网络详细规划及配置

第四章网络详细规划与配置4.1网络环境搭建在企业网络建立中，要根据企业的实际情况搭建网络拓扑图，并且要充分考虑到企业开展所带的网络变化，要网络设计时就应该把这些因素考虑在内，以便所建立的网络能满足企业未来开展的要求。企业环境假设企业现有网管中心、财务部、人力资源部、市场部、研发部、保安部、生产部、综合管理部等局部，分在三个楼层里，其中，网管中心、财务部、人力资源部、综合管理部在三楼，市场部和研发部在二楼、保安部和生产部在一楼；企业开展迅速，有可能在将来增加其它的办公场所，要求根据这些情况设计一个符合企业需要并能适合企业开展的网络。网络拓扑

根据企业的情况，将核心交换机、出口路由器和企业效劳器放在网管中心，各个楼层有一个会聚交换机作为每个楼层的网络出口，并能过线缆连接到网管中心的核心交换2CE.101.0.11/24vlanSOylanSOvlartBOvlan40vlan50□17216.1.^24202.101CL诗Server-PIrurpSer\e--PTISP-Web"匸njGwLlIiuFC-1!ZOZ.lOl.O.lZ/Z^vlan70ul-C-l-l/24 /24/24vlan20口之n2CE.101.0.11/24vlanSOylanSOvlartBOvlan40vlan50□17216.1.^24202.101CL诗Server-PIrurpSer\e--PTISP-Web"匸njGwLlIiuFC-1!ZOZ.lOl.O.lZ/Z^vlan70ul-C-l-l/24 /24/24vlan20口之nPC町 PC-PTP"-P-则另部 人力盘遁部炽呂管理郡29二捜24Web17?,1^..：Sene.p-T202.131.03,2^FTP/24PC-^T：4PS*K2011

