目 次
1 引言 2 需求分析 2.1 项目背景
2.2 用户需求 2.3 硬件需求
3 逻辑网络设计 3.1 企业网络结构规划
3.1.1 核心层 3.1.2 汇聚层 3.1.3 接入层
3.2 拓扑结构设计图 3.3 信息点分布表 3.3 路由协议选择 3.4 技术和设备选择
4 物理网络设计
4.1 布线系统 4.2 网络机房系统
5 网络安全 6 网络管理 总结 致谢 参考文献
1 引言
计算机网络已经广泛应用在我们身边,正改变着人们的工作和生活方式。网络给社会带来的革新是深远的。传统各行各业之间信息的分隔局面,正在被信息化所革新,使得行业之间信息的共享,业务平台互通成为可能。另外,计算机软件已不再局限于过去的单机运行,形形色色的网络应用,如:办公自动化系统、远程教学、应用于各行各业的管理软件等等,无不与计算机网络发生着紧密的联系。
现代企业规模不断壮大、业务量不断增加,原始的工作方式已经不能满足现代企业的需求,特别是对突发事件的快速处理能力的需求。企业网络为企业的现代化发展、综合信息管理和办公自动化等一系列应用提供了基础平台。高性能的企业网络恰能满足现代企业的这种需求。因此,建设高性能的企业网络十分重要。本设计结合远大家私有限公司的实际情况,分析、设计、配置、组建了一个典型的中小型企业网络。
2 需求分析
2.1 项目背景
远大家私是一家生产研发型企业,主楼是一座五层办公楼,以办公楼为中心,下设四个生产车间。整个公司有370个信息点,多个部门,不同部门的相互访问要有限制,企业中心机房设在办公大楼三楼中间。公司有自己的内部网页与外部网站;有自己的 OA 系统。要求建立一个安全、可靠、可扩展、高效的网络环境,能够方便快捷的实现网络资源共享、办公自动化、接入Internet等目标。
2.2 用户需求
1、要求各部门都有各自独立的文件服务器,且文件服务器通常不允许跨部门访问。
2、最高部门的计算机可以访问其他部门的文件服务器。 3、公司内部的计算机间采用公司内部的电子邮件系统联系。
4、公 司内部架设Web服务器,对Internet提供公司的形象和电子商务服
务。
5、为保证安全,Internet与公司内部网络间应该采用防护措施,防止外界对内部网络未经授权的访问。
6、如有必要,可根据需要在网络中增添其他功能服务器。 7、计算机应用系统要能处理大信息量的传输和计算; 8、要求易于用户管理、界面简单、逻辑清晰;
9、要求满足用户使用网络系统的运行质量,提高网络运行速度; 10、要求可以在同一个网络中支持多种服务质量,以支持目前和未来的应用和服务;
11、要求网络中使用的设备、技术和协议完全符合国际通用的标准; 12、要求网络提供足够的带宽,丰富的接口形式,满足用户对应用带宽的基本要求,并保留一定的余量供扩展使用,最大可能地降低网络传输延迟;
13、要求网络有很高的可靠性、稳定性及冗余,网络能够提供良好的安全性策略,能避免内部操作失误造成的损害和来自外部的恶意攻击。
14、要求能够方便快捷的实现网络资源共享、办公自动化、接入Internet等目标。
2.3 硬件需求
根据公司的网络功能需求和实际的布线系统情况,楼层接入设备需要选择同一型号的设备,网络设备必须在技术上具有先进性、通用性,必须便于管理、维护,应该满足集团现有计算机设备的高速接入,应该具备良好的可扩展性、可升级性,保护用户的投资。网络设备在满足功能与性能的基础上必须具有良好的性价比。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品,同时设备厂商必须要有良好的市场形象与售后技术支持。
3 逻辑网络设计
3.1 企业网络结构规划
此方案将远大家私内部网络设计为三级层级: 1、 核心层 2、 汇聚层 3、 接入层
这样规划一是能够有良好的层次感,利于实现较为复杂的网络功能要求;二是这样分层能够使每层的功能较容易实现也较清楚;三是采用这种分层方式可以支持较大的网络规模便于企业网的升级扩大。 3.1.1 核心层
核心层是网络主干部分,核心层的主要目的在于通过高速转发通信,提供优
化,可靠的骨干传输结构,因此核心层交换机应拥有更高的可靠性,性能和吞吐量。
3.1.2 汇聚层
汇聚层交换层是多台接入层交换机的汇聚点,它必须能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路,因此汇聚层交换机与接入层交换机比较,需要更高的性能,更少的接口和更高的交换速率。 3.1.3 接入层
接入层主要作用是允许终端用户连接到网络实现互联。因此接入层交换机具有低成本和高端口密度特性。
接入层部署在各个大楼,为使各终端更方便连接网络,接入层应具有和节点距离短易操作,可扩展等特点。
3.2 拓扑结构设计图
…… ……………………………………………… ……
3.4 楼宇分布情况
3.4 子网划分 3.5 VLAN划分 3.6 设备选型
核心层交换机:S7506(1台)
汇聚层交换机:S5500-28C-SI(1台)
)
接入层交换机:S3100-26TP-SI (4+14) 路由器:MSR 50
防火墙:SecPath F1000-C
网络管理平台:Mini IMC网络管理平台
1、代表目前网络系统设备的先进水平。 2、具备较强的安全性。
3、具备优良的可靠性、可用性、可维护性。 4、具备优良的可扩充性和升级能力。
5、具备优良的性价比,根据现在的需求和可以预见的需求增长情况设计网络,不追求空洞的技术先进性,避免追求高档和最新技术花费的巨大代价。
CISCO是网络业界第一品牌和最大的研发厂家,是项目可持续应用的投资保护和规避厂家风险的首选。IOS采用的是经检验已成为业界标准的强健稳定的CISCO IOS,具有广泛的协议支持,这是其他厂商所不能企及的;思科将其IOS(网络操作系统)打造成为网络系统中坚实、可靠的智能"神经中枢",作为应用最为广泛的网络软件,思科IOS软件系列在全世界一千多万个不同规模的系统上发挥着重要作用,其范围从小型家庭办公网络到最庞大的电信运营商网络。思科IOS取得广泛成功的关键在于,它的标准化设计中整合了创新网络技术、关键业务IP服务和首屈一指的平台支持能力。
基于以上原则,我们为XX公司网络建设选用CISCO公司的系列产品,以确保网络实用与性价比。 3.5.2 接入层交换机选型
总部和分部接入层交换机均选用WS-C2960-24TC-L,该款交换机它是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和10/100/1000千兆以太网连接,适用于入门级企业、中型市场和分支机构网络,有助于提供增强LAN服务。Catalyst 2960系列具有集成安全特性,包括网络准入控制(NAC)、高级服务质量(QoS)和永续性,可为网络边缘提供智能服务。
该系列还包括一系列针对网络管理员所作的硬件改进,包括双介质(或有线)千兆以太网上行链路配置,允许网络管理员使用铜缆端口或光纤上行链路端口。另外,它包括一款24端口千兆以太网交换机,可加速网络中的桌面千兆位(GTTD)传输。
Cisco Catalyst 2960系列提供了以下优势:
为网络边缘提供了智能特性,如先进的访问控制列表 (ACL)和增强安全特性。
双介质上行链路端口提供了千兆以太网上行链路灵活性,可以使用铜缆或光纤上行链路端口。每个双介质上行链路端口都有一个10/100/1000以太网端口和一个SFP千兆以太网端口,在使用时其中一个端口激活,但不能同时使用这两个端口。
通过高级QOS、精确速率限制、ACL和组播服务,实现了网络控制和带宽优化。
通过多种验证方法、数据加密技术和基于用户、端口和MAC地址的网络准入控制,实现了网络安全性。
通过嵌入式设备管理器和思科网络助理,简化了网络配置、升级和故障排除,可作为中型市场或分支机构解决方案的一部分。
3.5.3 核心层交换机选型
总部核心层交换机选用Cisco Catalyst 3560-24TS-S,该款交换机Cisco Catalyst 3560系列交换机是一个采用快速以太网配置的固定配置、企业级、IEEE 802.3af和思科预标准以太网电源(POE)的交换机,提供了可用性、安全性和服务质量(QOS)功能,改进了网络运营。Catalyst 3560系列是适用于小型企业布线室或分支机构环境的理想接入层交换机,这些环境将其LAN基础设施用于部署全新产品和应用,如IP电话、无线接入点、视频监视、建筑物管理系统和远程视频信息亭。客户可以部署网络范围的智能服务,如高级QOS、速率限制、访问控制列表、组播管理和高性能IP路由,并保持传统LAN交换的简便性。内嵌在Cisco Catalyst 3560系列交换机中的思科集群管理套件(CMS)让用户可以利用任何一个标准的Web浏览器,同时配置多个Catalyst桌面交换机并对其排障。 Cisco CMS软件提供了配置向导,它可以大幅度简化融合网络和智能化网络服务的部署。
Catalyst 3560系列为采用思科IP电话和Cisco Aironet无线LAN接入点,以及任何IEEE 802.3af兼容终端设备的部署,提供了较低的总体拥有成本(TCO)。以太网电源使客户无需再为每台支持POE的设备提供墙壁电源,免除了在IP电话和无线LAN部署中所必不可少的额外布线。Catalyst 3560 24端口版本可以以支持24个15.4W的同步全供电POE端口,从而获得了最佳上电设备支持。通过采用Cisco Catalyst智能电源管理,48端口版本可支持24个15.4W端口、48个7.7W端口,或它们的任意组合。当Catalyst 3560交换机与思科冗余电源系统675(RPS 675)共用时,可提供针对内部电源故障的无缝保护,而不间断电源(UPS)系统可防范电源中断情况,从而使融合式语音和数据网络实现最高电
3.5.4 出口路由器选型
总部出口路由器选用CISCO3845模块化路由器。该款路由器是一款集成多业务路由器,带2个千兆位以太网固定LAN口,提供1个SFP插槽,4个NME,4个HWIC,2个AIM,4个PVDM插槽。而且,3845路由器提供了屡获大奖的思科IP电话解决方案,适用于想通过融合话音和数据网络而降低成本和复杂度的客户,小型机构和分支机构可受益于全面、一体化的数据、话音处理、语音留言和自动接听系统。
安全方面,Cisco 3845拥有业界内嵌和集成在路由器中的最全面的安全服务,提供了先进的安全服务和管理功能,如内置硬件加密加速、IP安全性、 VPN级加密标准、三重数字加密标准、DES和多协议标签交换、状态防火墙保护、动
分部出口路由器选用CISCO2811模块化路由器该款路由器全面采用模块化架构设计,支持10/100Mbps广域网接入,2个10/100Mbps局域网接口。能使用户节省建设广域网的投资,获得良好的投资回报,从而帮助客户创造更多的价值。支持IEEE 802.3X网络标准,提供了集成语音留言、范围广泛的话音接口、支持 SRST, 分支机构可利用集中呼叫控制, 并通过SRST冗余性为IP电话经济有效地
3.6 VLAN规划
总部VLAN规划:
3.7 网络IP地址规划
3.7.1 IP地址合理规划的意义
在企业网网络规划中,IP地址方案的设计至关重要,好的IP地址方案不仅可以减少网络负荷,还能为以后的网络扩展打下良好的基础。
IP地址的合理是保证网络顺利运行和网络资源有效利用的关键。企业网IP地址的分配应该尽可能地利用申请到的地址空间,充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。具体地来说IP地址的合理规划有如下的意义:
1、IP 地址的合理规划是网络设计的重要环节,大型计算机网络必须对IP地址进行统一规划并得到有效实施;
2、IP 地址规划的好坏,影响到网络路由协议算法的效率; 3、影响到网络的性能; 4、影响到网络的扩展; 5、影响到网络的管理;
6、也将直接影响到网络应用的进一步发展。 3.7.2 IP地址规划
根据国际互联网络技术发展的趋势,结合XX公司总部和分部的现实情况,采用先地区后业务划分方法进行IP地址分配,如下表:
192.168 . 地址位(5位) 业务功能位(3位) . 子网位 主机位
IP地址分配表:
3.8 网络设计技术方案特点
根据XX公司网络建设的现有需求,并考虑到未来的发展趋势,需要建立一个统一的信息传输网络,满足数据、语音、视频、图像、多媒体等相关企业信息的传输,可以实现计算机管理系统、办公自动化系统、业务系统和Internet访问等应用。解决方案具有如下特点:
