XX公司网络解决方案实训作品

1、声明时间在流逝，社会在进步，请“把握现在，畅想未来”。本文档内容为原创文章，内容仅供参照学习之用，请勿修改。想要交流计算机及网络技术的朋友请加入“计算机梦工厂”。目录一、背景介绍2二、需求分析2三、网络部分设计规划及技术说明2（一）总体目标2（二）技术说明21.MSTP22.VRRP23.NAPT24.ACL25.链路聚合26.PPP及CHAP2（三）设备选择2四、拓扑图2（一）网络拓扑图2（二）拓扑结构说明2（三）IP地址的划分2五、项目具体实施2（一）S2126A21.MSTP22.安全端口23.Trunk口2（二）S2126B21.MSTP22.安全端口23.Trunk口2（三）S376

2、0A21.端口聚合22.MSTP23.VRRP2（四）S3760B21.端口聚合22.MSTP23.VRRP2（五）RSR20A21.CHAP、MD522.OSPF的配置2（六）RSR20B21.CHAP、PPP22.ospf的配置23.动态NAPT24.静态NAPT25.基于时间ACL2六、服务器技术实现2（一）DNS2（二）DHCP2（三）WEB2（四）Mysql2（五）CA认证2一、背景介绍迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。市场的全球化竞争已成为趋势。对于企业来说，在调整发展战略时，必须考虑到市场的全球竞争战略，而这一切也将以信息化平台为基础，借

3、助计算机网络原理及网络规划技术，以网络通畅为保证。企业内部网（Internet）是国际互联网（Internet）技术在企业内部或封闭的用户群内的应用。Internet是使用Internet技术，特别是TCP/IP协议而建成的企业内部网络。这种技术允许不用计算机平台进行互通，暂不用考虑其位置。也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行访问。xx公司是一个集销售、服务于一体的中小型IT产品销售企业，其下设4个行政部门分别为财务部、技术部、营销部和市场部，公司需要通过建设一个高速、安全、可靠、可扩充的网络系统，实现企业内信息的高度共享、传递，交流及管理信息化，建立出口信道，实现与I

4、nternet互联。公司内部各部门的上网设备数分别是，财务部20台、技术部25台、营销部30台、市场部50台，各部门经理及老板共计10台。市场部人数较多并且上班上班时间大部分时间都在使用网络查资料和发布信息等，对网络带宽要求较高。二、需求分析公司是一个IT相关产品销售及服务公司，属于信息化产业公司，自然公司的网络建设应保证有较高的性能。网络工程应包含网络系统的设计和服务器系统的设计两部分。公司内部局域网应该符合高速、安全、稳定可靠，还要具有一定的可扩展性，从而实现企业内部信息的高度共享、传递，交流及管理信息化平台。具体涉及到的各个部门应该可以做到职能关系相隔离，保障部门间的信息安全，同样充分满

5、足必要信息交流不受影响。关于服务器部分，根据公司的业务需要，企业网内建立独立DNS、FTP、WEB服务器，保证为内部用户提供高效及时的域名解析及文件共享服务。另外要将web服务器发布到互联网上，保证Internet用户可以顺畅的访问公司网站，满足业务需求和企业信息的宣传及发布。在保证内部服务的同时，公司内部员工对外网也有一定的链接请求，方便了解Internet信息及资料查询，所以应保证相应充足的Internet链接带宽，实现与Internet互联。三、网络部分设计规划及技术说明（一）总体目标建造一个双核心的网络结构，采用两个三层核心交换机做冗余备份，实现一个高速便捷、安全稳定，功能齐全，的网络

6、系统，满足现代化公司办公业务的需要。我们把整个网络分为内部交换网络设计、网络出口设计，网络安全设计三大部分，对于内部交换网络我们采用分层设计。内部交换网络分成核心层和接入层两大部分。核心层作为整个网络系统的核心，其主要功能是高速、可靠的进行数据交换。为加速数据的快速转发，我们在核心层采用链路聚合技术，增加网络带宽，提高数据转发效率。为提高网络链路的冗余性，采用VRRP技术做热备份，MSTP技术，保证链路的冗余性等。接入层主要提供最终用户接入网络的途径。主要进行vlan的划分等。在方案设计时，我们将严格遵循：双核心、链路聚合、ACL、VRRP、MSTP协议的使用，均为保证可靠性。（二）技术说明1

