网络工程路由交换方向毕业论文.doc

《网络工程路由交换方向毕业论文.doc》由会员分享，可在线阅读，更多相关《网络工程路由交换方向毕业论文.doc（55页珍藏版）》请在咨信网上搜索。

专科生毕业设计 网 络 工 程 路由交换方向 独 创 性 声 明 本人郑重声明：所呈交的毕业论文（设计）是本人在指导老师指导下取得的研究成果。除了文中特别加以注释和致谢的地方外，论文（设计）中不包含其他人已经发表或撰写的研究成果。与本研究成果相关的所有人所做出的任何贡献均已在论文（设计）中作了明确的说明并表示了谢意。 签名： 　 　　　　　　　　　　　　　　　　　　　年　　月　　日 授权声明 本人完全了解许昌学院有关保留、使用本科生毕业论文（设计）的规定，即：有权保留并向国家有关部门或机构送交毕业论文（设计）的复印件和磁盘，允许毕业论文（设计）被查阅和借阅。本人授权许昌学院可以将毕业论文（设计）的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编论文（设计）。 本人论文（设计）中有原创性数据需要保密的部分为：　　。 签名： 　　　　　年　　月　　日 指导教师签名： 　　　　　　　　　　　　　　　　　　　　　 年　　月　　日 摘 要      网络技术的飞速发展标志着一个新的时代——网络时代的来临。网络技术引发的全球信息化浪潮冲击着传统社会生活的每一个角落，网络化、数据化、知识化已成为时代的主旋率。网络时代整个社会经济的产生结构和劳动结构发生了改变，整个社会经济成为了与电子商务紧密相连的网络经济。这种全球化的、高速度、低成本、数据安全性、虚拟化的，不断创新的经济模型改变了传统的企业管理模式、经营模式和会计模式。满足了企业发展的需要。 关键词：网络技术；信息化；数据化；安全性； ABSTRACT The rapid development of network technology marks a new era -- the advent of the Internet age. Network technology trigger global informationization wave hitting the traditional social life's each quoin, network, digital, knowledge has become the main spin rate era. The whole economy in network era of produce structure and labor structure changed, the whole economy became and e-commerce connected network economy. This kind of globalization, high speed, low cost, the data security, virtualization, innovative economic model has changed the traditional enterprise management mode, operation mode and accounting mode. Meet the needs of the development of the enterprise. Keywords: Internet Technology informatization digitization safety 目 录 第1章 引 言………………………………………………………………………………1 第2章 项目需求分析……………………………………………………………………1 2.1 项目背景………………………………………………………………………………1 2.2 需求分析………………………………………………………………………………1 第3章 项目需求分析……………………………………………………………………2 3.1 网络建设目标…………………………………………………………………………2 3.2 网络及系统建设内容及要求…………………………………………………………3 3.3 网络设计原则…………………………………………………………………………3 第4章 网络建设方案……………………………………………………………………4 4.1 网络总体拓扑图………………………………………………………………………4 4.2 网络层次化设计………………………………………………………………………5 4.2.1 核心层 ……………………………………………………………………………6 4.2.2 汇聚层 ……………………………………………………………………………6 4.2.3 接入层 ……………………………………………………………………………6 第5章 路由设计…………………………………………………………………………7 5.1 路由协议选择…………………………………………………………………………7 5.2 路由规划拓扑图………………………………………………………………………8 5.3 ip地址规划…………………………………………………………………… ……8 5.3.1 ip地址分配表……………………………………………………………………9 第6章 网络安全解决方案……………………………………………………………11 6.1 网络边界安全威胁分析…………………………………………………………… 11 6.2 网络内部安全威胁分析…………………………………………………………… 11 6.3 安全产品选型原则………………………………………………………………… 12 第七章 网络常用内网技术介绍…………………………………………………… 12 7.1 热备份路由协议HSRP………………………………………………………………12 7.2 VLAN技术……………………………………………………………………………13 7.3 Trunk技术…………………………………………………………………………14 7.4 VTP技术… …………………………………………………………………………15 7.5 Spanning-Tree协议………………………………………………………………16 7.6 Etherchannel技术…………………………………………………………………16 7.7 静态路由……………………………………………………………………………17 7.8 dhcp技术……………………………………………………………………………17 第八章 网络常用外网技术介绍………………………………………………………17 8.1 PIX防火墙技术………………………………………………………………………17 8.2 DMZ技术………………………………………………………………………………17 8.3 ACL技术………………………………………………………………………………18 8.4 VPN技术………………………………………………………………………………19 8.5 漫游用户………………………………………………………………………………19 8.6 内网间及远程访问……………………………………………………………………20 8.7 nat技术………………………………………………………………………………20 第九章 产品简介…………………………………………………………………………21 9.1 路由交换设备…………………………………………………………………………21 9.2 办公设备………………………………………………………………………………26 9.3 安全设备………………………………………………………………………………36 结束语（正文标题，用四号黑体，加粗，下同）…………………………………………44 参考文献……………………………………………………… ……………………………45 致 谢……………………………………………………………… …………………………46 第1章 引 言 随着科学技术的发展日新月异，九十年代，在计算机技术和通信技术结合下，网络技术得到了飞速的发展。如今，不仅计算机已经和网络紧密结合，整个社会都不可能脱离网络而存在。网络技术已经成为现代信息技术的主流，人们对网络的认识也随着网络应用的逐渐普及而迅速改变。在不久的将来，网络必将成为和电话一样通用的工具，成为人们生活、工作、学习中必不可少的一部分。 网络对于制造业的发展也起到了不可忽视的作用，形成了用信息技术来提升企业的市场分析、销售、计划、仓储能力，通过先进使用的高速交换网构筑信息通讯平台的局面。 第2章 项目需求分析 2.1 项目背景 该公司是一家即将成立的一家制造工厂，网络平台建设为北京总部，外设有五个分部，分别设置在广州、天津、上海、西安和浙江。总部设计用户节点数为1000，每个分部地为10-50个用户。需要“建立一个设计规范、功能完备、性能优良、安全可靠、技术先进和实用性、兼容性、冗余、容错性、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台，以高效率，高速度，低成本的方式提高公司员工的工作效率与执行效率”。 