某企業(yè)網(wǎng)絡系統(tǒng)規(guī)劃與設計

某企業(yè)網(wǎng)絡系統(tǒng)規(guī)劃與設計某企業(yè)網(wǎng)絡系統(tǒng)規(guī)劃與設計某企業(yè)網(wǎng)絡系統(tǒng)規(guī)劃與設計資料僅供參考文件編號：2022年4月某企業(yè)網(wǎng)絡系統(tǒng)規(guī)劃與設計版本號：A修改號：1頁次：1.0審核：批準:發(fā)布日期：某企業(yè)網(wǎng)絡系統(tǒng)規(guī)劃與設計

目錄一、 需求分析 31、 背景 32、 設計原則 3二、 總拓撲 6三、 總體設計思路 6四、 路由規(guī)劃 7五、 Ip地址及vlan規(guī)劃 7六、 關鍵技術分析 8七、 設備選型 91. 選型原則 92. 設備清單及報價 9八、 配置命令 101. 在接入層交換機下端口配置端口安全 102. 接入層與分布層之間相連的鏈路配置trunk 103. 接入層與分布層交換機配置vtp 104. 在分布層交換機創(chuàng)建vlan 105. 將接入層上端口劃分vlan 106. 將交換機的鏈路進行捆綁 117. VRRP配置 118. 配置ospf協(xié)議 119. 防火墻上的nat及下放默認路由 12

需求分析背景某企業(yè)，考慮了將來，大約2000用戶，基本均勻分布于四棟樓。每棟樓約4層，人員均勻分布。服務器10臺集中于機房。用戶無大數(shù)據(jù)量應用?，F(xiàn)需要組建局域網(wǎng)，要求網(wǎng)絡保證一定穩(wěn)定性，網(wǎng)絡主干中斷最多為1分鐘。設計原則多業(yè)務網(wǎng)絡系統(tǒng)方案以實現(xiàn)以上功能為基本要求，在設計上力求做到既要采用國際上先進的技術，又要保證系統(tǒng)的安全可靠性和實用性。具體來講，其設計遵循以下原則：可靠性：本系統(tǒng)是7x24小時連續(xù)運行系統(tǒng)，從硬件和軟件兩方面來保證系統(tǒng)的高可靠性。硬件可靠性系統(tǒng)的主要部件采用冗余結(jié)構，如：傳輸方式的備份，提供備份組網(wǎng)結(jié)構；主要的計算機設備（如數(shù)據(jù)庫服務器），配備不間斷電源等。軟件可靠性充分考慮異常情況的處理，具有強的容錯能力、錯誤恢復能力、錯誤記錄及預警能力并給用戶以提示；并具有進程監(jiān)控管理功能，保證各進程的可靠運行數(shù)據(jù)庫系統(tǒng)應。網(wǎng)絡結(jié)構穩(wěn)定性當增加/擴充應用子系統(tǒng)時，不影響網(wǎng)絡的整體結(jié)構以及整體性能，對關鍵的網(wǎng)絡連接采用主備方式，已保證數(shù)據(jù)的傳輸?shù)目煽啃?。先進性：網(wǎng)絡技術應為當期國際同業(yè)中先進的，并能支持未來網(wǎng)絡技術的高性能需求，并且在業(yè)界表現(xiàn)出較高的網(wǎng)絡性能；實用性：整個網(wǎng)絡系統(tǒng)要按照實用、好用的原則，使網(wǎng)絡具有較高的實用性；時效性：網(wǎng)絡要保證各類業(yè)務數(shù)據(jù)流的及時傳輸，網(wǎng)絡時效性要強，網(wǎng)絡延時要小，確證業(yè)務交易的實時高效完成。完整性：網(wǎng)絡系統(tǒng)應實現(xiàn)端到端的，能整合數(shù)據(jù)、語音和圖象的多業(yè)務應用，需要在全網(wǎng)范圍統(tǒng)一的實施安全策略、QoS策略、流量管理策略和系統(tǒng)管理策略的完整的一體化網(wǎng)絡；可實施性：整個網(wǎng)絡解決方案的實施要便于實際的實施，并在實施過程中要保證現(xiàn)有網(wǎng)絡和切換的完整性和一致性，確保實施工作的正常、順利?？蓴U展性：隨著技術不斷發(fā)展，新的標準和功能不斷增加，網(wǎng)絡設備必須可以通過網(wǎng)絡進行升級，以提供更先進、更多的功能。在網(wǎng)絡建成后，隨著應用和用戶的增加，核心骨干網(wǎng)絡設備的交換能力和容量必須能作出線性的增長。設備應能提供高端口密度、模塊化的設計以及多種類接口、技術的選擇，以方便未來更靈活的擴展。兼容性：跟蹤世界科技發(fā)展動態(tài)，網(wǎng)絡規(guī)劃與現(xiàn)有光纖傳輸網(wǎng)及將要改造的分配網(wǎng)有良好的兼容，在采用先進技術的前提下，最大可能地保護已有投資，并能在已有的網(wǎng)絡上擴展多種業(yè)務。