毕 业 论 文
论文题目 单位组网实施方案设计
摘 要
随着Internet的普及,通过Internet联络其他的计算机事实上比打电话还要方便。企业单位通过局域网(LAN)进入Internet,或使用PPP协议拨通ISP(Internet服务提供商)电话号码进入Internet等等多种方式。
在本方案中,主要是应用路由、交换与远程访问技术对整个单位网进行设计。由四大主要部分构成:交换模块、广域网模块、远程访问模块、服务器群模块。单位网内部数据交换的部署就采用分层进行,数据交换设备划分为访问层,分布层和核心层三个层次,运用了虚拟局域网VLAN,VLAN中继协议VTP设计,异步连接封装协议PPP等主流网络技术。
关键词:局域网 路由 交换 VLAN VTP PPP
目 录
1 绪 论 ................................................................... 1 1.1课题来源 ............................................................... 1 1.2 论文研究思路 .......................................................... 1 1.3 论文的组织结构 ........................................................ 1 2 建网的需求分析 .......................................................... 3 2.1.路由、交换与远程访问技术 ............................................. 3 2.2.单位网组建的规则 ..................................................... 4 2.3.网络建设的依据 ....................................................... 4 2.4.应用需求分析 ......................................................... 4 2.5.网络的功能需求 ....................................................... 5 3 网络的总体设计 .......................................................... 6 3.1.企业主干网分析 ....................................................... 6 3.2.系统的组成 ........................................................... 6 3.3.网络的拓扑结构 ....................................................... 7 4.单位网中VLAN及IP编址方案 .............................................. 8 4 设备选型 ................................................................ 9 4.1.对于组建的单位网来说,它应该具有以下特点: ............................ 9 4.2. 核心层/分布层设备 .................................................... 9 4.3.接入层设备 ........................................................... 10 4.4.结 论 ................................................................ 10 5 网络的整体方案设计 ..................................................... 12 5.1. 交换模块设计 ........................................................ 12 5.2 广域网接入模块设计 ................................................... 27 5.3 远程访问模块设计 ..................................................... 32 5.4 服务器模块设计 ....................................................... 34 6 总 结 .................................................................. 36 附 录 .................................................................... 39 Catalyst 6500系列 ........................................................ 39 Catalyst 3550-48交换机 ................................................... 42 Cisco Catalyst 2960 交换机 ............................................... 43 Cisco Secure PIX 525防火墙 ............................................... 43 Cisco 3640路由器 ......................................................... 45
1 绪 论
当今世界,各种先进的科学技术飞速发展,给人们的生活带来了深远的影响,它极大的改善人们的生活方式。在以计算机技术为代表的信息科技的发展更是日新月异,从各个方面影响和改变着人们的生活,而其中的计算机网络技术的发展更为迅速,已经渗透到了人们生活的各个方面,人们已经离不开计算机网络,并且随着因特网的迅速普及,给人们的生活条件带来更大的方便,人们与外部世界的联系将更加的紧密和快速。 1.1课题来源
随着人们对于信息资源共享以及信息交流的迫切需求,促使网络技术的产生和快速发展,计算机网络的产生和使用为人类信息文明的发展带来了革命性的变化。在当今,企业网的建设已经进入到一个蓬勃发展的阶段。企业网的建设和使用,对于提高企业的工作效率、各部门的信息共享、新产品的发布、加快企业的信息化进程有着十分重要而深远的意义。其主要包括各种局域网的技术、网络设计方案、网络拓扑结构、综合布线系统、Intranet连接与应用、网络安全,网络系统的维护等内容。通过本毕业设计课题的论述,希望使读者能够了解单位网的建设过程以及所涉及到的各种网络技术,并能对今后大家在学习网络技术知识或是进行企业单位网的工程建设中有所借鉴。 1.2 论文研究思路
单位网的建设主要应用局域网技术以及网络安全技术为主的各种网络应用技术。局域网技术是一项在20世纪70年代发展起来的计算机互联技术,经过多年的发展,技术已经成熟,并得到了广泛的应用,局域网技术成为网络技术的重要组成部分。网络安全技术是伴随着计算机网络的普及而产生的计算机应用技术,在网络环境下,网络安全起到了重要的作用,使人们能安全的使用和发布网上的信息。企业网是使用了局域网技术以及各种网络安全技术,并结合Internet连接与应用等其它的技术来建设。使得企业网能满足现代企业对信息处理的要求,使计算机的应用能对企业现代化起重要的促进作用,能实现信息查寻、各部门的信息共享、新产品的发布、并与外部网络系统进行交流等多种需要。
1.3 论文的组织结构
任何一个网络建设项目都有一个过程,在本设计中,先明确组建单位网的需求分析,接下来是组建网络的总体设计和设备的选型,最后是整个网络的规划和设计。
1
组建网络的需求分析主要是网络的建设原则,网络建设依据,应用需求分析,网络的功能需求分析。
总体设计主要包括系统组成与拓扑结构,VLAN和IP地址的规划。 设备的选型主要是介绍各层中选用的设备,选用的路由器和交换机的功能。 网络的规划和设计主要是描述每个模块的实现方法,路由器和交换机配置命令。
2
2 建网的需求分析
组建单位网,可以使单位的所有计算机和其他硬件设备,如打印机、扫描仪等设备实现共享,同事还可以通过各种应用服务器,在网内统一为用户提供服务,从而节省软、硬件资源,节省资金投入,提高设备的利用率。而作为一个较为完整的单位网实现,路由、交换与远程访问技术缺一不可。网络面临的挑战是建立一个可扩展的、高速的、充分冗余的、基于标准的网络,该网络能够支持融合了话音、视频、图像和数据的应用程序。
2.1.路由、交换与远程访问技术
路由技术:路由协议工作在OSI参考模型的第3层,因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务,利用访问控制列表(Access Control List,ACL),路由器还可以用来完成以路由器为中心的流量控制和过滤功能。
交换技术:现代交换技术实现了第3层交换和多层交换。高层交换技术的引入不但提高了单位网数据交换的效率,更大大增强了单位网数据交换服务质量,满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网(Virtual LAN,VLAN)的概念。VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(Vlan Trunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。
