大型园区网组网架构的设计与实现Word格式.docx
《大型园区网组网架构的设计与实现Word格式.docx》由会员分享,可在线阅读,更多相关《大型园区网组网架构的设计与实现Word格式.docx(29页珍藏版)》请在冰豆网上搜索。
本项目要求学生具备一定路由、交换、安全等方面的知识,结合一些现有的网络拓扑规划,设计出一个有用、便利、安全的组网架构方案。
方案应包括如何实现分公司之间的远距离传输、部门之间的正常通信、提高数据传输的安全可靠性、解决网络拥塞等功能。
第一章绪论
1.1研究背景
进展迅猛的计算机网络,在潜移默化地改变着整个通信治理系统,其普及程度也越来越高。
计算机网络的进展使得原先的以单一计算机为中心的网络环境转变至以网络为中心的网络环境,这些改进与改变都为工业、教学、商业、治理、科研等一些领域中的技术应用提供了新兴的网络通信技术及环境,同时也加强提高了网络内部用户间的信息交流、资源共享、科学计算、技术合作及有效治理等,这些进展和进步更一步推动了企业的生产、治理及进展基于新形态的网络环境,企业内部也被整合到了一起,内部系统更完善了。
所以研究并设计一个安全、可靠的园区网组网架构方案是具有现实意义的。
同时,也是网络进展的必定趋势。
1.2企业园区网基本功能
1.园区网指园区内计算机及附属设备互联运行的网络,是由计算机、打印机等终端设备;
路由器、交换机等网络设备和一些服务器设备等等构成的,是一种用于企业治理的网络集成应用系统,并且能够通过与广域网的互联来实现与外网或是其他分公司间的远距离通信和共享资源。
园区网应的出现给企业带来了方方面面的技术支持,包括了的办公、治理、业务交流等等,园区网有以下几大特点:
1)园区网的访问数据量大。
2)园区网内访问的人数和时间比较集中。
3)园区网内用户访问的内容也相对集中。
4)要求园区网的网络环境稳定运行。
5)园区网的建设和维护综合实际的成本问题,资金比较紧张。
2.园区网是目前应用较广泛的一种局域网类型,在园区网的构建中要满足以下功能设计:
1)园区网内部实现有效的信息共享,能完成对员工的治理,对日常办公事务的治理以及用户间的交流和用户访问外网的服务,对于园区网内的工作能提供基础技术的支持。
2)园区网内部的资料信息能实现收集、备份与治理,通过网络来猎取更多的信息。
3)园区网内部能做到上级与下级之间、部门与部门之间、员工与员工之间的正常通讯,能为园区网内的用户提供很多网络服务,例如电子邮件、网页扫瞄、FTP与文件治理等,真正意义上实现办公自动化,大大的提高了公司的业务效率和水平。
4)数据的存储、传输准时可靠,园区网内的通信以及资源共享和企业治理统一高效的结合起来。
企业园区网的建设不仅仅是创建了一个更高效的网络系统环境,使用户能获得更多的便捷性,同时也让用户与用户间的交流更为便利,对于信息的搜集也更为便利,整体地提高了整个企业的综合水平。
公司的治理与提升都离不了网络环境的完善与进步。
1.3关于设计使用的模拟器
本设计是基于GNS模拟器实施的,原本考虑使用IOU模拟器,但经过实际地运行此软件、搭建拓扑后发觉IOU并不适合作为本设计的模拟器,因为软件本身原因,IOU搭建的拓扑并不像GNS搭建地形象,无法直观地展现出设计的思路和规划。
虽然GNS存在一些配置方面的缺陷,但通过更换最新的IOS文件后也基本上能实现完整的配置,并真实地模拟真实网络设备的运行,所以本网络的各项需求的实现是肯定具有实际意义的。
第二章企业园区网规划相关技术简述
2.1企业园区网特点
对于企业园区网进行特点分析首先要明确的就是企业的对网络的需求,企业的业务种类以及其所需应用技术等,确定了这些,再加以分析才能创建适合企业的高效的园区网络,这些需求分析是基础,基于这些来建设企业园区网才能有针对性、不盲目。
