《第12章网络规划与设计实例.ppt》由会员分享,可在线阅读,更多相关《第12章网络规划与设计实例.ppt(59页珍藏版)》请在三一文库上搜索。
1、第12章 网络规划与设计实例,规划与设计原则,每一个园区网都有自己的特殊性,包括园区网的环境和功能需求,这就要求必须针对这些特殊性进行专门的规划与设计。现在简单介绍一下进行园区网规划与设计时的基本步骤和需要考虑的主要问题。 首先,在规划和设计前必须进行详细的需求调研,搞清楚用户现有的网络状况以及建网目标。限于网络方面的专业技术水平,用户往往无法清楚地对需求进行描述,这就需要设计人员揣摩用户的意图,通过各种方式了解用户的需求。,规划与设计原则,有了需求以后,下一步就是对系统进行分析,对园区网中的主要技术进行选型,根据先进性和实用性相结合,经济性和可扩展性相结合,按可靠性、安全性、可管理性、可维护
2、性的原则进行设计。具体包括主干网技术选型、主干网拓扑结构、Internet接入方式、广域网互连方式、一些组网关键技术等。 接着是进行详细的设计。首先是设备的选型,设备选型必须在满足功能的前提下,遵循相关的设计原则;然后是VLAN的规划、IP的规划、路由的规划;接着是进行可靠性、安全性的具体规划以及网络的管理规划等。 最后,需要进行综合布线系统设计和机房设计,这是非常专业的问题,通常由专业的布线工程师协助设计和实施。,规划与设计原则,园区网在规划过程中遵循以下原则。 (1)标准化及规范化:采用开放的标准网络通信协议,选择符合工业标准的网络设备、通信介质、网络布线连接件及其相关器件器材。工程实施遵
3、照国家电信工程实施标准进行。 (2)先进性与成熟性:按照生命周期的原则,系统设计的基本思想,符合技术发展的基本潮流,使布线系统在其整个生命周期内保持一定的先进性。选择合理的网络拓扑结构,网络工程中所用的设备、器材、材料以及软件平台应选择与网络技术发展潮流相吻合的、先进的、有技术保证的、得到广大用户认可的厂家产品。 (3)安全性与可靠性:为了保证整个网络系统安全、可靠地运行,首先必须在总体设计中从整体考虑系统的安全性和可靠性。在网络设计阶段以及在工程实施各个阶段都必须考虑到所有影响系统安全、可靠性的各种因素。工程实施完成后,必须按照标准进行严格的测试。,规划与设计原则,(4)可管理性及可维护性:
4、计算机网络是一个比较复杂的系统,在设计、组建一个网络时,除了要保证联网设备便于管理与维护外,网络布线系统也必须做到走线规范、标记清楚、文件齐全,以便提高对整个系统的可管理性与可维护性。 (5)灵活性及可扩充性:为了保证用户的已有投资以及用户不断增长的业务需求,网络和布线系统必须具有灵活的结构并留有合理的扩充余地,以便用户根据需要进行适当的变动与扩充。 (6)实用性:应根据用户的应用需求,科学地、合理地、实事求是地组建一个实用的网络系统。 (7)优化性能价格比:在满足系统性能、功能以及考虑到在可预见期间内仍不失其先进性的前提下,尽量使得整个系统所需投资合理。,大学校园网设计实例,总体规划 详细设
5、计,1. 网络拓扑结构,网络拓扑结构是决定网络性能的主要技术之一,同时在很大程度是也决定了网络系统的可靠性、传输速度和通信效率。网络拓扑结构与网络布线系统也有着密切的关系,将对整个网络系统的工程投资产生重要的影响。 计算机网络拓扑结构是指网络节点与链路的几何排列。园区网一般由汇聚主干层和用户接入层两部分组成。目前,网络主干主要采用环形和星型两种拓扑结构,环形拓扑结构一般用于地理范围较大的校园网,通过多个节点进行汇聚;星型拓扑结构用于规模不大的校园网,星型拓扑由于在管理和维护上十分简单因而成为目前最常见的拓扑结构。由于每个校区规模不大,因此建议该校校园网主干采用星型拓扑结构,如图12-1所示。,
6、图12-1 大学校园网系统拓扑结构图,主干网是整个网络的信息传输主干线,如果不采取线路冗余措施,就可能由于一条线路失效而导致部分网络或整个网络瘫痪。因此,在设计上,每个二级节点至少有两条链路与中心节点相连,当一条链路发生故障时,网络信息可自动路由到另一条冗余链路上传输,提高网络可靠性。 对于接入层客户端来讲,一般采用星型拓扑结构,因为星型拓扑结构简单明了,易于管理维护,系统容易扩展,可实现带电接入与拆除,并且对整个网络运行无任何影响。 因此,整个校园网是由多个星型组成的树状拓扑,桌面计算机是叶子节点。,目前在企业或校园这样的园区网中,普遍采用无可争议的千兆以太网作为主干网技术,即所有二级节点(
