针对课程:《路由交换技术》课程设计 指导教师:耿 强 小组组长:xx 小组组员:xx
xx xx 评
分:
2012 年 6 月 20 日
目录 一、需求分析 .......................................................................................................................................................... 5 1.1
功能分析 ............................................................................................................................................. 5 1.2 软硬件分析 ............................................................................................................................................ 5 1.2.1 接入层交换机 .............................................................................................................................. 5 1.2.2 核心层的 3 层交换机 ................................................................................................................. 8 1.2.3 核心接入广域网交换机 ............................................................................................................ 9 1.2.4 两个分公司使用路由器 .......................................................................................................... 12 1.2.5 防火墙 .......................................................................................................................................... 14 1.3 技术实现的分析 ................................................................................................................................. 16 1.3.1 需求解析 ...................................................................................................................................... 16 1.3.2 技术概括 ...................................................................................................................................... 19 二、拓扑规划 ........................................................................................................................................................ 21 2.1
拓扑图 ................................................................................................................................................ 21 2.1.1 总拓扑图 ...................................................................................................................................... 21 2.1.2 网络拓扑图 ................................................................................................................................. 22 2.1.3 接入层 .......................................................................................................................................... 23 2.2
IP 分配 ............................................................................................................................................... 23 2.3
设备选型 ........................................................................................................................................... 25 2.3.1
接入层交换机 ......................................................................................................................... 25 2.3.2
汇聚层交换机 ......................................................................................................................... 25 2.3.3
核心交换机 ............................................................................................................................. 26 2.3.4
核心路由器 ............................................................................................................................. 26 三、实施 .................................................................................................................................................................. 27 3.1
命令 ..................................................................................................................................................... 27 3.2
测试 ..................................................................................................................................................... 36 3.2.1Dhcp 测试 ................................................................................................................................... 36 3.2.2 接入层测试 ................................................................................................................................. 37 3.2.3 测试路由 ...................................................................................................................................... 38 3.2.4Pap 认证测试 ............................................................................................................................... 39 3.2.5NAT 测试 ..................................................................................................................................... 40 3.2.6VPN 测试...................................................................................................................................... 40 四、优化 .................................................................................................................................................................. 41 4.1
功能描述优化 .................................................................................................................................. 41 4.2 设备优化 .............................................................................................................................................. 41 4.3 结构优化 ............................................................................................................................................... 41 4.4 配臵优化 ............................................................................................................................................... 41 五、总结 .................................................................................................................................................................. 42
人员分工 xx:需求分析,拓扑设计,OSPF的设计,VPN的设计,DHCP的设计,NAT的实现,财务处的端口安全,防火墙的配臵,默认路由。
xx:需求分析,拓扑设计,VTP的搭建,VPN的设计,DHCP的设计,财务处的端口安全,防火墙的配臵。
xx:分公司的ip地址分配,vlan的划分,单臂路由,默认路由。
xx:总公司的ip地址分配,vlan的划分,链路的捆绑,SVI技术Vlan的互访,ppp的pap认证。
一 、 需求分析
1.1
功能分析 由于本公司初到中国市场,要在中国两个不同的城市,成立两个公司,有如下需求
1.1.1
第一个公司有600个人要上网,同时也是作为总公司来发展,日后会有更多的人加入我们公司总部。而分公司有100个人要上网,日后固定人数也就是100人左右。
1.1.2
我们公司将会有 4 部门,并且希望休闲中心不能访问财务处和网络中心,销售部不能访问网络中心和财务处,网络中心不能访问财务处,财务处只能和 Server 互相通信。
1.1.3
在公司总部的三层交换机,核心路由器,防火墙和外网出口都在网络中心,网络中心有 50 个终端分布在同一层楼,销售部距离网络中心 800 米有销售部 200 个终端,销售部的大楼有 10 层,每层有 20 个信息点。财务处距离网络中心 300 米财务处有 200 个终端,财政处的大楼有 3 层,第一层有 100 个信息点,剩下的 2 层每层有 50 个信息点,休闲中心距离网络中心 900 米有休闲中心有 200 个终端接入,每个休闲中心有 100 个人上网。
1.1.4
由于考虑到日后的发展,要求两个公司都 100M 到桌面,同时两个公司之间的通信必需注意安全性。
1.1.5
为了减轻日后管理员的维护量,使用 dhcp 为 4 个部门分配 ip 地址。休闲中心 1 和休闲中心 2 分别作为该公司的咖啡厅和餐厅,两个中心都对所有人提供免费 wi-fi,所有人都能免费接入到外网。
1.1.6
财务处必须提高该部门的安全性,我们公司对网络的需求很高,不能随便断线。
1.1.7.
分公司只有 100 人,而且都在同一层楼。
1.1.8.
