职业技术学院
毕业实践报告
题目:企业网络规划设计实现
毕业文
毕业设计
毕业专题
√
类型:
指导老师:
系 :
班 级:
学 号:
姓 名:
2014 年 X 月 X 日
摘 21世纪信息时代互联网企业驰入全球信息高速公路企业信息通互联网通达世界角落企业通互联网发布企业新商业信息供全球检索宣传企业宣传企业产品宣传企业服务全面展示企业形象通网络行业进行交流推销合作时通互联网寻找货源新客户许企业互联网找机会创造辉煌
渊羡鱼退结网科技着类断发展日新月异信息化网络化高效化脚步已越越公司说网络信息化已成公司发展参市场竞争首条件企业网络方案设计长沙某公司网络结构特点企业网原性出发根公司建设必性需求公司网络综合布线公司信息点采集等方面进行需求分析通网络仿真软件ENSP20建立网络设备网络链路布线设计模型模拟网络流量划分VLAN创建访问控制列表构建冗余链路等综合性运企业网优点现代化理手段网络结构架构:网络拓扑结构详细规划分层设计IP址规划设计等方面做详细剖析实现办公动化全方位功升级力强企业网构建
关键词 企业网网络规划网络设计网络拓扑
目录
序言 1
企业信息需求 1
企业理业务发展角度出发 1
1中企业网络建设目标 3
11建设目标 3
12设计原 3
2企业网络总体设计 5
21 网络拓朴设计 5
22 IP编址方案VLAN划分 6
23 核心层设计设备选型 7
231 园区干交换机 7
232 出口路器 7
233 服务器群组 8
24 接入层设计设备选型 8
25 安全体系设计设备选型 8
26 设计方案优势 10
261 高带宽高性 10
262 网络理 10
263 完善安全机制 11
264 易维护 11
265 高性 12
266 低成扩展性强 12
3企业网络整体方案部署 13
31 交换模块设计 13
311 接入层交换机服务实现—配置接入层交换机 13
312 核心层交换机服务实现—配置核心层交换机 15
32广域网接入模块设计 18
321 配置路器AR1基参数 19
322 配置路器AR1接口参数 19
323 配置路器AR1路功 19
324 配置接入路器AR1NAT 20
325 配置接入路器AR1ACL 20
结束语 22
参考文献 23
序言
着Internet全球发展普企业网络技术发展企业生存发展需促成企业网形成20世纪90年代企业网络已成连接企业事业单位部门外界交流信息重基础设施基局域网广域网技术发展起企业网络技术迅速发展
适应网络济飞速发展扩企业营规模范围方便企业部企业间交流节省办公开销提高企业理水企业发展Intranet(企业部网)已刻容缓
外截2011年中国中企业数量达4660万中拥企业网站企业数量达363万国民济中60总产中企业社会提供60业机会然中国国民济社会发展中直占着关重战略位中企业信息化程度较落应瞬息万变竞争激烈国外市场环境利网络技术迅速提升企业核心竞争力成企业成败关键
企业信息需求
面着激烈市场竞争公司信息收集传输加工存储查询预测决策时交流沟通等工作量越越原电脑出网络技术安全性等素考虑直停留单机工作模式部门科室间数实现享致工作效率降纯粹手工理方式手段已适应企业需严重妨碍公司生存发展社会进行求企业必须改变现落理体制理方法手段建立现代企业新形象建立企业办公动化理信息系统(公司局域网)提高理水增加济社会效益
企业理业务发展角度出发
通网络网络资源改善企业部企业客户间信息交流方式满足业务部门信息存储检索处理享需求企业迅速掌握瞬息万变市场行情企业信息更效发挥效力提高办公动化水提高工作效率降低理成提高企业市场竞争力通项业务踪企业理者解业务进展情况掌握第手资料时掌握市场动态企业提供投资导领导决策提供数支持通企业部网建立企业业务部门更方便交流沟通理者时解位员工情况加强企业力资源合理调度切实做系统集成化设计原设备投资效利
必建设中型企业建设信息网络达限度实现信息资源享电子信息传递取代纸面文件材料传送逐步实现纸办公改变传统工作方式进步提高工作效率时利种业务信息综合分析级领导提供决策支持更组织生产营
1中企业网络建设目标
11 建设目标
企业建设办公动化计算机辅助生产控制理核心现代网络技术托技术先进扩展性强覆盖企业楼宇企业干网络企业种PC机工作站终端设备局域网连接起关广域网相连网宣传获取Internet网信息资源形成结构合理外沟通企业计算机网络系统基础建立满足生产研发理工作需软硬件环境开发类信息库应系统企业类需求提供充分网络信息服务总体目标利先进计算机技术网络通信技术建设高质量高效率统通信网络具体目标:
1) 通建设高速安全扩充网络系统系统互联互通实现企业信息高度享传递理信息化领导时全面准确掌握企业研发生产理财务事等方面情况
2) 建立出口信道实现企业Internet互联时部署企业种应服务器(邮件文件网站系统服务器等)实现企业信息发布提供领导企业员工移动拨号接入进行移动办公资料查询
3) 企业通交流电子信息传递取代纸面文件资料传送实现纸办公改变传统工作方式进步提高工作效率
4) 利种业务信息综合分析级领导提供决策支持更组织生产营
12设计原
企业园区网包含量信息点会涉量业务应求企业网必须实高高效率高扩展性高安全性系统企业园网络系统具良扩展性灵活接入力易理易维护网络设计构建中始终应遵循统标准统台网络分层原包括原:
1) 网络规划方面统采IP技术统规划IP址种应采开放技术国际标准路协议安全标准接入标准网络理台等保证实现网络统确保网络扩展性时减少网络中部分相关性便网络实施理网络构建中整体网络划分核心层汇聚层接入层等3层次
2) 软硬件选择方面选择软硬件产品必须遵循标准化原采统软硬件台基应软件便进行统软件版升级理
3) 安全方面建设企业网应具良安全性保密性根企业业务应需求部署合理网络访问策略时实现企业部敏感信息保护受攻击时具追溯性
4) 投资保护方面做资源享保护充分合理利现资源限度原系统建系统互联互通利已投资基础解决费补充配套资金位问题
2企业网络总体设计
21 网络拓朴设计
次该企业网络设计方案部分构成:交换模块广域网接入模块服务器群整网络系统拓朴结构图图21网络拓朴设计示:
图21 网络拓朴设计
该设计符合中型局域网模型架构园区干建筑物分布子模块没十分明确三层设计区分功配置基紧缩层中缺乏明显分开园区干建筑物分布子模块园区干子模块中密度限建筑物分布子模块中采台二层交换机进行堆叠方案中出扩展性次性投资成网络传输性长远规划等方面素考虑前期先采堆叠模式满足户接入问题户增加定数量出交换机堆叠数量限制选择增加台建筑物分布子模块做汇聚交换设备样样做续强扩展性通种设计该企业达满足现需求时降低成失期扩展性(拓朴图示)
设计方案言提供交换机链路冗余园区干子模块包含单点障
采星形拓朴结构相拓朴结构说星形拓朴户接入网络时具更灵活性系统断发展系统发生重变化时种优点变更加突出
接入层华S2700系列交换机通生成树提供第二层冗余华S2700系列交换机仅缺点高32Gbits交换阵列支持48快速太网端口资金限中型企业网说已满足需求
核心层采三层交换机华5700系列部署增加网络扩展性提高性性增强网络安全性
该设计中利快速太网通道化千兆太网通道化技术扩展网络带宽满足部网络负荷网络运行需求
22 IP编址方案VLAN划分
IP址规划根分配公网IP址部私网IP址分配址分二块块分配C类公网IP址作国际互联网互连址部分企业相关域名解析片址时提供企业户网时NAT转换果条件允许申请运营商线路关键服务器应拥两条线路公网IP分跨接运营商进行相互备份
前交换技术迅速发展加快虚拟子网技术(VLAN—Virtual Local Area Network)应速度特前企业网应更广泛通企业网络划分虚拟子网(VLAN)强化网络理网络安全控制必数广播数广播网络中起着非常重作着企业网计算机数量增加广播包数量会急剧增加广播包数量占总量30时网络传输效率会明显降特某网络设备出现障会停网络发送广播导致网络风暴网络通信陷瘫痪企业网络计算机数超200台必须采取措施网络分隔开广播域划分成干广播域
该方案IP编址VLAN划分:
表51 VLAN划分表
VLAN号
VLAN名称
IP网段
默认网关
说明
VLAN 1
