综合组网-网络产品应用课程设计.docx

资源描述

1、浙江商业职业技术学院信息技术学院网络产品应用课程设计班级：网络 1123 班组员：严宏星、王森伟、孔庆隆、任未、赵慧敏、张柳军指导教师：陈辉时间：2013-5-13 目录综合组网 1 一、项目背景 1 二、网络规划设计 3 1、网络建设目标 3 2、网络规划 3 三、内网配置 11 1、总部内网部署 11 2、深圳办事处内网部署 13 3、上海研究所内网部署 14 四、广域网部署 16 1、广域网部署 16 五、路由部署 20 1、路由部署 20 六、网络安全部署 24 七、小结 25 综合组网一、项目背景 XX 公司是一个高新技术企业，以研发、销售汽车零部件为主，

2、其生产环节采用 OEM（Original Equipment Manufacture，定牌生产合作）方式。公司总部设在北京，在深圳设有一个办事处，在上海设有研究所。总部负责公司运营管理，深圳办事处主要负责珠三角、港澳地区的产品销售及渠道拓展，上海研究所负责公司产品市场调研、产品研发等工作。该公司在 2003 年的时候组建了网络，如实验图图表 11XX 公司总部及办事处组网图所示。北京总部、深圳办事处、上海研究所都各自组建了办公网络，都采用了 ADSL 方式直接将内部网络同 Internet 连接起来，通过 Internet 将总部和异地办事处连接起来；各 PC 及内部的服务器

3、用 Hub 连接。图表 Error! No text of specified style in document.1XX 公司总部及办事处组网图在网络建设初期，网络的速度还可以满足需要。随着公司的发展，人员越来越多，网络速度越来越低。除此以外，还有下列一些问题。（1）网络故障不断，时常出现网络瘫痪现象。这一点深圳办事处表现的最为突出，一到夏季雷雨季节，往往下一次雨， ADSL 路由器和 Hub 就会被雷电击坏一次。一旦故障，短者几小时，长者几天都无法正常办公。（2）病毒泛滥，攻击不断。特别是从 2006 年 ARP 病毒爆发以来，总部及分支机构的网络就没有消停过。不仅仅是病

4、毒，各种木马也很猖狂，一些账号密码常被盗取，使研发的服务器基本不敢连接内网。（3）总部同办事处发送信息不安全。总部同分支机构之间发送的信息不够安全，时常出现信息被窃取的现象。为此，总部和分支机构之间的机密信息全部使用 EMS 方式快递，不但费用高，而且速度也慢。（4）一些员工使用 P2P 工具，不能监督。自从有了 P2P 应用以后，采用 P2P 应用的多媒体资源越来越多，内部员工使用 BT、迅雷等工具下载文件的事情时有发生，一旦有人下载，原本就速度缓慢的网络变得更慢，基本无法使用。（5）公司的一些服务器只能托管，不能放在公司内部。公司有自己的 OA 及 WWW 服务器，但

5、因为内网存在安全隐患，且无固定 IP 地址，这些服务器只能托管在运营商的 IDC 机房，不能放在公司内部，给管理和维护带来极大不便。以上是 XX 公司网络目前出现的一些问题。对这些问题及网络的重要性，公司的领导层也是深有认识。为了提高工作效率，降低公司运营成本，公司领导层决定对目前公司的为了进行升级改造。二、网络规划设计 1、网络建设目标 XX 公司决定对当前的总部及办事处的办公网络进行升级改造，彻底解决当前网络存在的种种问题，提高公司的办公效率，降低公司的运营成本。为此公司召开了各部门负责人会议，讨论网络的建设目标及其他一些细节。经过深入的讨论，得出了一下建设目标。（1）

