《企业网组网设计与仿真实现 毕业论文.doc》由会员分享,可在线阅读,更多相关《企业网组网设计与仿真实现 毕业论文.doc(76页珍藏版)》请在三一文库上搜索。
1、(英文): Enterprise Network Design and Simulation 企业网组网设计与仿真实现摘要如今,安全高效的网络化办公是现代公司运营的标配。企业实施网络化能够很好地提高办公效率,促使企业内部员工之间更好的沟通合作,同时能够满足移动办公的需求。但同时,面对纷繁复杂的互联网环境,对企业网络做好安全防护,保护公司机密信息是很有必要的。本次设计主要针对大中型企业网络进行简单设计。以典型的企业网为设计基础,着重于网络安全,并加入WLAN、设备冗余解决方案。在安全与效率中寻找切实的设计方案,拓展出新的企业网络设计解决方案。关键词:企业组网;网络安全;防火墙;WLANEnter
2、prise network design and simulationABSTRACTNowadays, the safety and efficient network office is essential condition for modern enterprise. Network handing official business can raises the office efficiency, promotes the communication between employees and meets the requirements of mobile office. But
3、 its necessary to consolidate the network and protect the company confidential information in such complex internet environment.This project is a simple design for large and medium-size enterprises network. It is based on classical enterprise network, focuses on network security and includes solutio
4、ns of WLAN and device redundancy. This paper attempts to find out an effective solution between security and efficiency to develop a new enterprise network office solution.Key words: Enterprise network; Network security; firewall; WLAN目 录1前言11.1选题背景11.2选题的目的和意义11.3可行性分析11.4基本思路21.5仿真实验平台22网络设计需求分析32
5、.1总体需求分析32.2具体需求分析32.2.1 基本架构的需求32.2.2 网络出口和接入32.2.3 网络安全的需求42.2.4 硬件安全的需求42.2.5 服务器选择需求42.2.6 网络的安全教育43网络总体设计方案53.1网络结构设计53.1.1 主干结构设计53.1.2 楼层局域网设计53.1.3 互联网接入设计53.1.4 VLAN设计53.1.5 VPN设计63.2网络拓扑设计63.3VLAN与IP地址规划73.4模块设计与仿真84网络详细设计方案94.1交换模块设计94.1.1 基础配置104.1.2 内网连通114.1.3 核心冗余174.1.4 无线访问214.2广域网接
6、入模块设计224.2.1 路由连通234.2.2 广域网访问264.2.3 防火墙配置294.3远程接入模块设计314.3.1 分支机构VPN配置324.3.2 移动办公VPN配置354.4安全加固模块设计384.4.1 访问控制384.4.2 防止地址欺骗404.4.3 边界路由器加固424.4.4 防火墙安全加固445系统测试465.1测试模块465.2模块测试验证465.2.1 企业网连通与访问限制465.2.2 核心层冗余505.2.3 site-to-site VPN535.2.4 Remote VPN556总结57参考文献58致谢59附录A Bogons网段60附录B 基于DHCP
