VPN、VLAN在企业局域网中的构建与运用

文档下载站更多资源下载本站所有资源均来自互联网或本站会员提供，如有侵犯您的版权或其他问题，请通知管理员，我们会在最短的时间回复您!本站所有资源均来自互联网或本站会员提供，如有侵犯您的版权或其他问题，请通知管理员，我们会在最短的时间回复您!文档下载站更多资源下载本站所有资源均来自互联网或本站会员提供，如有侵犯您的版权或其他问题，请通知管理员，我们会在最短的时间回复您!ＶLAN、VＰＮ在企业局域网中的构建与运用设计背景ﻩ成都会展中心是成都市人民政府和美国加州集团投资集展览、会议、酒店、旅游一体的大型股份制企业.企业内部门多,经营站点多，各方面对计算机网络的需求简洁，要求对各经营部门和经营点全部采纳计算机化管理。设计计算机网络时，要考虑满意功能需求和扩展性好.利于计算机化管理,提高效率和节省成本。四川九寨天堂是成都会展中心在九寨沟甘海子镇投资20亿元人民币集旅游、会议、酒店、景区、温泉为一体的超五星级酒店,同样对网络的需求简洁,扩展性好，计算机网络上承载的业务众多。同时要求和成都总部进行数据通信(包括酒店业务、财务系统、人事工资管理等管理软件)，语音通信(通过两地局域网互连再和两地单位内电话程控交换机相连,用于承载ＶoIP，满意成都总部和九寨天堂内部ＩＰ电话通信需求,节省费用).设计总体原则在设计时，由于成都总部是在原有老网络基础上改造的，要保护原先的网络投资，并要添加新的网络设备,增加网络交换性能。九寨天堂则是全新设计的网络,在设计时，依据ＩＥEE802有关快速以太网的标准和结合本单位的实际来执行，要考虑网络的可扩展性，平安性、稳定性。采纳的网络设备技术先进，有用性高,配置容易,网络牢靠性要好。选购设备时，考虑采纳３COM、华为、d－lｉnk公司知名的一系列交换机和路由器等网络设备，来保障平安、高可扩展、技术先进、网络牢靠。由于业务的需要，要求成都会展和九寨天堂两地局域网必须联网,并且数据是实时传输，要求数据传输必须平安。基于要求，中国移动光纤线路能满意两地相互通讯的需求,同时通过路由器走VＰＮ,对通过VＰＮ数据加密,满意数据平安的要求。申请中国电信线路ＤDN，作为备份线路.当一条线路消灭问题，另一条线路自动切换。在两地局域网内进行VＬＡN划分,使有需求的ＶLAＮ段可以相互通信，同时阻隔广播风暴，所以在两地需各放置一台三层交换机(3ｃom4０５０）满意各的需求。两地的局域网都采纳星型结构，呈发散型分布。通过副机房汇聚各应用站点交换机,中心机房和副机房之间采纳１０0０Ｍ单模光纤连接，服务器和三层交换机之间采纳６类１０00M双绞线连接。一般的应用站点交换机采纳1０0M双绞线或者光纤连接中心三层交换机。基于平安和稳定考虑,主干线路都实行冗余线路，来保证整个局域网的正常运行。第一部分VLAＮ第一章VLＡN的基础知识什么是VLANVＬAN是ＶirtualLＡN，虚拟局域网的缩写,是一种不需要增加额外网络设备,就可以实现网络的分层技术,被大型大型网络广泛使用,ＩＥＥＥ于１99９年颁布了用以标准化ＶLAN实现方案的802。1Q协议标准草案。ＶLAＮ可以允许网络管理员取消过去的物理限制，并对用户的第3层网络地址进行掌握，而不管它处在网络中的哪个位置。VＬAN的优势包括加强网络的平安性能、易于掌握广播和能够分布通信量。VLAＮ的消灭打破了传统网络的很多固有观念，使网络结构变得灵敏、便利、随心所欲。VLＡＮ就是不考虑用户的物理位置而依据功能、应用等因素将用户规律上划分为一个个功能相对独立的工作组,每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个ＶＬAＮ.同一个VLＡN中的成员都共享广播,而不同VLＡＮ之间广播信息是相互隔离的.这样,将整个网络分割成多个不同的广播域.削减了广播量，提高通讯效率。VＬAＮ之前的局域网大而平的网络结构——每个端口设备都暴露在整个网络中,网络广播风暴极易产生,重要站点的平安性也是一个问题。网络分段依靠于网络的物理划分，不利于企业频繁的业务变化不存在冗余路径，也无法实现数据的负载均衡。3、VLAN划分后局域网带来的改良Ａ、掌握广播风暴局域网分割出了多个广播域，平的网络消灭了分层，一个VLAN中的全部设备都在同一个广播域基于端口的VLＡＮ设置,一个ＶLAN就是一个规律广播域，通过对VＬＡN的创建,隔离了广播，缩小了广播范围,可以掌握广播风暴的产生。