《网络设计方案》doc版.doc

软件职业技术学院2012届毕业生毕业实训报告实训项目： 网络方案设计 学生姓名：学 号：专业班级：学历层次：指导教师：完成日期：长春工程学院软件职业技术学院毕业实训报告目 录引言1第1部分 中小型企业网络特点与要求11.1特点与要求1第2部分 企业组网22.1案例描述22.2网络设备选型22.2.1接入层交换机选型22.2.2核心层交换机选型32.2.3出口路由器选型52.3 网络拓扑72.4网络的规划72.4.1ip地址分配72.4.2用户地址与VLAN划分8第3部分 设备配置83.1 路由协议-OSPF83.2 VRRP（虚拟路由冗余协议）原理93.3 RSTP、MSTP原理103.4 NAT的策略路由实现113.5 VLAN虚拟局域网的划分113.6 ACL访问控制策略12第5部分 设备配置125.1配置交换机125.2 OSPF路由选择协议配置及测试17第6部分 网络布局的原则176.1实用性176.2全面性176.3可靠性176.4便于维护与升级17结论18参考文献1918长春工程学院软件职业技术学院毕业实训报告引言随着计算机的不断普及和推广，各公司内部基本实现了网络化和信息化，它们或多或少规模不等的均有了自己的局域网连接和广域网接入，如何利用所学的知识，在经过一定的调查分析之后，更好的配置、管理和利用现有的网络资源，搭建一个尽可能安全的网络环境，使之更好更有效的为公司服务，同时根据日常的实际需要，分析实际场景和任务要求，列出一些切实可行而又有效地管理实施方略，帮助自己在较短的时间内适应工作岗位，非常有必要。本课题的研究正是在这一背景下提出的，具有很好的理论意义和应用价值。第1部分 中小型企业网络特点与要求 1.1特点与要求中小企业局域网通常规模较小，结构相对简单，对性能的要求则因应用的不同而差别较大。许多中小企业网络技术人员较少，因而对网络的依赖性很高，要求网络尽可能简单、可靠、易用，降低网络的使用和维护成本、提高产品的性能价格比就显得尤为重要。基于以上特点，应遵循下列设计原则：1.把握好技术先进性与应用简易性之间的平衡。 2.具有良好的升级扩展能力。3.具有较高的可靠性和安全性。4.产品功能与实际应用需求相匹配。 80%的中小企业用户通常只用到局域网20%的功能。精简功能设计的产品不但可以在满足大多数需求的情况下有效降低成本，而且还能够提高系统的稳定性和易维护性。 5.尽可能选择成熟、标准化的技术和产品。恰当运用以太网的不同标准和功能，以太网技术能够在双绞线、多模光纤、单模光纤等介质上传输数据，可以非常简单地升级到百兆、千兆的速率，而且具有很高的稳定性和可管理性。以太网提供了多种标准和功能。比如10Mbps、100Mbps、1000Mbps不同速率的标准，双绞线、光纤等不同介质的标准，以及网络管理、流量控制、VLAN、优先级、链路聚合等功能。第2部分 企业组网2.1案例描述典型中小企业组网实例，申请一个公网IP和1兆带宽，单台路由器，WEB服务器，通讯机，业务主机等，客户端办公电脑20台左右，多部门划分VLAN，用ACL控制各部门访问权限，配置网络打印机。2.2网络设备选型网络设备选型要遵循以下原则：l 代表目前网络系统设备的先进水平。l 具备较强的安全性。l 具备优良的RAS性能-可靠性、可用性、可维护性。l 具备优良的可扩充性和升级能力。具备优良的性能价格比，根据现在的需求和可以预见的需求增长情况设计网络，不追求空洞的技术先进性，避免追求高档和最新技术花费的巨大代价。CISCO是网络业界第一品牌和最大的研发厂家，是项目可持续应用的投资保护和规避厂家风险的首选。IOS采用的是经检验已成为业界标准的强健稳定的CISCO IOS，更具有广泛的协议支持，这是其他厂商所不能企及的；思科IOS软件系列在全世界一千多万个不同规模的系统上发挥着重要作用，其范围从小型家庭办公网络到最庞大的电信运营商网络。思科IOS取得广泛成功的关键在于，它的标准化设计中整合了创新网络技术、关键业务IP服务和首屈一指的平台支持能力。基于以上原则，我们为公司网络建设选用CISCO公司的系列产品，以确保网络实用与性价比。2.2.1接入层交换机选型总部和分部接入层交换机均选用CISCO WS-C2960-24-S，该款交换机具有24个10/100Mbps以太网上行链路端口，LAN基本镜像。可提供集成安全性，包括网络准入控制 (NAC)、高级服务质量 (QoS) 和为网络边缘提供智能服务的永续性。