公司网络系统集成

班级：计算08-2

姓名：

学号：

需求分析

1.开放性

结构化布线系统由于采用开放式体系结构，符合各种国际上主流的标准，对所有符合通信标准的计算机设备和网络交换设备厂商是开放的，也就是说，结构化布线系统的应用与所用设备的厂商无关。而且对所有通信协议也是开放的。

2.灵活性

物理上为星型拓扑结构。因此所有设备的开通、增加或更改无需改变布线系统，只需变动相应的网络设备以及必要的跳线管理即可。系统组网也可灵活多样，各部门既可以独立组网，又可以方便的互连，为合理的进行信息共享和信息交流创造了必要的条件。

3.可靠性

结构化布线系统采用高品质材料和组合压接技术，构成一个高标准的信息通道。所有器件经过UL、CAS、ISO认证。经过专用仪器设备测试的每条信息通道可以保证其电气性能。可以支持100Base-T及ATM的应用。星型拓扑结构实现了点到点端接，任何一条线路故障不会影响其它线路的运行。从而保证了系统的可靠运行。采用相同的传输介质可互为备用，提高了系统的冗余。

4.先进性

建筑物综合布线系统采用光纤与双绞线混合布线，并且符合国际通信标准，形成一套完整的、极为合理的结构化布线系统。超五类或超五类屏蔽双绞线布线系统使数据的传输速率达到155Mbps、622Mbps、1000Mbps，对于特殊用户的需求，光纤可到桌面，干线子系统和建筑群子系统中光纤的应用，使传输距离达2公里以上。为今后计算机网络和通信的发展奠定了基础。同时物理星形的布线方式使交换式网络的应用成为可能。

网络规划与设计

网络系统模式的设计

Internet连接企业总部路由器，从路由器连接一条线路到PIX防火墙，PIX防火墙之后就是一个三层交换机。在三层交换机上连接有企业的服务器群，以及之后的汇聚层交换机。

核心区块主要负责以下几个工作：

? 提供交换区块间的连接；提供到其他区块（比如广域网区块）的访问；尽可能快的交换数据桢或数据包；

汇聚层主要负责以下几个工作：

? 实现安全以及路由策略；实现核心层的流量重分布；实现QOS服务质量控制 中心机房到汇聚层节点采用4兆光纤（多模）连接，汇聚层到接入层采用百兆的五类线（或者超五类）连接。

网络拓扑结构的设计

星型拓扑结构

星型拓扑结构由一个中心主节点向外辐射延伸到各从节点。由于每一条链路从主节点到从节点的线路均与其他线路相对独立，所以布线系统设计是一种模块化设计。主节点可与从节点直接相连，而从节点之间的通信只有经过主节点的交换才能完成。智能大厦的计算机网络在主节点配置一台主交换机，在每个楼层配线间配置交换机或集线器，楼层配线间交换机或集线器与主交换机连接。

公司园区结构示意图

网络主要硬件设备的选择

核心层交换机：神州数码DCRS-5950-28T-L(R3) 接入层交换机：神州数码DCS-3600-26C(R3) WEB服务器：IBM System x3650 M3(7945I05)

系统支持：Microsoft Windows Server 2008 R2 和 2008

Red Hat Enterprise Linux

SUSE Linux Enterprise Server

VMware ESXi 4.0 嵌入式虚拟化管理程序

Mail服务器：IBM System x3650 M3(7945I01)

系统支持：Microsoft Windows Server 2008 R2 和 2008

Red Hat Enterprise Linux

SUSE Linux Enterprise Server

VMware ESXi 4.0 嵌入式虚拟化管理程序

结构化布线

结构化布线系统包括六个子系统:工作区子系统、水平支干线子系统、管理子系统、垂直主干子系统、设备子系统和建筑群主干子系统。

网络系统性能的评价

新网络具有足够的先进性，不仅应该能承载普通的（文件，打印等）网络流量，并且应该支持多样QOS特性（比如MPLS），保证有足够的带宽运行基于IP网络的实时语音传输，以及未来可能会具有视频会议流量

新网络具有足够的强壮性，具有足够的灾难恢复措施，包括电源冗余，设备冗余，主机冗余，数据库冗余，线路冗余，拨号链路冗余。

新网络具有足够的安全性，采取路由器，以及防火墙以及设置DMZ区,防杀病毒、入侵检测、和漏洞扫描与修补系统、网络数据完整、网络安全保护保证内网的绝对安全，将来数据在外网以及INTERNET上传输应该采取加密,并且数据传输线路应该采取全屏蔽双绞线,防止信息的流失和泄露.

