第一章 网络需求分析
1.1 项目介绍
该公司总部设在上海,总部有人力资源部、财务部和研发部,共三个部门,每个部门平均 16 台终端。分部设在深圳,有生产部、生产部、客服部,也有三个部门,每个部门平均 254 台终端。要求将终端互联在一起。
1.2 组网需求
所有机器能上互联网;分部和总部网络资源共享;出差人员可以访问公司局域网的资源;部门处于不同网段;总部搭建 WEB 服务器,提供企业域名访问服务;分部搭建 FTP 服务器,提供文件服务;部门内部使用虚拟 IP 地址,部门之间和外部使用全球唯一地址,地址的分配使用 CIDR 方式;配置上网行为管理;配置无线 AP 和集中控制器;配置访问控制列表;总部配置静态路由;分部的客服部有市场部人员(配置 VLAN);机器重启所有配置有效。备注:网络拓扑结构的设计统一使用 Cisco Packet Tracer 模拟器,下文中简称模拟器。
第2章 拓扑设计和网路配置
2.1 设备选取和网络拓扑
此网络模型共有5个部分,分别为公司上海总部、公司深圳分部、核心区域、外网区域和网管区域。
公司上海总部配置了六台交换机,接入层有四台交换机,连接总部的四个部门和服务器集群,分别命名为sw1、sw2、sw3和sw7,划分区域vlan分别为vlan10(人力资源部)、vlan20(财务部) 、vlan30(研发部)和vlan70(总部服务器),有两台多层交换机作为本部的核心汇聚层,分别命名为msw1和msw2,上层接入防火墙fw1,由此作为外网的安全防护墙。本部配置了三台服务器,分别为DHCP服务器、WEB服务器和DNS服务器。
公司深圳分配置了六台交换机,接入层有四台交换机,连接分部的四个部门和服务器集群,分别命名为sw4、sw5、sw6和sw8,划分区域vlan分别为vlan40(生产部)、vlan50(市场部) 、vla60(客服部)和vlan80(分部服务器),有两台多层交换机作为本部的核心汇聚层,分别命名为msw3和msw4,上层接入防火墙fw2,由此作为外网的安全防护墙。分部配置了三台服务器,分别为P-DHCP服务器、P-DNS服务器和FTP服务器。
外网配置了两台路由器,其中一台命名为CK-R2160,作为外网的接入路由器,另一台命名为ISP-P2160,作为ISP,另外设有交换机、互联网用户电脑、服务器各有一台,模拟外网区域。
核心区域为一台命名为CO-R2160的路由器,连接网管电脑、公司总部、公司分部和外网区域。
各部分的IP地址分配在此不一一介绍,详细参照以下拓扑图2-1:
图 2-1 网络拓扑图(整体部分) |
图 2-2 网络拓扑图(上海总部) |
图 2-3 网络拓扑图(深圳分部) |
图 2-4 网络拓扑图(网管、核心和外网) |
第3章 特色和问题解决
3.1 组网需求
3.1.1 拓扑结构设计
在网络拓扑结构设计规划上,网络、服务器等设备在模拟器上放置的位置,互联网模拟区域放置在拓扑图上端,与之连接一台路由器模拟核心路由器,其同时连接网管电脑、公司总部和公司分部,各区域设备的配置数量合理,全面性得以验证,同时以不同颜色的背景图作为划分,加强了该拓扑图的美观性和可读性。
3.1.2 IP地址和vlan规划
在IP地址和vlan的规划上,分配的顺序合理有序。各部门和两个服务器集群使用vlan划分,同时实现了两层隔离,保证了各部门较高的安全系数,方便网络的维护和管理。在本次项目要求中的市场部和人力资源部按实际需求考虑因人流变化相对较大,IP地址使用自动获取方式,其他部门可以静态配置,但为了统一,六个部门都使用了DHCP动态获取。
3.1.3 协议和技术的使用
在协议和技术的使用上,本设计用了OSPF路由协议、访问控制列表、VLAN中继协议(vtp)、链路聚合组端口绑定、PVST方案、NAT、防火墙等技术方法,在下文中会介绍在本次设计中关键技术的具体使用。
1、OSPF单播动态路由协议,用在核心交换机设备和出口路由器之间,通过路由协议实现全网路由可达。OSPF路由协议在msw1-4、fw1-2、CO-R2160、CK-R2160中有配置,该技术为了避免路由环路,同时能减小干扰。
2、访问控制列表可实现特定设备的访问,本次设计中在CK-R2160路由器上有配置访问控制列表1,命令如下:
access-list 1 permit any
匹配所有数据访问到此处,其他地方的使用不一一列举。
3、VLAN中继协议(vtp),该技术主要使用在msw1-4上,命令如下:
vtp domain cisco// 命名vtp区域为“cisco”
vtp mode server //设置vtp的模式为服务器模式
vtp password 123456 // 设置密码为“123456”
此协议是Cisco专用协议,vtp负责在vtp区域内同步vlan信息,将进行变动时可能会出现的配置不一致性降到最低。
4、三层交换机的链路聚合组也是用在msw1与msw2、msw3与msw4上。关键代码如下:
ip routing
int p
int port-channel 1
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode on
5、PVST方案主要用在msw1-4上,这种技术是解决在虚拟局域网上处理生成树的CISCO特有的解决方案。此生成树有能力通过一些在主干和其他另一个主干中的不引起生成树循环的vlans中的一些vlans来负载平衡通信,通俗来说,两个多层交换机实现了线路通道的备份,一条路出现故障可以通过另外一个链路绑定的交换机进行通信。关键代码如下(此处以msw1中配置的代码为例);
