c.同时在客户端的接入层交换机端口上使用STP PortFast减少客户启动的时间
d.如果分布层使用3层设备,则连接到接入层的下行链路接口应采用被动接口技术,被动接口所连接的接入层不能存在路由设备
e.需要对流经接入层上行链路的流量进行负载均衡,可以调整STP参数来让某个接入Vlan只是用其中一条上行链路,而另一接入Vlan使用另一条上行链路,也可以使用HSRP技术
(4).英特网模块
a.使用服务器负载均衡功能来分布流量到服务群中的多台服务器上
b.使用防火墙负载均衡功能来分布流量到服务群中的多台防火墙上
5.Vlan及安全性
a.通过控制Vlan的规模来控制广播域的大小。可以在网络中任何位置对Vlan进行拓展,同时也应考虑Vlan变大使得广播域增大,同时在交换机端口上采用广播减少技术
b.vtp模式最好是采用透明模式,而不是服务器/客户端模式,使用VTP手工修剪来修剪Trunk链路上传输的特定Vlan,可以减少Trunk链路上不必要的广播流量
c.Trunk扩展。
将多条Trunk链路捆绑在一起形成一个EtherChannel。
不要配置Trunk链路的协商,而应该手动指定成“on”模式。
d.QoS
应在网络中每台交换机上部署QoS技术。QoS技术必须被端到端节点正确地支持,将QoS可信边界扩展到可信的边缘设备(例如IP电话),使用策略来控制非关键业务的数据流。
e.冗余交换机模块。
在单网卡(NIC)主机环境中的服务器群交换机上考虑使用冗余Supervisor
引擎,如果在每个网络层中都具有冗余的上行链路,那么两台物理上分开的交换机可一直提供冗余性。在只有单个可用uplink接口的分布层或核心层交换机上可以使用冗余的Supervisor引擎,在机箱上的Supervisor引擎之间使用高可用冗余特性。开启版本控制功能,使得交换机可以在不中断业务的前提下升级OS。
f.端口安全及认证机制。
使周端口安全,可对连接到接入层交换机安全端口上的终端用户的MAC
地址或者用户数量进行控制,在接入层交换机端口上对用户进行身份认证。
配置端口认证,使得用户需要登录或认证通过才能准许访问网络,使用VLAN ACL来控制对VLAN的访问,动态ARP检测(DAI)是一种验证网络中ARP数据包的安全特性。DHCP监听提供了抵御拒绝服务(DoS)攻击的安全手段。[11]
3.2 系统级设备的要求
公司内部主要大部分是采用联想台式机工作,也有部分员工需要在家或是出差上班的就使用笔记本工作。正常的配置是2G以上CPU主频、2G内存、100G以上硬盘存储容量,配备windows Xp SP3英文版操作系统。系统除安装标准软件外还需对电脑数据进行加密操作,加密软件是采用micafe加密软件,同时bios加密。服务器主要是采用dell 7200,装载windows server 2003或是windows server 2008 R2版本操作系统。
网络设备方面,因为公司主要是内部数据交换比较多,所以从效率以及价格上来考虑,主要是与交换机为主,可以说90%都是交换机,公司内部有核心层交换机、汇聚层、接入层,核心层采用的是一台Catalyst 4503系列的交换机,汇聚层是分布在每个项目或部门的机柜里,主要是Catalyst 3750系列交换机,而接入层是大量采用Catalyst 2960系列交换机。其中Catalyst 4503交换机是属于中高端产品,可当路由使用,具有20端口线速10/100/1000(RJ-45)扩展卡,8端口(2:1)太比特(万兆)以钛网(x2)扩展卡,带有7个插槽及10个插槽的“R”系列机箱,该系列可支持冗余Supervise引擎模块,而Catalyst 3750具有169Gbit/s的交换矩阵,堆叠栈包转发率95Mpps,基于64字节的数据包,它既可以运行支持2层交换的IP Base镜像,又可以运行2层3层交换的IP Base镜像软件,至于Catalyst 2960只能用作二层交换,具备二层交换的所有功能。 企业网络组建与环境配置+文献综述(6):http://www.youerw.com/jisuanji/lunwen_2609.html