200人 500人规模园区网设计(中小企业网络)

最新推荐文章于 2024-10-21 20:29:39 发布
最新推荐文章于 2024-10-21 20:29:39 发布
阅读量1.2w 收藏 235
点赞数 24
分类专栏: 网工 # HCIP 数通路由交换 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39578545/article/details/105885560
版权

200人 500人规模园区网


占个坑
实验要求
① 设置合理的STP优先级、边缘端口、Eth-trunk
环路会引起广播风暴,设置STP可二层防环,STP是破环协议
② 企业内网划分多个vlan ,减少广播域大小,提高网络稳定性
③ 所有设备,在任何位置都可以telnet远程管理
④ 出口配置NAT
⑤ 所有用户均为自动获取ip地址(核心交换机)
⑥ 在企业出口将内网(web)服务器的80端口映射出去,允许外网用户访问
⑦ 企业财务服务器,只允许财务部(vlan 30)的员工访问。

  • 对于中小企业网络,医院,高校,酒店。 两层架构(核心层和接入层)
    假设企业达到1000人,就加上汇聚层,在我的博客里也能看到1000人

  • 中小型企业,尽量扁平化,如果设备太多,每一个设备都可成为故障点,传输速率也会慢点

  • 人员分布
    同个部门员工都在同一层楼,布线好布置,这样就两层架构。
    如果员工分散在N层楼,这样就三层架构
    企业网按部门划分网段,校园网按宿舍楼层划分网段

  • PC2是用一个路由器来模拟PC(telnet)

一、设备选型(光口和电口的交换机,注意设备利旧)

 

二、技术需求

①二层:STP Eth-trunk 即冗余技术,把接入层到核心层的两条线捆绑成一条线
让交换机运行快速生成树,核心交换机的优先级要调最低。

②vlan、trunk
vlan即虚拟局域网,隔离广播域,提升网络的稳定性 安全性,同时方便管理和控制这个网络,满足特殊网络的访问控制要求
一个vlan 对应一个网段 对应一个广播域
trunk是对vlan的一个提升,允许多个VLAN通信,接入交换机和核心交换机 通过trunk。
专门单独设置一个管理VLAN,用作远程管理

③网关、SVI配置

④DHCP配置
第一种方式:DHCP是在核心交换机上做的,启用DHCP功能
第二种方式:若找DHCP服务器分配的话,就要在核心交换机上做DHCP中继
配置DHCP地址池,网关DNS

⑤出口NAT配置
NAT:网络地址翻译,将内网私网地址转换成公网地址。在出口的时候 转换成公网地址

⑥服务器端口映射
将内网的某一台服务器的某一个端口 映射到公网上,方便外网直接访问某台设备和服务

⑦ACL配置
控制部门之间的互访
如:财务服务器,禁止部分员工去访问,只允许财务部和董事长

⑧telnet远程管理配置
远程登录,方便运维

⑨vlan修剪配置
通过进一步缩小广播域,进一步提升网络的稳定性和安全性
trunk 只允许有划分的vlan通过,而不是所有vlan通过。 使广播范围小了

 

三、详细配置

STP Eth-trunk

①STP Eth-trunk设置合理的优先级(越小越优先),设置边缘端口
设置边缘端口的好处:可以提高网络的收敛速度,增加稳定性
千兆口连接上行,百兆口连接下行用户

1.STP
核心:sw1
[sw1]stp root primary   //成为主根桥

接入:sw2 sw3 sw4 sw5
[sw2]port-g group-member e0/0/1 to e0/0/22   //g是group
[sw2-port-group]stp edged-port enable

2.Eth-trunk,将两条链路捆绑起来
sw1:
int eth-trunk 2
 mode lacp-static
 trunkport gi 0/0/1
 trunkport gi 0/0/4
int eth-trunk 2
 stp cost 10000

sw2:
interface eth-trunk 2
 mode lacp-static
 trunkport gi 0/0/1
 trunkport gi 0/0/2
int eth-trunk 2
 stp cost 10000  //强制这个stp口的开销,设置了可以优化网络,让STP更稳定。如果一条链路断了,stp会重新收敛。 为了避免重新收敛这种,将其捆绑后设定一个固定cost
 
dis eth-trunk 2 
省略其他交换机的配置,都是类似的
sw3--sw1   eth-trunk3
sw4--sw1   eth-trunk4
sw5--sw1   eth-trunk5

