网络设备集成技术方案模板

北京画中画印刷有限公司网络设备北京画中画印刷有限公司网络设备 集成技术方案集成技术方案 北京同迈科技有限公司北京同迈科技有限公司 2010 10 26 北京画中画印刷有限公司网络设备集成 技术方案 北京同迈科技有限公司 目目 录录 第第 1 章章概述概述 4 第第 2 章章网络总体建设目标网络总体建设目标 5 2 1网络总体目标 5 2 2设计原则 5 2 2 1先进性 5 2 2 2可靠性 稳定性 5 2 2 3实用性 5 2 2 4合理性 5 2 2 5安全性 6 2 2 6可扩展性 6 2 3设计依据 6 第第 3 章章网络设计技术选型网络设计技术选型 7 3 1网络设计的技术需求 7 3 1 1核心层网络承载能力 7 3 1 2汇聚层节点承载能力 7 3 1 3接入层节点接入能力 8 3 1 4通信协议的支持 8 3 1 5网络管理与安全体系 8 3 2设备选型考虑 8 3 3网络产品选型 9 3 4网络技术选型设计 10 3 4 1介质拥挤问题 10 3 4 2协议拥挤问题 11 3 4 3骨干拥挤问题 12 3 4 4技术选型总结 13 3 5VLAN 虚拟局域网 技术简介 13 北京画中画印刷有限公司网络设备集成 技术方案 北京同迈科技有限公司 第第 4 章章网络方案设计网络方案设计 15 4 1网络配置 15 4 2网络拓扑图 15 4 3网络地址规划 16 4 3 1IP 地址的分配应遵循以下几个原则 16 4 3 2IP 地址的划分 16 4 3 3内部网络地址分配 16 4 4VLAN 的设计 17 4 4 1VLAN 划分 17 4 4 2VLAN 间路由 18 4 5本地互切技术 STP 生成树协议 18 4 6交换机安全技术 19 第第 5 章章网络设备介绍网络设备介绍 20 5 1CISCO 3800 路由器 20 5 4CISCO 3560 系列以太网交换机 23 5 5CISCO 2918 系列以太网交换机 25 5 6CISCO2960 系列以太网交换机 29 北京画中画印刷有限公司网络设备集成 技术方案 第 4 页 共 29 页 第第 1 章章 概述概述 计算机网络系统是北京画中画印刷有限公司基础设施的重要组成部分 是以 综合布线为基础的现代化的网络系统 本次设计中实现的是有线网络 本系统主要是以综合布线为基础 为有线网络及其他网络提供基础服务的 整个网络的建设将为北京画中画印刷有限公司的数据 语音 视频的综合应用构 建完善的基础传输平台 北京画中画印刷有限公司的计算机网络系统应建设成为 一套现代化的计算机系统 使北京画中画印刷有限公司工作人员能享有其应有的 信息资源 包括数据 文本 语音 图像 视像等 将 OA 等系统进行有机的 结合并且实现内部办公自动化的应用和信息的发布 公共设备管理 视频数据的 传输 软件硬件资源共享 物业管理系统的运行以及内外部网站的建设等功能 同时实现 INTERNET 接入 建立与外部信息资源的互通 真正实现一个安全 方 便 舒适 通讯快捷的智能化工作环境 北京画中画印刷有限公司网络设备集成 技术方案 第 5 页 共 29 页 第第 2 章章 网络总体建设目标网络总体建设目标 2 1网络总体目标网络总体目标 北京画中画印刷有限公司的网络结构要求采用交换式宽带千兆网 保证骨干 节点之间千兆的传输速度 到桌面速率为 100M 以上 要求实现网络流量隔离和 控制以及网络安全的需求 网络设备要考虑核心交换机 接入交换机等 要求计 算机网络系统满足本次系统集成的网络平台需求 并考虑未来几年的系统扩展 2 2设计原则设计原则 2 2 1先进性 先进性 采用国际上先进而成熟的网络技术产品 服务器产品及其完善的应用软件系 统 保证信息系统的通信速度 适应大量的数据和多媒体信息传输 处理 交换 的需要 应有一定的扩充与发展空间 使整个网络系统具有较强的生命力 保证 各种信息 数据 语音 图象 的高质量传输 才能使网络不成为网络业务开展 的瓶颈 2 2 2可靠性 稳定性 可靠性 稳定性 计算机网络作为办公楼的基础设施 稳定性和可靠性 安全性是网络建设的 非常重要的指标 在设计方案中 在充分体现方案技术先进性的同时 并能保证 技术的成熟性 在网络设备及结构等方面均应达到国际和国家相应的标准指标和 要求 并满足需要 2 2 3实用性 实用性 计算机网络建设强调网络系统与网络应用并重 先进实用 