中小型企业园区网络的设计实现分析VIP

1、.wd.wd.wd.目录 TOC o 1-3 h z u HYPERLINK l _Toc327727111第1章需求分析 PAGEREF _Toc327727111 h 2HYPERLINK l _Toc3277271121.1工程背景 PAGEREF _Toc327727112 h 2HYPERLINK l _Toc3277271131.2 需求分析 PAGEREF _Toc327727113 h 2HYPERLINK l _Toc327727114第2章相关技术介绍 PAGEREF _Toc327727114 h 3HYPERLINK l _Toc3277271152.1 工程开发所需的

2、软件 PAGEREF _Toc327727115 h 3HYPERLINK l _Toc3277271162.2 路由技术 PAGEREF _Toc327727116 h 3HYPERLINK l _Toc3277271172.2.1 动态路由 PAGEREF _Toc327727117 h 3HYPERLINK l _Toc3277271182.3 广域网技术 PAGEREF _Toc327727118 h 3HYPERLINK l _Toc3277271192.3.1 网络地址转换NAT PAGEREF _Toc327727119 h 3HYPERLINK l _Toc3277271202

3、.4 交换机技术 PAGEREF _Toc327727120 h 4HYPERLINK l _Toc3277271212.4.1 VLAN技术 PAGEREF _Toc327727121 h 4HYPERLINK l _Toc3277271222.4.2 Trunk技术 PAGEREF _Toc327727122 h 5HYPERLINK l _Toc327727123第3章网络总体设计 PAGEREF _Toc327727123 h 6HYPERLINK l _Toc3277271243.1 网络总体拓扑图 PAGEREF _Toc327727124 h 6HYPERLINK l _Toc3

4、277271253.2 路由设计 PAGEREF _Toc327727125 h 6HYPERLINK l _Toc3277271263.2.1 路由协议选择 PAGEREF _Toc327727126 h 6HYPERLINK l _Toc3277271273.2.2 IP地址规划 PAGEREF _Toc327727127 h 6HYPERLINK l _Toc3277271283.3 交换设计 PAGEREF _Toc327727128 h 7HYPERLINK l _Toc3277271293.3.1 交换技术选择 PAGEREF _Toc327727129 h 7HYPERLINK

5、l _Toc3277271303.4 网络层次化设计 PAGEREF _Toc327727130 h 8HYPERLINK l _Toc3277271313.4.1 核心层设计 PAGEREF _Toc327727131 h 8HYPERLINK l _Toc3277271323.4.2 会聚层设计 PAGEREF _Toc327727132 h 9HYPERLINK l _Toc3277271333.4.3 接入层设计 PAGEREF _Toc327727133 h 9HYPERLINK l _Toc3277271343.4.4 内联接入 PAGEREF _Toc327727134 h 9H

6、YPERLINK l _Toc327727135第4章网络配置实现 PAGEREF _Toc327727135 h 10HYPERLINK l _Toc3277271364.1 设备 基本配置 PAGEREF _Toc327727136 h 10HYPERLINK l _Toc3277271374.2 IP地址配置 PAGEREF _Toc327727137 h 10HYPERLINK l _Toc3277271384.3 交换局部的配置 PAGEREF _Toc327727138 h 10HYPERLINK l _Toc3277271394.3.1 Trunk链路的配置 PAGEREF _T

7、oc327727139 h 10HYPERLINK l _Toc3277271404.3.2 VTP和VLAN的配置 PAGEREF _Toc327727140 h 10HYPERLINK l _Toc3277271414.4 路由协议的配置 PAGEREF _Toc327727141 h 11HYPERLINK l _Toc327727142第五章总结 PAGEREF _Toc327727142 h 12中小型企业园区网的设计与实现第1章 需求分析1.1工程背景北京华才期货公司是一家即将成立的期货公司。该公司网络工程工程的建设目标是：搭建期货公司核心网络，以实现金融期货交易，商品交易等系统建

8、设网络平台为根基，选购符合分支机构及中心机房需求的高性价比网络设备；按照“高标准、高起点的要求，采用三层网络构造，按要求实现网络安全的需求。网络设备主要以核心交换区设备为主。要求计算机网络系统满足系统集成的网络平台需求，并考虑对设备投资保护，保证未来几年的系统扩展。组建一个高效、稳定、可靠、易管理、安全的企业网。1.2 需求分析公司的具体环境如下：1公司有2个办公地点，分别是北京总部和上海分部。2总部的部门有数据中心、核心交换区和交换所接入等，是主要的办公场所，数据中心作为期货交易的核心数据的存放地，其性能、稳定性、安全性、可靠性的要求最高。3核心交换区的功能是高速可靠地交换数据，该局部的设计

9、应考虑性能和可用性的平衡。4交易所接入作为外联单位接入区域，其安全性应该是放在第一位，同时期货交易离不开交易所的连接，因此冗余性的考虑也是必须的。5上海交易所只能访问北京总部的数据中心，不能访问总部办公楼。6公司已经申请到了假设干公网IP地址，供企业内网接入使用，公司内部使用私网地址。能够访问Internet。第2章 相关技术介绍2.1 工程开发所需的软件Cisco是一个可以模拟复杂网络的图形化网络模拟器，它可以运行在Windows、Linux、MAC OS 上，允许你在虚拟环境中运行Cisco IOS。GNS3 是dynagen 的图形化前端，用于搭建网络TOP,并生成dynagen 所可以