VLAN

②vlan trunk

接入SW2 SW3 SW4 SW5,创建vlan,将接口划入vlan
[sw2]vlan 10
[sw2-vlan10]vlan 20
[sw2]int eth-trunk2
[sw2-Eth-Trunk2]port link-type trunk
[sw2-Eth-Trunk2]port trunk allow-pass vlan all   //all的范围就是 2 to 4094,因此这种也要修剪
[sw2]int e0/0/2
[sw2-Ethernet0/0/2]port link-type access
[sw2-Ethernet0/0/2]port default vlan 10
[sw2]int e0/0/3
[sw2-Ethernet0/0/3]port link-type access
[sw2-Ethernet0/0/3]port default vlan 20

针对交换机下很多PC,直接按组配置
[sw3]vlan 20
[sw3]int eth-trunk3
[sw3-Eth-Trunk3]port link-type trunk
[sw3-Eth-Trunk3]port trunk allow-pass vlan all

[sw3]port-g g Ethernet 0/0/3 to Ethernet 0/0/22
[sw3-port-group]port link-type access
[sw3-port-group]port default vlan 3 0
 sw4 sw5 配置略
 ..........


核心SW1,修剪
接入交换机有的VLAN,也要在核心交换机上一并创建
[sw1]vlan 10
[sw1]vlan 20
[sw1]int eth-trunk 2
[sw1-Eth-Trunk2]port link-type trunk
[sw1-Eth-Trunk2]port trunk allow-pass vlan 10 20 999 
这种就是VLAN修剪,原因:
如果是trunk all,它的广播域会过大,整个trunk链路都是广播域,使网络不稳定
因为用户发送的广播报文,带着vlan10的标签的广播会发送到所有trunk中,即所有的交换机都会收到,即使接下来其他交换机收到不会发到PC。

直接一次性按组配置,这种就全是all,后期要修剪比较好
[sw1]vlan batch 10 20 30 40 200
[sw1]port-g g Eth-Trunk 2 to Eth-Trunk 5
[sw1-port-group]port link type turnk
[sw1-port-group]port turnk allow-pass vlan all

网关 SVI

③网关 SVI SVI就是VLAN IF接口

DHCP自动获取IP地址,就是通过网关来获取的
这里先配置接口
sw1:   交换机虚拟接口
int vlanif10
ip add 192.168.10.1 255.255.255.0
int vlanif20
ip add 192.168.20.1 255.255.255.0
int vlanif30
ip add 192.168.30.1 255.255.255.0
int vlanif40
ip add 192.168.40.1 255.255.255.0
int vlanif200
ip add 192.168.200.1 255.255.255.0

三层交换机和路由器的三层对接:
在这里插入图片描述
交换机接口 默认是不能配置IP地址的。 所以这时使用vlan if 接口对接
然后给交换机vlanif 800 配置 192.168.254.2
出口R1的ge0/0/0 配置 192.168.254.1

SW1的具体配置

sw1:
[sw1]vlan 800
[sw1]int g 0/0/24
port link-type access  //配置成access,别配置成trunk
port default vlan 800
[sw1]int vlanif 800
ip add 192.168.254.2 255.255.255.0

DHCP

④DHCP配置 服务器地址是静态配置

sw1:
[sw1]dhcp enable
[sw1]ip pool caiwu
[sw1-ip-pool-caiwu]gateway-list 192.168.30.1
[sw1-ip-pool-caiwu]network 192.168.30.0 mask 24
[sw1-ip-pool-caiwu]dns-list 114.114.114.114 8.8.8.8
#
ip pool jishu
gateway-list 192.168.40.1
network 192.168.40.0 mask 255.255.255.0
dns-list 114.114.144.114 8.8.8.8
#
ip pool xiaoshou_1
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
dns-list 114.114.144.114 8.8.8.8
#
ip pool xiaoshou_2
gateway-list 192.168.20.1
network 192.168.20.0 mask 255.255.255.0
dns-list 114.114.144.114 8.8.8.8
#

