企业业务需求分析与网络设计课件.ppt

1、小型企业网络解决方案主讲：郭登科 越来越多的企业拥有自己的远程站点，这些网越来越多的企业拥有自己的远程站点，这些网点都需要和总部联系，需要和互联网联系。点都需要和总部联系，需要和互联网联系。企业的远程站点规模变大，为了安全和方便管企业的远程站点规模变大，为了安全和方便管理。理。小企业的大量出现。小企业的大量出现。背景企业网络远程接入站点企业网络远程接入站点5.1 小型企业网组网需求小型企业网络组网需求分析p 业务类型Internet业务企业内部业务IP通信业务 p 流量访问模型本地访问远程访问 p 用户接入需求 用户接入数量不大（几十个信息点）p 组网原则一般可靠性性价比小型企业网络组网方案小

2、型企业网络组网方案 网络拓扑：一层模型的星型结构，通过级联交换机来扩展网络接入容量。网络拓扑：一层模型的星型结构，通过级联交换机来扩展网络接入容量。接入交换机连接用户信息点和边界路由器。接入交换机连接用户信息点和边界路由器。设备：接入交换机：设备：接入交换机：Cisco29XX系列，边界路由器：系列，边界路由器：Cisco 1800/2800系列系列链路：快速以太网技术链路：快速以太网技术技术：技术：VLAN、Trunk、VTP，单臂路由，单臂路由5.2 局域网业务隔离业务隔离的必要性业务隔离的必要性p 技术需要交换机替代交换机替代HUBHUB减小了冲突域减小了冲突域二层交换机不能阻隔广播域二

3、层交换机不能阻隔广播域二层交换网络规模越大，广播危害也严重二层交换网络规模越大，广播危害也严重路由器可以阻隔广播，但是会成为性能瓶颈路由器可以阻隔广播，但是会成为性能瓶颈p 业务接入需要 按照部门分组接入按照部门分组接入业务安全需要业务安全需要将特殊流量与一般流量分开将特殊流量与一般流量分开用户接入灵活、易扩展用户接入灵活、易扩展p 交换机业务隔离技术VLANVLAN广播域可以跨网段，而冲突域只是发生的同一个网段的。冲突域：在同一个冲突域中的每一个节点都能收到所有被发送的帧 广播域：网络中能接收任一设备发出的广播帧的所有设备的集合 冲突域是基于第一层（物理层）而广播域是机于第二层（数据链路层）

4、HUB 所有端口都在同一个广播域、冲突域内。Swith所有端口都在同一个广播域内，而每一个端口就是一个冲突域。LANLAN与与VLANVLAN一台物理交换机在逻辑上分割成若干台虚拟交换机一台物理交换机在逻辑上分割成若干台虚拟交换机p LAN LAN LAN是指相同广播域内的所有设备，这些设备可以发送广播帧，是指相同广播域内的所有设备，这些设备可以发送广播帧，而相同而相同LANLAN内的所有其他设备都可以获得该广播帧的一份拷贝。内的所有其他设备都可以获得该广播帧的一份拷贝。二层交换机默认时，所有端口都属于相同二层交换机默认时，所有端口都属于相同LANLANp VLAN交换机创建的广播域交换机创建

5、的广播域VLANVLAN相当于一个逻辑上的网桥相当于一个逻辑上的网桥VLANVLAN直接二层隔离直接二层隔离交换机默认所有端口属于交换机默认所有端口属于VLAN1VLAN1VLANVLAN间通信必须经过三层设备间通信必须经过三层设备网络设备的域HubBridgeSwitchRouterCollision Domains（冲突域冲突域）绿色绿色:1 4 4 4 Broadcast Domains（广播域广播域）红色红色:1 1 1 4 冲突域与广播域广播域指接收同样广播消息的节点的集合，如：在该集合中的任何一个节点传输一个广播帧，则所有其他能收到这个帧的节点都被认为是该广播帧的一部分交换机分割冲

