1、摘要互联网技术发展到现在已经相当成熟,当今互联网已经成为全世界最大最全信息中心,越来越多人利用互联网来解放她们生活,她们利用互联网来完成几乎全部现实生活中事物。本设计结合一家中小企业网络实际需求,经过对网络架构组建方案设计、基于安全网络配置方案设计、服务器架设方案设计、企业网络高级服务设计等方面仿真研究,详尽探讨了对该网络进行计划设计时碰到关键性问题,和网络相关服务。该设计关键包含需求分析、拓扑结构设计、IP 地址计划方案设计、服务器架设和网络安全设计等内容。论文针对中小企业网络拓扑进行设计和分析,经过Cisco Packet Tracer 软件进行网络仿真配置和安全设计,给出了网络计划设计处
2、理方案。关键之:Cisco Packet Tracer;企业网络;互联网AbstractThe development of Internet technology is quite mature now, today, the Internet has become the worlds largest information center for the world, more and more people use the Internet to the liberation of their lives, and they use the Internet to complete al
3、most all of the things in real life.This design is base on the actual demand of a small-middle enterprise, through the design of the network infrastructure, the design of security-based network configuration solution, the design of the infrastructure of sever farm, the design of advance services, to
4、 deeply investigate into the problem we met, and the service related to the network design. This design is mainly focus on the requirement analysis, topology excogitation, IP address design, server farm and network security design. This article is focus on the analysis of network topology design and
5、 use the Cisco Packet tracer to build a simulated infrastructure to illustrate what I have done.Keywords:Cisco Packet Tracer;Internet;Enterprise Network目录第一章 绪论1第二章 需求分析22.1企业背景22.2应用需求22.2.1 带宽性能需求22.2.2稳定可靠需求22.2.3服务质量需求32.2.4网络安全需求32.2.5应用服务需求32.3网络安全系统设计标准3第三章 网络技术和拓扑结构53.1网络设计标准53.2网络技术选择53.2.1
6、快速以太网53.2.2 VLAN63.2.3 DHCP73.2.4 NAT83.2.5 ACL93.3拓扑结构图设计103.3.1网络拓扑结构计划设计标准103.3.2主干网络(关键层)设计103.3.3分布层/接入层设计113.3.4远程接入访问计划设计113.4拓扑结构设计图12第四章 IP地址计划网络设备配置144.1网络地址配置144.2设备接口配置164.3 网络设备配置命令184.3.1关键交换机CORE1关键配置命令184.3.2路由器配置204.3.3汇聚层交换机DSW1配置214.3.4接入层交换机MGR配置22第五章 测试各设备连通性235.1 VLAN间连通性测试235.