2.2 需求分析 本次项目的网络设计是以北京公司为中心，进而构建与广州、天津、上海、西安和浙江五大分公司之间的网络。构建过程中需要设计网络架构、IP地址架构、系统架构。其中，是以北京总部为数据中心，核心交换区，交易所接入等。网络之间信息的传送均是有总部发起的。数据中心作为网络互通的存放地，其性能、稳定性、安全性、可靠性的要求最高，因此我们在设计的时候，应该考虑到这些要求。应采用性能高的设备。而核心交换区的功能是高速可靠地交换数据，因此该部分的设计应考虑性能和可靠性的平衡。交易所接入作为外联单位接入区域，其安全性应该是放在第一位，同时，网络互通离不开交易所的连接， 因此也应该考虑冗余性。 公司总部和分公司的内部网络作为内部互联单位，可信度较高，因此其内部网络的可用性是首先考虑的因素。在内部信息传送的同时，为保证信息的安全性，我们应该在设计网络的时候，考虑信息的备份问题，避免单点故障的出现。 各个分公司均通过VPN隧道访问北京总部，承载IP语音电话流量，实现分部与总部互相拨打网络电话，降低总部与分部电话通讯成本。大大增强了网络的稳定性和高速性。 北京总部外部网络与外网连接时，需要考虑其可访问性。INTERNET用户接入，需要考虑安全性 和冗余性。当前的网络管理范畴比较广，包括设备管理、资源管理、故障管理、性能管理、安全管理等。在网络规模相对较大的时候，合适的网络系统可以帮助用户方便管理网络内的设备及运行情况，以提高网络的运行效率。在系统管理平台中由于面临着大量的使用用户，外界每天都会与总部之间都会产生大量的数据通信，这就要求外界与总部之间有一条高数的链路，保证外界与总部通信的高速可靠性和可行性。同时要采取各种措施保证内网和各台服务器的安全。对此我们可以通过拉光纤增加带宽和购买先进的路由设备来满足巨大的吞吐量处理时间，减少延时率。 第3章 网络总体建设目标 3.1 网络建设目标 1、北京总部内有大型服务器提供服务，外接分支机网络平台 2、要求这些分布用户和总部之间能够高速连接并且保证与总部通信的可靠性和可行性。 3、同时要求总部内部安全机制能够提高。保证内网安全同时保证各台服务器的安全。 4、要求计算机网络系统满足系统集成的网络平台需求可用性、安全性、可靠性和可扩展性，网络系统不间断，选购符合分支机构及中心机房需求的高性价的网络设备，采用三层网络结构，来实现网络安全的需求。 5、网络设备主要以核心交换区设备为主。并考虑对设备投资保护，保证未来几年的系统扩展，组建一个高效、稳定、可靠、易管理、安全的企业网。 3.2 网络及系统建设内容及要求 根据该公司中心机房的网络情况，我们把整个网络分为内部网络交换网络设计、网络出口设计、网络安全 设计三部分。保证设计和实现上的标准化、功能框架的模块化、充分考虑网络的兼容性、整体方案的开放性、扩展性和再开发性，同时还应具备稳定、可靠、速度快等特点。 北京总部数据中心网络平台承载着该公司所有的关键核心业务。设计时，保证中心机房网络的高可用性和稳定性至关重要。而北京总部用FTP、MAIL等内部服务器为员工提供总部内部信息。另外还要屏蔽部分网络访问以确保公司的工作有序正常的进行。 对于边界网络接入（Internet接入称为边界网络），总部用 Web服务器为用户提供服务。使用交换机的vtp 技术使网络内有关Server的访问变的更加安全。因为网络的安全性是一个非常重要的因素。而确保在网络的边界外部相应的安全策略以防止黑客和各种恶意代码的攻击也变的至关重要，同时边界中的设备的冗余设计也是设计考虑的一个重要环节，从而能够有效地防止单点故障。 由于公司业务不断发展壮大，网络拓扑结构也会随之发生变化，在采购网络设备时应注意选择扩展性和兼容性强的设备，以便日后网络拓扑的变动。 3.3 网络设计原则 作为一家优秀的系统集成商，向用户提供的不仅仅是设备，而是整套的技术与服务。我们始终坚持“高标准，高性能”的原则。在方案设计时，我们将严格遵循以下设计原则： 高可靠性----网络系统的稳定性是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络结构，制定可靠地网络备份策略，保证网络具有故障自愈的能力，最大限制地支持各个系统的正常运行。 网络安全性----由于企业网的特殊性，网络的安全性在本次网络建设中是比较重要的，整个网络必须保证万无一失的安全性，并对各个部门的信息要有严格分离保护的办法，防止网络黑客非法入侵。网络系统应配备全面的病毒防治和安全保护功能。 灵活性及可扩展性-----根据未来业务的增长和变化，网络可以平滑地扩展和升级，最大限制地减少对网络架构和设备的调整。 