針對課程：《路由交換技術》課程設計 指導教師：耿 強 小組組長：xx 小組組員：xx

　 xx xx 評

　分：

　2012 年 6 月 20 日

　目錄 一、需求分析 .......................................................................................................................................................... 5 1.1

　功能分析 ............................................................................................................................................. 5 1.2 軟硬件分析 ............................................................................................................................................ 5 1.2.1 接入層交換機 .............................................................................................................................. 5 1.2.2 核心層的 3 層交換機 ................................................................................................................. 8 1.2.3 核心接入廣域網交換機 ............................................................................................................ 9 1.2.4 兩個分公司使用路由器 .......................................................................................................... 12 1.2.5 防火墻 .......................................................................................................................................... 14 1.3 技術實現的分析 ................................................................................................................................. 16 1.3.1 需求解析 ...................................................................................................................................... 16 1.3.2 技術概括 ...................................................................................................................................... 19 二、拓撲規劃 ........................................................................................................................................................ 21 2.1

　拓撲圖 ................................................................................................................................................ 21 2.1.1 總拓撲圖 ...................................................................................................................................... 21 2.1.2 網絡拓撲圖 ................................................................................................................................. 22 2.1.3 接入層 .......................................................................................................................................... 23 2.2

　IP 分配 ............................................................................................................................................... 23 2.3

　設備選型 ........................................................................................................................................... 25 2.3.1

　接入層交換機 ......................................................................................................................... 25 2.3.2

　匯聚層交換機 ......................................................................................................................... 25 2.3.3

　核心交換機 ............................................................................................................................. 26 2.3.4

　核心路由器 ............................................................................................................................. 26 三、實施 .................................................................................................................................................................. 27 3.1

　命令 ..................................................................................................................................................... 27 3.2

　測試 ..................................................................................................................................................... 36 3.2.1Dhcp 測試 ................................................................................................................................... 36 3.2.2 接入層測試 ................................................................................................................................. 37 3.2.3 測試路由 ...................................................................................................................................... 38 3.2.4Pap 認證測試 ............................................................................................................................... 39 3.2.5NAT 測試 ..................................................................................................................................... 40 3.2.6VPN 測試...................................................................................................................................... 40 四、優化 .................................................................................................................................................................. 41 4.1

　功能描述優化 .................................................................................................................................. 41 4.2 設備優化 .............................................................................................................................................. 41 4.3 結構優化 ............................................................................................................................................... 41 4.4 配臵優化 ............................................................................................................................................... 41 五、總結 .................................................................................................................................................................. 42

　人員分工 xx：需求分析，拓撲設計，OSPF的設計，VPN的設計，DHCP的設計，NAT的實現，財務處的端口安全,防火墻的配臵，默認路由。

　xx：需求分析，拓撲設計，VTP的搭建，VPN的設計，DHCP的設計，財務處的端口安全，防火墻的配臵。

　xx：分公司的ip地址分配，vlan的劃分，單臂路由，默認路由。

　xx：總公司的ip地址分配，vlan的劃分，鏈路的捆綁，SVI技術Vlan的互訪，ppp的pap認證。

　 一 、 需求分析

　1.1

　功能分析 由于本公司初到中國市場，要在中國兩個不同的城市，成立兩個公司，有如下需求

　1.1.1

　第一個公司有600個人要上網，同時也是作為總公司來發展，日后會有更多的人加入我們公司總部。而分公司有100個人要上網，日后固定人數也就是100人左右。

　1.1.2

　我們公司將會有 4 部門，并且希望休閑中心不能訪問財務處和網絡中心，銷售部不能訪問網絡中心和財務處，網絡中心不能訪問財務處，財務處只能和 Server 互相通信。

　1.1.3

　在公司總部的三層交換機，核心路由器，防火墻和外網出口都在網絡中心，網絡中心有 50 個終端分布在同一層樓，銷售部距離網絡中心 800 米有銷售部 200 個終端，銷售部的大樓有 10 層，每層有 20 個信息點。財務處距離網絡中心 300 米財務處有 200 個終端，財政處的大樓有 3 層，第一層有 100 個信息點，剩下的 2 層每層有 50 個信息點，休閑中心距離網絡中心 900 米有休閑中心有 200 個終端接入，每個休閑中心有 100 個人上網。

　1.1.4

　由于考慮到日后的發展，要求兩個公司都 100M 到桌面，同時兩個公司之間的通信必需注意安全性。

　1.1.5

　為了減輕日后管理員的維護量，使用 dhcp 為 4 個部門分配 ip 地址。休閑中心 1 和休閑中心 2 分別作為該公司的咖啡廳和餐廳，兩個中心都對所有人提供免費 wi-fi，所有人都能免費接入到外網。

　1.1.6

　財務處必須提高該部門的安全性，我們公司對網絡的需求很高，不能隨便斷線。

　1.1.7.

　分公司只有 100 人，而且都在同一層樓。

　1.1.8.

