園區網絡設計方案

網絡設計與組網綜合大作業 目 錄 網絡設計與組網綜合大作業I 目 錄I 第一章 緒論2 1.1 概況2 1.2 主要內容2 第二章 園區網概述3 2.1 園區網含義3 2.2 園區網特點3 2.3 園區網發展趨勢3 第三章 園區網設計4 3.1 需求分析4 3.2 網絡設計原則4 3.3 網絡模型設計5 3.4 園區網絡拓撲圖7 3.5 IP地址規劃7 3.6VLAN規劃8 3.7 路由協議選擇8 3.8配置規范10 第四章 網絡安全設計12 4.1 VLAN技術12 4.2 VPN技術13 4.3 防火墻技術13 第五章 網絡模擬實現14 5.1 模擬器介紹14 5.2 模擬環境拓撲圖14 5.3 需求實現15 5.4 配置步驟16 第六章 總結17 第一章 緒論 1.1 概況 隨著計算機網絡的迅速發展，曾經在園區網中被大量使用的10M/100M以太網技術、ATM技術已經漸漸不能適應現在的業務需求，作為園區主干網，10M/100M以太網作為主干網絡核心技術帶寬不足的弊病漸漸凸顯，已經嚴重影響著園區網絡的運行效率，目前仍有許多大型園區網絡在使用ATM技術，這樣的網絡面臨兩個問題：VLAN間路由的性能不能滿足網絡需求，并且ATM技術正在逐步被淘汰?，F在，千兆以至10G級別以太網技術正逐漸成為園區網絡主干的主流技術。因此，許多大型園區網絡面臨技術改造或者重新設計。 1.2 主要內容 本文主要做了以下兩個方面的工作： 第一，介紹了園區網絡的含義、特點，按網絡設計與組網課程的要求方法規劃設計一個完整的園區網絡。 第二，使用華為的eNSP對網絡進行了簡單的模擬，以實現網絡的互通互聯，對各層設備進行了配置。 第二章 園區網概述 2.1 園區網含義 園區網是指為企事業單位組建的辦公局域網。典型的園區網包括校園網、社區網、住宅小區網、企事業單位網等。 2.2 園區網特點 ①園區網是網絡的基本單元。 ②園區網較適合于采用三層結構設計。 ③園區網對線路成本考慮的較少，對設備性能考慮的較多，追求較高的帶寬和良好的擴展性。 ④園區網的結構比較規整。 2.3 園區網發展趨勢 從計算機網絡應用角度來看，網絡應用系統將向更深和更寬的方向發展，這也相應的影響著未來園區網的發展方向。 首先，Internet信息服務將會得到更大發展。網上信息瀏覽、信息交換、資源共享等技術將進一步提高速度、容量及信息的安全性。 其次，遠程會議、遠程教學、遠程醫療、遠程購物等應用將逐步從實驗室走出，不再只是幻想。網絡多媒體技術的應用也將成為網絡發展的熱點話題。 第三章 園區網設計 3.1 需求分析 某企業園區剛剛建成，是一大型企業的分支機構，為了實現企業的辦公信息自動化，擴大企業的影響，方便和總部的信息交流，需要建立自己企業的Intranet。 企業現在有2幢9層的辦公大樓，分別是生產部和銷售部，另外還有一個家屬區，家屬區有3幢6層的大樓，兩個相距300米。企業局域網需要考慮覆蓋辦公區和家屬區。局域網需要實現的目標如下： ①實現有效的信息交換和共享。企業通過兩條專線接入電信和網通。 ②企業需要實現辦公自動化。局域網提供企業內部電子郵件收發、信息瀏覽、文件管理、會議管理、電子公告等多方面應用。 ③為了擴大企業的影響，企業對外提供自己的宣傳網站，并且能夠保證網站安全，不受外部或者內部攻擊。 ④充分考慮今后各部門的接入擴展性。 ⑤充分考慮企業內部網絡的安全性。 3.2 網絡設計原則 我們遵循以下的原則進行網絡設計： ① 實用性 實用性是網絡系統建設的首要原則，該網絡必須最大限度的滿足需求，保證網絡服務的質量，否則就會影響日常工作效率。 ② 標準化 整個網絡從設計、技術和設備的選擇，要確保將來可能的不同廠家設備、不同應用、不同協議連接的需求，必須支持國際標準的網絡接口和協議，以提供高度的開放性。 ③ 先進性 先進性主要是針對網絡系統的設計思想、網絡結構、軟硬件設施以及所選用技術等方面。只有先進的技術才可能為網絡帶來更高的性能，并且能保證在技術上不容易被淘汰。 ④ 可擴展性 可擴展性是指該網絡系統能夠適應需求的變化。隨著技術發展，信息量增多和業務的擴大，網絡將在規模和性能兩方面進行一定程度的擴展。 ⑤ 可靠性 網絡要求具有高可靠性，高穩定性和足夠的冗余，提供拓撲結構及設備的冗余和備份，為了防止局部故障引起整個網絡系統的癱瘓，要避免網絡出現單點失效，核心設備需要支持冗余備份。 ⑥ 安全性 網絡安全性在整個網絡中是個很重要的問題，網絡系統建設應采取一定手段控制網絡的安全性，以保證網絡正常運行。 ⑦ 管理性 隨著網絡規模和復雜程度的增加，管理和故障排除就會越來越困難。為保障網絡中心的正常運行，網絡必須易于管理，支持網絡網段與端口的監控、網絡流量與出錯的統計、網絡故障的定位、診斷、修復。 3.3 網絡模型設計 圖3.1 典型的三層網絡模型 三層網絡架構采用層次化模型設計，即將復雜的網絡設計分成三個層次，每個層次著重于某些特定的功能，這樣就能夠使一個復雜的大問題變成許多簡單的小問題。三層網絡架構設計的網絡有以下三個層次： 3.3.1 核心層 核心層是網絡的高速交換主干,對整個網絡的連通起到至關重要的作用。核心層應該具有如下幾個特性:可靠性、高效性、冗余性、容錯性、可管理性、適應性、低延時性等。 該層必須是基于千兆高速交換和路由的設計，設備的性能容量也是最高的（高達百Gbps 容量和每秒千萬級數據包轉發能力）。主要是由全模塊化的高性能多層路由交換機和高性能服務器組成，系統帶寬必須是千兆甚至10Gbps。 3.3.2 匯聚層 匯聚層是網絡接入層和核心層的“中介”，就是在工作站接入核心層前先做匯聚，以減輕核心層設備的負荷。匯聚層具有實施路由策略、安全、工作組接入、虛擬局域網(VLAN)之間的路由、源地址或目的地址過濾等多種功能。 該層一般采用100M 或1000M的快速交換路由設計，設備的性能容量性也很高，主要由固定配置+可選模塊的三層路由交換設備組成。 3.3.3 接入層 接入層向本地網段提供工作站接入。在接入層中，減少同一網段的工作站數量,能夠向工作組提供高速帶寬。 訪問層是由100M 快速以太網交換機和客戶機組成，該層次一般采用100M 快速以太網，采用可管理的固定配置的工作組級別的交換機，能提供多層堆疊功能實現大量用戶的接入。 三層網絡架構的特點是網絡性能高，層次清晰，網絡管理直觀、方便，并合理地分散了網絡設備帶來的安全風險，網絡結構安全可靠。 3.4 園區網絡拓撲圖 圖3.2 三層網絡架構的園區網拓撲圖 3.5 IP地址規劃 在構建基于 TCP/IP 的企業網絡時，IP 地址的選擇是根據企業網絡規模大小從以下三類國際Internet 組織公布的私有網段中產生，這些范圍內的IP 地址不在Internet 上傳輸，是專門提供給企業用來建設內部網絡： A 類私有IP: 10.0.0.0 ——10.255.255.255。 B 類私有IP: 172.16.0.0——172.16.31.255。 C 類私有IP: 192.168.0.0——192.168.255.255。 對于小型園區網絡，由于上網用戶少、設備數量少，建議使用地址空間小的192.168.0.0/16的網絡。而對于中大型園區網絡，如三層結構的校園網，由于上網人數多，設備數量多，建議采用地址空間大的10.0.0.0/8的網絡。 3.6VLAN規劃 虛擬局域網(VLAN)是將局域網內廣播域邏輯地劃分為若干子網。在一個交換局域網中，所有局域網段通過交換機連接到一起，路由器連在交換機上(如果是三層交換機，則不需路由器)，可以按網段和站點的邏輯分組形成廣播域，通過在局域網交換機內過濾廣播包，使得源于特定虛擬局域網的信息包僅傳送到那些也屬于這個虛擬局域網的網段上。虛擬局域網之間的尋徑由路由器完成。 虛擬局域網建立以后，能有效地控制網絡的廣播風暴，減少不必要的資源帶寬浪費，并能隨著企業規模的發展和調整改變通信流的模式。 VLAN規劃需要考慮如下因素： ①用戶VLAN與設備管理VLAN分開(IP地址)。 ②為網絡擴容進行可匯總的預留設計。 ③IP地址與VLAN編號(其它相關因素)有一定的對照性。