先进性------以先进、成熟的网络通信技术进行组网，支持数据、语音和视频图像等多媒体应用，采用基于交换的技术代替传统的基于路由的技术，并且能确保网络技术和网络产品在几年内基本满足需求。 高性能-----承载网络性能是网络通讯系统良好运行的基础，设计中心必须保障网络及设备的高吞吐能力，保证各种信息（数据，语音，图像）的高质量传输，才能使网络不成为各项业务开展的瓶颈。 可管理性----网络建设的一项重要内容是网络管理，网络的建设必须保证网络运行的可管理性。在优秀的网络管理之下，将大大提高网络的运行速率，并可迅速简便地进行网络故障的诊断。 经济性-----在满足应用要求的基础上，尽可能降低造价。 第4章 网络建设方案 4.1 网络总体拓扑图 结合几种网络结构与技术，根据该公司网络功能需求的具体情况，我们选用两台Cisco Catalyst 3750做双机热备，用Cisco专有热备份路由协议技术（HSRP），同时双机还可以做负载均衡。在分交换机的选择上，建议选择具有支持VLAN划分的网络交换机。品牌和性能尽可能和主交换机相一致，以便于维护，便于统一。 如上图所示，该模型将公司网络系统品台分为三个层次：核心层，汇聚层，接入层。各区域相对独立，通过核心网络进行数据交换。另外各区域还可以各自建设交换网络，路由接入，网络安全体系，可以有独立的安全策略，数据流量控制等个体特征。 4.2 网络层次化设计 随着网络技术的迅速发展和网上应用量的增长，分布式的网络服务和交换已经移至用户级，由此形成了一个新的，更适应现代的高速大型网络的分层设计模型。这种分级方式被成为“多层设计”。多层设计的好处： 1有很大的确定性，在运行和扩展过程中进行故障查找和排除非常简单。 2将局部拓扑结构的改变所产生的影响降至最小。 3减少路由器必须存储和处理的数据量，提供良好的路由器聚合数据流收敛。 4具有模板化的，网络容量可随着日后网络节点的增加而不断增加。 5升级灵活：网络容易升级到最新的技术，升级任意层的网络不会对其他层造成影响，无需改变整个网络环境 对于公司网络的实际情况我们可以采用三层结构模型。三层结构模型划分为三个层次，即核心层，汇聚层，接入层。每个层次完成不同的功能。 4.2.1 核心层 网络主干部分称为核心层。核心层的主要目的在于通过高速转发通信，提供可靠的骨干传输结构，因此核心层交换机应拥有更高的可靠性，更快速率的链路连接技术，并且能快速适应网络的变化。性能和吞吐量应根据不同层次用不同的要求设计网络，并且使用冗余组件来设计，在与汇聚层交换机相连时要考虑采用建立在生成树基础上的多链路冗余连接，以保证与核心层交换机之间存在备份连接和负载均衡，完成高带宽、大容量网络层路由交换功能。因此，在核心层中，我们应该采用高带宽的千兆以上交换机。 4.2.2 分布层 位于接入层和核心层之间的部分称为分布层或汇聚层。汇聚层交换层是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能、更少的接口和更高的交换速率。汇聚层的设计要满足核心层、汇聚层交换机和服务器集合环境对千兆端口密度、可扩展性、高可用性以及多层交换的不断增长的需求，支持大用户量、多媒体信息传输等应用。 4.2.3 接入层 通常将网络中直接面向用户连接或访问网络的部分称为接入层。接入层目的是允许终端用户连接到网络，提供了带宽共享、交换带宽、MAC层过滤和网段划分等功能。接入层交换机具有低成本和高端口密度特点，考虑采用可网管、可堆叠的接入级交换机。交换机的高速端口用于上连高速率的汇聚层交换机，普通端口直接与用户计算机相连，以有效地缓解网络骨干的瓶颈。 4.2.3 核心层设计 核心层是网络的枢纽中心，重要性突出。我们使用了两台思科Cisco WS-C4506 的三层交换机完成此项功能。这两台交换机的可靠性、高效性、冗余性是我们考虑的主要因素，另外，在这个层面的设计时，我们还需要考虑冗余网络的设计，本区域的安全性可以有边界防火墙提供。 第5章 路由设计 5.1 路由协议选择 为达到路由快速收敛，寻址以及方便管理网络管理员管理的目的，我们采用动态路由协议---OSPF协议，考虑到网络的扩展性，公开性，投资的保护等原因，我们采用OSPF路由协议和静态路由相结合的路由方式。 OSPF协议采用链路状态协议算法，OSPF协议有五种报文。 1 Hello报文，通过周期性地发送来发现和维护邻接关系； 2 DD(链路状态数据库描述)报文，描述本地路由器保存的LSDB(链路状态数据库)； 3 LSR(LS Request)报文，向邻居请求本地没有的LSA； 4 LSU(LS Update)报文，向邻居发送其请求或更新的LSA； 5 LSAck(LS ACK)报文，收到邻居发送的LSA后发送的确认报文。 