公司网络设计方案doc-系统集成作业_第1页
公司网络设计方案doc-系统集成作业_第2页
公司网络设计方案doc-系统集成作业_第3页
公司网络设计方案doc-系统集成作业_第4页
公司网络设计方案doc-系统集成作业_第5页
已阅读5页,还剩14页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1 太原理工大学太原理工大学 计算机科学与技术学院计算机科学与技术学院 信息系统集成信息系统集成 课程报告课程报告 研究生姓名李明义 学 号 专 业计算机应用技术 导 师 姓 名陈俊杰 日 期2011 年 06 月 25 日 2 目录 1 网络综合设计 3 1 1 项目说明 3 2 需求分析 4 2 1 设计思路 4 2 2 功能分析 4 2 3 网络方案描述 4 2 4 网络拓扑结构 5 2 5 子网划分 5 2 6 上网控制 7 2 7 双线接入 7 2 8 网络设备清单 8 3 配置网络设备 8 3 1 交换机的配置 8 3 2 交换机的管理 11 4 接入层的介绍 13 4 1 定义 13 4 2 工作原理 13 4 3 二层交换机的选择及标准 14 4 4 交换机的堆叠 15 4 5 实际应用 15 5 汇聚层的介绍 16 5 1 定义 16 5 2 作用 17 5 3 实际应用 17 6 核心层 17 6 1 定义 17 6 2 工作原理 18 6 3 核心交换机的选择 18 3 1 网络综合设计网络综合设计 1 1 项目说明 项目说明 某公司准备对其原有的网络系统进行改造 请为其设计一个具体的设备采购及网络规 划方案来满足企业的如下需求 1 该公司只申请到 1 个 C 类 IPV4 地址 2 各部门的安全等级不同 例如财务部以及产品开发部的内部信息交流只限于本部门内 部 其他部门之间既相互隔离又可以相互访问 经理室的 PC 可以访问各部门的资源 3 该公司需要对外提供 WEB 邮件以及 FTP 的服务 4 为了保证内外网的安全 公司需要对进出的数据包进行过滤 并对企业内部人员的上 网行为进行控制并对不同级别的人员授予不同的权限 5 为了保证与互联网的时刻联通 公司采用网通 电信双网接入的业务 6 尽量节省公司的资金 7 网络应由一定的健壮性 安全性及可靠性 已知该公司拥有的部门及每个部门拥有的计算机如下 部门计算机台数 经理室5 信息与网络中心40 财务部20 产品开发部30 市场营销部40 技术服务部40 劳工部30 后勤部50 4 保卫部15 2 需求分析需求分析 2 1 设计思路设计思路 根据其设计的具体需求进行具体的分析 1 该公司只申请到 1 个 C 类 IPV4 地址 共 270 台电脑 分析 在本设计中 该公司总共有 270 台电脑 但只申请到 1 个 C 类 IPV4 地址 一个 C 类的 IPV4 地址最多只能容纳 254 台电脑 显然如果直接按照 IP 地址数小于本公司拥 有的主机数 假设本公司申请到的 C 类 IP 地址为 202 226 124 0 按照上述所说的原 理 在此处我们设计使用 c 类私有地址为 192 168 1 0 24 192 168 2 0 24 192 168 3 0 24 192 168 4 0 24 并按照优先处理主机数目最大的子网开始划分网络 第一地址做网络地 址 最后一个做广播地址 2 各部门的安全等级不同 例如财务部以及产品开发部的内部信息交流只限于本部门内部 其他部门之间既相互隔离又可以相互访问 经理室的 PC 可以访问各部门的资源 分析 VLAN 将广播限制在了单个 VLAN 内部 减少了 VLAN 间主机广播通信对其他 VLAN 的影响 在各 VLAN 间需要通信的时候 可以利用三层交换技术实现 3 该公司需要对外提供 WEB 邮件以及 FTP 的服务 分析 将所有的服务器都分配在核心层交换机上并单独划分一个 VLAN 作为服务器的 区块 放置系统中所有的服务器 包括 Web ftp 邮件服务器 端口映射 把申请到的 c 类地址的 80 25 20 21 端口分别映射给相应的服务器 4 为了保证内外网的安全 公司需要对进出的数据包进行过滤 并对企业内部人员的上网 行为进行控制并对不同级别的人员授予不同的权限 分析 使用 ACL 进行数据包过滤 如果对用户上网严格要求可以建议使用上网行为管 理系统对用户上网进行管理 5 为了保证与互联网的时刻联通 公司采用网通 电信双网接入的业务 6 网络应由一定的健壮性 安全性及可靠性 分析 采用全冗余结构 交换机分别为核心层 汇聚层和接入层 汇聚层交换机全部冗 余上行链路 分别上联到 2 台核心交换机 保证了网络的健壮性和可靠行 2 2 功能分析功能分析 1 由一个主干网和多个子网组成公司局域网 Intranet 2 主干网接入全球互联信息网外接 Internet 各子网再接入主干通信网 