中小型企业园区网络的设计与实现

1、目录 TOC o 1-5 h z HYPERLINK l bookmark13 o Current Document 第1章需求分析2 HYPERLINK l bookmark16 o Current Document 1.1项目背景2 HYPERLINK l bookmark19 o Current Document 1.2需求分析2 HYPERLINK l bookmark28 o Current Document 第2章相关技术介绍3 HYPERLINK l bookmark31 o Current Document 2.1项目开发所需的软件3 HYPERLINK l bookmark3

2、4 o Current Document 2.2路由技术3 HYPERLINK l bookmark37 o Current Document 动态路由3 HYPERLINK l bookmark40 o Current Document 2.3广域网技术3 HYPERLINK l bookmark43 o Current Document 2.3.1网络地址转换NAT3 HYPERLINK l bookmark46 o Current Document 2.4交换机技术4 HYPERLINK l bookmark49 o Current Document VLAN 技术4 HYPERLINK

3、 l bookmark53 o Current Document Trunk 技术5 HYPERLINK l bookmark57 o Current Document 第3章网络总体设计6 HYPERLINK l bookmark60 o Current Document 3.1网络总体拓扑图6 HYPERLINK l bookmark63 o Current Document 3.2路由设计6 HYPERLINK l bookmark66 o Current Document 3.2.1路由协议选择6 HYPERLINK l bookmark69 o Current Document IP

4、地址规划6 HYPERLINK l bookmark78 o Current Document 3.3交换设计7 HYPERLINK l bookmark81 o Current Document 3.3.1交换技术选择7 HYPERLINK l bookmark84 o Current Document 3.4网络层次化设计8 HYPERLINK l bookmark90 o Current Document 3.4.1核心层设计8 HYPERLINK l bookmark93 o Current Document 3.4.2汇聚层设计9 HYPERLINK l bookmark96 o C

5、urrent Document 3.4.3接入层设计9 HYPERLINK l bookmark99 o Current Document 3.4.4内联接入9 HYPERLINK l bookmark102 o Current Document 第4章网络配置实现10 HYPERLINK l bookmark105 o Current Document 4.1设备基本配置10 HYPERLINK l bookmark108 o Current Document 4.2IP地址配置10 HYPERLINK l bookmark112 o Current Document 4.3交换部分的配置1

6、0 HYPERLINK l bookmark115 o Current Document Trunk链路的配置10VTP 和 VLAN 的配置10 HYPERLINK l bookmark120 o Current Document 4.4路由协议的配置11 HYPERLINK l bookmark123 o Current Document 第五章总结12中小型企业园区网的设计与实现第1章需求分析1.1项目背景北京华才期货公司是一家即将成立的期货公司。该公司网络项目工程的建设目标 是：搭建期货公司核心网络，以实现金融期货交易，商品交易等系统建立网络平台 为基础，选购符合分支机构及中心机房需求

7、的高性价比网络设备；按照“高标准、 高起点”的要求，采用三层网络结构，按要求实现网络安全的需求。网络设备主要 以核心交换区设备为主。要求计算机网络系统满足系统集成的网络平台需求，并考 虑对设备投资保护，保证未来几年的系统扩展。组建一个高效、稳定、可靠、易管 理、安全的企业网。1.2需求分析公司的具体环境如下：（1）公司有2个办公地点，分别是北京总部和上海分部。（2）总部的部门有数据中心、核心交换区和交换所接入等，是主要的办公场所，数 据中心作为期货交易的核心数据的存放地，其性能、稳定性、安全性、可靠性 的要求最高。（3）核心交换区的功能是高速可靠地交换数据，该部分的设计应考虑性能和可用性 的平

8、衡。（4）交易所接入作为外联单位接入区域，其安全性应该是放在第一位，同时期货交 易离不开交易所的连接，因此冗余性的考虑也是必须的。（5）上海交易所只能访问北京总部的数据中心，不能访问总部办公楼。（6）公司已经申请到了若干公网地址，供企业内网接入使用，公司内部使用私网 地址。能够访问I nternet。第2章相关技术介绍2.1项目开发所需的软件Cisco是一个可以模拟复杂网络的图形化网络模拟器，它可以运行在Windows. Linux、MAC OS上，允许你在虚拟环境中运行Cisco IOS。GNS3是dynagen的图形 化前端，用于搭建网络TOP，并生成dynagen所可以加载的net文件，

9、用来加载Cisco IOS的核心程序是dynamips。2.2路由技术2.2.1动态路由动态路由协议采用自适应路由算法，能够根据网络拓扑的变化而重新计算机最 佳路由。由于路由的复杂性，路由算法也是分层次的，通常把路由协议(算法)划 分为自治系统(AS)内的IGP(Interior Gateway Protocol)与自治系统之间EGP(External Gateway Protocol)的路由协议。RIP的全称是 Routing Information Protocol,是IGP，采用 Bellman-Ford算法。 RFC1058是RIP version 1 标准文件，RFC2453是RIP

