网络设计及组网技术课件

单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,网络设计及组网技术,计算机网络设计与集成是一系列技术和工作的组合，其中包括主要步骤和内容如下：,确定组网目标,进行用户的需求分析和调研,进行系统方案设计,进行市场产品类型、性能和价格的调研,主要步骤和内容,进一步与用户商讨需求，并进行详细的工程设计,实现,LAN,工程布线并进行测试和验收,安装网络硬件设备并进行调试和验收,安装系统软件并进行调试和验收,系统设计,在系统设计时，必须按以下五个方面进行考虑,：,建设目标,建设原则,主要技术路线,方案设计原则,设备选型原则,建设目标,最终目标,网络建设到怎样的规模，如何满足用户需求，最终目标的几个关键必须确定：,采用的网络协议：,TCP/IP,还是别的,体系结构：是,Intranet,还是非,Intranet,计算模式：是传统,C/S,模式，还是,B/S，,还是,B/S/D,模式,网络上最多站点数和网络最大覆盖范围,网络安全性的要求,建设目标,最终目标（续）,网络上必要的应用服务和预期的应用服务,根据应用服务需求，对整个系统的数据量、数据流量及数据流向有个估计。从而可以大致确定网络的规模及其主干设备的规模和选型。,建设目标,近期目标,对于近期建设目标，一般比较具体，容易实现，但必须注意以下几点：,近期建设目标所确定的网络方案必须有利于升级和扩展到最终建设目标；,在升级和扩展到最终建设目标的过程中，尽可能保护近期建设目标的投资。,主要技术路线,系统中采用的技术尽可能是当前的先进技术，并经过考验的，即成熟的技术,统一技术规范和标准，统一设备选型,尽量采用基于,TCP/IP,协议的,Intranet,体系结构，保证系统的开放性,系统具有良好的可扩展性,必须保证系统的可靠性和安全性,系统具有足够的服务质量保证,方案设计原则,实用性：系统能满足应用（近期和进一步扩展）的需求，力求最高性能价格比,可靠性：采用性能可靠的设备和成熟的技术手段，保证系统的高可靠性,先进性：先进性包括设计思想、软硬件设备、网络结构以及使用的开发工具均尽可能体现先进性。,安全性：确保系统内部的数据和数据访问以及传输的信息是安全的,兼容性与可扩充性：采用技术成熟的、标准化的且有发展潜力的技术，保证系统的扩展能力,开放性：开放的系统才是最具有生命力的,可管理性：各设备支持网络管理协议,设备选型原则,设备的技术先进性,设备的性价比,售后服务（保修期、提供在线服务、响应时间、备件库等）,厂商的信誉（经济实力、技术实力、市场占有率等）,设备功能的扩展性以及对未来新技术的适应能力,设备结构的可靠性，主干设备一般应配置热备份电源和热备份关键模块,设备选型原则（续）,设备维护、管理和使用的方便程度,所选择的设备最好已经在其他网络工程中有成功的案例,交货期限和信用，要保证工程如期实施,系统软件的升级条件是否优惠,手册和培训的保证，以便用户尽快的掌握设备的使用,主要网络技术分析,现存主要的局域网技术有：,10,BASE-2,、,10BASE-5,、,10BASE-T (10M),、,Fast Ethernet (100M),、,Gigabit Ethernet (1000M),、,Token Ring (16M),、,FDDI (100M),、,ATM 、10G,以太网,以太网,以太网是基于冲突检测,(,CSMA/CD),的协议，共享介质且共享,10,Mbps,的频宽。,10,BASE2,、,10BASE5,是最早期的总线型局域网技术，适合于较小的单位、很少的网点，且价格较便宜。,不足：单点故障、扩展困难、可靠性较差。,以太网帧格式,以太网帧为可变长：641518 字节,帧越长，网络效率越高,网络中小帧比较常见,preamble,DA,SA,Type,Data,CRC,物理地址,物理地址、网卡地址、,MAC,地址、硬件地址在以太网中是等同的。,用6个字节表示，前三个字节为厂家代号，后三个字节为产品序列。,如：,AA:00:04DEC,00:00:0CCisco,02:60:8C3Com,08:00:07Apple,帧类型,类型域 1500， 为,EthernetII,帧格式（如：,0800 表示,IP, 8138,表示,IPX, 6004,表示,Decnet,),类型域后连续跟两个字节: 0,xAAAA,为,Ethernet SNAP,帧格式,类型域后连续跟两个字节: 0,xFFFF,为,Novell,专用帧格式（802.2,RAW),否则为,IEEE802.3,帧格式,IEEE 802.3,Ethernet Type II,802.3 SNAP,802.3 RAW,总线型以太网（10,Base2),10,Base2/10Base5(,总线型结构,）,10,BaseT,无屏蔽双绞线,IEEE,于,1990,年推出新规格,10,BaseT,将,共享内建于集线器,(,Hub),的内部，对外连线则采用星状布线。