华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计
么就无从解析MAC地址,亦即无法直接通信。
计算机分属不同的VLAN,也主意味着分属不同的广播域,自然收不到彼此的广播报文,因此,属于不同VLAN的计算机之间无法直接互相通信,为了能够在VLAN间通信,需要利用OSI参照模型中更高一层---网络层的信息(IP地址)来进行路由。
因此,在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现,如下图图2-3 VLAN间路由所示:
图2-3 VLAN间路由
? VTP协议
当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(Vlan Trunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN,然后通过VTP协议将VLAN定义传播到本征管理域中的所有交换机上,这样,大大减轻了网络管理人员的工作负担和工作强度。
VTP(Vlan Trunking Protocol):是VLAN中继协议,也被称为虚拟局域网干道协议。
它是一个OSI参考模型第二层的通信协议,主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名,在一台VTP Server上配置一个新的VLAN时,该VLAN的配置信息将自动传播到本域内的其他所有交换机,这些交换机会自动地接收这些配置信息,使其VLAN的配置与VTP Server保持一致,从而减少在钓鱼台设备上配置同一个VLAN信息的工作量,而且保持了VLAN配置的统一性。
VTP通过网络(ISL帧或cisco私有DTP帧)保持VLAN配置统一性,VTP在系统级管理增加、删除,调整的VLAN,自动地将信息向网络中其它的交换机广播,此外,VTP减小了那些可能导致安全问题的配置,使用BTP便于管理,只要在VTP Server做相应设备,VTP Client会自动学习VTP Server上的VLAN信息。
VTP有三种工作模式:VTP Server、VTP Client和VTP Transparent,如下图所示,一般,一个VTP域内的整个网络只设一个VTP Server,VTP Server维护该VTP域中所
第 7 页
华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计
有VLAN信息列表,VTP Server要吧建立、删除或修改VLAN,VTP Client虽然也维护所有VLAN信息列表,但其VLAN的配置信息是从VTP Server学到的,VTP Client不能建立、删除或修改VLAN,VTP Transparent相当于是----上独立的交换机,它不参与VTP工作,不从VTP Server学习VLAN的配置信息,而只拥有本设备上自己维护的VLAN信息。VTP Transparent可以建立、删除和修改本机上的VLAN信息,所下图2-4 VTP模式所示:
图2-4 VTP模式
? STP(Spanning Tree Protocol,生成树协议)
企业网络首要关心的就是高可用性,它在很大程度上依赖于处理业务的多层交换网络,确保高可用性的方法之一就是在整个网络中提供设备、模块和链路的冗余,但是,第二层的网络冗余可能传导致潜在的桥接环路,数据包将在设备之间无休止地循环,进而破坏网络的正常工作能力。
STP能够识别并防止这种第二层环路,STP使用根网桥、要端口和指定端口等概念建立网络的无环路径。
STP能够克服冗余网络中透明度桥接的问题,通过采用无环路径,STP能够避免和消除网络中的环路,STP可以通过判断网络中存在环路的地方并阻断冗余链路,从而达到上述目的,确保到每个目标都只有一条路径,所以永远不会产生环路,如果发生某条链路失效情况,那么网桥就会将接口从阻塞状态过渡到转发状态。
园区网内部部署方式
为了简化交换网络设计、提高交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的,园区网数据交换设备可以划分为三个层次:接入层、分布层、核心层。接入层为所有的终端用户提供一个接入点;分布层除了将接入层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能;核心层将各分布层交换机互连
第 8 页
华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计
起来进行穿越园区网骨干的高速数据交换。
2.2.3 远程访问技术
远程访问也是园区网络必须提供的服务之一,它可以为家庭办公用户和出差在外的员工提供移动接入服务,下面对各种远程接入方式进行比较:
? 各种远程接入方式的比较 1)远程拨号
