网络详细规划与配置:

第四章 网络详细规划与配置

4.1 网络环境搭建

在企业网络建设中，要根据企业的实际情况搭建网络拓扑图，并且要充分考虑到企业发展所带的网络变化，要网络设计时就应该把这些因素考虑在，以便所建设的网络能满足企业未来发展的要求。

4.1.1 企业环境

假设企业现有网管中心、财务部、人力资源部、市场部、研发部、保安部、生产部、综合管理部等部分，分在三个楼层里，其中，网管中心、财务部、人力资源部、综合管理部在三楼，市场部和研发部在二楼、保安部和生产部在一楼；企业发展迅速，有可能在将来增加其它的办公场所，要求根据这些情况设计一个符合企业需要并能适合企业发展的网络。

4.1.2 网络拓扑

根据企业的情况，将核心交换机、出口路由器和企业服务器放在网管中心，各个楼层有一个汇聚交换机作为每个楼层的网络出口，并能过线缆连接到网管中心的核心交换机上；核心交换机通过路由器连接Internet。根据这些情况设计的网络拓扑图如下：

4.2 网络协议与技术选择

在交换型的网络当中，特别是大中型网络当中，由于计算机较多，出现故障变大，排除网络故障的难度更随之加大，这给网络管理和网络优化带来很大的困难。所以在网络设计中，如果采用现有的技术，进一步提高网络的性能，是网络设计者和网络管理者都必须考虑的问题。在现在的企业网络当中，比较广泛的一个方法就是采用VLAN技术，把一个大的网络逻辑上划分成若干个相对较小的网络，这样有助网络的管理，也有利于网络性能的提高。

在路由器上可采用的路由选择协议也很多，有中小型网络使用的静态路由、RIP路由，也有大中型网络使用的OSPF协议。在众多的网络路由协议当中，要选择出一个适合现实的、又便于管理的协议。在企业网络建设过程或者网络扩展当中，由于各种原因，一般情况下不可能全部使用同一个厂商的设备，这时候，在路由协议上就应该选择大部分设备的支持的通用的协议，而要尽量避免使用一些厂商私有的协议。在本网络当中，部VLAN间采用了比较通用的OSPF动态协议，并且在网络出口上使用静态路由（缺省路由）。

4.2.1 静态路由协议

静态路由是指由网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。缺省路由是静态路由的一种，也是由管理员设置的。在没有找到目标网络的路由表项时，路由器将信息发送到缺省路由器。在出口路由器我们经常需要使用这种路由协议，当企业网访问的目标是非部地址时，缺省路由就将它转发到ISP处，由ISP的路由器再进行转发处理，并最终到达目标网络。

4.2.2 OSPF动态路由协议

OSPF作为一种部网关协议，用于在同一个自治域（AS）中的路由器之间发布路由信息。区别于距离矢量协议(RIP)，OSPF具有支持大型网络、路由收敛快、占用网络资源少、无跳数限制等优点，同时它是一种通用的协议，市场上的路由器都支持它，所以它在网络中被广泛的采用。

4.2.3 NAT技术

随着Internet的迅速发展，IP地址短缺已成为一个十分突出的问题。为了解决这个问题，出现了多种解决方案。下面介绍一种在目前网络环境中比较有效的方法，即地址转换(NAT)功能。NAT通过将专用网络地址转换为公用地址，从而对外隐藏了部管理的 IP 地址。这样，通过在部使用非注册的 IP 地址，并将它们转换为一小部分外部注册的 IP 地址，从而减少了IP 地址注册的费用以及节省了目前越来越缺乏的地址空间（即IPV4）。同时，这也隐藏了部网络结构，从而降低了部网络受到攻击的风险。

1、NAT的类型

NAT分为三种类型：静态NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）。其中静态NAT将部网络中的每个主机都被永久映射成外部网络中的某个合法的地址，而NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到部网络，端口NAT则是把部地址映射到外部网络的一个IP地址的不同端口上。

2、NAT的优点：

对于那些家庭用户或者小型的商业机构来说，使用NAT可以更便宜，更有效率地接入Internet。

使用NAT可以缓解目前全球IP地址不足的问题。

在很多情况下，NAT能够满足安全性的需要。

使用NAT可以方便网络的管理，并大大提高了网络的适应性。

3、NAT的缺点

NAT会增加延迟,因为要转换每个数据包的IP地址,自然要增加延迟。

NAT会使某些要使用嵌地址的应用不能正常工作。

4.2.4 ACLs技术

大部分企业现在存在一种状况，就是网络访问无序的状态。如所有公司的员工都可以随意反问财务部门的电脑；如在开公司的视频会议的时候，其他员工下载电影或者游戏浪费了宝贵的带宽，导致视频会议不怎么连贯；如为了管理的方便，大开Telnet端口，对于这个威胁视若无睹，等等。在实际应用当中，我们可以通过访问控制列表来对网络的访问进制一些适当的限制。

