中小型企業(yè)園區(qū)網(wǎng)絡的設計與實現(xiàn)

1、目錄第1章 需求分析 21.1項目背景 21.2 需求分析 2第2章 相關(guān)技術(shù)介紹 32.1 項目開發(fā)所需的軟件 32.2 路由技術(shù) 32.2.1 動態(tài)路由 32.3 廣域網(wǎng)技術(shù) 32.3.1 網(wǎng)絡地址轉(zhuǎn)換NAT 32.4 交換機技術(shù) 42.4.1 VLAN技術(shù) 42.4.2 Trunk技術(shù) 5第3章 網(wǎng)絡總體設計 63.1 網(wǎng)絡總體拓撲圖 63.2 路由設計 63.2.1 路由協(xié)議選擇 63.2.2 IP地址規(guī)劃 63.3 交換設計 73.3.1 交換技術(shù)選擇 73.4 網(wǎng)絡層次化設計 83.4.1 核心層設計 83.4.2 匯聚層設計 93.4.3 接入層設計 93.4.4 內(nèi)聯(lián)接入 9第

2、4章 網(wǎng)絡配置實現(xiàn) 104.1 設備基本配置 104.2 IP地址配置 104.3 交換部分的配置 104.3.1 Trunk鏈路的配置 104.3.2 VTP和VLAN的配置 104.4 路由協(xié)議的配置 11第五章 總結(jié) 12中小型企業(yè)園區(qū)網(wǎng)的設計與實現(xiàn)第1章 需求分析1.1項目背景北京華才期貨公司是一家即將成立的期貨公司。該公司網(wǎng)絡項目工程的建設目標是：搭建期貨公司核心網(wǎng)絡，以實現(xiàn)金融期貨交易，商品交易等系統(tǒng)建立網(wǎng)絡平臺為基礎，選購符合分支機構(gòu)及中心機房需求的高性價比網(wǎng)絡設備；按照“高標準、高起點”的要求，采用三層網(wǎng)絡結(jié)構(gòu)，按要求實現(xiàn)網(wǎng)絡安全的需求。網(wǎng)絡設備主要以核心交換區(qū)設備為主。要求計

3、算機網(wǎng)絡系統(tǒng)滿足系統(tǒng)集成的網(wǎng)絡平臺需求，并考慮對設備投資保護，保證未來幾年的系統(tǒng)擴展。組建一個高效、穩(wěn)定、可靠、易管理、安全的企業(yè)網(wǎng)。1.2 需求分析公司的具體環(huán)境如下：（1）公司有2個辦公地點，分別是北京總部和上海分部。（2）總部的部門有數(shù)據(jù)中心、核心交換區(qū)和交換所接入等，是主要的辦公場所，數(shù)據(jù)中心作為期貨交易的核心數(shù)據(jù)的存放地，其性能、穩(wěn)定性、安全性、可靠性的要求最高。（3）核心交換區(qū)的功能是高速可靠地交換數(shù)據(jù)，該部分的設計應考慮性能和可用性的平衡。（4）交易所接入作為外聯(lián)單位接入?yún)^(qū)域，其安全性應該是放在第一位，同時期貨交易離不開交易所的連接，因此冗余性的考慮也是必須的。（5）上海交易所只

4、能訪問北京總部的數(shù)據(jù)中心，不能訪問總部辦公樓。（6）公司已經(jīng)申請到了若干公網(wǎng)IP地址，供企業(yè)內(nèi)網(wǎng)接入使用，公司內(nèi)部使用私網(wǎng)地址。能夠訪問Internet。第2章 相關(guān)技術(shù)介紹2.1 項目開發(fā)所需的軟件Cisco是一個可以模擬復雜網(wǎng)絡的圖形化網(wǎng)絡模擬器，它可以運行在Windows、Linux、MAC OS 上，允許你在虛擬環(huán)境中運行Cisco IOS。GNS3 是dynagen 的圖形化前端，用于搭建網(wǎng)絡TOP,并生成dynagen 所可以加載的net 文件，用來加載Cisco IOS的核心程序是dynamips。2.2 路由技術(shù)2.2.1 動態(tài)路由動態(tài)路由協(xié)議采用自適應路由算法，能夠根據(jù)網(wǎng)絡拓

