H分公司局域网络部署
H分公司局域网络部署
文章目录
-
- H分公司局域网络部署
- 一、项目概况
-
- 1.1项目背景
- 1.2研究意义
- 1.3 研究目的
-
- 1.3.1 网络安全
- 1.3.2 资源共享
- 1.3.3 提供信息的访问
- 二、需求分析
-
- 2.1系统需求
- 2.2网络总体需求
- 2.3设计网络需求
- 2.4企业办公网主干和信息点需求及分布
- 2.5 稳定可靠需求
-
- 2.5.1 设备的可靠性需求
- 2.5.2 业务的可靠性需求
- 2.5.3 链路的可靠性需求
- 2.6用户需求
- 2.7 功能需求
- 三、总体设计
-
- 3.1设计方案
- 3.2设计流程
- 3.3系统设计原则
- 3.4系统网络设计模式
- 四、详细设计
-
- 4.1技术标准
-
- 4.1.1路由
- 4.1.2 VLAN划分
- 4.1.3 NAT
- 4.1.4 FTP
- 4.1.5 DHCP
- 4.1.6ACL
- 4.1.7 STP技术
- 4.1.8链路聚合技术
- 4.2子网划分
- 4.3 vlan及端口划分
- 4.4硬件规划
-
- 4.4.1客户端计算机的需求分析和定位选购
- 4.4.2交换机/路由器的需求分析和定位选购
-
- 4.4.2.1交换机选择的原则
- 4.4.2.2 影响交换机选择的因素
- 4.4.2.3接入交换机的选择
- 4.4.2.4确定交换机型号
- 4.4.3服务器的需求分析和定位选购
-
- 4.4.3.1服务器选择原则
- 4.4.3.2确定服务器型号
- 4.4.4不间断电源的定位选购
-
- 4.4.4.1不间断电源选型
- 4.4.5路由器的定位选购
- 4.4.6工程预算
- 五、.网络拓扑图详细设计
-
- 5.1网络拓扑图设计
- 5.2综合布线设计
- 5.3数据链路层设计
- 5.4网络层设计
- 5.5 DHCP设计
- 5.6 ACL控制访问列表设计
- 六、.项目脚本
-
- 6.1三层交换机实现不同Vlan之间的通信
-
- 6.1.1 ESW1vlan配置
- 6.1.2 ESW2vlan配置
- 6.2 将不同Vlan之间端口加入二层交换机
-
- 6.2.1 SW2(工程部)vlan配置
- 6.2.2 SW5(技术部)vlan配置
- 6.2.3 SW6(行政部)vlan配置
- 6.3三层交换机端口链路聚合及与二层交换机的连通配置
-
- 6.3.1 ESW1
- 6.3.2 ESW2
- 6.4 路由器配置
-
- 6.4.1 R1特殊区域配置
- 6.4.2 R2特殊区域配置
- 6.4.3 R3特殊区域配置
- 6.4.4 ESW2特殊区域配置
- 6.5 防环处理
-
- 6.5.1 ESW1生成树配置
- 6.5.2 ESW2生成树配置
- 6.6 DHCP地址池配置
-
- 6.6.1 ESW1dhcp服务配置
- 6.6.2 ESW2dhcp服务配置
- 6.6.3 R1dhcp服务配置
- 6.7 NAT配置
-
- 6.7.1 R3NAT配置
- 6.8 FTP配置
-
- 6.8.1 ESW1FTP配置
- 6.8.2 ESW2FTP配置
- 6.8.3 服务器FTP配置
- 6.9 ACL控制列表配置配置
-
- 6.9.1 ESW1ACL配置
- 6.9.2 ESW2ACL配置
- 七、测试与验证
-
- 7.1 DHCP地址获取
-
- 7.1.1工程部ip地址获取
- 7.1.2技术部ip地址获取
- 7.1.3行政部ip地址获取
- 7.2 连通性验证(ping)
-
- 7.2.1 vlan间通信(不同部门间的通信)
- 7.2.1.1工程部与行政部和技术部之间的连通性验证
-
- 7.2.1.2行政部与工程部和技术部之间的连通性验证
- 7.2.1.3技术部与工程部和行政部之间的连通性验证
- 7.2.2 三个部门访问总公司的连通信验证
-
- 7.2.2.1工程部访问总公司的连通信验证
- 7.2.2.2行政部访问总公司的连通信验证
- 7.2.2.3技术部访问总公司的连通信验证
- 7.3 链路聚合验证(show etherchannel summary)
-
- 7.3.1 ESW1
- 7.3.2 ESW2
- 7.4 访问控制列表验证(show ip access-list)
-
- 7.4.1 ESW1
- 7.4.2 ESW2
- 7.5 特殊区域验证(show ip route)
-
- 7.5.1 ESW1特殊区域验证
- 7.5.2 ESW2特殊区域验证
- 7.5.3 R3特殊区域验证
- 7.6 ftp服务验证
-
- 7.6.1 技术部ftp服务验证
- 7.6.2 工程部ftp服务验证
- 7.6.3 行政部ftp服务验证
- 7.7 STP生成树查看(show spanning-tree brief)
-
- 7.7.1 ESW1生成树查看
-
- 7.7.1.1 vlan10
- 7.7.1.2 vlan20
- 7.7.1.3 vlan30
- 7.7.2 ESW2生成树查看
-
- 7.7.2.1 vlan10
- 7.7.2.2 vlan20
- 7.7.2.3 vlan30
- 八、总结
一、项目概况
本设计结合一家中小企业网络的实际需求,通过对网络组建方案的设计、基于安全的网络配置方案设计、服务器架设方案设计、企业网络安全设计等方面的仿真研究,详尽的探讨了对该网络进行规划设计时遇到的关键性问题。主要包括需求分析、网络设备选型、逻辑网络设计、IP地址规划方案设计、服务器架设和网络安全设计等内容。论文针对中小企业网络拓扑进行设计和分析,给出了网络规划设计解决方案。
