作者:高小能
出版社:浙江大学出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
园区网络方案设计及系统集成试读:
前言
本书是编者在从事多年网络技术教学的基础上编写而成的。编者从事教学工作的浙江万里学院电子信息学院2006年与华为三康技术有限公司(现为华三公司)合作成立了华三网络技术学院,2011年与华为技术有限公司合作成立了华为网络技术学院。在多年网络技术课程教学过程中,编者深感在向学生教学路由和交换技术的同时,缺乏一本综合各种路由和交换技术组建一个大型综合性网络的实验实训教学参考书供学生训练和学习之用。在华三公司每年组织的全国300多所华三网络技术学院年会上,很多兄弟院校从事网络技术教学的教师都反映迫切需要这样一本教学和实验参考书。因为在实际教学中,学生们都反映学习完各个单一的、分项路由和交换技术之后,不知道它们在组建实际网络中有什么用途,怎样在实际网络工程中综合运用这些技术。本书就是在这样的背景基础上完成的。目的是向那些希望通过组建综合网络来提高网络技术的读者提供一本有实用价值的网络学习参考书。本书适合于网络技术的初学者以及有一定网络技术基础,想要进一步通过配置综合网络项目来提高网络技术的网络学习者。
考虑到高校实验室设备数量有限的特点,编者巧妙利用不多的实验室设备设计了一个集局域网和广域网为一体的综合性网络,类似于一个实际的网络工程项目,将多种交换和路由技术融合到该网络项目中。全书以完成该工程项目为主线,从所有设备的空白配置开始,以实现单个模块功能的形式把整个项目工程有机切割为多个模块,每个模块相当于一个功能单元,实现一个具体的功能。后一章的功能必须在完成前一章的基础上才能实现,这样环环相扣,最后形成了一个有机的整体。本书不以单纯地罗列各种网络技术为目的,也不以讲解各种基础路由和交换技术为任务。鉴于讲解基础网络技术工作原理的书籍非常多,网上资料不胜枚举,所以本书省去了一些基础内容的讲解,而是侧重于综合性地运用路由和交换技术,完成一个实际的网络工程项目。
本书重在培养学生实际操作设备和排除网络故障的能力,对初学者在学习中常见的问题进行了分类汇总并说明解决方法,对组建网络中出现的疑难问题进行了有针对性的分析讲解,引导学生如何使用排除网络故障方法,学会自己解决问题。除了基本配置之外,还尝试通过分析设备的输出信息以及使用多种故障诊断命令引导学生学会解决网络问题的基本方法,从而逐步提高学生的实际技能。
全书的所有配置代码都在华三设备平台上调试和运行。其中路由配置在H3C MSR30-20型路由器(软件Version 5.20, Release 2207P34)上完成,交换配置在S3610-28TP交换机(软件Version 5.20, Release 5309P01)上完成。所有配置均可移植到华为公司的路由和交换平台。在Cisco平台上只需将命令作相应的变换即可。对学习H3C、华为和Cisco网络技术的学习者都有一定的帮助意义。
最后需说明的是,由于时间仓促,加之本人水平有限,书中难免出现错误。欢迎使用本书的读者找出错误,提出意见或建议,可E-mail至littleneng@ 126.com,以便供本人在实际教学中参考和对本书进行修改。对提出中肯意见的读者,本人致以诚挚的谢意。编者2013年1月20日第1章局域网的层次化设计计算机网络近年来飞速发展,Internet已日益成为人们日常社会生活的一个重要组成部分。早期人们只能通过个人计算机以有线的方式在固定的位置连接到网络,而WLAN(Wireless Local Area Network,无线局域网)技术的发展则让人们可以通过便携式计算机、平板电脑、智能手机等终端随时随地连接到网络。网络通信已经应用于现代工商业和人们休闲生活的各个方面,包括企业管理、电子商务、电子银行、远程医疗诊断、教育服务、信息服务业等。在可预见的将来,网络将向人们提供“任何人(Whoever)在任何时候(Whenever)、任何地点(Wherever)通过任何方式(Whatever)和任何人(Whomever)进行通信”的“5W”通信服务。计算机网络的迅速普及和企业的IT化发展催生了社会对网络工程师的大量需求。越来越多的政府机构、商业组织、大中型企业、大中专院校需要建立一个专属网络来为员工提供网络服务,也方便组织者统一部署适合各自需要的、能够提高工作效率的网络服务,并且方便组织者管理。局域网(LAN, Local Area Network)或园区网就是根据社会的这些需求应运而生的,它能够提供网络内大量计算机的资源共享和协同操作,满足了用户的需要。局域网技术是当前计算机网络研究与应用最为活跃的技术之一。局域网的传输媒质从同轴电缆、双绞线发展到光纤,传输速率从10M bit/s、100M bit/s、1000M bit/s再到万兆及更高速率。WLAN技术的发展更让局域网延伸到无线领域。尽管局域网技术还在不断快速发展,但局域网的网络架构相对稳定,其组网技术发展得相对成熟,让学习者更容易掌握构建和管理局域网。企业越来越需要大量的专业人才为他们设计、架构、管理并充分发挥计算机互联网络的作用。1.1层次化网络的概念
20世纪90年代初期Cisco(思科系统)公司率先提出采用层次化模型设计方法,即将复杂的网络设计分成几个层次,每个层次专注于特定的功能。Cisco网络工程师将局域网的层次化模型细分为三个层次,分别是接入层、汇聚层和核心层,这就是通常所说的三层网络架构设计方法。简要地讲,核心层主要完成网络的高速交换,汇聚层主要提供基于策略的连接,而接入层就是将用户计算机工作站接入网络。随着实际组网经验愈来愈丰富,人们对各个层次所能完成的功能有了更明确的认识。目前网络设计基本上围绕这三个层次展开,网络的功能定义分别实施在对应的层次上。久而久之,这种层次化模型的网络架构相对稳定下来。可以说层次化的架构大大简化了网络设计,并使网络建设、施工、后期扩容以及网络管理更为容易。现代大中型企业网、政府网、园区网等各种应用于不同机构的局域网组网普遍都采用层次化的网络架构。甚至广域网也采用了类似的层次化网络架构(本书只讨论局域网的层次化设计,对广域网的层次化设计不作叙述)。我们要明确这种分层方法只是Cisco所倡导的一种组建网络的逻辑方法,三个层次并不意味着在实际局域网建设必须同时需要这三个层次和三种不同的设备(如路由,交换机等)。有时根据局域网规模的大小适当进行调整:小规模网络可能只有两个层次,而较大规模的网络可能还会将某个层次分为两个子层来实现。
