基于Cisco PacketTrancer的企业/校园双核心热备+WLC、AC无线控制器的无线网络拓扑规划
设计技术动态 vlan ,nat,ospf ACL访问控制列表,HSRP备份冗余,服务器配置,动态主机配置协议(DHCP),FTP,email,IPhone,生成树协议(STP),链路聚合。
无线WLC控制器,无线AP,无线路由,无线网络加密策略。
本配置文件适用于多数毕业设计和课程设计!!!
有需要见如下pkt视频演示。
Cisco Packet Trancer组网 WLC+AP无线控制器 配置详解(有点难)_哔哩哔哩_bilibili
以下是核心设计文档参考:
3.1IP地址及vlan规划
以下是网络设计的各区域的IP地址详细规划,见表3.1。
表3.1 IP地址规划表
| 校园网络IP地址规划表 |
|||
| 源设备 |
源接口 |
IP地址 |
IP网关 |
| ISP |
Se0/0/1 |
2.2.2.1//24 |
\ |
| Fa0/0 |
14.145.117.1/24 |
\ |
|
| 出口路由器 |
Se0/0/1 |
2.2.2.2//24 |
\ |
| Fa0/0 |
10.18.0.1/30 |
\ |
|
| 网络中心机房核心交换机 |
Gi0/2 |
10.18.0.2/30 |
\ |
| Vlan2 |
10.18.2.1/24 |
10.18.2.254 |
|
| Vlan3 |
10.18.3.1/24 |
10.18.3.254 |
|
| Vlan4 |
10.18.41/24 |
10.18.4.254 |
|
| Vlan5 |
10.18.5.1/24 |
10.18.5.254 |
|
| Vlan6 |
10.18.6.1/24 |
10.18.6.254 |
|
| Vlan7 |
10.18.7.1/24 |
10.18.7.254 |
|
| Vlan255 |
10.18.255.1/24 |
10.18.255.254 |
|
| 各楼宇的接入交换机 |
Vlan2/3/4/5/6/7 |
\ |
\ |
| 服务器接入 |
Vlan255 |
\ |
\ |
3.2校园网络仿真模拟拓扑图
本设计的网络硬件设备及配置全部采用Cisco系列命令的模拟配置。利用仿真软件Cisco Packet Trancer来进行设备命令设置,采用三层网络架构模型。网络仿真拓扑图如下图3.2所示:
图3.2网络仿真模拟拓扑图
3.3拓扑功能结构说明
- 校园网络的核心交换均使用cisco私有协议HSRP和STP协议组合使用双核心standby互为主次,达到核心的冗余设计的目的。同时使用ACL进行访问控制和重点区域的隔离确保安全性,通过划分DHCP地址池来自动分配每个网段的IP地址。
- 对出口路由实行OSPF协议并建立起neighbor联系,划分骨干区域area0;采用nat overload技术并动态下发默认路由模拟实现用于内部员工访问外网。内网部分的ACL设置WEB的地址映射,使外部员工仅能通过校园WEB域名的唯一渠道访问校园网站。
- 核心机房区域设有WEB,DNS,FTP,Email服务器。分布实现了内部域名解析,邮件互联,文件共享等各项办公信息化需求,满足校园网络日常办公需要。
- 接入层终端配置都设有Access Point-PT无线AP、无线路由设备,无线控制器设备配置安全密码和WPA2-PSK的加密验证形式来保证安全性,终端设备配备插有无线网卡,可以实现员工的无线上网功能。
4.网络主要技术应用实现
4.1无线控制器WLC的配置和加密验证
首先需要在PC配置无线WLC的登录和创建链接:如下登录界面
配置ip地址,网关等信息:
WPA2——PSK加密:
4.2无线AP的WPA2的加密验证
在连接好接入层的AP设备和终端之后,依次配置无线AP和交换机端口连接,点击config的port1接口,对校园接入层均采用WEP的加密验证的形式来保证接入无线的安全性。例如这里的行政部AP1设置无线密码“1212121212”如下图3.1所示。配置完成在测试与下方各终端设备的连接性,进入wireless的接口输入安全密码进行连接访问,其余各部门均如此配置。在无线AP配置完成之后需要在终端设备上的物理层更换插入无线网卡。在仿真模拟软件Cisco PT中,无线网卡是局域网设备所以各自接受的AP信号都有一定的范围和距离,需要特别注意。配置到此便完成了该校园部门的无线AP网络的配置,同时各个无线终端设备均可以通过密码加入到各个无线AP,至此完成了内网各部门用户的无线网络互通。
无线AP相当于是一个有线网络和无线网络之间起到了一个桥梁的作用,它的信号范围类似一个立体圆形。因此在物理网络部署时无线AP应放在适当高一点的地方为最佳,目的是为了增加信号扩散传播的范围,从另一个角度来说,可以减少预算所需的无线AP台数,进而减少设备成本。
图3.1 行政部WPA2的加密
无线路由器顾名思义是带有路由器功能的无线AP转发器。需要进行无线名称,安全密码和各类参数的设置。一般来说,各类的具有无线网卡的台式机,笔记本,移动终端,或者IPAD等无线产品的设备都可以连接无线路由。无线路由选用cisco产品WRT300N作为仿真的模拟路由,打开Wireless的无线网络安全界面,配置其加密方式为WEP形式,之后进行安全密码的设置和LAN口的各类网络参数,配置见下图3.2。