spanning-tree vlan 70,10 root primary
spanning-tree mode pvst
spanning-tree vlan 20,30 root secondary
6、NAT技术主要用在本项目中的路由器CK-R2160上,在此处使用NAT技术,使本地地址(私网IP地址)转换为全球IP地址,与英特网互联。关键代码如下:
int f0/0
ip address 192.168.2.2 255.255.255.0
no sh
ip nat inside
int s0/0/0
ip address 200.10.10.1 255.255.255.240
clock rate 64000
no sh
ip nat outside
web服务器发送到公网需要NAT的映射,是一种基于端口的映射,让外网的用户访问web服务器。
7、在本次设计中,公司的总部和分部各使用了一个防火墙,能隔离另外一方的攻击等。特别注意的是,在防火墙的ospf上用反掩码,与其他的不一样。
3.2 问题和解决
在本次网络的搭建中暂未清楚出现什么故障,导致一些功能未能成功实现,但网络的搭建过程中也积累了较多的经验,在问题发现与解决的过程中成长了许多。下文讲解了出现的问题和解决方案。
首先讲讲大局上的问题,一次成功的网络组建没有清晰的思路、明确的方向和长时间的专注是不可能完成的,各个网络的划分要按顺序划分清楚细致,各命令的配置出现错误会比较麻烦,在这次课程设计中就经常出现把“vlan”键入为“valn”、“vanl”等。另外连线的顺序绝对不能打乱,一次合理的连线方便后期的配置命令操作。一次项目环环相扣,需要以大局为重。本次的项目给定时间较短,所以需要认真规划搭建流程,调整项目执行周期。
其次出现最多的问题就是命令拼写错误问题,不过这类问题容易处理,印象最深的一次就是在输入“en”时,多打了一个“[”,导致图2-38的结果,一直卡在那里。查阅相关资料后,使用“ctrl+shift+6”可以中断该进程。在本次错误中也学到了新的东西。
图 3-1 误输入出现的错误 |
在本次的网络设计中我先把代码写在脚本里,这样会更加清除配置顺序和代码结构,节省配置时间。有很多配置的过程是重复的,只需要复制粘贴,之后修改数据即可,之前不小心把msw3看成了msw4,预先设定的msw3代码配置到了另外一个多层交换机上,庆幸的是有脚本备份,直接在配错的交换机上键入“write erase”即可。
在配置ospf时也出现了一些问题,在msw2配置ospf时,输入“router ospf 20”导致报错“IP router not enabled”,发现是忘记开启路由功能,解决办法是输入“ip routing”,建立路由。
在检查各种配置是否成功,但ospf协议未生效,之后重启Cisco Packet Tracer该模拟器,协议生效。一部分故障即为外部设备问题,但配置过程中的代码逻辑也是需要注意的。
配置服务器时注意是否开启按钮“on”,路由器添加串口时注意开关的状态。修改一些配置了要注意检查是否保存成功。
在整体配置过程上,要注意配置的顺序。可以先配置命名、IP地址、vlan,协议后面再管。在防火墙的配置开始时,直接回车键入,密码可以不用管。在防火墙这部分命令不太熟悉,出现了种种困难,耗费的时间较大。
论文写到此处,已是晚上23点30,突然想出来另外一种拓扑方案,只使用一个防火墙,公司总部与分部用一个路由器连接,图如3-2、3-2所示:
图 3-2 拓扑图(方案二) |
图 3-3 拓扑图(方案三主要修改部分) |
看起来似乎会更加合理一些,但由于个人能力有限和时间关系,没来得及配置修改与调试,突然感觉有点遗憾,不过在此反思了一下,其实组建网络的最基本也是最困难的一步就是搭建拓扑图,一旦图不合理极大可能会导致前功尽弃。
附录代码部分
msw1配置
en
conf t
hos msw1
vtp doamin cisco
vtp mode server
vtp password 123456
vlan 10
vlan 20
vlan 30
vlan 70
ex
//配置IP地址
int f0/1
no switchport
ip address 192.168.5.2 255.255.255.0
no sh
ex
//让它作为有路由功能的交换机
ip routing
//配置链路聚合组
int p
int port-channel 1
switchport trunk encapsulation dot1q
switchport mode trunk
ex
//回到中间部分的链路聚合
int range f0/2-3
switchport trunk excapsulation dot1q
switchport mode trunk
ex
//捆绑为一组
channel-group 1 mode on
//配置下层连线
int range f 0/4-6
switchport trunk encapsulation dot1q
switchport mode trunk
ex
//调整生成树
spanning-tree vlan 70,10 root primary
spanning-tree mode pvst
spanning-tree vlan 20,30 root secondary
//进入vlan 70
int vlan 70
ip address 192.168.70.254 255.255.255.0
standby 70 ip 192.168.70.252
//配置抢占模式
//配置上层接口,相当于监控
standby 70 priority 120
