VPN在企业局域网中构建运用.docx
- 文档编号:18473047
- 上传时间:2023-08-18
- 格式:DOCX
- 页数:22
- 大小:429.33KB
VPN在企业局域网中构建运用.docx
《VPN在企业局域网中构建运用.docx》由会员分享,可在线阅读,更多相关《VPN在企业局域网中构建运用.docx(22页珍藏版)》请在冰点文库上搜索。
VPN在企业局域网中构建运用
VLAN、VPN在企业局域网中的构建与运用
设计背景
成都会展中心是成都市人民政府和美国加州集团投资集展览、会议、酒店、旅游一体的大型股份制企业。
企业内部门多,经营站点多,各方面对计算机网络的需求复杂,要求对各经营部门和经营点全部采用计算机化管理。
设计计算机网络时,要考虑满足功能需求和扩展性好。
利于计算机化管理,提高效率和节约成本。
四川九寨天堂是成都会展中心在九寨沟甘海子镇投资20亿元人民币集旅游、会议、酒店、景区、温泉为一体的超五星级酒店,同样对网络的需求复杂,扩展性好,计算机网络上承载的业务众多。
同时要求和成都总部进行数据通信<包括酒店业务、财务系统、人事工资管理等管理软件),语音通信<通过两地局域网互连再和两地单位内电话程控交换机相连,用于承载VoIP,满足成都总部和九寨天堂内部IP电话通信需求,节约费用)。
b5E2RGbCAP
设计总体原则
在设计时,因为成都总部是在原有老网络基础上改造的,要保护原先的网络投资,并要添加新的网络设备,增加网络交换性能。
九寨天堂则是全新设计的网络,在设计时,按照IEEE802有关快速以太网的标准和结合本单位的实际来执行,要考虑网络的可扩展性,安全性、稳定性。
采用的网络设备技术先进,实用性高,配置容易,网络可靠性要好。
采购设备时,考虑采用3COM、华为、d-link公司知名的一系列交换机和路由器等网络设备,来保障安全、高可扩展、技术先进、网络可靠。
因为业务的需要,要求成都会展和九寨天堂两地局域网必须联网,并且数据是实时传输,要求数据传输必须安全。
基于要求,中国移动光纤线路能满足两地互相通讯的需求,同时通过路由器走VPN,对通过VPN数据加密,满足数据安全的要求。
申请中国电信线路DDN,作为备份线路。
当一条线路出现问题,另一条线路自动切换。
在两地局域网内进行VLAN划分,使有需求的VLAN段可以相互通信,同时阻隔广播风暴,所以在两地需各放置一台三层交换机<3com4050)满足各的需求。
两地的局域网都采用星型结构,呈发散型分布。
通过副机房汇聚各应用站点交换机,中心机房和副机房之间采用1000M单模光纤连接,服务器和三层交换机之间采用6类1000M双绞线连接。
一般的应用站点交换机采用100M双绞线或者光纤连接中心三层交换机。
基于安全和稳定考虑,主干线路都采取冗余线路,来保证整个局域网的正常运行。
p1EanqFDPw
第一部分VLAN
第一章VLAN的基础知识
1、什么是VLAN
VLAN是VirtualLAN,虚拟局域网的缩写,是一种不需要增加额外网络设备,就可以实现网络的分层技术,被大型大型网络广泛使用,IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
VLAN可以允许网络管理员取消过去的物理限制,并对用户的第3层网络地址进行控制,而不管它处在网络中的哪个位置。
VLAN的优势包括加强网络的安全性能、易于控制广播和能够分布通信量。
VLAN的出现打破了传统网络的许多固有观念,使网络结构变得灵活、方便、随心所欲。
VLAN就是不考虑用户的物理位置而根据功能、应用等因素将用户逻辑上划分为一个个功能相对独立的工作组,每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。
同一个VLAN中的成员都共享广播,而不同VLAN之间广播信息是相互隔离的。
这样,将整个网络分割成多个不同的广播域。
减少了广播量,提高通讯效率。
DXDiTa9E3d
2、VLAN之前的局域网
大而平的网络结构——每个端口设备都暴露在整个网络中,网络广播风暴极易产生,重要站点的安全性也是一个问题。
网络分段依赖于网络的物理划分,不利于企业频繁的业务变化不存在冗余路径,也无法实现数据的负载均衡。
RTCrpUDGiT
3、VLAN划分后局域网带来的改良
A、控制广播风暴
局域网分割出了多个广播域,平的网络出现了分层,一个VLAN中的所有设备都在同一个广播域基于端口的VLAN设置,一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。
5PCzVD7HxA
B、网络有效的带宽利用
包括广播和多点广播在内的多媒体数据流被限制在逻辑子网内。
在交换机中用“组播组”动态定义VLAN,并且自动把“组报文”复制到同一VLAN中的终端,大大提高了多媒体数据的实时性,有效利用带宽,降低网络因拥挤而阻塞的可能。
对故障组件的隔离,限制在一个VLAN上的有限几台设备。
jLBHrnAILg
C、网络安全性的提高
不同的VLAN的通信可通过路由设备设置安全和过滤功能,通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性xHAQX74J0X
D、网络管理简单、直观
对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。
而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。
