基于CISCO PACKET TRACER企业网仿真的设计与实现

第1章 背景

1.1 设计背景

随着企业信息化建设不断深入，企业的生产业务系统、经营管理系统、办公自动化系统均得到大力发展，对于企业园区网的建设要求越来越高。传统园区网建设初期往往面临网络拓扑相对混乱，不便于对网络性能瓶颈进行正确评估和有效扩容，给日常网络管理也带来很大难度，对于网络可靠性考虑不够，网络中既存在单点故障导致网络可靠性低、影响企业生产和经营管理行为，同时也存在网络过度冗余、造成投资浪费的现象。

在进行网络维护时对于IT运维人员的技术能力和经验水平要求较高。

1.2 设计目的

本设计基于Cisco PACKET TRACER仿真软件，根据接入层        汇聚层          

核心层        运营商        互联网层进行拓扑搭建，通过DHCP服务使计算机自动从DHCP服务器自动获取IP地址，企业内部核心层配置网页服务器以及DNS地址解析服务器，提供企业内部储存数据的需求以及减少访问外网网页时对网页IP地址的解析时间，二层交换机（汇聚层）配置vlan以控制接入层的数据流量，同时进行热备份，以预防二层交换机主设备损坏无法上网的情况，使用生成树协议，使得在主设备损坏的情况下能够快速切换到备用设备上。三层交换机（核心层）配置无线接入网、内部服务器以及接入到运营商的路由，路由主要采用ospf协议以及nat转换地址的方法。

       

1.3 章节概述

本设计第二章，主要介绍在设计时所使用到的一些协议及硬件设备的工作原理，第三章，详细讲解如何基于Cisco PARCKET TRACER仿真软件进行相关协议的以及硬件设备的使用，第四章主要对第三章实验结果的分析，第五章则介绍本设计可以根据实际情况所进行的一些改进。

第2章 相关协议介绍

2.1 OSPF 协议

ospf全称（Open Shortest Path First，OSPF）开放式最短路径优先，是被最广泛使用的一种动态路由协议，是一种链路状态协议。具有路由变化收敛速度快、无路由环路、支持变长子网掩码（VLSM）和汇总、层次区域划分等优点。

OSPF是一种基于链路状态（Link State, LS）的协议，根据链路带宽来计算路由开销，每台路由器独立维护一张LSDB（Link State DataBase，链路状态数据库），当链路发生变化时，先同步LSDB，再通过SPF（Shortest Path First, 最短路径优先）算法计算获得SPT（Shortest Path Tree，最短路径树），最后更新路由表。

OSPF协议对自治系统进行区域划分，并基于LSA（Link-State Advertisement，链路状态通告）和LSDB进行路由更新维护。同一OSPF区域内的路由器维护相同的LSDB，只有当链路状态发生变化时，才会触发路由更新，此时，同一区域内路由器会先进行LS同步，区域间的路由更新同步则由处于区域边界的路由器（也称ABR）完成路由更新后同步到其他区域，通过这个机制减少网络拓扑变化造成的链路状态信息交互量。

RIP协议主要基于四个定时器进行路由更新与维护，分别为更新定时器、无效定时器、清除定时器和抑制定时器。RIP的整个路由维护更新过程的覆盖范围为自治系统，当发生路由更新时，同一自治系统下所有路由器都会进行相应的更新过程。

OSPF与RIP协议的对比：

编号	RIP	OSPF
1	RIP代表路由信息协议。	OSPF代表开放式最短路径优先
2	RIP适用于Bellman Ford算法	OSPF使用Dijkstra算法。
3	它是一种距离向量协议，它使用距离或跳数来确定传输路径。	它是一 种链路状态协议，它在识别最短路径的同时分析速度，成本和路径拥塞等不同来源。
4	它基本上是用于较小规模的组织。	它基本上用于网络中的大型组织。
5	最多允许15个跃点。	跳数没有这种限制。
6	它不是更智能的动态路由协议。	它是比RIP更智能的路由协议。
7	这些网络在此处分类为区域和表。	这些网络在此分为区域，子区域，自治系统和骨干区域。
8	它的管理距离是120。	它的管理距离是110。
9	RIP使用UDP (用户数据报协议)协议	OSPF适用于IP (Internet协议) 协议。
10	它根据跳数计算指标。	它根据带宽来计算度量。

结合上述对OSPF以及RIP协议对比，本次设计选用OSPF路由。

2.2 VLAN

VLAN是指在一个物理网段内。进行逻辑的划分，划分成若干个虚拟局域网，VLAN最大的特性是不受物理位置的限制，可以进行灵活的划分。VLAN具备了一个物理网段所具备的特性。相同VLAN内的主机可以相互直接通信，不同VLAN间的主机之间互相访问必须经路由设备进行转发，广播数据包只可以在本VLAN内进行广播，不能传输到其他VLAN中。

VLAN遵循IEEE802.1Q协议的标准，在使用配置了Tag VLAN的端口进行数据传输时，需要在数据帧内添加4个字节的802.1Q标签信息，用于标示该数据帧属于哪个VLAN,便于对端交换机接收到数据帧后进行准确的过滤。

