企业园区网络设计、规划与实施方案.doc

企业园区网络设计、规划与实施方案.doc

《企业园区网络设计、规划与实施方案.doc》由会员分享，可在线阅读，更多相关《企业园区网络设计、规划与实施方案.doc（32页珍藏版）》请在冰点文库上搜索。

企业园区网络设计、规划与实施方案

企业园区网络设计、规划与实施方案

目录

第1章企业网建设综述 5

1.1 项目建设目标

1.2 项目建设原则

1.3 基本建设描述

第2章需求分析 6

2.1企业背景

2.3计算机网络综合布线

第3章网络设备配置和管理 9

3.1划分子网

3.2划分vlan

3.3接入层交换机配置

3.4汇聚层交换机配置

3.5汇聚层交换机Convergencelayer2配置

3.6核心层交换机连接配置说明

第4章连接广域网 26

4.1路由器基本配置

4.2配置静态路由

4.3配置NAT

4.4在路由器上配置访问控制列表（ACL）

第5章总结 30

主要参考文献资料 31

致谢 32

企业园区网的设计、规划与实施

【摘要】在现今的网络建设中，企业网的建设是非常重要的，企业网内部各种不同业务的开展是企业网发展迅速的最主要原因。

从早期的企业网主要是简单的数据共享，简单数据库的共享到现在内部全方位的数据共享，从过去单一的企业到现在多个分支公司的全部互连，因而对网络的覆盖面要求越来越广。

这一要求最早还只局限于各分支企业内部，现在则已是整个企业、整个行业，甚至整个Internet的共同要求。

Inpresentnetworkdevelopmentsenterprisenetworkdevelopmentsisveryimportantenterpriseflydevelopmentbecausevariousdifferentbusinessdevelopmentsthatinenterprisenetworkinsideinearlierperiodenterprisenetworkisprimaryasimpledatashare.ButtodaytheinternalAll-directionsdatashares.Sincepastsingleenterpriseconnecttillnowwholeinternetconnect.Andnowiscommonrequestthatwholebusinessenterprise,wholeprofession,evenwholeInternet.

【关键词】网络;IP;VLAN;园区网

第1章企业网建设综述

1.1 项目建设目标

建设分层的交换式以太网络，对建成企业网络进行优化，使其得到充分的利用。

1.2 项目建设原则

1、先进性：

先进的设计思想、网络结构，标准化和技术成熟的软硬件产品。

2、实用性：

应充分考虑利用资源，能使用户最方便地实现各种功能。

3、开放性：

系统设计应采用开放技术、开放结构、开放系统组件和开放用户接口，以利于网络的维护、扩展升级及外界信息的沟通。

4、灵活性：

采用积木式模块组合和结构化设计，使系统配置灵活，满足企业逐步到位的建网原则，使网络具有强大的可增长性和强壮性。

5、发展性：

网络规划设计既要满足用户发展在配置上的预留，又能满足因技术发展需要而实现低成本扩展和升级的需求。

6、可靠性：

具有容错功能，管理、维护方便。

方案的设计、选型、安装、调试等各环节进行统一规划和分析，确保系统运行可靠。

1.3 基本建设描述

首先了解企业的具体需求，根据企业办公室PC机的多少来决定网络信息点数目，主干光纤的铺设也要考虑企业办公大楼和工厂车间的具体位置，要求在合

理的位置放置硬件设备，并通过网络铺设将企业中的每一个信息点连接到局域网，然后通过路由器，防火墙，连接到外网，外网地址采用电信提供的网络地址，企业内部采用私有IP。

第2章需求分析

2.1企业背景

该企业为小型有限责任公司，总占地面积为1000多平方米。

共有八个部门，每个部门据房间大小和公司需求计算前期不会超过255台工作站。

部门分别是财务部、人力资源部、技术支持部、市场部、售后服务部、产品部、客服部、设备部，此外有一个总经理办公室，一个副总经理办公室。

2.3计算机网络综合布线

计算机网络采用星型结构布线，要求所有网络的数据主干系统采用千兆光纤，接入层交换机到室内桌面采用五类非屏蔽双绞线。

2.3.1网络拓扑结构图

为了实现网络设备的统一，在本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。

本企业网设计方案主要由以下几部分组成：

交换模块、广域网接入模块、服务器模块，整个网络系统的拓扑结构图如下所示：

图2.1整个网络系统的拓扑结构图

2.3.2网络组建和设备选择

在上面的拓扑结构图中,企业有八个部门，两个经理办公室共十个主要的接入点，考虑在整个网络架构上采用先进的交换式以太网，系统架构分三层，分别为核心层、汇聚层和接入层，核心层实现提供整个网络的中心多层路由、数据快速交换功能；汇聚层交换机必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此与接入层交换机相比，汇聚层交换机需要更高的性能，更少的接口和更高的交换速率；接入层交换机的作用是提供足够多的端口，将终端联入INTERNET。