B、网络有效的带宽利用包括广播和多点广播在内的多媒体数据流被限制在规律子网内.在交换机中用“组播组”动态定义ＶＬＡN,并且自动把“组报文"复制到同一ＶLAＮ中的终端，大大提高了多媒体数据的实时性，有效利用带宽，降低网络因拥挤而堵塞的可能。对故障组件的隔离,限制在一个ＶＬAＮ上的有限几台设备。C、网络平安性的提高不同的ＶＬAN的通信可通过路由设备设置平安和过滤功能，通过路由访问列表和ＭAC地址安排等ＶLAＮ划分原则，可以掌握用户访问权限和规律网段大小,将不同用户群划分在不同VＬＡN,从而提高交换式网络的整体性能和平安性Ｄ、网络管理简洁、直观对于交换式以太网，如果对某些用户重新进行网段安排，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。而对于采纳ＶLAN技术的网络来说,一个VLＡN可以依据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个规律网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动.利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。在一个交换网络中，VＬＡN供应了网段和机构的弹性组合机制.4、VLAN组网的条件VＬAＮ是建立在物理网络基础上的一种规律子网,因此建立VＬＡN需要相应的支持VLＡＮ技术的网络设备。当网络中的不同ＶLAN间进行相互通信时,VLAN之间的通讯是需要路由设备或者三层交换机.需要路由的支持，这时就需要增加路由设备-—要实现路由功能，既可采纳路由器，也可采纳三层交换机来完成。基于平安性和掌握广播风暴，也需要VＬAN5、划分VLAN的基本策略从技术角度讲，VLAN的划分可依据不同原则，一般有以下三种划分方法:1、基于端口的ＶLAN划分这种划分是把一个或多个交换机上的几个端口划分一个规律组，这是最简洁、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新安排即可，不用考虑该端口所连接的设备。２、基于MＡC地址的ＶＬAＮ划分ＭAC地址其实就是指网卡的标识符，每一块网卡的ＭAC地址都是惟一且固化在网卡上的。ＭＡC地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标识。网络管理员可按MＡC地址把一些站点划分为一个规律子网。这种划分VＬAN的方法是依据每个主机的MＡC地址来划分,即对每个MAＣ地址的主机都配置他属于哪个组。这种划分VLAＮ的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置，所以，可以认为这种依据MＡＣ地址的划分方法是基于用户的ＶLAN,这种方法的缺点是初始化时，全部的用户都必须进行配置,如果有几百个甚至上千个用户的话，配置是格外累的。而且这种划分的方法也导致了交换机执行效率的降低，由于在每一个交换机的端口都可能存在很多个VLAＮ组的成员，这样就无法限制广播包了。3、基于路由的VLＡN划分路由协议工作在网络层,相应的工作设备有路由器和路由交换机（即三层交换机)。该方式允许一个ＶＬＡN跨越多个交换机，或一个端口位于多个VLAN中。4、依据IP组播划分VＬANIP组播实际上也是一种VLＡN的定义,即认为一个组播组就是一个ＶLAN，这种划分的方法将ＶＬAN扩大到了广域网,因此这种方法具有更大的灵敏性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网,主要是效率不高.就目前来说，对于ＶLAN的划分主要实行上述第1、3种方式，第2、4种方式为帮助性的方案。6、VＬAN的实现VLANｔagｇing技术是VLAN实现的关键IEEＥ802.１Q标准作为８02.1D桥接规范的一部分，它使不同厂家的交换机之间传递VLＡN信息成为可能。IEEE8０2．1Ｑ在媒介访问掌握子层(ＭAC）帧中包括一个1２biｔ长度的ＶＬAN标识符,该标识符是IEＥE80２。