网络需求分析与实施方案

针对课程：《路由交换技术》课程设计 指导教师：耿 强 小组组长：xx 小组组员：xx xx

xx

评 分：

2012年6月20日

目录

一、需求分析 ...................................................................................................................................... 4

1.1 功能分析 ......................................................................................................................... 4 1.2软硬件分析 ........................................................................................................................ 4

1.2.1接入层交换机 ........................................................................................................... 4 1.2.2核心层的3层交换机 ............................................................................................... 7 1.2.3核心接入广域网交换机 ........................................................................................... 8 1.2.4两个分公司使用路由器 ......................................................................................... 11 1.2.5防火墙 ..................................................................................................................... 13 1.3技术实现的分析 .............................................................................................................. 15

1.3.1需求解析 ................................................................................................................. 15 1.3.2技术概括 ................................................................................................................. 18

二、拓扑规划 .................................................................................................................................... 20

2.1 拓扑图 ........................................................................................................................... 20

2.1.1总拓扑图 ................................................................................................................. 20 2.1.2网络拓扑图 ............................................................................................................. 21 2.1.3接入层 ..................................................................................................................... 22 2.2 IP分配 .......................................................................................................................... 22 2.3 设备选型 ....................................................................................................................... 24

2.3.1 接入层交换机 ...................................................................................................... 24 2.3.2 汇聚层交换机 ...................................................................................................... 24 2.3.3 核心交换机 .......................................................................................................... 25 2.3.4 核心路由器 .......................................................................................................... 25

三、实施............................................................................................................................................ 26

3.1 命令 ............................................................................................................................... 26 3.2 测试 ............................................................................................................................... 35

3.2.1Dhcp 测试 ................................................................................................................ 35 3.2.2接入层测试 ............................................................................................................. 36 3.2.3测试路由 ................................................................................................................. 37 3.2.4Pap认证测试 ........................................................................................................... 38 3.2.5NAT测试 ................................................................................................................... 39 3.2.6VPN测试 ................................................................................................................... 39

四、优化............................................................................................................................................ 40

4.1 功能描述优化 ............................................................................................................... 40 4.2 设备优化 ......................................................................................................................... 40 4.3结构优化 .......................................................................................................................... 40 4.4配置优化 .......................................................................................................................... 40 五、总结............................................................................................................................................ 41

人员分工

xx：需求分析，拓扑设计，OSPF的设计，VPN的设计，DHCP的设计，NAT的实现，财务处的端口安全,防火墙的配置，默认路由。

xx：需求分析，拓扑设计，VTP的搭建，VPN的设计，DHCP的设计，财务处的端口安全，防火墙的配置。

xx：分公司的ip地址分配，vlan的划分，单臂路由，默认路由。 xx：总公司的ip地址分配，vlan的划分，链路的捆绑，SVI技术Vlan的互访，ppp的pap认证。

一、需求分析

1.1 功能分析

由于本公司初到中国市场，要在中国两个不同的城市，成立两个公司，有如下需求 1.1.1 第一个公司有600个人要上网，同时也是作为总公司来发展，日后会有更多的人加入我们公司总部。而分公司有100个人要上网，日后固定人数也就是100人左右。

1.1.2 我们公司将会有4部门，并且希望休闲中心不能访问财务处和网络中心，销售部不能访问网络中心和财务处，网络中心不能访问财务处，财务处只能和Server互相通信。 1.1.3 在公司总部的三层交换机，核心路由器，防火墙和出口都在网络中心，网络中心有50个终端分布在同一层楼，销售部距离网络中心800米有销售部200个终端，销售部的大楼有10层，每层有20个信息点。财务处距离网络中心300米财务处有200个终端，财政处的大楼有3层，第一层有100个信息点，剩下的2层每层有50个信息点，休闲中心距离网络中心900米有休闲中心有200个终端接入，每个休闲中心有100个人上网。

1.1.4 由于考虑到日后的发展，要求两个公司都100M到桌面，同时两个公司之间的通信必需注意安全性。

1.1.5 为了减轻日后管理员的维护量，使用dhcp为4个部门分配ip地址。休闲中心1和休闲中心2分别作为该公司的咖啡厅和餐厅，两个中心都对所有人提供免费wi-fi，所有人都能免费接入到。

1.1.6 财务处必须提高该部门的安全性，我们公司对网络的需求很高，不能随便断线。 1.1.7. 分公司只有100人，而且都在同一层楼。

1.1.8. 该公司有两个web Server 提供对外部和内部的访问，但要保证两个Server的安全性，该企业向ISP运营商申请到的ip地址为100.100.1.0\\28和202.200.1.4\\30两个地址段。

1.2软硬件分析

1.2.1接入层交换机

统一使用c2960系列； 价格 5000

图1.2-1 c2960 接入层交换机 表1.2-1 CISCO WS-C2960-24TC-L详细参数

主要参数 产品类型 应用层级 传输速率 产品内存 FLASH内存：32MB 交换方式 背板带宽 包转发率 MAC地址表 端口参数 端口结构 端口数量 端口描述 传输模式 非模块化 26个 24个以太网10/100Mbps端口，2个两用上行端口 全双工/半双工自适应 存储-转发 4.4Gbps 6.5Mpps 8K 智能交换机 二层 10/100Mbps DRAM内存：MB