#用户请求,交换机查看用户请求报文,看用户是来自VLAN 10,然后会查看路由表的VLAN IF 10上配的地址网段是 192.168.10.0网段,让用户去全局上拿地址池
[sw1]int vlanif 10
[sw1-vlanif10]dhcp select global
[sw1]int vlanif 20
[sw1-vlanif20]dhcp select global       
30 40 50

出口路由 NAT

⑤出口路由 NAT

核心sw1上设置缺省路由 指向出口路由器
[sw1]ip route-static 0.0.0.0 0 192.168.254.1

出口路由器上设置缺省路由  指向运营商
[R1]ip route-static 0.0.0.0 0 12.1.1.6

出去后 要回来
路由器要根据路由表回去
[R1]ip route-static 192.168.0.0 16 192.168.254.2

NAT

⑥NAT

acl 2000
 rule 5 permit source 192.168.0.0 0.0.255.255
[R1]int g0/1
[ ]nat outbound 2000

端口映射

⑦服务器端口映射

R1:
int g0/0/1
nat server protocol tcp global 12.1.1.2 80 inside 192.168.200.10 80

ACL

⑧ACL配置 只有财务部vlan30可以访问财务服务器

sw1:
acl number 3000
 rule 5 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.200.20 0
 rule 10 deny ip destination 192.168.200.20 0

int eth-trunk5
 traffic-filter outbound acl 3000

Telnet

⑨Telnet配置

所有设备(路由 交换机)都需如下配置
telnet server enable
aaa
 local-user aa privilege level 3 password cipher 123
 local-user aa service-type telnet

user-interface vty 0 4
 authentication-mode aaa

接入交换机(二层交换机)配置管理地址(交换机有了管理地址才能telnet):
使用专门管理vlan 999承载telnet的管理流量,建议将管理IP地址配置在一个网段即可
管理vlan:vlan 999
管理网段:192.168.253.0/24

sw1:
vlan 999
int vlanif 999
ip add 192.168.253.1 24

sw2   
vlan 999   //创建vlan
int vlanif 999  //配置vlan 管理地址
ip add 192.168.253.2 24
sw3  sw4  sw5 配置略,只要ip地址最后一位改一下

❤下面该缺省路由是为了管理流量回包。每个接入层交换机都需要配置。 
因为这里管理和业务是分开的。
[sw2]ip route-s 0.0.0.0 0 192.168.253.1  //sw2配置缺省路由 回到核心交换机
sw3  sw4  sw5 配置略,一模一样的

VLAN 修剪

⑨VLAN修剪
为了进一步减少trunk链路上的广播报文的发送范围,进一步缩小广播域,在trunk链路上配置VLAN的过滤

sw2 
int eth-trunk 2
port link-type trunk
port trunk allow-pass vlan 10 20 999
sw3 sw4 也是类似这样配置。修剪

sw1
int eth-trunk 2
port link-type trunk
port trunk allow-pass vlan 10 20 999

补充知识点

  • 创建vlan,配置vlan管理地址,根据管理地址对应的网段 去DHCP地址池找相应,自动分配
  • 因为交换机 不可以在接口直接配置IP地址,即使是核心交换机也不行
    因此使用vlanif接口方式 使交换机和路由器 三层对接
  • 楼宇还是楼层,都要根据需求去划分vlan。如果是学生宿舍,每层楼的vlan就独立
    楼宇之间 光纤千兆Gigabitethernet, 楼层之间 百兆Ethernet
  • 用户上网是走二层的MAC地址
  • VLAN间的本质是 标签的转换, VLAN间通信

 

