企业局域网规划方案.docx
《企业局域网规划方案.docx》由会员分享,可在线阅读,更多相关《企业局域网规划方案.docx(20页珍藏版)》请在冰豆网上搜索。
企业局域网规划方案
深圳职业技术学院
多
层
交
换
作
业
班级:
计算机网络技术132班
姓名:
冸欣欣
一、摘要………………………………………………………………..3
二、需求分析与设计原则………………………………………………4
三、设计方案....................................................................................5
四、VLAN划分和IP地址规划………………………………………10
五、设备选型和报价…………………………………………………..11
六、接入层配置..............................................................................13
七、分布层配置..............................................................................14
八、核心层配置..............................................................................16
九、出口路由配置..........................................................................17
摘要
本设计方案是关于小型企业局域网的设计,设计方案分为三个模块:
交换模块、Internet接入模块、远程访问模块。
根据各部门职能不同把交换模块划分为不同的VLAN,从而减少了广播冲突提高了传输效率,通过部署ACL限制用户的访问,有效地保护敏感数据,提高了网络安全性。
借助三层交换机的路由功能,可以实现各VLAN间数据包高速转发,解决VLAN之间的传输瓶颈。
Internet接入模块功能主要通过路由器来实现,它的作用主要是建立外网和企业网的正常通信。
使企业网的用户访问Internet同时Internet用户能在一定程度上访问企业网。
通过配置NAT(NetAddressTranslation),不仅是企业网用户可以访问Internet,而且对外隐藏企业网内部地址,从而实现地址保护。
远程访问模块是针对移动用户设计的。
通过VPN(VirtualPrivateNetwork)技术可以在公共网络的两个端点间建立一条逻辑连接,使在外办公人员可以通过Internet访问公司内部网,极大地提高了办公效率,同时免去了高昂的专线租用费用。
关键字:
企业局域网、虚拟局域网、网络地址转换
一、需求分析与设计原则
1.1概述
在这信息爆炸的时代,计算机扮演着越来越重要的角色,面对庞大的计算机群,网络的规划、管理、安全成为首要任务。
通过本次设计与研究,将局域网技术应用于企业,使得企业办公自动化,信息网络化,资源共享,向网络化经济迈进。
搭建完整的企业网络,能够提升员工的办公效率,能快速的共享资源,能便于管理,网络更能为企业带来全新的商机。
1.2需求分析
•当前局域网的流量特点:
主要是访问各种服务器(部门或者企业服务器),部门之间主机通信不多。
•保证可用,100M到桌面,1000M到服务器。
•三层结构,核心选用较高端设备,有较大的扩充性。
•接入和分布层以够用为原则,留有少量的扩充余地。
•主干实现冗余,访问层不考虑冗余。
1.3设计目标
•为公司设计合理的局域网规划方案,建设以下目标:
•网络总体建设成为信息一体化、管理集中化、业务多样化的公司局域安全网络。
•网络结构清晰,网络层次合理,便于扩展和维护。
•网络的接入满足公司的办公需求。
•网络设备具备高性能、高可靠性、高稳定性、高安全性。
•设施的配置选择要高性价比,性能参数、技术领先,售后保障强。
1.4设计原则
•
(1)、可管理性
•具有分级、分权管理能力的网管系统,实现统一的网络业务调度和管理,降低网络运营成本。
同时由于使用者数量巨大,网上开展的业务众多,因此需要能够提供用户的高效管理,以确保公司的利益不受损失。
•
(2)、可扩展性
•随着公司的发展,局域网络的接入会有所变动。
因此,网络应考虑其扩展的灵活性,增加冗余接口,方便用户的接入与退出。
•(3)、开放性
•技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护和管理手段,实现网络设备的统一管理。
•(4)、安全可靠性
•设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。
定时定期对网络检查,预防和提前发现隐患,及时解决。
•(5)、先进性。
•企业网络应能代表目前较为先进的网络技术,提供能够跟踪主流、前沿网络技术的综合网络环境,应与社会发展相适应。
所选网络设备要求支持协议类型丰富、配置灵活、可扩展性强、支持千兆交换、满足IPv6等网络技术研究的需求。
二、设计方案
1.网络拓扑设计
网络搭建采用模块化设计思想,网络使用“核心层——汇聚层——接入层”三层结构。
三层网络架构采用层次化模型设计,即将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。
三层网络架构设计的网络包括三个层次:
核心层(网络的高速交换主干)、汇聚层(提供基于策略的连接)、接入层(将工作站接入网络)。
核心层:
