中小型企业网络规划及实施方案.docx
- 文档编号:4254705
- 上传时间:2022-11-28
- 格式:DOCX
- 页数:12
- 大小:24.77KB
中小型企业网络规划及实施方案.docx
《中小型企业网络规划及实施方案.docx》由会员分享,可在线阅读,更多相关《中小型企业网络规划及实施方案.docx(12页珍藏版)》请在冰豆网上搜索。
中小型企业网络规划及实施方案
中小型企业网络规划及实施方案
信息工程学院20XX年12月11日
目录
第一章项目概述........................................................1
项目背景........................................................1项目目标........................................................1
本期目标...................................................1本期项目环境要求..........................................1本期项目所需设备..........................................2
第二章技术介绍........................................................2
SVI.............................................................2端口安全........................................................2端口聚合........................................................2快速生成树协议..........................................3VRRP............................................................3ACL.............................................................3RIP.............................................................3NAT.............................................................3CHAP............................................................4VPN............................................................4第三章解决方案........................................................4
规划场景........................................................4网络实施拓扑....................................................5网络实施分析....................................................5项目实施流程....................................................6设备命名规则....................................................6接口描述规则....................................................7IP地址规划.....................................................7VLAN规划.......................................................9第四章设备配置........................................................9
设备配置命令文档................................................9交换机配置.....................................................20
划分VLAN.................................................20端口安全配置及测试........................................27VRRP配置.................................................31端口聚合和快速生成树配置及测试...........................33扩展访问控制列表的配置...................................38路器配置.....................................................43
路协议的配置及chap的配置...............................43配置NAT转换..............................................49VPN配置及测试.................................................52整体测试.......................................................58第五章服务器配置及测试...............................................66
FTP服务器的配置与测试.........................................66
WEB服务器的搭建与测试.........................................70第六章系统优化方案...................................................74
当前网络目前存在的问题.........................................75网络优化目标...................................................75第七章工程总结.......................................................75
华夏企业网络规划及实施方案
第一章项目概述
项目背景
“功欲善其事,必先利其器”,华夏企业深刻认识到业务要发展、必须提高企业内部核心竞争
力、而建立一个方便快捷安全的通信网络综合信息支撑系统,已迫在眉睫,计划建设新的企业园区网络,希望通过这个新建的网络,提供一个安全、可靠、可扩展、高效的网络环境,将自己的分公司与总公司两个办公地点连接到一起,使公司内部能够方便快捷地实现网络资源共享、全网接入Internet等目标,同时实现公司内部的消息保密隔离,以及对于公网的安全访问。
