中小型企業(yè)園區(qū)網(wǎng)絡(luò)的設(shè)計與實現(xiàn)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上目錄中小型企業(yè)園區(qū)網(wǎng)的設(shè)計與實現(xiàn)第1章 需求分析1.1項目背景北京華才期貨公司是一家即將成立的期貨公司。該公司網(wǎng)絡(luò)項目工程的建設(shè)目標(biāo)是：搭建期貨公司核心網(wǎng)絡(luò)，以實現(xiàn)金融期貨交易，商品交易等系統(tǒng)建立網(wǎng)絡(luò)平臺為基礎(chǔ)，選購符合分支機構(gòu)及中心機房需求的高性價比網(wǎng)絡(luò)設(shè)備；按照“高標(biāo)準(zhǔn)、高起點”的要求，采用三層網(wǎng)絡(luò)結(jié)構(gòu)，按要求實現(xiàn)網(wǎng)絡(luò)安全的需求。網(wǎng)絡(luò)設(shè)備主要以核心交換區(qū)設(shè)備為主。要求計算機網(wǎng)絡(luò)系統(tǒng)滿足系統(tǒng)集成的網(wǎng)絡(luò)平臺需求，并考慮對設(shè)備投資保護，保證未來幾年的系統(tǒng)擴展。組建一個高效、穩(wěn)定、可靠、易管理、安全的企業(yè)網(wǎng)。1.2 需求分析公司的具體環(huán)境如下：（1）公司有2個辦公地點，分

2、別是北京總部和上海分部。（2）總部的部門有數(shù)據(jù)中心、核心交換區(qū)和交換所接入等，是主要的辦公場所，數(shù)據(jù)中心作為期貨交易的核心數(shù)據(jù)的存放地，其性能、穩(wěn)定性、安全性、可靠性的要求最高。（3）核心交換區(qū)的功能是高速可靠地交換數(shù)據(jù)，該部分的設(shè)計應(yīng)考慮性能和可用性的平衡。（4）交易所接入作為外聯(lián)單位接入?yún)^(qū)域，其安全性應(yīng)該是放在第一位，同時期貨交易離不開交易所的連接，因此冗余性的考慮也是必須的。（5）上海交易所只能訪問北京總部的數(shù)據(jù)中心，不能訪問總部辦公樓。（6）公司已經(jīng)申請到了若干公網(wǎng)IP地址，供企業(yè)內(nèi)網(wǎng)接入使用，公司內(nèi)部使用私網(wǎng)地址。能夠訪問Internet。第2章 相關(guān)技術(shù)介紹2.1 項目開發(fā)所需的軟

3、件Cisco是一個可以模擬復(fù)雜網(wǎng)絡(luò)的圖形化網(wǎng)絡(luò)模擬器，它可以運行在Windows、Linux、MAC OS 上，允許你在虛擬環(huán)境中運行Cisco IOS。GNS3 是dynagen 的圖形化前端，用于搭建網(wǎng)絡(luò)TOP,并生成dynagen 所可以加載的net 文件，用來加載Cisco IOS的核心程序是dynamips。2.2 路由技術(shù)2.2.1 動態(tài)路由動態(tài)路由協(xié)議采用自適應(yīng)路由算法，能夠根據(jù)網(wǎng)絡(luò)拓?fù)涞淖兓匦掠嬎銠C最佳路由。由于路由的復(fù)雜性，路由算法也是分層次的，通常把路由協(xié)議（算法）劃分為自治系統(tǒng)(AS)內(nèi)的IGP(Interior Gateway Protocol)與自治系統(tǒng)之間EGP

4、(External Gateway Protocol)的路由協(xié)議。RIP的全稱是Routing Information Protocol,是IGP，采用Bellman-Ford算法。RFC1058是RIP version 1標(biāo)準(zhǔn)文件，RFC2453是RIP Version 2的標(biāo)準(zhǔn)2.3 廣域網(wǎng)技術(shù) 2.3.1 網(wǎng)絡(luò)地址轉(zhuǎn)換NAT網(wǎng)絡(luò)地址轉(zhuǎn)換NAT(Network Address Translation)屬接入廣域網(wǎng)(WAN)技術(shù)，是一種將私有(保留)地址轉(zhuǎn)化為合法的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題

