网络详细规划与配置.docx

网络详细规划与配置.docx

《网络详细规划与配置.docx》由会员分享，可在线阅读，更多相关《网络详细规划与配置.docx（21页珍藏版）》请在冰豆网上搜索。

网络详细规划与配置

第四章网络详细规划与配置

4.1网络环境搭建

在企业网络建设中，要根据企业的实际情况搭建网络拓扑图，并且要充分考虑到企业发展所带的网络变化，要网络设计时就应该把这些因素考虑在内，以便所建设的网络能满足企业未来发展的要求。

4.1.1企业环境

假设企业现有网管中心、财务部、人力资源部、市场部、研发部、保安部、生产部、综合管理部等部分，分在三个楼层里，其中，网管中心、财务部、人力资源部、综合管理部在三楼，市场部和研发部在二楼、保安部和生产部在一楼；企业发展迅速，有可能在将来增加其它的办公场所，要求根据这些情况设计一个符合企业需要并能适合企业发展的网络。

4.1.2网络拓扑

根据企业的情况，将核心交换机、出口路由器和企业服务器放在网管中心，各个楼层有一个汇聚交换机作为每个楼层的网络出口，并能过线缆连接到网管中心的核心交换机上；核心交换机通过路由器连接Internet。

根据这些情况设计的网络拓扑图如下：

4.2网络协议与技术选择

在交换型的网络当中，特别是大中型网络当中，由于计算机较多，出现故障变大，排除网络故障的难度更随之加大，这给网络管理和网络优化带来很大的困难。

所以在网络设计中，如果采用现有的技术，进一步提高网络的性能，是网络设计者和网络管理者都必须考虑的问题。

在现在的企业网络当中，比较广泛的一个方法就是采用VLAN技术，把一个大的网络逻辑上划分成若干个相对较小的网络，这样有助网络的管理，也有利于网络性能的提高。

在路由器上可采用的路由选择协议也很多，有中小型网络使用的静态路由、RIP路由，也有大中型网络使用的OSPF协议。

在众多的网络路由协议当中，要选择出一个适合现实的、又便于管理的协议。

在企业网络建设过程或者网络扩展当中，由于各种原因，一般情况下不可能全部使用同一个厂商的设备，这时候，在路由协议上就应该选择大部分设备的支持的通用的协议，而要尽量避免使用一些厂商私有的协议。

在本网络当中，内部VLAN间采用了比较通用的OSPF动态协议，并且在网络出口上使用静态路由（缺省路由）。

4.2.1静态路由协议

静态路由是指由网络管理员手工配置的路由信息。

当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。

缺省路由是静态路由的一种，也是由管理员设置的。

在没有找到目标网络的路由表项时，路由器将信息发送到缺省路由器。

在出口路由器我们经常需要使用这种路由协议，当企业网内访问的目标是非内部地址时，缺省路由就将它转发到ISP处，由ISP的路由器再进行转发处理，并最终到达目标网络。

4.2.2OSPF动态路由协议

OSPF作为一种内部网关协议，用于在同一个自治域（AS）中的路由器之间发布路由信息。

区别于距离矢量协议（RIP），OSPF具有支持大型网络、路由收敛快、占用网络资源少、无跳数限制等优点，同时它是一种通用的协议，市场上的路由器都支持它，所以它在网络中被广泛的采用。

4.2.3NAT技术

随着Internet的迅速发展，IP地址短缺已成为一个十分突出的问题。

为了解决这个问题，出现了多种解决方案。

下面介绍一种在目前网络环境中比较有效的方法，即地址转换（NAT）功能。

NAT通过将专用网络地址转换为公用地址，从而对外隐藏了内部管理的IP地址。

这样，通过在内部使用非注册的IP地址，并将它们转换为一小部分外部注册的IP地址，从而减少了IP地址注册的费用以及节省了目前越来越缺乏的地址空间（即IPV4）。

同时，这也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。

1、NAT的类型

NAT分为三种类型：

静态NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）。

其中静态NAT将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址，而NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络，端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。

2、NAT的优点：

●对于那些家庭用户或者小型的商业机构来说，使用NAT可以更便宜，更有效率地接入Internet。

●使用NAT可以缓解目前全球IP地址不足的问题。

●在很多情况下，NAT能够满足安全性的需要。

●使用NAT可以方便网络的管理，并大大提高了网络的适应性。

3、NAT的缺点

●NAT会增加延迟,因为要转换每个数据包包头的IP地址,自然要增加延迟。

●NAT会使某些要使用内嵌地址的应用不能正常工作。

4.2.4ACLs技术

大部分企业现在存在一种状况，就是网络访问无序的状态。

如所有公司的员工都可以随意反问财务部门的电脑；如在开公司的视频会议的时候，其他员工下载电影或者游戏浪费了宝贵的带宽，导致视频会议不怎么连贯；如为了管理的方便，大开Telnet端口，对于这个威胁视若无睹，等等。