1.1项目背景
随着信息技术的快速发展,小型商用企业的业务将进一步的电子化,与Internet 的联系将更加紧密。他们也需要信息基础平台去支撑业务高速发展。这样没有信息技术背景的企业也将会对网络建设有主动诉求。任何决策的科学性和可靠性都是以信息为基础的,信息和诀策是同一管理过程中的两个方面,因此行业信息化也就成了人们所讨论并实践着的重要课题,众多行业巨擘纷纷上马各种应用方案且取得了巨大的成功,使信息化建设更具吸引力。
相对于大型应用群体而言,中小型企业的信息化建设工程通常有规模较小,结构简单的特点,综合资金投入、专业人才以及未来发展等因素,网络的实用性、安全性与拓展性(升级改造能力)是中小企业实现信息化建设的主要要求,因此,成本低廉、操作简易、便于维护并能满足业务运作需要的网络办公环境是这一领域的真正需求。针对绝大多数中小型企业集中办公这一现实特点,我们设计的中小企业信息化常用解决方案,能够较好地发挥企业网的使用效果和水平,具有很强的代表性。
小型局域网需要什么样的网络,通常它们的建网需求也大部分还停留在能上网,共享办公设备资源,共享文件资源,能运行0A (办公自动化)软件协同工作.上;只有少部分将业务流程移植INTERNET上来运行(这得有能力开发自己的WEB后台程序)。但还有一些有敏感数据的电脑(如:财务,合同方案文档,发展战略计划),这些公司是拒绝它们连入网络,而宁愿这些电脑成为信息孤岛。一个原因是实现安全的成本过高,企业无法承受;一个原因是对安全措施不信任。
对于网络应用单纯,结构相对简单的小型局域网络。有些用户可能还不需要高性能的网络,但对网络有较多了解的IT型小企业可能就喜欢接受最新的网络技术,但都寻求成本较低。一般应用于小型的IT 公司,广告、装饰设计公司,咨询公司,会计师、律师事务所,小型商业流通企业等应用环境。
本设计结合中小企业实际需求,举例分析、设计、配置、组建了一个典型的中小企业网络。
1.2研究意义
H分公司建设局域网可以实现H分公司内部资源共享,降低公司的经营成本,提高公司的运作效率。当前的网络已经发展成为“以应用为中心”的信息基础平台,网络管理能力的要求已经上升到了业务层次,传统的网络设备的智能已经不能有效支持网络管理需求的发展。现代的中型企业网络迫切需要网络设备具备支撑“以应用为中心”的智能网络运营维护的能力,并能够有一套智能化管理的软件。
本文研究的开发环境基于Windows10操作系统,并安装由思科公司于2008年发布的虚拟网络软件Graphical Network Simulator-3(简称GNS3),在此软件平台上完成本项目的部署和配置。
H分公司通过动态NAT访问总公司,极大的提高了资源的利用率,使资源实现共享,提高公司的运行速率。因为网络不仅可以把这一切做得更好,而且还能完成许多单机所无法想象的任务,比如打印共享、文件传输、协同工作和资源共享等等,从而极大地提高工作效率,减少设备资金投入,为公司带来极大的利润。
1.3 研究目的
以本学期对计算机网络与数据通信的学习和认识,并通过本次课程设计加以应用,从而达到对于所学知识的巩固,更深一步的理解,面对一个计算机网络的课程设计,应对于系统的方案,分析出各个模块,在对于各个模块进一步的具体设计,先进行硬件设备的采购设计,此时一定要考虑好用什么类型的设备,各个设备的具体参数,是否能实现应有的功能,从而得到一套完整的设备。在根据要求设计出一套可执行的网络拓扑结构图,完成项目流程图,并进行拓扑图的相关配置,通过反复的调试,运行,更正,直至完成既定功能为止。最后将虚拟网络的设计应用在实际的环境中,对其功能进行最终的测试,并反复思考其测试中遇到相应问题的原因,并将其一一完成,从而实现以下几点要求,来达到本次课设的目的。
1.3.1 网络安全
H分公司内的网络通过有限或无线电波连接不同的计算机终端设备,由于自然原因或者认为人为因素造成,硬件设备出现故障导致不能正常应用的问题。此外,H分公司的计算机网络可以从多个节点接收信息,因而极易感染病毒,计算机病毒具有类似生命病毒的特性,可以通过寄生在文件里,自我复制,传染到其他文件并且不易被发现。病毒一旦侵入,在网络内按指数增长进行再生与传染。面对这些网络安全方面的问题,这就需要H公司的网络管理人员必备较强的管理能力,以及娴熟,专业,高效的技术水平,给每个计算机设备安装杀毒软件,及时用杀毒软件进行清理,做好有效的防护措施,以此来达到网络安全的目的。
获取信息是至关重要的业务,但必须控制访问。信息安全访问安全的三大支柱是保密性,完整性和可用性通常缩写为CIA。这些必须定义一个精心设计的网络中。在企业网络的安全挑战是要确保信息安全的同时,在同一时间,它是没有授权的用户访问信息的困难。
1.3.2 资源共享
简单来说,资源共享包括硬件资源共享、软件资源共享及数据库共享,H分公司网络中的计算机与计算机之间交换各种数据和信息,并根据需要对这些信息进行分类或集中处理,这是计算机网络提供的最基本的数据通信功能。数据通信提供了信息快捷交流的手段,如电子邮件、电子商务、远程教育、远程医疗等,这在当今的信息化时代显得尤其重要。利用计算机网络技术,在网络操作系统的调度和管理下,当某个主机系统的负荷过重时,可以将某些任务通过网络转移至负荷较轻的主机系统中去处理,以便均衡负荷,减轻局部负担,提高设备和系统的利用率,增加整个系统的可用性。用户可共享网络上的系统软件和应用软件,避免重复投资和重复劳动。网络技术使分散的数据能被迅速集中、分析和处理,分散在网内的计算机用户可以共享网内的大型数据库而不必重复设计这些数据库。
