網(wǎng)絡(luò)管理重點(diǎn)之規(guī)劃設(shè)計(jì)交換式局域網(wǎng)

1、網(wǎng)絡(luò)管理重點(diǎn)之規(guī)劃設(shè)計(jì)交換式局域網(wǎng)2.1 局域網(wǎng)技術(shù)簡介2.1.1 帶寬共享式以太網(wǎng)絡(luò)1總線型結(jié)構(gòu)的共享以太網(wǎng)2星型結(jié)構(gòu)的共享式以太網(wǎng)使用集線器以星型結(jié)構(gòu)組網(wǎng)。3沖突域與廣播域的概念全部使用集線器所組成的網(wǎng)絡(luò)，屬于同一個(gè)沖突域和廣播域。全部使用二層交換機(jī)所組成的網(wǎng)絡(luò)，如果沒有劃分VLAN，則屬于同一個(gè)廣播域，每一個(gè)交換機(jī)端口屬于一個(gè)沖突域。2.1 局域網(wǎng)技術(shù)簡介2.1.2 網(wǎng)橋使用集線器所組成的網(wǎng)絡(luò)，屬于同一個(gè)沖突域。為隔離沖突域，出現(xiàn)了橋接技術(shù)。利用網(wǎng)橋可隔離沖突域。位于網(wǎng)橋兩邊的網(wǎng)絡(luò)屬于不同的沖突域。網(wǎng)橋工作于數(shù)據(jù)鏈路層。目前沒有網(wǎng)橋?qū)嶓w設(shè)備，它是交換機(jī)的前身，交換機(jī)的任意兩個(gè)端口，就相當(dāng)

2、于一個(gè)網(wǎng)橋。2.1 局域網(wǎng)技術(shù)簡介2.1.3 交換式以太網(wǎng)絡(luò)1交換機(jī)簡介網(wǎng)橋端口少，于是誕生了交換機(jī)設(shè)備。交換機(jī)相當(dāng)于是一個(gè)多端口的網(wǎng)橋。交換機(jī)的每一個(gè)端口，屬于不同的沖突域，但屬于同一個(gè)廣播域。交換機(jī)采用存儲轉(zhuǎn)發(fā)的原理進(jìn)行工作，基于硬件實(shí)現(xiàn)線速交換。各端口獨(dú)享帶寬，可實(shí)現(xiàn)全雙工通信。二層交換機(jī)工作于數(shù)據(jù)鏈路層，三層交換機(jī)可工作于數(shù)據(jù)鏈路層，也可工作于網(wǎng)絡(luò)層。2.1 局域網(wǎng)技術(shù)簡介2.1.3 交換式以太網(wǎng)絡(luò)2交換機(jī)工作原理交換機(jī)的工作原理是存儲轉(zhuǎn)發(fā)。它將某個(gè)端口發(fā)送來的數(shù)據(jù)幀先存儲下來，通過解析數(shù)據(jù)幀獲得目的MAC地址，然后在交換機(jī)的端口與MAC地址對應(yīng)表中查找目的主機(jī)所連接的交換機(jī)端口，找到

3、后，直接將數(shù)據(jù)轉(zhuǎn)發(fā)到該目的端口。如果目的主機(jī)未在交換機(jī)的地址表中，則以廣播方式進(jìn)行自動學(xué)習(xí)，并將學(xué)習(xí)結(jié)果添加到MAC地址表中。2.1 局域網(wǎng)技術(shù)簡介2.1.3 交換式以太網(wǎng)絡(luò)交換機(jī)的MAC地址表具有衰老期，以便定時(shí)更新MAC地址表。2.1.4 虛擬局域網(wǎng)1虛擬局域網(wǎng)的誕生利用交換機(jī)組網(wǎng)，解決了沖突域的問題。利用二層交換機(jī)所構(gòu)建的局域網(wǎng)絡(luò)，整體屬于同一個(gè)廣播域。當(dāng)局域網(wǎng)中的主機(jī)數(shù)量較多時(shí)，易引起廣播風(fēng)暴。廣播幀會占用大量的網(wǎng)絡(luò)帶寬，必須想辦法隔離和縮小廣播域。要隔離廣播域，可使用路由器來實(shí)現(xiàn)。但路由器造價(jià)昂貴且受速度限制，于是誕生了虛擬局域網(wǎng)技術(shù)。2.1.4 虛擬局域網(wǎng)2虛擬局域網(wǎng)技術(shù)簡介虛擬局

