毕业设计（论文）-DHY公司网络构建与服务管理.doc

资源描述

《毕业设计（论文）-DHY公司网络构建与服务管理.doc》由会员分享，可在线阅读，更多相关《毕业设计（论文）-DHY公司网络构建与服务管理.doc（52页珍藏版）》请在三一文库上搜索。

1、一、毕业技能综合实训任务书实训项目： DHY 公司网络构建与服务管理学生姓名：杜昊晟专业：计算机应用技术班级： 10 计应 2 学号： 1082040505 项目类型：企业项目改造指导教师：庞美玉 1 1、实训项目简介：、实训项目简介： DHY 公司是一家拥有 500 名员工的新型 IT 企业，公司有近 500 台运行 windows 2008/2003/xp 的计算机。公司总部位于宁波，并分别在余姚、慈溪设有分公司。总部设有财务、研发、生产和销售 4 个部门，每个分公司则由销售、生产和财务 3 个部门组成，由总部统一管理。 DHY 公司的组织架构如图如下： DHY

2、公司所从事的业务对网络系统有极大的依赖性，内部办公等都需要网络支持。公司建设初期已经实施了简单的网络系统，但随着公司规模的不断扩大和业务的不断扩展，员工数量的不断增多和信息应用系统的不断增加，现有的网络系统逐渐不能满足企业信息化建设的要求，因此计划对宁波总公司的局域网络和总公司与分公司之间互联网络进行重新规划设计，以提高网络的可用性、安全性和可靠性，并保留一定的可扩展性，在 DHY 公司内实现一个完善、高效、高可用性和高可靠性的办公网络，用以满足各项业务发展的需要。现有网络状况分析： DHY 公司宁波总公司原有的综合布线系统是按照骨干线路全部双线冗余来铺设的，但是由于当时的网

3、络应用单一，对网络的要求太低，所以仅使用了 7 台 cisco catalyst 2950 交换机，通过级联方式组成网络，没有考虑网络骨干的冗余性，IP 地址采用的是 192.168.1.0、24 网段的地址，但使用比较混乱。宁波总公司内的 VLAN 只按照部门进行了划分，采用 1 台 CISCO 2621 路由器以单臂路由的方式实现 VLAN 之间的路由。现在随着总公司规模的扩大、员工数量的增多、信息系统应用的升级，原有的组网方式在网络的性能、可靠性和安全性上已经不能满足要求。宁波总部的局域网架构如图所示：总公司已经建设好了专用的中心机房，原来是通过拨号上网，没有申请公司域名，

4、也没有配置网络服务和 DHY 公司自己的邮件系统，这些都计划在此次一并实施。宁波总公司原有的综合布线系统在设计实施开始时就考虑到公司未来十年的信息系统要求，各个办公区域和网路机房都已经预留了足够的信息点，骨干链路采用双线冗余，所用线缆带宽也能够满足要求，因此此次网络建设不需要重新布线。余姚和慈溪分公司由于人数较少，网络组织跟总公司基本相同，目前可以满足应用要求，因此不需重新建设。但分公司与总公司的连通没有采取专用线路，仅仅是通过拨号访问因特网，通过个人免费邮箱发邮件定期向总公司提交报表文件，速度较慢，工作效率低，安全性也较差。同时，公司员工通过个人免费邮箱与合作伙伴和客户进

5、行业务联系，对公司的整体形象也有一定的影响。 DHY 公司的网络整体架构如图所示：整体上看，DHY 公司原有的内联网络在可扩展行上也不能满足要求，新加入的设备、主机、服务器等只能见缝插针地连入网络，对网络的可维护性造成了很大的影响。因此，此次需要对 DHY 公司的网络进行重新规划设计，在最大限度地利用已有资源的基础上，调整宁波总公司的内部网络结构，提高网络的整体性能和安全性、可靠性、可扩展性，调整余姚、慈溪分公司与宁波总公司的路由连接，提高和总部之间的网络带宽，支持更复杂的网络应用。 2 2、实训主要任务及要求：、实训主要任务及要求： 1 1）、设计网络方案、设计网络方案新规划

