4.1 网络环境搭建
在企业网络建设中,要根据企业的实际情况搭建网络拓扑图,并且要充分考虑到企业发展所带的网络变化,要网络设计时就应该把这些因素考虑在内,以便所建设的网络能满足企业未来发展的要求。
4.1.1 企业环境
假设企业现有网管中心、财务部、人力资源部、市场部、研发部、保安部、生产部、综合管理部等部分,分在三个楼层里,其中,网管中心、财务部、人力资源部、综合管理部在三楼,市场部和研发部在二楼、保安部和生产部在一楼;企业发展迅速,有可能在将来增加其它的办公场所,要求根据这些情况设计一个符合企业需要并能适合企业发展的网络。
4.1.2 网络拓扑
根据企业的情况,将核心交换机、出口路由器和企业服务器放在网管中心,各个楼层有一个汇聚交换机作为每个楼层的网络出口,并能过线缆连接到网管中心的核心交换机上;核心交换机通过路由器连接Internet。根据这些情况设计的网络拓扑图如下:
4.2 网络协议与技术选择
在交换型的网络当中,特别是大中型网络当中,由于计算机较多,出现故障变大,排除网络故障的难度更随之加大,这给网络管理和网络优化带来很大的困难。所以在网络设计中,如果采用现有的技术,进一步提高网络的性能,是网络设计者和网络管理者都必须考虑的问题。在现在的企业网络当中,比较广泛的一个方法就是采用VLAN技术,把一个大的网络逻辑上划分成若干个相对较小的网络,这样有助网络的管理,也有利于网络性能的提高。
在路由器上可采用的路由选择协议也很多,有中小型网络使用的静态路由、RIP路由,也有大中型网络使用的OSPF协议。在众多的网络路由协议当中,要选择出一个适合现实的、又便于管理的协议。在企业网络建设过程或者网络扩展当中,由于各种原因,一般情况下不可能全部使用同一个厂商的设备,这时候,在路由协议上就应该选择大部分设备的支持的通用的协议,而要尽量避免使用一些厂商私有的协议。在本网络当中,内部VLAN间采用了比较通用的OSPF动态协议,并且在网络出口上使用静态路由(缺省路由)。
4.2.1 静态路由协议
静态路由是指由网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工去修改路由表中相关的静态路由信息。缺省路由是静态路由的一种,也是由管理员设置的。在没有找到目标网络的路由表项时,路由器将信息发送到缺省路由器。在出口路由器我们经常需要使用这种路由协议,当企业网内访问的目标是非内部地址时,缺省路由就将它转发到ISP处,由ISP的路由器再进行转发处理,并最终到达目标网络。
4.2.2 OSPF动态路由协议
OSPF作为一种内部网关协议,用于在同一个自治域(AS)中的路由器之间发布路由信息。区别于距离矢量协议(RIP),OSPF具有支持大型网络、路由收敛快、占用网络资源少、无跳数限制等优点,同时它是一种通用的协议,市场上的路由器都支持它,所以它在网络中被广泛的采用。
4.2.3 NAT技术
随着Internet的迅速发展,IP地址短缺已成为一个十分突出的问题。为了解决这个问题,出现了多种解决方案。下面介绍一种在目前网络环境中比较有效的方法,即地址转换(NAT)功能。NAT通过将专用网络地址转换为公用地址,从而对外隐藏了内部管理的 IP 地址。这样,通过在内部使用非注册的 IP 地址,并将它们转换为一小部分外部注册的 IP 地址,从而减少了IP 地址注册的费用以及节省了目前越来越缺乏的地址空间(即IPV4)。同时,这也隐藏了内部网络结构,从而降低了内部网络受到攻击的风险。
1、NAT的类型
NAT分为三种类型:静态NAT(staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)。其中静态NAT将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址,而NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内
部网络,端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。
2、NAT的优点:
对于那些家庭用户或者小型的商业机构来说,使用NAT可以更便宜,更有效率
地接入Internet。
使用NAT可以缓解目前全球IP地址不足的问题。 在很多情况下,NAT能够满足安全性的需要。
使用NAT可以方便网络的管理,并大大提高了网络的适应性。 3、NAT的缺点
NAT会增加延迟,因为要转换每个数据包包头的IP地址,自然要增加延迟。 NAT会使某些要使用内嵌地址的应用不能正常工作。
4.2.4 ACLs技术
大部分企业现在存在一种状况,就是网络访问无序的状态。如所有公司的员工都可以随意反问财务部门的电脑;如在开公司的视频会议的时候,其他员工下载电影或者游戏浪费了宝贵的带宽,导致视频会议不怎么连贯;如为了管理的方便,大开Telnet端口,对于这个威胁视若无睹,等等。在实际应用当中,我们可以通过访问控制列表来对网络的访问进制一些适当的限制。
4.2.5 VLAN技术