网络上任何一段线路出现故障，不会影响到网络上其他使用者。,双绞线比传统的同轴电缆轻巧，在办公室中颇受欢迎。但它的缺点是易受电磁干扰，驱动距离最远仅为100米。,星型结构,10,BaseF,光纤,同轴电缆由于电气衰减及电磁干扰，隔离效果较差，使得局域网的距离受到限制。当网络系统较大或需要较大频宽传输信息时，选择以光纤为主干的网络。,光纤的直径减小到只有一个波长810,um,，,可使光线一直向前传播，光源一般为激光，称单模光纤。衰减小，传输远，容量大。,可以存在多条不同角度入射的光线，直径一般为,50 100 um,，,光源一般为发光二极管，称多模光纤。传输距离短。,光纤,10,base-2,BASE-Baseband,局域网速率,(,Mbps),局域网分段长度,(以100米计),拓扑,总线型,总线型,星型,星型,星型,媒体,50欧粗,同轴,10,base-5,10,base-2,10,base-T,10,base-FP,10,base-FB,速率,Mbps,10,10,10,10,10,基带,基带,基带,基带,基带,信号方法,最大分段,长度(,m),500,185,100,500,2000,50欧细,同轴,非屏蔽,双绞线,光纤,光纤,10,M,以太网中继器规则,允许,5,个网段,在信道上只允许,4,个中继器,其中,3,个网段可以放置节点,另,2,个网段除了中继器链路外，不能有任何,节点,以上组成,1,个冲突域，最大节点数为1024，,最大传输距离为2500米,快速以太网,快速以太网联盟认为：,100,BaseT,是,10,BaseT,的真正继承者，,100,BaseT,保留了大多数,10,BaseT,的布线规则和,CSMA/CD,介质访问方式，具有以下特点：,从传统,10,BaseT,以太网的升级较容易，投资少，与现有,10,BaseT,网的集成也很简单。,众多厂家支持，产品价格相对较低。,安装和配置简单，现有的管理工具依然可用。,100,BaseT,不足之处：,基于碰撞检测原理的总线竞争方式使,100,Mbps,的带宽在通讯量增大时损失很快。,不适合多媒体实时传送的要求。,在一个冲突域中传输距离有限。,100,M,以太网传输介质,10,BaseT,100,BaseTx,100,BaseT4,100,BaseT2,100,BaseFx,编码,Manchester,4B/5B,8B/6T,PAM5X5,4B/5B,电缆要求,3,4,5,UTP,5,UTP,3,4,5,UTP,3,4,5,UTP,SM/MM,信号频率,20,M Hz,125,M Hz,25,M Hz,25,M Hz,125,M Hz,线对数,2,2,4,2,2 根,传输距离,100,m,100,m,100,m,100,m,412/2000,m,全双工,有,有,无,有,有,100,M,以太网中继器组网规则：,对于,I,类中继器，只允许连接1个中继器，,每段最长100米,对于,II,类中继器，最多允许2个中继器，,可以由两段各100米长的链路及5米长的,中继器链路,I,类中继器：支持不同编码的介质，延迟：0.7,us,II,类,中继器：只支持相同编码的介质，延迟：0.46,us,I,类中继器,II,类中继器,100,m,100,m,100,m,163,m,100,BaseT4,100,BaseF,100,m,100,m,5m,100,m,185,m,100,BaseF,100,BaseT,快速以太网,Hub,组网跨距,快速以太网光纤(,MMF),组网跨距,412,m,272,m,320,m,228,m,Switch,及广播域,L-2 Switch:,工作在数据链路层，按,MAC,地址转发数据包，实质上是一个多端口网桥。可分离出多个冲突域，但无法克服广播风暴。所有端口都在同一个广播域中。,L-3 Switch:,工作在网络层，按逻辑地址（如,IP/IPX),转发报文。一般用专门硬件（,ASIC),实现。带有路由功能，可分离多个广播域，提高网络性能及安全性。,L-4 Switch:,工作在传输层，它通过,TCP/UDP,的端口号对访问网络的应用加以控制。,全双工以太网,在链路的两个方向上同时进行收发操作，从而使其链路的总带宽提高到一倍。,基于,Switch,技术，要求点对点满足。,不需要载波侦听，不需要冲突监测。