大型企業(yè)網絡設計

課程設計報告〔2023/2023學年第學期〕題目：大型企業(yè)網絡設計專業(yè)網絡工程學生姓名李統(tǒng)宇班級學號B12070319指導教師鮑楠指導單位南京郵電大學物聯網學院日期2023.1.4-2023.1.15評分細那么評分項成績遵守機房規(guī)章制度〔5分〕上機時的表現〔5分〕學習態(tài)度〔5分〕程序準備情況〔5分〕程序設計能力〔10分〕團隊合作精神〔5分〕課題功能實現情況〔10分〕算法設計合理性〔10分〕用戶界面設計〔10分〕報告書寫認真程度〔5分〕內容詳實程度〔10分〕文字表達熟練程度〔10分〕答復下列問題準確度〔10分〕簡短評語教師簽名：年月日評分等級備注評分等級有五種：優(yōu)秀、良好、中等、及格、不及格大型企業(yè)網絡設計課題內容和要求XX集團是一個以煤炭產品為主，兼營大型礦井建設、工業(yè)與民用建筑設計與施工、地基與根底處理、地質勘探、商業(yè)等行業(yè)的綜合性集團公司。XX集團作為一個全國200強的集團公司，下轄生產礦、建井處、機械廠等二級單位40余家，各個相對獨立的生產效勞單位，如財務、運銷、醫(yī)療衛(wèi)生、遠程教學、綜合統(tǒng)計等，都必須實現網上信息傳輸。XX集團的網絡建設于2005年1月左右，當時建設的網絡為XX集團各項業(yè)務信息化立下了汗馬功績。隨著近幾年計算機網絡技術的不斷開展，計算機及網絡的使用者水平不斷提高，集團網絡上需要承載的應用不斷增多，網絡中病毒流行、播送信息較多，各項關鍵業(yè)務網絡平安得不到保障。XX集團充分認識到計算機網絡作為信息化基石的巨大作用，決定改造XX集團網絡系統(tǒng)?，F在要求做出該集團的網絡設計方案，在該方案中，用戶有如下的需求：由于該網絡為承載整個集團的根底骨干，面對日益突出的信息平安問題，要求網絡系統(tǒng)集成的相應的平安特性。由于前期網絡中使用的普通交換機、HUB無法進行平安規(guī)那么設置，網絡攻擊常常影響網絡正常業(yè)務以及用戶正常上網，關鍵業(yè)務無法保障，因此新建的網絡平臺需要提供防止DOS攻擊的能力。在多業(yè)務共同存在的網絡設備之上，各業(yè)務屬于不同的區(qū)域，要求實現內部網絡按用戶、功能進行VLAN、網段劃分。針對不同的用戶類型，制定相應的訪問、控制權限。由于接入ISP提供的互聯網出口提供1個公有IP，要求解決集團內部對外部網絡的訪問需求，且要實現發(fā)布對外的WEB、FTP效勞。支持10GE或將來平滑過渡到10GE；集團內部各個建筑物都有1對8芯的單模光纖連接到主建筑物〔即網絡中心所在地〕，所有建筑物到主建筑物之間的距離在600M～～10000M之間；每個建筑物內部都有適當的內部布線，以實現所需連接。二、需求分析2.1案例分析Cisco公司已經成功地在中國實踐了前述的教育網絡設計思想，特別是河南省教育科研寬帶IP骨干網絡全部采用了先進的高速寬帶光傳輸網絡技術，已經成為這類新型教育網絡的典范。河南省教育科研寬帶IP網絡全面采用Cisco公司的AVVID網絡體系結構，一期工程總共采用了10臺CiscoGSR12023和GSR12023，近20臺CiscoOSR6509，其他各類交換機和路由器數百臺。該網絡集成了遠程教學等多種多媒體應用，特別是采用了550部Cisco的新型7940IP和4套CallManager組建了我國第一個省級IPTelephony網絡，并結合Cisco視頻產品IPTV系列建立了許多新的教育模式。這一網絡基于分層設計分為三層：骨干傳輸網、城域網、接入網，采用三級管理模式：省網絡中心、地市網絡中心、校園網，連接省內各大中專院校、各中小學校、各級教育主管部門和其他教育科研單位，未來更將延伸到每一個需要教育培訓的公眾面前。骨干網絡由分布在17個地市的核心節(jié)點組成，與河南省廣電合作利用其光纖資源，全省形成環(huán)網狀冗余拓撲結構。在各個核心節(jié)點分別配置Cisco公司在國際上屢次獲獎的千兆位路由交換機GSR12000系列中的12023和12023作為核心傳輸設備，節(jié)點間使用裸光纖配合POS技術實現OC-482.48G鏈路互連并采用HSRP技術，以提供物理層、鏈路層及IP層的冗余連接能力。根據各地市的具體情況，可以建設城域教育網絡也可以在核心節(jié)點配置匯接設備直接解決接入網絡的接入問題，匯接設備可選用Cisco12023或6509，采用POS、DPT或千兆以太技術，傳輸速率可達1～2.48Gbps，具體設計可以非常靈活?；贑iscoIOS的多功能網絡平臺：網絡中采用的網絡設備均采用CiscoIOS(InternetworkingOperationSystem互聯網絡操作系統(tǒng))為核心功能軟件。CiscoIOS集成了路由技術，局域網交換技術，ATM交換技術，各種移動遠程訪問接入技術，廣域網互連技術等超過15,000個網絡互連功能，已經成為網絡互連的標準。CiscoIOS系統(tǒng)支持今天的絕大多數網絡應用系統(tǒng)，同時CiscoIOS系統(tǒng)可提供從數據鏈路層到應用層的多種網絡效勞，如：L2/L3VPN(虛擬專網)，VPDN(虛擬撥號專網)，以及對MPLS技術的支持允許提供各種網絡增值效勞。豐富的網絡平安機制：網絡設計是按照標準ISP(國際互聯網絡效勞商)方式設計的IP交換網絡平臺。整個網絡與國際互聯網絡平滑連接，因此網絡的平安性尤其重要。方案中采用CiscoIOS多種平安策略：1)網絡路由信息交換平安策略：包含路由器的認證，路由信息過濾，多種動態(tài)路由協(xié)議信息交換控制等。2)網絡效勞平安控制：包含標準訪問控制列表(ACL)，擴展的訪問控制列表(ExtendACL)，動態(tài)訪問控制列表(RefliexACL)，按數據流的訪問統(tǒng)計和監(jiān)控(Netflow)，網絡資源訪問用戶認證/授權和記帳(lock&key)。3)基于網絡層的加密：網絡設備可提供基于標準的網絡層加密技術：IPSec，可以提供高可靠的網絡訪問平安機制。