VLAN是英文Virtual Local Area Network的缩写,即虚拟局域网。一方面,VLAN建立在局域网交换机的基础之上;另一方面,VLAN是局域交换网的灵魂。这是因为通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络,而无需改变任何硬件和通信线路。这样,网络管理员就能从逻辑上对用户和网络资源进行分配,而无需考虑物理连接方式。 VLAN充分体现了现代网络技术的重要特征:高速、灵活、管理简便和扩展容易。VLAN并不局限于某一网络或物理范围,VLAN中的用户可以位于一个园区的任意位置,甚至位于不同的国家。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。
VLAN具有以下优点: 1、控制网络的广播风暴
采用VLAN技术,可将某个交换端口划到某个VLAN中,而一个VLAN的广播风暴不会影响其它VLAN的性能。
2、确保网络安全
共享式局域网之所以很难保证网络的安全性,是因为只要用户插入一个活动端口,就能访问网络。而VLAN能限制个别用户的访问,控制广播组的大小和位置,甚至能锁定某台设备的MAC地址,因此VLAN能确保网络的安全性。
3、简化网络管理
网络管理员能借助于VLAN技术轻松管理整个网络。例如需要为完成某个项目建立一个工作组网络,其成员可能遍及全国或全世界,此时,网络管理员只需设置几条命令,就能在几分钟内建立该项目的VLAN网络,其成员使用VLAN网络,就像在本地使用局域网一样。
4.3 网络地址规划
在网络设计时,做好网络地址的选择与规划是非常重要的一个环节,网络地址的规划是否合理直接影响到网络的使用和网络的扩展。
1、企业从ISP申请到一个公网IP:202.101.0.0/28,主要用于连接外网和部分服务器使用。其分配如下表所示:
部门 子网 子网掩码 出口路由器F0/1 202.101.0.1 255.255.255.240 Web服务器 202.101.0.2 255.255.255.240 FTP服务器 202.101.0.3 255.255.255.240
2、IP地址的选择
目前,在网络上使用的IP地址主要有三类:A类、B类和C类,而这三类IP址址又分为注册地址和非注册地址,注册地址用于Internet上使用,而非注册地址(即私有地址)用于组织机构内部使用。三类IP都有私有地址,在做网络设计时要根据企业的网络情况进行选择。其中,A类私有地址范围为10.0.0.0 --10.255.255.255,能容纳1亿多个主机;B类私有地址范围为172.16.0.0--172.31.255.255,能容纳6万多个主机;C类私有地址为192.168.0.0--192.168.255.255,每个网络能容纳254个主机。
根据企业的规模,我们选择了B类地址172.16.0.0/16作为企业网络的地址。 3、IP子网划分
为提高网络的性能,在企业内使用VLAN技术,这就需要对所选的网络进行子网划分。为了便于管理,每个部分都分配一个单独的子网。所以该企业子网划分的情况、子网分配以及VLAN分配情况如下表所示:
子网划分与子网分配表 部门 子网 子网掩码 对应VLAN 网管中心 172.16.1.0 255.255.255.0 vlan1 财务部 172.16.2.0 255.255.255.0 vlan20 人力资源部 172.16.3.0 255.255.255.0 vlan30 综合管理部 172.16.4.0 255.255.255.0 vlan40 市场部 172.16.5.0 255.255.255.0 vlan50 研发部 172.16.6.0 255.255.255.0 vlan60 保安部 172.16.7.0 255.255.255.0 vlan70 生产部 172.16.8.0 255.255.255.0 vlan80 核心—出口路由器 172.16.0.0 255.255.255.0
4、VLAN划分
在核心交换机和汇聚层交换机上划分VLAN,并分配相应端口,具体如下表所示:
核心交换机与汇聚层交换机VLAN划分表 交换机 VLAN 端口 核心交换vlan1 F0/1(T)、F0/2(T)、F0/3(T)、F0/4-23 机 一楼汇聚交换机 二楼汇聚交换机 三楼汇聚交换机
vlan20 vlan30 vlan40 vlan50 vlan60 vlan70 vlan80 vlan1 vlan70 vlan80 vlan1 vlan50 vlan60 vlan1 vlan20 vlan30 vlan40 F0/1(T)、F0/2(T)、F0/3(T) F0/1(T)、F0/2(T)、F0/3(T) F0/1(T)、F0/2(T)、F0/3(T) F0/1(T)、F0/2(T)、F0/3(T) F0/1(T)、F0/2(T)、F0/3(T) F0/1(T)、F0/2(T)、F0/3(T) F0/1(T)、F0/2(T)、F0/3(T) F0/24(T)、F0/2(T)、F0/3(T)、F0/9-23 F0/24(T)、F0/2(T)、F0/3(T)、F0/1-4 F0/24(T)、F0/2(T)、F0/3(T)、F0/5-8 F0/24(T)、F0/2(T)、F0/3(T)、F0/9-23 F0/24(T)、F0/2(T)、F0/3(T)、F0/1-4 F0/24(T)、F0/2(T)、F0/3(T)、F0/5-8 F0/24(T)、F0/2(T)、F0/3(T)、F0/13-23 F0/24(T)、F0/2(T)、F0/3(T)、F0/1-4 F0/24(T)、F0/2(T)、F0/3(T)、F0/5-8 F0/24(T)、F0/2(T)、F0/3(T)、F0/9-12 5、网络设备与测试主机地址分配