不受以太网定时规则的限制。,提高网络性能、扩展网络距离。,Switch+Hub,组网跨距,100,m,100,m,100,m,412m,100m,163,m,100,m,100,m,5m,100,m,半双工,2km,全双工,快速以太网网络设计,100,VG-,AnyLAN,由包括,HP,和,AT&T,在内的厂商开发的该协议具有下述特点：,同时支持,802.3,和,802.5,两种标准的帧格式,采用需求优先访问模式可通过减少或消除碰撞和再传递而增加有效带宽,在传输请求中识别优先级，在一定程度上支持多媒体实时应用,100,VG-,AnyLAN,不足之处：,有限的供应商支持，缺乏竞争使它的技术拓展受到限制并使它的价格较高,线路上使用,4,对双绞线传送有用信号，传统,10,Base-T,设备需更新，升级不便,100,VG-,AnyLAN,与传统,10,Base-T,网集成需要一个网桥,网段最大跨距,200,米,没有容错（不支持生成树协议），所以对主干应用来说不理想,FDDI,它的优点在于：,令牌传递模式和一些带宽分配的优先机制使它可以适应一部分多媒体通讯的需求,有众多的产品供应商和互联产品，与传统网络的集成很容易,双环及双连接方式具有容错功能,网络可延伸达,200,km,，,支持,500,个工作站,FDDI,FDDI,弱点：,居高不下的价格限制了它走向桌面的应用，无论安装和管理都不简单,基于带宽共享的传输技术从本质上限制了大量多媒体通讯同时进行的可能性,支持数字化语音、图像的新一代,FDDI,标准迟迟未能发布出来，而且交换式产品虽然可以实现，但成本无法接受,异步传输模式,ATM,ATM(,异步传输模式,),，是一种面向连接的快速分组交换技术，建立在硬件交换的基础上。它可以为每个工作站分配专用带宽。每个交换机的端口都特定于某一单个节点，并且在,ATM,网络中不存在共享的访问方式。它兼有分组交换的可调带宽和高速度，以及电路和帧交换固有的低时延。类似于分组交换，,ATM,将信息分成固定大小的信元，但不使用分组交换的差错校检功能以提高速度。,异步传输模式,ATM,不足之处：,价格较高,技术复杂，管理比较困难,不同公司产品间的互连不稳定,ATM,到桌面成本太高，,通过,LANE,等技术实现与以太网互连，实际上又未体现其优势。,Gigabit Ethernet,千兆以太网,主干采用千兆以太网的好处在于：千兆位以太网将提供,10,倍于快速以太网的性能并与现有的,10/100,以太网标准兼容。同时为,10/100/1000,Mbps,开发的虚拟网,VLAN,标准,802.1,Q,以及优先级标准,802.1,p,都已推广，千兆网已成为构成网络主干的主流技术。,千兆以太网跨距,1000,BaseLX,MMF 62.5m 330M HD 550M FD,MMF 50m 330M HD 550M FD,SMF 10m 330M HD 3KM FD,1000,BaseSX,MMF 62.5m 300M FD,MMF 50 m,330M HD 550M FD,1000,BaseCX,TW,型,STP,25M HD 25M FD,1000,BaseT,5,类,UTP 100M HD 100M FD,提高局域网性能,提高网络性能,LAN,分割,用网桥分割,LAN,用路由器分割,LAN,用交换机分割,LAN,LAN,分割,单个网络可以被分割成多个称为网段的单元。每个网段使用,CSMA/CD,方式，并维护网段内用户之间的流量。,LAN,分割,通过使用网络中的网段，当在网段内部相互通信时，较少的用户/设备共享,10,Mbps,的带宽。每个网段都是它自己的冲突域。,在分割式的,Ethernet LAN,中，网段之间的数据通过网桥、路由器或交换机来传送。,流量模型基本符合80/20原则。,用网桥分割,LAN,网桥“学习”网络的方式是通建立地址表，记录每个网络设备的地址和相应的网段。网桥根据数据帧的,MAC,地址进行转发。,对于网络上的其它设备而言，网桥是透明的。,网桥增加了网络时延。这个时延是由网桥在做出决策且发送数据时产生的。,在转发数据帧到其它端口以前，网桥必须检查目的地址域，且计算,CRC。,如果目的端口忙，网桥可以临时把数据帧存储起来，直到目的端口空闲。由于这个过程花费的时间降低了网络的传输速度，增加了时延。,用路由器分割,LAN,路由器在网络层操作，它根据,网络层地址,做出网段之间的数据转发决策。,路由器通过检查数据分组的目的地址，然后在路由器中查询转发指令来做出转发决策。为了选择到目的地的最佳转发路径，路由器必须检查分组。这个过程需要花费时间。