一、绪论
1.1 背景
本课题以中小型企业网络搭建为背景,实现网络规划与设计和模拟。该企业网有四个部门,人力部、研发部、市场部和财务部,不同部门分别划分VLAN,不同VLAN之间分配不同的IP地址段。内外网之间要互通。
1.2 发展趋势
市场经济的快速发展和计算机网络的普及使得网络与人们的日常生活越来越密切。在我们日常生活中,网络随处可见,常见的就有移动网络,有线网络,无线网络,视频监控和电子眼等。毫无疑问,网络的普及给我们生活带来了极大的便利,同时也使我们的人生安全在无形之中得到保障。比如:电子眼的出现,既保障了交通的安全,也使我们的人生安全得到保障。其次,无线网络的普及同样给我们生活带来了诸多便利,它使我们上网不再受到有线网络的限制。人们可以拿着IPAD和手机随时随地享受网上冲浪。相信在不久的未来,计算机网络的普及和发展规模将会越来越庞大;与此同时,无线网络的发展是一个必然趋势,现在的无线网络仍然还存在着些许缺陷,如无线网络的安全性和无线网络信号的稳定性一直都是我们关心的问题。
1.3 意义
在当今的信息化时代,网络在我们生活中处处可见。计算机网络的发展使得传统的网络架构模式不能满足现有企业用户的需求。计算机网络的普及也给我们日常生活和工作都带来了诸多方便,它不仅使我们的工作效率大大提高,也丰富了我们的业余娱乐活动,同时网络的快速发展也带动了社会经济的发展。
二、企业需求分析
2.1 项目概述
本次设计主要是以小型企业为为主,该企业四个部门。主要有人力部、研发部、市场部和财务部。每个部门都有100人,共400台终端。核心交换机连接FTP服务器和HTTP服务器。
2.2 用户需求分析
(1)企业有多个部门,要求每个部门单独划分到一个VLAN,每个VLAN中有100台终端
(2)部门之间的一些资料可以互相访问,财务部只有人力部能访问
(3)核心交换机一台
(4)核心链路带宽要增加,网络可靠性也要增强
(5)要实现内网能够上外网,需要使用网络地址转换来实现,内网地址转换为200.100.100.100或200.100.100.200
(6)DNS、FTP、HTTP中FTP只有研发部可以访问,DNS内网所有用户都可以访问,HTTP内外网用户都可以访问
2.3 服务器需求分析
HTTP服务器/WEB服务器:每个企业几乎都有自己的网站,能够对外宣传自己的企业,大大增加企业的知名度和关注度。HTTP服务器可以供企业总部内部用户、访问和浏览。如果需要实现外网用户访问,需要将HTTP服务器进行静态地址转换。
FTP服务器:FTP文件传输服务器,能够保证企业内部用户的一些主要资料和视频,以及一些常用的软件和工具。FTP能够实现内部用户的资料的保存与访问,且过滤掉一些未授权的用户的访问。
DNS服务器:DNS域名解析服务器,通过配置域名与IP地址对应映射,方便用户对一些网站的访问。一般的用户对于IP地址的记忆力不是很强和IP地址较多的情况很难记住,现在的网站很多,如果需要记住那些IP地址很麻烦。DNS域名服务器,通过配置域名和IP地址对应的映射,通过在浏览器输入相应的域名,查找到相应的IP地址后,在进行访问,对于用户来说是透明的。
2.4 网络安全需求分析
(1)控制北部网的非法IP地址进行外部网,公司内部规划使用IP,通过地址转换协议连接到外网,防止外网用户入侵公司内部
(2)对内部网资源主机的访问控制
2.5 网络设备需求分析
网络的快速发展,导致网络设备厂商越来多,不同设备厂商对于设备的性能和价格有所差距。Cisco的网络设备价格相关较高,h3c和华为的网络设备相对于Cisco来说,便宜了很多。但是在稳定性和性能上Cisco设备占据很大优势。该企业对网络设备的需求,应该尽量从这几方面考虑:
(1)性能方面:网络设备需要具有较高的转发性能,这样可以实现数据包在网络中快速转发,避免数据包流量过多,出现流量拥塞的情况
(2)安全方面:网络的安全在现在的网络设计中至关重要,所有在设备安全方面需要设备自身支持一些基本的安全协议,来保护网络的安全性,或通过购买专门的安全设备来保护网络的安全
(3)管理性方面:所有的网络设备需要支持可配置管理,支持一些常见的telnet、SSH、SNMP等相关协议,实现网络管理员远程管理和配置网络设备
(4)可靠性方面:用户需求实现链路冗余和用户网关备份,在汇聚层交换机选型需要支持相应的STP生成树、HSRP和VRRP网关备份冗余协议,保证用户网络的可靠性。
2.6 信息点需求分析
根据不同部门的人数,以及PC的数量,可以对该企业的信息点进行统计。在统计信息点时,不仅要根据PC的数量进行统计。
表-1信息点统计
| 部门 | 信息点 |
| 人力部 | 100 |
| 研发部 | 100 |
| 市场部 | 100 |
| 财务部 | 100 |
三、网络设计原则
3.1先进性
