中小型企業(yè)網(wǎng)絡(luò)的構(gòu)建-畢業(yè)論文.doc
《中小型企業(yè)網(wǎng)絡(luò)的構(gòu)建-畢業(yè)論文.doc》由會員分享,可在線閱讀,更多相關(guān)《中小型企業(yè)網(wǎng)絡(luò)的構(gòu)建-畢業(yè)論文.doc(27頁珍藏版)》請在裝配圖網(wǎng)上搜索。
中小型企業(yè)網(wǎng)絡(luò)的構(gòu)建 摘 要 隨著現(xiàn)代科技的發(fā)展及計算機(jī)技術(shù)與通訊技術(shù)的結(jié)合,計算機(jī)幾乎成了每個企業(yè)的必備設(shè)備,超過一半的企業(yè)擁有自己的網(wǎng)絡(luò)。企業(yè)網(wǎng)絡(luò)不僅可以提供給我們一個現(xiàn)代化的高效、快捷、安全的辦公環(huán)境,還可以進(jìn)行高速的數(shù)據(jù)傳輸和實(shí)現(xiàn)生產(chǎn)自動化。 本文根據(jù)網(wǎng)絡(luò)構(gòu)建的原則,從技術(shù)基礎(chǔ)、方案選擇、構(gòu)建方法等方面對組建一個中小型企業(yè)網(wǎng)絡(luò)進(jìn)行了分析,在此基礎(chǔ)上構(gòu)建了網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),并進(jìn)行了詳細(xì)的設(shè)計及配置,為一些類似的企業(yè)公司的網(wǎng)絡(luò)建設(shè)提供了一個可供參考的模板。最后文章對網(wǎng)絡(luò)建設(shè)過程中的一些實(shí)踐經(jīng)驗(yàn)進(jìn)行了總結(jié)和討論。 關(guān)鍵詞:網(wǎng)絡(luò);交換機(jī);路由器;服務(wù)器。 1 需求分析 1 1.1 網(wǎng)絡(luò)平臺實(shí)現(xiàn)的功能 1 1.2 網(wǎng)絡(luò)平臺的特點(diǎn) 1 2 網(wǎng)絡(luò)系統(tǒng)設(shè)計 2 2.1 網(wǎng)絡(luò)設(shè)計原則 2 2.2 網(wǎng)絡(luò)設(shè)計模型 3 2.2.1 核心層 3 2.2.2 分布層 4 2.2.3 接入層 4 2.3 系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu) 5 3 網(wǎng)絡(luò)詳細(xì)設(shè)計及配置 6 3.1 交換模塊設(shè)計 6 3.1.1 接入層交換服務(wù)的實(shí)現(xiàn)-配置接入層交換機(jī) 6 3.1.2 分布層交換服務(wù)的實(shí)現(xiàn)-配置分布層交換機(jī) 10 3.1.3 核心層交換服務(wù)的實(shí)現(xiàn)-配置核心層交換機(jī) 15 3.2 廣域網(wǎng)接入模塊設(shè)計 17 3.2.1 配置接入路由器InternetRouter的基本參數(shù) 17 3.2.2 配置接入路由器InternetRouter的各接口參數(shù) 17 3.2.3 配置接入路由器InternetRouter的路由功能 18 3.2.4 配置接入路由器InternetRouter上的NAT 18 3.2.5 設(shè)置接入路由器InternetRouter上的ACL 19 3.3 遠(yuǎn)程訪問設(shè)計和程訪問模塊設(shè) 21 3.4 服務(wù)器模塊設(shè)計 22 4 系統(tǒng)總結(jié) 23 1 需求分析 1.1 網(wǎng)絡(luò)平臺實(shí)現(xiàn)的功能 1.實(shí)現(xiàn)企業(yè)內(nèi)資源共享,提供管理應(yīng)用系統(tǒng),實(shí)現(xiàn)企業(yè)辦公自動化。 2.接入Internet,共享網(wǎng)絡(luò)資源。 3.企業(yè)擁有自己的IP地址和域名。 4.建立企業(yè)Email系統(tǒng)和內(nèi)部通訊系統(tǒng)。 5.在公司主機(jī)上建立網(wǎng)站,提供對外宣傳的信息平臺。 1.2 網(wǎng)絡(luò)平臺的特點(diǎn) 網(wǎng)絡(luò)平臺是企業(yè)信息化的核心,要求具有高可靠性、高性能、良好可擴(kuò)展性以及端到端的QoS服務(wù)質(zhì)量保證。 高可用性必須是一個端到端的網(wǎng)絡(luò)目標(biāo)。網(wǎng)絡(luò)設(shè)備、服務(wù)器集群、操作系統(tǒng)及網(wǎng)絡(luò)接口卡必須作為一個統(tǒng)一的生態(tài)系統(tǒng)協(xié)同工作,以恢復(fù)任何服務(wù)器、鏈路或網(wǎng)絡(luò)設(shè)備的故障。 在考慮設(shè)備硬件可靠性和連接鏈路冗余的同時,應(yīng)關(guān)注網(wǎng)絡(luò)系統(tǒng)在不同層次上對系統(tǒng)可用性的軟件功能支持能力,另外容易被忽略的高可用性因素——統(tǒng)一的設(shè)備軟件操作平臺。如果不同設(shè)備采用不同的軟件系統(tǒng),兼容性、開放性和可擴(kuò)展性都會受到影響。 QoS(服務(wù)質(zhì)量保證)是保證向網(wǎng)絡(luò)業(yè)務(wù)提供有品質(zhì)的服務(wù)。它為網(wǎng)絡(luò)中的數(shù)據(jù)劃分優(yōu)先級,對于某些數(shù)據(jù),如語音、視頻等,給予高的優(yōu)先級,使他們在網(wǎng)絡(luò)中優(yōu)先傳輸,來保證通話及視頻的質(zhì)量。在應(yīng)用系統(tǒng)較為簡單的網(wǎng)絡(luò)發(fā)展的初期,常常被對應(yīng)于簡單的概念,例如設(shè)備可以支持的隊(duì)列數(shù)量等。