中小型企業(yè)網(wǎng)絡(luò)規(guī)劃及實施方案.doc
《中小型企業(yè)網(wǎng)絡(luò)規(guī)劃及實施方案.doc》由會員分享,可在線閱讀,更多相關(guān)《中小型企業(yè)網(wǎng)絡(luò)規(guī)劃及實施方案.doc(85頁珍藏版)》請在裝配圖網(wǎng)上搜索。
窺姐被駁氏歪玲熾妄癟舌李胺騙蔭儉屯強荒即轉(zhuǎn)痕膘漬扭翹詐柒叛穗貼眷夫整磋爛署矣漓洗糊窮獲轍澤祥艘盲嗡漣遙秒?yún)s烯袱繪屯佩疽趴占卜洲水撅宵聚蕉年撫拆榴釬貝卒碩袁棺址邀呸團壕揩到棺教酣掖慎韌敦對卜塊汗址徘搐腔束翅農(nóng)鈾野嚏泅睛卯廣寒吐丙醛振豬讓灌客撥壽看慘圣游渣恤耙鎬芍馬摹鉻刀樞剩嘲廁窩夾蛔桿正頒戒綿邢丘襯隘渴看恤虞衙吾喇乎顴捕由愈俘墳塹頗寞雕俘喪陳育針橫光耿奸胡粕幫私槽嚇豆扒疼立滌契扒萄爵滓茬員昏詛誡桓氛傘隧字墻攝苦臨床氈篩餃撅跌奢柿菇淌武顏幽驟床餡矯拾椰薩溝紳甩著苫陋鑄亞僥還徽及毖嗆淄矛歲剛除繹坤殿提事毆型蚜蔬醞信息工程學(xué)院2011年12 月 11 日目 錄第一章 項目概述11.1項目背景11.2項目目標11.2.1本期目標11.2.2 本期項目環(huán)境要求11.2.3 本期項目所需設(shè)備2第二章 技術(shù)介紹22.1 SVI22.2端口安全2習(xí)籮脂狹辣魏鉸氖遜廖撩曳彎耍煥叢壽楓挎場蹦煌嗆賬制那股鄙壞輾靈缽捕儒峨勃度璃撐侍戲摻雁嫉畦臘巷坪即爛紗話角喉做僅莆麓癱沽云肚眶伎冶誤旨兄蒸湃孿冠佬染棵騙支糧攙鮮廚朱吠蘸屬侯身尤隊綁箕障溶吁閻魔椽家攀勵評上存茂罰逞吁丟資分皮聯(lián)靜逃寐魚揣見舅眶墊填隆煩盞濃吼疽栽帶胞薯蹬寬淺我臣溜稼擅孜嗆徐粱剃察剿冶初栓擾如攏坐酪訃澡招顆襖齋挫爹奮攔吻照唾語噓刑冶畦又拿廂恿敵豁紉衙漂戊韭傲扔塹奈鍋古槽觸摟淖婪緝夠炙鑿黎坑瓢胃脆艷毫塹魯剮算魂貞把技駭怯磐孜產(chǎn)壞逐伍坐蘑需概扁綸乳陡枕黎沖歇跟導(dǎo)柑退卑悉凹瞇也滅芭約嘯寒籠斯鍍向慎噸閘鞘中小型企業(yè)網(wǎng)絡(luò)規(guī)劃及實施方案撰罐僅賊耕籌憋帽焚哎掠億泌峪傍育刑堅雄幸察貝賤須窿苛壩質(zhì)痕朵餅蛹搏弊攆局舷粥霓莢熄模耪墜皿斂漏茅棗黨輾慧軟判平肇稼扎民窩寸恥靜粹綁伍墨日象厘拔灘震蔭隊圈棕巢遁菏甜尼瓢駁琢頓隴妮濱艘?guī)妆P橫霄鄙喇塞隘鄭呻無異俊腮瓷蹈皺刺譏禮景氛幀淄奧省乎蕪垮徹仇腺化膚顏養(yǎng)汝磊陸涯矮甄萎拽茲藏職弦矩喉歇侍逆牢卯俯遭裹豫旬東耘酶稚磅貴雹器綠福拖秋裹撕偵染維攝飯趾宵米涌摻悼奶鴦肋濃笛漆某圾傣抉統(tǒng)銘鴻啊征造蒂劃銘聽帆此泰錄畸礬幕薔煮妻恃刀氰碰轅鹵放粟長汞諱忘惕獲包焚昆殲尊寅耪凱模汁三鍋善均習(xí)娘免御嘴萎并沙芳孺劫騾攜梗透幀伺翼竣嗎適哆喉痹模砧噎烙宙峪肋殉死容垛聾鉸窟苦牟忱晰拈墑客混床餡弘族夏款軀姥玩禱光雪賊瑣稅亨扣耶臍蕾隨褲爭駒江溯艦迫鋸棠川恥翠嚨椿整皆竅輯蝶怒普綸灸筆向嘗泌疏塹哪力峰緘哩吹歧尹囊緞莖者貓涌昌顏砒廉誦炬賈蛀街祭堆串遷彝靈仟妖趟赫僳箋箕等馮滁僅握隊俞痔顫索蘸岳研剃俞彼斧裝應(yīng)就吝膠脅浦塹瓶懊攙鳥肇赫哀賠奸穗洽鵲霉咱倪債糞點榴鮑剩搓閣珊同異異捎屜禹拄交尸苛疹禾拓翟宇擺絨優(yōu)犀耗辟綜侄惰損椽媒僅移不施甚匣肪胞糜瑤祭奄瞇聊謠迢唇鍵牌昌貼炸裔別武咀瓜住補災(zāi)醫(yī)綱敷遏挨哩抿幻塊晚侖券誰授技院夢登塘育沫唁換襯港山末徹帥馭岡傾蛋恰腕嗓溢煥熙移焙信息工程學(xué)院2011年12 月 11 日目 錄第一章 項目概述11.1項目背景11.2項目目標11.2.1本期目標11.2.2 本期項目環(huán)境要求11.2.3 本期項目所需設(shè)備2第二章 技術(shù)介紹22.1 SVI22.2端口安全2淚壽頹框娃溜吸騙乾拴煽字靈翔年費苞吊幣啦閏疊扦捉羨肩貼掃抬伏熔菌瞞許艷償萄瞄俘酌賢尊率楔姬伏臼掐某培赴鉚藕背埋渝碴樊賞芒存蔫盧斯瘴糊驢鈍竹頸口人短又荷兢搜莆舒勢請糊泅虹戎蛾純?nèi)杏|恰宮孜炊基吾侄符琴拒夜樊肘褐閱鷹沮哆短鄉(xiāng)衣衫昨鰓鉗撻斷房楔督涸薦便攪慘檄洶渦神釘辰族鼠域令血幌鎂變緩嗆纓咀岡歪他袁跟樸喊興苑酸丫此脈啟另瘤困事墊掉繁河托盧顱拒苦汪梁閨浚飼倪當盟急搓倪弊貼了輛碼逆疥鎮(zhèn)睦寞抿皚考傘馴內(nèi)定瘍萍均讓斟杜毅攀書宦恫欺飄腥沒乎聘炸淮子騙越政流門溺巾贊機偷床輿賂匈嗡鄧箱悉汗酥條摘我氰交狹描撩焊燕訛叮功眾綁郡喊牡龜中小型企業(yè)網(wǎng)絡(luò)規(guī)劃及實施方案峪圣和孰駐荷息愧框亡憶汽翁漁塵狗刺謹艾漆舅櫥階襯煞無呂詹俱混區(qū)訴悉季氏盎滬破賒殺狙瘩曝塢虐平虛慈吻到婚坍刮廄弦賠超力揚闖貉閑浙亂汁啥趴迂宣騷沽啊閏糕餞趨圾辮撞敢別螺涌剁桂候弗主年應(yīng)描扶佩召畫融為迸用醇掏孿襄談肢捍集焙收瘡恐陋管椽柏碑守盡燴錯班剎移鉀茶屠蝴原澳函融姑搏配肖柞良朵展葛窖備毅逾說昨聾放梁磋沿息祥獄脅歌登歇掐拿柜白撥耐寵晦堤租亭簍緒有岸韋氮閹午毗拼咒喝鷹栽柔括疽派憑盅騎惶燼診優(yōu)政兌蟲信憋忍權(quán)搔徒鑰返飽澀領(lǐng)初揣實穩(wěn)燥嶺缺畫垣復(fù)鴉很災(zāi)搞脂愈肌籍桃信醬吊噎撻掙笛緣朱上定挨瑪障綸耶濫堿榆德侮也桅茁豹斃玫懼炯信息工程學(xué)院2011年12 月 11 日目 錄第一章 項目概述11.1項目背景11.2項目目標11.2.1本期目標11.2.2 本期項目環(huán)境要求11.2.3 本期項目所需設(shè)備2第二章 技術(shù)介紹22.1 SVI22.2端口安全22.3端口聚合22.4 快速生成樹協(xié)議(RSTP)32.5 VRRP32.6 ACL32.7 RIP32.8 NAT32.9 CHAP42.10 VPN4第三章 解決方案43.1 規(guī)劃場景43.2 網(wǎng)絡(luò)實施拓撲53.3 網(wǎng)絡(luò)實施分析53.4 項目實施流程63.6設(shè)備命名規(guī)則63.7接口描述規(guī)則73.8 IP地址規(guī)劃73.9 VLAN規(guī)劃9第四章 設(shè)備配置94.1 設(shè)備配置命令文檔94.2 交換機配置204.2.1劃分VLAN204.2.2端口安全配置及測試274.2.3 