出」珞出帶PC-P'生产剖FC-PT机上；核心交换机通过路由器连接Internet。根据这些情况设计的网络拓扑图如下:4.2网络协议与技术选择在交换型的网络当中，特别是大中型网络当中，由于计算机较多，出现故障变大，排除网络故障的难度更随之加大，这给网络管理和网络优化带来很大的困难。所以在网络设计中，如果采用现有的技术，进一步提高网络的性能，是网络设计者和网络管理者都必须考虑的问题。在现在的企业网络当中，比拟广泛的一个方法就是采用VLAN技术，把一个大的网络逻辑上划分成假设干个相对较小的网络，这样有助网络的管理，也有利于网络性能的提高。在路由器上可采用的路由选择协议也很多，有中小型网络使用的静态路由、RIP路由，也有大中型网络使用的OSPF协议。在众多的网络路由协议当中，要选择出一个适合现实的、又便于管理的协议。在企业网络建立过程或者网络扩展当中，由于各种原因，一般情况下不可能全部使用同一个厂商的设备，这时候，在路由协议上就应该选择大局部设备的支持的通用的协议，而要尽量防止使用一些厂商私有的协议。在本网络当中，内部VLAN间采用了比拟通用的OSPF动态协议，并且在网络出口上使用静态路由〔缺省路由〕。静态路由协议静态路由是指由网络管理员手工配置的路由信息。当网络的拓扑构造或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。缺省路由是静态路由的一种，也是由管理员设置的。在没有找到目标网络的路由表项时，路由器将信息发送到缺省路由器。在出口路由器我们经常需要使用这种路由协议，当企业网内访问的目标是非内部地址时，缺省路由就将它转发到ISP处，由ISP的路由器再进展转发处理，并最终到达目标网络。OSPF动态路由协议OSPF作为一种内部网关协议，用于在同一个自治域〔AS〕中的路由器之间发布路由信息。区别于距离矢量协议(RIP)，OSPF具有支持大型网络、路由收敛快、占用网络资源少、无跳数限制等优点，同时它是一种通用的协议，市场上的路由器都支持它，所以它在网络中被广泛的采用。423NAT技术随着Internet的迅速开展，IP地址短缺已成为一个十分突出的问题。为了解决这个问题，出现了多种解决方案。下面介绍一种在目前网络环境中比拟有效的方法，即地址转换(NAT)功能。NAT通过将专用网络地址转换为公用地址，从而对外隐藏了内部管理的IP地址。这样，通过在内部使用非注册的IP地址，并将它们转换为一小局部外部注册的IP地址，从而减少了IP地址注册的费用以及节省了目前越来越缺乏的地址空间〔即IPV4〕。同时，这也隐藏了内部网络构造，从而降低了内部网络受到攻击的风险。1、 NAT的类型NAT分为三种类型：静态NAT〔statiAT〕、NAT池〔pooledNAT〕和端口NAT〔PAT〕。其中静态NAT将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址，而NAT池那么是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络，端口NAT那么是把内部地址映射到外部网络的一个IP地址的不同端口上。2、 NAT的优点：•对于那些家庭用户或者小型的商业机构来说，使用NAT可以更廉价，更有效率地接入Internet。•使用NAT可以缓解目前全球IP地址缺乏的问题。•在很多情况下，NAT能够满足平安性的需要。•使用NAT可以方便网络的管理，并大大提高了网络的适应性。3、 NAT的缺点•NAT会增加延迟,因为要转换每个数据包XX的IP地址，自然要增加延迟。NAT会使某些要使用内嵌地址的应用不能正常工作。424ACLs技术大局部企业现在存在一种状况，就是网络访问无序的状态。如所有公司的员工都可以随意反问财务部门的电脑；如在开公司的视频会议的时候，其他员工下载电影或者游戏浪费了珍贵的带宽，导致视频会议不怎么连贯；如为了管理的方便，大开Telnet端口，对于这个威胁视假设无睹，等等。在实际应用当中，我们可以通过访问控制列表来对网络的访问进制一些适当的限制。4.2.5VLAN技术VLAN是英文VirtualLocalAreaNetwork的缩写，即虚拟局域网。一方面，VLAN建立在局域网交换机的根底之上；另一方面，VLAN是局域交换网的灵魂。这是因为通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。这样，网络管理员就能从逻辑上对用户和网络资源进展分配，而无需考虑物理连接方式。VLAN充分表达了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。VLAN并不局限于某一网络或物理X围，VLAN中的用户可以位于一个园区的任意位置，甚至位于不同的国家。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络开展的潮流。VLAN具有以下优点：1、 控制网络的播送风暴采用VLAN技术，可将某个交换端口划到某个VLAN中，而一个VLAN的播送风暴不会影响其它VLAN的性能。2、 确保网络平安. .word..共享式局域网之所以很难保证网络的平安性，是因为只要用户插入一个活动端口，就能访问网络。而VLAN能限制个别用户的访问，控制播送组的大小和位置，甚至能锁定某台设备的MAC地址，因此VLAN能确保网络的平安性。3、简化网络管理网络管理员能借助于VLAN技术轻松管理整个网络。例如需要为完成某个工程建立一个工作组网络，其成员可能普及全国或全世界，此时，网络管理员只需设置几条命令，就能在几分钟内建立该工程的VLAN网络，其成员使用VLAN网络，就像在本地使用局域网一样。4.3网络地址规划在网络设计时，做好网络地址的选择与规划是非常重要的一个环节，网络地址的规划是否合理直接影响到网络的使用和网络的扩展。1、企业从ISP申请到一个公网IP：/28，主要用于连接外网和局部效劳器使用。其分配如下表所示：部门子网子网掩码出口路由器F0/140Web效劳器40FTP效劳器402、IP地址的选择目前，在网络上使用的IP地址主要有三类：A类、B类和C类，而这三类IP址址又分为注册地址和非注册地址，注册地址用于Internet上使用，而非注册地址〔即私有地址〕用于组织机构内部使用。三类IP都有私有地址，在做网络设计时要根据企业的网络情况进展选择。其中，A类私有地址X围为—55，能容纳1亿多个主机；B类私有地址X围为--55,能容纳6万多个主机；C类私有地址为--55，每个网络能容纳254个主机。根据企业的规模，我们选择了B类地址/16作为企业网络的地址。3、IP子网划分为提高网络的性能，在企业内使用VLAN技术，这就需要对所选的网络进展子网划分。为了便于管理，每个局部都分配一个单独的子网。所以该企业子网划分的情况、子网分配以及VLAN分配情况如下表所示：子网划分与子网分配表部门子网子网掩码对应VLAN网管中心vlan1财务部vlan20人力资源部vlan30综合管理部vlan40市场部vlan50研发部vlan60保安部vlan70生产部vlan80核心一出口路由器

