1、 湖南涉外经济学院课 程 设 计 报 告2013 年 12 月 12 日课程名称 计算机网络原理与应用题 目 中型企业局域网系统设计 组 员 汤佳冕学 院 信息科学与工程学院班 级 计科 1101 班指导教师 彭 浩摘 要在信息化生产逐步普及的今天,组建企业内部网络已经是企业必不可少的一部分,建立高速、稳定、安全、智能的办公网,是组建中小型企业局域网的核心。本论文所阐述的网络是使用业界流行的核心层汇聚层分布层三层结构设计的中小型企业网,结合广为使用的虚拟局域网 VLAN,以增强各 VLAN 内部数据传输安全性;快速生成树协议 RSTP,以保障各个 VLAN 间通信的稳定性;开放式最短路径优先
2、OSPF,以确保网络有较强的可扩展能力;网络端口地址转换NAPT,以确保公司内部主机利用一个合法的外网 IP 地址访问外网。设计中采用虚拟局域网来逻辑上划分不同部门,以达到增强企业网络安全性以及快速性、防止网络风暴的目的;在规划好的 VLAN 的基础上,采用快速生成树协议(RSTP) ,保证各 VLAN 之间数据传送的可靠性;不同 VLAN 之间采用三层交换机进行通信,通过路由转发;并在核心层交换机以及内部路由器上采用开放式最短路径优先(OSPF)技术,形成全网的路由信息,提高企业网络的整体稳定性;在边界路由器上设置网络地址转换(NAPT) ,将企业内部私有地址转换为公网地址,实现了多个用户同
3、时公用一个合法 IP 与外部 Internet 进行通信,解决 IP 地址短缺的问题。任务分配表第 组 学号 姓名 负责部分 成绩组长 11430121150734 汤佳冕 详细设计11430121150734 汤佳冕 系统测试11430121150734 汤佳冕 系统功能分析组员11430121150734 汤佳冕 资料收集整理指导教师评语:目录前 言 1一系统功能分析 .31.1 用户需求分析 31.1.1 网络平台需求 31.1.2 外网安全 31.1.3 内网安全 .41.1.4 总体需求分析 51.2 组建局域网的设计目标和原则 51.2.1 核心交换机的高数据处理性能 .51.2.
4、2 核心交换机的高可靠性 .61.2.3 核心交换机的灵活扩充性 61.2.4 网络的安全性 71.2.5 网络的可管理性 7二.详细设计 .92.1 网络结构设计方案 92.2 设备选择及其功能介绍 .102.3 虚拟局域网(vlan)设计方案 122.3.1 VLAN 技术简介 .122.3.2 VLAN 方案设计 .132.4 第三层交换技术设计方案 142.4.1 IP 地址规划与设计方案 142.5 协议的选择与配置 .152.5.1 开放式最短路径优先(OSPF)协议 .162.5.2 快速生成树协议 RSTP( Rapid Spanning Tree Protocol) 182.
5、5.3 网络端口地址转换协议 NAPT(Network Address Port Translation ) .192.6 中型企业局域网系统总体规划与设计实现 .21三系统测试 223.1 企业内部间的通信测试 .223.2 企业内部与外网联通性测试 .23四.总结 .24参考文献 .250前 言1.1 选题背景企业网最原始的网络需求来自于对 LAN 上共享资源、业务的开展需要,最小规模的局域网可能就要算通过 1 台共享式集线器来连接打印机、文件服务器的组建模式了,但是,在信息科技日益发展的今天,基于共享式技术的网络已经不能符合当前企业 IT 发展的需求,更高速、更可靠、更安全以及更方便的网
6、络和业务管理已经成为新时期企业局域网的关注重点。如何最大程度的满足企业的这些需求正是本文最关心的问题。1.2 选题的目的和意义企业局域网系统应是一个统一、可靠、安全的专用信息通信平台,支持话音、数据和图像的交换与传输,实现计算机数据、话音、电视会议、图片传输等多种信息通信业务,并具有完备的网络管理系统。在先进成熟的计算机和通信技术基础上,企业要建设成光纤网络,使企业各部门实现宏观决策科学化,办公自动化,信息交换网络化,提高宏观决策和调控能力,促进企业信息化,同时有助于加快信息经济建设。1.3 可行性分析根据企业的实际情况,总结出该计算机网络有如下需求:企业网络系统本着实用、经济可靠的原则,采用
