网络设计与规划.docx
- 文档编号:28161500
- 上传时间:2023-07-08
- 格式:DOCX
- 页数:20
- 大小:508.74KB
网络设计与规划.docx
《网络设计与规划.docx》由会员分享,可在线阅读,更多相关《网络设计与规划.docx(20页珍藏版)》请在冰豆网上搜索。
网络设计与规划
网络规划与设计
20111105969宋小勇
目录
1.设计部分
1.1需求分析
1.2逻辑拓扑图和网络技术拓扑图
1.3IP地址的规划
1.4域名配置及VLAN规划
1.5公司网络结构规划
1.6协议分析
2.开发部分与性能评价
3.网络安全
3.1网络安全问题
3.2网络安全设计
要求:
需求一:
网络建设要满足办公自动化、远程办公、电子邮件及互联网访问等基础网络应用需求。
需求二:
企业规模较大,厂房分布在较大的范围内,其中办公大楼集中了主要的管理部门,如经理室、财务室、计划、采购、销售、研发等,而生产车间则分布在几个生产厂房中,管理部门要向生产部门下达生产计划,生产部门又要向采购部门提出采购计划等。
公司在各个地区的主要大城市有办事处或分公司,也需要接入总部的内部网络,各分部之间也有信息流。
设计部分
1.1需求分析
1.11基本需求分析
(1)总公司办公楼与各厂房和仓库采用星型网络连接;
(2)厂房二和厂房四采用堆叠交换机,可堆叠交换机进行交换时利用宽带很高的内部总线;
(3)由于内部网络要与公用网络连接,在安全方面应在内部网络中设置防火墙,所有的内部网络与外部网络的通信都必须通过防火强的检测与连接;
1.12性能需求分析
(1)总公司办公楼与总公司厂房和仓库采用四芯单模光纤与服务管理中心连接起来,连接宽带达到2Gbps;
(2)楼层交换机到各楼层使用超五类双绞线,连接带宽达到100/1000M;
(3)室内全部使用超五类双绞线,连接带宽达到10/100M;
(4)中心交换机具有高扩展性;
(5)所有交换设备能用一套统一的网络管理软件进行管理与配置;
1.2逻辑拓扑图和网络技术拓扑图
公司逻辑拓扑图
总公司技术拓扑图
分公司1的技术拓扑图
1.3IP地址的规划
地址合理规划的意义
IP地址的合理是保证网络顺利运行和网络资源有效利用的关键。
企业网IP地址的分配应该尽可能地利用申请到的地址空间,充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。
具体地来说IP地址的合理规划有如下的意义:
(1)唯一性:
为实现网络中所有设备都可以互访,一个IP网络中不能有两个主机采用相同的IP地址;
(2)层次性:
IP地址的划分采用层次化的方法,和层次化的网络设计相应,在地址划分上我们也采用层次化的分配思想;
(3)可扩展性:
地址分配在每一层次上都要留有一定余量,以便在网络扩展时能保证地址叠合所需的连续性;IP地址分配处理要考虑到连续外,又要能做到具有可扩充性,并为将来的网络扩展一定的地址空间;充分利用无类别域间路由(CIDR)技术和变长子网掩码(VLSM)技术,合理高效地利用IP地址,同时,对所有各种主机、服务器和网络设备,必须分配足够的地址,划分独立的网段,以便能够实现严格的安全策略控制;
(4)可管理性:
地址分配应简单且易于管理,以降低网络扩展的复杂性,简化路由表;
总公司IP地址规划
区域位置
IP地址
技术部
192.168.0.11/24
销售部
192.168.0.43/24
书记办公室
192.168.0.4/24
厂长办公室
192.168.0.2/24
财务部
192.168.0.6/24
服务器集群
192.168.1.2/24
厂房一
192.168.1.50/24
厂房二
192.168.1.70/24
厂房三
192.168.1.100/24
厂房四
192.168.1.120/24
分公司一IP地址规划
区域位置
IP地址
端口号
技术部
192.168.1.152/24
F-AES-1:
F0/1--F0/10
销售部
192.168.1.162/24
F-AES-1:
F0/11--F0/15
财务部
192.168.1.167/24
F-AES-1:
F0/16--F0/18
厂长办公室
192.168.1.180/24
F-AES-1:
F0/19--F0/20
分公司二IP地址规划
区域位置
IP地址
端口号
技术部
192.168.1.184/24
F-AES-2:
F0/1--F0/9
销售部
192.168.1.193/24
F-AES-2:
F0/10--F0/14
财务部
192.168.1.198/24
F-AES-2:
F0/15--F0/16
厂长办公室
192.168.1.200/24
F-AES-2:
F0/17--F0/18
分公司三IP地址规划
区域位置
IP地址
端口号
技术部
192.168.1.207/24
F-AES-3:
F0/1--F0/10
销售部
192.168.1.217/24
F-AES-3:
F0/11--F0/15
财务部
192.168.1.220/24
F-AES-3:
F0/16--F0/18
厂长办公室
192.168.1.222/24
F-AES-3:
F0/19--F0/20
1.4域名配置及VLAN规划
基本信息配置
设备信息
该项目方案里所用到的设备命名如下:
二层交换机
三层交换机
路由器
总部
Z-AES-1
Z-CORE-1
Z-R-1
Z-AES-2
--
Z-AES-3
--
Z-AES-4
--
Z-AES-5
--
Z-AES-6
--
Z-AES-7
--
分部1
F-AES-1
--
F-R-1
分部2
F-AES-2
--
F-R-2