在網(wǎng)絡(luò)應(yīng)用日趨復(fù)雜的環(huán)境下,如何在有限的網(wǎng)絡(luò)資源里充分保障各類應(yīng)用的實(shí)施,是一個非常復(fù)雜的問題,實(shí)施QoS,是端到端的概念,不是單個設(shè)備的問題,而是涉及整個園區(qū)網(wǎng)、甚至跨廣域網(wǎng)的問題。QoS的管理和部署可能需要涉及到不同城市、不同廠區(qū)、不同大樓的每一臺網(wǎng)絡(luò)設(shè)備,甚至每一個端口。因此,在選擇網(wǎng)絡(luò)設(shè)備和供應(yīng)商的時候,要擦亮眼睛看看供應(yīng)商的QoS能做到什么程度。 2 網(wǎng)絡(luò)系統(tǒng)設(shè)計 2.1 網(wǎng)絡(luò)設(shè)計原則 1) 開放性:系統(tǒng)設(shè)計應(yīng)采用開放技術(shù)、開放結(jié)構(gòu)、開放系統(tǒng)組件和開放用戶接口,以利于網(wǎng)絡(luò)的維護(hù)、擴(kuò)展升級及與外界信息的溝通。 2) 安全性:應(yīng)能在可靠性的前提下,抵擋來自內(nèi)部和外部的攻擊;采用的安全措施有效、可信,能夠在多層次上、以多種方式實(shí)現(xiàn)安全的控制。 3) 可靠性:系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜,同時在部分子系統(tǒng)中存在較高的技術(shù)性,因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運(yùn)行,具有很高的MTBF(平均無故障工作時間)和極低的MTBR(平均無故障率),提高容錯設(shè)計,支持故障檢測和恢復(fù),可管理性強(qiáng)。網(wǎng)絡(luò)必須是可靠的,包括網(wǎng)元級的可靠性,如引擎、風(fēng)扇、單板、總計等;以及網(wǎng)絡(luò)級的可靠性,如路由、交換的匯聚,鏈路冗余,負(fù)載均衡等。網(wǎng)絡(luò)必須具有足夠高的性能,滿足業(yè)務(wù)的需要。具有容錯功能,能滿足企業(yè)所在地環(huán)境、氣候條件,抗干擾能力強(qiáng),對網(wǎng)絡(luò)的設(shè)計、選型、安裝、調(diào)試等各環(huán)節(jié)進(jìn)行統(tǒng)一規(guī)劃和分析,確保系統(tǒng)運(yùn)行可靠。 4) 統(tǒng)一性:在系統(tǒng)的設(shè)計過程中,堅持“三統(tǒng)一”,即統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一出口。 5) 經(jīng)濟(jì)性:在充分滿足以上要求的前提下,應(yīng)充分考慮到企業(yè)的經(jīng)濟(jì)承受能力,盡可能地節(jié)約投資,花好每一分錢。著眼于近期目標(biāo)和長期的發(fā)展,選用先進(jìn)的設(shè)備進(jìn)行最佳性能組合,利用有限的投資構(gòu)造一個性能最佳的網(wǎng)絡(luò)系統(tǒng)。 6) 實(shí)用性:實(shí)用性設(shè)計應(yīng)能滿足目前對網(wǎng)絡(luò)應(yīng)用的要求,充分實(shí)現(xiàn)內(nèi)部管理、信息化等要求,使網(wǎng)絡(luò)的整體性能盡快得到充分的發(fā)揮,并且便于掌握。 2.2 網(wǎng)絡(luò)設(shè)計模型 在中型企業(yè)網(wǎng)的設(shè)計中,一般采用層次化模型來設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。所謂“層次化”模型,就是將復(fù)雜的網(wǎng)絡(luò)設(shè)計分成幾個層次,每個層次著重于某些特定的功能,這樣就能夠使一個復(fù)雜的大問題變成許多簡單的小問題。 “核心層-分布層-接入層”層次化網(wǎng)絡(luò)設(shè)計模型有如下優(yōu)點(diǎn): l 節(jié)省成本:在采用層次模型之后,各層次各司其職,不再在同一個平臺上考慮所有的事情。層次模型模塊化的特性使網(wǎng)絡(luò)中的每一層都能夠很好地利用帶寬,減少了對系統(tǒng)資源的浪費(fèi)。 l 易于理解 :層次化設(shè)計使得網(wǎng)絡(luò)結(jié)構(gòu)清晰明了,可以在不同的層次實(shí)施不同難度的管理,降低了管理成本。 l 易于擴(kuò)展 :在網(wǎng)絡(luò)設(shè)計中,模塊化具有的特性使得網(wǎng)絡(luò)增長時網(wǎng)絡(luò)的復(fù)雜性能夠限制在子網(wǎng)中,而不會蔓延到網(wǎng)絡(luò)的其他地方。 l 易于排錯:層次化設(shè)計能夠使網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分解為易于理解的子網(wǎng),網(wǎng)絡(luò)管理者能夠輕易地確定網(wǎng)絡(luò)故障的范圍,從而簡化了排錯過程。 2.2.1 核心層 核心層將各分布層交換機(jī)互連起來進(jìn)行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。 園區(qū)網(wǎng)的核心層連接所有的分布層設(shè)備,必須能夠盡可能高效地交換數(shù)據(jù)流。應(yīng)具有如下特征: l 第2層和第3層的吞吐量非常高; l 不執(zhí)行高成本或不必要的分組處理(訪問列表、分組過濾); l 支持高可用性的冗余和彈性; l 高級QoS功能。 應(yīng)對園區(qū)網(wǎng)核心層中的設(shè)備進(jìn)行優(yōu)化,以提供高性能的第2層或第3層交換。由于核心層必須處理大量的園區(qū)網(wǎng)級數(shù)據(jù),因此核心層設(shè)計必須簡單、高效。 在本設(shè)計的核心層中,采用兩臺Cisco Catalyst 4006交換機(jī)組成雙機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案。