standby 70 preempt
standby 70 track fastEthernet 0/1
ip helper-address 192.168.70.1
//进入vlan10,服务器不需要配置自动获取ip
int vlan 10
ip address 192.168.10.254 255.255.255.0
standby 10 ip 192.168.10.252
standby 10 priority 120
standby 10 preempt
standby 10 track fastEthernet 0/1
ip helper-address 192.168.70.1
//进入vlan20,优先级原因,此处不需要配置抢占模式
int vlan 20
ip address 192.168.20.254 255.255.255.0
standby 20 ip 192.168.20.252
standby 20 track fastEthernet 0/1
ip helper-address 192.168.70.1
//进入vlan30
int vlan 30
ip address 192.168.30.254 255.255.255.0
standby 30 ip 192.168.30.252
standby 30 track fastEthernet 0/1
ip helper-address 192.168.70.1
ex
//ospf配置
en
conf t
router ospf 10
network 192.168.70.0 0.0.0.255 area 0
network 192.168.10.0 0.0.0.255 area 0
network 192.168.20.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
network 192.168.5.0 0.0.0.255 area 0
ex
msw2配置
en
conf t
hos msw2
vtp domain cisco
vtp mode server
vtp password 123456
vlan 10
vlan 20
vlan 30
vlan 70
ex
int f0/3
no switchport
ip address 192.168.6.2 255.255.255.0
ex
int port-channel 1
switchport trunk encapsulation dot1q
switchport mode trunk
ex
int range f0/1-2
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode on
ex
int range f0/4-6
switchport trunk encapsulation dot1q
switchport mode trunk
ex
//进入vlan70,254用过了,此处用253
int vlan 70
ip address 192.168.70.253 255.255.255.0
standby 70 ip 192.168.70.252
standby 70 track fastEthernet 0/1
ip helper-address 192.168.70.1
int vlan 10
ip address 192.168.10.253 255.255.255.0
standby 10 ip 192.168.10.252
standby 10 track fastEthernet 0/1
ip helper-address 192.168.70.1
int vlan 20
ip address 192.168.20.253 255.255.255.0
standby 20 ip 192.168.20.252
standby 20 priority 120
standby 20 preempt
standby 20 track fastEthernet 0/1
ip helper-address 192.168.70.1
int vlan 30
ip address 192.168.30.253 255.255.255.0
standby 30 ip 192.168.30.252
standby 30 priority 120
standby 30 preempt
standby 30 track fastEthernet 0/1
ip helper-address 192.168.70.1
ex
//msw2-ospf配置
en
conf t
router ospf 20
network 192.168.70.0 0.0.0.255 area 0
network 192.168.10.0 0.0.0.255 area 0
network 192.168.20.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
network 192.168.6.0 0.0.0.255 area 0
ex
msw3配置
en
conf t
hos msw3
vtp domain cisco
vtp mode server
vtp password 123456
vlan 40
vlan 50
vlan 60
vlan 80
ex
int f0/3
no switchport
ip address 192.168.7.2 255.255.255.0
ex
int port-channel 1
