网络设备调试综合实训.docx

网络设备调试综合实训.docx

《网络设备调试综合实训.docx》由会员分享，可在线阅读，更多相关《网络设备调试综合实训.docx（21页珍藏版）》请在冰豆网上搜索。

网络设备调试综合实训

网络设备调试综合实训

---可扩展企业网络系统设计与集成

组员：

班级：

课程名称：

网络设备调试综合实训

指导老师

提交日期：

前言

随着互联网的蓬勃发展，其巨大的潜力已经逐渐体现出来，一些互联网企业涉足传统产业已经取得了不菲的业绩，如运用网络概念多次融资，并利用网络优势通过并购的方式切入旅行服务行业的携程；其次，就是互联网在传播和获取信息上的优势；再者，就是企业想利用内外部网络进行有效的管理，提高管理效率：

上述三大因素可以看作企业建网的主要的原因。

因此，可以这样讲，企业建网的最终目的和它的经营策略是吻合的，就是通过网络来降低企业的管理成本和交易成本以及通过开展电子商务活动来获得更多的利润。

公司计划在近期内建设企业网络信息系统，在企业内部实现资源高度共享，为生产、办公、管理提供服务；实现办公自动化，提供总部与分部、分部与分部间通讯的出入口，提供电子函件、公告牌和办公信息查询等服务，提高工作效率和管理水平；及时、准确、可靠地收集、处理、存储、传输企业的办公、管理信息，完成与因特网的通讯和资源共享，实现企业资源和社会资源的有机结合；实现音频数字化资源共享、集中管理；建立企业网管理应用系统。

以顺应时代的发展趋势，充分利用现代化技术来进一步提高管理质量和办公效率。

公司网络支持的是一个不断多元化的网络应用系统设备组合，系统设备、管理者及使用者之间的联系必须是亲密无间的，自觉而透明的，从而具备较强的扩展性。

摘要

随着全球化和信息化进程的推进，企业越来越多的需要和外界发生行业内外的信息沟通。

现在，许多单位由于办公和科研的需要，购买了不少计算机。

并且一些单位开始意识到组建办公局域网的现实性和必要性。

组建企业局域网所涉及的方方面面很多，首先需要一个正确的设计规划，然后需要处理布线、网络设备选型与配置、服务器设备选型与配置、网络软件的安装等方面，这都需要按部就班的逐一实现，最后还需要进行正常的日常维护，本文就如何规划和设计企业局域网进行浅述。

本文首先从总体上对企业网的建设、目标、思路、国内外现状、技术和产品进行了分析研究，然后对具体业内部局域网的需求进行分析，确定企业网络拓扑结构、综合布线设计原则、中心机房规划与设计、网络设备选择等。

从各个方面对企业局域网建设提出了规划的方案，以期对企业局域网的建设做出贡献。

第1章网络设计原则与需求分析

1.1网络设计原则

为适应企业信息化的发展，满足日益增长的通讯需求和网络的稳定运行，今天的企业网络建设比传统企业网络建设提出更高的要求，主要表现在如下几个方面：

可管理

该企业网络是一个庞大而且复杂的网络，为了保障网络的正常使用以及设备的良好维护需要一个功能强大，具有分级、分权管理能力的网管系统，实现统一的网络业务调度和管理，降低网络运营成本。

同时由于企业网络的使用者数量较多，跨网络开展的业务众多，因此需要能够提供用户的高效管理，以确企业网络的信息安全。

可增值

企业网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。

所以在建设时要充分考虑业务的扩展能力，能提供丰富的宽带增值业务（如VoIP，IPV6等），全网支持IPV6，使网络能适应未来需求，节约各类费用。

确保新建网络在3～5年内的使用价值。

安全保密性

充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。

能有效通过软硬件相互联动，有效保证企业网的安全；选择设备必须具有较高的安全特性，如蠕虫病毒防御、ARP欺骗防御、防代理、防攻击扫描、防私设DHCP等功能，系统采用数字签名,安全认证,密码技术以及超级防火墙软件,代理服务器和VPN（虚拟隧道网络技术）等来确保网内安全。