4)網絡攻擊防范：CiscoIOS可通過對網絡訪問連接的監(jiān)控和分析，發(fā)現可能出現的網絡攻擊，如SyncAttack等，并采取相應的的控制手段保護網絡資源。5)網絡系統(tǒng)告警(Syslog)：網絡中采用的設備可對監(jiān)控到的網絡攻擊和各種非正常訪問發(fā)出告警，提醒網絡管理人員及時發(fā)現問題并采取相應平安策略。設備平安：網絡的各種平安策略的實現均基于網絡設備的平安設置，這使得網絡設備本身的平安控制顯得尤其重要。網絡設備本身具有多種訪問控制平安策略：1)多級訪問控制密碼：網絡中各設備訪問控制可通過15級不同的訪問權限，網管人員可設置不同的訪問權限。如：普通操作員只能監(jiān)視設備運行，不可進行其他操作；高級的管理員可做故障診斷，不可修改設備配置文件；系統(tǒng)管理員可具有所有功能權限等。2)網絡管理系統(tǒng)的平安控制：由于本網絡中網絡管理系統(tǒng)采用標準的SNMP網絡管理技術，因此網絡設備的網管可能出現漏洞。本網絡中的網絡設備可提供多種保護手段，如：特別的網管訪問密碼；由設備指定特別的網絡管理工作站系統(tǒng)等。易管理維護的網絡：由于采用了IP骨干技術、DHCP技術和MPLS技術，使得網絡的管理簡單化。這可以使網絡管理人員大為精簡，節(jié)約運行開銷。網絡管理人員只需在規(guī)劃好的網絡結構內提供各個接入網絡的接入控制即能實行各種網絡效勞。網絡系統(tǒng)的管理工作重點變?yōu)閷τ诠歉删W絡的運行實施系統(tǒng)監(jiān)控。由于采用的網絡設備自身已具備較為完善的網絡管理、監(jiān)控和維護功能，因此采用建立一個管理工具齊全的集中的網絡管理中心即可實現全網絡的系統(tǒng)管理和監(jiān)控[11]。2.2大型企業(yè)網絡分析為適應企業(yè)信息化的開展，滿足日益增長的通信需求和網絡的穩(wěn)定運行，今天的企業(yè)網絡建設比傳統(tǒng)企業(yè)網絡建設有更高的要求，本文將通過對如下幾個方面的需求分析來規(guī)劃出一套最適用于目標網絡的拓撲結構。2.2.1寬帶性能需求現代大型企業(yè)網絡應具有更高的帶寬，更強大的性能，以滿足用戶日益增長的通信需求。隨著計算機技術的高速開展，基于網絡的各種應用日益增多，今天的企業(yè)網絡已經開展成為一個多業(yè)務承載平臺。不僅要繼續(xù)承載企業(yè)的辦公自動化，Web瀏覽等簡單的數據業(yè)務，還要承載涉及企業(yè)生產運營的各種業(yè)務應用系統(tǒng)數據，以及帶寬和時延都要求很高的IP、視頻會議等多媒體業(yè)務。因此，數據流量將大大增加，尤其是對核心網絡的數據交換能力提出了前所未有的要求。另外，隨著千兆位端口本錢的持續(xù)下降，千兆位到桌面的應用會在不久的將來成為企業(yè)網的主流。從2004年全球交換機市場分析可以看到，增長最迅速的就是10Gbps級別機箱式交換機，可見，萬兆位的大規(guī)模應用已經真正開始。所以，今天的企業(yè)網絡已經不能再用百兆位到桌面千兆位骨干來作為建網的標準，核心層及骨干層必須具有萬兆位級帶寬和處理性能，才能構筑一個暢通無阻的"高品質"大型企業(yè)網，從而適應網絡規(guī)模擴大，業(yè)務量日益增長的需要[7]。2.2.2穩(wěn)定可靠需求現代大型企業(yè)的網絡應具有更全面的可靠性設計，以實現網絡通信的實時暢通，保障企業(yè)生產運營的正常進行。隨著企業(yè)各種業(yè)務應用逐漸轉移到計算機網絡上來，網絡通信的無中斷運行已經成為保證企業(yè)正常生產運營的關鍵?，F代大型企業(yè)網絡在可靠性設計方面主要應從以下3個方面考慮。設備的可靠性設計：不僅要考察網絡設備是否實現了關鍵部件的冗余備份，還要從網絡設備整體設計架構、處理引擎種類等多方面去考察。業(yè)務的可靠性設計：網絡設備在故障倒換過程中，是否對業(yè)務的正常運行有影響。鏈路的可靠性設計：以太網的鏈路平安來自于多路徑選擇，所以在企業(yè)網絡建設時，要考慮網絡設備是否能夠提供有效的鏈路自愈手段，以及快速重路由協(xié)議的支持[7]。2.2.3效勞質量需求現代大型企業(yè)網絡需要提供完善的端到端QoS保障，以滿足企業(yè)網多業(yè)務承載的需求。大型企業(yè)網絡承載的業(yè)務不斷增多，單純的提高帶寬并不能夠有效地保障數據交換的暢通無阻，所以今天的大型企業(yè)網絡建設必須要考慮到網絡應能夠智能識別應用事件的緊急和重要程度，如視頻、音頻、數據流〔MIS、ERP、OA、備份數據〕。同時能夠調度網絡中的資源，保證重要和緊急業(yè)務的帶寬、時延、優(yōu)先級和無阻塞的傳送，實現對業(yè)務的合理調度才是一個大型企業(yè)網絡提供"高品質"效勞的保障[7]。2.2.4網絡平安需求現代大型企業(yè)網絡應提供更完善的網絡平安解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經濟損失。傳統(tǒng)企業(yè)網絡的平安措施主要是通過部署防火墻、IDS、殺毒軟件，以及配合交換機或路由器的ACL來實現對病毒和黑客攻擊的防御，但實踐證明這些被動的防御措施并不能有效地解決企業(yè)網絡的平安問題。在企業(yè)網絡已經成為公司生產運營的重要組成局部的今天，現代企業(yè)網絡必須要有一整套從用戶接入控制，病毒報文識別到主動抑制的一系列平安控制手段，這樣才能有效地保證企業(yè)網絡的穩(wěn)定運行[7]。2.2.5應用效勞需求現代大型企業(yè)網絡應具備更智能的網絡管理解決方案，以適應網絡規(guī)模日益擴大，維護工作更加復雜的需要。當前的網絡已經開展成為"以應用為中心"的信息根底平臺，網絡管理能力的要求已經上升到了業(yè)務層次，傳統(tǒng)的網絡設備的智能已經不能有效支持網絡管理需求的開展。