划分可减少各各路由器的路路由表尺寸；利于网络扩扩展；支持 VLSM，可可通过路径的的叠合（ ssummarrizatiion）优化化地址的设计计和路由的计计算。 在OSSPF协议中中，Backkbone 区域是中心心主干区域（Area 0），主干区域路由器保持OSPF的信息，负责各路由区域间的路由信息分配；跨接多个区域的路由器为ABR（Area Border Router），其保持所连接的区域的路由信息，并完成路径叠合功能 （summar

38、ization）；当网络大到需分成多个自主系统（AS）时，跨接AS 的路由器为 ASBR，在一个自主系统中可根据上述方法选择路 由协议，而自主系统之间目前最好的办法是采用BGP协议进行互 连。BGP的最新标准是BGP4(RFC1654)，它支持CIDR。在每个自主系统中要定义BGP PEER路由器，用于在自主系统之间交换路由信 息。对于OSPF的的区域划分的的原则为：每个区域内路由由器不超过1100个；每个路由器接口口的相邻路由由器不超过660个；每个路由器所属属区域不超过过3个；所有区域必物理理地连接到主主干区域；企 业 广 域域 网 链 路 选 择择我们从理论上分分析了大型企企业网络的层层

39、次结构和动动态路由协议议。通常企业业租用ISPP的通信线路路，按照设计计好的层次结结构进行广域域连接。在申申请通信线路路时要综合考考虑企业业务务需求、QOS、运行维护费费用等多种因因素。ISP提供多种种通信链路来来满足企业用用户非实时网网络应用的需需求，如X.25,DDDN,帧中继继，PSTNN等。也可以选择择拨号VPNN技术，专线线VPN技术术。也可使用用标记交换技技术，MPLLS技术等。选选择通信类型型要根据运营营成本和运营营效率综合考考虑。对于广域网上实实现语音、图像等多媒媒体应用的广广域网DDNN，FrammeRelaay和ATMM都能实现，但但从运行费用用和服务质量量保证来看，采采用

40、ATM作作广域链路是是较好的选择择。目前，国国内ISP没没有开放ATTM业务，但但企业如有需需要可以申请请ATM服务务。企 业 园 区区 局 域 网 设 计计 (1)企业园园区局域网络络采用虚拟交交换网络 从网络络的性价比来来看，企业的的局域网络逻逻辑结构采用用交换虚拟网网技术已是大大势所趋。交换虚拟网络是是基于ATMM和局域网交交换机为平台台的技术，其其目标是真正正建立一个可可以满足未来来多媒体信息息处理时代需需要的企业网网络。从长远角度看，采采用交换虚拟拟网络技术可可以降低组建建企业网的成成本、提高信息技技术与企业发发展的适应能能力。交换虚虚拟网可以满满足企业网络络在以下几个个方面对计算算

41、机网络的需需求：通过交换技术，向向最终用户提提供更高的带带宽。可以向不同用户户、不同应用提提供所需的服服务质量保证证的网络服务务。提供完整的网络络管理和控制制系统，控制制网络成本，特特别是隐含的的网络成本开开销，例如网网络管理、网络控制等等方面的开销销。在外围提供前面面的网络互连连和系统集成成方案，提供供端到端的解解决方案，提提高网络互连连性和可靠性性，减少网络络扩展的成本本。构造虚拟工作组组网络以支持持虚拟工作组组工作。 (2)企业局局域网络的主主干交换 企业局局域网络主干干的作用就是是互连网络的的各个部分，传传递分布到网网络各个部分分的数据流。主主干网必须具具有高效率、高可用性特特征，在主

42、干干上任何一点点不合理的延延迟都是灾难难性的！ 采用AATM交换技技术可以提供供边缘交换机机之间的高速速连通性、可靠性和服服务质量保证证，以及支持持多种数据流流类型，如IIP、IPX、DEECnet。利利用ATM技技术的高效拥拥挤控制和流流量控制，高高可用性和功功能全面的网网络控制，动动态用户组管管理及有效的的流量管理，满满足大批量数数据传输对带带宽的需求，同同时满足多媒媒体应用对不不同类型信息息流和不同服服务质量的需需求。 采用千千兆以太网技技术可以提供供极高的网络络主干带宽，并并融合传统的的以太网技术术和交换技术术，给终端用用户提供满足足应用需求的的带宽。虽然然在带宽上满满足终端用户户的需

