局域网组建与维护论文
XXXXXXXXXX
本科生毕业设计论文
分 院计算机工程学院
专 业 网络工程
班 级 0801
学生姓名:
指导教师
下发 年 9 月 26 日
完成 年 6 月 17
本科生毕业设计论文
局域网组建与维护
总计 毕业设计论文 45 页
表格 10 表
插图 8 幅
摘 要 迅速发展的Internet正在对全世界的信息产业带来巨大的变革和
深远的影响。国内越来越多的企业也已经或正在考虑使用
Internet/Intranet技术以建设企业规划化的信息处理系统。通过
Internet与外部世界交换信息本企业与全世界联系起来极大地提高
了信息收集的能力和效率。
众所周知Internet是将世界上成千上万的小型网络和计算机系统
连接全球最大的网络系统每个网络之间可以实现资源共享和数据通信。
在网络技术迅速发展的时代局域网的发展尤其快速。因此掌握组建局
域网对当代大学生学习网络方面的学生来说是很重要的。
随着计算机及通信技术的飞跃发展办公信息化、自动化、无纸化
的需求各单位为提高办公效率促进信息交流适应现代化办公的要
求企业内部管理的网络货及信息化成为一种必然的发展趋势局域网
络应用的成功不仅会对企业的现有业务产生巨大影响更为企业日后的
发展插上了腾飞的翅膀。本文以企业的局域网络组建为例叙述了局域
网组建的具体做法和怎样进行维护的思想。
关键字因特网局域网企业网
Abstract The rapid development of the Internet is on all the world's information
industry brings tremendous changes and far-reaching influence. More and
more domestic companies also have or are considering the use of
Internet/Intranet technology, to build the corporate planning information
processing system. Through the Internet and the external world to exchange
information, the enterprise and the whole world is connected, greatly
improves the efficiency and capability of information collection.
As everyone knows, Internet is to be the world tens of thousands of
small networks and computer systems connected to the global biggest
network system, each network can realize the sharing of resources and data
communication. In the era of rapid development of network technology,
especially the rapid development of lan. Therefore master LAN on the
contemporary college students learning network of students is very
important.
Along with the computer and the rapid development of communications
technology, office automation, informationization, paperless demand, various
units to improve the office efficiency, promote the exchange of information,
to adapt to modern office requirements, the internal management of the
network of goods and information has become an inevitable trend of
development, local area network application success not only to the
enterprise existing business impact, the future development of more
enterprises takeoff plug in the wings. Based on the enterprise local area
network as an example, describes the specific practices of LAN and how to
carry out the maintenance thought.
KeywordinternetLANEnterprise network
目录 第1章 局域网概述 ..................... 错误未定义书签。 第2章 局域网设计分析 .................................. 3
2.1 设计背景..................................3
2.2 用户需求分析...............................3
2.3 设计原则..................................5 第3章 局域网设计实现 .................................. 7
3.1 网络体系结构.........................................7
3.2 网络层次划分.........................................8
3.3 网络设备选型.........................................8
3.4 设备端口划分........................................15
3.5 网络IP子网划分.....................................16
3.6 vlan的规划........................................18
3.7 以太网交换技术......................................19
3.8 网络流量规划........................................23 第4章 局域网技术应用与网络配置.....................23
4.1 交换技术的应用......................................26
4.2 路由技术的应用....................................30 第5章 局域网的维护...................................37
5.1 软件系统............................................37
5.2 硬件系统............................................37 局域网的组建与维护
1
5.3 故障诊断............................................39 结束语...................................................42 谢词.....................................................43 参考文献.................................................44
局域网的组建与维护
1
第1章 局域网概述 局域网Local Area Network LAN是指在某一区域内由多台计
算机互联而成的计算机网络其范围通常在几千米以内。计算机网络是
当今世界上最为活跃的技术因素之一。计算机局域网于20世纪70年代
末期出现在八九十年代获得了飞速发展和大范围的普及如今正步入
高速的阶段。目前LAN的使用已经相当普遍其主要用途包括共享打
印机、绘图机等外部设备
通过公共数据库共享各类信息向用户提供
诸如电子邮件之类的高级网络服务等。局域网是封闭的可以是两台计
算机也可以是上千台的计算机。
局域网有共享文件、共享硬件、共享数据库、信息传递、保
存信息、保护信息、Internet功能、远程访问功能等作用。
局域网的特点主要由三个要素决定即拓扑结构、传输介质和介质
询问方式。
1. 拓扑结构
局域网一般是在一个有限地理范围内其专用性非常强具有比较
稳定和规范的拓朴结构。局域网拓朴结构有星型结构、树型结构、总线
型结构、和环形结构。
2.传输介质
网络中各站点之间的数据传输必须依靠某种传输介质实现传