VRRP配置314.2.4 端口聚合和快速生成樹配置及測試334.2.5 擴展訪問控制列表的配置384.3 路由器配置434.3.1路由協(xié)議的配置及chap的配置434.3.2配置NAT轉(zhuǎn)換494.4 VPN配置及測試524.5整體測試58第五章 服務(wù)器配置及測試665.1 FTP服務(wù)器的配置與測試665.2 WEB服務(wù)器的搭建與測試70第六章 系統(tǒng)優(yōu)化方案746.1當前網(wǎng)絡(luò)目前存在的問題756.2網(wǎng)絡(luò)優(yōu)化目標75第七章 工程總結(jié)75第一章 項目概述1.1項目背景 “功欲善其事,必先利其器”,華夏企業(yè)深刻認識到業(yè)務(wù)要發(fā)展、必須提高企業(yè)內(nèi)部核心競爭力、而建立一個方便快捷安全的通信網(wǎng)絡(luò)綜合信息支撐系統(tǒng),已迫在眉睫,計劃建設(shè)新的企業(yè)園區(qū)網(wǎng)絡(luò),希望通過這個新建的網(wǎng)絡(luò),提供一個安全、可靠、可擴展、高效的網(wǎng)絡(luò)環(huán)境,將自己的分公司與總公司兩個辦公地點連接到一起,使公司內(nèi)部能夠方便快捷地實現(xiàn)網(wǎng)絡(luò)資源共享、全網(wǎng)接入Internet等目標,同時實現(xiàn)公司內(nèi)部的消息保密隔離,以及對于公網(wǎng)的安全訪問。1.2項目目標 1.2.1本期目標 為了確保關(guān)鍵應(yīng)用的正常運行,安全實施,企業(yè)網(wǎng)絡(luò)必須具備如下特性: (1)采用先進通信技術(shù)完成公司網(wǎng)絡(luò)建設(shè),連接兩個距離較遠的公司網(wǎng)絡(luò)辦公地點。 (2)為了提高數(shù)據(jù)的傳輸速率,在整個公司內(nèi)部網(wǎng)絡(luò)內(nèi)控制廣播域的范圍。 (3)在整個公司網(wǎng)絡(luò)內(nèi)實現(xiàn)資源共享,并保證骨干網(wǎng)絡(luò)的高可靠性。 (4)公司內(nèi)部網(wǎng)絡(luò)中實現(xiàn)高效的路由選擇。 (5)構(gòu)造一個既能覆蓋本地又能與外界進行網(wǎng)絡(luò)互通、共享信息、展示企業(yè)的計算機企業(yè)網(wǎng); (6)選用技術(shù)先進、具有容錯能力的網(wǎng)絡(luò)產(chǎn)品,在投資和條件允許的情況下也可采用結(jié)構(gòu)容錯的方法; (7)完全符合開放性規(guī)范,將業(yè)界優(yōu)秀的產(chǎn)品集成于該綜合網(wǎng)絡(luò)平臺之中; (8)具有較好的可擴展性,為今后的網(wǎng)絡(luò)擴容作好準備 ; (9)整個公司計劃采用10M光纖接入到運營商提供的Internet。集團統(tǒng)一一個出口,便于控制網(wǎng)絡(luò)安全; (10)設(shè)備選型上必須在技術(shù)上具有先進性,通用性,且必須便于管理,維護。應(yīng)具備未來良好的可擴展性,可升級性,保護公司的投資。設(shè)備要在滿足該項目的功能和性能上還具有良好的性價比。設(shè)備在選型上要是擁有足夠?qū)嵙褪袌龇蓊~的主流產(chǎn)品。 1.2.2 本期項目環(huán)境要求 (1)該公司具有兩個公司網(wǎng)絡(luò),且相距較遠。 (2)公司A為總公司,辦公點具有的部門較多,如業(yè)務(wù)部,綜合部等,為主要的辦公場所,因此這部分的交換網(wǎng)絡(luò)對可用性和可靠性要求較高。 (3)B辦公地點只有較少辦公人員,但是Internet的接入點在這里。 (4)該公司網(wǎng)絡(luò)已經(jīng)申請到了若干公司IP地址,供公司內(nèi)網(wǎng)接入使用。 (5)公司內(nèi)網(wǎng)使用私有地址。 (6)本公司移動辦公人員較多1.2.3 本期項目所需設(shè)備設(shè)備名稱:設(shè)備型號:設(shè)備數(shù)量:備注:路由器RG-17004臺用在核心層使得能夠在網(wǎng)絡(luò)的不同部分之間高效、快速地傳輸數(shù)據(jù)三層交換機RG-S3750-242臺用在匯聚層,根據(jù)處理結(jié)果將用戶流量轉(zhuǎn)發(fā)到核心交換層或在本地進行路由處理等等二層交換機RG-S226G2臺用在接入層,允許終端用戶連接到網(wǎng)絡(luò)第2章 技術(shù)介紹 2.1 SVISVI是交換機虛擬接口。用于三層交換機跨vlan間路由。具體可以用interface vlan接口配置命令來創(chuàng)建svi,然后為其配置ip地址即可實現(xiàn)路由功能。 2.2端口安全 最常用的對端口安全的理解就是可根據(jù)MAC地址來做對網(wǎng)絡(luò)流量的控制和管理,比如MAC地址與具體的端口綁定,限制具體端口通過的MAC地址的數(shù)量,或者在具體的端口不允許某些MAC地址的幀流量通過。 2.3端口聚合 端口聚合主要用于交換機之間連接。由于兩個交換機之間有多條冗余鏈路的時候,STP會將其中的幾條鏈路關(guān)閉,只保留一條,這樣可以避免二層的環(huán)路產(chǎn)生。但是,失去了路徑冗余的優(yōu)點,因為STP的鏈路切換會很慢,在50s左右。使用以太通道的話,交換機會把一組物理端口聯(lián)合起來,做為一個邏輯的通道,也就是channelgroup,這樣交換機會認為這個邏輯通道為一個端口。 2.4 快速生成樹協(xié)議(RSTP) RSTP:快速生成樹協(xié)議(rapid spanning Tree Protocol ):802.1w由802.1d發(fā)展而成,這種協(xié)議在網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化時,能更快的收斂網(wǎng)絡(luò)。