6、网络带宽升级，达到千兆骨干，百兆到桌面。目前内部网络采用是 100Mbps 共享 Hub 互联，内部各 PC 之间共享带宽，升级之后变为 100Mbps 独享到桌面，总部网络骨干升级为 1000Mbps。（2）增强网络的可靠性即可用性。升级之后的整个网络要具备高可用性。网络不会因为单点故障而导致全网瘫痪；设备、拓扑等要有可靠性保障，不会因雷击而出现故障。（3）网络要易于管理、升级和拓展。升级之后的网络要易于管理，要提供图形化的管理界面和故障自动告警措施。另外考虑到公司以后的发展，网络要易于升级和扩展，要满足 35 年内因人员增加、机构增加而扩展网络的需求。（4）确保

7、内网安全及同办事处之间交互数据的安全。升级之后的网络要确保总部和分支机构的内网安全，能够彻底解决 ARP 欺骗问题，防止外部对内网的攻击，同时要保证总部和办事处之间传递数据的安全性和可靠性。另外，要能监控和过滤员工发往外部的邮件及员工访问的网站等。（5）服务器管理及访问权限控制，并能监管网络中的 P2P 应用。网络升级之后，要将托管在运营商 IDC 机房的 OA 及 WWW 服务器搬回公司，自行管理和维护。深圳办事处及上海研究所只能访问总部，深圳办事处和上海研究所之间不能互相访问。能监控网络中的 P2P 应用，能对 P2P 应用进行限制，防止网络带宽资源的占用。 2、网络规

8、划（1）拓扑规划根据现有网络拓扑结构，结合建设目标及实际需求，新规划的拓扑结构如实验图图表 22XX 公司新网络拓扑图所示。图表 Error! No text of specified style in document.2XX 公司新网络拓扑图在此拓扑结构中，总部的一台核心交换连接 3 台接入层交换机和一台服务器区交换机，构成了总部内部 LAN；总部一台路由器通过租用 ISP 的 SDH 线路将深圳办事处、上海研究所连接起来；总部的出口通过互联路由器连接到 Internet。在办事处的路由器下挂一台 48 口的交换机构成办事处的内部网络。（2）设备选型根据网络建设目标，

9、结合前述的拓扑结构以及 H3C 目前的设备型号，总部、深圳办事处及上海研究所具体设备明细如实验表表格 21 总部及分支结构设备明细表所示。表格 Error! No text of specified style in document.1 总部及分支结构设备明细表办事处设备型号描述数量 H3C MSR30-20 2GE 端口/4SIC 槽位/2MIM 槽位 1 RT-MIM-4E1-F 4 端口非通道化 E1 端口模块 1 S5600-26C 24GE 端口/4GE 复用端口 1 CAB E1-F 75W E1-F 线缆 3 S5100-16P-SI 16GE 端口/4GE

10、复用端口 1 北京总部 S3100-52TP-SI 48FE 端口/2GE 端口/2 SEP 端口 3 H3C MSR20-20 2FE 端口/2SIC 槽位 1 RT-SIC-1E1-F 1 端口非通道化 E1 端口模块 1 CAB E1-F 75W E1-F 线缆 1 深圳办事处 S3100-52TP-SI 48FE 端口/2GE 端口/2 SEP 端口 1 H3C MSR20-20 2FE 端口/2SIC 槽位 1 RT-SIC-2E1-F 2 端口非通道化 E1 端口模块 1 CAB E1-F 75W E1-F 线缆 2 上海研究所 S3100-52TP-SI 48FE 端口/2G

11、E 端口/2 SEP 端口 1 （3）设备命名及端口描述为了方便统一管理，需要对所有设备进行统一命名。本次项目设备命名采用如下格式。 AA-BB-CC 其中，AA 表示设备所处的地点，如北京简写为 BJ，上海简写为 SH；BB 表示设备的型号，如 MSR30-20 表示为 MSR3020，S3100-52P-SI 表示为 S3152P；CC 表示同型号设备的数量，如第一台设备表示为 0，第二台设备表示为 1。根据上述规则，总部的第一台路由器 MSR30-20 命名为 BJ-MSR3020-0，其余以此类推。所有设备的命名明细如实验表表格 22 设备命名明细表所示。表格 Err

