公司网络设计方案doc 系统集成作业

太原理工大学计算机科学与技术学院信息系统集成课程报告研究生姓名李明义学 号专 业计算机应用技术导 师 姓 名陈俊杰日 期2011年06月25日目录1网络综合设计31.1项目说明：32需求分析42.1设计思路42.2功能分析42.3网络方案描述42.4网络拓扑结构52.5子网划分52.6上网控制72.7双线接入72.8网络设备清单83配置网络设备83.1 交换机的配置83.2 交换机的管理114接入层的介绍134.1定义134.2工作原理134.3二层交换机的选择及标准144.4交换机的堆叠154.5实际应用155汇聚层的介绍165.1定义165.2 作用175.3 实际应用176 核心层176.1 定义176.2工作原理186.3核心交换机的选择18191网络综合设计1.1项目说明：某公司准备对其原有的网络系统进行改造。请为其设计一个具体的设备采购及网络规划方案来满足企业的如下需求：1. 该公司只申请到1个C类IPV4地址。2. 各部门的安全等级不同。例如财务部以及产品开发部的内部信息交流只限于本部门内部。其他部门之间既相互隔离又可以相互访问。经理室的PC可以访问各部门的资源。3. 该公司需要对外提供WEB、邮件以及FTP的服务。4. 为了保证内外网的安全，公司需要对进出的数据包进行过滤，并对企业内部人员的上网行为进行控制并对不同级别的人员授予不同的权限。5. 为了保证与互联网的时刻联通，公司采用网通、电信双网接入的业务。6. 尽量节省公司的资金。7. 网络应由一定的健壮性、安全性及可靠性。已知该公司拥有的部门及每个部门拥有的计算机如下。部门计算机台数经理室5信息与网络中心40财务部20产品开发部30市场营销部40技术服务部40劳工部30后勤部50保卫部152需求分析2.1设计思路根据其设计的具体需求进行具体的分析：1. 该公司只申请到1个C类IPV4地址。共270台电脑。分析：在本设计中，该公司总共有270台电脑，但只申请到1个C类IPV4地址。一个C类的IPV4地址最多只能容纳254台电脑，显然如果直接按照IP地址数小于本公司拥有的主机数。假设本公司申请到的C类IP地址为：202.226.124.0。按照上述所说的原理，在此处我们设计使用c类私有地址为192.168.1.0/24 192.168.2.0/24 192.168.3.0/24 192.168.4.0/24 并按照优先处理主机数目最大的子网开始划分网络。第一地址做网络地址，最后一个做广播地址2. 各部门的安全等级不同。例如财务部以及产品开发部的内部信息交流只限于本部门内部。其他部门之间既相互隔离又可以相互访问。经理室的PC可以访问各部门的资源。分析：VLAN将广播限制在了单个VLAN内部，减少了VLAN间主机广播通信对其他VLAN的影响。在各VLAN间需要通信的时候，可以利用三层交换技术实现。 3. 该公司需要对外提供WEB、邮件以及FTP的服务。分析：将所有的服务器都分配在核心层交换机上并单独划分一个VLAN作为服务器的区块，放置系统中所有的服务器，包括Web ftp 邮件服务器。端口映射，把申请到的c类地址的 80 25 20 21 端口分别映射给相应的服务器4. 为了保证内外网的安全，公司需要对进出的数据包进行过滤，并对企业内部人员的上网行为进行控制并对不同级别的人员授予不同的权限。分析：使用ACL进行数据包过滤，如果对用户上网严格要求可以建议使用上网行为管理系统对用户上网进行管理。5. 为了保证与互联网的时刻联通，公司采用网通、电信双网接入的业务。6. 网络应由一定的健壮性、安全性及可靠性。分析：采用全冗余结构，交换机分别为核心层 汇聚层和接入层，汇聚层交换机全部冗余上行链路，分别上联到2台核心交换机，保证了网络的健壮性和可靠行。2.2功能分析1. 由一个主干网和多个子网组成公司局域网（Intranet）。 2. 主干网接入全球互联信息网外接（Internet），各子网再接入主干通信网。 3. 主干网接入Internet的方式是双线。4. 服务器选用专业服务器产品，均存放在网络机房，网络中心负责对整个网络进行管理，也可以远程管理。 2.3网络方案描述整个网络采用星型结构的层次化设计，由两个层次组成：核心层和接入层。网络中心配置了一台Cisco Catalyst 3560系列交换机作为企业的核心层交换机。接入层部分交换机配置Cisco SRW224G4系列。cisco2811连接外网和asa5510防火墙，防火墙链接内网，Cisco Catalyst 3560核心路由交换机上已配置24个以太网10/100端口，通过百兆双绞线直接连接二层智能交换机linksys SRW224G4，再通过10/100兆双绞线接到其他各部门。2.4网络拓扑结构在网络方案中，整个系统采用星型结构与高速交换以太网技术相结合的网络拓扑结构。 2.5子网划分(1) 在本设计中，该公司总共有270台电脑，但只申请到1个C类IPV4地址。一个C类的IPV4地址最多只能容纳254台电脑，显然如果直接按照IP地址数小于本公司拥有的主机数。