网络规划与设计.doc

网络规划与程序设计第1章网络规划与设计概述 1.1网络规划与设计概念1.1.1 网络规划与设计的定义广义的规划设计：根据一个复杂系统创建要求，在综合分析和验明多种资源、技术的基础上，给出恰当解决方案的过程。网络系统的规划与设计明确用户对计算机网络平台支持应用的需求，充分分析网络建设现状、环境和投资能力等资源，运用科学的方法，选择和整合各种网络技术和网络设备，给出创建/升级具有良好性价比网络系统方案的系统工程。1.1.2网络规划与设计的原则和任务1. 网络规划与设计的原则 总体原则：有约束(有限资源下有重点地阶段性）的满足用户对网络现在和将来的功能和性能需要。典型原则种类：业务目标驱动原则、可用性(能用、经用、易用）原则、可扩展性（适应性）原则、开放性（标准化）原则、经济性/可购买性原则、安全性原则、可管理性原则原则的权重：分析各种原则对用户的重要性和约束性，给出一个恰当的原则重要性配值，比如 n%，作为后续规划设计的决策依据。2. 网络规划与设计的任务（1）需求调研和分析调研分析用户业务目标（战略/战术）及其制约性调研分析用户对网络现在/未来的功能、性能需求调研分析现有网络（2）网络的概要设计综合需求和约束（包括：现状、预算等），技术/商务基本方案论证、比较和选择。（3）网络的详细设计逻辑网络设计：明确网络规模、网络结构、功能部署、运管策略等物理网络设计：明确设备选型、部署和连接（4）测试、优化和编写网络设计文档制定测试计划、创建原形或试验系统实施测试计划、优化设计、制定文档1.1.3网络规划与设计的能力要求1.熟悉网络技术 2.知晓设计方法 3.具备沟通能力 4.熟悉网络产品5.拥有系统架构经验 6.掌握文档编写资源（工具、模板、标准和规范等）1.网络技术范围局域网技术、广域网技术、无线网络技术、互联网技术、网络安全技术、网络管理技术、存储网络技术2.多方沟通范围 3.网络产品范围交换设备、路由设备、安全设备、服务器、语音设备、视频设备、终端设备4.系统架构种类 基础网络系统架构、应用/服务系统架构、网络安全系统架构、管理系统架构、多媒体系统架构、存储网络系统架构基础网络系统架构环境平台1网络机房环境：设备间、配线式、消防区、监管区等区域环境2电源与接地环境：供电功率、UPS、稳压、备用供电。接地。基础网络系统架构网络通信平台1.网络信道：室内布线系统、建筑群布线系统、城域网主干光缆系统、广域网线路系统、微波传输和卫星传输系统等。2.网络通信设备：网卡、集线器、交换机、路由器、远程访问服务器(RAS)、中继器、收发器、网桥和防火墙等。3.网络协议：多种网络体系结构下的协议标准网络安全系统架构用户认证系统，防火墙系统，入侵检测系统，防病毒系统，VPN系统，流量管理系统。应用服务系统架构网络操作系统、网络数据库系统、InternetIntranet基础服务器、网络应用系统网络管理系统架构 管理支撑组织及制度建设管理网建设管理装备（工具）建设：网络分析器、网元管理器、管理平台、计费系统多媒体通信架构5.网络设计相关文档需求分析报告：用户和设计人员已达共识网络现状分析报告概要设计书：包括可选方案和最终方案及其论证详细设计书试验或原形测试报告实施方案和计划其他网络设计与实施规范书纲要执行综述（总结）、项目目标、项目范围、设计需求、网络现状、逻辑设计、物理设计、实施计划、项目预算、附录1.2网络规划与设计基本方法1.2.1网络生命周期PDIOO P 计划：输出需求报告D设计：输出设计规范书I 实现： 输出验收测试报告O运营：输出运营测试报告O优化：输出优化方案R退役：输出退役原因报告1.2.2自顶向下的设计方法澄清用户要求和网络设计目标、并从所需应用的解决方案开始，提供适合当前需要和未来发展的设计。 （上）解决方案：语音、数据、视频、存储联网等。 （下）将物理网络体系结构适配到网络解决方案。1.确定应用的逻辑（不注重实现细节，只注重要求/目标）连接性要求。2.确定满足逻辑连接性要求所需网络的功能元素（连接范围、带宽/吞吐量、路由方式、冗余保障及安全策略等对逻辑连接要求的支撑）。3.按结构化方法设计各功能元素。即：分别设计各个功能元素，同时保证与其他功能元素的整体关联性。1.2.3网络的结构化设计方法 结构化设计：将设计任务分成相对简单的模块等，然后把各模块组织起来，实现整个网络的设计目标。1.三层结构化设计模型: 核心层、分布层和接入层功能分配核心层：提供到核心层资源和分布式设备之间的高速传输服务。汇聚层：实现组织策略（聚合路由、路径，收敛数据流量），提供工作组之间以及工作组到核心层的连接；接入层：使用户和工作组接入网络，访问网络资源，执行网络访问控制及提供相关边缘服务2.模块化设计模型第二章需求分析明确:谁用？干什么用？能起多少作用（有多少价值）？如何评价其作用/价值（评价标准）？