7、交换式以太网方案。采用内部 IP 地址。网络采用两极交换结构,中心交换机采用三层交换机,构成千兆主干,中心交换机应有足够的插槽用于以后的扩展,至少有 24 个 10/100M 自适应端口用于连接服务器,光纤端口依实际应用提供,电源应有冗余;每个分配线间各放置若干台 24 口交换机作为二级交换机,用千兆光纤口用于上连,可以为用户提供交换式 100Mbps 带宽,彼此间采用堆叠连接。是为入住企业的单位提供宽带国际互联网络接入服务、内部网络通讯平台、计算机应用服务的综合性专用计算机数据通信网络。为了使本网络设计向统一管理、高速宽带、复杂应用方向发展,本设计所建设的网络将为各入住单位系统内部互联网络系
8、统提供一个统一的数据通信网络平台,各网络系统的信息都可在此数据通信网上传递,并可通过统一的网管系统提供统一的管理功能。1.4 研究的基本思路根据对所选题目背景、目的、意义和可行性的分析,总结出设计思路如下:1选择合适的网络层次模型规划企业网络架构,合理分配企业内部的 IP 地址。采用稳定高效的路由协议连通企业内部网,并在此基础上设计安全策略,增强企业数据的保密性,保证商业机密的安全。设置策略或设备的冗余,保证企业网络在遭遇突发故障时能顺利切换线路,保障数据的完整性,避免重要信息的丢失,增强网络的稳定性。最后,选择合适的网络设备,在顾及网络性能的前提下,优化企业的资源配置。0一系统功能分析1.1
9、 用户需求分析1.1.1 网络平台需求利用目前最流行的千兆以太网技术实现企业网络为千兆主干、百兆交换到桌面,全方位支持企业的信息处理与交换的传输、操作和策略服务。网络总体结构分为网络互连、核心节点、楼层交换三个层面。一般采用交换,必要时实现路由隔离。网络根据业务用户分布和数据的流向,合理的进行网段划分。允许采用虚拟网 VLAN(Virtual Local Area Network ) 。实现各计算机网络系统的互联,形成公共信息的交换环境,为企业用户提供网络服务平台。 实现信息资源和软硬件资源共享,提供丰富的网络信息服务,以推动办公自动化。1.1.2 外网安全由于外网主要运行企业各部门非涉密的内
10、部办公业务以及运行面向客户的公开信息,所以必须采取过硬的安全技术来实现企业的网络系统不受 Internet的“黑客” 、病毒等攻击。外网对安全的需求包括物理安全需求、数据链路层需求、入侵检测系统需求、防病毒系统需求和安全管理体制等。 物理安全需求:针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放机密信息的机房进行必要的设计,如构建屏蔽室。采用辐射干扰机,防止电磁辐射泄漏机密信息。对重要的设备进行冗余配置;对重要系统进行备份等安全保护。 数据链路层需求:信息的泄漏很多都是在链路上被搭线窃取,数据也可能因为在链路上被截获、被篡改后传输给对方,造成数据真实性、完整性得不到保证。如果利用加密设
11、备对传输数据进行加密,使得在网上传输的数据以密文传输。因为数据是密文,所以,即使在传输过程中被截获,入侵者也读不懂,而且加密机还能通过先进行技术手段,对数据传输过程中的完整性、真实性进1行鉴别。可以保证数据的保密性、完整性及可靠性。因此,可能需要配备加密设备对数据进行传输加密。 入侵检测系统需求:网络安全是整体的、动态的,不是单一产品能够完全实现的,所以为了确保网络更加安全必须配备入侵检测系统,对透过防火墙的攻击进行检测并做相应反应(记录、报警、阻断) 。 防病毒系统需求:针对防病毒危害性极大并且传播极为迅速,必须配备从单机到服务器的整套防病毒软件,实现全网的病毒安全防护。 安全管理体制:安全
12、系统只能提供技术手段和措施,但人为的因素不可忽略,只有确立健全的安全管理体制,设立相应的安全管理岗位,从制度上加以严格管理。1.1.3 内网安全运用多种技术,如 VLAN、防病毒体系等,对各个部门、系所访问进行控制,各单位之间在未授权的情况下不能互相访问,保证系统内部的安全。内网对安全的需求包括 VLAN 设置需求、防病毒系统需求和网络系统管理等。 VLAN 设置需求:企业网络内部的环境比较复杂,而且各子网的分布区域广,网络用户多,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部
13、网络运行的可靠性和安全性,必须要对它进行详尽的设计,尽可能防护到网络的每一节点。 防病毒系统需求:针对防病毒危害性极大并且传播极为迅速,必须配备从单机到服务器的整套防病毒软件,实现全网的病毒安全防护。 网络系统管理:系统中包含大量的网络设备,必须为其配置功能强大的管理系统,该系统应具有以下功能:(1)虚拟网管理、分配;(2)对所有网络设备端口的监视和管理;(3)对网络流量的监测和管理;(4)对所有网络设备的远程管理和控制,包括网络端口设备的开放和关闭;(5)整个网络的故障监测,故障自动报警功能;2(6)整个网络性能的统计和分析报告。1.1.4 总体需求分析总体需求是将企业网络建成以办公自动化为