,用交换机分割,LAN,交换机可以把,LAN,分割成微小的网段，即,单个主机的网段,。可从一个大的冲突域中生成无冲突的域。,尽管,LAN,交换机去除了冲突域，所有链接在交换机的主机仍然在同一个广播域。所以，所有连接在,LAN,交换机的节点都能看到从一个节点来的广播。,一个直接链接在,Ethernet,交换机的计算机可以有自己的冲突域，但能完全占有带宽。,交换技术,主要内容,第二层交换和第三层交换,对称交换和非对称交换,存储缓冲,基于端口的存储转发,共享式存储转发,交换方式,存储转发,直通式,快速转发,自由分割,第二层交换和第三层交换,有两种交换数据帧的方式：第二层交换和第三层交换。路由器使用第三层交换数据分组，交换机使用第二层交换转发数据帧。,第二层交换和第三层交换的不同之处是在决定出端口时所采用的数据帧中的信息种类。第二层交换是基于,MAC,地址信息交换数据帧，而第三层交换是基于网络层的信息交换数据帧。,第二层地址采取了平面型的地址空间，每个地址全局唯一的，固化在设备中。第三层地址是分级的逻辑地址，可由用户改变的,。,第二层交换和第三层交换,和第三层交换不同，第二层交换不必查看分组，只需查看数据帧内的目的,MAC,地址。,第二层交换建立且维护一个交换表，其中保存着每个端口所对应的物理地址。,如果第二层交换机不知道往何处发送数据帧，则把数据帧发送到所有的端口上以获得正确的目的地。当得到数据帧的响应时，交换机则把新地址的位置信息添加到交换表中。,第三层交换在网络层操作，它检查分组的信息，并根据网络层的目的地址转发分组。第三层交换也支持路由功能,。,分割广播域。,对称交换和非对称交换,交换是把从一个端口输入的数据帧通过另一个端口发送出去。,对称交换是根据分配给交换机上每个端口的带宽来管理,LAN,的一种方法。对称式交换机提供两边端口具有相同带宽的连接。,非对称交换比较适合于多个客户和服务器同时通信的期况，此时连接服务器的交换端口需要更多的带宽。在非对称交换中需要存储缓冲，这样可使从100-,Mbps,端口发送到10-,Mbps,端口的流量不会在,10-,Mbps,端口处发生拥塞。,存储缓冲,Ethernet,交换机可通过缓冲机制来存储转发分组，当目的地端口繁忙时，也可使用缓冲。交换机存储数据的存储区被称为存储缓冲器。存储缓冲器通过两种方式转发分组：基于端口的存储转发和共享式存储转发。,基于端口的存储转发中，分组存储在输入端口的队列中。只有当队列中一个分组前面的所有分组都被成功发送，这个分组才被发送到输出端口。,有可能出现单个分组由于目的地端口比较繁忙而推迟队列中其它分组的发送。,即使所有其他分组的目的地端口都是空闲的，这种推迟也可能发生,。,两种交换方法,在交换机中可有两种转发数据帧的交换,模式：存储转发和直通式,。,存储转发：在转发以前数据帧被完全接收。在被转发前，交换机阅读数据帧的目的地和/或源地址，并且使用过滤器。数据帧被接收的过程会产生时延。对于较长的数据帧来说，这种时延较大，但是检错率比较高。,两种交换方法,直通式：交换机在接收到整个数据帧以前就阅读目的地址。这样，在整个数据帧到达以前就被转发。这种模式减小了传送时延，但是具有较差的,LAN,交换检错率,。,交换,模式的时延依赖于交换机如何转发数据帧。交换模式越快，时延越小。为了快速转发，交换机只有少量的时间检错，,但是无法更有效防止数据出错,重传。,Fragement,-Free,交换,Fragement,-Free,交换在转发开始以前，过滤掉发生冲突的片段，因为冲突是分组发生错误的主要原因。,在转发分组以前，一直等待，直到判定这个被接收的分组没有发生冲突片段。时延是根据,FIFO,进行度量的。,例如：在一个正常运转的网络中，如果长度大于64字节的分组可以认定是没有冲突的正确分组，则只要正确接收了64个字节，就可以认为接收成功而进行转发。,交换机,主要内容,LAN,交换的优点,交换机的两个基本操作,网桥和交换机,交换机如何获得地址,LAN,交换的优点,LAN,交换机通过采用虚电路和无冲突环境下的专用网段来实现多个用户同时通信。这样增加了共享媒介的可用带宽。,由于仍可使用现有的硬件和线缆，因此过渡到交换式,LAN,环境是划算的。,由于交换机具有通过软件来对,LAN,进行配置的能力，因此给予了网络管理员时更大的管理灵活性,。,交换机的两个基本操作,交换是把从一个端口输入的数据帧通过另一个端口发送出去。,交换通过减小流量和增加带宽来减小局域网中拥塞。,LAN,交换机经常用来替换共享式,Hub，,它可和现有的电缆网线相互操作，在安装后不必改动现有的网络布局。,所有的交换设备执行两种操作：,交换数据帧：把从源端到达的数据帧发送到目的端。