该公司有两个 web Server 提供对外部和内部的访问,但要保证两个 Server 的安全性,该企业向 ISP 运营商申请到的 ip 地址为 100.100.1.0\28 和 202.200.1.4\30 两个地址段。
1.2 软硬件分析 1.2.1 接入层交换机 统一使用 c2960 系列;
价格 5000
图1.2-1 c2960 接入层交换机
表 1.2-1
CISCO WS-C2960-24TC-L 详细参数 主要参数 产品类型 智能交换机 应用层级 二层 传输速率 10/100Mbps 产品内存 DRAM 内存:64MB FLASH 内存:32MB 交换方式 存储-转发 背板带宽 4.4Gbps 包转发率 6.5Mpps MAC 地址表 8K 端口参数 端口结构 非模块化 端口数量 26 个 端口描述 24 个以太网 10/100Mbps 端口,2 个两用上行端口 传输模式 全双工/半双工自适应
功能特性 网络标准 IEEE 802.3,IEEE 802.3u,IEEE 802.1x,IEEE 802.1Q,IEEE 802.1p,IEEE 802.1D,IEEE 802.1s,IEEE 802.1w,IEEE 802.3ad,IEEE 802.3z VLAN 支持 QOS 支持 网络管理 Web 浏览器,SNMP,CLI 其它参数 状态指示灯 每端口,系统 电源功率 30W 产品尺寸 44×445×236mm 产品重量 3.6kg 环境标准 工作温度:0-45℃ 工作湿度:10%-85%(非冷凝)
存储温度:-25-70℃ 存储湿度:10%-85%(非冷凝)
主要参数 产品类型:智能交换机
应用层级:二层
传输速率:10/100Mbps
产品内存:DRAM 内存:64MB FLASH 内存:32MB
交换方式:存储-转发
背板带宽:4.4Gbps
包转发率:6.5Mpps
MAC 地址表:8K
1.2.2 核心层的 3 层交换机 使用 siscoWS-C4948-S
价格 20000 表 1.2.2-1
CISCO WS-C4948-S 汇聚层交换机详细参数 主要参数 产品类型 千兆以太网交换机 应用层级 二层 传输速率 10/100/1000Mbps 处理器 266MHz 交换方式 存储-转发 背板带宽 96Gbps 包转发率 72Mpps MAC 地址表 32K 端口参数 端口结构 非模块化 端口数量 52 个 端口描述 48 个 10/100/1000Mbps 端口,4 个 SFP 端口 功能特性 网络标准 IEEE 802.3,IEEE 802.3u,IEEE 802.3z,IEEE 802.3ab,IEEE 802.1D,IEEE 802.1w,IEEE 802.1s,IEEE 802.3ad,IEEE 802.1p,IEEE 802.1Q,IEEE 802.1x VLAN 支持 QOS 支持 网络管理 基于命令行界面(CLI)的管理控制台 提供具体的带外管理 其它参数 电源功率 300W 产品尺寸 409.9×439.1×44.5mm
产品重量 7.48kg 环境标准 工作温度:0-40℃ 存储温度:-40-75℃ 相对湿度:10%-90%(非冷凝)
主要参数 产品类型:千兆以太网交换机
应用层级:二层
传输速率:10/100/1000Mbps
处理器:266MHz
交换方式:存储-转发
背板带宽:96Gbps
包转发率:72Mpps
MAC 地址表:32K 端口参数 端口结构:非模块化
端口数量:52 个
端口描述:48 个 10/100/1000Mbps 端口,4 个 SFP 端口
功能特性 网络标准:IEEE 802.3,IEEE 802.3u,IEEE 802.3z,IEEE 802.3ab,IEEE 802.1D,IEEE 802.1w,IEEE 802.1s,IEEE 802.3ad,IEEE 802.1p,IEEE 802.1Q,IEEE 802.1x VLAN:支持
QOS:支持
网络管理:基于命令行界面(CLI)的管理控制台 提供具体的带外管理
1.2.3 核心接入广域网交换机 使用模块化交换机 价格 30000
图 1.2.3-1 模块化交换机
表 1.2.3-1 CISCO WS-C6509-E
核心层交换机 重要参数
产品类型 企业级交换机 应用层级 三层 传输速率 10/100/1000Mbps 背板带宽 720Gbps VLAN 支持 网络管理 CiscoWorks2000,RMON,增强交换... 包转发率 387Mpps MAC 地址表 64K 网络标准 IEEE 802.3,IEEE 802.3u,IEEE ... 端口结构 模块化 交换方式 存储-转发 电源功率 4000W 4000W
表 1.2.3-2
CISCO WS-C6509-E 详细参数 主要参数
产品类型 企业级交换机 应用层级 三层 传输速率 10/100/1000Mbps 交换方式 存储-转发 背板带宽 720Gbps 包转发率 387Mpps MAC 地址表 64K 端口参数 端口结构 模块化 扩展模块 9 个模块化插槽 传输模式 支持全双工 功能特性 网络标准 IEEE 802.3,IEEE 802.3u,IEEE 802.1s,IEEE 802.1w,IEEE 802.3ad VLAN 支持 QOS 支持 网络管理 CiscoWorks2000,RMON,增强交换端口分析器(ESPAN),SNMP,Telnet,BOOTP,TFTP 其它参数 电源功率 4000W 产品尺寸 622×445×460mm
主要参数 产品类型:企业级交换机
应用层级:三层
传输速率:10/100/1000Mbps
交换方式:存储-转发
背板带宽:720Gbps
包转发率:387Mpps
MAC 地址表:64K
端口参数 端口结构:模块化
扩展模块:9 个模块化插槽
传输模式:支持全双工
功能特性 网络标准:IEEE 802.3,IEEE 802.3u,IEEE 802.1s,IEEE 802.1w,IEEE 802.3ad VLAN:支持
QOS:支持
网络管理:CiscoWorks2000,RMON,增强交换端口分析器(ESPAN),SNMP,Telnet,BOOTP,TFTP