14、主的硬件平台系统。通过对以上具体要求和本企业的业务需求分析以及与高层领导的沟通,总结出企业网络系统的需求包括以下几点:(1)适应桌面计算机处理、I/O 能力大幅度提高的现状,发挥桌面机的网络性能,提高桌面机的访问带宽;(2)适应连网规模大、总流量大的情况,合理分布流量,实现流量隔离和控制;(3)适应部门多、层次复杂的特点,合理进行网络划分,实现有效的安全访问控制和运行管理;(4)能够向未来的高速网络技术和不断出现的新应用过渡;(5)实现网络互联,解决互联网络带来的安全问题和管理问题,实现外部网络主机能访问公司内部服务器,以了解公司信息以及产品发布动态,为客户/服务器的应用环境提供支撑;(6)增
15、加网络系统的运行可靠性,降低故障隐患,提高系统的可管理性。1.2 组建局域网的设计目标和原则1.2.1 核心交换机的高数据处理性能核心交换机满足网络中心海量数据交换的要求,连接中心的通讯链路带宽满足应用的性能要求。在 Intranet 网络应用环境中心,WWW 服务器、FTP 服务器、E-Mail 等服务器群支撑着整个企业的应用服务。各部门用户客户端软件,透过网络访问中心服务器,请求应用,查询数据库。网络的负载流量主要是从边缘设备到核心的数据交换,随着业务的发展,网络规模的扩展,以及应用的信息交换量增加,使得网络通常会在核心发生通讯瓶颈现象,改善局域网的网络数据交换性能,往往是首先扩充核心交换
16、机的交换性能,增加边缘设备到核心的数据通讯带宽,3以减轻整个网络的瓶颈,使得应用软件的性能和效率得到提高。因此在设计局域网的原则上,首先应该考虑满足网络规模所要求的核心设备数据交换处理能力,以及边缘设备到核心的链路带宽。1.2.2 核心交换机的高可靠性随着信息化社会的飞速发展,普遍采用了 Intranet 应用模式,实现管理和生产自动化,提高管理效率,管理水平。支持单位应用的基础设施是网络。它直接影响到办公应用环境,交易、生产、开发、设计等业务环境,财务管理,部品管理等环境,信息检索、数据库查询、Internet 浏览等支持正常运行的必要服务设施功能。网络的可靠性要求是保障应用环境正常运行的首
17、要条件,网络要求可靠性的同时,要求网络具有高可用性。网络设备的选择,尤其是核心机箱式设备,应该可以配置冗余部件,关键部件不存在单一故障点,也就是说,像交换机的电源、风扇、交换引擎、管理模块这些部件可以冗余备份,其中之一任何部件的损坏,不会影响设备的正常运行,不会影响网络的连通。提供网络设备的可靠性,容错性的另一个要求是设备损坏部件更换时,不需要停机,更换部件后不需要重新启动,也就是说部件的更换可以进行在线操作,这样可以使停机的时间降低到最小。在设计局域网的原则上提高网络的高可靠性、高可用性原则是至关重要的,不仅要求设备的部件冗余,同时要求网络的链路冗余,以保证网络可以在任何时间、任何地点提供信
18、息访问服务。1.2.3 核心交换机的灵活扩充性核心交换机应该具备灵活的端口扩充能力,模块扩充能力,满足网络规模的扩充。同时提高性能,满足更高性能的要求。在设计局域网的方案上,首先是满足现有规模的网络用户的需求,同时考虑到业务发展、规模的扩大,应该设计网络具有用户端口的扩充能力。核心设备是整个网络的枢纽,用户端口数的扩充,需要增加配线间边缘工作组的设备,增加边缘设备的同时,要求连接核心骨干设备的端口数相应增加,因此核心设备应该可以通过增加模块来灵活地增加端口数。核心设备的机箱设计应该具备强大的背板带宽,足够多的负载插槽容量。对于交换机来说,核心交换引擎应4该可以满足最大配置下,无阻塞的进行端口数
19、据包交换,模块的扩充不影响交换性能。采用分布式交换结构是实现这一原则的最佳方案,分布式交换机结构实现了交换机的并行数据交换处理,优化了网络的性能,本地交换和全局交换相结合的分布式结构减少了交换引擎的压力。因此在设计大规模网络的原则上普遍采用分布式交换机实现灵活的模块、端口扩充能力。1.2.4 网络的安全性可以有效的控制网络的访问,灵活的实施网络的安全控制策略。网络的安全性对局域网的设计是非常重要的,合理的网络安全控制,可以使应用环境中的资源得到有效的保护。在网络中,关键应用服务器、核心网络设备,只有系统管理人员才有操作、控制的权力。应用客户端只有应用访问的权限,网络应该能够阻止黑客的任何非法操