假设本公司申请到的C类IP地址为：202.226.124.0。按照上述所说的原理，在此处我们设计使用c类私有地址为192.168.1.0/24 192.168.2.0/24 192.168.3.0/24 192.168.4.0/24 并按照优先处理主机数目最大的子网开始划分网络。第一地址做网络地址，最后一个做广播地址：具体IP地址分配分配如下：经理室5202.226.124.224/29 (255.255.255.248)信息与网络中心40202.226.124.0/24 (255.255.255.192)可用ip范围202.226.124.1-202.226.124.62202.226.124.63是此子网的广播地址财务部20-192.168.1.0 (255.255.255.224)产品开发部30202.226.124.192/27(255.255.255.224)可用ip范围202.226.124.193-202.226.124.222202.226.124.223是此子网的广播地址市场营销部40202.226.124.64/24 (255.255.255.192)可用ip范围202.226.124.65-202.226.124.126202.226.124.127是此子网的广播地址技术服务部40202.226.124.128/26 (255.255.255.192)可用ip范围是202.226.124.129-202.226.124.190202.226.124.191此子网的广播地址劳工部30-192.168.2.0(255.255.255.224)后勤部50-192.168.3.0(255.255.255.192)保卫部15-192.168.4.0 (255.255.255.224)（2）IP地址规划表部门VLANIP网络号经理室VLAN2202.226.124.224/29202.226.124.224信息与网络中心VLAN3202.226.124.0/24202.226.124.0财务部VLAN4192.168.1.0192.168.1.0产品开发部VLAN5202.226.124.192/27202.226.124.192/市场营销部VLAN6202.226.124.64/24202.226.124.64技术服务部VLAN7202.226.124.128/26202.226.124.128劳工部VLAN8192.168.2.0192.168.2.0后勤部VLAN9192.168.3.0192.168.3.0保卫部VLAN10192.168.4 .0192.168.4 .0(3)子网的划分经理室VLAN2信息与网络中心VLAN3财务部VLAN4产品开发部VLAN5市场营销部VLAN6技术服务部VLAN7劳工部VLAN8后勤部VLAN9保卫部VLAN10VLAN（Virtual Local Area Network，虚拟局域网）可以将不同VLAN之间的用户隔离 ，相同VLAN的用户组建成局域网。VLAN的划分：根据端口来划分VLAN :利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口和另一个交换机的1，2端口组成虚拟网BBB。基于端口的VLAN，简单的讲就是交换机的一个端口就是一个虚拟局域网，凡是连接在这个端口上的主机属于同个虚拟局域网之中。基于端口的VLAN的优点为： 由于一个端口就是一个独立的局域网。所以，当数据在网络中传输的时候，交换机就不会把数据包转发给其他的端口，如果用户需要将数据发送到其他的虚拟局域网中，就需要先由交换机发往路由器再由路由器发往其他端口 。但是美中不足的是以端口为中心的VLAN，当用户位置改变时，往往也伴随着用户位置的改变而对网线也要进行迁移。我们公司电脑比较固定，所以采用这一方式。 2.6上网控制端口限制：QQ在登陆的时候主要使用的是TCP/UDP的8000端口。因此我们先禁止所有内网机器对远程主机的8000端口的访问。在路由器里面，我们可以在互联网访问控制中添加规则，首先选择对所有内部主机都有效（次步骤可以着情处理，比如你可以选择对一部分主机有效、或者选择对某台主机有效等等）。在选择对所有内部主机都有效，再指定对下列应用有效，指定TCP/UDP协议，端口指定为8000，选择禁止Internet访问。这样对所有的使用8000端口登陆的服务器就无法登陆了。2.7双线接入使用双wan口的路由： 企业申请了双线网络出口，一边是网通线路另一边则是电信线路，我们需要做的就是通过路由策略让发往不同网络的数据可以直接转发到对应网络的接口。基于目的地址的策略路由： 所谓目的地址就是指我们要访问客户的IP地址，一般来说判断客户是电信还是网通网络是可以通过他的IP地址实现的。所以只要企业收集到了电信和网通网络地址段，就可以基于目的地址采取策略路由，将发送或接收到的电信地址数据通过WAN2（电信线路）接口传输，将发送或接收到的网通地址数据通过WAN1（网通线路）接口传输。即使出现网通部工作人员临时解决电信客户情况时依然可以保证高速状态。 