1、某企業網絡系統規劃與設計 推薦精選目錄一、需求分析31、背景32、設計原則3二、總拓撲6三、總體設計思路6四、路由規劃7五、Ip地址及vlan規劃7六、關鍵技術分析8七、設備選型91.選型原則92.設備清單及報價9八、配置命令101.在接入層交換機下端口配置端口安全102.接入層與分布層之間相連的鏈路配置trunk103.接入層與分布層交換機配置vtp104.在分布層交換機創建vlan105.將接入層上端口劃分vlan106.將交換機的鏈路進行捆綁117.VRRP配置118.配置ospf協議119.防火墻上的nat及下放默認路由12推薦精選推薦精選一、 需求分析1、 背景某企業，考慮了將來，大

2、約2000用戶，基本均勻分布于四棟樓。每棟樓約4層，人員均勻分布。服務器10臺集中于機房。用戶無大數據量應用。現需要組建局域網，要求網絡保證一定穩定性，網絡主干中斷最多為1分鐘。2、 設計原則多業務網絡系統方案以實現以上功能為基本要求，在設計上力求做到既要采用國際上先進的技術，又要保證系統的安全可靠性和實用性。具體來講，其設計遵循以下原則：可靠性：本系統是7x24小時連續運行系統，從硬件和軟件兩方面來保證系統的高可靠性。硬件可靠性系統的主要部件采用冗余結構，如：傳輸方式的備份，提供備份組網結構；主要的計算機設備（如數據庫服務器），配備不間斷電源等。軟件可靠性充分考慮異常情況的處理，具有強的容錯

3、能力、錯誤恢復能力、錯誤記錄及預警能力并給用戶以提示；并具有進程監控管理功能，保證各進程的可靠運行數據庫系統應。推薦精選網絡結構穩定性當增加/擴充應用子系統時，不影響網絡的整體結構以及整體性能，對關鍵的網絡連接采用主備方式，已保證數據的傳輸的可靠性。先進性：網絡技術應為當期國際同業中先進的，并能支持未來網絡技術的高性能需求，并且在業界表現出較高的網絡性能； 實用性：整個網絡系統要按照實用、好用的原則，使網絡具有較高的實用性； 時效性：網絡要保證各類業務數據流的及時傳輸，網絡時效性要強，網絡延時要小，確證業務交易的實時高效完成。 完整性：網絡系統應實現端到端的，能整合數據、語音和圖象的多業務應用

4、，需要在全網范圍統一的實施安全策略、QoS策略、流量管理策略和系統管理策略的完整的一體化網絡； 可實施性：整個網絡解決方案的實施要便于實際的實施，并在實施過程中要保證現有網絡和切換的完整性和一致性，確保實施工作的正常、順利。 可擴展性：隨著技術不斷發展，新的標準和功能不斷增加，網絡設備必須可以通過網絡進行升級，以提供更先進、更多的功能。在網絡建成后，隨著應用和用戶的增加，核心骨干網絡設備的交換能力和容量必須能作出線性的增長。設備應能提供高端口密度、模塊化的設計以及多種類接口、技術的選擇，以方便未來更靈活的擴展。推薦精選兼容性：跟蹤世界科技發展動態，網絡規劃與現有光纖傳輸網及將要改造的分配網有良

5、好的兼容，在采用先進技術的前提下，最大可能地保護已有投資，并能在已有的網絡上擴展多種業務。安全性：網絡的安全性對網絡設計是非常重要的，合理的網絡安全控制，可以使應用環境中的信息資源得到有效的保護可以有效的控制網絡的訪問，靈活的實施網絡的安全控制策略。在企業園區網絡中，關鍵應用服務器、核心網絡設備，只有系統管理人員才有操作、控制的權力。應用客戶端只有訪問共享資源的權限，網絡應該能夠阻止任何的非法操作。在園區網絡設備上應該可以進行基于協議、基于Mac地址、基于IP地址的包過濾控制功能。在大規模園區網絡的設計上，劃分虛擬子網，一方面可以有效的隔離子網內的大量廣播，另一方面隔離網絡子網間的通訊，控制了

