4. 局域网设计方案
4.1 网络结构设计方案
对于网络平台的网络结构,建议采用模块化的设计思想,按照功能划分为以下区块:交换区块和核心区块。对于由交换区块和核心区块构成的局域网再按照目前流行的层次化的设计思想,划分为接入层、汇聚层和核心层。
1、交换区块的主要功能是提供用户的接入点,并防止广播数据流和网络问题到达核心区块或者其他区块,交换区块由接入层交换机和汇聚层交换机构成:
(1)接入层:
接入层设备作为最终用户的网络接入点,使用100M双绞线连接各层桌面终端,为每个用户提供专用的带宽,并可基于端口或MAC地址的VLAN成员资格和流量进行过滤,接入层主要的设计原则是能够通过低成本、高端口密度的设备提供这些功能。
(2)汇聚层:
接入层交换机使用100M双绞线汇聚到一台或者多台汇聚层设备,汇聚层设备在接入层交换机之间提供第二层连接,作为接入层交换机的集中连接点及接入层和核心层之间的分界点,汇聚层在提供接入层接入的同时,还能够做到广播域的隔离、不同网段之间的路由、介质转换、安全控制。汇聚层需要提供第三层功能,即支持路由选择和网络层服务,以保护交换区块不受网络其他部分失效的影响,并防止本交换区块故障对网络其他部分的影响,如果交换区块发生了广播风暴,分布层设备可以防止该广播风暴扩散到核心和网络的其他部分。
2、核心区块是园区网络的主干,主要功能是在交换区块之间用最小的时延传输数据,尽可能快的将交换数据提供到其他区块(比如交换区块)。核心区块由核心层构成,包含一个或一组用来连接多个交换区块的交换机。
核心层:
核心层交换机负责所有交换区块设备和广域网设备的接入,因此需要高速的数据转发能力。核心层设备需要支持链路捆绑技术,来保证数据的转发能力,防止出现线路瓶颈。作为企业网络的心脏,核心层也是路由协议最优选路和运行稳定的保证,需要合理的配置路由协议,并添加冗余处理器或者应用冗余协议来保障网络核心的稳定,使企业数据流正常运作。
网络结构的设计是整个网络系统设计的基础,一个优秀的网络结构设计方案有利于提高网络的性能、可靠性及将来网络的扩展能力,并能够有效的减少维护难度,本
12
论文设计的网络结构拓扑图如图1:
图1 网络结构拓扑图
4.2 虚拟局域网(vlan)设计方案
划分虚拟局域网是整个网络系统的重要技术之一。企业网络内部的环境复杂、分布区域广、网络用户多,以至于企业内部网络用户的可靠性得不到完全的保证。通过划分虚拟局域网,隔离不同部门,可以增强企业网络安全性,以下详细论述了虚拟局域网的技术及在网络系统中的必要性和设计方案。
4.2.1 VLAN技术简介
以太网基本上是以广播为基础的,如最初包的寻址等,交换机虽然能够通过建立地址映射表减少不必要的广播,但是地址映射表的建立过程仍然是基于广播的,网络节点(如PC机)在处理广播时浪费了CPU处理时间,降低了处理性能,根据统计,当网络上存在15000个广播包时,将耗尽CPU资源;在传统的网络里,节点的吞吐
13
量都会随着节点的增多而下降,交换式以太网虽然能够隔离冲突域及第二层广播,但是无法隔离第三层网络。
另一方面,接入网需要保障用户数据(单播地址的帧)的安全性,隔离携带有用户信息的广播消息(如ARP、DHCP消息等),防止关键设备受到攻击。对每个用户而言,当然不希望他的信息被别人利用,因此需要从物理上隔离用户数据(单播地址的帧),保证用户单播地址的帧只有该用户可以接收到,不像在局域网中采用共享总线方式,使单播地址的帧能被总线上的所有用户接收。如果不隔离这些广播消息而让其他用户接收到,容易发生MAC/IP地址仿冒,影响设备的正常运行,中断合法用户的通信过程。
为了隔离第三层广播,增强安全性、提高网络性能,可以运用VLAN(虚拟局域网)技术或者使用路由设备。
使用路由器时可以将网络划分多个物理网段,这些物理网段可以连接到路由器的多个端口,多个物理网段间通过路由器进行通信,但是路由器的端口价格远远高出交换机的端口价格,所以这种方式将增加设备投资,在物理网段增多时就更为严重,而且只有使用高端设备才能满足高端口密度的要求,所以不推荐这种方式。
VLAN技术不需要特殊的设备,目前第二层交换机均支持VLAN技术。通过在一个物理网段上划分出多个逻辑网段,由每一个逻辑网段构成一个VLAN,其内部采用交换机连接,所有的广播信息只限制在本VLAN内,而之间的连接则采用路由实现,具体实施时可以外加路由器,或者直接使用第三层交换设备。使用路由器时,将这些逻辑网段连接到路由器时可以只使用一条物理链路、占用一个路由器接口,这样就节省了设备的投资,而使用三层交换设备时,不需要额外增加设备,只要交换机支持三层路由功能即可,由于三层交换设备的工作效率高于路由器,所以在本论文中推荐采用三层交换设备实现VLAN之间的路由。