功能特性 IEEE 802.3，IEEE 802.3u，IEEE 802.1x，IEEE 802.1Q，IEEE 802.1p，IEEE 802.1D，网络标准 IEEE 802.1s，IEEE 802.1w，IEEE 802.3ad，IEEE 802.3z VLAN QOS 网络管理 其它参数 状态指示灯 电源功率 产品尺寸 产品重量 30W 44×445×236mm 3.6kg 工作温度：0-45℃ 工作湿度：10%-85%（非冷凝） 环境标准 存储温度：-25-70℃ 存储湿度：10%-85%（非冷凝） 产品类型：智能交换机 应用层级：二层 传输速率：10/100Mbps 产品内存：DRAM内存：MB 主要参数 FLASH内存：32MB 交换方式：存储-转发 背板带宽：4.4Gbps 包转发率：6.5Mpps MAC地址表：8K

每端口，系统 支持 支持 Web浏览器，SNMP，CLI

1.2.2核心层的3层交换机

使用siscoWS-C4948-S 价格 20000

表1.2.2-1 CISCO WS-C4948-S汇聚层交换机详细参数

主要参数 产品类型 应用层级 传输速率 处理器 交换方式 背板带宽 包转发率 MAC地址表 端口参数 端口结构 端口数量 端口描述 功能特性 IEEE 802.3，IEEE 802.3u，IEEE 802.3z，IEEE 802.3ab，IEEE 802.1D，IEEE 网络标准 802.1w，IEEE 802.1s，IEEE 802.3ad，IEEE 802.1p，IEEE 802.1Q，IEEE 802.1x VLAN QOS 网络管理 提供具体的带外管理 其它参数 电源功率 产品尺寸 300W 409.9×439.1×44.5mm 支持 支持 基于命令行界面（CLI）的管理控制台 非模块化 52个 48个10/100/1000Mbps端口，4个SFP端口 千兆以太网交换机 二层 10/100/1000Mbps 266MHz 存储-转发 96Gbps 72Mpps 32K

产品重量 7.48kg 工作温度：0-40℃ 环境标准 存储温度：-40-75℃ 相对湿度：10%-90%（非冷凝） 产品类型：千兆以太网交换机 应用层级：二层 传输速率：10/100/1000Mbps 处理器：266MHz 主要参数 交换方式：存储-转发 背板带宽：96Gbps 包转发率：72Mpps MAC地址表：32K 端口结构：非模块化 端口参数 端口数量：52个 端口描述：48个10/100/1000Mbps端口，4个SFP端口 网络标准：IEEE 802.3，IEEE 802.3u，IEEE 802.3z，IEEE 802.3ab，IEEE 802.1D，IEEE 802.1w，IEEE 802.1s，IEEE 802.3ad，IEEE 802.1p，IEEE 802.1Q，IEEE 802.1x VLAN：支持 功能特性 QOS：支持 网络管理：基于命令行界面（CLI）的管理控制台 提供具体的带外管理

1.2.3核心接入广域网交换机

使用模块化交换机 价格 30000

图1.2.3-1 模块化交换机

表1.2.3-1 CISCO WS-C6509-E 核心层交换机

重要参数 产品类型 应用层级 传输速率 背板带宽 VLAN 网络管理 包转发率 MAC地址表 网络标准 端口结构 交换方式 电源功率4000W

表1.2.3-2 CISCO WS-C6509-E详细参数

主要参数 企业级交换机 三层 10/100/1000Mbps 720Gbps 支持 CiscoWorks2000，RMON，增强交换... 387Mpps K IEEE 802.3，IEEE 802.3u，IEEE ... 模块化 存储-转发 4000W

产品类型 应用层级 传输速率 交换方式 背板带宽 包转发率 MAC地址表 端口参数 端口结构 扩展模块 传输模式 功能特性 网络标准 VLAN QOS 网络管理 企业级交换机 三层 10/100/1000Mbps 存储-转发 720Gbps 387Mpps K 模块化 9个模块化插槽 支持全双工 IEEE 802.3，IEEE 802.3u，IEEE 802.1s，IEEE 802.1w，IEEE 802.3ad 支持 支持 CiscoWorks2000，RMON，增强交换端口分析器（ESPAN），SNMP，Telnet，BOOTP，TFTP 其它参数 电源功率 产品尺寸

主要参数 产品类型：企业级交换机 应用层级：三层 传输速率：10/100/1000Mbps 交换方式：存储-转发 背板带宽：720Gbps 4000W 622×445×460mm

包转发率：387Mpps MAC地址表：K 端口参数 端口结构：模块化 扩展模块：9个模块化插槽 传输模式：支持全双工 功能特性 网络标准：IEEE 802.3，IEEE 802.3u，IEEE 802.1s，IEEE 802.1w，IEEE 802.3ad VLAN：支持 QOS：支持 网络管理：CiscoWorks2000，RMON，增强交换端口分析器（ESPAN），SNMP，Telnet，BOOTP，TFTP