6、实施的 DHY 公司网络将覆盖宁波总公司和慈溪、余姚两个分公司，根据如下的网络建设需求和设备选型要求，设计出 DHY 公司的网络构建方案。（1）网络建设需求如下：余姚、慈溪分公司通过专线连接宁波总公司，使用路由器实现宁波、余姚、慈溪三部分网络的互联互通宁波总公司通过一条以太网方式的宽带接入链路（10M 带宽）连接到因特网，提高访问因特网的速度宁波总公司的内部局域网络采用全冗余的结构来保障网络的高可用性，余姚、慈溪分公司的内部网络架构则可以比较简单公司内所有的信息服务应用均由总公司提供，服务器均放置在宁波总公司，余姚、慈溪分公司通过网络远程访问出于网络安全性考虑，DHY 公

7、司仅有单一的因特网访问出口，位于宁波总公司，余姚、慈溪分公司要访问因特网必须通过总公司为了能够有力的支持各种计算机应用系统，实现公司内部各种资源的共享，网络总体架构要求高效、健壮、安全，具有良好的可扩展性网络设计为模块化的拓扑结构，总公司统一进行规划和管理，全网采用统一的网络方案和策略每个分公司的网络自成体系，单个分公司的局域网广播数据流和网络故障不能扩展到全网。 DHY 公司计划使用多个私有的 C 类 IP 地址，既要保证企业现有用户和系统的使用，又要保证未来的扩展空间宁波总公司的局域网规划使用 Vlan、VTP、STP 等交换技术，提高网络的稳定性和可靠性 DHY 公司

8、 3 部分网络互联要求使用收敛速度快、效率高的动态路由协议，保证总公司和分公司网络之间的可达性和稳定性出于安全的考虑，余姚和慈溪分公司的员工只允许访问总公司的服务器，而不能直接访问总公司员工其他分公司员工的计算机（2）网络设备选型要求 DHY 公司宁波总公司原有 7 台 CISCO CATALYST 2950 交换机，1 台作为核心交换机，其余作为接入交换机，不过现在用户的计算机连接混乱，核心交换机上不仅有服务器也有最终用户的计算机。此次重新设计网络，计划将原有的 7 台 CISCO CATALYST 2950 交换机全部作为接入交换机使用，核心交换机重新购置三层交换机，并采用

9、双核心的全冗余架构，核心交换机上不再连接主机和服务器。因此应当选用高性能的三层交换机作为此次网络建设的核心交换机。具体选用的设备型号为 Cisco catalyst 3550 或 3560。慈溪、余姚分公司的原有网络也采用 CISCO 2950 交换机，由于分公司员工数量不多且网络应用简单，没有体现出性能不足，所以此次网络建设不对余姚、慈溪的分公司局域网进行更新。路由部分宁波总公司已有一台 CISCO 2621 路由器，慈溪、余姚分公司没有路由器。在此次网络建设中计划增加 2 台同型号的路由器，宁波总公司使用 1 台，慈溪和余姚分公司各用 1 台。同时，也为慈溪、余姚分公司申请

10、了到宁波总公司的专线，用于实现总公司和分公司的网络连接，以构成 DHY 的内联网。 2 2）、虚拟平台上实现设备配置、虚拟平台上实现设备配置根据公司网络拓扑结构图，使用虚拟平台 Cisco Packet Tracer 和 DynamipsGUI 搭建公司的网络，并实现交换机、路由器和防火墙的相关配置，并测试成功。 3）、常用网络服务的搭建和管理（1）打印服务公司购买了三台同样型号 HP DeskJet 的打印机，安装这些打印机，并配置打印池。员工的电脑通过网络连接到这些打印机。当网络打印比较繁忙，但公司现在有紧急打印任务时，可以通过经理去打印，因为经理有打印优先权。（2）备份

