【小区Cisco设备网络设计与规划8600字（论文）】

小区Cisco设备网络设计与规划目录第一章绪论 11.1项目背景和意义 11.2突出问题分析 11.3主要完成的工作 2第二章小区网络方案 32.1方案目标 32.2业务需求 32.3业务流需求 32.4功能需求 32.5安全需求分析 32.6可行性分析 42.6.1方案的可行性 42.6.2技术可行性 42.6.3经济可行性 4第三章关键技术原理 53.1VLAN划分技术 53.2STP技术 53.3DHCP技术 53.4VTP 53.5ACL技术 53.6NAT技术 63.7VPN 63.8链路聚合技术 6第四章整体设计方案 74.1设计原则 74.2接入层设计 74.3汇聚层设计 74.4核心层设计 84.5服务器设计 84.6网络边界设计 84.7无线网络设计 84.8应用服务设计 8第五章仿真和测试 95.1仿真软件介绍 95.2网络拓扑搭建 95.3VLAN划分和IP地址规划 105.4关键设备配置 115.4.1核心交换HSRP配置 115.4.2核心HSRP协议配置 115.4.3边界路由器NAT配置 125.4.4IPsecVPN远程访问配置 125.5测试与验证 13第六章总结 20第一章绪论1.1项目背景和意义随着信息化和数字化水平的不断发展和提升，利用新兴技术实现园区、高校、企业等内部网络不断演进已经成为发展的主流。随着国家信息化战略在生产制造等多个领域的不断加深，以加快小区网络接入容量和带宽质量等多个方面提出的新要求。小区主要完成各种信息的发布和重要资源共享。在网络发展和演进过程中，小区或是园区网络已经较好的实现了网络资源整合和重新调配，尤其对一些重点老旧小区改造和发展实现了全光网接入。对促进整个业态良好生存和发展奠定了基础。目前，我国在加快推进智慧中国、宽带中国等系列战略措施和制度保障方面下足了力气。通过多年的大力推进和发展，国家一二线城市小区宽带接入能力较强、覆盖面积较广，但是在经济发展相对迟缓的中西部区域，网络发展和部署较为缓慢，主要体现在发展动力不足、投入资金不足、信息化水平不高、数字化应用能力不强等特点。本次以小区信息化改造建设为背景，在深入探索当前网络发展内因和内驱等条件下，充分考虑到网络发展的持续性和演进性特点，利用具体一个小区业务部署和网络方案设计完成了本次毕业设计。本次设计按照网络方案设计和网络工程施工建设为目标，在充分调查和统计需求基础上，确定了明确的目标和任务，以建立小区网络工程信息化提升工程为契机，不断加快小区网络设施和设备改造，为开展数字城市、智慧城市建设目标进行有益的实践和探索。1.2突出问题分析目前，小区信息化网络建设由于存在的突出问题和面临的系列网络瓶颈主要从以下几个方面开展设计和建设工作，分别是网络优化、数据存储、性能提升、安全可靠、互联互通等。主要是通过分析网络存在的问题、找出网络瓶颈、针对日益突出的应用需求和网络环境的不适应等突出矛盾开展网络优化和提速工作；由于小区在信息化架设和数字化演进的过程中，由于技术更新换代非常快，数据存储在物理介质、格式类型、安全风险方面不统一和不确定，数据资源分散，统一管理和调度困难；小区网络在建设初期缺乏长期演进的规划和设计，网络性能和质量在面对如此迅猛的数据要求和应用要求时，时常出现网络带宽小、网络时延大、网络吞吐量受限等问题，因此，需要通过各种技术手段来提升网络性能指标尤为迫切；随着各种网络应用和行业的渗透，网络信息安全已经成为网络建设和设计的重要内容。随着信息网络安全事件频发，各类网络攻击、蠕虫病毒、网站挂马、钓鱼网站、勒索病毒在网络两种肆意横行，尤其是在一些地位突出的小区中发生重要数据的盗取、敏感数据的泄露、网络劫持和监听、网络篡改和重放事件频繁。因此网络的高安全性和可靠性设计是衡量网络性能的重要指标；随着小区办学规模的扩大，很多小区不仅需要和不同地理位置的校区进行互联，而且需要通过中国教育网接入到小区集团网当中，而且需要和国外小区、其他兄弟院校进行合作，因此，需要网络实现全网的有效连通和资源共享环境。同时，许多小区外出老师和相关人员需用实现远程移动办公，就需要通过VPN技术。1.3主要完成的工作本次设计的主要工作可以分为三类：第一部分从制度和战略层面开展小区网络规划建设的意义和背景分析，在充分了解当前国家对智慧城市、光网城市、智慧中国等战略目标的提出，中站位高度奠基了小区网络发展的迫切性和重要性；第二部分主要从网络发展存在的主要问题分析、关键技术、设计的任务和目标分解、网络架构和分层设计、新技术和新业务形态分析、网络安全架构、网络拓扑搭建和数据配置等方面开展工作，确定设计的目标和拟解决的关键问题；用信息网络建设的系统化和工程化思路为指导，逐步开展小区网络设计和实现。