企业网中型局域网组建方案.docx
《企业网中型局域网组建方案.docx》由会员分享,可在线阅读,更多相关《企业网中型局域网组建方案.docx(37页珍藏版)》请在冰豆网上搜索。
企业网中型局域网组建方案
一、概述
----设计者:
XXXX
----机构:
XX大学校园
----校园占地面积:
200多万平方米
----教职工人数:
4000
----学生总数:
:
3万余人
----网络面临的挑战:
●网络具有传递语音、图形、图像等多种信息媒体功能,具备性能优越的
资源共享功能;
●校园网中各终端间具有快速交换功能;
●中心系统交换机采用虚拟网技术,对网络用户具有分类控制功能;
●对网络资源的访问提供完善的权限控制;
●网络具有防止及便于捕杀病毒功能,以保证网络使用安全;
●校园网与Internet网相连后,应具有“防火墙”过滤功能,以防止网
络黑客入侵网络系统;
●可对接入因特网的各网络用户进行权限控制。
----关键网络系统:
Cisco3640路由器、CiscoCatalyst295024口交
换机(WS-C2950-24)、CiscoCatalyst3550交换机、CiscoCatalyst4006
交换机
----网络解决办法:
对校园网系统整体方案设计;
对访问层交换机进行配置;
对分布层交换机进行配置;
对核心层交换机进行配置;
对广域网接入路由器进行配置;
对远程访问服务器进行配置;
对整个校园网系统进行诊断;
二、分析:
路由、交换与远程访问技术不仅仅是思科的CCNP课程及考试的重点。
更是
现代计算机网络领域中三大支撑技术体系。
它们几乎涵盖了一个完整园区网实
现的方方面面。
常常有学员说无法学以致用,其实,CCNP课程中的每个章节都
对应着实际工程中的每个小的案例。
只不过,实际工程是各个小案例的综合。
3在遇到一个实际工程的时候,我们不防采用自顶向下、模块化的方法、参考.
层模型来进行工程的设计和实施。
三、系统总体设计方案概述
为了阐明主要问题,在本设计方案中对实际校园网的设计进行了适当和必
要的简化。
同时,将重点放在网络主干的设计上,对于服务器的架设只作简单
介绍。
(一)1.1系统组成与拓扑结构
为了实现网络设备的统一,本设计方案中完全采用同一厂家的网络产品,
即Cisco公司的网络设备构建。
全网使用同一厂商设备的好处是可以实现各种
不同网络设备功能的互相配合和补充。
本校园网设计方案主要由以下四大部分构成:
交换模块、广域网接入模块、
远程访问模块、服务器群。
1.2VLAN及IP地址规划
(二)、交换模块设计
为了简化交换网络设计、提高交换网络的可扩展性,在园区网内部数据交
换的部署是分层进行的。
园区网数据交换设备可以划分为三个层次:
访问层、分布层、核心层。
2.1访问层交换服务的实现-配置访问层交换机
访问层为所有的终端用户提供一个接入点。
这里的访问层交换机采用的是
CiscoCatalyst
295024口交换机(WS-C2950-24)。
交换机拥有24个10/100Mbps自适应
快速以太网端口,运行的是Cisco的IOS操作系统。
2.2.配置访问层交换机AccessSwitch1的基本参数
(1)设置交换机名称
设置交换机名称,也就是出现在交换机CLI提示符中的名字。
一般我们会
以地理位置或行政划分来为交换机命名。
当我们需要Telnet登录到若干台交换
机以维护一个大型网络时,通过交换机名称提示符提示自己当前配置交换机的
位置是很有必要的。
(2)设置交换机的加密使能口令
当用户在普通用户模式而想要进入特权用户模式时,需要提供此口令。
此
口令会以MD5的形式加密,因此,当用户查看配置文件时,无法看到明文形式
的口令。
(3)设置登录虚拟终端线时的口令
对于一个已经运行着的交换网络来说,交换机的带内远程管理为网络管理
人员提供了很多的方便。
但是,处于安全考虑,在能够远程管理交换机之前网
络管理人员必须设置远程登录交换机的口令。
(4)设置终端线超时时间
为了安全考虑,可以设置终端线超时时间。
在设置的时间内,如果没有检
测到键盘输入,IOS将断开用户和交换机之间的连接。
(5)设置禁用IP地址解析特性
在交换机默认配置的情况下,当我们输入一条错误的交换机命令时,交换
机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。
利用命
令noipdomain-lookup。
可以禁用这个特性
)设置启用消息同步特性6(
有时,用户输入的交换机配置命令会被交换机产生的消息打乱。
可以使用
命令loggingsynchronous设置交换机在下一行CLI提示符后复制用户的输入。
2.3配置访问层交换机AccessSwitch1的管理IP、默认网关
访问层交换机是OSI参考模型的第2层设备,即数据链路层的设备。
因此,
给访问层交换机的每个端口设置IP地址是没意义的。
但是,为了使网络管理人
员可以从远程登录到访问层交换机上进行管理,必要给访问层交换机设置一个
管理用IP地址。
这种情况下,实际上是将交换机看成和PC机一样的主机。
给交换机设置管理用IP地址只能在VLAN1,即本征VLAN中进行。
为了使网络管理人员可以在不同的子网管理此交换机,还应设置默认网关
地址.