具有较强的可操 作性 易于管理维护 便于扩充发展 支持国际上通用标准的网络协议 国际标 准的大型的动态路由协议等开放协议 有利于保证与其它网络 如公共数据网 互联网 之间的平滑连接互通 以及将来网络的扩展 2 2 4合理性 合理性 网络建设必须考虑技术与经济上的合理性 应具有较高的性能价格比 必须 北京画中画印刷有限公司网络设备集成 技术方案 第 6 页 共 29 页 考虑网络系统在全寿命期内的全部建设维持费用的合理及可承受性 2 2 5安全性 安全性 所有设备的选型以及操作系统 应用软件系统的选择应该满足防止设备损坏 数据和其他资源的丢失和破坏 防止对网络的非授权使用 2 2 6可扩展性 可扩展性 在网络设计中还应考虑网络今后的扩充能力 所采用的设备应全部为生产厂 家的主流产品 使今后网络节点的增加 向一些新技术的过渡能平滑进行 不会 对现有网络结构作重大调整或是淘汰已有的设备 最大程度保证用户的投资回报 率 2 3设计依据设计依据 相关专业的设计应符合国家现行设计规范 并参考地方相应规范包括 国际标准协会的 ISO 11081 设计规范 ITU T 国际电联联盟 电信标准委员会 IEEE802 3 IEEE802 3u IEEE802 3ab IEEE802 3z 以太网标准 国际电子产品标准协会的 IEEE568A 设计规范 中华人民共和国建设部 智能建筑设计标准 中华人民共和国安全部 计算机网络安全条例 中华人民共和国计算机信息网络国际联网管理暂行规定 智能建筑设计标准 GB T50314 2000 民用建筑电气设计规范 JGJ T16 92 北京画中画印刷有限公司网络设备集成 技术方案 第 7 页 共 29 页 第第 3 章章 网络设计技术选型网络设计技术选型 北京画中画印刷有限公司网络系统主要在以下几点作重点说明 总体网络技 术选型设计 网络产品选型 千兆以太网关键技术分析 骨干网络设计 VLAN 技术设计等 3 1网络设计的技术需求网络设计的技术需求 整个网络在技术上定位为 IP 优化传输网络 以双绞线为主要传输介质 以 IP 为主要通信协议 IP 优化包括如下几个要素 网络结构 网络体系结构以 IP 为设计基础 体现在网络层的层次化体系结 构 可以减少对传统传输体系的依赖 IP 包转发的优化 适合大型 高速 高带宽网络和下一代因特网的特征 提供高速路由查找和包转发机制 带宽优化 在合理的 QoS 控制下 最大限度的利用传输介质的带宽 稳定性优化 最大限度的利用网络设备在故障恢复方面快速切换的能力 快 速恢复网络连接 避免路由表颤动引起的整网震荡 提供符合高速 高带宽网络 要求的可靠性和稳定性 下面从核心层 接入层 可靠性 通信协议 网管与安全等方面论述北京画 中画印刷有限公司网络的技术要求 3 1 1核心层网络承载能力核心层网络承载能力 核心设备的无阻塞交换容量具备足够的能力满足高速端口之间的无丢包线速 交换 核心设备的交换模块或接口模块应提供足够的缓存和拥塞控制机制 避免前 向拥塞时的丢包 核心层设备实现的关键是 高速 冗余 3 1 2汇聚层节点承载能力汇聚层节点承载能力 汇聚层设备的无阻塞交换容量具备足够的能力满足高速端口之间的无丢包线 速交换 北京画中画印刷有限公司网络设备集成 技术方案 第 8 页 共 29 页 汇聚层设备提供千兆端口上联核心层 下联接入层设备 由于是接入层设备 的合并点 同时也就是物理位置的合并点 即流量的合并点 所以汇聚层设备可 能存在瓶颈 故而需要实现更好的 QOS 服务质量 机制 同时 由于需要实现 不同 VLAN 之间的路由选择 所以汇聚层设备也需要支持路由功能 3 1 3 接入层节点接入能力接入层节点接入能力 接入层结点是具有交换结构的交换机 与核心交换机采用 1G 速率连接 接入层结点向下与接入层设备高速互联 接入层结点具有百兆位端口具有充 分的扩展能力 接入层结点设备具备充分的线速交换能力 接入层设备体现的是用户的入口点 3 1 4 通信协议的支持通信协议的支持 可路由协议以支持 TCP IP 协议为主 支持 OSPF IS IS 等多种国际标准的路由协议 支持 BGPV4 等标准的域间路由协议 保证与其他 IP 网络的可靠互联 3 1 5 网络管理与安全体系网络管理与安全体系 支持整个网络系统各种网络设备的统一网络管理 支持故障管理 记帐管理 配置管理 性能管理和安全管理五大功能 网络设备支持多级管理权限 支持 