核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。
核心层应该具有如下几个特性:
可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。
在核心层中,应该采用高带宽的千兆以上交换机。
因为核心层是网络的枢纽中心,重要性突出。
核心层设备采用冗余备份是非常必要的,也可以使用负载均衡功能,来改善网络性能。
汇聚层:
汇聚层是网络接入层和核心层的“中介”,就是在工作站接入核心层前先做汇聚,以减轻核心层设备的负荷。
汇聚层具有实施策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。
在汇聚层中,应该选用支持三层交换技术和VLAN的交换机,以达到网络隔离和分段的目的。
接入层:
接入层向本地网段提供工作站接入。
在接入层中,减少同一网段的工作站数量,能够向工作组提供高速带宽。
接入层可以选择不支持VLAN和三层交换技术的普通交换机。
2.关键技术
2.1NAT技术
NAT技术主要实现内部网络地址转换,静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址,这样方便外网用户访问企业Web网;动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络;端口多路复用地址转换(PAT)是把内部地址映射到外部网络的一个IP地址的不同端口上,把企业内部网IP转换为公网IP地址,使内部用户可以方便的访问Internet。
目前,NAT技术主要用于连接和安全方面。
目前企业内部网络用户数量大,而能申请的合法的全球唯一IP地址有限。
NAT能够有效的解决企业IP地址短缺问题,利用NAT技术能够实现多个用户共同使用一个合法的IP地址连接互联网。
而另一种需要出于安全方面来考虑,在一定程度上防范网络攻击的发生。
企业期望隐藏LAN内部网络结构,NAT可以将内部LAN与外部Internet隔离,使外部网络用户无法了解通过NAT设置的内部IP地址。
NAT技术在企业中都采取两种技术类型结合应用,比较好的还是和端口复用地址转换。
结合起来的技术如:
端口复用地址转换、TCP/UDP端口NAT映射、静态地址转换+端口复用地址转换、动态地址转换+端口复用地址转换。
我们知道,不同应用程序使用TCP/UDP端口是不同的,例如,WEB服务器使用80、FTP服务使用21、SMTP服务使用25、POP3服务使用110等。
由于每种应用服务器都有自己默认的端口,所以这种NAT方式下,网络内部每种应用服务器成为Internet中的主机,例如,只能有一台WEB服务器、一台E-mail服务、一台FTP服务器。
尽管可以采用改变默认端口的方式创建多台应用服务器,但这种服务器在访问时比较困难,要求用户必须先了解某种服务采用的新TCP端口。
因此,可以将不同的TCP端口绑定至不同的内部IP地址,从而只使用一个IP地址,即可在允许内部所有服务器被Internet访问的同时,实现内部所有主机对Internet的访问。
2.2VLAN技术
根据各部门职能不同把各部门划入不同的VLAN减少了广播,提高了通信效率。
VLAN(VirtualLocalAreaNetwork)就是虚拟局域网的意思。
VLAN可以不考虑用户的物理位置,而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组,每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。
同一个VLAN中的成员都共享广播,形成一个广播域,而不同VLAN之间广播信息是相互隔离的。
这样,将整个网络分割成多个不同的广播域(VLAN)。
一般来说,如果一个VLAN里面的工作站发送一个广播,那么这个VLAN里面所有的工作站都接收到这个广播,但是交换机不会将广播发送至其他VLAN上的任何一个端口。
如果要将广播发送到其它的VLAN端口,就要用到三层交换机。
2.3三层交换技术
三层交换(也称多层交换技术,或IP交换技术)是相对于传统交换概念而提出的。
众所周知,传统的交换技术是在OSI网络标准模型中的第二层——数据链路层进行操作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。
简单地说,三层交换技术就是:
二层交换技术+三层转发技术。
三层交换技术的出现,解决了局域网中网段划分之后,网段中子网必须依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络传输瓶颈问题。
2.4ACL技术
控制访问列表(AccessControlList,ACL):
ACL可以限制网络流量、提高网络性能。
例如,ACL可以根据数据包的协议,指定数据包的优先级。
ACL提供对通信流量的控制手段。
例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段。
ACL允许主机A访问人力资源网络,而拒绝主机B访问。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。
例如:
某部门要求只能使用WWW这个功能,就可以通过ACL实现;又例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。
2.5路由协议
路由器提供了将异构网络互连起来的机制,实现将一个数据包从一个网络发送到另一个网络。
路由就是指导IP数据包发送的路径信息。