比方，網絡調試期間最消耗人力與物力的線纜故障定位工作，網絡運行期間對不同用戶靈活的效勞策略部署、訪問權限控制、以及網絡日志審計和病毒控制能力等方面的管理工作，由于受網絡設備功能本身的限制，都還屬于費時、費力的任務。所以現代的大型企業(yè)網絡迫切需要網絡設備具備支撐"以應用為中心"的智能網絡運營維護的能力，并能夠有一套智能化的管理軟件，將網絡管理人員從繁重的工作中解脫出來[7]。2.3本課題系統(tǒng)需求分析該企業(yè)位于北京市海淀區(qū)中關村，網絡聯接的建筑物有三個：兩個辦公樓和一個行政樓。管理部、財務部和網絡部在行政樓中；市場部在辦公樓A；銷售部和人力資源部在辦公樓B。所以我們已建筑物的中心也就是行政樓的三層為網絡的中心，用光纖連接辦公樓A、B，構成電子商務公司網絡光纖主干。辦公樓2個，行政樓1個1．劃分VLAN〔見表1〕2．VTP動態(tài)學習VLAN3．PVST(選根，二層冗余)4．SVI〔VLAN間路由〕5．HSRP〔三層冗余〕6．DHCP7．根防護8．3個FAST9．靜態(tài)路由10．SITE-TO-SITEVPN〔連接分公司，固定IP〕11．AAA12．PBR〔20M專線〕13．網管控制三、概要設計3.1大型企業(yè)網絡的定位企業(yè)網是指覆蓋企業(yè)和企業(yè)與分公司之間的網絡，為企業(yè)的多種通信協(xié)議提供綜合傳送平臺的網絡。企業(yè)網應以多業(yè)務光傳輸網絡為根底，實現語音、數據、圖像、多媒體等的接入。企業(yè)網是企業(yè)內各部門的橋接區(qū)，主要完成接入網中的子公司和工作人員與企業(yè)骨干業(yè)務網絡之間全方位的互通。因此電子商務公司企業(yè)網的定位應是為企業(yè)網應用提供多業(yè)務傳送的綜合解決方案。3.2關鍵技術研究本設計方案采用的是全部Cisco的網絡設備，全網使用統(tǒng)一廠家得設備以實現各種不同網絡設備功能的互相配合和補充。還有就是一些網絡協(xié)議都是一些廠家私有的，如EIGRP、HDLC等。因為每個廠家都有屬于自己的EIGRP、HDLC所以不同廠家的設備就不能使用這些網絡協(xié)議。3.2.1路由技術路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網間路由數據包。路由器具有在網絡中傳遞數據時選擇最正確路徑的能力。除了可以完成主要的路由任務，利用訪問控制列表，路由器還可以用來完成以路由器為中心的流量控制和過濾功能。在本工程案例設計中，內網用戶不僅通過路由器接入因特網、內網用戶之間也通過3層交換機上的路由功能進行數據包交換。路由器是外網進入企業(yè)網內網的第一道關卡，是網絡防御的前沿陣地。路由器上的訪問控制列表〔AccessControlList，ACL〕是保護內網平安的有效手段。一個設計良好的訪問控制列表不僅可以起到控制網絡流量、流向的作用，還可以在不增加網絡系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產品的功能。由于路由器介于企業(yè)內網和外網之間，是外網與內網進行通信時的第一道屏障，所以即使在網絡系統(tǒng)安裝了防火墻產品后，仍然有必要對路由器的訪問控制列表進行縝密的設計，來對企業(yè)內網包括防火墻本身實施保護[2]。3.2.2交換技術傳統(tǒng)意義上的數據交換發(fā)生在OSI模型的第2層。現代交換技術還實現了第3層交換和多層交換。高層交換技術的引入不但提高了園區(qū)網數據交換的效率，更大大增強了企業(yè)網數據交換效勞質量，滿足了不同類型網絡應用程序的需要。現代交換網絡還引入了虛擬局域網〔VirtualLAN，VLAN〕的概念。VLAN將播送域限制在單個VLAN內部，減小了各VLAN間主機的播送通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術來實現。當網絡管理人員需要管理的交換機數量眾多時，可以使用VLAN中繼協(xié)議〔VlanTrunkingProtocol，VTP〕簡化管理，它只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網絡管理人員的工作負擔和工作強度。為了簡化交換網絡設計、提高交換網絡的可擴展性，在企業(yè)網內部數據交換的部署是分層進行的。企業(yè)網數據交換設備可以劃分為三個層次：接入層、分布層、核心層。接入層為所有的終端用戶提供一個接入點；分布層除了負責將訪問層交換機進行聚集外，還為整個交換網絡提供VLAN間的路由選擇功能；核心層將各分布層交換機互連起來進行穿越企業(yè)網骨干的高速數據交換。在本工程案例設計中，也將采用這三層進行分開設計、配置[3]。3.2.3遠程訪問技術遠程訪問也是企業(yè)網絡必須提供的效勞之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入效勞。遠程訪問有三種可選的效勞類型：專線連接、電路交換和包交換。不同的廣域網連接類型提供的效勞質量不同，花費也不相同。企業(yè)用戶可以根據所需帶寬、本地效勞可用性、花費等因素綜合考慮，選擇一種適合企業(yè)自身需要的廣域網接入方案。在本工程案例設計中，分別采用專線連接的VPN和PBR兩種方式實現遠程訪問需求[4]。3.2.4VLANVLAN〔VirtualLocalAreaNetwork〕即虛擬局域網，是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。IEEE于1999年公布了用以標準化VLAN實現方案的802.1Q協(xié)議標準草案。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的播送域〔或稱虛擬LAN，即VLAN〕，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的播送和單播流量都不會轉發(fā)到其他VLAN中，即使是兩臺計算機有著同樣的網段，但是它們卻沒有相同的VLAN號，它們各自的播送流也不會相互轉發(fā),從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的平安性。