任務(wù)1 網(wǎng)絡(luò)規(guī)劃方案

學(xué)習(xí)情境2：小型企業(yè)網(wǎng)絡(luò)組建與互聯(lián)

任務(wù)1：網(wǎng)絡(luò)規(guī)劃方案

騰飛公司現(xiàn)已發(fā)展為近200名員工規(guī)模，位于某辦公樓的2、3樓內(nèi)，原有網(wǎng)絡(luò)接入設(shè)備以HUB為主，網(wǎng)絡(luò)的中心為一個48口二層非網(wǎng)管交換機(jī)，網(wǎng)絡(luò)傳輸介質(zhì)以5類雙絞線為主，接入速度為10Mbps半雙工，全部節(jié)點同屬于一個網(wǎng)段，用戶反映網(wǎng)速很慢。公司決定將現(xiàn)有網(wǎng)絡(luò)完全替換，重新建立可管理的能夠提供更高傳輸速率的快速以太網(wǎng)。公司中網(wǎng)絡(luò)用戶共有188個，公司各部門分布情況是：辦公樓的2樓主要由總經(jīng)理室、人力資源部、技術(shù)服務(wù)部1、大會議室、設(shè)備間、網(wǎng)絡(luò)中心、產(chǎn)品中心、產(chǎn)品事業(yè)部1、銷售業(yè)務(wù)部、財務(wù)部1、部門經(jīng)理室1、部門經(jīng)理室2及庫房。現(xiàn)有用戶數(shù)87個。辦公樓的3樓主要由副總經(jīng)理室、廣告宣傳部、技術(shù)服務(wù)部2、質(zhì)管部、產(chǎn)品展室、產(chǎn)品事業(yè)部2、小會議室、客戶服務(wù)部、配線間監(jiān)控室?，F(xiàn)有用戶數(shù)101個。從公司的網(wǎng)絡(luò)應(yīng)用領(lǐng)域來看，基于網(wǎng)絡(luò)系統(tǒng)的可靠性、穩(wěn)定性及實用性原則，在網(wǎng)絡(luò)設(shè)計時，應(yīng)從網(wǎng)絡(luò)結(jié)點、通信線路、網(wǎng)絡(luò)拓?fù)?、系統(tǒng)安全、病毒控制等多方面加以考慮。本文主要針對200人以內(nèi)的小型企業(yè)網(wǎng)絡(luò)，設(shè)計一套完整的網(wǎng)絡(luò)解決方案，并完成該方案的實施、及測試，確保用戶的正常使用。學(xué)習(xí)情境描述

作為項目的負(fù)責(zé)人，通過給出的騰飛公司網(wǎng)絡(luò)建設(shè)的具體要求，對本項目進(jìn)行需求分析，并在此基礎(chǔ)上進(jìn)行組網(wǎng)方案設(shè)計，繪制出網(wǎng)絡(luò)拓?fù)鋱D、進(jìn)行網(wǎng)絡(luò)設(shè)備的選型，形成需求分析及方案設(shè)計文檔。工作任務(wù)描述

1.用戶的基本需求如下:

（1）同一部門可以進(jìn)行互訪，財務(wù)部1與財務(wù)部2可以進(jìn)行互訪，為了保證內(nèi)部數(shù)據(jù)資源的安全性；技術(shù)服務(wù)部1與技術(shù)服務(wù)部2可以進(jìn)行互訪，并要求網(wǎng)絡(luò)高可用性；產(chǎn)品事業(yè)部1與產(chǎn)品事業(yè)部2可以進(jìn)行互訪。（2）總經(jīng)理室可以與其他所有部門進(jìn)行通信；（3）用戶能夠自動獲取IP、網(wǎng)關(guān)及DNS地址；（4）文件服務(wù)器提供高速的文件傳輸功能；（5）內(nèi)網(wǎng)WWW服務(wù)器提供高速的Web訪問功能。

2.網(wǎng)絡(luò)規(guī)劃建設(shè)時應(yīng)遵循的原則:

