【正文】 園區(qū)網(wǎng)設(shè)計方案中，接入層交換機一般包 含為工作站，服務(wù)器，打印機，無線接入點等設(shè)備提供連接端口的交換機 。 ■ 匯聚層： 位于接入層和核心層之間 ，充當(dāng)服務(wù)和控制的邊界 。出于安全性原因?qū)Y源訪問的控制，出于性能原因?qū)νㄟ^核心層流量的控制等都在匯聚層 。 ■ 核心層 ： 高速的 骨干旨在以最快的速度交換數(shù)據(jù)包 。在當(dāng)代園區(qū)網(wǎng)設(shè)計方案中，核心骨干必須使用至少萬兆的以太網(wǎng)鏈路來與其它交換機建立連接。由于核心層對于網(wǎng)絡(luò)連通性來說是最為關(guān)鍵的一層，所以它必須提供最高級別的可用性，并且必須能夠最快地適應(yīng)網(wǎng)絡(luò)的變化 。 當(dāng)我們 將分層模型應(yīng)用在模塊化的園區(qū)網(wǎng)設(shè)計方案后， 網(wǎng)絡(luò)可以概括為圖 21 所示 示的拓?fù)?。 圖 21 分層模型應(yīng)用 于 園區(qū)網(wǎng)的示意圖 多層交換機對 園區(qū)網(wǎng)發(fā)展趨勢 的影響 二層交換 機 根據(jù) MAC 地址進(jìn)行交換， 由于眾多的因素， 傳統(tǒng)的二層交換機受到網(wǎng)絡(luò)擴展性的限制 。第二層交換機會在整個廣播域中泛洪未知的單播幀，組播和廣播流量 ，廣播域內(nèi)的所有網(wǎng)絡(luò)設(shè)備都要處理這些不必要的流量 ，這樣就導(dǎo)致了網(wǎng)絡(luò)拓?fù)渲械亩咏粨Q機數(shù)量不能太多 。三層交換是基于硬件的路由選擇，通過提供路由表， 三麥涌錚： 荔灣區(qū)電子政務(wù) 網(wǎng)的設(shè)計和 項目 實施 5 / 46 層交換機克服了二層設(shè)備擴展性不足的缺點。 多層交換將二層交換和三層路由選擇的功能結(jié)合起來了 。多層 交換機不進(jìn)能夠?qū)@區(qū)網(wǎng)絡(luò)中的通信流量進(jìn)行線速轉(zhuǎn)發(fā)，而且還能夠滿足第三層的連通性要求 。從設(shè)計的角度上看，所有企業(yè)園區(qū)設(shè)計方案都在某些地方包含了多層交換機，尤其是在網(wǎng)絡(luò)的核心層和匯聚層部分。有些企業(yè)網(wǎng)的設(shè)計方案甚至在接入層上完全使用第三層交換技術(shù) ，以便未來在各個接入端口上支持第三層網(wǎng)絡(luò)端口。在以后的幾年中， 園區(qū)網(wǎng)的發(fā)展趨勢是成為一個由廉價的三層交換機所構(gòu)成的純?nèi)龑迎h(huán)境 。 下一章將結(jié)合實習(xí)期間參與的荔灣區(qū)政務(wù)外網(wǎng)項目做一個園區(qū)網(wǎng)的設(shè)計 。 09 級網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計制作說明書 VI 第 3章 荔灣區(qū)電子政務(wù)外網(wǎng)項目 設(shè)計 方 案 3 月曾到銳捷網(wǎng)絡(luò)公司 參與 廣州市 荔灣區(qū)電子 政務(wù)外網(wǎng) 項目 的實施， 在項目組里擔(dān)當(dāng)了一名 售后 工程師 。實習(xí)的時間雖 不長，但是我 以 抱著認(rèn)真對待工作的態(tài)度 在工作中 獲得了不少實戰(zhàn)經(jīng)驗 ， 對社會工作有了更深刻的體會， 逐步擺脫那種毫無工作經(jīng)驗的學(xué)生模樣 。借 此次畢業(yè)論文的機會 ，讓我仔細(xì)回顧這次項目實施的過程 ， 同時也 等于對 相關(guān)的網(wǎng)絡(luò)技術(shù) 進(jìn)行了一次 總 復(fù)習(xí) 。 需求分析 荔灣區(qū)電子政務(wù)外網(wǎng)是 屬于 廣州市荔灣區(qū)政府 的 ， 主要用于區(qū)政府下屬的部門之間的 自動化 辦公 系統(tǒng) 和訪問互聯(lián)網(wǎng) 。 整期工程完成后， 將有 300 多 個終端設(shè)備使用該網(wǎng)絡(luò) ，所以這是一個中型的園區(qū)網(wǎng)絡(luò) 。 