3 主干网接入 Internet 的方式是双线 4 服务器选用专业服务器产品 均存放在网络机房 网络中心负责对整个网络进行管理 也可以远程管理 5 2 3 网络方案描述网络方案描述 整个网络采用星型结构的层次化设计 由两个层次组成 核心层和接入层 网络中心 配置了一台 Cisco Catalyst 3560 系列交换机作为企业的核心层交换机 接入层部分交换机 配置 Cisco SRW224G4 系列 cisco2811 连接外网和 asa5510 防火墙 防火墙链接内网 Cisco Catalyst 3560 核心路由交换机上已配置 24 个以太网 10 100 端口 通过百兆双绞线 直接连接二层智能交换机 linksys SRW224G4 再通过 10 100 兆双绞线接到其他各部门 2 4 网络拓扑结构网络拓扑结构 在网络方案中 整个系统采用星型结构与高速交换以太网技术相结合的网络拓扑结构 2 5 子网划分子网划分 1 在本设计中 该公司总共有 270 台电脑 但只申请到 1 个 C 类 IPV4 地址 一个 C 类 的 IPV4 地址最多只能容纳 254 台电脑 显然如果直接按照 IP 地址数小于本公司拥有的主 机数 假设本公司申请到的 C 类 IP 地址为 202 226 124 0 按照上述所说的原理 在此处我们设 计使用 c 类私有地址为 192 168 1 0 24 192 168 2 0 24 192 168 3 0 24 192 168 4 0 24 并按照 优先处理主机数目最大的子网开始划分网络 第一地址做网络地址 最后一个做广播地址 具体 IP 地址分配分配如下 6 经理室5 202 226 124 224 29 255 255 255 248 信息与网络中心40 202 226 124 0 24 255 255 255 192 可用 ip 范围 202 226 124 1 202 226 124 62 202 226 124 63 是此子网的广播地址 财务部20 192 168 1 0 255 255 255 224 产品开发部30 202 226 124 192 27 255 255 255 224 可用 ip 范围 202 226 124 193 202 226 124 222 202 226 124 223 是此子网的广播地址 市场营销部40 202 226 124 64 24 255 255 255 192 可用 ip 范围 202 226 124 65 202 226 124 126 202 226 124 127 是此子网的广播地址 技术服务部40 202 226 124 128 26 255 255 255 192 可用 ip 范围是 202 226 124 129 202 226 124 190 202 226 124 191 此子网的广播地址 劳工部30 192 168 2 0 255 255 255 224 后勤部50 192 168 3 0 255 255 255 192 保卫部15 192 168 4 0 255 255 255 224 2 IP 地址规划表 部门VLANIP网络号 经理室VLAN2202 226 124 224 29202 226 124 224 信息与网络中心VLAN3202 226 124 0 24202 226 124 0 财务部VLAN4192 168 1 0192 168 1 0 产品开发部VLAN5202 226 124 192 27202 226 124 192 市场营销部VLAN6202 226 124 64 24202 226 124 64 技术服务部VLAN7202 226 124 128 26202 226 124 128 劳工部VLAN8192 168 2 0192 168 2 0 后勤部VLAN9192 168 3 0192 168 3 0 保卫部VLAN10192 168 4 0192 168 4 0 3 子网的划分 经理室VLAN2 信息与网络中心VLAN3 财务部VLAN4 产品开发部VLAN5 市场营销部VLAN6 技术服务部VLAN7 劳工部VLAN8 后勤部VLAN9 7 保卫部VLAN10 VLAN Virtual Local Area Network 虚拟局域网 可以将不同 VLAN 之间的用户隔离 相同 VLAN 的用户组建成局域网 VLAN 的划分 根据端口来划分 VLAN 利用交换机的端口来划分 VLAN 成员 被设定的 端口都在同一个广播域中 例如 一个交换机的 1 2 3 4 5 端口被定义为虚拟网 AAA 同一交换机的 6 7 8 端口和另一个交换机的 1 2 端口组成虚拟网 BBB 基于端口的 VLAN 简单的讲就是交换机的一个端口就是一个虚拟局域网 凡是连接在这 个端口上的主机属于同个虚拟局域网之中 