中小型企业网络建设
某集团公司拟为某地的H分公司部署局域网络,并连接到公司总部的网络。总部网络如下图所示:
H分公司获得了总部统一分配的24位子网掩码的B类私网地址。现还需采购1台路由器、2台三层交换机、4台24口的二层交换机和1台FTP服务器,设备及相关材料由施工方采购。请设计并实施H分公司的网络建设。要求如下:
一、网络需求
- H网络接入到R2路由器上,使用OSPF动态路由协议,并配置为非完全末梢区域;
- H有三个部门,分别是行政部20台左右的主机(实际验收用2台主机作验证,下同),技术部20台左右的主机,工程部40台左右主机,它们必须分属3个不同的VLAN;
- H所有主机均能通过NAT访问总部网络(以能ping通总部PC为准);
- H的技术部允许访问H的FTP服务器,其他部分不能访问;
- H网络在核心交换机处部署冗余保护,FTP服务器部署冗余保护;
- 所有主机自动获取IPv4地址。
二、知识点要求
网络设计和实施过程中至少包含但不限于以下知识点:
1.IPv4的地址规划和子网划分;
2. 二层交换机的VLAN 划分及配置、STP配置;
3. 三层交换机的VLAN 划分及配置、STP配置、端口聚合配置、ACL配置;
4. 路由器的基本配置、动态路由配置、ACL配置、DHCP配置。
项目实现
一、关键技术分析
1、VLAN划分技术
基于VLAN隔离技术的访问控制方法在一些中小型企业和校园网中得到广泛的应用。VLAN是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。
在此项目中,我们根据项目需求,设置工程部为VLAN10,技术部为VLAN20,行政部为VLAN30。
2、STP技术
STP(Spanning Tree Protocol)是生成树协议。该协议可应用于在网络中建立树形拓扑,消除网络中的环路,并且可以通过一定的方法实现路径冗余,但不是一定可以实现路径冗余。生成树协议适合所有厂商的网络设备,在配置上和体现功能强度上有所差别,但是在原理和应用效果是一致的。
生成树协议最主要的应用是为了避免局域网中的单点故障、网络回环,解决成环以太网网络的“广播风暴”问题,从某种意义上说是一种网络保护技术,可以消除由于失误或者意外带来的循环连接。
3、链路聚合技术
链路聚合(Link Aggregation),是指将多个物理端口捆绑在一起,成为一个逻辑端口,以实现出/ 入流量在各成员端口中的负荷分担,交换机根据用户配置的端口负荷分担策略决定报文从哪一个成员端口发送到对端的交换机。当交换机检测到其中一个成员端口的链路发生故障时,就停止在此端口上发送报文,并根据负荷分担策略在剩下链路中重新计算报文发送的端口,故障端口恢复后再次重新计算报文发送端口。链路聚合在增加链路带宽、实现链路传输弹性和冗余等方面是一项很重要的技术。使用链路聚合,提高网络的安全性。
4、ACL技术
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP等。
在此项目中,根据项目需求,我们在三层交换机SW-2上配置了ACL协议,实现只让技术部访问服务器的要求。
5、DHCP技术
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)通常被应用在大型的局域网络环境中,主要作用是集中的管理、分配IP地址,使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。
DHCP协议采用客户端/服务器模型,主机地址的动态分配任务由网络主机驱动。当DHCP服务器接收到来自网络主机申请地址的信息时,才会向网络主机发送相关的地址配置等信息,以实现网络主机地址信息的动态配置。
在此项目中,根据项目需求,我们在三层交换机SW-1、SW-2以及R1上配置了DHCP协议。
6、NET技术
网络地址转换协议,可以实现内部私有地址的主机访问到外网。
二、总体设计方案
三、系统规划设计
1、设计流程
2、VLAN划分
3、端口划分
4、IP地址划分
R3的端口划分
三层交换机ESW1的端口划分
三层交换机ESW2的端口划分
二层交换机 ESW3-4(工程部)的端口划分
二层交换机 ESW5(技术部)的端口划分
二层交换机 ESW6(行政部)的端口划分
5、网络拓扑
四、项目脚本
1、二层交换机VLAN划分
按照规划好VLAN划分图,及端口划分图,将二层交换上的端口添加的VLAN里,将与三层交换机相连的链路设置为trunk端口。
SW2-1:(工程部)
ESW#configure terminal
ESW(config)#hostname SW2-1
SW2-1(config)#vlan 10
SW2-1(config-vlan)#exit
SW2-1(config)#interface range f0/1 -13
SW2-1(config-if-range)#switchport mode access
SW2-1(config-if-range)#switchport access vlan 10
SW2-1(config-if-range)#exit
SW2-1(config)#interface range f0/14 -15
SW2-1(config)#switchport mode trunk
SW2-1(config)#exit
SW2-2:(工程部)
ESW#configure terminal
ESW(config)#hostname SW2-2
SW2-1(config)#vlan 10
SW2-1(config-vlan)#exit
SW2-1(config)#interface range f0/1 -13
SW2-1(config-if-range)#switchport mode access
SW2-1(config-if-range)#switchport access vlan 10
SW2-1(config-if-range)#exit
SW2-1(config)#interface range f0/14 -15
SW2-1(config)#switchport mode trunk
SW2-1(config)#exit
SW2-3:(技术部)
ESW#configure terminal
ESW(config)#hostname SW2-3