1.2.4两个分公司使用路由器

用思科的3925

表1.2.4-1 CISCO 3925/K9详细参数

基本参数 路由器类型 传输速率 端口结构 局域网接口 2个基于SFP的端口 其它端口 2个外部USB2.0端口 1个串行控制台端口

多业务路由器 10/100/1000Mbps 模块化 3个

1个串行辅助端口 2个服务模块插槽+1个双宽度服务模块插槽+4个EHWIC插槽数+2个双宽度扩展模块 EHWIC插槽+1个ISM插槽数+4个板载DSP（PVDM）插槽 功能参数 防火墙 Qos支持 VPN支持 其他参数 产品内存 电源电压 产品认证 60950-1 产品尺寸 产品重量 133.35×438.15×476.25mm 17.7kg（带交流电源，无模块） 工作温度：0-40℃ 工作湿度：10%-85%RH 环境标准 存储温度：-40-70℃ 存储湿度：5%-95%RH 路由器类型：多业务路由器 传输速率：10/100/1000Mbps 端口结构：模块化 局域网接口：3个 其它端口：2个基于SFP的端口 基本参数 2个外部USB2.0端口 1个串行控制台端口 1个串行辅助端口 扩展模块：2个服务模块插槽+1个双宽度服务模块插槽+4个EHWIC插槽数+2个双宽度EHWIC插槽+1个ISM插槽数+4个板载DSP（PVDM）插槽 DRAM内存：1GB，最大2GB AC 100-240V，47-63Hz UL 60950-1，CAN/CSA C22.2 No.60950-1，EN 60950-1，AS/NZS 60950-1，IEC 内置防火墙 支持 支持

防火墙：内置防火墙 功能参数 Qos支持：支持 VPN支持：支持 产品内存：DRAM内存：1GB，最大2GB 电源电压：AC 100-240V，47-63Hz 产品认证：UL 60950-1，CAN/CSA C22.2 No.60950-1，EN 60950-1，AS/NZS 60950-1，IEC 60950-1 产品尺寸：133.35×438.15×476.25mm 其他参数 产品重量：17.7kg（带交流电源，无模块） 环境标准：工作温度：0-40℃ 工作湿度：10%-85%RH 存储温度：-40-70℃ 存储湿度：5%-95%RH

1.2.5防火墙

使用CISCO ASA5520-BUN-K9

表1.2.5-1 CISCO ASA5520-BUN-K9详细参数

主要参数 设备类型 并发连接数 网络吞吐量 安全过滤带宽 用户数 无用户数 225Mbps 450Mbps VPN防火墙 280000

网络端口 控制端口 VPN支持 入侵检测 管理 安全标准 一般参数 电源 产品尺寸 产品重量 千兆以太网端口×4、快速以太网端口×1、SSM 扩展插槽×1 console 支持 DoS 思科安全管理器 (CS-Manager) ,Web UL 1950,CSA C22.2 No. 950,EN 60950 IEC 60950,AS/NZS3260,TS001 100-240VAC，47/63Hz 362×200.4×44.5mm 9.07kg 工作温度：0℃-40℃ 工作湿度：5%-95%(非冷凝) 适用环境 存储温度：-25℃-70℃ 存储湿度：5%-95% (非冷凝) 既可以实现强大的安全保护，又可以避免在多个地点运行多个设备的高运行成其他性能 本 设备类型：VPN防火墙 并发连接数：280000 网络吞吐量：450Mbps 安全过滤带宽：225Mbps 用户数：无用户数 网络端口：千兆以太网端口×4、快速以太网端口×1、SSM 扩展插槽×1 主要参数 控制端口：console VPN支持：支持 入侵检测：DoS 管理：思科安全管理器 (CS-Manager) ,Web 纠错 安全标准：UL 1950,CSA C22.2 No. 950,EN 60950 IEC 60950,AS/NZS3260,TS001 一般参数

电源：100-240VAC，47/63Hz

产品尺寸：362×200.4×44.5mm 产品重量：9.07kg 适用环境：工作温度：0℃-40℃ 工作湿度：5%-95%(非冷凝) 存储温度：-25℃-70℃ 存储湿度：5%-95% (非冷凝) 其他性能：既可以实现强大的安全保护，又可以避免在多个地点运行多个设备的高运行成本

1.3技术实现的分析

1.3.1需求解析

需求1、由于本公司初到中国市场，要在中国两个不同的城市，成立两个公司。 解析：在两个不同的城市有该企业的两个公司，就意味着中间要有运营商。

需求2、第一个公司有600个人要上网，同时也是作为总公司来发展，日后会有更多的人加入我们公司总部

解析：在公司的总部目前有600个终端，再设计时要留有一定的余量，以便于日后的扩展。 需求3、分公司有100个人要上网，日后固定人数也就是100人左右。 解析：在公司分部目前有100个终端，日后节点数相对稳定。

需求4、我们公司将会有4部门，并且希望休闲中心不能访问财务处和网络中心，销售部不能访问网络中心和财务处，网络中心不能访问财务处，财务处只能和Server互相通信。 解析：使用VLan技术为该企业划分4个vlan

由于交换机较多，我们使用VTP技术，实现一个VTP server管理多个VTP client来划分Vlan。 Vlan1为休闲中心 Vlan2为销售部 Vlan3为网络中心 Vlan4为财务处