基于端口的 VLAN 的优点为 由于一个端口 就是一个独立的局域网 所以 当数据在网络中传输的时候 交换机就不会把数据包转发 给其他的端口 如果用户需要将数据发送到其他的虚拟局域网中 就需要先由交换机发往 路由器再由路由器发往其他端口 但是美中不足的是以端口为中心的 VLAN 当用户位置 改变时 往往也伴随着用户位置的改变而对网线也要进行迁移 我们公司电脑比较固定 所以采用这一方式 2 6 上网控制上网控制 端口限制 QQ 在登陆的时候主要使用的是 TCP UDP 的 8000 端口 因此我们先禁止 所有内网机器对远程主机的 8000 端口的访问 在路由器里面 我们可以在互联网访问控制 中添加规则 首先选择对所有内部主机都有效 次步骤可以着情处理 比如你可以选择对 一部分主机有效 或者选择对某台主机有效等等 在选择对所有内部主机都有效 再指定 对下列应用有效 指定 TCP UDP 协议 端口指定为 8000 选择禁止 Internet 访问 这样对 所有的使用 8000 端口登陆的服务器就无法登陆了 2 7 双线接入双线接入 使用双 wan 口的路由 企业申请了双线网络出口 一边是网通线路另一边则是电信线路 我们需要做的就是 通过路由策略让发往不同网络的数据可以直接转发到对应网络的接口 基于目的地址的策略路由 所谓目的地址就是指我们要访问客户的 IP 地址 一般来说判断客户是电信还是网通网 络是可以通过他的 IP 地址实现的 所以只要企业收集到了电信和网通网络地址段 就可以 基于目的地址采取策略路由 将发送或接收到的电信地址数据通过 WAN2 电信线路 接 口传输 将发送或接收到的网通地址数据通过 WAN1 网通线路 接口传输 即使出现网 通部工作人员临时解决电信客户情况时依然可以保证高速状态 这里我们假设连接企业路由器 WAN2 接口的电信对端设备 IP 为 A 而连接 WAN1 接口网 通对端设备 IP 为 B 电信网络的地址段为 C 网通网络地址段是 D 在路由器上建立基于 目的地址的策略路由具体设置命令如下 第一步 建立匹配 C 和 D 的两条访问控制列表 即这两条访问控制列表中针对目的地址设 置为 C 或 D 控制列表名称依次为 ACLC ACLD 第二步 在路由器上使用 match ip address ACLC 限定只要地址段符合 ACLC 访问控制列 表设定的条件 set ip next hop A 将此数据访问的下一跳地址设置 A 这样对电信网络 的访问将顺利的发送到电信网络对端设备 8 第三步 同理使用 match ip address ACLD set ip next hop B 命令即可完成对网通数据的路 由策略 最后在路由器上应用这两条路由策略即可有效解决企业遇到的双线路访问的问题 2 8 网络设备清单网络设备清单 网络设备清单及价格 设备名称 型号 单价 数量 价格 路由器 Cisco 2811 5200 15200 防火墙 思科 ASA 5510 16000 116000 核心交换机 CiscoCatalyst 3560 24TS 6500 16500 接入层交换机 Cisco linksys SRW224G4 1800 1221600 安装服务费1500 合计50800 3 配置网络设备配置网络设备 3 1 交换机的配置 1 设置 VTP 域 JD RS 1 vlan database 进入 VLAN 配置模式 JD RS 1 vlan vtp domain COM 设置 VTP 管理域名称为 COM JD RS 1 vlan vtp server 设置交换机为服务器模式 JD RS 2 vlan database 进入 VLAN 配置模式 JD RS 2 vlan vtp domain COM 设置 VTP 管理域名称为 COM JD RS 2 vlan vtp server 设置交换机为服务器模式 JD S 1 vlan database 进入 VLAN 配置模式 JD S 1 vlan vtp domain COM 设置 VTP 管理域名称为 COM JD S 1 vlan vtp Client 设置交换机为客户端模式 JD S 2 vlan database 进入 VLAN 配置模式 JD S 2 vlan vtp domain COM 设置 VTP 管理域名称为 COM JD S 2 vlan vtp Client 设置交换机为客户端模式 JD S 3 vlan database 进入 VLAN 配置模式 JD S 3 vlan vtp domain COM 设置 VTP 管理域名称为 COM JD S 3 vlan vtp Client 设置交换机为客户端模式 JD S 4 vlan database 进入 VLAN 配置模式 JD S 4 vlan vtp domain COM 设置 VTP 