1、 摘 要 在随着互联网的蓬勃发展中,其巨大的潜力已经逐渐的体现出来,一些互联企业、新兴企业已经认识到涉足传统产业已经取得不了不菲的成绩,而转占互联网络,进入互联网络的高轨中,无论是对企业利用内外部网络进行有效的管理,提高管理效率,还是利用互联网在传播和获取信息上的优势以及运用网络概念多次融资,并利用网络优势通过并购的方式切入服务行业的携程,都有着重要的意义。因此,企业的计算机网络建设是企业信息化发展的必然选择,也是企业经济长久发展的首要选择。而一个庞大的企业网络系统不仅能为企业提供企业现代化、综合信息管理和办公自动化等一系列应用基本操作平台外,还能提供多种应用服务,使信息能及时、准确地传送给各
2、个系统,并能满足企业的日后发展。而企业的计算机网络建设主要应用了网络技术的重要分支局域网技术的建设与管理,因此,本毕业设计课题将主要以中小型企业为基准组建中小企业局域网络建设可能用到的各种技术及实施方案为设计方向,为中小企业网络建设提供理论依据和实践指导。全套课题共分11章,主要解决企业局域网内部以及企业局域网之间的安全高效互联,及路由、交换技术。关键词:局域网络开发建设;VPN安全机制;路由、交换技术;网络安全技术;系统操作管理;ABSTRACT With the vigorous development of the Internet, its tremendous potential h
3、as graduallycome out now, some Internet enterprise, emerging enterprise has already realized dabblingin the traditional industry has made no significant achievement, and turned into account for the Internet, the Internet, both on high rail of internal and external enterprises using the effective man
4、agement of the network, improve the efficiency of management, or using the Internet in spreading and acquire information and advantage of using network concept, and using many times the advantage of the network financing through mergers and way of service industry, cut is of great significance. Ther
5、efore, the enterprise computer network construction is the inevitable choice of enterprise informatization development, but also the development of enterprise economic long first choice. And a huge enterprise network system not only for enterprises provide enterprises modernization, integrated infor
6、mation management and office automation and so on a series of application basic operation platform outside, still can offer various application service, make the information can timely, accurately transmitted to each system, and can meet the future development of enterprises. The computer network co
7、nstruction and enterprise network technology is mainly used as an important branch of the construction and management of the LAN technology, so the graduation design task will mainly with small and medium enterprises established for benchmark LAN construction of small and medium-sized enterprises ca
8、n use all sorts of technologies and implementation plan for design direction for small and medium-sized enterprises network construction and provide theoretical basis and practical guidance.Full subject is divided into chapter 11, mainly to solve enterprise LAN internal and enterprise LAN security a
9、nd efficiency between interconnected, and routing, exchange technology.Key words:LAN development and construction; VPN security mechanism; Routers, switches, technology; Network security technology; System operation management;目 录第1章 引 言1第2章 需求分析12.1 项目背景12.2 需求分析2第3章 网络总体建设目标23.1 项目建设目标23.2网络设计原则33
10、.3网络及系统建设内容与要求3第4章 网络总体设计44.1背景44.2 预见网络拓扑描述44.2.1 全局拓扑图44.2.2 总部拓扑图54.2.3 分部拓扑图64.3 网络层次化设计64.3.1 核心层设计64.3.2 汇聚层设计64.3.3 接入层设计7第5章 路由交换设计75.1 路由协议选择75.2 路由规划拓扑图85.3 IP地址规划85.3.1总部IP地址规划:95.3.2分部IP地址规划:9第6章 网络安全解决方案106.1 网络边界安全威胁分析106.2 网络内部安全威胁分析116.3 安全产品选型原则11第7章 网络技术介绍117.1 VLAN技术:127.1.1使用VLAN
11、技术的优势:127.1.2 VLAN划分127.2 VTP技术:137.2.1 VTP有三种工作模式:VTPServer、VTPClient和VTPTransparent。137.2.2使用VTP技术的优势:137.3 STP生成树协议:137.3.1使用STP协议的优势:137.4 EthernetChannel:137.4.1以太通道的特点:147.4.2 使用Etherchannel的优势:147.4.3以太通道的特点:147.4.4 以太通道的规则:参与捆绑的端口必须属于同一个VLAN,或者都是中继模式147.5 Trunk技术147.6 HSRP路由热备份:147.6.1 使用HSR
12、P的优势:157.7 DHCP:157.8 VPN技术:157.8.1 Site-to-Site VPN167.8.2 Easy VPN167.9 QOS技术:167.9.1 QOS的服务模型有三种常见模式:167.10 NAT技术:177.10.1 NAT的类型有:177.10.2使用静态NAT技术到的优势:177.11 ACL访问控制列表177.11.1 ACL的分类:187.11.2 ACL的特点:187.12 IOS防火墙:187.13 OSPF协议197.13.1 OSPF协议的优点:207.13.2 OSPF的网络类型20第8章 设备简介218.1 路由器218.2 交换机228.