下面对局域网的三个层次进行简要地说明和功能定义。以便进一步了解在实际的网络设计中,网络构建者和网络工程师常常在各层上实施哪些功能,并试图说明在各层上实施这些功能的原因。
1.接入层
通常将网络中直接面向用户连接或访问网络的部分称为接入层,或者说个人计算机通过网线连接到最近的局域网网络设备,这一范围就称为接入层。接入层向本地网段内的所有计算机工作站提供接入的接口。接入层交换机是最常见的交换机,它直接与用户计算机的网卡连接。由于网络内的用户数量可能比较多,所以接入层设备应该提供足够多的接口,接口足够多的目的是允许尽可能多的终端用户连接到网络。接入层的功能主要是创建分隔的冲突域,完成用户流量的接入和隔离,确保工作组到汇聚层的连通性。接入层是最终用户与网络的接口,它应该具有即插即用的特性,同时应该非常易于使用和维护。接入层作用比较简单,接入层交换机可以采用低端交换机,在实际组建网络时可以选用低价格和多端口的交换机。
2.汇聚层
汇聚层也称为分布层或工作组层。汇聚层位于接入层和核心层之间,是网络接入层和核心层的“中介”。当局域网的终端工作站比较多时,成千上万的用户计算机通信流量显得杂乱和分散,此时将某些子网的用户通过一个上层交换机进行流量汇聚后再发送到核心层交换机,以减轻核心层设备的负担。汇聚层因此而得名。汇聚层交换机实际上是多台接入层交换机的汇聚点,它处理来自多台接入层设备所连接的所有个人计算机终端流入的所有通信量,并在需要时通过上行链路提供给核心层。因此可以说汇聚层起着“承上启下”的作用。在汇聚层中,应该采用支持三层交换和虚拟局域网(Virtual Local Area Network, VLAN或vlan)技术的交换机,以达到子网汇聚和路由的目的。基于这个原因,与接入层使用的交换机比较,汇聚层使用的交换机具备更高的性能,更少的接口和更高的交换速率,从而价格也比接入层交换机要高。
汇聚层主要承担的基本功能有:汇聚接入层的用户流量,进行数据分组传输的汇聚、转发和交换;根据接入层的用户流量,进行本地路由、过滤、流量均衡、QoS优先级管理、流量整形、组播管理等处理;根据处理结果将用户流量转发到核心层或在本地进行路由处理等。
3.核心层
核心层又称骨干层,用于连接服务器集群、各建筑物子网汇聚路由,及与城域网连接的出口。它是园区网络的枢纽中心和高速交换大动脉,主要负责可靠和迅速地传输大量的数据流,对整个网络的连通起到至关重要的作用。如果把接入层比作人的四肢,汇聚层比作人的躯干,那么核心层就好像是人的大脑。在这一层上不要做任何影响通讯流量的事情,如部署访问控制列表、划分VLAN和实施包过滤等。网络的控制功能最好尽量少在骨干层上实施。也不要在这一层接入工作组计算机。
所有汇聚层交换机将汇聚的数据流量转发到核心层交换机,核心层交换机要保证快速转发来自众多汇聚层交换机的数据流量。核心层的主要目的在于通过高速转发通信,提供优化、可靠的骨干传输结构,因此核心层交换机应拥有更高的性能和吞吐量,高效、快速是核心层的最重要指标。一台核心层交换机往往可以完成局域网的整个数据交换功能。但是因为核心层的重要性,人们往往希望局域网络永远不要出现故障,特别是在核心层,如果这一层出现了故障将会影响到每一个用户,所以核心层要具有容错能力。最好的方式是在核心层采用双机冗余热备份。所谓双机冗余热备份,也就是在核心层同时使用两台设备。两台设备同时工作,在互为备份的同时,还可以实现负载均衡,进一步改善网络性能。目前中大型园区网两台核心层交换机通常是核心层的标准配置。虽然核心层设备数量少,但核心层设备往往占整个局域网建设投资中的较大比例。
既然核心层是局域网所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。通常核心层设备要选用较高端的交换设备,其网络吞吐量要足够高,最好采用高带宽的万兆或千兆以上交换机。在实施路由协议时要选择收敛时间短的路由协议,否则快速和有冗余的数据链路连接就没有意义。1.2实际网络组网举例及对比分析
前面分析了现代局域网的层次化架构模型。在实际设计局域网时,也要具备这样的理念,即采用分层次的局域网架构,在各层上实施相应的功能。下面先来看看几个具体的网络构架实例,以便从这些实例中找出一些共同的网络构建方法。【实例1】 图1-1是某著名大学建设的校园网的核心层连接到Internet出口的部分简图。图1-1 A大学校园网出口和服务器集群图
图中的核心交换机1和核心交换机2是校园网中使用的两台核心层交换机。核心层采用两台交换机的目的是实现互为备份和负载均衡。路由器和两个防火墙组成了校园网出口。内部服务器集群连接在核心层交换机上,方便局域网内网用户和外网用户同时访问服务器。【实例2】 图1-2是该大学校园网的接入层、汇聚层和核心层部分。图1-2 A大学校园网结构图
该图比较形象地展现了接入层、汇聚层和核心层这三个层次架构。接入层交换机非常明显地面向各个楼层的用户计算机,向用户提供接入网络的接口。接入层的特点是地理位置分散,接入层交换机的数量众多,且一般性能较低。汇聚层则负责将来自接入层的流量进行汇聚,一个汇聚层交换机往往连接多个接入层交换机,所以汇聚层交换机比接入层交换机数量少许多,但其性能要更高端。核心层则只采用两台性能高端的交换机。值得注意的是,每一个汇聚层交换机并不是只连接到其中一台核心层交换机,而是都通过双线(也称为双上行链路)分别连接到两个核心层交换机,即两台核心层交换机的互为备份连接方式。当一台核心层交换机故障时,如果采用的是单线连接,则连接到该核心层交换机上所有汇聚层交换机的接入层用户将不能连接到网络。采用双线连接,当一台故障时,可以通过另一台核心层交换机连接到网络。而两台核心层设备同时坏掉的概率则低得多。这里每一台接入层交换机只是采用单线连接到其中一台汇聚层交换机,并没有采用双线连接方式,即汇聚层交换机并没有采用备份,这主要是因为一台接入层交换机下连接的用户只有几十个,当出现故障时受影响的只是几十个用户,所以这里就只是采用单线连接方式。当然对于重要的网络用户,也可以采用汇聚层交换机双机备份的方式。【实例3】 图1-3是另外一所大学(B大学)的校园网结构图。图1-3 B大学校园网结构图
