中小型企业网络规划及实施方案Word格式文档下载.docx

1、4.2.4 端口聚合和快速生成树配置及测试 334.3 路由器配置 434.3.1路由协议的配置及chap的配置 434.3.2配置NAT转换 494.4 VPN配置及测试 524.5整体测试 58第五章 服务器配置及测试 665.1 FTP服务器的配置与测试 665.2 WEB服务器的搭建与测试 70第六章 系统优化方案 746.2网络优化目标 75第七章 工程总结 75第一章 项目概述1.1项目背景 “功欲善其事，必先利其器”，华夏企业深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统，已迫在眉睫，计划建设新的企业园区网络，希望通过这个新建的

2、网络，提供一个安全、可靠、可扩展、高效的网络环境，将自己的分公司与总公司两个办公地点连接到一起，使公司内部能够方便快捷地实现网络资源共享、全网接入Internet等目标，同时实现公司内部的消息保密隔离，以及对于公网的安全访问。1.2项目目标 1.2.1本期目标 为了确保关键应用的正常运行，安全实施，企业网络必须具备如下特性： （1）采用先进通信技术完成公司网络建设，连接两个距离较远的公司网络办公地点。 （2）为了提高数据的传输速率，在整个公司内部网络内控制广播域的范围。 （3）在整个公司网络内实现资源共享，并保证骨干网络的高可靠性。 （4）公司内部网络中实现高效的路由选择。 （5）构造一个既能

3、覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网; （6）选用技术先进、具有容错能力的网络产品，在投资和条件允许的情况下也可采用结构容错的方法； （7）完全符合开放性规范，将业界优秀的产品集成于该综合网络平台之中； （8）具有较好的可扩展性，为今后的网络扩容作好准备 ； （9）整个公司计划采用10M光纤接入到运营商提供的Internet。集团统一一个出口，便于控制网络安全； （10）设备选型上必须在技术上具有先进性，通用性，且必须便于管理，维护。应具备未来良好的可扩展性，可升级性，保护公司的投资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和

4、市场份额的主流产品。 1.2.2 本期项目环境要求 （1）该公司具有两个公司网络，且相距较远。 （2）公司A为总公司，办公点具有的部门较多，如业务部，综合部等，为主要的办公场所，因此这部分的交换网络对可用性和可靠性要求较高。 （3）B办公地点只有较少办公人员，但是Internet的接入点在这里。 （4）该公司网络已经申请到了若干公司IP地址，供公司内网接入使用。 （5）公司内网使用私有地址。 （6）本公司移动办公人员较多1.2.3 本期项目所需设备设备名称：设备型号：设备数量：备注：路由器RG-17004台用在核心层使得能够在网络的不同部分之间高效、快速地传输数据三层交换机RG-S3750-2

5、42台用在汇聚层，根据处理结果将用户流量转发到核心交换层或在本地进行路由处理等等二层交换机RG-S226G用在接入层，允许终端用户连接到网络第2章 技术介绍 2.1 SVISVI是交换机虚拟接口。用于三层交换机跨vlan间路由。具体可以用interface vlan接口配置命令来创建svi,然后为其配置ip地址即可实现路由功能。 2.2端口安全 最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理，比如MAC地址与具体的端口绑定，限制具体端口通过的MAC地址的数量，或者在具体的端口不允许某些MAC地址的帧流量通过。 2.3端口聚合 端口聚合主要用于交换机之间连接。由于两个交换

6、机之间有多条冗余链路的时候，STP会将其中的几条链路关闭，只保留一条，这样可以避免二层的环路产生。但是，失去了路径冗余的优点，因为STP的链路切换会很慢，在50s左右。使用以太通道的话，交换机会把一组物理端口联合起来，做为一个逻辑的通道，也就是channelgroup，这样交换机会认为这个逻辑通道为一个端口。 2.4 快速生成树协议（RSTP） RSTP：快速生成树协议（rapid spanning Tree Protocol ）：802.1w由802.1d发展而成，这种协议在网络结构发生变化时，能更快的收敛网络。它比802.1d多了两种端口类型：预备端口类型（alternate port）和

7、备份端口类型。 STP（Spanning Tree Protocol ）是生成树协议的英文缩写。该协议可应用于环路网络，通过一定的算法实现路径冗余，同时将环路网络修剪成无环路的树型网络，从而避免报文在环路网络中的增生和无限循环。 2.5 VRRP虚拟路由器冗余协议（VRRP）是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器，它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用