在实际应用当中，我们可以通过访问控制列表来对网络的访问进制一些适当的限制。

4.2.5VLAN技术

VLAN是英文VirtualLocalAreaNetwork的缩写，即虚拟局域网。

一方面，VLAN建立在局域网交换机的基础之上；另一方面，VLAN是局域交换网的灵魂。

这是因为通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。

这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。

VLAN充分体现了现代网络技术的重要特征：

高速、灵活、管理简便和扩展容易。

VLAN并不局限于某一网络或物理范围，VLAN中的用户可以位于一个园区的任意位置，甚至位于不同的国家。

是否具有VLAN功能是衡量局域网交换机的一项重要指标。

网络的虚拟化是未来网络发展的潮流。

VLAN具有以下优点：

1、控制网络的广播风暴

采用VLAN技术，可将某个交换端口划到某个VLAN中，而一个VLAN的广播风暴不会影响其它VLAN的性能。

2、确保网络安全

共享式局域网之所以很难保证网络的安全性，是因为只要用户插入一个活动端口，就能访问网络。

而VLAN能限制个别用户的访问，控制广播组的大小和位置，甚至能锁定某台设备的MAC地址，因此VLAN能确保网络的安全性。

3、简化网络管理

网络管理员能借助于VLAN技术轻松管理整个网络。

例如需要为完成某个项目建立一个工作组网络，其成员可能遍及全国或全世界，此时，网络管理员只需设置几条命令，就能在几分钟内建立该项目的VLAN网络，其成员使用VLAN网络，就像在本地使用局域网一样。

4.3网络地址规划

在网络设计时，做好网络地址的选择与规划是非常重要的一个环节，网络地址的规划是否合理直接影响到网络的使用和网络的扩展。

1、企业从ISP申请到一个公网IP：

202.101.0.0/28，主要用于连接外网和部分服务器使用。

其分配如下表所示：

部门

子网

子网掩码

出口路由器F0/1

202.101.0.1

255.255.255.240

Web服务器

202.101.0.2

255.255.255.240

FTP服务器

202.101.0.3

255.255.255.240

2、IP地址的选择

目前，在网络上使用的IP地址主要有三类：

A类、B类和C类，而这三类IP址址又分为注册地址和非注册地址，注册地址用于Internet上使用，而非注册地址（即私有地址）用于组织机构内部使用。

三类IP都有私有地址，在做网络设计时要根据企业的网络情况进行选择。

其中，A类私有地址范围为10.0.0.0--10.255.255.255，能容纳1亿多个主机；B类私有地址范围为172.16.0.0--172.31.255.255，能容纳6万多个主机；C类私有地址为192.168.0.0--192.168.255.255，每个网络能容纳254个主机。

