网络构建-第2单元项目二

1、第2单元 组建中型网络2.1 项目一 多办公区之间的网络连接2.1.1 交换机之间的级联技术交换机是局域网络的核心，它连接网络中所有的工作设备，如服务器、工作站、PC机、笔记本电脑、路由器、防火墙、网络打印机等，构成互联互通的星形网络。网络规模扩展以后，构建一个中型局域网络，网络中交换机的数量通常不只是一个，网络中用户数有上百个，甚至上千个，就必须需要使用更多的交换机来连接。网络中交换机和交换机之间的连接方式有级联技术和堆叠技术之分。级联技术和堆叠技术分属于二种不同的网络连接技术，它们的应用范围也有很大的区别。1、交换机级联技术所谓级联，是指使用普通的网线，将交换机普通端口（如RJ-45端口）

2、连接在一起，实现相互之间的通讯，使用级联技术连接网络，一方面解决了单交换机端口数不足的问题，另外方面就是快速延伸网络直径，解决离机房较远距离的客户端和网络设备的连接。需要注意的是，交换机也不能无限制地级联下去，超过一定数量的交换机进行级联，最终会引起广播风暴，导致网络性能严重下降。而且还因为线路过长，一方面信号在线路上的衰减也较多，另一方面，下级交换机是通过共享上级交换机的一个端口可用带宽，层次越多，最终的客户端可用带宽也就越低，这样对网络的连接性能影响非常大。从实用的角度来看，建议最多部署三级交换机级连：核心交换机->汇聚交换机->接入交换机。2、级联端口区别级联又分为以下两种：

3、使用普通端口级联和使用级联端口的级联方式。R 使用Uplink端口级联有些交换机配有专门的级联（UpLink）端口是专门用于与其他交换机连接的端口，通过UpLink口使得交换机之间的连接变得更加简单。UpLink端口是专门为上行连接提供的，通过直通线将该端口，连接至其他交换机上除“Uplink端口”外的任意端口，这种连接方式跟计算机与交换机之间的连接完全相同。R 使用普通端口级联普通端口就是通过交换机的RJ-45以太端口进行连接。如果交换机没有提供专门的级联Uplink端口，只能使用交叉线，将两台交换机的普通端口连接在一起，扩展网络端口数量， 2.1.2 交换机的堆叠1、交换机堆叠技术简单局域

4、网使用固定24或48端口100M交换机，由于其配置简单、成本低，得到广泛使用。当网络规模不断提高时，需要高密度的端口时，固定端口的交换机可扩展性受到极大挑战，可管理交换机的堆叠技术则解决了这一问题，将几台交换机通过专用的堆叠模块，使用专用的堆叠线缆相连，可以成倍地提高网络接入端口密度和端口带宽。由于堆叠是把交换机的背板带宽通过专用模块聚集在一起，这样堆叠交换机的总背板带宽就是几台堆叠交换机的背板带宽之和，堆叠交换机组可视为一个整体的交换机进行管理，从而满足了大型网络对端口的数量要求。交换机堆叠是通过厂家提供的一条专用连接电缆，从一台交换机的“UP”堆叠端口直接连接到另一台交换机的“DOWN”堆

5、叠端口，以实现单台交换机端口数的扩充。一般交换机能够堆叠48台，在大型网络中对端口需求比较大的情况下，交换机的堆叠是扩展端口最快捷、最便利的方式，同时堆叠后的带宽是单一交换机端口速率的几十倍。需要注意的是：R 并不是所有的交换机都支持堆叠的，这取决于交换机的品牌、型号是否支持堆叠；并且还需要使用专门的堆叠电缆和堆叠模块。R 采用堆叠的交换机要受到种类和相互距离的限制。首先实现堆叠的交换机必须是支持堆叠的；另外由于厂家提供的堆叠连接电缆一般都在1M左右，故只能在很近的距离内使用堆叠功能；R 最后还要注意同一堆叠中的交换机必须是同一品牌。目前流行的堆叠模式主要有两种：菊花链模式和星型模式。2、菊花

6、链式堆叠菊花链式堆叠是一种基于级联结构的堆叠技术，通过堆叠接口或模块首尾相连对交换机硬件上没有特殊的要求，但就交换效率来说，同交换机级联模式处于同一层次。菊花链式堆叠形成的环路可以在一定程度上实现冗余。堆叠连接时，每台交换机都有两个堆叠接口，通过随机附带的堆叠电缆和相邻的交换机堆叠接口相连。如果要实现链路冗余，可将最后一台交换机的另一个堆叠接口与第一台交换机的另一个堆叠接口连接，从而形成环路，环路可以在一定程度上实现冗余，但也带来广播风暴。菊花链式结构由于需要排除环路所带来的广播风暴，在正常情况下，环路中的某一台交换机到达主交换机只能通过一个高速端口进行，需要通过所有上游交换机来进行交换。菊花