输介质的种类很多适用于局域网的介质主要有三类双绞线、同
轴电缆和光纤。
双绞线是综合布线工程中最常用的一种传输介质。双绞线由两根具
有绝缘保护层的铜导线组成。目前双绞线可分为非屏蔽双绞线和屏蔽
双绞线。双绞线在传输距离、信道宽度和数据传输速度等方面均受到一局域网的组建与维护
2
定限制但价格较为低廉干扰能力强特别是非屏蔽双绞线。
同轴电缆以硬铜线为芯外包一层绝缘材料。这层绝缘材料用密织
的网状导体环绕网外又覆盖一层保护性材料。同轴电缆有许多种不同
的规格最常用是细同轴电缆和粗同轴电缆。细同轴电缆主要用于建筑
物内的网络连接而粗同轴电缆则常用于建筑物间相连。它们的区别在
于粗同轴电缆屏蔽更好能传输更远的距离。
光纤是一种直接为50~100um的柔软的、能传导光波的介质一般
由玻璃制造。光纤分为传输点模数类分单模光纤(Single Mode Fiber)
和多模光纤(Multi Mode Fiber)。单模光纤的纤芯直径很小在给定的
工作波长上只能以单一模式传输传输频带宽传输容量大。多模光纤
是在给定的工作波长上能以多个模式同时传输的光纤与单模光纤相
比多模光纤的传输性能较差。
3.介质询问方式
局域网出现以后发展迅速类型繁多。1980年2月美国电
气和电子工程师学会IEEE成立802课题组研究并制定了局域
网标准IEEE802。 后来国际标准化组织ISO经过讨论。建议将802标准定为局域
网估计标准。
局域网的组建与维护
3
第2章 局域网设计方案 2.1 设计背景 1按实际工作环境来约束所有条件。
2公司总部位于大连网络作为办公所依托的重要资源为公司
提供办公自动化、计算机管理、资源共享及信息交流等全方位的服务
目前公司有大约80个人分为四个部
门总经理室3人财务部6
人市场部40人技术部30人。
3综合布线工程已经完成现在建设局域网部分要求可靠性要
高能满足公司的高速数据传输并且要实现公司内部的统一管理简
化管理员的工作负担。
4公司计划只使用172.16.43.0/24的一个网段包括分公司
需要完成IP划分和VLAN划分。
5公司的财务数据是严格保密的禁止其他部门访问公司的财务
电脑以及服务器禁止财务部访问Internet。而公司其他部门的员工可
以正常访问Internet。上网方式在路由器上使用NAT来完成。
6公司分部在沈阳目前只是一个小型办公场所主要是财务数
据的汇总每天都要向总部报告财务数据这些数据是要严格保密的
禁止分公司的员工访问Internet。
7B公司和公司有长期的业务来往希望能和公司有通信的需求
能互发邮件即可)IP网段的使用。
8公网部分我们是模拟的ISP要求使用OSPF互通尽量使用多区
域的OSPF公网所有的网段只能使用202.96.7.192/26。 2.2 用户需求分析 总公司组织机构分为经理室、财务部、市场部、技术部公司各部
门经理向总经理负责如下表
局域网的组建与维护
4
表1 公司组织结构
按管理方的要求公司大约需要100个信息点具体分布如下如图1
? 财务部 6个信息点
? 机 房 4个信息点
? 经理室 3个信息点
? 技术部 30个信息点
? 市场部 40个信息点
为了做到冗余备用在大厅技术部和市场部预留出17个信息点
图1 信息点分布
1公司总部办公大楼内部网络作为办公所依托的重要资源为公
市场部
经理室
技术部
财务部 局域网的组建与维护
5
司提供办公自动化、计算机管理、资源共享及信息交流等全方位服务
目前的信息点大约有100个今后有扩充的可能
2公司的很多业务依托于网络要求网络的性能满足高效的办公
要求同时对网络的可靠性要求也很高要求在办公时间内网络不能
宕掉因此要考虑冗余备份
3为适应企业将来对各种网络应用的需求另外随着技术和工艺
的进步考虑到目前各类布线材料在价格方面比较接近因此拟对所有
信息点都按超五类UTP标准布线每个信息点可实现不低于100Mb的带
宽这样不仅可支持一般的企业信息管理应用对网络传输带宽的要求
而且完全支持MPEG-2等格式的多媒体信息传输。
4简化作业管理
流程,相对达到无纸办公输入由电脑和鼠标完成
输出则基本由联网打印机完成基本达到了无纸办公。
5所选择的计算机及网络设备具有充分的先进性以适应越来越
多的信息种类及大信息和处理及传输要求
6对网络系统的总存储量及客户机的存储量、以及相应的内存容
量等应考虑一定的余度
7通过使用VTP、STP、HSRP、ACL等相关技术使公司内部实现一
个完善、高效、高可用性和高可靠性的办公网络 2.3 设计原则 1先进性 所选设备都为国际知名网络设备厂家cisco设备型号先进采用
双层分布式结构。
核心层选用包括了思科网络高性能的万兆CiscoWS-C3560-24TS-S
以太网交换机可以实现对全网的数据进行高速无阻塞的交换负责路
由管理、网络管理、网络服务、核心数据处理等。
接入层选用提供上联千兆10/100M桌面接入并在全部采用认证
和流控等手段进行接入控制充分满足用户的高速接入等并可灵活扩
展增加端口密度。选用Cisco WS-C2960-24TT 局域网的组建与维护
6
接口转换器选用VBEL VB-6100S。
2安全可靠性
采用自动绑定、静态绑定、动态绑定相结合可以确保用户入网时
身份唯一并且避免了IP冲突。不同职能的管理者使用同一套系统时可
以得到不同的操作界面以及使用权限避免了管理的安全隐患。统一对
接入层交换机做动态下发安全策略轻松有效的控制网络病毒使网络
保持畅通。结合网络攻击的检测系统能够抵御日益增多的内部网络攻
击并且自动对用户做出相应的控制动作保证网络安全
对工作站、服务器、交换机及其他主要相关设备在厂家、品牌、服
务等方面进行充分调研、论证、选择确保硬件设备的基本品质。 采用
WINDOWS 2008作为网络操作系统保证网络系统和应用系统的安全稳定。
容错技术采用双工磁盘技术。
在网络系统上建立起两套同样的且同步工作的文件服务器如果其
中一个出现故障另一个将立即自动投入系统接替发生故障的文件服
务器的全部工作。
3实用性
性能指标能满足各项业务处理能力。
企业组网的方案在接入交换机将用户账号、MAC地址与端口的捆绑
实现高效的用户控制
4可扩展性
汇聚层采用模块化交换机按照需求灵活配置各种模块做到既满
足需求由留有余地。整个网络架构采用双层结构使网络具有较好的
伸缩性、可以根据网络建设的不同阶段灵活配置和扩展具有能不断吸
收新技术、新方法的功能。
5开放性
本次设计的中央集成管理系统将是一个完全开放性
的系统通过编
制系统的接口软件将解决不同系统和产品间接口协议的“标准化”以
使他们之间具备“互操作性”。所有接口均基于标准的TCP/IP数据接口
协议和内容。系统的开放性设计完全遵循国际主流标准以及工业标准。 局域网的组建与维护
7
第3章 局域网设计实现 3.1 网络体系结构
图2 企业网络总拓扑
图3 办公区域总拓扑 局域网的组建与维护
8
3.2 网络层次划分 核心层核心层位于顶层主要负责可靠和迅速的传输大量的数据
流。用户的数据是在分发层进行处理的如果需要的话分发层会将请
求发送到核心层。如果这一层出现了故障将会影响到每一个用户所以
容错也比较重要在这次设计中运用了HSRP进行容错。在这一层不要做
任何影响通讯流量的事情如访问表vlan和包过滤等。也不要在这一
层接入工作组。当网络扩展时比如添加路由器应该避免扩充核心层。
但是如果核心层的性能成了问题就应该直接升级而不是扩充。在设计
这一层时应该着重考虑传输速率所以最好使用比较优秀的技术。最后
一点是要选择收敛时间短的路由协议否则快速和有冗余的数据链路连
接就没有意义设计中使用OSPF路由协议。
接入层接入层的功能在于将各种媒体、各种速度、任何地方的最
终用户接入IP网络。这一层主要实现各单位终端节点设备的接入。这一
层网络建设可以根据各节点的具体情况分期分批建设。 3.3 网络设备选型 网络设备清单入下表
表2 网络设备清单
产品名称 型号 数量 参考报价
路由器 思科 2851-SEC/K9 22400元/台
三层交换机 CiscoWS-C3560-24TS-S 11500元/台
二层交换机 Cisco WS-C2960-24TT-L 4800元/台 局域网的组建与维护
9
1 网络接入层
Catalyst 2960系列智能以太网交换机(如图4)是一个全新的、固定
配置的独立设备系列提供桌面快速以太网和10/100/1000千兆以太网
连接可为入门级企业、中型市场和分支机构网络提供增强LAN服务。
Catalyst 2960系列具有集成安全特性包括网络准入控制(NAC)、高级
服务质(QoS)和永续性可为网络边缘提供智能服务。
思科 WS-C2960-24TT-L具体参数如下表。
图4 catalyst 2960系列交换机
表3 思科 WS-C2960-24TT-L具体参数
交换机类型 智能交换机
接口类型 10/100/1000Base-Tx
模块化插槽数 2 个
传输速率 10/100/1000 Mbps
接口数量 24个
接口转换器 VBEL VB-6100S(RS 1 2300元/台
防火墙 RG-WALL 50 1 54000元/台 局域网的组建与维护
10
交换方式
存储-转发
背板带宽 16 Gbps
MAC地址表 8 K
内存 64MB
包转发率 6.5Mpps
网络标准 IEEE 802.3, IEEE 802.3u, IEEE
802.1x, .........