192.168.0.024
192.168.0.254
理VLAN
VLAN 10
CWB
192.168.1.024
192.168.1.254
财务部VLAN
VLAN 20
SCB
192.168.2.024
192.168.2.254
市场部VLAN
VLAN 30
CHB
192.168.3.024
192.168.3.254
策划部VLAN
VLAN 50
KFZX
192.168.5.024
192.168.5.254
客服中心VLAN
VLAN 60
CGB
192.168.6.024
192.168.6.254
采购部VLAN
VLAN 70
RFB
192.168.7.024
192.168.7.254
研发部VLAN
VLAN 100
SERVER
192.168.100.024
192.168.100.254
服务器组VLAN
23 核心层设计设备选型
企业网种应统通信台均障时间障恢复时间保持容忍许范围种前提园区干设备应定冗余度种冗余包括设备物理线路等方面数链路层网络层应层容错力园区干网企业网络中心机房中心节点外辐射通部门建筑楼节点构成园区干网企业园物理结构分三层:核心层汇聚层接入层园区干网中心节点配置核心路交换机该交换机配置第三层交换模块网络监控模块实现网络动态理虚拟局域网企业网建筑物分布子模块采三层交换机企业网园区中心核心路交换机连接实现干通道信息传输负载均衡办公司楼研发楼生产间职工公寓等楼宇采高性汇聚层交换机保证建筑楼信息点交换机端口密度求网络性性求园区干网核心层交换机汇聚层交换机采1000Mbps连接服务器采100Mbps连接
231 园区干交换机
园区干交换机指连接服务器楼楼间层层间数交换设备根企业网工程阶段中网络信息点增加间伴着需求增长干交换机基设备选型阶段性扩展需求进行总体合理规划
次方案设计采华S5700交换机高性达102Mpps136Gbits远程办公室环境中类交换机作单台交换机发挥作作包含少量交换机中型网络园区干交换机
性方面具强扩展性业务特性满足未企业丰富业务需求提供投资保护
232 出口路器
方案中考虑该企业Internet出口路器配置采台华AR3260路器华AR3260系列模块化设备提供更槽更高处理力途支持型分支机构中复杂应作中心路器远程站点提供连接网络模块高支持OC3速度数企业具丰富提高扩展力
233 服务器群组
服务器网络服务器量方服务器选择标准程度取决中心客户类型应种类部分中型企业应言WebERP应数库应然占整数中心类应部分服务器网络响应力程度体现服务器硬件体系结构设计合理性CPUCPU组(SMP)操作系统进程线程分配力磁盘IO性行性稳定性时散热功耗易安装性重点考察评价象基考虑选服务器必须具高性IO吞吐力强数处理快扩展性理性良特点
24 接入层设计设备选型
接入层选华S2700堆叠交换机作户接入交换机通常作建筑物接入交换机部署够提供固定端口密度具高端交换机相类似特性成更低支持非常高级交换特性中包括集成安全NAC高级Qos弹性等时交换机具固定端口配置具244810100BASET101001000BASET端口双目标特太网行链路
华S2700作方案设计接入交换机支持全线速二层交换时具备特性:
完备安全智控制策略:支持8021x认证通灵活MACIPVLANPORT意组合绑定效防止非法户访问网络
支持种ACL访问控制策略:够户访问网络资源权限进行设置保证网络受控访问
高性:支持STPRSTP生成树协议
丰富QOS策略:支持基源MAC址目MAC址源IP址目IP址端口支持带宽控制功
25 安全体系设计设备选型
企业网信息系统企业网数字神中枢合理仅提高企业现代化信息化改革提高工作效率改善工作模式流程时通企业间信息享沟通方便畅会极提高整体行业工作效率工作业绩
企业网总体分企业网企业外网企业网包括研发楼局域网生产车间局域网办公动化局域网等企业外网指企业提供外服务服务器群电信接入远程移动办公户接入等认真分析总结出企业网面着安全威胁:
(1) 种操作系统应系统身漏洞带安全威胁
(2) Internet网络户企业网存非法访问恶意入侵威胁
(3) 企业网外种病毒威胁外部户通邮件文件传输等病毒带入企业网部职工盗版介质病毒带入企业
(4) 部户Internet非法访问威胁浏览黄色暴力反动等网站载文件木马蠕虫病毒等程序带入企业网
(5) 外网恶意户利利工具网络服务器发起DOSDDOS攻击导致网络服务
(6) 企业网职工时通信工具(:QQ)目前针该类工具黑客程序处见
(7) 会企业网理员全体职工安全意识强理制度健全带企业网威胁
基面问题物理系统网络应理五层次分析设计适合企业网安全建议方案
26 设计方案优势
261 高带宽高性
相传统组网设计方案该企业网络设计方案基标准二三层太网交换技术技术成熟度非常高企业网络中心放置路交换机行通GE接互联网GE单模者模时情况进行扩展出口会成企业网瓶颈企业网络中心通行千兆链路连接接入层交换机百兆交换桌面100M带宽充分满足户高速网容载媒体等种宽带业务核心交换机拥1000M出口联接企业网层设备全部支持线速交换户提供真正高带宽网络未高带宽宽带业务提供强支撑力
262 网络理
企业网员工提供便捷高效学工作环境时宽带理权限控制等方面存许问题:
n 带宽资源量占导致重应法进行
企业说带宽资源限没带宽限制优先级设置重户重应必带宽保证影响工作
n 访问权限难控制
着互联网资源部门间员工间保密资源意获取导致企业秘密资料知识产权竞争手抄袭引起济损失
n 异常网络事件审计追查
异常网络事件发生快追根溯源找出幕黑手避免事件次发生成网络维护员面棘手问题
n 带宽限定业务优先级设定
系统客户行带宽限加限定防止客户占网络资源户数设定业务优先级保证重数更服务
n 快捷实现全网理
全网拓扑发现功全网设备网络节点事件性日志进行实时监控统理
n 强事件追查功
系统中丰富日志信息便捷追查工具网络理员面异常事件时时作出反应迅速找出幕黑手
263 完善安全机制
该企业楼宇交换机通种安全机制效防止控制病毒传播网络流量攻击 控制非法户网络保证合法户合理化网络端口安全端口隔离专家级ACL时间ACL端口ARP 报文合法性检查基数流带宽限速等等 满足企业网加强访问者进行控制限制非授权户通信需求汇聚核心交换设备设置硬件实现ACL病毒进行滤
n 硬件实现端口MAC 址户IP址绑定严格限定端口户接入
n 通端口设保护端口简单方便隔离户间信息互通必占VLAN资源
n 通Private VLAN交换机VLAN 中提供端口间通讯安全隔离确保数流进入效端口会发送端口解决传统8021QVLAN造成全网VID资源够问题时需利安全规资源达隔离户组户间通讯功充分保护户隐私
n 提供极效 Port Blocking 功避免端口受端口发送广播包播包等报文干扰效减轻端口负载负担提高端口带宽保护户PC更高效安全运行
n 基源IP址控制TelnetWeb设备访问控制增强设备网安全性避免黑客恶意攻击控制设备
n 提供加密传输Secure Shell(SSH)保证理设备信息安全性防止黑客攻击控制设备
n 病毒蠕虫等元化发展
n 控制网络病毒 统接入层交换机做动态发安全策略轻松效控制网络病毒网络保持畅通
264 易维护
华网络交换机独特设计具备防尘防潮防静电等种适楼道安装特点 具强运行维护力效降低运营商运维成支持RS232 理口TelnetWEBSNMP 代理远程监控(RMON 1~39 组)根运营商求理方案支持SNMP协议全网集中网提供障告警日志功通机箱面板指示灯直观解设备运行状态
265 高性
华网络产品均国际流先进ASIC芯片进行设计率先采ISO9002生产标准进行生产确保设备稳定性
266 低成扩展性强
太网交换技术历长期发展众厂商支持技术实现简单获极性 价格华网络公司太网交换机全部基标准太网交换技术专芯片技术具极高性价保证整网络核心部分稳定高性华中心交换机采模块式设计户需简单添加端口模块实现网络扩容完整保护户投资华交换机支持弹性堆叠功根需扩展堆叠机样网络需扩容时需简单添加堆叠机必添加设备理 IP时网络速度会受影响
3企业网络整体方案部署