在网络规划完成后,就可以对各个网络设备和测试主机分配IP地址,在此网络中,IP地址分配如下。
设备、服务器与VLAN的IP分配表 接口或VLAN IP地址 子网掩码 对应VLAN 核心交换机F0/24 172.16.0.1 255.255.255.0 路由器F0/0 172.16.0.2 255.255.255.0 路由器F0/0 202.101.0.1 255.255.255.240 一楼汇聚交换机管理IP 172.16.1.101 255.255.255.0 二楼汇聚交换机管理IP 172.16.1.102 255.255.255.0 三楼汇聚交换机管理IP 172.16.1.103 255.255.255.0 vlan1 172.16.1.1 255.255.255.0 vlan1 vlan20 172.16.2.1 255.255.255.0 vlan20 vlan30 172.16.3.1 255.255.255.0 vlan30 vlan40 172.16.4.1 255.255.255.0 vlan40 vlan50 172.16.5.1 255.255.255.0 vlan50 vlan60 172.16.6.1 255.255.255.0 vlan60 vlan70 172.16.7.1 255.255.255.0 vlan70 vlan80 172.16.8.1 255.255.255.0 vlan80 Web服务器 172.16.1.2 255.255.255.0 vlan1 FTP服务器 172.16.1.3 255.255.255.0 vlan1 DHCP服务器 172.16.1.4 255.255.255.0 vlan1 测试主机IP分配表 部门 IP地址 子网掩码 网关 财务部 人力资源部 综合管理部 市场部 研发部 保安部 生产部 172.16.2.100 172.16.3.100 172.16.4.100 172.16.5.100 172.16.6.100 172.16.7.100 172.16.8.100 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 172.16.2.1 172.16.3.1 172.16.4.1 172.16.5.1 172.16.6.1 172.16.7.1 172.16.8.1 6、服务器私有地址与公网地址对照表 服务器 私有地址 Web服务器 172.16.1.2 FTP服务器 172.16.1.3
子网掩码 255.255.255.0 255.255.255.0 公网地址 202.101.0.2 202.101.0.3 4.4 设备配置
4.4.1 核心交换机配置
核心交换机用于连接出口路由器、各汇聚层交换机,在该交换机上主要配置VLAN,VLAN路由以及与出口路由器通信的OSPF路由协议。
1、配置交换机设备名称、远程登录口令和特权口令 configure terminal hostname hexin line vty 0 16 password cisco login exit
enable secret cisco end
2、配置VLAN并分配端口 configure terminal vlan 10 exit
interface FastEthernet0/23 switchport acess vlan 10 exit vlan 20 exit vlan 30 exit vlan 40 exit vlan 50 exit vlan 60
exit vlan 70 exit vlan 80 end
3、设置与汇聚层交换机相连接口的接口模式 configure terminal
interface FastEthernet0/1 switchport mode trunk exit
interface FastEthernet0/2 switchport mode trunk exit
interface FastEthernet0/3 switchport mode trunk exit
4、配置各个vlan的IP,即各网段的网关 configure terminal interface vlan 1
ip address 172.16.1.1 255.255.255.0 no shutdown exit
interface vlan 20
ip address 172.16.2.1 255.255.255.0 no shutdown exit
interface vlan 30
ip address 172.16.3.1 255.255.255.0 no shutdown exit
interface vlan 40
ip address 172.16.4.1 255.255.255.0 no shutdown exit