　該公司有兩個 web Server 提供對外部和內部的訪問，但要保證兩個 Server 的安全性，該企業向 ISP 運營商申請到的 ip 地址為 100.100.1.0\28 和 202.200.1.4\30 兩個地址段。

　1.2 軟硬件分析 1.2.1 接入層交換機 統一使用 c2960 系列；

　價格 5000

　 圖1.2-1 c2960 接入層交換機

　表 1.2-1

　CISCO WS-C2960-24TC-L 詳細參數 主要參數 產品類型 智能交換機 應用層級 二層 傳輸速率 10/100Mbps 產品內存 DRAM 內存：64MB FLASH 內存：32MB 交換方式 存儲-轉發 背板帶寬 4.4Gbps 包轉發率 6.5Mpps MAC 地址表 8K 端口參數 端口結構 非模塊化 端口數量 26 個 端口描述 24 個以太網 10/100Mbps 端口，2 個兩用上行端口 傳輸模式 全雙工/半雙工自適應

　功能特性 網絡標準 IEEE 802.3，IEEE 802.3u，IEEE 802.1x，IEEE 802.1Q，IEEE 802.1p，IEEE 802.1D，IEEE 802.1s，IEEE 802.1w，IEEE 802.3ad，IEEE 802.3z VLAN 支持 QOS 支持 網絡管理 Web 瀏覽器，SNMP，CLI 其它參數 狀態指示燈 每端口，系統 電源功率 30W 產品尺寸 44×445×236mm 產品重量 3.6kg 環境標準 工作溫度：0-45℃ 工作濕度：10%-85%（非冷凝）

　存儲溫度：-25-70℃ 存儲濕度：10%-85%（非冷凝）

　主要參數 產品類型：智能交換機

　應用層級：二層

　傳輸速率：10/100Mbps

　產品內存：DRAM 內存：64MB FLASH 內存：32MB

　交換方式：存儲-轉發

　背板帶寬：4.4Gbps

　包轉發率：6.5Mpps

　MAC 地址表：8K

　1.2.2 核心層的 3 層交換機 使用 siscoWS-C4948-S

　價格 20000 表 1.2.2-1

　CISCO WS-C4948-S 匯聚層交換機詳細參數 主要參數 產品類型 千兆以太網交換機 應用層級 二層 傳輸速率 10/100/1000Mbps 處理器 266MHz 交換方式 存儲-轉發 背板帶寬 96Gbps 包轉發率 72Mpps MAC 地址表 32K 端口參數 端口結構 非模塊化 端口數量 52 個 端口描述 48 個 10/100/1000Mbps 端口，4 個 SFP 端口 功能特性 網絡標準 IEEE 802.3，IEEE 802.3u，IEEE 802.3z，IEEE 802.3ab，IEEE 802.1D，IEEE 802.1w，IEEE 802.1s，IEEE 802.3ad，IEEE 802.1p，IEEE 802.1Q，IEEE 802.1x VLAN 支持 QOS 支持 網絡管理 基于命令行界面（CLI）的管理控制臺 提供具體的帶外管理 其它參數 電源功率 300W 產品尺寸 409.9×439.1×44.5mm

　產品重量 7.48kg 環境標準 工作溫度：0-40℃ 存儲溫度：-40-75℃ 相對濕度：10%-90%（非冷凝）

　主要參數 產品類型：千兆以太網交換機

　應用層級：二層

　傳輸速率：10/100/1000Mbps

　處理器：266MHz

　交換方式：存儲-轉發

　背板帶寬：96Gbps

　包轉發率：72Mpps

　MAC 地址表：32K 端口參數 端口結構：非模塊化

　端口數量：52 個

　端口描述：48 個 10/100/1000Mbps 端口，4 個 SFP 端口

　功能特性 網絡標準：IEEE 802.3，IEEE 802.3u，IEEE 802.3z，IEEE 802.3ab，IEEE 802.1D，IEEE 802.1w，IEEE 802.1s，IEEE 802.3ad，IEEE 802.1p，IEEE 802.1Q，IEEE 802.1x VLAN：支持

　QOS：支持

　網絡管理：基于命令行界面（CLI）的管理控制臺 提供具體的帶外管理

　1.2.3 核心接入廣域網交換機 使用模塊化交換機 價格 30000

　 圖 1.2.3-1 模塊化交換機

　表 1.2.3-1 CISCO WS-C6509-E

　核心層交換機 重要參數

　產品類型 企業級交換機 應用層級 三層 傳輸速率 10/100/1000Mbps 背板帶寬 720Gbps VLAN 支持 網絡管理 CiscoWorks2000，RMON，增強交換... 包轉發率 387Mpps MAC 地址表 64K 網絡標準 IEEE 802.3，IEEE 802.3u，IEEE ... 端口結構 模塊化 交換方式 存儲-轉發 電源功率 4000W 4000W

　表 1.2.3-2

　CISCO WS-C6509-E 詳細參數 主要參數

　產品類型 企業級交換機 應用層級 三層 傳輸速率 10/100/1000Mbps 交換方式 存儲-轉發 背板帶寬 720Gbps 包轉發率 387Mpps MAC 地址表 64K 端口參數 端口結構 模塊化 擴展模塊 9 個模塊化插槽 傳輸模式 支持全雙工 功能特性 網絡標準 IEEE 802.3，IEEE 802.3u，IEEE 802.1s，IEEE 802.1w，IEEE 802.3ad VLAN 支持 QOS 支持 網絡管理 CiscoWorks2000，RMON，增強交換端口分析器（ESPAN），SNMP，Telnet，BOOTP，TFTP 其它參數 電源功率 4000W 產品尺寸 622×445×460mm

　主要參數 產品類型：企業級交換機

　應用層級：三層

　傳輸速率：10/100/1000Mbps

　交換方式：存儲-轉發

　背板帶寬：720Gbps

　包轉發率：387Mpps

　MAC 地址表：64K

　 端口參數 端口結構：模塊化

　擴展模塊：9 個模塊化插槽

　傳輸模式：支持全雙工

　 功能特性 網絡標準：IEEE 802.3，IEEE 802.3u，IEEE 802.1s，IEEE 802.1w，IEEE 802.3ad VLAN：支持

　QOS：支持

　網絡管理：CiscoWorks2000，RMON，增強交換端口分析器（ESPAN），SNMP，Telnet，BOOTP，TFTP

　 1.2.4 兩個分公司使用路由器 用思科的 3925 表 1.2.4-1

　CISCO 3925/K9 詳細參數 基本參數 路由器類型 多業務路由器 傳輸速率 10/100/1000Mbps 端口結構 模塊化 局域網接口 3 個 其它端口 2 個基于 SFP 的端口 2 個外部 USB2.0 端口 1 個串行控制臺端口