4.2.5 VLAN技术

VLAN是英文Virtual Local Area Network的缩写，即虚拟局域网。一方面，VLAN建立在局域网交换机的基础之上；另一方面，VLAN是局域交换网的灵魂。这是因为通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。

　VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。VLAN并不局限于某一网络或物理围，VLAN中的用户可以位于一个园区的任意位置，甚至位于不同的国家。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。

VLAN具有以下优点：

1、控制网络的广播风暴

采用VLAN技术，可将某个交换端口划到某个VLAN中，而一个VLAN的广播风暴不会影响其它VLAN的性能。

2、确保网络安全

共享式局域网之所以很难保证网络的安全性，是因为只要用户插入一个活动端口，就能访问网络。而VLAN能限制个别用户的访问，控制广播组的大小和位置，甚至能锁定某台设备的MAC地址，因此VLAN能确保网络的安全性。

3、简化网络管理

网络管理员能借助于VLAN技术轻松管理整个网络。例如需要为完成某个项目建立一个工作组网络，其成员可能遍及全国或全世界，此时，网络管理员只需设置几条命令，就能在几分钟建立该项目的VLAN网络，其成员使用VLAN网络，就像在本地使用局域网一样。

4.3 网络地址规划

在网络设计时，做好网络地址的选择与规划是非常重要的一个环节，网络地址的规划是否合理直接影响到网络的使用和网络的扩展。

1、企业从ISP申请到一个公网IP：/28，主要用于连接外网和部分服务器使用。其分配如下表所示：

部门

子网

子网掩码

出口路由器F0/1

40

Web服务器

40

FTP服务器

40

2、IP地址的选择

目前，在网络上使用的IP地址主要有三类：A类、B类和C类，而这三类IP址址又分为注册地址和非注册地址，注册地址用于Internet上使用，而非注册地址（即私有地址）用于组织机构部使用。三类IP都有私有地址，在做网络设计时要根据企业的网络情况进行选择。其中，A类私有地址围为 --55，能容纳1亿多个主机；B类私有地址围为--55，能容纳6万多个主机；C类私有地址为--55，每个网络能容纳254个主机。

根据企业的规模，我们选择了B类地址/16作为企业网络的地址。

3、IP子网划分

为提高网络的性能，在企业使用VLAN技术，这就需要对所选的网络进行子网划分。为了便于管理，每个部分都分配一个单独的子网。所以该企业子网划分的情况、子网分配以及VLAN分配情况如下表所示：

子网划分与子网分配表

部门

子网

子网掩码

对应VLAN

网管中心

vlan1

财务部

vlan20

人力资源部

vlan30

综合管理部

vlan40

市场部

vlan50

研发部

vlan60

保安部

vlan70

生产部

vlan80

核心—出口路由器

4、VLAN划分

在核心交换机和汇聚层交换机上划分VLAN，并分配相应端口，具体如下表所示：

核心交换机与汇聚层交换机VLAN划分表

交换机

VLAN

端口

核心交换机

vlan1

F0/1(T)、F0/2(T)、F0/3(T)、F0/4-23

vlan20

F0/1(T)、F0/2(T)、F0/3(T)

vlan30

F0/1(T)、F0/2(T)、F0/3(T)

vlan40

F0/1(T)、F0/2(T)、F0/3(T)

vlan50

F0/1(T)、F0/2(T)、F0/3(T)

vlan60

F0/1(T)、F0/2(T)、F0/3(T)

vlan70

F0/1(T)、F0/2(T)、F0/3(T)

vlan80

F0/1(T)、F0/2(T)、F0/3(T)