在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。
利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。
在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。
LDAYtRyKfE
4、VLAN组网的条件
VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。
当网络中的不同VLAN间进行相互通信时,VLAN之间的通讯是需要路由设备或者三层交换机。
需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成。
基于安全性和控制广播风暴,也需要VLANZzz6ZB2Ltk
5、划分VLAN的基本策略
从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:
1、基于端口的VLAN划分
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。
该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
dvzfvkwMI1
2、基于MAC地址的VLAN划分
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。
MAC地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标识。
网络管理员可按MAC地址把一些站点划分为一个逻辑子网。
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组。
这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。
而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。
rqyn14ZNXI
3、基于路由的VLAN划分
路由协议工作在网络层,相应的工作设备有路由器和路由交换机<即三层交换机)。
该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
EmxvxOtOco
4、根据IP组播划分VLAN
IP组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
SixE2yXPq5
就目前来说,对于VLAN的划分主要采取上述第1、3种方式,第2、4种方式为辅助性的方案。
6、VLAN的实现
VLANtagging技术是VLAN实现的关键
IEEE802.1Q标准作为802.1D桥接规范的一部分,它使不同厂家的交换机之间传递VLAN信息成为可能。
IEEE802.1Q在媒介访问控制子层 VLAN帧标记方法 Frame 方向 TagPort Untagport TagedFrame In unchange unchange Out unchange 去标记 UntagedFrame In unchange unchange Out 打标记 unchange Tagging: 将802.1QVLAN的信息加入数据包的包头。 具有加标记能力的端口会将VID、优先级和其他VLAN信息加入到所有进出该端口的数据包内,如果数据包已经被标志过了,那么,端口将不对该数据包改动,保持原有的VLAN信息。 kavU42VRUs Untagging: 将802.1QVLAN的信息从数据包的包头去掉的操作,具有去标记能力的端口将VID、优先级和其他VLAN信息从所有进出该端口的数据包头中去掉,如果数据包没有被标记过,端口将不对该数据包改动。 y6v3ALoS89 第二章: 三层交换技术 1、三层交换技术 A、三层交换技术的产生 二层交换技术从网桥发展到VLAN<虚拟局域网),在局域网建设和改造中得到了广泛的应用。 第二层交换技术是工作在OSI七层网络模型中的第二层,即数据链路层。 它按照所接收到数据包的目的MAC地址来进行转发,对于网络层或者高层协议来说是透明的。 它不处理网络层的IP地址,不处理高层协议的诸如TCP、UDP的端口地址,它只需要数据包的物理地址即MAC地址,数据交换是靠硬件来实现的,其速度相当快,这是二层交换的一个显著的优点。 但是,它不能处理不同IP子网之间的数据交换。 传统的路由器在网络中有路由转发、防火墙、隔离广播等作用,而在一个划分了VLAN以后的网络中,逻辑上划分的不同网段之间通信仍然要通过路由器转发。 由于在局域网上,不同VLAN之间的通信数据量是很大的,这样,如果路由器要对每一个数据包都路由一次,随着网络上数据量的不断增大,路由器将不堪重负,路由器将成为整个网络的瓶颈。 M2ub6vSTnP 在这种情况下,出现了第三层交换技术,三层交换处于OSI模型的第三层,三层交换机除具有二层交换机的所有功能以外,同时在第三层还具有部分路由器的功能。 它是将路由技术与交换技术合二为一的技术。 三层交换机在对第一个数据流进行路由后,会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。 可见,三层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能。 