校园网规划设计与设备搭建概述

1、85/85项目文档目录 TOC o 1-3 h z u HYPERLINK l _Toc408563171 一、需求分析 PAGEREF _Toc408563171 h 4 HYPERLINK l _Toc408563172 1.用户需求分析 PAGEREF _Toc408563172 h 4 HYPERLINK l _Toc408563173 2.通信流量分析 PAGEREF _Toc408563173 h 4 HYPERLINK l _Toc408563174 二、网络结构与分层 PAGEREF _Toc408563174 h 5 HYPERLINK l _Toc408563175 1.组

2、网规范 PAGEREF _Toc408563175 h 5 HYPERLINK l _Toc408563176 2.网络拓扑图 PAGEREF _Toc408563176 h 5 HYPERLINK l _Toc408563177 3.Vlan和ip地址划分 PAGEREF _Toc408563177 h 6 HYPERLINK l _Toc408563178 三、网络设备选型 PAGEREF _Toc408563178 h 7 HYPERLINK l _Toc408563179 1.6台接入交换机 PAGEREF _Toc408563179 h 7 HYPERLINK l _Toc40856

3、3180 2.2台汇聚层交换机 PAGEREF _Toc408563180 h 7 HYPERLINK l _Toc408563181 3.路由器选型，3台/接口 PAGEREF _Toc408563181 h 8 HYPERLINK l _Toc408563182 4.防火墙 PAGEREF _Toc408563182 h 8 HYPERLINK l _Toc408563183 5.服务器 PAGEREF _Toc408563183 h 8 HYPERLINK l _Toc408563184 6.无线AP PAGEREF _Toc408563184 h 8 HYPERLINK l _Toc4

4、08563185 四、网络搭建 PAGEREF _Toc408563185 h 9 HYPERLINK l _Toc408563186 1.有线网络解决方案 PAGEREF _Toc408563186 h 9 HYPERLINK l _Toc408563187 1)网络差不多配置 PAGEREF _Toc408563187 h 9 HYPERLINK l _Toc408563188 2)核心层网络设计（路由器） PAGEREF _Toc408563188 h 10 HYPERLINK l _Toc408563189 3)汇聚层网络设计 PAGEREF _Toc408563189 h 14 HY

5、PERLINK l _Toc408563190 4)接入层网络设计 PAGEREF _Toc408563190 h 25 HYPERLINK l _Toc408563191 2.无线网络解决方案 PAGEREF _Toc408563191 h 27 HYPERLINK l _Toc408563192 1)有线网络连接 PAGEREF _Toc408563192 h 27 HYPERLINK l _Toc408563193 2)无线连接配置 PAGEREF _Toc408563193 h 28 HYPERLINK l _Toc408563194 3)治理ip配置 PAGEREF _Toc4085

6、63194 h 28 HYPERLINK l _Toc408563195 4)无线安全 PAGEREF _Toc408563195 h 28 HYPERLINK l _Toc408563196 3.数据中心解决方案（服务器搭建） PAGEREF _Toc408563196 h 29 HYPERLINK l _Toc408563197 1)DHCP服务器 PAGEREF _Toc408563197 h 29 HYPERLINK l _Toc408563198 2)WEB服务器 PAGEREF _Toc408563198 h 31 HYPERLINK l _Toc408563199 3)FTP服务

7、器 PAGEREF _Toc408563199 h 32 HYPERLINK l _Toc408563200 4)DNS服务器 PAGEREF _Toc408563200 h 33 HYPERLINK l _Toc408563201 5)Radius服务器 PAGEREF _Toc408563201 h 34 HYPERLINK l _Toc408563202 五、网络安全设计 PAGEREF _Toc408563202 h 37 HYPERLINK l _Toc408563203 1.骨干网安全 PAGEREF _Toc408563203 h 37 HYPERLINK l _Toc40856

