企业网络拓扑规划

企业网络拓扑规划 目录 第一章 概述………………………………………………………2 第二章 需求分析…………………………………………………5 第三章 硬件选型……………………………………………12第四章 系统总体拓扑 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 ………………………………………18 第五章 详细设计…………………………………………………18 第六章 系统安装配置与调试……………………………………26 第七章 课程设计总结………………………………………………………29 参考文献 ………………………………………………………………………30 1 第一章 概述 1.1课题背景 随着计算机及网络技术的不断发展，各大企业都在进行企业园区网的建设，目的是为了改善企业环境、提高企业生产效率和科研管理水平，为企业员工营造一个良好的信息化交流的环境。本课题为一设计型课题，主要针对企业园区网的实际需求，对企业园区网进行整体规划和设计，确保其具有实用性、稳定性、经济性、先进性、安全性、可靠性、可扩充性等特点。园区网是局域网的典型 案例 全员育人导师制案例信息技术应用案例心得信息技术教学案例综合实践活动案例我余额宝案例 ，掌握本课题对建设和管理企事业单位的网络有着重要的指导意义。 对企业园区网合理的规划和设计，能够充分发挥网络的性能，节省投资，利于网络的扩展、维护、管理，所以在建设园区网络时，制定一个满足企业需求，适应企业发展的规划 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 具有深远意义。基于企业办公的实际需求，结合企业信息化的发展方向，从建设企业园区网时需要遵循的原则、IP 规划、网络出口、网络交换设备、路由 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 选择、网络基础服务、企业应用建设、数据的统一和安全、园区网的管理等方面综合考虑，分析了在规划和设计企业园区网时的思路，对于企业园区网的建设有较强的参考价值。 总之，企业园区网的建设是一个系统工程，需要完善的硬件、软件支持，不断地维护更新。园区网建设与发展需要精心规划、通力合作、慎重实施。企业领导在园区网建设方面应该除了给予人力、财力以及政策的保证之外，还应该为园区网建设一个大的人文环境，为园区网的可持续发展提出方向性的指导，让园区网成为企业办公环境的核心。这样才能提高网络的应用水平，充分实现计算机网络的价值，促进企业办公、科研、管理及对外交流各方面工作的进行，达到建设企业园区网的目的。 1.2课程设计任务 内容 财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容 下图为XX 企业的网络拓扑模拟图，接入层设备采用二层交换机，汇聚层设备采用三层交换机。在接入交换机上划分了设计部子网VLAN 12 和工程部子网 VLAN 13，在汇聚交换机上划分了财务部子网VLAN 11。 2 某企业网络拓扑图 3 为了保证网络的稳定性，接入层和汇聚层通过两条链路相连，汇聚层交换机通过VLAN1中的接口F0/24 与Router A 相连，Router A 通过广域网口和Router B 相连，Router B 则通过以太网口连接到ISP，通过ISP 连接到Internet。通过路由协议，实现全网的互通。 用访问控制列表使VLAN12和VLAN13中的用户在时间(9:00~17:00)不允许访问 FTP服务器，可以访问WWW服务器。 在L2-Switch上划分VLAN12,13，L3-Switch上划分VLAN11; 配置RSTP协议实现L2-Switch和L3-Switch之间的冗余链路，选取L3-Switch为根。 配置三层交换机的路由功能，在L3-Switch、RouterA、RouterB上运用OSPF配置全网路由。 在RouterA上配置NAT，要求:工程部子网和设计部子网能够访问Internet，财务部子网不允许访问Internet 在路由器A上应用ACL，要求:工程部子网和设计部子网可以访问FTP服务，工程部子网和设计部子网能够访问Internet上的WEB服务;工程部子网可以访问Internet上的telnet服务，其余访问均不允许。 4 第二章 需求分析 2.1 VLAN简介 VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。虚拟局域网是在交换局域网的基础上，采用VLAN协议(802.1Q)实现的逻辑网络。逻辑网络依靠Trunk技术和帧标记协议，按照用户需求设置VLAN ,将具有同类业务的用户组成逻辑子网，可以提高业务域内用户通信的安全性。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能。 VLAN的优点: 1. 控制广播风暴; 2. 增强网络的安全性; 3.增强网络管理 VLAN划分的条件: 1.根据端口来划分VLAN 2.根据MAC地址划分VLAN 3.根据网络层划分VLAN 4.根据IP组播划分VLAN 5.基于规则的VLAN 6. 按用户定义、非用户授权划分VLAN VLAN的分类: 1. 基于端口的VLAN:(1) 多交换机端口定义VLAN，(2)单交换机端口定义VLAN 2. 基于MAC地址的VLAN 3. 基于路由的VLAN 5 4. 