7、绑定表的交换安全技术62附录C 常用测试命令65企业网组网设计与仿真实现1前言1.1选题背景随着信息化进程的前进,许许多多的企业建立了自己的企业网络。特别是广大的大中型企业,由于组网规模适中、网络布局灵活、有限的资金成本及着眼未来的扩展等多种条件和要求下,慢慢形成了一些典型的企业组网方式。随着互联网的发展和企业的扩大,企业网的组网要求不再局限于数据传输、信息共享,而是要更加的注重企业网络的信息安全。本文正是以构建一个更可靠、更高速、更方便以及更安全的网络和业务管理为出发点,探讨并模拟出可行的解决方案。1.2选题的目的和意义统一、可靠、安全的企业网络信息系统能在企业内实现资源的高度共享,提高工作
8、效率和管理水平,提供数据传输、语音话务、视频会议等多种信息通信业务,且拥有完善的企业网管理应用系统。建立完备的企业网络环境,是顺应时代发展的趋势,充分利用现代化技术来提高企业管理质量及实现办公的自动化,对企业在信息化时代的生存和发展具有不可或缺的意义。1.3可行性分析面对现代市场竞争,纯粹的手工管理方式和手段已经不能够适应现代企业发展的需求。社会的进步、科技的发展要求企业必须更新落后的管理体制、管理方法和管理手段,建立现代企业应有的形象,建立适合本企业的自动化管理信息系统,促使管理水平的提高,经济和社会效益的增加。实现企业现代化管理和办公自动化,能够为整个企业带来高效畅通的信息高速通道和企业公
9、共服务环境,既能够为各部门提供先进的信息服务和生产环境,又能提高各部门的办公效率和综合管理水平,更能改变传统的管理思路和方式,提升管理人员和工作人员的素质,大大提高企业人员的工作效率。从企业管理和业务发展的角度看,通过网络资源的公用来改善企业之间、企业和客户间的信息交流方式,使企业能够迅速掌握瞬息万变的市场信息;再者,随着办公自动化水平的提高,能够大大促进工作效率的同时减低企业管理成本的支出,提高企业的竞争力;最后,企业内部网络的建立,还能够方便各方面的沟通交流,集中管理,加强企业资源分配的最优化。因此,建立一个统一、可靠和安全的网络信息系统是非常必要的。1.4基本思路根据对选题的背景、目的、
10、意义和可行性分析,总结有如下设计思路:选择适合的网络层次模型来规划企业网络框架;采用合理的策略,确保各业务的性能发挥,增强企业数据的保密性;设置网络设备的冗余备份,确保企业网络不间断运作;选择稳定高效的网络设备,充分发挥企业网络的优势,确保企业的正常运作;最后是选用合适的网管方式,控制维护整个网络。1.5仿真实验平台本文为了更直观、更真实地表现论文的实际价值,将使用模拟仿真软件来实现网络的搭建。本文所涉及的网络构建、模拟、测试等软件平台如下:操作系统平台:Microsoft Windows 7网络仿真软件:Cisco Packet Tracer,GNS3,DynamipsGUI2网络设计需求分
11、析2.1总体需求分析企业网络的总体需求即是一个统一、可靠和安全的自动化办公硬件平台系统。这个企业网络系统必须满足如下几点:满足现代企业管理的统一,设计网络系统时增加对统一管理的要求;满足现代企业自动化办公对网络带宽的苛刻需求,提供高性能的网络处理能力;满足现代企业部门多,资源分配有限的现状,合理规划网络层次,实现最优的资源共享;满足现代企业的发展及科技进步的需要,提供拓展能力强、升级灵活的网络环境;满足现代企业对信息资源的共享与安全,提供完善的网络安全解决方案;满足现代企业对办公效率及成本控制的需求,增加一套高效的网络应用解决方案。2.2具体需求分析2.2.1基本架构的需求针对大中型企业网设计
12、,网络结构采用典型的三层网络结构,并使用VLAN技术来对网段进行划分管理;考虑到未来网络的发展,使用当今流行的千兆以太网技术,实现千兆核心、百兆接入;核心网络设备的冗余备份,实现公司内部的无间断运作;组建WLAN(无线局域网)区域,由于无线只用于较少的场合,这里选用无线AP+交换机(有线)的组合,实现简单、经济的无线网络解决方案。2.2.2网络出口和接入租用电信固定IP,申请高速的宽带网络,能通过Internet向外公布和发布企业信息,并能实施VPN(虚拟专用网络)方案;使用PAT(端口地址转换)和端口映射,在满足内网连接Internet的同时能够让外网正确访问公共服务器。2.2.3网络安全的
13、需求采用访问控制措施对内网对外网、内网对DMZ(非军事区)、外网对DMZ的防火墙设置,阻止恶意流量的侵入;启用VPN解决方案,在最经济的条件下实现安全的异地信息共享,并能实现移动办公;因内网使用DHCP(动态主机配置协议)解决方案,启用DHCP过滤、动态ARP(地址解析协议)检测等手段对内网安全进行巩固;对非员工区域以及无线网络接入启用802.1x+radius服务器验证方案;公司内部计算机安装防病毒软件来实施全网的病毒安全防护。2.2.4硬件安全的需求网络中心机房规格应符合相关管理标准,机房建设的好坏直接关系到机房内计算机系统是否能稳定可靠地运行;配置高质量电源,设置良好的接地系统,并且安装