6、突域，但是不分割广播域，即交换机的所有端口属于同一个广播域.广播域广播域 广播域广播域冲突域冲突域冲突域冲突域广播广播 VLAN分割广播域广播域广播域广播广播VLAN 1VLAN 2广播域广播域VLANVLAN规划规划p VLAN划分原则按业务划分（按业务划分（VoIPVoIP）按部门划分按部门划分按广播域大小划分按广播域大小划分按网络物理位置划分按网络物理位置划分p VLAN划分方法根据端口划分根据端口划分VLANVLAN根据根据MACMAC地址划分地址划分VLANVLAN根据用户认证授权划分根据用户认证授权划分VLANVLANVLANVLAN与与IPIP子网一一对应子网一一对应管理管理VL

7、ANVLAN划分划分基于端口划分的静态VLAN基于MAC地址划分的动态VLAN（vlan管理策管理策略服务器）略服务器）当主机发送数据帧，当主机发送数据帧，交换机查看了数据帧交换机查看了数据帧的源的源MACMAC地址后，才地址后，才能判断主机属于哪个能判断主机属于哪个VLANVLAN当一个帧到达动态端口时，交换机根据帧的源地址查询VMPS，获取相应的VLAN分配Cisco交换机上静态VLAN的配置 配置VLAN的步骤创建VLAN将端口加入到相应的VLAN中验证 创建VLAN创建VLAN有以下2种方法在全局配置模式下创建VLAN进入VLAN数据库中创建VLAN 在全局配置模式下创建VLANSwi

8、tch(config)#vlan vlan-idSwitch(config-vlan)#name vlan-name添加一个添加一个VLANVLAN给给VLANVLAN命名，此命命名，此命令可选令可选进入VLAN 数据库创建VLANSwitch#vlan databaseSwitch(vlan)#vlan 2VLAN 2 added:Name:VLAN0002Switch(vlan)#exitAPPLY completed.Exiting.进入进入VLAN VLAN databasedatabase添加添加VLAN 2VLAN 2如果不给如果不给VLANVLAN指定名称，交换机自动指定名称，交

9、换机自动添加添加VLAN 2VLAN 2的名称为默认的的名称为默认的VLAN0002VLAN0002保存退出保存退出删除已创建的VLANSwitch#vlan databaseSwitch(vlan)#no vlan 2Deleting VLAN 2.或：Switch(config)#no vlan 2如果配置错误，或配置如果配置错误，或配置修改，需要删除修改，需要删除VLANVLAN时。时。需要注意的是：确定这需要注意的是：确定这个个VLANVLAN中不包含任何的中不包含任何的端口端口 将端口加入VLANSwitch(config)#interface f0/1Switch(config-i

10、f)#switchport access vlan vlan-idSwitch(config-if)#no switchport access vlan vlan-id也可以同时将多个端口添加到某个VLAN中：Switch(config)#interface range f0/1 10 Switch(config-if-range)#switchport access vlan vlan-id进入接口配置模式进入接口配置模式将接口添加到某个将接口添加到某个VLANVLAN中中将接口从某个将接口从某个VLANVLAN中删除中删除 验证VLAN的配置Switch#show vlan briefSw

11、itch#show vlan id vlan-id查看所有查看所有VLANVLAN的摘的摘要信息要信息查看指定查看指定VLANVLAN的信息的信息 VLAN配置实例Switch#vlan databaseSwitch(vlan)#vlan 2 name v2VLAN 2 added:Name:v2Switch(vlan)#exitAPPLY completed.Exiting.Switch#config terminalSwitch(config)#interface range f0/5-10Switch(config-if-range)#switchport access vlan 2 查

12、看VLAN配置Switch#show vlan briefVLAN Name Status Ports-1 default active Fa0/1,Fa0/2,Fa0/3,Fa0/4 Fa0/11,Fa0/12,Fa0/13,Fa0/14 Fa0/15,Fa0/16,Fa0/17,Fa0/18 Fa0/19,Fa0/20,Fa0/21,Fa0/22 Fa0/23,Fa0/242 v2 active Fa0/5,Fa0/6,Fa0/7,Fa0/8 Fa0/9,Fa0/101002 fddi-default active1003 token-ring-default active1004 fdd