该企业应方案设计方案中网络服务器等设备具体参数配置
31 交换模块设计
简化交换网络设计提高交换网络扩展园区网部数交换部署分层进行园区网数交换设备划分三层次:接入层分布层核心层设计方案中需进行三层配置
配置均属真实运营参数SecureCRT 61作终端进行网络设备配置验证
311 接入层交换机服务实现—配置接入层交换机
接入层终端户提供接入点里接入层交换机采S270052PEI交换机交换机拥4810100Mbps适应快速太网端口方案拓朴图示中接入层交换机LSW5例进行介绍图31接入层示:
图31 接入层
3111配置接入层交换机LSW5基参数
1) 设置交换机名称
设置交换机名称出现交换机CLI提示符中名字般会理位置行政划分交换机命名需Telnet登录干台交换机维护型网络时通交换机名称提示前配置交换机位置必
Secure CRT登录LSW5进入界面输入命令接入层交换机命名
systemview 进入户模式
[Huawei]sysname LSW5S 修改交换机名称
[LSW5] 修改成功显示效果
2) 设置登录虚拟终端线时口令
已运行着交换网络说交换机带远程理网络理员提供方便处安全考虑够远程理交换机前网络理员必须设置远程登录交换机口令
[LSW5]userinterface vty 0 4 进入虚拟终端线路
[LSW5uivty04]set authentication password cipher mzxy 设置登录密码mzxy
[LSW5uivty04]authenticationmode password 设置认证模式密码认证
3) 设置终端线超时时间
安全考虑设置终端线超时时间设置障碍时间果没检测键盘输入交换机断开户交换机间连接
[LSW5uivty04]idletimeout 5 设置登陆交换机控制终端线路超时时间5分0秒钟
3112配置接入层交换机LSW5理IP默认网关
接入层交换机OSI参考模型第二层设备数链路层设备接入层交换机端口设置IP址没意义网络理员远程登录接入层交换机进行理必接入层交换机设置理IP址种情况实际交换机成PC机样机交换机设置理IP址VLAN1征VLAN 中进行表2理VLAN子网:1921680024里接入层交换机LSW5理IP址设:19216801024:
[LSW5]interface vlan 1
[LSW5Vlanif1]ip add 192168010 24 设置理IP
网络理员子网理交换机应设置默认网关址1921680254
[LSW5]ip routestatic 0000 0000 1921680254
3113 配置接入层交换机LSW5VLAN
[LSW5]vlan batch 10 20 交换机创建VLAN10 VLAN20
1111 配置接入层交换机LSW5访问端口
接入层交换机LSW5终端户提供接入服务根部门分布接入层交换机LSW5VLAN 10VLAN 20提供接入服务
设置接入层交换机SWITCH1端口1~20VLAN 10端口21~46VLAN 20:
[LSW5]vlan 10
[LSW5vlan10]port Ethernet 001 to 0020 设置端口1~20VLAN 10成员
[LSW5]vlan 20
[LSW5vlan20]port Ethernet 0021 to 0046 设置端口21~46VLAN 20成员
3114 配置接入层交换机
接入层交换机配置步骤命令接入层交换机LSW5配置类似
LSW5配置接入层交换机做相类似配置端口划入相应VLAN
312 核心层交换机服务实现—配置核心层交换机
设计方案中核心层设备做数高速转发工作时兼顾分布层工作方便配置实施面讨核心层交换机配置图32核心层示:
图32 核心层
3121 核心层交换机LSW1基参数配置
配置步骤接入层交换机LSW5基参数配置类似配置:
systemview
[Huawei]sysname LSW1
[LSW1]userinterface vty 0 4
[LSW1uivty04]authenticationmode password
[LSW1uivty04]set authentication password cipher mzxy
[LSW1uivty04]idletimeout 5
3122 配置核心层交换机LSW1理IP默认网关
面命令核心层交换机CoreSwitch1设置理IP激活理VLAN设置默认网关址配置:
[LSW1]interface vlan 1
[LSW1Vlanif1]ip add 1921680100 24
[LSW1]ip routestatic 0000 0000 1921680254
3123 核心层交换机LSW1定义VLAN
设计方案中默认理VLAN外定义6VLAN:
[LSW1]vlan 10
[LSW1vlan10]description CWB
[LSW1]vlan 20
[LSW1vlan20]description SCB
[LSW1]vlan 30
[LSW1vlan30]description CHB
[LSW1]vlan 40
[LSW1vlan40]description KFZX
[LSW1]vlan 50
[LSW1vlan50]description CGB
[LSW1]vlan 60
[LSW1vlan60]description SERVER
[LSW1]vlan 100
[LSW1vlan100]description ToLSW2
3124 配置核心层交换机LSW1端口基参数
朴拓朴图示核心层交换机LSW1端口G004服务器群提供接入服务端口G001分连路器接口分配接入层交换机
外实现冗余设计提供干道吞吐量核心层交换机LSW1千兆端口G002G003捆绑起实现2000Mbps千兆太网信道然连接台核心层交换机LSW2面调协核心层交换机LSW2千兆太网信道步骤:
[LSW1]interface EthTrunk 1 创建组
[LSW1EthTrunk1]port linktype access 设置模式TRUNK
[LSW1EthTrunk1]trunkport GigabitEthernet 002 to 003 加入组1
3125 配置核心层交换机LSW1三层交换功
核心层交换机CoreSwitch需网络中VLAN提供路功需VLAN定义已默认网关址:
[LSW1]interface Vlanif 10
[LSW1Vlanif10] ip add 19216811 2552552550
[LSW1]interface Vlanif 20
[LSW1Vlanif20]ip add 19216821 2552552550
[LSW1]interface Vlanif 30
[LSW1Vlanif30]ip add 19216831 2552552550
[LSW1]interface Vlanif 40
[LSW1Vlanif40]ip add 19216841 2552552550
[LSW1]interface Vlanif 50
[LSW1Vlanif50]ip add 19216851 2552552550
[LSW1]interface Vlanif 100
[LSW1Vlanif100]ip add 1921681001 255255255252
外需定义通Internet路里条缺省路命令跳址Internet接入路器核心交换机相连接快速太网接口G001IP址
[LSW1]vlan 200
[LSW1vlan200]description ToAR1
[LSW1vlan200]port GigabitEthernet 001
[LSW1]int vlan 200
[LSW1Vlanif200]ip add 1921682001 24
CoreSwitch1(configif)#ip address 1921682001 2552552550
交换机LSW1启OSPF路功
[LSW1]ospf 1
[LSW1ospf1]area 0
