園區(qū)的網(wǎng)絡(luò)規(guī)劃與設(shè)計

...wd...園區(qū)的網(wǎng)絡(luò)規(guī)劃與設(shè)計隨著現(xiàn)代科學(xué)技術(shù)和互聯(lián)網(wǎng)的迅猛開展，以計算機和通訊技術(shù)為根基的管理系統(tǒng)正處于高速開展的時期。同時，伴隨著經(jīng)濟文化水平的顯著提高，人們對生活質(zhì)量的要求也在不斷提升，對工作的環(huán)境以及要求也日益提高。在一個園區(qū)內(nèi)進展辦公的人們之間需要相互的通信，同時在相互通信的過程中又能確保信息通暢與保密，于是對此園區(qū)的一個網(wǎng)絡(luò)規(guī)劃與設(shè)計應(yīng)運而生。本課題簡要地討論了企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計中涉及到的網(wǎng)絡(luò)技術(shù)、規(guī)劃設(shè)計方法、網(wǎng)絡(luò)性能以應(yīng)用分析等問題，為企業(yè)網(wǎng)絡(luò)的規(guī)劃、設(shè)計和升級改造等方面在技術(shù)及應(yīng)用上提供參考，以使在建或規(guī)劃中的校園網(wǎng)絡(luò)具備較高的整體性能。通過對園區(qū)網(wǎng)絡(luò)的分析，從性能和價值上滿足園區(qū)網(wǎng)絡(luò)的需求，然后對企業(yè)園區(qū)網(wǎng)絡(luò)進展劃分vlan、設(shè)置管理域等配置，不斷的優(yōu)化企業(yè)的網(wǎng)絡(luò)，從而到達企業(yè)安全、快速訪問網(wǎng)絡(luò)資源的目的。通篇分為6個章節(jié)進展討論，從技術(shù)概念、需求分析、系統(tǒng)實現(xiàn)等篇章對網(wǎng)絡(luò)進展系統(tǒng)化的設(shè)計與規(guī)劃，主要討論園區(qū)局域網(wǎng)絡(luò)建設(shè)過程中可能用到的各種技術(shù)、實施方案為設(shè)計準則，為廣闊師生在今后建設(shè)園區(qū)網(wǎng)的過程中提供一些建議和準則。關(guān)鍵詞：園區(qū)網(wǎng)絡(luò)，規(guī)劃與設(shè)計，網(wǎng)絡(luò)建設(shè)目錄TOC\o"1-3"\u摘要IAbstract II第1章緒論11.1論文研究主要內(nèi)容11.2現(xiàn)階段網(wǎng)絡(luò)的開展1第2章相關(guān)技術(shù)介紹22.1關(guān)鍵技術(shù)的應(yīng)用22.1.1默認路由22.1.2NAT技術(shù)22.1.3VTP技術(shù)22.1.4STP技術(shù)22.1.5ACL技術(shù)22.1.6冗余技術(shù)22.2網(wǎng)絡(luò)協(xié)議的概念及應(yīng)用32.2.1IP協(xié)議32.2.2TCP/IP協(xié)議32.2.3RIP協(xié)議32.2.4OSPF協(xié)議32.3虛擬局域網(wǎng)(VLAN)的介紹32.3.1什么是VLAN 32.3.2VLAN的優(yōu)點42.3.3劃分VLAN的方法52.3.4三層交換技術(shù)52.4網(wǎng)絡(luò)拓撲構(gòu)造設(shè)計52.5企業(yè)網(wǎng)的概要62.5.1企業(yè)網(wǎng)的建設(shè)原則62.5.2企業(yè)網(wǎng)的技術(shù)特點7第3章網(wǎng)絡(luò)需求83.1園區(qū)平面圖83.2需求實現(xiàn)8第4章系統(tǒng)設(shè)計104.1總體規(guī)劃104.2網(wǎng)絡(luò)拓撲104.3具體規(guī)劃104.4地址劃分114.4.1VLAN及IP地址劃分114.4.2NAT地址劃分114.4.3交換機管理地址劃分11第5章設(shè)備選擇13第6章系統(tǒng)實現(xiàn)156.1分布層交換機的配置156.2接入層交換機的配置176.3路由器的配置186.4核心交換機的配置206.5網(wǎng)絡(luò)安全的配置206.6系統(tǒng)測試21第7章總結(jié)22第1章緒論當今社會已步入信息社會，信息成為社會經(jīng)濟開展的核心因素，信息化已成為當今世界潮流。自從1993年美國政府公布實施“信息高速公路方案〞之后，在世界引起巨大反響，許多興旺國家和一些開展中國家也相繼提出了本國或本地區(qū)的信息根基設(shè)施方案?？梢哉f，信息化程度已成為衡量一個國家現(xiàn)代化水平和綜合國力強弱的重要標志。1.1論文研究主要內(nèi)容本次論文主要研究的對象是園區(qū)的網(wǎng)絡(luò)規(guī)劃與設(shè)計。眾所周知，園區(qū)網(wǎng)絡(luò)包含有生活園區(qū)網(wǎng)絡(luò)，校園區(qū)網(wǎng)絡(luò)，軟件園區(qū)網(wǎng)絡(luò)，本次論文主要針對軟件園區(qū)里的某企業(yè)園區(qū)的網(wǎng)絡(luò)進展規(guī)劃與設(shè)計，保證其正常的Internet訪問以及正常的公司內(nèi)網(wǎng)訪問。1.2現(xiàn)階段網(wǎng)絡(luò)的開展在現(xiàn)今的網(wǎng)絡(luò)建設(shè)中，企業(yè)網(wǎng)的建設(shè)是非常重要的，企業(yè)網(wǎng)內(nèi)部各種不同業(yè)務(wù)的開展是企業(yè)網(wǎng)開展迅速的最主要原因。