1.3.3 提供信息的访问
H总公司网络的目的是连接H分公司的计算机资源,包括服务器,打印机,扫描仪,传真机,个人电脑和笔记本电脑。此外,H公司通过动态NAT来达到H分公司三个部门可以访问总公司的公网,所有这些设备的目的是给员工访问他们所需信息。
二、需求分析
2.1系统需求
某集团公司拟为某地的H分公司部署局域网络,并连接到公司总部的网络。总部网络如下图所示:
H分公司获得了总部统一分配的24位子网掩码的B类私网地址。现还需采购1台路由器、2台三层交换机、4台24口的二层交换机和1台FTP服务器,设备及相关材料由施工方采购。请设计并实施H分公司的网络建设。要求如下:
2.2网络总体需求
为实现上述目标,整个系统建设主要为一个主体部分,即:网络平台建设。
(1)网络平台是建立在结构化布线基础上的最基本的平台。可靠的网络平台是Internet/Intranet系统及应用系统正常运行的基础。
(2)网络系统主要是以光纤作为传输媒介、以IP 和 Intranet技术为技术主体、以核心交换机为交换中心、下属部门信息网络系统为分节点的多层结构、提供与各种职能相关的、功能齐全、技术先进、资源统一的网上应用系统,进一步可扩展成为多功能网络平台。
(3)总体目标是建立该企业的办公业务信息网络交换平台,集成下属各部门信息网络系统,功能齐全、技术先进、集成化的网络系统。
2.3设计网络需求
分公司必须具备如下的特性:
(1)H网络接入到R2路由器上,使用OSPF动态路由协议,并配置为非完全末梢区域;
(2) H有三个部门,分别是行政部20台左右的主机(实际验收用2台主机作验证,下同),技术部20台左右的主机,工程部40台左右主机,它们必须分属3个不同的VLAN;
(3)H所有主机均能通过NAT访问总部网络(以能ping通总部PC为准);
(4) H的技术部允许访问H的FTP服务器(FTP服务器需部署FTP服务,其他PC部署FTP客户端,以能实现FTP上传下载为准),其他部分不能访问;
(5)H网络在核心交换机处部署冗余保护,FTP服务器部署冗余保护;
(6)所有主机自动获取IPv4地址。
2.4企业办公网主干和信息点需求及分布
(1)拟建的企业网络主要涉及到三个部门:行政部、技术部、工程部。这三个部门之间拟通过光缆连接,并含有一个FTP服务器(且只有技术部可访问服务器)。信息点需求为:
行政部:20台主机
技术部:20台主机
工程部:40台主机
(2)主干网接入总公司,总公司接入Internet的方式是有线综合宽带网,速率可在100Mbps左右。主干为千兆光纤线路,其它线路为超五类双绞线。
2.5 稳定可靠需求
现代企业的网络应具有更全面的可靠性设计,以实现网络通信的实时畅通,保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来,网络通信的无中断运行已经成为保证企业正常生产运营的关键。现代大型企业网络在可靠性设计方面主要应从以下3个方面考虑。
2.5.1 设备的可靠性需求
不仅要考察网络设备是否实现了关键部件的冗余备份,还要从网络设备整体设计架构、处理引擎种类等多方面去考察。
2.5.2 业务的可靠性需求
网络设备在故障倒换过程中,是否对业务的正常运行有影响。
2.5.3 链路的可靠性需求
以太网的链路安全来自于多路径选择,所以在企业网络建设时,要考虑网络设备是否能够提供有效的链路自愈手段,以及快速重路由协议的支持。
2.6用户需求
公司网络需求主要有以下几点:
(1)公司可用IP网段为B类私网地址172.16.1.0-172.31.255.255;
(2)公司所辖部门3个,分别为工程部,技术部和行政部;
(3)1台FTP服务器;
(4)2台三层交换机,4台二层交换机;
(5)80台PC,工程部40台,行政部20台,技术部20台;
(6)1台路由器,网线若干;
2.7 功能需求
(1)H所有主机均能通过NAT访问总部网络(以能ping通总部PC为准);
(2)H的技术部允许访问H的FTP服务器(FTP服务器需部署FTP服务,其他PC部署FTP客户端,以能实现FTP上传下载为准),其他部分不能访问;
(3)H网络在核心交换机处部署冗余保护,FTP服务器部署冗余保护;
(4)所有主机自动获取IPv4地址。
(5)使用STP协议处理网络之间形成的环路,不会产生广播风暴;
三、总体设计
3.1设计方案
3.2设计流程
H分公司网络搭建过程中使用流程图详细描述配置步骤,流程图是用一些图框来表示各种类型的操作,在框内写出各个步骤,然后用带箭头的线把它们连接起来,以表示执行的先后顺序。用图形表示算法,直观形象,易于理解。
3.3系统设计原则
(1)开放性:系统设计应采用开放技术、开放结构、开放系统组件和开放用户接口,以利于网络的维护、扩展升级及与外界信息的沟通。
(2)安全性:应能在可靠性的前提下,抵挡来自内部和外部的攻击;采用的安全措施有效、可信,能够在多层次上、以多种方式实现安全的控制。
(3)可靠性:系统及网络结构较为复杂,同时在部分子系统中存在较高的技术性,因此必须保证系统的稳定、可靠和安全运行,具有很高的MTBF(平均无故障工作时间)和极低的MTBR(平均无故障率),提高容错设计,支持故障检测和恢复,可管理性强。网络必须是可靠的,包括网元级的可靠性,如引擎、风扇、单板、总计等;以及网络级的可靠性,如路由、交换的汇聚,链路冗余,负载均衡等。网络必须具有足够高的性能,满足业务的需要。具有容错功能,能满足企业所在地环境、气候条件,抗干扰能力强,对网络的设计、选型、安装、调试等各环节进行统一规划和分析,确保系统运行可靠。