2.3 接入交换机

交换机工作于OSI参考模型的第二层，即数据链路层。交换机内部的CPU会在每个端口成功连接时，通过将MAC地址和端口对应，形成一张MAC表。在今后的通讯中，发往该MAC地址的数据包将仅送往其对应的端口，而不是所有的端口。因此，交换机可用于划分数据链路层广播，即冲突域；但它不能划分网络层广播，即广播域。

交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC（网卡的硬件地址）的NIC（网卡）挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在，广播到所有的端口，接收端口回应后交换机会“学习”新的MAC地址，并把它添加入内部MAC地址表中。使用交换机也可以把网络“分段”，通过对照IP地址表，交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发，可以有效的减少冲突域，但它不能划分网络层广播。

交换机在同一时刻可进行多个端口对之间的数据传输。每一端口都可视为独立的物理网段（注：非IP网段），连接在其上的网络设备独自享有全部的带宽，无须同其他设备竞争使用。交换机是一种基于MAC地址识别，能完成封装转发数据帧功能的网络设备。交换机可以“学习”MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。

2.4 二层交换机

当一个数据包到达二层交换机时，该交换机会查找目标 MAC 地址，并将其与内部的 MAC 地址表进行匹配，如果找到匹配项，则从相应的端口向外转发数据包。如果未找到匹配项，则会将数据包广播给所有连接的端口。

二层交换机主要用于实现局域网的数据包转发，可以有效提高局域网的通信效率和质量。此外，二层交换机还可用于实现网络隔离、流量控制等功能。

路由器工作在OSI模型的第三层---网络层操作，其工作模式与二层交换相似，但路由器工作在第三层，这个区别决定了路由和交换在传递包时使用不同的控制信息，实现功能的方式就不同。工作原理是在路由器的内部也有一个表，这个表所标示的是如果要去某一个地方，下一步应该向哪里走，如果能从路由表中找到数据包下一步往哪里走，把链路层信息加上转发出去；如果不能知道下一步走向哪里，则将此包丢弃，然后返回一个信息交给源地址。

路由技术实质上来说不过两种功能：决定最优路由和转发数据包。路由表中写入各种信息，由路由算法计算出到达目的地址的最佳路径，然后由相对简单直接的转发机制发送数据包。接受数据的下一台路由器依照相同的工作方式继续转发，依次类推，直到数据包到达目的路由器。

2.5 三层交换机

三层交换机（Layer 3 Switch）是一种具备路由功能的交换机。与传统的二层交换机相比，三层交换机不仅可以像二层交换机一样转发数据包，还可以像路由器一样识别IP地址，并对数据包进行路由转发。

三层交换机是在局域网内实现分组交换的一种高效网络设备，它采用快速硬件处理和高速缓存技术，能够实现局域网内不同网段的通信，同时也能支持VLAN的划分和IP地址的分配等高级功能。相比于传统的路由器，三层交换机具有更高的转发性能和更低的时延，能够更好地满足现代数据中心对于高速、高效、安全、可靠的网络需求。

三层交换机路由表关联着的信息可被查验出来，它匹配了初始的IP；数据包被发送至装置内的主机，获取了精准的MAC。这些流程终结以后，MAC再次被发送，二层芯片予以转发。由此可见，三层交换机提快了常态情形的交换速率，从速率来看它很近似二层的架构，并且缩减了选购路由器耗费的支出。 [1] 

相比较而言，二层交换机借助于封包扩散来传递广播，但三层交换机则能辨识额外信息，

2.6  路由器

路由器是互联网的枢纽，是连接Internet中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送数据

作用在网络层中，提供了路由和转发两种机制:

路由：路由器控制层面的工作，决定数据包从来源端到目的端所经过的路由路径（host到host至今的最佳传输路径）

转发：路由器数据层面的工作，将路由器输入端的数据包移送至适当的路由器输出端（在路由器内部进行）

网络中的设备相互通信主要是用它们的IP地址，路由器只能根据具体的IP地址来转发数据。IP地址由网络地址和主机地址两部分组成。在Internet中采用的是由子网掩码来确定网络地址和主机地址。子网掩码与IP地址一样都是32位的，并且这两者是一一对应的，子网掩码中“1”对应IP地址中的网络地址，“0”对应的是主机地址，网络地址和主机地址就构成了一个完整的IP地址。在同一个网络中，IP地址的网络地址必须是相同的。计算机之间的通信只能在具有相同网络地址的IP地址之间进行，如果想要与其他网段的计算机进行通信，则必须经过路由器转发出去。不同网络地址的IP地址是不能直接通信的，即便它们距离非常近，也不能进行通信。路由器的多个端口可以连接多个网段，每个端口的IP地址的网络地址都必须与所连接的网段的网络地址一致。不同的端口它的网络地址是不同的，所对应的网段也是不同的，这样才能使各个网段中的主机通过自己网段的IP地址把数据发送到路由器上。 

