这种“骨干千兆光纤,百兆铜缆到桌面”的层次划分有以下特点:结构清晰,易于设计和管理,大大提高了网络的扩充能力;网络结构和实际应用的组织结构相一致,便于安全管理,减轻网络的数据流量;根据不同层次和实际经济承受能力,选择相应的网络设备和硬件设备,使投资更合理。总之,采用层次化的网络设计,其优点是便于网络管理,优化网络性能,增强网络的扩展性。
3.3.3以太网交换技术(虚拟交换技术)
采用交换机可以减少本地网络内发生的冲突,然而全部由交换机构成的网络往往会构成一个广播域,在单个广播域或平面网络中,每台设备都会接收每个广播。随着交换网络中主机数量的增长,所发送和接收的广播也不断增加,广播数据会占用大量带宽,导致通信延迟和超时。使用VLAN是一个很好的解决此类网络问题的方案之一,每个VLAN都具有自己的广播域,避免了广播风暴,提高了网络的效能。
3.3.4网络的规划与编址
中小企业网络用户近千人,适合使用分层的地址方案,结合分层网络设计,简化了网络管理,提升可扩展性和路由性能(如VLSM支持路由总结对提升网络性能具有明显效果)。
中小企业网络内部一般使用保留地址,即不在公网上使用的IP地址,如表3-3。
表3-3保留地址
类别 A B C IP地址范围 10.0.0.0-10.255.255.255 172.16.0.0-172.16.255.255 192.168.0.0-192.168.255.255 10 172.16-172.31 192.168.0-192.168.255 网络号 1 16 255 网络数
根据本次典型需求,即20个部门(综合办公室、财务部、研发部、后勤部等),共700个设计点位,四个建筑(包括办公楼、生产车间、生活楼及食堂)
12
楼层共计10个的要求,大部分部门用户数应在30人左右,最大部门的用户也将不会超过62人,选定设备类型及数量如表3-4。
表3-4设备清单
名称 防火墙 路由器 核心交换机 48口接入交换机 24口接入交换机 SFP光口模块 SFP电口模块 无线AP 2.4GHzAP天线 5GHz天线 型号 ASA5510-K8 CISCO2911/K9 WS-C3750X-24S-S WS-C2960-48TC-L WS-C2960-24TC-L GLC-SX-MM GLC-T AIR-AP1242AG-C-K9 AIR-ANT4941 AIR-ANT5135D-R 数量 1 1 2 6 10 72 10 6 12 12
通过以上要求分析采用C类保留地址较为适当。对比“子网联网”和“可变字长子网掩码(VLSM)”两种技术,在对相关子网地址无法精确估计情况下,为做到对子网地址留有余地,采用子网联网的技术,使每个子网地址数相等,保留主机数为62个。
管理上按照管理VLAN(定义为各设备的默认VLAN1)、设备连接VLAN(vlan2)和业务VLAN三类构成,划分如下:
表3.5主要设备及接口地址规划
名称/标识 接入ISP互联网路由/ISP Router Firewall S0/0/0 路由器/c2900k9 F1/0 F1/1 VLAN1/192.168.100.253/192 VLAN1/192.168.100.252/192 Serial,FastEthernet 此设备所有功能在c2900k9中模拟实现,故此处未明确具体端口及IP。 IP:218.28.58.131/29视同(模拟)防火墙外端口 主要端口 S0/0/0 VLAN/IP IP:218.28.58.130/29 13
核心交换F0/1,3,5? /C3750X-24S-S1 G0/1 核心交换F0/2,4,6? /C3750X-24S-S2 G0/1 接入交换 VLAN1/192.168.100.1/192 VLAN10?/192.168.10.62?/192 VLAN100/192.168.100.254/192 VLAN1/192.168.100.2/192 VLAN10?/192.168.10.62?/192 VLAN100/192.168.100.254/192 Vlan2/192.168.1.0/255.255.255.0
表3-6接入交换设备连接VLAN划分表 接入设备对应 核心及对应端口 端口 C3750X-24S-S1 GigabitEthernet1/1 GigabitEthernet1/1 Bg-C2960-1f-1 C3750X-24S-S2 GigabitEthernet1/2 GigabitEthernet1/1 C3750X-24S-S1 GigabitEthernet1/1 GigabitEthernet1/2 Bg-C2960-2f-1 C3750X-24S-S2 GigabitEthernet1/2 GigabitEthernet1/2 C3750X-24S-S1 GigabitEthernet1/1 GigabitEthernet1/3 Bg-C2960-3f-1 C3750X-24S-S2 GigabitEthernet1/2 GigabitEthernet1/3 C3750X-24S-S1 GigabitEthernet1/1 GigabitEthernet1/4 Bg-C2960-4f-1 C3750X-24S-S2 GigabitEthernet1/2 GigabitEthernet1/4 C3750X-24S-S1 GigabitEthernet1/1 GigabitEthernet1/5 Bg-C2960-5f-1 192.168.1.5 192.168.1.4 192.168.1.3 192.168.1.2 192.168.1.1 楼层接入设备 楼层接入管理IP 14