当今信息技术的发展非常迅速,网络更新换代的周期越来越短,同时信息化技术的快速发展和不断更新也使得不同的网络厂商也不断更新。因此,在进行选购设备时我们要充分注意产品的先进性,不仅仅为了满足眼前的需求,也要与时俱进地考虑到时代的发展。在选择硬件时,我们要预测未来的发展方向,选择软件要注意考虑其开放性,工具性以及软件集成优势等。同时,网络设计还要考虑通信发展的要求。
3.2可靠性
对于一些重要企业来说,网络运行的可靠性发挥着十分重要的角色。企业不允许网络出现大幅度的动荡,这样不仅仅会影响公司的运营情况,也对企业形象有一定影响。因此,在对企业进行设计时,我们应该考虑网络设计的可靠性。系统可以较长时间进行相对稳定可靠地运行,并保证其系统安全性,以防止非法用户的非法访问。系统也不允许出现故障,或者说即使有设备出现故障情况,也需要有相应的备份解决措施。如果对网络和网上的数据不构成大的威胁,也要有设备对数据作相应的备份。
3.3实用性
系统的设计需要满足现有用户的需求,能够实现用户对网络的使用,能够满足企业内部用户的体验,网络的设计不用太复杂,要从实际情况出发,要实现用户一些基本的要求,如用户能够访问外网、内部用户之间实现资源共享等。
3.4安全性
在进行该企业设计时,我们应该重点考虑系统网络的安全性。安全性,在物理上和网络设计时都需要进行考虑。在进行网络设备安装时或者在由网络设备安装的地方,我们需要保证所有进入机房的人员都是合法的,并不是任何人都被允许进入机房的。在进行网络设计时,我们可以在网络设备上设置密码,在服务器区域部署防火墙。为了保证网络的安全性,我们必须避免不合法的攻击和人员对其进行不合法的操作。
四、网络详细设计
4.1网络架构
公司用一台核心交换机作为用户的网关,出口部署一台路由器,用作地址转换,接入层部署一台三层交换机和四台二层交换机,核心层部署一台三层交换机。网络的稳定性和可靠性通过链路聚合技术实现。
核心层
核心层是整个网络结构中最重要的一层,内部用户的流量都需要经过接入层交换机进行转发,是网络三层架构中的核心部分,是不可缺少的一层。在企业中,考虑到资金问题,核心层只部署了一台核心三层交换机,负责转发内部用户的流量,并充当内部用户网关,能够实现内部不同网段的用户之间的连通性。核心层和出口路由器通过OSPF动态协议保证网络的连通性和可扩展性。服务器区域的交换机也连接在核心交换机上。
接入层
接入层一般下联用户终端,入PC机、Client、打印机等。接入层默认端口类型为access,如果内部需要划分多个VLAN,需要将与用户终端连接的端口划分到相应的某个VLAN,而和交换机互联的接口需要配置Trunk。
企业有多个部门,要规划和创建多个VLAN。不同部门的与接入交换机、与终端相连的接口必须划分到VLAN,上层核心层交换机的端口需要配置为Trunk,并配置相应的VLAN通过。
汇聚层
汇聚层连接接入层交换机和核心层交换机,内部用户网关配置在汇聚层交换机上,减少核心对数据流量的处理。
服务系统
服务器使用一台三层交换机作为服务器的接入,实现数据高转发、接口带宽较大。办公系统部署一些常用的FTP、DNS和HTTP服务器;业务系统部署多台服务器,部署集群技术保证业务系统稳定性。
4.2网络拓扑
4.2.1 网络叙述
该公司在南昌,公司有4个部分,人力部、研发部、财务部和市场部,每个部门有100台电脑需要接入公司办公网络,接入带宽都不低于100M.为了方便管理和安全,需要按部分划分VLAN,公司内网全部使用192.168.X.X的私有IP,自行规划IP地址。公司有2台S5700作为核心交换设备,为增强网络可靠性和核心链路带宽,需要配置eth-trunk.接入层设备通过Gbit接口分别与其中一台S5700连接。公司有一台服务器,服务器直接接入核心交换机,配置了DNS、FTP和HTTP服务,FTP只供开发部的员工访问。内网所有终端PC都可以访问DNS服务。只有人力部能访问财务部网络,内部网络采用ospf协议。
网络设计仿真通过HUAWEI ENSP迷你其仿真,添加一些网络设备二层交换机、三层交换机、路由器、PC、Client和服务器进行组网连接。通过相关配置实现网络的连通性,并进行网络相关测试。
图-1 网络拓扑图
4.3 IP地址规划和VLAN划分
4.3.1 VLAN划分
表-2 VLAN划分
| VLAN | VLAN描述 |
| VLAN10 | 人力部 |
| VLAN20 | 研发部 |
| VLAN30 | 市场部 |
| VLAN40 | 财务部 |
4.3.2 IP地址规划
表-3 IP地址规划
| VLAN | VLAN描述 | IP地址 | 子网掩码 | 网关 |
| VLAN10 | 人力部 | 192.168.10.0 | 255.255.255.0 | 192.168.10.1 |