RADIUS TACACS 等认证机制 支持安全监控和控制机制 当发现存在安全漏洞和遭到攻击时 应及时通知 网络管理人员 并应自动采取适当的措施予以保护 3 2 设备选型考虑设备选型考虑 网络系统硬件平台是整个工程的物理基础 设备选型是一个重要而关键的问 题 根据我们的工程经验和专家的意见 我们根据以下标准选择厂商 1 设备性能价格比 设备的性能价格比是选型决策的重要考虑因素 北京画中画印刷有限公司网络设备集成 技术方案 第 9 页 共 29 页 2 售后服务 售后服务包括如下内容 设备的保修期 是否在中国有备件库 这样一旦发生硬件故障时可以及时得到更换 是否提供 ONLINE 服务 以便与原制造厂商及时取得联系 获得技术咨询和 支持 故障报告的响应时间 3 公司的经济 技术实力和市场占有率 这一定程度上反映了该设备的信 誉 4 设备的技术先进性 这是选型的首要考虑因素 5 设备对未来新技术的适应能力 反映设备的可扩展性 这是保护用户投 资的一种策略 6 设备的技术性能指标 7 设备使用的方便程度 这体现设备的可维护性 8 设备在大型网络中的应用情况 它反映设备的适应性和可靠性 9 网络管理系统的集成性 开放性和功能 它反映网络管理系统是否能对 网络作全面深入的管理 以及它对异构网络的适应能力 10 设备的标准化程度和可扩充性 反映对网络规模扩展的适应能力 11 是否对行业有长期稳定的优惠政策 12 交货期的时限和信用 这对工程能否如期完成有重大影响 13 系统软件的升级条件是否优惠 14 差错的检测与隔离能力 这是网络可靠性的重要保证 15 手册与培训 反映用户能否较快地掌握设备的使用 3 3 网络产品选型网络产品选型 网络产品选型网络产品选型 目前在世界上 提供网络设备的厂商有多家 在国际国内占市场大份额的国 外公司有主要有三家 这也是我们进行选择的主要厂家 Cisco 公司 Nortel 公司 3com 公司 H3C 北京画中画印刷有限公司网络设备集成 技术方案 第 10 页 共 29 页 国内厂家有 深圳华为 中兴通讯 联想 从产品选型上来讲 此项目中主要选用的是 H3C 的系列网络设备 网络中 心交换机与楼层交换 边缘交换机系统我们选用全套 H3C 公司的系列产品 之 所以选用该公司该系列的产品 主要是因为 H3C 公司是目前在世界上领先的网 络设备制造厂商 它提供的软 硬件无论从技术上或是服务上都是可靠 可信和 领先的 而且由于 H3C 在网络界的地位 其它各大厂商的设备均与 H3C 的设备 兼容 因此 H3C 网络的兼容性和可扩充性都是非常良好的 世界上各主要金融 邮电 甚至军事等网络需求十分高的机构都选用 H3C 公司产品 根据我们经过几种世界知名的网络产品在主交换机上的性能比较 不论何种 指标 H3C 的产品在同档次的交换机中处于领先地位 我们也本着实事求是的原 则推荐这种世界著名品牌 核心交换 接入层交换均选用核心交换 接入层交换均选用 H3C 的设备 的设备 3 4 网络技术选型设计网络技术选型设计 网络的设计 实施 扩容时都会面临着以下三个问题 尤其是一个大型网络 以下问题尤为突出 这就是 介质拥挤问题 协议拥挤问题和骨干拥挤问题 为了保证网络应用水平能充分适应当今日新月异的网络应用 多媒体应用需 求 并满足未来几年的网络升级及扩容需求 则首先应该解决好以上三个问题 3 4 1 介质拥挤问题介质拥挤问题 由于以太网所采用的 CSMA CD 技术本身的原因 有可能整个以太网为一个 碰撞域 该网络上的每一台机器在发送信息帧之前会对网络进行侦听 如网络已 被其它工作站所占用 则其会随机等待一段时间后 再进行侦听 如网络空闲 则进行信息发送 如网络仍然繁忙 则其继续重复侦听过程 如果多个站点同时 在网络上进行传输 则会产生碰撞 这时各站点则会向网络上发送 Jam 包 以强化这种碰撞结果 以便网上的所有站点都能侦听到网络碰撞 同时这些站点 随机等待一段时间后又进入下一轮尝试 由此可见 当网络上有碰撞时会造成网络的巨大浪费 例如 针对 10M 以 北京画中画印刷有限公司网络设备集成 技术方案 第 11 页 共 29 页 太网 网络上仅有 2 个冲突的节点 当网络利用率为 100 时 以太网的流通量 最大可达 7Mbps 而当同一以太网上有 200 个冲突节点时 则网络利用率的上限 为 37 而实际网络的流通量仅为 2 5Mbps 所以对于一个大部门来说共享式 