[LSW1ospf1area0000]network 19216800 000255
[LSW1ospf1area0000]network 19216810 000255
[LSW1ospf1area0000]network 19216820 000255
[LSW1ospf1area0000]network 19216830 000255
[LSW1ospf1area0000]network 19216840 000255
[LSW1ospf1area0000]network 19216850 000255
[LSW1ospf1area0000]network 1921681000 000255
[LSW1ospf1area0000]network 1921682000 000255
[LSW1ospf1area0000]network 1921683000 000255
3126 配置核心层交换机LSW2
核心层交换机LSW2配置步骤命令核心层交换机LSW1配置类似
32广域网接入模块设计
设计方案中广域网接入模块功广域网接入路器AR1完成采华3260路器通串行接口Serial400接入Internet作Internet企业网间路数包完成路务外利访问控制列表(Access Control ListACL)广域网接入路器AR1完成身中心流量控制滤功实现定安全功图33广域网接入示
图33 广域网接入
321 配置路器AR1基参数
路器基参数配置前面交换机配置类似配置:
systemview
[Huawei]sysname AR1
[AR1]userinterface vty 0 4
[AR1uivty04]set authentication password cipher mzxy
[AR1uivty04]authenticationmode password
[AR1uivty04]idletimeout 5
322 配置路器AR1接口参数
路器IRouter接口参数配置接口G000G001接口S400IP址子网掩码配置:
[AR1]interface g000
[AR1GigabitEthernet000]ip add 1921682001 2552552550
[AR1]interface g001
[AR1GigabitEthernet001]ip add 1921683001 2552552550
[AR1]interface Serial 400
[AR1Serial400]ip add 19621251 255255255252
配置路器IRouter接口IP址子网掩码
323 配置路器AR1路功
接入路器AR1需定义两方路:
企业网部静态路Internet缺省路Internet路需定义条缺省路跳指定路器接口S400送出:
[AR1]ip routestatic 0000 0000 Serial 400 定义Internet缺省路
企业部配置负载均衡企业网部路两条路径条LSW1进入企业网部条LSW2进入企业网部第条路径路条目路汇总形成两条路条目:
[AR1]ospf 1
[AR1ospf1]area 0
[AR1ospf1area0000]network 1921682000 000255
[AR1ospf1area0000]network 1921683000 000255
定义LSW1LSW2企业网部外部路
324配置接入路器AR1NAT
目前IP址资源非常稀缺企业网部工作站分配公IP(Internet路)址解决工作站访问Internet需必须NAT(网络址转换)技术
根前文企业网需求分析企业ISP申请9IP址中IP址:19621251分配Internet接入路器串行接口外8IP址:202126222229~202126222729作NAT
里接口NAT址转换面配置NAT址转换:
[AR1]acl 2000 配置基ACL匹配NAT流量
[AR1aclbasic2000]rule 10 permit source 19216800 000255
[AR1]nat addressgroup 1 2021262222 2021262227 创建址池1
[AR1]int Serial 400 接口启NAT
[AR1Serial400]nat outbound 2000 addressgroup 1
325配置接入路器AR1ACL
然方案设计中防火墙网络安全保障第道关卡网络防御前阵路器访问控制列表网络安全重保障访问控制列表提供种机制控制滤通路器接口方信息流种机制允许户全长访问表理信息流制定公司部网络相关策略策略描述安全功反映流量优先级
路器访问控制列表ACL保护网安全效手段设计良访问控制列表仅超控制网络流量流作增加网络系统软硬件投资情况完成般软硬件防火墙产品功路器介企业网外网间外网网进行通信时重屏障网络系统安全防火墙产品然必路器访问控制列表进行周密设计企业网包括防火墙身实施保护
里针服务器网工作站安全进出广域网接入路器AR1ACL配置方案网络环境中普遍存着非常重影响服务器群安全隐患绝数网络环境实现中应该外加屏蔽
1)外屏蔽简单网协议SNMP
利协议远程机监视控制网络网络设备两种服务类型:SNMPSNMPTRAP路器配置ACL外屏蔽简单网协议SNMP:
[AR1]acl 3000
[AR1acladv3000]rule deny udp destinationport eq snmpt
[AR1acladv3000]rule deny udp destinationport eq snmptrap
[AR1acladv3000]rule 200 permit ip source any
2)外屏蔽远程登录协议telnet
首先telnet种安全协议类型户telnet登录网络设备服务器时户名口令网络中明文传输容易网络非法协议分析设备截获次telnet登陆数网络设备UNIX服务器相关命令完全操极危险必须加屏蔽配置方法:
[AR1acladv3000]rule deny tcp destinationport eq telnet
[AR1acladv3000]rule 200 permit ip source any
外屏蔽远程登陆协议telnet
结束语
目前高度信息化时代中型企业逐步信息化已成避免趋势然企业营者意识者种素限制目前国建设企业网络中型企业少数面急需发展企业信息化中型企业该建设低成高性满足企业发展需求企业网络值探讨课题
针问题方案某企业网络架构进行研究分析然根中型企业资金力网络需求进行详细分析组建企业网涉方面技术进行终符合中型企业目前形势企业网络设计方案企业网络设计方案中包括模块:企业园网广域网接入企业数中心远程访问等模块设计时充分考虑设计创新性成控制等素:
企业园网模块核心容层交换网络实现设计模块时方案深入解层网络特性华企业网模型基础减少非必设备满足目前中型企业网络需求未五年企业网络扩展需求前提提高扩展灵活性时节约设备开销
安全性方面采路器身功配置已满意中型企业业务应安全需求需单独采购昂贵安全设备
设计方案成控制企业网络开销表现符合前中型企业组建网络情况
实现设计方案配置中然涉容仅仅做必配置层交换网络具非常特性实现企业需求核心三层交换机配置ACL控制部门间访问允许禁止某部门访问外部门需根企业需求实现广域网接入路器做QoS服务达优化网络目实现控制网户种软件(QQBT载等等)情况更特性功实现需进行更深入方面研究
参考文献
[1]Diane TeareCatherine Paquet 著陈宇袁国忠 译CCNP学指南:组建扩展CISCO互连网络(BSCI)(第三版)[M]民邮电出版社2007年10月
[2]远图书部局域网搭建完全DIY手册[M]民交通出版社2008年
[3]扈新波局域网组建理技术详解[M]电子工业出版社2008年08月
[4]文洋网员全局域网组建理升级维护[M]电子工业出版社2008年06月
[5]倪伟局域网组建理维护基础实例教程[M]电子工业出版社2007年09月
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