4、域網(wǎng)（Virtual Local Area Network,VLAN）是將局域網(wǎng)從邏輯上，根據(jù)需要劃分為若干個(gè)子網(wǎng)的交換技術(shù)。每一個(gè)子網(wǎng)即為一個(gè)VLAN。虛擬局域網(wǎng)是在二層交換機(jī)上實(shí)現(xiàn)廣播域的劃分和分隔。所劃分形成的一個(gè)VLAN，即屬于一個(gè)廣播域，不同的VLAN，分屬于不同的廣播域。利用VLAN技術(shù)，就可將局域網(wǎng)分割為不同的網(wǎng)段。2.2 網(wǎng)絡(luò)互聯(lián)設(shè)備網(wǎng)絡(luò)互聯(lián)設(shè)備主要是交換機(jī)和路由器。它們屬于網(wǎng)絡(luò)的核心設(shè)備。交換機(jī)1交換機(jī)的分類 2交換機(jī)的性能指標(biāo)（1）Mpps（Million Packet Per Second） Mpps代表每秒可轉(zhuǎn)發(fā)多少個(gè)百萬數(shù)據(jù)包，其值越大，交換機(jī)的交換處理能力越強(qiáng)。2.

5、2 網(wǎng)絡(luò)互聯(lián)設(shè)備2交換機(jī)的性能指標(biāo)（2）背板帶寬背板帶寬是交換機(jī)的重要性能指標(biāo)。是指交換機(jī)各端口同時(shí)以最高速度工作時(shí)，所需的總帶寬。3交換機(jī)的功能指標(biāo)4交換機(jī)的產(chǎn)品介紹交換機(jī)的主流廠商主要有Cisco、華為（Quidway）、華三（H3C）。2.2 網(wǎng)絡(luò)互聯(lián)設(shè)備4交換機(jī)的產(chǎn)品介紹（1）接入層交換機(jī)接入層交換機(jī)一般采用二層交換機(jī)。Cisco接入層交換機(jī)早期型號有1900系列、2900系列、3500XL系列、2950系列。目前主流系列為2960系列。華為與華三的接入交換機(jī)型號較多，升級換代較快，可訪問其官方網(wǎng)站了解最新的型號。2.2 網(wǎng)絡(luò)互聯(lián)設(shè)備4交換機(jī)的產(chǎn)品介紹（1）接入層交換機(jī)接入層交換機(jī)一般

6、采用二層交換機(jī)。Cisco接入層交換機(jī)早期型號有1900系列、2900系列、3500XL系列、2950系列。目前主流系列為2960系列。華為與華三的接入交換機(jī)型號較多，升級換代較快，可訪問其官方網(wǎng)站了解最新的型號。4 交換機(jī)產(chǎn)品介紹（2）匯聚層交換機(jī)匯聚層交換機(jī)一般采用三層交換機(jī)。規(guī)模越大的網(wǎng)絡(luò)，匯聚層交換機(jī)的檔次越高，以勝任高負(fù)荷的流量轉(zhuǎn)發(fā)。Cisco低端三層交換機(jī)有早期的3500系列和3550系列，這些早已停產(chǎn)。目前主流產(chǎn)品為3560系列和3750系列。Cisco中端三層交換機(jī)有4500系列和4900系列。4 交換機(jī)產(chǎn)品介紹（3）核心層交換機(jī)對于中大型網(wǎng)絡(luò)，用作核心層的均屬于高端交換機(jī)。C

7、isco的核心層交換機(jī)主要是6500系列。該系列提供有3插槽、6插槽、9插槽和13插槽的機(jī)箱供選擇，其具體型號分別為6503、6506、6509、6513。產(chǎn)品外觀如下圖所示：4 交換機(jī)產(chǎn)品介紹 Cisco 6500系列核心交換機(jī)：4 交換機(jī)產(chǎn)品介紹 H3C S9500系列核心交換機(jī)：4 交換機(jī)產(chǎn)品介紹華為的核心交換機(jī)主要有S6500系列、S7800系列和S8500系列。S8500系列又細(xì)分為S8505、S8508和S8512三款產(chǎn)品。2.2.2 路由器1路由器簡介路由器主要用于網(wǎng)絡(luò)的互聯(lián)，可用于不同類型的網(wǎng)絡(luò)的互聯(lián)。在局域網(wǎng)的邊界，通常要使用路由器來實(shí)現(xiàn)與因特網(wǎng)的互聯(lián)。此時(shí)的路由器主要實(shí)現(xiàn)路