管理域名称为 COM 9 JD S 4 vlan vtp Client 设置交换机为客户端模式 JD S 5 vlan database 进入 VLAN 配置模式 JD S 5 vlan vtp domain COM 设置 VTP 管理域名称为 COM JD S 5 vlan vtp Client 设置交换机为客户端模式 6 vlan database 进入 VLAN 配置模式 JD S 6 vlan vtp domain COM 设置 VTP 管理域名称为 COM JD S 6 vlan vtp Client 设置交换机为客户端模式 JD S 7 vlan database 进入 VLAN 配置模式 JD S 7 vlan vtp domain COM 设置 VTP 管理域名称为 COM JD S 7 vlan vtp Client 设置交换机为客户端模式 JD S 8 vlan database 进入 VLAN 配置模式 JD S 8 vlan vtp domain COM 设置 VTP 管理域名称为 COM JD S 8 vlan vtp Client 设置交换机为客户端模 JD S 9 vlan database 进入 VLAN 配置模式 JD S 9 vlan vtp domain COM 设置 VTP 管理域名称为 COM JD S 9 vlan vtp Client 设置交换机为客户端模式 说明 配置核心交换机为 server 模式 使其能够在该交换机上删除 创建 修改 VLAN 及 其他一些 VTP 参数 同步本 VTP 域中其他交换机传递来的最新 VLAN 信息 Client 模式 使其交换机不能创建 删除 修改 VLAN 也不能在 NVRAM 中存储 VLAN 配置 但可同 步由 VTP 域中由 SERVER 传递来的 VLAN 信息 2 创建 VLAN JD RS 1 vlan vlan 2 name VLAN 2 JD RS 1 vlan vlan 3 name VLAN 3 JD RS 1 vlan vlan 4 name VLAN 4 JD RS 1 vlan vlan 5 name VLAN 5 JD RS 1 vlan vlan 6 name VLAN 6 JD RS 1 vlan vlan 7 name VLAN 7 JD RS 1 vlan vlan 8 name VLAN 8 JD RS 1 vlan vlan 9 name VLAN 9 JD RS 1 vlan vlan 10 name VLAN 10 JD RS 2 vlan vlan 1 name VLAN 1 JD RS 2 vlan vlan 2 name VLAN 2 JD RS 2 vlan vlan 3 name VLAN 3 JD RS 2 vlan vlan 4 name VLAN 4 JD RS 2 vlan vlan 5 name VLAN 5 JD RS 2 vlan vlan 6 name VLAN 6 JD RS 2 vlan vlan 7 name VLAN 7 JD RS 2 vlan vlan 8 name VLAN 8 JD RS 2 vlan vlan 9 name VLAN 9 JD RS 2 vlan vlan 10 name VLAN 10 说明 只要在 VTP 域中的 server 交换机上建立 vlan 它就会通过 VTP 通告整个管理域中 的所有交换机 至于将具体的交换机端口划入某个 VLAN 就必须在该端口所属的交换机 进行设置 3 10 3 配置中继 JD RS 1 config int F0 1 JD RS 1 config if switch port mode trunk JD RS 1 config if switch trunk allowed vlan all D RS 1 config int F0 3 JD RS 1 config if switch port mode trunk JD RS 1 config if switch trunk allowed vlan all D RS 1 config int F0 4 JD RS 1 config if switch port mode trunk JD RS 1 config if switch trunk allowed vlan all JD RS 2 3 4 类似配置 JD S 1 config int Fa0 1 JD S 1 config if switch port mode trunk JD S 2 9 类似的配置 4 将交换机端口划入 VLAN 将 JD S 1 9 接入交换机的端口 3 划入 VLAN2 端口 4 8 划入 VLAN3 端口 8 10 划入 VLAN4 端口 11 14 划入 VLAN5 端口 