7、2设备管理255.2.1对关键交换机,汇聚层交换机telnet测试255.2.2路由器进行Telnet测试265.2.3测试外网连通性285.3验证NAT295.4验证DHCP服务30第六章 服务器搭建316.1 DNS服务器配置316.2 Email服务器配置326.3 FTP服务器配置336.4 TFTP服务器配置356.5 HTTP服务器356.6 Syslog服务器36第七章 企业网络安全设计377.1建立企业网络安全377.1.1网络设备377.1.2数据库及应用软件377.1.3 E-mail系统377.1.4Web站点387.2建立安全体系结构387.2.1物理安全387.2.2
8、操作系统安全387.3使用ACL封堵常见病毒端口387.4封堵p2p端口39总结41致谢42参考文件43附录 部分配置命令44第一章 绪论网络改变了大家生活,地球变成了地球村,全世界人能够随时进行网络交流。信息资源共享,带来社会生产力空前提升,互联网和大家生活越来越亲密,如网上证券期货交易、远程电子视频会议、网上购物等应用使得大家生活已经越来越离不开网络,由此,信息高速公路建设变得十分关键。企业规模不停壮大和业务量不停增加,原有工作方法已不能满足现代企业需要,尤其是对突发事件处理能力和速度需求。现代企业假如没有信息技术支持,就不能称之为现代企业。伴随网络技术不停成熟、网络产品价格不停下降,和对
9、数据传输和信息交换需求不停增加,现在各企业均正在或已搭建了企业内部局域网,因为,企业网络建设是企业向信息化发展肯定选择。企业网络为企业现代化发展、综合信息管理和办公自动化等一系列应用提供了基础平台。本设计结合中小企业实际需求,举例分析、设计、配置、模拟组建了一个经典中小企业网络。Cisco Packet Tracer 是由Cisco企业公布一个网络仿真工具,使用该工具能够搭建网络模拟环境,对网络进行设计、配置、故障排除等。用户能够在工具图形用户界面上直接使用拖曳方法建立网络拓扑,并可提供数据包在网络中行进具体处理过程,观察网络实时运行情况。能够学习IOS配置、锻炼故障排查能力等。现在最新版本是
10、Packet Tracer 5.3。第二章 需求分析本章结合企业背景,应用需求,安全设计标准对网络进行具体需求分析2.1企业背景该企业是一家生产研发型企业,主楼是一座四层办公大楼,办公大楼后方是一栋较大生产车间。整个办公楼有信息点大约100个,企业中心机房设在办公大楼三楼中间。2.2应用需求2.2.1 带宽性能需求现代大型企业网络应含有更高带宽,更强大性能,以满足用户日益增加通信需求。伴随计算机技术高速发展,基于网络多种应用日益增多,今天企业网络已经发展成为一个多业务承载平台。不仅要继续承载企业办公自动化,Web浏览等简单数据业务,还要承载包含企业生产运行多种业务应用系统数据,和带宽和时延全部
11、要求很高IP电话、视频会议等多媒体业务。所以,数据流量将大大增加,尤其是对关键网络数据交换能力提出了前所未有要求。另外,伴随千兆位端口成本连续下降,千兆位到桌面应用会在很快未来成为企业网主流。从全球交换机市场分析能够看到,增加最快速就是10Gbps等级机箱式交换机,可见,万兆位大规模应用已经真正开始。所以,今天企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网标准,关键层及骨干层必需含有万兆位级带宽和处理性能,才能构筑一个通畅无阻高品质大型企业网,从而适应网络规模扩大,业务量日益增加需要。2.2.2稳定可靠需求现代大型企业网络应含有更全方面可靠性设计,以实现网络通信实时通畅,保障企业生产运行
12、正常进行。伴随企业多种业务应用逐步转移到计算机网络上来,网络通信无中止运行已经成为确保企业正常生产运行关键。现代大型企业网络在可靠性设计方面关键应从以下3个方面考虑。设备可靠性设计:不仅要考察网络设备是否实现了关键部件冗余备份,还要从网络设备整体设计架构、处理引擎种类等多方面去考察。业务可靠性设计:网络设备在故障倒换过程中,是否对业务正常运行有影响。链路可靠性设计:以太网链路安全来自于多路径选择,所以在企业网络建设时,要考虑网络设备是否能够提供有效链路自愈手段,和快速重路由协议支持。2.2.3服务质量需求现代大型企业网络需要提供完善端到端QoS保障,以满足企业网多业务承载需求。大型企业网络承载
