企业业务需求分析与网络设计

小型企业网络解决方案主讲：郭登科越来越多的企业拥有自己的远程站点，这些网点都需要和总部联系，需要和互联网联系。企业的远程站点规模变大，为了安全和方便管理。小企业的大量出现。背景企业网络远程接入站点5.1小型企业网组网需求小型企业网络组网需求分析业务类型Internet业务企业内部业务IP通信业务流量访问模型本地访问远程访问用户接入需求用户接入数量不大（几十个信息点）组网原则一般可靠性性价比小型企业网络组网方案网络拓扑：一层模型的星型结构，通过级联交换机来扩展网络接入容量。接入交换机连接用户信息点和边界路由器。设备：接入交换机：Cisco29XX系列，边界路由器：Cisco1800/2800系列链路：快速以太网技术技术：VLAN、Trunk、VTP，单臂路由5.2局域网业务隔离业务隔离的必要性技术需要交换机替代HUB减小了冲突域二层交换机不能阻隔广播域二层交换网络规模越大，广播危害也严重路由器可以阻隔广播，但是会成为性能瓶颈业务接入需要按照部门分组接入业务安全需要将特殊流量与一般流量分开用户接入灵活、易扩展交换机业务隔离技术VLAN第三层第二层第一层销售部人力资源部工程部一个VLAN=一个广播域=逻辑网段(子网)•分段•灵活性•安全性广播域可以跨网段，而冲突域只是发生的同一个网段的。冲突域：在同一个冲突域中的每一个节点都能收到所有被发送的帧广播域：网络中能接收任一设备发出的广播帧的所有设备的集合冲突域是基于第一层（物理层）而广播域是机于第二层（数据链路层）HUB所有端口都在同一个广播域、冲突域内。Swith所有端口都在同一个广播域内，而每一个端口就是一个冲突域。LAN与VLAN一台物理交换机在逻辑上分割成若干台虚拟交换机LANLAN是指相同广播域内的所有设备，这些设备可以发送广播帧，而相同LAN内的所有其他设备都可以获得该广播帧的一份拷贝。二层交换机默认时，所有端口都属于相同LANVLAN交换机创建的广播域VLAN相当于一个逻辑上的网桥VLAN直接二层隔离交换机默认所有端口属于VLAN1VLAN间通信必须经过三层设备网络设备的域HubBridgeSwitchRouterCollisionDomains（冲突域）绿色:1444BroadcastDomains（广播域）红色:1114冲突域与广播域广播域指接收同样广播消息的节点的集合，如：在该集合中的任何一个节点传输一个广播帧，则所有其他能收到这个帧的节点都被认为是该广播帧的一部分交换机分割冲突域，但是不分割广播域，即交换机的所有端口属于同一个广播域....广播域广播域冲突域冲突域广播VLAN分割广播域广播域广播VLAN1VLAN2广播域VLAN规划VLAN划分原则按业务划分（VoIP）按部门划分按广播域大小划分按网络物理位置划分VLAN划分方法根据端口划分VLAN根据MAC地址划分VLAN根据用户认证授权划分VLANVLAN与IP子网一一对应管理VLAN划分基于端口划分的静态VLAN主机A主机B主机C主机D以太网交换机VLAN表端口所属VLANPort1VLAN5Port2VLAN10…………Port7VLAN5…………Port10VLAN10Port1Port2Port7Port10基于MAC地址划分的动态VLANVLAN表MAC地址所属VLANMACAMACBMACCMACDVLAN10VLAN5VLAN10VLAN5主机A主机B主机C主机D以太网交换机MACAMACBMACCMACDVMPS服务器（vlan管理策略服务器）当主机发送数据帧，交换机查看了数据帧的源MAC地址后，才能判断主机属于哪个VLAN当一个帧到达动态端口时，交换机根据帧的源地址查询VMPS，获取相应的VLAN分配Cisco交换机上静态VLAN的配置配置VLAN的步骤创建VLAN将端口加入到相应的VLAN中验证创建VLAN创建VLAN有以下2种方法在全局配置模式下创建VLAN进入VLAN数据库中创建VLAN在全局配置模式下创建VLANSwitch(config)#vlanvlan-idSwitch(config-vlan)#namevlan-name添加一个VLAN给VLAN命名，此命令可选进入VLAN数据库创建VLANSwitch#vlandatabaseSwitch(vlan)#vlan2VLAN2added:Name:VLAN0002Switch(vlan)#exitAPPLYcompleted.Exiting....进入VLANdatabase添加VLAN2如果不给VLAN指定名称，交换机自动添加VLAN2的名称为默认的VLAN0002保存退出删除已创建的VLANSwitch#vlandatabaseSwitch(vlan)#novlan2DeletingVLAN2...或：Switch(config)#novlan2如果配置错误，或配置修改，需要删除VLAN时。需要注意的是：确定这个VLAN中不包含任何的端口将端口加入VLANSwitch(config)#interfacef0/1Switch(config-if)#switchportaccessvlanvlan-idSwitch(config-if)#noswitchportaccessvlanvlan-id也可以同时将多个端口添加到某个VLAN中：Switch(config)#interfacerangef0/1–10Switch(config-if-range)#switchportaccessvlanvlan-id进入接口配置模式将接口添加到某个VLAN中将接口从某个VLAN中删除验证VLAN的配置Switch#showvlanbriefSwitch#showvlanidvlan-id查看所有VLAN的摘要信息查看指定VLAN的信息VLAN配置实例Switch#vlandatabaseSwitch(vlan)#vlan2namev2VLAN2added:Name:v2Switch(vlan)#exitAPPLYcompleted.Exiting....Switch#configterminalSwitch(config)#interfacerangef0/5-10Switch(config-if-range)#switchportaccessvlan2查看VLAN配置Switch#showvlanbriefVLANNameStatusPorts----------------------------------------------------------------------------1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4Fa0/11,Fa0/12,Fa0/13,Fa0/14Fa0/15,Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21,Fa0/22Fa0/23,Fa0/242v2activeFa0/5,Fa0/6,Fa0/7,Fa0/8Fa0/9,Fa0/101002fddi-defaultactive1003token-ring-defaultactive1004fddinet-defaultactive1005trnet-defaultactive5.3跨越交换机部署VLAN跨越多个交换机的VLAN123VLAN1VLAN2VLAN3VLAN1VLAN2VLAN3VLANsVLAN1VLAN2VLAN3VLAN1VLAN2VLAN3中继链路VLAN1、2、3VLAN标识交换机给每个去往其他交换机的数据帧打上VLAN标识VLAN1VLAN2VLAN3VLAN1VLAN2VLAN3中继链路（Trunk）接入链路（Access）VLAN1标记VLAN3标记Trunk与Access端口Trunk端口一条物理链路同时承载多个VLAN的数据默认时属于所有VLAN必须100M以上端口连接交换机-交换机，交换机-路由器，交换机-服务器Access端口仅属于某个特定VLAN连接交换机-终端，交换机-路由器，交换机-服务器Trunk与Access端口（续）VLAN中继TrunkTrunk的封装格式：ISL、dot1QISL是Cisco专用的标准。在以太网报文中增加了26byte作为VLANtag.Dot1Q是IEEE制订的标准802.1Q，几乎所有的厂商设备都支持。在以太网报文中增加了4byte作为VLANtag.802.1Q标签帧比ISL标签帧包含更少的域，因为它是在标准以太网帧中插入4个字节的tag帧而不是放入标签头部信息。IEEE802.1Q的工作原理和帧格式2－1中继链路接入链路802.1Q标记4字节dot1Q封装格式DASATypeDataCRC标准以太网帧DASATypeDataCRCtagTPIDPriorityCFIVLANIDTCI带有IEEE802.1Q标记的以太网帧IEEE802.1Q的帧格式dot1Q封装格式标记协议标识符（TPID）是被全局分配的。定义值为0x8100，表明一个帧是802.1QVLAN数据帧。标记控制信息（TCI）用户优先级（priority）：该域用来标记帧穿过交换机时携带用户优先级信息，主要是802.1p使用（qos里面有介绍）。其长度为3，取值从0---7。规范格式指示器（CFI）：cfi值为0说明是规范格式，如运行802.3数据帧，为1说明是非规范格式（用在令牌环/FDDI介质访问方法中）。其长度为1。VLANID：标识帧所属的VLAN，其长度为12，可以标识4096个VLAN从0—4095。CiscoISL工作原理和帧格式3－1中继链路VLAN2接入链路ISL头26字节CRC4字节CiscoISL工作原理和帧格式3－2DASATYPE/长度数据CRC26字节ISL头4字节ISL尾dot1QTrunk特性tag和untag在trunk中，有两情形的数据，打上VLANtag和没有VLANtag（untag）的数据。Tag数据:需要在trunk中透传的数据带有VLANtag，在不同交换机中相同vlantag的数据即是同一个VLAN。Untag数据：在trunk中，untag数据不带VLANtag，交换机从trunk上发送nativevlan的数据时，将数据以untag方式发送到trunk。nativeVLANNativevlan就是本地VLAN，交换机上每个端口都有一个Nativevlan。在Cisco交换机和华为交换机上默认nativeVLAN为VLAN1。Trunk端口配置方法DTP自动协商自动协商由DTP协议管理自动协商的端口都属于同一VTP域switchportmodedynamicautoswitchportmodedynamicdesirableswitchportmodetrunkAccess端口禁止DTP协商，禁止Trunk，将端口设置为终端接入模式switchportmodeaccess禁止DTP，强制设置TrunkswitchportnonegotiateTrunk封装类型switchporttrunkencapsulationislswitchporttrunkencapsulationdot1qswitchporttrunkencapsulationnegotiate以上能自动协商成Trunk的模式有如下几种组合：On-onon-autoon-desirabledesirable-desirabledesirable-auto因此，在实际工程中建议采用手工配置方式来配置TrunkDTP的工作模式查看接口模式Switch#showinterfaceinterface-idswitchportName:Fax/xSwitchport:EnabledAdministrativeMode:dy