15 19 划入 VLAN6 端口 20 14 划入 VLAN7 端口 25 28 划入 VLAN8 端口 29 34 划入 VLAN9 端口 35 36 划入 VLAN10 JD S 1 config interface fastEthernet 0 3 JD S 1 config if switchport access vlan2 JD S 1 config interface fastEthernet 0 4 JD S 1 config if switchport access vlan3 JD S 1 config interface fastEthernet 0 5 JD S 1 config if switchport access vlan3 JD S 1 config interface fastEthernet 0 6 JD S 1 config if switchport access vlan3 JD S 1 config interface fastEthernet 0 7 JD S 1 config if switchport access vlan3 JD S 1 config interface fastEthernet 0 8 JD S 1 config if switchport access vlan3 JD S 1 config interface fastEthernet 0 9 JD S 1 config if switchport access vlan4 JD S 1 config interface fastEthernet 0 10 JD S 1 config if switchport access vlan4 JD S 1 config interface fastEthernet 0 11 JD S 1 config if switchport access vlan5 11 JD S 1 config interface fastEthernet 0 12 JD S 1 config if switchport access vlan5 JD S 1 config interface fastEthernet 0 13 JD S 1 config if switchport access vlan5 JD S 1 config interface fastEthernet 0 36 JD S 1 config if switchport access vlan10 JD S 2 9 的端口划入 VLAN 的方法类似 5 在核心交换机上设置各 VLAN 的接口 IP 地址 给 VLAN 所有的节点静态的分配 IP 地址 JD RS 1 config interface vlan2 JD RS 1 config if ip address 202 226 124 224 24 255 255 255 192 再在各接入 VLAN 的计算机上设置与所属 VLAN 的网络地址一致的 IP 地址 并且把默认 网关设置为该 VLAN 的接口 这样 所有的 VLAN 也可以互访了 6 启动路由 JD RS 1 config ip routing JD RS 2 config ip routing 3 2 交换机的管理交换机的管理 软件配置 1 在 Windows 操作系统下 单击 开始 按钮 在 所有程序 菜单的 附件 选项中单击 超级终端 2 在 名称 文本框中键入需新建的级终端连接名称 Cisco 然后单击 确定 按钮 3 在 连接时使用 下拉列表框中选择与交换机相连的计算机的串口 1 单击 确定 按钮 4 在 波特率 下拉列表框中选择 9600 通信速率 其他各选项统统采用默认值 单击 确定 按钮 如果连接正常且交换机已启动的情况下 在超级终端窗口上就会出现如下所示的信息 User Access Verification Password 参数配置 在上面提示状态下输入口令后就可进入交换机的一般用户命令状态 提示符为 Switch 在一般命令状态下可以进行一般性操作 如 Switch show interface 查看交换机端口状态 Switch ping 192 168 25 168 测试到某 IP 是否连通 为了对交换机重要参数进行配置 需要进入特权用户状态 Switch enable 进入特权用户状态 Password cisco Switch 为特权用户模式 在该模式下可以对交换机基本参数如名称 管理 IP 地址 登录密码 12 等进行配置 方法示例如下 Switch setup 进入基本参数配置对话框 System Configuration Dialog Continue with configuration dialog yes no yes At any point you