【文章內容簡介】 0240 VAC 功耗 ： 240W 外觀尺寸 ： 416 mm 機身重量 ： 圖 3 Cisco 2821 5 系統總體設計方案概述 系統組成與拓撲結構 一般來說，在一個局域網中，讓全網的所有設備都使用同一個廠家的設備，可以實現各種不同網絡設備功能的互相配合和補充。 因此，在本設計方案中，我 們將完全采用同一家廠商的網絡產品，即 Cisco 公司的網絡設備來構建，以達到實現網絡設備統一的目的，也便于設備間的兼容。 本 企業(yè) 網設計方案主要由以下 幾個 部分構成：交換模塊、廣域網接入模塊、遠程訪問模塊 、服務器群。整個 網絡系統的拓撲結構圖如 下 圖所示 [5]。 10 I n t e r n e t6 5 0 96 5 0 96 5 0 92 9 5 0 2 9 5 02 9 5 02 9 5 02 9 5 02 9 5 02 9 5 02 9 5 02 9 5 0? ?? ? ? ?? ?? ?? ? ? ? ? ? ? ?V L A N 1 0 : F 0 / 1 2 51 7 2 . 1 6 . 1 . 0 / 2 4V L A N 2 0 : F 0 / 1 3 01 7 2 . 1 6 . 2 . 0 / 2 4V L A N 3 0 : F 0 / 1 3 51 7 2 . 1 6 . 3 . 0 / 2 4V L A N 4 0 : F 0 / 1 4 01 7 2 . 1 6 . 4 . 0 / 2 4V L A N 5 0 : F 0 / 1 4 51 7 2 . 1 6 . 5 . 0 / 2 4V L A N 6 0 : F 0 / 1 3 01 7 2 . 1 6 . 6 . 0 / 2 4V L A N 7 0 : F 0 / 1 4 01 7 2 . 1 6 . 7 . 0 / 2 4V L A N 8 0 : F 0 / 1 4 51 7 2 . 1 6 . 8 . 0 / 2 4V L A N 9 0 : F 0 / 1 4 51 7 2 . 1 6 . 9 . 0 / 2 4A c c e s s S w i t c h 1F 0 / 4 8F 0 / 4 8F 0 / 4 8F 0 / 4 8F 0 / 4 8F 0 / 4 8F 0 / 4 8F 0 / 4 8F 0 / 4 8D i s t r i b u t e S w i t c h 1F 0 / 2 2F 0 / 2 2F 0 / 2 2F 0 / 2 3 F 0 / 2 4F 0 / 2 4F 0 / 2 4F 0 / 2 3 F 0 / 2 3V L A N 1 0 0 : F 0 / 1 1 01 7 2 . 1 6 . 1 0 . 0 / 2 4服 務 器 群G 0 / 1G 0 / 1G 0 / 1G 0 / 2G 0 / 2G 0 / 2G 3 / 1G 3 / 1G 3 / 2G 3 / 2G 3 / 3G 3 / 3G 2 / 1G 2 / 2 G 2 / 2G 2 / 1C o r e S w i t c h 12 8 2 1R o u t e rS 0 / 0 : 1 9 6 . 1 . 1 . 1 / 3 0F 0 / 0 : 1 7 2 . 1 6 . 0 . 2 5 4 / 2 4P A TF 4 / 1遠 程 用 戶公 司 分 支 機 構商 業(yè) 伙 伴V P N 圖 4 拓撲圖 VLAN 及 IP 地址劃分 在局域網中劃分 VLAN 的作用： 1. 限制廣播域。廣播域被限制在一個 VLAN 內，節(jié)省了帶寬，提高了網絡處理能力。 2. 增強局域網的安全性。 不同 VLAN 內的報文在傳輸時是相互隔離的，即一個 VLAN內的用戶不能和其它 VLAN 內的用戶直接通信，如果不同 VLAN 要進行通信，則需要通過路由器或三層交換機等三層設備。 3. 靈活構建虛擬工作組。用 VLAN 可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網絡構建和維護更方便靈活。 在企業(yè)網中實行 VLAN 的劃分，能有助于各個部門的分工 ,方便管理 ,同時便于各種針對不同部門的策略的應用 : 該公司共有 9 個部門，分別為：財務部， 行政部，銷售部，人事部，市場部，技術部，業(yè)務部，企 劃部，后勤部。