拓扑配置文件

附上网络配置(积分可以去淘宝搜一下CSDN):
https://download.csdn.net/download/qq_39578545/12381369

计算机网络基础:认识网络硬件与传输介质
CSDN博客专家,系统架构师,有合作、疑惑请私信博主。
03-19 3万+
计算机网络基础:认识网络硬件与传输介质,在计算机网络的庞大体系中,网络硬件与传输介质犹如坚实的骨架与脉络,支撑并承载着信息的流动。从家庭中的小型网络,到企业复杂的办公网络,再到覆盖全球的互联,各类网络硬件设备各司其职,不同的传输介质发挥着独特的传输作用。它们相互协作,使得数据能够在不同设备之间快速、准确地传输,为们的日常沟通、工作办公、娱乐休闲等活动提供了基础保障。
【项目实战】如何设计一个小型的200的公司网络
sinat_38673660的博客
09-02 5701
项目需求 XX小型公司大概有200,由于公司的业务需要,需要搭建一套网络,具体需要满足: 1、能够支持公司员有线访问internet办公,并且能够支持外客WIFI接入; 2、网络拓扑简单,方便维护员管理; 3、网络具备一定的安全性; 总体设计思路 本文着重讲解如何去设计一个小型的网络,不提供具体的细节,主要让大家清楚我们在设计一个小型网络时需要考虑哪些?(仅供参考) 一、组方案设计: 组方案设计主要包括物理网络拓扑设计和设备选型两方面; 在设
200 500 企业网络规划与设计.zip
05-02
掌握中小型企业网络构建技术、掌握网络设备及服务器配置,熟悉网络调试与故障排除的原则和方法,加深理解计算机网络的基本原理,根据一个小型企业的需求,规划设计一个企业级网络方案并对其进行实施
200-500规模工厂网络方案(中小企业网络
05-09 1241
00-500规模工厂网络方案(中小企业网络
中小型园区网络设计与部署
ducanwang的博客
06-05 1152
对于小型园区网络,建议所有设备采用同一个管理VLAN,可以直接采用缺省VLAN,进一步简化部署和管理;在实际应用中,还可以根据多种原则进行组合,例如,按照地理区域划分不同的VLAN,同一地理区域又按照员结构划分不同的VLAN。VLAN划分需要区分业务VLAN、管理VLAN和互联VLAN,中小型园区网络通常采用二层网络,不建议配置互联VLAN。最常用的划分方式是基于接口的方式,根据不同的规划原则,将接入交换机不同接口划分到不同的VLAN,从而实现不同业务类型用户的隔离需求。按照业务类型划分VLAN。
基于华为eNSP的中小企业办公园区网络规划与设计
热门推荐
小宇y的博客
12-31 6万+
企业拟建设一个信息化的企业园区网络信息系统,运用现代计算机网络技术实现一个高可靠性、高效率性、高安全性的网络结构,要求网络技术先进且成熟,另外为了适应企业信息化的发展,同时也要满足未来日益增长的业务要求,这对于提高企业园区的工作、管理效率和执行效率是必要的,并且可以通过网络降低企业的日常管理成本和交易成本,借此还可以获得更多的利润和长期收益。该网络信息系统搭建后,企业内部可实现资源的高度共享,可为企业的生产、办公、管理提供服务,其基本要求是办公自动化,能够提高园区内的工作效率和管理水平,能高效、及时、可靠
中小型园区网络设计与实现 (一)
alianada的博客
10-18 1万+
在职本科临近毕业,论文是躲不掉的。 谨此来记录毕业论文的完成过程。 论文大纲 部分虽然已经交上去很多日了。但是个觉得有必要写到第一篇里,以示论文过程的完整。 先聊一下写论文大纲的思路。 第一,首先论文是需要有项目背景的,就像做一件事情要有个目的。说仔细点就是某项工作需要交给工具来做,但是你要想做好这个工具,需要了解这项工作的历史由来,以及公司对这项工作的重视程度等。项目背景的作用就在于此...
一个中小企业网络规划与设计的方案
打工人
08-25 1551
一个中小企业网络规划与设计的方案   (1) 公司有 1000 台 PC   (2) 公司共有多个部门,不同部门的相互访问要求有限制
eNSP-1000网络设计(非冗余)
m0_64351015的博客
09-07 1238
设计一个支持1000规模网络系统时,我们需要综合考虑网络的可靠性、安全性、可扩展性以及用户体验。
Ensp毕业设计—高可靠性企业网络设计与实现
数维网络的博客
08-29 5467