2.7  NAT地址转换

NAT用来将内网地址和端口号转换成合法的公网地址和端口号，建立一个会话，与公网主机进行通信。NAT外部的主机无法主动跟位于NAT内部的主机通信，NAT内部主机想要通信，必须主动和公网的一个IP通信，路由器负责建立一个映射关系，从而实现数据的转发。

NAT不仅能解决了IP地址不足的问题，而且还能够有效地避免来自网络外部的入侵，隐藏并保护网络内部的计算机。

NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。

静态转换是指内部本地地址一对一转换成内部全局地址，相当内部本地的每一台PC都绑定了一个全局地址。一般用于在内网中对外提供服务的服务器。 [3] 

动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。

端口多路复用（Port address Translation,PAT）是指改变外出数据包的源端口并进行端口转换，即端口地址转换（PAT，Port Address Translation）.采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，网络中应用最多的就是端口多路复用方式。

ALG（Application Level Gateway），即应用程序级网关技术：传统的NAT技术只对IP层和传输层头部进行转换处理，但是一些应用层协议，在协议数据报文中包含了地址信息。为了使得这些应用也能透明地完成NAT转换，NAT使用一种称作ALG的技术，它能对这些应用程序在通信时所包含的地址信息也进行相应的NAT转换。例如：对于FTP协议的PORT/PASV命令、DNS协议的 "A" 和 "PTR" queries命令和部分ICMP消息类型等都需要相应的ALG来支持。

2.8  端口聚合

端口聚合使用的是EtherChannel特性，在交换机到交换机之间提供冗余的高速的连接方式。将两个设备之间多条FastEthernet或GigabitEthernet物理链路捆在一起组成一条设备间逻辑链路，从而增强带宽，提供冗余。

端口的基本配置主要包括stp、qos、vlan、端口属性等相关配置。其中stp配置包括：端口的stp使能/关闭、与端口相连的链路属性（如点对点或非点对点）、stp优先级、路径开销、报文发送速率限制、是否环路保护、是否根保护、是否为边缘端口。qos配置包括：流量限速、优先级标记、缺省的802.1p优先级、带宽保证、拥塞避免、流重定向、流量统计等。vlan配置包括：端口上允许通过的vlan、端口缺省vlan id。端口属性配置包括：端口的链路类型，如trunk、hybrid、access属性、绑定侦测组配置。一台s9500系列路由交换机最多可以配置920个汇聚组，其中1～31为手工或者静态聚合组；32～64为预留组号；65～192为routed trunk；193～920为动态聚合组。系统中存在mpls vpn单板时，只支持7个负载分担聚合组，没有mpls vpn单板时，可以支持31组负载分担组，对于fe单板（采用ex芯片），只支持7个负载分担聚合组。s9500还支持跨接口板聚合，跨接口板跟本板的聚合是一样的。

基于IEEE 802.3ad标准的lacp（link aggregation control protocol，链路聚合控制协议）是一种实现链路动态聚合与解聚合的协议。lacp协议通过lacpdu（link aggregation control protocol data unit，链路聚合控制协议数据单元）与对端交互信息。使用某端口的lacp协议后，该端口将通过发送lacpdu向对端通告自己的系统优先级、系统mac、端口优先级、端口号和操作key。对端接收到这些信息后，将这些信息与其它端口所保存的信息比较以选择能够聚合的端口，从而双方可以对端口加入或退出某个动态聚合组达成一致。操作key是在端口聚合时，lacp协议根据端口的配置（即速率、双工、基本配置、管理key）生成的一个配置组合。其中，动态聚合端口在使能lacp协议后，其管理key缺省为零。静态聚合端口在使能lacp后，端口的管理key与聚合组id相同。对于动态聚合组而言，同组成员一定有相同的操作key，而手工和静态聚合组中，selected的端口有相同的操作key。

2.9  热备份技术

双机热备即是通常所说的active/standby方式，当active服务器出现故障的时候，通过软件诊测（一般是通过心跳诊断）将standby机器激活，保证应用在短时间内完全恢复正常使用。

双机互备，在双机热备的基础上，两个相对独立的应用在两台机器同时运行，但彼此均设为备机，当某一台服务器出现故障时，另一台服务器可以在短时间内将故障服务器的应用接管过来，从而保证了应用的持续性。这种方式实际上是双机热备的一种应用。它避免了两个应用使用四台服务器分别实现双机热备。

双机双工，两台或多台服务器均为活动，同时运行相同的应用，保证整体的性能，也实现了负载均衡和互为备份

在实际应用中，根据网络规模或重要性的大小，双机模式可以扩展提升为多机集群模式，两台以上的服务器组成一个集群，根据应用的实际情况在这些服务器上进行部署，灵活地设置接管策略。比如，可以由一台服务器作为其他所有服务器的备机，也可以设置多重的接管关系等。此外，还有更新的技术涌现出来，如容错服务器技术，通过对服务器中所有硬件利用冗余的方法来容错，可以做到自动侦测、自动接管、自动恢复，是一种比双机热备份可用性等级更高的方案，适用于关键业务应用领域。