职业技术学院
毕业实践报告
题目:企业网络规划设计实现
毕业文
毕业设计
毕业专题
√
类型:
指导老师:
系 :
班 级:
学 号:
姓 名:
2014 年 X 月 X 日
摘 21世纪信息时代互联网企业驰入全球信息高速公路企业信息通互联网通达世界角落企业通互联网发布企业新商业信息供全球检索宣传企业宣传企业产品宣传企业服务全面展示企业形象通网络行业进行交流推销合作时通互联网寻找货源新客户许企业互联网找机会创造辉煌
渊羡鱼退结网科技着类断发展日新月异信息化网络化高效化脚步已越越公司说网络信息化已成公司发展参市场竞争首条件企业网络方案设计长沙某公司网络结构特点企业网原性出发根公司建设必性需求公司网络综合布线公司信息点采集等方面进行需求分析通网络仿真软件ENSP20建立网络设备网络链路布线设计模型模拟网络流量划分VLAN创建访问控制列表构建冗余链路等综合性运企业网优点现代化理手段网络结构架构:网络拓扑结构详细规划分层设计IP址规划设计等方面做详细剖析实现办公动化全方位功升级力强企业网构建
关键词 企业网网络规划网络设计网络拓扑
目录
序言 1
企业信息需求 1
企业理业务发展角度出发 1
1中企业网络建设目标 3
11建设目标 3
12设计原 3
2企业网络总体设计 5
21 网络拓朴设计 5
22 IP编址方案VLAN划分 6
23 核心层设计设备选型 7
231 园区干交换机 7
232 出口路器 7
233 服务器群组 8
24 接入层设计设备选型 8
25 安全体系设计设备选型 8
26 设计方案优势 10
261 高带宽高性 10
262 网络理 10
263 完善安全机制 11
264 易维护 11
265 高性 12
266 低成扩展性强 12
3企业网络整体方案部署 13
31 交换模块设计 13
311 接入层交换机服务实现—配置接入层交换机 13
312 核心层交换机服务实现—配置核心层交换机 15
32广域网接入模块设计 18
321 配置路器AR1基参数 19
322 配置路器AR1接口参数 19
323 配置路器AR1路功 19
324 配置接入路器AR1NAT 20
325 配置接入路器AR1ACL 20
结束语 22
参考文献 23
序言
着Internet全球发展普企业网络技术发展企业生存发展需促成企业网形成20世纪90年代企业网络已成连接企业事业单位部门外界交流信息重基础设施基局域网广域网技术发展起企业网络技术迅速发展
适应网络济飞速发展扩企业营规模范围方便企业部企业间交流节省办公开销提高企业理水企业发展Intranet(企业部网)已刻容缓
外截2011年中国中企业数量达4660万中拥企业网站企业数量达363万国民济中60总产中企业社会提供60业机会然中国国民济社会发展中直占着关重战略位中企业信息化程度较落应瞬息万变竞争激烈国外市场环境利网络技术迅速提升企业核心竞争力成企业成败关键
企业信息需求
面着激烈市场竞争公司信息收集传输加工存储查询预测决策时交流沟通等工作量越越原电脑出网络技术安全性等素考虑直停留单机工作模式部门科室间数实现享致工作效率降纯粹手工理方式手段已适应企业需严重妨碍公司生存发展社会进行求企业必须改变现落理体制理方法手段建立现代企业新形象建立企业办公动化理信息系统(公司局域网)提高理水增加济社会效益
企业理业务发展角度出发
通网络网络资源改善企业部企业客户间信息交流方式满足业务部门信息存储检索处理享需求企业迅速掌握瞬息万变市场行情企业信息更效发挥效力提高办公动化水提高工作效率降低理成提高企业市场竞争力通项业务踪企业理者解业务进展情况掌握第手资料时掌握市场动态企业提供投资导领导决策提供数支持通企业部网建立企业业务部门更方便交流沟通理者时解位员工情况加强企业力资源合理调度切实做系统集成化设计原设备投资效利
必建设中型企业建设信息网络达限度实现信息资源享电子信息传递取代纸面文件材料传送逐步实现纸办公改变传统工作方式进步提高工作效率时利种业务信息综合分析级领导提供决策支持更组织生产营
1中企业网络建设目标
11 建设目标
企业建设办公动化计算机辅助生产控制理核心现代网络技术托技术先进扩展性强覆盖企业楼宇企业干网络企业种PC机工作站终端设备局域网连接起关广域网相连网宣传获取Internet网信息资源形成结构合理外沟通企业计算机网络系统基础建立满足生产研发理工作需软硬件环境开发类信息库应系统企业类需求提供充分网络信息服务总体目标利先进计算机技术网络通信技术建设高质量高效率统通信网络具体目标:
1) 通建设高速安全扩充网络系统系统互联互通实现企业信息高度享传递理信息化领导时全面准确掌握企业研发生产理财务事等方面情况
2) 建立出口信道实现企业Internet互联时部署企业种应服务器(邮件文件网站系统服务器等)实现企业信息发布提供领导企业员工移动拨号接入进行移动办公资料查询
3) 企业通交流电子信息传递取代纸面文件资料传送实现纸办公改变传统工作方式进步提高工作效率
4) 利种业务信息综合分析级领导提供决策支持更组织生产营
12设计原
企业园区网包含量信息点会涉量业务应求企业网必须实高高效率高扩展性高安全性系统企业园网络系统具良扩展性灵活接入力易理易维护网络设计构建中始终应遵循统标准统台网络分层原包括原:
1) 网络规划方面统采IP技术统规划IP址种应采开放技术国际标准路协议安全标准接入标准网络理台等保证实现网络统确保网络扩展性时减少网络中部分相关性便网络实施理网络构建中整体网络划分核心层汇聚层接入层等3层次
2) 软硬件选择方面选择软硬件产品必须遵循标准化原采统软硬件台基应软件便进行统软件版升级理
3) 安全方面建设企业网应具良安全性保密性根企业业务应需求部署合理网络访问策略时实现企业部敏感信息保护受攻击时具追溯性
4) 投资保护方面做资源享保护充分合理利现资源限度原系统建系统互联互通利已投资基础解决费补充配套资金位问题
2企业网络总体设计
21 网络拓朴设计
次该企业网络设计方案部分构成:交换模块广域网接入模块服务器群整网络系统拓朴结构图图21网络拓朴设计示:
图21 网络拓朴设计
该设计符合中型局域网模型架构园区干建筑物分布子模块没十分明确三层设计区分功配置基紧缩层中缺乏明显分开园区干建筑物分布子模块园区干子模块中密度限建筑物分布子模块中采台二层交换机进行堆叠方案中出扩展性次性投资成网络传输性长远规划等方面素考虑前期先采堆叠模式满足户接入问题户增加定数量出交换机堆叠数量限制选择增加台建筑物分布子模块做汇聚交换设备样样做续强扩展性通种设计该企业达满足现需求时降低成失期扩展性(拓朴图示)
设计方案言提供交换机链路冗余园区干子模块包含单点障
采星形拓朴结构相拓朴结构说星形拓朴户接入网络时具更灵活性系统断发展系统发生重变化时种优点变更加突出
接入层华S2700系列交换机通生成树提供第二层冗余华S2700系列交换机仅缺点高32Gbits交换阵列支持48快速太网端口资金限中型企业网说已满足需求
核心层采三层交换机华5700系列部署增加网络扩展性提高性性增强网络安全性
该设计中利快速太网通道化千兆太网通道化技术扩展网络带宽满足部网络负荷网络运行需求
22 IP编址方案VLAN划分
IP址规划根分配公网IP址部私网IP址分配址分二块块分配C类公网IP址作国际互联网互连址部分企业相关域名解析片址时提供企业户网时NAT转换果条件允许申请运营商线路关键服务器应拥两条线路公网IP分跨接运营商进行相互备份
前交换技术迅速发展加快虚拟子网技术(VLAN—Virtual Local Area Network)应速度特前企业网应更广泛通企业网络划分虚拟子网(VLAN)强化网络理网络安全控制必数广播数广播网络中起着非常重作着企业网计算机数量增加广播包数量会急剧增加广播包数量占总量30时网络传输效率会明显降特某网络设备出现障会停网络发送广播导致网络风暴网络通信陷瘫痪企业网络计算机数超200台必须采取措施网络分隔开广播域划分成干广播域
该方案IP编址VLAN划分:
表51 VLAN划分表
VLAN号
VLAN名称