1、融合的网络平台:数据、视频等业务应用,提供端到端安全网络应用,灵活的结构部署,实现网络规模的任意伸缩、弹性应用。
2、丰富的网络类型:针对业务类型划分、网络应用、投资计划等融合专线网络、VPN、无线等多种方式的组网,满足支持丰富的扩展类型、扩展接口等,适用不同规模、不同方式的网络互联、接入,满足日益丰富的网络业务应用。
3、灵活安全的终端接入:网络安全、认证系统的部署应用能够杜绝非法终端接入网络,并且让合法终端在任意位置接入网络均获得相同的VPN归属和访问权限,甚至可以通过多次认证在不同时刻获得不同的VPN归属和访问权限,方便做到灵活办公和公用办公,真正实现网络虚拟化;
4、完善的业务类型:内部网络业务应用,互联网的安全访问、VPN的安全接入,无线及3G移动终端的应用,实现网络跨区域、跨平台的业务运行,提供基于多种平台信息系统应用。
5、多样化的管理手段:应用级别的网络安全划分、带宽限制、流量控制等丰富的管理手段和安全保障措施,使网络稳定、快速、健壮,保证业务系统的不间断运行。
6、统一规划、合理部署:降低网络投资、减少重复建设。避免了业务、数据物理隔离需要重复建设、应用服务器、安全设备重复采购的缺点,对网络平台进行统一规划、分步实施、合理部署,提高整体资源的利用率、降低管理难度、提高管理效率。
4 网络设计技术分析
4.1 企业网络技术分类
企业网是园区网络的一种,应用于企业网中的技术其实就是当今园区网络中的一些实用技术,我们将园区网络技术从总体上划分为路由技术,交换技术和远程接入技术。
1、路由技术
所谓路由就是指通过相互连接的网络把信息从源地点移动到目标地点的活动。一般来说,在路由过程中,信息至少会经过一个或多个中间节点。
2、交换技术
所谓交换技术是指二层交换技术+三层转发技术。传统的交换技术是在OSI网络标准模型中的第二层——数据链路层进行操作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。应用第三层交换技术即可实现网络路由的功能,又可以根据不同的网络状况做到最优的网络性能。
3、远程接入技术
所谓远程接入技术是指在网络中部署服务器集群,在远程接入技术服务器上安装并发布用友通客户端,所有用户运行远程接入技术服务器上的用友通客户端,并通过内部高速网络连接用友通服务器,完成财务、供应链、生产制造、分销、零售、客户关系、服务管理等功能模块的使用。
如果需要允许用户跨Internet访问,建议把远程接入技术服务器机群部署在DMZ网络中,把用友通服务器端部署在内部网络中,在内部防火墙上设置允许用友通客户端和服务器端通信的进行。
远程接入技术实施的好处:
1、远程接入技术网络带宽的要求非常低 2、远程接入技术解决互联网安全问题
3、远程接入技术减少IT投资成本,保护现有IT透支 4、远程接入技术方便管理,降低维护成本 5、远程接入技术具有高稳定性,可扩展性 6、远程接入技术性能优化,支持更多用户访问 7、远程接入技术具有优秀的虚拟打印功能
4.2 企业网中的路由技术
在园区网中由于受到自身网络的限制,应而不需要使用过多的路由技术,而路由技术主要应用在核心层或者是出口去往其它网络,连接出自己园区的网络。
在经过接入路由器时根据IP包的目的地址,在路由器的路由表中查询,是否有前往目的地的路由,如果有则根据路由条目来转发IP包。
静态路由技术
静态路由是指由网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的,不会传递给其他的路由器。当然,网管员也可以通过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境,在这样的环境中,网络管理员易于清楚地了解网络的拓扑结构,便于设置正确的路由信息。
XX公司使用静态路由技术,以实现公司总部和分部的互联互通。
4.3 企业网中的交换技术
在企业网使用的最多也是最广泛的技术就是交换技术,交换技术的成熟带动着这个网络的发展。而企业网是基于这个交换架构的网络,因此在交换式的网络中有众多技术VLAN, TRUNK,三层交换,STP,DHCP等。下面将分别介绍这些技术的应用:
1、VLAN技术
VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。
VLAN分类:
1.根据端口来划分VLAN 2.根据MAC地址划分VLAN 3.根据网络层划分VLAN 4.根据IP组播划分VLAN 5.基于规则的VLAN
6. 按用户定义、非用户授权划分VLAN 2、TRUNK技术
TRUNK是端口汇聚的意思,就是通过配置软件的设置,将2个或多个物理端口组合在一起成为一条逻辑的路径从而增加在交换机和网络节点之间的带宽,将属于这几个端口的带宽合并,给端口提供一个几倍于独立端口的独享的高带宽。Trunk是一种封装技术,它是一条点到点的链路,链路的两端可以都是交换机,也可以是交换机和路由器,还可以是主机和交换机或路由器。基于端口汇聚(Trunk)功能,允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量, 大幅度提供整个网络能力。
3、三层交换
三层交换技术就是:二层交换技术+三层转发技术。它解决了局域网中网段划分之后,网段中子网必须依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。
第三层交换提供以下优点:
1.提高了网络效率:第三层交换机通过允许网络管理员在第二层 VLAN 进行路由业务,确保将第二层广播控制在一个 VLAN 内,降低了业务量负载。 2.可持续发展:由于 OSI 层模型的分层特点,第三层交换机能够创建更加易于扩展和维护的更大规模的网络。
3.更加广泛的拓扑选择:基于路由器的网络支持任何拓扑,并能更轻易超过类似第二层交换网络的更大规模和复杂程度。
4.工作组和服务器安全:第三层设备能根据第三层网络地址创建接入策略,这允许网络管理员控制和阻塞某些 VLAN 到 VLAN 通信,阻塞某些 IP 地址,甚至能防止某些子网访问特定的信息。
5.更加优异的性能:通过使用先进的 ASIC 技术,第三层交换机可提供远远高于基于软件的传统路由器的性能。比如,每秒 4000 万个数据包对每秒 30 万个数据包。第三层交换机为千兆网络这样的带宽密集型基础架构提供了所需的路由性能。因此,第三层交换机可以部署在网络中许多具有更高战略意义的位置。 4、STP技术
生成树协议最主要的应用是为了避免局域网中的网络环回,解决成环以太网网络的“广播风暴”问题,从某种意义上说是一种网络保护技术,可以消除由于失误或者意外带来的循环连接。STP也提供了为网络提供备份连接的可能,可与SDH保护配合构成以太环网的双重保护。新型以太单板支持符合IEEE 802.1d标准的生成树协议STP及IEEE 802.1w规定的快速生成树协议RSTP,收敛速度可达到 1s。
5、DHCP
动态主机设置协议(Dynamic Host Configuration Protocol, DHCP)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:一是给内部网络或网络服务供应商自动分配IP地址给用户;二是给内部网络管理员作为对所有计算机作中央管理的手段。
4.4 企业网中的远程接入技术
1、访问控制列表(ACL)
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控
制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张
表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问
进行控制。
本设计方案使用访问控制列表来实现以下需求:
1.总部办公业务可以访问全网办公业务,不能访问分部生产业务。 2.分部办公业务可以访问全网办公业务,不能访问总部或其他分部的生产业务。
访问控制列表的另外一个重要作用是区分数据流,工程师可以使用访问控制列表来匹配感兴趣的数据流量,然后再由其他的网络协议或工具来对所匹配的数据流执行相应的动作。本设计方案中后面提到的网络地址转换技术的实现便需要利用到访问控制列表的此项功能。
2、网络地址转换(NAT)
网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
3、通用路由器封装(GRE)
GRE(Generic Routing Encapsulation,通用路由封装)协议是对某些网络层协议(如IP 和IPX)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输。GRE采用了Tunnel(隧道)技术,是 VPN(Virtual Private Network)的第三层隧道协议。IP隧道技术中使用的一种封装格式:把企业内部网的各种信息分组封装在内,可通过IP协议透明地穿过因特网,实现端点之间互连。
4.5 技术部署详细说明
1、根据3.4节所示的XX公司网络拓扑,实现其全网联通性。 2、总部交换网络STP部署:
ZB-CORE-1为所有VLAN的主根网桥。 3、总部DHCP部署:
ZB-CORE-1为总部网络DHCP服务器,为总部各部门接入用户提供动态IP地址分配。
4、分部一交换网络STP部署: FY-AES-1为所有VLAN的主根网桥。 5、分部一DHCP部署:
FY-R-1为分部一网络的DHCP服务器,为其各部门接入用户提供动态IP地址分配。
6、分部二交换网络STP部署: FE-AES-1为所有VLAN的主根网桥。 7、分部二DHCP部署:
FE-R-1为分部二网络的DHCP服务器,为其各部门接入用户提供动态IP地址分配。
8、Internet接入与静态路由实施:要求只有办公业务所处网段才能访问Internet。
总部在ZB-R-1上配置NAT与默认路由,下一跳指向公网出口对端IP地址;在ZB-CORE-1上配置默认路由,下一跳指向ZB-R-1;在ZB-R-1上配置静态汇总路由,下一跳指向ZB-CORE-1。
分部一在FY-R-1上配置NAT与默认路由,下一跳指向公网出口对端IP地址; 分部二在FE-R-1上配置NAT与默认路由,下一跳指向公网出口对端IP地址。 9、总部分部对接:
为节省前期网络建设投资成本,总部与分公司采用GRE隧道连通: 10、业务流量访问控制:
在ZB-R-1、FY-R-1、FE-R-1上分别配置访问控制列表,以实现本方案中对流量控制的需求:
1.总部办公业务可以访问全网办公业务,不能访问分部生产业务。 2.分部办公业务可以访问全网办公业务,不能访问总部或其他分部的生 产业务。
11、总部服务器部署:在一台Windows 2003 Server上架设OA服务器,全网任何用户都 能通过IP访问OA服务器。
5 实施步骤及配置
5.1 基本信息配置
5.1.1 设备命名
注:设备命名格式:area-type-num;
Area:表示所在地区的拼音的第一个大写字母,如:总部为ZB;
Type:表示该设备的类型,是交换机还是路由器,如接入层交换机为AES(ACCESS),核心层交换机为CORE(CORE LAYER);路由器为R(ROUTER)
Num:表示该设备的序列号,如:第一台设备为1; 示例:ZB-AES-1表示总部接入层1号交换机; 5.1.2 禁用域名解析配置
在这个项目方案中设备没必要用到域名解析,因此关闭设备域名解析功能; 基本配置:no ip domain-lookup 5.1.3 CONSOLE及TELNET管理密码配置:
从设备本身的安全性考虑,为每台设备都配置CONSOLE及TELNET密码; 基本配置:enable password xxx line console 0 logging synchronous Password xxx
5.2 二层网络全局配置
5.2.1 创建VLAN
先将各交换机配置成透明模式,然后在交换设备上创建VLAN:
分部二:
5.2.2 二层接口配置
将二层交换机上与PC机或服务器相连的接口配置成ACCESS,与交换机、路由器相连的接口配置成TRUNK;
将各地区的二层交换机上的F0/5- F0/8接口划入生产业务VLAN中;
将各地区的二层交换机上的F0/9- F0/12接口划入办公业务VLAN中;
5.2.3 STP生成树配置
在各地区各交换机上配置STP生成树的根网桥及边缘端口(注:二层交换机可以采用默认优先级).