并且使用扩展ACL来达到如下安全需求 并且vlan1不能访问vlan4 Vlan2不能访问vlan4 Vlan3不能访问vlan4 Vlan4只能和Server通信。

需求5、在公司总部有三层交换机，核心路由器，防火墙和出口都在网络中心。 解析：意味着所有的接入层流量，汇聚到网络中心的三层交换机上，并由核心路由器转发出。 地域图如下

休闲中心单模光纤900米Internet光模多网络中心纤光纤800米单模光米300纤公司总部财务处销售部图1.3-1地域图

需求6、网络中心有50个终端分布在同一层楼

解析：因为流量在网络中心汇聚，所以可以直接用两台接入层交换机与三层交换机相连，并为其分配ip地址为192.168.3.0\\24

需求7、销售部距离网络中心800米有销售部200个终端，销售部的大楼有10层，每层有20个信息点。

解析：因为距离网络中心800米和要求100M到桌面，所以只能采用单模光纤传输流量。并为

其分配ip地址为192.168.2.0\\24网段。每层楼有20个信息点共有10层，需要10台接入交换机分配到每层，再由一台交换机汇聚销售部流量，并转发至网络中心。

需求8、财务处距离网络中心300米财务处有200个终端，财政部的大楼有3层，第一层有100个信息点，剩下的2层每层有50个信息点。

解析：因为距离网络中心300米和要求100M到桌面，所以采用多模光纤传输流量。并为其分配ip地址为192.168.4.0\\24网段。第一层有100个信息点，需要5台接入交换机。剩下的2层每层有50个信息点，每层需要2台接入交换机，再由一台交换机汇聚财务处流量，并转发至网络中心。

需求9、休闲中心距离网络中心900米有休闲中心有200个终端接入，每个休闲中心有100个人上网。

解析：因为距离网络中心900米，所以采用单模光纤传输流量。并为其分配ip地址为192.168.1.0\\24网段。两个休闲中心，分别有100个用户，如果假设一台AP只接入10台pc，所以一个网络中心需要10台AP进行整个房间的覆盖，再由一台交换机汇聚休闲中心流量，并转发至网络中心。

需求10、同时两个公司之间的通信必需注意安全性。

解析：为了节省不必要开支，我们不使用专线接入。直接使用VPN技术，实现ip sec隧道加密技术。

需求11、该企业网络规模较大，节点数较多。

解析：我们将使用OSPF路由协议来提供全网路由，因为OSPF适合大型企业网络，并且我们多条线路都有冗余，使用OSPF还可以实现等价负载均衡，使网络的效率更高。 由于OSPF是内部网关协议，运营商不会使用。出口处我们将用默认路由来指向出口。 需求11、为了减轻日后管理员的维护量，使用dhcp为4个部门分配ip地址。休闲中心1和休闲中心2分别作为该公司的咖啡厅和餐厅，两个中心都对所有人提供免费wi-fi，所有人都能免费接入到。

解析：可以使用dhcp技术，为每个vlan分配不同的ip地址，为每个用户分配ip地址。同时解决了因为ip地址重复造成冲突的问题。因为是企业园区Ap将不设置接入密码，直接可以通过Ap访问出。

需求12、财务处必须提高该部门的安全性，我们公司对网络的需求很高，不能随便断线。 解析：我们将对财务部的交换机做端口安全，实现一个接口只能被一台pc访问。由于不能随便断线，我们核心路由器和三层交换机都实现冗余备份，然后再将多条线路实现捆绑，并进

行冗余备份和等价负载均衡。

需求13、由于这个分公司只有100人，并且在同一层。

分析：我们直接用5个交换机接入，再由一个交换机进行汇聚。并且使用居于广播段来划分Vlan，由于规模较小，直接使用单臂路由来互连，出口使用默认路由。

需求13、该公司有两个web Server 提供对外部和内部的访问，但要保证两个Server的安全性。

解析：由于两个要保证两台Server的安全性，同时也要提供对外的访问的服务，所以我们使用防火墙，并将服务器放进它的DMZ区域，实现对外的安全性并且使用IPsec来保证分部与Server之间的安全性。

需求14、企业向ISP运营商申请到的ip地址为100.100.1.0\\28和202.200.1.4\\30两个地址段。

解析：由于向运营商申请的ip地址有限，所以要使用NAPT技术，实现多个ip地址对应一个ip地址的转换。两台Server提供对外访问，所以，两台Server需要两个ip地址。并且使用ppp协议接入到internet。

1.3.2技术概括

VLAN（Virtual Local Area Network）虚拟局域网：可以将交换机设备从逻辑上划分成多个广播域，从而实现了通信的优化和设备的管理。

VTP（VLAN Trunking Protocol）VLAN中继协议：可以将在Server上划分的vlan传输到所有的client上。

DHCP（Dynamic Host Configuration Protocol）动态主机设置协议：减少网络管理员的维护量和分配地址的难度。并且可以按vlan给不同vlan的客户机划分不同网段的ip地址。