6、資源的訪問權限，提高了網絡的安全性。在設計園區網的原則上必須強調網絡安全控制能力，使網絡可以任意連接，又可以從第二層、第三層控制網絡的訪問。可管理性：網絡中的任何設備均可以通過網絡管理平臺進行控制，網絡的設備狀態，故障報警等都可以通過網管平臺進行監控，通過網絡管理平臺簡化管理工作，提高網絡管理的效率。推薦精選二、 總拓撲三、 總體設計思路整個網絡通過企業總部上Internet，在企業總部設置有防火墻，用于防護企業內部網絡的安全，且在防火墻上進行NAT轉換，使得整個企業的網絡能上Internet。網絡總體使用三層結構，分別是核心層、分布層和接入層。核心層設有兩臺核心交換機，核心交換機使用上行鏈路

7、與路由器連接，保證冗余性。核心交換機間可以使用鏈路捆綁鏈路進行連接，保證核心交換機間的鏈路冗余性及提高鏈路的可靠性。企業內部服務器核心交換機相連，保證數據的高速轉發，且使用雙鏈路分別與兩臺核心交換機相連，保證冗余性，減少因鏈路故障帶來的影響，提高網絡的可靠性。推薦精選除服務器外，各部門的信息點都連接到接入層交換機，在接入層上端口劃分vlan，同一部門的計算機都在同一vlan，并采用VTP Prune技術，避免trunk鏈路的不必要流量。在分布層交換機上創建vlan，自動發布到接入層交換機。接入設備的網關設在核心交換機，并且使用vrrp在兩臺核心交換機間實現冗余。四、 路由規劃為了使各棟樓實現高

8、效的互聯，并且便于網絡管理與維護，整個網絡采用OSPF協議，將總部A棟的三層交換機、防火墻、路由器劃分為Area0，其他各個分部B、C、D棟分別劃分為Area1，Area2，Area3，以此類推。總部與分部相連的鏈路劃為Area0。在區域便界進行網絡匯總，保證網絡正常的同時，盡量減少路由條目，提高路由器的轉發效率。五、 Ip地址及vlan規劃防火墻連接ISP的ip地址為58.68.100.9/30推薦精選六、 關鍵技術分析1. 在接入層交換機上做端口安全，接入層與分布層交換機之間使用stp保護。2. 交換機的連接全部使用trunk鏈路，并且允許所有vlan通過。3. 在每棟樓的分布層交換機上都

9、創建要用到的vlan。4. 總部核心層交換機間使用鏈路捆綁技術5. 總部的核心交換機使用vrrp進行網關冗余，并且調整vrrp使得一部分主網關在Multilayer Switch8，一部分主網關在Multilayer Switch9，結合MSTP實現負載分擔6. 在防火墻ASA1上做NAT轉換，寫一條出口指向Internet的缺省路由，并且通過OSPF下放缺省路由，使得整個網絡能訪問ISP。推薦精選7. 在各個樓棟的路由器及總部的路由器上做區域間匯總8. 在總部與分部的路由器上啟用CHAP認證。七、 設備選型1. 選型原則在設備選型時，主要考慮如下原則：穩定性 只有運行穩定的網絡才能投入到實際

10、項目的使用中去，而網絡的穩定性取決于很多因素，如網絡的設計，產品的可靠等。高處理性能 為了支持數據、語音、視頻等多媒體的傳輸能力，應選取轉發速率高、cpu性能較好、數據包處理速度快的產品。擴展性 網絡設計中要有擴展性和可升級性，隨著企業業務的增長，網絡中的數據流量會持續增加，所以網絡中的可擴展性尤為重要。安全性 網絡系統中的安全性主要體現在網絡設計的安全性、產品本身的安全性以及人為因素等。可控性 隨著網絡規模的增大，網絡的可控性會降低。一個網絡既要保證數據的正確傳輸，也要保證數據朝著最優的方向傳輸。推薦精選2. 設備清單及報價八、 配置命令1. 在接入層交換機下端口配置端口安全S2950-24

