《中小型企业局域网的设计与实现(29页).doc》由会员分享,可在线阅读,更多相关《中小型企业局域网的设计与实现(29页).doc(29页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、-中小型企业局域网的设计与实现-第 25 页中小型企业局域网的设计与实现课题名称中小型企业网络的设计与实现学 院 中国农业大学东校区 专 业 计算机专业 班 级 14级专升本班 姓 名 张涛 指导老师 刘德福 摘 要随着网络技术新系统、新领域的长足发展,传统企业也正利用其行业的特点,融合网络技术的优势,发展自身。在信息化生产逐步普及的今天,组建企业内部网络已经是企业必不可少的一部分,建立高速、稳定、安全、智能的办公网,是组建中小型企业局域网的核心。本论文所阐述的网络是使用业界流行的核心层汇聚层分布层三层结构设计的中小型企业网,结合广为使用的虚拟局域网(VLAN),热备份路由(HSRP),访问控
2、制列表(ACL),网络地址转换(NAT)等技术,增强网络的稳定性和安全性。设计中采用虚拟局域网来隔离不同部门,以达到增强企业网络安全性的目的;在规划好的VLAN的基础上,采用访问控制列表(ACL),设置策略,来限制部门之间以及服务器区的访问,进一步提高企业网络内部的安全性;并在核心层交换机上采用热备份路由(HSRP)技术,增加网络的冗余,提高企业网络的整体稳定性;采用路由器硬件的动态主机分配协议(DHCP)功能,保证各部门IP地址的获取;在边界路由器上设置网络地址转换(NAT),将企业内部私有地址转换为公网地址,实现了多个用户同时公用一个合法IP与外部Internet 进行通信,解决IP地址短
3、缺的问题。目 录绪论11. 网络建设背景和必要性32. 组建局域网的需求分析52.1 总体需求分析52.2 网络平台需求52.3 网络安全需求62.3.1 外网安全:62.3.1.1 物理安全需求62.3.1.2 数据链路层需求62.3.1.3 入侵检测系统需求62.3.1.4 防病毒系统需求62.3.1.5 安全管理体制72.3.2 内网安全:72.3.2.1 VLAN设置需求72.3.2.2 防病毒系统需求72.3.2.3 网络管理需求72.3.2.4 网络系统管理73. 组建局域网的设计目标和原则93.1 核心交换机的高数据处理性能93.2 核心交换机的高可靠性93.3 核心交换机的灵活
4、扩充性103.4 网络的安全性103.5 网络的可管理性104. 局域网设计方案124.1网络结构设计方案124.2 虚拟局域网(vlan)设计方案134.2.1 VLAN技术简介134.2.2 VLAN方案设计144.3 第三层交换技术设计方案154.4 IP multicast技术方案设计164.5 访问控制列表(ACL)设计方案184.6 IP地址规划与路由设计方案194.6.1 IP地址规划方案194.6.2 路由协议的选择204.6.3 路由协议设计方案224.7 HSRP:热备份路由器协议234.7.1 HSRP协议概述234.7.2 HSRP的工作原理244.7.3 本方案的特点
5、245. 设备清单27结论28参考文献29绪论0.1 选题的背景企业网最原始的网络需求来自于对LAN 上共享资源、业务的开展需要,最小规模的局域网可能就要算通过1 台共享式集线器来连接打印机、文件服务器的组建模式了,但是,在信息科技日益发展的今天,基于共享式技术的网络已经不能符合当前企业IT 发展的需求,更高速、更可靠、更安全以及更方便的网络和业务管理已经成为新时期企业局域网的关注重点。如何最大程度的满足企业的这些需求正是本文最关心的问题。0.2 选题的目的和意义企业电子商务网络系统应是一个统一、可靠、安全的专用信息通信平台,支持话音、数据和图像的交换与传输,实现计算机数据、话音、电视会议、图
6、片传输等多种信息通信业务,并具有完备的网络管理系统。在先进成熟的计算机和通信技术基础上,企业要建设成光纤网络,使企业各部门实现宏观决策科学化,办公自动化,信息交换网络化,提高宏观决策和调控能力,促进企业信息化,同时有助于加快信息经济建设。0.3 可行性分析根据企业的实际情况,总结出该计算机网络有如下需求:企业网络系统本着实用、经济可靠的原则,采用交换式以太网方案。采用内部IP地址。网络采用两极交换结构,中心交换机采用三层交换机,构成千兆主干,中心交换机应有足够的插槽用于以后的扩展,至少有24个10/100M自适应端口用于连接服务器,光纤端口依实际应用提供,电源应有冗余;每个分配线间各放置若干台