,维护交换操作：在交换过程中，交换机需要建立和维护交换表。,网桥和交换机,桥接表示利用网桥把两个或者多个局域网网段连接起来。,网桥和交换机都可连接局域网网段，它们利用,MAC,地址表来决定报文发送的网段，通过过滤可以减小流量。交换器比网桥功能更强大，因为它们可运行在比网桥更高的速率上，并支持新的功能，例如虚拟,LAN（VLAN）。,网桥通常利用软件进行交换，而交换机则用硬件进行交换,。,交换机如何获得地址,交换机动态地获得地址信息,。,Ethernet,交换机通过每个被发送分组的源地址及其进入交换机的端口来获得设备的地址，并添加到转发数据库中。新地址被存储在,content-addressable memory (CAM)。,每次存储地址时，地址被打上,时间戳,。每次在,CAM,中访问或者找到一个已存在的地址时，它都会被打上一个新的时间戳。那些在一段时间内没有被访问的地址将会被移出地址列表。,通过移出过时或过期的地址,，,CAM,维护了一个相对比较准确的转发数据库,。,虚拟局域网,主要内容,VLAN,的优点,交换结构的分段,LAN,和,VLAN,的区别,VLAN,中的路由器,VLAN,中的帧,VLAN,的实现,基于端口的,VLAN,静态,VLAN,动态,VLAN,生成树协议和交换机,虚拟局域网,VLAN,VLAN,是可分布在不同物理网段上的网络设备或用户的,逻辑,组合，,VLAN,上的设备或用户可以根据其功能、部门、应用等进行聚类，而不管它们物理网段的位置。,VLAN,结构是在交换机上通过软件实现的。,典型的,LAN,配置是由,LAN,连接的物理结构所决定的：用户根据所连接的,HUB,和数据线进行分组。,VLAN,的优点,易于维护,VLAN,很容易解决人员位置的变动，而不需要大量的管理开支。,有效地控制广播流量,增强网络安全性,通过“隔离”,节约经费,虽然交换机的目的是替换,HUB，,但是,HUB,还是可以继续在网络中发挥作用，并没有被淘汰,。,易于维护,公司每年有20%-40%的工作人员需要改变工作位置。这种移动、添加和改变给网络管理带来麻烦。许多移动需要重新布线、重新分配地址、重新配置,HUB,和路由器,。,VLAN,提供了一种有效的机制来管理这种业务。,同一,VLAN,中的用户，不管其位置如何，都可以使用同一网络地址。当用户移动时，只要还连接至交换机并在同一个,VLAN,中，就可以使用原来的网络地址。,VLAN,需要很少的重新布线、配置和调试，是对传统,LAN,技术的重大改进。路由器的配置也不受影响，当用户搬迁时，只要还在原来的子网，路由配置就不用改变。,控制广播流量,当两个交换机之间没有路由器时，广播流量被转发至每个交换机端口。这种整个网络中只有一个广播域的网络被称为平坦型网络。,优点：低延迟，高流通率，易于管理。,缺点：容易受到广播数据报的攻击。,VLAN,能有效地保护网络不受有害广播数据的影响。,VLAN,的组越小，一个,VLAN,中的广播风暴所影响的用户就越少。可以根据应用类型以及应用的广播频率来划分,VLAN。,增强网络安全性,经常有重要的、机密的数据通过,LAN。,机密数据需要安全的访问控制机制。,LAN,的一个缺点就是它太容易被渗透。插入一个可用的接口，一个恶意的用户就可获得整个网段上的数据。,一种低成本、易于管理的增加网络安全性的方案就是把网络划分为多个广播域。这样有以下一些好处：,控制一个组中的用户数量,防止其它用户在没有申请的情况下进入,VLAN,把未使用的端口划到一个低性能的网段,增强网络安全性,实现这种结构的,VLAN,相当直观。交换机端口按应用类型和访问级别进行分组。有安全要求的应用和资源一般放在一个安全的,VLAN,中。交换机限制对安全,VLAN,的访问。可以根据主机地址、应用类型和协议类型设置安全控制机制。,可以用访问控制列表来增强安全性，这种技术在,VLAN,之间通讯时特别有用,。,Vlan,之间的通讯需要经过路由器。路由器可以根据工作站地址、应用类型和协议类型甚至时间来设置安全控制机制。,节约经费,网络管理员已经安装了大量的,HUB，,现在被更换为交换设备。网络管理员通过把,HUB,与交换机相连而节省大量资金。,每个连到交换机端口的,HUB,分段可被划分为一个,VLAN。,共享一个,HUB,的主机划归一个,VLAN。,用于互连的交换机处理端口之间的通讯并决定适当的目的端口。,共享,HUB,分组越小，网络的分段性能越好，用户越容易分组。通过把,HUB,连接到交换机，是将,HUB,作为,VLAN,的一部分。同样可以通过直接连接到交换机来共享数据和资源,。