企业网络规划方案设计与实现-常规实训报告

常规实训报告专业班级:学号:座号:姓名：目录1课程设计的目的及要求 21.1 设计目标 21.2设计依据 21.2.1可行性分析 21.2.2客户需求分析 31.3设计意义 42网络拓扑结构及说明 52.1网络拓扑结构图 52.2网络拓扑说明 63网络解决方案 73.1IP地址分配与子网划分方案 74企业网中设备主要配置命令 84.1接入层交换机在cisco环境下的配置 84.2汇聚层交换机在cisco环境下的配置 144.3路由器在cisco环境下的配置 184.4各服务器在cisco环境下的配置 234.4.1配置FTP服务器 234.4.2配置DNS服务器 254.4.3配置DHCP服务器 274.4.4配置WEB服务器 295测试结果 316设计心得 407参考文献 41企业网络规划方案设计与实现摘要在信息技术迅猛发展的今天，网络技术已经渗透到各行各业，它带来了大量的新知识、新技术，彻底改变了我们日常生活及工作方式。它开阔了人们的眼界，使工作及生活的效率得以提高，网络技术的迅猛普及最终将使我们受益匪浅，使我们以全新的理念及高效率的工作方式迎接新技术革命的挑战。本文以网络工程设计与规划为题，阐述了如何规划与设计一个大中型网络的具体实现步骤，通过网络需求收集以及对网络层次、拓扑、地址、路由、安全等方面进行分析为最终的网络设计方案构建提供决策的依据。

关键字：网络层次、地址规划、安全管理。1课程设计的目的及要求设计目标将公司网络分为三大部分，分别是公司内网、信息管理中心、Internet部分。根据公司的需求，划分vlan及子网。同时利用VTP技术，实现VLAN信息的同步。公司的所有PC都是通过DHCP服务器来自动获取ip及相关配置信息。DHCP服务器的IP地址为固定IP。出于安全考虑，除财务部不允许与其它部门访问外，其它部门之间要求能够相互访问，并且能够访问Internet,财务部和人事部不允许连接到Internet。由于该企业有上Internet的需求，因此要求网络中要部署WEB和DNS服务器，为了方便企业内部员工资源共享，需要在网络中部署FTP服务器。要求该企业网，能够实现无线网络的覆盖，使得公司的PC可以通过无线接入点（AP）接入公司网络。1.2设计依据1.2.1可行性分析企业网的特点决定了网络系统必须要有实用与经济性。实用性使得网络便于管理、维护，以减少网络使用人员运用网络的难度，从而降低人为操作引起的网络故障，并使更多的人掌握网络的使用。应根据企业的实际情况，由于企业的建设资金有限，所以一般都要求网络具有较高的性能和较低的成本，所以在组建企业网时一定要使用性价比高的网络技术和网络设备，以节约建设资金。一个企业在组建网络时，必须根据自己的实际需要选择适当而又实用的设备，组建一个能够完全满足企业需要的新型、全面性的网络，以实现企业发展的信息化。那么，如何才能使企业建网比较经济呢？当然配置设备是主要的耗资方向。但是，对于设备的选择要结合方案的选择进行。如果没有适当的配置方案使得组建的网络有更高的性能，而且还不能降低成本，实现经济性。所以，首先要根据企业的资源情况画出网络拓扑结构图，再根据拓扑结构图选择最优方案，配备各种网络设备。只有通过综合分析、考虑才能节约建设资金，实现经济性原则。本企业网网络系统的设计采用层次化的设计方法，即核心层、汇聚层和接入层三层结构。对于整个网络来说，都是采用树形结构布线，实现对网络的层次化管理，并使用CiscoPacketTracer进行模拟测试其可行性。1.2.2客户需求分析根据企业提出需求，进行分析，最终将采取以下方案解决企业需求：

