网络规划设计方案-

1、名目 HYPERLINK l _TOC_250025 第 1 节 校内网络总体设计概述2 HYPERLINK l _TOC_250024 第 2 节 网络需求分析5 HYPERLINK l _TOC_250023 网络基本状况5 HYPERLINK l _TOC_250022 网络建设任务与性能要求6 HYPERLINK l _TOC_250021 第 3 节 选择核心网络设备6 HYPERLINK l _TOC_250020 设计方案说明6 HYPERLINK l _TOC_250019 选择核心层交换机7 HYPERLINK l _TOC_250018 第 4 节 校内网络拓扑结构图设计8

2、 HYPERLINK l _TOC_250017 总体设计原则与设备方法8 HYPERLINK l _TOC_250016 各区网络拓扑结构图9 HYPERLINK l _TOC_250015 A 区网络拓扑图9 HYPERLINK l _TOC_250014 B 区网络拓扑图9 HYPERLINK l _TOC_250013 C 区网络拓扑图10 HYPERLINK l _TOC_250012 第 5 节 配置命令11 HYPERLINK l _TOC_250011 A 校区配置命令11 HYPERLINK l _TOC_250010 核心层交换机的配置11 HYPERLINK l _TOC

3、_250009 汇聚层交换机的配置12 HYPERLINK l _TOC_250008 防火墙 ACL 规章配置与应用12边界路由的配置14 HYPERLINK l _TOC_250007 服务器群接入交换机的配置15 HYPERLINK l _TOC_250006 B 校区的配置命令16 HYPERLINK l _TOC_250005 核心层交换机的配置（配置命令同A 区的）16 HYPERLINK l _TOC_250004 汇聚层交换机的配置（配置命令同A 区的）16 HYPERLINK l _TOC_250003 C 校区的配置命令16 HYPERLINK l _TOC_250002

4、核心层交换机的配置16 HYPERLINK l _TOC_250001 防火墙的配置17 HYPERLINK l _TOC_250000 边界路由的配置17汇聚层交换机配置18第 6 节 地址规划19A 校区地址规划19B 校区地址规划20C 校区地址规划21校内网段地址规划21第 7 节 公网地址使用规划23Chinanat 公网地址使用规划23Cernet 共网地址使用规划24第 8 节 收获及体会24第 1 节 校内网络总体设计概述校内网络是格外典型的综合网络实例。为了阐明主要问题，在本设计方案中对实际校内网的设计进行了适当的和必要的简化。同时，将重点放在网络的主干的设计上，主要是针对一

5、些设备的配置步骤、配置命令、排查故障以及诊断命令和方法。其中包括三层加换机、路由器的配置，路由的添加，静态和动态路由的配置，还有NAT 转换等，另外对于服务器的架设只作简洁介绍，并且该试验中的防火墙全部有路由器来替代和配置。还有本设计全部是用思科设备来模拟试验的，并且是在思科模拟器上完成的，一些线路都实行简化的手段，具体内容参考有关参考书。在下面的拓扑图中，该校内有三个校区，称为 A 区、B 区和 C 区。对于每个区域之间而言，都是通过cisco3560-24 核心交换机互联的，在每个区域中，每个楼层是由cisco3560-24 汇聚层交换机连接核心层交换机，在汇聚层交换机上有连接两个 295

6、0T-24 接入层交换机，最终在每个接入层交换机上接一个主机。如下为校内网络的总体拓扑图：第 2 节 网络需求分析网络基本状况某高校有 3 个校区，称为A 区、B 区、C 区。A 区和C 区规模较大， B 区规模较小。A 区与B 区光纤线路长度在 30km 左右，租用裸纤（指仅租用光纤线路，不租用两端的网络设备）专线实现这两个校区间的互联。A 区与C 区相距较远，约60km，因此不能接受光纤专线，而接受MPLS VPN 实现 A 区与C 区的互联。A 区和C 区各设置一个中心机房，但已A 区为主。A 区和 C 区的主要应用服务器放在各自校区的中心机房中，但校区间也你能互访这些服务器。A 区的服

7、务器主要有Web 服务器、邮件服务器、教务管理服务器、视频点播服务器、DNS 服务器等共计约 10 多台服务器。Web 服务器和邮件服务器要求同时接入电信ChinaNET 网和教育网（Cernet）。C 区的服务器主要有教务管理服务器、电影服务器等。A 区 使 用 的 公 网 地 址 段 为 2 ， 子 网 掩 码 为24，共 32 个 IP 地址；网关地址为 3， 子网掩码为 52。A 区的教育网地址段为 /24，共 256 个IP 地址；网关地址为 ，子网掩码为 52。C 区有用的公网地址段为 28 ， 子网掩码为24，共32 个IP 地址；网关地址为29， 子网掩码为 52。网络建设任务

