企业局域网规划方案.doc

《企业局域网规划方案.doc》由会员分享，可在线阅读，更多相关《企业局域网规划方案.doc（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 深 圳 职 业 技 术 学 院多层交换作业 班级：计算机网络技术132班 姓名： 冸欣欣 目 录一、 摘要.3二、 需求分析与设计原则4三、 设计方案.5 四、 VLAN划分和IP地址规划10五、 设备选型和报价.11六、 接入层配置.13 七、 分布层配置.14 八、 核心层配置.16 九、 出口路由配置.17 摘 要本设计方案是关于小型企业局域网的设计，设计方案分为三个模块：交换模块、Internet接入模块、远程访问模块。根据各部门职能不同把交换模块划分为不同的VLAN，从而减少了广播冲突提高了传输效率，通过部署ACL限制用户的访问，有效地保护敏感数据，提高了网络安全性。借助三层交换机

2、的路由功能，可以实现各VLAN间数据包高速转发，解决VLAN之间的传输瓶颈。Internet接入模块功能主要通过路由器来实现，它的作用主要是建立外网和企业网的正常通信。使企业网的用户访问Internet同时Internet用户能在一定程度上访问企业网。通过配置NAT(Net Address Translation)，不仅是企业网用户可以访问Internet，而且对外隐藏企业网内部地址，从而实现地址保护。远程访问模块是针对移动用户设计的。通过VPN（Virtual Private Network）技术可以在公共网络的两个端点间建立一条逻辑连接，使在外办公人员可以通过Internet访问公司内部网

3、，极大地提高了办公效率，同时免去了高昂的专线租用费用。关键字：企业局域网、虚拟局域网、网络地址转换一、 需求分析与设计原则1.1 概述在这信息爆炸的时代，计算机扮演着越来越重要的角色，面对庞大的计算机群，网络的规划、管理、安全成为首要任务。通过本次设计与研究，将局域网技术应用于企业，使得企业办公自动化，信息网络化，资源共享，向网络化经济迈进。搭建完整的企业网络，能够提升员工的办公效率，能快速的共享资源，能便于管理，网络更能为企业带来全新的商机。1.2 需求分析 当前局域网的流量特点：主要是访问各种服务器（部门或者企业服务器），部门之间主机通信不多。 保证可用，100M到桌面，1000M到服务器

4、。 三层结构，核心选用较高端设备，有较大的扩充性。 接入和分布层以够用为原则，留有少量的扩充余地。 主干实现冗余，访问层不考虑冗余。1.3 设计目标 为公司设计合理的局域网规划方案，建设以下目标： 网络总体建设成为信息一体化、管理集中化、业务多样化的公司局域安全网络。 网络结构清晰，网络层次合理，便于扩展和维护 。 网络的接入满足公司的办公需求。 网络设备具备高性能、高可靠性、高稳定性、高安全性。 设施的配置选择要高性价比，性能参数、技术领先，售后保障强。1.4 设计原则 （1）、可管理性 具有分级、分权管理能力的网管系统，实现统一的网络业务调度和管理，降低网络运营成本。同时由于使用者数量巨大

5、，网上开展的业务众多，因此需要能够提供用户的高效管理，以确保公司的利益不受损失。 （2）、可扩展性 随着公司的发展，局域网络的接入会有所变动。因此，网络应考虑其扩展的灵活性，增加冗余接口，方便用户的接入与退出。 （3）、开放性 技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护和管理手段，实现网络设备的统一管理。 （4）、安全可靠性 设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。定时定期对网络检查，预防和提前发现隐患，及时解决。 （5

6、）、先进性。 企业网络应能代表目前较为先进的网络技术，提供能够跟踪主流、前沿网络技术的综合网络环境，应与社会发展相适应。所选网络设备要求支持协议类型丰富、配置灵活、可扩展性强、支持千兆交换、满足IPv6等网络技术研究的需求。二、 设计方案1. 网络拓扑设计网络搭建采用模块化设计思想，网络使用“核心层汇聚层接入层”三层结构。三层网络架构采用层次化模型设计，即将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。三层网络架构设计的网络包括三个层次：核心层（网络的高速交换主干）、汇聚层（提供基于策略的连接）、接入层 （将工作站接入网络）。核心层