为了进一步减少路由协议通信流量，利于管理和计算。OSPF协议进行了区域划分，在两个不同区域之间的路由信息传递，由区域边界路由器(ABR)完成。它把相连两个区域内生成的路由，以类型3的LSA向对方区域发送。此时，一个区域内的OSPF路由器只保留本区域内的链路状态信息，没有其他区域的链路状态信息。这样，在两个区域之间减小了链路状态数据库，降低了生成数算法的计算量。同时，当一个区域中的拓扑结构发生变化时，其他区域中的路由器不需要重新进行计算。OSPF协议中的区域划分机制，有效地解决了OSPF在大规模网络中应用时产生的问题。 在与服务器连接的网络中我们采用静态NAT技术，来保证外来客户的访问，这样网络的安全性也成为我们考虑的重要因素。静态NAT是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共IP地址紧缺的问题。也确保了网络的可访问性和安全性。 5.2 路由规划拓扑图 5.3 ip地址规划 IP地址的规划在网络设计中的作用举足轻重。直接影响整个网络运行的效率。IP地址设计的总原则是简单，易管理，易扩展。 IP地址是TCP/IP协议族中的网络层逻辑地址，它被用来唯一的标识网络中的一个节点。IP地址空间的分配，要与网络层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效果，加快路由变化的收敛速度。 IP地址分配和管理应遵循的原则： 唯一性----被分配出去的IP地址必须保证在全球范围内是唯一的，以保证每台主机都能被正确地识别。 可记录性----已分配出去的地址块必须记录在数据库中，为定位网络故障提供依据。 可聚集性----地址空间应该尽量划分为层次，以保证聚集性，缩短路由表长度。同时，对地址的分配要尽量避免地址碎片出现。 节约性----地址申请者必须提供完整的书面报告，证明它确实需要这么多地址。同时，应该避免闲置被分配出去的地址。 公平性----所有团体，无论其所处地理位置或所属国家，都具有公平地使用IPv6全球单播地址的权利。 可扩展性----考虑到网络的高速增长，必须在一段时间内留给地址申请者足够的地址增长空间，而不需要它频繁地向上一级组织申请新的地址。 公网地址与私网地址相结合原则---可用的公网地址数量毕竟有限，而可用的私网地址数量却非常多，是解决地址数量不足的良方之一。 公司总部有九个部门，有1000个用户 公司总部IP地址分配表 网络单元 子网段 地址 范围 广播地址 网关 上网方式 获取 方式 财务部 192.168.2.0/26 1-62 192.168.2.63 192.168.2.1 NAT DHCP 行政部 192.168.2.64/26 65-126 192.168.2.127 192.168.2.65 NAT DHCP 外连部 192.168.4.0/25 1~126 192.168.4.127 192.168.4.1 NAT DHCP 技术部 192.168.2.128/26 129-190 192.168.2.191 192.168.2.129 NAT DHCP 信息办 192.168.2.192/26 193-254 192.168.2.255 192.168.2.193 NAT DHCP 信息科 192.168.3.0/26 1-62 192.168.3.63 192.168.3.1 NAT DHCP 品保部 192.168.4.128/25 129-254 192.168.4.255 192.168.4.129 NAT DHCP 人力资源部 192.168.3.64/26 65-126 192.168.3.127 192.168.3.65 NAT DHCP 企业文化部 192.168.3.128/26 129-190 192.168.3.191 192.168.3.129 NAT DHCP 安全环保部 192.168.5.0/25 1-126 192.168.5.127 192.168.5.127 NAT DHCP 制造技术部 192.168.5.128/25 129-254 192.168.5.255 192.168.5.129 NAT DHCP 采供部 192.168.6.0/24 1-254 192.168.6.255 192.168.6.1 NAT DHCP 项目经理部 192.168.7.0/27 1-30 192.168.7.31 192.168.7.1 NAT DHCP 仓储中心 192.168.7.0/26 1-62 192.168.7.63 192.168.7.1 NAT DHCP 教培中心 192.168.7.32/27 