根据企业的规模，我们选择了B类地址172.16.0.0/16作为企业网络的地址。

3、IP子网划分

为提高网络的性能，在企业内使用VLAN技术，这就需要对所选的网络进行子网划分。

为了便于管理，每个部分都分配一个单独的子网。

所以该企业子网划分的情况、子网分配以及VLAN分配情况如下表所示：

子网划分与子网分配表

部门

子网

子网掩码

对应VLAN

网管中心

172.16.1.0

255.255.255.0

vlan1

财务部

172.16.2.0

255.255.255.0

vlan20

人力资源部

172.16.3.0

255.255.255.0

vlan30

综合管理部

172.16.4.0

255.255.255.0

vlan40

市场部

172.16.5.0

255.255.255.0

vlan50

研发部

172.16.6.0

255.255.255.0

vlan60

保安部

172.16.7.0

255.255.255.0

vlan70

生产部

172.16.8.0

255.255.255.0

vlan80

核心—出口路由器

172.16.0.0

255.255.255.0

4、VLAN划分

在核心交换机和汇聚层交换机上划分VLAN，并分配相应端口，具体如下表所示：

核心交换机与汇聚层交换机VLAN划分表

交换机

VLAN

端口

核心交换机

vlan1

F0/1（T）、F0/2（T）、F0/3（T）、F0/4-23

vlan20

F0/1（T）、F0/2（T）、F0/3（T）

vlan30

F0/1（T）、F0/2（T）、F0/3（T）

vlan40

F0/1（T）、F0/2（T）、F0/3（T）

vlan50

F0/1（T）、F0/2（T）、F0/3（T）

vlan60

F0/1（T）、F0/2（T）、F0/3（T）

vlan70

F0/1（T）、F0/2（T）、F0/3（T）

vlan80

F0/1（T）、F0/2（T）、F0/3（T）

一楼汇聚交换机

vlan1

F0/24（T）、F0/2（T）、F0/3（T）、F0/9-23

vlan70

F0/24（T）、F0/2（T）、F0/3（T）、F0/1-4

vlan80

F0/24（T）、F0/2（T）、F0/3（T）、F0/5-8

二楼汇聚交换机

vlan1

F0/24（T）、F0/2（T）、F0/3（T）、F0/9-23

vlan50

F0/24（T）、F0/2（T）、F0/3（T）、F0/1-4

vlan60

F0/24（T）、F0/2（T）、F0/3（T）、F0/5-8

三楼汇聚交换机

vlan1

F0/24（T）、F0/2（T）、F0/3（T）、F0/13-23

vlan20

F0/24（T）、F0/2（T）、F0/3（T）、F0/1-4

vlan30

F0/24（T）、F0/2（T）、F0/3（T）、F0/5-8

vlan40

F0/24（T）、F0/2（T）、F0/3（T）、F0/9-12

5、网络设备与测试主机地址分配

在网络规划完成后，就可以对各个网络设备和测试主机分配IP地址，在此网络中，IP地址分配如下。

设备、服务器与VLAN的IP分配表

接口或VLAN

IP地址

子网掩码

对应VLAN

核心交换机F0/24

172.16.0.1

255.255.255.0

路由器F0/0

172.16.0.2

255.255.255.0

路由器F0/0

202.101.0.1

255.255.255.240

一楼汇聚交换机管理IP

172.16.1.101

255.255.255.0

二楼汇聚交换机管理IP

172.16.1.102

255.255.255.0

三楼汇聚交换机管理IP

172.16.1.103

255.255.255.0

vlan1

172.16.1.1

255.255.255.0

vlan1

vlan20

172.16.2.1

255.255.255.0

vlan20

vlan30

172.16.3.1

255.255.255.0

vlan30

vlan40

172.16.4.1

255.255.255.0

vlan40

vlan50

172.16.5.1

255.255.255.0

vlan50

vlan60

172.16.6.1

255.255.255.0

vlan60

vlan70

172.16.7.1

255.255.255.0

vlan70

vlan80

172.16.8.1

255.255.255.0

vlan80

Web服务器

172.16.1.2

255.255.255.0

vlan1

FTP服务器

172.16.1.3

255.255.255.0

vlan1

DHCP服务器

172.16.1.4

255.255.255.0

vlan1

测试主机IP分配表

部门

IP地址

子网掩码

网关

财务部

172.16.2.100

255.255.255.0

172.16.2.1

人力资源部

172.16.3.100

255.255.255.0

172.16.3.1

综合管理部

172.16.4.100

255.255.255.0

172.16.4.1

市场部

172.16.5.100

255.255.255.0

172.16.5.1

研发部

172.16.6.100

255.255.255.0

172.16.6.1

保安部

172.16.7.100

255.255.255.0

172.16.7.1

生产部

172.16.8.100

255.255.255.0

172.16.8.1

6、服务器私有地址与公网地址对照表

服务器

私有地址

子网掩码

公网地址

Web服务器

172.16.1.2

255.255.255.0

202.101.0.2

FTP服务器

172.16.1.3

255.255.255.0

202.101.0.3

4.4设备配置

4.4.1核心交换机配置

核心交换机用于连接出口路由器、各汇聚层交换机，在该交换机上主要配置VLAN，VLAN路由以及与出口路由器通信的OSPF路由协议。

1、配置交换机设备名称、远程登录口令和特权口令

configureterminal

hostnamehexin

linevty016

passwordcisco

login

exit

enablesecretcisco

end

2、配置VLAN并分配端口

configureterminal

vlan10

exit

interfaceFastEthernet0/23

switchportacessvlan10

exit

vlan20

exit

vlan30

exit

vlan40

exit

vlan50

exit

vlan60

exit

vlan70

exit

vlan80

end

3、设置与汇聚层交换机相连接口的接口模式

configureterminal

interfaceFastEthernet0/1

switchportmodetrunk

exit

interfaceFastEthernet0/2