第三部分主要完成了网络设备的部署、数据规划、网络拓扑搭建和配置工作，该部分内容是设计的重点和难点，尤其是完成了VLAN的配置、VRRP技术和配置方法、HSRP技术和配置方法、MSTP技术和配置方法、link-aggregation配置方法、三层交换原理、各类域内路由协议原理和设计、计费认证系统、入侵检测系统等、VPN技术原理和实现；第四部分主要是对本次设计的不足和今后工作进行总结和提高。尤其是在完成网络拓扑搭建和设计后，需要大量的调试和测试工作，后期还可能遇到故障分析和排障问题等，因此在总结部分，主要是对网络仿真结果进行测试和性能分析，总结和归纳，对网络存在的问题进行思考并提出改进办法，对网络安全性、用户认证方法、AAA技术、QOS等进行探索，说明下一步研究的方向和内容。第二章小区网络方案2.1方案目标小区网络一个重要的功能指标是信息发布和网络接入。小区作为一个普通的信息化建设小区具有重要的经济发展意义，由于小区内住户率较高，而且以年轻人为主，日信息需求量和访问量居高不下，数据类型也复杂多样，以视频、多媒体应用和发布、视频流点播和直播为主，因此，本次设计要充分地保证小区网络接入带宽和速度，同时要保证小区在完成网络接入的同时其可靠性、安全性和可用性。2.2业务需求随着用户规模的增加和应用需求的旺盛。用户要可以利用多种接入终端和接入能力实施信息发布、信息共享机制、业务应用类别的多样化促使网络必须保证应用的可靠性和高效性。在目前的互联网业务应用和流量分类来看，当前的网络中绝大多数流量已经不是传统的HTTP、FTP和E-MAIL了，而网络流量的P2P化已经成为数据网络承载的主要数据形式，而由于P2P本身的特点，例如随意性、突发性、自相似性等，利用C/S模型架构的传统数据网络必然不能很好的开展P2P业务的应用。例如常见的迅雷、多媒体应用、skyper、即时聊天通信工具等都是基于P2P应用的，而这种应用已经非常普遍和普及。2.3业务流需求随着网络业务流量的增加，网络峰值带宽在关键区域产生网络瓶颈，例如在小区边缘区域核心交换机下行链路带宽不足，链路利用率超过80%，网络严重阻塞，在本次设计中网络通信量需要进行测算。目前，小区内部无法安装综合网管系统，通过对数据流采集分析，其中绝大多数的楼宇到控制中心核心交换机链路高峰出现拥塞，特别是各别区域用户使用期间带宽明显不足。根据业务类型进行通信量预测，也可以根据用户数进行通信量预测，预测方法，首先预测用户发展数目，通常用回归分析法，然后按照经验公式：最大用户数*30%*峰值带宽*同时在线用户数=中继带宽，也可以利用运营商网络常用的重力法、流量矩阵法。2.4功能需求相比较传统的小区网络建设目标和原则，目前的小区网络由于应用的多样化和数据的分散化，网络应该具有更多的功能、支持更多的协议类型，能够开展更多的服务类型。例如可以实施组播业务、实施VOIP业务、实施多媒体流业务等。而往往这些业务类型需要不仅需要网络设备的支持，同时还需要从顶层设计、网络架构方面的合理布局。2.5安全需求分析相对于传统的网络架构模型和网络环境，目前的网络环境出现了一些新特点表现出了一些新情况。例如传统网络流向只重视南北向而不重视东西向，传统的网络安全架构只考虑局部不考虑全局、传统的网络安全只采取被动没有主动防御策略、传统的网络连接单一而没有冗余和保护。因此，在目前网络环境的大背景下，小区作为整个互联网的一个重要分支，数量庞大、结构复杂、信息安全面临机遇和挑战。2.6可行性分析2.6.1方案的可行性本次小区网络建设目标明确，是在原有网络基础之上为了进一步优化网络结构，提升网络性能，开展网络应用、加强小区网络安全性和可靠性做的一次工程实践工作。从前期网络资源的核查、设备的统计、线路资源的利用情况、带宽的分布、网络瓶颈的调查、网络性能的实际测试等多个方面开展了准备工作。所以，解决的问题明确、解决的网络矛盾突出。方案实时细节和阶段性规划非常详尽。2.6.2技术可行性本次方案设计是在严格遵守相关信息化建设标准规范基础上，从网络拓扑结构、选用的设备、关键技术指标、最终的性能测试指标等多个方面开展技术可行性分析。首先网络拓扑结构采用了目前主流的三层式架构，汇聚和核心层分别双归属上行连接如下图所示：启动HSRP协议实施对VLAN数据的保护，在核心层交换机终结vlan，核心层开启ip-routing开关实现三层vlan间的互访，启动ACL实现对流量的过滤。