10、 Version 2的标准2.3广域网技术2.3.1网络地址转换NAT网络地址转换NAT(Network Address Translation)属接入广域网(WAN)技术，是一 种将私有(保留)地址转化为合法崖地址的转换技术，它被广泛应用于各种类型Internet 接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问 题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。借助于NAT，私有(保留)地址的内部网络通过路由器发送数据包时，私有地址 被转换成合法的IP地址，一个局域网只需使用少量IP地址(甚至是1个)即可实现私 有地址网络内所有计算机与I

11、nternet的通信需求。NAT将自动修改IP报文的源IP地址和目的IP地址，Ip地址校验则在NAT处理过程中自动完成。NAT的实现方式有三种，即静态转换(Static Nat)、动态转换(Dynamic Nat) 和端口多路复(OverLoad)。静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对 一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换， 可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确 定的，是随机的，所有被授权访问上Internet的私有IP地址

12、可随机转换为任何指定 的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及 用哪些合 法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地 址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转 换的方式。端口多路复用PAT(Port address Translation)是指改变外出数据包的源端口并 进行端口转换，即端口地址转换PAT。采用端口多路复用方式。内部网络的所有主 机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节 约 IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自1 nternet

13、的攻击。 因此，目前网络中应用最多的就是端口多路复用方式。2.4交换机技术VLAN 技术Vlan (Virtual Local Area Network)即虚拟局域网，是一种将局域网内的设 备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN技术允许网络管理者讲一个物理的LAN逻辑地划分成不同的广播域(或称 虚拟LAN，即VLAN)，每一个VLAN都包含一组有着相同需求的计算机工作站，与物 理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一 个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于 同一个物理LAN网段。一个VL

14、AN内部的广播和单播流量都不会转发到其他VLAN中， 从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。Trunk 技术一般的交换机端口只能属于一个VLAN,对于多个VLAN需要跨过多台交换机， 就需要用到Trunk技术。Trunk是指交换机之间或交换机与路由器之间VLAN之间 的连接，VLAN信息通过Trunk在交换机之间或路由器之间传递，从而可以将VLAN 跨越整个网络，而不仅仅是局限在一台交换机上。第3章网络总体设计3.1网络总体拓扑图卜MTT;ArtCIPC-PTPC-PT十.1 2811 R.(xjterl2811Rjauter4aPC-PTScrMEr-PTflPC

15、-PT = -.2PG-瞄1-Z-F峥2PC PTFlPC-PTVTWClDud-PTIntemet2960-24TSwitch?PC-PTSerrer-PT 生产字：要妥号SeniEr-PT图3.1网络总体拓扑图如上图3.1所示，各区域可以各自建立交换网络、路由接入、网络安全体系，可以有独立的 安全策略、数据流量控制等个体的特征，而需要和其他区域的设备进行通讯的时候，则必须遵守 核心网络区的策略。3.2路由设计3.2.1路由协议选择本系统主要采用RIP路由协议。IP地址规划IP地址的规划在网络设计中的作用举足轻重。直接影响整个网络运行的效率。IP地址设计的总原则是简单、易管理、易扩展。IP地

16、址是TCP/IP协议族中的网络 层逻辑地址，它被用来唯一地标识网络中的一个节点。IP地址空间的分配，要与网 络层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活 性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。根据以下几个原则来分配IP地址：（1）唯一性：一个IP网络中不能有两个主机采用相同的IP地址（2）简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款 项（3）连续性：连续地址在层次结构网络中易于进行路由总结（Route Summarization），大大缩减路由表，提高路由算法的效率（4）可扩展性：地址分配在每一层次上都要留

17、有余量，在网络规模扩展时能保证地址总结所需的连续性（5）灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术（VLSMVariable-Length Subnet Mask），以满足多种路由策略的优化，充分利用地址空间。地址规划总部网段A192.168.4.0网段B192.168.5.0网段C192.168.6.0子网掩码255.255.255.0表3.1 IP地址规划表3.3交换设计3.3.1交换技术选择考虑到园区网络的实际需求，设计时，保证网络的高可用性和稳定性至关重要， 保证网络的高可用性和稳定性，还能够充分利用现有设备的资源，以避免单台核心 设备的负载太重而导致的网络性能问题。同时各

18、分支交换机两台上联千兆线路分别 上连到两台中心路由交换机上，构成全路由交换的网络;借助于跨骨干的VLAN技术， 使得对网络内有关Server的访问变得更加安全有效。3.4网络层次化设计随着网络技术的迅速发展和网上应用量的增长，分布式的网络服务和交换已经 移至用户级，由此形成了一个新的、更适应现代的高速大型网络的分层设计模型。 这种分级方法被称为“多层设计”。多层设计有以下一些好处：多层设计是模块化的，网络容量可随着日后网络节点的增加而不断增大。多层网络有很大的确定性，因此在运行和扩展过程中进行故障查找和排除非常 简单。多层网络系统设计最有效地利用多种第3层业务，包括分段、负载分担和故障 恢复等