 

第二篇：公司网络设计方案doc 系统集成作业

太原理工大学 计算机科学与技术学院

《信息系统集成》课程报告

研究生姓名

学 号 专 业

导 师 姓 名

日 期

李明义 计算机应用技术 陈俊杰 20xx年06月25日

1

目录

1网络综合设计 ................................................................................................................................ 3

1.1项目说明： ......................................................................................................................... 3

2需求分析........................................................................................................................................ 4

2.1设计思路 ............................................................................................................................. 4

2.2功能分析 ............................................................................................................................. 4

2.3网络方案描述 ..................................................................................................................... 4

2.4网络拓扑结构 ..................................................................................................................... 5

2.5子网划分 ............................................................................................................................. 5

2.6上网控制 ............................................................................................................................. 7

2.7双线接入 ............................................................................................................................. 7

2.8网络设备清单 ..................................................................................................................... 8

3配置网络设备 ................................................................................................................................ 8

3.1 交换机的配置 .................................................................................................................... 8

3.2 交换机的管理 .................................................................................................................. 11

4接入层的介绍 .............................................................................................................................. 13

4.1定义 ................................................................................................................................... 13

4.2工作原理 ........................................................................................................................... 13

4.3二层交换机的选择及标准 ............................................................................................... 14

4.4交换机的堆叠 ................................................................................................................... 15

4.5实际应用 ........................................................................................................................... 15

5．汇聚层的介绍 ........................................................................................................................... 16

5.1定义 ................................................................................................................................... 16

5.2 作用 .................................................................................................................................. 17

5.3 实际应用 .......................................................................................................................... 17

6 核心层......................................................................................................................................... 17

6.1 定义 .................................................................................................................................. 17

6.2工作原理 ........................................................................................................................... 18

6.3核心交换机的选择 ........................................................................................................... 18 2

1网络综合设计

1.1项目说明：

某公司准备对其原有的网络系统进行改造。请为其设计一个具体的设备采购及网络规划方案来满足企业的如下需求：

1. 该公司只申请到1个C类IPV4地址。

2. 各部门的安全等级不同。例如财务部以及产品开发部的内部信息交流只限于本部门内部。其他部门之间既相互隔离又可以相互访问。经理室的PC可以访问各部门的资源。

3. 该公司需要对外提供WEB、邮件以及FTP的服务。

4. 为了保证内外网的安全，公司需要对进出的数据包进行过滤，并对企业内部人员的上网行为进行控制并对不同级别的人员授予不同的权限。

5. 为了保证与互联网的时刻联通，公司采用网通、电信双网接入的业务。

6. 尽量节省公司的资金。

7. 网络应由一定的健壮性、安全性及可靠性。

已知该公司拥有的部门及每个部门拥有的计算机如下。

3

2需求分析

2.1设计思路

根据其设计的具体需求进行具体的分析：

1. 该公司只申请到1个C类IPV4地址。共270台电脑。

分析：在本设计中，该公司总共有270台电脑，但只申请到1个C类IPV4地址。一个C类的IPV4地址最多只能容纳254台电脑，显然如果直接按照IP地址数小于本公司拥有的主机数。假设本公司申请到的C类IP地址为：202.226.124.0。按照上述所说的原理，在此处我们设计使用c类私有地址为192.168.1.0/24 192.168.2.0/24 192.168.3.0/24 192.168.4.0/24 并按照优先处理主机数目最大的子网开始划分网络。第一地址做网络地址，最后一个做广播地址

2. 各部门的安全等级不同。例如财务部以及产品开发部的内部信息交流只限于本部门内部。其他部门之间既相互隔离又可以相互访问。经理室的PC可以访问各部门的资源。 分析：VLAN将广播限制在了单个VLAN内部，减少了VLAN间主机广播通信对其他VLAN的影响。在各VLAN间需要通信的时候，可以利用三层交换技术实现。

3. 该公司需要对外提供WEB、邮件以及FTP的服务。

分析：将所有的服务器都分配在核心层交换机上并单独划分一个VLAN作为服务器的区块，放置系统中所有的服务器，包括Web ftp 邮件服务器。端口映射，把申请到的c类地址的 80 25 20 21 端口分别映射给相应的服务器

4. 为了保证内外网的安全，公司需要对进出的数据包进行过滤，并对企业内部人员的上网行为进行控制并对不同级别的人员授予不同的权限。

分析：使用ACL进行数据包过滤，如果对用户上网严格要求可以建议使用上网行为管理系统对用户上网进行管理。

5. 为了保证与互联网的时刻联通，公司采用网通、电信双网接入的业务。

6. 网络应由一定的健壮性、安全性及可靠性。

分析：采用全冗余结构，交换机分别为核心层 汇聚层和接入层，汇聚层交换机全部冗余上行链路，分别上联到2台核心交换机，保证了网络的健壮性和可靠行。

2.2功能分析

1.

2.

3.

