企业网络组建及相关技术

PAGEPAGEIII企业网络组建及相关技术摘要当今社会是一个以网络为平台的信息时代，企业信息化己经成为现在企业的重要财富和资源。为适应企业信息化的发展，满足口益增长的通讯需求和网络的稳定运行，如今的大型企业网络建设比传统企业网络建设提出更高的要求。随着近年来企业信息化建设的普及和深入，企业经营的运作越来越融入到计算机网络，网络建设的规范性和系统性要求日益突出。本文主要介绍了网络规划与优化的基础知识，网络规划和优化的工具以及从网络规划方面进行技术研究，并总结出相关经验。通过查阅大量的文献资料借鉴各方面的网络规划经验，提高了对网络规划的认识。本文从企业网络需求开始分析，根据现阶段cisco公司主流网络设备进行选材,规划最适用于目标网络的拓扑结构,建设合理的网络设计方案。并测试其结果最终验证网络的规划与设计符合中小型企业的需求。本设计使用ciscoPacketTracer软件进行模拟真实的设备和运行环境，来测试方案是否正确和可行性。关键词：网络规划；交换机；企业网络

目录摘要 I第1章绪论 1第2章用户需求分析 22.1中小型企业需求分析 22.2.1宽带性能需求 22.2.2稳定可靠需求 22.2.3服务质量需求 32.2.4网络安全需求 32.2.5应用服务需求 32.2本网络系统需求分析 4第3章网络设计 53.1设计网络拓扑结构 53.2VLAN及IP地址规划 53.3设备命名 63.3.1设备命名规则 63.3.1全网设备命名 73.4模拟工具和环境介绍——PacketTracer 83.4.1PacketTracer工具介绍 83.4.2本设计的模拟图 103.5设备配置 103.5.1基础配置 103.5.2使用VTP 113.5.3创建VLAN 133.5.4交换链路封装 143.5.5NAT 153.5.6DHCP/DNS 173.5.7ACL 203.5.8PVST 223.5.9路由协议 233.5.10网管控制 253.5.11其他配置 26第4章网络效果验证 274.1关键三层设备路由表 274.1.1行政楼外联路由器路由表 274.1.2行政楼核心层交换机路由表 284.1.3外省外联路由器路由表 304.2连通性测试 314.2.1外地用户访问总部服务器 314.2.2本部用户访问服务器 314.2.3外地路由器访问服务器 324.3ACL验证 324.4DHCP/DNS服务 35结语 36参考文献 37PAGE18第1章绪论随着企业各种业务需要在计算机网络上进行操作，如何保障企业网络无中断运行已经成为保证企业正常的生产运营的关键。现代大型企业网络在可靠性设计方面主要应从三方面考虑:首先是设备级可靠性设计，这里不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察;其次是业务的可靠性设计，这里要注意网络设备在故障倒换过程中是否对业务的正常运行有影响;再次是链路的可靠性设计，以太网的链路安全来自于它的多路径选择，所以在企业网络建设时要考虑网络设备是否能够提供有效的链路自愈手段和快速重路由协议的支持。第2章用户需求分析2.1中小型企业需求分析为适应企业信息化的发展，满足日益增长的通信需求和网络的稳定运行，今天的企业网络建设比传统企业网络建设有更高的要求，本文将通过对如下几个方面的需求分析来规划出一套最适用于目标网络的拓扑结构。2.2.1宽带性能需求现代大型企业网络应具有更高的带宽，更强大的性能，以满足用户日益增长的通信需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化，Web浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务。因此，数据流量将大大增加，尤其是对核心网络的数据交换能力提出了前所未有的要求。另外，随着千兆位端口成本的持续下降，千兆位到桌面的应用会在不久的将来成为企业网的主流。从2004年全球交换机市场分析可以看到，增长最迅速的就是10Gbps级别机箱式交换机，可见，万兆位的大规模应用已经真正开始。所以，今天的企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网的标准，核心层及骨干层必须具有万兆位级带宽和处理性能，才能构筑一个畅通无阻的"高品质"大型企业网，从而适应网络规模扩大，业务量日益增长的需要。2.2.2稳定可靠需求现代大型企业的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通，保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来，网络通信的无中断运行已经成为保证企业正常生产运营的关键。现代大型企业网络在可靠性设计方面主要应从以下3个方面考虑。设备的可靠性设计：不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察。