4.2.2 VLAN方案设计
目前,VLAN技术可以使用以下方式组建:基于交换机端口的VLAN、基于MAC地址的VLAN和基于应用协议的VLAN:
基于端口的VLAN,即静态VLAN,特点是技术简单,容易配置且维护工作量小,缺点是终端设备移动时需要更改设备配置。
基于MAC地址的VLAN,即动态VLAN,基于Vlan策略服务组建,特点是终端设备可以在整个局域网中移动而不用改变配置,适合于移动办公型的网络环境,缺点是配置工作量大、繁琐。
由于交换机为二层设备,所以基于应用协议的VLAN对于交换机来说没有任何意义,反而会造成交换机性能的下降。
考虑到本系统的特点,节点在网络中内移动的可能性较小,基于易维护、易管理
14
方面的考虑,使用基于交换机端口的VLAN进行配置。
VLAN规划参照图2,各个VLAN间由ACL控制,限制互访。其中VLAN10~31为部门VLAN,禁止互访,VLAN 51为文件服务器区,能被任何部门访问,VLAN 52为网管区,能单向访问各个部门。
vlan10192.168.10.0/24File ServerVlan 51192.168.51.0/24网管中心Vlan 52192.168.52.0/24vlan11192.168.11.0/24201.1.14.4/30INTERNETsw1Sw4vlan20192.168.20.0/24192.168.5.4/30Router 1192.168.45.4/24Core Sw 1192.168.5.8/30PIX防火墙vlan21192.168.21.0/24sw2192.168.5.0/30Router 2192.168.45.5/24Core Sw 2vlan30192.168.30.0/24OSPF Backbone 0192.168.40.0/24vlan31192.168.31.0/24sw3图2 Vlan及IP地址规划图
4.3 第三层交换技术设计方案
顾名思义,第三层交换器就是将第二层的交换器与第三层的路由器合二为一,使路由器根据第二层的地址转发数据包以达到快速通讯,这就形成了第三层交换器。
第三层交换出现因于ATM与交换器的技术背景,因为传统的网络是由路由器作为中心的。使用第二层交换器使网络速度提升,可是在网络中使用过多的交换器,所有交换器所架构的网络可能会形成广播风暴,所以需要路由器来隔离可能会形成的广播风暴,为了使路由器不会形成网络的瓶颈,就形成了第三层交换。VLAN将广播域进行分割,但透过VLAN进行通讯则必须通过路由器进行转发。
所有核心层交换机均为三层交换,手动打开 ip routing。
15
4.4 IP multicast技术方案设计
为了使企业网络系统成为能够承载多种应用的多媒体网络,使网络点播和网络会议成为办公的有力工具,网络对组播的支持是必不可少的。
传统的点对点单播通信,在发送方和每一接收方需要单独的数据通道。在这种通信方式下,源IP主机向指定的目标IP主机发送信息包。IP信息包中的目标地址就是IP网络中惟一的主机地址。从一台主机送出的每个数据包只能传送给一个目标主机,通过路由器或交换机将这些IP信息包从源主机发送到目标主机。在源主机和目标主机之间的路径上的每一个路由器都维护由单播路由协议生成的单播路由信息库,并根据数据包中的IP目标地址在单播路由信息库中查找单播包转发路径。这种传送方式称为单播。
在单播方式下,如果有另外的多个用户希望同时获得这个数据包的拷贝是不可能的。发送信息的主机必须向每个希望接收此数据包的用户发送一份单独的数据包拷贝。这种巨大的冗余会带来很大的代价,首先,会给发送数据的源主机带来沉重的负担,因为它必须对每个要求都做出响应,这使得负担过于沉重主机的响应会大大延长。其次对路由器和交换机的性能也提出了更高的要求,管理人员被迫购买本来不必要的硬件和带宽来保证一定的服务质量。
组播路由与IP单播路由有一个本质的区别就是,IP单播路由是根据网络的拓扑结构而不是实际的会话来建立路径,而IP组播路由则是根据网络的会话来动态地建立投递路径;因此,IP组播路由比IP单播路由更具有动态性。
目前可用的组播路由模型有两种:稠密分布模型和稀疏分布模型。稠密分布模型假定组播成员在网络中稠密分布,并且它们之间的网络带宽资源往往随时可用;而稀疏分布模型假定组播成员在网络中稀疏分布,而且它们之间带宽资源往往比较紧张。
组播和传统的单播数据传送方式如图3所示:
图3 组播示意图
从图中可以清楚的看出,单播传送发送数据的多个拷贝,每个拷贝发送到一个接收者,主机轮流发送数据的拷贝,网络分别将它们转发至每个接收者,主机一次只能发送至一个接收者。而组播传送则只把发送数据的一个拷贝发送到多个接收者,主机
16