4. 由一个主干网和多个子网组成公司局域网（Intranet）。 主干网接入全球互联信息网外接（Internet），各子网再接入主干通信网。 主干网接入Internet的方式是双线。 服务器选用专业服务器产品，均存放在网络机房，网络中心负责对整个网络进行管理，也可以远程管理。

2.3网络方案描述

整个网络采用星型结构的层次化设计，由两个层次组成：核心层和接入层。网络中心配置了一台Cisco Catalyst 3560系列交换机作为企业的核心层交换机。接入层部分交换机配置 4

Cisco SRW224G4系列。cisco2811连接外网和asa5510防火墙，防火墙链接内网，Cisco Catalyst 3560核心路由交换机上已配置24个以太网10/100端口，通过百兆双绞线直接连接二层智能交换机linksys SRW224G4，再通过10/100兆双绞线接到其他各部门。

2.4网络拓扑结构

在网络方案中，整个系统采用星型结构与高速交换以太网技术相结合的网络拓扑结构。

2.5子网划分

(1) 在本设计中，该公司总共有270台电脑，但只申请到1个C类IPV4地址。一个C类的IPV4地址最多只能容纳254台电脑，显然如果直接按照IP地址数小于本公司拥有的主机数。 假设本公司申请到的C类IP地址为：202.226.124.0。按照上述所说的原理，在此处我们设计使用c类私有地址为192.168.1.0/24 192.168.2.0/24 192.168.3.0/24 192.168.4.0/24 并按照优先处理主机数目最大的子网开始划分网络。第一地址做网络地址，最后一个做广播地址：具体IP地址分配分配如下：

5

（2）IP地址规划表

(3)子网的划分

VLAN（Virtual Local Area Network，虚拟局域网）可以将不同VLAN之间的用户隔离 ，相同VLAN的用户组建成局域网。

VLAN的划分：根据端口来划分VLAN :利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，

6

同一交换机的6，7，8端口和另一个交换机的1，2端口组成虚拟网BBB。

基于端口的VLAN，简单的讲就是交换机的一个端口就是一个虚拟局域网，凡是连接在这个端口上的主机属于同个虚拟局域网之中。基于端口的VLAN的优点为： 由于一个端口就是一个独立的局域网。所以，当数据在网络中传输的时候，交换机就不会把数据包转发给其他的端口，如果用户需要将数据发送到其他的虚拟局域网中，就需要先由交换机发往路由器再由路由器发往其他端口 。但是美中不足的是以端口为中心的VLAN，当用户位置改变时，往往也伴随着用户位置的改变而对网线也要进行迁移。我们公司电脑比较固定，所以采用这一方式。

2.6上网控制

端口限制：QQ在登陆的时候主要使用的是TCP/UDP的8000端口。因此我们先禁止所有内网机器对远程主机的8000端口的访问。在路由器里面，我们可以在互联网访问控制中添加规则，首先选择对所有内部主机都有效（次步骤可以着情处理，比如你可以选择对一部分主机有效、或者选择对某台主机有效等等）。在选择对所有内部主机都有效，再指定对下列应用有效，指定TCP/UDP协议，端口指定为8000，选择禁止Internet访问。这样对所有的使用8000端口登陆的服务器就无法登陆了。

2.7双线接入

使用双wan口的路由：

企业申请了双线网络出口，一边是网通线路另一边则是电信线路，我们需要做的就是通过路由策略让发往不同网络的数据可以直接转发到对应网络的接口。

基于目的地址的策略路由：

所谓目的地址就是指我们要访问客户的IP地址，一般来说判断客户是电信还是网通网络是可以通过他的IP地址实现的。所以只要企业收集到了电信和网通网络地址段，就可以基于目的地址采取策略路由，将发送或接收到的电信地址数据通过WAN2（电信线路）接口传输，将发送或接收到的网通地址数据通过WAN1（网通线路）接口传输。即使出现网通部工作人员临时解决电信客户情况时依然可以保证高速状态。

这里我们假设连接企业路由器WAN2接口的电信对端设备IP为A，而连接WAN1接口网通对端设备IP为B，电信网络的地址段为C，网通网络地址段是D，在路由器上建立基于目的地址的策略路由具体设置命令如下。

第一步：建立匹配C和D的两条访问控制列表，即这两条访问控制列表中针对目的地址设置为C或D，控制列表名称依次为ACLC，ACLD。

第二步：在路由器上使用match ip address ACLC（限定只要地址段符合ACLC访问控制列表设定的条件），set ip next-hop A（将此数据访问的下一跳地址设置A），这样对电信网络的访问将顺利的发送到电信网络对端设备。

第三步：同理使用match ip address ACLD，set ip next-hop B命令即可完成对网通数据的路由策略。

最后在路由器上应用这两条路由策略即可有效解决企业遇到的双线路访问的问题。

7

2.8网络设备清单

网络设备清单及价格

3配置网络设备

3.1 交换机的配置

1）设置VTP域

JD-RS-1#vlan database 进入VLAN配置模式

JD-RS-1(vlan)#vtp domain COM 设置VTP管理域名称为COM、 JD-RS-1(vlan)#vtp server 设置交换机为服务器模式 JD-RS-2#vlan database 进入VLAN配置模式

