【文章內(nèi)容簡介】 不同 VLAN 間的通信 在不同 VLAN 間不通過路由是無法通信的，在 VLAN 內(nèi)的通信，必須在數(shù)據(jù)幀頭中指定通信目標的 MAC 地址，而為了獲取 MAC 地址 ， TCP/IP 協(xié)議下使用的是 ARP，ARP 解析 MAC 地址的方法，則是通過廣播，也就是說，如果廣播報文無法到達，那 第 7 頁 么就無從解析 MAC 地址，亦即無法直接通信。 計算機分屬不同的 VLAN，也主意味著分屬不同的廣播域，自然收不到彼此的廣播報文，因此，屬于不同 VLAN 的計算機之間無法直接互相通信，為了能夠在 VLAN間通信，需要利用 OSI 參照模型中更高一層 網(wǎng)絡(luò)層的信息（ IP 地址）來進行路由。 因此，在 VLAN 間需要通信的時候，可以利用 VLAN 間路由技術(shù)來實現(xiàn)，如下圖圖 23 VLAN 間路由 所示： 圖 23 VLAN間路由 ? VTP 協(xié)議 當網(wǎng)絡(luò)管理人員需要管理的交換機數(shù)量眾多時，可以使用 VLAN 中繼協(xié)議（ Vlan Trunking Protocol， VTP）簡化管理，它只需 在單獨一臺交換機上定義所有 VLAN，然后通過 VTP 協(xié)議將 VLAN 定義傳播到本征管理域中的所有交換機上，這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負擔和工作強度。 VTP（ Vlan Trunking Protocol）：是 VLAN 中繼協(xié)議，也被稱為虛擬局域網(wǎng)干道協(xié)議。 它是一個 OSI 參考模型第二層的通信協(xié)議，主要用于管理在同一個域的網(wǎng)絡(luò)范 圍內(nèi) VLANs 的建立、刪除和重命名，在一臺 VTP Server 上配置一個新的 VLAN 時，該VLAN 的配置信息將自動傳播到本域內(nèi)的其他所有交換機，這些交換機會自動地接收這些配置信息，使其 VLAN 的配置與 VTP Server 保持一致，從而減少在釣魚臺設(shè)備上配置同一個 VLAN 信息的工作量，而且保持了 VLAN 配置的統(tǒng)一性。 VTP 通過網(wǎng)絡(luò)（ ISL幀或 cisco 私有 DTP 幀 ） 保持 VLAN 配置統(tǒng)一性， VTP 在系統(tǒng)級管理增加、刪除，調(diào)整的 VLAN，自動地將信息向網(wǎng)絡(luò)中其它的交換機廣播，此外， VTP 減小了那些可能導(dǎo)致安全問 題的配置，使用 BTP 便于管理，只要在 VTP Server做相應(yīng)設(shè)備， VTP Client 會自動學習 VTP Server 上的 VLAN 信息。 VTP 有三種工作模式： VTP Server、 VTP Client 和 VTP Transparent，如下圖所示，一般，一個 VTP 域內(nèi)的整個網(wǎng)絡(luò)只設(shè)一個 VTP Server， VTP Server 維護該 VTP 域中所 第 8 頁 有 VLAN 信息列表， VTP Server 要吧建立、刪除或修改 VLAN， VTP Client 雖然也維護所有 VLAN 信息列表，但其 VLAN 的配置信息是從 VTP Server 學到的， VTP Client不能建立、刪除或修改 VLAN， VTP Transparent 相當于是 上獨立的交換機，它不參與 VTP 工作，不從 VTP Server 學習 VLAN 的配置信息，而只擁有本設(shè)備上自己維護的 VLAN 信息。 VTP Transparent 可以建立、刪除和修改本機上的 VLAN 信 息，所下圖24 VTP 模式 所示： 圖 24 VTP模式 ? STP（ Spanning Tree Protocol，生成樹協(xié)議） 企業(yè)網(wǎng)絡(luò)首要關(guān)心的就是高可用性，它在很大程度上依賴于處理業(yè)務(wù) 的多層交換網(wǎng)絡(luò)，確保高可用性的方法之一就是在整個網(wǎng)絡(luò)中提供設(shè)備、模塊和鏈路的冗余，但是，第二層的網(wǎng)絡(luò)冗余可能傳導(dǎo)致潛在的橋接環(huán)路，數(shù)據(jù)包將在設(shè)備之間無休止地循環(huán)，進而破壞網(wǎng)絡(luò)的正常工作能力。 STP 能夠識別并防止這種第二層環(huán)路， STP 使用根網(wǎng)橋、要端口和指定端口等概念建立網(wǎng)絡(luò)的無環(huán)路徑。 