　1 個串行輔助端口 擴展模塊 2 個服務模塊插槽+1 個雙寬度服務模塊插槽+4 個 EHWIC 插槽數+2 個雙寬度EHWIC 插槽+1 個 ISM 插槽數+4 個板載 DSP（PVDM）插槽 功能參數 防火墻 內臵防火墻 Qos 支持 支持 VPN 支持 支持 其他參數 產品內存 DRAM 內存：1GB，最大 2GB 電源電壓 AC 100-240V，47-63Hz 產品認證 UL 60950-1，CAN/CSA C22.2 No.60950-1，EN 60950-1，AS/NZS 60950-1，IEC 60950-1 產品尺寸 133.35×438.15×476.25mm 產品重量 17.7kg（帶交流電源，無模塊）

　環境標準 工作溫度：0-40℃ 工作濕度：10%-85%RH 存儲溫度：-40-70℃ 存儲濕度：5%-95%RH 基本參數 路由器類型：多業務路由器

　傳輸速率：10/100/1000Mbps

　端口結構：模塊化

　局域網接口：3 個

　其它端口：2 個基于 SFP 的端口 2 個外部 USB2.0 端口 1 個串行控制臺端口 1 個串行輔助端口

　擴展模塊：2 個服務模塊插槽+1 個雙寬度服務模塊插槽+4 個 EHWIC 插槽數+2個雙寬度 EHWIC 插槽+1 個 ISM 插槽數+4 個板載 DSP（PVDM）插槽

　功能參數 防火墻：內臵防火墻

　Qos 支持：支持

　VPN 支持：支持 其他參數 產品內存：DRAM 內存：1GB，最大 2GB

　電源電壓：AC 100-240V，47-63Hz

　產品認證：UL 60950-1，CAN/CSA C22.2 No.60950-1，EN 60950-1，AS/NZS 60950-1，IEC 60950-1

　產品尺寸：133.35×438.15×476.25mm

　產品重量：17.7kg（帶交流電源，無模塊）

　環境標準：工作溫度：0-40℃ 工作濕度：10%-85%RH 存儲溫度：-40-70℃ 存儲濕度：5%-95%RH

　1.2.5 防火墻 使用 CISCO ASA5520-BUN-K9 表 1.2.5-1

　CISCO ASA5520-BUN-K9 詳細參數 主要參數 設備類型 VPN 防火墻 并發連接數 280000 網絡吞吐量 450Mbps 安全過濾帶寬 225Mbps 用戶數限制 無用戶數限制

　網絡端口 千兆以太網端口×4、快速以太網端口×1、SSM 擴展插槽×1 控制端口 console VPN 支持 支持 入侵檢測 DoS 管理 思科安全管理器 (CS-Manager) ,Web 安全標準 UL 1950,CSA C22.2 No. 950,EN 60950 IEC 60950,AS/NZS3260,TS001 一般參數 電源 100-240VAC，47/63Hz 產品尺寸 362×200.4×44.5mm 產品重量 9.07kg 適用環境 工作溫度：0℃-40℃ 工作濕度：5%-95%(非冷凝) 存儲溫度：-25℃-70℃ 存儲濕度：5%-95% (非冷凝) 其他性能 既可以實現強大的安全保護，又可以避免在多個地點運行多個設備的高運行成本 主要參數 設備類型：VPN 防火墻

　并發連接數：280000

　網絡吞吐量：450Mbps

　安全過濾帶寬：225Mbps

　用戶數限制：無用戶數限制

　網絡端口：千兆以太網端口×4、快速以太網端口×1、SSM 擴展插槽×1

　控制端口：console

　VPN 支持：支持

　入侵檢測：DoS

　管理：思科安全管理器 (CS-Manager) ,Web 糾錯 安全標準：UL 1950,CSA C22.2 No. 950,EN 60950 IEC 60950,AS/NZS3260,TS001

　 一般參數 電源：100-240VAC，47/63Hz

　產品尺寸：362×200.4×44.5mm

　產品重量：9.07kg

　適用環境：工作溫度：0℃-40℃ 工作濕度：5%-95%(非冷凝) 存儲溫度：-25℃-70℃ 存儲濕度：5%-95% (非冷凝)

　其他性能：既可以實現強大的安全保護，又可以避免在多個地點運行多個設備的高運行成本

　1.3 技術實現的分析 1.3.1 需求解析 需求 1、由于本公司初到中國市場，要在中國兩個不同的城市，成立兩個公司。

　解析：在兩個不同的城市有該企業的兩個公司，就意味著中間要有運營商。

　需求 2、第一個公司有 600 個人要上網，同時也是作為總公司來發展，日后會有更多的人加入我們公司總部 解析：在公司的總部目前有 600 個終端，再設計時要留有一定的余量，以便于日后的擴展。

　需求 3、分公司有 100 個人要上網，日后固定人數也就是 100 人左右。

　解析：在公司分部目前有 100 個終端，日后節點數相對穩定。

　需求 4、我們公司將會有 4 部門，并且希望休閑中心不能訪問財務處和網絡中心，銷售部不能訪問網絡中心和財務處，網絡中心不能訪問財務處，財務處只能和 Server 互相通信。