JD-RS-2(vlan)#vtp domain COM 设置VTP管理域名称为COM、 JD-RS-2(vlan)#vtp server 设置交换机为服务器模式 JD-S-1#vlan database 进入VLAN配置模式

JD-S-1(vlan)#vtp domain COM 设置VTP管理域名称为COM JD-S-1(vlan)#vtp Client 设置交换机为客户端模式 JD-S-2#vlan database 进入VLAN配置模式

JD-S-2(vlan)#vtp domain COM 设置VTP管理域名称为COM JD-S-2(vlan)#vtp Client 设置交换机为客户端模式 JD-S-3#vlan database 进入VLAN配置模式

JD-S-3(vlan)#vtp domain COM 设置VTP管理域名称为COM JD-S-3(vlan)#vtp Client 设置交换机为客户端模式 JD-S-4#vlan database 进入VLAN配置模式

JD-S-4(vlan)#vtp domain COM 设置VTP管理域名称为COM JD-S-4(vlan)#vtp Client 设置交换机为客户端模式 JD-S-5#vlan database 进入VLAN配置模式

JD-S-5(vlan)#vtp domain COM 设置VTP管理域名称为COM JD-S-5(vlan)#vtp Client 设置交换机为客户端模式

8

-6#vlan database 进入VLAN配置模式

JD-S-6(vlan)#vtp domain COM 设置VTP管理域名称为COM

JD-S-6(vlan)#vtp Client 设置交换机为客户端模式

JD-S-7#vlan database 进入VLAN配置模式

JD-S-7(vlan)#vtp domain COM 设置VTP管理域名称为COM

JD-S-7(vlan)#vtp Client 设置交换机为客户端模式

JD-S-8#vlan database 进入VLAN配置模式

JD-S-8(vlan)#vtp domain COM 设置VTP管理域名称为COM

JD-S-8(vlan)#vtp Client 设置交换机为客户端模

JD-S-9#vlan database 进入VLAN配置模式

JD-S-9(vlan)#vtp domain COM 设置VTP管理域名称为COM

JD-S-9(vlan)#vtp Client 设置交换机为客户端模式

说明：配置核心交换机为server模式，使其能够在该交换机上删除，创建，修改VLAN及其他一些VTP参数，同步本VTP域中其他交换机传递来的最新VLAN信息；Client模式使其交换机不能创建，删除，修改VLAN，也不能在NVRAM中存储VLAN配置，但可同步由VTP域中由 SERVER传递来的 VLAN信息。

2）创建VLAN

JD-RS-1（vlan）#vlan 2 name VLAN 2

JD-RS-1（vlan）#vlan 3 name VLAN 3

JD-RS-1（vlan）#vlan 4 name VLAN 4

JD-RS-1（vlan）#vlan 5 name VLAN 5

JD-RS-1（vlan）#vlan 6 name VLAN 6

JD-RS-1（vlan）#vlan 7 name VLAN 7

JD-RS-1（vlan）#vlan 8 name VLAN 8

JD-RS-1（vlan）#vlan 9 name VLAN 9

JD-RS-1（vlan）#vlan 10 name VLAN 10

JD-RS-2（vlan）#vlan 1 name VLAN 1

JD-RS-2（vlan）#vlan 2 name VLAN 2

JD-RS-2（vlan）#vlan 3 name VLAN 3

JD-RS-2（vlan）#vlan 4 name VLAN 4

JD-RS-2（vlan）#vlan 5 name VLAN 5

JD-RS-2（vlan）#vlan 6 name VLAN 6

JD-RS-2（vlan）#vlan 7 name VLAN 7

JD-RS-2（vlan）#vlan 8 name VLAN 8

JD-RS-2（vlan）#vlan 9 name VLAN 9

JD-RS-2（vlan）#vlan 10 name VLAN 10

说明：只要在VTP域中的server交换机上建立vlan，它就会通过VTP通告整个管理域中的所有交换机，至于将具体的交换机端口划入某个VLAN，就必须在该端口所属的交换机进行设置。3

3）配置中继

JD-RS-1(config)#int F0/1

JD-RS-1(config-if)#switch port mode trunk

JD-RS-1(config-if)#switch trunk allowed vlan all

9

D-RS-1(config)#int F0/3

JD-RS-1(config-if)#switch port mode trunk

JD-RS-1(config-if)#switch trunk allowed vlan all

D-RS-1(config)#int F0/4

JD-RS-1(config-if)#switch port mode trunk

JD-RS-1(config-if)#switch trunk allowed vlan all

JD-RS-2,3,4类似配置。

JD-S-1（config）#int Fa0/1

JD-S-1(config-if)#switch port mode trunk

JD-S-2~9类似的配置。

4）将交换机端口划入VLAN

将JD-S-1~9接入交换机的端口3划入VLAN2，端口4~8划入VLAN3，端口8~10划入VLAN4，端口11~14划入VLAN5，端口15~19划入VLAN6，端口20~14划入VLAN7，端口25~28划入VLAN8，端口29~34划入VLAN9，端口35~36划入VLAN10...... JD-S-1(config)#interface fastEthernet 0/3