这里我们假设连接企业路由器WAN2接口的电信对端设备IP为A，而连接WAN1接口网通对端设备IP为B，电信网络的地址段为C，网通网络地址段是D，在路由器上建立基于目的地址的策略路由具体设置命令如下。 第一步：建立匹配C和D的两条访问控制列表，即这两条访问控制列表中针对目的地址设置为C或D，控制列表名称依次为ACLC，ACLD。第二步：在路由器上使用match ip address ACLC（限定只要地址段符合ACLC访问控制列表设定的条件），set ip next-hop A（将此数据访问的下一跳地址设置A），这样对电信网络的访问将顺利的发送到电信网络对端设备。第三步：同理使用match ip address ACLD，set ip next-hop B命令即可完成对网通数据的路由策略。最后在路由器上应用这两条路由策略即可有效解决企业遇到的双线路访问的问题。 2.8网络设备清单网络设备清单及价格设备名称 型号 单价 数量 价格 路由器 Cisco 2811 5200 15200 防火墙 思科 ASA 5510 16000 116000 核心交换机 CiscoCatalyst 3560-24TS 6500 16500 接入层交换机 Cisco linksys SRW224G4 1800 1221600 安装服务费1500合计50800 3配置网络设备3.1 交换机的配置1）设置VTP域JD-RS-1#vlan database 进入VLAN配置模式JD-RS-1(vlan)#vtp domain COM 设置VTP管理域名称为COM、JD-RS-1(vlan)#vtp server 设置交换机为服务器模式JD-RS-2#vlan database 进入VLAN配置模式JD-RS-2(vlan)#vtp domain COM 设置VTP管理域名称为COM、JD-RS-2(vlan)#vtp server 设置交换机为服务器模式JD-S-1#vlan database 进入VLAN配置模式JD-S-1(vlan)#vtp domain COM 设置VTP管理域名称为COMJD-S-1(vlan)#vtp Client 设置交换机为客户端模式JD-S-2#vlan database 进入VLAN配置模式JD-S-2(vlan)#vtp domain COM 设置VTP管理域名称为COMJD-S-2(vlan)#vtp Client 设置交换机为客户端模式JD-S-3#vlan database 进入VLAN配置模式JD-S-3(vlan)#vtp domain COM 设置VTP管理域名称为COMJD-S-3(vlan)#vtp Client 设置交换机为客户端模式JD-S-4#vlan database 进入VLAN配置模式JD-S-4(vlan)#vtp domain COM 设置VTP管理域名称为COMJD-S-4(vlan)#vtp Client 设置交换机为客户端模式JD-S-5#vlan database 进入VLAN配置模式JD-S-5(vlan)#vtp domain COM 设置VTP管理域名称为COMJD-S-5(vlan)#vtp Client 设置交换机为客户端模式-6#vlan database 进入VLAN配置模式JD-S-6(vlan)#vtp domain COM 设置VTP管理域名称为COMJD-S-6(vlan)#vtp Client 设置交换机为客户端模式JD-S-7#vlan database 进入VLAN配置模式JD-S-7(vlan)#vtp domain COM 设置VTP管理域名称为COMJD-S-7(vlan)#vtp Client 设置交换机为客户端模式JD-S-8#vlan database 进入VLAN配置模式JD-S-8(vlan)#vtp domain COM 设置VTP管理域名称为COMJD-S-8(vlan)#vtp Client 设置交换机为客户端模JD-S-9#vlan database 进入VLAN配置模式JD-S-9(vlan)#vtp domain COM 设置VTP管理域名称为COMJD-S-9(vlan)#vtp Client 设置交换机为客户端模式说明：配置核心交换机为server模式，使其能够在该交换机上删除，创建，修改VLAN及其他一些VTP参数，同步本VTP域中其他交换机传递来的最新VLAN信息；Client模式使其交换机不能创建，删除，修改VLAN，也不能在NVRAM中存储VLAN配置，但可同步由VTP域中由 SERVER传递来的 VLAN信息。