13、业务不停增多,单纯提升带宽并不能够有效地保障数据交换通畅无阻,所以今天大型企业网络建设必需要考虑到网络应能够智能识别应用事件紧急和关键程度,如视频、音频、数据流(MIS、ERP、OA、备份数据)。同时能够调度网络中资源,确保关键和紧急业务带宽、时延、优先级和无阻塞传送,实现对业务合理调度才是一个大型企业网络提供高品质服务保障。2.2.4网络安全需求现代大型企业网络应提供更完善网络安全处理方案,以阻击病毒和黑客攻击,降低企业经济损失。传统企业网络安全方法关键是经过布署防火墙、IDS、杀毒软件,和配合交换机或路由器ACL来实现对病毒和黑客攻击防御,但实践证实这些被动防御方法并不能有效地处理企业网络
14、安全问题。在企业网络已经成为企业生产运行关键组成部分今天,现代企业网络必需要有一整套从用户接入控制,病毒报文识别到主动抑制一系列安全控制手段,这么才能有效地确保企业网络稳定运行。2.2.5应用服务需求现代大型企业网络应含有更智能网络管了处理方案,以适应网络规模日益扩大,维护工作愈加复杂需要。目前网络已经发展成为以应用为中心信息基础平台,网络管理能力要求已经上升到了业务层次,传统网络设备智能已经不能有效支持网络管理需求发展。比如,网络调试期间最消耗人力和物力线缆故障定位工作,网络运行期间对不一样用户灵活服务策略布署、访问权限控制、和网络日志审计和病毒控制能力等方面管理工作,因为受网络设备功效本身
15、限制,全部还属于费时、费力任务。所以现代大型企业网络迫切需要网络设备含有支撑以应用为中心智能网络运行维护能力,并能够有一套智能化管理软件,将网络管理人员从繁重工作中解脱出来。2.3网络安全系统设计标准即使任何人全部不可能设计出绝对安全和保密网络信息系统,不过,假如在设计之初就遵从部分合理标准,那么对应网络系统安全和保密就会愈加有保障。假如设计时考虑不全方面,消极地将安全和保密方法寄托在事后“打补丁”思绪是很危险。从工程技术角度,应遵照标准图2.1所表示。 图2.1 网络安全设计标准木桶标准:对信息均衡、全方面地进行保护。 整体性标准:进行安全防护、监测和应急恢复。 实用性标准:不影响系统正常运
16、行和正当用户操作。 等级性标准:区分安全层次和安全等级。 动态化标准:安全需要不停更新。 设计为本标准:安全设计和网络设计同时进行。 第三章 网络技术和拓扑结构本章结合企业需求分析,对企业网络架构进行搭建,并对该企业架构所用到技术进行分析,和对拓扑结构设计进行分析。3.1网络设计标准实用性和经济性:系统建设应一直落实面向应用,重视实效方针,坚持实用、经济标准,建设企业网络系统。优异性和成熟性:系统设计既要采取优异概念、技术和方法,又要注意结构、设备、工具相对成熟。不仅能反应该今优异水平,而且含有发展潜力,能确保在未来若干年内企业网络仍占领先地位。可靠性和稳定性:在考虑技术优异性和开放性同时,还
17、应从系统结构、技术方法、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行可靠性和稳定性,达成最大平均无故障时间。安全性和保密性:在系统设计中,既考虑信息资源充足共享,更要注意信息保护和隔离,所以系统应分别针对不一样应用和不一样网络通信环境,采取不一样方法,包含系统安全机制、数据存取权限控制。可扩展性和易维护性:为了适应系统改变要求,必需充足考虑以最简便方法、最低投资,实现系统扩展和维护,采取可网管产品,降低了人力资源费用,提升网络易用性。3.2网络技术选择网路技术选择对影响网络性能,网络维护,网络安全指数有着重大联络,所以对网络技术选择必需高度重视。3.2.1快速以太网以太网