7、.MSTP本工程网络为双核心多环路结构，需要解决流量均衡和环路问题，因此通常生成树协议时最好的选择，虽然STP及MSTP很好地解决了网络链路环路问题，使网络链路实现冗余备份，但是并没有考虑到VLAN及负载均衡问题。要解决这个问题，需要采用多生成树协议（MSTP）。图3.1 MSTP结构图本项目中创建两个实例Instance10和Instance20，分别将Instance10与VLAN10、VLAN20相关联，Instance20与VLAN30、VLAN40相关联，域名同为lncc，表示两个实例属于同一个区域，并配置相同的版本号为1。优先级（root）的选定：在S3760A上指定Instanc

8、e10的优先级为4096，Instance20为32768，使得S3760A为Instance10的根交换机，VLAN10、VLAN20的流量默认都从S3760A转发。同理，在S3760B上指定Instance10的优先级为32768，Instance20为4096，使得S3760B为Instance10的根交换机，VLAN30、VLAN40的流量默认都从S3760B转发。二层交换机S2126A、B在不同实例呈现为不同状态。2.VRRP通常数据包都需要跨网段传输，必须通过网关，如何确保网络中有可靠地网关在工作，对于保障网络安全，可靠地传输数据十分重要。本项目为双核心结构，可以使用vrrp协议为

9、网关做备份，同时还可以提供负载均衡解决方案。图3.2 VRRP双网关结构图重点是在MSTP与VRRP配合使用的网络环境中，必须保持MSTP的根（Root）和vrrp的主路由器（Master）一致，否则将导致协议间流量转发冲突。本项目中各个VLAN的网关为各VLAN的接口IP地址，所以VRRP是基于VLAN接口设置VRRP组和虚拟IP。VRRP组的划分：将VLAN10、20划分为group10，VLAN30、40划分为group20。VRRP组优先级的指定：通常VRRP协议指定优先级有两种方法，一是指定组优先级，二是通过IP地址拥有者（即虚拟IP和真实IP相同）的方法。根据VLANIP地址的特点

10、（S3760A均为x.x.x.1，S3760B均为x.x.x.2）选用设置IP地址拥有者的方法指定优先级。根据需求S3760A为group10的主路由器，为group20的备份路由器，所以将属于group10的VLAN的虚拟IP设置成与真实地址相同（x.x.x.1），将属于group20的VLAN的虚拟IP设置成与真实地址不同（x.x.x.2）。S3760B为group20的主路由器，为group10的备份路由器，所以将属于group10的VLAN的虚拟IP设置成与真实地址不同（x.x.x.1），将属于group20的VLAN的虚拟IP设置成与真实地址相同（x.x.x.2）。这样就巧妙的为各个

11、组指定了主路由器与备份路由器。3.NAPT如何解决大量主机使用少量公有地址访问internet问题，动态NAT和NAPT都可以解决这个问题本地私用IP地址是无法再Internet上使用的，想要连接互联网，必须要用公网地址，因此产生了NAT（网络地址转换）技术，把内部地址与公网地址做一对一的映射，从而实现内部主机与互联网上主机交换数据。随着时代的进步，需要连接互联网的终端数量也是极具增加，会有数量较多的设备需要同时上网，因此传统的动态NAT的一对一映射就无法做到超过公网地址数量的设备同时上网，从而产生了更为进步的动态NAPT（网络地址接口转换）技术，它是通过一个公网地址同时映射多个内部私有地址，

12、通过端口号来区分不同的主机。本项目中四个VLAN中各个部门主机数总量远大于可用的公网地址数量，因此在出口路由器RSR20B上采用动态NAPT技术，指定可用的公网地址为-，通过标准访问列表ACL指定需要进行地址转换的内部网络地址范围即各个VLAN的网络号，最后将RSR20B的Ser 2/0端口设置成内部端口inside，fa 0/1设置成外部端口outside后，动态NAPT就可以工作了。没有公网地址的映射内部主机是无法找到互联网的，同样互联网上的主机也无法找到内部的某台主机，而WEB等服务器就是为互联网上用户提供服务的，必须要让外网用户找到它，这就是静态NAPT

