中小型园区网的设计与实现21634文档格式.docx
《中小型园区网的设计与实现21634文档格式.docx》由会员分享,可在线阅读,更多相关《中小型园区网的设计与实现21634文档格式.docx(20页珍藏版)》请在冰豆网上搜索。
采用积木式模块组合和结构化设计,使系统配置灵活,满足企业逐步到位的建网原则,使网络具有强大的可增长性和强壮性。
(5)、发展性:
网络规划设计既要满足用户发展在配置上的预留,又能满足因技术发展需要而实现低成本扩展和升级的需求。
(6)、可靠性:
具有容错功能,管理、维护方便。
方案的设计、选型、安装、调试等各环节进行统一规划和分析,确保系统运行可靠。
2.3基本建设描述
首先了解企业的具体需求,根据企业办公室PC机的多少来决定网络信息点数目,主干光纤的铺设也要考虑企业办公大楼和工厂车间的具体位置,要求在合理的位置放置硬件设备,并通过网络铺设将企业中的每一个信息点连接到局域网,然后通过路由器,防火墙,连接到外网,外网地址采用电信提供的网络地址,企业内部采用私有IP。
第3章需求分析
3.1企业背景
该企业拥有青岛总部、上海子公司和深圳生产基地三处,需将三处网络连成一个整体,以达到共享信息资源,节约成本,提高生产效率。
其中青岛总部办公大楼10层,每层结构都一样,如下图所示(以2楼为例),即建筑平面示意图。
楼梯
201
203
205
207
209
211
213
215
217
5m
7m
走廊
3m
弱井电房
202
204
206
208
210
212
214
216
218
8m
59m
3.2网络需求分析
3.2.1该企业要求除财务部以外的所有电脑都要能够连接到INTERNET网络,建立一条高速的、多能的、可靠的、易扩展的主干网络,是企业网络设计的主要问题。
3.2.2要求财务部的电脑不允许上INTERNET,生产部和三个生产车间相互之间能够访问,行政部和总经理室可以跟除财务部外其他任何部门的电脑互访,除此之外其他部门只有部门内的电脑相互间可以访问,部门之间不可以访问;
3.2.3计算机网络系统,要求“千兆到骨干、百兆到桌面”,建成一个高可靠、高性能、可扩展的信息网;
3.2.4系统采用3层网络架构,PC机连接接入层交换机,根据企业各个部门及位置分布设置相应的汇聚层;
核心层交换机采用千兆三层路由交换机。
根据网络需求分析得到网络拓扑如下:
3.3综合布线需求分析
3.3.1总体需求
①满足主干1000Mbps,水平100Mbps交换到桌面的网络传输要求;
②主干光纤的配置冗余备份,满足将来扩展的需要;
③满足与电信及自身专网的连接;
④信息点功能可随需要灵活调整;
⑤兼容不同厂家、不同品牌的网络设备;
3.3.2功能需求:
本设计中的综合布线系统应当能满足下述通信需要:
电话;
计算机网络;
具备实现视频传输的条件;
其他符合布线标准的信号、数据传输;
3.3.3性能需求:
有服务效率、服务质量、网络吞吐率、网络响应时间、数据传输速度、资源利用率、可靠性、性能/价格比等;
①根据本工程的特殊性,语音点和数据点使用相同的传输介质,即统一使用超5
类4对双绞电缆,以实现语音、数据相互备份的需要;
②对于网络主干,数据通信介质全部使用光纤,语音通信主干使用大对数电缆;
光缆和大对数电缆均留有余量;
③对于其他系统数据传输,可采用超5类双绞线或专用线缆;
④支持目前水平100M、主干1000M的网络应用,及未来扩展的需要
3.3.4环境需求:
主要指地理分布,用户数量及其位置,用户之间的距离,用户群的组织特点,还有
特殊的限制(如电缆等介质的布线是否有禁区)等;
本工程中,布线主要在室内,在工地现场勘测时没有发现有特殊限制等。
3.3.5其他需求:
①按有效面积,每十平方米设一个语音点和一个数据点;
②要求工程能够满足未来20年的需求;
③每个信息点能够灵活的应用,可随时转换接插电话、微机或数据终端、门禁、消
防等;
④设备间放在2楼的弱电井房,其他楼层的弱电井房为楼层配线间,
配线间都使用立式机柜,机柜放在弱电井下侧;
⑤信息点分布在各个房间中。
3.4网络中心组建需求分析
根据企业信息点的分布,考虑在整个网络架构上采用先进的交换式以太网,系统架构分二层,分别为核心层和接入层,核心层实现提供整个网络的中心多层路由、数据快速交换功能;
接入层交换机的作用是提供足够多的端口,将终端联入INTERNET。
根据综合布线的科学性、可扩展性和经济性,将中心交换机放置在企业办公大楼1层的配线间,路由器选用CISCO3825,带内置防火墙,用于对外来的数据进行过滤,限制本地用户登陆非法网站等等。
核心层交换机采用CISCOWS-3560G-24TS-S,这是一款适用于小型企业LAN接入或分支机构环境的理想交换机,将10/100/1000和PoE配置相结合,提供了最高生产率和投资保护,并支持新应用,如IP电话、无线接入、视频监视、建筑物管理系统和远程视频售货亭等的部署。
客户可在整个网络范围中部署智能服务-如高级服务质量(QoS)、限速、访问控制列表(ACL)、组播管理和高性能IP路由,且同时保持LAN交换的简洁性。
办公大楼每层配线间放置3台接入层交换机,选用CISCOWS-C2560-24。