43、求，但但在网络的流流量管理上和和服务质量上上不及ATMM。 企业局局域网络还可可以采用第三三层或第四层层交换技术，以以满足网络主主干在性能上上的需求。 (3)企业园园区楼宇网络络设计企业园区楼宇设设计必须基于于建筑物内已已有的或者可可能设置的布布线结构进行行设计，同时时要考虑每个个楼宇内信息息资源中心的的设置，局域域网之间的数数据通信类型型和可能通信信量，局域网网之间需要设设置的安全访访问控制策略略，确定网络络互连模式和和结构。楼宇宇内设计采用用路由互连技技术、ATMM交换互连网网技术和虚拟拟局域网组网网技术。楼宇网络设计需需要考虑如下下问题：楼宇内部如果没没有干扰，而而且传输距离离在100米

44、米之内，一般般采用双绞线线作为网络的的传输媒体。如如果楼宇内部部有电磁干扰扰，可以采用用光纤作为传传输媒体。如如果楼宇内部部的传输距离离大于1000米，可以采采用互连设备备的级联，也也可以采用光光纤作为传输输媒体。在采用同一局域域网技术的工工作组网络互互连时，如果果可以共享带带宽，而且无无安全控制需需要，只是由由于工作组网网络覆盖的距距离不够，则则可以采用级级联集线器的的方式扩展网网络。在采用同一种局局域网技术的的工作组网络络互连时，如如果各个工作作组需要独立立的传输带宽宽，则通过局局域网交换机机连接。采用不同局域网网技术的工作作组网络互连连时，如果互互连的工作组组网络较少，各各个工作组之之间

45、无需提供供安全访问控控制，而且，各各个工作组网网络之间需要要提供快速连连接，则采用用支持多种局局域网接口的的交换机。采用不同的局域域网技术的工工作组网络互互连时，如果果互连的工作作组网络数量量较多，各个个工作组网络络内部有较大大的广播报文文，或工作组组网络之间需需要有较为严严格的安全访访问控制，且且在工作组之之间没有多媒媒体应用，则则采用路由器器互连各个工工作组网络。如果工作组站点点的地理分布布，与其它工工作组网络站站点地理分布布重复，则需需要在同一地地理区域采用用同一局域网网交换机连接接不同工作组组网络站点，通通过交换机构构成符合工作作组划分的虚虚拟网络。对于具有多媒体体应用的点到到点站点网

46、络络服务质量保保证的传输信信道，采用AATM技术，到到桌面采用225M ATM连连接。服务器设备接入入：采用光纤纤155M ATM接入或或光纤1000M以太网接接入。重点终终端用户采用用光纤接入核核心交换机，实实现安全传输输。 (4)企业园园区虚拟局域域网 网络厂厂商相继开发发了“开放”互联技术VTTP(VLAAN Truunkingg Prottocol)，支持的标标准是ISLL、802.1Q，MPPLS。ATTM交换机和和局域网交换换机为虚拟局局域网提供了了基础平台。虚虚拟局域网为为企业局域网网络带来的三三个好处是：在最大限度地减减少对路由器器依赖的基础础上，有效地地控制局域网网内的广播流

47、量，提提高站点的传传输效率。减少由于网络站站点的增加、移动和更改改而增加的网网络维护成本本。业务部门工作组组的逻辑组合合更为灵活。 在VLLAN的划分分中，都与“群组”这个概念有有关。群组是是指局域网交交换机的一个个集合。每个个交换机支持持的群组数目目有一定的限限制。因此，在在网络规划时时，必须考虑虑业务部门逻逻辑工作组的的数量，并选选择相应的交交换机型号，使使得交换机的的VLAN数数量和处理性性能满足业务务应用需要。一一个群组可以以包括全网中中不同交换机机的端口，每每个群组可以以看作是一个个独立的通信信域。如果不不使用路由功功能，则一个个群组中的通通信量不能转转发到另一个个群组中，群群组的特

48、征如如下： (11)一个群组组是一个广播播域； (22)一个群组组是交换机物物理端口的集集合； (33)群组可以以跨越多个交交换机； (44)群组不能能相互重叠，即即每个端口只只能属于一个个群组； (55)群组之间间的帧可以通通过路由转发发； (66)同一群组组中不同的VVLAN的帧帧也可以通过过路由转发。 群组的概概念实际上是是基于以端口口为基础的VVLAN。还还有其它类型型的VLANN划分： (1)基于MMAC地址的的VLAN划划分，这种VVLAN划分分方法灵活，但但管理复杂； (2)基于协协议规则的VVLAN划分分，把具有相相同的第三层层协议网络站站点归并成一一个VLANN。这些站点连接