8、3204 1)二层冗余及负载均衡 PAGEREF _Toc408563204 h 37 HYPERLINK l _Toc408563205 2)三层冗余及负载均衡 PAGEREF _Toc408563205 h 37 HYPERLINK l _Toc408563206 3)路由冗余（OSPF） PAGEREF _Toc408563206 h 38 HYPERLINK l _Toc408563207 4)ACL访问操纵列表 PAGEREF _Toc408563207 h 39 HYPERLINK l _Toc408563208 2.接入网安全 PAGEREF _Toc408563208 h 42

9、 HYPERLINK l _Toc408563209 1)802.1x PAGEREF _Toc408563209 h 42 HYPERLINK l _Toc408563210 2)DHCP snooping PAGEREF _Toc408563210 h 44 HYPERLINK l _Toc408563211 3)Spanning-tree portfast PAGEREF _Toc408563211 h 44 HYPERLINK l _Toc408563212 3.出口安全 PAGEREF _Toc408563212 h 45 HYPERLINK l _Toc408563213 1)防火

10、墙基础配置 PAGEREF _Toc408563213 h 45 HYPERLINK l _Toc408563214 2)防火墙NAT配置 PAGEREF _Toc408563214 h 45 HYPERLINK l _Toc408563215 3)防火墙ip映射配置 PAGEREF _Toc408563215 h 45 HYPERLINK l _Toc408563216 4)防火墙IPSec配置 PAGEREF _Toc408563216 h 45 HYPERLINK l _Toc408563217 5)防火墙Qos配置 PAGEREF _Toc408563217 h 45 HYPERLIN

11、K l _Toc408563218 六、项目验收 PAGEREF _Toc408563218 h 46 HYPERLINK l _Toc408563219 七、项目总结 PAGEREF _Toc408563219 h 47需求分析用户需求分析需求分析某集团公司规模不断扩大，需要新建一个分支机构(打算有4个部门，人数分不为6、20、40、10)，小组作为该分支机构的信息治理团队，要利用现有设备为该分支机构搭建局域网基础设施，以便职员进入后，能立即利用网络开展工作。从内网安全考虑，使用VLAN技术将各部门划分到不同的VLAN中；为了提高公司的业务能力和增强企业知名度，将公司的WEB网站以及FTP、

12、Mail服务公布到互联网上。设备要求依照公司现有设备规模，业务需要及进展范围使用的计算机、网络设备要紧以H3C和CISCO产品为主，本次试验采纳锐捷设备搭建服务器需选择中高端产品。要求服务器带有磁盘列阵（RIAD5）。路由器和交换机为CISCO中档产品。防火墙为硬件+软件结构。网络布线主干采纳光纤，五类双绞线到桌面（100M）。业务需求公司主页WEB访问，外部人员查询公司信息，在线联系用户需求web访问，邮件，看新闻等等应用需求邮件服务，web服务，数据库，文件互发，查询资料，联系客户计算机平台需求部门个人计算机使用WINDOS 7系统服务器购买专用的服务设备，使用windows的server

13、系统提供服务网络需求从ISP那儿申请了一段公网IP进行互联网访问搭建局域网方便互相访问通信流量分析 LINK Excel.Sheet.8 F:企业网Book1.xlsx!Sheet1!R1C1:R7C8 a p 网络结构与分层组网规范快速以太网（Fast Ethernet）是一类新型的局域网，其名称中的“快速”是指数据速率能够达到100Mbps，是标准以太网的数据速率的十倍。快速以太网能够满足日益增长的网络数据流量速度需求。100Mbps快速以太网标准分为：100BASE-TX、100BASE-FX、100BASE-T4三个子类。快速以太网技术能够有效的保障用户在布线基础实施上的投资，它支持3

14、、4、5类双绞线以及光纤的连接，能有效的利用现有的设施。网络拓扑图图2-2 企业网拓扑图Vlan和ip地址划分LINK Excel.Sheet.8 E:企业网ip地址规划.xls!Sheet1!R1C1:R27C3 a p图2-3 vlan/ip地址规划网络设备选型6台接入交换机 LINK Excel.Sheet.8 F:企业网选型.xlsx!Sheet1!R2C1:R14C2 a p 2台汇聚层交换机 LINK Excel.Sheet.8 F:企业网选型.xlsx!Sheet1!R17C1:R29C2 a p 路由器选型，3台/接口 LINK Excel.Sheet.8 F:企业网选型.xl

