网络规划设计方案.docx
《网络规划设计方案.docx》由会员分享,可在线阅读,更多相关《网络规划设计方案.docx(21页珍藏版)》请在冰点文库上搜索。
网络规划设计方案
目录
第1节校园网络总体设计概述3
第2节网络需求分析5
2.1网络基本情况5
2.2网络建设任务与性能要求6
第3节选择核心网络设备6
3.1设计方案说明6
3.2选择核心层交换机7
第4节校园网络拓扑结构图设计8
4.1总体设计原则与设备方法8
4.2各区网络拓扑结构图9
4.2.1A区网络拓扑图9
4.2.2B区网络拓扑图9
4.2.3C区网络拓扑图10
第5节配置命令11
5.1A校区配置命令11
5.1.1核心层交换机的配置11
5.1.2汇聚层交换机的配置12
5.1.3防火墙ACL规则配置与应用12
5.1.4边界路由的配置14
5.1.5服务器群接入交换机的配置15
5.2B校区的配置命令16
5.2.1核心层交换机的配置(配置命令同A区的)16
5.2.2汇聚层交换机的配置(配置命令同A区的)16
5.3C校区的配置命令16
5.3.1核心层交换机的配置16
5.3.2防火墙的配置17
5.3.3边界路由的配置17
5.3.4汇聚层交换机配置18
第6节地址规划19
6.1A校区地址规划19
6.2B校区地址规划20
6.3C校区地址规划21
6.4校园网段地址规划21
第7节公网地址使用规划23
7.1Chinanat公网地址使用规划23
7.2Cernet共网地址使用规划24
第8节收获及体会24
第1节校园网络总体设计概述
校园网络是非常典型的综合网络实例。
为了阐明主要问题,在本设计方案中对实际校园网的设计进行了适当的和必要的简化。
同时,将重点放在网络的主干的设计上,主要是针对一些设备的配置步骤、配置命令、排查故障以及诊断命令和方法。
其中包括三层加换机、路由器的配置,路由的添加,静态和动态路由的配置,还有NAT转换等,另外对于服务器的架设只作简单介绍,并且该试验中的防火墙全部有路由器来替代和配置。
还有本设计全部是用思科设备来模拟实验的,并且是在思科模拟器上完成的,一些线路都采取简化的手段,具体内容参考有关参考书。
在下面的拓扑图中,该校园有三个校区,称为A区、B区和C区。
对于每个区域之间而言,都是通过cisco3560-24核心交换机互联的,在每个区域中,每个楼层是由cisco3560-24汇聚层交换机连接核心层交换机,在汇聚层交换机上有连接两个2950T-24接入层交换机,最后在每个接入层交换机上接一个主机。
如下为校园网络的总体拓扑图:
第2节网络需求分析
2.1网络基本情况
某高校有3个校区,称为A区、B区、C区。
A区和C区规模较大,B区规模较小。
A区与B区光纤线路长度在30km左右,租用裸纤(指仅租用光纤线路,不租用两端的网络设备)专线实现这两个校区间的互联。
A区与C区相距较远,约60km,因此不能采用光纤专线,而采用MPLSVPN实现A区与C区的互联。
A区和C区各设置一个中心机房,但已A区为主。
A区和C区的主要应用服务器放在各自校区的中心机房中,但校区间也你能互访这些服务器。
A区的服务器主要有Web服务器、邮件服务器、教务管理服务器、视频点播服务器、DNS服务器等
共计约10多台服务器。
Web服务器和邮件服务器要求同时接入电信ChinaNET网和教育网(Cernet)。
C区的服务器主要有教务管理服务器、电影服务器等。
A区使用的公网地址段为61.186.202.32,子网掩码为255.255.255.224,共32个IP地址;网关地址为61.186.202.33,子网掩码为255.255.255.252。
A区的教育网地址段为219.221.55.0/24,共256个IP地址;网关地址为219.221.55.1,子网掩码为255.255.255.252。
C区实用的公网地址段为222.117.150.128,子网掩码为255.255.255.224,共32个IP地址;网关地址为222.177.150.129,子网掩码为255.255.255.252。
2.2网络建设任务与性能要求
先要求组建这3个校园网络,事先3个校区间互联互通,并能访问因特网。
网络要易于扩展和维护、性能和可靠性高、安全性好。
要求校园网采用万兆核心、千兆主干、百兆交换到桌面。
A区与B区采用千兆光纤链路互联,A区与C区采用100Mb/sMOLSVPN实现互联。
A区因特网出口设置2条,一条接入电信ChinaNET网,采用100Mb/s光纤专线接入;另一条接入教育科研网(Cernet),采用10Mb/s光纤专线接入。
整个校园用户(3个校区)访问教育网资源时通过教育网出口访问。
C区设置一条因特网出口,采用100Mb/s光纤专线通过当地电信接入因特网。
C校区用户访问因特网时,默认采用该条链路出去访问;访问教育网资源时,通过教育网资源时,通过A区的教育网出口访问。
第3节选择核心网络设备
3.1设计方案说明
通常是先设计网络拓扑结构,然后再选择网络设备,此处先进行设备选型,再设计网络拓扑结构,以便在拓扑图中标注出设备型号。
3个校区的网络建设在实际中是有先后次序的,是在发展过程中不断扩建的,此处是为了讲解和配置的方便,假设其网络是同时建设的。
网络示例中所使用的设备型号为目前的主流设备,但不一定是最新的,对于以后新建网络,应选择符合时代的新型号。
虽然设备型号和功能升级了,但组网的方法和配置策略是不会改变的,相关的配置命令也不会有太大的变化。
C区与A区的网络建设方法基本相同,为避免重复介绍,本书重点放在A区和B区网络的组建上。