為提高核心-網(wǎng)絡(luò)的健壯性,實(shí)現(xiàn)鏈路的安全保障,本方案骨干核心層中可以采用VRRP(熱備用路由器協(xié)議)。對于各個業(yè)務(wù)VLAN可以指向這個虛擬的IP地址作為網(wǎng)關(guān),因此應(yīng)用VRRP技術(shù)為核心交換機(jī)提供一個可靠的網(wǎng)關(guān)地址,以實(shí)現(xiàn)在核心層核心交換機(jī)之間進(jìn)行設(shè)備的硬件冗余,一主兩備,共用一個虛擬的IP地址和MAC地址,通過內(nèi)部的協(xié)議傳輸機(jī)制可以自動進(jìn)行工作角色的切換。進(jìn)而雙引擎、雙電源的設(shè)計為網(wǎng)絡(luò)高效處理大集中數(shù)據(jù)提供了可靠的保障。 2.2.2 分布層 分布層將園區(qū)網(wǎng)的接入層和核心層連接起來。必須具備下述的功能: l 聚集多臺接入層設(shè)備; l 較高的第3層分組處理吞吐量; l 使用訪問列表和分組過濾器提供安全和基于策略的連接; l QoS功能; l 連接到核心層和接入層的高速鏈接具有可擴(kuò)展性和彈性。 在分布層中,來自接入層設(shè)備的上行鏈路被聚合在一起。分布層交換機(jī)必須能夠處理來自所有連接的設(shè)備的總流量。這些交換機(jī)必須擁有能提供高速鏈路的端口密度,以支持所有接入層交換機(jī)。 VLAN和廣播域在分布層聚合在一起,需要支持路由選擇、過濾和安全。該層的交換機(jī)還必須能夠執(zhí)行高吞吐量的多層交換。 2.2.3 接入層 接入層位于連接到網(wǎng)絡(luò)的最終用戶處。接入層交換機(jī)通常在用戶之間提供第2層(VLAN)連接性。該層設(shè)備有時被稱為大樓介入交換機(jī),必須具備下述功能: l 低交換機(jī)端口成本; l 高端口密度; l 連接到高層的可擴(kuò)展上行鏈路; l 用戶接入功能,如VLAN成員資格、數(shù)據(jù)流和協(xié)議過濾以及服務(wù)質(zhì)量(QoS); l 使用多條上行鏈路提供彈性。 2.3 系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu) 為了實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一,本設(shè)計方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品,即Cisco公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠商設(shè)備的好處是可以實(shí)現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。 該企業(yè)網(wǎng)設(shè)計方案主要由以下四大部分構(gòu)成:交換模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪問模塊、服務(wù)器群。 網(wǎng)絡(luò)拓?fù)淙缦聢D所示: 3 網(wǎng)絡(luò)詳細(xì)設(shè)計及配置 這里我將使用思科的一款虛擬軟件(cisco packet tracer)完成配置,該軟件功能有限,一些配置并不能在該軟件上實(shí)現(xiàn)。以下配置截圖,皆來自該軟件。 3.1 交換模塊設(shè)計 3.1.1 接入層交換服務(wù)的實(shí)現(xiàn)-配置接入層交換機(jī) 接入層為所有的終端用戶提供一個接入點(diǎn)。這里的接入層交換機(jī)采用的是Cisco Catalyst 2950 24口交換機(jī)(WS-C2950-24)。交換機(jī)擁有24個10/100Mbps自適應(yīng)快速以太網(wǎng)端口,運(yùn)行的是Cisco的IOS操作系統(tǒng)?!? 1. 配置接入層交換機(jī)AccessSwitch1的基本參數(shù) (1)設(shè)置交換機(jī)名稱 設(shè)置交換機(jī)名稱,也就是出現(xiàn)在交換機(jī)CLI提示符中的名字。一般我們會以地理位置或行政劃分來為交換機(jī)命名。當(dāng)我們需要Telnet登錄到若干臺交換機(jī)以維護(hù)一個大型網(wǎng)絡(luò)時,通過交換機(jī)名稱提示符提示自己當(dāng)前配置交換機(jī)的位置是很有必要的。 其中h是hostname 的簡寫,(在真實(shí)環(huán)境中也支持簡寫)可以用該命令實(shí)現(xiàn)設(shè)備的重命名。 (2)設(shè)置交換機(jī)的加密使能口令 加密口令為:enable secret +密碼。 當(dāng)用戶在普通用戶模式而想要進(jìn)入特權(quán)用戶模式時,需要提供此口令。此口令會以MD5的形式加密,因此,當(dāng)用戶查看配置文件時,無法看到明文形式的口令。 (3)設(shè)置登錄虛擬終端線時的口令 Line vty 0 15 Password cisco Login Login 對這個配置很重要,沒有他你就算配了密碼也無法登陸。 對于一個已經(jīng)運(yùn)行著的交換網(wǎng)絡(luò)來說,交換機(jī)的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理人員提供了很多的方便。但是,處于安全考慮,在能夠遠(yuǎn)程管理交換機(jī)之前網(wǎng)絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機(jī)的口令。 (4)設(shè)置終端線超時時間 為了安全考慮,可以設(shè)置終端線超時時間。在設(shè)置的時間內(nèi),如果沒有檢測到鍵盤輸入,IOS將斷開用戶和交換機(jī)之間的連接。這里設(shè)置的是5分30秒。 (5)設(shè)置禁用IP地址解析特性 在交換機(jī)默認(rèn)配置的情況下,當(dāng)我們輸入一條錯誤的交換機(jī)命令時,交換機(jī)會嘗試將其廣播給網(wǎng)絡(luò)上的DNS服務(wù)器并將其解析成對應(yīng)的IP地址。利用命令no ip domain-lookup??梢越眠@個特性 (6)設(shè)置啟用消息同步特性 有時,用戶輸入的交換機(jī)配置命令會被交換機(jī)產(chǎn)生的消息打亂??梢允褂妹頻ogging synchronous設(shè)置交換機(jī)在下一行CLI提示符后復(fù)制用戶的輸入。 2. 配置接入層交換機(jī)AccessSwitch1的管理IP、默認(rèn)網(wǎng)關(guān) 接入層交換機(jī)是OSI參考模型的第2層設(shè)備,即數(shù)據(jù)鏈路層的設(shè)備。因此,給接入層交換機(jī)的每個端口設(shè)置IP地址是沒意義的。但是,為了使網(wǎng)絡(luò)管理人員可以從遠(yuǎn)程登錄到接入層交換機(jī)上進(jìn)行管理,必要給接入層交換機(jī)設(shè)置一個管理用IP地址。這種情況下,實(shí)際上是將交換機(jī)看成和PC機(jī)一樣的主機(jī)。 給交換機(jī)設(shè)置管理用IP地址只能在VLAN1,即本征VLAN中進(jìn)行。 為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機(jī),還應(yīng)設(shè)置默認(rèn)網(wǎng)關(guān)地址. 3. 配置接入層交換機(jī)AccessSwitch1的VTP 從提高效率的角度出發(fā),在本企業(yè)網(wǎng)實(shí)現(xiàn)實(shí)例中使用了VTP技術(shù)。同時,將分布層交換機(jī)DistributeSwitch1設(shè)置成為VTP服務(wù)器,其他交換機(jī)設(shè)置成為VTP客戶機(jī)。 這里接入層交換機(jī)AccessSwitch1將通過VTP獲得在分布層交換機(jī)DistributeSwitch1中定義的所有VLAN的信息。 設(shè)置接入層交換機(jī)AccessSwitch1成為VTP客戶機(jī)。 圖中, ver是version的縮寫。以后都將使用這些縮寫。Vtp mode client命令設(shè)置該交換機(jī)為vtp的客戶機(jī)模式,vtp ver 2命令設(shè)置使用vtp的版本號為2。 4. 配置接入層交換機(jī)AccessSwitch1端口基本參數(shù):端口速度 可以設(shè)定某端口根據(jù)對端設(shè)備速度自動調(diào)整本端口速度,也可以強(qiáng)制將端口速度設(shè)為10Mpbs或100Mbps。在了解對端設(shè)備速度的情況下,建議手動設(shè)置端口速度。 設(shè)置接入層交換機(jī)AccessSwitch1的所有端口(1-24)的速度均為100Mbps。 int 是interface的縮寫,是進(jìn)入某個接口的命令;r 為range 的縮寫,f為fastethernet(快速以太網(wǎng)接口)的縮寫,f0/1 -24 表示快速以太網(wǎng)的0/1-0/24共24個接口。 5. 配置接入層交換機(jī)AccessSwitch1的接入端口 接入層交換機(jī)AccessSwitch1為終端用戶提供接入服務(wù)。接入層交換機(jī)AccessSwitch1為VLAN10提供接入服務(wù)。 Swi為switchport的縮寫,mo為mode的縮寫,acc為access的縮寫。用spanning-tree portfast來配置生成樹快速端口。 (1)設(shè)置接入層交換機(jī)AccessSwitch1的端口1~22 如圖所示,設(shè)置接入層交換機(jī)AccessSwitch1的端口1~端口24工作在接入模式。同時,設(shè)置端口1~端口22為VLAN 10的成員。 (2)設(shè)置快速端口 默認(rèn)情況下,交換機(jī)在剛加電啟動時,每個端口都要經(jīng)歷生成樹的四個階段:阻塞、偵聽、學(xué)習(xí)、轉(zhuǎn)發(fā)。在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前,某個端口可能最多要等50秒鐘的時間(20秒的阻塞時間+15秒的偵聽延遲時間+15秒的學(xué)習(xí)延遲時間)。 對于直接接入終端工作站的端口來說,用于阻塞和偵聽的時間是不必要的。為了加速交換機(jī)端口狀態(tài)轉(zhuǎn)化時間,可以設(shè)置將某端口設(shè)置成為快速端口(Portfast)。設(shè)置為快速端口的端口當(dāng)交換機(jī)啟動或端口有工作站接入時,將會直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài),而不會經(jīng)歷阻塞、偵聽、學(xué)習(xí)狀態(tài)(假設(shè)橋接表已經(jīng)建立)。 6. 配置接入層交換機(jī)AccessSwitch1的主干道端口 接入層交換機(jī)AccessSwitch1通過端口FastEthernet 0/23上連到分布層交換機(jī)DistributeSwitch1的端口FastEthernet 0/1。同時,接入層交換機(jī)AccessSwitch1還通過端口FastEthernet 0/24上連到分布層交換機(jī)DistributeSwitch2的端口FastEthernet 0/1。 這兩條上連鏈路將成為主干道鏈路,在這兩條上連鏈路上將運(yùn)輸多個VLAN的數(shù)據(jù)。 設(shè)置接入層交換機(jī)AccessSwitch1的端口FastEthernet 0/23、FastEthernet 0/24為主干道端口,即為配置這兩個端口的中繼。命令為switchport mode trunk 7. 