《毕业设计(论文)DHY公司网络构建与服务管理.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)DHY公司网络构建与服务管理.doc(52页珍藏版)》请在三一办公上搜索。
1、一、毕业技能综合实训任务书实训项目: DHY公司网络构建与服务管理 学生姓名: 杜昊晟 专 业: 计算机应用技术 班 级: 10计应2 学 号: 1082040505 项目类型: 企业项目改造 指导教师: 庞美玉 1、实训项目简介: DHY公司是一家拥有500名员工的新型IT企业,公司有近500台运行windows 2008/2003/xp的计算机。公司总部位于宁波,并分别在余姚、慈溪设有分公司。总部设有财务、研发、生产和销售4个部门,每个分公司则由销售、生产和财务3个部门组成,由总部统一管理。DHY公司的组织架构如图如下:DHY公司所从事的业务对网络系统有极大的依赖性,内部办公等都需要网络支
2、持。公司建设初期已经实施了简单的网络系统,但随着公司规模的不断扩大和业务的不断扩展,员工数量的不断增多和信息应用系统的不断增加,现有的网络系统逐渐不能满足企业信息化建设的要求,因此计划对宁波总公司的局域网络和总公司与分公司之间互联网络进行重新规划设计,以提高网络的可用性、安全性和可靠性,并保留一定的可扩展性,在DHY公司内实现一个完善、高效、高可用性和高可靠性的办公网络,用以满足各项业务发展的需要。现有网络状况分析:DHY公司宁波总公司原有的综合布线系统是按照骨干线路全部双线冗余来铺设的,但是由于当时的网络应用单一,对网络的要求太低,所以仅使用了7台cisco catalyst 2950 交换
3、机,通过级联方式组成网络,没有考虑网络骨干的冗余性,IP地址采用的是192.168.1.0、24网段的地址,但使用比较混乱。宁波总公司内的VLAN 只按照部门进行了划分,采用1台CISCO 2621路由器以单臂路由的方式实现VLAN之间的路由。现在随着总公司规模的扩大、员工数量的增多、信息系统应用的升级,原有的组网方式在网络的性能、可靠性和安全性上已经不能满足要求。宁波总部的局域网架构如图所示:总公司已经建设好了专用的中心机房,原来是通过拨号上网,没有申请公司域名,也没有配置网络服务和DHY公司自己的邮件系统,这些都计划在此次一并实施。宁波总公司原有的综合布线系统在设计实施开始时就考虑到公司未
4、来十年的信息系统要求,各个办公区域和网路机房都已经预留了足够的信息点,骨干链路采用双线冗余,所用线缆带宽也能够满足要求,因此此次网络建设不需要重新布线。余姚和慈溪分公司由于人数较少,网络组织跟总公司基本相同,目前可以满足应用要求,因此不需重新建设。但分公司与总公司的连通没有采取专用线路,仅仅是通过拨号访问因特网,通过个人免费邮箱发邮件定期向总公司 提交报表文件,速度较慢,工作效率低,安全性也较差。同时,公司员工通过个人免费邮箱与合作伙伴和客户进行业务联系,对公司的整体形象也有一定的影响。DHY公司的网络整体架构如图所示:整体上看,DHY公司原有的内联网络在可扩展行上也不能满足要求,新加入的设备
5、、主机、服务器等只能见缝插针地连入网络,对网络的可维护性造成了很大的影响。因此,此次需要对DHY公司的网络进行重新规划设计,在最大限度地利用已有资源的基础上,调整宁波总公司的内部网络结构,提高网络的整体性能和安全性、可靠性、可扩展性,调整余姚、慈溪分公司与宁波总公司的路由连接,提高和总部之间的网络带宽,支持更复杂的网络应用。2、实训主要任务及要求: 1)、设计网络方案新规划实施的DHY公司网络将覆盖宁波总公司和慈溪、余姚两个分公司,根据如下的网络建设需求和设备选型要求,设计出DHY公司的网络构建方案。(1)网络建设需求如下:v 余姚、慈溪分公司通过专线连接宁波总公司,使用路由器实现宁波、余姚、
6、慈溪三部分网络的互联互通v 宁波总公司通过一条以太网方式的宽带接入链路(10M带宽)连接到因特网,提高访问因特网的速度v 宁波总公司的内部局域网络采用全冗余的结构来保障网络的高可用性,余姚、慈溪分公司的内部网络架构则可以比较简单v 公司内所有的信息服务应用均由总公司提供,服务器均放置在宁波总公司,余姚、慈溪分公司通过网络远程访问v 出于网络安全性考虑,DHY公司仅有单一的因特网访问出口,位于宁波总公司,余姚、慈溪分公司要访问因特网必须通过总公司v 为了能够有力的支持各种计算机应用系统,实现公司内部各种资源的共享,网络总体架构要求高效、健壮、安全,具有良好的可扩展性v 网络设计为模块化的拓扑结构