20、作。在网络设备上应该可以进行基于协议、基于 Mac 地址、基于 IP 地址的包过滤控制功能。在大规模网络的设计上,划分虚拟子网,一方面可以有效的隔离子网内的大量广播,另一方面隔离网络子网间的通讯,控制了资源的访问权限,提高了网络的安全性。在设计局域网的原则上必须强调网络安全控制能力,使网络可以任意连接,又可以从第二层、第三层控制网络的访问。1.2.5 网络的可管理性网络中的任何设备均可以通过网络管理平台进行控制,网络的设备状态,故障报警等都可以通过网管平台进行监控,通过网络管理平台简化管理工作,提高网络管理的效率。在设计局域网时,选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备
21、配置,网络拓扑结构表示,网络设备的状态的显示,网络设备的故障事件报警,网络流量统计分析以及计费等等。网管软件的应用可以提高网络管理的效率,减轻网络管理人员的负担。网络管理的目标是实现零管理,基于策略的管理方式,网络管理是通过制定统一的策略,由管理策略服务器进行全局控制的。基于 Web 的网管界面,是网管软件的发展趋势,灵活的操作方式简化了管理人员的工作。在设计局域网的设备选择上,要求网络设备支持标5准的网络管理协议 SNMP(Simple Network Management Protocol ) ,在设计局域网的原则上应该要求设备的可管理性,同时先进的网管软件可以支持网络维护、监控、配置等功
22、能。网络设备采用开放技术、支持标准协议:采用标准的协议保护用户的投资,提高设备的互操作性。局域网的设备要求具有可互操作性,设备的技术采用开放技术,协议标准,支持跨平台之间的相互连接与通讯。在设计网络的原则上,发挥不同厂商产品的专用先进技术同时,必须强调考察设备的技术、协议的标准性。6二.详细设计2.1 网络结构设计方案对于网络平台的网络结构,建议采用模块化的设计思想,按照功能划分为以下区块:交换区块和核心区块。对于由交换区块和核心区块构成的局域网再按照目前流行的层次化的设计思想,划分为接入层、汇聚层和核心层。1、交换区块的主要功能是提供用户的接入点,并防止广播数据流和网络问题到达核心区块或者其
23、他区块,交换区块由接入层交换机和汇聚层交换机构成:(1)接入层:接入层设备作为最终用户的网络接入点,使用 100MHz 双绞线连接各层桌面终端,为每个用户提供专用的带宽,并可基于端口或 MAC 地址的 VLAN 成员资格和流量进行过滤,接入层主要的设计原则是能够通过低成本、高端口密度的设备提供这些功能。(2)汇聚层:接入层交换机使用 100M 双绞线汇聚到一台或者多台汇聚层设备,汇聚层设备在接入层交换机之间提供第二层连接,作为接入层交换机的集中连接点及接入层和核心层之间的分界点,汇聚层在提供接入层接入的同时,还能够做到广播域的隔离、不同网段之间的路由、介质转换、安全控制。2、核心区块是园区网络
24、的主干,主要功能是在交换区块之间用最小的时延传输数据,尽可能快的将交换数据提供到其他区块(比如交换区块) 。核心区块由核心层构成,包含一个或一组用来连接多个交换区块的交换机。核心层交换机负责所有交换区块设备和广域网设备的接入,因此需要高速的数据转发能力。作为企业网络的心脏,核心层也是路由协议最优选路和运行稳定的保证,需要合理的配置路由协议,并添加冗余处理器或者应用冗余协议来保障网络核心的稳定,使企业数据流正常运作。网络结构的设计是整个网络系统设计的基础,一个优秀的网络结构设计方案有利于提高网络的性能、可靠性及将来网络的扩展能力,并能够有效的减少维护难度,本论文设计的网络结构拓扑图如图 2.1,
25、7图 2.1 网络结构拓扑图2.2 设备选择及其功能介绍 Cisco catayst 2950 的传输速率为 10Mbps/100Mbps,24 个端口,支持 VLAN,背板带宽为 8.8Gbps,完全满足接入层的数据传输需求并有很大的扩展空间。 Cisco catayst 2960 为企业级交换机,传输数率为 10/100/1000Mbps背板带宽为 16Gbps。考虑到综合布线系统中各大楼建筑物之间采用光纤作为传输介质,以及公司内部服务器区至少需要提供一个百兆/千兆电口连接至核心区,若干快速以太网电口用于连接服务器组,汇聚层和服务器区应该采用 2960。 Cisco catayst 356
