目录
3、 链路聚合配置........................................................................................ 12
7、 控制访问技术ACL配置....................................................................... 17
8、 防火墙安全策略配置............................................................................ 18
10、 NAT Server配置................................................................................. 19
11、 端口限制配置...................................................................................... 19
2、 访问外网测试........................................................................................ 20
3、 无线登录测试........................................................................................ 21
4、 VRRP主备选举测试............................................................................... 22
5、 负载分担测试........................................................................................ 22
6、 核心路由表查看,邻居建立关系查看.............................................. 23
8、 内网访问服务器测试............................................................................ 26
9、 外网NAT Server测试.......................................................................... 26
该设计规划的是一个学校的网络搭建,采用接入层、核心层、汇聚层三层网络。所有接入层汇聚层交换机运行MSTP和VRRP协议,做冗余备份,保护设备和链路稳定性。运行ospf动态路由协议,方便路由维护。使用dhcp动态分配地址,便于ip地址管理。出口采用防火墙设备,保护网络安全。同时在防火墙上做SNAT,可以让学校内网访问外网。在防火墙上做DNAT,可以让外部网络访问学校服务器。
- 每个楼栋划分一个VLAN,楼栋内互通,各楼栋根据ACL规则实现互通。
- 内网使用私网IP,为每个楼栋分配一个24位掩码长度的私网段,实现上网。
- 楼栋主机采用DHCP自动获取地址,减少管理员手动分配的任务量,方便管理与维护。
- 运行OSPF协议,提高收敛速度。而且OSPF可以适应拓扑变化,路由自动学习,防止路由环路,提高拓扑稳定性。
- 接入层和汇聚层交换机配置MSTP和VRRP技术,实现设备冗余、线路可靠、数据负载分担,能够保证主设备故障后,可以快速切换到备用设备,不影响业务转发。
- 增加防火墙设备,设置安全区域,控制楼栋主机、服务器和外网设备的数据转发,保证学校网络的安全性。
- 出口采用光纤接入,汇聚层交换机进行链路聚合,提高网络带宽,实现运营商万兆接入,千兆到楼栋,百兆到桌面的体验。
- 学校内部实现无线全覆盖,保障内部终端设备可以无线接入并上网。
- 汇聚层交换机配置ACL控制访问技术,实现办公楼和宿舍楼不通,食堂只能和宿舍楼互通,其他楼栋全互通的网络需求。
- 配置端口限制,保证每个交换机的端口最多可以连接一个终端。
- SNAT:应用于内网用户访问Internet时进行的地址转换将私网地址转为公网地址,这里我们采用easy-ip的NAT,保证学校上网采用出接口地址。
- DNAT:使的外网用户能够访问内部服务器,用户访问202.96.137.88:8080时,防火墙将流量能够送给内网的WEB服务器。当用户访问202.96.137.88:21时防火墙将目的地址转换为172.16.50.20:21 访问学校的FTP服务器。
1 学校网络设计
网络的设计原则包括三方面:
(1)可靠性原则:一是业务稳定运行,二是故障恢复时间快。
(2)实用性和可扩展性:符合实际并且便于扩展。
(3)安全性:学校设备和链路都要有冗余备份,还要保护内容的安全。
一个网络的拓扑图能够最直观的呈现这个网络的设计思想,几种经典的网络拓扑结构各有特点。我们使用最标准的核心层、汇聚层、接入层三层架构。要求任何一台设备都不能宕机,所以所有交换机必须要有双机热备冗余备份。学校的网络拓扑如下图所示。
2 ip地址和vlan 划分
VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信,而VLAN间不能直接通信,从而将广播报文限制在一个VLAN内。任何一个网络基础都是IP地址,网络设计也都是从IP地址和VLAN划分开始的。划分VALN是隔离广播域最有效的方法。子网划分和vlan划分是网络最基本的组成部分。本次VLAN的划分根据需求出发每个楼栋划分单独的VLAN,使楼栋之间相互独立,更便于管理。本次设计的VLAN和IP地址划分如表2-1所示:
表2-1地址规划
| 楼栋 |
vlan |
ip地址 |
| 办公楼 |
10 |
192.168.10.0/24 |
| 教学楼 |
20 |
192.168.200/24 |
| 图书馆 |
30 |
192.168.30.0/24 |
| 食堂 |
40 |
192.168.40.0/24 |
| 宿舍楼 |
50 |
192.168.50.0/24 |
| SW1-Core1 |
70 |
192.168.70.0/24 |
| SW2-Core1 |
80 |
192.168.80.0/24 |
| 管理楼栋 |
100 |
172.16.10.0/24 |
| AP管理网段 |
200 |
172.16.20.0/24 |
| 终端业务网段 |
1000 |
192.168.100.0/24 |
| AC管理网段 |
2000 |
172.16.172.0/24 |
| 核心出口网段 |
172 |
172.16.100.0/24 |
3 设备选型
为设计合理的拓扑我们需要对设备进行合理的选择,我们使用模拟器现有的设备型号来搭建拓扑,具体设备选型如表2-2所示:
表2-2设备选型表
| 设备 |
型号 |
数量 |
| 二层交换机 |
S3700 |
6 |
| 三层交换机 |
S5700 |
3 |
| 服务器 |
Server |
4 |
| 防火墙 |
USG5500 |
1 |
| 路由器 |
AR2220 |
2 |
| 无线控制器 |
AC6005 |
1 |
| 无线放射器 |
AP2050 |
3 |
| 终端主机(计算机) |
PC、Client |
7、1 |
交换机VLAN的创建、接口的划分、IP地址的配置
最低0.47元/天 解锁文章
扫一扫
5817
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