2）创建VLANJD-RS-1（vlan）#vlan 2 name VLAN 2JD-RS-1（vlan）#vlan 3 name VLAN 3JD-RS-1（vlan）#vlan 4 name VLAN 4JD-RS-1（vlan）#vlan 5 name VLAN 5JD-RS-1（vlan）#vlan 6 name VLAN 6JD-RS-1（vlan）#vlan 7 name VLAN 7JD-RS-1（vlan）#vlan 8 name VLAN 8JD-RS-1（vlan）#vlan 9 name VLAN 9JD-RS-1（vlan）#vlan 10 name VLAN 10JD-RS-2（vlan）#vlan 1 name VLAN 1JD-RS-2（vlan）#vlan 2 name VLAN 2JD-RS-2（vlan）#vlan 3 name VLAN 3JD-RS-2（vlan）#vlan 4 name VLAN 4JD-RS-2（vlan）#vlan 5 name VLAN 5JD-RS-2（vlan）#vlan 6 name VLAN 6JD-RS-2（vlan）#vlan 7 name VLAN 7JD-RS-2（vlan）#vlan 8 name VLAN 8JD-RS-2（vlan）#vlan 9 name VLAN 9JD-RS-2（vlan）#vlan 10 name VLAN 10说明：只要在VTP域中的server交换机上建立vlan，它就会通过VTP通告整个管理域中的所有交换机，至于将具体的交换机端口划入某个VLAN，就必须在该端口所属的交换机进行设置。33）配置中继JD-RS-1(config)#int F0/1JD-RS-1(config-if)#switch port mode trunkJD-RS-1(config-if)#switch trunk allowed vlan allD-RS-1(config)#int F0/3JD-RS-1(config-if)#switch port mode trunkJD-RS-1(config-if)#switch trunk allowed vlan allD-RS-1(config)#int F0/4JD-RS-1(config-if)#switch port mode trunkJD-RS-1(config-if)#switch trunk allowed vlan allJD-RS-2,3,4类似配置。JD-S-1（config）#int Fa0/1JD-S-1(config-if)#switch port mode trunkJD-S-29类似的配置。4）将交换机端口划入VLAN将JD-S-19接入交换机的端口3划入VLAN2，端口48划入VLAN3，端口810划入VLAN4，端口1114划入VLAN5，端口1519划入VLAN6，端口2014划入VLAN7，端口2528划入VLAN8，端口2934划入VLAN9，端口3536划入VLAN10.JD-S-1(config)#interface fastEthernet 0/3JD-S-1(config-if)#switchport access vlan2JD-S-1(config)#interface fastEthernet 0/4JD-S-1(config-if)#switchport access vlan3JD-S-1(config)#interface fastEthernet 0/5JD-S-1(config-if)#switchport access vlan3JD-S-1(config)#interface fastEthernet 0/6JD-S-1(config-if)#switchport access vlan3JD-S-1(config)#interface fastEthernet 0/7JD-S-1(config-if)#switchport access vlan3JD-S-1(config)#interface fastEthernet 0/8JD-S-1(config-if)#switchport access vlan3JD-S-1(config)#interface fastEthernet 0/9JD-S-1(config-if)#switchport access vlan4JD-S-1(config)#interface fastEthernet 0/10JD-S-1(config-if)#switchport access vlan4JD-S-1(config)#interface fastEthernet 0/11JD-S-1(config-if)#switchport access vlan5JD-S-1(config)#interface fastEthernet 0/12JD-S-1(config-if)#switchport access vlan5JD-S-1(config)#interface fastEthernet 0/13JD-S-1(config-if)#switchport access vlan5JD-S-1(config)#interface fastEthernet 0/36JD-S-1(config-if)#switchport access vlan10JD-S-29的端口划入VLAN的方法类似.。