配置接入層交換機(jī)AccessSwitch2、3、4、5 接入層交換機(jī)AccessSwitch2、3、4、5分別為VLAN 20、VLAN30、VLAN40、VLAN50的用戶提供接入服務(wù)。同時,分別通過自己的FastEthernet 0/23 、FastEthernet 0/24上連到分布層交換機(jī)DistributeSwitch1、DistributeSwitch2的端口FastEthernet 0/2。 對接入層交換機(jī)AccessSwitch2、3、4、5的配置步驟、命令和對接入層交換機(jī)AccessSwitch1的配置類似。 3.1.2 分布層交換服務(wù)的實(shí)現(xiàn)-配置分布層交換機(jī) 分布層除了負(fù)責(zé)將接入層交換機(jī)進(jìn)行匯集外,還為整個交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能。 對分布層交換機(jī)DistributeSwitch1的基本參數(shù)的配置步驟與對接入層交換機(jī)AccessSwitch1的基本參數(shù)的配置類似。這里,只給出實(shí)際的配置。 1.配置分布層交換機(jī)DistributeSwitch1的管理IP、默認(rèn)網(wǎng)關(guān) 顯示了為分布層交換機(jī)DistributeSwitch1設(shè)置管理IP并激活本征VLAN。同時,還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。 add為address的縮寫; no sh 即為no shutdown,開啟端口。 2.配置分布層交換機(jī)DistributeSwitch1的VTP 當(dāng)網(wǎng)絡(luò)中交換機(jī)數(shù)量很多時,需要分別在每臺交換機(jī)上創(chuàng)建很多重復(fù)的VLAN。工作量很大、過程很繁瑣,并且容易出錯。我們常采用VLAN中繼協(xié)議(Vlan Trunking Protocol,VTP)來解決這個問題。 VTP允許我們在一臺交換機(jī)上創(chuàng)建所有的VLAN。然后,利用交換機(jī)之間的互相學(xué)習(xí)功能,將創(chuàng)建好的VLAN定義傳播到整個網(wǎng)絡(luò)中需要此VLAN定義的所有交換機(jī)上。同時,有關(guān)VLAN的刪除、參數(shù)更改操作均可傳播到其他交換機(jī)。從而大大減輕了網(wǎng)絡(luò)管理人員配置交換機(jī)負(fù)擔(dān)。 在本企業(yè)網(wǎng)實(shí)現(xiàn)實(shí)例中使用了VTP技術(shù)。同時,將分布層交換機(jī)DistributeSwitch1設(shè)置成為VTP服務(wù)器,其他交換機(jī)設(shè)置成為VTP客戶機(jī)。 (1) 配置VTP管理域 vtp domain cisco 共享相同VLAN定義數(shù)據(jù)庫的交換機(jī)構(gòu)成一個VTP管理域。每一個VTP管理域都有一個共同的VTP管理域域名。不同VTP管理域的交換機(jī)之間不交換VTP通告信息。將VTP管理域的域名定義為“cisco”。 (2) 設(shè)置VTP服務(wù)器 vtp mode server 工作在VTP服務(wù)器模式下的交換機(jī)可以創(chuàng)建、刪除VLAN、修改VLAN參數(shù)。同時,還有責(zé)任發(fā)送和轉(zhuǎn)發(fā)VLAN更新消息。 (3) 激活VTP剪裁功能 vtp pruning 默認(rèn)情況下主干道傳輸所有VLAN的用戶數(shù)據(jù)。有時,交換網(wǎng)絡(luò)中某臺交換機(jī)的所有端口都屬于同一VLAN的成員,沒有必要接收其他VLAN的用戶數(shù)據(jù)。這時,可以激活主干道上的VTP剪裁功能。當(dāng)激活了VTP剪裁功能以后,交換機(jī)將自動剪裁本交換機(jī)沒有定義的VLAN數(shù)據(jù)。 在一個VTP域下,只需要在VTP服務(wù)器上激活VTP剪裁功能。同一VTP域下的所有其他交換機(jī)也將自動激活VTP剪裁功能。 下圖為該交換機(jī)的配置參數(shù): 3.在分布層交換機(jī)DistributeSwitch1上定義VLAN 在本企業(yè)網(wǎng)實(shí)現(xiàn)實(shí)例中,除了默認(rèn)的本征VLAN外,又定義了6個VLAN。 由于使用了VTP技術(shù),所以所有VLAN的定義只需要在VTP服務(wù)器,即分布層交換機(jī)DistributeSwitch1上進(jìn)行。 如圖所示,定義了6個VLAN,同時為每個VLAN命名。 4.配置分布層交換機(jī)DistributeSwitch1的端口基本參數(shù) 分布層交換機(jī)DistributeSwitch1的端口FastEthernet 0/1~FastEthernet 0/5連到接入層交換機(jī)AccessSwitch1-5的端口FastEthernet 0/23,端口FastEthernet 0/10~FastEthernet 0/12為服務(wù)器群提供接入服務(wù)。此外,分布層交換機(jī)DistributeSwitch1還通過自己的千兆端口GigabitEthernet 1/1上連到核心交換機(jī)CoreSwitch1的GigabitEthernet 0/1?!? 為了實(shí)現(xiàn)冗余設(shè)計,分布層交換機(jī)DistributeSwitch1還通過自己的千兆端口GigabitEthernet 1/2連接另一臺到分布層交換機(jī)DistributeSwitch2的GigabitEthernet 1/2。 給出了對所有訪問端口、主干道端口的配置步驟和命令。 設(shè)置分布層交換機(jī)DistributeSwitch1的各端口參數(shù) 其中,f0/1-f0/5,gi1/1,gi1/2都被配為中繼端口,端口f0/10-f0/12被劃分給VLAN 100。