基于策略的VLAN 2.2 VLAN 划分 从技术角度讲，VLAN的划分可依据不同原则，一般有以下三种划分方法: 1、基于端口的VLAN划分 基于端口的VLAN划分是将交换机中的若干个端口定义为一个VLAN，同一个VLAN中的站点处于同一个网络，不同的VLAN之间进行通信需要通过路由器。把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法优点是部署简单，缺点是灵活性不好，只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。 2、基于MAC地址的VLAN划分 在基于MAC地址的VLAN中，交换机对站点的MAC地址和交换机端口进行跟踪。在新站点入网时根据需要将其划归某一个VLAN，该站点在网络中可以自由移动。由于其MAC 地址保持不变，因此所处的VLAN保持不变。这种VLAN的优点是灵活性好，不足之处是部署工作量比较大需要获取PC网卡的MAC地址，并将该MAC 地址在所有交换机上进行配置，以确定该站点属于那一个VLAN。 3、基于路由的VLAN划分 路由协议工作在网络层，相应的工作设备有路由器和路由交换机(即三层交换机)。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。 就目前来说，对于VLAN的划分主要采取上述第1、3种方式，第2种方式为辅助性的方案 2.3配置RSTP协议分析 配置算法协议RSTP(Rapid Spanning Tree Algorithm and Protocol快速生 成树算 6 法)将一个桥接LAN (Bridged LAN)的拓扑简化为一个生成树(Spanning Tree).这里 描述的RSTP算法协议已经代替了STP(Spanning Tree Algorithm and Protocol 生成树算法) 算法协议.相比STP,RSTP提供了非常快速的重配置功能,同时RSTP可以与STP进行互操作, 也即:运行RSTP的网桥可以和运行STP的网桥协同工作。 桥接 LAN:将多个独立 LAN 用网桥连起来形成的一个大的 LAN 1 对RSTP算法协议的需求 a) 从任意物理拓扑结构的桥接 LAN 中选出一个简单无环,完全连通的活动拓扑:生成树 b) 错误容忍:当 LAN 的成员(网桥,网桥端口或 LANs)发生故障时,可以自动重新配置生成树拓扑;自适应:当向桥接 LAN 中加入网桥或网桥端口时,不会形成暂时环 c) 活动拓扑会以一个很高的概率在一个很段的有限制(已知)的时间内稳定, 以最小化任何 两个终端站点之间的不可达时间 d) 活动拓扑是可预测的,可再现的,可以通过配置算法参数来选择的:这允许配置管理程 序根据流量分析来满足性能要求 e) 算法的运行对终端站点透明:当使用 MAC 服务时,它们不知道它们是接在一个独立 LAN 上还是一个桥接 LAN 上 f) 算法运行消耗的通信带宽非常小 下面的需求是为了降低网桥和配置网桥的复杂性 g) 每个网桥端口的内存需求与网桥和 LANs 的数量无关 h) 一个分配了 MAC 地址的网桥不经配置就可以加入桥接 LAN 中 i) 在正常工作中,用来配置活动拓扑的时间与协议的定时间值是独立的 2 对MAC网桥的需求 a) 有一个唯一的组地址可以被桥接 LAN 中的所有网桥识别,这个组地址标识一个独立 LAN 上的所有网桥(即在一个独立 LAN 中发一个目的地址是该组地址的消息,可以被该 LAN 上的所有网桥接收,该消息不会被它们直接转发) b) 每个网桥在桥接 LAN 中都有一个唯一的网桥标识,称为网桥 ID(BridgeIdentifier). 这个 ID 部分来自网桥地址,部分来自网桥优先级.并且这个 7 值越小,这个网桥的优先 级越高 c) 每个网桥的所有端口都有不同的端口标识,称为端口 ID(portId 每个网桥独立分配). 这个 ID 部分是固定的(与其它端口不同,比如是端口号),部分来自端口优先级.并且 这个值越小,这个端口的优先级越高 下面的需求是为了支持管理配置生成树的活动拓扑 d) 可以为桥接 LAN 中的每个网桥分配一个相对优先级 e) 可以为每个网桥的每个端口分配一个相对优先级 f) 可以为每个网桥的每个端口分配一个路径代价(path cost). 当支持网桥管理时,这些参数可以通过管理进行配置 2.4 RouterA上配置NAT分析 1( NAT的概念, NAT即Network Address Translation,它可以让那些使用私有地址的内部网络连接到Internet或其它IP网络上。NAT路由器在将内部网络的数据包发送到公用网络时，在IP包的报头把私有地址转换成合法的IP地址。 2(在NAT实验中需要理解的术语: 1) 内部局部地址(Inside Local):在内部网络中分配给主机的私有IP地址。 2) 内部全局地址(Inside Global):一个合法的IP地址，它对外代表一个或多个内部局部IP地址。 3) 外部全局地址(Outside Global):由其所有者给外部网络上的主机分配的IP地址。 4) 外部局部地址(Outside Local):外部主机在内部网络中表现出来的IP地址。 3(NAT的优点和缺点: NAT的优点: (1) 对于那些家庭用户或者小型的商业机构来说，使用NAT可以更便宜，更有效率地接入Internet。 (2) 使用NAT可以缓解目前全球IP地址不足的问题。 8 (3) 在很多情况下，NAT能够满足安全性的需要。 (4) 使用NAT可以方便网络的管理，并大大提高了网络的适应性。 NAT的缺点: (1) NAT会增加延迟,因为要转换每个数据包包头的IP地址,自然要增加延迟. (2) NAT会使某些要使用内嵌地址的应用不能正常工作. 4(NAT的工作原理: 当内部网络中的一台主机想传输数据到外部网络时，它先将数据包传输到NAT路由器上，路由器检查数据包的报头，获取该数据包的源IP信息，并从它的NAT映射表中找出与该IP匹配的转换条目，用所选用的内部全局地址(全球唯一的IP地址)来替换内部局部地址，并转发数据包。 当外部网络对内部主机进行应答时，数据包被送到NAT路由器上，路由器接收到目的地址为内部全局地址的数据包后，它将用内部全局地址通过NAT映射表查找出内部局部地址，然后将数据包的目的地址替换成内部局部地址，并将数据包转发到内部主机。 5(NAT配置中的常用命令: ip nat {inside|outside}:接口配置命令。以在至少一个内部和一个外部接口上启用NAT。 ip nat inside source static local-ip global-ip:全局配置命令。在对内部局部地址使用静态地址转换时，用该命令进行地址定义。 access-list access-list-number {permit|deny} local-ip-address:使用该命令为内部网络定义一个标准的IP访问控制列表。 ip nat pool pool-name start-ip end-ip netmask netmask [type rotary]:使用该命令为内部网络定义一个NAT地址池。 ip nat inside source list access-list-number pool pool-name [overload]:使用该命令定义访问控制列表与NAT内部全局地址池之间的映射。 ip nat outside source list access-list-number pool pool-name [overload]:使用该命令定义访问控制列表与NAT外部局部地址池之间的映射。 ip nat inside destination list access-list-number pool pool-name:使用该命令定义访问控制列表与终端NAT地址池之间的映射。 9 show ip nat translations:显示当前存在的NAT转换信息。 show ip nat statistics:查看NAT的统计信息。 show ip nat translations verbose:显示当前存在的NAT转换的详细信息。 debug ip nat:跟踪NAT操作，显示出每个被转换的数据包。 Clear ip nat translations *:删除NAT映射表中的所有内容. 2.5 ACL分析 2.5.1 ACL的概念 访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等， 根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提 供ACL的支持了。 2.5.2访问控制列表使用原则 由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。 下面是ACL设置原则 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四 10 层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。 标准访问列表: 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL 标准访问控制列表的格式 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，他是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL。 11 第三章 硬件选型 3.1 交换机 交换机是局域网中最重要的设备。交换机采用局域网交换技术(LAN Switching)，使局域网共享传输介质引发的冲突域减小，改善了网络的通信性能，每个用户都能独享带宽，从而缓解了带块不足和网络瓶颈的问题。 交换机从本质上来看是一台特殊的计算机，主要由CPU、内存储器、I/O接口等部件组成。不同系列和型号的交换机，CPU也不一定相同。交换机的CPU负责执行处理数据帧转发和维护交换地址。交换机有可分为第二层交换机和三层交换机。 3.1.1二层交换机 二层交换技术是发展比较成熟，二层交换机属数据链路层设备，可以识别数据包中的MAC地址信息，根据MAC地址进行转发，并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。 二层交换机工作原理 从二层交换机的工作原理可以推知以下三点: (1) 由于交换机对多数端口的数据进行同时交换，这就要求具有很宽的交换总线带宽，如果二层交换机有N个端口，每个端口的带宽是M，交换机总线带宽超过N×M，那么这交换机就可以实现线速交换; (2) 学习端口连接的机器的MAC地址，写入地址表，地址表的大小(一般两种表示方式:一为BUFFER RAM，一为MAC表项数值)，地址表大小影响交换机的接入容量; (3) 还有一个就是二层交换机一般都含有专门用于处理数据包转发的ASIC (Application specific Integrated Circuit)芯片，因此转发速度可以做到非常快。