【正文】 s t 2 9 5 0C i s c o C a t a l y s t 3 6 4 0C i s c o C a t a l y s t 2 9 5 0 E t h C h a n n e l i n t e r n e t 圖 1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖 虛擬局域網(wǎng)（vlan）設(shè)計(jì)方案劃分虛擬局域網(wǎng)是整個(gè)網(wǎng)絡(luò)系統(tǒng)的重要技術(shù)之一。通過(guò)劃分虛擬局域網(wǎng)，隔離不同部門(mén)，可以增強(qiáng)企業(yè)網(wǎng)絡(luò)安全性，以下詳細(xì)論述了虛擬局域網(wǎng)的技術(shù)及在網(wǎng)絡(luò)系統(tǒng)中的必要性和設(shè)計(jì)方案。另一方面，接入網(wǎng)需要保障用戶(hù)數(shù)據(jù)（單播地址的幀）的安全性，隔離攜帶有用戶(hù)信息的廣播消息（如 ARP、DHCP 消息等） ，防止關(guān)鍵設(shè)備受到攻擊。如果不隔離這些廣播消息而讓其他用戶(hù)接收到，容易發(fā)生 MAC/IP 地址仿冒，影響設(shè)備的正常運(yùn)行，中斷合法用戶(hù)的通信過(guò)程。使用路由器時(shí)可以將網(wǎng)絡(luò)劃分多個(gè)物理網(wǎng)段，這些物理網(wǎng)段可以連接到路由器的多個(gè)端口，多個(gè)物理網(wǎng)段間通過(guò)路由器進(jìn)行通信，但是路由器的端口價(jià)格遠(yuǎn)遠(yuǎn)高出交換機(jī)的端口價(jià)格，所以這種方式將增加設(shè)備投資，在物理網(wǎng)段增多時(shí)就更為嚴(yán)重，而且只有使用高端設(shè)備才能滿(mǎn)足高端口密度的要求，所以不推薦這種方式。通過(guò)在一個(gè)物理網(wǎng)段上劃分出多個(gè)邏輯網(wǎng)段，由每一個(gè)邏輯網(wǎng)段構(gòu)成一個(gè) VLAN，其內(nèi)部采用交換機(jī)連接，所有的廣播信息只限制在本 VLAN 內(nèi)，而之間的連接則采用路由實(shí)現(xiàn)，具體實(shí)施時(shí)可以外加路由器，或者直接使用第三層交換設(shè)備。 VLAN 方案設(shè)計(jì)目前，VLAN 技術(shù)可以使用以下方式組建：基于交換機(jī)端口的 VLAN、基于MAC 地址的 VLAN 和基于應(yīng)用協(xié)議的 VLAN：基于端口的 VLAN，即靜態(tài) VLAN，特點(diǎn)是技術(shù)簡(jiǎn)單，容易配置且維護(hù)工作量小，缺點(diǎn)是終端設(shè)備移動(dòng)時(shí)需要更改設(shè)備配置。由于交換機(jī)為二層設(shè)備，所以基于應(yīng)用協(xié)議的 VLAN 對(duì)于交換機(jī)來(lái)說(shuō)沒(méi)有任何意義，反而會(huì)造成交換機(jī)性能的下降。VLAN 規(guī)劃參照?qǐng)D 2，各個(gè) VLAN 間由 ACL 控制，限制互訪。 C o r e S w 1s w 1C o r e S w 2s w 2s w 3I N T E R N E TP I X 防 火 墻v l a n 1 0v l a n 2 0v l a n 3 02 0 1 . 1 . 1 4 . 4 / 3 01 9 2 . 1 6 8 . 1 0 . 0 / 2 41 9 2 . 1 6 8 . 2 0 . 0 / 2 41 9 2 . 1 6 8 . 3 0 . 0 / 2 41 9 2 . 1 6 8 . 4 0 . 0 / 2 41 9 2 . 1 6 8 . 5 . 0 / 3 01 9 2 . 1 6 8 . 5 . 4 / 3 01 9 2 . 1 6 8 . 5 . 8 / 3 0R o u t e r 11 9 2 . 1 6 8 . 5 1 . 