| VLAN20 | 研发部 | 192.168.20.0 | 255.255.255.0 | 192.168.20.1 |
| VLAN30 | 市场部 | 192.168.30.0 | 255.255.255.0 | 192.168.30.1 |
| VLAN40 | 财务部 | 192.168.40.0 | 255.255.255.0 | 192.168.40.1 |
| 设备 | 接口 | IP地址 |
| AR1 | G0/0/0 | 192.168.1.2 |
| G0/0/1 | 200.100.100.2 | |
| S2 | Vlanif100 | 192.168.1.3 |
| Vlanif10 | 192.168.10.1 | |
| Vlanif20 | 192.168.20.1 | |
| Vlanif30 | 192.168.30.1 | |
| Vlanif40 | 192.168.40.1 | |
| S1 | Vlanif100 | 192.168.1.1 |
| AR2 | G0/0/0 | 200.100.100.2 |
| G0/0/1 | 200.101.100.1 | |
| FTP | E0/0/0 | 192.168.1.111 |
| HTTP | E0/0/0 | 192.168.1.254 |
4.4 网络实施
4.4.1 接入层实施
图-2 接入层拓扑图
接入层交换机上主要配置相应的用户VLAN,连接终端的设备和用户的接口划分为access接口,与交换机互联的接口配置为trunk。
人力部:
研发部:
市场部:
财务部:
4.4.2 汇聚层实施
图-3 汇聚层拓扑图
汇聚层交换机S2的各个接口配置虚拟接口,充当网关(交换机不能直接配置接口地址,所以借助虚拟接口配置IP地址充当各个vlan的网关)
因为只有人力部能访问财务部,所以配置规则,后续在交换机连接人力部的接口使用此规则;又因为只有开发部的员工能访问FTP服务器,也配置规则。
规则3000用来实现只有人力部能访问财务部,其他部门不能访问财务部,规则3001用来实现只有研发部能访问FTP服务器,其他部门不能访问FTP服务器。
汇聚层交换机主要配置相应的用户VLAN,要增加带宽和安全可靠性,1.2接口使用链路聚合技术聚合成逻辑上的一条线,将其他接口配置成trunk口,接口6配置策略3000过滤研发部和市场部的访问,并且将VLAN都汇聚到S2。
因为内网都使用OSPF协议,将内网地址都加入域0中
4.4.3 核心层实施
图-4 核心层实施
核心层交换机与汇聚层交换机之间配置端口聚合,配置虚拟地址充当交换机接口的IP地址,配置其他接口和OSPF。
分别配置各个PC机的IP地址,也可以使用DHCP协议动态分配IP地址。
表-4 手动添加PC机的IP地址表
| 终端 | IP地址 |
| PC2 | 200.101.200.2 |
| PC3 | 192.168.10.2 |
| PC4 | 192.168.20.2 |
| PC5 | 192.168.30.2 |
| PC6 | 192.168.40.2 |
| Client1 | 192.168.10.3 |
| Client2 | 192.168.20.3 |
| Client3 | 192.168.30.3 |
| Client4 | 192.168.40.3 |
FTP服务器配置
HTTP服务器配置
HTTP服务器配置
5、网络的实现
人力部研发部/市场部/财务部交换机命令:
#
vlan batch 10 //创建人力部VLAN10
#
interface Ethernet0/0/3 //进入0/0/3接口
port link-type trunk //配置接口类型为trunk型(与之相连的是交换机)
port trunk allow-pass vlan all //允许所有的vlan通过此接口
#
interface Ethernet0/0/1 //进入接口0/0/1
port link-type access //配置接口类型为access型(与之相连的是终端)
port default vlan 10 //只允许vlan10通过此接口
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
研发部交换机命令:
#
vlan batch 10 //创建人力部VLAN10
#
interface Ethernet0/0/3 //进入0/0/3接口
port link-type trunk //配置接口类型为trunk型(与之相连的是交换机)
port trunk allow-pass vlan all //允许所有的vlan通过此接口
