网络规划设计方案.doc

1、第 24 页 共 24 页目录第1节 校园网络总体设计概述3第2节 网络需求分析52.1网络基本情况52.2网络建设任务与性能要求6第3节 选择核心网络设备63.1设计方案说明63.2选择核心层交换机7第4节 校园网络拓扑结构图设计84.1总体设计原则与设备方法84.2各区网络拓扑结构图94.2.1 A区网络拓扑图94.2.2 B区网络拓扑图94.2.3 C区网络拓扑图10第5节 配置命令115.1 A校区配置命令115.1.1核心层交换机的配置115.1.2汇聚层交换机的配置125.1.3防火墙ACL规则配置与应用125.1.4边界路由的配置145.1.5服务器群接入交换机的配置155.2

2、B校区的配置命令165.2.1核心层交换机的配置（配置命令同A区的）165.2.2汇聚层交换机的配置（配置命令同A区的）165.3 C校区的配置命令165.3.1核心层交换机的配置165.3.2防火墙的配置175.3.3边界路由的配置175.3.4汇聚层交换机配置18第6节 地址规划196.1 A校区地址规划196.2 B校区地址规划206.3 C校区地址规划216.4 校园网段地址规划21第7节 公网地址使用规划237.1 Chinanat公网地址使用规划237.2 Cernet共网地址使用规划24第8节 收获及体会24第1节 校园网络总体设计概述校园网络是非常典型的综合网络实例。为了阐明主

3、要问题，在本设计方案中对实际校园网的设计进行了适当的和必要的简化。同时，将重点放在网络的主干的设计上，主要是针对一些设备的配置步骤、配置命令、排查故障以及诊断命令和方法。其中包括三层加换机、路由器的配置，路由的添加，静态和动态路由的配置，还有NAT转换等，另外对于服务器的架设只作简单介绍，并且该试验中的防火墙全部有路由器来替代和配置。还有本设计全部是用思科设备来模拟实验的，并且是在思科模拟器上完成的，一些线路都采取简化的手段，具体内容参考有关参考书。在下面的拓扑图中，该校园有三个校区，称为A区、B区和C区。对于每个区域之间而言，都是通过cisco3560-24核心交换机互联的，在每个区域中，每

4、个楼层是由cisco3560-24汇聚层交换机连接核心层交换机，在汇聚层交换机上有连接两个2950T-24接入层交换机，最后在每个接入层交换机上接一个主机。如下为校园网络的总体拓扑图：第2节 网络需求分析2.1网络基本情况 某高校有3个校区，称为A区、B区、C区。A区和C区规模较大，B区规模较小。A区与B区光纤线路长度在30km左右，租用裸纤（指仅租用光纤线路，不租用两端的网络设备）专线实现这两个校区间的互联。A区与C区相距较远，约60km，因此不能采用光纤专线，而采用MPLS VPN实现A区与C区的互联。 A区和C区各设置一个中心机房，但已A区为主。A区和C区的主要应用服务器放在各自校区的中

5、心机房中，但校区间也你能互访这些服务器。 A区的服务器主要有Web服务器、邮件服务器、教务管理服务器、视频点播服务器、DNS服务器等共计约10多台服务器。Web服务器和邮件服务器要求同时接入电信ChinaNET网和教育网（Cernet）。 C区的服务器主要有教务管理服务器、电影服务器等。 A区使用的公网地址段为61.186.202.32，子网掩码为255.255.255.224，共32个IP地址；网关地址为61.186.202.33，子网掩码为255.255.255.252。 A区的教育网地址段为219.221.55.0/24，共256个IP地址；网关地址为219.221.55.1，子网掩码为

6、255.255.255.252。 C区实用的公网地址段为222.117.150.128，子网掩码为255.255.255.224，共32个IP地址；网关地址为222.177.150.129，子网掩码为255.255.255.252。2.2网络建设任务与性能要求 先要求组建这3个校园网络，事先3个校区间互联互通，并能访问因特网。网络要易于扩展和维护、性能和可靠性高、安全性好。 要求校园网采用万兆核心、千兆主干、百兆交换到桌面。A区与B区采用千兆光纤链路互联，A区与C区采用100Mb/s MOLS VPN实现互联。 A区因特网出口设置2条，一条接入电信ChinaNET网，采用100Mb/s光纤专线