交换机端口安全：可以将交换机的MAC地址和端口映射表进行绑定，如果同一个端口不同mac的终端接入可以实现将端口关闭。以保证网络的安全。

ACL（Access Control List）访问控制列表：可以用来实现对某些主机的某种访问进行控制。

并且可以用来抓取地址来为nat和服务等。

SVI（switch virtual interface）：交换机虚拟接口既交互三级的管理Vlan 地址，可以实现不同vlan直接的互相通信。并且可以帮助dhcp为不同的vlan划分ip地址。

链路的捆绑：将交换机的多个物理端口逻辑的捆绑成一个端口，可以实现等价负载均衡，链路冗余，增加带宽，等好处。

单臂路由：可以节省核心路由器的接口，并且适合小型网络的设计方案，但是容易形成瓶颈。 OSPF(Open Shortest Path First）开放式最短路径优先: 它属于内部网关协议，可以用来实现一个自治系统内部的互相访问。

默认路由：默认路由是一种特殊的静态路由，我们用它来解决运营商不使用内部网关协议而导致的ospf不知道外部路径的情况。数据包只需要丢给运营商就由运营商自己转发。

NAT (Network Address Translation) 网络地址转换：可以将私有地址转化成共有地址，来节约公有地址，暂时性解决了公有地址匮乏的难题。同时提高了内部设备的安全性。

PAP（Password Authentication Protocol）密码认证协议：在这里，我们它来实现运营商对公司的认证，也就是说运营商用它来控制这个公司是否能上网。

VPN（Virtual Private Network) 虚拟专用网络：我们用的是IP sec，属于网络层的隧道技术。我们用它来实现，分公司和总部之间的互访，提供了访问的安全性，数据被截获后，还需要破解才能看见内容。

二、拓扑规划

2.1 拓扑图

2.1.1总拓扑图

Web1 Server192.168.10.2Web Server192.168.10.,3100M1G100M192.168.10.1100.100.1.2/28100.100.1.1/28202.200.1.5/30202.200.1.6/30子接口192.168.1.0\\24192.168.2.0\\24192.168.3.0\\24192.168.4.0\\24192.168.7.2\\24192.168.7.1\\241G1G192.168.5.2\\24192.168.6.2\\241G1G192.168.5.1\\24192.168.6.1\\24单模光纤单模1G光纤1G楼层汇聚交换机100销售部Vlan2192.168.2.0100M多模光纤100M1G1G100Mvlan4vlan3vlan2休闲中心2Vlan1192.168.1.0M100M100M楼层接入交换机休闲中心1Vlan1192.168.1.0网络中心Vlan3192.168.3.0财务处Vlan4192.168.4.0

图2.1.1-1 拓扑图

2.1.2网络拓扑图

这是我们的网络规划图，

图2.1.1-2 顶层

这是总部和分部之间的模拟图

主要实现的是核心层和广域网技术的路由命令 我们用gns3来模拟器来实现。

2.1.3接入层

图2.1.1-3 接入层

这是我们总部的接入层的拓扑图， 主要实现接入层和汇聚层的配置命令

2.2 IP分配

表2.2-1 WLFirewall ip地址

设备名字 WLFirewall 对应接口 S1/0 F0/0 Lookback 0

Ip地址 100.100.1.1 192.168.7.2 192.168.10.1 子网掩码 255.255.255.240 255.255.255.0 255.255.255.0 作用 连接广域网 连接公司路由器 模拟DMZ

表2.2-2 WLR1 ip地址

设备名字 WLR1 对应接口 F1/0 F0/1 F0/0

表2.2-3 ISP ip地址

设备名字 ISP S0/2 202.200.1.5 255.255.255.252 对应接口 S0/0 Ip地址 100.100.1.2 子网掩码 255.255.255.240 作用 模拟运营商对总公司提供互联网支持 模拟运营商对分公司提供互联网支持

表2.2-4 FBR1 ip地址

设备名字 FBR1 对应接口 S1/0 F0/0.1 F0/0.2 F0/0.3 F0/0.4

表2.2-5 WL1 ip地址

设备名字 WL1 对应接口 F0/0 F1/0 F1/1 Lo1 Lo2 Lo3 192.168.1.1 192.168.2.1 192.168.3.1 255.255.255.0 255.255.255.0 255.255.255.0 Vlan1的管理地址 Vlan2的管理地址 Vlan3的管理地址 Ip地址 192.168.5.1 子网掩码 255.255.255.0 作用 连接核心路由器 端口集合提供冗余 Ip地址 202.200.1.5 192.168.1.254 192.168.2.254 192.168.3.254 192.168.4.254 子网掩码 255.255.255.252 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 作用 连接internet 子接口提供单臂路由网关 Ip地址 192.168.7.1 192.168.6.2 192.167.5.2 子网掩码 255.255.255.0 255.255.255.0 255.255.255.0 作用 连接防火墙 连接核心交换机 连接核心交换机

Lo4 192.168.4.1 255.255.255.0 Vlan4的管理地址 接入层由pt模拟

表2.2-6 WL2 ip地址

设备名字 WL2 对应接口 F0/0 F1/0 F1/1 Lo1 Lo2 Lo3 Lo4 192.168.1.1 192.168.2.1 192.168.3.1 192.168.4.1 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 Vlan1的管理地址 Vlan2的管理地址 Vlan3的管理地址 Vlan4的管理地址 Ip地址 192.168.5.1 子网掩码 255.255.255.0 作用 连接核心路由器 端口集合提供冗余 接入层由pt模拟

