1、.網絡設計與組網綜合大作業目錄網絡設計與組網綜合大作業.目錄.第一章緒論11.1 概況11.2 主要內容2第二章園區網概述32.1 園區網含義32.2 園區網特點32.3 園區網發展趨勢3第三章園區網設計43.1 需求分析43.2 網絡設計原則43.3 網絡模型設計63.4 園區網絡拓撲圖83.5 IP 地址規劃83.6VLAN 規劃93.7 路由協議選擇103.8 配置規范12可編輯.第四章網絡安全設計144.1 VLAN技術144.2 VPN 技術154.3 防火墻技術15第五章網絡模擬實現175.1 模擬器介紹175.2 模擬環境拓撲圖175.3 需求實現185.4 配置步驟19第六章總

2、結錯誤 !未定義書簽。第一章緒論1.1概況隨著計算機網絡的迅速發展，曾經在園區網中被大量使用的10M/100M以太網技術、 ATM技術已經漸漸不能適應現在的業務需求，作為園區主干網，10M/100M以太網作為主干網絡核心技術帶寬不足的弊病漸漸凸顯，已經嚴重影響著園區網絡的運行效率，目前仍有許多大型園區網絡在使用ATM 技術，這樣的網絡面臨兩個問題：VLAN 間路由的性能不能滿足網絡需求，并且ATM 技術正在逐步被淘汰。現在，千兆以至10G 級別以太網技術正逐漸成為園區網絡可編輯.主干的主流技術。因此，許多大型園區網絡面臨技術改造或者重新設計。1.2主要內容本文主要做了以下兩個方面的工作：第一，

3、介紹了園區網絡的含義、特點，按網絡設計與組網課程的要求方法規劃設計一個完整的園區網絡。第二，使用華為的 eNSP 對網絡進行了簡單的模擬， 以實現網絡的互通互聯，對各層設備進行了配置。可編輯.第二章園區網概述2.1園區網含義園區網是指為企事業單位組建的辦公局域網。典型的園區網包括校園網、 社區網、住宅小區網、企事業單位網等。2.2園區網特點園區網是網絡的基本單元。園區網較適合于采用三層結構設計。園區網對線路成本考慮的較少，對設備性能考慮的較多， 追求較高的帶寬和良好的擴展性。園區網的結構比較規整。2.3園區網發展趨勢從計算機網絡應用角度來看，網絡應用系統將向更深和更寬的方向發展，這也相應的影響

4、著未來園區網的發展方向。首先， Internet信息服務將會得到更大發展。網上信息瀏覽、信息交換、資源共享等技術將進一步提高速度、容量及信息的安全性。其次，遠程會議、遠程教學、遠程醫療、遠程購物等應用將逐步從實驗室走出，不再只是幻想。網絡多媒體技術的應用也將成為網絡發展的熱點話題。可編輯.第三章園區網設計3.1需求分析某企業園區剛剛建成，是一大型企業的分支機構，為了實現企業的辦公信息自動化，擴大企業的影響，方便和總部的信息交流，需要建立自己企業的Intranet 。企業現在有 2 幢 9 層的辦公大樓，分別是生產部和銷售部，另外還有一個家屬區，家屬區有 3 幢 6 層的大樓，兩個相距 300

5、米。企業局域網需要考慮覆蓋辦公區和家屬區。局域網需要實現的目標如下：實現有效的信息交換和共享。企業通過兩條專線接入電信和網通。企業需要實現辦公自動化。局域網提供企業內部電子郵件收發、信息瀏覽、文件管理、會議管理、電子公告等多方面應用。為了擴大企業的影響，企業對外提供自己的宣傳網站，并且能夠保證網站安全，不受外部或者內部攻擊。充分考慮今后各部門的接入擴展性。充分考慮企業內部網絡的安全性。3.2網絡設計原則我們遵循以下的原則進行網絡設計： 實用性實用性是網絡系統建設的首要原則，該網絡必須最大限度的滿足需求，保證網絡服務的質量，否則就會影響日常工作效率。 標準化可編輯.整個網絡從設計、技術和設備的選