11、管理要求对重要服务器进行周期性备份。（3）DNS 服务的配置与管理 DNS 服务器要求不仅能够将主机名解析为 IP 地址,还能由 IP 地址查询到主机名称。另外，当所查询的主机名称无法解析时，此 DNS 服务器可以把该查询转发到公网的 DNS 服务器（202.96.104.15）。（4）证书服务 DHY 公司建立了自己的网站，希望事业合作伙伴、供货商、客户等能够安全地通过 Internet 访问这个网站，这里的安全包括：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性，防止钓鱼网站。（5）WEB 服务的搭建配置与管理和安全访问你是公司的网络管理员，公

12、司需要经常在内部发布一些通知和报道公司的一些事件。现在公司老板希望你实现让其他员工访问公司内部的网站就可以看到这些信息，并且希望有些图片、文档资料或其它的音视频资料能够共享让其他员工下载，请问你如何实现？为了公司的信息安全，某些敏感页面需要加密访问，如何做到？（6）FTP 服务的搭建配置和管理公司有内部文件需要员工共享，员工需要有自己的空间，互相不能访问，请使用 ftp 实现这些功能。（7）VPN 服务的搭建配置与管理公司的销售部经理张大山经常出差。而张大山每天都需要访问公司内部的网络以访问内部网络的保密资源。你是公司网络管理员，现在公司要求你既要让销售部经理张大山能够在外地

13、访问公司内部网络的资源，又要确保访问时公司的内部的资料不会泄密，还要使得其它非法用户不能访问你公司内网的资源，请问你如何实现？公司另外搭建有认证服务器，VPN 服务器如何使用认证服务器对 VPN 用户进行验证？（8）WSUS 服务器的搭建、配置与管理公司有 1000 多台计算机，软件使用了微软公司的产品，包括操作系统、办公软件等。为保证软件的及时升级，所有电脑都设置了自动更新功能。某个星期一的上午，网管员发现网络流量很高，经过检查分析，是微软公司在星期日发布了一个重要安全补丁，星期一员工开启电脑后，所有电脑都在下载补丁自动升级。过高的网络流量造成网络负载过重，影响了公司的正常工

14、作。该如何解决这样的问题呢？（9）终端服务与远程管理小张是网络管理员，某天回家后，接到公司通知，要马上对对公司的服务器更新配置。但小张家距离公司很远，不能及时赶到公司。这时小张想起他可以通过家里的电脑，通过远程桌面管理公司的服务器。自己设计实验，完成小张的任务。小张是网络管理员，小李是普通用户，小李登陆了终端服务器对服务器进行配置，但遇到了问题，自己无法解决，请求小张给予协助。请设计实验，使用远程控制，模拟小张帮助小李的过程。 3 3、毕业技能综合实训提交的成果、毕业技能综合实训提交的成果 1）、实训报告一份，内容包括：（1）实训过程记述，配置代码，主要步骤截图；（2）阶段

15、考核表（3）评分总表（4）实训总结、致谢等； 2）、实训报告电子文档一份。二、实训进度安排阶段实训时间实训内容第一阶段第 1、2 周项目方案的设计第二阶段第 3 周虚拟平台上实现设备的配置第三阶段第 4、5 周常用网络服务的搭建和管理第四阶段第 6 周毕业技能综合实训报告撰写和答辩宁波大红鹰学院信息工程学院宁波大红鹰学院信息工程学院宁波大红鹰学院信息工程学院毕业技能综合实训（专科）毕业技能综合实训（专科）毕业技能综合实训（专科）实训报告实训项目： DHY 公司网络构建与服务管理。完成人：杜昊晟系别：网络与通信专业：计算机应用技术班级： 10 计

16、应 2 指导教师：庞美玉 1 毕业技能综合实训报告目录毕业技能综合实训报告目录第第 1 阶段阶段项目方案设计过程考核项目方案设计过程考核.3 1.1 查找网络设计方案及 ACL 技术的学习 .3 1.2 总体设计、搭建网络拓扑 .7 1.3 设备命名 .8 1.4 IP 地址规划9 1.5 交换部分设计 .10 1.6 路由部分设计 .13 1.7 可靠性设计 .15 1.8 广域网设计 .15 1.9 网络安全设计 .17 第第 2 阶段阶段虚拟平台上设备配置过程虚拟平台上设备配置过程.20 2.1 虚拟平台上完成交换部分配置 .20 2.2 虚拟平台上完成路由部分配置 .23 2.