（1）滿足目前并能適應(yīng)未來5年時間內(nèi)的發(fā)展需求；（2）有清晰、合理的層次結(jié)構(gòu)，便于維護(hù)；（3）采用先進(jìn)、成熟的技術(shù)，降低系統(tǒng)風(fēng)險；（4）網(wǎng)絡(luò)信息流量合理，不產(chǎn)生瓶頸；（5）滿足當(dāng)前主流網(wǎng)絡(luò)設(shè)計的原則，能夠和其它網(wǎng)絡(luò)互聯(lián)；（6）有較好的擴(kuò)展性，便于將來升級。需求分析

3.騰飛公司網(wǎng)絡(luò)建設(shè)應(yīng)具體達(dá)到的要求和目標(biāo)：（1）實現(xiàn)專線10Mbps光纖接入，完成對Internet網(wǎng)絡(luò)資源的應(yīng)用；（2）實現(xiàn)公司內(nèi)部100Mbps到桌面的網(wǎng)絡(luò)數(shù)據(jù)傳輸；（3）ISP提供2個公網(wǎng)IP地址；（4）各部門都有到本樓層設(shè)備間或配線間的物理鏈路；（5）為了實現(xiàn)同一部門間的互訪，使用VLAN技術(shù)；（6）為了實現(xiàn)各節(jié)點能夠自動獲取IP、網(wǎng)關(guān)及DNS地址，使用DHCP技術(shù)；（7）考慮到方便移動PC工作的需要，在技術(shù)部、大會議室及產(chǎn)品展室采用無線局域網(wǎng)覆蓋區(qū)域；（8）采用主流的TCP/IP協(xié)議對網(wǎng)絡(luò)進(jìn)行規(guī)劃；（9）對廣播流量進(jìn)行分割，不同部門之間訪問可以進(jìn)行控制。需求分析表2.12樓辦公室用戶數(shù)分布情況

需求分析序號部門房間號用戶數(shù)交換機(jī)無線1財務(wù)部12012無無2庫房2024無無3總經(jīng)理室2032無無4人力資源部20451無5技術(shù)服務(wù)部1205201有6大會議室20615無有7設(shè)備間20732無8網(wǎng)絡(luò)中心2093無無9產(chǎn)品事業(yè)部1211131無10部門經(jīng)理12132無無11部門經(jīng)理22152無無12銷售業(yè)務(wù)部208161無合計87表2.23樓辦公室用戶數(shù)分布情況

需求分析序號部門房間號用戶數(shù)交換機(jī)無線1財務(wù)部23014無無2廣告宣傳部302121無3副總經(jīng)理室3032無無4質(zhì)管部30461無5技術(shù)服務(wù)部2305201有6產(chǎn)品展室30610無有7配線間30731無8監(jiān)控室3093無無9產(chǎn)品事業(yè)部2311151無10小會議室31310無有11客戶服務(wù)部308161無合計101IP地址規(guī)劃惟一性連續(xù)性擴(kuò)展性實意性1.IP地址規(guī)劃的基本原則IP地址規(guī)劃是一項藝術(shù)創(chuàng)造?。?）互聯(lián)地址規(guī)劃技巧：使用30位掩碼的地址相對核心的設(shè)備使用較小的IP地址互聯(lián)地址通常要聚合后發(fā)布（2）業(yè)務(wù)地址規(guī)劃技巧：在以太網(wǎng)上的服務(wù)器、主機(jī)、網(wǎng)關(guān)使用的地址使用54/24用來表示網(wǎng)絡(luò)/24的網(wǎng)關(guān)2.網(wǎng)絡(luò)規(guī)劃中IP地址的分類及規(guī)劃技巧IP地址規(guī)劃指使用自然掩碼，不對網(wǎng)段進(jìn)行細(xì)分。比如B類網(wǎng)段，采用作為掩碼。3.無子網(wǎng)編址/16/160/16IP地址規(guī)劃B類網(wǎng)段，，4.帶子網(wǎng)編址IP地址規(guī)劃484864844848487485485.子網(wǎng)規(guī)劃IP地址規(guī)劃/29子網(wǎng)地址主機(jī)地址廣播地址IP主機(jī)地址20子網(wǎng)掩碼