7、24口交换机作为二级交换机,用千兆光纤口用于上连,可以为用户提供交换式100Mbps带宽,彼此间采用堆叠连接。是为入住企业的单位提供宽带国际互联网络接入服务、内部网络通讯平台、计算机应用服务的综合性专用计算机数据通信网络。为了使本网络设计向统一管理、高速宽带、复杂应用方向发展,本设计所建设的网络将为各入住单位系统内部互联网络系统提供一个统一的数据通信网络平台,各网络系统的信息都可在此数据通信网上传递,并可通过统一的网管系统提供统一的管理功能,将各专业内部网络网管的报警信息等一并显示,同时为未来的网络发展奠定必要的基础。0.4 研究的基本思路根据对所选题目背景、目的、意义和可行性的分析,总结出设
8、计思路如下:选择合适的网络层次模型规划企业网络架构,合理分配企业内部的IP地址。采用稳定高效的路由协议连通企业内部网,并在此基础上设计安全策略,增强企业数据的保密性,保证商业机密的安全。设置策略或设备的冗余,保证企业网络在遭遇突发故障时能顺利切换线路,保障数据的完整性,避免重要信息的丢失,增强网络的稳定性。最后,选择合适的网络设备,在顾及网络性能的前提下,优化企业的资源配置1. 网络建设背景和必要性格罗莫夫(Gregory Gromov)曾经说过:“网络本身就是一种计算机科学概念。”不过,现在有了更丰富的内涵,注解之一就是,网络本身更具有经济学内涵。在现代经济学中有“规模效益”理论,就是通过扩
9、大经济规模,来降低单位成本。虽然“扩大规模”仍然是降低成本的根本途径,但是伴随经济规模的扩大也增加了“协调成本”,既与企业相关的信息交流的代价。在很多情况下,企业的生产经营并不是孤立进行的,其需要在内部生产部门之间与外部市场之间达到充分的信息交流,才能维系正常的生产经营,尤其是在规模不断扩大的情况下,如果仍然延续传统的信息交流手段,则信息交流代价急剧增长。由此造成单位生产成本不降反升,从而制约着现代经济规模。随着科技进步,网络技术成为信息沟通的重要手段,世界正因为有了互联网而变得越来越小,世界级的企业也越来越依赖于网络技术,扩大和巩固其市场地位。从网络在企业生产、流通、服务等关键环节起的重要作
10、用来看,其更多超出了技术领域,而深具经济学内涵。随着网络技术,新系统新领域的长足发展,网络经济,知识经济再不是IT等高科技行业的专利,传统企业正利用其行业特点,汲取网络技术精华,努力创造着传统行业的又一个春天。未来是美好的,但现实不可回避。大多数企业对电子商务的一般认识是电子商务能帮助企业进行网上购物、网上交易,仅是一种新兴的企业运作模式,比较适用于商业贸易公司,殊不知电子商务已经对传统的企业造成的了巨大的冲击。制造业传统运作模式效率低,成本过高,已不适于新经济的需要。随着企业间竞争的日趋激烈,以及全球经济一体化,市场向企业提出了更高的要求,要求企业能及时提供高品质、低价格,具有个性化的产品。
11、而企业在商业运作过程中比较重视控制生产成本,对于采购成本,销售成本的控制无论从意识上、管理上还是从执行上都比较薄弱,如何减少采购和销售过程中的环节,直接控制供应商的价格、品质、交货期以及批发商和经营商的进货、出货、仓储情况是企业在电子商务时代所面临的第一个问题,这种情况在集团公司的运作中尤为明显。通过实施电子商务,可以实现企业对产品、原材料、非生产性产品、服务类等的电子化、网络化采购,总公司与下属子公司几个职能部门有组织、有计划的统一管理,减少流通环节,降低成本,提高效率,使企业在管理上通过电子商务的实施达到更高水品。作为电子商务基石的网络系统已经成为现代企业的“神经”,而“神经”是否工作正常
12、,是否高速高效,直接关系到“生存死亡”。传统企业对市场的反应速度取决于自身的信息网络水平。在电子商务时代,产品的个性化情况非常普遍,比如服装,时尚和潮流总是千变万化,捉摸不定。生产商要在短时间内捕获市场信息并作出适宜反馈,确实有难度。传统企业在对市场的反馈速度上明显过慢。究其主要原因是企业没有将供应商和客户那到企业自身的供应链中,没能及时知道下游客户的库存情况、市场情况,没有让上有的供应商及时了解企业原材料的库存情况、成套情况。在供应商、商家、客户三者之间没有形成一个有效的环路,有次造成了商家随市场的反应迟缓,导致了商业损失。有了网络的协助,企业从原材料的采购、产品设计、到订单处理和产品的发送