17、3 虚拟平台上完成安全部分配置 .25 第第 3 阶段阶段常用网络服务的搭建和管理过程常用网络服务的搭建和管理过程.27 3.1 打印服务 .27 3.2 备份管理 .30 2 3.3 DNS 服务的配置与管理.31 3.4 证书服务 .32 3.5 WEB 服务的搭建配置与管理和安全访问33 3.6 FTP 服务34 3.7 VPN 服务.36 3.8 终端服务与远程管理 .39 3 第第 1 1 阶段阶段项目方案设计项目方案设计 1.1 1.1 查找网络设计方案及查找网络设计方案及 ACLACL 技术的学习技术的学习 1.1.1 查找网络设计方案查找网络设计方案通过网上学习搜索三个设

18、计方案，大致阅读这三个项目方案，了解到规划网络设计需要考虑的因素很多，学习到网络设计方案的方法和步骤，先要确定所要用到的设备，列出设备清单，再合理划分 IP 地址和 VLAN 以及其他设备配置。在设计网络之前我们必须明白设计这个网络的目的是什么。最后根据书面规划进行实施，达到所预计的目的。 1.1.2 ACLACL 技术的学习及准备技术的学习及准备访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。访问控制列表(A

19、CL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL 可以过滤网络中的

20、流量，是控制访问的一种网络技术手段。几种访问控制列表的简要总结 1.标准 IP 访问控制列表一个标准 IP 访问控制列表匹配 IP 包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从 1 到 99 的访问控制列表是标准 IP 访问 4 控制列表。 2.扩展 IP 访问控制列表扩展 IP 访问控制列表比标准 IP 访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和 IP 优先级等。编号范围是从 100 到 199 的访问控制列表是扩展 IP 访问控制列表。 3.命名的 IP 访问控制列表所谓命名的 IP 访问控制

21、列表是以列表名代替列表编号来定义 IP 访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。 ACL 的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议（IP、AppleTalk 以及 IPX）的情况，那么，用户必须定义三种 ACL 来分别控制这三种协议的数据包。 ACL 可以限制网络流量、提高网络性能。例如，ACL 可以根据数据包的协议，指定数据包的优先级。 ACL 提供对通信流量的控制手段。例如，ACL 可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 ACL 是提供网络安全访问的基本手段。ACL 允许主机 A 访问人力资

22、源网络，而拒绝主机 B 访问。 ACL 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许 E-mail 通信流量被路由，拒绝所有的 Telnet 通信流量。例如：某部门要求只能使用 WWW 这个功能，就可以通过 ACL 实现；又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过 ACL 实现。 ACL 3P 原则记住 3P 原则，您便记住了在路由器上应用 ACL 的一般规则。您可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL：每种协议

23、一个 ACL 要控制接口上的流量，必须为接口上启用的每种协议定义相应的 ACL。每个方向一个 ACL 一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量，必须分别定义两个 ACL。 5 每个接口一个 ACL 一个 ACL 只能控制一个接口（例如快速以太网 0/0）上的流量。 ACL 的编写可能相当复杂而且极具挑战性。每个接口上都可以针对多种协议和各个方向进行定义。示例中的路由器有两个接口配置了 IP、AppleTalk 和 IPX。该路由器可能需要 12 个不同的 ACL 协议数 (3) 乘以方向数 (2)，再乘以端口数 (2)。一个端口执行哪条 ACL，这需要

24、按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。数据包只有在跟第一个判断条件不匹配时，它才被交给 ACL 中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的 ACL 判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。这里要注意，ACL 不能对本路由器产生的数据包进行控制。目前有两种主要的 ACL:标准 ACL 和扩展 ACL。其他的还有标准 MAC ACL、以太协议 ACL 、IPv6 ACL 等