SW2-1(config)#vlan 10
SW2-1(config-vlan)#exit
SW2-1(config)#interface range f0/1 -13
SW2-1(config-if-range)#switchport mode access
SW2-1(config-if-range)#switchport access vlan 10
SW2-1(config-if-range)#exit
SW2-1(config)#interface range f0/14 -15
SW2-1(config)#switchport mode trunk
SW2-1(config)#exit
SW2-4:(行政部)
ESW#configure terminal
ESW(config)#hostname SW2-4
SW2-1(config)#vlan 10
SW2-1(config-vlan)#exit
SW2-1(config)#interface range f0/1 -13
SW2-1(config-if-range)#switchport mode access
SW2-1(config-if-range)#switchport access vlan 10
SW2-1(config-if-range)#exit
SW2-1(config)#interface range f0/14 -15
SW2-1(config)#switchport mode trunk
SW2-1(config)#exit
2、三层交换机端口链路聚合及与二层交换机的连通配置
主要实现的三层交换机之间的冗余备份,将其中二层交换机与三层交换机之间用trunk线连起来。
SW3-1:
ESW#vlan database
ESW#(VLAN)#vlan 10
ESW#(VLAN)#vlan 20
ESW#(VLAN)#vlan 30
ESW(config)#hostname SW3-1
SW3-1(config)#interface range f0/5-6
SW3-1(config-if-range)#switchport trunk encapsulation dot1q
SW3-1(config-if-range)#switchport mode trunk
SW3-1(config-if-range)#channel-group 1 mode on
SW3-1(config-if-range)#switchport mode access
SW3-1(config-if-range)#switchport access vlan 10
SW3-1(config-if-range)#switchport access vlan 20
SW3-1(config-if-range)#switchport access vlan 30
SW3-1(config-if-range)#exit
SW3-1(config)#interface range f0/1-4
SW3-1(config-if-range)#switchport trunk encapsulation dot1q
SW3-1(config-if-range)#switchport mode trunk
SW3-1(config-if-range)#exit
SW3-1(config)#
SW3-2:
ESW#vlan database
ESW#(VLAN)#vlan 10
ESW#(VLAN)#vlan 20
ESW#(VLAN)#vlan 30
ESW(config)#hostname SW3-2
SW3-1(config)#interface range f0/5-6
SW3-1(config-if-range)#switchport trunk encapsulation dot1q
SW3-1(config-if-range)#switchport mode trunk
SW3-1(config-if-range)#channel-group 1 mode on
SW3-1(config-if-range)#switchport mode access
SW3-1(config-if-range)#switchport access vlan 10
SW3-1(config-if-range)#switchport access vlan 20
SW3-1(config-if-range)#switchport access vlan 30
SW3-1(config-if-range)#exit
SW3-1(config)#interface range f0/1-4
SW3-1(config-if-range)#switchport trunk encapsulation dot1q
SW3-1(config-if-range)#switchport mode trunk
SW3-1(config-if-range)#exit
SW3-1(config)#
3、三层交换机Vlan间通信配置
三层交换机可以实现不同vlan之间的互通,只需要打开三层交换机的路由功能(ip routing),然后二层交换机与三层交换机之间用trunk链路连接,将每个vlan封装进去即可实现不同vlan之间的通信。
SW3-1:
SW3-1(config)#interface vlan 10
SW3-1(config-if)#no shutdown
SW3-1(config-if)#ip address 172.16.34.62 255.255.255.192
SW3-1(config-if)#exit
SW3-1(config)#
SW3-1(config)#interface vlan 20
SW3-1(config-if)#no shutdown
SW3-1(config-if)#ip address 172.16.34.94 255.255.255.224
SW3-1(config-if)#exit
SW3-1(config)#
SW3-1(config)#interface vlan 30
SW3-1(config-if)#no shutdown
SW3-1(config-if)#ip address 172.16.34.126 255.255.255.224