远程访问技术:远程访问也是园区网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型:专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同,花费也不相同。)在本工程设计中,分别采用专线连接(到因特网)和电路交换(到单位网)两种方式实现远程访问需求。由于移动办公用户有时会超出10个以上,因此就必须安装一个Modem池来解决服务端的数据接收问题。移动办公、家庭办公用户通过Modem拔入到公司总部进行访问总部资源。
3
2.2.单位网组建的规则 1)实用性和经济性
系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则建设企业的网络系统。 2)先进性和成熟性
系统设计既要采用先进的技术和方法,又要注意结构、设备的相对成熟。不但能反映当今的技术水平,而且具有发展潜力。 3)可靠性和稳定性
从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。 4)安全性和保密性
在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施。 5)可扩展性和易维护性
为了适应系统变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护,采用可网管产品,降低人力资源的费用,提高网络的易用性。
2.3.网络建设的依据 主要的国际标准:
1)EIA/TIA-568-B电信通道和空间的商业建筑标准 2)IEEE802.3U快速以太网标准 3)TCP/IP标准协议
4)IEEE802.3ab千兆以太网标准 5)IEEE802.3z千兆以太网(光纤)标准 6)ISL交换机间链路协议 7)IEEE802.11无线局域网标准
2.4.应用需求分析
根据企业的建筑物布局和用户量,设计每栋楼需要接入点数,设备的需求量,如表
4
3-1和表3-2所示:
表3-1信息点需求
区域 财务部 人事部 企划部 生产部 服务器群
信息点数量(个) 50 65 30 90 80 表3-2服务器及网络设备需求
设备名称 服务器 核心交换机 分布层交换机 访问层交换机 路由器 防火墙 AP UPS 2.5.网络的功能需求
数量(台) 9 2 2 10 1 1 25 2 满足企业的各项主要业务需要;符合当前和长远的信息传输要求;布线系统设计遵从国际标准(ISO/IEC11801),布线系统采用国际标准建议的星型拓扑结构;布线系统将支持语音、资料等综合信息的高质量传输,并适应各种不同类型不同厂商的计算机及网络产品;布线系统的信息出口采用国际标准的RJ45插座,以统一的线路规格和设备接口,使任意信息点都能接插不同类型的终端设备,如计算机、打印机、网络终端等,以支持语音、资料、图像等资料信息和多媒体信息的传输;在实现先进性的前提下,做到智能化系统的总投资要尽可能少,系统运行后的管理和维护费用少,系统在未来进行更改或搬动部分少。
5
3 网络的总体设计
为了阐明主要问题,在本设计方案中对实际单位网的设计进行了适当和必要的简化。同时,将重点放在网络主干的设计上,对于服务器的架设只作简单介绍。 3.1.企业主干网分析
目前,网络技术发展迅速,用户需求千差万别,厂商产品丰富多彩。但就其从用户网络的应用需求类型特点,网络技术的发展水平来说,通常目前主干网的技术策略有五种,即:快速以太网;FDDI;ATM;千兆以太网;万兆以太网。快速以太网及FDDI主干带宽限于100M,对于企业局域网主干而言已不在考虑之列。ATM交换骨干(OC-3 155Mbps或OC-12 622Mbps)网络设备的价格通常比较高,而且采用ATM势必需运用ATM以太网仿真技术,将会增加交换的延时并影响多媒体对服务质量的保证。
千兆以太网的第3层交换骨干技术成熟,千兆以太网在企业网、园区网、城域网和局域网骨干上取代了传统的ATM。千兆以太网交换骨干技术特点是:具有高速数据传输带宽(1Gbps),提供高速交换能力;易于网络移植、易于维护;简单易于管理;具有良好的性能价格比。在选型时考虑到千兆以太网已成为局域网主干技术策略的事实上的标准,为广大用户所选择,在建设企业主干网时将技术策略定位于千兆以太网技术。 3.2.系统的组成
本方案采用“千兆骨干,百兆交换到桌面”的设计思路,各骨干线路均为1000M带宽,所采用的骨干产品都支持ISL标准VLAN。网络建成后,能很好地满足企业的各项业务应用需求,达到预期目的。骨干网通过高速线路接入INTERNET,企业内实现骨干千兆交换、百兆到点,整个企业内实现无阻塞通信。其中网络中心可通过划分VLAN来控制不同类别用户的访问权限和浏览站点。
为了实现网络设备的统一,本设计方案中完全采用同一厂家的网络产品,即Cisco公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。 本单位网设计方案主要由以下四大部分构成:交换模块、广域网接入模块、远程访问模块、服务器群。
访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用的是Cisco
6
Catalyst 2960 24口交换机(WS-C2950-24)。交换机拥有24个10/100Mbps自适应快速以太网端口,运行的是Cisco的IOS操作系统。
分布层交换机采用的是Cisco Catalyst 3550交换机。作为3层交换机,Cisco Catalyst 3550交换机拥有24个10/100Mbps自适应快速以太网端口,同时还有2个1000Mbps的GBIC端口供上连使用,运行的是Cisco的Integrated IOS操作系统。 核心层交换机的Cisco Catalyst 6500交换机中,集成思科的新一代Catalyst 6500系列模块和交换引擎Supervisor Engine 720包含思科新开发的11种应用专用集成电路(ASIC),它不但扩展了思科在网络界的领先地位,还能提供无与伦比的投资保护。
3.3.网络的拓扑结构
网络的拓扑指的是计算机网络的物理布局。简单是说,是指将一组设备以什么结构连接起来。连接的结构有多种,主要有总线型拓扑,环型拓扑,星型拓扑和网状拓扑。公司网络采用核心层,分布层与接入层混合的模形。整个网络系统的拓扑结构图如图1-1所示
图1-1 单位网整体拓扑结构图
7
4.单位网中VLAN及IP编址方案
整个单位网中VLAN及IP编址方案如表所示
表1-1 VLAN及IP编址方案
VLAN号 VLAN1 VLAN10 VLAN20 VLAN30 VLAN40 VLAN100 VLAN名称 CAIWU RENSHI QIHUA SHENGCHAN FUWUQI IP网段 192.168.0.0/24 192.168.1.0/24 192.168.2.0/24 192.168.3.0/24 192.168.4.0/24 默认网关 192.168.0.254 192.168.1.254 192.168.2.254 192.168.3.254 192.168.4.254 说明 管理VLAN 财务部VLAN 人事部VLAN 企划部VLAN 生产部VLAN 192.168.100.0/24 192.168.100.254 服务器群VLAN 除了表中的内容外,拨号用户从192.168.200.0/27中动态取得IP地址。这里我只规划了5个VLAN,同时为每个VLAN定义了一个由拼音缩写组成的VLAN名称。
8
4 设备选型
4.1.对于组建的单位网来说,它应该具有以下特点: 高性能,全交换
-1000Mbps连接高流量服务器 -骨干连接采用1000Mbps -100Mbps连接桌面用户
-线速核心第三层交换,使路由器专注于处理网络流量,灵活,高效,可靠的网络连接 -支持多种广域网链路:DDN,FR,ISDN等 可扩展性强
-空余的GBIC插槽提供低成本的千兆连接 -核心采用模块化交换机,具有更强的扩充能力 -分布层及接入层交换机可通过千兆堆叠扩充用户数
-模块化路由器有更多插槽,可更多地扩充新功能,端口种类和数目 系统安全,保密性高
-专门的软硬件集成防火墙解决方案--Cisco Secure PIX 525防火墙 -虚拟专网VPN及支持各种加密算法 -按需划分虚拟网络,管理得心应手 综合的网络管理
-使用专门的大型网管软件系统Cisco Works 2000 -基于Cisco IOS的统一的人机命令界面
4.2. 核心层/分布层设备
对于网络的核心层的设备建议采用大容量且具备智能的多层交换功能特性,根据网络技术的发展与产品应用的定位,建议核心设备拥有超过62G的高容量,充分满足目前和
9
未来发展用户的网络需求,同时提供快速的智能处理过程。
在设备的处理结构上,要采用结构化的设计,在高速大容量的总线带宽下,还要提供分布式的处理与结构化的设计,核心不允许有集中式处理机制的存在,这样才避免因个别端口的拥塞而导致整个设备失去控制,对于核心的每个模块要支持热插拔,并且根据将来的扩展要预留扩展槽位。为了保证核心网络的高可用性不允许满配置的核心设备对网络的负载进行单一的规模化,在网络的扩展时,核心设备应支持分担负载的能力。这样才能使整个核心网络大大提升工作效率。
4.3.接入层设备
接入层设备是接入用户终端的产品,结点相对来说较多。因此要选择一些端口密度大,从设备的硬件配置上讲,支持总线的堆叠功能,这样相当于可以增加背板的带宽,大楼的各个汇聚的扩展提供方便。支持1000M的上联与端口捆绑,以便将更多的接入交换机汇聚到高速的核心网络上。