安全性：網(wǎng)絡的安全性對網(wǎng)絡設計是非常重要的，合理的網(wǎng)絡安全控制，可以使應用環(huán)境中的信息資源得到有效的保護可以有效的控制網(wǎng)絡的訪問，靈活的實施網(wǎng)絡的安全控制策略。在企業(yè)園區(qū)網(wǎng)絡中，關鍵應用服務器、核心網(wǎng)絡設備，只有系統(tǒng)管理人員才有操作、控制的權力。應用客戶端只有訪問共享資源的權限，網(wǎng)絡應該能夠阻止任何的非法操作。在園區(qū)網(wǎng)絡設備上應該可以進行基于協(xié)議、基于Mac地址、基于IP地址的包過濾控制功能。在大規(guī)模園區(qū)網(wǎng)絡的設計上，劃分虛擬子網(wǎng)，一方面可以有效的隔離子網(wǎng)內(nèi)的大量廣播，另一方面隔離網(wǎng)絡子網(wǎng)間的通訊，控制了資源的訪問權限，提高了網(wǎng)絡的安全性。在設計園區(qū)網(wǎng)的原則上必須強調(diào)網(wǎng)絡安全控制能力，使網(wǎng)絡可以任意連接，又可以從第二層、第三層控制網(wǎng)絡的訪問?？晒芾硇裕壕W(wǎng)絡中的任何設備均可以通過網(wǎng)絡管理平臺進行控制，網(wǎng)絡的設備狀態(tài)，故障報警等都可以通過網(wǎng)管平臺進行監(jiān)控，通過網(wǎng)絡管理平臺簡化管理工作，提高網(wǎng)絡管理的效率?？偼負淇傮w設計思路整個網(wǎng)絡通過企業(yè)總部上Internet，在企業(yè)總部設置有防火墻，用于防護企業(yè)內(nèi)部網(wǎng)絡的安全，且在防火墻上進行NAT轉(zhuǎn)換，使得整個企業(yè)的網(wǎng)絡能上Internet。網(wǎng)絡總體使用三層結(jié)構，分別是核心層、分布層和接入層。核心層設有兩臺核心交換機，核心交換機使用上行鏈路與路由器連接，保證冗余性。核心交換機間可以使用鏈路捆綁鏈路進行連接，保證核心交換機間的鏈路冗余性及提高鏈路的可靠性。企業(yè)內(nèi)部服務器核心交換機相連，保證數(shù)據(jù)的高速轉(zhuǎn)發(fā)，且使用雙鏈路分別與兩臺核心交換機相連，保證冗余性，減少因鏈路故障帶來的影響，提高網(wǎng)絡的可靠性。除服務器外，各部門的信息點都連接到接入層交換機，在接入層上端口劃分vlan，同一部門的計算機都在同一vlan，并采用VTPPrune技術，避免trunk鏈路的不必要流量。在分布層交換機上創(chuàng)建vlan，自動發(fā)布到接入層交換機。接入設備的網(wǎng)關設在核心交換機，并且使用vrrp在兩臺核心交換機間實現(xiàn)冗余。路由規(guī)劃為了使各棟樓實現(xiàn)高效的互聯(lián)，并且便于網(wǎng)絡管理與維護，整個網(wǎng)絡采用OSPF協(xié)議，將總部A棟的三層交換機、防火墻、路由器劃分為Area0，其他各個分部B、C、D棟分別劃分為Area1，Area2，Area3，以此類推。總部與分部相連的鏈路劃為Area0。在區(qū)域便界進行網(wǎng)絡匯總，保證網(wǎng)絡正常的同時，盡量減少路由條目，提高路由器的轉(zhuǎn)發(fā)效率。Ip地址及vlan規(guī)劃防火墻連接ISP的ip地址為/30關鍵技術分析在接入層交換機上做端口安全，接入層與分布層交換機之間使用stp保護。交換機的連接全部使用trunk鏈路，并且允許所有vlan通過。在每棟樓的分布層交換機上都創(chuàng)建要用到的vlan?？偛亢诵膶咏粨Q機間使用鏈路捆綁技術總部的核心交換機使用vrrp進行網(wǎng)關冗余，并且調(diào)整vrrp使得一部分主網(wǎng)關在MultilayerSwitch8，一部分主網(wǎng)關在MultilayerSwitch9，結(jié)合MSTP實現(xiàn)負載分擔在防火墻ASA1上做NAT轉(zhuǎn)換，寫一條出口指向Internet的缺省路由，并且通過OSPF下放缺省路由，使得整個網(wǎng)絡能訪問ISP。在各個樓棟的路由器及總部的路由器上做區(qū)域間匯總在總部與分部的路由器上啟用CHAP認證。設備選型選型原則在設備選型時，主要考慮如下原則：穩(wěn)定性只有運行穩(wěn)定的網(wǎng)絡才能投入到實際項目的使用中去，而網(wǎng)絡的穩(wěn)定性取決于很多因素，如網(wǎng)絡的設計，產(chǎn)品的可靠等。高處理性能為了支持數(shù)據(jù)、語音、視頻等多媒體的傳輸能力，應選取轉(zhuǎn)發(fā)速率高、cpu性能較好、數(shù)據(jù)包處理速度快的產(chǎn)品。擴展性網(wǎng)絡設計中要有擴展性和可升級性，隨著企業(yè)業(yè)務的增長，網(wǎng)絡中的數(shù)據(jù)流量會持續(xù)增加，所以網(wǎng)絡中的可擴展性尤為重要。