1.2.4 两个分公司使用路由器 用思科的 3925 表 1.2.4-1
CISCO 3925/K9 详细参数 基本参数 路由器类型 多业务路由器 传输速率 10/100/1000Mbps 端口结构 模块化 局域网接口 3 个 其它端口 2 个基于 SFP 的端口 2 个外部 USB2.0 端口 1 个串行控制台端口
1 个串行辅助端口 扩展模块 2 个服务模块插槽+1 个双宽度服务模块插槽+4 个 EHWIC 插槽数+2 个双宽度EHWIC 插槽+1 个 ISM 插槽数+4 个板载 DSP(PVDM)插槽 功能参数 防火墙 内臵防火墙 Qos 支持 支持 VPN 支持 支持 其他参数 产品内存 DRAM 内存:1GB,最大 2GB 电源电压 AC 100-240V,47-63Hz 产品认证 UL 60950-1,CAN/CSA C22.2 No.60950-1,EN 60950-1,AS/NZS 60950-1,IEC 60950-1 产品尺寸 133.35×438.15×476.25mm 产品重量 17.7kg(带交流电源,无模块)
环境标准 工作温度:0-40℃ 工作湿度:10%-85%RH 存储温度:-40-70℃ 存储湿度:5%-95%RH 基本参数 路由器类型:多业务路由器
传输速率:10/100/1000Mbps
端口结构:模块化
局域网接口:3 个
其它端口:2 个基于 SFP 的端口 2 个外部 USB2.0 端口 1 个串行控制台端口 1 个串行辅助端口
扩展模块:2 个服务模块插槽+1 个双宽度服务模块插槽+4 个 EHWIC 插槽数+2个双宽度 EHWIC 插槽+1 个 ISM 插槽数+4 个板载 DSP(PVDM)插槽
功能参数 防火墙:内臵防火墙
Qos 支持:支持
VPN 支持:支持 其他参数 产品内存:DRAM 内存:1GB,最大 2GB
电源电压:AC 100-240V,47-63Hz
产品认证:UL 60950-1,CAN/CSA C22.2 No.60950-1,EN 60950-1,AS/NZS 60950-1,IEC 60950-1
产品尺寸:133.35×438.15×476.25mm
产品重量:17.7kg(带交流电源,无模块)
环境标准:工作温度:0-40℃ 工作湿度:10%-85%RH 存储温度:-40-70℃ 存储湿度:5%-95%RH
1.2.5 防火墙 使用 CISCO ASA5520-BUN-K9 表 1.2.5-1
CISCO ASA5520-BUN-K9 详细参数 主要参数 设备类型 VPN 防火墙 并发连接数 280000 网络吞吐量 450Mbps 安全过滤带宽 225Mbps 用户数限制 无用户数限制
网络端口 千兆以太网端口×4、快速以太网端口×1、SSM 扩展插槽×1 控制端口 console VPN 支持 支持 入侵检测 DoS 管理 思科安全管理器 (CS-Manager) ,Web 安全标准 UL 1950,CSA C22.2 No. 950,EN 60950 IEC 60950,AS/NZS3260,TS001 一般参数 电源 100-240VAC,47/63Hz 产品尺寸 362×200.4×44.5mm 产品重量 9.07kg 适用环境 工作温度:0℃-40℃ 工作湿度:5%-95%(非冷凝) 存储温度:-25℃-70℃ 存储湿度:5%-95% (非冷凝) 其他性能 既可以实现强大的安全保护,又可以避免在多个地点运行多个设备的高运行成本 主要参数 设备类型:VPN 防火墙
并发连接数:280000
网络吞吐量:450Mbps
安全过滤带宽:225Mbps
用户数限制:无用户数限制
网络端口:千兆以太网端口×4、快速以太网端口×1、SSM 扩展插槽×1
控制端口:console
VPN 支持:支持
入侵检测:DoS
管理:思科安全管理器 (CS-Manager) ,Web 纠错 安全标准:UL 1950,CSA C22.2 No. 950,EN 60950 IEC 60950,AS/NZS3260,TS001
一般参数 电源:100-240VAC,47/63Hz
产品尺寸:362×200.4×44.5mm
产品重量:9.07kg
适用环境:工作温度:0℃-40℃ 工作湿度:5%-95%(非冷凝) 存储温度:-25℃-70℃ 存储湿度:5%-95% (非冷凝)
其他性能:既可以实现强大的安全保护,又可以避免在多个地点运行多个设备的高运行成本
1.3 技术实现的分析 1.3.1 需求解析 需求 1、由于本公司初到中国市场,要在中国两个不同的城市,成立两个公司。
解析:在两个不同的城市有该企业的两个公司,就意味着中间要有运营商。
需求 2、第一个公司有 600 个人要上网,同时也是作为总公司来发展,日后会有更多的人加入我们公司总部 解析:在公司的总部目前有 600 个终端,再设计时要留有一定的余量,以便于日后的扩展。
需求 3、分公司有 100 个人要上网,日后固定人数也就是 100 人左右。
解析:在公司分部目前有 100 个终端,日后节点数相对稳定。
需求 4、我们公司将会有 4 部门,并且希望休闲中心不能访问财务处和网络中心,销售部不能访问网络中心和财务处,网络中心不能访问财务处,财务处只能和 Server 互相通信。
解析:使用 VLan 技术为该企业划分 4 个 vlan 由于交换机较多,我们使用 VTP 技术,实现一个 VTP server 管理多个 VTP client 来划分 Vlan。
Vlan1 为休闲中心 Vlan2 为销售部 Vlan3 为网络中心 Vlan4 为财务处
并且使用扩展 ACL 来达到如下安全需求 并且 vlan1 不能访问 vlan4 Vlan2 不能访问 vlan4 Vlan3 不能访问 vlan4 Vlan4 只能和 Server 通信。
需求 5、在公司总部有三层交换机,核心路由器,防火墙和外网出口都在网络中心。
解析:意味着所有的接入层流量,汇聚到网络中心的三层交换机上,并由核心路由器转发出外网。
地域图如下 网络中心销售部财务处休闲中心单模光纤800米300米多模光纤900米单模光纤公司总部Internet光纤图 1.3-1 地域图