　解析：使用 VLan 技術為該企業劃分 4 個 vlan 由于交換機較多，我們使用 VTP 技術，實現一個 VTP server 管理多個 VTP client 來劃分 Vlan。

　Vlan1 為休閑中心 Vlan2 為銷售部 Vlan3 為網絡中心 Vlan4 為財務處

　并且使用擴展 ACL 來達到如下安全需求 并且 vlan1 不能訪問 vlan4 Vlan2 不能訪問 vlan4 Vlan3 不能訪問 vlan4 Vlan4 只能和 Server 通信。

　需求 5、在公司總部有三層交換機，核心路由器，防火墻和外網出口都在網絡中心。

　解析：意味著所有的接入層流量，匯聚到網絡中心的三層交換機上，并由核心路由器轉發出外網。

　地域圖如下 網絡中心銷售部財務處休閑中心單模光纖800米300米多模光纖900米單模光纖公司總部Internet光纖圖 1.3-1 地域圖

　需求 6、網絡中心有 50 個終端分布在同一層樓 解析：因為流量在網絡中心匯聚，所以可以直接用兩臺接入層交換機與三層交換機相連，并為其分配 ip 地址為 192.168.3.0\24 需求 7、銷售部距離網絡中心 800 米有銷售部 200 個終端，銷售部的大樓有 10 層，每層有 20個信息點。

　解析：因為距離網絡中心 800 米和要求 100M 到桌面，所以只能采用單模光纖傳輸流量。并為

　其分配 ip 地址為 192.168.2.0\24 網段。每層樓有 20 個信息點共有 10 層，需要 10 臺接入交換機分配到每層，再由一臺交換機匯聚銷售部流量，并轉發至網絡中心。

　需求 8、財務處距離網絡中心 300 米財務處有 200 個終端，財政部的大樓有 3 層，第一層有 100個信息點，剩下的 2 層每層有 50 個信息點。

　解析：因為距離網絡中心 300 米和要求 100M 到桌面，所以采用多模光纖傳輸流量。并為其分配 ip 地址為 192.168.4.0\24 網段。第一層有 100 個信息點，需要 5 臺接入交換機。剩下的 2 層每層有 50 個信息點，每層需要 2 臺接入交換機，再由一臺交換機匯聚財務處流量，并轉發至網絡中心。

　需求 9、休閑中心距離網絡中心 900 米有休閑中心有 200 個終端接入，每個休閑中心有 100 個人上網。

　解析：因為距離網絡中心 900 米，所以采用單模光纖傳輸流量。并為其分配 ip 地址為192.168.1.0\24 網段。兩個休閑中心，分別有 100 個用戶，如果假設一臺 AP 只接入 10 臺 pc，所以一個網絡中心需要 10 臺 AP 進行整個房間的覆蓋，再由一臺交換機匯聚休閑中心流量，并轉發至網絡中心。

　需求 10、同時兩個公司之間的通信必需注意安全性。

　解析：為了節省不必要開支，我們不使用專線接入。直接使用 VPN 技術，實現 ip sec 隧道加密技術。

　需求 11、該企業網絡規模較大，節點數較多。

　解析：我們將使用 OSPF 路由協議來提供全網路由，因為 OSPF 適合大型企業網絡，并且我們多條線路都有冗余，使用 OSPF 還可以實現等價負載均衡，使網絡的效率更高。

　由于 OSPF 是內部網關協議，運營商不會使用。出口處我們將用默認路由來指向出口。

　需求 11、為了減輕日后管理員的維護量，使用 dhcp 為 4 個部門分配 ip 地址。休閑中心 1 和休閑中心 2 分別作為該公司的咖啡廳和餐廳，兩個中心都對所有人提供免費 wi-fi，所有人都能免費接入到外網。

　解析：可以使用 dhcp 技術，為每個 vlan 分配不同的 ip 地址，為每個用戶分配 ip 地址。同時解決了因為 ip 地址重復造成沖突的問題。因為是企業園區 Ap 將不設臵接入密碼，直接可以通過 Ap 訪問出外網。

　需求 12、財務處必須提高該部門的安全性，我們公司對網絡的需求很高，不能隨便斷線。

　解析：我們將對財務部的交換機做端口安全，實現一個接口只能被一臺 pc 訪問。由于不能隨

　便斷線，我們核心路由器和三層交換機都實現冗余備份，然后再將多條線路實現捆綁，并進行冗余備份和等價負載均衡。

　需求 13、由于這個分公司只有 100 人，并且在同一層。

　分析：我們直接用 5 個交換機接入，再由一個交換機進行匯聚。并且使用居于廣播段來劃分Vlan，由于規模較小，直接使用單臂路由來互連，出口使用默認路由。

　需求 13、該公司有兩個 web Server 提供對外部和內部的訪問，但要保證兩個 Server 的安全性。

　解析：由于兩個要保證兩臺 Server 的安全性，同時也要提供對外的訪問的服務，所以我們使用防火墻，并將服務器放進它的 DMZ 區域，實現對外的安全性并且使用 IPsec 來保證分部與Server 之間的安全性。

　需求 14、企業向 ISP 運營商申請到的 ip 地址為 100.100.1.0\28 和 202.200.1.4\30 兩個地址段。

　解析：由于向運營商申請的 ip 地址有限，所以要使用 NAPT 技術，實現多個 ip 地址對應一個ip 地址的轉換。兩臺 Server 提供對外訪問，所以，兩臺 Server 需要兩個 ip 地址。并且使用 ppp協議接入到 internet。

