华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计
并使用电子信息的传递取代纸面文件、材料的传送,逐步实现无纸办公,改变传统的工作方式,进一步提高工作效率。同时,利用各种业务信息的综合分析,为各级领导提供决策支持,更好地组织生产和经营。
第 2 页
华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计
2 企业建网涉及的主要网络技术介绍
谈到网络技术,我们不能不想到全球行业的龙头老大—CISCO(思科),它是1984年由斯坦福大学的一对教授夫妇创办,自1986年生产第一台路由器开始,让不同类型的网络可以可靠地互相联接并实现通信,从此掀起了一场通信革命,思科公司每年投入40多亿美元进行技术研发,过去20多年,思科几乎成为了“互联网、网络应用、生产力”的同义词,思科公司在其进入的每一个领域都成为市场的领导者,同时,随着网络技术的发展与成熟,出现了更多的市场竞争者,比如:国外有Juniper、Netcore、阿尔法及LINKSYS等,国内有华为、中兴、TP-Link及D-Link等,本次方案的讨论与设计主要以CISCO(思科)产品为基础设施进行搭建。
CISCO企业网络概述
CISCO企业架构
CISCO开发了一个企业架构,以帮助公司保护、优化和扩展支持业务流程的基础设施,该架构可用于集成整个网络—园区、数据中心、分布机构、远程工作人员和广域网,让员工能够安全地访问所需的工具、流程和服务。
CISCO企业园区架构将智能交换和路由选择的核心基础设施与紧密集成的效率改善技术结合在一起,该架构通过采用富有弹性的多层设计、冗余的硬件和软件功能以及在出现故障时自动重新配置网络路径,向企业提供了高可用性。
CISCO企业数据中心架构是一种内聚的自适应网络结构,在满足整合、业务持续和安全需求的同时,它还支持新出现的面向服务的架构、虚拟化和按需计算,让职员、供应商和客户能够安全地访问应用程序和资源。这样能够简化管理工作并提高效率,同时极大地降低开销。冗余的数据中以同步和异步的方式复制数据和应用程序,以提供备份。
CISCO企业分支机构架构让企业能够扩展总部的应用程序和服务(如安全性、IP通信和高级应用)的覆盖范围,以覆盖数千个远程卖点和用户或少量的分支机构。CISCO在分支机构中的一系列集成服务路由器集成了安全性、交换、网络分析和缓存功能,以及融合的语音和视频服务,让企业无需购买新的路由器就能部署新的服务。这种架构让用户能够随时随地安全地访问语音、关键任务数据和视频应用。
CISCO企业远程工作人员架构让企业能够通过标准的宽带接入服务,向远程小型或家庭办公室安全地提供语音和数据服务,从而为企业提供弹性的上班时间解决方案,为员工提供灵活的工作时间。通过集中管理,最大限度地降低了IT支持费用。集成的安全和基于身份的网络服务让企业能够将园区安全策略延伸到远程工作人员。员工通过始终可用的VPN安全地登录网络,并从单个平台访问得到授权的应用程序和服务。
第 3 页
华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计
CISCO企业WAN架构通过单个CISCO统一通信网提供语音、视频和数据服务,让企业能够以更蔓延的方式扩大其跨越的地理区域。QoS、细粒度的服务等级和广泛的加密方案有助于确保安全地将高质量的语音、视频和数据服务提供给公司的各个场点,让员工不管身处何地都能高效地工作。通过使用中央—分支或全互联拓扑,在第二层或第三层WAN上建立多服务VPN确保了数据流传输的安全性。
CISCO企业复合网络模型
CISCO制定了一套有关安全的最佳实践,向网络设计人员和员工支持网络应用和已有
的网络基础设施正确地部署安全解决方案提供了蓝图。该蓝图名为SAFE,其中包括企业复合网络模型,网络专业人员可以使用它来分析和描述任何现代企业网。
企业复合网络模型首先将网络划分成三个功能区域,如下:
企业园区:该功能区包含组建层次园区网所需的模块,接入、集散和核心原则也适用于这些模块。
企业边缘:该功能区域聚合了企业网边缘上各种网络元件的连接性,包括到远程卖点、Internet和远程用户的连接性。
服务提供商边缘:该区域并不是由组织实现的,它用于提供到服务提供商的连接性,如Internet服务提供商(ISP),WAN提供商和公共交换电话网(PSTN)。
这些功能区域包含各种网络模块,而这些模块可以包含层次模型中的核心层、汇聚层和接入层的功能。
园区网络技术
企业园区定义了企业复合网络模型的一个功能区域,它包括以下企业复合模块:园区基础设施、网络管理、边缘分布。其中园区基础设施模块包括建筑拉入、建筑物布和园区主干了模块。建立一个完整的园区网络需要涉及到路由、交换与远程访问技术。它们是现代计算机网络领域中三大支撑技术体系。
2.2.1 路由技术
路由协议工作在OSI参考模型的第三层,因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力,除了可以完成主要的路由任务,利用访问控制列表(Access Control List,ACL),路由器还可以用来完成路由器为中心的流量控制和过滤功能。在本组网方案中,内网用户不仅通过路由接入Internet、内网用户之间也通过三层交换机上的路由功能进行数据包交换。
第 4 页
华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计
2.2.2 交换技术
传统意义上的数据交换发生在OSI模型的第二层,现在交换技术还实现了第三层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了园区网数据交换服务质量,满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网(Virtual Local Area Network,VLAN)的概念。
VLAN技术的出现,主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LAN---VLAN,在每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个VLAN内,如下图2-1 VLAN划分原理所示:
一
图2-1 VLAN划分原理
下面是对VLAN各种特性的讨论: ? VLAN的主要特性有: 1、限制广播
广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力。 2、增强局域网的安全性
不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。
3、灵活构建虚拟工作组
用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活,如下图2-2虚拟工作组所示:
第 5 页
华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计
图2-2 虚拟工作组
4、VLAN是在数据链路层的,划分子网是在网络层的,所以不同子网之间的VLAN即使是同名也不可以相互通信。 ? VLAN的划分依据
从技术角度讲,VLAN的划分可以依据不同原则,一般以下三种划分方法: 1、基于端口的VLAN划分
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法,该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。 2、基于MAC地址的VLAN划分
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一且固化在网卡上的,MAC地址由12位16进制数表示,前6位为网卡的厂商标识(OUI),后6位为网卡的标识(NIC),网络管理员可以按MAC地址把一些站点划分为一个逻辑子网。
3、基于路由的VLAN划分
路由协议工作在网络层,相应的工作设备有路由器和路由交换机(却三层交换机),该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
目前来说,对于VLAN的划分主要采取上述1、3种方式,第2种方式为辅助性的方案。
? 不同VLAN间的通信
在不同VLAN间不通过路由是无法通信的,在VLAN内的通信,必须在数据帧头中指定通信目标的MAC地址,而为了获取MAC地址,TCP/IP协议下使用的是ARP,ARP解析MAC地址的方法,则是通过广播,也就是说,如果广播报文无法到达,那
第 6 页