需求 6、网络中心有 50 个终端分布在同一层楼 解析:因为流量在网络中心汇聚,所以可以直接用两台接入层交换机与三层交换机相连,并为其分配 ip 地址为 192.168.3.0\24 需求 7、销售部距离网络中心 800 米有销售部 200 个终端,销售部的大楼有 10 层,每层有 20个信息点。
解析:因为距离网络中心 800 米和要求 100M 到桌面,所以只能采用单模光纤传输流量。并为
其分配 ip 地址为 192.168.2.0\24 网段。每层楼有 20 个信息点共有 10 层,需要 10 台接入交换机分配到每层,再由一台交换机汇聚销售部流量,并转发至网络中心。
需求 8、财务处距离网络中心 300 米财务处有 200 个终端,财政部的大楼有 3 层,第一层有 100个信息点,剩下的 2 层每层有 50 个信息点。
解析:因为距离网络中心 300 米和要求 100M 到桌面,所以采用多模光纤传输流量。并为其分配 ip 地址为 192.168.4.0\24 网段。第一层有 100 个信息点,需要 5 台接入交换机。剩下的 2 层每层有 50 个信息点,每层需要 2 台接入交换机,再由一台交换机汇聚财务处流量,并转发至网络中心。
需求 9、休闲中心距离网络中心 900 米有休闲中心有 200 个终端接入,每个休闲中心有 100 个人上网。
解析:因为距离网络中心 900 米,所以采用单模光纤传输流量。并为其分配 ip 地址为192.168.1.0\24 网段。两个休闲中心,分别有 100 个用户,如果假设一台 AP 只接入 10 台 pc,所以一个网络中心需要 10 台 AP 进行整个房间的覆盖,再由一台交换机汇聚休闲中心流量,并转发至网络中心。
需求 10、同时两个公司之间的通信必需注意安全性。
解析:为了节省不必要开支,我们不使用专线接入。直接使用 VPN 技术,实现 ip sec 隧道加密技术。
需求 11、该企业网络规模较大,节点数较多。
解析:我们将使用 OSPF 路由协议来提供全网路由,因为 OSPF 适合大型企业网络,并且我们多条线路都有冗余,使用 OSPF 还可以实现等价负载均衡,使网络的效率更高。
由于 OSPF 是内部网关协议,运营商不会使用。出口处我们将用默认路由来指向出口。
需求 11、为了减轻日后管理员的维护量,使用 dhcp 为 4 个部门分配 ip 地址。休闲中心 1 和休闲中心 2 分别作为该公司的咖啡厅和餐厅,两个中心都对所有人提供免费 wi-fi,所有人都能免费接入到外网。
解析:可以使用 dhcp 技术,为每个 vlan 分配不同的 ip 地址,为每个用户分配 ip 地址。同时解决了因为 ip 地址重复造成冲突的问题。因为是企业园区 Ap 将不设臵接入密码,直接可以通过 Ap 访问出外网。
需求 12、财务处必须提高该部门的安全性,我们公司对网络的需求很高,不能随便断线。
解析:我们将对财务部的交换机做端口安全,实现一个接口只能被一台 pc 访问。由于不能随
便断线,我们核心路由器和三层交换机都实现冗余备份,然后再将多条线路实现捆绑,并进行冗余备份和等价负载均衡。
需求 13、由于这个分公司只有 100 人,并且在同一层。
分析:我们直接用 5 个交换机接入,再由一个交换机进行汇聚。并且使用居于广播段来划分Vlan,由于规模较小,直接使用单臂路由来互连,出口使用默认路由。
需求 13、该公司有两个 web Server 提供对外部和内部的访问,但要保证两个 Server 的安全性。
解析:由于两个要保证两台 Server 的安全性,同时也要提供对外的访问的服务,所以我们使用防火墙,并将服务器放进它的 DMZ 区域,实现对外的安全性并且使用 IPsec 来保证分部与Server 之间的安全性。
需求 14、企业向 ISP 运营商申请到的 ip 地址为 100.100.1.0\28 和 202.200.1.4\30 两个地址段。
解析:由于向运营商申请的 ip 地址有限,所以要使用 NAPT 技术,实现多个 ip 地址对应一个ip 地址的转换。两台 Server 提供对外访问,所以,两台 Server 需要两个 ip 地址。并且使用 ppp协议接入到 internet。
1.3.2 技术概括 VLAN(Virtual Local Area Network)虚拟局域网:可以将交换机设备从逻辑上划分成多个广播域,从而实现了通信的优化和设备的管理。
VTP(VLAN Trunking Protocol)VLAN 中继协议:可以将在 Server 上划分的 vlan 传输到所有的 client 上。
DHCP(Dynamic Host Configuration Protocol)动态主机设臵协议:减少网络管理员的维护量和分配地址的难度。并且可以按 vlan 给不同 vlan 的客户机划分不同网段的 ip 地址。
交换机端口安全:可以将交换机的 MAC 地址和端口映射表进行绑定,如果同一个端口不同mac 的终端接入可以实现将端口关闭。以保证网络的安全。
ACL(Access Control List)访问控制列表:可以用来实现对某些主机的某种访问进行控制。并且可以用来抓取地址来为 nat 和 vpn 服务等。
SVI (switch virtual interface):交换机虚拟接口既交互三级的管理 Vlan 地址,可以实现不同 vlan直接的互相通信。并且可以帮助 dhcp 为不同的 vlan 划分 ip 地址。
链路的捆绑:将交换机的多个物理端口逻辑的捆绑成一个端口,可以实现等价负载均衡,链路冗余,增加带宽,等好处。
单臂路由:可以节省核心路由器的接口,并且适合小型网络的设计方案,但是容易形成瓶颈。
OSPF(Open Shortest Path First)开放式最短路径优先: 它属于内部网关协议,可以用来实现一个自治系统内部的互相访问。
默认路由:默认路由是一种特殊的静态路由,我们用它来解决运营商不使用内部网关协议而导致的 ospf 不知道外部路径的情况。数据包只需要丢给运营商就由运营商自己转发。
NAT (Network Address Translation) 网络地址转换:可以将私有地址转化成共有地址,来节约公有地址,暂时性解决了公有地址匮乏的难题。同时提高了内部设备的安全性。
PAP(Password Authentication Protocol)密码认证协议:在这里,我们它来实现运营商对公司的认证,也就是说运营商用它来控制这个公司是否能上网。
