某企業(yè)網(wǎng)絡(luò)系統(tǒng)規(guī)劃與設(shè)計(jì)

某企業(yè)網(wǎng)絡(luò)系統(tǒng)規(guī)劃與設(shè)計(jì)某企業(yè)網(wǎng)絡(luò)系統(tǒng)規(guī)劃與設(shè)計(jì)某企業(yè)網(wǎng)絡(luò)系統(tǒng)規(guī)劃與設(shè)計(jì)某企業(yè)網(wǎng)絡(luò)系統(tǒng)規(guī)劃與設(shè)計(jì)編制僅供參考審核批準(zhǔn)生效日期地址：電話：傳真:郵編:某企業(yè)網(wǎng)絡(luò)系統(tǒng)規(guī)劃與設(shè)計(jì)

目錄一、 需求分析 31、 背景 32、 設(shè)計(jì)原則 3二、 總拓?fù)?6三、 總體設(shè)計(jì)思路 6四、 路由規(guī)劃 7五、 Ip地址及vlan規(guī)劃 7六、 關(guān)鍵技術(shù)分析 8七、 設(shè)備選型 91. 選型原則 92. 設(shè)備清單及報(bào)價 9八、 配置命令 101. 在接入層交換機(jī)下端口配置端口安全 102. 接入層與分布層之間相連的鏈路配置trunk 103. 接入層與分布層交換機(jī)配置vtp 104. 在分布層交換機(jī)創(chuàng)建vlan 105. 將接入層上端口劃分vlan 106. 將交換機(jī)的鏈路進(jìn)行捆綁 117. VRRP配置 118. 配置ospf協(xié)議 119. 防火墻上的nat及下放默認(rèn)路由 12

需求分析背景某企業(yè)，考慮了將來，大約2000用戶，基本均勻分布于四棟樓。每棟樓約4層，人員均勻分布。服務(wù)器10臺集中于機(jī)房。用戶無大數(shù)據(jù)量應(yīng)用?，F(xiàn)需要組建局域網(wǎng)，要求網(wǎng)絡(luò)保證一定穩(wěn)定性，網(wǎng)絡(luò)主干中斷最多為1分鐘。設(shè)計(jì)原則多業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)方案以實(shí)現(xiàn)以上功能為基本要求，在設(shè)計(jì)上力求做到既要采用國際上先進(jìn)的技術(shù)，又要保證系統(tǒng)的安全可靠性和實(shí)用性。具體來講，其設(shè)計(jì)遵循以下原則：可靠性：本系統(tǒng)是7x24小時連續(xù)運(yùn)行系統(tǒng)，從硬件和軟件兩方面來保證系統(tǒng)的高可靠性。硬件可靠性系統(tǒng)的主要部件采用冗余結(jié)構(gòu)，如：傳輸方式的備份，提供備份組網(wǎng)結(jié)構(gòu)；主要的計(jì)算機(jī)設(shè)備（如數(shù)據(jù)庫服務(wù)器），配備不間斷電源等。軟件可靠性充分考慮異常情況的處理，具有強(qiáng)的容錯能力、錯誤恢復(fù)能力、錯誤記錄及預(yù)警能力并給用戶以提示；并具有進(jìn)程監(jiān)控管理功能，保證各進(jìn)程的可靠運(yùn)行數(shù)據(jù)庫系統(tǒng)應(yīng)。網(wǎng)絡(luò)結(jié)構(gòu)穩(wěn)定性當(dāng)增加/擴(kuò)充應(yīng)用子系統(tǒng)時，不影響網(wǎng)絡(luò)的整體結(jié)構(gòu)以及整體性能，對關(guān)鍵的網(wǎng)絡(luò)連接采用主備方式，已保證數(shù)據(jù)的傳輸?shù)目煽啃?。先進(jìn)性：網(wǎng)絡(luò)技術(shù)應(yīng)為當(dāng)期國際同業(yè)中先進(jìn)的，并能支持未來網(wǎng)絡(luò)技術(shù)的高性能需求，并且在業(yè)界表現(xiàn)出較高的網(wǎng)絡(luò)性能；實(shí)用性：整個網(wǎng)絡(luò)系統(tǒng)要按照實(shí)用、好用的原則，使網(wǎng)絡(luò)具有較高的實(shí)用性；時效性：網(wǎng)絡(luò)要保證各類業(yè)務(wù)數(shù)據(jù)流的及時傳輸，網(wǎng)絡(luò)時效性要強(qiáng)，網(wǎng)絡(luò)延時要小，確證業(yè)務(wù)交易的實(shí)時高效完成。