　1.3.2 技術概括 VLAN（Virtual Local Area Network）虛擬局域網：可以將交換機設備從邏輯上劃分成多個廣播域，從而實現了通信的優化和設備的管理。

　VTP（VLAN Trunking Protocol）VLAN 中繼協議：可以將在 Server 上劃分的 vlan 傳輸到所有的 client 上。

　DHCP（Dynamic Host Configuration Protocol）動態主機設臵協議：減少網絡管理員的維護量和分配地址的難度。并且可以按 vlan 給不同 vlan 的客戶機劃分不同網段的 ip 地址。

　交換機端口安全：可以將交換機的 MAC 地址和端口映射表進行綁定，如果同一個端口不同mac 的終端接入可以實現將端口關閉。以保證網絡的安全。

　ACL（Access Control List）訪問控制列表：可以用來實現對某些主機的某種訪問進行控制。并且可以用來抓取地址來為 nat 和 vpn 服務等。

　 SVI （switch virtual interface）：交換機虛擬接口既交互三級的管理 Vlan 地址，可以實現不同 vlan直接的互相通信。并且可以幫助 dhcp 為不同的 vlan 劃分 ip 地址。

　鏈路的捆綁：將交換機的多個物理端口邏輯的捆綁成一個端口，可以實現等價負載均衡，鏈路冗余，增加帶寬，等好處。

　單臂路由：可以節省核心路由器的接口，并且適合小型網絡的設計方案，但是容易形成瓶頸。

　OSPF(Open Shortest Path First）開放式最短路徑優先: 它屬于內部網關協議，可以用來實現一個自治系統內部的互相訪問。

　默認路由：默認路由是一種特殊的靜態路由，我們用它來解決運營商不使用內部網關協議而導致的 ospf 不知道外部路徑的情況。數據包只需要丟給運營商就由運營商自己轉發。

　NAT (Network Address Translation) 網絡地址轉換：可以將私有地址轉化成共有地址，來節約公有地址，暫時性解決了公有地址匱乏的難題。同時提高了內部設備的安全性。

　PAP（Password Authentication Protocol）密碼認證協議：在這里，我們它來實現運營商對公司的認證，也就是說運營商用它來控制這個公司是否能上網。

　VPN（Virtual Private Network) 虛擬專用網絡：我們用的是 IP sec，屬于網絡層的隧道技術。我們用它來實現，分公司和總部之間的互訪，提供了訪問的安全性，數據被截獲后，還需要破解才能看見內容。

　二 、 拓撲規劃

　2.1

　拓撲圖 2.1.1 總拓撲圖 銷售部Vlan2192.168.2.0網絡中心Vlan3192.168.3.0財務處Vlan4192.168.4.0休閑中心1Vlan1192.168.1.0休閑中心2Vlan1192.168.1.0單模光纖1G1G單模光纖1G1G1G1Gvlan2vlan3vlan4Web1 Server192.168.10.2Web Server192.168.10.,3192.168.10.1100.100.1.2/28100.100.1.1/28202.200.1.6/30多模光纖1G1G100M100M100M100M樓層接入交換機樓層匯聚交換機202.200.1.5/30192.168.5.1\24192.168.5.2\24 192.168.6.2\24192.168.6.1\24192.168.7.1\24192.168.7.2\24子接口192.168.1.0\24192.168.2.0\24192.168.3.0\24192.168.4.0\24100M100M100M100M1G 圖 2.1.1-1

　拓撲圖

　2.1.2 網絡拓撲圖 這是我們的網絡規劃圖，

　圖 2.1.1-2 頂層

　這是總部和分部之間的模擬圖 主要實現的是核心層和廣域網技術的路由命令 我們用 gns3 來模擬器來實現。

　2.1.3 接入層

　圖 2.1.1-3 接入層

　這是我們總部的接入層的拓撲圖， 主要實現接入層和匯聚層的配臵命令 2.2

　IP 分配

　表 2.2-1

　WLFirewall ip 地址 設備名字 對應接口 Ip 地址 子網掩碼 作用 WLFirewall S1/0 100.100.1.1 255.255.255.240 連接廣域網 F0/0 192.168.7.2 255.255.255.0 連接公司路由器 Lookback 0 192.168.10.1 255.255.255.0 模擬 DMZ

　表 2.2-2

　WLR1 ip 地址 設備名字 對應接口 Ip 地址 子網掩碼 作用

　WLR1 F1/0 192.168.7.1 255.255.255.0 連接防火墻 F0/1 192.168.6.2 255.255.255.0 連接核心交換機 F0/0 192.167.5.2 255.255.255.0 連接核心交換機

　表 2.2-3

　ISP ip 地址 設備名字 對應接口 Ip 地址 子網掩碼 作用

　ISP S0/0 100.100.1.2 255.255.255.240 模擬運營商對總公司提供互聯網支持 S0/2 202.200.1.5 255.255.255.252 模擬運營商對分公司提供互聯網支持

　表 2.2-4

　FBR1 ip 地址 設備名字 對應接口 Ip 地址 子網掩碼 作用

　 FBR1 S1/0 202.200.1.5 255.255.255.252 連接 internet F0/0.1 192.168.1.254 255.255.255.0 子接口提供單臂路由網關 F0/0.2 192.168.2.254 255.255.255.0 F0/0.3 192.168.3.254 255.255.255.0 F0/0.4 192.168.4.254 255.255.255.0