STP 能夠克服冗余網(wǎng)絡(luò)中透明度橋接的問題，通過采用無環(huán)路徑， STP 能夠避免和消除網(wǎng)絡(luò)中的環(huán)路， STP 可以通過判斷網(wǎng)絡(luò)中存在環(huán)路的地方并阻斷冗余鏈路，從而達到上述目的，確保到每個目標都只有一條路徑，所以永遠不會產(chǎn)生環(huán)路，如果 發(fā)生某條鏈路失效情況，那么網(wǎng)橋就會將接口從阻塞狀態(tài)過渡到轉(zhuǎn)發(fā)狀態(tài)。 園區(qū)網(wǎng)內(nèi)部部署方式 為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進行的，園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次：接入層、分布層、核心層。接入層為所有的終端用戶提供一個接入點；分布層除了將接入層交換機進行匯集外，還為整個交換網(wǎng)絡(luò)提供 VLAN 間的路由選擇功能；核心層將各分布層交換機互連 第 9 頁 起來進行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。 遠程訪問技術(shù) 遠程訪問也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一，它可以為家庭辦公用戶和出差在外的員工 提供移動接入服務(wù)，下面對各種遠程接入方式進行比較： ? 各種遠程接入方式的比較 1） 遠程撥號 采用遠程撥號方式，必須申請電話線，用戶多時，需申請中繼電話線，而且需要Modem Pool 將模擬信號轉(zhuǎn)換成數(shù)字信號，撥號訪問服務(wù)器將串行數(shù)據(jù)轉(zhuǎn)換為網(wǎng)絡(luò)上傳輸?shù)?IP 數(shù)據(jù)包，同時多數(shù)企業(yè)較難接入設(shè)備提供理想的工作環(huán)境，不能確保信息傳輸?shù)馁|(zhì)量和安全。 2）、租用專用線路 在過去的數(shù)十年間，許多企業(yè)花費大量資金租用專用線路，將其主要分支機構(gòu)連接起來組成該企業(yè)的私有通信網(wǎng)絡(luò)，以達到信息在企業(yè)內(nèi)部的快速溝通和共享，這樣企業(yè)在獲得高效率 的同時，也為租用專用線路付出了較高的成本。 3）、 VPN 遠程接入 VPN（ Virtual Private Network）即虛擬專用網(wǎng)是在公共網(wǎng)絡(luò)上建立的專用網(wǎng)絡(luò)，但其任意 2 個結(jié)點間的連接并沒有傳統(tǒng)專用網(wǎng)絡(luò)所需的點到點的物理鏈路，而是架構(gòu)在公共網(wǎng)絡(luò)（ Inter）服務(wù)商（ ISP）所提供網(wǎng)絡(luò)平臺上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)通過 ISP在公共網(wǎng)絡(luò)中建立的邏輯隧道（ Tunnel），即點到點的虛擬專線進行傳輸，通過加密技術(shù)和認證技術(shù)，確保企業(yè)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)在公共網(wǎng)絡(luò)上安全傳輸，真正實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的專有性。 VPN 遠程接入方式 最適用于企業(yè)經(jīng)常有人員出差需實現(xiàn)遠程辦公的情況，出差員工利用當?shù)?ISP 提供的上網(wǎng)服務(wù)，即可與企業(yè) VPN 網(wǎng)關(guān)建立私有隧道連接。 VPN 遠程接入方式有以下主要優(yōu)勢： 簡化網(wǎng)絡(luò) ： 只需要接入 1 臺 VPN 網(wǎng)關(guān)設(shè)備，即可解決幾十到幾千人的遠程接入問題。 節(jié)省費用：利用本地撥號接入取代遠距離接入或 800 電話接入，顯著降低長途通信費用，減少了用于購置調(diào)制解調(diào)器和終端服務(wù)設(shè)備的費用。 支持多種標準認證機制如 LDAP、 RADIUS 等。 多接接入方式：無論用戶采用那種方式訪問互聯(lián)網(wǎng)，均可建立 VPN 連接； 自由選擇規(guī)模：無論 企業(yè)大小 ， VPN 都有相對應(yīng)的產(chǎn)品，用戶數(shù)可為 5~5000 個； 具有高可用性：對于接入用戶較多的企業(yè)， VPN 支持遠程接入的高可用模式，保障用戶服務(wù)的連貫性。 ? Easy VPN 方式 Easy VPN 是 CISCO 的一種特征 ,它允許使用 CISCO VPN 客戶端軟件一類實施IPSec 遠程訪問設(shè)備。 第 10 頁 由于可以使用 CISCO 路由器或者 PIX 來配置 Easy VPN 服務(wù)器，而不需要另外增加其他設(shè)備，對于已經(jīng)擁有一臺大容量的邊緣路由，而且僅需要少量的遠程訪問用戶的企業(yè)來說，這無疑在保證了遠程訪問的高安全性的前提下，可以在成本控制上有更大的優(yōu)勢。 這也是本設(shè)計方案所采用它作為遠程訪問方式的原因。 熱備份路由協(xié)議（ HSRP） 隨著 Inter 的日益普及，人們對網(wǎng)絡(luò)的依賴性也越來越強，這同時對網(wǎng)絡(luò)的穩(wěn)定性提出了更高的要求，人們自然想到了基于設(shè)備的備份結(jié)構(gòu)，就像在服務(wù)器中為提高數(shù)據(jù)的安全性而采用雙硬盤結(jié)構(gòu)一樣，路由器是整個網(wǎng)絡(luò)的核心和心臟，如果路由器發(fā)生致命性的故障，將導(dǎo)致本地網(wǎng)絡(luò)的癱瘓，如果是骨干路由器，影響的范圍將更大，所造成的損失也是難以估計的，因此，對路由器采用熱備份是提高網(wǎng)絡(luò)可靠性的必然選擇，在一個路由器完全不能工作的情況下，它的 全部功能便被系統(tǒng)中的另一個備份路由器完全接管，直至出現(xiàn)問題的路由器恢復(fù)正常，這就是熱備份路由協(xié)議（ Hot Standby Router Protocal）， HSRP RFC2281 技術(shù)要解決的問題，如下圖 25 HSRP 熱備一 所示： 圖 25 HSRP熱備一 熱備份路由器協(xié)議（ HSRP）是思科私有的協(xié)議，它的設(shè)計目標是支持特定情況下 IP流量失敗轉(zhuǎn)移不會引起混亂、并允許主機使用單路由器，以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性，負責轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動路由器（ Active Router）。一旦主動路由器出現(xiàn)故障， HSRP 將激活備份路由器（ Standby Routers）取代主動路由器， HSRP 協(xié)議提供了一種決定使用主動路由器還是備份路由器的機制，并指定一個虛擬的 IP 地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。 如果主動路由器出現(xiàn)故障，備份路由器（ Standby Routers）承接主動路由器的所有任務(wù)，并且不會導(dǎo)致主 機連通中斷現(xiàn)象，如下圖 26 HSRP 熱備二 所示： 第 11 頁 圖 26 HSRP熱備 二 HSRP 運行在 UDP 上，采用端口號 1985，路由器轉(zhuǎn)發(fā)協(xié)議數(shù)據(jù)包的源地址使用的是實際 IP 地址，而并非虛擬地址，正是基于這一點， HSRP 路由器間能相互識別。 現(xiàn)思科公司的第三層交換機也支持該協(xié)議， HSRP 根據(jù)對兩互備份路由器或交換機的優(yōu)先級設(shè)定，將其中一臺設(shè)備置為活動狀態(tài)，而另一臺設(shè)備置為備用狀態(tài)，當主設(shè)備發(fā)生故障時備用設(shè)備能立即啟用，這就是所謂“熱備”的含義，對網(wǎng)絡(luò)中正常工作的用戶而言，這一切都是透明不可見的，從而保證了網(wǎng)絡(luò)的正常運行。 本章小結(jié) 本章介紹了 Cisco 對中小型企業(yè)的架構(gòu)、對中小型企業(yè)復(fù)合網(wǎng)絡(luò)模型建設(shè)；還介紹了當今組建中小型企業(yè)園區(qū)網(wǎng)絡(luò)的主要技術(shù)，包括了路由技術(shù)、交換技術(shù)、 VLAN 技術(shù)、遠程訪問技術(shù)及冗余熱備份技術(shù)等，這些都是在組建一個高可用性企業(yè)網(wǎng)絡(luò)中必須涉及的相關(guān)技術(shù)。 