隨著企業網絡應用的普及,在辦公效率得到提高,辦公成本降低的同時,許多原來無法實現的企業方案也借助網絡得以實現,充分體現了網絡的優越性,構建局域網是企業信息化建設的必經之路。
1、 網絡拓撲結構與技術應用
1.1 設計原則
企業的辦公區域一般在幾層樓至幾棟樓范圍內,構建辦公樓局域網多選擇經濟型千兆以太網。該經濟型網絡的最大特點是連接簡單,可以最大限度地減少對線路、設備和模塊數量的需求。同時,在網絡設備的選擇上也能以滿足需要為限,從而降低局域網絡的建設費用。
經濟型網絡的拓撲結構通常選擇簡單的樹形(見圖 1),采用二層與三層相結合的方式構建局域網絡。對于用戶數量較少的樓宇,只采用接入交換機或交換機級聯的方式直接連接至核心交換機。對于用戶密集的樓宇,由于接入交換機的數量較多,則需增加一定數量的匯聚交換機實現接入層交換機的匯接,并實現與核心交換機的級聯。
1.2 技術應用
(1) 因各交換機之間都通過千兆介質連接,在某些特殊情況下,千兆傳輸無法滿足要求,需通過鏈路匯聚技術解決帶寬不足問題。使用鏈路匯聚技術可以將 2~4 條千兆鏈路綁定在一起作為一條鏈路使用,從而增加交換機之間的連接帶寬,并實現鏈路冗余。在萬兆端口依然昂貴的情況下,千兆以太網鏈路匯聚技術無疑是最為經濟實用的選擇。
(2) 考慮到網絡的擴展性,在擴展網絡時由于錯誤鏈接有可能產生拓撲環路,為此,應采用擴展樹技術,保證從核心交換機到每個客戶端都有且只有一條鏈路,以避免因為可能產生的拓撲環使網絡陷于癱瘓。
(3) 根據部門的不同性質和對安全性不同的需要,將用戶劃分至不同的虛擬局域網。使用 VLAN技術,用以隔離廣播域或減小廣播流量,提高網絡傳輸效率和網絡安全性。
由于默認狀態下 VLAN 間無法自由通信,所以需要使用三層交換技術,實現 VLAN 間路由,確保局域網通信暢通。同時,可以根據安全訪問的需要,借助 IP 或 MAC 訪問列表實現對網絡傳輸的限制。
2、 網絡設備配置方案與模擬仿真
通常情況下,當搭建網絡時一般都是先在網絡中心統一配置好網絡設備,然后,再分發到各樓宇的機柜中安裝。因此,在手動配置網絡設備前,必須做好統籌和規劃工作,避免可能產生的 IP 地址、名稱等的沖突和混亂。通過 Cisco Packet Tracer 軟件可以模擬網絡設備的功能,檢查配置方案是否合理,并驗證該局域網的連通性。本文按照圖 1 在模擬器中建立相應的網絡拓撲圖 (見圖 2),在模擬過程中,邊界路由器使用 Cisco 2811,核心交換機和匯聚交換機使用Catalyst 3560,接入交換機使用 Catalyst 2960。
2.1 IP 地址和 VLAN 規劃
局域網內的計算機使用內部保留 IP 地址段192.168.0.0 ~192.168.255.255,子網掩碼采用默認的 255.255.255.0。交換機管理 IP 地址段使用保留IP地址段 172.16.100.0, 子網掩碼采用255.255.255.0。為了提高安全性和網絡傳輸效率,將每個部門劃分為一個 VLAN,使用一個獨立的 IP 地址段,本文中共劃分 6 個 VLAN (見表 1)。
2.2 VLAN 的建立
在核心交換機中建立 VLAN2,將其命名為Server,分配 192.168.20.254/24 的 IP 地址,啟用三層邏輯接口,再依次建立其他 VLAN。配置完成后可查看核心交換機中的路由表 (見圖 3)??梢?,由三層物理接口 Fa0/1 連接 192.168.100.0 子網,6個邏輯接口作為默認網關連接每個相應的 VLAN。
當多個交換機上存在多個 VLAN 時,需要通過 VLAN 中繼實現不同交換機中相同 VLAN 的通信,即將連接不同交換機鏈路兩端的接口設置為Trunk。在拓撲圖中,部分級聯交換機之間采用了冗余連接。在默認狀態下,STP 協議會自動阻塞冗余鏈路從而避免廣播風暴。而通過鏈路匯聚技術可以同時使用所有的冗余鏈路,從而成倍提高傳輸帶寬。為此同樣需要對鏈路兩端的接口進行配置,首先要將接口設置為 Trunk。設置參數為:
設置完成后可在核心交換機中查看所配置的VLAN (見圖 4),VLAN1~6 已經建立成功,各端口在默認狀態下均在 VLAN1 中,Fa0/2 和 Fa0/3 為鏈路匯聚端口,不屬于任何 VLAN;Fa0/4 和 Fa0/5為 VLAN 中繼端口,同樣也不屬于任何 VLAN。