may enter a question mark for help Use ctrl c to abort configuration dialog at any prompt Default settings are in square brackets Basic management setup configures only enough connectivity for management of the system extended setup will ask you to configure each interface on the system 进入基本管理参数配置 Would you like to enter basic management setup yes no yes Configuring global parameters 配置交换机名称 Enter host name Catalyst3550 Catalyst3550 配置进入特权用户状态密码 The enable secret is a password used to protect access to privileged EXEC and configuration modes This password after entered becomes encrypted in the configuration Enter enable secret cisco The enable password is used when you do not specify an enable secret password with some older software versions and some boot images Enter enable password cisco cisco 配置远程登录时的密码 The virtual terminal password is used to protect access to the router over a network interface Enter virtual terminal password cisco cisco 配置交换机 SNMP 网络管理参数 Configure SNMP Network Management yes Community string public public Enter interface name used to connect to the management network from the above interface summary FastEthernet0 1 配置用于管理的 IP 地址和子网掩码 Configure IP on this interface yes yes IP address for this interface 192 168 25 254 192 168 25 254 Subnet mask for this interface 255 255 255 0 13 是否需要保存上面的配置参数 输入 2 表示保存 0 Go to the IOS command prompt without saving this config 1 Return back to the setup without saving this config 2 Save this configuration to nvram and exit Enter your selection 2 查看到刚才修改的基本参数的内容 switch show config 4 接入层的介绍接入层的介绍 4 1 定义定义 接入层 通常将网络中直接面向用户连接或访问网络的部分 接入层交换机 通常将网络中直接面向用户连接或访问网络的部分称为接入层 将位于接 入层和核心层之间的部分称为分布层或汇聚层 接入交换机一般用于直接连接电脑 汇聚 交换机一般用于楼宇间 汇聚相对于一个局部或重要的中转站 核心相当于一个出口或总 汇总 原来定义的汇聚层的目的是为了减少核心的负担 将本地数据交换机流量在本地的汇 聚交换机上交换 减少核心层的工作负担 使核心层只处理本地区域外的数据交换 接入层交换机信息流量方向定义 边界设备的 input 是指进入该网络的数据 output 为离开 该网络的数据 而边界设备下面的交换机 或称接入层交换机 的 input 与 output 的数据 流向与边界设备刚好相反 接入层交换机端口的 input 指服务器向交换机端口发送的数据 即是服务器发送出去 的数据 接入层交换机端口的 output 指交换机端口向服务器传输的数据 即是服务器收到的数 据 接入层 网络中直接面向用户连接或访问网络的部分称为接入层 接入层目的是允许 终端用户连接到网络 