JD-S-1(config-if)#switchport access vlan2

JD-S-1(config)#interface fastEthernet 0/4

JD-S-1(config-if)#switchport access vlan3

JD-S-1(config)#interface fastEthernet 0/5

JD-S-1(config-if)#switchport access vlan3

JD-S-1(config)#interface fastEthernet 0/6

JD-S-1(config-if)#switchport access vlan3

JD-S-1(config)#interface fastEthernet 0/7

JD-S-1(config-if)#switchport access vlan3

JD-S-1(config)#interface fastEthernet 0/8

JD-S-1(config-if)#switchport access vlan3

JD-S-1(config)#interface fastEthernet 0/9

JD-S-1(config-if)#switchport access vlan4

JD-S-1(config)#interface fastEthernet 0/10

JD-S-1(config-if)#switchport access vlan4

JD-S-1(config)#interface fastEthernet 0/11

JD-S-1(config-if)#switchport access vlan5

JD-S-1(config)#interface fastEthernet 0/12

JD-S-1(config-if)#switchport access vlan5

10

JD-S-1(config)#interface fastEthernet 0/13

JD-S-1(config-if)#switchport access vlan5

……

JD-S-1(config)#interface fastEthernet 0/36

JD-S-1(config-if)#switchport access vlan10

JD-S-2~9的端口划入VLAN的方法类似.。

5）在核心交换机上设置各VLAN的接口IP地址

给VLAN所有的节点静态的分配IP地址

JD-RS-1（config）#interface vlan2

JD-RS-1（config-if）#ip address 202.226.124.224/24 255.255.255.192

再在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址，并且把默认网关设置为该VLAN的接口。这样，所有的VLAN也可以互访了。

6）启动路由

JD-RS-1（config）#ip routing

JD-RS-2（config）#ip routing

3.2 交换机的管理

软件配置

（1） 在Windows操作系统下，单击“开始”按钮，在“所有程序”菜单的“附件”选项中单击“超级终端”。

（2）在“名称”文本框中键入需新建的级终端连接名称“Cisco”，然后单击“确定”按钮。

（3）在“连接时使用”下拉列表框中选择与交换机相连的计算机的串口1，单击“确定”按钮。

（4） 在“波特率”下拉列表框中选择“9600”通信速率，其他各选项统统采用默认值。单击“确定”按钮。

如果连接正常且交换机已启动的情况下，在超级终端窗口上就会出现如下所示的信息： User Access Verification

Password:

参数配置

在上面提示状态下输入口令后就可进入交换机的一般用户命令状态（提示符为Switch >），在一般命令状态下可以进行一般性操作，如：

Switch>show interface //查看交换机端口状态

Switch>ping 192.168.25.168 //测试到某IP是否连通

为了对交换机重要参数进行配置，需要进入特权用户状态：

Switch>enable //进入特权用户状态

Password: cisco

Switch#

“#” 为特权用户模式，在该模式下可以对交换机基本参数如名称、管理IP地址、登录密码等进行配置，方法示例如下：

Switch# setup //进入基本参数配置对话框

--- System Configuration Dialog ---

Continue with configuration dialog? [yes/no]: yes

At any point you may enter a question mark '?' for help.

11

Use ctrl-c to abort configuration dialog at any prompt.

Default settings are in square brackets '[]'.

Basic management setup configures only enough connectivity

for management of the system, extended setup will ask you

to configure each interface on the system

//进入基本管理参数配置

Would you like to enter basic management setup? [yes/no]: yes

Configuring global parameters:

//配置交换机名称

Enter host name [Catalyst3550]: Catalyst3550

//配置进入特权用户状态密码

The enable secret is a password used to protect access to

privileged EXEC and configuration modes. This password, after entered, becomes encrypted in the configuration.

Enter enable secret [<Use current secret>]: cisco

The enable password is used when you do not specify an

enable secret password, with some older software versions, and some boot images. Enter enable password [cisco]: cisco

//配置远程登录时的密码

The virtual terminal password is used to protect

access to the router over a network interface.

Enter virtual terminal password [cisco]: cisco

//配置交换机SNMP网络管理参数

Configure SNMP Network Management? [yes]:

Community string [public]: public

Enter interface name used to connect to the

management network from the above interface summary: FastEthernet0/1

//配置用于管理的IP地址和子网掩码

Configure IP on this interface? [yes]: yes

IP address for this interface [192.168.25.254]: 192.168.25.254

Subnet mask for this interface [255.255.255.0] :

//是否需要保存上面的配置参数，输入2表示保存

[0] Go to the IOS command prompt without saving this config.