思科系统公司新型Cisco Catalyst 2960系列智能以太网交换机,是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和10/100/1000千兆以太网连接,适用于入门级企业、中型市场和分支机构网络,有助于提供增强LAN服务。Catalyst 2960系列具有集成安全特性,包括网络准入控制(NAC)、高级服务质量(QoS)和永续性,可为网络边缘提供智能服务。
4.4.结 论
CISCO公司网络产品的卓越的性能价格比、高可用性、兼容性以及CISCO公司为各行各业提供的成功网络解决方案早已为全球IT用户所知,网络建设首选CISCO产品已经成为业界主流。通过以上分析,结合局方设备现状和需求,同时考虑设备统一管理的原则,我们建议此次改造建设新增设备选择CISCO公司产品。骨干层设备选择CISCO catalyst6500多层千兆交换机,分布层大流量的采用CISCO3550交换机,其它采用CISCO 2960接入层设备,以满足改造后网络性能需要。 详细的配置情况如下表:
表1 方案设备配置单
设备名称 数量 单台配置情况 • 机箱:Cisco Catalyst 6506; 10
CICSO 6500引擎III2台
多层千兆交换机 • 1个引擎III多层千兆模块 • 冗余电源;32端口10/100自适应以太网模块和8端口千兆位以太网模块(GBIC插槽) CISCO3550-48 2台 • 冗余电源; • 24 个10/100自适应端口/2个GBIC端口 CiscoCatalyst 2960-24TT(WS-C2960-24TT-L) 10台 • 24个以太网10/100端口和2个10/100/1000 TX上行链路端口 • 1机架单元(RU)固定配置交换机 • 提供入门级企业智能服务 • 安装了LAN基本镜像 Cisco Secure PIX 5251台 防火墙 CISCO 3640 1台 • 主要速率接口插槽(PRI) • 高密度的异步接口插槽 • 两个异步/同步串行接口 • 两个以太网口 详细产品资料介绍见附录。
11
5 网络的整体方案设计
本单位网设计方案主要由以下四大部分构成:交换模块、广域网接入模块、远程访问模块、服务器群 5.1. 交换模块设计
为了简化交换网络设计、提高交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的。 园区网数据交换设备可以划分为三个层次:访问层、分布层、核心层。现代交换网络还引入了虚拟局域网(Virtual LAN,VLAN)的概念。VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现。一个好的单位网设计应该是一个分层的设计。一般分为三层设计模型。
5.1.1 访问层交换服务的实现-配置访问层交换机
访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用的是Cisco Catalyst 2960 24口交换机(WS-C2960-24TT-L)。交换机拥有24个10/100Mbps自适应快速以太网端口,运行的是Cisco的IOS操作系统。我们以图1-1中的访问层交换机AccessSwitch1为例进行介绍。如图2-1所示,
图2-1 访问层交换机AccessSwitch1
5.1.1.1 配置访问层交换机AccessSwitch1的基本参数 (1)设置交换机名称
12
设置交换机名称,也就是出现在交换机CLI提示符中的名字。一般我们会以地理位置或行政划分来为交换机命名。当我们需要Telnet登录到若干台交换机以维护一个大型网络时,通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。
图2-2 为访问层交换机AccessSwitch1命名
(2)设置交换机的加密使能口令
当用户在普通用户模式而想要进入特权用户模式时,需要提供此口令。此口令会以MD5
的形式加密,因此,当用户查看配置文件时,无法看到明文形式的口令。
图2-3 为交换机设置加密使能口令
(3)设置登录虚拟终端线时的口令
对于一个已经运行着的交换网络来说,交换机的带内远程管理为网络管理人员提供了很多的方便。但是,处于安全考虑,在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。
图2-2 为访问层交换机AccessSwitch1命名
(4)设置终端线超时时间
为了安全考虑,可以设置终端线超时时间。在设置的时间内,如果没有检测到键盘输入,IOS将断开用户和交换机之间的连接。 如图2-2所示,设置登录交换机的控制台终端线路及虚拟终端线的超时时间为5分30秒钟。
图2-2 设置控制台终端线路和虚拟终端线路的超时时间
(5)设置禁用IP地址解析特性
13
在交换机默认配置的情况下,当我们输入一条错误的交换机命令时,交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。利用命令no ip domain-lookup。可以禁用这个特性
图2-3 设置禁用IP地址解析特性
(6)设置启用消息同步特性
有时,用户输入的交换机配置命令会被交换机产生的消息打乱。可以使用命令logging synchronous设置交换机在下一行CLI提示符后复制用户的输入。
图2-3 设置启用消息同步特性
5.1.1.2.配置访问层交换机AccessSwitch1的管理IP、默认网关
访问层交换机是OSI参考模型的第2层设备,即数据链路层的设备。因此,给访问层交换机的每个端口设置IP地址是没意义的。但是,为了使网络管理人员可以从远程登录到访问层交换机上进行管理,必要给访问层交换机设置一个管理用IP地址。这种情况下,实际上是将交换机看成和PC机一样的主机。
给交换机设置管理用IP地址只能在VLAN1,即本征VLAN中进行。按照表1-1,管理VLAN所在的子网是:192.168.0.0/24,这里将访问层交换机AccessSwitch1的管理IP地址设为:192.168.0.5/24
图2-2 设置访问层交换机AccessSwitch1的管理IP
为了使网络管理人员可以在不同的子网管理此交换机,还应设置默认网关地址192.168.0.254。如图所示。
图2-2 设置访问层交换机AccessSwitch1的默认网关地址
14
5.1.1.3.配置访问层交换机AccessSwitch1的VLAN及VTP
从提高效率的角度出发,在本单位网实现实例中使用了VTP技术。同时,将分布层交换机DistributeSwitch1设置成为VTP服务器,其他交换机设置成为VTP客户机。 这里访问层交换机AccessSwitch1将通过VTP获得在分布层交换机DistributeSwitch1中定义的所有VLAN的信息。
图2-2 设置访问层交换机AccessSwitch1成为VTP客户机
5.1.1.4.配置访问层交换机AccessSwitch1端口基本参数 (1)端口双工配置
可以设定某端口根据对端设备双工类型自动调整本端口双工模式,也可以强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的情况下,建议手动设置端口双工模式。
图2-2 设置访问层交换机AccessSwitch1的端口工作模式
(2)端口速度
可以设定某端口根据对端设备速度自动调整本端口速度,也可以强制将端口速度设为10Mpbs或100Mbps。在了解对端设备速度的情况下,建议手动设置端口速度。
图2-4 设置访问层交换机AccessSwitch1的端口速度
15
5.1.1.5.配置访问层交换机AccessSwitch1的访问端口
访问层交换机AccessSwitch1为终端用户提供接入服务。在图中,访问层交换机AccessSwitch1为VLAN10、VLAN20提供接入服务。 (1)设置访问层交换机AccessSwitch1的端口1~10
如图所示,设置访问层交换机AccessSwitch1的端口1~端口10工作在访问(接入)模式。同时,设置端口1~端口10为VLAN 10的成员。
图2-2 设置访问层交换机AccessSwitch1的端口1~10
(2)设置访问层交换机AccessSwitch1的端口11~20
如图所示,设置访问层交换机AccessSwitch1的端口11~端口20工作在访问(接入)模式。同时,设置端口11~端口20为VLAN 20的成员。
图2-2 设置访问层交换机AccessSwitch1的端口11~20
(3)设置快速端口
默认情况下,交换机在刚加电启动时,每个端口都要经历生成树的四个阶段:阻塞、侦听、学习、转发。在能够转发用户的数据包之前,某个端口可能最多要等50秒钟的时间(20秒的阻塞时间+15秒的侦听延迟时间+15秒的学习延迟时间)。 对于直接接入终端工作站的端口来说,用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间,可以设置将某端口设置成为快速端口(Portfast)。设置为快速端口的端口当交换机启动或端口有工作站接入时,将会直接进入转发状态,而不会经历阻塞、侦听、学习状态(假设桥接表已经建立)。
图2-2 设置快速端口
16
5.1.1.6.配置访问层交换机AccessSwitch1的主干道端口
如图所示,访问层交换机AccessSwitch1通过端口FastEthernet 0/23上连到分布层交换机DistributeSwitch1的端口FastEthernet 0/23。同时,访问层交换机AccessSwitch1还通过端口FastEthernet 0/24上连到分布层交换机DistributeSwitch2的端口FastEthernet 0/23。 这两条上连链路将成为主干道链路,在这两条上连链路上将运输多个VLAN的数据。 如图所示,设置访问层交换机AccessSwitch1的端口FastEthernet 0/23、FastEthernet 0/24为主干道端口。
