1、72中小型園區網的設計與實現湖南科技職業學院畢；作學專題者：XX系：信息工程系業：計算機網絡目：；號：34；指導者：XXX；(姓名)(專業技術職務)；2006年3月1；長沙；前言；交換模塊的設計；配置路由器；課題內容:課題內容:中小型園區網的設計與實現前言；二十一世紀是知湖南科技職業學院 畢作 學 專 題 者：XX 系：信息工程系 業：計算機網絡 目：中小型園區網的設計與實現業學論號：34文指導者：XXX(姓 名) (專業技術職務)2006 年 3 月 1長沙目錄前言 前言 4 系統總體設計方案概述 5 ? ? ? 1.1 系統組成與拓撲結構 5 1.2 VLAN 及 IP 地址規劃 6 1.

2、3 設備選型 7 交換模塊的設計 8 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 2.1 接入層交換服務的實現 8 2.1.1 對 connect1 的端口進行具體的配置 10 14 2.2 匯聚層交換服務的實現14 2.2.1 配置匯聚層交換機 collect1 的基本參數 14 15 2.2.2 配置匯聚層交換機 collect1 的管理 IP，默認網關15 2.2.3 配置匯聚層交換機 collect1 為 VTP 服務器 15 2.2.4 配置匯聚層交換機 collect1 的 VTP 剪裁功能 16 16 2.2.5 為 collect1 配置 vlan 和端口設置1

3、6 2.2.6 為 collect1 啟用路由功能 16 2.2.7 配置匯聚層交換機 collect2 17 18 2.3 核心層交換服務的實現配置核心層交換機18 2.3.1 配置核心層交換的管理 VLAN 和默認網關 19 19 2.3.2 設置核心層交換機為 VTP 客戶機19 2.3.3 設置核心層交換機的端口19 19 2.3.4 啟用核心層 core 交換機的路由功能 19 配置路由器20 20 3.1 配置路由器 zhangrouter 的各接口參數 20 3.2 配置路由器 zhangrouter 的路由功能 21 3.3 在路由上設置 NAT 21 3.4 3.4 配置路由

4、器上的 ACL 21 3.3.1 屏蔽掉不安全協議22 22 3.3.2 設置只允許來自服務器的 IP 地址才能訪問并配置路由器22 22 3.3.3 配置路由器的封裝協議身份認證 23 3.3.4 配置路由器的身份認證 23 防火墻的配置 23 4.1 防火墻的基本配置23 23 23 4.1.1 配置防火墻接口的名字，并指定安全級別23 24 4.1.2 配置以太網口參數及 IP 地址24 4.1.3 24 4.1.3 指定要進行 NAT 轉換的 IP 地址范圍24 24 4.1.4 指定轉換后的 IP 地址范圍24 4.1.5 設置指向內網和外網的靜態路由24 4.1 24 4.2 配置

5、 fixup 協議25 25 4.3 設置最大傳輸單元（MTU） 25 25 4.4 設置 PIX 入侵檢測25 服務器模塊設計26 26 總結 27 參考資料 27 課題內容: 課題內容:中小型園區網的設計與實現 前言二十一世紀是知識經濟時代。隨著現代科學技術的飛速發展，全球信息化 二十一世紀是知識經濟時代 浪潮勢不可擋，已經迅速延伸至國防、科研、經濟、教育等各個領域，也不可避 免地改變著傳統的企業人事的工作模式， 利用當前蓬勃發展的以計算機和網絡為 主導的現代信息技術則是企業實現現代化工作的必不可少的技術基礎。 在現今的網絡建設中，企業網的建設是非常重要的，企業網內部各種不同 在現今的網絡

6、建設中 業務的開展是企業網發展迅速的最主要原因。 從早期的企業網主要是簡單的數據 共享，簡單數據庫的共享到現在內部全方位的數據共享，從過去單一的企業到現 在多個分支公司的全部互連，因而對網絡的覆蓋面要求越來越廣。這一要求最早 還只局限于各分支企業內部，現在則已是整個企業、整個行業，甚至整個 Internet 的共同要求。1 系統總體設計方案概述企業網（ENTERPRISE NETWORK）是非常典型的綜合網絡實例。在本設計方案中 主要是對一個企業進行整體的網絡設計。該企業占有一幢大廈，共有八個部門， 每個部門不會超過 255 臺工作站，分別是財務部、人力資源部、技術支持部、營 銷部、售后服務部

7、、生產部、公關部、設備部，此外有一個總經理辦公室，一個 副總經理辦公室。如圖，是該企業拆分后的網絡總體拓撲結構圖。INTERNET總經理辦公室信 中息 心副總經理辦公室財務部人力資源部技術支持部生產部公關部 售后服務部售后服務部 公關部設備部 設備部部 營銷部在上面的拓撲結構圖中,企業有八個部門，兩個經理辦公室共十個主要的接 入點，核心層交換機通過 Cisco3460 路由器接入因特網。圖中展示了每個建筑 物內部的網絡拓撲結構，并給出了信息中心內部的網絡設備拓撲結構。 在接下來的論述中，我將展開并詳細討論每個模塊的設計內容。1.1 系統組成與拓撲結構為了實現網絡設備的統一，在本設計方案中完全采