图3.2 无线路由的WPA加密
4.3双核冗余热备份设计
连接完拓扑图后,校园两台核心层交换机和机房核心交换机三者之间均使用链路聚合来保证链路的冗余性和带宽稳定。核心层交换机采用cisco私有协议HSRP与STP组合使用来完成热备份的要求。这里将vlan2,3,4,255设置成核心1的主根,vlan5,6,7设置为备根,并调整主,备根的链路优先级.cisco设备默认的优先级为100,这里将主根的优先级调高为120。反之核心2就反过来配置主备根,如图3.3的情况所示,standby就表示热备份,local表示的是主根(主路径),Pri代表优先级的设置,以下会展示一些核心的配置过程。
port-channel load-balance dst-mac
spanning-tree mode pvst
spanning-tree vlan 2-4,255 priority 24576
spanning-tree vlan 5-7 priority 28672
//创建端口链路隧道
interface Port-channel1
switchport trunk encapsulation dot1q
switchport mode trunk
interface Port-channel2
switchport trunk encapsulation dot1q
switchport mode trunk
//设置HSRP协议和抢占链路的优先级别和虚拟网关,使得主根的优先级别调高。展示行政部配置,其余部门同下。
int vlan 2
ip address 10.18.2.251 255.255.255.0
standby 1 ip 10.18.2.254
standby 1 priority 120
standby 1 preempt
int vlan 3
ip address 10.18.3.251 255.255.255.0
standby 1 ip 10.18.3.254
standby 1 priority 120
standby 1 preempt
......
图3.3 双核冗余热备份情况
4.4路由协议的选择
网络实施OSPF(Open Shortest Path Fitst)协议,和RIP协议相同均属于IGP与动态路由,不同点在于RIP是传递路由表,ospf传递的是链路状态包括接口带宽,cost值等统称为LSA(链路状态通告)。它是一个应用于网工实施的一个先进性路由协议选择,可以理解为类似于RIP的升级版。其优势是高兼容,可靠性,能即时适应网络变化并能与各类产品设施兼容。具有低频链路刷新与短时收敛的特点,配有功能验证,使用SPF算法。设计采用动态默认路由下发(default-information originate)命令,让已构建起OSPF邻居关系的下端交换设备及时从上端路由器自动收取到一条默认路由,从而达成通信。
//配置OSPF协议
router ospf 1
log-adjacency-changes
network 10.18.0.0 0.0.255.255 area 0
ip classless
ip flow-export version 9
//配置ACL List表,行政部禁止vlan6、7部门的网段
access-list 10 deny 10.18.6.0 0.0.0.255
access-list 10 deny 10.18.7.0 0.0.0.255
access-list 10 permit any
4.5NAT的配置
NAT:网络地址转换,用于实现私有地址转换成公网地址,以供内部网络访问互联网。
端口多路复用(OverLoad)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。
内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。
同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。如图3.4所示NAT的地址转换策略,在PAT配置结束之后,再写一条静态NAT指向校园网站的IP地址:内网服务器映射地址为2.2.2.2,外网的用户只仅仅可以通过输入域名 的形式来访问校园WEB。
图3.4 NAT的地址转换策略
4.6链路聚合
端口聚合通常被叫为trunk:一种封装捆绑的技术,从端点与端点的连接。它的优势之处是在于聚合多端口来提升网络带宽,具有普遍,低成本性,高效率的实质效果。Trunk技术使用的一般端口的聚合采用偶数对的形式,例如用4个300M的端点链路聚合连接都就能变成1200M的效果,可以大幅提升全体网络的带宽,吞吐量和上行速率以及具有自动调节平衡带宽的作用并形成一个聚合组。健康险科技中心的核心区域包括两部核心交换和服务器群总交换的三点之间被用于类似三角式的双链路的捆绑trunk,并使用Cisco的端口封装协议命令switchport trunk encapsulation dot1q。确保链路高备份性。