的以太网介质已经成为了通信的瓶颈 这种介质拥挤问题可以通过桥接的方式来进行解决 通过二层的桥接器的连 接 可以通过对信息帧目标地址 MAC 地址 的识别对信息帧进行过滤 从而把 一个大的碰撞域划分为一个一个的小的碰撞域减小网络的介质碰撞 即对网络进 行微网段化 局域网交换机就好象是多口的高速网桥 它可以具有网桥的所有或部分的功 能 另外它还带有 CPU 及高速底板 能提供并行的高速交换通道 根据不同产 品可分为存贮转发式 直通式等交换方式 这样 在任一时刻多个数据流域就可通过同一台以太网交换机进行数据交互 而相互之间没有影响 而不象传统以太网那样 在任一时刻在同一以太网上只有 一个数据流能进行传送 所以通过交换机的快速桥接功能使以往的一个大的共享网段变成了一个个小 的独享网段 从而保证了每个小的独享网段能获得足够的带宽 从而解决网络的 介质拥挤问题 随着现在芯片生产技术的进一步发展 产品规模化生产的进一步 发展 交换机将逐渐在集线间内取代 HUB 的位置 3 4 2 协议拥挤问题协议拥挤问题 广播在网络中是一种必不可少的信息流量 很多协议都是运用广播来进行路 由的发现或进行服务信息广播 如 IP 的站点使用 ARP 来发现目的地的 MAC 地 址 NOVELL 服务器使用 SAP 来进行服务广播 Appletalk 运行 ZIP Zone Information Protocal 在网络中传递路由信息 此外 诸如网络管理也是通过 SNMP Simple Network Management Protocol 对网络上的设备进行询问而完 成的 网络上的广播流量将会影响到网络上的每一台机器的运作 当广播到达时 网络上的每一台站点都会花费一定的 CPU 时间对其进行处理 当网络上的广播 特别多 产生广播辐射或广播风暴时 网络广播将严重影响到网络上工作站的 北京画中画印刷有限公司网络设备集成 技术方案 第 12 页 共 29 页 CPU 性能 严重时甚至会造成整个网络的瘫痪 根据测试 当网络广播为 100 个 秒时 一台运行 Solaris 2 4 操作系统的 Sun SPARC5 工作站将丢失 3 的 CPU 性能 而当广播增加到 1000 个 秒时 CPU 将损失 10 的性能 而当广播增多 到 3000 个 秒时 CPU 将损失 28 性能 为了解决上述协议上的广播拥挤问题 我们可采用 VLAN 技术和第三层交换 技术 VLAN 可把一个大的 IP 或 IPX DEC NET 等 网络划分为一个个小的逻 辑 IP 子网 不同的 IP 子网采用第三层交换进行联接 这样 交换机不但能起到 最佳路径的选择功能 同时还能对广播进行隔离 每个子网即为一个广播域 从 而可对广播辐射和广播风暴进行有效控制 此外交换机还能进行流量管理 过滤 安全控制和介质转换等功能 VLAN 能防止某些网段发生的问题危及其它网段 起到网段间 防火墙 的作用 3 4 3 骨干拥挤问题骨干拥挤问题 随着计算机技术的发展 计算机运用也发生了日新月异的变化 从纯数据业 务到 OA 系统与生产业务的结合 现在 IP TV VOD 远程教学 可视电话等多 媒体技术等越来越多的网上运用对网络的带宽产生了巨大要求 一个 MPEG 1 图 象传输需要 1 2 2 0Mbps 而一个 MPEG 2 则需要 4 6Mbps 的带宽 网络的传输 能力 尤其是网络骨干的传输能力就成为了组网的关键问题所在 目前主要的高 速网络传输技术主要有 FastEthernet 千兆以太网和 ATM 等 千兆位以太网技术以简单的以太网技术为基础 为网络主干提供 1Gbps 的 带宽 千兆位以太网技术以自然的方法来升级现有的以太网络 工作站 管理工 具和管理人员的技能 千兆位以太网与其他速度相当的高速网络技术相比 价格 低 同时比较简单 例如保留以太网的帧格式 管理工具和对网络概念上的认识 千兆位以太网同样采用 CSMA CD 协议 相同的帧格式和长度 就象 10M 以太网一样 对于广大用户来说 这意味着他们的网络投资可以得到保护 并且 可以以较低的成本使原有的网络升级到 1Gbps 而无需对用户进行再培训 也无需 为额外的网络协议进行投资 由于有这样的特点和兼有支持全双工操作的能力 千兆位以太网是局域网 北京画中画印刷有限公司网络设备集成 技术方案 第 13 页 共 29 页 中 10 100M 交换机之间的理想主干 