企业网组网设计与仿真实现_第1页
企业网组网设计与仿真实现_第2页
企业网组网设计与仿真实现_第3页
企业网组网设计与仿真实现_第4页
企业网组网设计与仿真实现_第5页
已阅读5页,还剩49页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、关键词:企业组网;网络安全;防火墙;WLAN企业网组网设计与仿真实现摘要如今,安全高效的网络化办公是现代公司运营的标配。企业实施网络化能够很好地提高办公效率,促使企业内部员工之间更好的沟通合作,同时能够满足移动办公的需求。但同时,面对纷繁复杂的互联网环境,对企业网络做好安全防护,保护公司机密信息是很有必要的。本次设计主要针对大中型企业网络进行简单设计。以典型的企业网为设计基础,着重于网络安全,并加入WLAN、设备冗余解决方案。在安全与效率中寻找切实的设计方案,拓展出新的企业网络设计解决方案。企业网组网设计与仿真实现 前言选题背景随着信息化进程的前进,许许多多的企业建立了自己的企业网络。特别是广

2、大的大中型企业,由于组网规模适中、网络布局灵活、有限的资金成本及着眼未来的扩展等多种条件和要求下,慢慢形成了一些典型的企业组网方式。随着互联网的发展和企业的扩大,企业网的组网要求不再局限于数据传输、信息共享,而是要更加的注重企业网络的信息安全。本文正是以构建一个更可靠、更高速、更方便以及更安全的网络和业务管理为出发点,探讨并模拟出可行的解决方案。选题的目的和意义统一、可靠、安全的企业网络信息系统能在企业内实现资源的高度共享,提高工作效率和管理水平,提供数据传输、语音话务、视频会议等多种信息通信业务,且拥有完善的企业网管理应用系统。建立完备的企业网络环境,是顺应时代发展的趋势,充分利用现代化技术

3、来提高企业管理质量及实现办公的自动化,对企业在信息化时代的生存和发展具有不可或缺的意义。可行性分析面对现代市场竞争,纯粹的手工管理方式和手段已经不能够适应现代企业发展的需求。社会的进步、科技的发展要求企业必须更新落后的管理体制、管理方法和管理手段,建立现代企业应有的形象,建立适合本企业的自动化管理信息系统,促使管理水平的提高,经济和社会效益的增加。实现企业现代化管理和办公自动化,能够为整个企业带来高效畅通的信息高速通道和企业公共服务环境,既能够为各部门提供先进的信息服务和生产环境,又能提高各部门的办公效率和综合管理水平,更能改变传统的管理思路和方式,提升管理人员和工作人员的素质,大大提高企业人

4、员的工作效率。从企业管理和业务发展的角度看,通过网络资源的公用来改善企业之间、企业和客户间的信息交流方式,使企业能够迅速掌握瞬息万变的市场信息;再者,随着办公自动化水平的提高,能够大大促进工作效率的同时减低企业管理成本的支出,提高企业的竞争力;最后,企业内部网络的建立,还能够方便各方面的沟通交流,集中管理,加强企业资源分配的最优化。因此,建立一个统一、可靠和安全的网络信息系统是非常必要的。基本思路根据对选题的背景、目的、意义和可行性分析,总结有如下设计思路:选择适合的网络层次模型来规划企业网络框架;采用合理的策略,确保各业务的性能发挥,增强企业数据的保密性;设置网络设备的冗余备份,确保企业网络

5、不间断运作;选择稳定高效的网络设备,充分发挥企业网络的优势,确保企业的正常运作;最后是选用合适的网管方式,控制维护整个网络。仿真实验平台本文为了更直观、更真实地表现论文的实际价值,将使用模拟仿真软件来实现网络的搭建。本文所涉及的网络构建、模拟、测试等软件平台如下:操作系统平台:MicrosoftWindows7网络仿真软件:CiscoPacketTracer,GNS3,DynamipsGUI网络设计需求分析总体需求分析企业网络的总体需求即是一个统一、可靠和安全的自动化办公硬件平台系统。这个企业网络系统必须满足如下几点:满足现代企业管理的统一,设计网络系统时增加对统一管理的要求;满足现代企业自动

6、化办公对网络带宽的苛刻需求,提供高性能的网络处理能力;满足现代企业部门多,资源分配有限的现状,合理规划网络层次,实现最优的资源共享;满足现代企业的发展及科技进步的需要,提供拓展能力强、升级灵活的网络环境;满足现代企业对信息资源的共享与安全,提供完善的网络安全解决方案;满足现代企业对办公效率及成本控制的需求,增加一套高效的网络应用解决方案。具体需求分析基本架构的需求针对大中型企业网设计,网络结构采用典型的三层网络结构,并使用VLAN技术来对网段进行划分管理;考虑到未来网络的发展,使用当今流行的千兆以太网技术,实现千兆核心、百兆接入;核心网络设备的冗余备份,实现公司内部的无间断运作;组建WLAN(