15、sx!Sheet1!R32C1:R47C2 a p 防火墙 LINK Excel.Sheet.8 F:企业网选型.xlsx!Sheet1!R49C1:R57C2 a p 服务器Windows 2008无线AP LINK Excel.Sheet.8 G:企业网选型.xlsx!Sheet1!R59C1:R63C2 a p 网络搭建有线网络解决方案网络差不多配置命名hostnameRUIJIE(config)#hostname R1RUIJIE(config)#hostname R2RUIJIE(config)#hostname R3Switch(config)#hostname L3-1Switc

16、h(config)#hostname L3-2Switch(config)#hostname L2-1Switch(config)#hostname L2-2AP(config)#hostname dwxz-ap远程登录telnetR1(config)#line vty 0 4/进入VTY端口R1(config-line)#password ruijie/设置telnet密码R1(config-line)#login/同意telnet登录R1(config)#enable secret 0 ruijie/设置特权模式密码为ruijie图4-1-1-b 路由器telnet登陆Tftp图4-1-1

17、-c 打开tftp服务器，猎取ip地址R1#copy startup-configtftpAddress of remote host ?Destination filename config.text?zhangjq.txt核心层网络设计（路由器）端口ipR1(config)#interface FastEthernet 0/0/进入接口0/0R1(config-if)#ip address 3 52/配置ip地址R1(config)#interface FastEthernet 0/1R1(config-if)#ip address 52R1(config)#interface FastE

18、thernet 0/2R1(config-if)#ip address 52图4-1-2-a 路由器R1端口ip配置图4-1-2-a 路由器R2端口ip配置图4-1-2-a 路由器R3端口ip配置治理ip配置R1(config)#interface loopback 1/进入环回接口R1(config-if-Loopback 1)#ip address 55/配置治理ip地址R1(config)#interface loopback 1R1(config-if-Loopback 1)#ip address 55R1(config)#interface loopback 1R1(config-i

19、f-Loopback 1)#ip address 55图4-1-2-b R1配置治理ip图4-1-2-b R2配置治理ip图4-1-2-b R3配置治理ipOspf配置R1(config)#router ospf 1/启动ospf进程号1R1(config-router)#network area 0/公布网段R1(config-router)#network area 0R1(config-router)#network area 0R1(config-router)#network 2 area 1图4-1-2-c 路由器R1ospf配置图4-1-2-c 路由器R2ospf配置图4-1-2

20、-c 路由器R3ospf配置汇聚层网络设计Vlan配置L3-1(config)#vlan 10/创建vlanL3-1(config-vlan)#vlan 20L3-1(config-vlan)#vlan 30L3-1(config-vlan)#vlan 40L3-1(config-vlan)#vlan 50L3-1(config-vlan)#vlan 60L3-1(config-vlan)#vlan 100图4-1-3-a L3-1创建vlan图4-1-3-a L3-2创建vlan端口ip/VlanipL3-1(config)#interface GigabitEthernet 0/25/进入

21、接口L3-1(config-if)#no switchport/关闭交换功能L3-1(config-if)#ip address 4 52/配置ip地址图4-1-3-b L3-1gi0/25配置ip图4-1-3-b L3-2gi0/25配置ipL3-1(config)#interface vlan 10/进入vlan 10L3-1(config-if)#ip address 52 /配置ip地址L3-1(config)#interface vlan 20L3-1(config-if)#ip address 52 L3-1(config)#interface vlan 30L3-1(config

22、-if)#ip address 52 L3-1(config)#interface vlan 40L3-1(config-if)#ip address 52 L3-1(config)#interface vlan 50L3-1(config-if)#ip address 52 L3-1(config)#interface vlan 60L3-1(config-if)#ip address 52 L3-1(config)#interface vlan 100L3-1(config-if)#ip address 01 28图4-1-3-b L3-1各vlan配置ip图4-1-3-b L3-2各vl