由于各个厂家采用ASIC不同，直接影响产品性能。 以上三点也是评判二三层交换机性能优劣的主要技术参数，这一点请大家在考虑设备选型时注意比较。 。 12 3.2三层交换机 3.2.1三层交换机概念 三层交换机就是具有部分路由器功能的交换机，三层交换机的最重要目的是加快大型局域网内部的数据交换，所具有的路由功能也是为这目的服务的，能够做到一次路由，多次转发。对于数据包转发等规律性的过程由硬件高速实现，而象路由信息更新、路由表维护、路由计算、路由确定等功能，由软件实现。三层交换技术就是二层交换技术，三层转发技术。传统交换技术是在OSI网络标准模型第二层——数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发，既可实现网络路由功能，又可根据不同网络状况做到最优网络性能。 3.2.2三层交换机工作原理 比如A要给B发送数据，已知目的IP，那么A就用子网掩码取得网络地址，判断目的IP是否与自己在同一网段。 如果在同一网段，但不知道转发数据所需的MAC地址，A就发送一个ARP请求，B返回其MAC地址，A用此MAC封装数据包并发送给交换机，交换机起用二层交换模块，查找MAC地址表，将数据包转发到相应的端口。 如果目的IP地址显示不是同一网段的，那么A要实现和B的通讯，在流缓存条目中没有对应MAC地址条目，就将第一个正常数据包发送向一个缺省网关，这个缺省网关一般在操作系统中 已经设好，对应第三层路由模块，所以可见对于不是同一子网的数据，最先在MAC表中放的是缺省网关的MAC地址;然后就由三层模块接收到此数据包，查询路 由表以确定到达B的路由，将构造一个新的帧头，其中以缺省网关的MAC地址为源MAC地址，以主机B的MAC地址为目的MAC地址。通过一定的识别触发机 制，确立主机A与B的MAC地址及转发端口的对应关系，并记录进流缓存条目表，以后的A到B的数据，就直接交由二层交换模块完成。这就通常所说的一次路由 多次转发。 13 3.2.3三层交换机的优缺点 除了优秀的性能之外，三层交换机还具有一些传统的二层交换机没有的特性，这些特性可以给校园网和城域教育网的建设带来许多好处，列举如下。 1、高可扩充性 三层交换机在连接多个子网时，子网只是与第三层交换模块建立逻辑连接，不像传统外接路由器那样需要增加端口，从而保护了用户对校园网、城域教育网的投资。并满足学校3~5年网络应用快速增长的需要。 2、高性价比 三层交换机具有连接大型网络的能力，功能基本上可以取代某些传统路由器，但是价格却接近二层交换机。现在一台百兆三层交换机的价格只有几万元，与高端的二层交换机的价格差不多。 3、内置安全机制 三层交换机可以与普通路由器一样，具有访问列表的功能，可以实现不同VLAN间的单向或双向通讯。如果在访问列表中进行设置，可以限制用户访问特定的IP地址，这样学校就可以禁止学生访问不健康的站点。 访问列表不仅可以用于禁止内部用户访问某些站点，也可以用于防止校园网、城域教育网外部的非法用户访问校园网、城域教育网内部的网络资源，从而提高网络的安全。 4、适合多媒体传输 教育网经常需要传输多媒体信息，这是教育网的一个特色。三层交换机具有QoS(服务质量)的控制功能，可以给不同的应用程序分配不同的带宽。 例如，在校园网、城域教育网中传输视频流时，就可以专门为视频传输预留一定量的专用带宽，相当 于在网络中开辟了专用通道，其他的应用程序不能占用这些预留的带宽，因此能够保证视频流传输的稳定性。而普通的二层交换机就没有这种特性，因此在传输视频 数据时，就会出现视频忽快忽慢的抖动现象。 另外，视频点播(VOD)也是教育网中经常使用的业务。但是由于有些视频点播系统使用广播来传输，而广播包是不能实现跨网段的，这样VOD就不能实现跨网段进行;如果采用单播形式实现VOD，虽然可以实现跨网段，但是支持的同 14 时连接数就非常少，一般几十个连接就占用了全部带宽。而三层交换机具有组播功能，VOD的数据包以组播的形式发向各个子网，既实现了跨网段传输，又保证了VOD的性能。 5、计费功能 在高校校园网及有些地区的城域教育网中，很可能有计费的需求，因为三层交换机可以识别数据包中的IP地址信息，因此可以统计网络中计算机的数据流量，可以按流量计费，也可以统计计算机连接在网络上的时间，按时间进行计费。而普通的二层交换机就难以同时做到这两点。 3.3路由器 3.3.1路由器的概念 路由器(Router)是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。 路由器是互联网络的枢纽、"交通警察"。目前路 由器已经广泛应用于各行各业，各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。路由和交换之间的主 要区别就是交换发生在OSI参考模型第二层(数据链路层)，而路由发生在第三层，即网络层。这一区别决定了路由和交换在移动信息的过程中需使用不同的控制 信息，所以两者实现各自功能的方式是不同的。 3.3.2 路由技术 路由器工作 在OSI模型的第三层---网络层操作，其工作模式与二层交换相似，但路由器工作在第三层，这个区别决定了路由和交换在传递包时使用不同的控制信息，实现 功能的方式就不同。