7、,总公司统一进行规划和管理,全网采用统一的网络方案和策略v 每个分公司的网络自成体系,单个分公司的局域网广播数据流和网络故障不能扩展到全网。v DHY公司计划使用多个私有的C类IP地址,既要保证企业现有用户和系统的使用,又要保证未来的扩展空间v 宁波总公司的局域网规划使用Vlan、VTP、STP等交换技术,提高网络的稳定性和可靠性v DHY公司3部分网络互联要求使用收敛速度快、效率高的动态路由协议,保证总公司和分公司网络之间的可达性和稳定性v 出于安全的考虑,余姚和慈溪分公司的员工只允许访问总公司的服务器,而不能直接访问总公司员工其他分公司员工的计算机(2)网络设备选型要求DHY公司宁波总公司
8、原有7台CISCO CATALYST 2950交换机,1台作为核心交换机,其余作为接入交换机,不过现在用户的计算机连接混乱,核心交换机上不仅有服务器也有最终用户的计算机。此次重新设计网络,计划将原有的7台CISCO CATALYST 2950交换机全部作为接入交换机使用,核心交换机重新购置三层交换机,并采用双核心的全冗余架构,核心交换机上不再连接主机和服务器。因此应当选用高性能的三层交换机作为此次网络建设的核心交换机。具体选用的设备型号为Cisco catalyst 3550或3560。慈溪、余姚分公司的原有网络也采用CISCO 2950交换机,由于分公司员工数量不多且网络应用简单,没有体现出
9、性能不足,所以此次网络建设不对余姚、慈溪的分公司局域网进行更新。路由部分宁波总公司已有一台CISCO 2621路由器,慈溪、余姚分公司没有路由器。在此次网络建设中计划增加2台同型号的路由器,宁波总公司使用1台,慈溪和余姚分公司各用1台。同时,也为慈溪、余姚分公司申请了到宁波总公司的专线,用于实现总公司和分公司的网络连接,以构成DHY的内联网。2)、虚拟平台上实现设备配置根据公司网络拓扑结构图,使用虚拟平台Cisco Packet Tracer和DynamipsGUI搭建公司的网络,并实现交换机、路由器和防火墙的相关配置,并测试成功。3)、常用网络服务的搭建和管理(1)打印服务公司购买了三台同样
10、型号HP DeskJet的打印机,安装这些打印机,并配置打印池。员工的电脑通过网络连接到这些打印机。当网络打印比较繁忙,但公司现在有紧急打印任务时,可以通过经理去打印,因为经理有打印优先权。(2)备份管理要求对重要服务器进行周期性备份。(3)DNS服务的配置与管理DNS服务器要求不仅能够将主机名解析为IP地址,还能由IP地址查询到主机名称。另外,当所查询的主机名称无法解析时,此DNS服务器可以把该查询转发到公网的DNS服务器(202.96.104.15)。(4)证书服务DHY公司建立了自己的网站,希望事业合作伙伴、供货商、客户等能够安全地通过Internet访问这个网站,这里的安全包括:一种是
11、建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网站的真实性,防止钓鱼网站。(5)WEB服务的搭建配置与管理和安全访问你是公司的网络管理员,公司需要经常在内部发布一些通知和报道公司的一些事件。现在公司老板希望你实现让其他员工访问公司内部的网站就可以看到这些信息,并且希望有些图片、文档资料或其它的音视频资料能够共享让其他员工下载,请问你如何实现?为了公司的信息安全,某些敏感页面需要加密访问,如何做到?(6)FTP服务的搭建配置和管理公司有内部文件需要员工共享,员工需要有自己的空间,互相不能访问,请使用ftp实现这些功能。(7)VPN服务的搭建配置与管理公司的销售部经理张大山经常出差。而
12、张大山每天都需要访问公司内部的网络以访问内部网络的保密资源。你是公司网络管理员,现在公司要求你既要让销售部经理张大山能够在外地访问公司内部网络的资源,又要确保访问时公司的内部的资料不会泄密,还要使得其它非法用户不能访问你公司内网的资源,请问你如何实现?公司另外搭建有认证服务器,VPN服务器如何使用认证服务器对VPN用户进行验证?(8)WSUS服务器的搭建、配置与管理公司有1000多台计算机,软件使用了微软公司的产品,包括操作系统、办公软件等。为保证软件的及时升级,所有电脑都设置了自动更新功能。某个星期一的上午,网管员发现网络流量很高,经过检查分析,是微软公司在星期日发布了一个重要安全补丁,星期
