1、网络规划设计方案目录第1节 校园网络总体设计概述 3第2节 网络需求分析 52.1网络基本情况 52.2网络建设任务与性能要求 6第3节 选择核心网络设备 63.1设计方案说明 63.2选择核心层交换机 7第4节 校园网络拓扑结构图设计 84.1总体设计原则与设备方法 84.2各区网络拓扑结构图 94.2.1 A区网络拓扑图 94.2.2 B区网络拓扑图 94.2.3 C区网络拓扑图 10第5节 配置命令 115.1 A校区配置命令 115.1.1核心层交换机的配置 115.1.2汇聚层交换机的配置 125.1.3防火墙ACL规则配置与应用 125.1.4边界路由的配置 145.1.5服务器群
2、接入交换机的配置 155.2 B校区的配置命令 165.2.1核心层交换机的配置(配置命令同A区的) 165.2.2汇聚层交换机的配置(配置命令同A区的) 165.3 C校区的配置命令 165.3.1核心层交换机的配置 165.3.2防火墙的配置 175.3.3边界路由的配置 175.3.4汇聚层交换机配置 18第6节 地址规划 196.1 A校区地址规划 196.2 B校区地址规划 206.3 C校区地址规划 216.4 校园网段地址规划 21第7节 公网地址使用规划 237.1 Chinanat公网地址使用规划 237.2 Cernet共网地址使用规划 24第8节 收获及体会 24第1节
3、校园网络总体设计概述校园网络是非常典型的综合网络实例。为了阐明主要问题,在本设计方案中对实际校园网的设计进行了适当的和必要的简化。同时,将重点放在网络的主干的设计上,主要是针对一些设备的配置步骤、配置命令、排查故障以及诊断命令和方法。其中包括三层加换机、路由器的配置,路由的添加,静态和动态路由的配置,还有NAT转换等,另外对于服务器的架设只作简单介绍,并且该试验中的防火墙全部有路由器来替代和配置。还有本设计全部是用思科设备来模拟实验的,并且是在思科模拟器上完成的,一些线路都采取简化的手段,具体内容参考有关参考书。在下面的拓扑图中,该校园有三个校区,称为A区、B区和C区。对于每个区域之间而言,都
4、是通过cisco3560-24核心交换机互联的,在每个区域中,每个楼层是由cisco3560-24汇聚层交换机连接核心层交换机,在汇聚层交换机上有连接两个2950T-24接入层交换机,最后在每个接入层交换机上接一个主机。如下为校园网络的总体拓扑图:第2节 网络需求分析2.1网络基本情况 某高校有3个校区,称为A区、B区、C区。A区和C区规模较大,B区规模较小。A区与B区光纤线路长度在30km左右,租用裸纤(指仅租用光纤线路,不租用两端的网络设备)专线实现这两个校区间的互联。A区与C区相距较远,约60km,因此不能采用光纤专线,而采用MPLS VPN实现A区与C区的互联。 A区和C区各设置一个中
5、心机房,但已A区为主。A区和C区的主要应用服务器放在各自校区的中心机房中,但校区间也你能互访这些服务器。 A区的服务器主要有Web服务器、邮件服务器、教务管理服务器、视频点播服务器、DNS服务器等共计约10多台服务器。Web服务器和邮件服务器要求同时接入电信ChinaNET网和教育网(Cernet)。 C区的服务器主要有教务管理服务器、电影服务器等。 A区使用的公网地址段为61.186.202.32,子网掩码为255.255.255.224,共32个IP地址;网关地址为61.186.202.33,子网掩码为255.255.255.252。 A区的教育网地址段为219.221.55.0/24,共
6、256个IP地址;网关地址为219.221.55.1,子网掩码为255.255.255.252。 C区实用的公网地址段为222.117.150.128,子网掩码为255.255.255.224,共32个IP地址;网关地址为222.177.150.129,子网掩码为255.255.255.252。2.2网络建设任务与性能要求 先要求组建这3个校园网络,事先3个校区间互联互通,并能访问因特网。网络要易于扩展和维护、性能和可靠性高、安全性好。 要求校园网采用万兆核心、千兆主干、百兆交换到桌面。A区与B区采用千兆光纤链路互联,A区与C区采用100Mb/s MOLS VPN实现互联。 A区因特网出口设置
7、2条,一条接入电信ChinaNET网,采用100Mb/s光纤专线接入;另一条接入教育科研网(Cernet),采用10Mb/s光纤专线接入。整个校园用户(3个校区)访问教育网资源时通过教育网出口访问。 C区设置一条因特网出口,采用100Mb/s光纤专线通过当地电信接入因特网。C校区用户访问因特网时,默认采用该条链路出去访问;访问教育网资源时,通过教育网资源时,通过A区的教育网出口访问。第3节 选择核心网络设备3.1设计方案说明 通常是先设计网络拓扑结构,然后再选择网络设备,此处先进行设备选型,再设计网络拓扑结构,以便在拓扑图中标注出设备型号。 3个校区的网络建设在实际中是有先后次序的,是在发展过
8、程中不断扩建的,此处是为了讲解和配置的方便,假设其网络是同时建设的。网络示例中所使用的设备型号为目前的主流设备,但不一定是最新的,对于以后新建网络,应选择符合时代的新型号。虽然设备型号和功能升级了,但组网的方法和配置策略是不会改变的,相关的配置命令也不会有太大的变化。 C区与A区的网络建设方法基本相同,为避免重复介绍,本书重点放在A区和B区网络的组建上。对于C区仅介绍到其核心层与A区的互联实现方法,即主要介绍两个远程局域网之间如何实现互联互通。 为便于同时介绍Cisco和华为的设备配置,网络设备同时选择了两个厂商的主流设备。对于二层交换机,由于数量众多,拓扑结构图中就不再画出。3.2选择核心层