　表 2.2-5

　WL1 ip 地址 設備名字 對應接口 Ip 地址 子網掩碼 作用

　WL1 F0/0 192.168.5.1 255.255.255.0 連接核心路由器 F1/0

　端口集合提供冗余 F1/1 Lo1 192.168.1.1 255.255.255.0 Vlan1 的管理地址 Lo2 192.168.2.1 255.255.255.0 Vlan2 的管理地址 Lo3 192.168.3.1 255.255.255.0 Vlan3 的管理地址

　Lo4 192.168.4.1 255.255.255.0 Vlan4 的管理地址

　接入層由 pt 模擬

　表 2.2-6

　WL2 ip 地址 設備名字 對應接口 Ip 地址 子網掩碼 作用

　 WL2 F0/0 192.168.5.1 255.255.255.0 連接核心路由器 F1/0

　端口集合提供冗余 F1/1 Lo1 192.168.1.1 255.255.255.0 Vlan1 的管理地址 Lo2 192.168.2.1 255.255.255.0 Vlan2 的管理地址 Lo3 192.168.3.1 255.255.255.0 Vlan3 的管理地址 Lo4 192.168.4.1 255.255.255.0 Vlan4 的管理地址

　接入層由 pt 模擬

　2.3

　設備選型 2.3.1

　接入層交換機 接入層 24 口交換機一臺可以接入 24 臺 pc。

　又因為 100M 到桌面所以有如下公式。

　背板帶寬=100M*24（接口）*2（全雙工）=4.8Gbps 所以選 CISCO WS-C2960-24TC-L 對應 pt 模擬器的接入層交換機

　2.3.2

　匯聚層交換機 匯聚層負責接入層交換機的流量匯聚，并且轉發至核心交換機， 又因為一臺匯聚交換機要連接 10-15 臺接入交換機所以 背板帶寬=15*接入交換機背板帶寬（5G）=75Gbps 所以選 CISCO WS-C4948-S 對應拓撲圖 3 的匯聚層交換機

　2.3.3

　核心交換機 匯聚層都是用 1G 的線和核心交換機相連，而且必須使用模塊化的機型。

　所以選 CISCO WS-C6509-E 對應 pt 模擬器和 GNS3 的層交換機

　2.3.4

　核心路由器

　 因為雖然現在的三層交換機越來越強大，但是終究無法取代路由器，因為首先三層交換沒有廣域網的接口和插槽，并且對廣域網技術的支持不夠，所以導致了路由器在廣域網方面無可替代的方面。

　三 、 實施

　3.1

　命令 表 3.1-1

　交換機 VTP 的設計 設備名稱 實現功能 命令 WL1 VTP enable config ter vtp mode server

　vtp 的模式為服務器 vtp domain cisco

　 vtp 的域名 cisco vtp password text

　 vtp 的密碼為 text hostname WL1 WL2 VTP enable config ter vtp mode client

　 vtp 的模式為客戶端 vtp domain cisco vtp password text hostname WL2 WL3 VTP enable config ter vtp mode client vtp domain cisco vtp password text hostname WL3

　CW1 VTP enable config ter vtp mode client vtp domain cisco vtp password text

　hostname CW1

　XX1 VTP enable config ter vtp mode client vtp domain cisco vtp password text hostname XX1

　表 3.1-2

　交換機 VLAN 的設計 設備名稱 實現功能 命令 WL1 VLAN 劃分 vlan 2 name xs vlan 3 name wl vlan 4 name cw interface range f0/2 – 4 switchport mode trunk WL2 VLAN 劃分 interface range f0/2 – 4 switchport mode trunk WL3 VLAN 劃分 interface f0/1 – 2 switchport mode trunk interface range f0/10 - 20 switchport mode access switchport access vlan 3 CW1 VLAN 劃分 interface f0/1 switchport mode trunk interface f0/2 switchport mode trunk

　interface range f0/10 - 20 switchport mode access switchport access vlan 4

　XX1 VLAN 劃分 interface range f0/1 – 2 switchport mode trunk

　表 3.1-3

　交換機的鏈路聚合的設計 設備名稱 實現功能 命令 WL1 鏈路聚合 interface range f0/10 - 11 switchport mode trunk channel-group 1 mode on

　WL2 鏈路聚合 interface range f0/10 - 11 switchport mode trunk channel-group 1 mode on

　表 3.1-4

　交換機 SVI 的設計 設備名稱 實現功能 命令 WL1 SVI 技術 interface vlan 1 no shutdown ip address 192.168.1.254 255.255.255.0 interface vlan 2 no shutdown ip address 192.168.2.254 255.255.255.0 interface vlan 3 no shutdown ip address 192.168.3.254 255.255.255.0 interface vlan 4

　no shutdown ip address 192.168.4.254 255.255.255.0 WL2 SVI 技術 interface vlan 1 no shutdown ip address 192.168.1.254 255.255.255.0 interface vlan 2 no shutdown ip address 192.168.2.254 255.255.255.0 interface vlan 3 no shutdown ip address 192.168.3.254 255.255.255.0 interface vlan 4 no shutdown ip address 192.168.4.254 255.255.255.0

　表 3.1-5

　交換機 DHCP 的設計 設備名稱 實現功能 命令 WL1 DHCP ip dhcp pool xx

　創建名為 xx 的地址池 network 192.168.1.0 255.255.255.0

　地址的范圍 default-router 192.168.1.254

　 設臵網關地址 dns-server 1.1.1.1

　設臵 dsn 地址 exit ip dhcp pool xs network 192.168.2.0 255.255.255.0 default-router 192.168.2.254 dns-server 1.1.1.1 exit ip dhcp pool wl network 192.168.3.0 255.255.255.0

　default-router 192.168.3.254 dns-server 1.1.1.1 exit ip dhcp pool cw network 192.168.4.0 255.255.255.0 default-router 192.168.4.254 dns-server 1.1.1.1 exit