7、无线局域网)区域,由于无线只用于较少的场合,这里选用无线AP+交换机(有线)的组合,实现简单、经济的无线网络解决方案。网络出口和接入租用电信固定IP,申请高速的宽带网络,能通过Internet向外公布和发布企业信息,并能实施VPN(虚拟专用网络)方案;使用PAT(端口地址转换)和端口映射,在满足内网连接Internet的同时能够让外网正确访问公共服务器。网络安全的需求采用访问控制措施对内网对外网、内网对DMZ(非军事区)、外网对DMZ的防火墙设置,阻止恶意流量的侵入;启用VPN解决方案,在最经济的条件下实现安全的异地信息共享,并能实现移动办公;因内网使用DHCP(动态主机配置协议)解决方案,启

8、用DHCP过滤、动态ARP(地址解析协议)检测等手段对内网安全进行巩固;对非员工区域以及无线网络接入启用802.1x+radius服务器验证方案;公司内部计算机安装防病毒软件来实施全网的病毒安全防护。硬件安全的需求网络中心机房规格应符合相关管理标准,机房建设的好坏直接关系到机房内计算机系统是否能稳定可靠地运行;配置高质量电源,设置良好的接地系统,并且安装UPS(不间断电源)装置;做好网络监控与安全措施,防止非授权人员直接进入机房实施入侵。服务器选择需求由于网络产品的性能、质量和功能与其价钱成正比,因而在一些关键性服务器的选择上,如数据库服务器、Web/Mail服务器等负荷较重的业务上应该选择性

9、能较强的产品,而一些工作负载较少的应用,如DHCP服务器、DNS服务器等,可选择配置较好的普通PC来承担。网络的安全教育建立一套完整的网络管理规定和网络使用方法,并要求网络管理员和网络使用人员必须严格遵守;加强对网络管理员和网络使用人员的培训;制定合适的网络安全策略,让网络用户在使用网络的过程中逐步把网络当成工作中的一个得力工具,从而自觉地维护网络的安全。网络总体设计方案网络结构设计企业网络,在本设计中也可在本设计中也可以称为园区网,园区网是非常典型的综合型网络实例,园区网通常是指大学的校园网及企业的内部网(intrfaceernet)。园区网分为3个部分,分别是交换网络,路由网络和远程登陆网

10、络,主要的中心部分是交换网络部分。主干结构设计本设计将网络结构分为三层:接入层、汇聚层和核心层。使用三层网络结构适合大中型企业的实际规模;二是这能提高网络对突发事故的自动容错能力,减少网络故障排错的难度和时间;三是采用此网络分层有利于企业将来更灵活地对企业网升级扩大。3.1.2楼层局域网设计接入层采用支持802.1Q的10/100Mbps工作组以太网交换机,交换机的数据依据用户端口数、可靠性及网管要求配置网络接入交换机,使10/100Mbps流量接至桌面。互联网接入设计互联网接入由位于网络中心的DMZ交换机、WWW服务、E-mail服务、防火墙、路由器、Intrfaceernet光纤接入组成。

11、向电信申请一个固定IP,提供外网服务器的访问服务。VLAN设计通过VLAN将相同业务的用户划分在一个逻辑子网内,各工作组交换机采用基于端口的VLAN划分策略,划分出多个不同的VLAN组,分隔广播域。同样在千兆/百兆以太网上联端口上设置802.1Q协议,设置通信干道(Truck),将每个VLAN的数据流量添加标记,转发到主干交换机上实现网络多层交换。VPN设计通过Intrfaceernet采用VPN数据加密技术,构成企业内部虚拟专用网,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。网络拓扑设计本设计中用的到的设备采用Cisc。公司的网络设

12、备构建。全部网络设备使用同一厂商设备的主要原因是在于可以实现各种不同网络设备功能的兼容以及互相配合和补充。内部服务器群外部服务器群SW33网管部门汇聚层SW11VLAN40VLAN50NetMag核心层Core2SW1SW12SW13SW21无线(会议室、访客厅)DMZGatewayVP分支机Internet0SW2SW22SW31SW3SW32家庭用户接入层设计的网络拓扑设计图如图3.1所示。图3.1网络拓扑设计图在图3.1的拓扑中,接入层选用较廉价的二层交换机,如Catalyst2960等;汇聚层选用中性能三层交换机,如Catalyst3560;核心层选用性能更加强大的三层核心交换机,如C