IP网段
默认网关
说明
VLAN 1
192.168.0.024
192.168.0.254
理VLAN
VLAN 10
CWB
192.168.1.024
192.168.1.254
财务部VLAN
VLAN 20
SCB
192.168.2.024
192.168.2.254
市场部VLAN
VLAN 30
CHB
192.168.3.024
192.168.3.254
策划部VLAN
VLAN 50
KFZX
192.168.5.024
192.168.5.254
客服中心VLAN
VLAN 60
CGB
192.168.6.024
192.168.6.254
采购部VLAN
VLAN 70
RFB
192.168.7.024
192.168.7.254
研发部VLAN
VLAN 100
SERVER
192.168.100.024
192.168.100.254
服务器组VLAN
23 核心层设计设备选型
企业网种应统通信台均障时间障恢复时间保持容忍许范围种前提园区干设备应定冗余度种冗余包括设备物理线路等方面数链路层网络层应层容错力园区干网企业网络中心机房中心节点外辐射通部门建筑楼节点构成园区干网企业园物理结构分三层:核心层汇聚层接入层园区干网中心节点配置核心路交换机该交换机配置第三层交换模块网络监控模块实现网络动态理虚拟局域网企业网建筑物分布子模块采三层交换机企业网园区中心核心路交换机连接实现干通道信息传输负载均衡办公司楼研发楼生产间职工公寓等楼宇采高性汇聚层交换机保证建筑楼信息点交换机端口密度求网络性性求园区干网核心层交换机汇聚层交换机采1000Mbps连接服务器采100Mbps连接
231 园区干交换机
园区干交换机指连接服务器楼楼间层层间数交换设备根企业网工程阶段中网络信息点增加间伴着需求增长干交换机基设备选型阶段性扩展需求进行总体合理规划
次方案设计采华S5700交换机高性达102Mpps136Gbits远程办公室环境中类交换机作单台交换机发挥作作包含少量交换机中型网络园区干交换机
性方面具强扩展性业务特性满足未企业丰富业务需求提供投资保护
232 出口路器
方案中考虑该企业Internet出口路器配置采台华AR3260路器华AR3260系列模块化设备提供更槽更高处理力途支持型分支机构中复杂应作中心路器远程站点提供连接网络模块高支持OC3速度数企业具丰富提高扩展力
233 服务器群组
服务器网络服务器量方服务器选择标准程度取决中心客户类型应种类部分中型企业应言WebERP应数库应然占整数中心类应部分服务器网络响应力程度体现服务器硬件体系结构设计合理性CPUCPU组(SMP)操作系统进程线程分配力磁盘IO性行性稳定性时散热功耗易安装性重点考察评价象基考虑选服务器必须具高性IO吞吐力强数处理快扩展性理性良特点
24 接入层设计设备选型
接入层选华S2700堆叠交换机作户接入交换机通常作建筑物接入交换机部署够提供固定端口密度具高端交换机相类似特性成更低支持非常高级交换特性中包括集成安全NAC高级Qos弹性等时交换机具固定端口配置具244810100BASET101001000BASET端口双目标特太网行链路
华S2700作方案设计接入交换机支持全线速二层交换时具备特性:
完备安全智控制策略:支持8021x认证通灵活MACIPVLANPORT意组合绑定效防止非法户访问网络
支持种ACL访问控制策略:够户访问网络资源权限进行设置保证网络受控访问
高性:支持STPRSTP生成树协议
丰富QOS策略:支持基源MAC址目MAC址源IP址目IP址端口支持带宽控制功
25 安全体系设计设备选型
企业网信息系统企业网数字神中枢合理仅提高企业现代化信息化改革提高工作效率改善工作模式流程时通企业间信息享沟通方便畅会极提高整体行业工作效率工作业绩
企业网总体分企业网企业外网企业网包括研发楼局域网生产车间局域网办公动化局域网等企业外网指企业提供外服务服务器群电信接入远程移动办公户接入等认真分析总结出企业网面着安全威胁:
(1) 种操作系统应系统身漏洞带安全威胁
(2) Internet网络户企业网存非法访问恶意入侵威胁
(3) 企业网外种病毒威胁外部户通邮件文件传输等病毒带入企业网部职工盗版介质病毒带入企业
(4) 部户Internet非法访问威胁浏览黄色暴力反动等网站载文件木马蠕虫病毒等程序带入企业网
(5) 外网恶意户利利工具网络服务器发起DOSDDOS攻击导致网络服务
(6) 企业网职工时通信工具(:QQ)目前针该类工具黑客程序处见
(7) 会企业网理员全体职工安全意识强理制度健全带企业网威胁
基面问题物理系统网络应理五层次分析设计适合企业网安全建议方案
26 设计方案优势
261 高带宽高性
相传统组网设计方案该企业网络设计方案基标准二三层太网交换技术技术成熟度非常高企业网络中心放置路交换机行通GE接互联网GE单模者模时情况进行扩展出口会成企业网瓶颈企业网络中心通行千兆链路连接接入层交换机百兆交换桌面100M带宽充分满足户高速网容载媒体等种宽带业务核心交换机拥1000M出口联接企业网层设备全部支持线速交换户提供真正高带宽网络未高带宽宽带业务提供强支撑力
262 网络理
企业网员工提供便捷高效学工作环境时宽带理权限控制等方面存许问题:
n 带宽资源量占导致重应法进行
企业说带宽资源限没带宽限制优先级设置重户重应必带宽保证影响工作
n 访问权限难控制
着互联网资源部门间员工间保密资源意获取导致企业秘密资料知识产权竞争手抄袭引起济损失
n 异常网络事件审计追查
异常网络事件发生快追根溯源找出幕黑手避免事件次发生成网络维护员面棘手问题
n 带宽限定业务优先级设定
系统客户行带宽限加限定防止客户占网络资源户数设定业务优先级保证重数更服务
n 快捷实现全网理
全网拓扑发现功全网设备网络节点事件性日志进行实时监控统理
n 强事件追查功
系统中丰富日志信息便捷追查工具网络理员面异常事件时时作出反应迅速找出幕黑手
263 完善安全机制
该企业楼宇交换机通种安全机制效防止控制病毒传播网络流量攻击 控制非法户网络保证合法户合理化网络端口安全端口隔离专家级ACL时间ACL端口ARP 报文合法性检查基数流带宽限速等等 满足企业网加强访问者进行控制限制非授权户通信需求汇聚核心交换设备设置硬件实现ACL病毒进行滤
n 硬件实现端口MAC 址户IP址绑定严格限定端口户接入
n 通端口设保护端口简单方便隔离户间信息互通必占VLAN资源
n 通Private VLAN交换机VLAN 中提供端口间通讯安全隔离确保数流进入效端口会发送端口解决传统8021QVLAN造成全网VID资源够问题时需利安全规资源达隔离户组户间通讯功充分保护户隐私
n 提供极效 Port Blocking 功避免端口受端口发送广播包播包等报文干扰效减轻端口负载负担提高端口带宽保护户PC更高效安全运行
n 基源IP址控制TelnetWeb设备访问控制增强设备网安全性避免黑客恶意攻击控制设备
n 提供加密传输Secure Shell(SSH)保证理设备信息安全性防止黑客攻击控制设备
n 病毒蠕虫等元化发展
n 控制网络病毒 统接入层交换机做动态发安全策略轻松效控制网络病毒网络保持畅通
264 易维护
华网络交换机独特设计具备防尘防潮防静电等种适楼道安装特点 具强运行维护力效降低运营商运维成支持RS232 理口TelnetWEBSNMP 代理远程监控(RMON 1~39 组)根运营商求理方案支持SNMP协议全网集中网提供障告警日志功通机箱面板指示灯直观解设备运行状态
265 高性
华网络产品均国际流先进ASIC芯片进行设计率先采ISO9002生产标准进行生产确保设备稳定性
266 低成扩展性强
太网交换技术历长期发展众厂商支持技术实现简单获极性 价格华网络公司太网交换机全部基标准太网交换技术专芯片技术具极高性价保证整网络核心部分稳定高性华中心交换机采模块式设计户需简单添加端口模块实现网络扩容完整保护户投资华交换机支持弹性堆叠功根需扩展堆叠机样网络需扩容时需简单添加堆叠机必添加设备理 IP时网络速度会受影响