6、擇，要確保將來可能的不同廠家設備、不同應用、不同協議連接的需求，必須支持國際標準的網絡接口和協議，以提供高度的開放性。 先進性先進性主要是針對網絡系統的設計思想、網絡結構、軟硬件設施以及所選用技術等方面。只有先進的技術才可能為網絡帶來更高的性能，并且能保證在技術上不容易被淘汰。 可擴展性可擴展性是指該網絡系統能夠適應需求的變化。隨著技術發展，信息量增多和業務的擴大，網絡將在規模和性能兩方面進行一定程度的擴展。 可靠性網絡要求具有高可靠性， 高穩定性和足夠的冗余， 提供拓撲結構及設備的冗余和備份，為了防止局部故障引起整個網絡系統的癱瘓，要避免網絡出現單點失效，核心設備需要支持冗余備份。 安全性網

7、絡安全性在整個網絡中是個很重要的問題，網絡系統建設應采取一定手段控制網絡的安全性，以保證網絡正常運行。 管理性隨著網絡規模和復雜程度的增加，管理和故障排除就會越來越困難。為保障網絡中心的正常運行，網絡必須易于管理，支持網絡網段與端口的監控、網絡流量與出錯的統計、網絡故障的定位、診斷、修復。可編輯.3.3網絡模型設計圖 3.1典型的三層網絡模型三層網絡架構采用層次化模型設計，即將復雜的網絡設計分成三個層次，每個層次著重于某些特定的功能，這樣就能夠使一個復雜的大問題變成許多簡單的小問題。三層網絡架構設計的網絡有以下三個層次：3.3.1核心層核心層是網絡的高速交換主干,對整個網絡的連通起到至關重要的

8、作用。核心層應該具有如下幾個特性 :可靠性、高效性、冗余性、容錯性、可管理性、適應性、低延時性等。該層必須是基于千兆高速交換和路由的設計，設備的性能容量也是最高的（高達百Gbps容量和每秒千萬級數據包轉發能力）。主要是由全模塊化的高性能多層路由交換機和高性能服務器組成，系統帶寬必須是千兆甚至10Gbps 。可編輯.3.3.2匯聚層匯聚層是網絡接入層和核心層的“中介”，就是在工作站接入核心層前先做匯聚，以減輕核心層設備的負荷。 匯聚層具有實施路由策略、 安全、工作組接入、虛擬局域網 (VLAN)之間的路由、源地址或目的地址過濾等多種功能。該層一般采用 100M或 1000M的快速交換路由設計，

9、設備的性能容量性也很高， 主要由固定配置 + 可選模塊的三層路由交換設備組成。3.3.3接入層接入層向本地網段提供工作站接入。在接入層中，減少同一網段的工作站數量,能夠向工作組提供高速帶寬。訪問層是由 100M快速以太網交換機和客戶機組成，該層次一般采用100M快速以太網，采用可管理的固定配置的工作組級別的交換機，能提供多層堆疊功能實現大量用戶的接入。三層網絡架構的特點是網絡性能高，層次清晰，網絡管理直觀、方便，并合理地分散了網絡設備帶來的安全風險，網絡結構安全可靠。可編輯.3.4園區網絡拓撲圖圖 3.2 三層網絡架構的園區網拓撲圖3.5 IP 地址規劃在構建基于TCP/IP 的企業網絡時，

10、IP 地址的選擇是根據企業網絡規模大小從以下三類國際 Internet組織公布的私有網段中產生，這些范圍內的IP 地址不在 Internet上傳輸，是專門提供給企業用來建設內部網絡：A 類私有 IP: 10.0.0.0 10.255.255.255 。B 類私有 IP: 172.16.0.0 172.16.31.255 。C 類私有 IP: 192.168.0.0 192.168.255.255。可編輯.對于小型園區網絡，由于上網用戶少、設備數量少，建議使用地址空間小的192.168.0.0/16的網絡。而對于中大型園區網絡， 如三層結構的校園網， 由于上網人數多，設備數量多，建議采用地址空間

11、大的10.0.0.0/8的網絡。3.6VLAN規劃虛擬局域網 (VLAN) 是將局域網內廣播域邏輯地劃分為若干子網。在一個交換局域網中，所有局域網段通過交換機連接到一起，路由器連在交換機上(如果是三層交換機， 則不需路由器 )，可以按網段和站點的邏輯分組形成廣播域，通過在局域網交換機內過濾廣播包，使得源于特定虛擬局域網的信息包僅傳送到那些也屬于這個虛擬局域網的網段上。虛擬局域網之間的尋徑由路由器完成。虛擬局域網建立以后，能有效地控制網絡的廣播風暴，減少不必要的資源帶寬浪費，并能隨著企業規模的發展和調整改變通信流的模式。VLAN 規劃需要考慮如下因素：用戶 VLAN 與設備管理 VLAN 分開