13、atalyst4500系列,甚至Catalyst6500系列。防火墙则选用ASA5500系列,网关路由器则选用3600系列路由器(由于仿真软件的设计问题,实验设计中未必能选用到一模一样的网络设备,但由于设计和功能上的设计,在实验环境下并没有太大差别,只有在实际环境下,对性能的考验才有较明显的差异)。VLAN与IP地址规划VLAN(VirtualLocalAreaNetwork)的中文名为“虚拟局域网通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。一个合适的园区网,就需要一个合理的交换机网络,本设计中应用VLAN划分不同区域。在本设计中,整个企业网中V

14、LAN及IP编址方案如下表3.1所示。表3.1VLAN及IP编址方案VLAN号名称IP网段默认网关VLAN10部门单位1Units1/24VLAN11部门单位2Units2/24VLAN20部门单位3Units3/24VLAN21部门单位4Units4/24VLAN22网管部门NetMag/24VLAN30部门单位5Units5/24VLAN31部门单位6Units6/24VLAN40会议室MeetingRoom/24VLAN50访客厅Guest/24说明允许访问服务器群网段、外网禁止部门间互访允许访问服务器群网段、外网禁止部门间互访允许访问服务器群网段、外网禁止部门间互访允许访问服务器群网段

15、、外网禁止部门间互访允许(发起)访问公司各个VLAN、外网允许访问服务器群网段、外网禁止部门间互访允许访问服务器群网段、外网禁止部门间互访允许访问服务器群网段、不允许访问外网禁止部门间互访只允许访问外网VLAN60服务器群Servers/24外部服务器群/24不允许主动发起连接,除email/FTP服务器相关协议外不允许主动发起连接,PublicSer除email/FTP服务器相关协议外VPN接入/24仅允许访问内部服务器内部路由地址192.168.0.X/30VLAN1管理VLAN/24192.168.11.X管理二层交换机如表3.1所示,每个VLAN分配IP网段的网络位均为24位,每个网段

16、都会保留前10个地址,用作网关、管理以及部门服务器等用途,主机位(二进制)为全0或全1的地址不分配,即每个分配到PC用的地址将有244个。模块设计与仿真结合网络拓扑设计,本企业网设计方案可以分为以下四大部分构成:交换模块广域网接入模块远程接入模块安全加固模块。交换模块由CiscoPacketTracer进行模拟仿真,广域网接入摸快、远程接入模块和安全模块使用GNS3、DynamipsGUI进行模拟仿真(由于模拟实验与真实平台有一定差异,一些命令配置并不能完全在模拟环境下实现)。4网络详细设计方案4.1交换模块设计交换模块由CiscoPacketTracer5.3和GNS3进行模拟仿真。具体仿真

17、软件拓扑图如图4.1所示。Z4TTUtd2-PT0-nnnPC-PTPC-PTPC32960-24TTSW3229&0-24TTSW222960-24TTSW31AccessPo-int-PT-NVLAN40MeetingRoomServer-DHCP/DNSSer/erEmaiFilPTerverSeer-PPublicEmailerver-PTWeb2811Gateway2960-24NetMagAccessPoint-PT-NPC-PTPC-PT图4.1交换模块仿真软件拓扑设计图根据拓扑设计的要求,本次仿真设计所使用的设备有:Catalyst2960二层交换机、Catalyst3560三

18、层交换机、通用路由器(标识为防火墙)、Cisco2811、通用服务器设备、瘦AP(无线接入点设备)、台式PC、便携PC。基础配置1、设置设备命名设置设备名称,称为Hostname,也就是出现在网络设备CLI提示符中的名字。为方便识别,一般以地理位置或行政划分来为交换机命名。当需要远程登录(Telnet)到若干台设备以维护网络时,通过其名称提示符可以得知自己当前配置设备的位置以清楚当前位置。这里以交换机SW1为例:switch(config)#hostnameSW1SW1(config)#2、设置设备密码当用户想要进入特权用户模式时,需要提供此口令。此口令会的形式加密是MD5,所以当用户查看配置

19、文件时,是无法看到明文形式的口令。将交换机的加密口令设置为gdin_alex:SW1(config)#enablesecretgdin_alex3、远程登录密码对于交换机的远程管理来说,一个已经运行着的交换网络为网络管理人员提供了很多的方便。出于安全考虑,在能够远程管理交换机之前网络管理人员必须设置远程登录设备的密码。设置交换机远程登录用户身份验证,同时设置口令为gdin_alex:SW1(config)#linevty015SW1(config-line)#loginSW1(config-line)#passgdin_alex4、线路超时时间为了防止管理员长时间离开,导致其他人趁机利用管理员

20、权限,所以就需要设置终端线超时时间。在设置的时间5分钟内,如果没有检测到键盘输入,贝0IOS将断开交换机和用户之间的连接,重新登陆需要输入密码。设置登录交换机的控制台终端线路超时时间为5分钟:SW1(config)#linevty015SW1(config-line)#exec-time5设置登录交换机的虚拟终端线的超时时间为15分钟:SW1(config-line)#lineconsole0SW1(config-line)#exec-time155、设置禁用IP地址解析特性在交换机默认配置下,当管理员输入一条错误的交换机命令时,交换机会寻找网络上的DNS服务器并且将其广播给网络上的DNS服务

