网络设备集成技术方案模板.doc

资源描述

北京画中画印刷有限公司网络设备集成技术方案北京同迈科技有限公司 2010-10-26 北京画中画印刷有限公司网络设备集成技术方案目录第 1 章概述 4 第 2 章网络总体建设目标 5 2.1 网络总体目标 5 2.2 设计原则 5 2.2.1 先进性： 5 2.2.2 可靠性、稳定性： 5 2.2.3 实用性： 5 2.2.4 合理性： 5 2.2.5 安全性： 6 2.2.6 可扩展性： 6 2.3 设计依据 6 第 3 章网络设计技术选型 7 3.1 网络设计的技术需求 7 3.1.1 核心层网络承载能力 7 3.1.2 汇聚层节点承载能力 7 3.1.3 接入层节点接入能力 8 3.1.4 通信协议的支持 8 3.1.5 网络管理与安全体系 8 3.2 设备选型考虑 8 3.3 网络产品选型 9 3.4 网络技术选型设计 10 3.4.1 介质拥挤问题 10 3.4.2 协议拥挤问题 11 3.4.3 骨干拥挤问题 12 3.4.4 技术选型总结 13 3.5 VLAN（虚拟局域网）技术简介 13 第 4 章网络方案设计 15 4.1 网络配置 15 4.2 网络拓扑图 15 4.3 网络地址规划 16 4.3.1 IP地址的分配应遵循以下几个原则： 16 4.3.2 IP地址的划分： 16 4.3.3 内部网络地址分配 16 4.4 VLAN的设计 17 4.4.1 VLAN划分 17 4.4.2 VLAN间路由 18 4.5 本地互切技术：STP（生成树协议） 18 4.6 交换机安全技术 19 第 5 章网络设备介绍 20 5.1 CISCO 3800路由器 20 5.4 CISCO 3560系列以太网交换机 23 5.5 CISCO 2918系列以太网交换机…………………………………..25 5.6 CISCO2960系列以太网交换机……………………………………29 北京同迈科技有限公司第 1 章概述计算机网络系统是北京画中画印刷有限公司基础设施的重要组成部分，是以综合布线为基础的现代化的网络系统，本次设计中实现的是有线网络。本系统主要是以综合布线为基础，为有线网络及其他网络提供基础服务的。整个网络的建设将为北京画中画印刷有限公司的数据、语音、视频的综合应用构建完善的基础传输平台。北京画中画印刷有限公司的计算机网络系统应建设成为一套现代化的计算机系统，使北京画中画印刷有限公司工作人员能享有其应有的信息资源（包括数据、文本、语音、图像、视像等）。将OA等系统进行有机的结合并且实现内部办公自动化的应用和信息的发布、公共设备管理、视频数据的传输、软件硬件资源共享、物业管理系统的运行以及内外部网站的建设等功能。同时实现INTERNET接入，建立与外部信息资源的互通。真正实现一个安全、方便、舒适、通讯快捷的智能化工作环境。第 2 章网络总体建设目标 2.1 网络总体目标北京画中画印刷有限公司的网络结构要求采用交换式宽带千兆网，保证骨干节点之间千兆的传输速度，到桌面速率为100M以上。要求实现网络流量隔离和控制以及网络安全的需求。网络设备要考虑核心交换机、接入交换机等。要求计算机网络系统满足本次系统集成的网络平台需求，并考虑未来几年的系统扩展。 2.2 设计原则 2.2.1 先进性：采用国际上先进而成熟的网络技术产品，服务器产品及其完善的应用软件系统，保证信息系统的通信速度，适应大量的数据和多媒体信息传输、处理、交换的需要，应有一定的扩充与发展空间，使整个网络系统具有较强的生命力。保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为网络业务开展的瓶颈。 2.2.2 可靠性、稳定性：计算机网络作为办公楼的基础设施，稳定性和可靠性、安全性是网络建设的非常重要的指标。在设计方案中，在充分体现方案技术先进性的同时，并能保证技术的成熟性。在网络设备及结构等方面均应达到国际和国家相应的标准指标和要求，并满足需要。 2.2.3 实用性：计算机网络建设强调网络系统与网络应用并重，先进实用，具有较强的可操作性；易于管理维护、便于扩充发展。