|
1回顶部 思科300系列是思科精睿网络解决方案的一部分,由多款全网管交换机产品组成,是思科SRW产品线的下一代产品。在端口密度上,300系列包括8到48个快速以太网端口以及28到52个千兆以太网端口全线产品,每款产品在功能特性上完全相同。该系列采用的是WEB管理界面,几乎不存在上手“门槛”,大大减少了网络部署、管理、以及故障清除所耗费的时间,并且对简化大规模设置和部署意义重大,在安全性上支持访问控制列表、VLAN以及其他高级安全特性,支持高级流量管理,支持IPv4间路由等功能。欲了解产品详细规格信息请点击这里。 看完了稍显沉闷的产品介绍,下面才是文章的正题——思科300系列交换机能为我做什么呢?相信每个人都会问这个问题。思科精睿系列产品的目标用户是中小型企业用户,受成本制约,产品在功能上不可能做得面面俱到,所以精睿系列在产品设计时一定是以实用、够用为核心,这其实也是目标用户的属性,用户对价格敏感,所以一切都将围绕实用这两个字展开。 我们将如何向您介绍思科300系列产品?饭盒打算实地搭建一个试用环境,其中包括一台文件服务器和一台DHCP服务器,还有几台客户机,我们将用到思科300系列的多项功能,包括VLAN,VLAN间路由,静态路由,Trunk链路,VLAN过滤,访问控制列表(ACL),Radius与802.1x端口认证,DHCP Relay等,在最后我们还将单独介绍一下快速生成树协议(RSTP),我们以为,如果将这些功能融合进一个局域网中,这个网络将是立体的,也是安全的。 立体网络 实现网络联通的方法有很多,最低需求是只要一台傻瓜型交换机和路由器就可以了,这样的网络虽然部署起来简单但存在的问题也不少,比如,过多的广播帧造成网络“污染”,所有终端相互可见为病毒传播,关键数据安全,服务器安全等埋下了隐患。如何解决这类“平面网络”的不足?答案是在内网中部署VLAN。VLAN可以将一个大的广播域分割成多个小的广播域,每个广播域间逻辑隔开无法直接进行通信,这就使得一个区域内的问题很难波及到另一个区域。 VLAN虽然是一项非常好的技术,但它也带来了一个问题,那就是不同VLAN间的主机如何进行通信?对于有钱的公司可能并不在意这个问题,因为实现VLAN间通信的方法有多种,可以使用单臂路由,也可以使用三层交换机的背板,但对于小公司来讲,实现VLAN间路由就是一个不大不小的问题了,为什么?当然是因为价格,还有一点,那就是易用性,不过这些问题在思科 300 系列上都变得异常简单。接下来我们将分步讲解如何使用思科 300 系列组件一个典型的“立体网络”,过程涉及VLAN,VLAN间路由,静态路由等功能。 创建VLAN很简单 VLAN,听着很神秘,其实很简单。创建静态VLAN仅需两步:首先我们要在交换机上创建一个VLAN,然后再将特定的端口加入到这个VLAN中就可以了。某一端口只能与当前VLAN中的其它端口进行通信,而无法“跨越”这个边界。
做一下简单说明,VLAN10,20,1000用于连接客户端,VLAN100用于连接路由器(网关),通过它为所有用户提供INTERNET服务,VLAN200用于连接服务器,在这个场景中我们只搭建了一台DHCP服务器。 细心的网友可能会问,之前提到的文件服务器不放在VLAN200中吗?你可以选择将它放置在VLAN200中,但这时会有一个小小的问题——服务器与其它VLAN中的客户机之间会产生三层流量,这会给交换机造成不小的负担;另一个选择是在连接文件服务器的交换机端口上启用Trunk,同时在服务器上也进行Trunk设置。后者可以将流量限制在“本地”,最大程度减少交换机的工作负荷,因为此时所产生的是二层流量,无需路由。关于交换机与服务器之间的Trunk链路我们后边会进行说明。 2回顶部 添加端口到VLAN并实现VLAN间路由
在我们搭建的环境中,端口1# 2#属于VLAN1000(CXO),端口10# 11#属于VLAN10(admin),端口20# 21#属于VLAN20(sales),端口24#属于VLAN100(WAN,连接网关),端口13#属于VLAN200(Server Group)。如何实现这些VLAN间相互通信?答案是VLAN间路由。
