【文章內(nèi)容簡介】 vlan，同時這些信息會通告給其它交換機(jī)。默認(rèn)情況下，交換機(jī)是服務(wù)器模式。每個 vtp 域必須至少有一臺服務(wù)器，域中的 vtp 服務(wù)器可以有多臺。 ② 客戶機(jī)模式： vtp 客戶機(jī)上不允許創(chuàng)建、修改和刪除 vlan，但他會監(jiān)聽來自其他交換機(jī)的 vtp 通告并更改自己的 vlan 信息。接收到的 vtp 信息也會在trunk 鏈路上向其它交換機(jī)轉(zhuǎn)發(fā)，因此這種交換機(jī)還能充當(dāng) vtp 中繼。 ③ 透明模式：這種模式的交換機(jī)不參與 vtp?？梢栽谶@種模式的交換機(jī)上創(chuàng)建、修改刪除 vlan，但是這些 vlan 信息并不會通告給其他交換機(jī)，它也不接收其他交換機(jī)的 VTP 通告而更新自己的 VLAN 信息。然而需要注意的是，它會通過 Trunk 鏈路轉(zhuǎn)發(fā)收到的 vtp 通告，從而也就充當(dāng)了中繼角色，因此可以完全可以把該交換機(jī)看做是透明的。 EtherChannel Etherchannel（以太網(wǎng)通道）應(yīng)用于交換機(jī)之間的多鏈路捆綁技術(shù)。它的基本原理是 :將兩個設(shè)備間多條快速以太或者千兆以太物理鏈路捆綁在一起組成一條邏輯鏈路，從而達(dá)到帶寬倍增的目的。除了 增加帶寬之外， Etherchannel 還可以在多條鏈路上均衡分配流量，起到負(fù)載分擔(dān)的作用。當(dāng)一條或多條鏈路出現(xiàn)故障時，只要還有鏈路正常，流量就會轉(zhuǎn)移到其他鏈路上，整個過程在幾毫秒內(nèi)完成，從而達(dá)到冗余的作用。在 Etherchannel 中，負(fù)載在各個鏈路上的分布可以根據(jù)源 IP 地址、目的 IP 地址、源 MAC 地址、目的 MAC 地址、源 IP 地址和目的 IP 地址組合、源 MAC 地址和目的 MAC 地址組合等來進(jìn)行分布。 STP 為了增加局域網(wǎng)的冗余性，我們常常會在網(wǎng)絡(luò)中引入冗余鏈路，然而這樣卻會引起交換環(huán)路。交換環(huán)路會 引發(fā)三個問題：廣播風(fēng)暴、同一個幀的多個拷貝以及交換機(jī) CAM 表不穩(wěn)定。 STP（ spanning tree protocol）可以解決這些問題 ，STP 的基本思路是阻斷一些交換機(jī)接口，構(gòu)建一棵沒有環(huán)路的轉(zhuǎn)發(fā)樹。 STP 利用BPDU（ Bridge Protocol Data Unit）和其他交換機(jī)進(jìn)行通信，從而確定哪個交 7 換機(jī)該阻斷哪個接口。 NAT NAT（ Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是將 IP 數(shù)據(jù)報報頭中的 IP 地址轉(zhuǎn)換為另一個 IP 地址的過程。在實(shí)際應(yīng)用中， NAT 主要用于實(shí)現(xiàn)私有網(wǎng)絡(luò)訪問公共網(wǎng)絡(luò)的功能。這種通過使用少量的公有 IP 地址代表較多的私有 IP 地址的方式，將有助于減緩可用 IP 地址空間的枯竭。 ACL 訪問控制列表（ Access Control List， ACL） 是路由器和交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。 ACL 適用于所有的被路由協(xié)議，如 IP、 IPX、AppleTalk 等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個框架結(jié)構(gòu)，其目的是為了對某種訪問進(jìn)行控制， ACL 具有以下功能： ① ACL 可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如， ACL 可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級。 ② ACL 提供對通信流量的控制手段。