申请一个100M的带宽，以满足各部门计算机访问Internet：

申请2个公网IP：一个分配给Internet接入路由器的串行接口，另一个用作NAT；

购买一台路由器一台核心交换机和七台交换机以实现企业内部各部门之间的网络和连接到Internet；

将各部门划分在不同的VLAN；

FTP服务器，WEB服务器，DNS服务器分配为一个VLAN下与核心交换机连接，置于管理机房，方便管理，同时配置ACL控制各部门访问权限；

在路由器上配置

VPN，以实现出差工作人员及在家办公人员远程访问企业内部资源及数据交换。1.3设计意义随着全球经济一体化和市场经济、信息时代的快速发展，世界范围内的各行各业的发展越来越离不开办公自动化和互联网技术，特别是国际互联网的迅速发展，使得世界经济瞬息万变。同时，网站与上网人数的急剧增加，也使得人们开发并利用网络资源成为可能，为中国现阶段的经济发展提供难得的商业锲机。市场竞争日益激烈，为了及时、准确的获取第一手信息，提高公司运作效率，有效降低公司运营成本已经越来越被企业家们所认识，企业家们迫切需要提高公司的竞争力，实现公司信息化，网络无疑为他们提供了一个很好的解决手段。因此，企业必须建立自己的网络，来满足这些需求。2网络拓扑结构及说明2.1网络拓扑结构图2.2网络拓扑说明该公司网络分为三大部分，分别是公司内网、信息管理中心、Internet部分。根据公司的需求，划分vlan及子网。同时利用VTP技术，实现VLAN信息的同步。（VLAN技术，VTP技术）公司的所有PC都是通过DHCP服务器来自动获取ip及相关配置信息。DHCP服务器的IP地址为固定IP。（DHCP服务器配置与DHCP-RELAY）除财务部不允许与其它部门访问外，其它部门之间要求能够相互访问，并且能够访问Internet,财务部和人事部不允许连接到Internet。(NAT，ACL)由于该企业有上Internet的需求，因此要求网络中要部署WEB和DNS服务器，为了方便企业内部员工资源共享，需要在网络中部署FTP服务器。（WEB、WEB、FTP服务器配置）要求该企业网，能够实现无线网络的覆盖，使得公司的PC可以通过无线接入点（AP）接入公司网络。优化交换机上的生成树。（采用RSTP）3网络解决方案3.1IP地址分配与子网划分方案部门名称VLAN名称VLANIDIP地址取值范围VLANSVIip地址研发部Yanfa10-5354生产部Shengchan20-5354销售部Xiaoshou30-5354客户部Kehu40-5354人事部Renshi50-5354财务部Caiwu60-5354信息管理中心Xinguan70-（静态）544企业网中设备主要配置命令4.1接入层交换机在cisco环境下的配置实现功能将各部门PC划入对应vlanVlan信息同步配置命令SW1配置：Switch>enSwitch#conftSwitch(config)#hostSW1SW1(config)#vtpmodeclient//设置为VTP客户端SW1(config)#vtpdomainzhouhang//vtp域名为zhouhangSW1(config)#vtppasswordvinhans//vtp密码为vinhansSW1(config)#intf0/2SW1(config-if)#swmotr//f0/2启用trunk模式SW1(config-if)#intf0/1SW1(config-if)#swmoacc//f0/1启用access模式SW1(config-if)#swaccvlan10//将接口f0/2划入vlan10SW1(config-if)#exitSW1(config)#spanning-treemoderapid-pvst//启用RSTPSW2配置：Switch>enSwitch#conftSwitch(config)#hostSW2Switch(config)#vtpmodeclientSwitch(config)#vtpdomainzhouhangSwitch(config)#vtppasswordvinhansSwitch(config)#intf0/1SW2(config-if)#swmoaccSW2(config-if)#swaccvlan20SW2(config-if)#intf0/3SW2(config-if)#swmoaccSW2(config-if)#swaccvlan20SW2(config-if)#intf0/24SW2(config-if)#swmotrSW2(config-if)#exitSwitch(config)#spanning-treemoderapid-pvstSW3配置：Switch>enSwitch#conftSwitch(config)#hostSW3SW3(config)#vtpmodeclientSW3(config-if)#vtpdomainzhouhangSW3(config-if)#vtppasswordvinhansSW3(config-if)#intf0/3SW3(config-if)#swmotrSW3(config-if)#intf0/2SW3(config-if)#swmoaccSW3(config-if)#swaccvlan30SW3(config-if)#intf0/4SW3(config-if)#swmoaccSW3(config-if)#swaccvlan30SW3(config-if)#exitSW3(config)#spanning-treemoderapid-pvstSW4配置：Switch>enSwitch#conftSwitch(config)#hostSW4SW4(config)#vtpmodeclientSW4(config)#vtpdomainzhouhangSW4(config)#vtppasswordvinhansSW4(config)#intf0/1SW4(config-if)#swmoaccSW4(config-if)#swaccvlan40SW4(config-if)#intf0/24SW4(config-if)#swmotrSW4(config-if)#exitSW4(config)#spanning-treemoderapid-pvstSW5配置：Switch>enSwitch#conftSwitch(config)#hostSW5SW5(config)#vtpmodeclientSW5(config)#vtpdomainzhouhangSW5(config)#vtppasswordvinhansSW5(config)#intf0/1SW5(config-if)#swmotrSW5(config-if)#intf0/3SW5(config-if)#swmoaccSW5(config-if)#swaccvlan60SW5(config-if)#intf0/2SW5(config-if)#swmoaccSW5(config-if)#swaccvlan60SW5(config-if)#exitSW5(config)#spanning-treemoderapid-pvstSW6配置：Switch>enSwitch#conftSwitch(config)#hostSW6SW6(config)#vtpmodeclientSW6(config)#vtpdomainzhouhangSW6(config)#vtppasswordvinhansSW6(config)#intf0/1SW6(config-if)#swmoaccSW6(config-if)#swaccvlan50SW6(config-if)#intf0/24SW6(config-if)#swmotrSW6(config-if)#exitSW6(config)#spanning-treemoderapid-pvstSW7配置：Switch>enSwitch#conftSwitch(config)#hostSW7SW7(config)#vtpmodeclientSW7(config)#vtpdomainzhouhangSW7(config)#vtppasswordvinhansSW7(config)#intf0/6SW7(config-if)#swmotrSW7(config-if)#intrangef0/1-4SW7(config-if-range)#swmoaccSW7(config-if-range)#swaccvlan70SW7(config-if-range)#exitSW7(config)#spanning-treemoderapid-pvst4.2汇聚层交换机在cisco环境下的配置实现功能配置vlan，使各交换机实现vlan信息同步DHCP中继代理配置访问控制列表实现各部门流量控制配置命令L3_SW1配置：Switch>enSwitch#conftSwitch(config)#hostL3_SW1L3_SW1(config)#vtpmodeserver//设置为VTP服务端L3_SW1(config)#vtpdomainzhouhangL3_SW1(config)#vtppasswordvinhansL3_SW1(config)#vlan10//创建vlan10L3_SW1(config-vlan)#nameyanfa//将vlan10命名为yanfaL3_SW1(config-vlan)#vlan20L3_SW1(config-vlan)#nameshengchanL3_SW1(config-vlan)#vlan30L3_SW1(config-vlan)#namexiaoshouL3_SW1(config-vlan)#vlan40L3_SW1(config-vlan)#namekehuL3_SW1(config-vlan)#vlan50L3_SW1(config-vlan)#namerenshiL3_SW1(config-vlan)#vlan60L3_SW1(config-vlan)#namecaiwuL3_SW1(config-vlan)#vlan70L3_SW1(config-vlan)#namexinguanL3_SW1(config-vlan)#exitL3_SW1(config)#intrangef0/1-3L3_SW1(config-if-range)#swtrencapdot//选择dot1q封装模式L3_SW1(config-if-range)#swmotr//将f0/1到f0/3设置为trunk模式L3_SW1(config-if-range)#intf0/6L3_SW1(config-if)#swtrencapdotL3_SW1(config-if)#swmotrL3_SW1(config-if)#exitL3_SW1(config)#intvlan10L3_SW1(config-if)#ipadd54//启用SVI接口，并设置网关地址L3_SW1(config-if)#noshL3_SW1(config-if)#iphelper-address//设置DHCP中继L3_SW1(config-if)#intvlan20L3_SW1(config-if)#ipadd54L3_SW1(config-if)#noshL3_SW1(config-if)#iphelper-addressL3_SW1(config-if)#intvlan30L3_SW1(config-if)#ipadd54L3_SW1(config-if)#noshL3_SW1(config-if)#iphelper-addressL3_SW1(config-if)#intvlan40L3_SW1(config-if)#ipadd54L3_SW1(config-if)#noshL3_SW1(config-if)#iphelper-addressL3_SW1(config-if)#intvlan50L3_SW1(config-if)#ipadd54L3_SW1(config-if)#noshL3_SW1(config-if)#iphelper-addressL3_SW1(config-if)#intvlan60L3_SW1(config-if)#ipadd54L3_SW1(config-if)#noshL3_SW1(config-if)#iphelper-addressL3_SW1(config-if)#intvlan70L3_SW1(config-if)#ipadd54L3_SW1(config-if)#noshL3_SW1(config-if)#exitL3_SW1(config)#access-list100denyip5555//设置扩展访问控制列表100，规则为拒绝/24网段所有数据包去往/24网段L3_SW1(config)#access-list100denyip5555L3_SW1(config)#access-list100denyip5555L3_SW1(config)#access-list100denyip5555L3_SW1(config)#access-list100denyip5555L3_SW1(config)#access-list100permitiphost55//设置扩展访问控制列表100，规则为允许主机所有数据包去往/24网段。