支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于保证与其它网络(如公共数据网、互联网)之间的平滑连接互通，以及将来网络的扩展。 2.2.4 合理性：网络建设必须考虑技术与经济上的合理性，应具有较高的性能价格比。必须考虑网络系统在全寿命期内的全部建设维持费用的合理及可承受性。 2.2.5 安全性：所有设备的选型以及操作系统、应用软件系统的选择应该满足防止设备损坏、数据和其他资源的丢失和破坏，防止对网络的非授权使用。 2.2.6 可扩展性：在网络设计中还应考虑网络今后的扩充能力，所采用的设备应全部为生产厂家的主流产品，使今后网络节点的增加、向一些新技术的过渡能平滑进行，不会对现有网络结构作重大调整或是淘汰已有的设备，最大程度保证用户的投资回报率。 2.3 设计依据相关专业的设计应符合国家现行设计规范，并参考地方相应规范包括： u 国际标准协会的ISO 11081设计规范 u ITU-T国际电联联盟 – 电信标准委员会 u IEEE802.3、IEEE802.3u、IEEE802.3ab、IEEE802.3z以太网标准 u 国际电子产品标准协会的IEEE568A设计规范 u 中华人民共和国建设部《智能建筑设计标准》 u 中华人民共和国安全部《计算机网络安全条例》 u 《中华人民共和国计算机信息网络国际联网管理暂行规定》 u 《智能建筑设计标准》GB／T50314-2000 u 《民用建筑电气设计规范》JGJ／T16-92 第 3 章网络设计技术选型北京画中画印刷有限公司网络系统主要在以下几点作重点说明：总体网络技术选型设计、网络产品选型、千兆以太网关键技术分析，骨干网络设计、VLAN技术设计等。 3.1 网络设计的技术需求整个网络在技术上定位为IP优化传输网络，以双绞线为主要传输介质，以IP为主要通信协议。IP优化包括如下几个要素：网络结构：网络体系结构以IP为设计基础，体现在网络层的层次化体系结构，可以减少对传统传输体系的依赖。 IP包转发的优化：适合大型、高速、高带宽网络和下一代因特网的特征，提供高速路由查找和包转发机制。带宽优化：在合理的QoS控制下，最大限度的利用传输介质的带宽。稳定性优化：最大限度的利用网络设备在故障恢复方面快速切换的能力，快速恢复网络连接，避免路由表颤动引起的整网震荡，提供符合高速、高带宽网络要求的可靠性和稳定性。下面从核心层、接入层、可靠性、通信协议、网管与安全等方面论述北京画中画印刷有限公司网络的技术要求。 3.1.1 核心层网络承载能力核心设备的无阻塞交换容量具备足够的能力满足高速端口之间的无丢包线速交换。核心设备的交换模块或接口模块应提供足够的缓存和拥塞控制机制，避免前向拥塞时的丢包。核心层设备实现的关键是：高速、冗余。 3.1.2 汇聚层节点承载能力汇聚层设备的无阻塞交换容量具备足够的能力满足高速端口之间的无丢包线速交换。汇聚层设备提供千兆端口上联核心层，下联接入层设备。由于是接入层设备的合并点，同时也就是物理位置的合并点，即流量的合并点，所以汇聚层设备可能存在瓶颈，故而需要实现更好的QOS（服务质量）机制。同时，由于需要实现不同VLAN之间的路由选择，所以汇聚层设备也需要支持路由功能。 3.1.3 接入层节点接入能力接入层结点是具有交换结构的交换机，与核心交换机采用1G速率连接。接入层结点向下与接入层设备高速互联。接入层结点具有百兆位端口具有充分的扩展能力。接入层结点设备具备充分的线速交换能力。接入层设备体现的是用户的入口点。 3.1.4 通信协议的支持可路由协议以支持TCP/IP协议为主。支持OSPF、IS-IS等多种国际标准的路由协议。支持BGPV4等标准的域间路由协议，保证与其他IP网络的可靠互联。 3.1.5 网络管理与安全体系支持整个网络系统各种网络设备的统一网络管理。支持故障管理、记帐管理、配置管理、性能管理和安全管理五大功能。网络设备支持多级管理权限，支持RADIUS、TACACS+等认证机制。支持安全监控和控制机制，当发现存在安全漏洞和遭到攻击时，应及时通知网络管理人员，并应自动采取适当的措施予以保护。 3.2 设备选型考虑网络系统硬件平台是整个工程的物理基础，设备选型是一个重要而关键的问题。