18、(Ethernet)是一个计算机局域网组网技术。IEEE制订IEEE 802.3标准给出了以太网技术标准。它要求了包含物理层连线、电信号和介质访问层协议内容。以太网是目前应用最普遍局域网技术。它很大程度上替换了其它局域网标准,如令牌环网(token ring)、FDDI和ARCNET。以太网标准拓扑结构为总线型拓扑,但现在快速以太网(100BASE-T、1000BASE-T标准)为了最大程度降低冲突,最大程度提升网络速度和使用效率,使用交换机(Switch hub)来进行网络连接和组织,这么,以太网拓扑结构就成了星型,但在逻辑上,以太网仍然使用总线型拓扑和CSMA/CD(Carrier Sen
19、se Multiple Access/Collision Detect 即带冲突检测载波监听多路访问)总线争用技术。快速以太网是世界上应用最广泛组网技术,其强大灵活性,简便性,传输介质多样性,拓扑结构灵活性,符合中小企业设计要求以太网基于网络上无线电系统多个节点发送信息想法实现,每个节点必需取得电缆或信道才能传送信息,有时也叫做以太(Ether)。(这个名字起源于19世纪物理学家假设电磁辐射媒体-光以太。以后研究证实光以太不存在。) 每一个节点有全球唯一48位地址也就是制造商分配给网卡MAC地址,以确保以太网上全部系统能相互判别。因为以太网十分普遍,很多制造商把以太网卡直接集成进计算机主板。3
20、.2.2 VLAN为实现交换机以太网路广播隔离,一个理想处理方案就是采取虚拟局域网技术。这种对连接到第2层交换机端口网络使用者逻辑分段技术实现很灵活,它能够不受使用者物理位置限制,依据使用者需求进行VLAN划分;可在一个交换机上实现,也可跨交换机实现;能够依据网络使用者位置、作用、部门或依据使用应用程序、上层协议或以太网路连接硬件地址来进行划分。一个VLAN相当于OSI模型第2层广播域,它能将广播控制在一个VLAN内部。而不一样 VLAN 之间或 VLAN 和 LAN / WAN 数据通讯必需经过第3层(网络层)完成。不然,即便是同一交换机上连接,假如它们不处于同一个VLAN,正常情况下也无法
21、进行数据通讯 为了处理资讯安全议题,1995年IEEE 802委员会发表了 802.1Q VLAN 技术实作标准和讯框结构,期望能透过设定逻辑位址(TPID、TCI),对实体局域网区隔成独立虚拟网段,以规范封包广播时最大范围。以下图,VLAN处理了物理位置限制图3.1 VLAN示意图VLAN标准有两种,Cisco企业ISL,和IEEE 802.1Q 因为后者是国际化标准,而且其传输效率更高,所以更适合网络需求。使用VLAN好处有以下几点:广播风暴防范:限制网络上广播,在一个VLAN中广播不会送到VLAN之外。一样,相邻端口不会收到其它VLAN产生广 播。这么能够降低广播流量,释放带宽给用户应用
22、,降低广播产生。安全:不一样VLAN内报文在传输时是相互隔离,即一个VLAN内用户不能和其它VLAN内用户直接通信,假如不一样VLAN要进行通信,则需要经过路由器或三层交换机等三层设备。成本降低:成本高昂网络升级需求降低,现有带宽和上行链路利用率更高,所以可节省成本。性能提升:将第二层平面网络划分为多个逻辑工作组(广播域)能够降低网络上无须要流量并提升性能。另外使用VLAN还能够提升IT职员效率,简化项目管理或应用管理,增加了网络连接灵活性等优点。3.2.3 DHCP 一些主机不需要静态IP,因为其并非永久使用该地址,当主机离开网络,就得释放这个 IP 地址,以给其它工作站使用,动态分配显然愈
23、加灵活。DHCP 是现在应用最为广泛为网络主机分配IP地址方法之一。DHCP许可DHCP用户端从DHCP服务器获取IP地址,子网掩码,默认网关IP地址,DNS服务器IP地址和其它IP地址类型信息。DHCP工作原理图图3.2 DHCP工作原理第一步:因为DHCP用户端初始开启时没有IP地址,默认网关或这类配置信息,所以DHCP用户端初始开启后经过发送目标地为255.255.255.255广播消息(DHCP discovery)来试图发觉DHCP服务器。第二步:DHCP服务器接收到DHCP discovery 消息后,响应以DHCP offer消息。因为DHCP discovery消息是以广播方法