7、：核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性：可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中，应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心，重要性突出。核心层设备采用冗余备份是非常必要的，也可以使用负载均衡功能，来改善网络性能。汇聚层：汇聚层是网络接入层和核心层的“中介”，就是在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。汇聚层具有实施策略、安全、工作组接入、虚拟局域网（VLAN）之间的路由、源地址或目的地址过滤等多种功能。在汇聚层中，应该选用支持三层交换技术和VLAN的交换机，以达到网络隔离和分段

8、的目的。接入层：接入层向本地网段提供工作站接入。在接入层中，减少同一网段的工作站数量，能够向工作组提供高速带宽。接入层可以选择不支持VLAN和三层交换技术的普通交换机。2. 关键技术2.1 NAT技术NAT技术主要实现内部网络地址转换，静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址，这样方便外网用户访问企业Web网；动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络；端口多路复用地址转换（PAT）是把内部地址映射到外部网络的一个IP地址的不同端口上，把企业内部网IP转换为公网IP地址，使内部用户可以方便的访问Internet。目前，NAT

9、技术主要用于连接和安全方面。目前企业内部网络用户数量大，而能申请的合法的全球唯一IP地址有限。NAT能够有效的解决企业IP地址短缺问题，利用NAT技术能够实现多个用户共同使用一个合法的IP地址连接互联网。而另一种需要出于安全方面来考虑，在一定程度上防范网络攻击的发生。企业期望隐藏LAN内部网络结构，NAT可以将内部LAN与外部 Internet隔离，使外部网络用户无法了解通过NAT设置的内部IP地址。NAT技术在企业中都采取两种技术类型结合应用，比较好的还是和端口复用地址转换。结合起来的技术如：端口复用地址转换、TCP/UDP端口NAT映射、静态地址转换+端口复用地址转换、动态地址转换+端口复

10、用地址转换。我们知道，不同应用程序使用TCP/UDP端口是不同的，例如，WEB服务器使用80、FTP服务使用21、SMTP服务使用25、POP3服务使用110等。由于每种应用服务器都有自己默认的端口，所以这种NAT方式下，网络内部每种应用服务器成为Internet中的主机，例如，只能有一台WEB服务器、一台E-mail服务、一台FTP服务器。尽管可以采用改变默认端口的方式创建多台应用服务器，但这种服务器在访问时比较困难，要求用户必须先了解某种服务采用的新TCP端口。因此，可以将不同的TCP端口绑定至不同的内部IP地址，从而只使用一个IP地址，即可在允许内部所有服务器被Internet访问的同时

11、，实现内部所有主机对Internet的访问。2.2 VLAN技术根据各部门职能不同把各部门划入不同的VLAN减少了广播，提高了通信效率。VLAN(Virtual Local Area Network)就是虚拟局域网的意思。VLAN可以不考虑用户的物理位置，而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组，每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。同一个VLAN中的成员都共享广播，形成一个广播域，而不同VLAN之间广播信息是相互隔离的。这样，将整个网络分割成多个不同的广播域(VLAN)。 一般来说，如果一个VLAN里面的工作站发送一个广播，那么这个

12、VLAN里面所有的工作站都接收到这个广播，但是交换机不会将广播发送至其他VLAN上的任何一个端口。如果要将广播发送到其它的VLAN端口，就要用到三层交换机。2.3 三层交换技术三层交换（也称多层交换技术，或IP交换技术）是相对于传统交换概念而提出的。众所周知，传统的交换技术是在OSI网络标准模型中的第二层数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说，三层交换技术就是：二层交换技术三层转发技术。 三层交换技术的出现，解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络传输瓶颈问题。2.4 ACL技