[1] Return back to the setup without saving this config.

[2] Save this configuration to nvram and exit.

12

Enter your selection [2]:

//查看到刚才修改的基本参数的内容

switch#show config

4接入层的介绍

4.1定义

接入层：通常将网络中直接面向用户连接或访问网络的部分。

接入层交换机：通常将网络中直接面向用户连接或访问网络的部分称为接入层，将位于接入层和核心层之间的部分称为分布层或汇聚层。接入交换机一般用于直接连接电脑，汇聚交换机一般用于楼宇间。汇聚相对于一个局部或重要的中转站，核心相当于一个出口或总汇总。原来定义的汇聚层的目的是为了减少核心的负担,将本地数据交换机流量在本地的汇聚交换机上交换,减少核心层的工作负担，使核心层只处理本地区域外的数据交换。

接入层交换机信息流量方向定义：边界设备的input是指进入该网络的数据，output为离开该网络的数据。而边界设备下面的交换机（或称接入层交换机）的input与output的数据流向与边界设备刚好相反

接入层交换机端口的input 指服务器向交换机端口发送的数据，即是服务器发送出去的数据

接入层交换机端口的output 指交换机端口向服务器传输的数据，即是服务器收到的数据

接入层：网络中直接面向用户连接或访问网络的部分称为接入层，接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。

边界设备：边界设备是一个在不同类型网络间（如Ethernet和ATM）传送数据的物理设备。边界设备不负责收集网络路由信息，它只是使用在网络层获得的路由信息。边界路由器就是一种边界设备。

4.2工作原理

我们使用的接入层交换机是二层交换机。二层交换技术的发展比较成熟，属于数据链路层设备，可以识别数据包中的MAC地址信息，根据MAC地址进行转发，并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。

具体的工作流程如下：

（1）当交换机从某个端口收到一个数据包，它先读取包头中的源MAC地址，这样它就知道源MAC地址的机器是连在哪个端口上的；

（2）再去读取包头中的目的MAC地址，并在地址表中查找相应的端口；

（3）如表中有与这目的MAC地址对应的端口，把数据包直接复制到这端口上；

（4）如表中找不到相应的端口则把数据包广播到所有端口上，当目的机器对源机器回应时，交换机又可以记录这一目的MAC地址与哪个端口对应，在下次传送数据时就 不再需要对所有端口进行广播了。不断的循环这个过程，对于全网的MAC地址信息都可以学习到， 13

二层交换机就是这样建立和维护它自己的地址表。

4.3二层交换机的选择及标准

（1）应用范围

二层交换机用于小型的局域网络。这个就不用多言了，在小型局域网中，广播包影响不大，二层交换机的快速交换功能、多个接入端口和低谦价格为小型网络用户提供了很完善的解决方案。

（2）选购的标准

交换机是非常的重要，他把握着一个网络的命脉，那么如何选购交换机？用什么交换机？在选购交换机时交换机的优劣无疑十分的重要，而交换机的优劣要从总体构架、性能和功能三方面入手。

交换机选购时。性能方面除了要满足RFC2544建议的基本标准，即吞吐量、时延、丢包率外，随着用户业务的增加和应用的深入，还要满足了一些额外的指标，如MAC地址数、路由表容量(三层交换机)、ACL数目、LSP容量、支持VPN数量等。

1）交换机功能是最直接指标

一般的接入层交换机，简单的QoS保证、安全机制、支持网管策略、生成树协议和VLAN都是必不可少的功能，经过仔细分析，在某些功能进行进一步的细分，而这些细分功能正是导致产品差异的主要原因，也是体现产品附加值的重要途径。

2）交换机的应用级QoS保证

交换机的QoS策略支持多级别的数据包优先级设置，既可分别针对MAC地址、VLAN、IP地 址、端口进行优先级设置，给网吧业主在实际应用中为用户提供更大的灵活性。如此同时，交如果换机具有良好的拥塞控制和流量限制的能力，支持 Diffserv区分服务，能够根据源/目的的MAC/IP智能的区分不同的应用流，从而满足实时网吧网络的多媒体应用的需求。注意的是，目前市场上的某 些交换机号称具有QoS保证，实际上只支持单级别的优先级设置，为实际应用带来很多不便，所有网吧业主在选购的时候需要注意。

3）交换机应有VLAN支持

VLAN即虚拟局域网，通过将局域网划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播，网络中工作组可以突破共享网络中的地理位置限制，而根据管理功能来划分子网。不同厂商的交换机对VLAN的支持能力不同，支持VLAN的数量也不同。