26、0 性能参数见表 3.1。作为核心层的交换机,必须提供稳定可靠的高速交换,并且能够连接各种接口类型,也能够提供各个 VLAN之间的路由转发,核心层应该采用 3560,并有很好的扩展性和灵活性。 室外一般采用光纤传输介质,考虑到网络应用涉及到音频、视频、数据传输,为保证传输带宽和质量,核心层与各汇聚层也应该采用光纤传输,室内其它部分采用非屏蔽 5 类双绞线即可满足现代网络数据传送要求。根据设计方案,综合企业网络对传输速度、安全性、稳定性以及资金的考虑,对网络设备及相关线材、软件的选型如表 2.2 所示:8表 2.1 Cisco catayst 3560 性能参数表背板带宽 32Gbps包转发率
27、13.1Mpps外形尺寸 30144544mm重量 4.1Kg 有奖找错硬件参数接口类型 10/100BASE-TX 端口, 10/100Base-T 端口, 10/100/1000BASE-T 端口,RJ45接口数目 48口传输速率 10M/100M/1000Mbps表 2.2 设备清单表品名 规格 数量服务器 略 2 台交换机 Cisco catayst 35601 台Cisco catayst 29506 台Cisco catayst 29603 台路由器 Router-PT 1 台光纤 室外用 12 芯多模 光纤配线架 光纤配线面板 光纤耦合器 光纤收发器 10/100M PVC 管材
28、 室外用 双绞线 超五类非屏蔽 PVC 管材 室内用 标签条 Windows 2003 serverMicrosoft office 简体中文标准版 卡巴斯基杀毒 正版授权 WinRAR Flashget Realone player 9安全卫士 2.3 虚拟局域网(vlan)设计方案划分虚拟局域网是整个网络系统的重要技术之一。企业网络内部的环境复杂、分布区域广、网络用户多,以至于企业内部网络用户的可靠性得不到完全的保证。通过划分虚拟局域网,隔离不同部门,可以增强企业网络安全性,以下详细论述了虚拟局域网的技术及在网络系统中的必要性和设计方案。2.3.1 VLAN 技术简介以太网基本上是以广播为
29、基础的,如最初包的寻址等,交换机虽然能够通过建立地址映射表减少不必要的广播的,网络节点(如 PC 机)在处理广播时浪费了 CPU 处理时间,降低了处理性能,根据统计,当网络上存在 15000 个广播包时,将耗尽 CPU 资源;在传统的网络里,节点的吞吐量都会随着节点的增多,但是地址映射表的建立过程仍然是基于广播而下降,交换式以太网虽然能够隔离冲突域及第二层广播,但是无法隔离第三层网络。另一方面,接入网需要保障用户数据(单播地址的帧)的安全性,隔离携带有用户信息的广播消息(如 ARP、DHCP 消息等) ,防止关键设备受到攻击。对每个用户而言,当然不希望他的信息被别人利用,因此需要从物理上隔离用
30、户数据(单播地址的帧) ,保证用户单播地址的帧只有该用户可以接收到,不像在局域网中采用共享总线方式,使单播地址的帧能被总线上的所有用户接收。如果不隔离这些广播消息而让其他用户接收到,容易发生 MAC/IP 地址仿冒,影响设备的正常运行,中断合法用户的通信过程。为了隔离第三层广播,增强安全性、提高网络性能,可以运用 VLAN(虚拟局域网)技术或者使用路由设备。使用路由器时可以将网络划分多个物理网段,这些物理网段可以连接到路由器的多个端口,多个物理网段间通过路由器进行通信,但是路由器的端口价格远远高出交换机的端口价格,所以这种方式将增加设备投资,在物理网段增多时就更为严重,而且只有使用高端设备才能
31、满足高端口密度的要求,所以不推荐这种方式。VLAN 技术不需要特殊的设备,目前第二层交换机均支持 VLAN 技术。通过在一个物理网段上划分出多个逻辑网段,由每一个逻辑网段构成一个 VLAN,其内部采用交换机连接,所有的广播信息只限制在本 VLAN 内,而之间的连接则采用路由实现,具体实施时可以外加路由器,或者直接使用第三层交换设备。使10用路由器时,将这些逻辑网段连接到路由器时可以只使用一条物理链路、占用一个路由器接口,这样就节省了设备的投资,而使用三层交换设备时,不需要额外增加设备,只要交换机支持三层路由功能即可,由于三层交换设备的工作效率高于路由器,所以在本论文中推荐采用三层交换设备实现