主要参数交换机类型智能交换机应用层级二层内存64-MB DRAM, 32-MB flash memory传输速率10Mbps/100Mbps网络标准IEEE 802.1D, IEEE 802.1p, IEEE 802.1Q, IEEE 802.1s, IEEE 802.1w, IEEE 802.1x, IEEE 802.1AB (LLDP), IEEE 802.3ad, IEEE 802.3ah, IEEE 802.3x, IEEE 802.3, IEEE 802.3u, IEEE 802.3ab端口结构非模块化端口数量24接口介质10/100Base-T,10/100Base-Tx/SFP传输模式全双工/半双工自适应交换方式存储-转发背板带宽16Gbps包转发率3.6MppsVLAN支持支持QOS支持支持网管支持支持网管功能SNMPv1, SNMPv2c, and SNMPv3MAC地址表8K模块化插槽数2指示面板每端口状态:连接完整性、禁用、活动、速度、全双工,系统状态:系统、RPS、链路状态、链路双工、链路速度电源100240 VAC环境标准工作温度:0-45、工作湿度:10%-85%(非冷凝)、存储温度:-25-70、存储湿度:10%-85%(非冷凝)尺寸(mm)参数纠错44445236重量(Kg)核心层交换机选型核心层交换机选用WS-C3750-24T-s,它结合业界领先的易用性和最高的冗余性，提升了堆叠式交换机在局域网中的工作效率。这个产品系列采用了最新的思科StackWise智能堆叠技术，不但实现高达32Gbps的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统 - 就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。3750系列最多可以将9个交换机堆叠在一起，构成一个统一的逻辑单元，其中总共包含468个以太网或以太网供电10/100端口或者252个以太网10/100/1000端口、或9个10GB以太网端口。各个10/100、10/100/1000和10Gb以太网单元可以根据网络的需要任意组合。3750系列可以使用标准多层软件镜像（SMI）或者增强多层软件镜像（EMI）。SMI功能集包括先进的服务质量（QoS）、速率限制、访问控制列表（ACL）和基本的静态和路由信息协议（RIP）路由功能。EMI可以提供一组更加丰富的企业级功能，包括先进的、基于硬件的IP单播和组播路由。主要参数应用类型企业级交换机应用层级三层交换方式存储-转发背板带宽(Gbps)100GbpsVLAN支持支持网络标准IEEE 802.3、10BASE-T,IEEE 802.3u、100BASE-TX,IEEE 802.3、10BASE-FX,IEEE802.3z、IEEE 802.3x、IEEE 802.3ab,10BASE-X传输速率(Mbps)10/100/1000Mbps端口类型10/100/1000Base-T,1000Base-FX端口结构非模块化模块化插槽数2是否支持全双工全双工网管支持网管型网管功能SNMP, CLI, Web, 管理软件堆叠支持（创新的堆叠技术）MAC地址表12K尺寸（mm）参数纠错445*301*44额定电压(V)220V2.2.3出口路由器选型出口路由器选用CISCO 2821模块化路由器。这款路由与相似价位的前几代思科路由器相比，Cisco 2800系列的性能提高了五倍、安全性和话音性能提高了十倍、具有全新内嵌服务选项，且大大提高了插槽性能和密度，同时保持了对目前Cisco 1700系列和Cisco 2600系列中现有90多种模块中大多数模块的支持，从而提供了极大的性能优势。Cisco 2800系列能以线速为多条T1/E1/xDSL连接提供多种高质量并发服务。这些路由器提供了内嵌加密加速和主板话音数字信号处理器（DSP）插槽；入侵保护和防火墙功能；集成化呼叫处理和语音留言；用于多种连接需求的高密度接口；以及充足的性能和插槽密度，以用于未来网络扩展和高级应用。