(4)统一性:在系统的设计过程中,坚持“三统一”,即统一规划、统一标准、统一出口。
(5)经济性:在充分满足以上要求的前提下,应充分考虑到企业的经济承受能力,尽可能地节约投资,花好每一分钱。着眼于近期目标和长期的发展,选用先进的设备进行最佳性能组合,利用有限的投资构造一个性能最佳的网络系统。
(6)实用性:实用性设计应能满足目前对网络应用的要求,充分实现内部管理、信息化等要求,使网络的整体性能尽快得到充分的发挥,并且便于掌握。
3.4系统网络设计模式
在用户的网络结构设计中,我们建议采用层次化的结构设计。 对于用户即将建设的网络系统来说,想要建设成为一个覆盖范围广、网络性能优良、具有很强扩展能力和升级能力的网络,在起初的设计中就必须采用层次化的网络设计原则。采用这样的结构所建设的网络具有良好的扩充性、管理性,因为新的子网模块和新的网络技术能被更容易集成到整个系统中,而不破坏已存在的骨干网。 网络层次化设计的好处是:
(1)结构简单:通过网络分成许多小单元,降低了网络的整体复杂性,使故障排除或扩展更容易,能隔离广播风暴的传播、防止路由循环等潜在问题。
(2)升级灵活:网络容易升级到最新的技术,升级任意层的网络对其他层造成影响比较小,无需改变整个网络环境。
(3)易于管理:层次结构降低了设备配置的复杂性,使网络更容易管理。
大多数的网络都可以被层次性划分为三个逻辑服务单元:核心骨干网(Backbone)、汇聚网(Distribute)和接入网(Local-access),模块化网络设计方法的目标在于把一个大型的网络元素划分成一个个互连的网络层次。层次性结构如下图所示。
四、详细设计
4.1技术标准
4.1.1路由
在有冗余连接的复杂大型网络中,适合采用动态路由协议,本次设计采用动态路由中的ospf协议路由。
4.1.2 VLAN划分
基于VLAN隔离技术的访问控制方法在一些中小型企业和校园网中得到广泛的应用。VLAN是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。
部署概况:在此项目中,我们根据项目需求,设置工程部为VLAN10,技术部为VLAN20,行政部为VLAN30。
部署优点:不同VLAN不能直接通信,杜绝了广播信息的不安全性,可实现不同交换机的相互通信
4.1.3 NAT
网络地址转换协议,可以实现内部私有地址的主机访问到外网。
NAT分为静态NAT和动态NAT,静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对是不确定的,而是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。
区别如下:
(1)静态的NAT ,只能是固定的映射, 不能动态更新 ;
(2)动态NAT ,可以根据你写的规则 ,进行自动的映射 ;
(3)动态中还有PAT, 就是在IP-IP的映射上加上端口号 完成多个内部地址映射到一个或多个外部地址的功能 。
部署概况:部署在R3上,实现 H所有主机均能通过NAT访问总部网络的目的
部署优点:节省合法的注册地址,在地址重叠时提供解决方案,提高连接到因特网的灵活性,在网络发生变化时避免重新编址
4.1.4 FTP
部署概况:FTP服务器需部署FTP服务,其他PC部署FTP客户端,以能实现FTP上传下载为准
部署优点:完全基于网络,具有网络文件的上传与下载特性;安全性高,可以进行数据的加密传输
4.1.5 DHCP
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)通常被应用在大型的局域网络环境中,主要作用是集中的管理、分配IP地址,使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。
DHCP协议采用客户端/服务器模型,主机地址的动态分配任务由网络主机驱动。当DHCP服务器接收到来自网络主机申请地址的信息时,才会向网络主机发送相关的地址配置等信息,以实现网络主机地址信息的动态配置。
部署概况:在此项目中,根据项目需求,我们在三层交换机ESW1、ESW2以及R1上配置了DHCP协议,让所有主机自动获取ip地址。
部署优点:DHCP不会同时租借相同的IP地址给两台主机;DHCP管理员可以约束特定的计算机使用特定的IP地址;可以为每个DHCP作用域设置很多选项
4.1.6ACL
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP等。
4.1.7 STP技术
STP(Spanning Tree Protocol)是生成树协议的英文缩写。该协议可应用于在网络中建立树形拓扑,消除网络中的环路,并且可以通过一定的方法实现路径冗余,但不是一定可以实现路径冗余。生成树协议适合所有厂商的网络设备,在配置上和体现功能强度上有所差别,但是在原理和应用效果是一致的。
生成树协议最主要的应用是为了避免局域网中的单点故障、网络回环,解决成环以太网网络的“广播风暴”问题,从某种意义上说是一种网络保护技术,可以消除由于失误或者意外带来的循环连接。STP分类如下:
(1)SSTP(Single STP)单生成树协议:SSTP在功能上完全遵照IEEE802.1d标准运行,运行SSTP模式的交换机完全可以与RSTP模式、MSTP模式的交换机实现互通。缺点就是收敛慢。
