公司小型局域网设计方案
河南科技学院新科学院信息工程系
路由交换技术
专业: 计算机科学与技术 班级: 072班 组长:
其他成员:
设计课题:小型企业局域网设计 指导老师:
2010年12月10日
小型企业局域网设计方案报告
设计要求:
内网大多数用户可以实现资源共享和相互通信。但财务部可以访问市场部,市场部一般情况下不能访问财务部,若有用户需要访问,则网管人员可以通过三层交换机进行一个简单的命令行设置,使VLAN间正常通信。内网用户共用WEB服务器。外网用户可以与内网用户通信,但不能访问内网服务器和财务部以防重要数据被盗取或攻击内网服务器中。
第一部 系统需求分析
1. 部门类型:
市场部 (VLAN 20) 财务部(VLAN 10)
要求财务部可以访问市场部,但市场部一般情况下不能访问财务部,若有用户需求,
则网管人员可以通过三层交换机进行访问控制列表设置实现VLAN间通信。 2. 流量访问模型 本地访问 远程访问
(因企业内部人员相互共享资源多和通信频繁,所以本地访问比远程访问所占流量
大)
3. 用户接入需求 十几个信息点 4. 组网原则
一般可靠性 性价比高 5. 安全性需求:
内部网络使用VLAN分段,隔离广播,防止网络内部窃听和非授权的跨网段访问 使用防火墙分割内部网和外部网,不允许外部用户访问内部WEB服务器,财务
部。
远程接入用户使用VPN方式访问总部网络,并且限制远程用户可以访问的主机范
围。
第二部分 概要规划设计
1. 网络拓扑及拓扑图:二层模型的星型结构,通过级连交换机来扩展,核心交换机
下连接接入层交换机。
网络接入容量:接入交换机接连接用户,核心交换机连接WEB服务器和边界路由器。
2. 网络技术选型 3. 设备选型
接入交换机选用Cisco2960系列,核心交换机选用Cisco3560系列。 边界路由器选用Cisco18XX或Cisco28XX系列
4. 网络相关技术选型:
(1)使用VALN技术进行业务隔离,减少广播域的范围。 (2)使用TRUNK技术实现VLAN跨交换机进行访问 (3)端口会聚技术提高带宽,并能互作备份,提高可靠性 (4)STP技术防止二层环路,避免广播风暴,提高转发效率。
5. VLAN的应用及IP地址规划 6. 详细配置命令及调测
第三部分 详细规划设计
1. 网络拓扑图如下所示:
采用二层模型星型结构,核心设备及主干网络技术采用1000Base-T,接入层设备采用100Base-t两台交换机采用双链路会聚技术,以提高带宽和冗余作用,将两条链路捆绑在一起,速率是原来的两倍,当一条链路出现故障时,另外一条链路还可以起作用,提供IP路径不间断。但两条链路之间如果不采用STP技术,可能形成二层环路,所有内网用户都需要从WEB服务器上获取资源,所以WEB服务器必须挂接在核心交换机上。采用星型结构便于管理,因为是小型企业网,所以不须再用会聚层交换机,节约成本。防火墙一端接内网,另一端接外网,防火墙是两种机制的结合体,一种机制是对流量进行阻塞,一种机制是允许流量传输。
2.网络技术选型
根据需求,根据千兆以太网技术进行组网,它的主要特点表现在以下几个方面。 1)经济实用,且具有较高的性能价格比。
2)千兆以太网技术目前得到广泛支持,尤其是3COM公司的全系列千兆太太网解决方案及产品,使得千兆以太网的互连和设计都极其灵活和简便。
3)千兆以太网技术的兼容性,千兆以太网技术采用与传统以太网及快速以太网相同的载波监听多路访问冲突检测机制,从现有的传统以太网与快速以太网可以平滑地过度到千兆太网。
4)升级性能。千兆以太网技术与另一高性能网络—ATM技术相比,可以实现传统以太网或快速以太网的平滑升级及无缝连接,并不需要掌握新的配置,管理与故障排除技术,且有很高的性能价格比。
3.设备选型。
在小型企业局域网设计中,网络设备的选择主要是对以太网交换机的选择,因此交换机的性能将直接影响整个网络的实施,因此了解交换机的参数是非常重要的,这有助于更好的选择符合实际需求的交换机。 1)交换机的主要性能参数
1背板带宽与端口速率 ○
交换机的端口速率已经从10Mbit/s,100Mbit/s提高到1000Mbit/s和 10Gbit/s,1000Mbit/s和 10Gbit/s主要应用在大型网络的骨干网络中,对于100Mbit/s交换机来说,还有一个常用的参数是速率的自动匹配,即交换机端口速率可以与网卡的速率匹配,决定是运行100Mbit/s还是10Mbit/s,除子端口速率外还有背板带宽,它为交换机的高负荷下提供高速速率。 2交换方式 ○
以太网交换机有3种交换方式:直通交换,存储转发,无碎片交换。目前大多数交换机都支持直通和存储转发,部分交换机支持无碎片交换,存储转发相对于其它方式可靠性高些,因此存储转发是最常用。 3模块化及固定配置交换机的选择。 ○
目前市场上的交换机有两种:模块化和固定化。
模块化交换机能提供一系列扩展模块,比如千兆以太网模块,FDDI模块,ATM模块等,能将具有不同协议,不同拓扑结构的网络连接起来,具有很强的可扩展性,但是价格昂贵。
固定配置交换机一般具有固定端口的配置,可扩展性显然不如模块化交换机,但成本低很多。
一般大型网络的中心交换机应考虑选择模块化交换机,这样有利于网络的可扩展性和冗余性,而二级交换机或小型网络的主干交换机则选择价格低廉的固定化交换机。
4交换机采用何种VLAN ○
VLAN的划分方法有:基于端口的VLAN划分,基于MAC地址的VLAN划分,基于IP地址的VLAN划分,目前在小型网络中,基于端口的VLAN划分以其价格低廉,针对性强得到广泛应用。 5是否支持堆叠 ○
提供堆叠端口的交换机可以通过专用的堆叠方式连接起来,对于不支持堆叠的交换机,可采用级连的方式实现交换机的连接,上联交换机可以通过上联端口实现与骨干交换机的连接。
在本例中接入层交换机采用CISCO2960系列交换机可以满足企业需求。
2)三层交换机的选择
根据用户的网络结构和应用,选择三层交换机一般要注意如下几个方面:
○1性能稳定
