交换机与路由器设计实验报告

．设计任务描述某校有本科生宿舍4座，每座3层，每层8间房，每间房4个学生，。要求对学生宿舍的网络进行设计规划，设计时需满足下列要求：在宿舍区提供一个学生服务器机房，供学生社团放置各类服务器；在学生服务器机房，设置一个代理服务器供同学们使用学校分配了1段C类IP地址给该学生服务器机房，IP地址为/24。；拟保证每个学生有一个上网端口；学生机器采用私有IP地址，通过代理服务器上校外网。设计时尽量能够减少广播风暴；请根据以上环境和设计要求设计该网络，完成下列工作并撰写相关文档：选择相应的网络设备（以Cisco品牌为蓝本，写出参数和数量）；写出设计方案、画出网络拓扑结构、并阐述设计理由；利用Boson的模拟器，将上述网络中的路由器及主要的交换机作模拟配置及测试。(注：不用模拟所有交换机，只需模拟一部分有代表性的即可)。2．设计分析2.1网络IP地址计算分析计划学生宿舍每层分为一个VLAN，根据设计任务，8*4=32，可知每层至少需要32个地址，由2^5=32，2^6>32，可得每个VLAN的子网掩码为26位。共有4座宿舍，每座3层，则一共需要3*4=12个VLAN，2^4=16，一共需要4位二进制来表示。综上所述，宿舍区的汇总IP地址的掩码为10位。服务器机房分配一个C类私网网段。提供的外网地址，一部分用于NAT转换，满足内网用户访问外网的需求；一部分预留，作为对外网提供服务的服务器的外网地址。具体IP地址规划如下表：学生宿舍IP地址规划宿舍号层数VLAN号/VLAN名网络号子网掩码A1VLAN11/A14922VLAN12/A228923VLAN13/A39292B1VLAN21/B14922VLAN22/B228923VLAN23/B39292C1VLAN31/C14922VLAN32/C228923VLAN33/C39292学生宿舍IP地址规划宿舍号层数VLAN号/VLAN名网络号子网掩码D1VLAN41/D14922VLAN42/D228923VLAN43/D39292服务器机房私网地址分配网络号子网掩码公网地址分配地址范围用途/24——00/24用于代理服务器访问外网01/24——54/24备用作为对外服务器的外网地址2.2网络设备需求分析核心层交换机思科WS-C6509-NEB-A详细参数查看：更多信息|产品图片基本参数产品型号WS-C6509-NEB-A产品类型千兆以太网交换机传输方式存储转发方式背板带宽720Gbps包转发

387Mpps外形尺寸846×437×460mm重量24.9Kg硬件参数最大DRAM内存256MB接口类型DS0到OC-48,100BASE-FX接口数目9口传输速率10/100/1000Mbps网络与软件支持网络标准IEEE802.3,IEEE802.3u,IEEE802.1s,IEEE802.1w,IEEE802.3ad网管功能CiscoWorks2000,RMON,增强交换端口分析器(ESPAN),SNMP,Telnet,BOOTP,TFTPMAC地址表128K其它参数最大功率DC,6000;AC,4000W数据来源：太平洋电脑网产品报价()汇聚层交换机思科WS-C3750G-24T-S详细参数查看：更多信息|产品图片基本参数产品型号WS-C3750G-24T-S产品类型企业级,三层,可网管型交换机,千兆交换机传输方式存储转发方式背板带宽32Gbps包转发率35.7Mpps外形尺寸326×445×44mm重量4.55Kg硬件参数接口类型10/100BASE-TX端口,10/100/1000BASE-T端口,10/100/1000Base-T接口数目24口传输速率10M/100M/1000Mbps模块化插槽数0堆叠可堆叠网络与软件支持网络标准IEEE802.3,802.3u,802.3z,802.3abVLAN支持支持VLAN功能,支持VLAN网管功能支持网管功能,支持SNMP管理是否支持全双工支持全双工,支持全双工MAC地址表12K其它参数电源电压200V-240V最大功率135W数据来源：太平洋电脑网产品报价()接入层交换机：思科WS-C2960-48TT-L详细参数查看：更多信息|产品图片基本参数产品型号WS-C2960-48TT-L产品类型桌面级,企业级,二层,可网管型交换机,快速以太网型传输方式存储转发方式背板带宽16Gbps包转发率10.1Mpps外形尺寸236x445x44mm重量3.6Kg硬件参数最大DRAM内存64M接口类型10/100Base-T端口,10/100/1000BASE-T端口接口数目48传输速率10M/100M/1000Mbps模块化插槽数2管理端口1堆叠不可堆叠网络与软件支持网络标准IEEE802.3,IEEE802.3u,IEEE802.1x,IEEE802.1Q,IEEE802.1p,IEEE802.1D,IEEE802.1s.IEEE802.1w,IEEE802.3ad,IEEE802.3z,IEEE802.3VLAN支持支持VLAN功能端口聚合支持端口聚合功能网管功能支持网管功能是否支持全双工支持全双工MAC地址表8K其它参数电源电压100VAC-240VAC,50Hz/60Hz,1.3-0.8A最大功率45W数据来源：太平洋电脑网产品报价()防火墙路由器思科ASA5510-DC-K8详细参数查看：更多信息|产品图片基本参数产品型号ASA5510-DC-K8产品类型企业级防火墙最大吞吐量300Mbps安全过滤带宽170Mbps外形尺寸362×200.4×44.5mm重量9.07Kg硬件参数固定接口3+1个管理快速以太网端口,可升级到5个快速以太网端口网络与软件网络管理思科安全管理器(CS-Manager),Web用户数限制无用户数限制并发连接数130000并发连接数VPN支持VPN功能认证标准UL1950,CSAC22.2No.950,EN60950IEC60950,AS/NZS3260,TS001功能特点控制端口:console,2个RJ-45