13、的工作了。将一个可用的公网地址与内部服务器私有地址做映射，从而实现找到公网地址就找到了服务器的效果。在接入层（二层）交换机和核心（三层）交换机上设置安全端口，限制最大连接数量，防止用户私自乱接设备导致网络环境不稳定。4.ACL 要保证网络的安全不光是控制交换机的接入安全，还要考虑到如何实行部门间的有效访问。ACL（访问控制列表）是一项常用的流量控制技术，可以满足本项目要求。本项目中要求相对较简单，只是限制规定时间内某些部分可以上网，规定时间外不可以上网，只是需要对源地址进行控制，至于访问哪些服务我们不去限制，所以根据分析采用基于时间的ACL，Time-rangea端口与标准访问列表的结合，充分

14、实现用户流量控制需求。另外也可以通过DNS服务器来限制内网用户对一些网站的访问。配置大体思路：首先创建一个Time-rangea时间端口work-time，来指明ACL工作的日期和时间（每周的周一至周五，每天的早9:00至18:00），然后设计访问列表20，在源地址处写上四个部门VLAN的网络号即可，最后将time-rangea work-time与对应的ACL20相关联，使他们协同工作，再在部门区域的出口处应用ACL20即可实现规定要求。5.链路聚合链路的稳定性在网络安全中是比较重要的一点，一切协议和信息的通信都是建立在物理环境上的，本项目采用的是双核心加上链路聚合的网络结构，可以说是很大的

15、程度上保证了物理链路的不间断服务。图3.3 冗余备份系统图6.PPP及CHAP在两个路由器之间采用CHAP挑战报文，设置用户名和密码，彼此身份认证保证通信的安全性，配置点对点协议PPP。图3.4 CHAP、PPP系统图（三）设备选择出口设备：网络出口设备是整个网络连接外网的关口，性能可稳定性非常重要，因此根据公司规模及性价比选用比较流行的锐捷RSR20路由器2台。核心设备：本网络为双核心网络，两个三层设备同时负载均衡网络流量，因此不需要性能过高的三层交换机，只需要满足公司整个网络一般以上的流量即可，选用锐捷的S3760三层交换机2台接入设备：根据公司人员情况确定每台接入设备为两个部门提供服务，

16、而这两个部门人数不会超过80人，还要求交换机要有基本的网管功能，因此选用锐捷的S2126二层交换机2台。服务器：公司有DNS、DHCP、WEB、FTP、CA服务器等六个服务，在保证服务器性能和经济性的情况下选用保准服务器3台，来做搭建以上服务环境足够。四、拓扑图（一）网络拓扑图图4 .1 公司网络拓扑图（二）拓扑结构说明接入层交换机S2126A连接VLAN10（财务部）、VLAN20（技术部），并且分别通过接口fa 0/10、fa 0/11与两个核心交换机相连。同样，接入层交换机S2126B连接VLAN40（营销部）、VLAN50（市场部），并且分别通过接口fa 0/10、fa 0/11与两个

17、核心交换机相连。核心交换机S3760A划分VLAN30（服务器集群），双核心S3760A和S3760B之间通过双链路连接，保证核心设备间数据的高速交换。S3760B通过千兆路由模式接口与路由器RSR20A的千兆接口相连，保证局域网出口主干的带宽充足。RSR20A通过广域网接口与远程公司主出口路由RSR20B相连，并配置PPP协议、CHAP验证等协议保证数据的安全传输。RSR20B是公司整个网络的外网出口，是与Internet连接的唯一信道。（三）IP地址的划分表.4. 2 IP地址规划及VLAN划分设备名称设备接口IP地址RSR20AS2/0/30FA0//3

18、0RSR20BS2/0/30FA0//28S3760AVLAN10（财务部）/24VLAN20（技术部）/24VALN30（服务器群）/24VALN40（营销部）/24VALN50（市场部）/24S3760BFA0/24/30VLAN10（财务部）/24VLAN20（技术部）/24VALN30（服务器群）/24VALN40（营销部）/24VALN50（市场部）/24各个VLAN IP地址