7、接入；另一条接入教育科研网（Cernet），采用10Mb/s光纤专线接入。整个校园用户（3个校区）访问教育网资源时通过教育网出口访问。 C区设置一条因特网出口，采用100Mb/s光纤专线通过当地电信接入因特网。C校区用户访问因特网时，默认采用该条链路出去访问；访问教育网资源时，通过教育网资源时，通过A区的教育网出口访问。第3节 选择核心网络设备3.1设计方案说明 通常是先设计网络拓扑结构，然后再选择网络设备，此处先进行设备选型，再设计网络拓扑结构，以便在拓扑图中标注出设备型号。 3个校区的网络建设在实际中是有先后次序的，是在发展过程中不断扩建的，此处是为了讲解和配置的方便，假设其网络是同时建设

8、的。网络示例中所使用的设备型号为目前的主流设备，但不一定是最新的，对于以后新建网络，应选择符合时代的新型号。虽然设备型号和功能升级了，但组网的方法和配置策略是不会改变的，相关的配置命令也不会有太大的变化。 C区与A区的网络建设方法基本相同，为避免重复介绍，本书重点放在A区和B区网络的组建上。对于C区仅介绍到其核心层与A区的互联实现方法，即主要介绍两个远程局域网之间如何实现互联互通。 为便于同时介绍Cisco和华为的设备配置，网络设备同时选择了两个厂商的主流设备。对于二层交换机，由于数量众多，拓扑结构图中就不再画出。3.2选择核心层交换机 考虑到整个校园网规模较大，用户主机数较多，核心层交换机采

9、用华为万兆核心的路由交换机Quidway S8505，该交换机拥有5个功能板插槽和2个引擎插槽，背板带宽为750Gb/s，包转发率为180Mb/s，并支持10GE接口，具有很强的交换处理能力和可扩展性。 根据应用需要，配置一块拥有48个千兆以太网电口的功能板和一块拥有24口的千兆SFP光纤接口板，板上配置18个千兆多模光纤接口，用于连接到各幢楼的汇聚层交换机。为提高交换机的可靠性，配置双引擎。S8505的配置及外观如图2.16所示。 光纤接口不够用时，可使用千兆的电口。使用内网地址的服务器群可使用部分千兆电口。使用共网地址的DMZ区服务器群使用Cisco Catalyst 3750G-24T千

10、兆交换机实现网络的千兆接入。另使用一台Cisco Catalyst 3750G-24T作为千兆防火墙设备，保护DMZ区中的服务器群。 各幢楼的汇聚层交换机采用华为的S3528P或Cisco 3550-24或3560。B区的规模不大，核心层交换机采用Cisco 4506交换机。3.3选择核心路由器 由于网络用户数较多，网络出口路由器也采用高端的华为Quidway NE40-4交换路由器，并配置一块NAT转换板，以提高NAT转换的速度和负荷承受能力。 网络的因特网出口有2个，与核心层交换机互联需要一个接口，与防火墙设备互联需要一个接口；教育网的招生录取系统需要直连教育网，否则招生录取系统运行有问题

11、，因此，单独使用一个接口连接招生录取用机，故路由器的以太网接口至少需要5个；考虑到扩展性，增配2个SFP光纤接口，标准有5个以太网电口。NE40-4交换路由器接口配置及外观如图2.17所示。第4节 校园网络拓扑结构图设计4.1总体设计原则与设备方法 A区中的机房设置在综合楼的3楼，该幢楼的汇聚层交换机放在中心机房，由于该幢楼的楼层较高，分别在1楼和6楼的线井各设置1个机柜，放置接入层交换机。其余楼宇的配线间设置在各幢楼的中间楼层，汇聚层交换机和接入层交换机军方旨在配线架的机柜中，汇聚层交换机采用多模光纤以千兆链路上连到核心层交换机的SFP光纤接口。4.2各区网络拓扑结构图4.2.1 A区网络拓