10、加载的net 文件，用来加载Cisco IOS的核心程序是dynamips。2.2 路由技术2.2.1动态路由动态路由协议采用自适应路由算法，能够根据网络拓扑的变化而重新计算机最正确路由。由于路由的复杂性，路由算法也是分层次的，通常把路由协议算法划分为自治系统(AS)内的IGP(Interior Gateway Protocol)与自治系统之间EGP(External Gateway Protocol)的路由协议。RIP的全称是Routing Information Protocol,是IGP，采用Bellman-Ford算法。RFC1058是RIP version 1标准文件，RFC2453

11、是RIP Version 2的标准2.3 广域网技术2.3.1 网络地址转换NAT网络地址转换NAT(Network Address Translation)属接入广域网(WAN)技术，是一种将私有(保存)地址转化为合法 HYPERLINK :/baike.baidu /view/3930.htm t _blank IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址缺乏的问题，而且还能够有效地防止来自网络外部的攻击，隐藏并保护网络内部的计算机。借助于NAT，私有(保存)地址的内部网络通过路由器发送数据包时，私有地址被

12、转换成合法的IP地址，一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。NAT将自动修改IP报文的源IP地址和目的IP地址，Ip地址校验那么在NAT处理过程中自动完成。NAT的实现方式有三种，即静态转换(Static Nat)、动态转换(Dynamic Nat)和端口多路复(OverLoad)。 静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。动态转换是指将内部网络的私有IP地址

13、转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进展转换，以及用哪些合法地址作为外部地址时，就可以进展动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。端口多路复用PAT(Port address Translation)是指改变外出数据包的源端口并进展端口转换，即端口地址转换PAT。采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节

14、约IP地址资源。同时，又可隐藏网络内部的所有主机，有效防止来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。2.4 交换机技术2.4.1 VLAN技术VlanVirtual Local Area Network即虚拟局域网，是一种将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN技术允许网络管理者讲一个物理的LAN逻辑地划分成不同的播送域或称虚拟LAN，即VLAN，每一个VLAN都包含一组有着一样需求的计算机工作站，与物理上形成的LAN有着一样的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同

15、一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的播送和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。2.4.2 Trunk技术一般的交换机端口只能属于一个VLAN，对于多个VLAN需要跨过多台交换机，就需要用到Trunk技术。Trunk是指交换机之间或交换机与路由器之间VLAN之间的连接，VLAN信息通过Trunk在交换机之间或路由器之间传递，从而可以将VLAN跨越整个网络，而不仅仅是局限在一台交换机上。第3章 网络总体设计3.1 网络总体拓扑图 图3.1 网络总体拓扑图如上图3.1所示，各区域可以各自建设交

16、换网络、路由接入、网络安全体系，可以有独立的安全策略、数据流量控制等个体的特征，而需要和其他区域的设备进展通讯的时候，那么必须遵守核心网络区的策略。3.2 路由设计3.2.1 路由协议选择本系统主要采用RIP路由协议。3.2.2IP地址规划IP 地址的规划在网络设计中的作用举足轻重。直接影响整个网络运行的效率。IP 地址设计的总原那么是简单、易管理、易扩展。IP 地址是TCP/IP 协议族中的网络层逻辑地址，它被用来唯一地标识网络中的一个节点。IP 地址空间的分配，要与网络层次构造相适应，既要有效地利用地址空间，又要表达出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加

17、快路由变化的收敛速度。根据以下几个原那么来分配IP 地址：1唯一性：一个IP网络中不能有两个主机采用一样的IP地址2简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项3连续性：连续地址在层次构造网络中易于进展路由总结(RouteSummarization)，大大缩减路由表，提高路由算法的效率4可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性5灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术(VLSM Variable-Length Subnet Mask)，以满足多种路由策略的优化，充分利用地址空间。地址规划总部网段A192.16

18、8.4.0网段B192.168.5.0网段C192.168.6.0子网掩码255.255.255.0表3.1 IP地址规划表3.3 交换设计3.3.1 交换技术选择考虑到园区网络的实际需求，设计时，保证网络的高可用性和稳定性至关重要，保证网络的高可用性和稳定性，还能够充分利用现有设备的资源，以防止单台核心设备的负载太重而导致的网络性能问题。同时各分支交换机两台上联千兆线路分别上连到两台中心路由交换机上，构成全路由交换的网络；借助于跨骨干的VLAN技术，使得对网络内有关Server的访问变得更加安全有效。3.4 网络层次化设计随着网络技术的迅速开展和网上应用量的增长，分布式的网络服务和交换已经移