從早期的企業(yè)網(wǎng)主要是簡單的數(shù)據(jù)共享，簡單數(shù)據(jù)庫的共享到現(xiàn)在的內(nèi)部全方位的數(shù)據(jù)共享，從過去單一的企業(yè)規(guī)劃到現(xiàn)在多個分支公司的全部互連，因而對網(wǎng)絡(luò)的覆蓋面要求越來越廣。這一要求最早還只局限于各分支企業(yè)內(nèi)部，現(xiàn)在則已是整個企業(yè)、整個行業(yè)，甚至整個Internet的共同要求。目前國內(nèi)的網(wǎng)絡(luò)技術(shù)正在蒸蒸日上，但是還遠遠不能打到興旺國家的水平，首先大家最關(guān)心的也是最主要的問題就是網(wǎng)絡(luò)帶寬，研究說明全國近95%的網(wǎng)民所享用的帶寬已經(jīng)到達2M/bps，即下載速度為256Kb/s，網(wǎng)盤公司Pando在全球224個國家取樣2700萬次下載，研究結(jié)果為世界平均下載速度為580Kb/s，我國的網(wǎng)絡(luò)水平還遠未到達世界平均水平，網(wǎng)絡(luò)的建設(shè)亟待加強。由此可見，雖然我們擁有大多數(shù)先進的設(shè)備，但是我們還無法讓這些高價的設(shè)備發(fā)揮其應(yīng)有的性能，還需要加強網(wǎng)絡(luò)方面的建設(shè)，并且在現(xiàn)有的網(wǎng)絡(luò)根基上，對網(wǎng)絡(luò)進展最大限度的優(yōu)化，這就使得我們需要更穩(wěn)固的網(wǎng)絡(luò)理論，以及更合理的網(wǎng)絡(luò)規(guī)劃，若何運用好這些設(shè)備，中國的網(wǎng)絡(luò)開展，需要我們盡自己的一份力，道路雖然曲折，但前途是光明的。第2章相關(guān)技術(shù)介紹2.1關(guān)鍵技術(shù)的應(yīng)用2.1.1默認路由默認路由是一種特殊的靜態(tài)路由，指當路由表中與數(shù)據(jù)包目的地址之間沒有匹配的路由表項時，路由器默認做出的選擇。如果沒有默認路由，那么目的地址在路由表中沒有匹配路由表項的數(shù)據(jù)包將被丟棄。默認路由在某些時候非常有效，當存在末梢網(wǎng)絡(luò)時，默認路由會大大簡化路由器的配置。減輕管理員的工作負擔，提高網(wǎng)絡(luò)性能。2.1.2NAT技術(shù)NAT(NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換)是將IP數(shù)據(jù)報頭中的IP地址轉(zhuǎn)換為另一個IP地址的過程。在實際應(yīng)用中，NAT主要用于實現(xiàn)私有網(wǎng)絡(luò)訪問公共網(wǎng)絡(luò)的功能。這種通過使用少量的公有IP地址代表較多的私有IP地址的方式，將有助于減緩可用IP地址空間的枯竭。2.1.3VTP技術(shù)VTP(VLANTrunkingProtocol)：VTP是一個工作在數(shù)據(jù)鏈路層〔第二層〕的協(xié)議，通過對VLAN的增加、刪除以及VLAN的名稱變化進展管理以獲得VLAN配置的一致性，使得在大規(guī)模的交換式園區(qū)網(wǎng)上VLAN配置的維護更加簡單、有效。2.1.4STP技術(shù)STP協(xié)議遵循IEEE802.1d標準，用來防止鏈路環(huán)路產(chǎn)生播送風(fēng)暴并提供鏈路冗余備份。IEEE802.1d協(xié)議通過在交換機上運行一套算法，使冗余鏈路上的端口都處于阻塞狀態(tài)，網(wǎng)絡(luò)中使用性能最好的一條鏈路進展正常的通信，而這條正常通信的鏈路出現(xiàn)故障時，IEEE802.1d協(xié)議通過算法重新計算，從可用的冗余鏈路中再選出一條性能最好的鏈路，將該鏈路上的端口翻開并使其進展數(shù)據(jù)傳輸。2.1.5ACL技術(shù)訪問控制列表〔AccessControlList,ACL〕是路由器和交換機接口的指令列表，用來控制端口進出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個框架構(gòu)造，其目的是為了對某種訪問進展控制。2.1.6冗余技術(shù)在大型的局域網(wǎng)中，為了提高網(wǎng)絡(luò)的強健性和穩(wěn)定性，在提供正常的網(wǎng)絡(luò)設(shè)備連接之外，往往還提供一些備份連接。備份連接也成為冗余鏈路2.2網(wǎng)絡(luò)協(xié)議的概念及應(yīng)用2.2.1IP協(xié)議IP是英文InternetProtocol〔網(wǎng)絡(luò)之間互連的協(xié)議〕的縮寫，中文簡稱為“網(wǎng)協(xié)〞，也就是為計算機網(wǎng)絡(luò)相互連接進展通信而設(shè)計的協(xié)議。在因特網(wǎng)中，它是能使連接到網(wǎng)上的所有計算機網(wǎng)絡(luò)實現(xiàn)相互通信的一套規(guī)則，規(guī)定了計算機在因特網(wǎng)上進展通信時應(yīng)當遵守的規(guī)則。任何廠家生產(chǎn)的計算機系統(tǒng)，只要遵守IP協(xié)議就可以與因特網(wǎng)互連互通。2.2.2TCP/IP協(xié)議TransmissionControlProtocol/InternetProtocol的簡寫，中譯名為傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議，又名網(wǎng)絡(luò)通訊協(xié)議，是Internet最基本的協(xié)議、Internet國際互聯(lián)網(wǎng)絡(luò)的根基，由網(wǎng)絡(luò)層的IP協(xié)議和傳輸層的TCP協(xié)議組成。