12、扑图4.2.2 B区网络拓扑图4.2.3 C区网络拓扑图第5节 配置命令5.1 A校区配置命令5.1.1核心层交换机的配置Switchenable Switch#conf terminal Switch(config)#ip routingSwitch(config)#int range fa0/1 - 14Switch(config-if-range)#no switchport Switch(config-if-range)#exitSwitch(config)#int fa0/1Switch(config-if)#ip add 172.16.1.38 255.255.255.252Swi

13、tch(config-if)#no shutdown 其它端口的地址配置同上路由配置：Switch(config)#ip route 192.168.46.0 255.255.254.0 172.16.1.37Switch(config)#ip route 192.168.44.0 255.255.254.0 172.16.1.33Switch(config)#ip route 192.168.42.0 255.255.254.0 172.16.1.29Switch(config)#ip route 192.168.40.0 255.255.254.0 172.16.1.25Switch(co

14、nfig)#ip route 192.168.38.0 255.255.254.0 172.16.1.21Switch(config)#ip route 192.168.36.0 255.255.254.0 172.16.1.17Switch(config)#ip route 192.168.28.0 255.255.254.0 172.16.1.13Switch(config)#ip route 192.168.20.0 255.255.254.0 172.16.1.9Switch(config)#ip route 192.168.18.0 255.255.254.0 172.16.1.5S

15、witch(config)#ip route 192.168.16.0 255.255.254.0 172.16.1.1Switch(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.415.1.2汇聚层交换机的配置Switchenable Switch#conf terminal Switch(config)#ip routingSwitch(config)#int range fa0/1 - 3Switch(config-if-range)#no switchport Switch(config-if-range)#exitSwitch(config)#i

16、nt fa0/1Switch(config-if)#ip add 172.16.1.37 255.255.255.252Switch(config-if)#no shutdown 其它端口的配置同上路由配置：Switch(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.38本校区的其它汇聚层交换机的配置同上5.1.3防火墙ACL规则配置与应用1定义和应用WAN口的ACL规则的配置Switch(config)#ip access-list extended from-centerSwitch(config-ext-nacl)#permit tcp any ho

17、st 219.221.55.1 eq wwwSwitch(config-ext-nacl)#permit tcp any host 219.221.55.1 eq 443Switch(config-ext-nacl)#permit tcp any host 219.221.55.1 eq range 20 21Switch(config-ext-nacl)#permit tcp any host 219.221.55.1Switch(config)#ip access-list extended from-chinanetSwitch(config-ext-nacl)#permit tcp a

18、ny host 61.186.202.33 eq wwwSwitch(config-ext-nacl)#permit tcp any host 61.186.202.33 eq 443Switch(config-ext-nacl)#permit tcp any host61.186.202.33 range 20 21Switch(config-ext-nacl)#permit tcp any host 61.186.202.33 Switch(config-ext-nacl)#deny ip any anySwitch(config-ext-nacl)#exitSwitch(config)#

19、int fa1/0Switch(config-if)#ip access-group extended from-center outSwitch(config-if)#int fa1/1witch(config-if)#ip access-group extended from-chinanet out2定义和应用LAN口的ACL规则的配置具体配置同上3定义和应用DMZ口的ACL规则的配置具体配置同上路由配置：Switch(config)#router rip Switch(config-router)version 2Switch(config-router)network 172.16.