主要参数产品类型多业务路由器包转发率0.04Mpps外形尺寸416.6*438.2*88.9mm重量11.4KgDRAM内存1024MBFlash内存256MB固定广域网接口可选广域接口WIC卡固定局域网接口2 个千兆位以太网 控制端口RS-232网络管理支持SNMP管理,Cisco ClickStartVPN支持 QoS支持 内置防火墙有内置防火墙网络管理参数纠错网管协议 Cisco ClickStart，SNMP电源电压100to 240 VAC,47-63 Hz适用环境工作温度:0-40、工作湿度:5%95% 无凝结、存储温度:20-65其他性能安全标准 UL 60950:CAN/CSA C22.2 No. 60950,IEC 60950,EN 60950-1,AS/NZS 60950 分部和总部里面路由器均选用CISCO1841模块化路由器。思科1841路由器专为安全数据连接而设计，与前几代思科1700系列路由器相比，提供了五倍以上的性能提高，经由CiscoIOS软件安全镜像支持基于硬件的集成加密，且大大提高了接口卡性能和密度，同时继续支持30多种Cisco1700系列现有WAN接口卡(WIC)和多路复用中继卡(话音/WIC)在Cisco1841路由器上仅用于数据)，从而提供了极大的性能优势。它还为客户提供了业界灵活性、安全性和可适应性最高的基础设施，可满足现在及未来企业对最高投资回报的需要。主要参数设备类型模块化接入路由器端口结构模块化内存（MB）128MB(最大384MB)网络协议Tcp/ip支持的网管协议Cisco ClickStart,SNMP固定广域网接口可选广域接口固定局域网接口2其他端口USB、consoleVPN支持是内置防火墙是支持扩展模块数5Qos支持是电源电压（V）100-240 VAC电源功率（W）160重量（Kg）2.8尺寸343*274*47.5mm适用环境工作温度:0-40、工作湿度:10%-85%非冷凝、存储温度:-25-65、存储湿度:5%-95%非冷凝2.3 网络拓扑2.4网络的规划2.4.1ip地址分配部门IP地址网段VLAN编号默认网关财务部/2454/24技术部/2454/24销售部/2454/24监管部/2454/24网络管理系统/2454/242.4.2用户地址与VLAN划分Web服务器IP地址： 0/30FTP服务器IP地址/24路由器出口IP地址/24以上部门的网关地址均为核心层连接端口地址，因为所采用的ip地址不在同一网段，所以vlan 的配置可以省略。由于只有一台连接外网的线路，因此在此我们可以设置静态路由，但这种配置会冒极大的风险，一旦该线路出现故障，整个内网与外界的通讯将陷入瘫痪，所以在此我们需要设置备用网关，即与外网设置两条或多条线路，在多条线路间做负载均衡. 第3部分 设备配置3.1 路由协议-OSPFOSPF路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域内。在这里，路由域是指一个自治系统（Autonomous System），即AS，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中，所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。 作为一种链路状态的路由协议，OSPF将链路状态广播数据包LSA（Link State Advertisement）传送给在某一区域内的所有路由器，这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。我们在公司总部和分部的核心层交换机及出口路由器上使用OSPF路由协议，以实现路由的动态更新，确保全网互通。3.2 VRRP（虚拟路由冗余协议）原理VRRP给路由器组提供了一个冗余网关地址，它是一种容错协议，通过定义 不同的组，不同优先级的路由器，它保证网络的主路由器失效时，可以及时的由 备分来实现路由器来替代，从而保持通讯的连续性和可靠性。并可以在该协议上 实现负载均衡等高级交换特性。VRRP 技术的实现： 汇聚到核心冗余连接及 VRRP 的实现通过 VRRP 技术将多个设备虚拟成为一台逻辑设备，实现汇聚/接入链路冗余。如下例：-if)#vrrp 5 ip -if)# vrrp 6 ip A: -if)#vrrp 5 priority 200 B: -if)#vrrp 6 priority 200 -if)#vrrp 5 authen name -if)#vrrp 6 authen name见图如下： 备份（100）Mac0000.5e00.0105活动（200）Mac0000.5e00.0106活动（200）Mac0000.5e00.0105 (A) 备份（100）Mac0000.5e00.0106(B) 图3-13.3 RSTP、MSTP原理RSTP 协议完全向下兼容 802.1D STP 协议，除了和传统的 STP 协议一样具有避免回路、提供冗余链路的功能 外，最主要的特点就是“快”。