14、UPS(不间断电源)装置;做好网络监控与安全措施,防止非授权人员直接进入机房实施入侵。2.2.5服务器选择需求由于网络产品的性能、质量和功能与其价钱成正比,因而在一些关键性服务器的选择上,如数据库服务器、Web/Mail服务器等负荷较重的业务上应该选择性能较强的产品,而一些工作负载较少的应用,如DHCP服务器、DNS服务器等,可选择配置较好的普通PC来承担。2.2.6网络的安全教育建立一套完整的网络管理规定和网络使用方法,并要求网络管理员和网络使用人员必须严格遵守;加强对网络管理员和网络使用人员的培训;制定合适的网络安全策略,让网络用户在使用网络的过程中逐步把网络当成工作中的一个得力工具,从而
15、自觉地维护网络的安全。3网络总体设计方案3.1网络结构设计企业网络,在本设计中也可在本设计中也可以称为园区网,园区网是非常典型的综合型网络实例,园区网通常是指大学的校园网及企业的内部网(intrfaceernet)。园区网分为3个部分,分别是交换网络,路由网络和远程登陆网络,主要的中心部分是交换网络部分。3.1.1主干结构设计本设计将网络结构分为三层:接入层、汇聚层和核心层。使用三层网络结构适合大中型企业的实际规模;二是这能提高网络对突发事故的自动容错能力,减少网络故障排错的难度和时间;三是采用此网络分层有利于企业将来更灵活地对企业网升级扩大。3.1.2楼层局域网设计接入层采用支持802.1Q
16、的10/100Mbps工作组以太网交换机,交换机的数据依据用户端口数、可靠性及网管要求配置网络接入交换机,使10/100Mbps流量接至桌面。3.1.3互联网接入设计互联网接入由位于网络中心的DMZ交换机、WWW服务、E-mail服务、防火墙、路由器、Intrfaceernet光纤接入组成。向电信申请一个固定IP,提供外网服务器的访问服务。3.1.4VLAN设计通过VLAN将相同业务的用户划分在一个逻辑子网内,各工作组交换机采用基于端口的VLAN划分策略,划分出多个不同的VLAN组,分隔广播域。同样在千兆/百兆以太网上联端口上设置802.1Q协议,设置通信干道(Truck),将每个VLAN的数
17、据流量添加标记,转发到主干交换机上实现网络多层交换。3.1.5VPN设计通过Intrfaceernet采用VPN数据加密技术,构成企业内部虚拟专用网,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。3.2网络拓扑设计本设计中用的到的设备采用Cisco公司的网络设备构建。全部网络设备使用同一厂商设备的主要原因是在于可以实现各种不同网络设备功能的兼容以及互相配合和补充。设计的网络拓扑设计图如图3.1所示。图3.1 网络拓扑设计图在图3.1的拓扑中,接入层选用较廉价的二层交换机,如Catalyst 2960等;汇聚层选用中性能三层交换机,如Ca
18、talyst 3560;核心层选用性能更加强大的三层核心交换机,如Catalyst 4500系列,甚至Catalyst 6500系列。防火墙则选用ASA 5500系列,网关路由器则选用3600系列路由器(由于仿真软件的设计问题,实验设计中未必能选用到一模一样的网络设备,但由于设计和功能上的设计,在实验环境下并没有太大差别,只有在实际环境下,对性能的考验才有较明显的差异)。3.3VLAN与IP地址规划VLAN(Virtual Local Area Network)的中文名为“虚拟局域网” 通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。一个合适的园区网
19、,就需要一个合理的交换机网络,本设计中应用VLAN划分不同区域。在本设计中,整个企业网中VLAN及IP编址方案如下表3.1所示。表3.1 VLAN及IP编址方案VLAN号名称IP网段默认网关说明VLAN10部门单位1Units1192.168.10.0/24192.168.10.1允许访问服务器群网段、外网禁止部门间互访VLAN11部门单位2Units2192.168.11.0/24192.168.11.1允许访问服务器群网段、外网禁止部门间互访VLAN20部门单位3Units3192.168.20.0/24192.168.20.1允许访问服务器群网段、外网禁止部门间互访VLAN21部门单位4
20、Units4192.168.21.0/24192.168.21.1允许访问服务器群网段、外网禁止部门间互访VLAN22网管部门NetMag192.168.22.0/24192.168.22.1允许(发起)访问公司各个VLAN、外网VLAN30部门单位5Units5192.168.30.0/24192.168.30.1允许访问服务器群网段、外网禁止部门间互访VLAN31部门单位6Units6192.168.31.0/24192.168.31.1允许访问服务器群网段、外网禁止部门间互访VLAN40会议室Meeting-Room192.168.40.0/24192.168.40.1允许访问服务器群网
