【文章內(nèi)容簡介】 0240 VAC 功耗 ： 240W 外觀尺寸 ： 416 mm 機身重量 ： 圖 3 Cisco 2821 5 系統(tǒng)總體設(shè)計方案概述 系統(tǒng)組成與拓撲結(jié)構(gòu) 一般來說，在一個局域網(wǎng)中，讓全網(wǎng)的所有設(shè)備都使用同一個廠家的設(shè)備，可以實現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補充。 因此，在本設(shè)計方案中，我 們將完全采用同一家廠商的網(wǎng)絡(luò)產(chǎn)品，即 Cisco 公司的網(wǎng)絡(luò)設(shè)備來構(gòu)建，以達到實現(xiàn)網(wǎng)絡(luò)設(shè)備統(tǒng)一的目的，也便于設(shè)備間的兼容。 本 企業(yè) 網(wǎng)設(shè)計方案主要由以下 幾個 部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠程訪問模塊 、服務(wù)器群。整個 網(wǎng)絡(luò)系統(tǒng)的拓撲結(jié)構(gòu)圖如 下 圖所示 [5]。 10 I n t e r n e t6 5 0 96 5 0 96 5 0 92 9 5 0 2 9 5 02 9 5 02 9 5 02 9 5 02 9 5 02 9 5 02 9 5 02 9 5 0? ?? ? ? ?? ?? ?? ? ? ? ? ? ? ?V L A N 1 0 : F 0 / 1 2 51 7 2 . 1 6 . 1 . 0 / 2 4V L A N 2 0 : F 0 / 1 3 01 7 2 . 1 6 . 2 . 0 / 2 4V L A N 3 0 : F 0 / 1 3 51 7 2 . 1 6 . 3 . 0 / 2 4V L A N 4 0 : F 0 / 1 4 01 7 2 . 1 6 . 4 . 0 / 2 4V L A N 5 0 : F 0 / 1 4 51 7 2 . 1 6 . 5 . 0 / 2 4V L A N 6 0 : F 0 / 1 3 01 7 2 . 1 6 . 6 . 0 / 2 4V L A N 7 0 : F 0 / 1 4 01 7 2 . 1 6 . 7 . 0 / 2 4V L A N 8 0 : F 0 / 1 4 51 7 2 . 1 6 . 8 . 0 / 2 4V L A N 9 0 : F 0 / 1 4 51 7 2 . 1 6 . 9 . 0 / 2 4A c c e s s S w i t c h 1F 0 / 4 8F 0 / 4 8F 0 / 4 8F 0 / 4 8F 0 / 4 8F 0 / 4 8F 0 / 4 8F 0 / 4 8F 0 / 4 8D i s t r i b u t e S w i t c h 1F 0 / 2 2F 0 / 2 2F 0 / 2 2F 0 / 2 3 F 0 / 2 4F 0 / 2 4F 0 / 2 4F 0 / 2 3 F 0 / 2 3V L A N 1 0 0 : F 0 / 1 1 01 7 2 . 1 6 . 1 0 . 0 / 2 4服 務(wù) 器 群G 0 / 1G 0 / 1G 0 / 1G 0 / 2G 0 / 2G 0 / 2G 3 / 1G 3 / 1G 3 / 2G 3 / 2G 3 / 3G 3 / 3G 2 / 1G 2 / 2 G 2 / 2G 2 / 1C o r e S w i t c h 12 8 2 1R o u t e rS 0 / 0 : 1 9 6 . 1 . 1 . 1 / 3 0F 0 / 0 : 1 7 2 . 1 6 . 0 . 2 5 4 / 2 4P A TF 4 / 1遠 程 用 戶公 司 分 支 機 構(gòu)商 業(yè) 伙 伴V P N 圖 4 拓撲圖 VLAN 及 IP 地址劃分 在局域網(wǎng)中劃分 VLAN 的作用： 1. 限制廣播域。廣播域被限制在一個 VLAN 內(nèi)，節(jié)省了帶寬，提高了網(wǎng)絡(luò)處理能力。 2. 增強局域網(wǎng)的安全性。 不同 VLAN 內(nèi)的報文在傳輸時是相互隔離的，即一個 VLAN內(nèi)的用戶不能和其它 VLAN 內(nèi)的用戶直接通信，如果不同 VLAN 要進行通信，則需要通過路由器或三層交換機等三層設(shè)備。 3. 靈活構(gòu)建虛擬工作組。用 VLAN 可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡(luò)構(gòu)建和維護更方便靈活。 在企業(yè)網(wǎng)中實行 VLAN 的劃分，能有助于各個部門的分工 ,方便管理 ,同時便于各種針對不同部門的策略的應(yīng)用 : 該公司共有 9 個部門，分別為：財務(wù)部， 行政部，銷售部，人事部，市場部，技術(shù)部，業(yè)務(wù)部，企 劃部，后勤部。另外，服務(wù)器群也劃分一個 VLAN。 