8、与性能要求先要求组建这 3 个校内网络，事先 3 个校区间互联互通，并能访问因特网。网络要易于扩展和维护、性能和牢靠性高、安全性好。要求校内网接受万兆核心、千兆主干、百兆交换到桌面。A 区与 B 区接受千兆光纤链路互联，A 区与 C 区接受 100Mb/s MOLS VPN 实现互联。A 区因特网出口设置2 条，一条接入电信ChinaNET 网，接受100Mb/s 光纤专线接入；另一条接入教育科研网（Cernet），接受 10Mb/s 光纤专线接入。整个校内用户（3 个校区）访问教育网资源时通过教育网出口访问。C 区设置一条因特网出口，接受 100Mb/s 光纤专线通过当地电信接入因特网。C

9、校区用户访问因特网时，默认接受该条链路出去访问； 访问教育网资源时，通过教育网资源时，通过 A 区的教育网出口访问。第 3 节 选择核心网络设备设计方案说明通常是先设计网络拓扑结构，然后再选择网络设备，此处先进行 设备选型，再设计网络拓扑结构，以便在拓扑图中标注出设备型号。3 个校区的网络建设在实际中是有先后次序的，是在进展过程中不断扩建的，此处是为了讲解和配置的便利，假设其网络是同时建设的。网络示例中所使用的设备型号为目前的主流设备，但不肯定是最新 的，对于以后新建网络，应选择符合时代的新型号。虽然设备型号和功能升级了，但组网的方法和配置策略是不会转变的，相关的配置命令也不会有太大的变化。C

10、 区与A 区的网络建设方法基本相同，为避开重复介绍，本书重点放在A 区和B 区网络的组建上。对于 C 区仅介绍到其核心层与A 区的互联实现方法，即主要介绍两个远程局域网之间如何实现互联互通。为便于同时介绍Cisco 和华为的设备配置，网络设备同时选择了两个厂商的主流设备。对于二层交换机，由于数量众多，拓扑结构图中就不再画出。选择核心层交换机考虑到整个校内网规模较大，用户主机数较多，核心层交换机接受华为万兆核心的路由交换机Quidway S8505，该交换机拥有 5 个功能板插槽和 2 个引擎插槽，背板带宽为 750Gb/s，包转发率为 180Mb/s， 并支持 10GE 接口，具有很强的交换处

11、理力量和可扩展性。依据应用需要，配置一块拥有 48 个千兆以太网电口的功能板和一块拥有 24 口的千兆SFP 光纤接口板，板上配置 18 个千兆多模光纤接口，用于连接到各幢楼的汇聚层交换机。为提高交换机的牢靠性，配置双引擎。S8505 的配置及外观如图 2.16 所示。光纤接口不够用时，可使用千兆的电口。使用内网地址的服务器群可使用部分千兆电口。使用共网地址的 DMZ 区服务器群使用 CiscoCatalyst 3750G-24T 千兆交换机实现网络的千兆接入。另使用一台Cisco Catalyst 3750G-24T 作为千兆防火墙设备，爱护 DMZ 区中的服务器群。各幢楼的汇聚层交换机接受

12、华为的 S3528P 或 Cisco 3550-24 或3560。B 区的规模不大，核心层交换机接受Cisco 4506 交换机。选择核心路由器由于网络用户数较多，网络出口路由器也接受高端的华为 Quidway NE40-4 交换路由器，并配置一块 NAT 转换板，以提高 NAT 转换的速度和负荷承受力量。网络的因特网出口有 2 个，与核心层交换机互联需要一个接口，与防火墙设备互联需要一个接口；教育网的招生录用系统需要直连教育网，否则招生录用系统运行有问题，因此，单独使用一个接口连接招生录用用机，故路由器的以太网接口至少需要 5 个；考虑到扩展性， 增配 2 个 SFP 光纤接口，标准有 5

13、个以太网电口。NE40-4 交换路由器接口配置及外观如图 2.17 所示。第 4 节 校内网络拓扑结构图设计总体设计原则与设备方法A 区中的机房设置在综合楼的 3 楼，该幢楼的汇聚层交换机放在中心机房，由于该幢楼的楼层较高，分别在 1 楼和 6 楼的线井各设置1 个机柜，放置接入层交换机。其余楼宇的配线间设置在各幢楼的中间楼层，汇聚层交换机和接入层交换机军方旨在配线架的机柜中，汇聚层交换机接受多模光纤以千兆链路上连到核心层交换机的 SFP 光纤接口。各区网络拓扑结构图A 区网络拓扑图范文范例参考指导B 区网络拓扑图C 区网络拓扑图第 5 节 配置命令A 校区配置命令核心层交换机的配置Switc