项目目标
本期目标
为了确保关键应用的正常运行,安全实施,企业网络必须具备如下特性:
(1)采用先进通信技术完成公司网络建设,连接两个距离较远的公司网络办公地点。
(2)为了提高数据的传输速率,在整个公司内部网络内控制广播域的范围。
(3)在整个公司网络内实现资源共享,并保证骨干网络的高可靠性。
(4)公司内部网络中实现高效的路选择。
(5)构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网; (6)选用技术先进、具有容错能力的网络产品,在投资和条件允许的情况下也可采用结构容错的方法;
(7)完全符合开放性规范,将业界优秀的产品集成于该综合网络平台之中; (8)具有较好的可扩展性,为今后的网络扩容作好准备;
(9)整个公司计划采用10M光纤接入到运营商提供的Internet。
集团统一一个出口,便于控制网络安全;
(10)设备选型上必须在技术上具有先进性,通用性,且必须便于管理,维护。
应具备未来良好的可扩展性,可升级性,保护公司的投资。
设备要在满足该项目的功能和性能上还具有良好的性价比。
设备在选型上要是拥有足够实力和市场份额的主流产品。
本期项目环境要求
该公司具有两个公司网络,且相距较远。
公司A为总公司,办公点具有的部门较多,如业务部,综合部等,为主要的办公场所,因此这部分的交换网络对可用性和可靠性要求较高。
第1页,共76页
华夏企业网络规划及实施方案
B办公地点只有较少办公人员,但是Internet的接入点在这里。
该公司网络已经申请到了若干公司IP地址,,供公司内网接入使用。
公司内网使用私有地址。
本公司移动办公人员较多
本期项目所需设备
设备名称:
设备型号:
设备数量:
备注:
用在核心层使得能够在路器RG-17004台网络的不同部分之间高效、快速地传输数据用在汇聚层,根据处理结果将用户流量转发到核三层交换机RG-S3750-242台心交换层或在本地进行路处理等等用在接入层,允许终端用二层交换机RG-S226G2台户连接到网络
第二章技术介绍
SVI
SVI是交换机虚拟接口。
用于三层交换机跨vlan间路。
具体可以用interfacevlan接口配置命令来创建svi,然后为其配置ip地址即可实现路功能。
端口安全
最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC
地址与具体的端口绑定,限制具体端口通过的MAC地址的数量,或者在具体的端口不允许某些MAC地址的帧流量通过。
端口聚合
端口聚合主要用于交换机之间连接。
于两个交换机之间有多条冗余链路的时候,STP会将
其中的几条链路关闭,只保留一条,这样可以避免二层的环路产生。
但是,失去了路径冗余的优点,因为STP的链路切换会很慢,在50s左右。
使用以太通道的话,交换机会把一组物理端口联
第2页,共76页
华夏企业网络规划及实施方案
合起来,做为一个逻辑的通道,也就是channel-group,这样交换机会认为这个逻辑通道为一个端口。
快速生成树协议
RSTP:
快速生成树协议:
发展而成,这种协议在网络结构发生变化时,能更快的收敛网络。
它比多了两种端口类型:
预备端口类型和备份端口类型。
STP是生成树协议的英文缩写。
该协议可应用于环路网络,通过一定的算法实现路径冗余,同时将环路网络修剪成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环。
VRRP
虚拟路器冗余协议是一种选择协议,它可以把一个虚拟路器的责任动态分配到局域网上的VRRP路器中的一台。
控制虚拟路器IP地址的VRRP路器称为主路器,它负责转发数据包到这些虚拟IP地址。
一旦主路器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路器的IP地址可以作为终端主机的默认第一跳路器。
使用VRRP的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路或路发现协议。
VRRP包封装在IP包中发送。
ACL
访问控制列表是路器和交换机接口的指令列表,用来控制端口进出的数据包。
ACL适用于所有的被路协议,如IP、IPX、AppleTalk等。
这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。
RIP
路信息协议是一种在网关与主机之间交换路选择信息的标准。
RIP是一种内部网关协议。
在国家性网络中如当前的因特网,拥有很多用于整个网络的路选择协议。
作为形成网络的每一个自治系统,都有属于自己的路选择技术,不同的AS系统,路选择技术也不同。
NAT
网络地址转换(NAT,NetworkAddressTranslation)属接入广域网(WAN)技术,是一种将私有地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。
原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
第3页,共76页
华夏企业网络规划及实施方案
CHAP
CHAP全称是PPP询问握手认证协议。
该协议可通过三次握手周期性的校验对端的身份,可在初始链路建立时完成时,在链路建立之后重复进行。
通过递增改变的标识符和可变的询问值,可防止来自端点的重放攻击,限制暴露于单个攻击的时间。
VPN
虚拟专用网络等之上的逻辑网络,用户数据在逻辑链路中传输。
它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。
VPN主要采用了彩隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
第三章解决方案
规划场景
规划场景如下图所示:
出差用户办公地点BFTP服务器WEB服务器分公司办公地点A财务部人事部业务部工程部策划部技术部
第4页,共76页
华夏企业网络规划及实施方案
网络实施拓扑
网络实施拓扑如下图所示:
网络实施分析
1.在接入层使用二层交换机,在接入层交换机上划分vlan,则可以实现对广播域的隔离,财
务部vlan10,人事部vlan20,业务部vlan30,策划部vlan40,技术部vlan50,工程部vlan60. 2.建设双核心的高可靠性网络,核心交换互为备份。
为充分发挥设备的性能,两台核心交换承担不同用户数据负载。
交换机之间的链路配置为Trunk链路,三层交换机上采用SVI方式实现vlan之间的路。
3.两台核心交换机之间采用双链路连接,在两台三层交换机之间配置端口聚合,以提高带宽。
4.接入交换机的Access端口上采用端口安全的方式实现对允许的连接数量的控制,以提高
第5页,共76页
华夏企业网络规划及实施方案
网络的安全性。
5.为了提高网络的可靠性,整个交换网络内配置RSTP,以避免环路带来的影响
6.两台三层交换上配置路接口,连接A办公地点的路器R1,并在R1和R2分别配置接口IP地址。
并启用RIP路协议,实现全网互通。
和R2办公地点的路器R2之间通过广域网链路连接,在R1和R2的广域网接口上配置chap协议提供一定的安全性。
8.两台三层交换机上配置默认路,指向R1;R1上配置配置默认路指向R2;R2上配置默认路指向连接到因特网的下一条地址。