3.配置访问层交换机AccessSwitch1的VLAN及VTP
从提高效率的角度出发,在本校园网实现实例中使用了VTP技术。
同时,
将分布层交换机DistributeSwitch1设置成为VTP服务器,其他交换机设置成
为VTP客户机。
这里访问层交换机AccessSwitch1将通过VTP获得在分布层交换机
DistributeSwitch1中定义的所有VLAN的信息。
设置访问层交换机AccessSwitch1成为VTP客户机。
4.配置访问层交换机AccessSwitch1端口基本参数
(1)端口双工配置
可以设定某端口根据对端设备双工类型自动调整本端口双工模式,也可以
强制将端口双工模式设为半双工或全双工模式。
在了解对端设备类型的情况下,
建议手动设置端口双工模式。
如图所示,设置访问层交换机AccessSwitch1的所有端口均工作在全双工
模式。
图设置访问层交换机AccessSwitch1的端口工作模式
(2)端口速度
可以设定某端口根据对端设备速度自动调整本端口速度,也可以强制将端
口速度设为10Mpbs或100Mbps。
在了解对端设备速度的情况下,建议手动设置
端口速度。
如图所示,设置访问层交换机AccessSwitch1的所有端口的速度均为
100Mbps。
图设置访问层交换机AccessSwitch1的端口速度
5.配置访问层交换机AccessSwitch1的访问端口
访问层交换机AccessSwitch1为终端用户提供接入服务。
在图中,访问层
交换机AccessSwitch1为VLAN10、VLAN20提供接入服务。
(1)设置访问层交换机AccessSwitch1的端口1~10
工作在访10~端口1的端口AccessSwitch1如图所示,设置访问层交换机
问(接入)模式。
同时,设置端口1~端口10为VLAN10的成员。
图设置访问层交换机AccessSwitch1的端口1~10
(2)设置访问层交换机AccessSwitch1的端口11~20
如图所示,设置访问层交换机AccessSwitch1的端口11~端口20工作在访
问(接入)模式。
同时,设置端口1~端口10为VLAN20的成员。
图设置访问层交换机AccessSwitch1的端口11~20
(3)设置快速端口
默认情况下,交换机在刚加电启动时,每个端口都要经历生成树的四个阶
段:
阻塞、侦听、学习、转发。
在能够转发用户的数据包之前,某个端口可能
最多要等50秒钟的时间(20秒的阻塞时间+15秒的侦听延迟时间+15秒的学
习延迟时间)。
对于直接接入终端工作站的端口来说,用于阻塞和侦听的时间是不必要的。
为了加速交换机端口状态转化时间,可以设置将某端口设置成为快速端口
(Portfast)。
设置为快速端口的端口当交换机启动或端口有工作站接入时,
将会直接进入转发状态,而不会经历阻塞、侦听、学习状态(假设桥接表已经
建立)。
如图所示,设置访问层交换机AccessSwitch1的端口1~端口20为快速端
口。
图设置快速端口
6.配置访问层交换机AccessSwitch1的主干道端口
如图所示,访问层交换机AccessSwitch1通过端口FastEthernet0/23上
连到分布层交换机DistributeSwitch1的端口FastEthernet0/23。
同时,访
问层交换机AccessSwitch1还通过端口FastEthernet0/24上连到分布层交换
机DistributeSwitch2的端口FastEthernet0/23。
这两条上连链路将成为主干道链路,在这两条上连链路上将运输多个VLAN
的数据。
如图所示,设置访问层交换机AccessSwitch1的端口FastEthernet
0/23、FastEthernet0/24为主干道端口。
图设置主干道端口
uplinkfastSwitch(config)#spanning-tree
7.配置访问层交换机AccessSwitch2
访问层交换机AccessSwitch2为VLAN30和VLAN40的用户提供接入服务。
同时,分别通过自己的FastEthernet0/23、FastEthernet0/24上连到分布
层交换机DistributeSwitch1、DistributeSwitch2的端口FastEthernet
0/24。
如图所示,是访问层交换机AccessSwitch2的连接示意图。
图访问层交换机AccessSwitch2的连接示意图
对访问层交换机AccessSwitch2的配置步骤、命令和对访问层交换机
AccessSwitch1的配置类似。
8.访问层交换机的其它可选配置
(1)Uplinkfast