23、an配置ip治理ip配置L3-1(config)#interface loopback 1/进入环回接口L3-1(config-if-Loopback 1)#ip address 55/配置治理ip地址图4-1-3-c L3-2配置治理ip图4-1-3-c L3-2配置治理ipDHCP中继L3-1(config)#service dhcp/启动dhcp服务L3-1(config)#ip helper-address /指定dhcp中继转发的目标ip地址图4-1-3-d L3-1DHCP中继配置图4-1-3-d L3-2DHCP中继配置MSTP配置L3-1(config)#spanning-tr

24、ee/启动生成树L3-1(config)#spanning-tree mode mstp/设置生成树模式为多生成树mstpL3-1(config)#spanning-tree mst configuration/进入生成树配置模式L3-1(config-mst)#instance 1 vlan 10，20，60，100/把vlan10，20，60，100添加到组1L3-1(config-mst)#instance 2 vlan 30，20，50L3-1(config)#spanning-tree mst 1 priority 4096/设置组2优先级为4096，作为主L3-1(config)#

25、spanning-treeL3-1(config)#spanning-tree mode mstpL3-1(config)#spanning-tree mst configurationL3-1(config-mst)#instance 1 vlan 10，20，60，100L3-1(config-mst)#instance 2 vlan 30，20，50图4-1-3-e L3-1mstp配置图4-1-3-e L3-2mstp配置图4-1-3-e L2-1mstp配置图4-1-3-e L2-2mstp配置二层链路聚合L3-1(config)#interface AggregatePort1/创

26、建组1L3-1(config-if)#switchport mode trunk/设置组的模式为trunkL3-1(config-if)#interface FastEthernet0/23/进入三层交换机间互连接口L3-1(config-if)#port-group 1/把接口添加到组中L3-1(config-if)#interface FastEthernet0/24L3-1(config-if)#port-group 1图4-1-3-f L3-1配置链路聚合图4-1-3-f L3-2配置链路聚合Vrrp配置L3-1(config)#interface vlan 10/进入vlan 10L

27、3-1(config-vlan)#vrrp 1 ip 54/配置vrrp组1虚拟ipL3-1(config-vlan)#vrrp 1 priority 101/配置vrrp优先级L3-1(config-vlan)#vrrp 1 preempt/配置抢占L3-1(config-vlan)#vrrp 1 track GigabitEthernet 0/25/设置跟踪的上行口L3-1(config)#interface vlan 20L3-1(config-vlan)#vrrp 1 ip 54L3-1(config-vlan)#vrrp 1 priority 101L3-1(config-vlan)

28、#vrrp 1 preemptL3-1(config-vlan)#vrrp 1 track GigabitEthernet 0/25L3-1(config)#interface vlan 30L3-1(config-vlan)#vrrp 1 ip 54L3-1(config-vlan)#vrrp 1 preemptL3-1(config-vlan)#vrrp 1 track GigabitEthernet 0/25L3-1(config)#interface vlan 40L3-1(config-vlan)#vrrp 1 ip 54L3-1(config-vlan)#vrrp 1 preemp

29、tL3-1(config-vlan)#vrrp 1 track GigabitEthernet 0/25L3-1(config)#interface vlan 50L3-1(config-vlan)#vrrp 1 ip 54L3-1(config-vlan)#vrrp 1 preemptL3-1(config-vlan)#vrrp 1 track GigabitEthernet 0/25L3-1(config)#interface vlan 60L3-1(config-vlan)#vrrp 1 ip 54L3-1(config-vlan)#vrrp 1 priority 101L3-1(con

30、fig-vlan)#vrrp 1 preemptL3-1(config-vlan)#vrrp 1 track GigabitEthernet 0/25L3-1(config)#interface vlan 100L3-1(config-vlan)#vrrp 1 ip 54L3-1(config-vlan)#vrrp 1 priority 101L3-1(config-vlan)#vrrp 1 track GigabitEthernet 0/25图4-1-3-g L3-1配置vrrp图4-1-3-g L3-2配置vrrpOspf配置L3-1(config)#router ospf 1/启动osp