13、,均可用小时为单位来追踪。同时利用互联网技术不仅可以全面监控下游客户每日的进销存情况,及时进行补货,而且可以让上有的供应商及时知道企业原料的库存情况,及时补充,将存货量保持在最低水品。企业受限于内部庞杂的关系管理,拓展外部市场是如果还用一成不变的业务服务方式,很可能在提取激烈的市场竞争中处于尴尬的境地。为了摆脱可能出现的窘境必须依赖可靠、安全、高效、可扩充、可管理的网络产品和技术,为企业提供流畅的信息传递和资源共享,优化资源配置,并开拓新市场,吸引更多客户,扩展市场影响力,产生业务增值,降低生产成本成为可能。综上所述,传统企业如果希望在市场的天空中飞的更高更远,那么必须插上网络化生产、经营和服
14、务的翅膀。在选取“飞”的翅膀时,计算机网络解决方案的选取是关键。只有综合考虑了网络安全、网络管理、可靠性、可管理性、可扩展性和高性能的需要,精选出适合企业网络需要的网络解决方案,才能对企业高效,科学的管理,控制企业的运营成本,为企业的腾飞助跑。2. 组建局域网的需求分析2.1 总体需求分析总体需求是将企业网络建成以办公自动化为主的硬件平台系统。企业网络系统的需求包括以下几点:适应桌面计算机处理、I/O能力大幅度提高的现状,发挥桌面机的网络性能,提高桌面机的访问带宽;适应连网规模大、总流量大的情况,合理分布流量,实现流量隔离和控制;适应部门多、层次复杂的特点,合理进行网络划分,实现有效的安全访问
15、控制和运行管理;能够向未来的高速网络技术和不断出现的新应用过渡;实现网络互联,解决互联网络带来的安全问题和管理问题;适应数据集中型应用的发展趋势,为客户/服务器的应用环境提供支撑;增加网络系统的运行可靠性,降低故障隐患,提高系统的可管理性。本方案针对网络系统应用场合对安全提出了很高的要求,因此网络设计充分考虑网络上敏感数据传输的安全性,一方面需要充分利用网络设备提供的安全策略(VLAN划分等),另一方面为了保障内部数据传输的安全性,采用各种安全技术(防火墙、入侵检测、防病毒体系等),并且尽量不影响到整个网络的运行效率。为了更好的保证网络的正常运行,设计的网络系统还考虑到网络管理,实现网络的统一
16、管理。2.2 网络平台需求利用目前最流行的千兆以太网技术实现企业网络为千兆主干、百兆交换到桌面,全方位支持企业的信息处理与交换的传输、操作和策略服务。网络总体结构分为网络互连、核心节点、楼层交换三个层面。一般采用交换,必要时实现路由隔离。网络根据业务用户分布和数据的流向,合理的进行网段划分。允许采用虚拟网技术(VLAN)。实现各计算机网络系统的互联,形成公共信息的交换环境,为企业用户提供网络服务平台。 实现信息资源和软硬件资源共享,提供丰富的网络信息服务,以推动办公自动化。根据楼宇办公场合不同,网络平台分别设计出内网和外网平台,两网之间采用物理隔离的技术手段实现涉密问题。2.3 网络安全需求随
17、着网络的建成,基于网络的应用日渐增多,网络用户也会越来越多,网络的安全成为了系统建设的主要问题。在局域网中安全系统建设主要设计包括外网安全和内网安全。2.3.1 外网安全:由于外网主要运行企业各部门非涉密的内部办公业务以及运行面向客户的公开信息,所以必须采取过硬的安全技术来实现企业的网络系统不受Internet的“黑客”、病毒等攻击。外网对安全的需求包括物理安全需求、数据链路层需求、入侵检测系统需求、防病毒系统需求和安全管理体制等。2.3.1.1 物理安全需求针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放机密信息的机房进行必要的设计,如构建屏蔽室。采用辐射干扰机,防止电磁辐射泄漏机密
18、信息。对重要的设备进行冗余配置;对重要系统进行备份等安全保护。2.3.1.2 数据链路层需求信息的泄漏很多都是在链路上被搭线窃取,数据也可能因为在链路上被截获、被篡改后传输给对方,造成数据真实性、完整性得不到保证。如果利用加密设备对传输数据进行加密,使得在网上传输的数据以密文传输。因为数据是密文,所以,即使在传输过程中被截获,入侵者也读不懂,而且加密机还能通过先进行技术手段,对数据传输过程中的完整性、真实性进行鉴别。可以保证数据的保密性、完整性及可靠性。因此,可能需要配备加密设备对数据进行传输加密。2.3.1.3 入侵检测系统需求网络安全是整体的、动态的,不是单一产品能够完全实现的,所以为了确