起不到预计作用怎么办（风险）？要建什么？要建成啥样？调查、分析步骤2.1 业务目标和制约分析组织结构分析、业务目标分析、业务约束分析业务网络化的形势: (可作为需求分析工作的信念固守并传递)网络可以带来广泛、快捷、准确的信息资源共享，并据此促进达到目标；网络业务已经更加实用化（而非泡沫化），可真正的提高业务效率；网络对业务的作用性和健壮性已至关重要（网络攻击、911事件是重要启示）组织结构的分析分析目的：确定网络设计需求的提供者和网络的使用者确定网络设计方案的接受或者拒绝的决策者便于业务类型、业务目标、业务制约的分析调查、分析并描述：（谁用？） 1. 组织类型（军政教企事业）、部门和管理结构(逻辑和地理)。2. 业务模式、业务流程及信息流特征（信息种类、流向）。3. 初步确定网络的使用对象（最终用户）。 业务目标分析调查、分析并描述：（干什么用？）业务目标：以及应用/服务/网络建设对实现业务目标的作用。业务制约分析确定并描述可能影响业务目标的因素： 2.2 网络应用与服务需求分析确定并描述:用户所需网络应用/服务种类. 引导应用与服务需求、收集应用与服务需求、可能的网络应用类型、可能的网络服务/系统应用类型、用户认证、动态主机/域名解析DNS、动态主机编制 DHCP、远程引导、安全服务、网络存储、备份、网络管理、规划网络应用(组织）结构识别网络设计项目范围 要建什么？ 网段（一个冲突域）、局域网（一个广播域）、建筑物内网（大楼内的多个局域网互连）、园区网（多个楼宇网络互连）、远程访问（支持远程个人用户/小型分支机构访问网络）、企业网（异地园区网络、局域网、个人互连）调查项目核查：业务调查核查项目调查并绘制了用户组织结构（逻辑和地理）调查、识别并编制了基于用户业务总目标下的业务目标及相关网络应用目的清单？调查、识别并编制了用户网络应用图表？了解了网络设计项目的范围用户已确认了前期所有的分析内容商务调查核查项目用户表示了对设备厂商、协议、平台倾向？透露了项目预算信息明示了项目进度意见确定了项目决策人员了解了用户员工技术和经验状况信息和培训计划2.3技术目标需求分析技术目标分析建成啥样？可用性、可扩展性、可靠性、可管理性、安全性、先进性技术目标约束分析技术目标与可购买性、易用性的权衡技术目标分析-可用性. 目标:保证网络数据和应用可不间断可访问。分析停用成本/损失分析网络容量、响应时间需求可用性指标：MTBF(Mean Time Between Failure) 平均无故障时间 典型值：4000小时MTTR(mean time to restoration ) 平均恢复前时间 典型值：1小时 并均可用性=MTBF（MTBF+MTTR）=4000/4001=99.98%保障措施/技术 制定网络组件的MTBF和MTTR参数指标 制定网络容量和响应时间参数指标 制定冗余备份(模块、链路、设备、数据、人员）技术 快速恢复技术方案技术目标分析可扩展性目标：保证在较长的一段时期网络能适应用户应用和范围的增长。分析用户中、长期的扩展目标：本地或远程网点增长、新增网点规模、新增网点员工增长、新增网点应用增长分析访问数据的扩展目标：将更多的数据提供给用户访问技术目标分析安全性目标：避免或降低网络安全问题中断用户网络应用/服务和损害用户利益。分析安全敏感资源及评估损失风险：数据（知识产权、业务秘密等）、信用/信誉、设施(软件、设备)分析安全威胁物理安全威胁：人为破坏、自然灾害逻辑安全威胁：攻击、病毒、误用分析安全目标：确定安全级别（ 机密性、完整性、可用性 ）、保障措施/技术风险/代价分析安全策略+管理+技术（防御（认证+隔离）、监测、响应、恢复） 技术目标分析可管理性 目标：能及时、准确、方便的获取网络运行状况并调整、控制、优化网络的运行。分析用户的网络规模 大/小，内/外分析用户网络的可管理性 协议、设备的可管理兼容性分析用户的管理投入意向手工化，自动化保障措施/技术、设立管理组织或人员管理策略+管理制度+管理技术（管理网络架构+监控（性能、故障、配置、计费、安全）技术目标分析可靠性可用性目标+安全性目标技术目标约束分析-权衡确定并描述主要性能及其重要性。例： X公司的技术目标权重。2.4 现有网络状况分析调查现有网络逻辑拓扑结构(多层次)：物理（拓扑）结构、 网络性能(使用情况)评估现有网络设计问题(结构化)性能瓶颈(容量(并发用户数、计算、带宽、端口),可靠,安全）当前性能/功能与预期技术目标的差距现有网络状况分析的主要内容 层次化描述现有网络拓扑结构；模块化描述现有网络结构；调查、测量现有网络性能；汇总并审计现有网络信息一、层次化描述现有网络拓扑结构1.网络应用图2.网络服务图TACACS，TACACS+ ，RADIUSTACACS ,TACACS+ ：（Terminal Access Controller Access Control System）终端访问控制器访问控制系统。