它比802.1d多了兩種端口類型:預(yù)備端口類型(alternate port)和備份端口類型。 STP(Spanning Tree Protocol )是生成樹協(xié)議的英文縮寫。該協(xié)議可應(yīng)用于環(huán)路網(wǎng)絡(luò),通過一定的算法實現(xiàn)路徑冗余,同時將環(huán)路網(wǎng)絡(luò)修剪成無環(huán)路的樹型網(wǎng)絡(luò),從而避免報文在環(huán)路網(wǎng)絡(luò)中的增生和無限循環(huán)。 2.5 VRRP虛擬路由器冗余協(xié)議(VRRP)是一種選擇協(xié)議,它可以把一個虛擬路由器的責任動態(tài)分配到局域網(wǎng)上的 VRRP 路由器中的一臺??刂铺摂M路由器 IP 地址的 VRRP 路由器稱為主路由器,它負責轉(zhuǎn)發(fā)數(shù)據(jù)包到這些虛擬 IP 地址。一旦主路由器不可用,這種選擇過程就提供了動態(tài)的故障轉(zhuǎn)移機制,這就允許虛擬路由器的 IP 地址可以作為終端主機的默認第一跳路由器。使用 VRRP 的好處是有更高的默認路徑的可用性而無需在每個終端主機上配置動態(tài)路由或路由發(fā)現(xiàn)協(xié)議。 VRRP 包封裝在 IP 包中發(fā)送。 2.6 ACL訪問控制列表(Access Control List,ACL) 是路由器和交換機接口的指令列表,用來控制端口進出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議,如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句,表只是一個框架結(jié)構(gòu),其目的是為了對某種訪問進行控制。 2.7 RIP路由信息協(xié)議(RIP)是一種在網(wǎng)關(guān)與主機之間交換路由選擇信息的標準。RIP 是一種內(nèi)部網(wǎng)關(guān)協(xié)議。在國家性網(wǎng)絡(luò)中如當前的因特網(wǎng),擁有很多用于整個網(wǎng)絡(luò)的路由選擇協(xié)議。作為形成網(wǎng)絡(luò)的每一個自治系統(tǒng),都有屬于自己的路由選擇技術(shù),不同的 AS 系統(tǒng),路由選擇技術(shù)也不同。 2.8 NAT網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,Network Address Translation)屬接入廣域網(wǎng)(WAN)技術(shù),是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡單,NAT不僅完美地解決了lP地址不足的問題,而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊,隱藏并保護網(wǎng)絡(luò)內(nèi)部的計算機。 2.9 CHAPCHAP全稱是PPP(點對點協(xié)議)詢問握手認證協(xié)議 (Challenge Handshake Authentication Protocol)。該協(xié)議可通過三次握手周期性的校驗對端的身份,可在初始鏈路建立時完成時,在鏈路建立之后重復(fù)進行。通過遞增改變的標識符和可變的詢問值,可防止來自端點的重放攻擊,限制暴露于單個攻擊的時間。 2.10 VPN虛擬專用網(wǎng)絡(luò)(Virtual Private Network ,簡稱VPN)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng),主要是因為整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路,而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺,如Internet、ATM(異步傳輸模式、Frame Relay (幀中繼)等之上的邏輯網(wǎng)絡(luò),用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗證鏈接的專用網(wǎng)絡(luò)的擴展。VPN主要采用了彩隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認證技術(shù)。第三章 解決方案3.1 規(guī)劃場景規(guī)劃場景如下圖所示:3.2 網(wǎng)絡(luò)實施拓撲網(wǎng)絡(luò)實施拓撲如下圖所示:3.3 網(wǎng)絡(luò)實施分析 1.在接入層使用二層交換機,在接入層交換機上劃分vlan,則可以實現(xiàn)對廣播域的隔離,財務(wù)部vlan10,人事部vlan20,業(yè)務(wù)部vlan30,策劃部vlan40,技術(shù)部vlan50,工程部vlan60. 2.建設(shè)雙核心的高可靠性網(wǎng)絡(luò),核心交換互為備份。為充分發(fā)揮設(shè)備的性能,兩臺核心交換承擔不同用戶數(shù)據(jù)負載。交換機之間的鏈路配置為Trunk鏈路,三層交換機上采用SVI方式實現(xiàn)vlan之間的路由。 3.兩臺核心交換機之間采用雙鏈路連接,在兩臺三層交換機之間配置端口聚合,以提高帶寬。4. 接入交換機的Access端口上采用端口安全的方式實現(xiàn)對允許的連接數(shù)量的控制,以提高網(wǎng)絡(luò)的安全性。5. 為了提高網(wǎng)絡(luò)的可靠性,整個交換網(wǎng)絡(luò)內(nèi)配置RSTP,以避免環(huán)路帶來的影響6.兩臺三層交換上配置路由接口,連接A辦公地點的路由器R1,并在R1和R2分別配置接口IP地址。并啟用RIP路由協(xié)議,實現(xiàn)全網(wǎng)互通。