VPN(Virtual Private Network) 虚拟专用网络:我们用的是 IP sec,属于网络层的隧道技术。我们用它来实现,分公司和总部之间的互访,提供了访问的安全性,数据被截获后,还需要破解才能看见内容。
二 、 拓扑规划
2.1
拓扑图 2.1.1 总拓扑图 销售部Vlan2192.168.2.0网络中心Vlan3192.168.3.0财务处Vlan4192.168.4.0休闲中心1Vlan1192.168.1.0休闲中心2Vlan1192.168.1.0单模光纤1G1G单模光纤1G1G1G1Gvlan2vlan3vlan4Web1 Server192.168.10.2Web Server192.168.10.,3192.168.10.1100.100.1.2/28100.100.1.1/28202.200.1.6/30多模光纤1G1G100M100M100M100M楼层接入交换机楼层汇聚交换机202.200.1.5/30192.168.5.1\24192.168.5.2\24 192.168.6.2\24192.168.6.1\24192.168.7.1\24192.168.7.2\24子接口192.168.1.0\24192.168.2.0\24192.168.3.0\24192.168.4.0\24100M100M100M100M1G 图 2.1.1-1
拓扑图
2.1.2 网络拓扑图 这是我们的网络规划图,
图 2.1.1-2 顶层
这是总部和分部之间的模拟图 主要实现的是核心层和广域网技术的路由命令 我们用 gns3 来模拟器来实现。
2.1.3 接入层
图 2.1.1-3 接入层
这是我们总部的接入层的拓扑图, 主要实现接入层和汇聚层的配臵命令 2.2
IP 分配
表 2.2-1
WLFirewall ip 地址 设备名字 对应接口 Ip 地址 子网掩码 作用 WLFirewall S1/0 100.100.1.1 255.255.255.240 连接广域网 F0/0 192.168.7.2 255.255.255.0 连接公司路由器 Lookback 0 192.168.10.1 255.255.255.0 模拟 DMZ
表 2.2-2
WLR1 ip 地址 设备名字 对应接口 Ip 地址 子网掩码 作用
WLR1 F1/0 192.168.7.1 255.255.255.0 连接防火墙 F0/1 192.168.6.2 255.255.255.0 连接核心交换机 F0/0 192.167.5.2 255.255.255.0 连接核心交换机
表 2.2-3
ISP ip 地址 设备名字 对应接口 Ip 地址 子网掩码 作用
ISP S0/0 100.100.1.2 255.255.255.240 模拟运营商对总公司提供互联网支持 S0/2 202.200.1.5 255.255.255.252 模拟运营商对分公司提供互联网支持
表 2.2-4
FBR1 ip 地址 设备名字 对应接口 Ip 地址 子网掩码 作用
FBR1 S1/0 202.200.1.5 255.255.255.252 连接 internet F0/0.1 192.168.1.254 255.255.255.0 子接口提供单臂路由网关 F0/0.2 192.168.2.254 255.255.255.0 F0/0.3 192.168.3.254 255.255.255.0 F0/0.4 192.168.4.254 255.255.255.0
表 2.2-5
WL1 ip 地址 设备名字 对应接口 Ip 地址 子网掩码 作用
WL1 F0/0 192.168.5.1 255.255.255.0 连接核心路由器 F1/0
端口集合提供冗余 F1/1 Lo1 192.168.1.1 255.255.255.0 Vlan1 的管理地址 Lo2 192.168.2.1 255.255.255.0 Vlan2 的管理地址 Lo3 192.168.3.1 255.255.255.0 Vlan3 的管理地址
Lo4 192.168.4.1 255.255.255.0 Vlan4 的管理地址
接入层由 pt 模拟
表 2.2-6
WL2 ip 地址 设备名字 对应接口 Ip 地址 子网掩码 作用
WL2 F0/0 192.168.5.1 255.255.255.0 连接核心路由器 F1/0
端口集合提供冗余 F1/1 Lo1 192.168.1.1 255.255.255.0 Vlan1 的管理地址 Lo2 192.168.2.1 255.255.255.0 Vlan2 的管理地址 Lo3 192.168.3.1 255.255.255.0 Vlan3 的管理地址 Lo4 192.168.4.1 255.255.255.0 Vlan4 的管理地址
接入层由 pt 模拟
2.3
设备选型 2.3.1
接入层交换机 接入层 24 口交换机一台可以接入 24 台 pc。
又因为 100M 到桌面所以有如下公式。
背板带宽=100M*24(接口)*2(全双工)=4.8Gbps 所以选 CISCO WS-C2960-24TC-L 对应 pt 模拟器的接入层交换机
2.3.2
汇聚层交换机 汇聚层负责接入层交换机的流量汇聚,并且转发至核心交换机, 又因为一台汇聚交换机要连接 10-15 台接入交换机所以 背板带宽=15*接入交换机背板带宽(5G)=75Gbps 所以选 CISCO WS-C4948-S 对应拓扑图 3 的汇聚层交换机
2.3.3
核心交换机 汇聚层都是用 1G 的线和核心交换机相连,而且必须使用模块化的机型。
所以选 CISCO WS-C6509-E 对应 pt 模拟器和 GNS3 的层交换机
2.3.4
核心路由器
因为虽然现在的三层交换机越来越强大,但是终究无法取代路由器,因为首先三层交换没有广域网的接口和插槽,并且对广域网技术的支持不够,所以导致了路由器在广域网方面无可替代的方面。
三 、 实施
3.1
命令 表 3.1-1
交换机 VTP 的设计 设备名称 实现功能 命令 WL1 VTP enable config ter vtp mode server
