VPN、VLAN在企業(yè)局域網中的構建與運用1

文檔下載站更多資源下載本站所有資源均來自互聯網或本站會員提供，如有侵犯您的版權或其他問題，請通知管理員，我們會在最短的時間回復您!本站所有資源均來自互聯網或本站會員提供，如有侵犯您的版權或其他問題，請通知管理員，我們會在最短的時間回復您!文檔下載站更多資源下載本站所有資源均來自互聯網或本站會員提供，如有侵犯您的版權或其他問題，請通知管理員，我們會在最短的時間回復您!ＶLAＮ、ＶPN在企業(yè)局域網中的構建與運用設計背景?成都會展中心是成都市人民政府和美國加州集團投資集展覽、會議、酒店、旅游一體的大型股份制企業(yè)。企業(yè)內部門多,經營站點多，各方面對計算機網絡的需求簡潔，要求對各經營部門和經營點全部采納計算機化管理.設計計算機網絡時，要考慮滿意功能需求和擴展性好.利于計算機化管理，提高效率和節(jié)省成本。四川九寨天堂是成都會展中心在九寨溝甘海子鎮(zhèn)投資20億元人民幣集旅游、會議、酒店、景區(qū)、溫泉為一體的超五星級酒店,同樣對網絡的需求簡潔,擴展性好，計算機網絡上承載的業(yè)務眾多。同時要求和成都總部進行數據通信（包括酒店業(yè)務、財務系統(tǒng)、人事工資管理等管理軟件），語音通信(通過兩地局域網互連再和兩地單位內電話程控交換機相連，用于承載ＶｏIP,滿意成都總部和九寨天堂內部IＰ電話通信需求,節(jié)省費用）。設計總體原則在設計時,由于成都總部是在原有老網絡基礎上改造的，要保護原先的網絡投資，并要添加新的網絡設備,增加網絡交換性能。九寨天堂則是全新設計的網絡，在設計時，依據IEEE802有關快速以太網的標準和結合本單位的實際來執(zhí)行，要考慮網絡的可擴展性，平安性、穩(wěn)定性。采納的網絡設備技術先進，有用性高，配置容易,網絡牢靠性要好.選購設備時,考慮采納3COM、華為、d-ｌｉnk公司知名的一系列交換機和路由器等網絡設備,來保障平安、高可擴展、技術先進、網絡牢靠。由于業(yè)務的需要，要求成都會展和九寨天堂兩地局域網必須聯網,并且數據是實時傳輸，要求數據傳輸必須平安?；谝?中國移動光纖線路能滿意兩地相互通訊的需求，同時通過路由器走ＶPN,對通過ＶPN數據加密,滿意數據平安的要求。申請中國電信線路ＤDＮ，作為備份線路.當一條線路消滅問題，另一條線路自動切換。在兩地局域網內進行VＬAN劃分,使有需求的VＬAN段可以相互通信,同時阻隔廣播風暴，所以在兩地需各放置一臺三層交換機（3ｃom4０50)滿意各的需求。兩地的局域網都采納星型結構，呈發(fā)散型分布.通過副機房匯聚各應用站點交換機,中心機房和副機房之間采納10０0Ｍ單模光纖連接，服務器和三層交換機之間采納6類10００Ｍ雙絞線連接。一般的應用站點交換機采納10０Ｍ雙絞線或者光纖連接中心三層交換機.基于平安和穩(wěn)定考慮,主干線路都實行冗余線路,來保證整個局域網的正常運行.第一部分VLAN第一章VLＡN的基礎知識什么是VＬAＮVLＡN是VｉrtuａｌＬＡＮ,虛擬局域網的縮寫，是一種不需要增加額外網絡設備，就可以實現網絡的分層技術，被大型大型網絡廣泛使用，IEEE于１99９年頒布了用以標準化VLAＮ實現方案的802．１Q協(xié)議標準草案。VＬＡN可以允許網絡管理員取消過去的物理限制，并對用戶的第3層網絡地址進行掌握,而不管它處在網絡中的哪個位置。VＬAN的優(yōu)勢包括加強網絡的平安性能、易于掌握廣播和能夠分布通信量。VLAＮ的消滅打破了傳統(tǒng)網絡的很多固有觀念,使網絡結構變得靈敏、便利、隨心所欲。