网管功能 Web浏览器, SNMP, CLI
传输模式 全双工
额定功率 30 W
电源电压 100-240V
2 网络核心层
Catalyst 3560系列交换机(如图5)是一个采用快速以太网配置
的固定配置、企业级、IEEE 802.3af和思科预标准以太网电源PoE
的交换机提供了可用性、安全性和服务质量QoS功能改进了
网络运营。Catalyst 3560系列是适用于小型企业布线室或分支机构
环境的理想接入层交换机这些环境将其LAN基础设施用于部署全新
产品和应用如IP电话、无线接入点、视频监视、建筑物管理系统
和远程视频信息亭。客户可以部署网络范围的智能服务如高级QoS、
速率限制、访问控制列表、组播管理和高性能IP路由并保持传统局域网的组建与维护
11
LAN交换的简便性。思科WS-C3560-24TS-S具体参数如表4。
图5 Catalyst 3560系列交换机
表4 思科WS-C3560-24TS-S具体参数
接口类型 10/100 BASE-T/ 100Fx
交换机类型 以太网交换机
传输速率 10/100 Mbps
交换方式 存储-转发
背板带宽 32 Gbps
MAC地址表 12288 K
内存/闪存 128MB/16MB
包转发率 6.6 Mpps
网络标准 IEEE 802.3, IEEE IEEE
802.3u,
网管功能 SNMP, CLI, Web 局域网的组建与维护
12
传输模式
全双工
接口数量 24 个
电源电压 100-240V/50-60Hz
模块化插槽数 2 个
配置形式 可堆叠
3.接入ISP 路由器
与价格类似的前几代思科路由器相比Cisco 2800系列(如图3-5)
可以将性能提升五倍将安全和话音性能提升十倍并且可以提供新的
嵌入式服务选项因而可以为客户提供重要的附加值。它可以在大幅度
提升插槽性能和密度的同时支持Cisco 1700和2600系列中现有的90
多种模块。Cisco2851的具体参数如表5。
图6 Cisco 2800系列 表5 Cisco2851的具体参数如
基本规格设备类型
企业级路由器 局域网的组建与维护
13
端口结构
模块化
传输速率 10/100/1000Mbps
最大Flash内存 256MB
最大DRAM内存 1GB
包转发率Mpps 0.04
端口固定局域网接口 x 10/100/1000Mb
支持扩展模块插槽数 4
控制端口 Console
网络支持网络协议 IEEE 802.3X
支持的网管协议 Cisco ClickStartSNMP
其它是否VPN支持 是
是否Qos支持 是
是否内置防火墙 是
外观参数重量(Kg) 11.4 局域网的组建与维护
14
4.防火墙
锐捷RG-WALL 50防火墙具有多线程代理方式,实时的状态监控功能,
动态过滤技术,支持网桥模式和路由模式以及NAT模式,基于网络IP和
MAC地址绑定的包过滤,透明代理,MTBF(平均故障间隔时间):≥50,000
小时,VPN网关,防火墙功能,扩展的状态检测功能,防范入侵. RG-WALL 50
的具体参数入表6。
图7 RG-WALL 50防火墙
表6 RG-WALL 50的具体参数
设备类型 企业级防火墙
电源 AC:100-240V
网络吞吐量 100Mbps
产品尺寸 高44mm
并发连接数 200000
使用环境 工作温度0-40°C
网络端口 CPU:Motorola MPC8
入侵检测 DoS
安全过滤带宽 10Mbps
管理 WEB
VPN支持 支持
安全标准 CE,FCC
控制端口 RS-232 局域网的组建与维护
15
3.4 设备端口划分 (1)核心交换机DL-L3-1和DL-L3-2的f0/23和f0/24接口配置
Ethernet Channel连接方式为Trunk。
(2)DL-L3-1和DL-L3-2的端口f0/1~5用于连接接入层的二层交换机
配置为Trunk.
(3)DL-L3-1和DL-L3-2端口f0/0连接路由器配置为路由接口
(4)接入层交换机端口f0/0用来连接三层交换机配置为Trunk
(5)接入层交换机端口f0/2~10用来连接主机.
表7 具体端口划分如
设备名称 端口 用途 对应设备/端口
DL-L3-1 F0/0 上联路由器 Dl-r,f0/0
DL-L3-1 F0/23-24 以太网通道 Dl-l3-2,f0/23-24
DL-L3-1 F0/1-5 trunk 下联接入层
交换机
Dl-l2-(1~~5),f0/0
DL-L3-2 F0/0 上联路由器 Dl-r,f0/0
DL-L3-2 F0/23-24 以太网通道 Dl-l3-1,f0/23-24
DL-L3-2 F0/1-5 trunk下联接入层
交换机
Dl-l2-(1~~5),f0/1
DL-R e1/0 接入ISP
B-R F0/0 接入内部局域网
B-R F0/1 接入ISP
B-R e1/0 接入ISP
SY-R e1/0 接入ISP
SY-L3 F0/0 上联路由器
SY-L3 F0/1-5 分配到vlan 10
SY-L3 F0/10-18 分配到vlan 20 局域网的组建与维护
16
3.5 网络IP子网划分 子网划分定义Internet组织机构定义了五种IP地址有A、B、C
三类地址。A类网络有126个每个A类网络可能有16777214台主机
它们处于同一广播域。而在同一广播域中有这么多结点是不可能的网
络会因为广播通信而饱和结果造成16777214个地址大部分没有分配出
去。可以把基于类的IP网络进一步分成更小的网络每个子网由路由器
界定并分配一个新的子网网络地址,子网地址是借用基于类的网络地址
的主机部分创建的。把一个大网缩小为若干小网叫子网作动词而
要把一个或几个小网扩大为一个大网叫超网后者一般应用于电信等
其它领域我们不作讨论。划分IP子网有利于我们搞好系统维护合
理配置系统资源减少资源浪费
根据172.16.43.0/24的保留地址划分企业内部局域网属于C类地
址子网掩码255.255.255.0。如表8为具体点各个设备的IP地址划分。
表8 IP地址的规划
设备名称 端口 IP地址 备注
Dl-r F0/0 172.16.43.241/30
Dl-r F0/1 172.16.43.249/30
Dl-r e1/0 20
2.96.7.193/29
B-r F0/0 192.168.1.1/24
B-r e1/0 202.96.7.201/29
B-r F0/1 202.96.7.209/29
Sy-r F0/0 172.16.43.245/30
Sy-r e1/0 202.96.7.217/29 局域网的组建与维护
17
Dl
-l3-1 F0/0 172.16.43.242/30
Dl-l3-1 Vlan 1 172.16.43.255/28 管理IP
Dl-l3-1 Vlan 2 172.16.43.1/26 HSRP虚拟地址
172.16.43.3
Dl-l3-1 Vlan 3 172.16.43.65/26 HSRP虚拟地址
172.16.43.67
Dl-l3-1 Vlan 4 172.16.43.129/27 HSRP虚拟地址
172.16.43.131
Dl-l3-1 Vlan 5 172.16.43.161/27 HSRP虚拟地址
172.16.43.163
Dl-l3-2 F0/0 172.16.43.250/30
Dl-l3-2 Vlan 1 172.16.43.226/28 管理IP
Dl-l3-2 Vlan 2 172.16.43.2/26 HSRP虚拟地址
172.16.43.3
Dl-l3-2 Vlan 3 172.16.43.66/26 HSRP虚拟地址