B大学的局域网的层次架构非常明显。面向用户的接入层交换机数量众多,性能较低。汇聚层交换机分别连接了多台接入层交换机,汇聚层交换机数量比接入层少。与图1-2不同的是,汇聚层出现了两个子层,即进行两次汇聚。一台较高层次的汇聚层交换机连接了多台较低层次的汇聚层交换机,且汇聚层交换机的性能比接入层高端(在H3C公司生产的S系列型号的交换机中,开头数字在“35”及以上的是三层交换机,数字越大则性能越高端,而在“35”以下的则为二层交换机)。图中E026是二层交换机,只能用作接入层交换机。处于较低层次的汇聚子层所用的交换机型号S3500是三层交换机,而处于较高层次的汇聚子层则采用更高端的交换机S6500,其数据交换和转发能力更强。核心层采用的交换机则更为高端,使用的型号为S8512。两台出口路由器负责将局域网连接到Internet。一台路由器主要连接到中国公用计算机互联网ChinaNet的网络,同时通过路由备份方式连接到中国教育和科研计算机网Cernet;而另一台路由器则主要连接到Cernet,同时通过路由备份方式连接到ChinaNet,图中的虚线连接代表的就是路由备份连接方式。每一台核心层交换机同时连接到局域网的两台出口路由器。这样连接是确保局域网的用户既可以访问ChinaNet,又可以访问Cernet。并且同时连接到两个ISP(Internet Services Provider, Internet服务提供商)网络的好处是,当一个网络由于故障暂时不能提供网络访问服务时,可以由另一个ISP的网络提供网络访问服务。不过Cernet网只常见于大学园区的网络连接,公司和企业的商用局域网通常并不连接到Cernet网络,而是连接到另外两个ISP运营商的网络接口,例如一个是中国电信提供的网络接口,一个是中国联通提供的网络接口。两个网络互为备份。【实例4】 图1-4是我国某市电力系统建设的园区网。图1-4 某市电力系统园区网
这个局域网设计图显示的功能非常强大,包含了现在流行的数据中心,其局域网三个层次的设计不是很明显。核心层采用了多组交换机,一组两个核心交换机负责用户终端,另一组两个核心交换机负责数据中心,第三组的两个核心交换机负责电力生产调度。在接入层的设计中,除了802.3以太网外,还包括了802.11无线局域网,所以该网络可以提供无线局域网服务,这种设计比较有前瞻性,考虑了网络的未来发展需要。【实例5】 图1-5是我国某省工商局建设的园区网。图1-5 某省工商局局域网网络结构图
该局域网设计极具立体效果。放置入各个大楼的不同楼层中的接入层交换机清楚地表明是为各个楼层中的用户服务的。每个大楼还有一台交换机用两条线缆连接到上层的两个核心交换机,该交换机就是汇聚层交换机。每台大楼各有一台这样的交换机(实际中可能不止一台),用来汇聚该大楼的接入层交换机的流量。核心层交换机也采用了两个性能极高端的交换机,并且同样采用了冗余连接方式。局域网中的常用服务器如万维网(WWW)、电子邮件(E-mail)、域名服务(DNS, Domain Name Server)等服务器都连接在核心层交换机中。该网络省略掉了通过连接局域网出口路由器访问Internet的部分。
通过上面几个典型的包括大学园区、企业和公司等设计实施的局域网,可以总结出一些共同的局域网建设和设计要素。从它们的网络结构来看,每家单位的网络结构都采用了前面所述的层次化设计方式,这些网络都有上面所说的接入层、汇聚层和核心层。在大型网络中,有可能汇聚层采用两个汇聚子层。在设备的采用上,接入层交换机采用性能低端的二层交换机,汇聚层则至少采用三层交换机,核心层则必须采用性能高端的交换机。在网络设计上,个人计算机普遍采用单一链路连接到接入层,而汇聚层则通过双上行链路冗余连接到核心层,核心层采用了两个相同或性能相近的设备。核心层交换机往往同时连接到局域网的两个出口路由器,以便连接到两个ISP提供的Internet网络入口。
如果我们是一家网络建设和设计企业的职员,公司要求我们为某客户“量身定做”一个局域网。那我们应该注意哪些设计要点呢?首先层次化的设计概念是必需的,其次结合所设计局域网的总造价,合理选择接入层、汇聚层和核心层交换机的设备型号,不能不顾造价一味选择高性能设备,那样会远远超出预算。也不能任意使用低端设备,使建设完成的网络性能极其低下,用户用起来怨声载道。在链路设计上,也要遵循上述基本思路。当然设计完局域网后,其功能的实现更为重要,而实现功能要通过配置设备才能实现,关于配置,将在本书的第2~7章中叙述。下面的小节将重点探讨设计一个中型企业园区网。1.3尝试设计园区网1.3.1 设计园区网的接入层
接入层是面向用户层面的,主要是给众多用户提供接入到Internet的接口。如果用户对网络的性能要求比较高,那就要考虑给每个用户连接一个交换机的接口。应避免在接入层中使用集线器,因为集线器是多个用户共享带宽,数据转发和交换能力比交换机低得多。由于接入层交换机可以采用低端的二层交换机,且其价格越来越便宜,所以现在园区网的设计,往往都采用交换机。至于要使用多少台接入层交换机,要根据需容纳的用户数量来确定。接入到网络的用户越多,所需要的接入层交换机就越多。同时,因为将来可能会有更多的用户需要接入网络,设计时要考虑到比现有用户数量适当增加20%的容量。用户计算机连接到接入层交换机,就是简单地用网线连接即可。如图1-6所示的接入层交换机,每个接口分别连接了一台用户计算机。图1-6 设计园区网的接入层
接入层交换机需要再连接到汇聚层交换机上。图1-7显示两个连接了用户计算机的接入层交换机再连接到汇聚层交换机上。而图1-8则显示四个连接了用户计算机的接入层交换机再连接到汇聚层交换机上。图1-7 两个接入层交换机连接到汇聚层交换机图1-8 四个接入层交换机连接到汇聚层交换机
图1-7和图1-8中用户计算机通过网络连接到接入层交换机中。这么多的计算机和数量众多的接入层交换机的接口,很容易发生混乱。在实际工程中,往往要对接口进行有规则地编号。图1-9显示在实际的网络布线工程中管理员对接入层交换机上众多的接口分别进行了编号,确保用户计算机连接时不发生混乱。
接入层交换机是给用户提供连接到Internet的接口,一般不需要进行配置。这时的接入层交换机完全是一个透明网桥,只是简单地将接收到的数据进行交换转发。图1-9 实际工程中的接入层交换机1.3.2 设计园区网的汇聚层