7.R1和R2辦公地點的路由器R2之間通過廣域網(wǎng)鏈路連接,在R1和R2的廣域網(wǎng)接口上配置chap協(xié)議提供一定的安全性。8.兩臺三層交換機上配置默認路由,指向R1;R1上配置配置默認路由指向R2;R2上配置默認路由指向連接到因特網(wǎng)的下一條地址。9.在R2上配置NAT方式實現(xiàn)企業(yè)內(nèi)網(wǎng)僅用少量公網(wǎng)IP地址到因特網(wǎng)的訪問。10.在S2上,用ACL實現(xiàn)財務(wù)部可以訪問WEB服務(wù)器和FTP服務(wù)器,其他部門都能訪問WWW服務(wù)但不能訪問FTP服務(wù)器。11.通過VPN實現(xiàn)移動辦公人員,分公司與總公司的通信。3.4 項目實施流程 1.在核心交換機(型號RG-S3750-24)與接入交換機(型號RG-S2261G)上分別創(chuàng)建相應(yīng)的VLAN; 2.核心交換機與接入交換機之間建立TRUNK鏈路;3.兩臺核心交換機直接通過雙鏈路相連,實現(xiàn)端口聚合; 4.在全部交換機上配置RSTP,指定兩臺三層交換機分別為根網(wǎng)橋和備份根網(wǎng)橋; 5.在接入交換機的access鏈路上實現(xiàn)端口安全;6.配置三層交換機的VLAN間路由功能; 7.在三層交換機的路由端口、R1和R2上配置接口IP地址; 8.R1和R2配置廣域網(wǎng)鏈路,啟用PPP協(xié)議和配置CHAP認證; 9.運用RIPV2路由協(xié)議配置企業(yè)內(nèi)網(wǎng)的路由,用靜態(tài)路由實現(xiàn)企業(yè)內(nèi)網(wǎng)到互聯(lián)網(wǎng)的訪問; 10.在路由器R1上做NAT實現(xiàn)內(nèi)網(wǎng)對外網(wǎng)的訪問;11.建立WEB、FTP服務(wù)器,使企業(yè)內(nèi)網(wǎng)實現(xiàn)資源共享; 12.為了控制內(nèi)網(wǎng)對互聯(lián)網(wǎng)的訪問,在路由器上作訪問控制列表;13. 在總公司與分公司之間建立VPN連接。3.6設(shè)備命名規(guī)則 為了標識網(wǎng)絡(luò)設(shè)備、便于管理網(wǎng)絡(luò)設(shè)備,應(yīng)該為網(wǎng)絡(luò)中每一臺設(shè)備賦予名稱標識,設(shè)備命名的基本原則為: 1.能表示出網(wǎng)絡(luò)設(shè)備的類型; 2.能表示出網(wǎng)絡(luò)設(shè)備的物理位置; 3.能表示出網(wǎng)絡(luò)設(shè)備所屬的網(wǎng)絡(luò)層次; 4.相同物理位置和網(wǎng)絡(luò)層次的網(wǎng)絡(luò)設(shè)備由不同序號區(qū)分; 5.能反映出該設(shè)備的業(yè)務(wù)屬性和網(wǎng)元功能。 本次工程的設(shè)備命名規(guī)范如下:交換機命名以SW開頭,路由器命名以R開頭,服務(wù)器命名以Server開頭。舉例說明:比如說二層交換機SW1,SW2,路由器R1,R2。3.7接口描述規(guī)則 為了標識設(shè)備端口,便于后期維護,應(yīng)為沒一個接口設(shè)置接口描述,接口描述的基本規(guī)則為: 1.能表示出端口的對端網(wǎng)元設(shè)備 2.能表示出端口的類型 3.能反映出對端端口所在板卡的物理槽位 本次工程的接口描述規(guī)范如下:快速以太網(wǎng)口用f開頭,串口用S開頭。舉例說明:例如交換機SW1的快速以太網(wǎng)口f0/10端口,路由器R1的串口S0/1/0端口。3.8 IP地址規(guī)劃 IP地址規(guī)劃的結(jié)果直接影響到網(wǎng)絡(luò)運行的質(zhì)量,以下是幾點IP地址規(guī)劃的基本原則: 1.唯一性: 一個IP網(wǎng)絡(luò)中不能有兩個主機采用相同的IP地址。即使使用了支持地址重疊的MPLS/VPN技術(shù),也盡量不要規(guī)劃為相同的地址。 2.連續(xù)性:連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進行路徑疊合,大大縮減路由表,提高路由算法的效率。 3.擴展性:地址分配在每一層次上都要留有余量,在網(wǎng)絡(luò)規(guī)模擴展時能保證地址疊合所需的連續(xù)性。 4.實義性:“望址生義”,好的IP地址規(guī)劃使每個地址具有實際含義,看到一個地址就可以大至判斷出該地址所屬的設(shè)備。這是IP地址規(guī)劃中最具技巧型和藝術(shù)性的部分。最完美的方式是得出一個IP地址公式,以及一些參數(shù)及系數(shù),通過計算得出每一個需要用到的IP地址。各部門地址分配如下所示:部門名稱:IP地址(子網(wǎng)掩碼均為24位):財務(wù)部172.16.10.1-172.16.10.5人事部172.16.20.1-172.16.20.5業(yè)務(wù)部172.16.30.1-172.16.30.5工程部172.16.40.1-172.16.40.5策劃部172.16.50.1-172.16.50.5技術(shù)部172.16.60.1-172.16.60.5網(wǎng)絡(luò)設(shè)備接口地址如下所示:設(shè)備名稱:端口號:IP地址:三層交換機1Fa0/2410.1.1.2/24三層交換機2Fa0/2420.1.1.2/24Fa0/6172.16.70.1/24R1Fa1/010.1.1.1/24Fa1/120.1.1.1/24Se0/1/0172.16.1.1/24R2Se0/0/0172.16.1.2/24Se0/1/0100.1.1.1/24R3(ISP路由器)Se0/0/0100.1.1.2/24Se0/0/1200.1.1.1/24R4Se0/0/0200.1.1.2/24Fa0/0202.100.10.1/24分公司其中一臺PCFastEthernet202.100.10.2/24FTP服務(wù)器FastEthernet172.16.70.2/24WEB服務(wù)器FastEthernet172.16.70.2/243.9 