24、向外发送,所以可能会有多个DHCP服务器响应发觉请求,不过用户端通常会选择其接收到第一个DHCP offer 消息服务器作为DHCP服务器。第三步:DHCP用户端经过发送DHCP request 消息和选定服务器进行通信,让DHCP服务器提供IP配置参数。 第四步:最终,DHCP服务器以DHCPACK消息响应用户端,DHCPACK消息包含了响应IP配置参数。3.2.4 NAT在计算机网络中,网络地址转换(Network Address Translation或简称NAT,也叫做网络掩蔽或IP掩蔽)是一个在IP数据包经过路由器或防火墙时重写源IP地址或/和目标IP地址技术。这种技术被普遍使用在有
25、多台主机但只经过一个公有IP地址访问因特网私有网络中。现在大家普遍认为NAT完美处理了IP地址不足问题,确实,她真是一样很有用工具,能够说没有NAT,我们网络不会得到如此快速发展。但NAT也让主机之间通信变得复杂,造成通信效率降低。NAT优点:节省正当注册地址,降低地址重合出现,增加链接Internet灵活性,网络变更时避免地址重新分配。NAT缺点:地址转换产生交换延迟,无法进行端到端IP跟踪,一些应用程序无法实现在NAT网络中运行。NAT运行示例:在下图中主机10.1.1.1发送一个外出数据包到配置了NAT边界路由器,边界路由器识别出此IP地址为内部IP地址,目标是外部网络,她要转换内部当地
26、IP地址,并把转换结果统计到NAT表中,这个数据包使用转换后新源地址被发送到外部接口,外部主机返回此包到目标主机,NAT路由使用NAT表转换内部全局IP地址为内部IP地址,整个过程基础就是这么。下图是基础NAT工作原理示意图图3.3 NAT工作原理示意图3.2.5 ACL内外网络通信全部是企业网络中必不可少业务需求,不过为了确保内网安全性,需要经过安全策略来保障非授权用户只能访问特定网络资源,从而达成对访问进行控制目标。简而言之,ACL能够过滤网络中流量,控制访问一个网络技术手段。ACL能够限制网络流量、提升网络性能。比如,ACL能够依据数据包协议,指定数据包优先级。ACL提供对通信流量控制手
27、段。比如,ACL能够限定或简化路由更新信息长度,从而限制经过路由器某一网段通信流量。ACL是提供网络安全访问基础手段。ACL许可主机A访问人力资源网络,而拒绝主机B访问。ACL能够在路由器端口处决定哪种类型通信流量被转发或被阻塞。比如,用户能够许可E-mail通信流量被路由,拒绝全部Telnet通信流量。 比如:某部门要求只能使用 WWW 这个功效,就能够经过ACL实现; 又比如,为了某部门保密性,不许可其访问外网,也不许可外网访问它,就能够经过ACL实现。访问控制列表工作示意图数据包进入接口许可经过是否设置了ACL和ACL对比是否匹配有没有更多ACL?和下一条ACL对比丢弃图3.4 ACL工
28、作示意图3.3拓扑结构图设计网络拓扑结构对整个网络系统运行效率,技术性能发挥,可靠性和费用等方面全部有着中关键影响。确立为网络拓扑结构是整个网络系统方案计划设计基础。拓扑结构选择和地理环境分布,传输介质,介质访问控制方法,甚至网络设备选型等原因紧密相关。3.3.1网络拓扑结构计划设计标准组成局域网拓扑结构有很多个,最常见到有总线拓扑、星型拓扑、环型拓扑及多种混合性拓扑等。采取不一样网络控制策略(即网络数据传输和通信相关协议和控制方法),全部使用网络连接设备也不一样。所以,不管在网络计划或设计时全部必需首先决定将采取那一个网络拓扑结构,选择适宜网络拓扑结构很关键。也就是说,选择网络拓扑结构是网络
29、计划设计第一步。中小企业在选择网络拓扑结构时候,应从经济性、灵活性和扩展性好、可靠性、易于管理和维护多个方面着重入手。在现在企业中经济效益全部是首要考虑,在建设网络投资同时就考虑到经济效益回报。拓扑结构选择直接决定了网络安装和维护费用。因为,拓扑结构选择和传输介质选择、传输距离长短及所需网络连接设备亲密相关。灵活性和扩展性也是选择网络拓扑结构时应充足重视问题。任何一个网络全部不能一劳永逸,伴随用户增加,应用深入和扩大,网络新技术不停涌现,尤其是应用方法和要求改变,网络常常需要加以调整。然而,网络可调性和灵活性,和可扩展性和建立网络时拓扑结构直接相关。网络可靠性是任何一个网络生命。当网络总某个节