13、inet-default active1005 trnet-default active5.3 跨越交换机部署VLAN跨越多个交换机的跨越多个交换机的VLANVLANVLAN标识交换机给每个去往其他交换机的数据帧打上VLAN标识中继链路（Trunk）接入链路（Access）VLAN 1标记VLAN 3标记TrunkTrunk与与AccessAccess端口端口p Trunk端口一条物理链路同时承载多个VLAN的数据默认时属于所有VLAN必须100M以上端口连接交换机-交换机，交换机-路由器，交换机-服务器p Access端口 仅属于某个特定VLAN 连接交换机-终端，交换机-路由器，交换机-服

14、务器Trunk与Access端口（续）VLAN中继TrunkTrunk的封装格式：ISL、dot1QISL是Cisco专用的标准。在以太网报文中增加了26byte作为VLAN tag.Dot1Q是IEEE制订的标准802.1Q，几乎所有的厂商设备都支持。在以太网报文中增加了4byte作为VLAN tag.802.1Q 标签帧比ISL 标签帧包含更少的域，因为它是在标准以太网帧中插入4个字节的tag帧而不是放入标签头部信息。IEEE802.1Q的工作原理和帧格式21802.1Q 802.1Q 标记标记 4 4字字节节dot1Q封装格式IEEE802.1QIEEE802.1Q的帧格式的帧格式dot

15、1Q封装格式 标记协议标识符（TPID）是被全局分配的。定义值为0 x8100，表明一个帧是802.1Q VLAN数据帧。标记控制信息（TCI）用户优先级（priority）：该域用来标记帧穿过交换机时携带用户优先级信息，主要是802.1p 使用（qos里面有介绍）。其长度为3，取值从0-7。规范格式指示器（CFI）：cfi值为0说明是规范格式，如运行802.3数据帧，为1说明是非规范格式（用在令牌环/FDDI介质访问方法中）。其长度为1。VLAN ID：标识帧所属的VLAN，其长度为12，可以标识4096个VLAN从04095。Cisco ISL工作原理和帧格式31ISLISL头头2626字

16、节字节CRCCRC4 4字节字节Cisco ISL工作原理和帧格式32dot1Q Trunk特性tag和untag在trunk中，有两情形的数据，打上VLAN tag和没有VLAN tag（untag）的数据。Tag数据:需要在trunk中透传的数据带有VLAN tag，在不同交换机中相同vlan tag的数据即是同一个VLAN。Untag数据：在trunk中，untag数据不带VLAN tag，交换机从trunk上发送native vlan的数据时，将数据以untag方式发送到trunk。native VLANNative vlan就是本地VLAN，交换机上每个端口都有一个Native vl

17、an。在Cisco交换机和华为交换机上默认native VLAN为VLAN 1。TrunkTrunk端口配置方法端口配置方法p DTP自动协商自动协商由DTP协议管理自动协商的端口都属于同一VTP域switchport mode dynamic autoswitchport mode dynamic desirableswitchport mode trunkp Access端口 禁止DTP协商，禁止Trunk，将端口设置为终端接入模式switchport mode accessp 禁止DTP，强制设置Trunkswitchport nonegotiatep Trunk封装类型switchpo

18、rt trunk encapsulation isl switchport trunk encapsulation dot1q switchport trunk encapsulation negotiate 以上能自动协商成以上能自动协商成Trunk的模式有如下几种组合：的模式有如下几种组合：On-on on-auto on-desirable desirable-desirable desirable-auto因此，在实际工程中建议采用手工配置方式来配置因此，在实际工程中建议采用手工配置方式来配置TrunkTrunkDTPDTP的工作模式的工作模式查看接口模式Switch#show int

19、erface interface-id switchportName:Fax/xSwitchport:EnabledAdministrative Mode:dynamic desirableOperational Mode:downAdministrative Trunking Encapsulation:dot1qNegotiation of Trunking:OnAccess Mode VLAN:1(default)Trunking Native Mode VLAN:1(default)Voice VLAN:noneAdministrative private-vlan host-asso

20、ciation:noneAdministrative private-vlan mapping:noneOperational private-vlan:noneTrunking VLANs Enabled:ALLPruning VLANs Enabled:2-1001Capture Mode DisabledCapture VLANs Allowed:ALL接口模式缺省为接口模式缺省为dynamic desirabledynamic desirable封装类型为封装类型为802.1q802.1q 配置VLAN Trunk 配置VLAN Trunk 41第一步：在交换机上添加VLANSW1#v