20、2.0Switch(config-router)network 172.16.2.4Switch(config-router)network 172.16.2.85.1.4边界路由的配置Routerenable Router#conf terminal Router(config)#int fa0/0Router(config-if)#ip add 172.16.1.49 255.255.255.252Router(config-if)#ip nat insideRouter(config-if)#no shutdownFa0/1端口配置同上Router(config)#int fa1/0Ro

21、uter(config-if)#ip add 219.221.55.2 255.255.255.252Router(config-if)#ip nat outsideRouter(config-if)#no shutdownFa1/1端口配置同上路由配置：Router(config)#router ripRouter(config-router)#version 2Router(config-router)#network 172.16.1.48Router(config-router)#network 172.16.2.4Router(config-router)#network 219.2

22、21.55.0Router(config-router)#network 61.186.202.32NAT配置：Router(config)#access-list 1 permit anyRouter(config)#ip nat inside source list 1 int fa1/0 overloadRouter(config)#access-list 2 permit anyRouter(config)#ip nat inside source list 2 int fa1/1 overload5.1.5服务器群接入交换机的配置Switchenable Switch#conf te

23、rminal Switch(config)#ip routingSwitch(config)#int range fa0/1 - 3Switch(config-if-range)#no switchport Switch(config-if-range)#exitSwitch(config)#int fa0/1Switch(config-if)#ip add 172.16.2.10 255.255.255.252Switch(config-if)#no shutdown其他端口的配置同上路由配置：Switch(config)#router rip Switch(config-router)ve

24、rsion 2Switch(config-router)network 172.16.2.8Switch(config-router)network 192.168.62.0Switch(config-router)network 192.168.63.05.2 B校区的配置命令5.2.1核心层交换机的配置（配置命令同A区的）5.2.2汇聚层交换机的配置（配置命令同A区的）5.3 C校区的配置命令5.3.1核心层交换机的配置Switchenable Switch#conf terminal Switch(config)#ip routingSwitch(config)#int range fa

25、0/1 - 3Switch(config-if-range)#no switchport Switch(config-if-range)#exitSwitch(config)#int fa0/1Switch(config-if)#ip add 172.16.5.2 255.255.255.252Switch(config-if)#no shutdown 其它端口的地址配置同上路由配置：Switch(config)#router rip Switch(config-router)version 2Switch(config-router)network 172.16.5.0Switch(conf

26、ig-router)network 172.16.4.4Switch(config-router)network 172.16.4.85.3.2防火墙的配置配置命令同A校区5.3.3边界路由的配置Routerenable Router#conf terminal Router(config)#int fa0/0Router(config-if)#ip add 222.177.150.130 255.255.255.252Router(config-if)#ip nat outsideRouter(config-if)#no shutdownRouter(config)#int fa0/1Rou

27、ter(config-if)#ip add 172.16.4.5Router(config-if)#ip nat intsideRouter(config-if)#no shutdownFa1/1端口的配置同上NAT配置：Router(config)#access-list 1 permit anyRouter(config)#ip nat inside source list 1 int fa0/0 overload路由配置Router(config)#router ripRouter(config-router)#version 2Router(config-router)#network

28、 172.16.4.0Router(config-router)#network 172.16.4.4Router(config-router)#network 222.177.150.1285.3.4汇聚层交换机配置Switchenable Switch#conf terminal Switch(config)#ip routingSwitch(config)#int range fa0/1 - 3Switch(config-if-range)#no switchport Switch(config-if-range)#exitSwitch(config)#int fa0/1Switch(c

29、onfig-if)#ip add 172.16.4.14 255.255.255.252Switch(config-if)#no shutdown 其它端口配置同上路由配置：Switch(config)#router rip Switch(config-router)version 2Switch(config-router)network 172.16.4.12Switch(config-router)network 192.168.64.0Switch(config-router)network 192.168.65.0第6节 地址规划6.1 A校区地址规划楼宇/校区汇聚层交换机型号互联接

30、口汇聚层接口ip地址核心层接口ip地址核心层交换机互联接口学生宿舍5Cisco3560F0/1172.16.1.37/30172.16.1.38/30F0/1学生宿舍4Cisco3560F0/2172.16.1.33/30172.16.1.34/30F0/2学生宿舍3Cisco3560F0/3172.16.1.29/30172.16.1.30/30F0/3学生宿舍2Cisco3560F0/4172.16.1.25/30172.16.1.26/30F0/4学生宿舍1Cisco3560F0/5172.16.1.21/30172.16.1.22/30F0/5A区教工宿舍Cisco3560F0/617