8、 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送。 2.6 ACL访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。 2.7 RIP路由信息协议（RIP）是一种在网关与主机之间交换路由选择信息的标准。RIP 是一种内部网关协议。在国家性网络中如当前的因特网，拥有很多用于整个网络的路由选

9、择协议。作为形成网络的每一个自治系统，都有属于自己的路由选择技术，不同的 AS 系统，路由选择技术也不同。 2.8 NAT网络地址转换（NAT,Network Address Translation）属接入广域网（WAN）技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。 2.9 CHAPCHAP全称是PPP（点对点协议）询问握手认证协议 （Challenge Handshake Authentic

10、ation Protocol）。该协议可通过三次握手周期性的校验对端的身份，可在初始链路建立时完成时，在链路建立之后重复进行。通过递增改变的标识符和可变的询问值，可防止来自端点的重放攻击，限制暴露于单个攻击的时间。 2.10 VPN虚拟专用网络（Virtual Private Network ，简称VPN）指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM（异步传输模式、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻

11、辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了彩隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。第三章 解决方案3.1 规划场景规划场景如下图所示：3.2 网络实施拓扑网络实施拓扑如下图所示：3.3 网络实施分析 1.在接入层使用二层交换机，在接入层交换机上划分vlan，则可以实现对广播域的隔离，财务部vlan10，人事部vlan20，业务部vlan30，策划部vlan40，技术部vlan50，工程部vlan60. 2.建设双核心的高可靠性网络，核心交换互为备份。为充分发挥设备的性能，两台核心交换承担不同用户数据负载。交换机

12、之间的链路配置为Trunk链路，三层交换机上采用SVI方式实现vlan之间的路由。 3.两台核心交换机之间采用双链路连接，在两台三层交换机之间配置端口聚合，以提高带宽。4.接入交换机的Access端口上采用端口安全的方式实现对允许的连接数量的控制，以提高网络的安全性。5.为了提高网络的可靠性，整个交换网络内配置RSTP，以避免环路带来的影响6.两台三层交换上配置路由接口，连接A办公地点的路由器R1，并在R1和R2分别配置接口IP地址。并启用RIP路由协议，实现全网互通。7.R1和R2办公地点的路由器R2之间通过广域网链路连接，在R1和R2的广域网接口上配置chap协议提供一定的安全性。8.两台

13、三层交换机上配置默认路由，指向R1；R1上配置配置默认路由指向R2；R2上配置默认路由指向连接到因特网的下一条地址。9.在R2上配置NAT方式实现企业内网仅用少量公网IP地址到因特网的访问。10.在S2上，用ACL实现财务部可以访问WEB服务器和FTP服务器，其他部门都能访问WWW服务但不能访问FTP服务器。11.通过VPN实现移动办公人员，分公司与总公司的通信。3.4 项目实施流程 1.在核心交换机（型号RG-S3750-24）与接入交换机（型号RG-S2261G）上分别创建相应的VLAN； 2.核心交换机与接入交换机之间建立TRUNK链路；3.两台核心交换机直接通过双链路相连，实现端口聚合

14、； 4.在全部交换机上配置RSTP，指定两台三层交换机分别为根网桥和备份根网桥； 5.在接入交换机的access链路上实现端口安全；6.配置三层交换机的VLAN间路由功能； 7.在三层交换机的路由端口、R1和R2上配置接口IP地址； 8.R1和R2配置广域网链路，启用PPP协议和配置CHAP认证； 9.运用RIPV2路由协议配置企业内网的路由，用静态路由实现企业内网到互联网的访问； 10.在路由器R1上做NAT实现内网对外网的访问；11.建立WEB、FTP服务器，使企业内网实现资源共享； 12.为了控制内网对互联网的访问，在路由器上作访问控制列表；13.在总公司与分公司之间建立VPN连接。3.