14、henable Switch#conf terminalSwitch(config)#ip routing Switch(config)#int range fa0/1 - 14 Switch(config-if-range)#no switchport Switch(config-if-range)#exit Switch(config)#int fa0/1Switch(config-if)#ip add 8 52 Switch(config-if)#no shutdown其它端口的地址配置同上路由配置：Switch(config)#iproute7Switch(config)#iprout

15、e3Switch(config)#iproute9Switch(config)#iproute5Switch(config)#iproute1Switch(config)#iproute7Switch(config)#iproute3Switch(config)#iproute Switch(config)#iproute Switch(config)#iproute Switch(config)#iproute 1汇聚层交换机的配置Switchenable Switch#conf terminalSwitch(config)#ip routing Switch(config)#int ran

16、ge fa0/1 - 3 Switch(config-if-range)#no switchport Switch(config-if-range)#exit Switch(config)#int fa0/1Switch(config-if)#ip add 7 52 Switch(config-if)#no shutdown其它端口的配置同上路由配置：Switch(config)#ip route 8本校区的其它汇聚层交换机的配置同上防火墙 ACL 规章配置与应用1定义和应用WAN 口的ACL 规章的配置Switch(config)#ip access-list extended from-c

17、enterSwitch(config-ext-nacl)#permit tcp any host eq wwwSwitch(config-ext-nacl)#permit tcp any host eq 443 Switch(config-ext-nacl)#permit tcpanyhosteq range 20 21Switch(config-ext-nacl)#permit tcp any host Switch(config)#ip access-list extended from-chinanet Switch(config-ext-nacl)#permit tcp any hos

18、t 3 eq www Switch(config-ext-nacl)#permit tcp any host 3 eq 443 Switch(config-ext-nacl)#permit tcp any host3 range 20 21Switch(config-ext-nacl)#permittcpanyhost3 Switch(config-ext-nacl)#deny ip any anySwitch(config-ext-nacl)#exit Switch(config)#int fa1/0Switch(config-if)#ip access-group extended fro

19、m-center out Switch(config-if)#int fa1/1witch(config-if)#ip access-group extended from-chinanet out 2定义和应用LAN 口的ACL 规章的配置具体配置同上3定义和应用DMZ 口的ACL 规章的配置具体配置同上路由配置：Switch(config)#router ripSwitch(config-router)version2Switch(config-router)networkSwitch(config-router)networkSwitch(config-router)network边界路

20、由的配置Routerenable Router#conf terminal Router(config)#int fa0/0Router(config-if)#ip add 9 52 Router(config-if)#ip nat insideRouter(config-if)#no shutdown Fa0/1 端口配置同上Router(config)#int fa1/0Router(config-if)#ip add 52 Router(config-if)#ip nat outsideRouter(config-if)#no shutdown Fa1/1 端口配置同上路由配置：Rout

21、er(config)#router ripRouter(config-router)#version2Router(config-router)#network8Router(config-router)#networkRouter(config-router)#network Router(config-router)#network 2NAT 配置：Router(config)#access-list 1permitanyRouter(config)#ip nat insidesourcelist1intfa1/0overloadRouter(config)#access-list 2Ro

22、uter(config)#ip nat insidepermitsourceanylist2intfa1/1overload服务器群接入交换机的配置Switchenable Switch#conf terminalSwitch(config)#ip routing Switch(config)#int range fa0/1 - 3 Switch(config-if-range)#no switchport Switch(config-if-range)#exit Switch(config)#int fa0/1Switch(config-if)#ip add 0 52 Switch(conf

23、ig-if)#no shutdown其他端口的配置同上路由配置：Switch(config)#router rip Switch(config-router)version 2Switch(config-router)network Switch(config-router)network Switch(config-router)network B 校区的配置命令核心层交换机的配置（配置命令同A 区的）汇聚层交换机的配置（配置命令同A 区的）C 校区的配置命令核心层交换机的配置Switchenable Switch#conf terminalSwitch(config)#ip routing

24、 Switch(config)#int range fa0/1 - 3 Switch(config-if-range)#no switchport Switch(config-if-range)#exit Switch(config)#int fa0/1Switch(config-if)#ip add 52 Switch(config-if)#no shutdown其它端口的地址配置同上路由配置：Switch(config)#router rip Switch(config-router)version 2Switch(config-router)network Switch(config-r

25、outer)network Switch(config-router)network 防火墙的配置配置命令同A 校区边界路由的配置Routerenable Router#conf terminal Router(config)#int fa0/0Router(config-if)#ip add 30 52 Router(config-if)#ip nat outsideRouter(config-if)#no shutdown Router(config)#int fa0/1 Router(config-if)#ip add Router(config-if)#ip nat intside R