swi 為switchport的縮寫, acc為 access的縮寫, gi為 gigabitEthernet的縮寫, 5.配置分布層交換機(jī)DistributeSwitch1的3層交換功能 分布層交換機(jī)DistributeSwitch1需要為網(wǎng)絡(luò)中的各個VLAN提供路由功能。這需要首先啟用分布層交換機(jī)的路由功能。 接下來,需要為每個VLAN定義自己的默認(rèn)網(wǎng)關(guān)地址, 此外,還需要定義通往Internet的路由。這里使用了一條缺省路由命令, 其中,下一跳地址是Internet接入路由器的快速以太網(wǎng)接口FastEthernet 0/0的IP地址。6.配置分布層交換機(jī)DistributeSwitch2 分布層交換機(jī)DistributeSwitch2的端口FastEthernet 0/1-5分別下連到接入層交換機(jī)AccessSwitch1-5的端口FastEthernet 0/24。 此外,分布層交換機(jī)DistributeSwitch2還通過自己的千兆端口GigabitEthernet1/1上連到核心交換機(jī)CoreSwitch2的GigabitEthernet 0/1。 對分布層交換機(jī)DistributeSwitch2的配置步驟、命令和對分布層交換機(jī)DistributeSwitch1的配置類似。 3.1.3 核心層交換服務(wù)的實(shí)現(xiàn)-配置核心層交換機(jī) 1.配置核心層交換機(jī)CoreSwitch1的基本參數(shù) 對核心層交換機(jī)CoreSwitch1的基本參數(shù)的配置步驟與對接入層交換機(jī)AccessSwitch1的基本參數(shù)的配置類似。這里,只給出實(shí)際的配置步驟,不再給出解釋。 2.配置核心層交換機(jī)CoreSwitch1的管理IP、默認(rèn)網(wǎng)關(guān) 如圖所示,顯示了為核心層交換機(jī)CoreSwitch1設(shè)置管理IP并激活本征VLAN。同時,還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。 3.配置核心層交換機(jī)CoreSwitch1的的VLAN及VTP 在本實(shí)例中,核心層交換機(jī)CoreSwitch1也將作為VTP客戶機(jī)。 這里核心層交換機(jī)CoreSwitch1將通過VTP獲得在分布層交換機(jī)DistributeSwitch1中定義的所有VLAN的信息。 完整命令為:vtp mode client 4.配置核心層交換機(jī)CoreSwitch1的端口參數(shù) 核心層交換機(jī)CoreSwitch1通過自己的端口FastEthernet 0/22同廣域網(wǎng)接入模塊(Internet路由器)相連。同時,核心層交換機(jī)CoreSwitch1的端口GigabitEthernet 0/1~GigabitEthernet 0/2分別下連到接入層交換機(jī)DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet 1/1。 如圖所示,給出了對上述端口的配置命令。 此外,為了提供主干道的吞吐量以及實(shí)現(xiàn)冗余設(shè)計,在本設(shè)計中,將核心層交換機(jī)CoreSwitch1的千兆端口GigabitEthernet 2/1、GigabitEthernet 2/2捆綁在一起實(shí)現(xiàn)2000Mbps的千兆以太網(wǎng)信道,然后再連接到另一臺核心層交換機(jī)CoreSwitch2。 下面是設(shè)置核心層交換機(jī)CoreSwitch1的千兆以太網(wǎng)信道的步驟。 5.配置核心層交換機(jī)CoreSwitch1的路由功能 核心層交換機(jī)CoreSwitch1通過端口FastEthernet 0/22同廣域網(wǎng)接入模塊(Internet路由器)相連。因此,需要啟用核心層交換機(jī)的路由功能。同時,還需要定義通往Internet的路由。這里使用了一條缺省路由命令,如圖所示。其中,下一跳地址是Internet接入路由器的快速以太網(wǎng)接口FastEthernet 0/0的IP地址。 6.核心層交換機(jī)CoreSwitch2的配置 核心層交換機(jī)CoreSwitch2的配置步驟、命令和對核心層交換機(jī)CoreSwitch1的配置類似。這里,不再詳細(xì)分析。同時,對于配置核心層交換機(jī)CoreSwitch2下連的一系列交換機(jī),其連接方法以及配置步驟和命令同核心層交換機(jī)CoreSwitch1下連的一系列交換機(jī)的連接方法以及配置步驟和命令類似。這里,也不再贅述。 3.2 廣域網(wǎng)接入模塊設(shè)計 在本設(shè)計中,廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器InternetRouter來完成的。采用的是Cisco的2811路由器。它通過添加WIC-2T模塊上帶的串行接口serial 0/0使用DDN(128K)技術(shù)接入Internet。它的作用主要是在Internet和企業(yè)網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務(wù)外,利用訪問控制列表(Access Control List,ACL),廣域網(wǎng)接入路由器InternetRouter還可以用來完成以自身為中心的流量控制和過濾功能并實(shí)現(xiàn)一定的安全功能。 3.2.1 配置接入路由器InternetRouter的基本參數(shù) 對接入路由器InternetRouter的基本參數(shù)的配置步驟與對接入層交換機(jī)AccessSwitch1的基本參數(shù)的配置類似。 