5）在核心交换机上设置各VLAN的接口IP地址给VLAN所有的节点静态的分配IP地址JD-RS-1（config）#interface vlan2JD-RS-1（config-if）#ip address 202.226.124.224/24 255.255.255.192再在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址，并且把默认网关设置为该VLAN的接口。这样，所有的VLAN也可以互访了。6）启动路由JD-RS-1（config）#ip routingJD-RS-2（config）#ip routing3.2 交换机的管理软件配置（1）在Windows操作系统下，单击“开始”按钮，在“所有程序”菜单的“附件”选项中单击“超级终端”。（2）在“名称”文本框中键入需新建的级终端连接名称“Cisco”，然后单击“确定”按钮。（3）在“连接时使用”下拉列表框中选择与交换机相连的计算机的串口1，单击“确定”按钮。（4）在“波特率”下拉列表框中选择“9600”通信速率，其他各选项统统采用默认值。单击“确定”按钮。如果连接正常且交换机已启动的情况下，在超级终端窗口上就会出现如下所示的信息：User Access VerificationPassword:参数配置在上面提示状态下输入口令后就可进入交换机的一般用户命令状态（提示符为Switch ），在一般命令状态下可以进行一般性操作，如：Switchshow interface /查看交换机端口状态Switchping 192.168.25.168 /测试到某IP是否连通为了对交换机重要参数进行配置，需要进入特权用户状态：Switchenable /进入特权用户状态Password: ciscoSwitch# “#” 为特权用户模式，在该模式下可以对交换机基本参数如名称、管理IP地址、登录密码等进行配置，方法示例如下：Switch# setup /进入基本参数配置对话框 - System Configuration Dialog -Continue with configuration dialog yes/no: yesAt any point you may enter a question mark for help.Use ctrl-c to abort configuration dialog at any prompt.Default settings are in square brackets .Basic management setup configures only enough connectivityfor management of the system, extended setup will ask youto configure each interface on the system/进入基本管理参数配置Would you like to enter basic management setup yes/no: yesConfiguring global parameters:/配置交换机名称Enter host name Catalyst3550: Catalyst3550/配置进入特权用户状态密码The enable secret is a password used to protect access toprivileged EXEC and configuration modes. This password, after entered, becomes encrypted in the configuration.Enter enable secret : ciscoThe enable password is used when you do not specify anenable secret password, with some older software versions, and some boot images.Enter enable password cisco: cisco/配置远程登录时的密码The virtual terminal password is used to protectaccess to the router over a network interface.Enter virtual terminal password cisco: cisco/配置交换机SNMP网络管理参数Configure SNMP Network Management yes:Community string public: publicEnter interface name used to connect to themanagement network from the above interface summary: FastEthernet0/1/配置用于管理的IP地址和子网掩码Configure IP on this interface yes: yesIP address for this