7、楼宇)都采用多模或单模光纤进行千兆连接,采用channel技术最高可达到8000Mbit/s的速率,不仅保证了主干带宽,也保证了可靠性。 楼内局域网采用快速以太网(10/100Mbit/s自适应)通过超五类双绞线按照星型拓扑结构进行连接。 为了对操作平台和应用软件有大量的支持,以及为了和Internet实现连接,应选择TCP/IP协议作为整个网络的通信协议。,2. 综合布线,信息点分布到两个校区所有办公楼、实验楼、图书馆以及多媒体教室等,本部学生楼和家属楼要连入校园网。 综合布线系统是当今现代化建筑普遍应具备的基础性设施,它为计算机联网和话音通信提供必要的规范化的物质基础。结构化的综合布线为用
8、户提供了最合理的布线方式。 布线系统设计应按照“总体规划、分布实施,水平布线尽量一步到位”的原则进行。综合布线系统的主干线大多数都是设置在建筑物的弱电井中,更换和扩充比较省事,而水平布线是在建筑物的天花板内或PVC管槽内,如果要增加信息点数或更换水平布线,将重新损坏建筑结构,影响整体美观。国内多家布线公司的实际工程经验表明,重新增加信息点的造价,比设计时就已经纳入的造价要高出3倍。因此布线系统设计必须深刻了解用户现在和将来一段时间内在数量和质量上的可能要求。,园区大楼之间的光纤尽可能一次性铺设,避免沟道的重新挖填,光纤在长度和芯数上都应留有一定的余量和备份,以防大楼拆迁、线路故障和带宽扩容。同
9、时,布线系统必须满足灵活应用和模块化的要求,即任一信息点能够连接不同类型的设备,如计算机、打印机、终端或电话、传真机。布线系统中,除去敷设在建筑内的缆线外,其余所有的接插件都应是积木式的标准件,以方便管理和使用。当然,在满足应用要求的基础上,应尽可能降低造价。 对于会议室、报告厅以及布线不太方便只是临时需要信息点的地方可以搭建无线局域网。 对于教学楼、家属楼等信息点非常少的地方,配线间的选择非常重要。,3. Internet连接,所有校区都要能够访问Internet,并且保证本部Internet出口的鲁棒性,保证7*24小时不间断运行。 校本部给出两路分别到Chinanet和Cernet的出口
10、,到Chinanet的出口通过路由器采用ADSL专线实现与Internet连接,出口速率可达1Mbit/s,到Cernet的出口通过路由器的100M快速以太网口采用光纤与Cernet地区级节点连接。 分校通过当地电信部门通过10M的光纤专线连入Internet。,4. 校区互连,为便于管理,实行集中式管理,在本部建立网络中心,所有服务器放置本部。为了实现网上办公和相关的信息处理和查询,东区要能够安全访问到本部的教务、办公等所有必要信息。 校区之间的互连方式很多,如DDN、ISDN、FR等,但这些方式运行费用昂贵,考虑到两个分校区与本部之间的流量不是很大,主要是一些办公信息和教务信息等,目前采用
11、VPN不失为一种安全可靠、价格低廉的互连方式。,5. Internet服务,申请域名以及合法IP地址块,架设信息发布、邮件系统等常用服务器。 申请到合法域名及合法IP地址块206.0.68.0/22,拟购买服务器架设WWW、DNS、Mail等服务器。关于服务器选型本书不做论述。,6. 应用系统,能够在网络上运行各种应用系统,包括财务系统、教务系统、办公系统等,能够进行网上视频会议和视频点播等多媒体服务,并保证带宽。,7. 网络安全与管理,保证校园网内部系统的足够安全,以及校区间信息传输的安全,保证主要服务器的系统安全,建立全校防病毒系统。 提供完整和方便的网络管理功能,主要包括网络设备的管理以
12、及计费管理。 校园网是巨大的资源中心,存放着各方面的信息资源,涉及到学校的方方面面,同时,校园网又是一个开放的系统,有不同的人员在校内或校外访问它,因此,校园网的建立不仅是网络硬件和应用的建立,还应该特别重视校园网的安全问题。 网络安全是一个体系结构,涉及整个办公环境的各个方面,包括人员和设备,包括信息的驻留点以及沿途经过的各个中间环节,从物理层到应用层都要小心对待。Internet的普及以及今天校园教学、科研和办公等多方面的应用对Internet的依赖都促使校园网应该增强实施安全的措施。 不仅要防止来自校园网外部的黑客入侵,还要防止来自校园网内部的恶意破坏。既要保证信息的开放性,又要保证教务