根据我们的工程经验和专家的意见，我们根据以下标准选择厂商： 1) 设备性能价格比设备的性能价格比是选型决策的重要考虑因素。 2) 售后服务售后服务包括如下内容：设备的保修期；是否在中国有备件库，这样一旦发生硬件故障时可以及时得到更换；是否提供ONLINE服务，以便与原制造厂商及时取得联系，获得技术咨询和支持；故障报告的响应时间。 3) 公司的经济、技术实力和市场占有率，这一定程度上反映了该设备的信誉。 4) 设备的技术先进性，这是选型的首要考虑因素。 5) 设备对未来新技术的适应能力，反映设备的可扩展性，这是保护用户投资的一种策略。 6) 设备的技术性能指标。 7) 设备使用的方便程度，这体现设备的可维护性。 8) 设备在大型网络中的应用情况，它反映设备的适应性和可靠性。 9) 网络管理系统的集成性、开放性和功能，它反映网络管理系统是否能对网络作全面深入的管理，以及它对异构网络的适应能力。 10) 设备的标准化程度和可扩充性，反映对网络规模扩展的适应能力。 11) 是否对行业有长期稳定的优惠政策。 12) 交货期的时限和信用，这对工程能否如期完成有重大影响。 13) 系统软件的升级条件是否优惠。 14) 差错的检测与隔离能力，这是网络可靠性的重要保证。 15) 手册与培训，反映用户能否较快地掌握设备的使用。 3.3 网络产品选型网络产品选型目前在世界上，提供网络设备的厂商有多家，在国际国内占市场大份额的国外公司有主要有三家，这也是我们进行选择的主要厂家： Cisco公司 Nortel公司 3com公司 H3C 国内厂家有：深圳华为中兴通讯联想从产品选型上来讲，此项目中主要选用的是H3C的系列网络设备。网络中心交换机与楼层交换、边缘交换机系统我们选用全套H3C公司的系列产品。之所以选用该公司该系列的产品，主要是因为H3C公司是目前在世界上领先的网络设备制造厂商，它提供的软、硬件无论从技术上或是服务上都是可靠、可信和领先的。而且由于H3C在网络界的地位，其它各大厂商的设备均与H3C的设备兼容，因此H3C网络的兼容性和可扩充性都是非常良好的。世界上各主要金融、邮电、甚至军事等网络需求十分高的机构都选用H3C公司产品。根据我们经过几种世界知名的网络产品在主交换机上的性能比较，不论何种指标H3C的产品在同档次的交换机中处于领先地位。我们也本着实事求是的原则推荐这种世界著名品牌。核心交换、接入层交换均选用H3C的设备。 3.4 网络技术选型设计网络的设计、实施、扩容时都会面临着以下三个问题，尤其是一个大型网络以下问题尤为突出。这就是：介质拥挤问题；协议拥挤问题和骨干拥挤问题。为了保证网络应用水平能充分适应当今日新月异的网络应用、多媒体应用需求，并满足未来几年的网络升级及扩容需求，则首先应该解决好以上三个问题。 3.4.1 介质拥挤问题由于以太网所采用的CSMA/CD技术本身的原因，有可能整个以太网为一个碰撞域，该网络上的每一台机器在发送信息帧之前会对网络进行侦听，如网络已被其它工作站所占用，则其会随机等待一段时间后，再进行侦听，如网络空闲，则进行信息发送，如网络仍然繁忙，则其继续重复侦听过程。如果多个站点同时在网络上进行传输，则会产生碰撞，这时各站点则会向网络上发送“Jam”包，以强化这种碰撞结果，以便网上的所有站点都能侦听到网络碰撞。同时这些站点随机等待一段时间后又进入下一轮尝试。由此可见，当网络上有碰撞时会造成网络的巨大浪费。例如，针对10M以太网，网络上仅有2个冲突的节点，当网络利用率为100%时，以太网的流通量最大可达7Mbps。而当同一以太网上有200个冲突节点时，则网络利用率的上限为37%，而实际网络的流通量仅为2.5Mbps。所以对于一个大部门来说共享式的以太网介质已经成为了通信的瓶颈。这种介质拥挤问题可以通过桥接的方式来进行解决。通过二层的桥接器的连接，可以通过对信息帧目标地址（MAC地址）的识别对信息帧进行过滤，从而把一个大的碰撞域划分为一个一个的小的碰撞域减小网络的介质碰撞，即对网络进行微网段化。局域网交换机就好象是多口的高速网桥，它可以具有网桥的所有或部分的功能，另外它还带有CPU及高速底板，能提供并行的高速交换通道，根据不同产品可分为存贮转发式、直通式等交换方式。