高性能服务器群的理想连接方法 为高性 能工作站提供 10 倍于 100Mbps 的带宽 千兆位以太网能够提供更高的带宽 并且成为有强大伸缩性的以太网家族 的第三个成员 利用交换机或路由器可以与现有低速的以太网用户和设备连接起 来 因为千兆位以太网的帧格式与现有以太网技术相同 不需要对网络做任何改 变 这种升级方法使得千兆位以太网相对于其他高速网络技术而言 在经济和管 理性能方面都是较好的选择 在 Intranet 应用中 有很多新的应用需求不断出现 包括视频和音频 以前 人们认为这些对时延要求高的应用只有在 ATM 这样的网络上才能实现 然而现 在一些新技术 交换技术 视频压缩技术 如 MPEG 2 新协议 RTP RTCP RSVP 等 和新标准 如 802 1Q 802 1p 等 的出现使得在局 域网中千兆位以太网也可以较好地支持视频和音频等多媒体数据应用 千兆位以太网的设计非常灵活 几乎对网络结构没有限制 可以是交换式 共享式的或基于路由器的 现在正在应用的网络互连技术 例如 特定 IP 交换 技术和第三层的交换技术 都与千兆位以太网完全兼容 千兆位以太网可以通过 共享集线器 交换机或路由器来实现 千兆位以太网支持新的交换机之间或交换 机 工作站之间全双工的连接模式 同时也支持半双工连接模式以便与基于 CSMA CD 存取方式的共享集线器连接 千兆位以太网使用的传输介质有光纤 5 类非屏蔽双绞线 UTP 或同轴电缆 IEEE802 3Z 千兆位以太网任务小组在其主席 CISCO 公司的 HowardFrazier 先生的带领下 已经于 1998 年 6 月 25 日通过了千兆以太网的最终标准 802 3Z 这一标准将成为所有千兆位以太网设备厂商共同遵守的基本标准 3 4 4 技术选型总结技术选型总结 综上所述 在网络建设中所需要解决的 3 个问题则分别可由 交换技术 VLAN 和第三层交换技术解决 对于北京画中画印刷有限公司我们建议采用千兆 以太网交换技术作为其骨干 采用交换快速以太网技术作为接入层 以充分适应 其目前及将来业务系统 OA 系统及多媒体运用的需求 并降低投资规模 实现 最高的性能价格比 北京画中画印刷有限公司网络设备集成 技术方案 第 14 页 共 29 页 3 5 VLAN 虚拟局域网 技术简介 虚拟局域网 技术简介 虚拟局域网技术是近年来在计算机网络领域兴起的一项新的技术 虚拟局域 网在逻辑上等于 OSI 七层模型上第二层的广播域 它与具体的物理网及地理位置 无关 在传统的共享局域网或者交换局域网环境中 整个网络处于同一个广播域 中 即所谓的同一个 LAN 这样当大量用户发送广播信息时容易形成广播风暴 使得整个网络瘫痪 虚拟网技术把传统的广播域按需要分割成各个独立的广播域 LAN 由于广播域的缩小 网络中广播包消耗带宽所占的比例大大降低 网络 的性能得到显著的提高 在传统的网络技术中 网内用户的移动 删除或增加都需要在物理上对网络 设备进行设置 而在虚拟网环境中 网络用户的变更不需要重新对网络设备进行 设置 也就是说虚拟网技术具有自适应功能 我们可以利用虚拟网技术的这些特 点将不同的部门或不同的应用系统分配于不同的 VLAN 之中 实现不同部门或不 同应用系统的逻辑隔离 在传统的网络技术中 同一物理网段中的用户在网络层上很难实施安全措 施 而在虚拟网络环境中 不同的虚拟网络间用户之间的通信控制则可以做到 虚拟网间的安全与虚拟网间的通信方式有关 由于虚拟网间通信是通过路由实现 的 路由器使得通信双方不能直接连接 而路由器的包过滤或防火墙的功能可被 用来对不同虚拟局域网间用户的通信做逐项检查 通信可以按照网络管理人员的 要求被允许或禁止 从而实现不同部门或不同应用系统间的访问控制 提高了网 络的安全性 网络内部访问的安全性 北京画中画印刷有限公司网络设备集成 技术方案 第 15 页 共 29 页 第第 4 章章 网络方案设计网络方案设计 4 1 网络配置网络配置 北京画中画印刷有限公司计算机网络采用三级网络结构 以满足主干带宽千 兆 桌面接入达到 10 100M 的要求 内部网选用两台 H3C S7506R 路由交换机 作为核心交换机 H3C3600 作为接入层交换机 这种拓扑结构的优点在于 网络结构简明 将数据所流经的网络环节降至最 低 提高网络的访问速度 确保系统安全 有序 协调运行 4 2 网络拓扑图网络拓扑图 4 3 网络地址规划网络地址规划 