企业网络解决方案课件

八：企业网络解决方案

1企业网络解决方案中小型企业网络解决方案

企业网络解决方案适合24用户采用24口交换机构建一个一级的小型局域网。主服务器与交换机，之间的链路数据流量较大，因此它采用2个100M高速交换端口连接服务器，以免形成传输瓶颈。24个10M交换端口最多可连接24个桌面用户。此外，它还通过10M接口连接共享网络打印机，普通打印机也可以通过打印服务器的方式共享。该方案的安全措施可采用路由器内置的软件防火墙，它使路由器在承担远程连接的同时实施数据包检验和过滤，防止非法用户侵入到内部局域网中。3企业网络解决方案中型企业网络解决方案

4企业网络解决方案方案引入了二级联网的方式，骨干层交换机采用了1000M高速交换端口与服务器连接，以满足大容量数据的传输需求。接入层交换机以10/100M自适应交换端口连接桌面用户。这样便很容易扩充桌面用户数。骨干交换机和接入交换机的连接则采用了快速以太网通道（FEC）技术，有效地扩展了网络的带宽。这项技术能够把2-4个物理链路聚合在一起，在全双工工作模式下达到400M-800M的带宽。

安全措施：可采用路由器内置的软件防火墙，也可以采用功能更强大的专用防火墙，根据企业对安全性的要求级别来决定。5企业网络解决方案

RedundantUplinksRedundantUplinks大型企业网络解决方案6企业网络解决方案采用三级模式：接入层、汇接层、核心层。接入层交换机是面向桌面用户。汇接层交换机是多台接入层交换机的集合点，汇接层交换机一般能够通过路由处理器进行三层交换。如Catalyst5000系列交换机。接入层交换机到汇接层交换机采用双冗余连接。核心层交换机完成整个网络数据快速交换。核心层可采用双核心的冗余连接。7企业网络解决方案VLAN介绍8企业网络解决方案EthernetBroadcastDomainInaflatnetwork,everydeviceseeseverytransmittedpacket9企业网络解决方案VLANsAVLANisabroadcastdomain10企业网络解决方案VLANsEngineeringVLANMarketingVLANSalesVLANFloor#1Floor#2Floor#3PhysicalLayerLANSwitchHumanLayerNetworkLayerRoutingFunctionInterconnectsVLANsData-LinkLayerBroadcastDomains11企业网络解决方案VLANsEstablishBroadcastDomainsBroadcastDomain1BroadcastDomain212企业网络解决方案ScalingtheSwitchBlockwithVLANs34125678910DecisionsincludehowmanyVLANsexistinaswitchblockandwherethesedevicesareplaced.ServerBlockCore13企业网络解决方案Layer2End-to-EndVLANDistribution

LayerCoreLayerFastorGigabitEthernetWiringClosetFastEthernetFastEthernetWorkgroupServersSwitchedEthernetEnterpriseServersInter-VLANRouting14企业网络解决方案LocalVLANsSTPBlockedLinksSTPBlockedLinksRedundantUplinksRedundantUplinksRedundantUplinksHSRPPeersHSRPPeers15企业网络解决方案EstablishingVLANMembershipPort-BasedVLAN1VLAN2VLAN3MAC

AddressesMAC

AddressesVLAN2MAC-BasedVLAN1MACAddress-

Driven(Layer2)Port-DrivenStaticDynamic16企业网络解决方案MembershipbyPortMaximizesForwardingPerformanceVLAN2VLAN1VLAN317企业网络解决方案VLAN的特征