B類子網(wǎng)規(guī)劃實例IP地址規(guī)劃/24－5455子網(wǎng)地址主機(jī)地址廣播地址IP主機(jī)地址21子網(wǎng)掩碼48C類子網(wǎng)規(guī)劃實例IP地址規(guī)劃20/2921－26276.VLANID的規(guī)劃原則

VLAN1一般予以保留，不分配給業(yè)務(wù)VLAN使用

VLAN的預(yù)分配應(yīng)成段分配如果VLANID足夠用，盡量分配1024以下的VLANID

為每一個VLAN規(guī)劃VLAN描述符，描述符的配置規(guī)范化VLANID規(guī)劃7.IP地址規(guī)劃工作任務(wù)表2.32樓IP地址規(guī)劃表序號部門房間號節(jié)點數(shù)VLANID子網(wǎng)編號IP網(wǎng)段1財務(wù)部120122庫房20243總經(jīng)理室20324人力資源部20455技術(shù)服務(wù)部1205206大會議室206157設(shè)備間20738網(wǎng)絡(luò)中心20939產(chǎn)品事業(yè)部12111310部門經(jīng)理1213211部門經(jīng)理2215212銷售業(yè)務(wù)部20816合計87IP地址與VLAN規(guī)劃表2.4

3樓IP地址規(guī)劃序號部門房間號節(jié)點數(shù)VLANID子網(wǎng)編號IP網(wǎng)段1財務(wù)部230142廣告宣傳部302123副總經(jīng)理室30324質(zhì)管部30465技術(shù)服務(wù)部2305206產(chǎn)品展室306107管理間30738監(jiān)控室30939產(chǎn)品事業(yè)部23111510小會議室3131011客戶服務(wù)部30816合計101IP地址與VLAN規(guī)劃

核心層匯聚層接入層

不同層次的定位，也為相應(yīng)的設(shè)備選型提供了依據(jù)。對于大型的局域網(wǎng)絡(luò)通常分為三層結(jié)構(gòu)，但對于小型網(wǎng)絡(luò)通常只存在兩層結(jié)構(gòu)，核心層和匯聚層合二為一。

1．局域網(wǎng)的層次設(shè)計

拓?fù)鋱D繪制2．網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計

網(wǎng)狀或部分網(wǎng)狀拓?fù)浣Y(jié)構(gòu)環(huán)型拓?fù)浣Y(jié)構(gòu)星型拓?fù)浣Y(jié)構(gòu)

圖2.12樓和3樓平面圖

拓?fù)鋱D繪制1.互聯(lián)網(wǎng)接入設(shè)備選型網(wǎng)絡(luò)設(shè)備選擇表2.5H3CMSR30-20與Cisco3825-AC-IP同類型號產(chǎn)品比較產(chǎn)品規(guī)格H3CMSR30-20Cisco3825-AC-IP路由器類型企業(yè)級路由器企業(yè)級路由器端口結(jié)構(gòu)模塊化模塊化傳輸速率10/100/1000Mbps10/100/1000Mbps處理器RISC新一代處理器533MHzRISCQEDRM5271225MHz

最大Flash內(nèi)存1GB256MB最大DRAM內(nèi)存1GB1GB包轉(zhuǎn)發(fā)率200KPPS148KPPS固定局域網(wǎng)接口2個千兆電口2x10/100/1000Mbps控制端口Console/AUXConsole支持網(wǎng)絡(luò)協(xié)議IP服務(wù)、非IP服務(wù)、IP應(yīng)用、IP路由、MPLS、IPv6、廣域網(wǎng)協(xié)議、局域網(wǎng)協(xié)議LL、FR、ISDN、X.25、ATM支持的網(wǎng)管協(xié)議網(wǎng)絡(luò)管理、本地管理、用戶接入管理CiscoClickStart、SNMP是否VPN支持是是是否Qos支持是是是否內(nèi)置防火墻是是參考互聯(lián)網(wǎng)接入設(shè)備選型網(wǎng)絡(luò)設(shè)備選擇。