园区网的特点分析能为许多方面提供依据,使得园区网建设策略更优良和完善。
例如:
需要实现的园区网功能;
企业内部电子邮件服务;
企业内部数据共享;
企业园区网内带宽多少兆到桌面;
员工权限设置等等。
企业网建设的常见特点总结为有以下特点:
1.有用性
企业园区网不但要能提供传统网络能提供的应用服务,电子邮件服务、网站扫瞄、数据共享等服务,也能提供其他的功能,例如视频点播、企业内部电话系统等应用。
2.稳定性
企业园区网网中有着许多的网络应用服务,那么整个网络内部长期有大量的数据传送和转发,流量大,用户多,同时进行的数据传输和频繁的用户登录登出都需要极稳定的网络环境才行,所以企业园区网一定要能提供稳定的网络性能。
3,先进性
通过网络系统结构的设计、网络设备的选型以及软硬件的部署,为不同的网络应用安排各自的优先级、延时和带宽等等。
只有通过这些先进的技术才能让网络展现出更高的性能,网络才能运行更通畅稳定。
4,性价比高
企业园区网内部网络用户量大,因此一定要有足够的带宽,才能满足各园区网内部用户的不同网络需求。
另外需考虑园区网建设初的资金,综合网络整体的建设,以达到最高性价比为目标实施部署。
5.治理性
企业园区网面向的对象包括企业内部员工、企业治理层人员等,需针对不同的对象设定不同的网络应用权限,这样才能更高效的进行企业办公以及企业员工间的沟通等。
6.可扩展性
园区网络要能跟随需求做出一定的调整和改变,另外,陆续的进展会需要对网络环境进行扩展和增加设备等,这样园区网一定要有一定的可扩展性,才能适应企业的网络环境的改变。
2.2企业网结构化网络布线
结构化综合布线系统(PDS),是一个能够支持任何用户选择的话音、数据、多媒体等应用的通信布线系统。
传统的网络布线系统协调性差,兼容性差,有用性差,开放性和灵活性差,扩展性查,并且需要重复投资,相对这些传统布线系统的缺点,结构化综合布线系统的使用使得更灵活,兼容性更强,模块化设计使得扩展性更好,综合布线的性价比也比较高。
说得通俗点儿,就是为计算机网络和电话系统提供物理连接的系统。
常见于现代智能建筑中。
2.3园区网拓扑结构
从不同的角度可以分类各种各样的网络类型,网络的拓扑结构能反映出网络中各实体的结构关系,是构建计算机网络的基础,每个网络类型均有自己所拥有的优点和缺点,而在实际网络应用中,在不同的环境下应用不同的网络类型,对网络的性能、可靠性、各通讯节点费用都会产生很大的影响。
园区网的拓扑结构就是将计算机和通信设备抽象理解为一个点,将传输介质抽象理解为一条线,由这些点和线组成的几何图形就是网络拓扑结构。
最基本的网络拓扑结构有:
总线型拓扑、星形拓扑、环形拓扑、树形拓扑四种。
1.总线型拓扑是将所有的网络设备都连接至公共的总线上,设备之间的通讯都通过总线来完成。
所以总线型拓扑具有结构简洁、易于拓展、布线简单、耗费较小的优点。
但由于所有数据流量都是通过总线传输,所以如果发生数据流量中断变很难查出具体故障位置、不便利治理维护。
2.星形拓扑是将各个计算机节点集中式接入到一个节点上,便于集中治理;
若某个点发生故障时也只会影响到本身,并且简单排查出来。
但由于中心节点负责全网络的通讯,所以负载很大,对中心设备要求很高,一旦出现故障会导致全网的瘫痪。
3.环形拓扑从结构上看就是将总线型首尾相连,形成一个封闭的环路。
该拓扑结构简洁、传输距离远并且适合使用光纤。
但同样具有单点故障,任意一个节点出现故障都会导致网络瘫痪。
4.树型拓扑结构是星形拓扑结构的扩展,是一种层次性的连接。
而数据流量通常都在上下节点之间传输。
