| (二)网络系统的方案设计 网络系统设计内容 采用树形结构构建企业网,三层千兆交换机为整个网络的核心,它对整个网络的性能,可靠性起决定性作用,它连接各个物理子网,治理网络内信息交换(包括多媒体信息),控制VLAN间访问,保证信息安全。使用思科的Catalyst 4908G‐L3 交换机,为公司创建一个高性能千兆局域网主干。小的工作组通过Catalyst 3500XL 交换机进行连接,并通过千兆上联端口连接公司网络的千兆主干。主要的网络设备有服务器、用户计算机、IP电话、交换机、路由器、防火墙等。 网络系统设计原则 网络设计应该遵循开放性和标准化原则、实用性与先进性兼顾原则、可用性原则、高性能原则 、经济性原则 、可靠性原则、安全第一原则、适度的可扩展性原则、充分利用现有资源原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS保证。 平面初步拓扑方案 选择设备核心三层交换机一个,二层交换机一个,路由器三个,服务器一个,PC机若干,打印机一个,IP电话若干,通过实线若干,虚线若干。 网络设计的层次拓扑结构图 局域网a 局域网b (三)技术概要 1、Vlan及Vlan间路由: VLAN 是指在一个物理网段内进行逻辑的划分,划分成若干个虚拟局域网,VLAN 最大的特性是不受物理位置的,可以进行灵活的划分。VLAN 具备了一个物理网段所具备的特性。相同VLAN 内的主机可以相互直接通信,不同VLAN 间的主机之间互相访问必须经路由设备进行转发,广播数据包只可以在本VLAN内进行广播,不能传输到其他VLAN 中。 三层交换机具备网络层的功能,实现VLAN 相互访问的原理是:利用三层交换机的路由功能,通过识别数据包的IP地址,查找路由表进行选路转发,三层交换机利用直连路由可以实现不同VLAN 之间的相互访问。三层交换机给接口配置IP地址。采用SVI(交换虚拟接口)的方式实现VLAN 间互连。SVI是指为交换机中的VLAN 创建虚拟接口,并且配置IP地址。 2、VPN: 为了实现不同局域网通过公网互联,好像是在一个局域网里通信。我为这两个局域网配置了。其中的一个关键技术就是通过在两个局域网的边界路由器上分别配置一个隧道接口。 3、防火墙: 该防火墙的目标是使得同一个局域网中的主机能够相互通讯,不同局域网中的主机则不能相互通讯,但是VLAN1中的主机能够通过Web访问服务器,但是不能ping到服务器。 4、IP打印设备及Callmanage: IP打印设备的配置较为简单,只需将其加入拓扑图中然后从路由器为其动态分配地址。 Call Manager将两个IP电话机连接到三层交换机上,然后为交换机和路由器进行配置,实现两个电话机之间的通信。 (四)关键技术实现 1、技术点之vlan及vlan间路由 拓扑图 设计背景 公司内操作部、销售部的PC通过2台交换机实现通信,要求财务部和销售部的PC可以互通,但为了数据安全起见,销售部和操作部需要进行互相隔离,现要在交换机上做适当配置来实现这一目标。还需要一台三层交换机进行互联实现不同部门之间pc机的通信。 具体配置 IP设置 PC0 IP PC1 IP PC6 IP 未划分vlan时测试连通性 PC0与PC1: 把PC0 PC2划分到vlan2 PC1划分到vlan3中,目的是要让不同vlan中主机能够进行通信(即PC0与PC1进行通信)对switch0进行ISO命令行设置 先创建两个vlan:vlan2 vlan3;将PC0的端口fa0/2划分到vlan2中,PC1的端口fa0/3划分vlan3中,PC6的端口fa0/1划分到vlan2中。设置为trunk模式。 设置好之后show vlan 可以看到fa0/2在vlan2中,fa0/3在vlan3中 设置三层交换机的命令 设置虚拟端口,为vlan2,vlan3设置ip address即它们的网关号 , 将PC2的接口划分到vlan2中: 测试连通性 PC0与PC6属于同一个vlan2中 所以它们一定能够通信 PC0 Ping PC0与PC1不在一个vlan中,但是通过三层交换机可以实现它们的通信(如图所示) 总结 先通过二层交换机对网络进行划分vlan,可以提供网络利用率,但不同vlan的主机不能进行通信,为了实现次技术还必须进行三层交换机的配置,这样不同部门之间也可以进行通信。 2、技术点之VPN 技术原理 VPN是利用公网来构建专用网络,它是通过特殊设计的硬件和软件直接通过共享的 IP网所建立的隧道来完成的。VPN类似于点到点直接拨号连接或租用线路连接,尽管它是以交换和路由的方式工作。可以说,VPN是Intranet(内部网)在公众网络上的延伸,它可以提供与专用网一样的安全性、可管理性和传输性能,而建设、运转和维护网络的工作也从企业内部的IT部门剥离出来,交由运营商来负责。 VPN是建立在实际网络(或物理网络)基础上的一种功能性网络。