13、2.1 三层交换机228.2.2二层交换机:238.3 服务器248.3.1联想万全R520248.3.2惠普ProLiant258.4 备份缓存:268.5 UPS电源:278.6 PC机:278.7 笔记本电脑:288.8 打印机:298.9 传真机:298.10 IP电话:308.11 烟雾防火报警器:318.12 网络硬盘录像机:318.13 监视器:328.14 监控摄像:328.15 集团电话:33第9章 服务器设计359.1 DNS服务器359.2 Apache 服务器359.3 Sendmail 服务器369.4 FTP服务器379.5 DHCP服务器37第10章 项目实施计划
14、3710.1 项目实施计划和周期3710.1.1项目实施计划:3710.12基本环境要求3910.1.3 我方人员行为规范3910.1.4 工程合格规范3910.2 售后服务3910.2.1售后服务细则:3910.2.2售后服务工作的划归3910.2.3售后服务的管理人员的资格3910.2.4资料存档3910.2.5建立联系制度4010.2.6建立定期检查和回访制度,制定回访联系单40结 束 语41参 考 文 献42致 谢43第1章 引 言随着全球性的计算机互联网络的迅速发展和普及,越来越多的企业都认识到网络改变了整个信息产业的面貌,改变了整个经济体制结构的变化,也从根本上加强促进了群体工作成
15、员之间的信息交流、资源共享、科学计算及技术合作等,进而推进了教育、科研及经济生产的发展。随之网络技术及网络互联平台也在企业的残酷竞争中脱颖而出,计算机网络规模不断扩大,网络结构日益复杂,计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应作整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据、数据做全面的防范。信息安全防范体系显示安全防范是一个动态过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。 XX公司是一家即将成立的新型的制造企业,在企业内部实现资源高度共享,为生产、办公、管理提供服;实现办公自动化,提供总部与分部、分部、与
16、分部之间通迅的出入口,提高工作效率和管理水平;及时、准确、可靠地收集、处理、存储、传输企业的办公、管理信息,实现企业资源和社会资源的有机结合;实现音频数字化资源共享、集中管理;建立企业网络管理应用系统。以顺应时代的发展趋势,充分利用现代化技术来进一步提高管理质量和办公效率。第2章 需求分析2.1 项目背景XX公司是一家即将成立的新型制造工厂,网络平台建设为总部和五个外设分部共六个网络互联平台建设。总部设计用户节点数为1000,各个分部地为10-50个用户。需要“建立一个设计规范、功能完备、性能优良、安全可靠、技术先进和实用性、兼容性、冗余、容错性、有良好的扩展性与可用性并且具备可管理易维护的网
17、络及系统平台,以高效率,高速度,低成本的方式提高公司员工的工作效率与执行效率”。2.2 需求分析本项目的网络可以划分成XX公司总部为数据中心,及5个分部网络。需要设计网络架构、IP地址架构、系统架构。其中,XX公司总部为数据中心,核心交换区,交易所接入等。数据中心作为网络互通的存放地,其性能、稳定性、安全性,、可靠性的要求最高,因此我们在设计的时候,应该考虑到这些要求。而核心交换区的功能是高速可靠地交换数据,因此该部分的设计应考虑性能和可靠性的平衡。交易所接入作为外联单位接入区域,其安全性应该是放在第一位,同时,网络互通离不开交易所的连接,因此也应该考虑冗余性。XX公司总部办公网络作为内部互联
18、单位,可信度较高,用WEB、FTP、E-MAIL、DNS、DHCP等内部服务器为员工提供内部信息,外部使用RAS服务器提供漫游员工所使用的信息。对于有些部门还要屏蔽一些网络访问(如聊天工具、种菜站点)等。因此其内部网络的可用性是首先考虑的因素。考虑到网络的安全性和可靠性,分部所需求的信息,都是由总部发起的。分部访问外网和总部采用VPN技术,通过VPN隧道保证传送信息的安全。而XX公司总部与外网连接的,需要考虑其可访问性。INTERNET用户接入,需要考虑安全性和冗余性。当前的网络管理范畴比较广,包括设备管理、资源管理、故障管理、性能管理、安全管理等。在网络规模相对较大的时候,合适的网络系统可以