33-62 192.168.7.63 192.168.7.33 NAT DHCP 生产部 192.168.8.0/24 192.168.9.0/24 1-254 1-254 192.168.8.255 192.168.9.255 192.168.8.1 192.168.9.1 NAT DHCP 与路由器相连链路上 192.168.1.0/26 1~62 192.168.1.63 192.168.1.1 NAT DHCP 192.168.1.64/26 65~126 192.168.1.127 192.168.1.65 NAT DHCP 服务器集群 192.168.10.0/24 1~8 192.168.10.254 192.168.10.1 NAT DHCP 公司总部VLAN划分表如下 地点 VLAN VLAN名称 VLAN内容 北京总公司 Vlan2 BJ-xs 财务部 Vlan3 BJ-jx 行政部 Vlan4 BJ-pz 外连部 Vlan5 BJ-cw 技术部 …… …… …… Vlan16 BJ-sc 生产部 各个分公司IP地址分配表 网络单元 地址段 地址范围 默认网关 上网方式 Ip地址数 Vlan 广州分公司 192.168.2.0/25 192.168.2.1-126 192.168.2.1 nat 126 Vlan 2 浙江分公司 192.168.2.128/25 2.129-2.254 192.168.2.129 Nat 126 Vlan 2 西安分公司 192.168.3.0/25 3.1-3.126 192.168.3.1 Nat 126 Vlan 2 天津分公司 192.168.3.128/25 3.129-3.254 192.168.3.129 Nat 126 Vlan 2 上海分公司 192.168.4.0/25 4.1-4.126 192.168.4.1 nat 126 Vlan 2 第六章 网络安全解决方案 6.1 网络边界安全威胁分析 网络的边界隔离着不同的功能或地域的多个网络区域，由于职责和功能的不同，相连网络的密集也不同，这样的网络直接相连，必然存在着安全隐患。 该公司的网络主要存在的边界安全风险包括： 北京内部网络接入外部网络，可能会遭到来自各地的越权访问，恶意攻击和计算机病毒的入侵，例如：一个不满的内部用户，利用盗版软件或从Internet下载的黑客程序恶意攻击内部站点，致使网络局部或整体瘫痪。 内部的各个功能网络通过骨干交换相互连接，这样的话，重要的部门或者专网将会遭到来自其他部门的越权访问。这些越权访问可能包括恶意的攻击，误操作等等。但是他们的后果将会导致重要信息的泄露或者网络的瘫痪。 安装防火墙后外部网络不能访问内部网络服务器的问题。 6.2 网络内部安全威胁分析 该公司内部网络的风险分析主要针对北京总部的整个内网的安全分析。 内部用户非授权访问；安博内部网络的资源也不是对任何的员工开放的，也需要相应的访问权限。内部用户的非授权访问，更容易造成资源和重要信息的泄漏。 内部用户的误操作；由于内部用户的计算机操作水平不齐，对于应用软件的理解也各不相同，如果一部分软件没有相应的对误操作防范措施，极容易服务系统和其他主机造成无害。 内部用户的恶意攻击；就网络安全来说，据统计约有70%左右的攻击来自内部用户相比外部攻击来说，内部用户具有更得天独厚的优势，因此，对内部用户攻击的防范很重要。 设备的自身安全性也会直接关系到安博综合网络体系和各种网路应用的正常运转。例如，路由设备存在路由信息泄漏、交换机和路由器设备风险等。 重要服务器或操作系统自身存在安全的漏洞，如果管理员没有及时的发现并且进行修复，将会给网络带来很大不稳定性的因素。重要服务器的down机或重要数据的以外丢失，都会造成安博内部的业务无法正常运行。 安全管理困难，对于众多的网络设备和网络安全设备，安全策略的配置和安全事件管理的难度很大。 6.3 安全产品选型原则 北京总部综合网路属于一个企业的专用网络。在安全产品的选用上，我们遵循的以下原则： 安全保密产品的接入应不影响网络系统的运行效率，并满足工作的要求，不影响正常的业务； 安全保密产品必须满足贵公司提出的要求，保证整个综合网络的安全性。 安全保密产品必须通过国家主管部门制定的测评机构的检测。（中国的网络安全产品供应厂家基本可分为三类：国家级的专业信息安全产品供应厂家、新兴的专业信息安全产品供应厂家和国外厂家。） 安全保密产品必须具备自我保护能力； 安全保密产品必须操作简单以用，便于简单部署和集中管理。 第七章 网络常用技术（内网）介绍 7.1热备份路由协议HSRP 我们使用HSRP来实现故障路由器的接管。