switchport trunk encapsulation dot1q
switchport mode trunk
ex
int range f0/2-3
//此处的配置出现了点问题
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode on
ex
int range f0/4-6
switchport trunk encapsulation dot1q
switchport mode trunk
ex
//进入vlan80,254用过了,此处用253
int vlan 80
ip address 192.168.80.253 255.255.255.0
standby 80 ip 192.168.80.252
standby 80 track fastEthernet 0/1
ip helper-address 192.168.80.1
int vlan 60
ip address 192.168.60.253 255.255.255.0
standby 60 ip 192.168.60.252
standby 60 track fastEthernet 0/1
ip helper-address 192.168.80.1
int vlan 50
ip address 192.168.50.253 255.255.255.0
standby 50 ip 192.168.50.252
standby 50 priority 120
standby 50 preempt
standby 50 track fastEthernet 0/1
ip helper-address 192.168.80.1
int vlan 40
ip address 192.168.40.253 255.255.255.0
standby 40 ip 192.168.40.252
standby 40 priority 120
standby 40 preempt
standby 40 track fastEthernet 0/1
ip helper-address 192.168.80.1
ex
//msw3-ospf
en
conf t
router ospf 60
network 192.168.80.0 0.0.0.255 area 0
network 192.168.40.0 0.0.0.255 area 0
network 192.168.50.0 0.0.0.255 area 0
network 192.168.60.0 0.0.0.255 area 0
network 192.168.7.0 0.0.0.255 area 0
ex
msw4配置
en
conf t
hos msw4
vtp domain cisco
vtp mode server
vtp password 123456
vlan 40
vlan 50
vlan 60
vlan 80
ex
//配置IP地址
int f0/1
no switchport
ip address 192.168.8.2 255.255.255.0
no sh
ex
//让它作为有路由功能的交换机
ip routing
//配置链路聚合组
int p
int port-channel 1
switchport trunk encapsulation dot1q
switchport mode trunk
ex
//回到中间部分的链路聚合
int range f0/2-3
switchport trunk encapsulation dot1q
switchport mode trunk
//此处之前有个ex
//捆绑为一组
channel-group 1 mode on
//配置下层连线
int range f 0/4-6
switchport trunk encapsulation dot1q
switchport mode trunk
ex
//调整生成树
spanning-tree vlan 80,60 root primary
spanning-tree mode pvst
spanning-tree vlan 50,40 root secondary
//进入vlan 80
int vlan 80
ip address 192.168.80.254 255.255.255.0
standby 80 ip 192.168.80.252
//配置抢占模式
//配置上层接口,相当于监控
standby 80 priority 120
standby 80 preempt
standby 80 track fastEthernet 0/1
ip helper-address 192.168.80.1
//进入vlan60,服务器不需要配置自动获取ip
int vlan 60
ip address 192.168.60.254 255.255.255.0
standby 60 ip 192.168.50.252
standby 60 priority 120
standby 60 preempt
standby 60 track fastEthernet 0/1
ip helper-address 192.168.80.1
//进入vlan50,优先级原因,此处不需要配置抢占模式
int vlan 50
ip address 192.168.50.254 255.255.255.0
standby 50 ip 192.168.30.252
standby 50 track fastEthernet 0/1