在互联网中进行路由选择要使用路由器,路由器只是根据所收到的数据报头的目的地址选择一个合适的路径,将数据包传送到下一个路由器,路径上最后的路由器负责将数据包送交目的主机。
数据包在网络上的传输就好像是体育运动中的接力赛一样,每一个路由器只负责将数据包在本站通过最优的路径转发,通过多个路由器一站一站地接力将数据包通过最优路径转发到目的地。
2.6PVST技术
每VLAN生成树(PVST)为每个在网络中配置的VLAN维护一个生成树实例。
它使用ISL中继和允许一个VLAN中继当被其它VLANs的阻塞时将一些VLANs转发。
尽管PVST对待每个VLAN作为一个单独的网络,它有能力(在第2层)通过一些在主干和其它在另一个主干中的不引起生成树循环的Vlans中的一些VLANs来负载平衡通信。
2.7EtherChannel:
交换机S1,S2之间有两条链路相连,如果捆绑在一起,成为一个逻辑聚合链路(trunk),不但增加带宽,并提供冗余容错的能力。
上连链路采用该技术,保证了带宽,也保证冗余、负载平衡。
三、VLAN划分和IP地址规划
IP地址是用户在网络中的主机标识。
在局域网中,常用私有地址来分配给内部网络中的主机使用,私有地址不仅成本低廉,也解决IPv4不足的问题。
对外部网络的访问则租用少量的公网地址,通过NAT技术来实现因特网的连接。
本次设计的VLAN划分采用基于端口的方式,这种划分方式方便快速,灵活性高。
表现为将各部门接入的接口集中,统一划分在一个VLAN分段里,具体划分如下表:
部门
VLAN
Ip地址
子网掩码
客服部
Vlan1
10.1.1.1——10.1.1.254
255.255.255.0
销售部
Vlan2
10.1.2.1——10.1.2..254
255.255.255.0
人事部
Vlan3
10.2.3.1——10.2.3.254
255.255.255.0
财务部
Vlan4
10.2.4.1——10.2.4.254
255.255.255.0
培训部
Vlan5
10.3.5.1——10.3.5.254
255.255.255.0
经理办公室
Vlan6
10.3.6.1——10.3.6.254
255.255.255.0
…
…
………
…
服务器
Vlan10
10.4.10.1——10.4.10.254
255.255.255.0
四、设备选型和报价
交换机类型:
思科(Cisco)WS-C2960+24TC-S24口百兆二层交换机
总价¥2339.00*96=224544
端口参数
∙端口结构非模块化
∙端口数量26个
∙端口描述24个以太网10/100Mbps端口,2个两用上行端口
∙传输模式全双工/半双工自适应
功能特性
∙网络标准IEEE802.3,IEEE802.3u,IEEE802.1x,IEEE802.1Q,IEEE802.1p,IEEE802.1D,IEEE802.1s,IEEE802.1w,IEEE802.3ad,IEEE802.3z
∙VLAN支持
∙QOS支持
∙网络管理Web浏览器,SNMP,CLI
其它参数
∙状态指示灯每端口,系统
∙电源功率30W
∙产品尺寸44×445×236mm
∙产品重量3.6kg
∙环境标准工作温度:
0-45℃
工作湿度:
10%-85%(非冷凝)
存储温度:
-25-70℃
存储湿度:
10%-85%(非冷凝)
思科(Cisco)WS-C3560X-24T-S24口千兆三层交换机
总价¥10196.00*8=81568
CISCOWS-C3560X-24T-S详细参数
主要参数
∙产品类型千兆以太网交换机
∙应用层级三层
∙传输速率10/100/1000Mbps
∙产品内存DRAM:
256MB
闪存:
64MB
∙交换方式存储-转发
∙背板带宽160Gbps
∙包转发率65.5Mpps
∙MAC地址表4K
端口参数
∙端口结构非模块化
∙端口数量24个
∙端口描述24个10/100/1000以太网端口
功能特性
∙网络标准IEEE802.1s,IEEE802.1w,IEEE802.1x,IEEE802.1x-Rev,IEEE802.3ad,IEEE802.1ae,IEEE802.3af,IEEE802.3at,IEEE802.3x,IEEE802.1D,IEEE802.1p,IEEE802.1Q,IEEE802.3
∙堆叠功能不可堆叠
∙VLANVLAN总数1005
VLANID数4K
其它参数
∙电源电压AC115-240V,50-60Hz,12-6A
∙电源功率350W
∙产品尺寸44.5×445×460mm
∙产品重量7kg
∙平均无故障时间208,218小时
∙环境标准相对湿度:
5%-95%,无冷凝
存储环境:
-40-70℃
思科(Cisco)WS-C6509-E=四层核心交换机
总价¥55938.00*2111876
CISCOWS-C6509-E详细参数
主
要
参
数
∙产品类型企业级交换机
∙应用层级四层
∙传输速率10/100/1000Mbps
∙交换方式存储-转发
∙背板带宽720Gbps
∙包转发率387Mpps
∙MAC地址表64K
端
口
参
数
∙端口结构模块化
∙扩展模块9个模块化插槽
∙传输模式支持全双工
功
能
特
性
∙网络标准IEEE802.3,IEEE802.3u,IEEE802.1s,IEEE802.1w,IEEE802.3ad
∙VLAN支持
∙QOS支持
∙网络管理CiscoWorks2000,RMON,增强交换端口分析器(ESPAN),SNMP,Telnet,BOOTP,TFTP
其它参数
∙电源功率4000W
∙产品尺寸622×445×460mm
总价:
417988元
五、接入层交换机配置
