2园区网络的详细设计.doc

2 园区网络的详细设计2.1 路由器实现vlan通信虚拟局域网(VLAN)是将局域网内广播域逻辑地划分为若干子网。在一个交换局域网中，所有局域网段通过交换机连接到一起，路由器连在交换机上(如果是三层交换机，则不需路由器)，可以按网段和站点的逻辑分组形成广播域，通过在局域网交换机内过滤广播包，使得源于特定虚拟局域网的信息包仅传送到那些也属于这个虚拟局域网的网段上。虚拟局域网之间的寻径由路由器完成。虚拟局域网建立以后，能有效地控制网络的广播风暴，减少不必要的资源带宽浪费，并能随着企业规模的发展和调整改变通信流的模式。VLAN规划需要考虑如下因素：用户VLAN与设备管理VLAN分开(IP地址)。为网络扩容进行可汇总的预留设计。IP地址与VLAN编号(其它相关因素)有一定的对照性。2.2 链路捆绑与STP技术图2.2 链路捆绑和生成树示意图链路捆绑技术采用两台交换机组网来提高网络可靠性，防止二层环路，运行stp，sw1是根网桥，sw2为备份根网桥，并将接入pc的接口设置成portfast端口。Sw1和sw2之间采用链路捆绑提高带宽。STP(Spanning Treep Protocol)能够提供路径冗余，使用STP可以使两个终端中只有一条有效路径。STP在大的网络中定义了一个树，并且迫使一定的备份路径处于备用状态。如果生成树中的网络一部分不可达，或者STP值变化了，生成树算法会重新计算生成树拓扑，并且通过启动备份路径来重新建立连接。STP操作对于终端来说是透明的，而不管终端连在LAN的某一部分或者多个部分。当创建网络时，网络中所有节点存在多条路径。生成树中的算法计算出最佳路径。2.3 XRRP技术XRRP技术不但用于上述局域网连接外网的路由器的备份，还广泛用于大型园区网络核心层三层交换机的冗余备份。在大型园区网络中，核心层处于网络的中心，网络之间的大量数据都通过核心层设备进行交换，同时承担不同VLAN之间路由的功能。核心层设备一旦宕机，整个网络即面临瘫痪。因此，在园区网络设计中，核心设备的选择，一方面要求其具有强大的数据交换能力，另一方面要求其具有较高的可靠性，一般选择高端核心三层交换机。同时，为进一步提高核心层的可靠性，避免核心层设备宕机造成整个网络瘫痪，一般在核心层再放置一台设备，作为另一台设备的备份，一旦主用设备整机出现故障，立即切换到备用设备，确保网络核心层的高度可靠性。图2.3 XRRP示意图核心层三层交换机的切换需要应用XRRP技术。如图4所示（为简便起见，以两层结构的网络为例），为提高网络的可靠性，在网络核心层放置两台三层交换机（S1、S2），接入层二层交换机（SW1、SW2、SWn）分别连接两台核心交换机。在大型园区网络中，为抑制广播信号，提高网络的性能，同时实现网络的安全访问控制，一般根据具体情况将整个网络分成多个不同的VLAN，V LAN中主机的默认网关设置为三层交换机上VLAN的接口地址XRRP协议将网络中两台三层交换机（S1、S2）组成VRRP备份组，针对于网络中每一个VLAN接口，备份组都拥有一个虚拟缺省网关地址。如图以VLAN3为例，XRRP备份组设置VLAN3的虚拟IP地址（譬如：）,备份组中S1、S2同时分别拥有自己的VLAN3的接口IP（譬如分别为：，），VLAN3内主机的默认网关则设为XRRP备份组VLAN3的虚拟IP地址（）。VLAN3内的主机通过这个虚拟IP访问VLAN3之外的网络资源，但实际的数据处理有备份组内活动（Master）交换机执行。如果活动交换机发生了故障，XRRP协议将自动由备份交换机（Backup）来替代活动交换机。由于网络内的终端配置了XRRP虚拟网关地址，发生故障时，虚拟交换机没有改变，主机仍然保持连接，网络将不会受到单点故障的影响，这样就很好地解决了网络中核心交换机切换的问题。 2.4 NAT技术NAT技术，中文翻译为网络地址转换。该技术产生的原因：IPv4地址危机，在Internet上应用广泛的IPv4技术，由于其先天性不足，在九十年代初期时，已经预计到了IPv4地址不足，从而开始开发IPv6技术。但开发IPv6需要足够的时间，为了延长IPv4技术的使用时间，产生了NAT技术。工作原理为修改IP数据包中的源IP地址，或目的IP地址。主要目的是把RFC1918所提议的私有地址转变成在Internet上可路由的公有合法地址。对于某些有限的应用（如DNS、FTP等），它也可以修改IP数据包有效载荷中的地址。由于应用的复杂性，NAT目前支持的应用有限，当然，如果需要，完全可以针对新的应用做相应的开发工作。从配置了NAT技术的一台路由器上，把整个网络分成两部分：内部网络和外部网络。NAT技术中有四个术语：内部本地地址-局域网内部主机的拥有的一个真实地址，一般来说是一个私有地址内部全局地址-对于外部网络来说，局域网内部主机所表现的IP地址。外部本地地址-外部网络主机的真实地址。外部全局地址-对于内部网络来说，外部网络主机所表现的IP地址。对于网络地址转换技术来讲，最重要的一点是，在配置NAT的路由器上形成了NAT转换表，这个转换表的形成是非常关键的。配置NAT后，能形成正确的转换表，那么我们的工作就算成功了。3 配置交换机和路由器3.1 IP的分配PC 1PC 2VLAN VLAN 3VLAN 43.2 vlan的分配三层交换机A三层交换机BVLAN VLAN VLAN 3VLAN 43.3 交换机配置3.3.1 三层交换机5308A的配置hp5308a(config)#trunk b1-b2 Trk2 lacphp5308a(config)# ip routingvlan 1hp5308a(config)# vlan 1hp5308a(vlan-1)# ip address hp5308a(vlan-1)# tagged C1hp5308a(vlan-1)# exitvlan 2hp5308a(config)# vlan 2hp5308a(vlan-2)# ip address hp5308a(vlan-2)# ip helper-address *DHCP配置时要设置的服务器地址配置hp5308a(vlan-2)# tagged C1-C2,Trk2hp5308a(vlan-2)# exitvlan 3hp5308a(config)# vlan 3hp5308a(vlan-3)#ip address hp5308a(vlan-3)#ip