一个vlan中的所有设备处于同一个广播域一个VLAN是一个逻辑的子网或由定义的成员所组成的一个网络段,VLAN之间通信必须要进行路由VLAN的成员通常是基于交换机的端口号,但也可基于设备的MAC地址而动态设置.18企业网络解决方案VLAN解决的问题有效的带宽利用增强了安全性,VLAN间通信,可利用路由器的安全和过虑功能负载均衡多条路径,可利用路由协议进行负载均衡.19企业网络解决方案LinkTypes接入链路AccessLinksAnaccesslinkisalinkthatisamemberofonlyoneVLAN20企业网络解决方案LinkTypes(Cont.)干道链路TrunkLinksAtrunklinkiscapableofcarryingmultipleVLANs21企业网络解决方案VLANFrameIdentificationSpecificallydevelopedformulti-VLAN,inter-switchcommunicationsPlacesauniqueidentifierintheheaderofeachframe,functionsatLayer2VLANidentificationoptions:CiscoISLIEEE802.1QVLAN1VLAN1VLAN2VLAN2VLAN3VLAN3BackboneVLAN1VLAN2VLAN322企业网络解决方案VLANIdentificationUsingISLTrunkLinkVLAN100VLAN200(PortC)VLAN200(PortA)TrunkLinksVLAN200(AccessLink)XZYWTrunkLinkTrunkLinkFrame12Frame3VLAN200(PortB)ISLmaintainsVLANinformationasframestravelbetweenswitchesontrunklinksYFrameISL23企业网络解决方案VLANIdentificationUsingIEEE802.1Q2-bytetagprotocolidentifier(TPID)Afixedvalueof0x8100.ThisTPIDvalueindicatesthattheframecarriesthe802.1Q/802.1ptaginformation.2-bytetagcontrolinformation(TCI)InitialMACAddressInitialType/DataNewCRC2-ByteTPID

2-ByteTCI24企业网络解决方案ConfiguringTrunkingSwitch(config-if)#trunk[on|off|desirable|auto|nonegotiate]Catalyst1900Catalyst2900Switch(config-if)#switchportmodetrunkSwitch(config-if)#switchporttrunkencapsulation{isl|dot1q}Catalyst5500Switch(enable)settrunk<mod/port>[on|off|desirable|auto|nonegotiate][range][isl|dot1q|dot10|lane|negotiate]25企业网络解决方案AddingaVLANSwitch(config)#

vlan<vlan#>[name<vlan-name>]Catalyst1900Catalyst2900Switch#vlandatabaseSwitch(vlan)#

vlan<vlan#>[name<vlan-name>]Catalyst5500Switch(enable)setvlan<vlan#>[name<vlan-name>]26企业网络解决方案AssigningSwitchPortstoaVLANSwitch(config-if)#vlan-membership{static<vlan#>|dynamic}Catalyst1900Catalyst2900Switch(config-if)#switchportaccessvlanvlan#

Catalyst5500Switch(enable)setvlan<vlan#><mod/port_list>27企业网络解决方案VerifyingaTrunkCatalyst2900Switch#showinterface<interface>switchportSwitch#showtrunk[A|B]Catalyst1900Switch(enable)showtrunk[mod/port]Catalyst550028企业网络解决方案VerifyingaVLAN/VLANMembershipCatalyst2900Switch#showvlan[vlan#]Switch#showvlanbriefSwitch#showvlan[vlan#]Swotch#showvlan-membershipCatalyst1900Switch(enable)showvlanCatalyst550029企业网络解决方案VLAN的路由30企业网络解决方案Problem:IsolatedBroadcastDomainsVLAN10VLAN20VLAN30Becauseoftheirnature,VLANsinhibitcommunicationbetweenVLANs.31企业网络解决方案Solution:RoutingBetweenVLANsVLAN10VLAN20VLAN30CommunicationsbetweenVLANsrequirearoutingprocessor32企业网络解决方案Problem:FindingtheRouteVLAN10Network

VLAN20Network

Ineedtosendthis

packetto.Thataddressisnotonmylocalsegment.Wherecanend-userstationssendnonlocalpackets?33企业网络解决方案Solution:DefiningaDefaultGatewayVLAN10Network