工作原理是在路由器的内部也有一个表，这个表所标示的是如果要去某一个地方，下一步应该向哪里走，如果能从路由表中找到数据包下一步往哪里走，把链路层信息加上转发出去;如果不能知道下一步走向哪里，则将此包丢弃，然后返回一个信息交给源地址。 路由技术实质上来说不过两种功能:决定最优路由和转发数据包。路由表中写入各种信息，由路由算法计算出到达目的地址的最佳路径，然后由相对简单直接的转发机制发送数据包。接受数据的下一台路由器依照相同的工作方式继续转发， 15 依次类推，直到数据包到达目的路由器 3.3.3 路由器工作原理 (1)工作站A将工作站B的地址12.0.0.5连同数据信息以数据包的形式发送给路由器1。 2)路由器1收到工作站A的数据包后，先从包头中取出地址12.0.0.5， ( 并根据路径表计算出发往工作站B的最佳路径:R1->R2->R5->B;并将数据包发往路由器2。 (3)路由器2重复路由器1的工作，并将数据包转发给路由器5。 (4)路由器5同样取出目的地址，发现12.0.0.5就在该路由器所连接的网段上，于是将该数据包直接交给工作站B。 (5)工作站B收到工作站A的数据包，一次通信过程宣告结束。 事实上，路由器除了上述的路由选择这一主要功能外，还具有网络流量控制功能。有的路由器仅支持单一协议，但大部分路由器可以支持多种协议的传输，即多协议路由器。由于每一种协议都有自己的规则，要在一个路由器中完成多种协议的算法，势必会降低路由器的性能。因此，我们以为，支持多协议的路由器性能相对较低。用户购买路由器时，需要根据自己的实际情况，选择自己需要的网络协议的路由器。 近年来出现了交换路由器产品，从本质上来说它不是什么新技术，而是为了提高通信能力，把交换机的原理组合到路由器中，使数据传输能力更快、更好 3.3.4 路由器的作用 路由器在局域网中的作用主要有两种:一种是园区网的边界路由器，实现内部网关和外部网关(局域网)的连接;另一种是园区网的核心路由器，实现多个局域网或子网的互联，局域网内路由器的选型，必须要根据局域网核心层路由与边界路由的需求，以及路由设备的性能。最主要的还是看路由器在网络中所要发挥的作用，是连通不同的网络，还是选择信息传送的线路。选择通畅快捷的近路，能大大提高通信速度，减轻网络系统通信负荷，节约网络系统资源，提高网络系统畅通率，从而让网络系统发挥出更大的效益来。 16 1、静态路径表 由系统管理员事先设置好固定的路径表称之为静态(static)路径表，一般是在系统安装时就根据网络的配置情况预先设定的，它不会随未来网络结构的改变而改变。 2、动态路径表 动态(Dynamic)路径表是路由器根据网络系统的运行情况而自动调整的路径表。路由器根据路由选择协议(Routing Protocol)提供的功能，自动学习和记忆网络运行情况，在需要时自动计算数据传输的最佳路径。 17 第四章 系统总体拓扑设计 4.1系统拓扑图 接入层和汇聚层通过两条链路相连，汇聚层交换机通过VLAN1中的接口F0/24 与Router A 相连，Router A 通过广域网口和Router B 相连，Router B 则通过以太网口连接到ISP，通过ISP 连接到Internet。通过路由协议，实现全网的互通。 图4-1 系统拓扑设计 第五章 详细设计 根据课程设计任务内容进行详细设计，本次课程设计的任务内容如下: 1.在L2-Switch上划分VLAN12,13，L3-Switch上划分VLAN11; 18 2. 配置RSTP协议实现L2-Switch和L3-Switch之间的冗余链路，选取L3-Switch为根。 3.配置三层交换机的路由功能，在L3-Switch、RouterA、RouterB上运用OSPF配置全网路由。 4.在RouterA上配置NAT，要求:工程部子网和设计部子网能够访问Internet，财务部子网不允许访问Internet 在路由器A上应用ACL，要求:工程部子网和设计部子网可以访问FTP5. 服务，工程部子网和设计部子网能够访问Internet上的WEB服务;工程部子网可以访问Internet上的telnet服务，其余访问均不允许。 5.1 在L2-Switch上划分VLAN12,13，L3-Switch上划分VLAN11 5.1.1需要设备 三层交换机 1台 二层交换机 1台 5(1.2交换机配置 具体配置如下: 第一步:配置两台交换机的主机名 Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#hostname L3-SW L3-SW(config)# S3750#configure terminal Enter configuration commands, one per line. End with CNTL/Z. S3750(config)#hostname L2-SW L2-SW(config)# 第二步:在三层交换机上划分VLAN 添加端口 L2-SW(config)#vlan 12 L2-SW(config-vlan)#name sheji ～划设计部的VLAN 12 19 L2-SW(config-vlan)#vlan13 L2-SW(config-vlan)#name gongcheng ～划分工程部的VLAN 13 L2-SW(config-vlan)#exit L2-SW(config)# L2-SW(config)#interface range fastEthernet 0/6-10 ～将端口Fa0/6至Fa0/10划分到VLAN 12 L2-SW(config-if-range)#switchport