30、点或站点发生问题时候时,网络不能正常工作。网络拓扑结构选择还直接决定网络故障检测和故障隔离方便性。总而言之,中小企业网拓扑结构选择,需要考虑原因很多,这些原因同时影响网络运行速度和网络软硬件接口复杂程度等等。3.3.2主干网络(关键层)设计主干网络技术选择,需依据需求分析中地理距离、信息流量个数据负载轻重而定。通常而言,主干网通常见来连接建筑群和服务器群,可能会容纳网络上40%-60%信息流,是网络大动脉。连接建筑群主干网通常以光纤作为传输介质,经典主干网技术关键有千兆以太网、ATM和FDDI等。依据中小企业需求和中小企业网络拓扑结构计划设计标准等角度来考虑,采取千兆以太网是中小企业比较理想做
31、法。FDDI基础已属于昨天技术,支持它厂商越来越少。ATM是面向连接网络,能确保部分突出负载在网上传输,但因为ATM在企业局域网全部应用需要ELAN仿真来实现,不仅技术难度大,且带宽效率低,已证实不适合做企业网络,但假如单建网单位对实时传输要求极高,也能够考虑选择。依据中小企业建网规模,对经费比较担心企业,能够采取100 BASE-FX,即用光传输介质上快速以太网。端口价格低,对光缆要求不高。是一个很经济选择。主干网焦点是关键交换机(或路由器)。假如考虑提供较高可用性,而且经费许可,主干网可采取双星(树)结构,即采取两台一样交换机,和接入层/分布层交换机分别连接。双星结构处理了单点故障失效问题
32、,不仅抗毁性强,而且经过采取较新链路聚合技术,比如快速以太网FEC、千兆以太网GEC等技术,则能够经过许可每条冗余连接链路实现负载分担。千兆以太网通常采取光缆作为传世介质。多个波长单模和多模光纤分别用于不一样场所和距离。因为企业建筑群布线路径复杂特殊性,通常直线距离超出300M建筑群之间千兆以太网线路就必需要用单模光纤。单模光纤本身不贵,昂贵是光端口及组件。在企业中,常常会依据需要对骨干网及关键交换机改善设计或对旧网经行升级改造技术,如:FEC/GEC(快速以太网/千兆以太网链路聚合技术)、CGMP(分组管理协议)、GBIC(千兆位集成电路)、HSRP(热等候路由协议)。3.3.3分布层/接入
33、层设计中小企业网络中分布层存在是否,取决于外围网采取扩充互联方法。当建筑物内信息点较多(如,220个)超出一台交换机所容纳端口密度,而不得不增加交换机扩充端口密度时,假如采取级联方法,立即一组固定端口交换机上联到一台背板宽带和性能很好二级交换机上,再由二级交换机上联到主干;假如采取多个并行交换机堆叠方法扩充端口密度,其中一台交换机上联,则网络中就有接入层,没有分布层。要不要分布层,采取级连还是堆叠,要看网络信息流特点,堆叠体内能够有充足宽带确保,适合当地(楼宇内)信息流密集、全局信息负载相对较轻情况;级连适宜于全网信息流较平均场所,且分布层交换机大全部含有组播和初级QoS(服务质量)管理能力,
34、适合处理部分突发重负载(如VOD视频点播),但增加分布层同时也会使成本提升。分布层/接入层通常采取100BASE-T(X)快速(交换式)以太网,采取10/100Mbit/s自动适宜传输速率到桌面计算机。传输介质则基础上是双绞线。接入层交换机可选择产品很多,不过一定要注意接入层交换机必需支持12个光端口模块,必需支持堆叠,假如主干网为千兆以太网,接入层交换机还必需支持GBE模块。3.3.4远程接入访问计划设计在企业中,因为布线系统费用和实现上限制,对于零碎远程用户接入,利用PSTM市话网络进行远程拨号访问几乎是唯一经济、简便选择。远程拨号访问需要计划远程访问服务器和Modem设备,并申请一组中继
35、线(企业内部有PABX电话交换机则最好)。因为整个网络中惟一窄宽设备,这一部分在未来网络中可能会逐步降低使用。远程访问服务器(RAS)和Modem组端口数目一一对应,通常按一个端口支持20个用户计算来配置。3.4拓扑结构设计图在网络拓扑结构方案设定后,深入具体化时候就需要考虑网络结点规模设计,理论上采取排对论等数学工具进行设计,不过实际中往往采取类比法。中小企业网络拓扑计划设计中依据主干网拓扑结构,确定分组交换结点位置、设备、结点间传输介质,包含网络协议,确定结点间实现协议、结点数目、数据流量和传输速率。在设计中要充足考虑到网络管理需要,在结点中加载符合国际标准网管模块,以实现对全网监视和动态