它利用公共网络做为企业骨干网的低成本优势,同时克服公共网络缺乏保密性的弱点,在VPN网络中,位于公共网络两端的网络在公共网络上传输信息时,其信息都是经过安全处理的,可以保证数据的完整性、真实性和私有性。 VPN是指在共用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个 VPN网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路,而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。用户的数据是通过ISP在公共网络(Internet)中建立的逻辑隧道(Tunnel),即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输,从而真正实现网络数据的专有性。 具体配置 (1)隧道接口的配置如下: Router 0上tunnel的配置 Router 1上tunnel的配置 这两个隧道接口的目的地设置的分别是对方局域网边界路由器与相连的端口。这样在通信的时候就好像是在两个局域网之间搭建了一条互通直达的隧道。而把中间的路径屏蔽掉。在配置中另一个关键就是实现局域网与边界路由的互联。因为总部的局域网被划分成了三个vlan,有通过三层交换机实现了不同vlan之间的通信。 (2)路由表配置 为了让这三个vlan里的主机都可以连接到边界路由。下面我先简单描述一下局域网a的网络划分情况。这段局域网划分成了4个vlan.网络号分别 这样当局域网内部的网络要链接的目的地址交换机不能识别从哪个端口转发出去的时候。就会默认发到边界路由,通过边界路由进行转发到目的网络。 在router0的路由表如下: Router2的路由表: 这样就实现了两个局域网之间相互的通信。 3、技术点之防火墙 技术原理 网络的主要功能是向其他通信实体提供信息传输服务。网络安全的主要目的是对报文的访问控制技术。实施防火墙技术的目的是为了保护内部网络免遭非法数据包的侵害。通过一周的学习与实验,在老师的讲解与自我学习实验指导书。我们了解防火墙设置主要要经过:创建标准ACL(访问控制列表)、创建扩展ACL、将ACL绑定到路由器的接口、联通性测试。下面将对该技术点做具体说明。 该防火墙的目标是使得同一个局域网中的主机能够相互通讯,不同局域网中的主机则不能相互通讯,但是VLAN1中的主机能够通过Web访问服务器,但是不能ping到服务器。通过学习,我们知道标准访问控制列表仅能控制源地址,而扩展访问列表可以根据数据包的源IP、目的IP等进行数据包的过滤。根据我们想实现的目标选择使用扩展ACL。 具体配置 (1)ACL设置: (2)连接测试: PC3可以Web访问服务器: PC3与服务器并不连通: 不同VLAN间的主机不可相互访问: 4、技术点之IP打印设备及callmanage 技术原理 IP打印设备的配置较为简单,只需将其加入拓扑图中然后从路由器为其动态分配地址。 Call Manager将两个IP电话机连接到三层交换机上,然后为交换机和路由器进行配置,实现两个电话机之间的通信。 具体配置 1、IP打印设备 服务器动态分配地址 从主机测试与打印机是否连通 ping语句 2、Call Manager(Voice Vlan) 将IP电话机接入三层交换机,首先将交换机所连IP Phone的接口加入Voice Vlan中。 然后对路由器进行设置,配置DHCP,为IP Phone动态分配地址。配置路由器的电话服务功能,并配置一些参数,之后配置IP电话号码。 配置完成后,为两个IP电话接好电源线。 IP Phone可以从路由器上获取IP地址和电话号码,两个IP电话可以相互拨号,接通。IP Phone0的号码为123456,IP Phone1的号码为4567,演示IP Phone1向IP Phone0拨号,然后接通。 5.课程设计成果 通过思科模拟器成功的架构了一个简单的支持3 层交换的低成本商业网络主干。成功实现了不同局域网之间,与内外之间的通信,防火墙的设置,保证了通信的安全。IP电话的设置减少公司总部与分支机构在电话通信上的成本支出。 6.课程设计心得 通过老师的指导,我们成功的完成了模拟的企业网络构建,了解了一些关键技术的实现过程。对于企业网络的架构有了一定的了解。小组成员在共同的努力下,不仅完成了自己的任务,还把技术点都结合起来,实现一个整体的网络建设,所以一个复杂的网络建设不是一个人能完成的,必须通过团队合作实现,让我们更加注重团队合作的力量。由于时间有限,我们只是完成了一部分的技术点,还有更多的知识等着我们去学习。这次课程设计不仅巩固了我们对计算机网络的学习(包括交换机,路由器,局域网等),还锻炼我们的实践能力。希望以后有机会我们能参与真实的企业网络建设,将理论变为实践。 参考文献 计算机网络实验报告123 《计算机网络》作者谢希仁 | 