ip helper-address 192.168.80.1
//进入vlan40
int vlan 40
ip address 192.168.40.254 255.255.255.0
standby 40 ip 192.168.40.252
standby 40 track fastEthernet 0/1
ip helper-address 192.168.80.1
ex
// msw4-ospf
en
conf t
router ospf 70
network 192.168.80.0 0.0.0.255 area 0
network 192.168.40.0 0.0.0.255 area 0
network 192.168.50.0 0.0.0.255 area 0
network 192.168.60.0 0.0.0.255 area 0
network 192.168.8.0 0.0.0.255 area 0
ex
sw1配置
en
conf t
hos sw1
vtp domain cisco
vtp mode client
vtp password 123456
int f0/1
switchport mode trunk
ex
int f0/3
switchport mode trunk
ex
int f0/2
switchport mode access
switchport access vlan 10
int f0/4
switchport mode access
switchport access vlan 10
ex
sw2配置
en
conf t
hos sw2
vtp domain cisco
vtp mode client
vtp password 123456
int range f0/3-4
switchport mode trunk
ex
int range f0/1-2
switchport mode access
switchport access vlan 20
ex
sw3配置
en
conf t
hos sw3
vtp domain cisco
vtp mode client
vtp password 123456
int range f0/3-4
switchport mode trunk
ex
int range f0/1-2
switchport mode access
switchport access vlan 30
ex
sw4配置
en
conf t
hos sw4
vtp domain cisco
vtp mode client
vtp password 123456
int range f0/3-4
switchport mode trunk
ex
int range f0/1-2
switchport mode access
switchport access vlan 40
ex
sw5配置
en
conf t
hos sw5
vtp domain cisco
vtp mode client
vtp password 123456
int range f0/3-4
switchport mode trunk
ex
int range f0/1-2
switchport mode access
switchport access vlan 50
ex
sw6配置
en
conf t
hos sw1
vtp domain cisco
vtp mode client
vtp password 123456
int range f0/3-4
switchport mode trunk
ex
int range f0/1-2
switchport mode access
switchport access vlan 60
sw7配置
en
conf t
hos sw7
vtp domain cisco
vtp mode client
vtp password 123456
int range f0/1-2
switchport mode trunk
ex
int range f0/3-5
switchport mode access
switchport access vlan 70
ex
fw1配置
conf t
hos fw1
int g1/1
ip address 192.168.5.1 255.255.255.0
security-level 100
nameif trust-1
no sh
int g1/2
ip address 192.168.6.1 255.255.255.0
security-level 100
nameif trust-2
no sh
//上面的接口 0级
int g1/3
ip address 192.168.3.2 255.255.255.0
security-level 0
nameif untrust
no sh
ex
//fw1-ospf配置
en
conf t
router ospf 30
network 192.168.3.0 255.255.255.0 area 0
network 192.168.5.0 255.255.255.0 area 0
network 192.168.6.0 255.255.255.0 area 0
ex
//(防火墙未配置的话会阻止流量的穿越)
//配置拓展访问控制列表
en
conf t
access-list fangxin extended permit ip any any
access-group fangxin in interface ?