36、检测。本设计由模拟器所实现,因为模拟器能实现设备只有少数,但其全部含有很好代表性,这里交换机统一选择2960-24TT,三层交换机先用 3650-24PS,出口路由选择2811,ISP路由选择1841.这里,设备型号并不是本设计所关心。本设计使用3层拓扑结构设计,其中包含接入层,汇聚层,关键层。关键层和汇聚层拓扑结构以下图3.5 关键层和汇聚层拓扑结构示意图如上图所表示,关键交换机之间使用了两条链路连接,比采取tunnel技术,其目标是为了应付关键和关键之间高速通信,汇聚层交换机和关键层两个交换机全部有链路连接,目标是为了保障企业网络含有更高可靠性。每个关键交换机和出口路由器连接,并能够对IS
37、P进行访问。双关键交换机设计使得企业网络可靠性更高,容错性更强。汇聚层和接入层之间连接以下图所表示图3.6 汇聚层和接入层拓扑结构示意图为了实现高可靠性,高容错性,每台二层交换机全部以两条链路和汇聚层三层交换机连接,这么做目标是即使其中一条链路,或其中一个交换机出现故障了,也不会影响用户正常通信。第四章 IP地址计划网络设备配置IPv4正在面临地址枯竭危机,这个问题是无法避免,我们需要交流,而现有系统已经难认为继,就像马车快递比不上航空快件一样,大家已经在保留IP地址方面付出了很多时间和努力,但一个显著事实是连接到网络中人员和设备数量天天全部在增加,IPv4地址大约有43亿个,理论上说,我们并
38、没有用完这些地址,实际上只有2亿5千万个地址能够分配给设备使用,当然NAT,CIDR使用很大程度上缓解了地址枯竭问题,但我们终有一天会把这些地址耗尽,这种情况可能就在几年以后,中国人才刚刚开始上网,据计算,中国只有10%人连接到Internet。而根据这个数据统计,我们不可能每个人全部拥有一台计算机。但实际上,我们不仅只有一台笔记本电脑,而且还有手机,台式机,打印机等。现今企业通常只能分配到一个公用IP地址,经过使用NAT地址转换,将内部地址转换为公有地址,比对外网进行访问。4.1网络地址配置企业公网地址为 66.66.66.66 /29内部局域网地址为 192.168.0.0 /20VLAN
39、 计划以下表表4.1 VLAN具体划分及地址分配部门VLAN地址范围(/24)默认网关IT技术和管理1192.168.1.0192.168.1.1工作组12192.168.2.0192.168.2.1工作组23192.168.3.0192.168.3.1工作组34192.168.4.0192.168.4.1工作组45192.168.5.0192.168.5.1工作组56192.168.6.0192.168.6.1工作组67192.168.7.0192.168.7.1工作组78192.168.8.0192.168.8.1工作组89192.168.9.0192.168.9.1用户10192.168
40、.10.0192.168.10.1服务器是网络中不可少一个部分。服务器合理搭建是影响网络性能关键,下面给出网络内服务器地址信息。表4.2 服务器IP地址计划服务器名称IP地址VLAN网关备注DNS192.168.8.108192.168.8.1域名解析EMAIL192.168.8.208192.168.8.1邮件TFTP192.168.8.308192.168.8.1简单文件HTTP192.168.8.408192.168.8.1WWWFTP192.168.8.508192.168.8.1文件传输AAA192.168.8.608192.168.8.1AAA认证经过使用对每个设备分配一个SVIV