12、(IP 地址 )。為網絡擴容進行可匯總的預留設計。IP 地址與 VLAN 編號 (其它相關因素 )有一定的對照性。如圖3.3 所示：用戶 VLANVLAN 100用戶 IP 地址段10.1.100.0/24樓號1圖 3.3 IP 和 VLAN 對應規則根據具體需求與安全性要求等情況綜合分析，園區網IP 地址詳細規劃如表3.4 所示：表 3.4 IP 地址規劃表可編輯.物理位置VLAN范圍IP 網段默認網關獲取方式住宿區VLAN 10172.16.1.0 172.16.30.0/24172.16.x.254/24DHCPVLAN 30辦公區VLAN 40172.16.40.0 172.16.50

13、.0/24172.16.x.254/24DHCPVLAN 50服務器組VLAN100202.117.144.1-202.117.144.25202.117.144.25靜態指定343.7路由協議選擇路由協議可分為距離矢量、鏈路狀態和混合型路由協議。使用距離矢量路由協議時，所有路由器只能向它的鄰居路由器發送自己的整張路由表。然后路由器使用接收到的路由條目確定是否需要更新自己的路由表。這個過程會周期性的重復進行。與此相反，當網絡使用鏈路狀態路由協議時，每個路由器可以向其它所有的路由器發送自己的接口（鏈路）狀態信息，但是這僅僅發生在網絡拓撲發生變化的時候，每個路由器使用收到的鏈路狀態信息重新計算自己

14、到每個目標網絡的最佳途徑，然后把這些路由信息保存到自己的路由表中。混合型路由協議，顧名思義，該協議借用了距離矢量和鏈路狀態協議的思想。混合型協議能向鄰居路由器（類似距離矢量）發送變動的信息（類似鏈路狀態）。路由協議的比較路由信息協議（ Routing Information Protocol,RIP）RIP 是一種簡單的動態路由協議，RIP 至今有兩個版本， RIPv1 和 RIPv2 ，后者是前者的改進版本， RIP 是一種有類的距離矢量路由協議，它最顯著的特點是在路由更新報文中可編輯.不攜帶子網信息， RIP 默認的管理距離是120 ，它使用跳數做為度量值，最大跳數是15 ，如果超過 15

15、 就認為目標網絡不可達，所以RIP 只能適用于小型的網絡中。內部網關路由協議（ Interior Gateway Routing Protocol,IGRP）IGRP 是 Cisco 私有的協議，其目的是為了取代RIP，它也是一種距離矢量路由協議，IGRP 克服了 RIP 的一些嚴重缺陷， 如 IGRP 在計算路由度量值時沒有使用跳數，而是采用鏈路特征，因此要優于RIP 協議。但由于 IGRP 是 Cisco 私有的協議，非Cisco 廠商的設備不能支持 IGRP 協議，它的改進版是EIGRP。增強型內部網關路由協議（Enhanced Interior Gateway RoutingProto

16、col,EIGRP ）EIGRP 是增強型的 IGRP 協議，它是一種典型的平衡混合路由選擇協議，它融合了距離矢量和鏈路狀態兩種路由協議的優點，使用一種散射更新算法， 實現了很高的路由性能，但由于 EIGRP 也是 Cisco 私有協議，不能在其它非 Cisco 設備上使用，它的應用也受到了限制。開放最短路徑優先（ Open Shortest Path First,OSPF）OSPF 是一種典型的鏈路狀態、 無類別 IP 路由協議， OSPF 能夠適應大型IP 網絡的擴展，而基于距離矢量的IP 路由協議如 RIP 和 IGRP 則不能適應這種網絡。 OSPF 基于鏈路狀態，其路由是基于網絡地址

