企业业务需求分析与网络设计ppt课件

.,小型企业网络解决方案,主讲：郭登科,.,越来越多的企业拥有自己的远程站点，这些网点都需要和总部联系，需要和互联网联系。企业的远程站点规模变大，为了安全和方便管理。小企业的大量出现。,背景,.,企业网络远程接入站点,.,5.1小型企业网组网需求,.,小型企业网络组网需求分析,业务类型Internet业务企业内部业务IP通信业务流量访问模型本地访问远程访问用户接入需求用户接入数量不大（几十个信息点）组网原则一般可靠性性价比,.,小型企业网络组网方案,网络拓扑：一层模型的星型结构，通过级联交换机来扩展网络接入容量。接入交换机连接用户信息点和边界路由器。设备：接入交换机：Cisco29XX系列，边界路由器：Cisco1800/2800系列链路：快速以太网技术技术：VLAN、Trunk、VTP，单臂路由,.,5.2局域网业务隔离,.,业务隔离的必要性,技术需要交换机替代HUB减小了冲突域二层交换机不能阻隔广播域二层交换网络规模越大，广播危害也严重路由器可以阻隔广播，但是会成为性能瓶颈业务接入需要按照部门分组接入业务安全需要将特殊流量与一般流量分开用户接入灵活、易扩展交换机业务隔离技术VLAN,.,广播域可以跨网段，而冲突域只是发生的同一个网段的。,冲突域：在同一个冲突域中的每一个节点都能收到所有被发送的帧广播域：网络中能接收任一设备发出的广播帧的所有设备的集合,冲突域是基于第一层（物理层）而广播域是机于第二层（数据链路层）,HUB所有端口都在同一个广播域、冲突域内。Swith所有端口都在同一个广播域内，而每一个端口就是一个冲突域。,.,LAN与VLAN,一台物理交换机在逻辑上分割成若干台虚拟交换机,LANLAN是指相同广播域内的所有设备，这些设备可以发送广播帧，而相同LAN内的所有其他设备都可以获得该广播帧的一份拷贝。二层交换机默认时，所有端口都属于相同LANVLAN交换机创建的广播域VLAN相当于一个逻辑上的网桥VLAN直接二层隔离交换机默认所有端口属于VLAN1VLAN间通信必须经过三层设备,.,网络设备的域,.,冲突域与广播域,广播域指接收同样广播消息的节点的集合，如：在该集合中的任何一个节点传输一个广播帧，则所有其他能收到这个帧的节点都被认为是该广播帧的一部分交换机分割冲突域，但是不分割广播域，即交换机的所有端口属于同一个广播域,.,广播域,广播域,冲突域,冲突域,广播,.,VLAN分割广播域,广播域,广播,VLAN1,VLAN2,广播域,.,VLAN规划,VLAN划分原则按业务划分（VoIP）按部门划分按广播域大小划分按网络物理位置划分VLAN划分方法根据端口划分VLAN根据MAC地址划分VLAN根据用户认证授权划分VLANVLAN与IP子网一一对应管理VLAN划分,.,基于端口划分的静态VLAN,主机A,主机B,主机C,主机D,以太网交换机,VLAN表,端口,所属VLAN,Port1,VLAN5,Port2,VLAN10,Port7,VLAN5,Port10,VLAN10,Port1,Port2,Port7,Port10,.,基于MAC地址划分的动态VLAN,VLAN表,MAC地址,所属VLAN,MACD,VLAN10,VLAN5,VLAN10,VLAN5,主机A,主机B,主机C,主机D,以太网交换机,MACA,MACB,MACC,MACD,VMPS服务器（vlan管理策略服务器）,当主机发送数据帧，交换机查看了数据帧的源MAC地址后，才能判断主机属于哪个VLAN,当一个帧到达动态端口时，交换机根据帧的源地址查询VMPS，获取相应的VLAN分配,.,Cisco交换机上静态VLAN的配置,配置VLAN的步骤创建VLAN将端口加入到相应的VLAN中验证,.,创建VLAN,创建VLAN有以下2种方法在全局配置模式下创建VLAN进入VLAN数据库中创建VLAN,.,在全局配置模式下创建VLAN,Switch(config)#vlanvlan-idSwitch(config-vlan)#namevlan-name,添加一个VLAN,给VLAN命名，此命令可选,.,进入VLAN数据库创建VLAN,Switch#vlandatabaseSwitch(vlan)#vlan2VLAN2added:Name:VLAN0002Switch(vlan)#exitAPPLYcompleted.Exiting.,进入VLANdatabase,添加VLAN2,如果不给VLAN指定名称，交换机自动添加VLAN2的名称为默认的VLAN0002,保存退出,.,删除已创建的VLAN,Switch#vlandatabaseSwitch(vlan)#novlan2DeletingVLAN2.或：Switch(config)#novlan2,如果配置错误，或配置修改，需要删除VLAN时。