32、VLAN 之间的路由。2.3.2 VLAN 方案设计目前,VLAN 技术可以使用以下方式组建:基于交换机端口的 VLAN、基于MAC 地址的 VLAN 和基于应用协议的 VLAN:基于端口的 VLAN,即静态 VLAN,特点是技术简单,容易配置且维护工作量小,缺点是终端设备移动时需要更改设备配置。基于 MAC 地址的 VLAN,即动态 VLAN,基于 VLAN 策略服务组建,特点是终端设备可以在整个局域网中移动而不用改变配置,适合于移动办公型的网络环境,缺点是配置工作量大、繁琐。由于交换机为二层设备,所以基于应用协议的 VLAN 对于交换机来说没有任何意义,反而会造成交换机性能的下降。考虑到本
33、系统的特点,节点在网络中内移动的可能性较小,基于易维护、易管理方面的考虑,使用基于交换机端口的 VLAN 进行配置。VLAN 规划参照图 2.2,各个 VLAN 间由 ACL 控制,限制互访。其中VLAN1031 为部门 VLAN,禁止互访,VLAN 51 为文件服务器区,能被任何部门访问,VLAN 52 为网管区,能单向访问各个部门。 11图 2.2 Vlan 及 IP 地址规划图2.4 第三层交换技术设计方案顾名思义,第三层交换器就是将第二层的交换器与第三层的路由器合二为一,使路由器根据第二层的地址转发数据包以达到快速通讯,这就形成了第三层交换器。第三层交换出现因于异步传输模式 ATM(A
34、synchronous Transfer Mode )与交换器的技术背景,因为传统的网络是由路由器作为中心的。使用第二层交换器使网络速度提升,可是在网络中使用过多的交换器,所有交换器所架构的网络可能会形成广播风暴,所以需要路由器来隔离可能会形成的广播风暴,为了使路由器不会形成网络的瓶颈,就形成了第三层交换。VLAN 将广播域进行分割,但透过 VLAN 进行通讯则必须通过路由器进行转发。所有核心层交换机均为三层交换,手动配置 OSPF(Open Shortest Path First )协议以及添加直连网络 IP 地址,并要采用静态 IP 地址。2.4.1 IP 地址规划与设计方案路由组织及其方
35、案是 IP 网络中的基本问题之一,涉及网络的连通性、可达性、稳定性、精确性和易管理性,其设计的好坏直接影响着网络性能。路由组织应根据网络对路由信息的需求,设计网络中路由信息的分布。12因为 IP 地址的规划与路由策略息息相关,所以在以 IP 地址规划的基础上,选择企业网络平台中最优的路由设计方案,以下详细论述了 IP 地址规划与路由设计方案。IP 地址是整个网络系统运行的基石,IP 地址规划不仅应该满足当前的需求,还应该充分的考虑系统将来的扩展性,以满足将来发展的需要。因此需要对企业网络系统的 IP 地址进行统一规划, IP 地址规划方案如下:在整个网络环境中必须保持 IP 地址的唯一性;根据
36、业务情况,为每个部门局域网分配一个 C 类地址段(指掩码为255.255.255.0 的地址段) ,满足当前要求,并留有一定的扩充余地(如 2-3 倍),便于将来增加节点。地址分配具有层次性和连续性,便于管理,即在 IP 地址规划时应该充分的考虑利用路由汇总技术,减少路由波动,使得各局部的变动不影响整个网络的其它部分,增加网络的稳定性,同时由于路由汇总技术能够缩减路由表项数,所以还能够提高路由器的处理效率。使用 VLSM 技术,在划分 IP 地址时应该尽可能的减少 IP 地址浪费:三层交换设备之间的互联 IP 地址使用 30 位子网掩码(255.255.255.252) ,以节约 IP 地址;
37、在访问 Internet 时,使用 NAPT(Network Address Port Translation )进行地址或者端口翻译,把私网地址转换成公网地址,以获得对 Internet 的访问;各局域网内,根据业务情况,本着满足需求和扩展性的要求,划分并预留出以下地址段:网络设备地址段、服务器地址段、办公网段。在划分这些网段时,需要注意所有单位应该统一规划,以使地址分段全网统一,便于维护,其IP 地址详细规划如表 2.3:表 2.3 IP 地址规划表设备名 接口 地址 说明PC1 F0/0 192.168.10.1/24 Vlan 10 PC2 F0/0 192.168.11.1/24 V