HSRP协议是Cisco公司制定的专有路由器备份协议，支持多台路由器形成备份而消除单台设备失效造成的网络中断。比且确保了当网络边缘或接入链路出现故障时，用户通信能迅速并透明的恢复，并为此IP网络提供了冗余性。HSRP支持在某个路由器出现故障时可以快速的进行默认网关的切换，通过共同提供一个IP地址和MAC地址，两个或者多个路由器可以做为一个虚拟路由器，当某个路由器出现故障时，其他路由器可以无缝的接替它进行路由选择。，这样就很好的解决了路由器切换的问题。 使用RSTP的优势：PVST是解决在虚拟局域网上处理生成树的Cisco特有解决方案．PVST为每个vlan运行单独的生成树实例，并具有在二层维持负载均衡的能力。一般情况下PVST要求在交换机之间的中继链路上运行Cisco的ISL．使用此技术减小了生成树拓扑的总范围。增强了可扩张性并减少了收敛时间，提供快速回复和更好的可靠性。使端口针对不同的根桥实施阻塞。使每条中继链路都在为不同的Vlan传输数据，高效合理的利用好网络当中的每条可用链路。 7.2 VLAN技术 VLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。 VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 　　VLAN网络可以是有混合的网络类型设备组成，比如：10M以太网、100M以太网、令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等等。 　　VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。 VLAN的优点 1. 广播风暴防范： 　　限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机， 在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广 播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。 2. 安全： 　　增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。 3.成本降低： 　　成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。 4.性能提高： 　　将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。 5.提高IT员工效率： 　　VLAN为网络管理带来了方便，因为有相似网络需求的用户将共享同一个VLAN。 6.简化项目管理或应用管理： 　　VLAN 将用户和网络设备聚合到一起，以支持商业需求或地域上的需求。通过职能划分，项目管理或特殊应用的处理都变得十分方便， 7. 增加了网络连接的灵活性。 借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境 ，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管 理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低 7.3 Trunk技术 一般的交换机端口只能属于一个VLAN，对于多个VLAN需要跨越多台交换机，就需要Trunk技术。Trunk是指交换机之间或路由器之间传递，从而可以将VLAN跨越整个网络，而不仅仅是局限在一台交换机上。 Cisco支持802.1Q.ISL的技术，其中802.1Q是业界的标准协议，而ISL是Cisco专有的协议，用于在一条链路上封装多个VLAN的信息。 对于Cisco交换机的Trunk端口，既可以指定它的封装协议为802.1q或ISL，也可以通过DHP协议自动协商。DHP协议主要用于处理Trunk端口的802.1q和ISL封装协议的自动协商，对于不同厂家的交换机互联时很有帮助。对Trunk的定义只能在快速以太网端口或千兆以太网端口上进行，它既可以是单个的快速以太网端口或千兆以太网端口，也可以是快速以太网通道或千兆以太网通道。我们使用IEEE802.1Q标准协议。 7.4 VTP技术 VTP（VLAN Trunking Protocol）：是VLAN中继协议，也被称为虚拟局域网干道协议。它是思科私有协议。作用是十几台交换机在企业网中，配置VLAN工作量大，可以使用VTP协议，把一台交换机配置成VTP Server, 其余交换机配置成VTP Clien