12、or! No text of specified style in document.2 设备命名明细表办事处设备型号设备名称 MSR30-20 BJ-MSR3020-0 S5600-26C BJ-S5626C-0 S5100-16P-SI BJ-S5116P-0 S3100-52TP-SI BJ-S3152TP-0 S3100-52TP-SI BJ-S3152TP-1 北京总部 S3100-52TP-SI BJ-3152TP-2 深圳办事处 H3C MSR20-20 SZ-MSR2020-0 S3100-52TP-SI SZ-S3152TP-0 H3C MSR20-20 SH-MSR

13、2020-0上海研究所 S3100-52TP-SI SH-S3152TP-0 为了方便在配置文件中能清晰地看明白设备的实际连接关系，需要对设备的连接端口添加描述。本次项目的端口描述格式如下： Link-To-AAA-BBB 其中，AAA 表示为对端设备的名称，采用统一名称格式表示；BBB 表示为对端设备的端口，如 E1/0/1 口。例如，若总部的接入交换机连接到核心交换机的 G1/0/1 口，则端口描述如下： Link-To-BJS5626-G1/0/1 （4）WAN 规划根据前面的需求分析，在总部及分支机构之间使用专线连接，并选用中国电信公司提供的基于 SDH 传输网络的 E1

14、线路。考虑到上海研究所的业务数据相对较多，对带宽需求较高，总部与上海研究所之间采用 2 条 E1 线路，总部与深圳办事处之间采用 1 条 E1 线路，如实验图图表 23 总部及分支结构互连图所示。图表 Error! No text of specified style in document.3 总部及分支结构互连图所以在选用设备的广域网接口模块时，总部选用 4E1-F，深圳办事处选用 1E1-F，而上海研究所所选用 2E1-F 模块。如果办事处继续增加，而目前或扩展后的 E1 模块无法满足要求，可以将 E1 模块换为 CP0S 模块。因为一个 155Mbps 的 CP0S 模块

15、可以通过传输设备进行时隙划分，分为 63 个 E1 接口。（5）LAN 规划局域网规划包含 VLAN 规划、端口聚合规划以及端口隔离、地址捆绑规划几个部分。深圳办事处及上海研究所因员工数量较少，不会出现广播风暴现象，所以不划分 VLAN。北京总部员工数量多，而且部门之间需要访问控制，所以要进行 VLAN 划分。人事行政部、财务商务部人数相对独立，而且产品研发部还有访问控制要求，划分在 1 个 VLAN 内即可。产品研发部和技术支持部在业务上相对独立，而且产品研发部还有访问控制要求，故将两个部门各自划分一个 VLAN。为了便于服务器区的管理，也将服务器区划分为一个 VLAN。

16、部门、VLAN 号、交换机端口之间的关系如实验表表格 23 VLAN 规划明细表所示。表格 Error! No text of specified style in document.3 VLAN 规划明细表部门 VLAN 号所在设备端口明细人事行政部 VLAN 10 BJ-S3152TP-0 E1/0/1E1/0/10 财务商务部 VLAN 10 BJ-S3152TP-0 E1/0/11E1/0/30 产品研发部 VLAN 20 BJ-S3152TP-0 BJ-S3152TP-1 E1/0/31E1/0/48 E1/0/1E1/0/20 技术支持部 VLAN 3

17、0 BJ-S3152TP-1 BJ-S3152TP-2 E1/0/21E1/0/40 E1/0/1E1/0/48 服务器区 VLAN 40 BJ-S3152TP-0 G1/0/3G1/0/16 互连 VLAN VLAN 50 BJ-MSR3020-0 与 BJ-S5626C-0 之间互连管理 VLAN VLAN 1 交换机的管理 VLAN，用于 Telnet 及 SNMP 另外，在研发部的服务器区使用端口隔离技术，严格控制外部的访问，并针对内网中出现的 ARP 病毒现象，在核心交换机上进行端口捆绑。为了便于 IP 地址分配和管理，采用 DHCP 地址分配方式。使用核心交换机 S5600