SW3-1(config-if)#exit
SW3-1(config)#
SW3-2:
SW3-1(config)#interface vlan 10
SW3-1(config-if)#no shutdown
SW3-1(config-if)#ip address 172.16.34.62 255.255.255.192
SW3-1(config-if)#exit
SW3-1(config)#
SW3-1(config)#interface vlan 20
SW3-1(config-if)#no shutdown
SW3-1(config-if)#ip address 172.16.34.94 255.255.255.224
SW3-1(config-if)#exit
SW3-1(config)#
SW3-1(config)#interface vlan 30
SW3-1(config-if)#no shutdown
SW3-1(config-if)#ip address 172.16.34.126 255.255.255.224
SW3-1(config-if)#exit
SW3-1(config)#
4、路由器配置
用ospf动态路由实现网络层的通信,给三层交换机与路由器相通的端口也配置IP地址,实现传输层到网络层的通信。
R3:
Router#configure terminal
Router(config)#hostname R3
R3(config)#interface loopback 1
R3(config-if)#no shutdown
R3(config-if)#ip address 172.16.34.254 255.255.255.255
R3(config-if)#exit
R3(config)#interface g0/0
R3(config-if)#no shutdown
R3(config-if)#ip address 172.16.34.153 255.255.255.252
R3(config-if)#exit
R3(config)#interface g0/1
R3(config-if)#no shutdown
R3(config-if)#ip address 172.16.34.142 255.255.255.255
R3(config-if)#exit
R3(config)#interface g0/2
R3(config-if)#no shutdown
R3(config-if)#ip address 172.16.34.146 255.255.255.252
R3(config-if)#exit
R3(config)#router ospf 1
R3(config-router)#router-id 172.16.34.254
R3(config-router)#network 172.16.34.254 0.0.0.0 area 1
R3(config-router)#network 172.16.34.144 0.0.0.3 area 1
R3(config-router)#network 172.16.34.140 0.0.0.3 area 1
R3(config-router)#network 172.16.34.152 0.0.0.3 area 1
R3(config-router)#exit
R2:
Router#configure terminal
Router(config)#hostname R2
R2(config)#interface loopback 1
R2(config-if)#no shutdown
R2(config-if)#ip address 172.16.34.253 255.255.255.255
R2(config-if)#exit
R2(config)#interface g0/0
R2(config-if)#no shutdown
R2(config-if)#ip address 172.16.34.154 255.255.255.252
R2(config-if)#exit
R2(config)#interface g0/1
R2(config-if)#no shutdown
R2(config-if)#ip address 172.16.34.157 255.255.255.0
R2(config-if)#exit
R2(config)#router ospf 10
R2(config-router)#router-id 172.16.34.253
R2(config-router)#network 172.16.34.253 0.0.0.0 area 0
R2(config-router)#network 172.16.34.152 0.0.0.3 area 0
R2(config-router)#network 172.16.34.156 0.0.0.3 area 1
R2(config-router)#exit
R1:
Router#configure terminal
Router(config)#hostname R1
R1(config)#interface loopback 1
R1(config-if)#no shutdown
R1(config-if)#ip address 172.16.34.252 255.255.255.255
R1(config-if)#exit
R1(config)#interface f0/1
R1(config-if)#no shutdown
R1(config-if)#ip address 172.16.34.158 255.255.255.252
R1(config-if)#exit
R1(config)#interface f0/0
R1(config-if)#no shutdown
R1(config-if)#ip address 172.16.345.1 255.255.255.0
R1(config-if)#exit
R1(config)#router ospf 1
R1(config-router)#router-id 172.16.34.252
R1(config-router)#network 172.16.34.252 0.0.0.0 area 0