VLAN20Network

Iknowwherenetworkis!End-userstationssendnonlocalpacketstoadefaultrouterIwillsend

thepackettomydefaultrouter.34企业网络解决方案VLAN20VLAN10Problem:SupportingMultipleVLANTrafficVLAN30Ihavethree

distinctstreamsof

trafficdestinedfor

thesameplace!??A

27IneedinformationfromA.IneedinformationfromA.IneedinformationfromA.MultipleVLANsinterfacingwithasinglerouteprocessorrequiremultipleconnectionsorVLANtrunking??35企业网络解决方案VLAN60VLAN10VLAN30VLAN20Solution:MultipleLinksTheroutercansupportaseparateinterfaceforeachVLAN36企业网络解决方案Solution:Inter-SwitchLinkTheroutercansupportasingleISLlinkformultipleVLANsVLAN10VLAN30VLAN20Eth3/0.13/0.23/0.33/0.4VLAN60ISLLinkVLAN10VLAN30VLAN2037企业网络解决方案DistributionLayerRouteProcessorsDistributionLayerThedistribution-layerdeviceisacombinationofahigh-endswitchandarouteprocessor38企业网络解决方案ExternalRouteProcessorSwitchCSwitchASwitchBVLAN41NetworkVLAN41NetworkVLAN42Network39企业网络解决方案InternalRouteProcessorsVLAN41NetworkVLAN42NetworkVLAN41Network40企业网络解决方案RoutingBetweenVLANsVLAN1VLAN2ISLinterfacefastethernet0/0

noipaddress

!

interfacefastethernet0/0.1

ipaddress

encapsulationisl1

interfacefastethernet0/0.2

ipaddress

encapsulationisl2Fast

E0/041企业网络解决方案DefiningaDefaultGatewayVLAN40VLAN30ASW31#configtEnterconfigurationcommands,oneperline.EndwithCNTL/ZASW31(config)#ipdefault-gateway63ASW41#configtEnterconfigurationcommands,oneperline.EndwithCNTL/ZASW41(config)#ipdefault-gateway63636363DefaultGateway63DefaultGateway63Definingadefaultgatewayfacilitatesinter-VLANcommunications42企业网络解决方案访问控制列表（ACL）43企业网络解决方案ACL相当包过滤功能，可以帮助路由器控制数据包在网络中的传输，通过包过滤可以限制网络流量以及增加网络安全性.44企业网络解决方案ACL规则的方式

1、标准包过滤该种包过滤只对数据包中的源地址进行检查

2、扩展包过滤该种包过滤对数据包中的源地址，目的地址，协议及端口号进行检查。45企业网络解决方案包过滤功能配置一：定义ＡＣＬ规则1.定义标准包过滤规则,在全局配置状态下：

access-list标识号码deny或permit源地址通配符

2.定义扩展包过滤规则,在全局配置状态下下，

access-list标识号码deny或permit协议源地址通配符『操作码端口号』目地地址通配符

『操作码端口号』46企业网络解决方案access-list规定的标识号码包过滤类型标识号码范围IP标准1-99IP扩展100-199

可以在指定范围内任意选择一个标识号码定义相应的包过滤规则47企业网络解决方案deny参数表示禁止，pernit表示允许通配符为32位二进制数字，并与相应的地址一一对应。路由器将检查与通配符中的“0”（2进制）位置一样的地址位，对于通配符中“1”（2进制）位置一致的地址位，将忽略不检查。48企业网络解决方案通配符

对某主机IP地址进行匹配0host0指任何IP皆可55any49企业网络解决方案一个包过滤规则可以包含一系列检查条件，即可以用同一标识号码定义一系列access-list语句路由器将从最先定义的条件开始依次检查，如数据包满足某个条件，路由器将不再执行下面的包过滤条件，如果数据包不满足规则中的所有条件，Cisco路由器缺省为禁止该数据包，即丢掉该数据包。50企业网络解决方案包过滤功能配置二：在端口应用包过滤规则

