[摘要]职业院校网络专业的学生在学完所有专业课程后,当让他们设计一个实际的组网方案时,大部分学生仍感到很茫然,不是他们所学知识不够,而是他们没有整体网络的设计思想。本文就是从一个具体企业网络组建方案入手,简单阐述网络设计方案的步骤及思想。
[关键词]组网方案,企业网,设计思想
1.引言
计算机网络专业是职业院校开设最多的一个专业,各学校关于网络专业的课程设置也比较完善。学生在校期间所学的相关专业知识是非常全面的,但大部分学生由于缺乏整体网络的设计思想,因此当他们需要设计一个组网方案时,仍感觉在学校学的知识用不上。
实际上分层网络设计模型是现代网络方案设计较常用的模型。该模型将网络分成三层:接入层、分布层、核心层。接入层的主要目的是提供一种将设备连接到网络并控制允许网络上的哪些设备进行通信的方法。分布层先汇聚接入层交换机发送的数据,再将其传输到核心层,最后发送到最终目的地。核心层的功能主要是实现骨干网络之间的优化传输
2.方案设计
1)需求分析
总公司与分公司接入Internet,采用NAT方式上网,同时通过VPN隧道,实现分公司访问总公司。
不同办公司之间数据不共享
保障网络基本的安全性,时时监控网络中的安全事件
分公司周一到周五9:00至于17:00上网,周六周日全天上网,用户采用无线上网,自动获得IP地址
总公司网段10.0.0.0/16,分公司10.1.0.0/16。
2)网络拓扑如下
3)数据规划
设备 设备名称 设备接口 IP地址
路由器
VPN1 Fa0/0 10.0.0.5/30
Fa0/1 10.0.0.9/30
Fa0/2 10.0.0.2/30
R2 S2/0 20.0.0.1/30
Loopback0 2.2.2.2/32
Fa0/0 30.0.0.1/29
R3 S3/0 20.0.0.5/30
S2/0 20.0.0.2/30
Loopback0 3.3.3.3/32
R4 Fa0/0 20.0.0.9/30
S3/0 20.0.0.6/30
Loopback0 4.4.4.4/32
防火墙 FW1 GE1 10.0.0.1/30
GE2 10.0.0.14/30
GE3 30.0.0.2/29
FW2 GE1 10.1.10.1/30
GE2 10.1.0.2/30
GE3 20.0.0.10/30
三层交换机 SW1 Fa0/24 10.0.0.3/29
VLAN10 10.1.10.2/24
VLAN20 10.1.20.2/24
VLAN30 10.1.30.2/24
SW2 Fa0/24 10.0.0.4/29
VLAN10 10.0.10.3/24
VLAN20 10.0.20.3/24
VLAN30 10.0.30.3/24
VPN网关 VPN-1 Eth0 10.0.0.13/30
Eth1 40.0.0.1/30
VPN-2 Eth0 10.1.0.1/30
Eth1 40.0.0.2/30
入侵检测 IDS 管理地址 10.0.30.254/24(管理接入SW1的FA0/22,属于VLAN30,监视口接入SW1的FA0/23.
无线网络 MXR 子网 设备管理IP地址10.1.10.2,MX-2为无线用户为无线用户分配IP地址范围(10.1.10.10-10.1.10.100)网关为10.1.10.1.
4)设备功能实现
总公司局域网实施
防火墙FW-1:安全功能配置VPN使得总公司与分公司互通,实现数据的安全性和完整性。NAT配置NAT,实现内部网络访问互联网,和实现将内网的WEB、FTP等资源发布的互联上。
路由器R1:SW1与R1线路为主用线路,承载正常数据流,SW2与R2为备用线路,正常情况下不承载数据流。通过灵活配置VLAN10,VLAN20,VLAN30网段的回程路由,实现当SW1与R1链路down时,可以自动切换至R1与SW2线路
三层交换机SW-1:优化功能SW1为主用交换机,正常情况下SW1上承载VLAN10,VLAN20,VLAN30的数据转发。只有当SW1至R1互联线路down时,SW2由备用转为主用交换机。划分VLAN,配置VRRP,使得所有的VRRP组为master状态。(VRRP的组号即为该VLAN的ID,如VLAN10的VRRP组ID为10),配置trunk线路Fa0/1与SW3Fa0/23以trunk方式互联。配置链路聚合,增加线路带宽及冗余性。配置端口镜像,将FA0/24所有数据流镜像到FA0/23口,配置MSTP生成树协议。
三层交换机SW-2:SW-2为备用交换机,正常情况下SW1上承载VLAN10,VLAN20,VLAN30的数据转发。只有当SW1至R1互联线路down时,SW2由备用转为主用交换机。划分VLAN,配置VRRP,使得所有的VRRP组backup状态。(VRRP的组号即为该VLAN的ID,如VLAN10的VRRP组ID为10),配置trunk线路Fa0/1与SW3Fa0/24以trunk方式互联。配置链路聚合,配置MSTP生成树协议。
接入层交换机SW-3:
划分VLAN,配置相关端口,启用端口安全功能,只允许特定主机接入。
配置MSTP生成树协议。
入侵检测系统IDS:
安全功能:派生策略,需要监控TCP攻击、UDP攻击、DOS攻击、IP攻击。
管理功能:管理接口地址为192.168.9.254/24,网关192.168.9.1,管理服务器地
址为192.168.9.10/24
Internet互联网实施
R2、R3、R4三台路由器模拟internet,三台路由器组成OSPF多区域,互联线路采用PPP线路chap认证,OSPF采用MD5认证。
分公司局域网实施
防火墙FW-2:安全功能放行总公司、分公司互相访问进出VPN数据流通过。
FW-2地址转换配置NAT,实现内部网络10.1.10.0/24,访问互联网,其使用合法的公网地址为50.0.0.2/30,上网时间为周一到周五9:00至于17:00上网,周六周日全天上网
FW-2配置静态路由实现分公司上网数据流与分公司访问总公司数据流的分流。
路由器R5:配置简单的路由,使网络连通。配置DHCP为分公司动态分配地址。
入侵检测系统:安全功能:派生策略,需要监控TCP攻击、UDP攻击、DOS攻击、IP攻击。管理功能:管理接口地址为192.168.60.9/24,网关192.168.60.1,管理服务器地址为192.168.60.10/24
路由器R4:配置OSPF路由协议,配置基于接口验证功能,采用MD5方式。FA0/0所在网段采用路由重发布方式,注入OSPF中,R4链路安全配置PPP实现CHAP认证.
4)功能验证
根据以上网络方案进行实施,最后需通过实施验证看是否达到预期的效果。做以下简单的验证查看效果:
① MSW-1、MSW-2配置的VRRP组主备选举正常,当MSW-1上行端口DOWN时,可以正常切换
② 各VLAN用户可以ping通防火墙内网口IP192.168.50.2,断开SW1上行线路断开,或者SW1掉电,都可以正常ping通
③ R2、R3、R4OSPF邻居建立正常
④ 在R4上可以正常ping通12.0.0.2,R2上可以正常ping通45.0.0.4
⑤ 查看R4路由表,通过OSPF只学习一条缺省路由
⑥ 在R5上查看DHCP绑定
3.总结
本文通过一个具体的企业网的设计方案,体现了网络设计的思想和步骤,学生们在学校学了大量的关于进行设备配置的技术知识。对于网络方案的设计通过本文希望可以给大家以启示。
参考文献:
[1]李武,网络组建管理与维护,东南大学出版社
[2]张敏波,中小型企业网络组建实训教程,