7、链式堆叠是一类简化的堆叠技术，主要是一种提供集中管理的扩展端口技术，对于多交换机之间的转发效率并没有提升，需要硬件提供更多的高速端口。菊花链式堆叠的层数一般不应超过四层，在堆叠层数较多时，堆叠端口会成为严重的系统瓶颈。3、星型堆叠星型堆叠技术是一种高级堆叠技术，对交换机而言，需要提供一个独立的或者集成的高速交换中心（堆叠中心），所有的堆叠主机通过专用的高速堆叠端口，也可以是通用的高速端口，上行到统一的堆叠中心。堆叠中心一般是一个基于专用ASIC的硬件交换单元，根据其交换容量，带宽一般在1032G之间，其ASIC交换容量限制了堆叠的层数。星型堆叠需要一个主交换机，其它是从交换机，每台从交换机都通

8、过堆叠接口或模块与主交换机相连，这种方式要求主交换机的交换容量（背板带宽）要比从交换机的要大星型堆叠技术中所有的堆叠组成员交换机，到达堆叠中心交换机的级数缩小到一级，任何两个端节点之间的转发，只需要经过三次交换，与菊花链式结构相比，它可以显著地提高堆叠成员之间数据的转发速率，同时还提供统一的管理模式，一组交换机在网络管理中，可以作为单一的节点出现。 星型堆叠模式克服了菊花链式堆叠模式，多层次转发时的高时延影响，但需要提供高带宽堆叠中心，成本较高，而且堆叠中心接口一般不具有通用性，无论是堆叠中心还是成员交换机的堆叠端口，都不能用来连接其他网络设备。使用高可靠、高性能的堆叠中心芯片是星型堆叠的关键

9、。一般的堆叠电缆带宽都在2G-2.5G之间（双向），堆叠电缆长度一般不能超过2m，所以星型堆叠模式下，所有的交换机需要局限在一个机架之内。2.1.3 交换机之间的链路聚合1、聚合链路技术链路聚合技术就是将交换机的多个端口在物理上分别连接，在逻辑上通过技术捆绑在一起，形成一个拥有较大带宽的复合主干链路，聚合链路还可以实现均衡负载，并提供冗余链路网络效果。在局域网建设中，由于网络中数据通信量的快速增长，现有的百兆位、千兆位带宽，对于局域网许多网络服务连接来说，网络的带宽远远不够。于是出现了将多条物理链路，当作一条逻辑链路使用的聚合链路技术，网络通信由聚合到逻辑链路中的所有物理链路来共同承担。聚合链

10、路是在可管理交换机上实现的一种技术，它把两台互相连接的交换机之间两条以上的链路，虚拟成为一条复合链路来传输信息。聚合在一起的链路，可以在单一逻辑链路上，组合使用上述传输速度，使用户在交换机之间，获得一条千兆传输速度的选择，以负担得起的方式逐渐增加网络传输带宽。2、聚合链路特点组合在一起的聚合链路端口，可以作为单一连接端口来使用，提供单一连接带宽，聚合链路一般用来连接一个或多个带宽需求大的设备，如连接骨干网络的服务器或服务器群，网络传输流被动态地分布到各个端口。聚合链路的另一个主要优点是可靠性。聚合链路技术在点到点链路上提供了固有的、自动的冗余性。如果链路使用的多个端口中的一个出现故障，网络传输

11、的数据流，可以动态地转向链路中其他正常的端口进行传输，自动地完成了对实际流经某个端口的数据的管理。聚合链路技术只能在100Mbit/s以上的链路上实现，而且各品牌设备对聚合链路的支持能力不尽相同，大部分交换机都支持最多4-8条平行链路的聚合链路，但有少数交换机支持更多链路的聚合；有的交换机只能把相邻端口设为一组聚合端口，而有的交换机则可以把任意端口设为一组聚合端口。2.1.4 交换机之间的冗余链路1、冗余链路在骨干网设备连接中，单一链路的连接很容易，但一个简单的故障就会造成网络的中断。因此在实际网络组建的过程中，为了保持网络的稳定性，在多台交换机组成的网络环境中，通常都使用一些备份连接，以提高