helper-address hp5308a(vlan-3)#tagged C1-C2,Trk2hp5308a(vlan-3)#exitvlan 4hp5308a(config)# vlan 4hp5308a(vlan-4)# untagged C3hp5308a(vlan-4)# ip address hp5308a(config)#ip helper-address *DHCP配置时要设置的服务器地址配置hp5308a(config)#tagged C1-C2,Trk2hp5308a(config)#exitxrrphp5308a(config) #xrrp domain 3hp5308a(config) #xrrp inf-failbackhp5308a(config) #xrrp instance 1 2hp5308a(config) #xrrp instance 1 3hp5308a(config) #xrrp instance 1 4hp5308a(config) #xrrp instance 2 2 ip hp5308a(config) #xrrp instance 2 3 ip hp5308a(config) #xrrp instance 2 4 ip hp5308a(config) #ip route hp5308a(config) #xrrphp5308a(config)#spanning-treehp5308a(config)#spanning-tree Trk2 priority 4hp5308a(config)#spanning-tree priority 23.3.2 三层交换机5308B的配置hp5308b(config)# vlan 1hp5308b(vlan-1)# exithp5308b(config)# vlan 2hp5308b(vlan-2)# exithp5308b(config)# vlan 3hp5308b(vlan-3)# exithp5308b(config)# vlan 4hp5308b(vlan-4)#hp5308a(config)#trunk b1-b2 Trk2 lacphp5308b(config)# ip routingvlan 1hp5308b(config)# vlan 1hp5308b(vlan-1)# ip address hp5308b(vlan-1)# tagged C1hp5308b(vlan-1)# exitvlan 2hp5308b(config)# vlan 2hp5308b(vlan-2)# ip address / hp5308b(vlan-2)# ip helper-address *DHCP配置时要设置的服务器地址配置hp5308b(vlan-2)# tagged C1-C2,Trk2hp5308b(vlan-2)# exitvlan 3hp5308b(config)# vlan 3hp5308b(vlan-3)#ip address / hp5308b(vlan-3)#ip helper-address hp5308b(vlan-3)#tagged C1-C2,Trk2hp5308b(vlan-3)#exitvlan 4hp5308b(config)# vlan 4hp5308b(vlan-4)# untagged C3hp5308b(vlan-4)# ip address / hp5308b(config)#ip helper-address *DHCP配置时要设置的服务器地址配置hp5308b(config)#tagged C1-C2,Trk2hp5308b(config)#exitxrrphp5308b(config) #xrrp domain 3hp5308b(config) #xrrp inf-failbackhp5308b(config) #xrrp instance 2 2hp5308b(config) #xrrp instance 2 3hp5308b(config) #xrrp instance 2 4hp5308b(config) #xrrp instance 12 ip hp5308b(config) #xrrp instance 1 3 ip hp5308b(config) #xrrp instance 1 4 ip hp5308b(config) #xrrphp5308b(config)#spanning-treehp5308b(config)#spanning-tree Trk2 priority 4hp5308b(config)#spanning-tree priority 63.3.3 交换机2626A 的配置hp2626A(config)# ip default-gateway vlan 1hp2626A(config)# vlan 1hp2626A(vlan-1)# ip address hp2626A(vlan-1)#exitvlan 2hp2626A(config)# vlan 2hp2626A(vlan-2)# untagged 1-2hp2626A(vlan-2)# ip helper-address hp2626A(vlan-2)#tagged 25-26hp2626A(vlan-2)#exitvlan 3hp2626A(config)# vlan 3hp2626A(vlan-3)# untagged 3-4hp2626A(vlan-3)# ip helper-address hp2626A(vlan-3)#tagged 25-26hp2626A(vlan-3)#exitvlan 4hp2626A(config)# vlan 4hp2626A(vlan-4)# untagged 5-6hp2626A(vlan-4)# ip helper-address hp2626A(vlan-4)#tagged 25-26hp2626A(vlan-4)#exithp2626A(config)#spanning-treehp2626A(config)#spanning-tree priority 10hp2626A(config)# ip routing3.3.4 交换机2626B 的配置hp2626B(config)# ip default-gateway vlan 