172.16.43.67
Dl-l3-2 Vlan 4 172.16.43.130/27 HSRP虚拟地址
172.16.43.131
Dl-l3-2 Vlan 5 172.16.43.162/27 HSRP虚拟地址
172.16.43.163
Sy-l3 F0/0 172.16.43.246/30
Sy-l3 Vlan 1 172.16.43.153/30 局域网的组建与维护
18
3.6 vlan的规划 1.VLAN技术的概述及其优点
VLAN虚拟局域网是对连接到的第二层交换机端口的网络用户的
逻辑分段不受网络用户的物理位置限制而根据用户需求进行网络分段。
一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用
户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进
行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、
带宽问题。
传统的共享介质的以太网和交换式的以太网中所有的用户在同一
个广播域中会引起网络性能的下降浪费可贵的带宽而且对广播风
暴的控制和网络安全只能在第三层的路由器上实现。
VLAN相当于OSI参考模型的第二层的广播域能够将广播风暴控制
在一个VLAN内部划分VLAN后由于广播域的缩小网络中广播包消
耗带宽所占的比例大大降低网络的性能得到显著的提高。不同的VLAN
之间的数据传输是通过第三层网络层的路由来实现的因此使用VLAN
技术结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网
络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访
问同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安
全措施。
2Vlan的实现方式
VLAN的实现方式有两种静态和动态。
静态实现是网络管理员将交换机端口分配给某一个VLAN这是一种
最经常使用的配置方式容易实现和监视而且比较安全。
Sy-l3 Vlan 10 172.16.43.193/28
Sy-l3 Vlan 20 172.16.43.209/28 局域网的组建与维护
19
动态实现方式中管理员必须先建立一个较复杂的数据库例如输
入要连接的网络设备的MAC地址及相应的VLAN号这样当网络设备接到
交换机端口时交换机自动把这个网络设备所连接的端口分配给相应的
VLAN。动态VLAN的配置可以基于网络设备的MAC地址、IP地址、应用
或者所使用的协议。实现动态VLAN时候一般情况下使用管理软件来进行
管理。在CISCO交换机上可以使用VLAN管理策略服务器VMPS实现基
于MAC地址的动态VLAN配置。VMPS是MAC地址与VLAN的映射表。这种
配置的优点是网络管理员维护管理相应的数据库而不用关心用户使用
哪一个端口但是每次新用户加入时需要做较复杂的手工配置。
3. vlan设计
在企业局域网的vlan规划中我们更倾向于静态vlan的方式。如
表9为具体vlan规划。
(1)根据用户的需求在整个网络中划分6个VLAN 目的是为了控
制广播的流量并实现一定的安全性。
(2)VLAN ID为2~11 10 20。
(3)VLAN 1为管理VLAN不用作用户VLAN。
表9具体vlan规划
Vlan 名称 Vlan内容 对应的子网
Vlan 1 default 管理vlan 172.16.43.224/28
Vlan 2 Dl-sc 市场部 172.16.43.0/26
Vlan 3 Dl-js 技术部 172.16.43.64/26
Vlan 4 Dl-jl 经理室总 172.16.43.128/27
Vlan 5 Dl-cw 财务部总 172.16.43.160/27
Vlan 10 Sy-jl 经理室分 172.16.43.192/28
Vlan 20 Sy-cw 财务部分 172.16.43.208/28 3.7 以太网交换技术 1以太网交换技术介绍 局域网的组建与维护
20
计算机技术与通信技术的结合促进了计算机局域网络的飞速发展
从六十年代末ALOHA的出现到九十年代中期1000MBPS交换式以太网的登
台亮相短短的三十年间经过了从单工到双工从共享到交换从低速
到高速从简单到复杂从昂贵到普及的飞跃。
八十年代中后期由于通信量的急剧增加促使技术的发展使局
域网的性能越来越高最早的1MBPS的速率已广泛地被今天的100BASE-T
和100CG-ANYLAN替代但是传统的媒体访问方法都局限于使大量的站
点共享对一个公共传输媒体的访问既CSMA/CD。
九十年代初随着计算机性能的提高及通信量的聚增传统局域网
已经愈来愈超出了自身的负荷交换式以太网技术应运而生大大提高
了局域网的性能。与现在基于网桥和路由器的共享媒体的局域网拓扑结
构相比网络交换机能显著的增加带宽。交换技术的加入就可以建立
地理位置相对分散的网络使局域网交换机的每个端口可平行、安全、
同时的互相传输信息而且使局域网可以高度扩充。
a.交换式以太网的工作原理
以太网交换机的原理很简单它检测从以太端口来的数据包的源和
目的地的MAC(介质访问层)地址然后与系统内部的动态查找表进行比
较若数据包的MAC层地址不在查找表中则将该地址加
入查找表中
并将数据包发送给相应的目的端口。
b.交换式以太网技术的优点
交换式以太网不需要改变网络其它硬件包括电缆和用户的网卡
仅需要用交换式交换机改变共享式HUB节省用户网络升级的费用。
可在高速与低速网络间转换实现不同网络的协同。目前大多数交
换式以太网都具有100MBPS的端口通过与之相对应的100MBPS的网卡
接入到服务器上暂时解决了10MBPS的瓶颈成为网络局域网升级时首
选的方案。
它同时提供多个通道比传统的共享式集线器提供更多的带宽传
统的共享式10MBPS/100MPS以太网采用广播式通信方式每次只能在一
对用户间进行通信如果发生碰撞还得重试而交换式以太网允许不同局域网的组建与维护
21
用户间进行传送比如一个16端口的以太网交换机允许16个站点在
8条链路间通信。
特别是在时间响应方面的优点使的局域网交换机倍受青睐。它以
比路由器低的成本却提供了比路由器宽的带宽、高的速度除非有上广
域网(WAN)的要求否则交换机有替代路由器的趋势。
2.太网交换技术类型
以太网交换技术具有许多类型各自宣传其具有不同的优点通过
简单的鼠标即可增加、移动和改变往来落的结构比网桥和路由器更为
有效地进行网络分段为高性能工作站或服务器提供高宽带。网络管理
者渴望采用这些技术但是首先他们想了解各种以太网交换技术。当前
有两种以太网交换技术静态以太网交换和动态以太网交换。
a、静态以太网交换
静态以太网交换是为网络管理者通过软件来完成网络配置的增加、移动
及改变而设计的。静态以太网交换工作与传统的共享式网络环境。所以
称为“静态”是由于需要网络管理员的人工干预既每次网络节点的移
动和增加网络管理员必须通过网络管理软件进行操作。一旦一次静态
交换操作完成用户或工作站将被移到一个新的共享网段并且一直呆
在那里直到另一次新的操作。
b、动态以太网交换
动态以太网交换最初设计思路来源于电话网, 即在一个系统内同时按需
存在许多点-点会话.动态以太网交换可以在不改变标准以太网节点设备
的同时( 即工作站和服务器采用标准的以太网卡,驱动程序,电缆和应用
程序),极大地提高网络的带宽.其工作过程如下:交换机检查来自PC的
数据包; 交换机识别该数据包的源地址和目的地址;交换机动态打开一