5、撲的變化而重新計算機最佳路由。由于路由的復雜性，路由算法也是分層次的，通常把路由協(xié)議（算法）劃分為自治系統(tǒng)(AS內(nèi)的IGP(Interior Gateway Protocol與自治系統(tǒng)之間EGP(External Gateway Protocol的路由協(xié)議。RIP的全稱是Routing Information Protocol,是IGP，采用Bellman-Ford算法。RFC1058是RIP version 1標準文件，RFC2453是RIP Version 2的標準2.3 廣域網(wǎng)技術(shù) 2.3.1 網(wǎng)絡地址轉(zhuǎn)換NAT網(wǎng)絡地址轉(zhuǎn)換NAT(Network Address Translation屬

6、接入廣域網(wǎng)(WAN技術(shù)，是一種將私有(保留地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應用于各種類型Internet接入方式和各種類型的網(wǎng)絡中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡外部的攻擊，隱藏并保護網(wǎng)絡內(nèi)部的計算機。借助于NAT，私有(保留地址的"內(nèi)部"網(wǎng)絡通過路由器發(fā)送數(shù)據(jù)包時，私有地址被轉(zhuǎn)換成合法的IP地址，一個局域網(wǎng)只需使用少量IP地址(甚至是1個即可實現(xiàn)私有地址網(wǎng)絡內(nèi)所有計算機與Internet的通信需求。 NAT將自動修改IP報文的源IP地址和目的IP地址，Ip地址校驗則在NAT處理過程中自動完成。NAT的實現(xiàn)方式有

7、三種，即靜態(tài)轉(zhuǎn)換(Static Nat、動態(tài)轉(zhuǎn)換(Dynamic Nat和端口多路復(OverLoad。 靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡對內(nèi)部網(wǎng)絡中某些特定設備(如服務器的訪問。 動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡的私有IP地址轉(zhuǎn)換為公用IP地址時，IP地址是不確定的，是隨機的，所有被授權(quán)訪問上Internet的私有IP地址可隨機轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換，以及 用哪些合法地址作為外部地址時，就可以進行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使

8、用多個合法外部地址集。當ISP提供的合法IP地址略少于網(wǎng)絡內(nèi)部的計算機數(shù)量時。可以采用動態(tài)轉(zhuǎn)換的方式。 端口多路復用PAT(Port address Translation是指改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換PAT。采用端口多路復用方式。內(nèi)部網(wǎng)絡的所有主機均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問，從而可以最大限度地節(jié) 約IP地址資源。同時，又可隱藏網(wǎng)絡內(nèi)部的所有主機，有效避免來自internet的攻擊。因此，目前網(wǎng)絡中應用最多的就是端口多路復用方式。2.4 交換機技術(shù)2.4.1 VLAN技術(shù)Vlan（Virtual Local Area Network）即虛

9、擬局域網(wǎng)，是一種將局域網(wǎng)內(nèi)的設備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。VLAN技術(shù)允許網(wǎng)絡管理者講一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設備投資、簡化網(wǎng)絡管理、提高網(wǎng)絡的安全性。2.4.2 Trunk技術(shù)一般的交換機端口只能屬于

10、一個VLAN，對于多個VLAN需要跨過多臺交換機，就需要用到Trunk技術(shù)。Trunk是指交換機之間或交換機與路由器之間VLAN之間的連接，VLAN信息通過Trunk在交換機之間或路由器之間傳遞，從而可以將VLAN跨越整個網(wǎng)絡，而不僅僅是局限在一臺交換機上。第3章 網(wǎng)絡總體設計3.1 網(wǎng)絡總體拓撲圖圖3.1 網(wǎng)絡總體拓撲圖如上圖3.1所示，各區(qū)域可以各自建立交換網(wǎng)絡、路由接入、網(wǎng)絡安全體系，可以有獨立的安全策略、數(shù)據(jù)流量控制等個體的特征，而需要和其他區(qū)域的設備進行通訊的時候，則必須遵守核心網(wǎng)絡區(qū)的策略。3.2 路由設計3.2.1 路由協(xié)議選擇本系統(tǒng)主要采用RIP路由協(xié)議。3.2.2 IP地址規(guī)

11、劃IP 地址的規(guī)劃在網(wǎng)絡設計中的作用舉足輕重。直接影響整個網(wǎng)絡運行的效率。IP 地址設計的總原則是簡單、易管理、易擴展。IP 地址是TCP/IP 協(xié)議族中的網(wǎng)絡層邏輯地址，它被用來唯一地標識網(wǎng)絡中的一個節(jié)點。IP 地址空間的分配，要與網(wǎng)絡層次結(jié)構(gòu)相適應，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。根據(jù)以下幾個原則來分配IP 地址：（1）唯一性：一個IP 網(wǎng)絡中不能有兩個主機采用相同的IP地址（2）簡單性：地址分配應簡單易于管理，降低網(wǎng)絡擴展的復雜性，簡化路由表的款項（3）連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡中易于進行