該項目分兩期 實施， 第一期 為遷移一期 ， 是網(wǎng)絡(luò)割接 ， 共 有 90 個點需從原來使用的 MPLS 網(wǎng)絡(luò)遷移到本項目新建的裸光纖網(wǎng) 。 第二期為新建二期 ，在第一期完成的基礎(chǔ)上， 新增 205 個點 。 遷移一期 共有 90 個實施點 ， 分別位于 廣州市荔灣區(qū)科技和信息化局 ，疾控中心，勞動局，區(qū)就業(yè)中心 ，衛(wèi)生監(jiān)督所 等 13 個職能部門 。該網(wǎng)絡(luò)有 6 個匯聚點， 分別是 荔枝灣，觀綠，西華，花地，芳村，流花 。 核心交換機位于 中山七區(qū)府 8 樓機房 。 該園區(qū)網(wǎng) 的 需求 包括： ■ 遷移一期 90 個街道辦事處保證每個街道辦遷移過程中 IP 不更改，斷網(wǎng)時間在半小時內(nèi)； ■ 新建二期 205 個街道辦事處由于是 新建網(wǎng)絡(luò)，沒有斷網(wǎng)要求 ； ■ 使用該網(wǎng)絡(luò)的 客戶都能夠登錄內(nèi)部的辦公系統(tǒng)和訪問互聯(lián)網(wǎng) 。 原有的 MPLS 網(wǎng)絡(luò)在遷移之前正常使用，等待新建成的裸光纖網(wǎng)通過測試后，再把90 個點遷移到新的交換機上 ，從而使用戶 平穩(wěn)而 快速地切換到新建的光纖網(wǎng)絡(luò) 。 麥涌錚： 荔灣區(qū)電子政務(wù) 網(wǎng)的設(shè)計和 項目 實施 7 / 46 通信規(guī)范 各層中的流量模式和流量類型對于打造園區(qū)網(wǎng)設(shè)計方案來說至關(guān)重要 。每種類型的流量都代表一種特定的需求，比如帶寬和流模式等 。網(wǎng)絡(luò)中的流量類型包括但不限于這些： 網(wǎng)絡(luò)管理，語音， IP 組播，一般數(shù)據(jù)。通信模式可以分為三類 ： ■ 點到點的應(yīng)用 。即大量的網(wǎng)絡(luò)流量都從一臺終端設(shè) 備通過企業(yè)網(wǎng)發(fā)往另一臺設(shè)備。 ■客戶端 /服務(wù)器應(yīng)用。用戶訪問數(shù)據(jù)中心服務(wù)器組中的應(yīng)用 時?？蛻舳?/服務(wù)器集群應(yīng)用有一個 20/80 原則，也就是 20%的流量會留在本地 LAN 網(wǎng)絡(luò)，而 80%的流量都會離開本地網(wǎng)絡(luò)并去往中心服務(wù)器， Inter 等。 ■ 客戶端 /企業(yè)邊緣應(yīng)用 。通俗地說就是上外網(wǎng) ，企業(yè)內(nèi)部的終端 訪問外部的公共服務(wù)器 。 經(jīng)過 咨詢 和 了解， 荔灣區(qū)電子政務(wù)外網(wǎng)（以后簡稱政務(wù)外網(wǎng)） 的通信流量分布符合 20/80 原則 ，流量類型中，一般數(shù)據(jù)占據(jù)的比較多 ，而一般數(shù)據(jù)所占據(jù)的帶寬屬于中低級別 。 邏輯網(wǎng)絡(luò)設(shè)計 與實施 范例 邏輯網(wǎng)絡(luò)設(shè)計工作主要包括 ： 網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計 局域網(wǎng)技術(shù)選擇與應(yīng)用 IP 地址設(shè)計和命名規(guī)范 路由選擇協(xié)議 網(wǎng)絡(luò)安全 其中，局域網(wǎng)技術(shù) 的選擇 主要 包括生成樹協(xié)議和 VLAN。 09 級網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計制作說明書 VIII 拓?fù)浣榻B 圖 31 荔灣區(qū)電子政務(wù)外網(wǎng)拓?fù)? 設(shè)計采用了核心、匯聚、接入三層架構(gòu)設(shè)計。核心和匯聚之間使用全萬兆光纖鏈路，雙上聯(lián)，全冗余連接，匯聚與接入之間全千兆光纖鏈路。構(gòu)成核心到匯聚萬兆雙鏈路骨干，匯聚到接入千兆鏈路的高性能三層架構(gòu)網(wǎng)絡(luò)。各核心交換機和匯聚交換機均配置雙電源、雙引擎。 麥涌錚： 荔灣區(qū)電子政務(wù) 網(wǎng)的設(shè)計和 項目 實施 9 / 46 圖 32 割 接項目 的 目標(biāo) 拓?fù)? 