mode access L2-SW(config-if-range)#switchport access vlan 12 L2-SW(config-if-range)#exit L2-SW(config)#interface range fastEthernet 0/11-15 ～将端口Fa0/11至Fa0/15划分到VLAN 13 L2-SW(config-if-range)#switchport mode access L2-SW(config-if-range)#switchport access vlan 13 L2-SW(config-if-range)#exit L2-SW(config)# 第三步:在二层交换机上划分VLAN添加端口 L3-SW(config)#vlan 11 L3-SW(config-vlan)#name caiwu ～划分财务部的VLAN 11 L3-SW(config-vlan)#exit L3-SW(config)# L3-SW(config)#interface range fastEthernet 0/6-10 ～将端口Fa0/6至Fa0/10划分到VLAN 11 L3-SW(config-if-range)#switchport mode access L3-SW(config-if-range)#switchport access vlan 11 L3-SW(config-if-range)#exit L3-SW(config)# 20 5.2配置RSTP协议实现L2-Switch和L3-Switch之间的冗余链路，选取L3-Switch为根 5.2.1原理 在交换网络中，通过VLAN对一个物理网络进行了逻辑划分，不同的VLAN之间是无法直接访问的，必须通过三层的路由设备进行连接。一般利用路由器或三层交换机来实现不同VLAN之间的互相访问。 将路由器和交换机相连，使用IEEE 802.1Q来启动一个路由器上的子接口成为干道模式，就可以利用路由器来实现VLAN之间的通信。 路由器可以从某一个VLAN接收数据包并且将这个数据包转发到另外的一个VLAN，要实施VLAN间的路由，必须在一个路由器的物理接口上启用子接口，也就是将以太网物理接口划分为多个逻辑的、可编址的接口，并配置成干道模式，每个VLAN对应一个这种接口，这样路由器就能够知道如何到达这些互联的VLAN。 5.2.2具体配置 具体配置如下: 第一步:配置交换机的主机名、划分VLAN和添加端口、设置Trunk Switch#configure terminal Switch(config)#hostname L2-SW L2-SW(config)#vlan 12 L2-SW(config-vlan)#name sheji L2-SW(config-vlan)#vlan 13 L2-SW(config-vlan)#name gongcheng L2-SW(config-vlan)#exit L2-SW(config)#interface range fastEthernet 0/6-12 L2-SW(config-if-range)#switchport mode access L2-SW(config-if-range)#switchport access VLAN 12 L2-SW(config-if-range)#exit L2-SW(config)#interface range fastEthernet 0/11-15 21 L2-SW(config-if-range)#switchport mode access L2-SW(config-if-range)#switchport access vlan 13 L2-SW(config-if-range)#exit L2-SW(config)#interface fastEthernet 0/1 L2-SW(config-if)#switchport mode trunk L2-SW(config-if)#end 第二步:在路由器上设置名称、划分子接口、配置IP地址 RSR20#configure terminal RSR20(config)#hostname Router Router(config)#interface fastEthernet 0/0 Router(config-if)#no ip address ～去掉路由器主接口上的IP地址 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface fastEthernet 0/0.10 ～进入子接口Fa0/0.10 Router(config-subif)#encapsulation dot1Q 10 ～指定子接口Fa0/0.10对应VLAN 10，并配置干道模式 Router(config-subif)#ip address 192.168.2.2 255.255.255.0 ～配置子接口Fa0/0.10的IP地址 Router(config-subif)#exit Router(config)#interface fastEthernet 0/0.20 ～进入子接口Fa0/0.20 Router(config-subif)#encapsulation dot1Q 20 ～指定子接口Fa0/0.20对应VLAN 13，并配置干道模式 Router(config-subif)#ip address 192.168.12.6 255.255.255.0 ～配置子接口Fa0/0.20的IP地址 Router(config-subif)#end 第三步:查看交换机的VLAN和Trunk配置 L2-SW#show vlan L2-SW#show interfaces fastEthernet 0/1 switchport 22 5.3在RouterA上配置NAT NAT的设置方法: NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 5.3.1静态地址转换适用的环境 静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。 