　表 3.1-6

　交換機財務處的端口安全 設備名稱 實現功能 命令 CW1 交換機端口安全 interface range f0/10 - 20 switchport port-security

　開啟端口安全 switchport port-security maximum 1

　最大接入量為 1 switchport port-security violation shutdown

　如果違規就 shutdown switchport port-security mac-address sticky

　靜態將 mac 地址和端口捆綁

　表 3.1-7

　OSPF 技術的實現 設備名稱 實現功能 命令 WL1 OSPF router ospf 100 network 192.168.1.0 0.0.0.255 area 0 network 192.168.2.0 0.0.0.255 area 0 network 192.168.3.0 0.0.0.255 area 0 network 192.168.4.0 0.0.0.255 area 0 network 192.168.5.0 0.0.0.255 area 0 WL2 OSPF router ospf 100 network 192.168.1.0 0.0.0.255 area 0 network 192.168.2.0 0.0.0.255 area 0

　network 192.168.3.0 0.0.0.255 area 0 network 192.168.4.0 0.0.0.255 area 0 network 192.168.6.0 0.0.0.255 area 0 WLR1 OSPF router ospf 100 network 192.168.5.0 0.0.0.255 area 0 network 192.168.6.0 0.0.0.255 area 0 network 192.168.7.0 0.0.0.255 area 0 WLFirewall OSPF router osf 100 network 192.168.7.0 0.0.0.255 area 0 network 192.168.10.0 0.0.0.255 area 0 network 100.100.1.1 0.0.0.255 area 0

　表 3.1-8

　單臂路由技術的實現 設備名稱 實現技術 命令 FBR 單臂路由 in f0/0 no shutdown in f0/0.1

　 設臵子接口 encapsulation dot1Q 1

　封裝 802.1q 協議并劃分進 vlan1 ip address 192.168.1.254 255.255.255.0 no shutdown in f0/0.2 encapsulation dot1Q 2 ip address 192.168.2.254 255.255.255.0 no shutdown in f0/0.3 encapsulation dot1Q 3 ip address 192.168.3.254 255.255.255.0 no shutdown in f0/0.4

　encapsulation dot1Q 4 ip address 192.168.4.254 255.255.255.0 no shutdown

　表 3.1-9

　默認路由技術的實現 設備名稱 實現技術 命令 WLFirewall 默認路由 ip route 0.0.0.0 0.0.0.0 100.100.1.2 FBR 默認路由 ip route 0.0.0.0 0.0.0.0 202.200.1.5

　表 3.1-10

　PAP 認證的實現 設備名稱 實現技術 命令 ISP PAP Username zb password text Username fb password text interface s0/2 encapsulation ppp ppp authentication pap interface s0/0 encapsulation ppp ppp authentication pap FBR PAP interface s1/0 encapsulation ppp ppp pap sent-username fb password text WLFirewall PAP interface s1/0 encapsulation ppp ppp pap sent-username zb password text

　表 3.1-11

　NAT 技術的實現 設備名稱 實現技術 命令 WLFirewall NAT access-list 1 permit 192.168.1.0 0.0.0.255

　access-list 1 permit 192.168.2.0 0.0.0.255 access-list 1 permit 192.168.3.0 0.0.0.255 access-list 1 permit 192.168.4.0 0.0.0.255 ip nat pool zb 100.100.1.1 100.100.1.1 netmask 255.255.255.240

　創建一個地址池 ip nat inside source list 1 pool zb overload FBR NAT access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255 access-list 1 permit 192.168.3.0 0.0.0.255 access-list 1 permit 192.168.4.0 0.0.0.255 ip nat pool fb 202.200.1.6 202.200.1.6 netmask 255.255.255.252 ip nat inside source list 1 pool fb overload

　表 3.1-12

　VPN 技術的實現 設備名稱 實現技術 命令 WLFirewall VPN crypto isakmp policy 100（創建 IKE 策略，設臵編號 100）

　encr aes

　 加密方式 aes hash md5

　散列算法 MD5 authentication pre-share

　認證方式共享密鑰 group 2

　 交換密鑰 D-H 算法密鑰強度為GROUP2。

　crypto isakmp key text address 202.200.1.6

　 (由于使用共享密鑰的認證方式與對端建立 IKE 安全關聯，所以需要指定雙方約定的共享密鑰 text，并且指定 IKE 對端為 202.200.1.6) crypto ipsec transform-set textvpn ah-sha-hmac esp-aes esp-sha-hmac(建立一個名稱為 textvpn 的傳輸模式集，名稱后面的參數可以是一~三個) access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 crypto map zhong 1000 ipsec-isakmap(創建名稱為 zhong 的加密圖將

　第一步的傳輸模式集) set peer 200.100.1.6 set transform-set textvpn(定義的數據流與 VPN 對端 IP 地址綁定起來) match address 110(應用地址 110 組) interface f0/0 ip address 202.100.1.14 255.255.255.0 serial restart-delay 0 crypto map zong（應用到外部接口上）

　FBR VPN crypto isakmp policy 1000 encr aes hash md5 authentication pre-share group 2 exit crypto isakmp key text address 100.100.1.1 crypto ipsec transform-set textvpn ah-sha-hmac esp-aes esp-sha-hmac access-list 120 permit ip any 192.168.10.0 0.0.0.255 crypto map feng 1000 ipsec-isakmap set peer 100.100.1.1 set transform-set textvpn match address 120 interface f0/0 ip address 202.100.1.6 255.255.255.0 crypto map feng