5、，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護網(wǎng)絡(luò)內(nèi)部的計算機。借助于NAT，私有(保留)地址的"內(nèi)部"網(wǎng)絡(luò)通過路由器發(fā)送數(shù)據(jù)包時，私有地址被轉(zhuǎn)換成合法的IP地址，一個局域網(wǎng)只需使用少量IP地址(甚至是1個)即可實現(xiàn)私有地址網(wǎng)絡(luò)內(nèi)所有計算機與Internet的通信需求。 NAT將自動修改IP報文的源IP地址和目的IP地址，Ip地址校驗則在NAT處理過程中自動完成。NAT的實現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換(Static Nat)、動態(tài)轉(zhuǎn)換(Dynamic Nat)和端口多路復(fù)(OverLoad)。 靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一對一的，

6、是一成不變的，某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。 動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時，IP地址是不確定的，是隨機的，所有被授權(quán)訪問上Internet的私有IP地址可隨機轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換，以及 用哪些合法地址作為外部地址時，就可以進行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計算機數(shù)量時?？梢圆捎脛討B(tài)轉(zhuǎn)換的方式。 端口多路復(fù)用PAT(Port address Translation)是指改變

7、外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換PAT。采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問，從而可以最大限度地節(jié) 約IP地址資源。同時，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機，有效避免來自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。2.4 交換機技術(shù)2.4.1 VLAN技術(shù)Vlan（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。VLAN技術(shù)允許網(wǎng)絡(luò)管理者講一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN

8、，即VLAN），每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。2.4.2 Trunk技術(shù)一般的交換機端口只能屬于一個VLAN，對于多個VLAN需要跨過多臺交換機，就需要用到Trunk技術(shù)。Trunk是指交換機之間或交換機與路由器之間VLAN之間的連接，VLAN信息通過Trunk在交換機之間或

9、路由器之間傳遞，從而可以將VLAN跨越整個網(wǎng)絡(luò)，而不僅僅是局限在一臺交換機上。第3章 網(wǎng)絡(luò)總體設(shè)計3.1 網(wǎng)絡(luò)總體拓?fù)鋱D 圖3.1 網(wǎng)絡(luò)總體拓?fù)鋱D如上圖3.1所示，各區(qū)域可以各自建立交換網(wǎng)絡(luò)、路由接入、網(wǎng)絡(luò)安全體系，可以有獨立的安全策略、數(shù)據(jù)流量控制等個體的特征，而需要和其他區(qū)域的設(shè)備進行通訊的時候，則必須遵守核心網(wǎng)絡(luò)區(qū)的策略。3.2 路由設(shè)計3.2.1 路由協(xié)議選擇本系統(tǒng)主要采用RIP路由協(xié)議。3.2.2 IP地址規(guī)劃IP 地址的規(guī)劃在網(wǎng)絡(luò)設(shè)計中的作用舉足輕重。直接影響整個網(wǎng)絡(luò)運行的效率。IP 地址設(shè)計的總原則是簡單、易管理、易擴展。IP 地址是TCP/IP 協(xié)議族中的網(wǎng)絡(luò)層邏輯地址，它被用

10、來唯一地標(biāo)識網(wǎng)絡(luò)中的一個節(jié)點。IP 地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。根據(jù)以下幾個原則來分配IP 地址：（1）唯一性：一個IP 網(wǎng)絡(luò)中不能有兩個主機采用相同的IP地址（2）簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴展的復(fù)雜性，簡化路由表的款項（3）連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進行路由總結(jié)(Route Summarization)，大大縮減路由表，提高路由算法的效率（4）可擴展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴展時能保證地址總結(jié)所需的連續(xù)性

11、（5）靈活性：地址分配應(yīng)具有靈活性，可借助可變長子網(wǎng)掩碼技術(shù)(VLSM Variable-Length Subnet Mask)，以滿足多種路由策略的優(yōu)化，充分利用地址空間。地址規(guī)劃總部網(wǎng)段A192.168.4.0網(wǎng)段B192.168.5.0網(wǎng)段C192.168.6.0子網(wǎng)掩碼255.255.255.0表3.1 IP地址規(guī)劃表3.3 交換設(shè)計3.3.1 交換技術(shù)選擇考慮到園區(qū)網(wǎng)絡(luò)的實際需求，設(shè)計時，保證網(wǎng)絡(luò)的高可用性和穩(wěn)定性至關(guān)重要，保證網(wǎng)絡(luò)的高可用性和穩(wěn)定性，還能夠充分利用現(xiàn)有設(shè)備的資源，以避免單臺核心設(shè)備的負(fù)載太重而導(dǎo)致的網(wǎng)絡(luò)性能問題。同時各分支交換機兩臺上聯(lián)千兆線路分別上連到兩臺中心路由