访问层交换机AccessSwitch1通过两条冗余上行链路分别接入分布层交换
机DistributeSwitch1和、DistributeSwitch2。
在生成树的作用下,其中一条
上行链路处于转发状态,而另一条上行链路处于阻塞状态。
当处于转发状态的
链路因故障断开后,经过大约50秒钟的时间,处于阻塞状态的链路才能替代故
障链路工作。
Uplinkfast特性可以使得当主上行链路失败后,处于阻塞状态的上行链路
(备份上行链路)可以立即启用。
如图所示,是在访问层交换机AccessSwitch1上启用Uplinkfast特性。
同样的步骤也可以在访问层交换机AccessSwitch2上进行配置。
图启用Uplinkfast特性
注意,Uplinkfast特性只能在访问层交换机上启用。
(2)Backbonefast
Backbonefast的作用与Uplinkfast类似,也用于加快生成树的收敛。
所
不同的是,Backbonefast可以检测到间接链路(非直连链路)故障并立即使得
相应阻塞端口的最大寿命计时器到时,从而缩短该端口可以开始转发数据包的
时间。
如图所示,是在访问层交换机AccessSwitch1上启用Backbonefast特性。
同样的步骤需要在网络中的所有交换机上进行配置。
图启用Backbonefast特性
注意,Backbonefast特性需要在网络中所有交换机上进行配置。
2.2分布层交换服务的实现-配置分布层交换机
分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供VLAN
间的路由选择功能。
这里的分布层交换机采用的是CiscoCatalyst3550交换机。
作为3层交
换机,CiscoCatalyst3550交换机拥有24个10/100Mbps自适应快速以太网
端口,同时还有2个1000Mbps的GBIC端口供上连使用,运行的是Cisco的
IntegratedIOS操作系统。
我们以图1-1中的分布层交换机
DistributeSwitch1为例进行介绍。
如图2-1所示:
图分布层交换机DistributeSwitch1
1.配置分布层交换机DistributeSwitch1的基本参数
对分布层交换机DistributeSwitch1的基本参数的配置步骤与对访问层交
换机AccessSwitch1的基本参数的配置类似。
这里,只给出实际的配置步骤。
图配置分布层交换机DistributeSwitch1的基本参数
2.配置分布层交换机DistributeSwitch1的管理IP、默认网关
如图2-3所示,显示了为分布层交换机DistributeSwitch1设置管理IP并
激活本征VLAN。
同时,还设置了默认网关的地址。
图分布层交换机DistributeSwitch1的管理IP、默认网关
3.配置分布层交换机DistributeSwitch1的VTP
当网络中交换机数量很多时,需要分别在每台交换机上创建很多重复的
VLAN。
工作量很大、过程很繁琐,并且容易出错。
我们常采用VLAN中继协议
(VlanTrunkingProtocol,VTP)来解决这个问题。
VTP允许我们在一台交换机上创建所有的VLAN。
然后,利用交换机之间的
互相学习功能,将创建好的VLAN定义传播到整个网络中需要此VLAN定义的所
有交换机上。
同时,有关VLAN的删除、参数更改操作均可传播到其他交换机。
从而大大减轻了网络管理人员配置交换机负担。
在本校园网实现实例中使用了VTP技术。
同时,将分布层交换机
DistributeSwitch1设置成为VTP服务器,其他交换机设置成为VTP客户机。
(1)配置VTP管理域
共享相同VLAN定义数据库的交换机构成一个VTP管理域。
每一个VTP管理
域都有一个共同的VTP管理域域名。
不同VTP管理域的交换机之间不交换VTP
通告信息。
如图9-4-2所示,将VTP管理域的域名定义为湜楣敡。
图设置VTP管理域的域名
(2)设置VTP服务器
工作在VTP服务器模式下的交换机可以创建、删除VLAN、修改VLAN参数。
同时,还有责任发送和转发VLAN更新消息。
如图所示,设置分布层交换机DistributeSwitch1成为VTP服务器。
图设置分布层交换机DistributeSwitch1成为VTP服务器
(3)激活VTP剪裁功能
默认情况下主干道传输所有VLAN的用户数据。
有时,交换网络中某台交换
机的所有端口都属于同一VLAN的成员,没有必要接收其他VLAN的用户数据。
这时,可以激活主干道上的VTP剪裁功能。
当激活了VTP剪裁功能以后,交换
机将自动剪裁本交换机没有定义的VLAN数据。