19、。在多层网络中运用智能第3层业务可以大大减少因配置不当或设备故障引起的 一般问题。多层模式使网络的移植更为简单易行，因为它保留了基于路由器和交换机的网 络原有的寻址方案，对以往的网络有很好的兼容性。另外分层结构也能够对网络的 故障进行很好的隔离。针对实际情况采用三层结构模型。三层机构模型划分为三个层次，即核心层、 分布层、接入层。每个层次完成不同的功能。（1）核心层：核心层作为整个网络系统的核心，其主要功能是高速，可靠的进 行数据交换。（2）分布层：分布层主要进行接入层的数据流量汇聚，并对数据流量进行访问控制。包括访问控制列表、VLAN路由等等。（3）接入层：接入层主要提供最终用户接入网络的途

20、径。主要是进行VLAN的划分、与分布层的连接等等。3.4.1核心层设计核心交换区的作用是尽快地提供所有区域间的数据交换。两台交换机高性能、 可靠性、可用性是主要考虑的因素。本区的安全性可以由边界防火墙提供，如有需 要在上面可以部署安全策略，使得核心交换区的安全性进一步地增强。Cisco系列凭借众多智能服务将控制扩展到网络边缘，其中包括先进的服务质 量、可预测性能、高级安全性和全面的管理。它提供带集成永续性的出色控制，将 永续性集成到硬件和软件中，缩短了网络停运时间。Cisco系列的模块化架构、介质 灵活性和可扩展性减少了重复运营开支，提高了投资回报，从而在延长部署寿命的 同时降低了拥有成本。方

21、案中交换机配置了一块引擎，引擎用于Cisco交换机机箱， 是一款64Gbps、4800万分组/秒（48mpps）的第二到四层交换引擎，直接在管理引 擎面板上配备了 2个线速GBIC端口。该引擎可为中型企业提供价格合理、易于使用 的可扩展性、创新安全性、集成可靠性和灵活性。3.4.2汇聚层设计园区网络项目的汇聚层交换机，对于中型机构和企业分支机构来说，Cisco系列 通过提供配置灵活性，支持融合网络模式及自动进行智能网络服务配置，简化了融 合应用的部署，并可针对不断变化的业务需求进行调整。此外，Cisco系列针对高密 度千兆位以太网部署进行了优化，包括多种交换机，以满足接入、汇聚或小型网络 骨干

22、连接需求。Cisco提供12个千兆位以太网SFP端口用于连接数据中心和办公楼的接入层交 换机和中心核心机房的交换机。3.4.3接入层设计接入层交换机采用思科的千兆以太链路和汇聚交换机相连接，并为用户终端提 供10/100M自适应的接入，从而形成千兆为骨干，百兆到桌面的以太网三层结构。 办公系统所需的各种服务器如办公自动化服务器、邮件服务器、DHCP服务器等组 成服务器群，数据中心的多种金融系统应用服务器，连接到汇聚交换机的千兆模块 上面，因此，内部的局域网是采用三层结构组建。3.4.4内联接入推荐使用两台Cisco 2800系列路由器通过线路完成此项功能。由于可信度很高；接入时主要作用是管理和

23、监控，不涉及交易。总结以上原因， 内联路由器与核心交换网络间不需要配置格外的防火墙。第4章网络配置实现4.1设备基本配置在对设备进行具体的配置之前都要进行一些基本命令的配置，比如说给每台设 备定义一个不同的名称，这样方便在同时开启了多台设备的时候能够迅速找到需要 配置的设备；关闭域名解析可以防止敲错命令的时候系统自动进行域名解析耽误时 间；开启日志同步可以让输入的命令不被控制台信息所覆盖。IP地址配置在交换机上配置IP地址的时候首先需要使用no switchport命令开启交换机的三 层路由功能，在这里给每个设备配置一个接口用于管理设备。4.3交换部分的配置Trunk链路的配置只有将设备相连的

24、链路封装成Trunk链路VTP中继协议才能将VLAN信息同步到 其它设备，而且Trunk链路可以传递多个VLAN的信息。Trunk链路有两种封装协议 802.1q和ISL，ISL是Cisco专有的协议，而802.1q是业界的标准协议，为了兼容性 和稳定性应该选择802.1q协议。VTP和VLAN的配置如果有多台设备都需要划分同样的vlan的时候，如果手工配置的话会比较费时， 也容易出错，这个时候可以使用VTP中继协议，把需要划分VLAN的设备都加入到同一 个VTP域中，设置相同的VTP密码，设置一个VTP服务器端，在服务器上创建VLAN后， VLAN信息会被VTP域中的其他设备学习到。2960-24TT的VTP和VLAN配置如下：2960-24TT #vlan database2960-24TT (vlan)#vtp domain cisco设置 VT P域名为 cisco2960-24TT (vlan)#vtp server设置VTP模式为服务器模式/设置VTP密码为cisco2960-24TT (vlan)#vtp password cisco/创建 VLAN 10/创建 VLAN 20/创建 VLAN 40/创建 VLAN 602960-24TT (vlan)#vlan 102960-2