分部3
F-AES-3
--
F-R-3
禁用域名解析配置:
在这个项目方案中设备没必要用到域名解析,请关闭设备域名解析功能;
CONSOLE及TELNET管理密码配置:
从设备本身的安全性考虑来说,请为每台设备都配置CONSOLE及TELNET密码;
总公司二层交换机配置:
总部三层交换机命名:
Switch#configt
Switch(config)#HostnameZ-CORE-1//设备命名
Z-CORE-1(config)#noipdomain-lookup
Z-CORE-1(config)#lineconsole0
Z-CORE-1(config-line)#loggingsynchronous
Z-CORE-1(config-line)#nologin
Z-CORE-1(config-line)#privilegelevel15
Z-CORE-1(config-line)#linevty04
Z-CORE-1(config-line)#nologin
Z-CORE-1(config-line)#privilegelevel15
Z-CORE-1(config-line)#end
Z-CORE-1#
Z-CORE-1#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Z-CORE-1(config)#intvlan1
Z-CORE-1(config-if)#ipaddress192.168.1.1255.255.255.0
Z-CORE-1(config-if)#noshutdown
%LINK-5-CHANGED:
InterfaceVlan1,changedstatetoup
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceVlan1,changedstatetoup
Z-CORE-1(config-if)#
Z-CORE-1(config-if)#copyrunning-configstartup-config
^
%Invalidinputdetectedat'^'marker.
Z-CORE-1(config-if)#end
Z-CORE-1#
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
Z-CORE-1#copyrunning-configstartup-config
Destinationfilename[startup-config]?
Buildingconfiguration...
[OK]
Z-CORE-1#
总部路由器命名:
Router#configt
Router(config)#hostnameZ-R-1
Z-R-1(config)#noipdomain-lookup
Z-R-1(config-line)#lineconsole0
Z-R-1(config-line)#loggingsynchronous
Z-R-1(config-line)#nologin
Z-R-1(config-line)#privilegelevel15
Z-R-1(config-line)#linevty04
Z-R-1(config-line)#nologin
Z-R-1(config-line)#privilegelevel15
Z-R-1(config-line)#end
Z-R-1#
分公司1二层交换机命名:
Switch#configt
Switch(config)#HostnameF-AES-1//设备命名
F-AES-1(config)#noipdomain-lookup
F-AES-1(config)#lineconsole0
F-AES-1(config-line)#loggingsynchronous
F-AES-1(config-line)#nologin
F-AES-1(config-line)#privilegelevel15
F-AES-1(config-line)#linevty04
F-AES-1(config-line)#nologin
F-AES-1(config-line)#privilegelevel15
F-AES-1(config-line)#end
F-AES-1#
F-AES-1#
F-AES-1#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
F-AES-1(config)#intvlan1
F-AES-1(config-if)#ipaddress192.168.1.151255.255.255.0
F-AES-1(config-if)#noshutdown
%LINK-5-CHANGED:
InterfaceVlan1,changedstatetoup
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceVlan1,changedstatetoup
F-AES-1(config-if)#%IP-4-DUPADDR:
Duplicateaddress192.168.1.151onVlan1,sourcedby0060.2FE7.D401
F-AES-1(config-if)#end
F-AES-1#
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
F-AES-1#copyrunning-configstartup-config
Destinationfilename[startup-config]?