TCP/IP定義了電子設(shè)備若何連入因特網(wǎng)，以及數(shù)據(jù)若何在它們之間傳輸?shù)臉藴?。協(xié)議采用了4層的層級構(gòu)造，每一層都呼叫它的下一層所提供的網(wǎng)絡(luò)來完成自己的需求。通俗而言：TCP負責發(fā)現(xiàn)傳輸?shù)膯栴}，一有問題就發(fā)出信號，要求重新傳輸，直到所有數(shù)據(jù)安全正確地傳輸?shù)侥康牡?。而IP是給因特網(wǎng)的每一臺電腦規(guī)定一個地址。2.2.3RIP協(xié)議路由信息協(xié)議〔RIP〕是一種在網(wǎng)關(guān)與主機之間交換路由選擇信息的標準。RIP是一種內(nèi)部網(wǎng)關(guān)協(xié)議。在國家性網(wǎng)絡(luò)中如當前的因特網(wǎng)，擁有很多用于整個網(wǎng)絡(luò)的路由選擇協(xié)議。作為形成網(wǎng)絡(luò)的每一個自治系統(tǒng)，都有屬于自己的路由選擇技術(shù)，不同的AS系統(tǒng)，路由選擇技術(shù)也不同。2.2.4OSPF協(xié)議OSPF(OpenShortestPathFirst開放式最短路徑優(yōu)先〕[1]是一個內(nèi)部網(wǎng)關(guān)協(xié)議(InteriorGatewayProtocol，簡稱IGP〕，用于在單一自治系統(tǒng)〔autonomoussystem，AS〕內(nèi)決策路由。與RIP相比，OSPF是鏈路狀態(tài)協(xié)議，而RIP是距離矢量協(xié)議。OSPF的協(xié)議管理距離〔AD〕是110。在我的網(wǎng)絡(luò)規(guī)劃中，將著重使用OSPF協(xié)議。2.3虛擬局域網(wǎng)(VLAN)的介紹2.3.1什么是VLANVLAN是為解決以太網(wǎng)的播送風(fēng)暴問題和安全性而提出的一種技術(shù)。通過在交換機上進展特定的設(shè)置，將屬于一個局域網(wǎng)的主機分成假設(shè)干個小組，每個小組就是一個VLAN，有一個VLAN標識。一個VLAN是一個邏輯播送域，一個播送域只在某個VLAN范圍內(nèi)傳遞，不會傳遞到其他的VLAN上。利用VLAN可以有效地在交換機上分割播送域，動態(tài)的管理網(wǎng)絡(luò)。2.3.2VLAN的優(yōu)點〔1〕控制播送風(fēng)暴某些應(yīng)用程序在發(fā)起連接的時候會采用播送的方式。客戶端較少時可以忽略這個問題。但是當客戶端較多時，這種播送流量對網(wǎng)絡(luò)帶寬的英雄就不可以忽略不計。假設(shè)所有設(shè)備都在一個VLAN中。那么當某臺設(shè)備發(fā)出一個播送報文，當這個報文到達交換機以后會被交換機復(fù)制到除承受報文的接口外的其余所有接口。如果本來就只應(yīng)該有一臺設(shè)備對該播送報文進展處理和回復(fù)，那么其余設(shè)備承受到該播送報文就是多余的，換名說就是浪費了其余設(shè)備帶寬。為了控制網(wǎng)絡(luò)中由于應(yīng)用程序本身或者其余某些不可控因素產(chǎn)生的大量播送報文，我們應(yīng)該將不同的子系統(tǒng)劃分到不同的VLAN中。在劃分VLAN之后，我們就能夠很好的保證一個VLAN種的播送不會送我到該VLAN外，這樣就減少播送流量，釋放更多的貸款給用戶應(yīng)用。〔2〕降低環(huán)路造成的危害 我們知道交換機在進展二層轉(zhuǎn)發(fā)的時候是通過查找MAC地址表來實現(xiàn)的。因此MAC地址表的正確與否直接關(guān)系到數(shù)據(jù)能否正確的轉(zhuǎn)發(fā)到目的地。而環(huán)路會造成交換機MAC地址表學(xué)習(xí)錯誤，這樣直接造成后果就是交換機上整個數(shù)據(jù)轉(zhuǎn)發(fā)出現(xiàn)問題，與交換機直連的所有設(shè)備之間的通信都會中斷。后果極其嚴重。劃分VLAN之后，環(huán)路造成影響的范圍會縮小到VLAN之內(nèi)。某一VLAN內(nèi)部形成環(huán)路只會造成該VLAN內(nèi)部設(shè)備間通信出現(xiàn)問題而不會影響到整個網(wǎng)絡(luò)。因而我們建議將各個子系統(tǒng)劃分到不同的VLAN之中并且再在各個VLAN內(nèi)部的端口上啟用環(huán)路檢測功能〔或者生成樹協(xié)議〕，這樣就在最大限度上縮小了環(huán)路造成的危害?！?〕提高網(wǎng)絡(luò)整體安全性因為一個VLAN就是一個單獨的播送域，VLAN之間相互隔離，這大大提高了網(wǎng)絡(luò)的利用率，確保了網(wǎng)絡(luò)的安全保密性。人們在LAN上經(jīng)常傳送一些保密的、關(guān)鍵的數(shù)據(jù)。保密的數(shù)據(jù)應(yīng)提供訪問控制等安全手段。一個有效和容易實現(xiàn)的方法是將網(wǎng)絡(luò)劃分成幾個不同的播送組，網(wǎng)絡(luò)管理員限VLAN中用戶的數(shù)量，制止未經(jīng)允許的用戶訪問VLAN中的應(yīng)用。交換機上的端口可以基于應(yīng)用類型和訪問特權(quán)來進展分組，被先知的應(yīng)用程序和資源一般置于安全性較高的VLAN中?！?