因此接入层交换机具有低成本和高端口密度特性 边界设备 边界设备是一个在不同类型网络间 如 Ethernet 和 ATM 传送数据的物理 设备 边界设备不负责收集网络路由信息 它只是使用在网络层获得的路由信息 边界路 由器就是一种边界设备 4 2 工作原理工作原理 我们使用的接入层交换机是二层交换机 二层交换技术的发展比较成熟 属于数据链路层 设备 可以识别数据包中的 MAC 地址信息 根据 MAC 地址进行转发 并将这些 MAC 地 址与对应的端口记录在自己内部的一个地址表中 具体的工作流程如下 1 当交换机从某个端口收到一个数据包 它先读取包头中的源 MAC 地址 这样它就 知道源 MAC 地址的机器是连在哪个端口上的 14 2 再去读取包头中的目的 MAC 地址 并在地址表中查找相应的端口 3 如表中有与这目的 MAC 地址对应的端口 把数据包直接复制到这端口上 4 如表中找不到相应的端口则把数据包广播到所有端口上 当目的机器对源机器回应 时 交换机又可以记录这一目的 MAC 地址与哪个端口对应 在下次传送数据时就 不再需 要对所有端口进行广播了 不断的循环这个过程 对于全网的 MAC 地址信息都可以学习 到 二层交换机就是这样建立和维护它自己的地址表 4 3 二层交换机的选择及标准二层交换机的选择及标准 1 应用范围 二层交换机用于小型的局域网络 这个就不用多言了 在小型局域网中 广播包影响不大 二层交换机的快速交换功能 多个接入端口和低谦价格为小型网络用户提供了很完善的解 决方案 2 选购的标准 交换机是非常的重要 他把握着一个网络的命脉 那么如何选购交换机 用什么交换 机 在选购交换机时交换机的优劣无疑十分的重要 而交换机的优劣要从总体构架 性能 和功能三方面入手 交换机选购时 性能方面除了要满足 RFC2544 建议的基本标准 即吞吐量 时延 丢 包率外 随着用户业务的增加和应用的深入 还要满足了一些额外的指标 如 MAC 地址 数 路由表容量 三层交换机 ACL 数目 LSP 容量 支持 VPN 数量等 1 交换机功能是最直接指标 一般的接入层交换机 简单的 QoS 保证 安全机制 支持网管策略 生成树协议和 VLAN 都是必不可少的功能 经过仔细分析 在某些功能进行进一步的细分 而这些细分 功能正是导致产品差异的主要原因 也是体现产品附加值的重要途径 2 交换机的应用级 QoS 保证 交换机的 QoS 策略支持多级别的数据包优先级设置 既可分别针对 MAC 地址 VLAN IP 地 址 端口进行优先级设置 给网吧业主在实际应用中为用户提供更大的灵活 性 如此同时 交如果换机具有良好的拥塞控制和流量限制的能力 支持 Diffserv 区分服 务 能够根据源 目的的 MAC IP 智能的区分不同的应用流 从而满足实时网吧网络的多媒 体应用的需求 注意的是 目前市场上的某 些交换机号称具有 QoS 保证 实际上只支持 单级别的优先级设置 为实际应用带来很多不便 所有网吧业主在选购的时候需要注意 3 交换机应有 VLAN 支持 VLAN 即虚拟局域网 通过将局域网划分为虚拟网络 VLAN 网段 可以强化网络管理 和网络安全 控制不必要的数据广播 网络中工作组可以突破共享网络中的地理位置限制 而根据管理功能来划分子网 不同厂商的交换机对 VLAN 的支持能力不同 支持 VLAN 的数量也不同 4 交换机应有网管功能 网吧交换机的网管功能可以使用管理软件来管理 配置交换机 比如可通过 Web 浏览 器 Telnet SNMP RMON 等管理 通常 交换机厂商都提供管理软件或第三方管理软 件远程管理交换机 一般的交换机满足 SNMPMIBI MIBII 统计管理功能 并且支持配置管 理 服务质量的管理 告警管理等策略 而复杂一些的千兆交换机会通过增加内置 RMON 组 mini RMON 来支持 RMON 主动监视功能 5 交换机应支持链路聚合 链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的伸缩性 比 15 如可以把 2 个 3 个 4 个千兆的链路绑定在一起 使链路的带宽成倍增长 链路聚合技术 可以实现不同端口的负载均衡 同时也能够互为备份 保证链路的冗余性 在一些千兆以 太网交换机中 最多可以支持 4 组链路聚合 每组中最大 4 个端口 生成树协议和链路聚 合都可以保证一个网络的冗余性 在一个网络中设置冗余链路 并用生成树协议让备份链 路阻塞 在逻辑上不形成环路 而一旦出现故障 启用备份链路 6 交换机要支持 VRRP 协议 VRRP 虚拟路由冗余协议 是一种保证网络可靠性的解决方案 在该协议中 对共享多 存取访问介质上终端 IP 设备的默认网关 DefaultGateway 进行冗余备份 从而在其中一台 三层交换机设备宕机时 备份的设备会及时接管转发工作 