13、财务等信息的完整性。不仅要保证数据的存储安全可靠。还要保证数据在传输过程中的安全保密。校园网也要保证良好的防病毒措施,防止病毒对系统以及数据的破坏。,7. 网络安全与管理,校园网是一个庞大的系统,信息点、网络设备分布在校区的各个角落,校园网用户也分很多种,有教师、学生、行政人员、普通职工,有办公楼、教学楼、宿舍楼、家属楼等,因此如何有效的管理也是园区网管理认真思考的问题。,详细设计,1. 设备选型 2. Internet接入 3. VLAN规划 4. IP地址规划 5. 路由规划 6.对外发布站点 7. 开放机房 8. 无线接入 9. 安全及管理,1. 设备选型,设备选型应该坚持两个通用的原则
14、,一是满足需求,二是经济实用。 满足需求不是指简单地满足用户现有的需求,而应该综合考虑用户在将来的一段比较长的时间内的扩展性。大多数时候,用户的投资都是分期进行的,但设计必须尽可能一步到位,不能出现一期满足要求,到了二期无法扩展的情况,重新设计更是不应该发生的,设备选型必须在最大程度上保护用户的投资。当然,设备的选型也不能超前太多,一定要经济实用。比如Cisco 2600系列路由器就能够满足用户现在以及将来的需求,如果上一个3600系列,尽管也满足了要求,但毕竟存在太大的资源浪费。 对于模块化的网络设备,要注意模块的有效利用,同时建议模块到要用的时候再购买,因为设备的价格一般是越来越便宜,同时
15、也防止厂家推出价位相同但功能更强的换代产品。,1. 设备选型,大型园区网建设中,经常会遇到用户希望在计划购买新的网络设备的同时考虑一下已有的网络设备能够得到最大程度的利用,对于设计者来说,带来两个问题,一是注意设备之间的连接模块,连接方式是否经济有效;二是在技术上,要考虑不同厂家产品的兼容性问题,也就是说,必须使用各厂商共同遵守的标准化协议与规范,而不能使用某一个厂商专有的协议和技术,如交换机之间传输多VLAN信息的Trunk协议,就必须使用IEEE 8021Q,而不能使用ISL,ISL是Cisco公司特有的,只用在Cisco 公司的网络设备之间。实际设计与实施过程中会遇到很多类似的问题,务必
16、注意。 对于园区网来讲,核心交换机必须具有3层交换功能,背板带宽和包转发速率是要考虑的两个性能特征。3om核心交换机Switch 4007,Cisco 4000系列交换机和6000交换机。 接入层交换机没有特殊要求,目前首选2950系列交换机或3550系列交换机。,2. Internet接入,作为较大的园区网,高校校园网一般采取专线接入的方式。如早期的DDN专线、微波专线,目前常用的是光纤以太网接入。 为防止单条链路出现故障,还往往申请一条ADSL线路通过Chinanet连入Internet。 这种情况下要解决两个问题,一个是多出口的问题,还有就是ADSL动态分配IP地址的问题。,3. VLA
17、N规划,通常,一个规模较大的园区网,下属很多二级单位,为保证对不同院系和处级单位进行管理的方便性、安全性以及整体网络运行的稳定性,一般采用VLAN技术,按照二级部门划分成多个相对独立的虚拟局域网。 尽管VLAN允许处于不同地理位置的网络用户加入到一个逻辑子网中,共享一个广播域,但绝大多数二级单位的用户处在同一个地理位置(如一栋大楼等),因此VLAN中与地理位置无关的逻辑概念体现得不是太明显,尽管这样,为了安全起见,仍然划分VLAN,这样可以保证网段之间在数据链路层开始真正地相对独立。,3. VLAN规划,根据该校的情况,规划4个VLAN,如表12-1所示。,表12-1 VLAN规划,4. IP
18、地址规划,IP规划是大型园区网设计中的另一项重要内容,这将给用户的日常管理带来直接影响。在有3层交换功能的大型园区网中,通常按部门分成若干个VLAN,VLAN成员不受地理位置的限制,通常根据接入层交换机的端口进行静态VLAN的划分,动态VLAN是根据网卡的MAC地址进行划分的,管理任务繁重,很少使用。为便于管理,Cisco建议,VLAN与IP子网之间采用一对一的对应关系。如果使用C类地址,除一个IP用于VLAN成员主机的缺省网关外,每个VLAN最多可以容纳253台主机。 当申请的合法IP数量较多时,首先主要以合法IP进行地址规划,不够时再考虑保留IP,当申请的合法IP数量很少时,用保留地址进行