(此处需要一一对应查看)
access-group fangxin in interface trust-1
access-group fangxin out interface trust-1
access-group fangxin in interface trust-2
access-group fangxin out interface trust-2
access-group fangxin in interface untrust
access-group fangxin out interface untrust
fw2配置
en
conf t
hos fw2
int e0/0
ip address 192.168.7.1 255.255.255.0
security-level 100
nameif p-trust-1
no sh
int e0/1
ip address 192.168.8.1 255.255.255.0
security-level 100
nameif p-trust-2
no sh
//上面的接口 0级
int e0/2
ip address 192.168.4.2 255.255.255.0
security-level 0
nameif p-untrust
no sh
ex
//配置拓展访问控制列表
en
conf t
access-list fangxin extended permit ip any any
access-group fangxin in interface ?
(此处需要一一对应查看)
access-group fangxin in interface p-trust-1
access-group fangxin out interface p-trust-1
access-group fangxin in interface p-trust-2
access-group fangxin out interface p-trust-2
access-group fangxin in interface p-untrust
access-group fangxin out interface p-untrust
//fw2-ospf
en
conf t
router ospf 80
network 192.168.4.0 255.255.255.0 area 0
network 192.168.7.0 255.255.255.0 area 0
network 192.168.8.0 255.255.255.0 area 0
ex
CO-R2160 配置
//需要接入NM-2E2W串口
en
conf t
hos CO-R2160
int E1/0
ip address 192.168.3.1 255.255.255.0
no sh
int E1/1
ip address 192.168.4.1 255.255.255.0
no sh
int f0/1
ip address 192.168.9.1 255.255.255.0
no sh
int f0/0
ip address 192.168.2.1 255.255.255.0
no sh
ex
// 配置网管电脑
//配置网管电脑可以实现远程管理
en
conf t
//只允许5台设备访问
access-list 1 permit ip any any
line vty 0 4
password 123456
enable password 123456
username luoqianqian password 123456
//配置CO-R2160-ospf
en
router ospf 40
network 192.168.2.0 0.0.0.255 area 0
network 192.168.3.0 0.0.0.255 area 0
network 192.168.4.0 0.0.0.255 area 0
network 192.168.9.0 0.0.0.255 area 0
ex
CK-R2160配置
en
conf t
hos CK-R2160
int f0/0
ip address 192.168.2.2 255.255.255.0
no sh
ip nat inside
int s0/0/0
ip address 200.10.10.1 255.255.255.240
clock rate 64000
no sh
ip nat outside
ex
// 配置CK-R2160web服务器的静态映射
en
conf t
ip nat inside source static 192.168.70.3 200.10.10.3
// 配置CK-R2160-ospf
en
router ospf 50
network 192.168.2.0 0.0.0.255 area 0
default-information originate
ex
//配置默认路由
ip route 0.0.0.0 0.0.0.0 200.10.10.2
//配置nat地址池
ip nat pool DZC 200.10.10.1 200.10.10.1 netmask 255.255.255.252
//配置访问控制列表,匹配所有的数据访问到此处
access-list 1 permit any
ip nat inside source list 1 pool DZC overload
ip nat inside source list 1 interface s0/0/0
ISP-R2160配置
en
conf t
hos ISP-R2160
int s0/0/0
ip address 200.10.10.2 255.255.255.252
no sh
int f0/0
ip address 200.10.20.1 255.255.255.240
no sh
ex