(2)MSTP(Multiple STP)多生成树协议:RSTP是从生成树协议发展而来,实现的基本思想一致;快速生成树具备生成树的所有功能;它比STP(即SSTP模式)提供了更快的收敛速度。
(3)RSTP(rapid STP)快速生成树协议:MSTP它增加了实例和VLAN映射的概念,SSTP模式和RSTP模式均可以当作MSTP模式一种的特例,即只存在一个实例0的情况。MSTP模式还提供了VLAN环境的快速聚合和负载均衡。在MSTP模式下,可以存在多个spanning-tree实例,端口在不同VLAN下的转发状态可以不同,在MST区域内部可以形成多个独立的子树实例。
部署概况:部署在三层交换机上,使用单生成树协议
部署优点:可以避免局域网中的单点故障、网络回环,解决成环以太网网络的“广播风暴”问题。
4.1.8链路聚合技术
链路聚合(Link Aggregation),是指将多个物理端口捆绑在一起,成为一个逻辑端口,以实现出/ 入流量在各成员端口中的负荷分担,交换机根据用户配置的端口负荷分担策略决定报文从哪一个成员端口发送到对端的交换机。当交换机检测到其中一个成员端口的链路发生故障时,就停止在此端口上发送报文,并根据负荷分担策略在剩下链路中重新计算报文发送的端口,故障端口恢复后再次重新计算报文发送端口。链路聚合在增加链路带宽、实现链路传输弹性和冗余等方面是一项很重要的技术。使用链路聚合,提高网络的安全性。
部署概况:部署在三层交换机上
部署优点:可以提高网络的安全性,实现链路传输弹性和冗余。
4.2子网划分
根据公司要求,采用子网划分技术,让不同部门分属子网段,现已确认172.16.1.0网段地址池的数量足够使用,在每一个子网中要考虑主机的数量,FTP需在一个独立的网段,且需要冗余保护。企业网计划使用私有的B类IP地址。
IP地址分配原则如下:公司使用IPv4地址方案。
表4.2 子网划分
4.3 vlan及端口划分
VLAN的标准是IEEE提出的802.1Q,是基于端口的VLAN划分。按照交换机的数量灵活划分每个部门的VLAN,保证每个部门内部畅通,技术部所有人共享FTP服务器。
表4.3 vlan及端口规划
4.4硬件规划
根据需求进行所采购硬件的规划,详细规划见详细设计。
4.4.1客户端计算机的需求分析和定位选购
按照公H集团分公司司人员配置,暂定即用PC机为90台,10台作为备份主机,要求主机硬件配置一致。
联想小新 Pro 13(i5 10210U/8GB/512GB/集显)
处理器
CPU系列:英特尔 酷睿i5 10代系列
CPU型号: Intel 酷睿i5 10210U
CPU主频:1.6GHz
最高睿频: 4.2GHz
核心/线程数: 四核心/八线程
三级缓存: 6MB
总线规格: OPI 4GT/s
核心架构: Comet Lake
制程工艺: 14nm
功耗: 15W
存储设备
内存容量: 8GB
内存类型: DDR4
硬盘容量: 512GB
硬盘描述: SSD固态硬盘
光驱类型: 无内置光驱
显示屏
屏幕尺寸: 13.3英寸
显示比例: 16:10
屏幕分辨率: 2560*1600
屏幕技术: 100%sRGB,90%屏占比,DC调光,IPS玻璃屏,2.86mm边框,300nits亮度
显卡
显卡类型: 集成显卡
显存容量: 共享内存容量
多媒体设备
摄像头: 720p HD摄像头
音频系统: 杜比认证音效
扬声器: 内置扬声器
麦克风: 内置麦克风
网络通信
无线网卡: 支持802.11ac无线协议
蓝牙: 支持蓝牙功能
I/O接口
数据接口: 2×USB Type-C接口(全功能),1×USB 3.1 Gen1
音频接口: 耳机/麦克风二合一接口
4.4.2交换机/路由器的需求分析和定位选购
4.4.2.1交换机选择的原则
中小企业网络通信量不大,并且网络应用不是非常复杂,所以接入层均采用二层固定端口交换机,汇聚和核心交换机采用三层模块化交换机,考虑到对网络接入和网络安全的管理,所有交换机全部采用可网管交换机。
交换机选型时,应该遵循以下原则:
首先,接入交换机全部采用可网管交换机,实现对每台接入计算机的控制,实现VLAN的划分,确保最大限度的网络访问安全。
其次,汇聚交换机采用拥有千兆位端口的可网管交换机,实现与核心交换机的高速连接,避免可能产生的网络瓶颈。
最后,核心交换机采用三层交换机,实现VLAN间的快速转发,并借助访问控制列表控制计算机接入和网络服务。
4.4.2.2 影响交换机选择的因素
不同位置、不同环境、不同应用需要不同的可网管交换机。在选择可网管交换机时,应考虑以下问题。
所处位置,不同位置应该选用不同的可网管交换机,核心交换机选择模块化三层交换机,汇聚交换机选择高性能的三层交换机,接入层交换机应选择可网管的二层交换机。
网络应用,不同的网络应用决定了所需设备的性能。当然,性能越高,价格越高。所以,我们不能盲目追求性能,而应该根据网络应用、数据流量等多方面因素,选择最适合本企业网络结构、网络应用和最具性价比的交换机。
所处环境,在选择交换机时,我们应综合的进行考虑。考虑下级交换机是否支持上级交换机的功能与应用,考虑上下级交换机在性能上应有的差别,考虑上下级交换机端口的数量与类型,考虑网络带宽、通信线缆等。从而使所有交换机相互协调,达到上下级交换机的最佳组合。
设备兼容性,理论上讲,虽然大多数可网管交换机都遵守相同的国际标准,但是每个厂家都有一些特殊的协议,并且使用不同的网络管理软件,所以,如果我们想实现可网管交换机的统一管理,实现各种网络应用的同时,并且达到性能最优化,最好选择同一厂商的产品。