例如， ACL 可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網(wǎng)段的通信流量。 ACL 是提供網(wǎng)絡(luò)安全訪問的基本手段。 ACL 允許主機(jī) A 訪問人力資源網(wǎng)絡(luò)，而拒絕主機(jī) B 訪問。 ③ ACL 可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如，用戶可以允許 Email 通信流量被路由，拒絕所有的 Tel 通信流量。 隧道技術(shù)（ Tunneling）是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將其它協(xié)議的數(shù)據(jù)幀或包重新封裝然后通過隧道發(fā)送。新的幀頭提供路由信息，以便通過互聯(lián)網(wǎng)傳遞被封裝的負(fù)載數(shù)據(jù)。這里所說的隧道類似于點(diǎn)到點(diǎn)的連接。這種方式能夠使來自許多信息源的網(wǎng)絡(luò)業(yè)務(wù)在同一個基礎(chǔ)設(shè)施中通過不同的隧道進(jìn)行傳輸。隧道技術(shù)使用點(diǎn)對點(diǎn)通信協(xié)議代替了交換連接，通過路由網(wǎng)絡(luò)來連接數(shù)據(jù)地址。 8 端口安全 從基本原理上講， Port Security 特性記住的是連接到交換機(jī)端口的以太網(wǎng)MAC 地址即網(wǎng)卡號，并只答應(yīng)某個 MAC 地址通過本端口通信。假如任何其它 MAC地址試圖通過此端口通信，端口安全特性會阻止它。使用端口安全特性可以防止某些設(shè)備訪問網(wǎng)絡(luò)，并增強(qiáng)安全性。 OSPF OSPF 作為一種內(nèi)部網(wǎng)關(guān)協(xié)議（ Interior Gateway Protocol， IGP），用于在同一個自治系統(tǒng)（ AS）中的路由器之間交換路由信息。 OSPF 的特性如下： ① 可適應(yīng)大規(guī)模網(wǎng)絡(luò)； ② 收斂速度快； ③ 無路由環(huán)路； ④ 支持 VLSM 和 CIDR； ⑤ 支持等價路由； ⑥ 支 持區(qū)域劃分，構(gòu)成結(jié)構(gòu)化的網(wǎng)絡(luò)； ⑦ 提供路由分級管理； ⑧ 支持簡單口令和 MD5 認(rèn)證； ⑨ 以組播方式傳送協(xié)議報文； ⑩ OSPF 路由協(xié)議的管理距離是 110； ? OSPF 路由協(xié)議采用 cost 作為度量標(biāo)準(zhǔn)； ? OSPF 維護(hù)鄰居表、拓?fù)浔砗吐酚杀怼? 另外， OSPF 將網(wǎng)絡(luò)劃分為 4 種類型：廣播多路訪問型（ BMA）、非廣播多路訪問型（ NBMA ）、 點(diǎn) 到 點(diǎn) 型 （ PointtoPoint ） 和 點(diǎn) 到 多 點(diǎn) 型（ PointtoMultiPoint）。不同的二層鏈路的類型需要 OSPF 不同的網(wǎng)絡(luò)類型來適應(yīng)。下面的幾個術(shù)語是學(xué)習(xí) OSPF 要掌握的。 ① 鏈路 ：鏈路就是路由器用來連接網(wǎng)絡(luò)的接口； ② 鏈路狀態(tài)：用來描述路由器接口及其與鄰居路由器的關(guān)系，所有鏈路狀態(tài)信息構(gòu)成鏈路狀態(tài)數(shù)據(jù)庫； ③ 區(qū)域：有相同區(qū)域標(biāo)志的一組路由器和網(wǎng)絡(luò)的集合，在同一個區(qū)域內(nèi)的路由器有相同的鏈路狀態(tài)數(shù)據(jù)庫； 9 ④ 自治系統(tǒng)：采用同一種路由協(xié)議交換路由信息的路由器及其網(wǎng)絡(luò)構(gòu)成一個自治系統(tǒng)； ⑤ 鏈路狀態(tài)通告（ LSA）： LSA 用來描述路由器的本地狀態(tài)， LSA 包括信息有路由器接口的狀態(tài)和所形成的鄰接狀態(tài)； 最短路徑優(yōu)先（ SPF）算法；是 OSPF 路由協(xié)議的基礎(chǔ)， SPF 算法有時也被稱為 Dijkstra 算法，這是因 為最短路徑優(yōu)先算法（ SPF）是 Dijkstra 發(fā)明的， OSPF路由器利用 SPF，獨(dú)立地計(jì)算出到達(dá)任意目的地的最佳路由。 