,LAN,和,VLAN,的区别,在使用交换设备的网络中，使用,VLAN,技术的成本低，但却能有效地把用户的分为若干个虚拟工作组，而不用考虑地理分布。下图对比了,LAN,和,VLAN,之间的区别。,LAN,和,VLAN,的区别,LAN,和,VLAN,的主要区别有,：,VLAN,工作在,ISO,模型的第2层、第3层,不同,VLAN,之间的连接靠第3层交换,VLAN,提供控制网络广播的方法,网络管理员可以把用户划入,VLAN,VLAN,可以通过隔离通信域而提高网络的安全性,通过使用,VLAN,技术，可以按交换机端口以及所连接的用户进行逻辑分组。,可以把一个交换机或多个相连的交换机的端口和用户划分为不同的组，通过这种方式,，,VLAN,可以跨越一栋建筑、多个互连的建筑，甚至城域网。,VLAN,中的路由器,路由器的传统功能主要有：提供防火墙功能，管理广播数据，路由数据报。路由器在,VLAN,结构中的地位还是相当重要，因为路由器可以互连不同的,VLAN。,路由器还连接其它传统子网技术划分的逻辑段以及广域网中的其它设备。不管是内嵌还是外置的第三层交换功能都是高性能交换结构整体中不可缺少的部分。,通过一条或多条高速主干链路把一个外部路由器接入交换式网络，从而提供低成本的解决方案。,VLAN,中的帧,交换机是,VLAN,的核心组件。,每个交换机智能地根据管理员设置的规则过滤或转发数据报。,交换机还能与同一网络中的其他交换机和路由器交换这些信息。,对用户进行逻辑分组最常用的办法是数据帧标记法和数据帧过滤法。,这两种技术在交换机接收和转发数据帧时都查看数据报的内容，根据管理员设定的规则决定数据帧是发送,、丢弃还是广播,。,这种管理机制很容易通过网络集中管理,。,数据帧过滤法,帧过滤方案检查每个数据帧中的特定的信息。每个交换机维护一个过滤规则表，因为可以查看数据帧的内容，所以可以进行高层次的控制手段。使用不同的交换机，可以按用户的,MAC,地址或网络层协议来分组。交换机把每个帧与规则表比较，根据结果处理数据帧。,早期，,VLAN,是基于过滤技术的，他们按过滤规则表划分用户。由于每个帧都得匹配规则表，所以这种方案的扩展性不好。,数据帧标记法,管理员分配给不同,VLAN,的一个唯一的,ID，,并用这些,ID,来标记每个帧。由于这种方案的可扩展性好，,IEEE,标准采用了这种技术。,帧标记技术是专为交换技术开发的。当帧在主干上传输时，帧头被插入一个特殊的标示符。在将帧转发、广播至其他交换机、路由器、终端设备以前，交换机查看并使用这个标识符。在数据帧传输至终端以前，交换机从帧中去掉这个标示符。帧标记工作与第二层，管理与处理所需的工作量也不大。,Vlan,标准 802.1,Q,VLAN,的实现,VLAN,可以组成一个按功能、,工作性质,、应用进行逻辑分段的交换式网络，而独立于用户的物理分布,。,每个端口可以属于一个,VLAN，,属于同一个,VLAN,的所有端口组成一个广播域。不同,VLAN,的端口属于不同的广播域。这样可以提高网络的总体性能。,存在三种对端口进行分组的方式：,基于端口的,VLAN,静态的,VLAN,动态的,VLAN,基于端口,的,VLAN,在基于端口,的,VLAN,中，属于同一个,VLAN,的端口被分给一个共同的标示符：,VLAN ID。,静态,VLANs,静态,VLAN,是由管理员静态分配端口,VLAN,关系的,VLAN。,这种,VLAN,的成员关系只有管理员能改动。,虽然静态,VLAN,需要管理员手工管理，但它安全性高、易于控制、易于监视。在设备变动较少的网络中使用静态,VLAN,是不错,的。,动态,VLANs,动态,VLAN,可以动态地决定端口所属的,VLAN,关系。动态,VLAN,的功能基于,MAC,地址，逻辑地址和数据报的类型。,当一个终端设备连接至一个未划分的端口时，相关的交换机根据接入设备的,MAC,查询用户的配置数据库来配置新接入的设备。,这种技术的好处是当用户移动时可以减少到设备间的跳线的工作，还有当一个未知的设备接入网络时可以提供中心的报警功能。这种方式需要更多的工作来管理配置软件的数据库以及配置一个精确的用户数据库。,生成树协议,Spanning-Tree,协议的主要功能是复制交换或者桥接的路径而不造成网络中环路延时的影响。,网桥和交换机根据数据帧的目的地,MAC,地址作出转发决策。在不知道,MAC,地址时，为了达到期望的目的地，设备就把数据帧向每个端口广播。,对所有的广播数据帧都可以进行这样的操作。,生成树协议,Spanning-Tree,算法：通过计算生成一个稳定的生成树网络拓扑图消除环路。,当生成容错的网络时，需要在网络中的所有,Ethernet,节点之间存在一个无环路的路径。