12、路由總結(jié)(Route Summarization，大大縮減路由表，提高路由算法的效率（4）可擴展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡規(guī)模擴展時能保證地址總結(jié)所需的連續(xù)性（5）靈活性：地址分配應具有靈活性，可借助可變長子網(wǎng)掩碼技術(shù)(VLSM Variable-Length Subnet Mask，以滿足多種路由策略的優(yōu)化，充分利用地址空間。地址規(guī)劃總部網(wǎng)段A192.168.4.0網(wǎng)段B192.168.5.0網(wǎng)段C192.168.6.0子網(wǎng)掩碼255.255.255.0表3.1 IP地址規(guī)劃表3.3 交換設計3.3.1 交換技術(shù)選擇考慮到園區(qū)網(wǎng)絡的實際需求，設計時，保證網(wǎng)絡的高可用性和穩(wěn)定

13、性至關(guān)重要，保證網(wǎng)絡的高可用性和穩(wěn)定性，還能夠充分利用現(xiàn)有設備的資源，以避免單臺核心設備的負載太重而導致的網(wǎng)絡性能問題。同時各分支交換機兩臺上聯(lián)千兆線路分別上連到兩臺中心路由交換機上，構(gòu)成全路由交換的網(wǎng)絡；借助于跨骨干的VLAN技術(shù)，使得對網(wǎng)絡內(nèi)有關(guān)Server的訪問變得更加安全有效。3.4 網(wǎng)絡層次化設計隨著網(wǎng)絡技術(shù)的迅速發(fā)展和網(wǎng)上應用量的增長，分布式的網(wǎng)絡服務和交換已經(jīng)移至用戶級，由此形成了一個新的、更適應現(xiàn)代的高速大型網(wǎng)絡的分層設計模型。這種分級方法被稱為“多層設計”。多層設計有以下一些好處：多層設計是模塊化的，網(wǎng)絡容量可隨著日后網(wǎng)絡節(jié)點的增加而不斷增大。多層網(wǎng)絡有很大的確定性，因此在運

14、行和擴展過程中進行故障查找和排除非常簡單。多層網(wǎng)絡系統(tǒng)設計最有效地利用多種第3層業(yè)務，包括分段、負載分擔和故障恢復等。在多層網(wǎng)絡中運用智能第3層業(yè)務可以大大減少因配置不當或設備故障引起的一般問題。多層模式使網(wǎng)絡的移植更為簡單易行，因為它保留了基于路由器和交換機的網(wǎng)絡原有的尋址方案，對以往的網(wǎng)絡有很好的兼容性。另外分層結(jié)構(gòu)也能夠?qū)W(wǎng)絡的故障進行很好的隔離。針對實際情況采用三層結(jié)構(gòu)模型。三層機構(gòu)模型劃分為三個層次，即核心層、分布層、接入層。每個層次完成不同的功能。（1）核心層 ：核心層作為整個網(wǎng)絡系統(tǒng)的核心，其主要功能是高速，可靠的進行數(shù)據(jù)交換。（2）分布層 ：分布層主要進行接入層的數(shù)據(jù)流量匯聚，

15、并對數(shù)據(jù)流量進行訪問控制。包括訪問控制列表、VLAN路由等等。（3）接入層 ：接入層主要提供最終用戶接入網(wǎng)絡的途徑。主要是進行VLAN的劃分、與分布層的連接等等。3.4.1 核心層設計核心交換區(qū)的作用是盡快地提供所有區(qū)域間的數(shù)據(jù)交換。兩臺交換機高性能、可靠性、可用性是主要考慮的因素。本區(qū)的安全性可以由邊界防火墻提供，如有需要在上面可以部署安全策略，使得核心交換區(qū)的安全性進一步地增強。Cisco 系列憑借眾多智能服務將控制擴展到網(wǎng)絡邊緣，其中包括先進的服務質(zhì)量、可預測性能、高級安全性和全面的管理。它提供帶集成永續(xù)性的出色控制，將永續(xù)性集成到硬件和軟件中，縮短了網(wǎng)絡停運時間。Cisco系列的模塊化