圖2.2H3CMSR30-20路由器圖2.3Cisco3825-AC-IP路由器

2.局域網(wǎng)核心交換設(shè)備選型網(wǎng)絡(luò)設(shè)備選型表2.6H3CS5500-28C-PWR-EI與CiscoWS-C4506同類型號產(chǎn)品比較產(chǎn)品規(guī)格H3CS5500-28C-PWR-EICiscoWS-C4506交換機(jī)類型企業(yè)級交換機(jī)企業(yè)級交換機(jī)端口結(jié)構(gòu)模塊化模塊化傳輸速率10/100/1000Mbps10/100/1000Mbps交換容量192Gbps100Gbps包轉(zhuǎn)發(fā)率95.2Mpps75KPPS業(yè)務(wù)端口24個10/100/1000Base-T以太網(wǎng)端口4個復(fù)用的1000Base-X千兆SFP端口24個10/100/1000Base-T以太網(wǎng)端口4個SFP上行鏈路端口控制端口ConsoleConsole/AUX網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.3、802.3u、802.3z、802.3ae、802.3abIEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab以太網(wǎng)供電PoE支持支持MAC地址表32K32KDHCPDHCPClientDHCPSnoopingDHCPRelayDHCPServerDHCPSnoopingoption82/DHCPRelayoption82DHCPClientDHCPSnoopingDHCPRelayDHCPServerIP路由支持靜態(tài)路由支持RIPv1/v2、RIPng支持OSPFv1/v2、OSPFv3支持BGP4、BGP4+forIPv6支持等價路由、策略路由支持VRRP/VRRPv3支持邊界網(wǎng)關(guān)協(xié)議（BGP）

支持用于IP多播的多協(xié)議BGP擴(kuò)展（MBGP）

支持路由信息協(xié)議（RIP）

支持互聯(lián)網(wǎng)網(wǎng)關(guān)路由協(xié)議（IGRP）和它的支持增強(qiáng)版本（EIGRP）

支持開放式最短路徑優(yōu)先（OSPF）

支持熱備用路由協(xié)議（HSRP）

安全特性支持用戶分級管理和口令保護(hù)支持IEEE802.1x認(rèn)證/集中式MAC地址認(rèn)證支持RADIUS認(rèn)證/HWTACACS支持ARP入侵檢測支持IP源地址保護(hù)支持端口隔離支持IP+MAC+端口綁定支持控制臺訪問權(quán)限的多級安全可以防止未經(jīng)授權(quán)的用戶更改交換機(jī)配置支持IEEE802.1x可以實現(xiàn)動態(tài)的、基于端口的安全，提供用戶身份認(rèn)證功能支持SSHv2、Kerberos和SNMPv3可以通過在Telnet和SNMP進(jìn)程中加密管理員流量，提供網(wǎng)絡(luò)安全支持基于MAC地址的安全過濾支持基于

IP地址的安全過濾支持基于TCP/UDP端口的安全過濾參考價2800030000表2.6H3CS5500-28C-PWR-EI與CiscoWS-C4506同類型號產(chǎn)品比較