完整性：網(wǎng)絡(luò)系統(tǒng)應(yīng)實(shí)現(xiàn)端到端的，能整合數(shù)據(jù)、語音和圖象的多業(yè)務(wù)應(yīng)用，需要在全網(wǎng)范圍統(tǒng)一的實(shí)施安全策略、QoS策略、流量管理策略和系統(tǒng)管理策略的完整的一體化網(wǎng)絡(luò)；可實(shí)施性：整個網(wǎng)絡(luò)解決方案的實(shí)施要便于實(shí)際的實(shí)施，并在實(shí)施過程中要保證現(xiàn)有網(wǎng)絡(luò)和切換的完整性和一致性，確保實(shí)施工作的正常、順利。可擴(kuò)展性：隨著技術(shù)不斷發(fā)展，新的標(biāo)準(zhǔn)和功能不斷增加，網(wǎng)絡(luò)設(shè)備必須可以通過網(wǎng)絡(luò)進(jìn)行升級，以提供更先進(jìn)、更多的功能。在網(wǎng)絡(luò)建成后，隨著應(yīng)用和用戶的增加，核心骨干網(wǎng)絡(luò)設(shè)備的交換能力和容量必須能作出線性的增長。設(shè)備應(yīng)能提供高端口密度、模塊化的設(shè)計(jì)以及多種類接口、技術(shù)的選擇，以方便未來更靈活的擴(kuò)展。兼容性：跟蹤世界科技發(fā)展動態(tài)，網(wǎng)絡(luò)規(guī)劃與現(xiàn)有光纖傳輸網(wǎng)及將要改造的分配網(wǎng)有良好的兼容，在采用先進(jìn)技術(shù)的前提下，最大可能地保護(hù)已有投資，并能在已有的網(wǎng)絡(luò)上擴(kuò)展多種業(yè)務(wù)。安全性：網(wǎng)絡(luò)的安全性對網(wǎng)絡(luò)設(shè)計(jì)是非常重要的，合理的網(wǎng)絡(luò)安全控制，可以使應(yīng)用環(huán)境中的信息資源得到有效的保護(hù)可以有效的控制網(wǎng)絡(luò)的訪問，靈活的實(shí)施網(wǎng)絡(luò)的安全控制策略。在企業(yè)園區(qū)網(wǎng)絡(luò)中，關(guān)鍵應(yīng)用服務(wù)器、核心網(wǎng)絡(luò)設(shè)備，只有系統(tǒng)管理人員才有操作、控制的權(quán)力。應(yīng)用客戶端只有訪問共享資源的權(quán)限，網(wǎng)絡(luò)應(yīng)該能夠阻止任何的非法操作。在園區(qū)網(wǎng)絡(luò)設(shè)備上應(yīng)該可以進(jìn)行基于協(xié)議、基于Mac地址、基于IP地址的包過濾控制功能。在大規(guī)模園區(qū)網(wǎng)絡(luò)的設(shè)計(jì)上，劃分虛擬子網(wǎng)，一方面可以有效的隔離子網(wǎng)內(nèi)的大量廣播，另一方面隔離網(wǎng)絡(luò)子網(wǎng)間的通訊，控制了資源的訪問權(quán)限，提高了網(wǎng)絡(luò)的安全性。在設(shè)計(jì)園區(qū)網(wǎng)的原則上必須強(qiáng)調(diào)網(wǎng)絡(luò)安全控制能力，使網(wǎng)絡(luò)可以任意連接，又可以從第二層、第三層控制網(wǎng)絡(luò)的訪問?？晒芾硇裕壕W(wǎng)絡(luò)中的任何設(shè)備均可以通過網(wǎng)絡(luò)管理平臺進(jìn)行控制，網(wǎng)絡(luò)的設(shè)備狀態(tài)，故障報(bào)警等都可以通過網(wǎng)管平臺進(jìn)行監(jiān)控，通過網(wǎng)絡(luò)管理平臺簡化管理工作，提高網(wǎng)絡(luò)管理的效率?？偼?fù)淇傮w設(shè)計(jì)思路整個網(wǎng)絡(luò)通過企業(yè)總部上Internet，在企業(yè)總部設(shè)置有防火墻，用于防護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全，且在防火墻上進(jìn)行NAT轉(zhuǎn)換，使得整個企業(yè)的網(wǎng)絡(luò)能上Internet。網(wǎng)絡(luò)總體使用三層結(jié)構(gòu)，分別是核心層、分布層和接入層。