如果一个局域网内的网桥都支持 RSTP 协议且管理员配置得当，一旦网络拓朴改变而 要重新生成拓朴树只需要不超过 1 秒的时间（传统的 STP 需要大约 50 秒）。本交换机支持 MSTP，MSTP 是在传统的 STP、RSTP 的基础上发展而来的新的生成树协议，本身就包含了 RSTP的快速 FORWARDING 机制。由于传统的生成树协议与 vlan 没有任何联系，因此在特定网络拓朴下就会产生以下问题： 如下图 所示，交换机 A、B 在 vlan1 内，交换机 C、D 在 vlan2 内，然后连成环路。 图3-2在某种情况的配置下，会造成把交换机 A 和 B 间的链路给 DISCARDING.由于交换机 C、D 不包含 vlan1，无法转发 vlan1 的数据包，这样交换机 A 的 vlan1 就无法与交换机 B 的 vlan1 进行通讯。在网络末梢，连接到单个工作站的时候，是不可能形成桥接环路的。在接口 上启用了 portfast 特性，可以使交换机端口立即变为转发状态，提高了网络的 响应速度及收敛时间。 基于 RSTP 的交换机高级特性 Uplinkfast 在网络中的应用考虑到有冗余上行连接的网络，使用冗余连接到上层交换机，通常情况下一 个上行连接处于转发状态，另一个处于阻塞状态，如果主上行连接断开，在使用 冗余连接之前所经历的时间高达 50S在使用 Uplinkfast 之后，使的具有冗余上行连接的交换机具有根端口失效 时，另一个阻塞的上行连接能够立即使用，这个时间大大缩小到 1-5S 之间，在 校 园 网 的 特 殊 环 境 之 下 ， 能 大 大 增 强 网 络 的 稳 定 性 ， 加 快 网 络 收 敛 。3.4 NAT的策略路由实现在组建网络时，为了节约地址，我们在内部使用保留的私有地址段中的地 址，但是使用私有地址不能访问 Internet,所以必须申请多个公开地址配置在和 Internet 相连的局域网边缘设备上。应用 NAT 进行地址转换。NAT 是网络地址翻译技术，在路由器上起用 NAT 之后，可以在部私有地址和 外部公网地址之间做转换。比如我们可以把网络内部使用的 IP 翻 译成外部公网的 IP。配置基于策略的路由选择时，可使用路由映射表来指定基于 IP 地址，应用 程序，协议或者分组长度的条件。基于策略的路由选择命令对中选的路由实现策 略。基于策略的路由和静态路由有很多共同之处。然而，静态路由根据目标网络 地址来转换分组，而策略路由根据源地址来转发分组。在路由选择表中使用访问 列表时，可根据诸如目标地址，分组长度，IP 协议字段，优先级或端口号来转发数据流。这样可以指定范围更广泛，更细致的条件，并根据这些条件来决定下 一跳路由器。3.5 VLAN虚拟局域网的划分VLAN 虚拟局域网是一种在二层设备上隔离和划分广播域的技术，通过这种 划分，我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播域，或者 把物理位置上邻近的网络设备划为不同的广播域，从而更方便我们管理和做一个 逻辑层次的划分。从技术上说 VLAN 可以分为静态 VLAN 和动态 VLAN,那么静 态的 VLAN 是基于交换机端口进行划分，根据网络设备连接不同的交换机端口， 则进入相应的 VLAN。动态 VLAN 则更灵活，它可以根据接入计算机的 IP 地址， MAC 地址，甚至是用户的登陆账号做出相应的处理，把计算机划分进相应的 VLAN 中，这样就为我们实际的网络管理带来了比较大的方便性和灵活性。 那么在我们的企业网方案中，我们希望通过使用VLAN 技术进行划分达到以下 目的：隔离，划分广播域，减小不必要的广播流量，从而提高整个网络的利用效率。3.6 ACL访问控制策略访问列表为我们提供了一种对网络访问进行有效管理的方法，通过访问列 表，我们可以设置允许或拒绝数据包通过路由器，或者允许或者拒绝具体的某些 端口进行访问和使用，如果满足条件则执行相应的操作，放行这个包或者放弃这 个包。我们通过这些设置来满足实际网络的灵活需求，从而达到设置网络安全策 略，防止网络中的敏感设备受到非授权访问的情况。