vtp 的模式为服务器 vtp domain cisco
vtp 的域名 cisco vtp password text
vtp 的密码为 text hostname WL1 WL2 VTP enable config ter vtp mode client
vtp 的模式为客户端 vtp domain cisco vtp password text hostname WL2 WL3 VTP enable config ter vtp mode client vtp domain cisco vtp password text hostname WL3
CW1 VTP enable config ter vtp mode client vtp domain cisco vtp password text
hostname CW1
XX1 VTP enable config ter vtp mode client vtp domain cisco vtp password text hostname XX1
表 3.1-2
交换机 VLAN 的设计 设备名称 实现功能 命令 WL1 VLAN 划分 vlan 2 name xs vlan 3 name wl vlan 4 name cw interface range f0/2 – 4 switchport mode trunk WL2 VLAN 划分 interface range f0/2 – 4 switchport mode trunk WL3 VLAN 划分 interface f0/1 – 2 switchport mode trunk interface range f0/10 - 20 switchport mode access switchport access vlan 3 CW1 VLAN 划分 interface f0/1 switchport mode trunk interface f0/2 switchport mode trunk
interface range f0/10 - 20 switchport mode access switchport access vlan 4
XX1 VLAN 划分 interface range f0/1 – 2 switchport mode trunk
表 3.1-3
交换机的链路聚合的设计 设备名称 实现功能 命令 WL1 链路聚合 interface range f0/10 - 11 switchport mode trunk channel-group 1 mode on
WL2 链路聚合 interface range f0/10 - 11 switchport mode trunk channel-group 1 mode on
表 3.1-4
交换机 SVI 的设计 设备名称 实现功能 命令 WL1 SVI 技术 interface vlan 1 no shutdown ip address 192.168.1.254 255.255.255.0 interface vlan 2 no shutdown ip address 192.168.2.254 255.255.255.0 interface vlan 3 no shutdown ip address 192.168.3.254 255.255.255.0 interface vlan 4
no shutdown ip address 192.168.4.254 255.255.255.0 WL2 SVI 技术 interface vlan 1 no shutdown ip address 192.168.1.254 255.255.255.0 interface vlan 2 no shutdown ip address 192.168.2.254 255.255.255.0 interface vlan 3 no shutdown ip address 192.168.3.254 255.255.255.0 interface vlan 4 no shutdown ip address 192.168.4.254 255.255.255.0
表 3.1-5
交换机 DHCP 的设计 设备名称 实现功能 命令 WL1 DHCP ip dhcp pool xx
创建名为 xx 的地址池 network 192.168.1.0 255.255.255.0
地址的范围 default-router 192.168.1.254
设臵网关地址 dns-server 1.1.1.1
设臵 dsn 地址 exit ip dhcp pool xs network 192.168.2.0 255.255.255.0 default-router 192.168.2.254 dns-server 1.1.1.1 exit ip dhcp pool wl network 192.168.3.0 255.255.255.0
default-router 192.168.3.254 dns-server 1.1.1.1 exit ip dhcp pool cw network 192.168.4.0 255.255.255.0 default-router 192.168.4.254 dns-server 1.1.1.1 exit
表 3.1-6
交换机财务处的端口安全 设备名称 实现功能 命令 CW1 交换机端口安全 interface range f0/10 - 20 switchport port-security
开启端口安全 switchport port-security maximum 1
最大接入量为 1 switchport port-security violation shutdown
如果违规就 shutdown switchport port-security mac-address sticky
静态将 mac 地址和端口捆绑
表 3.1-7