专用的10Mbps链路,将包由源地址端口传送至目的地址端口。
3.以太网交换技术实现
上面已讨论了动态交换和静态交换在功能和应用上的基本差
异, 下面将
着重讨论每种交换技术的两种实现方式:
a.动态端口交换 局域网的组建与维护
22
动态端口交换的功能已在前面讲述过,每一端口联接到单一的工作站或
服务器.因为每一端口可被按需赋予一个独立的 10Mbps专用以太网链路,
这样可以赋予每一工作站或服务器更高的网络带宽。
b.动态段交换
动态段交换与动态端口交换的功能相似,通过交换结构,按需提供专用的
端口间10Mbps专用链路.每一动态段交换端口可以连接一个网段(即传
统的共享以太网),而不只是一个工作站或服务。动态段交换通过对大量
MAC地址的识别来完成此功能。用端口连结整个网段,可以使动态段交换
取代现今分段网络中的路由器及网桥。如果网段A的用户在网段内发送
数据包, 交换识别数据为本网段数据包而不允许这些数据包进入其它网
段.但是如果网络段A的用户发送数据包到网络段B,则交换机识别那些
传送至网段B的数据包,分配一专用的10Mbps链路发送数据包到网段
B的目的用户.网络分段,即将一个大的拥挤的网络分成一系列的小型网
络,每一网络具有小的用户和小的流量。
以前网络分段一般是通过网桥和路由器来实现的, 而采用动态段交换对
网络分段比用网桥和路由器更优越,理由如下:
(1)价低。
(2)易管理,而路由器需要QSI协议中网络层的复杂网络管理。
(3)更快速,因为交换只检测其数据包头中的源及目的地址, 而网桥
及路由器则需检测整个包,这样交换所产生的时延比网桥及路由
器小得多。
c静态端口交换
静态端口交换允许网络管理员通过软件将用户工作站从一条共享以太网
总线移到另一条灵活地对网络进行增加,减少所需的交换模块订货量.
例如,在网络上增加8个用户,他们工作于4个不同的部门,在4条不同的
以太网总线上。所有这些用户可以采用
一块单一的端口交换模块来实现.与此相比,以前则需购4 块新的模块并
连到不同的总线,但每个新的模块的大部分端口是未用的,造成低效及浪
费. 局域网的组建与维护
23
d.静态模块交换
静态模块交换也是由软件来实现网络的增加,移动和改变.与静态端口交
换不同的是,静态模块交换是将整个模块(包括模块上的所有端口) 从一
条共享总线移至另一条共线. 3.8 网络流量规划 一个设计成功的企业网其网络流量合理系统各部分负载均衡。那么
什么是网络流量呢网络流量简而言之就是网络上传输的数据量。就像
要根据来往车辆的多少和流向来设计道路的宽度和连接方式一样根据
网络流量设计企业网络是十分必要的。
1.“80 /20”规则
在传统网络中
一般将使用相同应用程序的用户放到同一工作组中他
们经常使用的服务器也放在一起。工作组位于同一物理网段或VLAN虚
拟局域网中。这样做的目的是将网络上客户机与服务器之间产生的数
据流量限制在同一网段中。在同一网段可以使用带宽相对高的交换机
连接客户机和服务器而不必使用带宽相对较低的路由器。
将大部分网络流量控制在本地的这种网络设计模式被称为“80/20规
则”即80%的网络流量是本地流量采用交换机交换数据在同一网
段中传输只有20%的网络流量才需要通过网络主干路由器或三层交
换机。
“80/20”规则中的“80”和“20”不能简单地理解为数字应该理解为
网络流量分布的方式即大部分网络流量局限在本地工作组小部分流
量通过网络主干。因此在实际网络设计中只要大部分网络流量在本地、
小部分网络流量通过主干就认为它符合了“80/20”规则而不管实际
的数字比例是多少。后面谈及的“20/80”规则也是如此。
按照“80/20”规则分支交换机可以使用不支持VLAN的交换机如全
向的QS-6924交换机这样能够大大降低不必要的开支。当然使用支持
VLAN的交换机产品就更好了如果以后想划分子网也比较方便全向系局域网的组建与维护
24
列交换机中带有“V”的型号具有VLAN功能如QS-532V交换机、QS-516V
交换机等。
2.“20/80”规则
随着网络应用的逐渐丰富“80/20”规则已经不能完全满足网络设计的
需要。而一种被称为“集中存储、分布计算”的模式逐渐得到推广。集
中存储就是数据集中在网络中心存储如已经得到普遍使用的Web服
务、电子邮件系统和逐渐流行的VOD视频点播、多媒体资源库等分
布计算就是数据被下载到各个工作站上处理如使用网络上的多媒体
资源库制作多媒体课件等。
在“集中存储、分布计算”的网络应用模式下对网络流量的要求已经
大大偏离了“80/20”规则一种新的规则应运而生这就是“20/80”
规则。在符合“20/80”规则的网络中只有大约20%的网络流量局限在
本地工作组而大约80%网络流量经过网络主干传输。
这种网络流量模式的转变给企业网主干交换机带来了很大的负荷。因
此理想状态下主干交换机应该能够提供与下面连接的支干交换机相匹配
的性能即提供线速三层交换也就是说下面的支干交换机能够跑多
快上面的主干交换机也应该能够跑多快。
同样如果网络中有许多按功能划分的VLAN这些VLAN也很难管理。
在以往的“80/20”规则中服务器往往
分布在VLAN中因此对于各工
作组来说访问起来比较快。但是在“20/80”规则中服务器往往集中
在网络中心因此对于各工作组必须实现跨VLAN的访问。
没有三层交换机VLAN之间无法通信VLAN类似于硬盘的逻辑分区可
以简单地理解为把同一硬盘划分成不同的硬盘盘符。但是与逻辑盘不同
的是VLAN之间通信可不像把文件从一个逻辑盘复制到另一个逻辑盘那
样简单而是必须依靠路由器才能使VLAN之间相互通信。
因此符合“20/80”规则的大中型网络必须使用三层交换机。
在企业网络环境中有的地方“80/20”规则适用数据流量一般局
限在本地子网中如果将专用的服务器架设在网络中心必将大大增加
网络主干的负担。有的地方适用比如电子邮件服务器、Web服务器等局域网的组建与维护
25
是任何网络用户都会使用的就应当放置在网络主干上如果放在某一
个子网中不仅增加该子网的负担其他子网的用户访问起来也会很慢。
此次的局域网设计就比较适合应用“20/80”规则。
局域网的组建与维护
26
第4章 局域网技术应用与网络配置 4.1 交换技术的应用 此次设计运用到的交换技术有vtp,stp,一台通道等如图8为设计
的交换技术规划
图8 交换技术规划 4.1.1 vtp应用 VTPVLAN Trunking Protocol是VLAN中继协议也被称为虚拟
局域网干道协议。它是思科私有协议。它是一个OSI参考模型第二层的
通信协议主要用于管理在同一个域的网络范围内VLAN的建立、删除和
重命名。在一台VTP Server 上配置一个新的VLAN时该VLAN的配置
信息将自动传播到本域内的其他所有交换机。这些交换机会自动地接收
这些配置信息使其VLAN的配置与VTP Server保持一致从而减少在
多台设备上配置同一个VLAN信息的工作量而且保持了VLAN配置的统
一性。 局域网的组建与维护
27
由于本次设计交换机数量较多而各接入层交换机配置命令基本相
同.为实现单个控制点配置和管理整个网络中VLAN决定采用VTP
1.vtp的设计:
(1)VTP的域名为DLA。
(2)VTP版本为v2。
(3)VTP域口令为cisco。
(4)VTP修剪设为启用。
(5)VTP server包括dl-l3-1,dl-l3-2。
(6)VTP client包括da-l2-1~~5。
其中采用修剪来减少vlan的广播数据流量的扩散vtp口令保证了
vtp域的安全以防止vlan被错误或恶意的增加删除
2.vtp的主要配置