19、保网络更加安全必须配备入侵检测系统,对透过防火墙的攻击进行检测并做相应反应(记录、报警、阻断)。2.3.1.4 防病毒系统需求针对防病毒危害性极大并且传播极为迅速,必须配备从单机到服务器的整套防病毒软件,实现全网的病毒安全防护。2.3.1.5 安全管理体制安全系统只能提供技术手段和措施,但人为的因素不可忽略,只有确立健全的安全管理体制,设立相应的安全管理岗位,从制度上加以严格管理。2.3.2 内网安全:运用多种技术,如VLAN、防病毒体系等,对各个部门、系所访问进行控制,各单位之间在未授权的情况下不能互相访问,保证系统内部的安全。内网对安全的需求包括VLAN设置需求、防病毒系统需求、网络管理需
20、求和网络系统管理等。2.3.2.1 VLAN设置需求企业网络内部的环境比较复杂,而且各子网的分布区域广,网络用户多,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,必须要对它进行详尽的设计,尽可能防护到网络的每一节点。2.3.2.2 防病毒系统需求针对防病毒危害性极大并且传播极为迅速,必须配备从单机到服务器的整套防病毒软件,实现全网的病毒安全防护。2.3.2.3 网络管理需求此次建设的企业网络系统是一个相当复杂的计算机网络,包含多种设备和技术。随着系统复
21、杂度的增加,会给系统管理带来成指数增加的管理工作量。为此必须要设计一套健全的管理系统。针对系统的功能采取相应的管理措施。2.3.2.4 网络系统管理系统中包含大量的网络设备,必须为其配置功能强大的管理系统,该系统应具有以下功能:(1)虚拟网管理、分配;(2)对所有网络设备端口的监视和管理;(3)对网络流量的监测和管理;(4)对所有网络设备的远程管理和控制,包括网络端口设备的开放和关闭;(5)整个网络的故障监测,故障自动报警功能;(6)整个网络性能的统计和分析报告。3. 组建局域网的设计目标和原则3.1 核心交换机的高数据处理性能核心交换机满足网络中心海量数据交换的要求,连接中心的通讯链路带宽满
22、足应用的性能要求。在Intranet网络应用环境中心,WWW服务器,FTP服务器,E-Mail服务器,DHCP服务器,支撑着整个企业的应用服务。各部门用户客户端软件,透过网络访问中心服务器,请求应用,查询数据库。网络的负载流量主要是从边缘设备到核心的数据交换,随着业务的发展,网络规模的扩展,以及应用的信息交换量增加,使得网络通常会在核心发生通讯瓶颈现象,改善局域网的网络数据交换性能,往往是首先扩充核心交换机的交换性能,增加边缘设备到核心的数据通讯带宽,以减轻整个网络的瓶颈,使得应用软件的性能和效率得到提高。因此在设计局域网的原则上,首先应该考虑满足网络规模所要求的核心设备数据交换处理能力,以及
23、边缘设备到核心的链路带宽。3.2 核心交换机的高可靠性核心交换机关键部件可以实现冗余工作,可以在线更换(热插拔),故障的恢复时间在秒级间隔内完。通过H3C专有的VRRP技术可以配置双核心交换,在发生故障时自动切换到备用交换机,确保数据不发生丢包。随着信息化社会的飞速发展,普遍采用了Intranet应用模式,实现管理和生产自动化,提高管理效率,管理水平。支持单位应用的基础设施是网络。它直接影响到办公应用环境,交易、生产、开发、设计等业务环境,财务管理,部品管理等环境,信息检索、数据库查询、Internet浏览等支持正常运行的必要服务设施功能。网络的可靠性要求是保障应用环境正常运行的首要条件,网络
24、要求可靠性的同时,要求网络具有高可用性。网络设备的选择,尤其是核心机箱式设备,应该可以配置冗余部件,关键部件不存在单一故障点,也就是说,像交换机的电源、风扇、交换引擎、管理模块这些部件可以冗余备份,其中之一任何部件的损坏,不会影响设备的正常运行,不会影响网络的连通。提供网络设备的可靠性,容错性的另一个要求是设备损坏部件更换时,不需要停机,更换部件后不需要重新启动,也就是说部件的更换可以进行在线操作,这样可以使停机的时间降低到最小。在设计局域网的原则上提高网络的高可靠性、高可用性原则是至关重要的,不仅要求设备的部件冗余,同时要求网络的链路冗余,以保证网络可以在任何时间、任何地点提供信息访问服务。