相关命令配置:
ZB-AES-1#vlan database //进入VLAN配置模式
ZB-AES-1(vlan)#vlan 20 name SC //创建生产VLAN20
ZB-AES-1(vlan)# vlan 21 name OA
ZB-AES-1(vlan)#vlan 300 name WG
总部三层交换机1:
ZB-CORE-1#vlan database
ZB-CORE-1(vlan)#vlan 20 name SC //创建生产VLAN20
ZB-CORE-1(vlan)# vlan 21 name OA
ZB-CORE-1(vlan)#exit
ZB-CORE-1#config terminal
ZB-CORE-1(config)#spannging-tree vlan 1 root primary
ZB-CORE-1(config)#spannging-tree vlan 20 root primary
ZB-CORE-1(config)#spannging-tree vlan 21 root primary
ZB-CORE-1(config)#spannging-tree vlan 300 root primary
分部一二层交换机1:
FY-AES-1#vlan database
FY-AES-1(vlan)#vlan 36 name SC //创建生产VLAN36
FY-AES-1(vlan)# vlan 37 name OA
FY-AES-1(vlan)#vlan 300 name WG
FY-AES-1(vlan)#exit //创建办公VLAN37 //创建网管VLAN300 //创建办公VLAN21 ZB-CORE-1(vlan)#vlan 300 name WG //创建网管VLAN300 //创建办公VLAN21 //创建网管VLAN300
FY-AES-1#config terminal
FY-AES-1(config)#spannging-tree vlan 1 root primary
FY-AES-1(config)#spannging-tree vlan 36 root primary
FY-AES-1(config)#spannging-tree vlan 37 root primary
FY-AES -1(config)#spannging-tree vlan 300 root primary
分部一二层交换机2:
FY-AES-2#vlan database
FY-AES-2(vlan)#vlan 36 name SC //创建VLAN36
FY-AES-2(vlan)# vlan 37 name OA
FY-AES-2(vlan)#vlan 300 name WG
FY-AES-2(vlan)#exit
分部二二层交换机1:
FE-AES-1#vlan database
FE-AES-1(vlan)#vlan 44 //创建VLAN1
FE-AES-1(vlan)# vlan 45 name OA //创建办公VLAN45
FE-AES-1(vlan)#vlan 300 name WG //创建网管VLAN300
FE-AES-1(vlan)#exit
分部二二层交换机2:
FE-AES-2#vlan database
FE-AES-2(vlan)#vlan 44 //创建VLAN1
FE-AES-2(vlan)# vlan 45 name OA //创建办公VLAN45
FE-AES-2(vlan)#vlan 300 name WG //创建网管VLAN300
FE-AES-2(vlan)#exit //创建办公VLAN37 //创建网管VLAN300
5.3 三层接口配置
5.3.1 二层交换机上网管接口配置
依据3.7IP地址分配表,在二层交换机上配置VLAN300为网管VLAN,并配置相应的网关;
5.3.2 三层交换机SVI接口配置
依据3.7IP地址分配表,在总部三层交换机上为所有的SVI接口配置IP;
5.3.3路由器接口配置
依据3.7IP地址分配表,在路由器上为所有接口配置IP。
相关命令配置
总部二层交换机1:
ZB-AES-1(config)# interface vlan 300
ZB-AES-1(config-if)#ip address 192.168.19.2 255.255.255.0
ZB-AES-1(config-if)#no shutdown
ZB-AES-1(config-if)#exit
ZB-AES-1(config)#ip default-gateway 192.168.19.1
总部三层交换机1:
ZB-CORE-1(config)# ip routing
ZB-CORE-1(config)# interface loopback0
ZB-CORE-1(config-if)#ip address 192.168.0.1 255.255.255.255
ZB-CORE-1(config-if)#no shutdown
ZB-CORE-1(config-if)#exit
ZB-CORE-1(config)#interface fastetherner0/1
ZB-CORE-1(config-if)#ip address 192.168.1.1 255.255.255.252
ZB-CORE-1(config-if)#no shutdown
ZB-CORE-1(config)#interface vlan 300
ZB-CORE-1(config-if)#ip address 192.168.19.1 255.255.255.0
ZB-CORE-1(config-if)#no shutdown
ZB-CORE-1(config-if)#exit
ZB-CORE-1(config)#interface vlan 20
ZB-CORE-1(config-if)#ip address 192.168.20.1 255.255.255.0
ZB-CORE-1(config-if)#no shutdown
ZB-CORE-1(config-if)#exit
ZB-CORE-1(config)#interface vlan 21
ZB-CORE-1(config-if)#ip address 192.168.21.1 255.255.255.0
ZB-CORE-1(config-if)#no shutdown
ZB-CORE-1(config-if)#exit
总部路由器1:
ZB-R-1(config)# interface loopback0
ZB-R-1(config-if)#ip address 192.168.0.2 255.255.255.255
ZB-R-1(config-if)#no shutdown
ZB-R-1(config-if)#exit
ZB-R-1(config)#interface fastethernet1/0
ZB-R-1(config-if)#ip address 192.1.1.2 255.255.255.240
ZB-R-1(config-if)#no shutdown
ZB-R-1(config-if)#exit
ZB-R-1(config)#interface fastethernet2/0
ZB-R-1(config-if)#ip address 192.168.1.2 255.255.255.252
ZB-R-1(config-if)# no shutdown
ZB-R-1(config-if)#exit
分部一二层交换机1:
FY-AES-1(config)# interface vlan 300
FY-AES-1 (config-if)#ip address 192.168.35.2 255.255.255.0
FY-AES-1 (config-if)#no shutdown
FY-AES-1 (config-if)#exit
FY-AES-1(config)# ip default-gateway 192.168.31.1
分部一二层交换机2:
FY-AES-2(config)# interface vlan 300
FY-AES-2(config-if)#ip address 192.168.35.3 255.255.255.0
FY-AES-2(config-if)#no shutdown
FY-AES-2(config-if)#exit
FY-AES-2(config)# ip default-gateway 192.168.31.1
分部一路由器1:
FY-R-1(config)# interface tunnel0
FY-R-1(config)#interface ethernet2/0.300
FY-R-1(config-if)#ip address 192.168.35.1 255.255.255.0
FY-R-1(config-if)#no shutdown
FY-R-1(config-if)#exit
FY-R-1(config)#interface ethernet2/0.36
FY-R-1(config-if)#ip address 192.168.36.1 255.255.255.0
FY-R-1(config-if)#no shutdown
FY-R-1(config-if)#exit
FY-R-1(config)#interface ethernet2/0.37
FY-R-1(config-if)#ip address 192.168.37.1 255.255.255.0
FY-R-1(config-if)#no shutdown
FY-R-1(config-if)#exit
分部二二层交换机1:
FE-AES-1(config)# interface vlan 300
FE-AES-1(config-if)#ip address 192.168.43.2 255.255.255.0
FE-AES-1(config=if)#no shutdown
FE-AES-1(config=if)#exit
分部二二层交换机2:
FE-AES-2(config)# interface vlan 300
FE-AES-2(config-if)#ip address 192.168.43.3 255.255.255.0
FE-AES-2(config=if)#no shutdown
FE-AES-2(config=if)#exit
分部二路由器:
FE-R-1(config)# interface ethernet2/0.300
FE-R-1(config-if)#ip address 192.168.43.1 255.255.255.0
FE-R-1(config-if)#no shutdown
FE-R-1(config-if)#exit
FE-R-1(config)#interface ethernet2/0.44
FE-R-1(config-if)#ip address 192.168.44.1 255.255.255.0
FE-R-1(config-if)#no shutdown
FE-R-1(config-if)#exit
FE-R-1(config)#interface ethernet2/0.45
FE-R-1(config-if)#ip address 192.168.45.1 255.255.255.0
FE-R-1(config-if)#no shutdown
FE-R-1(config-if)#exit
FE-R-1(config)# interface tunnel 0
FE-R-1(config-if)#ip address 192.168.41.2 255.255.255.252
FE-R-1(config-if)#tunnel source f1/0
FE-R-1(config-if)#tunnel destination 172.1.1.2
FE-R-1(config-if)#no shut
FE-R-1(config-if)#exit
5.4 DHCP配置
在总部三层交换机、分部一和分部二的路由器上配置DHCP服务器;
相关命令配置:
总部三层交换机1:
ZB-CORE-1(config)# service dhcp
ZB-CORE-1(config) #ip dhcp pool vlanSC
ZB-CORE-1(dhcp-config) #network 192.168.20.0 255.255.255.0
ZB-CORE-1(dhcp-config) #default-router 192.168.20.1
ZB-CORE-1(dhcp-config) #exit
ZB-CORE-1(config) #ip dhcp pool vlanOA
ZB-CORE-1(dhcp-config) #network 192.168.21.0 255.255.255.0
ZB-CORE-1(dhcp-config) # default-router 192.168.21.1
ZB-CORE-1(dhcp-config) #exit
ZB-CORE-1(config)
192.168.20.5
ZB-CORE-1(config)
192.168.21.5
分部一路由器:
FY-R-1(config)# service dhcp
FY-R-1(config) #ip dhcp pool vlanSC
FY-R-1(dhcp-config) #network 192.168.36.0 255.255.255.0
FY-R-1(dhcp-config) #default-router 192.168.36.1
FY-R-1(dhcp-config) #exit
FY-R-1(config) #ip dhcp pool vlanOA
FY-R-1(dhcp-config) #network 192.168.37.0 255.255.255.0
FY-R-1(dhcp-config) # default-router 192.168.37.1
FY-R-1(dhcp-config) #exit
FY-R-1(config) #ip dhcp excluded-address 192.168.36.1 192.168.36.5 FY-R-1(config) #ip dhcp excluded-address 192.168.37.1 192.168.37.5 分部二路由器:
FE-R-1(config)# service dhcp
FE-R-1(config) #ip dhcp pool vlanSC
FE-R-1(dhcp-config) #network 192.168.44.0 255.255.255.0
FE-R-1(dhcp-config) #default-router 192.168.44.1
FE-R-1(dhcp-config) #exit
FE-R-1(config) #ip dhcp pool vlanOA
FE-R-1(dhcp-config) #network 192.168.45.0 255.255.255.0
FE-R-1(dhcp-config) # default-router 192.168.45.1
FE-R-1(dhcp-config) #exit
FE-R-1(config) #ip dhcp excluded-address 192.168.44.1 192.168.44.5 FE-R-1(config) #ip dhcp excluded-address 192.168.45.1 192.168.45.5 #ip dhcp excluded-address 192.168.21.1 #ip dhcp excluded-address 192.168.20.1
5.5 Internet接入之静态路由配置
在总部ZB-CORE-1上配置默认路由,下一跳指向ZB-R-1;
在总部ZB-R-1上配置总部网络静态汇总路由,下一跳指向ZB-CORE-1; 在总部ZB-R-1上配置默认路由,下一跳指向公网出口对端IP地址。
在分部一FY-R-1上配置默认路由,下一跳指向公网出口对端IP地址。 在分部二FE-R-1上配置默认路由,下一跳指向公网出口对端IP地址。 相关命令配置:
总部核心交换机:
ZB-CORE-1(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.2
总部路由器:
ZB-R-1(config)# ip route 0.0.0.0 0.0.0.0 172.1.1.1
ZB-R-1(config)# ip route 192.168.16.0 255.255.240.0 192.168.1.1 分部一路由器:
FY-R-1(config)# ip route 0.0.0.0 0.0.0.0 172.1.2.1
FY-R-1(config)# ip route 192.168.16.0 255.255.240.0 192.168.33.1 FY-R-1(config)# ip route 192.168.40.0 255.255.248.0 192.168.33.1 分部二路由器:
FE-R-1(config)# p route 0.0.0.0 0.0.0.0 172.1.3.1
FE-R-1(config)# ip route 192.168.16.0 255.255.240.0 192.168.41.1 FE-R-1(config)# ip route 192.168.32.0 255.255.248.0 192.168.41.1
5.6 Internet接入之NAT配置
在各地区的路由器上配置NAT,使各业务终端能够正常访问Internet。 相关命令配置:
总部路由器:
ip nat pool zongbu 172.1.1.2 172.1.1.10 netmask 255.255.255.240 ip nat inside source list 1 pool zongbu overload
分部一路由器
ip nat pool fenzhi1 172.1.2.2 172.1.2.10 netmask 255.255.255.240 ip nat inside source list 1 pool fenzhi1 overload
分部二路由器:
ip nat pool fenzhi2 172.1.3.2 172.1.3.10 netmask 255.255.255.240 ip nat inside source list 1 pool fenzhi2 overload
5.7 全网互联之GRE配置
总部ZB-R-1 Tunnel0:源地址为ZB-R-1公网IP,目的地址为FY-R-1公网IP;
总部ZB-R-1 Tunnel1:源地址为ZB-R-1公网IP,目的地址为FE-R-1公网
IP;
分部一FY-R-1 Tunnel0:源地址为FY-R-1公网IP,目的地址为ZB-R-1公网IP;
分部二FE-R-1 Tunnel0:源地址为FE-R-1公网IP,目的地址为ZB-R-1公网IP。
相关命令配置:
总部路由器:
ZB-R-1(config)# interface tunnel0
ZB-R-1(config-if)#ip address 192.168.33.1 255.255.255.252
ZB-R-1(config-if)#tunnel source 172.1.1.2
ZB-R-1(config-if)#tunnel destination 172.1.2.2
ZB-R-1(config-if)#exit
ZB-R-1(config)#interface tunnel1
ZB-R-1(config-if)#ip address 192.168.41.1 255.255.255.252
ZB-R-1(config-if)#tunnel source 172.1.1.2
ZB-R-1(config-if)#tunnel destination 172.1.3.2
ZB-R-1(config-if)#end
分部一路由器:
ZB-R-1(config)# interface tunnel0
FY-R-1(config-if)#ip address 192.168.33.2 255.255.255.252
FY-R-1(config-if)#tunnel source 172.1.2.2
FY-R-1(config-if)#tunnel destination 172.1.1.2
FY-R-1(config-if)#exit
分部二路由器:
FE-R-1(config)# interface tunnel0
FE-R-1(config-if)#ip address 192.168.41.2 255.255.255.252
FE-R-1(config-if)#tunnel source 172.1.3.2
FE-R-1(config-if)#tunnel destination 172.1.1.2
FE-R-1(config-if)#exit
5.8 全网互联之静态路由配置
在ZB-R-1配置静态汇总路由(各分部路由),下一跳指向GRE隧道对端地址; 在FY-R-1配置与总部和其他分部的静态汇总路由,下一跳指向GRE隧道对端地址;
在FE-R-1配置与总部和其他分部的静态汇总路由,下一跳指向GRE隧道对
端地址;
相关命令配置:
总部路由器:
ZB-R-1(config)# ip route 0.0.0.0 0.0.0.0 172.1.1.1
分部一路由器:
FY-R-1(config)# ip route 0.0.0.0 0.0.0.0 172.1.2.1
分部二路由器:
FE-R-1(config)# ip route 0.0.0.0 0.0.0.0 172.1.3.1
5.9 访问控制列表配置
在ZB-R-1、FY-R-1、FE-R-1上分别配置访问控制列表,以实现本方案中对流量控制的需求:
1、总部办公业务可以访问全网办公业务,不能访问分部生产业务。
2、分部办公业务可以访问全网办公业务,不能访问总部或其他分部的生产业务。
相关命令配置
总部路由器:
access-list 110 deny ip 192.168.21.0 0.0.0.255 192.168.36.0 0.0.0.255
access-list 110 deny ip 192.168.21.0 0.0.0.255 192.168.44.0 0.0.0.255
access-list 110 permit ip any any
access-list 1 permit 192.168.16.0 0.0.15.255
分部一路由器:
FY-R-1(config)# access-list 1 permit 192.168.32.0 0.0.7.255
access-list 120 deny ip 192.168.37.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 120 deny ip 192.168.37.0 0.0.0.255 192.168.44.0 0.0.0.255
access-list 120 permit ip any any
分部二路由器:
FE-R-1(config)# access-list 130 deny ip 192.168.45.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 130 deny ip 192.168.45.0 0.0.0.255 192.168.36.0 0.0.0.255
access-list 130 permit ip any any
exit
总结
经过数个月的努力终于完成了毕业设计与毕业论文。在设计过程中,出现了很多难题,有些在自己在书籍上和网络上找到解决方法,有些却到目前还没有解决,希望日后能学习到相关的知识,积累到足够的经验能解决现在没有解决的问题。
遇到的问题有如下几点
1、拓扑结构的设计:拓扑结构对整个网络架构设计影响相当大,在网上参考了一些网络拓扑图,再联合自己对网络方面的了解,最终设计了该拓扑结构,由于没有正式将该拓扑结构应用到实际操作中,相比会有很多不足。
2、核心交换机的配置:刚刚开始设计时没有了解清楚VLAN间通信的要点。尝试使用路由器或三层交换机,完成VLAN间的通信,但考虑到在交多节点的网络中,该方法弊端极大。所以最后选择用SVI(Switch Virtual Interface)提供VLAN间通讯,通过不断的尝试,并数次对拓扑结构的改造,最终实现了VLAN间的通讯。
3、实现核心交换机的冗余:这个问题未能解决,希望未来能够得到答案,在冗余核心交换机 COER2 上将其配置为次根 (secondary root)然后就会出现广播风暴 (broadcast storm),我参考了相关书籍,也是这样配置的,所以我初步断定问题出现在模拟器上,并非我的配置与设计问题。
总结,毕业设计虽然只能用模拟器实现,但我发现即使将书本上的学习得很透彻,在实际应用中也会遇到不少的问题,例如经常忘记将交换机与交换机的链路配置成trunk,因为CISCO的交换机默认处于 dynamic auto 如果两个都处于dynamic auto 是不会谈判(negotiate)成 trunk的,因此VLAN的通信就会中断。又例如经常忘记创建交换机的非VLAN 1 的VLAN,如VLAN2 没有被创建,那么该交换机就不会进行VLAN2 的通信,或者VLAN2 创建了,忘记把他的状态配置成up/up 模式,(没有输入 no shutdown命令)。 导致不能通信。
最后我认为作为一个网络设计者,必须很细心,而且必须将所做的每一个步骤都记录下来,以便以后检测和排错(troubleshooting)。我认为只有边进行理论学习边实践才能真正学到知识的,光上课听课,没有亲身体会到,是很难使知识常驻于脑海的,久了不用就会忘了。
致谢
在本次毕业设计过程中,得到了指导老师蒋明华老师的指导与支持。在此特别感谢蒋老师的大力帮助。蒋老师的悉心指导和大力支持,在总体结构、功能的把握上给予了非常大的帮助,并对我在设计、配置等细节工作上给予了耐心的指导。
转眼间,大学生活即将结束,回首过去三年的大学生活,真是有苦也有乐,然而更多的则是收获,感谢母校的各位老师不但无私地传授给我们知识,也教会了我们如何做人。本设计牵涉到网络架构设计的知识,网络设备配置命令与验证网络设备的连通性等知识,虽然任务繁重,但正是在这几个月紧张而充实的设计中,我感到自己的知识得到了一次升华,我相信:我的毕业设计会给我的三年大学画上一个圆满的句号。
人们自然对未来有许多美好的愿望和设想。现代科学技术的飞速发展,改变了世界,也改变了世界的生活。作为一名合格优秀的南铁院毕业生,应当站在世界的发展前列,掌握现代科学技术知识,调整自己的知识结构和能力结构,以适应社会发展的要求。新世纪需要具有丰富现代科学知识、能够独立解决面临任务、有创新意识的新型人才。
参考文献
[1] 刘晓辉.网络硬件搭建与配置实践.北京.电子工业出版社.2009
[2] Todd Lammle. Cisco Certified Network Associate Study Guide. Wiley Publishing, Inc. 2007
[3] Wendell Odom. CCNP ROUTE 642-902 Official Certification Guide. Pearson Education, Inc. 2010
[4] David Hucaby. CCNP SWITCH 642-813 Official Certification Guide. Pearson Education, Inc. 2010
[5] Kevin Wallace. CCNP TSHOOT 642-832 Official Certification Guide Pearson Education, Inc. 2010
[6] Cisco Systems, Inc. Cisco IOS 12.0 bridging and IBM network solutions.2006
[7] 石志国.计算机网络安全教程.北京.清华大学出版社.2009
[8] 刘晓辉.http://book.51cto.com/art/200905/122132.htm
[9] 陈向阳.网络工程规划与设计.北京.清华大学出版社.2007
[10] 钟小平.网络服务器配置与应用.北京.人民邮电出版社.2005
[11] 杨卫东.网络系统集成与工程设计.北京.科学出版社.2006
[12] Cisco Systems, Inc. Cisco IOS 12.0 bridging and IBM network solutions.2006
[13] Information Gatekeepers Inc. China Network Solutions.