interface vlan 50
ip address 172.16.5.1 255.255.255.0 no shutdown exit
interface vlan 60
ip address 172.16.6.1 255.255.255.0 no shutdown exit
interface vlan 70
ip address 172.16.7.1 255.255.255.0
no shutdown exit
interface vlan 80
ip address 172.16.8.1 255.255.255.0 no shutdown end
5、配置与出口路由器相连的接口为路由器,并配置IP地址 configure terminal
interface FastEthernet0/24 no switchport
ip adderss 172.16.0.1 255.255.255.0 no shutdown end
6、配置OSPF路由协议 configure terminal router ospf 1
network 172.16.0.0 0.0.255.255 area 0 end
4.4.2 汇聚层交换机配置
汇聚层交换机主要是配置VLAN,并将相应端口分配到VLAN中;为了方便远程管理,汇聚层交换机也必须需要远程登录口令、特权口令和远程管理IP。
1、一楼汇聚交换机:
该交换机连接着生产部和保安部两个部门,在该交换机上配置两个vlan,并分配相应的端口。
(1)配置交换机设备名称、远程登录口令、特权口令和远程管理IP。 configure terminal hostname 1Lou line vty 0 16 password cisco login exit
enable secret cisco interface vlan 1
ip address 172.16.1.101 255.255.255.0 no shutdown end
(2)配置vlan,并分配端口 configure terminal vlan 70 exit
interface range fastEthernet 0/1 - 4
switchport acess vlan 70 exit vlan 80 exit
interface range fastEthernet 0/5 – 8 vlan 80 end
(3)配置与核心交换机相连的端口为trunk configure terminal
interface fastEthernet0/24 switchport mode trunk end
2、二楼汇聚交换机:
该交换机连接着市场部和研发部两个部门,在该交换机上配置两个vlan,并分配相应的端口。
(1)配置交换机设备名称、远程登录口令、特权口令和远程管理IP。 configure terminal hostname 2Lou line vty 0 16 password cisco login exit
enable secret cisco interface vlan 1
ip address 172.16.1.102 255.255.255.0 no shutdown end
(2)配置vlan,并分配端口 configure terminal vlan 50 exit
interface range fastEthernet 0/1 - 4 switchport acess vlan 50 exit vlan 60 exit
interface range fastEthernet 0/5 – 8 vlan 60 end
(3)配置与核心交换机相连的端口为trunk configure terminal
interface fastEthernet0/24
switchport mode trunk end
3、三楼汇聚交换机:
该交换机连接着财务部、人力资源部和综合管理部三个部门,在该交换机上配置三个vlan,并分配相应的端口。
该交换机连接着生产部和保安部两个部门,在该交换机上配置两个vlan,并分配相应的端口。
(1)配置交换机设备名称、远程登录口令、特权口令和远程管理IP。 configure terminal hostname 3Lou line vty 0 16 password cisco login exit
enable secret cisco interface vlan 1
ip address 172.16.1.103 255.255.255.0 no shutdown end
(2)配置vlan,并分配端口 configure terminal vlan 20 exit
interface range fastEthernet 0/1 - 4 switchport acess vlan 20 exit vlan 30 exit
interface range fastEthernet 0/5 – 8 vlan 40 exit
interface range fastEthernet 0/9 – 12 vlan 40 end
(3)配置与核心交换机相连的端口为trunk configure terminal