21、段、不允许访问外网禁止部门间互访VLAN50访客厅Guest192.168.50.0/24192.168.50.1只允许访问外网VLAN60服务器群Servers192.168.60.0/24192.168.60.1不允许主动发起连接,除email/FTP服务器相关协议外外部服务器群PublicSer192.168.70.0/24192.168.70.1不允许主动发起连接,除email/FTP服务器相关协议外VPN接入192.168.80.0/24仅允许访问内部服务器内部路由地址192.168.0.X/30VLAN1管理VLAN192.168.110.0/24192.168.11.X管理二层交
22、换机如表3.1所示,每个VLAN分配IP网段的网络位均为24位,每个网段都会保留前10个地址,用作网关、管理以及部门服务器等用途,主机位(二进制)为全0或全1的地址不分配,即每个分配到PC用的地址将有244个。3.4模块设计与仿真结合网络拓扑设计,本企业网设计方案可以分为以下四大部分构成:l 交换模块l 广域网接入模块l 远程接入模块l 安全加固模块。交换模块由Cisco Packet Tracer进行模拟仿真,广域网接入摸快、远程接入模块和安全模块使用GNS3、DynamipsGUI进行模拟仿真(由于模拟实验与真实平台有一定差异,一些命令配置并不能完全在模拟环境下实现)。4网络详细设计方案4
23、.1交换模块设计交换模块由Cisco Packet Tracer 5.3和GNS3进行模拟仿真。具体仿真软件拓扑图如图4.1所示。图4.1 交换模块仿真软件拓扑设计图根据拓扑设计的要求,本次仿真设计所使用的设备有:Catalyst 2960二层交换机、Catalyst 3560三层交换机、通用路由器(标识为防火墙)、Cisco 2811、通用服务器设备、瘦AP(无线接入点设备)、台式PC、便携PC。4.1.1基础配置1、设置设备命名设置设备名称,称为Hostname,也就是出现在网络设备CLI提示符中的名字。为方便识别,一般以地理位置或行政划分来为交换机命名。当需要远程登录(Telnet)到若
24、干台设备以维护网络时,通过其名称提示符可以得知自己当前配置设备的位置以清楚当前位置。这里以交换机SW1为例:switch(config)#hostname SW1 SW1(config)#2、设置设备密码当用户想要进入特权用户模式时,需要提供此口令。此口令会的形式加密是MD5,所以当用户查看配置文件时,是无法看到明文形式的口令。将交换机的加密口令设置为gdin_alex:SW1(config)#enable secret gdin_alex3、远程登录密码对于交换机的远程管理来说,一个已经运行着的交换网络为网络管理人员提供了很多的方便。出于安全考虑,在能够远程管理交换机之前网络管理人员必须设置
25、远程登录设备的密码。设置交换机远程登录用户身份验证,同时设置口令为gdin_alex:SW1(config)#line vty 0 15SW1(config-line)#loginSW1(config-line)#pass gdin_alex4、线路超时时间为了防止管理员长时间离开,导致其他人趁机利用管理员权限,所以就需要设置终端线超时时间。在设置的时间5分钟内,如果没有检测到键盘输入,则IOS将断开交换机和用户之间的连接,重新登陆需要输入密码。设置登录交换机的控制台终端线路超时时间为5分钟:SW1(config)#line vty 0 15SW1(config-line)#exec-time
26、 5设置登录交换机的虚拟终端线的超时时间为15分钟:SW1(config-line)#line console 0SW1(config-line)#exec-time 155、设置禁用IP地址解析特性在交换机默认配置下,当管理员输入一条错误的交换机命令时,交换机会寻找网络上的DNS服务器并且将其广播给网络上的DNS服务器,寻找到DNS服务器就将其解析成对应的IP地址,寻找不到就退出ip domain-lookup,在此期间将会有一段时间不可以操作设备。在全局模式下输入命令no ip domain-lookup。可以禁用这个特性。设置禁用IP地址解析特性:SW1(config)#no ip do