25、。标准的 ACL 使用 1-99 以及 1300-1999 之间的数字作为表号，扩展的 ACL 使用 100 -199 以及 2000-2699 之间的数字作为表号。标准 ACL 可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如 IP）的所有通信流量。扩展 ACL 比标准 ACL 提供了更广泛的控制范围。例如，网络管理员如果希望做到 “允许外来的 Web 通信流量通过，拒绝外来的 FTP 和 Telnet 等通信流量”，那么，他可以使用扩展 ACL 来达到目的，标准 ACL 不能控制这么精确。在标准与扩展访问控制列表中均要使用表号

26、，而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目，这样可以让我们在使用过程中方便地进行修改。在使用命名访问控制列表时，要求路由器的 IOS 在 11.2 以上的版本，并且不能以同一名字命名多个 ACL，不同类型的 ACL 也不能使用相同的名字。随着网络的发展和用户要求的变化，从 IOS 12.0 开始，思科（CISCO）路由器新增加了一种基于时间的访问列表。通过它，可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的转发。这种基于时间的访问列 6 表，就是在原来的标

27、准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。基于时间访问列表的设计中，用 time-range 命令来指定时间范围的名称，然后用 absolute 命令，或者一个或多个 periodic 命令来具体定义时间范围。 ACL 通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而，网络能否有效地减少不必要的通信流量，这还要取决于网络管理员把 ACL 放置在哪个地方。假设在的一个运行 TCP/IP 协议的网络环境中，网络只想拒绝从 RouterA 的 T0 接口连接的网络到 RouterD

28、的 E1 接口连接的网络的访问，即禁止从网络 1 到网络 2 的访问。根据减少不必要通信流量的通行准则，网管员应该尽可能地把 ACL 放置在靠近被拒绝的通信流量的来源处，即 RouterA 上。如果网管员使用标准 ACL 来进行网络流量限制，因为标准 ACL 只能检查源 IP 地址，所以实际执行情况为：凡是检查到源 IP 地址和网络 1 匹配的数据包将会被丢掉，即网络 1 到网络 2、网络 3 和网络 4 的访问都将被禁止。由此可见，这个 ACL 控制方法不能达到网管员的目的。同理，将 ACL 放在 RouterB 和 RouterC 上也存在同样的问题。只有将 ACL 放在连接

29、目标网络的 RouterD 上（E0 接口），网络才能准确实现网管员的目标。由此可以得出一个结论: 标准 ACL 要尽量靠近目的端。网管员如果使用扩展 ACL 来进行上述控制，则完全可以把 ACL 放在 RouterA 上，因为扩展 ACL 能控制源地址（网络 1），也能控制目的地址（网络 2），这样从网络 1 到网络 2 访问的数据包在 RouterA 上就被丢弃，不会传到 RouterB、RouterC 和 RouterD 上，从而减少不必要的网络流量。因此，我们可以得出另一个结论：扩展 ACL 要尽量靠近源端。ACL 的主要的命令命令描述 access-list 定义访

30、问控制列表参数 ip access-group 指派一个访问控制列表到一个接口 ip access-list extended 定义一个扩展访问控制列表 Remark 注释一个访问控制列表 show ip access-list 显示已配置的访问控制列表配置访问控制列表的步骤: 第一步：创建访问控制列表： access-list access-list-number deny|permit test conditions 7 /access-list-number：序列号，这个地方也可以写命名的名称； /deny：拒绝； /permit：允许； /test conditions：过滤条件

31、语句第二步：应用访问控制列表： A、首先要进入接口模式； B、ip access-group access-list-number in|out 1、标准访问控制列表的格式： access-list list number| word permit|deny source address wildcard mask /list number|word列表序列号或者命名 /permit|deny允许或者拒绝 /source address源 IP 地址 /wildcard mask掩码，如果不使用掩码，则使用关键字 Host ,例：host 192.168.2.4 2、扩展访问控制列表的格式：

32、 access-list list number| word permit | deny protocol | protocol key word source address source-swidcard mask source port destination address destination-wildceard mask destination port /list number| word访问控制列表的序列号或者命名 /permit | deny允许或者拒绝 /protocol | protocol key word协议或者协议号 /source address 源 IP 地址