VLＡN就是不考慮用戶的物理位置而依據功能、應用等因素將用戶規(guī)律上劃分為一個個功能相對獨立的工作組，每個用戶主機都連接在一個支持VLＡN的交換機端口上并屬于一個ＶLAN.同一個ＶＬＡN中的成員都共享廣播，而不同VLAN之間廣播信息是相互隔離的。這樣,將整個網絡分割成多個不同的廣播域。削減了廣播量，提高通訊效率。VLAN之前的局域網大而平的網絡結構——每個端口設備都暴露在整個網絡中，網絡廣播風暴極易產生,重要站點的平安性也是一個問題.網絡分段依靠于網絡的物理劃分,不利于企業(yè)頻繁的業(yè)務變化不存在冗余路徑,也無法實現數據的負載均衡.3、VLＡN劃分后局域網帶來的改良A、掌握廣播風暴局域網分割出了多個廣播域,平的網絡消滅了分層，一個VLAN中的全部設備都在同一個廣播域基于端口的ＶLＡN設置,一個ＶLAＮ就是一個規(guī)律廣播域,通過對VLAN的創(chuàng)建，隔離了廣播,縮小了廣播范圍,可以掌握廣播風暴的產生.B、網絡有效的帶寬利用包括廣播和多點廣播在內的多媒體數據流被限制在規(guī)律子網內。在交換機中用“組播組”動態(tài)定義VLＡN，并且自動把“組報文”復制到同一VLＡN中的終端，大大提高了多媒體數據的實時性，有效利用帶寬，降低網絡因擁擠而堵塞的可能。對故障組件的隔離,限制在一個VLAN上的有限幾臺設備.Ｃ、網絡平安性的提高不同的VLAＮ的通信可通過路由設備設置平安和過濾功能，通過路由訪問列表和MAC地址安排等VLAＮ劃分原則，可以掌握用戶訪問權限和規(guī)律網段大小，將不同用戶群劃分在不同ＶLＡN，從而提高交換式網絡的整體性能和平安性D、網絡管理簡潔、直觀對于交換式以太網,如果對某些用戶重新進行網段安排，需要網絡管理員對網絡系統(tǒng)的物理結構重新進行調整，甚至需要追加網絡設備，增大網絡管理的工作量。而對于采納VLAＮ技術的網絡來說，一個VLAＮ可以依據部門職能、對象組或者應用將不同地理位置的網絡用戶劃分為一個規(guī)律網段。在不改動網絡物理連接的情況下可以任意地將工作站在工作組或子網之間移動。利用虛擬網絡技術，大大減輕了網絡管理和維護工作的負擔,降低了網絡維護費用。在一個交換網絡中，VＬAN供應了網段和機構的彈性組合機制。4、VLAＮ組網的條件ＶＬAＮ是建立在物理網絡基礎上的一種規(guī)律子網，因此建立VLAN需要相應的支持ＶＬAN技術的網絡設備。當網絡中的不同ＶLＡＮ間進行相互通信時，ＶLＡN之間的通訊是需要路由設備或者三層交換機。需要路由的支持,這時就需要增加路由設備-—要實現路由功能，既可采納路由器，也可采納三層交換機來完成?；谄桨残院驼莆諒V播風暴,也需要ＶＬAＮ5、劃分VLＡＮ的基本策略從技術角度講，VLAＮ的劃分可依據不同原則，一般有以下三種劃分方法：1、基于端口的VLＡＮ劃分這種劃分是把一個或多個交換機上的幾個端口劃分一個規(guī)律組，這是最簡潔、最有效的劃分方法。該方法只需網絡管理員對網絡設備的交換端口進行重新安排即可，不用考慮該端口所連接的設備。2、基于MAC地址的ＶＬAN劃分MＡC地址其實就是指網卡的標識符,每一塊網卡的MAＣ地址都是惟一且固化在網卡上的。MAC地址由12位1６進制數表示，前8位為廠商標識,后4位為網卡標識。網絡管理員可按MAC地址把一些站點劃分為一個規(guī)律子網。這種劃分ＶＬＡN的方法是依據每個主機的MAC地址來劃分,即對每個MAC地址的主機都配置他屬于哪個組。這種劃分VLAＮ的方法的最大優(yōu)點就是當用戶物理位置移動時,即從一個交換機換到其他的交換機時,VLＡN不用重新配置，所以，可以認為這種依據ＭAＣ地址的劃分方法是基于用戶的VLＡN,這種方法的缺點是初始化時，全部的用戶都必須進行配置，如果有幾百個甚至上千個用戶的話，配置是格外累的。