因此,在划有VLAN的局域网中,一般都要采用三层交换机来实现各VLAN的通信。 。 0YujCfmUCw B、三层交换的特点 1、线速路由 2、二.三层功能有机结合 3、多个子网互联时,不需要增加端口,保护用户的投资 4、路由自动发现,配置简单 5、提供访问控制列表,实现过滤功能 6、访问控制列表可以限制不同的VLAN的成员之间的访问策略 7、采用QoS,满足语音、视频等多媒体通信的需求 8、线速路由 和传统的路由器相比,三层交换机路由速度一般要快十倍或数十倍,能实现线速路由转发,传统路由器采用软件来维护路由表,而三层交换机采用ASIC eUts8ZQVRd 9、二、三层功能有机结合 除了少数的数据包走三层路由外,大部分数据由第二层交换处理。 C、三层交换的工作原理 假设两个使用IP协议的站点A、B通过三层交换机进行通信,发送站点A在开始发送时,把自己的IP地址与B站点的IP地址进行比较,判断B站是否和自己在同一子网内。 若目的站B与发送站A在同一子网内,则进行二层的转发。 sQsAEJkW5T 若两个站点不在同一子网内,如发送站A要与目的站B通信,如图所示 三层交换机原理图 步骤一、发送站A要想“缺省网关”<三层模块地址)发出ARP<地址解读)封包,交换机收到一个A要到达B的数据帧,并查看数据帧的目的的MAC地址,如果缓存有相应的条目,就可以根据相应条目直接使用快速交换技术完成三层数据路由,如果没有相应条目。 则执行步骤二。 GMsIasNXkA 步骤二: 二层交换模块将数据帧转入三层交换模块,根据三层路由协议找到目的的路径,并重新改变二层的源MAC地址,并将三层相应的路由路径映射成二层条目信息条目。 TIrRGchYzg 步骤三: 三层交换模块将生成的条目回传到二层交换模块的相应缓存中。 步骤四: 二层交换模块根据三层模块回传的条目,来比较后续的数据帧的目的地址,如果数据帧中的目的地址与缓存相匹配则执行步骤五,否则执行步骤一。 7EqZcWLZNX 步骤五: 如果进入交换机的数据帧的目的与二层缓存的比较,如果匹配数据帧将直接进入二层交换,旁路三层路由,完成快速的三层交换。 lzq7IGf02E 从以上可以看到,当A向B发送的数据包便全部交给二层交换处理,信息得以告诉交换。 由于大部分数据都通过二层交换转发,因此三层交换机的处理速度很快,接近二层交换机的速度,从二实现“一次路由,多次交换”的快速交换。 zvpgeqJ1hk 第三章工程实施 一、工程实施设备 A、九寨天堂 九寨天堂位于九寨沟甘海子,是一座按5星级标准修建,具有浓郁藏羌民族风格的酒店。 由于分布地域比较广,各经营点比较分散,故设了一个主机房,一个副机房,各经营点交换机到主副机房,主副机房之间都采用单模光纤,通过光纤口相互连接,并采取冗余线路方式。 采用设备如下: NrpoJac3v1 1台3COM公司的3C4050核心三层交换机及4个GBIC92千兆单模光纤接口,1台3COM公司可管理的3C4400SE边缘交换机及一个1000M单模光纤接口,16台D-LINK公司的3226S可管理的交换机及其单模光纤模块T-132。 单模光端机10台,可传输距离为70KM,1台华为公司的2631E企业级路由器(2个以太网口,一个serial口<用于DDN),4端口FXS<用于VOIP)>。 1nowfTG4KI 中心机房采用3COM公司的三层交换机3C4050,3ComSwitch4050交换机专为满足企业网络核心骨干的苛刻要求而设计,设计紧凑的2RU高度机架式设备-配有6个1000BASE-SX端口和6个GBIC端口<用于骨干连接)以及12个用于连接服务器的集成式10/100/1000端口。 3ComSwitch4050交换机供特性丰富的第二层功能、IP网络第三层交换以及高级流量优先级划分能力和安全功能,可满足核心千兆骨干链路不断增长的需求。 提供56Gbps多层交换容量,跨所有端口提供线速性能,转发速率超过4100万pps。 fjnFLDa5Zo 3C4050第三层交换功能-如使用静态路由、RIP/RIPv2和CIDR的点播IP路由-有助于增强性能,提供网络控制和安全性,和实现VLAN间的路由tfnNhnE6e5 副机房采用主干交换机采用3COM3C4400SE,该交换机可管理提供全线速的交换性能。 24端口交换机的传输速率可达660万包每秒,2个可扩展端口,可插入1000M光纤或电口模块,具有8.8Gbps交换能力。 HbmVN777sL 各经营点交换机采用d-link公司的d-link3226s交换机d-link3326S是一款把二层线速交换与基本的三层IP数据包路由和QoS(服务质量>结合的可堆叠多层路由交换机,,该交换机提供24个10/100M自适应端口,网速全/半双工自动协商。 每个端口可与工作站或打印服务器相连,独享带宽。 所有端口均支持自动MDI-II/MDI-X上行连接,允许用户从任何一个端口连接到工作站、服务器或其它交换机,而不需改变通常的双绞线直连方式。 提供一个扩展插槽用来插光纤或电口模块。 通过网段划分,支持IEEE802.1QVLAN标记与交换机连接的工作组可以被分组到不同的虚拟局域网 该交换机同样支持GVRP(GARPVLAN注册协议>自动配置VLAN。 V7l4jRB8Hs B、成都会展中心 成都会展中心由于有老的网络,为保障原有的投资,保留了原先的2台中心交换机3COM3300FX,作为副机房的交换机<支持vlan),添加了一台3COM公司的3C4050交换机作为中心机房的骨干三层交换机。 