19、规划,少量的合法IP用于DMZ区的Internet服务器。,4. IP地址规划,该校申请到了206.0.68.0/22地址块,也就是4个C类地址,根据每个单位信息点的数量情况,IP大致分配如表12-2所示。,表12-2 IP地址分配,4. IP地址规划,对于机房、家属楼、宿舍楼等主要以访问其他资源为主的主机来讲,建议采用保留IP地址,在边缘处启用NAT转换以节省合法IP的使用。也就是说,如果一个机房有50台计算机或更多,现在只需要一个合法IP就可以了,在使用上与使用合法IP几乎没有区别,但大大节省了合法IP地址的使用,保留IP是可以随便规划和使用的。 另外,对于用户比较集中,位置相对固定的信息
20、点,如办公室等,建议分配静态IP,这对于故障管理很重要。根据IP与信息点的对照表能够快速地确定主机所在地理位置。对于多功能厅、会议室、家属区等信息点个数无法确定的位置,建议IP动态获取,用户只需要将网络属性中的IP地址栏设成自动获取就可以了,所有属性均从DHCP服务器中获取,包括缺省网关、DNS等IP地址。管理员惟一需要做的就是在网络中设置DHCP服务,DHCP服务可以用一台专门的服务器,也可以利用接入网络设备中集成的DHCP服务完成。如果DHCP服务器与客户端不在一个VLAN,还需要在路由器或交换机的路由模块上启动DHCP广播数据包转发功能。动态IP获取,大大减轻了网管的工作量,但是采取动态
21、获取IP的VLAN 不宜过多,否则管理将比较烦乱。,5. 路由规划,园区网的路由规划比较简单,可以用图12-2表示。,图12-2 路由规划示意图,5. 路由规划,核心3层交换机实现VLAN之间的相互访问,对于3层交换机来讲,所有VLAN(网段)都是直连的,因此只需要启动路由,而不需要设置额外的静态或动态路由条目。而对于路由设备来讲,路由默认就是启动的,因此,不用作任何配置就可以实现VLAN之间的相互访问了。 由于所有用户还需要访问Internet,因此,在3层交换机、防火墙以及出口路由器上还要设置一条指向Internet的默认路由。 对于出口路由器来讲,所有内部网段,包括DMZ区都是非直连的,
22、因此,需要设置静态路由条目使它们指向这些网段,由于IP地址块的连续性,可以只设置一条汇总路由条目。 在设置防火墙的路由条目时,可以当作路由器按照前面所讲的非直连设置静态路由的方法逐一设置,如有可以汇总的再进行汇总。 需要注意的是,东区和本部通过Internet实现VPN互连,为节省费用,不使用专用VPN硬设备,而使用位于DMZ区的一台性能较好的RRAS作为VPN接入服务器,因此,丝毫不影响其他设备的路由配置,感觉VPN互连好象并不存在。,6. 对外发布站点,对于一些外部站点的问题,通常放置在DMZ区内,DMZ区的安全等级高于外网低于内网,防火墙的默认规则是允许安全等级高的访问安全等级低的,禁止
23、安全等级低的访问安全等级高的。因此,防火墙不需要设置规则就可以实现内网访问到DMZ区,但外网访问到DMZ区。对于学校来讲,WWW站点的主要目的就是对外发布信息,必须让外网能够访问到,为了到达这个目的,可以在防火墙上添加一些规则,开放DMZ区所在服务器的IP以及相应的端口。 DMZ区通常放置的服务器有邮件服务器、WWW服务器以及解析本校域名的两个DNS服务器等,当然也可以放置一些其他有特殊用途、需要外网访问的服务器。 对于某些信息化程度比较高的二级部门,如信息工程学院,为了教学和科研的需要,需要给全院教师一个独立的域名,该域名可用于HTTP和FTP。为了管理方便,该学院网管员向学校网络中心申请了
24、独立域名,即IE。 有了独立域名,就可以按照自己的意愿随意添加主机记录,进而可以按照前面介绍的虚拟主机技术和Serv-U每一位教师搭建独立的Web站点和FTP站点。,7. 开放机房,在大学校园里,存在大量的各种各样的开放式机房,通常这些计算机连成一个局域网,除具备一般的互访外,通常还要求这些计算机能够访问到Internet。 最简单的方法是给这些计算机分配合法IP地址,通过交换机连入到校园网内就可以了。但由于合法IP地址数量有限,根本无法满足几个甚至几十个开放机房以及全校日益增多的计算机的需要,这种情况下,通常尽可能使用RFC1918定义的保留IP地址。 因此,要实现Internet访问,实际