[14] Inc Icon Group International, Incorporated. Network Solutions . 2000
目 次
1 引言 2 需求分析 2.1 项目背景
2.2 用户需求 2.3 硬件需求
3 逻辑网络设计 3.1 企业网络结构规划
3.1.1 核心层 3.1.2 汇聚层 3.1.3 接入层
3.2 拓扑结构设计图 3.3 信息点分布表 3.3 路由协议选择 3.4 技术和设备选择
4 物理网络设计
4.1 布线系统 4.2 网络机房系统
5 网络安全 6 网络管理 总结 致谢 参考文献
1 引言
计算机网络已经广泛应用在我们身边,正改变着人们的工作和生活方式。网络给社会带来的革新是深远的。传统各行各业之间信息的分隔局面,正在被信息化所革新,使得行业之间信息的共享,业务平台互通成为可能。另外,计算机软件已不再局限于过去的单机运行,形形色色的网络应用,如:办公自动化系统、远程教学、应用于各行各业的管理软件等等,无不与计算机网络发生着紧密的联系。
现代企业规模不断壮大、业务量不断增加,原始的工作方式已经不能满足现代企业的需求,特别是对突发事件的快速处理能力的需求。企业网络为企业的现代化发展、综合信息管理和办公自动化等一系列应用提供了基础平台。高性能的企业网络恰能满足现代企业的这种需求。因此,建设高性能的企业网络十分重要。本设计结合远大家私有限公司的实际情况,分析、设计、配置、组建了一个典型的中小型企业网络。
2 需求分析
2.1 项目背景
远大家私是一家生产研发型企业,主楼是一座五层办公楼,以办公楼为中心,下设四个生产车间。整个公司有370个信息点,多个部门,不同部门的相互访问要有限制,企业中心机房设在办公大楼三楼中间。公司有自己的内部网页与外部网站;有自己的 OA 系统。要求建立一个安全、可靠、可扩展、高效的网络环境,能够方便快捷的实现网络资源共享、办公自动化、接入Internet等目标。
2.2 用户需求
1、要求各部门都有各自独立的文件服务器,且文件服务器通常不允许跨部门访问。
2、最高部门的计算机可以访问其他部门的文件服务器。 3、公司内部的计算机间采用公司内部的电子邮件系统联系。
4、公 司内部架设Web服务器,对Internet提供公司的形象和电子商务服
务。
5、为保证安全,Internet与公司内部网络间应该采用防护措施,防止外界对内部网络未经授权的访问。
6、如有必要,可根据需要在网络中增添其他功能服务器。 7、计算机应用系统要能处理大信息量的传输和计算; 8、要求易于用户管理、界面简单、逻辑清晰;
9、要求满足用户使用网络系统的运行质量,提高网络运行速度; 10、要求可以在同一个网络中支持多种服务质量,以支持目前和未来的应用和服务;
11、要求网络中使用的设备、技术和协议完全符合国际通用的标准; 12、要求网络提供足够的带宽,丰富的接口形式,满足用户对应用带宽的基本要求,并保留一定的余量供扩展使用,最大可能地降低网络传输延迟;
13、要求网络有很高的可靠性、稳定性及冗余,网络能够提供良好的安全性策略,能避免内部操作失误造成的损害和来自外部的恶意攻击。
14、要求能够方便快捷的实现网络资源共享、办公自动化、接入Internet等目标。
2.3 硬件需求
根据公司的网络功能需求和实际的布线系统情况,楼层接入设备需要选择同一型号的设备,网络设备必须在技术上具有先进性、通用性,必须便于管理、维护,应该满足集团现有计算机设备的高速接入,应该具备良好的可扩展性、可升级性,保护用户的投资。网络设备在满足功能与性能的基础上必须具有良好的性价比。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品,同时设备厂商必须要有良好的市场形象与售后技术支持。
3 逻辑网络设计
3.1 企业网络结构规划
此方案将远大家私内部网络设计为三级层级: 1、 核心层 2、 汇聚层 3、 接入层
这样规划一是能够有良好的层次感,利于实现较为复杂的网络功能要求;二是这样分层能够使每层的功能较容易实现也较清楚;三是采用这种分层方式可以支持较大的网络规模便于企业网的升级扩大。 3.1.1 核心层
核心层是网络主干部分,核心层的主要目的在于通过高速转发通信,提供优
化,可靠的骨干传输结构,因此核心层交换机应拥有更高的可靠性,性能和吞吐量。
3.1.2 汇聚层
汇聚层交换层是多台接入层交换机的汇聚点,它必须能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路,因此汇聚层交换机与接入层交换机比较,需要更高的性能,更少的接口和更高的交换速率。 3.1.3 接入层
接入层主要作用是允许终端用户连接到网络实现互联。因此接入层交换机具有低成本和高端口密度特性。
接入层部署在各个大楼,为使各终端更方便连接网络,接入层应具有和节点距离短易操作,可扩展等特点。
3.2 拓扑结构设计图
…… ……………………………………………… ……
3.4 楼宇分布情况
3.4 子网划分 3.5 VLAN划分 3.6 设备选型
核心层交换机:S7506(1台)
汇聚层交换机:S5500-28C-SI(1台)
)
接入层交换机:S3100-26TP-SI (4+14) 路由器:MSR 50
防火墙:SecPath F1000-C
网络管理平台:Mini IMC网络管理平台
1、代表目前网络系统设备的先进水平。 2、具备较强的安全性。
3、具备优良的可靠性、可用性、可维护性。 4、具备优良的可扩充性和升级能力。
5、具备优良的性价比,根据现在的需求和可以预见的需求增长情况设计网络,不追求空洞的技术先进性,避免追求高档和最新技术花费的巨大代价。
CISCO是网络业界第一品牌和最大的研发厂家,是项目可持续应用的投资保护和规避厂家风险的首选。IOS采用的是经检验已成为业界标准的强健稳定的CISCO IOS,具有广泛的协议支持,这是其他厂商所不能企及的;思科将其IOS(网络操作系统)打造成为网络系统中坚实、可靠的智能"神经中枢",作为应用最为广泛的网络软件,思科IOS软件系列在全世界一千多万个不同规模的系统上发挥着重要作用,其范围从小型家庭办公网络到最庞大的电信运营商网络。思科IOS取得广泛成功的关键在于,它的标准化设计中整合了创新网络技术、关键业务IP服务和首屈一指的平台支持能力。
基于以上原则,我们为XX公司网络建设选用CISCO公司的系列产品,以确保网络实用与性价比。 3.5.2 接入层交换机选型
总部和分部接入层交换机均选用WS-C2960-24TC-L,该款交换机它是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和10/100/1000千兆以太网连接,适用于入门级企业、中型市场和分支机构网络,有助于提供增强LAN服务。Catalyst 2960系列具有集成安全特性,包括网络准入控制(NAC)、高级服务质量(QoS)和永续性,可为网络边缘提供智能服务。
该系列还包括一系列针对网络管理员所作的硬件改进,包括双介质(或有线)千兆以太网上行链路配置,允许网络管理员使用铜缆端口或光纤上行链路端口。另外,它包括一款24端口千兆以太网交换机,可加速网络中的桌面千兆位(GTTD)传输。
Cisco Catalyst 2960系列提供了以下优势:
为网络边缘提供了智能特性,如先进的访问控制列表 (ACL)和增强安全特性。
双介质上行链路端口提供了千兆以太网上行链路灵活性,可以使用铜缆或光纤上行链路端口。每个双介质上行链路端口都有一个10/100/1000以太网端口和一个SFP千兆以太网端口,在使用时其中一个端口激活,但不能同时使用这两个端口。
通过高级QOS、精确速率限制、ACL和组播服务,实现了网络控制和带宽优化。
通过多种验证方法、数据加密技术和基于用户、端口和MAC地址的网络准入控制,实现了网络安全性。
通过嵌入式设备管理器和思科网络助理,简化了网络配置、升级和故障排除,可作为中型市场或分支机构解决方案的一部分。
3.5.3 核心层交换机选型
总部核心层交换机选用Cisco Catalyst 3560-24TS-S,该款交换机Cisco Catalyst 3560系列交换机是一个采用快速以太网配置的固定配置、企业级、IEEE 802.3af和思科预标准以太网电源(POE)的交换机,提供了可用性、安全性和服务质量(QOS)功能,改进了网络运营。Catalyst 3560系列是适用于小型企业布线室或分支机构环境的理想接入层交换机,这些环境将其LAN基础设施用于部署全新产品和应用,如IP电话、无线接入点、视频监视、建筑物管理系统和远程视频信息亭。客户可以部署网络范围的智能服务,如高级QOS、速率限制、访问控制列表、组播管理和高性能IP路由,并保持传统LAN交换的简便性。内嵌在Cisco Catalyst 3560系列交换机中的思科集群管理套件(CMS)让用户可以利用任何一个标准的Web浏览器,同时配置多个Catalyst桌面交换机并对其排障。 Cisco CMS软件提供了配置向导,它可以大幅度简化融合网络和智能化网络服务的部署。
Catalyst 3560系列为采用思科IP电话和Cisco Aironet无线LAN接入点,以及任何IEEE 802.3af兼容终端设备的部署,提供了较低的总体拥有成本(TCO)。以太网电源使客户无需再为每台支持POE的设备提供墙壁电源,免除了在IP电话和无线LAN部署中所必不可少的额外布线。Catalyst 3560 24端口版本可以以支持24个15.4W的同步全供电POE端口,从而获得了最佳上电设备支持。通过采用Cisco Catalyst智能电源管理,48端口版本可支持24个15.4W端口、48个7.7W端口,或它们的任意组合。当Catalyst 3560交换机与思科冗余电源系统675(RPS 675)共用时,可提供针对内部电源故障的无缝保护,而不间断电源(UPS)系统可防范电源中断情况,从而使融合式语音和数据网络实现最高电
3.5.4 出口路由器选型
总部出口路由器选用CISCO3845模块化路由器。该款路由器是一款集成多业务路由器,带2个千兆位以太网固定LAN口,提供1个SFP插槽,4个NME,4个HWIC,2个AIM,4个PVDM插槽。而且,3845路由器提供了屡获大奖的思科IP电话解决方案,适用于想通过融合话音和数据网络而降低成本和复杂度的客户,小型机构和分支机构可受益于全面、一体化的数据、话音处理、语音留言和自动接听系统。
安全方面,Cisco 3845拥有业界内嵌和集成在路由器中的最全面的安全服务,提供了先进的安全服务和管理功能,如内置硬件加密加速、IP安全性、 VPN级加密标准、三重数字加密标准、DES和多协议标签交换、状态防火墙保护、动
分部出口路由器选用CISCO2811模块化路由器该款路由器全面采用模块化架构设计,支持10/100Mbps广域网接入,2个10/100Mbps局域网接口。能使用户节省建设广域网的投资,获得良好的投资回报,从而帮助客户创造更多的价值。支持IEEE 802.3X网络标准,提供了集成语音留言、范围广泛的话音接口、支持 SRST, 分支机构可利用集中呼叫控制, 并通过SRST冗余性为IP电话经济有效地
3.6 VLAN规划
总部VLAN规划:
3.7 网络IP地址规划
3.7.1 IP地址合理规划的意义
在企业网网络规划中,IP地址方案的设计至关重要,好的IP地址方案不仅可以减少网络负荷,还能为以后的网络扩展打下良好的基础。
IP地址的合理是保证网络顺利运行和网络资源有效利用的关键。企业网IP地址的分配应该尽可能地利用申请到的地址空间,充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。具体地来说IP地址的合理规划有如下的意义:
1、IP 地址的合理规划是网络设计的重要环节,大型计算机网络必须对IP地址进行统一规划并得到有效实施;
2、IP 地址规划的好坏,影响到网络路由协议算法的效率; 3、影响到网络的性能; 4、影响到网络的扩展; 5、影响到网络的管理;
6、也将直接影响到网络应用的进一步发展。 3.7.2 IP地址规划
根据国际互联网络技术发展的趋势,结合XX公司总部和分部的现实情况,采用先地区后业务划分方法进行IP地址分配,如下表:
192.168 . 地址位(5位) 业务功能位(3位) . 子网位 主机位
IP地址分配表:
3.8 网络设计技术方案特点
根据XX公司网络建设的现有需求,并考虑到未来的发展趋势,需要建立一个统一的信息传输网络,满足数据、语音、视频、图像、多媒体等相关企业信息的传输,可以实现计算机管理系统、办公自动化系统、业务系统和Internet访问等应用。解决方案具有如下特点:
1、融合的网络平台:数据、视频等业务应用,提供端到端安全网络应用,灵活的结构部署,实现网络规模的任意伸缩、弹性应用。
2、丰富的网络类型:针对业务类型划分、网络应用、投资计划等融合专线网络、VPN、无线等多种方式的组网,满足支持丰富的扩展类型、扩展接口等,适用不同规模、不同方式的网络互联、接入,满足日益丰富的网络业务应用。
3、灵活安全的终端接入:网络安全、认证系统的部署应用能够杜绝非法终端接入网络,并且让合法终端在任意位置接入网络均获得相同的VPN归属和访问权限,甚至可以通过多次认证在不同时刻获得不同的VPN归属和访问权限,方便做到灵活办公和公用办公,真正实现网络虚拟化;
4、完善的业务类型:内部网络业务应用,互联网的安全访问、VPN的安全接入,无线及3G移动终端的应用,实现网络跨区域、跨平台的业务运行,提供基于多种平台信息系统应用。
5、多样化的管理手段:应用级别的网络安全划分、带宽限制、流量控制等丰富的管理手段和安全保障措施,使网络稳定、快速、健壮,保证业务系统的不间断运行。
6、统一规划、合理部署:降低网络投资、减少重复建设。避免了业务、数据物理隔离需要重复建设、应用服务器、安全设备重复采购的缺点,对网络平台进行统一规划、分步实施、合理部署,提高整体资源的利用率、降低管理难度、提高管理效率。
4 网络设计技术分析
4.1 企业网络技术分类
企业网是园区网络的一种,应用于企业网中的技术其实就是当今园区网络中的一些实用技术,我们将园区网络技术从总体上划分为路由技术,交换技术和远程接入技术。
1、路由技术
所谓路由就是指通过相互连接的网络把信息从源地点移动到目标地点的活动。一般来说,在路由过程中,信息至少会经过一个或多个中间节点。
2、交换技术
所谓交换技术是指二层交换技术+三层转发技术。传统的交换技术是在OSI网络标准模型中的第二层——数据链路层进行操作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。应用第三层交换技术即可实现网络路由的功能,又可以根据不同的网络状况做到最优的网络性能。
3、远程接入技术
所谓远程接入技术是指在网络中部署服务器集群,在远程接入技术服务器上安装并发布用友通客户端,所有用户运行远程接入技术服务器上的用友通客户端,并通过内部高速网络连接用友通服务器,完成财务、供应链、生产制造、分销、零售、客户关系、服务管理等功能模块的使用。
如果需要允许用户跨Internet访问,建议把远程接入技术服务器机群部署在DMZ网络中,把用友通服务器端部署在内部网络中,在内部防火墙上设置允许用友通客户端和服务器端通信的进行。
远程接入技术实施的好处:
1、远程接入技术网络带宽的要求非常低 2、远程接入技术解决互联网安全问题
3、远程接入技术减少IT投资成本,保护现有IT透支 4、远程接入技术方便管理,降低维护成本 5、远程接入技术具有高稳定性,可扩展性 6、远程接入技术性能优化,支持更多用户访问 7、远程接入技术具有优秀的虚拟打印功能
4.2 企业网中的路由技术
在园区网中由于受到自身网络的限制,应而不需要使用过多的路由技术,而路由技术主要应用在核心层或者是出口去往其它网络,连接出自己园区的网络。
在经过接入路由器时根据IP包的目的地址,在路由器的路由表中查询,是否有前往目的地的路由,如果有则根据路由条目来转发IP包。
静态路由技术
静态路由是指由网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的,不会传递给其他的路由器。当然,网管员也可以通过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境,在这样的环境中,网络管理员易于清楚地了解网络的拓扑结构,便于设置正确的路由信息。
XX公司使用静态路由技术,以实现公司总部和分部的互联互通。
4.3 企业网中的交换技术
在企业网使用的最多也是最广泛的技术就是交换技术,交换技术的成熟带动着这个网络的发展。而企业网是基于这个交换架构的网络,因此在交换式的网络中有众多技术VLAN, TRUNK,三层交换,STP,DHCP等。下面将分别介绍这些技术的应用:
1、VLAN技术
VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。
VLAN分类:
1.根据端口来划分VLAN 2.根据MAC地址划分VLAN 3.根据网络层划分VLAN 4.根据IP组播划分VLAN 5.基于规则的VLAN
6. 按用户定义、非用户授权划分VLAN 2、TRUNK技术
TRUNK是端口汇聚的意思,就是通过配置软件的设置,将2个或多个物理端口组合在一起成为一条逻辑的路径从而增加在交换机和网络节点之间的带宽,将属于这几个端口的带宽合并,给端口提供一个几倍于独立端口的独享的高带宽。Trunk是一种封装技术,它是一条点到点的链路,链路的两端可以都是交换机,也可以是交换机和路由器,还可以是主机和交换机或路由器。基于端口汇聚(Trunk)功能,允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量, 大幅度提供整个网络能力。
3、三层交换
三层交换技术就是:二层交换技术+三层转发技术。它解决了局域网中网段划分之后,网段中子网必须依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。
第三层交换提供以下优点:
1.提高了网络效率:第三层交换机通过允许网络管理员在第二层 VLAN 进行路由业务,确保将第二层广播控制在一个 VLAN 内,降低了业务量负载。 2.可持续发展:由于 OSI 层模型的分层特点,第三层交换机能够创建更加易于扩展和维护的更大规模的网络。
3.更加广泛的拓扑选择:基于路由器的网络支持任何拓扑,并能更轻易超过类似第二层交换网络的更大规模和复杂程度。
4.工作组和服务器安全:第三层设备能根据第三层网络地址创建接入策略,这允许网络管理员控制和阻塞某些 VLAN 到 VLAN 通信,阻塞某些 IP 地址,甚至能防止某些子网访问特定的信息。
5.更加优异的性能:通过使用先进的 ASIC 技术,第三层交换机可提供远远高于基于软件的传统路由器的性能。比如,每秒 4000 万个数据包对每秒 30 万个数据包。第三层交换机为千兆网络这样的带宽密集型基础架构提供了所需的路由性能。因此,第三层交换机可以部署在网络中许多具有更高战略意义的位置。 4、STP技术
生成树协议最主要的应用是为了避免局域网中的网络环回,解决成环以太网网络的“广播风暴”问题,从某种意义上说是一种网络保护技术,可以消除由于失误或者意外带来的循环连接。STP也提供了为网络提供备份连接的可能,可与SDH保护配合构成以太环网的双重保护。新型以太单板支持符合IEEE 802.1d标准的生成树协议STP及IEEE 802.1w规定的快速生成树协议RSTP,收敛速度可达到 1s。
5、DHCP
动态主机设置协议(Dynamic Host Configuration Protocol, DHCP)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:一是给内部网络或网络服务供应商自动分配IP地址给用户;二是给内部网络管理员作为对所有计算机作中央管理的手段。
4.4 企业网中的远程接入技术
1、访问控制列表(ACL)
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控
制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张
表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问
进行控制。
本设计方案使用访问控制列表来实现以下需求:
1.总部办公业务可以访问全网办公业务,不能访问分部生产业务。 2.分部办公业务可以访问全网办公业务,不能访问总部或其他分部的生产业务。
访问控制列表的另外一个重要作用是区分数据流,工程师可以使用访问控制列表来匹配感兴趣的数据流量,然后再由其他的网络协议或工具来对所匹配的数据流执行相应的动作。本设计方案中后面提到的网络地址转换技术的实现便需要利用到访问控制列表的此项功能。
2、网络地址转换(NAT)
网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
3、通用路由器封装(GRE)
GRE(Generic Routing Encapsulation,通用路由封装)协议是对某些网络层协议(如IP 和IPX)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输。GRE采用了Tunnel(隧道)技术,是 VPN(Virtual Private Network)的第三层隧道协议。IP隧道技术中使用的一种封装格式:把企业内部网的各种信息分组封装在内,可通过IP协议透明地穿过因特网,实现端点之间互连。
4.5 技术部署详细说明
1、根据3.4节所示的XX公司网络拓扑,实现其全网联通性。 2、总部交换网络STP部署:
ZB-CORE-1为所有VLAN的主根网桥。 3、总部DHCP部署:
ZB-CORE-1为总部网络DHCP服务器,为总部各部门接入用户提供动态IP地址分配。
4、分部一交换网络STP部署: FY-AES-1为所有VLAN的主根网桥。 5、分部一DHCP部署:
FY-R-1为分部一网络的DHCP服务器,为其各部门接入用户提供动态IP地址分配。
6、分部二交换网络STP部署: FE-AES-1为所有VLAN的主根网桥。 7、分部二DHCP部署:
FE-R-1为分部二网络的DHCP服务器,为其各部门接入用户提供动态IP地址分配。
8、Internet接入与静态路由实施:要求只有办公业务所处网段才能访问Internet。
总部在ZB-R-1上配置NAT与默认路由,下一跳指向公网出口对端IP地址;在ZB-CORE-1上配置默认路由,下一跳指向ZB-R-1;在ZB-R-1上配置静态汇总路由,下一跳指向ZB-CORE-1。
分部一在FY-R-1上配置NAT与默认路由,下一跳指向公网出口对端IP地址; 分部二在FE-R-1上配置NAT与默认路由,下一跳指向公网出口对端IP地址。 9、总部分部对接:
为节省前期网络建设投资成本,总部与分公司采用GRE隧道连通: 10、业务流量访问控制:
在ZB-R-1、FY-R-1、FE-R-1上分别配置访问控制列表,以实现本方案中对流量控制的需求:
1.总部办公业务可以访问全网办公业务,不能访问分部生产业务。 2.分部办公业务可以访问全网办公业务,不能访问总部或其他分部的生 产业务。
11、总部服务器部署:在一台Windows 2003 Server上架设OA服务器,全网任何用户都 能通过IP访问OA服务器。
5 实施步骤及配置
5.1 基本信息配置
5.1.1 设备命名
注:设备命名格式:area-type-num;
Area:表示所在地区的拼音的第一个大写字母,如:总部为ZB;
Type:表示该设备的类型,是交换机还是路由器,如接入层交换机为AES(ACCESS),核心层交换机为CORE(CORE LAYER);路由器为R(ROUTER)
Num:表示该设备的序列号,如:第一台设备为1; 示例:ZB-AES-1表示总部接入层1号交换机; 5.1.2 禁用域名解析配置
在这个项目方案中设备没必要用到域名解析,因此关闭设备域名解析功能; 基本配置:no ip domain-lookup 5.1.3 CONSOLE及TELNET管理密码配置:
从设备本身的安全性考虑,为每台设备都配置CONSOLE及TELNET密码; 基本配置:enable password xxx line console 0 logging synchronous Password xxx
5.2 二层网络全局配置
5.2.1 创建VLAN
先将各交换机配置成透明模式,然后在交换设备上创建VLAN:
分部二:
5.2.2 二层接口配置
将二层交换机上与PC机或服务器相连的接口配置成ACCESS,与交换机、路由器相连的接口配置成TRUNK;
将各地区的二层交换机上的F0/5- F0/8接口划入生产业务VLAN中;
将各地区的二层交换机上的F0/9- F0/12接口划入办公业务VLAN中;
5.2.3 STP生成树配置
在各地区各交换机上配置STP生成树的根网桥及边缘端口(注:二层交换机可以采用默认优先级).
