网络规划设计方案

目录第1节校园网络总体设计概述 3第2节网络需求分析 52.1网络基本状况 52.2网络建设任务与性能规定 6第3节选择关键网络设备 63.1设计方案阐明 63.2选择关键层互换机 7第4节校园网络拓扑构造图设计 84.1总体设计原则与设备措施 84.2各区网络拓扑构造图 94.2.1A区网络拓扑图 94.2.2B区网络拓扑图 94.2.3C区网络拓扑图 10第5节配置命令 115.1A校区配置命令 115.1.1关键层互换机的配置 115.1.2汇聚层互换机的配置 125.1.3防火墙ACL规则配置与应用 125.1.4边界路由的配置 145.1.5服务器群接入互换机的配置 155.2B校区的配置命令 165.2.1关键层互换机的配置（配置命令同A区的） 165.2.2汇聚层互换机的配置（配置命令同A区的） 165.3C校区的配置命令 165.3.1关键层互换机的配置 165.3.2防火墙的配置 175.3.3边界路由的配置 175.3.4汇聚层互换机配置 18第6节地址规划 196.1A校区地址规划 196.2B校区地址规划 206.3C校区地址规划 216.4校园网段地址规划 21第7节公网地址使用规划 237.1Chinanat公网地址使用规划 237.2Cernet共网地址使用规划 24第8节收获及体会 24第1节校园网络总体设计概述校园网络是非常经典的综合网络实例。为了阐明重要问题，在本设计方案中对实际校园网的设计进行了合适的和必要的简化。同步，将重点放在网络的主干的设计上，重要是针对某些设备的配置环节、配置命令、排查故障以及诊断命令和措施。其中包括三层加换机、路由器的配置，路由的添加，静态和动态路由的配置，尚有NAT转换等，此外对于服务器的架设只作简朴简介，并且该试验中的防火墙所有有路由器来替代和配置。尚有本设计所有是用思科设备来模拟试验的，并且是在思科模拟器上完毕的，某些线路都采用简化的手段，详细内容参照有关参照书。在下面的拓扑图中，该校园有三个校区，称为A区、B区和C区。对于每个区域之间而言，都是通过cisco3560-24关键互换机互联的，在每个区域中，每个楼层是由cisco3560-24汇聚层互换机连接关键层互换机，在汇聚层互换机上有连接两个2950T-24接入层互换机，最终在每个接入层互换机上接一种主机。如下为校园网络的总体拓扑图：第2节网络需求分析2.1网络基本状况某高校有3个校区，称为A区、B区、C区。A区和C区规模较大，B区规模较小。A区与B区光纤线路长度在30km左右，租用裸纤（指仅租用光纤线路，不租用两端的网络设备）专线实现这两个校区间的互联。A区与C区相距较远，约60km，因此不能采用光纤专线，而采用MPLSVPN实现A区与C区的互联。A区和C区各设置一种中心机房，但已A区为主。A区和C区的重要应用服务器放在各自校区的中心机房中，但校区间也你能互访这些服务器。A区的服务器重要有Web服务器、邮件服务器、教务管理服务器、视频点播服务器、DNS服务器等合计约10多台服务器。Web服务器和邮件服务器规定同步接入电信ChinaNET网和教育网（Cernet）。C区的服务器重要有教务管理服务器、电影服务器等。A区使用的公网地址段为2，子网掩码为24，共32个IP地址；网关地址为3，子网掩码为52。A区的教育网地址段为/24，共256个IP地址；网关地址为，子网掩码为52。C区实用的公网地址段为28，子网掩码为24，共32个IP地址；网关地址为29，子网掩码为52。2.2网络建设任务与性能规定先规定组建这3个校园网络，事先3个校区间互联互通，并能访问因特网。网络要易于扩展和维护、性能和可靠性高、安全性好。规定校园网采用万兆关键、千兆主干、百兆互换到桌面。A区与B区采用千兆光纤链路互联，A区与C区采用100Mb/sMOLSVPN实现互联。A区因特网出口设置2条，一条接入电信ChinaNET网，采用100Mb/s光纤专线接入；另一条接入教育科研网（Cernet），采用10Mb/s光纤专线接入。整个校园顾客（3个校区）访问教育网资源时通过教育网出口访问。C区设置一条因特网出口，采用100Mb/s光纤专线通过当地电信接入因特网。C校区顾客访问因特网时，默认采用该条链路出去访问；访问教育网资源时，通过教育网资源时，通过A区的教育网出口访问。第3节选择关键网络设备3.1设计方案阐明一般是先设计网络拓扑构造，然后再选择网络设备，此处先进行设备选型，再设计网络拓扑构造，以便在拓扑图中标注出设备型号。3个校区的网络建设在实际中是有先后次序的，是在发展过程中不停扩建的，此处是为了讲解和配置的以便，假设其网络是同步建设的。网络示例中所使用的设备型号为目前的主流设备，但不一定是最新的，对于后来新建网络，应选择符合时代的新型号。虽然设备型号和功能升级了，但组网的措施和配置方略是不会变化的，有关的配置命令也不会有太大的变化。C区与A区的网络建设措施基本相似，为防止反复简介，本书重点放在A区和B区网络的组建上。对于C区仅简介到其关键层与A区的互联实现措施，即重要简介两个远程局域网之间怎样实现互联互通。为便于同步简介Cisco和华为的设备配置，网络设备同步选择了两个厂商的主流设备。对于二层互换机，由于数量众多，拓扑构造图中就不再画出。