31、f进程号1L3-1 (config-router)#network area 1/公布网段L3-1(config-router)#network 28 27 area 1L3-1(config-router)#network 2 area 1L3-1(config-router)#network 55 area 1L3-1(config-router)#network 55 area 1L3-1(config-router)#network 55 area 1L3-1(config-router)#network 55 area 1L3-1(config-router)#network 55

32、area 1L3-1(config-router)#network 55 area 1图4-1-3-h L3-1配置ospf图4-1-3-h L3-1配置ospf接入层网络设计Vlan配置L2-1(config)#vlan 10/创建vlanL2-1(config-vlan)#vlan 20L2-1(config-vlan)#vlan 30L2-1(config-vlan)#vlan 40L2-1(config-vlan)#vlan 50L2-1(config-vlan)#vlan 60L2-1(config-vlan)#vlan 100图4-1-4-a L2-1创建vlan图4-1-4-a

33、L2-2创建vlan治理ip配置L2-1(config)#interface vlan100L2-1(config-vlan)#ipaddress 04 28图4-1-4-b L2-1配置治理ip图4-1-4-b L2-2配置治理ip无线网络解决方案有线网络连接dwxz-ap(config)#interface GigabitEternet 0/1/进入物理接口gi0/1dwxz-ap(config-if-GigabitEternet 0/1)#encapsulation dot1Q 50/封装vlan50dwxz-ap(config-if-GigabitEternet 0/1)#interf

34、ace dot11 radio 1/0/进入无线设备虚拟接口1/0dwxz-ap(config-if-Dot11radio 0/1)#encaosulation dot1Q 50/封装vlan50dwxz-ap(config-if-Dot11radio 0/1)#mac-mode fat/设置ap模式为胖APdwxz-ap(config-if-Dot11radio 0/1)#chanel 11/设置信道为11dwxz-ap(config-if-Dot11radio 0/1)#wlan-id 1/设置wlan-id是1dwxz-ap(config-if-Dot11radio 0/1)#ip ro

35、uter 54/配置默认路由图4-2-1 无线网络的有线网络连接无线连接配置dwxz-ap(config)#dot11 wlan 1/创建wlan，协议为802.11dwxz-ap(dot11-wlan-config)#vlan 50/关联vlan50dwxz-ap(dot11-wlan-config)#broadcast-ssid/广播ssiddwxz-ap(dot11-wlan-config)#ssid dwxz.5/ssid命名图4-2-2无线网络的无线连接配置治理ip配置dwxz-ap(config)#interface BVI 50/进入BVI配置治理ipdwxz-ap(config

36、-if-BVI 50)#ip address 50 图4-2-3无线网络的BVI配置管ip无线安全图4-2-4无线网络的无线安全配置数据中心解决方案（服务器搭建）DHCP服务器图4-3-1 DHCP地址池图4-3-1 DHCP作用域图4-3-1 DHCP地址租用WEB服务器图4-3-2 添加网站图4-3-2 web扫瞄FTP服务器图4-3-3 ftp登陆图4-3-3 ftp上传下载DNS服务器图4-4-4 正向查找区域图4-4-4 反向查找区域图4-4-4 条件转发器Radius服务器图4-4-5 Radius客户端配置图4-4-5配置连接请求策略图4-4-5创建用户和组图4-4-5添加验证用

37、户组图4-4-5 认证成功网络安全设计骨干网安全二层冗余及负载均衡MSTP(Multi-Service Transfer Platform)(基于SDH的多业务传送平台)是指基于SDH平台同时实现TDM、ATM、以太网等业务的接入、处理和传送，提供统一网管的多业务节点。多生成树协议MSTP（Multiple Spanning Tree Protocol）是IEEE 802.1s中定义的一种新型生成树协议。简单讲来，STP/RSTP是基于端口的，PVST是基于VLAN的，而MSTP是基于实例的。与STP/RSTP和PVST+相比，MSTP中引入了“实例”（Instance）和“域”(Region