三层交换机多用于骨干和汇聚层,如果性能不稳定将影响整个网络的大部分主机,所以只有性能稳定的三层交换机才是网络系统连续,可靠,安全和正常运行的保证。
衡量三层交换机的性能指标主要包括:交换容量,背板带宽,处理能力,吞吐量等技术指标。
对于有几百台计算机的小型企业网络园区网中,几十Gbit/s的背板带宽就可以满足应用,对于几千甚至几上万台计算机的大型企业网中,则需要支持几百Gbit/s的大型交换机。
2功能齐全 ○
产品不但要满足现有需求,还应满足未来一段时间内的需求,从而给用户一个增值空间,如当公司员工增加时,可以插上模块来扩充而不必淘汰原有设备,还有一些功能如组播,QOS,端口干路,Spanning Tree以及是否支持RIP,OSPF路由协议,对于三层交换机这是非常必要的。
组播:在VOD应用中,如果一组用户同时点播一个节目,用组播协议可以保证交换机在高密度视频流点播时非常顺畅地进行数据处理,反之,如果交换机不支持组播协议,则占用的带宽就会相当大。
QOS: QOS可能根据用户不同需求将其划分为不同等级,可以使宽带运营商根据流量计费,从而为不同用户提供不同服务。
访问控制列表:如果在接入层划分VLAN,则不同的VLAN用户间是不能通信的,因为这是基于第二层的VLAN,若想通信,必须通过第三层.如企业的财务部和市场部,一般是不来往的,若有用户需要访问,则网管人员可能通过三层交换机进行简单的命令行设置,即访问控制列表,可以实现不同VLAN间的单向或双向通信,如果发现某IP地址总发送无用数据包到自己网络中,则可以在访问列表中设置,禁止其发送数据包。
3分布式优于集中式。 ○
传统总线式交换结构模块是集中式,现代交换模块是分布式,由于企业内联网中运行的视频,音频及数据信息量越来越大,使之对交换机处理能力的要求越来越高,为了实现在高端口密度条件下的高速无阻塞交换,采用分布式第三层交换机是明智的选择。
4安全可靠 ○
三层交换机作为网络核心设备,是黑客攻击的重要对象,这就要求必须将三层
交换机纳入网络安全防护的范围,所以,从安全上看,配备支持性能优良,没有安全漏洞,有防火墙功能的三层交换机是非常必要的。
任何产品都不能保证其不发生故障,关键是发生故障时能否迅速切换到一个好的设备上,所以,从可靠上看,在硬件上要考虑冗余能力,如电源,管理模块和端口等重要部件是否支持冗余,这对诸如电信,金融等对安全可靠性要求高的用户尤其重要。
还有散热方式,最后对宽带运营商来说,认证功能也是考察的重要方面,是否支持一些特殊的协议如802.1X等,以实现认证。
在本例中三层交换机使用CISCO3560系列可以满足企业需求。
5. VLAN的应用及IP地址规划。
6.配置命令:
SW1的配置命令:
Switch(config)#hostname sw1 sw1(config)#line console 0 sw1(config-line)#no login sw1(config-line)#logging syn
sw1(config-line)#logging synchronous sw1(config-line)#line vty 0 4 sw1(config-line)#no login sw1(config-line)#exit sw1(config)#vlan 10
sw1(config-vlan)#vlan 20 sw1(config-vlan)#exit
sw1(config)#int range fastethernet 0/1 - 2 sw1(config-if-range)#switchport mode trunk
sw1(config-if-range)#switchport trunk allowed vlan all sw1(config-if-range)#exit sw1(config)#int f 0/3
sw1(config-if)#switchport mode access sw1(config-if)#switchport access vlan 10 sw1(config-if)#exit sw1(config)#int f0/4
sw1(config-if)#switchport mode access sw1(config-if)#switchport access vlan 20 sw1(config-if)#exit sw1(config)#int f 0/5
sw1(config-if)#switchport mode access sw1(config-if)#switchport access vlan 20 sw1(config-if)#exit sw1(config)#int f 0/6
sw1(config-if)#switchport mode access sw1(config-if)#switchport access vlan 20 sw1(config-if)#end
%SYS-5-CONFIG_I: Configured from console by console sw1#show vlan brief
VLAN Name Status Ports ---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gig1/1, Gig1/2 10 VLAN0010 active Fa0/3
20 VLAN0020 active Fa0/4, Fa0/5, Fa0/6 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active
SW1#show ip int b
Interface IP-Address OK? Method Status Protocol
FastEthernet0/1 unassigned YES manual up up
FastEthernet0/2 unassigned YES manual up up