第 12 頁 3 中小 企業(yè)網(wǎng)絡(luò)的建設(shè)目標 建設(shè)目標 企業(yè) 建設(shè)一個以辦公 自動化 、計算機輔助 生產(chǎn) 、 控制 及管理 為核心 ，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進、擴展性強、能覆蓋 企業(yè) 各 樓宇的 企業(yè) 主干網(wǎng)絡(luò)，將 企業(yè) 的各種 PC 機、工作站、終端設(shè)備和局域網(wǎng)連接起來，并與有關(guān)廣域網(wǎng)相連，在網(wǎng)上宣傳自己和獲取 Inter網(wǎng)上的 信息 資源。形成結(jié)構(gòu)合理、內(nèi)外溝通的 企業(yè) 計算機網(wǎng)絡(luò) 系統(tǒng)，在此基礎(chǔ)上建立能滿足 生產(chǎn) 、 研 發(fā) 和管理工作需要的軟硬件環(huán)境，開發(fā)各類信息庫和應(yīng)用系統(tǒng)，為 企業(yè) 各類 需求 提供充分的網(wǎng)絡(luò)信息服務(wù) 。 即 總體目標是利用先進的計算機技術(shù)和網(wǎng)絡(luò)通信技術(shù) ， 建設(shè)高質(zhì)量、高效率的統(tǒng)一的通信網(wǎng)絡(luò)。 其具體目標如下： 1). 通過建設(shè)一個高速、安全、可靠、可擴充的網(wǎng)絡(luò)系統(tǒng)，使各系統(tǒng)互聯(lián)互通，實現(xiàn)企業(yè)信息的高度 共享、傳遞 及 管理信息化， 各領(lǐng)導(dǎo)能及時、全面、準確地掌握企業(yè)的研 發(fā) 、生產(chǎn)、管理、財務(wù)、人事等各方面情況； 2). 建立出口信道，實現(xiàn) 企業(yè) 與 Inter 互聯(lián)， 同時部署企業(yè)各種應(yīng)用服務(wù)器（郵件、文件、網(wǎng)站及各系統(tǒng)服務(wù)器等），實現(xiàn)企業(yè)信息的發(fā)布，提供各領(lǐng)導(dǎo)和企業(yè)員工的移動撥號接入 ，進行移動 辦公和資料查詢； 3). 企業(yè)的各通交流， 用電子信息的傳遞取代紙面文件、資料的傳送，實現(xiàn)無紙辦公，改變傳統(tǒng)的工作方式，進一步提高工作效率； 4). 利用各種業(yè) 務(wù)信息的綜合分析，為各級領(lǐng)導(dǎo)提供決策支持，更好地組織生產(chǎn)和經(jīng)營。 設(shè)計原則 企業(yè)園區(qū) 網(wǎng)可能包含 大量的信息點，并 會 涉及大量的業(yè)務(wù) 應(yīng)用 ，這就要求 企業(yè) 網(wǎng)必須是一個實用的、高可靠、高效率、高擴展性及高 安全 性 系統(tǒng) 。為使 企業(yè) 園網(wǎng)絡(luò)系統(tǒng)具有良好的擴展性和靈活的接入能力，并易于管理，易于維護，在網(wǎng)絡(luò)設(shè)計及構(gòu)建中始終應(yīng)遵循統(tǒng)一標準、 統(tǒng)一平臺及網(wǎng)絡(luò)分層的原則， 主要包括如下原則： 1). 在網(wǎng)絡(luò)規(guī)劃方面， 統(tǒng)一采用 IP 技術(shù)，統(tǒng)一規(guī)劃 IP 地址 及各種應(yīng)用，采用開放的技術(shù)及國際標準，如 路由協(xié)議 、安全標準、接入標準和 網(wǎng)絡(luò)管理 平臺等，才能保證實現(xiàn)網(wǎng)絡(luò)的統(tǒng)一，并確保網(wǎng)絡(luò)的可擴展性 ，同時 為了減少網(wǎng)絡(luò)中各部分的相關(guān)性，便于網(wǎng)絡(luò)的實施及管理，在網(wǎng)絡(luò)的構(gòu)建中，從整體上可以將網(wǎng)絡(luò)劃分為核心層、匯聚層和接入層等 3 個層次 ； 2). 在軟硬件選擇方面，所有 選擇的 軟 、 硬件產(chǎn)品都必須 遵循 標準化原則，采用統(tǒng)一的軟、硬件平臺和基本應(yīng)用軟件， 以便進行統(tǒng)一的軟件版本的升級及管理； 3). 在安全方面， 所建設(shè)企業(yè)網(wǎng) 應(yīng)具有良好的安全性與保密性，根據(jù)企業(yè)的 業(yè)務(wù)應(yīng) 第 13 頁 用需求，部署合理 的 網(wǎng)絡(luò)訪問策略， 同時實現(xiàn)企業(yè)內(nèi)部敏感信息的保護，在受到攻擊時具有可追溯性； 4). 在投資 保護方面，要做到資源共享與保護，充分合理地利用現(xiàn)有的資源，最大限度地與原有系統(tǒng)或在建系統(tǒng)互聯(lián)互通，在盡可能利用已有投資的基礎(chǔ)上 ， 解決好經(jīng)費的補充和配套資金到位問題。 本章小結(jié) 本章介紹了中小型企業(yè)組建網(wǎng)絡(luò)的