VLAN是為解決以太網的播送問題和平安性而提出的，它在以太網幀的根底上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網。虛擬局域網的好處是可以限制播送范圍，并能夠形成虛擬工作組，動態(tài)管理網絡。既然VLAN隔離了播送風暴，同時也隔離了各個不同的VLAN之間的通訊，所以不同的VLAN之間的通訊是需要有路由來完成的[5]。3.2.5VPNVPN的英文全稱是“VirtualPrivateNetwork〞，翻譯過來就是“虛擬專用網絡〞。顧名思義，虛擬專用網絡我們可以把它理解成是虛擬出來的企業(yè)內部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內部網之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購置路由器等硬件設備。VPN技術原是路由器具有的重要技術之一，目前在交換機，防火墻設備或WINDOWS2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網絡建立虛擬私有網。虛擬專用網〔VPN〕被定義為通過一個公用網絡〔通常是因特網〕建立一個臨時的、平安的連接，是一條穿過混亂的公用網絡的平安、穩(wěn)定的隧道。虛擬專用網是對企業(yè)內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供給商同公司的內部網建立可信的平安連接，并保證數據的平安傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入，以實現平安連接；可用于實現企業(yè)網站之間平安通信的虛擬專用線路，用于經濟有效地連接到商業(yè)伙伴和用戶的平安外聯網虛擬專用網[4]。3.2.6RIPRIP〔RoutingInformationProtocols，路由信息協(xié)議〕是應用較早、使用較普遍的IGP〔InteriorGatewayProtocol，內部網關協(xié)議〕，適用于小型同類網絡，是典型的距離矢量〔distance-vector〕協(xié)議。RIP協(xié)議跳數做為衡量路徑開銷的，RIP協(xié)議里規(guī)定最大跳數為15。RIP協(xié)議有兩個版本RIPv1和RIPv2。RIPv1屬于有類路由協(xié)議，不支持VLSM〔變長子網掩碼〕，RIPv1是以播送的形式進行路由信息的更新的；更新周期為30秒。RIPv2屬于無類路由協(xié)議，支持VLSM〔變長子網掩碼〕，RIPv2是以組播的形式進行路由信息的更新的，組播地址是。RIPv2還支持基于端口的認證，提高網絡的平安性。3.2.7AAA認證AAA-----身份驗證(Authentication)、授權(Authorization)和統(tǒng)計(Accounting)Cisco開發(fā)的一個提供網絡平安的系統(tǒng)。AAA，認證(Authentication)：驗證用戶的身份與可使用的網絡效勞;授權(Authorization)：依據認證結果開放網絡效勞給用戶;計帳(Accounting)：記錄用戶對各種網絡效勞的用量，并提供給計費系統(tǒng)。整個系統(tǒng)在網絡管理與平安問題中十分有效。首先，認證局部提供了對用戶的認證。整個認證通常是采用用戶輸入用戶名與密碼來進行權限審核。認證的原理是每個用戶都有一個唯一的權限獲得標準。由AAA效勞器將用戶的標準同數據庫中每個用戶的標準一一核對。如果符合，那么對用戶認證通過。如果不符合，那么拒絕提供網絡連接。接下來，用戶還要通過授權來獲得操作相應任務的權限。比方，登陸系統(tǒng)后，用戶可能會執(zhí)行一些命令來進行操作，這時，授權過程會檢測用戶是否擁有執(zhí)行這些命令的權限。簡單而言，授權過程是一系列強迫策略的組合，包括：確定活動的種類或質量、資源或者用戶被允許的效勞有哪些。授權過程發(fā)生在認證上下文中。一旦用戶通過了認證，他們也就被授予了相應的權限。最后一步是帳戶，這一過程將會計算用戶在連接過程中消耗的資源數目。這些資源包括連接時間或者用戶在連接過程中的收發(fā)流量等等?？梢愿鶕B接過程的統(tǒng)計日志以及用戶信息，還有授權控制、賬單、趨勢分析、資源利用以及容量方案活動來執(zhí)行帳戶過程。驗證授權和帳戶由AAA效勞器來提供。AAA效勞器是一個能夠提供這三項效勞的程序。當前同AAA效勞器協(xié)作的網絡連接效勞器接口是“遠程身份驗證撥入用戶效勞(RADIUS)〞[10]。四、詳細設計4.1大型企業(yè)網絡拓撲圖圖4-1網絡拓撲圖4.2VLAN及IP地址的規(guī)劃表1VLAN劃分VLAN號VLAN名稱IP網段默認網關說明VLAN1GLVLAN管理VLANVLAN10GLB管理部VLANVLAN20SCB市場部VLANVLAN30CWB財務部VLANVLAN40XSB銷售部VLANVLAN50RLZY人力資源部VLANVLAN60WLB網絡部VLAN路由器R1與電信連接的接口F0/0IP為0/24，與HX1連接的接口F1/1IP為/24，與HX2連接的接口F1/2IP為/24,與R2連接的接口F1/3IP為/24。路由器R2與網通連接的接口F0/0IP為0/24，與HX1連接的接口F1/2IP為/24，與HX2連接的接口F1/1IP為/24,與R2連接的接口F1/3IP為/24。路由器R3與HX1連接的接口F1/1IP為/24，與HX2連接的接口F1/2IP為/24，與server連接的接口F1/0IP為/24。路由器R4上與電信連接的接口F1/0IP為0/24，與網通連接的接口F1/1IP為0/24，與SW11連接的接口F1/2IP為/22。