21、lan databaseSW1(vlan)#vlan 2VLAN 2 added:Name:VLAN0002SW1(vlan)#vlan 3VLAN 3 added:Name:VLAN0003SW1(vlan)#exitAPPLY completed.Exiting.配置VLAN Trunk 42第二步：将接口添加到相应的VLAN中SW1#config terminalSW1(config)#interface range f0/4-10SW1(config-if-range)#switchport access vlan 2SW1(config)#interface range f0/11-

22、23SW1(config-if-range)#switchport access vlan 3配置VLAN Trunk 43第三步：配置交换机之间互联的端口为TrunkSW1(config)#interface f0/24SW1(config-if)#switchport mode trunk查看端口状态SW1#show interface f0/24 switchportName:Fa0/24Switchport:EnabledAdministrative Mode:trunkOperational Mode:trunkAdministrative Trunking Encapsulatio

23、n:dot1qOperational Trunking Encapsulation:dot1qNegotiation of Trunking:OnAccess Mode VLAN:1(default)Trunking Native Mode VLAN:1(default)Voice VLAN:noneAdministrative private-vlan host-association:noneAdministrative private-vlan mapping:noneOperational private-vlan:noneTrunking VLANs Enabled:ALLPruni

24、ng VLANs Enabled:2-1001Capture Mode DisabledCapture VLANs Allowed:ALL接口模式配置为接口模式配置为TrunkTrunk接口工作模式为接口工作模式为TrunkTrunkTrunkTrunk协议类型为协议类型为802.1q802.1qTrunkTrunk可以承载所有的可以承载所有的VLANVLAN从Trunk中添加、删除Vlan去除VLAN Switch(config-if)#switchport trunk allowed vlan remove vlan-list添加VLAN Switch(config-if)#switchp

25、ort trunk allowed vlan add vlan-list 检查中继端口允许VLAN的列表Switch#show interface interface-id switchport从Trunk中删除Vlan配置实例SW1(config-if)#switchport trunk allowed vlan remove 2SW1(config-if)#endSW1#show interface f0/24 switchportName:Fa0/24Switchport:EnabledAdministrative Mode:trunkOperational Mode:trunkAdmi

26、nistrative Trunking Encapsulation:dot1qOperational Trunking Encapsulation:dot1qNegotiation of Trunking:OnAccess Mode VLAN:1(default)Trunking Native Mode VLAN:1(default)Voice VLAN:noneAdministrative private-vlan host-association:noneAdministrative private-vlan mapping:noneOperational private-vlan:non

27、eTrunking VLANs Enabled:1,3-1005Pruning VLANs Enabled:2-1001Capture Mode DisabledVALN 2VALN 2已经被移除，此时，连已经被移除，此时，连接在接在SW1SW1上的上的VLAN 2VLAN 2的主机与连的主机与连接在接在SW2SW2上的上的VLAN 2VLAN 2的主机之间的主机之间不能通不能通5.4 VLAN间单臂路由VLAN间路由不同VLAN三层互访需求二层隔离：不同VLAN二层隔离，在企业网中，一般将部门/业务划分多个VLAN，服务器组有独立的VLAN。三层互访需求：处在各个部门（各个VLAN）的企业员

28、工存在互访需求，各个部门需要访问服务器。这些VLAN之间的互访需要经过三层进行互通。VLAN间路由方法：单臂路由、三层交换单臂路由：在交换机上直接挂接路由器，也称之为旁挂路由器。三层交换：交换机集成路由引擎，具备三层路由功能。单臂路由单臂路由组网结构链路上VLAN中继：dot1Q Trunk交换机与路由器相连的接口配置为Trunk路由器配置子接口：封装dot1Q TrunkVlan 2 的的access接接口口vlan2vlan3FE0Dot1q Trunk接口，每个VLAN一个子接口，子接口封装do1qVlan 3 的的access接口接口Dot1q Trunk接口，透传需要三层互通的VLA