核心交换到出口路由器采用默认路由的方式发布，在接入路由器配置回程路由，并开启ospf路由协议，出口区域配置防火墙一台对进出口流量进行严格的筛查和过滤，内网用户利用NAT方式实现对公网的访问，内网web服务器利用静态IP地址和端口映射方法实施发布。2.6.3经济可行性本次方案的设计实在充分考虑了网络建设投出产出比情况下，以最大程度不改动原有网络拓扑和功能的基础上，通过在核心区域新增加，在非重点区域尽可能利用旧原则实施网络建设和部署工作。从设备选型、信息点部署、综合布线、运维成本、人工等多个方面进行了测算，从理论上证明是最经济的设计方案。第三章关键技术原理3.1VLAN划分技术基于VLAN隔离技术的访问控制方法在一些中小型企业和小区中得到广泛的应用。VLAN是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。3.2STP技术 STP（SpanningTreeProtocol）是生成树协议的英文缩写。该协议可应用于在网络中建立树形拓扑，消除网络中的环路，并且可以通过一定的方法实现路径冗余，但不是一定可以实现路径冗余。生成树协议适合所有厂商的网络设备，在配置上和体现功能强度上有所差别，但是在原理和应用效果是一致的。生成树协议最主要的应用是为了避免局域网中的单点故障、网络回环，解决成环以太网网络的“广播风暴”问题，从某种意义上说是一种网络保护技术，可以消除由于失误或者意外带来的循环连接。3.3DHCP技术DHCP（DynamicHostConfigurationProtocol，动态主机配置协议）通常被应用在大型的局域网络环境中，主要作用是集中的管理、分配IP地址，使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息，并能够提升地址的使用率。DHCP协议采用客户端/服务器模型，主机地址的动态分配任务由网络主机驱动。当DHCP服务器接收到来自网络主机申请地址的信息时，才会向网络主机发送相关的地址配置等信息，以实现网络主机地址信息的动态配置。在此项目中，根据项目需求，我们在三层交换机SW1-1、SW1-2配置了DHCP协议。3.4VTPVLAN中继协议，VTP，VLANTRUNKINGPROTOCOL，是CISCO专用协议，大多数交换机都支持该协议。VTP负责在VTP域内同步VLAN信息，这样就不必在每个交换上配置相同的VLAN信息。VTP还提供一种映射方案，以便通信流能跨越混合介质的骨干。VTP最重要的作用是，将进行变动时可能会出现的配置不一致性降至最低。不过，VTP也有一些缺点，这些缺点通常都与生成树协议有关。3.5ACL技术访问控制列表（AccessControlList，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP等。3.6NAT技术网络地址转换协议，可以实现内部私有地址的主机访问到外网。3.7VPNVPN是一种常用于连接中、大型企业或团体与团体间的私人网络的通信方式。它利用隧道协议（TunnelingProtocol）来达到保密、发送端认证、消息准确性等私人消息安全效果，这种技术可以用不安全的网络（例如：互联网）来发送可靠、安全的消息。需要注意的是，加密消息与否是可以控制的，如果是没有加密的虚拟专用网消息依然有被窃取的危险。3.8链路聚合技术链路聚合（LinkAggregation），是指将多个物理端口捆绑在一起，成为一个逻辑端口，以实现出/入流量在各成员端口中的负荷分担，交换机根据用户配置的端口负荷分担策略决定报文从哪一个成员端口发送到对端的交换机。当交换机检测到其中一个成员端口的链路发生故障时，就停止在此端口上发送报文，并根据负荷分担策略在剩下链路中重新计算报文发送的端口，故障端口恢复后再次重新计算报文发送端口。链路聚合在增加链路带宽、实现链路传输弹性和冗余等方面是一项很重要的技术。使用链路聚合，提高网络的安全性。