工作温度:0-40℃;工作湿度:5-95%不凝结;存储温度:-25-70℃;存储湿度5-95%不凝结

高性能防火墙,IPS,以及IPSec和SSLVPN和IPSecVPN(150个设备对)软件,支持防垃圾邮件,URL阻拦和过滤,以及防网络钓鱼其它参数电源电压DC数据来源：太平洋电脑网产品报价()设备需求统计型号数量思科WS-C6509-NEB-A2思科WS-C3750G-24T-S4思科WS-C2960-48TT-L12思科ASA5510-DC-K812.3网络拓扑结构设计与分析上图是一个拓扑示意图，用在说明设计意图，没有画出所有设备。这次设计没把成本作为一个考虑因素，为了熟悉多种技术，尽可能尝试设计成具有高可靠性的网络。拓扑设计采用经典的三层结构：核心层，汇聚层，接入层。学生电脑连接到每个楼层的接入交换机，各接入交换机再连接到宿舍区的汇聚层交换机。每个区域的汇聚层交换机最终接入核心层。核心层交换机通过带防火墙的路由器连接到因特网。服务器机房放置有代理服务器，学生用户无法直接访问外网，必须统一使用代理服务器访问外网。服务器机房的服务器大体分为两种，一种是仅面向内网提供服务的机器，这类机器通过一个交换机接入到核心层交换机上；另一种是面向外网提供服务的机器，通过交换机连接到防火墙的DMZ口。为了使核心交换设备将性能主要用于数据交换，在设计中尽可能减少核心设备实习除路由交换外的功能。VTP，VLAN等配置下移到汇聚层路由器。使用双汇聚的结构，运行VRRP，使得汇聚层的两台设备互为主备。学生宿舍区采用VLAN技术，对原有的大广播域进行合理划分，每层划为一个VLAN，减少广播冲突，方便锁定故障域。采用VTP技术，方便对众多VLAN统一管理，减少配置出错的机会。相邻接入层交换机进行连接，当某台接入层交换机到汇聚层交换机的连线故障时，可以通过其他接入交换机跟汇聚层交换机通信。此时要开启STP服务，实现冗余的同时避免出现环路。