相关命令配置:
ZB-AES-1#vlan database //进入VLAN配置模式
ZB-AES-1(vlan)#vlan 20 name SC //创建生产VLAN20
ZB-AES-1(vlan)# vlan 21 name OA
ZB-AES-1(vlan)#vlan 300 name WG
总部三层交换机1:
ZB-CORE-1#vlan database
ZB-CORE-1(vlan)#vlan 20 name SC //创建生产VLAN20
ZB-CORE-1(vlan)# vlan 21 name OA
ZB-CORE-1(vlan)#exit
ZB-CORE-1#config terminal
ZB-CORE-1(config)#spannging-tree vlan 1 root primary
ZB-CORE-1(config)#spannging-tree vlan 20 root primary
ZB-CORE-1(config)#spannging-tree vlan 21 root primary
ZB-CORE-1(config)#spannging-tree vlan 300 root primary
分部一二层交换机1:
FY-AES-1#vlan database
FY-AES-1(vlan)#vlan 36 name SC //创建生产VLAN36
FY-AES-1(vlan)# vlan 37 name OA
FY-AES-1(vlan)#vlan 300 name WG
FY-AES-1(vlan)#exit //创建办公VLAN37 //创建网管VLAN300 //创建办公VLAN21 ZB-CORE-1(vlan)#vlan 300 name WG //创建网管VLAN300 //创建办公VLAN21 //创建网管VLAN300
FY-AES-1#config terminal
FY-AES-1(config)#spannging-tree vlan 1 root primary
FY-AES-1(config)#spannging-tree vlan 36 root primary
FY-AES-1(config)#spannging-tree vlan 37 root primary
FY-AES -1(config)#spannging-tree vlan 300 root primary
分部一二层交换机2:
FY-AES-2#vlan database
FY-AES-2(vlan)#vlan 36 name SC //创建VLAN36
FY-AES-2(vlan)# vlan 37 name OA
FY-AES-2(vlan)#vlan 300 name WG
FY-AES-2(vlan)#exit
分部二二层交换机1:
FE-AES-1#vlan database
FE-AES-1(vlan)#vlan 44 //创建VLAN1
FE-AES-1(vlan)# vlan 45 name OA //创建办公VLAN45
FE-AES-1(vlan)#vlan 300 name WG //创建网管VLAN300
FE-AES-1(vlan)#exit
分部二二层交换机2:
FE-AES-2#vlan database
FE-AES-2(vlan)#vlan 44 //创建VLAN1
FE-AES-2(vlan)# vlan 45 name OA //创建办公VLAN45
FE-AES-2(vlan)#vlan 300 name WG //创建网管VLAN300
FE-AES-2(vlan)#exit //创建办公VLAN37 //创建网管VLAN300
5.3 三层接口配置
5.3.1 二层交换机上网管接口配置
依据3.7IP地址分配表,在二层交换机上配置VLAN300为网管VLAN,并配置相应的网关;
5.3.2 三层交换机SVI接口配置
依据3.7IP地址分配表,在总部三层交换机上为所有的SVI接口配置IP;
5.3.3路由器接口配置
依据3.7IP地址分配表,在路由器上为所有接口配置IP。
相关命令配置
总部二层交换机1:
ZB-AES-1(config)# interface vlan 300
ZB-AES-1(config-if)#ip address 192.168.19.2 255.255.255.0
ZB-AES-1(config-if)#no shutdown
ZB-AES-1(config-if)#exit
ZB-AES-1(config)#ip default-gateway 192.168.19.1
总部三层交换机1:
ZB-CORE-1(config)# ip routing
ZB-CORE-1(config)# interface loopback0
ZB-CORE-1(config-if)#ip address 192.168.0.1 255.255.255.255
ZB-CORE-1(config-if)#no shutdown
ZB-CORE-1(config-if)#exit
ZB-CORE-1(config)#interface fastetherner0/1
ZB-CORE-1(config-if)#ip address 192.168.1.1 255.255.255.252
ZB-CORE-1(config-if)#no shutdown
ZB-CORE-1(config)#interface vlan 300
ZB-CORE-1(config-if)#ip address 192.168.19.1 255.255.255.0
ZB-CORE-1(config-if)#no shutdown
ZB-CORE-1(config-if)#exit
ZB-CORE-1(config)#interface vlan 20
ZB-CORE-1(config-if)#ip address 192.168.20.1 255.255.255.0
ZB-CORE-1(config-if)#no shutdown
ZB-CORE-1(config-if)#exit
ZB-CORE-1(config)#interface vlan 21
ZB-CORE-1(config-if)#ip address 192.168.21.1 255.255.255.0
ZB-CORE-1(config-if)#no shutdown
ZB-CORE-1(config-if)#exit
总部路由器1:
ZB-R-1(config)# interface loopback0
ZB-R-1(config-if)#ip address 192.168.0.2 255.255.255.255
ZB-R-1(config-if)#no shutdown
ZB-R-1(config-if)#exit
ZB-R-1(config)#interface fastethernet1/0
ZB-R-1(config-if)#ip address 192.1.1.2 255.255.255.240
ZB-R-1(config-if)#no shutdown
ZB-R-1(config-if)#exit
ZB-R-1(config)#interface fastethernet2/0
ZB-R-1(config-if)#ip address 192.168.1.2 255.255.255.252
ZB-R-1(config-if)# no shutdown
ZB-R-1(config-if)#exit
分部一二层交换机1:
FY-AES-1(config)# interface vlan 300
FY-AES-1 (config-if)#ip address 192.168.35.2 255.255.255.0
FY-AES-1 (config-if)#no shutdown
FY-AES-1 (config-if)#exit
FY-AES-1(config)# ip default-gateway 192.168.31.1
分部一二层交换机2:
FY-AES-2(config)# interface vlan 300
FY-AES-2(config-if)#ip address 192.168.35.3 255.255.255.0
FY-AES-2(config-if)#no shutdown
FY-AES-2(config-if)#exit
FY-AES-2(config)# ip default-gateway 192.168.31.1
分部一路由器1:
FY-R-1(config)# interface tunnel0
FY-R-1(config)#interface ethernet2/0.300
FY-R-1(config-if)#ip address 192.168.35.1 255.255.255.0
FY-R-1(config-if)#no shutdown
FY-R-1(config-if)#exit
FY-R-1(config)#interface ethernet2/0.36
FY-R-1(config-if)#ip address 192.168.36.1 255.255.255.0
FY-R-1(config-if)#no shutdown
FY-R-1(config-if)#exit
FY-R-1(config)#interface ethernet2/0.37
FY-R-1(config-if)#ip address 192.168.37.1 255.255.255.0
FY-R-1(config-if)#no shutdown
FY-R-1(config-if)#exit
分部二二层交换机1:
FE-AES-1(config)# interface vlan 300
FE-AES-1(config-if)#ip address 192.168.43.2 255.255.255.0
FE-AES-1(config=if)#no shutdown
FE-AES-1(config=if)#exit
分部二二层交换机2:
FE-AES-2(config)# interface vlan 300
FE-AES-2(config-if)#ip address 192.168.43.3 255.255.255.0
FE-AES-2(config=if)#no shutdown
FE-AES-2(config=if)#exit
分部二路由器:
FE-R-1(config)# interface ethernet2/0.300
FE-R-1(config-if)#ip address 192.168.43.1 255.255.255.0
FE-R-1(config-if)#no shutdown
FE-R-1(config-if)#exit
FE-R-1(config)#interface ethernet2/0.44
FE-R-1(config-if)#ip address 192.168.44.1 255.255.255.0
FE-R-1(config-if)#no shutdown
FE-R-1(config-if)#exit
FE-R-1(config)#interface ethernet2/0.45
FE-R-1(config-if)#ip address 192.168.45.1 255.255.255.0
FE-R-1(config-if)#no shutdown
FE-R-1(config-if)#exit
FE-R-1(config)# interface tunnel 0
FE-R-1(config-if)#ip address 192.168.41.2 255.255.255.252
FE-R-1(config-if)#tunnel source f1/0
FE-R-1(config-if)#tunnel destination 172.1.1.2
FE-R-1(config-if)#no shut
FE-R-1(config-if)#exit
5.4 DHCP配置
在总部三层交换机、分部一和分部二的路由器上配置DHCP服务器;
相关命令配置:
总部三层交换机1:
ZB-CORE-1(config)# service dhcp
ZB-CORE-1(config) #ip dhcp pool vlanSC
ZB-CORE-1(dhcp-config) #network 192.168.20.0 255.255.255.0
ZB-CORE-1(dhcp-config) #default-router 192.168.20.1
ZB-CORE-1(dhcp-config) #exit
ZB-CORE-1(config) #ip dhcp pool vlanOA
ZB-CORE-1(dhcp-config) #network 192.168.21.0 255.255.255.0
ZB-CORE-1(dhcp-config) # default-router 192.168.21.1
ZB-CORE-1(dhcp-config) #exit
ZB-CORE-1(config)
192.168.20.5
ZB-CORE-1(config)
192.168.21.5
分部一路由器:
FY-R-1(config)# service dhcp
FY-R-1(config) #ip dhcp pool vlanSC
FY-R-1(dhcp-config) #network 192.168.36.0 255.255.255.0
FY-R-1(dhcp-config) #default-router 192.168.36.1
FY-R-1(dhcp-config) #exit
FY-R-1(config) #ip dhcp pool vlanOA
FY-R-1(dhcp-config) #network 192.168.37.0 255.255.255.0
FY-R-1(dhcp-config) # default-router 192.168.37.1
FY-R-1(dhcp-config) #exit
FY-R-1(config) #ip dhcp excluded-address 192.168.36.1 192.168.36.5 FY-R-1(config) #ip dhcp excluded-address 192.168.37.1 192.168.37.5 分部二路由器:
FE-R-1(config)# service dhcp
FE-R-1(config) #ip dhcp pool vlanSC