switchportmodetrunk

exit

interfaceFastEthernet0/3

switchportmodetrunk

exit

4、配置各个vlan的IP，即各网段的网关

configureterminal

interfacevlan1

ipaddress172.16.1.1255.255.255.0

noshutdown

exit

interfacevlan20

ipaddress172.16.2.1255.255.255.0

noshutdown

exit

interfacevlan30

ipaddress172.16.3.1255.255.255.0

noshutdown

exit

interfacevlan40

ipaddress172.16.4.1255.255.255.0

noshutdown

exit

interfacevlan50

ipaddress172.16.5.1255.255.255.0

noshutdown

exit

interfacevlan60

ipaddress172.16.6.1255.255.255.0

noshutdown

exit

interfacevlan70

ipaddress172.16.7.1255.255.255.0

noshutdown

exit

interfacevlan80

ipaddress172.16.8.1255.255.255.0

noshutdown

end

5、配置与出口路由器相连的接口为路由器，并配置IP地址

configureterminal

interfaceFastEthernet0/24

noswitchport

ipadderss172.16.0.1255.255.255.0

noshutdown

end

6、配置OSPF路由协议

configureterminal

routerospf1

network172.16.0.00.0.255.255area0

end

4.4.2汇聚层交换机配置

汇聚层交换机主要是配置VLAN，并将相应端口分配到VLAN中；为了方便远程管理，汇聚层交换机也必须需要远程登录口令、特权口令和远程管理IP。

1、一楼汇聚交换机：

该交换机连接着生产部和保安部两个部门，在该交换机上配置两个vlan，并分配相应的端口。

（1）配置交换机设备名称、远程登录口令、特权口令和远程管理IP。

configureterminal

hostname1Lou

linevty016

passwordcisco

login

exit

enablesecretcisco

interfacevlan1

ipaddress172.16.1.101255.255.255.0

noshutdown

end

（2）配置vlan，并分配端口

configureterminal

vlan70

exit

interfacerangefastEthernet0/1-4

switchportacessvlan70

exit

vlan80

exit

interfacerangefastEthernet0/5–8

vlan80

end

（3）配置与核心交换机相连的端口为trunk

configureterminal

interfacefastEthernet0/24

switchportmodetrunk

end

2、二楼汇聚交换机：

该交换机连接着市场部和研发部两个部门，在该交换机上配置两个vlan，并分配相应的端口。

（1）配置交换机设备名称、远程登录口令、特权口令和远程管理IP。

configureterminal

hostname2Lou

linevty016

passwordcisco

login

exit

enablesecretcisco

interfacevlan1

ipaddress172.16.1.102255.255.255.0

noshutdown

end

（2）配置vlan，并分配端口

configureterminal

vlan50

exit

interfacerangefastEthernet0/1-4

switchportacessvlan50

exit

vlan60

exit

interfacerangefastEthernet0/5–8

vlan60

end

（3）配置与核心交换机相连的端口为trunk

configureterminal

interfacefastEthernet0/24

switchportmodetrunk

end

3、三楼汇聚交换机：

该交换机连接着财务部、人力资源部和综合管理部三个部门，在该交换机上配置三个vlan，并分配相应的端口。

该交换机连接着生产部和保安部两个部门，在该交换机上配置两个vlan，并分配相应的端口。

（1）配置交换机设备名称、远程登录口令、特权口令和远程管理IP。

configureterminal

hostname3Lou

linevty016

passwordcisco

login

exit

enablesecretcisco

interfacevlan1

ipaddress172.16.1.103255.255.255.0

noshutdown

end

（2）配置vlan，并分配端口

configureterminal

vlan20

exit

interfacerangefastEthernet0/1-4

switchportacessvlan20

exit

vlan30

exit

interfacerangefastEthernet0/5–8

vlan40

exit

interfacerangefastEthernet0/9–12

vlan40

end

（3）配置与核心交换机相连的端口为trunk

configureterminal

interfacefastEthernet0/24

switchportmodetrunk

end

4.4.3出口路由器配置

出口路由器主要是实现内网与Internet网的路由NAT转换，实现内网访问Internet。

为了实现该路由器与核心交换机的通信，在出口路由器配置OSPF协议；并配置缺省路由，实现内外网的访问；配置访问控制列表，控制外网对内网的访问。

1、配置设备名称、特权口令和远程登录口令

configureterminal

hostnameChuKou

linevty015

passwordcisco

login

exit

enable

enablesecretcisco

2、配置路由器接口IP地址

configureterminal

interfaceFastEthernet0/0

ipaddress172.16.0.2255.255.255.0

noshutdown

exit

interfaceFastEthernet0/1

ipaddress202.101.0.1255.255.255.0

noshutdown

end

3、配置OSPF路由协议

configureterminal

routerospf1

network172.16.0.00.0.255.255area0

end

4、配置缺省路由，并向OSPF注入缺省路由

configurete