27、main-lookup6、设置启用消息同步特性在输入命令的时候会被交换机产生的消息打乱,导致管理员看不清输入的命令。可以在line con 0下使用命令logging synchronous,设置交换机在产生消息时在下一行CLI提示符后复制用户输入的字符。设置启用消息同步特性:SW1(config)#line console 0SW1(config-line)#loggging synchronous4.1.2内网连通1、VTP和VLAN划分在一个庞大的企业网内中使用VTP技术有利于vlan配置,将网管部所在的接入层交换机NetMag设置成为VTP服务器,其他交换机设置成为VTP客户机。交换机
28、群将通过VTP学习获得在交换机NetMag中定义的所有VLAN的信息并且自己不可以创建,修改VLAN。默认情况下在交换机发送VTP报文更新的时候会向交换机上所有的TRUNK端口去发送,因此这些更新会占用一部分带宽,所以启用VTP修剪是将一些没有必要的流量修剪掉。VTP修剪(VTP Pruning)是VTP的一个功能,它能减少中继链路上不必要的信息量,在所有交换机上配置VTP修剪。以SW1为例子设置交换机成为VTP客户机:SW1(config)#vtp mode clientSW1#vtp pruning设置交换机NetMag为VTP服务器,并进行VLAN的划分配置:NetMag(config)
29、#vtp mode serverNetMag(config)#vlan 10NetMag(config-vlan)#name Units1NetMag #vtp pruning2、管理VLAN和IP设置为了方便网络管理人员可以从远程登录到交换机上进行管理,所以给接入层和汇聚层交换机设置一个管理用IP地址。此IP地址并不用于路由功能,这种情况下,而是将交换机看成和PC机一样的主机。给交换机在VLAN1设置管理IP地址。按照表3.1,管理VLAN所在的子网是:192.168.100.0/24,将192.168.100.5/24设为接入层交换机SW11的管理IP地址。在全局模式下为接入层交换机SW1
30、1设置管理IP并激活主VLAN。SW11(config)#intrfacerface vlan 1SW11(config-if)#ip address 192.168.0.5 255.255.255.0SW11(config-if)#no shutdown3、接口双工每个接口的双工类型有2种,一种是自动适应,另一种是手动配置;每个接口双工模式有2种,一种是半双工,另一种是全双工。根据需要可以设定某接口根据对端设备双工类型自适应本接口双工模式,也可以强制将接口双工模式设为半双工或全双工模式。在了解对端设备类型的情况下,建议手动设置端口双工模式。需要解释的是半双工和全双工的区别,全双工(Full
31、Duplex)是指在发送数据的同时也能够接收数据;半双工(Half Duplex)是指能发不能收,能收不能发。一般情况下都是设置全双工模式。设置SW11的所有接口均工作在全双工模式下:SW11(config)#intrface range FastEthernet0/1 24SW11(config-if-range)#duplex full4、接口速率接入层交换机接口速度只有3种情况,第一种是10Mbps,第二种是100Mbps,第三种是AUTO,即自适应速度。默认情况下是AUTO,在知道对端设备速度的情况下,建议手动设置接口,一般设置为100Mbps。设置在接口模式下。设置访问层交换机SW1
32、1的所有接口的速度均为100Mbps:SW11(config)# intrface range FastEthernet0/1-24SW11(config-if-range)#speed 1005、VLAN接口划分接入层交换机SW11为终端用户提供接入服务。在此以SW11为例,配置接入层交换机的VLAN接口划分。如图4.2中,接入层交换机SW11为VLAN40和VLAN50(会议室和访客厅接入)提供接入服务。图4.2 交换机SW11接口VLAN在接口配置模式下,将交换机SW11的接口Fastethernet 0/2划入VLAN40,将接口Fastethernet 0/3划入VLAN50内。SW
33、11(config)#intrface FastEthernet0/2SW11(config-if)#switchport mode accSW11(config-if)#switchport access vlan 40SW11(config)#intrface FastEthernet0/3SW11(config-if)#switchport mode accessSW11(config-if)#switchport access vlan 50其他接入层交换机根据具体需要,类似上述配置进行操作。6、干道(Trunk)链路所谓的TRUNK是用来在不同的交换机之间进行连接,以保证在跨越多个交