安全性網(wǎng)絡系統(tǒng)中的安全性主要體現(xiàn)在網(wǎng)絡設計的安全性、產(chǎn)品本身的安全性以及人為因素等?？煽匦噪S著網(wǎng)絡規(guī)模的增大，網(wǎng)絡的可控性會降低。一個網(wǎng)絡既要保證數(shù)據(jù)的正確傳輸，也要保證數(shù)據(jù)朝著最優(yōu)的方向傳輸。設備清單及報價配置命令在接入層交換機下端口配置端口安全S2950-24(config)#intf0/1S2950-24(config-if)#shutdownS2950-24(config-if)#switchportmodeaccessS2950-24(config-if)#switchportport-securityS2950-24(config-if)#switchportport-securitymaximum1S2950-24(config-if)#switchportport-securityviolationshutdown接入層與分布層之間相連的鏈路配置trunkS2950-24(config)#intf0/1S2950-24(config-if)#switchportmodetrunk//其他接口類似，就不一一列舉接入層與分布層交換機配置vtpS2950T-24(config)#vtpmodeserverS2950T-24(config)#vtpdomainSZPTS2950T-24(config)#vtppasswordcisco//在vtpserver模式下啟用vtppruning，其他交換機類似，就不一一列舉，需要隱私的部門可以設置模式為transparent在分布層交換機創(chuàng)建vlanS2950T-24(config)#vlan10S2950T-24(config-vlan)#descriptionoffice//創(chuàng)建vlan并加以描述信息，方便管理，其他vlan類似，就不一一列舉將接入層上端口劃分vlanS2950-24(config)#intf0/1S2950-24(config-if)#switchportmodeaccessS2950-24(config-if)#switchportaccessvlan10//其他接口類似于此操作將交換機的鏈路進行捆綁3560-24PS(config)#interfaceport-channel13560-24PS(config)#interfacerangef0/11-123560-24PS(config-if-range)#channel-group1modeon3560-24PS(config-if-range)#switchportmodetrunk3560-24PS(config-if-range)#exit3560-24PS(config)#port-channelload-balancedst-ip//進行端口聚合，另一臺核心交換機也做同樣的操作VRRP配置3560-24PS(config)#track100intf0/13line-protocol3560-24PS(config)#intf0/113560-24PS(config-if)#vrrp1ip3560-24PS(config-if)#vrrp1priority1203560-24PS(config-if)#vrrp1preempt3560-24PS(config-if)#vrrp1authenticationMD5key-stringcisco3560-24PS(config-if)#vrrp1track100decrement303560-24PS(config-if)#vrrp2ip3560-24PS(config-if)#vrrp2preempt3560-24PS(config-if)#vrrp2authenticationmd5key-stringcisco在另外一臺核心交換機上3560-24PS(config)#track100intf0/14line-protocol3560-24PS(config)#intf0/123560-24PS(config-if)#vrrp1ip3560-24PS(config-if)#vrrp1preempt3560-24PS(config-if)#vrrp1authenticationMD5key-stringcisco3560-24PS(config-if)#vrrp2ip3560-24PS(config-if)#vrrp2priority1203560-24PS(config-if)#vr