图2-2 设置主干道端口
5.1.1.7.配置访问层交换机AccessSwitch2
访问层交换机AccessSwitch2为VLAN 30和VLAN 40的用户提供接入服务。同时,分别通过自己的FastEthernet 0/23 、FastEthernet 0/24上连到分布层交换机DistributeSwitch1、DistributeSwitch2的端口FastEthernet 0/24。 如图所示,是访问层交换机AccessSwitch2的连接示意图。
图2-2 访问层交换机AccessSwitch2的连接示意图
对访问层交换机AccessSwitch2的配置步骤、命令和对访问层交换机AccessSwitch1的配置类似。这里,不再详细分析,只给出最后的配置文件内容(只留下了必要的命令)。 需要指出的是,为了提供主干道的吞吐量,可以采用链路捆绑(快速以太网信道)技术
17
增加可用带宽。例如,可以将访问层交换机AccessSwitch1的端口FastEthernet 0/21 和FastEthernet 0/22捆绑在一起实现200Mbps的快速以太网信道,然后再上连到分布层交换机DistributeSwitch1。同样,也可以将访问层交换机AccessSwitch1的端口FastEthernet 0/23 和FastEthernet 0/24捆绑在一起实现200Mbps的快速以太网信道,然后再上连到分布层交换机DistributeSwitch2。具体的配置步骤和命令将在核心层交换机的配置一节中进行介绍。
5.1.1.8 访问层交换机的其它可选配置 (1)Uplinkfast
访问层交换机AccessSwitch1通过两条冗余上行链路分别接入分布层交换机DistributeSwitch1和、DistributeSwitch2。在生成树的作用下,其中一条上行链路处于转发状态,而另一条上行链路处于阻塞状态。当处于转发状态的链路因故障断开后,经过大约50秒钟的时间,处于阻塞状态的链路才能替代故障链路工作。 Uplinkfast特性可以使得当主上行链路失败后,处于阻塞状态的上行链路(备份上行链路)可以立即启用。 如图所示,是在访问层交换机AccessSwitch1上启用Uplinkfast特性。同样的步骤也可以在访问层交换机AccessSwitch2上进行配置。
图2-2 启用Uplinkfast特性
注意,Uplinkfast特性只能在访问层交换机上启用。
(2)Backbonefast
Backbonefast的作用与Uplinkfast类似,也用于加快生成树的收敛。所不同的是,Backbonefast可以检测到间接链路(非直连链路)故障并立即使得相应阻塞端口的最大寿命计时器到时,从而缩短该端口可以开始转发数据包的时间。 如图所示,是在访问层交换机AccessSwitch1上启用Backbonefast特性。同样的步骤需要在网络中的所有交换机上进行配置。
图2-2 启用Backbonefast特性
18
注意,Backbonefast特性需要在网络中所有交换机上进行配置。
5.1.2 分布层交换服务的实现-配置分布层交换机
分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能。 这里的分布层交换机采用的是Cisco Catalyst 3550交换机。作为3层交换机,Cisco Catalyst 3550交换机拥有24个10/100Mbps自适应快速以太网端口,同时还有2个1000Mbps的GBIC端口供上连使用,运行的是Cisco的Integrated IOS操作系统。我们以图1-1中的分布层交换机DistributeSwitch1为例进行介绍。如图2-1所示:
图2-1 分布层交换机DistributeSwitch1
5.1.2.1.配置分布层交换机DistributeSwitch1的基本参数
对分布层交换机DistributeSwitch1的基本参数的配置步骤与对访问层交换机AccessSwitch1的基本参数的配置类似。这里,只给出实际的配置步骤,不再给出解释。
图2-1 配置分布层交换机DistributeSwitch1的基本参数
19
5.1.2.2.配置分布层交换机DistributeSwitch1的管理IP、默认网关
如图2-3所示,显示了为分布层交换机DistributeSwitch1设置管理IP并激活本征VLAN。同时,还设置了默认网关的地址。
图2-2 分布层交换机DistributeSwitch1的管理IP、默认网关
5.1.2.3.配置分布层交换机DistributeSwitch1的VTP
当网络中交换机数量很多时,需要分别在每台交换机上创建很多重复的VLAN。工作量很大、过程很繁琐,并且容易出错。我们常采用VLAN中继协议(Vlan Trunking Protocol,VTP)来解决这个问题。 VTP允许我们在一台交换机上创建所有的VLAN。然后,利用交换机之间的互相学习功能,将创建好的VLAN定义传播到整个网络中需要此VLAN定义的所有交换机上。同时,有关VLAN的删除、参数更改操作均可传播到其他交换机。从而大大减轻了网络管理人员配置交换机负担。 在本单位网实现实例中使用了VTP技术。同时,将分布层交换机DistributeSwitch1设置成为VTP服务器,其他交换机设置成为VTP客户机。
(1)配置VTP管理域
共享相同VLAN定义数据库的交换机构成一个VTP管理域。每一个VTP管理域都有一个共同的VTP管理域域名。不同VTP管理域的交换机之间不交换VTP通告信息。 如图9-4-2所示,将VTP管理域的域名定义为\"nciae\"。
图2-2 设置VTP管理域的域名
(2)设置VTP服务器
20
工作在VTP服务器模式下的交换机可以创建、删除VLAN、修改VLAN参数。同时,还有责任发送和转发VLAN更新消息。 如图所示,设置分布层交换机DistributeSwitch1成为VTP服务器。
图2-2 设置分布层交换机DistributeSwitch1成为VTP服务器
(3)激活VTP剪裁功能
默认情况下主干道传输所有VLAN的用户数据。有时,交换网络中某台交换机的所有端口都属于同一VLAN的成员,没有必要接收其他VLAN的用户数据。这时,可以激活主干道上的VTP剪裁功能。当激活了VTP剪裁功能以后,交换机将自动剪裁本交换机没有定义的VLAN数据。 在一个VTP域下,只需要在VTP服务器上激活VTP剪裁功能。同一VTP域下的所有其他交换机也将自动激活VTP剪裁功能。
图2-2 激活VTP剪裁功能
5.1.2.4.在分布层交换机DistributeSwitch1上定义VLAN
在本单位网实现实例中,除了默认的本地VLAN外,又定义了5个VLAN,如表1-1所示。 由于使用了VTP技术,所以所有VLAN的定义只需要在VTP服务器,即分布层交换机DistributeSwitch1上进行。 如图所示,定义了5个VLAN,同时为每个VLAN命名。
图2-1 定义VLAN
21
5.1.2.5.配置分布层交换机DistributeSwitch1的端口基本参数
分布层交换机DistributeSwitch1的端口FastEthernet 0/1~FastEthernet 0/10为服务器群提供接入服务,而端口FastEthernet 0/23、FastEthernet 0/24分别下连到访问层交换机AccessSwitch1的端口FastEthernet 0/23以及访问层交换机AccessSwitch2的端口FastEthernet 0/23。 此外,分布层交换机DistributeSwitch1还通过自己的千兆端口GigabitEthernet 0/1上连到核心交换机CoreSwitch1的GigabitEthernet 3/1。 为了实现冗余设计,分布层交换机DistributeSwitch1还通过自己的千兆端口GigabitEthernet 0/2连接另一台到分布层交换机DistributeSwitch2的GigabitEthernet 0/2。 如图所示,给出了对所有访问端口、主干道端口的配置步骤和命令。
图2-2 设置分布层交换机DistributeSwitch1的各端口参数
5.1.2.6.配置分布层交换机DistributeSwitch1的3层交换功能
分布层交换机DistributeSwitch1需要为网络中的各个VLAN提供路由功能。这需要首先启用路由功能。
图2-2 启用路由功能
接下来,需要为每个VLAN定义自己的管理IP地址,如图所示。
22
图2-2 定义各VLAN的管理IP地址
此外,还需要定义通往Internet的路由。这里使用了一条缺省路由命令,如图所示。其中,下一跳地址是Internet接入路由器的快速以太网接口FastEthernet 0/0的IP地址。
图2-2 定义到Internet的缺省路由
5.1.2.7.配置分布层交换机DistributeSwitch2
分布层交换机DistributeSwitch2的端口FastEthernet 0/23、FastEthernet 0/24分别下连到访问层交换机AccessSwitch1的端口FastEthernet 0/24以及访问层交换机AccessSwitch2的端口FastEthernet 0/24。 此外,分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet 0/1上连到核心交换机CoreSwitch1的GigabitEthernet 3/2。 为了实现冗余设计,分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet 0/2连接到分布层交换机DistributeSwitch1的GigabitEthernet 0/2。如图所示。