〕網(wǎng)絡(luò)管理簡單、直觀借助VLAN技術(shù)，能將不同地點、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個虛擬的網(wǎng)絡(luò)環(huán)境，就像使用本地LAN一樣方便、靈活、有效。2.3.3劃分VLAN的方法基于端口基于MAC地址基于網(wǎng)絡(luò)層根據(jù)IP組播劃分VLAN2.3.4三層交換技術(shù)在劃分VLAN之后，不同VLAN間的主機就不可以直接通信了，路由器可以在VLAN間轉(zhuǎn)發(fā)數(shù)據(jù)。但在一個局域網(wǎng)內(nèi)不同VLAN間通信的數(shù)據(jù)量通常是非常大的，假設(shè)路由器需要對每一個跨VLAN的數(shù)據(jù)包都進展路由，那么隨著網(wǎng)絡(luò)上通信數(shù)據(jù)量的不斷增大，路由器將不堪重負，最終拖慢整個網(wǎng)絡(luò)。正式在這種情況下出現(xiàn)了第三層交換技術(shù)，它是一種將路由與交換技術(shù)結(jié)合的技術(shù)，三層交換機集路由與交換功能于一身，在交換機內(nèi)部實現(xiàn)了路由。這種交換機將第二層和第三層的功能集成在一起，所以VLAN間的通信就不需要再單獨接入一臺路由器了。三層交換機在對一個數(shù)據(jù)流進展路由之后，即產(chǎn)生一個MAC地址和IP地址的映射表，當同樣的數(shù)據(jù)流再一次通過時，就會根據(jù)映射表直接從數(shù)據(jù)鏈路層〔二層〕通過而不是再次在網(wǎng)絡(luò)層進展路由，這樣就消除了由于路由選擇而造成的網(wǎng)絡(luò)延遲，而且數(shù)據(jù)包轉(zhuǎn)發(fā)的效率也提高了，從而整體上提升了網(wǎng)絡(luò)的性能。2.4網(wǎng)絡(luò)拓撲構(gòu)造設(shè)計個站點相互連接的形式，在局域網(wǎng)中明確一點講就是文件服務(wù)器、工作站和電纜等的連接形式，把網(wǎng)絡(luò)中的計算機和通信設(shè)備抽象為一個點，把傳輸介質(zhì)抽象為一條線。網(wǎng)絡(luò)的拓撲構(gòu)造也反映網(wǎng)絡(luò)中各個實體的構(gòu)造關(guān)系，是建設(shè)計算機網(wǎng)絡(luò)的第一步，是實現(xiàn)各種網(wǎng)絡(luò)的根基，它對網(wǎng)絡(luò)的性能，系統(tǒng)的可靠性與通信費用都有著重大的影響。大型網(wǎng)絡(luò)的設(shè)計是把整個計算機網(wǎng)絡(luò)氣氛核心層，接入層。網(wǎng)絡(luò)的層次化設(shè)計具有以下優(yōu)點：〔1〕構(gòu)造簡單通過網(wǎng)絡(luò)分成許多小單元，降低了網(wǎng)絡(luò)的整體復(fù)雜性，使故障排除或擴展更容易，能隔離播送風(fēng)暴的傳播、防止路由循環(huán)等潛在問題?！?〕升級靈活網(wǎng)絡(luò)容易升級到最新的技術(shù)，升級任意層的網(wǎng)絡(luò)不會對其他層造成影響，無需改變整個網(wǎng)絡(luò)環(huán)境。〔3〕易于管理層次構(gòu)造降低了設(shè)備配置的復(fù)雜性，使網(wǎng)絡(luò)更容易管理。通常將網(wǎng)絡(luò)中直接面向用戶連接或訪問網(wǎng)絡(luò)的局部稱為接入層。接入層的目的是允許終端用戶連接到網(wǎng)絡(luò)，提供了帶寬共享、交換帶寬、MAC層過濾和網(wǎng)段劃分等功能。接入層交換機具有低成本和高端口的密度特點，考慮采用可網(wǎng)管、可堆疊的接入級交換機。位于接入層和核心層之間的局部稱為分布層或會聚層。會聚層交換層是多臺接入層交換機的會聚點，它必須能夠處理來自接入層設(shè)備的所有通信量，并提供到核心層的上行鏈路，因此會聚層交換機與接入層交換機對比，需要更高的性能、更少的接口和更高的效率。會聚層的設(shè)計要滿足核心層、會聚層交換機和服務(wù)器集合環(huán)境對千兆端口密度、可擴展性、高可用性以多層交換的不斷增長的需求，支持大用戶量、多媒體信息傳輸?shù)葢?yīng)用。網(wǎng)絡(luò)主干局部稱為核心層。核心層的主要目的在于通過高速轉(zhuǎn)發(fā)通信，提供可靠的骨干傳輸構(gòu)造，因此核心層交換機應(yīng)該擁有更高的可靠性，更快速率的鏈路連接技術(shù)，并且能快速適應(yīng)網(wǎng)絡(luò)的變化。性能和吞吐量應(yīng)根據(jù)不同層次用不同的要求設(shè)計網(wǎng)絡(luò)，并且使用冗余組件來設(shè)計，在與會聚層交換機相連時要考慮采用建設(shè)在生成樹根基上的多鏈路冗余連接，以保證與核心層交換機之間存在備份連接和負載均衡，完成高帶寬、大容量網(wǎng)絡(luò)層路由器交換功能。2.5企業(yè)網(wǎng)的概要2.5.1企業(yè)網(wǎng)的建設(shè)原則網(wǎng)絡(luò)建設(shè)原則要表達對用戶網(wǎng)絡(luò)技術(shù)和服務(wù)上的全面支持.這些原則應(yīng)該以用戶為中心，包括下面幾個方面:可靠性可靠性原則具有容錯功能，管理、維護方便。對網(wǎng)絡(luò)的設(shè)計、選型、安裝和調(diào)試等各個環(huán)節(jié)進展同意的規(guī)劃和分析，確保系統(tǒng)運行可靠，需從設(shè)備本身和網(wǎng)絡(luò)拓撲兩個方面考慮?？