34、换机上建立的同一个VLAN的成员能够相互通讯。其中交换机之间互联用的接口就称为TRUNK接口。如果是不同台的交换机上相同id的vlan要相互通信,那么可以通过共享的trunk端口就可以实现。如图4.3所示,接入层交换机SW11通过接口FastEthernet 0/24上连到汇聚层交换机SW1的接口FastEthernet 0/3。汇聚层交换机SW1通过接口FastEthernet 0/23上连到核心层交换机Core1的接口FastEthernet 0/1。同时,汇聚层交换机SW1通过接口FastEthernet 0/24上连到备份核心层交换机Core2的接口FastEthernet 0/1。图
35、4.2 部分干道链路示例设置接入层交换机SW11的接口FastEthernet 0/24为干道接口:SW11(config)# intrface FastEthernet0/24SW11(config-if)#switchport mode trunk 设置接入层交换机SW1的接口FastEthernet 0/23和0/24主干道接口:SW1(config)# intrface range FastEthernet0/23-24SW1(config-if-range)#switchport trunk en do SW1(config-if-range)#switchport mode tru
36、nk 设置接入层交换机Core1和Core2的接口FastEthernet 0/1为干道接口:Core1(config)# intrface FastEthernet0/1Core1(config-if)#switchport trunk en do Core1(config-if)#switchport mode trunk Core2(config)# intrface FastEthernet0/1Core2(config-if)#switchport trunk en do Core2(config-if)#switchport mode trunk在此以SW11、SW11、Core1
37、、Core2之间的三条干道链路为例。这三条上连链路为干道链路,在这三条上连链路上将运输多个VLAN的数据,Trunk干道使用标准协议dot1q。图4.3所示为交换模块需要配置成干道链路的部分(加粗部分)。图4.3 交换模块干道链路7、VLAN网关在核心层交换机上为每个VLAN配置VLAN虚接口地址,作为每个VLAN的网关。有网关地址,用户接入网络才能正常访问各种资源。由于本次设计有核心冗余,多VLAN使用同一组HSRP,因此两个核心交换机的VLAN虚接口地址不能相同。详细地址分配将在下文进行介绍,这里只选择VLAN10和VLAN11的虚接口地址进行配置介绍。VLAN10和VLAN11的虚接口地
38、址如下:在Core1交换机VLAN 虚接口物理IP地址:VLAN 10:192.168.10.2/24VLAN 11:192.168.11.3/24在Core2交换机VLAN 虚接口物理IP地址:VLAN 10:192.168.10.3/24VLAN 11:192.168.11.3/24Core1配置过程如下:Core1(config)#intrfaceerface vlan 10Core1(config-if)#ip address 192.168.10.2 255.255.255.0Core1(config)#intrfaceerface vlan 11 Core1(config-if)#
39、ip address 192.168.11.2 255.255.255.0Core2配置过程如下:Core2(config)#intrfaceerface vlan 10Core2(config-if)#ip address 192.168.10.3 255.255.255.0Core2(config)#intrfaceerface vlan 11 Core2(config-if)#ip address 192.168.11.3 255.255.255.0其他VLAN虚接口配置过程相类似,不再赘述。8、IP分配动态主机设置协议(Dynamic Host Configuration Protoc
40、ol, DHCP)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址给用户;给内部网络管理员作为对所有计算机作中央管理的手段。 为了安全需要(具体原因在安全加固模块详细说明)和方便,员工的主机IP都是通过DHCP进行自动分配。但由于DHCP服务器与各主机并不在同一个网段内,DHCP客户端(主机PC)并不能发现其他网段的DHCP服务器,因此需用使用DHCP中继代理(DHCP Relay)来为不同网段的主机分配IP信息。在Core1的每个VLAN虚接口上配置DHCP中继代理,这里以VLAN10为例:Core1(config)#interface
