网络构建-第2单元

课程内容结构第2单元组建中型网络2.1项目一多办公区之间的网络连接2.1.1交换机之间的级联技术交换机是局域网络的核心，它连接网络中所有的工作设备，如服务器、工作站、PC机、笔记本电脑、路由器、防火墙、网络打印机等，构成互联互通的星形网络。网络规模扩展以后，构建一个中型局域网络，网络中交换机的数量通常不只是一个，网络中用户数有上百个，甚至上千个，就必须需要使用更多的交换机来连接。网络中交换机和交换机之间的连接方式有级联技术和堆叠技术之分。级联技术和堆叠技术分属于二种不同的网络连接技术，它们的应用范围也有很大的区别。1、交换机级联技术所谓级联，是指使用普通的网线，将交换机普通端口（如RJ-45端口）连接在一起，实现相互之间的通讯，使用级联技术连接网络，一方面解决了单交换机端口数不足的问题，另外方面就是快速延伸网络直径，解决离机房较远距离的客户端和网络设备的连接。需要注意的是，交换机也不能无限制地级联下去，超过一定数量的交换机进行级联，最终会引起广播风暴，导致网络性能严重下降。而且还因为线路过长，一方面信号在线路上的衰减也较多，另一方面，下级交换机是通过共享上级交换机的一个端口可用带宽，层次越多，最终的客户端可用带宽也就越低，这样对网络的连接性能影响非常大。从实用的角度来看，建议最多部署三级交换机级连：核心交换机-汇聚交换机-接入交换机。2、级联端口区别级联又分为以下两种：使用普通端口级联和使用级联端口的级联方式。使用Uplink端口级联有些交换机配有专门的级联（UpLink）端口是专门用于与其他交换机连接的端口，通过UpLink口使得交换机之间的连接变得更加简单。UpLink端口是专门为上行连接提供的，通过直通线将该端口，连接至其他交换机上除“Uplink端口”外的任意端口，这种连接方式跟计算机与交换机之间的连接完全相同。使用普通端口级联普通端口就是通过交换机的RJ-45以太端口进行连接。如果交换机没有提供专门的级联Uplink端口，只能使用交叉线，将两台交换机的普通端口连接在一起，扩展网络端口数量，2.1.2交换机的堆叠1、交换机堆叠技术简单局域网使用固定24或48端口100M交换机，由于其配置简单、成本低，得到广泛使用。当网络规模不断提高时，需要高密度的端口时，固定端口的交换机可扩展性受到极大挑战，可管理交换机的堆叠技术则解决了这一问题，将几台交换机通过专用的堆叠模块，使用专用的堆叠线缆相连，可以成倍地提高网络接入端口密度和端口带宽。由于堆叠是把交换机的背板带宽通过专用模块聚集在一起，这样堆叠交换机的总背板带宽就是几台堆叠交换机的背板带宽之和，堆叠交换机组可视为一个整体的交换机进行管理，从而满足了大型网络对端口的数量要求。交换机堆叠是通过厂家提供的一条专用连接电缆，从一台交换机的“UP”堆叠端口直接连接到另一台交换机的“DOWN”堆叠端口，以实现单台交换机端口数的扩充。一般交换机能够堆叠4～8台，在大型网络中对端口需求比较大的情况下，交换机的堆叠是扩展端口最快捷、最便利的方式，同时堆叠后的带宽是单一交换机端口速率的几十倍。需要注意的是：并不是所有的交换机都支持堆叠的，这取决于交换机的品牌、型号是否支持堆叠；并且还需要使用专门的堆叠电缆和堆叠模块。采用堆叠的交换机要受到种类和相互距离的限制。首先实现堆叠的交换机必须是支持堆叠的；另外由于厂家提供的堆叠连接电缆一般都在1M左右，故只能在很近的距离内使用堆叠功能；最后还要注意同一堆叠中的交换机必须是同一品牌。目前流行的堆叠模式主要有两种：菊花链模式和星型模式。2、菊花链式堆叠菊花链式堆叠是一种基于级联结构的堆叠技术，通过堆叠接口或模块首尾相连对交换机硬件上没有特殊的要求，但就交换效率来说，同交换机级联模式处于同一层次。菊花链式堆叠形成的环路可以在一定程度上实现冗余。堆叠连接时，每台交换机都有两个堆叠接口，通过随机附带的堆叠电缆和相邻的交换机堆叠接口相连。