3企业网络整体方案部署
该企业应方案设计方案中网络服务器等设备具体参数配置
31 交换模块设计
简化交换网络设计提高交换网络扩展园区网部数交换部署分层进行园区网数交换设备划分三层次:接入层分布层核心层设计方案中需进行三层配置
配置均属真实运营参数SecureCRT 61作终端进行网络设备配置验证
311 接入层交换机服务实现—配置接入层交换机
接入层终端户提供接入点里接入层交换机采S270052PEI交换机交换机拥4810100Mbps适应快速太网端口方案拓朴图示中接入层交换机LSW5例进行介绍图31接入层示:
图31 接入层
3111配置接入层交换机LSW5基参数
1) 设置交换机名称
设置交换机名称出现交换机CLI提示符中名字般会理位置行政划分交换机命名需Telnet登录干台交换机维护型网络时通交换机名称提示前配置交换机位置必
Secure CRT登录LSW5进入界面输入命令接入层交换机命名
[Huawei]sysname LSW5S 修改交换机名称
[LSW5] 修改成功显示效果
2) 设置登录虚拟终端线时口令
已运行着交换网络说交换机带远程理网络理员提供方便处安全考虑够远程理交换机前网络理员必须设置远程登录交换机口令
[LSW5]userinterface vty 0 4 进入虚拟终端线路
[LSW5uivty04]set authentication password cipher mzxy 设置登录密码mzxy
[LSW5uivty04]authenticationmode password 设置认证模式密码认证
3) 设置终端线超时时间
安全考虑设置终端线超时时间设置障碍时间果没检测键盘输入交换机断开户交换机间连接
[LSW5uivty04]idletimeout 5 设置登陆交换机控制终端线路超时时间5分0秒钟
3112配置接入层交换机LSW5理IP默认网关
接入层交换机OSI参考模型第二层设备数链路层设备接入层交换机端口设置IP址没意义网络理员远程登录接入层交换机进行理必接入层交换机设置理IP址种情况实际交换机成PC机样机交换机设置理IP址VLAN1征VLAN 中进行表2理VLAN子网:1921680024里接入层交换机LSW5理IP址设:19216801024:
[LSW5]interface vlan 1
[LSW5Vlanif1]ip add 192168010 24 设置理IP
网络理员子网理交换机应设置默认网关址1921680254
[LSW5]ip routestatic 0000 0000 1921680254
3113 配置接入层交换机LSW5VLAN
[LSW5]vlan batch 10 20 交换机创建VLAN10 VLAN20
1111 配置接入层交换机LSW5访问端口
接入层交换机LSW5终端户提供接入服务根部门分布接入层交换机LSW5VLAN 10VLAN 20提供接入服务
设置接入层交换机SWITCH1端口1~20VLAN 10端口21~46VLAN 20:
[LSW5]vlan 10
[LSW5vlan10]port Ethernet 001 to 0020 设置端口1~20VLAN 10成员
[LSW5]vlan 20
[LSW5vlan20]port Ethernet 0021 to 0046 设置端口21~46VLAN 20成员
3114 配置接入层交换机
接入层交换机配置步骤命令接入层交换机LSW5配置类似
LSW5配置接入层交换机做相类似配置端口划入相应VLAN
312 核心层交换机服务实现—配置核心层交换机
设计方案中核心层设备做数高速转发工作时兼顾分布层工作方便配置实施面讨核心层交换机配置图32核心层示:
图32 核心层
3121 核心层交换机LSW1基参数配置
配置步骤接入层交换机LSW5基参数配置类似配置:
[Huawei]sysname LSW1
[LSW1]userinterface vty 0 4
[LSW1uivty04]authenticationmode password
[LSW1uivty04]set authentication password cipher mzxy
[LSW1uivty04]idletimeout 5
3122 配置核心层交换机LSW1理IP默认网关
面命令核心层交换机CoreSwitch1设置理IP激活理VLAN设置默认网关址配置:
[LSW1]interface vlan 1
[LSW1Vlanif1]ip add 1921680100 24
[LSW1]ip routestatic 0000 0000 1921680254
3123 核心层交换机LSW1定义VLAN
设计方案中默认理VLAN外定义6VLAN:
[LSW1]vlan 10
[LSW1vlan10]description CWB
[LSW1]vlan 20
[LSW1vlan20]description SCB
[LSW1]vlan 30
[LSW1vlan30]description CHB
[LSW1]vlan 40
[LSW1vlan40]description KFZX
[LSW1]vlan 50
[LSW1vlan50]description CGB
[LSW1]vlan 60
[LSW1vlan60]description SERVER
[LSW1]vlan 100
[LSW1vlan100]description ToLSW2
3124 配置核心层交换机LSW1端口基参数
朴拓朴图示核心层交换机LSW1端口G004服务器群提供接入服务端口G001分连路器接口分配接入层交换机
外实现冗余设计提供干道吞吐量核心层交换机LSW1千兆端口G002G003捆绑起实现2000Mbps千兆太网信道然连接台核心层交换机LSW2面调协核心层交换机LSW2千兆太网信道步骤:
[LSW1]interface EthTrunk 1 创建组
[LSW1EthTrunk1]port linktype access 设置模式TRUNK
[LSW1EthTrunk1]trunkport GigabitEthernet 002 to 003 加入组1
3125 配置核心层交换机LSW1三层交换功
核心层交换机CoreSwitch需网络中VLAN提供路功需VLAN定义已默认网关址:
[LSW1]interface Vlanif 10
[LSW1Vlanif10] ip add 19216811 2552552550
[LSW1]interface Vlanif 20
[LSW1Vlanif20]ip add 19216821 2552552550
[LSW1]interface Vlanif 30
[LSW1Vlanif30]ip add 19216831 2552552550
[LSW1]interface Vlanif 40
[LSW1Vlanif40]ip add 19216841 2552552550
[LSW1]interface Vlanif 50
[LSW1Vlanif50]ip add 19216851 2552552550
[LSW1]interface Vlanif 100
[LSW1Vlanif100]ip add 1921681001 255255255252
外需定义通Internet路里条缺省路命令跳址Internet接入路器核心交换机相连接快速太网接口G001IP址
[LSW1]vlan 200
[LSW1vlan200]description ToAR1
[LSW1vlan200]port GigabitEthernet 001
[LSW1]int vlan 200
[LSW1Vlanif200]ip add 1921682001 24
CoreSwitch1(configif)#ip address 1921682001 2552552550
交换机LSW1启OSPF路功
[LSW1]ospf 1
[LSW1ospf1]area 0