采用远程拨号方式,必须申请电话线,用户多时,需申请中继电话线,而且需要Modem Pool将模拟信号转换成数字信号,拨号访问服务器将串行数据转换为网络上传输的IP数据包,同时多数企业较难接入设备提供理想的工作环境,不能确保信息传输的质量和安全。 2)、租用专用线路
在过去的数十年间,许多企业花费大量资金租用专用线路,将其主要分支机构连接起来组成该企业的私有通信网络,以达到信息在企业内部的快速沟通和共享,这样企业在获得高效率的同时,也为租用专用线路付出了较高的成本。 3)、VPN远程接入
VPN(Virtual Private Network)即虚拟专用网是在公共网络上建立的专用网络,但其任意2个结点间的连接并没有传统专用网络所需的点到点的物理链路,而是架构在公共网络(Internet)服务商(ISP)所提供网络平台上的逻辑网络,用户数据通过ISP在公共网络中建立的逻辑隧道(Tunnel),即点到点的虚拟专线进行传输,通过加密技术和认证技术,确保企业内部网络数据在公共网络上安全传输,真正实现网络数据的专有性。VPN远程接入方式最适用于企业经常有人员出差需实现远程办公的情况,出差员工利用当地ISP提供的上网服务,即可与企业VPN网关建立私有隧道连接。 VPN远程接入方式有以下主要优势:
简化网络:只需要接入1台VPN网关设备,即可解决几十到几千人的远程接入问题。 节省费用:利用本地拨号接入取代远距离接入或800电话接入,显著降低长途通信费用,减少了用于购置调制解调器和终端服务设备的费用。 支持多种标准认证机制如LDAP、RADIUS等。
多接接入方式:无论用户采用那种方式访问互联网,均可建立VPN连接; 自由选择规模:无论企业大小,VPN都有相对应的产品,用户数可为5~5000个; 具有高可用性:对于接入用户较多的企业,VPN支持远程接入的高可用模式,保障用户服务的连贯性。 ? Easy VPN方式
Easy VPN是CISCO的一种特征,它允许使用CISCO VPN客户端软件一类实施IPSec远程访问设备。
第 9 页
华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计
由于可以使用CISCO路由器或者PIX来配置Easy VPN服务器,而不需要另外增加其他设备,对于已经拥有一台大容量的边缘路由,而且仅需要少量的远程访问用户的企业来说,这无疑在保证了远程访问的高安全性的前提下,可以在成本控制上有更大的优势。
这也是本设计方案所采用它作为远程访问方式的原因。
2.2.4 热备份路由协议(HSRP)
随着Internet的日益普及,人们对网络的依赖性也越来越强,这同时对网络的稳定性提出了更高的要求,人们自然想到了基于设备的备份结构,就像在服务器中为提高数据的安全性而采用双硬盘结构一样,路由器是整个网络的核心和心脏,如果路由器发生致命性的故障,将导致本地网络的瘫痪,如果是骨干路由器,影响的范围将更大,所造成的损失也是难以估计的,因此,对路由器采用热备份是提高网络可靠性的必然选择,在一个路由器完全不能工作的情况下,它的全部功能便被系统中的另一个备份路由器完全接管,直至出现问题的路由器恢复正常,这就是热备份路由协议(Hot Standby Router Protocal),HSRP RFC2281技术要解决的问题,如下图2-5 HSRP热备一所示:
图2-5 HSRP热备一
热备份路由器协议(HSRP)是思科私有的协议,它的设计目标是支持特定情况下IP流量失败转移不会引起混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性,负责转发数据包的路由器称之为主动路由器(Active Router)。一旦主动路由器出现故障,HSRP将激活备份路由器(Standby Routers)取代主动路由器,HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制,并指定一个虚拟的IP地址作为网络系统的缺省网关地址。如果主动路由器出现故障,备份路由器(Standby Routers)承接主动路由器的所有任务,并且不会导致主机连通中断现象,如下图2-6 HSRP热备二所示:
第 10 页
华南理工大学计算中心 计算机科学与技术2008级专升本业余 中小型企业组网方案设计
图2-6 HSRP热备二
HSRP运行在UDP上,采用端口号1985,路由器转发协议数据包的源地址使用的是实际IP地址,而并非虚拟地址,正是基于这一点,HSRP路由器间能相互识别。
现思科公司的第三层交换机也支持该协议,HSRP根据对两互备份路由器或交换机的优先级设定,将其中一台设备置为活动状态,而另一台设备置为备用状态,当主设备发生故障时备用设备能立即启用,这就是所谓“热备”的含义,对网络中正常工作的用户而言,这一切都是透明不可见的,从而保证了网络的正常运行。
本章小结
本章介绍了Cisco对中小型企业的架构、对中小型企业复合网络模型建设;还介绍了当今组建中小型企业园区网络的主要技术,包括了路由技术、交换技术、VLAN技术、远程访问技术及冗余热备份技术等,这些都是在组建一个高可用性企业网络中必须涉及的相关技术。
第 11 页