园区网络设计方案.doc

1、网络设计与组网综合大作业 目 录 网络设计与组网综合大作业 I 目 录 I 第一章 绪论 .2 1.1 概况 .2 1.2 主要内容 2 第二章 园区网概述 .3 2.1 园区网含义 3 2.2 园区网特点 3 2.3 园区网发展趋势 3 第三章 园区网设计 .4 3.1 需求分析 4 3.2 网络设计原则 4 3.3 网络模型设计 5 3.4 园区网络拓扑图 7 3.5 IP 地址规划 .7 3.6VLAN 规划 8 3.7 路由协议选择 8 3.8 配置规范 .10 第四章 网络安全设计 .12 4.1 VLAN 技术 12 4.2 VPN 技术 .13 4.3 防火墙技术 13 第五章

2、网络模拟实现 .14 5.1 模拟器介绍 14 I 5.2 模拟环境拓扑图 14 5.3 需求实现 15 5.4 配置步骤 16 第六章 总结 .17 第一章 绪论 1.1 概况 随着计算机网络的迅速发展，曾经在园区网中被大量使用的 10M/100M 以 太网技术、ATM 技术已经渐渐不能适应现在的业务需求，作为园区主干网， 10M/100M 以太网作为主干网络核心技术带宽不足的弊病渐渐凸显，已经严重 影响着园区网络的运行效率，目前仍有许多大型园区网络在使用 ATM 技术， 这样的网络面临两个问题：VLAN 间路由的性能不能满足网络需求，并且 ATM 技术正在逐步被淘汰。现在，千兆以至 10G

3、 级别以太网技术正逐渐成为园区网 络主干的主流技术。因此，许多大型园区网络面临技术改造或者重新设计。 1.2 主要内容 本文主要做了以下两个方面的工作： 第一，介绍了园区网络的含义、特点，按网络设计与组网课程的要求方法 规划设计一个完整的园区网络。 第二，使用华为的 eNSP 对网络进行了简单的模拟，以实现网络的互通互联， 对各层设备进行了配置。 第二章 园区网概述 2.1 园区网含义 园区网是指为企事业单位组建的办公局域网。典型的园区网包括校园网、 社区网、住宅小区网、企事业单位网等。 2.2 园区网特点 园区网是网络的基本单元。 园区网较适合于采用三层结构设计。 园区网对线路成本考虑的较少

4、，对设备性能考虑的较多，追求较高的带 宽和良好的扩展性。 园区网的结构比较规整。 2.3 园区网发展趋势 从计算机网络应用角度来看，网络应用系统将向更深和更宽的方向发展， 这也相应的影响着未来园区网的发展方向。 首先，Internet 信息服务将会得到更大发展。网上信息浏览、信息交换、资 源共享等技术将进一步提高速度、容量及信息的安全性。 其次，远程会议、远程教学、远程医疗、远程购物等应用将逐步从实验室 走出，不再只是幻想。网络多媒体技术的应用也将成为网络发展的热点话题。 3 第三章 园区网设计 3.1 需求分析 某企业园区刚刚建成，是一大型企业的分支机构，为了实现企业的办公信息自动化， 扩大

5、企业的影响，方便和总部的信息交流，需要建立自己企业的 Intranet。 企业现在有 2 幢 9 层的办公大楼，分别是生产部和销售部，另外还有一个家属区， 家属区有 3 幢 6 层的大楼，两个相距 300 米。企业局域网需要考虑覆盖办公区和家属区。 局域网需要实现的目标如下： 实现有效的信息交换和共享。企业通过两条专线接入电信和网通。 企业需要实现办公自动化。局域网提供企业内部电子邮件收发、信息浏览、文件 管理、会议管理、电子公告等多方面应用。 为了扩大企业的影响，企业对外提供自己的宣传网站，并且能够保证网站安全， 不受外部或者内部攻击。 充分考虑今后各部门的接入扩展性。 充分考虑企业内部网络

6、的安全性。 3.2 网络设计原则 我们遵循以下的原则进行网络设计： 实用性 实用性是网络系统建设的首要原则，该网络必须最大限度的满足需求，保证网络服 务的质量，否则就会影响日常工作效率。 标准化 整个网络从设计、技术和设备的选择，要确保将来可能的不同厂家设备、不同应用、 不同协议连接的需求，必须支持国际标准的网络接口和协议，以提供高度的开放性。 先进性 先进性主要是针对网络系统的设计思想、网络结构、软硬件设施以及所选用技术等 方面。只有先进的技术才可能为网络带来更高的性能，并且能保证在技术上不容易被淘 汰。 可扩展性 可扩展性是指该网络系统能够适应需求的变化。随着技术发展，信息量增多和业务 的