FastEthernet0/3 unassigned YES manual up up
FastEthernet0/4 unassigned YES manual up up
FastEthernet0/5 unassigned YES manual up up
FastEthernet0/6 unassigned YES manual up up
SW2的配置命令:
Switch(config)#hostname sw2 sw2(config)#line console 0 sw2(config-line)#no login sw2(config-line)#logging syn
sw2(config-line)#logging synchronous sw2(config-line)#line vty 0 4 sw2(config-line)#no login sw2(config-line)#exit sw2(config)#vlan 10
sw2(config-vlan)#vlan 20 sw2(config-vlan)#exit
sw2(config)#int range fastethernet 0/1 - 2 sw2(config-if-range)#switchport mode trunk
sw2(config-if-range)#switchport trunk allowed vlan all sw2(config-if-range)#exit sw2(config)#ip routing sw2(config)#int vlan 10
sw2(config-if)#ip address 192.168.10.1 255.255.255.0 sw2(config-if)#exit sw2(config)#int vlan 20
sw2(config-if)#ip address 192.168.20.1 255.255.255.0 sw2(config-if)#exit sw2(config)#int f 0/3
sw2(config-if)#no switchport
sw2(config-if)#ip address 192.168.2.9 255.255.255.248 sw2(config-if)#no shutdown sw2(config-if)#exit sw2(config)#int f 0/4
sw2(config-if)#no switchport
sw2(config-if)#ip address 192.168.22.1 255.255.255.0 sw2(config-if)#no shutdown sw2(config-if)#exit
sw2(config)#spanning-tree vlan 1-4094 priority 0 sw2(config)#end SW2#show ip int b
Interface IP-Address OK? Method Status Protocol
FastEthernet0/1 unassigned YES manual up up
FastEthernet0/2 unassigned YES manual up up
FastEthernet0/3 192.168.2.9 YES manual up up
FastEthernet0/4 192.168.22.1 YES manual up up
Vlan1 unassigned YES manual administratively down down
Vlan10 192.168.10.1 YES manual up up
Vlan20 192.168.20.1 YES manual up up
路由器R1的基本配置命令:
r1(config)#hostname R1 R1(config)#line console 0 R1(config-line)#no login R1(config-line)#exit R1(config)#line vty 0 4 R1(config-line)#no login R1(config-line)# R1(config-line)#exit R1(config)#int f 0/0
R1(config-if)#ip address 192.168.2.10 255.255.255.248 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#int f 1/0
R1(config-if)#ip address 192.168.30.1 255.255.255.0 R1(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet1/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up
R1(config-if)#exit R1(config)#int s 2/0
R1(config-if)#clock rate 64000
R1(config-if)#exit
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up R1(config-if)#encapsulation hdlc
R1(config-if)#ip address 192.168.1.1 255.255.255.252 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#end
%SYS-5-CONFIG_I: Configured from console by console R1#show ip int b
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 192.168.2.10 YES manual up up