实现VLAN间路由需要为相应VLAN设置IP地址,此地址将成为各自VLAN中主机的默认网关地址。设置好IP地址后,你会发现不同VLAN间就可以相互通信了。每个VLAN中的主机的IP地址可以手工指定,也可以通过DHCP服务器指派(如何通过DHCP为不同VLAN中主机分配IP地址将稍后介绍),而每台主机上的默认网关就是我们刚刚设置的相应VLAN的IP地址(192.168.x.254)。
所有VLAN间已经可以正常通信了,但似乎我们所做的一切也都“白费”了,为什么?因为所有VLAN中的所有主机依然可以畅通无阻地通信。相信对于IT来讲这并不是一件好事——划分VLAN的目的是为了安全和更有效地管理网络中的各种资源。在企业中,常见的做法是将同一部门的员工放在一个VLAN组中,同时禁止各VLAN间互访,只允许特定VLAN间通信,比如访问服务器,INTERNET上网等。如何满足这一需求?答案是访问控制列表(ACL)。 访问控制列表(ACL)
如上图所示,我们添加了一个ACL,并将其绑定到端口20,ACL的内容是禁用源地址为192.168.20.0,目的地址为192.168.0.0 和 192.168.10.0的流量。如果从VLAN的角度看,就是禁用所有从VLAN20(sales)到VLAN10(admin) 和 VLAN1000(CXO)的流量。这里要注意一点,ACL必须绑定至指定端口才会生效。
思科 300 系列提供了基于MAC地址,IPv4和IPv6的访问控制列表。在组建网络时,ACL格外实用,它是IT手中的利器,借助ACL,IT可以极为灵活地管理网络中的各种流量。 3回顶部 配置静态路由访问INTERNET 交换机通过路由器(网关)连接到INTERNET,在交换机与网关之间我们配置了一个VLAN,标识为VLAN100(WAN)。VLAN100的网络状况其实是比较糟糕的,它是一个半公开的小型办公网络,很多私人设备通过无线连接上来访问INTERNET,为了阻止无意义的广播流量进入其它VLAN,所以我们将上网链路放在了单独的VLAN中,并设置端口模式为 Access。
当交换机收到客户端发来的INTERNET请求时,它如何处理这些数据包?正确的做法是它应该将这些数据包发送给路由器(192.168.100.1),看似很简单的逻辑,但如果你不告诉交换机这样做,那么它只会简单地将这些数据包丢弃,因为在交换机的路由表中没有除直连路由(Local)之外的路由。路由表容量是有限的,不可能装下INTERNET上所有的网络地址,所以我们需要默认路由,它的作用是转发无法匹配的网络地址所携带的数据到下一跳路由器。在当前场景中,下一跳为192.168.100.1。
在交换机上配置好静态默认路由就可以访问INTERNET了?答案可能是否定的。问题出在,网关可能不知道返回192.168.20.0 / 10.0 / 0.0 这些网络的路怎么走,所以我们还需要在网关上设置静态路由。到此,实现全网互联互通这一目标我们做到了。 DHCP Relay 手动为网络中每台主机配置IP地址,网关和DNS是件非常可怕的事情,所以我们需要DHCP服务。主机在向DHCP服务器请求网络配置信息时发送的是二层广播,而二层广播帧是无法被路由的,所以必须为每一个子网放置一台DHCP服务器,真的是这样吗?当然不是。思科 300 系列提供了DHCP Relay功能,正好用于解决这一问题。
DHCP Relay 大致是这样工作的:客户机启动时向网络请求IP地址等信息,DHCP广播被交换机收到,DHCP Relay 功能将其转发给指定的DHCP服务器,服务器响应这一请求,将结果返回给交换机,交换机再转发给源主机。有了DHCP Relay 功能,在整个网络中只要部署一台DHCP服务器就可以了,我们将其部署在了VLAN200(Server Group)中,IP地址为 192.168.200.10。 Trunk链路及VLAN过滤 在我们搭建的环境中还有一台文件服务器,当然,你可以选择将它部署在VLAN200(Server Group)中,好处是服务器更加安全,更易于管理,但此时,客户机与服务器之间的流量必须经过路由,多用户访问时,交换机将工作在高负荷状态。这里还有另一种方法,那就是将文件服务器连接到交换机的Trunk端口,并在服务器上启用Trunk连接。简单的讲,Trunk链路工做在OSI模型的第二层,即数据链路层,它允许所有VLAN流量通过,这样就达到了高速访问的目的,交换机的工作负荷也较低,因为此时不会产生三层流量。