2.3 设备选型

2.3.1 接入层交换机

接入层24口交换机一台可以接入24台pc。 又因为100M到桌面所以有如下公式。

背板带宽=100M*24（接口）*2（全双工）=4.8Gbps

所以选CISCO WS-C2960-24TC-L 对应pt模拟器的接入层交换机

2.3.2 汇聚层交换机

汇聚层负责接入层交换机的流量汇聚，并且转发至核心交换机， 又因为一台汇聚交换机要连接10-15台接入交换机所以 背板带宽=15*接入交换机背板带宽（5G）=75Gbps 所以选CISCO WS-C4948-S 对应拓扑图3的汇聚层交换机

2.3.3 核心交换机

汇聚层都是用1G的线和核心交换机相连，而且必须使用模块化的机型。 所以选CISCO WS-C6509-E 对应pt模拟器和GNS3的层交换机

2.3.4 核心路由器

因为虽然现在的三层交换机越来越强大，但是终究无法取代路由器，因为首先三层交换没有广域网的接口和插槽，并且对广域网技术的支持不够，所以导致了路由器在广域网方面无可替代的方面。

三、实施

3.1 命令

表3.1-1 交换机VTP的设计

设备名称 实现功能 enable config ter vtp mode server vtp的模式为服务器 WL1 VTP vtp domain cisco vtp的域名cisco vtp password text vtp的密码为text hostname WL1 enable config ter vtp mode client vtp的模式为客户端 WL2 VTP vtp domain cisco vtp password text hostname WL2 enable config ter vtp mode client WL3 VTP vtp domain cisco vtp password text hostname WL3 enable config ter CW1 VTP vtp mode client vtp domain cisco vtp password text

命令

hostname CW1 enable config ter XX1 VTP vtp mode client vtp domain cisco vtp password text hostname XX1

表3.1-2 交换机VLAN的设计

设备名称 实现功能 vlan 2 name xs vlan 3 VLAN划WL1 分 vlan 4 name cw interface range f0/2 – 4 switchport mode trunk VLAN划WL2 分 switchport mode trunk interface f0/1 – 2 switchport mode trunk VLAN划WL3 分 switchport mode access switchport access vlan 3 interface f0/1 VLAN划CW1 分 interface f0/2 switchport mode trunk switchport mode trunk interface range f0/10 - 20 interface range f0/2 – 4 name wl 命令

interface range f0/10 - 20 switchport mode access switchport access vlan 4 VLAN划XX1 分 switchport mode trunk

表3.1-3 交换机的链路聚合的设计

设备名称 实现功能 命令 interface range f0/10 - 11 switchport mode trunk WL1 链路聚合 channel-group 1 mode on interface range f0/10 - 11 WL2 链路聚合 switchport mode trunk channel-group 1 mode on

表3.1-4 交换机SVI的设计

设备名称 实现功能 interface vlan 1 no shutdown ip address 192.168.1.254 255.255.255.0 interface vlan 2 no shutdown WL1 SVI技术 ip address 192.168.2.254 255.255.255.0 interface vlan 3 no shutdown ip address 192.168.3.254 255.255.255.0 interface vlan 4 命令 interface range f0/1 – 2

no shutdown ip address 192.168.4.254 255.255.255.0 interface vlan 1 no shutdown ip address 192.168.1.254 255.255.255.0 interface vlan 2 no shutdown ip address 192.168.2.254 255.255.255.0 WL2 SVI技术 interface vlan 3 no shutdown ip address 192.168.3.254 255.255.255.0 interface vlan 4 no shutdown ip address 192.168.4.254 255.255.255.0

表3.1-5 交换机DHCP的设计

设备名称 实现功能 命令 ip dhcp pool xx 创建名为xx的地址池 network 192.168.1.0 255.255.255.0 地址的范围 default-router 192.168.1.254 设置网关地址 dns-server 1.1.1.1 设置dsn地址 exit ip dhcp pool xs WL1 DHCP network 192.168.2.0 255.255.255.0 default-router 192.168.2.254 dns-server 1.1.1.1 exit ip dhcp pool wl network 192.168.3.0 255.255.255.0

default-router 192.168.3.254 dns-server 1.1.1.1 exit ip dhcp pool cw network 192.168.4.0 255.255.255.0 default-router 192.168.4.254 dns-server 1.1.1.1 exit

表3.1-6 交换机财务处的端口安全

设备名称 实现功能 命令 interface range f0/10 - 20 switchport port-security 开启端口安全 switchport port-security maximum 1 最大接入量为1 交换机端CW1 口安全 shutdown switchport port-security mac-address sticky 静态将mac地址和端口捆绑