19、帮助用户方便管理网络内的设备及运行情况,以提高网络的运行效率。第3章 网络总体建设目标3.1 项目建设目标XX公司网络项目工程的建设目标:1. 建立一个设计规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台,以高效率,高速度,低成本的方式提高公司员工的工作效率与执行效率。2. 工程项目完成后,网络平台总部内有大型服务器提供服务,外接分支机构网络平台的设计用户节点数,要求这些用户和总部之间 能够 高速连接并且保证与总部通信的可靠性和可行性。3. 同时要求总部内部安全机制能够提高。保证内网安全同时保证各台服务器的安全。3.2网络设计原则 作为一家优秀的系
20、统集成商,向用户提供的不仅仅是设备,而是整套的技术与服务。我们始终坚持“高标准,高性能”的原则。在方案设计时,我们将严格遵循以下设计原则:1. 高可靠性-网络系统的稳定性是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,合理设计网络结构,制定可靠地网络备份策略,保证网络具有故障自愈的能力,最大限制地支持各个系统的正常运行。2. 灵活性及可扩展性-根据未来业务的增长和变化,网络可以平滑地扩展和升级,最大限制地减少对网络架构和设备的调整。3. 高性能-承载网络性能是网络通讯系统良好运行的基础,设计中心必须保障网络及设备的高吞吐能力,保证各种信息(数据,语音,图像)的高质量传输,才能使
21、网络不成为各项业务开展的瓶颈。4. 性价比高-网络方案的设计必须充分考虑投资保护。3.3网络及系统建设内容与要求我们把整个网络分为内部交换网络设计、网络出口设计,网络安全设计三大部分:对于内部交换网络我们采用传统分层设计。内部交换网络分成核心层、汇聚层和接入层三大部分。1. 核心层作为整个网络系统的核心,其主要功能是高速、可靠的进行数据交换。为加速数据的快速转发,我们在核心层采用以太通道技术,增加网络带宽,提高数据转发效率。为提高网络链路的冗余性,解决局域网中的网络中断问题,采用HSRP路由热备份技术进行热备,STP技术,保证链路的冗余性等,使用VLAN技术进行虚拟局域网的划分,保证网络的高效
22、。2. 汇聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由服务,认证管理等.通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层。汇聚层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定,因此在汇聚层使用VALN技术进行虚拟局域网的划分,为了保证链路的冗余性采用STP技术。3. 接入层主要提供最终用户接入网络的途径。主要进行vlan的划分等。对于边界网络,网络的安全是一个需要考虑的重要因素,所以应部署相应的安全策略以防止黑客攻击,边界设备的冗余设计也是需要考虑的,防止单点故障。因此,除了在选择设备是考虑安全机制因素外,
23、还在总部与分部间使用VPN技术,来保障局域网与局域网之间互访的可靠性和高效性。对于服务器,采用Raid5磁盘阵列,数据除第一次用完全备份后,以后每天做增量备份,备份的的服务器或设备单独放置其他全安地点。第4章 网络总体设计4.1背景XX公司是一家即将成立的新型制造工厂,网络平台建设为总部和五个外设分部共六个网络互联平台建设。总部设计用户节点数为1000,各个分部地为10-50个用户。需要“建立一个设计规范、功能完备、性能优良、安全可靠、技术先进和实用性、兼容性、冗余、容错性、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台,以高效率,高速度,低成本的方式提高公司员工的工作效率与执行效