0 / 2 4O S P F B a c k b o n e 0R o u t e r 2F i l e S e r v e r 網(wǎng) 管 中 心S w 41 9 2 . 1 6 8 . 4 5 . 4 / 2 41 9 2 . 1 6 8 . 4 5 . 5 / 2 4v l a n 1 11 9 2 . 1 6 8 . 1 1 . 0 / 2 4v l a n 2 11 9 2 . 1 6 8 . 2 1 . 0 / 2 4v l a n 3 11 9 2 . 1 6 8 . 3 1 . 0 / 2 4V l a n 5 21 9 2 . 1 6 8 . 5 2 . 0 / 2 4V l a n 5 1圖 2 Vlan 及 IP 地址規(guī)劃圖 第三層交換技術(shù)設(shè)計(jì)方案顧名思義，第三層交換器就是將第二層的交換器與第三層的路由器合二為一，使路由器根據(jù)第二層的地址轉(zhuǎn)發(fā)數(shù)據(jù)包以達(dá)到快速通訊，這就形成了第三層交換器。使用第二層交換器使網(wǎng)絡(luò)速度提升，可是在網(wǎng)絡(luò)中使用過(guò)多的交換器，所有交換器所架構(gòu)的網(wǎng)絡(luò)可能會(huì)形成廣播風(fēng)暴，所以需要路由器來(lái)隔離可能會(huì)形成的廣播風(fēng)暴，為了使路由器不會(huì)形成網(wǎng)絡(luò)的瓶頸，就形成了第三層交換。所有核心層交換機(jī)均為三層交換，手動(dòng)打開(kāi) ip routing。傳統(tǒng)的點(diǎn)對(duì)點(diǎn)單播通信，在發(fā)送方和每一接收方需要單獨(dú)的數(shù)據(jù)通道。IP 信息包中的目標(biāo)地址就是 IP 網(wǎng)絡(luò)中惟一的主機(jī)地址。在源主機(jī)和目標(biāo)主機(jī)之間的路徑上的每一個(gè)路由器都維護(hù)由單播路由協(xié)議生成的單播路由信息庫(kù)，并根據(jù)數(shù)據(jù)包中的 IP 目標(biāo)地址在單播路由信息庫(kù)中查找單播包轉(zhuǎn)發(fā)路徑。在單播方式下，如果有另外的多個(gè)用戶(hù)希望同時(shí)獲得這個(gè)數(shù)據(jù)包的拷貝是不可能的。這種巨大的冗余會(huì)帶來(lái)很大的代價(jià)，首先，會(huì)給發(fā)送數(shù)據(jù)的源主機(jī)帶來(lái)沉重的負(fù)擔(dān)，因?yàn)樗仨殞?duì)每個(gè)要求都做出響應(yīng)，這使得負(fù)擔(dān)過(guò)于沉重主機(jī)的響應(yīng)會(huì)大大延長(zhǎng)。 組播路由與 IP 單播路由有一個(gè)本質(zhì)的區(qū)別就是， IP 單播路由是根據(jù)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)而不是實(shí)際的會(huì)話來(lái)建立路徑，而 IP 組播路由則是根據(jù)網(wǎng)絡(luò)的會(huì)話來(lái)動(dòng)態(tài)地建立投遞路徑；因此，IP 組播路由比 IP 單播路由更具有動(dòng)態(tài)性。稠密分布模型假定組播成員在網(wǎng)絡(luò)中稠密分布，并且它們之間的網(wǎng)絡(luò)帶寬資源往往隨時(shí)可用；而稀疏分布模型假定組播成員在網(wǎng)絡(luò)中稀疏分布，而且它們之間帶寬資源往往比較緊張。而組播傳送則只把發(fā)送數(shù)據(jù)的一個(gè)拷貝發(fā)送到多個(gè)接收者，主機(jī)發(fā)送數(shù)據(jù)的一個(gè)拷貝，可同時(shí)發(fā)送到多個(gè)接收者。關(guān)于組播路由設(shè)計(jì)，在企業(yè)網(wǎng)絡(luò)核心交換機(jī)和匯聚交換機(jī)上運(yùn)行 PIMDM 組播協(xié)議對(duì)業(yè)務(wù)及服務(wù)進(jìn)行支持，并提供優(yōu)秀的可擴(kuò)展性；在邊緣交換機(jī)上運(yùn)行 IGMP Snooping 組播管理協(xié)議對(duì)業(yè)務(wù)及服務(wù)進(jìn)行支持。