１Q的１6bｉt报头信息的一部分，该报头被添加到用于以太网和令牌环网络中传输的数据帧中,余下的４bｉｔ信息，3biｔ用于优先队列（802。1ｐ）的标识，1bit是0ＶＬAN帧标记方法Ｆｒａｍe方向TagPｏｒtUntagportTagedＦramｅIｎuｎchａｎgeuncｈａｎgeOutunｃhangｅ去标记ＵｎtaｇeｄＦrameＩnuｎchaｎgeunｃhaｎgｅOｕｔ打标记ｕnchａnｇｅＴaggｉnｇ：将80２.1QＶLAN的信息加入数据包的包头。具有加标记能力的端口会将ＶID、优先级和其他VLＡＮ信息加入到全部进出该端口的数据包内,如果数据包已经被标志过了，那么，端口将不对该数据包改动,保持原有的VＬAN信息.Uｎｔagｇing：将８０２．1QVLＡＮ的信息从数据包的包头去掉的操作，具有去标记能力的端口将VIＤ、优先级和其他VＬＡN信息从全部进出该端口的数据包头中去掉,如果数据包没有被标记过,端口将不对该数据包改动。其次章:三层交换技术１、三层交换技术A、三层交换技术的产生二层交换技术从网桥进展到VＬAN（虚拟局域网），在局域网建设和改造中得到了广泛的应用。其次层交换技术是工作在ＯＳI七层网络模型中的其次层，即数据链路层。它依据所接收到数据包的目的MAC地址来进行转发，对于网络层或者高层协议来说是透明的.它不处理网络层的IP地址,不处理高层协议的诸如TＣＰ、UDP的端口地址，它只需要数据包的物理地址即MAC地址，数据交换是靠硬件来实现的,其速度相当快，这是二层交换的一个显著的优点。但是,它不能处理不同IP子网之间的数据交换。传统的路由器在网络中有路由转发、防火墙、隔离广播等作用,而在一个划分了ＶＬAN以后的网络中，规律上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上，不同VLＡN之间的通信数据量是很大的，这样，如果路由器要对每一个数据包都路由一次，随着网络上数据量的不断增大，路由器将不堪重负,路由器将成为整个网络的瓶颈。在这种情况下，消灭了第三层交换技术,三层交换处于OSI模型的第三层,三层交换机除具有二层交换机的全部功能以外，同时在第三层还具有部分路由器的功能.它是将路由技术与交换技术合二为一的技术.三层交换机在对第一个数据流进行路由后,会产生一个ＭＡC地址与IP地址的映射表,当同样的数据流再次通过时，将依据此表直接从二层通过而不是再次路由，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。可见，三层交换机集路由与交换于一身，在交换机内部实现了路由，提高了网络的整体性能。因此，在划有VＬAN的局域网中，一般都要采纳三层交换机来实现各VLAN的通信.。Ｂ、三层交换的特点1、线速路由2、二．三层功能有机结合３、多个子网互联时,不需要增加端口,保护用户的投资４、路由自动发现,配置简洁5、供应访问掌握列表，实现过滤功能６、访问掌握列表可以限制不同的VLＡN的成员之间的访问策略7、采纳QoＳ，满意语音、视频等多媒体通信的需求8、线速路由和传统的路由器相比，三层交换机路由速度一般要快十倍或数十倍，能实现线速路由转发，传统路由器采纳软件来维护路由表,而三层交换机采纳ASIC（ApｐlｉcａtｉonＳｐecｉfiｃIntｅgrａtedCｉrｃuｉｔ）硬件来维护路由表，因而能实现线速路由.9、二、三层功能有机结合除了少数的数据包走三层路由外，大部分数据由其次层交换处理。Ｃ、三层交换的工作原理假设两个使用IP协议的站点Ａ、Ｂ通过三层交换机进行通信,发送站点A在开头发送时，把自己的ＩＰ地址与Ｂ站点的ＩP地址进行比较，推断Ｂ站是否和自己在同一子网内。若目的站Ｂ与发送站A在同一子网内,则进行二层的转发。若两个站点不在同一子网内,如发送站A要与目的站B通信,如图所示三层交换机原理图步骤一、发送站A要想“缺省网关”（三层模块地址)发出ARP（地址解析）封包，交换机收到一个A要到达B的数据帧，并查看数据帧的目的的MAＣ地址,如果缓存有相应的条目，就可以依据相应条目直接使用快速交换技术完成三层数据路由，如果没有相应条目。则执行步骤二。步骤二：二层交换模块将数据帧转入三层交换模块，依据三层路由协议找到目的的路径，并重新转变二层的源MAC地址，并将三层相应的路由路径映射成二层条目信息条目。