23
图2-1 分布层交换机DistributeSwitch2
对分布层交换机DistributeSwitch2的配置步骤、命令和对分布层交换机DistributeSwitch1的配置类似。这里,不再详细分析。
5.1.3 核心层交换服务的实现-配置核心层交换机
本实例中的核心层交换机采用的是Cisco Catalyst 6500交换机,集成式内容交换模块(CSM)能够为Cisco Catalyst 6500系列提供功能丰富的高性能的服务器和防火墙网络负载平衡连接。在作为核心层交换机的Cisco Catalyst 6500交换机中,卓越的服务集成和灵活性--将安全和内容等高级服务与融合网络集成在一起,提供从10/100和10/100/1000以太网到万兆以太网,从DS0到OC-48的各种接口和密度,并能够在任何部署项目中端到端地执行。我们以图1-1中的核心层交换机CoreSwitch1为例进行介绍。如图2-1所示
图2-1 核心层多层交换机
5.1.3.1 配置核心层交换机CoreSwitch1的基本参数
对核心层交换机CoreSwitch1的基本参数的配置步骤与对访问层交换机AccessSwitch1的基本参数的配置类似。这里,只给出实际的配置步骤,不再给出解释。
24
图2-1 配置核心层交换机CoreSwitch1的基本参数
5.1.3.2 配置核心层交换机CoreSwitch1的管理IP、默认网关
如图2-3所示,显示了为核心层交换机CoreSwitch1设置管理IP并激活本征VLAN。同时,还设置了默认网关的地址。
图2-2 核心层交换机CoreSwitch1的管理IP、默认网关
5.1.3.3 配置核心层交换机CoreSwitch1的的VLAN及VTP
核心层交换机CoreSwitch1也将作为VTP客户机。 这里核心层交换机CoreSwitch1将通过VTP获得在分布层交换机DistributeSwitch1中定义的所有VLAN的信息。
图2-2 设置核心层交换机CoreSwitch1成为VTP客户机
5.1.3.4 配置核心层交换机CoreSwitch1的端口参数
核心层交换机CoreSwitch1通过自己的端口FastEthernet 4/3同广域网接入模块
25
(Internet路由器)相连。同时,核心层交换机CoreSwitch1的端口GigabitEthernet 3/1~GigabitEthernet 3/2分别下连到分布层交换机DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet 0/1。 如图所示,给出了对上述端口的配置命令。
图2-2 设置核心层交换机CoreSwitch1的各端口参数
此外,为了提供主干道的吞吐量以及实现冗余设计,在本设计中,将核心层交换机CoreSwitch1的千兆端口GigabitEthernet 2/1、GigabitEthernet 2/2捆绑在一起实现2000Mbps的千兆以太网信道,然后再连接到另一台核心层交换机CoreSwitch2。如图所示,是设置核心层交换机CoreSwitch1的千兆以太网信道的步骤。
图2-2 设置核心层交换机CoreSwitch1的千兆以太网信道
5.1.3.5 配置核心层交换机CoreSwitch1的路由功能
核心层交换机CoreSwitch1通过端口FastEthernet 4/3同广域网接入模块(Internet路由器)相连。因此,需要启用核心层交换机的路由功能。同时,还需要定义通往Internet的路由。这里使用了一条缺省路由命令。其中,下一跳地址是Internet接入路由器的快速以太网接口FastEthernet 0/0的IP地址。 5.1.3.6 其它配置
为了实现对无类别网络(Classless Network)以及全零子网(Subnet-zero)的支持,在充当3层交换机的核心层交换机CoreSwitch1,还需要进行适当的配置,如图所示。
26
图2-2 定义对无类别网络以及全零子网的支持
5.1.3.7 核心层交换机CoreSwitch2的配置
对于图1-1-中的核心层交换机CoreSwitch2的配置步骤、命令和对核心层交换机CoreSwitch1的配置类似。这里,不再详细分析。同时,对于配置核心层交换机CoreSwitch2下连的一系列交换机,其连接方法以及配置步骤和命令同图1-1-中核心层交换机CoreSwitch1下连的一系列交换机的连接方法以及配置步骤和命令类似。这里,也不再赘述。
5.2 广域网接入模块设计
广域网接入模块的功能是由广域网接入路由器InternetRouter来完成的。采用的是Cisco的3640路由器。它通过自己的串行接口serial 0/0使用DDN(128K)技术接入Internet。它的作用主要是在Internet和单位网内网间路由数据包。除了完成主要的路由任务外,利用访问控制列表(Access Control List,ACL),广域网接入路由器InternetRouter还可以用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。
图3-1 广域网接入路由器InternetRouter
5.2.1 配置接入路由器InternetRouter的基本参数
对接入路由器InternetRouter的基本参数的配置步骤与对访问层交换机AccessSwitch1的基本参数的配置类似。这里,只给出实际的配置步骤,不再给出解释。
27
图2-1 配置接入路由器InternetRouter的基本参数
5.2.2 配置接入路由器InternetRouter的各接口参数
对接入路由器InternetRouter的各接口参数的配置主要是对接口FastEthernet 0/0以及接口Serial 0/0的IP地址、子网掩码的配置。 如图2-3所示,显示了为接入路由器InternetRouter的各接口设置IP地址、子网掩码。
图2-2 接入路由器InternetRouter的管理IP、默认网关
5.2.3 配置接入路由器InternetRouter的路由功能
在接入路由器InternetRouter上需要定义两个方向上的路由:到单位网内部的静态路由以及到Internet上的缺省路由。 到Internet上的路由需要定义一条缺省路由,如图所示。其中,下一跳指定从本路由器的接口serial 0/0送出。
图2-2 定义到Internet的缺省路由
到单位网内部的路由条目可以经过路由汇总后形成两条路由条目。如图所示。
28
图2-2 定义到单位网内部的路由
5.2.4 配置接入路由器InternetRouter上的NAT
由于目前IP地址资源非常稀缺,对不可能给单位网内部的所有工作站都分配一个公有IP(Internet可路由的)地址。为了解决所有工作站访问Internet的需要,必须使用NAT(网络地址转换)技术。为了接入Internet,本单位网向当地ISP申请了9个IP地址。其中一个IP地址:193.1.1.1被分配给了Internet接入路由器的串行接口,另外8个IP地址:202.206.222.1~202.206.222.8用作NAT。
NAT的配置可以分为以下几个步骤 (1)定义NAT内部、外部接口
图2-1 定义NAT内部、外部接口
(2)定义允许进行NAT的内部局部IP地址范围
图2-2 定义内部局部IP地址范围
(3)为服务器定义静态地址转换
图2-1 为服务器定义静态地址转换
(4)为其他工作站定义复用地址转换
图2-1 为工作站定义复用地址转换
5.2.5 配置接入路由器InternetRouter上的ACL
路由器是外网进入单位网内网的第一道关卡,是网络防御的前沿阵地。路由器上的访问
29
控制列表(Access Control List,ACL)是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间,是外网与内网进行通信时的第一道屏障,所以即使在网络系统安装了防火墙产品后,仍然有必要对路由器的访问控制列表进行缜密的设计,来对企业内网包括防火墙本身实施保护。在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要应该做以下的ACL设计:
(1)对外屏蔽简单网管协议,即SNMP
利用这个协议,远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型:SNMP和SNMPTRAP。
图2-1 对外屏蔽简单网管协议SNMP
(2)对外屏蔽远程登录协议telnet
首先,telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的,很容易被网络上的非法协议分析设备截获。其次,telnet可以登录到大多数网络设备和UNIX服务器,并可以使用相关命令完全操纵它们。这是极其危险的,因此必须加以屏蔽。
图2-1 对外屏蔽远程登录协议telnet
(3)对外屏蔽其它不安全的协议或服务
这样的协议主要有SUN OS的文件共享协议端口2049,远程执行(rsh)、远程登录(rlogin)和远程命令(rcmd)端口512、513、514,远程过程调用(SUNRPC)端口111。可以将针对以上协议综合进行设计,如图所示。
30
图2-1 对外屏蔽其它不安全的协议或服务
(4)针对DoS攻击的设计
DoS攻击(Denial of Service Attack,拒绝服务攻击)是一种非常常见而且极具破坏力的攻击手段,它可以导致服务器、网络设备的正常服务进程停止,严重时会导致服务器操作系统崩溃。
图2-1 针对DoS攻击的设计