交換機HX1與R1相連的接口F1/0IP為/24,與R2相連的接口F1/1IP為/24,與R3相連的接口F1/2IP為/24。交換機HX2與R1相連的接口F1/0IP為/24,與R2相連的接口F1/1IP為/24,與R3相連的接口F1/2IP為/24。4.3關鍵網絡設備及數量核心層交換機：CiscoCatalyst6509交換機2臺會聚層交換機：CiscoCatalyst4509交換機4臺接入層交換機：CiscoCatalyst295024口交換機100臺接入路由器：Cisco3500路由器4臺4.4關鍵網絡設備介紹圖8Cisco6509交換機Catalyst6509是帶有9個插槽的交換機機箱，它可以加兩個電源，可按需求配置不同功能類型的模塊〔如防火墻模塊、入侵檢模塊、VPN模塊、SSL加速模塊、網絡流量分析模塊等〕，更靈活應用在不同需求的網絡設計平臺上，提高穩(wěn)定性及平安性。首先，為Catalyst6509核心交換機配備CiscoCatalyst6500SupervisorEngine720模塊。SupervisorEngine720支持Catalyst6500系列的第三代模塊，能夠為企業(yè)和電信運營商網絡提供先進的IP效勞，并提高端口密度，因而非常適合部署在高性能的核心層、數據中心和城域網中。由于使用同一套接口、操作系統(tǒng)和管理工具，Catalyst6500系列監(jiān)控引擎(SupervisorEngines)能提供操作一致性——可使用相同的備件，所有模塊都具有可以預測的性能和多種功能。增強型QOS機制、基于硬件的GRE隧道和NAT，以及由硬件加速的基于MPLS的高性能效勞；支持基于用戶的Microflow監(jiān)管，對每個用戶實施效勞等級協(xié)議；采用分布式轉發(fā)模式，提供高達200Mpps的硬件IPv6能力，可以順利過渡到Internet2和其他支持3G和PDA的通信網絡；配備光纖通道接口模塊滿足光纖接入需求。加6500系列的防火墻效勞模塊〔FWSM〕可以為大型企業(yè)和效勞供給商提供無以倫比的平安性、可靠性和性能。Catalyst6500系列和為企業(yè)網絡和效勞供給商網絡提供了一系列高性能多層交換解決方案。6500系列提供了廣泛的智能交換解決方案，使公司內部網和Internet能夠支持多媒體、關鍵任務數據和語音應用。6500系列交換機為園區(qū)網提供了高性能、多層交換的解決方案，專門為需要千兆擴展、可用性高、多層交換的應用環(huán)境設計，主要面向園區(qū)骨干連接等場合。圖9CiscoCatalyst4500系列交換機CiscoCatalyst4500系列能夠為無阻礙的第2/3/4層交換提供集成式彈性，因而能進一步加強對融合網絡的控制〔見圖9〕?？捎眯愿叩娜诤险Z音/視頻/數據網絡能夠為正在部署基于互聯網企業(yè)應用的企業(yè)和城域以太網客戶提供業(yè)務彈性。作為新一代CiscoCatalyst4000系列平臺，CiscoCatalyst4500系列包括三種新型CiscoCatalyst機箱：CiscoCatalyst4507R〔七個插槽〕、CiscoCatalyst4506〔六個插槽〕和CiscoCatalyst4503〔三個插槽〕。CiscoCatalyst4500系列中提供的集成式彈性增強包括1＋1超級引擎冗余〔只對CiscoCatalyst4507R〕、集成式IP電源、基于軟件的容錯以及1+1電源冗余。硬件和軟件中的集成式冗余性能夠縮短停機時間，從而提高生產率、利潤率和客戶成功率。作為CiscoAVVID〔集成語音、視頻和融合數據體系結構〕的關鍵組件，CiscoCatalyst4500能夠通過智能網絡效勞將控制擴展到網絡邊緣，包括高級效勞質量〔QoS〕、可預測性能、高級平安性、全面管理和集成式彈性。由于CiscoCatalyst4500系列提供與CiscoCatalyst4000系列線卡和超級引擎的兼容性，因而能夠在融合網絡中延長CiscoCatalyst4000系列的部署窗口。由于這種方式能減少重復運作開支，降低擁有本錢，因而能提高投資回報〔ROI〕。圖10CiscoCatalyst3550系列智能以太網交換機CiscoCatalyst3550系列智能以太網交換機是一個可堆疊多層交換機系列，可通過高可用性、效勞質量〔QoS〕和平安性來改良網絡運行〔見圖10〕。憑借一系列快速以太網和千兆位以太網配置，CiscoCatalyst3550系列堪稱一款適用于企業(yè)和城域接入應用的強大選擇。圖11CiscoCatalyst2950系列智能以太網交換機CiscoCatalyst2950系列智能以太網交換機是一個固定配置、可堆疊的獨立設備系列，提供了線速快速以太網和千兆位以太網連接〔見圖11〕。這是一款最廉價的Cisco交換產品系列，為中型網絡和城域接入應用提供了智能效勞。作為思科最為廉價的交換產品系列，CiscoCatalyst2950系列在網絡或城域接入邊緣實現了智能效勞。4.5網絡設備配置4.5.1根底配置這里以接入層交換機SW1為例〔見圖1〕圖1接入層設備Switch>en進入特權模式Switch#conft進入全局模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.此注釋說明在全局模式下直接按CNTL+Z可以進入特權模式Switch(config)#hostnameSW1修改路由器或者交換機的名字，方便管理SW1(config)#noipdomainlookup關閉域名查詢啟用與禁止DNS效勞器，在交換機默認配置的情況下，當我們輸入一條錯誤的交換機命令時，交換時機嘗試將其播送給網絡上的DNS效勞器并將其解析成對應的IP地址。利用命令noipdomainlookup，可以禁用DNS效勞器，可以減少輸入錯誤命令的等待時間SW1(config)#lineconsole0進入CONCOLE0口線程下，通過CONSOLE線串口直接控制交換機或路由器接口SW1(config-line)#noexec-timeout關閉超時時間〔真實工程中不能用此命令〕SW1(config-line)#loggingsynchronous在線路上同步輸出用戶在為交換機配置命令時，配置命令會被交換機產生的內部信息隔開或打亂以使用命令loggingsynchronous設置交換機在下一行CLI提示符后復制用戶的輸入。