13、一员工开启电脑后,所有电脑都在下载补丁自动升级。过高的网络流量造成网络负载过重,影响了公司的正常工作。该如何解决这样的问题呢?(9)终端服务与远程管理小张是网络管理员,某天回家后,接到公司通知,要马上对对公司的服务器更新配置。但小张家距离公司很远,不能及时赶到公司。这时小张想起他可以通过家里的电脑,通过远程桌面管理公司的服务器。自己设计实验,完成小张的任务。小张是网络管理员,小李是普通用户,小李登陆了终端服务器对服务器进行配置,但遇到了问题,自己无法解决,请求小张给予协助。请设计实验,使用远程控制,模拟小张帮助小李的过程。3、毕业技能综合实训提交的成果1)、实训报告一份,内容包括:(1)实训过
14、程记述,配置代码,主要步骤截图;(2)阶段考核表(3)评分总表(4)实训总结、致谢等;2)、实训报告电子文档一份。二、实训进度安排阶段实训时间实训内容第一阶段第1、2周项目方案的设计第二阶段第3周虚拟平台上实现设备的配置第三阶段第4、5周常用网络服务的搭建和管理第四阶段第6周毕业技能综合实训报告撰写和答辩宁波大红鹰学院信息工程学院毕业技能综合实训(专科)实训报告实训项目: DHY公司网络构建与服务管理完 成 人: 杜昊晟 系 别: 网络与通信 专 业: 计算机应用技术 班 级: 10计应2 指导教师: 庞美玉 毕业技能综合实训报告目录第1阶段 项目方案设计过程考核31.1 查找网络设计方案及A
15、CL技术的学习31.2 总体设计、搭建网络拓扑71.3 设备命名81.4 IP地址规划91.5 交换部分设计101.6 路由部分设计131.7 可靠性设计151.8 广域网设计151.9 网络安全设计17第2阶段 虚拟平台上设备配置过程202.1 虚拟平台上完成交换部分配置202.2 虚拟平台上完成路由部分配置232.3 虚拟平台上完成安全部分配置25第3阶段 常用网络服务的搭建和管理过程273.1 打印服务273.2 备份管理303.3 DNS服务的配置与管理313.4 证书服务323.5 WEB服务的搭建配置与管理和安全访问333.6 FTP服务343.7 VPN服务363.8 终端服务与
16、远程管理39第1阶段 项目方案设计1.1 查找网络设计方案及ACL技术的学习1.1.1 查找网络设计方案通过网上学习搜索三个设计方案,大致阅读这三个项目方案,了解到规划网络设计需要考虑的因素很多,学习到网络设计方案的方法和步骤,先要确定所要用到的设备,列出设备清单,再合理划分IP地址和VLAN以及其他设备配置。在设计网络之前我们必须明白设计这个网络的目的是什么。最后根据书面规划进行实施,达到所预计的目的。1.1.2 ACL技术的学习及准备访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入
17、网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而
18、达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。几种访问控制列表的简要总结1.标准IP访问控制列表一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。2.扩展IP访问控制列表扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。3.命名的IP访问控制列表所谓命名的IP访问控制列表是以列表名代替列表编号
19、来定义IP访问控制列表,同样包括标准和扩展两种列表,定义过滤的语句与编号方式中相似。ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议(IP、AppleTalk以及IPX)的情况,那么,用户必须定义三种ACL来分别控制这三种协议的数据包。ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。ACL可以在路由器端口处决定哪种类型的通信流量被
20、转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。例如:某部门要求只能使用 WWW 这个功能,就可以通过ACL实现; 又例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。ACL 3P原则记住 3P 原则,您便记住了在路由器上应用 ACL 的一般规则。您可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL:每种协议一个 ACL 要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。每个方向一个 ACL 一个 ACL