根据综合布线的科学性、可扩展性和经济性，将中心交换机放置在企业办公大楼1层的配线间，路由器选用CISCO3825，带内置防火墙，用于对外来的数据进行过滤，限制本地用户登陆非法网站等等。

核心层交换机采用CISCOWS-C3750G-24TS-S，这是一款适用于企业LAN接入或分支机构环境的理想交换机，将10/100/1000和PoE配置相结合，提供了最高生产率和投资保护，并支持新应用，如IP电话、无线接入、视频监视、建筑物管理系统和远程视频售货亭等的部署。

客户可在整个网络范围中部署智能服务－如高级服务质量（QoS）、限速、访问控制列表（ACL）、组播管理和高性能IP路由，且同时保持LAN交换的简洁性。

办公大楼放置两台汇聚层层交换机，选用CISCOWS-ACCESSLAYER2950T-24，配线间放置2台接入层交换机，选用CISCOWS-ACCESSLAYER2950T-24。

路由器和交换机、交换机和交换机之间的都使用多模光纤连接，接入层交换机到PC之间使用5类双绞线连接，这样就可以保证千兆主干网，百兆到桌面的设计要求。

从上面的拓扑图中我们可以列出下面的设备选型列表：

表2.1设备选型列表

设备名称

型号

单价

数量

总价

说明

路由器

CISCO3825

47000

1

47000

内置防火墙，用于对外来的数据进行过滤，限制本地用户登陆非法网站

交

换

机

核心层

CISCOWS-C3750G-24TS-S

36762

1

36762

内存：

128MB传输速率10Mbps/100Mbps/1000Mbps模块化插槽数4

汇聚层

CISCOWS-C3750V2-24PS-S

11350

2

22700

产品内存：

128MB传输速率：

10/100/1000Mbps

接入层

CISCOWS-ACCESSLAYER2950-24

4000

2

8000

2410/100portsw/210/100/1000BASE-Tports,EnhancedImage

Switch/hub

视每个部门工作站多少的情况而定

模块

GLC-FE-100FX

160

1个

160

SFP光接口模块百兆2公里

CISCOGLC-LH-SM

160

9个

1440

1.25G10KMSFP-LX单模光纤模块

线

缆

光纤

迅驰4芯单模光缆

4/M

1000M

4000

波长1300损耗850/3.5温度-40-80湿度0

双绞线

五类UTP

400/卷

5

2000

第3章网络设备配置和管理

在整个企业网络的物理连接完成之后，接下来进一步的工作是整个网络在物理连接之上的实现。

这个过程主要是从网络管理的有效性、安全性方面进行逻辑的划分。

实际上其主要内容是在可管理的交换机上，很好的实现IP地址分配、子网划分和VLAN的管理配置。

3.1划分子网

在一个大、中型网络里，VLAN的划分是必不可少的步骤之一。

一个单位在一个网络号下有大量的计算机时，并不便于管理，可以根据单位所属的部门或其地理分布位置等来划分子网，在本设计方案中是根据部门来划分子网的，划分子网也就分割了广播域。

划分子网的目的:

1.减少网络流量

2.提高网络性能

3.简化管理

4.易于扩大地理范围

在本企业网设计中，整个企业网的VLAN及IP编址方案如下表所示：

在下面我们需要注意的是：

192.168.0.0-192.168.255.254这样的IP地址是私有IP地址，它不能在公共网络中使用，但是为什么我们要这样做呢？

因为针对当前现状，IP地址紧缺，我们不可能也不应该为每一台工作站申请一个公有IP地址，这样不仅可以缓解IP地址不足的情况，而且也可以为企业建设一个企业网节约不少的开支，那这样且不是不能够访问INTERNET。

为了让这些私有IP地址能够在公共INTERNET使用，让使用这样IP地址的工作站能够访问INTERNET上的资源，我们必须对这样私有IP地址作NAT（networkaddresstranslation）即网络地址转换。

NAT的配置我将后面的论述中进行配置。

而对于经理办公室，由于我们有特定的要求，我将为其分配staticIP地址。

表3.1Ip编址方案

部门

IP网段

默认网关

Ip容量

Vlan1

192．168．1．0/24

192．168．1．254

254

财务部

192．168．2．0/24

192．168．2．254

254

人力资源部

192．168．3．0/24

192．168．3．254

254

售后服务部

192．168．4．0/24

192．168．4．254

254

客服部

192．168．5．0/24

192．168．5．254

254

技术支持部

192．168．6．0/24

192．168．6．254

254

产品部

192．168．7．0/24

192．168．7．254

254

设备部

192．168．8．0/24

192．168．8．254

254

市场部

192．168．9．0/24

192．168．9．254

254

服务器群VLAN

192．168．10．0/24

192．168．10．254

254

3.2划分vlan

划分VLAN的方法

什么是VLAN？

VLAN（VirtualLocalAreaNetwork）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。