對(duì)于組播業(yè)務(wù)的具體實(shí)施及管理需根據(jù)不同的業(yè)務(wù)類(lèi)型及廠家提供設(shè)備的特點(diǎn)具體進(jìn)行分析。PIMSM 采用樹(shù)形投遞結(jié)構(gòu)，被設(shè)計(jì)成限制組播報(bào)文只發(fā)給那些希望接收它的路由器，PIMSM 圍繞一個(gè)稱(chēng)為匯聚點(diǎn)(RP ，Rendezvous Point)的路由器來(lái)設(shè)計(jì)組廣播投遞樹(shù)；RP 在 PIMSM 中充當(dāng)廣播樹(shù)的樹(shù)根，所有報(bào)文首先被封裝后從發(fā)送者采用單播的方式送往 RP，然后由 RP 解封后送往所有接收者。采用 PIM Version2 作為組播路由協(xié)議。按照規(guī)劃，選擇核心節(jié)點(diǎn)作為整個(gè)企業(yè)網(wǎng)絡(luò)組播系統(tǒng)的 RP 點(diǎn)，來(lái)對(duì)整個(gè)企業(yè)網(wǎng)絡(luò)的組播進(jìn)行控制。ACL 適用于所有的被路由協(xié)議，如 IP、IPX、AppleTalk 等。如果路由器接口配置成為支持三種協(xié)議（IP、 AppleTalk 以及 IPX）的情況，那么，用戶(hù)必須定義三種 ACL 來(lái)分別控制這三種協(xié)議的數(shù)據(jù)包。在正常的操作模式下，自反訪問(wèn)表被配置并用于從路由器的不可信方，例如連接到 I n t e r n e t 的串行端口，創(chuàng)建開(kāi)啟表項(xiàng)。在該過(guò)程中，訪問(wèn)表執(zhí)行的動(dòng)作稱(chēng)為自反向過(guò)濾（ reflexive filtering） 。在 I O S 版本 11 . 3中引入了自反訪問(wèn)表，并且它可用在所有的路由器平臺(tái)上。路由組織應(yīng)根據(jù)網(wǎng)絡(luò)對(duì)路由信息的需求，設(shè)計(jì)網(wǎng)絡(luò)中路由信息的分布。 IP 地址規(guī)劃方案IP 地址是整個(gè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的基石，IP 地址規(guī)劃不僅應(yīng)該滿(mǎn)足當(dāng)前的需求，還應(yīng)該充分的考慮系統(tǒng)將來(lái)的擴(kuò)展性，以滿(mǎn)足將來(lái)發(fā)展的需要。地址分配具有層次性和連續(xù)性，便于管理，即在 IP 地址規(guī)劃時(shí)應(yīng)該充分的考慮利用路由匯總技術(shù)，減少路由波動(dòng)，使得各局部的變動(dòng)不影響整個(gè)網(wǎng)絡(luò)的其它部分，增加網(wǎng)絡(luò)的穩(wěn)定性，同時(shí)由于路由匯總技術(shù)能夠縮減路由表項(xiàng)數(shù)，所以還能夠提高路由器的處理效率。在劃分這些網(wǎng)段時(shí)，需要東華理工大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 局域網(wǎng)設(shè)計(jì)方案19注意所有單位應(yīng)該統(tǒng)一規(guī)劃，以使地址分段全網(wǎng)統(tǒng)一，便于維護(hù)，其 IP 地址詳細(xì)規(guī)劃如表 1：表 1 IP 地址規(guī)劃表設(shè)備名 接口 地址 說(shuō)明PC1 F0/0 PC11 F0/0 PC2 F0/0 PC21 F0/0 PC3 F0/0 PC31 F0/0 File F0/0 Admin F0/0 Core SW1e0/ 　 e0/ 　 e0/ 　 e0/ 　 e0/ 　 e0/ 　 f1/0 Core SW2e0/ 　 e0/ 　 e0/ 　 e0/ 　 e0/ 　 e0/ 　 f1/0 PIX f0/0 　 f1/0 　 f3/ 　 f3/ 　 s2/0 Router 1s2/0 　 s2/1 　 s2/2 Router 2s2/1 　 f0/0 Cloud s1/0 東華理工大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 局域網(wǎng)設(shè)計(jì)方案20 路由協(xié)議的選擇路由器上指明去另一點(diǎn)需要走的具體路徑。