19、至用户级，由此形成了一个新的、更适应现代的高速大型网络的分层设计模型。这种分级方法被称为“多层设计。多层设计有以下一些好处：多层设计是模块化的，网络容量可随着日后网络节点的增加而不断增大。多层网络有很大确实定性，因此在运行和扩展过程中进展故障查找和排除非常简单。多层网络系统设计最有效地利用多种第3层业务，包括分段、负载分担和故障恢复等。在多层网络中运用智能第3层业务可以大大减少因配置不当或设备故障引起的一般问题。多层模式使网络的移植更为简单易行，因为它保存了基于路由器和交换机的网络原有的寻址方案，对以往的网络有很好的兼容性。另外分层构造也能够对网络的故障进展很好的隔离。针对实际情况采用三层构造

20、模型。三层机构模型划分为三个层次，即核心层、分布层、接入层。每个层次完成不同的功能。1核心层 ：核心层作为整个网络系统的核心，其主要功能是高速，可靠的进展数据交换。2分布层 ：分布层主要进展接入层的数据流量会聚，并对数据流量进展访问控制。包括访问控制列表、VLAN路由等等。3接入层 ：接入层主要提供最终用户接入网络的途径。主要是进展VLAN的划分、与分布层的连接等等。3.4.1 核心层设计核心交换区的作用是尽快地提供所有区域间的数据交换。两台交换机高性能、可靠性、可用性是主要考虑的因素。本区的安全性可以由边界防火墙提供，如有需要在上面可以部署安全策略，使得核心交换区的安全性进一步地增强。Cis

21、co 系列凭借众多智能服务将控制扩展到网络边缘，其中包括先进的服务质量、可预测性能、高级安全性和全面的管理。它提供带集成永续性的出色控制，将永续性集成到硬件和软件中，缩短了网络停运时间。Cisco系列的模块化架构、介质灵活性和可扩展性减少了重复运营开支，提高了投资回报，从而在延长部署寿命的同时降低了拥有成本。方案中交换机配置了一块引擎，引擎用于Cisco交换机机箱，是一款64Gbps、4800万分组/秒48mpps的第二到四层交换引擎，直接在管理引擎面板上配备了2个线速GBIC端口。该引擎可为中型企业提供价格合理、易于使用的可扩展性、创新安全性、集成可靠性和灵活性。3.4.2 会聚层设计园区网

22、络工程的会聚层交换机，对于中型机构和企业分支机构来说，Cisco系列通过提供配置灵活性，支持融合网络模式及自动进展智能网络服务配置，简化了融合应用的部署，并可针对不断变化的业务需求进展调整。此外，Cisco系列针对高密度千兆位以太网部署进展了优化，包括多种交换机，以满足接入、会聚或小型网络骨干连接需求。Cisco提供12个千兆位以太网SFP端口用于连接数据中心和办公楼的接入层交换机和中心核心机房的交换机。3.4.3 接入层设计接入层交换机采用思科的千兆以太链路和会聚交换机相连接，并为用户终端提供10/100M自适应的接入，从而形成千兆为骨干，百兆到桌面的以太网三层构造。办公系统所需的各种服务器

23、如办公自动化服务器、邮件服务器、DHCP服务器等组成服务器群，数据中心的多种金融系统应用服务器，连接到会聚交换机的千兆模块上面，因此，内部的局域网是采用三层构造组建。3.4.4 内联接入推荐使用两台Cisco 2800系列路由器通过线路完成此项功能。由于可信度很高；接入时主要作用是管理和监控，不涉及交易。总结以上原因，内联路由器与核心交换网络间不需要配置格外的防火墙。第4章 网络配置实现4.1 设备 基本配置在对设备进展具体的配置之前都要进展一些 基本命令的配置，比方说给每台设备定义一个不同的名称，这样方便在同时开启了多台设备的时候能够迅速找到需要配置的设备；关闭域名解析可以防止敲错命令的时候

24、系统自动进展域名解析耽误时间；开启日志同步可以让输入的命令不被控制台信息所覆盖。4.2 IP地址配置在交换机上配置IP地址的时候首先需要使用no switchport命令开启交换机的三层路由功能，在这里给每个设备配置一个接口用于管理设备。4.3 交换局部的配置4.3.1 Trunk链路的配置只有将设备相连的链路封装成Trunk链路VTP中继协议才能将VLAN信息同步到其它设备，而且Trunk链路可以传递多个VLAN的信息。Trunk链路有两种封装协议802.1q和ISL，ISL是Cisco专有的协议，而802.1q是业界的标准协议，为了兼容性和稳定性应该选择802.1q协议。4.3.2 VTP

25、和VLAN的配置如果有多台设备都需要划分同样的vlan的时候，如果手工配置的话会比较费时，也容易出错，这个时候可以使用VTP中继协议，把需要划分VLAN的设备都参加到同一个VTP域中，设置一样的VTP密码，设置一个VTP服务器端，在服务器上创立VLAN后，VLAN信息会被VTP域中的其他设备学习到。2960-24TT的VTP和VLAN配置如下：2960-24TT #vlan database 2960-24TT (vlan)#vtp domain cisco /设置VTP域名为cisco2960-24TT (vlan)#vtp server /设置VTP模式为服务器模式2960-24TT (vlan)#vtp password cisco /设置VTP密码为cisco2960-24TT (vlan)#vlan 10 /创立VLAN 102960-24TT (vlan)#vl