9、交换机 考虑到整个校园网规模较大,用户主机数较多,核心层交换机采用华为万兆核心的路由交换机Quidway S8505,该交换机拥有5个功能板插槽和2个引擎插槽,背板带宽为750Gb/s,包转发率为180Mb/s,并支持10GE接口,具有很强的交换处理能力和可扩展性。 根据应用需要,配置一块拥有48个千兆以太网电口的功能板和一块拥有24口的千兆SFP光纤接口板,板上配置18个千兆多模光纤接口,用于连接到各幢楼的汇聚层交换机。为提高交换机的可靠性,配置双引擎。S8505的配置及外观如图2.16所示。 光纤接口不够用时,可使用千兆的电口。使用内网地址的服务器群可使用部分千兆电口。使用共网地址的DMZ
10、区服务器群使用Cisco Catalyst 3750G-24T千兆交换机实现网络的千兆接入。另使用一台Cisco Catalyst 3750G-24T作为千兆防火墙设备,保护DMZ区中的服务器群。 各幢楼的汇聚层交换机采用华为的S3528P或Cisco 3550-24或3560。B区的规模不大,核心层交换机采用Cisco 4506交换机。3.3选择核心路由器 由于网络用户数较多,网络出口路由器也采用高端的华为Quidway NE40-4交换路由器,并配置一块NAT转换板,以提高NAT转换的速度和负荷承受能力。 网络的因特网出口有2个,与核心层交换机互联需要一个接口,与防火墙设备互联需要一个接口
11、;教育网的招生录取系统需要直连教育网,否则招生录取系统运行有问题,因此,单独使用一个接口连接招生录取用机,故路由器的以太网接口至少需要5个;考虑到扩展性,增配2个SFP光纤接口,标准有5个以太网电口。NE40-4交换路由器接口配置及外观如图2.17所示。第4节 校园网络拓扑结构图设计4.1总体设计原则与设备方法 A区中的机房设置在综合楼的3楼,该幢楼的汇聚层交换机放在中心机房,由于该幢楼的楼层较高,分别在1楼和6楼的线井各设置1个机柜,放置接入层交换机。其余楼宇的配线间设置在各幢楼的中间楼层,汇聚层交换机和接入层交换机军方旨在配线架的机柜中,汇聚层交换机采用多模光纤以千兆链路上连到核心层交换机
12、的SFP光纤接口。4.2各区网络拓扑结构图4.2.1 A区网络拓扑图4.2.2 B区网络拓扑图4.2.3 C区网络拓扑图第5节 配置命令5.1 A校区配置命令5.1.1核心层交换机的配置Switchenable Switch#conf terminal Switch(config)#ip routingSwitch(config)#int range fa0/1 - 14Switch(config-if-range)#no switchport Switch(config-if-range)#exitSwitch(config)#int fa0/1Switch(config-if)#ip ad
13、d 172.16.1.38 255.255.255.252Switch(config-if)#no shutdown 其它端口的地址配置同上路由配置:Switch(config)#ip route 192.168.46.0 255.255.254.0 172.16.1.37Switch(config)#ip route 192.168.44.0 255.255.254.0 172.16.1.33Switch(config)#ip route 192.168.42.0 255.255.254.0 172.16.1.29Switch(config)#ip route 192.168.40.0 25
14、5.255.254.0 172.16.1.25Switch(config)#ip route 192.168.38.0 255.255.254.0 172.16.1.21Switch(config)#ip route 192.168.36.0 255.255.254.0 172.16.1.17Switch(config)#ip route 192.168.28.0 255.255.254.0 172.16.1.13Switch(config)#ip route 192.168.20.0 255.255.254.0 172.16.1.9Switch(config)#ip route 192.16
15、8.18.0 255.255.254.0 172.16.1.5Switch(config)#ip route 192.168.16.0 255.255.254.0 172.16.1.1Switch(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.415.1.2汇聚层交换机的配置Switchenable Switch#conf terminal Switch(config)#ip routingSwitch(config)#int range fa0/1 - 3Switch(config-if-range)#no switchport Switch(confi
16、g-if-range)#exitSwitch(config)#int fa0/1Switch(config-if)#ip add 172.16.1.37 255.255.255.252Switch(config-if)#no shutdown 其它端口的配置同上路由配置:Switch(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.38本校区的其它汇聚层交换机的配置同上5.1.3防火墙ACL规则配置与应用1定义和应用WAN口的ACL规则的配置Switch(config)#ip access-list extended from-centerSwitch(co