第四章整体设计方案4.1设计原则小区网络设计从整体架构来讲要科学合理、安全稳定高效，但是在具体实施的每一个环节都要紧紧围绕这个思路去开展，例如按照网络设计分层结构考虑，在接入层不仅要方便实施用户的接入，同时要考虑接入层在灵活部署和经济高效；在汇聚成不仅要考虑大数量数据流的汇聚和转发，同时要考虑汇聚层本身的节点设置、板卡选择、启动的协议和支持的功能等；例如在核心层，不仅要考虑到整个网络的数据汇聚和中转，同时要考虑核心节点之间的拓扑结构、核心节点启动的路由协议和策略、核心设备的安全性和连接情况等；对网络的科学性设计和技术先进性改良之后，不仅要在理论层面实现了高可靠，同时在实际的应用当中能切实体会到质量的提升和性能的改善，例如，利用网孔型架构设计核心网拓扑是科学的，利用网孔型结构在路由收敛时间和数据的负载分担方面起到了关键作用，此时，让局域网内用户感觉到网络使用更加流畅、应用更快捷。科学处理网络设备的重新购置和利旧这对矛盾。因为往往网络的改造时因为设备不具备某个功能和不支持某个协议，不能通过软件升级和更换单板增加功能，因此需要重新购置，在购置时要充分考虑到设备的型号、硬件配置、软件功能、后期的扩容和升级改造、特别是造价和售后服务也要充分考虑，把技术经济性和技术先进性统一考虑。网络设计工作的主要环节除了实现不同区域PC的通信，更重要的要实现非授权用户的拒绝访问，因此网络安全的设计工作，不仅要考虑到网络边界区域的安全还要考虑到局域网内部安全、机制体制安全、安全体系完整、框架模型的先进等。而且更重要的是这种体系模型确实很部署在网络当中，起到了很好的作用和效果，具有平滑迁移能力和良好的普适性。4.2接入层设计接入层处在网络的末端，主要是实现用户的高速便捷的接入。通常采用以太网交换机与用户PC直连。接入层交换机工作在二层，主要是实现数据的快速转发任务，因此，在设备选型方面要考虑设备的价格、端口类型和数量、支持的MAC地址数量、是否支持QinQ等。4.3汇聚层设计汇聚层通常也是采用大容量机框式三层交换机，它主要是实现二层和三层数据包的硬件方式快速转发，多类型二层业务汇聚，数据的缓存和交叉连接、二层数据和三层数据的协议拆分和转接。因此，在选择汇聚层三层交换机时务必要考虑到支持的端口类型和数量、板卡类型和背板容量、支持的协议、队列缓存大小、交换矩阵容量等。除此之外还要考虑，网络拓扑链接、是否支持HSRP和VRRP协议进行有效的数据保护，在IPv6网络和大二层网络建设中要考虑是否支持设备和链路的虚拟化等。4.4核心层设计核心层是网络数据交换和处理中心，负责三层数据包的高速缓存、寻址和转发工作，其中核心层设备硬件资源要丰富、能支持三层以上的大部分协议类型、路由表数量要支持30万以上，能支持MPLS流量工程等。在设备选择方面要考虑选择大容量多接口的路由器承担此工作。在核心层由于运行大量的动态路由协议和静态路由协议，因此要充分考虑路由的规划和设计，特别是对路由策略要详细设计。4.5服务器设计数据中心区域是小区网络设计的关键部位。由于数据中心区域往往放置着校园核心的服务器和数据库系统，因此对网络的实时性、带宽分布和安全性要求很高。通常我们要建设专门的数据中心网络，实现数据高速的横向和纵向交互。但是，在实际的建设过程中一定要结合应用的实际开展数据中心建设，要根据网络的规模、业务量大小、带宽容量等综合考虑实施。4.6网络边界设计区域边界区域是小区与外界信息沟通的网关节点，通常要架设专门的防火墙来实现对进出数据流的有效监控和过滤。对于进入校园内部网络的数据流，除了正常访问的，其他的一些异常端口要进行阻断、一些异常的TCP连接要终止、一些非法访问授权要从应用层角度进行隔离。对于流出到公网的流量，也要严格进行分类和业务流指引，保证在边界区域的高效和安全，同时要考虑在边界区域的NAT，通过动态的方式还是静态的方式还是综合方式进行地址转换。4.7无线网络设计目前，无线网络在小区内进行大范围覆盖已经变得迫切而重要，由于终端设备的移动性，需要随时随地的进行网络连接，因此通过架设大功率AP实现无线网络的全覆盖是小区建设的一个重要目标。无线网络建设的核心是AP点的选取、关键是如何做好无线网络的规划工作、重点是如何实现网络的无缝隙覆盖工作。4.8应用服务设计小区网络主要服务包括了DNS域名服务系统、DHCP动态IP地址分配服务、IIS服务、目录服务、文件共享服务、打印共享服务、数据库应用服务等各类多种系统及应用。每一种服务根据其应用特点和部署方法，结合实际应用环境，开展设计部署。比如DNS服务器，根据网络规模和服务区域可以单独架设和分散架设,DHCP服务主要是对域内PC客户端实现动态的地址分配，减小地址的分配混乱和冲突问题，是整体架设还是区域架设需要认真分析；其他类型的服务不一而足。第五章仿真和测试5.1仿真软件介绍目前，基于网络仿真和模拟有很多软件。