通过一个或多个中心服务器为路由器、网络访问控制器以及其它网络处理设备提供了访问控制服务。支持独立的认证（Authentication）、授权（Authorization）和计费（Accounting）功能。RADIUS （Remote Authentication Dial In User Service），远程用户拨号认证系统3.网络层拓扑结构4.链路层拓扑结构5.物理结构二. 模块化描述现有网络结构三.调查、测量现有网络性能 调查、测量的目的、范围和时机调查、测量的项目：可用性、利用率、准确度、 效率、延时/响应时间调查、测量目的为实现新网络的技术目标提供性能提升设计需求依据为新旧网络融合提供客观的(被证实的)网络组件属性设备、接口等的组件硬配置属性(例:CPU、内存等）设备、接口等的组件软配置属性(例:协议、定时等）为新网络性能的测量提供基线数据调查、测量范围可能范围：网段、局域网、建筑物内网、园区网、远程访 问、企业网的重点范围：反映有问题的网段 。例：网速慢/时断时连的区域。与新网络互操作多的区域。例：骨干网区。调查、测量时机测量时机：选择具有可统计/可表现问题的时机、正常负载期间性能测量、异常/峰值负载期间性能测量、选择恰当检测持续时间和间隔调查、测量现有网络性能-可用性调查技术和工程人员获得可用性数据，判断对网络应用的适应性调查、测量现有网络性能-利用率分析协议的带宽使用率相对带宽使用率=协议i流量/网段上总流量绝对带宽使用率=协议i流量/网段带宽组播流量比率=协议i组播流量/协议i总流量调查、测量现有网络性能-准确度误码率 适用于分析信道质量（线缆、接口、干扰）和工程质量。丢包率 适用于分析设备负载状况：被接口忽略的输入数据报量、路由器接口输出队列（满）丢包量、路由器接口输入队列（满）丢包量、缓存（满）丢包量冲突率 适用于分析网段状况：负载（用户数、带宽）、链路配置（速度兼容、双工兼容性）问题、接口故障调查、测量现有网络性能-效率调查、测量现有网络性能-延时测量重要设备上或设备间的延时：可以逐层(物理层-应用层)测试分析延时的发生量和位置主要网络性能参数阀值四、汇总并审计现有网络信息1.汇总审计网络结构信息2.汇总并分析网络性能1.汇总审计网络结构信息网络应用列表：命名规则，名称，位置等信息；网络服务列表：命名规则，名称，位置等信息；网络编址表： IP地址块及其分布，网关，手工或DHCP服务等信息;WAN、LAN、VLAN列表：命名规则，名称,位置，规格等信息网络设备列表：命名规则，名称，位置，型号，规格/配置，软件版本等信息；网络设备闲置资源列表：闲置端口，模块，插槽等信息；网络设备的配置文档：IOS配置文档信息；布线和跳线列表：位置，类型，数量，距离，铺设路线，编码标记等信息。工作站分布列表：数量，位置，用途等信息。分析适应性应用系统适用？升级？替换？增加？网络服务够用？完善？添加？网络范围已及？扩展？网络结构合理？调整？修改？重架？设备/模块够用？添加？升级？替换？IP地址、VLAN设计合理？调整？重新规划？路由策略、协议合适？修改？线缆/配线设施能用？够用？添加？替换？系统配置、标识合理？完整？修改？重建？2.汇总并分析网络性能确定并描述：设备、链路、协议等网络组件及其结构的性能和功能的不足/不适应性。2.5基于业务和技术目标的网络范围 满足用户和应用加入网络的新需求结构 支持网络的可用、可靠、可管理、可扩展、安全和高效的新需求功能 满足应用服务新需求、满足易用服务新需求、满足路由服务新需求、满足安全服务新需求、满足管理服务新需求性能 保障可用性(基于流量估算的正常和峰值时段的容量和延时要求)保障可靠性(降低误码率，提高容错/容灾能力)保障效率性(分划冲突域、广播域、路由域、服务域、应用域，降低计算和带宽开销）第3章网络的结构化设计3.1结构化设计概述1.结构化设计定义分析研究网络系统的组件和它们间的关系构成典型的网络体系结构。并将网络应用、服务组件及网络功能组件有机的融合到层次化、模块化的网络体系结构中。将诸如网络应用、服务、流量、编址/VLAN、路由/交换、管理、安全、 冗余等功能组件的层级化、模块化 (分段/分区-定义结)及连接性(隔离/互连定义构)规划和部署(注重逻辑性，涉及物理性) 。逻辑性： 不涉及具体物理设施，关注应用、服务及网络功能的结构(拓扑) 方案的分析、比较、选择（权衡）。物理性： 设计中包括必要的网络范围、互连点及互连设备类型（非实际产 品）等物理信息，以辅助方案的理解。2.典型网络结构研究并表现网络系统组件的典型结构特性,用于指导网络设计。流量特征结构：基于组件流量关系的结构外联特征结构/解决方案（功能）特征结构：基于网络互联目的的结构拓扑特征结构：基于组件连接关系的结构流量特征结构：应用和服务的范围和流量模式分析数据可以作为基于流量特征的网络结构规划设计的输入。