如圖3.3所示： 圖3.3 IP和VLAN對應規則 根據具體需求與安全性要求等情況綜合分析，園區網IP地址詳細規劃如表3.4所示： 表3.4 IP地址規劃表 物理位置 VLAN范圍 IP網段 默認網關 獲取方式 住宿區 VLAN 10——VLAN 30 172.16.1.0——172.16.30.0/24 172.16.x.254/24 DHCP 辦公區 VLAN 40——VLAN 50 172.16.40.0——172.16.50.0/24 172.16.x.254/24 DHCP 服務器組 VLAN100 202.117.144.1--202.117.144.253 202.117.144.254 靜態指定 3.7 路由協議選擇 路由協議可分為距離矢量、鏈路狀態和混合型路由協議。 使用距離矢量路由協議時，所有路由器只能向它的鄰居路由器發送自己的整張路由表。然后路由器使用接收到的路由條目確定是否需要更新自己的路由表。這個過程會周期性的重復進行。 與此相反，當網絡使用鏈路狀態路由協議時，每個路由器可以向其它所有的路由器發送自己的接口（鏈路）狀態信息，但是這僅僅發生在網絡拓撲發生變化的時候，每個路由器使用收到的鏈路狀態信息重新計算自己到每個目標網絡的最佳途徑，然后把這些路由信息保存到自己的路由表中。 混合型路由協議，顧名思義，該協議借用了距離矢量和鏈路狀態協議的思想?；旌闲蛥f議能向鄰居路由器（類似距離矢量）發送變動的信息（類似鏈路狀態）。 路由協議的比較 ①路由信息協議（Routing Ination Protocol,RIP） RIP是一種簡單的動態路由協議，RIP至今有兩個版本，RIPv1和RIPv2，后者是前者的改進版本，RIP是一種有類的距離矢量路由協議，它最顯著的特點是在路由更新報文中不攜帶子網信息，RIP默認的管理距離是120，它使用跳數做為度量值，最大跳數是15，如果超過15就認為目標網絡不可達，所以RIP只能適用于小型的網絡中。 ②內部網關路由協議（Interior Gateway Routing Protocol,IGRP） IGRP是Cisco私有的協議，其目的是為了取代RIP，它也是一種距離矢量路由協議，IGRP克服了RIP的一些嚴重缺陷，如IGRP在計算路由度量值時沒有使用跳數，而是采用鏈路特征，因此要優于RIP協議。但由于IGRP是Cisco私有的協議，非Cisco廠商的設備不能支持IGRP協議，它的改進版是EIGRP。 ③增強型內部網關路由協議（Enhanced Interior Gateway Routing Protocol,EIGRP） EIGRP是增強型的IGRP協議，它是一種典型的平衡混合路由選擇協議，它融合了距離矢量和鏈路狀態兩種路由協議的優點，使用一種散射更新算法，實現了很高的路由性能，但由于EIGRP也是Cisco私有協議，不能在其它非Cisco設備上使用，它的應用也受到了限制。 ④開放最短路徑優先（Open Shortest Path First,OSPF） OSPF是一種典型的鏈路狀態、無類別IP路由協議，OSPF能夠適應大型IP網絡的擴展，而基于距離矢量的IP路由協議如RIP和IGRP則不能適應這種網絡。OSPF基于鏈路狀態，其路由是基于網絡地址及鏈路狀態度量的。作為一種自適應協議，OSPF可以根據網絡狀態故障情況自動調整，具有收斂時間短的優點，有利于路由表的快速穩定，這樣使OSPF可以支持大型的網絡。OSPF的設計可以防止通信數據形成環路，這對于網狀網絡或由多個路由器實現的不同局域網互聯非常重要。 OSPF還有其它一些特性： ①使用了區域的概念，有效的減少了路由選擇協議對路由器的CPU和內存的占用率，劃分區域還可以降低路由協議的通信量，從而使構建層次化互聯網成為可能。 ②完全無類別地處理地址問題，排除了有類路由協議存在的問題。 ③支持使用多條路由路徑的、效率更高的負載均衡。 ④使用保留的組播地址來減少對不運行OSPF協議的設備的影響。 ⑤支持更安全的路由選擇認證。 ⑥使用可以跟蹤外部路由的路由標記。 經過各種路由協議的對比和選擇，園區網適合采用OSPF路由協議。 3.8配置規范 ①主機命名規范 如果客戶有規范或明確合理要求，則按照客戶的規范或要求進行配置。如金融行業規范。如果客戶沒有規范或明確合理要求，可參考設備位置、網絡位置、設備型號、設備編號等因素，在項目中制定統一的命名規范。