中小型企业组网方案设计deflate

中小型企业组网方案设计deflate内容摘要：

当网络管理人员需要管理的交换机数量众多时，可以使用 VLAN 中继协议（ Vlan Trunking Protocol， VTP）简化管理，它只需在单独一台交换机上定义所有 VLAN。 然后通过 VTP 协议将 VLAN 定义传播到本管理域中的所有交换机上。 这样，大大减轻了网络管理人员的工作负担和工作强度。 VTP（ VLAN Trunking Protocol）：是 VLAN 中继协议，也被称为虚拟局域网干道协议。 它是一个 OSI 参考模型第二层的通信协议，主要用于管理在同一个域的网络范围内VLANs 的建立、删除和重命名。 在一台 VTP Server 上配置一个新的 VLAN 时，该 VLAN的配置信息将自动传播到本域内的其他所有交换机。 这些交换机会自动地接收这些配置信息，使其 VLAN 的配置与 VTP Server 保持一致，从而减少在多台设备上配置同一个VLAN 信息的工作量，而且保持了 VLAN 配置的统一性。 VTP 通过网络 (ISL帧或 cisco 私有 DTP 帧 )保持 VLAN 配置统一性。 VTP 在系统级管理增加，删除，调整的 VLAN，自动地将信息向网络中其它的交换机广播。 此外， VTP减小了那些可能导致安全问题的配置。 使用 VTP 便于管理 ， 只要在 VTP Server 做相应设置 ， VTP Client 会自动学 习 VTP Server 上的 Vlan信息。 VTP 有三种工作模式 ： VTP Server、 VTP Client 和 VTP Transparent，如图 4 所示。 一般，一个 VTP 域内的整个网络只设一个 VTP Server。 VTP Server 维护该 VTP 域中所有VLAN 信息列表， VTP Server 可以建立、删除或修改 VLAN。 VTP Client 虽然也维护所有 VLAN 信息列表，但其 VLAN 的配置信息是从 VTP Server 学到的， VTP Client 不能建Vlan 10 Vlan 20 Fa 0/0 trunk 静态路由 8 立、删除或修改 VLAN。 VTP Transparent 相当于是一上独立的交换机，它不参与 VTP 工作，不从 VTP Server 学习 VLAN 的配置信息，而只拥有本设备上自己维护的 VLAN 信息。 VTP Transparent 可以建立、删除和修改本机上的 VLAN 信息。 图 4 VTP 的不同工作模式  STP（ Spanning Tree Protocol,生成树协议） 企业网络首要关心的就是高可用性，它在很大程序上依赖于处理业务的多层交换网络。 确保高可用性的方法之一就是在整个网络中提供设备、模块和链路的冗余。 但 是，第二层的网络冗余可能会导致潜在的桥接环路，数据包将在设备之间无休止地循环，进而破坏网络的正常工作能力。 STP 能够识别并防止这种第二层环路。 STP 使用根网桥、根端口和指定端口等概念来建立网络的无环路径。 STP 能够克服冗余网络中透明桥接的问题，通过采用无环路径， STP 能够避免和消除网络中的环路。 STP 可以通过 判断网络中存在环路的地方并阻断冗余链路， 从而达到上述目的，确保到每个目标都只有一条路径，所以永远不会产生环路，如果发生某条链路失效的情况，那么网桥就会将接口从阻塞状态过渡到转发状态。  园区网内部部署 方式 为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换的部署Sever Client Transparent 创建 VLAN 修改 VLAN 删除 VLAN 发送、转发 VLAN 信息 同步 VLAN 信息 只能创建本地 VLANs 只能修改本地 VLANs 只能删除本地 VLANs 转发接到到的 VLAN 信息 不能同步 VLAN 信息 不能创建 VLANs 不能修改 VLANs 不能删除 VLAN 同步 VLAN 信息 VTP 模式 9 是分层进行的。 园区网数据交换设备可以划分为三个层次： 接入 层、分布层、核心层。 接入层 为所有的终端用户提供一个接入点；分布层除了负责将 接入层 交换机进行汇集外，还为整个交换网络提供 VLAN 间的路由选择功能；核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。 