3.2选择关键层互换机考虑到整个校园网规模较大，顾客主机数较多，关键层互换机采用华为万兆关键的路由互换机QuidwayS8505，该互换机拥有5个功能板插槽和2个引擎插槽，背板带宽为750Gb/s，包转发率为180Mb/s，并支持10GE接口，具有很强的互换处理能力和可扩展性。根据应用需要，配置一块拥有48个千兆以太网电口的功能板和一块拥有24口的千兆SFP光纤接口板，板上配置18个千兆多模光纤接口，用于连接到各幢楼的汇聚层互换机。为提高互换机的可靠性，配置双引擎。S8505的配置及外观如图2.16所示。光纤接口不够用时，可使用千兆的电口。使用内网地址的服务器群可使用部分千兆电口。使用共网地址的DMZ区服务器群使用CiscoCatalyst3750G-24T千兆互换机实现网络的千兆接入。另使用一台CiscoCatalyst3750G-24T作为千兆防火墙设备，保护DMZ区中的服务器群。各幢楼的汇聚层互换机采用华为的S3528P或Cisco3550-24或3560。B区的规模不大，关键层互换机采用Cisco4506互换机。3.3选择关键路由器由于网络顾客数较多，网络出口路由器也采用高端的华为QuidwayNE40-4互换路由器，并配置一块NAT转换板，以提高NAT转换的速度和负荷承受能力。网络的因特网出口有2个，与关键层互换机互联需要一种接口，与防火墙设备互联需要一种接口；教育网的招生录取系统需要直连教育网，否则招生录取系统运行有问题，因此，单独使用一种接口连接招生录取用机，故路由器的以太网接口至少需要5个；考虑到扩展性，增配2个SFP光纤接口，原则有5个以太网电口。NE40-4互换路由器接口配置及外观如图2.17所示。第4节校园网络拓扑构造图设计4.1总体设计原则与设备措施A区中的机房设置在综合楼的3楼，该幢楼的汇聚层互换机放在中心机房，由于该幢楼的楼层较高，分别在1楼和6楼的线井各设置1个机柜，放置接入层互换机。其他楼宇的配线间设置在各幢楼的中间楼层，汇聚层互换机和接入层互换机军方意在配线架的机柜中，汇聚层互换机采用多模光纤以千兆链路上连到关键层互换机的SFP光纤接口。4.2各区网络拓扑构造图4.2.1A区网络拓扑图4.2.2B区网络拓扑图4.2.3C区网络拓扑图第5节配置命令5.1A校区配置命令5.1.1关键层互换机的配置Switch>enableSwitch#confterminalSwitch(config)#iproutingSwitch(config)#intrangefa0/1-14Switch(config-if-range)#noswitchportSwitch(config-if-range)#exitSwitch(config)#intfa0/1Switch(config-if)#ipadd852Switch(config-if)#noshutdown其他端口的地址配置同上路由配置：Switch(config)#iproute7Switch(config)#iproute3Switch(config)#iproute9Switch(config)#iproute5Switch(config)#iproute1Switch(config)#iproute7Switch(config)#iproute3Switch(config)#iprouteSwitch(config)#iprouteSwitch(config)#iprouteSwitch(config)#iproute15.1.2汇聚层互换机的配置Switch>enableSwitch#confterminalSwitch(config)#iproutingSwitch(config)#intrangefa0/1-3Switch(config-if-range)#noswitchportSwitch(config-if-range)#exitSwitch(config)#intfa0/1Switch(config-if)#ipadd752Switch(config-if)#noshutdown其他端口的配置同上路由配置：Switch(config)#iproute8本校区的其他汇聚层互换机的配置同上5.1.3防火墙ACL规则配置与应用1>定义和应用WAN口的ACL规则的配置Switch(config)#ipaccess-listextendedfrom-centerSwitch(config-ext-nacl)#permittcpanyhosteqwwwSwitch(config-ext-nacl)#permittcpanyhosteq443Switch(config-ext-nacl)#permittcpanyhosteqrange2021Switch(config-ext-nacl)#permittcpanyhostSwitch(config)#ipaccess-listextendedfrom-chinanetSwitch(config-ext-nacl)#permittcpanyhost3eqwwwSwitch(config-ext-nacl)#permittcpanyhost3eq443Switch(config-ext-nacl)#permittcpanyhost3range2021Switch(config-ext-nacl)#permittcpanyhost3Switch(config-ext-nacl)#denyipanyanySwitch(config-ext-nacl)#exitSwitch(config)#intfa1/0Switch(config-if)#ipaccess-groupextendedfrom-centeroutSwitch(config-if)#intfa1/1witch(config-if)#ipaccess-groupextendedfrom-chinanetout2>定义和应用LAN口的ACL规则的配置详细配置同上3>定义和应用DMZ口的ACL规则的配置详细配置同上路由配置：Switch(config)#routerripSwitch(config-router)version2Switch(config-router)networkSwitch(config-router)networkSwitch(config-router)network5.1.4边界路由的配置Router>enableRouter#confterminalRouter(config)#intfa0/0Router(config-if)#ipadd952Router(config-if)#ipnatinsideRouter(config-if)#noshutdownFa0/1端口配置同上Router(config)#intfa1/0Router(config-if)#ipadd52Router(config-if)#ipnatoutsideRouter(config-if)#noshutdownFa1/1端口配置同上路由配置：Router(config)#routerripRouter(config-router)#version2Router(config-router)#network8Router(config-router)#networkRouter(config-router)#networkRouter(config-router)#network2NAT配置：Router(config)#access-list1permitanyRouter(config)#ipnatinsidesourcelist1intfa1/0overloadRouter(config)#access-list2permitanyRouter(config)#ipnatinsidesourcelist2intfa1/1overload5.1.5服务器群接入互换机的配置Switch>enableSwitch#confterminalSwitch(config)#iproutingSwitch(config)#intrangefa0/1-3Switch(config-if-range)#noswitchportSwitch(config-if-range)#exitSwitch(config)#intfa0/1Switch(config-if)#ipadd052Switch(config-if)#noshutdown其他端口的配置同上路由配置：Switch(config)#routerripSwitch(config-router)version2Switch(config-router)networkSwitch(config-router)networkSwitch(config-router)network5.2B校区的配置命令5.2.1关键层互换机的配置（配置命令同A区的）5.2.2汇聚层互换机的配置（配置命令同A区的）5.3C校区的配置命令5.3.1关键层互换机的配置Switch>enableSwitch#confterminalSwitch(config)#iproutingSwitch(config)#intrangefa0/1-3Switch(config-if-range)#noswitchportSwitch(config-if-range)#exitSwitch(config)#intfa0/1Switch(config-if)#ipadd52Switch(config-if)#noshutdown其他端口的地址配置同上路由配置：Switch(config)#routerripSwitch(config-router)version2Switch(config-router)networkSwitch(config-router)networkSwitch(config-router)network5.3.2防火墙的配置配置命令同A校区5.3.3边界路由的配置Router>enableRouter#confterminalRouter(config)#intfa0/0Router(config-if)#ipadd3052Router(config-if)#ipnatoutsideRouter(config-if)#noshutdownRouter(config)#intfa0/1Router(config-if)#ipaddRouter(config-if)#ipnatintsideRouter(config-if)#noshutdownFa1/1端口的配置同上NAT配置：Router(config)#access-list1permitanyRouter(config)#ipnatinsidesourcelist1intfa0/0overload路