18、-26C 作为 DHCP 服务器。（6） IP 地址规划在 XX 公司的原有网络中，每个地方都使用的都是 192.168.0.0/24 网段，在新的网络中需要对 IP 地址重新进行规划。在新的网络中需要如下三类 IP 地址业务地址、设备互连地址和设备管理地址。根据因特网的相关规定，决定使用 C 类私有地址，在总部和分支机构使用多个 C 类地址段。其中总部每个 VLAN 使用一个 C 网段，深圳办事处使用 192.168.5.0/24，上海研究所使用 192.168.6.0/24 网段，设备的互连地址及管理地址用 192.168.0.0/24 网段。具体规划如下。业务地址：根据实

19、际需要，并结合未来的需求数量，规划业务地址如实 1 验表表格 24 业务地址分配表所示。互连地址：互连地址主要用于设备的互连，在 XX 公司网络中设备的互 2 连地址主要有总部核心交换机与路由器互连、总部路由器与分支路由器互连等。共需要 3 对互连地址，如实验表表格 25 设备的互连地址所示。管理地址：用于设备的管理，各设备管理地址如实验表表格 26 设备的 3 管理地址所示。表格 Error! No text of specified style in document.4 业务地址分配表地点 VLAN 号网络号 IP 地址范围网关地址 VLAN 10 192.168.

20、1.0/24 192.168.1.1192.168.1.254 192.168.1.254 VLAN 20 192.168.2.0/24 192.168.2.1192.168.2.254 192.168.2.254 VLAN 30 192.168.3.0/24 192.168.3.1192.168.3.254 192.168.3.254 北京总部 VLAN 40 192.168.4.0/24 192.168.4.1192.168.4.254 192.168.4.254 深圳办事 192.168.5.0/24 192.168.5.1192.168.5.254 192.168.5.254 处

21、上海研究所 192.168.6.0/24 192.168.6.1192.168.6.254 192.168.6.254 表格 Error! No text of specified style in document.5 设备的互连地址本端设备本端 IP 地址对端设备对端 IP 地址 BJ-S5626C-0 192.168.0.1/30 BJ-MSR3020-0 192.168.0.2/30 BJ-MSR3020-0 192.168.0.5/30 SZ-MSR2020-0 192.168.0.6/30 BJ-MSR3020-0 192.168.0.9/30 SH-MSR2020-

22、0 192.168.0.10/30 表格 Error! No text of specified style in document.6 设备的管理地址办事处设备名称管理 VLAN/Loopback 管理地址 BJ-MSR3020-0 Loopback 0 192.168.0.17/32 BJ-S5626C-0 VLAN 1 192.168.0.25/29 BJ-S5116P-0 VLAN 1 192.168.0.26/29 BJ-S3152TP-0 VLAN 1 192.168.0.27/29 北京总部 BJ-S3152TP-1 VLAN 1 192.168.0.28/29 S

23、Z-MSR2020-0 Loopback 0 192.168.0.18/32深圳办事处 SZ-S3152TP-0 VLAN 1 192.168.5.250/24 SH-MSR2020-0 Loopback 0 192.168.0.19/32上海研究所 SH-S3152TP-0 VLAN 1 192.168.6.250/24 （7）路由规划 XX 公司的网络架构比较简单，目前只有一个总部和两个异地分支机构。如果只考虑现状，在这样的网络里，只需要部署静态路由就可使全网互通。但 XX 公司的网络并不会止于现状，随着公司业务的发展，公司的规模也会逐渐壮大，发展处更多的办事处。如果使用静态路由，当