21、 只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。每个接口一个 ACL 一个 ACL 只能控制一个接口(例如快速以太网 0/0)上的流量。ACL 的编写可能相当复杂而且极具挑战性。每个接口上都可以针对多种协议和各个方向进行定义。示例中的路由器有两个接口配置了 IP、AppleTalk 和 IPX。该路由器可能需要 12 个不同的 ACL 协议数 (3) 乘以方向数 (2),再乘以端口数 (2)。一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。数据包只有在
22、跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较。如果匹配(假设为允许发送),则不管是第一条还是最后一条语句,数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。这里要注意,ACL不能对本路由器产生的数据包进行控制。目前有两种主要的ACL:标准ACL和扩展ACL。其他的还有标准MAC ACL、以太协议 ACL 、IPv6 ACL等。标准的ACL使用 1-99 以及1300-1999之间的数字作为表号,扩展的ACL使用 100 -199以及2000-2699之间的数字作为表号。标准ACL可以阻止来自某一网络
23、的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。在标准与扩展访问控制列表中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以让我们在使用过程中方便地进行修改。 在使用命名访问控制列表时,要求路由器的IOS在11.2以上的版本,并
24、且不能以同一名字命名多个ACL,不同类型的ACL也不能使用相同的名字。随着网络的发展和用户要求的变化,从IOS 12.0开始,思科(CISCO)路由器新增加了一种基于时间的访问列表。通过它,可以根据一天中的不同时间,或者根据一星期中的不同日期,或二者相结合来控制网络数据包的转发。这种基于时间的访问列表,就是在原来的标准访问列表和扩展访问列表中,加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。基于时间访问列表的设计中,用time-range 命令来指定时间范围的名称,然后用absolute命令,或者一个或多个periodic命令来具体定义时
25、间范围。ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而,网络能否有效地减少不必要的通信流量,这还要取决于网络管理员把ACL放置在哪个地方。假设在的一个运行TCP/IP协议的网络环境中,网络只想拒绝从RouterA的T0接口连接的网络到RouterD的E1接口连接的网络的访问,即禁止从网络1到网络2的访问。根据减少不必要通信流量的通行准则,网管员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处,即RouterA上。如果网管员使用标准ACL来进行网络流量限制,因为标准ACL只能检查源IP地址,所以实际执行情况为:凡是检查到源IP地址和网络1匹配的数据包将会被丢掉,即
26、网络1到网络2、网络3和网络4的访问都将被禁止。由此可见,这个ACL控制方法不能达到网管员的目的。同理,将ACL放在RouterB和RouterC上也存在同样的问题。只有将ACL放在连接目标网络的RouterD上(E0接口),网络才能准确实现网管员的目标。由此可以得出一个结论: 标准ACL要尽量靠近目的端。网管员如果使用扩展ACL来进行上述控制,则完全可以把ACL放在RouterA上,因为扩展ACL能控制源地址(网络1),也能控制目的地址(网络2),这样从网络1到网络2访问的数据包在RouterA上就被丢弃,不会传到RouterB、RouterC和RouterD上,从而减少不必要的网络流量。因
27、此,我们可以得出另一个结论:扩展ACL要尽量靠近源端。ACL的主要的命令命令描述access-list 定义访问控制列表参数ip access-group 指派一个访问控制列表到一个接口ip access-list extended 定义一个扩展访问控制列表Remark 注释一个访问控制列表show ip access-list 显示已配置的访问控制列表配置访问控制列表的步骤:第一步:创建访问控制列表:access-list access-list-number deny|permit test conditions/access-list-number:序列号,这个地方也可以写命名的名称;/