8、用同一廠家的網絡產 品，即 Cisco 公司的網絡設備構建。本企業網設計方案主要由以下幾部分組 成：交換模塊、廣域網接入模塊、服務器模塊，整個網絡系統的拓撲結構圖 如下所示：INTERNET 202.168.1.1 NAT 192.168.1.254 核心層server Group匯聚層總經理辦公室副總經理辦公室接入層、 、 、 、 、 、 、 、 、 、 、財務部 vlan2 人力資源部 vlan3技術支持部 vlan6生產部 vlan7、 、 、 、 售后服務部 vlan4、 、 公關部 vlan5 設備部 vlan8、 、 、 營銷部 vlan9企業網整體拓撲結構圖1.2VLAN 及 I

9、P 地址規劃在一個大、中型網絡里，VLAN 的劃分是必不可少的步驟之一。在本企業網 設計中，整個企業網的 VLAN 及 IP 編址方案如下表所示： 在下面我們需要注意的是：192.168.0.0-192.168.255.254 這樣的 IP 地址 是私有 IP 地址，它不能在公共網絡中使用，但是為什么我們要這樣做呢？因為 針對當前現狀，IP 地址緊缺，我們不可能也不應該為每一臺工作站申請一個公 有 IP 地址，這樣不僅可以緩解 IP 地址不足的情況，而且也可以為企業建設一個 企業網節約不少的開支，那這樣且不是不能夠訪問 INTERNET。為了讓這些私有 IP 地址能夠在公共 INTERNET

10、使用，讓使用這樣 IP 地址的工作站能夠訪問 INTERNET 上的資源，我們必須對這樣私有 IP 地址作 NAT（network address translation）即網絡地址轉換。NAT 的配置我將后面的論述中進行配置。 而對于經理辦公室， 由于我們有特定的要求， 我將為其分配 static IP 地址。 VLAN 及 IP 編址方案 VLAN 號VLAN1 VLAN2 VLAN3 VLAN4 VLAN5 VLAN6 VLAN7 VLAN8 VLAN9VLAN 名稱 finance Human_resource After_sale_server Public_relations Te

11、chnique_support produce equipment saleIP 網段19216810/24 19216820/24 19216830/24 19216840/24 19216850/24 19216860/24 19216870/24 19216880/24 19216890/24默認網關1921681254 1921682254 1921683254 1921684254 1921685254 1921686254 1921687254 1921688254 1921689254說明管理 VLAN 財務部 人力資源部 售后服務部 公關部 技術支持部 生產部 設備部 營銷部V

12、LAN10Server_group192168100/2419216810254服務器群 VLAN1.3 設備選型從上面的拓撲圖中我們可以列出下面的設備選型列表： 設備選型列表： 設備名稱 型號 單價 數量 總價 說明并發連接數：4500 VPN 防火墻 PIXCISCO PIX-525 6000 1 6000 支持： 支持 安全過濾帶 寬： 用戶數限制： 16 無 限制 網絡吞吐量（Mpps） ：20 路由器 CISCO3745 61200 1 61200 Cisco 3700 Series4-SlotMultiservice Access Router CISCO 核心層 WS-C3750

13、G-24TSWS-C3750G-24TS-S 36762 1 36762 Catalyst 3750 2410/100/1000T + 4 SFP Standard Multilayer交 換 機 匯聚層CISCO WS-C2950TWS-C2950T-24 6500 2 1300024 10/100 ports w/ 2 10/100/1000BASE-T ports, Enhanced ImageCISCO WS-C2950-24 WS-C2950接入層 4000 2 800024port,10/100 Switch,CatalystStandard Image only Switch/h

14、ub 線 纜 雙絞線 光纖 迅馳 4 芯單 模光纜 五類 UTP 400/卷 400/卷 5 2000 視每個部門工作站多少的情況而定 4/M 1000M 4000 波長 1300 損耗 850/3.5 溫 度 -40-80 濕度 02、交換模塊的設計一個性能優良的網絡(不管是何種類型的網絡)都應該是一個分層的設計。 這樣不但簡化了交換網絡的設計，同時也提高了交換網絡的可靠性和可擴展性，我 們一般將其分為三層設計模型。分別是接入層，匯聚層，核心層。下面我們將按 照分層的設計與配置進行論述。2.1 接入層交換服務的實現配置接入層交換機接入層交換機是為所有的終端用戶提供一個接入點。我們采用的是 CISCO WS-C2950-24。