企业组网实施方案设计

企业组网实施方案设计内容摘要：

中心节点机房 配置企业级交 换机作为网络中 心交换机。 为 实现网络动态管理和虚拟局域网，在中心节点交换机上还配置第三层交换模块和网络监控模块。 企业 主干连接为 1000Mbps， 连接建筑群的主干网以光缆做传输介质 ， 建筑物内部的用户局域网提供到桌面的 100Mbps 网络带宽。 汇聚层设计 采用 1000 兆以太网技术，实现核心层与汇聚层的互连，采用 100 兆以太网技术，实现汇聚层与接入层的互连，汇聚层主要负责连接接入层接点和核心层中心，汇集分散接入点，扩大核心层设备的端口密度和种类，汇聚各 区域数据流量，实现骨干网络之间的优化传输 ,核心网络以星型结构连接各汇聚层节，汇聚层负责将各种接入业务集中起来，除了进行局部数据的交换、转发以外，通过高速接口将数据输送到核心层去，在更大的范围内进行数据的路由以及处理。 接入 层设计 采用 100 兆 以 太 网 技 术 ， 实 现 汇聚 层 与 接 入 层 的 互 连 同 样 采 用10/100Mbps 自适应交换到桌面，传输介质是 超 五类双绞线。 接入 层采用 100BaseT 交换式以太网，提供 10/100M 自适应的传输速度到桌面计算机，以双绞线为主要传输介质。 选用 思科WSC291824TTC 快速以太网 交换机作为 接入 层交换设备，该系列交换设 茂 名职业技术学院计算机工程系毕业设计报告 第 11 页 备支持光端口模块、支持堆叠、提供线速交换能力、带宽控制、 QOS、支持远程管理和控制等，有较高的性价比。 主要功能就是实现每个合法用户的安全接入。 因此，对于接入层而言，其关键安全要素就是用户的安全认证、管理和快速接入功能。 IP 地址及 VLAN 规划设计 表 企业网 VLAN 划分 表 部门 VLAN VLAN 名称 网络设备描述 网络中心 11 WLZX 交换机、网管设施 服务器群 2 FW ERP、认证、计费 高层管理部 10 GCGL PC 财务部 20 CWB PC 销售部 30 XSB PC 物资部 40 WZB PC 人力资源部 50 RLZY PC 生产安全部 60 SCAQ PC 研发部 70 YFB PC 资源管理部 80 ZYGL PC 综合 90 ZH PC 表 企业网 VLAN 地址分配 表 部门 VLAN IP 子网掩码 网络中心 服务器群 高层管理部 财务部 销售部 茂 名职业技术学院计算机工程系毕业设计报告 第 12 页 续上表 物资部 人力资源部 生产安全部 研发部 资源管理部 综合 部 网络设备的配置方案 钢铁公司网络规划仿真图 如图 如示。 1） 核心层 （ 1）在核心层的交换机上 设计 冗余链路， 采用链路聚合技术，增加交换机之间的传输带宽，并实现链路的备份。 （ 2）在核心层的交换机上实现 VLAN 间的路由，实现跨交换机 VLAN的通信，而不同的 VLAN 也能通信。 2） 汇聚层和接入层 （ 1）在这两层间通过划分 VLAN，实现 VLAN 间的路由通信 （ 2） 利用路由器快速以太网子接口以及 封装实现 VLAN 间路由 （ 3）通过设置生成树协议（ S TP），使网络在有冗余的情况下避免环路的产生，避免广播风暴等 （ 4）在汇聚层上设置标准 IP 访问列表，实现网段间互相访问的安全控制。 3） 路由器的设置 （ 1）在路由器中进行了防火墙的设置，进行了 NAT 设置 （ 2）进行了静态路由的设置 （ 3）进行了远程的管理 茂 名职业技术学院计算机工程系毕业设计报告 第 13 页 图 某 钢铁公司网络规划仿真图 茂名职业技术学院计算机工程系毕业设计报告 第 14 页 二层交换机 VLAN 设置 在交换机中创建 vlan10 – vlan90，并添加端口。 在每个楼宇的 交换机 配置相应的 V LAN： switch (Config)vlan 10 switch (Config Vlan10 ) hostname GCGL switch (Config GCGL)switchport interface f0/18 switch (Config GCGL)exit ......... switch (Config)vlan 90 switch (Config Vlan10 ) hostname ZH switch (Config ZH)switchport interface f0/916 switch (Config ZH)exit switch (Config) 验证配置： switchshow vlan 设置交换机 trunk 端口 switch (Config)interface ether 0/0/24 switch (Config Ether0/0/24)switchport mode trunk Set the port Ether0/0/24 mode TRUNK successfully switch (Config Ether0/0/24)switchport trunk allowed vlan all set the port Ether0/0/24 allowed vlan success fully switch (Config Ether0/0/24)exit