#
interface Ethernet0/0/1 //进入接口0/0/1
port link-type access //配置接口类型为access型(与之相连的是终端)
port default vlan 10 //只允许vlan10通过此接口
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
市场部交换机命令:
#
vlan batch 10 //创建人力部VLAN10
#
interface Ethernet0/0/3 //进入0/0/3接口
port link-type trunk //配置接口类型为trunk型(与之相连的是交换机)
port trunk allow-pass vlan all //允许所有的vlan通过此接口
#
interface Ethernet0/0/1 //进入接口0/0/1
port link-type access //配置接口类型为access型(与之相连的是终端)
port default vlan 10 //只允许vlan10通过此接口
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
财务部交换机命令:
#
vlan batch 10 //创建人力部VLAN10
#
interface Ethernet0/0/3 //进入0/0/3接口
port link-type trunk //配置接口类型为trunk型(与之相连的是交换机)
port trunk allow-pass vlan all //允许所有的vlan通过此接口
#
interface Ethernet0/0/1 //进入接口0/0/1
port link-type access //配置接口类型为access型(与之相连的是终端)
port default vlan 10 //只允许vlan10通过此接口
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
S2交换机的命令:
#
vlan batch 10 20 30 40 100 //创建多个vlan
#
interface Vlanif10 //创建虚拟接口vlanif10
ip address 192.168.10.1 255.255.255.0 //为虚拟接口配置IP地址,充当各个vlan的网关
#
interface Vlanif20
ip address 192.168.20.1 255.255.255.0
#
interface Vlanif30
ip address 192.168.30.1 255.255.255.0
#
interface Vlanif40
ip address 192.168.40.1 255.255.255.0
#
interface Vlanif100
ip address 192.168.1.3 255.255.255.0 //让交换机与路由器的接口处于同一网段,实现内网访问外网
#
acl number 3000 //配置策略3000
rule 5 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.40.0 0.0.0.255
// 规则5拒绝20网段的设备访问40网段的设备
rule 10 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.40.0 0.0.0.255
// 规则10拒绝30网段的设备访问40网段的设备
rule 15 permit ospf //规则15,允许ospf报文通过
rule 20 permit ip //规则20,允许ip报文通过
acl number 3001
rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.1.111 0
//规则5允许20网段的设备访问192.168.1.111
rule 10 deny ip destination 192.168.1.111 0 //规则10拒绝所有ip访问192.168.1.111
#
interface Eth-Trunk1 //trunk聚合接口
port link-type trunk
port trunk allow-pass vlan 2 to 4094
traffic-filter outbound acl 3001 //通过聚合接口要进行规则3001的过滤
#
interface GigabitEthernet0/0/1 //将0/0/1接口配置为聚合接口
eth-trunk 1
#
interface GigabitEthernet0/0/2
eth-trunk 1