不过需要注意的是保持VRRP与MSTP的主备统一,比如VLAN111、121、131的根桥在A设备上,对应的VRRP关,也应该以A为主,B为备用。共计800个信息点。公司通过设计层次化网络结构,把不同部门的流量进行区分,对快速增长的部门按需增加对应的接入层设备,保证公司发展的同时也降低了成本。考虑到公司拥有多个部门,某些部门有网络隔离的需求,因此IP地址划分,将使用子划分的方式来对每个部门进行规划,每一个部门使用单独的一个24位子段,保证连续性的同时还方便后续做汇总与一些路由策略[8]。
中小型园区设计与实现
05-21
中小型园区设计与实现wode毕业论文要就快下啊啊
中小型园区设计与实现007
05-21
中小型园区设计与实现.中小型园区设计与实现.中小型园区设计与实现.中小型园区设计与实现.中小型园区设计与实现.中小型园区设计与实现.
毕业论文_中小型园区设计与实现
07-10
毕业论文_中小型园区设计与实现,这是一 篇电子信息科学与技术工程的毕业论文,里面有很详细的规划和配置过程
中小型园区设计与实现lunwen
05-21
中小型园区设计与实现.中小型园区设计与实现.中小型园区设计与实现.中小型园区设计与实现.
中小型园区设计与实现--企业论文
09-09
第一章 企业建设综述 1.1 项目建设目标 1.2 项目建设原则 1.3 基本建设描述 第二章 需求分析 2.1 企业背景 2.2 网络规划 2.3 计算机网络综合布线 2.4 网络拓扑结构 2.4.1网络拓扑结构示意图 2.4.2网络中心组建 2.4.3生产车间网络组建 2.4.4企业各部门IP分配表 第三章 网络设备的配置和管理 3.1 划分子 3.2 划分VLAN的方法 3.2.1什么是VLAN 3.2.2 VLAN划分的几点好处 3.2.3设置VLAN的常用方法 3.3 端口配置及划分VLAN 3.3.1汇聚层交换机FLOOR1_HJ连接及配置说明 3.3.2汇聚层交换机FLOOR2_HJ连接及配置说明 3.3.3汇聚层交换机FLOOR3_HJ连接及配置说明 3.3.4汇聚层交换机FLOOR4_HJ连接及配置说明 3.3.5汇聚层交换机FLOOR5_HJ连接及配置说明 3.3.6核心层交换机CORE连接及配置说明 3.5 配置静态路由 3.6 连接广域 3.7 网络安全控制及管理 第四章 企业组建方案总结 参考文献
中小型园区网络设计与实现 (三)
alianada的博客
10-24 1万+
写论文第三天 论文概述与项目背景 一、论文概述     1.1组建企业网络的必要性 Internet在全球的发展促成了企业的形成,从20世纪90年代以来企业网络成为连接单位各部门并与外界交流信息的重要基础设施,基于局域和广域技术发展起来的企业网络技术得到迅速的发展。 我国中小企业数量已经非常庞大,国民经济中很大一部分生产总之来自于中小企业,但是中小企业的信息化程度落后,为了能够跟上...
中小型园区规划
weixin_45203302的博客
11-08 6637
中型园区规划前言项目规划、设备选型步骤一:STP、Eth-trunk配置步骤二:VLAN、trunk配置步骤三:关、SVI步骤四:DHCP配置步骤五:出口NAT配置步骤六:服务器端口映射步骤七:ACL配置步骤八:Telnet配置步骤九:VLAN修剪 前言 本实验用华为模拟器eNSP进行模拟(文中部分命令为简写,不影响配置结果) 项目规划、设备选型 根据具体的设计需求,项目报价进行整体规划,网络翻新项目注意设备利旧。 本实验拓扑: 本实验要求: ① 设置合理的STP优先级、边缘端口、Eth-tru
中小型园区网络设计与实现 (二)
alianada的博客
10-23 1万+
写论文第二天 想要用心去写一篇论文,首先要读懂论文的要求   根据论文指导找出详细的思路(论文的基本要求) 思路:①中小型局域500-1000台计算机组成的一个网络。 ②网络类型是“园区”,包括企业、校园等多种形式。园区有一定的地理分布范围,不要简单的一个办公室或者较小的区域。 ③网络设计过程要有,  网络需求的分析、网络拓扑的规、网络设备的部署计划、VLAN的划分、IP地...
构建高效企业网络200-500规模网络设计方案推荐
gitblog_09712的博客
10-21 1023
构建高效企业网络200-500规模网络设计方案推荐 【下载地址】200-500规模网络设计方案 本文档提供了针对200500规模的企业网络设计方案,完全基于华为eNSP仿真环境实施。此方案旨在通过细致规划网络架构,确保高效、稳定且安全的网络服务。从stp策略优化到VLAN的合理分布,直至实现全面的远程管理与内外...