19、段的划分是根据每个部门人数确定不同的子网掩码。表4.3 服务器IP地址规划服务器功能服务器名称IP地址用户计算机（计算机1）0/24用户计算机（计算机2）DHCP分配DHCP服务器（计算机3）0/24WEB服务器（计算机4）1/24FTP服务器（计算机4）1/24终端用户的默认网关指向各对应VLAN的接口地址。五、项目具体实施（一）S2126A1.MSTPS2126A(config

20、-mst)#instance 1 vlan 10-20S2126A(config-mst)#instance 2 vlan 40-50S2126A(config-mst)#name lnccS2126A(config-mst)#revision 1在二层上指明实例的划分、域名、版本号。2.安全端口S2126A(config)#interface range fastEthernet 0/1-9S2126A(config-if-range)#switchport port-security S2126A(config-if-range)#switchport port-security maxi

21、mum 3S2126A(config-if-range)#switchport port-security violation shutdown S2126A(config)#errdisable recovery interval 12003.Trunk口S2126A(config)#interface range fastEthernet 0/10-11S2126A(config-if-range)#switchport mode trunk （二）S2126B1.MSTPS2126B(config)#spanning-tree mst configuration S2126B(confi

22、g-mst)#instance 1 vlan 10-20S2126B(config-mst)#instance 2 vlan 40-50S2126B(config-mst)#name lnccS2126B(config-mst)#revision 12.安全端口S2126B(config)#interface range fastEthernet 0/1-9S2126B(config-if-range)#switchport port-security S2126B(config-if-range)#switchport port-security maximum 3S2126B(config

23、-if-range)#switchport port-security violation shutdown S2126B(config)#errdisable recovery interval 12003.Trunk口S2126B(config)#interface range fastEthernet 0/10-11S2126B(config-if-range)#switchport mode trunk （三）S3760A1.端口聚合硬件选择原则是：两个个物理端口速率相同、使用想用介质双绞线、同为三层端口。S3760A(config)#interface range fastEther

24、net 0/20-21S3760A(config-if-range)#port-group 1S3760A(config)#interface aggregateport 1S3760A(config-if-AggregatePort 1)#switchport mode trunk 2.MSTPS3760A(config-mst)#instance 1 vlan 10-20S3760A(config-mst)#instance 2 vlan 40-50S3760A(config)#spanning-tree mst 1 priority 4096S3760A(config)#spanning

25、-tree mst 2 priority 327683.VRRPS3760A(config)#interface vlan 10S3760A(config-if-VLAN 10)#ip address S3760A(config-if-VLAN 10)#vrrp 10 ip S3760A(config-if-VLAN 10)#vrrp 10 preempt S3760A(config)#interface vlan 30S3760A(config-if-VLAN 30)#ip address 255.255.255

26、.0S3760A(config-if-VLAN 40)#vrrp 30 ip （四）S3760B1.端口聚合S3760B(config)#interface range fastEthernet 0/20-21S3760B(config-if-range)#port-group 1S3760B(config)#interface aggregateport 1S3760B(config-if-AggregatePort 1)#switchport mode trunk 2.MSTPS3760B(config-mst)#revision 1S3760B(config-mst)#n

27、ame lnccS3760B(config-mst)#instance 1 vlan 10-20S3760B(config-mst)#instance 2 vlan 40-50S3760B(config)#spanning-tree mst 1 priority 32768S3760B(config)#spanning-tree mst 2 priority 40963.VRRPS3760B(config)#interface vlan 10S3760B(config-if-VLAN 10)#ip address S3760B(config-if-V

28、LAN 10)#vrrp 10 ip S3760B(config)#interface vlan 30 S3760B(config-if-VLAN 30)#ip address S3760B(config-if-VLAN 50)#vrrp 30 ip S3760B(config-if-VLAN 50)#vrrp 30 preempt （五）RSR20A1.CHAP、MD5RSR20A(config)#interface serial 2/0RSR20A(config-if-Serial 2/0)#ip address