由配置Router(config)#routerripRouter(config-router)#version2Router(config-router)#networkRouter(config-router)#networkRouter(config-router)#network285.3.4汇聚层互换机配置Switch>enableSwitch#confterminalSwitch(config)#iproutingSwitch(config)#intrangefa0/1-3Switch(config-if-range)#noswitchportSwitch(config-if-range)#exitSwitch(config)#intfa0/1Switch(config-if)#ipadd452Switch(config-if)#noshutdown其他端口配置同上路由配置：Switch(config)#routerripSwitch(config-router)version2Switch(config-router)network2Switch(config-router)networkSwitch(config-router)network第6节地址规划6.1A校区地址规划楼宇/校区汇聚层互换机型号互联接口汇聚层接口ip地址关键层接口ip地址关键层互换机互联接口学生宿舍5Cisco3560F0/17/308/30F0/1学生宿舍4Cisco3560F0/23/304/30F0/2学生宿舍3Cisco3560F0/39/300/30F0/3学生宿舍2Cisco3560F0/45/306/30F0/4学生宿舍1Cisco3560F0/51/302/30F0/5A区教工宿舍Cisco3560F0/67/308/30F0/6图书馆Cisco3560F0/73/304/30F0/7实训楼Cisco3560F0/8/300/30F0/8教学楼Cisco3560F0/9/30/30F0/9综合楼Cisco3560F0/10/30/30F0/10路由器RouteptFa0/09/300/30F0/13防火墙Cisco3560F0/12/30/30F0/12InternetRouteptFa0/05/306/30Fa0/14B区关键互换机Cisco3560Fa0/111/302/30Fa0/11防火墙WAN口Cisco3560Fa0/2/30/30Fa0/1Cernet网Router2811/30/30Fa0/0Chinanet网Router2813/304/30Fa0/1防火墙DMZCisco3560Fa0/1/300/30Fa0/16.2B校区地址规划楼宇/校区汇聚层互换机型号互联接口汇聚层接口ip地址关键层接口ip地址关键层互换机互联接口教工宿舍1Cisco3560F0/2/30/30F0/2教工宿舍2Cisco3560F0/4/30/30F0/4教工宿舍3Cisco3560F0/5/300/30F0/5教工宿舍4Cisco3560F0/63/304/30F0/6教学楼Cisco3560F0/77/308/30F0/7学生宿舍Cisco3560F0/81/302/30F0/8A区关键互换机Cisco3560F0/111/302/30F0/116.3C校区地址规划设备/网络名称设备型号互联接口汇聚层接口ip地址关键层接口ip地址关键层互换机互联接口防火墙WAN口Cisco3560Fa0/1/30/30Fa1/1关键层互换机Cisco3560Fa0/3/30/30Fa0/1ChinaNat网Router281129/3030/30Fa0/0防火墙LAN口Cisco3560Fa0/2/300/30Fa0/2MPLSVPN（路由器）Router2811Fa0/1/30/30Fa0/16.4校园网段地址规划楼宇/校区名称网段及地址数网段地址地址的聚合表达B校区16个C/24—/24/20综合楼2个C/24—/24/23教学楼2个C/24—/24/23实训楼8个C/24—/24/21图书馆8个C/24—/24/21A区教工宿舍2个C/24—/24/23学生宿舍12个C/24—/24/23学生宿舍22个C/24—/24/23学生宿舍32个C/24—/24/23学生宿舍42个C/24—/24/23学生宿舍52个C/24—/24/23A区电信网络1个C/24B区教育网络1个C/24A区和B区未分派地址14个C/24—/24C校区192个C/24/24/18/17第7节公网地址使用规划7.1Chinanat公网地址使用规划根据前面的网络规划，A区所申请到的Chinanet公网址段为2，子网掩码为54，共32个ip地址。这32个ip地址用在三个方面，即校园网边界路由器与Internet接入服务商的路由器的互联接口地址、nat地址池和服务器。地址分派如下。校园网的边界路由器与ISP互联需要一对接口地址，可从这32个地址段中划分出一种具有4个ip地址的子网来实现，该子网的地址为2/30。校园网的边界路由器的接口地址使用4，子网掩码为52;ISP服务商的接口地址（网关地址）为3，子网掩码为52。路由器的NAT转换需要一种NAT地址池，可从剩余的ip地址中再划分出一种具有4个ip地址的子网用做NAT地址池，该子网掩码的地址为61.186。202.36/30。