4）交换机应有网管功能

网吧交换机的网管功能可以使用管理软件来管理、配置交换机，比如可通过Web浏览器、 Telnet、SNMP、RMON等管理。通常，交换机厂商都提供管理软件或第三方管理软件远程管理交换机。一般的交换机满足 SNMPMIBI/MIBII统计管理功能，并且支持配置管理、服务质量的管理、告警管理等策略，而复杂一些的千兆交换机会通过增加内置RMON组(mini-RMON)来支持RMON主动监视功能。

5）交换机应支持链路聚合

链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的伸缩性，比如可以把2个、3个、4个千兆的链路绑定在一起，使链路的带宽成倍增长。链路聚合技术可以实现不同端口的负载均衡，同时也能够互为备份，保证链路的冗余性。在一些千兆以太网交换机中，最多可以支持4组链路聚合，每组中最大4个端口。生成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路，并用生成树协议让备份链路阻塞，在逻辑上不形成环路，而一旦出现故障，启用备份链路。

14

6）交换机要支持VRRP协议

VRRP(虚拟路由冗余协议)是一种保证网络可靠性的解决方案。在该协议中，对共享多存取访问介质上终端IP设备的默认网关(DefaultGateway) 进行冗余备份，从而在其中一台三层交换机设备宕机时，备份的设备会及时接管转发工作，向用户提供透明的切换，提高了网络服务质量。VRRP协议与 Cisco的HSRP协议有异曲同工之妙，只不过HSRP是Cisco私有的。

4.4交换机的堆叠

一般接入层交换机多为24口，48口等，呈堆叠状态，因为用户团体是相当庞大的。一般接入层交换机端口保持在10/100自协商，最大100，保证微分段的设备的传输速度，因为是接到用户计算机，所以接入层交换机的端口状态经常在UP和 DOWN之间反复。

4.5实际应用

接入层顾名思义，本层是为终端设备接入LAN的第一道设备，是最接近用户计算机的设备，该层思科交换机配置设备的特点是：

◆端口密集

◆接口状态翻动频繁

◆单位流量低

◆有较多的访问策略

一般接入层交换机多为24口，48口等，呈堆叠状态，因为用户团体是相当庞大的。一般接入层交换机端口保持在10/100自协商，最大100，保证微分段的设备的传输速度，因为是接到用户计算机，所以接入层交换机的端口状态经常在UP和 DOWN之间反复。

因为面对用户，所以接入层交换机有过多的策略限制，如VLAN等。一般接入层交换机会以2端口的100口绑定成以太通道（Trunk等）接入到汇

本设计中我们选取的是：H3C S1224，具体参数如下：

15

5．汇聚层的介绍

5.1定义

汇聚层交换层是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。

汇聚层是楼群或小区的信息汇聚点,是连接接入层和核心层的网络设备,为接入层提供数据的汇聚\传输\管理\分发处理.汇聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由服务,认证管理等.通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层.汇聚层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定.。

汇聚层的功能主要是连接接入层节点和核心层中心。汇聚层设计为连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。

16

汇聚层设备一般采用可管理的三层交换机或堆叠式交换机以达到带宽和传输性能的要求。其设备性能较好，但价格高于接入层设备，而且对环境的要求也较高，对电磁辐射、温度、湿度和空气洁净度等都有一定的要求。汇聚层设备之间以及汇聚层设备与核心层设备之间多采用光纤互联，以提高系统的传输性能和吞吐量。

一般来说，用户访问控制会安排在接入层，但这并非绝对，也可以安排在汇聚层进行。在汇聚层实现安全控制和身份认证时，采用的是集中式的管理模式。当网络规模较大时，可以设计综合安全管理策略，例如在接入层实现身份认证和MAC地址绑定，在汇聚层实现流量控制和访问权限约束。

5.2 作用

在网络中，汇聚层交换机和核心层交换机的作用与接入交换机不同，它们承担了网关和三层路由转发功能的重担。由于IP扫描和DoS攻击对三层交换机的影响和危害严重，常常会使交换机内CPU处理满负荷，造成交换机处理能力下降，甚至瘫痪，用户无法正常上网。

同时，交换机内部更是内嵌了安全策略（如内制的防DoS攻击、防IP扫描机制），保证数据包路由转发功能不受IP扫描和攻击的影响。IGMP源端口和源IP检查功能对非法组播源的防范和控制，以及对各种硬件ACL（如专家级ACL、时间ACL等）的访问权限控制，都为网络健壮地运营提供了保证。

5.3 实际应用

思科三层交换机配置汇聚层该层是接入层的交换机流量集合的地方，所有的接入层交换机会以各种高速通道连接到汇聚层交换机。该思科三层交换机配置的特点如下：

◆端口数量较接入层交换机稀疏

◆单位端口交换速度远大于接入层交换机

◆基本要保证数据的高速无阻碍转发

◆端口状态稳固，翻动几乎不存在

◆很多汇聚层交换机是三层设备

一般汇聚层交换机端口较少，但一般都是千兆端口，用于接受接入层的流量，而且因为在本层，被转发的数据基本比较“纯净”，所以必须保证高速的数据转 发，因为是汇聚层，该层的端口翻覆状态几乎不会遇见，除非某台接入层交换机损坏，一般中型的汇聚层交换机带有三层功能，可以配置access-list， 进一步限制非法流量。是非常合适的STP根。 6 核心层

