网络配置作业详解

一.网络需求分析1.中小型企业网络特点与要求中小企业局域网通常规模较小，结构相对简单，对性能的要求则因应用的不同而差别较大。许多中小企业网络技术人员较少，因而对网络的依赖性很高，要求网络尽可能简单、可靠、易用，降低网络的使用和维护成本、提高产品的性能价格比就显得尤为重要。基于以上特点，应遵循下列设计原则：1.把握好技术先进性与应用简易性之间的平衡。 2.具有良好的升级扩展能力。3.具有较高的可靠性和安全性。4.产品功能与实际应用需求相匹配。 80%的中小企业用户通常只用到局域网20%的功能。精简功能设计的产品不但可以在满足大多数需求的情况下有效降低成本，而且还能够提高系统的稳定性和易维护性。 5.尽可能选择成熟、标准化的技术和产品。恰当运用以太网的不同标准和功能，以太网技术能够在双绞线、多模光纤、单模光纤等介质上传输数据，可以非常简单地升级到百兆、千兆的速率，而且具有很高的稳定性和可管理性。以太网提供了多种标准和功能。比如10Mbps、100Mbps、1000Mbps不同速率的标准，双绞线、光纤等不同介质的标准，以及网络管理、流量控制、VLAN、优先级、链路聚合等功能。 2 中小型企业网的组建背景随着计算机及局域网络应用的不断深入，特别是各种计算机应用系统被相继应用在实际工作中，各企业、各单位同外界信息媒体之间的相互交换和共享的要求日益增加。需要使各单位相互间真正做到高效的信息交换、资源的共享，为各单位人员提供准确、可靠、快捷的各种生产数据和信息，充分发挥各单位现有的计算机设备的功能。为加强各公司内各分区的业务和技术联系，提高工作效率，实现资源共享，降低运作及管理成本,公司有必要建立企业内部局域网。局域网要求建设基于TCP/IP协议和WWW技术规范的企业内部非公开的信息管理和交换平台，该平台以WEB为核心，集成WEB、文件共享、信息资源管理等服务功能，实现公司员工在不同地域对内部网的访问。2 设计网络拓扑图拓扑结构需求分析公司共8个办公室处于同一个楼面。针对在技术规格上的特点，我们采用了交换机用星型的拓扑结构，这种拓扑结构的优点是： 1容易实现：它所采用的传输介质一般都是采用通用的双绞线，这种传输介质相对来说比较便宜，如目前正品五类双绞线每米也仅1.5元左右，而同轴电缆最便宜的也要2.00元左右一米，光缆那更不用说了。这种拓扑结构主要应用于IEEE 802.2、IEEE 802.3标准的以太局域网中。2节点扩展、移动方便：节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可，而要移动一个节点只需要把相应节点设备移到新节点即可，而不会像环型网络那样“牵其一而动全局”。 3 便于维护：采用星型结构，网络故障将先以层为单位被定位在不同的交换层面上，随后在被定位的层面上很快就可以找出发生故障的交换机或节点，这种方法把复杂的维护问题简单化。 4 采用广播信息传送方式：任何一个节点发送信息在整个网中的节点都可以收到，这在网络方面存在一定的隐患，但这在局域网中使用影响不大。 5网络传输数据快：这一点可以从目前最新的1000Mbps到10G以太网接入速度可以看出。2.1 网络结构设计无论企业规模大小,企业的网络层次都应采取核心层（网络的高速交换主干）、汇聚层（提供基于策略的连接）、接入层（将工作站接入网络）三个网络层次的设计理念。使用层次清晰的网络模式,一是方便日后的升级,二是可以减少维护成本。三层交换与VLAN结合三层交换技术，也称多层交换技术或IP交换技术，是相对于二层交换技术提出的，因工作在OSI七层网络标准模型中的第三层而得名。传统的路由器也工作在第三层，它可以处理大量的跨越IP子网的数据包，但是它的转发效率比较低，而三层交换技术在网络标准模型中的第三层实现了分组的高速转发，效率大大提高。简单地说，三层交换技术就是“二层交换技术 + 路由转发”。它的出现，解决了二层交换技术不能处理不同IP子网之间的数据交换的缺点，又解决了传统路由器低速、复杂所造成的网络瓶颈问题。 VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个不同的网段，从而实现虚拟工作组的技术。它不受网络用户的物理位置限制，而是根据用户需求进行网络分段。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1q协议标准草案。不同VLAN之间的数据传输是通过第三层（网络层）的路由来实现的，因此，使用VLAN技术，结合数据链路层和网络层的交换设备，可搭建安全可靠的网络。 划分VLAN的目的：一是提高网络安全性，不同VLAN的数据不能自由交流，需要接受第三层的检验，因此，在一定程度上加强了虚网间的隔离，有效防止外部用户入侵，提高了安全性。二是隔离广播信息，划分VLAN后，广播域缩小，有利于改善网络性能，能够将广播风暴控制在一个VLAN内部，同时使网络管理趋于简单。三是增强网络应用的灵活性，VLAN是在一个有多台交换机的局域网中统一设定的，这使得用户可以不受所连交换机的限制，不论用户节点移动到局域网中哪一台交换机上，只要仍属于原来的虚网，则应用环境没有任何改变。