17、nfig-ext-nacl)#permit tcp any host 219.221.55.1 eq wwwSwitch(config-ext-nacl)#permit tcp any host 219.221.55.1 eq 443Switch(config-ext-nacl)#permit tcp any host 219.221.55.1 eq range 20 21Switch(config-ext-nacl)#permit tcp any host 219.221.55.1Switch(config)#ip access-list extended from-chinanetSwit
18、ch(config-ext-nacl)#permit tcp any host 61.186.202.33 eq wwwSwitch(config-ext-nacl)#permit tcp any host 61.186.202.33 eq 443Switch(config-ext-nacl)#permit tcp any host61.186.202.33 range 20 21Switch(config-ext-nacl)#permit tcp any host 61.186.202.33 Switch(config-ext-nacl)#deny ip any anySwitch(conf
19、ig-ext-nacl)#exitSwitch(config)#int fa1/0Switch(config-if)#ip access-group extended from-center outSwitch(config-if)#int fa1/1witch(config-if)#ip access-group extended from-chinanet out2定义和应用LAN口的ACL规则的配置具体配置同上3定义和应用DMZ口的ACL规则的配置具体配置同上路由配置:Switch(config)#router rip Switch(config-router)version 2Swit
20、ch(config-router)network 172.16.2.0Switch(config-router)network 172.16.2.4Switch(config-router)network 172.16.2.85.1.4边界路由的配置Routerenable Router#conf terminal Router(config)#int fa0/0Router(config-if)#ip add 172.16.1.49 255.255.255.252Router(config-if)#ip nat insideRouter(config-if)#no shutdownFa0/1
21、端口配置同上Router(config)#int fa1/0Router(config-if)#ip add 219.221.55.2 255.255.255.252Router(config-if)#ip nat outsideRouter(config-if)#no shutdownFa1/1端口配置同上路由配置:Router(config)#router ripRouter(config-router)#version 2Router(config-router)#network 172.16.1.48Router(config-router)#network 172.16.2.4Rou
22、ter(config-router)#network 219.221.55.0Router(config-router)#network 61.186.202.32NAT配置:Router(config)#access-list 1 permit anyRouter(config)#ip nat inside source list 1 int fa1/0 overloadRouter(config)#access-list 2 permit anyRouter(config)#ip nat inside source list 2 int fa1/1 overload5.1.5服务器群接入交
23、换机的配置Switchenable Switch#conf terminal Switch(config)#ip routingSwitch(config)#int range fa0/1 - 3Switch(config-if-range)#no switchport Switch(config-if-range)#exitSwitch(config)#int fa0/1Switch(config-if)#ip add 172.16.2.10 255.255.255.252Switch(config-if)#no shutdown其他端口的配置同上路由配置:Switch(config)#ro