Dl-l3-1(config)#vlan 2 name dl-sc
Dl-l3-1(config)#vtp version 2
Dl-l3-1(config)#vtp domain dla
Dl-l3-1(config)#vtp pruning
Dl-l3-1(config)#vtp pa
ssword cisco
Dl-l3-2的配置与Dl-l3-1类似。 4.1.2 stp应用 STPSpanning Tree Protocol是生成树协议的英文缩写。该协议
可应用于环路网络通过一定的算法实现路径冗余同时将环路网络修
剪成无环路的树型网络从而消除网络中的环路避免由于环路的存在
而造成广播风暴问题。生成树协议适合所有厂商的网络设备在配置上
和体现功能强度上有所差别但是在原理和应用效果是一致的。该协议
的原理是按照树的结构来构造网络拓扑。该协议使用BPDU报文传递生成
树信息。
由于设计各交换网络采用环状的物理链路提供备份线路而可能造局域网的组建与维护
28
成广播风暴的产生决定采用STP提高网络的可靠性和负载分担。
1.stp的设计
(1)Cisco交换机支持每个vlan的生成树pvst,在本方案中我门也将
采取这种方式为每个vlan启用一个stp。
(2)交换机dl-l3-1为vlan2和4的根网桥。
(3)交换机dl-l3-2为vlan3和5的根网桥。
2.STP主要配置:
Dl-l3-1(config)#spanning-tree vlan 2 root primary
Dl-l3-1(config)#spanning-tree vlan 4 root primary
Dl-l3-2(config)#spanning-tree vlan 3 root primary
Dl-l3-2(config)#spanning-tree vlan 5 root primary 4.1.3 以太通道应用 以太通道也称为以太端口捆绑、端口聚集或以太链路聚集. 以太通
道为交换机提供了端口捆绑的技术允许两个交换机之间通过两个或多
个端口并行连接同时传输数据以提供更高的带宽.
由于STP的应用当存在2条物理链路时虽然实现相互备份却
不能同时使用链路带宽为提高链路带宽决定在3层交换机上采用
Ethernet Channel。
Ethernet chanel 配置命令:
Dl-l3-1(config)#interface range f0/23 -24
Dl-l3-1(config-range-if)#swichport mode trunk
Dl-l3-1(config-range-if)#channel-group 1 mode on
Dl-l3-2的配置与Dl-l3-1类似。 VLAN间路由 原本是通过单臂路由来实现vlan间的路由但随着网络的庞大在局域网的组建与维护
29
交换机上划分VLAN的数量不断增多会使路由器和交换机之间的链路形
成瓶颈在单臂路由的一条物理链路已无法承载多条VLAN流量同时占
用链路带宽决定采用三层交换技术实现数据包的高速转发和VLAN间路
由两台核心交换机各自为vlan设计管理ip,启用路由转发功能此ip
也是vlan内部pc的网关使VLAN之间便于互相通信
三层交换主要配置:
Dl-l3-1(config)#vlan 2
Dl-l3-1(config-vlan)#vlan 4
Dl-l3-1(config-vlan)#exit
Dl-l3-1(config)#interface range f0/1 -3
Dl-l3-1(config)#switchport access vlan 2
Dl-l3-1(config)#interface range f0/4 -5
Dl-l3-1(config)#switchport access vlan 4
Dl-l3-1(config)#interface f0/1
Dl-l3-1(config-if)#switchprot mode t
runk
Dl-l3-1(config)#interface f0/0
Dl-l3-1(config-if)#no switchport
Dl-l3-1(config-if)#ip address 172.16.43.242 255.255.255.240
Dl-l3-1(config)#ip routing
Dl-l3-1(config)#interface vlan 1
Dl-l3-1(config-if)#ip address 172.16.43.225 255.255.255.192
Dl-l3-1(config)#interface vlan 2
Dl-l3-1(config-if)#ip address 172.16.43.1 255.255.255.192
Dl-l3-1(config)#interface vlan 3
Dl-l3-1(config-if)#ip address 172.16.43.65 255.255.255.192
Dl-l3-1(config)#interface vlan 4
Dl-l3-1(config-if)#ip address 172.16.43.129 255.255.255.224
Dl-l3-1(config)#interface vlan 5
Dl-l3-1(config-if)#ip address 172.16.43.161 255.255.255.224 局域网的组建与维护
30
Dl-l3-1(config)#ip route 0.0.0.0 0.0.0.0 172.16.43.241
Dl-l3-2的配置与Dl-l3-1类似。 4.2 路由技术的应用 本次设计使用了OSPF路由协议并且考虑到安全和冗余等因素添加了VPN,ACL,HSRP等技术符合了局域网的设计原则加强了网络的可
管理型安全性与冗余。 4.2.1 OSPG区域规划 OSPF(Open Shortest Path First开放式最短路径优先是一个内部
网关协议(Interior Gateway Protocol简称IGP用于在单一自治系
统autonomous system,AS内决策路由。OSPF的协议管理距离AD
是110。为了解决OSPF算法的频繁路由表过大路由链路状态数据库
过大的问题划分了OSPF区域
1.具体划分原则
(1)模拟ISP属于骨干区域0
(2)路由器ID的对照如表4-1。
表10 路由器ID对照
设备名称 LOOPback地址
Dl-l3-1 1.1.1.1
Dl-l3-2 2.2.2.2
Dl-r 3.3.3.3
B-r 4.4.4.4 局域网的组建与维护
31
Sy
-r 5.5.5.5
2.OSPF的配置
DL-R(config)#interface e0/0
DL-R(config-if)#ip address 202.96.7.193 255.255.255.252
DL-R(config-if)#no sh
DL-R(config-if)#exit
DL-R(config)#router ospf 1
DL-R(config-route)#router-id 3.3.3.3
DL-R(config-route)#network 202.96.7.193 0.0.0.7 area 0 4.2.2 NAT的应用 网络地址转换(NAT,Network Address Translation)属接入广域网
(WAN)技术是一种将私有保留地址转化为合法IP地址的转换技术
它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因
很简单NAT不仅完美地解决了lP地址不足的问题而且还能够有效地
