计算机网络基础及局域网构建实习案例一

1、计算机网络基础及局域网构建实习案例计算机技术系二一七 年五月目 录一、 概述11 需求分析及建设目标12 建设原则1二、 整体网络设计21.核心层设计32.汇聚层设计43 接入层设计44 无线网络设计55 Wifi定位解决方案66 网络出口设计77 IMC智能管理平台88 无线网络管理（WSM）9三、 网络方案特点101.高性能102.高安全103.QoS保障114.厂家优势11四、 配置说明11防火墙配置：11路由器配置：14核心交换机配置：14实习案例一、北京利达集团网络改造项目1、 概述1 需求分析及建设目标 随着信息技术的高速发展，人们的需求不断提高。北京利达集团对现有网络提出了更高的

2、要求，对现有网络进行改造，使其充分满足办公、安防、管理、上网等业务需求，同时能够方便灵活的引入并利用各种最新技术。通过本次项目的建设，最终目的在于完善IT信息化建设。根据利达集团网络现状及未来业务发展规划，网络建设主要实现如下目标：u 实现网络高速、稳定、可靠连接。u 实现无线网络稳定、可靠设计。u 实现网络有安全防护体系。u 实现网络设备能够统一进行安全管理。2 建设原则实用性原则：以现行需求为基础，适当考虑公司日后发展可达到的规模。安全性原则：有线及无线网络系统提供多种有效的安全控制机制，以防止机密泄露和影响正常工作。能够有效地防止系统外部人员的非法侵入。可靠性原则：提供充分的冗余备份，一

3、方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求。可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断2、 整体网络设计 改造网络主要负责提供办公区，厂房区，食堂区，和活动区的网络的流量的控制及用户访问Internet，无线上网等网络业务。在业务层面流量复杂，并发流量大，在网络层次结构上，楼层较多，面积较大，我们建议整网采用三层结构方式（接入层、汇聚层、核心层）设计，从而使网络结构更加清晰，可靠性更

4、强。网络设计拓扑图如下： 整个大厦有10层。在每层的弱电竖井里有一台汇聚交换机，汇聚交换机下面都连着相同数量的接入交换机，为用户提供充足的网络连接端口。核心交换机设置在5层设备间，各层楼的汇聚交换机通过光纤接入核心交换机。在核心交换机上部署防火墙和入侵防御插卡，满足整个网络的安全防护。防火墙上联一台路由器，接入运营商网络。 在办公区和厂房区等区域布置无线网络供员工无线上网使用。办公区可通过基于先进的Wi-Fi定位技术，办公区可以扩展多种基于Wi-Fi定位的应用，包括客流统计分析、商场矢量地图、手机定位导航、基于位置的精准信息推送。1.核心层设计 核心层主要承担高速数据交换的任务，同时要为各节点

5、提供最佳传输通道。在此方案中，核心层的部署，一是负责整个安防网络所有视频及报警信号的汇聚；二是负责安保系统的所有控制。所以对核心交换机的性能就扩展性有极大的要求。推荐采用1台H3C S7503E作为核心层设备。2.汇聚层设计 汇聚层是核心层和接入层的中转站，为各个配线间网络设备提供接入层设备的集中和核心层链路的接入。这就要求汇聚层设备必须具备良好的可扩展性，必须使用模块化的体系结构，可通过增加板卡提高端口密度，以便汇接更多的接入层设备。 本次网络建设规模较大，为减轻综合布线及后期管理的负担，在网络中设置汇聚层，汇聚交换机采用2台H3C LS-5560-30F-EI以太网交换机，分别负责接入交换

6、机的连接。 LS-5560-30F-EI3 接入层设计 综合布线网络需提供全千兆的高密接入能力，同时须满足无线AP接入的端口具有POE供电能力。建议综合布线网络接入层采用H3C S5110系列POE供电交换机。 各楼层分别采用H3C S5110-52P和H3C S5110-28P作为接入交换机，提供网络连接端口。办公区及厂房区等需要提供无线覆盖的其他区域，需要部署无线AP，各楼层根据无线AP的数量增加相应的H3C S5110-28P-PWR POE接入交换机。H3C S5110系列4 无线网络设计 无线网络作为有线网络的补充，在网络建设中越来越普及。传统的无线网络建设只是简单的将有线无线设备堆

7、砌，保证无线网络与有线网络互通，很难做到统一管理、统一认证和统一安全。建议本次工程采用无线控制器+FIT AP+无线运维管理组件的有线无线一体化组网方案，利用H3C公司有线无线一体化的产品优势，真正实现了有线无线的统一运维管理，后期扩展EAD终端准入组件或EIA组件时可实现统一帐号认证和统一安全管理。另外，随着802.11n技术和产品的成熟应用，已使得无线通信能够达到300Mbpss的带宽应用，WLAN技术以其智能化的移动通信、快捷方便的无线接入，可随时随地的给最终用户提供移动通信和信息服务。 从WLAN安全、管理、扩展及与有线网络融合的角度出发，本次WLAN建设规划采用Fit AP+AC+W