7、扩大，网络将在规模和性能两方面进行一定程度的扩展。 可靠性 网络要求具有高可靠性，高稳定性和足够的冗余，提供拓扑结构及设备的冗余和备 份，为了防止局部故障引起整个网络系统的瘫痪，要避免网络出现单点失效，核心设备 需要支持冗余备份。 安全性 网络安全性在整个网络中是个很重要的问题，网络系统建设应采取一定手段控制网 络的安全性，以保证网络正常运行。 管理性 随着网络规模和复杂程度的增加，管理和故障排除就会越来越困难。为保障网络中 心的正常运行，网络必须易于管理，支持网络网段与端口的监控、网络流量与出错的统 计、网络故障的定位、诊断、修复。 3.3 网络模型设计 图 3.1 典型的三层网络模型 5

8、三层网络架构采用层次化模型设计，即将复杂的网络设计分成三个层次，每个层次 着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。三层 网络架构设计的网络有以下三个层次： 3.3.1 核心层 核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。核心层应该 具有如下几个特性:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。 该层必须是基于千兆高速交换和路由的设计，设备的性能容量也是最高的（高达百 Gbps 容量和每秒千万级数据包转发能力） 。主要是由全模块化的高性能多层路由交换机 和高性能服务器组成，系统带宽必须是千兆甚至 10Gbps。 3.3.2 汇

9、聚层 汇聚层是网络接入层和核心层的“中介” ，就是在工作站接入核心层前先做汇聚，以 减轻核心层设备的负荷。汇聚层具有实施路由策略、安全、工作组接入、虚拟局域网 (VLAN)之间的路由、源地址或目的地址过滤等多种功能。 该层一般采用 100M 或 1000M 的快速交换路由设计，设备的性能容量性也很高，主 要由固定配置+可选模块的三层路由交换设备组成。 3.3.3 接入层 接入层向本地网段提供工作站接入。在接入层中，减少同一网段的工作站数量,能够 向工作组提供高速带宽。 访问层是由 100M 快速以太网交换机和客户机组成，该层次一般采用 100M 快速以 太网，采用可管理的固定配置的工作组级别的

10、交换机，能提供多层堆叠功能实现大量用 户的接入。 三层网络架构的特点是网络性能高，层次清晰，网络管理直观、方便，并合理地分 散了网络设备带来的安全风险，网络结构安全可靠。 3.4 园区网络拓扑图 图 3.2 三层网络架构的园区网拓扑图 3.5 IP 地址规划 在构建基于 TCP/IP 的企业网络时，IP 地址的选择是根据企业网络规模大小从以下 三类国际 Internet 组织公布的私有网段中产生，这些范围内的 IP 地址不在 Internet 上传 输，是专门提供给企业用来建设内部网络： A 类私有 IP: 10.0.0.0 10.255.255.255。 B 类私有 IP: 172.16.0

11、.0172.16.31.255。 C 类私有 IP: 192.168.0.0192.168.255.255。 对于小型园区网络，由于上网用户少、设备数量少，建议使用地址空间小的 192.168.0.0/16 的网络。而对于中大型园区网络，如三层结构的校园网，由于上网人数 多，设备数量多，建议采用地址空间大的 10.0.0.0/8 的网络。 7 3.6VLAN 规划 虚拟局域网(VLAN)是将局域网内广播域逻辑地划分为若干子网。在一个交换局域网 中，所有局域网段通过交换机连接到一起，路由器连在交换机上(如果是三层交换机，则 不需路由器)，可以按网段和站点的逻辑分组形成广播域，通过在局域网交换机内

12、过滤广 播包，使得源于特定虚拟局域网的信息包仅传送到那些也属于这个虚拟局域网的网段上。 虚拟局域网之间的寻径由路由器完成。 虚拟局域网建立以后，能有效地控制网络的广播风暴，减少不必要的资源带宽浪费， 并能随着企业规模的发展和调整改变通信流的模式。 VLAN 规划需要考虑如下因素： 用户 VLAN 与设备管理 VLAN 分开(IP 地址)。 为网络扩容进行可汇总的预留设计。 IP 地址与 VLAN 编号(其它相关因素)有一定的对照性。如图 3.3 所示： 用户 V L A N V L A N 1 0 0 用户 I P 地址段 1 0 . 1 . 1 0 0 . 0 / 2 4 楼号 1 图 3.