13、术控制访问列表（Access Control List，ACL）: ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。 ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。 例如：某部门要求只能使用 WWW 这个功能，就可以通过ACL实现； 又例如，为了某部门的

14、保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。2.5 路由协议路由器提供了将异构网络互连起来的机制，实现将一个数据包从一个网络发送到另一个网络。路由就是指导IP数据包发送的路径信息。在互联网中进行路由选择要使用路由器，路由器只是根据所收到的数据报头的目的地址选择一个合适的路径，将数据包传送到下一个路由器，路径上最后的路由器负责将数据包送交目的主机。数据包在网络上的传输就好像是体育运动中的接力赛一样，每一个路由器只负责将数据包在本站通过最优的路径转发，通过多个路由器一站一站地接力将数据包通过最优路径转发到目的地。2.6 PVST技术每VLAN生成树(PVST)为每个在网络中

15、配置的VLAN维护一个生成树实例。它使用ISL中继和允许一个VLAN中继当被其它VLANs的阻塞时将一些VLANs转发。尽管PVST对待每个VLAN作为一个单独的网络，它有能力（在第2层）通过一些在主干和其它在另一个主干中的不引起生成树循环的Vlans中的一些VLANs来负载平衡通信。2.7 EtherChannel：交换机S1, S2之间有两条链路相连，如果捆绑在一起，成为一个逻辑聚合链路 (trunk)，不但增加带宽，并提供冗余容错的能力。上连链路采用该技术，保证了带宽，也保证冗余、负载平衡。三、 VLAN划分和IP地址规划IP地址是用户在网络中的主机标识。在局域网中，常用私有地址来分配给

16、内部网络中的主机使用，私有地址不仅成本低廉，也解决IPv4不足的问题。对外部网络的访问则租用少量的公网地址，通过NAT技术来实现因特网的连接。本次设计的VLAN划分采用基于端口的方式，这种划分方式方便快速，灵活性高。表现为将各部门接入的接口集中，统一划分在一个VLAN分段里，具体划分如下表：部门VLANIp地址子网掩码客服部Vlan 110.1.1.110.1.1.254255.255.255.0销售部Vlan 210.1.2.110.1.2.254255.255.255.0人事部Vlan 310.2.3.110.2.3.254255.255.255.0财务部Vlan 410.2.4.110.

17、2.4.254255.255.255.0培训部Vlan 510.3.5.110.3.5.254255.255.255.0经理办公室Vlan 610.3.6.110.3.6.254255.255.255.0服务器Vlan 1010.4.10.110.4.10.254255.255.255.0四、 设备选型和报价交换机类型：思科（Cisco）WS-C2960+24TC-S 24口百兆二层交换机总价￥2339.00*96=224544端口参数 端口结构非模块化 端口数量26个 端口描述24个以太网10/100Mbps端口，2个两用上行端口 传输模式全双工/半双工自适应功能特性 网络标准IEEE 80

18、2.3，IEEE 802.3u，IEEE 802.1x，IEEE 802.1Q，IEEE 802.1p，IEEE 802.1D，IEEE 802.1s，IEEE 802.1w，IEEE 802.3ad，IEEE 802.3z VLAN支持 QOS支持 网络管理Web浏览器，SNMP，CLI其它参数 状态指示灯每端口，系统 电源功率30W 产品尺寸44445236mm 产品重量3.6kg 环境标准工作温度：0-45工作湿度：10%-85%（非冷凝）存储温度：-25-70存储湿度：10%-85%（非冷凝）思科（Cisco）WS-C3560X-24T-S 24口千兆三层交换机总价￥10196.00*

19、8=81568CISCO WS-C3560X-24T-S详细参数主要参数 产品类型千兆以太网交换机 应用层级三层 传输速率10/100/1000Mbps 产品内存DRAM：256MB闪存：64MB 交换方式存储-转发 背板带宽160Gbps 包转发率65.5Mpps MAC地址表4K端口参数 端口结构非模块化 端口数量24个 端口描述24个10/100/1000以太网端口功能特性 网络标准IEEE 802.1s，IEEE 802.1w，IEEE 802.1x，IEEE 802.1x-Rev，IEEE 802.3ad，IEEE 802.1ae，IEEE 802.3af，IEEE 802.3at，