25、3.3 核心交换机的灵活扩充性核心交换机应该具备灵活的端口扩充能力,模块扩充能力,满足网络规模的扩充。同时提高性能,满足更高性能的要求。在设计局域网的方案上,首先是满足现有规模的网络用户的需求,同时考虑到业务发展、规模的扩大,应该设计网络具有用户端口的扩充能力。核心设备是整个网络的枢纽,用户端口数的扩充,需要增加配线间边缘工作组的设备,增加边缘设备的同时,要求连接核心骨干设备的端口数相应增加,因此核心设备应该可以通过增加模块来灵活地增加端口数。核心设备的机箱设计应该具备强大的背板带宽,足够多的负载插槽容量。对于交换机来说,核心交换引擎应该可以满足最大配置下,无阻塞的进行端口数据包交换,模块的扩
26、充不影响交换性能。采用分布式交换结构是实现这一原则的最佳方案,分布式交换机结构实现了交换机的并行数据交换处理,优化了网络的性能,本地交换和全局交换相结合的分布式结构减少了交换引擎的压力。因此在设计大规模网络的原则上普遍采用分布式交换机实现灵活的模块、端口扩充能力。3.4 网络的安全性可以有效的控制网络的访问,灵活的实施网络的安全控制策略。网络的安全性对局域网的设计是非常重要的,合理的网络安全控制,可以使应用环境中的资源得到有效的保护。在网络中,关键应用服务器、核心网络设备,只有系统管理人员才有操作、控制的权力。应用客户端只有应用访问的权限,网络应该能够阻止黑客的任何非法操作。在网络设备上应该可
27、以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模网络的设计上,划分虚拟子网,一方面可以有效的隔离子网内的大量广播,另一方面隔离网络子网间的通讯,控制了资源的访问权限,提高了网络的安全性。在设计局域网的原则上必须强调网络安全控制能力,使网络可以任意连接,又可以从第二层、第三层控制网络的访问。3.5 网络的可管理性网络中的任何设备均可以通过网络管理平台进行控制,网络的设备状态,故障报警等都可以通过网管平台进行监控,通过网络管理平台简化管理工作,提高网络管理的效率。在设计局域网时,选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置,网络拓扑结构表示,网络设备的
28、状态的显示,网络设备的故障事件报警,网络流量统计分析以及计费等等。网管软件的应用可以提高网络管理的效率,减轻网络管理人员的负担。网络管理的目标是实现零管理,基于策略的管理方式,网络管理是通过制定统一的策略,由管理策略服务器进行全局控制的。基于Web的网管界面,是网管软件的发展趋势,灵活的操作方式简化了管理人员的工作。在设计局域网的设备选择上,要求网络设备支持标准的网络管理协议SNMP,同时支持RMON/RMONII协议,核心设备要求支持RAP(远程分析端口)协议,实施充分的网络管理功能。在设计局域网的原则上应该要求设备的可管理性,同时先进的网管软件可以支持网络维护、监控、配置等功能。网络设备采
29、用开放技术、支持标准协议:采用标准的协议保护用户的投资,提高设备的互操作性。局域网的设备要求具有可互操作性,设备的技术采用开放技术,协议标准,支持跨平台之间的相互连接与通讯。在设计网络的原则上,发挥不同厂商产品的专用先进技术同时,必须强调考察设备的技术、协议的标准性。4. 局域网设计方案4.1 网络结构设计方案对于网络平台的网络结构,建议采用模块化的设计思想,按照功能划分为以下区块:交换区块和核心区块。对于由交换区块和核心区块构成的局域网再按照目前流行的层次化的设计思想,划分为接入层、汇聚层和核心层。1、交换区块的主要功能是提供用户的接入点,并防止广播数据流和网络问题到达核心区块或者其他区块,