远程访问技术： 远程访问也是园区网络必须提供的服务之一。 它可以为家庭办公用户和出差在外的员工提供移动接入服务。 下面对各种远程接入方式进行比较 ：  各种远程接入方式的比较 1) 远程拨号 采用远程拨号方式，必须申请电话线，用户多时，需申请中继电话线，而且需要 Modem Pool 将模拟信号转换成数字信号，拨号访问服务器将串行数据转换为网络上传输的 IP 数据包。 同时多数企业较难为接入设备提供理想的工作环境，不能确保信息传输的质量和安全。 2) 租用专用线路 在过去的数十年间，许多企业花费大量资金租用专用线路，将其主要分支机构连接起来组成该企业的私有通信网络，以达到信息在企业内部的快速沟通和共享，这样企业在获得高效率的同时，也为租用专用线路付出了较高的成本。 3) VPN 远程接入 VPN(Virtual Private Network) 即虚拟专用网是在公共网络上建立的专用网络 [810]，但其任意 2 个结点间的连接并没有传统专用网络所需的点到点的物理链路，而是架构在公共网络 ( Inter) 服务商 ( ISP) 所提供网络平台上的逻辑网络。 用户数据通过 ISP 在公共网络中建立的逻辑隧道 ( Tunnel ) ，即点到点的虚拟专线进行传输。 通过加密和认证技术，确保企业内部网络数据在公共网络上安全传输，真正实现网络数据的专有性。 VPN 是对企业内部网络的扩展，通过它可以实现远程用户与内部网络的安全连 接。 VPN 远程接入方式最适用于企业经常有人员出差，需实现远程办公的情况。 出差员工利用当地 ISP 提供的 VPN 服务，即可与企业 VPN 网关建立私有的隧道连接。 VPN 远程接入方式有以下主要优势： 简化网络。 只需要投入 1 台 VPN 网关设备，即可解决几十到几千人的远程接入问题。 10 节省费用。 利用本地拨号接入取代远距离接入或 800 电话接入，显著降低长途通信费用，减少了用于购置调制解调器和终端服务设备的费用。 支持多种标准认证机制如 LDAP、 RADIUS 等。 多样接入方式。 无论用户采用哪种方式访问互联网，均可 建立 VPN 连接。 自由选择规模。 无论企业大小， VPN 都有相对应的产品，用户数可为 5～ 5 000 个。 具有高可用性。 对于接入用户较多的企业， VPN 支持远程接入的高可用性模式，保障用户服务的连贯性。  Easy VPN 方式 Easy VPN 是 Cisco的一种 特性 ，它允许使用 Cisco VPN 客户端软件一类实施 IPsec远程访问设备。 由于可以使用 Cisco 路由器或者 PIX 来配置 Easy VPN 服务器，而不需要另外增加其他设备，对于已经拥有一台大容量的边缘路由，而且仅需要少量的远程访问用户的企业来说，这无 疑在保证了远程访问的高安全性的前提下， 可以 在成本控制上有更大的优势。 这也是本设计方案所采用它作为远程访问方式的原因。 HSRP（热备份路由器协议） 随着 Inter 的日益普及，人们对网络的依赖性也越来越强。 这同时对网络的稳定性提出了更高的要求，人们自然想到了基于设备的备份结构，就像在服务器中为提高数据的安全性而采用双硬盘结构一样。 路由器是整个网络的核心和心脏，如果路由器发生致命性的故障，将导致本地网络的瘫痪，如果是骨干路由器，影响的范围将更大，所造成的损失也是难以估计的。 因此，对路由器采用热备份是提 高网络可靠性的必然选择。 在一个路由器完全不能工作的情况下，它的全部功能便被系统中的另一个备份路由器完全接管，直至出现问题的路由器恢复正常，这就是热备份路由协议（ Hot Standby Router Protocal）， HSR PRFC2281 技术要解决的问题 ，如图 5 所示。 11 图 5 正常情况下启动 HSRP 的数据传输路径 热备份路由器协议（ HSRP）是思科私有的协议，它的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器 ，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。 负责转发数据包的路由器称之为主动路由器（ Active Router）。 一旦主动路由器出现故障， HSRP 将激活备份路由器（ Standby Routers）取代主动路由器。 