24、公司扩大到一定规模的时候，就必须要将静态路由更改为动态路由，需要对网络重新进行规划，不利于扩展。而如果现在采用动态路由协议，在网络规模扩展时就不会出现这种现象，所以建议使用动态路由协议。在动态路由协议中，用的最多的莫过于 OSPF 协议。在 XX 公司的网络里就使用 OSPF。考虑到以后网络的扩展，对 OSPF 做如下规划，如实验图图表 24 OSPF 规划示意图所示。图表 Error! No text of specified style in document.4 OSPF 规划示意图将总部路由器的下行接口和分支路由器的上行接口规划为 Area0，总部的局域网规划为 Ar

25、ea1，深圳办事处规划为 Area2，上海研究所规划为 Area3;如果再增加分支机构的话，则可规划为 Area4、Area5，AreaN。如果分支机构本身的规模增加，不用更改区域。在网络的出口配置默认路由，以便访问外网，该路由吓一跳为运营商路由器的接口地址。（8）安全规划安全规划主要包含有访问控制、攻击防范和 P2P 监控 3 块内容。访问控制可以在路由器上通过 ACL 来实现。攻击防范可以通过在出口路由器上启动攻击防范功能来实现，这样就可以有效地阻止外部对内网的各种攻击。P2P 监控可以通过启用路由器上的 ASPF 功能来实现，发现问题可以及时阻止。通过在出口路由器上

26、部署 NAT，可以允许总部及分支机构访问 Internet。通过部署 NAT Server，可以允许总部的服务器对外提供服务。（9）网管规划在网络中部署网管服务器，通过图形化的管理平台来管理和监控全网设备。网管服务器的地址为 192.168.4.1，全网使用 SNMPv2c，读团体名为 CD-public，写团体名为 CD-private 三、内网配置 1、总部内网部署总部的拓扑结构及端口连接如实验图图表 35 总部拓扑结构所示。在内部部署中主要涉及设备的命名、端口连接描述、核心交换机与服务器区交换机的链路聚合、VLAN 配置、VLAN 路由以及交换机管理地址的配置等。图表

27、 Error! No text of specified style in document.5 总部拓扑结构第 1 步：按照前期的命名规划及端口描述给每台设备命名并添加端口描述。第 2 步：配置核心交换机与服务器区交换机的端口聚合，参与聚合的端口使用基于手动方式的链路聚合。为了验证聚合是否成功，可以在交换机上执行一条命令来查看，如下图 34 所示。图表 32配置核心交换机BJ-5626C-0-1 图表 33 配置服务器区交换机 BJ-5116P-0 图表 34 验证聚合第 3 步：根据前期的 VLAN 及端口分配规划，在各接入交换机上配置 VLAN，并将上行接口配置为 Trunk

28、链路，允许相关 VLAN 通过。第 4 步：为了让 VLAN 之间能够通信，在核心交互及 BJ-S5626-0-3 上为每个 VLAN 配置 IP 地址，启动 VLAN 间路由功能，具体 IP 地址见前期规划。第 5 步：根据前期的规划，要在核心交换机是上配置 DHCP 协议，为各 PC 分配 IP 地址，如下图图表 35 所示。图表 35 配置 DHCP 在 PC 上测试 DHCP 配置是否成功，如下图图表 36 所示。图表 36 测试 DHCP 配置第 6 步：配置交换机的管理地址。 2、深圳办事处内网部署深圳办事处的网络结构如实验图 3-2 所示，此部分内网的部署主要由设

29、备命名、DHCP 配置、管理地址配置 3 部分主成。图表 Error! No text of specified style in document.7 总部拓扑结构第 1 步：按照前期的规划，要为设备命名并添加端口描述。第 2 步：DHCP 配置。在深圳办事处，使用 DHCP 方式为接入 PC 分配 IP 地址，DHCP 服务器为 MSR2020 路由器，如下图图表 38 所示。图表 38 配置 DHCP 第 3 步：为了方便交换机的需要，此时需要为交换机配置管理地址。 3、上海研究所内网部署上海研究所的网络结构同深圳办事处，如图 3-3 所示，此部分内网的部署主要由设备命名