12、交換機上，構(gòu)成全路由交換的網(wǎng)絡(luò)；借助于跨骨干的VLAN技術(shù)，使得對網(wǎng)絡(luò)內(nèi)有關(guān)Server的訪問變得更加安全有效。3.4 網(wǎng)絡(luò)層次化設(shè)計隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長，分布式的網(wǎng)絡(luò)服務(wù)和交換已經(jīng)移至用戶級，由此形成了一個新的、更適應(yīng)現(xiàn)代的高速大型網(wǎng)絡(luò)的分層設(shè)計模型。這種分級方法被稱為“多層設(shè)計”。多層設(shè)計有以下一些好處：多層設(shè)計是模塊化的，網(wǎng)絡(luò)容量可隨著日后網(wǎng)絡(luò)節(jié)點的增加而不斷增大。多層網(wǎng)絡(luò)有很大的確定性，因此在運行和擴展過程中進行故障查找和排除非常簡單。多層網(wǎng)絡(luò)系統(tǒng)設(shè)計最有效地利用多種第3層業(yè)務(wù)，包括分段、負(fù)載分擔(dān)和故障恢復(fù)等。在多層網(wǎng)絡(luò)中運用智能第3層業(yè)務(wù)可以大大減少因配置不當(dāng)或設(shè)

13、備故障引起的一般問題。多層模式使網(wǎng)絡(luò)的移植更為簡單易行，因為它保留了基于路由器和交換機的網(wǎng)絡(luò)原有的尋址方案，對以往的網(wǎng)絡(luò)有很好的兼容性。另外分層結(jié)構(gòu)也能夠?qū)W(wǎng)絡(luò)的故障進行很好的隔離。針對實際情況采用三層結(jié)構(gòu)模型。三層機構(gòu)模型劃分為三個層次，即核心層、分布層、接入層。每個層次完成不同的功能。（1）核心層 ：核心層作為整個網(wǎng)絡(luò)系統(tǒng)的核心，其主要功能是高速，可靠的進行數(shù)據(jù)交換。（2）分布層 ：分布層主要進行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進行訪問控制。包括訪問控制列表、VLAN路由等等。（3）接入層 ：接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。主要是進行VLAN的劃分、與分布層的連接等等。3.4.1

14、核心層設(shè)計核心交換區(qū)的作用是盡快地提供所有區(qū)域間的數(shù)據(jù)交換。兩臺交換機高性能、可靠性、可用性是主要考慮的因素。本區(qū)的安全性可以由邊界防火墻提供，如有需要在上面可以部署安全策略，使得核心交換區(qū)的安全性進一步地增強。Cisco 系列憑借眾多智能服務(wù)將控制擴展到網(wǎng)絡(luò)邊緣，其中包括先進的服務(wù)質(zhì)量、可預(yù)測性能、高級安全性和全面的管理。它提供帶集成永續(xù)性的出色控制，將永續(xù)性集成到硬件和軟件中，縮短了網(wǎng)絡(luò)停運時間。Cisco系列的模塊化架構(gòu)、介質(zhì)靈活性和可擴展性減少了重復(fù)運營開支，提高了投資回報，從而在延長部署壽命的同時降低了擁有成本。方案中交換機配置了一塊引擎，引擎用于Cisco交換機機箱，是一款64Gb

15、ps、4800萬分組/秒（48mpps）的第二到四層交換引擎，直接在管理引擎面板上配備了2個線速GBIC端口。該引擎可為中型企業(yè)提供價格合理、易于使用的可擴展性、創(chuàng)新安全性、集成可靠性和靈活性。3.4.2 匯聚層設(shè)計園區(qū)網(wǎng)絡(luò)項目的匯聚層交換機，對于中型機構(gòu)和企業(yè)分支機構(gòu)來說，Cisco系列通過提供配置靈活性，支持融合網(wǎng)絡(luò)模式及自動進行智能網(wǎng)絡(luò)服務(wù)配置，簡化了融合應(yīng)用的部署，并可針對不斷變化的業(yè)務(wù)需求進行調(diào)整。此外，Cisco系列針對高密度千兆位以太網(wǎng)部署進行了優(yōu)化，包括多種交換機，以滿足接入、匯聚或小型網(wǎng)絡(luò)骨干連接需求。Cisco提供12個千兆位以太網(wǎng)SFP端口用于連接數(shù)據(jù)中心和辦公樓的接入層