OSPF 技术的实现 设备名称 实现功能 命令 WL1 OSPF router ospf 100 network 192.168.1.0 0.0.0.255 area 0 network 192.168.2.0 0.0.0.255 area 0 network 192.168.3.0 0.0.0.255 area 0 network 192.168.4.0 0.0.0.255 area 0 network 192.168.5.0 0.0.0.255 area 0 WL2 OSPF router ospf 100 network 192.168.1.0 0.0.0.255 area 0 network 192.168.2.0 0.0.0.255 area 0
network 192.168.3.0 0.0.0.255 area 0 network 192.168.4.0 0.0.0.255 area 0 network 192.168.6.0 0.0.0.255 area 0 WLR1 OSPF router ospf 100 network 192.168.5.0 0.0.0.255 area 0 network 192.168.6.0 0.0.0.255 area 0 network 192.168.7.0 0.0.0.255 area 0 WLFirewall OSPF router osf 100 network 192.168.7.0 0.0.0.255 area 0 network 192.168.10.0 0.0.0.255 area 0 network 100.100.1.1 0.0.0.255 area 0
表 3.1-8
单臂路由技术的实现 设备名称 实现技术 命令 FBR 单臂路由 in f0/0 no shutdown in f0/0.1
设臵子接口 encapsulation dot1Q 1
封装 802.1q 协议并划分进 vlan1 ip address 192.168.1.254 255.255.255.0 no shutdown in f0/0.2 encapsulation dot1Q 2 ip address 192.168.2.254 255.255.255.0 no shutdown in f0/0.3 encapsulation dot1Q 3 ip address 192.168.3.254 255.255.255.0 no shutdown in f0/0.4
encapsulation dot1Q 4 ip address 192.168.4.254 255.255.255.0 no shutdown
表 3.1-9
默认路由技术的实现 设备名称 实现技术 命令 WLFirewall 默认路由 ip route 0.0.0.0 0.0.0.0 100.100.1.2 FBR 默认路由 ip route 0.0.0.0 0.0.0.0 202.200.1.5
表 3.1-10
PAP 认证的实现 设备名称 实现技术 命令 ISP PAP Username zb password text Username fb password text interface s0/2 encapsulation ppp ppp authentication pap interface s0/0 encapsulation ppp ppp authentication pap FBR PAP interface s1/0 encapsulation ppp ppp pap sent-username fb password text WLFirewall PAP interface s1/0 encapsulation ppp ppp pap sent-username zb password text
表 3.1-11
NAT 技术的实现 设备名称 实现技术 命令 WLFirewall NAT access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255 access-list 1 permit 192.168.3.0 0.0.0.255 access-list 1 permit 192.168.4.0 0.0.0.255 ip nat pool zb 100.100.1.1 100.100.1.1 netmask 255.255.255.240
创建一个地址池 ip nat inside source list 1 pool zb overload FBR NAT access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255 access-list 1 permit 192.168.3.0 0.0.0.255 access-list 1 permit 192.168.4.0 0.0.0.255 ip nat pool fb 202.200.1.6 202.200.1.6 netmask 255.255.255.252 ip nat inside source list 1 pool fb overload
表 3.1-12
VPN 技术的实现 设备名称 实现技术 命令 WLFirewall VPN crypto isakmp policy 100(创建 IKE 策略,设臵编号 100)
encr aes
加密方式 aes hash md5
散列算法 MD5 authentication pre-share
认证方式共享密钥 group 2
交换密钥 D-H 算法密钥强度为GROUP2。
crypto isakmp key text address 202.200.1.6
(由于使用共享密钥的认证方式与对端建立 IKE 安全关联,所以需要指定双方约定的共享密钥 text,并且指定 IKE 对端为 202.200.1.6) crypto ipsec transform-set textvpn ah-sha-hmac esp-aes esp-sha-hmac(建立一个名称为 textvpn 的传输模式集,名称后面的参数可以是一~三个) access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 crypto map zhong 1000 ipsec-isakmap(创建名称为 zhong 的加密图将