30、、DHCP 配置、管理地址配置。图表 Error! No text of specified style in document.9 上海研究所的网络结构第 1 步：按照前期的规划，要为设备命名并添加端口描述。第 2 步：DHCP 配置。在上海研究所，使用 DHCP 方式为接入 PC 分配 IP 地址，DHCP 服务器为 MSR2020 路由器，如下图图表 310 所示。图表 310 配置 DHCP 第 3 步：为了方便交换机的需要，此时需要为交换机配置管理地址。四、广域网部署 1、广域网部署考虑到上海研究所生产数据量较大，故在上海研究所与北京总部之间采用两条 E1 线路；深圳

31、办事处与北京总部之间采用 1 条 E1 线路，如图 4-1 所示图表 4-1 总部与办事处广域网连接示意图为了保障总部与分支机构之间传输数据的安全，在总部与分支机构之间采用专线连接，因为专线是一种与其他网络物理隔离的网络，在数据传输上有很高的安全性；并且选用中国电信公司提供的基于 SDH 传输网络的 E1 线路。在 SDH 线路上，采用点到点的 PPP 协议作为广域网协议；北京总部和上海研究所之间采用 MP-group 的方式将两条 E1 线路捆绑起来使用。第 1 步：BJ-MSR3020-0 配置，配置如图所示：图4-2添加互连端口图4-3配置MP-GROUP 0接口第

32、2 步：SZ-MSR2020-0 配置，配置如图所示：图4-4 配置SZ-MSR2020-0 第 3 步：SH-MSR2020-0 配置，配置如图所示：图4-5 配置SH-MSR2020-0 第 4 步：查看，如图所示：图4-6 查看MP捆绑图4-7 查看接口图4-8 查看接口五、路由部署 1、路由部署考虑到 xx 公司未来的发展战略规划，在部署路由时，全网采用动态的 ospf 协议，并规划每个办事处未一个 Area,这样如果以后网络规模扩大，也不需要对整网重新规划，而只需增加 Area 即可。为了方便对各办事处访问外网的控制，规划这个网络的公司出口设在总部，由总部一出口访问

33、外网，在总部和外网之间使用默认路由。图表 5-1 路由规划第 1 步：根据前期的规划，下图图表 52 所示为 BJ-S5626C-0-1 交换机的 OSPF 路由协议配置。图表 5-2 配置BJ-S5626C-0-1 OSPF 图表 53配置BJ-S5626C-0-1OSPF 第 2 步：根据前期的规划，下图图表 54 所示为 BJ-MSR3020-0-1 交换机的 OSPF 路由协议配置。图表5-4 配置BJ-MSR3020-0-1OSPF 图表 5-5 配置BJ-MSR3020-0-1 OSPF 第 3 步：根据前期的规划，下图 56 所示为 SZ-MSR2020-0-1 交换

34、机的 OSPF 路由协议配置。图表 56配置SZ-MSR2020-0-1 图表 57配置SZ-MSR2020-0-1 第 4 步：根据前期的规划，下图图表 18 所示为 SH-MSR2020-0-1 交换机的 OSPF 路由协议配置。图表 58配置SH-MSR2020-0-1 图表 59 配置SH-MSR2020-0-1 六、网络安全部署 1、网络安全部署第 1 步：内网全部使用的是私有地址，如需访问 Internet 还需要进行地址转换，同时可以将内网中的服务器发布到 Internet，如下图图表 61 所示。图表 61 配置ACL 第 2 步：攻击防范配置。图表 62 Nat应用在e0/3接口图表 63 Nat应用在vlan 2 七、小结本实验通过模拟一个真实的网络工程，加强对网络技术的理解，提高对网络技术的实际应用能力，建立对网络工程的初步认识。完成本实验，应该能够达到以下目标。了解企业网络建设流程掌握中小企业的各种技术独立部署中小企业网络

展开阅读全文