28、deny:拒绝;/permit:允许;/test conditions:过滤条件语句第二步:应用访问控制列表:A、首先要进入接口模式;B、ip access-group access-list-number in|out1、标准访问控制列表的格式:access-list list number| word permit|deny source address wildcard mask/list number|word列表序列号或者命名/permit|deny允许或者拒绝/source address源IP地址/wildcard mask掩码,如果不使用掩码,则使用关键字Host ,例:hos
29、t 192.168.2.42、扩展访问控制列表的格式:access-list list number| word permit | deny protocol | protocol key word source address source-swidcard mask source port destination address destination-wildceard mask destination port/list number| word访问控制列表的序列号或者命名/permit | deny允许或者拒绝/protocol | protocol key word协议或者协议号/
30、source address 源IP地址/source-swidcard mask源地址掩码,如果使用关键字host,则不用掩码/source port源端口/destination address目的地IP地址/destination-wildceard mask目的地地址掩码,如果使用host关键字,则不用掩码/destination port目的端口1.2 总体设计、搭建网络拓扑1.2.1 网络拓扑结构图图1-1网络拓扑图 1.2.2 设备清单表1-1 设备清单序号型号规格说明描述数量备注价格1Cisco 2621 XM路由器多业务路由器,用于连接其他路由器,内置防火墙。4台宁波总部2台
31、慈溪分部1台余姚分部1台(总部备用1台)13000/台2Cisco 3550核心层交换机有光纤扩展接口或三层交换功能,易扩展管理。2台宁波总部2台16000/台3FIX 防火墙策略过滤,隔离内外网,根据用户需求设置DMZ1台以满足要求为原则,适时选配4000/台4Cisco 2950接入层交换机智能交换机,可进行VLAN划分。至少7台宁波总部至少5台慈溪、余姚交换机不变4000/台5服务器系统为Windows Server2003作为主服务器、数据库服务器、文件服务器、FTP服务器、WEB服务和邮件服务器等至少1台以满足要求为原则,适时选配15000/台6PC机系统为Windows Xp企业各
32、部门员工使用近100台4000/台1.3 设备命名表1-2 设备命名规范设备类型命名规则说明示例路由器?_DHY_ Rx?:表示地区缩写Rx:表示路由器号NB_DHY_R01表示宁波总部第1台路由器接入层交换机?_DHY_ SxSx:表示二层交换机号YY_DHY _S03表示余姚分部第3台二层交换机核心层交换机?_ DHY_RSxRSx:表示三层交换机号NB_DHY_RS02表示宁波总部第2台三层交换机服务器?_DHY_SVxxSVxx:表示服务器号NB_DHY_SV09表示宁波总部第9台服务器防火墙?_DHY_XXXX:表示防火墙号NB_DHY_01表示宁波总部第1台防火墙PC机?_DHY_
33、?xx?xx:?表示部门缩写有XS、CW、JS、SC,?xx表示该部门中的PC机号NB_DHY_XS09表示宁波总部销售部第9台PC机1.4 IP地址规划1.4.1 IP地址规划表1-3 IP地址规划子网 IP地址规划NB_DHY_R01与YY_DHY_R0110.1.100.1/30-10.1.100.2/30NB_DHY_R01与CX_DHY_R0110.1.150.1/30-10.1.150.2/30NB_DHY_RS01与NB_DHY_R0110.1.200.1/3010.1.200.2/30NB_DHY_RS02与NB_DHY_R0110.1.250.1/30-10.1.250.2/