12、网络的健全性、稳定性。这里的备份连接也叫备份链路、或者冗余链路。备份链路之间的交换机之间经常互相连接，形成一个环路，通过环路可以在一定程度上实现冗余 。链路的冗余备份能为网络带来健全性，稳定性和可靠性等好处，但是备份链路会使网络存在环路，环路问题是备份链路所面临的最为严重的问题，交换机之间的环路将导致网络新问题的发生。R 广播风暴R 多帧复制R 地址表的不稳定广播风暴交换机采用了按信息中携带的MAC 地址，实现在不同端口之间转发数据，每一个端口通过识别来源于每个端口的 MAC， 学习生成地址表，交换机以后按照信息帧中携带的地址信息，根据生成地址表信息，把信息转发到不同端口，从而完成通信。由于交

13、换机依赖网络设备的MAC 地址和端口的地址对应表，进行数据的转发。若收到目的地址未知的数据帧，只能利用广播的形式来寻址，把收到的信息转发到所有的端口上，如果互相连接成环路的交换机之间都互相广播，其后果就是在一个环形网络中造成大量的数据在重复传输，即“广播风暴”，从而导致网络的瘫痪。多帧复制网络中如果存在环路，目的主机可能会从不同的端口，收到某个数据帧的多个副本，此时会导致交换机在处理这些数据帧时无从选择，产生迷惑：究竟该如何处理哪个帧呢？严重时会导致网络连接的中断。MAC地址表的不稳定当交换机连接不同网段时，将会出现通过不同端口收到来自同一个广播帧的多个副本的情况。这一过程也会同时导致MAC地

14、址表的多次刷新。这种持续的更新、刷新过程会严重消耗内存资源，影响交换机的交换机的交换能力，同时降低整个网络的运行效率。严重时，将耗尽整个网络的资源，并最终造成网络的瘫痪。2、生成树协议为了解决交换机冗余环路带来的“广播风暴”问题，交换机上启动生成树协议避免此类现象的发生。生成树的工作方式如同生成一棵树，建立无环路连接。生成树协议(STP)通过软件协议，通过判断网络中存在环路地方，暂时阻断冗余链路来实现，等主干链路出现故障时，临时阻塞的链路马上恢复工作。通过这种方式，它确保到每个目的地数据帧，都只有唯一路径，不会产生环路，从而达到管理冗余链路的目的。2.2 项目二 部门间网络的安全隔离2.2.1

15、 IP地址知识：子网地址1、划分子网 (subnetting)一个大的网络中所有的设备，都处于一个广播域中，随着设备的增多，网络的干扰也会越来越大，以B类网络为例：一个B类网络，如果不进行网络细分，整个网络中将有65534台主机，这样大量的设备存在，既不便于管理，而且网络中大量的广播信息，将会导致网络效率下降，甚至网络瘫痪，为了合理配置系统，减少资源浪费，人们经常把一个大的网络，缩小为若干小的网络，把网络中的设备之间，互相广播范围尽量减少在本地发生，这种把一个大的网络划分变小的过程叫子网划分。2、子网划分的优点具体来说子网划分的优点表现在：R 减少网络流量，将原来同处于在同一网段上的主机分成不

16、同的网络段，同时也将原来的一个广播域划分成若干个小的广播域 ；R 提高网络性能 ；R 简化管理；R 易于扩大地理范围。3、划分子网的方法网络地址是由网络部分和主机部分组成，将一个网络划分为子网：一般采用借位的方式，从主机位最高位开始借位，把主机位变为子网位：即原来的主机地址为升级为网络，所剩余的部分则仍为主机位。这使得IP地址的结构分为三部分：网络位、子网位和主机位。4、子网掩码引入子网概念后，网络位加上子网位，才能唯一地标识一个网络。为了很好区别网络地址的结构，把所有的网络位用1来标识，主机位用0来标识，就得到了子网掩码。子网掩码是为了快速确定IP地址，哪部分代表网络号，哪部分代表主机号，以

17、及判断两个IP地址是否属于同一网络。子网掩码给出了整个IP地址的位模式，其中用1代表网络部分，0代表IP主机号部分，表示方法上也采用点式十进制表示，用它来帮助确定IP地址网络号在哪结束，主机号在哪开始。5、确定子网掩码方法 子网掩码的位数，决定于可能的子网数目和每个子网的主机数目。在求子网掩码之前，必须先搞清楚要划分子网数目，以及每个子网内的所需主机数目，定义子网掩码的步骤为： 1) 将子网数转化为二进制来表示2) 计算该二进制的位数，为 N3) 取得该IP地址的子网掩码，将其主机地址部分的的前N位置 1 即得出该IP地址划分子网的子网掩码。如欲将B类IP地址168.195.0.0划分成27个