8、由和網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的功能，以實(shí)現(xiàn)代理局域網(wǎng)用戶訪問因特網(wǎng)。2.2.2 路由器2路由器的接口類型由于路由器要連接不同類型的網(wǎng)絡(luò)，因此，路由器提供了豐富的接口類型，以實(shí)現(xiàn)連接不同類型的網(wǎng)絡(luò)。在局域網(wǎng)中，常用的接口主要是以太網(wǎng)接口和高速同步串口（Serial）。2.2.2 路由器3路由器產(chǎn)品介紹（1）低端路由器Cisco早期的低端產(chǎn)品有2600系列，目前已被2800系列取代。屬于中小型企業(yè)路由器。（2）中端路由器Cisco中端路由器主要有3系列和7系列的產(chǎn)品。（3）高端路由器Cisco高端路由器有10000系列、12000系列、12400系列和XR 12000系列等。2.3 網(wǎng)絡(luò)安全設(shè)備2.

9、3.1 防火墻防火墻通常布署在網(wǎng)絡(luò)的邊界，以保護(hù)網(wǎng)絡(luò)不受到來自外網(wǎng)的攻擊。目前常用的防火墻屬于IP包過濾式防火墻。除具有IP包過濾功能外，還具有路由和網(wǎng)絡(luò)地址轉(zhuǎn)換功能。防火墻通常有三個(gè)接口，即WAN、LAN和DMZ，分別用于連接因特網(wǎng)、本地局域網(wǎng)和服務(wù)器群。有的防火墻還有IDS接口，用于連接入侵檢測系統(tǒng)。2.3 網(wǎng)絡(luò)安全設(shè)備2.3.2 入侵檢測系統(tǒng)防火墻屬于被動防御，IDS（Intrusion Detection System，IDS）屬于主動防御系統(tǒng)，通常與防火墻聯(lián)合使用。IDS可對網(wǎng)絡(luò)的傳輸進(jìn)行實(shí)時(shí)監(jiān)控、實(shí)時(shí)收集和分析網(wǎng)絡(luò)事件，從中發(fā)現(xiàn)網(wǎng)絡(luò)中是否有違反安全策略的行為或被攻擊的跡象，從而發(fā)出

10、警報(bào)或者采取主動反應(yīng)措施。2.4 規(guī)劃設(shè)計(jì)交換式園區(qū)網(wǎng)絡(luò)2.4.1 網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)步驟（1）用戶需求分析（2）考察園區(qū)樓宇分布與間距（3）規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖和綜合布線系統(tǒng)（4）組織綜合布線施工與驗(yàn)收（5）安裝和調(diào)試網(wǎng)絡(luò)設(shè)備（6）網(wǎng)絡(luò)試運(yùn)行，試運(yùn)行結(jié)束后進(jìn)行網(wǎng)絡(luò)工程驗(yàn)收（7）對客戶進(jìn)行網(wǎng)絡(luò)管理與維護(hù)培訓(xùn)，進(jìn)入售后服務(wù)期2.4 規(guī)劃設(shè)計(jì)交換式園區(qū)網(wǎng)絡(luò)2.4.2 交換式局域網(wǎng)的規(guī)劃設(shè)計(jì)方法目前，交換式局域網(wǎng)絡(luò)采用交換機(jī)和路由器來構(gòu)建，并采用三層交換式結(jié)構(gòu)來組網(wǎng)。1 接入層接入層位于整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)的最低層，接入層交換機(jī)用于連接最終用戶，提供網(wǎng)絡(luò)接入服務(wù)。接入層交換機(jī)數(shù)量眾多，一般采用二層交換機(jī)，位于