為了保持各交換機中 VLAN 配置的統一性,需要在所有交換機中啟用 VTP 協議,可通過將增加、刪除、更改后的 VLAN 信息向網絡中其他交換機廣播,來實現 VLAN 信息的同步更新。在核心交換機中,啟用 VTP 并保持其默認的服務器模式。而在其他交換機中,將 VTP 設置為客戶端模式,從而實現與服務器的同步。當所有匯聚和接入交換機的 VTP 客戶端模式和 VLAN 中繼配置完成后,VTP 域內的所有交換機已具有相同的 VLAN信息。此時,各交換機中均存在 VLAN1~6,但所有端口在默認狀態下都被分配給 VLAN1。此后,可以根據實際需要,將不同的端口分配給不同的VLAN。
端口分配完成后查看該交換機 VLAN 配置信息 (見圖 5):VLAN1~6 已被建立,端口 f0/1 和 f0/2為鏈路匯聚接口而不屬于任何 VLAN,f0/3-7、f0/8-12、f0/13-18、f0/19-24 被分別分配給 VLAN3~6。
VLAN2 為服務器專用,在該交換機中沒有任何接口被指定分配。
2.3 路由功能的實現
每當有新的辦公樓層或部分區域投入使用時,網絡拓撲結構將發生變化。若使用靜態路由,則拓撲每發生一次變化,都必須重新配置路由信息。對此,根據樹形網絡拓撲結構,并考慮到未來網絡的擴展性,使用動態路由協議可以減少管理和運行成本,即使在網絡拓撲結構發生變化以后,也能自動進行路由計算并選擇最佳的路由途徑。當新樓層子網接入局域網后,也無需配置路由信息。
首先,完成路由器與核心交換機的接口配置(見表 2、表 3)。
在本次模擬中使用擴展性較強的 OSPF 動態路由協議。啟用 OSPF 全局配置命令后 , 通 過network 命令啟用與路由設備相連接的子網中的所有接口,使其發送和接收 OSPF 數據包,在該OSPF 區域內所有路由設備都將通過 OSPF 數據包獲知該區域內的動態路由信息。路由器及核心交換機按如下參數配置:
配置完成后可在路由器中查看路由表 (見圖6)。 可以看出 , 該路由器連接 60.9.255.0 和192.168.100.0 兩個子網,通過 OSPF 動態路由協議識別出與核心交換機相連的其他子網,并將目標地址為 192.168 號段的數據包發送到核心交換機192.168.100.2 接口,默認路由將其他目標地址的數據包發送到 ISP 路由器的 60.9.255.2 接口。說明路由表配置成功,已實現路由功能。
2.4 與廣域網的鏈接
通過邊界路由器連接到廣域網,必須通過NAT 實現公有與私有 IP 地址之間的轉換。中小型數據中心一般僅有一個公有 IP 地址,因此需要借助 NAT 過載來實現一對多的 IP 地址映射。使用NAT 過載,首先要設置可轉換的私有 IP 地址范圍,該功能可以通過 ACL 腳本實現,同時對局域網的安全也有一定的保障 。 假設子網192.168.10.0~50.0 需要連接外網,可以按如下參數配置:
該操作完成后,指定內部與外部接口,NAT轉換功能即可實現。此時查看路由器的狀態 (見圖7),可見 192.168.10.0~50.0 子網的 IP 地址已在外部接口 s0/0/0 實現地址映射。
2.5 連通性測試
在各網絡設備配置完成后,需要測試該網絡的連通性,以驗證設計方案的是否可行。選擇設備終端 PC1 \\( 192.168.40.1\\) 來 ping 服 務 器 Server0(192.168.20.1)(見圖 8)??梢?PC1 發出的 4 個數據包均成功返回,表示 PC1 與 Server0 能夠互相通信。由于 PC1 與 Server0 分別處于 192.168.40.0 和192.168.20.0 兩個不同的子網,說明該網絡中的三層交換設備可實現 VLAN 間路由。
再使用 PC1 來 ping ISP 路由器接口 s0/0/0(60.9.255.2)(見圖 9),4 個數據包均成功返回,表示路由器與核心交換機的 OSPF 動態路由協議已成功運行,局域網內的用戶可以訪問 Internet,說明該局域網的設計方案是可行的。
3、 結語
(1) 千兆以太網作為一種非常成熟的以太網技術,已經被廣泛應用于各種類型和規模的局域網絡。對于投入資金有限、網絡規模不大、數據傳輸不多的企業辦公網絡而言,千兆以太局域網無疑是最佳的選擇。
(2) 通過模擬軟件模擬網絡設備性能,驗證設計方案的可行性,可避免因設計缺陷而造成的損失。