表3.1-7 OSPF技术的实现

设备名称 实现功能 router ospf 100 network 192.168.1.0 0.0.0.255 area 0 network 192.168.2.0 0.0.0.255 area 0 WL1 OSPF network 192.168.3.0 0.0.0.255 area 0 network 192.168.4.0 0.0.0.255 area 0 network 192.168.5.0 0.0.0.255 area 0 WL2 OSPF router ospf 100 命令 switchport port-security violation shutdown 如果违规就

network 192.168.1.0 0.0.0.255 area 0 network 192.168.2.0 0.0.0.255 area 0 network 192.168.3.0 0.0.0.255 area 0 network 192.168.4.0 0.0.0.255 area 0 network 192.168.6.0 0.0.0.255 area 0 router ospf 100 network 192.168.5.0 0.0.0.255 area 0 WLR1 OSPF network 192.168.6.0 0.0.0.255 area 0 network 192.168.7.0 0.0.0.255 area 0 router osf 100 network 192.168.7.0 0.0.0.255 area 0 WLFirewall OSPF network 192.168.10.0 0.0.0.255 area 0 network 100.100.1.1 0.0.0.255 area 0

表3.1-8 单臂路由技术的实现

设备名称 实现技术 in f0/0 no shutdown in f0/0.1 设置子接口 encapsulation dot1Q 1 封装802.1q协议并划分进vlan1 ip address 192.168.1.254 255.255.255.0 FBR 单臂路由 no shutdown in f0/0.2 encapsulation dot1Q 2 ip address 192.168.2.254 255.255.255.0 no shutdown in f0/0.3 encapsulation dot1Q 3 命令

ip address 192.168.3.254 255.255.255.0 no shutdown in f0/0.4 encapsulation dot1Q 4 ip address 192.168.4.254 255.255.255.0 no shutdown

表3.1-9 默认路由技术的实现

设备名称 WLFirewall FBR

表3.1-10 PAP认证的实现

设备名称 实现技术 Username zb password text Username fb password text interface s0/2 encapsulation ppp ISP PAP ppp authentication pap interface s0/0 encapsulation ppp ppp authentication pap interface s1/0 FBR PAP encapsulation ppp ppp pap sent-username fb password text interface s1/0 WLFirewall PAP encapsulation ppp ppp pap sent-username zb password text

命令 实现技术 命令 默认路由 ip route 0.0.0.0 0.0.0.0 100.100.1.2 默认路由 ip route 0.0.0.0 0.0.0.0 202.200.1.5

表3.1-11 NAT技术的实现

设备名称 实现技术 命令 access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255 access-list 1 permit 192.168.3.0 0.0.0.255 WLFirewall NAT access-list 1 permit 192.168.4.0 0.0.0.255 ip nat pool zb 100.100.1.1 100.100.1.1 netmask 255.255.255.240 创建一个地址池 ip nat inside source list 1 pool zb overload access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255 access-list 1 permit 192.168.3.0 0.0.0.255 FBR NAT access-list 1 permit 192.168.4.0 0.0.0.255 ip nat pool fb 202.200.1.6 202.200.1.6 netmask 255.255.255.252 ip nat inside source list 1 pool fb overload

表3.1-12 VPN技术的实现

设备名称 实现技术 命令 crypto isakmp policy 100（创建IKE策略，设置编号100） encr aes 加密方式 aes hash md5 散列算法MD5 authentication pre-share 认证方式共享密钥 group 2 交换密钥D-H算法密钥强度为WLFirewall VPN GROUP2。 crypto isakmp key text address 202.200.1.6 (由于使用共享密钥的认证方式与对端建立IKE安全关联，所以需要指定双方约定的共享密钥text，并且指定IKE对端为202.200.1.6) crypto ipsec transform-set text ah-sha-hmac esp-aes

esp-sha-hmac(建立一个名称为text的传输模式集，名称后面的参数可以是一~三个) access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 crypto map zhong 1000 ipsec-isakmap(创建名称为zhong的加密图将第一步的传输模式集) set peer 200.100.1.6 set transform-set text(定义的数据流与VPN对端IP地址绑定起来) match address 110(应用地址110 组) interface f0/0 ip address 202.100.1.14 255.255.255.0 serial restart-delay 0 crypto map zong（应用到外部接口上） crypto isakmp policy 1000 encr aes hash md5 authentication pre-share group 2 exit crypto isakmp key text address 100.100.1.1 FBR VPN crypto ipsec transform-set text ah-sha-hmac esp-aes esp-sha-hmac access-list 120 permit ip any 192.168.10.0 0.0.0.255 crypto map feng 1000 ipsec-isakmap set peer 100.100.1.1 set transform-set text match address 120

interface f0/0 ip address 202.100.1.6 255.255.255.0 crypto map feng

3.2 测试

3.2.1Dhcp 测试

图3.2.1-1 vlan1的测试

图3.2.1-2 vlan3的测试

图3.2.1-3 vlan4的测试

3.2.2接入层测试

图3.2.2-1 所有的vlan互访的测试

3.2.3测试路由 WLR1的路由表

图3.2.3-1 WLR1的路由表

WLFirewall的路由表

图3.2.3-2 WLFirewall的路由表

FBR的路由表

图3.2.3-3 FBR的路由表

3.2.4Pap认证测试

图3.2.4-1 pap认证测试

3.2.5NAT测试

图3.2.5-1 NAT测试

3.2.6VPN测试

图3.2.6-1 VPN测试

四、优化

4.1 功能描述优化

功能描述优化方面主要针对于客户设计，因为功能描述有助于客户理解网络的基本构造达到客户的设计要求，避免客户提出不太可能的要求，引导客户正确的网络术语。当然，满足客户的需求是我们的的责任，功能描述应该本着源于客户，高于客户的宗旨。来满足客户，减少客户的专业知识不足带来的麻烦。需要理解客户想要的是什么，需要什么样的网络。尽量和对方工作人员对对现有网络进行分析。