该拓扑结构连结简洁,维护便利、扩展性比较好,但最上面的节点同样负载较大,有瘫痪的危险。
而本次设计方案的拓扑经过综合考虑决定使用将星形拓扑和树型拓扑相结合的结构,并且在核心层、汇聚层这些业务流量较多的地方配备两台三层交换机,既相互分摊了数据流量、也保证了一台设备出现事故时另一台可以马上切换过来并不让业务中断、并且在一些小节点断路时也不会影响其他部门的业务。
2.4网络层次
为了简化园区网的结构,思科采取了分层的思路。
分层的模型中每一层都只需有一个功能,所以我们可以分层考虑,为每一层选择最适合的技术和协议。
这种结构使得组网架构方案更加灵活,也为今后的维护工作提供了简便。
思科园区网组网架构可以将整个网络分为三个层次,分别为接入层、分布层和核心层。
以下是这三个层次的特点。
1.接入层:
一般是面向终端用户,用来让用户、服务器或边缘设备能够访问网络,因此接入层交换机具有低成本高端口密度的特性。
在企业园区网组网架构方案中,接入层通常包含一些为工作站、用户终端、打印机或是服务器等设备提供连接端口的交换机。
常见的接入层设备大致有:
思科1900,2950,2960,3550,3560,3750,4000等。
在接入层中,包含安全、过滤、治理、访问操纵等技术特性。
接入层中涉及到的基本技术有:
VLAN:
access、trunk;
802.1Q、ISL;
DTP;
VTP;
STP端口加速
2.汇聚层:
也称作分布层,主要起承上启下的作用,用来连接接入层节点和核心层中心,充当服务和操纵的边界。
汇聚层为接入层提供基于策略的连接,汇聚层同时提供到核心层的上行链路,保证网络中核心层稳定的运行环境和网络信息安全。
所以汇聚层选用的交换机要比接入层选用的交换机性能更好,运行速率更快。
常见的汇聚层设备大致有:
思科3560,3750,4000,4500等。
汇聚层中涉及到的基本技术有:
Trunk:
802.1Q、ISL,DTP,VTP,STP;
网关冗余协议:
HSRP、VRRP、GLBP;
链路捆绑(以太网通道技术):
无条件、LACP、PAgP;
三层交换技术:
VLAN间路由;
路由协议:
OSPF、EIGRP、BGP等。
3.核心层:
网络主干部分的设备称作核心层,也称作骨干,高速的核心层目的在于以最快速度转发数据包。
因此核心层交换机需要有更高的可靠性、吞吐量。
常见的核心层设备大致有:
思科4000,4500,6500。
核心层中涉及到的基本技术有:
链路捆绑:
三层交换路由协议OSPF、EIGRP、BGP等。
第三章企业园区网设计
3.1园区网总体需求
某企业,含总公司和分公司两大部分。
其中总公司有办公大楼一幢,核心层的三层交换机放置在办公大楼内;
楼内每一层分别为公司治理层、人事部、财务部和销售部等部门,由于办公大楼是公司业务核心,终端设备数量众多,所以配备了两台汇聚层交换机,并且每一个部门都配备一台接入层交换机,以保证庞大的业务流量及其可靠性;
总公司还拥有生产部厂房一幢,共两层,由于厂房的终端设备比较少,所以在此只配备两台接入层交换机,直接与核心层交换机相连;
食堂大楼同理,也仅配备一台接入层交换机。
分公司的业务流量没有总公司庞大,故配备一台核心层交换机、两台汇聚层交换机。
由于一个企业园区网内的终端数量庞大,而模拟器内无法支持如此大的资源消耗,在此方案内每个接入层下仅连接一到两台终端来模拟实际情况。
3.2性能需求
通过分析,提出企业园区网设计有以下性能需求:
1.具有快速收敛的特性,可以快速转发数据包,具备性能优越的资源共享功能;
2.拥有快速的Internet和公司内网接入口,建有E-mail服务器、FTP服务器、WWW服务器等Internet服务;