L3_SW1(config)#access-list100permitiphost55L3_SW1(config)#access-list100permitiphost55L3_SW1(config)#intvlan60L3_SW1(config-if)#ipaccess-group100out//调用访问控制列表100并应用在出接口VLAN60的SVI口上L3_SW1(config-if)#exitL3_SW1(config)#intf0/24L3_SW1(config-if)#nosw//f0/24启用路由功能L3_SW1(config-if)#ipaddL3_SW1(config-if)#noshL3_SW1(config-if)#exitL3_SW1(config)#iprouting//启用路由功能L3_SW1(config)#routeros110//使用ospf动态路由协议L3_SW1(config-router)#net55a0//通告/24网段L3_SW1(config-router)#net55a0L3_SW1(config-router)#net55a0L3_SW1(config-router)#net55a0L3_SW1(config-router)#net55a0L3_SW1(config-router)#net55a0L3_SW1(config-router)#net55a0L3_SW1(config-router)#net55a0L3_SW1(config-router)#exitL3_SW1(config)#iproute//写一条默认路由，下一跳ip为L3_SW1(config)#spanning-treemoderapid-pvst4.3路由器在cisco环境下的配置实现功能实现NAT内外网ip转换设置VPN使得外网PC可以访问公司内网配置命令R1配置：Router>enRouter#conftRouter(config)#hostR1R1(config)#intf0/0R1(config-if)#ipaddR1(config-if)#noshR1(config-if)#ints0/0/0R1(config-if)#ipaddR1(config-if)#clockrate64000R1(config-if)#noshR1(config-if)#exitR1(config)#routeros110R1(config-router)#net55a0R1(config-router)#exitR1(config)#iproutes0/0/0//写一条默认路由，出接口为s0/0/0R1(config)#access-list1permit55//设置标准访问控制列表1，允许源地址/24网段的所有数据包R1(config)#access-list1permit55R1(config)#access-list1permit55R1(config)#access-list1permit55R1(config)#intf0/0R1(config-if)#ipnatinside//设置NAT内接口R1(config-if)#ints0/0/0R1(config-if)#ipnatoutside//设置NAT外接口R1(config-if)#exitR1(config)#ipnatinsidesourcelist1ints0/0/0over//采用多路复用NAT技术，调用访问控制列表1并应用到s0/0/0接口R1(config)#aaanew-model//通过配置AAA的方式来定义本地数据库认证。R1(config)#aaaauthenticationlogincisco1localR1(config)#aaaauthorizationnetworkcisco2localR1(config)#usernamezhouhangpassword123456R1(config)#cryptoisakmppolicy1R1(config-isakmp)#encryption3des//加密方式为3desR1(config-isakmp)#hashsha//hash算法为shaR1(config-isakmp)#authenticationpre-share//认证方式为Pre-SharedKeys(PSK)R1(config-isakmp)#group2//密钥算法（Diffie-Hellman）为group2R1(config-isakmp)#exitR1(config)#iplocalpoolnet10000R1(config)#cryptoisakmpclientconfigurationgroupvinhans//用户组名为vinhansR1(config-isakmp-group)#key654321R1(config-isakmp-group)#poolnet1//地址池名为net1R1(config-isakmp-group)#exitR1(config)#cryptoipsectransform-setccieesp-3desesp-sha-hmac//配置了transform-set为ccie，其中数据封装使用esp加3des加密，并且使用esp结合sha做hash计算，默认的IPsecmode为tunnel。R1(config)#cryptodynamic-mapmap1//动态加密图R1(config-crypto-map)#reverse-route//反向路由注入R1(config-crypto-map)#settransform-setccie//调用的IPsec

transform为ccieR1(config-crypto-map)#exitR1(config)#cryptomapezvpnclientconfigurationaddressrespond//如果client是1.x，则不是respond而是initiateR1(config)#cryptomapezvpnclientauthenticationlistcisco1//定义认证R1(config)#cryptomapezvpnisakmpauthorizationlistcisco2//定义认证查询IKEqueryingR1(config)#cryptomapezvpn1ipsec-isakmpdynamicma