图4 两种H3C S5500-HI交换机
2.2.3路由器的选择
路由器选择使用H3C公司的ER5200双核宽带路由器,它是H3C ER系列路由器中的中高端产品,主要用于以太网、光纤、ADSL接入的SMB市场和政府、企业机构、网吧等网络环境, 采用专业的64位双核网络处理器,高达500MHz主频,同时支持丰富的软件特性,如MAC地址绑定,ARP防攻击,流量限速,双WAN负载均衡,策略路由,源地址路由等功能。
ER5200支持标准的IPSec VPN,用户可以通过简单的WEB配置实现点对点之间的安全的VPN连接,最高支持168位的3DES加密;同时H3C结合国内用户的组网特点在ER5200上同时支持通过域名方式配置IPSec VPN连接和NAT-T的NAT穿越功能。
11
图5 H3C ER5200路由器
2.2.4防火墙的选择
防火墙选择使用H3C的 SecPath U200-CS-AC防火墙,它是一款小型企业级防火墙,这款防火墙拥有市场领先的安全防护功能,具备完整的协议支持能力,是中小型企业保护网络安全的优良之选。 H3C SecPath U200-CS-AC防火墙能够提供安全区域划分、动静态黑名单、地址绑定等完善的防火墙功能,具备丰富的VPN特性,可实现高精度的病毒防护和全面的流量管理功能,并对网络行为具备理想的审计和控制功能,是用户加强企业网路安全优化网络资源的理想设备。
图4 H3C SecPath U200-CS-AC防火墙
2.5 设计该网络所需要的设备价格列表
12
为了节省开支的同时还能保证设备的性能,选择如下设备:
序号 1 2 3 4 表2主要设备价格明细 产品名称 数量 单价(元) H3C S5120-SI交换机 H3C S5500-HI交换机 H3C ER5200路由器 H3C SecPath U200-CS-AC防火墙 合计 5 2 1 1 3,200.00 16,000.00 3,499.00 7,199.00 总价(元) 16,000.00 32,000.00 3,499.00 7,199.00 58,698.00
3 项目实现
3.1 MSTP技术
MSTP是多生成树协议的缩写(Multiple Spanning Tree Protocol),传统的STP(生成树协议)是基于整个网络产生的一个树形结构,所有的VLAN都共享一个生成树,这种结构网络流量负载不均衡,使个别设备工作很繁忙,另外一些设备很空闲。使用MSTP将多个VLAN捆绑到一个实例,每个实例生成独立的生成树,在多条Trunk链路上实现多条VLAN的负载分担。
配置MSTP过程如下图:
13
图5 MSIP配置过程
在汇聚层交换机SW1上进入区域配置视图配置域名并设置VLAN和实例的映射,分两组分别映射VLAN10、20、30、40并激活配置,开启设备的STP特性并设置实例1为首选跟桥实例2为备份跟桥;同样在SW2上配置MSTP,但在SW2上设置实例2为首选跟桥而实例1为备份跟桥。在接入层的四台交换机SW3、4、5、6上均设置实例1与VLAN10、20的绑定和实例2与VLAN30、40的绑定,并分别激活配置和开启设备的STP特性,即可完成MSTP的配置。
3.2 链路聚合技术
链路聚合是多条物理链路聚合在一起的一条逻辑链路,从而实现各个出入端口的负载分担,交换机会根据配置好的端口负荷来决定从哪一个端口发送报文。在采用STP的时候会使设备间的冗余链路被阻塞,浪费了链路的带宽,使用链路聚合可以提供链路冗余性还能提高链路带宽。
链路聚合配置过程如下:
14
图6链路聚合配置过程
在汇聚层交换机SW1上创建一个二层聚合端口1(聚合端口默认工作在静态聚合模式下),再分别进入到要配置链路聚合的两个以太网接口中,把接口加入到聚合组。SW2的配置与SW1完全相同,注意端口号码要与SW1对应起来。
3.3 VRRP技术
VRRP技术是虚拟路由冗余协议的缩写(Virtual Router Redundancy Protocol),由IETF提出用于解决局域网中出现单点失效的路由协议。通常来说,同一网段内的所有主机都设置一条相同的以网关为下一跳的缺省路由。一旦网关发生故障,本网段内所有以网关做缺省路由的主机将无法与外部网络通信。VRRP将可以将多个路由器加入到备份组中,形成一台虚拟路由器,来承担网关的功能,只要备份组中仍有一台路由能够正常工作,虚拟路由器就仍然可以正常工作。所以配置VRRP可以避免局域网内网关的故障而导致的网络中断。
配置VRRP过程如下:
15