(5)保护路由器自身安全
作为内网、外网间屏障的路由器,保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器,必须对路由器的访问位置加以限制。 应只允许来自服务器群的IP地址访问并配置路由器。这时,可以使用ACCESS-CLASS命令进行VTY访问控制。如图所示。
图2-1 保护路由器自身安全
5.2.6 其它配置
为了实现对无类别网络(Classless Network)以及全零子网(Subnet-zero)的支持,在充当3层交换机的核心层交换机CoreSwitch1,还需要进行适当的配置,如图所示。
31
图2-2 定义对无类别网络以及全零子网的支持
5.3 远程访问模块设计
远程访问也是单位网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。如图4-1所示。
图4-1 远程访问服务
远程访问有三种可选的服务类型:专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同,花费也不相同。在本设计中,由于面对的用户群规模、业务量较小,所以采用了异步拨号连接作为远程访问的技术手段。
异步拨号连接属于电路交换类型的广域网连接,它是在传统公共交换电话网(Public Switched Telephone Network,PSTN)上提供服务的。传统PSTN提供的服务也被称为简易老式电话业务(Plan Old Telephone System,POTS)。因为目前存在着大量安装好的电话线,所以这样的环境是最容易满足的。因此,异步拨号连接也就成为最为方便和普遍的远程访问类型。 广域网连接可以采用不同类型的封装协议,如HDLC、PPP等。其中,PPP除了提供身份认证功能外,还可以提供其他很多可选项配置,包括链路压缩、多链路捆绑、回叫等,因此更具优势。也是本设计所采用的异步连接封装协议。 在本设计中采用了可以集成在广域网接入路由器InternetRotuer中的异步Modem模块NM-16AM(8Port Analog Modem Network Module)提供远程访问服务。它可以同时对最多16路拨号用户提供远程接入服务。
以下介绍一下配置异步拨号模块NM-16AM的步骤。 5.3.1.配置物理线路的基本参数
对物理线路的配置包括配置线路速度(DTE、DCE之间的速率)、停止位位数、流控方式、允许呼入连接的协议类型、允许流量的方向等。
32
图2-1 物理线路的配置
5.3.2.配置接口基本参数
对接口基本参数的配置包括:接口封装协议类型、接口异步模式、IP地址、为远程客户分配IP地址的方式等。这里,设置远程客户从IP地址池rasclients中获得IP地址。
图2-1 配置接口基本参数
接下来,需要建立一个本地的IP地址池。如下所示,建立了一个名为rasclients的IP地址池。其IP地址范围是:192.168.200.1~192.168.200.16。
图2-1 指定IP地址池
5.3.3.配置身份认证
PPP提供了两种可选的身份认证方法:口令验证协议PAP(Password Authentication Protocol,PAP)和质询握手协议(Challenge Handshake Authentication Protocol,CHAP)。 PAP是一个简单的、实用的身份验证协议。PAP认证进程只在双方的通信链路建立初期进行。如果认证成功,在通信过程中不再进行认证。如果认证失败,则直接释放链路。 CHAP认证比PAP认证更安全,因为CHAP不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列,也被称为\"挑战字符串\"。同时,身份认证可以随时进行,包括在双方正常通信过程中。因此,非法用户就算截获并成功破解了一次密码,此密码也将在一段时间内失效。 CHAP对端系统要求很高,因为需要多次进行身份质询、响应。这需要耗费较多的CPU资源,因此只用在对安全要求很高的场合。 PAP虽然有着用户名和密码是明文发送的弱点,但是认证只在链路建立初期进行,因此节省了宝贵的链路带
33
宽。
本设计中将采用PAP身份认证方法。 (1)建立本地口令数据库
图2-2 建立本地口令数据库
(2)设置进行PAP认证
图2-2 PAP认证
5.4 服务器模块设计
服务器模块用来对单位网的接入用户提供各种服务。在本设计方案中,所有的服务器被集中到VLAN 100构成服务器群并通过分别层交换机DistributeSwitch1的端口fastethernet1~20接入单位网。如图所示。
图5-1 服务器群
单位网提供的常见的服务(服务器)包括: WEB服务器:提供WEB网站服务。
DNS、目录服务器:提供域名解析以及目录服务。 FTP、文件服务器:提供文件传输、共享服务。 邮件服务器:提供邮件收发服务。 数据库服务器:提供各种数据库服务。 打印服务器:提供打印机共享服务。 实时通信服务器:提供实时通信服务。
流媒体服务器:提供各种流媒体播放、点播服务。 网管服务器:对单位网网络设备进行综合管理。 如图所示。显示了各服务器IP地址配置情况。
34
图4-5-1 各服务器IP配置情况
表给出了所有的服务器硬件平台、操作系统以及服务软件的选型表。
表1-1 VLAN及IP编址方案
35
6 总 结
本论文从单位网的建设思想、目标、可以选用的网络技术以及对网络设备的介绍和选择等多方面的论述,使大家对单位网建设工程有了一个比较深入的了解,单位网络建设作为一项重要的系统工程,它的所用到的各种技术是多方面的,即有网络技术、工程施工技术,也有管理制度等各个方面的知识。在方案中我采用现时园区网络设计最常用的三层设计模型,把数据交换设备划分为访问层,分布层和核心层三个层次,因为一个好的单位网设计应该是一个分层的设计。网络技术方面主要是应用路由、交换与远程访问技术,明确把整个方案划分为交换模块、广域网接入模块、远程访问模块和服务器群模块,这样对配置整个网络都有个总体的框架。
整个设计最主要的是在第五部分的整体配置设计中,对各层个模块的设备进行配置调节,从而实现把单位网各方面达成通讯,组成一个完整的通讯系统。虚拟局域网VLAN,中继协议VTP,地址转换NAT,访问控制列表,异步连接封装协议PPP等的技术都要应用在网络设计中,这样是为了更好的管理网络和实现其各种功能。在研究的过程中,我参考了很多书籍和网络教学视频,因为我之前在网络公司培训过网络这方面的,所以对整个论文的设计中有个很清晰的条理,也通过毕业论文使我对网络的规划和架构更加了解。平时的学习都通过在这次实践中使我更加深刻,同时也发现自己很多的不足,网络的知识无止境的,要学的东西永远不够,就从这次论文中我发现自己对热备冗余,远程接入VPN的配置,服务器的配置使用都不熟悉。学网络不单要学各种路由协议和交换技术,还要学习服务器,操作系统等内容,因为现实生活中它们都是互相关联的。
四年的大学时光让我领悟很多,也让我深深的认识到自己的不足之处。而在大学最后的一段日子里,对本专业论文的准备更让我巩固了专业知识,对基础知识和各方面的相关环节有了更加熟练的了解。在这几个月的学习探讨中,我受益匪浅,让我在企业网络方面的知识得到了扩充,我会在以后的日子里更加完善自己这方面的知识,争取以后成为一名出色的网络工程师。
36
参 考 文 献
[1] 闫志刚. CISCO企业网快速构建与排错手册 [M]. 北京:人民邮电出版社,2005.4
[2] Richard Froom. 组建Cisco多层交换网络(BCMSN)[M]. 北京:人民邮电出版社,2007.11 [3]Diane Teare,Catherine Paquet. 园区网络设计 [M]. 北京:人民邮电出版社,2007.2 [4]杨简. 网络组建、管理与排障大全 [M]. 北京:电脑报电子音像出版社 2008.1 [5]黄平山. IT职场模拟舱局域网组建与维护 [M]. 北京:人民邮电出版社 2007.10 [6] Jeffrey R.Shapiro. Windows Server 2003宝典 [M]. 北京:人民邮电出版社,2007.11 [7]吴功宜. 计算机网络(第2版)[M]. 北京:清华大学出版社,2007.3 [8] 文哲明,郝卫东. 企业网组建指南 [M]. 北京:清华大学出版社 2005.6 [9] Richard Deal. CISCO VPN 完全配置指南 [M]. 北京:人民邮电出版社 2007.7
[10]梁广民,王隆杰. 思科 实验室路由、交换试验指南 [M]. 北京:电子工业出版社,2008.7 [11]中国总部 思科产品快速查阅指南 [M]. 北京:北京市东城区,2008.2
37
The Design of Network program units
Li Yuesheng
(Computer Science and Technology Department, Zhongkai University of Agricultural
Engineering,Guangzhou 510225,China)
Abstract: With the popularity of Internet, via the Internet to contact other computers than the call to facilitate a matter of fact. Enterprise units through the local area network (LAN) access to Internet, or use of PPP agreement calls ISP (Internet service provider) phone number into the Internet, and so on a variety of ways.