按照前面的叙述,汇聚层处于接入层和核心层之间。如果汇聚层的一台交换机出现故障,可能影响其下连接的多个接入层交换机上所连接的上百个用户不能访问网络,所以汇聚层交换机比接入层交换机显得更为重要。
设计汇聚层主要是考虑到网络的冗余。就像上面几个网络实例所看到的那样,汇聚层交换机的连线往往采用冗余连接。所谓冗余连接就是一台汇聚层交换机通过两个上行链路同时连接到两台核心层交换机。但这种连接方式,将任意一台汇聚层交换机和两台核心层交换机构成了一个环,导致交换机环路,从而产生广播风暴。但是通过配置生成树协议可以避免环路。正常情况下,这两条上行链路中,只有一条是工作链路,另一条则是备用链路。汇聚层交换机只是通过其中的一个上行链路连接到上层设备中的某一台核心层交换机,如果这个链路出现故障,则马上切换到另一条备用链路工作,这就是汇聚层的冗余连接。这样一来,在设备连线的时候,我们看到的是汇聚层通过两条上行链路分别连接到了上层两个核心层交换机,但是在实际工作时,只有其中一条链路能够发送和接收数据。当然冗余连接只是确保在物理线路上提供了保障,要使冗余连接正常工作,还必须进行相应的配置。有关配置方法在后面的章节中讲解。图1-10是汇聚层交换机冗余连接到核心层交换机的示意图。图中上部是核心层交换机,下部是汇聚层交换机。每一台汇聚层交换机通过两根上行线缆分别连接到两个核心层交换机,这就是通常说的双上行链路冗余连接。正常情况下,部分汇聚层交换机通过一台核心层交换机转发流量,部分汇聚层交换机通过另一台核心层交换机转发数据,这种连接构成了流量的分载均衡。当一台核心层交换机出现故障时,其下面所连接的汇聚层交换机的流量都切换到正常工作的那一台核心层交换机上,这样两台核心层交换机互为备份。如图1-11所示。图1-10 汇聚层交换机通过双上行链路同时连接到两个核心层交换机图1-11 汇聚层的双上行链路其中一条是备份链路
汇聚层冗余连接到核心层,能够大大降低网络的故障率,确保接入层用户高效可靠地连接到网络,是现代园区网汇聚层最常用的连接方式。1.3.3 设计园区网的核心层
核心层是园区网等类型局域网的心脏。当园区网有数万用户计算机访问Internet时,所有用户的流量都通过核心层交换机进行数据转发。同时,局域网的内部数据转发也要通过核心层交换机。因此,核心层交换机是非常关键的设备。鉴于核心层的重要性,核心层交换机往往选择使用性能非常高端的交换机。如果核心层交换机出现故障,那么整个局域网内的用户将无法访问Internet,这是非常严重的事件。因此要竭力避免出现这类情况。为了降低发生整个网络出现故障的概率,鉴于核心层交换机所处的位置和重要性,在构建网络时,核心层交换机往往采用两台型号相同、性能高端的设备。采用两个核心层交换机的好处是,当一台出现故障时,可以启用另一台交换机工作,因此两个核心层交换机可以互为备份。两台核心层交换机通过线缆连接在一起,如图1-12所示。图1-12 使用两个核心层交换机可以互为备份
大多数时候我们看到两个核心层交换机通过如图1-13所示的方式连接,即不是像图1-12那样的用一个端口互相连接,而是用更多个端口互相连接。这种连接方式称为“链路聚合”,通常应用于两个核心层交换机的端口速率不够高的时候,例如交换机的所有端口都只有100M或1000M,这时为了让两个核心层交换机互连链路之间获得更高的转发速率,可以将多个端口通过链路聚合技术,绑定成一个逻辑端口。当然如果核心层交换机本身是万兆交换机,存在万兆端口,那么直接将万兆端口互连起来就可以了,没有必要采用更多个端口链路聚合连接的方式。图1-13 核心交换机通过链路聚合技术连接多个端口构成互连
采用两个核心层交换机,除了简单地构成备份之外,它们还可以为网络提供流量均衡和负载分担,这可以参考图1-11进行分析。所有汇聚层交换机通过双上行链路同时连接到两个核心层交换机。正常情况下,汇聚层的部门交换机depart10、depart11、depart12等只通过Switch-primary交换机连接到网络,连接到Switch-backup交换机的链路对它们来说是备份链路。而部门交换机depart20、depart21、depart22等只通过Switch-backup交换机连接到网络,连接到Switch-primary交换机的链路对它们来说是备份链路。也就是说,通过合理的规划和网络配置,可以做到让所有网络用户中的大约一半用户通过Switch-primary交换机连接到网络,而大约另一半用户则通过Switch-backup交换机连接到网络。显而易见,尽管核心层使用了两个性能高端的交换机,但并没有只让其中一台工作,另一台用作备份。正常情况下,两台核心层交换机都在工作,避免了高端设备的浪费。这就使两台核心层交换机实现互为备份的同时,又实现了负载均衡和流量分担。
当然,核心层采用两台交换机,除了要将汇聚层交换机正确连接到核心层交换机,还要进行相应的配置,才能真正起到负载分担和互为备份的作用。关于汇聚层交换机和核心层交换机的配置详见3.1.1节中的讲解。1.3.4 园区网出口
园区网出口是指设计完园区网的接入层、汇聚层、核心层之后的网络如何连接到外部Internet网络。局域网一般是通过路由器或者防火墙连接到外部Internet网络。目前我国提供Internet网络接入服务的ISP有中国电信公司和中国联通公司,所以企业的出口层可以同时连接到这两大ISP网络。大学园区网通常要求连接到中国教育网,所以大学建设的局域网会连接到中国教育网和某一个ISP网络。这样一来园区网出口通常采用两台路由器,局域网的两个核心层交换机同时连接到两台出口路由器,这样做的好处是构成备份,在一个连接出口出现故障时,可以从另一个出口访问Internet网络。如图1-14所示。图1-14 局域网出口1.3.5 部署园区网安全
园区网安全是建设园区网最重要的环节。个人计算机的安全防范措施通常是安装防病毒软件。局域网全网的安全防范措施则不相同,应采用各种技术措施以保障局域网所有用户的网络安全。除了要使用防病毒软件,还要使用硬件防火墙设备。硬件防火墙可以置于核心层交换机和出口路由器之间,也可以置于出口路由器连接到Internet的出口。防火墙可以工作在透明模式、路由模式和混合模式。