21、器,寻找到DNS服务器就将其解析成对应的IP地址,寻找不到就退出ipdomain-lookup,在此期间将会有一段时间不可以操作设备。在全局模式下输入命令noipdomain-lookup。可以禁用这个特性。设置禁用IP地址解析特性:SW1(config)#noipdomain-lookup6、设置启用消息同步特性在输入命令的时候会被交换机产生的消息打乱,导致管理员看不清输入的命令。可以在linecon0下使用命令loggingsynchronous,设置交换机在产生消息时在下一行CLI提示符后复制用户输入的字符。设置启用消息同步特性:SW1(config)#lineconsole0SW1(c

22、onfig-line)#logggingsynchronous内网连通1、VTP和VLAN划分在一个庞大的企业网内中使用VTP技术有利于vlan配置,将网管部所在的接入层交换机NetMag设置成为VTP服务器,其他交换机设置成为VTP客户机。交换机群将通过VTP学习获得在交换机NetMag中定义的所有VLAN的信息并且自己不可以创建,修改VLAN。默认情况下在交换机发送VTP报文更新的时候会向交换机上所有的TRUNK端口去发送,因此这些更新会占用一部分带宽,所以启用VTP修剪是将一些没有必要的流量修剪掉。VTP修剪(VTPPruning)是VTP的一个功能,它能减少中继链路上不必要的信息量,在

23、所有交换机上配置VTP修剪。以SW1为例子设置交换机成为VTP客户机:SW1(config)#vtpmodeclientSW1#vtppruning设置交换机NetMag为VTP服务器,并进行VLAN的划分配置:NetMag(config)#vtpmodeserverNetMag(config)#vlan10NetMag(config-vlan)#nameUnits1NetMag#vtppruning2、管理VLAN和IP设置为了方便网络管理人员可以从远程登录到交换机上进行管理,所以给接入层和汇聚层交换机设置一个管理用IP地址。此IP地址并不用于路由功能,这种情况下,而是将交换机看成和PC机一

24、样的主机。给交换机在VLAN1设置管理IP地址。按照表3.1,管理VLAN所在的子网是:/24,将/24设为接入层交换机SW11的管理IP地址。在全局模式下为接入层交换机SW11设置管理IP并激活主VLAN。SW11(config)#intrfacerfacevlan1SW11(config-if)#ipaddressSW11(config-if)#noshutdown3、接口双工每个接口的双工类型有2种,一种是自动适应,另一种是手动配置;每个接口双工模式有2种,一种是半双工,另一种是全双工。根据需要可以设定某接口根据对端设备双工类型自适应本接口双工模式,也可以强制将接口双工模式设为半双工或全

25、双工模式。在了解对端设备类型的情况下,建议手动设置端口双工模式。需要解释的是半双工和全双工的区别,全双工(FullDuplex)是指在发送数据的同时也能够接收数据;半双工(HalfDuplex)是指能发不能收,能收不能发。一般情况下都是设置全双工模式。设置SW11的所有接口均工作在全双工模式下:SW11(config)#intrfacerangeFastEthernetO/1-24SW11(config-if-range)#duplexfull4、接口速率接入层交换机接口速度只有3种情况,第一种是10Mbps,第二种是100Mbps,第三种是AUTO,即自适应速度。默认情况下是AUTO,在知道

26、对端设备速度的情况下,建议手动设置接口,一般设置为100Mbps。设置在接口模式下。设置访问层交换机SW11的所有接口的速度均为100Mbps:SW11(config)#intrfacerangeFastEthernet0/1-24SW11(config-if-range)#speed1005、VLAN接口划分接入层交换机SW11为终端用户提供接入服务。在此以SW11为例,配置接入层交换机的VLAN接口划分。如图4.2中,接入层交换机SW11为VLAN40和VLAN50(会议室和访客厅接入)提供接入服务。AccessPoint-FT-NAccessPoint-PT-NVLAN40Meeting

27、RoomVLAN50Guest图4.2交换机SW11接口VLAN在接口配置模式下,将交换机SW11的接口Fastethernet0/2划入VLAN40,将接口Fastethernet0/3划入VLAN50内。SW11(config)#intrfaceFastEthernet0/2SW11(config-if)#switchportmodeaccSW11(config-if)#switchportaccessvlan40SW11(config)#intrfaceFastEthernet0/3SW11(config-if)#switchportmodeaccessSW11(config-if)#s