生成树算法是用来计算无环路路径的,。,生成树数据帧，即网桥协议数据单元,（,BPDU），,在一定的时间间隔内被交换机发送和接受，从而可以决定生成树拓扑图。,生成树协议与交换机,交换机在所有的基于,Ethernet,和快速,Ethernet,的,VLAN,上使用生成树协议。生成树协议在检测到环路后，可通过设置部分连接为待命模式来打破环路，处于待命模式的连接在一个活动状态的连接失效后可以被激活。,一个隔离的生成树协议运行在被配置的,VLAN,内。,每个,VLAN,的状态是由配置过程进行初始化，在运行的过程中由生成树协议过程进行修改。,本方案网络设计,对以上各种技术方案进行综合分析比较之后，我们采用千兆以太网（全双工）来构建主干网。,采用两层结构，即汇接层和接入层。汇接层在网络中心，提供接入层的各交换机的千兆上链。,接入层分布在各楼层，提供10/100,Mbps,线路连接各信息点。,主服务器直接以千兆接入汇接层的核心交换机。,服务器的位置,服务器提供文件共享、打印、通信和应用程序的服务，如文字处理。服务器通常不作为主机使用；它们运行专门的操作系统，如,NetWare, Windows NT, UNIX,和,Linux。,一台服务器通常专门用来实现一种功能，如电子邮件或文件共享。服务器可分为两个不同的类别：企业服务器和工作组服务器。,企业服务器为网络上的所有用户提供诸如,e-mail,或,DNS,的服务。,工作组服务器仅支持一些特定用户，提供诸如文字处理和文件共享的服务，这些服务仅是某些人所需要的。,Intranet,一个,LAN,的通常配置是一个企业内部网。,Intranet,网络服务器与公共的网络服务器的区别,在于：没有,许可权和密码，公众没有办法登陆到一个组织的,Intranet。,Intranet,的设计是为了实现那些具有对一个组织内部局域网访问的特权的用户的访问。,在,Intranet,内部，,Web,服务器在网络内部安装，浏览器技术被用来作为访问信息的通用前端，如财务数据和报表以及存储在服务器上的文本数据。,本方案设计的几个假设,整个大楼及配套建筑作为一个企业的内部网(,Intranet),考虑。,对于考虑要出租的楼层及房间，建议布两套网络。线槽可以共用，两个网物理隔开。每个房间至少有两个不同网络的信息点。根据需求入网，也方便租用方方便组网。（本方案只按一个网设计）,整个,Intranet,设立一个网络中心，申请对外链路及域名，统一考虑网络安全等问题。,主干网设计（方案一）,单星型结构主干网,楼层功能安排及信息点分布,主楼： 功能 信息点数,地下13层 车库及设备 3/层,1层 营业、精品厅、商场 200,2层 会议厅、营业 150,315层 出租型办公区 45/层,1621层 自用型办公区 45/层,22层 设备 20,23层 观光厅与会议厅 20,附楼：,1层 餐厅 2,25层 招待所 10/层,共计 1296,信息点估算,地下3层，考虑以后收费管理、监视等功能，每层3个信息点,1层为营业厅、商场，按15平米一个信息点估算,2层为会议厅、营业厅，按20平米一个信息点估算,3-21层为办公区，按20平米一个信息点估算,22-23为设备、观光厅、会议，每层设20个信息点,餐厅设2个信息点，每个公寓设一个信息点，值班室设一个信息点。,设备选型,核心交换机,Cisco Catalyst6509 1,台,1层,Cisco Catalyst3548 5,台,2层,Cisco Catalyst3548 3,台，,Catalyst3512 1,台,3-21层,Cisco Catalyst3548 19,台,22-23层,Cisco Catalyst3524 2,台,附楼,Cisco Catalyst3548 1,台,网络中心其他：路由其,Cisco 7204,一台，,Catalyst3524,一台，防火墙一台 及服务器若干,注意：每个千兆光纤口另需配置一个,GBIC,模块,Catalyst6509,WS-X6516-GBIC 2,块,共计 32个 千兆光纤模块,WS-X6K-SUP2-MSFC2,两个冗余的管理引擎模块,支持多层交换、组播、访问控制等,Switch Fabric Module,（256,Gbps,crossbar Fabric）,10/100,BaseT,端口,电源,Catalyst6509,千兆级第三层交换机,9槽机箱,32,G,背板，可扩充到256,G,15M,第二层交换能力,15,M,第三层交换能力，可扩充到150,M,冗余电源,冗余超级引擎模块,24口光纤100,M,接口卡,48口,RJ45,接口卡,16口千兆模块,支持第三层和第四层交换,支持,CISOC,流量交换技术,支持虚拟网、快速以太通道、千兆通道等技术,Cisco