VPN 虛擬專用網(wǎng)絡(luò)（ Virtual Private Network ，簡稱 VPN)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng)，主要是因?yàn)檎麄€ VPN 網(wǎng)絡(luò)的任意兩個節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺，如 Inter、 ATM(異步傳輸模式 )、 Frame Relay （幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗(yàn)證鏈接的專用網(wǎng)絡(luò)的擴(kuò)展。 VPN 主要采用了隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用 者與設(shè)備身份認(rèn)證技術(shù)。 VPN 的特點(diǎn)：（ 1）安全保障；（ 2）服務(wù)質(zhì)量保證（ QoS）；（ 3）可擴(kuò)充性和靈活性；（ 4）可管理性。 系統(tǒng)設(shè)計(jì) 通過以上詳細(xì)的系統(tǒng)分析，設(shè)計(jì)出適應(yīng)于整個網(wǎng)絡(luò)的最佳拓?fù)浣Y(jié)構(gòu)，并在虛擬軟件 Packet Tracer 進(jìn)行了模擬練習(xí)，以及各個校區(qū) IP 地址的分配和 VLAN的劃分。 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 9512 核心交換機(jī)在整個校園網(wǎng)中站了主導(dǎo)地位，所以必須保證其安全性和可靠性，故使用兩臺設(shè)備來進(jìn)行設(shè)備冗余的設(shè)計(jì)，保證其安全可用并可減輕負(fù)載。主干線路使用千兆線纜到各樓宇，校區(qū)使用萬兆 以太網(wǎng)連接，通過使用 VPN 技術(shù)是校區(qū)和三個宿舍 區(qū)互聯(lián)。在交換機(jī)上使用 RSTP 協(xié)議，并在服務(wù)器上啟用 DHCP服務(wù)。為了提高帶寬，又增加了 CNC 帶寬到 1000Mbps，實(shí)現(xiàn)負(fù)載均衡，在所有三層交換機(jī)上運(yùn)行 OSPF。 總體網(wǎng)絡(luò)拓?fù)淙鐖D 所示，校內(nèi) 網(wǎng)絡(luò)拓?fù)淙鐖D 10 所示，十里鋪 網(wǎng)絡(luò)拓?fù)淙鐖D 所示 ，三里屯 網(wǎng)絡(luò)拓?fù)淙鐖D 所示 ： 圖 總體網(wǎng)絡(luò)拓?fù)鋱D 圖 校內(nèi) 網(wǎng)絡(luò)拓?fù)鋱D 11 圖 十里鋪 網(wǎng)絡(luò)拓?fù)鋱D 圖 三里屯 網(wǎng)絡(luò)拓?fù)鋱D 12 Packet Tracer 拓?fù)鋱D 使用 CISCO Packet Tracer 模擬校園拓?fù)?。拓?fù)浣Y(jié)構(gòu)如圖 所示 ： 圖 packet tracer 模擬拓?fù)鋱D IP 地址方案和 VLAN 劃分 三個 區(qū)使用一個 。其中每一棟教學(xué)樓為一個虛擬局域網(wǎng)，每一棟宿舍樓的單層為一個虛擬局域網(wǎng)，每一棟實(shí)驗(yàn)樓的每一層也劃分為一個虛擬局域網(wǎng)，這樣能有效的控制網(wǎng)絡(luò)風(fēng)暴，提高網(wǎng)絡(luò)的安全性，也便于網(wǎng)絡(luò)監(jiān)控進(jìn)行流量管理，實(shí)現(xiàn)不同地域內(nèi)的局域網(wǎng)通信。 南校區(qū) IP 地址及 VLAN 劃分明細(xì)如表 所示 ： 表 校內(nèi) IP 地址及 VLAN 劃分表 網(wǎng)段 樓層 VLAN ID VLAN NAME 1主教樓 2文化交流中心 13 14宿舍樓 56宿舍樓 1教學(xué)樓 2教學(xué)樓 3教學(xué)樓 4教學(xué)樓 5教學(xué)樓 6教學(xué)樓