11、(config)#int f0/1S2950-24(config-if)#shutdown S2950-24(config-if)#switchport mode access S2950-24(config-if)#switchport port-security S2950-24(config-if)#switchport port-security maximum 1S2950-24(config-if)#switchport port-security violation shutdown2. 接入層與分布層之間相連的鏈路配置trunkS2950-24(config)#int f0/1

12、S2950-24(config-if)#switchport mode trunk/其他接口類似，就不一一列舉3. 接入層與分布層交換機配置vtpS2950T-24(config)#vtp mode serverS2950T-24 (config)#vtp domain SZPTS2950T-24 (config)#vtp password cisco推薦精選/在vtp server模式下啟用vtp pruning，其他交換機類似，就不一一列舉，需要隱私的部門可以設置模式為transparent4. 在分布層交換機創建vlanS2950T-24 (config)#vlan 10S2950T-2

13、4 (config-vlan)# description office/創建vlan并加以描述信息，方便管理，其他vlan類似，就不一一列舉5. 將接入層上端口劃分vlanS2950-24(config)#int f0/1S2950-24(config-if)#switchport mode access S2950-24(config-if)#switchport access vlan 10/其他接口類似于此操作6. 將交換機的鏈路進行捆綁3560-24PS(config)#interface port-channel 13560-24PS(config)#interface range

14、f0/11-123560-24PS(config-if-range)#channel-group 1 mode on3560-24PS(config-if-range)#switchport mode trunk 3560-24PS(config-if-range)#exit3560-24PS(config)#port-channel load-balance dst-ip/進行端口聚合，另一臺核心交換機也做同樣的操作7. VRRP配置3560-24PS(config)#track 100 int f0/13 line-protocol3560-24PS(config)#int f0/1135

15、60-24PS(config-if)#vrrp 1 ip 10.2.30.254推薦精選3560-24PS(config-if)#vrrp 1 priority 1203560-24PS(config-if)#vrrp 1 preempt3560-24PS(config-if)#vrrp 1 authentication MD5 key-string cisco3560-24PS(config-if)#vrrp 1 track 100 decrement 303560-24PS(config-if)#vrrp 2 ip 10.2.30.2533560-24PS(config-if)#vrrp

16、2 preempt3560-24PS(config-if)#vrrp 2 authentication md5 key-string cisco在另外一臺核心交換機上3560-24PS(config)#track 100 int f0/14 line-protocol3560-24PS(config)#int f0/123560-24PS(config-if)#vrrp 1 ip 10.2.30.2543560-24PS(config-if)#vrrp 1 preempt3560-24PS(config-if)#vrrp 1 authentication MD5 key-string cisc

17、o3560-24PS(config-if)#vrrp 2 ip 10.2.30.2533560-24PS(config-if)#vrrp 2 priority 1203560-24PS(config-if)#vrrp 2 preempt3560-24PS(config-if)#vrrp 2 authentication MD5 key-string cisco3560-24PS(config-if)#vrrp 2 track 100 decrement 30/使用vrrp使得各部門的主網關在兩個核心間進行冗余及負載分擔，配置就不一一列舉8. 配置ospf協議3560-24PS(config)#ip routing 3560-24PS(config)#router ospf 1103560-24PS (config-router)#router-id 1.1.1.13560-24PS (config-router)#network 10.1.10.1 0.0.0.0 ar 03560-24PS (config-router)#abr-summary 10.0.0.0 255.0.0.0推薦精選/ospf的配置，配置router-id，按規劃的區域宣告網絡，在區域邊界進行匯總，其他網絡就不一一宣告，操作類似9. 防火墻上的nat及下放默認