25、上是一个局域网PC如何共享上网的问题。在每一个机房部署一个信息点,相当于Internet出口,该信息分配了合法IP以及必要的相关参数,利用前面“局域网PC共享上网”一章的知识很容易对其进行改造,让所有的计算机连入Internet。,8. 无线接入,图12-3 无线接入示意图 对于会议室或临时需要搭建网络的地方,无线局域网不失为最经济最快捷的解决方案。 常用的无线设备有两种,一种是无线访问点,即AP,另一种是无线路由器。 无线访问点相当于Hub,只是将安装有无线网卡的计算机互连起来,并连入到有线系统中,这些计算机可以按照实现规划好的IP地址方案自己手工设置IP地址,也可以通过无线访问点提供的DH
26、CP服务动态IP地址,无论怎样,必须要求有一个地址块可用。,图12-3 无线接入示意图,8. 无线接入,通常情况下,无线互连实现计算机之间的互访已经不是主要目的,取而代之的是实现Internet访问。因此,实际上仍然是通过无线如何实现局域网PC共享上网的问题。 为解决上述问题,要求设备必须具有NAT地址转换功能,当然路由也是必须的,默认路由就可以了。,9. 安全及管理,尽管网络已经改变了我们的工作和生活方式,但网络的深入应用仍然无法展开,原因之一就是用户对网络安全仍不放心,设计一个足够安全的网络是网络设计人员追求的目标。 安全问题是一个系统工程,涉及到不同的层次。笔者将网络的安全归纳为4个方面
27、。,9. 安全及管理,(1)设备级安全,包括网络中所有可管理的网络设备、服务器以及网管工作站的安全。设备级安全是网络的第一道屏障。现在很多设备都提供了远程Telnet或基于Web 的管理功能,无论黑客通过哪一种方式进入网络设备,里面的配置文件,包括安全配置就一览无余,黑客可能修改配置文件,使网络瘫痪;也可能删除安全配置,将网络的大门打开。解决办法是严格限制能够远程管理(包括Telnet方式和Web 方式)网络设备的IP地址列表,必要时关闭部分或全部远程管理功能,对于核心网络设备,如骨干交换机和路由器,建议不设远程管理IP 地址。如果黑客进入了服务器,那么服务器中的数据资源甚至操作系统将面临极大
28、威胁,黑客可能进一步攻击信息资源的安全关口从而获取信息,也可能破坏操作系统使整个系统陷入瘫痪甚至导致数据资源无法恢复,解决办法包括关闭服务器的远程管理功能,尤其是类UNIX操作系统的Telnet功能,使用入侵检测软件扫描系统存在的漏洞,关闭所有未使用但可能有潜在危险的TCP或UDP端口,增加管理员级密码长度和复杂度,严格控制用户组的用户权限。网管工作站一般是用来管理和监控整个网络运行的专用PC ,权限较大,通常放在网络中心机房内,因此,务必做好网管工作站的安全工作,尤其注意把网管工作站作为跳板进行网络攻击的情况发生,这种方式是极其隐蔽的。数据库服务器采用RAID 5或双机热备份、网络存储等方法
29、保证数据的可靠性,一旦遭到破坏可立即恢复。,9. 安全及管理,(2)传输级安全,指敏感数据在传输线路中防止中途窃取或修改的安全性。解决办法包括室外线路尽可能采用无辐射抗干扰的光纤作为传输介质,室内明线使用屏蔽双绞线,中心机房加装屏蔽网;对远程传输的信息进行加密,加密强度和加密算法根据要求的安全级别确定,保证信息在传输过程中不可识别和破解。传输级安全的另一个重要方面是拒绝服务攻击,防止黑客使用网络上一台并不存在或无法路由的IP 地址攻击服务器,造成被攻击的主机无法收到应答而导致连接超时,主机在等待响应的过程消耗了主机和网络的资源,如果有成千上万个连接超时,最终将导致被攻击的主机资源耗尽甚至操作系
30、统崩溃,这种攻击方式也占用了大量的网络带宽,使传输链路阻塞,解决的办法是启用TCP拦截。,9. 安全及管理,(3)网络层安全,是网络安全设计中的重要一环,网络层攻击是黑客最常用的攻击方式,如外部入侵,对于这种攻击方式最典型的解决方案是使用软件或硬件防火墙进行内外隔离,同时内网采用保留IP 地址,访问外网时进行NAT转换(网络地址转换)。目前国内外软硬件防火墙产品很多,功能基本类似,相差无几,关键体现在性能上,显然,硬件实现要好一些,不仅性能要好,而且硬件防火墙有自己专有的操作系统,防止了黑客借助操作系统进行间接攻击的可能性,当然,价格上相对软件防火墙也要高一些。网络层安全除了防止外部入侵外,也