核心層設(shè)有兩臺核心交換機(jī)，核心交換機(jī)使用上行鏈路與路由器連接，保證冗余性。核心交換機(jī)間可以使用鏈路捆綁鏈路進(jìn)行連接，保證核心交換機(jī)間的鏈路冗余性及提高鏈路的可靠性。企業(yè)內(nèi)部服務(wù)器核心交換機(jī)相連，保證數(shù)據(jù)的高速轉(zhuǎn)發(fā)，且使用雙鏈路分別與兩臺核心交換機(jī)相連，保證冗余性，減少因鏈路故障帶來的影響，提高網(wǎng)絡(luò)的可靠性。除服務(wù)器外，各部門的信息點(diǎn)都連接到接入層交換機(jī)，在接入層上端口劃分vlan，同一部門的計(jì)算機(jī)都在同一vlan，并采用VTPPrune技術(shù)，避免trunk鏈路的不必要流量。在分布層交換機(jī)上創(chuàng)建vlan，自動發(fā)布到接入層交換機(jī)。接入設(shè)備的網(wǎng)關(guān)設(shè)在核心交換機(jī)，并且使用vrrp在兩臺核心交換機(jī)間實(shí)現(xiàn)冗余。路由規(guī)劃為了使各棟樓實(shí)現(xiàn)高效的互聯(lián)，并且便于網(wǎng)絡(luò)管理與維護(hù)，整個網(wǎng)絡(luò)采用OSPF協(xié)議，將總部A棟的三層交換機(jī)、防火墻、路由器劃分為Area0，其他各個分部B、C、D棟分別劃分為Area1，Area2，Area3，以此類推?？偛颗c分部相連的鏈路劃為Area0。在區(qū)域便界進(jìn)行網(wǎng)絡(luò)匯總，保證網(wǎng)絡(luò)正常的同時，盡量減少路由條目，提高路由器的轉(zhuǎn)發(fā)效率。Ip地址及vlan規(guī)劃防火墻連接ISP的ip地址為/30關(guān)鍵技術(shù)分析在接入層交換機(jī)上做端口安全，接入層與分布層交換機(jī)之間使用stp保護(hù)。交換機(jī)的連接全部使用trunk鏈路，并且允許所有vlan通過。在每棟樓的分布層交換機(jī)上都創(chuàng)建要用到的vlan?？偛亢诵膶咏粨Q機(jī)間使用鏈路捆綁技術(shù)總部的核心交換機(jī)使用vrrp進(jìn)行網(wǎng)關(guān)冗余，并且調(diào)整vrrp使得一部分主網(wǎng)關(guān)在MultilayerSwitch8，一部分主網(wǎng)關(guān)在MultilayerSwitch9，結(jié)合MSTP實(shí)現(xiàn)負(fù)載分擔(dān)在防火墻ASA1上做NAT轉(zhuǎn)換，寫一條出口指向Internet的缺省路由，并且通過OSPF下放缺省路由，使得整個網(wǎng)絡(luò)能訪問ISP。在各個樓棟的路由器及總部的路由器上做區(qū)域間匯總在總部與分部的路由器上啟用CHAP認(rèn)證。設(shè)備選型選型原則在設(shè)備選型時，主要考慮如下原則：穩(wěn)定性只有運(yùn)行穩(wěn)定的網(wǎng)絡(luò)才能投入到實(shí)際項(xiàng)目的使用中去，而網(wǎng)絡(luò)的穩(wěn)定性取決于很多因素，如網(wǎng)絡(luò)的設(shè)計(jì)，產(chǎn)品的可靠等。高處理性能為了支持?jǐn)?shù)據(jù)、語音、視頻等多媒體的傳輸能力，應(yīng)選取轉(zhuǎn)發(fā)速率高、cpu性能較好、數(shù)據(jù)包處理速度快的產(chǎn)品。擴(kuò)展性網(wǎng)絡(luò)設(shè)計(jì)中要有擴(kuò)展性和可升級性，隨著企業(yè)業(yè)務(wù)的增長，網(wǎng)絡(luò)中的數(shù)據(jù)流量會持續(xù)增加，所以網(wǎng)絡(luò)中的可擴(kuò)展性尤為重要。安全性網(wǎng)絡(luò)系統(tǒng)中的安全性主要體現(xiàn)在網(wǎng)絡(luò)設(shè)計(jì)的安全性、產(chǎn)品本身的安全性以及人為因素等?？煽匦噪S著網(wǎng)絡(luò)規(guī)模的增大，網(wǎng)絡(luò)的可控性會降低。一個網(wǎng)絡(luò)既要保證數(shù)據(jù)的正確傳輸，也要保證數(shù)據(jù)朝著最優(yōu)的方向傳輸。