33、 /source-swidcard mask源地址掩码，如果使用关键字 host，则不用掩码 /source port源端口 /destination address目的地 IP 地址 /destination-wildceard mask目的地地址掩码，如果使用 host 关键字，则不用掩码 /destination port目的端口 8 1.2 1.2 总体设计、搭建网络拓扑总体设计、搭建网络拓扑 1.2.1 网络拓扑结构图网络拓扑结构图图 1-1 网络拓扑图 1.2.2 设备清单设备清单表 1-1 设备清单序号型号规格说明描述数量备注价格 1Cisco 2621 XM 路由器多业

34、务路由器，用于连接其他路由器，内置防火墙。 4 台宁波总部 2 台慈溪分部 1 台余姚分部 1 台（总部备用 1 台） 13000/台 2Cisco 3550 核心层交换机有光纤扩展接口或三层交换功能，易扩展管理。 2 台宁波总部 2 台16000/台 9 3FIX 防火墙策略过滤，隔离内外网，根据用户需求设置 DMZ 1 台以满足要求为原则，适时选配 4000/台 4Cisco 2950 接入层交换机智能交换机，可进行 VLAN 划分。至少 7 台宁波总部至少 5 台慈溪、余姚交换机不变 4000/台 5服务器系统为 Windows Server 2003 作为

35、主服务器、数据库服务器、文件服务器、FTP 服务器、WEB 服务和邮件服务器等至少 1 台 15000/台 6PC 机系统为 Windows Xp 企业各部门员工使用近 100 台以满足要求为原则，适时选配 4000/台 1.3 1.3 设备命名设备命名表 1-2 设备命名规范设备类型命名规则说明示例路由器?_DHY_ Rx?:表示地区缩写 Rx:表示路由器号 NB_DHY_R01 表示宁波总部第 1 台路由器接入层交换机?_DHY_ SxSx：表示二层交换机号YY_DHY _S03 表示余姚分部第 3 台二层交换机核心层交换机?_ DHY_RSxRSx：表示三层交换机

36、号NB_DHY_RS02 表示宁波总部第 2 台三层交换机服务器?_DHY_SVxxSVxx：表示服务器号NB_DHY_SV09 表示宁波总部第 9 台服务器防火墙?_DHY_XXXX:表示防火墙号NB_DHY_01 表示宁波总部第 1 台防 10 火墙 PC 机?_DHY_?xx?xx：?表示部门缩写有 XS、CW、JS、SC，?xx 表示该部门中的 PC 机号 NB_DHY_XS09 表示宁波总部销售部第 9 台 PC 机 1.4 1.4 IPIP 地址规划地址规划 1.4.1 IPIP 地址规划地址规划表 1-3 IP 地址规划子网 IPIP 地址规划 NB_DHY_R01

37、与YY_DHY_R0110.1.100.1/30-10.1.100.2/30 NB_DHY_R01与CX_DHY_R0110.1.150.1/30-10.1.150.2/30 NB_DHY_RS01与NB_DHY_R0110.1.200.1/3010.1.200.2/30 NB_DHY_RS02与NB_DHY_R0110.1.250.1/30-10.1.250.2/30 服务器组10.1.1.1/24-10.1.1.4/24 宁波销售部10.1.2.1/24-10.1.2.50/24 宁波财务部10.1.3.1/2410.1.3.50/24 宁波生产部10.1.4.1/2410.1.4.50/

38、24 宁波技术部10.1.5.1/2410.1.5.50/24 余姚财务部10.1.9.1/2410.1.9.50/24 余姚销售部10.1.10.1/2410.1.10.50/24 余姚生产部10.1.11.1/2410.1.11.50/24 慈溪财务部10.1.6.1/2410.1.6.50/24 慈溪销售部10.1.7.1/2410.1.7.50/24 慈溪生产部10.1.8.1/2410.1.8.50/24 1.4.2 VLANVLAN 划分合理划分合理表 1-4 VLAN 划分地点VLAN名称VLAN 的内容对应子网 VLAN 1NB_ Server服务器10.1.1.0/24