34、30服务器组10.1.1.1/24-10.1.1.4/24宁波销售部10.1.2.1/24-10.1.2.50/24宁波财务部10.1.3.1/2410.1.3.50/24宁波生产部10.1.4.1/2410.1.4.50/24宁波技术部10.1.5.1/2410.1.5.50/24余姚财务部10.1.9.1/2410.1.9.50/24余姚销售部10.1.10.1/2410.1.10.50/24余姚生产部10.1.11.1/2410.1.11.50/24慈溪财务部10.1.6.1/2410.1.6.50/24慈溪销售部10.1.7.1/2410.1.7.50/24慈溪生产部10.1.8.1/
35、2410.1.8.50/241.4.2 VLAN划分合理表1-4 VLAN划分地点VLAN名称VLAN的内容对应子网DHYNET(宁波总部)VLAN 1NB_ Server服务器10.1.1.0/24VLAN 2NB_XS宁波销售部10.1.2.0/24VLAN 3NB_CW宁波财务部10.1.3.0/24VLAN 4NB_SC宁波生产部10.1.4.0/24VLAN 5NB_JS宁波技术部10.1.5.0/24DHYNET(慈溪分部)VLAN 6CX_CW慈溪财务部10.1.6.0/24VLAN 7CX_XS慈溪销售部10.1.7.0/24VLAN 8CX_SC慈溪生产部10.1.8.0/2
36、4DHYNET(余姚分部)VLAN 9YY_CW余姚财务部10.1.9.0/24VLAN 10YY_SC余姚生产部10.1.10.0/24VLAN 11YY_XS余姚销售部10.1.11.0/241.5 交换部分设计1.5.1 交换部分总体设计此次宁波公司总部的网络改造,将对所有校区的局域网进行规划。 为了宁波公司网络能够高效、稳定地运行,便于管理与维护,此次宁波公司总部对各个分校的局域网交换技术的相关方面进行了规划设计,包括VLAN、VTP、STP、Trunk、EthernetChannel、三层交换等。 VLAN将广播限制在单个VLAN内部,较少了各VLAN间主机的广播通信对其它VLAN的
37、影响。在VLAN间需要通信的时候,可以利用三层交换技术实现。 当网络管理员需要管理的交换机数量较多时,可以使用VLAN中继协议(VTP)简化管理,它只需在单独一台交换机上定义所有VLAN,然后通过VTP协议将VLAN的定义传播到本管理域中的所有交换机上,这样,大大减少了网络管理员的工作负担和工作强度。 当网络内交换机数量增多或交换机链路增加时,都有可能因交换网络的复杂性提高而造成交换环路,或者为了提高网络冗余度而有意设置了交换环路,这就需要通过在各个交换机上运行生成树协议(STP)来解决。 此外,按照网络建设要求,各个分校将建设一个双核心、全冗余的交换网络,其拓扑结构如图所示。图1-2交换机部
38、分其中所有的接入交换机采用购买的二层交换设备,核心层交换机采用购买的两台三层交换机。全网交换机配置VTP,以对VLAN 的设计统一管理。 两台核心交换机之间采用2 条链路组成以太网通道,以提高核心交换机之间的带宽。所有的接入交换机都使用2 条上行链路(设置为Trunk),分别连接到2 台核心交换机,采用STP 对这样的交换环路进行阻塞,在保证上行链路冗余性的同时,避免了可能造成的广播风暴、桥表震荡等问题。1.5.2 VTP设计 当网络中交换机数量较多时,需要分别在每台交换机上创建很多重复的VLAN。工作量大、过程繁琐,并且容易出错。由于宁波公司总部网络中使用的全部交换机都为Cisco的产品,所
39、以将使用Cisco的专有协议VLAN中继协议(VTP)来解决这个问题。 Cisco公司专有的VTP协议能够从一个中心控制点开始,维护整个企业网络上VLAN的添加、删除和重命名工作,确保配置的一致性,可以减少在数量众多的交换机上配置VLAN相关的管理任务,降低认为因素导致的VLAN配置不一致现象(例如,VLAN配置错误、名称不统一等),降低了配置的复杂性。 为使网络能够高效稳定地运行,便于管理与维护,宁波公司总部内每一个独立的局域网都应当运行VTP协议,下面对宁波分校总部局域网中的VTP进行规划: VTP域名为 NB.DHY.com。 VTP版本为V2。 VTP域口令为NBvtp。 VTP修剪设