避免来自网络外部的攻击隐藏并保护网络内部的计算机。
由于A公司总部仅仅申请个公有ip地址为实现公司内部员工访
问Internet决定采用NAT技术将私有的企业局域网透明地连接到公
有网络
1NAT的设计
(1)公司申请了一条10M的光纤接入链路来接入因特网以实现对因
特网接入的高带宽高速度的要求分公司同样。
(2)总公司的外部IP地址202.96.7.193/29。
(3)分公司的外部IP地址202.96.7.217/29。
(4)使用NAT的优点节省公网IP以ACL增加灵活性安全性。
(5)在总公司和分公司的两台路由器上都启用复用内部LAN的地址。
2.NAT的配置命令 局域网的组建与维护
32
DL-R(config)#interface e1/0
DL-R(config-if)#ip address 202.96.7.193 255.255.255.240
DL-R(config-if)#no sh
DL-R(config-if)#exit
DL-R(config)#access-list 101 deny 172.16.43.160 0.0.0.31
172.16.43.109 0.0.0.15
DL-R(config)#access-list 101 permit any any
DL-R(config)#ip nat inside source list 1 interface e1/0
overload
DL-R(config)#interface f0/0
DL-R(config-if)#ip nat inside
DL-R(config)#interface e1/0
DL-R(config-if)#ip nat outside
沈阳分公司路由SY-r配置命令类似 4.2.3 VPN的应用 虚拟专用网络Virtual Private Network 简称VPN)指的是在公
用网络上建立专用网络的技术。其之所以称为虚拟网主要是因为整个
VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物
理链路而是架构在公用网络服务商所提供的网络平台如Internet、
Frame Relay等之上的逻辑网络用户数据在逻辑链路中传输。 由于分公司经常与A公司总部进行财务数据汇总而这些数据在互
联网中的传递是及为不安全的为实现数据的保密性及完整性决定在
两个公司之间搭建VPN隧道。在dl-r的e1/0和sy-r的e1/0上启用
1.架设VPN的优点
(1)是架设在广域网上的虚拟专用网络。
(2)VPN只为特定的企业或群体所专用。
(3)费用低不需要租用专线。 局域网的组建与维护
33
(4)结构灵活可以灵活方便的增加或删除接点。
(5)使网络管理简单化。
(6)利用虚拟隧道技术提供网络连接使拓扑结构简单明。
2.VPN配置命令:
DL-R(config)#crypto isakmp policy 1
DL-R(config-isakmp)#authentication pre-share
DL-R(config-isakmp)#hash md5
DL-R(config-isakmp)#crypto isakmp key cisco address
202.96.7.217
DL-R(config)#access list 101 permit ip 202.96.7.193 0.0.0.15
202.96.7.217 0.0.0.15
DL-R(config)#crypto ipsec transform-set a ah-md5-hmac esp-des
DL-R(config)#crypto map a ipsec-isakmp
DL-R(config-crypto-map)#set peer 202.96.7.217
DL-R(config-crypto-map)#set transform-set a
DL-R(config)#interface e1/0
DL-R(config-if)#crypto map a
SY-R配置命令与DL-R类似 4.2.4 ACL的应用 访问控制列表Access Control ListACL 是路由器和交换机接
口的指令列表用来控制端口进出的数据包。由于A公司总部及分公司
财务数据是保密的公司其他部门不能访问财务部同时禁止财务部访
问互联网决定采用ACL通过过滤数据包提高网络的安全性
1.ACL的设计
(1)禁止财务部访问Internet。
(2)禁止其他部门访问公司的财务电脑以及服务器。
(3)公司其他部门的员工可以正常访问Internet。 局域
网的组建与维护
34
(4)分公司向总部报告财务数据。
(5)禁止分公司的员工访问Internet。
2.ACL的配置:
Dl-l3-1(config)#access list 101 deny ip 172.16.43.0 0.0.0.63
172.16.43.160 0.0.0.31
Dl-l3-1(config)#access list 101 permit any
Dl-l3-1(config)#interface vlan 2
Dl-l3-1(config-if)#ip access-group 101 in
Dl-l3-1(config)#access list 102 deny ip 172.16.43.64 0.0.0.63
172.16.43.160 0.0.0.31
Dl-l3-1(config)#access list 102 permit any
Dl-l3-1(config)#interface vlan 3
Dl-l3-1(config-if)#ip access-group 102 in
Dl-l3-1(config)#access list 103 permit any
Dl-l3-1(config)#interface vlan 4
Dl-l3-1(config)#ip access-group 103 in
Dl-l3-2配置命令类似 4.2.5 HSRP设计 HSRP热备份路由器协议HSRPHot Standby Router Protocol
是cisco平台一种特有的技术是cisco的私有协议热备份路由器协议。
HSRP的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并
允许主机使用单路由器以及即使在实际第一跳路由器使用失败的情形
下仍能维护路由器间的连通性。换句话说当源主机不能动态知道第一
跳路由器的 IP 地址时HSRP 协议能够保护第一跳路由器不出故障。
由于配置STP只能指定一台三层交换机的网关当一台交换机出
现故障时主机无法切换网关决定采用HSRP技术
1.HSRP的设计 局域网的组建与维护
35
A公司在两台核心的三层交换机上启用热备份路由器协议HSRP)
其设计目标是支持特定情况下IP流量可以从故障设备切换到其他设备
而不引起混乱并允许主机使用单路由器作为网关在实际第一跳路由
器使用失败的情况下仍能保持与网络的连通
2.HSRP配置:
DL-L3-1:
Dl-l3-1(config)#interface vlan 2
Dl-l3-1(config-if)#standby 2 ip 172.16.43.3
Dl-l3-1(config)#standby 2 prioirly 200
Dl-l3-1(config)#standby 2 preempt
Dl-l3-1(config)#standby 2 track interface f0/0 80