第一步的传输模式集) set peer 200.100.1.6 set transform-set textvpn(定义的数据流与 VPN 对端 IP 地址绑定起来) match address 110(应用地址 110 组) interface f0/0 ip address 202.100.1.14 255.255.255.0 serial restart-delay 0 crypto map zong(应用到外部接口上)
FBR VPN crypto isakmp policy 1000 encr aes hash md5 authentication pre-share group 2 exit crypto isakmp key text address 100.100.1.1 crypto ipsec transform-set textvpn ah-sha-hmac esp-aes esp-sha-hmac access-list 120 permit ip any 192.168.10.0 0.0.0.255 crypto map feng 1000 ipsec-isakmap set peer 100.100.1.1 set transform-set textvpn match address 120 interface f0/0 ip address 202.100.1.6 255.255.255.0 crypto map feng
3.2
测试 3.2.1Dhcp 测试
图 3.2.1-1 vlan1 的测试
图 3.2.1-2 vlan3 的测试
图 3.2.1-3 vlan4 的测试
3.2.2 接入层测试
图 3.2.2-1 所有的 vlan 互访的测试
3.2.3 测试路由 WLR1 的路由表
图 3.2.3-1
WLR1 的路由表 WLFirewall 的路由表
图 3.2.3-2
WLFirewall 的路由表
FBR 的路由表
图 3.2.3-3
FBR 的路由表
3.2.4Pap 认证测试
图 3.2.4-1
pap 认证测试
3.2.5NAT 测试
图 3.2.5-1
NAT 测试 3.2.6VPN 测试
图 3.2.6-1
VPN 测试 四 、 优化
4.1
功能描述优化
功能描述优化方面主要针对于客户设计,因为功能描述有助于客户理解网络的基本构造达到客户的设计要求,避免客户提出不太可能的要求,引导客户正确的网络术语。当然,满足客户的需求是我们的的责任,功能描述应该本着源于客户,高于客户的宗旨。来满足客户,减少客户的专业知识不足带来的麻烦。需要理解客户想要的是什么,需要什么样的网络。尽量和对方工作人员对对现有网络进行分析。
4.2 设备优化
设备选型全网都是用的 cisco 设备,这样简化了配臵当中的兼容问题,也使得网络更安全,路由收敛更快。但是 cisco 的设备偏贵了,要优化设备可以选择华为,华三的设备,而且华为的设备是先使用后付款,还支持工程师跟踪服务,免去后顾之忧,但不管是怎样还是建议选择同一个厂家的设备,尤其是汇聚层以上的设备。这样可以避免 ios 的不同带来的兼容问题,也方面维护,易于管理。
4.3 结构优化
在结构方面完全遵守网络分层结构,向着灵活性,规范性,系统性,综合性的高要求来完成基本拓扑搭建,实际操作不允许大幅度的调动设备位臵。按照接入层,汇聚层,核心层各自的性能有点来设计拓扑,各层之间相互协调,互相分工,紧密相连。
4.4 配臵优化 网络配臵基于 cisco 的 ios 来配臵,按照需求分析,功能分析,拓扑结构来配臵各个设备, 有接入层的 ip 地址划分,到核心层的各种连接广域网技术,都首先在虚拟设备上实现,检查合格再写入设备。配臵的优化不在于精简,在于对设备的熟悉以及扎实的网络知识,所以选择一个好的网络规划公司是重要的。由于配臵模拟的 gns3 资源瓶颈问题,我们的接入层使用pt 模拟器,汇聚层核心层的重要技术使用 gns3 来实现,最终达到关联的效果。
五 、 总结
经过很多天的奋战,这个项目终于完美的完成了,通过这次项目,我们这个小组懂得了彼此之间合作的必要性,在大家的下,项目制作循序渐进,知识深入浅出,队友取长补短,愉快的解决了在项目中遇到的各种各样的问题,使得知识得到了升华,组长分配给各个组员的任务互相联系,层次分明,组员之间协调完美,使得这次项目按时完成。这个企业网的规划都是按照规范制作,其中我们还考虑了各个部门的扩展性进行了预算,慎重的测试了各项技术的实施,规划了各个部分的功能,最后简单的全网达到基本预想要求。我们依然希望这个设计会随着我们的知识层面的提高,在实现接入层的时候,我们划分了几个 vlan,来完成我们的网络需求。并且我们用到了 svi 技术,实现 vlan1,vlan2,vlan3 之间的互访。设臵了 IP网关分为 192.168.1.254,192.168.2.254,192.168.3.254,192.168.4.254。vlan 的划分采用的是 VTP 技术来划分的。在这当中,为了提高网络连接可靠性,我们也采用了冗余链路。防止故障。
但是在设计过程中难免存在各种的不足,比如 vrrp 技术没有实现,vpn 技术的不成熟,以及模拟和现实之间的差异。我们在实现的过程中遇到了很多的问题,例如 vtp 的设计,在pt 模拟器上是在全局模式下配臵,而在 GNS3 中却是在 vlan database 中搭建。Dhcp 在配臵过程中的难题却是怎样为不同的 vlan 划分地址,并且保证不会把其他 vlan 的配臵分给 Pc。SVI在设计的过程中,不确定哪些端口该使用成为 Trunk,经过了一次次的尝试和改进,学会了很多,并且知道了 SVI 的详细工作原理,并且对他有了很深入的了解。我们在 nat 技术的实现中遇到问题,因为在单臂路由的实现过程中,inside 接口起的是子接口,我们不确定是在物理接口上调用 ip nat inside 还是在子接口中一个一个的调用。经过多次的模拟和仿真,我们知道了应该是在子接口来调用。并且在设计的过程中本来是想加入 vrrp 的技术的,但是我们的 3 层设备和核心路由器用的是 OSPF,OSPF 本身就具备了等价负载均衡,和动态学习路由的能力,所以在实现的过程中,就决定去掉了 vrrp 技术。我们在实现交换机端口...