R1(config-router)#network 172.16.345.0 0.0.0.255 area 0
R1(config-router)#network 172.16.34.156 0.0.0.3 area 0
R3(config-router)#exit
SW3-1:
SW3-1(config)#ip routing
SW3-1(config)#interface f0/7
SW3-1(config-if)#no switchport
SW3-1(config-if)#ip address 172.16.34.141 255.255.255.252
SW3-1(config-if)#exit
SW3-1(config)#router ospf 1
SW3-1(config-router)#network 172.16.34.141 0.0.0.3 area 1
SW3-1(config-router)#network 172.16.34.0 0.0.0.63 area 1
SW3-1(config-router)#network 172.16.34.64 0.0.0.31 area 1
SW3-1(config-router)#network 172.16.34.96 0.0.0.31 area 1
SW3-1(config-router)#exit
SW3-1(config-router)#
SW3-2:
SW3-2(config)#ip routing
SW3-2(config)#interface f0/7
SW3-2(config-if)#no switchport
SW3-2(config-if)#ip address 172.16.34.145 255.255.255.252
SW3-2(config-if)#exit
SW3-2(config)#router ospf 10
SW3-2(config-router)#network 172.16.34.145 0.0.0.3 area 1
SW3-2(config-router)#network 172.16.34.0 0.0.0.63 area 1
SW3-2(config-router)#network 172.16.34.64 0.0.0.31 area 1
SW3-2(config-router)#network 172.16.34.96 0.0.0.31 area 1
SW3-2(config-router)#exit
SW3-2(config-router)#
5、特殊区域配置
题目要求,H网络接入到R2路由器上,使用OSPF动态路由协议,并配置为非完全末梢区域,所以将area 1 区域设置为NSSA(非完全末梢区域)。
R2:
R2(config)#router ospf 1
R2(config-router)#area 1 nssa
R2(config-router)#exit
R3:
R3(config)#router ospf 1
R3(config-router)#area 1 nssa
R3(config-router)#exit
SW3-1:
SW3-1(config)#router ospf 1
SW3-1(config-router)#area 1 nssa
SW3-1(config-router)#exit
SW3-2:
SW3-2(config)#router ospf 1
SW3-2(config-router)#area 1 nssa
SW3-2(config-router)#exit
6、防环处理
开启三层交换机和二层交换机的生成树协议,实现防环处理,防止网络风暴的发生。并通过设置根交换机的优先级,使SW3-1作为主根,SW3-2作为次根。
SW3-1:
SW3-1(config)#spanning-tree vlan 10
SW3-1(config)#spanning-tree vlan 20
SW3-1(config)#spanning-tree vlan 30
SW3-1(config)#spanning-tree vlan 10 priority 4096
SW3-1(config)#spanning-tree vlan 20 priority 4096
SW3-1(config)#spanning-tree vlan 30 priority 4096
SW3-2:
SW3-2(config)#spanning-tree vlan 10
SW3-2(config)#spanning-tree vlan 20
SW3-2(config)#spanning-tree vlan 30
SW3-2(config)#spanning-tree vlan 10 priority 8192
SW3-2(config)#spanning-tree vlan 20 priority 8192
SW3-2(config)#spanning-tree vlan 30 priority 8192
7、DHCP地址池配置
DHCP服务可以实现动态获取IP地址的功能,可以在三层交换机上搭建一个无中继DHCP服务,从而使三个部门动态获取IP地址。在R1上搭建一个无中继DHCP服务,从而使H主网的PC机实现动态获取IP地址。
SW3-1:
SW3-1(config)#service dhcp
SW3-1(config)#ip dhcp pool vlan10
SW3-1(config-pool)#network 172.16.34.0 255.255.255.192
SW3-1(config-pool)#dns-server 4.4.4.4
SW3-1(config-pool)#default-router 172.16.34.62
SW3-1config-)#ip dhcp excluded-address 172.16.34.62
SW3-1(config)#ip dhcp pool vlan20
SW3-1(config-pool)#network 172.16.34.64 255.255.255.224
SW3-1(config-pool)#dns-server 4.4.4.4
SW3-1(config-pool)#default-router 172.16.34.94
SW3-1(config)#ip dhcp excluded-address 172.16.34.94