6.1 定义

而将网络主干部分称为核心层，核心层的主要目的在于通过高速转发通信，提供优化，可靠的骨干传输结构，因此核心层交换机应拥有更高的可靠性，性能和吞吐量。

三层交换技术就是：二层交换技术＋三层转发技术。它解决了局域网中网段划分之后，网段 17

中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。

6.2工作原理

三层交换技术就是二层交换技术＋三层转发技术。传统的交换技术是在OSI网络标准模型中的第二层——数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。应用第三层交换技术即可实现网络路由的功能，又可以根据不同的网络状况做到最优的网络性能。

使用IP的设备A-------三层交换机--------使用IP的设备B

比如A要给B发送数据，已知目的IP，那么A就用子网掩码取得网络地址，判断目的IP是否与自己在同一网段。

如果在同一网段，但不知道转发数据所需的MAC地址，A就发送一个ARP请求，B返回其MAC地址，A用此MAC封装数据包并发送给交换机，交换机起用二层交换模块，查找MAC地址表，将数据包转发到相应的端口。

如果目的IP地址显示不是同一网段的，那么A要实现和B的通讯，在流缓存条目中没有对应MAC 地址条目，就将第一个正常数据包发送向一个缺省网关，这个缺省网关一般在操作系统中已经设好，对应第三层路由模块，所以可见对于不是同一子网的数据，最先 在MAC表中放的是缺省网关的MAC地址；然后就由三层模块接收到此数据包，查询路由表以确定到达B的路由，将构造一个新的帧头，其中以缺省网关的MAC 地址为源MAC地址，以主机B的MAC地址为目的MAC地址。通过一定的识别触发机制，确立主机A与B的MAC地址及转发端口的对应关系，并记录进流缓存 条目表，以后的A到B的数据，就直接交由二层交换模块完成。这就通常所说的一次路由多次转发。

表面上看，第三层交换机是第二层交换器与路由器的合二而一，然而这种结合并非简单的物理结合，而是各取所长的逻辑结合。其重要表现是，当某一信息源的第一个数据流进行第三层交换后，其中的路由系统将会产生一个MAC地址与IP地址的映射表，并将该表存储起来，当同一信息源的后续数据流再次进入交换环境时，交换机将根据第一次产生并保存的地址映射表，直接从第二层由源地址传输到目的地址，不再经过第三路由系统处理，从而消除了路由选择时造成的网络延迟，提高了数据包的转发效率，解决了网间传输信息时路由产生的速率瓶颈。所以说，第三层交换机既可 完成第二层交换机的端口交换功能，又可完成部分路由器的路由功能。即第三层交换机的交换机方案，实际上是一个能够支持多层次动态集成的解决方案，虽然这种 多层次动态集成功能在某些程度上也能由传统路由器和第二层交换机搭载完成，但这种搭载方案与采用三层交换机相比，不仅需要更多的设备配置、占用更大的空间、设计更多的布线和花费更高的成本，而且数据传输性能也要差得多，因为在海量数据传输中，搭载方案中的路由器无法克服路由传输速率瓶颈。

6.3核心交换机的选择

出于安全和管理方便的考虑，主要是为了减小广播风暴的危害，必须把大型局域网按功能或地域等因素划成一个个小的局域网，这就使VLAN技术在网络中得以大量应用，而各个不同VLAN间的通信都要经过路由器来完成转发，随着网间互访的不断增加。单纯使用路由器来实现网间访问，不但由于端口数量有限，而且路由速度较慢，从而限制了网络的规模和访问速度。基于这种情况三层交换机便应运而生，三层交换机是为 IP设计的，接口 18

类型简单，拥有很强二层包处理能力，非常适用于大型局域网内的数据路由与交换，它既可以工作在协议第三层替代或部分完成传统路由器的功 能，同时又具有几乎第二层交换的速度，且价格相对便宜些。

在企业网和教学网中，一般会将三层交换机用在网络的核心层，用三层交换机上的千兆端口或百兆端口连接不同的子网或VLAN。不过三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发，加入路由功能也是为这个目的服务的。所以它的路由功能没有同一档次的专业路由器强。毕竟在安全、协议支持等方面还有许多欠缺，并不能完全取代路由器工作。

如果把大型网络按照部门，地域等等因素划分成一个个小局域网，这将导致大量的网际互访，单纯的使用二层交换机不能实现网际互访；如单纯的使用路由器，由于接口数量有限和路由转发速度慢，将限制网络的速 度和网络规模，采用具有路由功能的快速转发的三层交换机就成为首选。

19