28、witchportaccessvlan50其他接入层交换机根据具体需要,类似上述配置进行操作。6、干道(Trunk)链路所谓的TRUNK是用来在不同的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯。其中交换机之间互联用的接口就称为TRUNK接口。如果是不同台的交换机上相同id的vlan要相互通信,那么可以通过共享的trunk端口就可以实现。如图4.3所示,接入层交换机SW11通过接口FastEthernet0/24上连到汇聚层交换机SW1的接口FastEthernet0/3。汇聚层交换机SW1通过接口FastEthernet0/23上连到核心层交换机Core

29、l的接口FastEthernet0/1。同时,汇聚层交换机SW1通过接口FastEthernet0/24上连到备份核心层交换机Core2的接口FastEthernet0/1。FO/24FO/24J0/335&0-4PSSVV160-2.4P5Care235&012斗护F0/1图4.2部分干道链路示例设置接入层交换机SW11的接口FastEthernet0/24为干道接口:SW11(config)#intrfaceFastEthernet0/24SW11(config-if)#switchportmodetrunk设置接入层交换机SW1的接口FastEthernet0/23和0/24主干道接口:

30、SW1(config)#intrfacerangeFastEthernet0/23-24SW1(config-if-range)#switchporttrunkendoSW1(config-if-range)#switchportmodetrunk设置接入层交换机Core1和Core2的接口FastEthernet0/1为干道接口:Core1(config)#intrfaceFastEthernet0/1Core1(config-if)#switchporttrunkendoCore1(config-if)#switchportmodetrunkCore2(config)#intrfaceFa

31、stEthernetO/1Core2(config-if)#switchporttrunkendoCore2(config-if)#switchportmodetrunk在此以SW11、SW11、Corel、Core2之间的三条干道链路为例。这三条上连链路为干道链路,在这三条上连链路上将运输多个VLAN的数据,Trunk干道使用标准协议dot1q。图4.3所示为交换模块需要配置成干道链路的部分(加粗部分)。图4.3交换模块干道链路7、VLAN网关在核心层交换机上为每个VLAN配置VLAN虚接口地址,作为每个VLAN的网关。有网关地址,用户接入网络才能正常访问各种资源。由于本次设计有核心冗余,多

32、VLAN使用同一组HSRP,因此两个核心交换机的VLAN虚接口地址不能相同。详细地址分配将在下文进行介绍,这里只选择VLAN10和VLAN11的虚接口地址进行配置介绍。VLAN10和VLAN11的虚接口地址如下:在Core1交换机VLAN虚接口物理IP地址:VLAN10:/24VLAN11:/24在Core2交换机VLAN虚接口物理IP地址:VLAN10:/24VLAN11:/24Core1配置过程如下:Core1(config)#intrfaceerfacevlan10Core1(config-if)#ipaddressCore1(config)#intrfaceerfacevlan11Co

33、re1(config-if)#ipaddressCore2配置过程如下:Core2(config)#intrfaceerfacevlan10Core2(config-if)#ipaddressCore2(config)#intrfaceerfacevlan11Core2(config-if)#ipaddress其他VLAN虚接口配置过程相类似,不再赘述。8、IP分配动态主机设置协议(DynamicHostConfigurationProtocol,DHCP)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址给用户;给内部网络管理员作为对所有计

34、算机作中央管理的手段。为了安全需要(具体原因在安全加固模块详细说明)和方便,员工的主机IP都是通过DHCP进行自动分配。但由于DHCP服务器与各主机并不在同一个网段内,DHCP客户端(主机PC)并不能发现其他网段的DHCP服务器,因此需用使用DHCP中继代理(DHCPRelay)来为不同网段的主机分配IP信息。在Corel的每个VLAN虚接口上配置DHCP中继代理,这里以VLAN10为例:Core1(config)#interfacevlan10Corel(config-if)#iphelper-addressl92.l68.60.ll1为DHCP服务器的地址,在VLAN60网段。在各VLAN

35、虚接口配置好后,各个VLAN内的主机就能正常向DHCP服务器发送请求信息,并获取到IP信息。9、接入层交换机的其它可选配置以及特性(1)Uplinkfast在STP收敛过程中,一些终端站点可能会不可达,这是基于站点所连接交换机端口的STP状态而定。这打乱网络连接,于是关键是减少STP的收敛时间和网络受影响的时间。当链路或交换机故障,或STP重新配置后,UplinkFast可以加速选择一个新的根端口。根端口立即进入转发状态,Uplinkfast通过减少最大更新速率来限制突发多播流量。Uplinkfast对于网络边缘的布线间交换机非常有用。它不适用于骨干设备。UplinkFast在直连链路故障后提

36、供快速的收敛能力,并通过上行链路组在冗余。UplinkFast激活一个快速重新配置的条件:在交换机上必须启动了UplinkFast功能;至少有一个处于Blocking的端口(即有冗余链路);链路失效必须发生在RootPort上。对接入层交换机进行配置:SW11(config)#spanning-treeuplinkfast注意,因为交换机启动了UplinkFast后,由于提高了交换机上所有端口的路径开销,所以不适合作为根桥。所以Uplinkfast特性只能在接入层交换机上启用。(2)BackbonefastBackbonefast的作用与Uplinkfast类似,同样是用于加快生成树的收敛。不