Buildingconfiguration...
[OK]
F-AES-1#
分公司1路由器命名:
Router#configt
Router(config)#hostnameF-R-1
F-R-1(config)#noipdomain-lookup
F-R-1(config-line)#lineconsole0
F-R-1(config-line)#loggingsynchronous
F-R-1(config-line)#nologin
F-R-1(config-line)#privilegelevel15
F-R-1(config-line)#linevty04
F-R-1(config-line)#nologin
F-R-1(config-line)#privilegelevel15
F-R-1(config-line)#end
F-R-1#
分公司2二层交换机命名:
Switch#configt
Switch(config)#HostnameF-AES-2//设备命名
F-AES-2(config)#noipdomain-lookup
F-AES-2(config)#lineconsole0
F-AES-2(config-line)#loggingsynchronous
F-AES-2(config-line)#nologin
F-AES-2(config-line)#privilegelevel15
F-AES-2(config-line)#linevty04
F-AES-2(config-line)#nologin
F-AES-2(config-line)#privilegelevel15
F-AES-2(config-line)#end
F-AES-2#
分公司2路由器命名:
Router#configt
Router(config)#hostnameF-R-2
F-R-2(config)#noipdomain-lookup
F-R-2(config-line)#lineconsole0
F-R-2(config-line)#loggingsynchronous
F-R-2(config-line)#nologin
F-R-2(config-line)#privilegelevel15
F-R-2(config-line)#linevty04
F-R-2(config-line)#nologin
F-R-2(config-line)#privilegelevel15
F-R-2(config-line)#end
F-R-2#
分公司3二层交换机命名:
Switch#configt
Switch(config)#HostnameF-AES-3//设备命名
F-AES-3(config)#noipdomain-lookup
F-AES-3(config)#lineconsole0
F-AES-3(config-line)#loggingsynchronous
F-AES-3(config-line)#nologin
F-AES-3(config-line)#privilegelevel15
F-AES-3(config-line)#linevty04
F-AES-3(config-line)#nologin
F-AES-3(config-line)#privilegelevel15
F-AES-3(config-line)#end
F-AES-3#
分公司3路由器命名:
Router#configt
Router(config)#hostnameF-R-3
F-R-3(config)#noipdomain-lookup
F-R-3(config-line)#lineconsole0
F-R-3(config-line)#loggingsynchronous
F-R-3(config-line)#nologin
F-R-3(config-line)#privilegelevel15
F-R-3(config-line)#linevty04
F-R-3(config-line)#nologin
F-R-3(config-line)#privilegelevel15
F-R-3(config-line)#end
F-R-3#
VLAN技术:
VLAN是一组以太网网段(逻辑广播域),这些网段的物理连接不同,但能够像位于同一个网段中那样通信。
Vlan的划分方法可分为以下几种:
基于端口、MAC地址、网络层协议划分的vlan,根据IP组播、子网、用户认证授权划分vlan几种。
本方案中主要使用的划分方法为:
基于端口创建vlan
创建VLAN:
先将各交换机配置成透明模式,然后在交换设备上创建VLAN:
总部:
VLAN编号
名称
说明
划分端口
1
ld
领导
Z-CORE-1:
F0/1--F0/2
2
js
技术部
Z-CORE-1:
F0/3--F0/4
3
xs
销售部
Z-CORE-1:
F0/5--F0/6
4
cw
财务部
Z-CORE-1:
F0/7--F0/8
5
sc
生产部
Z-CORE-1:
F0/9--F0/12
300
wg
网管vlan
分公司1:
VLAN编号
名称
说明
划分端口
11
ld
领导
F-AES-1:
F0/1--F0/3
12
js
技术部
F-AES-1:
F0/4--F0/6
13
xs
销售部
F-AES-1:
F0/7--F0/8
14
cw
财务部
F-AES-1:
F0/9--F0/12
300
wg
网管vlan
分公司2:
VLAN编号
名称
说明
划分端口
21
ld
领导
F-AES-1:
F0/1--F0/3
22
js
技术部
F-AES-1:
F0/4--F0/6
23
xs
销售部
F-AES-1:
F0/7--F0/8
24
cw
财务部
F-AES-1:
F0/9--F0/12
分公司3:
VLAN编号
名称
说明
划分端口
31
ld
领导
F-AES-1:
F0/1--F0/3
32
js
技术部
F-AES-1:
F0/4--F0/6
33
xs
销售部
F-AES-1:
F0/7--F0/8
34
cw
财务部
F-AES-1:
F0/9--F0/12
交换机接口配置:
将交换机上与PC机或服务器相连的接口配置成ACCESS,与交换机、路由器相连的接口配置成TRUNK
总部三层交换机:
分公司1二层交换机:
分公司2二层交换机:
分公司3二层交换机:
1.5公司网络结构规划
将公司总部和分部结构规划为接入层和核心层,这样的好处:
一是能够有良好的层次感,利于实现较为复杂的网络功能要求;二是这样分层能够使每层的功能较容易实现也较清楚;三是采用这种分层方式可以支持较大的网络规模便于企业网的升级扩大。
接入层
接入层主要作用是使各个信息节点接入内部网络,实现互联。
核心层
核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。
1.6协议分析
STP技术
STP(生成树协议)是一个二层链路管理协议。
它的主要功能是在保证网络中没有回路的基础上,允许在第二层链路中提供冗余路径,以保证网络可靠稳定的运行。
STP可以解决冗余拓扑带来的广播风暴、同一个帧多个副本、MAC地址表的不稳定等问题。
访问控制列表(ACL)
ACL技术在路由器中被广泛采用,它是一种基于包过滤的流控制技术。
标准访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素,并可以规定符合条件的数据包是否允许通过。
ACL通常应用在企业的出口控制上,可以通过实施ACL,可以有效的部署企业网络出网策略。
随着局域网内部网络资源的增加,一些企业已经开始使用ACL来控制对局域网内部资源的访问能力,进而来保障这些资源的安全性。
网络地址转换(NAT):
NAT是网络地址转换的简写,其功能是指在一个网络内部根据需要可以随便使用合法的保留IP地址,而不需要经过申请。
可以简单的概括为;对于向外发出的数据包,NAT将源IP地址和源TCP、UDP端口号转换成一个公共的IP地址和端口号;对于流入内部网络的数据包,NAT将目的地址和TCP/UDP端口号转换为专有的IP地址和最初的TCP/UDP端口号。
通用路由器封装(GRE)
GRE(GenericRoutingEncapsulation,通用路由封装)协议是对某些网络层协议(如IP和IPX)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输。
GRE采用了Tunnel(隧道)技术,是VPN(VirtualPrivateNetwork)的第三层隧道协议。
IP隧道技术中使用的一种封装格式:
把企业内部网的各种信息分组封装在内,可通过IP协议透明地穿过因特网,实现端点之间互连。
开发部分与性能评价
满足协议之间连通性的实现。
第一步:
测试内网联通性
第二部:
GRE隧道测试
PacketTracerPCCommandLine1.0
PC>ping192.168.0.34
Pinging192.168.0.34with32bytesofdata:
Replyfrom192.168.0.34:
bytes=32time=234msTTL=128
Replyfrom192.168.0.34:
bytes=32time=125msTTL=128
Replyfrom192.168.0.34:
bytes=32time=125msTTL=128
Replyfrom192.168.0.34:
bytes=32time=93msTTL=128
Pingstatisticsfor192.168.0.34:
Packets:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=93ms,Maximum=234ms,Average=144ms
PC>
PacketTracerPCCommandLine1.0
PC>ping192.168.1.2
Pinging192.168.1.2with32bytesofdata:
Replyfrom192.168.1.2:
bytes=32time=95msTTL=255
Replyfrom192.168.1.2:
bytes=32time=94msTTL=255
Replyfrom192.168.1.2:
bytes=32time=78msTTL=255
Replyfrom192.168.1
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 设计 规划