华夏企业网络规划及实施方案
合起来,做为一个逻辑的通道,也就是channel-group,这样交换机会认为这个逻辑通道为一个端口。
2.4 快速生成树协议(RSTP)
RSTP:快速生成树协议(rapid spanning Tree Protocol ):802.1w由802.1d发展而成,这种协议在网络结构发生变化时,能更快的收敛网络。它比802.1d多了两种端口类型:预备端口类型(alternate port)和备份端口类型。 STP(Spanning Tree Protocol )是生成树协议的英文缩写。该协议可应用于环路网络,通过一定的算法实现路径冗余,同时将环路网络修剪成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环。
2.5 VRRP
虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送。
2.6 ACL
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。
2.7 RIP
路由信息协议(RIP)是一种在网关与主机之间交换路由选择信息的标准。RIP 是一种内部网关协议。在国家性网络中如当前的因特网,拥有很多用于整个网络的路由选择协议。作为形成网络的每一个自治系统,都有属于自己的路由选择技术,不同的 AS 系统,路由选择技术也不同。
2.8 NAT
网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
第3页,共76页
华夏企业网络规划及实施方案
2.9 CHAP
CHAP全称是PPP(点对点协议)询问握手认证协议 (Challenge Handshake Authentication Protocol)。该协议可通过三次握手周期性的校验对端的身份,可在初始链路建立时完成时,在链路建立之后重复进行。通过递增改变的标识符和可变的询问值,可防止来自端点的重放攻击,限制暴露于单个攻击的时间。
2.10 VPN
虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式〉、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了彩隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
第三章 解决方案
3.1 规划场景
规划场景如下图所示:
出差用户办公地点BFTP服务器WEB服务器分公司办公地点A财务部人事部业务部工程部策划部技术部
第4页,共76页
华夏企业网络规划及实施方案
3.2 网络实施拓扑
网络实施拓扑如下图所示:
3.3 网络实施分析
1.在接入层使用二层交换机,在接入层交换机上划分vlan,则可以实现对广播域的隔离,财
务部vlan10,人事部vlan20,业务部vlan30,策划部vlan40,技术部vlan50,工程部vlan60. 2.建设双核心的高可靠性网络,核心交换互为备份。为充分发挥设备的性能,两台核心交换承担不同用户数据负载。交换机之间的链路配置为Trunk链路,三层交换机上采用SVI方式实现vlan之间的路由。
3.两台核心交换机之间采用双链路连接,在两台三层交换机之间配置端口聚合,以提高带宽。
4.接入交换机的Access端口上采用端口安全的方式实现对允许的连接数量的控制,以提高
第5页,共76页
华夏企业网络规划及实施方案
网络的安全性。
5.为了提高网络的可靠性,整个交换网络内配置RSTP,以避免环路带来的影响
6.两台三层交换上配置路由接口,连接A办公地点的路由器R1,并在R1和R2分别配置接口IP地址。并启用RIP路由协议,实现全网互通。
7.R1和R2办公地点的路由器R2之间通过广域网链路连接,在R1和R2的广域网接口上配置chap协议提供一定的安全性。
8.两台三层交换机上配置默认路由,指向R1;R1上配置配置默认路由指向R2;R2上配置默认路由指向连接到因特网的下一条地址。
9.在R2上配置NAT方式实现企业内网仅用少量公网IP地址到因特网的访问。
10.在S2上,用ACL实现财务部可以访问WEB服务器和FTP服务器,其他部门都能访问WWW服务但不能访问FTP服务器。
11.通过VPN实现移动办公人员,分公司与总公司的通信。
3.4 项目实施流程
1.在核心交换机(型号RG-S3750-24)与接入交换机(型号RG-S2261G)上分别创建相应的
VLAN;
2.核心交换机与接入交换机之间建立TRUNK链路;
3.两台核心交换机直接通过双链路相连,实现端口聚合;
4.在全部交换机上配置RSTP,指定两台三层交换机分别为根网桥和备份根网桥; 5.在接入交换机的access链路上实现端口安全;
6.配置三层交换机的VLAN间路由功能;
7.在三层交换机的路由端口、R1和R2上配置接口IP地址; 8.R1和R2配置广域网链路,启用PPP协议和配置CHAP认证;
9.运用RIPV2路由协议配置企业内网的路由,用静态路由实现企业内网到互联网的访问; 10.在路由器R1上做NAT实现内网对外网的访问;
11.建立WEB、FTP服务器,使企业内网实现资源共享;
12.为了控制内网对互联网的访问,在路由器上作访问控制列表;
13.在总公司与分公司之间建立VPN连接。
3.6设备命名规则
为了标识网络设备、便于管理网络设备,应该为网络中每一台设备赋予名称标识,设备命名
第6页,共76页
华夏企业网络规划及实施方案
的基本原则为:
1.能表示出网络设备的类型; 2.能表示出网络设备的物理位置; 3.能表示出网络设备所属的网络层次;
4.相同物理位置和网络层次的网络设备由不同序号区分; 5.能反映出该设备的业务属性和网元功能。 本次工程的设备命名规范如下:
交换机命名以SW开头,路由器命名以R开头,服务器命名以Server开头。 举例说明:
比如说二层交换机SW1,SW2,路由器R1,R2。
3.7接口描述规则
为了标识设备端口,便于后期维护,应为没一个接口设置接口描述,接口描述的基本规则为: 1.能表示出端口的对端网元设备 2.能表示出端口的类型
3.能反映出对端端口所在板卡的物理槽位 本次工程的接口描述规范如下: 快速以太网口用f开头,串口用S开头。 举例说明:
例如交换机SW1的快速以太网口f0/10端口,路由器R1的串口S0/1/0端口。
3.8 IP地址规划
IP地址规划的结果直接影响到网络运行的质量,以下是几点IP地址规划的基本原则: 1.唯一性:
一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术,也尽量不要规划为相同的地址。 2.连续性:
连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率。 3.扩展性:
地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性。 4.实义性:
第7页,共76页