31、要注意防止内部的越权访问和故意破坏,一般在VLAN之间进行访问控制,比如允许财务部门访问其他部门的资源但不允许任何其他部门访问财务部门的资源。,9. 安全及管理,(4)应用级安全,包括防病毒和认证体系。近年来先后出现CIH、Red Code 等传播广泛,破坏力强的病毒,主要表现为删除系统文件使系统瘫痪或打开多个进程使系统资源耗尽。因此,必须做好防病毒工作,及时更新病毒库,修补系统漏洞。对于病毒问题,为有效进行管理,可安装网络防病毒软件,客户端自动到部署在校园网内的防病毒服务器更新病毒库。各种认证体系是网络安全的最后一道屏障,必须做好私有密钥的保密工作,防止泄露。应用软件采取访问权限、数据加密、
32、口令密码等各种手段保证应用软件本身的安全可靠性。,9. 安全及管理,大学校园网是一个比较大型的网络,为了保证校园网更加有效地、可靠地运行,建议配置一台网络管理工作站,以便更有效地对校园网进行管理。 根据网络设备选型,可以选择相应厂商提供的网管软件,如Cisco works 2000,也可以选择HP OpenView等第3方网管软件。 校园网运行需要大量的运行费用,为在一定程度上减轻负担,对宿舍楼、家属楼等用户可以实施部分象征性的收费,可以通过计费软件实现。 对于家属区和宿舍楼来讲,可以采取私有保留地址,并通过DHCP动态分配。,住宅小区网设计实例,1 需求分析 2 关键技术 3 PVLAN及配
33、置,1.需求分析,住宅小区网一般要求涵盖若干幢住宅楼、小区公共场所、小区物业管理公司、小区管理控制中心以及小区内各集团用户,并要求与小区的现场总线控制网络集成一个完整的系统。 住宅小区内系统繁多,如计算机网络系统、有线电视系统、电话系统、闭路电视监控系统、门禁管理系统、表远程计量系统、停车场管理系统、物业综合信息管理系统。 住宅小区与校园网有很大不同:小区范围大,有网管中心与俱乐部、物业公司、商场等;楼宇间距离较远,节点较分散,同时整个网络要求满足高质量的多媒体服务,如VOD视频点播、视频会议等要求,这意味着每个桌面计算机要保证可保证的独占带宽。 另外,用户之间完全透明,必须借助Interne
34、t用户之间才能交流。 由于小区用户多,为有效管理和节省地址资源,IP地址一般动态分配。 并实行按流量或按时长计费管理。,2.关键技术,1. 网络拓扑 住宅小区网络拓扑结构比较简单,主要原因在于目前所要求的功能单一,通常情况下只需要能够访问Internet就可以了。,图12-4 住宅小区网络拓扑结构,2.关键技术,2. 用户安全 小区用户不同于校园网用户的主要之处在于小区用户之间的完全透明,这是通过PVLAN技术实现的,下一节我们将重点介绍。 小区用户的主要目的是访问Internet或访问小区网服务商提供的一些娱乐资源,为了安全,用户之间是不能相互访问的,这就需要具有端口完全隔离的或类似功能的交
35、换机。,2.关键技术,3. 地址管理 目前,小区网一般采取动态的IP地址分配方案,一方面是节省IP地址,更重要的是便于管理,防止IP地址盗用以及冲突情况的发生;另一方面也使得使用起来简单方便,因为网卡装好TCP/IP协议后默认就是动态获取IP地址及相关参数的方式,而TCP/IP协议默认就是安装好的,也就是说,用户装好了网卡驱动,插上网线就可以上网了。,2.关键技术,4. 小区布线 由于小区信息点分散,一户一般只有一个信息点,这使得布线成本偏高,另外,遍布在楼道里的线缆也影响了美观,因此,在目前情况下,除非小区是新建设完成的,提前已经考虑了计算机网络布线,对于一些老楼,在价格没有优势或不提供其他
36、诸于娱乐资源的情况下,用户通常会去选择电信的ADSL,对于客户端来讲,只需要安装一个ADSL调制解调器,利用已有的电话线就可以了。,2.关键技术,5. 计费管理 目前情况下,无论采取何种方式,包月的费用还是有些偏高,用户希望根据自己的实际使用情况进行付费,这就要求服务器有相应的计费软件,实现所要的计费策略,如按时长、按流量等。,PVLAN及配置,1. PVLAN简介 2. PVLAN的配置步骤,1. PVLAN简介,随着网络的迅速发展,用户对于网络数据通信的安全性提出了更高的要求,诸如防范黑客攻击、控制病毒传播等,都要求保证网络用户通信的相对安全性;传统的解决方法是给每个客户分配一个VLAN和