H3C 支持 IPv4 和 IPv6 地址 可根据用户数量 以方便网络的路由管理 规划地址时一定要为将来的发展留有余地 4 3 1IP 地址的分配应遵循以下几个原则 地址的分配应遵循以下几个原则 唯唯 一一 性性 一个 IP 网络中不能有两个主机采用相同的 IP 地址 简简 单单 性性 地址分配应简单易于管理 降低网络扩展的复杂性 简化路由 表的款项 连连 续续 性性 连续地址在层次结构网络中易于进行路径叠合 Route Summarization 大大缩减路由表 提高路由算法的效率 可可 扩扩 展展 性性 地址分配在每一层次上都要留有余量 在网络规模扩展时 能保证地址叠合所需的连续性 灵灵 活活 性性 地址分配应具有灵活性 可借助可变长子网掩码技术 VLSM Variable Length Subnet Mask 以满足多种路由策略的优化 充分利用地址空 间 北京画中画印刷有限公司网络设备集成 技术方案 第 16 页 共 29 页 4 3 2IP 地址的划分 地址的划分 IP 地址的选择方面 方案中我们建议使用保留地址作为 IP 地址段 在 IEEE 的标准中共有三段地址为私有地址 他们是 10 0 0 0 10 255 255 255 172 16 0 0 172 31 255 255 192 168 0 0 192 168 255 255 由于这些地址 的地址范围较大可以满足大型城域网 IP 地址分配的需要 这些地址为保留地址 是在 Internet 上不能使用的所以安全性较好 我们的地址分配方案选用了 192 168 0 0 192 168 255 255 这个网段 在防火墙上配置 NAT 完成内部地址与外部地址的翻译 4 3 3内部网络地址分配内部网络地址分配 地址分配有两种方法 分别是静态指定和动态获取 静态指定的缺点是网络 管理开销大 容易产生地址冲突 故而推荐用动态获取的方式 当前动态获取的 技术主要是 DHCP 动态主机配置协议 可以用 Windows Server 2003 实现 DHCP 服务器 也可以用多层交换机实现 下面简单介绍该技术 DHCP 动态主机配置协议 DHCP 是一种用于简化主机 IP 配置管理的 IP 标准 通过采用 DHCP 标准 可以使用 DHCP 服务器为网络上启用了 DHCP 的客户 端管理动态 IP 地址分配和其他相关配置细节 TCP IP 网络上的每台计算机都必须有唯一的 IP 地址 IP 地址 以及与之 相关的子网掩码 标识主机及其连接的子网 在将计算机移动到不同的子网时 必须更改 IP 地址 DHCP 允许您通过本地网络上的 DHCP 服务器 IP 地址数 据库为客户端动态指派 IP 地址 对于基于 TCP IP 的网络 DHCP 降低了重新配置计算机的难度 减少了涉 及的管理工作量 DHCP 为管理基于 TCP IP 的网络提供了以下好处 安全而可靠的配置 DHCP 避免了由于需要手动在每个计算机上键入值而引起的配置错误 DHCP 还有助于防止由于在网络上配置新的计算机时重新使用以前已分配的 IP 地址而引起的地址冲突 减少配置管理 北京画中画印刷有限公司网络设备集成 技术方案 第 17 页 共 29 页 使用 DHCP 服务器可以大大降低用于配置和重新配置网上计算机的时间 可以配置服务器以在分配地址租约时提供全部的其他配置值 这些值是使用 DHCP 选项分配的 另外 DHCP 租约续订过程还有助于确保客户端计算机配置需要经常更新的 情况 如使用移动或便携式计算机频繁更改位置的用户 通过客户端计算机直 接与 DHCP 服务器通讯可以高效 自动地进行这些更改 4 4VLAN 的设计的设计 4 4 1VLAN 划分划分 如果网络是一个平面化的网络设计思路 所有交换机都工作在二层的状态下 整个内部网络处于一个广播域中 内部网络地址的规划也只有一个 IP 子网 其 缺点是广播流量没有被有效的隔离 内部网中的任何一台计算机所发出的广播消 息会影响网内的所有计算机 如果广播流量比较大 就会影响网络的性能 因为 如果广播流量大 就会产生广播风暴 对计算机网络主要有两个负面影响 第一 严重消耗计算机处理器的资源 第二 严重的浪费带宽 这次网络的主要设计思路是突破平面网络 实现层次化的设计思想 通过 VLAN 虚拟局域网 技术的实现 完成广播域的划分 一个 VLAN 就是一个广播 域 一个逻辑子网 实现 vlan 技术的主要优点有三个 