对员工的上网行为进行实时记录，并保存到日志服务器。

可扩展与成熟性

企业网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，要具有可扩展性和可升级性。

随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。

经济性

在满足高性能价格比（高性价比）的前提下,选用物廉价美,经济实用的产品,以减少开支。

开放性

技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。

1.2网络项目背景

公司是一家中型企业，员工人数大约500人。

公司建筑是楼层建筑，共有1000多个信息点，包括可拓展点。

随着公司业务的发展，人员壮大，办公信息化以及自动化的需求，为提高公司各个部门间办公信息化，需要建立一个完善和稳定的企业网络。

企业网要保证整个企业信息点的互联、高效、安全，可支持上百个用户同时并发使用。

而且要求企业网具有可拓展性，支持未来的发展，高速的、冗余的、基于标准的网络。

公司现有五个部门，如下表：

网段描述

所需的IP地址数

财务部

100

人事部

100

设计开发部

200

工程部

200

市场销售部

200

公网IP地址

4

服务器

4

1.3网络系统需求分析

一、公司为中型企业，对网络带宽的要求较高，为保证网络视频、语音、图像等信息的传输顺畅，因此以1000Mb/s光纤作为主干和垂直布线，以百兆超五类双绞线作为水平布线，一次构建该企业网络。

二、一个完善的网络设计方案，应该考虑网络的拓展性。

因为随着企业的发展，规模增大，网络用户不断增加，从而保证网络的可拓展性则尤为关键。

在设计时应充分考虑未来的企业网拓展，保证设计的网络在未来随时拓展。

三、网络的安全性对于企业的发展至关重要，它包括网络安全漏洞的弥补，防攻击，信息传输安全，内部安全防范，网络防病毒，抵制无用信息，以及网络冗余能力、数据备份域灾难恢复等等。

这些因素在设计网络之前都要考虑在内。

第2章网络设计解决方案

2.1企业的基本应用

Intranet应用

公司立企业内部信息网站，为公司内部所有网上用户提供生产调度、产品营销、物资供应、商情信息、安全生产、科技动态、生产技术、环境保护等信息服务。

集团内部各部门可通过内部网站实现企业内部信息交流，主动地获取信息和提供信息。

Internet应用

Internet作为信息交流的基础设施，对信息技术的发展，信息市场的开拓，以及信息社会的形成都起着十分重要的作用。

公司所构造的网络正是通过Internet将企业内部与外界连接起来。

这样公司可为广大客户提供他们所关心的有关信息；在网络上提供WWW，E-mail等服务。

该网站可以包括：

综合信息、科技信息、企业动态、市场信息等栏目，内容可涉及公司生产经营、科研生产、产品价格和市场营销等方面。

并为电子商务打下基础。

2.2企业网络结构规划

我们将公司总部和分部的内部网络设计为两级层级：

（1）接入层

（2）核心层

这样规划一是能够有良好的层次感，利于实现较为复杂的网络功能要求；二是这样分层能够使每层的功能较容易实现也较清楚；三是采用这种分层方式可以支持较大的网络规模便于企业网的升级扩大。

接入层

接入层为用户提供对本地网段的访问，它的主要作用是将工作组计算机与汇聚层连接起来，主要完成逻辑网络分段，给予工作组或LAN隔离广播通信以及在多个CPU之间分布服务。

其特点有以下几点：

●提供不同数量的100M端口到用户，提供1000M上行链路端口到汇聚层交换机。

●成本低，所有端口支持全线速二层交换。

●网络设备扩展性好，可平滑升级。

核心层

核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。

网络的控制功能最好尽量少在骨干层上实施。

核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。

核心层设备将占投资的主要部分。

在设计核心层结构时，还应该充分考虑到以下几点因素：

（1）汇聚层交换机要有充足的带宽。

（2）必须具有冗余和流量均衡的功能。

（3）能够实现各种安全策略以保证网络的安全和数据包转发的合理，置多层交换机最佳，以方便网络的扩展。

2.3网络拓扑设计

通过我们的讨论，公司总拓扑设计，如下图：

2.4网络设备选型

网络设备选型要遵循以下原则：

●代表目前网络系统设备的先进水平。

●具备较强的安全性。

●具备优良的RAS性能--可靠性、可用性、可维护性。

●具备优良的可扩充性和升级能力。

●具备优良的性能价格比，根据现在的需求和可以预见的需求增长情况设计网络，不追求空洞的技术先进性，避免追求高档和最新技术花费的巨大代价。

2.4.1路由器选择:

H3CSR8812,如图：

H3CSR8812详细参数

基本参数

路由器类型

多业务路由器

端口结构

模块化

扩展模块

2个主控板槽位数+12个业务板槽位数

包转发率

864Mpps

功能参数

防火墙

内置防火墙

Qos支持

支持

VPN支持

支持

其他参数

电源电压

AC100-240V

DC-48--60V

产品尺寸

436×753×450mm

产品重量

≤120kg

环境标准

工作温度：

0-45℃

工作湿度：

10%-90%（无凝结）

存储温度：

-40-70℃

存储湿度：

5%-95%（无凝结）

保修信息

保修政策

全国联保，享受三包服务

质保时间

1年

质保备注

1年免费保修

客服电话

400-810-0504

2.4.2交换机选择：

华为QuidwayS2326TP-EI（AC），如图：

华为QuidwayS2326TP-EI（AC）详细参数

主要参数

产品类型

运营级接入交换机

应用层级

二层

传输速率

10/100Mbps

交换方式

存储-转发

背板带宽

32Gbps

包转发率

6.6Mpps

MAC地址表

8K

端口参数

端口结构

非模块化

端口数量

26个

端口描述

24个10/100Base-TX端口，2个千兆Combo口

传输模式

全双工/半双工自适应

功能特性

网络标准

IEEE802.3，IEEE802.3u，IEEE802.3ab，IEEE802.3z，IEEE802.3x，IEEE802.1Q

堆叠功能

可堆叠

VLAN

支持基于MAC地址的VLAN

基本QinQ

1:

1VLAN交换

N:

1VLAN交换

QOS

支持端口限速和流限速

支持每端口4个不同优先级的队列

支持根据报文802.1p映射到不同队列

支持SP、WRR、SP+WRR算法

支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、四层端口、协议类型、VLAN、以太网帧协议、CoS等信息的流分类