In this program, mainly the application of routing, switching and remote access technology to the design of the unit network. By the four major parts: the exchange of modules, wide area network module, remote access module, server module group. Units of the internal data exchange network on the use of hierarchical deployment, and data exchange equipment is divided into access layer, distribution layer and core layer of three levels, the use of virtual local area network VLAN, VLAN Trunk Protocol VTP design, asynchronous PPP Encapsulation Protocol connections mainstream, such as network technology.
Key Words:LAN;Routing;Switching;VLAN;VTP;PPP
38
附 录
产品介绍
Catalyst 6500系列
Catalyst 6500交换机
Catalyst 6500系列具有许多业界领先的功能,获得了许多\"业界第一\"称号。它同时支持三代模块,这些模块不但能不断提升Catalyst 6500的用户价值,也同时体现出思科对于创新的关注。思科的新一代Catalyst 6500系列模块和交换引擎Supervisor Engine 720包含思科新开发的11种应用专用集成电路(ASIC),它不但扩展了思科在网络界的领先地位,还能提供无与伦比的投资保护。 Cisco Catalyst 6500系列的优点
Cisco Catalyst 6500系列不但能为企业和电信运营商提供市场领先的服务、性能、端口密度和可用性,还能提供无与伦比的投资保护能力,包括:
最长的网络正常运行时间--利用平台、电源、控制引擎、交换矩阵和集成网络服务冗余性提供1~3秒的状态故障切换,提供应用和服务连续性统一在一起的融合网络环境,减少关键业务数据和服务的中断。
全面的网络安全性--将切实可行的数千兆位级思科安全解决方案集成到现有网络中,包括入侵检测、防火墙、VPN和SSL。
可扩展性能--利用分布式转发体系结构提供高达400Mpps的转发性能。 能够适应未来发展并保护投资的体系结构--在同一种机箱中支持三代可互换、可
39
热插拔的模块,以提高IT基础设施利用率,增大投资回报,并降低总体拥有成本;
操作一致性--3插槽、6插槽、9插槽和13插槽机箱配置使用相同的模块、Cisco IOS Software、Cisco Catalyst Operating System Software以及可以部署在网络任意地方的网络管理工具。
卓越的服务集成和灵活性--将安全和内容等高级服务与融合网络集成在一起,提供从10/100和10/100/1000以太网到万兆以太网,从DS0到OC-48的各种接口和密度,并能够在任何部署项目中端到端地执行。
在端到端Cisco Catalyst6500系列部署中的操作一致性
3插槽、6插槽、9插槽和13插槽机箱配置使用相同的模块、软件和网络管理工具 可部署在网络的任意地方--从布线室到核心、数据中心和广域网边缘
为降低备件和培训成本,与Cisco 7xxx路由器系统使用相同的广域网端口适配器(PA)
用户可以自行选择所有控制引擎上支持的Cisco IOS Software和Cisco Catalyst Operating System,确保顺利地从Cisco Catalyst 5000系列、Cisco 7500系列移植到Cisco Catalyst 6500系列。
集成式高性能的网络安全性和网络管理
不需要部署外部设备,直接在6500机箱内部署集成式的千兆位的网络服务模块,以简化网络管理,降低网络的总体成本。这些网络服务模块包括:
数千兆位防火墙模块--提供接入保护
高性能入侵检测系统(IDS)模块--提供入侵检测保护
千兆位网络分析模块--提供可管理性更高的基础设施和全面的远程超级(RMON)支持
高性能SSL模块--提供安全的高性能电子商务流量终结
千兆位VPN和基于标准的IP Security(IPSec)模块--降低的互联网和内部专网的连接成本。
增强的数据、语音和视频服务
在所有Cisco Catalyst 6500系列平台上提供集成式IP通信
40
提供10/100和10/100/1000接口模块,借助在接口模块内增加电源子卡就可让这些接口模块提供在线的电源,提供IEEE 802.3af的支持,保护今天的投资
提供高密度的T1/E1和FXS的VoIP语音网关接口,可与公共电话网(PSTN)、传统的电话、传真和PBX连接,提供VoIP服务。
支持高性能的IP组播视频和音频应用
提供一个统一管理的、经济的、可灵活扩展的网络。
最高的接口灵活性、可扩展性和端口密度
满足大型关键业务布线室、企业核心层和分布层需要的端口密度和接口类型 每台设备可提供576个支持语音的,具有在线电源的10/100/1000M铜线接口 提供192个GBIC千兆位以太网接口
率先推出业界第一个万兆以太网接口,和可提供高密度的OC-3 POS接口的通道化的OC-48接口。
通过系列FlexWAN模块上使用Cisco 7xxx系列端口适配器(PA),Cisco Catalyst 6500可支持T1/E1~OC-48 广域网接口,具有很高的投资保护能力
机箱从3插槽(6503)、6插槽(6506)、9插槽(6509)到13插槽(6513)。
高速广域网接口
提供与其它核心路由器兼容的高速广域网、ATM和SONET接口 单一平台实现广域网汇聚以及园区网和城域连接管理 最高投资保护
高度灵活的模块化体系结构,在同一机箱内支持多代模块互操作
所有引擎上都支持Cisco IOS Software和Cisco Catalyst Operating System Software
10/100Mbps和10/100/1000Mbps以太网模块可现场升级为随线供电的模块,可让用户在需要时升级实现IP电话技术和无线局域网连接
可在各种应用场合中添加的不断推出的网络服务模块
包括Cisco Catalyst 6500系列网络安全性、内容交换和语音功能 未来的模块将进一步提高性能、端口密度,并推出其它服务
41
Catalyst 3550-48交换机
Catalyst 3550-48智能化以太网交换机
Cisco Catalyst 3550系列智能化以太网交换机是一个新型的、可堆叠的、多层企业级交换机系列,可以提供高水平的可用性、可扩展性、安全性和控制能力,从而提高网络的运行效率。因为具有多种快速以太网和千兆以太网配置,因此Catalyst 3550系列既可以作为一个功能强大的接入层交换机,用于中型企业的布线室;也可以作为一个骨干网交换机,用于中型网络。客户有史以来第一次可以在整个网络中部署智能化的服务,例如先进的服务质量(QoS),速度限制,Cisco安全访问控制列表,多播管理和高性能的IP路由同时保持了传统LAN交换的简便性。Catalyst 3550系列中内嵌了Cisco集群管理套件(CMS)软件,该软件使用户可以利用一个标准的Web浏览器同时配置和诊断多个Catalyst桌面交换机并为其排除故障。Cisco CMS软件提供了新的配置向导,它可以大幅度简化整合式应用和网络级服务的部署。