18、子网：1) 27=110112) 该二进制为五位数，N = 53) 将B类地址的子网掩码255.255.0.0的主机地址前5位置 1，得到255.255.248.0，即为划分成 27个子网的B类。2.2.2 网络分段技术：划分部门间的网络1、网络分段由于局域网传输使用的是共享媒体技术，当越来越多的设备争用共享的带宽时，就产生了冲突，冲突的产生更降低了以太网的传输速度。显而易见的解决方法是：限制以太网传输线上的连接的计算机数量，需要对网络进行物理分段 。2、局域网分段涉及技术R 广播域广播域是局域网中设备之间发送广播帧的区域，即一台计算机发送广播帧的最远范围。如果一个局域网络连接的设备增多，广播

19、的范围将变得过大，广播流量所占的比例也加大，就有可能发生网络性能上问题。广播存在于所有的局域网中，如果不对它们进行适当的控制，便会充斥于整个网络，产生大量的网络通信流量。广播不仅消耗掉带宽，而且还会降低用户计算机的处理效率。R 冲突域在局域网中，各台计算机为接入网络而互相争用传输通道，因为在一个局域网中所有的设备，都连接在一个共享的物理介质上，由于二个连入网络的设备同时向介质发送数据时，就会发生冲突。冲突发生后极大地延缓了数据的发送，降低了设备的吞吐量。而且连接到冲突域中的设备越多，冲突发生的可能性就越大，其结果就是降低了冲突域中每个设备的带宽和性能。3、局域网分段提高性能局域网分段可以在数据

20、传输过程中，将局域网划分成更小的网段，从而将本地通信限制在本地发生，保证了局域网的性能和可扩展性。因为在更小的冲突域中，争用共享带宽的设备会变得更少，因此增加了设备可以使用的带宽。2.2.3 虚拟局域网技术1、虚拟局域网VLAN技术交换机提供了将大的冲突范围划分为小冲突域的技术：虚拟的局域网。虚拟局域网（Virtual Local Area Network）是在一个物理网络上划分出来的逻辑网络。网络中的每台主机，连接在一台交换机端口上，并属于一个VLAN，相当于一个小的网络，对应于OSI模型的第二层。2、VLAN内部设备的通信VLAN有着和普通物理网络同样的属性，除了没有物理位置的限制，它和普

21、通局域网一样，单播、广播帧在一个VLAN内转发、扩散，而不会直接进入其他的VLAN之中。同一个VLAN中的成员都共享广播，形成一个广播域，而不同VLAN之间广播信息是相互隔离的。3、VLAN之间通信虚拟局域网和普通局域网一样，第二层的单播、广播帧在一个VLAN内转发、扩散，而不会直接进入其他的VLAN之中。如果一个端口所连接的主机，想要同和它不在同一个VLAN的主机通讯，则必须使用第三层的设备：也就是需要使用IP地址来进行通信，这就意味着不同VLAN中的设备之间通信，需要通过一个路由器或者三层交换机来实现转发4、VLAN的优越性 1、增加了网络连接的灵活性。2、控制网络上的广播。3、增加网络的

22、安全性。 5、基于端口划分的VLANU方法，可以用的带宽，这是的冲突域，从而其他物理网段的信息。所基于交换机的端口技术，是划分VLAN多种技术中最常用的一种VLAN划分方法，应用也最为广泛，目前绝大多数支持VLAN协议的交换机，都提供这种VLAN配置方法。这种划分VLAN的方法，它是将交换机上的物理端口，划分到若干个组中，每个组构成一个虚拟网VLAN。2.2.4 部门间网络的隔离：虚拟局域网干道技术交换机的端口在默认情况下，所有端口的功能都是相同的，但在进行连接设备的时候，会根据连接设备对象的不同，划分VLAN的交换机端口，将根据转发信息帧功能的不同，分为Access模式和Trunk模式二种类

