企业网组建方案应用实例.docVIP

企业网组建方案应用实例摘 要：职业院校网络专业的学生在学完所有专业课程后，当让他们设计一个实际的组网方案时，大部分学生仍感到很茫然，不是他们所学知识不够，而是他们没有整体网络的设计思想。本文就是从一个具体企业网络组建方案入手，简单阐述网络设计方案的步骤及思想 关键词：组网方案 企业网 设计思想 1 引言 计算机网络专业是职业院校开设最多的一个专业，各学校关于网络专业的课程设置也比较完善。学生在校期间所学的相关专业知识是非常全面的，但大部分学生由于缺乏整体网络的设计思想，因此当他们需要设计一个组网方案时，仍感觉在学校学的知识用不上 实际上分层网络设计模型是现代网络方案设计较常用的模型。该模型将网络分成三层：接入层、分布层、核心层。接入层的主要目的是提供一种将设备连接到网络并控制允许网络上的哪些设备进行通信的方法。分布层先汇聚接入层交换机发送的数据，再将其传输到核心层，最后发送到最终目的地。核心层的功能主要是实现骨干网络之间的优化传输 2 方案设计 1）需求分析 总公司与分公司接入Internet，采用NAT方式上网，同时通过VPN隧道，实现分公司访问总公司 不同办公司之间数据不共享 保障网络基本的安全性，时时监控网络中的安全事件 分公司周一到周五9：00至于17：00上网，周六周日全天上网，用户采用无线上网，自动获得IP地址总公司网段/16，分公司/16 2）网络拓扑如下 3）数据规划 4）设备功能实现 总公司局域网实施 防火墙FW-1：安全功能配置VPN使得总公司与分公司互通，实现数据的安全性和完整性。NAT配置NAT，实现内部网络访问互联网，和实现将内网的WEB、FTP等资源发布的互联上 路由器R1：SW1与R1线路为主用线路，承载正常数据流，SW2与R2为备用线路，正常情况下不承载数据流。通过灵活配置VLAN10，VLAN20，VLAN30网段的回程路由，实现当SW1与R1链路down时，可以自动切换至R1与SW2线路 三层交换机SW-1：优化功能SW1为主用交换机，正常情况下SW1上承载VLAN10，VLAN20，VLAN30的数据转发。只有当SW1至R1互联线路down时，SW2由备用转为主用交换机。划分VLAN，配置VRRP，使得所有的VRRP组为master状态。（VRRP的组号即为该VLAN的ID，如VLAN10的VRRP组ID为10），配置trunk线路Fa0/1与SW3Fa0/23以trunk方式互联。配置链路聚合，增加线路带宽及冗余性。配置端口镜像，将FA0/24所有数据流镜像到FA0/23口，配置MSTP生成树协议 三层交换机SW-2：SW-2为备用交换机，正常情况下SW1上承载VLAN10，VLAN20，VLAN30的数据转发。只有当SW1至R1互联线路down时，SW2由备用转为主用交换机。划分VLAN，配置VRRP，使得所有的VRRP组backup状态。（VRRP的组号即为该VLAN的ID，如VLAN10的VRRP组ID为10），配置trunk线路Fa0/1与SW3Fa0/24以trunk方式互联。配置链路聚合，配置MSTP生成树协议 接入层交换机SW-3： 划分VLAN，配置相关端口，启用端口安全功能，只允许特定主机接入 配置MSTP生成树协议 入侵检测系统IDS： 安全功能：派生策略，需要监控TCP攻击、UDP攻击、DOS攻击、IP攻击 管理功能：管理接口地址为54/24，网关，管理服务器地 址为0/24 Internet互联网实施 R2、R3、R4三台路由器模拟internet，三台路由器组成OSPF多区域，互联线路采用PPP线路chap认证，OSPF采用MD5认证 分公司局域网实施 防火墙FW-2：安全功能放行总公司、分公司互相访问进出VPN数据流通过 FW-2地址转换配置NAT，实现内部网络/24，访问互联网，其使用合法的公网地址为/30，上网时间为周一到周五9：00至于17：00上网，周六周日全天上网 FW-2配置静态路由实现分公司上网数据流与分公司访问总公司数据流的分流 路由器R5：配置简单的路由，使网络连通。配置DHCP为分公司动态分配地址 入侵检测系统：安全功能：派生策略，需要监控TCP攻击、UDP攻击、DOS攻击、IP攻击。管理功能：管理接口地址为/24，网关，管理服务器地址为0/24 路由器R4：配置OSPF路由协议，配置基于接口验证功能，采用MD5方式。FA0/0所在网段采用路由重发布方式，注入OSPF中，R4链路安全配置PPP实现CHAP认证. 4）功能验证 根据以上网络方案进行实施，最后