在需要包过滤功能的端口，应用包过滤规则：在子端口配置模式下ipaccess-group包过滤规则标识号in或outin表示对进入该端口的数据包进行检查out表示对要从该端口送出的数据包进行检查51企业网络解决方案InboundACLRoutingTableIPPacketDenyPacketDiscardBucketPermitPermitRouterOutboundInterface52企业网络解决方案RoutingTableIPPacketOutboundACLPacketDiscardBucketPermitDenyRouterOutboundInterface53企业网络解决方案标准ＡＣＬ过滤考虑源IP地址Accesslist标识号码1—99

例:

Router(config)#access-list10denyhost

拒绝所有来自主机的数据包

Router(config)#intserial0Router(config-if)#ipaccess-group1054企业网络解决方案标准ＡＣＬE0S0E1E2InternetFinanceServerMarketingSalesaccess-list10deny55access-list10permitanyinterfacee0ipaccess-group10out55企业网络解决方案扩展ＡＣＬ

Router(config)#access-list<标识号码>{permit|deny}<协议><源地址

通配符>[操作码端口号]<目的地址通配符>[操作码端口号]协议:IP,TCP,UDP,ICMP,GRE,IGRP操作码it:小于gt:大于eq:相等neq:不相等Router(config-if)#ipaccess-group<access-list-#>{in|out}56企业网络解决方案

常用的端口号

2123Telnet 25SMTP69TFTP 53DNS57企业网络解决方案扩展ＡＣＬE0S0E1E2InternetServerMarketingSalesaccess-list110denytcpanyeq21access-list110denytcpanyeq23access-list110permitipanyanyinterfacee0ipaccess-group110out58企业网络解决方案放置ACL的准则扩展ACL靠近源端标准的ACL靠近接受端59企业网络解决方案IP地址解决方案用户若要访问Internet，必须使用一个合法的IP地址。但合法可分配的InternetIP地址有限……60企业网络解决方案IP地址的扩展固定IP（主机在INTERNE的IP地址不变）动态IP（主机在INTERNE的IP地址随机获取）公有IP（主机在INTERNET的IP地址）私有IP（主机在LAN内部的IP地址，同样可分为固定IP和动态IP）IPv4(32bit)和IPv6(128bit)61企业网络解决方案固定IP在传统的IP网络中，网络上的每一个设备都有一个永久的IP地址。62企业网络解决方案动态IP采用动态分配的方法，系统把公用的IP地址分配给用户或收回分配给用户的IP地址，使它仍然可以为许多用户公用。一个动态分配的例子如:25个分散的用户共享10个IP地址。如果有一个用户请求一个IP地址的话，动态分配方法将把这10个IP地址中的一个(随便哪一个)IP地址分配给这个用户使用;在这个用户使用完这一IP地址后，再收回这一地址。同一个用户在多次应用中申请到的IP地址可以不是同一个。63企业网络解决方案网络地址转换器

(NATNetworkAddressTranslate)(NAT)是一种InternetEngineeringTaskForce(IETF)标准，用于允许专用网络上的多台PC机（使用专用地址范围，例如10.0.x.x、192.168.x.x、172.x.x.x）共享单个或多个、公有的IPv4地址。64企业网络解决方案NAT的应用环境情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。情况2：一个企业申请的合法InternetIP地址很少，而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet进行通信。65企业网络解决方案NAT的实现专门的NAT设备具有NAT功能路由器66企业网络解决方案NAT的种类静态地址转换动态地址转换复用动态地址转换67企业网络解决方案静态地址转换静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。68企业网络解决方案动态地址转换动态地址转换也是将本地地址与内部合法地址一对一的转换，但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。69企业网络解决方案复用动态地址转换复用动态地址转换首先是一种动态地址转换，但是它可以允许多个内部本地地址共用一个内部合法地址。只申请到少量IP地址但却经常同时有多于合法地址个数的用户上外部网络的情况，这种转换极为有用。注：当多个用户同时使用一个IP地址，外部网络通过NAT设备