37、同的是,配置了Backbonefast可以检测到间接链路(不直接相连的链路)故障并立即将相应阻塞端口的最大寿命计时器计数马上到时,从而缩短了该端口开始转发数据包的时间。如下配置所示,显示在接入层交换机SW11上启用Backbonefast特性。同样的步骤需要在网络中的所有交换机上进行配置。SW11(config)#spanning-treeBackbonefast核心冗余1、HSRP冗余概述此设计企业网核心由两个高性能三层交换机组成,它们组成一个“热等待组”,这个组形成一个虚拟网关。在任一时刻,一个组内只有一个交换机是活动的,并由它来转发数据包,如果活动交换机发生了故障,将选择一个等待交换机来

38、替代活动交换机,但是在本网络内的主机看来,虚拟网关没有改变,所以主机仍然保持连接,没有受到故障的影响,这样就较好地解决了交换机切换的问题。活动交换机称为Primary,等待交换机称为Standby,它们两者共同组成一个HSRP组。每个热等待组模仿一个虚拟设备工作,它有一个Well-known-MAC地址和一个IP地址。该IP地址、组内路由器的接口地址、主机在同一个子网内,但是不能一样。企业网组网设计与仿真实现注:表中圆点符号表示该设备为该VLAN在HSRP中的Primary。 当在一个局域网上有多个热等待组存在时,把主机分布到不同的热等待组,可以使负载得到分担。在此设计中将利用HSRP和PVS

39、T(Per-VLANSpanningTree)实现多VLAN负载均衡。如图4.4所示,搭建网络环境,并配置HSRP以及生成树来实现负载均衡。SW1图4.4核心冗余网络拓扑2、HSRP规划(1)HSRP参数规划如表4.1所示HSRP参数活动设备备份设备优先级150100(默认)占先权是是计时器默认默认组号1,10,11,20,21,22,30,31,40,50,60对等体认证加密方式MD5密码gdinalex(2)各个VLAN在父换机的虚接口地址以及Primary/Standby关系如表4.2所示表4.2IP地址与主从关系Core1Core2虚拟网关表4.1HSRP参数规划表VLAN1VLAN1

40、0VLAN11VLAN20VLAN21VLAN22VLAN30VLAN31VLAN40VLAN50VLAN60F0/6/24/24/24/24/24/24/24/24/24/24/24/30/24/24/24/24/24/24/24/24/24/24/24/30企业网组网设计与仿真实现 3、配置以太通道以太通道为交换机提供了端口捆绑的技术,允许两个交换机之间通过两个或多个端口并行连接,同时传输数据,以提供更高的带宽。因选用思科产品,所以将使用端口聚集协议(PAgP)来建立以太通道。捆绑Corel的FastEthernetO/23和FastEthernetO/24接口加入Channel-grou

41、pl并将port-channell配置为Trunk模式。Core1(config)#intrfacerangeFastEthernet0/23-24Corel(config-if-range)#channel-grouplmodeonCorel(config-if-range)#exiCorel(config)#interfaceport-channellCorel(config-if)#switchporttrunkencapsulationdotlqCorel(config-if)#switchportmodetrunk在交换机Core2上进行相同配置。4、配置HSRP在此省略核心交换机C

42、ore1、Core2与防火墙FW1之间的接口IP配置步骤,以及相互之间的路由连通问题,将在广域网接入模块进行描述。根据表4.2的要求信息,这里简单描述Core1和Core2在VLAN10和VLAN11虚接口上的HSRP配置。(1)Core1配置Corel(config)#interfacevlanl0Core1(config-if)#ipaddressCore1(config-if)#standby10ipCore1(config-if)#standby10priority150Core1(config-if)#standby10preemptCore1(config-if)#standby1

43、0trackFastEthernet0/6100Core1(config-if)#standby10authenticationmd5gdin_alexCore1(config)#interfacevlan11Core1(config-if)#ipaddressCore1(config-if)#standby11ipCore1(config-if)#standby11preemptCore1(config-if)#standby11authenticationmd5gdin_alex(2)Core2配置Core2(config)#interfacevlan10Core2(config-if)#

44、ipaddressCore2(config-if)#standby10ipCore2(config-if)#standby10preemptCore2(config-if)#standby10authenticationmd5gdin_alexCore2(config)#interfacevlan11Core2(config-if)#ipaddressCore2(config-if)#standby11ipCore2(config-if)#standby11priority150Core2(config-if)#standby11preemptCore2(config-if)#standby1