在一个VTP域下,只需要在VTP服务器上激活VTP剪裁功能。
同一VTP域
下的所有其他交换机也将自动激活VTP剪裁功能。
如图所示,设置激活VTP剪裁功能。
图激活VTP剪裁功能
VLAN上定义DistributeSwitch1.在分布层交换机4
在本校园网实现实例中,除了默认的本征VLAN外,又定义了8个VLAN。
由于使用了VTP技术,所以所有VLAN的定义只需要在VTP服务器,即分布
层交换机DistributeSwitch1上进行。
如图所示,定义了8个VLAN,同时为每个VLAN命名。
图定义VLAN
5.配置分布层交换机DistributeSwitch1的端口基本参数
分布层交换机DistributeSwitch1的端口FastEthernet
0/1~FastEthernet0/10为服务器群提供接入服务,而端口FastEthernet
0/23、FastEthernet0/24分别下连到访问层交换机AccessSwitch1的端口
FastEthernet0/23以及访问层交换机AccessSwitch2的端口FastEthernet
0/23。
此外,分布层交换机DistributeSwitch1还通过自己的千兆端口
GigabitEthernet0/1上连到核心交换机CoreSwitch1的GigabitEthernet
3/1。
为了实现冗余设计,分布层交换机DistributeSwitch1还通过自己的千兆
端口GigabitEthernet0/2连接另一台到分布层交换机DistributeSwitch2的
GigabitEthernet0/2。
如图所示,给出了对所有访问端口、主干道端口的配置步骤和命令。
图设置分布层交换机DistributeSwitch1的各端口参数
6.配置分布层交换机DistributeSwitch1的3层交换功能
分布层交换机DistributeSwitch1需要为网络中的各个VLAN提供路由功能。
这需要首先启用分布层交换机的路由功能。
如图所示。
图启用路由功能
接下来,需要为每个VLAN定义自己的默认网关地址,如图所示。
图定义各VLAN的默认网关地址
此外,还需要定义通往Internet的路由。
这里使用了一条缺省路由命令,
如图所示。
其中,下一跳地址是Internet接入路由器的快速以太网接口
FastEthernet0/0的IP地址。
图定义到Internet的缺省路由
7.配置分布层交换机DistributeSwitch2
分布层交换机DistributeSwitch2的端口FastEthernet
0/23、FastEthernet0/24分别下连到访问层交换机AccessSwitch1的端口
FastEthernet0/24以及访问层交换机AccessSwitch2的端口FastEthernet
0/24。
此外,分布层交换机DistributeSwitch2还通过自己的千兆端口
GigabitEthernet0/1上连到核心交换机CoreSwitch1的GigabitEthernet
3/2。
为了实现冗余设计,分布层交换机DistributeSwitch2还通过自己的千兆
端口GigabitEthernet0/2连接到分布层交换机DistributeSwitch1的
GigabitEthernet0/2。
如图所示。
图分布层交换机DistributeSwitch2
对分布层交换机DistributeSwitch2的配置步骤、命令和对分布层交换机
DistributeSwitch1的配置类似。
这里,不再详细分析。
8.其它配置
为了实现对无类别网络(ClasslessNetwork)以及全零子网(Subnet-
zero)的支持,在充当3层交换机的分布层交换机DistributeSwitch1,还需
要进行适当的配置,如图所示。
图定义对无类别网络以及全零子网的支持
(三)、系统硬件、软件选型及版本
1.1核心层交换服务的实现-配置核心层交换机
核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。
本实例中的核心层交换机采用的是CiscoCatalyst4006交换机,采用了
Catalyst4500SupervisorIIPlus(WS-X4013+)作为交换机引擎。
运行的是
Cisco的IntegratedIOS操作系统。
在作为核心层交换机的CiscoCatalyst4006交换机中,安装了WS-
X4306-GB(Catalyst4000GigabitEthernetModule,6-Ports(GBIC))模块,
该模块提供了5个千兆光纤上连接口,可以用来接入WS-G5484(1000BAS
升级会员 