26、outer(config-if)#no shutdownFa1/1 端口的配置同上NAT 配置：Router(config)#access-list 1 permit anyRouter(config)#ip nat inside source list 1 int fa0/0 overload路由配置Router(config)#router rip Router(config-router)#version 2Router(config-router)#network Router(config-router)#network Router(config-router)#network 2

27、8汇聚层交换机配置Switchenable Switch#conf terminalSwitch(config)#ip routing Switch(config)#int range fa0/1 - 3 Switch(config-if-range)#no switchport Switch(config-if-range)#exit Switch(config)#int fa0/1Switch(config-if)#ip add 4 52 Switch(config-if)#no shutdown其它端口配置同上路由配置：Switch(config)#router rip Switch(c

28、onfig-router)version 2Switch(config-router)network 2Switch(config-router)network Switch(config-router)network 第 6 节 地址规划A 校区地址规划楼宇/校区汇聚层交换机型号互联接口汇聚层接口ip地址核心层接口 ip地址核心层交换机互联接口同学宿舍 5Cisco3560F0/17/38/3F0/100同学宿舍 4Cisco3560F0/23/34/3F0/200同学宿舍 3Cisco3560F0/39/30/3F0/300同学宿舍 2Cisco3560F0/45/36/3F0/400同学

29、宿舍 1Cisco3560F0/51/32/3F0/500A 区教工宿Cisco3560F0/67/38/3F0/6舍00图书馆Cisco3560F0/73/34/3F0/700实训楼Cisco3560F0/8/300/3F0/80教学楼Cisco3560F0/9/30/30F0/9综合楼Cisco3560F0/10/30/30F0/10路由器Route ptFa0/09/30/3F0/1300防火墙Cisco3560F0/12/30/30F0/12InternetRoute ptFa0/05/36/3Fa0/1400B 区核心交Cisco3560Fa0/111/32/3Fa0/11换机00C

30、isco3560Fa0/2/30/30Fa0/1Router28/Fa0/0113030Router2834Fa0/111/30/30Cisco356Fa0/1/300/3Fa0/100防火墙 WAN口Cernet 网Chinanet网防火墙 DMZB 校区地址规划楼宇/校区汇聚层交换机型号互联接口汇聚层接口ip 地址核心层接口 ip地址核心层交换机互联接口教工宿舍 1Cisco3560F0/2/30F0/2/30教工宿舍 2Cisco3560F0/4/30F0/4/30教工宿舍 3Cisco3560F0/50/3F0/5/300教工宿舍 4Cisco3560F0/64/3F0/63/300教

31、学楼Cisco3560F0/78/3F0/77/300同学宿舍Cisco3560F0/82/3F0/81/300A 区核心交换Cisco3560F0/112/3F0/11机1/300C 校区地址规划设备/ 网设备型号络名称互 联汇聚层接口 ip 地址核心层接口 ip 地址核 心 层接口交 换 机互 联 接口防 火 墙Cisco3560WAN 口Fa0/1/30/30Fa1/1核心层交Cisco3560换机Fa0/3/30/30Fa0/1ChinaNat网Router281129/3030/30Fa0/0防 火 墙Cisco3560LAN 口Fa0/2/300/30Fa0/2MPLS VPNRo

32、uter2811Fa0/1/30（ 路 由器）/30Fa0/1校内网段地址规划楼宇/校区名称网段及地址数网段地址地址的聚合表示B 校区16 个 C/24/24/20综合楼2 个 C/24/24/23教学楼2 个 C/24/24/23实训楼8 个 C/24/24/21图书馆8 个 C/24/24/21A 区教工宿舍2 个 C/24/24/23同学宿舍 12 个 C/24/24/23同学宿舍 22 个 C/24/24/23同学宿舍 32 个 C/24/24/23同学宿舍 42 个 C/24/24/23同学宿舍 52 个 C/24/24/23A 区电信网络1 个 C/24B 区教育网络1 个 C/2

33、4A 区和 B 区未安排地址14 个 C/24/24C 校区192 个C/24-/24/18/17第 7 节 公网地址使用规划Chinanat 公网地址使用规划依据前面的网络规划，A 区所申请到的Chinanet 公网址段为2，子网掩码为 54，共 32 个ip 地址。这 32 个 ip 地址用在三个方面，即校内网边界路由器与 Internet 接入服务商的路由器的互联接口地址、nat 地址池和服务器。地址安排如下。校内网的边界路由器与 ISP 互联需要一对接口地址，可从这 32 个地址段中划分出一个具有 4 个 ip 地址的子网来实现，该子网的地址为2/30 。 校 园 网 的 边 界 路 由 器 的 接 口 地 址 使 用4，子网掩码为 52;ISP 服务商的接口地址（网关地址）为 3，子网掩码为 52。路由器的 NAT 转换需要一个 NAT 地址池，可从剩余的 ip 地址中再划分出一个具有 4 个 ip 地址的子网用做 NAT 地址池，该