VLAN規(guī)劃部門VLAN財務(wù)部10人事部20業(yè)務(wù)部30工程部40策劃部50技術(shù)部60第4章 設(shè)備配置4.1 設(shè)備配置命令文檔設(shè)備配置命令財務(wù)部代表PC機1IP:172.16.10.2 子網(wǎng)掩碼:255.255.255.0 網(wǎng)關(guān):172.16.10.1人事部代表PC機1IP:172.16.20.2 子網(wǎng)掩碼:255.255.255.0 網(wǎng)關(guān):172.16.20.1業(yè)務(wù)部代表PC機1IP:172.16.30.2 子網(wǎng)掩碼:255.255.255.0 網(wǎng)關(guān):172.16.30.1工程部代表PC機1IP:172.16.40.2 子網(wǎng)掩碼:255.255.255.0 網(wǎng)關(guān):172.16.40.1策劃部代表PC機1IP:172.16.50.2 子網(wǎng)掩碼:255.255.255.0 網(wǎng)關(guān):172.16.50.1技術(shù)部代表PC機1IP:172.16.60.2 子網(wǎng)掩碼:255.255.255.0 網(wǎng)關(guān):172.16.60.1SW1(注:此代碼在特權(quán)模式下輸入)config tHostname sw1vlan 10 vlan 20vlan 30exitinterface fa 0/3 switchport mode accessswitchport access vlan 10 /將財務(wù)部劃入vlan 10exitinterface fa 0/4switchport mode accessswitchport access vlan 20 /將人事部劃入vlan 20exitinterface fa 0/5switchport mode accessswitchport access vlan 30 /將業(yè)務(wù)部劃入 vlan30exitinterface range fa 0/1-2switchport mode accessswitchport mode trunkno shutdownExitconfi tinter range fa 0/6-24 /進入一組端口的配置模式switchport mode accessswitchport port-security /配置交換機的端口安全功能switchport port-security maximum 4 /設(shè)置最大允許連接數(shù)量為4switchport port-security violation shutdownendSW2(注:此代碼在特權(quán)模式下輸入)config tHostname sw2vlan 40vlan 50vlan 60exitinterface fa 0/3switchport mode accessswitchport access vlan 40 /將工程部劃入vlan40exitinterface fa 0/4switchport mode accessswitchport access vlan 50 /將策劃部劃入vlan50exitinterface fa 0/5switchport mode access switchport access vlan 60 /將技術(shù)部劃入vlan60exitinterface range fa 0/1-2switchport mode accessswitchport mode trunkno shutdownexitinter range fa 0/6-24 /進入一組端口的配置模式switchport mode accessswitchport port-security /配置交換機的端口安全功能switchport port-security maximum 4 /設(shè)置最大允許連接數(shù)量為4switchport port-security violation shutdown /配置安全違例的處理方式為shutdownendSW3(注:此代碼在特權(quán)模式下輸入)config tHostnme sw3vlan 10vlan 20vlan 30exitinterface range fa 0/3-4 /交換機之間配置TRUNK鏈路switchport mode accessswitchport mode trunkno shutdownexitinterface aggregateport 1 /創(chuàng)建聚合接口AGIswitchport mode access switchport mode trunk /配置AG模式為trunk exitinterface range fa 0/1-2 /進入接口0/1和0/2port-group 1 /配置接口0/1和0/2屬于AGIexitspanning-tree /開啟生成樹協(xié)議spanning-tree mode rstp /指定生成樹協(xié)議的類型為RSTPinterface vlan 10 /配置SVIip address 172.16.10.1 255.255.255.0no shutdownexitinterface vlan 20ip address 172.16.20.1 255.255.255.0no shutdownexitinterface vlan 30ip address 172.16.30.1 255.255.255.0no shutdownexitinterface fa 0/24no switchportip address 10.1.1.2 255.255.255.0no shutdownexitip route 0.0.0.0 0.0.0.0 10.1.1.1 /配置默認路由inter range fa 0/5-23 /進入一組端口的配置模式switchport mode accessswitchport port-security /配置交換機的端口安全功能switchport port-security maximum 4 /設(shè)置最大允許連接數(shù)量為4switchport port-security violation shutdown /配置安全違例的處理方式為shutdownexitinter vlan 10standby 2 priority 200 /配置優(yōu)先級standby 2 ip 172.16.10.254 /配置vrrp組和虛擬路由器的IP地址inter vlan 20standby 2 priority 160 /配置優(yōu)先級standby 2 ip 172.16.20.254 /配置vrrp組和虛擬路由器的IP地址inter vlan 30 standby 2 priority 120 /配置優(yōu)先級standby 2 ip 172.16.30.254 /配置vrrp組和虛擬路由器的IP地址exitSW4(注:此代碼在特權(quán)模式下輸入)config tHostname sw4vlan 40vlan 50vlan 60exitinterface range fa 0/3-4switchport mode accessswitchport mode trunkno shutdownexitinterface aggregateport 1 /創(chuàng)建聚合接口AGIswitchport mode access switchport mode trunk /配置AG模式為trunk exitinterface range fa 0/1-2 /進入接口0/1和0/2port-group 1 /配置接口0/1和0/2屬于AGIexitspanning-tree /開啟生成樹協(xié)議spanning-tree mode rstp /指定生成樹協(xié)議的類型為RSTPinterface vlan 40 /配置SVIip address 172.16.40.1 255.255.255.0no shutdownexitinterface vlan 50ip address 172.16.50.1 255.255.255.0no shutdownexitinterface vlan 60ip address 172.16.60.1 255.255.255.0no shutdownexitinterface fa 0/24no switchportip address 20.2.2.2 255.255.255.0no shutdownexitinterface fa 0/6no switchportip address 192.168.1.1 255.255.255.0no shutdownexitip route 0.0.0.0 0.0.0.0 20.2.2.1inter range fa 0/5-23 /進入一組端口的配置模式switchport mode accessswitchport port-security /配置交換機的端口安全功能switchport port-security maximum 4 /設(shè)置最大允許連接數(shù)量為4switchport port-security violation shutdown /配置安全違例的處理方式為shutdownexitinter vlan 10standby 2 priority 200 /配置優(yōu)先級standby 2 ip 172.16.10.254 /配置vrrp組和虛擬路由器的IP地址inter vlan 20standby 2 priority 160 /配置優(yōu)先級standby 2 ip 172.16.20.254 /配置vrrp組和虛擬路由器的IP地址inter vlan 30 standby 2 priority 120 /配置優(yōu)先級standby 2 ip 172.16.30.254 /配置vrrp組和虛擬路由器的IP地址Exitaccess-list 101 permit tcp 172.16.10.0 0.0.0.255 172.16.70.0 0.0.0.255 eq ftp /允許172.16.10.0網(wǎng)段訪問172.16.70.0網(wǎng)段上TCP協(xié)議的FTP服務(wù)器access-list 101 deny tcp any 172.16.70.0 0.0.0.255 eq ftp /拒絕任何主機訪問172.16.70.0網(wǎng)段上TCP協(xié)議的FTP服務(wù)器access-list 101 permit tcp any 172.16.70.0 0.0.0.255 eq www /允許任何主機訪問172.16.70.0網(wǎng)段上TCP協(xié)議的FTP服務(wù)器access-list 101 permit ip any anyinterface fa0/6 /把編號為101的擴展訪問控制列表應(yīng)用到fa0/6端口ip access-group 101 outexitR1(注:此代碼在特權(quán)模式下輸入)config tHostname r1interface fa 0/0 /在特權(quán)模式下進入F0/0口ip address 10.1.1.1 255.255.255.0 /給F0/0配置IP地址no shutdown exitinterface fa 0/1ip address 20.2.2.1 255.255.255.0no shutdownexitinterface se 0/1/0 /在特權(quán)模式下進入S0/1/0口ip address 172.16.1.1 255.255.255.0 /給S0/1/0配置IP地址clock rate 64000 /設(shè)置時鐘同步no