13、3 IP 和 VLAN 对应规则 根据具体需求与安全性要求等情况综合分析，园区网 IP 地址详细规划如表 3.4 所示： 表 3.4 IP 地址规划表 物理位置 VLAN 范围 IP 网段 默认网关 获取方式 住宿区 VLAN 10 VLAN 30 172.16.1.0172.16.30.0/24 172.16.x.254/24 DHCP 办公区 VLAN 40 VLAN 50 172.16.40.0172.16.50.0/24 172.16.x.254/24 DHCP 服务器组 VLAN100 202.117.144.1-202.117.144.253 202.117.144.254 静态指

14、定 3.7 路由协议选择 路由协议可分为距离矢量、链路状态和混合型路由协议。 使用距离矢量路由协议时，所有路由器只能向它的邻居路由器发送自己的整张路由 表。然后路由器使用接收到的路由条目确定是否需要更新自己的路由表。这个过程会周 期性的重复进行。 与此相反，当网络使用链路状态路由协议时，每个路由器可以向其它所有的路由器 发送自己的接口（链路）状态信息，但是这仅仅发生在网络拓扑发生变化的时候，每个 路由器使用收到的链路状态信息重新计算自己到每个目标网络的最佳途径，然后把这些 路由信息保存到自己的路由表中。 混合型路由协议，顾名思义，该协议借用了距离矢量和链路状态协议的思想。混合 型协议能向邻居路

15、由器（类似距离矢量）发送变动的信息（类似链路状态）。 路由协议的比较 路由信息协议（Routing Information Protocol,RIP ） RIP 是一种简单的动态路由协议，RIP 至今有两个版本， RIPv1 和 RIPv2，后者是前 者的改进版本，RIP 是一种有类的距离矢量路由协议，它最显著的特点是在路由更新报文 中不携带子网信息，RIP 默认的管理距离是 120，它使用跳数做为度量值，最大跳数是 15，如果超过 15 就认为目标网络不可达，所以 RIP 只能适用于小型的网络中。 内部网关路由协议（Interior Gateway Routing Protocol,IGRP

16、 ） IGRP 是 Cisco 私有的协议，其目的是为了取代 RIP，它也是一种距离矢量路由协议， IGRP 克服了 RIP 的一些严重缺陷，如 IGRP 在计算路由度量值时没有使用跳数，而是采 用链路特征，因此要优于 RIP 协议。但由于 IGRP 是 Cisco 私有的协议，非 Cisco 厂商的 设备不能支持 IGRP 协议，它的改进版是 EIGRP。 增强型内部网关路由协议（Enhanced Interior Gateway Routing Protocol,EIGRP） EIGRP 是增强型的 IGRP 协议，它是一种典型的平衡混合路由选择协议，它融合了距 离矢量和链路状态两种路由协

17、议的优点，使用一种散射更新算法，实现了很高的路由性 能，但由于 EIGRP 也是 Cisco 私有协议，不能在其它非 Cisco 设备上使用，它的应用也受 到了限制。 开放最短路径优先（Open Shortest Path First,OSPF） OSPF 是一种典型的链路状态、无类别 IP 路由协议，OSPF 能够适应大型 IP 网络的 扩展，而基于距离矢量的 IP 路由协议如 RIP 和 IGRP 则不能适应这种网络。OSPF 基于链 路状态，其路由是基于网络地址及链路状态度量的。作为一种自适应协议，OSPF 可以根 据网络状态故障情况自动调整，具有收敛时间短的优点，有利于路由表的快速稳定

18、，这 9 样使 OSPF 可以支持大型的网络。OSPF 的设计可以防止通信数据形成环路，这对于网状 网络或由多个路由器实现的不同局域网互联非常重要。 OSPF 还有其它一些特性： 使用了区域的概念，有效的减少了路由选择协议对路由器的 CPU 和内存的占用率， 划分区域还可以降低路由协议的通信量，从而使构建层次化互联网成为可能。 完全无类别地处理地址问题，排除了有类路由协议存在的问题。 支持使用多条路由路径的、效率更高的负载均衡。 使用保留的组播地址来减少对不运行 OSPF 协议的设备的影响。 支持更安全的路由选择认证。 使用可以跟踪外部路由的路由标记。 经过各种路由协议的对比和选择，园区网适合

19、采用 OSPF 路由协议。 3.8 配置规范 主机命名规范 如果客户有规范或明确合理要求，则按照客户的规范或要求进行配置。如金融行业 规范。如果客户没有规范或明确合理要求，可参考设备位置、网络位置、设备型号、设 备编号等因素，在项目中制定统一的命名规范。主机命名规范如下图 3.5 所示： 图 3.5 主机命名规范 设备互联接口描述 项目中所有涉及到可网管设备互联的端口必须配置端口描述 登陆密码配置 项目中所有可网管设备必须配置特权密码及远程登陆密码。 系统时间配置 项目中所有可网管设备必须重新设置正确的系统时间。 二层交换机管理 IP 配置 项目中可网管二交换机必须配置管理 IP 地址，供管理