园区网络设计
最新发布
04-03
### 园区网络设计方案的最佳实践 #### 1. 高效的架构规划 园区网络设计应采用分层结构,通常分为核心层、汇聚层和接入层。这种层次化的设计能够提高网络性能并简化管理流程[^1]。核心层负责高速数据传输,需具备高带宽和冗余能力;汇聚层则实现流量聚合与策略控制;接入层主要用于终端设备连接。 #### 2. 可视化与大数据技术的应用 为了提升园区企业的监管效率,建议引入可视化管理和大数据分析技术。这些技术可以帮助实时监测网络状态、资源利用率及潜在风险点,从而支持更精细的运营管理决策。 #### 3. 安全防护体系构建 网络安全是园区网络设计中的重要环节。初期阶段可能忽视安全性,但这会带来巨大隐患。正如Sangshetti所提到的例子,初始版本的程序如同未设防的大门或窗户一样脆弱[^4]。因此,在设计之初就应当考虑建立全面的安全机制,比如防火墙配置、入侵检测系统(IDS)部署以及加密通信协议的选择等措施来保护敏感信息免受攻击威胁。 #### 4. 应用场景扩展 除了基本功能外,还可以探索更多创新性的应用场景以增强用户体验和服务质量。例如: - **校园导览**: 利用物联(IoT)平台如基于Arduino开发板创建智慧校园解决方案, 提供便捷的地图查询与路径引导服务给师生们使用[^2]. - **智能交通管理**: 结合地理信息系统(GIS), 实现动态路况更新并向用户提供最优出行建议减少拥堵情况发生概率的同时也提高了整体通行效率. 以下是关于如何利用Python脚本来模拟简单的路由算法的一个例子: ```python def find_shortest_path(graph, start, end): import heapq priority_queue = [(0, start)] visited = set() distances = {node: float('infinity') for node in graph} previous_nodes = {node: None for node in graph} distances[start] = 0 while priority_queue: current_distance, current_node = heapq.heappop(priority_queue) if current_node == end: path = [] while previous_nodes[current_node]: path.append(current_node) current_node = previous_nodes[current_node] path.append(start) return list(reversed(path)) if current_node not in visited: visited.add(current_node) for neighbor, weight in graph[current_node].items(): distance = current_distance + weight if distance < distances[neighbor]: distances[neighbor] = distance previous_nodes[neighbor] = current_node heapq.heappush(priority_queue, (distance, neighbor)) return [] # Example usage of the function with a sample graph represented as an adjacency dictionary. sample_graph = { 'A': {'B': 1, 'C': 4}, 'B': {'A': 1, 'C': 2, 'D': 5}, 'C': {'A': 4, 'B': 2, 'D': 1}, 'D': {'B': 5, 'C': 1} } print(find_shortest_path(sample_graph, 'A', 'D')) ``` 此代码片段展示了迪杰斯特拉(Dijkstra's Algorithm)寻找最短路径的方法之一,适用于上述提及的各种导航需求情境之中。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值