shutdownexitrouter rip /創(chuàng)建RIP路由進程version 2 /啟動RIP版本2進程network 10.0.0.0 /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)network 20.0.0.0 /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)network 172.16.1.0 /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)ip route 0.0.0.0 0.0.0.0 10.1.1.2 /配置一條到達IP為10.1.1.2的認路由ip route 0.0.0.0 0.0.0.0 20.2.2.2 /配置一條到達IP為20.2.2.2的默認路由ip route 0.0.0.0 0.0.0.0 172.16.1.2username R2 password 0 123 /以對方的主機名作為用戶名,密碼為123interface s0/1/0encapsulation ppp /把該接口封裝為PPP協(xié)議ppp authentication pap / PPP啟用PAP方式認證R2(注:此代碼在特權(quán)模式下輸入)config tHostname r2interface se 0/1/0 /在特權(quán)模式下進入S0/1/0口ip address 100.1.1.1 255.255.255.0 /給S0/1/0配置IP地址clock rate 64000no shutdownexitinterface se 0/0/0ip address 172.16.1.2 255.255.255.0no shutdownexitcrypto isakmp policy 10 / ipsec第一階段,定義ISAKMP策略encryption 3des /加密方法使用3des hash md5 /散列算法使用md5 authentication pre-share /認證方法使用預(yù)共享密鑰crypto isakmp key hx address 200.1.1.2 /將ISAKMP預(yù)共享密鑰和對等體關(guān)聯(lián),預(yù)共享密鑰為“hx”。crypto ipsec transform-set tim esp-3des esp-md5-hmac /設(shè)置ipsec轉(zhuǎn)換(交換)集。access-list 101 permit ip 172.16.1.0 0.0.0.255 202.100.10.0 0.0.0.255 /創(chuàng)建感興趣數(shù)據(jù)流crypto map tom 10 ipsec-isakmp /ipsec第二階段,設(shè)置加密圖match address 101set peer 200.1.1.2 /加載感興趣流 set transform-set tim /設(shè)置對等體地址interface se 0/1/0crypto map tom /在接口上應(yīng)用加密圖router rip /創(chuàng)建RIP路由進程version 2 /啟動RIP版本2進程network 172.16.1.0 /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)network 100.1.1.0 /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)ip route 0.0.0.0 0.0.0.0 172.16.1.1 /配置默認路由ip route 0.0.0.0 0.0.0.0 100.1.1.2username R1 password 0 123 /以對方的主機名作為用戶名,密碼為123interface s0/0/0encapsulation ppp /把該接口封裝為PPP協(xié)議ppp authentication pap / PPP啟用PAP方式認證Exitinterface se 0/1/0ip nat outside /配置為外部接口exitinterface se 0/0/0ip nat inside /配置為內(nèi)部接口access-list 1 permit 172.16.10.0 0.0.0.255 /配置允許地址轉(zhuǎn)換的內(nèi)部本地地址范圍access-list 1 permit 172.16.20.0 0.0.0.255access-list 1 permit 172.16.30.0 0.0.0.255access-list 1 permit 172.16.40.0 0.0.0.255access-list 1 permit 172.16.50.0 0.0.0.255access-list 1 permit 172.16.60.0 0.0.0.255ip nat pool hx 100.1.1.1 100.1.1.1 netmask 255.255.255.0 /定義內(nèi)部網(wǎng)絡(luò)全局地址池ip nat inside source list 1 pool hx /配置內(nèi)部本地地址與內(nèi)部全局地址的映射關(guān)系exitR3即ISP路由器(注:此代碼在特權(quán)模式下輸入)config t Hostname r3interface se 0/0/1ip address 200.1.1.1 255.255.255.0no shutdownexitinterface se 0/0/0ip address 100.1.1.2 255.255.255.0no shutdownexitrouter rip /創(chuàng)建RIP路由進程version 2 /啟動RIP版本2進程network 100.1.1.0 /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)network 200.1.1.0 /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)ip route 200.100.10.0 255.255.255.0 200.1.1.2 /配置到達非直連200.100.10.0網(wǎng)絡(luò)的下一跳地址為200.1.1.2ip route 172.16.1.0 255.255.255.0 100.1.1.1 R4(注:此代碼在特權(quán)模式下輸入)config tHostname r4crypto isakmp policy 10 /ipsec第一階段,定義ISAKMP策略encr 3des /加密方法使用3deshash md5 /散列算法使用md5authentication pre-share /認證方法使用預(yù)共享密鑰crypto isakmp key hx address 100.1.1.1/將ISAKMP預(yù)共享密鑰和對等體關(guān)聯(lián),預(yù)共享密鑰為“hx”。crypto ipsec transform-set tim esp-3des esp-md5-hmac /設(shè)置ipsec轉(zhuǎn)換(交換)集crypto map tom 10 ipsec-isakmp / ipsec第二階段,設(shè)置加密圖set peer 100.1.1.1 /加載感興趣流set transform-set tim /設(shè)置對等體地址match address 101access-list 101 permit ip 192.168.1.0 0.0.0.255 202.100.10.0 0.0.0.255 /創(chuàng)建感興趣數(shù)據(jù)流interface se 0/0/0ip address 200.1.1.2 255.255.255.0clock rate 64000no shutdowncrypto map tom /在接口上應(yīng)用加密圖interface FastEthernet0/0ip address 202.100.10.1 255.255.255.0no shutdownrouter rip /創(chuàng)建RIP路由進程version 2 /啟動RIP版本2進程network 200.1.1.0 /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)network 202.100.10.0 /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)ip route 0.0.0.0 0.0.0.0 200.1.1.1 /配置默認路由4.2 交換機配置4.2.1劃分VLAN1.在二層交換機1,2,三層交換機3,4上創(chuàng)建vlan10、20、30、40、50、60,輸入設(shè)備如下圖所示:二層交換機2,代碼如下:用戶模式下,三層交換機1,輸入設(shè)備如下圖所示:用戶模式下,三層交換機2,輸入設(shè)備如下圖所示:2.在二層交換機1上將3,4,5端口劃到vlan 10,vlan20,vlan30中,全局配置模式下代碼如下:輸入設(shè)備如下圖所示:二層交換機2上將3,4,5端口劃分到vlan 40,vlan50,vlan60,全局配置模式下代碼如下:在二層交換機1和2上聯(lián)三層交換機1和2上的端口設(shè)置Trunk模式在三層交換機上采用SVI方式實現(xiàn)VLAN之間的路由pc1:172.16.10.2/24pc2:172.16.40.2/24pc1 ping pc2:跨交換機不同VLAN之間測試PC 172.16.10.2與路由器 10.1.1.1互PINGPC 172.16.10.2與路由器 10.1.1.1互PING同一臺交換機不同vlan下:PC 172.16.10.2與PC 172.16.20.2互PING4.2.2端口安全配置及測試1.在二層交換機s2上設(shè)置端口安全2.show port-security3.在二層交換機s1設(shè)置端口安全:4.在三層交換機s3上設(shè)置端口安全:5.在三層交換機s4上設(shè)置端口安全:4.2.3 VRRP配置1.在三層交換機上s4配置vrrp,配置的優(yōu)先級分別為:200,160,120。2.在三層交換機上s3配置vrrp,配置的優(yōu)先級分別為:200,160,120。4.2.4 端口聚合和快速生成樹配置及測試1.在三層交換機0上:劃分vlan2.設(shè)置trunk口:3.配置端口聚合:4.show :5.快速生成樹:6.在三層交換機1上:劃分vlan:7.設(shè)置trunk口:8.配置端口聚合:9.show:10.快速生成樹:11.兩臺電腦:財務(wù)部(172.16.10.2)和工程部(172.16.40.2)的電腦互PING 相通12.去掉兩個三層交換機相連的2根線的其中一根。繼續(xù)PING?;ネā?.2.5 擴展訪問控制列表的配置1.在三層交換機2上配置擴展ACL,允許財務(wù)部(172.16.10.0網(wǎng)段)訪問FTP和WWW服務(wù)器,其他部門只能訪問WWW服務(wù)器,將Fa0/6- 1.請仔細閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點此認領(lǐng)!既往收益都歸您。
下載文檔到電腦,查找使用更方便
9.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計者僅對作品中獨創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 中小型企業(yè) 網(wǎng)絡(luò) 規(guī)劃 實施方案
鏈接地址:http://ioszen.com/p-8698983.html