政務(wù)一期 IP 網(wǎng)段 到 、 到 ，該 IP段遷移到裸光纖組網(wǎng)后，要求 IP 地址規(guī)劃不變。政務(wù)一期通過靜態(tài)與動態(tài)路由實現(xiàn)數(shù)據(jù)互訪，遷移一期、新建二期通過動態(tài)路由實現(xiàn)數(shù)據(jù)互訪。 S8610 上有兩條關(guān)于 的靜態(tài)路由： ip route （下一跳屬于電信的 PE） ip route （下一跳屬于電信的 PE） 生成樹設(shè)計 和實施 從拓?fù)渲锌梢灾溃?政務(wù)外網(wǎng)匯聚和核心之間采用雙上聯(lián)的二層冗余 和設(shè)備冗余，實現(xiàn)了企業(yè)網(wǎng)絡(luò)的高可用性 ，但是，二層的網(wǎng)絡(luò)冗余有可能會引入橋接環(huán)路，如果產(chǎn)生橋接環(huán)路，數(shù)據(jù)包就會永遠(yuǎn)在設(shè)備間循環(huán)，占用網(wǎng)絡(luò) 帶寬 。而生成樹協(xié)議(STP,SpanningTree Protocol)可以識別并防止二層環(huán)路 。 它能夠在實現(xiàn)物理路徑冗09 級網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計制作說明書 X 余的同時避免網(wǎng)絡(luò)中出現(xiàn)不良的活動環(huán)路 。 本項目中生成樹設(shè)計規(guī)范為： ■ 在 接入、匯聚、核心 啟用 生成樹協(xié)議： STP ■核心生成樹優(yōu)先級： 4096 ■匯聚生成樹優(yōu)先級： 16384 ■接入上聯(lián)匯聚口開啟： bpdufilter ■接入下聯(lián)接口開啟： bpduguard、 portfast 設(shè)計人員應(yīng)該使用生成樹協(xié)議，也應(yīng)該通過手工指定根橋的方式來控制生成樹的拓?fù)?。在?chuàng)建了生成樹之后，應(yīng)該使用 STP 工具箱來增強網(wǎng)絡(luò)的總性能，并減少因拓?fù)渥兏速M的時間。 ■ BPDU 過濾（ BPDU Filter）：能夠限制交換機不向接入端口發(fā)送不必要的 BPDU ■ BPDU 防護(hù)（ BPDU Guard）：能夠防止交換設(shè)備以外地連接到啟用了 Portfast 特性的端口。如果將交換機連接到啟用了 Portfast 特性的端口，那么就可能導(dǎo)致第 2 層環(huán)路或拓?fù)渥兏?。 ■ Portfast： PortFast 能使得被配置為二層 Access 端口的接口立即進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，也就是繞過偵聽狀態(tài)和學(xué)習(xí)狀態(tài)。 它的目的是盡量縮短 Access 端口等待 STP 收斂的時間 。 啟用 PostFast 的優(yōu)勢在于能夠防止 DHCP 超時的問題。 配置 命令 如下： ： Ruijieenable Ruijie config terminal Ruijie(config)spanningtree //打開 STP 協(xié)議 Ruijie(config)spanningtree mode stp //配置生成樹模式 為 STP Ruijie(config)end //退回到特權(quán)模式 Ruijieshow spanningtree //核對配置條目 Ruijiewrite //保存配置 麥涌錚： 荔灣區(qū)電子政務(wù) 網(wǎng)的設(shè)計和 項目 實施 11 / 46 4096 Ruijieenable Ruijieconfig terminal Ruijie(config)spanningtree priority 4096 //配置設(shè)備優(yōu)先級為 4096 Ruijie(config)show spanningtree Ruijie(config)write //保存配置 16384 Ruijieenable Ruijieconfig terminal Ruijie(config) spanningtree priority 4096 //配置設(shè)備優(yōu)先級為 16384 Ruijie(config)show spanningtree Ruijie(config)write //保存配置 4. 