24、率”。4.2 预见网络拓扑描述4.2.1 全局拓扑图 4.2.2 总部拓扑图 4.2.3 分部拓扑图4.3 网络层次化设计根据XX公司的实际情况,我们把整个网络分为局域网络设计、网络安全设计和Internet网络互联设计几大部分。在局域网络设计中采取分层网络设计。其分层网络主要包括核心层、分布层和接入层三大部分。核心层 核心层作为整个网络系统的核心,其主要功能是高速、可靠的进行数据交换。所以在设计时首要目标是追求高速,其次才考虑系统开销较大的功能。分布层分布层主要进行接入层的数据流量汇聚,并对数据流量进行访问控制。同时,分布层是核心层的边界,它将影响核心层高速的因素局限在一个较小的范围,处理工
25、作组访问,定义广播/组播域等。接入层接入层主要提供最终用户接入网络的途径。主要是进行vlan的划分、与分布层的连接等4.3.1 核心层设计核心交换区的作用是尽快地提供所有区域的数据交换。因此我们推荐核心层采用两台Cisco WS-C3560G-24TS-S三层千兆交换机,以实现路由热备、链路聚合、冗余和负载均衡以及实现VLAN技术。4.3.2 汇聚层设计汇聚层是连接接入层和核心层的网络设备,为接入层提供数据的汇聚、传输、管理、分发处理.汇聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由服务。认证管理等.通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层。汇聚
26、层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定。因此在这项设计中我们将采用Cisco Catalyst 2950T-24作为汇聚层的交换机,用于实现VLAN技术划分多个虚拟局域网,保障网络的高效;实现STP技术在达到交换机间的冗余连接的同时,避免网络环路的出现;实现VTP技术防止不需要的广播信息从一个VLAN泛洪到VTP域中所有的中继链路。4.3.3 接入层设计接入层是指网络中直接面向用户连接或访问的部分。接入层目的是允许终端用户连接到网络,因此接入层交换机具有低成本和高端口密度特性。在本网络中接入为各个分公司的交换机,因为分公司的所有数据流都必
27、须经过它来传输所以它同样要求具备高稳定性和高可靠性。根据XX公司总部与分部网络节点数的实际情况,在XX公司总部局域网的设计中,接入层采用Cisco WS-C2960G-48TC-L交换机,而在各分部的局域网接入层中则采用Cisco WS-C2960-24TC-L交换机,VLAN技术划分多个虚拟局域网,保障网络的高效;实现STP技术在达到交换机间的冗余连接的同时,避免网络环路的出现;实现VTP技术防止不需要的广播信息从一个VLAN泛洪到VTP域中所有的中继链路。第5章 路由交换设计5.1 路由协议选择为了达到路由快速收敛、寻址以及方便网络管理员管理的目的,我建议采用动态路由协议,目前较好的动态路
28、由协议是OSPF协议和EIGRP协议,OSPF以协议标准化强,支持厂家多,受到广泛应用,而EIGRP协议由Cisco公司发明,只有Cisco公司自己的产品支持,属于私有性质,其他厂商设备不支持。考虑网络的扩展性、公开性、投资的保护等原因,建议采用OSPF路由协议和静态路由相结合的路由方式。给予OSPF协议的特质,XX公司总部规划为area0,内部网络设备都规划为area0。各区域接入路由器根据区域不同使用动态协议,或者静态协议。各个分部分别规划为area1-5区域。5.2 路由规划拓扑图5.3 IP地址规划IP地址规划在网络设计中的作用举足轻重。直接影响整个网络运营的效率。IP地址设计的总原则
29、是简单、易管理、以扩展。IP地址是TCP/IP协议中的网络层逻辑地址,它被用来唯一地标识网络中的一个节点。IP地址空间的分配,要与网络层次结构相适应,既要有效利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,提高路由算法的效率,加快路由变化的收敛速度。5.3.1总部IP地址规划:网络单元VLAN-IDIP地址网关上网方式IP获取方式行政部2192.168.1.1-62/26192.168.1.1NATDHCP财务部3192.168.1.65-126/26192.168.1.65NATDHCP技术部4192.168.1.129-190/26192.168.1.129NAT