业务的可靠性设计：网络设备在故障倒换过程中，是否对业务的正常运行有影响。链路的可靠性设计：以太网的链路安全来自于多路径选择，所以在企业网络建设时，要考虑网络设备是否能够提供有效的链路自愈手段，以及快速重路由协议的支持。2.2.3服务质量需求现代大型企业网络需要提供完善的端到端QoS保障，以满足企业网多业务承载的需求。大型企业网络承载的业务不断增多，单纯的提高带宽并不能够有效地保障数据交换的畅通无阻，所以今天的大型企业网络建设必须要考虑到网络应能够智能识别应用事件的紧急和重要程度，如视频、音频、数据流（MIS、ERP、OA、备份数据）。同时能够调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送，实现对业务的合理调度才是一个大型企业网络提供"高品质"服务的保障。2.2.4网络安全需求现代大型企业网络应提供更完善的网络安全解决方案，以阻击病毒和黑客的攻击，减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件，以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，这样才能有效地保证企业网络的稳定运行。2.2.5应用服务需求现代大型企业网络应具备更智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需要。当前的网络已经发展成为"以应用为中心"的信息基础平台，网络管理能力的要求已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如，网络调试期间最消耗人力与物力的线缆故障定位工作，网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作，由于受网络设备功能本身的限制，都还属于费时、费力的任务。所以现代的大型企业网络迫切需要网络设备具备支撑"以应用为中心"的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。2.2本网络系统需求分析网络联接的建筑物有五个：三个办公楼、一个行政楼和一个在外省的销售部。管理部、财务部和网络部在行政楼中；市场部在办公楼A；销售部和人力资源部在办公楼B；研发部在办公楼C。我们把网络中心设在行政楼，用光纤连接办公楼A、B、C，构成公司网络光纤主干网络。企业服务器在行政楼。办公楼4个，行政楼1个，（1）划分VLAN（2）VTP动态学习VLAN（3）PVST(选根，二层冗余)（4）SVI（VLAN间路由）（5）HSRP（三层冗余）（6）DHCP（7）根防护（8）静态路由（9）SITE-TO-SITEVPN（连接分公司，固定IP）（10）DNS（11）ACL（12）网管控制第3章网络设计3.1设计网络拓扑结构主干网络设计如下图：表3.1主干网络设计图采用上设计图优点如下：（1）结构整齐，层次清晰，便于管理；（2）采用动态路由协议，维护简单，扩展性好。3.2VLAN及IP地址规划表3.1VLAN及IP地址规划表VLAN号VLAN名称IP网段默认网关说明VLAN11/28管理VLANVLAN10GLB/24管理部VLANVLAN20CWB/24财务部VLANVLAN30WLB/24网络部VLANVLAN40SCB/24市场部VLANVLAN50XSB/24销售部VLANVLAN60RLZY/24人力资源部VLANVLAN70YFB/24研发部VLAN3.3设备命名3.3.1设备命名规则为便于进行网络故障诊断和远程监测，各个办公楼将统一全辖网络设备的命名。网络系统中设备的命名使用五个字段组成，分别表示该设备所在区域，功能，层次，类型等，便于设备维护管理。设备名称的字母全部采用大写表示。主要网络设备的ID命名规则如下：A_B_C_D_E：A：办公楼名称（如A、B等）B：区域名称（如核心区、服务器区、办公区、管理区、等，也可表示名称）C：区域层次（如汇聚层或接入层）D：设备类型（如核心交换机、路由器、防火墙、入侵检测、等）E：设备序列号（如第一台、第二台、等）根据上述描述，每个字段做如下进一步的明确：A：楼名称表3.2企业楼名称表分行名称标识行政楼XZ办公楼AA……B：区域名称表3.3区域名称表序号名称描述1CORE核心区（CoreZone）2ADMIN管理区（AdminZone）3APPSVR业务服务器区（App_ServerZone）4APPUSR业务用户接入区（APP_UserZone5OAUSR办公用户接入区（OA_UserZone）6OASVR办公服务器区(OA_ServerZone)7DMZDMZ区8TA终端接入区(TerminalAccessZone)C：区域层次表3.4区域层次表序号名称区域1DL汇聚层（DistributionLayer）2AL接入区（AccessLayer）D：设备类型表3.5设备类型表序号名称描述1SW交换机2RT路由器3FW防火墙4IDS入侵检测系统E：设备序列号表3.6设备序列号表序号名称描述11