蛇\營性僅僅提供IP級別的連通是遠遠不夠的，網(wǎng)絡(luò)還應(yīng)供豐富的業(yè)務(wù)，足夠強健的安全級別，對關(guān)鍵業(yè)務(wù)的QoS保證。搭建網(wǎng)絡(luò)的目的是真正能夠給用戶帶來效益?？晒芾硇蕴峁╈`活的網(wǎng)絡(luò)管理平臺，利用一個平臺實現(xiàn)對系統(tǒng)中各種類型的設(shè)備進展同意管理；提供網(wǎng)管對設(shè)備進展拓撲管理、配置備份、軟件升級、實時監(jiān)控網(wǎng)絡(luò)中的流量以及異常情況。開放性采用開放性的網(wǎng)絡(luò)體系，以方便網(wǎng)絡(luò)的升級、擴展和互連；同時在選擇服務(wù)器、網(wǎng)絡(luò)產(chǎn)品時，強調(diào)產(chǎn)品支持的網(wǎng)絡(luò)協(xié)議的國際標準化 投資保護選用性能價格比高的網(wǎng)絡(luò)設(shè)備和服務(wù)器；采用的網(wǎng)絡(luò)架構(gòu)和設(shè)備充分考慮到易升級換代，并且在升級時可以最大限度地保護原有的硬件和設(shè)備的軟件投資易用性應(yīng)用軟件系統(tǒng)必須強調(diào)易用性，用戶界面友好，帶有幫助和查詢功能，用戶可以通過Web查詢2.5.2企業(yè)網(wǎng)的技術(shù)特點企業(yè)網(wǎng)不同于一般家庭網(wǎng)絡(luò)，它的穩(wěn)定性和可用性是各大企業(yè)最重視的。在企業(yè)信息化應(yīng)用越來越多的情況下，網(wǎng)絡(luò)需要保證各種系統(tǒng)7*24不連續(xù)運轉(zhuǎn)。網(wǎng)絡(luò)安全。網(wǎng)絡(luò)攻擊和病毒傳播會給信息化應(yīng)用系統(tǒng)的正常使用帶來很多隱患。另外，數(shù)據(jù)的完整保存和不泄密，是保護企業(yè)隱私和技術(shù)機密的重要保證。 網(wǎng)絡(luò)是否易管理。企業(yè)的網(wǎng)絡(luò)管理人員數(shù)量少，且技術(shù)水平相對較低，若何讓網(wǎng)絡(luò)管理員輕松管理和維護網(wǎng)絡(luò)，盡量減少因網(wǎng)絡(luò)終端和故障帶來的損失，是企業(yè)關(guān)注的問題?？蓴U展和易維護。當前建設(shè)的網(wǎng)絡(luò)，在幾年后能否可以繼續(xù)使用，能否平滑升級，層次是否劃分清楚并且具有相應(yīng)的獨立性，并且保護已有投資是目前各大企業(yè)必須要考慮的問題。第3章網(wǎng)絡(luò)需求3.1園區(qū)平面圖園區(qū)平面圖如圖3.1所示，該園區(qū)總共有7棟樓，分別為辦公樓A、B，職工宿舍A、B、C，研發(fā)部，銷售部，每棟樓約100臺主機上網(wǎng)。圖3.1園區(qū)平面圖3.2需求實現(xiàn)園區(qū)網(wǎng)網(wǎng)絡(luò)建成以后，要實現(xiàn)以下需求：能與Internet連接，可提供互聯(lián)網(wǎng)應(yīng)用，如：WWW瀏覽服務(wù)、FTP文件傳輸服務(wù)、E-mail電子郵件服務(wù)。保證每棟樓都有約100臺主機能夠訪問Internet，IP地址采用靜態(tài)劃分。對外網(wǎng)的訪問通過NAT轉(zhuǎn)換，公網(wǎng)地址為4-8。辦公樓A、辦公樓B和研發(fā)部在上班時間〔8:00-17:00〕不能訪問WWW服務(wù)器，但是可以訪問E-mail服務(wù)器服務(wù)器能提供基本的應(yīng)用，如：文件的上傳與下載支持SNMP網(wǎng)絡(luò)管理協(xié)議，可管理性和可維護性必須要好，同時做好冗余備份。路由器上對網(wǎng)絡(luò)安全進展配置，屏蔽Telnet，屏蔽Dos攻擊，阻止常見病毒通過相關(guān)端口進入網(wǎng)絡(luò)，并且路由器上做身份認證，確保安全。采用國際統(tǒng)一化標準，最大限度采用同一廠商產(chǎn)品，對軟件的兼容性好，并支持多種傳輸協(xié)議。在今后，本網(wǎng)絡(luò)還要實現(xiàn)基于ATM的寬帶多媒體的網(wǎng)絡(luò)，并通ATM和省寬帶多媒體網(wǎng)連接，實現(xiàn)實時的遠程訪問第4章系統(tǒng)設(shè)計4.1總體規(guī)劃網(wǎng)絡(luò)設(shè)計采用分層設(shè)計的事項，由一臺路由交換機作為核心層，分別接兩臺會聚層交換機作為會聚層，每臺會聚層交換機又接四臺二層交換機作為接入層。主路由器采用路由器與防火墻相結(jié)合的設(shè)備，連接到Internet。4.2網(wǎng)絡(luò)拓撲圖4.1園區(qū)網(wǎng)絡(luò)拓撲4.3具體規(guī)劃在本園區(qū)中，一共有7棟樓，每棟樓不超過255臺工作站，分別有辦公樓A，辦公樓B，職工宿舍A，職工宿舍B，職工宿舍C，研發(fā)部，銷售部。用一組設(shè)備構(gòu)建園區(qū)網(wǎng)，實現(xiàn)內(nèi)網(wǎng)的訪問以及到Internet的訪問。具體如下：在交換機DisSW1上劃分兩個VLAN，vlan100和vlan200。兩個VLAN均能夠訪問外網(wǎng)。在交換機DisSW2上劃分3個VLAN，vlan300、vlan400和vlan500，分別對應(yīng)宿舍A，B，C。三個VLAN均能訪問外網(wǎng)，VLAN之間不能互相訪問。在交換機DisSW3上劃分1個VLAN，vlan600。保證外網(wǎng)通信。在交換機DisSW4上劃分1個VLAN，vlan700。保證外網(wǎng)通信。