静态地址转换基本配置步骤: (1)、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入: Ip nat inside source static 内部本地地址 内部合法地址 (2)、指定连接网络的内部端口 在端口设置状态下输入: ip nat inside (3)、指定连接外部网络的外部端口 在端口设置状态下输入: ip nat outside 注:可以根据实际需要定义多个内部端口及多个外部端口。 实例1: 本实例实现静态NAT地址转换功能。将2501的以太口作为内部端口，同步端口,作为外部端口。其中10.1.1.2，10.1.1.3，10.1.1.4的内部本地地址采用静态地址转换。其内部合法地址分别对应为192.1.1.2，192.1.1.3，192.1.1.4。 路由器2501的配置: Current configuration: version 11.3 no service password-encryption hostname 2501 ip nat inside source static 10.1.1.2 192.1.1.2 ip nat inside source static 10.1.1.3 192.1.1.3 ip nat inside source static 10.1.1.4 192.1.1.4 interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside interface Serial0 ip address 192.1.1.1 255.255.255.0 ip nat outside no ip mroute-cache bandwidth 2000 no fair-queue clockrate 2000000 interface Serial1 no ip address shutdown 23 no ip classless ip route 0.0.0.0 0.0.0.0 Serial0 line con 0 line aux 0 line vty 0 4 password cisco end 配置完成后可以用以下语句进行查看: show ip nat statistcs show ip nat translations 5.3.2 动态地址转换适用的环境: 动态地址转换也是将本地地址与内部合法地址一对一的转换，但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。 动态地址转换基本配置步骤: (1)、在全局设置模式下，定义内部合法地址池 ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码 其中地址池名称可以任意设定。 (2)、在全局设置模式下，定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换。 标号 permit 源地址 通配符 Access-list 其中标号为1-99之间的整数。 (3)、在全局设置模式下，将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。 ip nat inside source list 访问列表标号 pool内部合法地址池名字 (4)、指定与内部网络相连的内部端口在端口设置状态下: ip nat inside (5)、指定与外部网络相连的外部端口 Ip nat outside 5.4在路由器A上应用ACL 5.4.1 ACL工作原理 标准IP ACL可以对数据包的源IP地址进行检查。当应用了ACL的接口接收或发送数据包时，将根据接口配置的ACL规则对数据进行检查，并采取相应的措施，允许通过或拒绝通过，从而达到访问控制的目的，提高网络安全性。 步骤1: RA基本配置。 RA#configure terminal RA (config)#interface fastEthernet 1/0 24 RA (config-if)#ip address 192.69.5.1 255.255.255.0 RA (config-if)#exit RA (config)#interface fastEthernet 1/1 RA (config-if)#ip address 192.69.6.1 255.255.255.0 RA (config-if)#exit RA (config)#interface serial 1/2 RA (config-if)#ip address 192.69.7.1 255.255.255.0 RA (config-if)#exit RA接口状态。 