49、的的交换机端口口构成一个广广播域，以减减少在同一网网络环境下不不同协议栈之之间的相互干干扰。选择不不同的协议类类型构成不同同的VLANN：1、所有IP协协议流量；22、所有IPXX协议流量；3、所有DECCnet协议流流量；所有AAppleTTtalk流流量；4、所有指定以以太类型的流流量；5、所有携带指指定源点和目目的点SAPP（服务访问问点）报头的的流量；6、所有携带指指定SNAPP（子网访问问协议）类型型的流量。 (3)基于网络地地址的VLAAN。 用IPP地址和IPP网络掩码划划分网段。 (4)基于用户定定义规则的VVLAN。企 业 网 络络 与 外 网 连 接接企业网络与外网网的连接

50、发生生在企业网络络的各个层次次上，其中包括Interrnet接入入等。我们称称企业内部网网为内网，企企业外部网为为外网。显然然，内网和外外网间加装防防火墙。通常，内网和外外网间采用静静态路由或缺缺省路由。内内网和外网的的信息访问通通过防火墙进进行过滤。内网和外网的连连接如下图所所示：企 业 网 络络 安 全 访 问 控控 制 机 制7.1企业安全全系统的设计计目标是：（1）防范黑客客攻击、计算算机犯罪和有有害信息传播播（包括计算算机病毒）（2）加强应用用和数据的安安全建立安全管理制制度，注意内内外兼防，重重点在内部 7.2安全框框架安全方案的科学学性、可行性性是其顺利实实施的保障。安全方案必须

51、架架构在科学的的安全框架之之上。安全框框架是安全方方案设计和分分析的基础。美国国防部DIISSP（DDefensse Widde Infformattion SSystemm Secuurity Progrram）计划划中提出的三三维安全框架架结构，是事事实上的标准准，反映了信信息系统的安安全需求和体体系结构的共共性。其简化化的版本说明明如下（安全全框架是一个个三维结构）： 第一维（轴）是安全全特性，给出出了七种安全全属性；第二维（轴）是是系统单元，给给出了信息网网络系统的组组成 ；第三维（轴）是是结构层次，给给出了国际标标准化组织IISO的开放放系统互连（ISSO）模型。网络平台系统平台应用

52、平台安全管理物理环境数据完整网络平台系统平台应用平台安全管理物理环境数据完整结构层次身份鉴别访问控制数据保密不可抵赖审计管理可用性、可靠性应用层表示层会话层传输层网络层链路层物理层安全特性系统单元7.3安全方案案的制订根据安全框架架制订安全方方案的具体思思路如下：确定安全方案涉涉及的系统单单元，明确安安全方案系统统单元；确定安全方案系系统单元在各各个层次结构构的安全特性性。安全方案的组成成如下：网络平台安全方方案系统平台安全方方案应用平台安全方方案物理环境安全安全管理方案7.4网络平台台安全方案7.4.1网络络系统方案功功能要点 1)访问问控制。通过过对特定网段段、服务建立立的访问控制制体系，

53、将绝绝大多数攻击击阻止在到达达攻击目标之之前。检查安全漏洞。通通过对安全漏漏洞的周期检检查，即使攻攻击可到达攻攻击目标，也也可使绝大多多数攻击无效效。攻击监控。通过过对特定网段段、服务建立立的攻击监控控体系，可实实时检测出绝绝大多数攻击击，并采取相相应的行动（如如断开网络连连接、记录攻攻击过程、跟跟踪攻击源等等）。 2)加加密通讯。主主动的加密通通讯，可使攻攻击者不能了了解、修改敏敏感信息。 3)认认证。良好的的认证体系可可防止攻击者者假冒合法用用户。 4)备备份和恢复。良良好的备份和和恢复机制，可可在攻击造成成损失时，及及时地恢复数数据和系统服服务。 5)多多层防御。攻攻击者在突破破第一道防

54、线线后，延缓或或阻断其到达达攻击目标。 6)隐隐藏内部信息息。使攻击者者不能了解系系统内的基本本情况。 7)设设立安全管理理机构。为信信息系统提供供安全体系管管理、监控、保保护及紧急情情况服务。7.4.2网络络平台安全措措施网络平台的安全全措施应涉及及局域网、广广域网、互连连网、防病毒毒和防黑客共共五个方面。1局域网的安安全措施由于局域网中采采用广播方式式，因此，本本广播域的信信息传递都会会暴露在黑客客面前。可采采取下列措施施提高安全性性：（1）网络分段段网络分段是保证证安全的一项项重要措施，将将非法用户与与网络资源相相互隔离，从从而达到限制制用户非法访访问的目的。网络分段可分为为物理分段和和