设备性能,设备性能是在选择交换机时必须注重的因素。背板带宽、转发速率、MAC地址数量、支持的端口类型等参数,都必须与具体的网络应用相结合。
4.4.2.3接入交换机的选择
通常将网络中直接面向用户连接的部分称为接入层,接入层目的是允许终端用户连接到网络,因此接入层交换机具有低成本和高端口密度特性。
在网络设备方面选用国际领先的网络互联厂商Cisco的产品,其产品与服务通过智能、安全及可靠的网络将信息设备连为一体,具有很好的可靠性和稳定性。Cisco Catalyst 2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和10/100/1000千兆以太网连接。其功能如下列所示。
(1)通过高级QoS、精确速率限制、ACL和组播服务,实现了网络控制和带宽优化。
(2)通过多种验证方法、数据加密技术和基于用户、端口和MAC地址的网络准入控制,实现了网络安全性。
(3)通过嵌入式设备管理器和思科网络助理,简化了网络配置、升级和故障排除。
4.4.2.4确定交换机型号
H集团分公司交换机需求如下:
(1)主交换机支持三层交换技术、智能化、高安全性、可靠性;
(2)底层交换机使用二层交换机,
(3)传输速率> 1000Mbps;
交换机选购需参考的数据如下:端口数量、 端口速率 、机架插槽数和扩展槽数 、背板带宽 、支持的网络类型 、支持的物理地址数量 、最大可堆叠数 、可网管性 、支持的协议和标准。
交换机的选购如下:
4.4.3服务器的需求分析和定位选购
4.4.3.1服务器选择原则
在选择服务器时,不仅要看当前的性能,还要看生产厂商的服务能力。这种能力包括两个方面,一方面是基本的安装和调试能力,另一方面是开发和升级能力,后一种能力是最为重要的,企业系统的每一次升级换代都可能面临着产品的升级后功能的增减。如果厂商有升级能力,企业的每一次升级都有相应的保障,相反,就会给企业造成很大的浪费和经济损失。
服务器是系统中至关重要的核心设备,其作用是为各类应用提供硬件运行平台。对服务器的选择不仅仅是满足当前已开展的各项业务需要,更要着眼于未来。对网络服务器的选择,首先应从系统性能入手,通过客观的分析比较,确定一款或者一系列具有令人满意的主频处理速度和I/O吞吐量的服务器。产品质量要有保证,严格执行国际质量认证体系,确定产品稳定可靠。由于各项业务属于对外开放的,因此作为集中放置数据载体的服务器系统,一旦出现数据丢失或者差错将给用户造成重大经济损失和极坏影响,因此在服务器选型和系统配置时,应该充分考虑到系统可靠性在今后系统运行时的重要地位。
4.4.3.2确定服务器型号
H公司需求如下:
所有用户共享一台web服务器;
所有用户共享一台FTP服务器;
服务器选购需参考的数据如下:CPU、内存、I/O扩展、电源、冷却、操作系统。
选购方案如下:
戴尔易安信PowerEdge R730 机架式服务器:戴尔易安信 R730系列采用英特尔 至强 处理器E5-2600 v3产品系列,最多可配24个DIMM插槽的DDR4 RAM,具有必要的处理周期、线程和超大内存容量,足以为数据中心和云平台交付更多、更大和更高性能的虚拟机。
4.4.4不间断电源的定位选购
4.4.4.1不间断电源选型
机房不稳定的电压不仅会导致系统瘫痪,甚至还会造成服务器和网络设备的硬件损坏,丢失重要数据,因此,机房应配置不间断电源(UPS),由UPS为所有设备供电,保障网络设备和服务器的正常运行。
选择UPS设备时,应尽量选择比较著名的UPS品牌,如APC、山特(SANTAK)等。考虑服务器和网络设备运行所需功率及扩展性,最终选择山特城堡系列的C10KS 10KVA不间断电源,其详细参数如下表所示。
表4.4.4.1 UPS参数图
这里需要说明一下为什么需要选择10KVA的UPS,主要是考虑到日后网络的设备的增加,如服务器等。按照现有的网络规划,选择6KVA的输出功率,是可以满足要求的,因为一台普通的服务器功率大概700W左右,但是,考虑到日后网络设备的增加和扩展,最终选择10KVA的UPS。
4.4.5路由器的定位选购
CISCO 2911/K9
4.4.6工程预算
表4.4.5.1 主要设备清单
表4.4.5.2 主要配件清单
五、.网络拓扑图详细设计
5.1网络拓扑图设计
集团为了加快信息化建设,拟为某地的H分公司部署局域网络,并连接到公司总部的网络升级的网络将建设一个以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心,以现代网络技术为依托,技术先进、扩展性强,将集团的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来,实现内、外沟通的现代化计算机网络系统。为了确保这些关键应用系统的正常运行、安全和发展,分公司必须具备如下的特性:
(1)H网络接入到R2路由器上,使用OSPF动态路由协议,并配置为非完全末梢区域;
(2) H有四个部门,分别是行政部20台左右的主机(实际验收用2台主机作验证,下同),技术部20台左右的主机,工程部40台左右主机,它们必须分属3个不同的VLAN;
(3)H所有主机均能通过NAT访问总部网络(以能ping通总部PC为准);
(4) H的技术部允许访问H的FTP服务器(FTP服务器需部署FTP服务,其他PC部署FTP客户端,以能实现FTP上传下载为准),其他部分不能访问;
(5)H网络在核心交换机处部署冗余保护,FTP服务器部署冗余保护;
(6)所有主机自动获取IPv4地址。
图 5.1 网络拓扑图