FE-R-1(dhcp-config) #network 192.168.44.0 255.255.255.0
FE-R-1(dhcp-config) #default-router 192.168.44.1
FE-R-1(dhcp-config) #exit
FE-R-1(config) #ip dhcp pool vlanOA
FE-R-1(dhcp-config) #network 192.168.45.0 255.255.255.0
FE-R-1(dhcp-config) # default-router 192.168.45.1
FE-R-1(dhcp-config) #exit
FE-R-1(config) #ip dhcp excluded-address 192.168.44.1 192.168.44.5 FE-R-1(config) #ip dhcp excluded-address 192.168.45.1 192.168.45.5 #ip dhcp excluded-address 192.168.21.1 #ip dhcp excluded-address 192.168.20.1
5.5 Internet接入之静态路由配置
在总部ZB-CORE-1上配置默认路由,下一跳指向ZB-R-1;
在总部ZB-R-1上配置总部网络静态汇总路由,下一跳指向ZB-CORE-1; 在总部ZB-R-1上配置默认路由,下一跳指向公网出口对端IP地址。
在分部一FY-R-1上配置默认路由,下一跳指向公网出口对端IP地址。 在分部二FE-R-1上配置默认路由,下一跳指向公网出口对端IP地址。 相关命令配置:
总部核心交换机:
ZB-CORE-1(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.2
总部路由器:
ZB-R-1(config)# ip route 0.0.0.0 0.0.0.0 172.1.1.1
ZB-R-1(config)# ip route 192.168.16.0 255.255.240.0 192.168.1.1 分部一路由器:
FY-R-1(config)# ip route 0.0.0.0 0.0.0.0 172.1.2.1
FY-R-1(config)# ip route 192.168.16.0 255.255.240.0 192.168.33.1 FY-R-1(config)# ip route 192.168.40.0 255.255.248.0 192.168.33.1 分部二路由器:
FE-R-1(config)# p route 0.0.0.0 0.0.0.0 172.1.3.1
FE-R-1(config)# ip route 192.168.16.0 255.255.240.0 192.168.41.1 FE-R-1(config)# ip route 192.168.32.0 255.255.248.0 192.168.41.1
5.6 Internet接入之NAT配置
在各地区的路由器上配置NAT,使各业务终端能够正常访问Internet。 相关命令配置:
总部路由器:
ip nat pool zongbu 172.1.1.2 172.1.1.10 netmask 255.255.255.240 ip nat inside source list 1 pool zongbu overload
分部一路由器
ip nat pool fenzhi1 172.1.2.2 172.1.2.10 netmask 255.255.255.240 ip nat inside source list 1 pool fenzhi1 overload
分部二路由器:
ip nat pool fenzhi2 172.1.3.2 172.1.3.10 netmask 255.255.255.240 ip nat inside source list 1 pool fenzhi2 overload
5.7 全网互联之GRE配置
总部ZB-R-1 Tunnel0:源地址为ZB-R-1公网IP,目的地址为FY-R-1公网IP;
总部ZB-R-1 Tunnel1:源地址为ZB-R-1公网IP,目的地址为FE-R-1公网
IP;
分部一FY-R-1 Tunnel0:源地址为FY-R-1公网IP,目的地址为ZB-R-1公网IP;
分部二FE-R-1 Tunnel0:源地址为FE-R-1公网IP,目的地址为ZB-R-1公网IP。
相关命令配置:
总部路由器:
ZB-R-1(config)# interface tunnel0
ZB-R-1(config-if)#ip address 192.168.33.1 255.255.255.252
ZB-R-1(config-if)#tunnel source 172.1.1.2
ZB-R-1(config-if)#tunnel destination 172.1.2.2
ZB-R-1(config-if)#exit
ZB-R-1(config)#interface tunnel1
ZB-R-1(config-if)#ip address 192.168.41.1 255.255.255.252
ZB-R-1(config-if)#tunnel source 172.1.1.2
ZB-R-1(config-if)#tunnel destination 172.1.3.2
ZB-R-1(config-if)#end
分部一路由器:
ZB-R-1(config)# interface tunnel0
FY-R-1(config-if)#ip address 192.168.33.2 255.255.255.252
FY-R-1(config-if)#tunnel source 172.1.2.2
FY-R-1(config-if)#tunnel destination 172.1.1.2
FY-R-1(config-if)#exit
分部二路由器:
FE-R-1(config)# interface tunnel0
FE-R-1(config-if)#ip address 192.168.41.2 255.255.255.252
FE-R-1(config-if)#tunnel source 172.1.3.2
FE-R-1(config-if)#tunnel destination 172.1.1.2
FE-R-1(config-if)#exit
5.8 全网互联之静态路由配置
在ZB-R-1配置静态汇总路由(各分部路由),下一跳指向GRE隧道对端地址; 在FY-R-1配置与总部和其他分部的静态汇总路由,下一跳指向GRE隧道对端地址;
在FE-R-1配置与总部和其他分部的静态汇总路由,下一跳指向GRE隧道对
端地址;
相关命令配置:
总部路由器:
ZB-R-1(config)# ip route 0.0.0.0 0.0.0.0 172.1.1.1
分部一路由器:
FY-R-1(config)# ip route 0.0.0.0 0.0.0.0 172.1.2.1
分部二路由器:
FE-R-1(config)# ip route 0.0.0.0 0.0.0.0 172.1.3.1
5.9 访问控制列表配置
在ZB-R-1、FY-R-1、FE-R-1上分别配置访问控制列表,以实现本方案中对流量控制的需求:
1、总部办公业务可以访问全网办公业务,不能访问分部生产业务。
2、分部办公业务可以访问全网办公业务,不能访问总部或其他分部的生产业务。
相关命令配置
总部路由器:
access-list 110 deny ip 192.168.21.0 0.0.0.255 192.168.36.0 0.0.0.255
access-list 110 deny ip 192.168.21.0 0.0.0.255 192.168.44.0 0.0.0.255
access-list 110 permit ip any any
access-list 1 permit 192.168.16.0 0.0.15.255
分部一路由器:
FY-R-1(config)# access-list 1 permit 192.168.32.0 0.0.7.255
access-list 120 deny ip 192.168.37.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 120 deny ip 192.168.37.0 0.0.0.255 192.168.44.0 0.0.0.255
access-list 120 permit ip any any
分部二路由器:
FE-R-1(config)# access-list 130 deny ip 192.168.45.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 130 deny ip 192.168.45.0 0.0.0.255 192.168.36.0 0.0.0.255
access-list 130 permit ip any any
exit
总结
经过数个月的努力终于完成了毕业设计与毕业论文。在设计过程中,出现了很多难题,有些在自己在书籍上和网络上找到解决方法,有些却到目前还没有解决,希望日后能学习到相关的知识,积累到足够的经验能解决现在没有解决的问题。
遇到的问题有如下几点
1、拓扑结构的设计:拓扑结构对整个网络架构设计影响相当大,在网上参考了一些网络拓扑图,再联合自己对网络方面的了解,最终设计了该拓扑结构,由于没有正式将该拓扑结构应用到实际操作中,相比会有很多不足。
2、核心交换机的配置:刚刚开始设计时没有了解清楚VLAN间通信的要点。尝试使用路由器或三层交换机,完成VLAN间的通信,但考虑到在交多节点的网络中,该方法弊端极大。所以最后选择用SVI(Switch Virtual Interface)提供VLAN间通讯,通过不断的尝试,并数次对拓扑结构的改造,最终实现了VLAN间的通讯。
3、实现核心交换机的冗余:这个问题未能解决,希望未来能够得到答案,在冗余核心交换机 COER2 上将其配置为次根 (secondary root)然后就会出现广播风暴 (broadcast storm),我参考了相关书籍,也是这样配置的,所以我初步断定问题出现在模拟器上,并非我的配置与设计问题。
总结,毕业设计虽然只能用模拟器实现,但我发现即使将书本上的学习得很透彻,在实际应用中也会遇到不少的问题,例如经常忘记将交换机与交换机的链路配置成trunk,因为CISCO的交换机默认处于 dynamic auto 如果两个都处于dynamic auto 是不会谈判(negotiate)成 trunk的,因此VLAN的通信就会中断。又例如经常忘记创建交换机的非VLAN 1 的VLAN,如VLAN2 没有被创建,那么该交换机就不会进行VLAN2 的通信,或者VLAN2 创建了,忘记把他的状态配置成up/up 模式,(没有输入 no shutdown命令)。 导致不能通信。
最后我认为作为一个网络设计者,必须很细心,而且必须将所做的每一个步骤都记录下来,以便以后检测和排错(troubleshooting)。我认为只有边进行理论学习边实践才能真正学到知识的,光上课听课,没有亲身体会到,是很难使知识常驻于脑海的,久了不用就会忘了。
致谢
在本次毕业设计过程中,得到了指导老师蒋明华老师的指导与支持。在此特别感谢蒋老师的大力帮助。蒋老师的悉心指导和大力支持,在总体结构、功能的把握上给予了非常大的帮助,并对我在设计、配置等细节工作上给予了耐心的指导。
转眼间,大学生活即将结束,回首过去三年的大学生活,真是有苦也有乐,然而更多的则是收获,感谢母校的各位老师不但无私地传授给我们知识,也教会了我们如何做人。本设计牵涉到网络架构设计的知识,网络设备配置命令与验证网络设备的连通性等知识,虽然任务繁重,但正是在这几个月紧张而充实的设计中,我感到自己的知识得到了一次升华,我相信:我的毕业设计会给我的三年大学画上一个圆满的句号。
人们自然对未来有许多美好的愿望和设想。现代科学技术的飞速发展,改变了世界,也改变了世界的生活。作为一名合格优秀的南铁院毕业生,应当站在世界的发展前列,掌握现代科学技术知识,调整自己的知识结构和能力结构,以适应社会发展的要求。新世纪需要具有丰富现代科学知识、能够独立解决面临任务、有创新意识的新型人才。
参考文献
[1] 刘晓辉.网络硬件搭建与配置实践.北京.电子工业出版社.2009
[2] Todd Lammle. Cisco Certified Network Associate Study Guide. Wiley Publishing, Inc. 2007
[3] Wendell Odom. CCNP ROUTE 642-902 Official Certification Guide. Pearson Education, Inc. 2010
[4] David Hucaby. CCNP SWITCH 642-813 Official Certification Guide. Pearson Education, Inc. 2010
[5] Kevin Wallace. CCNP TSHOOT 642-832 Official Certification Guide Pearson Education, Inc. 2010
[6] Cisco Systems, Inc. Cisco IOS 12.0 bridging and IBM network solutions.2006
[7] 石志国.计算机网络安全教程.北京.清华大学出版社.2009
[8] 刘晓辉.http://book.51cto.com/art/200905/122132.htm
[9] 陈向阳.网络工程规划与设计.北京.清华大学出版社.2007
[10] 钟小平.网络服务器配置与应用.北京.人民邮电出版社.2005
[11] 杨卫东.网络系统集成与工程设计.北京.科学出版社.2006
[12] Cisco Systems, Inc. Cisco IOS 12.0 bridging and IBM network solutions.2006
[13] Information Gatekeepers Inc. China Network Solutions.
[14] Inc Icon Group International, Incorporated. Network Solutions . 2000