55、逻辑分段两两种方式：物理分段通常是是指将网络从从物理层和数数据链路层上上分为若干网网段，使各网网段相互间无无法进行直接接通讯。逻辑辑分段则是指指将整个系统统在网络层上上进行分段。把把网络分成若若干IP子网网，各子网间间必须通过路路由器、路由由交换机、网网关或防火墙墙等设备进行行连接，利用用这些中间设设备（含软件件、硬件）的的安全机制来来控制各子网网间的访问。（2）VLANN技术虚拟网技术主要要基于局域网网交换技术（AATM和以太太网交换）。交交换技术将传传统的基于广广播的局域网网技术发展为为面向连接的的技术。网管管系统有能力力限制局域网网通讯的范围围而无需通过过开销很大的的路由器。采用应用交换

56、器器和VLANN技术，可将将广播转变为为点到点通讯讯，从而防止止大部分基于于网络监听的的入侵手段。通过虚拟网设置置的访问控制制，也可使在在虚拟网外的的网络节点不不能直接访问问虚拟网内节节点。2广域网安全全措施广域网采用公网网传输数据，在在广域网上传传输的信息可可能会被不法法分子截取。因因此在广域网网上发送和接接收信息时要要保证：（1）除了发送送方和接收方方外，其他人人是不可知悉悉的（隐私性性）；（2）传输过程程中不被篡改改（真实性）；（3）发送方能能确信接收方方不会是假冒冒的（非伪装装性）；（4）发送方不不能否认自己己的发送行为为（非否认）。有效的方法是对对传输的信息息进行加密，采采用数据签名

57、名和认证技术术加密技术数据加密技术分分为三类，即即对称型加密密、不对称型型加密和不可可逆加密。对称型加密使用用单个密钥对对数据进行加加密或解密，其其特点是计算算量小、加密密效率高。但但是此类算法法在分布式系系统上使用较较为困难。不对称型加密算算法也称公用用密钥算法，其其特点是有二二个密钥，只只有二者搭配配使用才能完完成加密和解解密的全过程程。适用于分分布式系统中中的数据加密密，在Intternett中得到了广广泛应用。不对称加密的另另一用法称为为“数字签名”（digittal siignatuure）。在在网络系统中中应用的不对对称加密算法法有RSA算算法和DSAA算法（Diigitall S

58、ignnaturee Algoorithmm）。不可逆加密算法法的特征是加加密过程不需需要密钥，不不可逆加密算算法不存在密密钥保管和分分发问题，但但是其加密计计算工作量相相当可观，所所以通常用于于数据量有限限的情形下的的加密，例如如计算机系统统中的口令就就是利用不可可逆算法加密密的。数字签名和认证证技术认证技术主要解解决网络通讯讯过程中通讯讯双方身份的的认可，数字字签名作为身身份认证技术术中的一种具具体技术，同同时数字签名名还可用于通通信过程中的的不可抵赖要要求的实现。认证过程通常涉涉及到加密和和密钥交换。通通常，加密可可使用对称加加密、不对称称加密及两种种加密方法的的混合。数字签名作为验验证

59、发送者身身份和消息完完整性的根据据。公共密钥钥系统（如RRSA）基于于私有/公共共密钥对，作作为验证发送送者身份和消消息完整性的的根据。CAA使用私有密密钥计算其数数字签名，利利用CA提供供的公共密钥钥，任何人均均可验证签名名的真实性。伪伪造数字签名名从计算能力力上是不可行行的。并且，如如果消息随数数字签名一同同发送，对消消息的任何修修改在验证数数字签名时都都将会被发现现。（5）远程访问问的安全性从外部拨号访问问内部局域网网的用户，由由于使用公用用电话网进行行数据传输，必必须严格控制制其安全性。首先，应严格限限制拨号上网网用户所能访访问的系统信信息和资源，这这一功能可通通过在拨号访访问服务器后

60、后设置的防火火墙来实现。其次， 应加强强对拨号用户户的身份验证证功能，使用用TACACCS+、RAADIUS等等专用身份验验证协议和服服务器。一方方面，可以实实现对拨号用用户帐号的统统一管理；另另一方面，在在身份验证过过程中采用PPGP加密手手段，避免用用户口令泄露露的可能性。第三，在数据传传输过程中采采用加密技术术，防止数据据被非法窃取取。一种方法法是使用PGGP,对数据直接接加密。另一一种方法是采采用防火墙所所提供的VPPN（虚拟专专网）技术。VVPN在提供供网间数据加加密的同时，也也提供了针对对单机用户的的加密客户端端软件，即采采用软件加密密的技术来保保证数据传输输的安全性。3互连网的安