23、型。1、Access端口模式如果交换机的端口连接的是终端计算机或服务器，则该端口类型一般指定为Access模式。Access模式意为接入设备模式，该端口只能属于一个VLAN，这也是交换机端口的默认模式。2、Trunk端口模式如果VLAN跨交换机划分 ，则交换机与交换机之间的连接端口，则一般指定为Trunk干道模式。干道是在两台交换机端口或交换机与路由器间的一条点对点连接链路，干道链路上可以承载多个vlan。3、IEEE 802.1Q802.1Q 标准就是用来解决如何将大型网络划分为多个小网络，跨交换机中同一VLAN的通信问题，是一种常用的以太网Trunk协议。当在Trunk链路上传送多个VLA

24、N的数据帧的时候，为了让接收端交换机能够识别该数据帧是来自于哪个VLAN的，必须在原数据帧的基础上加VLAN标签。2.3 项目三 全网络的互连互通2.3.1 企业内部网络地址规划1、IP地址分类Internet上有成千上万台主机，为了区分这些主机，人们给每台主机都分配了专门的地址，称为IP地址。通过IP地址可以访问到网络上的每一台主机。IP地址分为公有地址和私有地址二种，但只有公有地址才能在Internet上进行通信，私有地址不能直接在公网上使用。公有地址和私有地址的分类，是当时国际组织设置IP地址的时候，考虑到全球的IP地址不够用，所有就在ABC三类地址里面保留下了一部分地址，给企业网络内部

25、的计算机使用地址。2、私有IP地址分类在局域网络内部规划网络的地址时候，一般都使用Internet组织设计的私有地址，私有地址属于非注册地址，专门为组织机构内部使用，预留的专用于内部的私有地址有：A类 10.0.0.0-10.255.255.255B类 172.16.0.0-172.31.255.255C类 192.168.0.0-192.168.255.255 3、私有IP地址优点当你规划网络时，在网络内部使用私有地址，给你带来的好处是：R 地址数量巨大R 安全性好4、企业内部网络地址规划最常见的规划方法是：使用B类私有地址信息来规划不同部门之间的网络地址，也即是使用B类 172.16.0.

26、0-172.31.255.255，把第三个字节拿出来做部门之间的编号，把第四个字节作为部门内部设备编号，从而避免使用A类私有地址过多，C类私有地址子网络地址和设备地址都集中在第四个字节，避免计算麻烦的现象发生，也能方便用户很快识别和使用。2.3.2 全网络互通知识： 三层交换机1、三层交换技术在过去的几十年里，局域网在速度这个技术方向急剧发展，速度方面甚至达到了100000Mbit/s，极大地提高了局域网传输的效率。在网络内部传输中，提供给用户的二层交换设备，已经取得了到令人满意的答案，但是，作为网络核心、在网络之间起连接作用的路由器，却没有质的突破和发展。传统的路由器是基于软件来工作和传输数

27、据的，与局域网内部交换传输速度相比，数据传输的效率较低。如何提高网络之间的传输效率，提高网络之间的传输速度，建立全交换网络的思想，因此改进传统的路由技术迫在眉睫。一种新的路由技术应运而生，这就是第三层交换技术。三层交换机说它是路由器，因为它具有路由模块，可转发IP地址数据包，工作在网络的第三层，是一种能识别IP设备并可起路由的功能；说它是交换机，是因为它具有交换功能，二层交换数据的速度极快，它是把路由和交换技术拥护为一体的设备。2、三层交换机三层交换机是工作在局域网络中，更高性能的交换产品，实际上是将传统交换机与传统路由器结合起来，既可以完成传统交换机的端口交换，又可完成部分路由功能设备。当然

28、，这种二层设备与三层设备的结合，并不是简单的物理结合，而是各取所长的逻辑结合。三层交换机把传统的交换和路由二个相互独立的过程合二为一，以提高网络之间的传输速度。三层交换机在对第一个数据流进行路由后，会产生一个MAC地址与IP地址的映射表，并将该表存储起来，当同样的数据流再次通过时，将根据此表直接从二层交换通过而不是再次路由。这种工作机制消除了数据以前通过路由器时，进行路由选择而造成网络的延迟，提高了数据包转发的效率，消除了路由器可能产生的网络瓶颈问题。可见，三层交换机集路由与交换于一身，在交换机内部实现了路由，是一个带有第三层路由功能的第二层交换机。从硬件上看，三层交换机的二层交换的接口模块都是通过高速背板/总线(速率可高达几十Gbit/s) ASIC芯片交换数据，在三层路由过程中，进行路由硬件模块也插接在高速背板/总线上，这种方式使得路由模块，可以与其他的模块间高速的交换数据，从而突破了传统的外接路由器接口速率的限制。3、二种类型交换机对比 R 二层交换机主要用在小型局域网中，机器数量在二、三十台以下，这