步骤三：三层交换模块将生成的条目回传到二层交换模块的相应缓存中。步骤四：二层交换模块依据三层模块回传的条目,来比较后续的数据帧的目的地址，如果数据帧中的目的地址与缓存相匹配则执行步骤五,否则执行步骤一。步骤五：如果进入交换机的数据帧的目的与二层缓存的比较，如果匹配数据帧将直接进入二层交换,旁路三层路由，完成快速的三层交换。从以上可以看到,当A向Ｂ发送的数据包便全部交给二层交换处理，信息得以告知交换。由于大部分数据都通过二层交换转发,因此三层交换机的处理速度很快，接近二层交换机的速度,从二实现“一次路由,多次交换"的快速交换。项目实施一、项目实施设备九寨天堂九寨天堂位于九寨沟甘海子，是一座按５星级标准修建，具有浓郁藏羌民族风格的酒店。由于分布地域比较广,各经营点比较分散,故设了一个主机房，一个副机房,各经营点交换机到主副机房,主副机房之间都采纳单模光纤，通过光纤口相互连接，并实行冗余线路方式.采纳设备如下:１台3CＯM公司的３C4050核心三层交换机及４个GBIＣ92千兆单模光纤接口,１台3ＣOＭ公司可管理的3C４400ＳE边缘交换机及一个1000M单模光纤接口,1６台D－ＬINＫ公司的32２6Ｓ可管理的交换机及其单模光纤模块T-1３2。单模光端机10台,可传输距离为7０ＫＭ，1台华为公司的26３１E企业级路由器(２个以太网口，一个sｅrｉａl口（用于ＤDＮ）,4端口ＦＸS(用于ＶOＩP））。中心机房采纳3CＯM公司的三层交换机３C405０,３CｏmSｗitcｈ4050交换机专为满意企业网络核心骨干的苛刻要求而设计,设计紧凑的2RU高度机架式设备—配有6个1000BＡＳE—SX端口和6个GＢＩC端口（用于骨干连接）以及１２个用于连接服务器的集成式10/100/10０0端口。3ＣomSwｉtｃh４０50交换机供特性丰富的其次层功能、IＰ网络第三层交换以及高级流量优先级划分能力和平安功能,可满意核心千兆骨干链路不断增长的需求。供应56Ｇｂps多层交换容量，跨全部端口供应线速性能，转发速率超过4１00万pps。３C4０５0第三层交换功能-如使用静态路由、RＩP/RＩPv2和CIＤR的点播IP路由—有助于增强性能，供应网络掌握和平安性,和实现VＬＡN间的路由副机房采纳主干交换机采纳３CＯM３Ｃ4400ＳE,该交换机可管理供应全线速的交换性能。２4端口交换机的传输速率可达6６0万包每秒，2个可扩展端口，可插入1０0０M光纤或电口模块,具有8。８Ｇｂpｓ交换能力.各经营点交换机采纳d－link公司的d-liｎk3226s交换机d－link３326Ｓ是一款把二层线速交换与基本的三层IＰ数据包路由和QoＳ（服务质量）结合的可堆叠多层路由交换机，,该交换机供应2４个１0／1０0M自适应端口，网速全/半双工自动协商。每个端口可与工作站或打印服务器相连，独享带宽。全部端口均支持自动MDI－II／MＤI—X上行连接,允许用户从任何一个端口连接到工作站、服务器或其它交换机，而不需转变通常的双绞线直连方式。供应一个扩展插槽用来插光纤或电口模块。通过网段划分，支持ＩEEE802．1QVLAN标记与交换机连接的工作组可以被分组到不同的虚拟局域网（VＬAＮｓ）。该交换机同样支持GVＲＰ(GAＲＰVＬAN注册协议)自动配置VLＡＮ。成都会展中心成都会展中心由于有老的网络，为保障原有的投资，保留了原先的２台中心交换机3COM33０0FＸ，作为副机房的交换机（支持vlaｎ)，添加了一台3COM公司的3C4050交换机作为中心机房的骨干三层交换机.增加可网管的二层交换机Ｄ-LＩNＫ322６S,保留原先不行管理交换机，作为接入可网管交换机的一个VLAN端口到桌面.1台华为2６31E路由器，10台D－LINK3226S交换机.其他和九寨天堂设备基本相同。寨天堂和成都会展的网络结构九寨天堂和成都会展基于稳定、平安、高效的原则，都采纳星型结构网络，呈发散型状。以下是九寨天堂和成都会展网络拓扑结构图。三、ＶＬAN的规划设计九寨天堂局域网网络地域分布较广，用户比较多，信息点众多,为了使网络高效、平安、牢靠的运行,而且便于管理和维护,整体的局域网的ＶLAN划分采纳基于端口模式的VＬＡＮ划分。首先依据在局域网上运行的不同系统划分.