Dl-l3-1(config)#interface vlan 4
Dl-l3-1(config-if)#standby 4 ip 172.16.43.131
Dl-l3-1(config)#standby 4 prioirly 200
Dl-l3-1(config)#standby 4 preempt
Dl-l3-1(config)#standby 4 track interface f0/0 80
Dl-l3-1(config)#interface vlan 3
Dl-l3-1(config-if)#standby 3 ip 172.16.43.67
Dl-l3-1(config)#standby 3 prioirly 150
Dl-l3-1(config)#standby 3 preempt
Dl-l3-1(config)#standby 3 track interface f0/0 80
Dl-l3-1(config)#interface vlan 5
Dl-l3-1(config-if)#standby 5 ip 172.16.43.163
Dl-l3-1(config)#standby 5 prioirly 150
Dl-l3-1(config)#standby 5 preempt
Dl-l3-1(config)#standby 5 track interface f0/0 80
DL-L3-2:
Dl-l3-2(config)#interface vlan 3
Dl-l3-2(config-if)#standby 3 ip 172.16.43.67 局域网的组建与维护
36
Dl-l3-2(config)#standby 3 prioirly 200
Dl-l3-2(config)#standby 3 preempt
Dl-l3-2(config)#standby 3 track interface f0/0 80
Dl-l3-2(config)#interface vlan 5
Dl-l3-2(config-if)#standby 5 ip 172.16.43.163
Dl-l3-2(config)#standby 5 prioirly 200
Dl-l3-2(config)#standby 5 preempt
Dl-l3-2(config)#standby 5 track interface f0/0 80
Dl-l3-2(config)#interface vlan 2
Dl-l3-2(config-if)#standby 2 ip 172.16.43.3
Dl-l3-2(config)#standby 2 prioirly 150
Dl-l3-2(config)#standby 2 preempt
Dl-l3-2(config)#standby 2 track interface f0/0 80
Dl-l3-2(config)#interface vlan 4
Dl-l3-2(config-if)#standby 4 ip 172.16.43.131
Dl-l3-2(config)#standby 4 prioirly 150
Dl-l3-2(config)#standby 4 preempt
Dl-l3-2(config)#standby 4 track interface f0/0 80
局域网的组建与维护
37
第5章 局域网的维护 5.1 软件系统 信息技术的发展软件自身的安全也引起大量关注软件安全主要
分为系统软件、应用软件。
目前主要的系统软件主要有windows操作系统netware操作系统、
unix操作系统、linux操作系统。我们都知道系统通常有漏洞补丁有
些不法分子就是通过利用系统的漏洞进行攻击盗窃信息我们要经常
关注系统开发公司的系统漏洞补丁并打好漏洞补丁定时对系统进行
升级。个人建议购买正版软件使用。
应该软件包括很多种类我们在下载安装是要从正当软件下载网站
或软件开发公司进行下载安装不要到不明网站下载。另外也要对应
用软件进行升级还要打软件补丁。 5.2 硬件系统 网络安全在硬件上的措施就是使其网络的物理安全如设备安全、
机房安全等。我们在够买网络硬件设备时应该选择性能可靠、技术成
熟、质量过硬、售后服务好的企业铲平在选择网络设备时要检查是否
夹带非法零件。选择好的硬件也将为网络安全起到一定的安全防范作用。
1网卡安装与维护
首先要确定所有网卡被该操作系统支持并且使用了正确的网卡驱
动程序。假如配置后重启系统错误或使用winipcfg检查不到网卡的配
置信息说明网卡根本没有配操作系统检测到。对于ISA接口的网卡
可以使用网卡所带的设置程序在纯DOS环境下正确设置其中断、输入/
输出地址范围等参数。有条线的网卡要根基网卡说明书调整条线确保
条线设置正确。对于PCI接口的网卡可更换插槽试试。待配置结束后局域网的组建与维护
38
重启系统再次检查网卡是否正常。网卡在重启是正常检测但不能同
其他机器互联。这主要是犹豫子网掩码或IP地址配置错误、网线不通、
网络协议错误、路由错误等几种情况造成。解决方法是首先ping 本网
卡的回送地址若通则说明本机TCP/IP工作正常若不通则需要重
新配置并重启电脑。有些网卡缺省设
置其速率为100M也会导致网络不
通需要根据所连HUB或SWITCH口的速率将其速率设置为10M、100M
或没成自适应网线速率
2.网络检查与维护
网络互连系统主要指网络的链接转发设备包括交换机路由器等。
(1)检测交换机故障。
交换机的状态指示灯加入闪烁或常亮黄灯、表明数据包在网络上有
阻塞情况、需要检查同一局域网中是否有重复的IP地址分配活局域网
IP地址分割有交叉。假如网线和主机都没有问题则应测量网络设备的
地线和零线之间的电压加入电压超过3V则表明HUB或交换机的供电系
统有问题静电不能及时释放干扰了数据信号
(2)检测路由故障
利用MIB变量浏览器用他手机路由器的路由表端口流量数据
计费数据路由器CPU的温度、负载以及路由器的内存余量等数据通
常情况下网络治理系统有专门的治理锦程不断地检测路由器的关键数
据并及时给出警告。另外如果两个路由器直接连接应将一台路由
器的出口连接另一台路由器的入口。
(3)网络连线故障
网络连线是局域网的血管没有他们信息就无法流通。网络某条
线路突然中断用ping或fping检查线路在血管中心这边是否连通若
连续几次ping命令都出现request time out信息表明网络不通。联
系故障同城包括网络先内部断裂双绞线和RJ-45水晶头接触不良以及
双绞线是否采用标准线序连接等。
3建立防火墙
在内部网络通过安全网卡访问外部网络时将产生一个映射记录。局域网的组建与维护
39
系统将外出的源地址和源端口映射为一个伪装的地址和端口让这个伪
装的地址和端口通过非安全网卡与外部网络连接这样对外就隐藏了真
实的内部网络地址。在外部网络通过非安全网卡访问内部网络时它并
不知道内部网络的连接情况而只是通过一个开放的IP地址和端口来请
求访问。防火墙根据预先定义好的映射规则来判断这个访问是否安全。
当符合规则时防火墙认为访问是安全的可以接受访问请求也可以
将连接请求映射到不同的内部计算机中。当不符合规则时防火墙认为
该访问是不安全的不能被接受防火墙将屏蔽外部的连接请求。网络
地址转换的过程对于用户来说是透明的不需要用户进行设置用户只
要进行常规操作即可。本次设计中使用的锐捷RG-WALL 50防火墙具有多
线程代理方式,实时的状态监控功能,动态过滤技术,支持网桥模式和路
由模式以及NAT模式等安全技术有效防范了非安全访问和恶性攻击。 5.3 故障诊断 5.3.1 故障类型 1物理故障
物理故障是指设备或者