設(shè)備清單及報(bào)價配置命令在接入層交換機(jī)下端口配置端口安全S2950-24(config)#intf0/1S2950-24(config-if)#shutdownS2950-24(config-if)#switchportmodeaccessS2950-24(config-if)#switchportport-securityS2950-24(config-if)#switchportport-securitymaximum1S2950-24(config-if)#switchportport-securityviolationshutdown接入層與分布層之間相連的鏈路配置trunkS2950-24(config)#intf0/1S2950-24(config-if)#switchportmodetrunk//其他接口類似，就不一一列舉接入層與分布層交換機(jī)配置vtpS2950T-24(config)#vtpmodeserverS2950T-24(config)#vtpdomainSZPTS2950T-24(config)#vtppasswordcisco//在vtpserver模式下啟用vtppruning，其他交換機(jī)類似，就不一一列舉，需要隱私的部門可以設(shè)置模式為transparent在分布層交換機(jī)創(chuàng)建vlanS2950T-24(config)#vlan10S2950T-24(config-vlan)#descriptionoffice//創(chuàng)建vlan并加以描述信息，方便管理，其他vlan類似，就不一一列舉將接入層上端口劃分vlanS2950-24(config)#intf0/1S2950-24(config-if)#switchportmodeaccessS2950-24(config-if)#switchportaccessvlan10//其他接口類似于此操作將交換機(jī)的鏈路進(jìn)行捆綁3560-24PS(config)#interfaceport-channel13560-24PS(config)#interfacerangef0/11-123560-24PS(config-if-range)#channel-group1modeon3560-24PS(config-if-range)#switchportmodetrunk3560-24PS(config-if-range)#exit3560-24PS(config)#port-channelload-balancedst-ip//進(jìn)行端口聚合，另一臺核心交換機(jī)也做同樣的操作VRRP配置3560-24PS(config)#track100intf0/13line-protocol3560-24PS(config)#intf0/113560-24PS(config-if)#vrrp1ip3560-24PS(config-if)#vrrp1priority1203560-24PS(config-if)#vrrp1preempt3560-24PS(config-if)#vrrp1authenticationMD5key-stringcisco3560-24PS(config-if)#vrrp1track100decrement303560-24PS(config-if)#vrrp2ip3560-24PS(config-if)#vrrp2preempt3560-24PS(config-if)#vrrp2authenticationmd5key-stringcisco在另外一臺核心交換機(jī)上3560-24PS(config)#track100intf0/14line-protocol3560-24PS(config)#intf0/123560-24PS(config-if)#vrrp1ip3560-24PS(config-if)#vrrp1preempt3560-24PS(config-if)#vrrp1authenticationMD5key-stringcisco3560-24PS(config-if)#vrrp2ip3560-24PS(config-if)#vrrp2priority1203560-24PS(config-if)#vrrp2p