29、NTRUNK单臂路由转发原理tag VLAN间转发交换机将数据打上各自的VLAN tag（将除native VLAN之外）发送到路由器，路由器接口收到数据后剥离vlan tag进行路由选择，然后从接口上打上另一个VLAN tag发送给交换机。交换机接口native VLAN与路由器主接口互通Native vlan在trunk上不带tag交换机接口native VLAN与路由器封装dot1Q native VLAN的子接口互通。主接口、封装dot1Q native VLAN的子接口只能配置一个。单臂路由转发原理Vlan 2 的的access接口接口Vlan 3 的的access接口接口FE0.2

30、 Vlan 2 的网关的网关FE0.3 Vlan 3 的网关的网关vlan2vlan3TRUNKFE0单臂路由配置配置交换机接口Trunk并封装dot1QSwitch(config-if)#interfce Fastethernet 0/1Switch(config-if)#switchport mode trunkSwitch(config-if)#switchport trunk encapsulation dot1Q(可选)Switch(config-if)#switchport trunk allowed vlan add 2 3（可选）配置路由器子接口配置路由器子接口封装dot1Q

31、vlan ID配置路由器子接口IP地址Router(config)#int f0/0.2Router(config-subif)#encapsulation dot1Q 2Router(config-subif)#ip address 192.168.20.1 255.255.255.0Router(config)#int f0/0.3Router(config-subif)#encapsulation dot1Q 3Router(config-subif)#ip address 192.168.30.1 255.255.255.0可选配置：配置路由器主接口IP地址Switch(config-

32、if)#interfce Fastethernet 0/1Switch(config-if)#no shut单臂路由配置可选配置：配置路由器dot1Q native VLAN的子接口Router(config)#int f0/0.10Router(config-subif)#encapsulation dot1Q 10 native 查看接口状态Router#Show run inte f0/0.2Router#show inte f0/0Router#show inte f0/0.2查看路由表Show ip route5.5 5.5 小型企业网工程部署小型企业网工程部署网络设备互连VLAN、

33、IP规划pVLAN规划设备管理VLAN：默认VLAN1业务VLAN：按部门（或业务类型）划分VLAN，比如生产部VLAN10，市场部VLAN20，财务部VLAN30，服务器VLAN。规划各VLAN相关交换机端口pIP地址规划设备管理IP地址业务IP：给每个部门或每种类型的业务划分一个C类子网，子网连续分配业务网关：所有业务VLAN的网关都配置到局域网边界路由器与交换机相连的端口上，配置子接口，比如生产部VLAN10的网关：蓝狐网络技术培训学校蓝狐网络技术培训学校设备配置任务设备配置任务p设备管理性配置交换机管理性配置：主机名、口令、管理交换机管理性配置：主机名、口令、管理IPIP路由器管理性配

34、置：路由器管理性配置：主机名、口令、管理主机名、口令、管理IPp接口参数配置接口速率、工作模式接口速率、工作模式p交换机VLAN、Trunk配置VLANVLAN及其端口绑定及其端口绑定TrunkTrunk配置配置p单臂路由配置子接口及其封装、网关子接口及其封装、网关IPIP地址地址连通性、质量、业务测试 测试测试 网络连通性测试扩展ping测试。在接入交换机上ping测试网管VLAN的网关IP，连续ping 2000次/1500字节大小的包，确认连通性、丢率、延迟抖动。Ping ip 192.168.60.254 size 1500 count 2000 业务测试在用户PC上ping网关，确认

35、连通性和丢包率、延迟抖动。ping-n 2000-l 1500 192.168.10.254在业务PC上开启相关的业务系统，确认业务的连通性。对测试问题的处理对测试问题的处理 如果ping测试不通，不稳定，业务不通。先查配置，再查链路。一段段的逐一排查。Cisco catalyst2950交换机产品介绍u2950系列交换机Cisco catalyst2960交换机产品介绍u2960系列交换机Cisco Catalyst 2960 系列交换机定位Catalyst 2960系列产品概述Cisco新一代二层交换机Catalyst 2960企业远程接入网络配置举例产品订货号产品订货号产品描述产品描述数量数量单价单价总价总价交换机交换机WS-C2960-24TT-LCatalyst 2960 24 10/100+2 1000BT LAN Base Image2$1,943$3,886总计总计$3,886Cisco Catalyst Express 500 系列介绍Catalyst Express 500 系列的产品型号Cisco 2600路由器产品介绍u2600系列路由器Cisco 2800路由器产品介绍路由器产品介绍