41、vlan 10Core1(config-if)#ip helper-address 192.168.60.11192.168.60.11为DHCP服务器的地址,在VLAN60网段。在各VLAN虚接口配置好后,各个VLAN内的主机就能正常向DHCP服务器发送请求信息,并获取到IP信息。9、接入层交换机的其它可选配置以及特性(1)Uplinkfast在STP收敛过程中,一些终端站点可能会不可达,这是基于站点所连接交换机端口的STP状态而定。这打乱网络连接,于是关键是减少STP的收敛时间和网络受影响的时间。当链路或交换机故障,或STP重新配置后,UplinkFast可以加速选择一个新的根端口。根端口
42、立即进入转发状态,Uplinkfast通过减少最大更新速率来限制突发多播流量。Uplinkfast对于网络边缘的布线间交换机非常有用。它不适用于骨干设备。UplinkFast在直连链路故障后提供快速的收敛能力,并通过上行链路组在冗余。UplinkFast激活一个快速重新配置的条件:A. 在交换机上必须启动了UplinkFast功能;B. 至少有一个处于Blocking的端口(即有冗余链路);C. 链路失效必须发生在Root Port上。对接入层交换机进行配置:SW11(config)# spanning-tree uplinkfast注意,因为交换机启动了UplinkFast后,由于提高了交换
43、机上所有端口的路径开销,所以不适合作为根桥。所以Uplinkfast特性只能在接入层交换机上启用。(2)BackbonefastBackbonefast的作用与Uplinkfast类似,同样是用于加快生成树的收敛。不同的是,配置了Backbonefast可以检测到间接链路(不直接相连的链路)故障并立即将相应阻塞端口的最大寿命计时器计数马上到时,从而缩短了该端口开始转发数据包的时间。如下配置所示,显示在接入层交换机SW11上启用Backbonefast特性。同样的步骤需要在网络中的所有交换机上进行配置。SW11(config)# spanning-tree Backbonefast4.1.3核心
44、冗余1、HSRP冗余概述此设计企业网核心由两个高性能三层交换机组成,它们组成一个“热等待组”,这个组形成一个虚拟网关。在任一时刻,一个组内只有一个交换机是活动的,并由它来转发数据包,如果活动交换机发生了故障,将选择一个等待交换机来替代活动交换机,但是在本网络内的主机看来,虚拟网关没有改变,所以主机仍然保持连接,没有受到故障的影响,这样就较好地解决了交换机切换的问题。活动交换机称为Primary,等待交换机称为Standby,它们两者共同组成一个HSRP组。每个热等待组模仿一个虚拟设备工作,它有一个Well-known-MAC地址和一个IP地址。该IP地址、组内路由器的接口地址、主机在同一个子网
45、内,但是不能一样。当在一个局域网上有多个热等待组存在时,把主机分布到不同的热等待组,可以使负载得到分担。在此设计中将利用HSRP和PVST(Per-VLAN Spanning Tree)实现多VLAN负载均衡。如图4.4所示,搭建网络环境,并配置HSRP以及生成树来实现负载均衡。图4.4 核心冗余网络拓扑2、HSRP规划(1)HSRP参数规划如表4.1所示表4.1 HSRP参数规划表HSRP参数活动设备备份设备优先级150100(默认)占先权是是计时器默认默认组号1,10,11,20,21,22,30,31,40,50,60对等体认证加密方式MD5密码gdin_alex(2)各个VLAN在交换
46、机的虚接口地址以及Primary/Standby关系如表4.2所示表4.2 IP地址与主从关系Core1Core2虚拟网关VLAN1l 192.168.110.2/24192.168.110.3/24192.168.110.1VLAN10l 192.168.10.2/24192.168.10.3/24192.168.10.1VLAN11192.168.11.2/24l 192.168.11.3/24192.168.11.1VLAN20l 192.168.20.2/24192.168.20.3/24192.168.20.1VLAN21192.168.21.2/24l 192.168.21.3/24192.168.21.1VLAN22l 192.168.22.2/24192.168.22.3/24192.168.22.1VLAN30192.168.30.2/24l 192.168.30.3/24192