另外，服務器群也劃分一個 VLAN。 因此根據實際情況，對企業(yè)的局域網進行 VLAN 的劃分，具體如下表： 11 表 1 VLAN 的劃分 VLAN 編號 VLAN 名稱 IP 網段 子網掩碼 說明 VLAN1 172． 16． 0． 0 255． 255． 255． 0 管理 VLAN VLAN10 CWB 172． 16． 1． 0 255． 255． 255． 0 財務部 VLAN20 XZB 172． 16． 2． 0 255． 255． 255． 0 行政部 VLAN30 XSB 172． 16． 3． 0 255． 255． 255． 0 銷售部 VLAN40 RSB 172． 16． 4． 0 255． 255． 255． 0 人事部 VLAN50 SCB 172． 16． 5． 0 255． 255． 255． 0 市場部 VLAN60 JSB 172． 16． 6． 0 255． 255． 255． 0 技術部 VLAN70 YWB 172． 16． 7． 0 255． 255． 255． 0 業(yè)務部 VLAN80 QHB 172． 16． 8． 0 255． 255． 255． 0 企劃部 VLAN90 HQB 172． 16． 9． 0 255． 255． 255． 0 后勤部 VLAN100 FWQ 172． 16． 10． 0 255． 255． 255． 0 服務器群 6 交換模塊 本企業(yè)網的設計方案是一個分層的設計方案，采用三層設計模型。因而，在本企業(yè)網的內部數據交換模塊的部署配制上是分層進行的，這樣設計可以簡化本企業(yè)網中的交換網絡設計 、提高交換網絡的可擴展性。企業(yè)網的數據交換設備我們將它劃分為三層， 分別是： 接入 層、分布層、核心層。 在現代交換網絡中，我們還引入了虛擬局域網（ Virtual LAN,VLAN）的概念。 VLAN技術的出現，主要為了解決交換機在進行局域網互連時無法限制廣播的 問題。這種技術可以把一個 LAN 劃分成多個邏輯的 LAN—— VLAN，每個 VLAN 是一個廣播域， VLAN內的主機間通信就和在一個 LAN 內一樣，而 VLAN 間則不能直接互通，這樣，廣播報文被限制在一個 VLAN 內。 VLAN 的優(yōu)點： 1. 限制廣播域。廣播域被限制在一個 VLAN 內，節(jié)省了帶寬，提高了網絡處理能力。 12 2. 增強局域網的安全性。不同 VLAN 內的報文在傳輸時是相互隔離的，即一個VLAN內的用戶不能和其它 VLAN 內的用戶直接通信，如果不同 VLAN 要進行通信，則需要通過路由器或三層交換機等三層設備。 3. 靈活構建虛擬工作組。用 VLAN 可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網絡構建和維護更方便靈活。 VLAN將廣播域限制在單個 VLAN內部，減小了各 VLAN間主機的廣播通信對其他 VLAN的影響。在 VLAN間需要通信的時候，可以利用 VLAN間路由技術來實現。 當我們的局域網中需要管理的交換機數量非常多時，我們可以使用 VLAN 中繼協議（ Vlan Trunking Protocol， VTP）簡化管理。 它是一個 OSI 參考模型第二層的通信協議，主要用于管理在同一個域的 網絡范圍內 VLAN 的建立、刪除和重命名。在一臺VTP Server（ VTP 服務器） 上配置一個新的 VLAN 時，該 VLAN 的配置信息將自動傳播到本域內的其他所有交換機。這些交換機會自動地接收這些配置信息，使其 VLAN的配置與 VTP Server 保持一致，從而減少在多臺設備上配置同一個 VLAN 信息的工作量，而且保持了 VLAN 配置的統一性。 VTP通過網絡 (ISL幀或 Cisco私有 DTP幀 )保持 VLAN配置統一性。 VTP在系統級管理增加，刪除，調整的 VLAN，自動地將信息向網絡中其它的交換機廣播。此外， VTP減小 了那些可能導致安全問題的配置。便于管理 ,只要在 VTP Server做相應設置 ,VTP Client（ VTP客戶機） 會自動學習 VTP Server上的 VLAN信息 。 因此，在本設計中， 我們只需在單獨一臺交換機上定義所有 VLAN。