兩臺分布層交換機DisSW1，DisSW2上作為VTPServer。四臺接入層交換機AccSW1-AccSW4作為VTPClient。在分布層交換機DisSW1，DisSW2上啟用路由功能，使用OSPF協(xié)議使全網(wǎng)聯(lián)通分布層交換機DisSW1和DisSW2上使用冗余連接。在路由器上配置與Internet的連接，配置NAT協(xié)議。路由器上啟用SNMP協(xié)議。在DisSW1、DisSW3和DisSW4上安裝WWW、FTP、電子郵件等基本服務(wù)，用訪問控制列表〔ACL〕使vlan100，vlan200，vlan600中的用戶在上班時間〔8:00—17：00〕不允許訪問WWW服務(wù)器，但可以訪問Email服務(wù)器4.4地址劃分4.4.1VLAN及IP地址劃分VLAN及IP地址劃分如表4.1所示：表4.1VLAN及IP地址劃分Vlan號Vlan名網(wǎng)段默認網(wǎng)關(guān)備注VLAN1缺省/2454管理VLAN100vlan100/2454辦公AVLAN200vlan200/2454辦公BVLAN300vlan300/2454宿舍AVLAN400vlan400/2454宿舍BVLAN500vlan500/2454宿舍CVLAN600vlan600/2454研發(fā)部VLAN700vlan700/2454銷售部4.4.2NAT地址劃分NAT地址劃分如表4.2所示：表4.2NAT地址劃分IP地址備注4外網(wǎng)出口IP5-8NAT地址池4.4.3交換機管理地址劃分交換機管理地址劃分如表4.3所示：表4.3交換機管理地址劃分交換機名VLAN號IP地址AccSW1Vlan1/24AccSW2Vlan1/24AccSW3Vlan1/24AccSW4Vlan1/24DisSW1Vlan10/24續(xù)表4.3交換機管理地址劃分交換機名VLAN號IP地址DisSW1Vlan11/24CoreSW1Vlan10/24CoreSW1Vlan11/24第5章設(shè)備選擇根據(jù)實驗需求，在本網(wǎng)絡(luò)規(guī)劃中，需要核心交換機2臺，會聚層交換機兩臺，接入層交換機4臺，路由器1臺。接入層交換機選擇思科(Cisco)WS-C2960-24TT-L交換機，基本參數(shù)如表5.1：表5.1WS-C2960-24TT-L交換機參數(shù)產(chǎn)品類型智能化交換機應(yīng)用層次二層交換方式直通式管理方式可網(wǎng)管，WEB管理，支持自動配置功能，支持CLI配置，支持Telnet，遠程配置，支持SNMP/V1/V2/V3，支持RMON，支持集群管理HGMP/V2，支持SSH/V2，支持WEB管理特性，支持GVRP協(xié)議端口構(gòu)造非模塊化IPv6支持端口鏡像支持傳輸模式全雙工/半雙工自適應(yīng)傳輸速率10/100Mbps模塊化支持群集Yes，16Switches/Cluster重量(kg)3.6環(huán)境標準符合國際環(huán)境標準百兆以太網(wǎng)口24千兆電口2MAC地址表8000冗余電源支持尺寸(厘米)4.4×44.5×2.36價格區(qū)間2000-5000報價(元)3300會聚層交換機選擇思科(Cisco)WS-C3560-24PS-E交換機，具體參數(shù)如表5.2：表5.2WS-C3560-24PS-E交換機參數(shù)產(chǎn)品類型企業(yè)級交換機應(yīng)用層次三層交換方式直通式管理方式端口構(gòu)造非模塊化IPv6支持端口鏡像支持傳輸模式全雙工/半雙工自適應(yīng)傳輸速率10/100/1000Mbps模塊化支持群集Yes，16Switches/Cluster續(xù)表5.2WS-C3560-24PS-E交換機參數(shù)重量(kg)7.1環(huán)境標準符合國際環(huán)境標準百兆以太網(wǎng)口24千兆電口24MAC地址表12000路由條數(shù)11000冗余電源支持尺寸(厘米)4.4×44.5×46價格區(qū)間(元)5000-10000會聚層交換機選擇思科(Cisco)WS-C6506-24PS-E交換機，具體參數(shù)如表5.3：表5.3WS-C6506-24PS-E交換機參數(shù)產(chǎn)品類型企業(yè)級交換機應(yīng)用層次四層交換方式存儲轉(zhuǎn)發(fā)管理方式可網(wǎng)管，WEB管理，支持自動配置功能，支持CLI配置，支持Telnet，遠程配置，支持SNMP/V1/V2/V3，支持RMON，支持集群管理HGMP/V2，支持SSH/V2，支持WEB管理特性，支持GVRP協(xié)議端口構(gòu)造模塊化IPv6支持端口鏡像支持傳輸模式全雙工傳輸速率10/100/1000Mbps模塊化支持重量(kg)122.5環(huán)境標準符合國際環(huán)境標準百兆以太網(wǎng)口384千兆電口384千兆光口384萬兆光口128冗余電源2尺寸(厘米)93.3×43.1×53.3價格區(qū)間(元)0-2000，2000-5000，5000-10000，10000-20000，20000-50000，50000以上第6章系統(tǒng)實現(xiàn)6.1分布層交換機的配置根據(jù)實驗拓撲進展分布層交換機的配置，配置過程如下:1〕配置基本參數(shù)Switch>enableSwitch#configureTerminal在控制臺內(nèi)設(shè)置虛擬終端超時口令Switch(config)#lineconsole0Switch(config-line)#exec-timeout00Switch(config-line)#exit關(guān)閉IP地址解析當我們向交換機輸入一條錯誤的命令的時候，交換機就會將該信息播送給網(wǎng)絡(luò)上的DNS服務(wù)器，并試圖把它解析成IP地址Switch(config)#noipdomain-lookup啟用消息同步特性為了防止我們向交換機輸入的命令被交換機產(chǎn)生的信息打亂。