而且這種劃分的方法也導致了交換機執(zhí)行效率的降低，由于在每一個交換機的端口都可能存在很多個VLAＮ組的成員，這樣就無法限制廣播包了。3、基于路由的ＶLＡN劃分路由協(xié)議工作在網絡層,相應的工作設備有路由器和路由交換機（即三層交換機）。該方式允許一個ＶLAN跨越多個交換機,或一個端口位于多個ＶLAＮ中.4、依據ＩP組播劃分VLAＮIP組播實際上也是一種VLＡN的定義,即認為一個組播組就是一個VＬAN，這種劃分的方法將VLAＮ擴大到了廣域網，因此這種方法具有更大的靈敏性，而且也很容易通過路由器進行擴展，當然這種方法不適合局域網,主要是效率不高。就目前來說,對于VLAＮ的劃分主要實行上述第1、3種方式,第２、4種方式為幫助性的方案.６、ＶLAN的實現VLＡＮｔagging技術是VLＡN實現的關鍵ＩＥEＥ8０2.1Ｑ標準作為8０２．1D橋接規(guī)范的一部分，它使不同廠家的交換機之間傳遞ＶLAN信息成為可能。IEEE8０2。１Q在媒介訪問掌握子層(MAC)幀中包括一個1２ｂｉｔ長度的ＶLAＮ標識符，該標識符是IＥEE802.1Q的1６bit報頭信息的一部分，該報頭被添加到用于以太網和令牌環(huán)網絡中傳輸的數據幀中，余下的４biｔ信息，3biｔ用于優(yōu)先隊列(８0２。１p）的標識，1biｔ是0VLAN幀標記方法Frａmｅ方向TａgPｏrｔUnｔagportTagedＦｒameInｕnｃhaｎｇeunchangeＯuｔunｃhaｎgｅ去標記ＵｎtaｇedFrａmeInｕnchａｎgeuｎcｈａngeＯut打標記uncｈａngeTａggｉng:將8０2．１ＱVＬAN的信息加入數據包的包頭.具有加標記能力的端口會將ＶＩＤ、優(yōu)先級和其他VLAＮ信息加入到全部進出該端口的數據包內,如果數據包已經被標志過了，那么,端口將不對該數據包改動,保持原有的VＬAＮ信息。Uｎｔagging：將802.１QVLＡN的信息從數據包的包頭去掉的操作，具有去標記能力的端口將VIＤ、優(yōu)先級和其他VＬAN信息從全部進出該端口的數據包頭中去掉，如果數據包沒有被標記過，端口將不對該數據包改動。其次章：三層交換技術1、三層交換技術A、三層交換技術的產生二層交換技術從網橋進展到VLAN（虛擬局域網),在局域網建設和改造中得到了廣泛的應用。其次層交換技術是工作在OSI七層網絡模型中的其次層，即數據鏈路層。它依據所接收到數據包的目的MAC地址來進行轉發(fā)，對于網絡層或者高層協(xié)議來說是透明的。它不處理網絡層的IP地址,不處理高層協(xié)議的諸如ＴCP、UＤP的端口地址，它只需要數據包的物理地址即MＡC地址，數據交換是靠硬件來實現的，其速度相當快,這是二層交換的一個顯著的優(yōu)點。但是,它不能處理不同IＰ子網之間的數據交換。傳統(tǒng)的路由器在網絡中有路由轉發(fā)、防火墻、隔離廣播等作用,而在一個劃分了VLAＮ以后的網絡中，規(guī)律上劃分的不同網段之間通信仍然要通過路由器轉發(fā)。由于在局域網上，不同VLAN之間的通信數據量是很大的，這樣，如果路由器要對每一個數據包都路由一次，隨著網絡上數據量的不斷增大，路由器將不堪重負，路由器將成為整個網絡的瓶頸。在這種情況下，消滅了第三層交換技術，三層交換處于OＳＩ模型的第三層，三層交換機除具有二層交換機的全部功能以外，同時在第三層還具有部分路由器的功能.它是將路由技術與交換技術合二為一的技術。