　3.2

　測試 3.2.1Dhcp 測試

　圖 3.2.1-1 vlan1 的測試

　 圖 3.2.1-2 vlan3 的測試

　 圖 3.2.1-3 vlan4 的測試

　3.2.2 接入層測試

　圖 3.2.2-1 所有的 vlan 互訪的測試

　3.2.3 測試路由 WLR1 的路由表

　圖 3.2.3-1

　WLR1 的路由表 WLFirewall 的路由表

　圖 3.2.3-2

　WLFirewall 的路由表

　FBR 的路由表

　圖 3.2.3-3

　FBR 的路由表

　3.2.4Pap 認證測試

　圖 3.2.4-1

　pap 認證測試

　3.2.5NAT 測試

　圖 3.2.5-1

　NAT 測試 3.2.6VPN 測試

　圖 3.2.6-1

　VPN 測試 四 、 優化

　4.1

　功能描述優化

　 功能描述優化方面主要針對于客戶設計，因為功能描述有助于客戶理解網絡的基本構造達到客戶的設計要求，避免客戶提出不太可能的要求，引導客戶正確的網絡術語。當然，滿足客戶的需求是我們的的責任，功能描述應該本著源于客戶，高于客戶的宗旨。來滿足客戶，減少客戶的專業知識不足帶來的麻煩。需要理解客戶想要的是什么，需要什么樣的網絡。盡量和對方工作人員對對現有網絡進行分析。

　4.2 設備優化

　 設備選型全網都是用的 cisco 設備，這樣簡化了配臵當中的兼容問題，也使得網絡更安全，路由收斂更快。但是 cisco 的設備偏貴了，要優化設備可以選擇華為,華三的設備，而且華為的設備是先使用后付款，還支持工程師跟蹤服務，免去后顧之憂，但不管是怎樣還是建議選擇同一個廠家的設備，尤其是匯聚層以上的設備。這樣可以避免 ios 的不同帶來的兼容問題，也方面維護，易于管理。

　4.3 結構優化

　 在結構方面完全遵守網絡分層結構，向著靈活性，規范性，系統性，綜合性的高要求來完成基本拓撲搭建，實際操作不允許大幅度的調動設備位臵。按照接入層，匯聚層，核心層各自的性能有點來設計拓撲，各層之間相互協調，互相分工，緊密相連。

　4.4 配臵優化 網絡配臵基于 cisco 的 ios 來配臵，按照需求分析，功能分析，拓撲結構來配臵各個設備， 有接入層的 ip 地址劃分，到核心層的各種連接廣域網技術，都首先在虛擬設備上實現，檢查合格再寫入設備。配臵的優化不在于精簡，在于對設備的熟悉以及扎實的網絡知識，所以選擇一個好的網絡規劃公司是重要的。由于配臵模擬的 gns3 資源瓶頸問題，我們的接入層使用pt 模擬器，匯聚層核心層的重要技術使用 gns3 來實現，最終達到關聯的效果。

　五 、 總結

　經過很多天的奮戰，這個項目終于完美的完成了，通過這次項目，我們這個小組懂得了彼此之間合作的必要性，在大家的下，項目制作循序漸進，知識深入淺出，隊友取長補短，愉快的解決了在項目中遇到的各種各樣的問題，使得知識得到了升華，組長分配給各個組員的任務互相聯系，層次分明，組員之間協調完美，使得這次項目按時完成。這個企業網的規劃都是按照規范制作，其中我們還考慮了各個部門的擴展性進行了預算，慎重的測試了各項技術的實施，規劃了各個部分的功能，最后簡單的全網達到基本預想要求。我們依然希望這個設計會隨著我們的知識層面的提高，在實現接入層的時候，我們劃分了幾個 vlan，來完成我們的網絡需求。并且我們用到了 svi 技術，實現 vlan1，vlan2，vlan3 之間的互訪。設臵了 IP網關分為 192.168.1.254,192.168.2.254,192.168.3.254,192.168.4.254。vlan 的劃分采用的是 VTP 技術來劃分的。在這當中，為了提高網絡連接可靠性，我們也采用了冗余鏈路。防止故障。

　但是在設計過程中難免存在各種的不足，比如 vrrp 技術沒有實現，vpn 技術的不成熟，以及模擬和現實之間的差異。我們在實現的過程中遇到了很多的問題，例如 vtp 的設計，在pt 模擬器上是在全局模式下配臵，而在 GNS3 中卻是在 vlan database 中搭建。Dhcp 在配臵過程中的難題卻是怎樣為不同的 vlan 劃分地址，并且保證不會把其他 vlan 的配臵分給 Pc。SVI在設計的過程中，不確定哪些端口該使用成為 Trunk，經過了一次次的嘗試和改進，學會了很多，并且知道了 SVI 的詳細工作原理，并且對他有了很深入的了解。我們在 nat 技術的實現中遇到問題，因為在單臂路由的實現過程中，inside 接口起的是子接口，我們不確定是在物理接口上調用 ip nat inside 還是在子接口中一個一個的調用。經過多次的模擬和仿真，我們知道了應該是在子接口來調用。并且在設計的過程中本來是想加入 vrrp 的技術的，但是我們的 3 層設備和核心路由器用的是 OSPF，OSPF 本身就具備了等價負載均衡，和動態學習路由的能力，所以在實現的過程中，就決定去掉了 vrrp 技術。我們在實現交換機端口...

推薦訪問： 實施方案 需求 分析