4、VLAN划分在核心交换机和会聚层交换机上划分VLAN,并分配相应端口，具体如下表所示:核心交换机与会聚层交换机VLAN划分表交换机VLAN端口核心交换机vlanlF0/1(T)、F0/2(T)、F0/3(T)、F0/4-23vlan20F0/1(T)、F0/2(T)、F0/3(T)vlan30F0/1(T)、F0/2(T)、F0/3(T)vlan40F0/1(T)、F0/2(T)、F0/3(T)vlan50F0/1(T)、F0/2(T)、F0/3(T)vlan60F0/1(T)、F0/2(T)、F0/3(T)vlan70F0/1(T)、F0/2(T)、F0/3(T)vlan80F0/1(T)、F0/2(T)、F0/3(T)—楼会聚交换机vlanlF0/24(T)、F0/2(T)、F0/3(T)、F0/9-23vlan70F0/24(T)、F0/2(T)、F0/3(T)、F0/1-4vlan80F0/24(T)、F0/2(T)、F0/3(T)、F0/5-8二楼会聚交换机vlanlF0/24(T)、F0/2(T)、F0/3(T)、F0/9-23vlan50F0/24(T)、F0/2(T)、F0/3(T)、F0/1-4vlan60F0/24(T)、F0/2(T)、F0/3(T)、F0/5-8

三楼会聚交换机vlanlF0/24(T)、F0/2(T)、F0/3(T)、F0/13-23vlan20F0/24(T)、F0/2(T)、F0/3(T)、F0/1-4vlan30F0/24(T)、F0/2(T)、F0/3(T)、F0/5-8vlan40F0/24(T)、F0/2(T)、F0/3(T)、F0/9-125、网络设备与测试主机地址分配在网络规划完成后，就可以对各个网络设备和测试主机分配IP地址，在此网络中,IP地址分配如下。设备、效劳器与VLAN的IP分配表接口或VLANIP地址子网掩码对应VLAN核心交换机F0/24路由器F0/0路由器F0/040—楼会聚交换机管理IP01二楼会聚交换机管理IP02三楼会聚交换机管理IP03vlanlvlan1vlan20vlan20vlan30vlan30vlan40vlan40vlan50vlan50vlan60vlan60