30、DHCP企业文化部5192.168.1.193-254/26192.168.1.193NATDHCP项目经理部6192.168.2.1-30/27192.168.2.1NATDHCP信息科7192.168.2.33-62/27192.168.2.33NATDHCP信息办8192.168.2.65-94/27192.168.2.65NATDHCP教育中心9192.168.2.97-126/27192.168.2.97NATDHCP人力资源部10192.168.2.129-158/27192.168.2.129NATDHCP外连部11192.168.3.1-62/26192.168.3.1NATD
31、HCP品保部12192.168.3.65-126/26192.168.3.65NATDHCP仓储中心13192.168.3.129-190/26192.168.3.129NATDHCP安全环保部14192.168.4.1-126/25192.168.4.1NATDHCP制造技术部15192.168.4.129-254/25192.168.4.129NATDHCP采供部16192.168.5.1-254/24192.168.5.1NATDHCP生产部17192.168.6.0-7.254/24192.168.6.1/192.168.7.1NATDHCP服务器集群192.168.8.0/24192
32、.168.8.1NAT手动5.3.2分部IP地址规划:网络单元VLAN-IDIP地址网关上网方式IP获取方式项目经理2192.168.10.1-30/27192.168.10.1NATDHCP行政部3192.168.10.33-62/27192.168.10.33NATDHCP财务部部4192.168.10.65-94/27192.168.10.65NATDHCP外联部5192.168.10.97-126/27192.168.10.97NATDHCP技术部6192.168.10.129-158/27192.168.10.129NATDHCP企业文化部7192.168.10.161-190/27
33、192.168.10.161NATDHCP采供部8192.168.10.193-222/27192.168.10.193NATDHCP人力资源部9192.168.10.225-254/27192.168.10.225NATDHCP其他分部IP地址规划方法同上。第6章 网络安全解决方案通过对该项目的要求分析,我们在网络安全方面主要考虑的问题如下:1、必须考虑这个方案的安全性和稳定性、可管理性和维护性,以及能够满足未来网络发展的需要。2、目前网络地址(总部和分部)已经统一规划,不能更改。VPN建设不能和原来的专线网络建设发生冲突。3、对于分部的网络,采用路由器和VPN隧道技术,实现和总部网络互通。
34、6.1 网络边界安全威胁分析网络的边界隔离着不同功能或地域的多个网络区域,由于各功能不同,相连网络的密集也不同,这样的网络直接相连,必然存在危险,下面就是对该项目网络边界安全问题的分析。1、XX公司总部网络与各级单元的连接,可能遭到来自各地的越权访问、恶意攻击和计算机病毒的入侵。2、内部的各个功能网络通过骨干交换相互连接,这样重要的部门或专网将遭到来自其他部门的越权访问。这些越权访问可能包括恶意的攻击、误操作等,但后果都将导致重要信息泄漏或者网络瘫痪。6.2 网络内部安全威胁分析XX公司总部内部及分部内部网络风险可能表现在以下几个方面:1、内部用户的非授权访问。总部内部的资源并非对任何员工开放
35、,也需有相应的访问权限。内部用户的非授权访问更容易造成资源和重要信息的泄漏。2、内部用户的误操作。由于内部用户的失误操作也极容易给服务器和其他主机造成危害。3、内部用户的恶意攻击。相对与外部攻击来说,内部攻击更是容易,因此,对内部用户攻击的防范也很重要。4、设备自身安全性也会直接关系到网络的正常运转。5、重要的服务器或操作系统自身存在安全的漏洞,也将会为网络的安全带来很多不安定的因素。6.3 安全产品选型原则该项目的网络属于专用网络,因此在安全产品的选型上应慎重,其选型的原则包括: 1、安保产品的接入不能明显影响网络系统的运行效率,并满足工作需要,不影响正常工作。2、安保产品必须通过国家主管部