接入 交換機的 上聯(lián)匯聚口開啟： bpdufilter Ruijieenable Ruijieconfig terminal Ruijie(config)interface GigabitEther1/1 //進(jìn)入接口配置模式 Ruijie(configif)spanningtree bpdufilter enable // 在 接 口 打 開bpdufilter Ruijie(configif)end Ruijieshow runningconfig //查看配置條目 Ruijiewrite //保存配置 5. 接入下聯(lián)接口開啟： bpduguard、 portfast Ruijieenable Ruijieconfig terminal 09 級網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計制作說明書 XII Ruijie(config) interface range gigabitether 1/1 24 Ruijie(configifrange) spanningtree bpduguard enable //在接入端口配置 bpduguard Ruijie(configifrange) spanningtree portfast // 在 接 入 端 口 配 置portfast Ruijie(configifrange)end Ruijieshow runningconfig //核實配置條目 Ruijiecopy runningconfig startupconfig //保存配置 配置了 bpdufilter， bpduguard 和 portfast 這些增強特性后，使 STP 的收斂速度更快，運行效率也大幅提高。 這些增強特性可以提高多層交換網(wǎng)絡(luò)的可用性和安全性。 VLAN 規(guī)劃 與 實施 VLAN（虛擬局域網(wǎng)， Virtual Local Area Network）是一組擁有共同需求且與物理位置無關(guān)的終端設(shè)備所組成的邏輯分組 。 VLAN 劃分是基于數(shù)據(jù)流的模式來進(jìn)行的。VLAN 通常氛圍端到端的 VLAN 和本地 VLAN。其中端到端的 VLAN 會延伸到整個網(wǎng)絡(luò)，而本地 VLAN 則僅僅限于建筑接入層和建筑匯聚層子模塊中的交換機。此外， Trunk 是二層互聯(lián)設(shè)備之間的二層點到點的鏈路，它可以承載多個 VLAN 的流量。 不同網(wǎng)段的計算機通過路由器或者三層交換機進(jìn)行通信。 因為 VLAN 能夠?qū)⒘髁扛綦x到確定的廣播域和子網(wǎng)中，所以不 同 VLAN 中的設(shè)備不能直接通信。在匯聚層和核心層的交換機幾乎都會有多個 VLAN 與其相連。有多個 VLAN的交換機需要通過傳輸三層流量來讓這些 VLAN 間通信。要實施 VLAN 間路由，就需要用到路由器或者三層交換機， 三層交換機可以通過 SVI(交換機虛擬接口， Switch Virtual Interface）來實現(xiàn) VLAN 間路由。 由于基于端口劃分 VLAN 的方法最常用， 所以 政務(wù)外網(wǎng)項目中 VLAN 劃分方法是基于設(shè)備端口。 VLAN 的規(guī)劃需要考慮一下因素： ■管理 VLAN。通過劃分管理 VLAN，并對管理 VLAN 話費特殊 VLAN ID 號和 IP 地址，可以增強網(wǎng)絡(luò)管理工作的安全性，避免用戶直接對網(wǎng)絡(luò)管理設(shè)備的直接訪問，是非常麥涌錚： 荔灣區(qū)電子政務(wù) 網(wǎng)的設(shè)計和 項目 實施 13 / 46 有必要的。 ■服務(wù)器 VLAN。服務(wù)器是向局域網(wǎng)提供服務(wù)的關(guān)鍵，大多數(shù)情況下，局域網(wǎng)內(nèi)部的服務(wù)器都位于局域網(wǎng)的核心部分，針對服務(wù)器群建立一個特定的 VLAN，可以加強服務(wù)器之間的訪問，同時提高了服務(wù)器的運行的安全性。 ■ 業(yè)務(wù) VLAN。在網(wǎng)絡(luò)使用中，相同的部分用戶，所需要的應(yīng)用服務(wù)基本是一致的。因此可以針對用戶計算機的部分