C3750X-24S-S2 GigabitEthernet1/2 GigabitEthernet1/5 C3750X-24S-S1 GigabitEthernet1/1 GigabitEthernet1/6 Bg-C2960-6f-1 C3750X-24S-S2 GigabitEthernet1/2 GigabitEthernet1/6 C3750X-24S-S1 GigabitEthernet1/1 GigabitEthernet1/7 Sh-C2960-1f-1 C3750X-24S-S2 GigabitEthernet1/2 GigabitEthernet1/7 C3750X-24S-S1 GigabitEthernet1/1 GigabitEthernet1/8 Sh-C2960-2f-1 C3750X-24S-S2 GigabitEthernet1/2 GigabitEthernet1/8 C3750X-24S-S1 GigabitEthernet1/1 GigabitEthernet1/9 Sc-C2960-1f-1 C3750X-24S-S2 GigabitEthernet1/2 GigabitEthernet1/9 C3750X-24S-S1 GigabitEthernet1/1 GigabitEthernet1/10 St-C2960-1f-1 C3750X-24S-S2 GigabitEthernet1/2 GigabitEthernet1/10
192.168.1.10 192.168.1.9 192.168.1.8 192.168.1.7 192.168.1.6 说明:
核心交换C3750X-24S-S1:C3750X代表设备型号,24代表端口数量,2f代表为相应建筑的第二个楼层设备,S1中S代表设备为交换机,S1中数字代表该设备编号(如S2则代表第二个核心交换)。
接入交换Bg-C2960-5f-1:Bg代表办公楼(Sh代表生活楼、Sc代表生产车间大楼、St代表食堂),C2960代表接入交换的型号,5f对应大楼楼层,1代
15
表弱电井中交换机的序号。
表3-7业务VLAN划分表
功能属性Vlan 代码 10 Shengchan1 11 Shengchan2 12 Shengchan3 13 Shengchanv4 14 Xiaosh1 生产 小组1 生产 小组2 生产 小组3 生产 小组4 销售 1部 15 Xiaosh2 销售 2部 16 Zonghbgs 综合办公室 17 Caiwsh 财务办公室 18 Yanfb 研发部 192.168.12.62 192.168.11.254 192.168.11.190 192.168.11.126 192.168.11.62 192.168.10.254 192.168.10.190 192.168.10.126 192.168.10.62 192.168.10.1 -192.168.10.61 192.168.10.65 -192.168.10.125 192.168.10.129 -192.168.10.189 192.168.10.193 -192.168.10.253 192.168.11.1 -192.168.11.61 192.168.11.65 -192.168.11.125 192.168.11.129 -192.168.11.189 192.168.11.193 -192.168.11.253 192.168.12.1 -192.168.12.61 ? ? ? ? ? ? 255.255.255.192 255.255.255.192 255.255.255.192 255.255.255.192 255.255.255.192 255.255.255.192 255.255.255.192 255.255.255.192 255.255.255.192 描述 网关地址 主机IP范围 子网掩码 Vlan是在一个物理网段内,进行逻辑划分,划为为若干虚拟局域网。Vlan具备一个物理网段的所有特性,相同VLAN可直接通信,不同VLAN间访问必须经由路由器转发,广播只可以本vlan内进行。实现VLAN有两种方式,Port Vlan和Tag Vlan,Port Vlan利用交换机的端口进行Vlan划分,一个端口只能属于一个Vlan, Tag Vlan对不同Vlan的主机进行隔离,数据传输时需要在数据
16