我們啟用消息同步特性Switch(config)#lineconsole0Switch(config-line)#loggingsynchronousSwitch(config-line)#exit給設(shè)備命名Switch(config)#hostnameDisSW12〕劃分VLANDisSW1#vlandatabaseDisSW1(vlan)#vlan100nameBGADisSW1(vlan)#vlan200nameBGBDisSW1(vlan)#vlan300nameSSADisSW1(vlan)#vlan400nameSSBDisSW1(vlan)#vlan500nameSSCDisSW1(vlan)#vlan600nameYFDisSW1(vlan)#vlan700nameXS3〕配置VTPDisSW1(config)#vtpdomainDisSW1DisSW1(config)#vtpmodeserver4〕配置端口工作參數(shù)翻開全雙工模式DisSW1(config)#intrangef0/1-24DisSW1(config-if-range)#duplexfullDisSW1(config-if-range)#exitTrunk口內(nèi)封裝802.1q協(xié)議DisSW1(config)#intrangef0/1-4DisSW1(config-if-range)#switchporttrunkencapsulationdot1qDisSW1(config-if-range)#switchportmodetrunkDisSW1(config-if-range)#exitDisSW1(config)#intf0/6DisSW1(config-if)#switchporttrunkencapsulationdot1qDisSW1(config-if)#switchportmodetrunk5〕開啟路由功能和啟用OSPF協(xié)議DisSW1(config)#iproutingDisSW1(config)#routerospf1DisSW1(config-router)#networkarea06〕設(shè)置每個VLAN的網(wǎng)關(guān)DisSW1(config)#intvlan100DisSW1(config-if)#ipaddress54DisSW1(config-if)#noshutdownDisSW1(config-if)#intvlan200DisSW1(config-if)#ipaddress54DisSW1(config-if)#noshutdownDisSW1(config-if)#intvlan300DisSW1(config-if)#ipaddress54DisSW1(config-if)#noshutdown………….配置管理IP、網(wǎng)關(guān)為了能夠?qū)粨Q機進展遠程管理，必須給交換機設(shè)置一個管理用的IP地址。這種情況下，實際上就是把交換機看成和PC機一樣的主機DisSW1(config)#intvlan1DisSW1(config-if)#ipaddress0DisSW1(config-if)#noshutdownDisSW1(config-if)#exitDisSW1(config)#ipdefault-network548〕配置端口參數(shù)以及冗余備份DisSW1(config)#intrangef0/1-3DisSW1(config-if-range)#duplexfullDisSW1(config-if-range)#switchmodetrunkDisSW1(config-if-range)#intf0/2-3DisSW1(config-if-range)#channel-group1modedesirablenonsilentDisSW1(config-if-range)#noshutdown9〕定義默認路由，連接InternetDisSW1(config)#iproute54DisSW2的配置與DisSW1的配置類似，這里不做詳細的描述6.2接入層交換機的配置1〕基本參數(shù)配置Switch>enableSwitch#configureTerminalSwitch(config)#lineconsole0Switch(config-line)#exec-timeout00Switch(config-line)#exitSwitch(config)#noipdomain-lookupSwitch(config)#lineconsole0Switch(config-line)#loggingsynchronousSwitch(config-line)#exitSwitch(config)#HostNameAccSW12〕配置VTPAccSW1(config)#vtpdomainAccSW1AccSW1(config)#vtpmodeclient3〕端口工作參數(shù)配置AccSW1(config)#intrangef0/1-24AccSW1(config-if-range)#duplexfullAccSW1(config-if-range)#exitAccSW1(config)#intrangef0/2-3AccSW1(config