需要注意的是：确定这个VLAN中不包含任何的端口,.,将端口加入VLAN,Switch(config)#interfacef0/1Switch(config-if)#switchportaccessvlanvlan-idSwitch(config-if)#noswitchportaccessvlanvlan-id也可以同时将多个端口添加到某个VLAN中：Switch(config)#interfacerangef0/110Switch(config-if-range)#switchportaccessvlanvlan-id,进入接口配置模式,将接口添加到某个VLAN中,将接口从某个VLAN中删除,.,验证VLAN的配置,Switch#showvlanbriefSwitch#showvlanidvlan-id,查看所有VLAN的摘要信息,查看指定VLAN的信息,.,VLAN配置实例,Switch#vlandatabaseSwitch(vlan)#vlan2namev2VLAN2added:Name:v2Switch(vlan)#exitAPPLYcompleted.Exiting.Switch#configterminalSwitch(config)#interfacerangef0/5-10Switch(config-if-range)#switchportaccessvlan2,.,查看VLAN配置,Switch#showvlanbriefVLANNameStatusPorts-1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4Fa0/11,Fa0/12,Fa0/13,Fa0/14Fa0/15,Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21,Fa0/22Fa0/23,Fa0/242v2activeFa0/5,Fa0/6,Fa0/7,Fa0/8Fa0/9,Fa0/101002fddi-defaultactive1003token-ring-defaultactive1004fddinet-defaultactive1005trnet-defaultactive,.,5.3跨越交换机部署VLAN,.,跨越多个交换机的VLAN,.,VLAN标识,交换机给每个去往其他交换机的数据帧打上VLAN标识,VLAN1,VLAN2,VLAN3,VLAN1,VLAN2,VLAN3,中继链路（Trunk）,接入链路（Access）,VLAN1标记,VLAN3标记,.,Trunk与Access端口,Trunk端口一条物理链路同时承载多个VLAN的数据默认时属于所有VLAN必须100M以上端口连接交换机-交换机，交换机-路由器，交换机-服务器Access端口仅属于某个特定VLAN连接交换机-终端，交换机-路由器，交换机-服务器,.,Trunk与Access端口（续）,.,VLAN中继Trunk,Trunk的封装格式：ISL、dot1QISL是Cisco专用的标准。在以太网报文中增加了26byte作为VLANtag.Dot1Q是IEEE制订的标准802.1Q，几乎所有的厂商设备都支持。在以太网报文中增加了4byte作为VLANtag.802.1Q标签帧比ISL标签帧包含更少的域，因为它是在标准以太网帧中插入4个字节的tag帧而不是放入标签头部信息。,.,IEEE802.1Q的工作原理和帧格式21,中继链路,接入链路,802.1Q标记4字节,.,dot1Q封装格式,标准以太网帧,TCI,带有IEEE802.1Q标记的以太网帧,IEEE802.1Q的帧格式,.,dot1Q封装格式,标记协议标识符（TPID）是被全局分配的。定义值为0 x8100，表明一个帧是802.1QVLAN数据帧。标记控制信息（TCI）用户优先级（priority）：该域用来标记帧穿过交换机时携带用户优先级信息，主要是802.1p使用（qos里面有介绍）。其长度为3，取值从0-7。规范格式指示器（CFI）：cfi值为0说明是规范格式，如运行802.3数据帧，为1说明是非规范格式（用在令牌环/FDDI介质访问方法中）。其长度为1。VLANID：标识帧所属的VLAN，其长度为12，可以标识4096个VLAN从04095。,.,CiscoISL工作原理和帧格式31,中继链路,VLAN2,接入链路,ISL头26字节,CRC4字节,.,CiscoISL工作原理和帧格式32,26字节ISL头,4字节ISL尾,.,.,dot1QTrunk特性,tag和untag在trunk中，有两情形的数据，打上VLANtag和没有VLANtag（untag）的数据。Tag数据:需要在trunk中透传的数据带有VLANtag，在不同交换机中相同vlantag的数据即是同一个VLAN。Untag数据：在trunk中，untag数据不带VLANtag，交换机从trunk上发送nativevlan的数据时，将数据以untag方式发送到trunk。nativeVLANNativevlan就是本地VLAN，交换机上每个端口都有一个Nativevlan。在Cisco交换机和华为交换机上默认nativeVLAN为VLAN1。