三層交換機在對第一個數據流進行路由后，會產生一個MAＣ地址與IP地址的映射表，當同樣的數據流再次通過時,將依據此表直接從二層通過而不是再次路由,從而消除了路由器進行路由選擇而造成網絡的延遲,提高了數據包轉發(fā)的效率,消除了路由器可能產生的網絡瓶頸問題?？梢?三層交換機集路由與交換于一身，在交換機內部實現了路由，提高了網絡的整體性能.因此,在劃有VLAN的局域網中，一般都要采納三層交換機來實現各VLAＮ的通信。。B、三層交換的特點1、線速路由２、二．三層功能有機結合3、多個子網互聯時,不需要增加端口,保護用戶的投資4、路由自動發(fā)現，配置簡潔5、供應訪問掌握列表，實現過濾功能６、訪問掌握列表可以限制不同的VLＡＮ的成員之間的訪問策略7、采納ＱoＳ,滿意語音、視頻等多媒體通信的需求８、線速路由和傳統(tǒng)的路由器相比,三層交換機路由速度一般要快十倍或數十倍，能實現線速路由轉發(fā),傳統(tǒng)路由器采納軟件來維護路由表,而三層交換機采納ASＩC（Aｐｐlicａt(yī)ionSpecｉｆiｃＩnｔegratedCircｕit）硬件來維護路由表，因而能實現線速路由。９、二、三層功能有機結合除了少數的數據包走三層路由外，大部分數據由其次層交換處理。C、三層交換的工作原理假設兩個使用ＩP協(xié)議的站點A、B通過三層交換機進行通信,發(fā)送站點Ａ在開頭發(fā)送時,把自己的IP地址與B站點的IP地址進行比較,推斷Ｂ站是否和自己在同一子網內。若目的站B與發(fā)送站A在同一子網內,則進行二層的轉發(fā).若兩個站點不在同一子網內，如發(fā)送站Ａ要與目的站B通信,如圖所示三層交換機原理圖步驟一、發(fā)送站A要想“缺省網關”(三層模塊地址）發(fā)出AＲＰ（地址解析）封包,交換機收到一個A要到達B的數據幀，并查看數據幀的目的的MＡＣ地址,如果緩存有相應的條目，就可以依據相應條目直接使用快速交換技術完成三層數據路由，如果沒有相應條目。則執(zhí)行步驟二。步驟二:二層交換模塊將數據幀轉入三層交換模塊，依據三層路由協(xié)議找到目的的路徑,并重新轉變二層的源ＭAC地址，并將三層相應的路由路徑映射成二層條目信息條目。步驟三：三層交換模塊將生成的條目回傳到二層交換模塊的相應緩存中。步驟四：二層交換模塊依據三層模塊回傳的條目，來比較后續(xù)的數據幀的目的地址,如果數據幀中的目的地址與緩存相匹配則執(zhí)行步驟五,否則執(zhí)行步驟一.步驟五：如果進入交換機的數據幀的目的與二層緩存的比較，如果匹配數據幀將直接進入二層交換，旁路三層路由,完成快速的三層交換。從以上可以看到，當A向B發(fā)送的數據包便全部交給二層交換處理,信息得以告知交換。由于大部分數據都通過二層交換轉發(fā),因此三層交換機的處理速度很快,接近二層交換機的速度,從二實現“一次路由，多次交換"的快速交換.項目實施一、項目實施設備九寨天堂九寨天堂位于九寨溝甘海子,是一座按5星級標準修建,具有濃郁藏羌民族風格的酒店。由于分布地域比較廣,各經營點比較分散,故設了一個主機房，一個副機房,各經營點交換機到主副機房，主副機房之間都采納單模光纖,通過光纖口相互連接,并實行冗余線路方式。采納設備如下：1臺３ＣＯM公司的3C４050核心三層交換機及４個GＢIC92千兆單模光纖接口，1臺3ＣOＭ公司可管理的3C4４00SE邊緣交換機及一個100０M單模光纖接口，16臺D－ＬＩNK公司的3２26Ｓ可管理的交換機及其單模光纖模塊Ｔ－132。單模光端機10臺，可傳輸距離為７０KM，1臺華為公司的2６31E企業(yè)級路由器(2個以太網口,一個ｓｅｒial口(用于DDN），４端口FＸS（用于ＶOＩＰ））。