在划分VLAN时，要考虑VLAN对于网络流量的影响，单个VLAN不宜过大。层次化架构三层网络 三层网络架构采用层次化模型设计，即将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。三层网络架构设计的网络有三个层次：核心层（网络的高速交换主干）、汇聚层（提供基于策略的连接）、接入层（将工作站接入网络）。 核心层 核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性：可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中，应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心，重要性突出。核心层设备采用双机冗余热备份是非常必要的，也可以使用负载均衡功能，来改善网络性能。 汇聚层 汇聚层是网络接入层和核心层的“中介”，就是在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。汇聚层具有实施策略、安全、工作组接入、虚拟局域网（VLAN）之间的路由、源地址或目的地址过滤等多种功能。在汇聚层中，应该采用支持三层交换技术和VLAN的交换机，以达到网络隔离和分段的目的。 接入层 接入层向本地网段提供工作站接入。在接入层中，减少同一网段的工作站数量，能够向工作组提供高速带宽。接入层可以选择不支持VLAN和三层交换技术的普通交换机2.2 网络设备的选择核心层：思科的Cisco Catalyst 3560G-24TS-24-2全千兆三层交换机汇聚层换机选择：Catalyst 2950-24交换机思科 PIX-501防火墙网段及VLAN的划分2.3 设备的配置1.核心层交换机vlan的配置结果如下：配置Switch3交换机 设置交换机主机名SwitchenableSwitch#configure tSwitch(config)#hostname S3S3(config)#exit创建VTP管理域，并设置为server模式S3#vlan databaseS3(vlan)#vtp serverS3(vlan)#exit创建VLAN,配置VLAN名，S3#vlan database配置经理办公室 VLANS3(vlan)#vlan 11 name jinglibangongshi配置财务处VLANS3(vlan)#vlan 12 name caiwuchu配置技术部VLANS3(vlan)#vlan 13 name jishubu配置销售部VLANS3(vlan)#vlan 14 name xiaoshoubu配置人事部VLANS3#（vlan）#vlan 15 name renshibu配置服务器VLANS3(vlan)#vlan 16 name fuwuqizu配置共享打印机VLANS3(vlan)#vlan 17 name gonxiangdayinji将端口F0/1,F0/2设置为VLAN中继模式F0/1进入端口配置模式S3#conf tS3(config)#interface fastethernet0/1将端口设置为二层方式S3(config)#switchport封装dotlq协议S3(config)#switchport trunk encapsulation dot1q设置为trunk模式S3(config)#switchport mode trunkF0/2进入端口配置模式S3#conf tS3(config)#interface fastethernet0/2将端口设置为二层方式S3(config)#switchport封装dotlq协议S3(config)#switchport trunk encapsulation dot1q设置为trunk模式S3(config)#switchport mode trunk配置VLAN 11接口地址S3(config)#interface vlan 11S3(config-if)#ip address 配置VLAN 12接口地址S3(config)#interface vlan 12S3(config-if)#ip address 配置VLAN 13接口地址S3(config)#interface vlan 13S3(config-if)#ip address 配置VLAN 14接口地址S3(config)#interface vlan 14S3(config-if)#ip address 配置VLAN 15接口地址S3(config)#interface vlan 15S3(config-if)#ip address 配置VLAN 16接口地址S3(config)#interface vlan 16S3(config-if)#ip address 配置VLAN 17接口地址S3(config)#interface