这样，在任一时刻多个数据流域就可通过同一台以太网交换机进行数据交互，而相互之间没有影响。而不象传统以太网那样，在任一时刻在同一以太网上只有一个数据流能进行传送。所以通过交换机的快速桥接功能使以往的一个大的共享网段变成了一个个小的独享网段，从而保证了每个小的独享网段能获得足够的带宽，从而解决网络的介质拥挤问题。随着现在芯片生产技术的进一步发展，产品规模化生产的进一步发展，交换机将逐渐在集线间内取代HUB的位置。 3.4.2 协议拥挤问题广播在网络中是一种必不可少的信息流量，很多协议都是运用广播来进行路由的发现或进行服务信息广播。如：IP的站点使用ARP来发现目的地的MAC地址，NOVELL服务器使用SAP来进行服务广播，Appletalk运行ZIP（Zone Information Protocal）在网络中传递路由信息。此外，诸如网络管理也是通过SNMP（Simple Network Management Protocol）对网络上的设备进行询问而完成的。网络上的广播流量将会影响到网络上的每一台机器的运作。当广播到达时，网络上的每一台站点都会花费一定的CPU时间对其进行处理。当网络上的广播特别多，产生广播辐射或广播风暴时，网络广播将严重影响到网络上工作站的CPU性能，严重时甚至会造成整个网络的瘫痪。根据测试，当网络广播为100个/秒时，一台运行Solaris 2.4操作系统的Sun SPARC5工作站将丢失3%的CPU性能，而当广播增加到1000个/秒时，CPU将损失10%的性能，而当广播增多到3000个/秒时CPU将损失28%性能。为了解决上述协议上的广播拥挤问题，我们可采用VLAN技术和第三层交换技术。VLAN可把一个大的IP（或IPX、DEC NET等）网络划分为一个个小的逻辑IP子网。不同的IP子网采用第三层交换进行联接。这样，交换机不但能起到最佳路径的选择功能，同时还能对广播进行隔离，每个子网即为一个广播域，从而可对广播辐射和广播风暴进行有效控制。此外交换机还能进行流量管理、过滤、安全控制和介质转换等功能。VLAN能防止某些网段发生的问题危及其它网段，起到网段间“防火墙”的作用。 3.4.3 骨干拥挤问题随着计算机技术的发展，计算机运用也发生了日新月异的变化，从纯数据业务到OA系统与生产业务的结合，现在IP/TV、VOD、远程教学、可视电话等多媒体技术等越来越多的网上运用对网络的带宽产生了巨大要求，一个MPEG-1图象传输需要1.2~2.0Mbps,而一个MPEG-2则需要4-6Mbps的带宽。网络的传输能力，尤其是网络骨干的传输能力就成为了组网的关键问题所在。目前主要的高速网络传输技术主要有FastEthernet、千兆以太网和ATM等。千兆位以太网技术以简单的以太网技术为基础，为网络主干提供1Gbps的带宽。千兆位以太网技术以自然的方法来升级现有的以太网络、工作站、管理工具和管理人员的技能。千兆位以太网与其他速度相当的高速网络技术相比，价格低，同时比较简单，例如保留以太网的帧格式、管理工具和对网络概念上的认识。千兆位以太网同样采用CSMA／CD协议，相同的帧格式和长度，就象10M以太网一样。对于广大用户来说，这意味着他们的网络投资可以得到保护，并且可以以较低的成本使原有的网络升级到1Gbps而无需对用户进行再培训，也无需为额外的网络协议进行投资。由于有这样的特点和兼有支持全双工操作的能力，千兆位以太网是局域网中10／100M交换机之间的理想主干，高性能服务器群的理想连接方法，为高性能工作站提供10倍于100Mbps的带宽。千兆位以太网能够提供更高的带宽，并且成为有强大伸缩性的以太网家族的第三个成员。利用交换机或路由器可以与现有低速的以太网用户和设备连接起来，因为千兆位以太网的帧格式与现有以太网技术相同，不需要对网络做任何改变。这种升级方法使得千兆位以太网相对于其他高速网络技术而言，在经济和管理性能方面都是较好的选择。　　在Intranet应用中，有很多新的应用需求不断出现，包括视频和音频。以前人们认为这些对时延要求高的应用只有在ATM这样的网络上才能实现，然而现在一些新技术（交换技术、视频压缩技术，如MPEG－2）、新协议（RTP、RTCP、RSVP等）和新标准（如802.1Q、802.1p等）的出现使得在局域网中千兆位以太网也可以较好地支持视频和音频等多媒体数据应用。　　