路由器和交换机、交换机和交换机之间的都使用多模光纤连接,接入层交换机到PC之间使用5类双绞线连接,这样就可以保证千兆主干网,百兆到桌面的设计要求。
第4章设计思想
在整个企业网络的物理连接完成之后,接下来进一步的工作是整个网络在物理连接之上的实现。
这个过程主要是从网络管理的有效性、安全性方面进行逻辑的划分。
实际上其主要内容是在可管理的交换机上,很好的实现IP地址分配、子网划分和VLAN的管理配置。
4.1划分子网
一个单位在一个网络号下有大量的计算机时,并不便于管理,可以根据单位所属的部门或其地理分布位置等来划分子网,在本设计方案中是根据部门来划分子网的,划分子网也就分割了广播域。
划分子网的目的:
1.减少网络流量、2.提高网络性能、3.简化管理、4.易于扩大地理范围
4.2划分VLAN
4.2.1什么是VLAN?
VLAN(VirtualLocalAreaNetwork)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。
一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。
VLAN的组建需要一定的条件做基础,VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。
当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成。
从技术及成本两个层面考虑,
选用支持VLAN的三层交换机比较适宜。
VLAN在逻辑上等价于广播域。
更具体的说,将VLAN类比成一组最终用户的集合。
这些用户可以处在不同的物理LAN上,但他们之间可以象在同一个LAN上那样自收通信而不受物理位置的限制。
网络的定义和划分与物理位置和物理连接是没有任何必然联系的。
4.2.2VLAN划分的几点好处
a、有效的带宽利用—通过将网络分成小的广播域或子网,VLAN解决了在大型“平”网络中发现的扩展性问题,将所有的数据流,包括广播或多点广播,都别限制在子网中。
b、安全性—通过在VLAN间强迫进行第三层路由选择,VLAN提供了安全性。
如果配置了VLAN间通讯,可以使用路由器传统的安全和功能。
c、负载均衡多条通信—VLAN允许第三层路由选择协议智能决定到达目的地的最佳路径,当有多条到达目的地的路径时,还能够进行负载均衡。
d、对故障组建的隔离—减少网络故障的影响。
4.2.3设置VLAN的常用方法
VLAN的划分可依据不同原则,一般有以下三种划分方法:
1、基于端口的VLAN划分
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。
该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
2、基于MAC地址的VLAN划分
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。
MAC地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标识。
网络管理员可按MAC地址把一些站点划分为一个逻辑子网。
3、基于路由的VLAN划分
路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。
该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
本设计方案主要采用1、3种方式进行划分,将每个部门划分为一个VLAN,总经理室和行政部划分到一个VLAN,生产车间和生产部划分到一个VLAN,在汇聚层交换机CISCO3560上进行端口配置,进行VLAN划分。
4.3连接广域网
应用路由设备对广域网进行连接,路由器选用Cisco公司的CISCO3825,带内置防火墙,用于对外来的数据进行过滤,限制本地用户登陆非法网站等等。
支持VPN支持,可以通过帧中继、电话拨号、ISDN等方式进行联网。
路由协议考虑使用OSPF、RIP等路由协议。
路由设备可通过广域网远程配置及管理。
VLAN划分解决了企业各个部门的网络划分,限制了广播域,充分的利用了网络资源,对企业网络做进一步配制,如对于路由器的访问控制列表的简单配置,可以控制流经路由器的数据包,通过访问控制列表的简单配置可以简单的实现防火墙的功能,对网络中的数据包进行阻挡,对于从端口进入的数据包,路由器先对其进行访问控制列表检查,如符合拒绝条件的,则将数据包丢弃;
如符合允许条件,在进行路由进程,在网络中查找目的网络地址,以决定如何处理该数据包。
4.4网络安全控制及管理
4.4.1在计算机网络系统中,根据系统的具体情况,部署防病毒、防火墙、访问控制、黑客入侵检测和VPN等系统,在最关键的部位保护最关键的资源。
4.4.2在所有的含有关键业务数据或提供重要服务的服务器上安装主机核心防护产品,提供对服务器的强力安全防护。
4.4.3在系统中安装和部署客户端、服务器、邮件系统的防毒产品,从而构筑起病毒防御体系,有效的抵御和防范病毒的侵袭。
4.4.4配备网关级过滤:
网关级过滤的作用是保护内部的信息系统免受来自外部的恶意代码的攻击。
它应该处于防火墙的后面,用来进一步控制外部对内部的恶意访问。
网关级过滤机制包括网关级防病毒过滤、垃圾邮件和非法信息过滤、恶意代码过滤。
第5章具体实现
5.1子网及IP地址分配,VLAN划分
该企业每个部门分配一个C类网段,三个车间分配一个C类网段
IP地址规划表详单:
VLAN
部门名称
IP网段
默认网关
说明
Vlan10
销售部
192.168.10.0/24
192.168.10.254
青岛
Vlan11
财务部
192.168.11.0/24
192.168.11.254
Vlan20
行政部
192.168.20.0/24
192.168.20.254
Vlan30
客服部
192.168.30.0/24
192.168.30.254
Vlan31
技术部
192.168.31.0/24
192.168.31.254
Vlan100
服务器
192.168.100.0/24
192.168.100.254
Vlan40
财政部
192.168.40.0/24
192.168.40.254
上海
Vlan50
192.168.50.0/24
192.168.50.254
Vlan60
192.168.60.0/24
192.168.60.254
Vlan70
192.168.70.0/24
192.168.70.254
Vlan71
技术部
192.168.71.0/24
192.168.71.254
Vlan200
192.168.200.0/24
192.168.200.254
Vlan80
车间1
192.168.80.0/24
192.168.80.254
深圳
Vlan90
车间2
192.168.90.0/24
192.168.90.254
研发部
Vlan111
采购部
192.168.111.0/24
192.168.111.254
Vlan112
192.168.112.0/24
192.168.112.254
Vlan113
192.168.113.0/24
192.168.113.254
5.2设备配置及综合布线
一个性能优良的网络都应该是一个分层的设计。
这样不但简化了交换网络的设计,同时也提高了交换网络的可靠性和可扩展性,我们一般将其分为三层设计模型。
分别是接入层,核心层。
因该公司分为青岛、上海、深圳三个基地配置基本相同,下面我们将以青岛总公司的网络设备配置和管理为例进行论述。
接入层交换机是为所有的终端用户提供一个接入点。
我们采用的是CiscoWS-C2950-24交换机拥有24个10/100M的自适应快速以太网端口,这里我们有4台接入层交换机。
接下来我们将以其中一台接入层交换机(QSW1)进行配置作为示例。
进入交换机的配置界面(CLI)我们一般常采用的有两种方法:
1.利用反转线直接和交换机的控制端口相连
2.远程登录
我们主要进行如下一些配置:
1.设置交换机的名称
Switch(config)#hostnameQSW1
QSW1(config)#
2.设置交换机密码
QSW1config)#enablesecretcisco
3.设置登陆虚拟终端
QSW1(config)#linevty015
QSW1(config-line)#login
QSW1(config-line)#passwordcisco
4.设置虚拟终端超时时间
QSW1config-line)#exec-timeout530
5.设置控制台终端超时时间
QSW1(config)#linecon0
QSW1(config-line)#exec-timeout530
6.禁用IP地址解析特性
当我们向交换机输入一条错误的指令的时候,交换机就会将该信息广播给网络上的DNS服务器,并试图把它解析成IP地址。
QSW1config)#noipdomain-lookup
7.启用消息同步特性
为了防止我们向交换机输入的指令被交换机产生的信息打乱。
我们启用消息同步特性。
QSW1(config)#loggingsynchronous
8.为了能够对交换机进行远程管理,必须给交换机设置一个管理用的IP地址。
这种情况下,实际上是将交换机看成和PC机一样的主机。
而每台交换机都有一个用来进行管理的默认VLAN即VLAN1,VLAN1也称为管理VLAN。
这里为QSW1的管理IP设置为,具体配置如下命令:
QSW1(config)#interfacevlan1
QSW1config-if)#ipaddress
QSW1(config-if)#noshutdown
为了能让管理人员在不同的子网中管理此交换机,还应该设置默认网关,在这里为其设置成为,命令如下:
QSW1(config)#ipdefault-gateway
9.将QSW1设置成为VTP(vlantrunkingprotocol)的客户机,(VTP即vlan生成树协议,使得vlan客户机可以从vlan服务机上获得vlan信息,这样就不必为每台交换机配置vlan,大大减轻了网络管理人员的工作负担,同时也减少了在不同交换机上输入命令时出错的几率,保证了网络的正常运行)命令如下:
QSW1(config)#vtpmodeclient