比较简单和常用的CISCOpackettracert已经被广大学生和工程师作为思科设备学习和模拟的必备软件，它可以实现绝大多数CCNA的网络实验，但是对于大型的网络就不能很好的支持。GNS3是开源的网络仿真软件，可以通过加载CISCO的交换机路由器防火墙、甚至可以是juniper的网络设备的IOS镜像文件，真实的模拟出了设备的所有功能，可以设置大型的网络和复杂协议。国产的模拟器，例如华为的ENSP软件，也可以很好的支持绝大多数的网络设备模拟，华三的H3Cloud软件也可以模拟华三设备的软件。5.2网络拓扑搭建5.3VLAN划分和IP地址规划Vlan功能划分业务系统描述Vlan规划业务系统VLAN不同地理位置和不同部分划分VLAN，每个VLAN主机数不超过200门诊系统vlan1系统vlan2体检系统vlan3PAPC系统vlan4小区管理系统vlan5小区财务系统vlan6语音VLAN承载VOIP业务，用专门的vlan实现，方案采用vlan300主要是全院采用voip实现院内语音系统。无线用户VLAN如果小区允许非本地用户接入，需要部署基于802.1x的NAC系统对用户进行鉴权计费和认证，本次方案管理vlan采用400采用区域划分的方式进行业务vlan划分从100-140进行部署多媒体视频流也就是组播VLANMulticastVLAN用来承载组播业务流。本次不进行配置。组播业务主要用于视频流的全院统一播送，小区视频点播、会议系统，vlan从200-220进行划分。Vlan详细规划表小区Vlan号主机数网络地址广播地址可用范围/子网掩码可用主机数友和里1025455-53/24250嘉和里2025455-53/24250瑞和理3025455-53/24250无线网4025455-53/24250网管16231-0/2650服务器10025455-53/24250表3-1用户IP地址规划表5.4关键设备配置5.4.1核心交换HSRP配置交换机CORE-SW1：5.4.2核心HSRP协议配置交换机CORE-SW1：interfaceVlan1ipaddress92interfaceVlan10mac-address0060.5ce0.7601ipaddressstandby10ipstandby10priority150standby10preemptinterfaceVlan20mac-address0060.5ce0.7602ipaddressstandby20ipstandby20priority150standby20preemptinterfaceVlan30mac-address0060.5ce0.7603ipaddressstandby30ipstandby30priority150standby30preemptinterfaceVlan40mac-address0060.5ce0.7604ipaddressstandby40ipstandby40priority150standby40preempt5.4.3边界路由器NAT配置CORE_R1： interfaceGigabitEthernet0/2 ipaddressipnatinside ipnatinsidesourcelist1interfaceGigabitEthernet0/1overload5.4.4IPsecVPN远程访问配置R4：cryptoipsectransform-setipsec123esp-3desesp-md5-hmaccryptomapipsec45610ipsec-isakmpsetpeersettransform-setipsec123matchaddress1005.4.5ACLR2：access-list110denyip5555access-list110permitipanyanyaccess-list100permitip5555access-list100permitip5555access-list100permitip5555access-list100permitip5555access-list100permitip55555.5测试与验证图5.1ACL图图5.2ping内网服务器图5.3ping外网服务器图5.4ping相同vlan图5.5R1acl图5.6路由查看图5.7R2acl图5.8R2nat图5.9R2路由查看图5.10R4nat图5.11sw1-1HSRP图5.12sw1-1VTP查看图5.13sw1-1VTP查看图5.14sw1-1链路聚合