一楼汇聚交换机

vlan1

F0/24(T)、F0/2(T)、F0/3(T)、F0/9-23

vlan70

F0/24(T)、F0/2(T)、F0/3(T)、F0/1-4

vlan80

F0/24(T)、F0/2(T)、F0/3(T)、F0/5-8

二楼汇聚交换机

vlan1

F0/24(T)、F0/2(T)、F0/3(T)、F0/9-23

vlan50

F0/24(T)、F0/2(T)、F0/3(T)、F0/1-4

vlan60

F0/24(T)、F0/2(T)、F0/3(T)、F0/5-8

三楼汇聚交换机

vlan1

F0/24(T)、F0/2(T)、F0/3(T)、F0/13-23

vlan20

F0/24(T)、F0/2(T)、F0/3(T)、F0/1-4

vlan30

F0/24(T)、F0/2(T)、F0/3(T)、F0/5-8

vlan40

F0/24(T)、F0/2(T)、F0/3(T)、F0/9-12

5、网络设备与测试主机地址分配

在网络规划完成后，就可以对各个网络设备和测试主机分配IP地址，在此网络中，IP地址分配如下。

设备、服务器与VLAN的IP分配表

接口或VLAN

IP地址

子网掩码

对应VLAN

核心交换机F0/24

路由器F0/0

路由器F0/0

40

一楼汇聚交换机管理IP

01

二楼汇聚交换机管理IP

02

三楼汇聚交换机管理IP

03

vlan1

vlan1

vlan20

vlan20

vlan30

vlan30

vlan40

vlan40

vlan50

vlan50

vlan60

vlan60

vlan70

vlan70

vlan80

vlan80

Web服务器

vlan1

FTP服务器

vlan1

DHCP服务器

vlan1

测试主机IP分配表

部门

IP地址

子网掩码

网关

财务部

00

人力资源部

00

综合管理部

00

市场部

00

研发部

00

保安部

00

生产部

00

6、服务器私有地址与公网地址对照表

服务器

私有地址

子网掩码

公网地址

Web服务器

FTP服务器

4.4 设备配置

4.4.1 核心交换机配置

核心交换机用于连接出口路由器、各汇聚层交换机，在该交换机上主要配置VLAN，VLAN路由以及与出口路由器通信的OSPF路由协议。

1、配置交换机设备名称、远程登录口令和特权口令

configure terminal

hostname hexin

line vty 0 16

password cisco

login

exit

enable secret cisco

end

2、配置VLAN并分配端口

configure terminal

vlan 10

exit

interface FastEthernet0/23

switchport acess vlan 10

exit

vlan 20

exit

vlan 30

exit

vlan 40

exit

vlan 50

exit

vlan 60

exit

vlan 70

exit

vlan 80

end

3、设置与汇聚层交换机相连接口的接口模式

configure terminal

interface FastEthernet0/1

switchport mode trunk

exit

interface FastEthernet0/2

switchport mode trunk

exit

interface FastEthernet0/3

switchport mode trunk

exit

4、配置各个vlan的IP，即各网段的网关

configure terminal

interface vlan 1

ip address

no shutdown

exit

interface vlan 20

ip address

no shutdown

exit

interface vlan 30

ip address

no shutdown

exit

interface vlan 40

ip address

no shutdown

exit

interface vlan 50

ip address

no shutdown

exit

interface vlan 60

ip address

no shutdown

exit

interface vlan 70

ip address

no shutdown

exit

interface vlan 80

ip address

no shutdown

end

5、配置与出口路由器相连的接口为路由器，并配置IP地址

configure terminal

interface FastEthernet0/24

no switchport

ip adderss

no shutdown

end

6、配置OSPF路由协议

configure terminal

router ospf 1

network 55 area 0

end

4.4.2 汇聚层交换机配置

汇聚层交换机主要是配置VLAN，并将相应端口分配到VLAN中；为了方便远程管理，汇聚层交换机也必须需要远程登录口令、特权口令和远程管理IP。

1、一楼汇聚交换机：

该交换机连接着生产部和保安部两个部门，在该交换机上配置两个vlan，并分配相应的端口。

（1）配置交换机设备名称、远程登录口令、特权口令和远程管理IP。

configure terminal

hostname 1Lou

line vty 0 16

password cisco

login

exit

enable secret cisco

interface vlan 1

ip address 01

no shutdown

end

（2）配置vlan，并分配端口

configure terminal

vlan 70

exit

interface range fastEthernet 0/1 - 4

switchport acess vlan 70

exit

vlan 80

exit

interface range fastEthernet 0/5 – 8

vlan 80

end

（3）配置与核心交换机相连的端口为trunk

configure terminal

interface fastEthernet0/24

switchport mode trunk

end

2、二楼汇聚交换机：

该交换机连接着市场部和研发部两个部门，在该交换机上配置两个vlan，并分配相应的端口。

（1）配置交换机设备名称、远程登录口令、特权口令和远程管理IP。

configure terminal

hostname 2Lou

line vty 0 16