30、交换区块由接入层交换机和汇聚层交换机构成:(1)接入层:接入层设备作为最终用户的网络接入点,使用100M双绞线连接各层桌面终端,为每个用户提供专用的带宽,并可基于端口或MAC地址的VLAN成员资格和流量进行过滤,接入层主要的设计原则是能够通过低成本、高端口密度的设备提供这些功能。(2)汇聚层:接入层交换机使用100M双绞线汇聚到一台或者多台汇聚层设备,汇聚层设备在接入层交换机之间提供第二层连接,作为接入层交换机的集中连接点及接入层和核心层之间的分界点,汇聚层在提供接入层接入的同时,还能够做到广播域的隔离、不同网段之间的路由、介质转换、安全控制。汇聚层需要提供第三层功能,即支持路由选择和网络层服
31、务,以保护交换区块不受网络其他部分失效的影响,并防止本交换区块故障对网络其他部分的影响,如果交换区块发生了广播风暴,分布层设备可以防止该广播风暴扩散到核心和网络的其他部分。2、核心区块是园区网络的主干,主要功能是在交换区块之间用最小的时延传输数据,尽可能快的将交换数据提供到其他区块(比如交换区块)。核心区块由核心层构成,包含一个或一组用来连接多个交换区块的交换机。核心层:核心层交换机负责所有交换区块设备和广域网设备的接入,因此需要高速的数据转发能力。核心层设备需要支持链路捆绑技术,来保证数据的转发能力,防止出现线路瓶颈。作为企业网络的心脏,核心层也是路由协议最优选路和运行稳定的保证,需要合理的
32、配置路由协议,并添加冗余处理器或者应用冗余协议来保障网络核心的稳定,使企业数据流正常运作。网络结构的设计是整个网络系统设计的基础,一个优秀的网络结构设计方案有利于提高网络的性能、可靠性及将来网络的扩展能力,并能够有效的减少维护难度,本论文设计的网络结构拓扑图如图1: 图1 网络结构拓扑图4.2 虚拟局域网(vlan)设计方案划分虚拟局域网是整个网络系统的重要技术之一。企业网络内部的环境复杂、分布区域广、网络用户多,以至于企业内部网络用户的可靠性得不到完全的保证。通过划分虚拟局域网,隔离不同部门,可以增强企业网络安全性,以下详细论述了虚拟局域网的技术及在网络系统中的必要性和设计方案。4.2.1
33、VLAN技术简介以太网基本上是以广播为基础的,如最初包的寻址等,交换机虽然能够通过建立地址映射表减少不必要的广播,但是地址映射表的建立过程仍然是基于广播的,网络节点(如PC机)在处理广播时浪费了CPU处理时间,降低了处理性能,根据统计,当网络上存在15000个广播包时,将耗尽CPU资源;在传统的网络里,节点的吞吐量都会随着节点的增多而下降,交换式以太网虽然能够隔离冲突域及第二层广播,但是无法隔离第三层网络。另一方面,接入网需要保障用户数据(单播地址的帧)的安全性,隔离携带有用户信息的广播消息(如ARP、DHCP消息等),防止关键设备受到攻击。对每个用户而言,当然不希望他的信息被别人利用,因此需
34、要从物理上隔离用户数据(单播地址的帧),保证用户单播地址的帧只有该用户可以接收到,不像在局域网中采用共享总线方式,使单播地址的帧能被总线上的所有用户接收。如果不隔离这些广播消息而让其他用户接收到,容易发生MAC/IP地址仿冒,影响设备的正常运行,中断合法用户的通信过程。为了隔离第三层广播,增强安全性、提高网络性能,可以运用VLAN(虚拟局域网)技术或者使用路由设备。使用路由器时可以将网络划分多个物理网段,这些物理网段可以连接到路由器的多个端口,多个物理网段间通过路由器进行通信,但是路由器的端口价格远远高出交换机的端口价格,所以这种方式将增加设备投资,在物理网段增多时就更为严重,而且只有使用高端
35、设备才能满足高端口密度的要求,所以不推荐这种方式。VLAN技术不需要特殊的设备,目前第二层交换机均支持VLAN技术。通过在一个物理网段上划分出多个逻辑网段,由每一个逻辑网段构成一个VLAN,其内部采用交换机连接,所有的广播信息只限制在本VLAN内,而之间的连接则采用路由实现,具体实施时可以外加路由器,或者直接使用第三层交换设备。使用路由器时,将这些逻辑网段连接到路由器时可以只使用一条物理链路、占用一个路由器接口,这样就节省了设备的投资,而使用三层交换设备时,不需要额外增加设备,只要交换机支持三层路由功能即可,由于三层交换设备的工作效率高于路由器,所以在本论文中推荐采用三层交换设备实现VLAN之