8、SM的组网模式。其中AC采用H3C WX5540E无线控制器部署在核心层，负责对整体网络无线AP的管理，WX5540E无线控制器具有大容量、高可靠、业务类型丰富等特点，集精细的用户控制管理、完善的射频资源管理、7X24小时无线安全管控、二三层快速漫游、灵活的QoS控制、IPv4&IPv6双栈等多功能于一体，提供强大的有线、无线一体化接入能力。 AP采用就近接入的原则，每台AP就近接入到POE交换机，其中办公区和厂房区较为空旷地带建议采用H3C WA4320i-AGN-FIT双频802.11AC无线AP对所有需要无线覆盖的区域进行覆盖，领导办公区建议采用H3C WA4320H式AP。 H

9、3C WA4320i-AGN-FITAP遵从802.11AC协议标准，采用专业模块化设计，单射频能提供高达300Mbps的无线接入速度，是相同环境下802.11a/b/g产品的6倍左右。通过内置集成终端感知型硬件智能天线覆盖技术，可以有效地从覆盖范围、接入密度、运行稳定等方面提供更高性能的移动云接入服务H3C WA4320i-AGN-FIT5 Wifi定位解决方案 基于Wi-Fi的定位功能让办公人员得到数字化，当员工走进办公区，手机只要打开着Wi-Fi，办公区就能迅速获知员工在办公区的动向，如行走轨迹，驻留时间。根据办公区的业务需求，可以把定位业务分成三类：位置数据的统计分析和数据挖掘，获取员

10、工的行为习惯，此项业务是非实时性需求的业务，对定位精度的要求是能判断的。 基于位置数据的消息推送，此项业务有一定实时性要求。 基于位置的定位导览服务，提供实时定位和跟随服务，员工可以随时了解自己所在位置和周边环境，此项业务对实时性和定位精度要求比较高。 基于先进的Wi-Fi定位技术，办公区可以扩展多种基于Wi-Fi定位的应用，包括人流统计分析、办公区矢量地图、手机定位导航、基于位置的精准信息推送、等。6 网络出口设计 安全渗透于网络的各个部分，网络出口是为办公区网络用户提供外网访问业务，而Internet出口面临众多的安全威胁，这对整个办公区网络的安全性提出了更好的要求。根据对Internet

11、出口安全需求及出口整个网络业务流量的分析，需要在Internet出口部署防火墙等安全设备，以实现对整个网络的防护，并实现对Internet出口流量的智能控管。 只有有效充分的利用防火墙和安全政策才能保证受保护网络（信任网络）和非保护网络（不可信任网络）之间所有流量的安全有效控制，这样防火墙在抵御外部网络对内部网络的攻击窃取的同时，还可控制内部网络用户是否可以合法的访问外部Internet，以及怎样借助防火墙提供的特性实施安全政策等。 路由器负责网络出口地址转换，高NAT转换性能的路由器对网络连接会话数至关重要，本次组网建议采用H3C RT-SR6602-X2路由器，H3C RT-SR6602-

12、X2路由器既可作为大中企业的出口路由器，也可以作为政府或企业的分支接入路由器，还可以作为企业网VPN、NAT、IPSec等业务网关使用，单机提供15Mpps的包转发率。由于整个网络带机量较大，建议出口采用双链路，各租用1G出口带宽。H3C RT-SR6602-X27 IMC智能管理平台 H3C iMC智能管理平台实现网络资源、用户和业务的融合管理，提供基本的网络资源管理、拓扑管理、故障管理、性能管理、用户管理及系统安全管理，基于B/S架构，可以与H3C iMC其他业务组件有效集成，形成多种解决方案。 H3C iMC向用户提供了完善的网元管理功能，通过面板图标直观地反映设备的框、架、槽、卡、风扇

13、、CPU、端口等关键部件的运行状态；l 能够查看、设置设备端口状态；l 能够查看路由、VLAN等配置信息；l 能够查看端口流量、丢包率、错包率等关键统计数据；l 支持对H3C交换机堆叠能力的管理；l 通过Ping、Traceroute等功能测试当前网络链路的健康状况；l 支持从设备列表、设备详细信息、拓扑等多个入口打开设备面板。8 无线网络管理（WSM） 本次方案为实现终端的灵活接入部署了无线设备，作为接入层网络，无线网络维护工作量较大，加之无线网络的灵活性和不可见性，对无线网络的管理需求也较有线网络更加强烈。无线网络直接面对最终用户，对管理系统稳定性、实时性、有效性要求都较高。所以我们建议在