工作于透明模式的防火墙好像是一台透明网桥,对用户来说是透明的,用户意识不到防火墙的存在。网络设备(包括交换机、路由器、工作站等)以及所有计算机的设置(包括IP地址和网关)无需改变。防火墙按照网络管理员事先设置好的规则解析通过网络的数据包,增加了网络的安全性。如果在网络建好后再增加防火墙,可以使用防火墙的透明模式,不需要对防火墙设置IP地址,也不需要重新规划网络的IP地址,不做NAT,数据包直接通过。工作于透明模式的防火墙能够降低用户管理的复杂程度,但是会损失防火墙的一些功能,如VPN功能、路由功能等。图1-15显示防火墙连接在局域网核心层交换机和出口路由器之间。
防火墙的另一种工作模式是路由模式。顾名思义,就是防火墙具有路由功能。工作于此模式时,需要给防火墙设置IP地址。如果是网络建设好后再增加防火墙,则需要对现网进行一定的调整,如IP地址和路由的调整。工作于路由模式的防火墙,可以实施相当多的功能,如路由、VPN、NAT功能等,防火墙的功能应用相对全面。有鉴于此,如果能用路由模式建议使用防火墙的路由模式。
防火墙的第三种工作模式是混合模式,顾名思义,混合模式就是防火墙的部分端口工作在透明模式,部分端口工作在路由模式。
由于篇幅和课程学时有限,本书不打算实现局域网安全。感兴趣的读者可以查阅相关书籍。图1-15 部署园区网安全1.3.6 部署企业级应用
园区网的企业级应用因不同企业的需求而不同。大多数企业会向客户提供Web应用,因此要部署一个WWW服务器。除此之外,E-mail服务、FTP服务、DHCP服务、DNS服务通常是可选的服务,有的企业可能提供,有的企业可能不提供。根据用户数量,提供这些服务可以在一台计算机上进行,也可以在多台计算机上进行。
服务器应该连接到园区网的哪个位置呢?关于这个问题,可以进行简要分析。如果将服务器连接到其中的一台接入层交换机上,则该接入层交换机上的用户访问内部服务器可以得到快速地响应,但是网络中其他接入层交换机上连接的用户得到的响应速度将会慢很多。并且接入层交换机的性能较低,当局域网用户访问服务器量很大时,则其响应速度更慢。同样连接到汇聚层交换机上也有类似的问题。因此通常的做法是将服务器连接到核心层交换机上。由于核心层交换机有两个,所以可以在用作服务器的计算机上安装双网卡,两个网卡分别连接到两个核心层交换机上。这种连接可以方便局域内的所有用户访问服务器。同时也可以方便外部Internet用户访问内部服务器。如图1-16所示。图1-16 局域网双网卡服务器分别连接在两台核心层交换机上
如果局域网的核心层交换机和路由器之间连接了防火墙,也可以将服务器集群组连接在防火墙上,方便实施这些重要服务器的安全性。如图1-17所示。图1-17 服务器集群连接在防火墙上
也可以将服务器群组连接在出口路由器上。这种连接方式比较适合于外部有大量用户访问局域网服务器的情况。如图1-18所示。图1-18 服务器集群连接在出口路由器上1.3.7 设计完成后的园区网
综合以上构建园区网的多个步骤,完成如图1-19所示的园区网。为了看起来更清晰,图中只画出了一部分接入交换机。图1-19 设计完成后的园区网
与1.2节所提供的参考资料上的园区网络图相比,这里设计出的园区网络,没有什么太大的差别。事实上,经过二三十年的发展,所有园区网的设计基本上类似,都是按上述几个层次来设计,设计理念也基本相同。因此园区网的设计近年来相对稳定。设计完成后的主要工作是对网络进行配置实现,也就是让网络实现互连互通,实现访问Internet。具体配置将在本书的后续章节中讲解。实验与练习
1.分析如图1-5所示的园区网网络图,指出园区网的接入层、汇聚层和核心层。说明各层次都是由哪些设备组成的。指出园区网的出口和安全部署。
2.调查所在学校的校园网络,指出园区网的接入层、汇聚层和核心层。说明各层次都是由哪些设备组成的。指出园区网的出口和安全部署。第2章局域网的IP地址规划用户计算机通过网线连接到Internet上,不同的计算机之间能够互相找到对方,是因为每台计算机有一个类似于人的身份证号码的编号,这个编号不是计算机的名称,而是计算机上设置的IP(Internet Protocol,互联网协议)地址。要确保Internet通信不发生混乱,还必须保证每台计算机都有一个全球唯一的IP地址。地球这么大,国家这么多,要保证任意一个国家中的任意一台计算机有一个全球唯一的IP地址,岂不是非常困难?事实上,IP地址由一个全球性的机构负责统一管理和分配,这个机构就是IANA(The Internet Assigned Numbers Authority,互联网号码分配机构)。由它负责将全球划分为几个大区,包括北美地区、欧洲地区和亚太地区。中国属于亚太区(APNIC, http://w w w.apnic.net)。INA将IP地址统一分配给亚太区后,由亚太区再统一分配给中国的IP地址管理机构——中国互联网络信息中心(CNNIC, http://www.cnnic.net), CNNIC再将IP地址一级一级往下分配。通过这种方式,全球IP地址分配不会发生重复,任意一台Internet上的计算机都有一个唯一的IP地址。IP地址是保证连接到网络的计算机能够正常进行网络通信的重要因素,因此IP地址的分配显得格外重要。如果IP地址分配有误,将使部分网络甚至整个网络通信存在故障。本章将重点讲述如何在实际的组建网络活动中进行IP地址的分配,IP地址的类型等常规知识将不作讲解。2.1网络设备接口的IP地址设置规则
在实际组建网络中,交换机与交换机、交换机与路由器、路由器与路由器之间通过互相连接的方式组网。例如在第1章的图1-1至图1-6所示的网络中就可以明显看到网络设备之间的互相连接。2.1.1 设备与设备之间互连链路的IP地址设置规则
图2-1是一个简单的局域网模拟组网图。本地局域网的两台汇聚层交换机连接到局域网的出口路由器。而出口路由器又通过线缆连接到了外部Internet网络的路由器。图2-1 简单局域网与外部Internet连接的模拟组网图
计算机向网络发送的数据信息包要通过设备的互连链路所在的接口由这台设备传送到另一台设备,因此设备之间互连链路的接口要设置IP地址。在实验室学习路由协议的组网练习中(见图2-2),常常会遇到下面的网络配置练习,将两个路由器通过串行接口或其他类型的接口(如以太网接口)互相连接。此时路由器的两个互相连接的接口就属于设备与设备之间的互连链路,两个互连链路的接口需要配置IP地址。图2-2 常见的实验室组网练习
两个设备互连时,它们的互连接口的IP地址有特殊要求,即这两个互连的IP地址要设置在同一网段,或者说要将互连链路的IP地址设置在相同子网内。