一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。

VLAN的组建需要一定的条件做基础，VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。

当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备——要实现路由功能，既可采用路由器，也可采用三层交换机来完成。

从技术及成本两个层面考虑，选用支持VLAN的三层交换机比较适宜。

VLAN在逻辑上等价于广播域。

更具体的说，将VLAN类比成一组最终用户的集合。

这些用户可以处在不同的物理LAN上，但他们之间可以象在同一个LAN上那样自收通信而不受物理位置的限制。

网络的定义和划分与物理位置和物理连接是没有任何必然联系的。

VLAN划分的几点好处

a、有效的带宽利用—通过将网络分成小的广播域或子网，VLAN解决了在大型“平”网络中发现的扩展性问题，将所有的数据流，包括广播或多点广播，都别限制在子网中。

b、安全性—通过在VLAN间强迫进行第三层路由选择，VLAN提供了安全性。

如果配置了VLAN间通讯，可以使用路由器传统的安全和功能。

c、负载均衡多条通信—VLAN允许第三层路由选择协议智能决定到达目的地的最佳路径，当有多条到达目的地的路径时，还能够进行负载均衡。

d、对故障组建的隔离—减少网络故障的影响。

设置VLAN的常用方法

VLAN的划分可依据不同原则，一般有以下三种划分方法：

1、基于端口的VLAN划分

这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。

该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。

2、基于MAC地址的VLAN划分

MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且

固化在网卡上的。

MAC地址由12位16进制数表示，前8位为厂商标识，后4位为网卡标识。

网络管理员可按MAC地址把一些站点划分为一个逻辑子网。

3、基于路由的VLAN划分

路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。

该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。

本设计方案主要采用1、3种方式进行划分，将每个部门划分为一个VLAN，总经理室和行政部划分到一个VLAN，生产车间和生产部划分到一个VLAN，在汇聚层交换机CISCO3560上进行端口配置，进行VLAN划分。

本设计采用的是基于端口的VLAN划分，如下表：

表3.2Vlan划分表

VLAN号

VLAN名称

说明

VLAN1

——

管理VLAN

VLAN2

finance

财务部

VLAN3

Human_resource

人力资源部

VLAN4

After_sale_server

售后服务部

VLAN5

Customerservice

客服部

VLAN6

Technique_support

技术支持部

VLAN7

produce

产品部

VLAN8

equipment

设备部

VLAN9

MarketingDepartment

市场部

VLAN10

Server_group

服务器群VLAN

3.3接入层交换机配置

接入层交换机是为所有的终端用户提供一个接入点。

我们采用的是CISCOWS-ACCESSLAYER2950-24。

该交换机拥有24个10/100M的自适应快速以太网交端口，这里我们有两个接入层交换机。

分别命名为C1和ACCESSLAYER2，接下来我们将对接入层交换机进行配置。

进入交换机的配置界面（CLI）我们一般常用的有两种方法：

利用反转线直接和交换机的控制端口相连

远程登陆

我们主要进行如下一些配置：

1．设置交换机名称

Switch（config）#hostnameACCESSLAYER

ACCESSLAYER（config）#

2．设置交换机密码：

ACCESSLAYER（config）#enablesecretcisco

3．设置登陆虚拟终端

ACCESSLAYER（config）#linevty015

ACCESSLAYER（config-line）#login

ACCESSLAYER（config-line）#passwordcisco

4．设置虚拟终端超时时间

ACCESSLAYER（config）#linevty015

ACCESSLAYER（config-line）#exec-timeout530

5．设置控制台终端超时时间

ACCESSLAYER（config）#linecon0

ACCESSLAYER（config-line）#exec-timeout530

6．禁用IP地址解析特性

当我们向交换机输入一条错误的命令的时候，交换机就会将该信息广播给网络上的DNS服务器，并试图把它解析成IP地址。

ACCESSLAYER（config）#noipdomain-lookup

7．启用消息同步特性

为了防止我们向交换机输入的命令被交换机产生的信息打乱。

我们启用消息同步特性。

ACCESSLAYER（config）#loggingsynchronous

为了能够对交换机进行远程管理，必须给交换机设置一个管理用的IP地址。

这种情况下，实际上是将交换机看成和PC机一样的主机。

而每台交换机都有一个用来进行管理的默认VLAN即VLAN1，VLAN1也称为管理VLAN。

在VLAN及IP编址方案表中我们的管理VLAN的IP为192.168.1.0/24，这里为ACCESSLAYER的管理IP设置为192.168.1.1/24，具体配置如下命令：