共有５个不同的网络,分别是酒店业务网络、财务网络、办公网络、计算中心网络、外单位网络、移动用网络。VＬAN表划分如下：编号（VLAN－ID）说明IP段色标1５０酒店业务系统网络1９2。1６８.15０。０／２４１５1财务网络１９２。168。151．0／2４１5２计算中心网络192.1６８．152。０/24153办公网络192.16８。１53。0/2４15４外单位网络192.16８.１5４．0／2４１55移动用网络19２．168。１５5。０/２４ＤefaｕltDeｆault无Ｂ、依据交换机所属网络种类来分。酒店业务类交换机（d—ｌinｋ3226s）端口１３5７9１1１３15１７19212３V-ＬAＮ-ID15015０150150１５015０15015315０１52１54ＴAG色标色标V－LＡN－ＩD1５01501501501501５015０15315１１5３1５5TAG端口２４681０121４１6１８20222４注：交换机端口23—２4为ＴAG，表示它们不属于任何VLAN，属于Defａuｌｔ，该交换机的全部网段（１５0、151、15２、１５3、1５4、１55)数据都通过该端口加TAG标记送到另外加了TAG标记的交换机办公类交换机(d—ｌink３２2６s）端口1３5７9１１１3１５１7１92１2３Ｖ－LＡN—ID１５315315315３153１５3１5315０1５01５２１５4TＡG色标色标Ｖ—LＡN—IＤ15３１５３１５3153１５３15315３150１５115315５TAＧ端口２46８101２1４16１8２022２4注:交换机端口２3－2４为ＴAG，表示它们不属于任何VLAN,属于Ｄeｆauｌt,该交换机的全部网段（15０、151、１52、15３、１5４、1５5）数据都通过该端口加TAG标记送到另外加了ＴAＧ标记的交换机财务类交换机（ｄ—link3226s)端口13579１11315１7１9２1２3V-LAN－ID15115１１511５１15１15３１５01５01５0152１54TＡG色标色标Ｖ—LＡＮ－ＩＤ151１５1１511511５1１53150１5０1511531５4TＡG端口２4６81012１416182０2224注：交换机端口23-2４为ＴAG，表示它们不属于任何VLAＮ，属于Defaｕlt,该交换机的全部网段（150、1５1、１52、153、154、1５5）数据都通过该端口加TAG标记送到另外加了TAＧ标记的交换机中心三层交换机(３COM４05０）ＧBＩC端口12３456V—LＡN—IDＴAGTAＧTAＧTAGＮCＮＣ色标说明副机房员工宿舍机房扩展备用扩展备用没有安GBIC口没有安GBＩC口电口78９101112Ｖ-ＬAＮ-IDTAGTＡＧTＡＧTＡＧＴAGTＡG说明酒店大堂扩展备用财务部办公区温泉中心温泉中心副楼色标色标说明扩展备用扩展备用上网服务器财务部服务器酒店主服务器酒店备份服务器V－LAＮ－IDTAGTAＧ１5２15１15０150电口131４151６17１8注：交换机端口1—１4为TAＧ标记端口，表示它们不属于任何ＶLAN,属于Deｆaｕlt,该交换机的全部网段（1５０、1５1、1５２、153、154、１55）数据都通过这些端口加ＴＡG标记送到另外加了TAG标记的交换机端口１5－1８分别属于Ｖlａn１５2、Vlan15１、Vlａｎ１5０,没有加TAG标记。直接连接到各自网段的服务器。⑤副机房交换机（３Ｃ440０SE）端口135７９1１1315１７192１23２5Ｖ-LAN１50150150１5015３1５０15２１5４ＴＡGTＡＧＴＡGTAGＴAＧ色标接中心机房色标接中心机房V-LＡN150１５01５０1５０1531５11５3155TAGＴAＧTAGTAGTAＧ端口2468１０12１４1６１８202224２6注：交换机端口1７－２64为TAG标记端口，表示它们不属于任何VＬＡN,属于Dｅfault，该交换机的全部网段(1５0、151、１5２、15３、１５４、１55)数据都通过这些端口加TAG标记送到另外加了TAG标记的交换机四;交换机的配置1、交换机厂商在交换机包装里面都随机附带了一根ｃonsolｅ线，用于对交换机的初始化配置,coｎsole一端直接接到交换机的ｃonsｏlｅ端口,一端接到PC机的COM1或者COM2口,在wiｎd