图2-3说明了两个互相连接的接口IP地址配置方法。图2-3(a)的IP地址配置正确,图2-3(b)则配置错误。图2-3 设备与设备之间互连链路IP地址设置规则
图2-3(b)的两个互连接口的IP地址:一个设置为61.10.4.1/24,一个设置为61.10. 5.1/24。由于两个接口的IP地址没有设置在相同网段,因此这种设置方法是错误的。在实际配置中,路由器将会出现反复翻滚的告警提示,提示设置错误。但有些关闭了调试功能的路由器不会出现告警错误,如果用户没有改正错误,将直接导致后续的配置不成功。因此要注意将两个互连接口的IP地址设置在相同网段。2.1.2 同一设备上的多个接口IP地址设置
在实际组网中,一台设备经常不止一个接口与其他设备互连。如图2-1所示的网络,本地局域网的出口路由器有三个接口与三个不同的设备(两台交换机和一台路由器)互连,外部网路由器也有三个接口与三个不同的设备互连(三台路由器)。此时,在设置一台路由器的各个接口的IP地址时,要注意必须将其每个接口都设置在不同的IP子网段,或者说某网络设备有多个接口连接到了其他设备,那么该设备的多个接口的IP网段须各不相同。下面以图2-4所示的由四台路由器连接成的网络为例进行分析讨论。图2-4 四台路由器连接的网络
路由器Router1从三个接口分别引出三条链路与另外三个路由器连接。一个接口连接到路由器RouterA,另有两个接口连接到路由器Router2和Router3。
如果RouterA和Router1之间互连链路的两个接口已经设置了同一网段的IP地址,分别为10.60.1.1/24和10.60.1.2/24。那么另外两条链路该如何设置IP地址呢?此时要注意,在进行IP地址的分配时,要确保Router1上三个接口的IP地址分别在不同的网段。如果该路由器有某两个接口的IP地址在相同网段,则通常路由器会提示发生配置IP地址错误(例如提示“Error: The IP address you entered overlaps with another Interface,你键入的IP地址已经配置在另一个接口”)。为何同一个路由器上的接口,IP地址不能分配在同一个网段上呢?这是因为路由器在转发数据包时,并不是按单一IP地址来发送,而是按照网段来发送,如果有某两个接口的IP设置在相同网段,则路由器在转发数据包时,就不知道将数据包往哪个接口发送。
回到前面的问题,Router1和RouterA之间互连链路的两个接口已经设置为10.60. 1.1/24和10.60.1.2/24,那么Router1和Router2之间互连链路的两个接口就不能设置为10.60.1.3/24和10.60.1.4/24,或者这个网段的其他地址,虽然这个网段的其他地址都空闲未使用。请注意,尽管10.60.1.3/24、10.60.1.4/24和10.60.1.1/24、10.60.1. 2/24是一组不同的IP地址,但却都是在10.60.1.0/24这个相同网段内,因此这样设置将会使Router1的两个接口IP地址在相同的10.60.1.0/24网段。正确的设置方法是使用10.60.1.0/24网段之外的其他未使用网段,例如使用10.60.2.0/24网段的任意两个地址10.60.2.1/24和10.60.2.2/24等。
同理Router1和Router3之间互连链路就不能再使用上述的两个网段,而必须采用另外的其他网段。例如10.60.3.0/24网段。这样的设置就确保Router1的三个接口上设置的IP地址均在不同的网段,同时又与其他路由器通过两两相同的网段地址进行了互连。当然上述例子的分析只是说明,在实验室的组网设置练习中要进行这样分配。在实际工程组网中,设备与设备之间互连链路IP地址的分配要放在整个网络的全局考虑。
图2-5是按照上述两条规则给图2-4所示网络中的设备接口分配IP地址的规划图。当然只要满足前面所述的分配规则,也可以配置成其他网段的IP地址。
细心的读者可能注意到前面在设置路由器之间互连链路的IP地址时,RouterA和Router1之间互连链路使用了10.60.1.0/24网段,但只使用了10.60.1.1/24和10.60. 1.2/24两个地址,而这个网段实际上有254个可用的地址(10.60.1.1/24~10.60.1. 254/24)。同样Router1和Router2之间互连链路使用了10.60.2.0/24网段,但也只是使用了10.60.2.1/24和10.60.2.2/24两个地址。这意味着每一网段的254个可用地址中只使用了两个地址,其余252个IP地址都浪费了。可见这种规划极不划算,为了节省IP地址,我们可以采用更多位子网掩码的网段,即对于互连链路的两个接口IP地址规划,不使用24位的子网掩码(255.255.255.0),而采用30位的子网掩码(255.255.255. 252)。关于这个问题的进一步分析,可参见本章2.3.3节的内容。
在如图2-2所示的网络,路由器A有多个接口,其中组网时使用了三个接口。两个以太网接口分别连接两台计算机,一个串行接口连接到路由器B。那么在设置路由器A的三个接口时,必须将这三个接口的IP地址设置在不同的网段。如果将某个IP地址(假设为172.16.1.1/16)设置在以太网接口e0/0,之后又将该网段的另一个地址(设为172.16. 2.1/16)设置在另一个以太网接口e1/0,则由于172.16.1.1/16和172.16.2.1/16属于相同的网段,路由器将会发出告警信息,这样接口e1/0的IP地址设置不成功。这时只需在接口e1/0上设置一个与IP网段172.16.0.0/16不同的网段即可(例如设置为172.17.0.0/16)。请读者尝试使用本节介绍的规则给图2-2所示网络的各个设备接口规划IP地址。图2-5 直连链路和同一设备上的接口IP地址设置规则
上面两种不同情况的IP地址设置容易混淆,可以这么记忆,不同设备互相连接的两个接口IP地址要设置在相同网段,同一设备的多个接口IP地址要设置在不同网段。2.1.3 互连链路IP地址设置常见错误及解决方法
下面列举的是初学者在组建网络练习时经常遇到的几种错误及其解决方法。(1)用户在配置两个互连的路由器(或交换机)时,刚配置完第二个路由器接口的IP地址,路由器屏幕上就出现不断翻滚的告警提示,导致用户无法输入,这是怎么回事?