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 20
#
interface GigabitEthernet0/0/5
port link-type trunk
port trunk allow-pass vlan 30
#
interface GigabitEthernet0/0/6
port link-type trunk
port trunk allow-pass vlan 40
traffic-filter outbound acl 3000 //出0/0/6接口的数据要进行规则3000的过滤
#
ospf 1
area 0.0.0.0 //创建区域0
network 192.168.1.0 0.0.0.255 //将网络添加入区域0
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
network 192.168.30.0 0.0.0.255
network 192.168.40.0 0.0.0.255
S1交换机的命令:
#
vlan batch 10 20 30 40 100
#
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/1
eth-trunk 1
#
interface GigabitEthernet0/0/2
eth-trunk 1
#
interface Vlanif100
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/23
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/24
port link-type access
port default vlan 100
#
ospf 1
area 0.0.0.0
network 192.168.1.0 0.0.0.255
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
network 192.168.30.0 0.0.0.255
network 192.168.40.0 0.0.0.255
AR1路由器的命令:
#
acl number 2000
rule 5 permit source any
#
nat address-group 1 200.100.100.100 200.100.100.200
//创建一个地址组,将后续地址加入这个地址组中,将经过路由器的流量转化为地址组中的任意地址
#
interface GigabitEthernet0/0/0
ip address 192.168.1.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 200.100.100.2 255.255.255.0
nat static global 200.100.100.5 inside 192.168.1.254 netmask 255.255.255.255 //配置静态NAT,当外部网络要访问IP地址200.100.100.5是,网络会将其转化到内部网络的IP地址192.168.1.254上
nat outbound 2000 address-group 1 //将从内网流出的数据包进行NAT转化,转化使用的规则肯与编号为2000的端口相关,并且使用编号为1的地址来进行转换
#
ospf 1
default-route-advertise //在路由重发布中重新发布静态路由
area 0.0.0.0
network 192.168.1.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 200.100.100.1 //配置缺省路由,源地址和目的地址可以是任意IP,下一跳为200.100.100.1
AR2路由器的命令:
#
interface GigabitEthernet0/0/0
ip address 200.101.100.1 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 200.100.100.1 255.255.255.0
6、网络测试
人力部ping通财务部:
研发部和市场部ping不通财务部:
内网ping通外网:
外网ping不通内网:
所有终端都可以访问DNS服务:
FTP只供研发部访问:
研发部访问成功!
其他部门访问失败!
内网和外网都可以访问HTTP服务器:
外网:
内网:
8303
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