增加可网管的二层交换机D-LINK3226S,保留原先不可管理交换机,作为接入可网管交换机的一个VLAN端口到桌面。 1台华为2631E路由器,10台D-LINK3226S交换机。 其他和九寨天堂设备基本相同。 83lcPA59W9 二、寨天堂和成都会展的网络结构 九寨天堂和成都会展基于稳定、安全、高效的原则,都采用星型结构网络,呈发散型状。 以下是九寨天堂和成都会展网络拓扑结构图。 mZkklkzaaP 三、VLAN的规划设计 九寨天堂局域网网络地域分布较广,用户比较多,信息点众多,为了使网络高效、安全、可靠的运行,而且便于管理和维护,整体的局域网的VLAN划分采用基于端口模式的VLAN划分。 AVktR43bpw A、首先按照在局域网上运行的不同系统划分。 共有5个不同的网络,分别是酒店业务网络、财务网络、办公网络、计算中心网络、外单位网络、移动用网络。 ORjBnOwcEd VLAN表划分如下: 编号(VLAN-ID> 说明 IP段 色标 150 酒店业务系统网络 192.168.150.0/24 151 财务网络 192.168.151.0/24 152 计算中心网络 192.168.152.0/24 153 办公网络 192.168.153.0/24 154 外单位网络 192.168.154.0/24 155 移动用网络 192.168.155.0/24 Default Default 无 B、按照交换机所属网络种类来分。 1酒店业务类交换机 端口 1 3 5 7 9 11 13 15 17 19 21 23 V-LAN-ID 150 150 150 150 150 150 150 153 150 152 154 TAG 色标 色标 V-LAN-ID 150 150 150 150 150 150 150 153 151 153 155 TAG 端口 2 4 6 8 10 12 14 16 18 20 22 24 注: 交换机端口23-24为TAG,表示它们不属于任何VLAN,属于Default,该交换机的所有网段<150、151、152、153、154、155)数据都通过该端口加TAG标记送到另外加了TAG标记的交换机2MiJTy0dTT 2办公类交换机 端口 1 3 5 7 9 11 13 15 17 19 21 23 V-LAN-ID 153 153 153 153 153 153 153 150 150 152 154 TAG 色标 色标 V-LAN-ID 153 153 153 153 153 153 153 150 151 153 155 TAG 端口 2 4 6 8 10 12 14 16 18 20 22 24 注: 交换机端口23-24为TAG,表示它们不属于任何VLAN,属于Default,该交换机的所有网段<150、151、152、153、154、155)数据都通过该端口加TAG标记送到另外加了TAG标记的交换机gIiSpiue7A 3财务类交换机 端口 1 3 5 7 9 11 13 15 17 19 21 23 V-LAN-ID 151 151 151 151 151 153 150 150 150 152 154 TAG 色标 色标 V-LAN-ID 151 151 151 151 151 153 150 150 151 153 154 TAG 端口 2 4 6 8 10 12 14 16 18 20 22 24 注: 交换机端口23-24为TAG,表示它们不属于任何VLAN,属于Default,该交换机的所有网段<150、151、152、153、154、155)数据都通过该端口加TAG标记送到另外加了TAG标记的交换机uEh0U1Yfmh 4中心三层交换机<3COM4050) GBIC端口 1 2 3 4 5 6 V-LAN-ID TAG TAG TAG TAG NC NC 色标 说明 副机房 员工宿舍机房 扩展备用 扩展备用 没有安GBIC口 没有安GBIC口 电口 7 8 9 10 11 12 V-LAN-ID TAG TAG TAG TAG TAG TAG 说明 酒店大堂 扩展备用 财务部 办公区 温泉中心 温泉中心副楼 色标 色标 说明 扩展备用 扩展备用 上网服务器 财务部服务器 酒店主服务器 酒店备份服务器 V-LAN-ID TAG TAG 152 151 150 150 电口 13 14 15 16 17 18 注: 交换机端口1-14为TAG标记端口,表示它们不属于任何VLAN,属于Default,该交换机的所有网段<150、151、152、153、154、155)数据都通过这些端口加TAG标记送到另外加了TAG标记的交换机IAg9qLsgBX 端口15-18分别属于Vlan152、Vlan151、Vlan150,没有加TAG标记。 直接连接到各自网段的服务器。 WwghWvVhPE ⑤副机房交换机<3C4400SE) 端口 1 3 5 7 9 11 13 15 17 19 21 23 25 V-LAN 150 150 150 150 153 150 152 154 TAG TAG TAG TAG TAG 色标 接中心机房 色标 接中心机房 V-LA
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VPN 企业 局域网 构建 运用
![提示](https://static.bingdoc.com/images/bang_tan.gif)