,.,Trunk端口配置方法,DTP自动协商自动协商由DTP协议管理自动协商的端口都属于同一VTP域switchportmodedynamicautoswitchportmodedynamicdesirableswitchportmodetrunkAccess端口禁止DTP协商，禁止Trunk，将端口设置为终端接入模式switchportmodeaccess禁止DTP，强制设置TrunkswitchportnonegotiateTrunk封装类型switchporttrunkencapsulationislswitchporttrunkencapsulationdot1qswitchporttrunkencapsulationnegotiate,.,以上能自动协商成Trunk的模式有如下几种组合：On-onon-autoon-desirabledesirable-desirabledesirable-auto,因此，在实际工程中建议采用手工配置方式来配置Trunk,DTP的工作模式,.,查看接口模式,Switch#showinterfaceinterface-idswitchportName:Fax/xSwitchport:EnabledAdministrativeMode:dynamicdesirableOperationalMode:downAdministrativeTrunkingEncapsulation:dot1qNegotiationofTrunking:OnAccessModeVLAN:1(default)TrunkingNativeModeVLAN:1(default)VoiceVLAN:noneAdministrativeprivate-vlanhost-association:noneAdministrativeprivate-vlanmapping:noneOperationalprivate-vlan:noneTrunkingVLANsEnabled:ALLPruningVLANsEnabled:2-1001CaptureModeDisabledCaptureVLANsAllowed:ALL,接口模式缺省为dynamicdesirable,封装类型为802.1q,.,配置VLANTrunk,VLAN1,VLAN2,VLAN3,VLAN1,VLAN2,VLAN3,Port13,Port410,Port1123,Port24,Port24,SW1,.,配置VLANTrunk41,第一步：在交换机上添加VLANSW1#vlandatabaseSW1(vlan)#vlan2VLAN2added:Name:VLAN0002SW1(vlan)#vlan3VLAN3added:Name:VLAN0003SW1(vlan)#exitAPPLYcompleted.Exiting.,.,配置VLANTrunk42,第二步：将接口添加到相应的VLAN中SW1#configterminalSW1(config)#interfacerangef0/4-10SW1(config-if-range)#switchportaccessvlan2SW1(config)#interfacerangef0/11-23SW1(config-if-range)#switchportaccessvlan3,.,配置VLANTrunk43,第三步：配置交换机之间互联的端口为TrunkSW1(config)#interfacef0/24SW1(config-if)#switchportmodetrunk,.,查看端口状态,SW1#showinterfacef0/24switchportName:Fa0/24Switchport:EnabledAdministrativeMode:trunkOperationalMode:trunkAdministrativeTrunkingEncapsulation:dot1qOperationalTrunkingEncapsulation:dot1qNegotiationofTrunking:OnAccessModeVLAN:1(default)TrunkingNativeModeVLAN:1(default)VoiceVLAN:noneAdministrativeprivate-vlanhost-association:noneAdministrativeprivate-vlanmapping:noneOperationalprivate-vlan:noneTrunkingVLANsEnabled:ALLPruningVLANsEnabled:2-1001CaptureModeDisabledCaptureVLANsAllowed:ALL,接口模式配置为Trunk,接口工作模式为Trunk,Trunk协议类型为802.1q,Trunk可以承载所有的VLAN,.,从Trunk中添加、删除Vlan,去除VLANSwitch(config-if)#switchporttrunkallowedvlanremovevlan-list添加VLANSwitch(config-if)#switchporttrunkallowedvlanaddvlan-list