24、uter rip Switch(config-router)version 2Switch(config-router)network 172.16.2.8Switch(config-router)network 192.168.62.0Switch(config-router)network 192.168.63.05.2 B校区的配置命令5.2.1核心层交换机的配置(配置命令同A区的)5.2.2汇聚层交换机的配置(配置命令同A区的)5.3 C校区的配置命令5.3.1核心层交换机的配置Switchenable Switch#conf terminal Switch(config)#ip ro
25、utingSwitch(config)#int range fa0/1 - 3Switch(config-if-range)#no switchport Switch(config-if-range)#exitSwitch(config)#int fa0/1Switch(config-if)#ip add 172.16.5.2 255.255.255.252Switch(config-if)#no shutdown 其它端口的地址配置同上路由配置:Switch(config)#router rip Switch(config-router)version 2Switch(config-rout
26、er)network 172.16.5.0Switch(config-router)network 172.16.4.4Switch(config-router)network 172.16.4.85.3.2防火墙的配置配置命令同A校区5.3.3边界路由的配置Routerenable Router#conf terminal Router(config)#int fa0/0Router(config-if)#ip add 222.177.150.130 255.255.255.252Router(config-if)#ip nat outsideRouter(config-if)#no shu
27、tdownRouter(config)#int fa0/1Router(config-if)#ip add 172.16.4.5Router(config-if)#ip nat intsideRouter(config-if)#no shutdownFa1/1端口的配置同上NAT配置:Router(config)#access-list 1 permit anyRouter(config)#ip nat inside source list 1 int fa0/0 overload路由配置Router(config)#router ripRouter(config-router)#versio
28、n 2Router(config-router)#network 172.16.4.0Router(config-router)#network 172.16.4.4Router(config-router)#network 222.177.150.1285.3.4汇聚层交换机配置Switchenable Switch#conf terminal Switch(config)#ip routingSwitch(config)#int range fa0/1 - 3Switch(config-if-range)#no switchport Switch(config-if-range)#exit
29、Switch(config)#int fa0/1Switch(config-if)#ip add 172.16.4.14 255.255.255.252Switch(config-if)#no shutdown 其它端口配置同上路由配置:Switch(config)#router rip Switch(config-router)version 2Switch(config-router)network 172.16.4.12Switch(config-router)network 192.168.64.0Switch(config-router)network 192.168.65.0第6节
30、 地址规划6.1 A校区地址规划楼宇/校区汇聚层交换机型号互联接口汇聚层接口ip地址核心层接口ip地址核心层交换机互联接口学生宿舍5Cisco3560F0/1172.16.1.37/30172.16.1.38/30F0/1学生宿舍4Cisco3560F0/2172.16.1.33/30172.16.1.34/30F0/2学生宿舍3Cisco3560F0/3172.16.1.29/30172.16.1.30/30F0/3学生宿舍2Cisco3560F0/4172.16.1.25/30172.16.1.26/30F0/4学生宿舍1Cisco3560F0/5172.16.1.21/30172.16.
31、1.22/30F0/5A区教工宿舍Cisco3560F0/6172.16.1.17/30172.16.1.18/30F0/6图书馆Cisco3560F0/7172.16.1.13/30172.16.1.14/30F0/7实训楼Cisco3560F0/8172.16.1.9/30172.16.1.10/30F0/8教学楼Cisco3560F0/9172.16.1.5/30172.16.1.6/30F0/9综合楼Cisco3560F0/10172.16.1.1/30172.16.1.2/30F0/10路由器Route ptFa0/0172.16.1.49/30172.16.1.50/30F0/13防火墙Cisco3560F0/12172.
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2
升级会员 