17、及鏈路狀態度量的。作為一種自適應協議，OSPF 可以根據網絡狀態故障情況自動調整，具有收斂時間短的優點，有利于路由表的快速穩定，這樣使OSPF 可以支持大型的網絡。 OSPF 的設計可以防止通信數據形成環路，這對于網狀網絡或由多個路由器實現的不同局域網互聯非常重要。OSPF 還有其它一些特性：使用了區域的概念，有效的減少了路由選擇協議對路由器的CPU 和內存的占用率，劃分區域還可以降低路由協議的通信量，從而使構建層次化互聯網成為可能。可編輯.完全無類別地處理地址問題，排除了有類路由協議存在的問題。支持使用多條路由路徑的、效率更高的負載均衡。使用保留的組播地址來減少對不運行OSPF 協議的設備的

18、影響。支持更安全的路由選擇認證。使用可以跟蹤外部路由的路由標記。經過各種路由協議的對比和選擇，園區網適合采用OSPF 路由協議。3.8 配置規范主機命名規范如果客戶有規范或明確合理要求，則按照客戶的規范或要求進行配置。如金融行業規范。如果客戶沒有規范或明確合理要求，可參考設備位置、網絡位置、設備型號、設備編號等因素，在項目中制定統一的命名規范。主機命名規范如下圖3.5 所示：圖 3.5 主機命名規范設備互聯接口描述可編輯.項目中所有涉及到可網管設備互聯的端口必須配置端口描述登陸密碼配置項目中所有可網管設備必須配置特權密碼及遠程登陸密碼。系統時間配置項目中所有可網管設備必須重新設置正確的系統時間

19、。二層交換機管理IP 配置項目中可網管二交換機必須配置管理IP 地址，供管理員遠程管理設備所用。可編輯.第四章網絡安全設計園區網的安全是一個綜合問題， 它包含網絡設備和人為因素兩個方面以及與外網（ Internet ）接口上的安全問題。網絡的有效性和可靠性即它的可連續運行的安全性是網絡建設必須考慮的首要原則，從用戶的角度考慮， 當網絡所需的服務不可用時，不管是何種原因，網絡就失去了實際價值。從另一角度看，當某種網絡服務的響應時間變得變幻莫測時，網絡系統也不可靠了。 為此我們在網絡設計上就考慮了以下的技術來提高安全性。4.1 VLAN技術VLAN 技術是通過路由和交換設備， 在網絡的物理拓撲基礎

20、上建立的一個邏輯的網絡。 VLAN 可以看作是一個廣播域， 它們不受地理位置的限制而像處于同一 LAN 上那樣相互交換信息。 VLAN 是在交換網絡中實現的。每個交換設備均可根據網絡管理人員所定義的 VLAN 劃分方法對報文進行過濾和轉發，并能將這種劃分信息傳遞到網絡中其它交換設備和路由器中去。可以限制VLAN 中的用戶數量，禁止那些沒有得到許可的用戶加入到某個 VLAN 中。這樣，可以控制用戶對網絡資源的訪問， 控制廣播組的大小和組成， 并借助網管軟件在發生非法入侵時通知管理員。交換機上劃分VLAN 方法如圖 4.1 所示：可編輯.交換機1234VLAN 10VLAN 20廣播域廣播域圖 4

21、.1 交換機劃分VLAN方法4.2 VPN技術虛擬專用網（ VirtualPrivateNetwork，VPN ）技術的基本思路是充分利用現有的公用網絡來建立一個私有的、安全的連接， 即建立一條穿過混亂的公用網絡的安全、穩定的隧道， 同時避免昂貴的專線租用費用，它使用的是建立在物理連接基礎上的邏輯連接，客戶并不能意識到實際的物理連接，而且在穿越Internet進行路由時，其安全性與在專用網絡中進行安全路由的安全性基本相同。4.3防火墻技術目前，在保護計算機網絡安全的設備中，使用最多的就是防火墻。防火墻是在兩個網絡之間執行控制策略的系統，這兩個網絡中， 通常一個是要保護的內部可編輯.網，一個是外部網，防火墻在內部網和外部網之間構成一道屏障，通過檢測、限制或者更改通過它的數據流，對外屏蔽內部網的信息、結構和運行狀況，以防止發生網絡入侵或攻擊，達到對內部網的安全保護。防火墻原理如圖4.2 所示：黑客禁止服務器或用戶圖4.2防火墻原理圖可編輯.第五章網絡模擬實現5.1模擬器介紹eNSP