36、间的路由。4.2.2 VLAN方案设计目前,VLAN技术可以使用以下方式组建:基于交换机端口的VLAN、基于MAC地址的VLAN和基于应用协议的VLAN:基于端口的VLAN,即静态VLAN,特点是技术简单,容易配置且维护工作量小,缺点是终端设备移动时需要更改设备配置。基于MAC地址的VLAN,即动态VLAN,基于Vlan策略服务组建,特点是终端设备可以在整个局域网中移动而不用改变配置,适合于移动办公型的网络环境,缺点是配置工作量大、繁琐。由于交换机为二层设备,所以基于应用协议的VLAN对于交换机来说没有任何意义,反而会造成交换机性能的下降。考虑到本系统的特点,节点在网络中内移动的可能性较小,基
37、于易维护、易管理方面的考虑,使用基于交换机端口的VLAN进行配置。VLAN规划参照图2,各个VLAN间由ACL控制,限制互访。其中VLAN1031为部门VLAN,禁止互访,VLAN 51为文件服务器区,能被任何部门访问,VLAN 52为网管区,能单向访问各个部门。 图2 Vlan及IP地址规划图4.3 第三层交换技术设计方案顾名思义,第三层交换器就是将第二层的交换器与第三层的路由器合二为一,使路由器根据第二层的地址转发数据包以达到快速通讯,这就形成了第三层交换器。第三层交换出现因于ATM与交换器的技术背景,因为传统的网络是由路由器作为中心的。使用第二层交换器使网络速度提升,可是在网络中使用过多
38、的交换器,所有交换器所架构的网络可能会形成广播风暴,所以需要路由器来隔离可能会形成的广播风暴,为了使路由器不会形成网络的瓶颈,就形成了第三层交换。VLAN将广播域进行分割,但透过VLAN进行通讯则必须通过路由器进行转发。所有核心层交换机均为三层交换,手动打开 ip routing。4.4 IP multicast技术方案设计为了使企业网络系统成为能够承载多种应用的多媒体网络,使网络点播和网络会议成为办公的有力工具,网络对组播的支持是必不可少的。传统的点对点单播通信,在发送方和每一接收方需要单独的数据通道。在这种通信方式下,源IP主机向指定的目标IP主机发送信息包。IP信息包中的目标地址就是IP
39、网络中惟一的主机地址。从一台主机送出的每个数据包只能传送给一个目标主机,通过路由器或交换机将这些IP信息包从源主机发送到目标主机。在源主机和目标主机之间的路径上的每一个路由器都维护由单播路由协议生成的单播路由信息库,并根据数据包中的IP目标地址在单播路由信息库中查找单播包转发路径。这种传送方式称为单播。在单播方式下,如果有另外的多个用户希望同时获得这个数据包的拷贝是不可能的。发送信息的主机必须向每个希望接收此数据包的用户发送一份单独的数据包拷贝。这种巨大的冗余会带来很大的代价,首先,会给发送数据的源主机带来沉重的负担,因为它必须对每个要求都做出响应,这使得负担过于沉重主机的响应会大大延长。其次
40、对路由器和交换机的性能也提出了更高的要求,管理人员被迫购买本来不必要的硬件和带宽来保证一定的服务质量。 组播路由与IP单播路由有一个本质的区别就是,IP单播路由是根据网络的拓扑结构而不是实际的会话来建立路径,而IP组播路由则是根据网络的会话来动态地建立投递路径;因此,IP组播路由比IP单播路由更具有动态性。目前可用的组播路由模型有两种:稠密分布模型和稀疏分布模型。稠密分布模型假定组播成员在网络中稠密分布,并且它们之间的网络带宽资源往往随时可用;而稀疏分布模型假定组播成员在网络中稀疏分布,而且它们之间带宽资源往往比较紧张。组播和传统的单播数据传送方式如图3所示:图3 组播示意图从图中可以清楚的看
41、出,单播传送发送数据的多个拷贝,每个拷贝发送到一个接收者,主机轮流发送数据的拷贝,网络分别将它们转发至每个接收者,主机一次只能发送至一个接收者。而组播传送则只把发送数据的一个拷贝发送到多个接收者,主机发送数据的一个拷贝,可同时发送到多个接收者。网络在每个接收者的最后一个路由器或主机复制它,在一个给定的网络上每一个包只传送一次。关于组播路由设计,在企业网络核心交换机和汇聚交换机上运行PIM-DM组播协议对业务及服务进行支持,并提供优秀的可扩展性;在边缘交换机上运行IGMP Snooping组播管理协议对业务及服务进行支持。用户通过运行组播客户端软件的PC运行IGMP协议,用户可通过IGMP协议加