对于C区仅介绍到其核心层与A区的互联实现方法,即主要介绍两个远程局域网之间如何实现互联互通。
为便于同时介绍Cisco和华为的设备配置,网络设备同时选择了两个厂商的主流设备。
对于二层交换机,由于数量众多,拓扑结构图中就不再画出。
3.2选择核心层交换机
考虑到整个校园网规模较大,用户主机数较多,核心层交换机采用华为万兆核心的路由交换机QuidwayS8505,该交换机拥有5个功能板插槽和2个引擎插槽,背板带宽为750Gb/s,包转发率为180Mb/s,并支持10GE接口,具有很强的交换处理能力和可扩展性。
根据应用需要,配置一块拥有48个千兆以太网电口的功能板和一块拥有24口的千兆SFP光纤接口板,板上配置18个千兆多模光纤接口,用于连接到各幢楼的汇聚层交换机。
为提高交换机的可靠性,配置双引擎。
S8505的配置及外观如图2.16所示。
光纤接口不够用时,可使用千兆的电口。
使用内网地址的服务器群可使用部分千兆电口。
使用共网地址的DMZ区服务器群使用CiscoCatalyst3750G-24T千兆交换机实现网络的千兆接入。
另使用一台CiscoCatalyst3750G-24T作为千兆防火墙设备,保护DMZ区中的服务器群。
各幢楼的汇聚层交换机采用华为的S3528P或Cisco3550-24或3560。
B区的规模不大,核心层交换机采用Cisco4506交换机。
3.3选择核心路由器
由于网络用户数较多,网络出口路由器也采用高端的华为QuidwayNE40-4交换路由器,并配置一块NAT转换板,以提高NAT转换的速度和负荷承受能力。
网络的因特网出口有2个,与核心层交换机互联需要一个接口,与防火墙设备互联需要一个接口;教育网的招生录取系统需要直连教育网,否则招生录取系统运行有问题,因此,单独使用一个接口连接招生录取用机,故路由器的以太网接口至少需要5个;考虑到扩展性,增配2个SFP光纤接口,标准有5个以太网电口。
NE40-4交换路由器接口配置及外观如图2.17所示。
第4节校园网络拓扑结构图设计
4.1总体设计原则与设备方法
A区中的机房设置在综合楼的3楼,该幢楼的汇聚层交换机放在中心机房,由于该幢楼的楼层较高,分别在1楼和6楼的线井各设置1个机柜,放置接入层交换机。
其余楼宇的配线间设置在各幢楼的中间楼层,汇聚层交换机和接入层交换机军方旨在配线架的机柜中,汇聚层交换机采用多模光纤以千兆链路上连到核心层交换机的SFP光纤接口。
4.2各区网络拓扑结构图
4.2.1A区网络拓扑图
4.2.2B区网络拓扑图
4.2.3C区网络拓扑图
第5节配置命令
5.1A校区配置命令
5.1.1核心层交换机的配置
Switch>enable
Switch#confterminal
Switch(config)#iprouting
Switch(config)#intrangefa0/1-14
Switch(config-if-range)#noswitchport
Switch(config-if-range)#exit
Switch(config)#intfa0/1
Switch(config-if)#ipadd172.16.1.38255.255.255.252
Switch(config-if)#noshutdown
其它端口的地址配置同上
路由配置:
Switch(config)#iproute192.168.46.0255.255.254.0172.16.1.37
Switch(config)#iproute192.168.44.0255.255.254.0172.16.1.33
Switch(config)#iproute192.168.42.0255.255.254.0172.16.1.29
Switch(config)#iproute192.168.40.0255.255.254.0172.16.1.25
Switch(config)#iproute192.168.38.0255.255.254.0172.16.1.21
Switch(config)#iproute192.168.36.0255.255.254.0172.16.1.17
Switch(config)#iproute192.168.28.0255.255.254.0172.16.1.13
Switch(config)#iproute192.168.20.0255.255.254.0172.16.1.9
Switch(config)#iproute192.168.18.0255.255.254.0172.16.1.5
Switch(config)#iproute192.168.16.0255.255.254.0172.16.1.1
Switch(config)#iproute0.0.0.00.0.0.0172.16.1.41
5.1.2汇聚层交换机的配置
Switch>enable
Switch#confterminal
Switch(config)#iprouting
Switch(config)#intrangefa0/1-3
Switch(config-if-range)#noswitchport
Switch(config-if-range)#exit
Switch(config)#intfa0/1
Switch(config-if)#ipadd172.16.1.37255.255.255.252
Switch(config-if)#noshutdown
其它端口的配置同上
路由配置:
Switch(config)#iproute0.0.0.00.0.0.0172.16.1.38
本校区的其它汇聚层交换机的配置同上
5.1.3防火墙ACL规则配置与应用
1>定义和应用WAN口的ACL规则的配置
Switch(config)#ipaccess-listextendedfrom-center
Switch(config-ext-nacl)#permittcpanyhost219.221.55.1eqwww
Switch(config-ext-nacl)#permittcpanyhost219.221.55.1eq443
Switch(config-ext-nacl)#permittcpanyhost219.221.55.1eqrange2021
Switch(config-ext-nacl)#permittcpanyhost219.221.55.1
Switch(config)#ipaccess-listextendedfrom-chinanet
Switch(config-ext-nacl)#permittcpanyhost61.186.202.33eqwww
Switch(config-ext-nacl)#permittcpanyhost61.186.202.33eq443
Switch(config-ext-nacl)#permittcpanyhost61.186.202.33range2021
Switch(config-ext-nacl)#permittcpanyhost61.186.202.33Switch(config-ext-nacl)#denyipanyany
Switch(config-ext-nacl)#exit
Switch(config)#intfa1/0
Switch(config-if)#ipaccess-groupextendedfrom-centerout
Switch(config-if)#intfa1/1
witch(config-if)#ipaccess-groupextendedfrom-chinanetout
2>定义和应用LAN口的ACL规则的配置
具体配置同上
3>定义和应用DMZ口的ACL规则的配置
具体配置同上
路由配置:
Switch(config)#routerrip
Switch(config-router)version2
Switch(config-router)network172.16.2.0
Switch(config-router)network172.16.2.4
Switch(config-router)network172.16.2.8
5.1.4边界路由的配置
Router>enable
Router#confterminal
Router(config)#intfa0/0
Router(config-if)#ipadd172.16.1.49255.255.255.252
Router(config-if)#ipnatinside
Router(config-if)#noshutdown
Fa0/1端口配置同上
Router(config)#intfa1/0
Router(config-if)#ipadd219.221.55.2255.255.255.252
Router(config-if)#ipnatoutside
Router(config-if)#noshutdown
Fa1/1端口配置同上
路由配置:
Router(config)#routerrip
Router(config-router)#version2
Router(config-router)#network172.16.1.48
Router(config-router)#network172.16.2.4
Router(config-router)#network219.221.55.0
Router(config-router)#network61.186.202.32
NAT配置:
Router(config)#access-list1permitany
Router(config)#ipnatinsidesourcelist1intfa1/0overload
Router(config)#access-list2permitany
Router(config)#ipnatinsidesourcelist2intfa1/1overload
5.1.5服务器群接入交换机的配置
Switch>enable
Switch#confterminal
Switch(config)#iprouting
Switch(config)#intrangefa0/1-3
Switch(config-if-range)#noswitchport
Switch(config-if-range)#exit
Switch(config)#intfa0/1
Switch(config-if)#ipadd172.16.2.10255.255.255.252
Switch(config-if)#noshutdown
其他端口的配置同上
路由配置:
Switch(config)#routerrip
Switch(config-router)version2
Switch(config-router)network172.16.2.8
Switch(config-router)network192.168.62.0
Switch(config-router)network192.168.63.0