同区同层第１台设备22同区同层第2台设备3……例如：XZ_CORE_SW_1：表示行政楼核心区(CORE)核心交换机（SW）第一台（1）；XZ_ADMIN_DL_SW_1：表示行政楼管理区（ADMIN）汇聚层（DL）交换机（SW）第一台；3.3.1全网设备命名下面是全网设备命名：表3.7全网设备命名表序号名称描述1XZ_CORE_SW_1行政楼核心交换机—12XZ_CORE_SW_2行政楼核心交换机—23XZ_CORE_FW_1行政楼外联防火墙—14XZ_CORE_FW_2行政楼外联防火墙—25XZ_DMZ_DL_SW行政楼DMZ区汇聚交换机6XZ_EXTCONN_RT行政楼外联路由器7A_DL_SW_1A楼汇聚交换机—18A_DL_SW_2A楼汇聚交换机—29*_AL_SW_1*部接入交换机—110B_DL_SW_1B楼汇聚交换机—111B_DL_SW_2B楼汇聚交换机—212*_AL_SW_1*部接入交换机—113C_DL_SWC楼汇聚交换机14C_DL-SW_2C楼汇聚交换机—215C_AL_SW_1C楼接入交换机—116WS_RT外省路由器3.4模拟工具和环境介绍——PacketTracer3.4.1PacketTracer工具介绍PacketTracer是由Cisco公司发布的一个辅助学习工具，为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑，并可提供数据包在网络中行进的详细处理过程，观察网络实时运行情况。可以学习IOS的配置、锻炼故障排查能力。在界面的左下角一块区域，这里有许多种类的硬件设备，从左至右，从上到下依次为路由器、交换机、集线器、无线设备、设备之间的连线（Connections）、终端设备、仿真广域网、CustomMadeDevices（自定义设备）。在左下边你会看到各种类型的线，依次为AutomaticallyChooseConnectionType（自动选线，万能的，一般不建议使用，除非你真的不知道设备之间该用什么线）、控制线、直通线、交叉线、光纤、电话线、同轴电缆、DCE、DTE。其中DCE和DTE是用于路由器之间的连线，实际当中，你需要把DCE和一台路由器相连，DTE和另一台设备相连。而在这里，你只需选一根就是了，若你选了DCE这一根线，则和这根线先连的路由器为DCE，配置该路由器时需配置时钟。交叉线只在路由器和电脑直接相连，或交换机和交换机之间相连时才会用到。对设备进行编辑在右边有一个区域，从上到下依次为选定/取消、移动（总体移动，移动某一设备，直接拖动它就可以了）、PlaceNote（先选中）、删除、Inspect（选中后，在路由器、PC机上可看到各种表，如路由表等）、simplePPD、complex。软件界面的最右下角有两个切换模式，分别是Realtimemode(实时模式)和Simulationmode（模拟模式），实时模式顾名思意即时模式，也就是说是真实模式。举个例子，两台主机通过直通双绞线连接并将他们设为同一个网段，那么A主机PingB主机时，瞬间可以完成，这就是实时模式。而模拟模式，切换到模拟模式后主机A的CMD里将不会立即显示ICMP信息，而是软件正在模拟这个瞬间的过程，以人类能够理解的方式展现出来。图3.2CiscoPacketTracer模拟软件3.4.2本设计的模拟图图3.3本设计的模拟图3.5设备配置3.5.1基础配置以接入层交换机为例：图3.4接入层交换机图3.5配置截图Switch>en进入特权模式Switch#conft进入全局模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#hostnameCW_AL_SW_1修改路由器或者交换机的名字，方便管理CW_AL_SW_1(config)#noipdomainlookup关闭域名查询启用与禁止DNS服务器，在交换机默认配置的情况下，当我们输入一条错误的交换机命令时，交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。利用命令noipdomainlookup，可以禁用DNS服务器，可以减少输入错误命令的等待时间CW_AL_SW_1(config)#lineconsole0进入CONCOLE0口线程下，通过CONSOLE线串口直接控制交换机或路由器接口设置登录口令，如下图：图3.6交换机密码设置3.5.2使用VTP从提高效率的角度出发，在企业网实现实例中使用了VTP技术。将汇聚层XZ_DL_SW_1设置成为VTP服务器，其他交换机设置成为VTP客户机。这里接入层交换机SW1将通过VTP获得在分布层交换机FB1中定义的所有VLAN的信息。