SW3-1(config)#ip dhcp pool vlan30
SW3-1(config-pool)#network 172.16.34.96 255.255.255.224
SW3-1(config-pool)#dns-server 4.4.4.4
SW3-1(config-pool)#default-router 172.16.34.126
SW3-1(config)#ip dhcp excluded-address 172.16.34.126
SW3-2:
SW3-2(config)#service dhcp
SW3-2(config)#ip dhcp pool vlan10
SW3-2(config-pool)#network 172.16.34.0 255.255.255.192
SW3-2(config-pool)#dns-server 4.4.4.4
SW3-2(config-pool)#default-router 172.16.34.62
SW3-1(config-)#ip dhcp excluded-address 172.16.34.62
SW3-2(config)#ip dhcp pool vlan20
SW3-2(config-pool)#network 172.16.34.64 255.255.255.224
SW3-2(config-pool)#dns-server 4.4.4.4
SW3-2(config-pool)#default-router 172.16.34.94
SW3-2(config)#ip dhcp excluded-address 172.16.34.94
SW3-2(config)#ip dhcp pool vlan30
SW3-2(config-pool)#network 172.16.34.96 255.255.255.224
SW3-2(config-pool)#dns-server 4.4.4.4
SW3-2(config-pool)#default-router 172.16.34.126
SW3-2(config)#ip dhcp excluded-address 172.16.34.126
R1:
R1(config)#service dhcp
R1(config)#ip dhcp pool hostdhcp
R1(config-pool)#network 172.16.345.0 255.255.255.0
R1(config-pool)#dns-server 4.4.4.4
R1(config-pool)#default-router 172.16.345.1
R1(config-pool)#ip dhcp excluded-address 172.16.345.1
R1(config)#
8、NAT配置
将公司主网与Area1区域连接的端口配置NAT设置,将与主网连接的端口设置为内网,与分公司相连的网络配置为外网。
R2:
R2(config)#interface range f0/1
R2(config-if)#ip nat inside
R2(config-if)#exit
R2(config)#interface range f0/0
R2(config-if)#ip nat outside
R2(config-if)#exit
9、FTP配置
对ftp服务器做冗余保护,所以将FTP分别连接到SW3-1和SW3-2 的fastEthernet0/8端口,给SW3-1和SW3-2 的fastEthernet0/8端口配置IP地址,给FTP服务器的fastEthernet 1和fastEthernet 2接口配置IP地址。
SW3-1:
SW3-1(config)#interface f0/8
SW3-1(config-if)#no switchport
SW3-1(config-if)#ip address 172.16.34.181 255.255.255.252
SW3-1(config-if)#no shutdown
SW3-1(config-if)#exit
SW3-1(config-if)#router ospf 10
SW3-1(config-router)#network 172.16.34.180 0.0.0.3 area 1
SW3-1(config-router)#exit
SW3-2:
SW3-2(config)#interface f0/8
SW3-2(config-if)#no switchport
SW3-2(config-if)#ip address 172.16.34.194 255.255.255.252
SW3-2(config-if)#no shutdown
SW3-2(config-if)#exit
SW3-2(config-if)#router ospf 10
SW3-2(config-router)#network 172.16.34.194 0.0.0.3 area 1
SW3-2(config-router)#exit
10、ACL控制列表配置
访问控制列表是路由器和交换机接口的指令列表,用来控制端口进出的数据包,ACL适用于所有的路由协议。配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。通过配置访问控制列表可以实现只有技术部可以访问FTP服务的要求。且GNS3模拟器中的控制列表默认拒绝访问,只需配置一条允许技术部访问的列表即可。
SW3-1:
SW3-1(config)#access-list 1 permit 172.16.34.64 0.0.0.31
SW3-1(config)#interface f0/8
SW3-1(config-if)#ip access-group 1 out
SW3-1(config-if)#exit
SW3-2:
SW3-2(config)#access-list 1 permit 172.16.34.64 0.0.0.31
SW3-2(config)#interface f0/8
SW3-2(config-if)#ip access-group 1 out
SW3-2(config-if)#exit
五、验证连通性
VLAN间通信
访问总公司