以上配置為路由器和交換機的根本配置，有方便管理防止出錯的作用，所以每臺設備上都要配置。4.5.2使用VTP從提高效率的角度出發(fā)，在企業(yè)網實現實例中使用了VTP技術。將分布層FB1設置成為VTP效勞器，其他交換機設置成為VTP客戶機。這里接入層交換機SW1將通過VTP獲得在分布層交換機FB1中定義的所有VLAN的信息?！惨妶D2〕圖2分布層設備FB1FB1#vlandatabase特權模式下進入VLAN設置模式(小凡模擬器特有)FB1(vlan)#vtpdomaincisco定義VTP域名ChangingVTPdomainnamefromNULLtociscoFB1(vlan)#vtpserver將該交換機設置為VTP的效勞端DevicemodealreadyVTPSERVER.FB1(vlan)#vtpv2-mode啟用的VTP版本號為2V2modeenabled.FB1(vlan)#vtppassword123456設置VTP的密碼為123456，交換機的VTP必須密碼一致才能同步SettingdeviceVLANdatabasepasswordto123456.FB1(vlan)#vtppruning啟用VTP修剪，激活VTP剪裁功能，默認情況下主干道傳輸所有VLAN的用戶數據。有時，交換網絡中某臺交換機的所有端口都屬于同一VLAN的成員，沒有必要接收其他VLAN的用戶數據。這時，可以激活主干道上的VTP剪裁功能。當激活了VTP剪裁功能以后，交換機將自動剪裁本交換機沒有定義的VLAN數據。

在一個VTP域下，只需要在VTP效勞器上激活VTP剪裁功能。同一VTP域下的所有其他交換機也將自動激活VTP剪裁功能。PruningswitchedONFB1(vlan)#apply應用以上配置APPLYcompleted.FB1(vlan)#exit退出VLAN配置模式進入特權模式APPLYcompleted.Exiting....在其他所有的交換機上都要做VTP配置，我們以FB2為例〔見圖3〕圖3分布層設備FB2FB2#vlandaFB2(vlan)#vtpdomainciscoChangingVTPdomainnamefromNULLtociscoFB2(vlan)#vtpclient將FB2設置為客戶端，客戶端可以學習到效勞端的所有VLAN信息?？蛻裟Ｊ绞菦]有創(chuàng)立、修改、刪除VLAN得權利的，它只能接收和轉發(fā)信息。而效勞器模式擁有以上的所用功能。SettingdevicetoVTPCLIENTmode.FB2(vlan)#vtpv2V2modeenabled.FB2(vlan)#vtppassword123456SettingdeviceVLANdatabasepasswordto123456.FB2(vlan)#exitInCLIENTstate,noapplyattempted.Exiting....4.5.3劃分VLAN現在我們根據需求在效勞端FB1上配置VLAN信息，創(chuàng)立并命名〔見表1〕FB11#vlandaFB1(vlan)#vlan10nameGLB創(chuàng)立一個VLAN10命名為GLBVLAN10modified:Name:GLBFB1(vlan)#vlan20nameSCBVLAN20added:Name:SCBFB1(vlan)#vlan30nameCWBVLAN30added:Name:CWBFB1(vlan)#vlan40nameXSBVLAN40added:Name:XSBFB1(vlan)#vlan50nameRLZYVLAN50added:Name:RLZYFB1(vlan)#vlan60nameWLBVLAN60added:Name:WLBFB1(vlan)#exitAPPLYcompleted.Exiting....4.5.4交換鏈路封裝所有交換機之間相連的線都要起封裝協(xié)議，我們以FB1和SW1之間的線為例〔見圖4〕圖4鏈路封裝FB1(config)#interfacefastEthernet0/4進入要封裝的接口FB1(config-if)#switchporttrunkencapsulationdot1q進行封裝FB1(config-if)#switchportmodetrunk指定封裝模式FB1(config-if)#noshutdown開啟接口SW1(config)#interfacefastEthernet0/0SW1(config-if)#switchporttrunkencapsulationdot1qSW1(config-if)#switchportmodetrunkSW1(config-if)#noshutdown封裝交換機連接終端的接口，并把該接口劃入VLAN，以SW1為例SW1(config)#intf0/2SW1(config-if)#switchportmodeaccess手工指定封裝模式為ACCESS模式SW1(config-if)#switchportaccessvlan10將F0/2口劃入VLAN10中SW1(config-if)#noshutdown4.5.5PVST技術由于網絡拓撲比擬大，兩兩相連加冗余會出現環(huán)路，所以需要配置二層防環(huán)的PVST首先要選舉根橋，我們這里手工指定HX1為VLAN102030的主根，VLAN405060的備份根；HX2為VLAN405060的主根，VLAN102030的備份根。