interface 192.168.25.254: 192.168.25.254Subnet mask for this interface 255.255.255.0 :/是否需要保存上面的配置参数，输入2表示保存0 Go to the IOS command prompt without saving this config.1 Return back to the setup without saving this config.2 Save this configuration to nvram and exit.Enter your selection 2:/查看到刚才修改的基本参数的内容switch#show config4接入层的介绍4.1定义接入层：通常将网络中直接面向用户连接或访问网络的部分。接入层交换机：通常将网络中直接面向用户连接或访问网络的部分称为接入层，将位于接入层和核心层之间的部分称为分布层或汇聚层。接入交换机一般用于直接连接电脑，汇聚交换机一般用于楼宇间。汇聚相对于一个局部或重要的中转站，核心相当于一个出口或总汇总。原来定义的汇聚层的目的是为了减少核心的负担,将本地数据交换机流量在本地的汇聚交换机上交换,减少核心层的工作负担，使核心层只处理本地区域外的数据交换。接入层交换机信息流量方向定义：边界设备的input是指进入该网络的数据，output为离开该网络的数据。而边界设备下面的交换机（或称接入层交换机）的input与output的数据流向与边界设备刚好相反接入层交换机端口的input 指服务器向交换机端口发送的数据，即是服务器发送出去的数据 接入层交换机端口的output 指交换机端口向服务器传输的数据，即是服务器收到的数据 接入层：网络中直接面向用户连接或访问网络的部分称为接入层，接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。 边界设备：边界设备是一个在不同类型网络间（如Ethernet和ATM）传送数据的物理设备。边界设备不负责收集网络路由信息，它只是使用在网络层获得的路由信息。边界路由器就是一种边界设备。4.2工作原理我们使用的接入层交换机是二层交换机。二层交换技术的发展比较成熟，属于数据链路层设备，可以识别数据包中的MAC地址信息，根据MAC地址进行转发，并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。 具体的工作流程如下： （1）当交换机从某个端口收到一个数据包，它先读取包头中的源MAC地址，这样它就知道源MAC地址的机器是连在哪个端口上的； （2）再去读取包头中的目的MAC地址，并在地址表中查找相应的端口； （3）如表中有与这目的MAC地址对应的端口，把数据包直接复制到这端口上； （4）如表中找不到相应的端口则把数据包广播到所有端口上，当目的机器对源机器回应时，交换机又可以记录这一目的MAC地址与哪个端口对应，在下次传送数据时就 不再需要对所有端口进行广播了。不断的循环这个过程，对于全网的MAC地址信息都可以学习到，二层交换机就是这样建立和维护它自己的地址表。4.3二层交换机的选择及标准（1）应用范围二层交换机用于小型的局域网络。这个就不用多言了，在小型局域网中，广播包影响不大，二层交换机的快速交换功能、多个接入端口和低谦价格为小型网络用户提供了很完善的解决方案。（2）选购的标准 交换机是非常的重要，他把握着一个网络的命脉，那么如何选购交换机？用什么交换机？在选购交换机时交换机的优劣无疑十分的重要，而交换机的优劣要从总体构架、性能和功能三方面入手。 交换机选购时。性能方面除了要满足RFC2544建议的基本标准，即吞吐量、时延、丢包率外，随着用户业务的增加和应用的深入，还要满足了一些额外的指标，如MAC地址数、路由表容量(三层交换机)、ACL数目、LSP容量、支持VPN数量等。 1）交换机功能是最直接指标 一般的接入层交换机，简单的QoS保证、安全机制、支持网管策略、生成树协议和VLAN都是必不可少的功能，经过仔细分析，在某些功能进行进一步的细分，而这些细分功能正是导致产品差异的主要原因，也是体现产品附加值的重要途径。 2）交换机的应用级QoS保证 交换机的QoS策略支持多级别的数据包优先级设置，既可分别针对MAC地址、VLAN、IP地 址、端口进行优先级设置，给网吧业主在实际应用中为用户提供更大的灵活性。如此同时，交如果换机具有良好的拥塞控制和流量限制的能力，支持 Diffserv区分服务，能够根据源/目的的MAC/IP智能的区分不同的应用流，从而满足实时网吧网络的多媒体应用的需求。注意的是，目前市场上的某 些交换机号称具有QoS保证，实际上只支持单级别的优先级设置，为实际应用带来很多不便，所有网吧业主在选购的时候需要注意。 3）交换机应有VLAN支持 VLAN即虚拟局域网，通过将局域网划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播，网络中工作组可以突破共享网络中的地理位置限制，而根据管理功能来划分子网。