支持基于流的标记优先级、报文重定向

组播管理

支持IGMPv1/v2/v3Snooping

支持捆绑端口的组播负载分担

支持基于端口的组播流速率限制和流量统计

网络管理

支持堆叠

支持自动配置功能

支持CLI配置

支持Telnet远程配置

支持SNMPV1/V2/V3

支持RMON

支持集群管理HGMPV2

支持SSHV2

支持WEB管理特性

支持GVRP协议

安全管理

支持802.1x，支持单端口最大用户数限制

支持动态ARP检测

支持IPSourceGuard功能

支持AAA认证，支持Radius、HWTACACS+、NAC等多种方式

支持IP、MAC、端口、VLAN的组合绑定

支持端口限速

支持端口隔离、端口安全、StickyMAC

支持包过滤

支持MAC地址过滤

支持多播、广播及未知单播报文抑制

支持MAC地址学习数目限制

支持CPU保护功能

其它参数

电源电压

AC100-240V

产品尺寸

442×220×43.6mm

产品重量

<2.4kg

环境标准

工作温度：

0-50℃

工作湿度：

10%-90%

存储温度：

-5-55℃

存储湿度：

10%-90%

2.4.3核心交换机选择：

华为QuidwayS9306，如图：

华为QuidwayS9306详细参数

主要参数

产品类型

路由交换机

应用层级

三层

交换方式

存储-转发

背板带宽

6Tbps

包转发率

1152Mpps

端口参数

端口结构

模块化

扩展模块

6个业务槽位

功能特性

VLAN

支持Access、Trunk、Hybrid方式

支持defaultVLAN

支持VLAN交换

支持QinQ、增强型灵活QinQ

支持基于MAC的动态VLAN分配

QOS

支持基于Layer2协议头、Layer3协议、Layer4协议、802.1p优先级等的组合流分类

支持ACL、CAR、Remark、Schedule等动作

支持PQ、WRR、DRR、PQ+WRR、PQ+DRR等队列调度方式

支持WRED、尾丢弃等拥塞避免机制

支持H-QOS

支持流量整形

组播管理

支持IGMPv1/v2/v3、IGMPv1/v2/v3Snooping

支持PIMDM、PIMSM、PIMSSM

支持MSDP、MBGP

支持用户快速离开机制

支持组播流量控制

支持组播查询器

支持组播协议报文抑制功能

支持组播CAC

支持组播ACL

网络管理

支持Console、Telnet、SSH等终端服务

支持SNMPv1/v2/v3等网络管理协议

支持通过FTP、TFTP方式上载、下载文件

支持BootROM升级和远程在线升级

支持热补丁

支持用户操作日志

安全管理

802.1x认证，Portal认证

支持NAC

支持RADIUS和HWTACACS用户登录认证

命令行分级保护，未授权用户无法侵入

支持防范DoS攻击、TCP的SYNFlood攻击、UDPFlood攻击、广播风暴攻击、大流量攻击

支持1KCPU通道队列保护

支持ICMP实现ping和traceroute功能

支持RMON

其它参数

电源电压

AC90-290V

DC-38.4--72V

电源功率

整机供电能力：

1600W，整机最大POE功率：

8800W

产品尺寸

442×476×442mm

产品重量

<30kg

2.5IP地址规划

IP地址的合理是保证网络顺利运行和网络资源有效利用的关键。

企业网IP地址的分配应该尽可能地利用申请到的地址空间，充分考虑到地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。

具体地来说IP地址的合理规划有如下的意义：

（1）减少对各种资源（内存、CPU的处理能力以及网络带宽等）的需求——IP地址的合理规划有利于网络中路由的汇聚，因而可以使得核心交换机中的路由表数目以及链路状态数据库等占用的内存减少，同时更新所占用的网络带宽也降低了；

（2）有利于IP地址空间的合理使用；

（3）优化业务流量的分布；

（4）有利于故障诊断。

根据国际互联网络技术发展的趋势，结合企业和分部的现实情况，我们建议IP地址规划遵循如下原则来设计：

（1）网络出口、对外服务器群采用公网IP地址；

（2）企业网所有网络设备均配置内部管理IP地址，防止非法用户登录。

（3）各接入点根据现有信息点数，并预留30-40％的扩容率，分配连续IP地址段；

（4）各核心节点下联各接入点分配连续IP地址段，统一在核心节点提供IP路由，并做路由聚合。

（5）各核心节点内部根据用户群体地理位置划分VLAN，并将VLAN网关IP设置在各核心节点交换机上。

经过我们的计算，将各部门ip地址分配如下表：

部门

IP地址网段

人数

默认网关

财务部

192.168.1.0/20

40

192.168.1.1

人事部

192.168.2.0/20

60

192.168.1.1

设计开发部

192.168.3.0/20

130

192.168.1.1

工程部

192.168.4.0/20

150

192.168.2.1

市场销售部

192.168.5.0/20

120

192.168.2.1

用户地址与VLAN划分：

Web服务器IP地址：

192.168.6.2/20

FTP服务器IP地址：

192.168.6.3/20

网关:

192.168.1.1192.168.1.2

邮件服务器IP地址：

192.168.6.4/20

以上部门的网关地址均为核心层连接端口地址，因为所采用的ip地址不在同一网段，所以vlan的配置可以省略，需要配置的有：

职工宿舍交换机、会议中心交换机、销售部交换机。

由于只有一台连接外网的线路，因此在此我们可以设置静态路由，但这种配置会冒极大的风险，一旦该线路出现故障，整个内网与外界的通讯将陷入瘫痪，所以在此我们需要设置备用网关，即与外网设置两条或多条线路，在多条线路间做负载均衡，详细在下面介绍。

第3章网络技术选型

3.1路由协议---OSPF

OSPF路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域内。

在这里，路由域是指一个自治系统（AutonomousSystem），即AS，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。

在这个AS中，所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。

作为一种链路状态的路由协议，OSPF将链路状态广播数据包LSA（LinkStateAdvertisement）传送给在某一区域内的所有路由器，这一点与距离矢量路由协议不同。

运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。

我们在公司总部和分部的核心层交换机及出口路由器上使用OSPF路由协议，以实现路由的动态更新，确保全网互通。

3.2VRRP（虚拟路由冗余协议）原理

VRRP给路由器组提供了一个冗余网关地址，它是一种容错协议，通过定义不同的组，不同优先级的路由器，它保证网络的主路由器失效时，可以及时的由备分来实现路由器来替代，从而保持通讯的连续性和可靠性。