因此根據(jù)實際情況，對企業(yè)的局域網(wǎng)進行 VLAN 的劃分，具體如下表： 11 表 1 VLAN 的劃分 VLAN 編號 VLAN 名稱 IP 網(wǎng)段 子網(wǎng)掩碼 說明 VLAN1 172． 16． 0． 0 255． 255． 255． 0 管理 VLAN VLAN10 CWB 172． 16． 1． 0 255． 255． 255． 0 財務(wù)部 VLAN20 XZB 172． 16． 2． 0 255． 255． 255． 0 行政部 VLAN30 XSB 172． 16． 3． 0 255． 255． 255． 0 銷售部 VLAN40 RSB 172． 16． 4． 0 255． 255． 255． 0 人事部 VLAN50 SCB 172． 16． 5． 0 255． 255． 255． 0 市場部 VLAN60 JSB 172． 16． 6． 0 255． 255． 255． 0 技術(shù)部 VLAN70 YWB 172． 16． 7． 0 255． 255． 255． 0 業(yè)務(wù)部 VLAN80 QHB 172． 16． 8． 0 255． 255． 255． 0 企劃部 VLAN90 HQB 172． 16． 9． 0 255． 255． 255． 0 后勤部 VLAN100 FWQ 172． 16． 10． 0 255． 255． 255． 0 服務(wù)器群 6 交換模塊 本企業(yè)網(wǎng)的設(shè)計方案是一個分層的設(shè)計方案，采用三層設(shè)計模型。因而，在本企業(yè)網(wǎng)的內(nèi)部數(shù)據(jù)交換模塊的部署配制上是分層進行的，這樣設(shè)計可以簡化本企業(yè)網(wǎng)中的交換網(wǎng)絡(luò)設(shè)計 、提高交換網(wǎng)絡(luò)的可擴展性。企業(yè)網(wǎng)的數(shù)據(jù)交換設(shè)備我們將它劃分為三層， 分別是： 接入 層、分布層、核心層。 在現(xiàn)代交換網(wǎng)絡(luò)中，我們還引入了虛擬局域網(wǎng)（ Virtual LAN,VLAN）的概念。 VLAN技術(shù)的出現(xiàn)，主要為了解決交換機在進行局域網(wǎng)互連時無法限制廣播的 問題。這種技術(shù)可以把一個 LAN 劃分成多個邏輯的 LAN—— VLAN，每個 VLAN 是一個廣播域， VLAN內(nèi)的主機間通信就和在一個 LAN 內(nèi)一樣，而 VLAN 間則不能直接互通，這樣，廣播報文被限制在一個 VLAN 內(nèi)。 VLAN 的優(yōu)點： 1. 限制廣播域。廣播域被限制在一個 VLAN 內(nèi)，節(jié)省了帶寬，提高了網(wǎng)絡(luò)處理能力。 12 2. 增強局域網(wǎng)的安全性。不同 VLAN 內(nèi)的報文在傳輸時是相互隔離的，即一個VLAN內(nèi)的用戶不能和其它 VLAN 內(nèi)的用戶直接通信，如果不同 VLAN 要進行通信，則需要通過路由器或三層交換機等三層設(shè)備。 3. 靈活構(gòu)建虛擬工作組。用 VLAN 可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡(luò)構(gòu)建和維護更方便靈活。 VLAN將廣播域限制在單個 VLAN內(nèi)部，減小了各 VLAN間主機的廣播通信對其他 VLAN的影響。在 VLAN間需要通信的時候，可以利用 VLAN間路由技術(shù)來實現(xiàn)。 當我們的局域網(wǎng)中需要管理的交換機數(shù)量非常多時，我們可以使用 VLAN 中繼協(xié)議（ Vlan Trunking Protocol， VTP）簡化管理。 它是一個 OSI 參考模型第二層的通信協(xié)議，主要用于管理在同一個域的 網(wǎng)絡(luò)范圍內(nèi) VLAN 的建立、刪除和重命名。在一臺VTP Server（ VTP 服務(wù)器） 上配置一個新的 VLAN 時，該 VLAN 的配置信息將自動傳播到本域內(nèi)的其他所有交換機。這些交換機會自動地接收這些配置信息，使其 VLAN的配置與 VTP Server 保持一致，從而減少在多臺設(shè)備上配置同一個 VLAN 信息的工作量，而且保持了 VLAN 配置的統(tǒng)一性。 VTP通過網(wǎng)絡(luò) (ISL幀或 Cisco私有 DTP幀 )保持 VLAN配置統(tǒng)一性。 VTP在系統(tǒng)級管理增加，刪除，調(diào)整的 VLAN，自動地將信息向網(wǎng)絡(luò)中其它的交換機廣播。此外， VTP減小 了那些可能導致安全問題的配置。便于管理 ,只要在 VTP Server做相應(yīng)設(shè)置 ,VTP Client（ VTP客戶機） 會自動學習 VTP Server上的 VLAN信息 。 因此，在本設(shè)計中， 我們只需在單獨一臺交換機上定義所有 VLAN。然后通過 VTP協(xié)議將 VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負擔和工作強度。 