[LSW1ospf1area0000]network 19216800 000255
[LSW1ospf1area0000]network 19216810 000255
[LSW1ospf1area0000]network 19216820 000255
[LSW1ospf1area0000]network 19216830 000255
[LSW1ospf1area0000]network 19216840 000255
[LSW1ospf1area0000]network 19216850 000255
[LSW1ospf1area0000]network 1921681000 000255
[LSW1ospf1area0000]network 1921682000 000255
[LSW1ospf1area0000]network 1921683000 000255
3126 配置核心层交换机LSW2
核心层交换机LSW2配置步骤命令核心层交换机LSW1配置类似
32广域网接入模块设计
设计方案中广域网接入模块功广域网接入路器AR1完成采华3260路器通串行接口Serial400接入Internet作Internet企业网间路数包完成路务外利访问控制列表(Access Control ListACL)广域网接入路器AR1完成身中心流量控制滤功实现定安全功图33广域网接入示
图33 广域网接入
321 配置路器AR1基参数
路器基参数配置前面交换机配置类似配置:
[Huawei]sysname AR1
[AR1]userinterface vty 0 4
[AR1uivty04]set authentication password cipher mzxy
[AR1uivty04]authenticationmode password
[AR1uivty04]idletimeout 5
322 配置路器AR1接口参数
路器IRouter接口参数配置接口G000G001接口S400IP址子网掩码配置:
[AR1]interface g000
[AR1GigabitEthernet000]ip add 1921682001 2552552550
[AR1]interface g001
[AR1GigabitEthernet001]ip add 1921683001 2552552550
[AR1]interface Serial 400
[AR1Serial400]ip add 19621251 255255255252
配置路器IRouter接口IP址子网掩码
323 配置路器AR1路功
接入路器AR1需定义两方路:
企业网部静态路Internet缺省路Internet路需定义条缺省路跳指定路器接口S400送出:
[AR1]ip routestatic 0000 0000 Serial 400 定义Internet缺省路
企业部配置负载均衡企业网部路两条路径条LSW1进入企业网部条LSW2进入企业网部第条路径路条目路汇总形成两条路条目:
[AR1]ospf 1
[AR1ospf1]area 0
[AR1ospf1area0000]network 1921682000 000255
[AR1ospf1area0000]network 1921683000 000255
定义LSW1LSW2企业网部外部路
324配置接入路器AR1NAT
目前IP址资源非常稀缺企业网部工作站分配公IP(Internet路)址解决工作站访问Internet需必须NAT(网络址转换)技术
根前文企业网需求分析企业ISP申请9IP址中IP址:19621251分配Internet接入路器串行接口外8IP址:202126222229~202126222729作NAT
里接口NAT址转换面配置NAT址转换:
[AR1]acl 2000 配置基ACL匹配NAT流量
[AR1aclbasic2000]rule 10 permit source 19216800 000255
[AR1]nat addressgroup 1 2021262222 2021262227 创建址池1
[AR1]int Serial 400 接口启NAT
[AR1Serial400]nat outbound 2000 addressgroup 1
325配置接入路器AR1ACL
然方案设计中防火墙网络安全保障第道关卡网络防御前阵路器访问控制列表网络安全重保障访问控制列表提供种机制控制滤通路器接口方信息流种机制允许户全长访问表理信息流制定公司部网络相关策略策略描述安全功反映流量优先级
路器访问控制列表ACL保护网安全效手段设计良访问控制列表仅超控制网络流量流作增加网络系统软硬件投资情况完成般软硬件防火墙产品功路器介企业网外网间外网网进行通信时重屏障网络系统安全防火墙产品然必路器访问控制列表进行周密设计企业网包括防火墙身实施保护
里针服务器网工作站安全进出广域网接入路器AR1ACL配置方案网络环境中普遍存着非常重影响服务器群安全隐患绝数网络环境实现中应该外加屏蔽
1)外屏蔽简单网协议SNMP
利协议远程机监视控制网络网络设备两种服务类型:SNMPSNMPTRAP路器配置ACL外屏蔽简单网协议SNMP:
[AR1]acl 3000
[AR1acladv3000]rule deny udp destinationport eq snmpt
[AR1acladv3000]rule deny udp destinationport eq snmptrap
[AR1acladv3000]rule 200 permit ip source any
2)外屏蔽远程登录协议telnet
首先telnet种安全协议类型户telnet登录网络设备服务器时户名口令网络中明文传输容易网络非法协议分析设备截获次telnet登陆数网络设备UNIX服务器相关命令完全操极危险必须加屏蔽配置方法:
[AR1acladv3000]rule deny tcp destinationport eq telnet
[AR1acladv3000]rule 200 permit ip source any
外屏蔽远程登陆协议telnet
结束语
目前高度信息化时代中型企业逐步信息化已成避免趋势然企业营者意识者种素限制目前国建设企业网络中型企业少数面急需发展企业信息化中型企业该建设低成高性满足企业发展需求企业网络值探讨课题
针问题方案某企业网络架构进行研究分析然根中型企业资金力网络需求进行详细分析组建企业网涉方面技术进行终符合中型企业目前形势企业网络设计方案企业网络设计方案中包括模块:企业园网广域网接入企业数中心远程访问等模块设计时充分考虑设计创新性成控制等素:
企业园网模块核心容层交换网络实现设计模块时方案深入解层网络特性华企业网模型基础减少非必设备满足目前中型企业网络需求未五年企业网络扩展需求前提提高扩展灵活性时节约设备开销
安全性方面采路器身功配置已满意中型企业业务应安全需求需单独采购昂贵安全设备
设计方案成控制企业网络开销表现符合前中型企业组建网络情况
实现设计方案配置中然涉容仅仅做必配置层交换网络具非常特性实现企业需求核心三层交换机配置ACL控制部门间访问允许禁止某部门访问外部门需根企业需求实现广域网接入路器做QoS服务达优化网络目实现控制网户种软件(QQBT载等等)情况更特性功实现需进行更深入方面研究
参考文献
[1]Diane TeareCatherine Paquet 著陈宇袁国忠 译CCNP学指南:组建扩展CISCO互连网络(BSCI)(第三版)[M]民邮电出版社2007年10月
[2]远图书部局域网搭建完全DIY手册[M]民交通出版社2008年
[3]扈新波局域网组建理技术详解[M]电子工业出版社2008年08月
[4]文洋网员全局域网组建理升级维护[M]电子工业出版社2008年06月
[5]倪伟局域网组建理维护基础实例教程[M]电子工业出版社2007年09月
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