3.可以拥有灵活、安全的治理模式,可以访问网络资源并且有一定的权限操纵,可以集中化治理;
4.需要有一定的安全过滤功能,以保证网络使用安全;
5.有确定的路径选择,并且要保证有确定的备份路径可以选择;
6.考虑到未来企业的规模会越来越大,所以要保证现有网络具有较强的扩展性能和较大的吞吐量;
7.可以支持多个协议,支持多播、组播;
8.作为一个实际的组网方案,设备在满足该项目功能的情况下应尽量操纵成本,要求建成的网络应经济有用,还具有良好的性价比。
3.3园区网总体规划
3.3.1企业园区网总拓扑图
企业园区网总拓扑如图3-1所示:
图3-1企业园区网整体拓扑
3.3.2IP地址安排
合理地划分网络中的IP地址,并且这些IP地址都是通过DHCP动态获得的。
1.办公大楼:
公司治理层:
172.16.10.0/24接入终端较多,流量多对外网应用
人事部:
172.16.20.0/24接入终端较多,但少量流量对外网应用
财务部:
172.16.30.0/24接入终端较多,但少量流量对外网应用
销售部:
172.16.40.0/24接入终端较多,流量多对外网应用
2.生产部厂房及食堂:
厂房1:
172.16.50.0/24接入终端较少,无流量对外网应用
厂房2:
172.16.60.0/24接入终端较少,无流量对外网应用
食堂:
172.16.70.0/24接入终端较少,无流量对外网应用
3.分公司:
分公司1:
192.168.80.0/24接入终端较少
分公司2:
192.168.90.0/24接入终端较少
4.E-MAIL服务器:
10.10.1.0/24
FTP服务器:
10.10.2.0/24
WWW服务器:
10.10.3.0/24
3.3.3VLAN划分
一个VLAN(VirtualLocalAreaNetwork,虚拟局域网)相当于一个广播域或是一个子网。
它的作用是划分过大的广播域,便于治理,提高安全性。
一般园区网中主要有两种VLAN部署:
端到端VLAN和本地VLAN。
端到端即多台交换机的VLAN,假如两个用户分别接在不同的交换机上,一定要配置相同数量相同ID的VLAN,在他们经过的交换机之间都要打上Trunk即打上一个标记,交换机才能通讯,否则会导致部分VLAN不能传递数据;
本地VLAN就是只本台交换机的VLAN,在本台交换机VLAN之间是不需要打标记,只要是三层交换机都可以通讯,也就是说一台交换机一个VLAN。
在现在的园区网规划中比较推举后者。
交换机所支持的VLAN数为1-4094,VLAN1-1005称为NormalVLAN,VLAN1006–4094称为ExtendedVLAN。
NormalVLAN(1-1005)是保存在VLAN数据库中的,也就是vlan.dat,而ExtendedVLAN(1006-4094)是保存在startup-config中的。
NormalVLAN(1-1005)可以随意配置,而ExtendedVLAN(1006-4094)只能在VTP模式为Transparent时才能配置。
所以,VTP只能将NormalVLAN(1-1005)在网络中更新。
当同时配置了1-1005的VLAN和1006-4096的VLAN,在删除vlan.dat后,1-1005的VLAN会被删除,但1006-4096的VLAN还在,如果删除了startup-config,那么则会删除1006-4096的VLAN,但不会影响1-1005的VLAN。
VLAN的划分可以详细到某一相同网段中设备无法通信来达到安全性的实施,此拓扑中仅针对接入层设备进行VLAN划分
详细的VLAN划分:
办公大楼内:
公司治理层:
VLAN10
人事部:
VLAN20
财务部:
VLAN30
销售部:
VLAN40
生产部:
厂房1:
VLAN50
厂房2:
VLAN60
食堂大楼:
VLAN70
3.3.4设备命名
部门、大楼名称
设备名
总部核心层交换机
ZONG1
ZONG2
办公大楼汇聚层交换机
BGDL1
BGDL2
生产部厂房接入层交换机
CF1
CF2
公司治理层接入层交换机
GLC
人事部接入层交换机
RSB
财务部接入层交换机
CWB
销售部接入层交换机
XSB
食堂接入层交换机
ST
分公司核心层交换机
FGS
分公司汇聚层交换机
FGS1
FGS2
分公司接入层交换机
E-MAIL服务器
E-MAIL
FTP服务器
FTP
WWW服务器
WWW
表3-1设备命名
3.3.5策略定义
公司所有设备都能相互连通,并且访问三台服务器,使用相应的功能。
公司治理层、人事部、财务部、销售部有一定的对外业务,需访问外网。
生产部厂房、食堂:
主要为对内应用,无需访问外网,所以只能访问内网。
第四章企业园区网技术选择
4.1DHCP服务器
动态主机配置协议DHCP(DynamicHostConfigurationProtocol)是使用UDP协议工作的属于局域网的网络协议,DHCP协议的两个主要用途是:
自动安排IP地址,网络治理员用作治理网络内部所有计算机设备。
这样我们能省去很多麻烦,不用手动为网络中的主机安排设置IP地址,也幸免了网络内IP地址的冲突。
通常被应用在大型的局域网络环境中,主要作用是集中的治理、安排IP地址,使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。
DHCP协议采纳客户端/服务器模型,主机地址的动态安排任务由网络主机驱动。
当DHCP服务器接收到来自网络主机申请地址的信息时,才会向网络主机发送相关的地址配置等信息,以实现网络主机地址信息的动态配置。
当DHCP动态安排IP地址时,分以下阶段运行:
DHCP发觉:
客户端广播一条带有其硬件MAC地址的DHCP发觉消息,以查看可用的DHCP服务器。
DHCP提供:
当DHCP服务器接受来自客户端的DHCP发觉消息时,它可为客户端保留IP地址并将DHCP提供发送至客户端。
此信息包含客户端MAC地址、服务器提供的IP地址、子网掩码、租用期限和做出提供行为的DHCP服务器的IP地址。
DHCP恳求:
当客户端接受到DHCP提供消息是,它以DHCP恳求消息作为答复,表示它接受DHCP提供中的参数。
因为DHCP客户端仍未接受到已经过确认的IP地址,所以DHCP恳求消息将被广播。
DHCP确认:
DHCP服务器收到DHCP恳求消息后,将通过单播DHCP回复消息来确认恳求。
数据包中包含对所以已恳求的参数的确认。
此时,IP配置过程完成。
4.2网关冗余
网关冗余是把多个网关(合并成一个“虚拟”网关)当成一个使用。
其作用是多个网关之间动态备份,选举主/活跃网关,维护网关之间的“邻居”关系。
多个物理网关合并成一个虚拟网关,网关之间协商出虚拟的网关IP地址,该地址代表了多个网关,虚拟IP地址对应虚拟MAC地址,PC想要发报文,通过ARP查询虚拟网关IP的MAC,主网关给予ARP响应,报文由主网关转发。
网关冗余协议分以下三种:
HSRP:
热备份冗余协议;
VRRP:
虚拟路由器冗余协议;
GLBP:
网关负载均衡协议。
其中HSRP定义了一组路由器:
一个活动路由器和一个备用路由器。
这两个路由器之间共享虚拟IP地址和MAC地址。
要验证HSRP状态,需使用showstandby命令。
HSR
升级会员 