典型流量特征及其结构：点到点（对等）流量结构、C/S流量结构、层级化C/S流量结构点到点（对等）流量结构：结点角色一致，无位置差别，网络对结点间提供端到端统一流量策略（无策略）和功能服务。层级、无层级客户/服务器（C /S）流量结构：结点有角色和位置差别，网络为客户端和服务器提供不同的流量资源策略和功能服务。外联特征结构：组织结构、业务模式、内外应用/服务及其网络范围等分析数据可以作为外联网络结构规划设计的输入。典型联网目的及其结构：内外联网结构、ISP连接结构、园区间连接结构拓扑特征结构类型/方案平面结构：简单拓扑平面结构、网状拓扑平面结构层次化结构：无冗余的简单层次化结构、有冗余的网状层次化结构特殊连接性结构注：“类型”代表具有典型属性的结构“方案”代表结构的选择或设计平面结构-简单拓扑平面结构各结点功能相同。适合小规模网络的设计；随规模的扩大会影响网络的可扩展性、可靠性、延时、效率等性能。平面结构-网状拓扑平面结构各结点功能相同。适合可靠性和响应性要求高的网络设计。层次化结构-无冗余的简单层次化结构适合各种规模的网络设计，通过将各种网络功能的规划,及在各层级结点的科学分配和部署（各层级结点功能有别）。有效实现网络性能提高和成本控制。层次化结构-有冗余的网状层次化结构适合各种规模的网络设计，用于提高层次化结构的可靠性，响应性。需要作价值分析和权衡（冗余范围）。特殊连接性结构具有一定随意性的权宜（权衡）设计方法为局部需求（容量、响应、安全或可靠等）建立专线/旁路连接。3.网络结构的关联设计以拓扑结构为基础，用其它结构为补充。3.2层次化网络结构1.层次化结构特点层次/层级化提供了将网络分隔成较小的网络、子网或者是广播域等分段的方法。使网络具有张弛弹性。具体特点：各层功能/性能特性按需规划，对应设备功能/性能特性按需分级配置，提高经济性。容易容量区域化规划和流量控制。适配IP编址和路由收敛的层次结构特性。容易网络构件的复制/重构。容易故障隔离。易于理解、管理和维护。降低设计、升级、管理等成本 。2.典型的三层层次化结构模型可作为各级区域网和园区网的层次化设计模型。可在三个层次上逐级实现流量汇聚和过滤策略。 接入层:重点实现用户网络或终端用户接入和访问控制的功能区段。 汇聚层:重点实现安全、流量、路由等目的的策略连接和转发的功能区段。 核心层:重点实现最佳路由和流量高速连接和转发的功能区段。区段可以为一个网络，一个或多个设备，甚至可以是一个网段、链路或一组功能特性。3.接入层设计功能：用户网络或用户的接入点，为用户网络或用户提供访问其它互连网络服务。园区网环境：将共享/交换/子网化交换（包括VLAN）局域网接入设备（2层或3层交换机）与工作站/服务器连接。广域网环境：将合作伙伴，分支机构，移动员工，用户通过ATM、FR、SDH、PSTN、XDSL等广域网技术及其接入设备（多为路由器）接入网络。主要功能特性：(1) 物理接入的方便、灵活性 (2) 接入的扩展能力(3) 接入的可管理、控制性 (4) 接入的低成本设计要点1.关注接入方式的多样性确定 WAN/MAN/LAN接入技术和接入设备/模块/端口类型2.关注接入容量与成本的权衡 确定现需/冗备/扩备端口数量及比例，并确定备用方案。3.关注访问控制的能力和可管理性 确定VLAN,多元素绑定,端口安全,802.1X认证,SNMP网管等4.关注与汇聚层功能可衔接性，对汇聚层的访问控制和策略进行支持。提供广播抑制、协议过滤、QoS标记等服务。接入层设备功能要素考虑的指标：端口密度与类型、网络管理的简单性和透明性、接入访问控制技术、安全技术 4.汇聚层设计功能：核心与接入层的交汇/分界点，重点完成基于业务（流量负载、路由、安全）等需求的策略连接和转发。比如：将多条低速接入层链路汇集成一条高速核心链路；汇聚/过滤接入层流量；隔离接入层的网络故障；为接入层提供冗余链路，并平衡负载；划分接入层和核心层的路由策略（路由方式静/默/动，路由过滤，重分配）；提供基于ToS的QoS（区别服务）主要功能特性：(1)网络流量/资源可控性；(2)网络可扩展性；(3)网络可靠性；(4)可管理性; (5) 经济性.设计要点1）制定流量控制策略：基于业务或用户类别制定隔离与过滤本地业务（比如VLAN）流量、广播和组播流量的方案，以减少对核心层的交换容量消耗。2）制定路由控制策略：为路由选择协议（静态、多种动态协议）及路由域之间的路由信息重分布，为路由过滤、路由冗余、路由汇聚，负载均衡等功能制定路由策略方案，降低核心层的路由处理负载。3）制定安全控制策略：定义恶意流量4）制定限制不安全区域扩散的方案：提高故障隔离能力。5）制定扩展能力目标：应有预知的接入层设备和用户局域网的连接范围和连接容量，易于性能预测。