QSW1(config)#vtpdomainqingdao
10.建立一个vlan11并将与客户机相连的端口f0/1设置为Access模式放在vlan11中。
在此将端口安全应用到interfaceFastEthernet0/1中。
将上连端口interfaceFastEthernet0/11和interfaceFastEthernet0/12配置为Trunk模式。
QSW1(config)#vlan11
QSW1(config)#interfaceFastEthernet0/1
QSW1(config-if)#switchportmodeaccess
QSW1(config-if)#switchportaccessvlan11
QSW1(config-if)#switchportport-security
QSW1(config-if)#switchportport-securitymac-addresssticky
QSW1(config-if)#switchportport-securityviolationrestrict
QSW1(config)#interfaceFastEthernet0/11
QSW1(config-if#switchportmodetrunk
QSW1(config)#interfaceFastEthernet0/21
QSW1(config-if)#switchportmodetrunk
11.配置生成树RSTP。
并将interfaceFastEthernet0/1设置Portfast特性,portfast的目的是尽量缩短Access端口等待STP收敛的时间。
启用Porfast的优势在于能够防止DHCP超时的问题。
以及启用BPDU防护:
能够防止交换设备意外地连接到启用了Portfast特性的端口,如果将交换机连接到启用了Portfast特性的端口,那么就可能导致第2层环路或拓扑变更。
QSW1(config)#sspanning-treemoderapid-pvst
QSW1(config-if)#sspanning-treeportfast
QSW1(config-if)#sspanning-treebpduguardenable
到此,对QSW1的配置基本上完成,以上仅完成部分部门的接入层配置,其他部门配置可参考以上的配置来进行,这里就不做重复的论述。
核心层交换机将各接入层交换机互连起来进行穿越园区网骨干的高速数据交换,在本企业网的设计中我们核心层交换机所采用的是CiscoWS-C3560-24PS交换机。
此处以QcoreSW1为例,对核心层交换机的配置命令如下:
1.配置核心层交换机QcoreSW1的基本参数
对核心层交换机QcoreSW1的基本参数的配置与接入层交换机QSW1的基本参数配置类似。
2.配置核心层交换的管理vlan和默认网关
QcoreSW1(config)#interfacevlan1
QcoreSW1(config-if)#ipaddress
QcoreSW1(config-if)#noshutdown
QcoreSW1(config-if)#exit
QcoreSW1(config)#ipdefault-network
3.配置核心层交换机为VTP服务器
QcoreSW1(config)#vtpmodesever
QcoreSW1(config)#vtpdomainqingdao
4.配置核心层交换机为DHCP服务器(以vlan11为例)
QcoreSW1(config)#ipdhcpexcluded-address
QcoreSW1(config)#ipdhcppoolcaiwu
QcoreSW1(dhcp-config)#network
QcoreSW1(dhcp-config)#default-router
QcoreSW1(dhcp-config)#dns-server
5.为QcoreSW1启用路由功能
QcoreSW1(config)#iprouting
QcoreSW1(config)#routerospf1
QcoreSW1(config-router)#networkarea0
6.配置RSTP生成树coreSW1为vlan10-11,20的根网桥,coreSW2为备份根网桥。
coreSW2为vlan30-31的根网桥,coreSW1为备份根网桥。
QcoreSW1(config)#spanning-treemoderapid-pvst
QcoreSW1(config)#spanning-treevlan10-11,20rootprimary
QcoreSW1(config)#spanning-treevlan30-31rootsecondary
到此,QcoreSW1的配置已经完成。
在本企业网中采用的是cisco3825的路由器,其主要作用是在企业网和ISP之间路由数据包。
还有充当防火墙的功能,配置如下:
1.配置路由器QDrouter的各接口参数
主要是对接口fastethernet0/0、fastethernet1/0以及接口serial2/0的IP地址、子网掩码的配置。
配置命令如下:
QDrouter(confi