中心機房采納3ＣOＭ公司的三層交換機3C4050，３CoｍSwitch4０50交換機專為滿意企業(yè)網絡核心骨干的苛刻要求而設計，設計緊湊的2RU高度機架式設備-配有6個1000ＢAＳE-SX端口和6個ＧBＩC端口（用于骨干連接）以及12個用于連接服務器的集成式1０／１00／1０００端口。3ComSwｉtｃh4０50交換機供特性豐富的其次層功能、ＩP網絡第三層交換以及高級流量優(yōu)先級劃分能力和平安功能，可滿意核心千兆骨干鏈路不斷增長的需求。供應56Gbps多層交換容量,跨全部端口供應線速性能,轉發(fā)速率超過4１00萬pps。3Ｃ4０5０第三層交換功能—如使用靜態(tài)路由、RＩＰ/RIPｖ２和CＩＤＲ的點播IＰ路由—有助于增強性能,供應網絡掌握和平安性，和實現VLAN間的路由副機房采納主干交換機采納3ＣOＭ3C４400SE，該交換機可管理供應全線速的交換性能。24端口交換機的傳輸速率可達66０萬包每秒,2個可擴展端口，可插入１000Ｍ光纖或電口模塊，具有8。8Gｂpｓ交換能力。各經營點交換機采納ｄ-lｉnｋ公司的ｄ－link３2２6ｓ交換機ｄ-link3326S是一款把二層線速交換與基本的三層ＩＰ數據包路由和QoS(服務質量）結合的可堆疊多層路由交換機,，該交換機供應24個１0/１00M自適應端口,網速全/半雙工自動協(xié)商.每個端口可與工作站或打印服務器相連,獨享帶寬.全部端口均支持自動ＭＤI-ＩＩ／MＤI-X上行連接，允許用戶從任何一個端口連接到工作站、服務器或其它交換機,而不需轉變通常的雙絞線直連方式。供應一個擴展插槽用來插光纖或電口模塊.通過網段劃分,支持IEＥE８0２。1QＶＬＡN標記與交換機連接的工作組可以被分組到不同的虛擬局域網(VLAＮs)。該交換機同樣支持GVRP（GＡRPVＬAＮ注冊協(xié)議)自動配置VLＡN.成都會展中心成都會展中心由于有老的網絡，為保障原有的投資,保留了原先的２臺中心交換機3COM3３０0ＦX,作為副機房的交換機（支持vｌan),添加了一臺3COM公司的３Ｃ４050交換機作為中心機房的骨干三層交換機.增加可網管的二層交換機Ｄ－ＬＩNＫ32２6S，保留原先不行管理交換機，作為接入可網管交換機的一個VLAN端口到桌面。1臺華為2６31E路由器,１０臺D-LINK３22６S交換機。其他和九寨天堂設備基本相同。寨天堂和成都會展的網絡結構九寨天堂和成都會展基于穩(wěn)定、平安、高效的原則,都采納星型結構網絡,呈發(fā)散型狀。以下是九寨天堂和成都會展網絡拓撲結構圖.三、VLＡＮ的規(guī)劃設計九寨天堂局域網網絡地域分布較廣,用戶比較多，信息點眾多,為了使網絡高效、平安、牢靠的運行，而且便于管理和維護，整體的局域網的VＬAN劃分采納基于端口模式的VLAN劃分.首先依據在局域網上運行的不同系統(tǒng)劃分.共有5個不同的網絡，分別是酒店業(yè)務網絡、財務網絡、辦公網絡、計算中心網絡、外單位網絡、移動用網絡.ＶLAN表劃分如下:編號（ＶＬAＮ－ID）說明IP段色標１５0酒店業(yè)務系統(tǒng)網絡１92。1６８.15０.０／２41５１財務網絡192.1６8.151．0/2415２計算中心網絡19２。１６8.１52．0/2４1５３辦公網絡19２.1６８.１53.０/24１54外單位網絡1９２。168。15４.0／２4１5５移動用網絡192。１6８.1５5.０/24DｅfaｕｌｔＤeｆａuｌt無Ｂ、依據交換機所屬網絡種類來分。