HX1(config)#spanning-treemodepvst開啟PVST生成樹模式HX1(config)#spanning-treevlan10，20，30rootprimary將HX1設置為VLAN102030的主根HX1(config)#spanning-treevlan40，50，60rootsecondary將HX1設置為VLAN405060的備份根HX2(config)#spanning-treemodepvstHX2(config)#spanning-treevlan40，50，60rootprimaryHX2(config)#spanning-treevlan10，20，30rootsecondary4.5.6PVST的三個FAST由于只啟用PVST后根切換時生成樹接口從阻塞狀態(tài)到轉發(fā)狀態(tài)速度會很慢，采用PORTFAST,UPLINKFAST,BACKBONEFAST三個FAST會大大縮短狀態(tài)轉換的時間，提高效率。Portfast在接入層面向終端的接口上做，可減少30S的時間SW1(config)#intf0/2SW1(config-if)#spanning-treeportfastbpduguard啟用portfastUplinkfast在接入層交換機上做，可減少30S時間SW1(config)#spanning-treeuplinkfast啟用uplinkfastBackbonefast在所有交換機上做，可減少20S時間SW1(config)#spanning-treebackbonefast啟用backbonefast4.5.7DHCP現在需要為路由器接口和所有的PC機接口配置IP地址。由于4000個結點的網絡比擬大，為每一臺PC手工配置地址的工作量相當大，所以我們要使用DHCP技術。HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address00HX1(config)#ipdhcpexcluded-address.254先配置除去PC機不能使用的IP地址HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address.2HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address54HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address00HX1(config)#ipdhcpexcluded-address.254HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address.2HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address54HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address00HX1(config)#ipdhcpexcluded-address.254HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address.2HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address54HX1(config)#ipdhcppoolccie1創(chuàng)立地址池CCIE1，一個VLAN一個地址池network宣告網段default-router默認網關leaseinfinite地址租約時間設置為無限HX1(config)#ipdhcppoolccie2networkdefault-router.100leaseinfiniteHX1(config)#ipdhcppoolccie3networkdefault-router.100leaseinfiniteHX1(config)#ipdhcppoolccie4networkdefault-router.100leaseinfiniteHX1(config)#ipdhcppoolccie5networkdefault-router.100leaseinfiniteHX1(config)#ipdhcppoolccie6networkdefault-router.100leaseinfinitePC1(config)#ipdefault-gateway在PC機上指定默認網關，所有的PC都要指和自己對應的網關4.5.8HSRP核心層交換機的作用是快速轉發(fā)，如果它發(fā)生故障，那么會導致下層所有網絡癱瘓。所以要給核心層交換機做備份做冗余。我們一般使用兩臺核心交換機。這就用到了三層冗余技術：熱備份HSRP。HX1(config)#interfaceVlan10進入VLAN10的接口下HX1(config-if)#ipaddress給VLAN10配置虛擬IP地址HX1(config-if)#standby1ip.100同步網關HX1(config-if)#standby1priority105設置優(yōu)先級，設置為主核心ACTIVEROUTERHX1(config-if)#standby1preempt配置搶占HX1(config-if)#standby1trackFastEthernet0/0配置端口跟蹤，面向上行鏈路以上配置VALN102030都要做HX1(config)#interfaceVlan40HX1(config-if)#HX1(config-if)#standbypreemptHX1(config-if)#不設置優(yōu)先級，表示為STANDBYROUTER以上配置VALN405060都要做同理在HX2上做相應配置，要把ACTIVE和STANDBY對調。4.5.9根防護為了防止交換機上有接入一臺優(yōu)先級或MAC地址較小的交換機使得根被搶，要配置根防護SW1(config-if)#spanning-treeportfastbpduguarddefault所有接入層交換機面向PC的端口和連接設備的端口上都要做4.5.10路由協(xié)議路由器和核心交換機之間工作在三層，所以要起路由協(xié)議，這里啟用EIGRP路由協(xié)議，由于與分公司之間設備比擬少，我們只需要使用靜態(tài)路由即可。