然后通過 VTP協議將 VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網絡管理人員的工作負擔和工作強度。 當局域網絡的交換機數量增多、交換機間鏈路增加時，交換網絡的復雜性可能會造成交換環(huán)路問題，這時候我們需要通過在各交換機上運行生成樹協議（ Spanning Tree Protocol， STP）來解決。 STP可應用于環(huán)路網絡，通過一定的算法實現路徑冗余，同時將環(huán)路網絡修剪成無環(huán)路的樹型網絡，從而避免報文在環(huán)路網絡中的增生和無限循環(huán)。 STP的基本原理是，通過在交換機之間傳遞一種特殊的協議報文（在 IEEE 中這種協議報文被稱為 “ 配置消息 ” ）來確定網絡的拓撲結構。配置消息中包含了足夠的信息來保證交換機完成生成樹計算。 13 配置接入層 交換機 接入層 的功能 為 為企業(yè)局域網中的所有的終端用戶提供一個接入點。本設計中的接入層交換機采用的是 CISCO WSC2950G48EI交換機 。該交換機擁有 48個自適應快速以太網端口，運行的是 Cisco的 IOS操作系統。這里， 我們以其中一個 接入 層交換機 AccessSwitch1為例進行介紹 它的配置。 圖 5 接入層交換機 AccessSwitch1 配置 接入 層交換機 AccessSwitch1 的基本參數 設置交換機名稱 設置交換機名稱，也就是出現在交換機 CLI提示符中的名字。一般以地理位置或行政劃分來為交換機命名。當需要 Tel登錄到若干臺交換機以維護一個大型網絡時，通過交換機名稱提示符提示自己當前配置交換機 的位置是很有必要的。 設置了交換機的名稱，可以方便網絡管理員管理，方便管理員很快識別所管理的交換機是哪臺交換機，該交換機的功能等等。 為 接入 層交換機 AccessSwitch1命名 ： 設置交換機的加密使能口令 當用戶在普通用戶模式而想要進入特權用戶模式時，需要提供此口令。此口令會以MD5的形式加密，因此，當用戶查看配置文件時，無法看到明文形式的口令。 從而也加強了網絡的安全性。 Swith(config)hostname AccessSwitch1 AccessSwitch1(config) 14 將交換機的加密使能口令設置為 password： 設置登錄虛擬終端線時的口令 對于一個已經運行著的交換網絡來說，交 換機的帶內遠程管理為網絡管理人員提供了很多的方便。但是，在能夠遠程管理交換機之前網絡管理人員必須設置遠程登錄交換機的口令 ，這樣是為了實現安全。 設置登錄交換機時需要驗證用戶身份，同時設置口令為 guess： 設置終端線超時時間 我們可以設置終端線超時時間。在設置的時間內，如果沒有檢測到鍵盤輸入， IOS 將斷開用戶和交換機之間的連接 ，這樣也是為了保證網絡系統的安全。 設置登錄交換機的控制臺終端線路及虛擬終端線的超時時間為 5分 10秒 ： 設置禁用 IP地址解析特性 在交換機默認配置的情況下，當輸入一條錯誤的交換機命令時，交換機會嘗試將其廣播給網絡上的 DNS 服務器并將其解析成對應的 IP地址。利用命令 no ip domainlookup?？梢越眠@個特性。 設置禁用 IP地址解析特性 : 配置 接入層 交換 機 AccessSwitch1 的 管理 IP 接入 層交換機是 OSI參考模型的第 2層設備，即數據鏈路層的設備。因此，給 接入 層交換機的每個端口設置 IP地址是沒意義的。但是，為了使網絡管理人員可以從遠程登錄到訪問層交換機上進行管理，必須給訪 問層交換機設置一個管理用 IP地址。這種情況下，實際上是將交換機看成和 PC機一樣的主機。 AccessSwitch1(config)line vty 0 15 AccessSwitch1(configline)exectimeout 5 10 AccessSwitch1(configline)line con 0 AccessSwitch1(configline)exectimeout 5 10 AccessSwitch1(config)enable secret password AccessSwitch1(config)line vty 0 15 AccessSwitch1(configline)logi