42、入某个组播组,建立成员关系。对于组播业务的具体实施及管理需根据不同的业务类型及厂家提供设备的特点具体进行分析。目前经常被采用的稀疏分布模型的域内组播路由协议是PIM-SM,因此,使用PIM-SM作为域内组播路由协议。PIM-SM采用树形投递结构,被设计成限制组播报文只发给那些希望接收它的路由器,PIM-SM围绕一个称为汇聚点(RP,Rendezvous Point)的路由器来设计组广播投递树;RP在PIM-SM中充当广播树的树根,所有报文首先被封装后从发送者采用单播的方式送往RP,然后由RP解封后送往所有接收者。但是,在PIM-SM中,某个广播组接受者可以根据一定条件选择从以RP为根的RPT树
43、切换到以发送者为根的所谓SPT树;RPT树和SPT树各有其优点,RPT树易于构造,并且可以减少路由器中所要维护的组播状态;如果广播组会话由大量低带宽多目的广播流构成,RPT还可以节省网络资源,而SPT树则可以采用最优路径,并消除封装和解封装过程,提供更好的性能。采用PIM Version2作为组播路由协议。PIM(RFC 2362)是IETF关于域内组播路由协议的标准,目前为大多数组播服务提供商采用。按照规划,选择核心节点作为整个企业网络组播系统的RP点,来对整个企业网络的组播进行控制。每个部门VLAN划入一个多播地址:Vlan10:224.1.1.1 Vlan11:224.1.1.2Vlan
44、20:224.1.1.3 Vlan21:224.1.1.4Vlan30:224.1.1.5 Vlan31:224.1.1.6在核心交换机和PIX上启用多播,命令如下:ip multicast-routingint interface #ip pim sparse-dense-modeip igmp join-group 224.1.1.X配置PIX为RP的命令如下:ip pim send-rp-announce Loopback0 scope 3 group-list 50ip pim send-rp-discovery Loopback0 scope 3access-list 50 perm
45、it 224.1.1.1access-list 50 permit 224.1.1.2access-list 50 permit 224.1.1.3access-list 50 permit 224.1.1.4access-list 50 permit 224.1.1.5access-list 50 permit 224.1.1.6ip pim rp-address 3.3.3.34.5 访问控制列表(ACL)设计方案访问控制列表(Access Control List,ACL) 是路由器接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk
46、等。 ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议(IP、AppleTalk以及IPX)的情况,那么,用户必须定义三种ACL来分别控制这三种协议的数据包。自反访问表在路由器的一边创建I P流量的动态开启,该过程是基于来自路由器另一边的会话进行的。在正常的操作模式下,自反访问表被配置并用于从路由器的不可信方,例如连接到I n t e r n e t的串行端口,创建开启表项。这些开启表项的创建是基于源于设备的可信方的会话进行的,例如以太网或令牌环网的用户连接到一个网段或连接到路由器端口的环。在该过程中,访问表执行的动作称为自反向过滤( reflexive filtering
47、)。该名称是根据此访问表的类型得来的。在I O S版本11 . 3中引入了自反访问表,并且它可用在所有的路由器平台上。在核心层交换机上配置访问列表如下(由于各个端口配置相似,故只列出核心交换机SW1上的e0/1.1):ip access-list extended e0/0.1-inevaluate admin deny ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 deny ip 192.168.10.0 0.0.0.255 192.168.21.0 0.0.0.255 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 deny ip 192.168.10.0 0.0.0.255 192.168.31.0 0.0.0.255 deny ip 192.168.10.0 0.0.0.255 192.168.52.0 0