11、樓宇配線間中。2.4.2 交換式局域網(wǎng)的規(guī)劃設(shè)計(jì)方法2 匯聚層匯聚層交換機(jī)用于匯聚和交換接入層交換機(jī)的流量，提供VLAN間的互訪，并上連至核心交換機(jī)。匯聚層交換機(jī)與接入層交機(jī)都位于樓宇配線間中。匯聚層交換機(jī)采用三層交換機(jī)。VLAN的劃分和VLAN間的相互通信，就是由匯聚層交換機(jī)來完成。根據(jù)接入層交換機(jī)的數(shù)量，一幢樓一般使用一臺或多臺匯聚層交換機(jī)，這由接入層交換機(jī)的數(shù)量來決定。2.4.2 交換式局域網(wǎng)的規(guī)劃設(shè)計(jì)方法3 核心層核心層交換機(jī)是整個(gè)網(wǎng)絡(luò)的中心交換機(jī)，用于連接匯聚和交換來自各幢樓匯聚層交換機(jī)的流量。核心交換機(jī)一般采用中、高端三層交換機(jī)，位于整個(gè)園區(qū)網(wǎng)絡(luò)的中心機(jī)房。核心交換機(jī)與各幢樓的匯聚

12、層交換機(jī)的互聯(lián)，通常采用多模光纖或單模光纖。核心交換機(jī)向上再與路由器互聯(lián)，路由器再與因特網(wǎng)互聯(lián)，利用路由器的路由和網(wǎng)絡(luò)地址轉(zhuǎn)換功能，實(shí)現(xiàn)整個(gè)局域網(wǎng)絡(luò)的代理上網(wǎng)。2.4.3 規(guī)劃設(shè)計(jì)某高校大型局域網(wǎng)絡(luò)對于大、中型局域網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)，其設(shè)計(jì)方法和思路是相同的，對于大型局域網(wǎng)絡(luò)，不外乎核心交換機(jī)和核心路由器的檔次更高，主干線路的帶寬要求要高一些，所使用的匯聚層和接入層交換機(jī)的數(shù)量要多一些。2.4.3 規(guī)劃設(shè)計(jì)某高校大型局域網(wǎng)絡(luò)1 網(wǎng)絡(luò)建設(shè)任務(wù)（1）網(wǎng)絡(luò)基本情況某高校有A、B、C三個(gè)校區(qū)，A和C校區(qū)規(guī)模較大，B區(qū)規(guī)模較小。A與B校區(qū)租用裸光纖實(shí)現(xiàn)互聯(lián)，A與C校區(qū)因相距較遠(yuǎn)，采用MPLS VPN實(shí)現(xiàn)互聯(lián)

13、。A和C校區(qū)均設(shè)置中心機(jī)房和因特網(wǎng)出口。A區(qū)使用的公網(wǎng)地址段為：，網(wǎng)關(guān)地址為。2.4.3 規(guī)劃設(shè)計(jì)某高校大型局域網(wǎng)絡(luò)（1）網(wǎng)絡(luò)基本情況A區(qū)使用的教育網(wǎng)地址：219.221.55.0/24，網(wǎng)關(guān)地址為：。C區(qū)使用的公網(wǎng)地址段為：，網(wǎng)關(guān)地址為。（2）網(wǎng)絡(luò)建設(shè)任務(wù)與性能要求三個(gè)校區(qū)實(shí)現(xiàn)互聯(lián)互通，并能訪問因特網(wǎng)。校園網(wǎng)采用萬兆核心，千兆主干，百兆交換到桌面。2.4.3 規(guī)劃設(shè)計(jì)某高校大型局域網(wǎng)絡(luò)A區(qū)有電信公網(wǎng)和教育網(wǎng)兩條因特網(wǎng)出口，出口帶寬分別為100Mb/s和10Mb/s。C區(qū)有一條因特網(wǎng)出口，帶寬為100Mb/s。C區(qū)訪問教育網(wǎng)，通過A區(qū)的教育網(wǎng)出口進(jìn)行訪問。2.4.3 規(guī)劃設(shè)計(jì)某高校大型局域網(wǎng)絡(luò)2 選擇核心網(wǎng)絡(luò)設(shè)備（1）設(shè)計(jì)方案說明（2）選擇核心交換機(jī)由于校園網(wǎng)絡(luò)規(guī)模較大，選擇使用華為的S8505交換機(jī)，配置雙引擎、雙冗余電源、48個(gè)千兆電口、24個(gè)千兆多模光口。設(shè)備外觀如下圖所示：2.4.3 規(guī)劃設(shè)計(jì)某高校大型局域網(wǎng)絡(luò)Quidway S8505核心交換機(jī)：2.4.3 規(guī)劃設(shè)計(jì)某高校大型局域網(wǎng)絡(luò)（3）選擇核心路由器路由器使用華為的NE40-4高端路由器，并配置一塊NAT轉(zhuǎn)換板，以實(shí)現(xiàn)基于硬件的高速NAT轉(zhuǎn)換。Quid