41、LAN1地址,目标是用于设备远程管理。SVI配置以下表表4.3 各网络设备管理地址设备名称管理地址(VLAN1地址)所含VLANMGR192.168.1.111,2ASW1192.168.1.121,3ASW2192.168.1.131.4ASW3192.168.1.141.5ASW4192.168.1.151,6ASW5192.168.1.161,7DSW1192.168.1.101-7DSW2192.168.1.201-7DSW3192.168.1.301,9-10DSW4192.168.1.401,9-10DSW5192.168.1.501,8DSW6192.168.1.601,8COR
42、E1192.168.1.1ALLCORE2192.168.1.2ALLG2 ASW1192.168.1.311,9G2 ASW2192.168.1.321,9G2 ASW3192.168.1.331,10G2 ASW4192.168.1.341,10 为方便统一管理网络设备enable密码全部设置为 enable secret jeasky,相比enable password命令,secret 以加密方法保留,而password则以明文保留,前者安全性较高。因为网络设备地理位置差异,对设备进行远程管理是网络设计不可少一个部分,为了方便管理,全部网络设备telnet密码全部设为 jeasky。4
43、.2设备接口配置关键交换机和路由器接口配置为路由接口,并配置了IP地址,和路由器相连,具体配置信息以下表。表4.4 关键交换机和路由器端口IP配置接口名称IP/mask备注CORE1 f0/24172.16.1.2/24连接路由器f0/0CORE2 F0/24172.16.1.3/24连接路由器f0/1路由器f0/0172.16.1.1/24连接CORE1 f0/24路由器f0/1172.16.1.4/24连接CORE2 f0/24路由器s0/0/066.66.66.66/29连接ISP关键交换机各个端口端口号,用途,和接口类型以下表表4.5 关键交换机端口用途和类型端 口 号用 途接 口 类
44、 型FastEthernet0/1连接DSW1TrunkFastEthernet0/2连接DSW2TrunkFastEthernet0/3连接DSW3TrunkFastEthernet0/4连接DSW4TrunkFastEthernet0/5连接DSW5TrunkFastEthernet0/6连接DSW6TrunkFastEthernet0/24连接路由器Routed PortGigabitEthernet0/1和CORE2组成ether channel Ether ChannelGigabitEthernet0/2和CORE2组成ether channelEther Channel汇聚层交换
45、机各个设备名称,和该设备端口号,端口用途,端口类型相机信息以下表4.6 汇聚层交换机端口用途和类型设备名称端口号用途类型DSW1FastEthernet 0/1连接COER1TrunkDSW1FastEthernet 0/2连接COER2TrunkDSW1FastEthernet 0/3连接ASW1TrunkDSW1FastEthernet 0/4连接ASW2TrunkDSW1FastEthernet 0/5连接ASW3TrunkDSW1FastEthernet 0/6连接ASW4TrunkDSW1FastEthernet 0/7连接ASW5TrunkDSW1FastEthernet 0/8连
46、接ASW6TrunkDSW2FastEthernet 0/1连接COER1TrunkDSW2FastEthernet 0/2连接COER2TrunkDSW2FastEthernet 0/3连接ASW1TrunkDSW2FastEthernet 0/4连接ASW2TrunkDSW2FastEthernet 0/5连接ASW3TrunkDSW2FastEthernet 0/6连接ASW4TrunkDSW2FastEthernet 0/7连接ASW5TrunkDSW2FastEthernet 0/8连接ASW6TrunkDSW3FastEthernet 0/1连接COER1TrunkDSW3FastEthernet 0/2连接COER2TrunkDSW3FastEthernet 0/3连接G2 ASW1