如果要实现链路冗余，可将最后一台交换机的另一个堆叠接口与第一台交换机的另一个堆叠接口连接，从而形成环路，环路可以在一定程度上实现冗余，但也带来广播风暴。菊花链式结构由于需要排除环路所带来的广播风暴，在正常情况下，环路中的某一台交换机到达主交换机只能通过一个高速端口进行，需要通过所有上游交换机来进行交换。菊花链式堆叠是一类简化的堆叠技术，主要是一种提供集中管理的扩展端口技术，对于多交换机之间的转发效率并没有提升，需要硬件提供更多的高速端口。菊花链式堆叠的层数一般不应超过四层，在堆叠层数较多时，堆叠端口会成为严重的系统瓶颈。3、星型堆叠星型堆叠技术是一种高级堆叠技术，对交换机而言，需要提供一个独立的或者集成的高速交换中心（堆叠中心），所有的堆叠主机通过专用的高速堆叠端口，也可以是通用的高速端口，上行到统一的堆叠中心。堆叠中心一般是一个基于专用ASIC的硬件交换单元，根据其交换容量，带宽一般在10－32G之间，其ASIC交换容量限制了堆叠的层数。星型堆叠需要一个主交换机，其它是从交换机，每台从交换机都通过堆叠接口或模块与主交换机相连，这种方式要求主交换机的交换容量（背板带宽）要比从交换机的要大星型堆叠技术中所有的堆叠组成员交换机，到达堆叠中心交换机的级数缩小到一级，任何两个端节点之间的转发，只需要经过三次交换，与菊花链式结构相比，它可以显著地提高堆叠成员之间数据的转发速率，同时还提供统一的管理模式，一组交换机在网络管理中，可以作为单一的节点出现。星型堆叠模式克服了菊花链式堆叠模式，多层次转发时的高时延影响，但需要提供高带宽堆叠中心，成本较高，而且堆叠中心接口一般不具有通用性，无论是堆叠中心还是成员交换机的堆叠端口，都不能用来连接其他网络设备。使用高可靠、高性能的堆叠中心芯片是星型堆叠的关键。一般的堆叠电缆带宽都在2G-2.5G之间（双向），堆叠电缆长度一般不能超过2m，所以星型堆叠模式下，所有的交换机需要局限在一个机架之内。2.1.3交换机之间的链路聚合1、聚合链路技术链路聚合技术就是将交换机的多个端口在物理上分别连接，在逻辑上通过技术捆绑在一起，形成一个拥有较大带宽的复合主干链路，聚合链路还可以实现均衡负载，并提供冗余链路网络效果。在局域网建设中，由于网络中数据通信量的快速增长，现有的百兆位、千兆位带宽，对于局域网许多网络服务连接来说，网络的带宽远远不够。于是出现了将多条物理链路，当作一条逻辑链路使用的聚合链路技术，网络通信由聚合到逻辑链路中的所有物理链路来共同承担。聚合链路是在可管理交换机上实现的一种技术，它把两台互相连接的交换机之间两条以上的链路，虚拟成为一条复合链路来传输信息。聚合在一起的链路，可以在单一逻辑链路上，组合使用上述传输速度，使用户在交换机之间，获得一条千兆传输速度的选择，以负担得起的方式逐渐增加网络传输带宽。2、聚合链路特点组合在一起的聚合链路端口，可以作为单一连接端口来使用，提供单一连接带宽，聚合链路一般用来连接一个或多个带宽需求大的设备，如连接骨干网络的服务器或服务器群，网络传输流被动态地分布到各个端口。聚合链路的另一个主要优点是可靠性。聚合链路技术在点到点链路上提供了固有的、自动的冗余性。如果链路使用的多个端口中的一个出现故障，网络传输的数据流，可以动态地转向链路中其他正常的端口进行传输，自动地完成了对实际流经某个端口的数据的管理。聚合链路技术只能在100Mbit/s以上的链路上实现，而且各品牌设备对聚合链路的支持能力不尽相同，大部分交换机都支持最多4-8条平行链路的聚合链路，但有少数交换机支持更多链路的聚合；有的交换机只能把相邻端口设为一组聚合端口，而有的交换机则可以把任意端口设为一组聚合端口。2.1.4交换机之间的冗余链路1、冗余链路在骨干网设备连接中，单一链路的连接很容易，但一个简单的故障就会造成网络的中断。因此在实际网络组建的过程中，为了保持网络的稳定性，在多台交换机组成的网络环境中，通常都使用一些备份连接，以提高网络的健全性、稳定性。这里的备份连接也叫备份链路、或者冗余链路。