1hp2626B(config)# vlan 1hp2626B(vlan-1)# ip address hp2626B(vlan-1)#exitvlan 2hp2626B(config)# vlan 2hp2626B(vlan-2)# untagged 1-2hp2626B(vlan-2)# ip helper-address hp2626B(vlan-2)#tagged 25-26hp2626B(vlan-2)#exitvlan 3hp2626B(config)# vlan 3hp2626B(vlan-3)# untagged 3-4hp2626B(vlan-3)# ip helper-address hp2626B(vlan-3)#tagged 25-26hp2626B(vlan-3)#exitvlan 4hp2626B(config)# vlan 4hp2626B(vlan-4)# untagged 5-6hp2626B(vlan-4)# ip helper-address hp2626B(vlan-4)#tagged 25-26hp2626B(vlan-4)#exithp2626B(config)#spanning-treehp2626B(config)#spanning-tree priority 10hp2626B(config)# ip routing3.4 路由器配置路由器Route7102A的配置程序:Prirouter(config)#hostname Route7102ARoute7102A(config)#no ip firewall alg msnRoute7102A(config)#no ip firewall alg h323Route7102A(config)# interface ethernet 0/1Route7102A(config-eth 0/1)#ip address 28Route7102A(config-eth 0/1)#no shutdownRoute7102A(config-eth 0/1)#exitRoute7102A(config)#interface ethernet 0/2Route7102A(config-eth 0/2)#ip address Route7102A(config-eth 0/2)#no shutdownRoute7102A(config-eth 0/2)#exitRoute7102A (config)#no ip tftp serverRoute7102A(config)#no ip tftp server overwriteRoute7102A(config)#no ip http serverRoute7102A(config)#no ip http secure-serverRoute7102A(config)#no ip snmp agentRoute7102A(config)#no ip ftp serverRoute7102A(config)#ip ftp server default-filesystem flashRoute7102A(config)#no ip scp serverRoute7102A(config)#no ip sntp serverRoute7102A(config)#ip routingRoute7102A(config)#ip route Route7102A(config)#ip route Route7102A(config)#ip route Route7102A(config)#ip route Route7102A(config)#ip route 3.5 DHCP配置为了使终端能够自动获取IP地址并且能够上网，有关DHCP的配置步骤如下图：图3.5.1 图3.5.2图3.5.3图3.5.4图3.5.5然后通过终端自动获取ip地址的截图如下：图 FTP服务器配置首先:在pc上找到相关的操作位置：开始-管理工具-internet 信息服务（IIS）管理器进入配置界面，接着：图3.6.1图3.6.2图3.6.34 实验测试4.1 路由器Route7102A的配置结果Route7102A(config)#!do show running-configRoute7102A(config)#!do show running-config! ProCurve Secure Router 7102A SROS version J08.03! Boot ROM version J06.06! Platform: ProCurve Secure Router 7102dl, part number J8752A! Serial number US525TRAMX! Flash: 33554432 bytes DRAM: 134217727 bytes! Date/Time: Tuesday December 20 2011, 15:26:47 GMT+08:00hostname Router7102Aenable password md5 encrypted b46f9961af093fdfb9e177eda7784f09!clock timezone +8-Bejing!ip subnet-zeroip classlessip routing!event-history onno logging forwardingno logging emaillogging email priority-level info!no service password-encryption!no ip firewall alg msnno ip firewall alg h323!no autosynch-modeno safe-mode!interface eth 0/1 ip address 28 no shutdown!interface eth 0/2 ip address no shutdown!interface e1 1/1 no shutdown!no ip tftp serverno ip tftp server overwriteno ip http serverno ip http secure-serverno ip snmp agentno ip ftp serverip ftp server