37、相关的IP子网,通过使用VLAN,每个客户被从第2层隔离开,可以防止任何恶意的行为和网络的信息探听。然而,这种分配每个客户单一VLAN和IP子网的模型造成了巨大的可扩展方面的局限。这些局限主要有下述几方面。 (1)VLAN的限制:交换机固有的VLAN数目的限制,无法划分太多的VLAN; (2)复杂的STP:对于每个VLAN,每个相关的Spanning Tree的拓扑都需要管理; (3)IP地址的紧缺:IP子网的划分势必造成一些IP地址的浪费; (4)路由的限制:每个子网都需要相应的默认网关的配置。,1. PVLAN简介,现在有了一种新的VLAN机制,所有计算机在同一个子网中,但计算机只能与自己
38、的默认网关通信。这一新的VLAN特性就是专用VLAN(Private VLAN)。 在Private VLAN的概念中,交换机端口有三种类型:Isolated端口;Community端口;Promiscuous端口。 它们分别对应不同的VLAN类型:Isolated端口属于Isolated PVLAN,Community 端口属于Community PVLAN,而代表一个Private VLAN整体的是Primary VLAN,前面两类VLAN需要和它绑定在一起,同时它还包括Promiscuous端口。,1. PVLAN简介,在Isolated PVLAN中,Isolated端口只能和Prom
39、iscuous端口通信,彼此不能交换流量;在Community PVLAN中,Community 端口不仅可以和Promiscuous 端口通信,而且彼此也可以交换流量。Promiscuous端口与路由器或第3层交换机接口相连,它收到的流量可以发往Isolated端口和Community 端口。Trunk支持VLAN在Isolated、Community和Promiscuous端口间的数据传输。,1. PVLAN简介,PVLAN端口与一组支持的VLAN关联在一起,包括: Primary VLAN:流量单向传输,即从Promiscuous端口到Isolated、Community以及其他的Pro
40、miscuous端口,一个PVLAN只能有一个Primary VLAN; Isolated VLAN:流量单向传输,即从Isolated端口到Promiscuous端口,一个PVLAN只能有一个Isolated VLAN,同一Isolated VLAN内的端口在二层相互隔离,必须借助路由才能实现相互通信 ; Community VLAN:流量单向传输,即从Community端口到Promiscuous端口以及同一CommunityVLAN的其他端口。 Isolated VLAN和Community VLAN都属于secondary VLAN。 PVLAN的应用对于保证接入网络的数据通信的安全性
41、是非常有效的,用户只需与自己的默认网关连接,一个PVLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接,所有的用户都接入PVLAN,从而实现了所有用户与默认网关的连接,而与PVLAN内的其他用户没有任何访问。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信,但可以穿过Trunk端口。这样即使同一VLAN中的用户,相互之间也不会受到广播的影响。,1. PVLAN简介,目前很多厂商生产的交换机支持PVLAN技术,PVLAN技术在解决通信安全、防止广播风暴和浪费IP地址方面的优势是显而易见的,而且采用PVLAN技术有助于网络的优化,再加上PVLAN在交换机上的配