36、门指定的测评机构的检测。3、安保产品必须具备自保能力。4、安保产品必须符合国家和国际上的相关标准。5、安保产品必须操作简单易用,便于简单部署和集中管理。第7章 网络技术介绍7.1 VLAN技术:VLAN(Virtual Local Area Network,虚拟局域网)技术主要为了解决交换机在进行局域网互连时无法限制广播的问题。可以把一个LAN划分成多个逻辑Vlan,每个Vlan是一个广播域,Vlan内的主机间通信和在一个LAN内一样,而Vlan间则不能直接互通,这样,广播报文被限制在一个Vlan内。7.1.1使用VLAN技术的优势: 通过划分VLAN子网,能划小了广播域,避免了广播风暴的产生
37、。提高交换网络的交换效率,保证网络稳定,提高网络安全性,根据Ambow公司内部网络机构的需求,采用VLAN技术来划分企业网络,一个VLAN可以将公司部门、项目组或者服务器组将不同地理位置的工作站划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在子网之间移动,VLAN提供了网段和机构的弹性组合机制,VLAN技术很好的解决了网络管理的问题,能实现网络监督与管理的自动化,从而更有效的进行网络监控。7.1.2 VLAN划分1、根据端口划分Vlan 以交换机端口划分网络成员,配置过成简单明了,是常用的一种方式。2、根据MAC地址划分VLAN 根据每个主机的MAC地址来划分,即对每个MA
38、C地址的主机都配置它属于哪VLAN。这种划分方法的优点是当用户物理位置移动时,VLAN不用重新配置,缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,管理员的配置工作量非常大。3、根据网络层划分VLAN 根据每个主机的网络层地址或协议类型划分。4、根据IP组播划分VLAN IP组播实际上也是一种VLAN的定义,即认为一个组播就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。5、基于规则的VLAN也称为基于策略的VLAN。这是最灵活的VLAN划分方法,具有自动配
39、置的能力,整个网络可以非常方便地通过路由器扩展网络规模。6、按用户定义、非用户授权划分VLAN基于用户定义、非用户授权来划分VLAN,是指为了适应特别的VLAN网络,根据具体的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,在得到VLAn管理的认证后才可以加入一个Vlan。7.2 VTP技术: VTP(VLAN Trunking Protocol):是Vlan中级协议,也称为虚拟局域网干道协议。VTP协议是思科的专用协议,大多数的Catalys交换机都支持该协议,VTP可以减少Vlan的相关管理任务。7.2.1 VTP有三种工作模式:VT
40、PServer、VTPClient和VTPTransparent。7.2.2使用VTP技术的优势:使用VTP技术,主要是为了防止不需要的广播信息从一个vlan泛洪到VTP域中所有的中继链路。Vtp修剪允许交换机协商 将那些VLAN分配到中继链路另一端的端口,因此剪除未分配到远程交换机端口的VLAN。VTP修剪功能默认为禁用,可以使用全局配置命令vtp pruning启用vtp修剪,只需要在域内一台VTP服务器交换机上启用修剪功能即可。7.3 STP生成树协议:STP (Spanning Tree Protocol)生成树协议该协议的目的是在实现交换机之间的冗余连接的同时,避免网络环路的出现,实
41、现网络的高可靠性。逻辑上断开环路,防止广播风暴的产生。当线路出现故障,断开的接口被激活,恢复通信,起到线路备份的作用。Stp 使用生成树算法(STA)计算网络中的那些交换机端口应配置为阻塞以防止出现环路。所有参与STP的交换机互相交换BPDU帧,BPDU帧是运行STP的 交换机之间交换的包含STP消息的帧。每个BPDU都包含一个BID,用于标识发送该BPDU的交换机。7.3.1使用STP协议的优势:根据所设计的拓扑图,采用生成树的协议,该协议的目的是在实现交换机之间的冗余连接的同时,避免网络环路的出现,实现网络的高可靠性,它实现在交换机之间传递桥接。,当逻辑上断开环路,防止广播风暴的产生,当线