备份链路之间的交换机之间经常互相连接，形成一个环路，通过环路可以在一定程度上实现冗余。链路的冗余备份能为网络带来健全性，稳定性和可靠性等好处，但是备份链路会使网络存在环路，环路问题是备份链路所面临的最为严重的问题，交换机之间的环路将导致网络新问题的发生。广播风暴多帧复制地址表的不稳定广播风暴交换机采用了按信息中携带的MAC地址，实现在不同端口之间转发数据，每一个端口通过识别来源于每个端口的MAC，学习生成地址表，交换机以后按照信息帧中携带的地址信息，根据生成地址表信息，把信息转发到不同端口，从而完成通信。由于交换机依赖网络设备的MAC地址和端口的地址对应表，进行数据的转发。若收到目的地址未知的数据帧，只能利用广播的形式来寻址，把收到的信息转发到所有的端口上，如果互相连接成环路的交换机之间都互相广播，其后果就是在一个环形网络中造成大量的数据在重复传输，即“广播风暴”，从而导致网络的瘫痪。多帧复制网络中如果存在环路，目的主机可能会从不同的端口，收到某个数据帧的多个副本，此时会导致交换机在处理这些数据帧时无从选择，产生迷惑：究竟该如何处理哪个帧呢？严重时会导致网络连接的中断。MAC地址表的不稳定当交换机连接不同网段时，将会出现通过不同端口收到来自同一个广播帧的多个副本的情况。这一过程也会同时导致MAC地址表的多次刷新。这种持续的更新、刷新过程会严重消耗内存资源，影响交换机的交换机的交换能力，同时降低整个网络的运行效率。严重时，将耗尽整个网络的资源，并最终造成网络的瘫痪。2、生成树协议为了解决交换机冗余环路带来的“广播风暴”问题，交换机上启动生成树协议避免此类现象的发生。生成树的工作方式如同生成一棵树，建立无环路连接。生成树协议(STP)通过软件协议，通过判断网络中存在环路地方，暂时阻断冗余链路来实现，等主干链路出现故障时，临时阻塞的链路马上恢复工作。通过这种方式，它确保到每个目的地数据帧，都只有唯一路径，不会产生环路，从而达到管理冗余链路的目的。2.2项目二部门间网络的安全隔离2.2.1IP地址知识：子网地址1、划分子网(subnetting)一个大的网络中所有的设备，都处于一个广播域中，随着设备的增多，网络的干扰也会越来越大，以B类网络为例：一个B类网络，如果不进行网络细分，整个网络中将有65534台主机，这样大量的设备存在，既不便于管理，而且网络中大量的广播信息，将会导致网络效率下降，甚至网络瘫痪，为了合理配置系统，减少资源浪费，人们经常把一个大的网络，缩小为若干小的网络，把网络中的设备之间，互相广播范围尽量减少在本地发生，这种把一个大的网络划分变小的过程叫子网划分。2、子网划分的优点具体来说子网划分的优点表现在：减少网络流量，将原来同处于在同一网段上的主机分成不同的网络段，同时也将原来的一个广播域划分成若干个小的广播域；提高网络性能；简化管理；易于扩大地理范围。3、划分子网的方法网络地址是由网络部分和主机部分组成，将一个网络划分为子网：一般采用借位的方式，从主机位最高位开始借位，把主机位变为子网位：即原来的主机地址为升级为网络，所剩余的部分则仍为主机位。这使得IP地址的结构分为三部分：网络位、子网位和主机位。4、子网掩码引入子网概念后，网络位加上子网位，才能唯一地标识一个网络。为了很好区别网络地址的结构，把所有的网络位用1来标识，主机位用0来标识，就得到了子网掩码。子网掩码是为了快速确定IP地址，哪部分代表网络号，哪部分代表主机号，以及判断两个IP地址是否属于同一网络。子网掩码给出了整个IP地址的位模式，其中用1代表网络部分，0代表IP主机号部分，表示方法上也采用点式十进制表示，用它来帮助确定IP地址网络号在哪结束，主机号在哪开始。5、确定子网掩码方法子网掩码的位数，决定于可能的子网数目和每个子网的主机数目。在求子网掩码之前，必须先搞清楚要划分子网数目，以及每个子网内的所需主机数目，定义子网掩码的步骤为：1)将子网数转化为二进制来表示2)计算该二进制的位数，为N3)取得该IP地址的子网掩码，将