45、1trackFastEthernet0/6100Core2(config-if)#standby11authenticationmd5gdin_alex其他VLAN虚接口类似上述配置进行操作即刻。5、配置STP实现VLAN负载均衡思科交换机上是以PVST/PVST+技术来控制STP优先级。根据表4.2的要求信息,这里简单描述Corel和Core2在VLAN10和VLAN11上的PVST配置。Core1配置Corel(config)#spanning-treevlanl0rootprimaryCore1(config)#spanning-treevlan11rootsecondaryCore2配

46、置Core2(config)#spanning-treevlan10rootsecondaryCore2(config)#spanning-treevlan11rootprimary配置完毕后,在核心交换机和相关链路运行正常情况下,VLAN10的流量将通过交换机Core1进行处理,VLAN11的流量既通过Core2进行处理。如果其中一台核心交换机或其中一条核心交换机相连的链路出现故障,VLAN流量将转移到备份设备上处理。其他VLAN的PVST配置参照上述配置进行操作即刻。无线访问无线局域网(WLAN,WirelessLocalAreaNetwork)可定义为,使用射频(RF,RadioFreq

47、uency)微波(Microwave)或红外线(Infrared),在一个有限地域范围内互连设备的通信系统。一个无线局域网可作为有线局域网的扩展来使用,也可以独立作为有线局域网的替代设施。因此,无线局域网提供了很强的组网灵活性。要连接上WLAN网络,必须要在主机PC上设置好与WLAN网络相同的SSID,才能连接上无线信号。SSID(ServiceSetIdentifier)也可以写为ESSID,用来区分不同的网络,最多可以有32个字符,无线网卡设置了不同的SSID就可以进入不同网络,SSID通常由AP广播出来,通过操作系统自带的扫描功能可以查看当前区域内的SSID。简单说,SSID就是一个局域

48、网的名称,只有设置为名称相同SSID的值的电脑才能互相通信。在本设计中,将把WLAN用作有线局域网的补充来实施,在大中型企业网中按需而设地进行无线区域的规划。如图4.5所示,本设计对会议室和访客厅进行无线区域的规划。因为在本设计中WLAN方案只作为有线局域网的补充,加上实际规划是以地理位置做除了区域区分,因此,在本设计中将采用单SSID方案,即一个AP会话一个SSID。但出于安全考虑将不广播SSID,此时用户就要手工设置SSID才能进入相应的网络。AccessPo-int-PT-NVLAN50Guest图4.5AP接入点规划将会议室的AP设备的SSID设置为Meeting-Room,不设置密码

49、,如图4.6(a)所示;访客厅的AP设备的SSID设置为Guest,设置密码为gdin_alex,如图4.6(b)所示;把他们的传输双工设置为全双工,如图4.6(c)所示。上述步骤均可在AP的GUI界面进行。55CD匚hmrmwl0is-3bled证PftWPA-P5KWA2-P5KPassPhrase1EncrypLonTVPeDisabledChannel6-AuthentiCBbori匚Disabil_:WEPKeyWPA-P5K0WPA2-PSKPassPhrase!jdin_BhaxiEncryptioiTypaABE会议室无线AP设置访客厅无线AP设置0AUtO100MbpsBan

50、dwidth:)10MbpsDuplexHAutooFullDuplexE*HaEfDuplex速率与双工设置图4.6无线AP设置由于模拟环境的不支持,本设计中设置的AP只是简单的无线接入设备,只要设置要SSID和密码即刻使用。因此在本设计中将不对AP配置进行详细介绍,详细的访问控制设置将在安全加固模块进行介绍。4.2广域网接入模块设计交换模块由GNS3进行模拟仿真。由于模拟仿真软件的限制,并不能很好地将CiscoPacketTracer结合起来,因而下文将以分模块进行配置介绍。具体仿真软件拓扑图如图4.7所示。图4.7广域网接入模块仿真拓扑按照图3.1的网络拓扑设计,仿真软件拓扑上设置有一台

51、ASA,台路由器,两台多层交换机,和一台二层交换机。本模块将对内网访问广域网、广域网访问公共服务器群,路由连通性等方面进行配置介绍。由于仿真软件的差异,设备的接口与前文描述的稍有不同,但已做到尽量相近。路由连通这一小节将对拓扑上的三层设备进行路由的配置,使他们能够正确地把数据传输到指定的位置。1、IP地址规划根据表3.1的规划,内部路由地址将使用192.168.0.X/30网段,根据拓扑需要,一共使用6个IP,4个网段,其中防火墙FW的e3为外部服务器群的网关口,因而使用/24网段,具体会话如表4.3所示。表4.3内部路由IP地址规划设备接口号地址、掩码网络号Core1F1/6/30Core2