千兆位以太网的设计非常灵活，几乎对网络结构没有限制，可以是交换式、共享式的或基于路由器的。现在正在应用的网络互连技术，例如，特定IP交换技术和第三层的交换技术，都与千兆位以太网完全兼容。千兆位以太网可以通过共享集线器、交换机或路由器来实现。千兆位以太网支持新的交换机之间或交换机－工作站之间全双工的连接模式，同时也支持半双工连接模式以便与基于CSMA／CD存取方式的共享集线器连接。千兆位以太网使用的传输介质有光纤、5类非屏蔽双绞线（UTP）或同轴电缆。 IEEE802.3Z千兆位以太网任务小组在其主席CISCO公司的HowardFrazier先生的带领下，已经于1998年6月25日通过了千兆以太网的最终标准802.3Z，这一标准将成为所有千兆位以太网设备厂商共同遵守的基本标准。 3.4.4 技术选型总结综上所述，在网络建设中所需要解决的3个问题则分别可由：交换技术、VLAN和第三层交换技术解决。对于北京画中画印刷有限公司我们建议采用千兆以太网交换技术作为其骨干，采用交换快速以太网技术作为接入层，以充分适应其目前及将来业务系统、OA系统及多媒体运用的需求，并降低投资规模，实现最高的性能价格比。 3.5 VLAN（虚拟局域网）技术简介虚拟局域网技术是近年来在计算机网络领域兴起的一项新的技术。虚拟局域网在逻辑上等于OSI七层模型上第二层的广播域，它与具体的物理网及地理位置无关。在传统的共享局域网或者交换局域网环境中，整个网络处于同一个广播域中（即所谓的同一个LAN），这样当大量用户发送广播信息时容易形成广播风暴，使得整个网络瘫痪。虚拟网技术把传统的广播域按需要分割成各个独立的广播域（LAN），由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。在传统的网络技术中，网内用户的移动、删除或增加都需要在物理上对网络设备进行设置。而在虚拟网环境中，网络用户的变更不需要重新对网络设备进行设置，也就是说虚拟网技术具有自适应功能。我们可以利用虚拟网技术的这些特点将不同的部门或不同的应用系统分配于不同的VLAN之中，实现不同部门或不同应用系统的逻辑隔离。在传统的网络技术中，同一物理网段中的用户在网络层上很难实施安全措施，而在虚拟网络环境中，不同的虚拟网络间用户之间的通信控制则可以做到。虚拟网间的安全与虚拟网间的通信方式有关，由于虚拟网间通信是通过路由实现的，路由器使得通信双方不能直接连接，而路由器的包过滤或防火墙的功能可被用来对不同虚拟局域网间用户的通信做逐项检查，通信可以按照网络管理人员的要求被允许或禁止，从而实现不同部门或不同应用系统间的访问控制，提高了网络的安全性。（网络内部访问的安全性）第 4 章网络方案设计 4.1 网络配置北京画中画印刷有限公司计算机网络采用三级网络结构，以满足主干带宽千兆、桌面接入达到10/100M的要求。内部网选用两台H3C S7506R 路由交换机作为核心交换机， H3C3600作为接入层交换机。这种拓扑结构的优点在于：网络结构简明，将数据所流经的网络环节降至最低，提高网络的访问速度，确保系统安全、有序、协调运行。 4.2 网络拓扑图 4.3 网络地址规划 H3C 支持IPv4和IPv6地址，可根据用户数量，以方便网络的路由管理，规划地址时一定要为将来的发展留有余地。 4.3.1 IP地址的分配应遵循以下几个原则：唯一性：一个IP网络中不能有两个主机采用相同的IP地址简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项连续性：连续地址在层次结构网络中易于进行路径叠合 ( Route Summarization)，大大缩减路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术(VLSM ¾ Variable-Length Subnet Mask) ，以满足多种路由策略的优化，充分利用地址空间。 