下面是配置截图：图3.7行政楼汇聚层交换机VTP配置截图XZ_DL_SW_1#vlandatabase特权模式下进入VLAN设置模式XZ_DL_SW_1(vlan)#vtpdomaincisco定义VTP域名ChangingVTPdomainnamefromNULLtociscoXZ_DL_SW_1(vlan)#vtpserver将该交换机设置为VTP的服务端DevicemodealreadyVTPSERVER.XZ_DL_SW_1(vlan)#vtpv2-mode启用的VTP版本号为2V2modeenabsled.XZ_DL_SW_1(vlan)#vtppassword123456设置VTP的密码为123456，交换机的VTP必须密码一致才能同步SettingdeviceVLANdatabasepasswordto123456.XZ_DL_SW_1(vlan)#vtppruning启用VTP修剪，激活VTP剪裁功能，默认情况下主干道传输所有VLAN的用户数据。有时，交换网络中某台交换机的所有端口都属于同一VLAN的成员，没有必要接收其他VLAN的用户数据。这时，可以激活主干道上的VTP剪裁功能。当激活了VTP剪裁功能以后，交换机将自动剪裁本交换机没有定义的VLAN数据。在一个VTP域下，只需要在VTP服务器上激活VTP剪裁功能。同一VTP域下的所有其他交换机也将自动激活VTP剪裁功能。退出VLAN配置模式进入特权模式APPLYcompleted.Exiting其他设备配置（配置成用户端）下面以CW_AL_SW_1为例：图3.8交换机VTP客户模式配置CW_AL_SW_1#vlandaCW_AL_SW_1(vlan)#vtpdomainciscoChangingVTPdomainnamefromNULLtociscoCW_AL_SW_1(vlan)#vtpclient将FB2设置为客户端，客户端可以学习到服务端的所有VLAN信息。客户模式是没有创建、修改、删除VLAN得权利的，它只能接收和转发信息。而服务器模式拥有以上的所用功能。SettingdevicetoVTPCLIENTmode.CW_AL_SW_1(vlan)#vtpv2V2modeenabled.CW_AL_SW_1(vlan)#vtppassword123456SettingdeviceVLANdatabasepasswordto123456.CW_AL_SW_1(vlan)#exitAPPLYcompleted.Exiting3.5.3创建VLAN在XZ_DL_SW_1配置VLAN数据库。配置截图如下：图3.9VLAN配置3.5.4交换链路封装图3.10交换链路封装XZ_DL_SW_2(config)#intfa0/4进入要封装的接口XZ_DL_SW_2(config-if)#switchporttrunkencapsulationdot1q进行封装XZ_DL_SW_2(config-if)#switchportmodetrunk指定封装模式XZ_DL_SW_2(config-if)#noshutdown开启接口XZ_DL_SW_2(config)#interfacefastEthernet0/0XZ_DL_SW_2(config-if)#switchporttrunkencapsulationdot1qXZ_DL_SW_2(config-if)#switchportmodetrunkXZ_DL_SW_2(config-if)#noshutdown3.5.5NAT图3.11静态nat配置图3.12动态nat配置XZ_WL_RT>enPassword:XZ_WL_RT#configConfiguringfromterminal,memory,ornetwork[terminal]?tEnterconfigurationcommands,oneperline.EndwithCNTL/Z. XZ_WL_RT(config)#ipnatpoolnat53netmask配置动态NAT转换的地址池XZ_WL_RT(config)#ipnatpoolnat54netmaskXZ_WL_RT(config)#ipnatinsidesourcelist1poolnat配置动态NAT转换的内部地址范围XZ_WL_RT(config)#access-list1permit55XZ_WL_RT(config)#intse2/0XZ_WL_RT(config-if)#ipnatoutsideXZ_WL_RT(config-if)#exXZ_WL_RT(config)#intfa0/0XZ_WL_RT(config-if)#ipnatinsideXZ_WL_RT(config-if)#exXZ_WL_RT(config)#图3.13查看NAT转换的统计信息3.5.6DHCP/DNS图3.14配置DHCPXZ_DL_SW(config)#ipdhcpexcluded-addressXZ_DL_SW(config)#ipdhcpexcluded-addressXZ_DL_SW(config)#ipdhcpexcluded-addressXZ_DL_SW(config)#ipdhcpexcluded-addressXZ_DL_SW(config)#ipdhcpexcluded-addressXZ_DL_SW(config)#ipdhcpexcluded-address先配置除去PC机不能使用的IP地址图3.15配置DHCP,DNS,默认网关现在需要为路由器接口和所有的PC机接口配置IP地址。