9.在R2上配置NAT方式实现企业内网仅用少量公网IP地址到因特网的访问。
10.在S2上,用ACL实现财务部可以访问WEB服务器和FTP服务器,其他部门都能访问服务但不能访问FTP服务器。
11.通过VPN实现移动办公人员,分公司与总公司的通信。
项目实施流程
1.在核心交换机与接入交换机上分别创建相应的
VLAN;
2.核心交换机与接入交换机之间建立TRUNK链路;
3.两台核心交换机直接通过双链路相连,实现端口聚合;
4.在全部交换机上配置RSTP,指定两台三层交换机分别为根网桥和备份根网桥; 5.在接入交换机的access链路上实现端口安全;
6.配置三层交换机的VLAN间路功能;
7.在三层交换机的路端口、R1和R2上配置接口IP地址; 和R2配置广域网链路,启用PPP协议和配置CHAP认证;
9.运用RIPV2路协议配置企业内网的路,用静态路实现企业内网到互联网的访问; 10.在路器R1上做NAT实现内网对外网的访问;
11.建立WEB、FTP服务器,使企业内网实现资源共享;
12.为了控制内网对互联网的访问,在路器上作访问控制列表;
13.在总公司与分公司之间建立VPN连接。
设备命名规则
为了标识网络设备、便于管理网络设备,应该为网络中每一台设备赋予名称标识,设备命名
第6页,共76页
华夏企业网络规划及实施方案
的基本原则为:
1.能表示出网络设备的类型; 2.能表示出网络设备的物理位置; 3.能表示出网络设备所属的网络层次;
4.相同物理位置和网络层次的网络设备不同序号区分; 5.能反映出该设备的业务属性和网元功能。
本次工程的设备命名规范如下:
交换机命名以SW开头,路器命名以R开头,服务器命名以Server开头。
举例说明:
比如说二层交换机SW1,SW2,路器R1,R2。
接口描述规则
为了标识设备端口,便于后期维护,应为没一个接口设置接口描述,接口描述的基本规则为:
1.能表示出端口的对端网元设备 2.能表示出端口的类型
3.能反映出对端端口所在板卡的物理槽位 本次工程的接口描述规范如下:
快速以太网口用f开头,串口用S开头。
举例说明:
例如交换机SW1的快速以太网口f0/10端口,路器R1的串口S0/1/0端口。
IP地址规划
IP地址规划的结果直接影响到网络运行的质量,以下是几点IP地址规划的基本原则:
1.唯一性:
一个IP网络中不能有两个主机采用相同的IP地址。
即使使用了支持地址重叠的MPLS/VPN技术,也尽量不要规划为相同的地址。
2.连续性:
连续地址在层次结构网络中易于进行路径叠合,大大缩减路表,提高路算法的效率。
3.扩展性:
地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性。
4.实义性:
第7页,共76页
华夏企业网络规划及实施方案
“望址生义”,好的IP地址规划使每个地址具有实际含义,看到一个地址就可以大至判断出该地址所属的设备。
这是IP地址规划中最具技巧型和艺术性的部分。
最完美的方式是得出一个IP地址公式,以及一些参数及系数,通过计算得出每一个需要用到的IP地址。
各部门地址分配如下所示:
部门名称:
财务部人事部业务部工程部策划部技术部IP地址:
网络设备接口地址如下所示:
设备名称:
三层交换机1三层交换机2Fa0/6Fa1/0R1Fa1/1Se0/1/0Se0/0/0R2Se0/1/0Se0/0/0R3(ISP路器)Se0/0/1Se0/0/0R4Fa0/0分公司其中一台PCFTP服务器WEB服务器FastEthernetFastEthernetFastEthernet/24/24/24/24/24/24/24/24/24/24/24/24/24端口号:
Fa0/24Fa0/24IP地址:
/24/24第8页,共76页
华夏企业网络规划及实施方案
VLAN规划
部门财务部人事部业务部工程部策划部技术部VLAN102030405060第四章设备配置
设备配置命令文档
设备财务部代IP:
子网掩码:
网关:
表PC机1人事部代IP:
子网掩码:
网关:
表PC机1业务部代IP:
子网掩码:
网关:
表PC机1工程部代IP:
子网掩码:
网关:
表PC机1策划部代IP:
子网掩码:
网关:
表PC机1技术部代IP:
子网掩码:
网关:
表PC机1configtSW1vlan30第9页,共76页
配置命令华夏企业网络规划及实施方案
exitinterfacefa0/3 switchportmodeaccessswitchportaccessvlan10 //将财务部划入vlan10exitinterfacefa0/4switchportmodeaccessswitchportaccessvlan20 //将人事部划入vlan20exitinterfacefa0/5switchportmodeaccessswitchportaccessvlan30 //将业务部划入vlan30exitinterfacerangefa0/1-2switchportmodeaccessswitchportmodetrunknoshutdownExitconfitinterrangefa0/6-24 //进入一组端口的配置模式switchportmodeaccessswitchportport-security //配置交换机的端口安全功能switchportport-securitymaximum4 //设置最大允许连接数量为4switchportport-securityviolationshutdownendSW2第10页,共76页
华夏企业网络规划及实施方案
vlan50vlan60exitinterfacefa0/3switchportmodeaccessswitchportaccessvlan40 //将工程部划入vlan40exitinterfacefa0/4switchportmodeaccessswitchportaccessvlan50 //将策划部划入vlan50exitinterfacefa0/5switchportmodeaccessswitchportaccessvlan60 //将技术部划入vlan60exitinterfacerangefa0/1-2switchportmodeaccessswitchportmodetrunknoshutdownexitinterrangefa0/6-24 //进入一组端口的配置模式switchportmodeaccessswitchportport-security //配置交换机的端口安全功能switchportport-securitymaximum4 //设置最大允许连接数量为4switchportport-securityviolationshutdown//配置安全违例的处理方式为shutdownendSW3第11页,共76页
华夏企业网络规划及实施方案
vlan20vlan30exitinterfacerangefa0/3-4 //交换机之间配置TRUNK链路switchportmodeaccessswitchportmodetrunknoshutdownexitinterfaceaggregateport1 //创建聚合接口AGIswitchportmodeacc
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中小型企业 网络 规划 实施方案