16、交換機和中心核心機房的交換機。3.4.3 接入層設(shè)計接入層交換機采用思科的千兆以太鏈路和匯聚交換機相連接，并為用戶終端提供10/100M自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。辦公系統(tǒng)所需的各種服務(wù)器如辦公自動化服務(wù)器、郵件服務(wù)器、DHCP服務(wù)器等組成服務(wù)器群，數(shù)據(jù)中心的多種金融系統(tǒng)應(yīng)用服務(wù)器，連接到匯聚交換機的千兆模塊上面，因此，內(nèi)部的局域網(wǎng)是采用三層結(jié)構(gòu)組建。3.4.4 內(nèi)聯(lián)接入推薦使用兩臺Cisco 2800系列路由器通過線路完成此項功能。由于可信度很高；接入時主要作用是管理和監(jiān)控，不涉及交易?？偨Y(jié)以上原因，內(nèi)聯(lián)路由器與核心交換網(wǎng)絡(luò)間不需要配置格外的防火墻。第4章

17、網(wǎng)絡(luò)配置實現(xiàn)4.1 設(shè)備基本配置在對設(shè)備進行具體的配置之前都要進行一些基本命令的配置，比如說給每臺設(shè)備定義一個不同的名稱，這樣方便在同時開啟了多臺設(shè)備的時候能夠迅速找到需要配置的設(shè)備；關(guān)閉域名解析可以防止敲錯命令的時候系統(tǒng)自動進行域名解析耽誤時間；開啟日志同步可以讓輸入的命令不被控制臺信息所覆蓋。4.2 IP地址配置在交換機上配置IP地址的時候首先需要使用no switchport命令開啟交換機的三層路由功能，在這里給每個設(shè)備配置一個接口用于管理設(shè)備。4.3 交換部分的配置4.3.1 Trunk鏈路的配置只有將設(shè)備相連的鏈路封裝成Trunk鏈路VTP中繼協(xié)議才能將VLAN信息同步到其它設(shè)備，而

18、且Trunk鏈路可以傳遞多個VLAN的信息。Trunk鏈路有兩種封裝協(xié)議802.1q和ISL，ISL是Cisco專有的協(xié)議，而802.1q是業(yè)界的標(biāo)準(zhǔn)協(xié)議，為了兼容性和穩(wěn)定性應(yīng)該選擇802.1q協(xié)議。4.3.2 VTP和VLAN的配置如果有多臺設(shè)備都需要劃分同樣的vlan的時候，如果手工配置的話會比較費時，也容易出錯，這個時候可以使用VTP中繼協(xié)議，把需要劃分VLAN的設(shè)備都加入到同一個VTP域中，設(shè)置相同的VTP密碼，設(shè)置一個VTP服務(wù)器端，在服務(wù)器上創(chuàng)建VLAN后，VLAN信息會被VTP域中的其他設(shè)備學(xué)習(xí)到。2960-24TT的VTP和VLAN配置如下：2960-24TT #vlan da

19、tabase 2960-24TT (vlan)#vtp domain cisco /設(shè)置VTP域名為cisco2960-24TT (vlan)#vtp server /設(shè)置VTP模式為服務(wù)器模式2960-24TT (vlan)#vtp password cisco /設(shè)置VTP密碼為cisco2960-24TT (vlan)#vlan 10 /創(chuàng)建VLAN 102960-24TT (vlan)#vlan 20 /創(chuàng)建VLAN 202960-24TT (vlan)#vlan 40 /創(chuàng)建VLAN 402960-24TT (vlan)#vlan 60 /創(chuàng)建VLAN 602960-24TT (vlan)#exit4.4 路由協(xié)議的配置動態(tài)路由協(xié)議采用自適應(yīng)路由算法，能夠根據(jù)網(wǎng)絡(luò)拓?fù)涞淖兓匦掠嬎銠C最佳路由。2811的動態(tài)路由配置：Router>enableRouter#configure terminalEn