Catalyst3524/3548,10,G,背板，7,M,第二层交换能力,2个1000,M,接口卡,24个,RJ45,接口,所有端口都支持,VLAN,主干技术,无阻塞交换背板,支持虚拟网、快速以太通道、千兆通道等技术,支持8192个,MAC,地址,支持,PORTFAST,和,UPLINKFAST,技术，加快虚拟网收敛速度（普通40秒）,支持,CISCO,独有的堆栈技术（跨地理堆栈，普通近距离堆栈）,WEB,界面网络管理,外部（边界）路由器要求,路由协议：,BGP,RIP,IGRP, EIGRP, OSPF, DVMRP, PIM,和,IGMP,访问控制能力：,Access Control List,网络地址转换能力：,NAT,支持,DDN /ISDN /DDR /,FastEthernet,接入,ARP,支持对,MAC,物理地址与,IP,地址绑定能力,核心交换机要求,支持,VLAN,划分能力，并支持,IEEE802.1q,协议，,VLANid,=11024(local), =14096(cross-switch);,支持,Spanning Tree,纠错能力：,IEEE802.1d,协议；,支持链路层服务质量(,QoS,),控制:,IEEE802.1p;,内部动态路由协议：,OSPF/RIP,访问控制能力：,Access Control List,ARP,支持对,MAC,物理地址,与,IP,地址绑定能力,支持,UDP,转发能力: 支持端口,Enable/Disable,支持,SNMP,网络管理协议,数据库服务器,网络中心机房网络拓扑,WWW,服务器,Webmail,服务器,虚拟主机服务器,DNS,服务器,FTP,服务器,BBS,服务器,Mail,服务器,数据库服务器,网络管理站,Internet,路由器,OA,服务器,视频点播服务器,应用系统服务器,各楼层接入,各应用服务器,计费服务器,主干交换机,防火墙,主干网设计说明,主干采用单星型结构，无链路冗余,采用多模光缆连接网络中心至各楼层的配线间,原则上每楼层一个配线间，如果有的楼层信息点少，可每隔两个楼层配置一个配线间,各个楼层所有信息点通过水平布线汇集到本楼层配线间的配线架上，在楼层配线间配置楼层交换机若干（根据信息点数而定）,主干网设计说明,如果楼层数据信息点的水平布线距离不超过90,m,则采用超5,类,UTP,及其相应的连接模块和配线架；否则要考虑使用多模光纤，并配置带有光纤模块的交换机。,主干交换机、主服务器、网络管理站、路由器、防火墙等设备一般均集中安置在网络中心，便于集中管理和维护。,主干网设计（方案二）,双星型结构主干网,网络中心机房网络拓扑（方案二）,Interne,t,楼层交换机,服务器,路由器,主干交换机,主服务器,网管站,方案二说明,采用两个核心主干交换机，每个楼层的交换机分别与两个核心交换机连接，构成冗余链路，当某一链路出故障时能自动切换。,核心交换机之间通过2,G,或4,G,的链路连接，提高其带宽和可靠性,交换机需要支持802.1,d STP，,确保节点之间无环路路径。,主服务器如需双机热备，并且链路冗余，每台需配置双网卡，分别接到两台核心交换机上。如访问数据量很大，可采用千兆网卡。,网络设备清点与验收,对照设备订货清单清点到货，确保到货设备与订货一致。,由系统集成商负责人员在设备到货前根据订货清单填写到货设备登记表的相应栏目，以便于到货时的核查、清点。,开箱检查、清点、验收，设备厂商会提供一份验收单。详细核查，并妥善保存随机文档、质报单、说明书、驱动软件等。,网络系统的初步验收,对于网络设备，其测试成功的标准为：能够从网络中任一机器和设备,Ping,通其他任一机器或设备。,测试中，,Ping,每次发送数据报不应少于300个，在局域网成功率应达到100%,在广域网由于线路质量问题，视具体情况而定，但不能低于90%的成功率。,安全性测试，做访问控制列表，验证不同公司是否做到信息隔离。,测试所得数据填入验收测试报告,网络系统的试运行,监视系统运行,网络基本应用测试,可靠性测试,下电-重启测试,冗余模块测试,安全性测试,网络附载能力测试,系统峰值能力测试,注：一般时间为3个月至1年,网络系统最终验收,检查试运行期间的所有运行报告及各种测试数据。确保遗留问题都已解决。,验收测试。按照测试标准对整个网络系统进行抽样测试，测试结果填入最终测试报告,签署最终验收报告，后附最终测试报告,向用户移交所有技术文档，包括所有设备的详细配置参数、各种用户手册。,The End,谢谢,