5.2综合布线设计
(1)综合布线采用模块化设计,所有的接插件都是积木标准件,易于扩充及重新配置;
(2)综合布线系统采用高品质的标准材料,以组合压接的方式构成一套高标准通道,所有器件均通过 UL、CSR 及 ATM 认证。
5.3数据链路层设计
(1)在二层交换机上为每个部门划分vlan,端口设置为access模式;
(2)每台二层交换机分别与三层交换机ESW1和ESW2相连,做冗余保护,端口设置为trunk模式;
(3)两个三层交换机之间做聚合链路,做冗余保护,端口模式为trunk;
(4)为了因为产生环路,发生广播风波,在每个交换机上开启生成树协议。且通过将ESW1的优先级设置为4096,ESW2的优先级设置为8192,将ESW1设置为主根,将ESW2设置为辅根。
5.4网络层设计
(1)为每个路由器配置loopback地址(逻辑地址)与接口地址;
(2)在H集团主公司的路由器R1,R2上配置OSPF,配置为OSPF的骨干区域,宣告网络;
(3)在与PC机相连的的路由器R1配置OSPF时,重分布直连路由;
(4)在主公司的路由器R2与分公司的路由器R3上将通网分公司的链路设置为area 1区域,配置为nssa(非完全末梢区域),减少路由器的负担;
(5)在分公司的路由器R3上配置NAT,使与主公司项链的端口连接外网,与交换机相连的端口连接内网;
(6)在分公司的三层交换机ESW1和ESW2中,开启路由功能,为每个vlan 配置一个IP地址,做为vlan内部PC通向其他vlan的网关地址;
(7)在三层交换机,给与路由器相连的链路的端口配置接口地址,并开启端口,并在交换机中配置OSPF协议,宣告网络。
5.5 DHCP设计
(1)在三层交换机上为每个vlan配置DHCP地址池(vlan10,vlan20,vlan30),将vlan的IP地址作为DHCP的默认网关;
(2)将部门中PC机的IP地址更改为DHCP获取模式;
(3)在主公司的路由器R1上配置DHCP地址池,并将与之相连的PC的IP地址更改为DHCP获取模式,直接从DHCP地址池中获取IP地址。
5.6 ACL控制访问列表设计
(1)在三层交换机上声明ACL扩展访问列表,允许每个部门的主机与FTP服务器都保持连通性,但是限制只有技术部才能进行FTP服务;
(2)在三层交换机与FTP相连的端口上应用ACL扩展列表。
六、.项目脚本
6.1三层交换机实现不同Vlan之间的通信
三层交换机可以实现不同vlan之间的互通,只需要打开三层交换机的路由功能(ip routing),然后二层交换机与三层交换机之间用trunk链路连接,将每个vlan封装进去即可实现不同vlan之间的通信。
6.1.1 ESW1vlan配置
6.1.2 ESW2vlan配置
6.2 将不同Vlan之间端口加入二层交换机
规划每个部门拥有的主机数量,分给它们不同的网络地址,例如行政部需要20台主机,它属于vlan 30,我们可以给二层交换机添加端口,将端口加入到vlan30,其它同理。
6.2.1 SW2(工程部)vlan配置
6.2.2 SW5(技术部)vlan配置
6.2.3 SW6(行政部)vlan配置
6.3三层交换机端口链路聚合及与二层交换机的连通配置
主要实现的三层交换机之间的冗余备份,将其中二层交换机与三层交换机之间用trunk线连起来。
6.3.1 ESW1
6.3.2 ESW2
6.4 路由器配置
在H公司主网上我们可以在Area0区域边加一个路由器,并将其配置为Area 1 nssa非完全末梢区域,生成一条默认路由实现三成交换机与公司主网之间的通信。
6.4.1 R1特殊区域配置
6.4.2 R2特殊区域配置
6.4.3 R3特殊区域配置
6.4.4 ESW2特殊区域配置
6.5 防环处理
开启三层交换机和二层交换机的生成树协议,实现防环处理,防止网络风暴的发生。并通过设置根交换机的优先级,使SW1作为主根,SW2作为次根。
6.5.1 ESW1生成树配置
6.5.2 ESW2生成树配置
6.6 DHCP地址池配置
DHCP服务可以实现动态获取IP地址的功能,可以在三层交换机上搭建一个无中继DHCP服务,从而使三个部门动态获取IP地址。在R1上搭建一个无中继DHCP服务,从而使H主网的PC机实现动态获取IP地址
6.6.1 ESW1dhcp服务配置
6.6.2 ESW2dhcp服务配置
6.6.3 R1dhcp服务配置
6.7 NAT配置
将公司主网与Area1区域连接的端口配置NAT设置,将与主网连接的端口设置为内网,与分公司相连的网络配置为外网。
6.7.1 R3NAT配置
6.8 FTP配置
对ftp服务器做冗余保护,所以将FTP分别连接到ESW1和ESW2的fastEthernet1/10端口,给ESW1和ESW2的fastEthernet1/10端口配置IP地址,给FTP服务器的fastEthernet0/1和fastEthernet1/1接口配置IP地址。
6.8.1 ESW1FTP配置
6.8.2 ESW2FTP配置
6.8.3 服务器FTP配置
6.9 ACL控制列表配置配置
访问控制列表是路由器和交换机接口的指令列表,用来控制端口进出的数据包,ACL适用于所有的路由协议。配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。通过配置访问控制列表可以实现只有技术部可以访问FTP服务器的要求。
6.9.1 ESW1ACL配置
6.9.2 ESW2ACL配置
七、测试与验证
7.1 DHCP地址获取