第一 隔离广播 提高 网络性能 第二 相对提高网络的安全性 不同 vlan 之间的用户默认不能相互 访问 第三 实现用户的逻辑分组 在接入层和核心交换机上 我们可以根据业务需求或部门基于端口或 MAC 地址划分不同的 VLAN 并使其与 IP 子网相符合 对于与核心交换机相连接的端口 我们将其设为 VLAN 的 Trunk 这样它将 传递所有的 VLAN 信息和数据给相同 VTP 域的其它交换机 实现跨主干的 VLAN 即不同楼层交换机的端口都属于同一个 VLAN VLAN 的 Trunking 技术可以 选 802 1Q 通过 vlan 技术的实现 做到了服务器和客户机的有效隔离 即使客户机将 IP 地址静态配置为和某台服务器相同 也不会再产生地址冲突的问题了 结果是 客户机不能联网 这在没有划分 vlan 之前是一个比较突出的问题 北京画中画印刷有限公司网络设备集成 技术方案 第 18 页 共 29 页 4 4 2VLAN 间路由间路由 默认的情况下 不同 vlan 的用户是不能互相访问的 由于我们这次 vlan 划 分的主要目的是为了隔离广播流量 提高网络性能 但是不同 vlan 的用户还要 允许访问 所以要实现 vlan 间的路由技术 在此我们使用的是 SVI switch virtual interface 技术 在汇聚层交换机上创建 SVI 接口 为每一个 vlan 创建一 个 地址设置为 192 168 x 254 24 x 是 vlan 号 这样在汇聚层交换机上自动 生成多条直连路由 由于 DHCP 给客户端分配的网关地址就是 SVI 地址 从而所 有不同 vlan 间的用户就可以通讯了 4 5本地互切技术 本地互切技术 STP 生成树协议 生成树协议 生成树协议 STP 是为克服冗余网络中透明桥接的问题而创建的 STP 的 目的是通过协商一条到根网桥的无环路路径来避免和消除网络中的环路 它通过 判定网络中存在环路的地方并阻断冗余链路来实现这个目的 通过这种方式 它 确保到每个目的地都有一个路径 所以永远不会产生桥接环路 如果某条链路失 效了 因为根网桥知道还存在着冗于链路 它就会启用它先前关掉的这条冗余链 路 这就是说有些端口需要被关闭或置为非转发模式 这些端口仍然知道网络的 拓扑结构 并且 如果正在转发数据的链路失效了 它们就可以被启用了 生成 树协议执行一种被称为生成树算法 STA 的算法 在一个扩展的局域网中参与 STP 的所有交换都通过数据消息的交换来获取网 络中其他交换机的信息 这些消息被称为桥接协议数据单元 BPDU BPDU 在 每个端口上每两秒发送一次以确保一个稳定的 无环路的拓扑结构 选举根网桥选举根网桥 建立无环路生成树的第一步是选举一个根网桥 它是所有交换机用来决定网 络中是否存在环路的参考点 在开始启动时 交换机假设它是根网桥并将网桥 ID 设置为根 ID 当选举完根网桥之后 每台交换机必须与根网桥建立关联 这是通过侦听从 其各个端口进入的 BPDU 进行的 如果能在多个端口上接收到同一个 BPDU 就说 明存在着到根网桥的冗余路径 北京画中画印刷有限公司网络设备集成 技术方案 第 19 页 共 29 页 交换机首先查看路径开销以判断出哪个端口正在接收低开销的路径 路径开 销是根据链路速率和 BPDU 从根网桥到达本地端口所经过的链路数量而计算出来 的 路径开销由源和目的地之间的链路开销总和确定 如果一个端口有最低的路 径开销 它将被置于转发模式 接收 BPDU 的所有其他端口将被置于阻断模式 如果各端口接收到的 BPDU 的路径开销相同 那么交换机将查看网桥 ID 以决定 哪个端口应该进行转发 有最低网桥 ID 的端口将被选为转发端口 所有其他端 口将被阻断 如果路径开销和网桥 ID 都相同 端口 ID 最低的被转发所有其他端 口被阻断 4 6交换机安全技术交换机安全技术 端口安全 可以通过限制允许访问交换机上某个端口的 MAC 地址以及 IP 可 选 来实现严格控制对该端口的访问 保证只有合法的用户才能联网 通过动态 主机配置协议 DHCP 监听 可只允许不信任用户端口的 DHCP 请求 但不允 许响应 进行传输 从而阻止了 DHCP 电子欺骗 在 DHCP 监听功能的基础上 可通过动态 ARP 检测和 IP 源防护阻止 IP 地址欺骗 交换机上的这些功能可以更 好的实现网络的安全 北京画中画印刷有限公司网络设备集成 