vlan70vlan70vlan80vlan80Web效劳器vlan1FTP效劳器vlan1DHCP效劳器vlan1测试主机IP分配表部门IP地址子网掩码网关财务部00人力资源部172.163100综合管理部172.164100市场部00研发部00保安部00生产部006、效劳器私有地址与公网地址对照表效劳器私有地址子网掩码公网地址Web效劳器FTP效劳器4.4设备配置核心交换机配置核心交换机用于连接出口路由器、各会聚层交换机，在该交换机上主要配置VLAN,VLAN路由以及与出口路由器通信的OSPF路由协议。1、 配置交换机设备名称、远程登录口令和特权口令configureterminalhostnamehexinlinevty016passwordciscologinexitenablesecretciscoend2、 配置VLAN并分配端口configureterminalvlan10exitinterfaceFastEthernet0/23switchportacessvlan10exitvlan20exitvlan30exitvlan40exitvlan50exitvlan60exitvlan70exitvlan80end3、设置与会聚层交换机相连接口的接口模式configureterminalinterfaceFastEthernet0/1switchportmodetrunkexitinterfaceFastEthernet0/2switchportmodetrunkexitinterfaceFastEthernet0/3switchportmodetrunkexit4、配置各个vlan的IP,即各网段的网关configureterminalinterfacevlan1ipaddressnoshutdownexitinterfacevlan20ipaddressnoshutdownexitinterfacevlan30ipaddressnoshutdownexitinterfacevlan40ipaddressnoshutdownexitinterfacevlan50ipaddressnoshutdownexitinterfacevlan60ipaddressnoshutdownexitinterfacevlan70ipaddressnoshutdownexitinterfacevlan80ipaddressnoshutdownend5、配置与出口路由器相连的接口为路由器，并配置IP地址configureterminalinterfaceFastEthernet0/24noswitchportipadderssnoshutdownend6、配置OSPF路由协议configureterminalrouterospf1network55area0end会聚层交换机配置会聚层交换机主要是配置VLAN,并将相应端口分配到VLAN中；为了方便远程管理,会聚层交换机也必须需要远程登录口令、特权口令和远程管理IP。1、一楼会聚交换机：该交换机连接着生产部和保安部两个部门，在该交换机上配置两个vlan，并分配相应的端口。〔1〕配置交换机设备名称、远程登录口令、特权口令和远程管理IP。configureterminalhostname1Loulinevty016passwordciscologinexitenablesecretciscointerfacevlan1ipaddress01noshutdownend〔2〕配置vlan，并分配端口configureterminalvlan70exitinterfacerangefastEthernet0/1-4switchportacessvlan70exitvlan80exitinterfacerangefastEthernet0/5—8vlan80end〔3〕配置与核心交换机相连的端口为trunkconfigureterminalinterfacefastEthernet0/24switchportmodetrunkend2、二楼会聚交换机：该交换机连接着市场部和研发部两个部门，在该交换机上配置两个vlan，并分配相应的端口。〔1〕配置交换机设备名称、远程登录口令、特权口令和远程管理IP。configureterminalhostname2Loulinevty016passwordciscologinexitenablesecretciscointerfacevlan1ipaddress02noshutdownend〔2〕配置vlan，并分配端口configureterminalvlan50exitinterfacerangefastEthernet0/1-4switchportacessvlan50exitvlan60exitvlan60end〔3〕配置与核心交换机相连的端口为trunkconfigureterminalinterfacefastEthernet0/24switchportmodetrunkend3、三楼会聚交换机：该交换机连接着财务部、人力资源部和综合管理部三个部门，在该交换机上配置三个vlan，并分配相应的端口。该交换机连接着生产部和保安部两个部门，在该交换机上配置两个vlan，并分配相应的端口。〔1〕配置交换机设备名称、远程登录口令、特权口令和远程管理IP。configureterminalhostname3Loulinevty016passwordciscologinexitenablesecretciscoipaddress03noshutdownend〔2〕配置vlan，并分配端口configureterminalvlan20exitinterfacerangefastEthernet0/1-4switchportacessvlan20exitvlan30exitinterfacerangefastEthernet0/5-8vlan40exitinterfacerangefastEthernet0/9一12vlan40end〔3〕配置与核心交换机相连的端口为trunkconfigureterminalswitchportmodetrunkend出口路由器配置出口路由器主要是实现内网与Internet网的路由NAT转换，实现内网访问Internet。为了实现该路由器与核心交换机的通信，在出口路由器配置OSPF协议；并配置缺省路由，实现内外网的访问；配置访问控制列表，控制外网对内网的访问。1、配置设备名称、特权口令和远程登录口令configureterminalhostnameChuKoulinevty015passwordciscologinexitenableenablesecretcisco2、配置路由器接口IP地址configureterminalinterfaceFastEthernet0/0ipaddressnoshutdownexitinterfaceFastEthernet0/1ipaddressnoshutdownend3、配置OSPF路由协议configureterminalrouterospf1network55area0end4、 配置缺省路由，并向OSPF注入缺省路由configureterminaliprouteFastEthernet0/1routerospf1default-informationoriginateend5、 配置动态PAT转换，将内网私有地址转换成公网合法IP〔1〕配置转换的地址X围configureterminalipaccess-liststandard1permit55end2〕配置PATconfigureterminalipnatinsidesourcelist1interfaceFastEthernet0/1overloadend〔3〕配置内网端口与外网端口configureterminalinterfaceFastEthernet0/0ipnatinsideexitinterfaceFastEthernet0/1ipnatoutsideend6、配置静态NAT,实现外网访问内网的Web效劳器和FTP效劳器configureterminalipnatinsidesourcestaticipnatinsidesourcestaticend6、配置访问控制列表，并应用在外网接口上configureterminalipaccess-listextendedFangWenNeiWangpermittcpany55establishedpermittcpanyhosteqpermittcpanyhosteqftppermittcpanyhosteq20permiticmpanyhostpermiticmpanyhostdenytcpanyanydenyicmpany55permiticmpanyanypermitipanyanyexitinterfaceFastEthernet0/1ipaccess-groupFangWenNeiWanginend4.5企业效劳器配置在企业中，为方便网络管理或要实现企业的电子办公系统、企业电子商务，都必须建立相应的效劳器。在这里，给里DHCP效劳器的配置，而其它效劳器那么可以根据企业需要再另行安装、配置与调试。DHCP效劳器配置在一个企业中，由于计算机数量较多，计算机使用者水平参差不齐，如果所有计算机的IP地址全部由手工指定，将是一个工作量非常大的事，而且给网络管理带来很大的麻烦。因此，有必要在企业内部建立DHCP效劳器，所有客户机的IP全部为自动从DHCP上获取，这样可以大减少管理员的工作量。

在本企业网络中，由于划分了假设干个子网，那么在DHCP效劳器上就必须为每个子网创立相应的DHCP作用域，以保证每个子网都能自动获取IP。1、新建DHCP作用域，并指定作用域的名称。由于需要创立多个作用域，一个作用域对应一个子网，为方便识别，这里使用子网号作为作用域的名称。2、指定作用域可分配的IP地址X围3、设置排队X围4、设置租约期限期祖约列覘相旳期艰抬宦y—'T■害户端从此仕用最便用if也址的时间畑-担询田陀