當局域網(wǎng)絡(luò)的交換機數(shù)量增多、交換機間鏈路增加時，交換網(wǎng)絡(luò)的復雜性可能會造成交換環(huán)路問題，這時候我們需要通過在各交換機上運行生成樹協(xié)議（ Spanning Tree Protocol， STP）來解決。 STP可應(yīng)用于環(huán)路網(wǎng)絡(luò)，通過一定的算法實現(xiàn)路徑冗余，同時將環(huán)路網(wǎng)絡(luò)修剪成無環(huán)路的樹型網(wǎng)絡(luò)，從而避免報文在環(huán)路網(wǎng)絡(luò)中的增生和無限循環(huán)。 STP的基本原理是，通過在交換機之間傳遞一種特殊的協(xié)議報文（在 IEEE 中這種協(xié)議報文被稱為 “ 配置消息 ” ）來確定網(wǎng)絡(luò)的拓撲結(jié)構(gòu)。配置消息中包含了足夠的信息來保證交換機完成生成樹計算。 13 配置接入層 交換機 接入層 的功能 為 為企業(yè)局域網(wǎng)中的所有的終端用戶提供一個接入點。本設(shè)計中的接入層交換機采用的是 CISCO WSC2950G48EI交換機 。該交換機擁有 48個自適應(yīng)快速以太網(wǎng)端口，運行的是 Cisco的 IOS操作系統(tǒng)。這里， 我們以其中一個 接入 層交換機 AccessSwitch1為例進行介紹 它的配置。 圖 5 接入層交換機 AccessSwitch1 配置 接入 層交換機 AccessSwitch1 的基本參數(shù) 設(shè)置交換機名稱 設(shè)置交換機名稱，也就是出現(xiàn)在交換機 CLI提示符中的名字。一般以地理位置或行政劃分來為交換機命名。當需要 Tel登錄到若干臺交換機以維護一個大型網(wǎng)絡(luò)時，通過交換機名稱提示符提示自己當前配置交換機 的位置是很有必要的。 設(shè)置了交換機的名稱，可以方便網(wǎng)絡(luò)管理員管理，方便管理員很快識別所管理的交換機是哪臺交換機，該交換機的功能等等。 為 接入 層交換機 AccessSwitch1命名 ： 設(shè)置交換機的加密使能口令 當用戶在普通用戶模式而想要進入特權(quán)用戶模式時，需要提供此口令。此口令會以MD5的形式加密，因此，當用戶查看配置文件時，無法看到明文形式的口令。 從而也加強了網(wǎng)絡(luò)的安全性。 Swith(config)hostname AccessSwitch1 AccessSwitch1(config) 14 將交換機的加密使能口令設(shè)置為 password： 設(shè)置登錄虛擬終端線時的口令 對于一個已經(jīng)運行著的交換網(wǎng)絡(luò)來說，交 換機的帶內(nèi)遠程管理為網(wǎng)絡(luò)管理人員提供了很多的方便。但是，在能夠遠程管理交換機之前網(wǎng)絡(luò)管理人員必須設(shè)置遠程登錄交換機的口令 ，這樣是為了實現(xiàn)安全。 設(shè)置登錄交換機時需要驗證用戶身份，同時設(shè)置口令為 guess： 設(shè)置終端線超時時間 我們可以設(shè)置終端線超時時間。在設(shè)置的時間內(nèi)，如果沒有檢測到鍵盤輸入， IOS 將斷開用戶和交換機之間的連接 ，這樣也是為了保證網(wǎng)絡(luò)系統(tǒng)的安全。 設(shè)置登錄交換機的控制臺終端線路及虛擬終端線的超時時間為 5分 10秒 ： 設(shè)置禁用 IP地址解析特性 在交換機默認配置的情況下，當輸入一條錯誤的交換機命令時，交換機會嘗試將其廣播給網(wǎng)絡(luò)上的 DNS 服務(wù)器并將其解析成對應(yīng)的 IP地址。利用命令 no ip domainlookup?？梢越眠@個特性。 設(shè)置禁用 IP地址解析特性 : 配置 接入層 交換 機 AccessSwitch1 的 管理 IP 接入 層交換機是 OSI參考模型的第 2層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備。因此，給 接入 層交換機的每個端口設(shè)置 IP地址是沒意義的。但是，為了使網(wǎng)絡(luò)管理人員可以從遠程登錄到訪問層交換機上進行管理，必須給訪 問層交換機設(shè)置一個管理用 IP地址。這種情況下，實際上是將交換機看成和 PC機一樣的主機。 AccessSwitch1(config)line vty 0 15 AccessSwitch1(configline)exectimeout 5 10 AccessSwitch1(configline)line con 0 AccessSwitch1(configline)exectimeout 5 10 AccessSwitch1(config)enable secret password AccessSwitch1(config)line vty 0 15 AccessSwitch1(configline)logi