20、IEEE 802.3x，IEEE 802.1D，IEEE 802.1p，IEEE 802.1Q，IEEE 802.3 堆叠功能不可堆叠 VLANVLAN总数1005VLAN ID数4K其它参数 电源电压AC 115-240V，50-60Hz，12-6A 电源功率350W 产品尺寸44.5445460mm 产品重量7kg 平均无故障时间208,218小时 环境标准相对湿度：5%-95%，无冷凝存储环境：-40-70思科（Cisco）WS-C6509-E= 四层核心交换机总价￥55938.00*2111876CISCO WS-C6509-E详细参数主要参数 产品类型企业级交换机 应用层级四层 传输

21、速率10/100/1000Mbps 交换方式存储-转发 背板带宽720Gbps 包转发率387Mpps MAC地址表64K端口参数 端口结构模块化 扩展模块9个模块化插槽 传输模式支持全双工功能特性 网络标准IEEE 802.3，IEEE 802.3u，IEEE 802.1s，IEEE 802.1w，IEEE 802.3ad VLAN支持 QOS支持 网络管理CiscoWorks2000，RMON，增强交换端口分析器（ESPAN），SNMP，Telnet，BOOTP，TFTP其它参数 电源功率4000W 产品尺寸622445460mm总价：417988元五、 接入层交换机配置 (1) 配置端口

22、安全和spanning-tree portfast interface FastEthernet0/1 switchport access vlan 2 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security mac-address sticky 000A.F3A4.D117 spanning-tree portfast (2) 配置远程管理地址 Interface Vlan1 ip address 10.1.1.1

23、255.255.255.0 ip default-gateway 10.1.1.254 (3) 配置交换机的密码和远程接入密码 / /后面配置的就省略了(confing)#line console 0(config-line)#password cisco(config-line)#loginExit(config)#enable secret cisco(config)#login 设置远程登入(telnet)密码 enable config terminal (config)#line vty 0 4 (config-line)#password cisco(config-lline)#l

24、ogin exit (4) 接入层配置为VTPclient Building1-Dist1(config)#vtp domain SZPT Building1-Dist1(config)#vtp mode client Building1-Dist1(config)#vtp password CISCO六、 分布层交换机配置(1) 分布层核心层：ip routing 启用路由功能interface FastEthernet0/23no switchport 关闭交换ip address 10.200.13.2 255.255.255.0ip ospf message-digest-key 1

25、md5 cisco 配置认证(2) 分布层配置为VTPseverBuilding1-Dist1(config)#vtp domain SZPTBuilding1-Dist1(config)#vtp mode serverBuilding1-Dist1(config)#vtp password CISCOBuilding1-Dist1(config)#vtp pruning 配置VTP修建(3) 创建VLAN：分布层配置DHCP：ip dhcp pool VLAN-1network 10.1.1.0 255.255.255.0default-router 10.1.1.254dns-server

26、 10.200.200.1ip dhcp pool VLAN-2network 10.1.2.0 255.255.255.0default-router 10.1.2.254dns-server 10.200.200.1(4) 配置PVSTspanning-tree mode rapid-pvstspanning-tree vlan 1-5 priority 4096spanning-tree vlan 6-10 priority 8192(5) 配置以太网通道：Building1-Dist1(config)# interface range gig0/1-2Building1-Dist1(c

27、onfig-if-range)# switchport Building1-Dist1(config-if-range)# no shutdown Building1-Dist1(config-if-range)# switchport trunk encapsulation dot1q Building1-Dist1(config-if-range)# switchport mode trunk Building1-Dist1(config-if-range)# channel-group 1 mode on Building1-Dist1(config-if-range)# exitBui