步骤3 查看 RA#show ip interface brief Interface IP-Address(Pri) OK? Status serial 1/2 192.69.7.1 /24 YES UP serial 1/3 no address YES DOWN FastEthernet 1/0 192.69.5.1/24 YES UP FastEthernet 1/1 192.69.6.1/24 YES UP Null 0 no address YES UP 步骤4 在R1上配置静态路由。 RA(config)#ip route 192. 96.4.0 255.255.255.0 serial 1/2 步骤5 配置标准IP ACL。 步骤6 应用ACL。 RA(config)#interface fastEthernet 1/0 RA(config-if)#ip access-group 1 out 步骤7 验证测试。 在工程部主机192.69.1.0ping设计部主机，可以ping通。在财务部主机(192.69.2.0)ping设计部主机，不能ping通。 25 第六章 系统安装配置与调试 6.1系统安装配置调试 根据第五章每小节的问题做如下操作: L2-SW#show vlan L2-SW#show interfaces fastEthernet 0/1 switchport L3-SW#show vlan L3-SW#show interfaces fastEthernet 0/1 switchport 验证配置 PC3和PC1都属于VLAN 11，它们的IP地址都在C类网络192.168.10.0/24内，PC2属于VLAN 12，它的IP地址在C类网络192.168.20.0/24内，此时，不同VLAN之间的PC3和PC2是不能ping通的，如错误～未找到引用源。 在三层交换机上配置SVI端口 L3-SW#configure terminal Enter configuration commands, one per line. End with CNTL/Z. L3-SW(config)#interface vlan 11 ～激活VLAN 11的SVI端口并配置IP地址 L3-SW(config-if)#ip address 192.168.10.1 255.255.255.0 L3-SW(config-if)#no shutdown L3-SW(config-if)#exit L3-SW(config)# L3-SW(config)#interface vlan 12 ～激活VLAN 12的SVI端口并配置IP地址 L3-SW(config-if)#ip address 192.168.20.1 255.255.255.0 L3-SW(config-if)#no shutdown L3-SW(config-if)#exit L3-SW(config)# 查看SVI端口的配置 L3-SW#show ip route 26 从中可以看到，VLAN的虚拟端口上配置的IP地址，其网段成为了三层交换 机的直连路由。 L3-SW#show interfaces vlan 11 L3-SW#show interfaces vlan 12 验证配置 给PC3添加网关192.168.10.1，如错误～未找到引用源。所示，此时再从PC3 去ping不同VLAN的主机PC2，是可以ping通的，如错误～未找到引用源。所示。 查看路由器的路由表 Router#show ip route Codes: C - connected, S - static, R - RIP B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default Gateway of last resort is no set C 192.168.10.0/24 is directly connected, FastEthernet 0/0.10 C 192.168.10.1/32 is local host. C 192.168.20.0/24 is directly connected, FastEthernet 0/0.20 C 192.168.20.1/32 is local host. 测试网络连通性 给PC1和PC2分别配置192.68.12.0/24和192.68.13.0/24网段内的IP地址，并 分别以192.68.12.1和192.68.13.1作为网关。 从PC2上ping所属VLAN的网关、VLAN 11的网关和PC1的结果如下，说明 配置单臂路由后，网络已经全部实现互联互通。 对于标准IP ACL，由于只能对报文的源IP地址进行检查，所以为了不影响源 端的其他通信，通常将其放置到距离目标近的位置，在本设计中是R2的F1/0接口。 RA(config)#access-list 1 deny 192.69.2.0 0.0.0.255 27 ～拒绝来自财务部192.69.2.0/24子网的流量通过 RA(config)#access-list 1 permit 192.69.1.0 0.0.0.255 ～允许来自工程部192.69.1.0/24子网的流量通过 RA(config)#access-list 1 permit 192.69.3.0 0.0.0.255 ～允许来自设计部192.69.1.0/24子网的流量通过 28 29