29、 52RSR20A(config-if-Serial 2/0)#encapsulation pppRSR20A(config-if-Serial 2/0)#ppp authenticate chapRSR20A(config-if-Serial 2/0)#username RSR20B password abc123RSR20A(config-if-Serial 2/0)#ip ospf message-digest-key 1 md5 lncc /MD5验证2.OSPF的配置RSR20A(config)#router ospf 10RSR20A(c

30、onfig-router)#network area 0RSR20A(config-router)#network area 10RSR20A(config-router)#router-id RSR20A(config-router)#area 10 authentication message-digest /MD5验证（六）RSR20B1.CHAP、PPPRSR20B(config)#interface serial 2/0RSR20B(config-if-Serial 2/0)#ip address 13

31、.1.1.2 52RSR20B(config-if-Serial 2/0)#ip nat outsideRSR20B(config-if-Serial 2/0)#encapsulation pppRSR20B(config-if-Serial 2/0)#ppp authenticate chapRSR20B(config-if-Serial 2/0)#username RSR20A password abc123RSR20B(config-if-Serial 2/0)#ip ospf message-digest-key 1 md5 lncc /MD5验证2.ospf

32、的配置RSR20B(config)#router ospf 10 RSR20B(config-router)#network area 10RSR20B(config-router)#router-id RSR20B(config-router)#area 10 authentication message-digest /MD5验证3.动态NAPTRSR20B(config)#ip nat pool pool1 netmask 40RSR20B(config)#access-list

33、 10 permit 55RSR20-B(config)#ip nat inside source list 10 pool pool1 overload4.静态NAPTRSR20-B(config)#ip nat inside source static tcp 1 20 0 20 RSR20-B(config)#ip nat inside source static tcp 1 21 0 21RSR20-B(config)#ip nat inside source static tcp 10.1

34、.3.11 80 0 805.基于时间ACLRSR20-B(config)#username RSR20A password abc123 RSR20-B(config)#time-range work-timeRSR20-B(config-time-range)#periodic weekdays 09:00 to 18:00RSR20-B(config)#access-list 20 permit 55 time-range work-time六、服务器技术实现（一）DNS根据公司应用实际需求，在内部网络中建立独立的DNS服务器，为内部网络提

35、供高效可靠的地址解析服务。企业内部的DNS功能应用十分广泛，可以作为电信部门的DNS客户端加快内部访问公网的速度，还可以自行定义内部域名，比如为FTP或者WEB站点起一个好记的名字，除去需要记IP地址的不便，还可以对一些公网域名过滤，如自行定义到一个内部IP，那么如果使用内部DNS想访问百度就到内部的服务器了，很好控制内部员工的上网行为。另外就是为域控制及DHCP提供服务了，如果将来公司改用域管理，那么DNS是必须要有的，DNS为域成员指定域的位置。 主DNS服务器的配置思路：为服务器安装Linux系统，根据实际环境配置好yum源后，安装DNS服务器软件bind，修改

36、主配置文件实现相应功能，在XX中加入域后，添加需要解析的A记录，至此主DNS服务器配置结束。图6. 1 添加域图6. 2 添加记录辅助DNS配置：选用一台windows服务器，安装好DNS组件后创建辅助区域，域名同样为。图6. 3 辅助DNS结果图（二）DHCP现如今网络规模一般较大，主机数量较多，IP地址的手工分配成为网络管理员的一大苦力活，同时也容易产生很多错误。在这状况下宜采用DHCP网络参数自动配置，本项目中采用独立的DHCP服务器做网络参数配置工作，不在网络路由设备上设置。配置大体思路：选用一台windows服务

37、器，安装DHCP相关工作服务组件后，开始配置分配区域，设置三个区域分别是/24、/24、/24，默认网关分别是54、172.16.6254、54，DNS服务器IP地址均是，最后为每个区域设定保留地址，以作特殊用途。图6. 4 DHCP域划分结果图在网络路由设备上配置DHCP中继，保证DHCP发现报文DISCOVER可以跨网段传输，保证DHCP网络参数配置的正常工作。（三）WEB基于Linux下Apache创建两个WEB站点，通过区域加以区分。所以首先在DNS的域中添加两条A记录，分别是和。修改主配置文件/etc/html/conf/httpd.conf，创建两个虚拟主机，网站路径分别是/var/www/html/soft和/var/www/html/dev，在修改正确的网络参数