4.3.2 IP地址的划分： IP地址的选择方面：方案中我们建议使用保留地址作为IP地址段：在IEEE的标准中共有三段地址为私有地址，他们是：10.0.0.0 ~ 10.255.255.255、 172.16.0.0 ~ 172.31.255.255、192.168.0.0 ~ 192.168.255.255,由于这些地址的地址范围较大可以满足大型城域网IP地址分配的需要、这些地址为保留地址是在Internet上不能使用的所以安全性较好，我们的地址分配方案选用了192.168.0.0 ~ 192.168.255.255这个网段。在防火墙上配置NAT，完成内部地址与外部地址的翻译。 4.3.3 内部网络地址分配地址分配有两种方法，分别是静态指定和动态获取。静态指定的缺点是网络管理开销大、容易产生地址冲突。故而推荐用动态获取的方式。当前动态获取的技术主要是DHCP（动态主机配置协议），可以用Windows Server 2003实现DHCP服务器，也可以用多层交换机实现。下面简单介绍该技术。 DHCP “动态主机配置协议 (DHCP)”是一种用于简化主机 IP 配置管理的 IP 标准。通过采用 DHCP 标准，可以使用 DHCP 服务器为网络上启用了 DHCP 的客户端管理动态 IP 地址分配和其他相关配置细节。 TCP/IP 网络上的每台计算机都必须有唯一的 IP 地址。IP 地址（以及与之相关的子网掩码）标识主机及其连接的子网。在将计算机移动到不同的子网时，必须更改 IP 地址。DHCP 允许您通过本地网络上的 DHCP 服务器 IP 地址数据库为客户端动态指派 IP 地址。对于基于 TCP/IP 的网络，DHCP 降低了重新配置计算机的难度，减少了涉及的管理工作量。 DHCP 为管理基于 TCP/IP 的网络提供了以下好处： l 安全而可靠的配置 DHCP 避免了由于需要手动在每个计算机上键入值而引起的配置错误。DHCP 还有助于防止由于在网络上配置新的计算机时重新使用以前已分配的 IP 地址而引起的地址冲突。 l 减少配置管理使用 DHCP 服务器可以大大降低用于配置和重新配置网上计算机的时间。可以配置服务器以在分配地址租约时提供全部的其他配置值。这些值是使用 DHCP 选项分配的。另外，DHCP 租约续订过程还有助于确保客户端计算机配置需要经常更新的情况（如使用移动或便携式计算机频繁更改位置的用户），通过客户端计算机直接与 DHCP 服务器通讯可以高效、自动地进行这些更改。 4.4 VLAN的设计 4.4.1 VLAN划分如果网络是一个平面化的网络设计思路，所有交换机都工作在二层的状态下，整个内部网络处于一个广播域中，内部网络地址的规划也只有一个IP子网。其缺点是广播流量没有被有效的隔离，内部网中的任何一台计算机所发出的广播消息会影响网内的所有计算机。如果广播流量比较大，就会影响网络的性能。因为如果广播流量大，就会产生广播风暴，对计算机网络主要有两个负面影响。第一：严重消耗计算机处理器的资源；第二：严重的浪费带宽。这次网络的主要设计思路是突破平面网络，实现层次化的设计思想。通过VLAN（虚拟局域网）技术的实现，完成广播域的划分。一个VLAN就是一个广播域，一个逻辑子网。实现vlan技术的主要优点有三个，第一：隔离广播，提高网络性能；第二：相对提高网络的安全性（不同vlan之间的用户默认不能相互访问）；第三：实现用户的逻辑分组。在接入层和核心交换机上，我们可以根据业务需求或部门基于端口或MAC地址划分不同的VLAN并使其与IP子网相符合。对于与核心交换机相连接的端口，我们将其设为VLAN的Trunk，这样它将传递所有的VLAN信息和数据给相同VTP域的其它交换机，实现跨主干的VLAN(即不同楼层交换机的端口都属于同一个VLAN)VLAN的Trunking技术可以选802.1Q。通过vlan技术的实现，做到了服务器和客户机的有效隔离，即使客户机将IP地址静态配置为和某台服务器相同，也不会再产生地址冲突的问题了，结果是客户机不能联网。这在没有划分vlan之前是一个比较突出的问题。 4.4.2 VLAN间路由默认的情况下，不同vlan的用户是不能互相访问的。由于我们这次vlan划分的主要目的是为了隔离广播流量，提高网络性能，但是不同vlan的用户还要允许访问，所以要实现vlan间的路由技术。