-if-range)#switchportmodetrunkAccSW1(config-if-range)#intf0/1AccSW1(config-if)#switchportmodeaccessAccSW1(config-if)#switchportaccessvlan100AccSW1(config-if)#spanning-treeportfastAccSW1(config-if)#intf0/4AccSW1(config-if)#switchportmodeaccessAccSW1(config-if)#switchportaccessvlan200AccSW1(config-if)#spanning-treeportfast4〕配置管理IP、網(wǎng)關(guān)AccSW1(config)#intvlan1AccSW1(config-if)#ipaddressAccSW1(config-if)#noshutdown5〕配置支持無類別網(wǎng)絡(luò)以及全零子網(wǎng)AccSW1(config)#ipclasslessAccSW1(config)#ipsubnet-zeroAccSW2，AccSW3，AccSW4的配置與AccSW1的配置類似，這不做詳細描述6.3路由器的配置1〕配置路由器基本參數(shù)Router>enableRouter#configureTerminalRouter(config)#lineconsole0Router(config-line)#exec-timeout00Router(config-line)#exitRouter(config)#noipdomain-lookupRouter(config)#lineconsole0Router(config-line)#loggingsynchronousRouter(config-line)#exitRouter(config)#HostNameR12〕端口IP地址配置R1(config)#intf0/0R1(config-if)#ipaddress54R1(config-if)#noshutdownR1(config-if)#ints1/0R1(config-if)#ipaddress4R1(config-if)#noshutdown3〕配置默認路由R1(config)#iproutes1/04〕配置NATR1(config)#intf0/0R1(config-if)#ipnatinsideR1(config-if)#ints1/0R1(config-if)#ipnatoutsideR1(config-if)#encapsulationpppR1(config-if)#exitR1(config)#access-list10permit55R1(config)#ipnatpoola58R1(config)#ipnatinsidesourcelist15poolaoverload5〕配置ACLR1(config)#time-rangeno_R1(config)#periodicweekdays08:00to17:00R1(config)#ipaccess-listextendedaaaR1(config-ext-nacl)#denytcpeqwwwtime-rangeno_R1(config-ext-nacl)#denytcpeqwwwtime-rangeno_R1(config-ext-nacl)#denytcpeqwwwtime-rangeno_R1(config-ext-nacl)#intf0/0R1(config-if)#ipaccess-groupaaain6〕配置支持無類別網(wǎng)絡(luò)以及全零子網(wǎng)R1(config)#ipclasslessR1(config)#ipsubnet-zero7〕啟用SNMP協(xié)議Router(config)#snmp-servercommunitypublicroRouter(config)#snmp-serverhost4ni-viewRouter(config)#snmp-servertraplinkietfRouter(config)#snmp-serverenabletrapssnmp6.4核心交換機的配置1〕配置基本參數(shù)Switch>enableSwitch#configureTerminalSwitch(config)#lineconsole0Switch(config-line)#exec-timeout00Switch(config-line)#exitSwitch(config)#noipdomain-lookupSwitch(config)#lineconsole0Switch(config-line)#loggingsynchronousSwitch(config-line)#exitSwitch(config)#HostNameCoreSW12〕配置管理IPCoreSW1(config)#intvlan1CoreSW1(config-if)#ipadd0CoreSW1(config-if)#noshutdownCoreSW1(config-if)#exit3〕配置默認網(wǎng)關(guān)CoreSW1(config)#ipdefault-network544〕配置VTPCoreSW1(config)#vtpmodeclient5〕配置路由功能CoreSW1(config)#iproutingCoreSW1(config)#iproute547〕配置支持無類別網(wǎng)絡(luò)以及全零子網(wǎng)CoreSW1(config)#ipclassle