由于几千个结点的网络比较大，为每一台PC手工配置地址的工作量相当大，所以我们要使用DHCP技术。XZ_DL_SW(config)#ipdhcppoolVLAN10创建地址池，VLAN10地址池network宣告网段default-router默认网关DNS-SERVERDNS地址ipdhcppoolVLAN20networkdefault-routerDNS-SERVERipdhcppoolVLAN30networkdefault-routerDNS-SERVERipdhcppoolVLAN40networkdefault-routerDNS-SERVERipdhcppoolVLAN50networkdefault-routerDNS-SERVERipdhcppoolVLAN60networkdefault-routerDNS-SERVERipdhcppoolVLAN70networkdefault-routerDNS-SERVER图3.16DHCP服务请求成功3.5.7ACL图3.16配置ACLWS_WL_RT(config)#access-list1permit55WS_WL_RT(config)#linevty04WS_WL_RT(config-line)#access-class1in在vty下应用aclWS_WL_RT(config-line)#passwordciscoWS_WL_RT(config-line)#loginWS_WL_RT(config-line)#图3.17配置ACLXZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6permitanyXZ_DL_SW_1(config)#intvlan20XZ_DL_SW_1(config-if)#ipacc6outXZ_DL_SW_1(config-if)#XZ_DL_SW_1(config-if)#XZ_DL_SW_1(config)#图3.18配置扩展ACL3.5.8PVST图3.19配置PVST由于网络拓扑比较大，两两相连加冗余会出现环路，所以需要配置二层防环的PVST首先要选举根桥，我们这里手工指定XZ_AL_SW为VLAN10的主根，VLAN203060的备份根。Switch>enSwitch#configConfiguringfromterminal,memory,ornetwork[terminal]?tEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#spanning-treemodepvst开启PVST生成树模式Switch(config)#spanning-treevlan20rootprimary设置为VLAN20的主根Switch(config)#spanning-treevlan10,30rootsecondary设置为VLAN1030的备份根Switch(config)#3.5.9路由协议外联路由器配置EIGRP，总部外联路由配置如下图：图3.20总部外联路由协议配置XZ_WL_RT(config)#routereigrp100启用EIGRP协议XZ_WL_RT(config-router)#network5把/28网段宣告进协议中XZ_WL_RT(config-router)#network55XZ_WL_RT(config-router)#network55XZ_WL_RT(config-router)#network55图3.21外省外联路由协议配置WS_WL_RT(config)#routereigrp100启用EIGRP协议WS_WL_RT(config-router)#network把/30网段宣告进协议中WS_WL_RT(config-router)#networkEIGRP还有自动汇总的功能，当不需要时：WS_WL_RT(config-router)#noauto-summary关闭自动汇总功能3.5.10网管控制图3.22配置网络管理为了方便管理员对企业网安全方便的管理控制，我们需要对坐配置使得管理员能都使用PC直接连接或远程登陆到到交换机进行控制。XZ_DL_SW(config)#linevty04进入VTY线程下XZ_DL_SW(config-line)#passwordcisco配置远程访问交换机的密码XZ_DL_SW(config-line)#login登陆验证XZ_DL_SW(Config-line)#exec-timeout11配置登录交换机虚拟终端线的超时时间为1分11秒钟HX2(config-line)#linecon0HX2(config-line)#passwordcisco2HX2(config-line)#loginHX2(config-line)#exec-timeout113.5.11其他配置图3.