在具体实现过程中从技术上来说我们需要了解到 ACL 分为两种类型,他们分 别是标准访问列表(Standard access lists)和扩展访问列表（Extends access lists） 前者在过滤网络的时候只使用 IP 数据报的源地址，那么在使用这种访问列表的 情况下它做出允许或者拒绝这个决定完全是依赖于源 IP 地址，它无法区分具体 的流量类型。而扩展访问列表则可以提供更细的决定，它可以具体到端口，从而 精确到某一个服务，比如对 WEB,FTP 的访问等，给我们网络的策略提供了更细 的控制手段。我们利用这种访问列表进行协议级的控制以达到对网络一个有效的 管理。标准访问控制列表一般放在靠近目标的路由器上,而扩展访问控制列表一 般放于近源端的路由器上。第5部分 设备配置5.1配置交换机Cisco2960的配置 Hostname S2960Vlan 1ExitVlan 10ExitVlan 20ExitVlan 30ExitVlan 40ExitVlan 50Enable secret level 1 0 starEnable secret level 15 0 starInterface range fastEthernet 0/1-4Swithport access vlan 11Exit ！将f0/1-4号端口划分到vlan11里Interface range fastEthernet 0/1-4 Swithport access vlan 11Exit Interface range fastEthernet 0/5-8Swithport access vlan 12Exit Interface range fastEthernet 0/9-12Swithport access vlan 13Exit Interface range fastEthernet 0/13-16Swithport access vlan 14ExitInterface range fastEthernet 0/17-20Swithport access vlan 15ExitInterface range fastEthernet 0/21Swithport mode trunkExitInterface vlan 1Ip address 50 No shutdownExitIp default-gateway 54End(2)cisco3750的基本配置Hostname s3750Vlan 1ExitVlan 11ExitVlan 12ExitVlan 13ExitVlan 14ExitVlan 15ExitVlan 16ExitVlan 100ExitInterface fastethernet 0/1Swithport mode trunkExitInterface fastethernet 0/10Swithport mode trunkExitInterface fastethernet 0/20Swithport mode trunkExitInterface vlan 1Ip address 6 No shutdownExitInterface vlan 11Ip address No shutdownexitInterface vlan 12Ip address No shutdownexitInterface vlan 13Ip address No shutdownexitInterface vlan 14Ip address No shutdownexitInterface vlan 15Ip address No shutdownexitInterface vlan 100Ip address 4 48No shutdownexitip default-gateway 54end(3)cisco3854的基本配置Hostname r3854Enable password starInterface fastethernet 0Ip address 54 40No shutdownIp nat insideExitInterface fastethernet 1Ip address 0 0No shutdownIp nat outsideExitLine con 0Line aux 0Line vty 0 4Password starLoginEnd5.2 OSPF路由选择协议配置及测试(1)s3750 ospf路由协议配置Router ospfArea Network 172.