3.2.2 配置接入路由器InternetRouter的各接口參數(shù) 對接入路由器InternetRouter的各接口參數(shù)的配置主要是對接口FastEthernet 0/0以及接口Serial 0/0/0的IP地址、子網(wǎng)掩碼的配置。 如圖2-3所示,顯示了為接入路由器InternetRouter的各接口設(shè)置IP地址、子網(wǎng)掩碼。 3.2.3 配置接入路由器InternetRouter的路由功能 在接入路由器InternetRouter上需要定義兩個方向上的路由:到企業(yè)網(wǎng)內(nèi)部的靜態(tài)路由以及到Internet上的缺省路由。 到Internet上的路由需要定義一條缺省路由,如圖所示。其中,下一跳指定從本路由器的接口serial 0/0/0送出。 到企業(yè)網(wǎng)內(nèi)部的路由條目可以經(jīng)過路由匯總后形成兩條路由條目。如圖所示。 3.2.4 配置接入路由器InternetRouter上的NAT 為了接入Internet,本企業(yè)網(wǎng)向當(dāng)?shù)豂SP申請了9個IP地址。其中一個IP地址:193.1.1.1被分配給了Internet接入路由器的串行接口,另外8個IP地址:202.206.222.1~202.206.222.8用作NAT。 NAT的配置可以分為以下幾個步驟。 (1)定義NAT內(nèi)部、外部接口 Ip nat inside 定義端口為內(nèi)部端口; Ip nat outside定義端口為外部端口。 (2)定義允許進(jìn)行NAT的內(nèi)部局部IP地址范圍 內(nèi)部地址范圍為: 192.168.0.1-192.168.0.254,……,192.168.7.1-192.168.7.254,192.168.100.1-192.168.100.254八個子網(wǎng)。 (3)為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換 將服務(wù)器的內(nèi)部IP地址改為公有地址。 (4) 為其他工作站定義動態(tài)地址轉(zhuǎn)換 將一個網(wǎng)絡(luò)中的所有需要轉(zhuǎn)換的私有地址用一個ACL來表示,再從ISP注冊到的共有地址一個地址池來表示,最后再將ACL與地址池做動態(tài)的轉(zhuǎn)換。 將除服務(wù)器外的內(nèi)部IP隨機(jī)轉(zhuǎn)換為地址池內(nèi)的202.206.222.4 - 202.206.222.8的公有地址。Cisco為地址池名。 3.2.5 設(shè)置接入路由器InternetRouter上的ACL 在網(wǎng)絡(luò)環(huán)境中還普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。在絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實(shí)現(xiàn)中它們都是應(yīng)該對外加以屏蔽的。主要應(yīng)該做以下的ACL設(shè)計: (1)對外屏蔽簡單網(wǎng)管協(xié)議,即SNMP。 利用這個協(xié)議,遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類型:SNMP和SNMPTRAP。 對外屏蔽簡單網(wǎng)管協(xié)議SNMP: (2)對外屏蔽遠(yuǎn)程登錄協(xié)議telnet 首先,telnet是一種不安全的協(xié)議類型。用戶在使用telnet登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時所使用的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?,很容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。其次,telnet可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和UNIX服務(wù)器,并可以使用相關(guān)命令完全操縱它們。這是極其危險的,因此必須加以屏蔽?!? 對外屏蔽遠(yuǎn)程登錄協(xié)議telnet: (3)對外屏蔽其它不安全的協(xié)議或服務(wù) 這樣的協(xié)議主要有SUN OS的文件共享協(xié)議端口2049,遠(yuǎn)程執(zhí)行(rsh)、遠(yuǎn)程登錄(rlogin)和遠(yuǎn)程命令(rcmd)端口512、513、514,遠(yuǎn)程過程調(diào)用(SUNRPC)端口111??梢詫⑨槍σ陨蠀f(xié)議綜合進(jìn)行設(shè)計,如圖所示。 (4)針對DoS攻擊的設(shè)計 DoS攻擊(Denial of Service Attack,拒絕服務(wù)攻擊)是一種非常常見而且極具破壞力的攻擊手段,它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止,嚴(yán)重時會導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。 (5)保護(hù)路由器自身安全 作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器,保護(hù)自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器,必須對路由器的訪問位置加以限制。 應(yīng)只允許來自服務(wù)器群的IP地址訪問并配置路由器。這時,可以使用ACCESS-CLASS命令進(jìn)行VTY訪問控制。如圖所示 3.3 遠(yuǎn)程訪問設(shè)計和程訪問模塊設(shè) 遠(yuǎn)程訪問也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務(wù)。 