password cisco

login

exit

enable secret cisco

interface vlan 1

ip address 02

no shutdown

end

（2）配置vlan，并分配端口

configure terminal

vlan 50

exit

interface range fastEthernet 0/1 - 4

switchport acess vlan 50

exit

vlan 60

exit

interface range fastEthernet 0/5 – 8

vlan 60

end

（3）配置与核心交换机相连的端口为trunk

configure terminal

interface fastEthernet0/24

switchport mode trunk

end

3、三楼汇聚交换机：

该交换机连接着财务部、人力资源部和综合管理部三个部门，在该交换机上配置三个vlan，并分配相应的端口。

该交换机连接着生产部和保安部两个部门，在该交换机上配置两个vlan，并分配相应的端口。

（1）配置交换机设备名称、远程登录口令、特权口令和远程管理IP。

configure terminal

hostname 3Lou

line vty 0 16

password cisco

login

exit

enable secret cisco

interface vlan 1

ip address 03

no shutdown

end

（2）配置vlan，并分配端口

configure terminal

vlan 20

exit

interface range fastEthernet 0/1 - 4

switchport acess vlan 20

exit

vlan 30

exit

interface range fastEthernet 0/5 – 8

vlan 40

exit

interface range fastEthernet 0/9 – 12

vlan 40

end

（3）配置与核心交换机相连的端口为trunk

configure terminal

interface fastEthernet0/24

switchport mode trunk

end

4.4.3 出口路由器配置

出口路由器主要是实现网与Internet网的路由NAT转换，实现网访问Internet。为了实现该路由器与核心交换机的通信，在出口路由器配置OSPF协议；并配置缺省路由，实现外网的访问；配置访问控制列表，控制外网对网的访问。

1、配置设备名称、特权口令和远程登录口令

configure terminal

hostname ChuKou

line vty 0 15

password cisco

login

exit

enable

enable secret cisco

2、配置路由器接口IP地址

configure terminal

interface FastEthernet0/0

ip address

no shutdown

exit

interface FastEthernet0/1

ip address

no shutdown

end

3、配置OSPF路由协议

configure terminal

router ospf 1

network 55 area 0

end

4、配置缺省路由，并向OSPF注入缺省路由

configure terminal

ip route FastEthernet0/1

router ospf 1

default-information originate

end

5、配置动态PAT转换，将网私有地址转换成公网合法IP

（1）配置转换的地址围

configure terminal

ip access-list standard 1

permit 55

end

（2）配置PAT

configure terminal

ip nat inside source list 1 interface FastEthernet0/1 overload

end

（3）配置网端口与外网端口

configure terminal

interface FastEthernet0/0

ip nat inside

exit

interface FastEthernet0/1

ip nat outside

end

6、配置静态NAT，实现外网访问网的Web服务器和FTP服务器

configure terminal

ip nat inside source static

ip nat inside source static

end

6、配置访问控制列表，并应用在外网接口上

configure terminal

ip access-list extended FangWenNeiWang

permit tcp any 55 established

permit tcp any host eq

permit tcp any host eq ftp

permit tcp any host eq 20

permit icmp any host

permit icmp any host

deny tcp any any

deny icmp any 55

permit icmp any any

permit ip any anyexit

interface FastEthernet0/1

ip access-group FangWenNeiWang in

end

4.5 企业服务器配置

在企业中，为方便网络管理或要实现企业的电子办公系统、企业电子商务，都必须建立相应的服务器。在这里，给里DHCP服务器的配置，而其它服务器则可以根据企业需要再另行安装、配置与调试。

4.5.1 DHCP服务器配置

在一个企业中，由于计算机数量较多，计算机使用者水平参差不齐，如果所有计算机的IP地址全部由手工指定，将是一个工作量非常大的事，而且给网络管理带来很大的麻烦。因此，有必要在企业部建立DHCP服务器，所有客户机的IP全部为自动从DHCP上获取，这样可以大减少管理员的工作量。

在本企业网络中，由于划分了若干个子网，那么在DHCP服务器上就必须为每个子网创建相应的DHCP作用域，以保证每个子网都能自动获取IP。

1、新建DHCP作用域，并指定作用域的名称。由于需要创建多个作用域，一个作用域对应一个子网，为方便识别，这里使用子网号作为作用域的名称。

2、指定作用域可分配的IP地址围

3、设置排队围

4、设置租约期限期

5、配置其它DHCP选项

6、配置默认网关

7、配置DNS

9、激活该作用域

10、按1-9的步骤，依次创建其它子网所需要的作用域。

相关热词搜索： 规划 详细规划 配置 网络 网络详细规划与配置