在此我们使用的是SVI（switch virtual interface）技术。在汇聚层交换机上创建SVI接口，为每一个vlan创建一个，地址设置为192.168.x.254/24（x是vlan号），这样在汇聚层交换机上自动生成多条直连路由，由于DHCP给客户端分配的网关地址就是SVI地址，从而所有不同vlan间的用户就可以通讯了。 4.5 本地互切技术：STP（生成树协议）生成树协议（STP）是为克服冗余网络中透明桥接的问题而创建的。STP的目的是通过协商一条到根网桥的无环路路径来避免和消除网络中的环路，它通过判定网络中存在环路的地方并阻断冗余链路来实现这个目的。通过这种方式，它确保到每个目的地都有一个路径，所以永远不会产生桥接环路。如果某条链路失效了，因为根网桥知道还存在着冗于链路，它就会启用它先前关掉的这条冗余链路。这就是说有些端口需要被关闭或置为非转发模式。这些端口仍然知道网络的拓扑结构，并且，如果正在转发数据的链路失效了，它们就可以被启用了。生成树协议执行一种被称为生成树算法（STA）的算法。在一个扩展的局域网中参与STP的所有交换都通过数据消息的交换来获取网络中其他交换机的信息，这些消息被称为桥接协议数据单元（BPDU）。BPDU在每个端口上每两秒发送一次以确保一个稳定的，无环路的拓扑结构。选举根网桥建立无环路生成树的第一步是选举一个根网桥，它是所有交换机用来决定网络中是否存在环路的参考点。在开始启动时，交换机假设它是根网桥并将网桥ID设置为根ID。当选举完根网桥之后，每台交换机必须与根网桥建立关联。这是通过侦听从其各个端口进入的BPDU进行的。如果能在多个端口上接收到同一个BPDU就说明存在着到根网桥的冗余路径。交换机首先查看路径开销以判断出哪个端口正在接收低开销的路径。路径开销是根据链路速率和BPDU从根网桥到达本地端口所经过的链路数量而计算出来的。路径开销由源和目的地之间的链路开销总和确定。如果一个端口有最低的路径开销，它将被置于转发模式，接收BPDU的所有其他端口将被置于阻断模式。如果各端口接收到的BPDU的路径开销相同，那么交换机将查看网桥ID以决定哪个端口应该进行转发，有最低网桥ID的端口将被选为转发端口，所有其他端口将被阻断，如果路径开销和网桥ID都相同，端口ID最低的被转发所有其他端口被阻断。 4.6 交换机安全技术端口安全，可以通过限制允许访问交换机上某个端口的MAC地址以及IP(可选)来实现严格控制对该端口的访问，保证只有合法的用户才能联网。通过动态主机配置协议（DHCP）监听，可只允许不信任用户端口的DHCP请求（但不允许响应）进行传输，从而阻止了DHCP电子欺骗。在DHCP监听功能的基础上，可通过动态ARP检测和IP源防护阻止IP地址欺骗，交换机上的这些功能可以更好的实现网络的安全。第 5 章网络设备介绍 CISCO 3825 适用于需要以下特性的公司 Cisco 3825 集成业务路由器—低密度（最多 88 个端口），集成 10/100 交换；最高 360W 思科馈线电源或以太网供电（PoE）；IPSec 集成板载安全加速，用于改进 IPSec 性能，是思科自防御网络必不可少的组成部分，支持网络设备保护、威胁防御、安全连接和终端保护及控制。Cisco 3825 集成多业务路由器适用于大中型分支机构和企业，能以高达一半 T3/E3的线速支持并发数据、安全、语音和高级服务。产品特性产品特性特性 Cisco 3825 网络模块插槽 2 高级集成模块（AIM）插槽 2 高速广域网接口卡（HWIC）插槽 4 10/100/1000 GE端口 2 小型可插拔（SFP）端口 1 板载 PVDM插槽 4 广域网网络模块有 ATM AIM模块有语音 / 传真网络模块有广域网接口卡（WIC）模块有 Multiﬂex 语音/ 广域网接口卡有语音接口卡（VIC）模块有调制解调器模块有 EtherSwitch模块有，HWIC 和网络模块服务性能最高 14 T1/E1 VPN/ 安全高级集成模块（AIM）有，AIM-VPN/EPII-PLUS 内容引擎网络模块有闪存（外部） 64MB（缺省）－ 256MB（可选） DRAM内存 256MB（缺省）－ 1024MB（最大）电源 AC，AC+POE，DC，外部冗余 AC 规格（高 × 宽 × 长） 3.5 x 17 . 