遠(yuǎn)程訪問有三種可選的服務(wù)類型:專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同,花費(fèi)也不相同。在本設(shè)計中,由于面對的用戶群規(guī)模、業(yè)務(wù)量較小,所以采用了異步撥號連接作為遠(yuǎn)程訪問的技術(shù)手段。 異步撥號連接屬于電路交換類型的廣域網(wǎng)連接,它是在傳統(tǒng)公共交換電話網(wǎng)(Public Switched Telephone Network,PSTN)上提供服務(wù)的。傳統(tǒng)PSTN提供的服務(wù)也被稱為簡易老式電話業(yè)務(wù)(Plan Old Telephone System,POTS)。因?yàn)槟壳按嬖谥罅堪惭b好的電話線,所以這樣的環(huán)境是最容易滿足的。因此,異步撥號連接也就成為最為方便和普遍的遠(yuǎn)程訪問類型。 廣域網(wǎng)連接可以采用不同類型的封裝協(xié)議,如HDLC、PPP等。其中,PPP除了提供身份認(rèn)證功能外,還可以提供其他很多可選項(xiàng)配置,包括鏈路壓縮、多鏈路捆綁、回叫等,因此更具優(yōu)勢。也是本設(shè)計所采用的異步連接封裝協(xié)議。 PPP提供了兩種可選的身份認(rèn)證方法:口令驗(yàn)證協(xié)議PAP(Password Authentication Protocol,PAP)和質(zhì)詢握手協(xié)議(Challenge Handshake Authentication Protocol,CHAP)。 PAP是一個簡單的、實(shí)用的身份驗(yàn)證協(xié)議。PAP認(rèn)證進(jìn)程只在雙方的通信鏈路建立初期進(jìn)行。如果認(rèn)證成功,在通信過程中不再進(jìn)行認(rèn)證。如果認(rèn)證失敗,則直接釋放鏈路。 CHAP認(rèn)證比PAP認(rèn)證更安全,因?yàn)镃HAP不在線路上發(fā)送明文密碼,而是發(fā)送經(jīng)過摘要算法加工過的隨機(jī)序列,也被稱為"挑戰(zhàn)字符串"。同時,身份認(rèn)證可以隨時進(jìn)行,包括在雙方正常通信過程中。因此,非法用戶就算截獲并成功破解了一次密碼,此密碼也將在一段時間內(nèi)失效。 3.4 服務(wù)器模塊設(shè)計 服務(wù)器模塊用來對企業(yè)網(wǎng)的接入用戶提供各種服務(wù)。在本設(shè)計方案中,所有的服務(wù)器被集中到VLAN 100構(gòu)成服務(wù)器群并通過分布層交換機(jī)DistributeSwitch1的端口fastethernet 10~12接入企業(yè)網(wǎng)。 企業(yè)網(wǎng)提供的常見的服務(wù)(服務(wù)器)包括: WEB服務(wù)器:提供WEB網(wǎng)站服務(wù)。 內(nèi)部IP:192.168.100.1 外部IP:202.206.222.1 郵件服務(wù)器:提供郵件收發(fā)服務(wù)。 內(nèi)部IP:192.168.100.2 外部IP:202.206.222.2 數(shù)據(jù)庫服務(wù)器:提供各種數(shù)據(jù)庫服務(wù)。 內(nèi)部IP:192.168.100.3 外部IP:202.206.222.3 4 系統(tǒng)總結(jié) 本文所構(gòu)建的網(wǎng)絡(luò)適合中小規(guī)模企業(yè),在此基礎(chǔ)上,適當(dāng)降低設(shè)備和系統(tǒng)配置,可以用在工作組級別的機(jī)構(gòu)上;而提高硬件和軟件系統(tǒng)的級別,也可以擴(kuò)充到大型企業(yè)級規(guī)模。然而,技術(shù)是網(wǎng)絡(luò)組建的主要考慮因素,但是網(wǎng)絡(luò)的構(gòu)建往往受到經(jīng)費(fèi)的制約,因此,高的性價比是決定的因素。 致謝 在完成本畢業(yè)設(shè)計的過程中,作者得到了劉曉霞老師的大力支持,同學(xué)們的熱情協(xié)助,在有限的時間內(nèi),最快的完成了本設(shè)計。 在此,我謹(jǐn)向提供幫助的各位老師及同學(xué)致以深深的感謝! 參考文獻(xiàn) [1] Steve McQuerry. CCNA 自學(xué)指南:Cisco 網(wǎng)絡(luò)設(shè)備互連.人民郵電出版社,2005 [2] Diane Teare、 Catherine Paquet. 園區(qū)網(wǎng)絡(luò)設(shè)計.人民郵電出版社,2007 [3] Richard Deal. CCNA學(xué)習(xí)指南. 人民郵電出版社,2009 [4] 崔北亮. CCNA學(xué)習(xí)與實(shí)驗(yàn)指南. 電子工業(yè)出版社,2010 [5] Kevin Wallace. CCNP TSHOOT 認(rèn)證考試指南. 人民郵電出版社,2010 [6] Wendell Odom. CCNP ROUTE 認(rèn)證考試指南. 人民郵電出版社,2010 [7] David Hucaby. CCNP SWITCH 認(rèn)證考試指南. 人民郵電出版社,2010 [8] 王相林. 組網(wǎng)技術(shù)與配置. 清華大學(xué)出版社,2009- 1.請仔細(xì)閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
9.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計者僅對作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 中小型企業(yè) 網(wǎng)絡(luò) 構(gòu)建 畢業(yè)論文
鏈接地址:http://www.3dchina-expo.com/p-6619883.html