在保证扩展适应性的同时降低扩展成本。考虑的指标：功能的支持性、包转发速率、插槽数量、端口密度、支持较新的网络协议和流媒体处理能力、网络管理的简单性和透明性5.核心层设计核心层是互连网络的高速骨干。重点实现最佳路由和流量高速转发和连接的功能区段。主要功能特性：(1)高效性；(2)容错性；(3)可扩展性；(4)可管理性；(5)经济性。设计要点1)保证可达性足够的路由/交换转发能力，尽力保障低延时、高吞吐能力；具有完备的路由信息来交换发往网络中任意端系统的数据包；核心层具有可靠备份路径到达目的地：能在多路经上提供负载平衡。2)必备冗余性，确保容错能力 (1)设备冗余；(2)模块冗余；(3)路由信息冗余；(4)链路冗余。3)尽量避免使用网络流量控制特性4)有限和稳定的范围应有预知的汇聚层设备和用户局域网的连接范围，易于性能预测，在保证扩展适应性的同时降低扩展成本。5)统一外联枢纽 作为内外网/Internet/园区网/VPN等网络互连的连接点，简化安全、路由策略，并可保持一致性的。核心层设备的功能要素考虑的指标：背板带宽（时延）、包转发速率（容量）、可冗余度（可靠性）、热插拔（可靠性）、多余插槽（可扩展性）、支持较新的网络协议（可扩展性）、网络管理的简单性和透明性（可管理性）。6.层次结构化设计原则层次设计应受限尽量控制在三层以内，便于延时、容量、路由等性能的预测和故障、升级、管理等的控制。网络区域/网段规划，层级及其边界方式的设计，都要具有需求适应性和一定的创造性。拓扑结构应严谨尽量控制无层次的网络连接，避免因随意的网络间连接造成故障、路由/交换、升级和管理控制的困难。尽量遵循接入层-汇聚层-核心层的设计顺序。以获得更精确地流量负载、模式，更合理的规划容量规模和功能结构，定义层间逻辑和物理连接特性。3.3模块化网络结构单纯的层次化设计方式不足够适应规模/范围大，功能复杂度的高网络设计。模块化设计方法有效的补充。1.模块化设计方法的要点将系统划分为相对独立的功能区域或模块将总的设计任务分化为模块内和模块边缘的设计在总体框架下以模块为单位分析、选择网络解决方案每个模块分别开展层次化/模块化设计，即综合：层次化结构的模块化特性、模块化结构的层次化特性2. 园区网模块化设计模型基本模型：规划和设计园区网络的总框架。模块：园区内网模块-包括园区范围内可独立运行的所有网络单元/子模块。 内外网边缘模块-包括内网与外部网络单元的所有连接单元/子模块。 外部网络模块-各类MAN、WAN、Internet运营商网络单元/子模块。边界：物理区域边界（地理楼宇、楼层等）逻辑区域边界（功能-内部共享资源，对外服务信息资源） 。连接：物理连接（设备，链路等）逻辑连接（VLAN，路由域，安全域的连接和隔离等）第4章园区网络交换结构设计交换技术概述1.何谓交换：从一个接口接收分组并将其转发到另一个接口的过程。2.交换依据： 二层交换-基于链路层信息的交换。 三层交换-基于网络层信息的交换。 四层交换-基于传输层信息的交换。3.技术目标： 快速：降低交换延时。 可靠：保障稳定，避免丢包甚至阻塞。 可控：抑制不必要流量。交换机结构类型：共享总线类型、共享内存类型、纵横交换矩阵类型共享总线类型共享总线：由总线控制器仲裁端口输入/出缓冲器间分组转发时机。性能要素：总线速率/带宽、出/入缓冲区容量，端口速率/带宽。共享内存类型共享内存：通过为端口动态创建和维护基于共享缓存的输入/出分组链表或其他数据结构完成端口间分组转发。性能要素：共享缓冲区容量、管理效率和存取速度，交换逻辑效率、端口速率/带宽。纵横交换矩阵类型纵横交换矩阵：由交叉开关矩阵为输入端口和输出端口间建立直接连接。可集中式或分布式控制开关的开合状态。性能要素：入/出缓冲区容量，端口速率/带宽。4.1 二层交换技术4.1.1基本的二层交换功能维护MAC地址与端口的映射表基于MAC地址交换，按转发时机有：存储转发式交换、直通式交换、无碎片式交换4.1.2扩展的二层交换功能 4.1.2.1 VLAN及其规划VLAN定义：对二层广播域（桥接域）的逻辑分段;每个分段为一个单独的广播域，具有单个交换式以太LAN的相同帧流属性。 VLAN的分划技术静态VLAN： 手工将物理位置固定的二层端口指定到VLAN中。动态VLAN： 基于终端MAC地址/IP地址/用户信息动态将端口指定到VLAN中。静态VLAN特征：手工将物理位置固定的二层端口指定到VLAN中。在本地（交换机）分配端口到VLAN。与终端（用户）信息（例MAC地址）无关。优点：简化VLAN成员管理。缺点：不支持终端移动性。具有多交换机上分布同静态VLAN配置示例1.创建，修改 VLAN switchA(config)#vlan 10 switchA(config-vlan)# name sales switchA(config-vlan)# exit2.