14、综合布线网络系统的IMC平台的基础上配置WSM无线管理组件实现有线无线一体化的网络管理。 WSM无线业务管理器依托iMC智能管理平台，实现有线无线一体化的管理，在iMC系统全面的有线网络管理的基础上，为用户提供无线网络管理能力。用户无需重新搭建IT管理平台，即可在原有的有线网络管理系统中增加无线管理功能，与有线管理平台统一部署，节省用户投入，节约维护成本。3、 网络方案特点 本设计是我们按照北京利达集团大厦网络改造项目需求作出，在充分满足用户需求的基础上尽量提高网络性能，并在各方面体现出网络设计的优点。以下是优势的详细介绍：1.高性能 网络的核心交换机H3CS75系列交换机作为整个网络的核心设

15、备，它提供各区访问网络中心的高速网络通道，负担各区域到网络中心的所有连接和数据访问。本方案提供的H3CS75系列交换机为高性能企业级高端交换机，具有极强的数据处理能力和包转发率，满足本项目核心骨干交换的要求。核心交换机不仅需要为数量庞大的网络用户提供互相访问的高速率要求，尤为重要的是需要提供网络中所有用户到各个服务器的应用级的访问需要，因此，核心交换机的处理能力直接影响整体网络性能的好坏。2.高安全 由于本网络的规模庞大，网络中重要数据很多，用户对网络可用性和安全性的要求很高，我们在本方案中充分满足了用户在这方面的需求。结合内外网防火墙和支持多种用户安全认证及安全策略的接入层交换机，可为用户打

16、造一个高可靠性，高安全性的应用网络。3.QoS保障 本项目有语音IP电话和视频会议等的应用，所以对QOS保障要求较高。H3C交换机、防火墙设备通过多种技术如IP优先、加权公平队列、RSVP等提供视频、语音传输的QoS保障，方案中采用的核心交换机、防火墙等对QOS都能提供很好的支持，为保证网络中各种视频应用及外界对网络中心资源调用提供保障。4.厂家优势 面对下一代网络向分组化、宽带化、智能化的发展趋势，H3C公司已成为业界领先的端到端设备及业务解决方案供应商，华三不仅提供完备的骨干层、汇聚层及接入层设备与解决方案，满足各种组网技术的需要，还在业务层及管理层提供丰富的业务及丰富的业务管理特性，全面

17、提供满足运营商和企业网客户需求的客户化解决方案。4、 配置说明 以下分别为网络中防火墙、路由器、交换机的相关配置。防火墙配置：# acl number 2001 acl number 2002 acl number 2003# vlan 1# domain system access-limit disable state active idle-cut disable self-service-url disable# pki domain default crl check disable# traffic classifier 123 operator and# traffic beha

18、vior 123 car cir 8000 cbs 500000 ebs 0 green pass red discard# qos policy 123 qos policy 1# policy-based-route xuanlu1 permit node 10 if-match acl 2001 apply output-interface GigabitEthernet0/2# policy-based-route xuanlu2 permit node 10 if-match acl 2002 apply output-interface GigabitEthernet0/3# po

19、licy-based-route xuanlu3 permit node 10 if-match acl 2003 apply output-interface GigabitEthernet0/1# local-user admin password cipher $c$3$SalJCeqOWL8wmdbhUSY8vnUisTBmcw9a authorization-attribute level 3 service-type telnet service-type web# ssl server-policy default pki-domain default# interface NU

20、LL0# interface GigabitEthernet0/0 port link-mode route ip# interface GigabitEthernet0/1 port link-mode route nat outbound 2002 ip qos lr outbound cir 9000 cbs 562500 ip policy-based-route xuanlu3# interface GigabitEthernet0/2 port link-mode route ip ip policy-based-route xuanlu1# interface GigabitEt

21、hernet0/3 port link-mode route ip ip policy-based-route xuanlu2# interface GigabitEthernet0/4 port link-mode route ip# interface GigabitEthernet0/5 port link-mode route# vd Root id 1# zone name Management id 0 priority 100 import interface GigabitEthernet0/0 zone name Local id 1 priority 100 zone na

22、me Trust id 2 priority 85 import interface GigabitEthernet0/4 zone name DMZ id 3 priority 50 zone name Untrust id 4 priority 5 import interface GigabitEthernet0/1 import interface GigabitEthernet0/2 import interface GigabitEthernet0/3# ip ip# ip https ssl-server-policy default ip https enable# user-interface con 0 user-interface vty 0 4 authentication-mode scheme# Return路由器配置：# interface GigabitEthernet0/0 port link-mode route combo enable fiber# interface GigabitEthernet0/1 port link-mode route combo enable fiber ip# in