38、) “的概念。“实例”确实是多个VLAN的一个集合，这种通过多个VLAN捆绑到一个实例中去的方法能够节约通信开销和资源占用率。三层冗余及负载均衡虚拟路由冗余协议(Virtual Router Redundancy Protocol，简称VRRP)是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议，1998年已推出正式的RFC2338协议标准。VRRP广泛应用在边缘网络中，它的设计目标是支持特定情况下IP数据流量失败转移可不能引起混乱，同意主机使用单路由器，以及及时在实际第一跳路由器使用失败的情形下仍能够维护路由器间的连通性。监视上行端口ge0/25，当上行接口关闭，主动降低优

39、先级。图5-1 MSTP+VRRP路由冗余（OSPF）OSPF(Open Shortest Path First HYPERLINK /view/1238699.htm t _blank 开放式最短路径优先）是一个 HYPERLINK /view/706465.htm t _blank 内部网关协议(Interior Gateway Protocol，简称IGP），用于在单一 HYPERLINK /view/2663.htm t _blank 自治系统（autonomous system,AS）内决策 HYPERLINK /view/18655.htm t _blank 路由。是对 HYPER

40、LINK /view/67350.htm t _blank 链路状态路由协议的一种实现，隶属 HYPERLINK /view/706465.htm t _blank 内部网关协议（IGP），故运作于 HYPERLINK /view/2663.htm t _blank 自治系统内部。图5-1-3 开放式最短路径优先ACL访问操纵列表L3-1(config)#access-list 1 deny 55/创建访问操纵列表拒绝网段访问L3-1(config)#access-list 1 deny 55L3-1(config)#access-list 1 deny 55L3-1(config)#acce

41、ss-list 1 deny 55L3-1(config)#access-list 1 permit anyL3-1(config)#interface vlan 10L3-1(config-vlan)#ip access-group 1 out/把访问操纵列表应用到vlan10L3-1(config)#access-list 2 deny 55L3-1(config)#access-list 2 deny 55L3-1(config)#access-list 2 deny 55L3-1(config)#access-list 2 deny 55L3-1(config)#access-list

42、 2 permit anyL3-1(config)#interface vlan 20L3-1(config-vlan)#ip access-group 2 outL3-1(config)#access-list 3 deny 55L3-1(config)#access-list 3 deny 55L3-1(config)#access-list 3 deny 55L3-1(config)#access-list 3 deny 55L3-1(config)#access-list 3 permit anyL3-1(config)#interface vlan 30L3-1(config-vla

43、n)#ip access-group 3 outL3-1(config)#access-list 4 deny 55L3-1(config)#access-list 4 deny 55L3-1(config)#access-list 4 deny 55L3-1(config)#access-list 4 deny 55L3-1(config)#access-list 4 permit anyL3-1(config)#interface vlan 40L3-1(config-vlan)#ip access-group 4 outL3-1(config)#access-list 5 deny 55

44、L3-1(config)#access-list 5 deny 55L3-1(config)#access-list 5 deny 55L3-1(config)#access-list 5 deny 55L3-1(config)#access-list 5 permit anyL3-1(config)#interface vlan 50L3-1(config-vlan)#ip access-group 5 out图5-1-4 L3-1配置标准访问操纵列表图5-1-4 L3-2配置标准访问操纵列表接入网安全802.1xL2-1(config)#aaa new-model/启动aaa服务L2-1(

45、config)#aaa authentication dot1x default group radius/认证802.1x，启用默认列表default，采纳radius认证方式L2-1 (config)#dot1x authentication default/启用default列表应用L2-1(config)#radius-server host /配置radius服务器地址L2-1(config)#radius-server key 123456/设置交换机和服务器之间的密码L2-1 (config)#dot1x auth-mode chap/身份验证的加密方式改为chapL2-1 (config)#interface range fa0/