将端口分配到VLAN switchA(config)#interface fastethernet 0/1 switchA(config-if)#switchport access vlan 10 SwitchA(config)#interface range fastethernet 0/3-5, 0/7-8 switchA(config-if-range)#switchport access vlan 103.检验配置 switchA#show vlan 10 SwitchA# show interfaces fastethernet0/5 switchport4.删除VLAN no Vlan 10 clear vlan.data动态VLAN特征：基于终端MAC地址动态将端口指定到VLAN中。在VLAN管理策略服务器(VMPS)数据库中建立MAC地址与VLAN映射表等完成VLAN及其成员设置。终端（用户）信息与VLAN有关。优点：更好的安全性，终端可移动性。缺点：VMPS管理负担大，增加了VMPS与客户交换机的VLAN管理协议流量。动态VLAN配置示例VMPS domain xyz ！定义VMPS域，且要与VTP域对应VMPS open ！定义安全模式 ：open/secureVMPS fallback default !定义后备VLAN,将未定义在VMPS数据库的MAC分配给它VMPS no-domain-req deny！无域名的请求将被拒绝deny允许allowaddress 0012.2233.4455 vlan-neme A ！MAC地址和VLAN关联address 0012.2233.4455 vlan-neme B ！address 0012.2233.4455 vlan-neme Caddress 00aa.aaaa.aaaa vlan-neme NONE!拒绝00aa.aaaa.aaaa接入VMPS-port-group wiringCloset1 ! 定义VMPS策略:将作用于的端口组 device 192.168.1.5 port 3/2 device 192.168.1.6 port all-ports VMPS-port-group wiringCloset2VMPS-VLAN-group Engineering ! 定义VMPS策略:可作用于的VLAN vlan-neme A vlan-neme B Vmpt -Vlan Policies Vlan-group Engineering!定义VMPS策略:可加入VLAN port-group wiringCloset1 ! A和B的端口组。Vmpt -Vlan Policies vlan-neme C!定义VMPS策略:可加入VLAN C的端口 device 192.168.1.6 port 1/1 device 192.168.1.7 port all-ports port-group wiringCloset2VLAN的部署方式VLAN部署动机提高带宽效用：限制单播/组播/广播流量的扩散,提高带宽利用率；提高可扩展性：缓解广播泛洪对网络规模扩大的影响；增强安全性： VLAN间的隔离，防止窃听。VLAN的部署方式端到端VLAN部署：克服物理（所在网段/交换机地理位置）约束，将具有相似访问或业务属性的实体划归到同一个逻辑分段。注重逻辑关联的应用设计。优点：用户组逻辑定义灵活,用户组安全策略一致性定义方便，适合于被访问信息资源局部性部署(属于某个逻辑用户组)的场合）缺点：存在较多的跨交换机/区域端到端流量，提高带宽效用和可扩展性作用有限。本地VLAN部署:注重物理位置关联的应用设计。优点：VLAN内流量本地化，提高带宽效用和可扩展性作用明显。适合于被访问信息资源全局性部署(属于全网用户)的场合。4.1.2.2 VLAN中继技术中继（Trunk）连接：用于承载交换机之间（交换机与路由器之间）多个不同VLAN数据的点到点链路。可应对各种区域范围的端到端VLAN部署的需要。交换机对帧的透传处理Trunking协议VLAN透传协议IEEE802.1Q 帧标签协议虚拟桥接局域网标准配置中继端口示例1.创建trunkswitchA(config)#interface fastethernet 0/24switchA(config-if)#switchport mode trunk2.检查switchA#show interfaces interface-id switchportswitchA#show interfaces interface-id trunk3.