不同厂商的交换机对VLAN的支持能力不同，支持VLAN的数量也不同。 4）交换机应有网管功能网吧交换机的网管功能可以使用管理软件来管理、配置交换机，比如可通过Web浏览器、 Telnet、SNMP、RMON等管理。通常，交换机厂商都提供管理软件或第三方管理软件远程管理交换机。一般的交换机满足 SNMPMIBI/MIBII统计管理功能，并且支持配置管理、服务质量的管理、告警管理等策略，而复杂一些的千兆交换机会通过增加内置RMON组(mini-RMON)来支持RMON主动监视功能。 5）交换机应支持链路聚合 链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的伸缩性，比如可以把2个、3个、4个千兆的链路绑定在一起，使链路的带宽成倍增长。链路聚合技术可以实现不同端口的负载均衡，同时也能够互为备份，保证链路的冗余性。在一些千兆以太网交换机中，最多可以支持4组链路聚合，每组中最大4个端口。生成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路，并用生成树协议让备份链路阻塞，在逻辑上不形成环路，而一旦出现故障，启用备份链路。 6）交换机要支持VRRP协议 VRRP(虚拟路由冗余协议)是一种保证网络可靠性的解决方案。在该协议中，对共享多存取访问介质上终端IP设备的默认网关(DefaultGateway) 进行冗余备份，从而在其中一台三层交换机设备宕机时，备份的设备会及时接管转发工作，向用户提供透明的切换，提高了网络服务质量。VRRP协议与 Cisco的HSRP协议有异曲同工之妙，只不过HSRP是Cisco私有的。4.4交换机的堆叠一般接入层交换机多为24口，48口等，呈堆叠状态，因为用户团体是相当庞大的。一般接入层交换机端口保持在10/100自协商，最大100，保证微分段的设备的传输速度，因为是接到用户计算机，所以接入层交换机的端口状态经常在UP和 DOWN之间反复。4.5实际应用接入层顾名思义，本层是为终端设备接入LAN的第一道设备，是最接近用户计算机的设备，该层思科交换机配置设备的特点是：端口密集接口状态翻动频繁单位流量低有较多的访问策略一般接入层交换机多为24口，48口等，呈堆叠状态，因为用户团体是相当庞大的。一般接入层交换机端口保持在10/100自协商，最大100，保证微分段的设备的传输速度，因为是接到用户计算机，所以接入层交换机的端口状态经常在UP和 DOWN之间反复。因为面对用户，所以接入层交换机有过多的策略限制，如VLAN等。一般接入层交换机会以2端口的100口绑定成以太通道（Trunk等）接入到汇 本设计中我们选取的是：H3C S1224，具体参数如下：5汇聚层的介绍5.1定义汇聚层交换层是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。汇聚层是楼群或小区的信息汇聚点,是连接接入层和核心层的网络设备,为接入层提供数据的汇聚传输管理分发处理.汇聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由服务,认证管理等.通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层.汇聚层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定.。 汇聚层的功能主要是连接接入层节点和核心层中心。汇聚层设计为连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。 汇聚层设备一般采用可管理的三层交换机或堆叠式交换机以达到带宽和传输性能的要求。其设备性能较好，但价格高于接入层设备，而且对环境的要求也较高，对电磁辐射、温度、湿度和空气洁净度等都有一定的要求。汇聚层设备之间以及汇聚层设备与核心层设备之间多采用光纤互联，以提高系统的传输性能和吞吐量。 一般来说，用户访问控制会安排在接入层，但这并非绝对，也可以安排在汇聚层进行。在汇聚层实现安全控制和身份认证时，采用的是集中式的管理模式。当网络规模较大时，可以设计综合安全管理策略，例如在接入层实现身份认证和MAC地址绑定，在汇聚层实现流量控制和访问权限约束。5.2 作用在网络中，汇聚层交换机和核心层交换机的作用与接入交换机不同，它们承担了网关和三层路由转发功能的重担。由于IP扫描和DoS攻击对三层交换机的影响和危害严重，常常会使交换机内CPU处理满负荷，造成交换机处理能力下降，甚至瘫痪，用户无法正常上网。同时，交换机内部更是内嵌了安全策略（如内制的防DoS攻击、防IP扫描机制），保证数据包路由转发功能不受IP扫描和攻击的影响。IGMP源端口和源IP检查功能对非法组播源的防范和控制，以及对各种硬件ACL（如专家级ACL、时间ACL等）的访问权限控制，都为网络健壮地运营提供了保证。 5.3 实际应用思科三层交换机配置汇聚层该层是接入层的交换机流量集合的地方，所有的接入层交换机会以各种高速通道连接到汇聚层交换机。