检查中继端口允许VLAN的列表Switch#showinterfaceinterface-idswitchport,.48/52,从Trunk中删除Vlan配置实例,SW1(config-if)#switchporttrunkallowedvlanremove2SW1(config-if)#endSW1#showinterfacef0/24switchportName:Fa0/24Switchport:EnabledAdministrativeMode:trunkOperationalMode:trunkAdministrativeTrunkingEncapsulation:dot1qOperationalTrunkingEncapsulation:dot1qNegotiationofTrunking:OnAccessModeVLAN:1(default)TrunkingNativeModeVLAN:1(default)VoiceVLAN:noneAdministrativeprivate-vlanhost-association:noneAdministrativeprivate-vlanmapping:noneOperationalprivate-vlan:noneTrunkingVLANsEnabled:1,3-1005PruningVLANsEnabled:2-1001CaptureModeDisabled,VALN2已经被移除，此时，连接在SW1上的VLAN2的主机与连接在SW2上的VLAN2的主机之间不能通,.,5.4VLAN间单臂路由,.,VLAN间路由,不同VLAN三层互访需求二层隔离：不同VLAN二层隔离，在企业网中，一般将部门/业务划分多个VLAN，服务器组有独立的VLAN。三层互访需求：处在各个部门（各个VLAN）的企业员工存在互访需求，各个部门需要访问服务器。这些VLAN之间的互访需要经过三层进行互通。VLAN间路由方法：单臂路由、三层交换单臂路由：在交换机上直接挂接路由器，也称之为旁挂路由器。三层交换：交换机集成路由引擎，具备三层路由功能。,.,单臂路由,单臂路由组网结构链路上VLAN中继：dot1QTrunk交换机与路由器相连的接口配置为Trunk路由器配置子接口：封装dot1QTrunk,Vlan2的access接口,vlan2,vlan3,FE0,Dot1qTrunk接口，每个VLAN一个子接口，子接口封装do1q,Vlan3的access接口,Dot1qTrunk接口，透传需要三层互通的VLAN,TRUNK,.,单臂路由转发原理,tagVLAN间转发交换机将数据打上各自的VLANtag（将除nativeVLAN之外）发送到路由器，路由器接口收到数据后剥离vlantag进行路由选择，然后从接口上打上另一个VLANtag发送给交换机。交换机接口nativeVLAN与路由器主接口互通Nativevlan在trunk上不带tag交换机接口nativeVLAN与路由器封装dot1QnativeVLAN的子接口互通。主接口、封装dot1QnativeVLAN的子接口只能配置一个。,.,单臂路由转发原理,Vlan2的access接口,Vlan3的access接口,FE0.2Vlan2的网关,FE0.3Vlan3的网关,vlan2,vlan3,TRUNK,FE0,.,单臂路由配置,配置交换机接口Trunk并封装dot1QSwitch(config-if)#interfceFastethernet0/1Switch(config-if)#switchportmodetrunkSwitch(config-if)#switchporttrunkencapsulationdot1Q(可选)Switch(config-if)#switchporttrunkallowedvlanadd23（可选）配置路由器子接口配置路由器子接口封装dot1QvlanID配置路由器子接口IP地址Router(config)#intf0/0.2Router(config-subif)#encapsulationdot1Q2Router(config-subif)#ipaddress192.168.20.1255.255.255.0Router(config)#intf0/0.3Router(config-subif)#encapsulationdot1Q3Router(config-subif)#ipaddress192.168.30.1255.255.255.0可选配置：配置路由器主接口IP地址Switch(config-if)#interfceFastethernet0/1Switch(config-if)#noshut,.,单臂路由配置,可选配置：配置路由器dot1QnativeVLAN的子接口Router(config)#intf0/0.10Router(config-subif)#encapsulationdot1Q10native查看接口状态Router#Showrunintef0/0.2Router#showintef0/0Rou