主機命名規范如下圖3.5所示： 圖3.5 主機命名規范 ②設備互聯接口描述 項目中所有涉及到可網管設備互聯的端口必須配置端口描述 ③登陸密碼配置 項目中所有可網管設備必須配置特權密碼及遠程登陸密碼。 ④系統時間配置 項目中所有可網管設備必須重新設置正確的系統時間。 ⑤二層交換機管理IP配置 項目中可網管二交換機必須配置管理IP地址，供管理員遠程管理設備所用。 第四章 網絡安全設計 園區網的安全是一個綜合問題，它包含網絡設備和人為因素兩個方面以及與外網（Internet）接口上的安全問題。網絡的有效性和可靠性即它的可連續運行的安全性是網絡建設必須考慮的首要原則，從用戶的角度考慮，當網絡所需的服務不可用時，不管是何種原因，網絡就失去了實際價值。從另一角度看，當某種網絡服務的響應時間變得變幻莫測時，網絡系統也不可靠了。為此我們在網絡設計上就考慮了以下的技術來提高安全性。 4.1 VLAN技術 VLAN技術是通過路由和交換設備，在網絡的物理拓撲基礎上建立的一個邏輯的網絡。VLAN可以看作是一個廣播域，它們不受地理位置的限制而像處于同一LAN上那樣相互交換信息。VLAN是在交換網絡中實現的。每個交換設備均可根據網絡管理人員所定義的VLAN劃分方法對報文進行過濾和轉發，并能將這種劃分信息傳遞到網絡中其它交換設備和路由器中去?？梢韵拗芕LAN中的用戶數量，禁止那些沒有得到許可的用戶加入到某個VLAN中。這樣，可以控制用戶對網絡資源的訪問，控制廣播組的大小和組成，并借助網管軟件在發生非法入侵時通知管理員。交換機上劃分VLAN方法如圖4.1所示： 圖4.1 交換機劃分VLAN方法 4.2 VPN技術 虛擬專用網（Virtual Private Network，VPN）技術的基本思路是充分利用現有的公用網絡來建立一個私有的、安全的連接，即建立一條穿過混亂的公用網絡的安全、穩定的隧道，同時避免昂貴的專線租用費用，它使用的是建立在物理連接基礎上的邏輯連接，客戶并不能意識到實際的物理連接，而且在穿越Internet進行路由時，其安全性與在專用網絡中進行安全路由的安全性基本相同。 4.3 防火墻技術 目前，在保護計算機網絡安全的設備中，使用最多的就是防火墻。防火墻是在兩個網絡之間執行控制策略的系統，這兩個網絡中，通常一個是要保護的內部網，一個是外部網，防火墻在內部網和外部網之間構成一道屏障，通過檢測、限制或者更改通過它的數據流，對外屏蔽內部網的信息、結構和運行狀況，以防止發生網絡入侵或攻擊，達到對內部網的安全保護。防火墻原理如圖4.2所示： 圖4.2 防火墻原理圖 第五章 網絡模擬實現 5.1 模擬器介紹 eNSP(Enterprise Network Simulation Plat)是一款由華為提供的免費的、可擴展的、圖形化操作的網絡仿真工具平臺，主要對企業網路由器、交換機進行軟件仿真，完美呈現真實設備實景，支持大型網絡模擬，讓廣大用戶有機會在沒有真實設備的情況下能夠模擬演練，學習網絡技術。eNSP主界面如圖5.1所示： 圖5.1 eNSP主界面 5.2 模擬環境拓撲圖 由于園區網絡規模較大，本次只能針對對部分重要節點和典型區域進行模擬配置工作，模擬器網絡拓撲如圖5.3所示： 圖5.3 模擬器網絡拓撲 5.3 需求實現 某園區網拓撲及規劃上圖所示，其中AR1是園區網出口路由器。AR2和AR3是園區網核心設備，和AR1互聯地址段是192.168.1.0/24和192.168.2.0/24。LSW1和LSW2是兩臺接入設備，下聯用戶VLAN 10和VLAN 20，對應用戶子網分別是192.168.10.0/24和192.168.20.0/24，網關分別是192.168.10.254和192.168.20.254。AR1、AR2和AR32運行OSPF，都屬于AREA 0。 實現以下需求： ①所有通過LSW1接入的用戶IP地址必須動態獲得，不允許私設IP地址，DHCP服務器是兩臺相同交換機。 ②LSW2上連接用戶的端口必須能夠快速收斂，防止可能存在的環路，其它不用的端口必須手動關閉。 ?在RSR-1上配置動態NAT，實現內部網絡私有地址到外部網絡公有地址的轉換。 5.4 配置步驟 ①配置路由器接口 ②配置OSPF ③配置DHCP ④配置NAT