FastEthernet1/0 192.168.30.1 YES manual up up
Serial2/0 192.168.1.1 YES manual up up
Serial3/0 unassigned YES manual administratively down down
FastEthernet4/0 unassigned YES manual administratively down down
FastEthernet5/0 unassigned YES manual administratively down down
路由器R2的基本配置命令:
R2(config)#line console 0 R2(config-line)#no login R2(config-line)#exit R2(config)#line vty 0 4 R2(config-line)#no login R2(config-line)#exit R2(config)#int f 1/0
R2(config-if)#ip address 200.200.200.1 255.255.255.0 R2(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet1/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up
R2(config-if)#exit R2(config)#int s 2/0
R2(config-if)#encapsulation hdlc
R2(config-if)#ip address 192.168.1.2 255.255.255.252 R2(config-if)#no shutdown R2(config-if)#end
%SYS-5-CONFIG_I: Configured from console by console
R2#show ip int brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 unassigned YES manual administratively down down
FastEthernet1/0 200.200.200.1 YES manual up up
Serial2/0 192.168.1.2 YES manual up up
Serial3/0 unassigned YES manual administratively down down
FastEthernet4/0 unassigned YES manual administratively down down
FastEthernet5/0 unassigned YES manual administratively down down
R1#ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 31/34/47 ms
R2#ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 31/31/32 ms
(1)静态路由配置:(用静态路由实现)
SW2(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.10
R1(config)#ip route 192.168.10.0 255.255.255.0 192.168.2.9
R1(config)#ip route 192.168.20.0 255.255.255.0 192.168.2.9
R1(config)#ip route 192.168.22.0 255.255.255.0 192.168.2.9
R1(config)#end
%SYS-5-CONFIG_I: Configured from console by console
R1#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
192.168.1.0/30 is subnetted, 1 subnets
C 192.168.1.0 is directly connected, Serial2/0
192.168.2.0/29 is subnetted, 1 subnets
C 192.168.2.8 is directly connected, FastEthernet0/0
S 192.168.10.0/24 [1/0] via 192.168.2.9
S 192.168.20.0/24 [1/0] via 192.168.2.9
S 192.168.22.0/24 [1/0] via 192.168.2.9
C 192.168.30.0/24 is directly connected, FastEthernet1/0
R1#
R1#ping 192.168.22.22
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.22.22, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 47/54/63 ms
R2(config)#ip route 192.168.10.0 255.255.255.0 192.168.1.1
R2(config)#ip route 192.168.20.0 255.255.255.0 192.168.1.1
R2(config)#ip route 192.168.22.0 255.255.255.0 192.168.1.1
R2(config)#ip route 192.168.30.0 255.255.255.0 192.168.1.1
R2(config)#end
%SYS-5-CONFIG_I: Configured from console by console