42、路出现故障,断开的借口呗激活,恢复通信,起备份线路的作用。7.4 EthernetChannel:以太通道也称为以太端口捆绑、端口聚集或以太链路聚集。以太通道为交换机提供了端口捆绑的技术,将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组;同一聚合组内的多条物理链路视为一条逻辑链路。链路聚合可以实现出/入负荷在聚合组中各个成员端口之间分担,以增加带宽。同时,同一聚合组的各个成员端口之间彼此动态备份,提高了连接可靠性。7.4.1以太通道的特点:1. 以太网通道最多可以捆绑8条物理链路,可以是双绞线,也可以是光纤。 2. 以太通道的规则:参与捆绑的端口必须属于同一个VLAN,或者都是中继模式 3
43、. 如果端口配置是中继模式,则链路中的两个端口必须都是中继模式 4. 所有参与捆绑的端口的物理参数必须相同,例如全部为半双工或者全部为全双工。7.4.2 使用Etherchannel的优势:GEC技术一方面为我们提供了一种扩展网络带宽的手段,另一方面,它还为连接提供了容错。平时,网络流量是被分摊得到构成GEC/FEC的2条或多条物理链路上,如果其中一条链路发生故障,该故障链路上的物理流量会立刻被重新分配到其他正常的流量上,congenial达到了容错的目的。7.4.3以太通道的特点:以太网通道最多可以捆绑8条物理链路,可以是双绞线,也可以是光纤。 7.4.4 以太通道的规则:参与捆绑的端口必须
44、属于同一个VLAN,或者都是中继模式 7.5 Trunk技术Trunk是一种封装技术,它是一条点到点的链路,链路的两端可以都是交换机,也可以是交换机和路由器,还可以是主机和交换机或路由器。基于端口汇聚(Trunk)功能,允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量, 大幅度提供整个网络能力。是带宽扩展和链路备份的一个重要途径。TRUNK把多个物理端口捆绑在一起当作一个逻辑端口使用,可以把多组端口的宽带叠加起来使用。TRUNK技术可以实现TRUNK内部多条链路互为备份的功能,即当一条链路出现故障时,不影响其他链路的工作,
45、同时多链路之间还能实现流量均衡。7.6 HSRP路由热备份:HSRP(Hot Standby Router Protocol)是CISCO公司制定的专有路由器备份协议,支持多台路由器形成热备而消除单台设备失效造成的网络中断。HSRP允许在一个局域网(以太网,令牌环,FDDI)上或ISL封装的VLAN上的多个路由器共享一个虚拟IP地址和MAC地址,共享地址的一组路由器被配置成HSRP组,组中每一个路由器配置一个组IP地址和优先级。存在一个路由器是活跃激活的,接受所有合法网络IP/MAC地址包,如果激活的路由器发生故障,组中的另一个路由器激活并接收包。7.6.1 使用HSRP的优势:我们使用HSR
46、P来实现故障路由器的接管。HSRP协议是Cisco公司制定的专有路由器备份协议,支持多台路由器形成备份而消除单台设备失效造成的网络中断。比且确保了当网络边缘或接入链路出现故障时,用户通信能迅速并透明的恢复,并为此IP网络提供了冗余性。HSRP支持在某个路由器出现故障时可以快速的进行默认网关的切换,通过共同提供一个IP地址和MAC地址,两个或者多个路由器可以做为一个虚拟路由器,当某个路由器出现故障时,其他路由器可以无缝的接替它进行路由选择。,这样就很好的解决了路由器切换的问题。为了把网络阻塞降到最底限度,网络中只有活路由器和备份路由器可以在完成HSRP协议选择过程后发送一次HSRP消息包。如果活路由器失效,则备份路由器将取代它作为新的活路由器工作。而当备份路由器失效或者它变成了活路由器时,另外一个路由器将被选为备份路由器。
版权声明:以上文章中所选用的图片及文字来源于网络以及用户投稿,由于未联系到知识产权人或未发现有关知识产权的登记,如有知识产权人并不愿意我们使用,如有侵权请立即联系:2622162128@qq.com ,我们立即下架或删除。
Copyright© 2022-2024 www.wodocx.com ,All Rights Reserved |陕ICP备19002583号-1
陕公网安备 61072602000132号 违法和不良信息举报:0916-4228922