interface fastEthernet0/24 switchport mode trunk end
4.4.3 出口路由器配置
出口路由器主要是实现内网与Internet网的路由NAT转换,实现内网访问Internet。为了实现该路由器与核心交换机的通信,在出口路由器配置OSPF协议;并配置缺省路由,实现内外网的访问;配置访问控制列表,控制外网对内网的访问。
1、配置设备名称、特权口令和远程登录口令 configure terminal hostname ChuKou line vty 0 15 password cisco login exit enable
enable secret cisco
2、配置路由器接口IP地址 configure terminal
interface FastEthernet0/0
ip address 172.16.0.2 255.255.255.0 no shutdown exit
interface FastEthernet0/1
ip address 202.101.0.1 255.255.255.0 no shutdown end
3、配置OSPF路由协议 configure terminal router ospf 1
network 172.16.0.0 0.0.255.255 area 0 end
4、配置缺省路由,并向OSPF注入缺省路由 configure terminal
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 router ospf 1
default-information originate end
5、配置动态PAT转换,将内网私有地址转换成公网合法IP (1)配置转换的地址范围 configure terminal
ip access-list standard 1
permit 172.16.0.0 0.0.255.255 end
(2)配置PAT configure terminal
ip nat inside source list 1 interface FastEthernet0/1 overload end
(3)配置内网端口与外网端口 configure terminal
interface FastEthernet0/0 ip nat inside exit
interface FastEthernet0/1 ip nat outside end
6、配置静态NAT,实现外网访问内网的Web服务器和FTP服务器 configure terminal
ip nat inside source static 172.16.1.2 202.101.0.2 ip nat inside source static 172.16.1.3 202.101.0.3 end
6、配置访问控制列表,并应用在外网接口上 configure terminal
ip access-list extended FangWenNeiWang
permit tcp any 172.16.0.0 0.0.255.255 established permit tcp any host 202.101.0.2 eq www permit tcp any host 202.101.0.3 eq ftp permit tcp any host 202.101.0.3 eq 20 permit icmp any host 202.101.0.2 permit icmp any host 202.101.0.3 deny tcp any any
deny icmp any 172.16.0.0 0.0.255.255 permit icmp any any permit ip any anyexit interface FastEthernet0/1
ip access-group FangWenNeiWang in end
4.5 企业服务器配置
在企业中,为方便网络管理或要实现企业的电子办公系统、企业电子商务,都必须建立相应的服务器。在这里,给里DHCP服务器的配置,而其它服务器则可以根据企业需要再另行安装、配置与调试。
4.5.1 DHCP服务器配置
在一个企业中,由于计算机数量较多,计算机使用者水平参差不齐,如果所有计算机的IP地址全部由手工指定,将是一个工作量非常大的事,而且给网络管理带来很大的麻烦。因此,有必要在企业内部建立DHCP服务器,所有客户机的IP全部为自动从DHCP上获取,这样可以大减少管理员的工作量。
在本企业网络中,由于划分了若干个子网,那么在DHCP服务器上就必须为每个子网创建相应的DHCP作用域,以保证每个子网都能自动获取IP。
1、新建DHCP作用域,并指定作用域的名称。由于需要创建多个作用域,一个作用域对应一个子网,为方便识别,这里使用子网号作为作用域的名称。
2、指定作用域可分配的IP地址范围
3、设置排队范围
4、设置租约期限期
5、配置其它DHCP选项
6、配置默认网关
7、配置DNS
9、激活该作用域
10、按1-9的步骤,依次创建其它子网所需要的作用域。
因篇幅问题不能全部显示,请点此查看更多更全内容