ACCESSLAYER（config）#interfacevlan1

ACCESSLAYER（config-if）#ipaddress192.168.1.1255.255.255.0

ACCESSLAYER（config-if）#noshutdown

为了能让管理人员在不同的子网中管理此交换机，还应该设置默认网关，在这里为其设置成为192.168.1.254，命令如下：

ACCESSLAYER（config）#ipdefault-gateway192.168.1.254

将ACCESSLAYER设置成为VTP（vlantrunkingprotocol）的客户机，（VTP即vlan中断协议，使得vlan客户机可以从vlan服务机上获得vlan信息，这样就不必为每台交换机配置vlan，大大减轻了网络管理人员的工作负担，同时也减少了在不同交换机上输入命令时出错的机率，保证了网络的正常运行）命令如下：

ACCESSLAYER（config）#vtpmodeclient

接入层交换机端口分配

1．端口双工配置：

ACCESSLAYER（config）#interfacerangefastethernet0/1-24

ACCESSLAYER（config-if-range）#duplexfull

2．端口速度配置：

ACCESSLAYER（config）#interfacerangefastethernet0/1-24

ACCESSLAYER（config-if-range）#speed100

3．端口模式和端口所属VLAN的配置

在上面的拓扑结构图中我们很容易得出2~6端口属于VLAN2，7~12端口属于VLAN3，13~18端口属于VLAN4，19~22端口属于VLAN5，具体配置命令如下：

ACCESSLAYER（config）#vlan2namefinance/设置vlan名称

ACCESSLAYER（config）#vlan3nameHuman_resource

ACCESSLAYER（config）#vlan4nameAfter_MarketingDepartment_server

ACCESSLAYER（config）#vlan5nameCustomerservice

ACCESSLAYER（config）#interfacevlan2

ACCESSLAYER（config-if））#ipaddress192.168.2.254255.255.255.0/设置vlanip地址

ACCESSLAYER（config-if）#noshutdown

ACCESSLAYER（config-if）#exit

ACCESSLAYER（config）#interfacevlan3

ACCESSLAYER（config-if））#ipaddress192.168.3.254255.255.255.0

ACCESSLAYER（config-if）#noshutdown

ACCESSLAYER（config-if）#exit

ACCESSLAYER（config）#interfacevlan4

ACCESSLAYER（config-if））#ipaddress192.168.4.254255.255.255.0

ACCESSLAYER（config-if）#noshutdown

ACCESSLAYER（config-if）#exit

ACCESSLAYER（config）#interfacevlan5

ACCESSLAYER（config-if））#ipaddress192.168.5.254255.255.255.0

ACCESSLAYER（config-if）#noshutdown

端口分配

ACCESSLAYER（config）#interfacerangefastethernet0/1-22

ACCESSLAYER（config-if-range）#switchportmodeaccess/设置端口模式为access

ACCESSLAYER（config-if-range）#exit

ACCESSLAYER（config）#interfacerangefastethernet0/2-6

ACCESSLAYER（config-if-range）#switchportaccessvlan2/设置2-6端口属于vlan2

ACCESSLAYER（config）#interfacerangefastethernet0/7-12

ACCESSLAYER（config-if-range）#switchportaccessvlan3

ACCESSLAYER（config）#interfacerangefastethernet0/13-18

ACCESSLAYER（config-if-range）#switchportaccessvlan4

ACCESSLAYER（config）#interfacerangefastethernet0/19-22

ACCESSLAYER（config-if-range）#switchportaccessvlan5

4．快速端口和主干端口进行配置

ACCESSLAYER（config）interfacerangefastethernet0/1-22

ACCESSLAYER（config-if-range）#spanning-treeportfast

由于ACCESSLAYER是通过23和24号端口分别与汇聚层的交换机1和交换机2相连，所以把ACCESSLAYER的23和24号端口设置成为主干端口。

命令如下：

ACCESSLAYER（config）#interfacerangefastethernet0/23-24

ACCESSLAYER（config-if-range）#switchportmodetrunk

到此，对ACCESSLAYER的配置已基本上完成，接下来我们将对接入层的第二个交换机ACCESSLAYER2进行配置，其配置和ACCESSLAYER的配置大体上是一样的。

ACCESSLAYER2通过23和24号端口分别与汇聚层的Convergencelayer1和Convergencelay