20、员远程管理设备所用。 11 第四章 网络安全设计 园区网的安全是一个综合问题，它包含网络设备和人为因素两个方面以及 与外网（Internet ）接口上的安全问题。网络的有效性和可靠性即它的可连续运 行的安全性是网络建设必须考虑的首要原则，从用户的角度考虑，当网络所需 的服务不可用时，不管是何种原因，网络就失去了实际价值。从另一角度看， 当某种网络服务的响应时间变得变幻莫测时，网络系统也不可靠了。为此我们 在网络设计上就考虑了以下的技术来提高安全性。 4.1 VLAN 技术 VLAN 技术是通过路由和交换设备，在网络的物理拓扑基础上建立的一个 逻辑的网络。VLAN 可以看作是一个广播域，它们不受

21、地理位置的限制而像处 于同一 LAN 上那样相互交换信息。VLAN 是在交换网络中实现的。每个交换设 备均可根据网络管理人员所定义的 VLAN 划分方法对报文进行过滤和转发，并 能将这种划分信息传递到网络中其它交换设备和路由器中去。可以限制 VLAN 中的用户数量，禁止那些没有得到许可的用户加入到某个 VLAN 中。这样，可 以控制用户对网络资源的访问，控制广播组的大小和组成，并借助网管软件在 发生非法入侵时通知管理员。交换机上划分 VLAN 方法如图 4.1 所示： 1 432交换机 广播域 广播域 V L A N 1 0 V L A N 2 0 图 4.1 交换机划分 VLAN 方法 4.

22、2 VPN 技术 虚拟专用网（Virtual Private Network，VPN ）技术的基本思路是充分利用 现有的公用网络来建立一个私有的、安全的连接，即建立一条穿过混乱的公用 网络的安全、稳定的隧道，同时避免昂贵的专线租用费用，它使用的是建立在 物理连接基础上的逻辑连接，客户并不能意识到实际的物理连接，而且在穿越 Internet 进行路由时，其安全性与在专用网络中进行安全路由的安全性基本相同。 4.3 防火墙技术 目前，在保护计算机网络安全的设备中，使用最多的就是防火墙。防火墙 是在两个网络之间执行控制策略的系统，这两个网络中，通常一个是要保护的 内部网，一个是外部网，防火墙在内部网

23、和外部网之间构成一道屏障，通过检 测、限制或者更改通过它的数据流，对外屏蔽内部网的信息、结构和运行状况， 以防止发生网络入侵或攻击，达到对内部网的安全保护。防火墙原理如图 4.2 所示： 黑客 禁 止 服务器或用户 图4.2 防火墙原理图 13 第五章 网络模拟实现 5.1 模拟器介绍 eNSP(Enterprise Network Simulation Platform)是 一 款 由 华 为 提 供 的 免 费 的 、 可 扩 展 的 、 图 形 化 操 作 的 网 络 仿 真 工 具 平 台 ， 主 要 对 企 业 网 路 由 器 、 交 换 机 进 行 软 件 仿 真 ， 完 美 呈

24、现 真 实 设 备 实 景 ， 支 持 大 型 网 络 模 拟 ， 让 广 大 用 户 有 机 会 在 没 有 真 实 设 备 的 情 况 下 能 够 模 拟 演 练 ， 学 习 网 络 技 术 。 eNSP 主 界 面 如 图 5.1 所 示 ： 图 5.1 eNSP 主界面 5.2 模拟环境拓扑图 由于园区网络规模较大，本次只能针对对部分重要节点和典型区域进行模 拟配置工作，模拟器网络拓扑如图 5.3 所示： 图 5.3 模拟器网络拓扑 5.3 需求实现 某园区网拓扑及规划上图所示，其中 AR1 是园区网出口路由器。 AR2 和 AR3 是园区网核心设备，和 AR1 互联地址段是 192.

25、168.1.0/24 和 192.168.2.0/24。L SW1 和 LSW2 是两台接入设备，下联用户 VLAN 10 和 VLAN 20，对应用户子网分别是 192.168.10.0/24 和 192.168.20.0/24，网关 分别是 192.168.10.254 和 192.168.20.254。AR1 、AR2 和 AR32 运行 OSPF， 都属于 AREA 0。 实现以下需求： 所有通过 LSW1 接入的用户 IP 地址必须动态获得，不允许私设 IP 地址， DHCP 服务器是两台相同交换机。 LSW2 上连接用户的端口必须能够快速收敛，防止可能存在的环路，其 15 它不用的端口必须手动关闭。 在 RSR-1 上配置动态 NAT，实现内部网络私有地址到外部网络公有地址 的转换。 5.4 配置步骤 配置路由器接口 配置 OSPF 配置 DHCP 配置 NAT