技术方案 第 20 页 共 29 页 第第 5 章章 网络设备介绍网络设备介绍 CISCO 3825 适用于需要以下特性的公司 Cisco 3825 集成业务路由器 低密度 最多 88 个端口 集成 10 100 交换 最高 360W 思科馈线电源 或以太网供电 PoE IPSec 集成板载安全加速 用于改进 IPSec 性能 是思科自防御网络必不可少的组 成部分 支持网络设备保护 威胁防御 安全连接和终端保护及控制 Cisco 3825 集成多业务路由器适用 于大中型分支机构和企业 能以高达一半 T3 E3 的线速支持并发数据 安 全 语音和高级服务 产品特性 产品特性 特性 Cisco 3825 网络模块插槽 2 高级集成模块 AIM 插槽 2 高速广域网接口卡 HWIC 插槽 4 10 100 1000 GE 端口 2 小型可插拔 SFP 端口 1 板载 PVDM 插槽 4 北京画中画印刷有限公司网络设备集成 技术方案 第 21 页 共 29 页 广域网网络模块 有 ATM AIM 模块 有 语音 传真网络模块 有 广域网接口卡 WIC 模块 有 Multifl ex 语音 广域网接口卡 有 语音接口卡 VIC 模块 有 调制解调器模块 有 EtherSwitch 模块 有 HWIC 和网络模块 服务性能 最高 14 T1 E1 VPN 安全高级集成模块 AIM 有 AIM VPN EPII PLUS 内容引擎网络模块 有 闪存 外部 64MB 缺省 256MB 可选 DRAM 内存 256MB 缺省 1024MB 最大 电源 AC AC POE DC 外部冗余 AC 规格 高 宽 长 3 5 x 17 1 x 14 7 英寸 CISCO3825 Cisco 3825 集成业务路由器 带 2 个千兆以太网接口 1 SFP 2 NME 4 HWIC 2 AIM Cisco IOS IP Base 软件和交流电源 CISCO3825 AC IP Cisco 3825 集成业务路由器 带 2 个千兆以太网接口 1 SFP 2 NME 4 HWIC 2 AIM Cisco IOS IP Base 软件 交流电源和 PoE 北京画中画印刷有限公司网络设备集成 技术方案 第 22 页 共 29 页 CISCO3825 DC Cisco 3825 集成业务路由器 带 2 个千兆以太网接口 1 SFP 2 NME 4 HWIC 2 AIM Cisco IOS IP Base 软件和直流电源 北京画中画印刷有限公司网络设备集成 技术方案 第 23 页 共 29 页 Cisco Catalyst 3560 系列交换机 第二到四层交换和智能服务 支持动态 IP 路由和 IPv6 快速以太网和千兆以太网连接 最多 48 个 10 100 1000 端口和 4 个小型可插拔 SFP 端口 WS C3560G 24TS S Cisco Catalyst 3560G 24 10 100 1000T 4 SFP 标准镜像 转发宽带 32 GBPS 每秒分组数 38 7 MPPS 支持 MAC 地址 12000 支持的路由 11000 板载内存 128 32MB 千兆以太网 4 10 100 1000 密度 24 10 100 密度 0 测得的 100 吞吐 74 交流 直流支持 仅限交流 规格 高 宽 长 1 7 3 1 7 5 14 9 英寸 4 4 4 4 5 37 8 厘 米 北京画中画印刷有限公司网络设备集成 技术方案 第 24 页 共 29 页 设备重量 12 磅 5 4 公斤 北京画中画印刷有限公司网络设备集成 技术方案 第 25 页 共 29 页 Cisco Catalyst 2918 系列系列 Cisco Catalyst 2918 系列交换机是面向中国市场中小规模网络部署 的入门级固定配置交换机 Catalyst 2918 采用简体中文的设备面板 和图形化界面 以特优的性价比 为入门级配线间和小型分支机构 提供桌面快速以太网和千兆上行网络连接 Cisco Catalyst 2918 系 列通过提供完备的入门级安全策略 服务质量 QoS 和可用性功能 降 低了企业网络总体拥有成本 该 系列交换机还为中国企业用户提供了从非智能集线器和不可管理的交换机 向便于扩展的可管理网络迁移的 简便的途径 Cisco Catalyst 2918 交换机提供 WS C2918 48TT C