〔見圖5〕圖5三層設備HX1(config)#iprouting啟用路由功能，核心層交換機HX1和HX2需要為網絡中的各個VLAN提供路由功能。這需要首先啟用核心層交換機的路由功能。R1(config)#routereigrp100啟用EIGRP協(xié)議R1(config-router)#noauto-summary關閉自動匯總功能把網段宣告進協(xié)議中HX1(config)#routereigrp100HX1(config-router)#noauto-summaryHX1(config-router)#networkHX1(config-router)#network..0HX2(config)#routereigrp100HX2(config-router)#noauto-summaryHX2(config-router)#networkHX2(config-router)#network..04.5.11GRE-VPN由于連接分公司的線路需要經過公網，為了保證其流量的平安性，需要打一條虛擬的通道GRE-VPN〔見圖6〕圖6GRE-VPN首先要定義加密策略R1(config)#cryptoisakmppolicy1加密第一階段IKE1R1(config-isakmp)#authenticationpre-share設備認證，域共享R1(config-isakmp)#encryption3des數據加密方式R1(config-isakmp)#group2Diffiehellma分發(fā)密鑰，產生公鑰和私鑰R1(config-isakmp)#hashmd5檢驗數據包完整性R1(config-isakmp)#exitR域共享的密鑰為ciscoR1(config)#cryptoipsectransform-setciscoesp-3desesp-md5-hmac加密第二階段，給數據包加密，指定加密方式R1(config)#access-list定義一個感興趣流R1(config)#cryptomapcisco1ipsec-isakmpR1(config-crypto-map)#matchaddress101RR1(config-crypto-map)#settransform-setciscoR1(config-crypto-map)#exitR1(config)#inttunnel0進入TUNNEL0口R配置通道源地址R配置通道目的地址R1(config-if)#tunnelmodegreip指定通道模式R1(config-if)#ipaddress給通道接口配置虛擬IP地址R1(config-if)#cryptomapcisco將VPN掛在通道接口下R指一條靜態(tài)路由R2(config)#cryptoisakmppolicy1R2(config-isakmp)#authenticationpre-shareR2(config-isakmp)#encryption3desR2(config-isakmp)#group2R2(config-isakmp)#hashmd5R2(config-isakmp)#exitR20R2(config)#cryptoipsectransform-setciscoesp-3desesp-md5-hmacR2(config)#access-list55R2(config)#cryptomapcisco1ipsec-isakmpR2(config-crypto-map)#matchaddress101R20R2(config-crypto-map)#settransform-setciscoR2(config-crypto-map)#exitR2(config)#inttunnel0R21R20R2(config-if)#tunnelmodegreipR2(config-if)#ipaddressR2(config-if)#cryptomapciscoR2(config-if)#exitR2(config)#iproute4.5.12AAA效勞器AAA為了加強企業(yè)網的平安性，我們啟用AAA效勞器。該配置在連接AAA效勞器的HX2上做。HX2(config)#aaanew-mode1HX2(config)#aaaauthenticationdot1xdefaultgroupradiusHX2(config)#dot1xsystem-auth-controlHX2(config)#interfacef0/1HX2(config-if)#swichportmodeaccessHX2(config-if)#dot1xport-controlautoHX2(config-if)#dot1xguest-vlan1HX2(config-if)#dot1xauth-failvlan1HX2(config)#aaaauthenticationlogintelnetgrouptacacs+HX2(config)#aaaauthorizationexectelnetgrouptacacs+HX2(config)#aaaaccountingexectelnetstart-stopgrouptacacs+HX2(config)#HX2(config)#tacacs-severkeycisco4.5.13PBR20M專線網管和管理部需要有特權去高速穩(wěn)定地訪問外網，我們需要在R1上配置20M專線去到達這一需求。R1(config)#access-list112permitipany創(chuàng)立訪問控制列表來抓住管理部VLAN的流量R1(config)#access-list112permitipanyR1(config)#access-list112deny

ipanyany其他流量不允許通過R1(config)#route-