R2#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
192.168.1.0/30 is subnetted, 1 subnets
C 192.168.1.0 is directly connected, Serial2/0
S 192.168.10.0/24 [1/0] via 192.168.1.1
S 192.168.20.0/24 [1/0] via 192.168.1.1
S 192.168.22.0/24 [1/0] via 192.168.1.1
S 192.168.30.0/24 [1/0] via 192.168.1.1
C 200.200.200.0/24 is directly connected, FastEthernet1/0
R2#ping 192.168.22.22
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.22.22, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 79/85/94 ms
(2)RIP路由配置(用动态路由实现)
R1(config)#route rip
R1(config-router)#version 2
R1(config-router)#no auto-summary
R1(config-router)#network 192.168.1.0
R1(config-router)#network 192.168.2.8
R1(config-router)#network 192.168.30.0
R2(config)#route rip
R2(config-router)#version 2
R2(config-router)#no auto-summary
R2(config-router)#network 192.168.1.0
R2(config-router)#network 200.200.200.0
R1#show ip route rip
R 200.200.200.0/24 [120/1] via 192.168.1.2, Serial2/0
R2#show ip route rip
R 192.168.2.8/29 [120/1] via 192.168.1.1, Serial2/0
R 192.168.30.0/24 [120/1] via 192.168.1.1, Serial2/0
(3)OSPF路由配置(动态路由实现)
R1(config)#route ospf 1
R1(config-router)#neighbor route
R1(config-router)#router-id 192.168.0.1
R1(config-router)#network 192.168.1.0 0.0.0.3 area 0
R1(config-router)#network 192.168.30.0 0.0.0.255 area 0
R1(config-router)#network 192.168.2.8 0.0.0.7 area 0
R1(config-router)#end
%SYS-5-CONFIG_I: Configured from console by console
R1#show ip route ospf
O 200.200.200.0/24 [110/782] via 192.168.1.2, 00:01:22, Serial2/0
R1#
R2(config)#route ospf 1
R2(config-router)#router-id 192.168.0.2
R2(config-router)#network 192.168.1.0 0.0.0.3 area 0
R2(config-router)#network 200.200.200.0 0.0.0.255 area 0
R2(config-router)#end
%SYS-5-CONFIG_I: Configured from console by console
R2#show ip route ospf
192.168.2.0/29 is subnetted, 1 subnets
O 192.168.2.8/29 [110/782] via 192.168.1.1, 00:00:19, Serial2/0
R2#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface 192.168.0.1 1 FULL/- 00:00:34 192.168.1.1 Serial2/0 R2#
ACL访问列表应用:(市场部与财务部不能相互通信)
SW2(config)#access-list 101 permit ip 192.168.10.10 0.0.0.255 192.168.20.10 0.0.0.255 SW2(config)#vlan access-map vacl 10
SW2(config-access-map)#match ip address 101
SW2(config-access-map)#action drop
SW2(config)#vlan access-map vacl 20
SW2(config-access-map)#action forword
SW2(config)#vlan filter vacl vlan-list 20
配置后实现如下:
心得体会:
本次小型企业局域网设计在网上以及书上查找了大量的资料和范例,总体完成规划设计的大概要求。由于时间很紧张,而且很多数据没法调查,只能是根据平时使用校园网及已了解的信息作为基础,因此规划结果可能与现实有所差距。通过这次规划设计,对设计一个大型的网络有了一定的了解,在查阅资料时了解了相关设备以及其发展情况。