两个内置的千兆以太网端口可以支持多种GBIC收发器,包括Cisco GigaStack? GBIC、1000BaseT、1000BaseSX、1000BaseLX/LH 和 1000BaseZX GBIC。基于双GBIC的千兆以太网实施方案可以为客户提供高度的部署灵活性使客户可以在目前先部署一种堆栈和上行链路配置,然后可以在将来移植这种配置。高水平的堆栈弹性还可以通过下列技术实现:两个冗余千兆以太网上行链路,一条冗余的GagaStackTMGBIC 回送线路,用于高速上行链路和堆栈互联故障恢复的UplinkFast 和 CrossStack UplinkFast技术,用于上行链路负载均衡的Per VLAN生成树+(PVST+)。这样的千兆以太网灵活性使Catalyst 3550系列成为针对以太网优化的Cisco Catalyst 6500系列核心LAN交换机最理想的LAN边缘补充产品。
3550-48中含有标准多层软件镜像(SMI)或者增强型多层软件镜像(EMI)。EMI提供了一组更加丰富的企业级功能,包括基于硬件的IP单播和多播路由,虚拟LAN(VLAN)间的路由,路由访问控制列表(RACL)和热备用路由器协议(HSRP)。在刚开始部署时,增强型多层软件镜像升级工具包为用户提供了升级到EMI的灵活性。
42
Cisco Catalyst 2960 交换机
Cisco Catalyst 2960系列提供了以下优势
为网络边缘提供了智能特性,如先进的访问控制列表 (ACL)和增强安全特性。 双介质上行链路端口提供了千兆以太网上行链路灵活性,可以使用铜缆或光纤上行链路端口。每个双介质上行链路端口都有一个10/100/1000以太网端口和一个SFP千兆以太网端口,在使用时其中一个端口激活,但不能同时使用这两个端口。
通过高级QoS、精确速率限制、ACL和组播服务,实现了网络控制和带宽优化。 通过多种验证方法、数据加密技术和基于用户、端口和MAC地址的网络准入控制,实现了网络安全性。
通过嵌入式设备管理器和思科网络助理,简化了网络配置、升级和故障排除,可作为中型市场或分支机构解决方案的一部分。
使用Cisco Smartports自动配置特定应用
Cisco Secure PIX 525防火墙
Cisco Secure PIX 525防火墙
强壮的安全特性
Internet的发展为企业、政府和专用网络带来了更大的安全风险。现有的解决方案如运行在应用层的基于代理的防火墙具有很多限制条件,包括性能低、需要昂贵的通用平台、使用开放系统如UNIX时本身具有安全风险等。而Cisco Secure PIX防火墙能够提供空前的安全保护能力,它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法(ASA)。静态安全性虽然比较简单,但与包过滤相比,功能却更加强劲;另外,与应用层代理防火墙相比,其性能更高,扩展性更强。ASA可以跟踪源和目的地址、
43
传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时,访问才被允许通过Cisco Secure PIX防火墙。这样做,内部和外部的授权用户就可以透明地访问企业资源,而同时保护了内部网络不会受到非授权访问的侵袭。
另外,实时嵌入式系统还能进一步提高Cisco Secure PIX防火墙系列的安全性。虽然UNIX服务器是广泛采用公开源代码的理想开放开发平台,但通用的操作系统并不能提供最佳的性能和安全性。而专用的Cisco Secure PIX防火墙是为了实现安全、高性能的保护而专门设计。 主要特性和优点
Cisco端到端解决方案的组成部分 - 允许各公司将经济高效、无缝的网络基础设施扩展到分支机构。
最低的拥有成本 - 安装、配置简单,网络中断时间更少。另外,允许透明地支持Internet多媒体应用,不再需要实际调整和重新配置每一台客户工作站或PC机。
非UNIX的安全、实时和嵌入式系统 - 消除了通用操作系统所带来的风险,提供了突出的性能。
基于标准的虚拟专网 - 使管理员可以降低通过Internet或其它公共IP网络将移动用户和远程站点与企业网络相连的成本。
自适应安全算法 - 为所有的TCP/IP对话提供静态安全性,以保护敏感的保密资源。
静态故障切换/热备用 - 提供高可用性,使网络可靠性最大。
网络地址转换(NAT)-- 节省宝贵的IP地址;扩展网络地址空间;隐藏IP地址,使之不被外部得到。
截断通过代理 - 提供业界最高的认证性能;通过重新使用现有认证数据库降低拥有成本。
多种网络接口卡 - 为Web和所有其它的公共访问服务器、与不同合作伙伴的多种外部网链路、得到保护的记录和URL过滤服务器提供强大的安全性。
支持多达28万个同时连接 - 部署很少的防火墙就能极大地提高代理服务器的性能。
防止拒绝服务攻击 - 保护防火墙及其后面的服务器和客户机不受破坏性的黑客
44
攻击。
支持各种应用 - 全面降低防火墙对网络用户的影响。
Java Applet过滤 - 使防火墙可以在每个客户机或每个IP地址上终止具有潜在危险的Java应用。
支持多媒体应用 - 降低了支持这些协议所需要的管理时间和成本。无需特殊的客户机配置。
设置简单 - 只需6条命令就能实现一般的安全策略。 紧凑设计 - 可以更加容易地部署在桌面或更小的办公设置中。
URL过滤 - 当与Websense企业软件配合使用时,可以提供控制哪些Web站点的用户可以出于计费的目的来访问和维护审计跟踪数据的能力。对PIX防火墙性能的影响最小。
邮件保护 - 不再需要外部邮件在外围网络中转发,也防止了外部邮件转发过程中的拒绝服务攻击。
Cisco 3640路由器
Cisco 3640路由器
Cisco 3640产品是为了适应拨号分支机构和需要拨号访问公司Intranet及公共Internet的远程办公室用户数量的增加而设计的。 不论是ISDN,还是异步媒体Cisco3640的拨号访问服务器均能提供前所未有的灵活性。 Cisco 3640产品也支持同步串行通信并安全为Cisco IOS软件所支持。
模块化体系结构,可以根据需求灵活配置。可以通过网络模块在一个箱体内达到多功能。LAN网络模块:1和4端口10BaseT Ethernet、1端口100BaseTX以太网模块。WAN网络模块:16和32端口同步串行口模块、4端口同步串行口模块、1和2端口通道化的T1/E1 ISDN PRI(有可选择的CSU)、4和8端口ISDN BRI(有可选择的NT1)、4和8端口同步/异步自适应低速串行口模块。以及混合媒体网络模块(包括一个LAN和2个WAN接
45
口插)。可以通过PC闪速内存卡,简易可靠地升级软件。提供备用电源,确保网络正常、稳定地运行。Cisco3640有4个插槽、16MB DRAM可以升级到128MB。标配Flash memory为4M,可以升级至48M,用PCMCIA卡可升级至128MB(64M*2) ,Cisco3640支持当今使用最广泛的网络协议,包括IP、Novell IPX、和AppleTalk、DECnet等一系列路由协议 。
Cisco3640标配闪存(Flash)为8M。 可以通过PC闪速内存卡,简易可靠地升级软件,这样Flash总共可升级至128MB(64M*2)。 在一个平台中结合了拨号访问、先进的局域网到局域网路由服务、ATM 连接以及语音、视频和数据的多种业务集成。 模块化、可伸缩的设计提供性能、可伸缩性、灵活性和投资保护。 高密度 ISDN PRI 功能。 预配置的 BRI 和 PRI 调制解调器捆绑。支持 Modem-over-BRI 功能性。集成了 Cisco IOS 软件(产品定价中包括IP IOS软件)。完全支持VPN。
46
致 谢
在本次的毕业设计过程中,遇到了许多的问题,自己以前所学的很多基础知识并不是记得的很牢固。但通过在黄明志指导老师指导下,自己去网上,图书馆搜集资料,再加上老师提供给我的相关资料和方法,问题得到解决,感觉自己充实了许多。
在本次毕业设计中体会最深的是:网络设计是一项细腻而复杂的工作,它需要设计者有着扎实的专业基础知识和相关的编程经验,从课题的提出到调查和需求分析以及软件的最终实现,无不体现所有知识的融会贯通。总感觉所学的知识太抽象,怎么也联系不起来,在方案的开发过程中才发现它们是如此的密不可分不可孤立。在贯通知识的同时,也培养了网络组建的能力。
总之,本次毕业设计是对自己以前所学的知识进行系统的综合、升华;自己收获匪浅。在本次毕业设计过程中,在黄老师的耐心指导及自己的努力学习下,基本上完成了预定目标。在这里,再次对指导老师表示最衷心的感谢,并祝愿指导我们这一届毕业生的老师们工作顺利!身体健康
47
48
因篇幅问题不能全部显示,请点此查看更多更全内容