default-filesystem flashno ip scp serverno ip sntp server! ip sip ip sip proxy line con 0 no login!line telnet 0 4 login password procurve no shutdownline ssh 0 4 login local-userlist no shutdown!end用路由器hp7102a ping 外网 和三层交换机hp5308a与交换机hp2626a的所有vlan 的ip address,结果都可以ping通，例如：图4.1.1当路由器7102A要储存所有配置时，所输的命令如下图所示： 图 三层交换机hp5308A的配置实验结果hp5308a(config)# show runhp5308a(config)# show run- MORE -, next page: Space, next line: Enter, quit: Control-CRunning configuration:J4819A Configuration Editor; Created on release #E.10.74hostname hp5308ano telnet-servermodule 2 type J4821Bmodule 1 type J4878Bmodule 3 type J8161Amodule 4 type J8161Ainterface B1 no lacpexitinterface B2 no lacpexittrunk B1-B2 Trk2 LACPip routingsnmp-server community public Unrestrictedvlan 1 name DEFAULT_VLAN untagged A1-A4,B3-B4,C2,C4,C6-C24,D1-D24,Trk2- MORE -, next page: Space, next line: Enter, quit: Control-C ip address tagged C1 no untagged C3,C5 exitvlan 2 name VLAN2 untagged C5 ip address ip helper-address tagged C1-C2,Trk2 exitvlan 3 name VLAN3 ip address ip helper-address tagged C1-C2,Trk2 exitvlan 4 name VLAN4 untagged C3 ip address ip helper-address tagged C1-C2,Trk2 exitxrrpxrrp domain 3xrrp inf-failbackxrrp instance 1 2xrrp instance 1 3xrrp instance 1 4xrrp instance 2 2 ip xrrp instance 2 3 ip xrrp instance 2 4 ip ip route spanning-treespanning-tree Trk2 priority 4spanning-tree priority 2生成树的配置实验结果:hp5308a(config)# show spanning-treehp5308a(config)# show spanning-tree- MORE -, next page: Space, next line: Enter, quit: Control-C Rapid Spanning Tree (RSTP) Information STP Enabled : Yes Force Version : RSTP-operation Switch Priority : 8192 Hello Time : 2 Max Age : 20 Forward Delay : 15 Topology Change Count : 57 Time Since Last Change : 5 mins Root MAC Address : 000f20-84dd00 Root Path Cost : 0 Root Port : This switch is root Root Priority : 8192 Protected Ports : Filtered Ports : Port Type Cost Priority State | Designated Bridge - - - - - + - A1 2000000 128 Disabled |- MORE -, next page: Space, next line: Enter, quit: Control-C A2 2000000 128 Disabled | A3 2000000 128 Disabled | A4 2000000 128 Disabled | B3 100/1000T 20000 128 Disabled | B4 100/1000T 200000 128 Disabled | C1 10/100TX 200000 128 Forwarding | 000f20-84dd00 C2 10/100TX 200000 128 Disabled | C3 10/100TX 200000 128 Disabled | C4 10/100TX 200000 128 Disabled | C5 10/100TX 200000 128 Disabled | C6 10/100TX 200000 128 Disabled | C7 10/100TX 200000 128 Disabled | C8 10/100TX 200000 128 Disabled | C9 10/100TX 200000 128 Disabled | C10 10/100TX 200000 128 Disabled | C11 10/100TX 200000 128 Disabled | C12 10/100TX 200000 128 Disabled | C13 10/100TX 200000 128 Disabled | C14 10/100TX 200000 128 Disabled | C15 10/100TX 200000 128 Disabled | C16 10/100TX 200000 128 Disabled | C17 10/100TX 200000 128 Disabled | C18 10/100TX 200000 128 Disabled |- MORE -, next page: Space, next line: Enter, quit: Control-C C19 10/100TX 200000 128 Disabled | C20 10/100TX 200000 128 Disabled | C21 10/100TX 200000 128 Disabled | C22 10/100TX 200000 128 Disabled | C23 10/100TX 200000 128 Disabled | C24 10/100TX 200000 128 Disabled | D1 10/100TX 200000 128 Disabled | D2 10/100TX 200000 128 Disabled | D3 10/100TX 200000 128 Disabled | D4 10/100TX 200000 128 Disabled | D5 10/100TX 200000 128 Disabled | D6 10/100TX 200000 128 Disabled | D7 10/100TX 200000 128 Disabled | D8 10/100TX 200000 128 Disabled | D9 10/100TX 200000 128 Disabled | D10 10/100TX 200000 128 Disabled | D11 10/100TX 200000 128 Disabled | D12 10/100TX 200000 128 Disabled | D13 10/100TX 200000 128 Disabled | D14 10/100TX 200000 128 Disabled | D15 10/100TX 200000 128 Disabled | D16 10/100TX 200000 128 Disabled | D17 10/100TX 200000 128 Disabled | D18 10/100TX 200000 128 Disabled | D19 10/100TX 200000 128 Disabled | D20 10/100TX 200000 128 Disabled | D21 10/100TX 200000 128 Disabled | D22 10/100TX 200000 128 Disabled | D23 10/100TX 200000 128 Disabled | D24 10/100TX 200000 128 Disabled | Trk2 20000 64 Forwarding | 000f20-84dd00主要截图如下：（1）因为三层交换机的生成树优先级为2，属最高优先级，所以为根节点，参数如下图所示此时C1端口 与交换机2626A 相连且互通，所以c1为forwarding 状态，参数如下图所示：而Trk 2逻辑链路端口与三层交换机5803B 相连且互通，所谓该端口出去forwarding 状态，参数如下图所示：hp5308a(config)# show ip routehp5308a(config)# show ip route IP Route Entries Destination Gateway VLAN Type Sub-Type Metric Dist. - - - - - - - /0 1 static 1 1 /24 VLAN2 2 connected 0 0 /24 VLAN3 3 connected 0 0 /24 VLAN4 4 connected 0 0 /24 DEFAULT_VLAN 1 connected 0 0 /8 reject static 0 250 /32 lo0 connected 0 0该参数如下图所示：（与上面的参数一样，只是换成截图而已） 图4.2.1用三层交换机hp5308a ping 三层交换机hp5308b和交换机hp2626a的所有vlan 的ip address,结果都可以ping通，如下图所示： 图 三层交换机hp5308B的配置实验结果hp5308b(config)# show running-confighp5308b(config)# show running-config- MORE -, next page: Space, next line: Enter, quit: Control-CRunning configuration:; J4819A Configuration Editor; Created on release #E.11.21hostname hp5308bmodule 1 type J9001Amodule 2 type J4821Bmodule 3 type J8161Amodule 4 type J8161Ainterface B1 no lacpexitinterface B2 no lacpexittrunk B1-B2 Trk2 LACPip routingsnmp-server community public Unrestrictedvlan 1 name DEFAULT_VLAN untagged B3,C1,C3-C24,D1-D24,Trk2 ip address - MORE -, next page: Space, next line: Enter, quit: Control-C tagged AUP,B4 no untagged ADP,C2 exitlldp auto-provision radio-ports auto-vlan 2100 autovlan 2100 name VLAN2100 tagged ADP exitvlan 2 name VLAN2 untagged C2 ip address tagged C1,Trk2 exitvlan 3 name VLAN3 ip address tagged C1-C2,Trk2 exitvlan 4 name VLAN4 ip address tagged C1-C2,Trk2 exit