酒店業(yè)務類交換機(d—ｌｉnk32２６ｓ）端口1357９111315１71９2１２３V-ＬAＮ-ＩＤ１50１501５０1501５0150１5０１5３15０1５215４TAG色標色標V－LAN－IＤ1501５０1501501５0１50150１53151153１５5TAG端口2４6８1０12１41６182022２4注:交換機端口23－24為ＴAG，表示它們不屬于任何VLAＮ，屬于Dｅｆaｕｌｔ，該交換機的全部網段(150、151、１52、１5３、1５4、15５)數據都通過該端口加TAG標記送到另外加了TＡG標記的交換機辦公類交換機(ｄ－ｌｉnｋ3２26ｓ)端口135７91１1３1517１92１２３V—ＬＡN－ID153１５31531531５31５3153150150１5215４TAG色標色標V-LAN-ＩD1５3153１5３１5315315315３１501511５3155ＴAG端口24６８10１2141６１8２0２２２4注：交換機端口23—24為TＡG,表示它們不屬于任何VLAN，屬于Dｅfaｕlt，該交換機的全部網段(15０、1５１、152、1５3、154、155)數據都通過該端口加TAG標記送到另外加了TＡG標記的交換機財務類交換機（ｄ－liｎk322６s）端口１3579１1１３1５171９2123Ｖ－LAN－ID1５1１５11５11５115１１53１50１5０15０15215４TAG色標色標V-LAN－ID１51151151151１５11５３1５01５01５１15３15４TＡＧ端口246８１0１２141６１８2０2224注：交換機端口２３－2４為ＴAG，表示它們不屬于任何VLＡN，屬于Defａｕｌt，該交換機的全部網段(１５0、151、15２、1５3、154、155)數據都通過該端口加TＡG標記送到另外加了TAG標記的交換機中心三層交換機(3COM4０50）GＢIC端口1２３456V-LAN—IDTAGTAＧＴＡGＴAGＮＣNC色標說明副機房員工宿舍機房擴展備用擴展備用沒有安GBIC口沒有安ＧBIC口電口78910１1１2V-ＬＡN-IＤTAＧＴＡGＴＡGTAGTAＧＴＡＧ說明酒店大堂擴展備用財務部辦公區(qū)溫泉中心溫泉中心副樓色標色標說明擴展備用擴展備用上網服務器財務部服務器酒店主服務器酒店備份服務器V－LＡN－IDTAＧTＡG15２1５1150１50電口１314151６１718注:交換機端口1—14為ＴAG標記端口，表示它們不屬于任何VLＡN，屬于Default，該交換機的全部網段（150、15１、１５2、１53、1５4、155）數據都通過這些端口加TAG標記送到另外加了TAG標記的交換機端口15-1８分別屬于Ｖlan1５２、Ｖlan１５１、Vｌaｎ150,沒有加ＴAＧ標記.直接連接到各自網段的服務器。⑤副機房交換機(３C4４0０ＳE）端口１３５7９11131517１９212325V-LAＮ15015０150150１5３1501521５4TAGTAGＴAGTAGＴAG色標接中心機房色標接中心機房V-LＡN15015０1５０1５0１53１５1１53１5５ＴAGTAＧTＡＧTＡGTAG端口246810１2１41６1820２22426注：交換機端口17-26４為ＴAG標記端口,表示它們不屬于任何VＬAＮ,屬于Default,該交換機的全部網段（150、151、１5２、15３、１５４、１5５)數據都通過這些端口加TAG標記送到另外加了ＴＡG標記的交換機四;交換機的配置１、交換機廠商在交換機包裝里面都隨機附帶了一根ｃonsolｅ線，用于對交換機的初始化配置，ｃonsole一端直接接到交換機的consoｌe端口,一端接到ＰC機的COM1或者COＭ2口，在wiｎd