switch (Config) 验证配置： switchshow vlan 三层交换机 VLAN 设置 1） 核心层 链路聚合技术的配置过程如下 核心层交换机 A —— 以下简称 S WA 茂名职业技术学院计算机工程系毕业设计报告 第 15 页 核心层交换机 B—— 以下简称 SWB （ 1）在 SWA 上创建 VLAN 11，并将 0/5 端口划分到 VL AN1 中 SWAconfigure terminal SWA(config) vlan 11 SWA(config vlan)name WLZX SWA(config)interface f0/5 SWA(config if)switchport access vlan 11 （ 2）在 SWA 上配置聚合端口 SWA(config)interface aggregateport 1 SWA(config if)switchport mode trunk SWA(config if)exit SWA(config)interface range f0/910 SWA(config if)port group 1 （ 3）在 SWB 上创建 VLAN 11，并将 0/5 端口划分到 VLAN 11 中 SWBconfigure terminal SWB(config) vlan 11 SWB(config vlan)name WLZX SWB(config)interface f0/5 SWB(config if)switchport access vlan 11 （ 4）在 SWB 上配置聚合端口 SWB(config)interface aggregateport 1 SWB(config if)switchport mode trunk SWB(config if)exit SWB(config)interface range f0/910 SWB(config if)port group 1 2） 汇聚层和接入层配置过程命令如下： （ 1）对生成树协议（ S TP）的配置 SWCconf t SWC(config)spanningtree SWC(config)end 茂名职业技术学院计算机工程系毕业设计报告 第 16 页 SWC(config)spanningtree mode stp SWCshow spanning tree SWC(config)spanningtree priority 4096 防火墙设置 配置 C isco F irewall P ix， 进入 P ix 525 采用超级用户 (enable),默然密码为空，修改密码用 passwd 命令。 防火墙是处网络系统里，因此它跟网络的结构密切相关，一般会涉及的有 Route(路由器 )、网络 IP 地址。 还有必须清楚标准的 TCP 和 UDP 端口的定义。 1） 激活以太端口 激 活 以 太 端 口 必 须 用 enable 进 入 ， 然 后 进 入 configure 模式 PIX525enable Password: PIX525config t PIX525(config)interface ether0 auto PIX525(config)interface ether1 auto 在默 认 情况下 ether0 是属外部网卡 outside, ether1 是属内部网卡 ins ide， inside 在初始化配置 成功的情况 下已经被激 活生效了 ，但是outside 必须命令配置激活。 2） 命名端口与安全级别 ， 采用命令 nameif PIX525(config)nameif ether0 outside security0 PIX525(config)nameif ether0 outside security100 security0 是外 部端口 outs ide 的安全级 别（ 100 安全 级别最 高） ， security100 是内部端口 ins ide 的安全级别 , 如果中间还有以太口，则security10， security20 等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为 DMZ(Demilitarized Zones 非武装区域 )。 3） 配置以太端口 IP 地址 采用命令为： ip address， 内部网络为： ，外部网络为： PIX525(config)ip address inside 茂名职业技术学院计算机工程系毕业设计报告 第 17 页 PIX525(config)ip address outside 4） 配置远程访问 [tel] 在默然情况下， P IX 的以太端口是不允许 tel 的，这一点与路由器有区别。 Inside 端口可以做 tel 就能用了 ,但 outside 端口还跟一些安全配置有关。 PIX525(con fig)tel inside PIX525(config)tel outside 测试 tel 在 [开始 ][运行 ] tel PIX passwd: 输入密码： cisco 5） 访问列表 (access list) 此功能与 C isco IOS 基本上是相似的，也是。