两个互连的路由器,它们的互连接口的IP地址有特殊要求,即这两个互连的IP地址要在同一网段且子网掩码要相同。如果配置的两个IP地址不在同一网段,则路由器会不断出现翻滚的告警提示(可能有的路由器不出现这个错误提示)。因此要注意将它们的两个互连接口的IP地址配置在不同网段。可参考图2-3所示的配置。
不仅是互连的两个路由器的串行接口的IP要配置在同一网段。如果路由器的以太网口和交换机互连,且交换机作为路由设备使用,则这两个互连的以太网口也要配置在同一网段。一般来说,两台不同设备的互连接口的IP地址都要配置在同一网段(但不是同一个IP地址)。& 当路由器出现不断翻滚的告警提示时,用户看到屏幕不断跳出一行行字符,想操作但不知道如何是好。很多同学采取的方法是关掉路由器电源再重启路由器,但这样会损害路由器。此时可以不管屏幕翻滚出的字符,只管自己输入正确的命令字符。有可能输入的字符被路由器翻滚出的字符隔开或淹没,但只要确保输入的字符正确,该空格的就空格,输入完命令后再按“Enter”键,该命令也可被路由器执行。采用此方法可以在刚刚输入导致出错的命令行前面增加undo再执行一次,相当于取消执行前面出错的命令,可以消除翻滚的告警信息。用户也可以输入命令关闭路由器的自动诊断输出信息。具体命令可参见本章第2.4节常用配置命令列表。(2)用户在给设备配置IP地址时,出现了“Error:The IP address you entered overlaps with another Interface(你输入IP地址已经配置在别的接口”)的提示性错误。但用户明明输入的是一个不同的IP地址,这是怎么回事?如何纠正?
Internet网络上的任意一台设备包括计算机,它们都不能配置相同的IP地址,否则会发生冲突,这是大家都知道的事实。同样,在实验室模拟组网时,网络上所有设备的所有接口,包括计算机,这些组成了一个网络整体,它们也都不能有相同的IP地址。互连链路上的接口IP地址要求配置在同一网段,但仅仅是同一网段,IP地址仍然不能相同,这一点要特别注意。如果IP地址配置相同,则由于网络设备处于一个整体中,它们可以互相检测到,从而侦听到某个端口的IP地址与自己相同,发出“Error:The IP address you entered overlaps with another Interface”的告警信息。
但是在同一台路由器中(包括交换机),仅仅要求所有接口的IP地址不同,这还不够,还要求同一台路由器的所有接口的IP地址必须要配置在不同的网段,也就是子网掩码对应的部分不能相同。只要有两个接口的网段相同,即使用户输入的IP地址不同,路由器也会报错,路由器会认为相同的IP地址已经存在,而无法将这个地址配置到接口。因为路由器是用来连接不同网段的,所以路由器上的所有接口的IP地址要配置为各不相同的网段。路由器的作用就是将这些不同网段的网络互连起来。这个规则不仅适用路由器,同样也适用于三层交换机。当三层交换机上启用多个VLAN虚拟接口,要给这多个VLAN虚拟接口设置IP地址时,也必须遵守这个规则。即要把这多个VLAN虚拟接口的IP地址设置在不同网段。
图2-6显示的是初学者经常出现的两类配置错误。
在配置网络前,要首先给网络合理分配IP地址。避免出现图中配置网络设备互连链路IP地址的两类错误。图2-6 配置设备上接口IP地址时常见的两类错误2.2局域网网关IP地址和子网内计算机IP地址设置
在局域网组网中,网络中通常有很多台计算机。根据需要,多台计算机会分配在不同的子网中(有关子网划分的叙述见2.3.2节)。每个子网中的多台计算机的IP地址具有相同的网络地址(也就是该子网的网络地址),但IP地址的主机位则各不相同。每个子网中所有的计算机都有一个共同的网关。或者说子网中的所有计算机通过网关与计算机网络进行网络通信。2.2.1 网关的概念
在给个人计算机配置IP地址时,经常会遇到“网关”这个术语。图2-7就是某大学校园网中一台用户计算机的TCP/IP网络属性参数配置图,这个图中就出现了“默认网关”概念。
局域网中的默认网关代表的是一个子网中的所有计算机与Internet通信的“关口”。或者说,当子网中的计算机与Internet通信时,子网内的计算机首先将数据发送给子网所在的网关,网关接收到后,根据数据包的目的地址进行路由和转发。因此默认网关实际上是局域网中的一台具有路由功能的网络设备或者其上的某个接口,它能将接收到的数据包根据设备中预设的转发规则进行转发。通常所看到的局域网的默认网关是一个IP地址,这个IP地址实际上是一台具有路由功能的网络设备的某个接口,该接口可以是路由器的以太网接口,也可以是以太网三层交换机的三层虚拟接口。正是因为网关位于网络设备上,所以网关具有数据路由和转发能力。图2-7 个人计算机的TCP/IP网络属性参数2.2.2 路由器的以太网接口作为局域网网关的IP地址设置
如图2-8所示的局域网。在该网络设计时,交换机仅仅作为一个转发数据的透明网桥设备。每个交换机下连接的所有计算机都规划在一个IP网段中,路由器的两个以太网接口分别作为两个不同子网内所有计算机的网关。