38、lan 11PC3 F0/0 192.168.20.1/24 Vlan 20Server F0/0 192.168.51.1/32 Vlan 50Core SW F0/3 192.168.40.1/30 Vlan 40Router s2/0 222.2.2.1/24 Router1 to CloudF0/0 192.168.40.2/30 Router1 to FR0Cloud s1/0 222.2.2.2/24 Cloud to Router113以上 IP 地址都应采用静态形式,其它部分可以采用动态分配,以避免 IP地址浪费,并且 IP 地址对用户透明,简单方便。静态地址区域设备作用很大,
39、涉及到访问公司内部机密资料的访问权限,所以应考虑到静态 IP 地址的盗用问题。由于 IP 地址容易改动,而介质访问控制层 MAC(Medium Access Control )地址存储在网卡的电可擦可编程只读存储器 EEPROM(Electrically Erasable Programmable Read-Only Memory)中,而且网卡的 MAC 地址是唯一确定的。因此,为防止内部人员非法 IP 盗用,以获得权外信息,可以将内部网络的 IP 地址与 MAC 地址绑定,盗用者即使修改了 IP,也因 MAC 地址不匹配而盗用失败。2.5 协议的选择与配置各协议分配区如图 2.3 所示。图
40、2.3 各协议分配区2.5.1 开放式最短路径优先(OSPF)协议路由器上指明去另一点需要走的具体路径。动态路由是网络上的所有路由器互相通告自己所连的网段,各路由器根据某种算法计算出到每一点的最佳路14径。静态路由方式适用于网络拓扑结构确定并且结构简单,IP 地址规划完善,网络规模较小的场合。静态路由配置简单,调试方便,但由于静态路由在网络上每增加一个点时,都需要在网络上所有现有路由器中增加路由,这样使得静态路由不适合于网络规模较大,网络不断发展的场合,而动态路由因为在网络上的路由器之间相互交换路由信息,增加一个节点时,网络上的其他路由器的配置可以不作任何修改,非常便于网络的扩展,根据企业网络
41、系统的网络规模、结构和将来的扩展能力,使用动态路由协议。在动态路由中比较常用的协议有以下几种:路由信息协议(RIP)、增强内部网关路由协议(EIGRP)和开放式最短路径优先(OSPF)。RIP 和 EIGRP 属于距离向量协议,OSPF 属于链路状态协议;RIP 配置简单,适合于较小规模的网络,这就限制了网络的发展;EIGRP 路由协议只适用于所有设备都是 Cisco 产品的情况,这就限制了网络产品的选型,降低了网络的灵活性,不适于网络规模的扩展;OSPF 虽然配置复杂,但是非常适合于较大规模的网络。因此,在整个企业网络中建议使用适合大型网络运行的内部网关协议:OSPF,OSPF 由于其快速的
42、收敛速度,较低的带宽开销和极大的应用普遍性成为大型网络 IGP 的不二选择,目前中国公众多媒体网骨干网部分所运行的协议就是 OSPF,而且 Chinanet(163)电信宽带网也大都运行 OSPF 路由协议。开放式最短路径优先路由选择协议(OSPF)是于 20 世纪 80 年代后期发展起来,并且早在 90 年代初就由互联网组织实现成为一个现代的与提供方无关的协议。在同一时期,RIP 协议已成为最主要的协议,但它随着网络规模的增长,已逐渐暴露出一些问题。CISCO 的 IGRP 协议是可用的,并有更优秀的路径选择特性,但它属于专门的公司且收敛时间太长。OSPF 协议的发展借鉴了许多其他路由选择协
43、议的思想:包括最初的ARPANET 链路的状态协议和 OSI 协议。大规模地运用 OSPF 协议的网络必须使用分层网络拓扑结构。这在实现上更容易一些,但发生协议变动时,可能会改变拓扑结构。OSPF 协议属于链路状态路由协议,链路状态路由协议是通过给每个路由器提供足够的信息,使其能构建一张完整的网络映射图从而实现的。该图中的元素包含在路由器的“链路状态数据库”中,库中包含一个详尽的且易于了解的关于给定的链路状态路由域所有链路的列表。在 OSPF 中,链路状态数据库列出了链路状态路由域中特定区域的所有链路。链路状态路由域或区域中的每一个路由器,其链路状态数据库的内容都是一致的。每个路由器都根据自己
44、的拓扑15数据库来确定它在网络中的位置,并以此计算自己的路由表。目前,虽然距离向量算法已经有了一定的改进,如 EIGRP 的 DUAL 算法。但仍然不及 OSPF 的链路状态算法成功。部分原因是链路状态算法本身从根本上改善了路由性能,而且比起 EIGRP 来,OSPF 提供了更多更灵活的路由控制策略,方便复杂网络结构的用户实施路由规划。另一方面则在于 OSPF 的开放性,为用户网络今后的扩展提供了较大的空间和灵活性,从而获得了广泛的认可,使之成为内部路由协议的一种较佳选择。总的来说 OSPF 路由协议具有以下优点:(1)节省网络带宽:OSPF 属于链路状态协议,只有当网络连接状态发生变化时才彼