向用户提供透明的切换 提高 了网络服务质量 VRRP 协议与 Cisco 的 HSRP 协议有异曲同工之妙 只不过 HSRP 是 Cisco 私有的 4 4 交换机的堆叠交换机的堆叠 一般接入层交换机多为 24 口 48 口等 呈堆叠状态 因为用户团体是相当庞大的 一般 接入层交换机端口保持在 10 100 自协商 最大 100 保证微分段的设备的传输速度 因为 是接到用户计算机 所以接入层交换机的端口状态经常在 UP 和 DOWN 之间反复 4 5 实际应用实际应用 接入层顾名思义 本层是为终端设备接入LAN 的第一道设备 是最接近用户计 算机的设备 该层思科交换机配置设备的特点是 端口密集 接口状态翻动频繁 单位流量低 有较多的访问策略 一般接入层交换机多为 24 口 48 口等 呈堆叠状态 因为用户团体是相当庞大的 一般接入层交换机端口保持在10 100 自协商 最大 100 保证微分段的设备的传输速 度 因为是接到用户计算机 所以接入层交换机的端口状态经常在UP 和 DOWN 之 间反复 因为面对用户 所以接入层交换机有过多的策略限制 如VLAN 等 一般接入层 交换机会以 2 端口的 100 口绑定成以太通道 Trunk 等 接入到汇 本设计中我们选取的是 H3C S1224 具体参数如下 16 5 汇聚层 汇聚层的介绍的介绍 5 1 定义定义 汇聚层交换层是多台接入层交换机的汇聚点 它必须能够处理来自接入层设备的所 有通信量 并提供到核心层的上行链路 因此汇聚层交换机与接入层交换机比较 需要 更高的性能 更少的接口和更高的交换速率 汇聚层是楼群或小区的信息汇聚点 是连接接入层和核心层的网络设备 为接入层 提供数据的汇聚 传输 管理 分发处理 汇聚层为接入层提供基于策略的连接 如地址合 并 协议过滤 路由服务 认证管理等 通过网段划分 如 VLAN 与网络隔离可以防止某些 网段的问题蔓延和影响到核心层 汇聚层同时也可以提供接入层虚拟网之间的互连 控 制和限制接入层对核心层的访问 保证核心层的安全和稳定 汇聚层的功能主要是连接 接入层节点和核心层中心 汇聚层设计为连接本地的逻 辑中心 仍需要较高的性能和比较丰富的功能 17 汇聚层设备一般采用可管理的三层交换机或堆叠式交换机以达到带宽和传输性能的 要求 其设备性能较好 但价格高于接入层设备 而且对环境的要求也较高 对电磁辐 射 温度 湿度和空气洁净度等都有一定的要求 汇聚层设备之间以及汇聚层设备与核 心层设备之间多采用光纤互联 以提高系统的传输性能和吞吐量 一般来说 用户访问控制会安排在接入层 但这并非绝对 也可以安排在汇聚层进 行 在汇聚层实现安全控制和身份认证时 采用的是集中式的管理模式 当网络规模较 大时 可以设计综合安全管理策略 例如在接入层实现身份认证和MAC 地址绑定 在汇聚层实现流量控制和访问权限约束 5 2 作用作用 在网络中 汇聚层交换机和核心层交换机的作用与接入交换机不同 它们承担了网 关和三层路由转发功能的重担 由于IP 扫描和 DoS 攻击对三层交换机的影响和危害 严重 常常会使交换机内 CPU 处理满负荷 造成交换机处理能力下降 甚至瘫痪 用 户无法正常上网 同时 交换机内部更是内嵌了安全策略 如内制的防DoS 攻击 防 IP 扫描机制 保证数据包路由转发功能不受IP 扫描和攻击的影响 IGMP 源端口和源 IP 检查功 能对非法组播源的防范和控制 以及对各种硬件ACL 如专家级 ACL 时间 ACL 等 的访问权限控制 都为网络健壮地运营提供了保证 5 3 实际应用实际应用 思科三层交换机配置汇聚层该层是接入层的交换机流量集合的地方 所有的接入层交换机 会以各种高速通道连接到汇聚层交换机 该思科三层交换机配置的特点如下 端口数量较接入层交换机稀疏 单位端口交换速度远大于接入层交换机 基本要保证数据的高速无阻碍转发 端口状态稳固 翻动几乎不存在 很多汇聚层交换机是三层设备 一般汇聚层交换机端口较少 但一般都是千兆端口 用于接受接入层的流量 而且因为在 本层 被转发的数据基本比较 纯净 所以必须保证高速的数据转 发 因为是汇聚层 该 层的端口翻覆状态几乎不会遇见 除非某台接入层交换机损坏 一般中型的汇聚层交换机 带有三层功能 可以配置 access list 进一步限制非法流量 是非常合适的 STP 根 6 核心层核心层 6 1 定义定义 而将网络主干部分称为核心层 核心层的主要目的在于通过高速转发通信 提供优化 可 靠的骨干传输结构 因此核心层交换机应拥有更高的可靠性 性能和吞吐量 三层交换技术就是 二层交换技术 三层转发技术 它解决了局域网中网段划分之后 网 18 段中子网必须依赖路由器进行管理的局面 解决了传统路由器低速 复杂所造成的网络瓶 颈问题

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论