该思科三层交换机配置的特点如下：端口数量较接入层交换机稀疏单位端口交换速度远大于接入层交换机基本要保证数据的高速无阻碍转发端口状态稳固，翻动几乎不存在很多汇聚层交换机是三层设备一般汇聚层交换机端口较少，但一般都是千兆端口，用于接受接入层的流量，而且因为在本层，被转发的数据基本比较“纯净”，所以必须保证高速的数据转 发，因为是汇聚层，该层的端口翻覆状态几乎不会遇见，除非某台接入层交换机损坏，一般中型的汇聚层交换机带有三层功能，可以配置access-list， 进一步限制非法流量。是非常合适的STP根。6 核心层6.1 定义而将网络主干部分称为核心层，核心层的主要目的在于通过高速转发通信，提供优化，可靠的骨干传输结构，因此核心层交换机应拥有更高的可靠性，性能和吞吐量。 三层交换技术就是：二层交换技术三层转发技术。它解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。6.2工作原理三层交换技术就是二层交换技术三层转发技术。传统的交换技术是在OSI网络标准模型中的第二层数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。应用第三层交换技术即可实现网络路由的功能，又可以根据不同的网络状况做到最优的网络性能。使用IP的设备A-三层交换机-使用IP的设备B 比如A要给B发送数据，已知目的IP，那么A就用子网掩码取得网络地址，判断目的IP是否与自己在同一网段。 如果在同一网段，但不知道转发数据所需的MAC地址，A就发送一个ARP请求，B返回其MAC地址，A用此MAC封装数据包并发送给交换机，交换机起用二层交换模块，查找MAC地址表，将数据包转发到相应的端口。 如果目的IP地址显示不是同一网段的，那么A要实现和B的通讯，在流缓存条目中没有对应MAC 地址条目，就将第一个正常数据包发送向一个缺省网关，这个缺省网关一般在操作系统中已经设好，对应第三层路由模块，所以可见对于不是同一子网的数据，最先 在MAC表中放的是缺省网关的MAC地址；然后就由三层模块接收到此数据包，查询路由表以确定到达B的路由，将构造一个新的帧头，其中以缺省网关的MAC 地址为源MAC地址，以主机B的MAC地址为目的MAC地址。通过一定的识别触发机制，确立主机A与B的MAC地址及转发端口的对应关系，并记录进流缓存 条目表，以后的A到B的数据，就直接交由二层交换模块完成。这就通常所说的一次路由多次转发。 表面上看，第三层交换机是第二层交换器与路由器的合二而一，然而这种结合并非简单的物理结合，而是各取所长的逻辑结合。其重要表现是，当某一信息源的第一个数据流进行第三层交换后，其中的路由系统将会产生一个MAC地址与IP地址的映射表，并将该表存储起来，当同一信息源的后续数据流再次进入交换环境时，交换机将根据第一次产生并保存的地址映射表，直接从第二层由源地址传输到目的地址，不再经过第三路由系统处理，从而消除了路由选择时造成的网络延迟，提高了数据包的转发效率，解决了网间传输信息时路由产生的速率瓶颈。所以说，第三层交换机既可 完成第二层交换机的端口交换功能，又可完成部分路由器的路由功能。即第三层交换机的交换机方案，实际上是一个能够支持多层次动态集成的解决方案，虽然这种 多层次动态集成功能在某些程度上也能由传统路由器和第二层交换机搭载完成，但这种搭载方案与采用三层交换机相比，不仅需要更多的设备配置、占用更大的空间、设计更多的布线和花费更高的成本，而且数据传输性能也要差得多，因为在海量数据传输中，搭载方案中的路由器无法克服路由传输速率瓶颈。6.3核心交换机的选择 出于安全和管理方便的考虑，主要是为了减小广播风暴的危害，必须把大型局域网按功能或地域等因素划成一个个小的局域网，这就使VLAN技术在网络中得以大量应用，而各个不同VLAN间的通信都要经过路由器来完成转发，随着网间互访的不断增加。单纯使用路由器来实现网间访问，不但由于端口数量有限，而且路由速度较慢，从而限制了网络的规模和访问速度。基于这种情况三层交换机便应运而生，三层交换机是为 IP设计的，接口类型简单，拥有很强二层包处理能力，非常适用于大型局域网内的数据路由与交换，它既可以工作在协议第三层替代或部分完成传统路由器的功 能，同时又具有几乎第二层交换的速度，且价格相对便宜些。 在企业网和教学网中，一般会将三层交换机用在网络的核心层，用三层交换机上的千兆端口或百兆端口连接不同的子网或VLAN。不过三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发，加入路由功能也是为这个目的服务的。所以它的路由功能没有同一档次的专业路由器强。毕竟在安全、协议支持等方面还有许多欠缺，并不能完全取代路由器工作。如果把大型网络按照部门，地域等等因素划分成一个个小局域网，这将导致大量的网际互访，单纯的使用二层交换机不能实现网际互访；如单纯的使用路由器，由于接口数量有限和路由转发速度慢，将限制网络的速 度和网络规模，采用具有路由功能的快速转发的三层交换机就成为首选。