靜態(tài)路由方式適用于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)確定并且結(jié)構(gòu)簡(jiǎn)單，IP 地址規(guī)劃完善，網(wǎng)絡(luò)規(guī)模較小的場(chǎng)合。在動(dòng)態(tài)路由中比較常用的協(xié)議有以下幾種：路由信息協(xié)議(RIP) 、增強(qiáng)內(nèi)部網(wǎng)關(guān)路由協(xié)議(EIGRP)和開(kāi)放式最短路徑優(yōu)先(OSPF) 。因此，在整個(gè)企業(yè)網(wǎng)絡(luò)中建議使用適合大型網(wǎng)絡(luò)運(yùn)行的內(nèi)部網(wǎng)關(guān)協(xié)議：OSPF，OSPF 由于其快速的收斂速度，較低的帶寬開(kāi)銷(xiāo)和極大的應(yīng)用普遍性成為大型網(wǎng)絡(luò) IGP 的不二選擇，目前中國(guó)公眾多媒體網(wǎng)骨干網(wǎng)部分所運(yùn)行的協(xié)議就是OSPF，而且 China（163 ）電信寬帶網(wǎng)也大都運(yùn)行 OSPF 路由協(xié)議。在同一時(shí)期，RIP 協(xié)議已成為最主要的協(xié)議，但它隨著網(wǎng)絡(luò)規(guī)模的增長(zhǎng)，已逐漸暴露出一些問(wèn)題。OSPF 協(xié)議的發(fā)展借鑒了許多其他路由選擇協(xié)議的思想：包括最初的 ARPANET鏈路的狀態(tài)協(xié)議和 OSI 協(xié)議。這在實(shí)現(xiàn)上更容易一些，但發(fā)生協(xié)議變動(dòng)時(shí)，可能會(huì)改變拓?fù)浣Y(jié)構(gòu)。該圖中的元素包含在路由器的“鏈路狀態(tài)數(shù)據(jù)庫(kù)”中，庫(kù)中包含一個(gè)詳盡的且易于了解的關(guān)于給定的鏈路狀態(tài)路由域所有鏈路的列表。鏈路狀態(tài)路由域或區(qū)域中的每一個(gè)路由器，其鏈路狀態(tài)數(shù)據(jù)庫(kù)的內(nèi)容都是一致的。目前，雖然距離向量算法已經(jīng)有了一定的改進(jìn)，如 EIGRP 的 DUAL 算法。部分原因是鏈路狀態(tài)算法本身從根本上改善了路由性能，而且比起 EIGRP 來(lái)，OSPF 提供了更多更靈活的路由控制策略，方便復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)的用戶(hù)實(shí)施路由規(guī)劃?？偟膩?lái)說(shuō) OSPF 路由協(xié)議具有以下優(yōu)點(diǎn)：節(jié)省網(wǎng)絡(luò)帶寬：OSPF 屬于鏈路狀態(tài)協(xié)議，只有當(dāng)網(wǎng)絡(luò)連接狀態(tài)發(fā)生變化時(shí)才彼此更新變化了的拓?fù)湫畔?，而并非整個(gè)網(wǎng)絡(luò)的 LSDB，從而大大節(jié)省了網(wǎng)絡(luò)帶寬，這對(duì)于大型的廣域網(wǎng)來(lái)說(shuō)很重要。支持層次化的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)：網(wǎng)絡(luò)設(shè)計(jì)人員可以把一個(gè)大型 OSPF 網(wǎng)絡(luò)分成若干域(Area)，其中一個(gè)是主干域(Backbone Area, Area ID )，其它非主干域均與主干域相連，并通過(guò)主干域交換 LSDB。