企业级三层组网校园网(详细交换机操作)

rose17·co

已于 2024-12-18 09:37:21 修改

阅读量1k

点赞数 10

文章标签： php 网络

于 2024-12-18 09:21:14 首次发布

本文链接：https://blog.csdn.net/m0_74512585/article/details/144550066

版权

任务说明

该设计规划的是一个学校的网络搭建，采用接入层、核心层、汇聚层三层网络。所有接入层汇聚层交换机运行MSTP和VRRP协议，做冗余备份，保护设备和链路稳定性。运行ospf动态路由协议，方便路由维护。使用dhcp动态分配地址，便于ip地址管理。出口采用防火墙设备，保护网络安全。同时在防火墙上做SNAT，可以让学校内网访问外网。在防火墙上做DNAT，可以让外部网络访问学校服务器。

设计思路

每个楼栋划分一个VLAN，楼栋内互通，各楼栋根据ACL规则实现互通。
内网使用私网IP，为每个楼栋分配一个24位掩码长度的私网段，实现上网。
楼栋主机采用DHCP自动获取地址，减少管理员手动分配的任务量，方便管理与维护。
运行OSPF协议，提高收敛速度。而且OSPF可以适应拓扑变化，路由自动学习，防止路由环路，提高拓扑稳定性。
接入层和汇聚层交换机配置MSTP和VRRP技术，实现设备冗余、线路可靠、数据负载分担，能够保证主设备故障后，可以快速切换到备用设备，不影响业务转发。
增加防火墙设备，设置安全区域，控制楼栋主机、服务器和外网设备的数据转发，保证学校网络的安全性。
出口采用光纤接入，汇聚层交换机进行链路聚合，提高网络带宽，实现运营商万兆接入，千兆到楼栋，百兆到桌面的体验。
学校内部实现无线全覆盖，保障内部终端设备可以无线接入并上网。
汇聚层交换机配置ACL控制访问技术，实现办公楼和宿舍楼不通，食堂只能和宿舍楼互通，其他楼栋全互通的网络需求。
配置端口限制，保证每个交换机的端口最多可以连接一个终端。
SNAT:应用于内网用户访问Internet时进行的地址转换将私网地址转为公网地址，这里我们采用easy-ip的NAT，保证学校上网采用出接口地址。
DNAT:使的外网用户能够访问内部服务器，用户访问202.96.137.88:8080时，防火墙将流量能够送给内网的WEB服务器。当用户访问202.96.137.88:21时防火墙将目的地址转换为172.16.50.20:21 访问学校的FTP服务器。

网络规划

1 学校网络设计

网络的设计原则包括三方面：

（1）可靠性原则：一是业务稳定运行，二是故障恢复时间快。

（2）实用性和可扩展性：符合实际并且便于扩展。

（3）安全性：学校设备和链路都要有冗余备份，还要保护内容的安全。

一个网络的拓扑图能够最直观的呈现这个网络的设计思想，几种经典的网络拓扑结构各有特点。我们使用最标准的核心层、汇聚层、接入层三层架构。要求任何一台设备都不能宕机，所以所有交换机必须要有双机热备冗余备份。学校的网络拓扑如下图所示。

2 ip地址和vlan 划分

VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信，而VLAN间不能直接通信，从而将广播报文限制在一个VLAN内。任何一个网络基础都是IP地址，网络设计也都是从IP地址和VLAN划分开始的。划分VALN是隔离广播域最有效的方法。子网划分和vlan划分是网络最基本的组成部分。本次VLAN的划分根据需求出发每个楼栋划分单独的VLAN，使楼栋之间相互独立，更便于管理。本次设计的VLAN和IP地址划分如表2-1所示:

表2-1地址规划

楼栋	vlan	ip地址
办公楼	10	192.168.10.0/24
教学楼	20	192.168.200/24
图书馆	30	192.168.30.0/24
食堂	40	192.168.40.0/24
宿舍楼	50	192.168.50.0/24
SW1-Core1	70	192.168.70.0/24
SW2-Core1	80	192.168.80.0/24
管理楼栋	100	172.16.10.0/24
AP管理网段	200	172.16.20.0/24
终端业务网段	1000	192.168.100.0/24
AC管理网段	2000	172.16.172.0/24
核心出口网段	172	172.16.100.0/24

3 设备选型

为设计合理的拓扑我们需要对设备进行合理的选择，我们使用模拟器现有的设备型号来搭建拓扑，具体设备选型如表2-2所示：

表2-2设备选型表

设备	型号	数量
二层交换机	S3700	6
三层交换机	S5700	3
服务器	Server	4
防火墙	USG6000V	1
路由器	AR2220	2
无线控制器	AC6005	1
无线放射器	AP2050	3
终端主机（计算机）	PC、Client	7、1

配置步骤

基础配置

交换机VLAN的创建、接口的划分、IP地址的配置

Core-SW1 核心层交换机 SW1

[Huawei]sy Core-SW1

[Core-SW1]vlan b 70 80 100 200 172

Info: This operation may take a few seconds. Please wait for a moment...done.

[Core-SW1]int vlan 70

[Core-SW1-Vlanif70]ip add 172.16.70.2 24

[Core-SW1-Vlanif70]int vlan 80

[Core-SW1-Vlanif80]ip add 172.16.80.2 24

[Core-SW1-Vlanif80]int vlan 100

[Core-SW1-Vlanif100]ip add 172.16.10.254 24

[Core-SW1-Vlanif100]int vlan 200

[Core-SW1-Vlanif200]ip add 172.16.20.2 24

[Core-SW1-Vlanif200]int vlan 172

[Core-SW1-Vlanif172]ip add 172.16.172.1 24

[Core-SW1-Vlanif172]q

[Core-SW1]int g0/0/23

[Core-SW1-GigabitEthernet0/0/23]po li a

[Core-SW1-GigabitEthernet0/0/23]po de v 70

[Core-SW1-GigabitEthernet0/0/23]int g0/0/24

[Core-SW1-GigabitEthernet0/0/24]po li a

[Core-SW1-GigabitEthernet0/0/24]po de v 80

[Core-SW1-GigabitEthernet0/0/24]int g0/0/2

[Core-SW1-GigabitEthernet0/0/2]po li a

[Core-SW1-GigabitEthernet0/0/2]po de v 100

[Core-SW1-GigabitEthernet0/0/2]int g0/0/1

[Core-SW1-GigabitEthernet0/0/1]po li a

[Core-SW1-GigabitEthernet0/0/1]po de v 200

[Core-SW1-GigabitEthernet0/0/1]int g0/0/3

[Core-SW1-GigabitEthernet0/0/3]po li a

[Core-SW1-GigabitEthernet0/0/3]po de v 172

[Core-SW1-GigabitEthernet0/0/3]q

命令解析

1. 配置 VLAN 接口和 IP 地址

plaintext

复制代码

[Core-SW1]int vlan 70

[Core-SW1-Vlanif70]ip add 172.16.70.2 24

int vlan 70：创建 VLAN 70 并进入 VLAN 接口配置模式。
ip add 172.16.70.2 24：为 VLAN 70 的三层接口（Vlanif70）配置 IP 地址为 172.16.70.2，子网掩码为 /24（255.255.255.0）。
类似的配置为 VLAN 80、VLAN 100、VLAN 200 和 VLAN 172 设置了对应的 IP 地址。

这些配置的作用：