39、VLAN 2NB_XS宁波销售部10.1.2.0/24 VLAN 3NB_CW宁波财务部10.1.3.0/24 DHYNET （宁波总部） VLAN 4NB_SC宁波生产部10.1.4.0/24 11 VLAN 5NB_JS宁波技术部10.1.5.0/24 VLAN 6CX_CW慈溪财务部10.1.6.0/24 VLAN 7CX_XS慈溪销售部10.1.7.0/24 DHYNET (慈溪分部) VLAN 8CX_SC慈溪生产部10.1.8.0/24 VLAN 9YY_CW余姚财务部10.1.9.0/24 VLAN 10YY_SC余姚生产部10.1.10.0/24 DHYNET (余姚分部) V

40、LAN 11YY_XS余姚销售部10.1.11.0/24 1.5 1.5 交换部分设计交换部分设计 1.5.1 交换部分总体设计交换部分总体设计此次宁波公司总部的网络改造，将对所有校区的局域网进行规划。为了宁波公司网络能够高效、稳定地运行，便于管理与维护，此次宁波公司总部对各个分校的局域网交换技术的相关方面进行了规划设计，包括 VLAN、VTP、STP、Trunk、EthernetChannel、三层交换等。 VLAN 将广播限制在单个 VLAN 内部，较少了各 VLAN 间主机的广播通信对其它 VLAN 的影响。在 VLAN 间需要通信的时候，可以利用三层交换技术实现。当网络管理

41、员需要管理的交换机数量较多时，可以使用 VLAN 中继协议（VTP）简化管理，它只需在单独一台交换机上定义所有 VLAN，然后通过 VTP 协议将 VLAN 的定义传播到本管理域中的所有交换机上，这样，大大减少了网络管理员的工作负担和工作强度。当网络内交换机数量增多或交换机链路增加时，都有可能因交换网络的复杂性提高而造成交换环路，或者为了提高网络冗余度而有意设置了交换环路，这就需要通过在各个交换机上运行生成树协议（STP）来解决。此外，按照网络建设要求，各个分校将建设一个双核心、全冗余的交换网络，其拓扑结构如图所示。 12 图 1-2 交换机部分其中所有的接入交换机采用购买

42、的二层交换设备，核心层交换机采用购买的两台三层交换机。全网交换机配置 VTP，以对 VLAN 的设计统一管理。两台核心交换机之间采用 2 条链路组成以太网通道，以提高核心交换机之间的带宽。所有的接入交换机都使用 2 条上行链路（设置为 Trunk），分别连接到 2 台核心交换机，采用 STP 对这样的交换环路进行阻塞，在保证上行链路冗余性的同时，避免了可能造成的广播风暴、桥表震荡等问题。 1.5.2 VTPVTP 设计设计当网络中交换机数量较多时，需要分别在每台交换机上创建很多重复的 VLAN。工作量大、过程繁琐，并且容易出错。由于宁波公司总部网络中使用的全部交换机都为 Ci

43、sco 的产品，所以将使用 Cisco 的专有协议VLAN 中继协议（VTP）来解决这个问题。 Cisco 公司专有的 VTP 协议能够从一个中心控制点开始，维护整个企业网络上 VLAN 的添加、删除和重命名工作，确保配置的一致性，可以减少在数量众多的交换机上配置 VLAN 相关的管理任务，降低认为因素导致的 VLAN 配置不一致现象（例如， VLAN 配置错误、名称不统一等），降低了配置的复杂性。为使网络能够高效稳定地运行，便于管理与维护，宁波公司总部内每一个独立的局域网都应当运行 VTP 协议，下面对宁波分校总部局域网中的 VTP 进行规划： VTP 域名为 NB.DHY.co

44、m。 VTP 版本为 V2。 VTP 域口令为 NBvtp。 13 VTP 修剪设为启用。 VTP Server 包括 NB_DHY_RS01、NB_DHY_RS02。 VTP Client 包括 DHY _S0111。配置 VTP 修建是为了减少在中继端口上不必要的信息量。VTP 通过修剪，来减少没有必要扩散的 VLAN 广播数据流量，提高中继链路的带宽利用率。 VTP 的口令是为了保证 VTP 域的安全。设置了口令之后，除非交换机设置了正确的口令，否则，新交换机不能自动加入到已存在的管理域中，可以避免 VLAN 被错误或恶意地增加、删除。 1.5.3 STPSTP 设计设计所有的