31、2.16.1.17/30172.16.1.18/30F0/6图书馆Cisco3560F0/7172.16.1.13/30172.16.1.14/30F0/7实训楼Cisco3560F0/8172.16.1.9/30172.16.1.10/30F0/8教学楼Cisco3560F0/9172.16.1.5/30172.16.1.6/30F0/9综合楼Cisco3560F0/10172.16.1.1/30172.16.1.2/30F0/10路由器Route ptFa0/0172.16.1.49/30172.16.1.50/30F0/13防火墙Cisco3560F0/12172.16.2.1/3017

32、2.16.2.2/30F0/12InternetRoute ptFa0/0172.16.1.45/30172.16.1.46/30Fa0/14B区核心交换机Cisco3560Fa0/11172.16.1.41/30172.16.1.42/30Fa0/11防火墙WAN口Cisco3560Fa0/2172.16.2.5/30172.16.2.6/30Fa0/1Cernet网Router2811219.221.55.1/30219.221.55.2/30Fa0/0Chinanet网Router281161.186.202.33/3061.186.202.34/30Fa0/1防火墙DMZCisco35

33、60Fa0/1172.16.2.9/30172.16.2.10/30Fa0/16.2 B校区地址规划楼宇/校区汇聚层交换机型号互联接口汇聚层接口ip地址核心层接口ip地址核心层交换机互联接口教工宿舍1Cisco3560F0/2172.16.3.1/30172.16.3.2/30F0/2教工宿舍2Cisco3560F0/4172.16.3.5/30172.16.3.6/30F0/4教工宿舍3Cisco3560F0/5172.16.3.9/30172.16.3.10/30F0/5教工宿舍4Cisco3560F0/6172.16.3.13/30172.16.3.14/30F0/6教学楼Cisco35

34、60F0/7172.16.3.17/30172.16.3.18/30F0/7学生宿舍Cisco3560F0/8172.16.3.21/30172.16.3.22/30F0/8A区核心交换机Cisco3560F0/11172.16.1.41/30172.16.1.42/30F0/116.3 C校区地址规划设备/网络名称设备型号互联接口汇聚层接口ip地址核心层接口ip地址核心层交换机互联接口防火墙WAN口Cisco3560Fa0/1172.16.4.1/30172.16.4.2/30Fa1/1核心层交换机Cisco3560Fa0/3172.16.4.5/30172.16.4.6/30Fa0/1Ch

35、inaNat网Router2811222.177.150.129/30222.177.150.130/30Fa0/0防火墙LAN口Cisco3560Fa0/2172.16.4.9/30172.16.4.10/30Fa0/2MPLS VPN（路由器）Router2811Fa0/1172.16.5.1/30172.16.5.2/30Fa0/16.4 校园网段地址规划楼宇/校区名称网段及地址数网段地址地址的聚合表示B校区16个C192.168.0.0/24192.168.15.0/24192.168.0.0/20综合楼2个C192.168.16.0/24192.168.17.0/24192.168.

36、16.0/23教学楼2个C192.168.18.0/24192.168.19.0/24192.168.18.0/23实训楼8个C192.168.20.0/24192.168.27.0/24192.168.20.0/21图书馆8个C192.168.28.0/24192.168.35.0/24192.168.28.0/21A区教工宿舍2个C192.168.36.0/24192.168.37.0/24192.168.36.0/23学生宿舍12个C192.168.38.0/24192.168.39.0/24192.168.38.0/23学生宿舍22个C192.168.40.0/24192.168.41

37、.0/24192.168.40.0/23学生宿舍32个C192.168.42.0/24192.168.43.0/24192.168.42.0/23学生宿舍42个C192.168.44.0/24192.168.45.0/24192.168.44.0/23学生宿舍52个C192.168.46.0/24192.168.47.0/24192.168.46.0/23A区电信网络1个C192.168.62.0/24B区教育网络1个C192.168.63.0/24A区和B区未分配地址14个C192.168.48.0/24192.168.61.0/24C校区192个C192.168.64.0/24-192.1