(1)配置端口安全和spanning-treeportfast
interfaceFastEthernet0/1
switchportaccessvlan2
switchportmodeaccess
switchportport-security
switchportport-securitymac-addresssticky
switchportport-securitymac-addresssticky000A.F3A4.D117
spanning-treeportfast
(2)配置远程管理地址
InterfaceVlan1
ipaddress10.1.1.1255.255.255.0
ipdefault-gateway10.1.1.254
(3)配置交换机的密码和远程接入密码//后面配置的就省略了
(confing)#lineconsole0
(config-line)#passwordcisco
(config-line)#login
Exit
(config)#enablesecretcisco
(config)#login
设置远程登入(telnet)密码
enable
configterminal
(config)#linevty04
(config-line)#passwordcisco
(config-lline)#login
exit
(4)接入层配置为VTPclient
Building1-Dist1(config)#vtpdomainSZPT
Building1-Dist1(config)#vtpmodeclient
Building1-Dist1(config)#vtppasswordCISCO
六、分布层交换机配置
(1)分布层——核心层:
iprouting启用路由功能
interfaceFastEthernet0/23
noswitchport关闭交换
ipaddress10.200.13.2255.255.255.0
ipospfmessage-digest-key1md5cisco配置认证
(2)分布层配置为VTPsever
Building1-Dist1(config)#vtpdomainSZPT
Building1-Dist1(config)#vtpmodeserver
Building1-Dist1(config)#vtppasswordCISCO
Building1-Dist1(config)#vtppruning配置VTP修建
(3)创建VLAN:
分布层配置DHCP:
ipdhcppoolVLAN-1
network10.1.1.0255.255.255.0
default-router10.1.1.254
dns-server10.200.200.1
ipdhcppoolVLAN-2
network10.1.2.0255.255.255.0
default-router10.1.2.254
dns-server10.200.200.1
(4)配置PVST
spanning-treemoderapid-pvst
spanning-treevlan1-5priority4096
spanning-treevlan6-10priority8192
(5)配置以太网通道:
Building1-Dist1(config)#interfacerangegig0/1-2
Building1-Dist1(config-if-range)#switchport
Building1-Dist1(config-if-range)#noshutdown
Building1-Dist1(config-if-range)#switchporttrunkencapsulationdot1q
Building1-Dist1(config-if-range)#switchportmodetrunk
Building1-Dist1(config-if-range)#channel-group1modeon
Building1-Dist1(config-if-range)#exit
Building1-Dist1(config)#intport-channel1
Building1-Dist1(config-if)#noshutdown
Building1-Dist1(config)#interfacerangegig0/1-2
Building1-Dist1(config-if-range)#noshutdown
(6)配置VLAN间通信的VLAN网关:
interfaceVlan1
ipaddress10.1.1.252255.255.255.0
ipospfmessage-digest-key1md5cisco
(7)配置(HSRP)冗余网关和端口跟踪:
standbyversion2
standby1ip10.1.1.254
standby1priority110
standby1preempt
standby1trackFastEthernet0/23
standby1trackFastEthernet0/24
(8)配置路由协议:
routerospf1
router-id100.100.100.98
area0authenticationmessage-digest
passive-interfaceVlan1
passive-interfaceVlan2
network10.0.0.00.255.255.255area0
(9)配置BPDUGuard
Building1-Dist1(config)#sinterfacef0/1
Building1-Dist1(conf
升级会员 