15、6设备命名规则 为了标识网络设备、便于管理网络设备，应该为网络中每一台设备赋予名称标识，设备命名的基本原则为： 1.能表示出网络设备的类型； 2.能表示出网络设备的物理位置； 3.能表示出网络设备所属的网络层次； 4.相同物理位置和网络层次的网络设备由不同序号区分； 5.能反映出该设备的业务属性和网元功能。 本次工程的设备命名规范如下：交换机命名以SW开头，路由器命名以R开头，服务器命名以Server开头。举例说明：比如说二层交换机SW1，SW2，路由器R1,R2。3.7接口描述规则 为了标识设备端口，便于后期维护，应为没一个接口设置接口描述，接口描述的基本规则为： 1.能表示出端口的对端网元

16、设备 2.能表示出端口的类型 3.能反映出对端端口所在板卡的物理槽位 本次工程的接口描述规范如下：快速以太网口用f开头，串口用S开头。例如交换机SW1的快速以太网口f0/10端口，路由器R1的串口S0/1/0端口。3.8 IP地址规划 IP地址规划的结果直接影响到网络运行的质量，以下是几点IP地址规划的基本原则： 1.唯一性： 一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术，也尽量不要规划为相同的地址。 2.连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。 3.扩展性：地址分配在每一层次上都要留有余量，在网络规

17、模扩展时能保证地址叠合所需的连续性。 4.实义性：“望址生义”，好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大至判断出该地址所属的设备。这是IP地址规划中最具技巧型和艺术性的部分。最完美的方式是得出一个IP地址公式，以及一些参数及系数，通过计算得出每一个需要用到的IP地址。各部门地址分配如下所示：部门名称：IP地址（子网掩码均为24位）：财务部人事部业务部工程部策划部技术部网络设备接口地址如下所示：端口号：IP地址：三层交换机1Fa0/2410.1.1.2/24三层交换机220.1.1.2/24Fa0/6R1Fa1/010.1.1.1/24Fa1/120.1.1.1/24Se0/

18、1/0R2Se0/0/0R3（ISP路由器）Se0/0/1R4Fa0/0分公司其中一台PCFastEthernetFTP服务器WEB服务器3.9 VLAN规划部门VLAN102030405060第4章 设备配置4.1 设备配置命令文档设备配置命令财务部代表PC机1人事部代业务部代工程部代策划部代技术部代SW1（注：此代码在特权模式下输入）config tHostname sw1vlan 10 vlan 20vlan 30exitinterface fa 0/3 switchport mode accessswitchport access vlan 10 /将财务部划入vlan 10inter

19、face fa 0/4switchport access vlan 20 /将人事部划入vlan 20interface fa 0/5switchport access vlan 30 /将业务部划入 vlan30interface range fa 0/1-2switchport mode trunkno shutdownExitconfi tinter range fa 0/6-24 /进入一组端口的配置模式switchport port-security /配置交换机的端口安全功能switchport port-security maximum 4 /设置最大允许连接数量为4switch

20、port port-security violation shutdownendSW2（注：Hostname sw2vlan 40vlan 50vlan 60interface fa 0/3switchport access vlan 40 /将工程部划入vlan40switchport access vlan 50 /将策划部划入vlan50switchport mode access switchport access vlan 60 /将技术部划入vlan60switchport port-security violation shutdown /配置安全违例的处理方式为shutdown

21、SW3（注：Hostnme sw3vlan 10interface range fa 0/3-4 /交换机之间配置TRUNK链路interface aggregateport 1 /创建聚合接口AGIswitchport mode trunk /配置AG模式为trunk interface range fa 0/1-2 /进入接口0/1和0/2port-group 1 /配置接口0/1和0/2属于AGIspanning-tree /开启生成树协议spanning-tree mode rstp /指定生成树协议的类型为RSTPinterface vlan 10 /配置SVIinterface v

22、lan 20interface vlan 30interface fa 0/24no switchportip address 10.1.1ip route 0.0.0 /配置默认路由inter range fa 0/5-23 /进入一组端口的配置模式switchport port-security maximum 4 /设置最大允许连接数量为4inter vlan 10standby 2 priority 200 /配置优先级 /配置vrrp组和虚拟路由器的IP地址inter vlan 20standby 2 priority 160 /配置优先级inter vlan 30 standby

23、2 priority 120 /配置优先级SW4（注：Hostname sw4interface range fa 0/3-4interface vlan 40 /配置SVIinterface vlan 50interface vlan 60ip address 20.2.2interface fa 0/6ip route 0.0.0switchport port-security violation shutdown /配置安全违例的处理方式为shutdown0.0.00.0.0.255 eq ftp 0.0.0.255 eq www access-list 101 permit ip any anyinterface fa0/6 /把编号为101的扩展访问控制列表应用到fa0/6端口ip access-group 1