并可以在该协议上实现负载均衡等高级交换特性。

VRRP技术的实现：

汇聚到核心冗余连接及VRRP的实现通过VRRP技术将多个设备虚拟成为一台逻辑设备，实现汇聚/接入链路冗余。

3.3RSTP、MSTP原理

RSTP协议完全向下兼容802.1DSTP协议，除了和传统的STP协议一样具有避免回路、提供冗余链路的功能外，最主要的特点就是“快”。

如果一个局域网内的网桥都支持RSTP协议且管理员配置得当，一旦网络拓朴改变而要重新生成拓朴树只需要不超过1秒的时间（传统的STP需要大约50秒）。

本交换机支持MSTP，MSTP是在传统的STP、RSTP的基础上发展而来的新的生成树协议，本身就包含了RSTP的快速FORWARDING机制。

由于传统的生成树协议与vlan没有任何联系，因此在特定网络拓朴下就会产生以下问题：

如下图所示，交换机A、B在vlan1内，交换机C、D在vlan2内，然后连成环路。

在某种情况的配置下，会造成把交换机A和B间的链路给DISCARDING.由于交换机C、D不包含vlan1，无法转发vlan1的数据包，这样交换机A的vlan1就无法与交换机B的vlan1进行通讯。

在网络末梢，连接到单个工作站的时候，是不可能形成桥接环路的。

在接口上启用了portfast特性，可以使交换机端口立即变为转发状态，提高了网络的响应速度及收敛时间。

基于RSTP的交换机高级特性Uplinkfast在网络中的应用

考虑到有冗余上行连接的网络，使用冗余连接到上层交换机，通常情况下一个上行连接处于转发状态，另一个处于阻塞状态，如果主上行连接断开，在使用冗余连接之前所经历的时间高达50S

在使用Uplinkfast之后，使的具有冗余上行连接的交换机具有根端口失效时，另一个阻塞的上行连接能够立即使用，这个时间大大缩小到1-5S之间，在校园网的特殊环境之下，能大大增强网络的稳定性，加快网络收敛。

3.4NAT的策略路由实现

在组建网络时，为了节约地址，我们在内部使用保留的私有地址段中的地址，但是使用私有地址不能访问Internet,所以必须申请多个公开地址配置在和Internet相连的局域网边缘设备上。

应用NAT进行地址转换。

NAT是网络地址翻译技术，在路由器上起用NAT之后，可以在部私有地址和外部公网地址之间做转换。

比如我们可以把网络内部使用的IP翻译成外部公网的IP。

配置基于策略的路由选择时，可使用路由映射表来指定基于IP地址，应用程序，协议或者分组长度的条件。

基于策略的路由选择命令对中选的路由实现策略。

基于策略的路由和静态路由有很多共同之处。

然而，静态路由根据目标网络地址来转换分组，而策略路由根据源地址来转发分组。

在路由选择表中使用访问列表时，可根据诸如目标地址，分组长度，IP协议字段，优先级或端口号来转发数据流。

这样可以指定范围更广泛，更细致的条件，并根据这些条件来决定下一跳路由器。

3.5ACL访问控制策略

访问列表为我们提供了一种对网络访问进行有效管理的方法，通过访问列表，我们可以设置允许或拒绝数据包通过路由器，或者允许或者拒绝具体的某些端口进行访问和使用，如果满足条件则执行相应的操作，放行这个包或者放弃这个包。

我们通过这些设置来满足实际网络的灵活需求，从而达到设置网络安全策略，防止网络中的敏感设备受到非授权访问的情况。

在具体实现过程中从技术上来说我们需要了解到ACL分为两种类型,他们分别是标准访问列表（Standardaccesslists）和扩展访问列表（Extendsaccesslists）前者在过滤网络的时候只使用IP数据报的源地址，那么在使用这种访问列表的情况下它做出允许或者拒绝这个决定完全是依赖于源IP地址，它无法区分具体的流量类型。

而扩展访问列表则可以提供更细的决定，它可以具体到端口，从而精确到某一个服务，比如对WEB,FTP的访问等，给我们网络的策略提供了更细的控制手段。

我们利用这种访问列表进行协议级的控制以达到对网络一个有效的管理。

标准访问控制列表一般放在靠近目标的路由器上,而扩展访问控制列表一般放于近源端的路由器上。

3.6链路聚合

以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的伸缩性，比如可以把2个、3个、4个千兆的链路绑定在一起，使链路的带宽成倍增长。

链路聚合技术可以实现不同端口的负载均衡，同时也能够互为备份，保证链路的冗余性。

在这些千兆以太网交换机中，最多可以支持4组链路聚合，每组中最大4个端口。

链路聚合一般是不允许跨芯片设置的。

生成树协议和链路聚合都可以保证一个网络的冗余性。

在一个网络中设置冗余链路，并用生成树协议让备份链路阻塞，在逻辑上不形成环路。

而一