2.局域網(wǎng)核心交換設(shè)備選型網(wǎng)絡(luò)設(shè)備選擇。

圖2.4H3CS5500-28C-PWR-EI圖2.5CiscoWS-C4506

3.局域網(wǎng)匯聚交換設(shè)備選型網(wǎng)絡(luò)設(shè)備選型表2.7H3CS3610-28TP與CiscoWS-C3560-24PS-E同類型號產(chǎn)品比較產(chǎn)品規(guī)格H3CS3610-28TPCiscoWS-C3560-24PS-E交換機(jī)類型企業(yè)級交換機(jī)企業(yè)級交換機(jī)端口結(jié)構(gòu)模塊化模塊化傳輸速率10/100/1000Mbps10/100/1000Mbps交換容量32Gbps32Gbps包轉(zhuǎn)發(fā)率(Mpps)9.6Mppss6.5Mpps業(yè)務(wù)端口24個10/100Base-TX以太網(wǎng)端口2個1000Base-XSFP千兆以太網(wǎng)端口2個10/100/1000Base-T以太網(wǎng)端口24個10/100Base-TX以太網(wǎng)端口2個1000Base-XSFP千兆以太網(wǎng)端口網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.3、802.3u、802.3z、802.3ae、802.3abIEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab以太網(wǎng)供電PoE支持支持MAC地址表16K12K堆疊支持支持VLAN支持支持安全特性支持用戶分級管理和口令保護(hù)支持802.1X認(rèn)證/集中式MAC地址認(rèn)證支持GuestVLAN支持RADIUS認(rèn)證支持SSH2.0支持端口隔離支持端口安全支持PORTAL認(rèn)證支持EAD支持國際標(biāo)準(zhǔn)Radius的AAA認(rèn)證接入支持多級User/Password設(shè)置支持國際標(biāo)準(zhǔn)802.1x認(rèn)證支持SSH加密登陸支持基于MAC地址的安全過濾支持基于

IP地址的安全過濾支持ARP過濾和限制技術(shù)，預(yù)防ARP欺騙攻擊支持基于TCP/UDP端口的安全過濾參考價10000240003.局域網(wǎng)匯聚交換設(shè)備選型網(wǎng)絡(luò)設(shè)備選擇。

圖2.6H3CS3610-28TP圖2.7CiscoWS-C4506

4.局域網(wǎng)接入交換設(shè)備選型網(wǎng)絡(luò)設(shè)備選型表2.8H3CS3100-26TP-SI與CiscoWS-C2960-24TC-L同類型號產(chǎn)品比較產(chǎn)品規(guī)格H3CS3100-26TP-SICiscoWS-C2960-24TC-L交換機(jī)類型智能交換機(jī)智能交換機(jī)端口結(jié)構(gòu)模塊化模塊化傳輸速率10/100/1000Mbps10/100/1000Mbps交換容量19.2Gbps4.4Gbps業(yè)務(wù)端口24個10/100Base-T以太網(wǎng)端口2個10/100/1000Base-T以太網(wǎng)端口2個1000Base-XSFP千兆以太網(wǎng)端口24個10/100Base-TX以太網(wǎng)端口2個1000Base-XSFP千兆以太網(wǎng)端口網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.3、802.3u、802.3z、802.3ab、802.3x、802.1D、802.1QIEEE802.3、IEEE802.3u、IEEE802.1x、IEEE802.1Q、IEEE802.1p、IEEE802.1D、IEEE802.1s、IEEE802.1w、IEEE802.3ad、IEEE802.3z、IEEE802.3網(wǎng)絡(luò)管理支持支持MAC地址表8K8K堆疊支持支持VLAN支持支持DHCP支持支持安全特性支持用戶分級管理和口令保護(hù)支持端口安全，支持端口＋MAC綁定支持GuestVLAN支持IEEE802.1X認(rèn)證支持集中MAC地址認(rèn)證支持SSH2.0支持IEEE802.1x可提供基于端口的動態(tài)安全性，從而實現(xiàn)用戶身份驗證支持IEEE802.1x和端口安全性，可針對包括客戶端地址在內(nèi)的所有MAC地址支持SSHv2和SNMPv3支持TACACS+和RADIUS身份驗證可實現(xiàn)對交換機(jī)的集中控制，并禁止非法用戶改動配置參考價360093004.局域網(wǎng)接入交換設(shè)備選型網(wǎng)絡(luò)設(shè)備選擇。

圖2.8H3CS3610-28TP圖2.9CiscoWS-C4506

5