vlan 17S3(config-if)#ip address 将F0/3-5端口划给VLAN 16，只列出F0/3的配置，其余端口的配置与F0/3相同S2(config)#int f0/3设置为访问模式S2(config-if)#switchport mode access分配给VLAN 16S2(config-if)#switchport access vlan 16接入层交换机Swich1的配置结果如下：进入vtp数据库S1#vlan database设置vtp域名S1(vlan)#vtp domain myvtpdomain设置vtp模式S1(vlan)#vtp clientS1(vlan)#exitS1#configure terminal配置接口F0/1为中继接口S1(config)#inter f0/1封装dotlq协议S1(config-if)#switchport trunk encapsulation dot1p设置为trunk模式S1(config-if)#switchport mode trunk将F0/2端口划给VLAN 11，只列出F0/2的配置，其余端口的配置与F0/2相同S1(config)#int f0/2设置为访问模式S1(config-if)#switchport mode access分配给VLAN 11S1(config-if)#switchport access vlan 11将F0/3-4端口划给VLAN 15，只列出F0/3的配置，其余端口的配置与F0/3相同S1(config)#int f0/3设置为访问模式S1(config-if)#switchport mode access分配给VLAN 15S1(config-if)#switchport access vlan 15将F0/5-6端口划给VLAN 12，只列出F0/5的配置，其余端口的配置与F0/5相同S1(config)#int f0/5设置为访问模式S1(config-if)#switchport mode access分配给VLAN 12S1(config-if)#switchport access vlan 126.3 接入层交换机Switch2的配置结果如下：进入vtp数据库S2#vlan database设置vtp域名S2(vlan)#vtp domain myvtpdomain设置vtp模式S2(vlan)#vtp clientS2(vlan)#exit配置接口F0/1为中继接口S2(config)#int f0/1封装dotlq协议S2(config-if)#switchport trunk encapsulation dot1q设置为trunk模式S2(config-if)#switchport mode trunk将F0/2-4端口划给VLAN 13，只列出F0/2的配置，其余端口的配置与F0/2相同S2(config)#int f0/2设置为访问模式S2(config-if)#switchport mode access分配给VLAN 13S2(config-if)#switchport access vlan 13将F0/5-6端口划给VLAN 14，只列出F0/4的配置，其余端口的配置与F0/4相同S2(config)#int f0/5设置为访问模式S2(config-if)#switchport mode access分配给VLAN 14S2(config-if)#switchport access vlan 14将F0/7端口划给VLAN 17S2(config)#int f0/7设置为访问模式S2(config-if)#switchport mode access分配给VLAN 17S2(config-if)#switchport access vlan 172.配置ACL：配置ACL 应用在各个部门VLAN接口上，控制各部门互访1. 把访问控制列表11 应用于VLAN 10 OUT方向上，经理办公室内部可以互访，可以访问服务器网段和网络打印机网段，但不能其他部所在网段。access-list 11 permit 55 access-list 11 permit 55 access-list 11 deny 55 access-list 11 permit any int vlan 11ip access-group 11 out2. 把访问控制列表12 应用于VLAN 10 OUT方向上，财务部内部可以互访，可以访问服务器网段和网络打印机网段，但不能其他部所在网段。access-list 12 permit 55 access-list 12 permit 55 access-list 12 deny 55 access-list 12 permit any int vlan 12ip access-group 12 out3. 把访问控制列表15 应用于VLAN 10 OUT方向上，人事部内部可以互访，可以访问服务器网段和网络打印机网