修改 no switchport trunk，复位成端口缺省值4.Trunk修剪 创建Trunk 端口的许可VLAN 列表 switchport trunk allowed vlan all | add | remove |except vlan-list4.1.2.3端口访问控制技术方法：将端口与MAC 或MAC及IP地址关联。作用：网络安全和网络管理 1.基于MAC地址的端口访问/接入控制通过在交换机端口上设置允许的MAC地址或可接入的终端数量来防止未经授权的用户或数量对网络的访问权。配置示例：Switch#configure terminaSwitch(config)#interface f0/3Switch(config-if)# switchport mode accessSwitch(config-if)# switchport port-securitySwitch(config-if)# switchport port-security maximum 8Switch(config-if)# switchport port-security violationprotect | restrict | shutdown！protect 丢弃来自非法源地址的包,不告警！restrict 丢弃来自非法源地址的包,发送syslog告警！shutdown(默认) 关闭端口,发送SNMP trap、Syslog 告警2.基于MAC地址及IP地址的端口访问/接入控制通过在交换机端口上设置允许的MAC地址与ip地址绑定 来防止未经授权的用户对网络的访问权。配置示例：Switch#configure terminaSwitch(config)#interface f0/3Switch(config-if)#switchport mode accessSwitch(config-if)# switchport port-securitySwitch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202Switch(config-if)#end4.1.2.4端口定向控制1.端口镜像技术2.端口聚合技术1.端口镜像技术（port Mirroring)功能：把交换机一个或多个端口（VLAN）的数据镜像/复制到一个或多个端口的方法，其中被复制的端口称为镜像源端口，复制的端口称为镜像目的端口 。作用：监听、分析流量。配置示例： switchA(config)# monitor session 1 source interface fastethernet 0/15 both switchA(config)# monitor session 1 destinetion interface fastethernet 0/5 switchA(config)# monitor session 2 source interface 2/13-20 both switchA(config)# monitor session 2 destination interface 2/242.端口聚合技术功能：把多个物理链接捆绑在一起形成一个新的物理链接作用：实施负载平衡,链路冗余。聚合链路限制：1.聚合端口的速度必须一致；2.聚合端口必须属于同一个vlan或Trunk;3.聚合端口使用的传输介质相同；4.聚合端口必须属于同一层次,并与AP也要在同一层次。 配置示例定义聚合口Aggregate Port(AP)Switch(config)#interface range gigabitethernet 0/1-2Switch(config-if-range)#port-group 5 /将接口加入 ap 5,若ap 5不存在,则创建调整二层AP负载均衡模式的配置:Switch(config)#aggregateport load-balance dst-mac/选择基于宿MAC的负载均衡方式Switch(config)#aggregateport load-balance src-mac/选择基于源MAC的负载均衡方式退出某AP:Switch(config)#interface f0/3Switch(config-if)#no port-group/删除aggregate port 5成员接口f0/3检测：Switch#show aggregateport summary /查看聚合端口的汇总信息Switch#show aggregateport load-balance /查看聚合端口的流量平衡方式。4.2三层交换机技术4.2.1三层交换技术产生背景网络状况：园区网规模扩大、LAN技术向MAN延伸（作为宽带MAN技术方案之一）、80/20网络业务模式转向20/80模式引发：IP网段/VLAN间流量增长、路由器成为瓶颈（转发性能，端口密度，价格）、解决方案：研发具有高速IP数据报转发能力、较高LAN端口密度、价格优势的技术及对应设备。