简单说一下如何在服务器上启用Trunk:首先需要网卡支持,一般在网卡的高级配置属性中可以找到相关选项,启用它;接下来使用厂商提供的设置工具,也可能在网卡高级选项中可以找到相应的功能标签,逐一添加VLAN即可。此时要注意,VLAN ID必须一一对应,并在每个“本地连接”上配置正确的IP地址。 4回顶部 文件服务器的IP地址分别为192.168.20.200 / 10.200 / 0.200,对应三个不同的VLAN,之前我们在交换机端口上配置的ACL依然有效,所以我们 Ping 其它VLAN的文件服务器是不通的。
思科 300 系列交换机的Trunk端口支持VLAN流量控制。如果想禁止某一VLAN的流量通过Trunk端口该怎么办?很简单,如上图所示,不将特定VLAN加入Trunk端口即可。 Radius与802.1x端口认证 我们常见到这样的情景,任何人只要手中有一根网线,插入交换机,他的电脑就可以访问网络中的资源,这存在很高的风险——如何区分公司内部电脑和外部电脑,管理员往往毫无办法。也许在以前这一问题并不突出,但随着笔记本的普及,交换机端口管理便成了一个无法忽视的问题。 802.1x是IEEE为了解决基于端口的接入控制而定义的标准。802.1x认证由三部分组成:客户端、认证系统和认证服务器。在客户端和认证系统之间使用 802.1x协议进行通信,在认证系统和认证服务器之间使用RADIUS 协议进行通信。交换机控制着端口的开关,如果认证通过,端口将开放,客户机可以对网络进行访问,反之,即使用户插上的网线,网络也是不通的。
Radius与802.1x的配置过程我们就不在这里介绍了,网上有很多相关的资源,配置步骤其实非常简单,上面的几张截图展示了端口控制效果。 快速生成树协议(RSTP) 在组建网络时,我们除了要考虑安全性还要考虑可靠性,实现高可靠性最简单的方法是在交换机之间部署一条以上的连接实现链路冗余,不过此时交换机必须具备一定机制来避免“二层广播风暴”,这种机制就是生成树协议(Spanning Tree Protocol)。STP协议应用于环路网络,通过一定的算法实现路径冗余,同时将环路网络修剪成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环。 不过,STP也有一些不足——网络收敛时间过长,而收敛过程中,网络是不可用的。RSTP 快速生成树协议(rapid spaning tree protocol)正好弥补了这一不足,整体表现大幅优于STP,并且RSTP与STP都是开放的工业标准,不同品牌型号的产品只要支持该协议都可以被部署到网络中。
在网络正常使用中,我们拔掉其中一根网线,可以看到仅出现了一个Ping包超时,第二个超时是我们插回网线时产生的,这种程度的网络中断可以忽略不计,因为几乎不会造成客户端上的应用产生超时错误。传统的生成树协议(STP)是怎样的呢?请看下图:
在传统STP网络中,虽然通过调优也可以缩短网络收敛时间,但过度“优化”却会造成网络不稳定,所以还是建议使用默认设置。根据以往的测试经验,STP收敛时间在30秒以上,而RSTP却不到2秒,优势相当明显。另外,实现链路冗余还有另一种方法,那就是链路汇聚(LAG),设置链路汇聚只需选中相应端口,它们将共同属于一条冗余链路,同样的设置必须在两台交换机上进行,汇聚链路的冗余效果可以做到连接完全无中断。LAG是一项常规功能,就不在这里详细介绍了。 PConline评测室总结
思科300系列的亮点是什么?个人以为是其提供的VLAN间路由功能,以及诸多实用的内网管理功能,借助它,我们真真正正可以将内网管理起来。目前国内有很多面向中小企业的网络解决方案,他们几乎都将重点放在了路由器上,试图通过一台网关产品管理到内部网络的每个角落,坦白说,这并不现实,因为交换机与路由器有着各自不同的职责。 回过头我们再看文章开篇时提到的那个问题,思科300系列交换机能为我做什么?我们在组建网络时要求往往并不复杂,高效安全和成本是我们最关心的三个维度。本文就像是一份组网笔记,我们使用思科最新推出的300系列交换机组件了一个并不复杂,但高效安全的网络。 |
正在阅读:立体安全网络 思科全新300交换机试用立体安全网络 思科全新300交换机试用
2010-11-16 16:52
出处:PConline原创
责任编辑:gaohongjun