45、局域网都采用全冗余结构，在交换网络中造成了大量的交换环境，可能会引起网络中的广播风暴和桥表震荡等问题，所以将在网络中启用生产树协议（STP），用来阻塞冗余链路，而在发生链路故障时，迅速启用被阻塞的冗余链路，启到链路备份的作用。所以，此处的交换部分设计中，也将在各个交换机上启用生成树协议，并且我们将通过调整交换机优先级的方式，来指定性能较高的核心交换机（即两台三层交换机 NB_DHY_RS01 和 NB_DHY_RS02）为根网桥。并且，Cisco 交换机支持每个 VLAN 的生成树（PVST），在本方案中我们也将采用这种方式，为每一个 VLAN 启用一个 STP 实例。通过

46、这种方式，不同 VLAN 的流量被分担到了 2 台不同的核心交换机上，还可以实现一定的负载分担功能。对于 DHY _S0111 接入交换机来说，我们将在其上启用上行速链路，以减少网络拓扑变化时（例如某一台核心交换机故障）的重新收敛时间，使冗余链路在转发链路故障后能够立即启用，减少用户的断网时间。同时，所有的接入交换机的 324 端口还将启用速端口，因为这些端口连接的都是计算机等，不会产生交换环路，所以配置成速端口，可以在端口启动时直接进入转发阶段，加快网络收敛的速度。其余的 STP 参数不需要进行调整，保持默认值即可。 1.5.4 EthernetEthernet Chan

47、nelChannel 设计设计从上面各小节的图中可以看到，在两台核心交换机之间设计了一条以太网通道，这也是系统的实际需要。该以太网通道汇聚的是两条核心交换机之间的链路，分别使 14 用了两台核心交换机上的 3、4 端口，使两台核心交换机之间的链路带宽达到了 200Mbps。而且核心交换机上有大量保留端口，随时可以扩充通道的带宽，最大可以汇聚 8 条链路成为一条以太网通道。同时，这条以太网通道也是两台核心交换机之间的 Trunk 链路，按照 STP 对不同 VLAN 的根网桥做了指定之后，需用这条 Trunk 链路承载不同 VLAN 之间的流量以及 VTP 的各种消息。配置以太网通

48、道可以提高冗余功能。配合以接入交换机的双上行链路，本方案可以实现极高的网络可靠性和健壮性，只要有一台核心交换机以及一半的正常链路，整个网络就可以正常工作。在配置的时候，优先使用标准的协议。 1.5.5 三层交换技术三层交换技术宁波公司总部网络中，在两台核心交换机上各自为 VLAN 配置 IP 地址，启用路由转发功能，各个 VLAN 内的计算机使用该地址作为网关，之间便可以实现互通了。三层交换机技术在第三层实现了数据包的高速转发，从而解决了传统路由器低速、复杂所造成的网络瓶颈问题。这里需要注意一点是，宁波公司总部的局域网中，两台核心交换机启用路由功能，其上给 VLAN 配置

49、的 IP 地址将是上面所连计算机的网关地址。而两台交换机上同一个 VLAN 只能配置不同的 IP 地址，所以这两台三层交换机还会采用 HSRP 方式形成互为备份关系，为每个 VLAN 上形成一个 HSRP 组，使用 HSRP 组的虚拟地址作为 VLAN 的网关。 1.6 1.6 路由部分设计路由部分设计对于企业内联网的路由器而言，可以使用一系列路由协议。选择路由器时需同时考虑网络设计和路由协议的选择。最常见的标准路由协议是 RIP 和 OSPF，但 RIP 并不适合大型网络。考虑到宁波计算机学院内联网未来扩展的要求，我们将采用 OSPF 协议作为网络的路由协议。 OSPF 路由协议是业界标准的网络协议，许多厂商的网络设备都支持它，因此它受到了广泛的应用。OSP

展开阅读全文