28、lding1-Dist1(config)# int port-channel 1 Building1-Dist1(config-if)# no shutdown Building1-Dist1(config)#interface range gig0/1 -2Building1-Dist1(config-if-range)#no shutdown(6) 配置VLAN间通信的VLAN网关：interface Vlan1ip address 10.1.1.252 255.255.255.0ip ospf message-digest-key 1 md5 cisco(7) 配置(HSRP )冗余网关

29、和端口跟踪：standby version 2standby 1 ip 10.1.1.254standby 1 priority 110standby 1 preemptstandby 1 track FastEthernet0/23standby 1 track FastEthernet0/24(8) 配置路由协议：router ospf 1router-id 100.100.100.98area 0 authentication message-digestpassive-interface Vlan1passive-interface Vlan2network 10.0.0.0 0.25

30、5.255.255 area 0(9) 配置BPDU GuardBuilding1-Dist1(config)#sinterface f0/1Building1-Dist1(config-if)#no shutdownBuilding1-Dist1(config-if)#switchport mode accessBuilding1-Dist1(config-if)#sspanning-tree portfastBuilding1-Dist1config-if)#spanning-tree bpduguard enable七、 核心层换机配置：（1）配置认证和关闭交换功能 interface

31、FastEthernet0/1 no switchport 关闭了交换功能 纯路由 ip address 10.200.13.1 255.255.255.0 ip ospf message-digest-key 1 md5 cisco duplex auto speed auto（2） 启动路由功能和生成树协议 ip routing spanning-tree mode pvst（3） 配置路由协议 router ospf 1 router-id 100.100.100.100 log-adjacency-changes area 0 authentication message-digest

32、 network 10.0.0.0 0.255.255.255 area 0(4)配置以太网通道：Core1(config)# interface range gig0/1-2Core1(config-if-range)# switchport Core1(config-if-range)# no shutdown Core1(config-if-range)# switchport trunk encapsulation dot1q Core1(config-if-range)# switchport mode trunk Core1(config-if-range)# channel-gr

33、oup 1 mode on Core1(config-if-range)# exitCore1(config)# int port-channel 1 Core1(config-if)# no shutdown Core1(config)#interface range gig0/1 -2Core1(config-if-range)#no shutdown八、 出口路由器配置：(1)配置策略应用于接口 Interface FastEthernet1/0 ip address 61.0.0.1 255.255.255.0 ip access-group 101 in ip access-grou

34、p 100 out ip nat outside ip inspect FireWall out duplex auto speed auto配置防火墙ip inspect name FireWall icmp timeout 10ip inspect name FireWall tcp timeout 3600ip inspect name FireWall udp timeout 30ip inspect name FireWall telnet timeout 3600spanning-tree mode pvst配置路由协议router ospf 1 router-id 100.100

35、.100.93 log-adjacency-changes area 0 authentication message-digest network 10.0.0.0 0.255.255.255 area 0 default-information originate配置NATip nat pool NAT-POOL 61.0.0.2 61.0.0.253 netmask 255.255.255.0ip nat inside source list 1 pool NAT-POOL overloadip nat inside source list 102 pool NAT-POOL overl

36、oadip nat inside source static tcp 10.200.200.2 80 61.0.0.2 80 ip nat inside source static tcp 10.200.200.3 80 61.0.0.3 110 ip nat inside source static tcp 10.200.200.3 25 61.0.0.3 25 ip classlessip route 0.0.0.0 0.0.0.0 61.0.0.254 配置访问控制列表access-list 100 permit ip any anyaccess-list 102 deny ip 10.0.0.0 0.255.255.255 10.200.100.0 0.0.0.255access-list 102 permit ip any anyaccess-list 101 permit tcp any host 61.0.0.2 eq wwwaccess-list 101 permit tcp any host 61.0.0.3 eq pop3access-list 101 permit tcp any host 61.0.0.3 eq smtpaccess-list 101 deny ip any any