子网段地址为192.168.10.X/24中的所有计算机都位于192.168.10.0/24子网(“/24”代表该子网的子网掩码为255.255.255.0),该子网内所有计算机进行网络通信时的数据包转发都通过路由器中配置了IP地址为192.168.10.1/24的接口进行。192. 168.10.1这个地址就是该子网的网关(也可以说配置了192.168.10.1地址的路由器接口为该子网的网关)。此时该子网内所有计算机的TCP/IP网络参数设置中“默认网关”这一项都要填写为“192.168.10.1”。而该网段内所有计算机的IP地址可以设置为192. 168.10.2~192.168.10.254中的任意一个IP地址。
子网段地址为192.168.20.X/24的所有计算机则位于192.168.20.0/24子网,这个子网内所有计算机的网络通信都通过路由器中配置了IP地址为192.168.20.1/24的接口进行。而192.168.20.1则是该子网的网关。该子网内的所有计算机的TCP/IP网络参数中“默认网关”这一项都要填写为“192.168.20.1”。而该网段内所有计算机的IP地址可以设置为192.168.20.2~192.168.20.254中的任意一个IP地址。
上面的讲解中将IP网段192.168.10.X的默认网关地址设置为192.168.10.1, IP网段192.168.20.X的默认网关地址设置为192.168.20.1。但将默认网关设置为“X.X.X.1”(最后一位设置为1)的形式并不是必须这样做的。实际上,根据前面的讲解,默认网关是网络设备的一个接口的IP地址,既然是设置的IP地址,那么只要符合设置规则的IP地址都可以,并不一定最后一位必须设置为1,而是可以设置为1~254中的任意一个。例如将192.168.10.X/24网段的默认网关地址设置为192.168.10.1~192.168.10.254中的任意一个IP地址。假设默认网关地址设置为192.168.10.a(a为1~254中的任意一个数字),那么在随后设置该网段内的所有计算机地址时,必须将其中的默认网关(图2-7中TCP/IP属性的第三项)地址选项设置为192.168.10.a,而所有计算机的IP地址(图2-7中TCP/IP属性的第一项)则须设置为192.168.10.1~192.168.10(.a-1)或192.168.10.(a+1)~192.168.10.254中的任意一个。尽管网关地址可以任意设置,但由于网关比较特殊,如前所述,它是子网内所有计算机与Internet网络通信的“桥梁”,子网内所有计算机的数据转发通过网关进行,所以网关往往用较为特殊的IP地址来设置,通常设置为“X.X.X.1”(最后一位设置为最小值)或者“X.X.X.254”(最后一位设置为最大值)的形式,目的是让网络管理者或者网络配置者看到这个地址时,会马上意识到这个地址不是一台普通的用户计算机的IP地址,而是网络上的一个特殊IP地址,即网关。本书中都将网关设置为“X.X.X.1”的形式。图2-8 路由器的两个以太网接口分别作为两个不同子网的网关
当一个局域网规模比较大,拥有众多的个人计算机用户时,就要给该局域网划分多个子网,计算机用户会被规划和分配到不同的子网中。子网的网段地址要统一规划和分配,子网的网段地址分配完成后,子网内的所有计算机地址配置就要服从子网网段地址的配置,而不能随意配置。也就是说,个人计算机被划分到某一个子网中,其IP地址的配置就要根据该子网的网段地址来配置,且网关是指定的那个地址。那么如何确定所在子网的网段地址呢?方法很简单,就是将网关地址与子网掩码转换为二进制数并进行与运算,得到的结果就是子网的网段地址。得到子网的网段地址后,再将IP地址的主机位设置成与网关IP的主机位不相同的IP地址,就是该子网中个人计算机的IP地址。注意,个人计算机的IP地址的网络地址部分与网关的网络地址是完全相同的(仅主机位地址不相同),因为它们属于同一个子网。
从这个例子也可以看出,网关不一定是与用户计算机直接连接的网络设备。如图2-8中与用户计算机直接连接的交换机并不是网关,该网络中网关位于与交换机连接的路由器上。在实际的园区网络中,网关通常设置在三层交换机上,而不是设置在路由器上。三层交换机作为网关比路由器作为网关具有更大的优势,关于这个问题参见2.2.3节的分析和讲解。2.2.3 三层交换机作为局域网网关的IP地址设置
正如前面讨论的那样,网关是某个网络设备上的一个接口。由于该接口对应设置一个IP地址,所以也可以将网关对应理解为一个IP地址。并不是路由器上的以太网接口才能作为局域网网关。一个交换机虚拟接口的IP地址也可以作为局域网网关。我们经常说到的三层交换机,它可以直接作为局域网的子网中一组计算机的网关,而不必将网关配置在路由器的以太网接口上。与路由器中配置网关不同的是,三层交换机作为某一组计算机的网关,对应的不是交换机的某个实实在在看得见的物理接口,而是虚拟接口。虚拟接口默认情况下并不存在,用户必须为交换机配置虚拟接口并分配IP地址后才可使用。例如对于图2-8所示的网络,假定组网使用的是三层交换机。下面将图2-8所示的网络进行少许改变,将交换机A划分了两个子网(图2-8将交换机A的所有端口划分在一个子网中),两个子网意味着需要分配两个不同的网段,此时交换机A连接到路由器的一个接口不能够作为两个子网的网关,可以直接在三层交换机A上划分两个VLAN,对应两个子网。
试读结束[说明:试读内容隐藏了图片]