42、置也相对简单,PVLAN技术越来越得到网络管理人员的青睐。,PVLAN的配置步骤,第1步,将VTP模式设置为透明模式; CatOS: Switch_CatOS (enable) set vtp mode transparent Cisco IOS Software: Switch_IOS(config)# vtp mode transparent,PVLAN的配置步骤,第2步,创建Primary PVLAN; CatOS: Switch_CatOS (enable) set vlan primary_vlan_id pvlan-type primary name primary_vlan Ci
43、sco IOS Software: Switch_IOS(config)# vlan primary_vlan_id Switch_IOS(config-vlan)# private-vlan primary Switch_IOS(config-vlan)# name primary-vlan Switch_IOS(config-vlan)# exit,PVLAN的配置步骤,第3步,创建Isolated or community PVLAN; CatOS Switch_CatOS (enable) set vlan secondary_vlan_id pvlan-type isolated n
44、ame isolated_pvlan Cisco IOS Software Switch_IOS(config)# vlan secondary_vlan_id Switch_IOS(config-vlan)# private-vlan isolated Switch_IOS(config-vlan)# name isolated_pvlan Switch_IOS(config-vlan)# exit,PVLAN的配置步骤,第4步,将primary PVLAN与isolated or community PVLAN关联起来。 CatOS Switch_CatOS (enable) set pv
45、lan primary_vlan_id secondary_vlan_id Cisco IOS Software Switch_IOS(config)# vlan primary_vlan_id Switch_IOS(config-vlan)# private-vlan association secondary_vlan_id Switch_IOS(config-vlan)# exit,PVLAN的配置步骤,第5步,将端口应用到PVLAN中 创建host端口 CatOS Switch_CatOS (enable)set pvlan primary_vlan_id secondary_vlan
46、_id mod/port Cisco IOS Software Switch_IOS(config)# interface gigabitEthernet mod/port Switch_IOS(config-if)# switchport private-vlan host primary_vlan_id secondary_vlan_id Switch_IOS(config-if)# switchport mode private-vlan host Switch_IOS(config-if)# exit,PVLAN的配置步骤,创建promiscuous端口 CatOS Switch_Ca
47、tOS (enable)set pvlan mapping primary_vlan_id secondary_vlan_id mod/port Cisco IOS Software Switch_IOS(config)# interface interface_type mod/port Switch_IOS(config-if)# switchport private-vlan mapping primary_vlan_id secondary_vlan_id Switch_IOS(config-if)# switchport mode private-vlan promiscuous Switch_IOS(config-if)# end,PVLAN的配置步骤,第6步,查看PVLAN配置。 show pvlan primary_vlan show pvlan mapping show vlan primary_vlan,