38、68.255.0/24192.168.64.0/18192.168.128.0/17第7节 公网地址使用规划7.1 Chinanat公网地址使用规划根据前面的网络规划，A区所申请到的Chinanet公网址段为61.186.202.32，子网掩码为255.255.255.254，共32个ip地址。 这32个ip地址用在三个方面，即校园网边界路由器与Internet接入服务商的路由器的互联接口地址、nat地址池和服务器。地址分配如下。 校园网的边界路由器与ISP互联需要一对接口地址，可从这32个地址段中划分出一个具有4个ip地址的子网来实现，该子网的地址为61.186.202.32/30。校园网的

39、边界路由器的接口地址使用61.186.202.34，子网掩码为255.255.255.252;ISP服务商的接口地址（网关地址）为61.186.202.33，子网掩码为255.255.255.252。 路由器的NAT转换需要一个NAT地址池，可从剩余的ip地址中再划分出一个具有4个ip地址的子网用做NAT地址池，该子网掩码的地址为61.186。202.36/30。 32个ip地址，用去8个后，还剩24个，将这24个ip地址再划分成2个子网，一个子网8个ip地址，用于内部服务器静态NAT转换使用，另一个子网16个ip地址，提供给服务器使用。其子网地址和网关地址如下。 内部服务器静态NAT转换使用

40、的网段地址为：61.186.202.40/29。 服务器用的子网地址为61.186.202.48/28；网关地址为61.186.202.49；子网掩码为255.255.255.240。7.2 Cernet共网地址使用规划A区所申请到的教育网地址段为219.221.55.0/24，共256个ip地址。地址规划如下。 边界路由器互联接口地址段为219.221.55.0/30，边界路由器使用219.221.55.2，子网掩码为255.255.255.252；ISP服务商接口地址（网关地址）为219.221.55.1，子网掩码为255.255.255.252。 NAT地址池使用的地址段为219.221

41、.55.4/30。 内部服务器静态NAT转换使用的地址段为219.221.55.8/29。教育网的招生录取计算机必须使用教育网地址，不能进行NAT地址转换，划分一个具有16个ip地址的子网供招生系统使用，地址段为219.221.55.16/28。教育网服务器划分使用其中的64个ip地址，其余地址保留备用。这64个ip地址段为219.221.55.64/26，该网段的网关地址为219.221.55.65，子网掩码为255.255.255.192。第8节 收获及体会经过这一次的规划设计某校园的大型局域网的方案中，我得到了很多，也体会到很多。其中也遇到了不少的困难和挫折，甚至有想放弃的念图。但是我还

42、是坚持了下去，最后完美的完成了方案的设计。从这一次设计中，首先让我感觉到一个团队合作精神的重要性，我们在设计过程中，分工完善、具体，在这个团队中必须每一部分都能高效完成每一部分，最后才能完美的完成任务。然后，要有不怕繁琐、要有耐力、不怕吃苦的精神。另外，设计思路要清晰、步骤合理。遇到问题自己要学会去解决、去分析。其次，从实际的内容中，我体会到网络规划设计是一个非常重要的部分，不仅是平时学习的重点，更是实际生活的应用。所以我们从现在要认真的对待，在整个设计中，不但能学到很多，而且还会对本学期的路由与交换的配置和管理这门课程有一个很好的知识巩固和复习。有对交换机和路由器的配置命令有一个更深的了解，对于动态路由和静态路由有一个更高层次的理解，还有对防火墙的配置、NAT转换等一些知识的进一步巩固和学习。最后，通过这次的课程设计使我认识到理论与实践的结合对于我们学习网络的学生是很重要的，只有自己实际去操作才能知道自己在某些方面的不足。所以我们要经常进行实际操作，从而锻炼自己的操作能力，通过课程设计还提高了一点排错能力，对于一些常见问题加深了印象。每次课程设计都会有多多少少的收获，这些收获将成为以后学习中一笔不可或缺的财富。