5.2B校区的配置命令
5.2.1核心层交换机的配置(配置命令同A区的)
5.2.2汇聚层交换机的配置(配置命令同A区的)
5.3C校区的配置命令
5.3.1核心层交换机的配置
Switch>enable
Switch#confterminal
Switch(config)#iprouting
Switch(config)#intrangefa0/1-3
Switch(config-if-range)#noswitchport
Switch(config-if-range)#exit
Switch(config)#intfa0/1
Switch(config-if)#ipadd172.16.5.2255.255.255.252
Switch(config-if)#noshutdown
其它端口的地址配置同上
路由配置:
Switch(config)#routerrip
Switch(config-router)version2
Switch(config-router)network172.16.5.0
Switch(config-router)network172.16.4.4
Switch(config-router)network172.16.4.8
5.3.2防火墙的配置
配置命令同A校区
5.3.3边界路由的配置
Router>enable
Router#confterminal
Router(config)#intfa0/0
Router(config-if)#ipadd222.177.150.130255.255.255.252
Router(config-if)#ipnatoutside
Router(config-if)#noshutdown
Router(config)#intfa0/1
Router(config-if)#ipadd172.16.4.5
Router(config-if)#ipnatintside
Router(config-if)#noshutdown
Fa1/1端口的配置同上
NAT配置:
Router(config)#access-list1permitany
Router(config)#ipnatinsidesourcelist1intfa0/0overload
路由配置
Router(config)#routerrip
Router(config-router)#version2
Router(config-router)#network172.16.4.0
Router(config-router)#network172.16.4.4
Router(config-router)#network222.177.150.128
5.3.4汇聚层交换机配置
Switch>enable
Switch#confterminal
Switch(config)#iprouting
Switch(config)#intrangefa0/1-3
Switch(config-if-range)#noswitchport
Switch(config-if-range)#exit
Switch(config)#intfa0/1
Switch(config-if)#ipadd172.16.4.14255.255.255.252
Switch(config-if)#noshutdown
其它端口配置同上
路由配置:
Switch(config)#routerrip
Switch(config-router)version2
Switch(config-router)network172.16.4.12
Switch(config-router)network192.168.64.0
Switch(config-router)network192.168.65.0
第6节地址规划
6.1A校区地址规划
楼宇/校区
汇聚层交换机型号
互联接口
汇聚层接口ip地址
核心层接口ip地址
核心层交换机互联接口
学生宿舍5
Cisco3560
F0/1
172.16.1.37/30
172.16.1.38/30
F0/1
学生宿舍4
Cisco3560
F0/2
172.16.1.33/30
172.16.1.34/30
F0/2
学生宿舍3
Cisco3560
F0/3
172.16.1.29/30
172.16.1.30/30
F0/3
学生宿舍2
Cisco3560
F0/4
172.16.1.25/30
172.16.1.26/30
F0/4
学生宿舍1
Cisco3560
F0/5
172.16.1.21/30
172.16.1.22/30
F0/5
A区教工宿舍
Cisco3560
F0/6
172.16.1.17/30
172.16.1.18/30
F0/6
图书馆
Cisco3560
F0/7
172.16.1.13/30
172.16.1.14/30
F0/7
实训楼
Cisco3560
F0/8
172.16.1.9/30
172.16.1.10/30
F0/8
教学楼
Cisco3560
F0/9
172.16.1.5/30
172.16.1.6/30
F0/9
综合楼
Cisco3560
F0/10
172.16.1.1/30
172.16.1.2/30
F0/10
路由器
Routept
Fa0/0
172.16.1.49/30
172.16.1.50/30
F0/13
防火墙
Cisco3560
F0/12
172.
升级会员 