1 x 14.7英寸 CISCO3825 Cisco 3825 集成业务路由器，带 2 个千兆以太网接口，1 SFP，2 NME，4 HWIC，2 AIM， Cisco IOS IP Base软件和交流电源 CISCO3825-AC-IP Cisco 3825 集成业务路由器，带 2 个千兆以太网接口，1 SFP，2 NME，4 HWIC，2 AIM， Cisco IOS IP Base软件，交流电源和 PoE CISCO3825-DC Cisco 3825 集成业务路由器，带 2 个千兆以太网接口，1 SFP，2 NME，4 HWIC，2 AIM， Cisco IOS IP Base软件和直流电源 Cisco Catalyst 3560系列交换机 ● 第二到四层交换和智能服务，支持动态 IP 路由和 IPv6 ● 快速以太网和千兆以太网连接 ● 最多 48 个 10/100/1000端口和 4个小型可插拔（SFP）端口 WS-C3560G-24TS-S Cisco Catalyst 3560G-24 10/100/1000T + 4 SFP标准镜像转发宽带 32（GBPS）每秒分组数 38.7（MPPS）支持MAC地址 12000 支持的路由 11000 板载内存 128/32MB 千兆以太网 4 10/100/1000 密度 24 10/100 密度 0 测得的 100% 吞吐 74 交流 / 直流支持仅限交流规格（高×宽×长） 1. 7 3×1 7. 5× 14.9 英寸（4 . 4×4 4 . 5× 37 .8厘米）设备重量 12 磅 (5.4公斤 ) Cisco Catalyst 2918系列 Cisco Catalyst 2918 系列交换机是面向中国市场中小规模网络部署的入门级固定配置交换机。Catalyst 2918 采用简体中文的设备面板和图形化界面，以特优的性价比，为入门级配线间和小型分支机构提供桌面快速以太网和千兆上行网络连接。Cisco Catalyst 2918 系列通过提供完备的入门级安全策略、服务质量（QoS）和可用性功能，降低了企业网络总体拥有成本。该系列交换机还为中国企业用户提供了从非智能集线器和不可管理的交换机向便于扩展的可管理网络迁移的简便的途径。 Cisco Catalyst 2918交换机提供： WS-C2918-48TT-C 48 个10/100以太网端口 ● 2 个10/100/1000BASE-T 上行端口 ● 1RU 固定配置 ● 两种千兆上行方式：－基于铜缆和光纤双重用途的千兆以太网端口，每个双重用途的上行端口都有一个 10/100/1000 以太网端口和一个基于 SFP 的千兆以太网端口，一次激活一个端口－基于10/100/1000 的铜缆以太网端口 ● 根据用户、端口和MAC 地址提供安全网络准入控制 ● 基于中文图形界面的快速网络配置 ● 使用 Smartports进行自动配置 ● 增强针对链路连接问题的故障排除能力和电缆诊断能力 ● 提供出色服务质量，支持组播服务 ● 有限生命周期硬件保修 ● 免费软件更新 ● Cisco Catalyst 2918-48TT-C：48个 10/100 以太网端口和 2 个 10/100/1000BAST-T上行端口 ● Catalyst 2918-48TT-C：10. 1 Mpps Cisco Catalyst 2918-48TT-C：1.73×17 .5×9.3 英寸（4.4×44.5×23.6 厘米）环境范围工作温度：32 到 113° F（0到 45° C）存储温度：- 13到 158° F（-25到 70° C）工作相对湿度：10 到 85%（非冷凝）工作高度：最高 10000英尺（3049 米）存储高度：最高 15000英尺（4573 米噪音： Cisco Catalyst 2918-48TT-C：40 dBa 平均故障间隔时间 Cisco Catalyst 2918-48TT-C：339,743

展开阅读全文