4.2 设备优化

设备选型全网都是用的cisco设备，这样简化了配置当中的兼容问题，也使得网络更安全，路由收敛更快。但是cisco的设备偏贵了，要优化设备可以选择华为,华三的设备，而且华为的设备是先使用后付款，还支持工程师跟踪服务，免去后顾之忧，但不管是怎样还是建议选择同一个厂家的设备，尤其是汇聚层以上的设备。这样可以避免ios的不同带来的兼容问题，也方面维护，易于管理。

4.3结构优化

在结构方面完全遵守网络分层结构，向着灵活性，规范性，系统性，综合性的高要求来完成基本拓扑搭建，实际操作不允许大幅度的调动设备位置。按照接入层，汇聚层，核心层各自的性能有点来设计拓扑，各层之间相互协调，互相分工，紧密相连。

4.4配置优化

网络配置基于cisco的ios来配置，按照需求分析，功能分析，拓扑结构来配置各个设备， 有接入层的ip地址划分，到核心层的各种连接广域网技术，都首先在虚拟设备上实现，检查合格再写入设备。配置的优化不在于精简，在于对设备的熟悉以及扎实的网络知识，所以选择一个好的网络规划公司是重要的。由于配置模拟的gns3 资源瓶颈问题，我们的接入层使用pt模拟器，汇聚层核心层的重要技术使用gns3来实现，最终达到关联的效果。

五、总结

经过很多天的奋战，这个项目终于完美的完成了，通过这次项目，我们这个小组懂得了彼此之间合作的必要性，在大家的下，项目制作循序渐进，知识深入浅出，队友取长补短，愉快的解决了在项目中遇到的各种各样的问题，使得知识得到了升华，组长分配给各个组员的任务互相联系，层次分明，组员之间协调完美，使得这次项目按时完成。这个企业网的规划都是按照规范制作，其中我们还考虑了各个部门的扩展性进行了预算，慎重的测试了各项技术的实施，规划了各个部分的功能，最后简单的全网达到基本预想要求。我们依然希望这个设计会随着我们的知识层面的提高，在实现接入层的时候，我们划分了几个vlan，来完成我们的网络需求。并且我们用到了svi技术，实现vlan1，vlan2，vlan3之间的互访。设置了IP网关分为192.168.1.254,192.168.2.254,192.168.3.254,192.168.4.254。vlan的划分采用的是VTP技术来划分的。在这当中，为了提高网络连接可靠性，我们也采用了冗余链路。防止故障。

但是在设计过程中难免存在各种的不足，比如 vrrp技术没有实现，技术的不成熟，以及模拟和现实之间的差异。我们在实现的过程中遇到了很多的问题，例如vtp的设计，在pt模拟器上是在全局模式下配置，而在GNS3中却是在vlan database 中搭建。Dhcp在配置过程中的难题却是怎样为不同的vlan划分地址，并且保证不会把其他vlan的配置分给Pc。SVI在设计的过程中，不确定哪些端口该使用成为Trunk，经过了一次次的尝试和改进，学会了很多，并且知道了SVI的详细工作原理，并且对他有了很深入的了解。我们在nat技术的实现中遇到问题，因为在单臂路由的实现过程中，inside接口起的是子接口，我们不确定是在物理接口上调用ip nat inside 还是在子接口中一个一个的调用。经过多次的模拟和仿真，我们知道了应该是在子接口来调用。并且在设计的过程中本来是想加入vrrp的技术的，但是我们的3层设备和核心路由器用的是OSPF，OSPF本身就具备了等价负载均衡，和动态学习路由的能力，所以在实现的过程中，就决定去掉了vrrp技术。我们在实现交换机端口安全的时候，我们将违规的端口shutdown，以此来保护重要部门的安全性，经过多次试验，我们掌握了交换机端口的安全性。在pap设计的过程中，有一个误区，就是不知道谁是认证方，谁是被认证方，这也是很多同学出现的问题。ISP永远都是认证方，因为运营商永远都不可能被你认证，你只有被他来认证你是否有资格上网。所以在pap的设计过程中最重要的是弄清楚谁是认证方，谁是被认证方。

最后不断完善这个设计，最后施工与现实，不辜负老师一番心血，在全组4个人员的共同努力下，完成了这次网络设计与实施方案，在这当中，我们各当其职，各自都完成了自己相应的部分，并且积极讨论，不断的想要完善方案，当然其中的成长和困难也并不是没有，有我们在技术上遇到的难题，或者分工所出现的问题，但不管怎么说，我们还是一路走了过来，虽然还有很多的不足，并且还有很多缺点和问题，需要我们更加努力的去解决，但是在这次合作项目中，我们相信我们是学到了很多对我们以后非常有用的宝贵经验的。