16、架構(gòu)、介質(zhì)靈活性和可擴展性減少了重復運營開支，提高了投資回報，從而在延長部署壽命的同時降低了擁有成本。方案中交換機配置了一塊引擎，引擎用于Cisco交換機機箱，是一款64Gbps、4800萬分組/秒（48mpps）的第二到四層交換引擎，直接在管理引擎面板上配備了2個線速GBIC端口。該引擎可為中型企業(yè)提供價格合理、易于使用的可擴展性、創(chuàng)新安全性、集成可靠性和靈活性。3.4.2 匯聚層設計園區(qū)網(wǎng)絡項目的匯聚層交換機，對于中型機構(gòu)和企業(yè)分支機構(gòu)來說，Cisco系列通過提供配置靈活性，支持融合網(wǎng)絡模式及自動進行智能網(wǎng)絡服務配置，簡化了融合應用的部署，并可針對不斷變化的業(yè)務需求進行調(diào)整。此外，Cisc

17、o系列針對高密度千兆位以太網(wǎng)部署進行了優(yōu)化，包括多種交換機，以滿足接入、匯聚或小型網(wǎng)絡骨干連接需求。Cisco提供12個千兆位以太網(wǎng)SFP端口用于連接數(shù)據(jù)中心和辦公樓的接入層交換機和中心核心機房的交換機。3.4.3 接入層設計接入層交換機采用思科的千兆以太鏈路和匯聚交換機相連接，并為用戶終端提供10/100M自適應的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。辦公系統(tǒng)所需的各種服務器如辦公自動化服務器、郵件服務器、DHCP服務器等組成服務器群，數(shù)據(jù)中心的多種金融系統(tǒng)應用服務器，連接到匯聚交換機的千兆模塊上面，因此，內(nèi)部的局域網(wǎng)是采用三層結(jié)構(gòu)組建。3.4.4 內(nèi)聯(lián)接入推薦使用兩臺Cis

18、co 2800系列路由器通過線路完成此項功能。由于可信度很高；接入時主要作用是管理和監(jiān)控，不涉及交易?？偨Y(jié)以上原因，內(nèi)聯(lián)路由器與核心交換網(wǎng)絡間不需要配置格外的防火墻。第4章 網(wǎng)絡配置實現(xiàn)4.1 設備基本配置在對設備進行具體的配置之前都要進行一些基本命令的配置，比如說給每臺設備定義一個不同的名稱，這樣方便在同時開啟了多臺設備的時候能夠迅速找到需要配置的設備；關(guān)閉域名解析可以防止敲錯命令的時候系統(tǒng)自動進行域名解析耽誤時間；開啟日志同步可以讓輸入的命令不被控制臺信息所覆蓋。4.2 IP地址配置在交換機上配置IP地址的時候首先需要使用no switchport命令開啟交換機的三層路由功能，在這里給每個

19、設備配置一個接口用于管理設備。4.3 交換部分的配置4.3.1 Trunk鏈路的配置只有將設備相連的鏈路封裝成Trunk鏈路VTP中繼協(xié)議才能將VLAN信息同步到其它設備，而且Trunk鏈路可以傳遞多個VLAN的信息。Trunk鏈路有兩種封裝協(xié)議802.1q和ISL，ISL是Cisco專有的協(xié)議，而802.1q是業(yè)界的標準協(xié)議，為了兼容性和穩(wěn)定性應該選擇802.1q協(xié)議。4.3.2 VTP和VLAN的配置如果有多臺設備都需要劃分同樣的vlan的時候，如果手工配置的話會比較費時，也容易出錯，這個時候可以使用VTP中繼協(xié)議，把需要劃分VLAN的設備都加入到同一個VTP域中，設置相同的VTP密碼，設

20、置一個VTP服務器端，在服務器上創(chuàng)建VLAN后，VLAN信息會被VTP域中的其他設備學習到。2960-24TT的VTP和VLAN配置如下：2960-24TT #vlan database 2960-24TT (vlan#vtp domain cisco /設置VTP域名為cisco2960-24TT (vlan#vtp server /設置VTP模式為服務器模式2960-24TT (vlan#vtp password cisco /設置VTP密碼為cisco2960-24TT (vlan#vlan 10 /創(chuàng)建VLAN 102960-24TT (vlan#vlan 20 /創(chuàng)建VLAN 202960-24TT (vlan#vlan 40 /創(chuàng)建VLAN 402960-24TT (vlan#vlan 60 /創(chuàng)建VLAN 602960-24TT (vlan#exit4.4 路由協(xié)議的配置動態(tài)路由協(xié)議采用自適應路由算法，能夠根據(jù)網(wǎng)絡拓撲的變化而重新計算機最佳路由。28