52、F1/6/30FWE1(inside1)/30E2(inside2)/30E0(outside)/30E3(dmz)/24GatewayF0/00/30注:网络号地址是用于动态路由协议配置使用2、地址配置这里以Core1为例,简单介绍三层设备的接口配置Core1(config)#interfacefastEthernet1/6Core1(config-if)#noswitchportCore1(config-if)#ipaddress52这里以FW为例,简单介绍防火墙的接口配置由于ciscoASA产品与路由器交换机的系统有差异,配置命令稍有差异。FW(config)#interfaceethe

53、rnet0/1FW(config-if)#ipaddress52FW(config-if)#nameifinside1FW(config-if)#security-level100FW(config-if)#noshutdownFW(config)#interfaceethernet0/2FW(config-if)#ipaddress52FW(config-if)#nameifinside2FW(config-if)#security-level100FW(config-if)#noshutdownFW(config)#interfaceethernet0/0FW(config-if)#ipa

54、ddress52FW(config-if)#nameifoutsideFW(config-if)#noshutdownFW(config)#interfaceethernet0/3FW(config-if)#ipaddressFW(config-if)#nameifdmzFW(config-if)#security-level50FW(config-if)#noshutdown3、动态路由协议配置本小点将对三层端口进行地址配置和动态路由协议的配置。由于考虑到产品扩展和网络规模的增加,这里不先用思科专用EIGRP协议,而是选用工业标准的OSPF协议。(1)这里以Corel为例,简单介绍三层设备的

55、OSPF配置(Core2相似)Core1(config)#routerospf1Core1(config-router)#networkarea0在这里还要把各VLAN网段也通告出去。根据表4.2的地址网段进行配置。Core1(config-router)#network55area0Core1(config-router)#network55area0Core1(config-router)#network55area0Core1(config-router)#network55area0Core1(config-router)#network55area0Core1(config-rout

56、er)#network55area0Core1(config-router)#network55area0Core1(config-router)#network55area0Core1(config-router)#network55area0Core1(config-router)#network55area0这里以FW为例,简单介绍防火墙的OSPF配置FW(config)#routerospf1FW(config-router)#network52area0FW(config-router)#network52area0FW(config-router)#networkarea0对Gat

57、eway进行动态路由协议配置,并通告自己为默认网关Gateway(config)#routerospf1Gateway(config-router)#networkarea0Gateway(config-router)#default-informationoriginatealways4、防火墙放行流量由于防火墙ASA特有的机制,默认情况下,外网的流量是不允许流进内网的,这里必须进行ACL(访问控制列表)的配置,初步放行所有流量。FW(config)#access-listoutsidepermitipanyanyFW(config)#access-groupoutsideininterfa

58、ceoutside这样就可以初步把所有从outside口(既eO口)进来的流量都放行了。但这不安全的,因为放行的是所有的IP流量,所以必须要对流量进行细分,将在下小节进行细分,并在安全加固模块将对防火墙进行安全加固。广域网访问广域网接入模块的功能是由广域网接入路由器Internet路由器来完成的。采用的是Cisco的3640路由器(3600系列的路由器就可以了,只是由于现在在市场中3640比较通用)。它通过自己的串行接口serial0/0使用DDN(128K)技术接入Internet,DDN是利用数字信道传输数据信号的数据传输网数字数据网是一种利用光纤、数字微波或卫星等数字传输通道和数字交叉复

59、用设备组成的数字数据传输网,它可以为用户提供各种速率的高质量数字专用电路和其他新业务,以满足用户多媒体通信和组建中高速计算机通信网的需要。主要由六个部分组成:光纤或数字微波通信系统;智能节点或集线器设备;网络管理系统;数据电路终端设备;用户环路;用户端计算机或终端设备。它的主要作用是向用户提供永久性和半永久性连接的数字数据传输信道,既可用于计算机之间的通信,也可用于传送数字化传真,数字话音,数字图像信号或其它数字化信号。永久性连接的数字数据传输信道是指用户间建立固定连接,传输速率不变的独占带宽电路。半永久性连接的数字数据传输信道对用户来说是非交换性的。但用户可提出申请,由网络管理人员对其提出的

60、传输速率、传输数据的目的地和传输路由进行修改。网络经营者向广大用户提供了灵活方便的数字电路出租业务,供各行业构成自己的专用网。DDN提供半固定连接的专用电路,是面向所有专线用户或专网用户的基础电信网,可为专线用户提供高速、点到点的数字传输。DDN本身是一种数据传输网,支持任何通信协议,使用何种协议由用户决定(如X.25或帧中继)。所谓半固定是指根据用户需要临时建立的一种固定连接。对用户来说,专线申请之后,连接就已完成,且连接信道的数据传输速率、路由及所用的网络协议等随时可根据需要申请改变。其作用主要是在Internet和企业网内网间路由数据包。本小节主要集中在网关Gateway的配置上,图4.

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论