40、为启用。 VTP Server包括NB_DHY_RS01、NB_DHY_RS02。VTP Client包括 DHY _S0111。 配置VTP修建是为了减少在中继端口上不必要的信息量。VTP通过修剪,来减少没有必要扩散的VLAN广播数据流量,提高中继链路的带宽利用率。 VTP的口令是为了保证VTP域的安全。设置了口令之后,除非交换机设置了正确的口令,否则,新交换机不能自动加入到已存在的管理域中,可以避免VLAN被错误或恶意地增加、删除。1.5.3 STP设计 所有的局域网都采用全冗余结构,在交换网络中造成了大量的交换环境,可能会引起网络中的广播风暴和桥表震荡等问题,所以将在网络中启用生产树协议
41、(STP),用来阻塞冗余链路,而在发生链路故障时,迅速启用被阻塞的冗余链路,启到链路备份的作用。 所以,此处的交换部分设计中,也将在各个交换机上启用生成树协议,并且我们将通过调整交换机优先级的方式,来指定性能较高的核心交换机(即两台三层交换机NB_DHY_RS01 和NB_DHY_RS02)为根网桥。 并且,Cisco 交换机支持每个VLAN 的生成树(PVST),在本方案中我们也将采用这种方式,为每一个VLAN 启用一个STP 实例。通过这种方式,不同VLAN 的流量被分担到了2 台不同的核心交换机上,还可以实现一定的负载分担功能。 对于DHY _S0111 接入交换机来说,我们将在其上启用
42、上行速链路,以减少网络拓扑变化时(例如某一台核心交换机故障)的重新收敛时间,使冗余链路在转发链路故障后能够立即启用,减少用户的断网时间。 同时,所有的接入交换机的324端口还将启用速端口,因为这些端口连接的都是计算机等,不会产生交换环路,所以配置成速端口,可以在端口启动时直接进入转发阶段,加快网络收敛的速度。 其余的STP参数不需要进行调整,保持默认值即可。1.5.4 Ethernet Channel 设计 从上面各小节的图中可以看到,在两台核心交换机之间设计了一条以太网通道,这也是系统的实际需要。 该以太网通道汇聚的是两条核心交换机之间的链路,分别使用了两台核心交换机上的3、4端口,使两台核
43、心交换机之间的链路带宽达到了200Mbps。而且核心交换机上有大量保留端口,随时可以扩充通道的带宽,最大可以汇聚8条链路成为一条以太网通道。 同时,这条以太网通道也是两台核心交换机之间的Trunk链路,按照STP对不同VLAN的根网桥做了指定之后,需用这条Trunk链路承载不同VLAN之间的流量以及VTP的各种消息。 配置以太网通道可以提高冗余功能。配合以接入交换机的双上行链路,本方案可以实现极高的网络可靠性和健壮性,只要有一台核心交换机以及一半的正常链路,整个网络就可以正常工作。 在配置的时候,优先使用标准的协议。1.5.5 三层交换技术宁波公司总部网络中,在两台核心交换机上各自为VLAN配
44、置IP地址,启用路由转发功能,各个VLAN内的计算机使用该地址作为网关,之间便可以实现互通了。 三层交换机技术在第三层实现了数据包的高速转发,从而解决了传统路由器低速、复杂 所造成的网络瓶颈问题。 这里需要注意一点是,宁波公司总部的局域网中,两台核心交换机启用路由功能,其上给VLAN配置的IP地址将是上面所连计算机的网关地址。而两台交换机上同一个VLAN只能配置不同的IP地址,所以这两台三层交换机还会采用HSRP方式形成互为备份关系,为每个VLAN上形成一个HSRP组,使用HSRP组的虚拟地址作为VLAN的网关。1.6 路由部分设计 对于企业内联网的路由器而言,可以使用一系列路由协议。选择路由
45、器时需同时考虑网络设计和路由协议的选择。最常见的标准路由协议是RIP和OSPF,但RIP并不适合大型网络。考虑到宁波计算机学院内联网未来扩展的要求,我们将采用OSPF协议作为网络的路由协议。 OSPF路由协议是业界标准的网络协议,许多厂商的网络设备都支持它,因此它受到了广泛的应用。OSPF路由协议能够快速收敛,支持无类路由(Classless)和变长子网掩码(VLSM),可划分区域,适合运行在大中型网络中。 设计方案从OSPF区域、指定路由器、路由器ID等方面进行了规划。1.6.1 OSPF区域规划 为了解决最短路由优先(SPF)算法的频繁计算、路由表过大、链路状态数据库过大的问题,OSPF将大型网络分成多个区域。划分区域具有以下优点: 减少OSPF路由协议的LSA泛洪,减少链路带宽的占用。 降低SPF 计算频率,减少路由器的资源消耗。 具有更小的路由表。 降低链路状态更新的负荷。 提高网络的稳定性。 宁波公司总部的内联网OSPF 路由协议将采用多区域的方式。 宁波公司总部中OSPF 区域划分的原则如下: 总部的路由器内联本地设备的接口属于Area 0。 总部内的三层交换机上的路由器端口属于Area 0。 总部的路由器连接防火墙的端口属于