3.利用GNS3模拟器进行设计实施及测试3.1设计要点分析模拟实验中可以实现的技术要点有以下几点：VLAN（包括VTP，STP）NAT技术OSPF路由技术VRRP技术下图为模拟实验的拓扑图：Core是核心层交换机。Dorm是学生宿舍区的汇聚层交换机。A1B1模拟接入层交换机。Firewall是网络边界，Internet模拟因特网。Proxy是机房的代理服务器。PC1、PC2是分处两个不同VLAN的学生机器。核心层两台设备运行OSPF路由，主要负责高速交换数据。汇聚层设备，作为VTPServer，同时配置VRRP，提供网关冗余。Firewall上做NAT转换，同时使用ACL限制学生机器之间访问外网。但Proxy可以访问外网。如此就能实现学生机器无法直接访问外网，必须配置好代理服务器才能访问外网。3.2各网络设备参数设置及分析（详细配置在“命令记录”文件夹）VLAN配置：每个VLAN的网关设置在汇聚交换机上。VLAN采用VTP，汇聚交换机为VTPServer，接入交换机为VTPClient。开启STP，把VLAN的根平均分布在两个汇聚层交换机上。以下是模拟实验中与VLAN有关的配置：Dorm1#vlandatabaseDorm1(vlan)#vtpserverDorm1(vlan)#vtpdomaindormDorm1(vlan)#vtppassword3108006451Dorm1(vlan)#vtppruningDorm1(vlan)#vlan11nameA1Dorm1(vlan)#vlan21nameB1Dorm1(vlan)#exitDorm1#conftDorm1(config)#intf0/3Dorm1(config-if)#switchportmodetrunkDorm1(config-if)#intf0/15Dorm1(config-if)#switchportmodetrunkDorm1(config)#interfacevlan11Dorm1(config-if)#ipadd692Dorm1(config-if)#noshutDorm1(config-if)#intvlan21Dorm1(config-if)#ipadd692Dorm1(config-if)#noshutDorm1(config-if)#iproutingDorm1(config)#spanning-treevlan11rootpriDorm1(config)#spanning-treevlan11rootprimaryA1B1#vlandatabaseA1B1(vlan)#vtpclientA1B1(vlan)#vtpdomaindormA1B1(vlan)#vtppassword3108006451A1B1(vlan)#vtppruningA1B1(vlan)#exitA1B1#conftA1B1(config)#intrangef0/1-2A1B1(config-if-range)#switchportmodetrunkA1B1(config-if-range)#endA1B1(config-if)#intrangef0/3-15A1B1(config-if-range)#switchportmodeaccessA1B1(config)#intf0/3A1B1(config-if)#switchportaccessvlan11A1B1(config-if-range)#intf0/4A1B1(config-if)#switchportaccessvlan21OSPF配置：关于OSPF的配置，需要说明的是在两台核心交换机上，要使用default-informationoriginatealways命令，向其他运行OSPF的设备注入一条默认路由，指向核心交换机。这样可以使两台核心分担负载，同时也互为冗余。在firewall上，通过iproute命令配置的静态路由，优先级高于OSPF发布的静态路由，会进行覆盖。以下是模拟实验中与OSPF有关的配置：Core1(config)#iproutef0/1Core1(config)#routeros100Core1(config)#router-idCore1(config-router)#neta0Core1(config-router)#neta0Core1(config-router)#net2a0Core1(config-router)#net6a0Core1(config-router)#net55a0Core1(config-router)#default-informationoriginatealwaysDorm1(config)#routeros100Dorm1(config-router)#router-idDorm1(config-router)#net2a0Dorm1(config-router)#net0a0Dorm1(config-router)#net427a1Dorm1(config-router)#net427a1动态NAT配置： 需要说明的是，配置NAT的过程中，只允许服务器机房的私网地址（/24）进行NAT转换，NAT地址池的范围就是学校分配给服务器机房的地址（具体分配见IP地址规划部分），在firewall上做个ACL，只允许服务器机房私网地址通过。通过上述做法，可以使得只有服务器机房的设备才能通过NAT访问外网，其他内网机器（比如学生机器）必须通过代理服务器才能访问外网。以下是模拟实验中与NAT有关的配置：Firewall(config)#access-list50permit55Firewall(config)#ipnatpoolNATPOOL00netmaskFirewall(config)#ipnatinsidesourcelist50poolNATPOOLFirewall(config)#intf1/0Firewall(config-if)#ipnatinsideFirewall(config-if)#intf2/0Firewall(config-if)#ipnatinsideFirewall(config-if)#intf0/0Firewall(config-if)#ipnatoutside以下ACL，使得只有服务器机房私网IP和服务器公网IP的数据才能通过firewall。Firewall(config)#access-list10deny55Firewall(config)#access-list10permitanyFirewall(config)#intf0/0Firewall(config-if)#ipaccessFirewall(config-if)#ipaccess-group10out配置静态路由，让Firewall知道以NAT地址池为目的地址的数据如何转发。同时，在Internet上也要配置一条路由，指向NAT地址池。Firewall(config)#iproutef1/0Firewall(config)#iproutef2/010Internet(config)#iproutef0/0VRRP配置：两台汇聚层交换机Dorm1和Dorm2互为主备，当其中一台down时另外一台能接手它的工作。用track命令追踪到服务器机房的路由可达性，当在某台设备上该路由不可达时，会降低其在VRRP组中的优先，从而转为后备，另外一个设备转为主设备。Dorm1(config)#track1iproute/24reachabilityDorm1(config)#intvlan11Dorm1(config-if)#vrrp11ip5Dorm1(config-if)#vrrp11preemptDorm1(config-if)#vrrp11priority100Dorm1(config-if)#vrrp11track1decrement50Dorm1(config)#intvlan21Dorm1(config-if)#vrrp21ip5Dorm1(config-if)#vrrp21preemptDorm1(config-if