支持路由總結(jié)(Route Summary)：OSPF ABR（連接多個(gè)區(qū)域的設(shè)備）具有路由總結(jié)的功能，如果連續(xù)地分配 IP 地址空間，則 ABR 僅向主干域廣播總結(jié)后的路由信息，抑制那些具體的路由信息的廣播，從而大大減小了其它域中路由器 LSDB 及路由表的大小。沒(méi)有路由環(huán)路問(wèn)題：OSPF 屬于 LinkState 路由協(xié)議，沒(méi)有環(huán)路問(wèn)題。 路由協(xié)議設(shè)計(jì)方案整個(gè)企業(yè)網(wǎng)絡(luò)的路由結(jié)構(gòu)十分清晰：核心層高性能交換機(jī)和路由器為 Area 0，作為整個(gè) OSPF 路由系統(tǒng)域的路由主干，并作為自治系統(tǒng)邊界路由器（ASBR ）連接各接入層交換機(jī)。在網(wǎng)絡(luò)需擴(kuò)展時(shí)，沿用現(xiàn)在的路由機(jī)制，保證系統(tǒng)的擴(kuò)展性，即以核心交換機(jī)作為 ABR 和 ASBR，連接區(qū)域 0 和非 0 區(qū)域，并進(jìn)行路由匯總。對(duì)于接入層的用戶(hù)分兩種情況來(lái)考慮：VLAN 直接接入的用戶(hù)通過(guò)二層轉(zhuǎn)發(fā)來(lái)實(shí)現(xiàn)；需要路由轉(zhuǎn)發(fā)的用戶(hù)通過(guò)靜態(tài)路由來(lái)實(shí)現(xiàn)。在任一時(shí)刻，一個(gè)組內(nèi)只有一個(gè)路由器是活動(dòng)的，并由它來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動(dòng)路由器發(fā)生了故障，將選擇一個(gè)備份路由器來(lái)替代活動(dòng)路由器，但是在本網(wǎng)絡(luò)內(nèi)的主機(jī)看來(lái)，虛擬路由器沒(méi)有改變。 為了減少網(wǎng)絡(luò)的數(shù)據(jù)流量，在設(shè)置完活動(dòng)路由器和備份路由器之后，只有活動(dòng)路由器和備份路由器定時(shí)發(fā)送 HSRP 報(bào)文。如果備份路由器失效或者變成了活動(dòng)路由器，將有另外的路由器被選為備份路由器。每個(gè)熱備份組模仿一個(gè)虛擬路由器工作，它有一個(gè) Well－known －MAC 地址和一個(gè) IP 地址。當(dāng)在一個(gè)局域網(wǎng)上有多個(gè)熱備份組存在時(shí)，把主機(jī)分布到不同的熱備份組，可以使負(fù)載得到分擔(dān)。如果一個(gè)路由器的優(yōu)先級(jí)設(shè)置的比所有其他路由器的優(yōu)先級(jí)高，則該路由器成為主動(dòng)路由器。 通過(guò)在設(shè)置了 HSRP 協(xié)議的路由器之間廣播 HSRP 優(yōu)先級(jí)，HSRP 協(xié)議選出當(dāng)前的主動(dòng)路由器。路由器之間的包傳輸對(duì)網(wǎng)絡(luò)上的所有主機(jī)來(lái)說(shuō)都是透明的。2．有效的實(shí)現(xiàn)了負(fù)載均衡，在核心交換機(jī)上劃分出各自的 VLAN， VLAN 東華理工大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 局域網(wǎng)設(shè)計(jì)方案2411~Vlan21 在 Core SW1 上的 HSRP 的優(yōu)先級(jí)較高， VLAN 30~VLAN31 在 Core SW2 上的 HSRP 的優(yōu)先級(jí)較高。 3．充分利用了多以太口路由器在劃分多業(yè)務(wù)網(wǎng)段上的功能，也只有多以太口路由器在 HSRP 應(yīng)用中才能實(shí)現(xiàn)兩個(gè)路由器間的負(fù)載分擔(dān)，這是具有四個(gè)以太口路由器的極大的優(yōu)點(diǎn)。5．不存在單點(diǎn)故障問(wèn)題