路由器支持VLAN间路由：路由器端口和交换机端口一一对应实现VLAN间路由、路由器在一个物理端口上为每个VLAN配置一个逻辑子接口4.2.2三层交换技术原理技术特征：二层交换技术三层转发技术基于IP地址和MAC信息构建转发表；使用硬件芯片处理（查表、重写PDU、转发）。 主要技术：技术1：精确匹配硬件三层交换。技术2：最长前缀匹配（LPM）硬件三层交换。技术3：最长前缀匹配硬件三层交换的优化-LPM+HDR（主机直接路由）技术1精确匹配硬件交换工作原理：基于具有相同3层信息的特定源和目的之间的单向数据报序列（或称数据流）的交换。三层交换机的逻辑架构和基本工作机制一次路由、多次交换VLAN接口定义也称虚拟交换接口(SVI),为了提供VLAN间数据报转发所建立的逻辑接口,每个接口与一个VLAN关联,具有三层功能特征。建立SVI示例：1.创建VLAN switchA(config)#vlan 10 lab switchA(config)#vlan 20 teacher2.将端口分配到VLAN switchA(config)#interface range fastethernet 0/1-2 switchA(config-if)#switchport access vlan 10 switchA(config)#interface range fastethernet 0/3-4 switchA(config-if)#switchport access vlan 203.创建SVI SwitchA(config)#interface vlan 10 switchA(config-if)# ip address 172.16.1.1 255.255.0.0 SwitchA(config-if)#no shutdown精确匹配3层交换的缺陷在应用流量或异常流量（病毒/攻击）膨胀的环境，每数据流的首包路由处理造成：大量耗费CPU资源(CPU路由转发为主,硬件发表转发为辅)、大量耗费存储资源(数据流不断更新)导致：性能（比如延时）不稳定甚至系统崩溃技术2：最长前缀匹配（LPM）硬件三层交换工作原理：转发表存储着和软件路由表相似的转发表项(非数据流形式)、硬件转发过程中利用最长匹配技术进行表项查询LPM的优点与不足优点：节约存储空间：一个目的网段/主机使用一个转发表项，对于不明目的网段IP数据包通过缺省路由转发。病毒和攻击数据可以通过硬件网段路由或缺省路由进行转发，不增加额外的硬件表项降低CPU负担：CPU仅对每个网段/主机(非流)参与一次路由处理不足：三层设备直连网段主机转发表数量比较多的情况下，CPU的第一次参与路由仍会影响三层转发的处理效率技术3：最长前缀匹配硬件三层交换的优化LPM+HDR（主机直接路由）主机直接路由（HDR）：由三层交换模块直接处理下一跳结点（直连网段/主机）和数据转发出口的ARP过程并将MAC地址直接下载到硬件转发表。免去了CPU参与三层交换所需的路由处理。提高CPU和存储资源效能三层交换设备的交换功能及其处理流程多层交换-三层交换机的访问控制列表技术4.3非冗余结构园区交换网络设计4.3.1 交换机端口的功能模式*交换网络设计的关系要素二层功能模式：接入Access、中继Trunk、二层汇聚Aggregate三层功能模式：虚拟交换SVI、路由Routed、三层汇聚Aggregate交换机可被指定的端口模式二层端口模式的功能和指定示例1、接入 （Access ）端口类型/模式微网段端口，用于主机接入/访问网络，一个Access端口只能属于一个VLAN。指定示例：switchA(config-if)# switchport mode access /或switchA(config-if)# switchport access vlan 102、中继（Trunk） 端口类型/模式用于建立互连交换机、路由器，且承载多个不同VLAN流量的点到点链路的端口。指定示例：switchA(config-if)# switchport mode Trunk3、二层聚合（Aggregate）端口类型/模式将多个物理端口合并为一个Access端口或者Trunk端口，并在二层Aggregate 成员端口进行帧流量平衡与备份。指定示例：Switch(config)#interface range fastethernet 0/1-2、 Switch(config-if-range)#port-group 5或Switch(config-if-range)# switchport mode Trunk三层端口模式的功能和指定示例1. SVI（Switch virtual interface)虚拟交换接口类型与某个VLAN关联的IP