7.1.1工程部ip地址获取
7.1.2技术部ip地址获取
7.1.3行政部ip地址获取
7.2 连通性验证(ping)
7.2.1 vlan间通信(不同部门间的通信)
7.2.1.1工程部与行政部和技术部之间的连通性验证
来自172.16.1.99和172.16.1.66的反馈,数据包大小为84字节,存活周期为63,可以ping通,即连通性验证成功。
7.2.1.2行政部与工程部和技术部之间的连通性验证
来自172.16.1.3和172.16.1.66的反馈,数据包大小为84字节,存活周期为63,可以ping通,即连通性验证成功。
7.2.1.3技术部与工程部和行政部之间的连通性验证
来自172.16.1.3和172.16.1.100的反馈,数据包大小为84字节,存活周期为63,可以ping通,即连通性验证成功。
7.2.2 三个部门访问总公司的连通信验证
7.2.2.1工程部访问总公司的连通信验证
来自172.16.4.2的反馈,数据包大小为84字节,存活周期为60,可以ping通,即连通性验证成功。
7.2.2.2行政部访问总公司的连通信验证
来自172.16.4.2的反馈,数据包大小为84字节,存活周期为63,可以ping通,即连通性验证成功。
7.2.2.3技术部访问总公司的连通信验证
来自172.16.4.2的反馈,数据包大小为84字节,存活周期为63,可以ping通,即连通性验证成功。
7.3 链路聚合验证(show etherchannel summary)
7.3.1 ESW1
从图中可得,将fa1/2和fa1/3这两个物理端口捆绑在一起成为port-channel一个逻辑端口。可以实现出入流量在各个成员端口中的负荷承担。在某条物理链路失效时,虽然可用带宽减少,单聚合链路仍然可以继续正常工作。
7.3.2 ESW2
从图中可得,将fa1/2和fa1/3这两个物理端口捆绑在一起成为port-channel一个逻辑端口。可以实现出入流量在各个成员端口中的负荷承担。在某条物理链路失效时,虽然可用带宽减少,单聚合链路仍然可以继续正常工作。
7.4 访问控制列表验证(show ip access-list)
通过配置ACL实现只允许技术部访问FTP服务器,其他部门不能访问。
7.4.1 ESW1
7.4.2 ESW2
7.5 特殊区域验证(show ip route)
7.5.1 ESW1特殊区域验证
7.5.2 ESW2特殊区域验证
7.5.3 R3特殊区域验证
7.6 ftp服务验证
7.6.1 技术部ftp服务验证
满足题目要求,除技术部门外其他部门均无法到达FTP服务器。
7.6.2 工程部ftp服务验证
由于配置了访问控制列表,过滤了数据包的进出,所以该部门访问不到ftp服务器,访问受限
7.6.3 行政部ftp服务验证
由于配置了访问控制列表,过滤了数据包的进出,所以该部门访问不到ftp服务器,访问受限
7.7 STP生成树查看(show spanning-tree brief)
7.7.1 ESW1生成树查看
7.7.1.1 vlan10
7.7.1.2 vlan20
7.7.1.3 vlan30
7.7.2 ESW2生成树查看
7.7.2.1 vlan10
7.7.2.2 vlan20
7.7.2.3 vlan30
生成树将ESW1选举为根网桥,ESW2指定为阻塞端口作为备用处理。生成树协议能够达到裁剪冗余环路的目的,同时实现链路备份和路径最优化,防止交换机冗余链路产生的环路,即提供了冗余连接,又避免了广播风暴。
八、总结
本次实验在准备阶段购买了两台三层交换机、四台二层交换机、一台ftp服务器、80台pc以及网线若干,该公司分为三个部门:工程部、技术部和行政部,根据实验要求为三个部门划分不同的网段、不同的vlan,为各个部门分配一定数量的pc并测试各个部门之间的连通性以及各个部门和总公司之间的连通性,根据公司提供的使用B类私网地址的实验需求,为工程部划分172.16.1.0/26的网段,为技术部划分了172.16.1.64/27的网段,为行政部划分172.16.1.96/27的网段,以及对网络中各个端口合理的网络规划。
配置阶段:首先对四个二层交换机进行了vlan的基本配置,将二层交换机与pc连接的端口设置为access端口,让其端口只能通过各个部门的vlan,将二层交换机与三层交换机连接的端口配置为trunk端口,让其能通过三个部门的vlan,并在其端口上封装802.1q协议;其次是对三层交换机的配置,在三层交换机与二层交换机连接的端口上配置vlan,让其与二层交换机连通,并在三层交换机之间配置了链路聚合,起到增加带宽、链路备份的作用;之后在三层交换机上配置了生成树,给两个三层交换机上设置了不同的生成树优先级,起到避免产生环路、防止形成广播风暴的作用;在完成交换机的基本配置后,在路由器和三层交换机上配置了ospf路由,其中R3以及两个三层交换机为OSPF特殊区域Stub,之后给三层交换机和R1路由器配置了无中继dhcp,实现动态获取ip地址的功能,对R3配置NAT,实现内网的IP地址与公网的IP地址之间的相互转换,实现内部私网地址的主机访问外网。为对ftp服务器做冗余保护,所以将FTP分别连接到ESW1和ESW2 的fastEthernet1/10端口,给ESW1和ESW2 的fastEthernet1/0端口配置IP地址,给FTP服务器的fastEthernet 0/0接口配置IP地址。最后一步在ESW1上配置了访问控制列表。
验证阶段:通过在6个PC输入命令ip dhcp -r自动获取地址,然后进行了验证与查看。