45、此更新变化了的拓扑信息,而并非整个网络的 LSDB,从而大大节省了网络带宽,这对于大型的广域网来说很重要。(2)支持 VLSM:OSPF LSA(Link State Advertisement)中包含子网掩码。支持层次化的网络结构设计:网络设计人员可以把一个大型 OSPF 网络分成若干域(Area),其中一个是主干域(Backbone Area, Area ID 0.0.0.0),其它非主干域均与主干域相连,并通过主干域交换 LSDB。(3)没有路由跳数限制:OSFF 路由表是基于 LSDB 运行 Dijkstra 算法计算出来的,没有跳数限制。(4)没有路由环路问题:OSPF 属于 Lin
46、k-State 路由协议,没有环路问题。核心层高性能交换机和路由器为 Area 0,作为整个 OSPF 路由系统域的路由主干,并作为自治系统边界路由器(ASBR)连接各接入层交换机。在核心层设备上进行配置,对相应的非 0 区域的路由表进行汇聚。在核心层三层交换机上配置 OSPF 协议如表 2.4:表 2.4 核心层三层交换机 OSPF 协议配置interface Vlan10 ip address 192.168.10.1 255.255.255.0interface Vlan11 ip address 192.168.11.1 255.255.255.0interface Vlan20 ip
47、 address 192.168.20.1 255.255.255.0interface Vlan50 ip address 192.168.51.1 255.255.255.255interface Vlan40 ip address 192.168.40.1255.255.255.252router ospf 1log-adjacency-changesnetwork 192.168.10.0 0.0.0.255 area 0network 192.168.41.0 0.0.0.255 area 016network 192.168.70.0 0.0.0.255 area 0network
48、 192.168.11.0 0.0.0.255 area 1network 192.168.20.0 0.0.0.255 area 1network 192.168.51.0 0.0.0.255 area 12.5.2 快速生成树协议 RSTP( Rapid Spanning Tree Protocol)802.1w 由 802.1d 发展而成,这种协议在网络结构发生变化时,能更快的收敛网络。它比 802.1d 多了两种端口类型:预备端口类型(alternate port)和备份端口类型。STP(Spanning Tree Protocol)是生成树协议。该协议可应用于环路网络,通过一定的算法
49、实现路径冗余,同时将环路网络修剪成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环。STP 的基本原理是,通过在交换机之间传递一种特殊的协议报文 BPDU(在 IEEE 802.1D 中这种协议报文被称为“配置消息” )来确定网络的拓扑结构。配置消息中包含了足够的信息来保证交换机完成生成树计算。生成树协议 STP/RSTP(1)功能介绍:生成树协议最主要的应用是为了避免局域网中的网络环回,解决成环以太网网络的“广播风暴”问题,从某种意义上说是一种网络保护技术,可以消除由于失误或者意外带来的循环连接。STP 也提供了为网络提供备份连接的可能,可与 SDH 保护配合构成以太环网的双重保护。新型以太单板支持符合 ITU-T 802.1d 标准的生成树协议 STP 及 802.1w 规定的快速生成树协议 RSTP,收敛速度可达到 1s。(2) RSTP 的改进特性STP 没有明确区分端口状态与端口角色,收敛时主要依赖于端口状态的切换。RSTP 比较明确的区分了端口状态与端口角色,且其收敛时更多的是依赖于端口角色的切换 。STP 端口状态的切换必须被动的等待时间的超时。而 RSTP 端口状态的切换却是一种主动的协商。STP 中的非根网桥只能动