HSRP 协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。 如果主动路由器出现故障，备份路由器（ Standby Routers）承接主动路由器的所有任务，并且不会导致主机连通中断现象 ，如图 6 所示。 图 6 主动路由发生故障时数据的传输路径 活动路由 备份路由 园区核心 虚拟路由 活动路由 备份路由 园区核心 虚拟路由 12 HSRP 运行在 UDP 上，采用端口号 1985。 路由器转发协议数据包的源地址使用的是实际 IP 地址，而并非虚拟地址，正是基于这一点， HSRP 路由器间能相互识别。 现思科公司的第三层交换机也支持该协议。 HSRP 根据对两互备份路由器或交换机的优先级设定，将其中一台设备置为活动状态，而另一台设备置为备用状态，当主设备发生故障时备用设备能立即启用，这就是所谓 ―热备 份 ‖的含义。 对网络中正常工作的用户而言，这一切 都 是透明不可见 的，从而保证了网络的正常运行。 3 中小型企业网络的建设目标与需求分析 网络建设目标 与原则 中小型企业网络设计的总体目标是利用先进的计算机技术和网络通信技术，建设高质量、高效率的统一的通信网络。 其具体目标： 一、使系统互通互联，最大限度地实现信息资源共享； 二、用电子信息的传递取代纸面文件、材料的传送，逐步实现 “ 无纸办公 ，改变传统 ” 工作方式，进一步提高工作效率； 三、利用各种业务信息的综合分析，为各级领导提供决策支持，更好地组织生产和经营。 在网络建设中主要遵循以下原则： 一、在企业领导小组的统一领导下，建立 统一的规章制度，进行统一的管理，采用统一的标准。 二、在网络建设中，所有软硬件产品的选择都必须坚持标准化的原则，采用全路统一的硬、软件平台和基本应用软件，进行统一的软件版本升级管理。 三、网络应具有良好的安全性与保密性。 四、做到资源共享与保护。 充分合理地利用现有的资源，最大限度地与原有系统或在建系统互通互联，在尽可能利用已有投资的基础上，解决好经费的补充和配套资金到位问题。 中小型企业网络 设计 需求 根据国家于 2020 年 2 月 19 日发布的《关于印发中小企业标准暂行规定的通知》可 13 以得知，不同行业的中小型企业人数 限定是不一样的，但是根据行业的性质以及所规定的人数，一间中小型企业使用计算机的数量一般在几百台以内。 因此，小型园区网络设计即可满足要求。 小型园区网络设计适用于最多只包含几百台联网设备的建筑物规模的网络。 因此，在本方案中，将以企业目前拥有 300 台办公计算机为例，设定该企业对网络需要如下：  企业拥有有 300 台办公计算机，要求都能访问 Inter 资源 ；  外网通过 inter只能访问企业内 DMZ区域的各种共享服务器，如 FTP、 WWW、不能访问其它内网信息 ；  会议室、会客厅、大厅这三个位置，要实现 wifi无线上网，可以实现多人同时接入 ；  出差工作人员及在家办公人员能够远程访问公司内部的共享文件以及进行数据传送 ；  网络要求是可扩展的，高速的，冗余的，安全的，并可满足为现在或将来进行语音、视频、图像等各种服务的应用 ；  要保证企业内部服务器群可以集中管理以及企业内部信息安全 ；  为了简化起见， 在本方案中 设定 公司一共有 5 个部门：财务部、市场部、策划部、客服中心、采购部。 网络设计需求分析 根据企业提出需求，进行分析，最终将采取以下方案解决企业需求 ：  申请一个 10M 的带宽，以满足 300 台计算机访问 Inter；  申请有九个公网 IP： 分配给了 Inter 接入路由器的串行接口，另外8 个 IP 地址： ～ ；  购买一台 CISCO 路由器 CISCO 3640 以实现企业内部网连接到 Inter；  企业目前有 300 台计算机连入网络，考虑到在未来五年内可能会有所增加，预计增加幅度为 100 台，总共有 400 台。 因此接入层交换机 48 口的 Catalyst 2960 需要数量为： 400/48＝ 10 台；  将各个部门划分在不同的 VLAN，包括服务组群 和管理 VLAN 一共需要 7 个VLAN； 14  将 WEB服务器， 邮件 服务器， FTP 服务器直接与核心交换机 Cisco 4501 连接，置于管理机房，方便管理，同时配置 ACL控制各部门访问权限并阻止外网访问；  在需要无线上网的会议厅、会客厅。